校园网络优化设计方案.docx

校园网络优化设计方案.docx

《校园网络优化设计方案.docx》由会员分享，可在线阅读，更多相关《校园网络优化设计方案.docx（22页珍藏版）》请在冰豆网上搜索。

校园网络优化设计方案

湖南信息职业技术学院

学生毕业设计（论文）

题目：

校园网络优化设计方案

姓名：

学号：

系（部）：

运算机工程系

专业：

运算机网络

指导教师：

开题时刻：

2020年5月22日

完成时刻：

20010年10月22日

2020年10月22日

摘要：

本文依照学院网络目前存在的某些问题。

比如：

设备老化、品牌混杂、带宽不足、私拉乱接等。

第一是对网络承载平台进行硬件设施的优化，重整架构，建造一个高性能、高带宽、稳固靠得住的校园网承载平台。

治理操纵。

第二通过强化网络治理与接入认证，达到净化网络应用环境，优化网络空间的目的，让垃圾信息没有效武之地。

让真正的应用大行其道。

本方案的重点是提升设备利用率，优化流量。

关键词：

校园网;优化方

Abstract:

AccordingtosomeoftheexistingUniversitynetworkexample:

agingequipment,brandmix,insufficientbandwidth,privatepullrandomaccessandsofirstisthenetworkhostplatformhardwareoptimization,restructuring,constructionofahigh-performance,highbandwidth,reliablecampusnetworkload,throughenhancednetworkmanagementandaccesstocertification,topurifythenetworkenvironment,thepurposeofoptimizingthenetworkspace,sothatspamtorealfocusofthisprogramistoenhanceequipmentutilization,optimizetheflow.

Keywords:

Campusnetwork;optimizationside

1学院网络概述

校园网络功能概述

学院网络自2000年-2001年有电信进行初建后学院一次性买断。

网络最初采纳二层结构接入层加核心层，一台Cisco4006作为核心4台Cisco1900+及22台Cisco2950作为接入，每栋楼通过1000M多模光纤与网络中心机房进行连接，通过方正Gate100防火墙连接电信100M光纤提供全院互连网接入。

2003年末因冲击涉及冲击波杀手病毒发作，在进行有效性论证后对学院网络进行了二次改造，率先引进了三层网络结构方案，并购买了6台S3550汇聚互换机对网络进行了整体改造，同时将原Gate100防火墙升级为FG3000100M防火墙。

2005年学院南院开始建设，南院一、二、3、4、5栋、教学楼共增加了5台S3550汇聚互换机、38台S1926F+接入互换机（部份由学院投资部份由网通公司带资购买）。

网通公司带资南院建设后作为协议的一部份增加了一条100M限80M网通互连网接入，为配合双路接入购买了一支持多路接入的FG8360（IA）1000M级防火墙。

后学院实验楼开始建设在与基础实训中心协商后购买了11台S1926F+接入互换机改换了北院8栋的4台Cisco2950-48，将4台Cisco2950-48利用在实验楼。

2006年学院核心互换设备因在99%负荷下工作了几年，主控电路板坏学院改换了RS6806E核心互换机。

作为1000M级校园网建设我院走在了前面，但因网络因用效劳的扩展（电驴、BT、P2P软件、网络病毒的多样化）、学院用户量的增加，同时我院对学生段接入方式采纳的为不限流量不限类型，2005年当学院增强机房建设同时可上网PC的大幅度降价（一般PC价钱只需2500元），用户量增加学院网络显现了在顶峰期网络延时大及断线情形。

用户量增加及网络应用多样化，学院两条出口电信100M及网通80M利用率别离到了99M及77M出口带宽严峻不足。

用户量增加及网络应用多样化，学院FG8360X86级防火墙并发延时处置因利用的为CPU轮寻处置，CPU负荷长期处于80%-96%，2005-2006年方正公司虽对防火墙进行了多次处置未达到优化成效，2006年防火墙更因负荷过重缘故损坏反厂维修时刻达4个月之久。

核心互换机设备陈腐原Cisco4006核心互换机作为我院核心互换设备CPU利用率99%已工作3年，现个大学只做为三层设备乃至已淘汰不利用，后核心互换机负荷过重损坏后已改换。

接入互换设备功能不强，对用户的可控性及网络可控性不强，设备的处置能力不佳在接入互换机上起任何操纵都会致使互换机死机。

学院内应用效劳效劳器无，用户大量资源及在线电视都是由公众网取得重复下载占用出口带宽。

为了进一步推动学校信息化建设，打造全国一流的高职院校，学校现打算对现有的校园网进行改造，目标是把学校校园网建设成为“高速、稳固、平安、可控、可管”的全数字化校园网，如此以便更好的为教师和学生提供更好的学习、生活环境。

网络系统

学院采纳接入层、汇聚层（散布层）、核心层三层模式。

1.接入层的要紧设备是锐捷S212六、1926+系列和cisco的2950.

