行政楼局域网设计

1、四川师范大学成都学院目 录前言- 1 -1 需求分析- 1 -1.1 项目概况- 1 -1.2 网络需求分析- 2 -2 总体设计- 2 -2.1 总体设计原则- 2 -2.2 网络拓扑设计及说明- 3 -2.3 网络结构设计及IP 地址规划- 4 -3 网络详细设计- 5 -3.1 交换技术- 5 -3.1.1 VLAN技术- 5 -3.2 VLAN 间路由- 6 -3.3 STP 技术- 7 -3.4 无线技术- 7 -4 网络安全- 8 -4.1 服务器及网关安全- 8 -4.2 路由器、交换机保护- 8 -4.3 终端保护- 8 -5 设备选型- 9 -5.1 选型原则- 9 -5.2

2、 选型- 9 -6 总结- 12 -行政楼局域网网络规划与设计前言随着全球信息化时代的到来和国民经济信息化进程中，无论是学校还是企业都需要提高自身的竞争力，怎么样利用网络技术带来的机遇和挑战，怎么样构建一个好的信息化平台并保证其时时通畅运行等问题，都是每个企业和学校的管理部门所要考虑的问题。合理全面的网络解决方案，对于任何一个管理部门来说，应能提高其整体的工作效率，对外还应包含与外部网络的连接，还能保证网内用户的有效便捷的沟通。除此之外，还应该具有更高层次的要求，比如企业内部各部门人员的安全性管理、视频会议室的流量要求、远程网络监控的网络通路的要求、远程移动办公的要求、学校网络的管理、校园办公

3、网络化和学校考试网络化等。本文将具体结合一个学校的行政楼的网络综合设计实例，根据其特点从最初的需求分析、网络拓扑设计到后面的交换、路由技术等再到最后的安全策略布署及测试，完整的拟出网络规划与设计的整个过程，并用模拟器尽可能地模拟出所搭建的网络中的关键技术。1 需求分析1.1 项目概况XXXXXXXXXX是经国家教育部批准设立的独立学院，是面向全国统一招生，具有学士学位授予资格的全日制普通高校。为了提高学校教学质量和办公效率，需要为学校的行政楼进行局域网规划，使得部门与部门之间形成不同的区域，而且还要求不同部门之间可以相互通信，还要做到在行政楼内部都可以享受到无限网覆盖。该行政楼有6层，共计41

4、间房，其中3间会议室1间校史陈列馆。其他房间均为各个部门办公室，一楼为后勤资产和招生、车队办公室，二楼主要为教务和财务办公室，三楼为会议室和院长办公室，四楼为副院长党委和宣传部门办公室，五楼是基建评估等部门办公室，六楼主要是校史成列馆。每层办公区域分化明确，4楼有网络管理区，有一台服务器每层大致有30-40个信息点，各部门间的网络互联为联通100M租用专线以及VPN备份连接。规划设计好的局域网主要实现个部门之间的通信、IP通话、无线网覆盖、监控接入等需求。1.2 网络需求分析对该行政楼的网络状况分析后，得出其网络需求有一下几点： 1）稳定可靠的需求：能够从网络设备、网络链路等方面保证其网络的整

5、体稳定、可靠，当网络出现单点故障时不会对整体网络造成影响，能保证核心、骨干设备的无缝切换恢复。 2）宽带性能需求：行政楼主要作为整个学校的办公区域，要调控着整个学校的运作，因此要求其网络要有足够的数据交换能力。 3）网络系统安全性需求：除了部署防火墙、IDS、杀毒软件，以及配合交换机或路由器的ACL来实现对病毒和黑客攻击的被动防御外，其网络还应提供一整套从用户接入控制、病毒报文识别到主动抑制的一系列安全控制手段，以有效地保证企业网络的可用性、保密性、完整性。 4）网络系统管理维护需求：对于日常出现的网络异常能够及时有效地做出响应，而且应具有简单、管理与维护方便等特点。 5）无限网络需求：对于处

