校园网网络建设方案.doc

《校园网网络建设方案.doc》由会员分享，可在线阅读，更多相关《校园网网络建设方案.doc（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、姓名学号专业及班级指导老师评阅成绩表学习与工作态度（30%）选题的价值与意义（10%）文献综述（10%）研究水平与设计能力（20%）课程设计文档撰写质量（20%）应用创新价值（10%）总分指导老师签名： 年 月 日课程设计答辩记录及评价表学生讲述情况教师主要提问记录学生回答问题情况答辩评分评分项目分值评价参考标准评分总分优良中及格差选题的价值与意义1098764文献综述1098764研究水平与设计能力201917151310课程设计说明书（论文）撰写质量201917151310学术水平与创新1098764答辩效果302825221915是否同意论文（设计）通过答辩同意 不同意答辩小组成员签名答

2、辩小组组长签名： 年 月 日课程设计成绩评定表成绩汇总评分项目评分比例分数课程设计总分指导老师评分50%答辩小组评分50%封面课程设计题目：校园网网络建设方案作者姓名：班 级：学 号：指导教师：日 期：2012年 3月 6日 作者签名：校园网网络组建与配置实践摘 要校园网网络组建与配置实践摘 要目前，随着我国教育改革的不断深入，教育事业整体的发展带动了校园信息化的不断深入和推进，校园网建设出现新一轮的高峰，并且对成本与性能及安全提出了更高的要求。本文从实际情况出发，经过多方查阅，决定采用核心冗余方案，两台核心交换机互为备份，当其中任何一台发生故障时，另外一台可以自动、无缝地接管它的工作，从而提

3、高网络运行的稳定性。为了网络的优化，选择三层交换技术的网络架构。根据部门需求划分虚拟局域网VLAN，控制广播范围，抑制广播风暴，提高了局域网的整体性能和安全性。对于路由设计，通过OSPF协议实现路由器之间相互通信。为了提高网络的安全性，采用访问控制列表ACL。为了IP地址的兼容性，采取双协议栈的IPv4-IPv6过渡方案。另外本方案还使用了NAPT地址转换，以此来达到节约公网地址的目的。关键词：核心冗余；VLAN；OSPF；IPv4-IPv6过渡方案；ACL；NAPT目 录1 引言11.1 课题背景11.2 需求现状12 需求分析13 拓扑及IP和路由规划23.1 拓扑设计及描述23.2 IP

4、和VLAN设计23.3 路由设计74 安全设计84.1 防火墙84.2 ACL95 设备选型95.1 核心层设备选型95.2 汇聚层设备选型95.3 接入层设备选型95.4 其他设备选型96 实践配置与测试10结 论22参考文献221 引言1.1 课题背景近年来，随着原有的校园网建设的逐步完成，校园网建设出现新一轮的高峰。原本不计代价不计成本的建设模式已经为广大学校所放弃，但是因新的应用所带来的校园网的新一轮的扩容使当前的校园网扩容、升级呈现新的趋势。随着我国教育改革的不断深入，教育事业整体的发展带动了校园信息化的不断深入和推进。这使得整个教育行业的网络信息化呈现如下趋势。校园网规模的不断扩大

5、，用户数量的不断增加，对最终用户的管理成为学校关注的要点。校园内的网络结构趋于复杂化，业务趋于综合化。这些都使得网络运行和维护的压力不断增加。校内信息化应用迅速展开到校园内的各个角落，应用平台化，资源整合已经成为学校信息化建设的考虑重点。校园信息化的可持续发展要求网络易于管理、可运营且适于部署。1.2 需求现状目前，在管理上有要求对校园网进行合理划分区域，还需要节约管理成本。在安全上，由于许多学生酷爱各种黑客技术总想试图攻击服务器和其他感兴趣的站点，由此也对网络安全提出了更高的要求。在网络性能上，要求实现汇聚到核心万兆带宽，接入到汇聚是千兆带宽，百兆到桌面，充分让师生体验到最快速的网络速度，以

