完整版网络和测试文档私信领取
毕设网络规划与设计
目录
4.小结完整版网络和测试文档私信领取
1.设计背景
长沙南方职业技术学院有4栋教学楼,1栋实验楼,1个艺术楼,1个图书馆,1个医院楼,1个行政办公楼(第一层有教务处、总务处、招生就业处、学生处等;第二层有校长办公室、财务处、网络中心等;第三至第十层依次是计算机学院、数理学院、电器与自动化学院、化材学院、体艺学院、文化与传媒学院、经法与管理学院、外国语学院等),6栋女生宿舍楼,6栋男生宿舍楼。高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作,更承担着部分国家级的科研任务,同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速,智能,安全,认证计费等的需求,可以利用万兆以太网的校园网组网技术。本课程设计为学生提供了一个动手动脑、独立实践的机会。通过该课程设计,使学生能够更好地掌握路由器和交换机的原理和配置:能够将课本上的理论知识和实践开发有机的结合起来;能够锻炼学生的分析问题、解决问题的能力,从而加深对这门课的理解,在理解相关设备的原理知识的同时又提高学生的实际操作能力。在本设计方案中,我将主要采用cisco的网络设备。
2.设计思路
首先根据实际情况规划拓扑,估算设备数量,校园网应用的技术,规划ip地址IP地址分配时要求至少有6个网络地址,为了安全起见,设置访问限制:教务服务器只允许外网夜间18:00~23:30访问;每学期上课期间周一至周五上午8:00~11:30、下午14:00~17:30、夜间23:30~次日凌晨06:00,所有学生宿舍的主机不准访问外网,其余时间访问外网不受限制。接入层交换机上进行VLAN划分,并配置交换机端口安全;除了限制之外,所有主机均可互相访问并可访问Internet。在出口路由器上配置RIP和路由重分发,以便适应不同厂商的路由器的支持;在接入层交换机上配置MSTP实现负载均衡;
3.设计内容
3.1需求分析
3.1.1用户需求分析
设计一个网络,首先要为用户分析目前面临的主要问题,确定用户对网络的 真正需求,并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和 网络技术,提供用户满意的高质服务。网络在日常教学办公环境中起着至关重要的作用,校园网的运作模式会带 来大量动态的 www 应用数据传输,会有相当一部分应用的主服务器有高速接入网 络的需求(目前为 1000Mbps,今后可会更高)。这就要求网络有足够的主干 带宽和扩展能力。同时,一些新的应用类型,如网络教学、视频直播/广播等, 也对网络提出了支持多点广播和宽带高速接入的要求。 除上述考虑外,还要注意到由于逻辑上业务网和管理网必须分开,所以建 成后校园网应能提供多个网段的划分和隔离,并能做到灵活改变配置,以适应教 学办公环境的调整和变化。 中心机房到汇聚层节点采用光纤(多模)连接,汇聚层到接入层采用千兆的五类线(或者超五类)连接。通常考虑,建议数据信息点的接入用交换 1000Mbps 自适应以太网端口接入,以便能较经济的提供较高的带宽。整个方 案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA 应用 和 Internet 访问等于一体的高可靠、高性能的宽带多媒体校园网。
3.1.2性能需求分析
(1)校园网络应能方便师生尽快提高信息技术的应用水平。
(2)校园网络是现代学校管理的基础,应在校园网络上建立详细、全面的学校信息管理系统。
3.3.3功能需求分析
1、主干网中的服务器至少要求有:1个财务系统服务器,1个教务系统服务器,1个web服务器,1个ftp服务器,1个E-mail服务器,1个文件服务器(同时又是DHCP服务器)。
2、与Internet相连的地址池为:152.2.2.0~152.2.2.9
3、IP地址分配时要求至少有6个网络地址(可利用子网)。
