洛阳理工学院
课 程 设 计 报 告
课程名称 ___________________________________
设计题目 ___________________________________
专 业 ___________________________________
班 级 ___________________________________
学 号 ___________________________________
姓 名 ___________________________________
完成日期 ___________________________________
目 录
1摘要(一级标题)......................................................................................................... 1
2实习任务及要求(一级标题)........................................................................................ 2
2.1实习任务(二级标题)........................................................................................ 2
2.1.1标题标题标题(三级标题)........................................................................ 2
2.1.2标题标题标题(三级标题)........................................................................ 3
2.2实习要求(二级标题)........................................................................................ 3
2.2.1标题标题标题(三级标题)........................................................................ 3
3项目需求分析................................................................................................................ 4
4方案设计....................................................................................................................... 5
5 方案测试...................................................................................................................... 6
6服务器及存储方案......................................................................................................... 7
7总结与展望.................................................................................................................... 8
总结.......................................................................................................................... 8
展望.......................................................................................................................... 8
参考文献.......................................................................................................................... 9
1摘要(一级标题)
说明:
1.主要内容包括本次实习任务、采用的主要技术方法手段、实习结果结论、各章主要内容简述等。
2.所有文字内容请按照提供的样式设置,语句通顺,标点准确。
3.文中图片使用5号楷体字,按“章-序号”方法编号,即第X章的第XX个图,图片说明放在图片下面居中,所有图片在正文中要有引用的说明,且引用位置必须在图片之前。表格说明文字应在表格之前,按“章-序号”方法编号,即第X章的第XX个表,居中显示。
4.目录页码编号采用I、II、III方式,正文部分页码采用1、2、3方式。目录要求在正文编辑结束后自动生成。
绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论绪论
2实习任务及要求(一级标题)
说明:每一章都从新一页开始,不要接着上一章内容。
本章简介
正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文。
2.1实习任务(二级标题)
正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文。
2.1.1实习要求(三级标题)
正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文。
2-1 XXXXX(图片和序号应在同一页面内)
2.1.2标题标题标题(三级标题)
正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文。
2.2标题标题(二级标题)
正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文。
2.2.1标题标题标题(三级标题)
正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文正文。
3项目需求分析
说明项目的需求分析,应包含文字表述、网络布线示意图(参考书本P67图3.8)等。
4方案设计
根据需求分析结果进行项目方案设计。应包括逻辑拓扑设计,交换机路由器配置,IP地址及子网划分、VLAN划分,各部分主要传输介质型号、数量、预算造价等。
5 方案测试
设计网络中各部分互联互通方案,对项目方案的逻辑拓扑结构应在PT中完成全部调试,综合运用静态路由、默认路由和动态路由技术,保证网络畅通。
6服务器及存储方案
根据项目需要,规划项目中服务器类型和数量、数据存储方案、安全保障措施等。
7总结与展望
说明:总结应包括总结与展望。总结是对所做工作的结论,展望应说明本次方案存在的主要问题及解决思路,下一步工作的计划。
总结
总结总结总结总结总结总结
展望
展望展望展望展望展望展望
参考文献
第二篇:网络工程课程设计报告格式
网络工程课程设计报告
题 目:郑州航院校园网络规划方案及设计
学 号: 081007323
姓 名: 尚卫民
指导老师: 张 森
2010 年 12月 8 日
校园网络工程设计方案
目 录
前言………………………………………………………………………………………………….3
第一章 需求分析…………………………………………………………………………….4
第二章 网络规划…………………………………………………………………………….7
一 拓扑设计与设计原则………………………………………………………………7
二 网络结构分析…………………………………………………………………………9
三 网络架构设计与拓扑结构……………………………………………………….10
