目录
1.网络需求分析
1.1 功能需求分析
1.2 技术需求分析
1.3 网络安全需求分析
2.校园局域网设计
2.1 拓扑图
2.2 IP 规划和 VLAN 划分
2.3 核心层设备配置
2.3.2 ospf配置
2.3.3 ACL访问控制配置
2.4 汇聚层设备配置
2.4.2 ospf及开销修改配置
2.4.3 vrrp配置
2.4.4 dhcp地址池配置
2.4.5 mstp生成树配置
2.5 接入层配置
2.5.1 接口配置
2.6 防火墙及NAT配置
2.7 校园网服务器配置
3 设备选型
3.1 设备选型原则
3.2 核心层交换机选型
3.3 接入层交换机
3.4 防火墙选择
4 网络测试
1.网络需求分析
1.1 功能需求分析
- 校园网与 Internet 相连, 师生可以通过互联网获取资源与信息。
- 实现在校园网内部的文件传输共享。
- 实现学校教师、行政的无纸化办公。
1.2 技术需求分析
- IP规划:校园网络的特点是终端数量十分庞大。按照不同的职能划分不同的网络区域, IP 规划要适当。
- 服务器:校园网中的服务器需要 24 小时开机,因此需要有专用的服务器机房站点,并有专业的运维人员看护。
- 网络需要具有较高的冗余性,避免出现单点故障。
- 校园网络的 ISP 接入选择要合适,根据在校人数和校园服务购买一定的 IP 数量和多条的链路带宽。
- 由于校园网内流量较大,需求划分相应VLAN,来划分广播域,节省网络带宽。并且实现流量的负载均衡。
1.3 网络安全需求分析
- 由于校园网络接入Internet,需使用防火墙设备来保护内网用户的数据安全对不良信息进行过滤,还可以对接入Internet的用户进行权限控制。
- 所有内网用户禁ping服务器。
- 所有的内网用户不允许访问财务处,并且财务处不允许访问Internet。
- 内网用户都允许访问服务器。
- 外网用户不能直接访问内网用户,内网用户除财务部以外可以访问外网。
2.校园局域网设计
2.1 拓扑图
根据需求分析设计出本次搭建的校园网络拓扑图,如下图所示:
校园网网络整体上分为三个层次:核心层、汇聚层和接入层。
为了实现校园网内的冗余备份以及局域网内的高速互联因此核心层由两个核心节点组成,其中包含有服务器群。
对于拥有大流量的楼栋来说每一栋设置2个汇聚节点,对于对网络需求不大的普通教室可以公用汇聚节点,减少成本的投入,汇聚层为三层交换机,根据每栋楼的需求不同, 分别采用一台或者两台汇聚层交换机汇聚。
接入层则为每个楼的大量接入交换机,是直接与用户连接的设备。
2.2 IP 规划和 VLAN 划分
2.3 核心层设备配置
2.3.1 IP地址的配置
核心路由器节点1配置:
interface GigabitEthernet0/0/0
ip address 192.168.70.2 255.255.255.252
#
interface GigabitEthernet0/0/1
ip address 192.168.70.10 255.255.255.252
#
interface GigabitEthernet0/0/2
ip address 192.168.70.18 255.255.255.252
配置端口聚合LACP :
interface Eth-Trunk0
undo portswitch
ip address 192.168.70.65 255.255.255.252
mode lacp-static #静态lacp
max active-linknumber 2 ##最大激活两根链路
服务器集群汇聚交换机配置:
interface Vlanif99
ip address 192.168.68.6 255.255.255.248
#
interface Vlanif117
ip address 192.168.70.69 255.255.255.252
2.3.2 ospf配置
核心路由器节点1配置:
ospf 1 router-id 1.1.1.1
bfd all-interfaces enable //bfd联动ospf 检测链路状态 加快链路的收敛速度
area 0.0.0.0 //区域0
network 1.1.1.1 0.0.0.0
network 192.168.70.64 0.0.0.3
network 192.168.70.68 0.0.0.3
network 192.168.80.0 0.0.0.3
area 0.0.0.1 //区域1
network 192.168.70.0 0.0.0.3
network 192.168.70.8 0.0.0.3
area 0.0.0.2 //区域2
network 192.168.70.16 0.0.0.3
area 0.0.0.3 //区域3
network 192.168.70.24 0.0.0.3
network 192.168.70.32 0.0.0.3
