校园网络规划和建设项目设计方案.docx
《校园网络规划和建设项目设计方案.docx》由会员分享,可在线阅读,更多相关《校园网络规划和建设项目设计方案.docx(66页珍藏版)》请在冰点文库上搜索。
校园网络规划和建设项目设计方案
校园网络规划和建设项目设计方案
一、引言
(一)背景及意义
信息时代的变革与发展,带动了整个世界的深刻变革。
网络、计算机技术的进步和应用软件的提高,使计算机变的越来越容易使用,它们正被广泛地使用,并迅速改变着人们的生活、学习、工作方式。
在一个好的校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式。
社会变的很快,我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快尽早的建设校园网好处将是显著的和长远的。
信息技术的快速发展,教育信息化水平正成为衡量学校总体发展水平的重要因素,网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。
1995年中国教育和科研计算机网(Cernet)建设全面启动,全国各地的高校开始建设自己的计算机校园网。
校园网建设是高校建设的重要组成部分,建设高质量的局域网,才能充分发挥网络资源管理和应用的优势,进行信息交流、资源共享、科学计算和科学研究与合作。
校园网的建设与应用,极丰富和完善了教育资源,拓宽了学生获取知识的渠道,改善了教学效果,提高了学校的现代化管理水平,促进了教育的社会化,因此,如何进一步搞好校园网的建设,充分发挥校园网的作用,组建高性能,低成本的校园网,是各个高校正在探索和思考的问题。
简单来说,对于校园网,丰富的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。
(二)校园网建设的原则
校园网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。
并且从学校的利益出发,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据校园网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是:
高性能、高可靠性、高稳定性、高安全性、易管理的网络平台。
我们遵循以下的原则进行网络设计:
(1)稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
(2)先进性
在满足用户需求的前提下,充分考虑信息社会迅猛发展的趋势,在技术上适度超前,使提出的方案将布线系统建设成先进的、现代化的信息系统。
采用最先进的组网技术,选用代表当今世界潮流趋势的网络产品,才能在未来的发展中保持技术领先。
(3)安全性
网络的安全性是网络的一个重要的指标,网络设计从结构设计、产品选择以及网络管理上要对网络的安全性作出保证。
既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括划分VLAN、路由过滤、系统安全机制、加密机制、多种数据访问权限控制等技术提升整个网络的安全性。
在选材方面,高性能的防火墙等设备也是必要的选择。
(4)实用性
网络建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。
设备选型也不能过于超前,一定要经济实用。
对于模块化的网络设备,要对模块进行有效的利用。
在实现先进性、可靠性的前提下,达到功能和经济的优化设计。
综合布线系统各个部分都采用高质量材料和标准化部件,并按照标准施工和严格检测,保证系统技术性能优良可靠,满足目前和今后通信需要,且在维护管理中减少维修工作,节省管理费用。
二校园网络需求分析
(一)学校主要建筑
设计一个网络,首先要实地考察各个连接点的实际情况,为用户分析目前面临的主要问题,确定用户对网络的真正需求,才能选择、设计出合适的网络结构和网络技术。
根据实地考察,学校网络覆盖建筑物图如图1-1所示:
:
图1-1学校建筑物图
根据学校建筑物图,所画该网络拓扑图如图1-2所示:
图1-2学校拓扑图
校园主要有实验楼、教学楼、宿舍、食堂、图书馆五个建筑物,本案例以此划分子网。
(二)学校建筑现状分析
对学校建筑的分析如图2-1所示:
图2-1学校建筑图
如图分析,学校分为教学楼、实验楼、学生宿舍、食堂、图书馆。
其中教学楼分为A、B、C、D栋楼和办公楼,宿舍共有8栋楼组成其中2栋为教工宿舍。
(三)信息点分布需求分析
