大家好,我是小华学长,一名计算机领域的博主。经过多年的学习和实践,我积累了丰富的计算机知识和经验,在这里我想与大家分享我的学习心得和技巧,帮助你成为更好的程序员。 作为一名计算机博主,我一直专注于编程、算法、软件开发等领域,在这些方面积累了大量的经验。我相信分享是一种双赢的方式,通过分享,我可以帮助他人提升技术水平,同时也能够得到学习交流的机会。 在我的文章中,你将会看到我对于各种编程语言、开发工具以及常见问题的解析和分析。我会结合自己的实际项目经验,为你提供实用的解决方案和优化技巧。我相信这些经验不仅能够帮助你解决当前遇到的问题,还能够提升你的编程思维和解决问题的能力。 除了技术方面的分享,我还会涉及到一些关于职业发展和学习方法的话题。作为一名曾经的学生,我深知在计算机领域如何更好地提升自己和面对挑战。我会分享一些学习方法、面试技巧和职场经验,希望能够对你的职业发展产生积极的影响。 我的文章会发布在CSDN社区,这是一个非常活跃和专业的计算机技术社区。在这里,你可以与其他热爱技术的人们交流、学习和分享。通过关注我的博客,你可以第一时间获取到我的最新文章,并与我和其他读者互动交流。 如果你对计算机领域有兴趣,希望能够更好地提升自己的编程能力和技术水平,那么请关注我的CSDN博客。我相信我的分享会带给你帮助和启发,让你在计算机领域取得更大的成就! 让我们一起成为更好的程序员,共同探索计算机领域的精彩世界吧!感谢你的关注与支持! 分享的所有计算机项目源码均包含文档,可做毕业设计或课程设计,欢迎留言分享问题,交流经验!
摘 要
本课题已广西医科大学的网络规划设计为研究对象,并且有针对性地在内部网络、外部网络、服务器网络、网络安全这四个方面进行分析,为校园网络规划设计的具体内容为相关研究与实务应用提供参考。校园网建设是高校信息化建设的重中之重,本文从校园网拓扑结构、网络冗余、局域网的技术和广域网的技术以及网络安全入手,规划和设计了以万兆跨校区冗余链路联接,千兆光纤到所有大楼,百兆到桌面的高速、安全、可靠、可控可管的校园网络。本设计需要在详尽的需求分析基础上,为广西医科大学设计一个功能完善、安全稳定、高性能的园区型局域网,要求即将建成的网络系统能够为学校师生提供安全高效、稳定可靠的基础网络服务,以满足学校教学和管理等工作的各种需求。设计完成后给出网络系统需求分析和详细的网络系统设计说明书,并给出规范的逻辑拓扑结构图、虚拟子网划分及地址分配方案、设备选型等。并使用模拟器搭建一个该设计的模型网络,以证实该设计的可行性,同时给出主要设备的配置代码,测试网络基本的连通性。
关键词:校园网络、可靠、局域网
Abstract
This topic has taken the network planning and design of Guangxi Medical University as the research object, and analyzed the internal network, external network, server network and network security, so as to provide a reference for the specific content of campus network planning and design and the related research and practical application. The construction of campus network is the most important part of the information construction in Colleges and universities. Starting from the topology of campus network, network redundancy, LAN technology, WAN technology and network security, this paper plans and designs a high-speed, safe, reliable, controllable and manageable campus network with 10 Gigabit redundant links across the campus, gigabit optical fiber to all buildings and 100 Gigabit to the desktop. This design needs to design a functional, safe, stable and high-performance campus LAN for Guangxi Medical University on the basis of detailed demand analysis. The network system to be built is required to provide safe, efficient, stable and reliable basic network services for school teachers and students, so as to meet the needs of school teaching and management. After the completion of the design, the network system requirements analysis and detailed network system design specification are given, and the standard logical topology diagram, virtual subnet division and address allocation scheme, equipment selection and so on are given. The simulator is used to build a model network to verify the feasibility of the design, and the configuration code of the main equipment is given to test the basic connectivity of the network.
