学校代码:11517
学号:200809203115
HENAN INSTITUTE OF ENGINEERING
毕业设计(论文)
题目某大学校园网设计方案
学生姓名刘备
专业班级计算机网络技术0801
学号200809203115
系(部)计算机科学与工程系
指导教师(职称)张天伍(讲师)
完成时间2011 年4月15 日
目录
摘要......................................................................................................................................... I II ABSTRACT............................................................................................................................. I V
1 需求分析 (1)
2 方案设计概述和设计目标 (3)
2.1 方案设计概述 (3)
2.2 系统设计目标 (4)
3 校园网设计方案 (8)
3.1 网络设备的选型 (8)
3.1.1 设备型号列表 (8)
3.1.2 设备选型考虑因素 (8)
3.2 网络拓扑结构分析 (9)
3.3 网络分层设计理念 (11)
3.3.1接入层网络设计 (11)
3.3.2 汇聚层网络设计 (11)
3.3.3 核心层网络设计 (11)
3.3.4出口设计 (12)
3.4 关键技术 (12)
3.4.1 快速以太网技术 (12)
3.4.2 VLAN和IP设计 (14)
3.4.3 NAT技术 (15)
3.4.4 HSRP技术 (16)
3.5 服务器群的设置 (16)
3.5.1 WWW服务器 (16)
3.5.2 FTP服务器 (17)
3.5.3 E-mail服务器 (17)
3.5.4 DNS服务器 (19)
4 网络安全与管理 (21)
4.1网络安全 (21)
4.1.1威胁网络安全因素分析 (21)
4.1.2网络安全防范措施 (22)
4.2网络管理 (23)
4.2.1网络管理的内容 (23)
4.2.2网络管理的手段 (23)
4.3 网络安全策略配置 (24)
4.3.1 拒绝服务的防止 (24)
4.3.2 访问控制 (24)
5 校园网综合布线 (26)
5.1 网络综合布线功能 (26)
5.2 建筑物内结构化布线设计 (26)
5.2.1 工作区子系统(Work Area)及其网络设计 (27)
5.2.2 水平子系统(Horizontal)及其网络设计 (27)
5.2.3 管理子系统(Administration)及其网络设计 (28)
5.2.4 干线子系统(Backbone)及其网络设计 (28)
5.2.5 设备间子系统(Equipment Room)及其网络设计 (28)
5.2.6 建筑群子系统(Campus Subsystem)及其网络设计 (29)
5.3 网络中心综合布线 (29)
5.4 布线特点 (30)
5.4.1 模块化 (30)
5.4.2 灵活性 (30)
5.4.3 开放性 (30)
结束语 (31)
致谢 (32)
参考文献 (33)
某大学校园网设计方案
摘要
校园网络是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。其次,校园网应具有教务、行政和总务管理功能。校园网络系统总体设计目标是最大限度的满足应用系统的需求,与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作,即通过网络设备将信息点与中心网络系统可靠地连接起来,为当前的各种应用环境系统和应用软件系统提供运行环境支持。网络系统不能够一经实现即落后,应当至少处于目前先进水平,应至少保持系统具备几年的领先性。采用先进而成熟的网络技术和产品,适应大量数据和多媒体信息传输、处理、交换的需要,使网络系统具有较强的生命力。
关键字:校园网络/网络系统/数据/多媒体信息
A UNIVERSITY CAMPUS NETWORK DESIGN
SCHEME
Abstract
Campus network is provided for school teachers and students teaching, researching and comprehensive information service of broadband multimedia network. First, campus network school teaching and scientific research should provide advanced informatization teaching environment. This requires: campus network has the interactive function and professional strong local area network. The multimedia teaching software development platform, multimedia demo classrooms and teachers preparing system, electronic reading-room and teaching, examination database can be run on in the network. If a school including more professional discipline (or more department), also can form more local area network, and through cable or connected wirelessly. Secondly, campus network academic and administrative and should have general management functions. Campus network system overall design goal is the maximum satisfy application system requirements, and the computer and network technology development level adaptation. Establishing network system is mainly completion will all network equipment work, namely through networking information points and center network equipment will be connected network systems reliably, the various application environment for the current system to provide system and application software running environment of support. Network system can't once order which shall, at least at present backward, the advanced level, should be at least keep the leading system has a few years. Advanced and mature network technology and products, adapt to a vast amount of data and multimedia information transmission, processing, exchange need, the network system has strong vitality.
