校园网络安全设计文档格式.docx
- 文档编号:105877
- 上传时间:2023-04-28
- 格式:DOCX
- 页数:16
- 大小:119.36KB
校园网络安全设计文档格式.docx
《校园网络安全设计文档格式.docx》由会员分享,可在线阅读,更多相关《校园网络安全设计文档格式.docx(16页珍藏版)》请在冰点文库上搜索。
网络冗余设计
由于大学网络规模巨大、涉及到的用户很多,如果网络特别是骨干网络出现任何的问题将导致很大的不良影响,因此对网络的可靠性和可用性要求很高。
网络的冗余设计除了选择具有冗余设计的网络设备外,网络的冗余设计也十分重要,因此,分校区与主校区之间采用双链路相连,秦皇岛校区和昌黎校区核心层可采用两台核心交换机,汇聚层交换机分别用两条线路接到这两台核心交换机上,即可实现线路的冗余。
网络拓扑设计图
校区拓扑图:
校区网络拓扑:
图26
设备选型
校园网络主干为千兆网络,百兆交换到桌面,保障所有用户同时调用服务资源时都能快速、流畅,充分发挥多媒体课室教学的作用;
同时保证所有用户同时上网顺畅,使校园网络的功能发挥得淋漓尽致。
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco公司的网络设备构建。
全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。
下面就介绍本案例中的设备型号及具体参数、报价等信息:
核心层设备:
CISCOWS-C6509-NEB-A(CISCOWS-C6509-NEB-A)
类别:
交换机 品牌:
CISCO(思科)
参考价格:
¥5.87万[北京]
交换机类:
企业级交换机
应用层级:
四层
传输速率:
10Mbps/100Mbps/1000M
背板带宽:
720Gbps
VLAN支持:
支持
网管功能:
CiscoWorks2000,RMON
包转发率:
387Mpps
网络标准:
IEEE802.3,IEEE802
端口结构:
模块化
交换方式:
存储-转发
产品内存:
512MB
传输模式:
支持全双工
QOS支持:
网管支持:
模块化插:
9
电源电压:
DC,6000;
AC,4000W
产品尺寸:
846×
437×
460
汇聚层设备:
CISCOWS-C3560G-24TS-S(CISCOWS-C3560G-24TS-S)
¥1.5万[北京]
三层
接口介质:
10/100/1000BASE-T/10
端口数量:
24
32Gbps
网管功能SNMP,CLI,
38.7Mpps
MAC地址:
12k
IEEE802.3、IEEE802
非模块化
128MBDRAM和32MB闪
配置形式:
可堆叠
2
100-240VAC(自动适应
接入层设备:
CISCOWS-C2960-48TT-L(CISCOWS-C2960-48TT-L)
¥7000[北京]
智能交换机
二层
10/100Base-T、10/100
48
6.8Gbps
Web浏览器,SNMP,CLI
10.1Mpps
8K
64MB
全双工/半双工自适应
校园网详细设计及实现
VLAN及IP地址规划
在一个大、中型网络里,VLAN的划分是必不可少的步骤之一。
在本校园网设计实例中,将整个网络划分为5个VLAN,具体VLAN和IP地址的划分如下表所示:
表一Vlan及IP地址编址方案
Vlan号
IP网段
网关
说明
Vlan1
192.168.0.0/24
192.168.0.254
管理Vlan
Vlan2
192.168.2.0/24
192.168.2.254
软件楼Vlan
Vlan3
192.168.3.0/24
192.168.3.254
图书馆Vlan
Vlan4
192.168.4.0/24
192.168.4.254
教学楼ABCDE区Vlan
Vlan5
192.168.5.0/24
192.168.5.254
行政楼Vlan
表二交换机IP地址划分方案
交换机名
IP地址
A(S1)
192.168.4.1
教学楼A区交换机1
B(S2)
192.168.4.2
教学楼B区交换机2
C(S1)
192.168.4.3
教学楼C区交换机1
D(S2)
192.168.4.4
教学楼D区交换机2
E(S1)
192.168.4.5
教学楼E区交换机1
C(S2)
192.168.5.1
行政楼交换机
TW(S1)
192.168.3.1
图书馆交换机
交换模块设计
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。
园区网数据交换设备可划分为三个层次:
访问层、分布层、核心层。
交换机配置
以图书馆交换机为例
Switch>
enable
Switch#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Switch(config)#enablepassword123
Switch(config)#linecon0
Switch(config-line)#login
%Logindisabledonline0,until'
password'
isset
Switch(config-line)#linevty04
Switch(config-line)#password123
Switch(config-line)#exit
