1、一、校园网功能 一般的校园按功能可以分为三个区域,每个区域有不同的网络需求:(1)生活区:包括后勤中心、学生宿舍、教工宿舍,每个宿舍都需要有一个网口,对宽带接入、网页浏览、网络聊天、客户端服务的要求较高;(2)教学区包括各系院的教学楼、实验楼,为教师与学生提供教学场所,对多媒体教学、远程登录、远程访问、远程控制等要求较高;(3)综合办公区是教职工及行政人员工作的地方,每个办公室都有网口,对协同工作、信息发布、数据管理、宽带接入、网页浏览、邮件收发、资源共享的要求较高。为了保证网络通信的移动性,还要考虑配置无线接入设备Access Point。以后网络的维护和扩展也是一个重要考虑因素。
2、网络架构 各单位在构建内部网络时,通常采用3层网络架构:即核心层、汇聚层和接入层。(1)核心层是网络的主干部分,为达到高速转发的目的,核心层交换机应拥有更高的性能要求。接入层是网络中直接面向用户连接或访问网络的部分,主要提供交换带宽和第二层服务。(2)汇聚层:而位于接入层和核心层之间。根据需要选择合适的网络互连设备,在PacketTracer模拟软件中提供多种型号的网络设备。(3)接入层主要由低成本、高密度的设备,所以该层我们选择Cisco2950或Cisco2960普通二层交换机;汇聚层和核心层交换机选择Cisco3560三层交换机,链接外网的路由器选择Cisco2811。
3、二、设计步骤:1. 网络拓扑设计和IP地址规划(1)核心层 主要设备是带路由功能的三层交换机S0,其主要目的在于通过高速转发通信,提供优化、可靠的骨干传输结构。它作为网络数据流量的结点,也是校园网与运营商连接的交汇点,实现校园内部网络与外部网络的连接。对于出口路由器,还有以下考虑:1)出口路由器不仅是整个内网的汇聚点,而且是与外网互联的接口。因此它需要具有路由转发功能。其中涉及的网络协议有静态路由协议、RIP 动态路由协议。2)出口路由器因为暴露在校园网的最外层,因此,它应该能够控制校园网内主机对网络地址的访问,起到第一层防火墙的作用,其中涉及的网络协议是 ACL 访问控制列表协议。3)为了使校园网内的终端 PC 机能够访问外网,目前比较主流的技术就是采用 NAT 地址转换协议。4)考虑到师生可能在校外需要连接局域网内的某些机器或者服务器,因此需要提供 VPN 接入服务功能。对于校外的 PC 机,只能够上外网,就能够通过输入 VPN 域名及密码、用户名及密码来接入校园局域网,从而方便了师生的需求。
4、(2)汇聚层 由S1(生活区)、S2(教学区)、S3(办公区)3台三层交换机构成,为保证网络可靠性,从S0至S1、S2、S3这些三层交换机之间用冗余链路互连,保证核心层与汇聚层之间数据传输的可靠性。三层交换机具备网络层的功能,实现VLAN间相互访问的原理是:利用三层交换机的路由功能,通过识别数据包的目的IP地址,查找路由表进行选路转发。三层交换机利用直连路由可以实现不同VLAN之间的互相访问。三层交换机给接口配置IP地址,采用交换虚拟接口(Switch Virtual Interface,SVI)的方式实现VLAN间互连。SVI是指为交换机中的VLAN创建虚拟接口,并且配置IP地址。
5、3)接入层 由S4-S11共8台二层交换机构成,并且连接全校各部门的PC机。 在生活区中,设有S4(后勤中心)、S5(学生宿舍)、S6(教工宿舍)3台接入层交换机,IP地址从192.168.11.0网段至192.168.13.0网段,每个网段对应创建一个虚拟局域网VLAN。由于学生宿舍和职工宿舍楼作为校园网中最主要的数据流输出,需要合理安排足够的IP地址数量。
6、2.各区域对应的设备(1)在生活区中,设有S4(后勤中心)、S5(学生宿舍)、S6(教工宿舍)3台接入层交换机,IP地址从192.168.11.0网段至192.168.13.0网段,每个网段对应创建一个虚拟局域网VLAN。由于学生宿舍和职工宿舍楼作为校园网中最主要的数据流输出,需要合理安排足够的IP地址数量。(2)在教学区中,设有S7(教学楼)、S8(实验楼)这2台接入层交换机,IP地址从192.168.21.0网段至192.168.22.0网段,每个网段对应创建一个虚拟局域网VLAN。在实验楼,考虑到无线设备的接入,在192.168.5.0的交换机上连接无线接入设备AccessPoint,实现移动终端设备的接入。(3)在综合办公区中,设有S9(图书馆)、S10(教学楼)、S11(实验楼)3台接入层交换机,IP地址从192.168.31.0网段至192.168.33.0网段,同样创建虚拟局域网VLAN。考虑到移动终端设备的大量使用,可以在需要的部分设置无线接入设备Access Point,并单独划分进各自的虚拟局域网中,为移动终端设备的便捷接入提供条件。
