校园网络系统的设计与实现.docx
《校园网络系统的设计与实现.docx》由会员分享,可在线阅读,更多相关《校园网络系统的设计与实现.docx(21页珍藏版)》请在冰点文库上搜索。
校园网络系统的设计与实现
校园网络的设计与实现
摘要
随着互联网技术的蓬勃发展,设计一个切实可行并具有很好的安全性的校园网络是一件富有挑战性的工作。
本文通过分析网络技术特点和目前校园网的普遍需求及实际应用,讲解了校园网络的基本知识,包括路由器,三层交换机,无线AP,服务器等网络设备,VLAN,和IP地址,同时对主要设备进行了选型。
最后,对整个设计进行总结,分析校园网络中存在的问题和需要继续完善的地方。
关键字:
交换机;路由器;VLAN
ABSTRACT
WiththeflourishingdevelopmentofInternettechnology,itisaverychallengingjobtodesignafeasiblenetworkofcampuswithverygoodsecurity.
Thistextpassesandanalysesnetworktechnologycharacteristicandthegeneraldemandforcampusnetworkatpresentandpracticalapplication,ithasexplainedthebasicknowledgeofthecampusnetwork,includingtherouter,thirdlayerofnetworkswitch,wirelessAP,computerServernetworkequipment,VLAN,andIPaddres,havingcarriedontheselectingtypetothecapitalequipmentatthesametime。
IsummarizetheentiredesignandanalyzetheproblemexistinginthecampusnetworkandthePlacesthatneedtobeimproved.
Keywords:
includingtherouter;thirdlayerofnetworkswitch;VLAN
第一章前言
1.项目相关背景
信息时代的发展,影响着世界的每一个角落。
每个人的生活和工作几乎都与计算机密切相关。
在速度越来越快的计算机硬件和日益更新的软件背后,网络作为中枢神经把我们联系在一起。
也正是因为网络的出现与发展,使Internet为主要标志的网络技术构成了我们现代文化的重要组成部分,联系上亿人的Internet将我们带入了一个新的网络时代。
在现今的网络建设中,企业网的建设是非常重要的,企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。
从早期的企业网主要是简单的数据共享,简单数据库的共享到现在内部全方位的数据共享,从过去单一的企业到现在多个分支公司的全部互连,因而对网络的覆盖面要求越来越广。
这一要求最早还只局限于各分支企业内部,现在则已是整个企业、整个行业,甚至整个Internet的共同要求。
2.国内外发展状况
早期校园网络主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在访问速度慢、安全、可管理性较差等方面的问题。
现在学校校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使校园网实现安全可靠的高速访问,从而达到教育管理、多媒体教学、图书馆管理自动化的目的。
而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
本着技术先进、投资合理、充分利用现有教学设备,在技术上和设备上适当超前的原则,建立规范化、技术先进、扩展性能良好、性能价格比高的校园网络信息系统。
建成以先进的网络技术、计算机技术和多媒体技术为主要手段的多层开放式、全方位信息通讯与信息管理系统。
要在全院教学和行政管理两方面实现信息化,积极开发,广泛运用现代教育技术和信息资源,全面提高学院教师学生运用信息技术进行学习和工作的能力,全面推进信息技术与学科课程的整合、创造适应新时代要求的现代教学模式和管理模式,提高教育效益与质量,形成具有现代教育信息化的新特色。
3.开发目的意义
校园网是各种类型网络中的一大分支,有着非常广泛的应用。
作为新技术的发祥地,学校、尤其是高等学校,和网络的关系十分密切,网络最初是在校园里进行实验并获得成功的,许多网络新技术也是首先在校园网中获得成功,进而才推向社会的。
本课题的理论意义和实践意义:
(1)校园网的建设和发展是推进素质教育的需要
互联网已成为学校培养学生道德品质、创新能力等方面的新环境,成为培养高素质人才的崭新的平台,是学校推进素质教育的需要。
(2)校园网的建设和发展是学校教育改革的战略制高点
创建丰富多彩的校园网络文化对于转变陈旧的教育思想和观念,促进教学内容、教学方法、教学结构和教学模式的改革,对于深化基础教育改革,提高教育质量,培养高素质的创新人才具有深远意义。
(3)校园网的建设和发展是学校教育现代化的重点标志
运用现代教育技术建设和发展校园网,营造清新的校园网络文化氛围,就是从根本上落实教育的战略地位,解放教师的生产力,推动和发展教师、学生的创造力的一种创新优势的重要标志。
第二章校园网络的需求分析
1.应用背景需求分析
为了提高学校的管理效益和教学质量,开展学校现代化教育建设,建设具有规模的校园网络,Intranet技术的高速多媒体校园网是必要的。
整个高速多媒体校园网建设原则是“经济高效、领先实用”,既要领先一步,具有发展余地,又要比较实用。
校园网是集计算机技术、网络技术、多媒体技术于一体的系统,能够最大限度地调动学生对教学内容的积极性。
2.业务需求分析
本校园网为中小型规模的组网,节点数500个,但对通信量的要求较高,因此要求“千兆主干中跑,百兆到桌面”,并要求支持多媒体的应用。
本校园网需要实现的业务有:
Web服务:
所有合法用户可以通过Web浏览的方式获得校园网络中的信息,学生可以通过Web浏览的方式在线学习;
FTP服务:
教师可通过FTP服务器下载或上传课件资料;
DNS、目录服务器:
提供域名解析以及目录服务;
邮件服务器:
提供邮件收发服务;
数据库服务器:
提供各种数据库服务;
打印服务器:
提供打印机共享服务;
网管服务器:
对校园网网络设备进行综合管理。
3.管理需求分析
随着网络复杂度的增加,给网络管理带来成级数增加的工作量。
网络管理要求解决的问题包括:
⑴虚拟局域网管理、分配。
目前的虚拟局域网主要基于交换机端口划分,如果一个部门扩展新的入网点,扩展将改变交换机端口设置。
管理软件需提供远地虚拟网的修改功能。
⑵对所有网络设备端口的监视和管理。
对所有网络设备的远程配置和控制,包括网络设备端口的开启和关闭,整个网络的故障检测,故障自动报警功能,整个网络性能的统计和分析报告,甚至收费。
按照这些网络管理的需求,应采用基于GUI界面的网络管理软件。
4.网络安全需求分析
校园网络安全主要考虑以下几方面要求:
各个部门、系所访问网络的控制,各单位之间在XX的情况下,不能相互访问。
网络需要建立防火墙,禁止外部用户未经许可访问内部的数据,或者内部用户未经许可访问外部数据。
对安全问题的考虑主要是两个方面:
校园网应该是一个开放的系统,它不需要与政府或商业公司那样的网络安全保密性;另外,校园网应该是安全的,它不应该受到恶意的攻击而无法运行,一些科研成果也不应该对任何人都开放。
主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。
第三章校园网络系统的概要设计
建设一个高效安全的局域网并接入互联网,校园网对外提供Web、FTP等数据服务,每台电脑都能够访问互联网。
采用cisco的网络设备,把校园网内每个部门都设计成一个子网,规划每个部门的IP地址,设计网络拓扑图,配置网络的交换模块、广域网接入模块、服务器模块和远程访问模块。
实验方案:
目前一般将校园网划分为核心层、分布层和访问层,对于规模不大的校园网,核心层与汇聚层可以合在一起,以简化网络体系。
但是,校园网的建设是一个渐进过程,网络的不同层次可能由不同的投资者分别建设,同一个层次也可能由多个投资者分别建设。
本校园网采用这种通用的分层方法,将校园网络分成三个层次。
网络中心为核心层:
核心层的功能主要实现骨干网络之间的优化传输,骨干层设计任务的重点是冗余能力、可靠性和高速的传输。
分布层负责网段的逻辑分割,聚合路由路径,收敛数据流量。
访问层是用户进入网络的入口,将流量馈入网络。
1.系统组成与拓扑结构
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco公司的网络设备构建。
全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。
校园网络拓扑图如图2-1所示
图2-1校园网络拓扑图
在上面的拓扑图中,学校的6个主要集中接入点(计算机系、管理系、建筑系、财务处、教务处、学生宿舍)通过冗余的光纤链路上连到信息中心的核心层交换机上。
核心层交换机通过Cisco3640路由器接入因特网。
此外,教工宿舍及移动办公用户通过拨号方式接入路由器3640来访问校园网内网及因特网。
图中,以计算机系为例展示了每个建筑物内部的网络设备拓扑结构,并给出了信息中心内部的网络设备拓扑结构。
本校园网设计方案主要由以下四大部分构成:
交换模块、广域网接入模块、远程访问模块、服务器模块。
校园网络系统整体的拓扑结构图如图2-2所示。
图2-2校园网络系统整体拓扑结构图
2.VLAN及IP地址规划
在一个大、中型网络里,VLAN的划分是必不可少的步骤之一。
在本校园网设计实例中,整个校园网中VLAN及IP编址方案如表2-1所示。
除了表中的内容外,拨号用户从192.168.200.0/27中动态取得IP地址。
为了简化起见,这里我们只规划了8个VLAN,同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。
表2-1vlan编址方案
Vlan编号
Vlan名称
IP网段
默认网关
备注
Vlan1
--
192.168.0.1/24
192.168.0.254
管理
Vlan10
JWC
192.168.1.0/24
192.168.1.254
教务处
Vlan20
XSSS
192.168.2.0/24
192.168.2.254
学生宿舍
Vlan30
CWC
192.168.3.0/24
192.168.3.254
财务处
Vlan40
JGSS
192.168.4.0/24
192.168.4.254
教工宿舍
Vlan50
JZX
192.168.5.0/24
192.168.5.254
建筑系
Vlan60
GLX
192.168.6.0/24
192.168.6.254
管理系
Vlan70
JSJX
192.168.7.0/24
192.168.7.254
计算机系
Vlan100
FWQ
192.168.100.0/24
192.168.100.254
服务器
第四章校园网络系统的详细设计及实现
1.交换模块设计
校网网数据交换设备可以划分为三个层次:
访问层、分布层、核心层。
传统意义上的数据交换发生在OSI模型的第2层。
现代交换技术还实现了第3层交换和多层交换。
高层交换技术的引入不但提高了校园网数据交换的效率,更大大增强了校园网数据交换服务质量,满足了不同类型网络应用程序的需要。
本网络还引入了虚拟局域网(VirtualLAN,VLAN)的概念。
VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。
在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VlanTrunkingProtocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。