第三章 主要技术设计的具体配置过程………………………………………….13
一 访问层交换服务的实现——配置访问层交换机………………………….13
二 分布层交换服务的实现-配置分布层交换机…………………………….14
三 核心层交换服务的实现——配置核心层交换机…………………………17
四 配置接入路由器InternetRouter……………………………………………19
五 远程访问模块设计……………………………………………………………….21
第四章 服务器模块设计…………………………………………………………………23
一 结构化布线设计…………………………………………………………………….24
二 设计原则……………………………………………………………………………….24
三 设计目标……………………………………………………………………………….25
第五章 总结…………………………………………………………………………………….25
前言
当今的世界正从工业化社会向信息化社会转变。一方面,社会经济已由基于资源的经济逐渐转向基于知识的经济,人们对信息的需求越来越迫切,信息在经济的发展中起着越来越重要的作用,信息的交流成为发展经济最重要的因素。另一方面,随着计算机、网络和多媒体等信息技术的飞速发展,信息的传递越来越快捷,信息的处理能力越来越强,信息的表现形式也越来越丰富,对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。
快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此,学校校园网的有无及水平的高低,也将成为评价学校及学生选择学校的新的标准之一。
Internet及WWW应用的迅猛发展,极大的改变着我们的生活方式。信息通过网络,以不可逆转之势,迅速打破了地域和时间的界限,为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。学校作为信息化进程中极其重要的基础环节,如何通过网络充分发挥其教育功能,已成为当今的热门话题。
随着学校教育手段的现代化,很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展,校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一,此时,校园网上的应用系统就显得尤为重要。一方面,学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识,毫无疑问,这是学生综合素质中极为重要的一部分;另一方面,基于先进的网络平台和其上的应用系统,将极大的促进学校教育的现代化进程,实现高水平的教学和管理。
学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设,旨在推动学校信息化建设,其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络,最终完成统一软件资源平台的构建,实现统一网络管理、统一软件资源系统,并保证将来可扩展骨干网络节点互联带宽为10G,为用户提供高速接入网络,并实现网络远程教学、在线服务、教育资源共享等各种应用;利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面,更好的对众多网络使用及数据资源的安全控制,同时具有高性能,高效率,不间断的服务,方便的对网络中所有设备和应用进行有效的时事控制和管理。
随着计算机多媒体和网络技术的不断发展与普及,校园网信息系统的建设,是非常必要的,也是可行的。主要表现在:
1)、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。
2)、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。
3)、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。
4)、现代教育改革的需要。在校园网中将计算机引入教学各个环节,从而引起了教学方法,教学手段,教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。
5)、随着经济发展,我国各级政府对教育的投入不断加大;计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息服务是完全可行的。
第一章 需求分析
在校园网络中,视频、音频、数据集于一身,如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输,就没法对流做出最高优先级和次高优先级及底优先级的分类,这样就不能保证重要业务的畅通,造成网络延迟、服务不可用。所以要想真正改变网络的效率,更有效的保证应用服务的运营,需要通过端到端的QOS,智能到边缘的方式来保证。通过智能到边缘,端到端的应用方式,可以减少对网络核心设备的消耗,这样保证了网络的有效畅通。可以对园区网应用中的,多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。对不同服务流进行详细的分类,划分优先级,以及尽可能地避免发生拥塞。同时保证网络的高效运行,充分利用现有的带宽。
在园区网络中,存在多样的网络设备及系统应用环境,并且要考虑在用户迅速增长的今天,考虑到网络设备的可扩展性。保证在多样网络设备,用户不断增加的环境中,仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的兼容性和可扩展性,能与当前校园网络无缝衔接,同时预留空间符合当前和以后的信息建设需要和足够的升级空间。
在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有高效率等,以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别,这样比在中央处理器识别要快的多。并在大量的数据应用,数据传输的过程中,要保证所有硬件设备都可以进行快速的转发,要具备高背板带宽(交换容量),所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。
现在的网络环境中稳定可靠是争相谈论的话题,因现在在网络中运行了众多重要应用及服务,是要保证7*24小时不间断的服务。就要完全能保证网络设备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中,也要保证较小的延迟,以满足网络应用中的有效畅通的需要。在这样的需求中利用,冗余的管理交换引擎、冗余的电源等关键部件的冗余,支持(802.1D、802.1W)802.1S多Vlan生成树协议保证链路级的冗余和负载均衡,支持VRRP、OSPF等三层路由协议保证路由级的冗余,支持load balancing技术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备、网络、应用系统的可靠性。
在校园网络中,对于校园网的安全保障十分重要:校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。
我们采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。
路由技术:路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
交换技术:传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本设计中,也将采用这三层进行分开设计、配置。
远程访问技术:远程访问也是园区网络必须提供的服务之一。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑,选择一种适合企业自身需要的广域网接入方案。)在本设计中,分别采用专线连接(到因特网)和电路交换(到校园网)两种方式实现远程访问需求。
第二章 网络规划
一 拓扑设计与设计原则
