校园网规划及相关技术完整版.docx
《校园网规划及相关技术完整版.docx》由会员分享,可在线阅读,更多相关《校园网规划及相关技术完整版.docx(34页珍藏版)》请在冰豆网上搜索。
校园网规划及相关技术完整版
德州科技职业学院
毕业设计(论文)
题目校园网规划及相关技术
院系名称信息工程系
班级09网络
学生姓名李文卿
学号090402017
指导教师栾亨胜
答辩教师栾亨胜杨新华王洪考孙先民
时间2012年4月10日
摘要
设计一个结构合理,性能优良,经济实用的校园网络是一个中小型高校校园网建设的基本目标。
本文对高校校园网的特点,设计的思路,以及整个校园网络的设计方案作了阐述。
网络管理,是大型计算机网络成功的关键因素。
高效有序的网络管理,确保网络的最优化运行,发挥网络的最佳效益。
本文从IP地址分配和VLAN的规划、使用802.1x协议进行用户认证以及通过配置访问控制列表对网络数据流进行控制三个方面对校园网管理进行技术研究。
地址管理在网络世界中非常重要。
错误的理解将会带来非常严重的后果,对于一个大型网络,地址管理结构设计不好很容易引起组织对整个网络重新编号。
这不仅会引起长时间的停机,而且还会在重新编址阶段引起不稳定。
而一个良好的地址管理结构是不需要花费任何代价的,仅需要认真规划和了解问题。
每个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设各投资、简化网络管理、提高网络的安全性。
IEEE802.Ix通过对认证方式和认证体系结构进行优化,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本。
访问控制列表是网络防御外来攻击的第一关。
网络管理员可以使用访问控制列表设计网络操作和控制网络数据流。
反过来,通过使用路由器的访问控制列表,网络管理员也可以建立特定的网络规划策略。
关键词:
校园网设计;网络管理;IP地址;虚拟局域网;IEEE802.1X认证;访问控制
列
ABSTRACT
Thedesignofareasonablestructure,excellentperformance,economicalandpracticalcampusnetworkisasmallcampusnetworkconstructionthebasicgoal.Thispaperonthecharacteristicsofthecampusnetwork,designideas,aswellastheentirecampusnetworkdesignisexpounded.Networkmanagement,isalargecomputernetworkkeysuccessfactors.Highlyefficientandorderlymanagement,ensurenetworkoptimaloperation,networkplaythebestbenefits.ThisarticlefromthePaddressallocationandVLANprogramming,theuseofthe802.1xprotocoluserauthenticationandaccesscontrollistthroughtheconfigurationofthenetworkdataflowcontrolthreeaspectsofthecampusnetworkmanagementtechnologyresearch.Addressmanagementisveryimportantintheworld.Wrongunderstandingwillleadtoveryseriousconsequences,inalargenetwork,addressmanagementstructuredesignisveryeasytocausetheorganizationtothewholenetworkrenumbering.Thiswillnotonlycausethelongtimeshutdown,butalsotoaddressphaseinducedinstability.Whileagoodaddressmanagementstructureisnotneedtospendanycost,onlyrequirescarefulplanningandunderstandingoftheproblem.EachVLANinternalbroadcastandunicasttrafficwillnotbeforwardedtotheotherVLAN,therebycontributingtothecontrolofflow,reduceequipmentinvestment,simplifyingthemanagementofnetwork,improvenetworksecurity.MEE802.Ixthroughthecertificationandaccreditationsystemstructureoptimization,eliminatingbottlenecksinthenetwork,reducenetworkencapsulationoverhead,reducingthenetcost.Accesscontrollististhefirstnetworkdefenseagainstattack.Thenetworkadministratorcanusetheaccesscontrollistdesignnetworkoperationandcontrolofnetworkdataflow.Inturn,throughtheuseofrouteraccesscontrollist,anetworkadministratorcanalsosetupaspecificnetworkplanningstrategy.