4、为了安全起见,必须满足以下访问限制:
(1).财务服务器只允许3个校长和财务处内部人员访问;
(2).教务服务器只允许外网夜间18:00~23:30访问;
(3).每学期上课期间周一至周五上午8:00~11:30、下午14:00~17:30、夜间23:30~次日凌晨06:00,所有学生宿舍的主机不准访问外网,其余时间访问外网不受限制。
(4).夜间23:30~次日凌晨06:00,外网不能访问web服务器,ftp服务器,E-mail服务器和文件服务器。
(5).体艺学院学院主机每周六、日不可访问本校的web服务器;
(6).学生宿舍的交换机要配置ARP检查和DHCP监听
(7).接入层交换机上进行VLAN划分,并配置交换机端口安全;除了限制之外,所有主机均可互相访问并可访问Internet。
5、在出口路由器上配置RIP和路由重分发,以便适应不同厂商的路由器的支持;
6、在接入层交换机上配置MSTP实现负载均衡;
7、在网络中设置一个RADIUS服务器,配置接入层交换机,不准非法用户接入网络。
3.3.4网络安全管理需求
为保障学校财务系统的安全,财务服务器只允许3个校长和财务处内部人员访问。
使用标准IP ACL来实现此访问控制,将访问控制列表应用到核2的f0/2上。
为保障学校教务系统的安全,教务服务器只允许外网夜间18:00~23:30访问。
使用基于时间的ACL来实现此访问控制,将访问控制列表应用到核2的f0/2. 上。
为防止学生过于上网,现对上网限制如下:
每学期上课期间周-至周五上午8:00~11:30、下午14:00~17:30、 夜间23:30~次日凌晨06:00,所有学生宿舍的主机不准访问外网,其余时间访问外网不受限制;
使用基于时间的ACL来实现此访问控制,将访问控制列表应用到核3的f0/1上。
夜间23:30~次日凌晨06:00,外网不能访问web服务器,ftp 服务器,E-mail 服务器和文件服务2器;
使用基于时间的ACL来实现此访问控制,将访问控制列表应用到出口路由器的f0/0上。
体艺学院学院主机每周六、日不可访问本校的web服务器;
使用基于时间的ACL来实现此访问控制,将访问控制列表应用到体艺学院交换机的f0/1上。
在学生宿舍的交换机要配置ARP检查和DHCP监听,避免网络攻击。
3.3.5拓扑需求
随着校园网对因特网接入需求的增加,应该考虑校园网能够顺利实现与外部网络和Internet的连接。校园网络应具有使用灵活、管理简单的特点。由于园区网络不能在系统维护上投入太多专业人员,因此在设计时应考虑网络的使用和维护应尽可能简单。鉴于未来校园扩建和教学发展的需求,校园网络应具有良好的扩展能力,可以保证校园网络在需要时能够顺利升级到未来网络。此外,园区网络应能够保证新应用的顺利开发和实施。
3.2具体设计
内网与外网通信使用NAT技术实现:
NAT 地址池的可用IP地址为152.2.2. 1~152.2.2.9,子网掩码为255.255.0.0。
出口路由器上的f0/0为NAT内部接口,指定出口路由器上的s2/0为NAT外部接口。
出口路由器,核2与核3所在网段: 192. 168.2.0
服务器群所在vlan4: 192. 168.4.0
行政楼所在vlan5: 192. 168.5.0
理工实验楼所在vlan6: 192. 168.6.0
文艺实验楼所在vlan7: 192.168.7.0
图书馆所在vlan8: 192. 168.8.0
医院与教学楼所在vlan9: 192. 168.9.0
女生宿舍所在网段: vlan10:192.168. 10.0
男生宿舍楼所在网段: vlan11:192.168.11.0
3.3网络拓扑结构设计
网络的设计原则包括三方面:
(1)可靠性原则:一是业务稳定运行,二是故障恢复时间快。
(2)实用性和可扩展性:符合实际并且便于扩展。
(3)安全性:校园设备和链路必须具有冗余备份和内容安全性