network 192.168.70.40 0.0.0.3
network 192.168.70.48 0.0.0.3
network 192.168.70.56 0.0.0.3
network 192.168.70.72 0.0.0.3
2.3.3 ACL访问控制配置
核心路由器节点1配置:
interface GigabitEthernet0/0/2
ip address 192.168.70.18 255.255.255.252
traffic-filter outbound acl 3000 //放置在接口出方向
acl number 3000
rule 5 deny icmp destination 192.168.66.16 0.0.0.15 icmp-type echo //不允许任何地址对财务处网段发起的连接
服务器集群汇聚设备配置:
acl number 3000
rule 5 deny icmp destination 192.168.68.0 0.0.0.7 //不允许其他设备的服务器发起ping操作
interface GigabitEthernet0/0/5
port link-type access
port default vlan 118
traffic-filter inbound acl 3000
2.4 汇聚层设备配置
2.4.1 Vlan及ip配置
宿舍汇聚节点1配置:
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 101
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 102
2.4.2 ospf及开销修改配置
全网ospf都启用bfd双向转发检测,检测链路状态在检测到故障后,上送到对应的上层应用模块进行快速处理加快全网的收敛速度。对ospf链路的开销进行修改,控制流量的走向。
宿舍汇聚节点1配置:
ospf 1 router-id 3.3.3.3
bfd all-interfaces enable
area 0.0.0.1
network 192.168.0.0 0.0.31.255
network 192.168.70.0 0.0.0.3
network 192.168.70.4 0.0.0.3
network 192.168.32.0 0.0.15.255
network 192.168.67.0 0.0.0.7
network 192.168.67.8 0.0.0.7
network 3.3.3.3 0.0.0.0
interface Vlanif20
ip address 192.168.0.1 255.255.224.0
ospf cost 5
interface Vlanif101
ip address 192.168.70.1 255.255.255.252
ospf cost 1 //修改开销使宿舍1-8号流量走核心节点A
#
interface Vlanif102
ip address 192.168.70.5 255.255.255.252
ospf cost 4
2.4.3 vrrp配置
宿舍汇聚节点1配置:
interface Vlanif20 //宿舍1-8号的vlan
ip address 192.168.0.1 255.255.224.0
vrrp vrid 1 virtual-ip 192.168.31.254 //虚拟ip
vrrp vrid 1 priority 120 //优先级120 默认100 设置为vrrp主
vrrp vrid 1 track interface GigabitEthernet0/0/4 reduced 15 //检测上层直连链路
vrrp vrid 1 track interface Eth-Trunk0 reduced 30
vrrp vrid 1 track interface GigabitEthernet0/0/5 reduced 15
vrrp vrid 1 track bfd-session session-name 1 reduced 30 //使用bfd检测 核心层上层链路避免出现次优路径。
ospf cost 5
dhcp select global
#
interface Vlanif30 //宿舍9-12号 vlan
ip address 192.168.32.2 255.255.240.0
vrrp vrid 2 virtual-ip 192.168.47.254 //虚拟ip
ospf cost 5
dhcp select global
#
interface Vlanif40 // 宿舍1-8号AP设备vlan
ip address 192.168.67.1 255.255.255.248
vrrp vrid 3 virtual-ip 192.168.67.6 //虚拟ip
