第一章 绪论
1.1 研究背景及意义
信息技术的快速发展已经到达了许多领域,如科学研究、经济和国防,并继续影响传统教育模式。
校园网络将提供更有效、更快的学习工具,大大促进信息和资源交换,从而扩大学生的视野和知识,使他们能够自我教育。
1.2 国内外研究现状及成果
在欧洲、美国和其他发达国家,尤其是在20世纪90年代初,美国代表的大学网络开发开始得很早,95%以上的大学都有无线服务。这些国家对互联网设计、lan、无线电、2g和手机的研究和应用都很高。许多美国大学的网络已经成为国际标准。
我们的学校网络的建设比较缓慢,但进展更快。国家投入了大量资金、政策和技术,以建立学校网络,确保改革教育模式。自几年前建立sernet教育网络到建立211工程以来,各大学的信息技术支持一直很快。目前,Cernet(主要)交换转换率为2.2.5 gbps,与加拿大、德国、日本、日本、联合王国和美国的网络有28条国际和区域通信线路,总带宽为250兆字节/秒。该网络已经覆盖中国200多个城市,运输速度为155兆字节/秒。
由2008年发布的《中国互联网发展报告》可知,此时中国的本科院校基本在校园内搭建完成了网络,主要有关于纸质图书馆的数字化、网上学习、新媒体和因特网科学隔间、网络会议和应用程序,负责研究活动的完整性。中国是世界领先的国家,而IPV6技术在许多大学的实验室之外很受欢迎。
1.3 主要研究内容
本文件的优点和创新之处是,它基于北方民族大学的实际需要,不仅考虑到该网络的运作情况,而且考虑到扩大网络的潜力,通过使用flane技术和设计的备份,提高该网络的安全性和可靠性。
第二章 校园网整体规划概述
2.1 校园网设计原则
今天,大多数大学都有多个校园网。校园网络是一个主要以局域网为基础的大型系统。设计应以下列原则为指导:可行性、安全和可靠性。
2.2 校园网整体规划方案
北方民族大学的大量信息点、用户需求和大型示范本地网络。该网络需要高水平的技术和相关设备,为了确保其总体业绩并促进今后的扩展,它应当采用多层次的网络结构。
北方民族大学有三大出口:电信、网络和教育网络,分别为1 500万、5亿和3 400万。在负责链接外部网络的路由器公布网络地址转换协议(NAT)和访问控制列表功能(ACL),使用不一样终端设备的用户通过各种出口进入因特网,这样可以在某种程度上降低各网络出口的负载,同时还能够减少网络拥塞的程度。
除了能够在物质、应用和管理方面保证网络安全外,技术安全策略也是格外重要的。这一策略采用了虚拟局域网(VLAN)的技术,确保了所有的网络使用者都可以使用虚拟局域网系统,能够对网络病毒产生较大的抑制。除此之外,入侵检测、防火墙、代理服务、身份识别等技术也能够对校园网进行综合防护。
2.3 校园网建设的预期目标
校园网的建设并不局限于搭建网络平台,这只是校园网建设所有过程中的第一个过程。校园网络日渐趋于成熟,目前较为完善的计算机技术、网络安全技术以及通信技术能够对用户的相关信息提供管理与服务,最为人所知的就是网络办公以及教学,除此之外还包含有简报、卡片和许多其他功能,并确保学校安全的互联网用户,这是为了防止恶意攻击和有效的网络攻击。这是一个长期的项目,本文档只关注校园网络的建设。
第三章 校园网分层设计
3.1 校园网物理分层设计
3.1.1 核心层设计
核心层是校园网的中枢,主要作用是尽可能快地交换数据。校园网的其他部分都是由中枢拓展延伸出来的。如果中枢的设备停止工作,整个校园网都会瘫痪。
北方民族大学一共拥有45栋主楼,2万余个信息终端。如果用户的利用率在最大满负荷时为25%,那么5000个终端设备可以同时上网。所有用户的桌面网络流量速度均为100Mbps,在全交换模式下运行,线速利用率达到8成。信息接入方式为多点接入和单点接入(如网络中心)。考虑到突发事的发生,网络的最大信息流量可可按照以下公式计算出:
80%×100×5000=400Gbps
但现实中的情况会因为骨干链路速率、网络结构、网络应用类型、网络费用等因素无法达到本案例计算的值。在项目规划中,我们可以参考上述估算值来选择校园网网络的核心交换机。按照以上的分析,核心交换机可以选择思科公司的 catalyst 6509系列交换机,支持387mpps包转发速率和720gbps背板带宽,并且能够提供9个可扩展的模块。本次设计使用思科的交换机ws-sup720-3b作为核心交换机的控制引擎,运行思科的集成IOS操作系统。为使45栋主楼全部接入万兆以太网,两台三层交换机各安装6个ws-x6908-10g-2t模块(8端口)。三层交换机还需要一定数量的千兆端口来连接服务器。而考虑到北方民族大学的规模和未来发展,需要三个ws-x6824-sfp-2t模块(24端口)。
