设计性实验报告
注:填写内容请用小四号仿宋。
第二篇:设计性实验报告模版
《计 算 机 组 网 技 术》
课程设计文档
一、题目策划
长春税务学院校园网络规划设计
环境:windowsXp sp2、windows2000、windows2003
二、.需求分析
高校校园宽带网用户集中且网络流量大,关注网络的可运营和可管理特性,校园网建网需求如下:
1、教学区、宿舍区用户对校园网、教育网、INTERNET的访问有相应的路由策略和相应的计费策略。
2、校园网存在多个出口需求,校园网至少要提供中国教育科研网(CERNET)和INTERNET两个出口。
3、校园网安全性要求较高,要求设备能够实现用户识别和动态绑定功能如通过“IP+MAC+端口”三元组的动态绑定来识别用户。
4、校园网WEB页面可实现以下功能:用户Web自助服务功能,用户可通过Web自助服务页面,进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线帐号充值。
5、校园网用户能实现多ISP权限选择。用户可通过不同的帐号或采用相同帐号的不同域名进行认证,以获得不同的权限,不同的权限对应不同的计费策略。
6、校园网要求实现多种支持普通包月、包月限时长、包月限流量、计天、计时长和计量等多种计费策略。支持用户卡和充值卡,冲值卡配合用户卡以及提供的公用服务功能可以实现用户的完全自助管理。
7、校园网要求能对每个用户的使用情况能进行事后审计,能够定位到IP地址以及用户所连接的端口和登录的用户名,限定帐号的使用端口。
8、 校园网要求能实现对用户带宽的动态控制。
9、 校园网要求实现组播业务。
10、校园网要求在学校规模不断扩大中,用户数在持续增加,要求网络具有很好的扩展性,能够根据需要逐步平滑升级到万兆的骨干连接。
11、网管平台实现网络资源的管理、网络安全访问的控制。并且在平台上能方便地开发所需网络应用。
12、采用流行的、支持设备面广、有良好图形界面的网管平台。网管系统能够管理到网络中的每一个智能设备及有关设备的每一个端口,即能够远程对
设备进行设置、调试、网络流量监测和必要的重置。能对网络故障能及时发现并报警。
三、详细规划
1.网络设计的基本原则
校园网建设是一项大型网络工程,各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统,为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园,网络设计一般应遵循下列基本原则:
可靠性和高性能
网络必须是可靠的,包括网元级的可靠性,如引擎、风扇、单板、总计等;以及网络级的可靠性,如路由、交换的汇聚,链路冗余,负载均衡等。网络必须具有足够高的性能,满足业务的需要。
实用性和经济性
由于学校资金并不是很充足,不可能一步到位。另一方面,学校的应用水平较参差不齐,某些系统即使安装了也利用不起来,因此,在校园网的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。
可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
易管理、易维护
由于校园骨干网络系统规模庞大,应用丰富而复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
先进性、成熟性
当前计算机网络技术发展很快,设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备,才能确保校园网络能够适应将来网络技术发展的需要,保证在未来若干年内占主导地位。
安全性、保密性
网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。 灵活性、综合性
通过采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。以满足系统目标与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。
2、模块化设计
所谓模块化就是将把整个网络按功能和安全需求分为若干个组件,这些组件之间有一定的安全边界,组件内部有完整的网络设计。模块化设计的好处在于:
1. 解决各网络之间的冲突问题;
2. 简化安装和后台设备管理;
3. 易于故障检测和分离问题;
4. 易于执行不同类型的服务和安全方针;
5. 易于扩展和/或代替原来的技术。
一个完整的模块化设计如下图所示
:
校园网的设计可以借鉴这种思想,对各种不同种类,不同安全等级的业务进
行模块划分,相互之间的访问将受到控制。当然,在实际情况中并不一定要求严格按照上述模块划分,而是根据实际情况灵活运用,做适当的裁减与调整。
3、层次化的设计(层次化网络设计模型)
对于大型网络,可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。
核心层
