【《H大学滨湖校区校园网规划设计案例》5900字】

H大学滨湖校区校园网规划设计案例目录TOC\o"1-3"\h\u13501H大学滨湖校区校园网规划设计案例 1211811.1H大学滨湖校区综合布线设计原则 1151111.2H大学滨湖校区安全性设计 2187451.3H大学滨湖校区路由部分设计 2244841.1.1路由技术协议——OSPF 2222241.1.2访问控制列表——ACL 624831.1.3NAT技术 842971.1.4DHCP 1085671.4H大学滨湖校区交换部分设计 11117871.4.1VLAN技术 11315301.4.2生成树——STP 11284551.5H大学滨湖校区网络拓扑结构设计 1295521.6H大学滨湖校区网络拓扑说明 1281701.7IP地址规划 137818VLAN号 1317998IP网段 1322344位置 131.1H大学滨湖校区综合布线设计原则在设计H大学滨湖校区办公系统网络综合布线时，必须严格根据布线标准和规范进行现场施工和规划设计，以及后期的线路测试、项目验收等，需适当保持前沿性，一步到位，避免后期重复进行施工改造。（1）兼容性原则：在综合布线时所使用的传输介质需具备一定的兼容性，传输介质的兼容性与应用系统无关，需保证能够应用于各种系统。在使用时，最终使用用户无需关注某个工作区域以及所涉及的办公系统类型，保证用户只需要把终端接入信息插座，机房网络管理员在设备间将对应的端口按网络需求接入对应设备上，用户就可使用办公系统网络；（2）灵活性原则：办公系统网络设计所涉及到的信息点药具备与多厂商多类型设备进行连接；（3）可靠性原则：综合布线所使用传输介质需采用高品质线缆，所使用的线槽和其它组件需满足ISO认证。布线的方式必须独立（点对点连接），互相不影响，一条线路故障不能够影响其它的线路，为后期的维护和故障排查做准备，减少人员成本。（4）先进性原则：在满足现有要求的情况下，需要充分思考当今网络技术发展情况，考虑采用适当超前的技术，需具备语音、图像通信以及数据分析等功能。1.2H大学滨湖校区安全性设计伴随着网络新技术的不断发展趋势。不但需要保证学生们在该校区里的上课效率的提高，也要保证老师们的办公教学质量提高，办公系统网络需要一个相对稳定的平滑改造，以及也需要保证内网办公系统数据的安全性。所以，H大学滨湖校区需要满足以下条件：（1）防止教务系统被篡改：是指非法者攻击教务系统，并针对可用数据信息进行恶意破坏，让合法使用者不能够看到数据报文的完整性以及正确性，会将这种错误的报文告知使用者，给该校区老师、学生以及相关办公人员造成一个不可以预估的严重后果。（2）防止越权访问：是指非法攻击者在未取得数据信息接收者同意的情况下，非法攻击者通过一些手段直接进入应用系统数据服务器，也就是相当于低权限用户能够执行超级管理员的权限，进行相应的操作。（3）防止数据信息丢失乱码：也就是说非法攻击者采用非法不正当的技术手段来对数据报文获取后，进行相关破坏造成接收者就无法取得到正确的可用数据信息。（4）可扩展性：对设备的性能要求极高，随着世界网络新技术的不断发展趋势，H大学滨湖校区办公系统网络也要紧随网络新技术的变化，不久的将来也会涉及到更新、改造以及扩建等情况，所以不但要保证此次H大学滨湖校区本次网络改造的搭建设计同时也要能够满足今后的需求[7]。（5）经济性；办公系统网络规划设计中的网络设备以及安全设备的质量要满足经济性要求，性价比要高，在升级改造中要合理利用原有资源，尽可能发挥现有设备的效益。1.3H大学滨湖校区路由部分设计1.1.1路由技术协议——OSPF在本次所设计得方案中，将采用公有协议ospf技术，这项技术属于IETF研发出来，说白了也就是由思科研发出来后，交由IETF组织后演变为公由协议，所以说这个协议技术很多厂家都支持，如华三、思科以及奇安信等，在ipv4的环境中使用的是ospf版本2，在ipv6的环境中可以使用ospfv3技术[9]。