如需本文设计文件加文档可在下方留言或私信获取-
-
目录
-
根据逻辑网络整体设计以及校园需求分析的需要,现输出中学网络拓扑图如图3.1所示:
图3.1
3.4关键技术
3.4.1 OSPF
OSPF 是一种基于链路状态的路由协议,它通过计算最短路径来确定数据包的传输路径。然而,在某些情况下,OSPF 可能会选择次优路径作为数据包的传输路径,导致网络性能下降。这种情况可能发生在网络拓扑发生变化、链路状态更新延迟或者网络拓扑设计不合理时。为了解决这个问题,可以采取一些方法来优化 OSPF 网络。首先,通过合理设计网络拓扑结构,减少链路成本和延迟,降低次优路径的可能性。其次,可以调整 OSPF 的路由优先级,优先选择更短的路径。另外,及时更新链路状态数据库并配置合适的更新频率,以确保 OSPF 能够及时发现和适应网络变化,减少次优路径的出现。
3.4.2 MSTP
MSTP在校园网络中发挥着重要作用,主要用于提高网络的冗余容错能力和性能优化。通过MSTP,网络管理员可以将网络分割成多个虚拟的子网,每个子网拥有独立的生成树,从而避免了网络中的环路,确保了数据的稳定传输。此外,MSTP还可以根据网络拓扑结构自动选择最佳的路径,优化数据传输效率,提高网络的整体性能。在校园网络中,MSTP的应用使得网络能够更好地适应不同的拓扑结构和业务需求,提高了网络的可用性和可靠性。通过合理的配置和管理,MSTP可以有效地防止网络中的广播风暴和单点故障,保障了教学、科研和管理等各项业务的连续性和稳定性。
MSTP实例以及VLAN映射如下表所示:
| 设备名 | MSTP域名 | STP实例名 | VLAN号 |
| SW5 | 1 | instance 1 | 10 |
| SW6 | 1 | instance 1 | 20 |
| SW7 | 1 | instance 2 | 30 |
| SW8 | 1 | instance 2 | 40 |
3.4.3链路聚合
本设计中,主要用于提高网络带宽、增强链路冗余和提高网络可靠性。通过将多个物理链路捆绑在一起形成一个逻辑链路,链路聚合可以将多个低带宽的物理链路组合成一个高带宽的逻辑链路,从而提升网络的整体带宽和传输速度。这对于大型校园网络来说尤为重要,能够满足带宽需求大、数据传输量大的场景,如多媒体教学、科研数据传输等。
另外,链路聚合还能提供链路冗余和故障恢复能力,增强网络的可靠性和稳定性。当某个物理链路发生故障时,链路聚合技术能够自动检测到故障,并将受影响的流量从故障链路上转移到其他正常工作的链路上,实现快速的故障恢复和无缝切换,保障了校园网络的连续性和稳定性。
图3
3.4.4 VRRP
VRRP在校园网络中扮演着关键的作用,主要用于提高网络的可靠性和冗余备份。通过VRRP,可以将多台路由器配置成一个逻辑组,其中的一台路由器被选举为主路由器,负责处理所有进出该子网的数据流量,而其他路由器则作为备用路由器,待主路由器故障时自动接管其工作。这种主备机制可以有效避免单点故障导致的网络中断,保障了校园网络的稳定性和连续性。
另外,VRRP还能提供快速的故障恢复和无缝切换能力,当主路由器发生故障或失去连接时,备用路由器能够立即接管主路由器的工作,保证了网络的持续运行和数据的顺畅传输。这对于敏感性高、对网络中断容忍度低的应用场景尤为重要,如在线教学、科研数据传输等。
图3.5
本次设计VRRP主备关系
| 设备名 接口号 | SW1 | SW2 | MSTP根桥 |
| Vlanif10 | Master | Backup | SW1 |
| Vlanif20 | Master | Backup | SW1 |
| Vlanif30 | Backup | Master | SW2 |
| Vlanif40 | Backup | Master | SW2 |
3.4.5 DHCP
DHCP(动态主机配置协议)在校园网络中扮演着至关重要的角色,其作用主要在于为网络中的设备动态分配IP地址和其他网络配置信息,从而简化了网络管理和维护工作。通过DHCP,网络管理员可以轻松管理大量设备的IP地址分配,无需手动为每个设备指定静态IP地址,从而节省了大量的时间和人力成本。
此外,DHCP还能够提供灵活的地址管理和分配策略,根据网络中设备的数量和使用情况动态调整IP地址池的大小和分配方式,以适应不断变化的网络环境。这种动态管理方式能够更好地利用IP地址资源,避免了地址冲突和资源浪费的问题。因此,DHCP在校园网络中不仅简化了网络管理流程,还提高了网络的灵活性和效率。
3.4.6无线网技术
WLAN(无线局域网)在校园网络中扮演着至关重要的角色,它为学校师生提供了便捷的无线上网服务,实现了移动办公、移动学习和移动教学等功能。WLAN的作用不仅在于提供无线接入,还能够支持大规模的设备连接,满足学校日常教学和管理的网络需求。通过WLAN,学生和教职工可以随时随地连接到校园网络,进行在线学习、教学和办公,极大地提高了工作效率和学习效果。
在校园网络中,WLAN的组网方式主要包括集中式和分布式两种。集中式组网方式采用集中式控制器管理所有的无线接入点(AP),通过控制器对AP进行集中管理和配置,实现了统一的网络策略和管理。而分布式组网方式则是将控制功能分散到各个AP上,每个AP都具备独立的控制功能,能够自主进行网络管理和控制。两种组网方式各有优劣,根据学校的具体需求和网络规模选择合适的组网方式。
图3.6
4.2网络基础配置
4.2.1接入层交换机配置
vlan batch 10 111 //创建VLAN
#
stp region-configuration //进入STP域
region-name 1 //设置域名
instance 1 vlan 10 20 111 //设置实例并绑定vlan
instance 2 vlan 30 40
active region-configuration //激活STP域
#
interface Ethernet0/0/1 //进入接口视图
port link-type access //设置接口类型
port default vlan 10 //配置接口默认VLAN
stp edged-port enable //设置完STP边缘端口
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 40 111
