网络设备集成项目文档

组网实验周课程设计——网络集成项目文档PAGEII目录1中北大学主干网网络集成任务说明 11.1工程概述 11.2设计目标 11.3网络规划设计原则 12中北大学主干网网络集成规划与设计 32.1拓扑规划 32.2设备选型 32.3设备命名及端口描述 32.4网络规划 32.4.1WAN规划 32.4.2LAN规划 32.4.3IP地址规划 32.4.4路由规划 42.4.5安全规划 42.4.6无线规划 42.4.7网管规划 42.4.8服务规划 42.5设备连接 43中北大学主干网项目论证 53.1论证内容 53.2实验一：XXX论证实验 53.2.1×××实验说明 53.2.2×××实验内容 53.2.3×××实验调试结果 53.3实验二：XXX论证实验 63.3.1×××实验说明 63.3.2×××实验内容 63.3.3×××实验调试结果 64中北大学主干网项目设计的汇总说明 74.1中北大学主干网网络设计指标的偏差说明 74.2中北大学主干网网络设计设备采购汇总 7附录A中北大学主干网网论证实验设备配置清单 8附录B中北大学主干网网论证实验设备配置清单 9第27页1中北大学主干网网络集成任务说明1.1工程概述中北大学地处山西省太原市西北部尖草坪区，西倚二龙山，南临汾河，距市中心大约15公里。一共设有17个学院以及朔州和晋中两个分校区，学校总占地2768亩，分为东区和西区，建筑面积近109万平方米。图1-1中北大学校区地理分布图1-2中北大学校园平面示意图1.2设计目标由于主干网关系到整个中北大学的网络命脉，所以系统总体设计要本着总体规划、分布实施的原则，在保证系统先进性基础上本着合理使用建设资金，使系统经济可行。主干网上应采用设备以及线路冗余技术，采用双核心双出口设计。合理分配流量保证教育流量和普通流量的分流保证服务最优化。做好安全防护技术同时平衡网络的动态和静态变化保证主干网的易用性以及高拓展性。充分发挥中北大学现有网络硬件资源，把中北大学主干网建设成一个面向未来的可承载校园网综合业务发展需求的具有高扩展性、高安全性、高可靠性以及高质量的园区网络。1.3网络规划设计原则网络规划的时候应遵循的设计原则开放性和标准化原则网络设计采用国家标准，采用大多数厂家支持的标准协议及标准接口，设备尽量选择通用性好的品牌产品，保证良好的可拓展性和可延续性。可靠性网络系统的稳定可靠是应用系统正常运行的关键保证。在网络设计时，应选用高可靠性的网络产品、合理的网络构架以及布线设计，做好设备冗余备份线路聚合，选择合适技术保证网络具有良好的故障自愈能力，以减少网络服务中断时间。安全性关键区域如服务器集群进行冗余处理避免重要数据的意外损坏，设备放置位置等都需要谨慎考虑保证一定容灾性，保护设备安全。充分使用各种不同的网络技术，保证网络系统和应用系统安全运行。将采用AAA验证、VPN连接以及数据验证和密码设置等技术保证网络安全。4、实用性

从实际出发，使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当方便，不需要太多的培训即可容易地使用和维护。5、特殊要求由于中北大学建筑分散，校园面积比较大，为方便管理，根据各建筑逻辑以及地理位置分布采用四层网络架构。2中北大学主干网网络集成规划与设计2.1拓扑规划1、设备分布规划图2-1设备分布规划2、主干网拓扑图2-2主干网拓扑2.2设备选型表2-1设备选型详细出口路由核心层设备骨干层设备型号CISCO7304华为S6700-24-EIH3CS5500-34C-HI类型电信级高端路由器万兆以太网交换机万兆以太网交换机传输速率10/100/1000Mbps10/100/1000/10000Mbps10/100/1000/10000Mbps背板带宽480Gbps360Gbps端口描述模块化，局域网接口：2个非模块化，24个GESFP/10GESFP+端口非模块化，24个10/100/1000Base-T以太网端口，4个100/1000Base-X千兆SFP端口，2个10G/1GSFP+端口功能特性IP，IPX，DLSW，AppleTalk，支持qos和vpn支持AAA认证，支持Radius、HWTACACS、NAC等多种方式，支持SSHV2.0