Keyword:campus network,network system,data,multimedia information
1 需求分析
根据校方要求,总的信息点将达到4000个左右。信息点的分布比较分散。将涉及到图书馆、宿舍楼、实训楼、教学楼、办公楼,宿舍楼和实训楼为信息点密集区,因此要有足够的带宽保证网络的畅通。将网络中心设在校园物理位置接近中心处,方便布线的需要。需要架设FTP、DNS、WWW、E-mail服务器,服务器对外需要有固定的公网IP。核心设备要做冗余备份,保证网络的稳定可靠。网络有明显的层次,各层之间的布线和线路速率要合理。为了加快校园信息化建设,需要建设一个高性能的、安全可靠的校园网络,校园网建成后,要求能够实现校园内部各种信息服务功能,实现与教育网的无阻碍连通,同时提供宽带接入功能,以备主连接失效情况下的被用连接要求,能够实现校园办公自动化需求。
网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据校园网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是:高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。本设计遵循以下的原则进行网络设计:
(1) 实用性和经济性:
网络建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设的万兆骨干网络平台,保护用户的投资。
(2) 先进性和成熟性:
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证该校网络建设的领先地位,采用万兆以太网技术来构建网络主干线路。
(3) 可靠性和稳定性:
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,思科网络做为国际知名品牌,网络领导厂商,其产品的可
靠性和稳定性是一流的。
为了保证骨干网络平台的健壮性和链路冗余性,建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
(4) 安全性和保密性:
在网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等,网络充分考虑安全性,针对的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定(过滤)、ACL、路由过滤、防DDoS拒绝服务攻击等具体技术提升整个网络的安全性[1]。
(5) 可扩展性和可管理性:
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,设计者必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
为了适应网络结构变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。为了便于扩展,对于核心设备必须采用模块化高密度端口的设备,便于将来升级和扩展[2]。
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品,达到全程网管,降低了人力资源的费用提高网络的易用性可管理性,同时又具有很好的可扩性。
2方案设计概述和设计目标
2.1 方案设计概述
就目前对部分需求和网络应用的需求考察结果,并尊重“长远考虑、就地起步”的规划,提出了在技术上遵循开放、标准、成熟、安全、可靠和可扩展的思想,追求技术上的先进性与成熟性、实用性相结合,追求整个系统性能的最佳化、理优化、节省费用等原则原则。
基于路由器和交换机的局域网间的互联是最好的解决方案。因此,网络协议方面,以网际协议(IP)作为校园网网络系统的公用网络协议实行标准化。因为IP是Internet 的母语,并作为网络通信的通用语言而在世界范围内广泛使用。由于使用IP作为标准传输协议,在以后对网络进行扩充以与其它的网络互连时,可以跨越多个平台自然而然地提供互操作能力和无缝连接功能[3]。所以,IP优化网络允许用户访问电子邮件、校园内部网和利益复杂的Internet应用。
