皆さんこんにちは、コンピューター分野のブロガー、Xiaohua先輩です。長年の学習と実践を経て、私は豊富なコンピューターの知識と経験を蓄積してきましたが、ここでは、皆さんがより優れたプログラマーになるために、私の学習経験とスキルを皆さんと共有したいと思います。
私はコンピューターブロガーとして、プログラミング、アルゴリズム、ソフトウェア開発などの分野に注力しており、これらの分野で多くの経験を積んできました。共有することはWin-Winの関係だと私は信じており、共有することで他の人の技術レベルを向上させることができ、同時に学びとコミュニケーションの機会を得ることができます。
私の記事では、さまざまなプログラミング言語、開発ツール、一般的な問題についての私の分析と分析をご覧いただけます。実際のプロジェクト経験に基づいた実践的なソリューションと最適化テクニックを提供します。これらの経験は、現在直面している問題を解決するだけでなく、プログラミング的思考や問題解決能力の向上にもつながると信じています。
技術的な側面を共有することに加えて、キャリア開発や学習方法に関するいくつかのトピックについても触れます。私は元学生として、自分自身をより良く改善し、コンピューター分野での課題に対処する方法を知っています。皆さんのキャリア開発にプラスの影響を与えることを願って、いくつかの学習方法、面接スキル、職場での経験を共有します。
私の記事は、非常に活発で専門的なコンピューター テクノロジ コミュニティである CSDN コミュニティに公開されます。ここでは、テクノロジーを愛する他の人々とコミュニケーションし、学び、共有することができます。私のブログをフォローすると、私の最新記事をいち早く入手でき、私や他の読者と交流することができます。
コンピュータ分野に興味があり、プログラミング スキルと技術レベルをさらに向上させたいと考えている場合は、私の CSDN ブログをフォローしてください。私が共有する内容があなたを助け、インスピレーションを与え、コンピュータ分野でより大きな成功を収めることができると信じています。
一緒に優れたプログラマーになり、コンピューティングの素晴らしい世界を一緒に探索しましょう。ご注目とご支援に感謝いたします!
共有されるすべてのコンピューター プロジェクトのソース コードにはドキュメントが含まれており、卒業プロジェクトやコース設計に使用できます。質問を共有したり、経験を交換したりするためにメッセージを残すことを歓迎します。
まとめ
このトピックは、広西医科大学のネットワーク計画と設計を研究対象としており、内部ネットワーク、外部ネットワーク、サーバー ネットワーク、およびネットワーク セキュリティの 4 つの側面を対象に分析しており、キャンパス ネットワークの計画と設計の具体的な内容は、研究し、実用化のための参考資料を提供します。大学の情報構築においてキャンパスネットワークの構築は最優先事項である。本稿ではキャンパスネットワークトポロジー、ネットワーク冗長性、ローカルエリアネットワーク技術、ワイドエリアネットワーク技術、ネットワークセキュリティから始まり、10Gクロスキャンパスの計画・設計を行う。冗長リンク接続、すべての建物へのギガビット光ファイバー、デスクトップまでの 100M、高速、安全、信頼性、制御可能、管理可能なキャンパス ネットワーク。この設計では、詳細な需要分析に基づいて、広西医科大学のキャンパス LAN が完全に機能し、安全、安定、高性能である必要があり、構築するネットワーク システムは、広西医科大学の安全、効率、安定性、信頼性の高い基本ネットワークを提供できることが求められます。学校の先生と生徒、学校教育・運営のさまざまなニーズに応えるサービス。設計完了後は、ネットワークシステム要件の分析と詳細なネットワークシステム設計指示が提供されるほか、標準化された論理トポロジー図、仮想サブネットの分割とアドレス割り当て計画、機器の選定などが行われます。また、シミュレータを使用して設計のモデル ネットワークを構築し、設計の実現可能性を確認すると同時に、主要機器の構成コードを与えてネットワークの基本的な接続性をテストします。
キーワード: キャンパスネットワーク、信頼性、ローカルエリアネットワーク
抽象的な
このトピックでは、広西医科大学のネットワーク計画と設計を研究対象とし、キャンパス ネットワークの計画と設計の具体的な内容の参考となるように、内部ネットワーク、外部ネットワーク、サーバー ネットワーク、およびネットワーク セキュリティを分析しました。関連する研究と実用化。キャンパスネットワークの構築は、大学における情報構築の最も重要な部分です。このペーパーでは、キャンパス ネットワーク、ネットワーク冗長性、LAN テクノロジ、WAN テクノロジ、およびネットワーク セキュリティのトポロジから始まり、キャンパス全体にわたる 10 ギガビット冗長リンク、ギガビット光ファイバーを備えた、高速、安全、信頼性が高く、制御可能で管理しやすいキャンパス ネットワークを計画および設計します。すべての建物にファイバーを接続し、デスクトップに 100 ギガビットを接続します。このデザインには、機能的で安全なデザインが必要です。詳細な需要分析に基づいて、広西医科大学向けの安定した高性能キャンパス LAN を構築します。構築するネットワークシステムは、学校の教育・管理のニーズに応えるため、学校の教師や生徒に安全、効率的、安定的かつ信頼性の高い基本的なネットワークサービスを提供することが求められます。設計の完了後、ネットワーク システム要件の分析と詳細なネットワーク システム設計仕様が示され、標準的な論理トポロジ図、仮想サブネットの分割とアドレス割り当てスキーム、機器の選択などが示されます。シミュレータはモデル ネットワークを構築して設計の実現可能性を検証するために使用され、主要機器の構成コードはネットワークの基本的な接続性をテストするために与えられます。
