XX学校网络建设设计方案.docx
《XX学校网络建设设计方案.docx》由会员分享,可在线阅读,更多相关《XX学校网络建设设计方案.docx(11页珍藏版)》请在冰豆网上搜索。
XX学校网络建设设计方案
XX学校网络建设设计方案
河北软件职业技术学院
吴梅梅
2010.4.11
一、项目背景3
二、网络拓扑图3
三、设备选型4
1.网络设备4
2.服务器4
3.网管系统4
4.存储设备4
5.安全产品5
6.设备清单5
四、系统实施规划和设计5
1.设备命名规则5
2.VLAN划分原则与规划5
3.IP地址规划6
4.路由协议规划9
5.网络安全规划9
6.VRRP与MSTP10
五、施工进度安排10
、项目背景
某大学有四座普通教学楼、一座多媒体教学楼、一座图书馆、三个学生宿舍,一座办公楼,一座实训楼。
为响应信息化建设要求,搞好信息化基础设施建设,现在全校范围内进行网络规划实施。
除普通教学楼外,其它地方都需要有网络覆
、网络拓扑图
三、设备选型
1.网络设备
由于该学校有1558个信息点,核心路由的负担较大,所以我们选择SR6602两台冗余配分,流量负载分担,每台SR6602分别连接一ISP运营商。
核心交换机采用S7502E两台冗余备份,该设备自身具有良好的可靠性设计,支持万兆模块,再加上两台冗余使网络可以达到电信级可靠性,保证业务不间断,同时具有良好的可扩展性。
汇聚层交换机采用S3100系列,能够很好的控制网络拓扑结构的变化,控制路由表的大小,环节核心层的压力,对于流量进行很好的控制,同时实现端口的收敛,实现丰富的业务特性。
接入交换机采用S1656系列,可提供千兆上行接口,提高内网用户,访问内网服务器的速度。
2.服务器
Web服务器、DN&艮务器、DHCP服务器和ftp服务器。
3.网管系统
采用H3CiMC在传统的网络管理系统的基础上,实现对IP用户、IP资源和IP业务的统一管理,为客户最终提供一系列面向安全控制、面向性能优化和面向运营管理的整体解决方案。
4.存储设备
H3CEX800适用于web数据库存储和多媒体编辑制作等应用系统,可提供中小型系统数据集中、Windows系统保护等。
5.安全产品
H3CSecPathT1000-S入侵防御系统,该设备能精确实时地识别、阻断或限制黑客、蠕虫、病毒、木马DOS/DDOS扫描、网络钓鱼、网游等网络攻击,还具有实用的带宽管理和url过滤功能,可以为用户网络提供最全面的深度防御。
6.设备清单
序列号
设备名称
设备型号
设备参数
数量
1
核心路由器
SR6602:
SR6602路由主机
\2\
2
核心交换机
S7502E:
S7502E主控板
2
3
汇聚交换机
S3100
2
4
接入交换机
S1656
48个10/100自协商的以太网
口
50
5
安全产品
H3C
SecPath
T1000-S
固定业务网口:
4X10/100/1000M以太网电口;可扩展业务口:
4X10/100/1000M以太网电口,4X1000MSF光口
1
6
存储设备
H3CEX800
管理口:
1个10/100自适用;业务接口:
4个10/100/1000自适用
1
7
网管软件
H3CiMC
管理软件1个
1
四、系统实施规划和设计
1.设备命名规则
为了保证以后管理的方便,采用如下的设备命名方法:
AA-BB-CC-DD其中
AA为设备所在网络中的位置,BB为设备的生产商,CC为设备型号,DD为设备的
号。
2.VLAN划分原则与规划
每个VLAN1个网段,每个网段的网关为254。
部门
主机数量
VLAN
IP地址(子网掩码255.255.255.0)
多媒体教学楼
68
Vlan2
192.168.2.1-192.168.2.253
图书馆
60
Vian3
192.168.3.1-192.168.3.253
60
Vian4
192.16841-192.1684253
学生宿舍楼
(一)
60
Vian5
192.168.5.1-192.168.5.253
60
Vian6
192.168.6.1-192.168.6.253
60
Vian7
192.168.7.1-192.168.7.253
学生宿舍楼
(二)
65
Vian8
192.168.8.1-192.168.8.253
P65
Vian9
192.168.9.1-192.168.9.253:
65
Vian10
192.168.10.1-192.168.10.253
65
Vian11