6、满足教学和娱乐等日常网络行为。在不久的将来IPV6将占据网络的主要地位，所以目前需要考虑IPv4-IPv6的过渡方案。另外公网IP资源比较稀少，需要进行充分的利用。最后，教师和学生日常都要用到网络，必须充分地考虑到网络的冗余性，实现校园网络稳定运行。2 需求分析对校园网合理划分区域，实现不同部门在不同的VLAN，不同的部门不能相互访问，部分部门在有需求时通过配置vlan间通信方可访问；在安全上应该设置防火墙与ACL访问控制列表；考虑IPv4-IPv6的过渡，可在路由器上配置双协议栈；充分利用公网IP资源，采用NAPT技术为保证网络的稳定运行，采用核心冗余方案,VRRP备份，核心到汇聚双链路备份

7、。采用动态路由协议OSPF，降低网管成本。3 拓扑及IP和路由规划3.1 拓扑设计及描述总体拓扑示意图如下：3.2 IP和VLAN设计信息点分布如下：学生宿舍A:学生寝室A 1、2、3、4栋楼，每栋楼12层，每层24个寝室，每个寝室分布一个信息点。学生宿舍B:学生寝室B 5、6、7、8栋楼，每栋楼6层，每层24个寝室，每个寝室分布一个信息点。实验楼:实验楼1、2、3号楼，每栋楼4层，每层4个实验室，每个实验室平均分布2个信息点。行政楼:行政楼1、2号楼，每栋楼4层，每层15个办公室，每个办公室分布2个信息点。教学楼群:教学楼1、2、3、4号楼，每栋楼3层，每层8个教室，每个教室分布2个信息点。

8、图书馆:固定的信息点40个,其他用无线网络。体育馆：固定信息点20个。具体设计如下：学生宿舍A:每栋楼有288个信息点，则每栋楼分布12个接入层24口交换机，每6个交换机堆叠，每个交换机分配128个IP地址。1、2、3、4号楼，汇聚IP地址为10.0.0.0/191号楼：接入层交换机编号PC接入量分配的IP地址段VLAN号Sushe1-19610.0.0.1/25 -10.0.0.126/25VLAN 101Sushe1-29610.0.0.129/25-10.0.0.254/25VLAN 102Sushe1-39610.0.1.1/25-10.0.1.126/25VLAN 103Sushe1

9、-49610.0.1.129/25-10.0.1.254/25VLAN 104Sushe1-59610.0.2.1/25-10.0.2.126/25VLAN 105Sushe1-69610.0.2.129/25-10.0.2.254/25VLAN 106Sushe1-79610.0.3.1/25 -10.0.3.126/25VLAN 107Sushe1-89610.0.3.129/25-10.0.3.254/25VLAN 108Sushe1-99610.0.4.1/25 -10.0.4.126/25VLAN 109Sushe1-109610.0.4.129/25-10.0.4.254/25VL

10、AN 110Sushe1-119610.0.5.1/25 -10.0.5.126/25VLAN 111Sushe1-129610.0.5.129/25-10.0.5.254/25VLAN 1122号楼:接入层交换机编号PC接入量分配的IP地址段VLAN号Sushe2-19610.0.6.1/25 -10.0.6.126/25VLAN 113Sushe2-29610.0.6.129/25-10.0.6.254/25VLAN 114Sushe2-39610.0.7.1/25 -10.0.7.126/25VLAN 115Sushe2-49610.0.7.129/25 -10.0.7.254/25VL

11、AN 116Sushe2-59610.0.8.1/25 -10.0.8.126/25VLAN 117Sushe2-69610.0.8.129/25-10.0.8.254/25VLAN 118Sushe2-79610.0.9.1/25 -10.0.9.126/25VLAN 119Sushe2-89610.0.9.129/25-10.0.9.254/25VLAN 120Sushe2-99610.0.10.1/25-10.0.10.126/25VLAN 121Sushe2-109610.0.10.129/25-10.0.10.254/25VLAN 122Sushe2-119610.0.11.1/25