キーワード:キャンパスネットワーク、信頼できるローカルエリアネットワーク
目次
4.2 OSPF ダイナミック ルーティング プロトコル... 19
1. はじめに
1.1概要
情報化時代の到来に伴い、我が国では情報ネットワークが急速に発展している段階にあります。教育の最前線として、学校は、我が国の将来のさまざまな業界の人材に重要な学習環境を提供します。したがって、キャンパス ネットワークの規模と応用レベルは、学校の教育環境と科学研究力の重要な要素です。学校には、安定した効率的なサービスを提供するために、高品質のネットワーク システムが必要です。キャンパスネットワーク開発の観点から、常に新しいネットワーク環境を教師、学生、科学研究者に提供してきましたが、新時代のネットワーク技術の急速な発展に伴い、ネットワーク開発のトレンドに追いつくために、この時代では、インターネット時代の発展の流れに沿って、新世代のキャンパスネットワークの構築が進められなければなりません。しかし、我が国のキャンパスネットワークの大部分の発展は時代の発展傾向に追いついておらず、依然として古い世代の技術的思考に囚われています。多くの学校ではコンピュータ ビジネスが十分に活用されておらず、その結果、不必要なキャンパス ネットワーク リソースが無駄に浪費されています。キャンパスネットワークの不必要な浪費を回避し、キャンパスネットワークの利用効率を向上させ、学校のビジネスレベルを向上させると同時に、時代の発展の傾向に適合し、教師と教師の日常の教育と生活を促進します。学生だけでなく学校経営者も含めた新たなキャンパスネットワークの構築が必要となってきました。
1.2プロジェクトの背景
この学校は 1934 年 11 月 21 日に設立され、広西チワン族自治区の首都南寧市にあります。この学校は、以前は広西省医科大学として知られ、1940 年に桂林に移転しましたが、学校の設立と新中国の建国に先立って、学校は戦時中に 6 回移転し、4 回名前が変更されました。新中国、1949 年 11 月に広西医科大学に改名、1952 年に中央衛生省が中南保健省の直接指導に委託、1953 年 4 月に中央衛生省が名称を承認し、広西医科大学に改名; 1954 年 7 月に桂林から現在の南寧市に移転; 1996 年 5 月に教育省が広西医科大学への改名を承認した。2020年5月25日、自治区人民政府と国家衛生健康委員会は「広西医科大学の共同建設に関する広西チワン族自治区人民政府国家衛生健康委員会の意見」に正式に署名した。広西チワン族自治区で正式に省と省が共同で建設した唯一の高等医学校となった。
1.3建設目的
情報化時代の到来に伴い、我が国では情報ネットワークが急速に発展している段階にあります。教育の最前線として、学校は、我が国の将来のさまざまな業界の人材に重要な学習環境を提供します。したがって、キャンパス ネットワークの規模と応用レベルは、学校の教育環境と科学研究力の重要な要素です。学校には、安定した効率的なサービスを提供するために、高品質のネットワーク システムが必要です。現在、国内外の学校の開発と建設では、ネットワークの技術的条件を重視する必要があり、キャンパスネットワークの計画と設計は、学校情報や教育リソースなどの共有に役立ち、学校が学校の発展に遅れないようにすることができます。情報化時代。キャンパスネットワークの構築は人材の育成に役立ち、情報ベースの質の高い教育を学生の日々の学習に浸透させ、情報技術における学生の実践的および頭を使うスキルを向上させ、情報化時代に対応することができます。キャンパスネットワークを構築することで、学校教育の質の向上、教育・指導における高度な指導方法の提供が可能となり、ネットワーク技術を教育に応用して教師の教育・指導方法を充実させることができます。キャンパスネットワークの構築は基礎教育の情報化の基本であり、色彩豊かで健全かつ新鮮なキャンパスネットワーク文化は、学校にとって生徒の思考力、道徳性、創造力を育む新たな環境となり、質の高い教育環境となります。すべての教師と生徒が総合的な能力開発を育成する、人材のための新しいプラットフォーム。
1.4主な研究内容
(1) 基本的な内容
この設計では、完全に機能し、安全で安定した高性能のキャンパス LAN を設計するために、広西医科大学の各建物、各フロア、各教室のネットワーク ケーブル配線エリアを詳細に調査し、ネットワーク要件を分析する必要があります。広西医科大学の場合。この設計では、構築するネットワーク システムが、学校の教育と管理のさまざまなニーズに応えるために、学校の教師と生徒に安全、効率的、安定した信頼性の高い基本的なネットワーク サービスを提供できることが求められます。
(2) 期待される設計効果
