本科毕业设计大学校区网络升级方案Word下载.docx
《本科毕业设计大学校区网络升级方案Word下载.docx》由会员分享,可在线阅读,更多相关《本科毕业设计大学校区网络升级方案Word下载.docx(25页珍藏版)》请在冰豆网上搜索。
目前,雁山校区的网络由低端的锐捷交换机构成一个平面的网络结构,没有层次化的设计的网络结构其存在许多缺陷。
从网络拓扑结构看,网络管理员很难对网络进行整体的管理,一旦出现故障,将很难做出快速的排查。
其中最致命的是网络存在单点故障,一旦中心的交换机出现故障,整个网络立刻瘫痪(如图二)。
在平面型的网路结构下,网络中心交换机负载所有的数据处理任务,不能实现对数据的高速转发传输。
图二中心结构图
从网络设备方面看:
大部分的设备已经不能满足现在学校对网络传输的需求。
如中心交换机只是一台普通华为交换机,转发率不高,最大只为100M,实际上不可能达到,所以即使拓扑结构是树形结构,网络数据的交换也不会多快。
而且连接这些的交换机和路由器的通讯线路都是百兆双绞线。
在这样的设备下,中心的网络中心通讯带宽仅为百兆。
这将是实现网络高速吞吐的瓶颈。
还有租用网络的带宽太低,如学校与育才校区的通讯带宽才2M,而雁山校区师生有上万人,平时至少有上百人同时使用网络,这也极大限制了学生与育才校区信息资源的共享。
从网络应用方面看:
学校提供的校园网络服务内容太少,如缺少校园邮件服务,文件服务等,而且有些新的学生宿舍还没提供宽带接入,学生只能用电信的电话拨号上网。
一、不方便学生上网,也不能规范和监督学生上网;
二、不能实现以网养网的目标,节约学校对网络的投资成本;
从网络安全方面看:
防火墙已落伍,网络安全性非常脆弱,服务器防毒能力差,非常容易遭受到攻击,包括外网和内网对服务器的攻击。
1.2.3网络升级的目的和实现的功能。
●实现高速的Internet和CERNET出入;
●实现稳定的快速的DNS、WWW、FTP、E-mail等多项网络服务;
●整个校园网主干实现千兆传输,百兆光纤到楼宇,百兆到桌面;
●拥有高性能的网络设备,有足够的设备冗余;
●除了以上要求外,还要要求升级后的校园网具有一定的系统冗余度,以适应未来的发展和应用需求。
2.广西师范大学雁山校区网络升级方案设计
2.1雁山校区校园网设计分析
2.1.1校园网的功能要求
实现高速的Internet和CERNET出入;
实现内部千兆校园网主干,百兆交换到桌面;
增加新学生宿舍的接入;
增加校园无线局域网;
2.2校园网系统设计
网络系统设计方案主要包括校园网内部网和Internet接入两部分的设计。
(1)校园网内部网络设计
校园网内部网络是组建在校园内的计算机应用网络,可以Intranet方式建设校园网内部网络。
对本校区而言,几乎包括所有的建筑楼群:
如教学楼、图书馆、教师和学生宿舍楼等。
根据雁山校区对网络应用的需求,主干可以采用分层次的网络结构和冗余设计技术,如采用核心、汇聚冗余。
还有无线局域网的引入,也是逐步完善校园网络的一个举措。
(2)校园网接入Internet设计
雁山校区校园网采用双端口方式,一个接入育才校区校园网,一个作为雁山电信的局域网方式接入雁山电信,校园网核心交换机及路由器都存放在网络中心,所有楼宇的光纤均连接到网络中心。
2.3校园网结构设计
2.3.1校园网物理结构设计
此次升级物理网络上主要是对网络设备及通信带宽的升级
升级核心路由器,采用思科优质的产品C3600系列。
采用思科双C3750核心交换机做冗余技术;
汇聚层也采用思科C3550,原有的设备可当备份用;
接入层采用思科C2950系列。
各层设备都具有千兆以太网端口。
在通信线路上,此次将校园主干网都升级为1000M以满足学校对网络的需求。
接入雁山电信仍为原有的百兆光纤,不过只要更改光缆的带宽就可以使网络升级到更高的带宽;
路由器与核心交换机间采用1000Base-T铜缆连接;
核心交换机与汇聚层交换机间采用1000Base-LX光纤连接(在同一室内可用优质双绞线)。
校内各网络服务采用100M双绞线连到核心交换机。
汇聚层交换机所在的楼房内直接采用100双绞线连接到接入层交换机,其它楼房的接入层交换机则用100M光纤连接到该汇聚交换机上。
升级物理网络拓扑图(如图三):
图三升级后的网络拓扑图
2.3.2校园网的逻辑结构设计
校园网逻辑结构设计主要是IP子网网段的划分,根据校园网实际应用需求实现VLAN的设置。
从校园网的安全性、IP地址的可管理性和IP地址资源的有限性出发,将整个校园网络划分成若干个子网网段并对IP地址进行有效的管理是十分必要的。
子网网段划分一般应遵循以下原则:
●需要对外开放的服务器划分在同一网段,并分配真实的IP地址;
●除接入Internet的路由器外,将其它所有网络设备划分到私有的网段;
