网络工程-广雅职业技术学院网络设计方案

项目需求分析组网技术分析广雅职业技术学院的中心机房（在5栋教学楼）采用4兆位光纤（多模）与汇聚层节点相连，三层网络结构的接入层与汇聚层之间采用千兆五类线（或超五类线）连接。为了经济地提供更高的带宽，数据和信息点的接入采用10/100Mbps自适应以太网端口。校园内部网络通信对数据安全性要求很高，因此它需要使用万兆以太网技术联网，并通过防火墙连接到ISP。本次的校园网规划方案主要采用了三层交换技术、虚拟局域网（VLAN）技术作为校园网络的主干网，提高网络的性能和安全。三层交换技术三层交换技术目前在局域网内得到广泛应用。高速路由技术、IP交换技术是三层交换技术的别称，主要是基于第三层地址转发数据流、执行交换功能、可以提供特别服务（如认证）等一种技术。三层交换机是在二层交换机概念基础上提出来的，三层交换设备是第三层具有路由交换功能的二层交换机，几乎可以完成传统路由器的所有功能。配置三层交换机是基于二层交换机基础上的，先完成而成交换机的配置，进入VLAN接口，配置IP地址启用三层功能，再配上相应的路由协议[[]路由器交换机应用案例教程电子教案.ppt,106]。也可以说三层交换技术是二层交换技术加上三层转发技术得来的[]路由器交换机应用案例教程电子教案.ppt,106[]张文科杨莉程书红.路由器交换机应用案例虚拟局域网（VLAN）技术虚拟局域网技术允许把所有物理上不同位置的设备汇聚在一起形成一个广播域，在这个广播域里进行分组即划分不同的VLAN，再把不同地点但是有相同属性、相同需求的计算机归为同一组。这样形成的有着相同需求的计算机工作站在一个VLAN中，不同组的计算机不在一个广播域，与物理上形成的LAN有着相同的属性[[][]王相林.网络工程设计与应用[Z].清华大学出版社,2018：47-49例如有一个24口的以太网交换机，将此交换机的24口划分为3组，每组8个端口，每一组即一个VLAN，可以把这个交换机看成是3个8口的交换机。采用VLAN技术的好处在于可以隔离网络广播风暴，解决网络资源的浪费问题。通过划分不同VLAN来控制用户的通信，通过划分VLAN来区分用户的职责权限，可以起到保护内部信息的作用，从而增强了校园网络的安全性。划分VLAN后，网络中的设备发生变更不受地理位置的影响以及限制，不需要对整个网络的网络设备重新进行配置，简化了网络管理和维护，这给网络管理提供了便利，提高网络性能。用户需求分析1、学院有独立的万维网服务器，在网上提高学院的官方网站服务学院，包括学院主页、学院简介、学院招生信息等。2、为了能够满足电子阅读和电子备课的需要，以及远程教育、视频直播等教学服务，包括多媒体教学资源共享，要求这网络要有能满足这些服务的扩展能力和骨干带宽。实现集语音传输数据传输与备份、多媒体应用与互联网接入于一体的可靠、强大、高性能的宽带多媒体校园网。4、校区采用全无线网络覆盖，学院的无线网络设置DHCP配置，自动获取IP地址，满足师生在该部分区域随时连接WiFi接入校园网的需求。所有的区域的有线网络采用静态获IP的方式。5、宿舍区域网络实现网络访问控制，在每周的星期天到星期四期间（节假日除外），23点30分到6点实现禁止学生通过宿舍区域网络连接互联网，周五到周六不实现禁止访问网络行为。网络扩展性需求1）、为了保证用户的后期扩展能力和后续稳定升级，为校园网各分支层提供接入能力。2）、为了适应未来网络可能发生的变化，校园网络核心层和汇聚层应考虑端口的可扩展性，各设备应预留端口。3）、考虑到学院未来的发展需要扩展网络，网络中选取支持VPN的路由器，4）、将来网络中的主机预计会增多，每个网段都有预留多余的IP地址校园网络的功能需求分析学院管理功能学院可以在网上搭建一系列的学院管理系统，如网上办公系统、教务管理系统、学生管理系统、行政办公系统、后勤管理系统以及教学辅助机构管理系统，可以通过官网访问学院的教务系统[[]马敬东段晓旭[]马敬东段晓旭浅谈校园网络的构建与整合[D].职业技术教育研究:2005,(04):59-59学生学习功能学生可以通过校园网络自主学习，能够获取网络的学习资源。通过校园网来实现在网上查询资料，通过网上学习来拓展个人视野；同学之间可以通过网络来进行学术交流，相互分享学习经验；专业班级中可以通过网络来搭建自己班级以及专业专属主页，用来宣传，也可以通过网络和老师进行网上交流和学习，完成无纸化作业等 项目设计拓扑图设计规划网络拓扑图是把各种网络设备用传输介质连接到一起的一种物理布局。