大家好,我是小华学长,一名计算机领域的博主。经过多年的学习和实践,我积累了丰富的计算机知识和经验,在这里我想与大家分享我的学习心得和技巧,帮助你成为更好的程序员。
作为一名计算机博主,我一直专注于编程、算法、软件开发等领域,在这些方面积累了大量的经验。我相信分享是一种双赢的方式,通过分享,我可以帮助他人提升技术水平,同时也能够得到学习交流的机会。
在我的文章中,你将会看到我对于各种编程语言、开发工具以及常见问题的解析和分析。我会结合自己的实际项目经验,为你提供实用的解决方案和优化技巧。我相信这些经验不仅能够帮助你解决当前遇到的问题,还能够提升你的编程思维和解决问题的能力。
除了技术方面的分享,我还会涉及到一些关于职业发展和学习方法的话题。作为一名曾经的学生,我深知在计算机领域如何更好地提升自己和面对挑战。我会分享一些学习方法、面试技巧和职场经验,希望能够对你的职业发展产生积极的影响。
我的文章会发布在CSDN社区,这是一个非常活跃和专业的计算机技术社区。在这里,你可以与其他热爱技术的人们交流、学习和分享。通过关注我的博客,你可以第一时间获取到我的最新文章,并与我和其他读者互动交流。
如果你对计算机领域有兴趣,希望能够更好地提升自己的编程能力和技术水平,那么请关注我的CSDN博客。我相信我的分享会带给你帮助和启发,让你在计算机领域取得更大的成就!
让我们一起成为更好的程序员,共同探索计算机领域的精彩世界吧!感谢你的关注与支持!
分享的所有计算机项目源码均包含文档,可做毕业设计或课程设计,欢迎留言分享问题,交流经验!
摘要
随着21世纪信息化程度的不断提高,教育的形式需要进行改革创新,亟待需要提高教育资源的利用程度。而校园网作为满足信息化教学环境的一项基础设施,是教育信息化建设的重要组成部分,成为高校信息化教育、网络化教学与管理的重要基础。它为师生获得更多的教育资源,丰富教育手段提供了重要的平台,是全面实现素质教育的重要手段。由计算机、网络设备和软件组成的校园网是为学校教育教学和管理服务的集成应用系统,它是校园所有计算机及附属设备互联运行的网络,通过广域网与科教网的互联实现信息交流和资源共享。
本项目以阜蒙县育才高中的网络建设为背景,研宄利用网络相关技术构建一个性能优越、具有较高稳定度、安全性的网络平台。从层次化结构设计、出口设计、地址设计、安全设计进行规划设计。在本文中采用路由技术,用于虚拟局域网的VLAN技术、用于地址隐藏的地址转换技术、用于网络结构规划的拓扑技术、网络安全技术。构建一个高效稳定的网络平台。通过按端口地址VLAN的划分、汇聚层交换机、核心层交换机的配置、防火墙策略配置、地址转换的使用、出口路由器的配置、无线网络的规划与配置,通过测试方案,显示所设计和实现的网络平台达到了预期效果。
关键词:校园网;网络规划;网络技术
With the continuous improvement of information level in the 21st century, the form of education needs to be reformed and innovated, and the utilization of educational resources needs to be improved. Campus network, as an infrastructure to meet the information-based teaching environment, is an important part of the education information construction and an important foundation for the information-based education, network-based teaching and management in Colleges and universities. It provides an important platform for teachers and students to obtain more educational resources and enrich educational means, and it is an important means to realize quality education in an all-round way. The campus network, which is composed of computer, network equipment and software, is an integrated application system for school education, teaching and management. It is a network in which all computers and auxiliary equipment on campus are interconnected and run. Information exchange and resource sharing are realized through the interconnection between the WAN and the science and education network.
This project is based on the network construction of Yucai high school in Fumeng County, and studies the use of network related technologies to build a network platform with superior performance, high stability and security. From the hierarchical structure design, export design, address design, security design planning and design. In this paper, we use routing technology, VLAN technology for VLAN, address translation technology for address hiding, topology technology for network structure planning, network security technology. Build an efficient and stable network platform. According to the division of port address VLAN, the configuration of convergence layer switch, core layer switch, firewall policy configuration, the use of address conversion, the configuration of exit router, the planning and configuration of wireless network, the test scheme shows that the designed and implemented network platform achieves the expected effect.
