兰州职业技术校园校园局域网规划与设计1.docx
《兰州职业技术校园校园局域网规划与设计1.docx》由会员分享,可在线阅读,更多相关《兰州职业技术校园校园局域网规划与设计1.docx(18页珍藏版)》请在冰豆网上搜索。
兰州职业技术校园校园局域网规划与设计1
兰州职业技术校园校园局域网规划与设计
第1章需求分析
1.1工程项目概况
要求建立一个连接教学楼、办公楼,图书馆,宿舍公寓,网络中心等区域的校园网,需求如下:
1、信息资源共享
通过校园网,实现学校内部,分院与总院信息的快速交流,达到资源共享,使广大师生及时了解国内外科学技术和学院的最新动态,促进教学、科研、管理事业的发展。
2、图书资料检索、借阅自动化
通过改造原有图书检索系统,建设电子图书馆,提高校内图书资料的利用率;充分利用校外图书资料,实现远程计算机图书检索和借阅。
3、学校管理系统的信息化、自动化
依托校园网,构建相应的交互式应用软件平台,实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化,实现统计监测网络化,提高管理效率和水平。
4、建立计算机网络辅助教学系统
建立基于网络的电子教学CAI课件开发、视频点播(VOD)、网上题库、答疑与作业批改等计算机辅助教学系统,实现教学手段的现代化。
5、创建学院网站,使之成为对外宣传的重要窗口,让世界了解我们,提高学院的知名度。
6、为广大师生提供宽松,开放、易用的网络环境,使网络触入日常工作和生活中,发挥网络的最大效用。
1.2信息点分布
主要信息点集中在办公楼、教学楼、图书馆、宿舍公寓、网络中心等区域。
详细分布如表1所示。
数目
信息点数(个)
信息点总数(台)
办公楼
3
150
150
教学楼
5
250
250
图书馆
1
50
50
宿舍公寓
5
250
250
网络管理中心
1
50
50
家属楼
2
100
100
3需求分析
由于计算机及网络技术的不断发展,极大地推动了校园网的建设,各都校希望通过校园网的建设,增加硬件的投入,改善办学条件,提高教学、科研和管理水平,提高办学质量。
校园网的建设对于学校来说是一项大的工程,必须精心设计、精心施工,做到经济适用,技术先进、开放性能良好、投资强度合理、与内外网络互联、能长期、稳定运行的高性能的校园网络。
校园网必须具备教学、管理和通讯三大功能。
教师可以方便地浏览和查询网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。
学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享。
第2章方案设计原则
本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该校园的网络系统。
从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:
1、实用性和经济性
校园网的特点决定了网络系统必需要有实用与经济性。
实用性使得网络便于管理、维护,以减少网络使用人员运用网络的难度,从而降低人为操作引起的网络故障,并使更多的人掌握网络的使用。
应根据学校的实际情况,由于学校的建设资金有限,所以一般都要求网络具有较高的性价比,所以在建设校园网时一定要使用性价比高的网络技术和网络设备,以节约建设资金。
2、高性能与技术先进性
校园网网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性。
为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。
3、高可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。
在网络骨干上要提供备份链路,提供冗余路由。
在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小,避免由于网络故障造成用户损失;
4、安全性
校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,应该采用一定手段控制网络的安全性,以保证网络正常运行。
网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。
网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。
5、可管理性
强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理;并且能够实现计费管理。
6、可扩充性
随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证现有的投资。
第3章网络方案设计
3.1网络拓扑结构介绍
在此次校园网的设计中,我们采用层次化模型来设计网络拓扑结构。
所谓层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。
在校园网设计中,使用层次化模型有许多好处,列举如下:
1、节省成本
在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。
层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。
2、易于理解
层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。
3、易于扩展
在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。
而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。
4、易于排错
层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。
3.2网络拓扑图
网络拓扑图如图1所示。
核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。
汇聚交换机分别连接到各楼栋的接入层交换机,通过双绞线连接到每个课室的信息面板上,具体分配如下:
教学楼有5层,每层5个信息点,共25个信息点。
图:
教学楼拓扑图
核心交换机通过光纤连接到学生公寓男、女区的汇聚交换机,每个区域的交换机通过光纤连接到各自的区域楼,区域楼交换机再与楼层的交换机堆叠,通过
双绞线连接到宿舍的信息面板上。
图:
A区宿舍楼拓扑
图:
B区宿舍楼拓扑图
信息网络中心
五层为房网络中心。
通过光纤接入,连接H3CSecPathF100-S-AC防火墙,再连接到一台“思科WS-C4503”的核心交换机和服务器群。
服务器群组服务器统一采用IBMSystemx3650M3(7945I75),一台对外Web服务器,放的是学校的官方网站;一台内网Web服务器,是学校的内部网站;一台Ftp服务器,由于FTP流量比较大,所以增加了一台IBMTotalStorageDS3400(1726-42X)Raid服务器。
核心层交换机通过光纤连接到办公及教学楼、家属楼、图书馆、学生公寓的汇聚层交换机。
图:
信息网络中心拓扑图
3.3网络设计
3.3.1核心层网络设计
核心层:
将各汇聚层交换机互连起来进行穿越校园网骨干的高速数据交换。
实现数据包高速交换。
核心层双中心星形拓扑的优点是结构较为简单,实现设备的,也可以很好的进行网络负载均衡。
PortTrunking技术提高互联交换机的吞吐量,使得整个网络具备高容量、无阻塞、高性能的能力。
