赤峰学院网络搭建.ppt

1、赤峰学院网络搭建目录目录一一项目背景项目背景赤峰学院，于2003年经中国教育部批准，由赤峰民族师范高等专科学校、赤峰教育学院、内蒙古电视大学赤峰分校三所专科层次的学校合并，同时并入赤峰卫生学校、内蒙古幼儿师范学校的部分资源组建的一所多科性本科普通高等学校。学院位于举世闻名的红山文化发祥地内蒙古赤峰市。赤峰市是辽代政治、经济、军事的中心，历史悠久，文化底蕴深厚，旅游资源丰富，具有独特的地域优势和厚重的人文资源优势，以全国优秀旅游城市和世界地质公园之称而享誉海内外。学院设有文学、史学、法学、教育学、理学、工学、医学和管理学等8大学科门类，开设蒙古语言文学、汉语言文学、英语、历史学、数学与应用数学、

2、物理与电子信息工程、计算机科学与技术、生物学、化学、资源与环境管理、教育技术、体育教育、音乐、美术、社区医学、口腔医学、临床医学、中医学、护理学等21个本科专业和60多个高职高专专业。学院还设有附属中学、附属医院。轻纺职业技术学院、农牧职业技术学院挂靠赤峰学院。学校决定通过整合现有信息资源和相关社会资源，将目前的网络改造成具有可靠性性、灵活性、安全性、易管理性的网络，为全校师生提供更加快捷的信息资源综合服务系统，形成以数字化电子化特色资源为主体的现代化教学网络二.项目需求为了满足广大师生的上网需求更好的统一管理，学校计划建立全校一套安全稳定的上网统一管理平台系统，使全校的每个学院以及每个班级都

3、能够访问到该系统，该工程计划把其中包含21个本科和60多个高职专业的班级以及教研室并入到网络平台系统中。1.能够满足学校所有教室12000个信息点同时上网。2.消除校园网高峰期的流量瓶颈。3.学院内部的服务器可以访问外网，并供内部使用4.本次项目要求体现安全，可靠，可扩展，高效的原则。5.实现重要部门区域的隔离 控制部门间的访问；6.通过网管服务器可以实现自动对网络设备统一管理7.通过病毒服务器统一实现每个学院的网络安全管理和病毒监控；8 总院和分院实现互联互通。9 重要区域实现无线网络介入。10 实现动态地址分配 11 抵御外部恶意攻击；三.拓扑结构四.命名规则命名规划 依据XX-YY-ZZ

4、方案XX 代表学院名称YY 代表设备型号ZZ 代表设备序号如WEN-S3352TP-01 WEN代表文学院 S3352TP 代表是 华为 三层交换机 01 代表是第一个序号单位名称位置设备型号设备名称1文学院数据中心S3352TP WG-S3352TP-002一楼 WG-S3352TP-013二楼 WG-S3352TP-024三楼 WG-S3352TP-035地下室 WG-S3352TP-046史学院一楼S3352TP RG-S3352TP-017二楼 RG-S3352TP-028三楼 RG-S3352TP-039地下室 RG-S3352TP-0410理学院一楼S3352TP li-S3352

5、TP-0111二楼 li-S3352TP-0212三楼 li-S3352TP-0313 地下室 li-S3352TP-0414建筑学院一楼S3352TPJZ-S3352TP-0115二楼JZ-S3352TP-0216三楼JZ-S3352TP-0317教育学院一楼S3352TPJY-S3352TP-0118二楼JY-S3352TP-0219三楼JY-S3352TP-0320英语学院一楼S3352TPYY-S3352TP-0121二楼YY-S3352TP-0222三楼YY-S3352TP-0323法学院一楼S3352TPFA-S3352TP-0124二楼FA-S3352TP-0226基础学院一楼S

6、3352TPJC-S3352TP-0127二楼JC-S3352TP-0228三楼JC-S3352TP-0329教务处一楼S3352TPJW-S3352TP-0130二楼JW-S3352TP-02五.IP地址及VLAN规划1.IP地址规划遵循科学合理层次化 则，便于管理，使用B类私有IP 进行统一划分第一部分：表示网络类型第二部分:表示学院专业第三部分：表示所属哪个班级第四部分：表示主机2.VLAN 规划规则每个的门牌号即是该班级的vlan 号 IP 地址相同 3.DHCP规划可以通过设置一台DHCP服务器来为整个教学区的终端电脑动态分配和管理地址的使用，通过设置地址池来区分不同学院的IP地址范