key word:Campus network, reliable, local area network
目录
一、绪论... 5
1.1 概述... 5
1.2 项目背景... 5
1.3 建设目的... 5
1.4 主要研究内容... 6
二、需求分析... 7
2.1 用户需求分析... 7
2.2 网络安全需求分析... 7
2.3 网络技术需求分析... 7
2.4 环境需求分析... 7
三、总体规划设计... 9
3.1 网络设计规划... 9
3.2 网络设计原则... 9
3.3综合布线规则... 10
3.4 IP地址和VLAN规划... 11
3.5 设备选型... 12
3.4.1核心交换机选型... 12
3.4.2汇聚层交换机... 13
3.4.3接入层交换机... 15
3.4.4 防火墙... 16
3.6 网络拓扑图... 17
四、关键技术介绍... 19
4.1 VLAN技术... 19
4.2 OSPF动态路由协议... 19
4.3 VRRP技术... 19
4.4 STP生成树... 20
五、详细设计... 22
5.1 VRRP+MSTP冗余配置... 22
5.2 DHCP配置... 23
5.3 OSPF配置... 24
5.4 IPv4 over IPv6隧道... 24
5.5 FW热备份配置... 25
六、测试结果... 26
6.1 局域网互通测试... 26
6.2 DHCP测试... 26
6.4 OSPF测试... 27
6.5 HTTP服务及DNS测试... 28
6.6 VRRP状态及切换... 29
6.7 IPV4 over IPV6测试... 29
总结... 31
致谢... 32
参考文献... 33
一、绪论
1.1 概述
随着信息时代的来临,信息网络在我国正处于高速发展的阶段。学校作为教育的前沿重地,为我国未来各行业人才提供重要的学习环境。因此,校园网络的规模和应用水平是学校教学环境和科研力量的重要组成部分。学校需要优质的网络系统,提供稳定高效的服务。在校园网络发展来看,它一直为与广大的师生和科研人员提供一个全新的网络环境,但是便随着新时代的网络技术飞跃式的发展,为了跟上这个时代网络发展的潮流,所以校园网络新一代的建设便要提上来,顺意互联网的时代发展潮流。但是在我国有一大部分的校园网络发展还没有跟上时代的发展潮流,还停在老一辈的技术思想中。很多学校的计算机业务也没得到充分的发挥,造成了许多不必要校园网络的资源浪费。为了避免校园网络的不必要浪费,也为了提高校园网络使用效益,增强学校的业务水平,同时顺应时代发展的潮流,方便老师同学们日常的教学和生活,以及学校管理,建设新型校园网络成为必要。
1.2 项目背景
学校创建于1934年11月21日,坐落在广西壮族自治区首府南宁市。学校前身是广西省立医学院,1940年校址迁至桂林;学校创建到新中国成立前,学校在战乱中六次迁徙校址,四次变更校名;新中国成立后,1949年11月更名为广西省医学院;1952年由中央卫生部委托中南卫生部直接领导;1953年4月中央卫生部批准改称为广西医学院;1954年7月由桂林迁回南宁市现址至今;1996年5月教育部批准更名为广西医科大学。2020年5月25日,自治区人民政府和国家卫生健康委正式签署《广西壮族自治区人民政府 国家卫生健康委员会共建广西医科大学的意见》,学校正式成为广西目前唯一的省部共建高等医学院校。
1.3 建设目的
随着信息时代的来临,信息网络在我国正处于高速发展的阶段。学校作为教育的前沿重地,为我国未来各行业人才提供重要的学习环境。因此,校园网络的规模和应用水平是学校教学环境和科研力量的重要组成部分。学校需要优质的网络系统,提供稳定高效的服务。目前国外内的学校的发展建设需要强调网络化的技术条件,规划设计校园网有利于分享学校信息、教学资源等,让学校紧跟信息时代的发展脚步。建设校园网,有利于人才培养,让信息化素质教育渗透到学生日常学习中,增强学生对信息化技术的动手,动脑能力,紧跟信息时代。建设校园网,有助于增加学校教学质量,让它为教育教学提供先进的教学手段,并让网络技术应用到教学中,丰富教师的教育、教学方式。建设校园网络是基础教育信息化的根本途径,丰富多彩、健康清新的校园网络文化将成为学校培养学生思维方式、道德品质、创造能力的新环境,成为面向全体师生,培养全面发展的高素质人才的崭新平台。
1.4 主要研究内容
(1)基本内容
本设计要求对广西医科大学各个建筑,各个楼层,各个教室的网络布线区域进行详尽的调查并进行网络需求分析,为广西医科大学设计一个功能完善、安全稳定、高性能的园区型局域网。本设计要求即将建成的网络系统能够为学校师生提供安全高效、稳定可靠的基础网络服务,以满足学校教学和管理等工作的各种需求。
(2)预期设计效果
