本科毕业设计大学校区网络升级方案.docx
《本科毕业设计大学校区网络升级方案.docx》由会员分享,可在线阅读,更多相关《本科毕业设计大学校区网络升级方案.docx(25页珍藏版)》请在冰豆网上搜索。
本科毕业设计大学校区网络升级方案
广西师范大学雁山校区网络升级方案
1.广西师范大学雁山校区网络需求分析1
1.1学校的自然情况1
1.2学校校园网现有的网络分析1
1.2.1当前校园网的状况1
1.2.2现有校园网的不足2
2.广西师范大学雁山校区网络升级方案设计3
2.1雁山校区校园网设计分析3
2.1.1校园网的功能要求3
2.3校园网结构设计4
2.3.1校园网物理结构设计4
2.3.2校园网的逻辑结构设计5
3.广西师范大学雁山校区网络升级硬件设计6
3.1交换设备的选型6
3.1.1核心层交换机的选型6
3.1.2汇聚层交换机选型9
3.1.3接入层交换机选型9
3.2路由器的选型9
3.3防火墙的选型10
3.4服务器选型12
3.5具体网络拓扑设计图12
附件:
..14
配置.........................................................................................................................................14
路由器配置14
IP管理14
交换机配置16
设备清单及价格19
1.广西师范大学雁山校区网络需求分析
1.1学校的自然情况
广西师范大学雁山校区坐落在桂林市雁山区雁山镇雁中路,筹建于2005年12月,2007年9月正式投入使用。
雁山校区为广西师范大学的一个分校,全校计算机数量逾1000台(不包括学生群体)。
1.2学校校园网现有的网络分析
1.2.1当前校园网的状况
校园网是广西师范大学雁山校区的信息基础设施,是实现学校现代化管理的强有力保证。
学校一直以来非常重视校园网的建设。
经过初期的建设,基本满足当时的网络需求。
其网络拓扑图如下(图一):
图一
由于学校数据吞吐量大,又离育才校区较远,所以学校采用一般的校园网双端口接入方式,用一条2M光纤连接到育才校区,另一条用百兆光纤作为雁山电信的局域网方式接入internet,实现网络高速运行。
中心结构主要以华为ls-3026交换机为中心,单点以星形方式连接校园各个功能单位。
各楼房交换机用100M光纤连接到中心机房的三台普通企业级路由上,可以实现子网内高速互联。
楼房内部均用5类双绞线连接楼房交换机与用户计算机,带宽均可达百兆。
1.2.2现有校园网的不足
目前,雁山校区的网络由低端的锐捷交换机构成一个平面的网络结构,没有层次化的设计的网络结构其存在许多缺陷。
从网络拓扑结构看,网络管理员很难对网络进行整体的管理,一旦出现故障,将很难做出快速的排查。
其中最致命的是网络存在单点故障,一旦中心的交换机出现故障,整个网络立刻瘫痪(如图二)。
在平面型的网路结构下,网络中心交换机负载所有的数据处理任务,不能实现对数据的高速转发传输。
图二中心结构图
从网络设备方面看:
大部分的设备已经不能满足现在学校对网络传输的需求。
如中心交换机只是一台普通华为交换机,转发率不高,最大只为100M,实际上不可能达到,所以即使拓扑结构是树形结构,网络数据的交换也不会多快。
而且连接这些的交换机和路由器的通讯线路都是百兆双绞线。
在这样的设备下,中心的网络中心通讯带宽仅为百兆。
这将是实现网络高速吞吐的瓶颈。
还有租用网络的带宽太低,如学校与育才校区的通讯带宽才2M,而雁山校区师生有上万人,平时至少有上百人同时使用网络,这也极大限制了学生与育才校区信息资源的共享。
从网络应用方面看:
学校提供的校园网络服务内容太少,如缺少校园邮件服务,文件服务等,而且有些新的学生宿舍还没提供宽带接入,学生只能用电信的电话拨号上网。
一、不方便学生上网,也不能规范和监督学生上网;
二、不能实现以网养网的目标,节约学校对网络的投资成本;
从网络安全方面看:
防火墙已落伍,网络安全性非常脆弱,服务器防毒能力差,非常容易遭受到攻击,包括外网和内网对服务器的攻击。
1.2.3网络升级的目的和实现的功能。
●实现高速的Internet和CERNET出入;
●实现稳定的快速的DNS、WWW、FTP、E-mail等多项网络服务;
●整个校园网主干实现千兆传输,百兆光纤到楼宇,百兆到桌面;
●拥有高性能的网络设备,有足够的设备冗余;
●除了以上要求外,还要要求升级后的校园网具有一定的系统冗余度,以适应未来的发展和应用需求。