在网络服务器的选择上,选择了HP或DELL计算机公司的服务器,作为世界知名品牌,可提供最优良的系统设备和优质的售后服务。
在主干网建设时,本设计最后把选择范围缩小到3Com和Cisco系统产品,因为它能够在整套方案中以极具竞争力的价格提供所有技术,还拥有明确的技术方向,有助于未来应用的发展。为本方案提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。
在局域网建设方面,在认真比较和考察各种骨干网可选方案之后,最后选择使用Cisco产品作为骨干网基础设施的基础,因为Cisco方案提供了可伸缩的结构和高性能的设备,能够高速传输数据,同时也保证了安全地接入Internet和一体化的网络解决方案。
在选择最合适的产品提供解决方案的过程中,计算机终端设备的选型既考虑性能、价格比、设备的运行维护费用,不贪图眼前的利益,也考虑设备的可扩充性,今天的投入是今后发展积累的基础,确保系统主要设备的投入在整个系统的生命周期内能得到充分利用并具有强健灵活的体系结构。同时,也考虑局部子网对硬件和信息流量的要求,必须能够提供专用的高速带宽。
2.2 系统设计目标
综合以上的各种信息,结合当前的国外各类计算机系统应用情况,本网要实现的目标是:
满足日常工作的处理电子化、日常办公自动化、领导决策科学化,和信息交流快捷方便化。即实现业务系统处理、日常办公、领导决策计算机化、信息交流国际化的先进系统。即:以先进的计算机及通讯为手段建立内部网络,纵向向上与Internet互联网相连,向下与各管理子网点相连接,横向与其它单位相连接的计算机综合网络系统。在统一思想、统一信息交换标准、统一技术规范的原则下,系统达到以下目标:
(1) 为各办公室提供宽带网络支持;
(2) 提供公用信息交换平台;
(3) 提供Web发布信息等Internet的信息服务;
(4) 提供日常工作的处理网络化、电子化的日常办公自动化环境;
(5) 电子档案的信息查询,提供先进和更多的服务手段, 提高效率和质量;
(6) 为内部网提供有力的技术保障,增加内部系统的安全性;
(7) 增强校园的教学信息的领先优势。
网络系统总体设计目标是最大限度的满足应用系统的需求,与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作,即通过网络设备将信息点与中心网络系统可靠地连接起来,为当前的各种应用环境系统和应用软件系统提供运行环境支持。
由于网络系统对工作的运作与发展具有非常重要的作用,因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求,网络系统对先进性的要求是在计算机技术突飞猛进的今天,提供达几年甚至更长时间的可用性。网络系统设计必须满足其应用的要求,网络总体设计、建设的原则如下:
(1)开放性
当前计算机技术的发展日新月异,各种硬件和软件产品层出不穷。但总体上看,整个计算机仍然在开放式系统的概念下不断趋于统一,新模式主要有如下特点:开放式系统越来越为广大用户所接受,传统的封闭式厂商也开始走向开放式道路,开放式体系结构已经发展成为计算机技术的主流。
网络互联技术成熟,推动了分布式运算环境的建立,如TCP/IP的迅速发展,已成为异种机型互联的标准。
关系型数据库发展已非常成熟,已成为数据库管理的主流工具。
在开放系统环境OSE(Open System Environment)中有两个最基本的特点:
一是开放系统所采用的规范是厂家中立的,或者说是与厂家无关的;二是开放系统允许不同厂家的计算机系统和软件系统可以互换,并可组成一个集成的操作环境。OSE包括了多种功能,它能在不同厂家的网络上实现计算机应用的互操作性、可移植性和集成性[4]。
对于用户来说,选择开放系统的意义深远,它包括:
应用系统独立于平台外部环境,不受厂家的约束。
可以在不同厂家的产品中随意地选用最佳产品。
能较快地获得新技术。因为对厂家来说,在一个标准平台上开发产品成本较底。减少了购置新计算机及网络设备的投资,因为系统和应用软件可以从原有计算机上移植。
(2)标准化
在方案设计中,所有计算机网络软硬件产品必须坚持标准化原则,遵从国际标准化组织所制订的各种国际标准及各种工业标准。
(3) 简洁性
