111,获取完整论文+配置好的拓扑联系作者
摘 要
随着现代科学技术和互联网的迅猛发展,以计算机和通讯技术为基础的管理系统正处于高速发展的时期。人们对生活质量的要求也在不断提升,对工作的环境以及要求也日益提高。一个校园内进行办公的人们之间需要相互的通信,同时在相互通信的过程中又能确保信息通畅与保密,于是对此校园的一个网络规划与设计应运而生。
本文规划的是一个学校的网络搭建,采用接入层、核心层、汇聚层三层网络。交换机运行MSTP和VRRP协议,保护链路运行。运行ospf动态路由协议,方便路由维护。使用dhcp动态分配地址,便于ip地址管理。同时在防火墙上做NAT,可以让学校内网访问外网。
关键词:计算机网络;NAT;VRRP;网络安全
Abstract
With the rapid development of modern science and technology and the Internet, the management system based on computer and communication technology is in a period of rapid development. People's requirements for quality of life are also increasing, and the working environment and requirements are also increasing. People working in an enterprise need to communicate with each other, and at the same time, in the process of mutual communication, they can ensure the smooth flow and confidentiality of information, so a network planning and design of this enterprise came into being.
This paper plans to build a company's network, using three layers: access layer, core layer, and aggregation layer. The switch runs MSTP and VRRP protocols to protect the link operation. Runs the OSPF dynamic routing protocol to facilitate route maintenance. DHCP is used to dynamically assign addresses to facilitate IP address management. At the same time, NAT is done on the firewall, which allows the company's intranet to access the external network.
Keywords: network;NAT;VRRP;Cybersecurity;
目录
第1章 绪论
-
- 课题背景
在科技飞速发展的时代,网络互联技术显示出其快速发展的可行性,网络给人们带来了极大的便利。同时由于Internet的信息和服务内容不断的扩大,使得用户对网络的需求急剧增加。同时,校园的网络化也会给校园带来新的市场机遇和商业价值。校园的网络系统建设也随着计算机技术、通信技术、控制技术及多媒体技术进步和互相渗透而发展起来。阐述了校园网络工程的设计和在设计过程中容易遇到的问题,应该重点考虑的问题。在充分了解组网技术的基础上,根据目前校园网络的发展趋势,结合当前智能化校园网络系统的需求分析,设计出一个校园的网络模型,并对模型进行各方面的细化。根据模型图对设备进行适当的选型。使用模拟软件ENSP对设备进行配置,包括IP地址的规划、路由协议的选择以及交换机的配置等。
1.2发展趋势
校园网在当前市场竞争中扮演着非常重要的角色,而校园网络作为信息化建设的重要组成部分,对于校园发展具有重要意义。然而,由于校园的特殊性,其网络规划往往面临着诸多挑战和困难,如有限的预算、技术水平不高、人力资源短缺等问题。校园网未来发展趋势主要体现在以下几个方面:
1.提高校园运营效率:中小校园网络规划可以帮助校园实现信息化建设,提高校园的运营效率,加快业务处理速度,提高工作效率。
2.降低校园成本:中小校园网络规划可以提高校园内部协作效率,避免重复劳动和人力资源浪费,从而降低校园成本。
3.改善客户服务:中小校园网络规划可以提高校园对客户的服务水平,提高客户满意度,进而提升校园的市场竞争力。
4.加强信息安全:中小校园网络规划可以加强校园信息安全保障,防止信息泄露和数据丢失,提高校园信息化水平和安全性。 因此,研究中小校园网络规划的背景和意义非常重要,有助于提高中小校园的信息化水平和竞争力。
1.3 课题意义
校园通过不断深入了解,认识自身业务发展方向,调整战略目标契合市场变化趋势,才能有效地保证自身的核心竞争力.而利用搭建一个校园通信网络信息处理平台,对校园网络规划进行研究分析,解决校园网络存在问题,优化校园网络,为校园提供可靠性,安全性,高效性以及可扩展的网络服务平台,校园在内部实现方便快捷的网络资源共享,又可以很好地进行校园内部信息的保护与信息访问权限设置,起到保密与信息隔离效果;对外校园可以实现安全连接,访问互联网等目的,为校园的市场核心竞争力提供更加有利的网络信息服务.
