校园网解决方案

1、 软软软软 件件件件 学学学学 院院院院局域网实验报告局域网实验报告实验名称：实验名称：校园网解决方案 专专 业：业：网络系统管理 班班 级：级：网络 101 班 制制 作作 人：人：李晓青 学学 号：号：201007062110 指导教师：指导教师：余雨萍 2011 年年 12 月月 6 日日目录目录一一校园网建设的概述校园网建设的概述.3二二校园网络需求分析校园网络需求分析.3三三校园网网络设计方案校园网网络设计方案.43.1 校园网网络结构拓扑校园网网络结构拓扑.43.2 西区校园网网络结构拓扑西区校园网网络结构拓扑.43.3 IP地址方案和地址方案和 VLAN 的划分的划分.53.4

2、互联网接入方案互联网接入方案.63.5 安全方案安全方案.63.6 管理方案管理方案.6四四网络实施网络实施.64.1 综合布线实施综合布线实施.64.1.1 工作区子系统的设计.64.1.2 水平干线子系统的设计.74.1.3 设备间子系统的设计.74.1.4 管理子系统的设计.74.1.5 垂直干线子系统的设计.84.1.6 建筑群子系统的设计.84.2 网络设备的选择网络设备的选择.84.2.1 接入层设备选择.84.2.2 汇聚层设备选择.94.2.3 核心层设备选择.94.3 典型配置与实例典型配置与实例.104.3.1 OSPF路由协议的配置.104.3.2 STP协议配置.104

3、.3.3 访问控制列表的配置.114.4 NAT 转换的配置转换的配置 .134.5 VLAN 配置配置.14五五结束语结束语.15 校园网解决方案校园网解决方案一一 校园网建设的概述校园网建设的概述校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园园区内部的 Intranet 系统，对外通过路由设备接入广域网。学校现有教职工 1500 人，各类在校生 15000 余人，每年以 5%的比例增长。校园占地1460 亩，分南区、北区和西区三个校区，18 个学院分布在 3 个校区。其中网络中心、亚太、国教位于北区，软件学院位于西区，其余学院位于南区。二

4、二 校园网络需求分析校园网络需求分析设计一个网络，首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求，并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质服务。此校园网的建设将基于以下要求：（1）网络中心向外提供各种标准化信息化的服务，各个学院也自行向互联网发布学院信息并负责自己学院的信息服务，每个学院拥有约 1500 台 PC。（2）学校从 CERNET 申请一段 IPv4 地址 /18，从 CNC 上申请一段 IPv4 地址 /21。（3）考虑到地址较少，人数太多，因此建议使用私有地址和 NAT。 ，每

5、个学院分配 2个 C 类 CERNET 地址，其余归网络中心分配使用；每个学院分配 1 个/26 的 CNC 地址，其余归网络中心分配使用。（4）采用三层结构为设计校园网，采用主流以太网技术；选用万兆交换机；采用OSPF 路由协议和 SNMP 网络管理协议。（5）选用万兆以太网连接 3 个校区作为高速主干；采用千兆以太网作为各园区的主干，形成大学校园网的汇聚层，选用百兆以太网作为接入层。（6）大学校园网与因特网具有统一接口，即通过千兆以太网接入 CERNET 和 CNC。三三 校园网网络设计方案校园网网络设计方案3.13.1 校园网网络结构拓扑校园网网络结构拓扑校园网采用三层结构设计，网状、星

6、型相结合的拓扑结构其中，核心层作为校园网的主干网，为了增加网络的可靠性，可以采用网状拓扑，汇聚层也可以考虑部分冗余，接入层应该是星型拓扑。网络中心设在北区亚太楼，使用了两台核心交换机，其中一台作为冗余设备，以保证网络的可靠性；设立了 DMZ 区，以保证网络的安全性。路由器、防火墙和核心交换机构成了校园网的核心，也就是我们平常说的网络中心。选用了万兆以太网连接 3 个校区作为高速主干；采用千兆以太网作为各园区的主干，形成大学校园网的汇聚层；选用百兆以太网作为接入层。由此设计拓扑如图 1 所示。图 1 校园网络三层结构拓扑3.23.2 西区校园网网络结构拓扑西区校园网网络结构拓扑每个园区的网络结构