对于网络系统,在设计过程中要考虑系统的能够适应不断的新的发展需要,并使系统能适应多种硬件平台和多种网络结构,而且网络拓扑结构简洁,硬件和软件按需要能进行灵活的配置。
(4)可扩展性:
目前设计的网络系统不仅仅用于当前,同时在今后的一段时间内,将是校园电子化的主要系统。因此,设计时一定得考虑将来的发展,除了当前设计得有一定的超前外,还需要考虑系统的可扩充性,易于系统以后的发展。
网络系统必须有足够的扩展性,使得将来增加信息点时,只需很少变动。如当网络设备增加、通信网络升级时,所有设备要保证仍能继续使用,而不能以弃掉已有设备为升级的代价。采用的产品具有充分的可扩充性及升级能力,具有足够的先进网络技术过渡的能力。
(5)安全性
安全性是指可靠性、保密性和数据一致性。校园网对安全性的要求较高,计算机系统的安全性主要包括以下几个方面:
硬件平台安全性:当计算机的元器件突然发生故障,或计算机系统工作环境设备突然发生故障时,计算机系统能继续工作或迅速恢复。
网络通迅系统安全性:网络的安全性主要包括采取以下安全措施:认证措施,包括网点认证和人员认证;数据保密措施如传输加密;存取控制措施如防止非法操作。
操作系统安全性:操作系统安全性要达到C2级,即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性,实施存取限制,保护数据防止被别的用户读取或破坏。
数据库安全性:数据库要有以下安全机制:磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制,确保数据库的安全[5]。应用软件系统的安全性:
认同用户和鉴别,确认用户的真实身份,防止非法用户进入系统。
存取控制,当用户已注册登录后,核对用户权限,根据用户对该项资源被授予的权限对其进行存取控制。
审计,系统能记录用户所进行的操作及其相关数据,能记录操作结果,能判断违反安全的事件是否发生,如果发生则能记录备查。
保障数据完整性,对数据库操作保证数据的一致性和数据的完整性。
(6)技术先进性
网络系统不能够一经实现即落后,应当至少处于现今先进水平,只有这样才能在计算机技术迅速发展的今天不落伍,不会在竞争激烈的今天,因计算机技术的不足而影响工作的进行开展。应至少保持系统具备几年的领先性。
采用先进而成熟的网络技术和产品,适应大量数据和多媒体信息传输、处理、交换的需要,使网络系统具有较强的生命力。
(7)实用性
网络的建设要强调网络系统与网络应用并重,以应用推动建设,信息资源的开发、利用和效果。
产品应选择主流产品,并且具有成熟、稳定、实用的特点。能充分满足日常使用、
科学决策、对外交流、以及信息自动化管理等各方面的需要。
(8)网络可靠性
网络可靠性需要从以下方面来保证:设备的硬件制造品质与运行软件的成熟性。网络设备必须选用已经证实,并在实际应用中得到普遍应用的产品,只有这样,才可能提供不间断运行的能力。网络产品应具备在线热更换的能力,当某一板卡出现故障时,应能带电更换,而不需进行停机操作[6]。
(9) 易维护管理性
网络管理应走向科学化,采用先进的网络管理系统,实现“在网络中心即能实时控制、监测整个系统的运行状况,能够自动发现故障点”的目标,并具有良好的人-机操作界面。
(10)保护投资
在网络方案设计时充分考虑现有的硬件和软件资源,尽量把各期投资和未来发展的兼容性容于系统方案中。保护投资从如下几个方面考虑:直接的硬件设备、软件系统的投资。
3 校园网设计方案
3.1 网络设备的选型
网络设备选型是本方案中非常重要的内容,选型方案直接影响到整个网络的实际性能。
3.1.1 设备型号列表
设备列表如表3.1所示。
表3.1设备型号表
3.1.2设备选型考虑因素
网络设备的选型是网络运行性能和售后服务的关键,根据设计者对网络设备的了解,对于设备选型基于以下几点考虑:
网络中心的中心设备,承担着整个网络性能好坏的关键,本设计建议选用比较高档的中心设备,既能保证满足服务的需要,不会出现广播风暴或通信瓶颈问题;又能保证几年之内设备不会过时;
选择品牌时考虑比较多的是:生产厂商的可靠性和稳定性、技术领先性和成熟性、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来支持用户的应用、是否为主流产品(这将决定用户接收产品熟悉产品的成本和产品的通用性)、在国内是否有比较完备的备件库和维护维修能力、其安全性是否适合用户的要求[7]。