但是在实际的校园网搭建阶段中,设备的国际互联协议、虚拟局域网的编号、接口编号以及其他方面的参数,都会因为现实状况而产生变化,所以本文仅介绍核心交换机的基本配置,不会介绍每一项具体参数,更为简略地去阐述配置命令。
(1)设置三层交换机的基本参数
Ⅰ)修改并配置三层交换机的名称。交换机的名称就在命令行界面中的名称,如果管理员需要远程登录到其他的交换机进行维护时,使用交换机名称就能够去判断自己是在配置哪一个终端了,修改名称的命令如下文所示:
S6509(config)#hostname Core_1 //命名三层交换机为 Core_1
Ⅱ) 设置密码用于进入三层交换机的特权模式,这一密码可以帮助管理者进入特权模式,这一模式下可以执行所有的命令。
Core_1(config)#enable password 123454321 //将口令设置为 123454321
Ⅲ)设置密码用于远程登录。远程登录为管理者带来了很多便利之处。但为了防止部分用户进入三层交换机恶意改变配置进行攻击,所以必须先设置密码密码,此后才能够远程登录。
Core_1(config)#line vty 0 4 //进入远程登录模式,并且能够使最多5个用户登录
Core_1(config-line)#password 456 //设置登录口令为 456
Core_1(config-line)#login //设置 telnet 要求用户进行密码验证
Ⅳ)设置一段安全时间。为防止部分用户进入三层交换机恶意改变配置进行攻击,若在此时间段内,没有输入任何的信息数据,IOS 将自动把交换机和用户之间的连接断开。
Core_1(config)#line console 0 //控制台模式
Core_1(config-line)#exec-timeout 10 00 //设置安全时间为 10 分钟
Ⅴ)设置为禁止国际互联协议(IP)地址解析。 在未进行设置情况下,如果用户输入的一条命令被系统检测为错误,那么交换机则会把它上传给域名系统服务器,同时解析出它所对应的IP地址。但是通常情况下,这一功能是不需要的。
Core_1(config)#no ip domain-lookup //禁止国际互联协议(IP)地址解析
- 设置三层交换机的默认网关和管理 IP
如果要使得管理者能从远程登录到三层交换机上管理,还需要给三层交换机额外设置一个管理专用的 IP 地址。一般情况下,管理 IP 都是配置在本征 VLAN(即 VLAN1)上的。
Core_1(config)#interface vlan 1 //进入 VLAN 1 的配置接口
Core_1(config-if)#ip address A.A.A.A B.B.B.B //IP 地址为 A.A.A.A,掩码为 B.B.B.B
Core_1(config)#no shutdown //打开端口
Core_1(config)#ip default-gateway C.C.C.C //配置默认网关为 C.C.C.C
(3)设置三层交换机端口基本参数配置
为了提供冗余备份和主网络的高负荷量,本设计将三层交换机core_1的其中两个端口合并,完成一个20000mbps千兆以太网通道的建设,随后与另一个三层交换机Core_2相连接。
Core_1(config)#interface port-channel X //进入X 端口
Core_1(config-if)#switchport //改为用于交换端的口
Core_1(config-if )#interface range gigabitethernet A/B ,giga C/D //进入千兆口 A/B 和 C/D
Core_1(config-if-range)#channel-group 1 mode desirable //使端口利用 PAg P(端口聚集协议)进入形成Ether Channel的协商状态
(4)配置核心交换机的 VTP
当网络中有大量的交换机时,如果在每个交换机上分别创建虚拟局域网,不仅工作量大,而且过程较为复杂,极有可能产生错误。VTP(虚拟局域网中继协议)则能够解决了这个问题。虚拟局域网中继协议可以在一个交换机上创建所有的虚拟局域网,然后将创建的虚拟局域网发送到需要该虚拟局域网的其他交换机。同时,虚拟局域网的某些操作,比如:参数的更改和删除可以发送到其他交换机。
Ⅰ)配置虚拟局域网中继协议的管理域。共同拥有一样的虚拟局域网定义数据库的交换机构成一个管理域,每一个管理域都有一个共同的 VTP 管理域域名。具备相同 VTP 管理域的交换机可以获取到 来自VTP服务器的数据,不具备相同的 VTP 管理域的交换机则不能完成这个操作。