Opsf可以支持支持动态的学习组网能所有的路由条目，同时ospf技术也采用自己的一套算法来计算出最优路径，减少不必要的路由开销。如下图1.1,ospf特点图1.1OSPF特点由图可以看出，ospf会先自己根据邻居关系生成一个spf树，然后根据这棵树来计算出路由，同时每30分钟发一次更新报文，来查看这颗树的关系变化，也就是查看ospf邻居关系间的变化，所以来说，这项技术相对于静态路由来比较的话，那么是相对于比较智能，可以减少工程师们发布路由时间，以及计算路径时间。（1）区域在设计方案中，需要采用分级划分区域，或者是按照业务性能来划分区域，而在ospf中它也有区域层级概念，通过划分区域节点，可以使整个网络架构看起来更有层级节点，同时也可以减少非骨干区域之间的路由条目限制，在大型网络中，一般核心设备上的路由条目数量较多，而后因为小节点网络上的改动，而导致核心设备上的路由震荡，而影响到整张网络中，所以接下来来介绍一下OSPF区域的划分，如下图1.2，ospf区域划分图1.2OSPF区域划分1）骨干区域：也叫为核心区域，字面意思理解也就是通过这个区域将非骨干区域全部连接起来，其他区域的路由信心都需要通过这个区域来进行传递路由信息，同时也减少环路的出现。2）非骨干区域：也就是除了area0之外的区域都叫非骨干区域，如上图所示的area1、area2、area3等，那么如果要向让area1和area2能够实现互通，那么他们之间需要借助area0来进行传递路由信息，但是在现网中并非如我们所愿所看到所有非骨干区域都是通过骨干区域互联，那么我们将如何解决这个问题呢？正因为这个问题所以也就有后来的虚拟化隧道技术，将这2个非骨干区域通过虚链路方式进行将2个非骨干区域直接相连进行数据传输。（2）相关实验验证OSPF自动学习路由能力以及查看OSPF邻居关系，拓扑图如下图1.3所示：图1.3相关实验拓扑图使用三台路由器配置相应的接口互联地址，并在每台路由器分别启用2个环回口地址，用来模拟其他网段主机地址，LPC-r1配置信息如下：interfaceLoopback1ipaddress55interfaceLoopback2ipaddress55interfaceFastEthernet0/0ipaddress52ipospf1area0interfaceFastEthernet0/1ipaddress52ipospf1area0routerospf1networkarea0networkarea0查看LPC-r1上的ospf邻居关系，如下图1.4效果图所示，可以得出LPC-r1分别与LPC-r2、LPC-r3建立了ospf邻居，并且学习到另外2台路由器上的环回口地址，由此可以得出，只要把需要宣告出去的网段宣告出去，其他ospf邻居即可学习到相应的路由信息。图1.4效果图测试LPC-r1去访问LPC-r2和LPC-r3的环回口地址，具体如下图1.5效果图所示图1.5效果图1.1.2访问控制列表——ACL访问控制列表原先是在上一代的防火墙上，随着时间的迁移后面才应用在交换机路由器上，目前访问控制还是在防火墙进行使用，很少会在交换机上使用这个技术，本身交换机只是起到转发数据包作用[10]，而防火墙最开始的定义在隔离防护上，而访问控制就是起到隔离和防护的作用。1）标准访问的控制列表：无法拒绝某些协议的特定端口，比如禁止TCP21端口，它只能拒绝整个协议，比如TCP协议等；标准的访问控制列表号只能使用1——99或者从1300——1999，其它的端口号无法进行使用[11]。2）扩展访问控制列表：正好与标准的访问控制列表相反，它可以做到控制到特定协议的具体端口号。