192.168.11.1-192.168.11.253
学生宿舍楼(三)
P60
Vian12
192.168.12.1-192.168.12.253:
60
Vian13
192.168.13.1-192.168.13.253
60
Vian14
192.168.14.1-192.168.14.253
办公楼
65
Vian15
192.168.15.1-192.168.15.253:
65
Vian16
192.168.16.1-192.168.16.253
65
Vian17
192.168.17.1-192.168.17.253
65
Vian18
192.168.18.1-192.168.18.2531
65
Vian19
192.168.19.1-192.168.19.253
65
Vian20
192.168.20.1-192.168.20.253
60
Vian21
192.168.21.1-192.168.21.2531
实训楼
60
Vian22
192.168.22.1-192.168.22.253
60
Vian23
192.168.23.1-192.168.23.253
60
Vian24
192.168.24.1-192.168.24.253
60
Vian25
192.168.25.1-192.168.25.253
60
Vian26
192.168.26.1-192.168.26.253
3.IP地址规划
1.设备管理地址
路由器采用LOOPBAC接口地址作为管理地址,交换机采用VLAN1的地址作
为管理地址。
设备名称
管理地址
掩码位数
HX-H3C-SR6602-1
10.0.0.1
32
HX-H3C-SR6602-2
10.0.0.2
32
HX-H3C-S7502E-1
10.0.0.3
32
HX-H3C-S7502E-2
10.0.0.4
32
HJ-H3C-S3100-1
10.0.0.5
24
HJ-H3C-S3100-2
10.0.0.6
24
JR-H3C-1656-1
10.0.0.7
24
JR-H3C-1656-2
10.0.0.8
24
JR-H3C-1656-3
10.0.0.9
24
JR-H3C-1656-4
10.0.0.10
24
JR-H3C-1656-5
10.0.0.11
24
JR-H3C-1656-6
10.0.0.12
24
JR-H3C-1656-7
10.0.0.13
24
JR-H3C-1656-8
10.0.0.14
24
JR-H3C-1656-9
10.0.0.15
24
JR-H3C-1656-10
10.0.0.16
24
JR-H3C-1656-11
10.0.0.17
24
JR-H3C-1656-12
10.0.0.18
24
JR-H3C-1656-13
10.0.0.19
24
JR-H3C-1656-14
10.0.0.20
24
JR-H3C-1656-15
10.0.0.21
24
JR-H3C-1656-16
10.0.0.22
24
JR-H3C-1656-17
10.0.0.23
24
JR-H3C-1656-18
10.0.0.24
24
JR-H3C-1656-19
10.0.0.25
24
JR-H3C-1656-20
10.0.0.26
24
JR-H3C-1656-21
10.0.0.27
24
JR-H3C-1656-22
10.0.0.28
24
JR-H3C-1656-23
10.0.0.29
24
JR-H3C-1656-24
10.0.0.30
24
JR-H3C-1656-25
10.0.0.31
24
JR-H3C-1656-26
10.0.0.32
24
JR-H3C-1656-27
10.0.0.33
24
JR-H3C-1656-28
10.0.0.34
24
JR-H3C-1656-29
10.0.0.35
24
JR-H3C-1656-30
10.0.0.36
24
JR-H3C-1656-31
10.0.0.37
24
JR-H3C-1656-32
10.0.0.38
24
JR-H3C-1656-33
10.0.0.39
24
JR-H3C-1656-34
10.0.0.40
24
JR-H3C-1656-35
10.0.0.41
24
JR-H3C-1656-36
10.0.0.42
24
JR-H3C-1656-37
10.0.0.43
24
JR-H3C-1656-38
10.0.0.44