设计完成后给出网络系统需求分析和详细的网络系统设计说明书,并给出规范的逻辑拓扑结构图、虚拟子网划分及地址分配方案、设备选型及其投资预算等。并使用模拟器搭建一个该设计的模型网络,以证实该设计的可行性,同时给出主要设备的配置代码,测试网络基本的连通性。
二、需求分析
2.1 用户需求分析
教师:教师大多在使用校园网络时希望网络流畅,也就是说他们的需求是在内网访问校园数据库时候,上传或下载资料时候不卡,这时就是需要链路带宽高,负荷能力好网络设备。
学生:校园网络速度快,保证平时上网的网速流畅和稳定性。
行政人员:行政人员则希望能够有效监控学生上网内容以及上网安全等,在出现断电断网的情况下能够使数据不发生丢失或者损坏等,还有方便管理校园网络。
2.2 网络安全需求分析
网络中应当建立一套完整可行的网络安全和网络管理策略,对网络服务请求内容进行控制,使非法访问在到达主机前被拒绝;加强合法用户的访问认证,同时将用户的访问权限控制在最低限度;备份和灾难恢复,强化系统备份,实现系统快速恢复;加强网络安全管理,提供系统全体人员的网络安全意识和防范技术;防范入侵者的恶意攻击与破坏;保护用户通过网上传输过程中的机密性、完整性。
2.3 网络技术需求分析
广西医科大学的网络部署总体要求就是要具有可靠性、灵活性、稳定性、经济性。
网络构造需要具有灵活性和容忍性,以便于后期公司规模扩大所需要增加设备、网络节点的要求;要具有经济性,架构的部署方式及选型要贴近校园人员办公、日常所使用网络的情况而选择设备;要具有可靠性和稳定性,如果学校三天两头的断网或者出现网络丢包、速度慢等情况,那么十分影响用户的上网体验性,因此技术上和物理上需要达到双冗余,确保公司业务的正常运行。
2.4 环境需求分析
广西医科大学位于南宁市青秀区,是广西一流大学建设高校,校本部占地面积71万平方米,教学行政房面积21万平方米。现有教职工1000余人,学生10000余人。该校本部主要有教学楼、综合楼、宿舍楼、食堂等建筑群组成。教学楼分为3栋高层教学楼和9栋普通教学楼:卓越楼为21层,内设有教室、实验室、办公室、会议室、创业基地和培训中心;药学楼为18层,内设有教室、实验室、办公室和学校旗下子公司;临床教学楼为13层,内设有教室、实验室和办公室;普通教学楼为101~109馆,层数3~5层,设有教室、实验室、办公室等,用途不一;学校内还有高职教学楼、国际学院和研究生楼。综合楼1栋,主要用于教学与办公。宿舍楼分为男生宿舍、女生宿舍、研究生宿舍和留学生宿舍,宿舍楼层不一,男A栋有4层,每层17间宿舍,男B栋有5层,每层16间宿舍,男C栋有6层,每层12间宿舍等。食堂4间。
三、总体规划设计
3.1 网络设计规划
此次方案设计,对广西医科大学老的网络架构进行重新以及部分综合布线改造,此次网络拓扑结构所使用的是三层架构。包含高端防火墙设备、三层交换机、汇聚交换机、接入交换机等。按照网络部署方案的标准结构工划分了接入层、汇聚层以及核心层为中心的校园网络结构的架构。为了在改造的过程中不让现网的业务出现问题或者中断的情况发生,此时将以平滑稳定的方式进行,为了让网络在搭建中的稳定安全性,在配置网络设备的时候使用了;(VLAN)虚拟局域网;(portchannel)冗余技术;(ACL)访问控制列表;(NAT)内外网网络地址转换等相关操作配置。
新时代网络信息技术、网络安全技术、数据冗余备份技术已逐步体现起来。随着校园内容以及与教育网对网络需求也就越来越大,所以广西医科大学网络需要建设一个与时俱进的可用性高、冗余性强的企业网络,只有这样校园的网络架构才会越安全,防止数据泄密。在本文中,我将结合现代化最先进信息技术,综合布线等来实现广西医科大学校园网设计与实施需求。
在网络技术十分发达状态的今天,构建一个具有信息安全化的校园已经十分重要了,根据校园的自身情况,制定合理的建设方案,是校园信息化建设最为重要的一步。所以,合理的利用网络协议策略,搭建一个稳定,可靠,高性能的校园网络。
3.2 网络设计原则
在校园网的网络建设中我们需要的不仅仅是采用国际上先进的技术,而且还要保证系统的安全行、可靠性和实用性以及性能高和带宽高的同时要管理简单的原则选择网络整体架构,经过内部分析探讨后决定采用的网络架构为“核心层—汇聚层-接入层”的三层层次化的网络设计模型。
1、主干网核心层:核心层是网络的高速交换骨干,是网络枢纽中心,负责整个网络的联通,完成不同网络之间的数据传输,所以核心层应该具备:可靠、高效、冗余性、容错性可管理性等特性。因此采用高带宽、高性能的千兆以上的交换机并且使用双机冗余热备份。
2、局域网汇聚接入:汇聚接入层的用户流量,进行数据分组传输的汇聚、转发和交换机;根据接入层的用户流量和需要可以本地路由、过滤、流量均衡、QoS优先级管理,以及安全机制、IP地址转换、流量整形、组播管理等;根据处理结果将用户流量转发到核心交换层或在本地进行路由处理;