第2章 校园网的总体设计
2.1校园组网需求
本次设计能够满足需求如下:
- 本学校大概90人,有3栋楼
(2)每个楼划分一个vlan,楼内部网络互通,不同楼网络也能通。
(3)每个楼划分一段ip地址,并用dhcp技术自动分配地址,运行ospf协议,方便路由的维护。
(4)核心层,汇聚层交换机做MSTP和VRRP技术,设备冗余,能够保一台设备坏了之后,瞬间切换到另外一台设备,不影响业务。
(5)保证学校内网的安全,增加防火墙设备,隔离学校内网和互联网。
(6)学校内部使用光纤连接,光网覆盖,速度快。
(7)NAT:应用于内网用户访问Internet时进行的地址转换将私网地址转为公网地址。
2.2拓扑架构设计
利用 ENSP 通过设计得到的网络逻辑拓扑结构见图 2-1:
学校的网络系统是建立在高速光纤网的基础上,构建内网相互独立的网络系统,以提供安全的办公局域网和可访问Internet的网络系统。实现各楼内部和各楼之间公共网络化,构建网络信息共享,实现资源共享。
(1)在校园局域网中,要求使用三层架构。汇聚层使用两个交换机来汇聚流量,将流量汇入核心层。接入层交换机负责连接设备,提升端口密度。
(2)校园中不同楼要划分vlan,不同接入层交换机上划入不同vlan,具体设计根据具体要求而定。
(3)交换机之间做MSTP和VRRP实现链路可靠性,防火墙划分区域,保障系统运行
(3)局域网内部设置dns服务器和http服务器ftp服务器,以便域名解析和外网访问校园官网。
(4)核心层之上,核心路由器负责流量转发以及配置nat和做端口映射。
第3章 校园网的实现
3.1 设备选型
3.1.1核心交换机
核心层交换机在学校内网中角色也是重中之重,需要非常大的包转发量及足够大的带宽
速率,同时还得支持多种路由协议和策略的应用,综合多方面的考虑,故选择以下这款。
路由器参数 | ||||
设备品牌 | 设备型号 | 端口数量 | 传输速率 | 交换机类型 |
华为 | 华为S3700 | 24 | 10/100/1000Mbps | 核心交换机 |
3.1.2汇聚层交换机
接入层交换机看起来不是很重要,但其实不然,接入层交换机在整个网络拓扑中也承担
着重要的角色,稳定性是最基本的,在网络的传输的速度上也很重要,需要支持多种协议,
如 RSTP、端口安全、ACL 等,所以我在这些最为基础的条件下选择了如下这款。
路由器参数 | ||||
设备品牌 | 设备型号 | 端口数量 | 传输速率 | 交换机类型 |
华为 | 华为S1730s | 50 | 10/100/1000Mbps | 千兆交换机 |
3.1.3服务器
服务器是网络的一个重要节点,它将存储、处理学校网络上 80%以上的数据
因此它也被称为网络的灵魂,所以学校的服务器存储能力要大、处理能力要强,才能满足学校的需求,故选择以下这款。
路由器参数 | ||||
设备品牌 | 设备型号 | 硬盘大小 | CPU型号 | 电源功率 |
华为 | USG6300 | 10T | Inter Xeon E550 | 650W |
3.1.4路由器
在路由器的设备选型中,首先要考虑的是设备运行的稳定性,因为其需要承载的是整个
学校网络的运行,在综合比较之下,这款设备既满足了学校网络运行的需求,价格也实惠,
性价比极高,可谓是物美价廉,故选择以下这款。
路由器参数 | ||||
设备品牌 | 设备型号 | 端口数量 | 传输速率 | 路由器类型 |
华为 | AR1220s | 8 | 10/100/1000Mbps | 学校级路由器 |
3.2IP地址规划
设备 | 型号 | Telnet用户名 | 登入密码 | Vty认证方式 |
ISP1 | AR2240 | ZB | huawei123 | AAA |
ISP2 | AR2240 | ZB | huawei123 | AAA |
FW1 | USG5500 | ZB | huawei123 | AAA |
CORE1 | S5700 | ZB | huawei123 | AAA |
CORE2 | S5700 | ZB | huawei123 | AAA |
WORK_STATION | CE6800 | ZB | huawei123 | AAA |
SW_gather1 | S5700 | ZB | huawei123 | AAA |
SW_gather2 | S5700 | ZB | huawei123 | AAA |
DHCPServer | AR2240 | ZB | huawei123 | AAA |
SW_access1 | CE6800 | ZB | huawei123 | AAA |
SW_access2 | CE6800 | ZB | huawei123 | AAA |
SW_access3 | CE6800 | ZB | huawei123 | AAA |
IP地址规划表
设备 | 接口 | 地址 |
ISP1 | G0/0/0 | 10.1.1.2/24 |
G0/0/2 | 20.1.1.1/24 | |
ISP2 | G0/0/0 | 20.1.1.2/24 |
G0/0/2 | 30.1.1.2/24 | |
