辽西大学校园网设计方案副本.docx
- 文档编号:28010190
- 上传时间:2023-07-07
- 格式:DOCX
- 页数:44
- 大小:319.90KB
辽西大学校园网设计方案副本.docx
《辽西大学校园网设计方案副本.docx》由会员分享,可在线阅读,更多相关《辽西大学校园网设计方案副本.docx(44页珍藏版)》请在冰豆网上搜索。
辽西大学校园网设计方案副本
辽西大学校园网
设计方案
设计人:
王喜兵代超刘晓明
朝阳师专网络技术1队
设计的主要内容主要是对辽西大学校园网的整体设计,根据校园网的现状进行升级和重建。
先对校园网对各种功能及要求进行分析,再根据分析得到的结果设计方案和拓扑,最后进行现场施工进行调试。
设计地点:
辽西大学
设计时间:
2012年11.1到1012年11.15
第一章需求分析
1.1校园网的概述
随着以信息技术为主要标志的科技进步日新月异,以数字化和网络化为主要特征的信息化浪潮正以汹涌之势席卷全球,对人类的未来产生着难以估量的深刻影响。
我们辽西大学为了加快校园信息化建设,需要建设一个高性能的、安全可靠的校园网络,校园网建成后,要求能够实现校园内部各种信息服务功能,实现与教育网的无阻碍连通,同时提供宽带接入功能,以备主连接失效情况下的备用连接要求,能够实现校园办公自动化需,实现信息和设备资源共享。
校园网络的建设可以简单的概括为:
内部将各网络节点连接起来,形成内部局域网;对外则通过路由设备接入互联网和教育网络。
但是,对于这样一个较为复杂的环境,建设一个高性能的校园网络并不是一件容易的事。
因此,只有事先充分的对网络需求进行详细的分析,才能为之后的网络设计与建设打下良好的基础。
1.2总体需求分析
校园网必须具备教学、管理和通讯三大功能。
教师可以方便地浏览和查询网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。
学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享。
1.3设计需求分析
1.3.1高性能与技术先进性
校园网网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性。
为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。
网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求;在各部门的工作组中采用交换技术,以保证在工作中网络的快速响应速度,用于提供较高的工作效率。
1.3.2高可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。
在网络骨干上要提供备份链路,提供冗余路由。
在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小,避免由于网络故障造成用户损失。
1.3.3VLAN划分
根据校园网的实际需求,属于同一部门的工作人员可能在不同的建筑物中,但需要在一个逻辑子网内。
网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。
虚拟网可以建立不受物理区域限制的,覆盖整个校园的相互具有一定独立性的逻辑子网,各逻辑子网间广播报文相互隔离并通过第三层的访问控制设置实现可管理的子网间的互相访问。
1.3.4可管理性
强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
1.3.5可扩充性
随着用户应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证用户现有的投。
1.4网络性能需求
有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等;
根据本工程的特殊性,语音点和数据点使用相同的传输介质,即统一使用超5类4对双绞电缆,以实现语音、数据相互备份的需要;
对于网络主干,数据通信介质全部使用光纤,语音通信主干使用大对数电缆;光缆和大对数电缆均留有余量;对于其他系统数据传输,可采用超5类双绞线或专用线缆。
1.5网络结构需求
1.5.1拓扑结构需求分析
网络采用接入层,汇聚层,核心层。
根据对我们校园网功能需求分析得出采用3层结构才能满足用户的需求,采用树型结构加网状结构的网络拓扑。
由于采用大型交换机技术,为了避免广播风暴带来不必要的带宽影响,因此要采用VLAN进行工作组的划分。
1.5.2网络节点需求分析
网络接入层,汇聚层,核心层节点位置的地理分布情况是,网络接入层节点设置在用户建筑物内,因为接入层终端设备(PC)较多,所以将汇聚层节点设置在接入层一起。
因为接入用户较多,且是内部交换网络,因此网络节点设备交换机要采用高性能,具备大型交换能力的设备。
