《校园网设计方案书.doc》由会员分享,可在线阅读,更多相关《校园网设计方案书.doc(35页珍藏版)》请在三一办公上搜索。
1、成都市方联高级中学校园网方案设计书 设计组:B3组 日 期:2010年11月24日 目录一、需求分析41.1项目概况41.2信息点分布51.3网络需求分析61.3.1校园网的建设目标61.3.2业务需求分析71.3.3安全性需求分析71.3.4校园网功能7二、方案设计原则8三、方案设计93. 网络拓扑图103.1广域网设计103.2核心层设计113.3汇聚层设计123.4接入层设计123.5网络设备冗余133.6服务器冗余133.7方案特点143.8网络安全14四、IP地址规划144.1 IP地址规划原则144.2 IP地址规划表15五、网络设备技术选型165.1 OSPF路由技术165.2
2、VRRP(虚拟路由冗余协议)原理175.3 MSTP多生成树实例175.4 NAT的描述、NAT映射、策略路由的实现185.5 ACL(访问控制列表)185.6链路聚合EC(Ethernet Channel)185.7 VLAN(虚拟局域网)19六、网络设备选型205.1核心层设备:H3C S5800-56C-PWR、S5600-50C205.2汇聚层设备:H3C S3600-52P-SI215.3接入层设备:H3C 3600-28P-EI、S3100-26TP-SI215.4路由设备:H3C RT-MSR5040-AC-H3225.5防火墙设备:H3C F1000-S-AC225.6 UPS
3、电源245.7无线校园网245.7.1无线设备:H3C WX3008、WA2620X-AGP、IP-COMW40AP245.7.2 构建无线校园网25七、网络的扩展性26八、综合布线268.1工作区子系统268.2水平子系统278.3垂直子系统288.4管理子系统298.5设备间子系统308.6建筑群子系统308.7建立接地的重要性31九、工程实施31十、网络设备清单32前言信息通信技术日新月异,并在普及应用上进入崭新的多元化应用阶段!互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。 同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教
4、育系统信息化建设的关键,尤其是高校校园网建设。在信息化的建设过程中,它的作用体现在如下几个方面:1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。 2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,
5、通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。 一、需求分析1.1项目概况成都市方联高级中学由于发展迅速,为了满足教育教学的需求, 共涉及4栋宿办楼、1栋综合办公楼、东西2栋辅助办公楼、1栋教工食堂、1栋接待中心大楼、东西4栋主教学楼主教学楼、1号综合实验楼、2号综合实验楼、4栋学生公寓楼、1栋学生食堂洗浴中心大楼。网络中心设置在西辅助办公楼三楼(具体示意图如下:)1.2信息点分布具体信息点分布区域在教工宿办楼、办公区楼宇、教学区楼宇、图书馆、学生生活区,如下表:区域楼号及楼层数信息点应达到的传输速率信息点总数教工宿办楼1号宿办楼5层34100Mbps1512号宿办楼5层303号
6、宿办楼5层394号宿办楼5层48办公区楼宇综合办公楼1层12249综合2层新政领导28综合3层教研组42综合4层14综合5层职工活动区7东辅助办公楼总3层45西辅助办公楼45西辅助办公楼(网络中心) 10西辅助办公楼(网络中心) 预留3东边的教工食堂15东边的教工食堂 预留3接待中心前台4接待中心服务室3层6接待中心18个房间18教学区楼宇东主教学1号楼总4层1590东主教学2号楼总4层19西主教学1号楼总4层15西主教学2号楼总4层11综合实验1号楼总3层12综合实验1号楼总3层16预留2图书馆主体楼部分为4层4078借阅台10还书台5图书信息查询8多媒体查询2台2电子图书阅览室2预留10学
7、生生活区学生食堂、洗浴中心206201号学生公寓1502号学生公寓1503号学生公寓1504号学生公寓1501.3网络需求分析1.3.1校园网的建设目标校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园区内部的Intranet系统,对外通过路由设备接入广域网。具体而言这样的设计目标应该是:1、信息资源共享通过校园网,实现学校内部,学校与国内、国际信息的快速交流,达到资源共享,使广大师生及时了解国内外科学技术和高等教育发展的最新动态,促进教学、科研、管理事业的发展。2、图书资料检索、借阅自动化通过改造原有图书检索系统,建设电子图书馆,提高校内图书资料的利
8、用率;充分利用校外图书资料,实现远程计算机图书检索和借阅。3、学校管理系统的信息化、自动化依托校园网,构建相应的交互式应用软件平台,实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化,实现统计监测网络化,提高管理效率和水平。实现网上招生、网上人才招聘、学生网上求职等。4、建立计算机网络辅助教学系统 建立基于网络的电子教学CAI课件开发网上题库、答疑与作业批改等计算机辅助教学系统,实现教学手段的现代化。5、校园网和广域网结合依托校园网、广域网开展远程教学,使广大的学生和老师能更好的交流学习和获取学校网络的资源。6、创建网站创建学院网站,使之成为对外宣传的重要窗口,让世界了解我们,提高
9、学院的知名度。7、人性化为广大师生提供宽松,开放、易用的网络环境,使网络触入日常工作和生活中,发挥网络的最大效用。8、方便教学网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的。校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境。9、系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及经济性。1.3.2业务需求分析作为本院校园网工程最终用户的学院领导、管理人员和专业技术人