FW1 | G0/0/0 | 195.168.13.2/24 |
G0/0/1 | 192.168.14.2/24 | |
G0/0/2 | 10.1.1.1/24 | |
CORE1 | Vlanif150 | 192.168.150.254/24 |
Vlanif300 | 192.168.11.2/24 | |
Vlanif302 | 192.168.13.1/24 | |
Vlanif304 | 192.168.200.1/24 | |
CORE2 | Vlanif301 | 195.168.12.2/24 |
Vlanif303 | 192.168.14.1/24 | |
Vlanif304 | 192.168.200.2/24 | |
WORK_STATION | Vlanif304 | 192.168.200.3/24 |
SW_gather1
| Vlanif10 | 192.168.10.1/24 |
Vlanif20 | 192.168.20.1/24 | |
Vlanif30 | 192.168.30.1/24 | |
Vlanif100 | 192.168.100.1/24 | |
Vlanif300 | 192.168.11.1/24 | |
SW_gather2 | Vlanif10 | 192.168.10.2/24 |
Vlanif20 | 192.168.20.2/24 | |
Vlanif30 | 192.168.30.2/24 | |
Vlanif101 | 192.168.101.1/24 | |
Vlanif301 | 192.168.12.1/24 | |
DHCPServer | G0/0/0 | 192.168.100.2/24 |
G0/0/1 | 192.168.101.2/24 | |
设备 | 获取方式 | IP地址 |
INTERNET | 手动配置 | 30.1.1.1/24 |
Web server | 手动配置 | 192.168.150.1/24 |
PC2 | DHCP获取 |
|
PC3 | DHCP获取 |
|
PC4 | DHCP获取 |
|
PC5 | DHCP获取 |
|
PC6 | DHCP获取 |
|
PC7 | DHCP获取 |
|
PC8 | DHCP获取 |
|
PC9 | DHCP获取 |
|
PC10 | DHCP获取 |
|
PC13 | 手动配置 | 192.168.200.129/24 |
PC14 | 手动配置 | 192.168.200.128/24 |
VLAN规划表以及交换机接口类型
VLAN划分:
VALN ID | 网段 |
10 | 192.168.10.0/24 |
20 | 192.168.20.0/24 |
30 | 192.168.30.0/24 |
100 | 192.168.100.0/24 |
101 | 192.168.101.0/24 |
150 | 192.168.150.0/24 |
300 | 192.168.11.0/24 |
301 | 192.168.12.0/24 |
302 | 192.168.13.0/24 |
303 | 192.168.14.0/24 |
304 | 192.168.200.0/24 |
交换机接口类型:
本端设备 | 本端端口(配置) | 端口类型 | 允许的vlan |
CORE1 | G0/0/1 | Access | 300 |
CORE1 | G0/0/2 | Access | 302 |
CORE1 | G0/0/3 | Access | 304 |
CORE1 | G0/0/4 | Access | 150 |
CORE2 | G0/0/1 | Access | 301 |
CORE2 | G0/0/2 | Access | 303 |
CORE2 | G0/0/3 | Access | 304 |
WORK_STATION | G0/0/1 | Access | 304 |
WORK_STATION | G0/0/2 | Access | 304 |
WORK_STATION | G0/0/3 | Access | 304 |
WORK_STATION | G0/0/4 | Access | 304 |
SW_gather1 | G0/0/1-3 | Trunk | 1,10,20,30 |
SW_gather1 | G0/0/4 | Access | 300 |
SW_gather1 | G0/0/6 | Access | 100 |
SW_gather2 | G0/0/1-3 | Trunk | 1,10,20,30 |
SW_gather2 | G0/0/4 | Access | 301 |
SW_gather2 | G0/0/6 | Access | 101 |
SW_access1 | E0/0/1-2 | Trunk | 1,10 |
SW_access1 | E0/0/3-5 | Access | 10 |
SW_access2 | E0/0/1-2 | Trunk | 1,10 |
SW_access2 | E0/0/3-5 | Access | 10 |