在本方案中,一律选用思科的设备,全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。
(1)高性能产品:
本方案采用Cisco catalyst 6500、4500、2960系列和3800等产品经过多项测试证明,在通讯速度、带宽、拥塞管理、网络管理功能等项指标,相比同系列其他公司产品,都具有明显的先进性。
(2)高扩展性:
本方案采用catalyst 6500 、4500 等模块化交换机,为网络设备的升级和网络端口的扩充打下了良好的基础。使用标准协议使不同网络设备的互联成为可能。能够实现平滑过渡到下一代万兆快速以太网。能够较好的保护投资。通过基于硬件的IPv6路由,获得最大限度的性能。随着网络设备的增长和对于更大地址空间和更高安全性的需求变得日益迫切,充分考虑了网络未来的升级与发展。
(3)高速、安全:
学校各个接入点到网络中心用双千兆互连,以消除大楼局域网的通信瓶颈,同时将光纤通信线路延伸到所有基层大楼,使所有光纤接入到网络汇聚层的网络通信带宽均达到双千兆,实现支持PoE的10/100/1000M到桌面,已完全可以满足全校办公自动化、网上数据传输、视频点播、视频会议、远程教育等网络服务带宽的需要。
Cisco catalyst交换机可以提供一系列的安全和管理功能,以防止受到外部和内部的威胁。如:访问控制列表可以通过配置不受欢迎的访问,监控通信、过滤内容,确保网络的正确使用。同时,高级Qos和速率限制确保网络流量进行了分类和优先级划分,并以最好的方式避免了拥塞,提供用户足够的网络访问速率,却不造成速率和带宽的浪费。
Cisco公司强大的技术支持和售后服务将保证校园网络的安装、调试、维护和管理,保证系统运行在最佳状态。
3.2 网络拓扑结构分析
一个好的校园网设计应该是一个分层的设计,一般分为三层设计模型。
为了简化交换网络设计、提高交换网络的可扩展性,在校园网内部数据交换模块的部署是分层进行的。
校园网数据交换设备可以划分为三个层次:接入层、汇聚层、核心层。
传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现[8]。
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。
当园区网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性可能会造成交换环路问题,这需要通过在各交换机上运行生成树协议(Spanning Tree Protocol,STP)来解决。
网络拓扑结构图如图3.1所示。
a b
图 3.1 网络拓扑图
3.3 网络分层设计理念
网络分层可以使整个网络结构清晰,各层功能实体之间的定位清楚,接口开放,标准规范,便于组建和管理。网络层次按三层划分分别为:用户接入层、边缘汇聚层、核心交换层。
3.3.1接入层网络设计
访问层交换机是OSI参考模型的第2层设备,即数据链路层的设备。因此,给访问层交换机的每个端口设置IP地址是没意义的。但是,为了使网络管理人员可以从远程登录到访问层交换机上进行管理,必须给访问层交换机设置一个管理用IP地址。这种情况下,实际上是将交换机看成和PC机一样的主机。
从提高效率的角度出发,在本校园网实现实例中使用了VTP技术。同时,将图书馆分布层交换机设置成为VTP服务器,其他交换机设置成为VTP客户机[9]。
这里访问层交换机将通过VTP获得在图书馆分布层交换机中定义的所有VLAN 的信息。
3.3.2汇聚层网络设计
当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐,并且容易出错。在实际工作中常采用VLAN中继协议(VTP)来解决这个问题。
VTP允许在一台交换机上创建所有的VLAN。然后,利用交换机之间的互相学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时,有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机的负担[10]。
在本校园网实现实例中使用了VTP技术。同时,将分图书馆分布层交换机设置成为VTP服务器,其他交换机设置成为VTP客户机。