10、员,是学校的专门管理人员,具有丰富的管理经验和专业知识,对数据信息的需求有所不同:院领导希望能提供决策方面的主要数据;中层干部既具有决策又有管理工作,希望能尽快收集信息,用以协调各部门工作;专业人员从事基础管理工作,希望通过计算机提高工作效率;教师希望能以更生动、形象的多媒体手段给学生授课,同时通过计算机网络查询资料、进行备课和与学生交流;学生也希望能够通过计算机网络快速、便捷地与老师沟通、下载课件和利用网络资源解决学习上的困难和自学。1.3.3安全性需求分析在校园网络中,校园网络的安全保障十分的重要:校园网用户的流动性大,信息点存在随意接入使用的问题。学生及外来不明身份的用户,在校园网中找到
11、任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。因此,系统安全控制技术应遵守的要求为:Internet的安全控制应提供地址转换、被动监厅、端口扫描和否认服务等机制、,同时划分不同级别的安全区域;远程访问的安全控制应提供访问服务器的用户身份认证、用户授权及用 户记账/审计等功能;应提
12、供对整个网络和工作站进行侦独、解毒和清毒等工作,防范计算机病毒。内部网络实用VLAN分段,隔离广播域,防止网络窃听和非法访问,使用防火墙分割内部网和外部网,限制级别访问内部WEB服务器,财务数据,以及OA系统各分区校园用户使用VPN方式访问主教学总部网络,并限制同时的访问量。1.3.4校园网功能连接校内所有教学楼、实验室、办公楼中、学生生活区、图书馆PC。同时支持大约1200用户浏览Internet。提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:提供基本的Internet网络服务功能:如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。提供校内各个管理机构的办公自动化
13、。提供图书,文献查询与检索服务,增强校图书馆信息自动化能力。全校共享软件库服务,避免重复投资,发挥最大效益。提供CAI教学和科研的便利条件。经广域网接口,提供国内外计算机系统的互连,为国际间的信息交流和科研合作,为学校快速获得最新教学成果及技术合作等创造良好的信息通路。二、方案设计原则本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该校园网的网络系统。从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:实用性和集成性系统的软硬件设计、还是集成,
14、均以适用为第一宗旨,在系统充分适应校园信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多,必须能将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致的进行高效工作。标准性和开放性只有支持标准性和开放性的系统,才能支持与其它开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进,只有将当今最
15、先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。网络的安全是事关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的
16、前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施,如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。可维护性和可管理性整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行,因此,网络所选的网络设备应支持多种协议,管理员能方便进行网络管理、维护甚至修复。在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万
17、一发生故障时能提供有效手段及时进行恢复,尽量减少损失。可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通用的工业标准,以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块。三、方案设计在此校园网络设计中,我们采用层次结构化模型来设计网络拓扑结构。所谓“层次结构化”模型,就是将复杂的网络设计分成几个层次,每个层次强化某些特定的功能,这样就能够使一个复杂
18、的大问题变成多个简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。层次结构化模型的好处:在校园网网设计中,使用层次结构化模型有许多好处,列举如下:1、节省成本采用层次结构化模型之后,各层次各司其职,也不用再同一个平台上考虑所有的事情。层次结构化模型模块化的特性使网络中的各个层都能够很好地利用带宽,减少了对系统资源的浪费。2、易于理解层次结构化设计使得网络结构清晰明了,可以在不同的层次实施不同的管理,降低了对网络设备的管理成本。3、易于扩展 在网络设计中,模块化具有的特性使得网络增长时,网络的复杂性能够限制在各个子网中,而不会蔓延到网络的其它地方。而如果采用扁平化和网状设
19、计,任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次结构化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程复杂度。3. 网络拓扑图3.1广域网设计在校园网中访问对向一般两种,一是对Internet网的访问需求,另一个是对教育网的访问。如果,只通过Internet访问教育网,这样,一是会造成出口访问流量大,二是,访问教育网时,会产生一定的延迟时间。不利于提高网络的可靠性和访问速率。采用高端路由器做路由表的更新及转发路由信息,提高内部对外部访问的速率。防火墙放在路由器之外,采用两个出口,通过IP策略路由技术来实现各自访问目的地,可
