目录
一:需求分析 ................................................................................................................................... 2
1.1用户业务类型需求分析 ..................................................................................................... 2 1.2网络功能需求分析 ............................................................................................................. 3
1.2.1 信息交流功能 ......................................................................................................... 3 1.2.2 教学服务功能 ......................................................................................................... 3 1.2.3 学生学习功能 ......................................................................................................... 3
二:总体设计 ................................................................................................................................... 3
2.1 设计思想 .......................................................................................................................... 3 2.2 网络设计原则 .................................................................................................................. 4 2.3 网络技术选择 .................................................................................................................... 4
2.3.1 总体技术 ............................................................................................................... 4 2.3.2 路由技术 ............................................................................................................... 5 2.3.3交换技术 ................................................................................................................ 5
三:网络拓扑结构设计 ................................................................................................................... 5
3.1层次拓扑结构 ..................................................................................................................... 6 3.2网络系统设计原则 ............................................................................................................. 6 3.3教学楼网络总体设计 ......................................................................................................... 7 3. 4 学生宿舍区 ..................................................................................................................... 8 3.5 信息网络中心 .................................................................................................................. 9 四:网络出口设计 ......................................................................................................................... 10 五:IP地址分配............................................................................................................................. 12
5.1教学楼:........................................................................................................................... 12 5.2学生宿舍区: ................................................................................................................... 13 六:服务器的规划和设计 ............................................................................................................. 14 七:网络安全和可靠性规划 ......................................................................................................... 15
7.1接入安全........................................................................................................................... 15 7.2访问安全........................................................................................................................... 15 7.3病毒防御........................................................................................................................... 16 八:结束语..................................................................................................................................... 17
1
一:需求分析
1.1用户业务类型需求分析
校园网必须具备教学、管理和通信三大功能。教师可以方便的查询和浏览网上资源,学生可以通过网上学习学会信息处理能力,管理人员可以方便的对教务、行政事务、学生学籍、财务等进行综合管理,实现各级管理层之间的信息数据交换及设备资源的共享。
校园网在设计上应该具备以下性能才能够满足需求: 1、 高性能与技术先进性
校园网络系统要求具有较高的数据通信能力和较大的带宽,并在主干网上提供较高的可扩展性。 2、 高可靠性
网络要求具备高可靠性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效,在网络主干上要提供备份链路提供冗余路由。 3、 安全性
校园网作为一个支持众多用户同时和Internet存在连接的网络,网络安全性在整个网络规划中是一个很重要的部分,应当采用一定的措施来控制网络的安全性,网络中应当采取多种技术,从内部和外部同时控制用户对网络资源的访问。 4、 可管理性
网管软件应能够支持通用浏览器对网络设备的管理及配置,灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理。 5、可扩展性
随着应用规模的不断扩大,要求网络可以方便的扩充容量,支持更多用户及应用。 6、 LAN的划分
根据校园网的实际需求,属于同一部门的工作人员可以在不同的建筑物中,但需要在一个逻辑子网内。络站点的增减,人员的变动都需要虚拟网技术的支持。因此在网络主干中要支持三层交换及VLAN的划分,以提高网络的安全性和灵活性。 7、 多层交换技术
通过三层交换技术,特别是基于硬件的第三层交换,可以充分地利用交换机的包处理能力,实现真正的线速交换。
2
1.2网络功能需求分析
1.2.1 信息交流功能
信息交流功能主要有两个方面的功能服务功能:互联网信息服务和校内信息服务。
互联网信息服务可以使任何一个办公室的计算机都能实现网上浏览、查询信息的功能,是教师拓宽视野,充分利用网络上的资源辅助教学。
校内信息服务能为教育教学和管理决策提供各项信息服务,为全校师生提供互动交流的平台。
1.2.2 教学服务功能
构建校园网的主要目的就是提高教学质量,为学校的教育教学服务。校园
网主要从以下几个方面为教学服务。
(1) 建立课件、教学信息资源库,实现课件点播和堵住教学。 (2)利用网络技术实现多媒体信息交换、视频点播、远程教育等功能
1.2.3 学生学习功能
利用网络自主学习可以提高学生的学习能力,学生利用校园网络查询资料可以拓宽学生的视野,还可以利用网络相互交流相互学习,同时也可以充实学生的课余生活。
二:总体设计
2.1 设计思想
校园网设计主要包括以下几个部分:校园内部主干设计、服务器系统设计、校园网应用设计。
3
2.2 网络设计原则
校园网的总体设计原则是:
1. 开放性——采用开放的网络体系以方便网络的升级、扩展和互联; 2.可扩充性——从主干网络设备的选型及其模块、管理软件和网络整体机构以及技术的开放性来保证系统的可扩充性;
3.可管理性——利用合理的网络规划策略提供强大的网络管理功能; 4.安全性——内部网络之间、内部网络与外部公网之间的互联,利用Vlan/Elan
以及防火墙等对访问进行控制,确保网络的安全。
2.3 网络技术选择 2.3.1 总体技术
从校园的建筑结构来说,一般以楼宇为单位,每个楼由多个楼层组成,整个楼可以作为一个相对独立的网络应用单元考虑,多个功能相近的楼宇形成一个建筑群,最典型的是学生宿舍楼。这种建筑分布结构非常适合以太网技术的应用。
首先,以太网采用分组交换方式,一个交换机就是一个交换中心,可以很容易地组成星型或者树型的网络结构。在楼宇内部,每层楼通过一台二层交换机来连接该层信息点,整个楼用一台二层/三层交换机作为楼宇汇聚,多个楼宇再汇聚到核心骨干交换机上。楼层、楼宇、楼群与以太网的接入、汇聚、核心的树型结构有着很好的对应关系,网络结构层次清晰。
其次,传输介质也适合了建网需要。在楼宇之间采用1000M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用5类双绞线,其100M连接状态100m、10M连接状态200m的传递距离能够满足室内布线的长度要求。最后,以太网建网能够提供性价比高的网络带宽。
4
2.3.2 路由技术
路由协议工作在OSI参考模型的第3层。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本规划设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