同时对服务器的处理能力要求也比较高。
同时考虑到内网用户数据的安全性要求不高并加大网络建设和管理成本,但是为了改善主干链路数据流量的压力,增强网络性能,所以采用将服务器主机安排在汇聚层。
1.5.3网络链路需求分析
网络主干链路采用光纤传输介质。
网络主干链路无交通要道,多重障碍物。
网络主干链路采用架空走线的方式。
网络主干链路最大实际连接距离为2千米满足网络需求。
1.6网络安全需求分析
1.6.1系统软件和硬件的安全需求
路由器,交换机此类网络设备的安全功能需求不是很高,但是服务器,特别是内外网共享式服务器对其安全性能要求比较高,因为它承载了教务网信息系统的安全保障。
所以在服务器与路由器之间加个防火墙很有必要。
网络传输介质的保护也是一个很重要的部分,所以搭建校园时,加大这方面的力度也是有必要的。
在操作系统方面,尽量采用安全性较高的网络操作系统,并进行必要的安全配置,关闭一些不常用却有存在安全隐患的系统服务功能和端口。
网络操作系统,网络服务器软件等可能存在一些安全漏洞,应当及时对系统进行补丁程序升级,加固系统的安全性。
网络系统遵循安全规范和达到的安全级别,采用各种杀毒软件。
1.6.2数据安全需求
网络数据数据为的安全运行十分重要,必须保证这些系统不会遭到来自网络的非法访问和恶意破坏。
网络安全系统应当保证内网机密信息在存储与传输时的保密。
允许外部用户访问公共WEB或FTP服务器上的数据,但是不允许访问内部数据。
1.6.3用户认证需求
用户认证采用,锐揵拨号软件认证机制,使用个人学号作为帐户名,并对IP与MAC进行绑定,防止帐号盗用情况。
并且一个帐号只能登陆一次。
在帐户信息传递过程中,采用MD5数据加密认证方式。
入侵防护安全需求分析:
配备IDS(入侵检测系统),对透过防火墙的攻击进行检测并做出相应反应(如记录,报警,阻断)。
采用入侵检测系统和防火墙的配合使用,可以实现网络多重防护系统。
安全隔离系统必须保证内部网络的有效运行。
在技术方面还应注意来自内网的入侵和攻击。
1.6.4网络可靠性需求分析
在一个大型网络系统中,系统每个时刻都要采集大量的数据并进行处理。
因此,网络系统的故障有可能给用户带来不可估量的损失,这就要求系统具有高度的可靠性。
提高系统可靠的方法有如下一些方面:
部分用户网络系统采用RAID进行数据自动备份;部分用户网络系统进行数据远程异地备份:
部分网络系统要采用系统备份恢复功能;对重要服务器采用双机热备功能;主要网络设需要考虑可离线应急操作,相同设备之间应当可相互替代;进行网络可靠性设计时,关键在于网络不能因出现单点故障而引起全网瘫痪,所以要重点考虑到设备,软件,链路的冗余备份。
第2章拓扑结构
2.1拓扑结构
2.2拓扑结构说明
整体校园网的拓扑结构包括核心机房,办公室网络,公共机房,学生公寓网络,办公室网络,一个防火墙和一个广域网的接入。
核心机房主要由服务器,三层交换和路由器组成,服务器主要提供ip地址的分配和域名的转换,及提供上网服务。
办公室由四个接入层交换机和一个汇聚层叫交换机组成;教学楼,图书馆,学生公寓也都有接入层交换机和汇聚层交换机等组成。
第3章校园网系统设计
3.1应用软件和操作系统的选择
网络操作系统是网络系统与用户之间的接口,主要用来屏蔽本地资源与网络资源的差异性,为用户提供各种基本网络服务功能,完成网络资源管理,并保证系统的安全服务。
目前的网络操作系统主要有Novell公司的Netware、Microsoft公司的WindowsNT、IBM公司的OS/2WarpServer、BanyanSystems公司的VINES以及UNIX等五种网络操作系统。
要想正确选择网络操作系统,一般要从目录服务、客户机/服务器消息传递、管理能力以及Internet和Intranet连接性能等四个方面加以考虑。
由于校园网的规模一般都不会太大,在目录服务方面的要求并不高,而由于采用Internet/Intranet技术,在Internet和Intranet的连接性方面要求非常高。
再综合考虑系统的网管能力、应用软件的支持、用户的熟悉程度、多媒体信息的处理能力、图形用户界面的需求、应用开发的方便等方面的因素,最适合于校园网的操作系统应该是WinsdowsNT。
----WindowsNT是以Windows及其他操作系统(如UNIX、VMS、MVS)的技术为基础的主从结构专用的高性能、开放式的操作系统。
它保持了易学易用的Windows界面,而且,最重要的是,WindowsNT可以让使用者选择许多高性能且易用的应用软件,包括全新的32位Windows应用软件与现行的Windows、MSDOS、OS/2等系统的应用软件。
但WindowsNT毕竟对各种网络应用集成得不够,尤其是在NT推出的早期,这类应用多由第三方软件提供,这些外来软件与NT的结合多少会产生某些问题,有些可能会危及系统。