20、以根据不同目的地址来判断选择走哪个出口去访问外网。开启防火墙功能,对内外的数据进行相应的访问控制,对不必要的数据进行过滤,利用Qos服务质量来对内部网、外部网的访问信息量进行相应控制,使之保证出口通道不被非正常数据所占有。在防火墙上做NAT地址转换技术、NAT地址映射技术后,将内部IP地址转换成外部可用IP及将内部某服务器IP映射成外部可用IP地址,这样实现对内外部网的访问。相对外网来说,内部网是不可见的。这样保证了内部网的安全性及节约对外网IP的需求。光发射机,将CATV信号转换为光信号,这样可以提高在内部的传输速度。3.2核心层设计负载均衡:冗余设计是网络设计的重要部分,是保证网络整体可靠
21、性能的重要手段。但是投资也将增加。部分校园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)或MSTP提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双路由保护。 线路冗余:在校园网骨干核心层校园网络边界拓扑结构由于采
22、用了多机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GE线路对二台校园网核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。链路聚合:链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完
23、成。综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。校园网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆交换,千兆汇聚,千兆路由,万兆拓展,百兆到桌面的链路。3.3汇聚层设计汇聚层针对于学院内的接入层与核心层的数据交换,实现学院各区域间网络之间的的汇聚。有多个不同VLAN,利用STP或RSTP生成树协议,会造成链路的浪费,不能达到链路的有效利用率,为实现汇聚层链路的负载分担及备份。则我们采用MSTP多生成树实例来实现,它可以将多个不同VLAN捆绑在一起,不同实例互相为备份,达到链路的备份
24、及流量的分担。交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL、MPLS(多协议标签交换)、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。3.4接入层设计以往传统校园网接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS服务质量保障。我们采用H3C
25、 3600-28P的交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。具备的端口带宽限制、端口镜像、QoS、802.1Q、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。光接收机,将多个频率的光信号分离出来,使数据信号、CATV信号、语音信号实现各自的传送。3.5网络设备冗余负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务
26、就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其它资源的利用效率;避免了网络关键部位出现单点失效。双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。路由选择协议在核心中起链路选择的作用,VRRP(容错协议)提供快速错误恢复。3.6服务器冗余为确保校园网WEB、FTP服务器的稳定性、数据安全性,则两个服务器采用双机热备份技术,双机热备份技术能够有效的快速的切换服务器,如果存储的数据
27、服务器出现宕机情况,另一台服务器很快的代替接着处理数据。此技术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是比较有经济价成效的技术。 具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),WEB服务器与FTP服务器先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。这样增加服务器的稳定性与高效性。网络中应具有多台服务器设备,包括DB SERVER数据库服务器,WEB,FTP,OA等应用服务器。 3.7方案特点 本方案采用层次结构化模型很好地解决了校园网内要求的几个问
28、题,即带宽问题、安全问题、管理问题、维护问题、灵活扩展问题。带宽问题:使用万兆互连双核心结构,使网络核心设备不但可以互相备份,而且有效的减轻流量负荷,使设备时刻保持稳定和高效。安全问题:校园网核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力,并且防DOS/DDOS攻击,因而可以在不同的环境中做到安全防护,足以应对突发事件,保持网络稳定、通畅。管理问题:统一认证,针对校园网开放式的信息点造成的安全隐患,全网接入采用统一认证技术(可以进行账号、IP,MAC、LAVN ID、交换机IP和交换机端口六要素灵活捆绑),保证了只有合法授权的用户才能使用网络或外部网络,而且还能对网络的
