沈阳航空航天大学校园网规划设计方案.docx
《沈阳航空航天大学校园网规划设计方案.docx》由会员分享,可在线阅读,更多相关《沈阳航空航天大学校园网规划设计方案.docx(18页珍藏版)》请在冰豆网上搜索。
沈阳航空航天大学校园网规划设计方案
航空航天大学校园网规划设计方案
成员姓名:
玉
专业:
信息管理与信息系统
班级:
B1002
信息技术学院
摘要
快速、高效的传播和利用信息资源是21世纪的基本特征。
掌握丰富的计算机与网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。
随着学校教育手段的现代化,很多学校已经成为逐渐开始将学校的管理和教学过程向电子化方向发展,校园网的有无以与水平的高低也将成为评价学校与学生选择学校的新的标准之一。
一方面,学生可以通过它在促进学习的同时掌握丰富的计算机与网络信息知识;另一方面,基于先进的网络平台和其上的应用系统,将极大的促进学校教育的现代化进程,实现高水平的教学和管理。
学校目前正加紧对信息化教育的规划和建设。
开展的校园网络建设,旨在推动学校信息化建设,其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络,最终完成统一软件资源平台的构建,实现统一网络管理,为用户提供高速接入网络,并实现网络远程教学、在线服务、教育资源共享等各种应用;利用现代信息技术从事管理、教学和科学研究等工作。
最终达到在网络方面,更好的对众多网络使用与数据资源的安全控制,同时具有高性能,高效率,不间断的服务,方便的对网络中所有设备和应用进行有效的时事控制和管理。
关键词:
交换机;路由器;防火墙;VLAN
一、课程设计任务
根据校园用户对千兆校园网络应用的具体需求,通过对千兆校园网络常用技术的分析,以小组为单位,编制千兆校园网络工程项目的规划设计与实施方案,并完成项目实施。
(一)校园网建设总体要求
通过需求分析,掌握本次校园网建设的要点,以与按照以下要求,以与目标进行建设:
●先进性
●可靠性
●可扩展性
●可管理性
●安全性
(二)校园建设具体要求
校本部各大楼与网络中心的网络带宽为千兆,用户主机到桌面交换机的网络带宽为百兆。
校园网到Internet的出口带宽为10Mbps。
远程分校与校本部的间网络带宽为2Mbps。
办公大楼中有财务处、招生办公室、党委办公室等机构。
要求这些机构必须处在一个独立的局域网,以保证网络的安全。
对学生宿舍的计算机只提供WWW、E-Mail、FTP等常用的服务,除非有特别的需要不开通其他服务。
工作日只能在上午8:
00到23:
00间开通Internet网络,周末全天开通网络。
校园中的计算机大部分使用Windows操作系统,要求对经常出现漏洞的135-139端口进行过滤,并且对一些木马,病毒使用的常见端口进行过滤。
对校园网外的移动用户提供PSTN拨号接入服务。
二、校园网的设计与应用主干拓扑图
(一)校园网的拓扑图
根据课程设计任务,首先进行主干拓扑图的设计。
根据拓扑图,先用双绞线把4台机柜的交换机和路由器按照划分好的端口连接起来,路由器的2个E0/0和E0/1接口分别接到路由器的E0/0接口和交换机的E0/23接口。
主干拓扑设计图如下:
图2.1网络拓扑图
(二)VLAN技术与其划分
1.VLAN技术介绍
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着一样需求的计算机工作站,与物理上形成的LAN有着一样的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播围,并能够形成虚拟工作组,动态管理网络。
VLAN在交换机上的实现方法,可以大致划分为4类:
:
(1)基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如QuidwayS3526的1~4端口为VLAN10,5~17为VLAN20,18~24为VLAN30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。
它的缺点是如果VLANA的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
