贵阳市三十四中学网络规划设计.docx
《贵阳市三十四中学网络规划设计.docx》由会员分享,可在线阅读,更多相关《贵阳市三十四中学网络规划设计.docx(48页珍藏版)》请在冰豆网上搜索。
贵阳市三十四中学网络规划设计
网络工程课程设计报告
题目:
贵阳市三十四中学校园网络系统设计
专业:
网络工程
班级:
081
设计时间:
学号:
080712110194
学生姓名:
叶文海
指导教师:
张文勇
计算机科学与信息学院
年月日
第一章需求分析
1.1建设目标
随着时代的进步,网络已成为人们日常生活必不可少的一部分。
计算机网络被应用到人们学习、生活、工作的各个领域。
此次我们应贵阳市第三十四中学的邀请为该校部署一个小型校园局域网,实现各部门、各楼层、各楼栋之间的网络连接。
并在校内搭设一些服务器。
使学生、老师可以访问外部Internet并可实现内部互联。
1.2建设原则
我们的设计本着如下八条原则:
1.实用性:
网络建设的首要原则。
2.先进性:
网络建设要具有超前意识,具有先进的设计思想、网络结构、软硬件设备以及使用先进开发工具。
3.开放性:
开放的系统才是具有生命的系统。
4.可扩展性:
需求会不断变化,网络系统的建设是逐步进行的,网络将在规和性能两方面进行一定程度上的扩展。
5.安全性:
确保系统内部的数据、数据访问传输信息的安全的,避免非法用户访问和攻击。
6.可靠性:
保证系统不间断为用户提供服务。
7.可管理性:
提供灵活的管理平台能够对各设备进行统一管理。
8.最佳性价比:
从总体上看,网络设计目标的关键在于成本与性能的权衡。
1.3功能需求
基本功能需求为如下四点:
(1)Internet接入,学校各职能部门接入(教务处、政教处、后勤处、各教研室、计算机实验室等的接入)。
(2)Internet服务,学校建立web服务器,提供对外信息发布和学校基本情况的介绍等。
(3)办公系统:
学校的财务、教务、教学、图书阅览等办公系统,提供远程办公接入。
(4)网络服务:
提供校内外、地址解析服务,地址分配服务,安全保护服务,网络管理与运维服务等。
1.4性能需求
校领导办公室与一些特殊部门需高速接入,其他部门与实验室办公室带宽不做特殊要求。
1.5服务管理需求
网络管理能够支持SNMP(简单网络管理协议),这样方便计算机管理人员通过网管软件随时监视网络的运行状况,一旦出现故障,可以自动的报告出出错位置和出错原因,管理人员可以迅速的发现故障并及时维护,同时,SNMPv2的版本的协议还支持很多更高级的网络安全管理功能。
1.6安全需求
安全是一个网络系统之中的重中之重,所以此次我们在听取校领导意见并且在大家的交流分析下得到如下结果
1.保证以下网络的基本安全需求:
(1.网络正常运行,在网络受到攻击的情况下,能够保证网络系统正常运行。
(2.网络管理/网络部署的资料不被窃取。
(3.具备先进的入侵检测及跟踪体系
(4.提供灵活而高效的内外通信服务
2.应用系统的安全需求
与普通网络应用不同的是,应用系统是网络的核心,对于应用系统应该有最高的网络安全措施,应用系统的安全体系包括:
(1.访问控制
(2.检测安全漏洞
(3.攻击监控
(4.加密通信(如财务部门)
(5.认证
(6.备份和恢复
(7.多层防御
(8.隐藏内部信息
(9.建立安全监控中心
一些特殊部门如财务部,校领导办公室是此次网络设计安全环节的重要点。
1.7组网技术分析
组网技术就是网络组建技术,分为以太网组网技术和ATM局域网组网技术。
以太网组网非常灵活和简便,可使用多种物理介质,以不同拓扑结构组网,是目前国内外应用最为广泛的一种网络,已成为网络技术的主流。
以太网按其传输速率又分成10Mb/s、100Mb/s、1000Mb/s。
细缆以太网10BASE-210BASE-2以太网是采用IEEE802.3标准,它是一种典型的总线型结构。
