Hola a todos, soy el mayor Xiaohua, un bloguero en el campo de la informática. Después de años de estudio y práctica, he acumulado un rico conocimiento y experiencia en informática. Aquí me gustaría compartir mi experiencia de aprendizaje y mis habilidades contigo para ayudarte a convertirte en un mejor programador.
Como blogger informático, me he centrado en programación, algoritmos, desarrollo de software y otros campos, y he acumulado mucha experiencia en estas áreas. Creo que compartir es una situación en la que todos ganan. Al compartir, puedo ayudar a otros a mejorar su nivel técnico y al mismo tiempo tener la oportunidad de aprender y comunicarse.
En mis artículos, verá mi análisis y análisis de varios lenguajes de programación, herramientas de desarrollo y problemas comunes. Le proporcionaré soluciones prácticas y técnicas de optimización basadas en mi experiencia real en proyectos. Creo que estas experiencias no solo lo ayudarán a resolver los problemas que enfrenta actualmente, sino que también mejorarán su pensamiento en programación y sus habilidades para resolver problemas.
Además de compartir aspectos técnicos, también tocaré algunos temas sobre desarrollo profesional y métodos de aprendizaje. Como ex alumno, sé cómo superarme mejor y afrontar los desafíos en el campo de la informática. Compartiré algunos métodos de aprendizaje, habilidades para entrevistas y experiencias laborales, con la esperanza de tener un impacto positivo en su desarrollo profesional.
Mis artículos se publicarán en la comunidad CSDN, que es una comunidad de tecnología informática muy activa y profesional. Aquí podrás comunicarte, aprender y compartir con otras personas amantes de la tecnología. Si sigue mi blog, podrá obtener mis últimos artículos lo antes posible e interactuar conmigo y con otros lectores.
Si está interesado en el campo de la informática y espera mejorar sus habilidades de programación y su nivel técnico, siga mi blog de CSDN. ¡Creo que lo que comparto te ayudará e inspirará, permitiéndote lograr un mayor éxito en el campo de la informática!
¡Convirtámonos juntos en mejores programadores y exploremos juntos el maravilloso mundo de la informática! ¡Gracias por su atención y apoyo!
Todos los códigos fuente de proyectos informáticos compartidos incluyen documentos y pueden usarse para proyectos de graduación o diseños de cursos. ¡Bienvenido a dejar un mensaje para compartir preguntas e intercambiar experiencias!
Resumen
Con la mejora continua de la informatización en el siglo XXI, es necesario reformar e innovar la forma de educación, y existe una necesidad urgente de mejorar la utilización de los recursos educativos. Como infraestructura que satisface el entorno de enseñanza basada en la información, la red del campus es una parte importante de la construcción de información educativa y se ha convertido en una base importante para la educación basada en la información, la enseñanza en red y la gestión en colegios y universidades. Proporciona una plataforma importante para que profesores y estudiantes obtengan más recursos educativos y enriquezcan los medios educativos, y es un medio importante para lograr una educación de calidad de manera integral. La red del campus compuesta por computadoras, equipos de red y software es un sistema de aplicación integrado que sirve a la educación, la enseñanza y la gestión escolar. Es una red donde todas las computadoras y equipos auxiliares del campus están interconectados y operados. El intercambio de información y recursos se realiza a través de la interconexión de la red de área amplia y la red de ciencia y educación.
Este proyecto se basa en la construcción de la red de la escuela secundaria Yucai en el condado de Fumeng y estudia el uso de tecnologías relacionadas con la red para construir una plataforma de red con rendimiento superior, alta estabilidad y seguridad. Planificar y diseñar desde el diseño de estructuras jerárquicas, diseño de salidas, diseño de direcciones y diseño de seguridad. En este artículo se utiliza tecnología de enrutamiento, tecnología VLAN para LAN virtual, tecnología de traducción de direcciones para ocultar direcciones, tecnología de topología para la planificación de la estructura de la red y tecnología de seguridad de la red. Construya una plataforma de red eficiente y estable. A través de la división de VLAN por dirección de puerto, la configuración de conmutadores de capa de agregación y conmutadores de capa central, la configuración de políticas de firewall, el uso de traducción de direcciones, la configuración de enrutadores de salida, la planificación y configuración de redes inalámbricas y a través del plan de prueba, Se muestra la red diseñada e implementada. La plataforma logró los resultados esperados.
Palabras clave: red de campus; planificación de redes; tecnología de redes
Con la mejora continua del nivel de información en el siglo XXI, es necesario reformar e innovar la forma de educación y mejorar la utilización de los recursos educativos. La red de campus, como infraestructura para satisfacer el entorno de enseñanza basada en la información, es una parte importante de la construcción de la información educativa y una base importante para la educación basada en la información, la enseñanza basada en redes y la gestión en colegios y universidades. Proporciona una plataforma importante para que profesores y estudiantes obtengan más recursos educativos y enriquezcan los medios educativos, y es un medio importante para lograr una educación de calidad de manera integral. La red del campus, que se compone de computadoras, equipos de red y software, es un sistema de aplicación integrado para la educación, la enseñanza y la gestión escolar. Es una red en la que están interconectados y funcionando todos los ordenadores y equipos auxiliares del campus. El intercambio de información y el intercambio de recursos se realizan a través de la interconexión entre la WAN y la red de ciencia y educación.
Este proyecto se basa en la construcción de la red de la escuela secundaria Yucai en el condado de Fumeng y estudia el uso de tecnologías relacionadas con la red para construir una plataforma de red con rendimiento superior, alta estabilidad y seguridad. Desde el diseño de estructura jerárquica, diseño de exportación, diseño de direcciones, planificación y diseño de diseño de seguridad. En este documento, utilizamos tecnología de enrutamiento, tecnología VLAN para VLAN, tecnología de traducción de direcciones para ocultar direcciones, tecnología de topología para la planificación de la estructura de la red y tecnología de seguridad de la red. Construya una plataforma de red eficiente y estable. Según la división de la dirección del puerto VLAN, la configuración del conmutador de capa de convergencia, el conmutador de capa central, la configuración de la política de firewall, el uso de la conversión de direcciones, la configuración del enrutador de salida, la planificación y configuración de la red inalámbrica,
Palabras clave : Red de campus, Planificación de redes, Técnica de redes.
Tabla de contenido
1 Descripción general de la red del campus 1
1.1 Introducción a la escuela 1
1.3 Propósito e importancia de la investigación 1
1.4 Estado de la investigación 2
1.4.1 Estado actual de la investigación extranjera 2
1.4.2 Estado de la investigación nacional 2
2 Análisis de requisitos de red.4
2.1 Análisis de la función de requisitos de la red 4
2.2 Principios de construcción de redes 4
2.3 Objetivos de construcción de la Red. 5
3.1.1 Selección de tecnología de red LAN 6
3.1.2 Selección de topología 6
3.2 Diseño a nivel de red del Campus 7
3.2.1 Diseño de la capa de acceso 7
3.2.2 Diseño de la estructura de la capa central 8
3.2.3 Diseño de capas de agregación 8
3.3 Planificación y diseño de direcciones IP de red 9
3.3.1 Planificación de direcciones IP de red 9
3.3.2 Objetivos y principios de la planificación de direcciones IP de red 9
3.3.3 Diseño de dirección IP de red 10
4.1 Objetivos y principios del diseño ciberfísico 11
4.2.1 Selección del interruptor principal 11
4.2.2 Selección del cambio de capa de agregación 12
4.2.3 Selección del interruptor de acceso 13
4.2.4 Selección del cortafuegos 13
4.3 Diseño integral del cableado de la Red. 14
4.3.1 Principios de diseño del cableado integrado 14
4.3.2 Subsistema de espacio de trabajo 15
4.3.3 Subsistema troncal horizontal 15
4.3.4 Subsistema troncal vertical 16
4.3.5 Subsistema constructivo 16
4.3.6 Subsistema de sala de gestión 16
5Diseño de seguridad de red.17
5.1 Objetivos y principios del diseño de seguridad de la red 17
5.2 Prevención de ataques básicos a la red 18
La escuela secundaria superior Yucai del condado de Fumeng está ubicada en el número 106, Wenhua Road, ciudad de Fuxin, provincia de Liaoning. El área total de la escuela es de 143.368,32 metros cuadrados, el área de construcción es de 57.861,29 metros cuadrados y el área del jardín es de más de 20.000 metros cuadrados. Las aulas están estandarizadas, los dormitorios son apartamentos y hay gimnasios estándar, grandes piscinas y bibliotecas construidas recientemente en los últimos años. Hay salas de informática completas, laboratorios, aulas de electrónica, salas de conferencias, salas de arte, herramientas de enseñanza, instrumentos y equipos experimentales, medicamentos, equipos deportivos y artísticos, libros, periódicos y revistas, todos los cuales cumplen con los estándares. Todo esto requiere una plataforma de red rápida y conveniente para promover la transferencia de información y el intercambio de recursos. La red de campus es la única manera de que una escuela sólida progrese y se desarrolle. No sólo puede mejorar el nivel de enseñanza, sino también brindar comodidad a profesores y estudiantes, y también es un criterio e indicador importante para la evaluación escolar.