2.汇聚层要紧利用锐捷S3760、S3550,其中S3550是一款应急产品事实上和S2126是一个系列，并非具有做汇聚层应有的带宽。

3.核心层利用的是飞塔的FG-3016B是款企业级千兆防火墙，退下来的FG8360（IA）1000M级防火墙未启用。

核心互换机利用的是锐捷S6068E具有的背板带宽，286Mpps的包转发率。

以下防火墙的部份参数（FG-3016B）

项目

FG-3810A

FG-3600A

FG-3016B

FG-1240B

FG-1000A/FA2

防火墙性能

7-48Gbps

6-10Gbps

16-20Gbps

40-44Gbps

2Gbps

VPN性能

1-19Gbps

最大并发会话

2M

1M

1M

2M

600K

每秒新建会话

40K

40K

25K

100K

15K

VPN隧道数

64K

64K

64K

20K

10K

防病毒性能

500Mbps

400Mbps

300Mbps

450Mbps

200Mbps

IPS性能

4Gbps

3Gbps

2Gbps

1Gbps

最大策略数

100K

100K

100K

100K

100K

学院大部份互换机的参数

项目

R-S6806

R-S3550-12G

R-S3760-24

R-S3550-24

R-S2126

产品类型

万兆核心交换机

三层千兆交换机

三层千兆交换机

三层千兆交换机

二层交换机

背板带宽

48Gbps

包转发率

286Mpps

18Mpps

接口类型

视模块

GBIC接口

4个SPF、4个千兆、24个百兆

24个百兆、2个SPF

24个百兆

接口数目

视模块

12口

32口

20K

10K

传输速率

10/100/1000Mbps

10/100/1000Mbps

10/100/1000Mbps

10/100/1000Mbps

10/100Mbps

传输方式

存储转发

存储转发

存储转发

存储转发

存储转发

网管功能

SNMP、SSH等

SNMP、SSH等

SNMP、SSH等

SNMP、SSH等

SNMP、SSH等

效劳系统

启用的：

两台邮件效劳器（一主一备份）、两台web效劳器（一主一备份）、一台计费效劳器、一台认证效劳器、一台DHCP效劳器。

一台DNS（未启用）、两台资源效劳器（刀片效劳器可能的总硬盘容量），和一台做镜像的效劳器等。

学校可能16个公有IP。

布线系统

学校都是采纳单链路结构，无冗余链路。

千兆光纤到栋楼设备间，网管中心到南院各楼栋设备间采纳单模。

网管中心到北院各楼栋设备间采纳多模光钎。

工作间实现双绞线100M到桌面。

2平台优化

校园网优化思路

平台优化。

第一是对网络承载平台进行硬件设施的优化，重整架构，建造一个高性能、高带宽、稳固靠得住的校园网承载平台。

治理操纵。

第二通过强化网络治理与接入认证，达到净化网络应用环境，优化网络空间的目的，让垃圾信息没有效武之地。

让真正的应用大行其道。

资源整合。

整合目前零星的网络应用和能用的硬件资源，在网络平台的基础上，成立校园内网资源效劳。

拓扑优化

学校此刻的网络拓扑结构

改造后网络拓扑图

学院现有的出口带宽是400M（3根100M电信，一根100的网通）。

1.方正FG8360走一根电信100M，要紧负责家眷区和北院教学区及办公区的上网。

2.飞塔FG3016B走2根300M（200M电信，100M网通）。

负责北院2栋、3、栋、4栋、5栋、8栋和南院1-7栋的上网。

在防火墙上启用IPSEC隧道与东院成立VPN连接，完全解决两校区的互访问题。

3.利用双防火墙与核心互换机和扩展核心互换机实现冗余，锐捷3550-12G是款全千兆互换机拥有48Gbps之前做过临时核心.考虑抵家眷区和教学区要紧的网络流量是访问Internet网和学校邮件效劳器.并无专门频繁的内部文件互传，因此可不能需要很高的带宽。

