校园网解决方案.docx
《校园网解决方案.docx》由会员分享,可在线阅读,更多相关《校园网解决方案.docx(13页珍藏版)》请在冰豆网上搜索。
校园网解决方案
软件学院
局域网实验报告
实验名称:
校园网解决方案
专业:
网络系统管理
班级:
网络101班
制作人:
李晓青
学号:
************
*******
2011年12月6日
校园网解决方案
一.校园网建设的概述
校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园园区内部的Intranet系统,对外通过路由设备接入广域网。
学校现有教职工1500人,各类在校生15000余人,每年以5%的比例增长。
校园占地1460亩,分南区、北区和西区三个校区,18个学院分布在3个校区。
其中网络中心、亚太、国教位于北区,软件学院位于西区,其余学院位于南区。
二.校园网络需求分析
设计一个网络,首先要为用户分析目前面临的主要问题,确定用户对网络的真正需求,并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术,提供用户满意的高质服务。
此校园网的建设将基于以下要求:
(1)网络中心向外提供各种标准化信息化的服务,各个学院也自行向互联网发布学院信息并负责自己学院的信息服务,每个学院拥有约1500台PC。
(2)学校从CERNET申请一段IPv4地址202.196.0.0/18,从CNC上申请一段IPv4地址125.10.0.0/21。
(3)考虑到地址较少,人数太多,因此建议使用私有地址和NAT。
,每个学院分配2个C类CERNET地址,其余归网络中心分配使用;每个学院分配1个/26的CNC地址,其余归网络中心分配使用。
(4)采用三层结构为设计校园网,采用主流以太网技术;选用万兆交换机;采用OSPF路由协议和SNMP网络管理协议。
(5)选用万兆以太网连接3个校区作为高速主干;采用千兆以太网作为各园区的主干,形成大学校园网的汇聚层,选用百兆以太网作为接入层。
(6)大学校园网与因特网具有统一接口,即通过千兆以太网接入CERNET和CNC。
三.校园网网络设计方案
3.1校园网网络结构拓扑
校园网采用三层结构设计,网状、星型相结合的拓扑结构其中,核心层作为校园网的主干网,为了增加网络的可靠性,可以采用网状拓扑,汇聚层也可以考虑部分冗余,接入层应该是星型拓扑。
网络中心设在北区亚太楼,使用了两台核心交换机,其中一台作为冗余设备,以保证网络的可靠性;设立了DMZ区,以保证网络的安全性。
路由器、防火墙和核心交换机构成了校园网的核心,也就是我们平常说的网络中心。
选用了万兆以太网连接3个校区作为高速主干;采用千兆以太网作为各园区的主干,形成大学校园网的汇聚层;选用百兆以太网作为接入层。
由此设计拓扑如图1所示。
图1校园网络三层结构拓扑
3.2西区校园网网络结构拓扑
每个园区的网络结构设计依然是以三层结构为原则,万兆以太网从北区网络中心出来连接校区作为高速主干;园区内采用千兆以太网作为主干,形成大学校园网的汇聚层;选用百兆以太网作为接入层。
图2所示,是以西区的网络结构设计为例,代表展示了北区、南区同样地设计思想。
图2西区校园网三层结构拓扑
3.3ip地址方案和VLAN的划分
学校从CERNET申请一段IPv4地址202.196.0.0/18,从CNC上申请一段IPv4地址125.10.0.0/21。
考虑到地址较少,人数太多,因此建议使用私有地址和NAT。
,每个学院分配2个C类CERNET地址,其余归网络中心分配使用;每个学院分配1个/26的CNC地址,其余归网络中心分配使用。
每个三层交换机的接口都对应一个VLAN。
下表1给出的是北区的VLAN配置清单。
端口
VLANID
说明
网管IP:
172.16.1.254/24
1--10
VLAN1
网关中心
11--20
VLAN2
连接到亚太实验楼交换机
21--35
VLAN3
连接到主教学楼办公室交换机
36--44
VLAN4
连接到主教学楼学生机交换机上行端口
45--48
VLAN5
连接到东教学楼交换机上行端口
49--55
VLAN6