对学校信息点进行了分析,每间教室(含多媒体教室)分配2个信息点,每间学生宿舍6个信息点,教工宿舍2个信息点,各办公室分配4个信息点,图书馆每层30个信息点,具体信息点数量如表3-1所示:
大楼
建筑规模
信息点
信息点合计
实验楼
5层
134
134
教学楼
A座
100
860
B座
100
C座
100
D座
100
办公楼
400
学生宿舍
1#
600
4000
2#
600
3#
600
4#
600
5#
600
6#
600
7#
200
8#
200
食堂
3层
30
30
图书馆
4层
120
120
表3-1学校信息点的分析表
(四)学校VLAN需求划分
VLAN(VirtualLocalAreaNetwork)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。
简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。
因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址,以便在交换机部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。
例如学校的实验楼的VLAN划分,实验楼共有5层每层有近10间实验实训教室。
划分VLAN可以分隔端口即使在同一个交换机上处于不通VLAN还是不能通信的,这样就避免了广播风暴,同时杜绝了网络通信的不安全,方便管理员的管理与配置,大大提高了校园网的性能。
(五)网络功能需求分析
1.校园基础应用平台
(1)信息共享:
有关学校的各种资料、信息的上传和下载,如图书资料、教学资料、应用软件,以及一些最新的学校公告等都可通过网络进行查询。
(2)信息交流:
校园网可通过连接Internet实现与外部资源的互通,从而实现教学科研水平的交流。
(4)现代化办公:
通过运用先进的计算机技术实现办公自动化,使学校的各种行政办公、财务结算、信息查询计算机化、无纸化,提高学校的办事效率和办公科学性。
(5)办公学习:
向全校师生提供学习资料,交流平台,提供在线答疑系统和留言答疑系统:
方便师生之间的联系。
(6)教务管理:
为学生提供成绩管理、学生信息管理、学校通知等服务。
(7)电子图书馆:
为全院的师生提供电子图书的阅览服务。
同时,还应具备档案管理、学生管理、教学管理、财务管理、物资管理等功能,网络必须具备较高的安全性、可靠性和容错性。
2.Internet服务需求
Internet,中文正式译名为因特网,又叫做国际互联网。
它是由那些使用公用语言互相通信的计算机连接而成的全球网络。
Internet以相互交流信息资源为目的,基于一些共同的协议,并通过许多路由器和公共互联网而成,它是一个信息资源和资源共享的集合。
校园共4000余师生,对上网冲浪、网络购物、收发电子、资料查询、休闲娱乐等服务需求比较大,校园网能否高速连接国际互联网也是衡量一个网络规划设计优劣的指标。
3.安全与管理需求
网络安全对于网络系统来说是十分重要的,它直接关系到网络的正常使用。
由于校园网与外部网进行互联特别是和Internet的互联,Internet是一个开放式网络系统,它的安全性是很差的。
因此安全问题更加重要。
应该采用一定的技术来加强校园网络的安全性,从部和外部同时对网络资源的访问进行控制。
当前主要的网络安全技术有,用户身份验证、VLAN划分、ACL、SNMP、防火墙等技术。
4.实用经济性需求
校园网的特点决定了网络系统必需要有实用与经济性。
实用性使得网络便于管理、维护,以减少网络使用人员运用网络的难度,从而降低人为操作引起的网络故障,并使更多的人掌握网络的使用。
应根据学校的实际情况,由于学校的建设资金有限,所以一般都要求网络具有较高的性价比,所以在建设校园网时一定要使用性价比高的网络技术和网络设备,以节约建设资金。
(六)系统需求分析
不同应用及数据流所占用贷款分析
●基础信息服务约占用100MB;
●视频、网络会议、数字音频约占用100~500M
●视频流媒体播放500~1000M
●WWW、FTP、E-Mail服务约占用10M
●文件传输、Internet访问约占用15M
由以上数据可以看出如果满足所有应用要求,单个用户所独占的网络带宽必须在10M以上,加上网络上固有的广播风暴,设计目标是使单用户在某一个时间独占的带宽不小于100M。
这样就足以实现网络视频播放、计算机网络和各种网络服务合一,而且也符合现今主流的10M/100M自适应网络的要求。
三校园网络规划设计
(一)校园网络拓扑图