支持HTTPSRADIUS认证，支持OSPF、RIPv2报文的明文及MD5密文认证报价/万6.85.881.6需求量/台124表2-2采购清单设备型号数量单价/万合计/万总计/万CISCO730416.86.825.76华为S6700-24-EI25.8811.76H3CS5500-34C-H41.66.4SPF-OC48-S100.080.82.3设备命名及端口描述设备命名及端口描述规范：所有字母都是大写；用其型号编号命名和主干简称命名，同类设备使用数字在型号后面给加“-”+数字编号。（3）根据对应的主干拓扑图来命名。表2-3设备命名表所处ospf区域型号设备名area0CISCO7304ZG-CISCO7304-1S6700（左）ZG—HW-S6700-1S6700（右）ZG-H3C-S6700-2area1S5500ZG-H3C-S5500-1area2S5500ZG-H3C-S5500-2area3S5500ZG-H3C-S5500-3area4S5500ZG-H3C-S5500-42.4网络规划2.4.1WAN规划中北大学校园网采用双出口，分别为Cernet和千兆光纤接入的联通ISP。主校区与分校区之间独立接入ISP 通过VPN实现互联。2.4.2IP地址规划1、服务器地址划分表2-4服务器地址分配表服务器总地址8/29DNS2/30WEB8/30FTP0/30AAA6/302、主干网设备地址分配分配原则：主干网设备每两个同网段端口均采用172.16.*.1和172.16.*.2，按图2-3所示进行IP划分。图2-3主干IP地址分布管理地址划分表2-5服务器地址分配表设备名管理VLANIP地址ZG-CISCO7304-1VLAN30ZG—HW-S6700-1ZG-H3C-S6700-2ZG-H3C-S5500-1ZG-H3C-S5500-2ZG-H3C-S5500-3ZG-H3C-S5500-42.4.3路由规划动态路由采用OSPF多区域，区域划分如下图所示。出口路由到达Cernet设置策略路由，并通过设置两条routermap序号不等的策略路由实现策略路由浮动。相似地在出口路由上配置两条metric不等的默认路由实现默认路由的浮动。图2-4路由规划2.4.4安全规划在核心层以及出口路有设备上配置AAA验证实现安全管理。2.4.5服务规划服务器集中搭建在网络中心。搭建AAA服务器用于安全管理，DNS用于域名解析提高上网质量。通过配置注册地址段实现可以被访问。2.5设备连接图2-5设备连接图

3主干网项目论证3.1论证内容论证实验个数：3个。 论证实验项目：1、中北大学主校区综合实验。2、主校区与分校区VPN实验。3、出口路由双出口实验。3.2实验一：中北大学主校区综合实验3.2.1主校区综合实验说明1、实验拓扑图图3-1主校区综合实验论证拓扑2、论证实验的综合应用技术说明路由技术：多区域OSPF实现全网互通，出口路由采用默认路由代替。安全技术：出口路由采用AAAradius认证。服务技术：网内设置DNS服务器添加一条解析WEB服务器的条目。论证实验中的设备（应用技术）替换说明本实验使用packettracer6.1进行配置.设备名替换设备名称ZG-CISCO7304-1CiscoPT1000R1ZG—HW-S6700-1Cisco3560-24PSms0ZG-H3C-S6700-2Cisco3560-24PSms1ZG-H3C-S5500-1Cisco3560-24PSms2ZG-H3C-S5500-2Cisco3560-24PSms3ZG-H3C-S5500-3Cisco3560-24PSms4ZG-H3C-S5500-4Cisco3560-24PSms53.2.2主校区综合实验内容参照上面的路由配置进行OSPF多区域的配置并设置RouterID指定DR。双出口暂时采用默认路由模拟。AAA服务器设置验证用户R1密码star,添加验证用户user密码123WEB服务器设置web页面ip为9DNS添加一条域名解析--93.2.3×××实验调试结果1、OSPF技术论证ms0#showipospfneighborNeighborIDPriStateDeadTimeAddressInterface1FULL/BDR00:00:32FastEthernet0/1FULL/BDR00:00:32FastEthernet0/1FULL/BDR00:00:32FastEthernet0/1FULL/BDR00:00:32FastEthernet0/601FULL/DR00:00:32Port-channel1ms1#showiprouteGatewayoflastresortistonetwork/24issubnetted,12subnetsO[110/2]via,00:08:40,FastEthernet0/1[110/2]via,00:08:40,Port-channel1Cisdirectlyconnected