Key words:Campus network, Network planning, Network techniqu
目录
阜蒙县育才高级中学位于辽宁省阜新市文化路106号。学校总体面积143368.32平方米,建筑的面积为57861.29平方米,园林面积20000余平方米。教室是标准化的,宿舍是公寓,还有近年新建的标准体育馆,大型游泳池和图书馆。有完整的计算机室,实验室,电子教室,演讲室,美术室,教学工具,实验所用仪器设备,医疗药品,体育美术设备,书籍,报纸和杂志,均达到标准。所有这些都需要一个快速方便网络平台,以促进信息的传递和资源的共享。校园网络是进步发展是一个学校强大的必经之路,他不仅能提高教学水平,也能给师生提供便利,同时也是学校评价的重要标准,重要指标。
网络的发展彻底改变了生活的传统模式,也改变了大家彼此交流的方式。微信,QQ,钉钉,即时消息等已经更改了跨越时间和跨越地区的交流。商业的用途更为强大,交易更简单。各式各样的在线购物,在线支付和在线预订的出现改变了业务形式。业务表单现已更改。网络游戏,电子书和音乐的出现改变了几乎所有人的休闲生活方式。校园网络的跟新换代大大提高了教学质量,生活速度。网络信息的高速化,无论何时何地只要有网络,就能得到信息的共享,教学资源和文件。校园网络可以将课程带上网络,可以让学生随时就能学习与获得更多的资料。与以往的课堂教学相比,网络上教学可以提高教学水平,实现校园任务的公开,更能有良好的环境。老师可以通过网络向家长传递学生的在校信息,能让家在在手机和电脑上关注学生的学习与生活。
网络上的教学资源能有效的与大家共同分享。让大家通过校园网共享数据和资源。它能让学校学习和交流变的更加方便,不再花费更多的时间与费用。校园网能体现出高效率。校园的管理包括行政管理,教学管理,人力管理。网络已经实现了信息传递,资源共享,方便教学。通过网络信息共通,实现了学校师生资源的传输,接收与共享,高效化教学,为学生提供更好的教学环境,更为方便的去学习。提高教学质量。网络的进步不仅打破了以往书桌课堂的教学方法,更是代替了传统的教学方法,教师能更好的传递知识与资源。实现教学要以学生为中心,以学生的素质和成绩为重点。全心全意只为能让学生成才,让学生有更好的人生。
在美国,校园网络的建设始于1980年代。经过大概三十年的发展,在全国政府的支持重视下,校园网的发展飞速进步。校园网络能实现的功能非常庞大。许多外国高校中没有电脑未连接到Internet。每个人都有一个Internet帐户,这表明他们的网络信息资源非常丰富。以哈佛大学为例,学生人数,教职员工人数和Internet用户人数连接到网络的计算机数量非常之多,超越了本国大学的几倍。这样可以看出,校园网络已经遍布校园各地,影响着每个学生,每个老师的工作,学习与生活。目前,美国高校校园网的发展方向主要是增加人工智能。通过添加人工智能,校园网络可以为教学提供前所未有的便利,更能加深研究程度,为校园管理提供了大力保障。
由于国内信息发展较慢,、校园网络建设时间短,基础相对比较差,发展速度和规模都比美国差。但是,国内大学校园网络的建设正在加速国内知名大学的校园网络建设的规模和技术都已经达到全世界先进水平。经过近二十年的发展,清华大学的校园网络已经覆盖了校园所有角落,让师生无时无地能感受到校园网络的存在。注册用户近一万人,在线人数为10,000至13,000。北京大学的校园网络目前是大学中规模最大的。有47,000台计算机连接到Internet,并且有25,000个在线用户。网络的飞速发展,使得国内所有的大学都建设自己的校园网,只为便利大家的工作与学习环境,学生有更好的教育才能快的进步,校园网真正的改变了国内的教育环境。随着国家对教育的重视和对教育的支持,教育部将投资9亿元人民币建设西北校园网。
2 网络需求分析
2.1网络需求功能分析
(1)实现内部网络和外部网络之间的访问控制,控制所有传入和传出通道,不仅过滤外部网络上的信息,还过滤内部用户继续发送的请求和各种数据,他只允许发送或接收与安全策略一致的信息。
(2)建立网络漏洞的分析,用户行为需要监视和分析,并警告可能的攻击。
(3)不同资源的机密性也不同,要进行机密文件分级,形成分级保护,特别重要的要采取高度保护和管理。
(4)由于学生无法正确操作更多的软件应用程序,因此大量带宽以不受控制的方式使用。必须有机制地管理带宽,以确保关键应用程序的正确使用。
(5)接入层是与用户连接的接口。所选的接入层交换机应具有相对完整的功能,例如某些安全控制功能,支持技术,端口隔离和防攻击。
(6)核心层必须满足接入层交换机的数据传输要求。
(7)无线网络完全覆盖学校教学楼,图书馆,体育场和自助餐厅。
(8)只有授权登录才能使用网络资源。校园网络应配备在线防病毒系统。
2.2建网原则
(1)“总体规划,分步实施”的原则。在校园网络建设中,应有总体的观念,从总体设计出发,规划每一个细节,根据学校的现状和实际应用需求,充分考虑总体需求,先明确需求分析,根据学实际应用需求,在满足实际现状的情况下,为了满足需求,我们还应考虑将来实际增加应用程序节点数,增加节点数,网络升级等,并努力在不浪费原始资源的情况下增加应用程序数。节点易于添加,升级和维护简单,并且建设和维护成本低。在分步实施中,坚持从中心到分支点的原则,在总体设计的基础上完成局域网的实现过程,并坚持与局部总体规划和原则相同的原则。设计。实施过程。
(2)进步的原则。在规划和设计过程中,我们必须确保该技术是先进的和前瞻性的,并且该技术将在未来几年或十多年内保持竞争力。未来使用的网络技术将保持领先地位或促进该技术的未来发展,因此使用的先进网络技术具有未来发展的潜力,公园网络需要长期考虑,以避免重复使用。投资。
(3)可伸缩性原则。校园网规划设计应建立一个具有完整集成,灵活组网和灵活组网的平台。在规划和设计时,此级别应灵活。选择设备时,必须选择具有良好兼容性和可伸缩性的网络设备。为将来的网络升级或扩展做充分的准备。
(4)统一原则。在网络规划和设计中坚持统一设计,统一标准,统一实施,从整体到局部坚持统一设计,在设备选型中坚持统一标准,在实现过程中坚持统一实施局部统一。
(5)成熟度原则。无论使用软件还是硬件,所使用的网络设备所使用的技术标准都必须成熟。请保留技术缺陷或使用过程中的缺陷,以确保网络成熟。
(6)开放原则。校园设计中应考虑设备和技术的开放性。设备的选择可以与不同拓扑和不同制造商的标准兼容,以实现设备的统一管理。
2.3环境分析