El desarrollo de Internet ha cambiado por completo el modelo de vida tradicional y la forma en que todos nos comunicamos entre nosotros. WeChat, QQ, DingTalk, mensajería instantánea, etc. han cambiado la comunicación en el tiempo y en las regiones. El propósito del comercio es más poderoso y las transacciones más sencillas. La aparición de todo tipo de compras online, pagos online y reservas online ha cambiado la forma de negocio. La forma comercial ahora ha cambiado. La aparición de los juegos en línea, los libros electrónicos y la música ha cambiado el estilo de vida de ocio de casi todo el mundo. La mejora de las redes universitarias ha mejorado enormemente la calidad de la enseñanza y la velocidad de vida. Con el rápido desarrollo de la información en red, el intercambio de información, los recursos didácticos y los archivos se pueden compartir en cualquier momento y en cualquier lugar, siempre que exista una red. La red del campus puede poner cursos en línea, lo que permite a los estudiantes aprender y obtener más información en cualquier momento. En comparación con la enseñanza presencial anterior, la enseñanza en línea puede mejorar el nivel de enseñanza, realizar la divulgación de las tareas del campus y crear un mejor ambiente. Los maestros pueden entregar información escolar de los estudiantes a los padres a través de Internet, permitiéndoles a los padres prestar atención al aprendizaje y la vida de los estudiantes en sus teléfonos móviles y computadoras.
Los recursos didácticos en Internet se pueden compartir eficazmente con todos. Permita que todos compartan datos y recursos a través de la red del campus. Puede hacer que el aprendizaje y la comunicación en la escuela sean más convenientes sin gastar más tiempo ni dinero. La red del campus puede reflejar una alta eficiencia. La gestión del campus incluye la gestión administrativa, la gestión docente y la gestión de recursos humanos. La red ha logrado la transmisión de información, el intercambio de recursos y la enseñanza facilitada. A través del intercambio de información en red, se logra la transmisión, recepción e intercambio de recursos de profesores y estudiantes de la escuela, se proporciona una enseñanza eficiente y se proporciona a los estudiantes un mejor entorno de enseñanza y un aprendizaje más conveniente. Mejorar la calidad de la enseñanza. El avance de Internet no sólo rompe con los métodos de enseñanza tradicionales en el aula, sino que también reemplaza los métodos de enseñanza tradicionales, permitiendo a los profesores transferir mejor conocimientos y recursos. La enseñanza debe estar centrada en el estudiante y enfocarse en la calidad y el desempeño de los estudiantes. Nos dedicamos de todo corazón a hacer que los estudiantes se conviertan en talentos y darles una vida mejor.
En Estados Unidos, la construcción de redes de campus comenzó en los años 1980. Después de unos treinta años de desarrollo, con el apoyo y la atención del gobierno nacional, el desarrollo de las redes de campus ha progresado rápidamente. Las funciones que puede realizar la red del campus son muy amplias. En muchas universidades extranjeras no hay ordenadores que no estén conectados a Internet. Todo el mundo tiene una cuenta de Internet, lo que demuestra que los recursos de información de su red son muy ricos. Tomando como ejemplo la Universidad de Harvard, el número de estudiantes, profesores y personal y usuarios de Internet y el número de computadoras conectadas a la red son muy grandes, superando varias veces el número de universidades nacionales. Se puede observar que la red del campus se ha extendido por todo el campus, afectando el trabajo, el estudio y la vida de cada estudiante y cada docente. En la actualidad, la dirección del desarrollo de las redes de campus en las universidades estadounidenses es principalmente aumentar la inteligencia artificial. Al agregar inteligencia artificial, las redes del campus pueden brindar una comodidad sin precedentes para la enseñanza, profundizar la investigación y brindar una sólida protección para la gestión del campus.
Debido al lento desarrollo de la información nacional y al corto tiempo de construcción de la red del campus, la base es relativamente pobre y la velocidad y escala del desarrollo son peores que las de los Estados Unidos. Sin embargo, la construcción de redes de campus universitarios nacionales se está acelerando y la escala y la tecnología de la construcción de redes de campus de universidades nacionales reconocidas han alcanzado el nivel avanzado del mundo. Después de casi dos décadas de desarrollo, la red del campus de la Universidad de Tsinghua ha cubierto todos los rincones del campus, lo que permite a profesores y estudiantes sentir la presencia de la red del campus en todas partes. Hay casi 10.000 usuarios registrados y entre 10.000 y 13.000 personas en línea. La red de campus de la Universidad de Pekín es actualmente la más grande entre las universidades. Hay 47.000 ordenadores conectados a Internet y 25.000 usuarios en línea. El rápido desarrollo de Internet ha provocado que todas las universidades nacionales construyan sus propias redes de campus, sólo para facilitar el entorno de trabajo y estudio de todos. Los estudiantes pueden progresar rápidamente con una mejor educación. Las redes de campus realmente han cambiado el entorno educativo nacional. Con el énfasis y el apoyo del país a la educación, el Ministerio de Educación invertirá 900 millones de yuanes para construir la Red de Campus del Noroeste.
2Análisis de requisitos de red
2.1 Análisis de la función de requisitos de la red
(1) Implementar control de acceso entre la red interna y la red externa, controlar todos los canales entrantes y salientes, no solo filtrar información en la red externa, sino también filtrar solicitudes y diversos datos que los usuarios internos continúan enviando. Enviar o Recibir información consistente con la política de seguridad.
(2) Establecer un análisis de las vulnerabilidades de la red, es necesario monitorear y analizar el comportamiento del usuario y advertir sobre posibles ataques.
(3) La confidencialidad de los diferentes recursos también es diferente. Los documentos confidenciales deben clasificarse para formar una protección jerárquica, y es especialmente importante adoptar una protección y gestión de alto nivel.
(4) Dado que los estudiantes no pueden operar más aplicaciones de software correctamente, se utiliza una gran cantidad de ancho de banda de manera incontrolada. El ancho de banda debe gestionarse de manera sistemática para garantizar un uso adecuado por parte de las aplicaciones críticas.
(5) La capa de acceso es la interfaz que conecta con los usuarios. El conmutador de capa de acceso seleccionado debe tener funciones relativamente completas, como ciertas funciones de control de seguridad, tecnologías de soporte, aislamiento de puertos y prevención de ataques.
(6) La capa central debe cumplir con los requisitos de transmisión de datos de los conmutadores de la capa de acceso.
(7) La red inalámbrica cubre completamente los edificios escolares, bibliotecas, estadios y cafeterías.
(8) Sólo los inicios de sesión autorizados pueden utilizar los recursos de la red. Las redes del campus deben estar equipadas con sistemas antivirus en línea.
2.2 Principios de construcción de redes
(1) El principio de “planificación general e implementación paso a paso”. En la construcción de la red del campus, debe haber un concepto general, comenzando desde el diseño general, planificando cada detalle, considerando completamente las necesidades generales de acuerdo con la situación actual de la escuela y las necesidades de aplicación reales, primero aclarando el análisis de necesidades y basándose en necesidades de aplicaciones reales de la escuela, antes de satisfacer las necesidades reales. En la situación actual, para satisfacer la demanda, también debemos considerar el aumento real en el número de nodos de aplicaciones en el futuro, aumentar el número de nodos y actualizar la red. , etc., y esforzarse por aumentar el número de aplicaciones sin desperdiciar recursos originales. Los nodos son fáciles de agregar, fáciles de actualizar y mantener, y tienen bajos costos de construcción y mantenimiento. En la implementación paso a paso, se cumple el principio desde el centro hasta las sucursales, el proceso de implementación de la red de área local se completa sobre la base del diseño general y se siguen los mismos principios que la planificación general local y se respetan los principios. diseño. Proceso de implementación.
(2) El principio de progreso. Durante el proceso de planificación y diseño, debemos asegurarnos de que la tecnología sea avanzada y con visión de futuro, y que siga siendo competitiva durante años o más de una década. La tecnología de red utilizada en el futuro mantendrá la posición de liderazgo o promoverá el desarrollo futuro de la tecnología, por lo que la tecnología de red avanzada utilizada tiene potencial para el desarrollo futuro y la red del parque necesita una consideración a largo plazo para evitar el uso repetido. invertir.
(3) Principio de escalabilidad. La planificación y el diseño de la red del campus deben establecer una plataforma con integración completa, redes flexibles y redes flexibles. Este nivel debe ser flexible a la hora de planificar y diseñar. A la hora de seleccionar el equipo, se debe elegir equipo de red con buena compatibilidad y escalabilidad. Esté completamente preparado para futuras actualizaciones o ampliaciones de la red.
(4) Principio de unidad. Adherirse al diseño unificado, estándares unificados e implementación unificada en la planificación y diseño de la red, adherirse al diseño unificado desde el todo hasta las partes, adherirse a los estándares unificados en la selección de equipos y adherirse a la implementación unificada de la unificación parcial durante el proceso de implementación.
(5) Principio de madurez. Independientemente de si se utiliza software o hardware, los estándares técnicos utilizados por el equipo de red utilizado deben ser maduros. Mantenga los defectos técnicos o de uso para garantizar la madurez de la red.
(6) Principio abierto. En el diseño del campus se debe considerar la apertura al equipamiento y la tecnología. La selección de equipos puede ser compatible con diferentes topologías y estándares de diferentes fabricantes para lograr una gestión unificada de los equipos.
