小型校园局域网设计方案.doc

《小型校园局域网设计方案.doc》由会员分享，可在线阅读，更多相关《小型校园局域网设计方案.doc（23页珍藏版）》请在咨信网上搜索。

目录 绪论: 第一章 项目计划书………………………………………………. 1.1项目范围……………………………………………………… 1.2网络设计方案原则…………………………………………… 1.3任务的分配…………………………………………………… 第二章 校园网络的需求………………………………………… 2.1需求概述……………………………………………………… 2.2需求的目标…………………………………………………… 2.3需求的分析…………………………………………………… 2.3.1拓扑结构需求分析………………………………………….. 2.3.2数据传输需求分析…………………………………….. 2.33发展需求分析………………………………………………. 2.34性能需求分析……………………………………………….. 第三章 校园网络规划与设计…………………………………… 3.1设计方案……………………………………………………… 3.2小型校园网的总体架构……………………………………… 3.3拓扑分析……………………………………………………… 第四章 校园网的实现…………………………………………… 4.1访问层配置…………………………………………………… 4.2核心层……………………………………………………….. 4.3配置路由器………………………………………………….. 4.3.1NAT配置………………………………………………… 4.3.2 ACL配置……………………………………………………. 4.5防火墙……………………………………………………….. 4.6 WEB、FTP、DHCP、DNS………………………………… 第五章 功能测试…………………………………………. 5.1项目中所遇到的问题………………………………….... 5.5防火墙的作用………………………………………………… 5.5总结…………………………………………………………… 第一章 项目计划书\ 1.1项目范围 该方案主要基于一种高性能网络的设计思路，主要特点在于： 1.换技术为核心，构造一个既能覆盖本地又能与外界进行网络互通、共享信息的计算机网络主干网; 2.技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法; 3.符合开放性规范，将业界最优秀的产品集成于该综合网络平台之中； 4.较好的可扩展性，为今后的网络扩容作好准备。 1.2网络设计方案原则 网络系统的设计我们遵循如下原则： 1. 网络系统采用开放、标准的网络协议; 2. 网络系统要有足够的带宽和处理能力，不造成应用系统的“瓶颈”; 3. 网络系统要有一定的冗余，局部的故障不能造成系统瘫痪。 4.系统要有足够的隔离与安全机制。 5.系统要有多种网络接口，以适合不同的通信网络; 6.系统要有足够的扩充能力，便于网络规模的扩大，同时有利于向新技术升级。 7.系统要有一定的先进性，保证刚建立的网络系统不会因为技术落后立即被淘汰。 8.足要求的情况下，尽可能采用简单的网络拓扑结构，尽量利用原有布线系统及相关网络设备和通信设备。 1.3任务的分配: 雷文龙（组长） 实现和演讲 校园网的规划与设计 配置路由器完成动态路由、NAT、ACL 周乐妥 项目的计划 文档整理、图表设计 配置核心层交换机 发布WEB、FTP 周嵘斌 网络目标的需求、方案中的绪论、管理和测试 协助防火墙的设置 VLAN的划分、VLAN间访问，DNS 梁尚 配置防火墙 方案中的结论、管理和测试 访问层配置 第二章 校园网络的需求 2.1需求概述 校园网是各种类型网络中一大分属，有着非常广泛的应用，它以局域网为主，但网络结构和性能要求却有其特色，为此特对校园网作应用分析。随着现代化教学活动的开展和与国内外教学机构交往的增多，对通过Internet/Intranet网络进行信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥学生的创造力，校园网络建设成为现代教育机构的必然选择。 本项目要求架设一个局域网来组成校园网络,方便沟通与交流。 2.2需求的目标 校园网大都属于中小型系统，以园区局域网为主，一个基本的校园网具有以下的特点： 1. 高速的局域网连接——校园网的核心为面向校园内部师生的网络，因此校园局域网是该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求； 2. 