连接到图书馆交换机上行端口
56--85
VLAN7--12
连接到宿舍楼交换机上行端口
86--99
VLAN13--16
连接到家属楼交换机上行端口
表1北区VLAN的配置清单列表
3.4互联网接入方案
学校采用千兆以太网接入CERNET和CNC。
从而实现广大师生快速上网的要求。
3.5安全方案
在边界路由器上设置了防火墙的功能,对不安全的信息进行了过滤,保证了内部网络不受到入侵。
3.6管理方案
网络中心和每个校区的核心层交换机,只有管理员才能访问,管理员可以对全院的VLAN进行划分。
对于每个校区的汇聚层交换机,与DHCP服务器和SAM服务器相结合,管理员可以为每幢楼宇动态分配IP和划分子网,实现上网计费功能。
同时在核心设备上开启SNMP协议,使用MRTG进行流量监控。
四.网络实施
4.1综合布线实施
根据用户需求分析,决定校园网络采用星型网络拓扑结构。
4.1.1工作区子系统的设计
学生宿舍一般通过HUB接入校园网网络,因此为了节省工程造价,每个宿舍只安装一个单口信息插座。
信息点密集的房间可以选用两口或四口信息插座,如教学楼的多媒体教室、办公室、计算机中心机房等,信息插座的数量要根据用户的需求而定。
考虑到校园网中大多数信息点的接入要达到100Mbps,因此建议校园网内所有信息插座均选用IBDNGigaFlexPS5E超5类模块。
IBDN超5类模块可以满足将来155Mbps网络接入的要求。
为了方便用户接入网络,信息插座的安装位置应结合房间的布局及计算机安装位置而定,原则上要与强电插座相距一定的距离,安装位置应距地面30cm以上,信息插座与计算机之间的距离不应超过5m。
4.1.2水平干线子系统的设计
因此经过全面考虑,该校园网综合布线系统的水平子系统全部采用非屏蔽双绞线。
考虑到以后的校园网网络应用,建议整个校园网的楼内水平布线全部采用IBDN1200系列超5类非屏蔽双绞线,以便满足以后网络的升级需要。
考虑到该院实施布线的建筑物都没有预埋管线,所以建筑物内的水平干线子系统全部采用明敷PVC管槽,并在槽内布设超5类非屏蔽双绞线的布线方案。
原则上PVC管槽的敷设应与强电线路相距30cm,如遇到特殊情况PVC管槽与强电线路相距很近,可在PVC管槽内安装白铁皮然后再安装线缆,从而达到较好的屏蔽效果。
4.1.3设备间子系统的设计
经实地考察发现,每幢学生宿舍都有两个楼道,而在2层或3层楼道都已经设置了配电间,可以利用现有的配电房作为设备间。
对于学生宿舍楼层较长的,建议采用双设备间的配置方案。
教工宿舍和办公楼信息点较少,不考虑专门设置设备间。
整个校园网的主设备间放置于亚太八楼的网管中心。
对于信息点较分散且信息点较少的楼宇,没有必要设立专门的设备间,可以在教师休息室内安装6U墙装机柜,机柜内只需容纳1个交换机和2个配线架即可。
办公楼、图书馆、实验大楼等信息点较多地楼宇,需要预设机柜,机柜内应配备足够数量的配线架和理线架设备。
网络中心机房采用铝合金框架支撑的玻璃墙进行隔离,全部铺设防静电地板,且地板已进行良好接地处理。
机房内还安装了一个10kVA的UPS,配备的40个电池可以满足8个小时的后备电源供电。
为了保证对机房内温度的控制,机房内配备了两个5匹的、具备来电自动开机功能的柜式空调,为了保证机房内设备的正常运行,所有设备的外壳及机柜均做好接地处理,以实现良好的电气保护。
4.1.4管理子系统的设计
为了配合水平干线子系统选用超5类非屏蔽双绞线,每个设备间内都应配备IBDNPS5E超5类24口/1U模块化数据配线架,配线架的数量要根据楼层信息点数量而定。
未来方便设备间内的线缆管理,设备间内应安装相应规格的机柜,机柜内的两个配线架之间还应安装IBDN理线架,以进行线缆的整理和固定。
为了便于线缆的连接,每幢楼内的设备间应配备光缆接线箱或机柜式配线架,以便端接室外布设进入设备间的光缆。
为了端接每个交换机的光线模块,还应配备一定数量的光线跳线,以端接交换机光线模块和配线架上的耦合器。
4.1.5垂直干线子系统的设计
由于大多数建筑物都在6层以下,考虑到工程造价,决定采用4对UTP双绞线作为主干线缆。
对于楼层较长的学生宿舍,将采用双主干设计方案,两个主干通道分布连接两个设备间。