3、终端接入层:接入层是提供本地网络的工作接入,提供数据的汇聚、传输等功能。主要提供接口让终端用户连接到网络,因此接入层的设备选择具有低成本和端口数量多的普通交换机。
4、楼宇局域网设计:各个楼宇部署汇聚交换机及接入交换机,根据楼宇来进行网段划分,实现网络隔离的作用,确保安全性。
5、互联网接入层:互联网通过电信运营商光纤接入实现通信。互联网接入设备主要是为了内网上网进行地址转换及外部运营商线路接入,同时可对一些内网地址及外网非法IP进行阻断。主要起到以互联网的一个衔接作用。
3.3综合布线规则
综合布线系统与信息网络系统、安全技术防范系统、建筑设备监控系统等的配线作统筹规划,同步设计,并应按照各系统对信息的传输要求,做到合理优化设计。
综合布线系统工程设计中应选用出具合格检验报告、符合国家有关技术要求的定型产品。
综合布线系统的工程设计除应符合本规范外,尚应符合国家现行有关标准的规定。
图3-1 综合布线系统示意图
1 一个独立的需要设置终端设备(TE)的区域宜划分为一个工作区。工作区应包括信息插座模块(TO)、终端设备处的连接缆线及适配器。
2 配线子系统应由工作区内的信息插座模块、信息插座模块至电信间配线设备(FD)的水平缆线、电信间的配线设备及设备缆线和跳线等组成。
3 干线子系统应由设备间至电信间的主干缆线、安装在设备间的建筑物配线设备(BD)及设备缆线和跳线组成。
4 建筑群子系统应由连接多个建筑物之间的主干缆线、建筑群配线设备(CD)及设备缆线和跳线组成。
5 设备间应为在每栋建筑物的适当地点进行配线管理、网络管理和信息交换的场地。综合布线系统设备间宜安装建筑物配线设备、建筑群配线设备、以太网交换机、电话交换机、计算机网络设备。入口设施也可安装在设备间。
6 进线间应为建筑物外部信息通信网络管线的入口部位,并可作为入口设施的安装场地。
7 管理应对工作区、电信间、设备间、进线间、布线路径环境中的配线设备、缆线、信息插座模块等设施按一定的模式进行标识、记录和管理。
3.4 安全规划设计
进入新的历史时期,计算机及网络的应用更加广泛,与此同时,影响网络安全的因素也在不断增加,各种网络犯罪活动也频繁发生。面对这一严峻形势,网络安全管理者应当对计算机及网络系统进行全面的评估,制定科学的网络安全整体解决方案,积极采取有效策略,构建包括防火墙、病毒检测和反应体系在内的网络安全防护体系,合理优化计算机及网络配置,最大限度地降低网络安全风险,维护网络用户的合法权益。
1、建立一套完整可行的网络安全和网络管理策略
3、对网络服务请求内容进行控制,使非法访问在到达主机前被拒绝。
4、加强合法用户的访问认证,同时将用户的访问权限控制在最低限度
5、备份和灾难恢复,强化系统备份,实现系统快速恢复。
6、加强网络安全管理,提供系统全体人员的网络安全意识和防范技术。
7、防范入侵者的恶意攻击与破坏
8、保护企业信息通过网上传输过程中的机密性、完整性
3.4 IP地址和VLAN规划
表3-1 地址规划
名称 VLAN/接口 地址网段 网关 FW1 GE1/0/0 2001::2/64 / GE1/0/1 10.1.1.2/30 / GE1/0/2 172.32.1.1/24 / FW2 GE1/0/0 2002::2/64 / GE1/0/1 10.1.1.1/30 / GE1/0/2 172.31.1.1/24 / FW6 GE1/0/0 172.30.1.254 / GE1/0/2 172.29.1.254 / 核心交换机1 GE0/0/1 172.32.1.2/24 / GE0/0/6 172.30.1.1/24 / 核心交换机2 GE0/0/1 172.31.1.2/24 / GE0/0/6 172.29.1.1/24 / 教学楼 10 192.168.10/24 192.168.10.1 综合楼 20 192.168.20/24 192.168.20.1 研究生楼 30 192.168.30/24 192.168.30.1 食堂 40 192.168.40/24 192.168.40.1 卓越楼 50 192.168.50/24 192.168.50.1 药学楼 60 192.168.60/24 192.168.60.1 男生宿舍楼 70 192.168.70/24 192.168.70.1 女生宿舍楼 80 192.168.80/24 192.168.80.1 服务器测试机 90 192.168.90/24 192.168.90.1 HTTP服务器 100 172.16.1.10/24 172.16.1.1 DNS服务器 100 172.16.1.11/24 172.16.1.1 FTP服务器 100 172.16.1.12/24 172.16.1.1