Keywords:
campusnetworkdesign;networkmanagement;IP;virtualLAN;IEEE802.1Xcertification;accesscontrolList
目录
中文摘要I
英文摘要II
1园区网的相关介绍1
1.1引言1
1.2校园网规划建设问题的提出与研究1
1.3校园网规划需求分析2
1.4校园网中的应用3
2校园网规划方案5
2.1组建校园网相关设计分析5
2.2组网设备选型7
2.2IP地址和VLAN的划分14
3组网中的相关技术配置19
3.1网络边界防火墙的配置19
3.2接入互联网---NAT技术21
3.3802.1X认证21
3.4VLAN及生成树23
3.5链路聚合25
3.6端口快速收敛25
3.7园区网中容易产生的问题26
3.8使用访问控制列表进行网络管理27
4结论29
致谢30
参考文献31
1园区网的相关介绍
1.1引言[1]
随着的Internet普及,校园网己成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段,再加上国家积极倡导教育信息化,致使全国不少学校都在积极筹划、建设和完善校园网。
建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络,将学校的各种Pc机、工作站、终端设备和局域网连接起来,并与有关广域网相连,在网上宣传自己和获取Internet网上的教育资源。
形成结构合理、内外沟通的校园计算机网络系统,在此基础上建立能满足教学、科研和管理工作需要的软硬件环境,开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务。
系统总体设计将本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。
本着为学校着想,合理使用建设资金,使系统经济可行。
网络的发展壮大,网络的管理也提到议事日程。
网络管理是网络的灵魂,为保证计算机网络稳定高效地运行,网络管理起着非常重要的作用,网络管理的好坏直接影响到网络的运行质量,对于像大学这样一个较大规模的校园网络来说尤其如此。
伴随互联网的高速发展的XX科技职业学院也在不断扩建和壮大的同时,XX科技职业学院校园网建设也紧跟时代发展的步伐---建设现代化高效能的校园网络。
本文以XX科技职业学院校园网组建为例展开论述分析。
1.2校园网规划建设问题的提出与研究
1.2.1校园网规划建设问题的提出
在学院的不断发展壮大的同时,校园网己成为我学校必备的信息基础设施,建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络,将学校的各种Pc机、工作站、终端设备和局域网连接起来,并与有关广域网相连,在网上宣传自己和获取Internet网上的教育资源。
这一高效节能无纸化办公的现代化教学方式受到我校领导的高度关注,随之校园网的规划建设这一问题被提出。
1.2.2组建校园网的相关研究
在组建校园网络的同时,会同时产生一系列的问题,例如:
网上办公、网上教学、招生、在线注册、网上社区服务、网上支付等具有校园特色的电子商务将蓬勃发展,构建电子社区服务,电子社区服务包括地图导航、虚拟服务台、海报、意见处理、新闻中心及各式服务项目(学习、运动、娱乐、餐饮、购物、旅游交通、邮电、金融、医疗、维修、治安)等。
在这一系列问题产生的同时,我们必须把校园网组建时产生的问题拿到桌面上来分析研究,从而得出一些比较安全、合理、稳定、容易管理的校园网络,为学校的发展和在校师生等人员的工作、学习、生活带来方便。
1.3校园网规划需求分析
1.3.1校园网建设目标
校园网建设的目标应该是:
建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络,将学校的各种PC机、工作站、终端设备和局域网连接起来,并与有关广域网相连,在网上宣传自己和获取INTERNET网上的教育资源。
形成结构合理、内外沟通的校园计算机网络系统,在此基础上建立能满足教学、科研和管理工作需要的软硬件环境,开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务。
系统总体设计将本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。
本着为学校着想,合理使用建设资金,使系统经济可行。
1.3.2校园网的特点
(1)先进性
(2)兼容性好
(3)应用复杂流量大
(4)安全控制要求高
(5)网络设备分散,不易统一管理
把握校园网应用,了解用户网络建设需求,是成功构建校园网络的关键所在。
我认为:
构建符合应用的校园网络可以用下面七个标准来衡量。
(1)高性能
(2)高可靠性
(3)适合多种应用需求
(4)高伸缩性
(5)高安全性
(6)可运营,可管理
(7)结构合理
1.4校园网中的应用
在我校不断发展和壮大正朝着多元化、社会化的方向发展,所以建立一些生活学习所需的设施也是在校园网的建设中必须考虑,也应该校园网应具备的基本功能。
1.4.1校园一卡通的使用
所谓校园一卡通,就是利用IC卡作为电子身份的载体,在校园中,每一个成员都有一个固定的身份,如教师、管理人员、专科生、本科生、临时人员等,成员的身份都可以通过其校园一卡通得到确认。
用户的身份决定了用户在校园空间所享有的权限,如教师可以在教师食堂就餐、学生可以在学生食堂就餐、教师可以在图书馆借更多的书等。