設計完了後は、ネットワークシステム要件の分析と詳細なネットワークシステム設計指示が提供されるほか、標準化された論理トポロジ図、仮想サブネットの分割とアドレス割り当て計画、機器の選択と投資予算などが提供されます。また、シミュレータを使用して設計のモデル ネットワークを構築し、設計の実現可能性を確認すると同時に、主要機器の構成コードを与えてネットワークの基本的な接続性をテストします。
2. 需要分析
2.1ユーザーニーズ分析
教師: ほとんどの教師は、キャンパス ネットワークを使用する際に、スムーズなネットワークを望んでいます。つまり、イントラネット上のキャンパス データベースにアクセスするときに、データのアップロードまたはダウンロードに遅延がないことが要求されます。この場合、ネットワークが必要です。高いリンク帯域幅と優れた負荷容量を備えた機器。
学生: キャンパス ネットワークは高速なので、毎日のインターネット アクセスにスムーズで安定したインターネット速度が保証されます。
管理スタッフ: 管理スタッフは、学生のオンライン コンテンツとオンライン セキュリティを効果的に監視し、停電時のデータの損失や損傷を防ぎ、キャンパス ネットワークの管理を容易にできるようにしたいと考えています。
2.2ネットワークセキュリティのニーズ分析
ネットワーク セキュリティおよびネットワーク管理ポリシーの完全かつ実行可能なセットをネットワーク内に確立して、ネットワーク サービス要求の内容を制御し、不正なアクセスがホストに到達する前に拒否されるようにする必要があります。正規ユーザーのアクセス認証を強化するとともに、ユーザーのアクセス権を強化する必要があります。最小限
2.3ネットワーク技術要件の分析
広西医科大学のネットワーク展開に対する全体的な要件は、信頼性、柔軟性、安定性、経済性です。
ネットワーク構造は、企業の将来の拡大に伴う追加の機器やネットワーク ノードの要件を満たすために柔軟かつ寛容である必要があり、経済的である必要があり、導入方法とアーキテクチャの選択は、企業が使用するネットワーク条件に近い必要があります。キャンパス職員が仕事や日常的に使用する機器を選択するときは、信頼性が高く安定している必要があります。学校が 3 日ごとに切断されたり、ネットワークのパケット損失や速度が低下したりすると、ユーザーのインターネット エクスペリエンスに大きな影響を与えます。企業のビジネスの正常な運営を確保するために、技術的および物理的に二重の冗長性を実現するために必要です。
2.4環境需要分析
広西医科大学は南寧市青秀区に位置し、広西チワン族自治区の一流大学であり、本部の敷地面積は71万平方メートル、教務スペースの面積は21万平方メートルです。 。現在、1,000 人以上の教職員と 10,000 人以上の学生がいます。学校のメインキャンパスは主に教育棟、総合棟、寮、食堂などの建物で構成されています。教育棟は高層教育棟3棟と普通教育棟9棟に分かれており、エクセレンス棟は21階建てで教室、研究室、事務室、会議室、起業拠点、研修センターがあり、薬局棟は18階建てで教室が設置されている。 、研究室、オフィスおよび学校の子会社;臨床教育棟は13階建てで、教室、研究室、オフィスが備わっています;一般教育棟は101〜109、3〜5階で、教室、実験室、オフィスが備わっています。など用途が異なり、学校内には高等職業教育棟、インターナショナルカレッジ、大学院生棟もあります。主に教育と事務に使用される総合的な建物があります。寮棟は男子寮、女子寮、大学院寮、留学生寮に分かれており、寮のフロアが異なります(男子寮Aは4階建て各階17寮、男子寮Bは5階建て各階16寮) . 男性棟C 6階建てで、各階に12の寮がございます。食堂は4つあります。
3. 全体の企画・設計
3.1ネットワーク設計の計画
このスキーム設計では、広西医科大学の古いネットワーク アーキテクチャを再構築し、統合配線の一部を変更し、今回使用したネットワーク トポロジは 3 層アーキテクチャでした。ハイエンドファイアウォール機器、3層スイッチ、アグリゲーションスイッチ、アクセススイッチ等を含む。ネットワーク展開計画の標準構造によれば、キャンパス ネットワーク構造アーキテクチャはアクセス層、アグリゲーション層、コア層に分割されます。移行プロセス中に既存のネットワークサービスに問題や中断が発生しないように、スムーズかつ安定的に実行されます 構築中のネットワークの安定性とセキュリティを確保するために、ネットワーク機器の構成時に使用されます; (VLAN) 仮想 LAN; (ポートチャネル) 冗長テクノロジー; (ACL) アクセス制御リスト; (NAT) 内部および外部ネットワーク アドレス変換およびその他の関連する操作設定。
ネットワーク情報技術、ネットワーク セキュリティ技術、データ冗長バックアップ技術の新時代が徐々に反映されています。キャンパス コンテンツと教育ネットワークに対するネットワーク需要が高まる中、広西医科大学のネットワークは、高可用性と強力な冗長性を備えた時代に合わせたエンタープライズ ネットワークを構築する必要があり、これによってのみキャンパス ネットワーク アーキテクチャの安全性が高まります。 、データ漏洩を防ぐため。この記事では、最先端の情報技術、統合配線などを組み合わせて、広西医科大学のキャンパス ネットワークの設計と実装のニーズを実現します。