随着校园中各种业务应用程序逐渐转移到计算机网络,网络通信的不间断运行已成为
保证企业正常生产经营的关键。现代企业网络应从可靠性设计的三个方面进行测试关注:首先是设备级可靠性设计,不仅要检查网络设备是否已实现关键组件的冗余从网络设备的整体设计架构,处理引擎的类型等方面进行复制;第二是业务的可靠性在设计时,这里要注意在故障切换过程中网络设备是否对业务的正常运行有影响;再次链路可靠性设计,以太网链路安全性来自其多路径选择,因此在构建企业网络时应该考虑网络设备是否可以提供有效的链路自愈方式和快速重路由协议支持。
在校园网中,存在各种各样的网络设备和系统应用环境,并且考虑到网络设备的可扩展性,有必要考虑当今用户的快速增长。确保在网络设备多样化且用户不断增加的网络中,网络仍然可以保持畅通。因此,10 Gb骨干网平台应该具有良好的兼容性和可扩展性,并且可以与当前的校园网络无缝连接。同时,预留的空间可以满足当前和未来信息建设的需求,并具有足够的升级空间。校园网建设中有多个用户和多个服务。为网络系统要求带来高效率,以确保在大数据量访问下的有效处理能力。设备需要能够根据需求对数据进行分布式处理。这样的分布式处理可以节省主交换引擎的消耗。可以在单独的板上识别数据,这比中央处理器快得多。并且在大量数据应用中,在数据传输过程中,必须确保所有硬件设备都能快速转发,必须具有较高的背板带宽(交换能力),并且所有端口都可以保证线速转发。这种分布式处理可以大大提高整体处理能力并确保网络畅通。
2.4 安全分析
在校园网中,对于校园网的安全性非常重要:校园网的信息点分布广泛。与一般企业网络相比,园区网络用户移动性高,信息点存在随机访问和使用的问题。学生和外部身份不明的用户可以在校园网络上找到任何信息点,然后他们可以进入校园网络,这可能会破坏并破坏校园网络平台和应用程序系统的正常运行。另外,园区网的网络安全还需要考虑外部网络和内部网络不同应用系统之间的安全访问控制。为了能够在安全事件后快速有效地处理事故,有必要使用在线审核。由于当前像“冲击波,冲击波病毒”一样猖狂,因此强大的网络应提供必要的手段来阻止特定病毒的传播以及由于病毒引起的流量拥塞。
2.5建网目标
(1)校园网的骨干网采用10 Gigabit,所有办公区和教学区都连接到校园网,实现了校园网的全覆盖。使分散在园区不同区域中的计算机互连以形成统一的网络,并实现10 G的核心网和100 G的桌面网。
(2)建设数字化校园,为学校各部门,教学部门,党和群众部门,行政管理部门的教学管理工作提供便捷,高效的信息服务和良好的沟通保证。
(3)教学和研究服务。具有网络规模大,用户数量大,网络结构复杂,业务类型多样的特点。网络建设需要网络安全系统的建设,以确保公共资源和学校基本数据资源的安全。
(4)网络设备的选择需要协议和协议标准的支持,可以与网络或网络互连,为顺利过渡到网络做好准备,并保持学校在教学和应用方面的先进性。未来的网络技术。
(5)考虑到网络的兼容性,未来网络的扩展将出现不同厂商的网络设备。为了确保网络的平滑性,请选择兼容性好的网络设备。
3网络逻辑设计
3.1技术选择
3.1.1局域网网络技术选择
以太网具有组网简单,设备便宜,带宽大,吞吐量大的特点。它是使用最广泛的局域网技术。与其他局域网技术相比,以太网具有以下优点:简单:与FDDI和ATM技术相比,以太网从技术原理,安装和构造到管理和维护都相对简单。网络节点的增加,减少和移动非常简单和灵活。可靠性:以太网采用星形拓扑结构,网络节点通过接入交换机汇聚到网络中。每个节点的故障不影响网络的运行,数据链路的故障仅影响网络节点的一小部分,不影响整个网络,可靠性高。可扩展性:学校的现有网络采用以太网结构,并继续使用一些当前的网络布线和网络设备。而且以太网从100兆字节升级到千兆,几乎只需将千兆字节升级到10兆网络设备,网络升级非常容易。经济:由于以太网的广泛应用,所有网络制造商都在争先生产以太网产品。与FDDI和ATM网络设备相比,以太网网络设备的价格优势非常明显。而且所有PC和笔记本电脑都将以太网卡用作默认配置,以太网技术的经济性不言而喻。可管理性:与其他局域网技术相比,以太网技术更易于理解和学习,技术人员的培训也更容易。另外,市场上有许多用于以太网的管理软件,这也为以太网的管理和维护提供了便利的条件。总而言之,以太网技术可以提供一种相对经济,简单,可扩展和可维护的解决方案。作为校园网解决方案,性价比很高。目前,快速以太网可以达到100Mbps的传输速率,完全可以满足客户对访问速度的要求,并且可以用作访问层的解决方案。千兆以太网可以达到1000Mbps的传输速率,可以满足骨干网的数据传输速率要求,可以作为汇聚层的解决方案。此外,10 Gb以太网技术也相对成熟,但由于成本原因尚未得到广泛使用。如果将来网络带宽不足,则可以通过升级网络设备在本地或全局将校园网络升级到10 Gb以太网。
3.1.2拓扑结构选择
拓扑图选择的是
3.2校园网层次设计
阜蒙县育才高级中学校园网以建设高效,高稳定性的数字化校园为教学和师生服务的原则为基础。考虑到设备选择中的后续构造和开发,为避免将来浪费重复投资,当网络弹性增长时,设备需要能够支持将来的访问需求。同时,出口设备可以满足著名学校运行环境的在线要求,并且在学校的特殊区域使用无线覆盖。学校校园网采用三层网络架构设计。接入层交换机负责用户访问。用户数据通过建筑物聚合层聚合,并通过核心层转发。
3.2.1接入层设计
提供用户访问权限,并在访问层中集成交换,安全性和功能。千兆交换机用于园区网络的接入层设备中,以满足性能要求,并防止对其他大规模病毒的干扰。接入层对密集端口的需求很大。连接交换机有两种主要方法,一种是堆叠,另一种是级联。级联用普通的双绞线连接两个交换机的级联端口或普通端口,以实现扩展。堆叠使用专用的堆叠电缆或堆叠模块来实现交换机连接。接入层交换机采用S5120智能交换机,传输速率支持100 / 1000Mbps,背板带宽达到192Gbps,满足接入层带宽要求。支持VLAN划分,支持多种认证方式。
3.2.2核心层结构设计
汇聚交换机采用S5800汇聚层交换机,可支持10个千兆端口的传输能力。 S5800是10 Gb以太网交换机。交换方法是存储和转发。传输速率为10Mbps / 100Mbps / 1000Mbps。数据包转发的主要功能是将来自聚合层的数据包进行路由,以实现数据包的高速交换。在核心层设计中,在汇聚层和接入层实现了高速数据交换技术,弱化路由技术以及数据过滤和QQS处理等网络控制策略。为了确保核心层的高速交换能力,应降低核心层的复杂度并减少交换延迟时间。在网络规划和设计中,核心层是主要部分。选择设备时,应使用高可靠性和高稳定性的设备,以确保其高速转发能力。因此,考虑到未来的高度灵活性和可扩展性,学校的网络中将使用10个千兆核心设备。
核心层的主要功能是路由来自聚合层的数据包并实现高速数据包交换。校园网中的高速交换是核心骨干网的主要任务,并且路由相对简单。为了避免核心层路由配置的复杂性,核心层应选择“强交换和弱路由”的网络体系结构,并尝试将其他任务(如包过滤)放到其他层。网络的核心层是阜蒙县育才高级中学整个校园网络的核心。这是学校工作的基础。最终,每个区域中的设备都连接到核心设备,下游的千兆光纤用于连接汇聚交换机,从而形成10千兆位无阻塞高速转发骨干网。