局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理,因此,对中央节点的要求比较高。
优点是网络结构简单,易于维护,便于管理(集中式);每台入网机均需物理线路与处理机互连,线路利用率低;处理机负载重(需处理所有的服务),因为任何两台入网机之间交换信息,都必须通过中心处理机;入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。
局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机,商用机运行比较稳定,而且比较耐用,运算速度较快,较适于开发使用。
校园网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据校园网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是:高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。
我们遵循以下的原则进行网络设计:
1.实用性和经济性
网络建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设的万兆骨干网络平台,保护用户的投资。
2.先进性和成熟性
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证贵校网络建设的领先地位,采用万兆以太网技术来构建网络主干线路。
3.可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,Cisco公司作为知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。
为了保证骨干网络平台的健壮性和链路冗余性,网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
4.安全性和保密性
在网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等,充分考虑Cisco公司安全性,针对的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定(过滤)、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。
5.可扩展性和可管理性
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
为了适应网络结构变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。为了便于扩展,对于核心设备必须采用模块化高密度端口的设备,便于将来升级和扩展。
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品,达到全程网管,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性。
二网络结构分析
1.骨干层
网络中心节点及其它核心节点作为校园网络系统的心脏,必须提供全线速的数据交换,当网络流量较大时,对关键业务的服务质量提供保障。另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求:1)高密度端口情况下,还能保持各端口的线速转发;2)关键模块必须冗余,如管理引擎、电源、风扇。
由于校园网建设最终必将采用万兆技术,因此需要考虑到核心设备对万兆的支持能力。
综上所述,主干核心交换机属于高端系列的产品,所以在本方案中,核心交换机采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置,灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换,强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案,是大型网络核心骨干交换机的理想选择。
在此方案中,校区网络中心采用Cisco公司路由交换机作为核心交换机。核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑,从而实现带宽的灵活扩展。
2.接入层
接入层网络由楼栋交换节点和楼层交换节点组成,接入层网络应该可以满足各种客户的接入需要,而且能够实现客户化的接入策略,业务QOS保证,用户接入访问控制等等。
楼层交换节点采用千兆智能堆叠交换机,提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管,最大化满足高速、融合、安全的园区网新需求;本方案中各接入层交换机通过千兆链路上联到各汇聚层设备,对下联的桌面设备提供全双工的百兆连接,为各类用户提供无阻塞的交换性能。
3.出口
因为校园网出口采用以太网,所以采用路由器 + 防火墙的方式,起到如下作用:
防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性;路由器提供出口路由功能,数据处理能力强,具有强大的NAT功能。
三 网络架构设计与拓扑结构
校园网的建设主要是为了教学应用,而多媒体辅助教学和多媒体教室是教学应用的核心,在网络建设时应考虑多媒体信息的特点,如信息量大,对时间延迟敏感等;在校园网中常会出现几十个学生执行相同操作的现象,所以要考虑并发信息的控制;学生利用网络做作业,教师要在家拨号访问学校网络,学籍管理信息在网上传输,所以也要考虑网络的安全性,防止黑客破坏网络,学生抄袭作业;校园网又是面向不同知识层次的教师、学生和办公人员的工具,它帮助我们更好地提高教学水平、办公效率和学习兴趣,所以应用和管理应简便易行,界面友好。
具体方案如下:
(1)支持多媒体应用,包括多媒体教室、电子阅览室、多媒体教学;
(2)高性能,全交换,满足用户需求;
(3)管理简单,浏览器方式无需专门培训;
(4)系统安全,保密性高;
(5)ADSL连接方式,按需建立连接降低链路费用。
(6)互联网接入,安全的广域网访问。
本校园网设计方案主要由以下四大部分构成:交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如下图所示。
拓扑图中的路由器、防火墙和核心交换机构成了校园网的核心,也就是我们平常说的网络中心,网络中心性能的好与坏将直接影响整个校园网的性能,因此,网络中心的组建将是整个校园网组建成败的关键。
路由器处在网络中心的最顶层,它直接与互联网连接,同时内连校园网中的防火墙,所以路由器在校园网中的作用非常重要。我们在选择适合校园使用的路由器时,要根据校园网的规模来决定。例如路由器的带机数量,路由器的性能等,这些都要根据校园网的规模来确定。至于路由器的功能,我们不用考虑太多,由于市场上的产品同质化严重,所以目前市场上的路由器大多都具有带宽控制,MAC地址绑定,Qos机制等多种功能,我们只要将这些功能应用得当,就能最大限度利用路由器。在选择路由器时,我们要考虑路由器的稳定性,对于路由器的稳定问题,是一个比较难回答的问题,我们只能了解其他用户使用路由器之后的感受,不过建议大家选用大厂所生产的路由器,大厂生产的路由器虽然价格要贵一些,但稳定性能够得到保障。最后我们要注意一点,学校采用的什么网络接入,现在很多校园都是专线接入,所以路由器要具备接入这种专线的能力。
网络中心的防火墙实在校园网中担当网络防黑的作用,虽然网络中心的路由器也具有防火墙功能,不过路由器的防火墙功能一般都不够强大,因此,校园网中使用防火墙还是有必要。校园网中的防火墙与普通防火墙有些不同,它不但要防止外来黑客的攻击,还要防止内部学生的恶作剧和限制学生访问非法站点。防止外来黑客攻击比较复杂,这需要管理员具有较高的专业知识,因为一款防火墙不进行设置,是无法抵御黑客的攻击。防止校园内学生的恶作剧和限制学生访问非法站点相对来说要简单一些,我们只要好好利用防火墙的MAC地址绑定功能,IP地址过滤,URL过滤等功能,就能为校园网用户提供一个安全的网络环境。防火墙的性能与功能同样重要,毕竟校园网用户要访问互联网必需经过防火墙,如果防火墙性能比较差,将严重影响校园网性能。防火墙性能主要根据吞吐量,并发连接数来确定。我们在选择校园防火墙时,最好选择带VPN功能的防火墙,现在很多高校都有自己的分校,要实现远程分校的网络访问,采用VPN技术是最好的方式。