通过网络拓扑图，我们可以客观的了解网络设计的物理布局和各种设备之间的连通性。在我们设计网络时，网络拓扑图起到了非常重要的作用。设计好网络拓扑图，可以通过网络拓扑模拟器中模拟实现并且测试某些功能。在本次网络规划采用了三层网络机构，如REF_Ref36081891图31所示，把核心交换机放到网络中心机房。图STYLEREF1\s3SEQ图\*ARABIC\s11三层网络架构拓扑图学院的网络拓扑图如REF_Ref36938486\h图32所示，每一个区域有一台汇聚交换机安装在各区域的中心机柜里。由于行政楼每一层一个接入层交换机，教学楼和宿舍区接入层交换机是每一栋楼有一个，所以接入层交换机的数量比较多，在ensp模拟器上展示比较混乱，因此在这三个区域的一台接入层交换机配置为实例。图STYLEREF1\s3SEQ图\*ARABIC\s12学院网络规划的拓扑图无线网络设计无线局域网（WLAN）设计遵循IEEE802.11系列国际标准原则。在学院使用移动终端，如手机、笔记本等的终端设备连接网络的数量比较大，需要完成校园覆盖无线网络设计。前期调研无线设备活跃终端大约为5000，因此需要建设一个较大规模的无线网络，每一栋建筑部署一个无线网络接入点，以行政楼为例，服务集为Xingzheng，可接入无线终端数量为253台。IP地址规划IP地址规划是在充分网络的建设规模、开展的业务内容和未来的网络发展方向等问题的基础上进行的逻辑网络设计[[]于国标.浅谈IP地址规划.《科技传播》2010,(19):215-215]。IP地址主要根据32位地址的前8位地址段的不同，将地址空间分为了5类，其中A、B和C类为基础类，D类IP地址用于组播传输，E类保留[[]何利.[]于国标.浅谈IP地址规划.《科技传播》2010,(19):215-215[]何利.网络规划与设计实用教程.人民邮电出版社,2018：7广雅职业技术学院向运营商申请了一个B类地址为202.100.121.101，校园网内网的IP地址采用A类私有地址和C类私有地址，其中，有线网络部分采用A类私有IP地址，无线网络部分采用C类私有IP地址。学院的总体IP编址规划和VLAN划分如下列表格所示：表STYLEREF1\s3SEQ表\*ARABIC\s11学院IP分布区域有线网络网段有线网络网关无线网络网段无线网络网关VLAN分配行政楼10.0.10.0/2410.0.10.254192.168.10.0/24192.168.10.254VLAN10教学楼10.0.20.0/2410.0.20.254192.168.20.0/24192.168.20.254VLAN20图书馆10.0.30.0/2410.0.30.254192.168.30.0/24192.168.30.254VLAN30男生宿舍10.0.40.0/2410.0.40.254192.168.40.0/24192.168.40.254VLAN40女生宿舍10.0.50.0/2410.0.50.254192.168.50.0/24192.168.50.254VLAN50教师公寓10.0.60.0/2410.0.60.254192.168.60.0/24192.168.60.254VLAN60公共区域10.0.70.0/2410.0.70.254192.168.70.0/24192.168.70.254VLAN70男生宿舍区和女生宿舍区各楼栋的IP地址规划和VLAN划分情况如REF_Ref36080899表32所示：表STYLEREF1\s3SEQ表\*ARABIC\s12教学楼以及图书馆的IP编址教学楼有线网段有线网关无线网段无线网关VLAN分配1栋10.0.21.0/2410.0.21.254192.168.21.0/24192.168.21.254Vlan212栋10.0.22.0/2410.0.22.254192.168.22.0/24192.168.22.254Vlan223栋10.0.23.0/2410.0.23.254192.168.23.0/24192.168.23.254Vlan234栋10.0.24.0/2410.0.24.254192.168.24.0/24192.168.24.254Vlan245栋10.0.25.0/2410.0.25.254192.168.25.0/24192.168.25.254Vlan256栋10.0.26.0/2410.0.26.254192.168.26.0/24192.168.26.254