您好,欢迎访问三七文档
沈阳工学院实训报告3物理网络设计三、设备选型(一)、交换机选型1)接入层交换机:接入层交换机总共50台,每台接口至少20个,最低端口速度为100M/bit。可选用交换机:类似C2950T—24型号的交换机。性能分析:C2950T—24交换机,有24个10/100M端口和2个10/100/1000MBsce-T端口,背板带宽13.6G/bit,数据包交换率10.1MPacket/s,上连汇聚层交换机和下连工作区计算机都满足需求,此交换机支持VLAN划分,也可进行交换机间的级联。2)汇聚层交换机:汇聚层交换机共用5台,每幢大楼一台,用于汇聚每幢大楼中接入层交换机的数据。可选用交换机:类似C3750G—24T型号交换机。性能分析:C3750G—24T交换机,背板带宽32Gbit/s,数据包交换率38.7Gpacket/s,有24个10/10/1000M端口和4个sfp上行链路,可以满足200个信息点的数据流量要求。3)核心层交换机:核心层交换机用2台,实现双核心结构,提高可靠性。可选用交换机:类似C4500系列交换机。性能分析:是机架式三层交换机,含有部分路由功能,有以太网接口和各种插槽。在VLAN中,作为核心路由,内部连接和数据交换速率都非常快。支持单播和组播功能。(二)、路由器选型路由器是本网与外网的连接端口,本网路对外网的数据流不是很大,因而可以用一个一般的路由器左右内外网的连接出口即可。可选用路由器:Cisco1700系列的小型路由器性能分析:路由器包含有多中接口类型。对内有多个以太网接口,对外友异步串口、同步串口、ISDN、ADSL、SDH(光纤接口)、PDH接口。可以满足不同外网接入的需求。在这个单位的需求中,可以满足数据交换及接口类型和对外接入的所有要求。沈阳工学院实训报告3.1.1教学楼分析核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。汇聚交换机分别连接到各楼栋的接入层交换机,通过双绞线连接到每个课室的信息面板上,具体分配如下:教学楼有5层,每层5个信息点,两栋教学楼,共25个信息点。3.1.2学生公寓分析核心交换机通过光纤连接到学生公寓男、女区的汇聚交换机,每个区域的交换机通过光纤连接到各自的区域楼,区域楼交换机再与楼层的交换机堆叠,通过双绞线连接到宿舍的信息面板上。3.1.3网络中心分析通过光纤接入,连接到防火墙,再连接到核心交换机和服务器群。服务器群组采用一台对外Web服务器,放的是学校的官方网站;一台内网Web服务器,是学校的内部网站;一台FFTP服务器,一台DNS服务器。核心层交换机通过光纤连接到办公及教学楼、教师公寓楼、图书馆、学生公寓的汇聚层交换机。3.2网络设备配置3.2.1配置原则概述1、网络设备互连的物理端口都应该绑定端口的速率和全双工模式。2、所有的VLAN都不要穿透核心层,所有的VLAN都将在汇聚层交换机上终结。3、不启用STP生成树协议,由于所有的VLAN都已在汇聚层交换机终结,在二层上并没有环路存在,故无必要启用;如果开启基于每个VLAN的生成树协议,广播报文将会很多,影响核心交换机性能和网络收敛时间。4、所有核心层和汇聚层交换机之间的互连端口均设置为Trunk模式,只容许互连VLAN通过,以应付将来有VLAN穿越核心层这种情况。5、汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。沈阳工学院实训报告3.2.2接入层的配置我们在汇聚层采用的是核心交换机的配置,在这个二层交换机上我们对它进行创建VTPClient、划分VLAN端口。VTP(VLANTrunkingProtocol):是VLAN中继协议,也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习到Server上的VLAN信息。VTP的主要目的是在一个交换性的环境中管理所有配置好的VLAN使所有的VLAN保持一致性。通常情况下,需要在整个园区网或者企业网中的一组的交换机中保持VLAN数据库的同步,以保证所有交换机都能从数据帧中读取相关的VLAN信息进行正确的数据转发,然而对于大型网络来说,可能有成百上千台交换机,而一台交换机上都可能存在几十乃至数百个VLAN,如果仅凭网络工程师手工配置的话是一个非常大的工作量,并且也不利于日后维护——每一次添加修改或删除VLAN都需要在所有的交换机上部署。