7、设计依然是以三层结构为原则，万兆以太网从北区网络中心出来连接校区作为高速主干；园区内采用千兆以太网作为主干，形成大学校园网的汇聚层；选用百兆以太网作为接入层。图 2 所示，是以西区的网络结构设计为例，代表展示了北区、南区同样地设计思想。图2 西区校园网三层结构拓扑3.33.3 ipip 地址方案和地址方案和 VLANVLAN 的划分的划分学校从 CERNET 申请一段 IPv4 地址 /18，从 CNC 上申请一段 IPv4 地址/21。考虑到地址较少，人数太多，因此建议使用私有地址和 NAT。 ，每个学院分配 2 个 C 类 CERNET 地址，其余

8、归网络中心分配使用；每个学院分配 1 个/26 的 CNC 地址，其余归网络中心分配使用。每个三层交换机的接口都对应一个 VLAN。下表 1 给出的是北区的 VLAN 配置清单。端口VLAN ID说明网管 IP：54/241-10VLAN 1网关中心11-20VLAN 2连接到亚太实验楼交换机21-35VLAN 3连接到主教学楼办公室交换机36-44VLAN 4连接到主教学楼学生机交换机上行端口45-48VLAN 5连接到东教学楼交换机上行端口49-55VLAN 6连接到图书馆交换机上行端口56-85VLAN 7-12连接到宿舍楼交换机上行端口86-99VLAN 13-16

9、连接到家属楼交换机上行端口表 1 北区 VLAN 的配置清单列表3.43.4 互联网接入方案互联网接入方案学校采用千兆以太网接入 CERNET 和 CNC。从而实现广大师生快速上网的要求。3.53.5 安全方案安全方案在边界路由器上设置了防火墙的功能，对不安全的信息进行了过滤，保证了内部网络不受到入侵。3.63.6 管理方案管理方案网络中心和每个校区的核心层交换机，只有管理员才能访问，管理员可以对全院的VLAN 进行划分。对于每个校区的汇聚层交换机，与 DHCP 服务器和 SAM 服务器相结合，管理员可以为每幢楼宇动态分配 IP 和划分子网，实现上网计费功能。同时在核心设备上开启 SNMP 协

10、议，使用 MRTG 进行流量监控。四四网络实施网络实施4.14.1 综合布线实施综合布线实施根据用户需求分析，决定校园网络采用星型网络拓扑结构。.1 工作区子系统的设计工作区子系统的设计学生宿舍一般通过 HUB 接入校园网网络，因此为了节省工程造价，每个宿舍只安装一个单口信息插座。信息点密集的房间可以选用两口或四口信息插座，如教学楼的多媒体教室、办公室、计算机中心机房等，信息插座的数量要根据用户的需求而定。考虑到校园网中大多数信息点的接入要达到 100Mbps，因此建议校园网内所有信息插座均选用 IBDN Giga Flex PS5E 超 5 类模块。IBDN 超 5 类模块可

11、以满足将来 155Mbps 网络接入的要求。为了方便用户接入网络，信息插座的安装位置应结合房间的布局及计算机安装位置而定，原则上要与强电插座相距一定的距离，安装位置应距地面 30cm 以上，信息插座与计算机之间的距离不应超过 5m。.2 水平干线子系统的设计水平干线子系统的设计因此经过全面考虑，该校园网综合布线系统的水平子系统全部采用非屏蔽双绞线。考虑到以后的校园网网络应用，建议整个校园网的楼内水平布线全部采用 IBDN 1200 系列超5 类非屏蔽双绞线，以便满足以后网络的升级需要。考虑到该院实施布线的建筑物都没有预埋管线，所以建筑物内的水平干线子系统全部采用明敷 PVC 管