7、围。减轻网络维护的工作量。IP地址网络号：子网淹码网络中心：172.16.0.1172.16.0.10172.16.0.0/24255.255.255.0交换机：172.16.1.1172.16.1.254172.16.1.0/24255.255.255.0路由/交换：172.16.1.5172.16.1.6 255.255.255.252教学区：172.16.8.1172.16.33.254172.16.8.0/21255.255.248.0生活区：172.16.4.1172.16.7.254172.16.4.0/22255.255.252.0综合办公区：172.16.0.129172.16

8、.0.254172.16.0.128/25255.255.255.128教学区地址段172.16.8.0 172.16.32.255史学学院172.16.8.0-172.16.8.255文学学院172.16.9.0-172.16.9.255法学学院172.16.10.0-172.16.10.255教育学院172.16.11.0-172.16.11.255建筑学院172.16.12.0-172.16.12.255理学学院172.16.13.0-172.16.13.255英语学院172.16.14.0-172.16.14.255 医学学院 172.16.15.0-172.16.15.255六.可靠

9、性1.生成树规划为避免二层环路需要在接入成交换上配置生成树协议MSTP，将核心交换配置为根交换机，以汇聚层三层交换为根桥，建立一个包含所有接入层交换机的生成树。设备名称设备名称角色角色Vlan实例实例文学院汇聚交换机 主根所有vlan0史学院汇聚交换机主根所有vlan0法学院汇聚交换机主根所有vlan0建筑学院汇聚交换机主根所有vlan0建筑学院汇聚交换机主根所有vlan0教育学院汇聚交换机主根所有vlan0英语学院汇聚交换机主根所有vlan0医学院院汇聚交换机主根所有vlan0基础学院汇聚交换机主根所有vlan0教务处汇聚交换机 主根所有vlan0 现网中都是双链路，可以实现网络冗余，提高网

10、络安全稳定性。2.网关冗余七.路由规划1.路由协议选择 ospf协议的主要优点1、OSPF是真正的LOOP-FREE（无路由自环）路由协议。源自其算法本身的优点。（链路状态及最短路径树算法）2、OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个自治系统。3、提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。4、将协议自身的开销控制到最小。见下：1）用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文，非常短小。包含路由信息的报文时是触发更新的机制。（有路

11、由变化时才会发送）。但为了增强协议的健壮性，每1800秒全部重发一次。2）在广播网络中，使用组播地址（而非广播）发送报文，减少对其它不运行ospf 的网络设备的干扰。3）在各类可以多址访问的网络中（广播，NBMA），通过选举DR，使同网段的路由器之间的路由交换（同步）次数由 O（N*N）次减少为 O（N）次。4）提出STUB区域的概念，使得STUB区域内不再传播引入的ASE路由。5）在ABR（区域边界路由器）上支持路由聚合，进一步减少区域间的路由信息传递。6）OSPF适应各种规模的网络，最多可达数千台。路由层次规划路由层次规划由于内网使用OSPF路由协议，所以将核心网络区域划为骨干区域,将各个

12、学院以及教务区域和服务器区域分别划为骨干区域直连。序号网络名称区域类型区域号1核心网络骨干区域Area02文学骨干区域Area03史学骨干区域Area04教育骨干区域Area05法学骨干区域Area06建筑骨干区域Area07理学骨干区域Area08英语骨干区域Area09工学骨干区域Area010基础骨干区域Area011服务器区骨干区域Area012教务处骨干区域Area0OSPF Router-id 规划序号设备位置Router-id1核心网络172.16.1.12文学172.16.1.23史学172.16.1.34法学172.16.1.45教育172.16.1.56建筑172.16.1

13、.67理学172.16.1.78英语172.16.1.89医学172.16.1.910基础172.16.1.1011服务器区172.16.0.112教务处172.16.1.12OSPF cost规划使用路径本身的默认COST值，不需要修改，如有特殊需要可以更改某一路径的COST值.路由发布规划路由发布规划由于此次方案使用的是OSPF协议，通过把各个网段的地址发布到OSPF骨干的区域中，所以各大区域会自动发布本区内的网段信息 默认路由规划默认路由规划在边界路由上做一条OSPF强制下发缺省路由0.0.0.0指向外网出口，方便内网访问外网信息，保证内网师生可以上网获取信息，来引导客户端的上网流量走向