核心层的主要提供不同网络模块之间优化传输服务,将分组尽可能快地从一个网络传到另一个网络,通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路,任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢,核心层除了要求高性能交换设备和高带宽传输链路外,还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外,为了避免网元故障对网络造成冲击,需要网络采用支持快速聚合的特性,一旦主用通路断开,可以很快的切换到备用通路。
汇聚层
汇聚层顾名思义就是作为访问层到骨干层的汇聚,通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成,提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量(path metric)和路由协议网络通告控制
接入层
接入层作为各模块到交换骨干的连接,根据不同模块进行逻辑子网划分,并通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量,避免不同模块之间相互影响。访问层主要通过二层交换机组成。
四、路由器配置与web设置
1.网络拓扑图
方案说明
校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因学校存在大量的语音和视频传输。据此,考虑汇聚层对QoS有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设
备,它应该具备即插即用特性以及易于维护的特点。根据学校建设要求与总体目标,骨干网采用三层结构,由核心层,汇聚层和接入层构成。在接入层面,通过定义相应的访问策略,实现访问控制,内外隔离和抭IP地址。
在网络结构上,采用成熟的千兆以太网技术(第三层交换)作为核心层,呈网状拓扑结构。以TCP/IP协议为主,并辅以IP/SPX. NETTEUI等其他流行通信协议坚持开放性和标准化,采用标准的通讯规程,以有利于不同厂家之间的互连,使不同系统间易于集成,兼顾其他标准的网络体系结构,网络能实现协议之间无缝连接。而公用服务器与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠的设备,此产品是具有运营商级容错能力的高性能大型网络核心交换机,可实现冗余备份,从而提高核心层的可靠性。
整个网络通过汇聚层交换机RG-S6806E和核心交换机RG-S6810E之间的链路冗余备份和负载均衡提供安全可靠的网络构架(使用OSPF、ECMP、WCMP等技术),其安全保障技术提供一个全网概念的整体网络安全,而通过简单地增加万兆模块可以平滑升级到万兆骨干的校园网。
如拓扑图所示,作为学生宿舍网的核心,要求设备能够大容量、稳定可靠的高速路由转发,能够接入大量的汇聚节点并满足今后扩充的需要。同时,应完备的QOS保证机制,完备的业务控制、用户管理机制。同时,还应该考虑到与一期工程的网络设备之间的良好的兼容性、互通性。因此,在本方案的在核心层,部署了锐捷网络的RG-S6810E模块化骨干路由交换机两台,该交换机具有高达1.6T(可扩展3.2T)的背板,L2/L3层具有572Mpps的转发率,同时还可以配置冗余电源和管理引擎模块,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能
为学校的出口规则提供了灵活的设置,此外核心交换机硬件的IPv6功能为学校接入CERNET2提供了无缝连接。
为了提高网络上连带宽,业界提出了端口聚合(802.1ad)的概念,此概念也广泛应用于校园网的建设中。锐捷网络交换机可将多个端口聚合,每条干路支持全双工模式。端口聚合可以在单台交换机中进行配置,支持聚合通道内部的负载均衡。从核心层到汇聚层使用多条多模光纤连接到汇聚层交换机,并实现端口聚合。
汇聚层起着承上启下的作用,负责对各种接入的汇聚,并可在该层实现对于用户的访问控制,以及对用户的网络管理。因此,汇聚层应考虑三层智能交换机。在本方案中,共部署三台锐捷网络自主研发的RG-S6806E模块化骨干路由交换机。在汇聚层使用三层交换机的目的是为了减轻核心层的负担。
接入层应该能够实现对用户的访问控制,并具有较强的安全和QOS控制功能,支持802.1x的认证计费,支持千兆上联,支持SMNP的网管。同时,为满足学生宿舍网的高端口密度接入的需求,接入层应考虑二层智能型可堆叠交换机。因此,在接入层部署了锐捷网络的STAR-S2126G/STAR-S2150G智能型可堆叠交换机。
同时为了保证宿舍网内部网的安全,在内网和外网之间增加硬件防火墙,接在INTERNET/CERNET出口的位置,根据安全需求可将校园网分为内部网、外部网与DMZ区等,以保护校园网的安全,防止恶意用户的攻击。为了统一网络管理和监控,在网络中心配置StarView管理平台可以对设备进行集中的管理,包括网络拓扑发现、配置管理、性能管理、事件管理,实现全网设备的管理。 在网络中心两台核心交换机各通过两条千兆链路连接校园图书馆子网,两台
核心交换机间业务量增大时,也可考虑通过上行双链路Trunk来连接。其中公寓干网以千兆链路下联至公寓楼宇交换机STAR-S2126G/STAR-S2150G;同时网络中心通过千兆连接专项课题研究楼子网;在网络中心核心交换机通过千兆链路连接行政/教学楼子网交换机,以千兆链路下联至楼宇交换机
