第一篇:中小型校园网设计方案实例
(中小型)校园网设计方案实例
目录.............系统总体设计方案概述...........................................................................1 1.1 系统组成与拓扑结构..................................................................................2 1.2 VLAN及 IP地址规划...................................................................................3 2 交换模块设计.......................................................................................4 2.1 访问层交换服务的实现-配置访问层交换机............................................5 2.1.1 配置访问层交换机 AccessSwitch1 的基本参数.....................................5 2.1.2 配置访问层交换机 AccessSwitch1 的管理 IP、默认网关......................7 2.1.3 配置访问层交换机 AccessSwitch1 的 VLAN及 VTP...............................8 2.1.4 配置访问层交换机 AccessSwitch1 端口基本参数.................................9 2.1.5 配置访问层交换机 AccessSwitch1 的访问端口.....................................9 2.1.6 配置访问层交换机 AccessSwitch1 的主干道端口...............................11 2.1.7 配置访问层交换机 AccessSwitch2......................................................11 2.1.8 访问层交换机的其它可选配置...........................................................12 2.2 分布层交换服务的实现-配置分布层交换机..........................................13 2.2.1 配置分布层交换机 DistributeSwitch1 的基本参数..............................14 2.2.2 配置分布层交换机 DistributeSwitch1 的管理 IP、默认网关................14 2.2.3 配置分布层交换机 DistributeSwitch1 的 VTP......................................15 2.2.4 在分布层交换机 DistributeSwitch1 上定义 VLAN...............................16 2.2.5 配置分布层交换机 DistributeSwitch1 的端口基本参数.......................17 2.2.6 配置分布层交换机 DistributeSwitch1 的 3 层交换功能.......................18 2.2.7 配置分布层交换机 DistributeSwitch2..................................................19 2.2.8 其它配置............................................................................................20 2.3 核心层交换服务的实现-配置核心层交换机..........................................20 2.3.1 配置核心层交换机 CoreSwitch1 的基本参数......................................21 2.3.2 配置核心层交换机 CoreSwitch1 的管理 IP、默认网关........................21 2.3.3 配置核心层交换机 CoreSwitch1 的的 VLAN及 VTP............................22
2.3.4 配置核心层交换机 CoreSwitch1 的端口参数......................................22 2.3.5 配置核心层交换机 CoreSwitch1 的路由功能......................................23 2.3.6 其它配置............................................................................................24 2.3.7 核心层交换机 CoreSwitch2 的配置.....................................................24 3 广域网接入模块设计..........................................................................24 3.1 配置接入路由器 InternetRouter的基本参数...............................................25 3.2 配置接入路由器 InternetRouter的各接口参数...........................................25 3.3 配置接入路由器 InternetRouter的路由功能...............................................26 3.4 配置接入路由器 InternetRouter上的 NAT..................................................26 3.5 配置接入路由器 InternetRouter上的 ACL..................................................28 3.6 其它配置...................................................................................................31 4 远程访问模块设计..............................................................................31 4.1 配置物理线路的基本参数........................................................................32 4.2 配置接口基本参数....................................................................................32 4.3 配置身份认证...........................................................................................33 5 服务器模块设计.................................................................................34 6 系统测试...........................................................................................36 6.1 系统测试...................................................................................................36 6.2 相关测试、诊断命令................................................................................36 6.2.1 通用测试、诊断命令..........................................................................36 6.2.2 CDP测试、诊断命令..........................................................................39 6.2.3 路由和路由协议测试、诊断命令.......................................................41 6.2.4 VLAN、VTP测试、诊断命令............................................................41 6.2.5 生成树测试、诊断命令......................................................................42 6.2.6 NAT测试、诊断命令..........................................................................43 6.2.7 ACL测试、诊断命令..........................................................................43 6.2.8
远程访问测试、诊断命令..................................................................44 总
结......................................................................................................44 附录 : 资源..............................................................................................45
(中小型)校园网设计方案实例
本文以实例的形式对校园网络的设计方案进行分析并给出校园网络关键设 备的配置步骤、配置命令以及诊断命令 和方法。通过本文,相信读者能够系统 地掌握中小型园区网的设计、实施以及维护方法及技巧。系统总体设计方案
概述
校园网络(COMPUS NETWORK,下文中也称为园区网络)是非常典型的 综合网络实例。
为了阐明主要问题,在本设计方案中对实际校园网的设计进行了适当的和 必要的简化。同时,将重点放在网络主 干的设计上,对于服务器的架设只作简 单介绍,具体内容参考有关参考书。如图 1-1 所示,是该校园网网络的总体拓扑结构图。
图 1-1 ××校园网网络的总体拓扑结
构
在上面的拓扑图中,学校的 个主要集中接入点(计算机系、管理系、建
筑系、财 务处、教 务处、学 生宿舍)通过冗余的光纤链路上连到信息中心的核 心层交换机上。核心层交换机通过 Cisco 3640 路由器接入因特网。此外,教 工 宿舍及移动办公用户通过拨号方式接入路由器
3640 来访问校园网内网及因特 网。
图中,以计算机系为例展示了每个建筑物内部的网络设备拓扑结构,并给 出了信息中心内部的网络设备拓扑结构。
在接下来的讨论中,我们将展 开并详细讨论每个模块的设计内容。
1.1
系统组成与拓扑结构
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即 Cisco 公司的网络设备构建。全网使用同一厂 商设备的主要好处在于可以 实 现各种不同网络设备功能的互相配合和补充。
