校园网网络工程实施方案.docx
《校园网网络工程实施方案.docx》由会员分享,可在线阅读,更多相关《校园网网络工程实施方案.docx(46页珍藏版)》请在冰豆网上搜索。
校园网网络工程实施方案
第一章、总体设计
1.1用户需求
此网络工程所要达到的主要目标如下:
(1)支持全校现有的计算机,连接校园内实验大楼、行政大楼、电教大楼、图书馆和成教大楼等,将本校现有的及将来要配置的各种PC、工作站和终端通过高性能的网络设备连接起来,组成分布式、开放性的网络环境,以提高教育科研水平。
(2)充分利用原有的主干光缆和楼内布线系统,将目前的百兆主干快速以太网升级到千兆主干、百兆交换到桌面的高速交换式以太网。
同时,保护原有网络设备投资,将目前运行的IBM公司系列网络产品有效地集成到升级系统中。
(3)在Internet互连网络系统平台上,以数据库、Web、电子邮件、为基础的系统;并构建内部Intranet系统,与已有系统实现互联。
(4)网络与数据安全是目前计算机信息技术所面临的重要挑战,解决安全问题的技术与方案有很多,通过防火墙、webcache服务器建设确定完整统一的安全策略(SecurityPolicy)也是校园网可靠运行的保证。
(5)考虑与其它学校、科学教育网络相连,可通过CERNET与国内外其它网络相连接、实现远程教学。
(6)网络具有友好、一致的用户界面和丰富的管理应用系统。
(7)在网络升级基础上规划相应的应用系统,具体包括:
◇学校网站的建设
◇OA(办公管理)系统建设:
电子邮件、公文处理、档案管理、会议管理、电子公告、电子论坛、备忘信息等
◇多媒体辅助教学系统
◇连接原有图书管理系统
◇VOD视频点播及视频会议系统
1.2实施的目的
分析用户需求,可知该网络工程所含的内容包括:
(1)运用虚拟网技术,建设杭电校园千兆主干网,使其覆盖全校各主要建筑物,将学校内各种PC、LAN连接为一个结构合理、内外连通,并支持多种协议和异种机的园区网。
(2)通过在信息中心代理服务器的设立与科教网相连并可与Internet互连。
(3)新校区的由于其与科教网相连的特殊性,因此可分别设立独立的三个代理服务器与Internet互连。
(4)根据科学的安全策略,通过CiscoPIX520防火墙配置,从而有效的隔绝内网和外网,但同时又能实现公网对杭电校内网站和对外开放资源的访问。
(5)通过CacheEgeine505与Cisco6506之间WCCP配置建立高速的Internet访问通道。
(6)通过CiscoWorks网管软件实施有效的网络管理。
1.3系统设计原则
·连续性原则:
充分利用现有资源(包括现有的网络、计算机和应用资源),使系统既能与前期系统相衔接,同时具有一定的可扩充性,为后期工作打下基础。
·实用性原则:
在保证使用要求和技术可行性的前提下,要选择易于操作、管理、见效的设计和设备。
·安全保密原则:
设计中应注意各个环节的安全保密,统筹规划,不可偏废。
·信息共享原则:
设计必须考虑信息在一定的条件下、一定范围内的共享。
·先进性原则:
系统建设要与当今先进的计算机网络发展技术相适应,保证系统的先进性、开放性、高可靠性和可扩展性的有机结合。
1.4设计依据和规范
主机和网络设备的选型符合下列国家和组织的技术标准和规范:
·GB:
中华人民共和国国家标准
·ISO:
国际标准组织
·ITU-T:
国际电信联盟
·IEEE:
国际电气与电子工程师协会
·EIA:
电气工业协会
·IEC:
国际电工协会
1.5网络设备服务卡
(见附件)
1.6系统软件登记表
(见附件)
第二章、杭电网络工程施工计划
2.1主要设备清单
杭电校园网升级改造工程网络主干设备清单:
No.
ProductNo.
