-
-
目录
-
摘要
随着信息网络的高速发展,网络结构也日益变得庞大,网络的可靠性与安全性也更应被重视。本设计目的为在实现网络的高可靠性和安全性的情况下,更全面的实现客户需求。
本网络结构采用层次化与模块化设计,将校园内网分为服务器模块、教学楼模块、行政楼模块与图书馆模块,办公模块物理设备接入层划分不同VLAN来隔离各部门,以达到降低广播报文带来的风险,接入交换机配置三层端口隔离,提高同一VLAN内安全 性。内网核心层运行OSPF路由协议,实现数据最短路径动态转发,将服务器模块和大厅模块设为末梢区域,以到达不影响设备访问需求的前提下减少边缘设备负担。公司大厅和内部部门实现WLAN网络全覆盖,满足各种无线设备上网需求,同时内网搭建AC双链路冗余热备份,提高内部部门无线网络的可靠性。总分部之间跨区域通信,为保证数据通讯的安全性,搭建IPSec-VPN,满足与上级部门之间跨公网安全通信。网络边界部署防火墙并与外网相接,可以极大的降低网络攻击的潜在威胁。
通过层次化划分网络,可以在出现网络故障的时候能够快速发现问题,解决问题。各层次实现冗余设计和安全性设计,可以极大提高网络的实用性。信息化网络,网络攻击层出不穷,防火墙的部署能够很好的预防外界对公司内网的安全威胁,且能够实现内部各模块之间的访问需求与安全级别。
显而易见,网络的冗余性与安全性结合可以极大的提高网络的可用性,并且能够降低日后维护的需求。
关键词:IPSec-VPN;OSPF;WLAN;防火墙;NAT
Abstract: With the rapid development of information networks, network structures are becoming increasingly complex, and the reliability and security of networks should be given more attention. The purpose of this design is to comprehensively meet customer needs while achieving high network reliability and security.
The network structure adopts a hierarchical and modular design, dividing the campus intranet into server modules, teaching building modules, administrative building modules, and library modules. Physical devices in the office module access different VLANs to isolate departments, reducing the risk of broadcast message interference. Access switches are configured with port isolation to increase security within the same VLAN. Aggregation switches are configured with MSTP+VRRP to achieve redundant Layer 2 links and virtual gateway, improving network reliability. The core layer of the intranet runs the OSPF routing protocol to dynamically forward data along the shortest path. The server module and lobby module are set as peripheral areas, reducing the burden on edge devices without affecting access requirements.
A full coverage WLAN network is deployed in the company's lobby and internal departments to meet the wireless internet access needs of various devices. Additionally, a redundant hot backup is set up for the internal department's wireless network, improving its reliability. For secure communication between branches, IPSec-VPN is established to ensure secure communication between branches over the public network. Firewalls are deployed at the network boundary to greatly reduce potential threats of network attacks.
Through hierarchical network division, problems can be quickly identified and resolved in the event of network failures. Redundancy and security design at each level greatly enhance the practicality of the network. In the face of constant network attacks, firewall deployment effectively prevents external threats to the company's intranet and facilitates access and security levels between internal modules.
It is evident that combining network redundancy and security can greatly improve network availability and reduce future maintenance requirements.