采用细缆为传输介质,通过T型接头与网卡上的BNC接口相连的总线型网络。
目前市面上有多种组网技术,下面介绍几种主流的组网技术
1.7.1ATM局域网组网技术
以ATM交换机为中心连接计算机所构成的局域网络叫ATM局域网。
ATM换
机和ATM网卡支持的速率一般为155Mb/s~24Gb/s,满足不同用户的需要,标准ATM的组网速率是622Mb/s。
ATM是将分组交换与电路交换优点相结合的网络技术,可以工作在任何一种不同的速度、不同的介质和使用不同的传送技术,适用于广域网、局域网场合,可在局域网/广域网中提供一种单一的网络技术,实现完美的网络集成。
ATM组网技术的不足之处是协议过于复杂和设备昂贵带来的相对较高的建网成
ATM协议结构
1.7.1.1ATM简介
ATM----AsynchronousTransferMode(ATM)异步传输模式的缩写
ATM是一项数据传输技术,是实现B-ISDN的业务的核心技术之一。
ATM是以信元为基础的一种分组交换和复用技术,它是一种为了多种业务设计的通用的面向连接的传输模式。
它适用于局域网和广域网,它具有高速数据传输率和支持许多种类型如声音、数据、传真、实时视频、CD质量音频和图像的通信。
ATM是在LAN或WAN上传送声音、视频图像和数据的宽带技术。
它是一项信元中继技术,数据分组大小固定。
你可将信元想像成一种运输设备,能够把数据块从一个设备经过ATM交换设备传送到另一个设备。
所有信元具有同样的大小,不像帧中继及局域网系统数据分组大小不定。
使用相同大小的信元可以提供一种方法,预计和保证应用所需要的带宽。
如同轿车在繁忙交叉路口必须等待长卡车转弯一样,可变长度的数据分组容易在交换设备处引起通信延迟。
ATM是一种异步传输模式。
ATM以信元为基本单位。
ATM的信元的长度为53个字节。
工作原理
ATM采用面向连接的传输方式,将数据分割成固定长度的信元,通过虚连接进行交换。
ATM集交换、复用、传输为一体,在复用上采用的是异步时分复用方式,通过信息的首部或标头来区分不同信道。
ATM真正具有电路交换和分组交换的双重性:
ATM面向连接,它需要在通信双方向建立连接,通信结束后再由信令拆除连接。
但它摒弃了电路交换中采用的同步时分复用,改用异步时分复用,收发双方的时钟可以不同,可以更有效地利用带宽。
ATM的传送单元是固定长度53byte的CELL(信元),其中5B为信元头,用来承载该信元的控制信息;48B为信元体,用来承载用户要分发的信息。
信头部分包含了选择路由用的VPI(虚通道标识符)/VCI(虚通路标示符)信息,因而它具有分组交换的特点。
它是一种高速分组交换,在协议上它将OSI第二层的纠错、流控功能转移到智能终端上完成,降低了网络时延,提高了交换速度。
交换设备是ATM的重要组成部分,它能用作组织内的Hub,快速将数据分组从一个节点传送到另一个节点;或者用作广域通信设备,在远程LAN之间快速传送ATM信元。
以太网、光纤分布式数据接口(FDDI)、令牌环网等传统LAN采用共享介质,任一时刻只有一个节点能够进行传送,而ATM提供任意节点间的连接,节点能够同时进行传送。
来自不同节点的信息经多路复用成为一条信元流。
在该系统中,ATM交换器可以由公共服务的提供者所拥有或者是组织内部网的一部分。
由于ATM网络由相互连接的ATM交换机构成,存在交换机与终端、交换机与交换机之间的两种连接。
因此交换机支持两类接口:
用户与网络的接口UNI(通用网络接口)和网络节点间的接口NNI。
对应两类接口,ATM信元有两种不同的信元头。
在ATM网络中引入了两个重要概念:
VP(虚通道)和VC(虚通路),它们用来描述ATM信元单向传输的路由。
一条物理链路可以复用多条虚通道,每条虚通道又可以复用多条虚通路,并用相同的标识符来标识,即VPI和VCI。