ネットワーク技術が著しく発達した今日、情報セキュリティを確保したキャンパスを構築することは非常に重要であり、キャンパスの実情に応じた合理的な建設計画を策定することがキャンパス情報構築の最も重要なステップとなります。したがって、ネットワーク プロトコル戦略を適切に利用して、安定性、信頼性、高性能のキャンパス ネットワークを構築してください。
3.2ネットワーク設計の原則
学内ネットワークのネットワーク構築においては、国際的に先進的な技術を採用するだけでなく、システムの安全性、信頼性、実用性、高性能、高帯域を確保するとともに、総合的な環境を選択する必要があります。シンプルな管理の原則に基づいたネットワーク アーキテクチャ 社内での分析と議論の結果、採用することが決定されたネットワーク アーキテクチャは、「コア層 - アグリゲーション層 - アクセス層」の 3 層階層ネットワーク設計モデルです。
1. バックボーン ネットワーク コア層: コア層は、ネットワークの高速スイッチング バックボーンとネットワーク ハブであり、ネットワーク全体の接続を担当し、異なるネットワーク間のデータ送信を完了します。 : 信頼性、効率、冗長性、耐障害性、管理性などの機能。したがって、高帯域幅、高性能のギガビット以上のスイッチが使用され、デュアルマシン冗長ホット バックアップが使用されます。
2. LAN アグリゲーション アクセス: アクセス層でのユーザー トラフィックの集約、データ パケット送信の集約、転送、スイッチングの実行、ローカル ルーティング、フィルタリング、トラフィック バランシング、QoS 優先順位管理、およびセキュリティ メカニズム、IP アドレス変換、トラフィック シェーピング、マルチキャスト管理、など; ユーザートラフィックをコアスイッチング層に転送するか、処理結果に基づいてローカルでルーティング処理を実行します。
3. ターミナル アクセス層: アクセス層は、ローカル ネットワークへの動作アクセスを提供し、データの集約や送信などの機能を提供します。主にエンドユーザーがネットワークに接続するためのインターフェイスを提供するため、アクセス層の機器は低コストでポート数の多い通常のスイッチを選択します。
4. 建物LAN設計:各建物にアグリゲーションスイッチとアクセススイッチを導入し、建物ごとにネットワークセグメントを分割することで、ネットワークの分離とセキュリティの確保を実現します。
5. インターネットアクセス層:インターネットは、通信事業者の光ファイバーアクセスによる通信を実現します。インターネット アクセス機器は、主にイントラネット アクセスのためのアドレス変換と外部オペレータ回線アクセスに使用され、一部のイントラネット アドレスや外部ネットワーク上の不正な IP をブロックすることもできます。主にインターネットとの接続の役割を果たします。
3.3包括的な配線ルール
統合配線システムと、情報ネットワークシステム、セキュリティ技術防止システム、建築設備監視システム等の配線を同時に計画・設計し、各システムの情報伝送要件に応じて設計を合理的に最適化する。
統合配線システムのエンジニアリング設計では、認定検査報告書を発行し、関連する国家技術要件に準拠した最終製品を選択する必要があります。
この仕様に準拠することに加えて、統合配線システムの技術設計は、関連する国家規格にも準拠する必要があります。
図 3-1 統合配線システムの概念図
1端末装置(TE)をセットアップする必要がある独立したエリアは、作業エリアに分割する必要があります。作業領域には、情報ソケット モジュール(TO)、端末装置の接続ケーブル、アダプタが含まれる必要があります。
2配線サブシステムは、作業エリアの情報ソケットモジュール、情報ソケットモジュールから電気通信室配線設備(FD)までの水平ケーブル、電気通信室配線設備、機器ケーブル、ジャンパ等で構成されます。
3.幹線サブシステムは、機器室から電気通信室までの幹線ケーブル、機器室に設置される建物配線設備(BD) 、機器ケーブルおよびジャンパで構成されます。
4建物複合サブシステムは、複数の建物を接続する幹線ケーブル、建物複合配電機器(CD)、機器ケーブル、ジャンパで構成されます。
5機器室は、各建物の適切な場所に配線管理、ネットワーク管理、情報交換の場となるべきである。ビル配線設備、ビルクラスタ配線設備、イーサネット交換機、電話交換機、コンピュータネットワーク機器は統合配線システムの機器室に設置してください。設備室にもエントランス設備を設置可能です。
6.入線室は、建物外部の情報通信ネットワーク配管への入口となり、入口設備の設置場所として使用できます。
7管理者は、作業区域、電気通信室、機器室、引込線室及び配線経路環境にある配線設備、ケーブル、情報ソケットモジュール等の設備を一定のパターンに従って特定し、記録し、管理しなければならない。
3.4 セキュリティの計画と設計
新たな歴史の時代を迎え、コンピュータやネットワークの利用が拡大する一方で、ネットワークのセキュリティに影響を与える要因も増大し、さまざまなサイバー犯罪行為も多発しています。この厳しい状況に直面して、ネットワーク セキュリティ管理者は、コンピュータとネットワーク システムの包括的な評価を実施し、科学的な全体的なネットワーク セキュリティ ソリューションを策定し、効果的な戦略を積極的に採用し、ファイアウォール、ウイルス検出および対応システムを含むネットワーク セキュリティを構築する必要があります。コンピュータとネットワークの構成を調整し、ネットワーク セキュリティのリスクを最小限に抑え、ネットワーク ユーザーの正当な権利と利益を保護します。