Description
Qty
1
Ws-c6506
Catalyst6506chassis
1
2
WS-CAC-1300
Catalyst6506Chassisw/1300WACPowerSupply
1
3
WS-X6K-S2-MSFC2
Catalyst6000SupervisorEngine2-A,2GE,plusMSFC-2&PFC
1
4
WS-X6408-GBIC
Catalyst60008-portGigabitEthernetModule(Req.GBICs)
1
5
WS-G5484
1000BASE-SX"ShortWavelength"GBIC(Multimodeonly)
6
6
WS-X6348-RJ-45
Catalyst600048-port10/100RJ-45Module
1
7
WS-C6500-SFM
Catalyst6500SwitchFabricModel
1
8
WS-C3524-XL-EN
Catalyst3524XLEnterpriseEdition
3
9
WS-C3548-XL-EN
Catalyst3548XLEnterpriseEdition
2
10
WS-G5484
1000BASE-SX"ShortWavelength"GBIC(Multimodeonly)
7
11
CISCO3640
Cisco36004-slotModularRouter-ACwithIPSoftware
1
12
NM-2FE2W
210/100Ethernet2WANCardSlotNetworkModule
1
13
PIX-520-1K-CH
MidrangePIXFirewall520,two10/100EnetNICs
1
14
CE-550
CacheEngine550
1
15
CWW-5.0
Ciscoworksforwindows6.0
1
16
JSX-FM-2W
IBM82742PortGigabitEthernetModule
1
Total
2.2施工计划表
·系统设备列表
☆Cisco6506主交换机
☆Cisco3524二级换机
☆Cisco3548二级换机
☆CiscoPIX520防火墙
☆CacheEngine550
☆Cisco3640路由器
环境检查(10分钟)
☆UPS
☆电源质量
☆温度和湿度
☆接地系统电阻要求
设备开包(60分钟)
主交换设备
二级交换设
路由器
防火墙
电源线缆
系统上电(20分钟)
cisco6506主机系统(10分钟)
各CISCO3500系列主机(60分钟)
系统上电正常以及上电失败的相应动作
对照系统订单检查系统的功能部件(30分钟)
中央处理器
内存
磁盘(内置以及外置)
设备/适配器
操作系统安装(150分钟*2)
升级Cisco3640IOS操作系统的(150分钟)
安装在线帮助,包括Info,电子书籍,配置书籍搜索程序
第三章、杭电网络工程施工过程
3.1网络设备详细信息和IP地址分配表
(见附表)
3.2VLAN间访问规则
注:
默认情况下VLAN间的IP包访问不受限制
3.3施工流程
以下是本次工程中网络设备的施工流程图
3.4施工过程
3.4.1Catalyst6506的安装过程
模块安装
安装6506的电源模块;
☆WS-X6K-S1A-MSFC2;
☆WS-X6408-GBIC;
☆WS-G5484;
☆WS-X6248-RJ-45;
☆WS-C6500-SFM
CiscoCatalyst6506由工厂根据定货单直接安装好标准配置的模块,但电源、路由等尚未安装,所以首先将待安装的各模块拆开,装入6506的电源插槽。
上电检查6506的各个模块的工作状态是否正常:
接入6506电源,由于6506有两个电源作为冗余,所以最好两个电源分别接入两路UPS电源上,这样即使当UPS其中一路电源故障时,不会影响整个6506交换机的正常远行,当6506交换机上电初始化结束后,从各个模块面板上的LED灯的状态可以判断各个模块的工作状态是否正常。
3.4.2配置Catalyst6506的系统参数
当6506交换机初始化结束后,就进入系统单机配置阶段。
对于6506来说,首先需要配置系统参数,其中包括以下几个部分:
机器名、口令和远程登陆等。
以下是具体配置过程:
cisco6506>enable
cisco6506>(enable)setsystemnamecisco6506
说明:
配置6506的名字为CISCO6506
cisco6506>enable
cisco6506>(enable)setenablepasswordcisco
说明:
配置6506的enable口令为cisco
cisco6506>enable
cisco6506>(enable)setinterfacesc01192.168.9.3/255.255.255.0
cisco6506>(enable)setiproute0.0.0.0/0.0.0.0192.168.9.254
说明:
配置6506的CPU模块上的以太网IP地址为:
192.168.9.3,且只允许本网段任何地址存取
3.4.3配置Catalyst6506的VLAN
网络IP地址分配策略
杭电校园网是覆盖全院的广域网络,其网络主干连接的节点多,因此,要保证网络的有效性和可管理性,网络地址的规划与分配是十分重要的问题。
网络地址是一种资源,必须经过优化的规划和设计,因为很难预测网络将来的规模和应用情况的发展,如果规划不当,将导致地址资源不够用,网络的扩展将受到极大的限制;如果规划过于庞大,则在现行运行过程中,网络的路由将会复杂,影响网络的效率。
网络地址的分配应遵循以下的原则:
◇唯一性:
在同一个互联网络内网络地址应该保持其唯一性;
◇简单性:
地址的分配应该简单,避免在主干上采用复杂的掩码方式;
◇连续性:
为同一个网络区域分配连续的网络地址,便于缩减路由表的表项,提高路由器的处理效率,这种技术称为地址叠合(Summarization);
◇可扩充性:
为一个网络区域分配的网络地址应该具有一定的容量,便于主机数量增加时仍然能够保持地址的连续性;
◇灵活性:
地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;
◇可管理性:
地址的分配应该有层次,某个局部的变动不要影响上层、全局。
在对一个具体部门拥有的某个或几个子区划分子网时,要根据本部门的具体应用需求来合理分配子网资源,并且要留有一定的余地,这要从子网数和某一个子网所拥有的最大主机数两个方面来考虑。
根据我们对杭电校园网的网络地址规划和分配的了解,我们采用以C类地址为主B类地址为辅的地址分配原则。
前二位(192.168)作为公共网络地址,第三位作为各VLAN的地址,并第四位的(254)作为各VLAN的网关
(地址分配表见附表)
杭电计算机网络根据业务功能的不同,可以分为51个VLAN,51个VLAN各自独立,分别属于不同的广播域,默认情况下不同VLAN间可互相访问,根据不同安全策略,access-list表可作访问控制
楼幢
机构
端口分配
VLANID
VLAN命名
网关
行政楼
党政办领导
1-18
VLAN10
DangZheng
192.168.10.254
人事处
19-24
VLAN11
RenShi
192.168.11.254
教务处
25-27
VLAN12
JiaoWu
192.168.12.254
科研财务
28-32
VLAN13
Xz_1_west
192.168.13.254
研究所
33-36
VLAN14
YanjiuSheng
192.168.14.254
组织、宣传、综合
37-42
VLAN15
XuanChuan
192.168.15.254
离休等
192.168.16.254
纪监、后勤、高教等
43-46
VLAN17
Xz_2_west
192.168.17.254
电教
CAD
1-2
VLAN18
Cad
192.168.18.254
电教
3-4
VLAN19
DianJiao
192.168.19.254
计算中心
5-10
VLAN20
Computer_Center
192.168.20.254
408自备房
11-14
VLAN21
Student
192.168.21.254
楼幢
机构
端口分配
VLANID
VLAN命名
网关
实验楼
文理学院
1-2
VLAN22
WenLi
192.168.22.254
机电分院
3-4
VLAN23
JiDian
192.168.23.254
自动化分院
5-6
VLAN24
ZiDongHua
192.168.24.254
财经分院
7-8
VLAN25
Caijing
192.168.25.254
管理分院
9-10
VLAN26
GuanLi
192.168.26.254
计算机分院
11-12
VLAN27
JiSuanJi
192.168.27.254
电子分院
13-14
VLAN28
DianZi
192.168.28.254
通信分院
15-16
VLAN29
Tongxin
192.168.29.254
信息分院
17-18
VLAN30
XinXi
192.168.30.254
CAE所
19-20
VLAN31
CAE
192.168.31.254
设备处
21-22
VLAN32
SB_other
192.168.32.254
网管
23-35
VLAN37
NIC_1(服务器)
192.168.37.254
37-42
VLAN33
NIC_2(备用)
192.168.33.254
43-48
VLAN46
NIC_3(学生)
192.168.46.254
计算机分院
1-2
VLAN38
proxy
192.168.38.254
3-4
VLAN39
computer_1
192.168.39.254
5-6
VLAN40
computer_2
192.168.40.254
7-8
VLAN41
computer_3
192.168.41.254
9-10
VLAN42
computer_4
192.168.42.254
11-12
VLAN43
computer_5
192.168.43.254
13-14
VLAN44
computer_6
192.168.44.254
楼幢
机构
端口分配
VLANID
VLAN命名
网关
图书馆
服务器
VLAN45
LIB_server
192.168.45.254
客户端
1-24
VLAN36
Lib_1
192.168.36.254
具体配置过程如下:
cisco6506>(enable)setvtpdomainhzdzgxy
cisco6506>(enable)setvtppasswdcisco
cisco6506>(enable)setvlan10namedangzheng
cisco6506>(enable)setvlan11namerenshi
cisco6506>(enable)setvlan12namejiaowu
cisco6506>(enable)setvlan13namexz_1_west
cisco6506>(enable)setvlan14nameyanjiusheng
cisco6506>(enable)setvlan15namexuanchuan
cisco6506>(enable)setvlan16namexz_other1
cisco6506>(enable)setvlan17namexz_other
cisco6506>(enable)setvlan18namecad
cisco6506>(enable)setvlan19namedianjiao
cisco6506>(enable)setvlan20namecomputer_center