一个网络的拓扑图能够最直观的呈现这个网络的设计思想,几种经典的网络拓扑结构各有特点。我们使用最标准的三层架构。要求任何一台设备都不能宕机,所以所有交换机必须要有双机热备冗余备份。校园的网络拓扑如下图所示。
3.4网络拓扑设备连线描述与网络地址规划
校园网内部结构
- 出口路由器
| 端口 | IP | 描述 |
| S2/0 | 152.2.2.10 | 与外网进行通信的端口; |
| F0/0 | 192.168.2.1 | 与内网进行通信的端口; |
- 核心交换机1
| 端口 | 描述 |
| F0/1 | 连接出口路由器; |
| F0/3 | 连接核心交换机2; |
| F0/4 | 连接核心交换机3; |
- 核心交换机2
| 端口 | 描述 |
| F0/1 | 连接核心交换机1; |
| F0/3 | 连接服务器群; |
| F0/4 | 连接行政楼交换机; |
| F0/5 | 连接理工实验楼交换机; |
| F0/6 | 连接文艺实验路交换机; |
- 核心交换机3
| 端口 | 描述 |
| F0/1 | 连接核心交换机1; |
| F0/2 | 连接图书馆交换机; |
| F0/3 | 连接医院交换机; |
| F0/4 | 连接教学楼交换机; |
| F0/5 | 连接女生宿舍楼交换机; |
| F0/6 | 连接男生宿舍楼交换机; |
- 各建筑交换机
| 名称 | 网关 | 所属Vlan | 备注 |
| 行政楼 | 192.168.5.1 | Vlan5 | 第一层的教务处主机IP为192.168.5.2; 第三层的校长办公室的三台主机IP分别为192.168.5.3,192.168.5.4,192.168.5.5;财务处主机IP为192.168.5.6; 第七层的体艺学院主机IP为192.168.5.7; |
| 理工实验楼 | 192.168.6.1 | Vlan6 | 理工实验室主机IP为192.168.6.2; |
| 文艺实验楼 | 192.168.7.1 | Vlan7 | 文艺实验室主机的IP为192.168.7.2; |
| 图书馆 | 192.168.8.1 | Vlan8 | 电子借阅室主机的IP为192.168.8.2; |
| 医院 | 192.168.9.1 | Vlan9 | 医务室主机的IP为192.168.9.2; |
| 教学楼 | 192.168.9.1 | Vlan9 | 多媒体教室主机的IP为192.168.9.3; |
| 女生宿舍楼 | 192.168.10.1 | Vlan10 | 学生电脑1 IP为192.168.10.2; |
| 男生宿舍楼 | 192.168.11.1 | Vlan11 | 学生电脑2 IP为192.168.11.2; |
- 服务器群(隶属Vlan4)
| 名称 | 网关 | IP | 描述 |
| 教务服务器 | 192.168.4.1 | 192.168.4.10 |
|
| Web服务器 | 192.168.4.1 | 192.168.4.9 | 文件名:index.html; |
| ftp服务器 | 192.168.4.1 | 192.168.4.2 |
|
| E-mail服务器 | 192.168.4.1 | 192.168.4.3 | 用户名1:09stu,密码study; 用户名2:09tea,密码teacher; |
| DHCP服务器 | 192.168.4.1 | 192.168.4.4 | 用户名:09stu,密码study; 权限:write、read、delete; |
- 外网配置
| 设备名称 | 描述 |
| 外网路由器 | S2/0与内网路由器s2/0相连,接口IP为152.2.2.11; |
| 外网交换机S0 |
|
| 外网Web服务器 | 网关:172.16.2.1;IP为172.16.2.254; |
| 外网主机 | 网关:172.16.2.1;IP为172.16.2.2; |
3.5功能实现