在这种情况下,我们引入了VTP(VLANTrunkingProtocol)。服务器(server):交换机默认的,VTP域中至少需要一台服务器,以便在整个域中传播VLAN信息,可以创建、添加、删除VLAN且通告整个VTP域。客户机(Client):交换机从VTP服务器接收信息,它们也发送和接收更新,但不做任何改动。交换机不参与VTP域,但转发VTP通告,可以创建、添加、删除VLAN,但不和其他交换共享数据库。3.2.3路由器的配置由于目前IP地址资源非常稀缺,不可能给校园网内部的所有工作站都分配一个公有IP(Internet可路由的)地址。为了解决所有工作站访问Internet的需要,必须使用NAT(网络地址转换)技术。NAT的配置:定义NAT内部、外部接口,实现内部Web服务器向外网提供服务。沈阳工学院实训报告3.2.4OSPF的基本配置OSPF是一个基于链路状态的内部网关协议。每个路由器维护一个相同的链路状态数据库,保存整个AS的拓扑结构。一旦每个路由器有了完整的链路状态数据库,该路由器就可以自己为根,构造最短路径树,然后再根据最短路径构造路表。对于大型的网络,为了进一步减少路由协议通信流量,利于管理和计算,OSPF将整个AS划分为若干个区域,区域内的路由器维护一个相同的链路状态数据库,保存该区域的拓扑结构。当拓扑结构发生变化时,OSPF能迅速重新计算出路径,而只产生少量的路由协议流量。OSPF路由器相互间交换信息,但交换的信息不是路由,而是链路状态。相对于其它协议,OSPF有许多优点:提供负载均衡功能,如果计算出到某个目的站有若干条费用相同的路由,OSPF路由器会把通信流量均匀地分配给这几条路由,沿这几条路由把该分组发送出去;在一个自治系统内可划分出若干个区域,每个区域根据自己的拓扑结构计算最短路径,这减少了OSPF路由实现的工作量;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化,并且与其它路由协议相比,OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量。3.2.5访问控制列表路由器是外网进入内网的第一道关卡,是网络防御的前沿阵地。路由器上访问控制列表(AccessControlList,ACL)是保护内网安全的有效手段。一个设计良好的访控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙产品后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对企业内网包括防火墙本身实施保护。在本实例设计中,将针对服务器以及内网工作站的安全给出广域网接入路由器InternetRouter上ACL的配置方案在网络环境中普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。沈阳工学院实训报告3.2.6对外屏蔽简单网管协议利用这个协议,远程主机可以监视、控制网络上的其它网络设备。3.2.7对外屏蔽远程登录协议首先,Telnet可以登录到大多数网络设备和服务器,并可以使用相关命令全操纵它们。其次Telnet是一种不安全的协议类型。用户在使用Telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。这是极其危险的,因此必须加以屏蔽。3.2.8防火墙的设置防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。防火墙的功能有:1、过滤掉不安全服务和非法用户。2、控制对特殊站点的访问。3、提供监视Internet安全和预警的方便端。在现今的网络安全环境下,木马、病毒肆虐,黑客攻击频繁。光靠杀毒软件已不足以保证的系统安全,这时防火墙就能很好的解决。常见的病毒端口,可以通过防火墙配置ACL进行隔离,把路由器能过配置ACL把它设计成包过滤防火墙来对外网不安全因素的隔离,在与外网相连的路由器上进行ACL的设置,这样可以保护内网不易受到外网的攻击,从而保证内网的安全。
本文标题:物理网络设计
链接地址:https://www.777doc.com/doc-2221697 .html