计算机网络基础及局域网构建实习案例二十四

1、计算机网络基础及局域网构建实习案例计算机技术系二一七 年五月目 录一、 校园网络需求分析11.信息点分布12.建设安全可靠的校园网络平台13.优化整合现有数据信息资源24.实现整个校园网络的集中统一智能化管理2二、网络总体设计31.设计原则32.总体设计4三、校园网设备选型51.校园网汇聚层设备选择52.校园网接入层设备选择6四、交换机和路由器的配置61.虚拟局域网划分62.网络设备配置7实习案例二十四、校园网设计与实现1、 校园网络需求分析1. 信息点分布 此次某学院新建一栋大楼，共分为南楼（150个信息点）、中楼（200个信息点）、北楼（140个信息点），每个楼层各有一个弱电间接入所有的信

2、息点。网络主要承载、IP 广播、监控等设备，网络工程完成后，要便于信息中心统一进行设备的运行、维护、管理监控。因此网络建设需要满足信息中心对管理和控制功能的要求。设备的选型应与校园网和教育网设备兼容。高稳定性、高可靠性、应能够承载主要网络应用、有足够的满意度，尤其在网络设备故障率、系统维护、恶意攻击、病毒入侵、可扩展行方面达到用户要求。 性价比合理，投入产出比合理，主要性能指标突出，改造方案合理满足学校今后5到8年的需求。根据用户以上提出的工程要求，我们对用户的网络需求理解如下： 2. 建设安全可靠的校园网络平台 n 具备网络结构优化能力校园网的整体架构具备更有效的容灾能力，以应对故障节点、故

3、障链路、路由震荡所带来对业务的影响；而随着万兆校园核心网的普及，应用对带宽新的要求，校园网需要具备万兆到汇聚的升级能力、以及关键业务千兆到桌面的能力。n 具备网络业务拓展能力校园业务可平滑向下一代网络迁移，向IPv6 迁移兼容现有校园组网环境，IPv6 完全由分布式硬件完成，保护投资；校园业务可以随时随地使用，校园业务可以基于移动漫游环境，移动漫游环境无需管理者手工干预。n 具备安全渗透防御能力校园网出口具备攻击、非法业务的隔离、控制，具备在线主动抵御的能力；校园核心网络自身集成安全防御能力，缩小攻击、病毒在校园影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击。3. 优化整合现有数据信息资

4、源 n 解决教学、科研、办公业务数据海量增长，数据无法整合管理的问题。 n 解决数据爆炸性增长，成本要求不断降低的问题。 n 解决各种灾难对信息系统影响的问题。4. 实现整个校园网络的集中统一智能化管理 教学办公数据的资源、计算资源、网络多媒体通信资源等，针对这些资源需要关联化的管理，资源的整合，才能将利用IT系统服务校园信息化的价值最大化。数字化校园是建立在一系列IT资源的基础上，诸如校园网带宽资源、二、网络总体设计1. 设计原则 早期的高校校园网主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、可管理性较差、无业务增值能力等方面的问题。现在某学院校

5、园网建设要实现内部全方位的数据共享，应用三层交换，使网络安全可靠，从而实现教育管理、多媒体教学自动化，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。 基于对某学院校园网业务需求的深入理解，结合自身产品和技术特点，H3C公司推出了完善的某学院校园网解决方案，为某学院提供“高扩展、多业务、高安全”的精品网络。 某学院网络设计遵循以下基本原则：高带宽 某学院网络是一个庞大而且复杂的网络，为了保障全网的高速转发，要求核心交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。 可增值性 某学院网络的建设、使用和维护需要投

6、入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。 可扩充性 考虑到某学院用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，某学院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。 开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控

7、的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。 2. 总体设计 某学院网络结构拓扑图如下： 网络拓扑结构选用星型拓扑结构。它是目前使用最多、最为普遍的局域网拓扑结构，具体分为三层结构：核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。本次网络建设项目主要涉及新建大楼，原校园核心网络不变。汇聚层：建筑群的主干结点，为汇聚层。校园网按地域设置了几条干线光缆，从核心机房到几个主要建筑群，并在汇聚主干节点处端接。在主干网节点上安装的交换机位于网络的

8、第三层，它向上与核心机房的主干交换机相连，向下与各楼层的接入层交换机相连。学校校园网主干带宽全部为1000Mbps。接入层：建筑物楼内的接入层交换机，为接入层，接入层设备主要是指直接与工作站连接的局域网设备。为了对校园全网进行统一的管理和控制，应部署一套网络监控系统，用于上网用户的管理以及网络设备的环境监控。及时提出告警，缩短故障恢复时间。因原有核心上已部署。故不做考虑三、校园网设备选型 本次校园网设备选型中，我们采用了2台H3C S7506E汇聚交换机、若干台H3C E500接入交换机，设备描述具体如下：1. 校园网汇聚层设备选择汇聚层采用H3C两台高性能S7506E交换机，利用IRF2技术