24
JR-H3C-1656-39
10.0.0.45
24
JR-H3C-1656-40
10.0.0.46
24
JR-H3C-1656-41
10.0.0.47
24
JR-H3C-1656-42
10.0.0.48
24
JR-H3C-1656-43
10.0.0.49
24
JR-H3C-1656-44
10.0.0.50
24
JR-H3C-1656-45
10.0.0.51
24
JR-H3C-1656-46
10.0.0.52
24
JR-H3C-1656-47
10.0.0.53
24
JR-H3C-1656-48
10.0.0.54
24
JR-H3C-1656-49
10.0.0.55
24
JR-H3C-1656-50
10.0.0.56
24
2.设备互连地址规划
设备名称
IP地址
对端设备名称
IP地址
HX-H3C-SR6602-1
192.168.10.1
HX-H3C-SR6602-2
192.168.10.4
192.168.10.2
HX-H3C-S7502E-1
192.168.10.7
192.168.10.3
HX-H3C-S7502E-2
192.1683.10.13
HX-H3C-SR6602-2
192.168.10.5
HX-H3C-S7502E-1
192.168.10.8
192.168.10.6
HX-H3C-S7502E-2
192.168.10.12
HX-H3C-S7502E-1
192.168.10.9
HX-H3C-S7502E-2
192.168.10.14
192.168.10.10
HJ-H3C-S3100-1
192.168.10.17
192.168.10.11
HJ-H3C-S3100-2
192.168.10.21
HX-H3C-S7502E-2
192.168.10.15
HJ-H3C-S3100-1
192.168.10.18:
192.168.10.16
HJ-H3C-S3100-2
192.168.10.20
3.业务网段规划
每个VLAN一个网段,每个网段的网关是254.
部门
VLAN
多媒体教学楼
2
图书馆
3-4
学生宿舍楼
(一)
5-7:
学生宿舍楼
(二)
8-11
学生宿舍楼(三)
12-14
办公楼
15-21
实训楼
22-26
4.路由协议规划
路由协议采用OSPF动态路由协议,路由收敛速度快,不存在路由环路,可以动态感知网络拓扑结构的变化,保证网络业务不间断。
5.网络安全规划
1.NAT规划
NAT技术可以隐藏内部网路,提高内网的安全性,同时NAT可以让内网用户使用一个或几个公网地址就可以接入Internet,节省IP地址的同时也节省了用户投资。
NATSERVE可以把内网服务器映射到外网,使外网用户通过公网地址就可以访问内网的服务器,提高了内网服务器的安全性。
以上提到的两种NAT技术都在核心路由器上实现。
2.防内网ARP攻击
S3100-EI系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARPI报文实施网络中逐渐盛行的“中间人”攻击。
3.防私设DHCP艮务器
S3100-EI系列交换机可以利用DHCPsnooping的信任端口特性有效杜绝私设DHCP艮务器,保证DHCP艮务器环境的真实性和一致性。
4.访问控制
使用acl访问控制列表实现多媒体教学楼、图书馆实现全天可以访问公网,办公楼上班时间(&00-12:
00,14:
00-18:
00)不能访问外网的www服务。
宿舍楼上休息时间(0:
00-6:
00)不允许访问任何外网。
6.VRRP与MSTP
VRRR虚拟路由冗余协议)可以起到设备备份的作用,当一台核心设备坏掉后,另一台设备可以不间断的提供服务,保证业务的不间断性。
MSTP通过采用冗余链路保障网络可靠性,同时还可以根据不同的VLAN制定
不同的生成树实例,不同实例间单独计算生成树,保证不同实例有不同的根桥,从而实现在保障链路冗余的同时还可以起到流量负载分担的作用。
五、施工进度安排
序列号
任务名称
开始时间
完成时间
持续时间
1
r综合布线
2010411
2010.4.13
3天
2
设备安装
2010412
2010.4.13
2天
3
设备调试
2010416
2010.4.18
3天
4
:
现场技术培训
2010.4.19
2010.4.20
2天
5
项目验收
2010.4.23
2010.4.23
1天
升级会员 