2.广西师范大学雁山校区网络升级方案设计
2.1雁山校区校园网设计分析
2.1.1校园网的功能要求
实现高速的Internet和CERNET出入;
实现内部千兆校园网主干,百兆交换到桌面;
增加新学生宿舍的接入;
增加校园无线局域网;
2.2校园网系统设计
网络系统设计方案主要包括校园网内部网和Internet接入两部分的设计。
(1)校园网内部网络设计
校园网内部网络是组建在校园内的计算机应用网络,可以Intranet方式建设校园网内部网络。
对本校区而言,几乎包括所有的建筑楼群:
如教学楼、图书馆、教师和学生宿舍楼等。
根据雁山校区对网络应用的需求,主干可以采用分层次的网络结构和冗余设计技术,如采用核心、汇聚冗余。
还有无线局域网的引入,也是逐步完善校园网络的一个举措。
(2)校园网接入Internet设计
雁山校区校园网采用双端口方式,一个接入育才校区校园网,一个作为雁山电信的局域网方式接入雁山电信,校园网核心交换机及路由器都存放在网络中心,所有楼宇的光纤均连接到网络中心。
2.3校园网结构设计
2.3.1校园网物理结构设计
此次升级物理网络上主要是对网络设备及通信带宽的升级
升级核心路由器,采用思科优质的产品C3600系列。
采用思科双C3750核心交换机做冗余技术;汇聚层也采用思科C3550,原有的设备可当备份用;接入层采用思科C2950系列。
各层设备都具有千兆以太网端口。
在通信线路上,此次将校园主干网都升级为1000M以满足学校对网络的需求。
接入雁山电信仍为原有的百兆光纤,不过只要更改光缆的带宽就可以使网络升级到更高的带宽;路由器与核心交换机间采用1000Base-T铜缆连接;核心交换机与汇聚层交换机间采用1000Base-LX光纤连接(在同一室内可用优质双绞线)。
校内各网络服务采用100M双绞线连到核心交换机。
汇聚层交换机所在的楼房内直接采用100双绞线连接到接入层交换机,其它楼房的接入层交换机则用100M光纤连接到该汇聚交换机上。
升级物理网络拓扑图(如图三):
图三升级后的网络拓扑图
2.3.2校园网的逻辑结构设计
校园网逻辑结构设计主要是IP子网网段的划分,根据校园网实际应用需求实现VLAN的设置。
从校园网的安全性、IP地址的可管理性和IP地址资源的有限性出发,将整个校园网络划分成若干个子网网段并对IP地址进行有效的管理是十分必要的。
子网网段划分一般应遵循以下原则:
●需要对外开放的服务器划分在同一网段,并分配真实的IP地址;
●除接入Internet的路由器外,将其它所有网络设备划分到私有的网段;
●将不对外开放的服务器划分到专有网段中,其地址对外是隐蔽的;
●最好将不同部门的机器划分到不同网段中;
●划分的子网应使IP管理简单,同时也要避免IP地址的大量浪费;
●可使用子网掩码将几个C类地址分给同一个大的子网,或将一个C类地址分给几个小的子网;
●校园内部网IP地址使用保留地址,连接Internet的子网采用真实IP地址。
以下为学校升级中,对学校所有网内计算机的子网划分情况:
序号
VLAN号
子网名称
包含的信息点
1
DMZ区
服务器子群
连接Internet的所有对外开放服务器,为真实IP地址
2
11
服务器子网
所有只对校内开放的服务器,为保留IP地址
3
12
网络设备子网
除路由器外所有网络设备
4
13
办公室子网
办公室计算机
5
14
无线接入子网
所有无线接入的计算机
6
15
学生宿舍子网1
校内学生宿舍接入的计算机
7
16
学生宿舍子网2
校内学生宿舍接入的计算机
8
17
教师宿舍子网1
校内教师宿舍接入的计算机
9
18
教师宿舍子网2
校内教师宿舍接入的计算机
10
19
教室子网
教学楼的教学用计算机
11
20
电子阅览室子网
图书馆除办公室计算机外的所有计算机
12
21
计算机实验室子网1
计算机实验室1
13
22
计算机实验室子网2
计算机实验室2
14
23
计算机实验室子网3
计算机实验室3
15
24
计算机实验室子网4
计算机实验室
16
25
计算机实验室子网5
计算机实验室
17
26
计算机实验室子网6
计算机实验室
表一
子网划分示意图如图2-4:
图四VLAN划分示意图
3.广西师范大学雁山校区网络升级硬件设计
3.1交换设备的选型
3.1.1核心层交换机的选型
根据学校的规模和应用需求,为将校园主干升级为千兆网络,我们核心交换机选用两台CISCOWS-C3750G-24TS-S作核心冗余。