SW_access3 | E0/0/1-2 | Trunk | 1,10 |
SW_access3 | E0/0/3-5 | Access | 10 |
3.2核心交换机链路聚合
将SW_gather1的g0/0/5和g0/0/7和SW_gather2的g0/0/5和g0/0/7进行链路聚合,使两条链路虚拟为一条链路,增加带宽,也提供了链路的备份。
配置命令如下:
SW_gather1:
interface Eth-Trunk1
port link-type trunk
interface GigabitEthernet0/0/5
eth-trunk 1
interface GigabitEthernet0/0/7
eth-trunk 1
SW_gather2:
interface Eth-Trunk1
port link-type trunk
interface GigabitEthernet0/0/5
eth-trunk 1
interface GigabitEthernet0/0/7
eth-trunk 1
通过查看聚合链路,可以看到聚合组状态为up,链路聚合成功
3.3网关冗余方案实施
在SW_gather1和SW_gather2的vlanif10,vlanif20,vlanif30接口上配置实验楼设备的网关,
并做vrrp网关冗余备份,并将192.168.10.0/24,192.168.20.0/24网段走SW_gather1设备,将192.168.30.0/24网段走SW_gather2设备.
配置命令:
SW_gather1:
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 120
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 120
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
vrrp vrid 30 virtual-ip 192.168.30.254
SW_gather2:
interface Vlanif10
ip address 192.168.10.2 255.255.255.0
vrrp vrid 10 virtual-ip 192.168.10.254
interface Vlanif20
ip address 192.168.20.2 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.20.254
interface Vlanif30
ip address 192.168.30.2 255.255.255.0
vrrp vrid 30 virtual-ip 192.168.30.254
vrrp vrid 30 priority 120
SW_gather1上验证vrrp,vlanif10,和vlanif20为master,vlanif30为backup
SW_gather2上验证vrrp,vlanif10,和vlanif20为backup,vlanif30为master
3.4二层链路冗余
使用mstp实现链路的冗余和不同vlan之间的负载均匀,在SW_access1,SW_access2,SW_access3,SW_gather1,SW_gather2中分别配置stp实例来达到目的。
配置命令:
SW_access1:
stp region-configuration
region-name zb
instance 1 vlan 10 20
instance 2 vlan 30
active region-configuration
SW_access2:
stp region-configuration
region-name zb
instance 1 vlan 10 20
instance 2 vlan 30
active region-configuration
SW_access3:
stp region-configuration
region-name zb
instance 1 vlan 10 20
instance 2 vlan 30
active region-configuration
SW_gather1:
stp region-configuration
region-name zb
instance 1 vlan 10 20
instance 2 vlan 30
active region-configuration
SW_gather2:
stp region-configuration
region-name zb
instance 1 vlan 10 20
instance 2 vlan 30
active region-configuratio/0
通过验证得到SW_access1的g0/0/2口阻塞
SW_access2的g0/0/2口阻塞
SW_access3的g0/0/01口阻塞
3.5DHCP地址池部署