●将不对外开放的服务器划分到专有网段中,其地址对外是隐蔽的;
●最好将不同部门的机器划分到不同网段中;
●划分的子网应使IP管理简单,同时也要避免IP地址的大量浪费;
●可使用子网掩码将几个C类地址分给同一个大的子网,或将一个C类地址分给几个小的子网;
●校园内部网IP地址使用保留地址,连接Internet的子网采用真实IP地址。
以下为学校升级中,对学校所有网内计算机的子网划分情况:
序号
VLAN号
子网名称
包含的信息点
1
DMZ区
服务器子群
连接Internet的所有对外开放服务器,为真实IP地址
2
11
服务器子网
所有只对校内开放的服务器,为保留IP地址
3
12
网络设备子网
除路由器外所有网络设备
4
13
办公室子网
办公室计算机
5
14
无线接入子网
所有无线接入的计算机
6
15
学生宿舍子网1
校内学生宿舍接入的计算机
7
16
学生宿舍子网2
8
17
教师宿舍子网1
校内教师宿舍接入的计算机
9
18
教师宿舍子网2
10
19
教室子网
教学楼的教学用计算机
20
电子阅览室子网
图书馆除办公室计算机外的所有计算机
21
计算机实验室子网1
计算机实验室1
22
计算机实验室子网2
计算机实验室2
23
计算机实验室子网3
计算机实验室3
24
计算机实验室子网4
计算机实验室
25
计算机实验室子网5
26
计算机实验室子网6
表一
子网划分示意图如图2-4:
图四VLAN划分示意图
3.广西师范大学雁山校区网络升级硬件设计
3.1交换设备的选型
3.1.1核心层交换机的选型
根据学校的规模和应用需求,为将校园主干升级为千兆网络,我们核心交换机选用两台CISCOWS-C3750G-24TS-S作核心冗余。
CiscoCatalyst3750系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。
该交换机采用了CiscoStackWise技术,通过结合易用性和可堆叠交换机的最高永续性,提高了局域网运行效率。
性能介绍:
●可用性——802.1S/W支持基于标准的容错性、负载均衡和迅速恢复;
Flexlink特性提供了不到100ms的快速收敛;
PVST+则通过允许流量在冗余链路上传输,增加了可用带宽
●CiscoStackWise技术——单一IP地址和单一命令行界面(CLI)简化了管理;
32-Gbps永续架构加速了收敛;
1∶N堆叠采用了冗余和第三层上行链路永续性、跨堆叠CiscoEtherChannel技术及QoS,提高了可用性;
自动配置和CiscoIOS软件版本检查和升级加速了部署过程;
交换机的热添加和删除能保持堆叠持续运行
●370WPoE简化了IP电话、无线和视频监视部署;
智能电源管理特性增强了控制能力,有助于更好地利用功率预算,PoE与快速以太网或千兆以太网型号相结合,能最大限度地利用现有基础设施投资
●第三层特性——OPSF、EIGRP、BGP、静态PBR等高级路由协议扩大了网络规模;
等成本路由以及PIM等组播路由能够最大限度地利用网络资源;
VRFLite可保护流量;
IPv6在简化网络寻址和移动IP的同时提高了安全性
●QoS——流量整形能在不丢弃数据包的情况下平稳处理突发流量;
整形循环保证了关键任务应用的带宽;
而Scavenger队列则能防止蠕虫过度使用资源
●管理——CiscoSmartports能快速、简单地配置高级Web界面完成设置;
资源模板则可用于为应用定制交换机资源。
●安全——DHCP监听能够只允许可信端口访问DHCP信息,消除了恶意DHCP服务器;
NAC则能防止代价昂贵的蠕虫和病毒的传播;
动态ARP检测和IP源防护能够防御中间人攻击;
802.1x和基于身份的网络服务仅允许授权人员接入网络;
端口安全能防止MAC地址泛洪攻击
各关键交换机的主要性能参数如下表(表二):
参数类型
WS-C3750G-24TS-S
主要参数
WS-C3550-24-SMI
WS-C2950T-24
交换机类型
网管交换机
快速以太网交换机
传输速率
10Mbps/100Mbps/1000Mbps
32MBDRAM和8MB闪存
16MBDRAM和8MB闪存
网络标准
IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab
IEEE802.1x、IEEE,802.3x、IEEE802.1D、IEEE802.1p、IEEE802.1Q、IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z
IEEE802.1x、IEEE802.3x、IEEE802.1D、IEEE802.1p、IEEE802.1Q、IEEE802.3ab、IEEE802.3u、IEEE802.3