网络中心的核心交换机也是根据校园规模来确定,现在高校的人数一般都比较多,计算机数量也比较多,为了方便管理,这里通常都是采用支持VLAN的三层路由交换机,VLAN功能可以帮助管理员管理校园网络,防止广播风暴发生。在一些中小型校园,采用千兆骨干网的比较多,而一些大型校园则采用万兆骨干网,所以三层交换机也要根据采用什么样的骨干网来确定选择千兆或万兆三层路由交换机。
校园网络中心的建立是为了内部各个小型网络的接入,所以,接入部分是整个校园网络的基础。校园网中的接入主要分为两部分,有线局域网的接入和无线局域网的接入。有线局域网主要是指那些已经布好网络线的地方,例如各个系的机房,新修的一些计算机大楼,新修的一些学生宿舍等,这些都已经布好了网络线,我们只需要选择适合的交换机就能实现这部分有线网络的接入。无线局域网的组建则针对一些老式的大楼,宿舍和大型会议室等,由于这些建筑在以往没有布线或者不适合于布线,但又需要网络信号覆盖,因此,我们需要在这部分组建无线局域网。
表 VLAN及IP编址方案
在这里为每个VLAN定义了一个由拼音缩写组成的VLAN名称。在设计IP地址方案之前,应考虑以下几个问题:
1). 是否将网络用真实地址连入Internet。
2). 是否将网络划分为若干子网以方便网络管理。
3). 是采用静态IP地址分配还是动态IP地址分配。
4). 每个子网现在规划多少个信息点。
5). 每个子网将来会增加多少个信息点。
第三章 主要技术设计的具体配置过程
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。
传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。
当园区网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性可能会造成交换环路问题,这需要通过在各交换机上运行生成树协议(Spanning Tree Protocol,STP)来解决。
一个好的校园网设计应该是一个分层的设计。一般分为三层设计模型。
一访问层交换服务的实现——配置访问层交换机
访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst 2950 24口交换机(WS-C2950-24)。交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是Cisco的IOS操作系统。我们以下图的访问层交换机AccessSwitch1进行设置。
1. 配置访问层交换机AccessSwitch1的基本参数
Switch(config)#hostname AccessSwitch1
AcccessSwitch1(config)# enable secret 123Switch /设置交换机口令
AcccessSwitch1(config)#line vty 0 15 /设置登录虚拟终端线时的口令
AcccessSwitch1(config-line)#login
AcccessSwitch1(config-line)#password youguess
2. 配置访问层交换机AccessSwitch1的管理IP、默认网关
AcccessSwitch1(config)#interface vlan 1
AcccessSwitch1(config-if)#ip address 192.168.0.5 255.255.255.0
AcccessSwitch1(config-if)#no shutddown
AcccessSwitch1(config)#ip drfault-gateway 192.168.0.254
3.配置访问层交换机AccessSwitch1的VLAN及VTP
AcccessSwitch1(config)#vtp mode client
AcccessSwitch1(config)#interface range fatchernet 0/1 – 24
AcccessSwitch1(config-if-range)#duplex full
AcccessSwitch1(config)#interface range fatchernet 0/1 – 24
AcccessSwitch1(config-if-range)#specd 100
4. 配置访问层交换机AccessSwitch1的访问端口
AcccessSwitch1(config)#Interface range fastchernet 0/1 -10
AcccessSwitch1(config-if-range)#switchport mode access
AcccessSwitch1(config-if-range)#switchport access vlan 10
AcccessSwitch1(config)#Interface range fastchernet 0/11 -20
AcccessSwitch1(config-if-range)#switchport mode access
AcccessSwitch1(config-if-range)#switchport access vlan 20
AcccessSwitch1(config)#Interface range fastchernet 0/11 -20
AcccessSwitch1(config-if-range)#spanning-tree portfast
5. 配置访问层交换机AccessSwitch1的主干道端口
AcccessSwitch1(config)#Interface range fastchernet 0/23 -24
AcccessSwitch1(config-if-range)#switchport mode trunk
AcccessSwitch1(config)#spanning-tree uplinkfast / 冗余设计
AcccessSwitch1(config)#spanning-tree Backbonefast / 加快生成树的收敛
7.配置访问层交换机AccessSwitch2与AccessSwitch1类似
二分布层交换服务的实现-配置分布层交换机
分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。
这里的分布层交换机采用的是Cisco Catalyst 3550交换机。作为3层交换机,Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口,同时还有2个1000Mbps的GBIC端口供上连使用,运行的是Cisco的Integrated IOS操作系统。我们以下图中的分布层交换机DistributeSwitch1为例进行设置。
1.配置分布层交换机DistributeSwitch1的基本参数
Switch#configure terminal
Enter congifguration commands,one per line End with CNTL/Z
Switch(config)#hostname DistributeSwitch1
DistributeSwitch1(config)#enable secret youguess
DistributeSwitch1(config)#line con 0
DistributeSwitch1(config-line)#logging synchronous
DistributeSwitch1(config-line)#exec-timeout 5 30
DistributeSwitch1(config-line)#line vty 0 15
DistributeSwitch1(config-line)#password abc
DistributeSwitch1(config-line)#login