Core_1(config)#vtp domain bfmzdx //设置 VTP 管理域域名为 bfmzdx
Ⅱ)配置虚拟局域网中继协议服务器。 VTP 服务器模式下的交换机才能够对虚拟局域网进行相关操作,并且同时转发虚拟局域网的更新信息。
Core_1(config)#vtp mode server //将三层交换机的 VTP 模式设置为服务器
Ⅲ)使虚拟局域网中继协议的裁剪功能被激活。在未配置的情况下,主网络传输所有 VLAN 的用户数据。某些交换机的任意一个端口可能都是属于一个虚拟局域网的,无法接受来自其他虚拟局域网的数据。在这种情况下,就可以激活虚拟局域网中继协议裁剪的功能, 这一功能被激活以后,将在主网络下自动裁剪对方交换机的虚拟局域网信息,尽管这一数据可能并未定义。
Core_1(config)#vtp pruning //使VTP 裁剪功能激活
(5)在汇聚层交换机上对虚拟局域网进行定义
虚拟局域网能够降低广播风暴的对用户的影响,并且因此来保障用户的信息安全。有关虚拟局域网的设想将在后文介绍。
Core_1(vlan)#vlan 100 name ABC //创建 VLAN 10 并将其命名为 ABC
(6)配置三层交换机的路由功能
核心交换机即三层交换机,要使其和出口路由器相连,则需使三层交换机的路由功能被启用。同时,也应当定义到Internet的路由,在此默认的route命令则可以完成这一操作。大规模网络一般采用开放最短路径优先(OSPF)的路由协议,不过按照北方民族大学的网络规模,可以采用路由信息协议或者静态路由协议。
Core_1(config)#ip routing //启动核心交换机的路由功能
Core_1(config)#ip route 0.0.0.0 0.0.0.0 A.A.A.A //此条路由为缺省路由,A.A.A.A为下一条出口路由器的快速以太网接口地址
(7)对三层交换机的访问控制列表进行配置
三层交换机是拥有路由功能的,但在实际的情形中,我们应当对这一路由功能做出一些限制,比如让财务部无法访问人资部,在这种情况下,我们就应当用到访问控制列表。
Core_1(config)#access-list 10 deny tcp X.X.X.X 0.0.0.255 Y.Y.Y.Y 0.0.0.255 eq 22 //拒绝从子网 X.X.X.X 访问 Y.Y.Y.Y 的端口 22
(8)更多的高级配置
三层路由器不仅仅包含了以上阐述的四种基本配置,它还有很多本文并未提到的高级配置,比如对全0子网的支持等等,这里就不介绍了。
3.1.2 汇聚层设计
汇聚层(也称为分布层)位于核心层和访问层之间。 它主要负责集中各种访问服务。 除了需要本地数据交换和转发外,它还可以通过高速接口将数据传输到核心层,以实现更广泛的数据路由和处理。
汇聚层从接入层交换机收集数据,并通过高速接口将数据传输到三层交换机。 从某种程度上来说,汇聚层的设计直接关系到交换子平台的性能优与劣。 因此,汇聚层的设计应严格考虑设备的网络性能、交换特性,业务容量,冗余性和负载均衡。
在校园网的设计与搭建的阶段中,依照相关科学依据,在园区内的所有建筑都需要安装接入层交换机的汇聚点,不过由于校园网的搭建设计较为独立,以及相关的资金问题,在实际问题的解决过程中应当寻求不同的解决方法。在信息终端数量较少的地方,如:体育馆、活动中心等建筑,可以不用在这些地方独立安装汇聚层交换机。而信息终端较多的地方,如:校舍区、图书馆等建筑,则应当依据实际状况进行分析。
在选择汇聚层设备类型时,应该遵从以下要求:
(1)支持三层交换
汇聚层设备应当支持具有部分路由器功能的交换机,比如静态路由、路由信息协议等。
(2)提供万兆端口
汇聚层设备向下汇聚接入层交换机,向上提供高速端口向三层交换机传输数据。这就要求高性能的汇聚层设备,且拥有高密度端口的,并按照实际的要求向上提供万兆端口。
(3)独立化组网
汇聚层交换机应采用与三层交换机相同的模块化结构,对插槽的数量支持较大,也能够使用较为全面的模块,使设备的可扩展性和组建网络的能力大大增强。
(4)对二层协议的支持较好
汇聚层设备应当对二层协议的支持度较高,如 虚拟局域网、虚拟局域网中继技术、生成树等。
(5)完善的安全机制
汇聚层设备应当对不同的访问控制都有较好的支持性。
(6)对Qo S的支持度较高
汇聚层设备应提供基于端口的QoS策略,比如流量分类、流量限制以及访问控制。
(7)能够容易地使用网络进行管理