2.3 Análisis ambiental
A medida que diversas aplicaciones empresariales en el campus se trasladan gradualmente a las redes informáticas, el funcionamiento ininterrumpido de las comunicaciones en red se ha vuelto cada vez más
La clave para garantizar la producción y el funcionamiento normales de las empresas. Las redes empresariales modernas deben centrarse en las pruebas desde tres aspectos del diseño de confiabilidad: primero, el diseño de confiabilidad a nivel de dispositivo, que no solo verifica si el equipo de red ha logrado la redundancia de componentes clave, sino también la arquitectura de diseño general del equipo de red, el tipo. del motor de procesamiento, etc. Copia; en segundo lugar, al diseñar la confiabilidad del negocio, se debe prestar atención a si el equipo de red tiene un impacto en el funcionamiento normal del negocio durante el proceso de conmutación por error; nuevamente, el diseño de confiabilidad del enlace, la seguridad del enlace Ethernet proviene de su ruta múltiple. Por lo tanto, al construir una red empresarial, debe considerar si el equipo de red puede proporcionar métodos efectivos de autorreparación del enlace y soporte de protocolo de reenrutamiento rápido.
En la red del campus, existen varios equipos de red y entornos de aplicaciones de sistemas, y considerando la escalabilidad de los equipos de red, es necesario considerar el rápido crecimiento de los usuarios actuales. Asegúrese de que la red pueda seguir abierta en una red con diversos dispositivos de red y un número cada vez mayor de usuarios. Por lo tanto, la plataforma de red troncal de 10 Gb debe tener buena compatibilidad y escalabilidad, y puede conectarse sin problemas con la red actual del campus. Al mismo tiempo, el espacio reservado puede satisfacer las necesidades de construcción de información actual y futura y tiene suficiente espacio para actualizaciones. Existen múltiples usuarios y múltiples servicios en la construcción de la red del campus. Aporte alta eficiencia a los requisitos del sistema de red para garantizar capacidades de procesamiento efectivas bajo acceso a grandes volúmenes de datos. Los dispositivos deben poder realizar procesamiento distribuido de datos bajo demanda. Este procesamiento distribuido puede ahorrar el consumo del motor de conmutación principal. Los datos se pueden identificar en una placa separada, que es mucho más rápida que una unidad central de procesamiento. Y en aplicaciones de datos a gran escala, durante el proceso de transmisión de datos, se debe garantizar que todos los dispositivos de hardware puedan reenviar rápidamente, deben tener un ancho de banda de placa posterior alto (capacidad de conmutación) y todos los puertos pueden garantizar el reenvío a velocidad de línea. Este procesamiento distribuido puede mejorar en gran medida las capacidades de procesamiento generales y garantizar un flujo de red fluido.
2.4 Análisis de seguridad
En una red de campus, la seguridad de la red del campus es muy importante: los puntos de información de la red del campus están ampliamente distribuidos. En comparación con las redes empresariales generales, los usuarios de las redes de campus son muy móviles y los puntos de información tienen problemas de acceso y uso aleatorios. Los estudiantes y los usuarios externos no identificados pueden encontrar cualquier punto de información en la red del campus y luego pueden ingresar a la red del campus, lo que puede interrumpir e interrumpir el funcionamiento normal de las plataformas de la red del campus y los sistemas de aplicaciones. Además, la seguridad de la red del campus también debe considerar el control de acceso de seguridad entre diferentes sistemas de aplicaciones en la red externa y la red interna. Para poder gestionar las incidencias de forma rápida y eficaz tras un incidente de seguridad, es necesario utilizar la auditoría online. Dado que actualmente los virus tipo "onda explosiva, onda explosiva" están muy extendidos, una red fuerte debería proporcionar los medios necesarios para prevenir la propagación de virus específicos y la congestión del tráfico causada por virus.
2.5 Objetivos de construcción de la red
(1) La red troncal de la red del campus adopta 10 Gigabit y todas las áreas de oficinas y áreas de enseñanza están conectadas a la red del campus, logrando una cobertura total de la red del campus. Interconectar computadoras dispersas en diferentes áreas del campus para formar una red unificada e implementar una red central de 10G y una red de escritorio de 100G.
(2) Construir un campus digital para proporcionar servicios de información convenientes y eficientes y una buena garantía de comunicación para el trabajo de gestión docente de varios departamentos escolares, departamentos de enseñanza, departamentos de partido y masas y departamentos administrativos.
(3) Servicios de docencia e investigación. Tiene las características de gran escala de red, gran cantidad de usuarios, estructura de red compleja y diversos tipos de negocios. La construcción de redes requiere la construcción de sistemas de seguridad de redes para garantizar la seguridad de los recursos públicos y los recursos de datos básicos de las escuelas.
(4) La selección de equipos de red requiere el soporte de protocolos y estándares de protocolo, que pueden interconectarse con la red o la red, prepararse para una transición sin problemas a la red y mantener el avance de la escuela en la enseñanza y la aplicación. Tecnología de red futura.
(5) Teniendo en cuenta la compatibilidad de la red, en futuras ampliaciones de la red aparecerán equipos de red de diferentes fabricantes. Para garantizar la fluidez de la red, elija equipos de red con buena compatibilidad.
3 Diseño de lógica de red
3.1 Selección de tecnología
3.1.1 Selección de tecnología de red LAN
Ethernet tiene las características de una red simple, equipos económicos, gran ancho de banda y alto rendimiento. Es la tecnología LAN más utilizada. En comparación con otras tecnologías LAN, Ethernet tiene las siguientes ventajas: Simplicidad: en comparación con las tecnologías FDDI y ATM, Ethernet es relativamente simple desde los principios técnicos, la instalación y la construcción hasta la administración y el mantenimiento. La adición, reducción y movimiento de nodos de red es muy sencilla y flexible. Fiabilidad: Ethernet utiliza una topología en estrella y los nodos de red se agregan a la red a través de conmutadores de acceso. La falla de cada nodo no afecta el funcionamiento de la red, la falla del enlace de datos solo afecta a una pequeña parte de los nodos de la red y no afecta a toda la red, la confiabilidad es alta. Escalabilidad: la red existente de la escuela utiliza una estructura Ethernet y continúa usando algunos cables y equipos de red actuales. Además, actualizar Ethernet de 100 Mbytes a Gigabit requiere casi sólo actualizar el equipo de red Gigabit a 10 Mbit, lo que hace que las actualizaciones de la red sean muy sencillas. Económico: debido a la aplicación generalizada de Ethernet, todos los fabricantes de redes se están apresurando a producir productos Ethernet. En comparación con los equipos de red FDDI y ATM, la ventaja de precio de los equipos de red Ethernet es muy obvia. Y todas las PC y portátiles utilizan tarjetas Ethernet como configuración predeterminada, y la economía de la tecnología Ethernet es evidente. Manejabilidad: en comparación con otras tecnologías LAN, la tecnología Ethernet es más fácil de entender y aprender, y los técnicos son más fáciles de capacitar. Además, existen muchos software de gestión para Ethernet en el mercado, que también proporcionan condiciones convenientes para la gestión y el mantenimiento de Ethernet. Considerándolo todo, la tecnología Ethernet puede proporcionar una solución relativamente económica, simple, escalable y mantenible. Como solución de red de campus, es muy rentable. En la actualidad, Fast Ethernet puede alcanzar una velocidad de transmisión de 100 Mbps, lo que puede satisfacer plenamente los requisitos de velocidad de acceso de los clientes y puede utilizarse como una solución de capa de acceso. Gigabit Ethernet puede alcanzar una velocidad de transmisión de 1000 Mbps, lo que puede cumplir con los requisitos de velocidad de transmisión de datos de la red troncal y puede utilizarse como una solución de capa de convergencia. Además, la tecnología Ethernet de 10 Gb está relativamente madura, pero aún no se ha utilizado ampliamente por motivos de coste. Si el ancho de banda de la red es insuficiente en el futuro, la red del campus se puede actualizar a Ethernet de 10 Gb local o globalmente actualizando el equipo de red.
3.1.2 Selección de topología
El mapa de topología seleccionado es
3.2 Diseño a nivel de red del campus
La red de campus de la escuela secundaria superior Yucai del condado de Fumeng se basa en el principio de construir un campus digital eficiente y altamente estable para servir a la enseñanza, a los profesores y a los estudiantes. Teniendo en cuenta la construcción y el desarrollo posteriores en la selección de equipos, para evitar la duplicación desperdiciada de inversiones en el futuro, el equipo debe poder soportar las necesidades de acceso futuras cuando la elasticidad de la red crezca. Al mismo tiempo, el equipo de salida puede cumplir con los requisitos en línea del entorno operativo de la famosa escuela y utilizar cobertura inalámbrica en áreas especiales de la escuela. La red del campus escolar adopta un diseño de arquitectura de red de tres capas. Los conmutadores de capa de acceso son responsables del acceso de los usuarios. Los datos del usuario se agregan a través de la capa de agregación del edificio y se reenvían a través de la capa central.