DistributeSwitch1(config-line)# exec-timeout 5 30
DistributeSwitch1(config-line)#exit
DistributeSwitch1(config)#no ip domain-lookup
2.配置分布层交换机DistributeSwitch1的管理IP、默认网关
DistributeSwitch1(config)#interface vlan 1
DistributeSwitch1(config-if)#ip address 192.168.0.3 255.255.255.0
DistributeSwitch1(config-if)#no shutdown
DistributeSwitch1(config-if)#exit
DistributeSwitch1(config-if)#ip default-gateway 192.168.0.254
3. 配置分布层交换机DistributeSwitch1的VTP
DistributeSwitch1(config)#vtp domain nciae /设置VTP管理域的域名
DistributeSwitch1(config)#vtp mode server /设置VTP服务器
DistributeSwitch1(config)#vtp pruning /激活VTP剪裁功能
4. 在分布层交换机DistributeSwitch1上定义VLAN
Switch#configure terminal
Enter configuration commands,one per line.End with CNTL/Z
DistributeSwitch1(config)#vlan 10
DistributeSwitch1(config-vlan)#name JWC
DistributeSwitch1(config)#vlan 20
DistributeSwitch1(config-vlan)#name XSSS
DistributeSwitch1(config)#vlan 30
DistributeSwitch1(config-vlan)#name CWC
DistributeSwitch1(config)#vlan 40
DistributeSwitch1(config-vlan)#name JGSS
DistributeSwitch1(config)#vlan 50
DistributeSwitch1(config-vlan)#name WXY
DistributeSwitch1(config)#vlan 60
DistributeSwitch1(config-vlan)#name YYXY
DistributeSwitch1(config)#vlan 70
DistributeSwitch1(config-vlan)#name JSJXY
DistributeSwitch1(config)#vlan 100
DistributeSwitch1(config-vlan)#name FWQQ
5. 配置分布层交换机DistributeSwitch1的端口基本参数
DistributeSwitch1(config)#interface range fastethernet 0/1 – 24
DistributeSwitch1(config-if-range)#dupex full
DistributeSwitch1(config-if-range)#speed 100
DistributeSwitch1(config-if-range)#interface range fastethernet 0/1 – 10
DistributeSwitch1(config-if-range)#switchport mode access
DistributeSwitch1(config-if-range)#switchport access vlan 100
DistributeSwitch1(config-if-range)#spanning-tree portfast
DistributeSwitch1(config-if-range)#interface range fastethernet 0/23 – 24
DistributeSwitch1(config-if-range)#switchport mode trunk
DistributeSwitch1(config-if-range)#interface range gigabitEthernet 0/1– 2
DistributeSwitch1(config-if-range)#switchport mode trunk
6. 配置分布层交换机DistributeSwitch1的3层交换功能
DistributeSwitch1(config)#interface vlan 10
DistributeSwitch1(config-if)#ip address 192.168.1.254 255.255.255.0
DistributeSwitch1(config-if)#no shutdown
DistributeSwitch1(config)#interface vlan 20
DistributeSwitch1(config-if)#ip address 192.168.2.254 255.255.255.0
DistributeSwitch1(config-if)#no shutdown
DistributeSwitch1(config)#interface vlan 30
DistributeSwitch1(config-if)#ip address 192.168.3.254 255.255.255.0
DistributeSwitch1(config-if)#no shutdown
DistributeSwitch1(config)#interface vlan 40
DistributeSwitch1(config-if)#ip address 192.168.4.254 255.255.255.0
DistributeSwitch1(config-if)#no shutdown
DistributeSwitch1(config)#interface vlan 50
DistributeSwitch1(config-if)#ip address 192.168.5.254 255.255.255.0
DistributeSwitch1(config-if)#no shutdown
DistributeSwitch1(config)#interface vlan 60
DistributeSwitch1(config-if)#ip address 192.168.6.254 255.255.255.0
DistributeSwitch1(config-if)#no shutdown
DistributeSwitch1(config)#interface vlan 70
DistributeSwitch1(config-if)#ip address 192.168.7.254 255.255.255.0
DistributeSwitch1(config-if)#no shutdown
DistributeSwitch1(config)#interface vlan 100
DistributeSwitch1(config-if)#ip address 192.168.100.254 255.255.255.0
DistributeSwitch1(config-if)#no shutdown
7.配置分布层交换机DistributeSwitch2
分布层交换机DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/24以及访问层交换机AccessSwitch2的端口FastEthernet 0/24。
此外,分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。
为了实现冗余设计,分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet 0/2.