3.5 设备选型
3.4.1核心交换机选型
校园网的核心网络层设备选型经过分析后推荐采用华为公司专门为园区核心网络生产的S12708交换机,交换机吞吐量大,转发速率高,具体参数如下:
表3-2 核心交换机S12708
交换容量 28.8/102.4Tbps 包转发率 3600/24000Mpps 主控板槽位数 2 交换网板槽位数 2 业务板槽位数 4 风扇框 2 架构 CLOS架构 冗余设计 主控、交换网板、电源、风扇框(前后及左后风道) 虚拟化 支持CSS2交换网硬件集群,集群主控1+N备份,1.92Tbps集群 带宽,4跨框时延,支持1:N的虚拟化能力 无线管理 支持随板AC,每单板最大可管理4K AP,整机管理10K AP 支持AP接入控制、AP域管理和AP配置模板管理 支持射频模板管理、统一静态配置和集中动态管理 支持WLAN基本业务、QoS、安全和用户管理
图3-2 华为S12708
3.4.2汇聚层交换机
网络汇聚层建议校园网内部使用华为S7706交换机,S7706交换机具有很强的扩展性和兼容性,适合作为汇聚各类网络设备的交换机,交换机具体参数如下:
表3-3 S7706参数
交换容量 19.2/48Tbps 包转发率 1440/16560Mpps 冗余设计 主控、电源、监控板、风扇框(前后及左后风道) 无线管理 支持随板AC 支持AP接入控制、AP域管理和AP配置模板管理 支持射频模板管理、统一静态配置和集中动态管理 支持WLAN基本业务、QoS、安全和用户管理 支持AC功能分层部署 用户管理 支持统一用户管理 支持PPPoE、802.1X、MAC、Portal认证方式 支持基于流量和时长计费方式 支持分组分域分时授权方式 路由特性 支持IPV4静态路由、RIP、OSPF、IS-IS、BGP4等 支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+ 支持IPv4/IPv6等价路由、策略路由、路由策略 支持IPv4和IPv6双协议栈 支持Pingv6、Telnetv6、FTPv6、TFTPv6、DNSv6、ICMPv6 支持IPv4向IPv6的过渡技术,包括:IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道 iPCA质量感知 支持直接对业务报文标记以获得丢包数量和丢包率统计数据,实时统计,零开销 支持二三层网络网络级和设备级丢包数量和丢包率统计 SVF简化运维 支持将256个Client节点(接入交换机)、最大支持4K个AP虚拟为一台设备管理 支持2层AS架构 支持与第三方厂商混合组网管理 缓存容量 支持每端口200ms数据缓存 数据中心特性 支持TRILL,FCoE(DCB),EVN,nCenter,EVB,SPB,VXLAN等数据中心特性 OpenFlow 支持多控制器 支持高达九级流表 支持高达256K流表 支持Group table 支持Meter 支持OpenFlow 1.3标准 互通性 VBST基于VLAN生成树协议(和PVST/PVST+/RPVST互通) LNP链路类型协商协议(和DTP相似功能) VCMP VLAN集中管理协议(和VTP相似功能)
图3-3 S7706交换机
3.4.3接入层交换机
华为的接入层交换机S5736-S交换机是一款三层的交换机,它具备万兆的上行接口和千兆的下联接口,适合终端接入使用。具体参数如下:
表3-4接入交换机参数
包转发率 660Mpps 交换容量 2.56/25.6 Tbps 固定端口 24个100M/1G/2.5G/5G/10G Base-T以太网端口 ,4个10GE SFP+ PoE++ 支持,单端口最大90W供电 扩展插槽 1个扩展插槽,支持2*25GE或8*10GE光、4*40GE光子卡 MAC特性 支持MAC地址自动学习和老化 支持静态、动态、黑洞MAC表项 支持源MAC地址过滤 VLAN特性 支持4K个VLAN 支持Guest VLAN、Voice VLAN 支持GVRP协议 支持MUX VLAN功能 支持基于MAC/协议/IP子网/策略/端口的VLAN 支持1:1和N:1 VLAN Mapping功能 IP路由 静态路由、RIPv1/2、RIPng、OSPF、OSPFv3、ECMP、ISIS、ISISv6、BGP、BGP4+、VRRP、VRRP6 互通性 VBST基于VLAN生成树协议(和PVST/PVST+/RPVST 互通) LNP 链路类型协商协议(和DTP相似功能) VCMP VLAN集中管理协议(和VTP相似功能)
图3-4华为S5720系列交换机
3.4.4 防火墙
