网络工程课程设计报告学 院 信息科学与工程学院 专业班级 信安 1201 班 学 号 完成时间 目录目录Error!Error! ReferenceReference sourcesource notnot found.found.Error!Error! ReferenceReference sourcesource notnot found.found.Error!Error! ReferenceReference sourcesource notnot found.found.Error!Error! ReferenceReference sourcesource notnot found.found. ·······················22.1 网络拓扑设计2.2 现状分析2.3 地址划分 2.3.1 信息点分析 2.3.2 子网需求划分 2.3.3 学校 VLAN 需求划分 Error!Error! ReferenceReference sourcesource notnot found.found.Error!Error! ReferenceReference sourcesource notnot found.found.···························8 3.1 选用的网络技术 3.1.1 VLAN 虚拟局域网技术 3.1.2 千兆位以太网技术(Gigabit Ethernet) 3.1.3 ATM——异步传输模式 3.1.4 网络 QoS 设计 3.1.5 NAT 网络地址转换 3.1.6 ACL 访问控制 3.2 传输线路及介质 3.2.1 线路选择 3.2.2 传输介质选择 3.3 网络设备及网络安全设备选择 3.3.1 交换机的选择 3.3.2 路由器的选择 3.3.3 防火墙的选择 3.3.4 服务器的选择 Error!Error! ReferenceReference sourcesource notnot found.found.Error!Error! ReferenceReference sourcesource notnot found.found.····························17 4.1 问题呈现 4.2 问题分析及解决 4.2.1 网络性能问题 4.2.2 网络安全问题 Error!Error! ReferenceReference sourcesource notnot found.found.Error!Error! ReferenceReference sourcesource notnot found.found.····························22参考文献 ····························231 1设计要求设计要求要在某校区的 5 栋建筑物中建立网络环境,其中办公楼与图书馆之间的距离为 350 米,图书馆与计算机机房之间的距离为 600 米,两栋学生宿舍离办公楼的距离为 800 米。
网络中心的机房设在图书馆,办公楼设 60 个信息点(校办7 个,人事部门 9 个,财务部门 20 个,另外 6 个部门各 4 个) ,图书馆 200 个信息点,计算机机房 400 个信息点,建成后的网络要接入互联网1)画出网络的平面拓扑图、所用的网络设备和网络安全设备;(2)合理地划分网络(各部门单独组网,每个信息点分配一个 IP 地址)和分配 IP 地址并写出每个网络的网络号和广播地址及网络掩码(均须用十进制表示);(3)对所选用的网络技术、传输线路及介质、网络设备及网络安全设备进行说明及选用的理由;(4)试说明当这个网络的规模扩大 10 倍或更多时,在网络性能和网络安全方面会出现什么问题?应该怎么解决?2 2网络架构结构设计网络架构结构设计2.12.1 网络拓扑设计网络拓扑设计整体设计分为三层,分别是核心层,汇聚层,接入层,每层都用交换机设备进行连接最终完成从网络中心到各个计算机终端的网络连接局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台核心交换机为主而构成的网络,其它交换机仅与该核心交换机之间有直接的物理链路,核心交换机 VLAN 隔离的方法为接入交换机服务,所有的数据必须经过核心交换机。
由于所有节点的往外传输都必须经过核心交换机来处理,因此,对核心交换机的要求比较高优点是网络结构简单,易于维护,便于管理(集中式) ;每台入网机均需物理线路与处理机互连,线路利用率低;处理机负载重(需处理所有的服务) ,因为任何两台入网机之间交换信息,都必须通过核心交换机;入网主机故障不影响整个网络的正常工作对该网络支持的设备生产厂商有较好的技术支持局域网内的所有工作节点通过,光纤,双绞线与交换机相连形成一个星型网络局域网设备选用 1 个核心交换机,5 个汇聚层交换机,以及 ATM 路由器和防火墙由于各个建筑之间的距离较远,选用光纤连接对交换机节点进行连接2.22.2 现状分析现状分析对网络各建筑的分析情况如图所示如图所示整个网络分为学生公寓楼,行政办公楼,图书馆,计算机楼其中学生宿舍区(学生宿舍 1,学生宿舍 2) ,行政办公区(校办、人事处、财务处、其他处) ,图书馆(学生阅览室、电子阅览室、网络中心、借书室) ,计算机教学区(计算机机房)2.32.3 地址划分地址划分2.3.12.3.1 信息点分析信息点分析表 2-1 子网的划分表建筑功能分布信息点信息点合计距核心网络的距离1 栋2000学生宿舍 2 栋200040001150m计算机楼机房400400600m校办7人事处9财务处20办公楼其他2460350m图书馆2002000m合计46602150m2.3.22.3.2 子网需求划分子网需求划分在全网可采用 IP+MAC 绑定方式,全网分布式采用 ACL,并按照部门划分VLAN,划分相应的权限,保证学生机房用机对教学办公网没有访问权限,只能访问校内服务器及外网;IP 分配:在办公区采用静态 IP 划分,在学生区及移动性较大的办公区可补充性采用 DHCP 动态获得 IP 地址为了提高 IP 地址的使用效率,引入了子网的概念。