CiscoCatalyst3750系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。
该交换机采用了CiscoStackWise技术,通过结合易用性和可堆叠交换机的最高永续性,提高了局域网运行效率。
性能介绍:
●可用性——802.1S/W支持基于标准的容错性、负载均衡和迅速恢复;Flexlink特性提供了不到100ms的快速收敛;PVST+则通过允许流量在冗余链路上传输,增加了可用带宽
●CiscoStackWise技术——单一IP地址和单一命令行界面(CLI)简化了管理;32-Gbps永续架构加速了收敛;1∶N堆叠采用了冗余和第三层上行链路永续性、跨堆叠CiscoEtherChannel技术及QoS,提高了可用性;自动配置和CiscoIOS软件版本检查和升级加速了部署过程;交换机的热添加和删除能保持堆叠持续运行
●370WPoE简化了IP电话、无线和视频监视部署;智能电源管理特性增强了控制能力,有助于更好地利用功率预算,PoE与快速以太网或千兆以太网型号相结合,能最大限度地利用现有基础设施投资
●第三层特性——OPSF、EIGRP、BGP、静态PBR等高级路由协议扩大了网络规模;等成本路由以及PIM等组播路由能够最大限度地利用网络资源;VRFLite可保护流量;IPv6在简化网络寻址和移动IP的同时提高了安全性
●QoS——流量整形能在不丢弃数据包的情况下平稳处理突发流量;整形循环保证了关键任务应用的带宽;而Scavenger队列则能防止蠕虫过度使用资源
●管理——CiscoSmartports能快速、简单地配置高级Web界面完成设置;资源模板则可用于为应用定制交换机资源。
●安全——DHCP监听能够只允许可信端口访问DHCP信息,消除了恶意DHCP服务器;NAC则能防止代价昂贵的蠕虫和病毒的传播;动态ARP检测和IP源防护能够防御中间人攻击;802.1x和基于身份的网络服务仅允许授权人员接入网络;端口安全能防止MAC地址泛洪攻击
各关键交换机的主要性能参数如下表(表二):
参数类型
WS-C3750G-24TS-S
主要参数
WS-C3550-24-SMI
主要参数
WS-C2950T-24
主要参数
交换机类型
网管交换机
网管交换机
快速以太网交换机
传输速率
10Mbps/100Mbps/1000Mbps
32MBDRAM和8MB闪存
16MBDRAM和8MB闪存
网络标准
IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab
IEEE802.1x、IEEE,802.3x、IEEE802.1D、IEEE802.1p、IEEE802.1Q、IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.3z
IEEE802.1x、IEEE802.3x、IEEE802.1D、IEEE802.1p、IEEE802.1Q、IEEE802.3ab、IEEE802.3u、IEEE802.3
端口数量
24
24个10/100端口+2个1000BaseX端口
26
接口介质
10/100/1000Base-TX、1000Base-FX/SX
传输模式
支持全双工
支持全双工
支持全双工
配置形式
可堆叠
可堆叠
可堆叠
交换方式
存储-转发
存储-转发
存储-转发
背板带宽
32Gbps
8.8Gbps
8.8Gbps
VLAN支持
支持
支持
支持
MAC地址表
12k
8000
8000
模块化插槽数
4
无
无
指示面板
端口状态LED:
链路完整,关闭,活动,速度和全双工指示;系统状态LED:
系统,RPS和带宽利用率指示。
每个端口的状态LED:
连接完整性、禁用、活动和速度(仅限于上行链路)指示器,系统状态LED:
系统和RPS指示器
尺寸(mm)
295×445×66
44.5×366×445
445×242×44
重量(Kg)
5.68
5.0
3.0
其他技术参数
1/1.5机架单元(RU)可堆叠多层交换机;
提供到网络边缘的企业级智能化服务;
预装标准多层软件镜像(EMI);
基本的RIP和静态路由器,可以升级到完全动态的IP路由
安装了标准的多层软件镜像(SMI);可以升级到完全动态的IP路由;功耗:
65W(最大),每小时222BTU;由所有端口共享的4MB内存架构;32MBDRAM和8MB闪存;可以配置多达8000个MAC地址;可以配置多达16000条单播路径;可以配置多达2000条多播路径;可以配置的最大传输单元(MTU)高达1590字节,用于连接MPLS标记帧
