校园网网络工程实施方案.docx
《校园网网络工程实施方案.docx》由会员分享,可在线阅读,更多相关《校园网网络工程实施方案.docx(55页珍藏版)》请在冰豆网上搜索。
校园网网络工程实施方案
校园网网络工程实施方案
第一章、总体设计
1.1用户需求
此网络工程所要达到的要紧目标如下:
(1)支持全校现有的运算机,连接校园内实验大楼、行政大楼、电教大楼、图书馆和成教大楼等,将本校现有的及今后要配置的各种PC、工作站和终端通过高性能的网络设备连接起来,组成分布式、开放性的网络环境,以提高教育科研水平。
(2)充分利用原有的主干光缆和楼内布线系统,将目前的百兆主干快速以太网升级到千兆主干、百兆交换到桌面的高速交换式以太网。
同时,爱护原有网络设备投资,将目前运行的IBM公司系列网络产品有效地集成到升级系统中。
(3)在Internet互连网络系统平台上,以数据库、Web、电子邮件、为基础的系统;并构建内部Intranet系统,与已有系统实现互联。
(4)网络与数据安全是目前运算机信息技术所面临的重要挑战,解决安全问题的技术与方案有专门多,通过防火墙、webcache服务器建设确定完整统一的安全策略〔SecurityPolicy〕也是校园网可靠运行的保证。
(5)考虑与其它学校、科学教育网络相连,可通过CERNET与国内外其它网络相连接、实现远程教学。
(6)网络具有友好、一致的用户界面和丰富的治理应用系统。
(7)在网络升级基础上规划相应的应用系统,具体包括:
◇学校网站的建设
◇OA〔办公治理〕系统建设:
电子邮件、公文处理、档案治理、会议治理、电子公告、电子论坛、备忘信息等
◇多媒体辅助教学系统
◇连接原有图书治理系统
◇VOD视频点播及视频会议系统
1.2实施的目的
分析用户需求,可知该网络工程所含的内容包括:
(1)运用虚拟网技术,建设杭电校园千兆主干网,使其覆盖全校各要紧建筑物,将学校内各种PC、LAN连接为一个结构合理、内外连通,并支持多种协议和异种机的园区网。
(2)通过在信息中心代理服务器的设立与科教网相连并可与Internet互连。
(3)新校区的由于其与科教网相连的专门性,因此可分别设立独立的三个代理服务器与Internet互连。
(4)依照科学的安全策略,通过CiscoPIX520防火墙配置,从而有效的隔绝内网和外网,但同时又能实现公网对杭电校内网站和对外开放资源的访问。
(5)通过CacheEgeine505与Cisco6506之间WCCP配置建立高速的Internet访问通道。
(6)通过CiscoWorks网管软件实施有效的网络治理。
1.3系统设计原那么
·连续性原那么:
充分利用现有资源〔包括现有的网络、运算机和应用资源〕,使系统既能与前期系统相衔接,同时具有一定的可扩充性,为后期工作打下基础。
·有用性原那么:
在保证使用要求和技术可行性的前提下,要选择易于操作、治理、见效的设计和设备。
·安全保密原那么:
设计中应注意各个环节的安全保密,统筹规划,不可偏废。
·信息共享原那么:
设计必须考虑信息在一定的条件下、一定范畴内的共享。
·先进性原那么:
系统建设要与当今先进的运算机网络进展技术相适应,保证系统的先进性、开放性、高可靠性和可扩展性的有机结合。
1.4设计依据和规范
主机和网络设备的选型符合以下国家和组织的技术标准和规范:
·GB:
中华人民共和国国家标准
·ISO:
国际标准组织
·ITU-T:
国际电信联盟
·IEEE:
国际电气与电子工程师协会
·EIA:
电气工业协会
·IEC:
国际电工协会
1.5网络设备服务卡
〔见附件〕
1.6系统软件登记表
〔见附件〕
第二章、杭电网络工程施工打算
2.1要紧设备清单
杭电校园网升级改造工程网络主干设备清单:
No.
ProductNo.
