大学校区网络升级方案毕业设计.doc

广西师范大学雁山校区网络升级方案1.广西师范大学雁山校区网络需求分析11.1 学校的自然情况11.2学校校园网现有的网络分析11.2.1 当前校园网的状况11.2.2现有校园网的不足22.广西师范大学雁山校区网络升级方案设计32.1雁山校区校园网设计分析32.1.1校园网的功能要求32.3校园网结构设计42.3.1校园网物理结构设计42.3.2校园网的逻辑结构设计53.广西师范大学雁山校区网络升级硬件设计63.1交换设备的选型63.1.1核心层交换机的选型63.1.2 汇聚层交换机选型93.1.3 接入层交换机选型93.2路由器的选型93.3防火墙的选型103.4服务器选型123.5具体网络拓扑设计图12附件：.14配置.14路由器配置14IP管理14交换机配置16设备清单及价格191. 广西师范大学雁山校区网络需求分析1.1 学校的自然情况广西师范大学雁山校区坐落在桂林市雁山区雁山镇雁中路，筹建于2005年12月，2007年9月正式投入使用。雁山校区为广西师范大学的一个分校，全校计算机数量逾1000台（不包括学生群体）。1.2学校校园网现有的网络分析1.2.1 当前校园网的状况 校园网是广西师范大学雁山校区的信息基础设施，是实现学校现代化管理的强有力保证。学校一直以来非常重视校园网的建设。经过初期的建设，基本满足当时的网络需求。其网络拓扑图如下（图一）：图一由于学校数据吞吐量大，又离育才校区较远，所以学校采用一般的校园网双端口接入方式，用一条2M光纤连接到育才校区，另一条用百兆光纤作为雁山电信的局域网方式接入internet，实现网络高速运行。中心结构主要以华为ls-3026交换机为中心，单点以星形方式连接校园各个功能单位。各楼房交换机用100M光纤连接到中心机房的三台普通企业级路由上，可以实现子网内高速互联。楼房内部均用5类双绞线连接楼房交换机与用户计算机，带宽均可达百兆。1.2.2现有校园网的不足 目前，雁山校区的网络由低端的锐捷交换机构成一个平面的网络结构，没有层次化的设计的网络结构其存在许多缺陷。 从网络拓扑结构看，网络管理员很难对网络进行整体的管理，一旦出现故障，将很难做出快速的排查。其中最致命的是网络存在单点故障，一旦中心的交换机出现故障，整个网络立刻瘫痪（如图二）。在平面型的网路结构下，网络中心交换机负载所有的数据处理任务，不能实现对数据的高速转发传输。图二 中心结构图从网络设备方面看：大部分的设备已经不能满足现在学校对网络传输的需求。如中心交换机只是一台普通华为交换机，转发率不高，最大只为100M，实际上不可能达到，所以即使拓扑结构是树形结构，网络数据的交换也不会多快。而且连接这些的交换机和路由器的通讯线路都是百兆双绞线。在这样的设备下，中心的网络中心通讯带宽仅为百兆。这将是实现网络高速吞吐的瓶颈。还有租用网络的带宽太低，如学校与育才校区的通讯带宽才2M，而雁山校区师生有上万人，平时至少有上百人同时使用网络，这也极大限制了学生与育才校区信息资源的共享。从网络应用方面看：学校提供的校园网络服务内容太少，如缺少校园邮件服务，文件服务等，而且有些新的学生宿舍还没提供宽带接入，学生只能用电信的电话拨号上网。一、 不方便学生上网，也不能规范和监督学生上网；二、 不能实现以网养网的目标，节约学校对网络的投资成本；从网络安全方面看：防火墙已落伍，网络安全性非常脆弱，服务器防毒能力差，非常容易遭受到攻击，包括外网和内网对服务器的攻击。1.2.3 网络升级的目的和实现的功能。l 实现高速的Internet和CERNET出入；l 实现稳定的快速的DNS、WWW、FTP、E-mail等多项网络服务；l 整个校园网主干实现千兆传输，百兆光纤到楼宇，百兆到桌面；l 拥有高性能的网络设备，有足够的设备冗余；l 除了以上要求外，还要要求升级后的校园网具有一定的系统冗余度，以适应未来的发展和应用需求。2. 广西师范大学雁山校区网络升级方案设计2.1雁山校区校园网设计分析2.1.1校园网的功能要求实现高速的Internet和CERNET出入；实现内部千兆校园网主干，百兆交换到桌面；增加新学生宿舍的接入；增加校园无线局域网；2.2校园网系统设计网络系统设计方案主要包括校园网内部网和Internet接入两部分的设计。（1）校园网内部网络设计校园网内部网络是组建在校园内的计算机应用网络，可以Intranet方式建设校园网内部网络。对本校区而言，几乎包括所有的建筑楼群：如教学楼、图书馆、教师和学生宿舍楼等。根据雁山校区对网络应用的需求，主干可以采用分层次的网络结构和冗余设计技术，如采用核心、汇聚冗余。还有无线局域网的引入，也是逐步完善校园网络的一个举措。（2）校园网接入Internet设计雁山校区校园网采用双端口方式，一个接入育才校区校园网，一个作为雁山电信的局域网方式接入雁山电信，校园网核心交换机及路由器都存放在网络中心，所有楼宇的光纤均连接到网络中心。