网管功能:
SNMP管理信息库(MIB)II,SNMPMIB扩展,桥接MIB(RFC1493)
表二
3.1.2汇聚层交换机选型
汇聚层交换机需要支持第三层交换,对应核心冗余,在这里我们也选用两台CISCOWS-C3550-24-SMI作汇聚冗余.
主要参数列表请参看表3-1.
产品特点:
3550系列是一款功能强大的交换机,可在中型网络中作接入设备,也可作汇聚设备。
用户可以在整个网络中部署智能化的服务,例如先进的服务质量(QoS),速度限制,Cisco安全访问控制列表,多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。
Catalyst3550系列中内嵌了Cisco集群管理套件(CMS)软件,该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。
CiscoCMS软件提供了新的配置向导,它可以大幅度简化整合式应用和网络级服务的部署。
含有标准多层软件镜像(SMI)或者增强型多层软件镜像(EMI)。
EMI提供了一组更加丰富的企业级功能,包括基于硬件的IP单播和多播路由,虚拟LAN(VLAN)间的路由,路由访问控制列表(RACL)和热备用路由器协议(HSRP)。
在刚开始部署时,增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。
3.1.3接入层交换机选型
接入层设备主要作用是要支持VLAN的
划分,我们可以选用CISCOCatalyst2950.主要参数列表参看表3-1。
3.2路由器的选型
接入Internet的路由器完全可以选用Cisco3620,因为Cisco3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。
Cisco3600系列拥有70多个模块化接口选项,提供语音/数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。
通过利用CIsco的语音/传真网络模块,Cisco3600系列允许客户在单个网络上合并语音、传真和数据流量。
高性能的模块化体系结构保护了客户的网络技术投资,并将多个设备的功能集成到一个可管理的解决方案之中。
关键特性:
●在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接以及语音、视频和数据的多服务集成。
●模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。
●高密度ISDNPRI功能。
●预配置的BRI和PRI调制解调器捆绑。
●支持Modem-over-BRI功能性。
●集成了CiscoIOS软件(产品定价中包括IPIOS软件)。
●完全支持VPN。
路由器的主要性能参数如表三:
参数类型
CISCO3620主要参数
网络标准
WAN,Ethernet,FastEthernet,ATM,ISDN,T1/E1,FrameRelay,X.25,IP/IPX
网络协议
IP/IPX/AT/DEC/FW/IDSPlus
是否内置防火墙
是
内存
32MB(缺省);128MB(最大)
重量
13.6kg
表三
3.3防火墙的选型
防火墙是一种部署在内外网边界上的访问控制设备,在校园网中使用防火墙,可以用来防止XX的通信进出校园内部网络,通过边界控制强化内部网络的安全策略。
防火墙主要有简单包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙三种。
结合我们学校情况,我们选用CISCOPIX-525-R-BUN防火墙来保障校园网络安全。
CISCOPIX-525-R-BUN防火墙的主要功能:
●企业级集成式安全设备
●最高330Mbps防火墙吞吐率
●利用硬件加速(某些型号自带,在其他型号中为可选组件)最高可以提供145Mbps3DES和135MbpsAES-256VPN吞吐率
●最多可以为2000个远程用户提供VPN集中器服务(EasyVPNServer)
●千兆以太网支持;最多8个10/100FE或者3个千兆以太网接口
●虚拟局域网中继(基于802.1q标签)和OSPF动态路由支持
●安全环境(虚拟防火墙服务)支持
●主用/主用和主用/备用防火墙状态故障切换支持
●主用/备用IPSecVPN故障切换支持
PIX-525的相关参数如表四:
参数类型