对于新建的学生宿舍及教学大楼都预留了电缆井,可以直接在电缆井中铺设大对数双绞线,为了支撑垂直主干电缆,在电缆井中固定了三角钢架,可将电缆绑扎在三角钢架上。
对于旧的学生宿舍、办公大楼、实验大楼、图书馆,要开凿直径20cm的电缆井并安装PVC管,然后再布设垂直主干电缆。
4.1.6建筑群子系统的设计
校园内建筑之间的距离很近,只有网络中心机房与教工区设备间之间的跨距和网络中心机房与学生宿舍二区设备间之间的跨距较远,均已超过550m,其他建筑物之间的跨距不超过500m,因此除了网络中心机房与教工区、学生宿舍设备间之间布设12芯单模光线外,其他建筑物之间的光缆均选用6芯50μm多模光缆进行布线。
由于该学院原有的闭路电视线、电话线全部采用架空方式安装,而且目前建筑物之间没有现成的电缆沟,经过与院方交流意见,决定所有光线采用架空方式铺设,铺设光纤时,尽量沿着现有的闭路电视或电话线路的路由进行安装,从而保持校园内环境美观,也可以加快工程进度。
4.2网络设备的选择
4.2.1接入层设备选择
接入层网络作为二层交换网络,提供工作站等设备的网络接入。
接入层在整个网络中接入交换机的数量最多,具有即插即用的特性。
对此类交换机的要求,一是价格合理;二是可管理性好,易于使用和维护;三是有足够的吞吐量;四是稳定性好,能够在比较恶劣的环境下稳定地工作;
此层交换机应具备VLAN划分,链路聚合等功能。
因可付性限制和计费认证是校园网的主要目标,该校选用RJ-S2126、RJ-S1926S+、RJ-S1926F+、D-Link等型号作为接入层交换机使用。
使用端口认证技术,用黏滞端口的方法使端口在检测到XX的MAC地址时自动关闭,增强安全性。
对于一些高要求的部门,如财务处、教务处等可采用Cisco设备,如Cisco2900系列中CiscoWS-C2960-24TT-L或CiscoWS-C1960-48TT-L。
4.2.2汇聚层设备选择
汇聚层主要负责连接接入层接点和核心层中心,汇集分散的接入点,扩大核心层设备的端口密度和种类,汇聚各区域数据流量,实现骨干网络之间的优化传输。
汇聚交换机还负责本区域内的数据交换,汇聚交换机一般与核心层交换机同类型,仍需要较高的性能和比较丰富的功能,但吞吐量较低。
工作在这一层的交换机最重要的要求就是支持安全策略和冗余组件。
前者并不一定很有用,因为主要在汇聚层上做这块功能,而后者就比较关键,一旦正常工作的链路物理层断开,就要重新选择可用线路。
在校园网实施中,选用支持认证较好的RJ-1760汇聚层用于计算机中心;选择4台QuidwayS3526分别作为主教学楼、图书馆、基础实验楼、家属楼汇聚层设备。
如果经济允许,可采用CiscoCatalyst3560系列当三次交换机。
该系列支持Ip电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。
客户可以部署网络范围的智能服务,如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由,并保持传统LAN交换的简便性。
内嵌CiscoCatalyst3560系列交换机中的Cisco集群管理套件(CMS)让用户可以利用任何一个标准的Web浏览器,同时配置多个Catalyst桌面交换机并对其排障。
CiscoCMS软件提供了配置向导,它可以大幅度简化融合网络和智能化网络服务的部署。
4.2.3核心层设备选择
网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供优化、可靠的骨干传输结构,因此核心层交换机应拥有跟高的可靠性、性能和吞吐量;
工作在此层的交换机要具备高速转发、路由以及吞吐量较大等功能,同时性能也要有保证,学校选用华为QuidwayS8500系列。
为了提高网络可靠性和可用性,可选择系列设备作为冗余设备。
4.3典型配置与实例
4.3.1OSPF路由协议的配置
OSPF路由协议是一种典型的链路状态的路由协议,一般用于同一个路由域内。
在这里,路由域是指一个自治系统,即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。
