1、XX学校网络建设设计方案 河北软件职业技术学院 吴梅梅 2010.4.11 目录 一、项目背景 . 3 二、网络拓扑图 . 3 三、设备选型 . 4 1.网络设备4 2.服务器4 3.网管系统4 4.存储设备4 5.安全产品5 6.设备清单5 四、系统实施规划和设计 . 5 1.设备命名规则5 2.VLAN 划分原则与规划 5 3.IP 地址规划 .6 4. 路由协议规划 .9 5. 网络安全规划 . 9 6. VRRP 与 MSTP.10 五、施工进度安排 .10 一、项目背景 某大学有四座普通教学楼、一座多媒体教学楼、一座图书馆、三个学生宿舍,一 座办 公楼,一座实训楼。为响应信息化建设要
2、求,搞好信息化基础设施建设,现 在全校范 围内进行网络规划实施。除普通教学楼外,其它地方都需要有网络覆盖 二、网络拓扑图. 三、设备选型 1. 网络设备 由于该学校有 1558 个信息点,核心路由的负担较大,所以我们选择 SR6602 两台 冗 余配分,流量负载分担,每台 SR6602 分别连接一 ISP 运营商。 核心交换机米用 S7502E 两台冗余备份,该设备自身具有良好的可靠性设计,支 持万 兆模块,再加上两台冗余使网络可以达到电信级可靠性,保证业务不间断, 同时具有 良好的可扩展性。 汇聚层交换机采用 S3100 系列,能够很好的控制网络拓扑结构的变化, 控制路由 表 的大小,环节核
3、心层的压力,对于流量进行很好的控制,同时实现端口的收敛, 实现 丰富的业务特性。 接入交换机采用 S1656 系列,可提供千兆上行接口,提高内网用户,访问内网服 务 器的速度。 2. 服务器 Web 服务器、DNS 服务器、DHCP 艮务器和 ftp 服务器 3. 网管系统 采用 H3C iMC 在传统的网络管理系统的基础上,实现对 IP 用户、IP 资源和 IP 业务 的统一管理,为客户最终提供一系列面向安全控制、 面向性能优化和面向运 营管理 的整体解决方案。 4. 存储设备 H3C EX8O0 适用于 web 数据库存储和多媒体编辑制作等应用系统,可提供中 小型系 统数据集中、 Win
4、dows 系统保护等。 5. 安全产品 H3C SecPath T1000-S 入侵防御系统,该设备能精确实时地识别、阻断或限制黑 客、 蠕虫、病毒、木马 DOS/DDOS 扫描、网络钓鱼、网游等网络攻击,还具有 实用的带 宽管理和 url 过滤功能,可以为用户网络提供最全面的深度防御。 6. 设备清单. 序列设备名设备参数设备型 SR660212SR66 核心路由路由主 S7502E 主控板 2 2 S7502E 核心交换机 S3100 3 2 汇聚交换机 S1656 50 48 个接入交换机 10/1004 自协商的以太网 口 1 4X网安全产品 口:业 H3C 固 定务 5 以太网电口;
5、可 10/100/1000MSecPath 10/100/1000MXT1000-S 扩展业务口: 4X1000MSFP 光 口 以太网电口,46 存 储 设备 1H3C EX800 管理口:个 10/100 自适用;1 10/100/1000 个业务接口: 4 自适用 7 1 个 网管软件 管理软件 H3CMC 1四、 系统实施规划和设计 1.设备命名规则 为了保证以后管理的方便,采用如下的设备命名方法: AA-BB-CC-DD 其中 AA 为设 备所在网络中的位置,BB 为设备的生产商,CC 为设备型号,DD 为设备的编 号。 2.VLAN 划分原则与规划 每个 VLAN 1 个网段,每个
6、网段的网关为 254。. 部门 主机数量 VLAN IP 地址(子网掩码 255.255.255.0 ) 多媒体教学楼 68 Vlan 2 192.168.2.1-192.168.2.253 192.168.3.1- 192.168.3.25360 Vian 3 图书馆 192.16841-192.1684253 60 Via n 4 192.168.5.1- 192.168.5.253 60 Vian 5 192.168.6.1- 192.168.6.253 60 Vian 6学生宿舍楼(一) 192.168.7.1- 192.168.7.253 Vian 7 60 192.168.8.1-