在数据中心上配置DHCP地址池用于下发实验楼PC地址。配置三个地址池分别对应三个实验楼,命名为vlan10,vlan20,vlan30。并配置不能使用的地址,网关和dns。
配置命令:
DHCPserver:
dhcp enable
ip pool vlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.1 192.168.10.2
dns-list 192.168.150.1
ip pool vlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.1 192.168.20.2
dns-list 192.168.150.1
ip pool vlan30
gateway-list 192.168.30.254
network 192.168.30.0 mask 255.255.255.0
excluded-ip-address 192.168.30.1 192.168.30.2
dns-list 192.168.150.1
查看dhcp地址池进行验证
3.6链路的路由通信
内网使用ospf进行通信,实现内网全互联,外网全互联。
配置命令:
SW_gather1:
ospf 1 router-id 1.1.1.1
import-route direct
area 0.0.0.0
network 192.168.11.0 0.0.0.255
SW_gather2:
ospf 1 router-id 2.2.2.2
import-route direct
area 0.0.0.0
network 192.168.12.0 0.0.0.255
CORE1:
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 192.168.11.0 0.0.0.255
network 192.168.13.0 0.0.0.255
network 192.168.150.0 0.0.0.255
network 192.168.200.0 0.0.0.255
network 192.168.15.0 0.0.0.255
CORE2:
ospf 1 router-id 4.4.4.4
area 0.0.0.0
network 192.168.12.0 0.0.0.255
network 192.168.14.0 0.0.0.255
network 192.168.200.0 0.0.0.255
network 192.168.15.0 0.0.0.255
Firewall:
ospf 1 router-id 5.5.5.5
default-route-advertise
area 0.0.0.0
network 192.168.13.0 0.0.0.255
network 192.168.14.0 0.0.0.255
ISP1:
ospf 100 router-id 10.10.10.10
area 0.0.0.0
network 20.1.1.0 0.0.0.255
3.7防火墙策略布置
在Firewall上配置nat来完成内网私有地址装换成外网地址访问Intrnet的配置,将内网的私有地址转外10.1.1.2这一个外网地址。配置区域来达到不同区域间通行策略。
配置命令:
Firewall:
acl number 2000
rule 5 deny source 192.168.20.0 0.0.0.255
rule 10 deny source 192.168.30.0 0.0.0.255
interface GigabitEthernet0/0/0
alias GE0/MGMT
firewall zone local
set priority 100
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/1
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/2
firewall zone dmz
set priority 50
ip address-set nat type group
address 0 192.168.0.0 0.0.255.255
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction outbound
nat64-policy interzone trust untrust outbound
policy 0
action no-nat64
easy-ip GigabitEthernet0/0/2
policy interzone local trust inbound
policy 0
action permit
policy interzone local trust outbound
policy 0
action permit
policy interzone trust untrust outbound
policy 0
action permit
nat-policy interzone trust untrust outbound
policy 0