(2)基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。
这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千用户的话,配置是非常累的。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
(3)基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。
它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
当然,这与各个厂商的实现方法有关。
(4)根据IP组播划分VLAN
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
2.具体VLAN划分
表2.1VLAN划分
下面介绍本论文设计的校园网VLAN的划分,是按照建筑物划分的VLAN,在具体的交换机上是静态的分配VLAN中的主机成员的,具体的划分如下:
院系
VLAN
信息工程系
Vlan1
Vlan2
自动控制工程系
Vlan3
机械工程系
Vlan4
工商管理系
Vlan5
汽车工程学院
Vlan6
黄金珠宝学院
Vlan7
基础教学部
Vlan8
思想政治理论课教学科研部
Vlan9
Vlan10
体育教学部
Vlan11
寝室楼
Vlan12
图书馆
Vlan13
表2.2IP地址划分
(三)划分IP地址
设计网络主要用个网络地址。
具体的划分到每个VLAN中的主机的情况下:
表2.2IP地址划分
院系
院系
信息工程系
10.1.1.2-10.1.1.25310.1.2.2-10.1.2.253
自动控制工程系
10.1.3.2-10.1.3.253
机械工程系
10.1.4.2-10.1.4.253
工商管理系
10.1.5.2-10.1.5.253
汽车工程学院
10.1.6.2-10.1.6.253
黄金珠宝学院
10.1.7.2-10.1.7.253
基础教学部
10.1.8.2-10.1.8.253
思想政治理论课教
学科研部
10.1.9.2-10.1.9.253
10.1.10.2-10.1.10.253
体育教学部
10.1.11.2-10.1.11.253
寝室楼
10.1.12.2-10.1.12.253
图书馆
10.1.13.2-10.1.13.253
三、网络技术的选择
在各种局域网技术中,以太网以其造价低、技术成熟、产品丰富、可靠性高、可扩展性好、传输介质丰富和易于管理等优点而成为建设局域网的主流技术。
以太网使用CSMA/CD协议,它是一种基于冲突检测机制的网络协议。
目前,以太网的速度已经达到千兆,甚至万兆,完全可以满足学校对网络带宽的需求。
远程分校与校本部通过租用2Mbps的E1专线连接。
(一)网络设备的选择
1.交换机的选择
核心交换机选用CiscoCatalyst4006以太网交换机,4006交换机提供总插槽数为6个,可通过增加模块来增加交换机的接入端口和性能,它具有24Gbps的背板带宽和18Gbps的包交换能力。
本方案中配置一个S3引擎具有8GB的高宽带、高速第三层路由和Qos的系统端口能力,并能以线速同时在双千兆位以太网上行链路上支持第三层服务,S3引擎上带有2个1000M以太网模块插槽(GBIC),WS-X4232-L3模块具有32口10M/100M快速以太网接口与2个1000M以太网模块插槽,支持3层交换。
这样S3引擎和WS-X4232-L3模块总共具有4个千兆模块,能够实现到学生宿舍、教学楼、办公室、计算机学院的千兆光纤连接。
汇聚交换机选用Catalyst3550-24以太网交换机,具有24个10M/100M快速以太网接口和1000M以太网模块插槽,13.6Gbps的交换矩阵,第三层最大传输带宽为4.4Gbps。
它是一个新型的、可堆叠的、多层企业级交换机,可以提供高水平的可用性、可扩展性、安全性和控制能力。
具有每端口服务质量(Qos)、每端口优先级、每端口广播和组播风暴控制、聚簇(clustering)支持,CGMP、ISL和802.1q帧标识、VTP支持、CDP、SNMP和RMON支持、DNS支持、TACACS+支持、端口保护、速度限制、访问控制列表、多播管理高性能、IP路由、划分VLAN和三层交换等功能。