DistributeSwitch1(config)#ip route 0.0.0.0.0.0.0.0 192.168.0.254
另外. 为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当3层交换机的分布层交换机DistributeSwitch1,还需要进行适当的配置.
DistributeSwitch1(config)#ip classless
DistributeSwitch1(config)#ip subnet-zero
定义对无类别网络以及全零子网的支持.
三核心层交换服务的实现——配置核心层交换机
核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换
本设计中的核心层交换机采用的是Cisco Catalyst 4006交换机,采用了Catalyst 4500 Supervisor II Plus(WS-X4013+)作为交换机引擎。运行的是Cisco的Integrated IOS操作系统
在作为核心层交换机的Cisco Catalyst 4006交换机中,安装了WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC))模块,该模块提供了5个千兆光纤上连接口,可以用来接入WS-G5484(1000BASE-SX Short Wavelength GBIC (Multimode only))。
1.配置核心层交换机CoreSwitch1的基本参数
Switch#configure terminal
Enter configuration commands,one per line.End with CNTL/Z
Switch(config)#hostname DistributeSwitch1
CoreSwitch1 (config)#enable secret youguess
CoreSwitch1 (config)#line con 0
CoreSwitch1 (config-line)#logging synchronous
CoreSwitch1 (config-line)#exec-timeout 5 30
CoreSwitch1 (config-line)#line vty 0 15
CoreSwitch1 (config-line)#password abc
CoreSwitch1 (config-line)#login
CoreSwitch1 (config-line)# exec-timeout 5 30
CoreSwitch1 (config-line)#exit
CoreSwitch1 (config)#no ip domain-lookup
2.配置核心层交换机CoreSwitch1的管理IP、默认网关
CoreSwitch1(config)#interface vlan 1
CoreSwitch1(config-if)#ip address 192.168.0.1 255.255.255.0
CoreSwitch1(config-if)#no shutdown
CoreSwitch1(config-if)#exit
CoreSwitch1(config-if)#ip default-gateway 192.168.0.254
3.配置核心层交换机CoreSwitch1的的VLAN及VTP
CoreSwith1(config)#vtp mode client
4.配置核心层交换机CoreSwitch1的端口参数
核心层交换机CoreSwitch1通过自己的端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。同时,核心层交换机CoreSwitch1的端口GigabitEthernet 3/1~GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。
DistributeSwitch1(config)#interface range fastethernet 0/1 – 24
DistributeSwitch1(config-if-range)#dupex full
DistributeSwitch1(config-if-range)#speed 100
DistributeSwitch1(config-if-range)#switchport mode access
DistributeSwitch1(config-if-range)#switchport access vlan 1
DistributeSwitch1(config-if-range)#spanning-tree portfast
DistributeSwitch1(config-if-range)#interface range gigabitEthernet 3/1– 2
DistributeSwitch1(config-if-range)#switchport mode trunk
此外,为了提供主干道的吞吐量以及实现冗余设计,在本设计中,将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道,然后再连接到另一台核心层交换机CoreSwitch2。
CoreSwitch1 (config)#interface port-channel
CoreSwitch1 (config-if)#switchport
CoreSwitch1 (config-if)# interface gigabitEthernet 2/1– 2
CoreSwitch1 (config-if)#channel-group 1 mode desiruble non-silent
CoreSwitch1 (config-if)#no shutdown
5.配置核心层交换机CoreSwitch1的路由功能
核心层交换机CoreSwitch1通过端口FastEthernet 4/3同广域网接入模块(Internet路由器)相连。因此,需要启用核心层交换机的路由功能。同时,还需要定义通往Internet的路由。这里使用了一条缺省路由命令。其中,下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。
CoreSwitch1(config)#ip routing
CoreSwitch1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254
6.其它配置
定义对无类别网络以及全零子网的支持
CoreSwith1(config)#ip classless
CoreSwith1(config)#ip subnet-zero
CoreSwitch2的配置步骤、命令和CoreSwitch1的配置类似.