Keywords: IPSec-VPN; OSPF;WLAN;Firewall; NAT
1前言
1.1 研究背景
在目前的网络中,随着网络功能的增加、学生的规模不断扩大,教学需求等因素,对网络的功能要不断地扩展。网络作为校园信息沟通的主要手段,在其生活中提供不可或缺的作用,数字化网络平台也开始发挥其强大的功能,为保证更好的 网络环境,必须对落后的网络重新进行规划设计,提高其性能。
苗族自治县中学网络的建设发展,教育信息化的深入以及规模的扩大,也给网络建设和维护变得更加困难。苗族自治县中学网络仍存在一些网络问题需要去解决,如网络结构相对简单,忽视了网络的有效管理;网络安全存在隐患,忽略网络安全的投入建设;不重视网络系统搭建平台的建设,在网络实施中却被经常忽略等等。
网络互联网的快速发展,使人们的学习方式正在发生改变。Internet 具有信息交流快、内容丰富、交互性强等特点。由于基于互联网的远程教育可以不受时间、空间和地域的限制,它将教育体系扩展到全球的每一个角落,人们可以在任何时间,任何地点通过网络学习。
苗族自治县中学网络的建设和发展是一个不断变化的过程。整体的升级和网络环境的不断发展,都是为了促进单一网络的快速优化和改进。搭建苗族自治县中学网络有利于开展各项教学活动和科研项目,使本校教育科研水平和教学质量得到很大的提升。校园教管理人员可以基于内部网络使用先进的园区管理软件来对园区各项事务进行管理,很大程度地减轻了校园网络管理者的工作负担。
1.2 国内外研究现状
近年来,随着互联网技术的不断发展,校园网建设在各大高校中得到了广泛的关注。在我国,校园网建设已经取得了一定的成果,大部分高校都建立了自己的校园网络,为师生提供了便捷的网络服务。
1. 校园网建设规模不断扩大
目前,越来越多的高校开始重视校园网建设,不断加大投入,扩大建设规模。许多高校已经建立了覆盖整个校园的千兆网络,为师生提供了高速、稳定的网络环境。同时,许多高校还加强了网络安全管理,建立了完善的网络安全体系,保障校园网络的安全稳定运行。
2. 校园网应用不断拓展
在校园网建设过程中,许多高校积极探索新的应用模式,不断拓展校园网的应用范围。例如,一些高校建立了数字化图书馆、在线教学平台、科研管理系统等,为师生提供了更加便捷、高效的网络服务。此外,一些高校还加强了网络文化建设,积极推广网络文化产品,丰富了校园文化生活。
3. 校园网研究不断深入
为了更好地推动校园网建设,许多高校加强了校园网研究工作。通过开展学术交流、专题研讨等活动,不断总结经验,探索新的发展思路。同时,一些高校还加强了与国内外高校、研究机构的合作,共同开展校园网研究工作,为校园网的发展提供了有力的支持。
在国外,校园网建设也得到了广泛的关注。许多发达国家的高校已经建立了完善的校园网络,为师生提供了便捷的网络服务。
1. 校园网建设水平较高
在国外,许多高校建立了覆盖整个校园的千兆网络,为师生提供了高速、稳定的网络环境。同时,一些高校还加强了网络安全管理,建立了先进的网络安全体系,保障校园网络的安全稳定运行。
2. 校园网应用多样化
在国外,校园网的应用已经不再局限于教学和科研领域,而是拓展到了更多的领域。例如,一些高校建立了数字化图书馆、在线教育平台、学生管理系统等,为师生提供了更加多样化的网络服务。此外,一些高校还加强了与企业的合作,积极推广数字化产品,为校园网的发展注入了新的活力。
总的来说,国内外校园网建设已经取得了一定的成果,但是仍然存在一些问题和挑战。未来,我们需要进一步加强研究,探索更加高效、安全、便捷的网络服务模式,推动校园网建设的可持续发展。
1.3 设计方法与思路
1.3.1 设计方法
(1)通过文献研究法进行优化,整理所学的大学知识、实践经验、借鉴其他网络搭建和模拟实验的方法,并结合现实情况来制定毕业设计计划,确定观澜培训中心的需求完成网络的设计。
(2)通过调查法,实地考察、找同学进行讨论,结合课题的要求,提出大致可行方案,通过理论知识与实践应用结合起来去熟悉一个典型的网络系统设计的步骤与实施的过程。
1.3.2 设计思路
本次的设计思路主要是根据苗族自治县中学存在的问题进行优化网络,以设计原则为主,硬件设备为辅进行优化,在不改变原有网络拓扑的基础下,保证网络连接的稳定性,同时考虑数据传输的安全性。完成逻辑网络的设计在华为模拟器 eNSP软件中实现校区与上级部门之间的互通性。
2.需求分析
2.1用户及网络需求分析
2.1.1 网络需求分析
为了改进校园信息化并制定网络计划,提高信息化水平及办公效率,使得网络更好的运行和维护,必须先对校园网络进行需求分析。考虑到苗族自治县中学未来的发展,采用三层网络架构来建设,通过对校园的实地勘察,对该网络的信息分布点采集统计,根据解决的问题去制定苗族自治县中学的网络改进计划,对校园的系统需求分析而搭建一个安全、合理、可扩展的网络。
2.1.2 用户信息需求
苗族自治县中学网络内的用户需要使用各种类型的网络来获得对应用服务系统的访问权限。用户不仅要查询信息系统,还要及时查询和下载资料,并通过网络与教师及时沟通,解决学习过程中遇到的疑问。及时登录和访问网络的电子图书馆和阅览室,通过网络查询、下载阅读文件和教材。通过远程视频会议、语音会议活动建立网上沟通途径,因此云教室的创建和维护给用户提供可以与教师交流的机会,与其他课程的师生分享经验。
2.1.3 业务需求分析
苗族自治县中学的业务需求在不断的加大,园区信息化在不断的升级优化,从业务信息的发布,资源的共享和各种应用网站的数据更新,将资源共享系统对用户的学习资源进行有效开发和利用,方便用户学习和使用。网络协议的正确一致性,网络资源的合理性和有效性。因此,建立良好的网络对提高教学质量是非常重要的。
为了不断扩大的业务需求和有效发挥其功能需要长期的计划和持续的改进。必要时引进先进的技术理念、科学合理的规划、基本的设计原则和先进的技术是实现互联网可持续性、可靠性、高效发展的重要保证。在规划、制定、实施网络计划时,还要考虑设备的经济效率和当前设备版本的更新、各种网络协议的稳定性、使用设备的存储量、设备的配置、使用时间长短等问题。设备的可扩展性、网络设备操作的灵活性和网络应用的灵活性也要在考虑的范围内。该解决方案采用网络搭建的核心技术,采用科学的设计原理和方法,针对存在的问题进行解决,严格区分网络的层次和功能,使得建设和改进的可能性大大增加。
2.1.4应用需求分析