2.路由器的选择
路由器主要用于学校各建筑的网络的连接,是构成主干网的核心部分,方案中选择Cisco2511路由器,它具有一个AUI10Mbps以太网端口、16个低速异步串行端口和两个2Mbps串行口。
Cisco2511路由器支持DHCP、NAT、QoS、访问列表、VPN、防火墙特性和多种协议(IP、IPX、AppleTalk、SNA、DECNet、OSI、VINESTxns)路由。
校本部的Cisco26511应配备一根一拖八高密度RS-232线、一根V.35线和G703协议转换器。
其中“一拖八”高密度RS-232线用于与Modem相连,形成Modem池,V.35线用于连接基带Modem和路由器,G703用于实现V.35协议到E1协议的转换。
(二)生成树协议与其应用
STP(SpanningTreeProtocol)能够提供路径冗余,使用STP可以使两个终端中只有一条有效路径。
STP在大的网络中定义了一个树,并且迫使一定的备份路径处于备用状态。
如果生成树中的网络一部分不可达,或者STP值变化了,生成树算法会重新计算生成树拓扑,并且通过启动备份路径来重新建立连接。
STP操作对于终端来说是透明的,而不管终端连在LAN的某一部分或者多个部分。
当创建网络时,网络中所有节点存在多条路径。
生成树中的算法计算出最佳路径。
因为每个VLAN是一个逻辑LAN部分,所以网管员能使STP一次工作在最多63个VLAN中。
如果要配置超过63个VLAN,网管员需要将其他VLAN的STP禁止,因为默认的STP可以支持1-63个VLAN。
生成树协议在交换机中的具体配置:
spanning-treevlan1
spanning-treeuplinkfastmax-update-rate100
spanning-treevlan23priority125
spanning-treevlan3max-age100
spanning-treevlan3hello-time3
spanning-treevlan3forward-time20
spanning-treeportfastfa0/2
spanning-treevlan3cost120
spanning-treevlan3port-priority0
(三)VTP原理与应用
VTP是VLANTrunkProtocol的简写,它提供每个设备(Router或LAN-switch)在中继端口(Trunkports)发送广播。
这些广播被发送到一个组播地址,并被所有相邻设备接收。
这些广播列出了发送设备的管理域,它的配置修订号,已知的VLAN,与已知VLAN的确定参数。
通过听这些广播,在一样管理域的所有设备都可以学习到在发送设备上配置的新的VLAN。
使用这种方法,新的VLAN只需要在管理域的一台设备上建立和配置,信息会自动被一样管理域的其它设备学到。
为了管理区网中的所有VLAN,Cisco则创建了VLAN干道协议(VTP)。
VTP在整个网络上维持VLAN配置的一致性。
VTP是一种消息协议,它使用第2层干道帧管理VLAN的添加、删除和重命名。
VTP也使我们能进行传输到网络中所有其他交换机上的集中改变。
VTP将当进行变动时可能会出现的配置不一致性降至最小。
这些不一致有可能违反安全规,例如当出现重命名时,VLAN会交叉连接,并且当VLAN被从一种以太网类型映射到另一种(例如,以太网到ATM或FDDI),将可能会被从部切断。
1.VTP的优点
(1)整个网络VLAN配置的一致性;
(2)对于通过混合介质主干将以太网VALN映射到高速主干VALN,例如FDDI的映射方案,它使VLAN可以被通过混合介质中继;
(3)对VLAN的准确跟踪和监管;
(4)动态报告网络中增加的VLAN;
(5)当添加新VLAN时的“即插即用”配置;
为了能在交换机上创建VLAN,我们必须首先建立一个VTP管理域以使它能够检验网络上当前的VLAN。
在同一管理域中所有交换机共享他们的VLAN信息,并且一个交换机只能参加到一个VTP管理域。
不同域中的交换机不能共享VTP信息。