vrrp vrid 3 priority 120 //优先级120 设置为master
vrrp vrid 3 track interface GigabitEthernet0/0/4 reduced 15
vrrp vrid 3 track interface Eth-Trunk0 reduced 30
vrrp vrid 3 track interface GigabitEthernet0/0/5 reduced 15
ospf cost 5
dhcp select global
#
interface Vlanif50 // 宿舍9-12号AP设备vlan
ip address 192.168.67.10 255.255.255.248
vrrp vrid 4 virtual-ip 192.168.67.14
ospf cost 5
dhcp select global
2.4.4 dhcp地址池配置
宿舍汇聚节点1配置:
ip pool vlan20
gateway-list 192.168.31.254
network 192.168.0.0 mask 255.255.224.0
dns-list 192.168.68.3
#
ip pool vlan30
gateway-list 192.168.47.254
network 192.168.32.0 mask 255.255.240.0
dns-list 192.168.68.3
#
ip pool vlan40
gateway-list 192.168.67.6
network 192.168.67.0 mask 255.255.255.248
excluded-ip-address 192.168.67.1 192.168.67.2
option 43 sub-option 2 ip-address 192.168.66.42
#
ip pool vlan50
gateway-list 192.168.67.14
network 192.168.67.8 mask 255.255.255.248
excluded-ip-address 192.168.67.9 192.168.67.10
option 43 sub-option 2 ip-address 192.168.66.42
2.4.5 mstp生成树配置
使用MSTP 多实例生成树协议 多实例一棵树 将不同的vlan划分到实例中 实现负载均衡 避免导致有设备处于空闲状态。
宿舍汇聚节点1配置:
stp instance 1 root primary
stp instance 2 root secondary
stp region-configuration
region-name lzc
revision-level 1
instance 1 vlan 20 40
instance 2 vlan 30 50
active region-configuration
2.5 接入层配置
2.5.1 接口配置
宿舍接入1配置:
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface Ethernet0/0/3
port link-type trunk
port trunk pvid vlan 40
port trunk allow-pass vlan 2 to 4094
#
interface Ethernet0/0/4
port link-type access
port default vlan 20
2.6 防火墙及NAT配置
防火墙接口模式及IP地址配置,将相应的接口加入到对于的安全区域中并且设置别名方便管理:
NAT策略及安全策略配置,配置防火墙的安全策略 根据需求:允许除了财务处都可以访问互联网,宿舍、图书馆、机房设置特点时段允许访问互联网。
根据IP地址规划,创建合理的ip地址对象用于防火墙配置时的调用和管理:
添加上网时间段,用于nat策略调用:
图书馆访问互联网安全策略配置:
机房访问互联网安全策略配置:
宿舍访问互联网安全策略配置:
禁止财务处访问互联网安全策略配置:
ISP1 NAT策略配置:
ISP2 NAT策略配置:
允许外网用户访问校园的http服务器,配置nat服务器的安全策略:
配置nat server:
域间安全策略配置:
放行防火墙local区域到trust区域的自发流量:
根据不同的流量使用不同的isp链路访问互联网:
在路由策略上绑定ip link 链路检测:
2.7 校园网服务器配置
主要使用的服务器有一下几类:文件服务器 (ftp) 、网站服务器(web)、域名服务器(DNS服务器)等。
选择文件根目录,模拟web服务器:端口使用80
模拟配置FTP服务器设置文件根目录,端口号21
设置域名为 www.school.net 映射ip为web服务器的地址:
组播源配置:
组播路由器配置:
[HX_A]multicast routing-enable
[HX_A]int g4/0/3