苗族自治县中学作为一所综合性教育机构,其网络应用需求背景主要源于学校教学、管理和服务的数字化转型。目标用户群体包括师生、管理人员和访客。主要功能需求涉及课堂教学的信息化支持、校园内外的远程接入、教育资源的共享与交流、以及校园管理的自动化。性能需求强调网络的高速度、低延迟和高可靠性,以支撑大流量的多媒体教学内容传输、实时的在线互动和高效的数据处理。预期的用户体验是提供一个稳定、快速且易于访问的网络环境,使师生能够在任何时间、任何地点无缝接入网络,进行教学、学习和日常沟通。
在技术要素方面,网络的稳定性是确保教育教学活动顺利进行的基础,尤其在连续不断的在线课堂和关键业务运行期间,稳定性显得尤为重要。安全性则是保护学校网络免受外部攻击和内部滥用的保障,对于维护师生的个人信息安全、防止学术不端行为以及保护学校资源的合法使用至关重要。可扩展性则关注于学校未来发展的需求,随着技术的进步和教育模式的创新,网络应能灵活适应新的应用和服务,同时支持更多的用户加入和使用。这些技术要素共同构成了一个健壮、安全且可持续发展的校园网络环境,为学校的长期发展提供坚实的信息化基础。
2.2 可行性分析
(1)技术可行性:当前教育机构网络灵活多样,在设计和创新也比较成熟,网络运作良好,在技术上更容易实现。因此在基础理论和网络技术上为校园网络建设提供了技术可行性。本次设计的技术关键在于如何规划资源配置、合理利用网络资源以及数据协议的更新配置。最终的目标是优化网络性能,保证园区内的师生能够及时的利用网络资源,并保证其稳定可靠的运行。
(2)经济可行性:苗族自治县中学网络建设前期通过实地勘察和资源运算,充分为财务考虑经济效率,在充分保证资金的前提下,利用现有的旧设备和新购入的新设备进行合理的拓扑改进。保持接口多样和足够的带宽,且保持原有网络拓扑的稳定性,并考虑是否支持不同的协议。通过网络维护管理费、人工费、设备型号的选择、交换机的部署和通信线路的建设等费用,实现经济可行性。
2.3 现状分析
2.3.1 安全分析
在苗族自治县中学网络建设的初期,网络安全没有得到足够的重视,现已成为网络发展的重点和难点。在信息安全及网络安全不断受到的挑战的关键情况下,网络攻击和病毒日益更新,频繁发生的网络安全事件,利用互联网传播病毒,威胁网络安全。网络的信息安全、设备安全和系统安全都必须严格控制网络之间的内部通信中,防止非法外部网络操纵和访问培训中心网络的信息或服务器[7]。一些Intranet用户无法访问一些重要的设备和信息等等。
2.3.2 拟解决的问题
本次设计根据以下问题进行解决
(1)设备老旧,网络架构不清晰:有些设备相对老旧,兼容性较差,在网络架构中经常出现故障,扩展新设备时分布不合理,导致架构复杂,架构不清晰,给管理员带来一定的维护难度。
(2)网络路线缺乏冗余设置:当网络架构出现单点故障时,整个架构就会出现瘫痪状态,维护人员要经过长时间抢修才能恢复正常,故障问题反反复复出现。
(3)延时高,出现网络风暴:网络延时高,数据信息传输不稳定,经常出现网络风暴导致数据丢包,发送的文件丢失不可用。
(4)网络资源互相抢占: 资源分配不明确,网络资源互相抢占,网络经常卡顿,办公造成严重影响。
根据以上问题制定苗族自治县中学的网络解决方案,方案包括网络设备的升级、增加数据传输媒介、网络安全的改进、外网的安全访问以及排除存在的网络安全威胁。针对网络设备和网络布线升级改造要充分考虑布线的合理性,节省资金成本,提高布线成本,满足数据交换的吞吐率和高宽的要求,并且要支持网络升级扩展的需求。考虑到了苗族自治县中学与园区外机构部门的远程互连问题,以及远程连接的数据加密问题,这些问题需要从数据配置、冗余备份等方面对其进行仔细检查。
3网络设计方案与技术应用
3.1逻辑网络整体设计
逻辑网络的设计目标需要满足需求分析中提出的业务需求,以设计出符合校园业务流特点的网络架构。本次设计的海南科技职业大学网络采用三层网络架构,包括核心层、汇聚层、接入层。
核心层连接所有的汇聚层交换机,防火墙和无线接入控制器,负责汇聚各部门之间的流量,并提供三层交换机的功能。核心交换机承担了内部数据流量和对外数据流量,因此设备需提供高转发性能和高带宽。
汇聚层是各建筑节点的核心,负责汇聚接入层设备的流量。转发建筑节点内用户业务的“横向流量”和提供到核心层的“纵向流量”。
接入层负责直接接入终端设备,提供高密度接入接口供用户终端使用,除使用二层交换机功能外还可以满足简单的业务安全需要,如端口隔离等。
3.2网络拓扑图
根据逻辑网络整体设计以及校园需求分析的需要,现输出苗族自治县中学网络拓扑图如图3.1所示:
图3.1
3.3 IP地址与VLAN划分
通过 VLAN 技术,可以将学校网络划分为逻辑上独立的虚拟网段,有效隔离不同用户群体的流量,提高网络安全性。同时,子网划分能够根据不同区域或部门的需求,为其分配独立的 IP 地址范围,优化网络性能和管理,防止广播风暴和单点故障影响整个网络:
IP地址与VLAN划分表
| 部门或区域 | VLAN号 | IP网段 | 网关地址 |
| 教学楼 | 10 | 192.168.10.0/24 | 192.168.10.254 |
| 办公楼 | 20 | 192.168.20.0/24 | 192.168.20.254 |
| 行政楼 | 30 | 192.168.30.0/24 | 192.168.30.254 |
| 图书馆 | 40 | 192.168.40.0/24 | 192.168.40.254 |
| AC1 | 100 | 192.168.100.0/24 | 192.168.100.254 |
| AC2 | 200 | 192.168.200.0/24 | 192.168.200.254 |
| AP1 | 10 | 192.168.10.0/24 | 192.168.10.254 |
| AP2 | 20 | 192.168.20.0/24 | 192.168.20.254 |
| AP3 | 30 | 192.168.30.0/24 | 192.168.30.254 |
| AP4 | 40 | 192.168.40.0/24 | 192.168.40.254 |
| 111 | 192.168.111.0/25 | 192.168.111.254 |
3.4关键技术
3.4.1 OSPF
OSPF 是一种基于链路状态的路由协议,它通过计算最短路径来确定数据包的传输路径。然而,在某些情况下,OSPF 可能会选择次优路径作为数据包的传输路径,导致网络性能下降。这种情况可能发生在网络拓扑发生变化、链路状态更新延迟或者网络拓扑设计不合理时。为了解决这个问题,可以采取一些方法来优化 OSPF 网络。首先,通过合理设计网络拓扑结构,减少链路成本和延迟,降低次优路径的可能性。其次,可以调整 OSPF 的路由优先级,优先选择更短的路径。另外,及时更新链路状态数据库并配置合适的更新频率,以确保 OSPF 能够及时发现和适应网络变化,减少次优路径的出现。
