邯大校园局域网规划设计.docx
- 文档编号:16060950
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:15
- 大小:176.28KB
邯大校园局域网规划设计.docx
《邯大校园局域网规划设计.docx》由会员分享,可在线阅读,更多相关《邯大校园局域网规划设计.docx(15页珍藏版)》请在冰点文库上搜索。
邯大校园局域网规划设计
一、校园网功能需求分析
教学楼黄楼
主要为电脑机房、多媒体教室,将计算机多媒体视听引入课堂教学、声音、图像、动画的普遍采用可以大大提高教学效果。
办公楼
办公自动化基本web综合管理信息的信息系统、提示行政、人事、学籍、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等、使学校日常办公无纸化、减少办公开支提高办公效率等。
信息网络中心
中心机房到汇聚层节点采用4兆光纤(多模)连接,汇聚层到接入层采用百兆的五类线(或者超五类)连接。
通常考虑,建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入,以便能较经济的提供较高的带宽。
整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。
二、校园网的规划设计
2.1网络拓扑结构设计
校园网局域网主干蓝图:
2.2校园网各个分区设计
2.2.1黄楼教学楼
核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。
汇聚交换机分别连接到各楼栋的接入层交换机,通过双绞线连接到每个课室的信息面板上,具体分配如下:
黄楼有5层,每层6个信息点,共30个信息点,教学楼东区有6层,每层有12个信息点,共72个信息点。
2.2.2办公楼
办公楼核心交换机通过室外光线连接到行政楼的汇聚交换机,汇聚交换机通过双绞线连接到行政楼办公室的信息面板上,信息面板分布情况如下:
办公楼共5层,每层5个信息点,共20个信息点。
办公室使用8口交换机连接到信息面板。
2.3系统平台和应用系统
2.3.1系统平台选择
系统平台的建设主要包括:
网络操作系统、桌面平台、数据库、防火墙等的选择。
一般校园网络,服务器系统平台可以选择微软WINDOWS2003SERVER操作系统的解决方案,提供DNS服务、WWW服务、FTP服务、E-mail服务等。
具有强大的网络功能和可二次开发性。
桌面操作系统比较可以选择XP和LINUX等平台。
2.3.2采用Windows2003SERVER建立FTP服务器
一般来说,用户联网的首要目的就是实现信息共享,文件传输是信息共享非常重要的一个内容之一。
在校园内部信息交流是非常频繁,所以有必要在网络中使用WINdows2003SERVER架设起一个FTP服务器。
2.4IP地址的规划及分配
在设计IP地址方案之前,应考虑以下几个问题:
1).是否将网络用真实地址连入Internet。
2).是否将网络划分为若干子网以方便网络管理。
3).是采用静态IP地址分配还是动态IP地址分配。
4).每个子网现在规划多少个信息点。
5).每个子网将来会增加多少个信息点。
三、网络安全的设计
3.1设置防火墙
3.1.1部署外部防火墙
设置外部防火墙可以实现内部网络与外部网络的有效隔离.可有效防范外部网络的攻击。
外部防火墙可以制定访问策略.只有被授权的外部主机可以访问内部网络有限的IP地址,保证外部网络只能访问内部网络中必要的资源,与业务无等基于防火墙的网络安全技术关的操作将被拒绝。
外部防火墙可以进行地址转换工作,外部网络不能看到内部网络的结构,使黑客攻击失去目标151。
设置外部防火墙的正确位置应该在内部网络与外部网络之间。
内部网络和外部网络被完全隔离开,所有来自外部网络的服务请求只能到达防火墙,防火墙对收到的数据包进行分析后将合法的请求传送给相应的服务主机,对于非法访问加以拒绝。
内部网络的情况对于外部网络的用户来说是完全不可见的。
由于防火墙是内部网络和外部网络的唯一通信信道.因此防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件。
防火墙要保护的网络与外部网络应该只有唯一的连接通路,如果防火墙后还有其他通路,防火墙将被短路。
无法完成保护内部网络的工作。
如果内部网络有多个外部连接,就应该在每个入口处都放置防火墙。
4.1.2部署内部防火墙
在服务器的人口处设置内部防火墙.可以制定完善的安全策略,有效地控制内部网络的访问。
内部防火墙可以精确制定每个用户的访问权限保证内部网络用户只能访问必要的资源,对于拨号备份线路的连接,通过强大的认证功能.实现对远程用户的管理。
内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为防火墙通过安全策略的集中管理,每个网段上的主机不必再单独设立安全策略,降低人为因素导致的网络安全问题。
3.2选择杀毒软件
杀毒软件首选360免费杀毒软件,其次是瑞星杀毒软件。
四、校园网络设备配置
本次的课题设计是在模拟软件的基础上实现的,因此此次的网络设备选择主要是依据该软件中具有的设备。
PacketTracer5.2是思科公司专门为CCNA考试人员设计的一块软件,通过这个软件能够让我们模拟出各种路由、交换协议,而且,能够测试各种设备的工作情况。
4.1交换机模块设计
使用双核心网络的主要目的是实现冗余的连接防止单点失效,从逻辑上,大型网络可分为核心层、分布层和接入层,每层都有其特点。
层次化设计的优点可以总结为如下几点:
●可扩展性:
因为网络可模块化增长而不会遇到问题;
●简单性:
通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;