在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播为数据包LSA传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。
运行距离矢量路由协议的路由器是将部分或全部的路由表传送给与其相邻的路由器。
下面以Cisco为例,给出其典型配置命令。
首先,在路由器上启用OSPF,命令如下所示。
R1(config)#routerospfprocess-id
其次,通告参与更新、接收路由信息所在接口的网络。
配置如下。
Router(config-router)#networknetwork-addresswildcard-maskareaarea-id
网络地址和通配符掩码一起,用于指定此network命令启用的接口或接口范围。
Area是共享链路状态信息的一组路由器,OSPF网络也可配置为多区域。
area-id是指如果所有路由器都处于同一OSPF区域,则必须在所有路由器上使用相同的area-id来配置。
区域0是骨干区域,是必须存在且配置的区域。
并且,OSPF不会自动在主网络边界总结。
在该校园网中,要求在核心交换、各汇聚层三层交换机上都配置OSPF路由协议,同时,为了管理方便,要求为单区域OSPF。
4.3.2STP协议配置
现在多数交换机默认开启STP,但需要指定STP工作模式。
如下所示。
S3500#conft
S3500(config)#spanning-tree?
modeSpanningtreeoperatingmode
portfastSpanningtreeportfastoptions
VLANVLANSwitchSpanningTree
S3500(config)#spanning-treemode?
pvstPer-Vlanspanningtreemode
rapid-pvstPer-Vlanrapidspanningtreemode
S3500(config)#spanning-treemodepvst//一个VLAN一个STP
同样还可以配置快速端口转发和RSTP,以节省时间。
4.3.3访问控制列表的配置
这也许是最重要的一个环节了,毕竟目前学校网络在出口处并未设置防火墙。
我们可以通过指定,允许特定的外网地址访问内网,也可拒绝一切外网来源,同时可以控制内网访问的网站,防止学生登录不良网站。
因此,几乎所有未被记录的外网都被禁止进入,大大减少了被攻击量。
下面给出的是一个配置实例。
(1)案例背景
一台3550EMI交换机,划分三个VLAN。
端口1~8划分VLAN2,端口9~16划分到VLAN3,端口17~24划分到VLAN4.
VLAN2为服务器所在网络,命名为server,IP地址段为192.168.2.0,子网掩码为255.255.255.0,网关为192.168.2.1,域服务器为WINDOWS2000ADVANCESERVER,同时兼做DNS服务器,IP地址为192.168.2.10。
VLAN3为客户机1所在的网络,命名为work01,IP地址段为192.168.3.0,子网掩码为255.255.255.0,网关为192.168.3.1。
VLAN4为客户机2所在的网络,命名为work02,IP地址段为192.168.4.0,子网掩码为255.255.255.0,网关为192.168.4.1。
3550作为DHCP服务器,各VLAN保留2~10的IP地址不分配,例如:
192.168.2.0的网段,保留192.168.2.2至192.168.2.10的IP地址段不分配。
(2)安全要求
VLAN3和VLAN4不允许相互访问,但都可以访问服务器所在的VLAN2
(3)配置清单
interfaceVlan1
noipaddress
shutdown
!
interfaceVlan2
ipaddress192.168.2.1255.255.255.0
!
interfaceVlan3
ipaddress192.168.3.1255.255.255.0
ipaccess-group103out
!