Description
Qty
1
Ws-c6506
Catalyst6506chassis
1
2
WS-CAC-1300
Catalyst6506Chassisw/1300WACPowerSupply
1
3
WS-X6K-S2-MSFC2
Catalyst6000SupervisorEngine2-A,2GE,plusMSFC-2&PFC
1
4
WS-X6408-GBIC
Catalyst60008-portGigabitEthernetModule(Req.GBICs)
1
5
WS-G5484
1000BASE-SX"ShortWavelength"GBIC(Multimodeonly)
6
6
WS-X6348-RJ-45
Catalyst600048-port10/100RJ-45Module
1
7
WS-C6500-SFM
Catalyst6500SwitchFabricModel
1
8
WS-C3524-XL-EN
Catalyst3524XLEnterpriseEdition
3
9
WS-C3548-XL-EN
Catalyst3548XLEnterpriseEdition
2
10
WS-G5484
1000BASE-SX"ShortWavelength"GBIC(Multimodeonly)
7
11
CISCO3640
Cisco36004-slotModularRouter-ACwithIPSoftware
1
12
NM-2FE2W
210/100Ethernet2WANCardSlotNetworkModule
1
13
PIX-520-1K-CH
MidrangePIXFirewall520,two10/100EnetNICs
1
14
CE-550
CacheEngine550
1
15
CWW-5.0
Ciscoworksforwindows6.0
1
16
JSX-FM-2W
IBM82742PortGigabitEthernetModule
1
Total
2.2施工打算表
·系统设备列表
☆Cisco6506主交换机
☆Cisco3524二级换机
☆Cisco3548二级换机
☆CiscoPIX520防火墙
☆CacheEngine550
☆Cisco3640路由器
环境检查〔10分钟〕
☆UPS
☆电源质量
☆温度和湿度
☆接地系统电阻要求
设备开包〔60分钟〕
主交换设备
二级交换设
路由器
防火墙
电源线缆
系统上电〔20分钟〕
cisco6506主机系统〔10分钟〕
各CISCO3500系列主机〔60分钟〕
系统上电正常以及上电失败的相应动作
对比系统订单检查系统的功能部件〔30分钟〕
中央处理器
内存
磁盘〔内置以及外置〕
设备/适配器
操作系统安装〔150分钟*2〕
升级Cisco3640IOS操作系统的〔150分钟〕
安装在线关心,包括Info,电子书籍,配置书籍搜索程序
第三章、杭电网络工程施工过程
3.1网络设备详细信息和IP地址分配表
(见附表)
3.2VLAN间访问规那么
注:
默认情形下VLAN间的IP包访问不受限制
3.3施工流程
以下是本次工程中网络设备的施工流程图
3.4施工过程
3.4.1Catalyst6506的安装过程
模块安装
安装6506的电源模块;
☆WS-X6K-S1A-MSFC2;
☆WS-X6408-GBIC;
☆WS-G5484;
☆WS-X6248-RJ-45;
☆WS-C6500-SFM
CiscoCatalyst6506由工厂依照定货单直截了当安装好标准配置的模块,但电源、路由等尚未安装,因此第一将待安装的各模块拆开,装入6506的电源插槽。
上电检查6506的各个模块的工作状态是否正常:
接入6506电源,由于6506有两个电源作为冗余,因此最好两个电源分别接入两路UPS电源上,如此即使当UPS其中一路电源故障时,可不能阻碍整个6506交换机的正常远行,当6506交换机上电初始化终止后,从各个模块面板上的LED灯的状态能够判定各个模块的工作状态是否正常。
3.4.2配置Catalyst6506的系统参数
当6506交换机初始化终止后,就进入系统单机配置时期。
关于6506来说,第一需要配置系统参数,其中包括以下几个部分:
机器名、口令和远程登陆等。
以下是具体配置过程:
cisco6506>enable
cisco6506>〔enable〕setsystemnamecisco6506
说明:
配置6506的名字为CISCO6506
cisco6506>enable
cisco6506>〔enable〕setenablepasswordcisco
说明:
配置6506的enable口令为cisco
cisco6506>enable
cisco6506>〔enable〕setinterfacesc01192.168.9.3/255.255.255.0
cisco6506>〔enable〕setiproute0.0.0.0/0.0.0.0192.168.9.254
说明:
配置6506的CPU模块上的以太网IP地址为:
192.168.9.3,且只承诺本网段任何地址存取
3.4.3配置Catalyst6506的VLAN
网络IP地址分配策略
杭电校园网是覆盖全院的广域网络,其网络主干连接的节点多,因此,要保证网络的有效性和可治理性,网络地址的规划与分配是十分重要的问题。
网络地址是一种资源,必须通过优化的规划和设计,因为专门难推测网络今后的规模和应用情形的进展,假如规划不当,将导致地址资源不够用,网络的扩展将受到极大的限制;假如规划过于庞大,那么在现行运行过程中,网络的路由将会复杂,阻碍网络的效率。
网络地址的分配应遵循以下的原那么:
◇唯独性:
在同一个互联网络内网络地址应该保持其唯独性;
◇简单性:
地址的分配应该简单,幸免在主干上采纳复杂的掩码方式;
◇连续性:
为同一个网络区域分配连续的网络地址,便于缩减路由表的表项,提高路由器的处理效率,这种技术称为地址叠合〔Summarization〕;
◇可扩充性:
为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍旧能够保持地址的连续性;
◇灵活性:
地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;
◇可治理性:
地址的分配应该有层次,某个局部的变动不要阻碍上层、全局。
在对一个具体部门拥有的某个或几个子区划分子网时,要依照本部门的具体应用需求来合理分配子网资源,同时要留有一定的余地,这要从子网数和某一个子网所拥有的最大主机数两个方面来考虑。
依照我们对杭电校园网的网络地址规划和分配的了解,我们采纳以C类地址为主B类地址为辅的地址分配原那么。
前二位〔192.168〕作为公共网络地址,第三位作为各VLAN的地址,并第四位的〔254〕作为各VLAN的网关
〔地址分配表见附表〕
杭电运算机网络依照业务功能的不同,能够分为51个VLAN,51个VLAN各自独立,分别属于不同的广播域,默认情形下不同VLAN间可互相访问,依照不同安全策略,access-list表可作访问操纵
楼幢
机构
端口分配
VLANID
VLAN命名
网关
行政楼
党政办领导
1-18
VLAN10
DangZheng
192.168.10.254
人事处
19-24
VLAN11
RenShi
192.168.11.254
教务处
25-27
VLAN12
JiaoWu
192.168.12.254
科研财务
28-32
VLAN13
Xz_1_west
192.168.13.254
研究所
33-36
VLAN14
YanjiuSheng
192.168.14.254
组织、宣传、综合
37-42
VLAN15
XuanChuan
192.168.15.254
离休等
192.168.16.254
纪监、后勤、高教等
43-46
VLAN17
Xz_2_west
192.168.17.254
电教
CAD
1-2
VLAN18
Cad
192.168.18.254
电教
3-4
VLAN19
DianJiao
192.168.19.254
运算中心
5-10
VLAN20
Computer_Center
192.168.20.254
408自备房
11-14
VLAN21
Student
192.168.21.254
楼幢
机构
端口分配
VLANID
VLAN命名
网关
实验楼
文理学院
1-2
VLAN22
WenLi
192.168.22.254
机电分院
3-4
VLAN23
JiDian
192.168.23.254
自动化分院
5-6
VLAN24
ZiDongHua
192.168.24.254
财经分院
7-8
VLAN25
Caijing
192.168.25.254
治理分院
9-10
VLAN26
GuanLi
192.168.26.254
运算机分院
11-12
VLAN27
JiSuanJi
192.168.27.254
电子分院
13-14
VLAN28
DianZi
192.168.28.254
通信分院
15-16
VLAN29
Tongxin
192.168.29.254
信息分院
17-18
VLAN30
XinXi
192.168.30.254
CAE所
19-20
VLAN31
CAE
192.168.31.254
设备处
21-22
VLAN32
SB_other
192.168.32.254
网管
23-35
VLAN37
NIC_1(服务器)
192.168.37.254
37-42
VLAN33
NIC_2〔备用〕
192.168.33.254
43-48
VLAN46
NIC_3〔学生〕
192.168.46.254
运算机分院
1-2
VLAN38
proxy
192.168.38.254
3-4
VLAN39
computer_1
192.168.39.254
5-6
VLAN40
computer_2
192.168.40.254
7-8
VLAN41
computer_3
192.168.41.254
9-10
VLAN42
computer_4
192.168.42.254
11-12
VLAN43
computer_5
192.168.43.254
13-14
VLAN44
computer_6
192.168.44.254
楼幢
机构
端口分配
VLANID
VLAN命名
网关
图书馆
服务器
VLAN45
LIB_server
192.168.45.254
客户端
1-24
VLAN36
Lib_1
192.168.36.254
具体配置过程如下:
cisco6506>〔enable〕setvtpdomainhzdzgxy
cisco6506>〔enable〕setvtppasswdcisco
cisco6506>〔enable〕setvlan10namedangzheng
cisco6506>〔enable〕setvlan11namerenshi
cisco6506>〔enable〕setvlan12namejiaowu
cisco6506>〔enable〕setvlan13namexz_1_west
cisco6506>〔enable〕setvlan14nameyanjiusheng
cisco6506>〔enable〕setvlan15namexuanchuan
cisco6506>〔enable〕setvlan16namexz_other1
cisco6506>〔enable〕setvlan17namexz_other
cisco6506>〔enable〕setvlan18namecad
cisco6506>〔enable〕setvlan19namedianjiao
cisco6506>〔enable〕setvlan20namecomputer_center