port-isolate enable group 1 //配置端口隔离隔离组,同一隔离组之间不能通讯
#
4.2.3核心交换机配置
vlan batch 101 to 104 106
#
dhcp enable
#
interface Vlanif101
ip address 172.16.1.2 255.255.255.0
#
interface Vlanif102
ip address 172.16.2.2 255.255.255.0
#
interface Vlanif103
ip address 172.16.5.1 255.255.255.252
#
interface Vlanif104
ip address 192.168.104.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 172.16.104.2
#
interface Vlanif106
ip address 172.16.6.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 106
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 104
port trunk allow-pass vlan 103 to 104
#
interface GigabitEthernet0/0/5
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/6
port link-type access
port default vlan 106
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
4.3 MSTP与VRRP配置
MSTP配置:
以汇聚交换机AW1为例
stp instance 1 root primary //设置为实例1的主根桥
stp instance 2 root secondary //设置为实例2的备根桥
#
stp region-configuration //进入STP域视图
region-name 1 //配置域名为1
instance 1 vlan 10 20 111 //配置实例1并绑定vlan
instance 2 vlan 30 40 //配置实例2并绑定vlan
active region-configuration //激活MSTP
#
VRRP配置:
以汇聚交换机SW1为例
interface Vlanif10//进入虚拟接口视图
ip address 192.168.10.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.254//配置虚拟网关地址
vrrp vrid 1 priority 120//设置虚拟网关优先级
4.4 OSPF路由配置
以汇聚交换机SW1为例
ospf 1 router-id 1.1.1.1 //进入OSPF进程1,并设置路由器id
area 0.0.0.0 //进入区域0视图
network 1.1.1.1 0.0.0.0 //通告本地直连网段
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.40.0 0.0.0.255
network 192.168.100.0 0.0.0.255
network 172.16.2.0 0.0.0.255
network 192.168.111.0 0.0.0.255
#
4.5无线接入器配置
以AC1为例
iinterface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254
#
capwap source interface vlanif100//配置CAPWAP隧道源地址为VLANIF 100
#
Wlan //进入WLAN视图
security-profile name tushu //设置安全模板名
security wpa-wpa2 psk pass-phrase tushu@123 aes//配置加密方式以及安全密钥
security-profile name bangong
security wpa-wpa2 psk pass-phrase bangong@123 aes
security-profile name default
security-profile name jiaoxue
security wpa-wpa2 psk pass-phrasejiaoxue@123 aes
security-profile name xingzheng
security wpa-wpa2 psk pass-phrasexingzheng@123 aes
ssid-profile name tsg //配置SSID模板
ssid tsg//设置SSID为tsg
ssid-profile name bangong
ssid bangong
ssid-profile name jiaoxue
ssid jiaoxue
ssid-profile name xingzheng
ssid xingzheng
vap-profile name tushu //配置VAP模板名
service-vlan vlan-id 111 //配置业务vlan
ssid-profile tsg //绑定SSID模板
security-profile tushu //绑定安全模板
vap-profile name bangong
service-vlan vlan-id 111
ssid-profile bangong
security-profile bangong
vap-profile name jiaoxue
service-vlan vlan-id 111
ssid-profile jiaoxue
security-profile jiaoxue
vap-profile name xingzheng
service-vlan vlan-id 111
ssid-profile xingzheng
security-profile xingzheng
ap-group name tushu //配置AP组组名
radio 0