7、 192.168.8.253 65 Vian 8 192.168.9.1- 192.168.9.253 Vian 9 65 学生宿舍楼(二) 192.168.10.1- 192.168.10.253 65 Vian 10 192.168.11.1- 192.168.11.253 Vian 11 65 192.168.12.1- 192.168.12.253 Vian 12 60 (三)60 192.168.13.1-192.168.13.253 Vian 13 学生宿舍楼 192.168.14.1- 192.168.14.253 Vian 14 60 192.168.15.1- 192.168
8、.15.253 65 Vian 15 192.168.16.1- 192.168.16.253 Vian 16 65 192.168.17.1- 192.168.17.253 65 Vian 17 65 办公楼 Vian 18 192.168.18.1-192.168.18.253 192.168.19.1- 192.168.19.253 65 Vian 19 192.168.20.1- 192.168.20.253 65 Vian 20 192.168.21.1- 192.168.21.253 60 Vian 21 192.168.22.1- 192.168.22.253 60 Vian 2
9、2 192.168.23.1- 192.168.23.253 60 Vian 23 实训楼 Vian 24 192.168.24.1-192.168.24.253 60 192.168.25.1- 192.168.25.253 Vian 25 60 192.168.26.1- 192.168.26.253 60 Via n 26 地址规划 3P设备管理地址 1.的地址作 VLAN 1L00PBA 路由器采 用接口地址作为管理地址,交换机采用为管理地址。 掩码位数设备名称管理地址 32 HX-H3C-SR6602-1 10.0.0.1 32 HX-H3C-SR6602-2 10.0.0.2 32
10、 10.0.0.3 HX-H3C-S7502E-1 32 HX-H3C-S7502E-2 10.0.0.4 24 HJ-H3C-S3100-1 10.0.0.5 24 10.0.0.29 JR-H3C-1656-23 24 10.0.0.30 JR-H3C-1656-24 24 JR-H3C-1656-25 10.0.0.31 24 10.0.0.32 JR-H3C-1656-26 24 JR-H3C-1656-27 10.0.0.33 24 10.0.0.34 JR-H3C-1656-28 24 HJ-H3C-S3100-2 10.0.0.6 24 JR-H3C-1656-29 10.0.0
11、.35 24 10.0.0.7 JR-H3C-1656-1 24 JR-H3C-1656-2 10.0.0.8 24 JR-H3C-1656-3 10.0.0.9 24 JR-H3C-1656-4 10.0.0.10 24 10.0.0.11 JR-H3C-1656-5 24 10.0.0.12 JR-H3C-1656-6 24 JR-H3C-1656-7 10.0.0.13 24 JR-H3C-1656-8 10.0.0.14 24 JR-H3C-1656-9 10.0.0.15 24 JR-H3C-1656-10 10.0.0.16 24 JR-H3C-1656-11 10.0.0.17
12、24 JR-H3C-1656-12 10.0.0.18 24 JR-H3C-1656-13 10.0.0.19 24 JR-H3C-1656-14 10.0.0.20 24 JR-H3C-1656-15 10.0.0.21 24 JR-H3C-1656-16 10.0.0.22 24 JR-H3C-1656-17 10.0.0.23 24 JR-H3C-1656-18 10.0.0.24 24 10.0.0.25 JR-H3C-1656-19 24 10.0.0.26 JR-H3C-1656-20 24 JR-H3C-1656-21 10.0.0.27 24 JR-H3C-1656-22 10
13、.0.0.28 JR-H3C -165630 JR-H3C -165631 10.0.0.36 10.0.0.37 24 24 JR-H3C -1656 32 10.0.0.38 24 24 JR-H3C-1656-33 10.0.0.39 24 JR-H3C-1656-34 10.0.0.40 24 10.0.0.41 JR-H3C-1656-35 24 JR-H3C-1656-36 10.0.0.42 24 JR-H3C-1656-37 10.0.0.43 24 JR-H3C-1656-38 10.0.0.44 24 10.0.0.45 JR-H3C-1656-39 24 JR-H3C-1