VPI和VCI独立编号,VPI和VCI一起才能唯一地标识一条虚通路。
相邻两个交换节点间信元的VPI/VCI值不变,两节点之间形成一个VP链和VC链。
当信元经过交换节点时,VPI和VCI作相应的改变。
一个单独的VPI和VCI是没有意义的,只有进行链接之后,形成一个VP链和VC链,才形成一个有意义的链接。
在ATM交换机中,有一个虚连接表,每一部分都包含物理端口、VPI、VCI值,该表是在建立虚电路的过程中生成的。
应用及优缺点
ATM用作公司主干网时,能够简化网络的管理,消除了许多由于不同的编址方案和路由选择机制的网络互连所引起的复杂问题。
ATM集线器能够提供集线器上任意两端口的连接,而与所连接的设备类型无关。
这些设备的地址都被预变换,例如很容易从一个节点到另一个节点发送一个报文,而不必考虑节点所连的网络类型。
ATM管理软件使用户和他们的物理工作站移动地方非常方便。
通过ATM技术可完成企业总部与各办事处及公司分部的局域网互联,从而实现公司内部数据传送、企业邮件服务、话音服务等等,并通过上联INTERNET实现电子商务等应用。
同时由于ATM采用统计复用技术,且接入带宽突破原有的2M,达到2M-155M,因此适合高带宽、低延时或高数据突发等应用。
ATM是多媒体信息传输的较佳支撑技术。
其特征:
基于信元的分组交换技术;快速交换技术;面向连接的信元交换;预约带宽。
其优点:
吸取电路交换实时性好,分组交换灵活性强的优点;采取定长分组(信元)作为传输和交换的单位;具有优秀的服务质量;目前最高的速度为10GB/S,即将达到40GB/S.其缺点:
信元首部开销太大;技术复杂且价格昂贵。
1.7.2传统以太网络
传统的以太网是采用CSMA/CD的方式来传输数据,也就是在一个局网内只能同时有且仅有一个客户端发送数据,其他客户端若要发送数据,必须等待一段时间。
典型的模型是:
hub+N台电脑
早期局域网技术的关键是如何解决连接在同一总线上的多个网络节点有秩序的共享一个信道的问题,而以太网络正是利用载波监听多路访问/碰撞检测(CSMA/CD)技术成功地提高了局域网络共享信道的传输利用率,从而得以发展和流行的。
特别是近几年交换式以太网和100M快速以太网产生和应用,使以太网络成为当今局域网应用较为广泛的主流技术之一。
然而,以太网络在发展早期所提出的共享带宽、信道争用机制限制了网络后来的发展,即使是近几年发展起来的链路层交换技术(即交换式以太网技术)和提高收发时钟频率(即快速以太网技术)也不能从根本上解决这一问题,具体表现在:
1.不提供服务质量保证(QualityofService)
以太网提供的是一种所谓"无连接"的网络服务,网络本身对所传输的信息包无法进行诸如交付时间、包间延迟、占用带宽等等关于服务质量的控制。
这种传送方式就象邮局递送信件一样,信息包一旦交给传输介质,无论是发送端还是接收端都无法再对中间的传输过程进行任何有效控制,这就是所谓没有"服务质量保证(QoS)"。
而且以太网的包(帧)长度本身是不确定的,这就导致网络设备对每一个帧的处理和转发延迟处于随机、不可控状态。
这两个因素的存在,使得以太网的帧在传输时的延迟和延迟的突发变化(抖动)就显得非常严重。
我们知道,多媒体信息(音频、视频等等)与时间的关系非常紧密,如视频要求每秒钟固定数量的画面、音频要求每秒钟固定数量的量化比特流等等,这些定时性很强的信息在传送时并不要求在某一个瞬间提供"过多"的带宽,但要求在长时间内能够保持一直有"不多不少正合适"带宽,否则视频的画面就会有"跳动",声音就可能"结巴"。
显然,以太网对传输过程的不可控性和对帧处理延时的过多抖动都不适于现在大量涌现出的具有较强定时性要求的多媒体信息的传输。
2.带宽利用率较低
对信道的共享及争用机制导致信道的实际利用带宽远低于物理提供的带宽,虽然基于CSMA/CD机制的以太网可以使网络节点对带宽的争用以一种"秩序"进行,但其带宽有效利用率仍低于10%。
