資源描述:
《校園網(wǎng)初級片)校園網(wǎng)建設)PPT課件》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在行業(yè)資料-天天文庫。
武漢職業(yè)技術(shù)學院網(wǎng)絡設計方案-1
1學校鳥瞰圖宿舍樓圖書館辦公樓教學樓1教學樓2-2
2項目背景-3
3項目背景建立安全、可靠、可擴展、高效的網(wǎng)絡環(huán)境,使校園內(nèi)能夠方便快捷的實現(xiàn)網(wǎng)絡資源共享共有1600個信息點,具體信息如下:?宿舍樓:5棟,每棟6層,每層40個宿舍,每個宿舍1個信息點;每層樓一個弱電豎井;?教學樓:2棟,每棟5層,每層20;每層樓一個弱電豎井;?圖書館:1棟,共5層,每層15個信息點,學校信息中心位于5樓;每層樓一個弱電豎井;?辦公樓:1棟,共3層;每層樓一個弱電豎井;?1樓:辦公室10,學生處30;?2樓:教務處15,人事處5,后勤處5;?3樓:財務處20,其它部門15。?學校出口為電信,帶寬500M,地址202.10.1.1-202.10.1.10-4
4項目需求分析-5
5項目需求分析?全網(wǎng)動態(tài)獲取IP地址?具備穩(wěn)定性、容錯性和可擴展性;?具有接入安全,如防私設DHCP、防ARP欺騙;?財務處和其它部門不可以互相訪問;?學生周一至周五,23:00-6:00不能訪問互聯(lián)網(wǎng)。學生帶寬限制為2M辦公區(qū)上班時間禁止游戲,手游,釣魚網(wǎng)站……..?學校內(nèi)部搭建的web服務器對外提供服務?所有設備均可通過SSH加密方式管理-6
6項目方案設計-7
7-8
8宿舍區(qū)拓撲宿舍區(qū)使用設備:RG-S5750-24GT/12SFP1臺RG-S2952G6臺-9
9辦公區(qū)拓撲辦公區(qū)一樓辦公區(qū)二樓辦公區(qū)三樓辦公區(qū)使用設備:RG-S5750-24GT/12SFP1臺RG-S2928G6臺RG-S29521臺辦公三樓的財務室使用ACL進行隔離-10
10教學區(qū)使用設備:RG-S5750-24GT/12SFP1臺RG-S2952G6臺教學區(qū)拓撲-11
11圖書館拓撲RG-2928G-ERG-2928G-ERG-2928G-ERG-2928G-ERG-2928G-E匯集RG-5750核心RG-8610第五層第四層第一層第二層第三層圖書館設備列表:核心層設備:RG-86101臺匯聚層設備:RG-57501臺接入層設備:RG-29286臺RG-2928G-E-12
12RG-S2952(接入交換機)01RG-S5750-24GT/8SFP(匯聚交換機)02RG-S8610(核心交換機)03設備產(chǎn)品簡介RG-EG2000UE(出口網(wǎng)關)04-13
13屏蔽各種與工作無關的網(wǎng)站,營造良好工作氛圍,提高工作效率;可對聊天工具、郵件、論壇、微博、搜索引擎等提供安全審計功能,保護內(nèi)網(wǎng)信息安全。并會自動分析多條線路的情況,選擇最優(yōu)線路,避免出現(xiàn)跨運營商訪問、鏈路使用率低等問題,提高上網(wǎng)速度??梢詫崿F(xiàn)對網(wǎng)絡帶寬資源的全面管控,讓帶寬空閑時隨意使用、帶寬緊張時按需分配,保障關鍵業(yè)務的順暢開展優(yōu)點1優(yōu)點2優(yōu)點3RG-EG2000UE(出口網(wǎng)關)RG-EG2000UE-14
14Part1所有關鍵器件均采用冗余設計;雙引擎切換時實現(xiàn)萬兆數(shù)據(jù)業(yè)務不中斷轉(zhuǎn)發(fā)Part2核心路由交換機面向十萬兆平臺設計,提供14.4T/9.6T/4.8T背板帶寬,并且支持未來40G/100G接口的擴展Part3支持OSPF/IS-IS/BGP的優(yōu)雅重啟技術(shù)提供毫秒級的切換時間Part4最長匹配(LPM)三層交換技術(shù),方式、學習到的IPv4/IPv6路由直接以網(wǎng)段形式存儲于硬件轉(zhuǎn)發(fā)表,不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過硬件缺省路由轉(zhuǎn)發(fā),極大地節(jié)約硬件存儲空間RG-S8610(核心交換機)RG-S8610-15
154支持生成樹協(xié)議、完全保證快速收斂,提高容錯能力,保證網(wǎng)絡的穩(wěn)定運行和鏈路的負載均衡3WEB界面讓用戶通過圖形化界面即可實現(xiàn)復雜命令2124端口10/100/1000M自適應端口(支持PoE遠程供電),8個復用的光纖接口,2個擴展槽USB2.0接口可用于外置Flash引導啟動或者保持日志RG-S5750-24GT/8SFP(匯聚交換機)RG-S5750-16