2.3校园网结构设计2.3.1校园网物理结构设计此次升级物理网络上主要是对网络设备及通信带宽的升级升级核心路由器，采用思科优质的产品C3600系列。采用思科双C3750核心交换机做冗余技术；汇聚层也采用思科C3550，原有的设备可当备份用；接入层采用思科C2950系列。各层设备都具有千兆以太网端口。在通信线路上，此次将校园主干网都升级为1000M以满足学校对网络的需求。接入雁山电信仍为原有的百兆光纤，不过只要更改光缆的带宽就可以使网络升级到更高的带宽；路由器与核心交换机间采用1000Base-T铜缆连接； 核心交换机与汇聚层交换机间采用1000Base-LX光纤连接（在同一室内可用优质双绞线）。校内各网络服务采用100M双绞线连到核心交换机。汇聚层交换机所在的楼房内直接采用100双绞线连接到接入层交换机，其它楼房的接入层交换机则用100M光纤连接到该汇聚交换机上。升级物理网络拓扑图（如图三）：图三 升级后的网络拓扑图2.3.2校园网的逻辑结构设计校园网逻辑结构设计主要是IP子网网段的划分，根据校园网实际应用需求实现VLAN的设置。从校园网的安全性、IP地址的可管理性和IP地址资源的有限性出发，将整个校园网络划分成若干个子网网段并对IP地址进行有效的管理是十分必要的。子网网段划分一般应遵循以下原则：l 需要对外开放的服务器划分在同一网段，并分配真实的IP地址；l 除接入Internet的路由器外，将其它所有网络设备划分到私有的网段；l 将不对外开放的服务器划分到专有网段中，其地址对外是隐蔽的；l 最好将不同部门的机器划分到不同网段中；l 划分的子网应使IP管理简单，同时也要避免IP地址的大量浪费；l 可使用子网掩码将几个C类地址分给同一个大的子网，或将一个C类地址分给几个小的子网；l 校园内部网IP地址使用保留地址，连接Internet的子网采用真实IP地址。以下为学校升级中，对学校所有网内计算机的子网划分情况：序号VLAN号子网名称包含的信息点1DMZ区服务器子群连接Internet的所有对外开放服务器，为真实IP地址211服务器子网所有只对校内开放的服务器，为保留IP地址312网络设备子网除路由器外所有网络设备413办公室子网办公室计算机514无线接入子网所有无线接入的计算机615学生宿舍子网1校内学生宿舍接入的计算机716学生宿舍子网2校内学生宿舍接入的计算机817教师宿舍子网1校内教师宿舍接入的计算机918教师宿舍子网2校内教师宿舍接入的计算机1019教室子网教学楼的教学用计算机1120电子阅览室子网图书馆除办公室计算机外的所有计算机1221计算机实验室子网1计算机实验室11322计算机实验室子网2计算机实验室21423计算机实验室子网3计算机实验室31524计算机实验室子网4计算机实验室1625计算机实验室子网5计算机实验室1726计算机实验室子网6计算机实验室表一子网划分示意图如图2-4：图四 VLAN划分示意图3. 广西师范大学雁山校区网络升级硬件设计3.1交换设备的选型3.1.1核心层交换机的选型根据学校的规模和应用需求，为将校园主干升级为千兆网络，我们核心交换机选用两台CISCO WS-C3750G-24TS-S作核心冗余。Cisco Catalyst 3750系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。该交换机采用了Cisco StackWise技术，通过结合易用性和可堆叠交换机的最高永续性，提高了局域网运行效率。性能介绍：l 可用性802.1S/W支持基于标准的容错性、负载均衡和迅速恢复；Flexlink特性提供了不到100ms的快速收敛；PVST+则通过允许流量在冗余链路上传输，增加了可用带宽l Cisco StackWise技术单一IP地址和单一命令行界面（CLI）简化了管理；32-Gbps永续架构加速了收敛；1N堆叠采用了冗余和第三层上行链路永续性、跨堆叠Cisco EtherChannel技术及QoS，提高了可用性；自动配置和Cisco IOS软件版本检查和升级加速了部署过程；交换机的热添加和删除能保持堆叠持续运行l 370W PoE简化了IP电话、无线和视频监视部署；智能电源管理特性增强了控制能力，有助于更好地利用功率预算，PoE与快速以太网或千兆以太网型号相结合，能最大限度地利用现有基础设施投资l 第三层特性 OPSF、EIGRP、BGP 、静态 PBR等高级路由协议扩大了网络规模；等成本路由以及PIM等组播路由能够最大限度地利用网络资源；VRFLite可保护流量；IPv6在简化网络寻址和移动IP的同时提高了安全性l QoS 流量整形能在不丢弃数据包的情况下平稳处理突发流量；整形循环保证了关键任务应用的带宽；而Scavenger队列则能防止蠕虫过度使用资源l 管理 Cisco Smartports能快速、简单地配置高级 Web界面完成设置； 资源模板则可用于为应用定制交换机资源。