vap-profile tushu wlan 1 //配置VAP无线射频
radio 1
vap-profile tushu wlan 1
ap-group name bangong
radio 0
vap-profile bangong wlan 1
radio 1
vap-profile bangong wlan 1
ap-group name jiaoxue
radio 0
vap-profile jiaoxue wlan 1
radio 1
vap-profile jiaoxue wlan 1
ap-group name xingzheng
radio 0
vap-profile xingzheng wlan 1
radio 1
vap-profile xingzheng wlan 1
ap-id 1 type-id 56 ap-mac 00e0-fcaf-6710 ap-sn 210235448310CF64A729//离线绑定AP
ap-name jiaoxue //设置AP名
ap-group jiaoxue //绑定AP组
ap-id 2 type-id 56 ap-mac 00e0-fcd3-1430 ap-sn 210235448310A03B6F7B
ap-name bangong
ap-group bangong
ap-id 3 type-id 56 ap-mac 00e0-fc2d-16d0 ap-sn 2102354483109C4E270B
ap-name xingzheng
ap-group xingzheng
ap-id 4 type-id 56 ap-mac 00e0-fcaf-65b0 ap-sn 2102354483100A4D7C18
ap-name tushu
ap-group tushu
4.6防火墙配置
hrp enable //使能HRP
hrp interface GigabitEthernet1/0/3 remote 172.16.10.2//配置心跳线对端地址
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 172.16.6.252 255.255.255.0
vrrp vrid 3 virtual-ip 172.16.6.254 active
service-manage ping permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 172.16.9.252 255.255.255.0
vrrp vrid 2 virtual-ip 172.16.9.254 active
service-manage ping permit
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 128.0.1.252 255.255.255.0
vrrp vrid 4 virtual-ip 128.0.1.254 active
service-manage ping permit
ipsec policy fw1 //接口下调用IPSec策略
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 172.16.10.1 255.255.255.252
service-manage ping permit
#
interface GigabitEthernet1/0/4
undo shutdown
ip address 172.17.1.252 255.255.255.0
vrrp vrid 1 virtual-ip 172.17.1.254 active//配置VGMP,active为主
service-manage ping permit //接口放行PING命令
#
interface LoopBack0 //进入本地环回口
ip address 11.11.11.11 255.255.255.255 //添加接口IP地址
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/2
#
firewall zone dmz //进入安全区域DMZ
set priority 50 //设置区域优先级
add interface GigabitEthernet1/0/3 //添加接口至安全区域
add interface GigabitEthernet1/0/4
#
ospf 1 router-id 11.11.11.11
default-route-advertise always //下发默认路由至全网
import-route static //引入静态路由
silent-interface GigabitEthernet1/0/2 //将边缘接口静默
silent-interface GigabitEthernet1/0/4
silent-interface GigabitEthernet1/0/3
area 0.0.0.1 //进入区域1视图
network 11.11.11.11 0.0.0.0
network 172.16.6.0 0.0.0.255
network 172.16.9.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 128.0.1.1//配置默认路由,下一跳指向外网
ip route-static 192.168.50.0 255.255.255.0 172.17.1.1//配置连接服务器的静态路由
ip route-static 192.168.60.0 255.255.255.0 172.17.1.1
ip route-static 192.168.70.0 255.255.255.0 172.17.1.1
#
nat server natser_7518_1 protocol tcp global 128.0.1.200 www inside 192.168.50.1 www//配置NATserver,将内网WEB服务器地址映射至公网
#
security-policy //进入安全策略视图
rule name T_D //配置安全策略名为T_D
source-zone trust //设置数据源区域为trust