,FastEthernet0/1Cisdirectlyconnected,Port-channel1O[110/2]via,00:08:40,Port-channel1[110/2]via,00:08:40,FastEthernet0/4O[110/2]via,00:08:40,Port-channel1[110/2]via,00:08:40,FastEthernet0/5O[110/2]via,00:08:40,Port-channel1[110/2]via,00:08:40,FastEthernet0/6Cisdirectlyconnected,FastEthernet0/4Cisdirectlyconnected,FastEthernet0/5Cisdirectlyconnected,FastEthernet0/6Cisdirectlyconnected,Port-channel2OIA[110/2]via,00:08:40,FastEthernet0/4OIA[110/2]via,00:08:40,FastEthernet0/5/24isvariablysubnetted,4subnets,2masksOE22/28[110/20]via,00:08:40,FastEthernet0/4O8/30[110/2]via,00:08:55,Port-channel2O2/30[110/2]via,00:08:55,Port-channel2O6/30[110/2]via,00:08:55,Port-channel2O*E2/0[110/1]via,00:08:40,FastEthernet0/1AAA技术论证图3-2AAA服务器配置图3-3R1debug结果图3-4DNS服务器配置图3-5WEB服务器配置结果图3-6主机访问WEB服务器3.3实验二：VPN论证实验3.3.1VPN实验说明1、实验拓扑图图3-7VPN实验拓扑2、论证实验的综合应用技术说明主校区与两个分校区之间建立VPN，两个分校之间通过主校作为跳板互通。论证实验中的设备（应用技术）替换说明实验使用GNS31.3.3进行验证R4模拟ISP，R1、R2和R3模拟三个校区并分别配置默认路由模拟外网互通。PC1、PC2、PC3模拟内网ZG-CISCO7304-1以及所有分校出口路由器均使用C3745代替。3.3.2VPN实验内容R1、R2、R3上分别配置默认路由实现外网互通。主校区与分校区之间建立VPN，并使用ACL100和101进行配置，分别在三个出口路由像各自ACL中添加网段来实现分校之间互通，3.3.3VPN实验调试结果PC1>PC1>pingicmp_seq=1timeout84bytesfromicmp_seq=2ttl=62time=218.766ms84bytesfromicmp_seq=3ttl=62time=249.995ms84bytesfromicmp_seq=4ttl=62time=234.379ms84bytesfromicmp_seq=5ttl=62time=265.622msPC1>pingicmp_seq=1timeout84bytesfromicmp_seq=2ttl=62time=203.138ms84bytesfromicmp_seq=3ttl=62time=187.508ms84bytesfromicmp_seq=4ttl=62time=171.881ms84bytesfromicmp_seq=5ttl=62time=203.137msPC1>PC2>pingicmp_seq=1timeouticmp_seq=2timeout84bytesfromicmp_seq=3ttl=61time=328.161ms84bytesfromicmp_seq=4ttl=61time=359.394ms84bytesfromicmp_seq=5ttl=61time=374.995msPC2>R1#showcryptoisakmpsaIPv4CryptoISAKMPSAdstsrcstateconn-idslotstatusQM_IDLE10010ACTIVEQM_IDLE10020ACTIVEIPv6CryptoISAKMPSAR1#showcryengineconnectactCryptoEngineConnectionsIDInterfaceTypeAlgorithmEncryptDecryptIP-Address1Fa0/0IPsecDES+SHA042Fa0/0IPsecDES+SHA503Fa0/0IPsecDES+SHA044Fa0/0IPsecDES+SHA505Fa0/0IPsecDES+SHA046Fa0/0IPsecDES+SHA307Fa0/0IPsecDES+SHA038Fa0/0IPsecDES+SHA301001Fa0/0IKESHA+3DES001002Fa0/0IKESHA+3DES003.4实验二：策略路由论证实验3.3.1策略路由实验说明1、实验拓扑图图3-8策略路由实验拓扑2、策略路由论证实验的综合应用技术说明在出口路由上配置到达教育网的策略路由，论证实验只匹配五个网段。