3.4.2 MSTP
MSTP在校园网络中发挥着重要作用,主要用于提高网络的冗余容错能力和性能优化。通过MSTP,网络管理员可以将网络分割成多个虚拟的子网,每个子网拥有独立的生成树,从而避免了网络中的环路,确保了数据的稳定传输。此外,MSTP还可以根据网络拓扑结构自动选择最佳的路径,优化数据传输效率,提高网络的整体性能。在校园网络中,MSTP的应用使得网络能够更好地适应不同的拓扑结构和业务需求,提高了网络的可用性和可靠性。通过合理的配置和管理,MSTP可以有效地防止网络中的广播风暴和单点故障,保障了教学、科研和管理等各项业务的连续性和稳定性。
MSTP实例以及VLAN映射如下表所示:
| 设备名 | MSTP域名 | STP实例名 | VLAN号 |
| SW5 | 1 | instance 1 | 10 |
| SW6 | 1 | instance 1 | 20 |
| SW7 | 1 | instance 2 | 30 |
| SW8 | 1 | instance 2 | 40 |
3.4.3链路聚合
本设计中,主要用于提高网络带宽、增强链路冗余和提高网络可靠性。通过将多个物理链路捆绑在一起形成一个逻辑链路,链路聚合可以将多个低带宽的物理链路组合成一个高带宽的逻辑链路,从而提升网络的整体带宽和传输速度。这对于大型校园网络来说尤为重要,能够满足带宽需求大、数据传输量大的场景,如多媒体教学、科研数据传输等。
另外,链路聚合还能提供链路冗余和故障恢复能力,增强网络的可靠性和稳定性。当某个物理链路发生故障时,链路聚合技术能够自动检测到故障,并将受影响的流量从故障链路上转移到其他正常工作的链路上,实现快速的故障恢复和无缝切换,保障了校园网络的连续性和稳定性。
图3
3.4.4 VRRP
VRRP在校园网络中扮演着关键的作用,主要用于提高网络的可靠性和冗余备份。通过VRRP,可以将多台路由器配置成一个逻辑组,其中的一台路由器被选举为主路由器,负责处理所有进出该子网的数据流量,而其他路由器则作为备用路由器,待主路由器故障时自动接管其工作。这种主备机制可以有效避免单点故障导致的网络中断,保障了校园网络的稳定性和连续性。
另外,VRRP还能提供快速的故障恢复和无缝切换能力,当主路由器发生故障或失去连接时,备用路由器能够立即接管主路由器的工作,保证了网络的持续运行和数据的顺畅传输。这对于敏感性高、对网络中断容忍度低的应用场景尤为重要,如在线教学、科研数据传输等。
图3.5
本次设计VRRP主备关系
| 设备名 接口号 | SW1 | SW2 | MSTP根桥 |
| Vlanif10 | Master | Backup | SW1 |
| Vlanif20 | Master | Backup | SW1 |
| Vlanif30 | Backup | Master | SW2 |
| Vlanif40 | Backup | Master | SW2 |
3.4.5 DHCP
DHCP(动态主机配置协议)在校园网络中扮演着至关重要的角色,其作用主要在于为网络中的设备动态分配IP地址和其他网络配置信息,从而简化了网络管理和维护工作。通过DHCP,网络管理员可以轻松管理大量设备的IP地址分配,无需手动为每个设备指定静态IP地址,从而节省了大量的时间和人力成本。
此外,DHCP还能够提供灵活的地址管理和分配策略,根据网络中设备的数量和使用情况动态调整IP地址池的大小和分配方式,以适应不断变化的网络环境。这种动态管理方式能够更好地利用IP地址资源,避免了地址冲突和资源浪费的问题。因此,DHCP在校园网络中不仅简化了网络管理流程,还提高了网络的灵活性和效率。
3.4.6无线网技术
WLAN(无线局域网)在校园网络中扮演着至关重要的角色,它为学校师生提供了便捷的无线上网服务,实现了移动办公、移动学习和移动教学等功能。WLAN的作用不仅在于提供无线接入,还能够支持大规模的设备连接,满足学校日常教学和管理的网络需求。通过WLAN,学生和教职工可以随时随地连接到校园网络,进行在线学习、教学和办公,极大地提高了工作效率和学习效果。
在校园网络中,WLAN的组网方式主要包括集中式和分布式两种。集中式组网方式采用集中式控制器管理所有的无线接入点(AP),通过控制器对AP进行集中管理和配置,实现了统一的网络策略和管理。而分布式组网方式则是将控制功能分散到各个AP上,每个AP都具备独立的控制功能,能够自主进行网络管理和控制。两种组网方式各有优劣,根据学校的具体需求和网络规模选择合适的组网方式。
图3.6
3.5网络信息点规划及设备选型
3.5.1信息点规划
综合布线系统是苗族自治县中学校园网络基础设施的重要组成部分,它连接了图书馆、阅览室、教学区、宿舍区、办公区等关键区域。在规划苗族自治县中学的校园网络综合布线时,需要考虑到各个功能区域的特定需求以及未来可能的扩展需求。以下是在实地考察后,各个地方信息点分布及数量。
图书馆
1. 服务台: 2个信息点
2. 阅览区: 每张桌子1个信息点 x 100张桌子 = 100个信息点
3. 电子资源区: 10个信息点
4. 研究室: 每个房间4个信息点 x 5个房间 = 20个信息点
5. 会议室: 每个房间6个信息点 x 2个房间 = 12个信息点
6. 办公室: 每人1个信息点 x 30名员工 = 30个信息点
7. 技术支持室: 4个信息点
图书馆总计: 208个信息点
阅览室
1. 固定座位: 每排座位2个信息点 x 20排 = 40个信息点
2. 临时座位: 10个信息点 (使用无线接入点)
阅览室总计: 50个信息点
教学区
1. 普通教室: 每间教室4个信息点 x 50间 = 200个信息点
2. 实验室/电脑房: 每间教室10个信息点 x 10间 = 100个信息点
3. 演讲厅: 每间20个信息点 x 5间 = 100个信息点
教学区总计: 400个信息点
宿舍区
1. 公共区域: 20个信息点 (使用无线接入点)
2. 宿舍房间: 每层两个信息点 x 6层 x 20房间 = 240个信息点
宿舍区总计: 260个信息点
办公区
1. 办公室: 每人1个信息点 x 200名员工 = 200个信息点
2. 会议室: 每间8个信息点 x 5间 = 40个信息点
办公区总计: 240个信息点
其他区域