将一个网络划分为子网:采用借位的方式,从主机位最高位开始借位变为新的子网位,所剩余的部分则仍为主机位这使得 IP 地址的结构分为三级地址结构:网络位、子网位和主机位这种层次结构便于 IP 地址分配和管理它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模,又能充分地利用 IP 地址空间子网的划分主要是根据子网掩码来区分的,掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网” ,以及每个子网中的主机数目如表 2-2 所示,子网的划分表 2-2 子网的划分表序号子网名称包含的信息点1学生宿舍子网学生宿舍区所有的计算机2计算机楼子网计算机机房所有的计算机3办公楼子网办公区所有的计算机4图书馆子网图书馆区所有的计算机5服务器群子网该区所有的计算机6无线网络子网该区所有的计算机2.3.32.3.3 学校学校 VLANVLAN 需求划分需求划分在校园网络的整个网络规划当中,VLAN 的划分是非常重要的部分,很好的利用 VLAN 技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的主要突出为以下几点:VLAN 划分,可以避免广播风暴,在接入网络中尤为突出,在多媒体、视频点播等很容易引起广播信息;划分之后,VLAN 是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件。
VLAN 划分,可以增加网络的安全性,在不同的 VLAN 之间不能随意通讯,只限与本子网间通讯,不会对其他的子网产生干扰要进行访问,需要通过三层交换,这样信息流就得到相当好的控制网络管理系统采用完全独立的 IP 子网和 VLAN,实现更加安全的对所有网络设备进行管理建立 VLAN 和 IP 子网的对应关系提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销VLAN 间的子网访问,可以在三层交换机上实现,子网间的通讯也可以在汇聚设备上实现,分流核心交换机的三层交换,优化了组网根据以往网络管理经验和骨干网络网络改造的实际情况,方案建议在核心网络 VLAN 划分规划以“灵活划分、方便管理”为基本原则,以不同的使用群体为 VLAN 范围划分这样划分 VLAN 的好处有:1、方便管理为了更好的进行 VLAN 规划的实施,因此在网络实施前期,要对网络中不同区域的 VLAN 设置进行详细的规划,细化到接入层网络,这样在这样大型的校园网络中如果以用户群体来划分 VLAN 的话,避免由于前期配置设备时复杂烦琐,而且由于相同的用户群体可能在不同的物理位置,导致造成整个校园网络中 VLAN 划分复杂,减轻管理和后期维护。
所以方案建议网络划分VLAN 方式前进行详尽规划,这样既可以减少广播域,又达到划分 VLAN,方便管理的效果,对于后期网络维护和升级具有十分现实的意义2、易于实施按群体划分 VLAN 在工程实施中就十分的方便,不会造成VLAN 划分复杂失误而使得网络出现不通的现象,便于工程快速实施和网络中心整体规划3、VLAN 间路由采用三层交换设备进行 VLAN 路由以便不同 VLAN 间进行访问,对于学校重要网络资源,需要进行权限访问的时候,建议采用专家级ACL(可同时基于 VLAN 号、以太网类型、MAC 地址、IP 地址、TCP/UDP 端口号、时间灵活组合限定的硬件 ACL)来进行访问权限设定,保障重要资料不被非法访问物理/链路层配置遵循下面的原则: 1.网络设备互连的物理端口都应该绑定端口的速率和全双工模式; 2.建议所有的 Vlan 都不要穿透核心层,所有的 Vlan 都将在汇聚层交换机上终结; 3.本实施方案建议不要启用 STP 生成树协议,由于所有的 Vlan 都已在汇聚层交换机终结,在二 层上并没有环路存在,故无必要启用;如果开启基于每个Vlan 的生成树协议,广播报文将会很多,影响核心交换机性能和网络收敛时间;4.所有核心层和汇聚层交换机之间的互连端口均设置为 Trunk 模式,但目前只容许互连 Vlan 通过,以应付将来有 Vlan 穿越核心层这种情况; 5.汇聚层交换机和接入交换机之间的互连端口设置为 Trunk 模式表 2-3 vlan 的划分及 IP 的分配表序号子网名称网段 IP网关 IP子网掩码备注1学生宿舍子网172.16.0.0/16172.16.2.1255.255.255.0Vlan 22计算机楼子网172.17.0.0/16172.17.3.1255.255.255.0Vlan 33办公楼子网192.168.4.0/24192.168.4.1255.255.255.0Vlan 44图书馆子网192.168.7.0/24192.168.7.1255.255.255.0Vlan 75服务器群子网172.18.0.0/16172.18.6.1255.255.255.0Vlan 66无线网络子网192.168.5.0/24192.168.5.1255.255.255.0Vlan 5另外,IP 地址分为公网地址和私网地址两类,公有地址(Public address)由 Inter NIC(Internet Network Information Center 因特网信息中心)负责。
这些 IP 地址分配给注册并向 Inter NIC 提出申请的组织机构通过它直接访问因特网ISP 分配给学校的全局 IP 地址地址段为。