Bonjour à tous, je suis Xiaohua senior, blogueur dans le domaine informatique. Après des années d'études et de pratique, j'ai accumulé de riches connaissances et expériences en informatique. J'aimerais partager ici mon expérience d'apprentissage et mes compétences avec vous pour vous aider à devenir un meilleur programmeur.
En tant que blogueur informatique, je me concentre sur la programmation, les algorithmes, le développement de logiciels et d'autres domaines, et j'ai accumulé beaucoup d'expérience dans ces domaines. Je crois que le partage est une situation gagnant-gagnant. Grâce au partage, je peux aider les autres à améliorer leur niveau technique et en même temps avoir l'opportunité d'apprendre et de communiquer.
Dans mes articles, vous verrez mon analyse et mon analyse de divers langages de programmation, outils de développement et problèmes courants. Je vous fournirai des solutions pratiques et des techniques d'optimisation basées sur mon expérience réelle du projet. Je crois que ces expériences vous aideront non seulement à résoudre les problèmes que vous rencontrez actuellement, mais amélioreront également votre réflexion en matière de programmation et vos capacités de résolution de problèmes.
En plus de partager des aspects techniques, j'aborderai également certains sujets concernant le développement de carrière et les méthodes d'apprentissage. En tant qu'ancien élève, je sais comment mieux m'améliorer et relever les défis dans le domaine informatique. Je partagerai quelques méthodes d'apprentissage, techniques d'entretien et expériences professionnelles, dans l'espoir d'avoir un impact positif sur votre développement de carrière.
Mes articles seront publiés dans la communauté CSDN, qui est une communauté informatique très active et professionnelle. Ici, vous pouvez communiquer, apprendre et partager avec d'autres personnes qui aiment la technologie. En suivant mon blog, vous pourrez obtenir mes derniers articles dès que possible et interagir avec moi et les autres lecteurs.
Si vous êtes intéressé par le domaine informatique et espérez mieux améliorer vos compétences en programmation et votre niveau technique, veuillez suivre mon blog CSDN. Je crois que ce que je partage vous aidera et vous inspirera, vous permettant de réussir davantage dans le domaine informatique !
Devenons ensemble de meilleurs programmeurs et explorons ensemble le monde merveilleux de l’informatique ! Merci pour votre attention et votre soutien !
Tous les codes sources de projets informatiques partagés incluent des documents et peuvent être utilisés pour des projets de fin d'études ou des conceptions de cours. Bienvenue à laisser un message pour partager des questions et échanger des expériences !
Résumé
Ce sujet a pris la planification et la conception du réseau de l'Université médicale du Guangxi comme objet de recherche et a analysé de manière ciblée les quatre aspects du réseau interne, du réseau externe, du réseau de serveurs et de la sécurité du réseau. Le contenu spécifique de la planification et de la conception du réseau du campus est lié à recherche et fournir une référence pour une application pratique. La construction de réseaux de campus est la priorité absolue dans la construction d'informations dans les collèges et les universités.Cet article part de la topologie du réseau de campus, de la redondance du réseau, de la technologie des réseaux locaux, de la technologie des réseaux étendus et de la sécurité du réseau, et planifie et conçoit un réseau inter-campus 10G. liaison redondante.Connexion, fibre optique Gigabit vers tous les bâtiments, 100M vers le bureau, un réseau de campus haut débit, sûr, fiable, contrôlable et gérable. Cette conception nécessite un réseau local de campus entièrement fonctionnel, sûr, stable et performant pour l'Université médicale du Guangxi, basé sur une analyse détaillée de la demande. Il est nécessaire que le système de réseau à construire puisse fournir un réseau de base sûr, efficace, stable et fiable pour enseignants et étudiants de l'école.Services pour répondre aux différents besoins de l'enseignement et de la gestion scolaire. Une fois la conception terminée, une analyse des exigences du système réseau et des instructions détaillées de conception du système réseau seront fournies, ainsi que des diagrammes de topologie logique standardisés, des plans de division de sous-réseau virtuel et d'attribution d'adresses, une sélection d'équipement, etc. Et utilisez le simulateur pour construire un modèle de réseau de conception afin de confirmer la faisabilité de la conception. En même temps, le code de configuration de l'équipement principal est donné pour tester la connectivité de base du réseau.
Mots clés : réseau de campus, fiabilité, réseau local
Abstrait
Ce sujet a pris la planification et la conception du réseau de l'Université médicale du Guangxi comme objet de recherche et a analysé le réseau interne, le réseau externe, le réseau de serveurs et la sécurité du réseau, afin de fournir une référence pour le contenu spécifique de la planification et de la conception du réseau du campus. la recherche et l'application pratique connexes. La construction d’un réseau de campus constitue la partie la plus importante de la construction de l’information dans les collèges et universités. Partant de la topologie du réseau de campus, de la redondance du réseau, de la technologie LAN, de la technologie WAN et de la sécurité du réseau, cet article planifie et conçoit un réseau de campus à haut débit, sûr, fiable, contrôlable et gérable avec des liaisons redondantes de 10 Gigabit sur l'ensemble du campus, des liaisons optiques Gigabit fibre vers tous les bâtiments et 100 Gigabit jusqu'au bureau. Cette conception doit concevoir un environnement fonctionnel, sûr, LAN de campus stable et performant pour l'Université médicale du Guangxi sur la base d'une analyse détaillée de la demande. Le système de réseau à construire doit fournir des services de réseau de base sûrs, efficaces, stables et fiables aux enseignants et aux élèves, afin de répondre aux besoins de l'enseignement et de la gestion des écoles. Une fois la conception terminée, l'analyse des exigences du système réseau et les spécifications détaillées de la conception du système réseau sont fournies, ainsi que le diagramme de topologie logique standard, la division du sous-réseau virtuel et le schéma d'attribution d'adresses, la sélection des équipements, etc. Le simulateur est utilisé pour construire un modèle de réseau afin de vérifier la faisabilité de la conception, et le code de configuration de l'équipement principal est fourni pour tester la connectivité de base du réseau.