核心设备采用S7508E-X多层多平面交换架构交换机。 S7508E-X交换机具有良好的控制能力,可确保设备稳定高效地运行。核心交换机业务模块采用LSQ1TGS8SC0,并具有8个10 Gigabit SPF光纤接口。整个机器的容量为3.84Tbps,IPV4转发数据包的速率为1920Mbps,服务插槽的数量为8。网络配置中心中安装了核心交换机,使用双引擎,双电源配置和汇聚层设备连接到核心层设备,市场宽度为千兆位/十万亿。核心层设备主要完成数据转发,并在核心层设备中配置相应的IP地址,并划分VLAN。分别连接每个汇聚层。
3.2.3汇聚层设计
从上面继承的关键设备,在确保它可以可靠地承载较低层的高层突发信息业务的访问的同时,还必须满足核心高带宽链路的要求,以确保网络交换的高质量和高效率。每个教学应用程序的处理。智能标识的控制也被添加到聚合层,从而使管理员可以了解和掌握当前网络。
汇聚交换机采用S5800汇聚层交换机,可支持10个千兆端口的传输能力。 S5800是10 Gb以太网交换机。交换方法是存储和转发。传输速率为10Mbps / 100Mbps / 1000Mbps,数据包转发速率为156Mpps,交换容量为360Gbps。 ,支持WEB管理,支持SNMPv1 / v2 / v3,支持IEEE802.3u网络标准。支持端口,协议,MAC地址,IP子网和其他VLAN划分方法。支持静态路由,RIP,OSPFv2和其他路由协议。聚合层交换机在学校校园网络的三层体系结构的继承中起作用。在确保10G上行数据高带宽的同时,还确保了突发数据流量在聚合时在接入层的传输,以确保其可靠性和可用性。
3.3网络IP地址规划与设计
3.3.1网络IP地址规划
路由器和核心层,聚合层和访问层都需要支持,这为园区网络的可伸缩性和灵活性提供了条件。在当前规划和使用校园网建设中,仍然使用地址。地址规划时,根据校园区域进行划分。园区网络按功能或地区划分为多个区域,在地址规划过程中,在功能和可伸缩性方面更易于实现和管理。根据在线计算机的功能或区域计算机地址的数量和类型。地址分配应基于网络拓扑和网络的灵活性。在地址规划期间,应结合部门配置相关的地址段和地址范围,以方便管理。在网络维护和管理过程中,很容易管理和排除故障。无线网络地址采用邻近原理实现地址规划。
3.3.2网络IP地址规划的目标和原则
IP地址规划的目标是:充分利用好不富余的IP地址资源;建立有着优秀效率的的网络路由;推动网络的发展。
IP地址规划的原则是:
- 简易性:IP地址分配应简单明了,避免在主要网络上采用较为复杂的掩码。
- 连续性:为一个网络区域分配一串接连不断的地址,以此增加路由器的处理速度。
- 可扩充性:为一个网络区域分配的地址应该具有一定的容量,便于在以后终端数量进一步增多时还能够保障地址的连续性。
- 可管理性:地址的规划应该有主次之分,某个区域的地址的变化不能影响全局。
- 安全性:网络地址应该按工作内容规划到不同网段以便进行管理。
3.3.3网络IP地址设计
针对校园网的有线网络,网络管理员常通过VLAN来划分广播域,区分用户群体。
以下是对学校的IP地址分配与VLAN的划分情况,如表3-1所示:
VLAN编号 | 网络地址范围 | 子网掩码 | 建筑物 |
VLAN10 | 192.168.10.0~192.168.10.254 | 255.255.255.0 | 综合教学楼 |
VLAN20 | 192.168.20.0~192.168.20.254 | 255.255.255.0 | 学生公寓1 |
VLAN30 | 192.168.30.0~192.168.30.254 | 255.255.255.0 | 学生公寓2 |
VLAN40 | 192.168.40.0~192.168.40.254 | 255.255.255.0 | 学生公寓3 |
VLAN50 | 192.168.50.0~192.168.50.254 | 255.255.255.0 | 学生公寓4 |
VLAN60 | 192.168.60.0~192.168.60.254 | 255.255.255.0 | 学生公寓5 |
VLAN70 | 192.168.70.0~192.168.70.254 | 255.255.255.0 | 学生公寓6 |
VLAN80 | 192.168.80.0~192.168.80.254 | 255.255.255.0 | 学生公寓7 |
VLAN90 | 192.168.90.0~192.168.90.254 | 255.255.255.0 | 教师公寓1 |
VLAN100 | 192.168.100.0~192.168.100.254 | 255.255.255.0 | 教师公寓2 |
VLAN110 | 192.168.110.0~192.168.110.254 | 255.255.255.0 | 教师公寓3 |
VLAN120 | 192.168.120.0~192.168.120.254 | 255.255.255.0 | 食堂 |
VLAN130 | 192.168.130.0~192.168.130.254 | 255.255.255.0 | 文体中心 |
VLAN140 | 192.168.140.0~192.168.140.254 | 255.255.255.0 | 图书馆 |
VLAN150 | 192.168.150.0~192.168.150.254 | 255.255.255.0 | 艺术楼 |
VLAN160 | 192.168.160.0~192.168.160.254 | 255.255.255.0 | 服务器 |
表3.1 学校IP地址分配及VLAN划分
4网络物理设计
4.1网络物理设计的目标和原则
在网络的物理设计阶段,所选的硬件设施必须能够满足逻辑设计的基本性能要求,并且还需要考虑设备的可伸缩性,冗余性,稳定性和可用性等因素。该设备还需要强大的可操作性。一个功能。在规划路线布局时,有必要考虑到未来20年内不断增长的需求,并能够在未来一段时间内完全适应开发条件。如果不确定某些情况,则必须进行全面的现场检查。
4.2设备选型
4.2.1核心交换机选型
核心层交换机主要应考虑交换能力和可靠性,因此应选择从设汁上无单点故障的产品。
经过综合考虑,华为Quidway S9306被选为阜蒙县育才中学校园网的核心交换机。 Quidway S9306采用模块化设计,支持6个服务插槽,背板带宽为6Tbps,数据包转发速率为1152Mpps,并且单个设备支持240个10千兆端口,这将为将来的园区网络核心层升级到10G提供可能。 Quidway S9300系列交换机可提供电信级的高可靠性。主控制器,电源和其他关键组件均经过冗余设计,所有组件均支持热插拔。因此,当网络拥塞时,可以减少服务中断,可以进行无损服务升级,可以支持完整的运行和维护检测以及性能管理,并且可以统计收集数据传输延迟,系统抖动和其他参数,实时监控网络流量和故障快速定位。另外,S9306还支持无线控制器(AC)卡,支持无线接入点(AP)联机时自动选择传输通道和电源,并在信息冲突时自动调整通道或电源。当跨点接入漫游时,无线设备会快速切换,并且无线AC具有一对一,一对多的冷待机以及均衡的负载以提高可靠性。华为Quidway S9306交换机如图4.2.1所示