利用单独出口能够维持上网带宽的稳固性可不能因为学生上网顶峰而阻碍到办公。

同时也简化了流量不用再通过核心，减少了核心的负荷。

通过扩展核心直接与各效劳器相连提高了访问速度。

4.核心冗余利用浮动路由实现。

流量优化

2.3.1合理的vlan和ip计划

建定IP子网的聚合点，聚合点以下采纳持续的子网划分。

使聚合点向核心路由互换机通告最少的路由。

依照IP子网的计划，对互换机进行VLAN的计划和划分。

成立VLAN和IP子网的对应关系。

IP地址的分派必需采纳VLSM技术，充分合理利用已申请的地址空间，保证IP地址的利用效率，采纳CIDR技术，减小路由器路由表的大小，加速路由器路由的收敛速度，也能够减小网络中广播的路由信息的大小；在三层路由互换机成立相应的VLAN和与VLAN绑定的IP子网网关。

vlan计划。

一台互换机一样供一层楼处在同一个vlan内，常常会因为一个人的电脑中病毒或弄各类解决致使整层楼上网很慢乃至断网。

事实上个寝室之间的通信并非频繁。

为了解决那个问题咱们能够在原有基础上划分多个vlan再结合以后要做的网络广播操纵，如此一来个人弄ARP解决无异于自杀。

ip的计划。

家眷楼1-7栋利用的vlan17—vlan23对应的网段是—考虑到扩展划分的是：

—教学楼利用的vlan65—vlan66对应的是—考虑到扩展划分的是：

—而图书馆利用的却是vlan101，网段由于当初的太高的考虑扩展需求浪费了太多ip，依照改造后的拓扑，和实际需求能够将家眷区、教学楼、图书馆归并成：

（—）

2.3.2路由优化

学校此刻部份路由：

缺省路由：

iproute0.0.0.0GigabitEthernet3/2

家眷1-7栋：

iprouteVlan110.0.0.230

图书馆：

iprouteVlan110.0.0.230

北院教学区：

iprouteVlan110.0.0.190

南院教学区：

iprouteVlan110.0.0.50

南院五栋：

iprouteVlan110.0.0.50

以下的是给教师宿舍及楼栋：

南院一栋:

iprouteVlan110.0.0.10

iprouteVlan110.0.0.10

南院六栋:

iprouteVlan110.0.0.60

iprouteVlan110.0.0.60

北院八栋:

iprouteVlan110.0.0.170

iprouteVlan110.0.0.170

上面咱们已经做过了ip从头计划，比如南院一栋教师宿舍的vlan106对应的网段，每一栋都留有备用。

用备用网段取代原网段

优化方案：

家眷1-7栋、办公楼、图书馆:

iprouteVlan110.0.0.230;

南一栋及教师宿舍：

iprouteVlan110.0.0.10

南五栋及教学楼：

iprouteVlan110.0.0.50

南六栋及教师宿舍：

iprouteVlan110.0.0.60

北八栋及教师宿舍：

iprouteVlan110.0.0.170

2.3.3提升设备利用率，优化流量

P2P应用消耗了大量的网络带宽，对某些P2P要进行完全的限制（如电驴、电骡、迅雷）

由于没有流控设备。

只能用互换机实现，

①限制带宽

例如:

利用互换机的QOS实现限速，学校的S2126及以上都能够实现，

那我寝室来讲6个人上网，网段：

。

接口：

interfacefastEthernet0/22

配置如下：

ipaccess-listextendedxiandan配置ACL

permitipany0.0.0.255

denyipanyany

class-mapfanfan设置分类映射图

matchaccess-groupxiandan匹配ACL

policy-map1m设置策略映射图

classfanfan匹配分类映射图

police100000065536设置限制带宽1Mbps，猝发流量65536byte

InterfaceFastethernet0/2进入F0/2，交换机的上行端口（出口）

mlsqostrustcos启用QoS

service-policyinput1m对输入带宽生效

②限制UDP范围

通过缩小端口取值来减少连接数，比如迅雷一样有几百条链接，也就开启了几百个UDP端口，而若是咱们不用迅雷有几百个端口就够用了。

能够设定把UDP端口大于2000的数据全数抛弃，如此限制了一些利用当关于提高网速极为有效，但会照成个别应有无法正常利用。

因此还需要额外的许诺某些特定端口通过。

③操纵广播包

学院网络的数据处置方式是：

接入处置不了的往汇聚丢、汇聚处置不了那么往核心丢容易照成过量的广播包，和一些中病毒的电脑不断的发广播包，极大的占用了资源.ACL那么能够解决这一问题，锐捷S2126G只能做进接口的ACL。