1. 体育馆: 10个信息点 (使用无线接入点)
2. 食堂: 10个信息点 (使用无线接入点)
3. 校园室外区域: 20个无线接入点
其他区域总计: 40个信息点 (主要为无线覆盖)
3.5.2设备选型
接入交换机
选用华为S5720-28P-PWR-LI-AC作为苗族自治县中学网络中的接入交换机主要理由是该交换机价格适中且性能稳定可靠,非常适合中小型校园网络的需求;其次,该设备具备卓越的稳定性和可靠性,能够长时间稳定运行,保障校园网络的正常使用;此外,S5720-28P-PWR-LI-AC拥有丰富的接口数量和灵活的扩展性,具备24个千兆以太网端口和4个千兆SFP光模块端口,支持多种协议和功能,能够满足校园网的接入需求。其具体技术参数包括传输速度为56 Gbps,转发速率为41.7 Mpps,支持的协议包括STP、RSTP、MSTP、VLAN等,同时支持IPv4/IPv6双协议栈,能够满足苗族自治县中学校园网的各项需求。
图2.6
汇聚交换机
选用华为S5720-36C-EI-AC作为苗族自治县中学网络的汇聚交换机的主要理由是该设备具有优秀的性价比,性能稳定可靠且价格适中,非常适合中等规模的校园网络;其次,S5720-36C-EI-AC具备卓越的稳定性和可靠性,能够长时间稳定运行,保障校园网络的正常运行;此外,该交换机具有丰富的端口数量和强大的扩展性,具备32个千兆以太网端口和4个10千兆光模块端口,支持多种协议和功能,能够满足校园网络的汇聚需求。其具体技术参数包括传输速度为256 Gbps,转发速率为192 Mpps,支持的协议包括STP、RSTP、MSTP、VLAN等,同时支持IPv4/IPv6双协议栈,能够满足苗族自治县中学校园网的各项需求。
图2.7
核心交换机
选用华为AP7050DN-E作为苗族自治县中学网络的核心交换机的理由主要有以下几点:首先,该设备具有出色的性价比,性能稳定可靠且价格适中,非常适合中小型校园网络的核心交换设备选择;其次,AP7050DN-E具备高度的稳定性和可靠性,能够保障网络的持续稳定运行,确保教学和管理系统的正常运转;此外,该交换机具有丰富的端口数量和强大的扩展性,具备48个千兆以太网端口和4个万兆光模块端口,能够满足校园网络的大容量传输需求,并支持多种协议和功能,如VLAN、QoS、IPv6等,提供灵活的网络管理和配置。其具体技术参数包括传输速率为176 Gbps,转发速率为131 Mpps,支持的协议包括STP、RSTP、MSTP、VLAN等,同时支持IPv4/IPv6双协议栈,能够满足苗族自治县中学校园网的核心交换需求。
图2.8
无线接入控制器
在苗族自治县中学网络中选择华为AC6605-96的理由包括其高性能、可靠性和扩展性。作为一款高密度无线控制器,AC6605-96支持高达96个AP接入,能够满足学校大规模无线网络的需求。其支持的802.11ac Wave 2技术能够提供高速的无线连接,支持MU-MIMO和Beamforming等技术,提升了网络的性能和覆盖范围。此外,AC6605-96还支持灵活的部署方式,可以根据学校网络的实际情况进行分布式或集中式部署,从而满足不同场景的需求。具体技术参数包括传输速度达到10Gbps,支持的最大AP数量为96个,端口数量包括8个10/100/1000M电口和8个10GE光口,支持的协议包括IEEE 802.11ac Wave 2、IEEE 802.11n和IEEE 802.11a/b/g等,确保了其能够满足中学校园网的高速传输、大容量接入和协议兼容性的需求。
图2.9
无线接入点
在苗族自治县中学网络中选择华为AP7050DN-E的理由包括其高性能、可靠性和覆盖范围。作为一款企业级802.11ac Wave 2无线接入点,AP7050DN-E能够提供高速稳定的无线连接,支持MU-MIMO和Beamforming等技术,有效提升了网络的覆盖范围和传输速度。此外,AP7050DN-E具有强大的网络管理和安全功能,支持灵活的VLAN划分和WPA3加密,可确保校园网的安全和稳定运行。具体技术参数包括传输速度可达到2.5Gbps,支持的最大用户数量为512个,端口数量包括1个GE电口和1个GE光口,支持的协议包括IEEE 802.11ac Wave 2、IEEE 802.11n和IEEE 802.11a/b/g等,确保了其能够满足中学校园网的高速传输、大容量接入和协议兼容性的需求。
图2.10
防火墙
在苗族自治县中学网络中选择华为USG6650的理由包括其强大的安全性和灵活的网络管理功能。作为一款企业级防火墙,USG6650具有多层次的安全防护机制,包括入侵检测、应用识别、内容过滤等功能,能够有效防止网络攻击和数据泄露。此外,USG6650支持灵活的网络策略配置和VPN功能,可以根据学校网络的实际需求进行定制化设置,保障校园网的安全和稳定。具体技术参数包括传输速度可达到160Gbps,端口数量包括8个GE电口和8个GE光口,支持的协议包括IPv4、IPv6、IPsec、SSL VPN等,确保了其能够满足中学校园网的高速传输、大容量接入和协议兼容性的需求。
图2.11
4 网络模拟实现
4.1网络实现概述
校园网络的设计与实现旨在构建一个覆盖广泛、高效稳定的网络系统,以满足学校师生的教学、科研和管理需求。首先,设计需要根据学校规模和网络需求确定网络拓扑结构,通常采用分层结构,包括接入层、汇聚层和核心层,以实现网络的分布式管理和流量控制。其次,在网络设备选型上,需要考虑设备性能、可靠性和兼容性,选择适合的交换机、路由器、无线控制器等设备。在网络安全方面,采用防火墙、入侵检测系统等安全设备和技术,保护网络不受恶意攻击和数据泄露。最后,通过合理的网络规划和部署,配备适当的带宽和网络服务,确保学校网络能够稳定高效地运行,为师生提供优质的网络体验和服务。
在实施阶段,根据设计方案逐步建设和部署网络设备,包括布线、配置设备、优化网络性能等工作。同时,进行网络测试和调优,确保网络设备和服务能够正常运行和满足学校需求。在实施过程中,需注重与学校相关部门和管理员的沟通与合作,确保项目顺利推进并得到支持。另外,还需制定网络维护计划和紧急应对措施,定期检查网络设备运行状态,及时发现和解决问题,保障网络的稳定性和可靠性。
4.2网络基础配置
4.2.1接入层交换机配置
vlan batch 10 111 //创建VLAN
#
stp region-configuration //进入STP域
region-name 1 //设置域名
instance 1 vlan 10 20 111 //设置实例并绑定vlan
instance 2 vlan 30 40