14、。InternetInternet上网规划上网规划在边界路由器上做动态NAT，将内网私有IP地址转化为外网公有IP地址，方便上网。再做一个ACL列表，限制内网的通行流量，限制校园内非开网班级上网，只允许老师以及一部分实训班级和服务器可以登录Internet。八.网络出口NAT NAT 规划规划NAT称为网络地址转换，用于实现私有网络和公有网络之间的互访。R3825路由器需要部署NAT特性，完成学院内私网地址到Internet公网地址的转换，实现学院与WAN/Internet的互访。网络地址转换如下图：公网地址池私网地址转换后地址202.106.1.1-202.106.1.2/24172.18.

15、26.0-172.18.26.255/24202.106.1.1172.18.27.0-172.18.27.255/24202.106.1.2公网路由规划公网路由规划公网路由规划公网地址用来把内网用户的数据传递到公网，需要申请两个公网地址，分别绑定在服务器和教务客户端上，服务器能对外网提供服务，教师能直接访问外网。在边界路由器上设置默认路由，使内网所有数据都能从边界路由器发送到公网。安全防护1、为了保证网络出口稳定可靠性：企业向ISP申请了两条Internet线路，需要这两条线路做负载均衡和冗余备份。2、为了保证网络安全可靠性：企业要求核心设备支持防DoS攻击、防止恶意的IP扫描。病毒侵入与非

16、法攻击是企业网络很大的安全隐患。不发作则已，一发作就是大问题，因此，企业要求内部网络在核心层、接入层防止网络蠕虫病毒扩散。要求核心和接入网络设备能支持VLAN的划分，降低网络内广播数据包的传播，提高宽带资源利用率，防止广播风暴的产生。九.安全规划网络安全区域规划网络安全区域规划将WAN/Internet区域untrust区域，公用服务器区域划分为DMZ区，其他区域划分为trust区域。允许trust区域和DMZ区域互访，允许untrust区域与DMZ区域互访，不允许trust区域和untrust区域之间直接互访。基于安全考虑，建议防火墙部署ARP防攻击功能，接入交换机部署FACP Snoopi

17、ng功能，以防止非法的ARP报文对网络的攻击。端口安全规划端口安全规划Vlan的划分，确定将那些部门划分至同一vlan，每个vlan trunk 允许那些vlan通过和访问，以及在那些交换机上设置那些vlan。安全访问列表，确定在哪些交换机上使用哪些访问列表，用于禁止在某个时间段访问网络或禁止访问哪些tcp或udp端口、禁止使用某些ip协议、限制某些ip地址范围内计算机的网络访问权限。安全端口，确定将哪些交换机上的哪些端口设置为安全端口，用于限制连接某个端口的mac地址，以避免非授权计算机访问网络，或者限制某个端口所允许的mac地址数量，以禁止用户私自级联集线设备接入计算机 远程登录控制通过设

18、置Telnet 登录口令，console 串口登录口令对设备访问控制管理设备名称设备IP地址用户名称用户密码Console密码 设备接入控制设备接入控制通过设置ACL列表对交换机和路由器 等设备登录的IP地址范围进行管理，避免无关人员不必要的破坏。十.网络管理规划 网络管理服务器网络管理服务器网络管理对网络的正常运行有着举足轻重的作用，是互联网络生存的一个关键因素。卓有成效的网络管理不仅可以提高网络效率，还可以减少和及时排除网络故障。因此，我们在设计网络时，一定要全面考虑如何对整个网络进行管理。（1）、故障管理在互连网络中，故障有多种多样，可以是硬件故障，也可以是软件故障，还可以是人为故障。在

19、开放式系统中，故障可以笼统地认为是使系统“未能实现其操作目标”的事件。网络管理的故障管理要完成以下三个工作：检测故障、孤立故障和恢复故障。所谓检测故障，就是去探测故障，判别故障类型并对故障进行定位；所谓孤立故障，就是根据故障检测结果，限制故障的扩展；所谓恢复故障，就是采取一定的方法，纠正网络故障，使网络运行正常。所以，故障管理一般包括故障情况的记录、故障检测与诊断、故障测试及恢复几个过程。由此可见，故障管理在网络管理中的重要性，网络管理是否成功关键在于故障管理功能是否完善。（2）、计账管理在庞大的互连网中，随着商业性机构的加入，使用网络资源的个人或机构交纳一定的使用费用情况变得极为普遍。计帐管