12、槽，并在槽内布设超 5 类非屏蔽双绞线的布线方案。原则上 PVC 管槽的敷设应与强电线路相距 30cm，如遇到特殊情况 PVC 管槽与强电线路相距很近，可在 PVC管槽内安装白铁皮然后再安装线缆，从而达到较好的屏蔽效果。.3 设备间子系统的设计设备间子系统的设计经实地考察发现，每幢学生宿舍都有两个楼道，而在 2 层或 3 层楼道都已经设置了配电间，可以利用现有的配电房作为设备间。对于学生宿舍楼层较长的，建议采用双设备间的配置方案。教工宿舍和办公楼信息点较少，不考虑专门设置设备间。整个校园网的主设备间放置于亚太八楼的网管中心。对于信息点较分散且信息点较少的楼宇，没有必要设立专门的

13、设备间，可以在教师休息室内安装 6U 墙装机柜，机柜内只需容纳 1 个交换机和 2 个配线架即可。办公楼、图书馆、实验大楼等信息点较多地楼宇，需要预设机柜，机柜内应配备足够数量的配线架和理线架设备。网络中心机房采用铝合金框架支撑的玻璃墙进行隔离，全部铺设防静电地板，且地板已进行良好接地处理。机房内还安装了一个 10kVA 的 UPS，配备的 40 个电池可以满足 8个小时的后备电源供电。为了保证对机房内温度的控制，机房内配备了两个 5 匹的、具备来电自动开机功能的柜式空调，为了保证机房内设备的正常运行，所有设备的外壳及机柜均做好接地处理，以实现良好的电气保护。.4 管理子系统的

14、设计管理子系统的设计为了配合水平干线子系统选用超 5 类非屏蔽双绞线，每个设备间内都应配备 IBDN PS5E 超 5 类 24 口/1U 模块化数据配线架，配线架的数量要根据楼层信息点数量而定。未来方便设备间内的线缆管理，设备间内应安装相应规格的机柜，机柜内的两个配线架之间还应安装 IBDN 理线架，以进行线缆的整理和固定。为了便于线缆的连接，每幢楼内的设备间应配备光缆接线箱或机柜式配线架，以便端接室外布设进入设备间的光缆。为了端接每个交换机的光线模块，还应配备一定数量的光线跳线，以端接交换机光线模块和配线架上的耦合器。.5 垂直干线子系统的设计垂直干线子系统的设计由于大多数

15、建筑物都在 6 层以下，考虑到工程造价，决定采用 4 对 UTP 双绞线作为主干线缆。对于楼层较长的学生宿舍，将采用双主干设计方案，两个主干通道分布连接两个设备间。对于新建的学生宿舍及教学大楼都预留了电缆井，可以直接在电缆井中铺设大对数双绞线，为了支撑垂直主干电缆，在电缆井中固定了三角钢架，可将电缆绑扎在三角钢架上。对于旧的学生宿舍、办公大楼、实验大楼、图书馆，要开凿直径 20cm 的电缆井并安装PVC 管，然后再布设垂直主干电缆。.6 建筑群子系统的设计建筑群子系统的设计校园内建筑之间的距离很近，只有网络中心机房与教工区设备间之间的跨距和网络中心机房与学生宿舍二区设备间之间的

16、跨距较远，均已超过 550m，其他建筑物之间的跨距不超过 500m，因此除了网络中心机房与教工区、学生宿舍设备间之间布设 12 芯单模光线外，其他建筑物之间的光缆均选用 6 芯 50m 多模光缆进行布线。由于该学院原有的闭路电视线、电话线全部采用架空方式安装，而且目前建筑物之间没有现成的电缆沟，经过与院方交流意见，决定所有光线采用架空方式铺设，铺设光纤时，尽量沿着现有的闭路电视或电话线路的路由进行安装，从而保持校园内环境美观，也可以加快工程进度。4.24.2 网络设备的选择网络设备的选择.1 接入层设备选择接入层设备选择接入层网络作为二层交换网络，提供工作站等设备的网络接入。接

17、入层在整个网络中接入交换机的数量最多，具有即插即用的特性。对此类交换机的要求，一是价格合理；二是可管理性好，易于使用和维护；三是有足够的吞吐量；四是稳定性好，能够在比较恶劣的环境下稳定地工作；此层交换机应具备 VLAN 划分，链路聚合等功能。因可付性限制和计费认证是校园网的主要目标，该校选用 RJ-S2126、RJ-S1926S+、RJ-S1926F+、D-Link 等型号作为接入层交换机使用。使用端口认证技术，用黏滞端口的方法使端口在检测到未经授权的 MAC 地址时自动关闭，增强安全性。对于一些高要求的部门，如财务处、教务处等可采用 Cisco 设备，如 Cisco2900 系列中 Cisc