2.3.3交换技术
传统意义上的数据交换发生在OSI参考模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了网络数据交换的效率,更大大增强其数据交换的服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在校园网内部数据交换的部署是分层进行的。校园网数据交换设备可以划分为三个层次:核心层、汇聚层、接入层。在本规划设计中,也将采用这三层进行分开设计、配置。
三:网络拓扑结构设计
所有用户可以方便地浏览和查询局域网和互联网上的学习资源,通过WWW服务器、DNS服务器、FTP服务器、EMALL服务器为内部进行服务;通过WWW.sohu.com和www.edu.cn从外部网站获得资源。
5
3.1层次拓扑结构
考虑到地理位置和服务点等因素,将网络中心设在主楼,以主楼为中心,用光纤连接到其它建筑物。网络结构分成三层:核心层、汇聚层、接入层。
3.2网络系统设计原则
本校园设计的层次结构拓扑图
由于计算机与网络技术的特殊性,网络建设需要考虑以下一些因素:系统的先进性、体统的稳定性、系统的可扩展性、系统的可维护性、与外界网络的连通性等。此次校园网的组建应符合以下原则:
(1)经济性:尽量利用性价比高的网络及计算机设备,以低的投资获取较高性能。
(2)实用性:确保加速信息传递,提高工作效率,节约办公费用。 (3)操作性:人性化的设计,保证网络管理人员和使用人员能快速的使用网络。
(4)扩展性:网络具有较强的可升级性,在将来需要时可以对网络进行必
6
要的扩充。在增加新硬件设备时能方便地接入网络,软件上便于更新、维护、升级。
本校园网络设计的层次拓扑结构图
网络拓扑结构选用星型拓扑结构,具体分为三级结构:
第一级是网络中心,为中心节点。网络中心选址在学校地域的中心建筑,布置了校园网的核心设备,如路由器、交换机、服务器(WWW服务器、电子邮件服务器、文件服务器等),并预留了将来与本部以外的几个园区的通信接口。
第二级是建筑群的主干结点,为二级节点。校园网按地域设置了几条干线光缆,从网络中心辐射到几个主要建筑群,并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第三层,它向上与网络中心的主干交换机相连,向下与各楼层的接入层交换机相连。学校校园网主干带宽全部为1000Mbps。
第三级是建筑物楼内的接入层交换机,为三级节点,三级节点主要是指直接与工作站连接的局域网设备。
3.3教学楼网络总体设计
核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。汇聚交换机分别连接到各楼栋的接入层交换机,通过双绞线连接到每个教室的信息面板上,具体分配如下:
教学楼A栋有10层,每层10个信息点,共50个信息点;教学楼B栋有10
7
层,每层18个信息点,共90个信息点。
多媒体网络教室的功能
多媒体网络教室组合了电脑教室和语音教室的多种功能,十几度安家教学多种课程的计算机辅助教学变得更加直观方便、效果更好、效率更高。
教学楼拓扑图模型
3. 4 学生宿舍区
核心交换机通过光纤连接到学生公寓的汇聚交换机,每个区域的交换机通过光纤连接到各自的区域楼,区域楼交换机再与楼层的交换机堆叠,通过双绞线连接到宿舍的信息面板上。
8
宿舍网络拓扑图模型
3.5 信息网络中心
通过光纤接入,连接H3C SecPath F100-S-AC防火墙,再连接到一台“思科 WS-C4503”的核心交换机和服务器群。
服务器群组服务器统一采用IBM System x3650 M3(7945I75),一台对外Web服务器,放的是学校的官方网站;一台内网Web服务器,是学校的内部网站;一台Ftp服务器,由于FTP流量比较大,所以增加了一台IBM TotalStorage DS3400(1726-42X) Raid服务器。
核心层交换机通过光纤连接到教学楼、学生公寓区的汇聚层交换机。
9
信息网络中心拓扑图
四:网络出口设计
NAPT是动态NAT的一种实现形式,NAPT利用不同的端口号将多个内部IP地址转换为一个外部IP地址,NAPT也称为PAT或端口级复用NAT。
10
第一步:在路由器上配置IP路由选择和IP地址。
第二步:至少指定一个内部接口和一个外部接口,并执行命令ip nat { inside | outside }。
第三步:使用命令access-list access-list-number { permit | deny }定义IP访问控制列表,以明确哪些报文将被进行NAT转换。
第四步:使用命令ip nat pool pool-name start-ip end-ip { netmask netmask | prefix-length prefix-length } 定义一个地址池,用于转换地址。
第五步:使用命令ip nat inside source list access-list-number { interface interface | pool pool-name } overload将符合访问控制列表条件的内部本地地址转换到地址池中的内部全局地址
11
五:IP地址分配
在设计IP地址方案之前,应考虑以下几个问题: 1). 是否将网络用真实地址连入Internet。 2). 是否将网络划分为若干子网以方便网络管理。 3). 是采用静态IP地址分配还是动态IP地址分配。 4). 每个子网现在规划多少个信息点。 5). 每个子网将来会增加多少个信息点。 综上所述,现将各区域IP划分如下:
5.1教学楼:
将VLAN4-VLAN67分别划分给每一间教室,每台计算机手工设置静态IP地
12
址,DNS为202.96.128.166 202.96.18.86,网关192.168.2.1, 子网掩码为255.255.255.0,在网络中心的路由器上设置动态NAT共享上网,公网的IP段为200.1.1.6-200.1.1.10
1楼的IP范围为 192.168.2.1-192.168.2.16 2楼的IP范围为 192.168.2.17-192.168.2.32 3楼的IP范围为 192.168.2.33-192.168.2.48 4楼的IP范围为 192.168.2.49-192.168.2.64 „„
5.2学生宿舍区:
将VLAN 68 到 VLAN 70分别划分给学生宿舍楼,其IP地址由网络中心的将路由器设为DHCP服务器,设其IP段为172.18.2.0-172.118.255.255 子网掩码为255.255.240.0自动分配给学生宿舍区。在网络中心的路由器上设置动态NAT上网,公网的IP段为200.1.1.11-200.1.1.20。
