应用OSPF路由协议的校园网络设计

1 内容摘要设计大中型校园网络系统需要从多方面进行考虑，不仅包含了许多网络技术问题，而且还有建筑设计、综合布线、信息服务共享等综合化建设的问题。本方案根据具体情况做出网络设计，设计了四个园区的各学院的网络拓扑、IP地址分配方案、核心交换机配置方法、网络安全措施，是一个可行的网络设计方案。最终的设备选型是兼顾了网络基础设备的性价比和高校园区网络的可扩展性做出的选择方案。关键词:大中型校园网;OSPF路由协议；IP地址分配目录一、网络需求分析………………1（1）拓扑结构分析……………1（2）IP地址块分析……………1二、网络拓扑结构………………1（1）拓扑结构详细介绍………1（2）拓扑图……………………2三、网络地址分配………………2（1）公网地址分配……………3（2）内网地址分配……………4四、路由协议配置………………4（1）OSPF术语简单介绍………5（2）交换机主要配置命令……………………5五、网络安全措施………………7六、结构化综合布线……………8七、设备及材料清单……………8应用OSPF路由协议的校园网络设计专业班级：网络1201学号：2012111370姓名：朱淼网络需求分析：（1）拓扑结构分析此大学共有6个二级学院，分别位于同一城市的4个园区；大学本部与两个二级学院在同一个园区（园区A）；另外两个二级学院位于另一个园区（园区B）；而其它两个学院分别位于园区C和园区D。采用三层架构的层次型网络：核心层、汇聚层和接入层三个主要层次。核心层将采用两部万兆光纤核心交换机，实现核心节点的冗余，并使用UPS技术以及两路独立电网供电的电源。汇聚层应保证大学本部及每个学院有一台三层千兆交换机（7台），并采用三层交换机进行子网划分，便于管理。接入层将大量使用二层48口且支持光纤接入的百兆交换机，预留部分端口增强可扩展性。整个校园网通过百兆以太网接入CERNET，即中国教育网。（2）IP地址块分析大学本部与每个二级学院均自行向互联网发布学院信息并负责信息化服务，其中大学本部要为全校提供有关的信息化服务。每个学院都提供1500台左右的个人计算机,并且学校已申请到/24至/24的IPv4地址块。但是大学和各二级学院都需要分配外网地址，而申请的IPv4地址块只有2560个IP地址，显然不能满足各部门的外网地址需求。所以使用NAT技术，即网络地址转换，增加IP地址的数量。对于外网地址，可为本部和6个二级学院各分配256个IP地址，余下的768个IP地址则用于主干网和科研实验。网络拓扑结构：（1）拓扑结构详细介绍由于整个校园网主机数量已超过1万，属于大型局域网，为可扩展性考虑，采用OSPF路由协议。OSPF覆盖的区域通常分割成几个区域，而区域之间通过一个主干区域area0互联。area1，area2，area3，area4分别覆盖园区1，园区2，园区3，园区4。用万兆光缆连接4个园区，构成校园网核心层。用千兆光缆构建千兆以太网作为各个园区的主干，形成校园网汇聚层，在各个园区内由汇聚交换机连接星形的二层交换网。二层交换网选用百兆光缆作为基本的接入形式。校园网核心层选用万兆交换机互联各个园区网，因为各园区网均采用的以太网技术体系，兼容性好，且相比高速路由器价格便宜。将园区网主交换机与核心交换机通过防火墙相连。各园区子网形成二层网络架构，并使用私有的IP地址块，主干网络使用公有的IP地址块，核心交换机可在内部防火墙与外部防火墙连接处设置自己的非军事区，放置二级学院的网络应用服务器。主干网通过两台外部防火墙，设置非军事区，并与公网相连。网络管理协议选用SNMP。由于网络设备均由思科公司的设备组成，所以SNMP网络管理平台选用CiscoWorks。（2）拓扑图网络地址分配：（1）公网地址分配：对IP地址块/24~/24进行分配，将其分为10*256个IP地址大小的范围。