mot clé:Réseau de campus, réseau local fiable
Table des matières
1.3 But de la construction... 5
1.4 Principaux contenus de la recherche... 6
2.1 Analyse de la demande des utilisateurs... 7
2.2 Analyse des exigences de sécurité du réseau... 7
2.3 Analyse des exigences technologiques du réseau... 7
2.4 Analyse de la demande environnementale... 7
3. Planification et conception globales... 9
3.1 Planification de la conception du réseau... 9
3.2 Principes de conception du réseau... 9
3.3 Règles de câblage complètes... 10
3.4 Adresse IP et planification VLAN... 11
3.5 Sélection de l'équipement... 12
3.4.1 Sélection du commutateur principal... 12
3.4.2 Commutateur de couche d'agrégation... 13
3.4.3 Commutateur de couche d'accès... 15
3.6 Diagramme de topologie du réseau... 17
4. Introduction aux technologies clés... 19
4.2 Protocole de routage dynamique OSPF... 19
5.1 Configuration redondante VRRP+MSTP... 22
5.4 Tunnel IPv4 sur IPv6... 24
5.5 Configuration de sauvegarde à chaud du micrologiciel... 25
6.1 Test d'interopérabilité LAN... 26
6.5 Service HTTP et test DNS... 28
6.6 État VRRP et commutation... 29
1. Introduction
1.1 Aperçu
Avec l'avènement de l'ère de l'information, les réseaux d'information connaissent un développement rapide dans notre pays. En tant que pointe de l'éducation, les écoles offrent un environnement d'apprentissage important pour les futurs talents de notre pays dans diverses industries. Par conséquent, l’échelle et le niveau d’application du réseau de campus sont des éléments importants de l’environnement d’enseignement de l’école et de la force de la recherche scientifique. Les écoles ont besoin de systèmes de réseau de haute qualité pour fournir des services stables et efficaces.Du point de vue du développement du réseau de campus, il a toujours fourni un tout nouvel environnement de réseau pour les enseignants, les étudiants et les chercheurs scientifiques. Cependant, avec le développement rapide de la technologie des réseaux dans la nouvelle ère, afin de suivre la tendance du développement des réseaux à cette époque, la construction d'une nouvelle génération de réseaux de campus doit être mise en avant pour suivre la tendance de développement de l'ère Internet. Cependant, le développement d'une grande partie des réseaux de campus dans notre pays n'a pas suivi la tendance de développement de l'époque et reste coincé dans la pensée technique de l'ancienne génération. L'activité informatique de nombreuses écoles n'a pas été pleinement utilisée, ce qui entraîne un gaspillage inutile des ressources réseau du campus. Afin d'éviter le gaspillage inutile du réseau du campus, d'améliorer l'efficacité de l'utilisation du réseau du campus, d'améliorer le niveau commercial de l'école et en même temps de se conformer à la tendance de l'évolution de l'époque, de faciliter l'enseignement et la vie quotidienne des enseignants et étudiants, ainsi que la direction de l'école, il est devenu nécessaire de construire un nouveau réseau de campus .
1.2 Contexte du projet
L'école a été fondée le 21 novembre 1934 et est située à Nanning, la capitale de la région autonome Zhuang du Guangxi. L'école était autrefois connue sous le nom de Guangxi Provincial Medical College, qui a déménagé à Guilin en 1940. Avant la fondation de l'école et la fondation de la Nouvelle Chine, l'école a déménagé six fois pendant la guerre et a changé de nom quatre fois. Nouvelle Chine, en novembre 1949. Il a été rebaptisé Collège médical du Guangxi ; en 1952, le ministère central de la Santé l'a chargé d'être directement dirigé par le ministère de la Santé du Centre et du Sud ; en avril 1953, le ministère central de la Santé a approuvé le nom et a été rebaptisé Guangxi Medical College ; en juillet 1954, il a déménagé de Guilin à son emplacement actuel dans la ville de Nanning ; en 1996. En mai, le ministère de l'Éducation a approuvé le changement de nom en Guangxi Medical University. Le 25 mai 2020, le gouvernement populaire de la région autonome et la Commission nationale de la santé ont officiellement signé les « Avis de la Commission nationale de la santé du gouvernement populaire de la région autonome Zhuang du Guangxi sur la construction conjointe de l'Université médicale du Guangxi ». est officiellement devenue la seule école de médecine supérieure construite conjointement par la province et le ministère du Guangxi.
1.3 But de la construction
Avec l'avènement de l'ère de l'information, les réseaux d'information connaissent un développement rapide dans notre pays. En tant que pointe de l'éducation, les écoles offrent un environnement d'apprentissage important pour les futurs talents de notre pays dans diverses industries. Par conséquent, l’échelle et le niveau d’application du réseau de campus sont des éléments importants de l’environnement d’enseignement de l’école et de la force de la recherche scientifique. Les écoles ont besoin de systèmes de réseau de haute qualité pour fournir des services stables et efficaces. À l'heure actuelle, le développement et la construction d'écoles au pays et à l'étranger doivent mettre l'accent sur les conditions techniques de la mise en réseau. La planification et la conception des réseaux de campus sont propices au partage d'informations scolaires, de ressources pédagogiques, etc., permettant aux écoles de suivre le développement du ère de l'information. La construction d'un réseau de campus favorise le développement des talents, permet à une éducation de qualité basée sur l'information de pénétrer dans l'apprentissage quotidien des étudiants, améliore les compétences pratiques et cérébrales des étudiants en matière de technologies de l'information et suit le rythme de l'ère de l'information. La construction d'un réseau de campus contribuera à accroître la qualité de l'enseignement scolaire, lui permettra de fournir des méthodes pédagogiques avancées pour l'éducation et l'enseignement, et d'appliquer la technologie des réseaux à l'enseignement pour enrichir la formation et les méthodes d'enseignement des enseignants. Construire un réseau de campus est le moyen fondamental d'informatiser l'éducation de base. Une culture de réseau de campus colorée, saine et fraîche deviendra un nouvel environnement permettant aux écoles de cultiver la pensée, le caractère moral et les capacités créatives des étudiants, et deviendra un environnement de haute qualité pour tous les enseignants et étudiants à cultiver un développement global.Une nouvelle plate-forme pour les talents.