cisco6506>〔enable〕setvlan21nameshudent
cisco6506>〔enable〕setvlan22namewenli
cisco6506>〔enable〕setvlan23namejidian
cisco6506>〔enable〕setvlan24namezidonghua
cisco6506>〔enable〕setvlan25namecaijing
cisco6506>〔enable〕setvlan26nameguanli
cisco6506>〔enable〕setvlan27namejisuanji
cisco6506>〔enable〕setvlan28namedianzi
cisco6506>〔enable〕setvlan29nametongxin
cisco6506>〔enable〕setvlan30namexinxi
cisco6506>〔enable〕setvlan31namecae
cisco6506>〔enable〕setvlan32namesb_other
cisco6506>〔enable〕setvlan33namenic_2
cisco6506>〔enable〕setvlan34namechengjiao
cisco6506>〔enable〕setvlan35namelib
cisco6506>〔enable〕setvlan36namelib_1
cisco6506>〔enable〕setvlan37namenic_1
cisco6506>〔enable〕setvlan38nameproxy
cisco6506>〔enable〕setvlan39namecomputer_1
cisco6506>〔enable〕setvlan40namecomputer_2
cisco6506>〔enable〕setvlan41namecomputer_3
cisco6506>〔enable〕setvlan42namecomputer_4
cisco6506>〔enable〕setvlan43namecomputer_5
cisco6506>〔enable〕setvlan44namecomputer_6
cisco6506>〔enable〕setvlan45namelib_server
cisco6506>〔enable〕setvlan46namenic_3
cisco6506>〔enable〕setvlan48namedialup
cisco6506>〔enable〕setvlan50name408
cisco6506>〔enable〕setvlan51namewytype
cisco6506>〔enable〕setvlan999namecache
!
说明:
设置6506的VLAN名字和VTP模式
cisco6506>〔enable〕settrunk2/1nonegotiateisl1-1005,1025-4094
cisco6506>〔enable〕settrunk2/2nonegotiateisl1-1005,1025-4094
cisco6506>〔enable〕settrunk2/3nonegotiateisl1-1005,1025-4094
cisco6506>〔enable〕settrunk2/4nonegotiateisl1-1005,1025-4094
cisco6506>〔enable〕settrunk2/5nonegotiateisl1-1005,1025-4094
cisco6506>〔enable〕settrunk2/6nonegotiateisl1-1005,1025-4094
cisco6506>〔enable〕settrunk2/7nonegotiateisl1-1005,1025-4094
cisco6506>〔enable〕settrunk2/8nonegotiateisl1-1005,1025-4094
说明:
设置6506的第二模块1-8口为主干模式,并采纳ISL协议并不可磋商。
3.4.4配置配置6509交换机的三层交换模块
当在6506上划分了VLAN以后,桌面工作站就能够依照不同的需求分别加入到对应的VLAN中去,不同的VLAN的客户机就分别属于不同的广播域,有各自不同的IP地址段,当需要跨网段互相访问时,就必须通过路由。
6506能够带三层交换MSFC模块,本系统中由于在6506上有一个超级引擎上配置了一块MSFC模块,随着杭电运算机网络的进展,系统可能的情形下,就能够利用CISCO的HSRP协议作热备份,再配置一台或者多台支持HSRP协议的三层交换机,即当其中任何一块MSFC模块故障时,另外一块能够赶忙接替原先的模块连续工作,切换时刻专门短。
我们可实现51个VLAN分别优先运行在多个三层路由模块上,如此在系统无故障时,能到达路由数据负载分担的目的。
3.4.5配置6506交换机VLAN间的访问规那么
当数据在VLAN间路由时,出于对各独立系统的安全考虑,在各VLAN路由端口上应用访问列表,使VLAN之间的数据按规那么通过。
针对每个VLAN的所属机构将安全规那么量化,再依次应用在端口上。
Access-list1permitanyany
其他VLAN的访问规那么见最后的具体配置。
3.4.6配置6506交换机的CDP和SNMP
当交换机需要被网管时,必须配置交换机的CDP和SNMP参数,其中CDP协议是CISCO公司特有的一种协议,而SNMP是标准的简单网络治理协议。
其中SNMP协议需要有一个COMMUNITYNAME操纵对交换机的读写,在本次工程中,我们定义了以下的COMMUNITYNAME:
READWRITE:
PRIVATE
READONLY:
PUBLIC
以下是具体配置命令:
cisco6506>enable
cisco6506>(enable)setcd
升级会员 