6、在行政楼内部的移动系统业务，应能够提供无限网络的覆盖，充分发挥无限网络的特性，同时还应具有良好的扩展性。 6）可扩展性需求：为了应对以后网络规模的扩大，当有需要时能够实现在现在所有的网络架构上较为方便的实现新网络的接入。2 总体设计2.1 总体设计原则1）实用性 在对其做了详细的网络分析后，应注重实效，尽量的从经济实用的角度出发。 2）先进性 局域网络规划与设计应采用最新的科技和主流的网络产品，以满足办公的需要和适应未来网络技术的长足发展。 3）高可靠性 为了防止局部故障以引起整个网络系统的瘫痪，在网络的骨干设备上要提供备份链路，提供冗余路由。 4）安全性 包括设备安全和信息安全，行政楼作为整

7、个学校的办公枢纽，它的网络安全性在整个网络中是个很重要的问题，需要采用一些手段控制整个的网络完全，比如使用有防火墙的路由器，采用杀毒软件等手段以确保网络的安全。 5）可管理性 局域网络遍布整个行政楼的各个部门，随着学校的发展和网络技术的发展，网络管理的任务将会日益繁重。因此在网络设计中，必须建立一个全面的网络管理解决方案，最终实现监控、监测整个网络的运行状况，合理分配网络资源、动态配置网络负载，可以迅速确定网络故障。 6）符合国际标准 该局域网络设计所采用的技术与设备应符合国际标准，以保护学校的长足发展。2.2 网络拓扑设计及说明 考虑到节约成本和安全性问题，此次对行政楼的局域网设计采用的星型

8、拓扑结构。 通过对行政楼部门的分析得出的拓扑图结构如下图： 图2.2-1在此设计中主要服务器采用的是“CISCO UCS C22 M3”，路由器选用一台带防火墙的“CISCO 2821C/K9”，汇聚交换机采用的是1台“Cisco Catalyst 3750 系列的Cisco WSC3750G-24TS-E 型号交换机”，接入交换机采用的是“Cisco Catalyst 2960”，无线AP 均采用CISCO CVR100W。2.3 网络结构设计及IP 地址规划1) 网络结构设计出于对网络总体结构、核心部分升级以及安全体系等的全局考虑，网络总体结构应在统一的基础上作出规划和设计，以满足信息化建

9、设与发展的需要。此方案主要采用三层交换结构来规划网络：核心层、汇聚层、接入层。分层结构有可扩展性好，冗余性强，数据传输性能高，安全性高，易于管理，易于维护等优点。2) IP 地址分配原则 简单性：避免采用复杂的子网掩码，尽量分配简单的IP 地址。 可扩充性：在分配网络地址时应根据具体情况要有一定的剩余，以便以后主机数量增加时仍然能够保持地址的连续性。 灵活性：地址分配应便于多数路由策略优化的实现，不应基于某个网络路由策略的优化方案。 可管理性：分配的IP 地址应该具有一定的层次性，局部的地址变动不会对上层、全局产生影响。 安全性：部门内部按工作内容以及工作性质划分成不同的子网以便于管理。3)

10、IP 地址规划方案结合以上分配原则，在其内部采用动态与静态分配结合的原则来分配网络的IP 地址。在各部门中采用虚拟局域网技术(Virtual LAN，VLAN)。VLAN 能够将广播域限制在单个VLAN 内部，减小各VLAN 间主机的广播通信对其他VLAN的影响。在VLAN 间需要通信的时候，可以利用VLAN 间路由技术来实现。根据以上的分析，结合设计的逻辑拓扑图及其它具体情况，现将整个行政楼的IP地址作如表一规划：位 置信息点数IP地址范围备 注1层1+2+3+1+5+4+8=24/24有线加无线2层2+6+5+3+8+4+2=20/24有线加无线

11、3层2+5+2+1+3=13/24有线加无线4层2+5+3+2+4+6+2=24/24有线加无线5层+6层3+1+4+2+3+4=17/24有线加无线表一3 网络详细设计 3.1 交换技术3.1.1 VLAN技术 1）VLAN概述 VLAN（Virtual Local Area Network）的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第二层以