3.2.1 Diseño de la capa de acceso
Proporcione acceso a los usuarios e integre conmutación, seguridad y funcionalidad en la capa de acceso. Los conmutadores Gigabit se utilizan en los equipos de la capa de acceso de las redes del campus para cumplir con los requisitos de rendimiento y evitar interferencias con otros virus a gran escala. La capa de acceso tiene una enorme demanda de puertos densos. Hay dos formas principales de conectar conmutadores: una es apilable y la otra es en cascada. Cascade utiliza pares trenzados ordinarios para conectar los puertos en cascada o los puertos ordinarios de dos conmutadores para lograr la expansión. El apilamiento utiliza cables de apilamiento dedicados o módulos de apilamiento para implementar conexiones de interruptor. El conmutador de capa de acceso utiliza un conmutador inteligente S5120, que admite una velocidad de transmisión de 100/1000 Mbps y un ancho de banda de backplane de 192 Gbps, cumpliendo con los requisitos de ancho de banda de la capa de acceso. Admite división de VLAN y múltiples métodos de autenticación.
3.2.2 Diseño de la estructura de la capa central
El conmutador de agregación utiliza un conmutador de capa de agregación S5800, que puede admitir la capacidad de transmisión de 10 puertos Gigabit. El S5800 es un conmutador Ethernet de 10 Gb. El método de intercambio es almacenar y reenviar. La velocidad de transmisión es de 10 Mbps/100 Mbps/1000 Mbps. La función principal del reenvío de paquetes de datos es enrutar paquetes de datos desde la capa de agregación para lograr una conmutación de paquetes de datos de alta velocidad. En el diseño de la capa central, en la capa de agregación y la capa de acceso se implementan tecnología de intercambio de datos de alta velocidad, tecnología de enrutamiento debilitado y estrategias de control de red, como el filtrado de datos y el procesamiento QQS. Para garantizar la capacidad de conmutación de alta velocidad de la capa central, se debe reducir la complejidad de la capa central y el tiempo de retardo de conmutación. En la planificación y el diseño de redes, la capa central es la parte principal. Al seleccionar equipos, se deben utilizar equipos con alta confiabilidad y estabilidad para garantizar sus capacidades de reenvío de alta velocidad. Por lo tanto, teniendo en cuenta el alto grado de flexibilidad y escalabilidad en el futuro, se utilizarán dispositivos con núcleo de 10 Gigabit en la red de la escuela.
La función principal de la capa central es enrutar paquetes desde la capa de agregación y permitir la conmutación de paquetes de alta velocidad. La conmutación de alta velocidad en la red del campus es la tarea principal de la red troncal central y el enrutamiento es relativamente simple. Para evitar la complejidad de la configuración del enrutamiento de la capa central, la capa central debe elegir una arquitectura de red de "conmutación fuerte y enrutamiento débil" e intentar asignar otras tareas (como el filtrado de paquetes) a otras capas. La capa central de la red es el núcleo de toda la red del campus de la escuela secundaria superior Yucai del condado de Fumeng. Ésta es la base del trabajo escolar. Finalmente, el equipo en cada área se conecta al equipo central y la fibra gigabit descendente se utiliza para conectar el conmutador de agregación para formar una red troncal de reenvío de alta velocidad sin bloqueo de 10 gigabit.
El equipo principal adopta el conmutador de arquitectura de conmutación multicapa y multiplano S7508E-X. El conmutador S7508E-X tiene buenas capacidades de control para garantizar un funcionamiento estable y eficiente del equipo. El módulo empresarial de conmutador central utiliza LSQ1TGS8SC0 y tiene ocho interfaces de fibra óptica SPF de 10 Gigabit. La capacidad de toda la máquina es de 3,84 Tbps, la velocidad de reenvío de paquetes IPV4 es de 1920 Mbps y la cantidad de ranuras de servicio es 8. Los conmutadores centrales se instalan en el centro de configuración de red, utilizando motores duales, configuraciones de fuente de alimentación dual y dispositivos de capa de agregación conectados a dispositivos de capa central con un ancho de mercado de Gigabit/Diez. El equipo de la capa central completa principalmente el reenvío de datos, configura las direcciones IP correspondientes en el equipo de la capa central y divide las VLAN. Conecte cada capa de agregación por separado.
3.2.3 Diseño de capa de agregación
El equipo clave heredado de arriba, al tiempo que garantiza que puede transportar de manera confiable el acceso a servicios de información en ráfagas de alto nivel de capa inferior, también debe cumplir con los requisitos de los enlaces centrales de gran ancho de banda para garantizar la alta calidad y eficiencia de la conmutación de red. Tramitación de cada solicitud docente. El control de identificación inteligente también se agrega a la capa de agregación, lo que permite a los administradores comprender y comprender la red actual.
El conmutador de agregación utiliza un conmutador de capa de agregación S5800, que puede admitir la capacidad de transmisión de 10 puertos Gigabit. El S5800 es un conmutador Ethernet de 10 Gb. El método de intercambio es almacenar y reenviar. La velocidad de transmisión es de 10Mbps/100Mbps/1000Mbps, la velocidad de reenvío de paquetes es de 156Mpps y la capacidad de conmutación es de 360Gbps. , admite administración WEB, admite SNMPv1/v2/v3 y admite el estándar de red IEEE802.3u. Admite puertos, protocolos, direcciones MAC, subredes IP y otros métodos de división de VLAN. Admite enrutamiento estático, RIP, OSPFv2 y otros protocolos de enrutamiento. Los conmutadores de capa de agregación desempeñan un papel en la herencia de la arquitectura de tres niveles de la red del campus escolar. Al tiempo que garantiza el alto ancho de banda de los datos de enlace ascendente 10G, también garantiza la transmisión de tráfico de datos en ráfaga en la capa de acceso cuando se agrega para garantizar su confiabilidad y disponibilidad.
3.3 Planificación y diseño de direcciones IP de red
3.3.1 Planificación de direcciones IP de red
Los enrutadores y las capas centrales, las capas de agregación y las capas de acceso requieren soporte, lo que proporciona las condiciones para la escalabilidad y flexibilidad de la red del campus. En la planificación y el uso actuales de la construcción de la red del campus, todavía se utilizan direcciones. Al planificar la dirección, se divide según el área del campus. La red del campus está dividida en múltiples áreas por función o región, lo que facilita su implementación y gestión en términos de funcionalidad y escalabilidad durante el proceso de planificación de direcciones. Dependiendo de las capacidades de las computadoras en línea o del número y tipo de direcciones de computadora del área. La asignación de direcciones debe basarse en la topología y la flexibilidad de la red. Durante la planificación de direcciones, los segmentos y rangos de direcciones relevantes deben configurarse junto con los departamentos para facilitar la gestión. Durante el mantenimiento y la gestión de la red, es fácil de gestionar y solucionar problemas. Las direcciones de redes inalámbricas utilizan el principio de proximidad para implementar la planificación de direcciones.
3.3.2 Objetivos y principios de la planificación de direcciones IP de red
Los objetivos de la planificación de direcciones IP son: aprovechar al máximo los recursos de direcciones IP redundantes; establecer enrutamiento de red con excelente eficiencia; promover el desarrollo de la red.
Los principios de la planificación de direcciones IP son:
- Simplicidad: la asignación de direcciones IP debe ser sencilla y evitar máscaras más complejas en las redes principales.
- Continuidad: Asignar una serie continua de direcciones a un área de red para aumentar la velocidad de procesamiento del enrutador.
- Escalabilidad: Las direcciones asignadas a un área de red deben tener una cierta capacidad para asegurar la continuidad de las direcciones cuando el número de terminales aumente aún más en el futuro.
- Manejabilidad: se debe priorizar la planificación de direcciones y los cambios en las direcciones en un área determinada no deben afectar la situación general.
- Seguridad: las direcciones de red deben planificarse en diferentes segmentos de red según el contenido del trabajo para la gestión.
3.3.3 Diseño de dirección IP de red
Para las redes cableadas de campus, los administradores de red suelen utilizar VLAN para dividir dominios de transmisión y diferenciar grupos de usuarios.