destination-zone dmz //设置数据目的区域为DMZ
action permit //执行动作为允许
rule name T_U
source-zone trust
destination-zone untrust
action permit
rule name U_D
source-zone untrust
destination-zone dmz
action permit
rule name u_l
source-zone untrust
destination-zone local
action permit
rule name D_U
source-zone dmz
destination-zone untrust
action permit
#
nat-policy //配置NAT策略
rule name 1 //设置策略名为1
source-zone trust //设置策略匹配源区域
destination-zone untrust //设置策略匹配目的区域
action source-nat easy-ip //设置为源地址转换,且模式为easy-IP
#
4.7 DHCP配置
dhcp enable //开启DHCP功能
#
ip pool vlan10 //设置VLAN 10IP地址池
gateway-list 192.168.10.254 //配置网关地址
network 192.168.10.0 mask 255.255.255.0 //通告网段及掩码
excluded-ip-address 192.168.10.1 192.168.10.5 //配置保留地址
dns-list 192.168.60.1 //配置DNS服务器,随DHCP一同下发给客户端
option 43 sub-option 3 ascii 192.168.100.1 //配置option 43 下发AC源地址
#
interface Vlanif104 //进入虚拟接口视图
ip address 172.16.104.2 255.255.255.0 //添加接口IP地址
dhcp select global //配置全局DHCP
4.8IPSec VPN配置
acl number 3000 //设置ACL3000,匹配感兴趣数据流
rule 5 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.90.0 0.0.0.255
#
ipsec proposal 1 //配置ipecac协商
esp authentication-algorithm sha2-256 //配置esp认证算法
esp encryption-algorithm aes-256 //配置esp加密算法
#
ike proposal 1 //配置IKE协商
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer 1 //配置IKE对等体
pre-shared-key admin@123 //设置预共享密钥
ike-proposal 1 //绑定IKE协商
remote-address 128.0.5.1 //配置远端地址
#
ipsec policy fw1 1 isakmp //配置IPSEC策略
security acl 3000 //绑定ACL匹配感兴趣数据流
ike-peer 1 //绑定IKE对等体
proposal 1 //绑定IPSec协商
tunnel local 128.0.1.254 //设置隧道本地地址
#
5测试
5.1DHCP测试
根据规划,学校的用户终端均采用DHCP协议自动获取IP地址以及DNS服务器地址。以教学楼为例,教学楼PC终端开启后,自动获取本部门对应网段的IP地址,DHCP验证如图5.1和5.2所示:
图5.1
图5.2
图5.3
通过抓包分析可得,教学楼客户端能正常获取IP地址以及DNS服务器地址
5.2局域网连通测试
本次仿真实现了校园局域网中内网各独立部门不能网络互访,均能访问公司内网服务器,以教学楼和办公楼为例。
由以上三图可知,各部门客户端之间因为做有三层端口隔离,故不能有业务往来,各部门能主动访问公司WEB服务器,获取其中资料。
5.3 MSTP与VRRP测试
MSTP与VRRP都是在遵照高可用性设计下的产物,因此不仅需要测试各自协议是否配置正确,还要测试在某条链路断开后网络是否高可用。
如图5.4所示,汇聚层MSTP中均不存在阻塞端口,所有端口都可进行数据转发,保证核心层的高吞吐量。而阻塞端口在接入层交换机,如5.5所示,这样可以使正常情况下仅阻塞一条次优路径即可避免环路产生。
图5.4
图5.5
VRRP验证如图5.6所示,每个虚拟网关都拥有一个Master端和Backup端。经过图5.7,证明了MSTP与VRRP可以保证在单条链路故障的情况下,保证网络中断时间尽可能少。
图5.6
图5.7
5.4 OSPF测试
本次实施的校园内网通过OSPF协议同步给防火墙,使得内网用户通过DNS服务器域名解析,然后通过防火墙做完NAT以后可以实现局域网与广域网网互通。
5.5IPSec测试
由下图可以看出,主分之间跨公网通讯,数据已被加密,IPSec隧道建立成功。
小结
此次校园网的规划中,我又对网络知识的又一次系统的学习,而且是一次更完整的学习。在以前的课堂上,网络课程讲的都是关于网络原理性的内容,在实际的操作方面却很少提及。经过此次校园网的规划,学到了很多实际应用的知识。
在此次规划前期先做了项目需求分析,在此基础上寻找有效解决办法。这为以后的网络规划提供了有利的依据。在以后的规划中,以建立网络教学、办公为目标,从经济性、实用性、操作性、扩展性的原则来设计中学校园网。此次根据用户需求建立的网络架构,并且对以后的网络扩展也有较强的扩展性。在规划中还将新一代网络的特性和网络的发展新趋势,提高了网络的人性化,体现了以人为本的原则。但是,网络设计也有一些需要完善的地方,比如在建立服务器、防火墙的具体配置方法等方面。通过这次网络规划,丰富了我在网络方面的知识,使我学到了很多网络方面深层次的内容。特别是在网络设计、交换机、服务器方面,我有了更加丰富的知识。
扫一扫
9911
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