1.4 Contenu principal de la recherche
(1) Contenu de base
Cette conception nécessite une étude détaillée des zones de câblage réseau de chaque bâtiment, de chaque étage et de chaque salle de classe de l'Université médicale du Guangxi, ainsi qu'une analyse des exigences du réseau, afin de concevoir un réseau local de campus entièrement fonctionnel, sûr, stable et performant. pour l'Université médicale du Guangxi. Cette conception nécessite que le système de réseau à construire puisse fournir des services de réseau de base sûrs, efficaces, stables et fiables aux enseignants et aux élèves de l'école afin de répondre aux divers besoins de l'enseignement et de la gestion de l'école.
(2) Effet de conception attendu
Une fois la conception terminée, une analyse des exigences du système réseau et des instructions détaillées de conception du système réseau seront fournies, ainsi qu'un diagramme de topologie logique standardisé, une division de sous-réseau virtuel et un plan d'attribution d'adresses, une sélection d'équipement et un budget d'investissement, etc. Et utilisez le simulateur pour construire un modèle de réseau de conception afin de confirmer la faisabilité de la conception. En même temps, le code de configuration de l'équipement principal est donné pour tester la connectivité de base du réseau.
2. Analyse de la demande
2.1 Analyse des besoins des utilisateurs
Enseignant : La plupart des enseignants souhaitent un réseau fluide lorsqu'ils utilisent le réseau du campus. Autrement dit, leur exigence est que lors de l'accès à la base de données du campus sur l'intranet, il n'y ait aucun décalage lors du téléchargement ou du téléchargement des données. Dans ce cas, ils ont besoin d'un réseau. équipement avec une bande passante de liaison élevée et une bonne capacité de charge. .
Étudiants : le réseau du campus est rapide, garantissant une vitesse Internet fluide et stable pour un accès Internet quotidien.
Personnel administratif : le personnel administratif espère pouvoir surveiller efficacement le contenu en ligne et la sécurité en ligne des étudiants, empêcher la perte ou l'endommagement des données en cas de panne de courant et faciliter la gestion du réseau du campus.
2.2 Analyse des besoins en matière de sécurité des réseaux
Un ensemble complet et réalisable de politiques de sécurité et de gestion du réseau doit être établi dans le réseau pour contrôler le contenu des demandes de service réseau afin que l'accès illégal soit rejeté avant d'atteindre l'hôte ; l'authentification d'accès pour les utilisateurs légaux doit être renforcée, tandis que les droits d'accès des utilisateurs doit être contrôlé à une limite minimale
2.3 Analyse des exigences technologiques du réseau
Les exigences globales pour le déploiement du réseau de l'Université médicale du Guangxi sont la fiabilité, la flexibilité, la stabilité et l'économie.
La structure du réseau doit être flexible et tolérante pour répondre aux exigences d'équipements et de nœuds de réseau supplémentaires à mesure que l'entreprise se développe à l'avenir ; elle doit être économique, et la méthode de déploiement et la sélection de l'architecture doivent être proches des conditions de réseau utilisées par personnel du campus pour le travail et l'utilisation quotidienne. Lors du choix de l'équipement, il doit être fiable et stable. Si l'école est déconnectée tous les trois jours ou s'il y a une perte de paquets réseau ou une vitesse lente, cela affectera grandement l'expérience Internet de l'utilisateur. Par conséquent, il est nécessaire pour réaliser un double licenciement technique et physique afin d'assurer le fonctionnement normal de l'activité de l'entreprise.
2.4 Analyse de la demande environnementale
L'Université médicale du Guangxi est située dans le district de Qingxiu, ville de Nanning. C'est une université de première classe dans le Guangxi. Le siège de l'école couvre une superficie de 710 000 mètres carrés et l'espace d'enseignement et administratif couvre une superficie de 210 000 mètres carrés. . Il y a actuellement plus de 1 000 professeurs et employés et plus de 10 000 étudiants. Le campus principal de l'école se compose principalement de bâtiments d'enseignement, de bâtiments polyvalents, de dortoirs, de cantines et d'autres bâtiments. Les bâtiments d'enseignement sont divisés en 3 bâtiments d'enseignement de grande hauteur et 9 bâtiments d'enseignement ordinaires : le bâtiment d'excellence compte 21 étages, avec des salles de classe, des laboratoires, des bureaux, des salles de conférence, des bases d'entrepreneuriat et des centres de formation ; le bâtiment de pharmacie compte 18 étages, avec des salles de classe. , laboratoires, bureaux et filiales de l'école ; le bâtiment d'enseignement clinique est de 13 étages, équipé de salles de classe, de laboratoires et de bureaux ; les bâtiments d'enseignement général sont de 101 à 109, avec 3 à 5 étages, équipés de salles de classe, de salles d'expérimentation, de bureaux, etc., avec des utilisations différentes ; il y a également des bâtiments d'enseignement professionnel supérieur, des collèges internationaux et des bâtiments pour étudiants diplômés dans l'école. Il y a un bâtiment complet, principalement utilisé pour l'enseignement et le bureau. Le bâtiment du dortoir est divisé en dortoir pour hommes, dortoir pour femmes, dortoir pour diplômés et dortoir pour étudiants internationaux. Les étages des dortoirs sont différents. Le bâtiment pour hommes A a 4 étages avec 17 dortoirs à chaque étage. Le bâtiment pour hommes B a 5 étages avec 16 dortoirs à chaque étage. Bâtiment masculin C Il y a 6 étages avec 12 dortoirs à chaque étage. Il y a 4 cantines.
