《校园网的设计规划》由会员分享,可在线阅读,更多相关《校园网的设计规划(11页珍藏版)》请在金锄头文库上搜索。
1、目 录一、为校园网规划 IP 地址 2二、为校园网设计网络拓扑结构 4三、为校园网选择适当的网络设备 5四、为校园网选择路由协议 6五、为校园网选择网络安全措施 61校园网的设计规划大学是一所极具现代意识、以现代化教学为特色的学校。为了更好地使计算机及其网络在教学、管理等方面发挥应有的作用,为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境,引入教学、科研、管理和学习等各个领域,培养熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段的高层次人才。学校计划在校内建立校园网并与国际互连网(Internet)相连。根据学校的要求,按照“统一规划、分步实施、讲究实效、安全可靠”的
2、原则,进行了该大学校园网综合系统设计。条件如下:(1)某大学具有 6 个二级学院,分别位于同一城市的 4 个园区,其中大学与两个二级学院在同一个园区(园区 1) ,另外两个二级学院位于另一个园区(园区 2) ,而其它两个学院分别位于园区 3 和园区 4。(2)大学向因特网发布信息并为全校提供有关的信息化服务,每个学院也自行向因特网发布学院信息并负责学院自己的信息服务,每个学院都拥有约 1500台 PC 机。(3)大学已从 CERNET 有关机构申请了 IPV4 地址块202.113.128.0/24202.113.137.0/24。(4)校园网络遵循网络核心层、网络汇聚层、网络接入层的三层结构
3、模式:选用万兆以太网作为连接大学 4 个园区的高速主干;选用千兆以太网作为各个园区的主干,形成大学校园网的汇聚层;选用百兆以太网 LAN 作为基本接入形式。大学校园网与因特网具有统一接口,即通过百兆以太网接入 CERNET。校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园内部的 Intranet 系统,对外通过路由设备接入广域网。具体而言这样的设计目标应该是:建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络,将学校的各种 PC 机工作站、终端设备和局域网连接起来,
4、并与有关广域网相连;在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;系统总体设计2本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。一、为校园网规划 IP 地址有条件可知,大学已从 CERNET 有关机构申请了 IPV4 地址块202.113.128.0/24202.113.137.0/24 共十个地址块。6 个二级学院、一个大学、校园网主干,每个分一个地址块,共需八个地址块。每个地址块共有 254 个因特网 IP 地址(例:20
5、2.113.128.1202.113.128.254) ,而每个学院都拥有约1500 台 PC 机,254 个因特网 IP 地址不够给约 1500 台 PC 机分的。所以这里需要使用动态地址分配技术和网络地址转换(NAT)技术。对 IP 地址 202.113.128.0/24202.113.137.0/24 地址块进行分配:202.113.128.0/24 二级学院 202.113.129.0/24 二级学院 园区 1202.113.130.0/24 大学202.113.131.0/24 二级学院202.113.132.0/24 二级学院202.113.133.0/24 二级学院 园区 320
6、2.113.134.0/24 二级学院 园区 4202.113.135.0/24 校园网主干剩余的 202.113.136.0/24 和 202.113.137.0/24 两个地址块作为备用或将来增加设备时再使用。如果当 1500 台 PC 机使用的较少时,可使用动态地址分配技术(DHCP) ,它可以为临时上网的用户分配一个 IP 地址,用户用完后再收回该地址,在供别人使用。如果当 1500 台 PC 机被同时使用的个数大于 254 时,仅使用 DHCP 协议 IP地址会不够分,这时还应使用网络地址转换(NAT) 。在这种方式下,可以为大量用户分配一个内部 IP 地址,再要与因特网通信时,要进
7、行地址转换,将内部地址转换为该内部网络的某个代理主机的 IP 地址,而该 IP 地址是因特网的某个合法 IP 地址 1。1 陈鸣.网络工程设计教程:系统集成方法.北京:机械工业出版社,2008,203.园区 23将内部地址分配给代理 IP 地址:192.168.0.1-192.168.0.254192.168.1.1-192.168.1.254.192.168.5.1-192.168.5.254.192.168.35.1-192.168.35.254NAT 英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个 IETF(Internet E