网络出口USG防火墙为用户提供统一的外网连接业务,避免各部门各自建立出口链路。设备推荐使用华为USG6600E防火墙,该防火墙是一款万兆的出口防护设备,具有入侵检测、主动防御等安全能力。具体参数如下:
表3-5防火墙参数
固定接口 12×GE (RJ45) + 8×GE (SFP) + 4×10GE (SFP+) + 1×USB3.0 产品形态 1 U 存储 选配2.5英寸形态硬盘,支持SSD 240GB/960GB,HDD 1TB 一体化防护 集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身,全局配置视图和一体化策略管理 应用识别与管控 识别6000+应用,访问控制精度到应用功能,例如:区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率。 带宽管理 在识别业务应用的基础上,可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括:限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等 入侵防御与Web防护 第一时间获取最新威胁信息,准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击,包括SQL注入攻击和跨站脚本攻击等。 APT防御 与本地/云端沙箱联动,对恶意文件进行检测和阻断。 支持流探针信息采集功能, 对流量信息进行全面的信息采集,并将采集的信息发送到网络安全智能系统(HiSec Insight)进行分析、评估、识别网络中的威胁和APT攻击。 加密流量无需解密,联动HiSec Insight,实现对加密流量威胁检测。 主动响应恶意扫描行为,并通过联动HiSec Insight进行行为分析,快速发现,记录恶意行为,实现对企业威胁的实时防护。 云管理模式 设备自行向云管理平台发起认证注册,实现即插即用,简化网络创建和开局 远程业务配置管理、设备监控故障管理,实现海量设备的云端管理 云应用安全感知 可对企业云应用进行精细化和差异化的控制,满足企业对用户使用云应用的管控需求。
图3-5华为USG6600E系列防火墙
3.6 网络拓扑图
图3-6 网络拓扑图
本设计方案中的校园网络的网络架构划分为三层类型:核心层、汇聚层、接入层。
伴随着广西医科大学的校园业务增加,校园网在网络架构规模越来越庞大,为了进一步提升校园网络及其其他学校在互联网上的热度以及社会推广度,广西医科大学在网络内网上设立独立web服务器、DNS服务器、FTP服务器等。
现如今按照广西医科大学的网络需求,我们所规定的三层网络架构是为搭建网络拓扑实用方案,这样的搭网环境会让整个架构层次变得分明,结构变得更为简单,出现问题的时候,容易定位在故障点。
此次校园拓扑的优点:
1、扩展性:可将三层次网络分别进行扩展变化,严格按照核心层、汇聚层、接入层架构实施。
2、可冗余性:在汇聚设备上使用VRRP技术,可以更好提高广西医科大学校园网络可行性。
3、高性能:将两到三个层次之间运用ethchannel链路聚合特性,这样可以能够更好的提高网络的稳定性以及可用性。
四、关键技术介绍
4.1 VLAN技术
VLAN技术中文含义为虚拟局域网络, VLAN技术能够有效的划分不同网络的通信, 让不同局域网实现隔离效果,可以不受地址位置的限制,虚拟局域网可以将整个网络分成一个个不同的小的子网, 这样一来,就可以较为清楚地划分不同的网络,使数据传输更为可靠有效稳定性高。也可以用来区分不同的业务系统,以及可以方便的用来区分不同网段所能访问的资源,也可以更好地避免广播风暴的发生,使局域网维护性能更强。
4.2 OSPF动态路由协议
路由技术通俗来讲被称为是三层技术,算是在网络工程中的上层应用技术了。对于一个完善成熟的网络架构拓扑中,路由技术一般运用在核心架构层次。一般所运用到的拥有路由功能的网络设备,比如有路由器、三层交换机、防火墙等高端路由设备。就类似于家与学校之间的一条人行道路一般,在路由表中,我们网管人员可以从这里面查到许多有用的参考信息,可以看到各个网络路由设备之间的邻居建立关系,以及各个路由条目的路径参数信息类似于常用的技术OSPF。因此,三层路由技术被应用于各个企业内以及校园网络内也是如此。而路由协议的缺点也比较明显,相比于二层静态默认路由技术,三层动态路由协议所占用的网络设备资源内存虽然较多,大大的增加了设备与设备之间的开销占比,所以就需要购置性能参数较高的相关路由设备。来保证业务可靠的实施,推荐使用OSPF路由技术。
4.3 VRRP技术
随着用户对网络可靠性的要求越来越高,如何保证网络的不间断传输,已成为一个必须解决的问题。特别是在一些重要业务的入口或接入点上,需要保证网络的不间断运行,如企业的Internet接入点、银行的数据库服务器等。在这些业务点上如果只使用一台设备,无论其可靠性多高,网络都必然要承受因单点故障而导致业务中断的风险。