12、 -10.0.11.126/25VLAN 123Sushe2-129610.0.11.129/25 -10.0.11.254/25VLAN 1243号楼:接入层交换机编号PC接入量分配的IP地址段VLAN号Sushe3-19610.0.12.1/25 -10.0.12.126/25VLAN 125Sushe3-29610.0.12.129/25-10.0.12.254/25VLAN 126Sushe3-39610.0.13.1/25 -10.0.13.126/25VLAN 127Sushe3-49610.0.13.129/25 -10.0.13.254/25VLAN 128Sushe3-596

13、10.0.14.1/25 -10.0.14.126/25VLAN 129Sushe3-69610.0.14.129/25 -10.0.14.254/25VLAN 130Sushe3-79610.0.15.1/25 -10.0.15.126/25VLAN 131Sushe3-89610.0.15.129/25 -10.0.15.254/25VLAN 132Sushe3-99610.0.16.1/25 -10.0.16.126/25VLAN 133Sushe3-109610.0.16.129/25-10.0.16.254/25VLAN 134Sushe3-119610.0.17.1/25 -10.

14、0.17.126/25VLAN 135Sushe3-129610.0.17.129/25-10.0.17.254/25VLAN 1364号楼:接入层交换机编号PC接入量分配的IP地址段VLAN号Sushe4-19610.0.18.1/25 -10.0.18.126/25VLAN 137Sushe4-29610.0.18.129/25-10.0.18.254/25VLAN 138Sushe4-39610.0.19.1/19 -10.0.19.126/19VLAN 139Sushe4-49610.0.19.129/19-10.0.19.194/19VLAN 140Sushe4-59610.0.20

15、.1/25 -10.0.20.126/25VLAN 141Sushe4-69610.0.20.129/25-10.0.20.254/25VLAN 142Sushe4-79610.0.21.1/25 -10.0.21.126/25VLAN 143Sushe4-89610.0.21.129/25-10.0.21.254/25VLAN 144Sushe4-99610.0.22.1/25 -10.0.22.126/25VLAN 145Sushe4-109610.0.22.129/25-10.0.22.254/25VLAN 146Sushe4-119610.0.23.1/25 -10.0.23.126/

16、25VLAN 147Sushe4-129610.0.23.129/25-10.0.23.254/25VLAN 148学生宿舍B:每栋楼有144个信息点，则每栋楼分布6个接入层24口交换机，6个交换机堆叠，每个交换机分配128个IP地址。5、6、7、8号楼，汇总IP地址为10.0.32.0/195号楼:接入层交换机编号PC接入量分配的IP地址段VLAN号Sushe5-19610.0.32.1/25 -10.0.32.126/25VLAN 161Sushe5-29610.0.32.129/25 -10.0.32.254/25VLAN 162Sushe5-39610.0.33.1/25 -10.0.

17、33.126/25VLAN 163Sushe5-49610.0.33.129/25 -10.0.33.254/25VLAN 164Sushe5-59610.0.34.1/25 -10.0.34.126/25VLAN 165Sushe5-69610.0.34.129/25 -10.0.34.254/25VLAN 1666号楼:接入层交换机编号PC接入量分配的IP地址段VLAN号Sushe6-19610.0.35.1/25 -10.0.35.126/25VLAN 167Sushe6-29610.0.35.129/25-10.0.35.254/25VLAN 168Sushe6-39610.0.36.

18、1/25 -10.0.36.126/25VLAN 169Sushe6-49610.0.36.129/25 -10.0.36.254/25VLAN 170Sushe6-59610.0.37.1/25 -10.0.37.126/25VLAN 171Sushe6-69610.0.37.129/25 -10.0.37.254/25VLAN 1727号楼：接入层交换机编号PC接入量分配的IP地址段VLAN号Sushe7-19610.0.38.1/25 -10.0.38.126/25VLAN 173Sushe7-29610.0.38.129/25 -10.0.38.238/25VLAN 174Sushe7