2. 经济实用——学校对网络建设的投入有限，因此要求建成的网络应经济实用，具备很高的性能价格比； 3. 为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。 本校园网设计方案主要由以下部分构成：交换模块、实验图例和配置接入模块. 2.3需求的分析 网络系统的需求原则 l 高可靠（用）性及强大的容错能力。它必须保证7*24全天候不间断地工作，主干设备必须具有全容错结构，并具有热插拔功能，可带电修复有关故障而不影响总体网络的工作，网络的设计应保持一定数量的冗余以保证整体系统的高可靠性和高可用性。 l 高带宽、大容量 l 易管理、易维护 l 易扩展。随着网络应用的规模扩大，系统应能在不影响网络用户使用的前提下扩充网络规模。 l 便于向更新技术的升级和衔接。 标准化。 小型校园网一般适用于中小学或高校一期建设情况。要求实现的功能包括： 1、 总体架构设计 小型校园网一般采用星型网络架构，以简捷的二层或三层结构实现。建设基于快速以太网或千兆以太网的全交换网络结构，要求实现100Mbps主干、10Mbps交换到桌面或者1000Mbps主干、100Mbps交换到桌面的高性能的校园局域网。 2、 网络结构设计 对于小型校园网，网络拓扑结构可以采用两级模式： 2.1主干部分设计 主干部分要求完成网络各汇聚点的互联，完成高效的数据传输、交换、转发和路由功能。为了提高校园网的安全和传输效率，将校园网分为了若干个VLAN，将相同性质的计算机分在同一个VLAN中。将校园网分为办公楼、图书馆、教学楼、实验楼、学生宿舍楼等几个VLAN。 2.接入部分设计 接入部分为用户提供在局域网段访问互联网的能力。实现用户的局域网接入，采用100Mbps交换到桌面可以基本满足目前应用的需求。 3、通过防火墙连接Internet 校园网要通过防火墙接入Internet，实现信息的安全查询和发布，要求实现对防火墙安全设置。一般可采用接入CERNET或者接入其他ISP，如电信等访问Internet。 2.31 拓扑结构需求分析 在进行网络的总体设计前，应当首先搞清楚哪些建筑物需要布线，每座建筑物中的哪些房间需要布线，每个房间的哪个位置需要预留信息插座，建筑物之间的距离，建筑物的垂直高度和水平长度等等。只有事先调查好这些内容，才能合理地设计网络拓扑结构，才能选择适当的位置作为网络管理中心，才能选择适当的位置作为设备间放置网连设备，才能有目的地选择组建网络所使用的通信介质和交换机. 2.32 数据传输需求分析 　用户对数据传输量的需求决定了网络应当采用何种网连设备和布线产品。就目前情况来看,多媒体已经成为校园网网络所必须支持的功能之一。基于这种大传输量的需求,以l0O0M光纤作为主干和垂直布线，以超5类双绞线作为水平布线，从而实现100M交换到桌面的网络，已经成为最普通的网络架构。基于这种大传输的需求,100M高性能交换机也已逐步从部门走向了工作组。 2.33 发展需求分析 作为网络设计者，不仅要容纳网络中当前的用户，而且还应当为网络保留至少3~5年的可扩展能力，从而使得在用户增加时，网络依然能够基本满足增长了的需要。这一点非常重要，因为布线工程一旦完毕，就很难再进行扩充性施工。所以，在埋设电缆和信息插座时，一定要有足够的余量，而连网设备则可以在需要时随时购置。 2.34 性能需求分析 不同厂家乃至同一厂家不同型号的硬件产品在性能和功能上都有较大差异,有的安全性高、有的稳定性好、有的转发速率快、有的拥有特殊性能。因此,应当慎重考察和分析本网络对性能的根本需求,以便于选择相应品牌和型号的硬件产品。 　 第三章 校园网络规划与设计 3.1设计方案: 根据任务提示,我们把小型校园网划分为教学楼,办公楼,实验楼,学生宿舍和图书馆. 它是在信息中心设一核心交换机分别划分5个vlan,把教学楼,办公楼,实验楼,学生宿舍和图书馆各自划分一个vlan. 在每个vlan进行对Internet的访问或对各个vlan的互相访问时都要经过核心交换机,而在访问Internet时还要经过动态路由并且进行地址转换后才能访问Internet. 3.2小型校园网的总体架构 本图是小型校园网的总体架构图，它是采用星型网络架构，以简洁的三层结构实现。建设基于快速以太网或千兆以太网的全交换网络结构，实现1000Mbps主干、100Mbps交换到桌面的高性能的校园局域网。 它是由一个核心交换机为中心，作为核心层。上面为访问层，从外网访问内网或从内网访问外网都需经过此路由访问。下面为分布层从核心交换机下来分别有2个交换机，分为2个vlan以便vlan50能访问vlan60交换机f0/1和交换机f0/2下面分别接2台PC机代表终端。