本校园网设计方案主要由以下四大部分构成 :交换模块、广域网接入模块、远程访问模块、服务器模块。整个网络系统的拓扑结构图如图 1-2 所示。
图 1-2 校园网整体拓扑结
构图
1.2 VLAN 及 IP 地址规划
在一个大、中型网络里,VLAN 的划分是必不可少的步骤 之一。在本校园 网设计实例中,整个校园网中 VLAN 及 IP 编址方案如表 1 所示。
表 1 VLAN 及 IP 编址
方案
除了表 1 中的内容外,拨号用户从 192.168.200.0/27 中动态取得 IP 地址。
为了简化起见,除了管理
VLAN 外,这里只规划了 个
VLAN,同时为每个
VLAN 定义了一个由拼音缩写组成的 VLAN 名称。交换模块设
计
一个好的校园网设计应该是一个分层的 设计。一般分为三层设计模型。
为了简化交换网络设计、提高交换网络 的可扩展性,在园区网内部数据交换模 块的部署是分层进行的。
园区网数据交换设备可以划分为三个层 次:访问层、分布层、核心层。传统意义上的数据交换发生在 OSI 模型的第 2 层。现代交换技术还实现了第 3 层交换和多层交换。高层交换技术的引 入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需 要。
现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的 概 念。VLAN 将广播域限制在单个 VLAN 内部,减小了各 VLAN 间主机的广播通信对其他 VLAN 的影响。在 VLAN 间需要通信的时候,可以利用 VLAN 间路由技术来 实 现。
当网络管理人员需要管理的交 换机数量众多时,可以使用
VLAN 中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义 所有 VLAN。然后通过 VTP 协议将 VLAN 定义传播到本管理域中的所有交换 机上。这样,大大减轻了网络 管理人员的工作负担和工作强度。
当园区网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性 可能会造成交换环路问题,这需要通过在各交换机上运行生成树协 议(Spanning Tree Protocol,STP)来解决。
2.1 访问层交换服务的实现-配置访问层交换机
访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是
Cisco Catalyst 2950 24 口交换机(WS-C2950-24)。该交换机拥有 个
10/100Mbps 自适应快速以太网端口,运行的是 Cisco 的 IOS 操作系统。这里,以图 2-1 中的访问层交换机 AccessSwitch1 为例进行介绍。如图 2-1 所示:
图 2-1 访问层交换机
AccessSwitch1
2.1.1 配 置 访 问 层 交 换 机 AccessSwitch1 的 基 本 参 数
1、设置交换机名称
设置交换机名称,也就是出现在交换机 CLI 提示符中的名字。一般以地理 位置或行政划分来为交换机命名。当需要 Telnet 登录到若干台交换机以维护一 个大型网络时,通过交换机名称提示符 提示自己当前配置交换机的位置是很 有 必要的。
如图 2-2 所示,为访问层交换机 AccessSwitch1 命名。
图 2-2 为访问层交换机 AccessSwitch1
命名
2、设置交换机的加密使能口令
当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。此 口令会以
MD5 的形式加密,因此,当用户查看配置文件时,无法看到明文形 式的口令。
如图 2-3 所示,将交换机的加密使能口令设置为 secretpasswd。
图 2-3 为交换机设置加密使能
口令
3、设置登录虚拟终端线时的口令
对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理 人员提供了很多的方便。但是,出于安 全考虑,在能够远程管理交换机之前网 络管理人员必须设置远程登录交换机的口令。
如图
2-4 所示,设置登录交换机时需要验证用户身份,同时设置口令为 youguess。
图 2-4 为访问层交换机 AccessSwitch1
命名
4、设置终端线超时时间
为了安全考虑,可以设置终端线超时时间。在设置的时间内,如果没有检 测到键盘输入,IOS 将断开用户和交换机之间的连接。如图
2-5 所示,设置登录交换机的控制台终端线 路及虚拟终端线的超时时 间为 5 分 30 秒钟。
图 2-5 设置控制台终端线路和虚拟终端线路的超时
时间
5、设置禁用 IP 地址解析特性
在交换机默认配置的情况下,当输入一条错误的交换机命令时,交换机会 尝试将其广播给网络上的 DNS 服务器并将其解析成对应的 IP 地址。利用命令 no ip domain-lookup。可以禁用这个特性。如图 2-6 所示,设置禁用 IP 地址解 析特性。
图 2-6 设置禁用 IP 地址解
析特性
6、设置启用消息同步特性
有时,用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用 命令 logging synchronous 设置交换机在下一行 CLI 提示符后复制用户的输入。如图 2-7 所示,设置启用消息同步特性。
图 2-7 设置启用消息同步
特性
2.1.2 配 置 访 问 层 交 换 机 AccessSwitch1 的 管 理 IP、默 认 网 关
访问层交换机是 OSI 参考模型的第 2 层设备,即数据链路层的设备。因此,给访问层交换机的每个端口设置 IP 地址是没意义的。但是,为了使网络管理人 员可以从远程登录到访问层交换机上进 行管理,必须给访问层交换机设置一 个 管理用 IP 地址。这种情况下,实际上是将交换机看成和 PC 机一样的主机。
给交换机设置管理用
IP 地址只能在VLAN1,即本征
VLAN 中进行。按照
表
2-1,管理
VLAN 所在的子网是: 192.168.0.0/24,这里将访问层交换机 AccessSwitch1 的管理 IP 地址设为: 192.168.0.5/24。如图 2-8 所示,显示了为 访问层交换机 AccessSwitch1 设置管理 IP 并激活本征 VLAN。
图 2-8 设置访问层交换机 AccessSwitch1 的管
理 IP 为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关 地址 192.168.0.254。如图 2-9 所示。
图 2-9 设置访问层交换机 AccessSwitch1 的默认网关
地址
2.1.3
配 置 访 问 层 交 换 机 AccessSwitch1 的 VLAN 及 VTP
从提高效率的角度出发,在本 校园网实现实例中使用了 VTP 技术。同时,将分布层交换机 DistributeSwitch1 设置成为 VTP 服务器,其他交换机设置成为 VTP 客户机。
这里访问层交换机
AccessSwitch1
将通过
VTP
获得在分布层交换机
DistributeSwitch1 中定义的所有 VLAN 的信息。
如图 2-10 所示,设置访问层交换机 AccessSwitch1 成为 VTP 客户机。图 2-10
2.1.4
设置访问层交换机 AccessSwitch1 成为 VTP 客户机
配 置 访 问 层 交 换 机 AccessSwitch1 端 口 基 本参数
1、端口双工配置
可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以 强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型的情况 下,建议手动设置端口双工模式。
如图 2-11 所示,设置访问层交换机 AccessSwitch1 的所有端口均工作在全 双工模式。
图 2-11 设置访问层交换机 AccessSwitch1 的端口工作
模式
2、端口速度
可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端 口速度设为 10Mpbs 或 100Mbps。在了解对端设备速度的情况下,建议手动设 置端口速度。
如图
2-12 所示,设置访问层交换机
AccessSwitch1 的所有端口的速度均为 100Mbps。
图 2-12 设置访问层交换机 AccessSwitch1 的端口
速度
2.1.5 配 置 访 问 层 交 换 机 AccessSwitch1 的 访 问 端 口
访问层交换机 AccessSwitch1 为终端用户提供接入服务。在 图 2-1 中,访问 层交换机 AccessSwitch1 为 VLAN10、VLAN20 提供接入服务。
如图 2-13 所示,设置访问层交换机 AccessSwitch1 的端口 1~端口 10 工作
在访问(接入)模式。同时,设置端口 1~端口 10 为 VLAN 10 的成员。
图 2-13 设置访问层交换机 AccessSwitch1 的端口
1~10
2、设置访问层交换机 AccessSwitch1 的端口 11~ 20
如图 2-14 所示,设置访问层交换机 AccessSwitch1 的端口 11~端口 20 工作 在访问(接入)模式。同时,设置端口 1~端口 10 为 VLAN 20 的成员。
图 2-14 设置访问层交换机 AccessSwitch1 的端口
11~20
3、设置快速端口
默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶 段: 阻塞、侦听、学习、转发。在能够转发用户的数据包之前,某个端口可能 最多要等 50 秒钟的时 间(20 秒的阻塞时间+ 15 秒的侦听延迟时间+ 15 秒的学习延迟时间)。
对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间,可以设置 将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启 动或端口有工作站接入时,将 会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经建
立)。
如图 2-15 所示,设置访问层交换机 AccessSwitch1 的端口 1~端口 20 为快 速端口。
图 2-15 设置快速
端口
2.1.6 配 置 访 问 层 交 换 机 AccessSwitch1 的 主 干 道端口
如图 2-1 所示,访问层交换机 AccessSwitch1 通过端口 FastEthernet 0/23 上 连到分布层交换机 DistributeSwitch1 的端口 FastEthernet 0/23。同时,访问层交 换机 AccessSwitch1 还通过端口 FastEthernet 0/24 上连到分布层交换机 DistributeSwitch2 的端口 FastEthernet 0/23。
这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个 VLAN 的数据。
如图 2-16 所示,设置访问层交换机 AccessSwitch1 的端口 FastEthernet 0/
23、FastEthernet 0/24 为主干道端口。
图 2-16 设置主干道
端口
2.1.7 配 置 访 问 层 交 换 机 AccessSwitch2
访问层交换机 AccessSwitch2 为 VLAN 30 和 VLAN 40 的用户提供接入服务。同时,分 别通过自己的 FastEthernet 0/23、FastEthernet 0/24 上连到分布层交换 机 DistributeSwitch1、DistributeSwitch2 的端口 FastEthernet 0/24。
如图 2-17 所示,是访问层交换机 AccessSwitch2 的连接示意图。
图 2-17 访问层交换机 AccessSwitch2 的连接
示意图
对访问层交换机
AccessSwitch2 的配置步骤、命令和对访问层交换机
AccessSwitch1 的配置类似。这里,不再详 细分析,只给出最后的配置文件内容
(只留下了必要的命令)。