另外,NT能同时登录的用户数也不多,在大型校园网的应用方面可能会出现一些问题。
UNIX系统从设计的开始就是一个网络操作系统,随着Internet的发展而迅速成长,系统本身集成了许多Internet上的常见应用,具有非常好的连接性。
此外,UNIX系统的稳定性和安全性也非常好,能同时登录的用户数很多,适用于大型的校园网络。
但由于它的界面不够友好,在其上开发的应用软件相对较少,不太适于桌面应用。
因此,对于大型的校园网,可将UNIX与WindowsNT结合起来使用。
例如,可以把应用软件和数据库安装在WindowsNT服务器上,把Internet服务组件安装在UNIX服务器上。
3.2硬件设备的选择及功能描述
现在校园网大多采用以太网拓扑结构,其常用的网络硬件设备有网卡、集线器、交换机、路由器、服务器及工作站、PC机、网线等。
下面介绍我们辽西校园网中用的硬件设备:
(1)网卡:
网卡也叫网络适配器,是连接计算机与网络的硬件设备。
功能:
通过网络线缆与其他网络设备连接进行数据交换、共享资源等。
现在网卡主要采用RJ-45连接器,支持全双工模式,速率有10M、100M、1000M。
(2)交换机、集线器(HUB):
集线器是共享带宽式的,其带宽由它的端口平均分配。
交换机每一端口都有其专用的带宽。
现在交换机和集线器普遍采用了自适应技术,可以自动适应端口速率。
功能:
不需用户参与设定的情况下,自动以最高速率连接。
用户计算机校园网专线上网都需要连接到这些设备上。
(3)路由器:
路由器是网络中进行网间连接的关键设备。
作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP的国际互连网络Internet的主体脉络,也可以说,路由器构成了Internet的骨架,它的可靠性则直接影响着网络互连的质量。
路由器的基本功能是把数据(IP包)正确的传送到目标网络。
(4)服务器和工作站:
一些常用的网络应用服务设备主要是采用专业的服务器,因其具有更好的安全性和可靠性、更加注重系统的I/O吞吐能力,一般采用了双电源、热拔插、RAID硬盘等技术。
根据实际应用情况也可以购买相应的专业工作站。
(5)网络线缆:
目前常用的网络线缆主要是双绞线、光缆等,以前同轴线缆采用较多现在己不太常用。
双绞线分为屏蔽双绞线(STP)和非屏蔽双绞线(UTP),双绞线配套使用的还有RJ-45水晶头,用于制作双绞线与网卡RJ-45接口间的接头。
光纤是新一代的传输介质,因为光纤不会向外界辐射电子信号,所以使用光纤介质的网络无论是在安全性,可靠性还是网络性能方面都有了很大的提高。
现在有两种不同类型的光纤,分别是单模光纤和多模光纤。
使用光纤传递数据的质量更高,传输距离更长。
如果使用光纤作为传输介质,有时需增加光电收发器等其他具备光接口的网络设备。
3.3交换机的模块设置及配置
为了简化交换网络设计、提高交换网络的可扩展性,及性能的提高,我们将校园网数据交换设备划分为三个层次:
访问层、分布层、核心层。
传统意义上的数据交换发生在OSI模型的第2层。
现代交换技术还实现了第3层交换和多层交换。
高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了校园网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(VirtualLAN,VLAN)的概念。
VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络治理人员需要治理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingPRotocol,VTP)简化治理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本治理域中的所有交换机上。
这样,大大减轻了网络治理人员的工作负担和工作强度。
当园区网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性可能会造成交换环路问题,这需要通过在各交换机上运行生成树协议(SpanningTreeProtocol,STP)来解决。
一个好的校园网设计应该是一个分层的设计。
一般分为三层设计模型。
访问层为所有的终端用户提供一个接入点。
这里的访问层交换机采用的是CiscoCatalyst295024口交换机(WS-C2950-24)。
交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是Cisco的IOS操作系统。
我们以图1-1中的访问层交换机accessSwitch1为例进行介绍。
3.3.1访问层交换机的配置
(1)交换机名称
设置交换机名称,也就是出现在交换机CLI提示符中的名字。
一般我们会以地理位置或行政划分来为交换机命名。