9、使汇聚层两台交换机合二为一形成逻辑上的一台交换机。从而不仅简化网络管理，同时大大提高了网络的性能以及可靠性。在两台S7506E交换机上分别使用一个单模光纤上联至校园网原核心网络设备上，使新建网络能够完全融入到原有校园网中。2. 校园网接入层设备选择接入层交换机建议采用H3C专门为教育行业设计的E500系列交换机，每4 台交换机级联。然后在级联交换机上分别通过一个单模光纤上联至汇聚层的两台S7506E上，实现上行双链路冗余备份，提高网络的安全可靠性。 四、交换机和路由器的配置1. 虚拟局域网划分广播在网络中起着非常重要的作用，如发现新设备、调整网络路径、IP地址租赁等等，许多网络协议都要用到广播

10、，如。然而，随着网络内计算机数量的增多，广播包的数量也会急剧增加，当广播包的数量占到通讯总量的30%时，网络的传输效率将会-明显下降。所以，当局域网内的计算机达到一定数量后（通常限制150200台以内），通常采用划分VLAN的方式将网络分隔开来，将一个大的广播域划分为若干个小的广播域，以减小广播可能造成的损害。根据该学校的具体情况，将VLAN与IP分配如下表：2. 网络设备配置（1）核心交换机配置部署DHCP服务器，创建vlan 10 vlan 20 vlan30配置IP地址，作为DHCP的默认网关地址。为终端用户分配IP地址。因此G1/0/24 和G1/0/25需要同时容许vlan10 20

11、 30 100通过 配置回程路由，保证终端用户的上网流量能够返回终端。 配置telnet功能，使管理人员能够远程登录到核心交换机。（为方便管理，所有交换机都要配置telnet功能） 下面是核心交换机具体配置：<HEXIN>system 进入特权模式HEXINvlan 10 创建vlan 10创建其他vlan 同上HEXIN-vlan100int vlan 100 进入vlan100接口XINHE-Vlan-interface100ipip地址配置其他VLAN 上的IP地址步骤同上XINHE-Vlan-interface100int g1/0/24 进入接口HEXIN-Gigabit

12、Ethernet1/0/24port link-type trunk 将接口类型设置为trunk口HEXIN-GigabitEthernet1/0/24port trunk permit vlan 10 20 30 100 容许指定vlan 通过HEXIN-GigabitEthernet1/0/24 quit 退出接口HEXINdhcp enable 全局时能DHCP功能 HEXINdhcp server ip-pool vlan10 创建楼宇DHCP地址池 HEXINdhcpHEXIN-dhcp -pool-h3c expired day 3 有效期 HEXIN -dhcpHEXIN -dh

13、cp -pool-h3cdnsHEXINdhcp server forbidden-ipHEXINdhcp select global interface vlan-interface20 其他楼宇DHCP配置步骤同上HEXIN ipHEXIN ipHEXIN ipHEXINuser-interface vty 0 4 HEXIN -ui-vty0-4authentication-mode password 远程登陆使用密码认证 HEXIN -ui-vty0-4set authentication-mode password simple 222 设置密码 HEXIN -ui-vty0-4us

14、er privilege level 3 用户权限级别为3(超级用户) HEXIN -ui-vty0-4quit 退出该模式 HEXINquit 退出特权模式 HEXINsave 保存配置The current configuration will be written to the device. Are you sure? Y/N:yPlease input the file name(*.cfg)flash:/startup.cfg(To leave the existing filename unchanged, press the enter key):Validating file

15、. Please wait.Saved the current configuration to mainboard device successfully.（2）汇聚交换机配置2台汇聚交换机利用IRF2技术合二为一形成逻辑上的一台交换机 具体配置步骤如下： 7506E A和7506E B不连堆叠线，分别上电，分别配置 配置7506E A 配置7506E A的成员编号为1，创建IRF端口2，并将它与物理端口TenGigabitEthernet8/0/1,Ten-GigabitEthernet8/0/2绑定。<7605E A> system-view7605E A irf membe

16、r 1 /配置成员编号7605E A irf priority 10 /配置该设备的优先级7605E A irf-port 2 /创建IRF端口7605E A-irf-port2 port group interface ten-gigabitethernet 8/0/1 /将IRF端口与物理端口绑定7605E A-irf-port2 port group interface ten-gigabitethernet 8/0/27605E A-irf-port2 quit 将当前配置保存到下次启动配置文件。7605E A quit7605E A save 将设备的运行模式切换到IRF模式。<