融合层设备应当采用相同的网络管理平台,支持SNMP协议和C/S架构,提供web网络管理模式,并嵌入商用网络平台,拥有故障管理和性能管理,以及拓扑管理等作用。
由以上分析得知,可以选择思科品牌的catalyst 3560系列交换机作为聚合交换机。该系列交换机为三层交换机,拥有数量较多的个以太网端口,还提供2个万兆光模块的上行端口。它运行思科的集成IOS操作系统。其基本配置如下:
(1)基本参数
由于上文已经详述了三层交换机的配置,故此处不再重复。本文中将汇聚交换机的名称令为 Distribute_1。
(2)管理 IP 以及原始网关的设置
这两者的设置已在上文详述,故此处不再重复。
(3)虚拟局域网干道协议(VTP)
在三层交换机的设置阶段里,我们将它设置成为服务器模式,但在这里却需要将它转换为客户机模式,从而来获取到相关虚拟局域网的信息。但是值得注意的是,汇聚交换机的虚拟局域网干道协议管理域的域名一定要和核心交换机保持相同才可以。
Distribute1(config)#vtp domain bfmzdx //设置 VTP 管理域域名为 bfmzdx
Distribute1(config)#vtp mode client //设置汇聚交换机的 VTP 模式为客户机
4)配置汇聚交换机端口基本参数
影响汇聚交换机的各种参数包含了自身的类型、传递信息的速率、虚拟局域网的状态等。但一定要注意,如果其中一个端口没有被设置成Access或者Hybrid,那么这一个端口将不能连接至虚拟局域网,因为trunk类型的端口需要负担起多个虚拟局域网的通信压力。
Distribute_1(config)#interface fastethernet Q/W //调试Q/W号端口
Distribute_1(config-if)#duplex full //将这两个端口设置为同时工作
Distribute_1(config-if)#speed 1000 //将Q/W号端口的速率设置为 1000Mbps
Distribute_1(config-if)#interface fastethernet Z/S //进入交换机的 Z/S号端口
Distribute_1(config-if)#switchport mode access //设置该端口类型为 access 类型
Distribute_1(config-if)#switchport access vlan 23 //将此端口划分给 VLAN 23
(5)设置汇聚交换机的二层交换与三层转发
各个虚拟局域网的路由功能由聚会交换机所支持,要实现这一功能,必须要先开启路由功能,才能够去设置相关的命令。
Distribute_1(config)#ip routing //启动汇聚交换机的路由功能
Distribute_1(config)#ip route H.J.K.L Z.Z.Z.Z N.N.N.N //配置一条路由条目, H.J.K.L 表示目的地址,Z.Z.Z.Z 表示子网掩码,N.N.N.N 表示下一地址
(6)设置访问控制列表
这一项目的设置和三层交换机的相关步骤相似。
(7)设置其他汇聚交换机
这一项目与设置 Distribute_1这个汇聚交换机步骤相似
3.1.3接入层设计
接入层是指允许终端用户访问网络的地方,并且提供访问点给所有的终端用户。 该层能够采用过滤和ACL的方式控制用户的流量,但是提供网络访问权限给用户才是这一层的重要功能。
在建筑物内设置接入交换机时,设计者应当按照实际的情形去安装交换机,数量应当控制在最佳状态,避免人力以及物力的浪费。本文将北方民族大学的8号宿舍作为一个例子引入,宿舍每一楼共有68个供学生居住的房间,每个房间则有4名学生用户,宿舍一共有6楼,按此计算,则8号宿舍内约有1600余名学生用户。市面上常见的接入交换机有24个接口,但考虑到或许会另有用途,那么一台交换机大概有20个端口可以使用。以此推算,本宿舍共需要82台交换机。
在选择接入设备时,应当遵循以下原则
(1)向用户提供不同数量的下行端口和上型端口,而下行端口的支持的速率则要达到100Mbps,上行端口则要达到1Gbps,并与上层交换机相连接。
(2)价格需要尽可能的低,追求高性价比。
(3)需要能够支持标准的网络协议,也能够支持现有的网络标准,与目前已有的设施相匹配。
(4)有丰富的扩展性,能够方便在后期进行升级。
(5)能够支持多种不同的特性,比如虚拟局域网、虚拟局域网中继技术、虚拟局域网聚合等。
(6)管理者能够容易地对网络进行管理。
由以上的分析可以得出,思科公司的catalyst 2960系列交换机可以满足以上的所有条件,这一交换机有24个端口可以进行链接,并且能够运行思科的IOS系统,该交换机的配置如下:
(1)基本参数
此处接入交换机配置步骤与命令与上文所述的其他交换机相仿。本文给接入交换机命名为Access_1。
(2)管理 IP 和默认网关
此处的配置命令也与核心交换机的方法类似。
(3)虚拟局域网和其干道协议
在上文的叙述中,我们将三层交换机设置成为了服务器模式,而对于接入交换机来说,我们需要将其设置成为客户机模式,且虚拟局域网干道协议的管理域域名应当和其余交换机相同。
Access_1(config)#vtp domain bfmzdx //设置 VTP 管理域域名为 bfmzdx
Access_1(config)#vtp mode client //设置接入交换机为客户机模式
(4)设置端口的基本参数
该项目的配置与上文所述的类似,故此不再叙述。
(5)配置接入交换机的接入端口和主干道端口
接入交换机的接入口和中继口的设置命令与上文所述的交换机类似。接入端口为接入型(access),可以与用户相连接;中继端口为中继型(trunk),可以传输不同的虚拟局域网的信息。
(6)其他可以选择的设置
Ⅰ)使用Uplinkfast功能。为了确保校园内网络能够有多个备份,Access_1这一交换机能够通过一定的方式连接到两台汇聚交换机。依靠生成树的功用,两条上行链路处于不同的状态之中,一条正在转发,而另一条却在阻塞之中。当处于转发状态的链路由于故障而断开连接时,处于阻塞状态的链路最多需要大约50秒钟才能替换发生故障的链路。 Uplinkfast的功能使被阻塞的这一条上行链路可以在断开上行链路后便立即启动。
Access_1(config)#spanning-tree uplinkfast //启动 uplinkfast 特性
Ⅱ)使用Backbonefast功能。Backbonefast 的作用与 Uplinkfast 类似,并且也是一种补充。他们的不同之处在于,前者能够检测非直连链路(即间接链路)的问题所在,而后者则检测的是直连链路的问题。但是,如果需要使用Backbonefast这一功能的话,所有的交换机都应当进行配置,当交换机数量过多时,这一功能的配置显得异常繁琐,所以在大型网络的铺设之中,这一方法并不常见。
Access_1(config)#spanning-tree backbonefast //启动 Backbonefast 特性
3.2 校园网逻辑分层设计
三层的物理架构使得校园网络每一层的分工清晰,易于设置,但目前新的网络要求实现网络扁平化,因此本设计在逻辑层上采用了两层架构。这一结果表明,虽然汇聚层设备还是存在于网络的铺设过程之中,但是汇聚交换机仅仅提供上行连接这一功用,同时,核心交换机则实现了它几乎所有的功能。
逻辑分层设计与本文采用的方式相似,即物理三层结构改为逻辑两层结构。虚拟局域网干道协议、访问控制列表等功能全部转移到三层交换机。这两者的过程可以互相参考,物理分层设计的方法在上文已经提出,所以在此不再详述。
第四章 无线网络设计及地址规划
4.1 无线网络设计
北方民族大学的无线网络的设计应当以有线网络为基础,必须与校园有线网络无缝集成。图 4-3展示了校园内部的无线网络大体综合结构。安移通公司的ARUBA 6000无线控制器作为本方案的最主要的设备。该设备能同时支持4张无线通信卡,每张无线通信卡提供 20G 的交换能力,故这台无线控制器能够有80G的内存交换能力。根据校园内的实际情况,这一无线控制器只需配置3张无线通信卡。设备的三块m3板卡通过10G光纤端口与三层交换机互联。三块板卡采用主模式-本地模式的混合方式实现无线控制器的备份功能与同步设置。一块板在主模式下工作,另外两块板在本地模式下工作。
在接入侧,安移通公司的ARUBA AP135作为室内的无线AP,通过以太网交换机供电;ARUBA AP175作为室外的无线AP,同样采用通过有源以太网供电模块进行供电,室内和室外所有的无线 AP 依靠三层交换机路由与无线控制器相连接。
无线AP的IP地址由主无线控制器分配。核心交换机需要为对应的AP VLAN配置动态主机配置协议(DHCP)功能,将每个AP的动态主机配置协议请求消息转发给主无线控制器。无线AP获取IP地址后,可以通过动态主机配置协议属性发现并连接本地无线控制器。AP与无线控制器建立隧道后,在有线网络平台上逻辑形成纯星型网络。所有无线用户通过AP提供的WLAN接入服务接入无线控制器,通过AP与无线控制器之间的隧道接入网络。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