一个VTP域是由一台或多台共享一个VTP域名的互连设备组成。
一台交换机只能被配置在一个VTP域。
全局VLAN信息是通过互连的交换机干道端口进行传播。
2.VTP操作模式
Catalyst交换机可以配置为以下几种操作模式:
(1)服务器
(2)交换机
(3)透明
3.VTP服务器
在这种模式中,可以建立、修改和删除VLAN,也可以为整个VTP域规定其他配置参数(比如VTP版本和VTP修剪)。
服务器向同一VTP域中的交换机通告它们的VLAN配置,并根据从干道链路上收到的通告与其他交换机进行VLAN配置的同步。
它是交换机的VTP缺省操作模式。
4.VTP客户机
VTP客户机同VTP服务器的行为一样,但是在VTP客户机上不能建立、改变和删除VLAN。
5.透明模式的交换机
交换机可以被配置为不接受VTP信息。
这些交换机将在干道端口上转发VTP信息以保证其他交换机接受到更新信息,但是这些交换机将不修改他们的数据库,也不发送指示VLAN状态发生变化的更新信息。
这被称为透明模式。
6.VTP操作
在通告中检测到VLAN的添加就向交换机(服务器和客户机)发出一个通告,告诉它们应该在其干道端口上准备接受带有新定义的VLANID、仿真局域网名和802.10SAID的数据流。
在图中,交换机3发送一条含有VLAN添加或删除信息的VTP数据库条目到交换机l和2。
这个配置数据库有一个“通知+l(N+1)”的版本号。
高一些的修改号说明正在被发送的VLAN信息比所存储的拷贝更新一些。
不论何时,只要交换机接受到一个有更高配置版本号的更新,它都将用该VTP更新中的新信息覆盖过去的存储的信息。
7.VTP通告
当使用VTP时,每台交换机在其干道端口上通告其管理域、配置版本号、它所知道的VLAN,以与每个己知VLAN的某些参数。
这些通告数据帧被发往一个多点广播地址,以便所有邻居设备都能收到这些帧;然而,这些帧不是通过普通的桥接样序被转发的。
这样,同一管理域中的所有设备就可以了解到发送这些帧的设备中现在所配的新VLAN。
新的VLAN必须在管理域的一台设备上被创建和配置。
该信息可被同一管理域中的所有其他设备自动学到。
8.VTP配置版本号
VTP通告中最关键元素之一配置版本号。
每次当VTP服务器修改其VTP数据库时,它将配置版本号增1。
然后,服务器用新的配置版本号向VTP域中的其他设备通告它的数据库。
如果所通告的配置版本号比VTP域中其他设备所存储的版本号高,交换机将请求相应的子集通告。
子集通告中含有更新者在其NVRAM中所存储VLAN的详细信息。
这些交换机然后将用所接收到的新信息更新其数据库。
该更新过程意味着:
如果VTP服务器删除了其所有VLAN并使用了更高的配置版本号,那么该VTP域中的其他设备也将删除他们的VLAN。
9.VTP修剪
缺省地,发给某个VLAN的广播被发送到每个在其某条干道链道上承载那VLAN的交换机。
即使交换机没有位于那个VLAN的端口也如此。
这意味着:
干道链路可能会传送最终将被该交换机仍掉的广播数据流。
通过减少不必要的泛滥数据流,如广播、多点广播、未知和泛滥的单点传送数据包,VTP修剪可以提高网络带宽的利用率。
通过将泛滥数据流限制在数据流不得不使用以到达正确的网络设备的那些干道链路上,VTP修剪提高了可用的带宽。
这意味着,它限制广播、多点广播和泛滥的单点传送数据包通过没有端口属于那个VLAN的交换机。
VTP修剪功能缺省是关闭的。
(四)静态路由和动态路由
1.静态路由
静态路由是由网络管理员定义的路由,网络管理员手工的将其输入到路由器的配置中,路由器可以获知路由明确的指定了发送的源和目的地之间的进行数据包传送所必须采用的路径。
静态路由的好处:
(1)安全性
安全对于某些网络来说是首要的任务之一,为了安全起见,隐藏网络的某些部分可能更适合些。
静态路由允许互联网络管理人员制定在有限的划分中那些是可以公开的。
(2)可控制性
由网络管理人员人工定义这些路由,允许对IP互联网络的路由选择行为进行十分精确的控制。
(3)避免了动态路由的所占用的系统开销
静态路由的缺点之一是当互联网络拓扑结构发生变化,需要更新的时候,例如链路发生故障,管理员必须手工的更新这项路由条目。
当一个网络只能通过一条路径到达时,对这个网络使用静态路由就足够了。
这种划分称为根网络。