●设计的灵活性:
使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;
●可管理性:
层次结构使单个设备的配置的复杂性大大降低,更易管理。
能够实现对所有人聊天;
4.1.1交换机的选择
交换机分为二层交换机和三层交换机两种类型,其中二层交换机的工作原理是:
(1)当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;
(2)再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
(3)如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
(4)如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
可以看出二层交换机没有路由功能,当不同的子网进行通信是要借助路由器实现数据包的转发,所以当子网数量较多时,路由器的接口数量就成了一个瓶颈,而三层交换机就能解决这一缺点。
三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。
因此具有路由功能的快速转发的三层交换机就成为首选。
我们选择CISCO3560-24PS作为核心层交换机,这个设备有26个端口,其中有两个端口支持1Gbps的带宽,选择CISCO2950-24二层交换机作为接入层交换机,这个设备有24个接口,能够实现10M/100M自适应到桌面的功能,而且,这两款交换机都支持vlan功能。
4.1.2核心层交换机的说明配置
核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。
网络的控制功能最好尽量少在核心层上实施。
核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。
核心交换机采用两个三层交换机,该校园网分为7个vlan,vlan2、vlan3、vlan4分别接在核心交换机一的f0/1、f0/2、f0/3接口,vlan5、vlan6、vlan7、vlan8、vlan9分别接在核心交换机二的f0/1、f0/2、f0/3、f0/4接口。
(1)基于端口vlan的划分这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。
这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。
适合于任何大小的网络。
它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
(2)trunk端口
在最普遍的路由与交换领域,VLAN的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING,如CISCO公司。
所谓的TRUNKING是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。
其中交换机之间互联用的端口就称为TRUNK端口。
与一般的交换机的级联不同,TRUNKING是基于OSI第二层数据链路层(DataLinkLayer)RUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。
VLAN20也是这样。
那么如果交换机上划了10个VLAN就需要分别连10条线作级联,端口效率就太低了。
当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。
这样的话,就算交换机上设了上百个个VLAN也只用1个端口就解决了。
如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现,如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信,需要通过第三方的路由来实现。
(3)端口聚合提供冗余备份链路,端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。
从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。
多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。
该核心交换机采用的是两条。
4.1.3汇聚层交换机的说明配置
分布层提供基于统一策略的互连性,它是核心层和访问层的分界点,定义了网络的边界,对数据包进行复杂的运算。
在园区网络环境中,分布层主要提供如下功能:
●地址的聚集
●部门和工作组的接入
●广播域/多目传输域的定义
●InterVLAN路由
●介质的转换
●安全控制
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
将分布层交换机办公楼区的交换机设置成为VTP服务器,其他交换机设置成为VTP客户机。
在最普遍的路由与交换领域,VLAN的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING,如CISCO公司。
所谓的TRUNKING是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。
其中交换机之间互联用的端口就称为TRUNK端口。
与一般的交换机的级联不同,TRUNKING是基于OSI第二层数据链路层(DataLinkLayer)RUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。