La siguiente es la asignación de direcciones IP y la división VLAN de la escuela , como se muestra en la Tabla 3-1 :
| número de VLAN |
rango de direcciones de red |
máscara de subred |
edificio |
| VLAN10 |
192.168.10.0~192.168.10.254 |
255.255.255.0 |
Edificio de enseñanza integral |
| VLAN20 |
192.168.20.0~192.168.20.254 |
255.255.255.0 |
Apartamento de estudiantes 1 |
| VLAN30 |
192.168.30.0~192.168.30.254 |
255.255.255.0 |
Apartamento de estudiantes 2 |
| VLAN40 |
192.168.40.0~192.168.40.254 |
255.255.255.0 |
Apartamento de estudiantes 3 |
| VLAN50 |
192.168.50.0~192.168.50.254 |
255.255.255.0 |
Apartamento de estudiantes 4 |
| VLAN60 |
192.168.60.0~192.168.60.254 |
255.255.255.0 |
Apartamento de estudiantes 5 |
| VLAN70 |
192.168.70.0~192.168.70.254 |
255.255.255.0 |
Apartamento de estudiantes 6 |
| VLAN80 |
192.168.80.0~192.168.80.254 |
255.255.255.0 |
Apartamento de estudiantes 7 |
| VLAN90 |
192.168.90.0~192.168.90.254 |
255.255.255.0 |
Apartamento de profesores 1 |
| VLAN100 |
192.168.100.0~192.168.100.254 |
255.255.255.0 |
Apartamento de profesores 2 |
| VLAN110 |
192.168.110.0~192.168.110.254 |
255.255.255.0 |
Apartamento de profesores 3 |
| VLAN120 |
192.168.120.0~192.168.120.254 |
255.255.255.0 |
cantina |
| VLAN130 |
192.168.130.0~192.168.130.254 |
255.255.255.0 |
Centro Cultural y Deportivo |
| VLAN140 |
192.168.140.0~192.168.140.254 |
255.255.255.0 |
biblioteca |
| VLAN150 |
192.168.150.0~192.168.150.254 |
255.255.255.0 |
edificio de arte |
| VLAN160 |
192.168.160.0~192.168.160.254 |
255.255.255.0 |
servidor |
Tabla 3.1 Asignación de direcciones IP escolares y división de VLAN
4Diseño ciberfísico
4.1 Objetivos y principios del diseño ciberfísico
En la etapa de diseño físico de la red, las instalaciones de hardware seleccionadas deben poder cumplir con los requisitos básicos de rendimiento del diseño lógico, y también se deben considerar factores como la escalabilidad, redundancia, estabilidad y disponibilidad del dispositivo. El dispositivo también requiere una gran operatividad. Una función. Al planificar el trazado de la ruta, es necesario tener en cuenta la creciente demanda durante los próximos 20 años y poder adaptarse completamente a las condiciones de desarrollo en el próximo período. Si no está seguro de algo, es necesaria una inspección completa in situ.
4.2 Selección de equipo
4.2.1 Selección del interruptor central
Los conmutadores de capa central deben considerar principalmente las capacidades de conmutación y la confiabilidad, por lo que se deben seleccionar productos sin un único punto de falla.
Después de una consideración exhaustiva, se seleccionó Huawei Quidway S9306 como el conmutador central de la red del campus de la escuela secundaria Yucai en el condado de Fumeng. Quidway S9306 adopta un diseño modular, admite 6 ranuras de servicio, tiene un ancho de banda de backplane de 6 Tbps, una velocidad de reenvío de paquetes de 1152 Mpps y un solo dispositivo admite 240 puertos de 10 Gigabit, lo que actualizará la capa central de la red del campus a 10G en el futuro. futuro Proporcionar posibilidades. Los conmutadores Quidway de la serie S9300 brindan alta confiabilidad de nivel de operador. El controlador principal, la fuente de alimentación y otros componentes clave están diseñados para la redundancia y todos los componentes admiten el intercambio en caliente. Por lo tanto, cuando la red está congestionada, se pueden reducir las interrupciones del servicio, se pueden realizar actualizaciones del servicio sin pérdidas, se puede respaldar la detección completa de operación y mantenimiento y la gestión del rendimiento, y se pueden recopilar estadísticamente retrasos en la transmisión de datos, fluctuaciones del sistema y otros parámetros para monitorear la red. Tráfico y averías en tiempo real.Posicionamiento rápido. Además, el S9306 también admite tarjetas de controlador inalámbrico (AC), que admiten la selección automática de canales de transmisión y fuentes de energía cuando los puntos de acceso inalámbricos (AP) están en línea, y ajustan automáticamente los canales o fuentes de energía cuando la información entra en conflicto. Cuando están en roaming a través de puntos de acceso, los dispositivos inalámbricos cambian rápidamente y el AC inalámbrico tiene un modo de espera en frío uno a uno, uno a muchos y una carga equilibrada para mejorar la confiabilidad. El conmutador Huawei Quidway S9306 se muestra en la Figura 4.2.1
4.2.1 Conmutador Huawei Quidway S9306
4.2.2 Selección de cambio de capa de agregación
Los conmutadores de agregación agregan y reenvían el tráfico que accede al conmutador. Además del ancho de banda del backplane, el tipo de interfaz debe coincidir con la interfaz ascendente del conmutador de acceso. Se debe admitir la agregación de enlaces, el enrutamiento entre VLAN y las políticas de seguridad correspondientes.
La escuela secundaria Yucai en el condado de Fumeng eligió Huawei Quidway S5700-28C-EI-24S como su conmutador de agregación. Este conmutador es un conmutador de capa 3. En términos de interfaces, este modelo proporciona 24 puertos 100/1000Base-X y 4 puertos combinados Gigabit 10/100/1000Base-T para cumplir con los requisitos de entrada de enlace ascendente de enlaces multifibra de conmutadores de agregación; en términos de compatibilidad con VLAN, admite valores predeterminados. VLAN, VLAN de flujo de voz, segmentación de VLAN basada en direcciones MAC, subredes inteligentes, políticas, puertos y conmutación de VLAN uno a uno y uno a muchos. Puede satisfacer las necesidades de gestión de conmutadores de acceso, como la agregación y el enrutamiento de VLAN; en la gestión de redes, admite apilamiento, configuración de inicio de sesión remoto, protocolos simples de gestión de redes, gestión de clústeres y control de velocidad de paquetes de transmisión y recepción de puertos. En términos de gestión de seguridad, admite gestión de roles de usuario y protección con contraseña, denegación de servicio, resolución de direcciones, prevención de ataques ICMP, dirección IP, dirección MAC, número de puerto, enlace de combinación de VLAN, aislamiento de puertos y 802. Limitar la cantidad de usuarios en un solo puerto cumple completamente con los requisitos de conexión y administración de la capa de convergencia de la escuela secundaria Yucai del condado de Fumeng.
El conmutador Huawei Quidway S5700-28C-EI se muestra en la Figura 4.2.2.
Figura 4.2.2 Conmutador Huawei Quidway S5700-28C-EI
4.2.3 Selección del interruptor de acceso
Los conmutadores de capa se ocupan principalmente de los costos de acceso y deberían proporcionar alta densidad de puertos y escalabilidad. Además, debe proporcionar funciones simples de gestión de red (por ejemplo: determinación de VLAN, enlace MAC, control de flujo, etc.).
Teniendo en cuenta una variedad de factores, el conmutador Quidway S2700-EI (AC) de Huawei fue seleccionado como conmutador de acceso para la escuela secundaria Yucai en el condado de Fumeng. El conmutador proporciona 24 puertos 10/100Base-TX, 2 puertos combinados Gigabit, apilable, ancho de banda de plano posterior de 3 Gbps, velocidad de reenvío de paquetes de 6,6 Mpps, admite división de VLAN basada en puertos y direcciones MAC, admite enlace de combinación de IP, MAC, puerto y VLAN , admite límite de velocidad de puerto y límite de velocidad de flujo, admite agregación de puertos, admite Telnet, SSH, admite sistema de autenticación de acceso telefónico remoto Radius, admite control de acceso a la red NAC y limita la cantidad de usuarios que pueden acceder a cada puerto.
El conmutador Huawei Quidway S2700-EI se muestra en la Figura 4.2.3.
Figura 4.2.3 Conmutador Huawei Quidway S2700-EI
4.2.4 Selección de cortafuegos
El firewall está ubicado en la entrada de la red del campus y se utiliza para controlar el acceso del tráfico interno a la red interna y el acceso del tráfico externo a los recursos del campus. La ubicación y la función de un firewall determinan su importancia. La selección de un firewall debe considerar completamente su confiabilidad, rendimiento, número de conexiones simultáneas, número de nuevas conexiones por segundo, funciones de control de acceso, detección de estado basada en flujo, monitoreo de software de aplicaciones y funciones de prevención de ataques.
Teniendo en cuenta varios factores, el firewall de red del campus de la escuela secundaria Yucai del condado de Fumeng utiliza Huawei USG5150, que es un dispositivo montado en bastidor de 3U con un diseño modular. La configuración estándar es un puerto combinado 4GE, 4 ranuras de expansión MIC, 2 ranuras de expansión FIC y una ranura de expansión DFIC, que pueden adaptarse de manera flexible a los cambios en la estructura de la red. Utilizando procesadores multinúcleo avanzados y mecanismos de procesamiento paralelo de subprocesos múltiples, el rendimiento es tan alto como 4 Gbps, la cantidad máxima de conexiones simultáneas es 2 millones y la cantidad de conexiones nuevas es 40,000 por segundo, lo que puede reducir efectivamente la latencia de la red y mejorar la experiencia del usuario. Admite varias formas de acceso VPN y puede lograr fácilmente acceso remoto. Además, el USG5150 integra tecnología avanzada de Symantec e IPS y antivirus para proporcionar capacidades de escaneo de paquetes de red eficientes y precisas. También cuenta con capacidades antivirus eficientes y precisas contra virus ocultos en el tráfico. El conocimiento de las aplicaciones garantiza un control granular del tráfico de la red y garantiza el ancho de banda central y empresarial. El filtrado de URL, el filtrado de palabras clave de los motores de búsqueda y el filtrado de palabras clave de la página pueden estandarizar el comportamiento de acceso a Internet de la intranet y cumplir plenamente con los requisitos de gestión y protección del tráfico de la red del campus.
La Figura 4.2.1 muestra la apariencia del firewall USG5150 de Huawei.