需要指出的是,为了提供主干道的吞吐量,可以采用链路捆绑(快速以太 网信道)技术增加可用带宽。例如,可以将访问层交换机
AccessSwitch1 的端 口 FastEthernet 0/21 和 FastEthernet 0/22 捆绑在一起实现 200Mbps 的快速以太 网信道,然后再上连到分布层交换机 DistributeSwitch1。同样,也可以将访问 层交换机 AccessSwitch1 的端口 FastEthernet 0/23 和 FastEthernet 0/24 捆绑在一 起 实 现
200Mbps 的 快 速 以 太 网 信 道,然 后 再 上 连 到 分 布 层 交 换 机 DistributeSwitch2。具体的配置步骤和命令将在核心 层交换机的配置一节中进行 介绍。
2.1.8 访 问 层 交 换 机 的 其 它 可 选 配 置
1、Uplinkfast
访问层交换机
AccessSwitch1 通过两条冗余上行链路分别接入分布层交换 机 DistributeSwitch1 和、DistributeSwitch2。在生成树的作用下,其 中一条上行 链路处于转发状态,而另一条上行链路 处于阻塞状态。当 处于转发状态的链路 因故障断开后,经过最多大约
秒钟的时间,处于阻塞状态的链路才能替 代 故障链路工作。
Uplinkfast 特性可以使得当主上行链路失败后,处于阻塞状态的上行链路
(备份上行链路)可以立即启用。
如图 2-18 所示,是在访问层交换机 AccessSwitch1 上启用
Uplinkfast 特性。同样的步骤也可以在访问层交换机 AccessSwitch2 上进行配置。
图 2-18 启用 Uplinkfast 特性
注意,Uplinkfast 特性只能在访问层交换机上启用。
2、Backbonefast
Backbonefast 的作用与 Uplinkfast 类似,也用于加快生成树的收敛。所不同 的是,Backbonefast 可以检测到间接链路(非直连 链路)故障并立即使得相应 阻塞端口的最大寿命计时器到时,从而缩短该端口可以开始转发数据包的时 间。
如图 2-19 所示,是在访问层交换机 AccessSwitch1 上启用 Backbonefast 特 性。同样的步骤需要在网络中 的所有交换机上进行配置。
图 2-19 启用 Backbonefast
特性
注意,Backbonefast 特性需要在网络中所有交换机上进行配置。
2.2 分布层交换服务的实现-配置分布层交换机
分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供
VLAN 间的路由选择功能。这里的分布层交换机采用的是 Cisco Catalyst 3550 交换机。作为 3 层交换机,Cisco Catalyst 3550 交换机拥有 24 个 10/100Mbps 自适应快速以太网端口,同
时还有 2 个 1000Mbps 的 GBIC 端口供上连使用,运行的是 Cisco 的 Integrated IOS 操作系统。这里,以图 2-1 中的分布层交换机 DistributeSwitch1 为例进行 介绍。如图 2-20 所示:
图 2-20 分布层交换机 DistributeSwitch1
2.2.1 配 置 分 布 层 交 换 机 DistributeSwitch1 的 基 本 参 数
对分布层交换机
DistributeSwitch1 的基本参数的配置步骤与对访问层交换 机
AccessSwitch1 的基本参数的配置类似。这里,只给出实际的配置步骤,不 再给出具体解释,如图 2-21 所示。
图 2-21 配置分布层交换机 DistributeSwitch1 的基本
参数
2.2.2 配 置 分 布 层 交 换 机 DistributeSwitch1 的 管 理 IP、默 认 网 关
如图 2-22 所示,显示了为分布层交换机 DistributeSwitch1 设置管理 IP 并激 活本征 VLAN。同时,还设置了默认网关的地址。
图 2-22 分布层交换机 DistributeSwitch1 的管理 IP、默
认网关
2.2.3 配 置 分 布 层 交 换 机 DistributeSwitch1 的 VTP
当网络中交换机数量很多时,需要分别在每台 交换机上创建很多重复的 VLAN。工 作量很大、过程很繁琐,并且容易出错。在实际工作中常采用 VLAN 中继协议(Vlan Trunking Protocol,VTP)来解决这个问题。
VTP 允许在一台交换机上创建所有的 VLAN。然后,利用交换机之间的互 相学习功能,将创建好的 VLAN 定义传播到整个网络中需要此 VLAN 定义的所 有交换机上。同时,有关 VLAN 的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员 配置交换机的负担。
在本校园网实现实例中使用了
VTP 技术。同时,将分布层交换 机 DistributeSwitch1 设置成为 VTP 服务器,其他交换机设置成为 VTP 客户机。
1、配置 VTP 管理域
共享相同 VLAN 定义数据库的交换机构成一个 VTP 管理域。每一个 VTP 管理域都有一个共同的 VTP 管理域域名。不同 VTP 管理域的交换机之间不交 换 VTP 通告信息。
如图 2-23
所示,将 VTP 管理域的域名定义为“ chinaitlab”。图 2-23 管理域的域名
设置 VTP
2、设置 VTP 服务器
工作在 VTP 服务器模式下的交换机可以创建、删除 VLAN、修 改 VLAN 参 数。同时,还有责任发送和转发 VLAN 更新消息。
如图 2-24 所示,设置分布层交换机 DistributeSwitch1 成为 VTP 服务器。
图 2-24 设置分布层交换机 DistributeSwitch1 成为 VTP
服务器
3、激活 VTP 剪裁功能
默认情况下主干道传输所有 VLAN 的用户数据。有时,交换网络中某台交 换机的所有端口都属于同一 VLAN 的成员,没有必要接收其他 VLAN 的用户数 据。这时,可 以激活主干道上的 VTP 剪裁功能。当激活了 VTP 剪裁功能以后,交换机将自动剪裁本交换机没有定义的 VLAN 数据。
在一个 VTP 域下,只需要在 VTP 服务器上激活 VTP 剪裁功能。同一 VTP 域下的所有其他交换机也将自动激活 VTP 剪裁功能。如图 2-25 所示,设置激活 VTP 剪裁功能。
图 2-25 激活 VTP 剪
裁功能
2.2.4 在 分 布 层 交 换 机 DistributeSwitch1 上 定 义 VLAN
在本校园网实现实例中,除了默认的本征
VLAN 外,又额外定义了 个
VLAN,如表 2-1 所示。
由于使用了 VTP 技术,所以,所有 VLAN 的定义都只需要在 VTP 服务器,即分布层交换机 DistributeSwitch1 上进行。
如图 2-26 所示,定义了 8 个 VLAN,同时为每个 VLAN 命名。
2.2.5 配 置 分 布 层 交 换 机 DistributeSwitch1 的 端 口 基 本 参 数
分布层交换机 DistributeSwitch1 的端口 FastEthernet 0/1~ FastEthernet 0/10 为服务器群提供接入服务,而端口 FastEthernet 0/
23、FastEthernet 0/24 分别下 连到访问层交换机 AccessSwitch1 的端口 FastEthernet 0/23 以及访问层交换机 AccessSwitch2 的端口 FastEthernet 0/23。
此 外,分 布 层 交 换 机 DistributeSwitch1 还 通 过 自 己 的 千 兆 端 口
GigabitEthernet 0/1 上连到核心交换机 CoreSwitch1 的 GigabitEthernet 3/1。为了实现冗余设计,分布层交换机 DistributeSwitch1 还通过自己的千兆端口 GigabitEthernet
0/2
连 接 另 一 台 到 分 布 层 交 换 机
DistributeSwitch2 的 GigabitEthernet 0/2。
如图 2-27 所示,给出了对所有访问端口、主干道 端口的配置步骤和命令。
图 2-26 定义
VLAN
图 2-27 设置分布层交换机 DistributeSwitch1 的各端
口参数
2.2.6 配 置 分 布 层 交 换 机 DistributeSwitch1 的 3 层 交 换 功 能
分布层交换机 DistributeSwitch1 需要为网络中的各个 VLAN 提供路由功能。这需要首先启用分布层交换机的路由功能。如图 2-28 所示。
图 2-28 启用路由
功能
接下来,需要为每个 VLAN 定义自己的默认网关地址,如图 2-29 所示。
图 2-29 定义各 VLAN 的默认网
关地址
此外,还 需要定义通往 Internet 的路由。这里使用了一条缺省路由命令,如 图
2-30 所示。其中,下一跳地址是
Internet 接入路由器的快速以太网接口 FastEthernet 0/0 的 IP 地址。
图 2-30 定义到 Internet 的缺
省路由
2.2.7 配 置 分 布 层 交 换 机 DistributeSwitch2
分布层交换机 DistributeSwitch2 的端口 FastEthernet 0/
23、FastEthernet 0/24 分别下连到访问层交换机 AccessSwitch1 的端口 FastEthernet 0/24 以及访问层交 换机 AccessSwitch2 的端口 FastEthernet 0/24。
此 外,分 布 层 交 换 机 DistributeSwitch2 还 通 过 自 己 的 千 兆 端 口
GigabitEthernet 0/1 上连到核心交换机 CoreSwitch1 的 GigabitEthernet 3/2。
为了实现冗余设计,分布层交换机
DistributeSwitch2 还通过自己的千兆端 口 GigabitEthernet 0/2 连接到分布层交换机 DistributeSwitch1 的 GigabitEthernet 0/2。如图 2-31 所示。
图 2-31 分布层交换机 DistributeSwitch2 对分布层交换机
DistributeSwitch2 的配置步骤、命令和对分布层交换机
DistributeSwitch1 的配置类似。这里,不再详细分析。
2.2.8 其 它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当 3 层交换机的分布层交换机 DistributeSwitch1 上,还需要进行 相应的配置,如图 2-32 所示。
图 2-32 定义对无类别网络以及全零子网的支持
2.3 核心层交换服务的实现-配置核心层交换机
核心层将各分布层交换机互连起来进行 穿越园区网骨干的高速数据交换。本实例中的核心层交换机采用的是
Cisco Catalyst 4006 交换机,采用了 Catalyst 4500 Supervisor II Plus(WS-X4013+)作为交换机引擎。运 行的是 Cisco 的 Integrated IOS 操作系统,其镜像文件是 CAT400.6-3-5.BIN。在作为核心层交换机的 Cisco Catalyst 4006 交换机中,安装了 WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module, 6-Ports(GBIC))模 块,该模块提供
了 个千兆光纤上连接口,可以用来接入
WS-G5484(1000BASE-SX
Short Wavelength GBIC(Multimode only))。这里,以图 2-1 中的核心层交换机
CoreSwitch1 为例进行介绍。如图 2-33 所示:
图 2-33 核心层交换机
CoreSwitch1
2.3.1 配 置 核 心 层 交 换 机 CoreSwitch1 的 基 本 参 数
对核心层交换机 CoreSwitch1 的基本参数的配置步骤与对访问层交换机 AccessSwitch1 的基本参数的配置类似。这里,只 给出实际的配置步骤,不再给 出具体解释,如图 2-34 所示。
图 2-34 配置核心层交换机 CoreSwitch1 的基