14、656-40 10.0.0.46 24 10.0.0.47 JR-H3C-1656-41 24 JR-H3C-1656-42 10.0.0.48 24 JR-H3C-1656-43 10.0.0.49 24 10.0.0.50 JR-H3C-1656-44 24 10.0.0.51 JR-H3C-1656-45 24 10.0.0.52 JR-H3C-1656-46 24 10.0.0.53 JR-H3C-1656-47 24 JR-H3C-1656-48 10.0.0.54 24 JR-H3C-1656-49 10.0.0.55 24 JR-H3C-1656-50 10.0.0.56 设备互
15、连地址规划 2. 设备名 称 地址 IP对端设备名称 IP 地址 192.168.10.1 HX-H3C-SR6602-2 192.168.10.4 HX-H3C -SR660 2-1 192.168.10.2HX-H3C-S7502E-1 192.168.10.7 192.168.10.3 192.1683.10.13 HX-H3C-S7502E-2 HX-H3C -SR660 2-2 192.168.10.5HX-H3C-S7502E-1 192.168.10.8 HX-H3C -S7502 E-1 192.168.10.6 192.168.10.9 192.168.10.10 HX-H3
16、C-S7502E-2 192.168.10.12 HX-H3C-S7502E-2 192.168.10.14 192.168.10.17 HJ-H3C-S3100-1 192.168.10.11HJ-H3C-S3100-2192.168.10.21 192.168.10.15 HX-H3C-S7502E-2 HJ-H3C-S3100-1192.168.10.18 192.168.10.20 192.168.10.16 HJ-H3C-S3100-2 业务网段规划 3.254. 一个网段,每个网段的网关是每个 VLAN 部门多媒体教学楼VLAN 2 图书馆3-4 学生宿舍楼(一)学生宿 舍 楼(二
17、) 5-7 8-11 学生宿舍楼(三)12-14 办公楼实训楼15-21 22-26 4.路由协议规划动态路由协议,路由收敛速度快,不存在路由环路,可路 由协 议采用 OSPF 以动态感知网络拓扑结构的变化,保证网络业务不间断。 网络安全规划 5.规划 1.NAT 可以让内网用户 NATNA 技术可以隐藏内部 网路, 提高内网的安全性,同时地址的同时也节省了用IPIn ternet ,节省使用 一个或几个公网地址就可以接入 户投资。可以把内网服务器映射到外网,使外 网用户 通过公网地址就可 NATSERVEF 以访问内网的服务器,提高了内网服务器 的安全性。 NAT 技术都在核心路由器上实现。
18、以上提到的两种攻击 2.防内网 ARP 入侵检测功能,可有效防止黑客或攻 ARPS3100-E 系列交换机支持特有的 ARPM 文实施网络中逐渐盛行的“中间人”攻击。击者通过DHCP 防私设服务器 3. 的信任端口特性有效杜绝私系列交换机可以利用S3100-EIDHCP snooping 设 DHCP 服务器,保证 DHCP 服务器环境的真实性和一致性。 4. 访问控制 使用 aci 访问控制列表实现多媒体教学楼、图书馆实现全天可以访问公网,办公楼上班时间(8 : 00-12 : 00,14: 00-18 : 00)不能访问外网的www 服务。宿舍楼上休息时间(0:00-6:00 )不允 许访
19、问任何外网。 6.VRRP 与 MSTP VRRP(虚拟路由冗余协议)可以起到设备备份的作用,当一台核心设备坏掉后, 另一 台设备可以不间断的提供服务,保证业务的不间断性。 MSTP 通过采用冗余链路保障网络可靠性, 同时还可以根据不同的 VLAN 制定不同 的 生成树实例,不同实例间单独计算生成树,保证不同实例有不同的根桥,从而 实现在保 障链路冗余的同时还可以起到流量负载分担的作用。 五、施工进度安排 序列号任务名称综合 布线 1 开始时间完成时间 2010.4.132010.4.11 2 设备安装2010.4.122010.4.13 3设备调试现场技术 培训 4 2010.4.162010.4.18201 0.4.20 2010.4.19 项目验收 5 2010.4.232010.4.23 持续时