12、上交换机才具有此功能。 2）VLAN的划分 按照上文对行政楼网络规划的需求分析可知每个部门是独立的不能跨部门获取资料，但是相互之间又可以通信，对此，我们的设计讲对每个部门划分一个VLAN，具体的VLAN划分见表二：位 置部 门VLAN 号1层后勤资产管理部VLAN2招生就业部VLAN3车队VLAN42层教务处VLAN5财务科VLAN63层院长VLAN7人事处VLAN84层副院长VLAN7宣传部VLAN9党委办公室VLAN105层-6层基建、继教、科研、档案VLAN11表二3) 管理VLAN管理VLAN 用于访问交换机的管理功能，当管理员没有主动定义一个唯一的VLAN 作为管理VLAN 时，VL

13、AN 1 会被作为默认的管理VLAN。为管理VLAN 分配IP 地址和子网掩码后，通过HTTP、Telnet、SSH 或SNMP 便可以对交换机进行管理。4) VLAN 中继(Trunk)VLAN 中继并不属于具体某个VLAN，由于不同VLAN 间的工作站不能直接通信，VLAN中继作为交换机之间的管道，可指定不同VLAN 间的流量传送，以实现不同VLAN 之间工作站的互相通信。3.2 VLAN 间路由1) VLAN 间路由简介VLAN 间路由是指不同VLAN 间网络流量转发的过程，可通过每个路由器接口对应一个VLAN、单臂路由、第三层交换等方式来实现。本设计方案采用内置安全机制、具有高性价比和

14、高可扩展性的第三层交换技术来完成VLAN 间的路由。2) 配置第三层交换技术在成都总部以及其他分部的核心交换机上开启路由功能，以实现第三层交换技术，其配置命令如下：(config)#interface interface-id(config-if)#switchport routing(config-if)#exit3.3 STP 技术1) STP 的概述生成树协议(Spanning Tree Protocol，STP)的作用在于，利用其特有的算法实现网络路径冗余，避免局域网中的单点故障、网络环回问题的出现，同时它还能将环路网络修剪成树型无环路网络，有效解决了成环以太网网络的“广播风暴”问题。

15、2) 配置STP 启用STP(默认的情况下已经开启)(config)# spanning-tree vlan vlan-id 指定根网桥(config)#spaaning-tree vlan vlan-id root primary|secondary或(config)#spanning-tree vlan vlan-id priority priority3.4 无线技术1) WLAN 简介无线局域网(Wireless LAN，WLAN)，是一种利用无线方式提供无线对等和点到点连接的数据通信系统。具有高移动性，扩展能力强，建网容易，管理方便，组网速度快，工程周期短，开发运营成本低，受自然环境

16、、地形及灾害影响小等优点。2）WLAN设计在行政楼采用无线控制器+Fit AP 的解决方案，结合各自的DHCP服务器、DNS 服务器，使得Fit AP 与无线控制器间三层路由可达，实现它们间的跨三层网络连接。在信息中心添加的无线控制器结合AAA 服务器以及无线网络管理平台，集中处理整个无线网络中所有用户的连接、访问、认证、权限等问题，同时实现所有无线设备以及无线链路的监测、定位、报警、配置等安全、控制、管理功能，而分布在接入层的Fit AP只提供直接面向终端用户的可靠的、高性能的射频功能。因此，当以后有无线覆盖扩展需求时，只需添加Fit AP 并将其连接到就近的接入层交换机，同时在相应的无线控

17、制器上做相应配置即可实现，达到了无线网络的最大限度扩展。4 网络安全4.1 服务器及网关安全为确保物理安全，服务器应放在上锁的设备间，只允许授权人员进入，且应建立长效的管理机制。设备间应不受静电、电磁干扰，且温度和湿度都可控，同时还应配备UPS(不间断电源)，并对服务器设备间实行实时视频监控。在保障服务器及网关物理安全的同时，针对来自外网的攻击和非法入侵，应安置防火墙和IDS(入侵检测系统)并装备防病毒系统，防止病毒侵入信息中心服务器以及内部网络，保证服务器及网关对外的安全。针对内网，在一般服务器上安装windows server 2003 Enterprise Edtion 操作系统，在存储