端口数量
24个10/100端口+2个1000BaseX端口
接口介质
10/100/1000Base-TX、1000Base-FX/SX
传输模式
支持全双工
配置形式
可堆叠
交换方式
存储-转发
背板带宽
32Gbps
8.8Gbps
VLAN支持
支持
MAC地址表
12k
8000
模块化插槽数
无
指示面板
端口状态LED:
链路完整,关闭,活动,速度和全双工指示;
系统状态LED:
系统,RPS和带宽利用率指示。
每个端口的状态LED:
连接完整性、禁用、活动和速度(仅限于上行链路)指示器,系统状态LED:
系统和RPS指示器
尺寸(mm)
295×
445×
66
44.5×
366×
445
242×
44
重量(Kg)
5.68
5.0
3.0
其他技术参数
1/1.5机架单元(RU)可堆叠多层交换机;
提供到网络边缘的企业级智能化服务;
预装标准多层软件镜像(EMI);
基本的RIP和静态路由器,可以升级到完全动态的IP路由
安装了标准的多层软件镜像(SMI);
可以升级到完全动态的IP路由;
功耗:
65W(最大),每小时222BTU;
由所有端口共享的4MB内存架构;
32MBDRAM和8MB闪存;
可以配置多达8000个MAC地址;
可以配置多达16000条单播路径;
可以配置多达2000条多播路径;
可以配置的最大传输单元(MTU)高达1590字节,用于连接MPLS标记帧
网管功能:
SNMP管理信息库(MIB)II,SNMPMIB扩展,桥接MIB(RFC1493)
表二
3.1.2汇聚层交换机选型
汇聚层交换机需要支持第三层交换,对应核心冗余,在这里我们也选用两台CISCOWS-C3550-24-SMI作汇聚冗余.
主要参数列表请参看表3-1.
产品特点:
3550系列是一款功能强大的交换机,可在中型网络中作接入设备,也可作汇聚设备。
用户可以在整个网络中部署智能化的服务,例如先进的服务质量(QoS),速度限制,Cisco安全访问控制列表,多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。
Catalyst3550系列中内嵌了Cisco集群管理套件(CMS)软件,该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。
CiscoCMS软件提供了新的配置向导,它可以大幅度简化整合式应用和网络级服务的部署。
含有标准多层软件镜像(SMI)或者增强型多层软件镜像(EMI)。
EMI提供了一组更加丰富的企业级功能,包括基于硬件的IP单播和多播路由,虚拟LAN(VLAN)间的路由,路由访问控制列表(RACL)和热备用路由器协议(HSRP)。
在刚开始部署时,增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。
3.1.3接入层交换机选型
接入层设备主要作用是要支持VLAN的
划分,我们可以选用CISCOCatalyst2950.主要参数列表参看表3-1。
3.2路由器的选型
接入Internet的路由器完全可以选用Cisco3620,因为Cisco3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。
Cisco3600系列拥有70多个模块化接口选项,提供语音/数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。
通过利用CIsco的语音/传真网络模块,Cisco3600系列允许客户在单个网络上合并语音、传真和数据流量。
高性能的模块化体系结构保护了客户的网络技术投资,并将多个设备的功能集成到一个可管理的解决方案之中。
关键特性:
●在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接以及语音、视频和数据的多服务集成。
●模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。
●高密度ISDNPRI功能。
●预配置的BRI和PRI调制解调器捆绑。
●支持Modem-over-BRI功能性。
●集成了CiscoIOS软件(产品定价中包括IPIOS软件)。
●完全支持VPN。
路由器的主要性能参数如表三:
CISCO3620主要参数
WAN,Ethernet,FastEthernet,ATM,ISDN,T1/E1,FrameRelay,X.25,IP/IPX
网络协议
IP/IPX/AT/DEC/FW/IDSPlus
是否内置防火墙
是
内存
32MB(缺省);
128MB(最大)
重量
13.6kg
表三
3.3防火墙的选型