本参数
2.3.2 配 置 核 心 层 交 换 机 CoreSwitch1 的 管 理 IP、默 认 网 关
如图 2-35 所示,显 示了为核心层交换机 CoreSwitch1 设置管理 IP 并激活本
征 VLAN。同时,还设置了默认网关的地址。
图 2-35 核心层交换机 CoreSwitch1 的管理 IP、默认
网关
2.3.3 配 置 核 心 层 交 换 机 CoreSwitch1 的 的 VLAN 及 VTP
在本实例中,核心层交换机 CoreSwitch1 也将作为 VTP 客户机。这 里 核 心 层 交 换 机 CoreSwitch1 将 通 过
获 得 在 分 布 层 交 换 机
DistributeSwitch1 中定义的所有 VLAN 的信息。
如图 2-36 所示,设置核心层交换机 CoreSwitch1 成为 VTP 客户
VTP机。
图 2-36 设置核心层交换机 CoreSwitch1 成为 VTP
客户机
2.3.4 配 置 核 心 层 交 换 机 CoreSwitch1 的 端 口 参 数
核心层交换机 CoreSwitch1 通过自己的端口 FastEthernet 4/3 同广域网接入 模块(Internet 路由器)相连。同时,核心层交换机
CoreSwitch1 的端口 GigabitEthernet
3/1 ~ GigabitEthernet
3/2
分 别 下 连 到 分 布 层 交 换 机 DistributeSwitch1 和 DistributeSwitch2 的端口 GigabitEthernet 0/1。
如图 2-37 所示,给出了对上述端口的配置命令。
图 2-37 设置核心层交换机 CoreSwitch1 的各端
口参数
此外,为了提供主干道的吞吐量以及实现冗余设计,在本设计中,将核心 层交换机 CoreSwitch1 的千兆端口 GigabitEthernet 2/
1、GigabitEthernet 2/2 捆绑 在一起实现 2000Mbps 的千兆以太网信道,然后再连接到另一台核心层交换机 CoreSwitch2。
如图 2-38 所示,是设置核心层交换机 CoreSwitch1 的千兆以太网信道的步 骤。
图 2-38 设置核心层交换机 CoreSwitch1 的千兆以太
网信道
2.3.5 配 置 核 心 层 交 换 机 CoreSwitch1 的 路 由 功 能
核心层交换机
CoreSwitch1 通过端口
FastEthernet 4/3 同广域网接入模块
(Internet 路由器)相连。因此,需要启用核心层交换机的路由功能。同时,还 需要定义通往 Internet 的路由。这里使用了一条缺省路由命令,如 图 2-39 所示。其中,下一跳地址是 Internet 接入路由器的快速以太网接口 FastEthernet 0/0 的 IP 地址。
图 2-39 定义到 Internet 的缺省路由如图
所示。
2.3.6 其 它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在充当层交换机的核心层交换机
CoreSwitch1,也需要进行相应的 配置,如图 2-40 所示。
图 2-40 定义对无类别网络以及全零子网的支持
2.3.7 核 心 层 交 换 机 CoreSwitch2 的 配 置
对于图 2-1-中的核心层交换机 CoreSwitch2 的配置步骤、命令和对核心层交 换机 CoreSwitch1 的配置类似。这里,不再详细分 析。同时,对于配置核心层 交换机 CoreSwitch2 下连的一系列交换机,其连接 方法以及配置步骤和命令同 图 2-1-中核心层交换机 CoreSwitch1 下连的一系列交换机的连接方法以及配置 步骤和命令类似。这里也不再赘述。广域网接入模块
设计
在 本 实 例 设 计 中,广 域 网 接 入 模 块 的 功 能 是 由 广 域 网 接 入 路 由 器 InternetRouter 来完成的。采用的是 Cisco 的 3640 路由器。它通过自己的串行 接口 serial 0/0 使用 DDN(128K)技术接入 Internet。其作用主要是在 Internet 和校园网内网间路由数据包。除了完成 主要的路由任务外,利 用访问控制列表(Access Control List,ACL),广域网接入路由器 InternetRouter 还可以用来完 成以自身为中心的流量控制和 过滤功能并实现一定的安全功能,如
图 3-1 所示。
图 3-1 广域网接入路由器
InternetRouter
3.1 配置接入路由器 InternetRouter 的基本参数
对接入路由器 InternetRouter 的基本参数的配置步骤与对访问层交换机 AccessSwitch1 的基本参数的配置类似。这里,只 给出实际的配置步骤,不再给 出具体的解释,如图 3-2 所示。
图 3-2 配置接入路由器 InternetRouter 的基
本参数
3.2 配置接入路由器 InternetRouter 的各接口参数
对 接 入 路 由 器 InternetRouter 的 各 接 口 参 数 的 配 置 主 要 是 对 接 口
FastEthernet 0/0 以及接口 Serial 0/0 的 IP 地址、子网掩码的配置。如图 3-3 所示,显示了为接入路由器 InternetRouter 的各接口设置 IP 地址、子 网掩码。
图 3-3 设置接入路由器 InternetRouter 的各接
口参数
3.3 配置接入路由器 InternetRouter 的路由功能
在接入路由器 InternetRouter 上需要定义两个方向上的路由 :到校园网内部 的静态路由以及到 Internet 上的缺省路由。
到 Internet 上的路由需要定义一条缺省路由,如图 3-4 所示。其中,下一跳 指定从本路由器的接口 serial 0/0 送出。
图 3-4 定义到 Internet 的缺
省路由
到校园网内部的路由条目可以经过路由 汇总后形成两条路由条目。如图 3-5 所示。
图 3-5 定义到校园网内部的路由
3.4 配置接入路由器 InternetRouter 上的 NAT
由于目前 IP 地址资源非常稀缺,不可能给校园网 内部的所有工作站都分配 一个公有 IP(Internet 可路由的)地址。为了解决所有工作站访问 Internet 的需 要,必须使用 NAT(网络地址转换)技术。
为了接入 Internet,本校园网向当地 ISP 申请了 9 个 IP 地址。其中一个 IP 地址 :193.1.1.1 被分配给了 Internet 接入路由器的串行接口,另外 8 个 IP 地址:
202.206.222.1~ 202.206.222.8 用作 NAT。
NAT 的配置可以分为以下几个步骤:
1、定义 NAT 内部、外部接口
图 3-6 显示了如何定义 NAT 内部、外部接口。
图 3-6 定义 NAT 内部、外部
接口
2、定义允许进行 NAT 的工作站的内部局部 IP 地址范围
图 3-7 显示了如何定义允许进行 NAT 的内部局部 IP 地址范围。
图 3-7 定义工作站的内部局部 IP 地址
范围
3、为服务器定义静态地址转换
图 3-8 显示了如何为服务器定义静态地址转换。
图 3-8 为服务器定义静态地址
转换
4、为其他工作站定义复用地址转换
图 3-9 显示了如何为其他工作站定义复用地址转换。
图 3-9 为工作站定义复用地址转换
3.5 配置接入路由器 InternetRouter 上的 ACL
路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。路 由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手 段。一个设计良好的访问控制列表不仅 可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资 的情况下完成一般软、硬件防火墙产品 的功能。由于路由器介于企业内网和外 网之间,是外网与内网进行通信时的第 一道屏障,所以即使在网络系统安装了 防火墙产品后,仍 然有必要对路由器的 访问控制列表进行缜密的设计,来对企 业内网包括防火墙本身实施保护。
在本实例设计中,将针对服务器以及内网工作站的安全给出广域网接入路 由器 InternetRouter 上 ACL 的配置方案。
在网络环境中普遍存在着一些非常重要的、影响服务器群安全的隐患。在 绝大多数网络环境的实现中它们都是应该对外加 以屏蔽的。主要应该做以下 的 ACL 设计:
1、对外屏蔽简单网管协议,即 SNMP。
利用这个协议,远程主机可以监视、控制网络上的其它网络设备。它有两 种服务类型: SNMP 和 SNMPTRAP。
如图 3-10 所示,显示了如何设置对外屏蔽简单网管协议 SNMP。
图 3-10 对外屏蔽简单网管协议
SNMP
2、对外屏蔽远程登录协议 telnet
首先,telnet 可以登录到大多数网络设备和 UNIX 服务器,并可以使用相关 命令完全操纵它们。其次,telnet 是一种不安全的协议类型。用户在使用 telnet 登录网络设备或服务器时所使用的用户 名和口令在网络中是以明文传输的,很 容易被网络上的非法协议分析设备截获。这是极其危险的,因此必须加以屏蔽。如图 3-11 所示,显示了如何对外屏蔽远程登录协议 telnet。
图 3-11 对外屏蔽远程登录协议
telnet
3、对外屏蔽其它不安全的协议或服务
这样的协议主要有 SUN OS 的文件共享协议端口 2049,远程执行(rsh)、远程登录(rlogin)和远程命令(rcmd)端口512、513、514,远程过程调用
(SUNRPC)端口 111。可以将针对以上协议综合进行设计,如图 3-12 所示。
图 3-12 对外屏蔽其它不安全的协议或
服务
4、针对 DoS 攻击的设计
DoS 攻击(Denial of Service Attack,拒绝服务攻击)是一种非常常见而且 极具破坏力的攻击手段,它可以导致服 务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。图 3-13 显示了如何设计针对常见 DoS 攻 击的 ACL。
图 3-13 针对 DoS 攻击的设计
5、保护路由器自身安全
作为内网、外网间屏障的路由器,保护 自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器,必 须对路由器的访问位置加以限制。
应只允许来自服务器群的 IP
地址访问并配置路由器。这时,可以使用 ACCESS-CLASS 命令进行 VTY 访问控制。如图 3-14 所示。
图 3-14 保护路由器自身安全
3.6 其它配置
为了实现对无类别网络(Classless Network)以及全零子网(Subnet-zero)的支持,在接入路由器 InternetRouter 上还需要进行适当的配置,如图 3-15 所 示。
图 3-15 定义对无类别网络以及全零子网的支持 远程访问模块设
计
远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出 差在外的员工提供远程、移动接入服务。如图 4-1 所示。
图 4-1 远程访问
服务
远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的 广域网连接类型提供的服务质量不同,花 费也不相同。在本设计中,由于面对 的用户群规模、业务量较小,所以 采用了异步拨号连接作为远程访问的技术手 段。
异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话
网(Public Switched Telephone Network,PSTN)上 提供服务的。传统 PSTN 提 供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。因为目前存在着大量安装好的电话线,所 以这样的环境是最容易满足的。因此,异步拨号连接也就成为最为方 便和普遍的远程访问类型。
广域网连接可以采用不同类型的封装协议,如 HDLC、PPP 等。其中,PPP 除了提供身份认证功能外,还可以提供 其他很多可选项配置,包括链路压缩、多链路捆绑、回叫等,因此更具优势。本设计所采用的异步连接封装协议是 PPP。