17、;7605E A> system-view7605E A chassis convert mode irfThe device will switch to IRF mode and reboot. You are recommended to save the current running configuration and specify the configuration file for the next startup. Continue? Y/N:y Do you want to convert the content of the next startup configu

18、ration file flash:/startup.cfg to make it available in IRF mode? Y/N:y Please wait.配置7506E B 配置7506E B的成员编号为2，创建IRF端口1，并将它与物理端口Ten-GigabitEthernet8/0/1,Ten-GigabitEthernet8/0/2绑定。<7506E B> system-view7506E B irf member 2Info: Member ID change will take effect after the switch reboots and opera

19、tes in IRF mode.7506E B irf-port 17506E B-irf-port1 port group interface ten-gigabitethernet 8/0/17506E B-irf-port1 port group interface ten-gigabitethernet 8/0/27506E B-irf-port1 quit 将当前配置保存到下次启动配置文件。7506E B quit<7506E B> save 将两台设备IRF接口连接好堆叠线缆。 将设备的运行模式切换到IRF模式。<7506E B> system-view75

20、06E Bchassis convert mode irfThe device will switch to IRF mode and reboot. You are recommended to save the current running configuration and specify the configuration file for the next startup. Continue? Y/N:y Do you want to convert the content of the next startup configuration file flash:/startup.

21、cfg to make it available in IRF mode? Y/N:y Please wait. （3）配置BFD MAD检测 创建VLAN 999，并将7605E A（成员编号为1）上的端口1/2/0/12和7605E B（成员编号为2）上的端口2/2/0/12加入VLAN中。<7506E A> system-view7506E A vlan 9997506E A-vlan999 port gigabitethernet 1/2/0/12 gigabitethernet 2/2/0/127506E A-vlan999 quit 创建VLAN接口999，并配置MAD

22、 IP地址。7506E A interface vlan-interface 9997506E A-Vlan-interface999 mad bfd enable7506E A-Vlan-interface999mad ip7506E A-Vlan-interface999 mad ip7506E A-Vlan-interface999 quit 因为BFD MAD和MSTP功能互斥，所以GigabitEthernet1/2/0/12和GigabitEthernet2/2/0/12上关闭MSTP协议。7506E A interface gigabitethernet 1/2/0/127506

23、E A-gigabitethernet-1/2/0/12 undo stp enable7506E A-gigabitethernet-1/2/0/12quit7506E A interface gigabitethernet 2/2/0/127506E A-gigabitethernet-2/2/0/12 undo stp enable7506E A-gigabitethernet-2/2/0/12 quit交换机虚拟化配置完成。 以下配置是在虚拟化交换机上完成，虚拟出的交换机名称为HUIJU 配置汇聚交换机与上联核心交换机以及下联汇聚交换机的接口，容许vlan 10 20 30 100通过

24、 使用户可以正常获取IP地址 。配置默认路由以及telnet服务方便不同网络访问管理这台交换机<HUIJU>system 进入特权模式HUIJUvlan 10 创建vlan 10 创建其他vlan步骤 同上HUIJU -vlan100int vlan 100 进入vlan100接口HUIJU -Vlan-interface100ipip地址HUIJU -Vlan-interface100int g1/0/24 进入接口HUIJU -GigabitEthernet1/0/24port link-type trunk 将接口类型设置为trunk口HUIJU -GigabitEthern

25、et1/0/24port trunk permit vlan 10 20 30 100 容许指定vlan 通过HUIJU -GigabitEthernet1/0/24 quit 退出接口其他上联下联接口配置步骤同上HUIJUipTelnet服务与核心交换机配置一致，因此不一一写出。（4）接入交换机配置 接入交换机分南楼、中楼、北楼区域的交换机，vlan 号分别为 10 20 30 vlan 100作为管理vlan存在。因楼层终端用户较多，多台交换机之间采用级联方式连接。为防止用户使用ARP类的攻击，将在用户端口配置端口安全。交换机除级联与上联端口配置为trunk模式，其余端口全部配置access模式并把端口划到指定区域的vlan。管理vlan 具体配置步骤如下：<JIERU>system 进入特权模式JIERUvlan 10 创建vlan 10 vlan 10为指定区域vlan创建其他vlan步骤 同上JIERU -vlan100int vlan 100 进入vlan100接口 HUIJU -Vlan-interface100ipip地址JIERU -Vlan-interface100int g1/0/24 进入接口HUIJU -GigabitEthernet1/0/24port link-type