18、o WS-C2960-24TT-L 或 Cisco WS-C1960-48TT-L。.2 汇聚层设备选择汇聚层设备选择汇聚层主要负责连接接入层接点和核心层中心，汇集分散的接入点，扩大核心层设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚交换机还负责本区域内的数据交换，汇聚交换机一般与核心层交换机同类型，仍需要较高的性能和比较丰富的功能，但吞吐量较低。工作在这一层的交换机最重要的要求就是支持安全策略和冗余组件。前者并不一定很有用，因为主要在汇聚层上做这块功能，而后者就比较关键，一旦正常工作的链路物理层断开，就要重新选择可用线路。在校园网实施中，选用支持认

19、证较好的 RJ-1760 汇聚层用于计算机中心；选择 4 台Quidway S3526 分别作为主教学楼、图书馆、基础实验楼、家属楼汇聚层设备。如果经济允许，可采用 Cisco Catalyst 3560 系列当三次交换机。该系列支持 Ip 电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可以部署网络范围的智能服务，如高级 QoS、速率限制、访问控制列表、组播管理和高性能 IP 路由，并保持传统LAN 交换的简便性。内嵌 CiscoCatalyst3560 系列交换机中的 Cisco 集群管理套件（CMS）让用户可以利用任何一个标准的 Web 浏览器，同时配置多个 Cataly

20、st 桌面交换机并对其排障。Cisco CMS 软件提供了配置向导，它可以大幅度简化融合网络和智能化网络服务的部署。.3 核心层设备选择核心层设备选择网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化、可靠的骨干传输结构，因此核心层交换机应拥有跟高的可靠性、性能和吞吐量；工作在此层的交换机要具备高速转发、路由以及吞吐量较大等功能，同时性能也要有保证，学校选用华为 Quidway S8500 系列。为了提高网络可靠性和可用性，可选择系列设备作为冗余设备。4.34.3 典型配置与实例典型配置与实例.1 OSPFOSPF 路由协议的配置路由协议的配

21、置OSPF 路由协议是一种典型的链路状态的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统，即 AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个 AS 中，所有的 OSPF 路由器都维护一个相同的描述这个 AS 结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF 路由器正是通过这个数据库计算出其 OSPF 路由表的。作为一种链路状态的路由协议，OSPF 将链路状态广播为数据包 LSA 传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传送给与其相邻的路由器。下面以 Cisc

22、o 为例，给出其典型配置命令。首先，在路由器上启用 OSPF，命令如下所示。R1(config)#router ospf process-id其次，通告参与更新、接收路由信息所在接口的网络。配置如下。Router(config-router)#network network-address wildcard-mask area area-id网络地址和通配符掩码一起，用于指定此 network 命令启用的接口或接口范围。Area是共享链路状态信息的一组路由器，OSPF 网络也可配置为多区域。area-id 是指如果所有路由器都处于同一 OSPF 区域，则必须在所有路由器上使用相同的 area-

23、id 来配置。区域 0是骨干区域，是必须存在且配置的区域。并且，OSPF 不会自动在主网络边界总结。在该校园网中，要求在核心交换、各汇聚层三层交换机上都配置 OSPF 路由协议，同时，为了管理方便，要求为单区域 OSPF。.2 STPSTP 协议配置协议配置现在多数交换机默认开启 STP，但需要指定 STP 工作模式。如下所示。S3500#conf tS3500(config)#spanning-tree ? mode Spanning tree operating mode portfast Spanning tree portfast options VLAN VLAN S

