校园网络组建设计方案.docx
《校园网络组建设计方案.docx》由会员分享,可在线阅读,更多相关《校园网络组建设计方案.docx(19页珍藏版)》请在冰豆网上搜索。
校园网络组建设计方案
网络工程专周
成都方联中学网络设计方案
设计人:
11521班第四组
指导教师:
小组成员:
设计时间:
2013--06--28
目录-1-
一、需求分析-1-
1.1工程项目概况-1-
1.2信息点分布情况-1-
1.3用户需求分析-3-
二、网络方案设计-4-
2.1网络拓扑结构介绍-4-
2.2校园拓扑图-5-
2.3校园光纤分布图-5-
2.4网络设计-6-
2.4.1核心层网络设计-6-
2.4.2汇聚层网络设计-6-
2.4.3接入层网络设计-7-
2.4.4广域网互联设计-7-
2.5综合布线-8-
三、IP地址规划-9-
3.1IP地址规划原则-9-
3.2方案特点-9-
四、网络技术选用-10-
4.1路由协议——OSPF-10-
4.2链路聚合技术-10-
4.3NAT的描述及策略路由的实现-11-
4.4ACL(访问控制列表)-11-
4.5VLAN(虚拟局域网)-12-
4.6网络QoS设计-12-
4.7VTP协议-13-
五、网络设备选型-13-
六、总结-14-
七、参考文献-17-
一、需求分析
1.1工程项目概况
学校为了加快信息化建设,新的校园网网将建设一个以校园办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将校园的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。
该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:
1.采用先进的网络通信技术完成校园网网的建设,实现校园各的信息化;
2.在整个校园内实现所有部门的办公自动化,提高工作效率和管理服务水平;
3.在整个校园内实现资源共享、产品信息共享、实时新闻发布;
4.在整个校园内实现财务电算化;
5.在整个校园内内实现集中式的供应链管理系统和客户服务关系管理系统;
具体要求如下:
Ø学院采用1000M做骨干,100M到桌面。
网络应有安全措施防止外部攻击。
Ø网络中心5台数据服务器将需要5个1000M接口,1台WEB服务器占用1个100M电接口,网管4台,需要4个100M接口,需要预留5个100M接口作为备用;校园监控系统需要4个1000M接口.
Ø办公区,教学区,教工宿舍,学生宿舍,图书馆,活动中心,这些区域的网络不能在同一个局域网中。
接入端要使用防火墙。
Ø学校要具有WWW服务、E-mail服务、FTP服务以及拨号上网服务。
Ø独立的校园内部行政管理系统、能实现多媒体教学和视频点播服务。
1.2信息点分布情况
该学校涉及20栋楼宇:
4栋宿办楼、1栋综合办公楼、东西2栋辅助办公楼、1栋教工食堂、东西4栋主教学楼主教学楼、1号综合实验楼、2号综合实验楼、4栋学生公寓楼、1栋学生食堂洗浴中心大楼。
网络中心设置在西辅助办公楼三楼。
(校园平面图如图1-1)
图1-1校园平面图
经统计后,获得信息点分布统计表
表1-1校园信息点分布统计表
1.3用户需求分析
为保证高带宽、又多种视频、音频、数据流混杂在一起进行传输,就要对流做出最高优先级和次高优先级及底优先级的分类,才能保证重要数据的畅通,不会造成网络延迟、服务不可用。
所以通过采用端到端的QOS,智能到边缘应用方式,可以减少对网络核心设备的消耗,这样保证了网络的有效畅通。
可以对园区网应用中的,多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。
对不同服务流进行详细的分类,划分优先级,以及尽可能地避免发生拥塞。
同时保证网络的高效运行,充分利用现有的带宽。
在园区网络中,存在多样的网络设备及系统应用环境,并且要考虑在用户迅速增长的今天,考虑到网络设备的可扩展性。
保证在多样网络设备,用户不断增加的环境中,仍能保证网络畅通。
所以万兆骨干网络平台就应具有良好的兼容性和可扩展性,能与当前校园网络无缝衔接,同时预留空间符合当前和以后的信息建设需要和足够的升级空间。
在校园网络建设中存在多用户,多服务的现状。
带来了对网络系统要求具有高效率等,以保证大数据量访问下有效的处理能力。
针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗。
使数据在独立的板卡上就能做出对数据的识别,这样比在中央处理器识别要快的多。
并在大量的数据应用,数据传输的过程中,要保证所有硬件设备都可以进行快速的转发,要具备高背板带宽(交换容量),所有端口都能保证线速转发。
这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。
为使网络稳定可靠,即使在设备出现问题时切换到备用设备的过程中,也要保证较小的延迟,以满足网络应用中的有效畅通的需要。
利用冗余的管理交换引擎、冗余的电源等关键部件的冗余,支持(802.1D、802.1W)802.1S多Vlan保证链路级的冗余和负载均衡,支持VRRP、OSPF等三层路由协议保证路由级的冗余。
全方位的完全保证了设备、网络、应用系统的可靠性。
该校园网的信息点分布很广,校园网用户的流动性大,信息点存在随意接入使用的问题。
学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。
另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。
为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。