l 安全DHCP监听能够只允许可信端口访问DHCP信息，消除了恶意DHCP服务器；NAC则能防止代价昂贵的蠕虫和病毒的传播；动态ARP检测和IP源防护能够防御中间人攻击；802.1x和基于身份的网络服务仅允许授权人员接入网络；端口安全能防止MAC地址泛洪攻击各关键交换机的主要性能参数如下表（表二）:参数类型WS-C3750G-24TS-S主要参数WS-C3550-24-SMI主要参数WS-C2950T-24主要参数交换机类型网管交换机网管交换机快速以太网交换机传输速率10Mbps/100Mbps/1000Mbps32MB DRAM和8MB闪存16MB DRAM和8MB闪存网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3abIEEE 802.1x、IEEE,802.3x、IEEE 802.1D、IEEE 802.1p、IEEE 802.1Q、IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3zIEEE 802.1x、IEEE 802.3x、IEEE 802.1D、IEEE 802.1p、IEEE 802.1Q、IEEE 802.3ab、IEEE 802.3u、IEEE 802.3端口数量2424 个10/100端口+2 个1000BaseX 端口26接口介质10/100/1000Base-TX、1000Base-FX/SX传输模式支持全双工支持全双工支持全双工配置形式可堆叠可堆叠可堆叠交换方式存储-转发存储-转发存储-转发背板带宽32Gbps8.8Gbps8.8GbpsVLAN支持支持支持支持MAC地址表12k80008000模块化插槽数4无无指示面板端口状态LED：链路完整，关闭，活动，速度和全双工指示；系统状态LED：系统，RPS和带宽利用率指示。每个端口的状态LED:连接完整性、禁用、活动和速度(仅限于上行链路)指示器,系统状态LED:系统和RPS指示器尺寸(mm)2954456644.536644544524244重量(Kg)5.685.03.0其他技术参数1 / 1.5机架单元（RU）可堆叠多层交换机；提供到网络边缘的企业级智能化服务 ；预装标准多层软件镜像（EMI）； 基本的RIP和静态路由器，可以升级到完全动态的IP路由安装了标准的多层软件镜像（SMI）；可以升级到完全动态的IP路由；功耗：65W（最大），每小时222BTU；由所有端口共享的4 MB内存架构；32MB DRAM和8MB闪存；可以配置多达8000个MAC地址；可以配置多达16000条单播路径；可以配置多达2000条多播路径；可以配置的最大传输单元（MTU）高达1590字节，用于连接MPLS标记帧网管功能：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)表二3.1.2 汇聚层交换机选型汇聚层交换机需要支持第三层交换，对应核心冗余，在这里我们也选用两台CISCO WS-C3550-24-SMI作汇聚冗余. 主要参数列表请参看表3-1. 产品特点：3550系列是一款功能强大的交换机，可在中型网络中作接入设备，也可作汇聚设备。用户可以在整个网络中部署智能化的服务，例如先进的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。Catalyst 3550系列中内嵌了Cisco集群管理套件（CMS）软件，该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。Cisco CMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。 含有标准多层软件镜像（SMI）或者增强型多层软件镜像（EMI）。EMI提供了一组更加丰富的企业级功能，包括基于硬件的IP单播和多播路由，虚拟LAN（VLAN）间的路由，路由访问控制列表（RACL）和热备用路由器协议（HSRP）。在刚开始部署时，增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。3.1.3 接入层交换机选型接入层设备主要作用是要支持VLAN的划分，我们可以选用CISCO Catalyst 2950.主要参数列表参看表3-1。3.2路由器的选型接入Internet的路由器完全可以选用Cisco 3620，因为Cisco 3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco 3600系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/传真网络模块，Cisco 3600系列允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。关键特性：l 在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接以及语音、视频和数据的多服务集成。