在本设计中采用了可以集成在广域网接入路由器 InternetRotuer 中的异步 Modem 模块 NM-16AM(16 Port Analog Modem Network Module)提供远程访 问服务。它可以同时对最多 16 路拨号用户提供远程接入服务。
以下介绍一下配置异步拨号模块 NM-16AM 的步骤。
4.1 配置物理线路的基本参数
对物理线路的配置包括配置线路速度(DTE、DCE 之间的速率)、停止位 位数、流控方式、允许呼入连接的协议 类型、允许流量的方向等。如图 4-2 所 示。
图 4-2 配置物理线路的基本参数
4.2 配置接口基本参数
对接口基本参数的配置包括 :接 口封装协议类型、接口异步模式、IP 地址、为远程客户分配 IP 地址的方式等,如图 4-3 所示。这里,设置远程客户从 IP
地址池 rasclients 中获得 IP 地址。
图 4-3 配置接口基本
参数
接下来,需要建立一个本地的 IP 地址池。如图
4-4 所示,建立了一个名为
rasclients 的 IP 地址池。其 IP 地址范围是: 192.168.200.1~ 192.168.200.16。
图 4-4 指定 IP 地
址池
4.3 配置身份认证
PPP 提供了两种可选的身份认证方法:口令验证协议
PAP(Password Authentication
Protocol,PAP)和 质 询 握 手 协 议(Challenge
Handshake Authentication Protocol,CHAP)。
PAP 是一个简单的、实用的身份验证协议。PAP 认证进程只在双方的通信 链路建立初期进行。如果认证成功,在 通信过程中不再进行认证。如果认证失 败,则直接释放链路。
CHAP 认证比 PAP 认证更安全,因为 CHAP 不在线路上发送明文密码,而 是发送经过摘要算法加工过的随机序列,也 被称 为 “ 挑战字符串”。同 时,身 份认证可以随时进行,包括在双方正常通信过程 中。因此,非法用户就算截获 并成功破解了一次密码,此密 码也将在一段时间内失效。
CHAP 对端系统要求很高,因为需要多次进行 身份质询、响应。这需要耗 费较多的 CPU 资源,因此只用在对安全要求很高的场合。
PAP 虽然有着用户名和密码是明文发送的弱 点,但是认证只在链路建立初
期进行,因此节省了宝贵的链路带宽。
本设计中将采用 PAP 身份认证方法。
1、建立本地口令数据库
如图 4-5 所示建立本地口令数据库。
图 4-5 建立本地口令数
据库
2、设置进行 PAP 认证
如图 4-6 所示设置进行 PAP 认证。
图 4-6 设置进行 PAP
认证 服务器模块
设计
服务器模块用来对校园网的接入用户提供各种服务。在本设计实例中,所 有的服务器被集中到
VLAN 100,构成服务器群并通过分布层交换机 DistributeSwitch1 的端口 fastethernet 1~ 20 接入校园网。如图 5-1 所示。
图 5-1 服务
器群
校园网网络提供的常用服务(服务器)包括:
z z z z z
z z z z WEB 服务器:提供 WEB 网站服务。
DNS、目录服务器:提供域名解析以及目录服务。FTP、文件服务器:提供文件传输、共享服务。邮件服务器:提供邮件收发服务。
数据库服务器:提供各种数据库服务。
打印服务器:提供打印机共享服务。实时通信服务器:提供实时通信服务。
流媒体服务器:提供各种流媒 体播放、点播服务。网管服务器:对校园网网络设备进行综合管理。
如图 5-2 所示。显示了各服务器 IP 地址配置情况。
图 5-2 各服务器 IP 地址
配置
表 2 给出了所有的服务器硬件平台、操 作系统以及服务软件的选型表。表 2 服务器硬件平台、操作系统以及服务软件的选型
表
限于篇幅,对于各种服务器的安装、配置步骤以及运行维护方法,这里不 再赘述。感兴趣的读者可以参看有关参考书。系统测
试
6.1 系统测试
前面几节对如何设计一个较为完整的校园网网络进行了详细的介绍。当校 园网初具规模后,还应该对校园网的整 体运行情况做一下细致的测试和评估。主要的测试内容应该包括:
z z z z z z z z 对管理 IP 地址的测试。
对相同 VLAN 内的通信进行测试。对不同 VLAN 内的通信进行测试。对冗余链路的工作状态进行测试。
对广域网接入路由器上的 NAT 进行测试。对广域网接入路由器上的 ACL 进行测试。对远程访问服务进行测试。
对各种服务器提供的服务进行测试。
至于具体的测试步骤,限于篇幅,不再赘述。这里,只给出相关测试、诊 断命令。
6.2 相关测试、诊断命令
本文的最后,按不同的功能按每种技术分类,给出路由器或交换机上常用 的相关测试、诊断命令。同时,还给出了每一命令的作用。
6.2.1 通 用 测 试、诊 断 命 令
1、ping x.x.x.x
标准 ping 命令。用于测试设备间的物理连通性。
2、ping
扩展 ping 命令。也 用于测试设备间的物理连通性。扩展 ping 命令还支持灵 活定义 ping 参数,如 ping 数据包的大小,发送包的个数,等待响应数据包的 超时时间等。
3、traceroute x.x.x.x
命令 traceroute 用于跟踪、显示路由信息。
4、show running-config
命令 show running-config 用于显示路由器、交换机运行配置文件的内容。
5、show startup-config
命令 show startup-config 用于显示路由器、交换机启 动配置文件的内容。
6、show sessions
命令 show sessions 用于显示从当前设备发出的所有呼出 Telnet 会话。
7、disconnect
命令 disconnect 用于断开与远程目标主机的 Telnet 会话。
8、show users
命令 show users 用于查看呼入 Telnet 会话情况。
命令 clear line 用于断开远程主机的呼入 Telnet 连接。
10、shutdown
命令 shutdown 用于临时将某个接口关闭。
11、no shutdown
命令 no shutdown 用于手动启动(激活)处于管理性关闭的接口。
12、show arp
命令 show arp 用于显示 ARP 缓存(ARP 表)的内容。
13、show ip arp
命令 show ip arp 用于显示 IP ARP 缓存(ARP 表)的内容。
14、show interfaces
命令 show interface 用于显示各接口的状态及参数信息。
15、show ip interface
命令 show ip interface 用于显示 IP 接口的状态及配置信息。
命令 show version 用于显示路由器硬件配置、软件版本等信息。
17、Ctrl+Shift+6+x
该命令也被称为“退出序列”,用于终止正在执行的某条命令或操作,也 用于从呼出 Telnet 会话中暂时切换到本地连接。
18、dir flash:
命令 dir flash:用于显示闪存中的文件清单。
19、dir nvram:
命令 dir nvram:用于显示非易失性内存中的文件清单。
20、show debugging
命令 show debugging 用于显示正在进行的诊断过程清单。
21、undebug all
命令 undebug all 用于停止所有诊断过程。
6.2.2 CDP 测 试、诊 断 命 令
1、show cdp
命令 show cdp 用于显示 CDP 全局参数信息。
命令 show cdp neighbors 用于显示 CDP 邻居设备的摘要信息。
3、show cdp neighbors detail
命令 show cdp neighbors detail 用于显示 CDP 邻居设备的详细信息,包括: 邻居设备名称、邻居设备接口 IP 地址、邻居设备软件版本信息、设 备性能、设 备平台、本地设备接口、邻居设备接口、CDP 缓存条目保持时间、CDP 广播版 本、接口双工方式等。
4、show cdp entry
命令 show cdp entry 用于显示指定邻居设备的相关信息。
5、show cdp interface
命令 show cdp interface 用于显示本地设备各个接口 的状态、接 口封装格式、CDP 包的周期发送时间以及 CDP 保持时间等。
6、show cdp traffic
命令 show cdp traffic 用于显示和 CDP 相关的流量统计信息,包括接收和发 送的 CDP 包数量、包括头部错误、校验错误、封 装错误等在内的错误数量等。
1、show ip route
命令 show ip route 用于显示当前路由表内容。
2、show ip protocols
命令 show ip protocols 用于显示动态路由协议的配置参数信息。
6.2.4 VLAN、VTP 测 试、诊 断命令
1、show interface vlan vlan-num
命令 show interface vlan vlan-num 用于显示 VLAN 是否已激活、交换机 MAC 基地址、接口参数等。
2、show mac-address-table
命令 show mac-address-table 用于显示 CAM,即 桥接表的内容。该命令可列 出学习到的主机 MAC 地址及其所属 VLAN、所处端口、条目类(型静态 STATIC、动态 DYNAMIC 等)以及满足列表条件的 MAC 地址数目。
3、show vlan
命令
show vlan 用于查看
VLAN 创建情况。该命令可以显示系统所有的
VLAN 信息,包括 VLAN 编号、VLAN 名称、VLAN 状态、VLAN 成员等信息。
命令 show vtp status 用于检查 VTP 配置情况。
6.2.5 生 成 树 测 试、诊 断 命 令
1、show spanning-tree
命令 show spanning-tree 用于显示生成树协议中交换 机及其端口的情况。
2、show spanning-tree blockedports
命令 show spanning-tree blockedports 用于显示处于阻塞状态的端口。
3、show spanning-tree detail
命令 show spanning-tree detail 用于显示生成树详细信息。
4、show spanning-tree interface
命令 show spanning-tree interface 用于显示生成树中某端口相关状态。
5、show spanning-tree vlan
当有多个 VLAN 时,Catalyst 交换机会为每个 VLAN 运行一个生成树实例。此命令用于显示指定 VLAN 的生成树内容。
6、show spanning-tree summary
命令 show spanning-tree summary 用于显示生成树总结,包括本交换机是哪
些 VLAN 的根网桥、端口快速特性是否启用、处于生成树各个端口状态的端 口 数量等信息。
6.2.6 NAT 测 试、诊 断 命 令
1、show ip nat translation
命令 show ip nat translation 用于显示当前正在进行的 NAT 情况。
2、show ip nat translation verbose
命令 show ip nat translation verbose 用于显示当前正在进行的 NAT 更为详细 的情况。
3、show ip nat statistics
命令 show ip nat statistics 用于显示 NAT 运行情况统计。
4、debug ip nat
命令 debug ip nat 用于打开对 NAT 的诊断。
6.2.7 ACL 测 试、诊 断 命 令
1、show access-lists
命令
show access-lists 用于显示所有已定义的访问控制列表内容及命中情 况。
2、show ip access-lists
命令 show ip access-lists 用于显示所有已定义的 IP 访问控制列表内容及命 中情况。
6.2.8 远 程 访 问 测 试、诊 断 命 令
1、show line
命令 show line 用于查看当前系统所有的线路及其状态。
2、show modemcap