Switch(config)#vlan1
Switch(config-vlan)#nameADMIN
Switch(config-vlan)#intvlan1
Switch(config-if)#
%LINK-5-CHANGED:
InterfaceVlan102,changedstatetoup
Switch(config-if)#ipadd192.168.3.1255.255.255.0
Switch(config-if)#exit
Switch(config)#vlan2
Switch(config-vlan)#exit
Switch(config-vlan)#nameTSG
Switch(config)#intGig0/1
Switch(config-if)#switchportmodetrunk
Switch(config)#intGig1/1
Switch(config-if)#switchportaccessvlan80
2.配置访问层图书馆交换机的管理IP、默认网关
访问层交换机是OSI参考模型的第2层设备,即数据链路层的设备。
因此,给访问层交换机的每个端口设置IP地址是没意义的。
但是,为了使网络管理人员可以从远程登录到访问层交换机上进行管理,必要给访问层交换机设置一个管理用IP地址。
这种情况下,实际上是将交换机看成和PC机一样的主机。
(config)#intervlan1
(config-if)ipaddress192.168.3.1255.255.255.0
(config-if)#noshutdown
为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关地址192.168.3.254,如图所示。
(config)#ipdefault-gateway192.168.3.254
3.配置访问层交换机的VLAN及VTP
从提高效率的角度出发,在本校园网实现实例中使用了VTP技术。
同时,将分布层交换机设置成为VTP服务器,其他交换机设置成为VTP客户机。
这里访问层交换机将通过VTP获得在分布层交换机中定义的所有VLAN的信息。
#vlandatabase
(vlan)#vtpclient
Devicemodealreadyvtoclient
4.配置访问层交换机端口基本参数
(1)端口双工和速度配置
设置访问层交换机的所有端口均工作在全双工模式。
(config)#interrangefa0/0-15
(config-if-range)#speed100
(config-if-range)#dup
(config-if-range)#duplexfull
5.配置访问层交换机的访问端口
访问层交换机为终端用户提供接入服务。
(config-if-range)#switchp
(config-if-range)#switchportmodeaccess
(config-if-range)#switchportaccessvlan2
设置快速端口
默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶段:
阻塞、侦听、学习、转发。
在能够转发用户的数据包之前,某个端口可能最多要等50秒钟的时间(20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间)。
对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。
为了加速交换机端口状态转化时间,可以设置将某端口设置成为快速端口(Portfast)。
设置为快速端口的端口当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经建立)。
(config-if-range)#spann
(config-if-range)#spanning-treepo
(config-if-range)#spann-treeportfast
6.配置访问层交换机的trunk端口
设置访问层交换机的端口FastEthernet0/0为trunk端口。
7.配置其它访问层交换机
其它访问层交换机分别为剩余VLAN的用户提供接入服务。
同时,它们也通过自己的fa0/0连到分布层交换机的端口上。
这些剩余的访问层交换机其配置步骤、命令与访问层交换机的配置相似。
汇聚层
分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能。
1.配置分布层交换机fenbu1的基本参数
对分布层交换机fenbu1的基本参数的配置步骤与对访问层交换机的基本参数的配置类似。
(config)#enablesecret123
(config)#lineconsole0
(config-line)#exec-timeout510
(config-line)#linevty04
(config-line)#password123
(config-line)#login
(config-line)#exit
(config)#noipdomainlookup
2.配置分布层交换机的VTP
当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的VLAN。
工作量很大、过程很繁琐,并且容易出错。