1.完全かつ実現可能なネットワーク セキュリティおよびネットワーク管理戦略を確立する
3.不正なアクセスがホストに到達する前に拒否されるように、ネットワーク サービス要求の内容を制御します。
4.正規ユーザーのアクセス認証を強化し、ユーザーのアクセス権を最小限に制御します。
5.バックアップと災害復旧、システムバックアップを強化し、迅速なシステム復旧を実現します。
6.ネットワーク セキュリティ管理を強化し、すべてのシステム担当者にネットワーク セキュリティの認識と予防技術を提供します。
7.侵入者による悪意のある攻撃や破壊を防ぐ
8.オンライン送信時の企業情報の機密性と完全性を保護する
3.4 IPアドレスと VLAN の計画
表 3-1 アドレス計画
名前 |
VLAN/インターフェース |
アドレスネットワークセグメント |
ゲートウェイ |
FW1 |
GE1/0/0 |
2001::2/64 |
/ |
GE1/0/1 |
10.1.1.2/30 |
/ |
|
GE1/0/2 |
172.32.1.1/24 |
/ |
|
FW2 |
GE1/0/0 |
2002::2/64 |
/ |
GE1/0/1 |
10.1.1.1/30 |
/ |
|
GE1/0/2 |
172.31.1.1/24 |
/ |
|
FW6 |
GE1/0/0 |
172.30.1.254 |
/ |
GE1/0/2 |
172.29.1.254 |
/ |
|
コアスイッチ1 |
GE0/0/1 |
172.32.1.2/24 |
/ |
GE0/0/6 |
172.30.1.1/24 |
/ |
|
コアスイッチ2 |
GE0/0/1 |
172.31.1.2/24 |
/ |
GE0/0/6 |
172.29.1.1/24 |
/ |
|
教習棟 |
10 |
192.168.10/24 |
192.168.10.1 |
総合建物 |
20 |
192.168.20/24 |
192.168.20.1 |
大学院棟 |
30 |
192.168.30/24 |
192.168.30.1 |
食堂 |
40 |
192.168.40/24 |
192.168.40.1 |
卓越ビル |
50 |
192.168.50/24 |
192.168.50.1 |
薬局ビル |
60 |
192.168.60/24 |
192.168.60.1 |
男子寮棟 |
70 |
192.168.70/24 |
192.168.70.1 |
女子寮棟 |
80 |
192.168.80/24 |
192.168.80.1 |
サーバーテスト機 |
90 |
192.168.90/24 |
192.168.90.1 |
HTTPサーバー |
100 |
172.16.1.10/24 |
172.16.1.1 |
DNSサーバー |
100 |
172.16.1.11/24 |
172.16.1.1 |
FTPサーバー |
100 |
172.16.1.12/24 |
172.16.1.1 |
3.5機器の選択
3.4.1コアスイッチの選択
キャンパス ネットワークのコア ネットワーク層の機器の選択を分析した後、キャンパス コア ネットワーク専用に Huawei 社が製造した S12708 スイッチを使用することをお勧めします. このスイッチは、高いスループットと高い転送レートを備えています. 特定のパラメータは次のとおりです:
表 3-2 コアスイッチ S12708
スイッチング容量 |
28.8/102.4Tbps |
パケット転送速度 |
3600/24000Mpps |
メイン制御基板スロット数 |
2 |
スイッチングネットワークボードスロットの数 |
2 |
サービスボードスロットの数 |
4 |
ファンフレーム |
2 |
建築 |
CLOSアーキテクチャ |
冗長設計 |
メインコントロール、スイッチングネットワークボード、電源、ファンフレーム(フロント、リア、左リアエアダクト) |
仮想化 |
CSS2 スイッチング ネットワーク ハードウェア クラスタ、クラスタ マスター 1+N バックアップ、1.92Tbps クラスタ |
ワイヤレス管理 |
オンボード AC をサポートし、各ボードは最大 4K AP を管理でき、マシン全体で 10K AP を管理できます。 AP アクセス制御、AP ドメイン管理、AP 構成テンプレート管理をサポート 無線周波数テンプレート管理、統合静的構成、集中動的管理をサポート WLAN 基本サービス、QoS、セキュリティ、ユーザー管理をサポート |
図 3-2 Huawei S12708
3.4.2アグリゲーション層スイッチ
ネットワーク アグリゲーション レイヤーは、キャンパス ネットワーク内で Huawei S7706 スイッチの使用を推奨します。S7706 スイッチは、強力な拡張性と互換性を備えており、さまざまなネットワーク デバイスを集約するためのスイッチとして適しています。スイッチの特定のパラメータは次のとおりです。
表 3-3 S7706 パラメータ
スイッチング容量 |
19.2/48Tbps |
パケット転送速度 |
1440/16560Mpps |
冗余设计 |
主控、电源、监控板、风扇框(前后及左后风道) |
无线管理 |
支持随板AC |
用户管理 |
支持统一用户管理 |