STAR-S2126G/STAR-S2150G;计算中心子网及应用服务器群另在网络中心通过千兆链路下行连接。实现百兆交换到桌面。
A. 校园网路由设计
不使用默认路由,使用策略路由,防止从Internet访问校园网。
B.Internet路由设计
采用静态默认路由协议访问Internet
为了实现路由的备份,配置到Internet的两条默认路由,两条路由的优先级可以相同,可以不同。
如果相同,则两条线路采取负载分担方式。
如果不同,则是主备方式,其中优先级高的称为主路由,优先级低的为备份路由。这样,正常情况下,路由器采用主路由发送数据。当线路发生故障时,该路由自动隐藏,路由器会选择余下的优先级最高的备份路由作为数据发送的途径。这样,也就实现了主路由到备份路由的切换。当主路由恢复正常时,路由器恢复相应的路由,并重新选择路由。由于该路由的优先级最高,路由器选择主路由来发送数据。
采用源地址路由,让Internet地址访问Internet;
采用ACL,防止访问Cernet的流量通过Internet;
采用ACL,防止来自校园网的Internet地址。
C.安全与流量控制
对端口ARP检查防止ARP攻击;对端口安全:MAC动态地址锁,MAC地址静态绑定;交换设备 BPDU Guard功能,过滤非法BPDU报文,防止STP攻击交换机;端口安全:端口静态绑定,自动绑定 IP和MAC 地址防止DOS攻击;智能安全到边缘:多种ACL,满足不同网络应用,过滤病毒SSH密文传输,限制管理IP等措施保证设备管理可靠;
对网络病毒的防范:采用设置ACL,对病毒进行过滤;我们使用的汇聚、核心交换机都支持SPOH,通过端口独立的FFP进行ACL处理,网络设备性能不受设置 ACL 数目影响;
五、组网方案
方案一:
1.将一个班同学的寝室划为同一个VLAN,再将一栋宿舍楼划为一个大VLAN。 理由:高校的学生通过网络交换的信息量日益增大,特别是一个班的同学,住在一个寝室的同学不一定就是一个班的,将一个班的同学划为同一个VLAN便于信息的传递。
2.将每个老师的寝室划为一个VLAN。
理由:每个老师的计算机里可能有一些重要的科研资料,从安全性考虑,所以不能将所有老师的寝室划为同一个网。并且学生宿舍和教师宿舍不能互相访问。
3.将教学楼的所有教室划为一个VLAN。
理由:上课的教室不固定,每个教室需要共享一些信息。
4.将实验楼划为一个大VLAN,再将每个实验室划为一个小VLAN。
理由:方便同学和老师做一些教学实验,实验室会进行一些专项课题研究,一
个实验室同一个VLAN安全性更高。
5.将办公楼划为一个大VLAN,再将每个部门划为一个小VLAN。
理由:方便每个部门管理,鉴于每个的不同性质,更要提高安全性。
6.划分方法采用基于端口的划分。
理由:高校学生的流动性大,例如换寝室,毕业等,而导致的学生的人数和班级的变动。基于端口的划分,相对来说容易设置和监控,只需要将端口配置的VLAN重新分配。
备注:将每个小VLAN里的其中一台交换机设为VTP SERVER,其余的为VTP CLIENT。工作在VTP服务器模式下的服务器将使用VTP共享VALN信息。在VTP SERVER上进行VLAN的创建、添加、删除或修改操作。每个大VLAN的划分由上一层交换机完成。
方案二:
1.将一个寝室划为同一个VLAN,再将一栋宿舍楼划为一个大VLAN。
理由:一个寝室的同学公用一个端口,可以节约成本。一个寝室的同学在一个网内可以共享一些资源,更方便的进行信息交流,安全性也更高。
2.将每个老师的寝室划为一个VLAN。
3.理由:每个老师的计算机里可能有一些重要的科研资料,从安全性考虑,所以不能将所有老师的寝室划为同一个网。并且学生宿舍和教师宿舍不能互相访问。
3.将教学楼的所有教室划为一个VLAN。
理由:上课的教室不固定,每个教室需要共享一些信息。
4.将实验楼划为一个大VLAN,再将每个实验室划为一个小VLAN。
理由:方便同学和老师做一些教学实验,实验室会进行一些专项课题研究,一个实验室同一个VLAN安全性更高。
5.将办公楼划为一个大VLAN,再将每个部门划为一个小VLAN。
理由:方便每个部门管理,鉴于每个的不同性质,更要提高安全性。
6.划分方法采用基于端口的划分。
理由:高校学生的流动性大,例如换寝室,毕业等,而导致的学生的人数和班级的变动。基于端口的划分,相对来说容易设置和监控,只需要将端口配置VLAN重新分配。
备注:将每个小VLAN里的其中一台交换机设为VTP SERVER,其余的为VTP CLIENT。工作在VTP服务器模式下的服务器将使用VTP共享VALN信息。在VTP SERVER上进行VLAN的创建、添加、删除或修改操作。每个大VLAN的
划分由上一层交换机完成。
简易拓扑图:
测试
基本思想先测主干路的网络连接再测枝干路的连接,从上层开始,分配并设置IP。如果路由器之间能ping通就说明连接成功。宿舍先ping实验楼,然后学生宿舍ping教师宿舍,最后宿舍内部的路由相互ping。即完成了局域网内的测试工作。将一层交换机连接到Internet,测试节点就可以了。