3. Planification et conception globale
3.1 Planification de la conception du réseau
Dans cette conception de schéma, l'ancienne architecture de réseau de l'Université médicale du Guangxi a été restructurée et une partie du câblage intégré a été transformée. La topologie de réseau utilisée cette fois était une architecture à trois couches. Y compris des équipements de pare-feu haut de gamme, des commutateurs à trois couches, des commutateurs d'agrégation, des commutateurs d'accès, etc. Selon la structure standard du plan de déploiement du réseau, l'architecture de la structure du réseau du campus est divisée en couche d'accès, couche d'agrégation et couche centrale. Afin d'éviter des problèmes ou des interruptions dans les services réseau existants pendant le processus de transformation, celui-ci sera effectué de manière fluide et stable. Afin d'assurer la stabilité et la sécurité du réseau pendant la construction, il est utilisé lors de la configuration des équipements réseau. ; (VLAN) réseau local virtuel ; (portchannel) technologie de redondance ; (ACL) liste de contrôle d'accès ; (NAT) traduction d'adresses réseau internes et externes et autres configurations d'opération associées.
La nouvelle ère des technologies de l'information sur les réseaux, des technologies de sécurité des réseaux et des technologies de sauvegarde par redondance des données s'est progressivement reflétée. Alors que la demande de réseau pour le contenu du campus et le réseau éducatif augmente, le réseau de l'Université médicale du Guangxi doit construire un réseau d'entreprise qui suit le rythme avec une haute disponibilité et une forte redondance. Ce n'est qu'ainsi que l'architecture du réseau du campus sera plus sécurisée. , pour éviter les fuites de données. Dans cet article, je combinerai les technologies de l'information modernes les plus avancées, le câblage intégré, etc. pour réaliser les besoins de conception et de mise en œuvre du réseau du campus de l'Université médicale du Guangxi.
Aujourd'hui, alors que la technologie des réseaux est très développée, il est très important de construire un campus avec une sécurité de l'information. La formulation d'un plan de construction raisonnable basé sur la situation propre du campus est l'étape la plus importante dans la construction de l'information sur le campus. Par conséquent, faites un usage raisonnable des stratégies de protocole réseau pour créer un réseau de campus stable, fiable et performant.
3.2 Principes de conception du réseau
Dans la construction du réseau du campus, nous devons non seulement adopter des technologies de pointe au niveau international, mais également garantir la sécurité, la fiabilité et la praticité du système, les hautes performances et la bande passante élevée, et en même temps, nous devons choisir l'ensemble réseau basé sur le principe de gestion simple.Architecture, après analyse et discussion internes, l'architecture de réseau décidée d'adopter est un modèle de conception de réseau hiérarchique à trois couches de « couche centrale-couche d'agrégation-couche d'accès ».
1. Couche centrale du réseau fédérateur : La couche centrale est l'épine dorsale de commutation à grande vitesse du réseau et du hub réseau. Elle est responsable de la connectivité de l'ensemble du réseau et complète la transmission des données entre les différents réseaux. Par conséquent, la couche centrale doit avoir : fiabilité, efficacité, redondance, fonctionnalités telles que la tolérance aux pannes et la gérabilité. Par conséquent, des commutateurs Gigabit ou supérieurs à bande passante élevée et hautes performances sont utilisés et une sauvegarde à chaud redondante sur deux machines est utilisée.
2. Accès par agrégation LAN : regrouper le trafic utilisateur au niveau de la couche d'accès, effectuer l'agrégation, le transfert et la commutation de la transmission des paquets de données ; routage local, filtrage, équilibrage du trafic, gestion des priorités QoS et mécanisme de sécurité, traduction d'adresses IP, mise en forme du trafic, gestion de multidiffusion , etc. ; transférer le trafic utilisateur vers la couche de commutation centrale ou effectuer un traitement de routage localement en fonction des résultats du traitement ;
3. Couche d'accès au terminal : la couche d'accès fournit un accès fonctionnel au réseau local et fournit des fonctions telles que l'agrégation et la transmission de données. Il fournit principalement des interfaces permettant aux utilisateurs finaux de se connecter au réseau, de sorte que l'équipement de couche d'accès choisit des commutateurs ordinaires à faible coût et avec un grand nombre de ports.
4. Conception du réseau local du bâtiment : chaque bâtiment déploie des commutateurs d'agrégation et des commutateurs d'accès, et divise les segments de réseau en fonction du bâtiment pour obtenir l'isolation du réseau et assurer la sécurité.
5. Couche d'accès Internet : Internet réalise la communication via l'accès par fibre optique des opérateurs de télécommunications. L'équipement d'accès à Internet est principalement utilisé pour la traduction d'adresses et l'accès aux lignes d'opérateurs externes pour l'accès intranet. Il peut également bloquer certaines adresses intranet et IP illégales sur le réseau externe. Il joue principalement un rôle de connexion avec Internet.
3.3 Règles de câblage complètes
Le système de câblage intégré et le câblage du système de réseau d'information, du système de prévention des technologies de sécurité, du système de surveillance des équipements du bâtiment, etc. doivent être planifiés et conçus simultanément, et la conception doit être raisonnablement optimisée en fonction des exigences de transmission d'informations de chaque système.
Dans la conception technique des systèmes de câblage intégrés, des produits finalisés ayant émis des rapports d'inspection qualifiés et conformes aux exigences techniques nationales pertinentes doivent être sélectionnés.
En plus d'être conforme à cette spécification, la conception technique du système de câblage intégré doit également être conforme aux normes nationales pertinentes.
Figure 3-1 Schéma schématique du système de câblage intégré
1 Une zone indépendante où les équipements terminaux (TE) doivent être installés doit être divisée en une zone de travail. La zone de travail doit inclure le module de prise d'information (TO) , les câbles de connexion et les adaptateurs au niveau de l'équipement terminal.