路由特性 |
支持IPV4静态路由、RIP、OSPF、IS-IS、BGP4等 |
iPCA质量感知 |
支持直接对业务报文标记以获得丢包数量和丢包率统计数据,实时统计,零开销 |
SVF简化运维 |
支持将256个Client节点(接入交换机)、最大支持4K个AP虚拟为一台设备管理 |
缓存容量 |
支持每端口200ms数据缓存 |
数据中心特性 |
支持TRILL,FCoE(DCB),EVN,nCenter,EVB,SPB,VXLAN等数据中心特性 |
OpenFlow |
支持多控制器 |
互通性 |
VBST基于VLAN生成树协议(和PVST/PVST+/RPVST互通) |
图3-3 S7706交换机
3.4.3接入层交换机
华为的接入层交换机S5736-S交换机是一款三层的交换机,它具备万兆的上行接口和千兆的下联接口,适合终端接入使用。具体参数如下:
表3-4接入交换机参数
包转发率 |
660Mpps |
交换容量 |
2.56/25.6 Tbps |
固定端口 |
24个100M/1G/2.5G/5G/10G Base-T以太网端口 ,4个10GE SFP+ |
PoE++ |
支持,单端口最大90W供电 |
扩展插槽 |
1个扩展插槽,支持2*25GE或8*10GE光、4*40GE光子卡 |
MAC特性 |
支持MAC地址自动学习和老化 |
VLAN特性 |
支持4K个VLAN |
IP路由 |
静态路由、RIPv1/2、RIPng、OSPF、OSPFv3、ECMP、ISIS、ISISv6、BGP、BGP4+、VRRP、VRRP6 |
互通性 |
VBST基于VLAN生成树协议(和PVST/PVST+/RPVST 互通) |
图3-4华为S5720系列交换机
3.4.4 防火墙
网络出口USG防火墙为用户提供统一的外网连接业务,避免各部门各自建立出口链路。设备推荐使用华为USG6600E防火墙,该防火墙是一款万兆的出口防护设备,具有入侵检测、主动防御等安全能力。具体参数如下:
表3-5防火墙参数
固定接口 |
12×GE (RJ45) + 8×GE (SFP) + 4×10GE (SFP+) + 1×USB3.0 |
产品形态 |
1 U |
存储 |
选配2.5英寸形态硬盘,支持SSD 240GB/960GB,HDD 1TB |
一体化防护 |
集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能于一身,全局配置视图和一体化策略管理 |
应用识别与管控 |
识别6000+应用,访问控制精度到应用功能,例如:区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合,提高检测性能和准确率。 |
带宽管理 |
在识别业务应用的基础上,可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括:限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等 |
入侵防御与Web防护 |
第一时间获取最新威胁信息,准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击,包括SQL注入攻击和跨站脚本攻击等。 |
APT防御 |
与本地/云端沙箱联动,对恶意文件进行检测和阻断。 |
云管理模式 |
设备自行向云管理平台发起认证注册,实现即插即用,简化网络创建和开局 |
云应用安全感知 |
可对企业云应用进行精细化和差异化的控制,满足企业对用户使用云应用的管控需求。 |
图3-5华为USG6600E系列防火墙
3.6 网络拓扑图
图3-6 网络拓扑图
本设计方案中的校园网络的网络架构划分为三层类型:核心层、汇聚层、接入层。
伴随着广西医科大学的校园业务增加,校园网在网络架构规模越来越庞大,为了进一步提升校园网络及其其他学校在互联网上的热度以及社会推广度,广西医科大学在网络内网上设立独立web服务器、DNS服务器、FTP服务器等。
现如今按照广西医科大学的网络需求,我们所规定的三层网络架构是为搭建网络拓扑实用方案,这样的搭网环境会让整个架构层次变得分明,结构变得更为简单,出现问题的时候,容易定位在故障点。
此次校园拓扑的优点:
1、扩展性:可将三层次网络分别进行扩展变化,严格按照核心层、汇聚层、接入层架构实施。
2、可冗余性:在汇聚设备上使用VRRP技术,可以更好提高广西医科大学校园网络可行性。
3、高性能:将两到三个层次之间运用ethchannel链路聚合特性,这样可以能够更好的提高网络的稳定性以及可用性。
四、关键技术介绍
4.1 VLAN技术
VLAN技术中文含义为虚拟局域网络, VLAN技术能够有效的划分不同网络的通信, 让不同局域网实现隔离效果,可以不受地址位置的限制,虚拟局域网可以将整个网络分成一个个不同的小的子网, 这样一来,就可以较为清楚地划分不同的网络,使数据传输更为可靠有效稳定性高。也可以用来区分不同的业务系统,以及可以方便的用来区分不同网段所能访问的资源,也可以更好地避免广播风暴的发生,使局域网维护性能更强。
4.2 OSPF动态路由协议