24、witch Spanning TreeS3500(config)#spanning-tree mode ? pvst Per-Vlan spanning tree mode rapid-pvst Per-Vlan rapid spanning tree modeS3500(config)#spanning-tree mode pvst /一个 VLAN 一个 STP同样还可以配置快速端口转发和 RSTP，以节省时间。.3 访问控制列表的配置访问控制列表的配置这也许是最重要的一个环节了，毕竟目前学校网络在出口处并未设置防火墙。我们可以通过指定，允许特定的外网地址访问内网，也可拒绝

25、一切外网来源，同时可以控制内网访问的网站，防止学生登录不良网站。因此，几乎所有未被记录的外网都被禁止进入，大大减少了被攻击量。下面给出的是一个配置实例。（1）案例背景一台 3550EMI 交换机，划分三个 VLAN。端口 18 划分 VLAN2，端口 916 划分到VLAN3，端口 1724 划分到 VLAN4.VLAN2 为服务器所在网络，命名为 server，IP 地址段为 ，子网掩码为，网关为 ，域服务器为 WINDOWS 2000 ADVANCE SERVER，同时兼做 DNS 服务器，IP 地址为 192.168.

26、2.10 。VLAN3 为客户机 1 所在的网络，命名为 work01，IP 地址段为 ，子网掩码为 ，网关为 。VLAN4 为客户机 2 所在的网络，命名为 work02，IP 地址段为 ，子网掩码为 ，网关为 。3550 作为 DHCP 服务器，各 VLAN 保留 210 的 IP 地址不分配，例如：的网段，保留 至 0 的 IP 地址段不分配。（2）安全要求VLAN3 和 VLA

27、N4 不允许相互访问，但都可以访问服务器所在的 VLAN2（3）配置清单interface Vlan1 no ip address shutdown! interface Vlan2 ip address !interface Vlan3 ip address ip access-group 103 out!interface Vlan4 ip address ip access-group 104 out!ip classless!acce

28、ss-list 103 permit ip 55 55 access-list 103 permit ip 55 55 access-list 103 permit udp any any eq bootpcaccess-list 103 permit udp any any eq tftpaccess-list 103 permit udp any eq bootpc any eq bootpsaccess-list 103 permit u

29、dp any eq tftp any eq tftpaccess-list 104 permit ip 55 55 access-list 104 permit ip 55 55 access-list 104 permit udp any eq tftp any eq tftpaccess-list 104 permit udp any eq bootpc any eq bootpsaccess-list 104 permit udp any

30、 any eq bootpcaccess-list 104 permit udp any any eq tftp!ip dhcp excluded-address 0ip dhcp excluded-address 0ip dhcp excluded-address 0!ip dhcp pool test01 network default-router dns-server 192

31、.168.2.10ip dhcp pool test02 network default-router dns-server 0ip dhcp pool test03 network default-router dns-server 04.44.4 NATNAT 转换的配置转换的配置借助于 NAT，私有地址的“内部”网络通过路由器发送数据包时，私有地址被转换成合法的 IP 地址，一个局域网只需要使用

32、少量 IP 地址（甚至是一个）即可实现私有地址网络内所有计算机与 Internet 的通信要求。（1）静态地址转换配置在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入：ip nat inside source static 内部本地地址 内部合法地址指定连接网络的内部端口在端口设置状态下输入：ip nat inside指定连接外网的外端口在端口设置状态下输入：ip nat outside（2）动态地址转换配置在全局设置模式下，定义内部合法地址池。ip nat pool 地址池名称 起始 IP 地址 终止 IP 地址 子网掩码其中地址池名称可以任意设定在全局设置模式下，定义

33、一个标准的 Access-list 规则以允许哪些内部地址可以进行动态地址转换。Access-list 标号 permit 源地址 通配符 （其中标号为 199 的整数） 。在全局设置模式下，将由 access-list 指定的内部本地地址与指定的内部合法地址池进行地址转换。ip nat inside source list 访问列表标号 pool 内部合法地址池名字指定与内部网络相连的内部端口在端口设置状态下输入：ip nat inside指定与外网的相连的外部端口：ip nat outside（3）复用动态地址 PAT 配置在全局设置模式下，定义内部合法地址池。ip nat pool 地址池名称 起始 IP 地址 终止 IP 地址 子网掩码在全局设置模式下，定义一个标准的 Access-list 规则以允许哪些内