Vlan267栋10.0.27.0/2410.0.27.254192.168.27.0/24192.168.27.254Vlan278栋10.0.28.0/2410.0.28.254192.168.28.0/24192.168.28.254Vlan28图书馆10.0.30.0/2410.0.30.254192.168.30.0/24192.168.30.254Vlan30表STYLEREF1\s3SEQ表\*ARABIC\s13宿舍区中的IP编址男生宿舍有线网段有线网关无线网段无线网关VLAN分配1栋10.0.41.0/25410.0.41.254192.168.41.0/24192.168.41.254VLAN412栋10.0.42.0/25410.0.42.254192.168.42.0/24192.168.42.254VLAN423栋10.0.43.025410.0.43.254192.168.43.0/24192.168.43.254VLAN434栋10.0.44.0/25410.0.44.254192.168.44.0/24192.168.44.254VLAN445栋10.0.45.0/25410.0.45.254192.168.45.0/24192.168.45.254VLAN45女生宿舍1栋10.0.51.0/25410.0.51.254192.168.51.0/24192.168.51.254VLAN512栋10.0.52.0/25410.0.52.254192.168.52.0/24192.168.52.254VLAN523栋10.0.53.0/25410.0.53.254192.168.53.0/24192.168.53.254VLAN534栋10.0.54.0/25410.0.54.254192.168.54.0/24192.168.54.254VLAN545栋10.0.55.0/25410.0.55.254192.168.55.0/24192.168.55.254VLAN556栋10.0.56.0/25410.0.56.254192.168.56.0/24192.168.56.254VLAN56表STYLEREF1\s3SEQ表\*ARABIC\s14教室公寓的IP地址规划教师公寓有线网段有线网关无线网段无线网关VLAN分配1栋10.0.61.0/2410.0.61.254192.168.61.0/24192.168.61.254VLAN612栋10.0.62.0/2410.0.62254192.168.62.0/24192.168.62.254VLAN623栋10.0.63.0/2410.0.63.254192.168.63.0/24192.168.63.254VLAN63因为学院要做到全面覆盖无线网络，因此在一些公共的场所如学院商业街、食堂等地方也需要无线地址规划，方便同学们闲时连接无线网上网以及外来人员通过无线网进行学术交流。食堂需连接有线网络来接入一卡通的使用。公共区域的IP地址规划如REF_Ref36909788\h表35所示：表STYLEREF1\s3SEQ表\*ARABIC\s15公共区域的IP地址规划公共区域有线网段有线网关无线网段无线网关VLAN分配食堂、商业街等10.0.70.0/2410.0.70.254192.168.70.0/24192.168.70.254VLAN70网络设备选型汇聚层交换机选择S5730-HI系列的交换机，有满足1000Mbit/s的以太网端口，作为汇聚层交换机，它有4个万兆SFP+端口，24个10/100/1000Bas-T的以太网端口，提供1个扩展插槽，支持1+1电源备份，端口数量充足，满足接入层可扩展的需求图STYLEREF1\s3SEQ图\*ARABIC\s13S5730-HI系列核心层交换机选择S6720-EI系列增强型万兆交换机，有24x10GESFP+端口、2x40GEQSFP+端口、一个扩展口，包转发率达720Mpps，满足大容量的接入端口需求图STYLEREF1\s3SEQ图\*ARABIC\s14S6720-EI系列接入层交换机选择就有48个端口的S2700系列交换机，接入层的终端比较多，需求比较大。S2700系列交换机可满足多终端接入网络的需求，即使后期主机增加，也不用担心扩展问题。AC6605-26-PWR最大可管理AP达1024个，可以满足本次校园网的无线规划中的AP管理需求，此设备提供2个10G光口，20个GE电口以及4个Comb口，最大可转发10Gbps的数据，可满足高容量，高性能的组网要求。