又吧每个终端划分vlan分别为vlan10、vlan20、vlan30和vlan40。 3.3拓扑分析 以下图为本小组所设计的校园网的网络拓扑图,也是由一个核心交换机为核心层，上面一个路由作为访问层,为了能够完成数据流的控制及网络地址的转换我们在此路由配置ACL和NAT 并配置静态路由.这里我们只分了3个终端连接在3个交换机上在连接到核心交换机上每个交换机都分别设一个vlan,分别是vlan10,vlan20和vlan30核心交换机的右面是一个DMZ区在这里可以设置DNS服务器,WINS服务器等. 整个图以内网访问外网的方向就是从终端开始生成vlan，划分vlan实现vlan，然后从交换机进入到核心交换机.为了以便访问在核心交换机我们不把DMZ区和分布层各划分vlan经过核心交换机通过防火墙在进入到Router在Router处完成地址转换后以转换的IP地址访问Internet。 第四章 校园网实现 4.1访问层配置 Conf t vlan 10 name vlan 10 exit vlan 20 name vlan 20 exit vlan 30 name vlan 30 exit 4.2核心层配置 inter f0/1 switchport mode access switchport access vlan 10 ip add 172.16.1.1 255.255.255.0 no shutdown exit inter f0/2 switchport mode access switchport access vlan 20 ip add 172.16.1.2 255.255.255.0 no shutdown exit inter f 0/3 switchport mode access switchport access vlan 30 ip add 172.16.1.3 255.255.255.0 no shutdown exit 4.3配置路由 路由器配置NAT命令: Conf t Inter f1/1 Ip nat in side Exit Inter s1/2 In nat outside Exit Ip nat pool to Internet 210.52.149.2 210.52.149.2 netmask 255.255.255.0 Access-list 10 permit 172.16.0.0 0.0.255.255 Ip nat inside source list 10pool to Internet over load end Conf t Interface f1/1 Hostname netrouter Ip add 172.16.1.4 255.255.255.0 No shut Interface s1/2 Ip add 200.16.10.1 255.255.255.0 No shut Clock rate 64000 配置动态路由的命令 # router rip network 172.16.1.0 network 172.16.2.0 end 查看路由IP show IP router 配置ACL命令: Router1 router rip network 172.16.1.1 network 172.16.1.2 network 172.16.1.3 access-list 1 deny 172.16.1.1 255.255.255.0 access-list 1 deny 172.16.1.2 255.255.255.0 access-list 1 deny 172.16.1.3 255.255.255.0 4.4防火墙 配置3个网卡,一个对应DMZ区,一个对应内网,一个对应外网.建立一访问规则并创建OU,以便对外网访问内网或内网访问外网的控制(在访问规则内可以设置外网对内网的访问和内网对外网的访问,比如HTTP访问等.). 4.5 WEB、FTP、DHCP、DNS 发布WEB: 发布 Web 服务器需要创建 Web 发布规则。创建规则的过程中，还将创建 Web 侦听器，以指定 ISA 服务器将在哪些 IP 地址上侦听对内部网站的请求。如果您仍然拥有为外围 Web 发布方案创建的侦听器，那么应将其用在此方案中，而不必创建新的侦听器。 注意：您可以创建和修改 Web 侦听器，而不受 Web 发布规则的限制。通过防火墙策略任务窗格中“工具箱”选项卡上的“Web 侦听器”文件夹，可以访问现有的 Web 侦听器。