于是选择把ACL做在汇聚上。

假设网段为145到150配置应用到汇聚对下的trunk。

配置如下：

ipaccess-listextendednet

denyipany0.0.0.0

denyipany0.0.0.0

denyipany0.0.0.0

denyipany0.0.0.0

denyipany0.0.0.0

denyipany0.0.0.0

permitipanyany

④动态地址配置

关于学生区利用DHCP效劳器动态分派给客户端分派IP地址、DNS效劳器、网关等配置信息。

而且接入互换机配合RG-SAMII认证计费系统，实现以下地址治理：

关于静态分派地址的用户，只有效预先分派的IP地址才能够上网；

关于动态分派地址的用户，只有通过DHCP方式取得IP地址才能够上网；

取得有效IP地址上网后，试图修改IP地址，均会自动与网络断线；

以上手腕，保证了IP地址可不能冲突，因此能够对IP地址资源的利用进行有效的治理和操纵。

教学区和办公区为了稳固起见，在DHCP效劳器的基础上对三层互换机启用DHCP效劳，保证在DHCP效劳器显现故障的情形下依旧能获取到IP地址、DNS效劳器、网关等配置信息。

配置如下：

servicedhcp开启互换机上DHCP效劳

ipdhcppoolvlan88地址池名称

network分派地址池网段，掩码

dns-server默许DNS效劳器地址设置

default-router默许网关设置

leaseinfinite租期：

永久

exitipdhcpexcluded-address排除ip平安优化

ARP解决

解决：

ARP欺骗

ARP欺骗者：

发送虚假的ARP请求报文和响应报文，报文中的源IP和源MAC均为虚假的，或错误的网关IP和网关MAC对应关系，扰乱局域网中各PC和网关中保留的ARP表，使得网络中的合法PC正常上网、通信中断，而且流量都可流入到解决者手中。

欺骗的防范：

利用互换机端口ARP检查平安功能：

打开ARP报文检查ARP报文中的源IP和源MAC是不是和绑定的一致，可有效避免平安端口上欺骗ARP，避免非法信息点冒充网络关键设备的IP（如效劳器），造成网络通信混乱。

利用ANTI-ARP-SMOOFING功能：

防范互换机下连口的终端设备冒

3.充网关的ARP欺骗。

下面是接入互换机防ARP解决的几种常见方式：

静态地址+ARP-Check

手工在接入互换机上输入用户的MAC和IP，进行绑定

锐捷2126G对报文的源地址进行检查，对非法的解决报文一概抛弃处置该操作不占用互换机CPU资源，直接由端口芯片处置

静态地址+ARP-Check

弱点：

不适合与DHCP方式；不适合大规模部署；不适合笔记本用户；需要大量占用互换机的ACE资源

DHCP+ARP-Check

网络必需采纳DHCP动态获取地址若是接入互换机存在多个VLAN，那么需要利用Option82技术用户通过DHCP获取地址时，21互换机遇读取相关的DHCP报文，获取用户的MAC和IP的信息在互换机上进行绑定。

（DHCP-Relay+Option82）

锐捷2126G对报文的源地址进行检查，对非法的解决报文一概抛弃处置。

该操作不占用互换机CPU资源，直接由端口芯片理。

弱点：

DHCP协议本身存在私设效劳器，泛洪解决等问题，若是是原先没有利用dhcp技术，专门为了解决ARP欺骗而引入该技术；由于高教网络复杂，通常接入存在多个网段，且在面向数万人部署时，DHCP压力也超级大。

因此该方案并非适合高校的大规模部署。

SAM+ARP-Check

网络中有SAM，必需是全数的身份认证环境，锐捷2126G互换机在认证进程中读取SAM报文，获取到用户的MAC和IP信息，进行绑定，不占有互换机资源

锐捷2126G对报文的源地址进行检查，对非法的解决报文一概抛弃处置。

该操作不占用互换机CPU资源，直接由端口芯片处置。

该方案有身份认证的环境中，超级适合。

不受地址获取方式，网络规模等限制，适于大规模部署。

超级适合于湖南信息职业技术学院目前的情形下完全解决ARP解决问题。

IP/MAC欺骗解决

1.MAC欺骗：

盗用合法用户的MAC地址，侵入网络，使得正经常使用户无法上网；

2.IP欺骗：

盗用合法用户的IP地址，使取得合法用户的通信得不到响应，造成Pingofdeath，和ICMP不可达风暴；不断修改IP，发送TCPSYN连接，解决Server，造成SYNFlood。