interfaceVlan4
ipaddress192.168.4.1255.255.255.0
ipaccess-group104out
!
ipclassless
!
access-list103permitip192.168.2.00.0.0.255192.168.3.00.0.0.255
access-list103permitip192.168.3.00.0.0.255192.168.2.00.0.0.255
access-list103permitudpanyanyeqbootpc
access-list103permitudpanyanyeqtftp
access-list103permitudpanyeqbootpcanyeqbootps
access-list103permitudpanyeqtftpanyeqtftp
access-list104permitip192.168.2.00.0.0.255192.168.4.00.0.0.255
access-list104permitip192.168.4.00.0.0.255192.168.2.00.0.0.255
access-list104permitudpanyeqtftpanyeqtftp
access-list104permitudpanyeqbootpcanyeqbootps
access-list104permitudpanyanyeqbootpc
access-list104permitudpanyanyeqtftp
!
ipdhcpexcluded-address192.168.2.2192.168.2.10
ipdhcpexcluded-address192.168.3.2192.168.3.10
ipdhcpexcluded-address192.168.4.2192.168.4.10
!
ipdhcppooltest01
network192.168.2.0255.255.255.0
default-router192.168.2.1
dns-server192.168.2.10
ipdhcppooltest02
network192.168.3.0255.255.255.0
default-router192.168.3.1
dns-server192.168.2.10
ipdhcppooltest03
network192.168.4.0255.255.255.0
default-router192.168.4.1
dns-server192.168.2.10
4.4NAT转换的配置
借助于NAT,私有地址的“内部”网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需要使用少量IP地址(甚至是一个)即可实现私有地址网络内所有计算机与Internet的通信要求。
(1)静态地址转换配置
●在内部本地地址与内部合法地址之间建立静态地址转换。
在全局设置状态下输入:
ipnatinsidesourcestatic内部本地地址内部合法地址
●指定连接网络的内部端口在端口设置状态下输入:
ipnatinside
●指定连接外网的外端口在端口设置状态下输入:
ipnatoutside
(2)动态地址转换配置
●在全局设置模式下,定义内部合法地址池。
ipnatpool地址池名称起始IP地址终止IP地址子网掩码
其中地址池名称可以任意设定
●在全局设置模式下,定义一个标准的Access-list规则以允许哪些内部地址可以进行动态地址转换。
Access-list标号permit源地址通配符(其中标号为1~99的整数)。
●在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
ipnatinsidesourcelist访问列表标号pool内部合法地址池名字
●指定与内部网络相连的内部端口在端口设置状态下输入:
ipnatinside
●指定与外网的相连的外部端口:
ipnatoutside
(3)复用动态地址PAT配置
●在全局设置模式下,定义内部合法地址池。
ipnatpool地址池名称起始IP地址终止IP地址子网掩码
●在全局设置模式下,定义一个标准的Access-list规则以允许哪些内部地址可以进行动态地址转换。
Access-list标号permit源地址通配符(其中标号为1~99的整数)
●在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换
ipnatinsidesourcelist访问列表标号pool内部合法地址池名字overload
●在端口设置状态下,指定与内部网络相连的内部端口
Ipnatinside
●在端口设置状态下,指定与外部网络相连的外部端口
Ipnatoutside
4.5VLAN配置
下面是VLAN10的划分情况,其他的类似。
Switch(config)#intvlan10
Switch(config-if)#ipaddress202.296.34.254255.255.255.0
Switch(config-if)#noshutdown
下面是将端口Fa0/5加入到划分的VLAN10中。
Switch(config-if)#intfa0/5
Switch(config-if)#switchportaccessvlan10
Switch(config-if)#noshutdown
将三层交换机的Fa0/1端口设置为Trunk模式连接二层交换机的Fa0/10端口。
Switch(config-if)#intfa0/1
Switch(config-if)#switchportmodetrunk
Switch(config-if)#end
为实现不同VLAN之间的通信,可将二层交换机的Fa0/10端口设置为Trunk模式连接三层交换机的Fa0/1端口。
Switch(config-if)#intfa0/10
Switch(config-if)
升级会员 