通过采用校园一卡通的解决方案,可以全面实现校园的高度信息化、自动化管理。
1.4.2信息服务
信息服务是根据用户的需求,将信息按照用户的逻辑提取出来,以方便的接口提供给用户。
(1)信息发布
信息发布是校园网的基本功能:
管理信息系统将信息收集、整理起来,主要是提供给特定的用户用于管理活动;
(2)决策支持
决策支持是信息服务的高级形式。
为学校重大问题提供决策依据。
如:
教学评估、招生评估、毕业评估、学科评估等等。
1.4.3电子商务
随着远程教育的开展和校内管理与服务的数字化进展,网上招生、在线注册、网上社区服务、网上支付等具有校园特色的电子商务将蓬勃发展。
电子商务平台的建设对于数字校园中和支付相关的各个应用系统的发展具有重要的推动作用。
1.4.4网上办公
办公自动化系统为学校领导以及各职能部门提供了基于校园网的协同办公环境,使学校办公逐步向电子化、无纸化方向迈进。
同时由于校园网络连接了办公室、计算机实验室、学生宿舍乃至教师家庭,同样一件工作在不同的场所办理成为现实的可能情况。
1.4.5网上教学
网络教学是一种新型教育手段,它是为适应21世纪社会经济和科技发展对高素质创造型人才的需要,创造一个在教师指导下的学生自主式学习的环境。
(1)网络教学资源
网络教学的资源是开展网络教学的基础,它包括教师的电子讲义、课件、录像、试题库、以及各种数字化的教学素材。
(2)网络教学平台
网络教学平台是一个全新的教学环境,它为校园网上的同步远程教学提供实时双向交互的多媒体网络教学环境,为校园上的异步远程教学提供自主学习的网络教学环境。
网络教学平台将建设成一个支持包括网上备课、课件制作、教学素材建设、网络授课、网上交流、网上自学、网络考试等多种服务的综合教学平台,全面支持教学各个环节。
(3)数字图书馆
数字图书馆是采用现代高新技术所支持的数字信息资源系统,是下一代因特网上信息资源的管理模式,将从根本上改变目前因特网上信息分散、不便使用的现状。
它涉及数字信息资源的生产、加工、存储、检索、传递、保护、利用、归档、剔除等全过程。
(4)虚拟实验室
网络虚拟实验就是在Web中创建出一个可视化的三维环境,其中每一个可视化的三维物体代表一种实验对象。
通过鼠标的点击以及拖曳操作,用户可以进行虚拟、仿真实验。
2校园网规划方案
2.1组建校园网相关设计分析
2.1.1拓扑图的绘制
根据XX科技职业学院的楼宇坐落、部门分布和逻辑网络拓扑层次分析之后,绘制了拓扑图,如下:
图2.1XX科技职业学院校园网拓扑图
Fig2.1TechnologicalVocationalCollegeofXXcampusnetworktopology
2.1.2校园网的结构化建设
(1)核心层网络建设
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。
网络的控制功能最好尽量少在骨干层上实施。
核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。
核心层设备将占投资的主要部分。
(2)汇聚层网络建设
同样的,校园网汇聚层网络建设按照中小型校园网两种规模来分析设计。
对于大型校园网络,汇聚层的设计十分类似于核心层的设计思想。
那就是将汇聚层当作本地交换系统的核心来设计,每个汇聚层的设计应该符合本地交换系统的应用需求。
比如,对于教学系统,可能存在大量的语音和视频传输。
据此,应该考虑汇聚层对QOS有良好的支持并且能提供大的带宽。
如果本地子网无特殊需求,可以考虑这里是降低网络投资成本的点,选用一般设备即可。
中小型校园网络汇聚层的设计原则和大型校园网络汇聚层的设计是相同的,既要兼顾本地的需求又要兼顾对整个网络的配合。
对于中小型校园网络,可能汇聚层和接入层并为一层,也就是出现了2层的结构。
2层结构也好3层结构也好都是逻辑的,网络设计层次只要对需求有利就可以了。
(3)接入层网络建设
接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。
另外,设备对恶劣环境的抵抗能力也应该考虑在内。
至少性能方面应该考虑几个方面:
●能提供好的性能价格比,不需要过高的性能;
●需求端口密度高的时候,最好使用堆叠方式;
●建议重要部门的接入层设备提供网络管理功能;
●如果有多媒体应用,设备应该提供IGMPSnooping功能,以充分利用带宽;
●依据实际流量的情况选择上连带宽;
2.1.3根据网络层次划分之后选择设备应具备的特性
此方案在于汇聚层设计采用二层交换机,通过二层可网管交换机DCS一3926S堆叠之后千兆上联到网络中心,宿舍楼内的每个信息点可以直接与汇聚层交换机DCS一3926S,楼内不方便布线或者距离汇聚层配线间较远的楼层,可以在相应的楼层内采用DCS-2026网管交换机,然后与汇聚层交换机连接,实现高性能的灵活的高性价比的宿舍网络接入方案。
此方案的特点是宿舍区接入网采用堆叠方式实现,堆叠方式的特点决定了接入网的性能较好,很好的解决了各级交换机级联带来的带宽限制;同时方案也很好的体现了灵活设计的特点,可以根据用户的网络需求,在接入层或者采用功能较强的DCS一2026网管交换机,或者采用投资较小的DCS.2026网管交换机。
充分体现了网络设计原则。
除此之外,此方案还具有如下特点:
(1)实用性和经济性
网络建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设的万兆骨干网络平台,保护用户的投资。
(2)先进性和成熟性