因此我们常采用VLAN中继协议(VlanTrunkingProtocol,VTP)来解决这个问题。
VTP允许我们在一台交换机上创建所有的VLAN。
然后,利用交换机之间的互相学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。
同时,有关VLAN的删除、参数更改操作均可传播到其他交换机。
从而大大减轻了网络管理人员配置交换机负担。
在本校园网实现实例中使用了VTP技术。
(1)配置VTP管理域
共享相同VLAN定义数据库的交换机构成一个VTP管理域。
每一个VTP管理域都有一个共同的VTP管理域域名。
不同VTP管理域的交换机之间不交换VTP通告信息。
将VTP管理域的域名定义为"
campus"
。
(vlan)#vtpdomaincapus
(2)设置VTP服务器
工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。
同时,还有责任发送和转发VLAN更新消息。
核心模块设计
核心层
1.配置核心层交换机的基本参数
对核心层交换机的基本参数的配置步骤与对访问层交换机的基本参数的配置类似。
基本配置如下:
图320
2.配置核心层交换机core1的管理IP、默认网关
如图所示,显示了为核心层交换机core1设置管理IP并激活本征VLAN。
同时,还设置了默认网关的地址。
Switch(config)#vlan1
Switch(config-vlan)#nameAdmin
Switch(config-if)#noshutdown
图321
3.配置核心层交换机的的VLAN及VTP
在本实例中,核心层交换机也将作为VTP客户机。
这里核心层交换机将通过VTP获得在分布层交换机fenbu1中定义的所有VLAN的信息.
4.配置核心层交换机core1的端口参数
核心层交换机core1通过自己的端口f0/4同广域网接入模块(Internet路由器)相连。
同时,核心层交换机core1的端口fa/0-6分别连到分布层交换机fenbu1和fenbu2的端口。
(config)#interrangefa0/0-6
(config-if-range)#switchportmodetrunk
(config-if-range)noshut
5.配置核心层交换机的路由功能
核心层交换机通过端口FastEthernet0/4同广域网接入模块(Internet路由器)相连。
因此,需要启用核心层交换机的路由功能。
同时,还需要定义通往Internet的路由。
这里使用了一条缺省路由命令:
(config)#iproute0.0.0.00.0.0.0192.168.3.1
6.配置以太信道.
etherchannel特性在switch到switch、switch到router之间提供冗余的、高速的连接方式,简单说就是将两个设备间多条FE或GE物理链路捆在一起组成一条设备间逻辑链路,从而达到增加带宽,提供冗余的目的。
(config)#interrangefa0/0,fa0/6
(config-if-range)#channel-group1modeon
广域网接入模块设计
1.配置接入路由器router的基本参数
对接入路由器router的基本参数的配置步骤与对访问层交换机的基本参数的配置类似。
这里,如图所示,只给出实际的配置步骤,不再给出解释。
图327
3.配置接入路由器router的路由功能
在接入路由器router上需要定义两个方向上的路由:
到校园网内部的静态路由以及到Internet上的缺省路由。
到Internet上的路由需要定义一条缺省路由,如图所示。
其中,下一跳指定从本路由器的接口serial1/0送出。
图329
4.配置接入路由器router上的NAT
由于目前IP地址资源非常稀缺,对不可能给校园网内部的所有工作站都分配一个公有IP(Internet可路由的)地址。
为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。
为了接入Internet,假设本校园网向ISP申请了2个IP地址。
IP地址为:
192.168.0.100/24和192.168.1.100/24被分配给了Internet接入路由器的串行接口NAT的配置可以分为以下几个步骤。
(1)定义NAT内部、外部接口
下图显示了如何定义NAT内部、外部接口。
5、对外屏蔽远程登录
(config)#access-list101denytcpanycptelent
(config)#access-list101permitipany
(config)#interserial0/0
(config)#ipaccess-group101in
6/对外屏蔽其他不安全因素
(config)#access-list101denyicmpanyanyeqecho-request
(config)#access-list101denyudpanyeqecho
(config)#interfaceserial0/0
(config-if)#ipaccess-group101in
(config-if)#interfacef0/0
(config)#noipdirected-broadcast
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园 网络安全 设计