l 模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。l 高密度ISDN PRI功能。 l 预配置的BRI和PRI调制解调器捆绑。l 支持Modem-over-BRI功能性。 l 集成了Cisco IOS软件（产品定价中包括IP IOS软件）。 l 完全支持VPN。路由器的主要性能参数如表三：参数类型CISCO 3620主要参数网络标准WAN，Ethernet，Fast Ethernet，ATM，ISDN，T1/E1，Frame Relay，X.25，IP/IPX 网络协议IP/IPX/AT/DEC/FW/IDS Plus 是否内置防火墙是 内存32MB(缺省)；128MB(最大) 重量13.6kg 表三3.3防火墙的选型防火墙是一种部署在内外网边界上的访问控制设备，在校园网中使用防火墙，可以用来防止未经授权的通信进出校园内部网络，通过边界控制强化内部网络的安全策略。防火墙主要有简单包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙三种。结合我们学校情况，我们选用CISCO PIX-525-R-BUN 防火墙来保障校园网络安全。CISCO PIX-525-R-BUN防火墙的主要功能：l 企业级集成式安全设备l 最高330 Mbps防火墙吞吐率l 利用硬件加速（某些型号自带，在其他型号中为可选组件）最高可以提供145 Mbps 3DES和135Mbps AES-256 VPN吞吐率l 最多可以为2000个远程用户提供VPN集中器服务（Easy VPN Server）l 千兆以太网支持；最多8个10/100 FE或者3个千兆以太网接口l 虚拟局域网中继（基于802.1q标签）和OSPF动态路由支持l 安全环境（虚拟防火墙服务）支持l 主用/主用和主用/备用防火墙状态故障切换支持l 主用/备用IPSec VPN故障切换支持PIX-525 的相关参数如表四：参数类型PIX-525参数处理器600 MHzRAM128或256 MB闪存16 MBPCI插槽3固定接口（物理）2个10/100快速以太网端口最大接口数量（物理）8个10/100FE 或GE最大虚拟接口（VLAN）100支持的安全环境有， 2/50 VPN加速器卡（VAC）选项有， 集成在部分型号中高可用性支持A/S， A/A设备更新处理仅使用小型文件传输协议（TFTP）故障切换端口DB-15（RS 232）大小2 RU表四3.4服务器选型现在著名的服务器品牌非常多，有IBM、HP、DELL、LENOVO、曙光、浪潮等。这里选的服务器主要是验证服务器的选择，其它的看学校目前的网络应用可以随时增设,如前面分析的FTP服务器、E-Mail服务等。根据我们前面的分析与设计，我们选择华为MA5200F-2000 来作为校园的宽带接入验证服务器，主要验证学生接入与无线接入这两方便。3.5具体网络拓扑设计图图五 详细网络拓扑图核心部分：图六注：图五中完整IP的均使用默认C类掩码，而只有两个IP位的都默认省去了前两位，如：100.6/30其完整IP为/30，其中30为该IP的掩码长度。核心与汇聚部分：图七汇聚与接入部分：图八注：由于接入层是工作在数据链路层，所以不需为其设置IP附件：配置路由器配置就目前的应用来说，只需要增加OSPF协议即可。Router(config)#ip route serialIP管理根据学校所在的雁山电信分配到公网IP为：64767可接入育才校区校园网的IP为：内部校园网的IP分配情况为：1) 学校网络设备IP划分如表五所示。主机名称/类型设备名称IP设置注释Cisco 3620网络中心路由器IP：/24网关：网管IPCisco PIX 525网络防火墙IP：/24/24/30/30网关：/24网管IPCisco WS-C3750G核心交换机1IP：/303/307/309/30网关：/24网管IPCisco WS-C3750G核心交换机2IP：0/304/301/305/30网关：网管IPCisco WS-C3550汇聚交换机1IP：0/302/303/30网关：网管IPCisco WS-C3550汇聚交换机2IP：6/308/304/30网关：网管IPCisco WS-C2950T接入交换机1网关：网管IPCisco WS-C2950T接入交换机2网关：网管IPCisco WS-C2950T接入交换机3网关：网管IPCisco WS-C2950T接入交换机4网关：网管IPCisco WS-C2950T接入交换机5网关：网管IPWeb服务器IP：64/24M邮件服务器IP：7/24FTP服务器IP：67/24认证服务器IP：/24DNS服务器IP：/24教务管理服务器IP：/24网管服务器IP：/24表五2) 学校共分16个子网，其VLAN划分情况如表六所示。 