VLAN20也是这样。
那么如果交换机上划了10个VLAN就需要分别连10条线作级联,端口效率就太低了。
当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。
这样的话,就算交换机上设了上百个个VLAN也只用1个端口就解决了。
如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现,如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信,需要通过第三方的路由来实现。
4.1.4接入层交换机的说明配置
接入层是最终用户(教师、学生)与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。
另外,通过VTP的设置,我们可以更好的将汇聚层的vlan信息导入到接入层,只需要将不同的端口加入不同的vlan,就能够是机器之间通信。
4.2路由器模块设计
路由器是内部局域网和广域网的分界点,主要是能够进行数据包的转发和路径的选择。
另外,路由器要能够支持不同网络提供商的接入,实现线路的冗余,我在次设计中我选择Cisco1841路由器。
4.2.1路由协议的概念和种类
在大型局域网络的建设中熟练掌握路由和交换技术是不可缺少的,采取什么样的路由算法,要根据网络的拓扑结构而定,路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。
路由器具有在网络中传递数据时选择最佳路径的能力。
下面简单的介绍几种常见的路由协议。
1.RIP协议
RIP(RoutinginformationProtocol)是应用较早、使用较普遍的内部网关协议(InteriorGatewayProtocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。
RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。
RIP提供跳跃计数(hopcount)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。
如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。
RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达。
2.EIGRP加强型内部网关路由协议
EIGRP路由协议是Cisco的私有路由协议,它综合了距离矢量和链路状态2者的优点,其中包括:
(1)快速收敛:
链路状态包(Link-StatePacket,LSP)的转发是不依靠路由计算的,所以大型网络可以较为快速的进行收敛.它只宣告链路和链路状态,而不宣告路由,所以即使链路发生了变化,不会引起该链路的路由被宣告.但是链路状态路由协议使用的是Dijkstra算法,该算法比较复杂,并且较占CPU和内存资源和其他路由协议单独计算路由相比,链路状态路由协议采用种扩散计算(diffusingcomputations),通过多个路由器并行的记性路由计算,这样就可以在无环路产生的情况下快速的收敛.
(2) 减少带宽占用:
EIGRP不作周期性的更新,它只在路由的路径和度发生变化以后做部分更新.当路径信息改变以后,DUAL只发送那条路由信息改变了的更新,而不是发送整个路由表.和更新传输到一个区域内的所有路由器上的链路状态路由协议相比,DUAL只发送更新给需要该更新信息的路由器。
在WAN低速链路上,EIGRP可能会占用大量带宽,默认只占用链路带宽50%,之后发布的IOS允许使用命令ipbandwidth-percenteigrp来修改这一默认值.
(3)支持多种网络层协议:
EIGRP通过使用“协议相关模块”(即protocol-dependentmodule
(4)无缝连接数据链路层协议和拓扑结构:
EIGRP不要求对OSI参考模型的层2协议做特别是配置.不像OSPF,OSPF对不同的层2协议要做不同配置,比如以太网和帧中继总之,EIGRP能够有效的工作在LAN和WAN中,而且EIGRP保证网络不会产生环路(loop-free);而且配置起来很简单;支持VLSM;它使用多播和单播,不使用广播,这样做节约了带宽。
3.OSPF开放最短路径优先路由协议
OSPF(OpenShortestPathFirst开放式最短路径优先)是一个内部网关协议(InteriorGatewayProtocol,简称IGP),用于在单一自治系统(autonomoussystem,AS)内决策路由。
与RIP相对,OSPF是链路状态路由协议,而RIP是距离向量路由协议。
链路是路由器接口的另一种说法,因此OSPF也称为接口状态路由协议。
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。
在这里,路由域是指一个自治系统(AutonomousSystem),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。
在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。
运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
在一个OSPF区域中只能有一个骨干区域,可以有多个非骨干区域,骨干区域的区域号为0。
各非骨干区域间是不可以交换信息的,他们只有与骨干区域相连,通过骨干区域相互交换信息。