active region-configuration //激活STP域
#
interface Ethernet0/0/1 //进入接口视图
port link-type access //设置接口类型
port default vlan 10 //配置接口默认VLAN
stp edged-port enable //设置完STP边缘端口
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 40 111
port-isolate enable group 1 //配置端口隔离隔离组,同一隔离组之间不能通讯
#
4.2.3核心交换机配置
vlan batch 101 to 104 106
#
dhcp enable
#
interface Vlanif101
ip address 172.16.1.2 255.255.255.0
#
interface Vlanif102
ip address 172.16.2.2 255.255.255.0
#
interface Vlanif103
ip address 172.16.5.1 255.255.255.252
#
interface Vlanif104
ip address 192.168.104.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 172.16.104.2
#
interface Vlanif106
ip address 172.16.6.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 106
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 104
port trunk allow-pass vlan 103 to 104
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/6
port link-type access
port default vlan 106
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
4.3 MSTP与VRRP配置
MSTP配置:
以汇聚交换机AW1为例
stp instance 1 root primary //设置为实例1的主根桥
stp instance 2 root secondary //设置为实例2的备根桥
#
stp region-configuration //进入STP域视图
region-name 1 //配置域名为1
instance 1 vlan 10 20 111 //配置实例1并绑定vlan
instance 2 vlan 30 40 //配置实例2并绑定vlan
active region-configuration //激活MSTP
#
VRRP配置:
以汇聚交换机SW1为例
interface Vlanif10//进入虚拟接口视图
ip address 192.168.10.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254//配置虚拟网关地址
vrrp vrid 1 priority 120//设置虚拟网关优先级
4.4 OSPF路由配置
以汇聚交换机SW1为例
ospf 1 router-id 1.1.1.1 //进入OSPF进程1,并设置路由器id
area 0.0.0.0 //进入区域0视图
network 1.1.1.1 0.0.0.0 //通告本地直连网段
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
network 192.168.100.0 0.0.0.255
network 172.16.2.0 0.0.0.255
network 192.168.111.0 0.0.0.255
#
4.5无线接入器配置
以AC1为例
iinterface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
#
capwap source interface vlanif100//配置CAPWAP隧道源地址为VLANIF 100
#
Wlan //进入WLAN视图
security-profile name tushu //设置安全模板名
security wpa-wpa2 psk pass-phrase tushu@123 aes//配置加密方式以及安全密钥
security-profile name bangong
security wpa-wpa2 psk pass-phrase bangong@123 aes
security-profile name default
security-profile name jiaoxue
security wpa-wpa2 psk pass-phrasejiaoxue@123 aes
security-profile name xingzheng
security wpa-wpa2 psk pass-phrasexingzheng@123 aes
ssid-profile name tsg //配置SSID模板
ssid tsg//设置SSID为tsg
ssid-profile name bangong
ssid bangong
ssid-profile name jiaoxue
ssid jiaoxue
ssid-profile name xingzheng
ssid xingzheng
vap-profile name tushu //配置VAP模板名
service-vlan vlan-id 111 //配置业务vlan
ssid-profile tsg //绑定SSID模板
security-profile tushu //绑定安全模板
vap-profile name bangong
service-vlan vlan-id 111
ssid-profile bangong
security-profile bangong
vap-profile name jiaoxue
service-vlan vlan-id 111
ssid-profile jiaoxue
security-profile jiaoxue
vap-profile name xingzheng