29、使用情况进行审计。维护问题:以层次结构化模型建立校园网,当某区域出现问题后,能很快的判断网络问题所在。灵活扩展问题:核心层使用的锐捷网络RG0S6810E路由交换机有良好的扩展性,可以为将来的网络实现轻松扩展。3.8网络安全在校园网络里必需要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证校园网网络的稳定运行。1.防冲击波病毒2.来自网络内部的恶意或误操作攻击3.ARP欺骗四、IP地址规划4.1 IP地址规划原则对IP地址编址设计和分配利用,遵循了以下原则:1、自治:整个网络被划分成几个大的自治区域,每个大自治区域中又被划分成几个中等的自治区域,再将中等自治区
30、域划分成几个小的自治区域。 2、有序:我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分布及区域内用户数量来进行子网规划。同时,将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。为了提高地址分配效率和地址利用率,在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序,即采用领先的自顶向下网络设计(Top-Down Network Design)方法。 3、可持续性:考虑到内网络用户数将持续高速增长,网络所要承载的业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。所以,在进行地址分配时本方案充分考虑到了这些因素,为网络的每个部分留有部分地址冗余,
31、这样保证网络的可持续发展。 4、可聚合:互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及,在路由表急剧膨胀情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,可聚合原则要求在进行地址规划时,应提供足够的路由冗余功能。 5、尽量节约IPv4地址:由于IPv4地址越来越少,所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。 6、闲置IP地址回收利用:对于已分配出去的静态IP地址进行定期追踪管理,对长时间闲置的IP地址可经过确认后回收重复利用。4.2 IP地址规划表在此方案中,我们采用A类地址对校园网网络设备编址。由于网络拓扑
32、图采用了典型的层次结构化设计,所以对IP地址的编址设计也应采取层次化的设计来完成,并采用VLSM(可变长子网掩码)来拓展有限的IPv4地址。区域楼号VLANIP地址段及子网掩码教工宿办楼1号宿办楼VLAN1010.0.0.64/262号宿办楼VLAN1110.0.0.128/263号宿办楼VLAN1210.0.0.192/264号宿办楼VLAN1310.0.1.0/26办公区楼宇综合办公楼1层VLAN2110.0.2.0/26综合2层新政领导VLAN2210.0.2.64/26综合3层教研组VLAN2310.0.2.128/26综合4、综合5层VLAN2410.0.2.192/26东辅助办公楼
33、VLAN2510.0.3.0/26西辅助办公楼VLAN2610.0.3.64/26西辅助办公楼(网络中心)VLAN2010.0.3.128/26东边的教工食堂VLAN2710.0.3.192/26接待中心前台、服务室、房间VLAN2810.0.4.0/26教学区楼宇东主教学1号、2号楼VLAN3010.0.5.0/26西主教学1号、2号楼VLAN3110.0.5.64/26综合实验1号、2号楼VLAN3210.0.5.128/26图书馆主体楼部分、电子图书阅览室VLAN4110.0.6.0/26借阅台、还书台、图书查询、多媒体查询VLAN4010.0.6.64/26学生生活区学生食堂、洗浴中心
34、VLAN5010.0.7.0/261号楼学生公寓VLAN6010.0.7.64/26VLAN6110.0.7.128/26VLAN6210.0.7.192/262号楼学生公寓VLAN7010.0.8.0/26VLAN7110.0.8.64/26VLAN7210.0.8.128/263号楼学生公寓VLAN8010.0.9.0/26VLAN8110.0.9.64/26VLAN8210.0.9.128/264号楼学生公寓VLAN9010.0.10.0/26VLAN9110.0.10.64/26VLAN9210.0.10.128/26五、网络设备技术选型5.1 OSPF路由技术在网络核心层以及汇聚层上
35、,需要三层的网络设备,采用OSPF协议作为路由,以此使网络内部不同的网段的数据和不同vlan间的数据转发。OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议是距离矢量协议,不能服务于大型网络。所以,IETF的IGP工作组特别开发出链路状态协议OSPF。目前广为使用的是OSPF第二版,最新标准为RFC2328。 OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支
36、持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。5.2 VRRP(虚拟路由冗余协议)原理VRRP给路由组提供了一个冗余网关地址,它是一种容错协议,通过定义不同的组,不同优先级的路由,它保证网络的主路由失效时,可以及时的由备分来实现路由来替代,从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。5.3 MSTP多生成树实例RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP
37、协议一样具有避免回路、提供冗余链路的功能外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。MSTP多生成树协议(Multiple Spanning Tree Protocol)是IEEE 802.1s中定义的一种新型生成树协议,多生成树协议引入“实例”(Instance)和“域”(Region), 通过多个VLAN捆绑到一个实例中去的方法可以节省通信开销和资源占用率。5.4 NAT的描述、NAT映射、策略路由为了节约地址,我们在内部使用保留的私有地址段中的