并配置相应默认路由和浮动路由保证出口冗余。3、策略路由论证实验中的设备（应用技术）替换说明实验使用GNS31.3.3进行验证ZG-CISCO7304-1以及所有分校出口路由器均使用C3745代替。用回环端口配置教育网地址模拟教育网。3.3.2×××实验内容论证实验的配置工作说明分类说明，最好以配置工作单的形式表格化3.3.3×××实验调试结果主要设备的调试信息（show、debug），切记：这里不要showrunping、traceroute、服务器、客户机、测试软件的验证抓图

4中北大学主干网项目设计的汇总说明4.1中北大学主干网网络设计指标的偏差说明设计要求要求点评结论连通性要求主干网与互联网的联通使用多区域的ospf技术实现网络互通基本满足要求双出口进行合适分流在出口路由部署策略路由和默认路由，实现对教育网流量的区分基本满足要求安全性要求设备管理安全性配置AAA验证实现管理验证基本满足要求应用服务要求提供更快更好网络服务部署了DNS服务器提高了访问网络速度基本满足要求4.2中北大学主干网网络设计设备采购汇总用业界常见的列表方式给出整个项目的设备采购清单和项目预算，格式参考如下：××预算序号设备名称型号/规格单位单价（万元）数量总价（万元）合计（万元）1出口路由CISCO7304台6.816.836.42核心层交换机华为S6700-24-EI台5.88211.763骨干层交换机SPF-OC48-S台1.646.44服务器IBMSystemx3650M55462I45台2.449.6报价参考中关村在线/

附录AVPN论证实验设备配置清单实验拓扑图：主校区出口设备R1#showrunBuildingconfiguration...Currentconfiguration:1598bytes!version12.4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!hostnameR1!boot-start-markerboot-end-marker!!noaaanew-modelmemory-sizeiomem5noipicmprate-limitunreachableipcefiptcpsynwait-time5!!!!noipdomainlookup!multilinkbundle-nameauthenticated!!cryptoisakmppolicy1encr3desauthenticationpre-sharegroup2cryptoisakmpkeypass1addresscryptoisakmpkeypass2address!!cryptoipsectransform-setvpn1esp-desesp-sha-hmac!cryptomapmap1ipsec-isakmpsetpeersettransform-setvpn1matchaddress100cryptomapmap2ipsec-isakmpsetpeersettransform-setvpn1matchaddress101!!!!!interfaceFastEthernet0/0ipaddressduplexautospeedautocryptomapmap!interfaceFastEthernet0/1ipaddress54duplexautospeedauto!iproute00!!noiphttpservernoiphttpsecure-server!access-list100permitip5555access-list100permitip5555access-list101permitip5555access-list101permitip5555nocdplogmismatchduplex!!control-plane!!linecon0exec-timeout00privilegelevel15loggingsynchronouslineaux0exec-timeout00privilegelevel15lo