传统的单网关设备、单上联链路的环境中,用户的网关地址配置为一个固定的IP,这个IP一般被路由器的一个接口所拥有,这台路由器就充当网络网关的角色,这就存在单点故障,如果路由器宕机了,内网的用户也就断网了,再者,如果路由器的上联链路故障了,内网用户同样无法上网。VRRP可以实现网关的冗余,让网络变得更加的健壮。为了解决上述问题,引入了网关冗余协议VRRP。双机热备份实现了双机业务的备份功能,业务信息通过备份链路实现批量备份和实时备份,保证在主设备故障时业务能够不中断地顺利切换到备份设备,从而降低了单点故障的风险,提高了网络的可靠性。
通过在“同一个广播环境中”部署多台路由器,这些路由器(的接口)加入同一个VRRP组,这个VRRP组会虚拟出一台虚拟路由器,而虚拟路由器的IP地址,就是内网用户PC所配置的网关地址,虚拟路由器的MAC,就是用户将会解析到的网关IP对应的MAC。VRRP组内的成员之间进行PK,选出一个Active路由器,这个路由器承担实际的流量转发任务,他将响应内网对于网关IP的ARP查询。VRRP组内的其他路由器,为standby状态,实时侦听Active路由器的状态,以便能够在Active路由器故障后立即进行切换。
当Active路由器发生故障,剩下的组员再次进行选举,会有新的Active路由器出现承担数据转发任务,同时响应内网用户对于网关IP的ARP请求,如此一来即可实现网关的冗余,而对于内网用户来说,这一个切换的机制是完全不知情的,由协议自己完成,另外内网PC也不用做任何的配置或者网关IP的变更。
路由器状态分为两种:
1、Active路由器:就是在VRRP组实际转发数据包的路由器,在每一个VRRP组中,仅有Active响应对虚拟IP地址的ARP请求。
2、Standby路由器:就是在VRRP组中处于监听状态的路由器,一旦Active路由器出现故障, Standby路由器就开始接替工作。
总的来说,VRRP具有高度的可靠性,两台路由器之间采用VRRP(热备份冗余协议)协议,来保证两台路由器中的任意一台down掉,或路由器的广域网口down,都会迅速切换到另外一台。
4.4 STP生成树
以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路,但是这也带来了网络环路的问题。网络环路会引发广播风暴和MAC地址表震荡等问题,导致用户通信质量差,甚至通信中断。
为了解决交换网络中的环路问题,IEEE提出了基于802.1D标准的生成树协议STP(Spanning Tree Protocol)。STP是局域网中的破环协议,运行该协议的设备通过彼此交互信息来发现网络中的环路,并有选择地对某些端口进行阻塞,最终将环形网络结构修剪成无环路的树形网络结构,达到破除环路的目的。另外,如果当前活动的路径发生故障,STP还可以激活冗余备份链路,恢复网络连通性。
而随着局域网规模的不断增长,STP拓扑收敛速度慢的问题逐渐凸显,因此,IEEE在2001年发布了802.1w标准,定义了快速生成树协议RSTP(Rapid Spanning Tree Protocol),RSTP在STP的基础上进行了改进,可实现网络拓扑的快速收敛。
在运行STP协议的网络中,一台设备被称为一个网桥,或简称桥。每个桥都有一个桥ID(Bridge ID,即BID),IEEE 802.1d标准中规定BID是由桥优先级(Bridge Priority)与桥MAC地址构成。BID桥优先级占据高16位,其余的低48位是MAC地址。
根桥(Root Bridge)
STP协议破环的关键在于生成一个树形的网络结构,而树形的网络结构必须有树根,于是STP引入了根桥的概念。对于一个STP网络,根桥就是网桥ID最小的桥,在全网中只有一个,它是整个网络的逻辑中心,但不一定是物理中心。根桥会根据网络拓扑的变化而动态变化。
根端口(Root Port)
根端口就是去往根桥路径开销最小的端口,根端口负责向根桥方向转发数据,这个端口的选择标准是依据根路径开销判定。很显然,在一个运行STP协议的设备上根端口有且只有一个,根桥上没有根端口。
指定桥(Designated Bridge)与指定端口(Designated Port)
图2-1 STP示意图
思科私有协议 PVST: Per-VLAN Spanning Tree(每VLAN生成树)
PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案.PVST为每个虚拟局域网运行单独的生成树实例.一般情况下PVST要求在交换机之间的中继链路上运行cisco的ISL.