路由技术通俗来讲被称为是三层技术,算是在网络工程中的上层应用技术了。对于一个完善成熟的网络架构拓扑中,路由技术一般运用在核心架构层次。一般所运用到的拥有路由功能的网络设备,比如有路由器、三层交换机、防火墙等高端路由设备。就类似于家与学校之间的一条人行道路一般,在路由表中,我们网管人员可以从这里面查到许多有用的参考信息,可以看到各个网络路由设备之间的邻居建立关系,以及各个路由条目的路径参数信息类似于常用的技术OSPF。因此,三层路由技术被应用于各个企业内以及校园网络内也是如此。而路由协议的缺点也比较明显,相比于二层静态默认路由技术,三层动态路由协议所占用的网络设备资源内存虽然较多,大大的增加了设备与设备之间的开销占比,所以就需要购置性能参数较高的相关路由设备。来保证业务可靠的实施,推荐使用OSPF路由技术。
4.3 VRRP技术
随着用户对网络可靠性的要求越来越高,如何保证网络的不间断传输,已成为一个必须解决的问题。特别是在一些重要业务的入口或接入点上,需要保证网络的不间断运行,如企业的Internet接入点、银行的数据库服务器等。在这些业务点上如果只使用一台设备,无论其可靠性多高,网络都必然要承受因单点故障而导致业务中断的风险。
传统的单网关设备、单上联链路的环境中,用户的网关地址配置为一个固定的IP,这个IP一般被路由器的一个接口所拥有,这台路由器就充当网络网关的角色,这就存在单点故障,如果路由器宕机了,内网的用户也就断网了,再者,如果路由器的上联链路故障了,内网用户同样无法上网。VRRP可以实现网关的冗余,让网络变得更加的健壮。为了解决上述问题,引入了网关冗余协议VRRP。双机热备份实现了双机业务的备份功能,业务信息通过备份链路实现批量备份和实时备份,保证在主设备故障时业务能够不中断地顺利切换到备份设备,从而降低了单点故障的风险,提高了网络的可靠性。
通过在“同一个广播环境中”部署多台路由器,这些路由器(的接口)加入同一个VRRP组,这个VRRP组会虚拟出一台虚拟路由器,而虚拟路由器的IP地址,就是内网用户PC所配置的网关地址,虚拟路由器的MAC,就是用户将会解析到的网关IP对应的MAC。VRRP组内的成员之间进行PK,选出一个Active路由器,这个路由器承担实际的流量转发任务,他将响应内网对于网关IP的ARP查询。VRRP组内的其他路由器,为standby状态,实时侦听Active路由器的状态,以便能够在Active路由器故障后立即进行切换。
当Active路由器发生故障,剩下的组员再次进行选举,会有新的Active路由器出现承担数据转发任务,同时响应内网用户对于网关IP的ARP请求,如此一来即可实现网关的冗余,而对于内网用户来说,这一个切换的机制是完全不知情的,由协议自己完成,另外内网PC也不用做任何的配置或者网关IP的变更。
路由器状态分为两种:
1、Active路由器:就是在VRRP组实际转发数据包的路由器,在每一个VRRP组中,仅有Active响应对虚拟IP地址的ARP请求。
2、Standby路由器:就是在VRRP组中处于监听状态的路由器,一旦Active路由器出现故障, Standby路由器就开始接替工作。
总的来说,VRRP具有高度的可靠性,两台路由器之间采用VRRP(热备份冗余协议)协议,来保证两台路由器中的任意一台down掉,或路由器的广域网口down,都会迅速切换到另外一台。
4.4 STP生成树
以太网交换网络中为了进行链路备份,提高网络可靠性,通常会使用冗余链路,但是这也带来了网络环路的问题。网络环路会引发广播风暴和MAC地址表震荡等问题,导致用户通信质量差,甚至通信中断。
为了解决交换网络中的环路问题,IEEE提出了基于802.1D标准的生成树协议STP(Spanning Tree Protocol)。STP是局域网中的破环协议,运行该协议的设备通过彼此交互信息来发现网络中的环路,并有选择地对某些端口进行阻塞,最终将环形网络结构修剪成无环路的树形网络结构,达到破除环路的目的。另外,如果当前活动的路径发生故障,STP还可以激活冗余备份链路,恢复网络连通性。
而随着局域网规模的不断增长,STP拓扑收敛速度慢的问题逐渐凸显,因此,IEEE在2001年发布了802.1w标准,定义了快速生成树协议RSTP(Rapid Spanning Tree Protocol),RSTP在STP的基础上进行了改进,可实现网络拓扑的快速收敛。
在运行STP协议的网络中,一台设备被称为一个网桥,或简称桥。每个桥都有一个桥ID(Bridge ID,即BID),IEEE 802.1d标准中规定BID是由桥优先级(Bridge Priority)与桥MAC地址构成。BID桥优先级占据高16位,其余的低48位是MAC地址。
根桥(Root Bridge)
STP协议破环的关键在于生成一个树形的网络结构,而树形的网络结构必须有树根,于是STP引入了根桥的概念。对于一个STP网络,根桥就是网桥ID最小的桥,在全网中只有一个,它是整个网络的逻辑中心,但不一定是物理中心。根桥会根据网络拓扑的变化而动态变化。
根端口(Root Port)
根端口就是去往根桥路径开销最小的端口,根端口负责向根桥方向转发数据,这个端口的选择标准是依据根路径开销判定。很显然,在一个运行STP协议的设备上根端口有且只有一个,根桥上没有根端口。
指定桥(Designated Bridge)与指定端口(Designated Port)
图2-1 STP示意图
思科私有协议 PVST: Per-VLAN Spanning Tree(每VLAN生成树)
PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案.PVST为每个虚拟局域网运行单独的生成树实例.一般情况下PVST要求在交换机之间的中继链路上运行cisco的ISL.