3.3.2汇聚层网络设计
汇集层:
主要功能是汇聚网络流量,链路聚合、路由聚合,信号中继,负责将访问层交换机进行汇集,还为整个交换网络提供VLAN间的路由选择功能。
3.3.3接入层网络设计
接入层:
接入层利用VLAN划分等技术隔离网络广播风暴,提高网络效率,为所有的终端用户提供一个接入点。
3.3.4整体层次化设计
本校园网网络系统的设计采用层次化的设计方法,即核心层、汇聚层和接入层。
5广域网互联设计
考虑到Internet和其他网络的连接(如CHINANET等),目前设计的局域网都要考虑对广域网络的连接,更广的资源和更多的应用将是在各种广域连接中发现。
目前,越来越多的学校还开展了网络教学和建立自己的WEB。
因此,能否有效地连接Internet是校园网建立的一个重要的目标。
出于安全考虑,应该选用一个带有防火墙的边界路由。
边界路由在远程办公室和网络的其余部分之间提供了一个有效的防火墙。
同样重要的是,边界路由为远程办公室保留了利用诸如“服务类数据优先级”、“定制过滤器”和“数据压缩”等工具的优点。
3.3.6防火墙技术和DMZ设计
学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高,如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。
防火墙作为网络的第一道防线,应放置在外网和需要保护的校园内网之间。
这样,所有流入校园网络的数据流量都将通过防火墙,使校园内的所有客户机及服务器都处于防火墙的保护下。
针对不同资源提供不同安全级别的保护,还应构建一个“DemilitarizedZone”(DMZ)的区域,放置一些不含机密信息的公用服务器,比如Web、 Mail、FTP等。
这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。
即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。
3.3.7冗余/负载均衡设计
冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。
但是投资也将增加。
部分校园网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。
冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。
万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。
可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。
也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。
此外,我们在设计中提供不同物理方向的双归属、双路由保护。
3.3.8线路冗余设计
在校园网核心层,网络边界拓扑结构由于采用了双机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GE线路对核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。
以GEC作为N*1000M主干链路,通过这个链路连接核心交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。
GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍:
链路聚合:
可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高。
冗余保证:
链路聚合中,成员互相动态备份。
当某一链路中断时,其它成员能够迅速接替其工作。
与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。
综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。
在校园网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆汇聚,万兆拓展;百兆到桌面的链路选择。
3.3.9网络设备冗余/负载均衡设计
各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担。
负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。
它主要完成以下任务:
解决网络拥塞问题,服务就近提供,实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。
在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。
在网络的核心层上。
我们采用了两台cisco核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。
在汇聚层的每个区块,我采用了两台cisco汇聚交换机做到冗余与负载均衡。
在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。
如下图,我们给出了从接入层到汇聚层再到核心层的双核心配置。
双核心拓扑结构提供了两条等代价路径和双倍的带宽。
每个核心交换机连接着数目相同的子网到第三层汇聚设备上。
每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。
如果一条核心设备发生故障,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。
第3层路由选择协议在核心中起链路选择的作用,VRRP提供快速错误恢复。
核心层不需要STP,因为在核心交换机间没有冗余的第2层连接。
3.3.10网管工作站设计
网络管理是校园网必须考虑的关键技术,这里的网络管理主要指网络设备及其系统的管理,它包括配置、性能、安全、故障管理等,网络管理设计需要在配置每个网络设备时,都选择具有网络管理代理的、驻留有网络管理协议的设备。
网络管理设计的另一方面,是配置一个网络管理中心,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。
网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
3.3.11 IP地址和vlan规划
根据互联网络技术发展的趋势,结合学校网络目前真实IP地址的现实情况,我们建议:
IP地址规划遵循如下原则来设计:
1、服务器区采用私IP地址,NAT后供人员远程访问;2、与internet互联设备IP地址采用真实IP地址;3、部分内部互连采用私有IP地址;
4、面向用户的私有IP地址,由统一出口的边缘设备(路由器、防火墙)进行地址翻译。
即出口路由器(防火墙)互联采用合法IP地址;公共服务器如WWW/FTP/DNS等均采用合法地址(或从安全角度考虑采用私有IP);部分接入用户采用私有保留IP地址相连。
这样设计,既可以充分利用已有的公网IP地址,解决了IP地址空间不足的,既可以方便的实现互通互连,而且将地址翻译(NAT)这种耗费设备资源的工作由网络边缘设备分担,提高网络数据传输整体性能。
同时,还可以采用VLSM。