service-vlan vlan-id 111
ssid-profile xingzheng
security-profile xingzheng
ap-group name tushu //配置AP组组名
radio 0
vap-profile tushu wlan 1 //配置VAP无线射频
radio 1
vap-profile tushu wlan 1
ap-group name bangong
radio 0
vap-profile bangong wlan 1
radio 1
vap-profile bangong wlan 1
ap-group name jiaoxue
radio 0
vap-profile jiaoxue wlan 1
radio 1
vap-profile jiaoxue wlan 1
ap-group name xingzheng
radio 0
vap-profile xingzheng wlan 1
radio 1
vap-profile xingzheng wlan 1
ap-id 1 type-id 56 ap-mac 00e0-fcaf-6710 ap-sn 210235448310CF64A729//离线绑定AP
ap-name jiaoxue //设置AP名
ap-group jiaoxue //绑定AP组
ap-id 2 type-id 56 ap-mac 00e0-fcd3-1430 ap-sn 210235448310A03B6F7B
ap-name bangong
ap-group bangong
ap-id 3 type-id 56 ap-mac 00e0-fc2d-16d0 ap-sn 2102354483109C4E270B
ap-name xingzheng
ap-group xingzheng
ap-id 4 type-id 56 ap-mac 00e0-fcaf-65b0 ap-sn 2102354483100A4D7C18
ap-name tushu
ap-group tushu
4.6防火墙配置
hrp enable //使能HRP
hrp interface GigabitEthernet1/0/3 remote 172.16.10.2//配置心跳线对端地址
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 172.16.6.252 255.255.255.0
vrrp vrid 3 virtual-ip 172.16.6.254 active
service-manage ping permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 172.16.9.252 255.255.255.0
vrrp vrid 2 virtual-ip 172.16.9.254 active
service-manage ping permit
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 128.0.1.252 255.255.255.0
vrrp vrid 4 virtual-ip 128.0.1.254 active
service-manage ping permit
ipsec policy fw1 //接口下调用IPSec策略
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 172.16.10.1 255.255.255.252
service-manage ping permit
#
interface GigabitEthernet1/0/4
undo shutdown
ip address 172.17.1.252 255.255.255.0
vrrp vrid 1 virtual-ip 172.17.1.254 active//配置VGMP,active为主
service-manage ping permit //接口放行PING命令
#
interface LoopBack0 //进入本地环回口
ip address 11.11.11.11 255.255.255.255 //添加接口IP地址
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
firewall zone dmz //进入安全区域DMZ
set priority 50 //设置区域优先级
add interface GigabitEthernet1/0/3 //添加接口至安全区域
add interface GigabitEthernet1/0/4
#
ospf 1 router-id 11.11.11.11
default-route-advertise always //下发默认路由至全网
import-route static //引入静态路由
silent-interface GigabitEthernet1/0/2 //将边缘接口静默
silent-interface GigabitEthernet1/0/4
silent-interface GigabitEthernet1/0/3
area 0.0.0.1 //进入区域1视图
network 11.11.11.11 0.0.0.0
network 172.16.6.0 0.0.0.255
network 172.16.9.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 128.0.1.1//配置默认路由,下一跳指向外网
ip route-static 192.168.50.0 255.255.255.0 172.17.1.1//配置连接服务器的静态路由
ip route-static 192.168.60.0 255.255.255.0 172.17.1.1
ip route-static 192.168.70.0 255.255.255.0 172.17.1.1
#
nat server natser_7518_1 protocol tcp global 128.0.1.200 www inside 192.168.50.1 www//配置NATserver,将内网WEB服务器地址映射至公网
#
security-policy //进入安全策略视图
rule name T_D //配置安全策略名为T_D