根据学校的要求,为了保证网络的先进性、可靠性、可扩展性、可管理性、安全性等方面的需求,网络拓扑规划如图1-1所示:
图1-1校园网络拓扑结构图
校园拓扑图采用经典的星型拓扑结构,以千兆以太网为骨干网络,百兆双绞线连接到桌面,满足各个连接点的信息需求。
如图1-1,Internet或Cernet经由路由器接入防火墙,以千兆光纤接入核心层交换机,即进入网。
网采用了先进的三层交换技术,加快大型局域网部的数据交换,所具有的路由功能也是为这个目的服务的,能够做到一次路由,多次转发。
本方案以学校主要建筑物教学楼、实验楼、学生宿舍、食堂、图书馆和服务器共划分了六个子网,每个建筑主体分配一个汇聚层交换机,再以百兆双绞线连接接入层交换机直到桌面。
整个网络结构简单、建网容易、控制相对简单,容易进行重新配置。
由于星型网络上的所有数据都要通过中心设备,并在中心设备汇集,所以维护起来比较容易,而且受故障影响的设备少,能够较好地处理。
方案特点:
(1)高性能全交换,千兆骨干(多模光纤)、百兆交换到桌面(UTP双绞线);
(2)虚拟局域网(VLAN)策略,提高局域网络部安全与性能;
(3)多业务,办公管理、远程通信一网实现;
(4)系统安全,架设路由器、防火墙,提供互联网接入的安全保障;
(5)操作性强,流行的星型拓扑结构简单,易于操作。
(二)VLAN的划分
如表2-1所示,学校校园网络VLAN的划分及IP的分配。
VLAN号
VLAN名
IP网段
默认网关
说明
VLAN1
----
192.168.0.0/24
192.168.0.254/24
管理VLAN
VLAN10
Laboratory
192.168.1.0/24
192.168.1.254/24
实验楼
VLAN20
Canteen
192.168.2.0/24
192.168.2.254/24
食堂楼
VLAN30
Library
192.168.3.0/24
192.168.3.1254/24
图书馆
VLAN40
teach
192.168.4.0/22
192.168.7.254/22
教学楼
VLAN50
dorm
192.168.32.0/19
192.168.63.254/19
宿舍楼
VLAN60
Server
192.168.8.0/24
192.168.8.1/24
服务器群
表2-1学校校园网络VLAN划分及IP的分配
此外,教职工和学生宿舍编入宿舍楼子网中。
这里仅以学校实验楼一层为例,其它建筑IP的划分可依次参照进行,下面介绍IP的详细划分,如图2-2所示。
图2-2实验楼各楼层网络拓扑图
(三)VLAN及IP地址规划
(1)核心交换机IP地址分配
核心交换机虚拟接口Vlan号
IP地址
连接物理地址
10
192.168.1.1
实验楼
20
192.168.2.1
食堂
30
192.168.3.1
图书馆
40
192.168.4.1
教学楼
50
192.168.32.1
宿舍楼
60
192.168.8.1
服务器
表3-1核心交换机IP地址分配表
(四)网络逻辑设计
4.1网络结构冗余设计
4.1.1基本思想
冗余设计的基本思想就是通过重复设置网络链路和互连设备来满足网络的可用性需求。
冗余是提高网络可靠性最重要的方法,可以减少网络上由于单点故障而导致整个网络故障的可用性。
冗余的目的是重复设置任何一个必需的组件,使得它的故障不会导致网上用户的关键应用程序的停止运行。
冗余的对象可能是一个核心路由器、一个电源、一个广域主干网或一个ISP网络等。
由于冗余增加了网络拓扑结构和网络寻址与路由选择的复杂性,也增加了使用和维护的费用,因此要根据用户在可用性和可购买性方面的需求,选择冗余级别和冗余拓扑结构。
4.1.1备用设备
由于路由器或交换机在企业网中的某些部分起着关键作用,因此有时需要对这些设备设置冗余。
4.1.2备用路径
当网络的某条路径出现故障,为了保持互联性,冗余网络设计必须提供一条备用路径。
备用路径由路由器、交换机以及路由器与交换机之间的独立备用链路构成,它是主路径上的设备和链路的重复设置。
设计备用路径所采用的容量通常比主路径小,而且备用路径所使用的链路与主路径使用是不同的技术。
对某些非常重要的应用而言,路径的中断是不可接受的,这时就应当考虑采用主路径与备用路径之间的自动切花技术。
备份链路除了用于冗余之外,还可以用于负载平衡。
这样做的好处就是,能够提高网络的总体性能水平,同时也因为备份链路被定期使用和监控,一旦主路径出现故障,不会出现无法从后备装入正式工作的情况。
四网络管理和安全
(一)VLAN配置划分
为设备命名,方便区分各个设备,避免配置时因选错设备而产生的错误。
在交换机和路由器上进入全局配置模式,使用hostnamename命令对各个交换机或路由器进行命名。