20、理提供了这样的一种机制，记录用户的网络使用情况，包括网络占用时间、账号管理、存取文件的大小等等。网络管理系统根据这些参数，就可计算出各用户的实际费用。（3）、配置管理网络配置包括网络设备的配置参数、当前网络拓扑结构图、网络的运行状态、当前的网络用户及活动的设备等等。配置管理具有记录、修改、更新这些参数的功能。在庞大的网际中，只需在网络管理站上就可以查询或修改网络配置参数，大大提高了网络管理的效率。（4）、性能管理性能管理与故障管理紧密相联，网络运行的高性能意味着网络运行的低故障率。当然，性能管理不仅仅是为了减少故障，它还要负责收集网络运行的统计数字，维护和分析网络的流量，并对网络进行优化。（5

21、）、安全管理网络中病毒的出现，非法用户的入侵，使网络的安全经受了新的考验。安全管理包括生成、删除和控制安全服务的能力；发放有关安全信息；报告有关安全的事件等。其它方面的任务还包括为用户设置安全口令；控制经“桥”、“路由器”或“网关”存取子网或主机的能力；提供判别是否合法存取网络信息的手段。杀毒软件服务器由于学校做了上网行为管理，所有电脑使用的都是360企业版套装，大部分不能上网的电脑无法更新杀毒软件，内网建设一台可以连接Internet的服务器，做系统更新服务器，安装WSUS，然后设置客户端到WSUS服务器更新。既解决了用户的杀毒软件更新问题，又减少了网络带宽。系统补丁服务器系统补丁服务器服务

22、层交互层和客户端交互层实现客户终端和补丁服务器的跨平台的补丁分发管理。采用ARM-LINUX的嵌入式代理服务器实现补丁管理系统原型。验证了系统与补丁信息获取方法的可靠性。实现不同系统的升级。上网行为管理上网行为管理上网行为管理系统就是帮助用户对互联网的控制和使用，包括对网页访问过滤、防病毒体系建设、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。十一.设备选型 三层交换 S3352TP-SI详细 主要参数 产品类型快速以太网交换机应用层级三层传输速率10/100/1000Mbps交换方式存储-转发背板带宽17.6Gbps包转发率13.2Mpps端口参数 端口结构非模块化端口数量52个端

23、口描述48个百兆电口/光口 4个千兆/百兆光口支持全双工功能特性 IIEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.1p，IEEE 802.3af，IEEE 802.1Q，IEEE 802.1D，IEEE 802.1p，IEEE 802.3，adIEEE 802.1x，IEEE 802.1w，IEEE 802.1z堆叠功能支持其它参数 电源电压AC 100-240V，0.5A-0.3A，50-60Hz电源功率最大60W产品尺寸29544344mm3.7kg平均无故障时间377，260小时环境标准工作温度：0-50 工作湿度：10%-90%（非冷凝）S2

24、326P-EI详细 主要参数 产品类型快速以太网交换机应用层级二层传输速率10/100/1000Mbps交换方式存储-转发背板带宽19.2Gbps包转发率6.55Mpps端口参数 端口结构非模块化端口数量26个端口描述24个百兆电口/光口 2个千兆/百兆光口 支持全双工堆叠功能支持其它参数 电源电压AC 100-240V，0.5A-0.3A，50-60Hz电源功率最大60W 3.7kg环境标准工作温度：0-50 工作湿度：10%-90%（非冷凝）二层交换十二.综合布线工作区子系统工作区子系统是服务区子系统，它是由信息模块插座和所连接的设备（终端或工作站）组成。在设计工作区子系统中充分考虑了以下

25、几点：（1）从信息模块插座到设备的连线采用系统商提供的专用跳线，以保证端接性能；（2）信息模块插座安装在墙壁下方，插座区距离地面30CM；（3）在信息点离墙面较远的地方，采用地槽方式接入，方便用户连接；（4）每个插座根据用户需要包含数据点和语音点；（5）模块和插座的接线按照国际通用标准；水平配线子系统水平配线子系统水平子系统是整个布线系统重要的组成部分，它是指从工作区模块插座到管理子系统分配线架的连接，其结构一般为星型。它与干线子系统的区别在于：水平子系统总是在同一楼层上，并与信息插座相连，在整个综合布线系统中，水平子系统通常由4对UTP无屏蔽双绞线组成，能支持大多数通讯设备。安徽工业经济职业