1、五个服务器:1个教务系统服务器,1个web服务器,1个ftp服务器,1个E-mail服务器,1个文件服务器(同时又是DHCP服务器)。
2、与Internet相连的地址池为:152.2.2.0~152.2.2.9
3、IP地址分配时要求至少有6个网络地址(可利用子网)。
4、为了安全起见,必须满足以下访问限制:
(1).财务服务器只允许3个校长和财务处内部人员访问;
(2).教务服务器只允许外网夜间18:00~23:30访问;
(3).每学期上课期间周一至周五上午8:00~11:30、下午14:00~17:30、夜间23:30~次日凌晨06:00,所有学生宿舍的主机不准访问外网,其余时间访问外网不受限制。
(4).夜间23:30~次日凌晨06:00,外网不能访问web服务器,ftp服务器,E-mail服务器和文件服务器。
(5).体艺学院学院主机每周六、日不可访问本校的web服务器;
(6).学生宿舍的交换机要配置ARP检查和DHCP监听
(7).接入层交换机上进行VLAN划分,并配置交换机端口安全;除了限制之外,所有主机均可互相访问并可访问Internet。
5、在出口路由器上配置RIP和路由重分发,以便适应不同厂商的路由器的支持;
6、在接入层交换机上配置MSTP实现负载均衡;
7、在网络中设置一个RADIUS服务器,配置接入层交换机,不准非法用户接入网络。
3.6网络设备选型
3.6.1 路由器选型
在路由器的设备选型中,首先要考虑的是设备运行的稳定性,因为其需要承载的是整个
公司网络的运行,在综合比较之下,这款设备既满足了公司网络运行的需求,价格也实惠,
性价比极高,可谓是物美价廉,故选择以下这款。
| 路由器参数 | ||||
| 设备品牌 | 设备型号 | 端口数量 | 传输速率 | 路由器类型 |
| 思科 | C891F-K9 | 8 | 10/100/1000Mbps | 校园级路由器 |
3.6.2 核心交换机选型
核心层交换机在公司内网中角色也是重中之重,需要非常大的包转发量及足够大的带宽
速率,同时还得支持多种路由协议和策略的应用,综合多方面的考虑,故选择以下这款。
| 路由器参数 | ||||
| 设备品牌 | 设备型号 | 端口数量 | 传输速率 | 交换机类型 |
| 思科 | C9300-24T-E | 24 | 10/100/1000Mbps | 核心交换机 |
3.6.3 接入层交换机
接入层交换机看起来不是很重要,但其实不然,接入层交换机在整个网络拓扑中也承担
着重要的角色,稳定性是最基本的,在网络的传输的速度上也很重要,需要支持多种协议,
如 RSTP、端口安全、ACL 等,所以我在这些最为基础的条件下选择了如下这款。
| 路由器参数 | ||||
| 设备品牌 | 设备型号 | 端口数量 | 传输速率 | 交换机类型 |
| 思科 | SG200-50 | 50 | 10/100/1000Mbps | 千兆交换机 |
3.6.4 服务器的选型
服务器是网络的一个重要节点,它将存储、处理公司网络上 80%以上的数据、信息,7
因此它也被称为网络的灵魂,所以校园的服务器存储能力要大、处理能力要强,才能满足公司的需求,故选择以下这款。
| 路由器参数 | ||||
| 设备品牌 | 设备型号 | 硬盘大小 | CPU型号 | 电源功率 |
| 思科 | USC C201 M2 | 10T | Inter Xeon E550 | 650W |
3.7主要配置完整版网络和测试文档私信领取
(1)在核心2上划分vlan并配置ip,启动路由功能并配置出口ip,命令如下:
interface FastEthernet0/1
no switchport
ip address 192.168.2.3 255.255.255.0
interface Vlan3
mac-address 00e0.a377.bc01
ip address 192.168.3.1 255.255.255.0
ip access-group 10 out
!