source-zone trust //设置数据源区域为trust
destination-zone dmz //设置数据目的区域为DMZ
action permit //执行动作为允许
rule name T_U
source-zone trust
destination-zone untrust
action permit
rule name U_D
source-zone untrust
destination-zone dmz
action permit
rule name u_l
source-zone untrust
destination-zone local
action permit
rule name D_U
source-zone dmz
destination-zone untrust
action permit
#
nat-policy //配置NAT策略
rule name 1 //设置策略名为1
source-zone trust //设置策略匹配源区域
destination-zone untrust //设置策略匹配目的区域
action source-nat easy-ip //设置为源地址转换,且模式为easy-IP
#
4.7 DHCP配置
dhcp enable //开启DHCP功能
#
ip pool vlan10 //设置VLAN 10IP地址池
gateway-list 192.168.10.254 //配置网关地址
network 192.168.10.0 mask 255.255.255.0 //通告网段及掩码
excluded-ip-address 192.168.10.1 192.168.10.5 //配置保留地址
dns-list 192.168.60.1 //配置DNS服务器,随DHCP一同下发给客户端
option 43 sub-option 3 ascii 192.168.100.1 //配置option 43 下发AC源地址
#
interface Vlanif104 //进入虚拟接口视图
ip address 172.16.104.2 255.255.255.0 //添加接口IP地址
dhcp select global //配置全局DHCP
4.8IPSec VPN配置
acl number 3000 //设置ACL3000,匹配感兴趣数据流
rule 5 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.90.0 0.0.0.255
#
ipsec proposal 1 //配置ipecac协商
esp authentication-algorithm sha2-256 //配置esp认证算法
esp encryption-algorithm aes-256 //配置esp加密算法
#
ike proposal 1 //配置IKE协商
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer 1 //配置IKE对等体
pre-shared-key admin@123 //设置预共享密钥
ike-proposal 1 //绑定IKE协商
remote-address 128.0.5.1 //配置远端地址
#
ipsec policy fw1 1 isakmp //配置IPSEC策略
security acl 3000 //绑定ACL匹配感兴趣数据流
ike-peer 1 //绑定IKE对等体
proposal 1 //绑定IPSec协商
tunnel local 128.0.1.254 //设置隧道本地地址
#
5测试
5.1DHCP测试
根据规划,学校的用户终端均采用DHCP协议自动获取IP地址以及DNS服务器地址。以教学楼为例,教学楼PC终端开启后,自动获取本部门对应网段的IP地址,DHCP验证如图5.1和5.2所示:
图5.1
图5.2
图5.3
通过抓包分析可得,教学楼客户端能正常获取IP地址以及DNS服务器地址
5.2局域网连通测试
本次仿真实现了公司局域网中内网各独立部门不能网络互访,均能访问公司内网服务器,以教学楼和办公楼为例。
由以上三图可知,各部门客户端之间因为做有三层端口隔离,故不能有业务往来,各部门能主动访问公司WEB服务器,获取其中资料。
5.3 MSTP与VRRP测试
MSTP与VRRP都是在遵照高可用性设计下的产物,因此不仅需要测试各自协议是否配置正确,还要测试在某条链路断开后网络是否高可用。
如图5.4所示,汇聚层MSTP中均不存在阻塞端口,所有端口都可进行数据转发,保证核心层的高吞吐量。而阻塞端口在接入层交换机,如5.5所示,这样可以使正常情况下仅阻塞一条次优路径即可避免环路产生。
图5.4
图5.5
VRRP验证如图5.6所示,每个虚拟网关都拥有一个Master端和Backup端。经过图5.7,证明了MSTP与VRRP可以保证在单条链路故障的情况下,保证网络中断时间尽可能少。
图5.6
图5.7
5.4 OSPF测试
本次实施的校园内网通过OSPF协议同步给防火墙,使得内网用户通过DNS服务器域名解析,然后通过防火墙做完NAT以后可以实现局域网与广域网网互通。
5.5IPSec测试
由下图可以看出,主分之间跨公网通讯,数据已被加密,IPSec隧道建立成功。
小结
此次校园网的规划中,我又对网络知识的又一次系统的学习,而且是一次更完整的学习。在以前的课堂上,网络课程讲的都是关于网络原理性的内容,在实际的操作方面却很少提及。经过此次校园网的规划,学到了很多实际应用的知识。
在此次规划前期先做了项目需求分析,在此基础上寻找有效解决办法。这为以后的网络规划提供了有利的依据。在以后的规划中,以建立网络教学、办公为目标,从经济性、实用性、操作性、扩展性的原则来设计海南科技职业大学校园网。此次根据用户需求建立的网络架构,并且对以后的网络扩展也有较强的扩展性。在规划中还将新一代网络的特性和网络的发展新趋势,提高了网络的人性化,体现了以人为本的原则。但是,网络设计也有一些需要完善的地方,比如在建立服务器、防火墙的具体配置方法等方面。通过这次网络规划,丰富了我在网络方面的知识,使我学到了很多网络方面深层次的内容。特别是在网络设计、交换机、服务器方面,我有了更加丰富的知识。
标签:配置,网络,192.168,中学校园,校园网,毕业设计,interface,VPN,信息点 From: https://blog.csdn.net/m0_53035460/article/details/141612510