cisco6506>(enable)setvlan21nameshudent
cisco6506>(enable)setvlan22namewenli
cisco6506>(enable)setvlan23namejidian
cisco6506>(enable)setvlan24namezidonghua
cisco6506>(enable)setvlan25namecaijing
cisco6506>(enable)setvlan26nameguanli
cisco6506>(enable)setvlan27namejisuanji
cisco6506>(enable)setvlan28namedianzi
cisco6506>(enable)setvlan29nametongxin
cisco6506>(enable)setvlan30namexinxi
cisco6506>(enable)setvlan31namecae
cisco6506>(enable)setvlan32namesb_other
cisco6506>(enable)setvlan33namenic_2
cisco6506>(enable)setvlan34namechengjiao
cisco6506>(enable)setvlan35namelib
cisco6506>(enable)setvlan36namelib_1
cisco6506>(enable)setvlan37namenic_1
cisco6506>(enable)setvlan38nameproxy
cisco6506>(enable)setvlan39namecomputer_1
cisco6506>(enable)setvlan40namecomputer_2
cisco6506>(enable)setvlan41namecomputer_3
cisco6506>(enable)setvlan42namecomputer_4
cisco6506>(enable)setvlan43namecomputer_5
cisco6506>(enable)setvlan44namecomputer_6
cisco6506>(enable)setvlan45namelib_server
cisco6506>(enable)setvlan46namenic_3
cisco6506>(enable)setvlan48namedialup
cisco6506>(enable)setvlan50name408
cisco6506>(enable)setvlan51namewytype
cisco6506>(enable)setvlan999namecache
!
说明:
设置6506的VLAN名字和VTP模式
cisco6506>(enable)settrunk2/1nonegotiateisl1-1005,1025-4094
cisco6506>(enable)settrunk2/2nonegotiateisl1-1005,1025-4094
cisco6506>(enable)settrunk2/3nonegotiateisl1-1005,1025-4094
cisco6506>(enable)settrunk2/4nonegotiateisl1-1005,1025-4094
cisco6506>(enable)settrunk2/5nonegotiateisl1-1005,1025-4094
cisco6506>(enable)settrunk2/6nonegotiateisl1-1005,1025-4094
cisco6506>(enable)settrunk2/7nonegotiateisl1-1005,1025-4094
cisco6506>(enable)settrunk2/8nonegotiateisl1-1005,1025-4094
说明:
设置6506的第二模块1-8口为主干模式,并采用ISL协议并不可磋商。
3.4.4配置配置6509交换机的三层交换模块
当在6506上划分了VLAN以后,桌面工作站就可以根据不同的需求分别加入到对应的VLAN中去,不同的VLAN的客户机就分别属于不同的广播域,有各自不同的IP地址段,当需要跨网段互相访问时,就必须通过路由。
6506可以带三层交换MSFC模块,本系统中由于在6506上有一个超级引擎上配置了一块MSFC模块,随着杭电计算机网络的发展,系统可能的情况下,就可以利用CISCO的HSRP协议作热备份,再配置一台或者多台支持HSRP协议的三层交换机,即当其中任何一块MSFC模块故障时,另外一块可以立即接替原来的模块继续工作,切换时间很短。
我们可实现51个VLAN分别优先运行在多个三层路由模块上,这样在系统无故障时,能到达路由数据负载分担的目的。
3.4.5配置6506交换机VLAN间的访问规则
当数据在VLAN间路由时,出于对各独立系统的安全考虑,在各VLAN路由端口上应用访问列表,使VLAN之间的数据按规则通过。
针对每个VLAN的所属机构将安全规则量化,再依次应用在端口上。
Access-list1permitanyany
其他VLAN的访问规则见最后的具体配置。
3.4.6配置6506交换机的CDP和SNMP
当交换机需要被网管时,必须配置交换机的CDP和SNMP参数,其中CDP协议是CISCO公司特有的一种协议,而SNMP是标准的简单网络管理协议。
其中SNMP协议需要有一个COMMUNITYNAME控制对交换机的读写,在本次工程中,我们定义了以下的COMMUNITYNAME:
READWRITE:
PRIVATE
READONLY:
PUBLIC
以下是具体配置命令:
cisco6506>enable
cisco6506>(enable)setcdpenable
说明:
启用6506交换机的CDP协议。
Ci
升级会员 