interface Vlan4
mac-address 00e0.a377.bc02
ip address 192.168.4.1 255.255.255.0
(2)为实现mstp负载均衡,在一个mstp域中个交换机上配置vlan,并映射实例中,(以汇聚S2交换机为例)命令如下:
spanning-tree mode rapid-pvst
(3)在核心2上对教务系统的访问控制,命令如下:
access-list 10 permit host 192.168.5.3
access-list 10 permit host 192.168.5.4
access-list 10 permit host 192.168.5.5
access-list 10 permit host 192.168.5.6
access-list 10 deny any
(4)出口路由器进行对服务器群访问控制,命令如下
time-range off-work
periodic daily 23:30 to 06:00
access-list 150 deny ip 152.2.2.0 0.0.255.255 192. 168.4.9 time- range off-work
access-list 150 deny ip 152.2.2.0 0.0.255.255 192.168.4.8 time-range off-work
access-list 150 deny ip 152.2.2.0 0.0.255.255 192.168.4.2 time-range off-work
access-list 150 deny ip 152.2.2.0 0.0.255.255 192.168.4.3 time-range off-work
interface fastEthernet 0/0
ip access- group 150 out
(5)出口路由实现内网通信
router rip
version 2
network 152.2.0.0
network 192.168.2.0
network 192.168.3.0
network 192.168.4.0
network 192.168.5.0
network 192.168.6.0
network 192.168.7.0
network 192.168.8.0
network 192.168.9.0
network 192.168.10.0
network 192.168.11.0
(6)动态地址池配置
access-list 10 permit 192.168.2.0 0.0.0.255
ip nat pool bo 152.2.2.1 152.2.2.9 netmask 255.255.0.0
interface FastEthernet0/0
ip nat inside
interface Serial2/0
ip nat outside
(7)在核心2上对所有学生宿舍的主机进行外网访问控制,命令如下
time-range off-work
periodic weekdays 23:30 to 06:00
access- -list 140 deny ip 192. 168.9.0 0.0.0.255 152.2.2.0 time-range off- work
access- -list 140 deny ip 192. 168.10.0 0.0.0.255 152.2.2.0 time-range off-work
interface fastEthernet 0/1
ip access-group 140 out
time -range off- -work
periodic weekdays 08:00 to 11:30
access -list 120 deny ip 192. 168.9.0 0.0.0.255 152.2.2.0 time-range off- work
access -list 120 deny ip 192. 168.10.0 0.0.0.255 152.2.2.0 time- -range off-work
interface fastEthernet 0/1
ip access -group 120 out
3.8网络测试与分析完整版网络和测试文档私信领取
(1)对于接入层交换机的vlan划分:
完整版网络和测试文档私信领取
- 以图书馆为例:
完整版网络和测试文档私信领取
(2)测试任意pc可以通信:
- 一同三层交换机下的男生宿舍与医院的测试:
- 不同三层交换机下PC之间的通信(电子借阅室与校长室2):
- 外网连通性测试
- 女生宿舍访问外网:
- 教务处访问外网:
(4)在出口路由器上配置RIP和路由重分发,配置结果:
完整版网络和测试文档私信领取
4.小结完整版网络和测试文档私信领取
4.1 毕业设计成果特点
4.2 设计成果的实用价值或应用前景
4.3 不足之处或遗留未予解决的问题
参考文献
[1]廖伟文.广州工商学院校园网的规划及实现[D]. 华南理工大学.
[2]甘容辉,袁智秦,何高大.国外智慧校园建设的最新发展及启示.现代教育技术.
[3]沈霞娟,洪化清,宁玉文,张宝辉.国外智慧校园研究热点与典型案例分析.现代教育技术.
[4]张海秀.高校校园网规划与设计[D]. 青岛科技大学.
[5]李飞,吴春旺,王敏编著.信息安全理论与技术:西安电子科技大学出版社,2016.03:第190页
[6]徐迎新.VPN技术在校园网安全体系架构中的应用研究[D].南昌大学,2009.
[7]赵君梅.校园网络安全方案的设计与实现[D].重庆大学,2009.
[8]李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008(03):91-93.
826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