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证贵校网络建设的领先地位,采用万兆以太网技术来构建网络主干线路。
(3)可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,锐捷网络做为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。
为了保证骨干网络平台的健壮性和链路冗余性,建议网络实施时在学校启用千兆备份线路。
在学校启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
(4)安全性和保密性
在网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等,锐捷网络充分考虑安全性,针对的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定(过滤)、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。
(5)可扩展性和可管理性
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。
全线采用基于SNMP标准的可网管产品,达到全程网管,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性。
2.2组网设备选型
根据校园网规划拓扑图和分层次设计的优点和各种特性,下面来进行设备的选型。
(不涉及终端、线缆、中继器、组网工具或其他小型设备的选型,根据需要购买即可。
)
2.2.1网络出口设备选择
因为校园网出口采用以太网,所以采用路由器+防火墙的方式,起到如下作用:
防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性;路由器提供出口路由功能,数据处理能力强,具有强大的NAT功能。
(1)防火墙的选择
为了以后扩展的需要,所以采用了RG-WALL1000。
RG-WALL1000采用锐捷网络独创的分类算法(ClassificationAlgorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(StatefulInspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如VoIP,H323等)时,可提供强有力的安全信道。
采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。
另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
RG-WALL的主要功能包括:
扩展的状态检测功能、防范入侵及其它(如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等)附加功能。
表2.1RG-WALL1000防火墙技术参数(单位:
台)
Table2.1RG-WALL1000firewalltechnologyparameters(unit:
bench)
RG-WALL1000千兆防火墙/VPN网关
端口
固化2个10/100BaseT+2个10/100/1000BaseT接口,可选配最多4个千兆电口/千兆SX/LX光口
最大并发连接数
1,000,000sessions
吞吐量
1.8Gbps
(最大)策略数
65,535
VPN并发通道数
10,000tunnels
VPN吞吐量(SHA-1,3-DES)
400Mbps
尺寸
标准19英寸宽度,2U高度
电气性能
电源类型:
AC100-240V/50-60Hz
电源功率:
200W
工作环境
操作环境:
温度0℃~40℃,湿度0%~80%
存储环境:
温度-40℃~80℃,湿度0%~95%
技术性能
MTBF(平均故障间隔时间):
≥100,000小时
(2)路由器的选择
RG-S6800E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机,RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力,并且拥有业务按需叠加扩展能力,达到业务和性能并重的设计需求。
目前提供10竖插槽设计和6横插槽设计两种主机:
RG-S6810E和RG-S6806E。
RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽,并支持将来扩展到4.8T/2.4T的能力,高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干和大流量节点交换机的理想选择。
RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议,并可扩展支持MPLS、loadbalancing、NAT、VPN、Firewall、IDS、webcacheredirect等丰富的业务功能,满足客户环境灵活而复杂的不同应用需求。
表2.2RG-S6806E交换机技术参数(单位:
台)
Table2.2RG-S6806Eswitchtechnologyparameters(unit:
bench)
模块插槽
10个(2个用于管理引擎模块)
6个(2个用于管理引擎模块)
背板