19、-39610.0.39.1/25 -10.0.39.126/25VLAN 175Sushe7-49610.0.39.129/25 -10.0.39.254/25VLAN 176Sushe7-59610.0.40.1/25 -10.0.40.126/25VLAN 177Sushe7-69610.0.40.129/25 -10.0.40.254/25VLAN 1788号楼：接入层交换机编号PC接入量分配的IP地址段VLAN号Sushe8-19610.0.41.1/25 -10.0.41.126/25VLAN 179Sushe8-29610.0.41.129/25 -10.0.41.254/25VL

20、AN 180Sushe8-39610.0.42.1/25 -10.0.42.126/25VLAN 181Sushe8-49610.0.42.129/25 -10.0.42.254/25VLAN 182Sushe8-59610.0.43.1/25 -10.0.43.126/25VLAN 183Sushe8-69610.0.43.129/25 -10.0.43.254/25VLAN 184实验室：学校一共有1、2、3号实验楼，每个实验室分布两个信息点。一个实验楼使用两个接入层交换机，分别分管1、2层和3、4层。3栋实验楼公用一台汇聚交换机，汇总IP地址为10.0.64.0/19接入层交换机编号PC

21、接入量分配的IP地址段VLAN号Shiyan1-1 32010.0.64.1/25 -10.0.64.126/25VLAN18510.0.64.129/25-10.0.64.254/25VLAN18610.0.65.1/25 -10.0.64.126/25VLAN18710.0.65.129/25-10.0.65.254/25VLAN18810.0.66.1/25 -10.0.64.126/25VLAN18910.0.66.129/25-10.0.66.254/25VLAN19010.0.67.1/25 -10.0.64.126/25VLAN19110.0.67.129/25-10.0.67.

22、254/25VLAN192Shiyan1-232010.0.68.1/25 -10.0.68.126/25VLAN19310.0.68.129/25 -10.0.68.254/25VLAN19410.0.69.1/25 -10.0.69.126/25 VLAN19510.0.69.129/25 -10.0.69.254/25VLAN19610.0.70.1/25 -10.0.70.126/25 VLAN19710.0.70.129/25 -10.0.70.254/25VLAN19810.0.71.1/25 -10.0.71.126/25 VLAN19910.0.71.129/25 -10.0.

23、71.254/25VLAN200Shiyan2-132010.0.72.1/25 -10.0.72.126/25VLAN20110.0.72.129/25 -10.0.72.254/25VLAN20210.0.73.1/25 -10.0.73.126/25VLAN20310.0.73.129/25 -10.0.73.254/25VLAN20410.0.74.1/25 -10.0.74.126/25VLAN20510.0.74.129/25 -10.0.74.254/25VLAN20610.0.75.1/25 -10.0.75.126/25VLAN20710.0.75.129/25 -10.0.

24、75.254/25VLAN208Shiyan2-232010.0.76.1/25 -10.0.76.126/25VLAN20910.0.76.129/25 -10.0.76.254/25VLAN21010.0.77.1/25 -10.0.77.126/25VLAN21110.0.77.129/25 -10.0.77.254/25VLAN21210.0.78.1/25 -10.0.78.126/25VLAN21310.0.78.129/25 -10.0.78.254/25VLAN21410.0.79.1/25 -10.0.79.126/25VLAN21510.0.79.129/25 -10.0.

25、79.254/25VLAN216Shiyan3-132010.0.80.1/25 -10.0.80.126/25VLAN21710.0.80.129/25 -10.0.80.254/25VLAN21810.0.81.1/25 -10.0.81.126/25VLAN21910.0.81.129/25 -10.0.81.254/25VLAN22010.0.82.1/25 -10.0.82.126/25VLAN22110.0.82.129/25 -10.0.82.254/25VLAN22210.0.83.1/25 -10.0.83.126/25VLAN22310.0.83.129/25 -10.0.