防范：

互换机端口平安：

端口静态绑定；

互换机整机绑定IP和MAC地址；

DHCP动态绑定；

；

检查IP报文中源IP和源MAC是不是和互换机中治理员设定的是不是一致，不一致，报文抛弃，并发送告警信息。

DoS/DDoS欺骗解决

Dos解决：

占用网络带宽，占用效劳器提供的效劳资源，表现为合法用户的请求得不到效劳的响应，被解决方的CPU满负荷或内存不足。

解决报文主若是采纳假装源IP。

防范：

RFC28227的入口过滤规那么。

STP解决

发送虚假的BPDU报文，扰乱网络拓扑和链路架构，能够致使整个校园网瘫痪。

防范：

利用互换机具有的BPDUGuard功能，能够禁止网络中直接接用户的端口或接入层互换机的下连端口收到BPDU报文。

从而防范用户发送非法BPDU报文。

关于接入层互换机，在没有冗余链路的情形下，尽可能不用开启STP协议。

IP扫描解决

许多黑客解决、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用网络带宽，致使正常的网络通信无法进行。

防范：

防IP扫描：

检测用户、隔离用户（发日记信息）、恢复通信（发日记信息）

被监控的解决主机数量、隔离用户的时刻都能够依照网络实际状况设置。

4治理操纵

互换机的网络治理问题

网络治理能够说是网络中最薄弱的一个环节，因为一旦解决者登录互换机，那么互换机配置的所有平安防范方法那么子虚乌有，因此必需重视互换机治理平安。

一、一样的网络治理协议：

SNMPv2，Telnet，Web等都是明文登录和传输信息的。

因此，尽可能利用SSH、SNMPv3等秘文传输方式登录互换机，因为它们都与互换机之间都是加密传输。

二、治理VLAN与用户VLAN分开。

3、互换机上不用的端口划在一个VLAN中，并将这些口Shutdown，需要历时，再开启。

4、限制能够治理互换机的IP，锐捷互换机均支持Telnet和Web的源IP访问操纵列表。

基于用户上网故障的准确分析

由于学校师生数量庞大，上网用户众多，那么对用户上网情形的准确把握也是对校园网有效治理的一项内容，若是说目前有那些用户在线，他们的网络参数如用户的IP、用户的MAC、用户的接入互换机IP、用户所接的互换机端口、用户的网关、用户的子网掩码、用户的DNS等是什么，若是用户说我我不能上网如何办？

网管教师问你的IP配的对么？

你的网管配的对么？

你的DNS是配的某某么？

若是网管教师常常如此做，不仅让网管教师的工作效率大打折扣、而且常常会被一些琐碎的小事占去很多宝贵时刻。

那么如何才能解决上面提到的问题呢？

锐捷网络RG-SAM提供了专门好的解决方法。

第一用户不能上网分为两种情形：

一、用户本身就没有通过认证：

基于这种情形，用户本身就没有通过认证，那么用户是必然不能上网的。

那个时候锐捷网络解决方案能够从多方面提示用户和网管教师用户不能通过认证的缘故。

如在用户端，若是用户不能通过认证，系统会提示用户如“您的IP地址不正确”、“您的MAC地址不正确”、“您的帐号已欠费”等等，如以下图所示：

同时在效劳器端会有一样的显示，如以下图：

二、用户能够通过认证但不能上网：

这种情形是在校园网中常常碰到的一种情形，超级普遍。

因为利用网络的用户的水平良莠不齐，而且很多学生都不依照网管教师的要求去做，如用户的网关不正确或DNS不正确，都将致使用户通过认证后但不能上网，而用户却不明白那个缘故，这时他也会给网管教师打，如此的话网管教师天天就只有不断的接来问用户其网络参数是不是配置正确？

为了解决那个问题，锐捷网络的解决方案能够有效的查找用户的网络参数，如用户的IP、用户的MAC、用户的接入互换机IP、用户所接的互换机端口、用户的网关、用户的子网掩码、用户的DNS等，通过查看来告之用户的那些网络参数配置错误，如此不仅大打提高了工作效率，还减少了沟通的障碍。

如以下图：

高效的内网定位策略

为了保证接入用户身份的准确性，利用锐捷RG-SAM与互换机配合可对用户多元素进行绑定，如用户名、用户IP、用户MAC、接入互换机IP、接入互换机端口等多元素的绑定，如此能够做到事前（访问网络之前）用户身份的合法性，学生用户想要访问网络，上述信息就必需完全