26、技术学院的水平子系统由超五内双绞线组成，我们在设计水平子系统时充分考虑了以下几点：（1）水平子系统采用4对UTP超五类或六类无屏蔽双绞线作为传输介质，其水平长度一般不要超过90米；（2）所有电缆走线均采用金属桥架或PVC线槽敷设；（3）明确各信息点的分布位置；（4）充分考虑端接容差、备用线缆及工程损耗，在此基础上估算电缆的总量，并留有余量。赤峰学院各个建筑楼内的信息点插座到各个建筑楼的配线架使用超五类非屏蔽双绞线，它们构成了赤峰学院水平子系统。垂直干线子系统垂直干线子系统干线子系统是整个综合布线系统的重要组成部分，它提供建筑物的干线电缆，负责端接管理子系统和设备间子系统。一般采用五类大对数电缆

27、或光缆。设计干线子系统首先要根据建筑物的结构特点，并遵循路由最短、造价最低、施工方便、布线规范等几个方面考虑，在设计中充分考虑了以下几点：（1）明确每层楼的干线要求及整个楼的干线要求；（2）明确从楼层到设备间的干线路由；（3）确定干线的总量；（4）确定干线到设备间的接线方式。管理子系统管理子系统完成干线子系统与水平子系统的端接，位于需要的楼层，其主要设备是配线架和HUB等。在配线架上通过交连和互连可以将通信线路定位或重定位在建筑物的不同地方，从而能更容易的管理通信线路，工作区的信息插座位于各房间，这样，在移动终端设备时，只需进行简单的跳线，即可改变配线，使用户能够在各工作区之间进行任意的插拔。

28、我们在设计管理子系统时充分考虑了以下几点：（1）配线架的配线对数由可管理的信息点数决定；（2）利用配线架的跳线功能，可使布线系统灵活、功能多样化；（3）管理子系统应有足够的空间放置配线架和网络设备；（4）保持一定的温度和湿度。赤峰学院的管理子系统是指用来集中管理水平子系统或干线子系统线缆的配线架，以及配线架到设备的跳线设备间子系统设备间子系统有电缆、配线架、光纤接入盒LIU及相关的网络设备组成，在设备间完成了公共系统设备与配线系统的端接。在设计设备间子系统充分考虑了以下几点：（1）设备间要有足够的空间，以保障设备间的设备存放；（2）设备间要有良好的工作环境，具有一定的温度和湿度，必要时需安装空

29、调设施；（3）设备间的建设标准应按国家机房建设标准电子计算机机房设计规范（GB5017493）。赤峰学院的设备间子系统是实训楼总机房的总配线架（MDF）和各种网络设备。我们采用了标准的19”机柜，可以将网络设备（Switch等）集成到柜中，便于统一管理。十三、方案特点本网络改造方案优点：网络安全管理 在出口启用防火墙功能有效的防止了来自公网对学校的攻击，学院之间配置VLAN有效的隔离了广播风暴，二层启用STP(生成树)有效的防止了环路的产生。配置ACL绑定特定网段实行流控策略有效防止不必要的安全隐患的发生。病毒监控 通过病毒服务器统一管理和监控全网网络状态，能够实时对网络实现监控及早发现安全漏洞，能够及时对发现的安全漏洞进行管理和维护。远程登录控制 远程登录模块和ACL相互搭配使用，增强了对各设备便捷的安全管理，节省了时间通过远程管理减轻了网络管理员的负担，是网管人员能够及时有效对问题设备进行调试和维护，充分的提高了网络的可管理性和效率性。数据处理能实现数据信息的快速传输和集中处理，能均衡负载互相协作，提供外网与内网的链路冗余备份，实现出无间断的Internet的访问。还可以通过相关的技术实现网络的负载均衡。可持续发展性整体网络完善和配置相关策略，体现了本网络的高性能、高扩展、高安全、高稳定。充分显示了在未来学校的发展前提下的高机动性，有效的给学校节约了成本。