对于一个存根网络来说,经常配置静态路由,这样就避免了使用动态路由选择的开销。
在本论文设计校园网中,只有一个路由器,而且是与外面相连的,所以说使用的是静态的路由。
具体的配置如下:
>enable
Router#conft
Router(config)#ints2/0
Router(config)#cdprun
Router(config-if)#noshut
Router(config-if)#ipaddress10.1.26.2255.255.255.0
Router(config-if)#cdpenable
Router(config-if)#exit
Router(config)#iproute10.1.25.0255.255.255.010.1.25.2
Router(config)#iproute10.1.23.0255.255.255.010.1.25.2
Router(config)#iproute10.1.24.0255.255.255.010.1.25.2
2.动态路由
与静态路由不一样,网络管理员输入配置命令启动静态路由选择后,路由器可以自动获知路由,无论何时从互联网中接受到新的信息,路由信息都会通过路由进样自动更新,动态信息的改变作为更新过程的一部分住路由器之间交换。
动态路由选择的成功依赖于两个基本的路由器功能:
(1)路由表的维护
(2)以路由更新的形式将信息与时发布给其他路由器
根据动态路由的原理的路由协议有很多,OSPF和RIP就是其中的两个。
这也是其中比较容易理解的两个部分。
下面就简单的了解一下这两个协议。
3.RIP路由协议
RIP协议最初是为Xerox网络系统的Xeroxparc通用协议而设计的,是Internet中常用的路由协议。
RIP采用距离向量算法,即路由器根据距离选择路由,所以也称为距离向量协议。
路由器收集所有可到达目的地的不同路径,并且保存有关到达每个目的地的最少站点数的路径信息,除到达目的地的最佳路径外,任何其它信息均予以丢弃。
同时路由器也把所收集的路由信息用RIP协议通知相邻的其它路由器。
这样,正确的路由信息逐渐扩散到了全网。
RIP使用非常广泛,它简单、可靠,便于配置。
但是RIP只适用于小型的同构网络,因为它允许的最大站点数为15,任何超过15个站点的目的地均被标记为不可达。
而且RIP每隔30s一次的路由信息广播也是造成网络的广播风暴的重要原因之一。
4.OSPF路由协议
80年代中期,RIP已不能适应大规模异构网络的互连,OSPF随之产生。
它是网间工程任务组织(IETF)的部网关协议工作组为IP网络而开发的一种路由协议。
OSPF是一种基于链路状态的路由协议,需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。
在OSPF的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。
利用0SPF的路由器首先必须收集有关的链路状态信息,并根据一定的算法计算出到每个节点的最短路径。
而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。
与RIP不同,OSPF将一个自治域再划分为区,相应地即有两种类型的路由选择方式:
当源和目的地在同一区时,采用区路由选择;当源和目的地在不同区时,则采用区间路由选择。
这就大大减少了网络开销,并增加了网络的稳定性。
当一个区的路由器出了故障时并不影响自治域其它区路由器的正常工作,这也给网络的管理、维护带来方便。
5.两者的区别
静态路由是在路由器中设置的固定的路由表。
除非网络管理员干预,否则静态路由不会发生变化。
由于静态路由不能对网络的改变反映,一般用于网络规模不大、拓扑结构固定的网络中。
静态路由的优点是简单、高效、可靠。
在所有的路由中,静态路由优先级最高。
当动态路由与静态路由发生冲突时,以静态路由为准。
动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程。
它能实时地适应网络结构的变化。
如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。
这些信息通过各个网
升级会员 