当我们需要Telnet登录到若干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。
如图2-1所示,为访问层交换机AccessSwitch0命名。
(2)设置交换机的加密使能口令
当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。
此口令会以md5的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。
如图2-1所示,将交换机的加密使能口令设置为secretpasswd。
设置登录虚拟终端线时的口令
对于一个已经运行着的交换网络来说,交换机的带内远程治理为网络治理人员提供了很多的方便。
处于安全考虑,在能够远程治理换机之前网络治理人员必须设置远程登录交换机的口令。
图2-2为访问层交换机设置口令bisai
(4)设置终端线超时时间
为了安全考虑,可以设置终端线超时时间。
在设置的时间内,如果没有检测到键盘输入,IOS将断开用户和交换机之间的连接。
如图2-3所示,设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟。
图2-3设置控制台终端线路和虚拟终端线路的超时时间
(5)设置禁用IP地址解析特性
交换机默认配置的情况下,当我们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。
利用命令noipdomain-lookup。
可以禁用这个特性
图2-4设置禁用IP地址解析特性。
(6)配置访问层交换机端口基本参数
①端口双工配置
可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以强制将端口双工模式设为半双工或全双工模式。
在了解对端设备类型的情况下,建议手动设置端口双工模式。
图2-5设置访问层交换机的端口工作模式
②端口速度
可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端口速度设为10Mpbs或100Mbps。
在了解对端设备速度的情况下,建议手动设置端口速度。
图2-6访问层交换机的端口速率
3.3.2分布层交换机的配置
分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。
这里的分布层交换机采用的是CiscoCatalyst3550交换机。
作为3层交换机,CiscoCatalyst3550交换机拥有24个10/100Mbps自适应快速以太网端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的IntegratedIOS操作系统。
图3-1分布层交换机的配置参数
⑵配置分布层交换机DistributeSwitch1的VTP
当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的VLAN。
工作量很大、过程很繁琐,并且容易出错。
因此我们常采用VLAN中继协议(VlanTrunkingProtocol,VTP)来解决这个问题。
VTP允许我们在一台交换机上创建所有的VLAN。
然后,利用交换机之间的互相学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。
同时,有关VLAN的删除、参数更改操作均可传播到其他交换机。
从而大大减轻了网络管理人员配置交换机负担。
在本校园网实现实例中使用了VTP技术。
同时,将分布层交换机设置成为VTP服务器,其他交换机设置成为VTP客户机。
①配置VTP管理域
共享相同VLAN定义数据库的交换机构成一个VTP管理域。
每一个VTP管理域都有一个共同的VTP管理域域名。
不同VTP管理域的交换机之间不交换VTP通告信息。
将VTP管理域的域名定义为"campus"
图3-2设置vtp管理域的域名
②设置VTP服务器
工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。
同时,还有责任发送和转发VLAN更新消息。
如图3-3所示,设置分布层交换机成为VTP服务器
(3)配置分布层交换的端口基本参数
分布层交换机的端口FastEthernet0/1~FastEthernet0/10为服务器群提供接入服务,而端口FastEthernet0/20~24分别下连到5个访问层交换机的端口FastEthernet0/23~24上。
此外,分布层交换机还通过自己的千兆端口GigabitEthernet0/1上连到核心交换机的GigabitEthernetG0/1。
为了实现冗余设计,分布层交换机还通过自己的千兆端口GigabitEthernet0/2连接另一台到分布层交换机的GigabitEthernet0/2。