（2）相关实验验证访问控制列表种的2种acl，拓扑图如下图1.6所示，使用三台路由器配置相应的接口互联地址，并在每台路由器分别启用2个环回口地址，用来模拟其他网段主机地址，LPC-r1配置信息如下图1.6拓扑图使用标准访问控制列表来限制去访问90，可以在LPC-r2上或者LPC-r1上进行配置，本例在LPC-r2上配置，具体配置命令如下所示：access-list1denyhostinterfaceFastEthernet0/1ipaccess-group1in测试如下图1.7效果图所示图1.7效果图使用扩展访问列表来限制访问1的TCP23端口，可以在LPC-r3上或者LPC-r1上进行配置，本例在LPC-r2上配置，具体配置命令如下所示：ipaccess-listextendedxianzhidenytcphosthost1eqtelne测试效果如下图1.8效果图图1.8效果图1.1.3NAT技术将私网IP地址通过地址转换技术将转换成互联网地址进行通信，这样一个简单的技术可以使用户隐藏自己内网地址，本身公网地址就已经不够使用了，可以有效的减缓IP地址短缺问题[12]，而且在规定中，我们的私网地址是不能出现在公网上，也正是因为这些短缺的问题，人们开始研究IPV6技术，可以做到每个人都使用公网地址。目前在交换机上无法实现这项技术，随着后续的研发，我相信交换机可以支持这项技术。（1）分类1）静态NAT，是指将私网地址进行一对一的转换成互联网地址，但是使用这种技术的话，那么也就需要很多个互联网的IP地址，这样跟直接配置公网地址道理是一样的，但是因为地址短缺的问题，至使这项技术会浪费很多公网地址，而且对资金方面也有很大的挑战，一般这项技术只会用在需要将内网的某台设备端口全部映射到公网上才会使用，或者是在自己搭建的模拟器上。2）动态NAT，将所有的私网IP地址通过地址技术只映射到这个对外的地址池中的随机一个地址，其实这么做也有点像静态的NAT技术，假设地址池中有2个地址，此时局域网中有3台设备需要去访问外网，那么这个时候局域网的3台设备同时需要访问外网，也就是说只有2个台设备才能访问外网，剩下的一台设备就需要等另外一台设备下线后才可以去访问外网资源，严重影响工作的效率，唯一的好处就是可以减少网络技术人员的维护静态映射关系表的工作量，所以这项技术在现网中也使用的比较少。3）端口复用技术，将所有的私网地址通过地址转换映射同一个公网地址上，所转换的端口号虽然说是随机的，查资料分析得出是按照一定的算法进行实现的，比如说，有一个私网的IP地址原本转换出去的端口号是四千，那么此时会对四千这个端口寻查，看下是否已经使用过，如果这个四千的端口还存在的话，那么就会直接使用这个端口，如果被人占用了，那么会进行加一后继续执行查询动作，按照以上步骤持续查询验证，直到查出来端口号没人在使用，那么就直接使用这个端口号，正常来说一个IP地址对应的端口号从1——65535，也就是说一个公网地址顶多只能让65535个设备进行转换，相对于静态NAT和动态NAT来说，这个方式已经算很好的了，用一个地址来转换65535个私网地址，这已经做到了地址的最大化了[13]。（2）相关实验测试静态NAT转换的关系，如下图1.9拓扑图所示图1.9拓扑图LPC-PC1的IP地址为，LPC-r1为出口路由器，具体配置如下所示：interfaceF0/0ipaddress54//配置F0/0的IP地址为54/24interfaceFastEthernet0/1ipaddressipnatoutsideipnatinsidesourcestatic00测试效果如下图1.10效果图：图1.10效果图1.1.4DHCPDHCP技术主要是为了能够避免网络管理人员的的去每台电脑上进行设置IP地址，不但可以减少网络管理人员的工作量而且还可以减少终端IP地址的维护工作，而且还可以减少IP地址冲突的问题。（1）角色分类DHCP服务器的主要是用来存放IP地址池的作用，并且维护剩余以及再用IP地址，已经分配出去的IP地址是不会在分配出去给别人使用。DCHP客户端，也就是最终需要获取到地址的设备，一般为电脑或者打印机等设备，会向DHCP服务器请求获取地址。