防火墙是一种部署在内外网边界上的访问控制设备,在校园网中使用防火墙,可以用来防止XX的通信进出校园内部网络,通过边界控制强化内部网络的安全策略。
防火墙主要有简单包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙三种。
结合我们学校情况,我们选用CISCOPIX-525-R-BUN防火墙来保障校园网络安全。
CISCOPIX-525-R-BUN防火墙的主要功能:
●企业级集成式安全设备
●最高330Mbps防火墙吞吐率
●利用硬件加速(某些型号自带,在其他型号中为可选组件)最高可以提供145Mbps3DES和135MbpsAES-256VPN吞吐率
●最多可以为2000个远程用户提供VPN集中器服务(EasyVPNServer)
●千兆以太网支持;
最多8个10/100FE或者3个千兆以太网接口
●虚拟局域网中继(基于802.1q标签)和OSPF动态路由支持
●安全环境(虚拟防火墙服务)支持
●主用/主用和主用/备用防火墙状态故障切换支持
●主用/备用IPSecVPN故障切换支持
PIX-525的相关参数如表四:
PIX-525参数
处理器
600MHz
RAM
128或256MB
闪存
16MB
PCI插槽
固定接口
(物理)
2个10/100快速
以太网端口
最大接口数量
8个10/100
FE或GE
最大虚拟接口
(VLAN)
100
支持的安全环境
有,2/50
VPN加速器卡+
(VAC+)选项
有,集成在部分型号中
高可用性支持
A/S,A/A
设备更新处理
仅使用小型文件传输协议(TFTP)
故障切换端口
DB-15(RS232)
大小
2RU
表四
3.4服务器选型
现在著名的服务器品牌非常多,有IBM、HP、DELL、LENOVO、曙光、浪潮等。
这里选的服务器主要是验证服务器的选择,其它的看学校目前的网络应用可以随时增设,如前面分析的FTP服务器、E-Mail服务等。
根据我们前面的分析与设计,我们选择华为MA5200F-2000来作为校园的宽带接入验证服务器,主要验证学生接入与无线接入这两方便。
3.5具体网络拓扑设计图
图五详细网络拓扑图
核心部分:
图六
注:
图五中完整IP的均使用默认C类掩码,而只有两个IP位的都默认省去了前两位,如:
100.6/30其完整IP为192.168.100.6/30,其中30为该IP的掩码长度。
核心与汇聚部分:
图七
汇聚与接入部分:
图八
由于接入层是工作在数据链路层,所以不需为其设置IP
配置
路由器配置
就目前的应用来说,只需要增加OSPF协议即可。
Router(config)#iproute192.168.100.1255.255.255.0serial
IP管理
根据学校所在的雁山电信分配到公网IP为:
116.8.96.164
116.8.96.87
116.8.96.167
可接入育才校区校园网的IP为:
210.34.32.0
内部校园网的IP分配情况为:
1)学校网络设备IP划分如表五所示。
主机名称/类型
设备名称
IP设置
注释
Cisco3620
网络中心路由器
IP:
192.168.100.1/24
网关:
192.168.100.1
网管IP
CiscoPIX525
网络防火墙
192.168.100.2/24
192.168.100.3/24
192.168.100.5/30
192.168.100.9/30
CiscoWS-C3750G
核心交换机1
192.168.100.6/30
192.168.100.13/30
192.168.100.17/30
192.168.100.29/30
核心交换机2
192.168.100.10/30
192.168.100.14/30
192.168.100.21/30
192.168.100.25/30
CiscoWS-C3550
汇聚交换机1
192.168.100.30/30
192.168.100.22/30
192.168.100.33/30
汇聚交换机2
192.168.100.26/30
192.168.100.18/30
192.168.100.34/30
CiscoWS-C2950T
接入交换机1
接入交换机2
接入交换机3
接入交换机4
接入交换机5
Web服务器
116.8.96.164/24
M
邮件服务器
116.8.96.87/24
FTP服务器
116.8.96.167/24
认证服务器
192.168.200.1/24
DNS服务器
192.168.200.3/24
教务管理服务器
192.168.200.6/24
网管服务器
192.168.200.4/24
表五
2)学校共分16个子网,其VLAN划分情况如表六所示。
VLANID
升级会员 