每VLAN生成树 (PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络,它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。
PVST+(Per VLAN Spanning Tree Plus,增强的按VLAN生成树) 是CISCO解决在虚拟局域网上处理生成树问题的另一个方案。PVST+ 允许CST (公共生成树)信息传给PVST,以便与其他厂商对在 VLAN 上运行生成树的实现方法进行操作。
PVST+支持在相同网络中同时存在CST和PVST,PVST+可以用802.1Q封装。PVST+在Catalyst 802.1Q trunks上是自动启动的。也是每个Vlan一棵STP。也可以实现第2层的负载均衡。PVST+分成3种类型的区域:PVST区域/PVST+区域/单生成树区域。
五、详细设计
5.1 VRRP+MSTP冗余配置
图5-1 VRRP+MSTP设计
部分配置举例:
stp instance 0 root primary
interface Vlanif10
ip address 192.168.10.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.10.1
vrrp vrid 1 priority 150
vrrp vrid 1 preempt-mode timer delay 20
interface Vlanif20
ip address 192.168.20.2 255.255.255.0
vrrp vrid 2 virtual-ip 192.168.20.1
vrrp vrid 2 priority 150
vrrp vrid 2 preempt-mode timer delay 20
5.2 DHCP配置
图5-2 DHCP配置
DHCP配置:
ip pool 10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
excluded-ip-address 192.168.10.100 192.168.10.254
dns-list 172.16.1.11
ip pool 20
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.100 192.168.20.254
dns-list 172.16.1.11
5.3 OSPF配置
图5-3 OSPF配置
OSPF配置:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.0.0 0.0.255.255
network 172.32.1.0 0.0.0.255
network 172.30.1.0 0.0.0.255
5.4 IPv4 over IPv6隧道
图5-4 IPv4 over IPv6
隧道配置:
interface Tunnel2
ip address 30.1.1.1 255.255.255.0
tunnel-protocol ipv4-ipv6
source 2002::2
destination 2002::1
interface Tunnel1
description 10::1
ip address 20.1.1.2 255.255.255.0
tunnel-protocol ipv4-ipv6
source 2001::1
destination 2001::2
5.5 FW热备份配置
图5-5 热备份配置
hrp enable
hrp interface GigabitEthernet1/0/1 remote 10.1.1.2
hrp auto-sync config static-route
hrp track interface GigabitEthernet1/0/0
hrp track interface GigabitEthernet1/0/2
六、测试结果
6.1 局域网互通测试
VLAN划分可以简化网络管理,同时隔绝广播域的作用,不同VLAN默认是不能互相通信的,如果需要相互通信的话必须经过网关转发。下图为不同VLAN之间相互通信测试。
图6-2 VLAN之间通信测试
6.2 DHCP测试
采用DHCP可以自动的给终端分配IP地址,能够充分的利用IP地址,避免IP地址的浪费。
图6.2 DHCP配置测试
6.4 OSPF测试
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短构造路由表。
如下图所示将出口防火墙和核心交换机划分到了骨干区域。
图6-3防火墙OSPF邻接状态
如下图所示防火墙上学到的OSPF路由。
图6-4 防火墙路由表
6.5 HTTP服务及DNS测试
服务器开放HTTP服务和DNS域名解析,内网都可通过域名来对http服务器进行访问。
下图为内外网通过web访问域名进入HTTP服务:
图6-5 内网通过域名访问HTTP服务器
6.6 VRRP状态及切换
VRRP就是让两台设备共同维护一个虚拟网关,现网所创建的网关地址是不存在的,当主设备宕机后,备设备可立即进行切换从而接替主设备进行网关转发。
图6-6 VRRP状态
6.7 IPV4 over IPV6测试
内网通过边界防火墙IPV4和IPV6隧道策略访问公网,当内网终端流量数据到达边界防火墙时,防火墙将源地址路由丢进隧道进行访问,当数据回包时再将目的地址转为本地终端。
图6-8内网访问公网
总结
此次对广西医科大学的校园网的规划,是对网络知识的又一次系统的学习,而且是一次更完整的学习。在以前的课堂上,网络课程讲的都是关于网络原理性的内容,在实际的操作方面却很少提及。经过此次校园网的规划,学到了很多实际应用的知识。
在这次广西医科大学院校的校园网规划中,在规划之前做到了到学校考察情况,并询问了相关问题。这为以后的网络规划提供了有利的依据。在以后的规划中,以建立网络教学、办公为目标,从经济性、实用性、操作性、扩展性的原则来设计广西医科大学院校校园网。此次根据用户需求建立的网络架构,并且对以后的网络扩展也有较强的扩展性。在规划中还将新一代网络的特性和网络的发展新趋势,提高了网络的人性化,体现了以人为本的原则。但是,网络设计也有一些需要完善的地方,比如在建立服务器、防火墙的具体配置方法等方面。通过这次网络规划,丰富了我在网络方面的知识,使我学到了很多网络方面深层次的内容。特别是在网络设计、交换机、服务器方面,我有了更加丰富的知识。