非骨干区域和骨干区域之间相连的路由叫边界路由(ABRs-AreaBorderRouters),只有ABRs记载了各区域的所有路由表。
各非骨干区域内的非ABRs只记载了本区域内的路由表,若要与外部区域中的路由相连,只能通过本区域的ABRs,由ABRs连到骨干区域的BR,再由骨干区域的BR连到要到达的区域。
骨干区域和非骨干区域的划分,大大降低了区域内工作路由的负担。
其中,RIP和OSPF路由协议是通用的路由协议,而EIGRP是cisco公司的专用协议,只有cisco公司的设备支持,因此这个协议具有局限性,在大部分局域网内,因此OSPF是首选的路由协议。
4.2.2管理路由器的访问方式
路由器的管理方式可分为两种:
带内管理和带外管理。
通过路由器的Console口管理交换机属于带外管理,不占用交换机的网络接口,特点是线缆特殊,需要近距离配置。
telnet指路由器的网络接口,连接到网络中的某台主机。
利用这台主机进行远程管理和配置,特点是网管可以进行远程控制。
4.2.3无线路由
考虑到学校无线网络可能要连接室外的信息点,以实现全面有效的网络覆盖,因此,方案中采用的是室外无线接入设备。
Cisco无线校园网的特点:
(1)无线室外路由器、无线AP和无线网卡组成了完整的无线系统,实施极为便利,免去布线的困难,节约用户建设校园网络环境的时间、精力和财力;
(2)WAP200E室外无线路由器适应性出色,使用中避免了网络施工造成的环境破坏,利用无线网络空中连接校园内建筑物;
(3)对于很多学校存在分校的现象予以充分考虑。
产品的传输能力较强,稳定性好,能够方便的连接分校与本部的校园网络,解决校园外地域网络施工的难题;
(4)网络的应变性好,使用灵活。
能够充分配合学校举办的各类临时性或者应急性活动,根据需要迅速架设后者调整网络;
(5)Cisco无线网络产品提供了可靠的安全保证,其全部无线网络产品均支持WPA/WPA2加密,并可扩充至256位的AES加密算法,为无线校园网络在覆盖区域内的全面应用提供了保障,无论是办公,还是个人传输,都能够放心应用。
(6)极高的网络安全性,网络设备支持802.1X的认证,结合校园网的认证计费系统,实现了校园网极高的安全控制策略;此外,通过IP地址、MAC地址、端口、VLAN号、用户帐号等多元素的绑定,实现多种方式的用户接入访问控制,保证用户接入的安全
(7)无线局域网的发展为校园网的建设和升级换代带来了新的选择,通过运用无线局域网技术的几种的应用方式,我们可以在校园实现网络的覆盖。
对于我校在楼宇内采用接入方式对办公室、会议室、校园广阔地进行无线网络覆盖。
而对于学校两部则通过室外网桥连接方式实现网络互通。
无线局域网作为一个有限局域网的补充和完善,在校园网建设中将会有更好的应用。
我们在构建无线局域网时可以根据不同的需求选择不同的接入方式这将使无线局域网技术得到更好的应用。
五、校园网服务器配置
5.1WWW服务器配置
WWW是建立在客户机/服务器模型之上的。
WWW是以超文本标注语言HTML(HyperMarkupLanguage)与超文本传输协议HTTP(HyperTextTransferProtocol)为基础。
能够提供面向Internet服务的、一致的用户界面的信息浏览系统。
其中WWW服务器采用超文本链路来链接信息页,这些信息页既可放置在同一主机上,也可放置在不同地理位置的主机上;本链路由统一资源定位器(URL)维持,WWW客户端软件(即WWW浏览器)负责信息显示与向服务器发送请求。
Internet采用超文本和超媒体的信息组织方式,将信息的链接扩展到整个Internet上。
目前,用户利用WWW不仅能访问到WebServer的信息,而且可以访问到FTP、Telnet等网络服务。
因此,它已经成为Internet上应用最广和最有前途的访问工具,并在商业范围内日益发挥着越来越重要的作用。
WWW客户程序在Internet上被称为WWW浏览器(Browser),它是用来浏览Internet上WWW主页的软件。
目前,最流行的浏览器软件主要有Netscapecommunicator和MicrosoftInternetExplorer。
WWW浏览提供界面友好的信息查询接口,用户只需提出查询要求,至于到什么地方查询,如何查询则由WWW自动完成。
因此WWW为用户带来的是世界范围的超级文本服务。
用户只要操纵鼠标,就可以通过Internet从全世界任何地方调来所需的文本、图像、声音等信息。
WWW使得非常复杂的Internet使用起来异常简单。
WWW浏览器不仅为用户打开了寻找Internet上内容丰富、形式多样的主页信息资源的便捷途径,而且提供了Usenet新闻组电子邮件与FTP协议等功能强大的通信手段。
5.2DNS服务器配置
DNS服务器在互联网的作用是:
把域名转换成为网络可以识别的ip地址。
首先,要知道互联网的网站都是一台一台服务器的形式存在的,但是我们怎么去到要访问的网站服务器呢?
这就需要给每台服务器分配IP地址,互联网上的网站无穷多,我们不可能记住每个网站的IP地址,这就产生了方便记忆的域名管理系统DNS,他可以把我们输入的好记的域名转换为要访问的服务器的IP地址.
简单的说,就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址,DNS服务器就应运而生,提供将域名解析为IP的服务,从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机
六、单项产品测试
6.1.1 交换机测试
1.开箱检查端口是否松动
2.外壳是否磨损
3.通电测试机壳是否接地
4.建议如果条件允许,在一个小型网络中测试各通讯参数是否符合出厂值。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园 局域网 规划 设计