4.2.1 华为Quidway S9306交换机
4.2.2汇聚层交换机选型
聚合交换机聚合并转发访问交换机的流量。除背板带宽外,接口类型应与接入交换机的上游接口匹配。应支持链路聚合,VLAN间路由和相应的安全策略。
阜蒙县育才中学的聚合交换机选择了华为Quidway S5700-28C-EI-24S。该交换机是三层交换机。在接口方面,该模型提供24个100 / 1000Base-X端口和4个10/100 / 1000Base-T千兆组合端口,以满足汇聚交换机多光纤链路的上行链路输入要求;在VLAN支持方面,它支持默认VLAN,语音流VLAN,基于MAC地址的VLAN划分,智能子网,策略,端口以及一对一和一对多VLAN交换。可以满足接入交换机的VLAN聚合,路由等管理需求;在网络管理中,它支持堆栈,远程登录配置,简单的网络管理协议,群集管理以及端口接收和发送数据包速率的控制。在安全管理方面,它支持用户角色管理和密码保护,拒绝服务,地址解析,ICMP攻击防范,IP地址,MAC地址,端口号,VLAN组合绑定,端口隔离和802。限制单个端口上的用户数,完全满足阜蒙县育才高中融合层的连接和管理要求。
华为Quidway S5700-28C-EI交换机如图4.2.2所示。
图4.2.2 华为Quidway S5700-28C-EI交换机
4.2.3接入交换机选型
层交换机主要考虑接入成本,并应提供高端口密度和可扩展性。此外,它应提供简单的网络管理功能(例如:VLAN确定,MAC绑定,流控制等)。
考虑到多种因素,选择了华为的Quidway S2700-EI(AC)交换机作为阜蒙县育才高中的接入交换机。交换机提供24个10 / 100Base-TX端口,2个千兆组合端口,可堆叠,背板带宽3Gbps,数据包转发速率6.6Mpps,支持基于端口和基于MAC地址的VLAN划分,支持IP,MAC,端口,VLAN组合绑定,支持端口速度限制和流速度限制,支持端口聚合,支持Telnet,SSH,支持远程用户拨号认证系统Radius,支持网络访问控制NAC,可以访问每个端口的用户数限制。
华为Quidway S2700-EI交换机如图4.2.3所示。
图4.2.3 华为Quidway S2700-EI交换机
4.2.4防火墙选型
防火墙位于园区网络的入口,用于控制对内部网络的内部流量访问和对园区资源的外部流量访问。防火墙的安装位置和角色决定了其重要性。防火墙的选择应充分考虑其可靠性,吞吐量,并发连接数,每秒新连接数,访问控制功能,基于流的状态检测,应用程序软件监视和攻击防范功能。
综合考虑多种因素,阜蒙县育才高中学校园网防火墙采用华为USG5150,这是一款3U机架式设备,采用模块化设计。标准配置是4GE Combo端口,4个MIC扩展插槽,2个FIC扩展插槽和一个DFIC扩展插槽,可以灵活地适应网络结构的变化。采用先进的多核处理器和多线程并行处理机制,吞吐量高达4Gbps,最大并发连接数为200万,新连接数为每秒40,000,可以有效减少网络延迟并改善用户体验。支持各种形式的VPN访问,可以轻松实现远程访问。此外,USG5150集成了先进的Symantec和IPS以及防病毒技术,可以提供高效,准确的网络数据包扫描功能。它还具有针对流量中隐藏的病毒的高效,准确的防病毒功能。应用程序识别功能可以确保对网络流量的精细控制,并确保核心和业务带宽。 URL过滤,搜索引擎关键字过滤和页面关键字过滤可以规范Intranet的互联网访问行为,并完全满足园区网络流量管理和保护的要求。
图4.2.1为华为USG5150防火墙的外观。
图4.2.1USG5150防火墙
4.3网络综合布线设计
4.3.1综合布线的设计原则
网络线路的铺设是决定网络正常运行的重要方面。它必须符合相关的行业标准,具有标准性,标准化性和可扩展性,并保证校园网络的可靠运行。阜蒙县育才高中的综合布线分为工作区子系统,水平子系统,垂直子系统,管理子系统和建筑子系统。
4.3.2工作区子系统
工作区子系统由一个信息套接字和一个从用户终端到信息套接字的跳线组成。它包括一个数据模块,一个信息面板,一个网络接口卡和一个跳线。也就是说,信息插座安装在信息点接入区域的墙壁或地面上,电话插座和网络电缆可以通过信息插座引出。根据该区域信息点的数量,信息插座采用1/2/4端口墙面板,面板应配备防尘装置。所有信息模块都使用六种类型的信息模块,它们与千兆以太网兼容。信息模块的接线顺序遵循TIA / EIA 568B标准。每个插座都可以连接到计算机和办公设备,例如电话,传真机和打印机。信息插座的每个输出接口应配有明显且易于更换的标签,以对信息输出端口进行编号,以方便维护。标签的颜色可以区分信息端口是语音端口还是数据端口。工作区的信息插座应安装在墙壁或工作站上,信息面板的下边缘应距地面30厘米。信息插座附近应有一个220V电源插座,以供使用信息设备。为了防止强电磁干扰,根据ISO11801的规定,信息插座与强电插座之间的距离不应小于20厘米。
4.3.3水平干线子系统
水平子系统由从地板布线室到工作区域子系统的电线组成。水平子系统的接线很重,不容易升级和更换,并且是永久性的。因此,应考虑过剩和发展。该设计还考虑了诸如短期和长期设备访问需求,每个楼层和每个房间中信息点的数量和位置,信息访问点的可能移动以及修改的预测等因素。布线室的选择应尽可能位于地板的中央,这样不仅可以节省电缆,而且可以获得更好的传输效果。对于信息点很少的楼层或跨度较小的建筑物,无需在每个楼层上安装布线室。一间房间可以在两层或三层之间共享,但每栋建筑物中至少应安装一个布线室。在某些区域(例如学生宿舍走廊,教学楼,办公楼走廊,操场或其他室外开放空间),应在每层布线室配备无线网络电缆,并通过配线架将其连接到无线设备。水平子系统中双绞线的最大长度不能超过90米,并确保将不少于10米的电缆长度分配给工作区跳线,并将配线架分配给开关跳线。阜蒙县育才高中园网的水平子系统工程管理采用PVC桥架和线槽敷设,桥架安装在走廊顶棚上方。
4.3.4垂直干线子系统
垂直子系统用于实现建筑物主布线室与地面布线室之间的连接。从主布线室到每层布线室,分别使用6芯室内多模光纤访问交换机到汇聚交换机的数据链路。大对数电缆芯的数量是根据地板布线室中语音点接入的数量设置的,并留有适当的剩余量。垂直子系统电缆位于弱电流轴中。为了减少电磁干扰并防止电缆松动,电线槽应该是带有盖板的金属电线槽,该盖板可以绑在钢丝绳上。插槽填充率应控制在50%以内,以便将来扩展。
4.3.5建筑物子系统