7、3.VLAN及IP地址详细规划如下表所示
8、三、配置过程(采用由顶向下的过程进行配置)1.配置路由器R1 路由器R1主要起到连接核心交换机和外网的作用,在有了直连路由项的基础上,为实现非直连的跨VLAN间连通,要在R1和三层交换机之间建立动态路由项。使得每个三层交换机都拥有了一个通往虚拟局域网内所有网段的路由条目,能够实现校园网内任意虚拟局域网间的连通。 三层交换机作为核心交换机,利用OSPF动态路由协议创建动态路由项,能够指明通往非直连VLAN的传输路径的动态路由项,进而实现IP分组转发。在配置OSPF时,首先要创建OSPF进程,再通告接口IP地址属于的CIDR地址块,使该接口能够接收和发送OSPF报文。
9、(1)出口路由器配置
10、(2)地址转换配置 在本校园网中在R1中配置NAT转换,将校园内部IP地址转换为公网IP地址,首先建立公网IP地址池与校园网内部IP地址间的联系,将访问列表中指定的内部IP地址的范围与公网IP地址池绑定在一起。然后将路由器连接内部网络和公网网络的端口进行定义,连接内部网络的端口设为ip nat inide,连接公网网络的端口设为ip nat outside。 “出口路由器配置”中已经完成地址转换的配置,也可以使用下面的方式进行配置。
11、配置核心层交换机 本方案中,核心层交换机是S0,创建的vlan为10、20、30,分别对应于生活区、教学区和办公区,每个vlan要配置相应的IP地址。用命令行的方式配置如下:(1)VLAN配置1)创建VLAN
12、2)配置三层交换实现VLAN通信(配置交换机各VLAN接口ip地址并启用路由功能)
13、3)不同子网端口划入不同的VLANS0配置完后,用show ip route可以看到其具体配置如图所示。
14、(2)路由配置为了保证与外网的联通,需要在S0配置路由过程如下
15、(3)服务器配置 服务器是为网络应用提供服务的一组计算机系统,包括硬件系统和软件系统。硬件系统的服务器构成与我们平常接触到的PC机相似,但在稳定性、安全性的性能方面要求更高。软件系统的服务器是为网络提供特定的应用层服务,也称为应用服务器,常见的有实现网页浏览的WEB服务器、进行域名解析的DNS服务器和发送电子邮件的E-mail服务器等。在本校园网中设置了一台WEB服务器和一台DNS服务器,用于校园网站的建设,与S0相连的,还有Web和DNS路由器,分别用于网页浏览和域名解析。
16、3. 配置汇聚层交换机 以生活区交换机S1为例,其他汇聚层上的交换机S2、S3也可用类似的方法进行配置。可以用进入S1的config图形界面设置的方式,也可以用命令行的方式如下(S2和S3的配置与此类似):
17、4.配置接入层交换机 接入层交换机由S4-S11共8台二层交换机构成,直接连接各片区的主机。对于接入层交换机配置两种协议,与主机相连的端口配置access协议,并把对应的VLAN划入端口,由于各交换机只负责一个虚拟局域网的数据转发,所以与汇聚层相连的端口也配置成access协议。 以左下角的生活区为例,由一个三层交换机S1和3个二层交换机S4、S5、S6,这是一个以三层交换机为核心的交换式结构。首先,在二层交换机上分别创建VLAN 11、VLAN 12和VLAN13,并将对应的端口通道分配给VLAN,其中连接主机的接入端口是非标记的端口,即access端口。由于该网络结构的二层交换机与虚拟局域网是一一对应的,所以在二层交换机连接三层交换机S1的链路上的端口通道都是非标记端口access,将对应的VLAN分配至端口通道。将VLAN下的主机默认网关分别设置为相应虚拟接口的IP地址。 以后勤中心S4的配置为例,其主要配置过程为:
18、5.链路聚合 本实例中,网络中心的交换机是作为校园网各区域之间数据的结点,也是通往外网的通道,为了提高交换机之间的传输速率,增加传输可靠性,在至网络中心的链路上使用了链路聚合技术,将两条物理链路聚合为一个端口通道port-channel,配置命令行如图
19、四、测试过程(如果能够ping通,说明工作正常)1、生活区连通性测试 进入PC1的Desktop/Command Prompt,对同一个局域网的VLAN0内的PC2进行ping操作2、生活区与教学区连通性测试 进入PC1的Desktop/Command Prompt,对教学区同一个局域网的VLAN11内的PC4进行ping操作3、访问WEB服务器测试 进入PC1的Desktop/Command Prompt,WEB服务器进行ping操作。4、 访问DNS服务器测试 进入PC1的Desktop/Command Prompt,对DNS服务器进行ping操作。5、 访问外网测试 进入PC1的Desktop/Command Prompt,对外网主机进行ping操作