3.3.3核心层网络设计
在方案中,核心层交换机CoreSwitch1也将作为VTP客户机。
这里核心层交换机CoreSwitch1将通过VTP获得在图书馆分布层交换机中定义的所有VLAN的信息。核心交换机通过光纤链路上行到防火墙,保证对数据的迅速转
发。两台核心交换机,启用HSRP,实现双机热备份,CoreSwitch1优先级高为主状态,业务数据流通过链路a到CoreSwitch1,不走链路b。当CoreSwitch1出现故障,CoreSwitch2,迅速转换为主状态转发业务数据[11]。具体实现如下
sw1(config)#int vlan 2 (进入sw1的vlan2接口配置模式)
sw1(config-if-vlan2)#ip address 192.168.1.254 255.255.255.0 (设置管理ip)
sw1(config-if-vlan2)#standby 2 ip 192.168.1.1 (使能HSRP,指定备份组的组号和
虚拟ip地址)
sw1(config-if-vlan2)#standby 2 priority 20 (指定备份组的优先级)
sw2(config)#int vlan 2 (进入sw2的vlan2接口配置模式)
sw2(config-if-vlan2)#ip address 192.168.1.253 255.255.255.0 (设置管理ip)
sw2(config-if-vlan2)#standby 2 ip 192.168.1.1 (使能HSRP,指定备份组的组号和
虚拟ip地址)
sw2(config-if-vlan2)#standby 2 priority 10 (指定备份组的优先级)
3.3.4出口设计
在方案中,核心交换机用光纤连接防火墙,内部网络流量通过防火墙后,再经出口路由器流出,因此在这里用防火墙做NAT转换,以及访问控制。路由器与防火墙之间用默认路由,路由器来对内网经过防火墙过滤后的数据包以及外网数据包之间进行路由,路由器也启用有过滤功能,这样,防火墙可减轻外来流量的一定负担,路由器则减轻内网流量的一定负担,因此路由器与防火墙的配合效率相对较高[12]。
3.4 关键技术
本设计中用到的关键技术包括快速以太网技术、VLAN技术、NAT技术、HSRP 技术。
3.4.1快速以太网技术
选用何种网络技术构成主干网络总体是整个网络系统设计的关键。网络新技术从标准的以太网、TokenRing、到标准的FDDI、100Base-T、100VG-AnyLAN,以及
正在飞速发展的ATM、千兆以太网等。现在的主干网ATM和千兆以太网双星闪烁。
以太网是国内应用最为广泛的网络,用户及厂家的应用及支持水平也极高,但传统的共享式以太网由于其本身机制的限制,传输速率及工作效率较低(在传统的10M 以太网,网络上有n 个用户时,每个用户所分配的带宽为10M / n,用户越多,带宽越低,速度更慢,且碰撞发生时效率更低),也就是说,不论接入多少网络设备或工作站,所有的网络设备及工作站均共享10M介质[13]。
近年来,新出现的交换式以太网在不改变主机及工作站软硬件(包括网卡、联线、驱动程序及应用软件等)的情况下,在交换式集成器上加以高速动态总线及交换机制,使接入的各服务器、大容量工作站、及主干连接分别独占1000Mbps或100Mbps带宽,极大地提高了通信吞吐量。已在国际及国内得到普遍使用及认可。
交换式以太网做为一种融合技术具有许多优点,可以兼容现在及以后网络技术,大幅度提高网络的通信性能。因此我们选用交换式以太网技术,做为改造网络的主干技术主体,在源端口与目标端之间提供直接的连接,它提供给每个端口用户独享的按需带宽。
交换式以太网具有以下优点:
可以提供从原有以太网的平滑过渡功能。即可以利用目前市场上的现有网卡、电缆、软件,现有的所有网络操作系统及主机系统均可得到支持。
低时延特性。数据包在通过交换机时,数据得以快速的转发,从而可以避免可能的数据包延时过大或应用程序执行缓慢。
交换机可以提供给每一端口独占的带宽避免了碰撞及数据包丢失的发生。
可以融合原有的以太网、快速以太网、令牌网、FDDI以及ATM 于一体。任何一种协议如100Base-T、100VG-AnyLAN、FDDI/CDDI、TOKENING、ATM等都可以实现交换技术。