如图3-4交换机的配置
3.3.3.核心层交换机的配置
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。
本实例中的核心层交换机采用的是CiscoCatalyst3560交换机,运行的是Cisco的IntegratedIOS操作系统。
⑴配置核心层交换机CoreSwitch的基本参数
对核心层交换机CoreSwitch的基本参数的配置步骤与对访问层交换机的基本参数的配置类似。
如图3-1所示,核心层交换机的基本配置参数
⑵配置核心层交换机CoreSwitch的管理IP、默认网关
如图3-2所示,显示了为核心层交换机CoreSwitch设置管理IP并激活本征VLAN。
⑶配置核心层交换机的VLAN及VTP
在本实例中,核心层交换机也将作为VTP客户机。
这里核心层交换机将通过VTP获得在分布层交换机中定义的所有VLAN的信息。
如图3-3所示,设置核心层交换机成为VTP客户机。
⑷配置核心层交换机的端口参数
核心层交换机通过自己的端口F0/24同广域网接入模块(Internet路由器)相连。
同时,核心层交换机的端口G0/1-0/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet0/1。
如图3-4所示,给出了对上述端口的配置命令。
⑸配置核心层交换机的路由功能
核心层交换机通过端口FastEthernet0/24同广域网接入模块(Internet路由器)相连。
因此,需要启用核心层交换机的路由功能。
同时,还需要定义通往Internet的路由。
这里使用缺省路由命令。
其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet0/0的IP地址。
3.4广域网接入模块设计
在本设计中,广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。
采用的是Cisco的3640路由器。
它通过自己的串行接口serial0/0使用DDN(128K)技术接入Internet。
它的作用主要是在Internet和校园网内网间路由数据包。
除了完成主要的路由任务外,利用访问控制列表(AccessControlList,ACL),广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。
如图4-1广域网的接入路由
⑴配置接入路由器InternetRouter的基本参数
对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机的配置。
如图4-2配置接入路由器InternetRouter的基本参数
⑵配置接入路由器InternetRouter的各接口参数
对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet0/0以及接口Serial0/0/0的IP地址、子网掩码的配置。
如图4-3所示,显示了为接入路由器InternetRouter的各接口设置IP地址、子网掩码。
⑶配置接入路由器InternetRouter的路由功能
在接入路由器InternetRouter上需要定义两个方向上的路由:
到校园网内部的静态路由以及到Internet上的缺省路由。
到Internet上的路由需要定义一条缺省路由,如图4-4所示。
其中,下一跳指定从本路由器的接口serial0/0/0送出。
⑷配置接入路由器InternetRouter上的NAT
由于目前IP地址资源非常稀缺,对不可能给校园网内部的所有工作站都分配一个公有IP(Internet可路由的)地址。
为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。
为了接入Internet,假设本校园网向ISP申请了14个IP地址。
其中一个IP地址:
193.1.14.1被分配给了Internet接入路由器的串行接口,另外8个IP地址用作NAT。
NAT的配置可以分为以下几个步骤。
定义NAT内部、外部接口
图4-5显示了如何定义NAT内部、外部接口。
图4-6显示了如何定义允许进行NAT的内部局部IP地址范围。
图4-7 为服务器定义静态地址转换
3.5服务器模块设计
服务器模块用来对校园网的接入用户提供各种服务。
在本设计方案中,所有的服务器被集中到VLAN60中构成服务器群并通过分别层交换机DistributeSwitch1的端口fastethernet1~10接入校园
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 辽西大学校园网设计方案 副本 辽西 大学 校园网 设计方案
![提示](https://static.bdocx.com/images/bang_tan.gif)