建筑物子系统是计算机机房和网络中建筑物之间的线路。该部分可以基于地形,例如高架电缆,直接埋入的电缆或地址管道内的电缆。架空建筑成本低,但不能提供机械保护并影响建筑物的外观。不建议使用大量的技巧。管道的内螺纹可提供最佳的机械保护,并且电缆的铺设和扩展相对容易,但是如果没有现成的管道,则安装成本会更高。辽宁工业大学可以通过校园内的供热管道将任意两座建筑物连接起来,因此建筑物之间的室外光缆可以放置在地面上。考虑到在沟渠中铺设管道的成本相距较远,因此,管线的铺设和固定并没有通过绑扎的方式加以保护。
4.3.6管理间子系统
管理子系统位于网络中计算机机房的地板布线室,主布线室和建筑物的机柜中。语音信息点电缆连接到6型RJ45信息模块,并安装在信息点配线架上。语音信息点配线架通过跳线连接到分机号码配线架。分机号配线架通过110配线架连接到大量电缆。数据信息点电缆也可以在六个RJ45信息模块上播放,并安装在信息点配线架上。数据信息点分布框架通过跳线连接到接入交换机,然后通过光纤上行链路将接入交换机连接到汇聚交换机。光纤应熔接到光纤配线架上,然后通过跳线连接到交换机的上游端口。所有线路都连接到相应的信息模块,并安装在相应的配线架上。数据配线架和光纤配线架安装在机柜中。同时,机器中应留有相应的空间以安装网络设备。
5网络安全设计
5.1网络安全设计的目标和原则
网络安全是防御各种外部和内部威胁以确保网络安全的过程。网络安全设计的目标:确定设备和数据资源以确保完整性;对整个网络进行威胁评估,以确保数据的机密性,完整性和可用性;使用数据机密性,完整性和可用性来冒险进行网络评估。
网络安全设计的原则:
(1)木桶原则
桶的原则是统一,全面地保护信息。由于枪管的最大容量取决于最短的一块木头,因此攻击者将不可避免地攻击系统的最薄弱部分。因此,全面,全面,完整地分析,评估和检测系统的安全漏洞和安全威胁,是网络安全设计的必要条件。
(2)整体性原则
当网络受到攻击或破坏时,园区网络需要尽快恢复网络信息中心的服务,以减少损失。因此,网络中应包括安全保护机制,安全监视机制和安全恢复机制。
(3)安全性评价与平衡原则
对于任何网络来说,绝对的安全都是很难实现和不必要的,因此有必要建立一个合理实用的安全和用户需求评估与平衡系统。安全系统的设计要求正确处理需求,风险和成本之间的关系,以及安全性和可用性的集成。评估信息是否安全只能取决于系统的用户需求和特定的应用环境,具体取决于系统的规模和范围,系统的性质以及信息的重要性。
(4)标准化与一致性原则
校园网的建设是一个相对复杂的项目。它的网络安全设计必须遵守一系列标准,以确保各个子系统的一致性,以便整个系统可以安全地互连和共享信息。
(5)统筹规划、分步实施原则
在各种因素的影响下,网络安全保护不能一step而就,而是要根据网络的实际需求,在更全面的安全计划下,首先建立基本的安全体系,以确保基本和必要的安全性。随着网络规模的扩大和应用程序数量的增加以及网络应用程序和复杂性的变化,网络的脆弱性将继续增加。调整或增强安全保护,以确保整个网络的最基本的安全要求。
5.2网络基本攻击的预防
网络中存在许多网络病毒和网络攻击,它们会给网络造成不可预测的损失,因此我们必须防范这些潜在的危险。
(1)对于常见网络病毒的预防
如果遇到对网络非常有害的网络病毒,则可以部署扩展的ACL,以防止这些病毒使用的TCP和UDP端口。如果用户不小心感染了这种病毒,将不会影响网络中的其他用户,从而确保校园网络带宽的合理使用。
(2)对于未知网络病毒的预防
如果遇到无法识别的网络病毒,则可以根据网络中数据流的类型部署带宽控制功能,以为不同的网络应用程序指定不同的网络带宽,从而确保某些更关键的应用程序具有足够的带宽。病毒的出现,不会影响主要网络应用程序的运行,从而确保网络的高可用性。
(3)对于IP地址盗用和ARP攻击的预防
请对每个ARP报文进行深入检查,即检查ARP报文中的源IP地址和MAC地址是否与端口安全规则相同。如果不相同,则会更改IP地址,并且所有数据包都无法进入网络。使用此方法可以有效防止安全端口上的ARP欺骗,并防止非法信息点冒充关键网络设备的IP,从而引起网络通信混乱。
(4)预防假冒IP、MAC发起的攻击
可以安装IP,MAC,端口绑定和IP + MAC绑定。并实现端口反检查功能,跟踪源IP,MAC访问和恶意用户。通过欺骗源IP / MAC地址有效地防止网络攻击,从而进一步增强网络安全性。
(5)屏蔽DOS攻击和扫描攻击
可以在校园网络中进行Anti-DOS攻击和扫描攻击,从而可以有效地避免此类攻击,节省网络带宽,避免网络设备和服务器遭受此类攻击而造成的网络中断。
5.3防火墙设计
(1)配置接口,将防火墙放在出口位置,一方连接核心交换机,一方连接外网,以起到监控外网,防护内网的作用。
[FW]interface loopback 0
[FW-LoopBack0]ip address 1.1.1.1 32
[FW-LoopBack0]quit
[FW]interface GigabitEthernet1/0/0
[FW-GigabitEthernet1/0/0]ip address 202.1.1.1 24 //配置和ISP1外网相连的接口的IP地址
(2)将连接内网的接口加入到安全区域,将连接外网的接口加入到非安全区域。
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet0/0/0 //将连接内网的 GigabitEthernet0/0/0加入安全区域
[FW-zone-trust]quit
[FW]firewall zone untrust
[FW-zone-untrust]add interface gigabitethernet 1/0/0 //将连接ISP1的接口gigabitethernet 1/0/0加入非安全区域
[FW-zone-untrust]quit
(3)配置安全策略,使得内网用户能够访问外网,并且能够使外网用户访问HTTP服务器。
[FW]security-policy
[FW]-policy-security]rule name trust_to_untrust //允许内部网络用户访问外网
[FW-police-security-rule-trust_to_untrust]source-zone trust
[FW-police-security-rule-trust_to_untrust]destination-zone untrust
[FW-police-security-rule-trust_to_untrust]source-address 192.168.58.0 24
[FW-police-security-rule-trust_to_untrust]source-address 192.168.24.0 24
[FW-police-security-rule-trust_to_untrust]source-address 192.168.21.0 24