以太网的交换技术可以降低争用的机率,但为了与原有网卡及应用软件的兼容,CSMA/CD仍必须存在,且交换中对转发端口的定位是在于动态学习动态刷新中进行的,这就使在统计上仍存在大量的包是以共享争用的方式传递的,交换技术可使利用率提高至20%~50%。
除以上两点以外,以太网传输机制所固有的对网络半径、冗余拓扑和负载平衡能力的限制以及网络的附加服务能力薄弱等等,也都是以太网络的不足之处。
但以太网以成熟的技术、广泛的用户基础和较高的性能价格比,仍是传统数据传输的网络应用中较为优秀的解决方案。
1.7.3千兆以太网技术
千兆位以太网(GigabitEthernet)是IEEE802.3以太网标准的扩展,传输速度为每秒1000兆位(即1Gbps)。
应用于大型校园网,能把现有的10Mbps以太网和100Mbps快速以太网连接起来。
它可取代100MbpsFDDI网,也是ATM技术的强劲对手。
千兆位以太网采用同样的CSMA/CD协议,同样的帧格式,是现有以太网最自然的升级途径,使用户对以太网原有设备管理工具的投资得以保护。
千兆位以太网是超高速主干网的一种选择方案。
在数据、话音、视频等实时业务方面它虽然不能提供真正意义上的服务质量(QoS),但千兆位以太网频宽较高,能克服原以太网的一些弱点,提供服务保证等特性。
IEEE802.3Z工作组已确定了以下一组规范,统称为1000Base-X。
1.1000Base-LX:
多模光纤传输距离为550米,单模光纤传输距离为3000米。
2.1000Base-SX:
62.5微米多模光纤传输距离为300米,50微米多模光纤传输距离为550米。
3.1000Base-CX:
用于短距离设备的连接,使用高速率双绞铜缆,最大传输距离为25米。
4.1000Base-T:
5类铜缆传输最大距离为100米。
千兆位以太网支持交换机之间、交换机与终端之间的全双工连接,支持共享网络的半双工连接方式,使用中继器和CSMA/CD冲突检测机制。
千兆位以太网联盟(GEA)为千兆位以太网的应用提出以下几种方案:
1.更新快速以太主干网:
更换核心交换机,全面提高原有网络性能。
2.用于交换机到服务器链路:
服务器使用千兆位以太网卡,直接与千兆位以太网交换机相接,提供每秒百万个包的处理能力。
3.千兆位以太网到桌面台式机。
高性能工作站安装千兆位以太网卡,直接与千兆位以太网相连。
4.用于交换机之间的链路。
千兆位以太网交换机用光纤相接,提供一条高性能主干线路。
5.更新FDDI主干:
保留现有光缆,提高带宽10倍。
根据目前市面上的各种技术,并且在结合贵阳市三十四中的实际情况下,通过商议我们决定设计一套基于采用千兆以太网技术的解决方案来实施这个项目。
第二章逻辑设计
2.1网络拓扑规划
结合贵阳市三十四中学的物理结构平面图和预算经费,根据需求分析。
我们设计出一套网络拓扑方案。
2.1.1物理分布图
2.1.2网络拓扑
2.2IP规划和命名模型设计
IP地址的规范和命名模型的设计是在结合学校规模及主机分布和数量下设计完成,具有一定的可扩展性。
2.2.1网络地址分配
网络地址分配入上图网络规划图所示
2.2.2设备命名规则
设备命名并没有绝对的标准,一般都是按照工程惯例进行命名,应本着明确、简洁无二义性的原则。
一般采用英文加数字的形式。
根据设备的种类,设备的用途和设备的序号,设备所在的房间等进行命名。
在一个项目中要采用同一的命名规则,要在开始施工前确定下来,这样才不会在项目实施中造成混乱。
本项目路由器命名规则如下:
R-01
R:
代表路由器
01:
代表路由器序号01为第一台路由器,以此类推
本项目交换机命名规则如下:
S-3-01
S:
代表交换机
3:
代表交换机层次,3代表三层交换
01:
代表交换机序号01为第一台交换机,以此类推
PC的命名规则如下:
PC-01-01
PC:
代表计算机
01:
代表楼层,01表示一楼,以此类推
01:
代表PC机序号01为第一台PC机,以此类推
2.3交换和路由协议设计规划
2.3.1交换协议的选择
根据学校情况我们对学校进行VLAN的划分,在对VLAN划分时我们选择使用VTP协议。
以下是VTP协议的简介:
VTP(VLANTrunkingProtocol):
是VLAN中继协议,也被称为虚拟局域网干道协议。
它是思科私有协议。
作用是十几台交换机在企业网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习到server上的VLAN信息。
2.3.2路由协议选择
根据学校大小规模及需求分析,在路由协议上我们选择灵活小巧的路由协调RIP。
以下是RIP的简介:
路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。
RIP是一种内部网关协议。
在国家性网络中如当前的因特网,拥有很多用于整个网络的路由选择协议。
作为形成网络的每一个自治系统,都有属于自己的路由选择技术,不同的AS系统,路由选择技术也不同。
RIP协议目前有两个版本RIPv1和RIPv2,我们在这里选择的RIPv2
对比与RIPv1RIPv2有如下优点:
1.RIPv1是有类路由协议,RIPv2是无类路由协议
2.RIPv1不能支持VLSM,RIPv2可以支持VLSM
3.RIPv1没有认证的功能,RIPv2可以支持认证,并且有明文和MD5两种认证 4.RIPv1没有手工汇总的功能,RIPv2可以在关闭自动汇总的前提下,进行手工汇总
5.RIPv1是广播更新,RIPv2是组播更新,
6.RIPv1对路由没有标记的功能,RIPv2可以对路由打标记(tag),用于过滤和做策略
7.RIPv1发送的updata最多可以携带25条路由条目,RIPv2在有认证的情况下最多只能携带24条路由
在应对小型互联网上,RIPv2有着无以伦比的优势。
他灵活方便是小型网络解决方案的首选。
2.4安全策略设计
网络安全模型
2.4.1通信网络安全
在通信网络安全中我主要采用的是以入侵检测技术为主多种安全策略技术并存的防范解决方案。
主要防范的攻击有:
信息炸弹,DDOS,木马,口令攻击等。
2.4.2服务器安全
对于服务器安全,我们采取的方案主要是利用第三方软件来维护。
采用的软件是目前市场上主流的服务器安全狗,服务器安全狗功能涵盖了服务器系统优化、服务器漏洞补丁修复、服务器程序守护、风险帐号扫描、DDOS防火墙、ARP防火墙、安全策略设置以及邮件实时告警等多方面功能模块,为用户在服务器运营过程中提供完善的保护,使其免受恶意的攻击、破坏。
2.4.3应用安全
网络应用安全技术不仅需要解决网络应用相关数据的保密性和完整性问题,还需要解决网络应用系统本身的可用性问题。
对于应用安全问题我们主要采用的是防火墙和杀毒软件的解决方案。
2.4.4接入安全
网络接入安全我们采取的方案注意是防火墙保护
2.5管理策略设计
2.5.1管理协议的选择
根据三十四中学的具体情况,我们觉得采用SNMPv3协议的网络管理策略
网络管理的框架在过去主要是基于网元设备的管理,网络管理员需要了解被管设备(ManagedObject)的管理接口,掌握MIB变量的精确含义,而对于监视、控制网络运行的状态以及修改网络配置参数。
这些工作异常的烦琐,而网络管理员本身的专业水平也直接影响了网络管理的有效性。
随着网络规模的不断扩大,不仅有网络设备、用户数量的增加,而且许多网络设备如主机、服务器、交换机、路由器、集线器等来自不同的厂商,这就使得网络管理日趋大型、复杂和异构化,从而加重了管理员的负担,并最终成为网络管理的瓶颈。