2 Le sous-système de câblage doit être composé du module de prise d'information dans la zone de travail, du câble horizontal allant du module de prise d'information à l'équipement de câblage de la salle de télécommunications (FD) , de l'équipement de câblage de la salle de télécommunications, des câbles et cavaliers d'équipement, etc.
3. Le sous-système principal doit comprendre des câbles principaux allant de la salle d'équipement à la salle de télécommunications, de l'équipement de câblage du bâtiment (BD) installé dans la salle d'équipement, des câbles d'équipement et des cavaliers.
4 Le sous-système du complexe de bâtiments doit être constitué de câbles principaux reliant plusieurs bâtiments, d'équipements de distribution (CD) du complexe de bâtiments , de câbles d'équipement et de cavaliers.
5 La salle d'équipement doit être un lieu de gestion du câblage, de gestion du réseau et d'échange d'informations à des endroits appropriés dans chaque bâtiment. L'équipement de câblage du bâtiment, l'équipement de câblage du cluster de bâtiment, les commutateurs Ethernet, les commutateurs téléphoniques et l'équipement de réseau informatique doivent être installés dans la salle d'équipement du système de câblage intégré. Des équipements d’entrée peuvent également être installés dans les locaux techniques.
6. La salle des lignes entrantes doit être l'entrée des canalisations du réseau d'information et de communication externe du bâtiment et peut être utilisée comme site d'installation des installations d'entrée.
7 La direction doit identifier, enregistrer et gérer l'équipement de câblage, les câbles, les modules de prise d'information et autres installations dans la zone de travail, la salle de télécommunications, la salle d'équipement, la salle de ligne entrante et l'environnement du chemin de câblage selon un certain modèle.
3.4 Planification et conception de la sécurité
À l'aube d'une nouvelle période historique, les ordinateurs et les réseaux sont de plus en plus utilisés, tandis que les facteurs affectant la sécurité des réseaux augmentent également et que diverses activités cybercriminelles se produisent fréquemment. Face à cette situation grave, les responsables de la sécurité des réseaux doivent procéder à une évaluation complète des ordinateurs et des systèmes de réseau, formuler des solutions scientifiques globales de sécurité des réseaux, adopter activement des stratégies efficaces et renforcer la sécurité du réseau, notamment des pare-feu, des systèmes de détection et de réponse aux virus. configuration de l'ordinateur et du réseau, minimiser les risques de sécurité du réseau et protéger les droits et intérêts légitimes des utilisateurs du réseau.
1. Établir une stratégie complète et réalisable de sécurité et de gestion du réseau
3. Contrôlez le contenu des demandes de service réseau afin que les accès illégaux soient rejetés avant d'atteindre l'hôte.
4. Renforcez l'authentification d'accès pour les utilisateurs légaux et contrôlez au minimum les droits d'accès des utilisateurs.
5. Sauvegarde et reprise après sinistre, renforcez la sauvegarde du système et obtenez une récupération rapide du système.
6. Renforcer la gestion de la sécurité du réseau et fournir des techniques de sensibilisation et de prévention à la sécurité du réseau à tout le personnel du système.
7. Prévenir les attaques malveillantes et la destruction par des intrus
8. Protéger la confidentialité et l'intégrité des informations de l'entreprise lors de la transmission en ligne
3.4 Adresse IP et planification VLAN
Tableau 3-1 Planification des adresses
| nom |
VLAN/interface |
Segment de réseau d'adresses |
passerelle |
| AH1 |
GE1/0/0 |
2001 : 2/64 |
/ |
| GE1/0/1 |
10.1.1.2/30 |
/ |
|
| GE1/0/2 |
172.32.1.1/24 |
/ |
|
| FW2 |
GE1/0/0 |
2002 : 2/64 |
/ |
| GE1/0/1 |
10.1.1.1/30 |
/ |
|
| GE1/0/2 |
172.31.1.1/24 |
/ |
|
| FW6 |
GE1/0/0 |
172.30.1.254 |
/ |
| GE1/0/2 |
172.29.1.254 |