8、ngineering Task Force, Internet 工程任务组)标准,允许一个整体机构以一个公用 IP(Internet Protocol)地址出现在 Internet 上。顾名思义,它是一种把内部私有网络地址(IP 地址)翻译成合法网络 IP 地址的技术。如图 1如图 1 地址转换简单的说,NAT 就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,NAT 可以使多台计算机共享 Internet 连接,这一功能很好地解决了公共IP 地
9、址紧缺的问题。通过这种方法,您可以只申请一个合法 IP 地址,就把整1500 台 PC 机都分一个内部地址,这些内部地址平均分配给其中一个地址块的 254 个 IP 地址 共 6 个地址块4个局域网中的计算机接入 Internet 中。这时,NAT 屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计算机用户通常不会意识到NAT 的存在。二、为校园网设计网络拓扑结构万兆交换机千兆交换机千兆交换机千兆交换机网络信息服务器百兆交换机百兆交换机百兆交换机百兆交换机园区一 ( 含大学与两个二级学院 )园区三 ( 含一个二级学院 )园区二 ( 含两个二级学院 )园区四 ( 含一个二级学
10、院 )C e r n e t图 2 层次模型拓扑结构非军事区2 4 个千兆端口2 4至 C E R N E T区域 0区域 1V T P 1区域 2V T P 2区域 3V T P 3区域 4V T P 4园区网 4园区网 2园区网 1园区网 3万兆光缆千兆光缆防火墙图 3 校园网的核心层结构5网管中心S w i t c h 4 0 0 7至大学校园网万兆交换机百兆光缆 千兆光缆 万兆光缆服务器院办公楼干部培训楼实验楼 教学楼图 4 某学院园区网的二层网络拓扑构架三、为校园网选择适当的网络设备选用万兆以太网作为核心层(连接大学 4 个园区的高速主干) ;选用千兆以太网作为各个园区的主干,形成大
11、学校园网的汇聚层;选用百兆以太网 LAN 作为基本接入形式。万兆以太网选择的网络设备为 Cisco 公司的万兆交换机 Cat6509,采用租用电信公司的光线裸芯,用万兆速率将 4 个园区的 4 个千兆交换机(园区一含一个万兆交换机)连成一个环(如图 3) ,预计总速率可达到 40GHz 的带宽水平。千兆以太网选择的网络设备为各二级学院使用的交换机可为 Catalyst 3524/3548,六类双绞线或千兆光缆。此外,每个园区都须有防火墙的配置。6百兆以太网选择的网络设备为百兆光缆,百兆交换机,可为 Catalyst 2924M-XL,超五类双绞线。四、为校园网选择路由协议使用开放最短路径优先(
12、OSPF) ,OSPF 是一套链路状态路由协议,这意味着路由选择的变化基于网络中路由器物理连接的状态与速度,并且变化被立即广播到网络中的每一个路由器。 当一个 OSPF 路由器第一次被激活,它使用 OSPF 的“hello 协议”来发现与它连接的邻节点,然后用 LSA(链路状态广播信息)等和这些路由器交换链路状态信息。每个路由器都创建了由每个接口、对应邻节点和接口速度组成的数据库。每个路由器从邻接路由器收到的 LSA 被继续向各自的邻接路由器传递,直到网络中的每个路由器收到了所有其它路由器的 LSA。链路状态数据库不同于路由表,根据数据库中的信息,每个路由器计算到网络的每一目标的一条路径,创建
13、以它为根的路由拓扑结构树,其中包含了形成路由表基础的最短路径优先树(SPF 树)。LSA 每 30 分钟被交换一次,除非网络拓扑结构有变化。例如,如果接口变化,信息立刻通过网络广播;如果有多余路径,收敛将重新计算 SPF 树。计算 SPF 树所需的时间取决于网络规模的大小。因为这些计算,路由器运行 OSPF 需要占用更多 CPU 资源。 一种弥补 OSPF 协议占用 CPU 和内存资源的方法是将网络分成独立的层次域,称为区域(Area)。每个路由器仅与它们自己区域内的其它路由器交换LSA。Area0 被作为主干区域,所有区域必须与 Area0 相邻接。在 ABR(区域边界路由器,AreaBor
14、derRouter)上定义了两个区域之间的边界。ABR 与 Area0 和另一个非主干区域至少分别有一个接口。最优设计的 OSPF 网络包含通过 VLSM 与每个区域邻接的主干网络。这使得在路由表的一个条目中描述多个网络成为可能。虽然 OSPF 协议是 RIP 协议强大的替代品,但是它执行时需要更多的路由器资源。如果网络中正在运转的是 RIP 协议,并且没有发生任何问题,仍然可以继续使用。但是如果想在网络中利用基于标准协议的多余链路,OSPF 协议是更好的选择。五、为校园网选择网络安全措施7随着网络技术的不断发展和 Internet 的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快
15、信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。系统安全包括主机和服务器的运行安全,主要措施有反
16、病毒。入侵检测、审计分析等技术。 反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如安装远程教育中心配置的金山毒霸进行实时监控,效果不错。入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的