命令 show modemcap 用于显示了当前路由器可以自动配置的 Modem 列表。
3、debug ppp negotiation
命令 debug ppp negotiation 用于打开对 PPP 协议参数协商的诊断。
4、debug ppp authentication
命令 debug ppp authentication 用于打开对 PPP 身份认证过程的诊断。
总 结
需要说明的是,一个完整的校园网网络 系统设计不仅包含上述设备或系统,还应该包括计费系统、防火墙系统、入 侵检测系统等组成部分。限于篇幅,在 此不做介绍,感兴趣的读者可 以参看有关的参考书。
第二篇:校园网设计方案123
校园网设计方案
一、学校需求分析
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
调研情况
学校有几栋建筑需纳入局域网,其中原有计算机教室将并入整个校园网络。根据校方要求,总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。
需求功能
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
二.设计特点
根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下:
技术先进
· 采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资;
· 网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善的服务保证;
· 采用支持网络管理的交换设备,足不出户即可管理配置整个网络。
网络互联:
· 提供国际互联网ISDN 专线接入(或DDN),实现与各公共网的连接;
· 可扩容的远程拨号接入/拨出,共享资源、发布信息等。应用系统及教学资源丰富;
· 有综合网络办公系统及各个应用管理系统,实现办公自动化,管理信息化;
· 有以WEB数据库为中心的综合信息平台,可进行消息发布,招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。
三.校园网布局结构
校园比较大,建筑楼群多、布局比较分散。因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发展需求。主干网以中控室为中心,设几个主干交换节点,包括中控室、实验楼、图书馆、教学楼、宿舍楼。中心交换机和主干交换机采用千兆光纤交换机。中控室至图书馆、校园网的主干即中控室与教学楼、实验楼、图书馆、宿舍楼之间全部采用8芯室外光缆;楼内选用进口6芯室内光缆和5类线。
根据学校的实际应用,配服务器7台,用途如下:
① 主服务器2台:装有Solaris操作系统,负责整个校园网的管理,教育资源管理等。其中一台服务器装有DNS服务,负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统,负责整个校园网中各个用户的邮件管理。
②www.xiexiebang.comntrol Protocol(TCP)传输控制协议 Network File System(NFS)网络文件系统 File Transfer Protocol(FTP)文件传输协议 Messge Handing System(MHS)电子函件协议
其中,IP是整个网络互联的平台,TCP是端到端可靠传输的保证。FTP协议是TCP/IP协议中主要的文件传输协议,它采用面向连接的方式,向上网用户提供文件级的传输、访问、拷贝等服务。NFS是SUN公司开发的文件访问协议,用于解决网络环境下远地文件的透明访问。MHS为上网用户交互信件提供服务,并可以进行一对多的邮件传递。网络整体框架结构:
楼宇交换机
桌面交换机
楼宇交换机
网 管 交换机
桌面交换机
DNS
(四)网络主干设计:
从近期和远期带宽需求和拓扑结构考虑,在核心骨干交换机之间、骨干交换机和端口密度较大、信息量较大的工作组交换机之间采用千兆位;端口密度小、信息量较小的工作组交换机则以快速以太网或快速以太网通道连接到骨干交换机上;工作组交换机提供10M/100Mbps到桌面计算机。
(五)虚网方案设计: 基于端口的虚网划分;
利用VIAN国际标准802.1Q,实现跨交换机的VLAN,通过IEEE802.1d协议所支持的生成树技术(Spanning Tree),实现各中继之间的负载均衡;
采用VLANPruning技术来优化交换网络中广播对网络性能的影响;
(六)网络管理方案设计:
根据学校和服务器应用模式及全网范围资源集中管理的原则,建立网管中心(中心机房),统一网络中的交换设备的管理配置,虚网设计和配置,各种服务建立等。
网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护;进行故障隔离、分析、统计、报警、设置;网管软件采用图形化界面,支持广泛的网管平台。
(七)网络安全方案设计: 对内安全: a)利用VLAN的安全特性,按照学校各部分的基本工作性质结合楼宇的分布划分子网网段:192.168.10段,办公楼;192.168.20段,教师周转房(1,2);192.168.30段,为临江园2幢教师住宿楼,192.168.40段为硅步楼,192.168.50段为2号教师住宿楼,192.168.60段为1号教师住宿楼。192.168.70段为3幢教学楼。一方面对子网内信息点设置访问控制,另一方面对不同子网的访问进行控制。
b)服务器访问控制:通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、教务管理平台的访问和管理
对外安全:
安装软件、硬件防火墙,网络防病毒软件,客户端防病毒软件;利用代理服务器提供Internet与Intranet之间的防火墙功能;通过网管实时记录网络的运行状态。
(八)网络可靠性设计:
网络主干采用基于树型的多星型结构,使之具有链路冗余特性,能使树型中有一线路出现故障时,只有本线路出故障,其它网络部分仍然能正常运行。
(九)接入Internet:
采用DDN接入。DDN是英文Digital Data Network的缩写,这是随着数据通信业务发展而迅速发展起来的一种新型网络。
五、网络拓扑结构
1、网络建设结构:星型结构是目前局域网建设的典型结构,也是校园网的主流结构。结合学校楼宇较多分布范围较广的特点方案拟定星型拓扑结构。以根结点(核心交换机)为核心,下连楼宇交换机、桌面交换机。如图
楼宇交换机
桌面交换机
楼宇交换机
网 管 交换机
桌面交换机
DNS 优点:简单、易于维护和管理,建设费用相对较低。
2、网络设备连接:
(1)核心交换机连接:www服务器、各网段交换机(另安光转换器)。(2)各网段交换机连接:本幢楼的信息结点和本网段其他楼宇的桌面交换机。
(3)桌面交换机连接:各自楼宇内部的信息结点。
六、网络软硬件设备规划
(一)设备选择考虑的因素:设备性能、性能价格比、设备的可扩展性、生产厂商的技术支持,还有要从本校的实际情况出发。
(二)设备选择:
1、交换设备
(1)核心交换机:选择带路由功能的可通过千兆上连至主干的可网管交换机。
(2)网段交换机(楼宇交换机):可选择神州数码类型带1000M光接口的;(3)桌面交换机:普通交换机。可选择TCL,清华同方D-LINK等类型。
2、服务器
服务器的应用:www服务,FTP服务,数据库服务,办公自动化管理服务等。
WWW用一台服务器; FTP和主DNS合用一台服务器; 数据库和辅DNS合用一台服务器;
3、硬件防火墙:使用“远教”配置的“易尚”ES800A。
4、光收发设备:楼宇间的光缆,需要在交换机上配置光收发器。光收发设备有光模块和光收发器两种选择。光模块一般只能配置在相应厂商生产的模块化交换机上,一般认为其性能要好一些,但缺点是价格昂贵,且维护周期长。光收发器则可以配置在任何专门生产光设备生产厂商生产的交换机上,价格便宜,维护周期短。所以本方案除各子网千兆模块本身是光模块外,其余设备的光缆连接均采用光收发器。
5、网络传输介质:传输介质决定了网络的传输速度、网络段的最大长度、传输可靠性、网络接口卡的复杂程度,直接影响网络的建设成本,也影响今后网络的发展。
根据网络拓扑,选择双绞线和光缆作为学校网络的传输介质。(1)双绞线:采用符合国际标准的IBDN超5类非屏蔽双绞线。
(2)光缆:光缆一旦铺设以后,需要长时间的质量保证,因此选择高质量、高可靠的产品。
(3)跳线:成品跳线与自制跳线按1:5的比例配置。
6、电源及保护:网管中心是整个网络的核心,长延时电源及相关电源保护是必不可少的。要求:突然停电后,维持网管中心设备几个小时的供电;在电池用完之前能 自动关闭被保护的服务器,供电后能自动启动服务器;防止公用电源线上的浪涌、脉冲、闪电损害重要设备;电能要求在10000VA上。推荐使用APC公司的智能UPS电源。
(三)软件选择
1、系统软件
操作系统:win2003 server:用户界面友好,支持多任务窗口;是高性能的应用平台;内置WEB/SERVER服务功能;易于配置、使用湖维护;性能价格比好;软件容易升级。
2、应用软件:采用“校校通”校园网平台软件,“远志”多媒体教学网络系统;
3、防病毒软件:采用世界反病毒行业领先厂商Norton公司的诺顿防病毒企业版。结合其他专杀工具和正版个人版杀毒软件。必要时配置其他网络杀毒软件。
七、布线系统
1、需求说明:学校网络拓扑结构设计为星型结构的快速以太,信息点数量约358个。
2、布线方案——IBDN开放布线设计:不但满足当前网络通讯对布线的需要,更要向未来高速网络技术的发展对布线系统的严格要求,具有很强的适应性、扩展性、可靠性、长远效益;符合最新国际布线标准。
(1)校园布局图与楼宇间光纤布线:其中100M光纤到教学楼、跬步楼、教师楼、周转房;100M光纤到其余信息点分布的楼宇。
(2)水平、垂直子系统全部采用超5类双绞线,可支持高达155Mbps的数据传输速率,具有很强的互补性、扩展性、灵活性、高可靠性;采用标准的RJ45 8信息位标准接口;可以把不同厂家的网络设备和终端设备连接到网络中。
3、标准与设计目标:(1)设计依据和遵循标准:
EIA/TIA 568商业建筑布线标准 ISO/EIC II801国际综合布线标准
中国工程建设标准化协会标准CECS 72:97/CECS89:97 中国民用建筑电气设计规范 IBDN开饭法式布线系统设计总则(2)设计目标:
具有高速和高带宽传输能力;
具备运行的高可靠性,重要网络部分,采用冗余备份来保证万无一失;
采用标准的RJ45 8信息位标准接口;
除线缆外,其余所有接插件都采用模块化,以便管理和使用; 能适应未来发展的需要,系统的扩充容易升级。
4、综合布线子系统设计: 1)工作区子系统:由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简
易、防尘等特点;信息插座的模块采用IBDN五类或AMP五类RJ-45模块;线缆采用IBDN超五类双绞线或者采用AMP产品;水晶头采用AMP RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式,中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线,其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准,以使系统具有更好的兼容性。信息插座安装位置图示:
2)水平子系统:水平子系统主要是实现信息插座和管理子系统,即中间配线架(IDF)间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中,水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线在整个校园网建设中均采用同一品牌的正品线。
3)管理子系统:管理子系统由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。
4)垂直干线子系统:连接主设备间至各配线间的线缆构成,提供高速数据通讯主干通道。主要由高性能室内光纤、双绞线缆、大对数通讯电缆组成。