然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。
这样,大大减轻了网络管理人员的工作负担和工作强度。
当校园网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性可能会造成交换环路问题,这需要通过在各交换机上运行生成树协议(SpanningTreeProtocol,STP)来解决。
1.1访问层交换服务的实现-配置访问层交换机
访问层为所有的终端用户提供一个接入点。
这里的访问层交换机采用的CiscoCatalyst295024口交换机(WS-C2950-24)。
交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是Cisco的IOS操作系统。
1.1.1配置访问层交换机AccessSwitch1的基本参数
(1)设置交换机名称:
设置交换机名称,也就是出现在交换机CLI提示符中的名字。
一般我们会以地理位置或行政划分来为交换机命名。
当我们需要Telnet登录到若干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。
语句如下:
Switch(config)#hostnameaccessswitch1
Accessswitch1(config)#
(2)设置交换机的加密使能口令:
当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。
此口令会以MD5的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。
将交换机的加密使能口令设置为secretpasswd。
如下:
Accessswitch1(config)#enablesecretsecrepaswd
(3)设置登录虚拟终端线时的口令:
对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理人员提供了很多的方便。
但是,处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。
:
设置登录交换机时需要验证用户身份,同时设置口令为youguess如下:
(4)设置终端线超时时间:
为了安全考虑,可以设置终端线超时时间。
在设置的时间内,如果没有检测到键盘输入,IOS将断开用户和交换机之间的连接。
设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟如下:
(5)设置禁用IP地址解析特性:
在交换机默认配置的情况下,当我们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。
利用命令noipdomain-lookup可以禁用这个特性。
设置禁用IP地址解析特性如下:
(6)设置启用消息同步特性:
有时,用户输入的交换机配置命令会被交换机产生的消息打乱。
可以使用命令loggingsynchronous设置交换机在下一行CLI提示符后复制用户的输入。
设置启用消息同步特性如下:
1.1.2配置访问层交换机AccessSwitch1的管理IP、默认网关
访问层交换机是OSI参考模型的第2层设备,即数据链路层的设备。
因此,给访问层交换机的每个端口设置IP地址是没意义的。
但是,为了使网络管理人员可以从远程登录到访问层交换机上进行管理,必要给访问层交换机设置一个管理用IP地址。
这种情况下,实际上是将交换机看成和PC机一样的主机。
给交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。
按照表2-1,管理交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。
按照表2-1,管理VLAN所在的子网是:
192.168.0.0/24,这里将访问层交换机AccessSwitch1的管理IP地址设为:
192.168.0.5/24如下所示,显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。
为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关地址192.168.0.254。
1.1.3配置访问层交换机AccessSwitch1的VLAN及VTP
从提高效率的角度出发,在本校园网实现实例中使用了VTP技术。
同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。
这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。
设置访问层交换机AccessSwitch1成为VTP客户机如下:
1.1.4配置访问层交换机AccessSwitch1端口基本参数
(1)端口双工配置:
可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以强制将端口双工模式设为半双工或全双工模式。
在了解对端设备类型的情况下,建议手动设置端口双工模式。
设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式如下:
(2)端口速度:
可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端口速度设为10Mpbs或100Mbps。
在了解对端设备速度的情况下,建议手动设置端口速度。
设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps如下:
1.1.5配置访问层交换机AccessSwitch1的访问端口
访问层交换机AccessSwitch1为终端用户提供接入服务。
在图中,访问层交换机AccessSwitch1为VLAN10、VLAN20提供接入服务。
(1)设置访问层交换机AccessSwitch1的端口1~10:
设置访问层交换机AccessSwitch1的端口1~端口10工作在访问(接入)模式。
同时,设置端口1~端口10为VLAN10的成员。
如下:
(2)设置访问层交换机AccessSwitch1的端口11~20:
设置访问层交换机AccessSwitch1的端口11~端口20工作在访问(接入)模式。
同时,设置端口1~端口10为VLAN20的成员。
如下:
(3)设置快速端口:
默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶段:
阻塞、侦听、学习、转发。
在能够转发用户的数据包之前,某个端口可能最多要等50秒钟的时间(20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间)。
对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。
为了加速交换机端口状态转化时间,可以设置将某端口设置成为快速端口(Portfast)。
设置为快速端口的端口当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经建立)。
设置访问层交换机AccessSwitch1的端口1~端口20为快速端口。
如下:
1.1.6配置访问层交换机AccessSwitch1的主干道端口
访问层交换机AccessSwitch1通过端口FastEthernet0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet0/23。
同时,访问层交换机AccessSwitch1还通过端口FastEthernet0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet0/23。
这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个VLAN的数据。
设置访问层交换机AccessSwitch1的端口FastEthernet0/23、FastEthernet0/24为主干道端口。
如下:
1.1.7配置访问层交换机AccessSwitch2
访问层交换机AccessSwitch2为VLAN30和VLAN40的用户提供接入服务。
同时分别通过自己的FastEthernet0/23、FastEthernet0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。
对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。
这里,不再详细分析,只给出最后的配置文件内容(只留下了必要的命令)。
需要指出的是,为了提供主干道的吞吐量,可以采用链路捆绑(快速以太网信道)技术增加可用带宽。
例如,可以将访问层交换机AccessSwitch1的端口FastEthernet0/21和FastEthernet0/22捆绑在一起实现200Mbps的快速以太网信道,然后再上连到分布层交换机DistributeSwitch1。
同样,也可以将访问层交换机AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆绑在一起实现200Mbps的快速以太网信道,然后再上连到分布层交换机DistributeSwitch2。
2.广域网接入模块设计
广域网接入模块的功能是由广域网接入路由器InternetRouter来完成的。
采用的是Cisco2851路由器。
它通过自己的串行接口serial2/0接入Internet。
其作用主要是在Internet和校园网内网间路由数据包。
除了完成主要的路由任务外,利用访问控制列表(AccessControlList,ACL),广域网接入路由器InternetRouter还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。
2.1配置接入路由器InternetRouter的基本参数
对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1的基本参数的配置类似。
如图4-1
图4-1配置接入路由器InternetRouter的基本参数
2.2配置接入路由器InternetRouter的各接口参数
对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet0/0以及接口Serial2/0的IP地址、子网掩码的配置。
如图4-2所示:
图4-2配置接入路由器InternetRouter的各接口参数
2.3配置接入路由器InternetRouter的路由功能
在接入路由器InternetRouter上需要定义两个方向上的路由:
到校园网内部的静态路由以及到Internet上的缺省路由。
到Internet上的路由需要定义一条缺省路由,其中,下一跳指定从本路由器的接口serial2/0送出。
到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。
如图4-3所示:
图4-3配置接入路由器InternetRouter的路由功能
2.4配置接入路由器InternetRouter上的NAT
由于目前IP地址资源非常稀缺,不可能给校园网内部的所有工作站都分配一个公有IP(Internet可路由的)地址。
为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。
为了接入Internet,本校园网向当地ISP申请了6个IP地址。
其中一个IP地址:
202.110.5.1被分配给了Internet接入路由器的串行接口,另外5个IP地址:
202.110.5.2~202.110.5.6用作NAT。
NAT的配置可以分为以下几个步骤:
(1)定义NAT内部、外部接口,如图4-4所示:
图4-4定义NAT内部、外部接口
(2)定义允许进行NAT的工作站的内部局部IP地址范围,如图4
升级会员 