/ |
|
| Interrupteur principal 1 |
GE0/0/1 |
172.32.1.2/24 |
/ |
| GE0/0/6 |
172.30.1.1/24 |
/ |
|
| Commutateur principal 2 |
GE0/0/1 |
172.31.1.2/24 |
/ |
| GE0/0/6 |
172.29.1.1/24 |
/ |
|
| Bâtiment d'enseignement |
dix |
192.168.10/24 |
192.168.10.1 |
| Bâtiment complet |
20 |
192.168.20/24 |
192.168.20.1 |
| Bâtiment des diplômés |
30 |
192.168.30/24 |
192.168.30.1 |
| cantine |
40 |
192.168.40/24 |
192.168.40.1 |
| Bâtiment Zhuoyue |
50 |
192.168.50/24 |
192.168.50.1 |
| Bâtiment de la pharmacie |
60 |
192.168.60/24 |
192.168.60.1 |
| Bâtiment dortoir pour garçons |
70 |
192.168.70/24 |
192.168.70.1 |
| Bâtiment dortoir pour filles |
80 |
192.168.80/24 |
192.168.80.1 |
| Machine de test du serveur |
90 |
192.168.90/24 |
192.168.90.1 |
| serveur HTTP |
100 |
172.16.1.10/24 |
172.16.1.1 |
| Serveur dns |
100 |
172.16.1.11/24 |
172.16.1.1 |
| Serveur ftp |
100 |
172.16.1.12/24 |
172.16.1.1 |
3.5 Sélection des équipements
3.4.1 Sélection du commutateur principal
Après avoir analysé la sélection des équipements de couche réseau central du réseau du campus, il est recommandé d'utiliser le commutateur S12708 produit par Huawei spécifiquement pour le réseau central du campus. Le commutateur a un débit et un taux de transfert élevés. Les paramètres spécifiques sont les suivants :
Tableau 3-2 Commutateur principal S12708
| Capacité de commutation |
28,8/102,4 Tbit/s |
| Taux de transfert de paquets |
3600/24000Mpps |
| Nombre d'emplacements pour la carte de contrôle principale |
2 |
| Nombre d'emplacements pour carte réseau de commutation |
2 |
| Nombre d'emplacements de carte de service |
4 |
| cadre de ventilateur |
2 |
| Architecture |
Architecture CLOS |
| Conception redondante |
Commande principale, carte réseau de commutation, alimentation, cadre de ventilateur (conduits d'air avant, arrière et arrière gauche) |
| Virtualisation |
Prend en charge le cluster matériel de réseau de commutation CSS2, la sauvegarde maître de cluster 1+N, la bande passante du cluster de 1,92 Tbit/s |
| Gestion sans fil |
Prend en charge le courant alternatif intégré, chaque carte peut gérer jusqu'à 4 000 points d'accès et la machine entière peut gérer 10 000 points d'accès. Prend en charge le contrôle d'accès AP, la gestion de domaine AP et la gestion des modèles de configuration AP Prend en charge la gestion des modèles de radiofréquences, la configuration statique unifiée et la gestion dynamique centralisée Prise en charge des services de base WLAN, de la QoS, de la sécurité et de la gestion des utilisateurs |
Figure 3-2Huawei S12708
3.4.2 Commutateur de couche d'agrégation
La couche d'agrégation de réseau recommande l'utilisation de commutateurs Huawei S7706 au sein du réseau du campus. Le commutateur S7706 présente une forte évolutivité et compatibilité et convient comme commutateur pour agréger divers périphériques réseau. Les paramètres spécifiques du commutateur sont les suivants :
Tableau 3-3 Paramètres du S7706
| Capacité de commutation |
19,2/48 Tbit/s |
| Taux de transfert de paquets |
1440/16560Mpps |
| 冗余设计 |
主控、电源、监控板、风扇框(前后及左后风道) |
| 无线管理 |
支持随板AC |
| 用户管理 |
支持统一用户管理 |
| 路由特性 |
支持IPV4静态路由、RIP、OSPF、IS-IS、BGP4等 |
| iPCA质量感知 |
支持直接对业务报文标记以获得丢包数量和丢包率统计数据,实时统计,零开销 |
| SVF简化运维 |
支持将256个Client节点(接入交换机)、最大支持4K个AP虚拟为一台设备管理 |
| 缓存容量 |
支持每端口200ms数据缓存 |
| 数据中心特性 |
支持TRILL,FCoE(DCB),EVN,nCenter,EVB,SPB,VXLAN等数据中心特性 |
| OpenFlow |
支持多控制器 |
| 互通性 |
VBST基于VLAN生成树协议(和PVST/PVST+/RPVST互通) |
图3-3 S7706交换机
3.4.3接入层交换机
华为的接入层交换机S5736-S交换机是一款三层的交换机,它具备万兆的上行接口和千兆的下联接口,适合终端接入使用。具体参数如下:
表3-4接入交换机参数
| 包转发率 |
660Mpps |
| 交换容量 |
2.56/25.6 Tbps |
| 固定端口 |
24个100M/1G/2.5G/5G/10G Base-T以太网端口 ,4个10GE SFP+ |
| PoE++ |
支持,单端口最大90W供电 |
| 扩展插槽 |
1个扩展插槽,支持2*25GE或8*10GE光、4*40GE光子卡 |
| MAC特性 |
支持MAC地址自动学习和老化 |
| VLAN特性 |
支持4K个VLAN |
| IP路由 |
静态路由、RIPv1/2、RIPng、OSPF、OSPFv3、ECMP、ISIS、ISISv6、BGP、BGP4+、VRRP、VRRP6 |
| 互通性 |
VBST基于VLAN生成树协议(和PVST/PVST+/RPVST 互通) |
图3-4华为S5720系列交换机
3.4.4 防火墙