智能过滤及虚拟网络(VLAN)支持、可以防止网络无用信息的传播及支持将实际地理位置不同的用户组织在一个虚拟网内[14]。
“网络就是计算机”意味着计算机网络流量模式的重大改变。从集中式处理到客户机/服务器,从单一文字应用到多媒体应用,这些都促使网络建设的不断发展,现代化的信息通信对网络的基础建设提出了越来越高的要求。
随着发展,信息流量也可能会越来越大,而源于高通信带宽、低时间延迟、高升
级能力及完整网络管理这四个因素而产生的交换式网络技术是适应局域网络发展的优选技术,因此,选择交换式网络作为网络的主干网络。
3.4.2 VLAN和IP设计
3.4.2.1 VLAN作用
VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN 间则不能直接互通,这样,广播报文被限制在一个VLAN内[15]。
3.4.2.2 VLAN划分和IP规划
(1)实训楼:40个机房,分别属于40个VLAN,VLAN 2-41,对应的网段:192.168.1.0-192.168.40.0,网关设在核心交换机上。
(2)办公楼:按60个办公室,用网段192.168.41.0-192.168.45.0,每个网段向主机位借4位,可划分出14个可用子网,每个子网的可用IP是14个,3个IP用来做VRRP。60个子网对应的VLAN分别为VLAN 42-101。
第1个子网可用IP地址范围:192.168.41.17-192.168.41.30;
第14个子网可用IP地址范围:192.168.41.225-192.168.41.238;
第57个子网可用IP地址范围:192.168.45.17-192.168.45.30;
第60个子网可用IP地址范围:192.168.45.65-192.168.45.78;
子网掩码是:255.255.255.240。
(3)图书馆:VLAN 102-129,用网段192.168.46.0-192.168.47.0,划分28个子网。
(4)教学楼:VLAN 130-157,用网段192.168.48.0-192.168.49.0,划分28个子网。
(5)宿舍楼:按10000人,每6人一个宿舍,需要1666个宿舍,每个宿舍一个信息点,大概需要1700个信息点,即需要划分1700个VLAN,用网段192.168.50.0-192.168.107.0,每个网段向主机位借5位,可划出30个子网,一个子网对应一个信息点,子网内需要拿出三个地址做VRRP。
第1个子网可用IP范围:192.168.50.9-192.168.50.14;
第30个子网可用IP范围: 192.168.50.241-192.168.50.246;
第1681个子网可用IP范围:192.168.106.9-192.168.106.14;
第1700个子网可用IP范围:192.168.106.161-192.168.106.166。
(6)DMZ区IP配置:192.168.108.2-192.168.108.5,网关是192.168.108.1。
3.4.3 NAT技术
借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求[16]。
NAT将自动修改IP报文的源IP地址和目的IP地址,IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作[17]。
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址少于网络内部的计算机数量时。可以采用动态转换的方式[18]。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation)。采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
NAT的实现:对DMZ区采用静态NAT映射,分别映射为公有地址200.102.10.10-200.102.10.13,DNS的IP为200.102.10.13,对TRUST区采用NAT,ip nat pool 200.102.10.14 200.102.10.18,防火墙出口IP为200.102.10.2。