13
六:服务器的规划和设计
根据校园网的实际需求:数据计算量大;实现多种服务如:WEB服务,OA应用平台,FTP服务,防病毒等等。应用服务器和数据库分离,防止应用服务器被攻击后,影响数据库安全。
服务器主要用于帮助学校对校务、学籍、人事、政教等方面进行管理,实现学校的办公自动化,各系统之间实现充分的资源共享,提高办公及管理效率。还可以提供资料库管理,所有相关资料都可通过网络系统被检索和使用。通过Internet/LAN向教师及学生、学生家长提供尽可能多的信息。信息服务不仅是提供E-mail、FTP、Telnet、WWW等简单服务,还应包括如教学资料、教学课件、图书馆图书资料的远程查询,远程视频点播、远程电子阅览室、教育论坛、网上教学以及学生的网上交流、网上聊天等。对于这些网络服务,可以根据各部门需求,选择或组织编写一些应用系统软件。
天阔I650(r)-E服务器是曙光天阔服务器系列产品中,面向行业市场中等网络规模用户开发的一款部门级服务器产品。此款服务器支持双路Intel Xeon64bit处理器,主频可达3.6GHz 以上,系统前端总线频率为800MHz,系统内存由原来I650(r)-N的DDR配置升级为DDRII配置,最大支持16GB DDRII400内存,为用户带来“海量处理”的应用体验。
天阔I650(r)-E服务器以处理能力、可用性及可管理性等方面的强大优势,为电信、ISP/ICP/ASP 等行业用户提供了一款系统性能、可用性最佳的部门级服
14
务器精品。天阔I650(r)-E 服务器完全兼容Windows 2000/2003 、RedHat Linux、SUN Solaris、SCO Openserver/Unixware、Novell Netware等多种操作系统平台,用户可以根据自己的需求在各种平台上构筑自己的网络及应用。
七:网络安全和可靠性规划
构建全程全网的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。
7.1接入安全
RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机,在提供高性能、高带宽的同时,提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性,并可以根据网络的实际使用环境,实施灵活多样的安全控制策略,有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理化使用网络资源,充分保障了网络高效安全、网络合理化使用和运营。
7.2访问安全
锐捷RG-S6800E多业务万兆核心路由交换机支持802.1Q VLAN,可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术,可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒(如冲击波)的传播和危害。
ACLs的全称为接入控制列表(Access Control Lists),可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤,并对从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。
锐捷RG-S6800E多业务万兆核心路由交换机支持以下几种类型的ACLs:
15
一. IP ACLs用于过滤IP报文,包括TCP和UDP。
1. Standard IP access lists (标准IP接入控制列表)使用源IP地址作为匹配的条件
2. Extended IP access lists(扩展IP接入控制列表)使用源IP地址、目的IP地址及可选的协议类型信息作为匹配的条件
二. Ethernet ACLs用于过滤二层数据流:
1.MAC Extended access lists(MAC扩展控制列表)使用源MAC地址、目的MAC地址及可选的以太网类型作为匹配的条件
三. Expert ACLS用于过滤二层和三层、二层和四层、二层和三层、四层
数据流:
Expert Extended access lists(专家扩展控制列表)使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。
对于不同访问权限的区域采用ACL访问控制来对不同访问资源进行权限控制。
应用ACL可以有效的防范“冲击波”等蠕虫病毒;支持802.1X技术,满足6元素绑定接入限制;支持IGMP源端口检查及源IP检查,可有效控制非法组播源,提高网络安全;IGMP V3支持通告主机希望接收的多播源的地址,避免非法的组播数据流占用网络带宽;
通过PVLAN(保护端口)隔离用户之间信息互通,不必占用VLAN资源;提供SSH的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁; Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理; SNMPV3提供加密和鉴别功能:确保数据从合法的数据源发出(引擎ID);确保数据在传输过程中不被篡改(采用MD5和SHA认证协议);加密报文,确保数据的机密性(采用DES56加密协议)。
7.3病毒防御
锐捷网络设备,能够提供病毒防御功能,使得某些特定病毒不能任意传播。主要提供以下几个功能:1)预防PC感染类似“冲击波、震荡波”的病毒;2)
16
如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。3)支持防止DDoS攻击,防止IP段恶意扫描等抗攻击特性。
八:结束语
通过此次的课程设计使我对网络的建设与管理有了更进一步的了解,将以前所学的计算机网络的理论与实际结合起来培养自己的动手操作能力,将网络知识从书面理论层次提升到了实际运用层次。在本次课程设计中按期的完成了我们的校园网络设计系统的设计。本次的网络实践课之前,我们以为做一个校园网络的规划很简单,但我真正着手做的时候才发现并不是想象中的那样简单,我设计出方案以后,原以为大功告成,但当我们检验的时候才发现,有些主机之间并没有连通。经过老师的指点与反复修改,我们最后成功完成了我本次设计。在这次实践课中,使我认识到,对待任何事,首先是在态度上应该重视,只有认真去对待,才有心思去做好;其次,使我对网络主干的设计及子网的规划和配置有了更加深刻的了解;在此过程中,我学到了更多更细的基础知识,必将给我今后的学习和工作带来更多的帮助 。
17
因篇幅问题不能全部显示,请点此查看更多更全内容