5)设备间子系统:是每一幢大楼在适当位置设置进出线设备、网络互连设备的场所。为了便于布线、管理、节约投资,墙柜设置在每一幢大楼顶楼气棚处,以及220V的交流电接入。本校园网设计的管理子系统、垂直子系统和设备间子系统结合实际设计在各个楼宇顶楼气棚的墙柜内。6)建筑群子系统:是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上,采用光缆布线是目前主要的楼宇间布线方式。其中主干光缆采用4芯单模(各网段交换机与桌面交换机间),其余楼宇间的主干光缆采用4芯多模。如图描述子系统间关系:
5、布线系统的管理:
信息点编号方法:3个字符编号。第一个是楼层号,从下到上,从数字1开始;第二、三个为信息点统一顺序编号,从左到右,从数字01开始。如408表示第4层楼第8个计算机信息结点。
6、布线系统的施工:
(1)
水平管线(2)垂直管线(3)光纤
八、结束语:
拥有一个高水准的校园网,必将促进校园网络应用向WWW、E-mail、FTP的更高层次应用发展。计算机网络技术的发展,引发了学校各项工作的深刻变革。高性能校园网的建设大大提高了学校的管理水平,为师生员工更好地进行教学、科研等提供了先进的平台,极大地推动了学校的信息化建设。统一平台、整合资源,将很多原来划分在不同部门、不同系统的应用放在一个同时兼具高度灵活性、稳固的校园网平台上,产生出巨大的协同效应,甚至从根本上改变了原有的教育模式。同时进一步利用这个平台有效整合学校内部资源,以信息化促进学校内外部业务统一、流程优化。随着校园网基础建设的加强及学校信息化程度的提高,学校最终将迎来科学管理和教学的新时代。
第三篇:校园网设计方案
方案1:
一个完整的校园网建设主要包括两个内容:技术方案设计;应用信息系统资源建设。
技术方案设计主要包括:结构化布线与设备选择、网络技术选型等;应用信息系统资源建设主要包括:内部信息资源建设、外部信息资源建设等。这里我们介绍网络技术选型。
一、网络技术选型设计
校园网络系统基本可分为校园网络中心、教学子网、办公子网、图书馆子网、宿舍子网及后勤子网等。
1.校园网络中心的设计
网络中心设计主要包括主干网络的设计、校园网与Internet的互连、远程访问服务等。
(a)主干网络的设计
主干网络采用联想新推出的LS-5608G智能型8联机箱式千兆以太网交换机作为校园网的中心交换机,它提供8个插槽,可选插8联的10/100Base-TX、2联的100Base-FX或1联的千兆以太网模块。适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络。同时可以选择MS-5103千兆位以太网模块(SX/MM/850nm,0-350m)或MS-5104千兆以太网模块(LX/SM/1310nm,0-6km)与下面的各个子网通过千兆位的链路相连。
(b)校园网与Internet的互连:
推荐采用局域网专线接入方式,此方式需要配备路由器等设备,租用专线DDN或帧中继(Frame Relay),也可申请ISDN专线并向CERNET管理部门申请IP地址及注册域名,以专线方式连入Internet,并提供防火墙、计费管理等功能。
本方案选用联想的LR-2501路由器,具有1个局域网(LAN),2个广域网(WAN)和1个控制台。支持帧中继(Frame-Relay)、X.25、PPP、HDLC协议。
(c)远程访问服务
采用联想LA-220和LA-240访问服务器,安装在本地局域网中,通过1至4个调制解调器(或ISD TA)和1至4根电话线,即可为远程访问人员提供拨号上网服务,远程用户只需拥有1个调制解调器和1根电话线,通过拨接LA-220或LA-240上所连接的电话号码,就可以登录访问。
2.教学子网的设计
校园网建网的目的之一,是利用网络实现多媒体教学,如:交互式多媒体课堂、电子阅览室、教师培训等。多媒体教学的难点在于实现视频信号的传送(如VOD视频点播)。目前在局域网上实时传送高质量的视频数据还未成熟,但传送压缩后的视频数据确是可行的。根据教学子网对速度要求较高的特点,可以采用了联想LS-5625智能型24+1和10/100M自适应以太网交换机,它提供24个10/100M交换式端口和一个扩展插槽,可选插1个8联的10/100 Base-TX、1个2联的100Base-FX或1个1联的千兆以太网模块。但实际上大量用户(指超过60个流)的视频传输的瓶颈在于存储介质的外部传输速率,因此可选用多通道的磁盘阵列接多台主机的方式提高访问的总线带宽。
在教学子网的软件方面,可选用的种类较多,如:联想传奇(ParaSago)、电子教室、海航的电子阅览室、中教的课件制作系统等。
3办公子网的设计
办公子网主要面向学校的各级领导及各职能部门,能够实现对网络数据的查询、修改、添加、删除等操作,同时,应该能够满足支持视频传送的要求。鉴于此,办公子网采用了联想LH-2627 24+3的10/100M自适应集线器或LH-2613 12+1的10/100M自适应集线器,这两款集线器除具备普通双速集线器功能外,还专门提供了交换式端口,能够为连接在该端口上的设备提供独享的10/100M带宽,极大地提高数据传输速率,解决服务器瓶颈问题。
采用联想LP-136 3联10/100M以太网打印服务器,来完成共享打印功能。该服务器具有3个标准并联,可同时连接三台任意标准并联打印机。
办公子网对应的软件有科利华等公司研制开发的办公软件等。
4图书馆子网的设计
图书馆是一个相对独立的系统,我们采用联想LS-3016 16的10/100M自适应以太网交换机,它提供了优良的每端口性能价格比,并支持基于端口的VLAN划分。
图书馆管理系统的应用软件产品较多而且相对成熟。
5宿舍区子网及后勤子网等的设计
宿舍区子网即在学生宿舍内部连网,用以直接浏览学校发布的信息及查阅一些电子文档资料;后勤子网覆盖范围较大,主要用途有食堂IC卡计费系统等。由于宿舍区子网及后勤子网对带宽的要求并不高,因此我们选用联想LH-2016 16的10/100M自适应集线器,提供16个双速集线器端口,能够自动适应所接设备的速度(10/100Mbps),每台LH-2016背面都有2个堆叠口、利用这两个堆叠口最多可堆叠6台集线器,最大可用端口数为96个。
综上所述,通过联想全系列网络产品即可构建一个完整、先进、可靠的校园网络硬件平台,从而有利于校园网信息系统的使用、维护、扩充、升级,并能有效利用投资。
二、内部信息资源建设
内部信息资源建设可分为以下几个模块:校长查询、学生管理、课程管理、思教管理、教工管理、党务管理、工资管理、财产管理、档案管理、文件管理等,各模块的功能在此不作赘述。
三、外部信息资源建设
外部信息资源建设应包括以下几个功能:Internet功能、远程访问功能、电子邮件功能、以多媒体方式介绍学校的功能、讨论和交流功能、信息发布功能。各项功能均可通过相应的网络信息平台实现。在此亦不做详细描述。
学校的网络化建设必然会对学校的信息化建设起到巨大的推动作用,同时提供简单、有效、便捷的理想办公、教学环境。校园网一方面缩短了学校与外界的距离;另一方面,构建了以Intranet为基础的管理信息系统,推动了学校的信息化建设。随着校园网建设的普及应用,学校最终将迎来科学管理和教学的新时代
第四篇:校园网规划设计方案
校园网规划设计方案
校园网规划设计方案
一、需求分析
福建儿童发展学院新校址设在福州市仓山区长安南路89号(原福建工程学院仓山校区),占地207亩,建筑面积8.8万平方米,校园环境优美宜人,拥有近50间多媒体教室、260多间标准琴房、6个舞蹈练功厅、1个影视制作中心、图书馆大楼、各专业实训中心、标准化的学生公寓,建有高速便捷的校园网络,在全省各地建立了130个校外实习实训基地。
近年来,学校的教学和管理工作不断向着信息处理计算机化、信息交流网络化、信息管理数据库化、信息服务电子化方向发展。“学习使用网络,用网络进行学习” 已经成为一种校园时尚。形象化、交互性的教学以及海量的教学资源,使计算机网络 技术在学校管理和辅助教学、科研活动中显示出其独特的优势,对于大学校园特别是 像福州软件职业技术学院这样以计算机系为主的高等院校,更加说明校园网络的建设 势在必行。
二、功能介绍
1.校园网在设计上应具备以下特性才能够满足需求,并保证建成后的网络在一个 较长的时间内具有较强的可用性和一定的先进性。
(1)高性能与技术先进性
校园网网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供 较强的可扩展性。为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。
(2)高可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和 备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。在网 络骨干上要提供备份链路,提供冗余路由。在网络设备上要提供冗余配置,设备在发 生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到 最小,避免由于网络故障造成用户损失。
(3)安全性
校园网作为一个支持众多用户、同时和 INTERNET/CERNET 存在连接的网络,网络 安全性在整个网络中是个很重要的问题,应该采用一定手段控制网络的安全性,以保 证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访 问。网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。
(4)可管理性
强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进 行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。灵活的 设置每个用户对 Internet 访问功能,能够对每个用户实行管理;并且能够实现计费管理。
(5)层交换技术
通过三层交换技术,特别是基于硬件的第三层交换,可以充分地利用交换机的包 处理能力,实现真正的线速交换。
校园网规划设计方案
2.主干网技术的选择
主要选择千兆(适合于高校)或百兆以太网技术来构建校园网络,对两层结点和 桌面微机的接入也采用快速以太网,建立一个基于多层、全交换的虚拟园区网。
3.中心机房设计
(1)网管服务器:对校园网网络设备进行综合管理。网络管理是校园网必须考虑的 关键技术,这里的网络管理主要指网络设备及其系统的管理,它包括配置、性能、安全、故障管理等,网络管理设计需要在配置每个网络设备时,都选择具有网络管理代 理的、驻留有网络管理协议的设备。网络管理设计的另一方面,是配置一个网络管理 中心,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。网管软件应 能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管 理及配置。
(2)WEB 服务器:提供 WEB 网站服务
(3)DNS、目录服务器:提供域名解析以及目录服务。建立 Intranet,其中一个必 不可少的组成部分就是 DNS(域名系统)。IP 地址和机器名称的统一管理由 DNS(DomainNameSystem)来完成的。
(4)FTP、文件服务器:提供文件传输、共享服务。FTP 是 Internet 中一种广泛使用 的服务,主要用来在两台机器之间(甚至是一同系统)传输文件。FTP 采用 C/S 模式,FTP 客户软件必须与远程 FTP 服务器建立连接并登录后才能进行文件传输。为了实现 有效的 FTP 连接和登录,用户必须在 FTP 服务器进行注册,建立帐号,拥有合法的用 户名和口令。
(5)邮件服务器:提供邮件收发服务。为了作到 Intranet 内部 Mail 系统同公共 InternetMail 系统的平滑对接,要求采用 Internet 公共标准的通用 MAIL 系统,在内部 的 MAIL 系统同外部通信时需要一个 Proxy 应用作适当的转接服务,进行相应的地址 转换工作。
(7)打印服务器:提供打印机共享服务。(8)实时通信服务器:提供实时通信服务。
(9)流媒体服务器:提供各种流媒体播放、点播服务。使得教师在上课的时候可以,谁时播放视频,提高教学效果和增强学生的学习新趣。
(10)数据库服务器:提供各种数据库服务。具有教学要用的各种课件、试题等与 教学相关的资料。
4.可扩展性
随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应 用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证现 有的投资。