26、83.254/25VLAN224Shiyan3-232010.0.84.1/25 -10.0.84.126/25VLAN22510.0.84.129/25 -10.0.84.254/25VLAN22610.0.85.1/25 -10.0.85.126/25VLAN22710.0.85.129/25 -10.0.85.254/25VLAN22810.0.86.1/25 -10.0.86.126/25VLAN22910.0.86.129/25 -10.0.86.254/25VLAN23010.0.87.1/25 -10.0.87.126/25VLAN23110.0.87.129/25 -10.0.

27、87.254/25VLAN232教学楼、图书馆、体育馆：共用一个汇聚交换机，汇总IP地址为10.0.96.0/19一共有4栋教学楼接入层交换机编号PC接入量分配的IP地址段VLAN号Jiaoxue1-12010.0.96.1/26-10.0.96.62/26VLAN261Jiaoxue1-22010.0.96.65/26-10.0.96.126/26Jiaoxue1-32410.0.96.129/26-10.0.96.190/26Jiaoxue 2-12010.0.97.1/26-10.0.97.62/26VLAN262Jiaoxue2-22010.0.97.65/26-10.0.97.126

28、/26Jiaoxue2-32410.0.97.129/26-10.0.97.190/26Jiaoxue3-12010.0.98.1/26-10.0.98.62/26VLAN263Jiaoxue3-22010.0.98.65/26-10.0.98.126/26Jiaoxue3-32410.0.98.129/26-10.0.98.190/26Jiaoxue4-12010.0.99.1/26-10.0.99.62/26VLAN264Jiaoxue4-22010.0.99.65/26-10.0.99.126/26Jiaoxue4-32410.0.99.129/26-10.0.99.190/26Tush

29、u12010.0.100.1/25 -10.0.100.126/25VLAN265Tushu22010.0.100.129/25-10.0.100.254/25Tushuap510.0.101.0/24 10.0.102.0/2410.0.103.0/24 10.0.104.0/2410.0.105.0/24VLAN266-VLAN270tiyu2010.0.108.0/24VLAN274行政楼:2栋行政楼汇聚到一个汇聚层交换机，汇总的IP地址10.0.128.0/19教学部门名称PC接入量分配的IP地址段教务处12610.0.128.1/25-10.0.128.126/25VLAN276人事

30、处12610.0.128.128/2510.0.128.254/25VLAN277财务处12610.0.129.1/25-10.0.129.126/25VLAN278学生工作处12610.0.129.128/2510.0.129.254/25VLAN279学校各个部门一共40个，一个部门分配126个IP地址，则各个部门分配的IP地址从10.0.128.1/25-10.0.128.126/25到10.0.147.128/25-10.0.147.254/25，分配额VLAN号从VLAN276到VLAN315。3.3 路由设计ospf路由选择协议OSPF 是由IETF 的IGP 工作组为IP 网络开

31、发的路由协议。OSPF 作为一种内部网关协议（Interior Gateway Protocol，IGP），用于园区中的路由器之间发布路由信息。它是一种链路状态协议，区别于距离矢量协议(RIP)，OSPF 具有支持大型网络、路由收敛快、占用网络资源少等优点，在目前应用的路由协议中占有相当重要的地位。本设计在具有路由功能的三层交换机上配置ospf协议。出口路由设计出口路由器承担NAPT功能以节约公网地址。出口路由配置双协议栈。接入层到汇聚层接入层设备到汇聚设备选择的封装协议为802.1Q.在汇聚层上创建vlan的虚接口并设置IP地址，以达到vlan之间通信。汇聚层到核心层汇聚层设备到核心层设备使

32、用的是默认路由，核心层设备向汇聚层设备发送到自己的默认路由，让汇聚层有一条指向核心设备的默认路由。这样，每台汇聚层设备都有指向核心的默认路由，其中汇聚层到核心层需要实现链路冗余。本设计中寝室群的默认路由指向vrrp组10，其他的指向vrrp组20。核心层之间核心层之间需要实现链路聚合，以及VRRP互为备份。4 安全设计4.1 防火墙防火墙重点任务是完成过滤规则的安全访问控制，可将其工作在透明桥模式，使得网络结构更清晰明了，尤其是在网络测试和性能分析是可以临时把防火墙撤掉而不用修改网络的逻辑结构，也不需要修改其他网络设备的配置，方便管理员的维护管理。RG-WALL1800防火墙采用锐捷网络自主开