四 配置接入路由器InternetRouter
1. 配置接入路由器InternetRouter的基本参数
Router#configure terminal
Enter configuration commands,one per line.End with CNTL/Z
Switch(config)#hostname InternetRouter
InternetRouter (config)#enable secret youguess
InternetRouter (config)#line con 0
InternetRouter (config-line)#logging synchronous
InternetRouter (config-line)#exec-timeout 5 30
InternetRouter (config-line)#line vty 0 15
InternetRouter (config-line)#password abc
InternetRouter (config-line)#login
InternetRouter (config-line)# exec-timeout 5 30
InternetRouter (config-line)#exit
InternetRouter (config)#no ip domain-lookup
2. 配置接入路由器InternetRouter的各接口参数
InternetRouter (config)#interface fastethernet 0/0
InternetRouter (config-if)#ip address 192.168.0.254 255.255.255.0
InternetRouter (config-if)#no shutdown
InternetRouter (config-if)# interface serial 0/0
InternetRouter (config-if)#ip address 193.1.1.1 255.255.255.252
InternetRouter (config-if)#no shutdown
3. 配置接入路由器InternetRouter的路由功能
InternetRouter (config)#ip route 0.0.0.0 0.0.0.0 serial0/0
InternetRouter (config)#ip route 192.168.0.0 255.255. 248.0 192.168.0.3 /
InternetRouter (config)#ip route 192.168.100.0 255.255. 255.0 192.168.0.3
4. 配置接入路由器InternetRouter上的NAT
为了接入Internet,本校园网向当地ISP申请了9个IP地址。其中一个IP地址:193.1.1.1被分配给了Internet接入路由器的串行接口,另外8个IP地址:202.206.222.1~202.206.222.8用作NAT。
InternetRouter (config)#interface fastethernet 0/0
InternetRouter (config-if)#ip nat inside
InternetRouter (config-if)#interface serial 0/0
InternetRouter (config-if)#ip nat outside /定义NAT内部、外部接口
InternetRouter (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255
InternetRouter (config)#ip access-list 1 permit 192.168.100.0 0.0.0.255
InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.1
InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.2
InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.3
…… / 为服务器定义静态地址转换
InternetRouter (config)#ip nat inside source list 1 interface serial 0/0 overload
/ 为工作站定义复用地址转换
5. 配置接入路由器InternetRouter上的安全访问ACL
1. 路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园网内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对校园网内网包括防火墙本身实施保护。
在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计:
对外屏蔽简单网管协议,即SNMP. 利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型:SNMP和SNMPTRAP。
设置对外屏蔽简单网管协议SNMP:
InternetRouter (config) #ip route 192.168.0.0 255.255.248.0 192.168.0.3
InternetRouter (config)#ip route 192.168.100.0 255.255.255.0 192.168.0.3
2. 对外屏蔽远程登录协议telnet. 首先,telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命令完全操纵它们。这是极其危险的,因此必须加以屏蔽。
屏蔽远程登录协议telne
InternetRouter (config)#ip access-list 101 deny tcp any eq telnet
InternetRouter (config)#ip access-list 101 permit ip any any
3. 对外屏蔽其它不安全的协议或服务. 这样的协议主要有SUN OS的文件共享协议端口2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用(SUNRPC)端口111。可以将针对以上协议综合进行设计
InternetRouter (config)#ip access-list 101 deny tcp any any range 512 514
InternetRouter (config)#ip access-list 101 deny tcp any any eq 111
InternetRouter (config)#ip access-list 101 deny udp any any eq 111
InternetRouter (config)#ip access-list 101 deny tcp any any range 2049
InternetRouter (config)#ip access-list 101 permit ip any any
4. 针对DoS攻击的设计. DoS攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且极具破坏力的攻击手段,它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。
InternetRouter (config)#ip access-list 101 deny icmp any any eq echo-requset
InternetRouter (config)#ip access-list 101 deny udp any any eq echo
InternetRouter (config)#interface serial 0/0
InternetRouter (config-if)#ip access-group 101 m
InternetRouter (config-if)#interface fastethernet 0/0
InternetRouter (config-if)#no ip directed-broadcast
5. 保护路由器自身安全. 作为内网、外网间屏障的路由器,保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器,必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址访问并配置路由器。这时,可以使用ACCESS-CLASS命令进行VTY访问控制
InternetRouter (config)#line vty 0 4
InternetRouter (config-line)#access-class 2 in
InternetRouter (config-line)#exit
InternetRouter (config-line)#access-list 2 permit 192.168.100.0 0.0.0.255
InternetRouter (config)#ip classless /对无类别网络以及全零子网的支持
InternetRouter (config)#ipsubnet-zero
五 远程访问模块设计
远程访问也是园区网络必须提供的服务之一。
远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。在本设计中,由于面对的用户群规模、业务量较小,所以采用了异步拨号连接作为远程访问的技术手段。
异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话网(Public Switched Telephone Network,PSTN)上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。因为目前存在着大量安装好的电话线,所以这样的环境是最容易满足的。因此,异步拨号连接也就成为最为方便和普遍的远程访问类型。
广域网连接可以采用不同类型的封装协议,如HDLC、PPP等。其中,PPP除了提供身份认证功能外,还可以提供其他很多可选项配置,包括链路压缩、多链路捆绑、回叫等,因此更具优势。也是本设计所采用的异步连接封装协议。
在本设计中采用了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM(8Port Analog Modem Network Module)提供远程访问服务。它可以同时对最多16路拨号用户提供远程接入服务。
配置异步拨号模块NM-16AM的步骤:
1.配置物理线路的基本参数
对物理线路的配置包括配置线路速度(DTE、DCE之间的速率)、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等.