Figura 4.2.1 Cortafuegos USG5150
4.3 Diseño integral del cableado de la red.
4.3.1 Principios de diseño del cableado integrado
El tendido de líneas de red es un aspecto importante que determina el funcionamiento normal de la red. Debe cumplir con los estándares industriales relevantes, estar estandarizado, estandarizado y escalable, y garantizar el funcionamiento confiable de la red del campus. El cableado integral de la escuela secundaria Yucai en el condado de Fumeng se divide en subsistema de área de trabajo, subsistema horizontal, subsistema vertical, subsistema de gestión y subsistema de construcción.
4.3.2 Subsistema de espacio de trabajo
El subsistema del espacio de trabajo consta de un conector de mensajes y un puente desde el terminal de usuario al conector de mensajes. Incluye un módulo de datos, un panel de información, una tarjeta de interfaz de red y un puente. Es decir, la toma de información se instala en la pared o en el suelo en el área de acceso al punto de información, y la toma de teléfono y el cable de red pueden salir a través de la toma de información. Según el número de puntos de información en el área, los enchufes de información utilizan paneles de pared de 1/2/4 puertos, y los paneles deben estar equipados con dispositivos a prueba de polvo. Todos los módulos de mensajería utilizan seis tipos de módulos de mensajería que son compatibles con Gigabit Ethernet. La secuencia de cableado del módulo de información sigue el estándar TIA/EIA 568B. Cada tomacorriente se puede conectar a computadoras y equipos de oficina, como teléfonos, máquinas de fax e impresoras. Cada interfaz de salida del zócalo de información debe estar equipada con una etiqueta obvia y fácilmente reemplazable para numerar el puerto de salida de información para facilitar el mantenimiento. El color de la etiqueta distingue si el puerto de información es un puerto de voz o un puerto de datos. Los enchufes de información en el área de trabajo deben instalarse en la pared o estación de trabajo, y el borde inferior del panel de información debe estar a 30 cm del suelo. Cerca de la toma de información debe haber una toma de corriente de 220 V para el uso de equipos de información. Para evitar fuertes interferencias electromagnéticas, según la normativa ISO11801, la distancia entre las tomas de información y las tomas de corriente potentes no debe ser inferior a 20 cm.
4.3.3 Subsistema troncal horizontal
El subsistema horizontal consta de cables que van desde el armario de cableado del piso hasta el subsistema del área de trabajo. El cableado del subsistema horizontal es pesado, no se puede actualizar ni reemplazar fácilmente y es permanente. Por tanto, se debe considerar el exceso y el desarrollo. El diseño también tiene en cuenta factores como las necesidades de acceso a equipos a corto y largo plazo, el número y ubicación de los puntos de información en cada piso y en cada sala, el posible movimiento de los puntos de acceso a la información y las previsiones de modificaciones. La selección de la sala de cableado debe ubicarse en el centro del piso tanto como sea posible, lo que no solo ahorra cables, sino que también logra mejores efectos de transmisión. Para plantas con pocos puntos de información o edificios con luces pequeñas, no es necesario instalar una sala de cableado en cada planta. Se puede compartir una habitación entre dos o tres pisos, pero se debe instalar al menos un armario de cableado en cada edificio. En determinadas áreas (como pasillos de dormitorios de estudiantes, edificios de enseñanza, pasillos de edificios de oficinas, parques infantiles u otros espacios abiertos al aire libre), los cables de red inalámbrica deben estar equipados en la sala de cableado de cada piso y conectados a dispositivos inalámbricos a través de paneles de conexión. La longitud máxima de los pares trenzados en los subsistemas horizontales no puede exceder los 90 metros y asegúrese de que no menos de 10 metros de longitud de cable se asignen a los puentes del área de trabajo y se asignen paneles de conexión a los puentes de los interruptores. La gestión de ingeniería del subsistema horizontal de la red del campus de la escuela secundaria Yucai en el condado de Fumeng se coloca con puentes de PVC y canales de alambre, y los puentes se instalan sobre el techo del corredor.
4.3.4 Subsistema troncal vertical
El subsistema vertical se utiliza para realizar la conexión entre la sala de cableado principal del edificio y la sala de cableado de tierra. Desde la sala de cableado principal hasta la sala de cableado de cada piso, se utiliza fibra óptica multimodo interior de 6 núcleos para acceder al enlace de datos desde el conmutador al conmutador de agregación. La cantidad de pares grandes de núcleos de cable se establece de acuerdo con la cantidad de puntos de acceso a puntos de voz en la sala de cableado del piso, y se deja una cantidad adecuada. Los cables del subsistema vertical están ubicados en el eje de corriente débil. Para reducir las interferencias electromagnéticas y evitar que los cables se aflojen, el canal para cables debe ser un canal para cables metálico con una cubierta que se pueda atar al cable. La tasa de ocupación de espacios debe controlarse dentro del 50% para permitir una futura expansión.
4.3.5 Subsistema de construcción
Los subsistemas de construcción son el cableado entre las salas de ordenadores y los edificios de la red. Esta sección puede basarse en la topografía, como cables aéreos, cables directamente enterrados o cables dentro de conductos de dirección. La construcción elevada es de bajo costo pero no proporciona protección mecánica y afecta la apariencia del edificio. No se recomienda utilizar muchos trucos. La rosca interna de la tubería proporciona la mejor protección mecánica, y el tendido y extensión del cable es relativamente fácil, pero si no existe tubería existente, el costo de instalación será mayor. La Universidad Tecnológica de Liaoning puede conectar dos edificios cualesquiera a través de tuberías de calefacción en el campus, por lo que los cables ópticos exteriores entre edificios se pueden colocar en el suelo. Dado el considerable coste que supone el tendido de tuberías en zanjas, las tuberías se colocaron y aseguraron sin protección mediante amarres.
4.3.6 Subsistema de sala de gestión
El subsistema de gestión está ubicado en el armario de cableado del piso de la sala de ordenadores de la red, en el armario de cableado principal y en los armarios del edificio. El cable del punto de información de voz se conecta al módulo de información RJ45 tipo 6 y se instala en el cuadro de distribución del punto de información. El marco de distribución del punto de información de voz está conectado al marco de distribución del número de extensión a través de puentes. El panel de conexión de extensión está conectado a una gran cantidad de cables a través del panel de conexión 110. El cable del punto de información de datos también se puede reproducir en seis módulos de información RJ45 e instalar en el panel de conexión del punto de información. El marco de distribución del punto de información de datos se conecta al conmutador de acceso a través de puentes, y luego el conmutador de acceso se conecta al conmutador de agregación a través de enlaces ascendentes de fibra. La fibra óptica debe empalmarse al marco de distribución de fibra y luego conectarse al puerto ascendente del conmutador mediante puentes. Todas las líneas están conectadas a los módulos de información correspondientes y instaladas en los cuadros de distribución correspondientes. Los marcos de distribución de datos y los marcos de distribución de fibra óptica se instalan en gabinetes. Al mismo tiempo, debe haber suficiente espacio en la máquina para instalar equipos de red.
5 Diseño de seguridad de red
5.1 Objetivos y principios del diseño de seguridad de la red
La ciberseguridad es el proceso de protección contra diversas amenazas externas e internas para garantizar la seguridad de la red. Objetivos del diseño de seguridad de la red: identificar equipos y recursos de datos para garantizar la integridad; realizar una evaluación de amenazas de toda la red para garantizar la confidencialidad, integridad y disponibilidad de los datos; utilizar la confidencialidad, integridad y disponibilidad de los datos para poner en riesgo la evaluación de la red.
Principios del diseño de seguridad de la red:
(1) Principio de barril
El principio de los depósitos es proteger la información de manera uniforme y completa. Dado que la capacidad máxima del cañón de un arma depende del trozo de madera más corto, un atacante inevitablemente atacará la parte más débil del sistema. Por lo tanto, el análisis, la evaluación y la detección integrales, integrales y completos de las vulnerabilidades y amenazas de seguridad del sistema son condiciones necesarias para el diseño de la seguridad de la red.
(2) Principio de integridad
Cuando la red es atacada o dañada, la red del campus necesita restaurar los servicios del centro de información de la red lo antes posible para reducir las pérdidas. Por lo tanto, la red debe incluir mecanismos de protección de la seguridad, mecanismos de monitoreo de la seguridad y mecanismos de recuperación de la seguridad.
(3) Principio de equilibrio y evaluación de seguridad
Para cualquier red, la seguridad absoluta es difícil de lograr e innecesaria, por lo que es necesario establecer un sistema razonable y práctico de evaluación y equilibrio de las necesidades del usuario y la seguridad. El diseño de sistemas de seguridad requiere el correcto manejo de la relación entre requisitos, riesgos y costos, así como la integración de seguridad y disponibilidad. Evaluar si la información es segura sólo puede depender de las necesidades del usuario del sistema y del entorno de aplicación específico, que depende del tamaño y alcance del sistema, la naturaleza del sistema y la importancia de la información.
(4) Principios de estandarización y coherencia.
La construcción de la red de campus es un proyecto relativamente complejo. El diseño de seguridad de su red debe cumplir con un conjunto de estándares para garantizar la coherencia entre los subsistemas, de modo que todo el sistema pueda interconectarse y compartir información de forma segura.