网络地址子网掩码主机数所属机构所属园区/24254大学本部园区A/24254一院园区A/24254二院园区A/24254三院园区B/24254四院园区B/24254五院园区C/24254六院园区D/24254科研//24254主干网//24254主干网/（2）内网地址分配：各园区子网采用NAT技术，根据RFC1597文档，取一个公网不识别的B类地址进行规划。现在我们取/21进行规划。网络名称网络地址子网掩码主机数所属机构子网0/212046本部子网1/212046一院子网2/212046二院子网3/212046三院子网4/212046四院子网5/212046五院子网6/212046六院路由协议配置：（1）OSPF术语简单介绍：Router-ID：使用IP地址表示，每台OSPF路由器只有一个，可手工指定。LSA：链路状态，即接口的描述信息。如接口的IP地址，子网掩码，网络类型，COST值等。DR（DesignatedRouter）：使用OSPF协议的路由器连接到广播链路时，为减少LSA的数量，选出的核心路由器。同一广播域中所有的OSPF路由器都只和DR互换LSA。BDR（BackupDesignatedRouter）：DR的备份。在DR不可用时，代替DR的工作。DR与BDR在以太网中被要求选举。筛选过程：优先级为0的不参与选举；优先级高的路由器为DR；优先级相同时，以routerID大为DR；BDR次之，作为备份。骨干区域中的路由叫骨干路由（BR-BackboneRouter）；非骨干区域和骨干区域之间相连的路由叫区域边界路由（ABR-AreaBorderRouter）；位于自治系统边界的路由叫自治系统边界路由（ASBR-ASBorderRouter）。交换机主要配置命令：位于area0的2台核心交换机配置如下：SW0#configureterminalSW0(config)#interfacefa0SW0(config-if)#ipaddressSW0(config)#interfacefa1SW0(config-if)#ipaddressSW0(config)#interfacefa2SW0(config-if)#ipaddressSW0(config)#routerospf100SW0(config-router)#router-idSW0(config-router)#55area0SW0(config-router)#55area0SW0(config-router)#55area0SW0(config-router)#ipospfpriority3SW1#configureterminalSW1(config)#interfacefa0SW1(config-if)#ipaddressSW1(config)#interfacefa1SW1(config-if)#ipaddressSW1(config)#interfacefa2SW1(config-if)#ipaddressSW1(config)#routerospf100SW1(config-router)#router-idSW1(config-router)#55area0SW1(config-router)#55area0SW1(config-router)#55area0SW1(config-router)#ipospfpriority2位于各个园区的4台园区主交换机配置如下（以园区A的为例）：SWA#configureterminalSWA(config)#interfacefa0SWA(config-if)#ipaddressSWA(config)#interfacefa1SWA(config-if)#ipaddress//连接大学本部SWA(config)#interfacefa2SWA(config-if)#ipaddress//连接一院SWA(config)#interfacefa3SWA(config-if)#ipaddress//连接二院SWA(config)#routerospf100SWA(config-router)#router-idSWA(config-router)#55area1SWA(config-router)#55area1SWA(config-router)#55area1SWA(config-router)#55area1SWA(config-router)#ipospfpriority0位于各级学院的7台汇聚交换机配置如下（以大学本部的为例）：SWHEAD#configureterminalSWHEAD(config)#interfacefa0SWHEAD(config-if)#ipaddress//连接园区A的核心交换机SWHEAD(config)#routerospf100SWHEAD(config-router)#router-idSWHEAD(config-router)#55area1SWHEAD(config-router)#ipospfpriority0位于各级学院下属系部的若干台二层交换机可能配置如下（以计算机系为例）：Switch#vlandatabaseSwitch(vlan)#vlan2namecs//创建VLAN10名字是cs,表示计算机系的VLANSwitch(vlan)#exit//退出才能生效Switch(config)#intfastEthernet1/1Switch(config-if)#switchportaccessvlan10//把相应的端口划分到相应的VLAN网络安全措施：设置外部访问端口，禁止有危险性的网络服务。设置防火墙把校园内部网络与外网隔离。如果内部用户和外部用户试图通过服务器群访问Internet，将需要从外部网络访问的服务器置于非军事区（DMZ）。从不受信任的外部网络访问这些服务器的用户看不到内部局域网中的资源。局域网用户被视为受信任的用户，他们访问DMZ中的服务器时几乎不受限制。但是，来自内部网络接入层的攻击比外部攻击更普遍，因此在服务器和外部用户以及服务器和内部网络之间都必须部署防火墙和入侵防范系统。结构化综合布线：布线系统是计算机网络系统和电话系统的基础设施。一个建筑群单元网络系统分别由工作区子系统，水平布线子系统，垂直干线子系统，管理子系统，设备间子系统，建筑群子系统组成。设备及材料清单：针对学校现状的具体情况做出的设备及材料选取方案如下：1、位于园区1的网络中心选取支持10000Mbps光缆传输的三层核心交换机2台及三层主交换机1台；2、园区2，园区3，园区4的网络中心各使用支持10000Mbps光缆传输的三层主交换机1台；3、各园区中大学本部及各个二级学院各使用一台支持1000Mbps光缆传输的三层交换机，共7台；4、下属系部中，本部及每个学院40台48口交换机，共280台；5、6台专业防火墙，两台用于构建与公网相连的非军事区，4台用于过滤园区子网；

类型品牌型号功能及其他数量防火墙JuniperSRX240H支持UTM:IPS、反病毒、反垃圾邮件、网页过滤6核心交换机CiscoCatalyst6880-X4个端口卡插槽，交换容量2Tbps，支持158个万兆以太网端口2园区主交换机CiscoCatalyst-6509支持万兆以太网端口，100Gbps背板容量4汇聚交换机CiscoCatalyst-37506个万兆以太网端口，支持48个10/100/1000BASE-TX7二层交换机CiscoCatalyst-356048个10/100BASE-TX端口,2个10/100/1000BASE-T端口，1000Mbps线速无阻塞背板容量280主要传输介质介绍： 包层包层塑料外套纤芯单芯光缆多芯光缆纤芯塑料外