由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。
二、网络方案设计
2.1网络拓扑结构介绍
在此次校园网的设计中,我们采用层次化模型,将整个网络分为三层结构来设计网络拓扑结构,将该层次结构和星型模型结合起来。
所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机
本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,采用了核心层,汇聚层,接入层的网络拓扑结构。
这样设计的优点是
(1)控制简单。
任何一站点只和中央节点相连接,因而介质访问控制方法简单,致使访问协议也十分简单。
易于网络监控和管理。
(2)故障诊断和隔离容易。
中央节点对连接线路可以逐一隔离进行故障检测和定位,单个连接点的故障只影响一个设备,不会影响全网。
(3)方便服务。
中央节点可以方便地对各个站点提供服务和网络重新配置。
基于目前学校规模及发展的角度考虑,骨干网络采用双核心的拓扑结构,核心层放置了双核心交换机是为了当其中一台设备出现问题的时候,另一台设备能够继续起作用,以保证校园网的畅通。
保证核心的稳定。
在西辅助办公楼采用万兆的三层交换机设备,汇聚层千兆连接接入中端交换机;服务器千兆接入到核心交换机上;百兆到桌面;ISP通过防火墙连接到核心交换机上。
出于管理和安全方面角度考虑,在全网可采用IP+MAC绑定方式,全网分布式采用ACL,并按照部门划分VLAN,划分相应的权限,保证学生机房用机对教学办公网没有访问权限,只能访问校内服务器及外网;IP分配:
在办公区采用静态IP划分,在学生区及移动性较大的办公区可补充性采用DHCP动态获得IP地址。
2.2校园拓扑图
图2-2校园拓扑图
2.3校园光纤分布图
图2-3校园光纤分布图
注:
根据校园平面图和拓扑图情况来看,把汇聚层设备间放在图书馆大楼,东主教学2号楼和综合办公楼中,通过光纤连接网管中心到各个汇聚层设备间,然后再通过光纤连接到个接入层各设备间。
2.4网络设计
2.4.1核心层网络设计
网络中心节点及其它核心节点作为校园网络系统的心脏,必须提供全线速的数据交换,当网络流量较大时,对关键业务的服务质量提供保障。
另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。
具体来说核心节点的交换机有两个基本要求:
1)高密度端口情况下,还能保持各端口的线速转发;2)关键模块必须冗余,如管理引擎、电源、风扇。
由于校园网对外传输的数据是巨大的,所以我们需要考虑校园网对外出口的带宽大小的问题,因此需要考虑到核心设备对万兆的支持能力。
综上所述,主干核心交换机属于高端系列的产品,所以在本方案中,核心交换机建议采用多业务万兆核心路由交换机。
可以根据用户的需求灵活配置,灵活构建弹性可扩展的网络。
所以我们使用两台DCRS-7604(R3)的交换机组成一个环形多机热备份的核心交换机系统解决方案。
DCRS-7604(R3)核心路由交换机是神州数码推出的万兆核心路由交换机,DCRS-7604(R3)核心路由交换机在保障高性能大容量的基础上提供强大的安全防护能力,并且拥有业务按需叠加扩展能力,达到业务和性能并重的设计需求。
目前提供4插槽核心路由交换机机箱,电源1+1冗余,标配1个MRS-PWR-A1-AC交流电源,1个热插拔风扇盘。
。
核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑,从而实现带宽的灵活扩展。
为用户提供完整的端到端解决方案,是大型网络核心骨干和大流量节点交换机的理想选择,在此方案中,校区网络中心采用DCRS-7604(R3)多业务万兆核心路由交换机作为核心交换机。
核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑,从而实现带宽的灵活扩展。
2.4.2汇聚层网络设计
以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或核心层设备,这给汇聚层和核心层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致核心层设备瘫机,使网络没有QOS服务质量保障。
DCS-5950接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。
用户可以根据需要来订制自身的安全策略并部署在此交换机上。
该产品具备的端口带宽限制、端口镜像、QoS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。
除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。
汇聚层作为汇聚接入层的设备,推荐使用中端路由交换机设备,神州数码的DCRS-5950-24(R3)交换机满足此要求。
2.4.3接入层网络设计
接入层通常指网络中直接面向用户连接或访问的部分。
接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。
DCS-3950二层交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。
用户可以根据需要来订制自身的安全策略并部署在此交换机上。
该产品具备的端口带宽限制、端口镜像、QoS、端口安全等功能可以很好的协助用户实现网络的管理和维护。
除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。