[FW-police-security-rule-trust_to_untrust]source-address 192.168.6.0 24
[FW-police-security-rule-trust_to_untrust]source-address 192.168.16.0 24
[FW-police-security-rule-trust_to_untrust]action permit
[FW-police-security-rule-trust_to_untrust]quit
[FW-policy-security]rule name untrust_to_trust
[FW-police-security-rule-untrust_to_trust]source-zone untrust
[FW-police-security-rule-untrust_to_trust]destination-zone trust
[FW-police-security-rule-untrust_to_trust]destination-address 192.168.120.0 24
[FW-police-security-rule-untrust_to_trust]action permit
[FW-police-security-rule-untrust_to_trust]quit
6网络仿真测试
6.1 仿真测试拓扑图
基于课题的仿真测试采用华为ENSP模拟器进行搭建,出口边界为防火墙,下联两台核心交换机进行VRRP网关冗余协议配置,同时双DHCP冗余备份,旁挂服务器区域,区域内有HTPP服务器和DNS服务器,DNS服务器映射外网域名解析;汇聚交换机与核心交叉互联,达到链路冗余的作用,接入交换机根据楼层分配,终端具体的VLAN划分就是在接入交换机上进行。
图6-1 仿真测试拓扑图
6.2 VLAN间通信测试
VLAN划分可以简化网络管理,同时隔绝广播域的作用,不同VLAN默认是不能互相通信的,如果需要相互通信的话必须经过网关转发。下图为不同VLAN之间相互通信测试。
图6-2 VLAN之间通信测试
6.3DHCP测试
采用DHCP可以自动的给终端分配IP地址,能够充分的利用IP地址,避免IP地址的浪费。
图6.2 DHCP配置测试
6.4 OSPF测试
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短构造路由表。路径本次校园网络规划将出口防火墙和核心交换机划分为骨干区域,将各个汇聚层交换机以及以下的终端划分到Area1中,再将Area 1配置为NSSA区域,用以减少LSA在区域间的传播。
如下图所示将出口防火墙和核心交换机划分到了骨干区域。
图6-3防火墙OSPF邻接状态
如下图所示防火墙上学到的OSPF路由。
图6-4 防火墙路由表
6.5 HTTP服务及DNS测试
服务器开放HTTP服务和DNS域名解析,内外网都可通过域名来对http服务器进行访问。
下图为内外网通过web访问域名进入HTTP服务:
图6-5 内网通过域名访问HTTP服务器
下图为公网使用DNS服务器解析域名访问HTTP服务器:
图6-6 公网通过DNS域名解析访问内网HTTP服务器
6.6 VRRP状态及切换
VRRP就是让两台设备共同维护一个虚拟网关,现网所创建的网关地址是不存在的,当主设备宕机后,备设备可立即进行切换从而接替主设备进行网关转发。
图6-7 VRRP状态
6.7 局域网访问互联网连通性测试
内网通过边界防火墙源地址转换策略访问公网,当内网终端流量数据到达边界防火墙时,防火墙将源地址转换为自身出接口地址进行访问,当数据回包时再将目的地址转为本地终端。
图6-8内网访问公网
6.4总结
本文对高校校园网进行了具体的分析研究,并分析了相关问题。然后,具体规划了阜蒙县育才高级中学校园网,从层次上将其分为核心层,汇聚层和接入层,从技术角度将其分为路由技术,交换技术和边界网络。视图。从这两个主要方向,我们将首先分析抚蒙县育才中学高中校园网络中遇到的相关技术,基于网络的第三层进行设计规划和设备选择,最后进行具体部署。部署网络后,使用仿真软件对网络进行仿真,获得了第一批数据,证明了阜蒙县雨蒙中学校园网的设计能够保证网络的基本稳定性。下一步工作是通过抚蒙县育才中学的总体设计,实现校园网络安全,高性能和可扩展性的要求。尽管这次设计的网络可以满足抚蒙县玉盟高级中学的需求,但随着科学技术的发展,学校对网络需求的变化,网络黑客技术的改进,技术等因素影响网络的发展我们必须时刻注意适应大型网络的未来发展。下一步主要是基于校园网构建更多的应用系统。特别是在未来科学技术的发展中,云平台技术将得到极大的应用。在完整的校园网络建设的基础上,搭建一个云平台,用于校园网络数据中心的规划设计,更好地实现校园网络资源的调度和整合。这种建设的工程量巨大,实现网络智能园区也是必要的。
附录C 配置代码
- 核心交换机代码
网关地址及VRRP配置:
[HX-SW-1]int vlan 10
[HX-SW-1-Vlanif10]
[HX-SW-1-Vlanif10]ip address 192.168.10.2 255.255.255.0
[HX-SW-1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1
[HX-SW-1-Vlanif10]vrrp vrid 1 priority 150
[HX-SW-1-Vlanif10]vrrp vrid 1 preempt-mode timer delay 20
[HX-SW-1-Vlanif10]dhcp select global
[HX-SW-1-Vlanif10]dhcp select relay
[HX-SW-1-Vlanif10]dhcp relay server-ip 192.168.160.10
#
[HX-SW-1]int vlan 20
[HX-SW-1-Vlanif20]ip address 192.168.20.2 255.255.255.0
[HX-SW-1-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1
[HX-SW-1-Vlanif20]vrrp vrid 2 priority 150
[HX-SW-1-Vlanif20]vrrp vrid 2 preempt-mode timer delay 20
[HX-SW-1-Vlanif20]dhcp select global
#
[HX-SW-1]int vlan 30
[HX-SW-1-Vlanif30]ip address 192.168.30.2 255.255.255.0
[HX-SW-1-Vlanif30]vrrp vrid 3 virtual-ip 192.168.30.1
[HX-SW-1-Vlanif30]vrrp vrid 3 priority 150
[HX-SW-1-Vlanif30]vrrp vrid 3 preempt-mode timer delay 20