PIX-525参数
处理器
600MHz
RAM
128或256MB
闪存
16MB
PCI插槽
3
固定接口
(物理)
2个10/100快速
以太网端口
最大接口数量
(物理)
8个10/100
FE或GE
最大虚拟接口
(VLAN)
100
支持的安全环境
有,2/50
VPN加速器卡+
(VAC+)选项
有,集成在部分型号中
高可用性支持
A/S,A/A
设备更新处理
仅使用小型文件传输协议(TFTP)
故障切换端口
DB-15(RS232)
大小
2RU
表四
3.4服务器选型
现在著名的服务器品牌非常多,有IBM、HP、DELL、LENOVO、曙光、浪潮等。
这里选的服务器主要是验证服务器的选择,其它的看学校目前的网络应用可以随时增设,如前面分析的FTP服务器、E-Mail服务等。
根据我们前面的分析与设计,我们选择华为MA5200F-2000来作为校园的宽带接入验证服务器,主要验证学生接入与无线接入这两方便。
3.5具体网络拓扑设计图
图五详细网络拓扑图
核心部分:
图六
注:
图五中完整IP的均使用默认C类掩码,而只有两个IP位的都默认省去了前两位,如:
100.6/30其完整IP为192.168.100.6/30,其中30为该IP的掩码长度。
核心与汇聚部分:
图七
汇聚与接入部分:
图八
注:
由于接入层是工作在数据链路层,所以不需为其设置IP
附件:
配置
路由器配置
就目前的应用来说,只需要增加OSPF协议即可。
Router(config)#iproute192.168.100.1255.255.255.0serial
IP管理
根据学校所在的雁山电信分配到公网IP为:
116.8.96.164
116.8.96.87
116.8.96.167
可接入育才校区校园网的IP为:
210.34.32.0
内部校园网的IP分配情况为:
1)学校网络设备IP划分如表五所示。
主机名称/类型
设备名称
IP设置
注释
Cisco3620
网络中心路由器
IP:
192.168.100.1/24
网关:
192.168.100.1
网管IP
CiscoPIX525
网络防火墙
IP:
192.168.100.2/24
192.168.100.3/24
192.168.100.5/30
192.168.100.9/30
网关:
192.168.100.1/24
网管IP
CiscoWS-C3750G
核心交换机1
IP:
192.168.100.6/30
192.168.100.13/30
192.168.100.17/30
192.168.100.29/30
网关:
192.168.100.1/24
网管IP
CiscoWS-C3750G
核心交换机2
IP:
192.168.100.10/30
192.168.100.14/30
192.168.100.21/30
192.168.100.25/30
网关:
192.168.100.1
网管IP
CiscoWS-C3550
汇聚交换机1
IP:
192.168.100.30/30
192.168.100.22/30
192.168.100.33/30
网关:
192.168.100.1
网管IP
CiscoWS-C3550
汇聚交换机2
IP:
192.168.100.26/30
192.168.100.18/30
192.168.100.34/30
网关:
192.168.100.1
网管IP
CiscoWS-C2950T
接入交换机1
网关:
192.168.100.1
网管IP
CiscoWS-C2950T
接入交换机2
网关:
192.168.100.1
网管IP
CiscoWS-C2950T
接入交换机3
网关:
192.168.100.1
网管IP
CiscoWS-C2950T
接入交换机4
网关:
192.168.100.1
网管IP
CiscoWS-C2950T
接入交换机5
网关:
192.168.100.1
网管IP
Web服务器
IP:
116.8.96.164/24
M
邮件服务器
IP:
116.8.96.87/24
FTP服务器
IP:
116.8.96.167/24
认证服务器
IP:
192.168.200.1/24
DNS服务器
IP:
192.168.200.3/24
教务管理服务器
IP:
192.168.200.6/24
网管服务器
IP:
192.168.200.4/24
表五
2)学校共分16个子网,其VLAN划分情况如表六所示。
VLANID
升级会员 