action source-nat
easy-ip GigabitEthernet0/0/2
验证Firewall上的会话设置
3.8远程管理设备的实现
在设备上配置远程管理配置,通过工作台来进行设备的远程管理,设置的账号为ZB,密码为huawei123。
配置命令:
配置命令相同在各个设备上配置
aaa
local-user zb password simple huawei123
local-user zb privilege level 15
local-user zb service-type telnet
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
第4章 校园网络的测试获取完整论文+配置好的拓扑联系作者
4.1 DHCP地址获取检测
在pc上通过ipconfig命令来验证pc是否获取到地址。
Vlan10网段检测(PC2)
Vlan20网段检测(PC5)
Vlan30网获取完整论文+配置好的拓扑联系作者段检测(PC8)
4.2 不同vlan间通信检测
连通性测试:
vlan10 ping vlan20:
vlan10 ping vlan30:
vlan10 ping server:
vlan20 ping vlan30
vlan20 ping server
vlan30 ping server
4.3 内外网访问通信检测
vlan10 ping internet:
vlan20 ping internet(由于防火墙策略,vlan20不能ping通internet)
vlan30 ping internet
4.4 单点故障冗余备份检测
查看当前vrrp状态
:
断开上行g0/0/4口:
再查看vrrp状态:
发现汇聚交换机1的vrrp组10 和20都切换为了backup,且优先级都减少了30。
恢复上行接口状态:
再次查看vrrp状态:
发现汇聚交换机1的vrrp组10 和20都切换回了master,且优先级都恢复为了120。
4.5 远程登录管理检测
在工作站上连接SW_gather1,检验是否能进行远程管理
获取完整论文+配置好的拓扑联系作者
获取完整论文+配置好的拓扑联系作者
结 论
随着科技技术发展,校园网络的畅通性、数据的安全性,以及经济和便携性有着越来越重要的需求。现有的校园安全性能不足,随着规模的扩大,带宽预留不足的等问题,对现有校园的办公带了许多不便利的地方。本文针对一些问题,进行了一些优化设计。
本项目运用到的技术主要有VLAN的划分、VLAN间通过VLANIF接口进行通信、MSTP、VRRP、WLAN基本组网、域名解析、OSPF路由协议以及防火墙的基本配置。首先将人力资源部、研发部、财务部和销售部单独划分VLAN,减少广播报文以及不必要的资源浪费,然后采用双上联的方式接入汇聚层交换机,保证链路的冗余以及可靠性,然后采用MSTP技术,它可以将每个VLAN看成一棵树,配置主备跟桥。同一个MSTP下,必须有相同的域名、修订等级、以及映射关系。接着跟踪上行链路接口,如果检测到上行链路出现故障,则会切换到备份网关上,以免造成数据的丢失。然后使用了防火墙以用来保证内外网的访问安全,连接外网的区域形成为UNTRUST、连接内网的区域形成为TRUST,服务器集群划分为DMZ区域,然后配置NAT策略,解决公网地址比较少的问题,可以访问到外网用户。在防火墙、路由器以及三层交换机之间 采用了OSPF路由协议,收敛快,可扩展性高,还具有认证功能,适合中小型网络。
参考文献
[1]迪波斯,奥克斯著.李展等译.防火墙与VPN:原理与实践[M].清华大学出版社,2022.
[2]扈新波.局域网组建与管理技术详解[M].电子工业出版社,2021.
[3]文洋.网管员使用大全—局域网组建、管理、升级与维护[M].电子工业出版社.,2021.
[4]倪伟.局域网组建、管理及维护基础与实例教程[M].电子工:业出版社,2021.
[5]卢卡斯等编著.谢琳等译.防火墙策略与VPN配置[M].水利水电出版社,2021.
[6] Tim Szigeti,Christina Hattingh著.田敏,宋辉译.端到端QOS网络设计[M].人民邮电出版社,2021.
[7]王振宇;吴萍;Cisco路由器VPN配置常见问题及解决方法[J].硅谷,2020.
[8]周立.计算机防火墙技术原理分析及应用展望[J].硅谷,2020.
[9]刘荣林;刘卿;Cisco路出器配置及使用技巧探讨[J].煤炭技术,2020.
[10]周雪.安全服务器十年磨剑终出鞘[J].信息安全与通信保密,2020.
致 谢
本毕业设计是在老师的亲切关怀和悉心指导下完成的,从选题到最终的完成有赖于老师不懈的支持和细致指导,不断地对我的设计(论文)给予适宜的建议和修改意见。除了敬佩老师的专业水平以外,他的治学严谨和科学研究的精神也是我永远学习的榜样,并将积极影响我今年的学习和工作,他严肃的科学态度、精益求精的工作作风,深深地感染和激励着我。老师不仅为课题的完成提出了许多的宝贵意见,同时还将丰富的学识无私地传授给我。恩师渊博的学识、严谨的治学态度以及敏锐的思维都使我受益匪浅。在此,我对恩师辛勤栽培表示深深的感谢!