图STYLEREF1\s3SEQ图\*ARABIC\s15华为AC6605-26-PWR华为AP5510-W-GP是符合802.11acWave2标准协议的千兆面板AP，提供有1个GPON上行接口和4个下行接口图STYLEREF1\s3SEQ图\*ARABIC\s16华为AP5510-W-GPAP项目实现项目实施少不了技术的实现，通过在网络设备上配置命令实现技术，满足用户的需求。下面以行政楼的通信情况为例来说明项目的实现以及测试。无线网络的实现无线网络的实现主要通过配置AC设备，主要涉及到AP上线和业务VLAN的配置，先从AC和AP的基础连通性开始实现，创建好管理VLAN和业务VLAN，给管理VLAN和STA配置地址interfaceVlanif100ipaddress192.168.100.254255.255.255.0配置AP上线模式为不认证模式apauth-modeno-authsecurity-profilenameXingzhengsecuritywpa2pskpass-phrase12345678aes//创建安全模板命名为xingzheng，设置密码为12345678，意为行政楼的无线网络，后面的其他模板命名均为xingzheng，包括SSID模板、VAP模板service-vlanvlan-id10//在行政楼区域的无线网络中，指定VAN对应的业务VLAN是VLAN10。配置AP加入xingzhengAP组，引用VAP模板，创建两个射频ap-groupnameXingzhengregulatory-domain-profiledomain1//绑定域模板vap-profileXingzhengwlan1radio0//绑定VAP模板到射频0上vap-profileXingzhengwlan1radio1ap-id0type-id35ap-mac00e0-fcfc-1a10ap-sn210235448310B3138242//添加AP,AP的MAC地址ap-groupXingzheng链路结合技术在核心层设备上，可以增加多条链路，提高设备的带宽还能为设备提供负载分担的效果。实现技术是将多条物理链路组合成一条逻辑链路，要用相同的设备与接口。本文中在核心交换机之间配置该链路，选择2条活跃链路和一条冗余链路。lacppriority1000interfaceEth-Trunk22portlink-typetrunkporttrunkallow-passvlan10to100modelacp-staticmaxactive-linknumber2DHCP技术随着网络复杂程度的提高和网络规模的扩大，学院的无线网络覆盖范围比较广泛，连接的终端设备比较多，静态获取IP地址的方式会给连接无线网络的用户带来诸多麻烦，而且还会遇到终端设备数量超出可分配的IP地址数量的情况，采用DHCP（动态主机配置协议）来解决这些问题dhcpenable//启动DHCP服务dhcpselectglobalinterfaceVlanif100ipaddress192.168.100.254255.255.255.0ippoolvlan10gateway-list192.168.10.254network192.168.10.0mask255.255.255.0//在pool模式下配置网关和网段dns-list114.114.114.114//选择采用DNS服务器方式连接网络NAT技术学院向运营商申请了一个公有IP地址，但由于私有地址无法直接访问Internet，因此需要采用网络地址转换（NAT）技术将私有的IP地址转换成公有IP地址来访问外部网络。需要把学院内网与Internet分配给学院的地址建立起映射关系，采用NAT技术，让内网的地址域共享一个公有地址，转换的内部IP地址不会直接在Internet上显示出来，因此这在一定程度上起到保护网络免受外部攻击的作用，一定程度上保证了校园网络的安全性。本次设计在防火墙实现NAT转换技术，实现利用学院内网去访问外网，让师生们充分利用网络获取教学资源，充分享受网络带来的便利，发挥网络的最大利用率。虚拟网关冗余在配置了DHCP服务的交换机上配置虚拟网关冗余，当一台设备出现故障后，另外一台设备可以充当备份网关，防止通信中断。这里以VLAN10的网关为例，在核心2交换机上配置。