此处我们选用神州数码的DCS-3950-52C和DCS-3950-28C交换机,信息点少的大楼我们选择具有24口以太网接口的DCS-3950-28C,信息点多的地方选用48口以太网接口的DCS-3950-52C交换机。
并且选了10台神州数码的无线路由器以提供无线方式接入互联网。
2.4.4广域网互联设计
由于从ISP连接到学校的核心交换机的带宽是非常的高的,所以此处我们为两台核心交换机选择了两个神州数码的XFP-ER万兆接口卡模块,以满足带宽需求。
由于学校校园网络需要对外出口, 所以学校校园网的设计需要考虑到网络安全的问题,一般情况,我们将硬件防火墙放在网络对外出口的地方。
针对该校园的规模,我们这里选用DCFW-1800S-H-V2(R3)小型企业级防火墙神州数码DCFW-1800S-H-V2(R3)防火墙,网络吞吐量为200Mbps,并发连接数为256000,同时能检测Dos、DDos,能管理SSH、HTTP、HT、等。
也支持VPN技术。
神州数码DCFW-1800S-H-V2(R3)防火墙内置5个10/100/1000M自适应以太网电口,接口模块类型支持单模、多模光纤,千兆电口,充分满足您的定制需求。
同时采用流量控制技术,能方便流量管理,并与防火墙一起,等网络安全设备协同构建一个主动的安全威胁防御体系的功能,以提升整个网络的安全防护能力,从而更好地保证网络流量。
2.5综合布线
2.5.1布线系统设计
结构化布线应该满足以下目标:
1.满足学院各大楼主要需求,同时兼顾未来升级能更好的实施
2.满足当前和长远的数据传输要求,兼顾质量。
3.布线系统遵循国际标准和国家建设部门和电信部门标准,根据逻辑设计中的拓扑星型结构采用国际标准施工。
4.布线设备的安装将支持语音、文本、视频等综合数据的高质量传输,重点强调各设备的兼容问题。
5.布线系统信息出口主要才用现在流行的通用RJ45接口插座,按统一规格进行线路铺设和连接接口,使之数据畅通。
2.5.2各设备间布线设计:
例.办公大楼综合布线图:
三、IP地址规划
3.1IP地址规划原则
IP地址构成了整个Internet的基础,IP地址资源是整个Internet的基本核心资源,IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。
因为校园内部网络是使用的私有地址,所以这里直接使用了C类的192.168.0.0/24地址来划分。
在内部网络出口处,采用了获得的个公网地址,进行动态NAT转换,这样便能实现全部通信。
该校园因为各个部分信息点都不算太大,所以用普通的C类地址便可。
所以IP地址及VLAN划分如下:
3.2方案特点
本IP分配方案充分考虑了信息点数量,做到了能让学校的每个信息点都能得到IP地址
本IP分配方案为每个区域分配了远远大于学校要求的信息点的数量的IP地址,为以后增加网络信息点做好准备。
分配方案采用了虚拟局域网网技术,使各个区域的网络不在同一个局域网,增强了网络的安全性,并让某些不在同一个地点的网络能处在同一个局域网内,为网络的使用带来便利。
四、网络技术选用
4.1路由协议——OSPF
在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而需要路由协议时,我们采用OSPF协议作为路由协议。
OSPF是一种典型的链路状态路由协议。
采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。
因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议——OSPF。
目前广为使用的是OSPF第二版,最新标准为RFC2328。
OSPF作为一种内部网关协议(InteriorGatewayProtocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。
区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。
4.2链路聚合技术
链路聚合技术,支持IEEE802.3协议,是一种用在交换机与交换机之间扩大通信吞吐量、提高可靠性的技术,也称骨干连接。
当两台中心交换机采用聚合链路Port Trunking技术后,该技术可以使交换机之间连接最多4条负载均衡的冗余连接。
当某一台核心交换机出现故障或核心交换机与接入层/汇聚层交换机的某一条互联线路出现故障时,系统将通信业务快速自动切换到另一台正常工作的核心层交换机上,以使整个网络具备高容量、无阻塞、高可靠的能力。
作为一个较为完整的校园网实现,路由、交换与远程访问技术缺一不可。
4.3NAT的描述及策略路由的实现
在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地址,但是使用私有地址不能访问Internet,所以必须申请多个公开地址配置在和Internet相连的局域网边缘设备上。
应用NAT进行地址转换。
NAT是网络地址翻译技术,在路由器上起用NAT之后,可以在部私有地址和外部公网地址之间做转换。
比如我们可以把网络内部使用的IP翻译成外部公网的IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于IP地址,应用程序,协议或者分组长度的条件。
基于策略的路由选择命令对中选的路由实现策略。
基于策略的路由和静态路由有很多共同之处。
然而,静态路由根据目标网络地址来转换分组,而策略路由根据源地址来转发分组。
在路由选择表中使用访问列表时,可根据诸如目标地址,分组长度,IP协议字段,优先级或端口号来转发数据流。
这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下一跳路由器。
4.4ACL(访问控制列表)