18、服务器上安装windows server 2003 DataCenter Edtion 操作系统，对关键性服务器采用主从工作模式的双机集群技术，实现对关键服务器的备份，并在服务器上建立相应的域，结合AD(活动目录)并通过DC(域控制器)的相应配置实现对各地局域网内的所有终端的安全策略控制，达到服务器对内的安全。4.2 路由器、交换机保护同服务器一样，首先应确保设备的物理安全，其次应对设备的配置及IOS 进行备份，以防设备发生故障，备份文件可保存于其它存储设备中，也可将其传至TFTP 服务器上。将备份文件保存到TFTP 服务器中，可用以下命令：#copy startup-config|flash

19、:ISO filename tftp:/location/directory/filename除此，还应加强路由器及交换机的安全配置，如设备密码加密，配置密码策略(最短密码长度)，保护未使用的AUX 端口，配置VTY 为SSH 连接，保护未使用的服务和接口，保护路由协议，配置交换机端口安全性等等。4.3 终端保护作为部门网络的终端，一般的PC 在使用中最容易遭遇的来自外部的安全威胁是木马程序、病毒和黑客的攻击，因此，桌面型硬件防火墙或个人防火墙软件以及防病毒软件对部门内部是必不可少的。同时，对内应将终端接入到相应的管理域中，通过域控制器实现对内部接入用户连接、认证、访问、授权等的安全、控制、管

20、理功能。5 设备选型5.1 选型原则1) 满足功能需求。2) 满足性能需求。3) 满足升级、扩展性需求。4) 可靠性。5) 选择性能价格比高、质量过硬的产品。6) 尽可能选择同一家厂家的网络设备产品。5.2 选型1）路由器选型 主路由器选的是带防火墙的“CISCO 2821C/K9”， 选配WS-CAC-6000W双交流电源、SPA-IPSEC-2G的IPSec VPN 模块、串口I/O模块。图5.2-1“CISCO 2821C/K9”提供了业界最广泛的连接选项和领先的可用性及可靠性特性。并且能够以线速向多条T1/E1/xDSL连接提供多项高质量同时服务。提供有内嵌在主板语音数字信号处理器(D

21、SP)插槽中的加密加速功能;入侵防御系统(IPS)和防火墙功能;能够满足广泛有线和无线连接要求的高密度接口;以及足够高的性能和插槽密度，能够支持未来网络扩展和高级应用。此外，Cisco IOS软件支持全套传输协议、服务质量(QoS)工具，以及先进的安全和语音应用，可支持无线和有线部署。能够满足大多数对于当今和未来应用不断提高的要求。它内置防火墙和内置2个板载AIM(内部)插槽+4个接口卡插槽+3个主板上的PVDM (DSP)插槽+1个网络模块插槽+1个扩展语音模块插槽。2）服务器选型 此次服务器的选型定在“CISCO UCS C22 M3”, 选配PWR-4000-DC 双电源、VS-S720

22、-10G-3C 处理引擎和相应的光纤、以太网端口I/O 模块。图5.2-2Cisco UCS C240 M3 2U机架式服务器将思科统一交换架构的创新技术集成于工业标准服务器中，旨在为各种存储密集型基础设施工作负载提供高性能和扩展能力，能够胜任从大型数据到协作的所有工作。思科 UCS C240 M3(2U)，产品类别：机架式 CPU类型：Intel 至强E5-2600 标配CPU数量：1颗/2颗 内存类型：DDR3 硬盘描述：24块2.5英寸SATA/SAS/SSD硬盘。Cisco UCS C240 M3 2U企业级服务器是在思科C210 M2机架式服务器成功的基础上，进一步扩展升级的产品，采用了全新的英特尔至强E5-2600系列处理器，提供了性能的最佳组合，灵活性，提高效率。3）交换机选型汇聚层交换机则选用Cisco Catalyst 3750 系列的Cisco WSC3750G-24TS-E 型号交换机。图5.2-4Cisco WS C3750G-24TS-E 型号交换机有28 个端口