要创建新的 Web 侦听器，请在防火墙策略任务窗格中的“工具箱”选项卡上单击“新建”，然后选择“Web 侦听器”。 要创建允许 Internet 上的客户端计算机 (External1) 访问内部网络中的 Web 服务器 (InternalWebServer) 的 Web 发布规则，请执行下列步骤： 1. 在 Microsoft ISA 服务器管理中，展开“ISA_1”，然后单击“防火墙策略”。 2. 在任务窗格的“任务”选项卡上，单击“发布一个 Web 服务器”来启动新建 Web 发布规则向导。 3. 在“欢迎使用”页上的“Web 发布规则名称”中，键入规则名称：允许从外部访问 InternalWebServer。单击“下一步”。 4. 在“请选择规则操作”页上，选择“允许”，然后单击“下一步”。 5. 在“请定义要发布的网站”页上的“计算机名称或 IP 地址”中，键入要发布的 Web 服务器的 IP 地址或计算机名称。在没有可解析名称的实验室设置中，请使用 ISA 服务器计算机的外部网络适配器的 IP 地址。单击“下一步”。 注意：在“请定义要发布的网站”页的“文件夹”中，指定要发布的特定文件夹。在没有 DNS 服务器的实验室设置中，将使用一个 IP 地址来同时标识外围和内部 Web 服务器，以便特定时刻只有一个 Web 服务器可用（取决于规则顺序中哪个规则先出现）。在生产部署或者具有 DNS 服务器的实验室部署中，使用名称（由 DNS 服务器解析）可避免此问题。 6. 在“公共名称细节”页上，验证是否已选中“此域名”。在“此域名”下的文本框中，键入发布的网站的公共域名或 IP 地址。用户将通过在浏览器的地址字段中键入此名称或地址来访问您的网站。您可以指定一个文件夹，该文件夹将附加到名称中，随后显示在“站点”中。单击“下一步”。 7. 在“选择 Web 侦听器”页上，单击“新建”启动新建 Web 侦听器向导。 8. 在新建 Web 侦听器向导的“欢迎使用”页上的“Web 侦听器名称”中键入 Web 侦听器的名称：侦听外部网络的端口 80。然后，单击“下一步”。 9. 在“IP 地址”页上，选择“外部”，然后单击“下一步”。这样此侦听器将侦听来自外部网络的请求。 10. 10. 在“端口指定”页的“HTTP 端口”中，键入 80。如果要在 HTTPS 上进行发布，那么还可以选择“启用 SSL”和 SSL 端口。这将要求您使用“选择”按钮在此页上选择一个证书。单击“下一步”。 11. 查看摘要页，然后单击“完成”。 12. 在“选择 Web 侦听器”页上，单击“下一步”。 13. 在“用户集”页上，验证在“此规则应用于来自以下用户集的请求”中是否列出了“所有用户”。单击“下一步”。 14. 查看摘要页，然后单击“完成”。 15. 在详细信息窗格中，单击“应用”来应用所做的更改。 第五章 方案(设计结果) 5.1项目开发时遇到的问题 5.2需求中遇到的问题 5.3设计中所遇到的问题 5.4在实现命令时遇到的问题 5.5防火墙的作用 防火墙的作用 网络存在的安全隐患和漏洞主要有以下几个方面： 　　第一，校园网与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。 　　第二，校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁会更大一些。 　　第三，目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等，这些系统安全风险级别不同，例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。 　　第四，随着校园内计算机应用的大范围普及，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。 　　第五，内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；内外网恶意用户可能利用利用一些工具对网络及服务器发起DoS攻击，导致网络及服务不可用；校园网内针对QQ的黑客程序随处可见。 　　第六，可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁。 　　上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来，随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。对此，一套安全的防护体系颇为重要。 5.6总结