VLAN ID网段IP网关IP描述ISP 的网关DMZ区服务群1/24/30（主）0/30（备）内网服务器子网2/24网络设备子网除路由器外3/24办公室子网4/24无线接入子网5/24学生宿舍子网16/24学生宿舍子网27/24教师宿舍子网18/24教师宿舍子网29/24教室子网10/24电子阅览室子网11/24计算机实验室子网112/24计算机实验室子网213/24计算机实验室子网314/24计算机实验室子网415/24计算机实验室子网516/24计算机实验室子网6表六 VLAN划分表交换机配置交换机部分本人主要配置了核心与分布交换机中的冗余设计，如HSRP协议、VLAN划分、开启交换机的三层路由功能等。举例配置如下，VLAN配置中仅以VLAN 10为例。Core_switch#1interface FastEthernet0/23no switchport /设定成三层接口no ip addresschannel-group 10 mode active /启动LACP协议，将LACP模式设定成active!interface FastEthernet0/24no switchport /设定成三层接口no ip addresschannel-group 10 mode active /启动LACP协议，将LACP模式设定成activeinterface Port-channel10no switchportip address 3 52 /将port-channel10设定成三层interface FastEthernet0/19 /与分布交换机相连的接口no switchport /设定成三层接口ip address 9 52no shutdowninterface FastEthernet0/21 /与分布交换机相连的备用接口no switchport ip address 7 52no shutdowninterface FastEthernet0/20 /connected to firewallno switchport /设成三层接口ip address 52no shutdownrouter ospf 1network area 0 /设为区域0network 7 area 1 /设为区域1network 9 area 1ip route /设置默认路由Core_switch#2interface FastEthernet0/23no switchport /设定成三层接口no ip address channel-group 10 mode active /启动LACP协议，将LACP模式设定成active!interface FastEthernet0/24no switchport /设定成三层接口no ip address channel-group 10 mode active /启动LACP协议，将LACP模式设定成activeinterface Port-channel10no switchportip address 4 52 /将port-channel10设定成三层interface FastEthernet0/19 /与分布交换机相连的接口no switchport /设定成三层接口ip address 5 52no shutdowninterface FastEthernet0/21 /与分布交换机的相连的备用接口no switchportip address 1 52no shutdowninterface FastEthernet0/20 /connected to firewallno swithport /设成三层接口ip address 0 52router ospf 1network 0 area 0 /设置端口区域0network 1 area 1 /设置端口区域1network 5 area 1ip route /设置默认路由distribute_switch#1的配置!以VLAN10为例interface Vlan10 /开启交换机的三层交换ip address 53 /实际地址为53standby 10 ip 54 /虚拟地址为54standby 10 priority 110 /HSRP的优先级为110router ospf 1network 55 area 1network 192.168.X.0 55 area 1 /其中X代表VLAN X所规划的IP地址段ip route interface FastEthernet0/23switchport encapculation dot1q /封装为IEEE802.1Qswitchport mode trunk /设定为trunk模式 no ip address channel-group 10 mode active /启动LACP协议，将LACP模式设定成active!interface FastEthern