每VLAN生成树 (PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络,它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。
PVST+(Per VLAN Spanning Tree Plus,增强的按VLAN生成树) 是CISCO解决在虚拟局域网上处理生成树问题的另一个方案。PVST+ 允许CST (公共生成树)信息传给PVST,以便与其他厂商对在 VLAN 上运行生成树的实现方法进行操作。
PVST+支持在相同网络中同时存在CST和PVST,PVST+可以用802.1Q封装。PVST+在Catalyst 802.1Q trunks上是自动启动的。也是每个Vlan一棵STP。也可以实现第2层的负载均衡。PVST+分成3种类型的区域:PVST区域/PVST+区域/单生成树区域。
五、详细设计
5.1 VRRP+MSTP冗余配置
图5-1 VRRP+MSTP设计
部分配置举例:
stp instance 0 root primary
interface Vlanif10
ip address 192.168.10.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.1
vrrp vrid 1 priority 150
vrrp vrid 1 preempt-mode timer delay 20
interface Vlanif20
ip address 192.168.20.2 255.255.255.0
vrrp vrid 2 virtual-ip 192.168.20.1
vrrp vrid 2 priority 150
vrrp vrid 2 preempt-mode timer delay 20
5.2 DHCP配置
图5-2 DHCP配置
DHCP配置:
ip pool 10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.100 192.168.10.254
dns-list 172.16.1.11
ip pool 20
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.100 192.168.20.254
dns-list 172.16.1.11
5.3 OSPF配置
图5-3 OSPF配置
OSPF配置:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.0.0 0.0.255.255
network 172.32.1.0 0.0.0.255
network 172.30.1.0 0.0.0.255
5.4 IPv4 over IPv6隧道
图5-4 IPv4 over IPv6
隧道配置:
interface Tunnel2
ip address 30.1.1.1 255.255.255.0
tunnel-protocol ipv4-ipv6
source 2002::2
destination 2002::1
interface Tunnel1
description 10::1
ip address 20.1.1.2 255.255.255.0
tunnel-protocol ipv4-ipv6
source 2001::1
destination 2001::2
5.5 FW热备份配置
图5-5 热备份配置
hrp enable
hrp interface GigabitEthernet1/0/1 remote 10.1.1.2
hrp auto-sync config static-route
hrp track interface GigabitEthernet1/0/0
hrp track interface GigabitEthernet1/0/2
六、测试结果
6.1 局域网互通测试
VLAN划分可以简化网络管理,同时隔绝广播域的作用,不同VLAN默认是不能互相通信的,如果需要相互通信的话必须经过网关转发。下图为不同VLAN之间相互通信测试。
图6-2 VLAN之间通信测试
6.2 DHCP测试
采用DHCP可以自动的给终端分配IP地址,能够充分的利用IP地址,避免IP地址的浪费。
图6.2 DHCP配置测试
6.4 OSPF测试
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短构造路由表。
如下图所示将出口防火墙和核心交换机划分到了骨干区域。
图6-3防火墙OSPF邻接状态
如下图所示防火墙上学到的OSPF路由。
图6-4 防火墙路由表
6.5 HTTP服务及DNS测试
服务器开放HTTP服务和DNS域名解析,内网都可通过域名来对http服务器进行访问。
下图为内外网通过web访问域名进入HTTP服务:
图6-5 内网通过域名访问HTTP服务器
6.6 VRRP状态及切换
VRRP就是让两台设备共同维护一个虚拟网关,现网所创建的网关地址是不存在的,当主设备宕机后,备设备可立即进行切换从而接替主设备进行网关转发。
图6-6 VRRP状态
6.7 IPV4 over IPV6测试
内网通过边界防火墙IPV4和IPV6隧道策略访问公网,当内网终端流量数据到达边界防火墙时,防火墙将源地址路由丢进隧道进行访问,当数据回包时再将目的地址转为本地终端。
图6-8内网访问公网
总结
此次对广西医科大学的校园网的规划,是对网络知识的又一次系统的学习,而且是一次更完整的学习。在以前的课堂上,网络课程讲的都是关于网络原理性的内容,在实际的操作方面却很少提及。经过此次校园网的规划,学到了很多实际应用的知识。
在这次广西医科大学院校的校园网规划中,在规划之前做到了到学校考察情况,并询问了相关问题。这为以后的网络规划提供了有利的依据。在以后的规划中,以建立网络教学、办公为目标,从经济性、实用性、操作性、扩展性的原则来设计广西医科大学院校校园网。此次根据用户需求建立的网络架构,并且对以后的网络扩展也有较强的扩展性。在规划中还将新一代网络的特性和网络的发展新趋势,提高了网络的人性化,体现了以人为本的原则。但是,网络设计也有一些需要完善的地方,比如在建立服务器、防火墙的具体配置方法等方面。通过这次网络规划,丰富了我在网络方面的知识,使我学到了很多网络方面深层次的内容。特别是在网络设计、交换机、服务器方面,我有了更加丰富的知识。
参考链接
您阅读本篇文章共花了:
发表评论