33、发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WAL1800在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL1800支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持PPTP、L2TP、IPSec和

34、SSL等多种全面的VPN业务，可以构建多种形式的VPN；提供强大的路由能力，支持静态/RIP/OSPF/路由策略及策略路由；支持双机状态热备，支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性，充分满足客户对网络高可靠性的要求。4.2 ACL由于很多的病毒是根据操作系统和软件的漏洞，通过特定TCP/UDP端口进行感染和传播的。比如冲击波、震荡波、SQL蠕虫等就是通过特定的TCP/UDP端口进行传播的。针对这种情况，锐捷网络在S21系列以上的交换机和各款路由器上，通过扩展ACL对常用的病毒端口进行过滤。在出口路由器上配置ACL。5 设备选型5.1 核心层

35、设备选型选用锐捷RG-S8600作为核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供14横插槽设计、10竖插槽设计和6横插槽设计三种主机：RG-S8614、RG-S8610和RG-S8606。 RG-S8600系列高密度多业务IPv6核心路由交换机提供4.8T/3.2T/1.6T背板带宽，并支持将来更高带宽的扩展能力，高达1786Mpps/1190Mpps/595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。 RG-S8600系列高密度多业务IPv6核心路由交换机提供全面的安全防护体系，提供分布式的业务融合平台，满足未来网络对安全和

36、业务的更高需求。5.2 汇聚层设备选型背板带宽计算：（48*1000M+2*10000M）*2=136Gbps，选用锐捷RG-S5750交换机作为汇聚层交换机。5.3 接入层设备选型背板带宽计算：（24*100M+2*1000M）*2=8.8Gbps，选用锐捷RG-S2628G交换机作为接入层交换机。5.4 其他设备选型路由器NPE50-20防火墙RG-WALL 1800无线APRG-AP300无线接入点6 实践配置与测试链路聚合，将核心交换机上的连个端口在物理上连接起来，在逻辑上捆绑在一起，形成一个更大宽带的端口，实现链路负载分担，并提供冗余链路。配置如下：Switch1:SwitchSwi

37、tch#config tSwitch(config)#interface range f0/1-2Switch(config-if-range)#Switchport mode trunk /设置端口模式为trunkSwitch(config-if-range)#channel-group 1 mode on /加入链路组1并开启Switch(config-if-range)#exitSwitch(config)#port-channel load-balance dst-ip /按照目标主机IP地址数据分发来实现以太网通道组负载平衡Switch(config)#exitSwitch#show

38、 etherchannel summary /显示以太网通道组的情况Switch2配置同理。vlan间通信，比如不同楼层之间的学生寝室可以相互通信（每个楼层划分为一个vlan）三层交换机主要配置：Switch(config )#int fa 0/1 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config-if)#exitSwitch(config)#int vlan 101Switch(config-if)#ip address 10

39、.0.0.64 255.255.255.128Switch(config-if)#no shutdownSwitch(config-if)#exitSwitch(config)#int vlan 102Switch(config-if)#ip address 10.0.0.254 255.255.255.128Switch(config-if)#no shutdownSwitch(config-if)#exit测试：pc0 ping pc1双栈协议双栈是过渡到IPv6的主要技术之一，它可以让节点同时连接到IPv4和IPv6网络，因此节点有两个协议栈，双栈节点根据目标地址决定使用哪个协议栈。在支

40、持双栈的路由器接口上配置IPv4和IPv6后，接口立即使用双栈，能够同时转发两种数据流。R2enableR2#conf tEnter configuration commands, one per line. End with CNTL/Z.R2(config)#int fa0/0R2(config-if)#ip address 10.1.1.2 255.255.255.0R2(config-if)#ipv6 address 2001:12:2/64R2(config-if)#end验证：R2#show ip int fa0/0FastEthernet0/0 is administrative

41、ly down, line protocol is down Internet address is 10.1.1.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Loca