[HX-SW-1-Vlanif30]dhcp select global
#
[HX-SW-1]int vlan 40
[HX-SW-1-Vlanif40]ip address 192.168.40.2 255.255.255.0
[HX-SW-1-Vlanif40]vrrp vrid 4 virtual-ip 192.168.40.1
[HX-SW-1-Vlanif40]vrrp vrid 4 priority 150
[HX-SW-1-Vlanif40]vrrp vrid 4 preempt-mode timer delay 20
[HX-SW-1-Vlanif40]dhcp select global
#
[HX-SW-1]int vlan 50
[HX-SW-1-Vlanif50]ip address 192.168.50.2 255.255.255.0
[HX-SW-1-Vlanif50]vrrp vrid 5 virtual-ip 192.168.50.1
[HX-SW-1-Vlanif50]vrrp vrid 5 priority 150
[HX-SW-1-Vlanif50]vrrp vrid 5 preempt-mode timer delay 20
[HX-SW-1-Vlanif50]dhcp select global
DHCP配置:
[HX-SW-1]ip pool 10
[HX-SW-1-ip-pool-10]gateway-list 192.168.10.1
[HX-SW-1-ip-pool-10]network 192.168.10.0 mask 255.255.255.0
[HX-SW-1-ip-pool-10]excluded-ip-address 192.168.10.100 192.168.10.254
[HX-SW-1-ip-pool-10]dns-list 192.168.160.254
[HX-SW-1]ip pool 20
[HX-SW-1-ip-pool-20] gateway-list 192.168.20.1
[HX-SW-1-ip-pool-20] network 192.168.20.0 mask 255.255.255.0
[HX-SW-1-ip-pool-20] excluded-ip-address 192.168.20.100 192.168.20.254
[HX-SW-1-ip-pool-20] dns-list 192.168.160.254
[HX-SW-1]ip pool 30
[HX-SW-1-ip-pool-30]gateway-list 192.168.30.1
[HX-SW-1-ip-pool-30]network 192.168.30.0 mask 255.255.255.0
[HX-SW-1-ip-pool-30]excluded-ip-address 192.168.30.100 192.168.30.254
[HX-SW-1-ip-pool-30]dns-list 192.168.160.254
汇聚交换机接口配置:
[HJ-SW-1]interface GigabitEthernet 0/0/5
[HJ-SW-1-GigabitEthernet0/0/1]port link-type trunk
[HJ-SW-1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 4094
[HJ-SW-1]interface GigabitEthernet0/0/6
[HJ-SW-1-GigabitEthernet0/0/6]port link-type trunk
[HJ-SW-1-GigabitEthernet0/0/6]port trunk allow-pass vlan 2 to 4094
文体中心接入交换机VLAN划分:
[WTZX]interface GigabitEthernet 0/0/1
[WTZX-GigabitEthernet0/0/1]port link-type trunk
[WTZX-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 4094
[WTZX]interface GigabitEthernet0/0/2
[WTZX-GigabitEthernet0/0/2]port link-type access
[WTZX-GigabitEthernet0/0/2]port default vlan 130
#
[WTZX]interface GigabitEthernet0/0/3
[WTZX-GigabitEthernet0/0/3]port link-type trunk
[WTZX-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 to 4094
防火墙配置:
[USG6000V1] interface GigabitEthernet1/0/0
[USG6000V1-GigabitEthernet1/0/0]undo shutdown
[USG6000V1-GigabitEthernet1/0/0]ip address 11.1.1.1 255.255.255.0
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit
[USG6000V1]interface GigabitEthernet1/0/1
[USG6000V1-GigabitEthernet1/0/1]undo shutdown
[USG6000V1-GigabitEthernet1/0/1]ip address 145.1.1.2 255.255.255.0
[USG6000V1-GigabitEthernet1/0/1]gateway 145.1.1.1
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
OSPF配置:
[USG6000V1] ospf 3 router-id 3.3.3.3
[USG6000V1-ospf-3]area 0.0.0.0
[USG6000V1-ospf-3-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[USG6000V1-ospf-3-area-0.0.0.0] network 11.1.1.0 0.0.0.255
NAT配置:
[USG6000V1]nat-policy
[USG6000V1-policy-nat] rule name trustTo_untrust
[USG6000V1-policy-nat]source-zone trust
[USG6000V1-policy-nat]destination-zone untrust
[USG6000V1-policy-nat]action source-nat easy-ip