此外,由于多媒体在网络中的应用,如网络会议、视频点播等多种业务,网络变得越来越拥挤,用户对服务质量(QoS)的要求越来越高。
针对网络管理所面临的越来越复杂,要求越来越高的问题,基于策略的网络管理(PBNM)方案产生了,并且成为近几年发展比较迅速网管技术之一。
另一方面,随着计算机网络技术的发展,计算机网络的规模和应用范围急剧扩大,网络所承担的任务愈来愈繁重。
如何成功地对网络进行管理,提高网络的性能和服务质量,已成为一项迫切的任务。
国际上的Internet组织为网络管理制订了SNMP(简单网络管理协议),这一协议由于其简单和易操作性,而得到了广泛的应用,并且已成为事实上的标准。
2.6应用服务设计
三十四中的网络设计中共有三种服务器OA办公系统服务器、WEB服务器、邮件服务器。
服务器上系统的开发与设计交予软件开发人员完成。
2.6.1应用服务器的部署
WEB服务器部署在DMZ区内,其他两台服务器分别部署在两个不同网段上。
其中WEB服务需要提供一个外网地址以对外提供服务。
第三章物理设计
3.1网络设备选型
根据网络设计及预算我们可以得出我们这次规划所需要的设备有4台以太网交换机、一台三层交换机、一台路由器、一台防火墙、一台OA服务器、一台WEB服务器、一台邮件服务器。
防火墙采用CISCOASA5505-K8防火墙:
CiscoIOS防火墙特性集为每一个网络周边集成了稳健的防火墙功能性和入侵检测,丰富了CiscoIOS安全功能。
如果与CiscoIOSIPSec软件和其他基于CiscoIOS软件的技术(例如L2TP隧道和服务质量[QoS])相结合,CiscoIOS防火墙特性集可以提供一个全面、集成的虚拟专用网络(VPN)解决方案。
CiscoIOS软件可用在广泛的Cisco路由器平台上,允许客户根据带宽、LAN/WAN密度和多种服务需求选择路由器平台,同时从先进的安全性受益。
当人们寻求利用Internet无与伦比性能的同时,他们需要安全的解决方案来:
◆保护内部网络,防止黑客入侵。
◆提供安全的Internet和远程访问连接。
◆通过WorldWideWeb启动网络贸易。
三层交换机采用CiscoCatalyst6500:
Catalyst6500系列为企业园区网和电信运营商网络设立了新的IP通信和应用支持标准,它不但能提高用户的生产率,增强操作控制,还能提供无与伦比的投资保护。
作为思科重要的智能多层模块化交换机,Catalyst6500系列能够提供安全的端到端融合网络服务,其使用范围从布线室到核心,再到数据中心和广域网边缘。
CiscoCatalyst6500系列能够通过多种机箱配置和LAN/WAN/MAN接口提供可扩展的性能和端口密度,因而能帮助企业和电信运营商降低总体拥有成本。
CiscoCatalyst6500是Cisco旗下最经典的高层交换机,其性能无与伦比。
二层交换机采用Cisco2960交换机
路由器采用Cisco2811路由器:
Cisco2811隶属于Cisco2800系列产品,与相似价位的前几代思科路由器相比,Cisco2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项,且大大提高了插槽性能和密度,同时保持了对目前Cisco1700系列和Cisco2600系列中现有90多种模块中大多数模块的支持,从而提供了极大的性能优势。
思科2811具有先进、集成的端到端安全性,以用于提供融合服务和应用。
凭借思科IOS软件高级安全特性集,它在一个解决方案集中提供了一系列强大的通用安全特性,如思科IOSSoftwareFirewall、入侵保护、IPSecVPN、SecureShell(SSH)协议2.0和简单网络管理协议(SNMPv3)。
思科2811提供了2个10Mbps/100Mbps端口,它能以线速为多条T1/E1/xDSL连接提供