[HX_A-GigabitEthernet4/0/3]pim sm
[HX_A-GigabitEthernet4/0/3]int g2/0/2
[HX_A-GigabitEthernet2/0/2]pim sm
[HX_A-GigabitEthernet2/0/2]int g2/0/3
[HX_A-GigabitEthernet2/0/3]pim sm
[jxl_HJA-Vlanif111]int vlan 112
[jxl_HJA-Vlanif112]pim sm
[jxl_HJA-Vlanif111]pim sm
[jxl_HJA-Vlanif14]igmp enable
[jxl_HJA-Vlanif14]int vlan 15
[jxl_HJA-Vlanif15]
[jxl_HJA-Vlanif15]pim
[jxl_HJA-Vlanif15]pim sm
[jxl_HJA-Vlanif15]
[jxl_HJA-Vlanif15]ig
[jxl_HJA-Vlanif15]igmp en
[jxl_HJA-Vlanif15]igmp enable
3 设备选型
3.1 设备选型原则
我们对每一台设备都选择一个合适的品牌和型号,来实现学校的需求。所以在选择设备的时候,我们要考虑很多的问题。能满足学校需求是第一位的的,还要考虑性价比。在同样的价格情况下,选择性能更强的设备。在性能一样的情况下,我们要选择成本更低的设备。为了保证网络的稳定性,一定不要选择早就已经被时代所淘汰的设备,他们虽然价格低廉,但是已经不能承载最新的技术。也不能选择太过新颖的设备,这些设备还不够成熟,还有待完善。要选择性能稳定,成熟度高,且能够持续扩展的设备。
3.2 核心层交换机选型
核心层交换机主要应考虑交换能力和可靠性,因此应选择从设计上无单点故障的产品。华为S9312系列交换机的高可靠性达到了运营商的级别,本系列的产品有些最重要的基本元素,如主控制器和电力等,都是有冗余设计的,而且所有的部件都支持热插拨,安全性和可靠性都符合需求。因此可以减少服务中断,进行无损业务升级气支持完善的运维检测与性能管理,能在网络发生拥堵时对数据传输时延、系统抖动等参数时行统计,对网络交通进行实时监控和故障的快速定位。其中S9312这款交换机采用的是模块化的设计,它支持6个业务槽位,背板带宽12Tbps,包转发率1344pps,单台设备支持240个万兆端口,相较于其他俩种交换机具有更加优秀的背板带宽,较为优秀的包转换率和模块化端口,所以最终选用华为S9303作为核心层交换机,为学校企业网络核心层升级至万兆交换能力提供了可能性。另外,S9312交换机支持 AC portal server功能,支持Access Point模式,上线时可以自动选择发射信道和功率,可以自动调整信道或功率在信息冲突时。无线设备跨接入点漫游时快速切换,无线AC可以1对1、1对多的进行冷备和均衡负载从而提升可靠性。
3.3 接入层交换机
对于接入层交换机需要考虑的是,是否有足够多的端口可以让所有终端设备都接入到网络中,可以提供丰富的接口,并且该层交换机的适应性应该足够强,保证信息传输过程中运行稳定,可以提供丰富的接口,保证性价比。结合上述接入层交换机的需求,和对各品牌交换机参数对比我们发现华为S1730S-S24T4S交换机拥有最高的背板带宽,较好的包转换率和较为适合的端口数量,并且价格合理。根据以上因素的综合考虑,华为S1730S-S24T4S交换机更为合适。
3.4 防火墙选择
华为USG6500系列云管理防火墙是配套华为云管理解决方案的防火墙产品,它支持传统防火墙管理和云管理“双栈”模式,适合为中小型企业、大型企业分支、连锁机构等提供基于云管理的安全上网服务。移动化、大数据、ICT融合造成企业网络规模越来越庞大,组网越来越复杂,网络管理和维护投入的成本越来越高。在此背景下,华为推出了云管理网络解决方案,它以SDN技术为支撑,包括云管理平台和全系列云化网络设备两部分,具备云化网络管理、网络设备即插即用、业务配置自动化、运维自动化可视化和网络大数据分析等优势,能够显著解决传统网络面临的难题。云管理平台由华为企业公有云运营,或者由MSP、运营商自行建设和运营,租户只需支付防火墙硬件和云管理License费用即可使用云管理平台提供的各种业务,网络建设和维护都由云管理平台运营方提供,大大节省了企业资金和人力投入。
本次设计使用华为USG6530型号的防火墙,此设备的特点在于设备即插即用,简化网络创建与开局。设备在启动后向云管理平台发起认证注册即可使用。同时云管理网络解决方案中引入了GLS,可以展现设备个区域分布情况,如若发生故障,可及时捕获故障设备位置。
4 网络测试
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓功能测试截图请扫下方二维码获取↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