38、地址,但是使用私有地址不能访问 Internet,所以必须向ISP服务提供商申请公开地址配置校园网的边缘路由设备上的出口,并应用NAT进行地址转换。NAT是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的IP翻译成外部公网的IP。配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用程序,协议或者分组长度的条件。基于策略的路由选择命令对选中的路由实现策略。基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问列表时,可根据诸如目
39、标地址,分组长度,IP 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下一跳路由器。 NAT实现IP地址映射,将校园网内部的服务器IP地址映射外网中。外网访问只能访问公网IP地址,不能访问局域网内部的。所以,通过NAT映射的方法,外网访问校园网内部的WEB服务器时,实质是访问的校园网外部的IP地址,这样,也能通过外网访问也能实现对校园网的内部WEB服务器的访问。5.5 ACL(访问控制列表)访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端口进行访问和使用,如
40、果满足条件则执行相应的操作,放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策略,防止网络中的敏感设备受到非授权访问的情况。5.6链路聚合EC(Ethernet Channel)以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性,比如可以把 2 个、3 个、4 个千兆的链路绑定在一起,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。在这些千兆以太网交换机中,最多可以支持 4 组链路聚合,每 组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保
41、证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。5.7 VLAN(虚拟局域网)VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机
42、的IP 地址,MAC地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的VLAN中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在的校园网方案中,划分子网隔离广播域,减小不必要的广播流量,从而提高整个网络的利用效率。5.8 DHCP(动态获取IP地址)动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。在内部网中主机数量过大时,我们采用DHCP技术,使用PC机能
43、自动获取到相应网络的IP地址,这样既满足了IP地址的合理分配和减少手工配置的烦琐,又满足了IP地址有分配的原则。六、网络设备选型6.1核心层设备:H3C S5800-56C-PWR、S5600-50CS5800-56C-PWR S5600-50C选择理由:作为校园网的核心,要求设备能够大容量、稳定可靠的高速路由转发,能够接入大量的汇聚节点并满足今后扩充的需要。同时,应完备的 QoS 保证机制,完备的业务控制、用户管理机制。因此,在本方案的核心层,部署了H3C网络的H3C S5800-56C-PWR网络设备二台,作为核心设备万兆路由交换机,该交换机具有高达,320Gbps的背板带宽,L2/L3层
44、有192M pps的转发率,模块化骨干路由交换机三台,该交换机具有高达240Gbps的背板带宽,L2/L3 层具有 102Mpps 的转发率,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。S5800-56C-PWR是H3C网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机,在保障高性能大容量的基础上提供强大的安全防护能力,并且拥有业务按需叠加扩展能力,达到本方案要示求的业务和性能并重的设计需求。S5800-56C-PWR多业务万兆核心路由交换机提供320Gbps背板带宽,并支持将来扩展到原来的两倍的能力,高达192Mpps的二/三层包
45、转发速率可为用户提供高速无阻塞的数据交换,强大的交换路由功能、安全智能技术,为用户提供完整的端到端解决方案,是本方案网络核心骨干和大流量节点交换机的理想选择。S5800-56C-PWR交换机通过先进的高性能引擎可硬件支持策略路由、IPV6等协议,并可扩展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等丰富的业务功能,满足本方案中用户环境灵活而复杂的不同应用需求。提供了4端口1G/10G SFP+接口模块,2端口1G/10G SFP+接口模块,16端口10/100/1000MBase-T电口模块,16端口100/1000
46、M SFP端口模块。S5600-50C全千兆智能弹性交换机提供了48端口,背板带宽240Gbps,包转发率102Mpps,支持WEB网管, SNMP等。6.2汇聚层设备:H3C S3600-52P-SIS3600-52P-SI选择理由:汇聚层起着承上启下的作用,负责对各种接入的汇聚,并可在该层实现对于用户的访问控制,以及对用户的网络管理。因此,汇聚层应考虑三层交换机。在本方案中H3C S3600-52P-SI模块化的路由交换机。在汇聚层使用三层交换机的目的是为了减轻核心层的负担。S3600-52-P-SI模块化的路由交换机,其高达48G的背板带宽和20Mpps的三层包转发速率可为用户提供高速无阻塞的交换;丰富的扩展模块支持灵活构