interfaceVlanif10ipaddress192.168.10.1255.255.255.0vrrpvrid10virtual-ip192.168.10.254vrrpvrid10priority120vrrpvrid10preempt-modetimerdelay20vrrpvrid10trackinterfaceGigabitEthernet0/0/21reduced60vrrpvrid10authentication-modemd5$!TAO*hK@(sPddVIN=17f=Z#dhcpselectglobalMSTP多实例生成树多实例生成树协议不仅可以解决网络环路问题，还可以在网络终端数量过多时，实现网络负载分担。本文以行政楼等教职人员多的建筑为一个实例进行配置。stpinstance1rootprimarystpinstance2rootsecondarystpregion-configurationregion-nameMSTPinstance1vlan10to30instance2vlan40to70activeregion-configurationACL（访问控制列表）技术AC通过设置网络层数据包过滤，可以实现限制网络流量来增加网络性能，控制路由器，交换机端口进出的数据包。配置ACL规则，允许（permit）或者拒绝（deny）访问网络行为。对于学院来说，禁止或者允许用户的某些上网行为是必要的。例如学院对宿舍区域的网络提出了分时间段禁止学生访问网络的要求，这就需要实现ACL技术来控制学生对网络的访问。time-rangeClose-Net-123:30to24:00Sundaytime-rangeClose-Net-200:00to6:00Mondaytime-rangeClose-Net-323:30to24:00Mondaytime-rangeClose-Net-400:00to6:00Tuesdaytime-rangeClose-Net-523:30to24:00Tuesdaytime-rangeClose-Net-600:00to6:00Wednesdaytime-rangeClose-Net-723:30to24:00Wednesdaytime-rangeClose-Net-800:00to6:00Thursdaytime-rangeClose-Net-923:30to24:00Thursdaytime-rangeClose-Net-1000:00to6:00Friday//配置ACL生效时间段，表示每周周日到每周周五的下午23:30到6:00的时间段，实现断网处理。配置高级ACL，实现时间段的网络控制效果，aclnumber3000ruledenytime-rangerulepermitipsourceany项目测试无线网络配置测试通过AC和交换机设备的配置，行政楼这个区域的WLAN射频有两个，分别是2.4G和5G两个射频的信号。REF_Ref39271983\h图51是配置好的无线信号射频圈，移动终端在射频范围内可以直接接受到信号，连接信号输入密码即可。图STYLEREF1\s5SEQ图\*ARABIC\s11无线网络射频圈DHCP动态获取IP地址测试用可以连接无线信号的设备，在可以接受到无线信号范围内搜索无线网信号，设置通过DHCP的方式动态获取IP地址，可以发现如REF_Ref37266619\h图52显示，信号圈内有两个WiFi信号，点击连接，输入密码即可接入校园网络。连接上WiFi信号后，通过ipconfig命令可以查看到IP地址，如REF_Ref37269272\hREF_Ref37269272\h图53，是属于规划好的行政区域的网段的。图STYLEREF1\s5SEQ图\*ARABIC\s12笔记本上显示的WiFi信号图STYLEREF1\s5SEQ图\*ARABIC\s13IP地址获取模拟外网访问测试在外部网络设备创建一个环回口IP地址为1.1.1.1/24，REF_Ref39272122\h图54是模拟内部以行政楼为例的无线终端去测试连接性。图STYLEREF1\s5SEQ图\*ARABIC\s14模拟内部网络访问外网参考文献[1王应邦,孔春丽.高校数字校园的网络规划设计探讨[J].科技创新与应用,2017(14):92.[2]储纲.数字化校园管理系统设计探究[J].软件导刊,2010(10):119-120.[3]邹航杨元晔苟光磊.NAT网络地址转换技术分析[J].重庆工学院学报(自然科学版),2007(04):95-