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这个包。
我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策略,防止网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到ACL分为两种类型,他们分别是标准访问列表(Standardaccesslists)和扩展访问列表(Extendsaccesslists)前者在过滤网络的时候只使用IP数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP地址,它无法区分具体的流量类型。
而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,比如对WEB,FTP的访问等,给我们网络的策略提供了更细的控制手段。
我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。
标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。
4.5VLAN(虚拟局域网)
VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个逻辑层次的划分。
从技术上说VLAN可以分为静态VLAN和动态VLAN,那么静态的VLAN是基于交换机端口进行划分,根据网络设备连接不同的交换机端口,则进入相应的VLAN。
动态VLAN则更灵活,它可以根据接入计算机的IP地址,MAC地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的VLAN中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。
那么在我们的
企业网方案中,我们希望通过使用VLAN技术进行划分达到以下目的:
隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。
4.6网络QoS设计
为确保教学区数据流量的高质量传输,必须采取全面而系统的QoS设计(提供端到端QoS服务),以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时;为了保证端到端用户的服务质量,因此要求端到端数据流经的所有网络设备都支持实施的QoS策略,核心设备是多个服务器接入的设备,并且担负着全网数据的交换,QoS的能力影响着全网的服务质量保障能力。
QoS工作原理如图所示
在骨干网络网络中,由于信息资源集中于骨干网络网络中心,为保证全网的QoS,要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS标注方案,而二层的802.1P标记对于骨干网络这样的网络并没有实际意义,因为802.1P的标记不能在交换机之间传递,只能在本机上有用。
通过从核心到接入设备全程对QoS的良好支持,全部硬件提供二到四层数据流交换,实现应用感知的功能,给予多媒体办公应用提供透明的QoS保障,确保真正的端到端的QoS的实现。
4.7VTP协议
我们为网络中划分了大量的VLAN,但在校园网络的交换机数量又不止一台两台的情况下,我们为每台交换机都手动配置VLAN的工作量将会是巨大的,所以我们采用了VTP技术,VTP提供了一种用于管理全部VLAN的方法,该协议使得我们可以在一个或者几个中央点上创建,修改,删除VLAN,这些信息通过TRUNK链路自动扩散到其他交换机。
这样,我们就不必到每台交换机上去配置VLAN信息。
大大简化了网络建设的工作量。
五、网络设备选型
表2-2-4.1设备清单
表2-2-4.2模块及其他
六、总结
通过一周的训练,我明白了做任何事都不是一件容易的事情,都要经过周密的论证、谨慎的决策、紧张的施工和科学的管理。
学习也不是简单的事,任何一件看起来简单的事情,想要把它做好,都要付出很大的努力,就像拓扑图和光纤分布图,都是经过一遍又一遍的修改才算弄对。
一个看似简单的word文档,都蕴含很大的学问,想要写好也需要付出。
所以,当你付出的越多,收获也就越多。
其次就是团队的合作,要明确每个人的优点,再合理地分配工作,“投其所好”很重要。
但是最大的还是成员的态度问题,有的是即使不会,也会努力去学习,但是也有不愿意加入一起学习的同学。
通过这次专周,我发现自己最大的缺点就是东西都会一点,但是都学得很肤浅。
要不是老师一步一步的指导,可能我们的成果也会很差,所以还是很感谢老师的指导。
---胡甜
本人通过专周训练,使我接触到了很多没有接触过的新知识,同时也学到了很多,增长了见识,也认识到当设计师的不容易,当优秀的网络设计师更加不容易,更加认识到自己对相关知识的匮乏,以后还需要更多的努力,学习更多的专业知识。
虽然我们尽了最大的努力,但是由于经验不足,及学习过程中的疏忽,错漏之处在所难免,从整体上说,我们通过以上的分析布局已基本上展现了网络工程硬件设计的全部过程,但是我们讨论课题的局限性,还有很多的网络技术没有提到,如VPN,又如路由器的安装与使用等等。
由于建立了校园网,一方面缩短了学校与外界的距离,利用电子邮件和Internet网站等服务,扩大了学与外界的交流;另一方面,构建了以Intranet为基础的管理信息系统,推动了学校的信息化建设,为学校今后的发展准备了条件。
随着学校的校园网建设的普及化,学校将会进入一个科学管理和科学教学的新时代
。
---胡凯强
这次网络工程专周我在我们组主要负责IP地址的分配和V-lan划分,好在这个比较基础并且网络拓扑结构和综合布线由其他人完成。
这样只要像以前专周或者平