校园网初级片)校园网建设)PPT课件.ppt

武汉职业技术学院网络设计方案 1 学校鸟瞰图 宿舍楼 图书馆 办公楼 教学楼1 教学楼2 2 项目背景 3 项目背景 建立安全 可靠 可扩展 高效的网络环境 使校园内能够方便快捷的实现网络资源共享共有1600个信息点 具体信息如下 宿舍楼 5栋 每栋6层 每层40个宿舍 每个宿舍1个信息点 每层楼一个弱电竖井 教学楼 2栋 每栋5层 每层20 每层楼一个弱电竖井 图书馆 1栋 共5层 每层15个信息点 学校信息中心位于5楼 每层楼一个弱电竖井 办公楼 1栋 共3层 每层楼一个弱电竖井 1楼 办公室10 学生处30 2楼 教务处15 人事处5 后勤处5 3楼 财务处20 其它部门15 学校出口为电信 带宽500M 地址202 10 1 1 202 10 1 10 4 项目需求分析 5 项目需求分析 全网动态获取IP地址 具备稳定性 容错性和可扩展性 具有接入安全 如防私设DHCP 防ARP欺骗 财务处和其它部门不可以互相访问 学生周一至周五 23 00 6 00不能访问互联网 学生带宽限制为2M办公区上班时间禁止游戏 手游 钓鱼网站 学校内部搭建的web服务器对外提供服务 所有设备均可通过SSH加密方式管理 6 项目方案设计 7 8 宿舍区拓扑 宿舍区使用设备 RG S5750 24GT 12SFP1台RG S2952G6台 9 办公区拓扑 办公区一楼 办公区二楼 办公区三楼 办公区使用设备 RG S5750 24GT 12SFP1台RG S2928G6台RG S29521台 办公三楼的财务室使用ACL进行隔离 10 教学区使用设备 RG S5750 24GT 12SFP1台RG S2952G6台 教学区拓扑 11 图书馆拓扑 RG 2928G E RG 2928G E RG 2928G E RG 2928G E RG 2928G E 汇集RG 5750 核心RG 8610 第五层 第四层 第一层 第二层 第三层 图书馆设备列表 核心层设备 RG 86101台汇聚层设备 RG 57501台接入层设备 RG 29286台 RG 2928G E 12 RG S2952 接入交换机 01 RG S5750 24GT 8SFP 汇聚交换机 02 RG S8610 核心交换机 03 设备产品简介 RG EG2000UE 出口网关 04 13 RG EG2000UE 出口网关 RG EG2000UE 14 Part1 所有关键器件均采用冗余设计 双引擎切换时实现万兆数据业务不中断转发 Part2 核心路由交换机面向十万兆平台设计 提供14 4T 9 6T 4 8T背板带宽 并且支持未来40G 100G接口的扩展 Part3 支持OSPF IS IS BGP的优雅重启技术提供毫秒级的切换时间 Part4 最长匹配 LPM 三层交换技术 方式 学习到的IPv4 IPv6路由直接以网段形式存储于硬件转发表 不明目的网段IP地址的数据包直接通过硬件缺省路由转发 极大地节约硬件存储空间 RG S8610 核心交换机 RG S8610 15 4 支持生成树协议 完全保证快速收敛 提高容错能力 保证网络的稳定运行和链路的负载均衡 3 WEB界面让用户通过图形化界面即可实现复杂命令 2 1 24端口10 100 1000M自适应端口 支持PoE远程供电 8个复用的光纤接口 2个扩展槽 USB2 0接口可用于外置Flash引导启动或者保持日志 RG S5750 24GT 8SFP 汇聚交换机 RG S5750 16 RG S2952 接入交换机 RG S2952 Part1 48个10 1000M自适应电口 4个千兆SFP光口 Part1 支持IP MAC 端口三元素绑定支持IPv6 MAC 端口三元素绑定 Part1 过滤非法的MAC地址 Part1 采用涡轮变速风扇设计 在低温情况下 风扇自动降低转速 降低功耗和噪声 17 项目方案实现 18 设备命名规范 例如 TSG HX S8610 5 图书馆 核心 设备型号 SSL 宿舍区 HJ 汇聚 JR 接入 JXL 教学楼 BGQ 办公区 TSG HX S8610 所在楼层 19 IP地划规划原则 宿舍1号楼3层的一个IP 10 11 3 23 代表宿舍楼 代表一号楼 代表第三层 当前主机号 1宿舍楼2图书馆3教学楼4办公楼 10 1 1 3 23 20 IP地划规划 宿舍1号楼IP规划 10 11 0 0 21 10 11 1 0 24 一楼 10 11 2 0 24 二楼 10 11 3 0 24 三楼 10 11 4 0 24 四楼 10 11 5 0 24 五楼 10 11 6 0 24 六楼 10 11 7 0 24 备用 10 11 0 0 24 管理 21 网段及VLAN的划分 核心 Ip段 10 20 0 0 21Vlan 200 Ip段 10 40 0 0 24Vlan 411 412 426427 428 431 432 Ip段 10 31 0 0 21Vlan 310Ip段 10 32 0 0 21vlan 320 图书馆 教学楼 宿舍楼 办公楼 Ip段 10 11 0 0 21Vlan 110Ip段 10 12 0 0 21vlan 120Ip段 10 13 0 0 21Vlan 130Ip段 10 14 0 0 21vlan 140Ip段 10 15 0 0 21vlan 150 22 路由选用 网络协议设计规划 静态路由 出口EG 核心 宿舍汇聚 教学汇聚 图书馆汇聚 办公汇聚 GI0 6 0 0 0 0 0 GI0 610 0 0 0 8 Gi0 210 0 0 0 8 NULL0 GI0 1 GI0 2 GI0 3 GI0 4 GI0 5 GI0 6 0 0 0 0 0 Gi0 110 11 0 0 21 Gi0 1110 20 0 0 21 Gi0 1210 31 0 0 21 Gi0 1310 40 0 0 21 Gi0 1410 11 0 0 21 NULL010 20 0 0 21 NULL010 31 0 0 21 NULL010 40 0 0 20 NULL0 Gi0 13 Gi0 14 Gi0 12 GiI0 11 0 0 0 0 0 Gi0 3 0 0 0 0 0 Gi0 4 0 0 0 0 0 Gi0 5 0 0 0 0 0 Gi0 6 23 RG EG2000UE 出口网关 24 网络地址转化NAT 静态NAT WEB服务器 一对一转化 汇聚 核心 出口 静态IP 静态NAT转化 动态NAT 用户 用户 出口 动态NAT转化 25 网络安全规划 防私设DHCP 内网安全 DHCPdiscovery DHCPdiscovery DHCPoffer 合法DHCP 非法DHCP DHCPoffer DHCPSnoopingF0 24设为trust 信任口 F0 24 26 嗨 我是网关 内网安全 网络安全规划 ARP欺骗 pc1 网关 欺骗者 网关 pc1 欺骗者 嗨 我是PC1 27 内网安全 网络安全规划 防ARP欺骗 1 网络时断时通 2 内网通讯正常 网关不通 3 频繁提示 地址冲突 ARP欺骗的表象是网络通讯中断 真实目的是截获网络通讯数据 欺骗者通过双向攻击后 PC发往网关的数据将被欺骗者截获 导致敏感信息被窃取 网游的木马程序多通过这种方式进行盗号 网银 支付宝账号密码也可能通过这种方式被窃取 PC1 欺骗者 PC2 汇聚设备 接入设备 DHCP DHCP DHCPSNOOPING软件表 IPSo