网络出口USG防火墙为用户提供统一的外网连接业务,避免各部门各自建立出口链路。设备推荐使用华为USG6600E防火墙,该防火墙是一款万兆的出口防护设备,具有入侵检测、主动防御等安全能力。具体参数如下:
表3-5防火墙参数
| 固定接口 |
12×GE (RJ45) + 8×GE (SFP) + 4×10GE (SFP+) + 1×USB3.0 |
| 产品形态 |
1 U |
| 存储 |
选配2.5英寸形态硬盘,支持SSD 240GB/960GB,HDD 1TB |
| 一体化防护 |
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身,全局配置视图和一体化策略管理 |
| 应用识别与管控 |
识别6000+应用,访问控制精度到应用功能,例如:区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率。 |
| 带宽管理 |
在识别业务应用的基础上,可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括:限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等 |
| 入侵防御与Web防护 |
第一时间获取最新威胁信息,准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击,包括SQL注入攻击和跨站脚本攻击等。 |
| APT防御 |
与本地/云端沙箱联动,对恶意文件进行检测和阻断。 |
| 云管理模式 |
设备自行向云管理平台发起认证注册,实现即插即用,简化网络创建和开局 |
| 云应用安全感知 |
可对企业云应用进行精细化和差异化的控制,满足企业对用户使用云应用的管控需求。 |
图3-5华为USG6600E系列防火墙
3.6 网络拓扑图
图3-6 网络拓扑图
本设计方案中的校园网络的网络架构划分为三层类型:核心层、汇聚层、接入层。
伴随着广西医科大学的校园业务增加,校园网在网络架构规模越来越庞大,为了进一步提升校园网络及其其他学校在互联网上的热度以及社会推广度,广西医科大学在网络内网上设立独立web服务器、DNS服务器、FTP服务器等。
现如今按照广西医科大学的网络需求,我们所规定的三层网络架构是为搭建网络拓扑实用方案,这样的搭网环境会让整个架构层次变得分明,结构变得更为简单,出现问题的时候,容易定位在故障点。
此次校园拓扑的优点:
1、扩展性:可将三层次网络分别进行扩展变化,严格按照核心层、汇聚层、接入层架构实施。
2、可冗余性:在汇聚设备上使用VRRP技术,可以更好提高广西医科大学校园网络可行性。
3、高性能:将两到三个层次之间运用ethchannel链路聚合特性,这样可以能够更好的提高网络的稳定性以及可用性。
四、关键技术介绍
4.1 VLAN技术
VLAN技术中文含义为虚拟局域网络, VLAN技术能够有效的划分不同网络的通信, 让不同局域网实现隔离效果,可以不受地址位置的限制,虚拟局域网可以将整个网络分成一个个不同的小的子网, 这样一来,就可以较为清楚地划分不同的网络,使数据传输更为可靠有效稳定性高。也可以用来区分不同的业务系统,以及可以方便的用来区分不同网段所能访问的资源,也可以更好地避免广播风暴的发生,使局域网维护性能更强。
4.2 OSPF动态路由协议
路由技术通俗来讲被称为是三层技术,算是在网络工程中的上层应用技术了。对于一个完善成熟的网络架构拓扑中,路由技术一般运用在核心架构层次。一般所运用到的拥有路由功能的网络设备,比如有路由器、三层交换机、防火墙等高端路由设备。就类似于家与学校之间的一条人行道路一般,在路由表中,我们网管人员可以从这里面查到许多有用的参考信息,可以看到各个网络路由设备之间的邻居建立关系,以及各个路由条目的路径参数信息类似于常用的技术OSPF。因此,三层路由技术被应用于各个企业内以及校园网络内也是如此。而路由协议的缺点也比较明显,相比于二层静态默认路由技术,三层动态路由协议所占用的网络设备资源内存虽然较多,大大的增加了设备与设备之间的开销占比,所以就需要购置性能参数较高的相关路由设备。来保证业务可靠的实施,推荐使用OSPF路由技术。
4.3 VRRP技术
随着用户对网络可靠性的要求越来越高,如何保证网络的不间断传输,已成为一个必须解决的问题。特别是在一些重要业务的入口或接入点上,需要保证网络的不间断运行,如企业的Internet接入点、银行的数据库服务器等。在这些业务点上如果只使用一台设备,无论其可靠性多高,网络都必然要承受因单点故障而导致业务中断的风险。
传统的单网关设备、单上联链路的环境中,用户的网关地址配置为一个固定的IP,这个IP一般被路由器的一个接口所拥有,这台路由器就充当网络网关的角色,这就存在单点故障,如果路由器宕机了,内网的用户也就断网了,再者,如果路由器的上联链路故障了,内网用户同样无法上网。VRRP可以实现网关的冗余,让网络变得更加的健壮。为了解决上述问题,引入了网关冗余协议VRRP。双机热备份实现了双机业务的备份功能,业务信息通过备份链路实现批量备份和实时备份,保证在主设备故障时业务能够不中断地顺利切换到备份设备,从而降低了单点故障的风险,提高了网络的可靠性。
通过在“同一个广播环境中”部署多台路由器,这些路由器(的接口)加入同一个VRRP组,这个VRRP组会虚拟出一台虚拟路由器,而虚拟路由器的IP地址,就是内网用户PC所配置的网关地址,虚拟路由器的MAC,就是用户将会解析到的网关IP对应的MAC。VRRP组内的成员之间进行PK,选出一个Active路由器,这个路由器承担实际的流量转发任务,他将响应内网对于网关IP的ARP查询。VRRP组内的其他路由器,为standby状态,实时侦听Active路由器的状态,以便能够在Active路由器故障后立即进行切换。
当Active路由器发生故障,剩下的组员再次进行选举,会有新的Active路由器出现承担数据转发任务,同时响应内网用户对于网关IP的ARP请求,如此一来即可实现网关的冗余,而对于内网用户来说,这一个切换的机制是完全不知情的,由协议自己完成,另外内网PC也不用做任何的配置或者网关IP的变更。
路由器状态分为两种:
1、Active路由器:就是在VRRP组实际转发数据包的路由器,在每一个VRRP组中,仅有Active响应对虚拟IP地址的ARP请求。
2、Standby路由器:就是在VRRP组中处于监听状态的路由器,一旦Active路由器出现故障, Standby路由器就开始接替工作。
总的来说,VRRP具有高度的可靠性,两台路由器之间采用VRRP(热备份冗余协议)协议,来保证两台路由器中的任意一台down掉,或路由器的广域网口down,都会迅速切换到另外一台。
4.4 STP生成树
以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路,但是这也带来了网络环路的问题。网络环路会引发广播风暴和MAC地址表震荡等问题,导致用户通信质量差,甚至通信中断。
为了解决交换网络中的环路问题,IEEE提出了基于802.1D标准的生成树协议STP(Spanning Tree Protocol)。STP是局域网中的破环协议,运行该协议的设备通过彼此交互信息来发现网络中的环路,并有选择地对某些端口进行阻塞,最终将环形网络结构修剪成无环路的树形网络结构,达到破除环路的目的。另外,如果当前活动的路径发生故障,STP还可以激活冗余备份链路,恢复网络连通性。
而随着局域网规模的不断增长,STP拓扑收敛速度慢的问题逐渐凸显,因此,IEEE在2001年发布了802.1w标准,定义了快速生成树协议RSTP(Rapid Spanning Tree Protocol),RSTP在STP的基础上进行了改进,可实现网络拓扑的快速收敛。
在运行STP协议的网络中,一台设备被称为一个网桥,或简称桥。每个桥都有一个桥ID(Bridge ID,即BID),IEEE 802.1d标准中规定BID是由桥优先级(Bridge Priority)与桥MAC地址构成。BID桥优先级占据高16位,其余的低48位是MAC地址。
根桥(Root Bridge)
STP协议破环的关键在于生成一个树形的网络结构,而树形的网络结构必须有树根,于是STP引入了根桥的概念。对于一个STP网络,根桥就是网桥ID最小的桥,在全网中只有一个,它是整个网络的逻辑中心,但不一定是物理中心。根桥会根据网络拓扑的变化而动态变化。
根端口(Root Port)
根端口就是去往根桥路径开销最小的端口,根端口负责向根桥方向转发数据,这个端口的选择标准是依据根路径开销判定。很显然,在一个运行STP协议的设备上根端口有且只有一个,根桥上没有根端口。
指定桥(Designated Bridge)与指定端口(Designated Port)
图2-1 STP示意图
思科私有协议 PVST: Per-VLAN Spanning Tree(每VLAN生成树)
PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案.PVST为每个虚拟局域网运行单独的生成树实例.一般情况下PVST要求在交换机之间的中继链路上运行cisco的ISL.