VLSM是可变长子网掩码的英文缩写,它提供了一个主类(A类、B类、C类)网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。
VLSM的优点,所以我们采取vlsm对网络进行编址,以达到节约IP地址,能够使用路由汇总的目的。
IP地址网段
VLAN编号
默认网关
网络管理中心
172.16.100.0/24
1
172.16.100.254/24
办公楼
172.16.0.0/24
10
172.16.0.254/24
教学楼
172.16.1.0/24
20
172.16.1.254/24
图书馆
172.16.2.0/24
30
172.16.2.254/24
宿舍公寓
172.16.3.0/24
40
172.16.3.254/24
家属楼
172.16.4.0/24
50
172.16.4.254/24
第4章网络技术选型
4.1
路由协议——OSPF
在网络核心层和汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而需要路由协议时,我们采用OSPF协议作为路由协议。
OSPF是一种典型的链路状态路由协议。
采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。
因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议——OSPF。
OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。
区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。
4.2端口安全与认证(基于 802.1X)
a.端口安全
交换设备定义了对端口保护的功能,我们能定义允许的最大 MAC地址访问数,或者静态的定义特定的 MAC地址。
遇到不合法的 MAC地址交换机采取的策略。
配置举例端口安全性:
>enable#configure terminal
(config)#interface f0/1
-if)#swithport port-security
-if)#swithport port-security maximum
-if)#swithport port-security mac-address x.x.x.x
-if)#swithport port-security violation shutdown
b.基于 802.1x的端口认证
4.3VRRP(虚拟路由冗余协议)原理
VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由备分来实现路由器来替代,从而保持通讯的连续性和可靠性。
并可以在该协议上实现负载均衡等高级交换特性。
VRRP技术的实现:
汇聚到核心冗余连接及 VRRP的实现通过 VRRP技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。
如下例:
-if)#vrrp 5 ip 192.168.2.5
-if)# vrrp 6 ip 192.168.2.6
A:
-if)#vrrp 5 priority 200
B:
-if)#vrrp 6 priority 200
-if)#vrrp 5 authen name
-if)#vrrp 6 authen name
4.4RSTP、MSTP原理
RSTP协议完全向下兼容 802.1DSTP协议,除了和传统的 STP协议一样具有避免回路、提供冗余链路的功能外,最主要的特点就是“快”。
如果一个局域网内的网桥都支持 RSTP协议且管理员配置得当,一旦网络拓朴改变而要重新生成拓朴树只需要不超过 1秒的时间(传统的 STP需要大约 50秒)。
本交换机支持 MSTP,MSTP是在传统的 STP、RSTP的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING机制。
由于传统的生成树协议与 vlan没有任何联系,因此在特定网络拓朴下就会产生以下问题:
如下图所示,交换机 A、B在 vlan1内,交换机 C、D在 vlan2内,然后连成环路。
在某种情况的配置下,会造成把交换机 A和 B间的链路给 DISCARDING.由于交换机 C、D不包含 vlan1,无法转发 vlan1的数据包,这样交换机 A的vlan1就无法与交换机 B的 vlan1进行通讯。
在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。
在接口上启用了 portfast特性,可以使交换机端口立即变为转发状态,提高了网络的响应速度及收敛时间。
基于 RSTP的交换机高级特性 Uplinkfast在网络中的应用。
考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用冗余连接之前所经历的时间高达 50S。
在使用 Uplinkfast之后,使的具有冗余上行连接的交换机具有根端口失效时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S之间,在校园网的特殊环境之下,能大大增强网络的稳定性,加快网络收敛。
4.5NAT的描述及策略路由的实现
在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和Internet相连的局域网边缘设备上。
应用 NAT进行地址转换。
NAT是网络地址翻译技术,在路由器上起用 NAT之后,可以在部私有地址和外部公网地址之间做转换。
比如我们可以把网络内部使用的 IP翻译成外部公网的 IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于 IP地址,应用程序,协议或者分组长度的条件。
基于策略的路由选择命令对中选的路由实现策略。
基于策略的路由和静态路由有很多共同之处。
然而,静态路由根据目标网络地址来转换分组,而策略路由根据源地址来转发分组。
在路由选择表中使用访问列表时,可根据诸如目标地址,分组长度,IP协议字段,优先级或端口号来转发数据流。
这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下一跳路由器。
4.6ACL(访问控制列表)
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这个包。
我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策略,防止网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到 ACL分为两种类型,他们分别是标准访问列表(Standardaccesslists)和扩展访问列表(Extendsaccesslists)前者在过滤网络的时候只使用 IP数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源 IP地址,它无法区分具体的流量类型。
而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,比如对 WEB,FTP的访问等,给我们网络的策略提供了更细的控制手段。
我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。
标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。
4.7链路聚合 EC(E
升级会员 