InternetRouter (config)#line 97
InternetRouter (config-line)#moderm InOur
InternetRouter (config-line)#transport input all
InternetRouter (config-line)#stopbits
InternetRouter (config-line)#speed 115200
InternetRouter (config-line)#flowcontrol hardware
2. 配置接口基本参数
对接口基本参数的配置包括:接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等。这里,设置远程客户从IP地址池rasclients中获得IP地址。
InternetRouter (config)#interface async97
InternetRouter (config)#ip address 192.168.200.100 255.255.255.0
InternetRouter (config)#encapsulation ppp
InternetRouter (config)#async mode dedicated
InternetRouter (config)#peer default address pool rasclients
InternetRouter (config)#ip local pool rasclients 192.168.200.1 192.168.200.16
/建立了一个名为rasclients的IP地址池
3. 配置身份认证
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。
PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证。如果认证失败,则直接释放链路。
CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为"挑战字符串"。如图14-1-5所示。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
CHAP对端系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源,因此只用在对安全要求很高的场合。
PAP虽然有着用户名和密码是明文发送的弱点,但是认证只在链路建立初期进行,因此节省了宝贵的链路带宽。
本设计中将采用PAP身份认证方法。
InternetRouter (config)#username remoteuser password userpwd
InternetRouter (config)#interface a / 设置进行pap认证
InternetRouter (config)#PPP authentication pap
第四章 服务器模块设计
服务器模块用来对校园网的接入用户提供各种服务。在本设计方案中,所有的服务器被集中到VLAN 100构成服务器群并通过分别层交换机DistributeSwitch1的端口fastethernet 1~20接入校园网。如图所示。
校园网提供的常见的服务(服务器)包括:
WEB服务器:提供WEB网站服务。
DNS、目录服务器:提供域名解析以及目录服务。
FTP、文件服务器:提供文件传输、共享服务。
邮件服务器:提供邮件收发服务。
数据库服务器:提供各种数据库服务。
打印服务器:提供打印机共享服务。
实时通信服务器:提供实时通信服务。
流媒体服务器:提供各种流媒体播放、点播服务。
网管服务器:对校园网网络设备进行综合管理。
如下图所示。显示了各服务器IP地址配置情况
一 、结构化布线设计应该满足以下目标
1. 满足实验楼、教学楼、教师和学生公寓楼等各项主要业务的需求,且兼顾未来长远发展。
2. 符合当前和长远的信息传输要求
3. 布线系统设计遵从国际(ISO/IEC 11801) 标准和邮电部和建设部标准,布线系统采用国际标准建议的星型拓扑结构
4. 布线系统将支持语音、数据等综合信息(如 ADSL、B-ISDN 、ATM 等)的高质量传输,并适应各种不同类型不同厂商的电脑及网络产品
5. 布线系统的信息出口采用国际标准的RJ45插座,以同一的线路规格和设备接口,使任意信息点都能接插不同类型的终端设备,如电脑、打印机、网络终端、电话机、传真机等,以支持话音、数据、图象等数据信息和多媒体信息的传输
6. 布线系统符合综合业务数据网ISDN的要求,以便与国内国际其它网络互连。
二 、系统设计原则
1. 设计标准:
a) ISO 11801国际综合布线标准
b) IEEE 802标准
c) EIA/TIA 568工业标准及国际商务建筑布线标准
2. 安装与设计规范
a) 建筑与建筑群综合布线系统工程设计规范CECS 72:97
b) 建筑与建筑群综合布线工程施工及验收规范CECS 89:97
c) 中国建筑电气设计规范
d) 工业企业通信设计规范
三 、设计目标
实用性-------实施后的布线系统,将能够在现在和将来适应技术的发展,并且实现数据通信、语音通信、图像通信。
灵活性-------布线系统能够满足灵活应用的要求,即任一信息点能够连接不同类型的设计,如计算机、打印机、终端或电话、传真机。
模块化-------布线系统中,除去敷设在建筑内的缆线外,其余所有的接插件都应是积木式的标准件,以方便管理和使用。
扩充性-------由于所有基础设施(材料、部件、通信设备)都采用国际标准,无论计算机设备、通信设备、控制设备随技术如何发展,将来都可很方便地将这些设备扩充到系统中去。
经济性-------在满足应用要求的基础上,尽可能低造价。
第五章 总结
校园网络是非常典型的综合网络.本设计是建立一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络能够支持融合了话音、视频、图像和数据的应用程序. Cisco公司作为知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。因此.在关键网络系统中采用了Cisco 3640路由器、Cisco Catalyst 2950 24口交换机(WS-C2950-24)、Cisco Catalyst 3550交换机、Cisco Catalyst 4006交换机.在本设计中. 将重点放在网络主干的设计上,对于服务器的架设只作简单介绍。通过对校园网络关键设备进行分析.得出配置步骤和配置命令.
本设计中所采取的技术与产品充分考虑到了网络未来的升级与发展,无论从校园网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术,把网络已构筑了高速和坚固的信息高速公路,面对未来的发展将处于非常有利的境界。
教师评语