每VLAN生成树 (PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络,它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。
PVST+(Per VLAN Spanning Tree Plus,增强的按VLAN生成树) 是CISCO解决在虚拟局域网上处理生成树问题的另一个方案。PVST+ 允许CST (公共生成树)信息传给PVST,以便与其他厂商对在 VLAN 上运行生成树的实现方法进行操作。
PVST+支持在相同网络中同时存在CST和PVST,PVST+可以用802.1Q封装。PVST+在Catalyst 802.1Q trunks上是自动启动的。也是每个Vlan一棵STP。也可以实现第2层的负载均衡。PVST+分成3种类型的区域:PVST区域/PVST+区域/单生成树区域。
五、详细设计
5.1 VRRP+MSTP冗余配置
图5-1 VRRP+MSTP设计
部分配置举例:
stp instance 0 root primary
interface Vlanif10
ip address 192.168.10.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.1
vrrp vrid 1 priority 150
vrrp vrid 1 preempt-mode timer delay 20
interface Vlanif20
ip address 192.168.20.2 255.255.255.0
vrrp vrid 2 virtual-ip 192.168.20.1
vrrp vrid 2 priority 150
vrrp vrid 2 preempt-mode timer delay 20
5.2 DHCP配置
图5-2 DHCP配置
DHCP配置:
ip pool 10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.100 192.168.10.254
dns-list 172.16.1.11
ip pool 20
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.100 192.168.20.254
dns-list 172.16.1.11
5.3 OSPF配置
图5-3 OSPF配置
OSPF配置:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.0.0 0.0.255.255
network 172.32.1.0 0.0.0.255
network 172.30.1.0 0.0.0.255
5.4 IPv4 over IPv6隧道
图5-4 IPv4 over IPv6
隧道配置:
interface Tunnel2
ip address 30.1.1.1 255.255.255.0
tunnel-protocol ipv4-ipv6
source 2002::2
destination 2002::1
interface Tunnel1
description 10::1
ip address 20.1.1.2 255.255.255.0
tunnel-protocol ipv4-ipv6
source 2001::1
destination 2001::2
5.5 FW热备份配置
图5-5 热备份配置
hrp enable
hrp interface GigabitEthernet1/0/1 remote 10.1.1.2
hrp auto-sync config static-route
hrp track interface GigabitEthernet1/0/0
hrp track interface GigabitEthernet1/0/2
六、测试结果
6.1 局域网互通测试
VLAN划分可以简化网络管理,同时隔绝广播域的作用,不同VLAN默认是不能互相通信的,如果需要相互通信的话必须经过网关转发。下图为不同VLAN之间相互通信测试。
图6-2 VLAN之间通信测试
6.2 DHCP测试
采用DHCP可以自动的给终端分配IP地址,能够充分的利用IP地址,避免IP地址的浪费。
图6.2 DHCP配置测试
6.4 OSPF测试
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短构造路由表。
如下图所示将出口防火墙和核心交换机划分到了骨干区域。
图6-3防火墙OSPF邻接状态
如下图所示防火墙上学到的OSPF路由。
图6-4 防火墙路由表
6.5 HTTP服务及DNS测试
服务器开放HTTP服务和DNS域名解析,内网都可通过域名来对http服务器进行访问。
下图为内外网通过web访问域名进入HTTP服务:
图6-5 内网通过域名访问HTTP服务器
6.6 VRRP状态及切换
VRRP就是让两台设备共同维护一个虚拟网关,现网所创建的网关地址是不存在的,当主设备宕机后,备设备可立即进行切换从而接替主设备进行网关转发。
图6-6 VRRP状态
6.7 IPV4 over IPV6测试
内网通过边界防火墙IPV4和IPV6隧道策略访问公网,当内网终端流量数据到达边界防火墙时,防火墙将源地址路由丢进隧道进行访问,当数据回包时再将目的地址转为本地终端。
图6-8内网访问公网
总结
此次对广西医科大学的校园网的规划,是对网络知识的又一次系统的学习,而且是一次更完整的学习。在以前的课堂上,网络课程讲的都是关于网络原理性的内容,在实际的操作方面却很少提及。经过此次校园网的规划,学到了很多实际应用的知识。
在这次广西医科大学院校的校园网规划中,在规划之前做到了到学校考察情况,并询问了相关问题。这为以后的网络规划提供了有利的依据。在以后的规划中,以建立网络教学、办公为目标,从经济性、实用性、操作性、扩展性的原则来设计广西医科大学院校校园网。此次根据用户需求建立的网络架构,并且对以后的网络扩展也有较强的扩展性。在规划中还将新一代网络的特性和网络的发展新趋势,提高了网络的人性化,体现了以人为本的原则。但是,网络设计也有一些需要完善的地方,比如在建立服务器、防火墙的具体配置方法等方面。通过这次网络规划,丰富了我在网络方面的知识,使我学到了很多网络方面深层次的内容。特别是在网络设计、交换机、服务器方面,我有了更加丰富的知识。