5.多媒体技术应用。
校园网要求具有数据、图像、语音等多媒体实时通讯能力;并在主干网上提供足 够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量 供突发的数据传输使用,最大可能地降低网络传输的延迟。整个网络在服务质量、预 留宽带设置、合理进行带宽管理方面应提供优良的品质。
校园网规划设计方案
三、拓扑结构
方案设计者:刘红红
2011年5月29日
第五篇:校园网设计方案三
校园网络设计方案
一、需求分析
校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,校园网的建设必须有明确的建设目标。校园网的总体设计原则是:
开放性:采用开放性的网络体系,以方便网络的升级、扩展和互联;同时在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化;
可扩充性:从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的可扩充性;
可管理性:利用图形化的管理界面和简洁的操作方式,合理地网络规划策略,提供强大的网络管理功能;使日常的维护和操作变得直观,便捷和高效;
安全性:内部网络之间、内部网络与外部公共网之间的互联,利用VLAN/ELAN、防火墙等对访问进行控制,确保网络的安全;
投资保护:选用性能价格比高的网络设备和服务器;采用的网络架构和设备充分考虑到易升级换代,并且在升级时可以最大限度地保护原有的硬件设备和软件投资;
易用性:应用软件系统必须强调易用性,用户界友好,带有帮助和查询功能,用户可以通过Web查询。
二、方案设计图
http://images22.51.com/6000/jiangwx123/f1ce9ec9e0cd8b0f32d82146eb81b3ff.jpg
三、方案内容
(一)、校园网的组网技术一般有以下选择: 主干网技术的选择
主要选择千兆(适合于高校)或百兆以太网技术来构建校园网络,对两层结点和桌面微机的接入也采用快速以太网,建立一个基于多层、全交换的虚拟园区网。
校园网在设计上应具备以下特性才能够满足需求,并保证建成后的网络在一个较长的时间内具有较强的可用性和一定的先进性。
1、高性能与技术先进性
校园网网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。
2、高可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。在网络骨干上要提供备份链路,提供冗余路由。在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小,避免由于网络故障造成用户损失;
3、安全性
校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,应该采用一定手段控制网络的安全性,以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。
4、可管理性
强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理;并且能够实现计费管理。
5、可扩充性
随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证现有的投资。
6、VLAN划分
根据校园网的实际需求,属于同一部门的工作人员可能在不同的建筑物中,但需要在一个逻辑子网内。网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。因此在网络主干中要支持三层交换及VLAN划分。在整个网络中使用虚拟网技术,以提高网络的安全性和灵活性。
7、多层交换技术
通过三层交换技术,特别是基于硬件的第三层交换,可以充分地利用交换机的包处理能力,实现真正的线速交换。
8、对多媒体应用的支持 校园网要求具有数据、图像、语音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟。整个网络在服务质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。
(二)、中心机房设计
1、网管服务器:对校园网网络设备进行综合管理。网络管理是校园网必须考虑的关键技术,这里的网络管理主要指网络设备及其系统的管理,它包括配置、性能、安全、故障管理等,网络管理设计需要在配置每个网络设备时,都选择具有网络管理代理的、驻留有网络管理协议的设备。网络管理设计的另一方面,是配置一个网络管理中心,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
2、WEB服务器:提供WEB网站服务。
3、DNS、目录服务器:提供域名解析以及目录服务。建立Intranet,其中一个必不可少的组成部分就是DNS(域名系统)。IP地址和机器名称的统一管理由DNS(DomainNameSystem)来完成的。
4、FTP、文件服务器:提供文件传输、共享服务。FTP是Internet中一种广泛使用的服务,主要用来在两台机器之间(甚至是一同系统)传输文件。FTP采用C/S模式,FTP客户软件必须与远程FTP服务器建立连接并登录后才能进行文件传输。为了实现有效的FTP连接和登录,用户必须在FTP服务器进行注册,建立帐号,拥有合法的用户名和口令。
5、邮件服务器:提供邮件收发服务。为了作到Intranet内部Mail系统同公共InternetMail系统的平滑对接,要求采用Internet公共标准的通用MAIL系统,在内部的MAIL系统同外部通信时需要一个Proxy应用作适当的转接服务,进行相应的地址转换工作。
6、Proxy服务器:代理服务器是作为内部私有网络和INTERNET之间的一个网关。通过代理方式,首先可以大大降低网络使用费,另外代理可以保护局域网的安全,起到防火墙的作用。
7、打印服务器:提供打印机共享服务。
8、实时通信服务器:提供实时通信服务。
9、流媒体服务器:提供各种流媒体播放、点播服务。使得教师在上课的时候可以随时播放视频,提高教学效果和增强学生的学习新趣。
10、数据库服务器:提供各种数据库服务。具有教学要用的各种课件、试题等与教学相关的资料。
(三)、多媒体教室
1、多媒体教室基本组成
多媒体教室由多媒体计算机、液晶投影机、数字视频展示台、中央控制系统、投影屏幕、音响设备等多种现代教学设备组成。
(1).多媒体液晶投影机
是整个多媒体演示教室中最重要的也是最昂贵的设备,它连接着计算机系统、所有视频输出系统及数字视频展示台,把视频、数字信号输出显现在大屏幕上。
(2).数字视频展示台
可以进行实物、照片、图书资料的投影,是一种非常实用的设备。(3).多媒体计算机
是演示系统的核心,教学软件都要由它运行,而且在很大程度上决定演示效果的好坏。
(4).中央控制系统。
中央控制系统用系统集成的方法,把整个多媒体演示教室的设备操作集成在一个平台上,所有设备的操作均可在这个平台上完成。
(5).投影屏幕。
用于和投影机配套使用。2.多媒体教室的教学功能 课堂演示教学
教师在课堂中利用多媒体系统将教学内容直接投影在大屏幕上,并对教学内容进行讲解。运用这种方法传递信息比较直观、明了,可以从视听方面刺激学生的感官,提高学生学习兴趣,增强学生观察问题、理解问题和分析问题的能力,从而提高教学质量和教学效率。
模拟教学
多媒体技术可以把声音、图像、动画等有机结合起来,模拟宏观世界的现实场景和微观世界的事物运动,以帮助学生学习和理解一些抽象的原理和概念。随着计算机技术的发展,出现了“虚拟现实”技术,它是通过计算机产生一种仿真的环境,在这个环境中,学生可以作为一个实际操作者进行各种学习和操作,计算机可做出反应和判断。模拟教学的设备系统主要有计算机、服务器和网络设备。是整个多媒体演示教室中最重要的也是最昂贵的设备,它连接着计算机系统、所有视频输出系统及数字视频展示台,把视频、数字信号输出显现在大屏幕上。
(2)数字视频展示台
可以进行实物、照片、图书资料的投影,是一种非常实用的设备。(3)多媒体计算机
是演示系统的核心,教学软件都要由它运行,而且在很大程度上决定演示效果的好坏。
(4)中央控制系统。
中央控制系统用系统集成的方法,把整个多媒体演示教室的设备操作集成在一个平台上,所有设备的操作均可在这个平台上完成。
(5)投影屏幕。
用于和投影机配套使用。
2、多媒体教室的教学功能 课堂演示教学
教师在课堂中利用多媒体系统将教学内容直接投影在大屏幕上,并对教学内容进行讲解。运用这种方法传递信息比较直观、明了,可以从视听方面刺激学生的感官,提高学生学习兴趣,增强学生观察问题、理解问题和分析问题的能力,从而提高教学质量和教学效率。
模拟教学
多媒体技术可以把声音、图像、动画等有机结合起来,模拟宏观世界的现实场景和微观世界的事物运动,以帮助学生学习和理解一些抽象的原理和概念。随着计算机技术的发展,出现了“虚拟现实”技术,它是通过计算机产生一种仿真的环境,在这个环境中,学生可以作为一个实际操作者进行各种学习和操作,计算机可做出反应和判断。模拟教学的设备系统主要有计算机、服务器和网络设备。
(四)、电子阅览室
电子阅览室就是为学生提供上网的地方,里面有一些数据库,为学生查资料提供查找资料的场所!有一些国外的数据库。设置两个电子阅览室,每个阅览室有二十台电脑。
(五)、办公室
每个办公室六台电脑,共二十个办公室,总共120台电脑。
(六)、多功能厅
1、系统概述
多功能厅以其功能的多样性(如:会议厅,视频会议厅,报告厅,学术讨论厅,培训厅等),特别适合我国国情需要,并在这几年的时间得到迅速普及应用。在初期的建设投入上可能要高於单一功能的投资建设,并且从技术的角度上来看,对系统在设计和施工上都有一定的技术复杂度,尤其对用户方的使用也有一定的技术要求,这就需要一种技术来综合管理不同功能的A/V设备使其相互协调的工作,这种技术就是中央控制技术。
2、用户需求
整个系统要高效率的完成教学任务,结合各个系统,充分发挥各个系统的功能,实现现代化的会议、教学、培训、学术讨论。
(1)多媒体显示系统:
多媒体显示系统由高亮度、高分辨率的液晶投影机和电动屏幕构成;完成对各种图文信息的大屏幕显示。由於房间面积较大,为了各个位置的人都能够更清楚的观看,整个系统设计了2套投影机显示系统。
(2)A/V系统:
A/V系统由4台计算机、摄像机、DVD、VCR(录像机)、MD机、实物展台、调音台、话筒、功放、音箱、数字硬碟录像机等A/V设备构成。
完成对各种图文信息(包括各种软体的使用、DVD/CD碟片、录像带、各种实物、声音)的播放功能;实现多功能厅的现场扩音、播音,配合大屏幕投影系统,提供优良的视听效果。并且通过数字硬碟录像机,能够将整个过程记录在硬盘录像机中。
(3)房间环境系统:
房间环境系统由房间的灯光(包括白炽灯、日光灯)、窗帘等设备构成;完成对整个房间环境、气氛的改变,以自动适应当前的需要;譬如播放DVD时,灯光会自动变暗,窗帘自动关闭。
(4)智能型多媒体中央控制系统:
采用目前技术最成熟、功能最齐全,用途最广的中央控制系统,实现多媒体电教室各种电子设备的集中控制。要求操作简单、人性化、智能化;要求整个系统可靠性高;尽量多的体现出各种设备的卓越功能,让所有设备工作在最佳状态,发挥设备的最大功效;为完善操作人员的系统工作,要求能够实现计算机网路控制功能,完成远端监视、远端同步控制、远端维护等等功能能够控制DVD、录像机、MD进行播放、停止、暂停等功能;能够控制投影机,进行开/关机、输入切换等功能,并能够控制电动吊架、屏幕,实现上升、停止、下降等功能;能够控制实物展台进行放大、缩小等功能;能够控制音量,进行音量大小的调节功能;能够控制A/V榘阵、VGA榘阵,实现音视频、VGA信号自动切换控制功能;能够控制房间的灯光和窗帘,自动适应当前的需要;
(七)、远程访问
远程访问服务是校园网络必须提供的服务之一。它可以家庭办公用户和出差在外的员工提供远程、移动接入服务。
远程访问有三种可选的服务类型:专线连接、电路交换和包交换。
四、系统测试
1、对管理IP地址的测试。
2、对相同VLAN内的同信进行测试。
3、对不同VLAN内的通信进行测试。
4、对冗余链路的工作状态进行测试。
5、对广域网接入路由器上的NAT进行测试。
6、对远程访问服务进行测试。
7、对服务器提供服务进行测试。
点击咨询 