(5) Principios de planificación general e implementación paso a paso
Bajo la influencia de varios factores, la protección de la seguridad de la red no se puede lograr en un solo paso, sino que primero se debe establecer un sistema de seguridad básico bajo un plan de seguridad más integral basado en las necesidades reales de la red para garantizar la seguridad básica y necesaria. A medida que las redes crecen en tamaño y número de aplicaciones, y las aplicaciones de red y la complejidad cambian, la vulnerabilidad de las redes seguirá aumentando. Ajuste o mejore la protección de seguridad para garantizar los requisitos de seguridad más básicos para toda la red.
5.2 Prevención de ataques básicos a la red
Hay muchos virus de red y ataques de red en la red que pueden causar pérdidas impredecibles en la red, por lo que debemos protegernos contra estos peligros potenciales.
(1) Prevención de virus de red comunes
Si encuentra virus de red que son muy dañinos para su red, puede implementar ACL extendidas para evitar los puertos TCP y UDP utilizados por estos virus. Si un usuario se infecta accidentalmente con este virus, no afectará a otros usuarios de la red, garantizando así el uso razonable del ancho de banda de la red del campus.
(2) Prevención de virus de red desconocidos
Si encuentra un virus de red no reconocido, puede implementar funciones de control de ancho de banda basadas en el tipo de flujo de datos en la red para especificar diferentes anchos de banda de red para diferentes aplicaciones de red, asegurando así que algunas aplicaciones más críticas tengan suficiente ancho de banda. La aparición de virus no afectará el funcionamiento de las principales aplicaciones de la red, lo que garantiza una alta disponibilidad de la red.
(3) Prevención del robo de direcciones IP y ataques ARP
Realice una inspección en profundidad de cada paquete ARP, es decir, verifique si la dirección IP de origen y la dirección MAC en el paquete ARP son las mismas que las reglas de seguridad del puerto. Si no son iguales, se cambia la dirección IP y todos los paquetes no pueden ingresar a la red. El uso de este método puede prevenir eficazmente la suplantación de ARP en puertos seguros y evitar que puntos de información ilegales se hagan pasar por la IP de dispositivos clave de la red, provocando un caos en la comunicación de la red.
(4) Prevenir ataques iniciados por IP y MAC falsos
Se pueden instalar IP, MAC, enlace de puerto y enlace IP + MAC. E implemente la función antiinspección de puertos para rastrear la IP de origen, el acceso a MAC y los usuarios malintencionados. Evite eficazmente ataques a la red falsificando direcciones IP/MAC de origen, mejorando aún más la seguridad de la red.
(5) Proteger ataques de DOS y ataques de escaneo
Se pueden llevar a cabo ataques anti-DOS y ataques de escaneo en las redes del campus, lo que puede evitar eficazmente dichos ataques, ahorrar ancho de banda de la red y evitar las interrupciones de la red causadas por dichos ataques en dispositivos y servidores de red.
5.3 Diseño de cortafuegos
(1) Configure la interfaz y coloque el firewall en la salida. Un lado está conectado al conmutador central y el otro lado está conectado a la red externa para monitorear la red externa y proteger la red interna.
[FW]interfaz bucle invertido 0
[FW-LoopBack0]dirección IP 1.1.1.1 32
[FW-LoopBack0]salir
[FW]interfaz GigabitEthernet1/0/0
[FW-GigabitEthernet1/0/0]dirección ip 202.1.1.1 24 //Configurar la dirección IP de la interfaz conectada a la red externa ISP1
(2) Agregue la interfaz que se conecta a la red interna a la zona de seguridad y agregue la interfaz que se conecta a la red externa a la zona que no es de seguridad.
[FW]confianza en la zona del firewall
[FW-zone-trust]agregar interfaz GigabitEthernet0/0/0 //Agregar GigabitEthernet0/0/0 conectado a la intranet a la zona de seguridad
[FW-zone-trust]salir
[FW] zona de firewall desconfiada
[FW-zone-untrust]agregar interfaz gigabitethernet 1/0/0 //Agregar interfaz gigabitethernet 1/0/0 conectada al ISP1 a la zona sin seguridad
[FW-zone-untrust]salir
(3) Configure políticas de seguridad para permitir que los usuarios de la red interna accedan a la red externa y permitir que los usuarios de la red externa accedan al servidor HTTP.
[FW]política-de-seguridad
[FW]-policy-security]nombre de regla trust_to_untrust //Permitir que los usuarios de la red interna accedan a la red externa
[FW-police-security-rule-trust_to_untrust]confianza en la zona de origen
[FW-police-security-rule-trust_to_untrust]zona de destino desconfianza
[FW-police-security-rule-trust_to_untrust]dirección-fuente 192.168.58.0 24
[FW-police-security-rule-trust_to_untrust]dirección-fuente 192.168.24.0 24
[FW-police-security-rule-trust_to_untrust]dirección-fuente 192.168.21.0 24
[FW-police-security-rule-trust_to_untrust]dirección-fuente 192.168.6.0 24
[FW-police-security-rule-trust_to_untrust]dirección-fuente 192.168.16.0 24
[FW-police-security-rule-trust_to_untrust]permiso de acción
[FW-police-security-rule-trust_to_untrust]salir
[FW-policy-security]nombre de regla untrust_to_trust
[FW-police-security-rule-untrust_to_trust]zona de origen desconfianza
[FW-police-security-rule-untrust_to_trust]confianza en la zona de destino
[FW-police-security-rule-untrust_to_trust]dirección-destino 192.168.120.0 24
[FW-police-security-rule-untrust_to_trust]permiso de acción
[FW-police-security-rule-untrust_to_trust]salir
6Prueba de simulación de red
6.1 Diagrama de topología de prueba de simulación
La prueba de simulación basada en el tema se construyó utilizando el simulador ENSP de Huawei. El límite de salida es un firewall y dos conmutadores centrales están conectados en sentido descendente para la configuración del protocolo de redundancia de puerta de enlace VRRP. Al mismo tiempo, se cuenta con respaldo de redundancia dual DHCP, un área de servidor de derivación, y un servidor HTPP y DNS están ubicados en el área. El servidor y el servidor DNS mapean la resolución de nombres de dominio de la red externa, el conmutador de agregación y el núcleo están interconectados para lograr redundancia de enlace. El conmutador de acceso se asigna de acuerdo con el piso, y La división VLAN específica del terminal se realiza en el conmutador de acceso.
Figura 6-1 Diagrama de topología de prueba de simulación
6.2 Prueba de comunicación entre VLAN
La división de VLAN puede simplificar la administración de la red y aislar la función del dominio de transmisión. Las diferentes VLAN no pueden comunicarse entre sí de forma predeterminada. Si necesitan comunicarse entre sí, deben reenviarse a través de la puerta de enlace. La siguiente imagen muestra la prueba de comunicación mutua entre diferentes VLAN.
Figura 6-2 Prueba de comunicación entre VLAN
6.3Prueba DHCP
El uso de DHCP puede asignar automáticamente direcciones IP a los terminales, aprovechando al máximo las direcciones IP y evitando el desperdicio de direcciones IP.
Figura 6.2 Prueba de configuración de DHCP
6.4 Pruebas OSPF
OSPF establece una base de datos del estado de los enlaces anunciando el estado de las interfaces de red entre enrutadores y genera un árbol de rutas más cortas. Cada enrutador OSPF utiliza estas rutas más cortas para construir una tabla de enrutamiento. Ruta: esta planificación de la red del campus divide el firewall de salida y los conmutadores centrales en áreas troncales, divide cada conmutador de capa de agregación y los siguientes terminales en el Área 1 y luego configura el Área 1 como un área NSSA para reducir la propagación de LSA entre áreas.
Como se muestra en la figura siguiente, el firewall de salida y el conmutador central están divididos en áreas troncales.
Figura 6-3 Estado de adyacencia de OSPF del firewall
Las rutas OSPF aprendidas en el firewall se muestran en la siguiente figura.
Figura 6-4 Tabla de enrutamiento del firewall
6.5 Servicio HTTP y pruebas de DNS
El servidor abre el servicio HTTP y la resolución de nombres de dominio DNS. Tanto las redes internas como externas pueden acceder al servidor http a través del nombre de dominio.
La siguiente figura muestra la red interna y externa que accede al servicio HTTP a través de nombres de dominio de acceso web:
Figura 6-5 Acceso al servidor HTTP a través del nombre de dominio desde la intranet
La siguiente figura muestra la red pública que utiliza un servidor DNS para resolver nombres de dominio para acceder al servidor HTTP:
Figura 6-6 La red pública accede al servidor HTTP de la intranet a través de la resolución de nombres de dominio DNS
6.6 Estado y conmutación de VRRP
VRRP permite que dos dispositivos mantengan conjuntamente una puerta de enlace virtual. La dirección de la puerta de enlace creada en la red existente no existe. Cuando el dispositivo principal deja de funcionar, el dispositivo de respaldo puede cambiar inmediatamente para hacerse cargo del reenvío de la puerta de enlace desde el dispositivo principal.
Figura 6-7 Estado VRRP
6.7 Prueba de conectividad a Internet de acceso LAN
La intranet accede a la red pública a través de la política de traducción de la dirección de origen del firewall fronterizo. Cuando los datos del tráfico del terminal de la intranet llegan al firewall fronterizo, el firewall convierte la dirección de origen en su propia dirección de interfaz saliente para el acceso. Cuando se devuelven los datos, la dirección de destino se convierte al terminal local.