（2）DHCP工作原理图1.11DHCP工作原理DHCP技术的工作原理，如上图1.11,dhcp工作原理图：1）电脑会向整个网络拓扑发送一个广播报文，以广播报文的形式发送给server，询问谁是地址池服务器，能够分配IP地址的服务器。2）这台server收到电脑的请求地址报文后，那么就会使用单播形式发送一个未使用的空闲的IP地址、DNS、wins等信息给请求者[14]。3）电脑收到server发送的单播报文后，同样也会正式的向server发送真正的请求报文，同时又会发送一个广播报文出去给所有人，如果此时有多个地址池服务器发送单播报文的话，那么电脑会找最先给我发单播报文的服务器，进行一个响应。4）服务器收到DHCP请求分配IP地址的单播数据报文后，就会把这个空闲的、未使用IP地址以广播数据报文的方式发送给客户端，发广播报文主要是为了告诉其他客户端，你们不要在向我在请求分配这个IP地址了，这样做也可以减少服务器去做响应报文所消耗的性能，也减少链路的带宽，减少客户端发送不必要的数据报文占用里链路带宽，当客户端收到服务器发送的这个广播报文之后，会发送一个接受使用地址的报文给服务器，告诉服务器在租期内不要再将这个地址分配给其他人使用了。1.4H大学滨湖校区交换部分设计1.4.1VLAN技术在现实网络环境种，一般是一个vlan号代表一个网段，而且vlan号只在本地二层网络环境种才有用，过三层环境后vlan号标签就没有意义了，也就是说vlan只在交换机内使用，为了让在不同楼层的人能够使用相同的网络或者是同一个楼层中不同部门的人实现不同网段，那么此时就需要用到，在同一个二层网络中，vlan技术还可以做到隔离广播域的作用，而且要想让同一台接入交换机上出现2个不同VLAN号信息，那么这台交换机需要与上联交换机端口之间需要启用trunk模式。1.4.2生成树——STPSTP主要的功能是为了防止在一个大二层的网络环境中，因为设备对接时候，形成一个闭环，那么这个时候接口下的MAC地址会一直在重复的学习，将会影响到设备的性能，而且在学习MAC地址过程中会占用到链路的带宽资源，因为mac一直在变化学习，同一个MAC地址一会通过10口学习到，一会通过20口学习到，会造成一直在MAC地址一直在翻滚，然而不同网络设备的厂家他们之间的生成树协议也是不同的，有些连命名都不相同。1.5H大学滨湖校区网络拓扑结构设计本论文中的办公系统网络设计主要包含几个关键节点：网络拓扑规划、路由规划组织、vlan和IP地址规划、网络安全设计和设备配置选型等设计。为了办公系统网络具备可扩展以及升级能力，在建设规划中必须采用层次化设计思路对办公系统网络进行结构设计。根据实际考察滨湖校区日常办公的实际流量核心层我们采用的是两台中高端交换设备进行冗余部署。本次所设计的H大学滨湖校区网络系统拓扑有如下几个优点：（1）扩展性；按照核心层、汇聚层、接入层架构进行划分实施，方便后期其他的汇聚设备或者接入设备的进行无影响化接入。（2）可冗余性；使用思科专有技术-HSRP技术，可以更好提高淮师大滨湖校区办公系统网络可靠性，保证关键设备的冗余。（3）高性能；合理的使用链路聚合的特性用于替代以往的STP方式容易造成环路，这样可以能够更好的提高网络的稳定性以及可用性。1.6H大学滨湖校区网络拓扑说明图1.13网络设计图如上图1.13所示，本方案使用路由器模出口网关设备，增加路由器模拟公网传输线路，规划终端作为互联网端终端，对WEB服务器公网映射进行验证。核心采用两台中高端型交换设备进行冗余部署，各汇聚采用两台中端交换设备进行冗余部署，两台核心交换设备以及汇聚交换设备使用HSRP技术，并配置DHCP地址池，使其下面电脑能够自动获取IP地址（服务段采用静态分配方式）。设立独立的应用服务区域，部署应用服务包含：web应用、DNS服务、办公系统以及FTP等应用，并在配置访问控制列表对服务器的访问进行限制，服务区边界部署下一代防火墙（WEB/IPS/DOS