例如把核心交换机命名为Hearts1和Hearts1,指令如下:
Switch>enable//进入特权模式
Switch#configureterminal//进入全局模式
Switch(config)#hostnameHearts1//将switch命名为Hearts1
henxins(config)#
以太网VLANID的取值围为1~1001。
其中,VLAN1为系统默认VLAN,不能被创建,也不能被删除。
在基于IOS的交换机上配置VLAN,可以在两种管理模式下操作:
在特权配置模式下和VLANDatabase模式下创建,其中第二种模式在新型交换机上会有警告提示,说明此模式已不被厂商推荐使用,这里仅对第一种方式进行举例说明。
在特权配置模式下配置VLAN步骤:
Switch#configureterminal//进入全局配置模式
Switch(config)#vlanvlan-id//(输入一个VLAN号,然后进入VLAN配置模式,可以输入一个新的VLAN号或旧的来进行修改。
)
Switch(config-vlan)#namevlan-name//(输入一个VLAN名,如果没有配置VLAN名,缺省的名字是VLAN号前面用0填满的4位数,如VLAN0010是VLAN10的缺省名字)
Switch(config-vlan)#end//退出
Switch#showvlan//验证VLAN配置结果。
Switch#copyrunning-configstartupconfig//保存配置
可以使用接口配置模式来定义端口模式(接入(access)还是干道(trunk)),并向VLAN中添加或从中删除端口。
将端口指定到特定的VLAN后,就是在处理接入链路而非trunk链路。
可以使用switchportmodeaccess定义端口成为VLAN成员模式,使用此命令的no形式,可以将一个端口从VLAN中去除。
接下来,需要通过接口命令switchportaccessvlanvlan-id将端口指定到特定的VLAN中。
使用此命令的no形式,也可以将一个端口从VLAN中去除。
在接入模式下,接口仅属于一个VLAN。
步骤:
Switch#configureterminal//进入全局配置模式
Switch(config)#interfaceinterface-id
//进入接口配置模式,进入要分配的端口,如本案例中FastEthernet0/11
Switch(config-if)#switchportmodeaccess//定义交换机二层接口为接入模式
Switch(config-if)#switchportaccessvlanvlan-id //把端口分配给某一VLAN。
Switch(config-if)#end//退出接口配置模式
Switch#showrunning-configinterfaceinterface-id
//验证端口的VLAN号
Switch#showinterfacesinterface-idswitchport//验证端口的管理模式和VLAN情况
Switch#copyrunning-configstartup-config//保存配置
默认情况下交换机上的所有端口都属于VLAN1中。
你不能对VLAN1进行更改、删除或重命名,因为它是默认的VLAN。
默认时VLAN1是所有交换机的本地VLAN,一般厂商都推荐你使用VLAN1作为负责管理的VLAN。
本地VLAN的功能是指:
“没有特别地分配到不同的数据包都将被发送到本地VLAN中。
”这就是交换机在没有划分VLAN时,客户端能够通信的原理。
若欲将某个端口从VLAN中删除,可以将该接口恢复为默认值,即可清除该接口的所有配置,使之不再属于任何VLAN。
步骤如下:
Switch#configureterminal//进入全局配置模式
Switch(config)#defaultinterfaceinterface-id//清除某接口的所有配置
Switch(config)#end//返回特权配置模式
Switch#copyrunning-configstartup-config//保存对配置的修改
删除VLAN
管理员在配置VLAN过程中,很有可能输入错误的VLAN名称,如果要删除这些VLAN可用vlandatabase进入VLAN配置状态,用novlanvlan-id来删除,也可以在特权配置模式下进行操作。
步骤:
Switch#configureterminal//进入全局配置模式
Switch(config)#novlanvlan-id//删除某一VLAN,如:
novlan11
Switch(config)#end//返回特权配置模式
Switch#showvlanbrief//验证VLAN数据库的结果
Switch#copyrunning-configstartupconfig//保存对配置的修改
根据校园网络的VLAN划分,IP地址的划分等分配,分别在教学楼、实验楼、教学楼、学生宿舍等楼群汇聚层的交换机配置相关的IP地址,并对其重要的部门和多媒体教室进行VLAN的划分。
配置步骤相对简单,每楼群的配置方法也相似。
只需将交换机划分VLAN,将相对应的客户端端口加入到VLAN中,并配置中继(要将交换机与交换机之间的连接以及交换机与路由器之间的连接端口设为主干模式Trunk),应用交换机的互学习能力,减少网管人员的工作量,同时需要配置单臂路由使有些VLAN之间可以相互访问。
设置登录虚拟终端线时的口令。
对于一个已经运行着的交换网络来说,交换机的带远程管理为网络管理人员提供了很多的方便。
但是,处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。
步骤:
Switch#configureterminal//进入全局配置模式
Switch(config)#linevty04//打开telnet
Switch(config-line)#privilegelevel5//设置密码级别
Switch(config-line)#passwordcisco//验证VLAN数据库的结果
Switch(config-line)#exec-timeout5//设置登录超时时间
(二)IP地址设置
在路由器和交换机上为接口或VLAN设置IP地址,进入接口模式后,用ipaddress命令后加上IP地址和子网掩码,子网掩码不可以省略。
例如:
1.为端口分配IP
Router(config)#interfacefastEthernet0/1//进入接口f0/1
Router(config-if)#ipaddress192.168.1.2255.255.255.0
//为1号接口分配IP192.168.1.2
2.为VLAN分配IP
Switch(config)#interfacevlan2//进入VLAN2
Switch(config-if)#ipaddress192.168.1.1255.255.255.0
//为VLAN2分配IP为192.168.1.1
(三)VTP的应用
VTP(VlanTrunkProtocol)即VLAN中继协议。
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。
VTP在系统级管理增加,删除,调整的VLAN,自动地将信息向网络中其它的交换机广播。
此外,VTP减小了那些可能导致安全问题的配置。
便于管理,只要在vtpserver做相应设置,vtpclient会自动学习vtpserver上的vlan信息。
本案例中应用VTP可以大大减少网管人员的工作量,网络维护更加便捷。
图4-1VTP的应用
如图4-1,被设置为vtpserver模式的交换机,其VLAN的变动会被设置为vtpclient的交换机引用,具体配置命令如下:
Switch#vlandatabase//进入Vlan
Switch(vlan)#vtpdomainSchool//建立名为School的VTP域
Switch(vlan)#vtp{server|client}//修改交换机vtp的模式,核心层交换机配置为vtpserver,汇聚层交换机配置为vtpclient
Switch(vlan)#vtppasswordadmin //配置vtp密码为admin
Switch(vlan)#vtppruning//配置VTP修剪
Switch#showvtpstatus//查看VTP运行状态
Switch#showvtpcounters//查看交换机收到和发出广告的数目
(四)PVST生成树协议
PVST:
Per-VLAN Spanning Tree(每VLAN生成树)
PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案.PVST为每个虚拟局域网运行单独的生成树实例.一般情况下PVST要求在交换机之间的中继路上运行CISCO的ISL。
每VLAN生成树 (PVST)为每个在网络中配置的VLAN维护一个生成树实例。
它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。
尽管
PVST对待每个VLAN作为一个单独的网络,它有