Figura 6-8 Acceso a la red pública desde la intranet
6.4 Resumen
Este artículo realiza un análisis e investigación específicos sobre las redes de campus universitarios y analiza cuestiones relacionadas. Luego, se planificó específicamente la red del campus de Yucai Senior High School en el condado de Fumeng, que se dividió en capa central, capa de agregación y capa de acceso desde una perspectiva jerárquica, y desde una perspectiva técnica, se dividió en tecnología de enrutamiento, tecnología de conmutación y Red fronteriza. vista. A partir de estas dos direcciones principales, primero analizaremos las tecnologías relevantes encontradas en la red del campus de la escuela secundaria y secundaria Yucai en el condado de Fumeng, realizaremos la planificación del diseño y la selección de equipos en función de la tercera capa de la red y, finalmente, llevaremos a cabo una implementación específica. . Después de implementar la red, se utilizó un software de simulación para simular la red y se obtuvo el primer lote de datos, lo que demuestra que el diseño de la red del campus de la escuela secundaria Yumeng en el condado de Fumeng puede garantizar la estabilidad básica de la red. El siguiente paso es lograr los requisitos de seguridad, alto rendimiento y escalabilidad de la red del campus a través del diseño general de la escuela secundaria Yucai del condado de Fumeng. Aunque la red diseñada esta vez puede satisfacer las necesidades de la escuela secundaria Yumeng Senior High School en el condado de Fumeng, con el desarrollo de la ciencia y la tecnología, los cambios en las necesidades de la red de la escuela, las mejoras en las técnicas de piratería de la red, la tecnología y otros factores que afectan el desarrollo de la red. , siempre debemos prestar atención Adaptarse al desarrollo futuro de redes a gran escala. El siguiente paso es construir más sistemas de aplicaciones basados en la red del campus. Especialmente en el desarrollo futuro de la ciencia y la tecnología, la tecnología de plataforma en la nube se utilizará mucho. Sobre la base de la construcción completa de la red del campus, se construye una plataforma en la nube para la planificación y el diseño del centro de datos de la red del campus para realizar mejor la programación e integración de los recursos de la red del campus. Este tipo de construcción requiere una gran cantidad de trabajo y también es necesario realizar un parque inteligente en red.
Apéndice C Código de configuración
- Código de cambio de núcleo
Dirección de puerta de enlace y configuración VRRP:
[HX-SW-1]int vlan 10
[HX-SW-1-Vlanif10]
[HX-SW-1-Vlanif10] dirección IP 192.168.10.2 255.255.255.0
[HX-SW-1-Vlanif10]vrrp vrid 1 IP virtual 192.168.10.1
[HX-SW-1-Vlanif10]vrrp vrid 1 prioridad 150
[HX-SW-1-Vlanif10]vrrp vrid 1 retardo del temporizador de modo preferente 20
[HX-SW-1-Vlanif10]dhcp seleccionar global
[HX-SW-1-Vlanif10]relé de selección dhcp
[HX-SW-1-Vlanif10]ip del servidor de retransmisión dhcp 192.168.160.10
#
[HX-SW-1]int vlan 20
[HX-SW-1-Vlanif20] dirección IP 192.168.20.2 255.255.255.0
[HX-SW-1-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1
[HX-SW-1-Vlanif20]vrrp vrid 2 prioridad 150
[HX-SW-1-Vlanif20]vrrp vrid 2 retardo del temporizador de modo preventivo 20
[HX-SW-1-Vlanif20]dhcp seleccionar global
#
[HX-SW-1]int vlan 30
[HX-SW-1-Vlanif30] dirección IP 192.168.30.2 255.255.255.0
[HX-SW-1-Vlanif30]vrrp vrid 3 virtual-ip 192.168.30.1
[HX-SW-1-Vlanif30]vrrp vrid 3 prioridad 150
[HX-SW-1-Vlanif30]vrrp vrid 3 retardo del temporizador de modo preferente 20
[HX-SW-1-Vlanif30]dhcp seleccionar global
#
[HX-SW-1]int vlan 40
[HX-SW-1-Vlanif40] dirección IP 192.168.40.2 255.255.255.0
[HX-SW-1-Vlanif40]vrrp vrid 4 IP virtual 192.168.40.1
[HX-SW-1-Vlanif40]vrrp vrid 4 prioridad 150
[HX-SW-1-Vlanif40]vrrp vrid 4 retardo del temporizador de modo preferente 20
[HX-SW-1-Vlanif40]dhcp seleccionar global
#
[HX-SW-1]int vlan 50
[HX-SW-1-Vlanif50] dirección IP 192.168.50.2 255.255.255.0
[HX-SW-1-Vlanif50]vrrp vrid 5 virtual-ip 192.168.50.1
[HX-SW-1-Vlanif50]vrrp vrid 5 prioridad 150
[HX-SW-1-Vlanif50]vrrp vrid 5 retardo del temporizador de modo preventivo 20
[HX-SW-1-Vlanif50]dhcp seleccionar global
Configuración DHCP :
[HX-SW-1]grupo de IP 10
[HX-SW-1-ip-pool-10]lista de puertas de enlace 192.168.10.1
[HX-SW-1-ip-pool-10]red 192.168.10.0 máscara 255.255.255.0
[HX-SW-1-ip-pool-10]dirección-ip-excluida 192.168.10.100 192.168.10.254
[HX-SW-1-ip-pool-10]lista-dns 192.168.160.254
[HX-SW-1]grupo de IP 20
[HX-SW-1-ip-pool-20] lista de puertas de enlace 192.168.20.1
[HX-SW-1-ip-pool-20] red 192.168.20.0 máscara 255.255.255.0
[HX-SW-1-ip-pool-20] dirección-ip-excluida 192.168.20.100 192.168.20.254
[HX-SW-1-ip-pool-20] lista dns 192.168.160.254
[HX-SW-1]grupo IP 30
[HX-SW-1-ip-pool-30]lista de puertas de enlace 192.168.30.1
[HX-SW-1-ip-pool-30]red 192.168.30.0 máscara 255.255.255.0
[HX-SW-1-ip-pool-30]dirección-ip-excluida 192.168.30.100 192.168.30.254
[HX-SW-1-ip-pool-30]lista dns 192.168.160.254
Configuración de la interfaz del conmutador de agregación:
[HJ-SW-1]interfaz GigabitEthernet 0/0/5
[HJ-SW-1-GigabitEthernet0/0/1]puerto troncal tipo enlace
[HJ-SW-1-GigabitEthernet0/0/1] puerto troncal permitido paso vlan 2 a 4094
[HJ-SW-1]interfaz GigabitEthernet0/0/6
[HJ-SW-1-GigabitEthernet0/0/6]puerto troncal tipo enlace
[HJ-SW-1-GigabitEthernet0/0/6] puerto troncal permitido paso vlan 2 a 4094
División VLAN del switch de acceso a centros culturales y deportivos :
[WTZX] interfaz GigabitEthernet 0/0/1
[WTZX-GigabitEthernet0/0/1]puerto troncal tipo enlace
[WTZX-GigabitEthernet0/0/1] puerto troncal permitido paso vlan 2 a 4094
[WTZX]interfaz GigabitEthernet0/0/2
[WTZX-GigabitEthernet0/0/2]acceso tipo enlace de puerto
[WTZX-GigabitEthernet0/0/2] puerto vlan predeterminado 130
#
[WTZX]interfaz GigabitEthernet0/0/3
[WTZX-GigabitEthernet0/0/3]puerto troncal tipo enlace
[WTZX-GigabitEthernet0/0/3] puerto troncal permitido paso vlan 2 a 4094
Configuración del cortafuegos:
[USG6000V1] interfaz GigabitEthernet1/0/0
[USG6000V1-GigabitEthernet1/0/0]deshacer apagado
[USG6000V1-GigabitEthernet1/0/0] dirección IP 11.1.1.1 255.255.255.0
[USG6000V1-GigabitEthernet1/0/0]permiso de ping de gestión de servicio
[USG6000V1]interfaz GigabitEthernet1/0/1
[USG6000V1-GigabitEthernet1/0/1]deshacer apagado
[USG6000V1-GigabitEthernet1/0/1] dirección IP 145.1.1.2 255.255.255.0
[USG6000V1-GigabitEthernet1/0/1] puerta de enlace 145.1.1.1
[USG6000V1-GigabitEthernet1/0/1]permiso de ping de gestión de servicio
Configuración OSPF :
[USG6000V1] ID del enrutador OSPF 3 3.3.3.3
[USG6000V1-ospf-3]área 0.0.0.0
[USG6000V1-ospf-3-area-0.0.0.0] red 10.1.1.0 0.0.0.255
[USG6000V1-ospf-3-area-0.0.0.0] red 11.1.1.0 0.0.0.255
Configuración NAT :
[USG6000V1] política-nat
[USG6000V1-policy-nat] nombre de regla trustTo_untrust
[USG6000V1-policy-nat]confianza en la zona de origen
[USG6000V1-policy-nat]zona de destino desconfianza
[USG6000V1-policy-nat]fuente de acción-nat easy-ip