16RG-S2952(接入交換機)RG-S2952Part148個10/1000M自適應電口,4個千兆SFP光口Part1支持IP、MAC、端口三元素綁定支持IPv6、MAC、端口三元素綁定Part1過濾非法的MAC地址Part1采用渦輪變速風扇設計,在低溫情況下,風扇自動降低轉(zhuǎn)速,降低功耗和噪聲。-17
17項目方案實現(xiàn)-18
18設備命名規(guī)范例如:TSG-HX-S8610-5圖書館核心設備型號SSL=宿舍區(qū)HJ=匯聚JR=接入JXL=教學樓BGQ=辦公區(qū)TSG-HX-S8610所在樓層-19
19IP地劃規(guī)劃原則:宿舍1號樓3層的一個IP:10.11.3.23代表宿舍樓代表一號樓代表第三層當前主機號1宿舍樓2圖書館3教學樓4辦公樓10.11323..-20
20IP地劃規(guī)劃:宿舍1號樓IP規(guī)劃:10.11.0.0/2110.11.1.0/24……...............一樓10.11.2.0/24……...............二樓10.11.3.0/24……...............三樓10.11.4.0/24……...............四樓10.11.5.0/24……...............五樓10.11.6.0/24……...............六樓10.11.7.0/24……...............備用10.11.0.0/24……...............管理-21
21網(wǎng)段及VLAN的劃分核心Ip段:10.20.0.0/21Vlan:200Ip段:10.40.0.0/24Vlan:411、412、426427、428、431、432Ip段:10.31.0.0/21Vlan:310Ip段:10.32.0.0/21vlan:320圖書館教學樓宿舍樓辦公樓Ip段:10.11.0.0/21Vlan:110Ip段:10.12.0.0/21vlan:120Ip段:10.13.0.0/21Vlan:130Ip段:10.14.0.0/21vlan:140Ip段:10.15.0.0/21vlan:150-22
22路由選用:網(wǎng)絡協(xié)議設計規(guī)劃靜態(tài)路由出口EG核心宿舍匯聚教學匯聚圖書館匯聚辦公匯聚GI0/60.0.0.0/0→GI0/610.0.0.0/8→Gi0/210.0.0.0/8→NULL0GI0/1GI0/2GI0/3GI0/4GI0/5GI0/60.0.0.0/0→Gi0/110.11.0.0/21→Gi0/1110.20.0.0/21→Gi0/1210.31.0.0/21→Gi0/1310.40.0.0/21→Gi0/1410.11.0.0/21→NULL010.20.0.0/21→NULL010.31.0.0/21→NULL010.40.0.0/20→NULL0Gi0/13Gi0/14Gi0/12GiI0/110.0.0.0/0→Gi0/30.0.0.0/0→Gi0/40.0.0.0/0→Gi0/50.0.0.0/0→Gi0/6-23
23RG-EG2000UE(出口網(wǎng)關)-24
24網(wǎng)絡地址轉(zhuǎn)化NAT:靜態(tài)NATWEB服務器一對一轉(zhuǎn)化匯聚核心出口靜態(tài)IP靜態(tài)NAT轉(zhuǎn)化動態(tài)NAT用戶用戶出口動態(tài)NAT轉(zhuǎn)化-25
25網(wǎng)絡安全規(guī)劃防私設DHCP內(nèi)網(wǎng)安全:DHCPdiscoveryDHCPdiscoveryDHCPoffer合法DHCP非法DHCPDHCPofferDHCPSnoopingF0/24設為trust(信任口)F0/24-26
26嗨,我是網(wǎng)關內(nèi)網(wǎng)安全:網(wǎng)絡安全規(guī)劃ARP欺騙pc1網(wǎng)關欺騙者網(wǎng)關pc1欺騙者嗨,我是PC1-27
27內(nèi)網(wǎng)安全:網(wǎng)絡安全規(guī)劃防ARP欺騙1、網(wǎng)絡時斷時通;2、內(nèi)網(wǎng)通訊正常、網(wǎng)關不通;3、頻繁提示IP地址沖突;ARP欺騙的表象是網(wǎng)絡通訊中斷,真實目的是截獲網(wǎng)絡通訊數(shù)據(jù)。欺騙者通過雙向攻擊后,PC發(fā)往網(wǎng)關的數(shù)據(jù)將被欺騙者截獲,導致敏感信息被竊取,網(wǎng)游的木馬程序多通過這種方式進行盜號,網(wǎng)銀,支付寶賬號密碼也可能通過這種方式被竊取。PC1欺騙者PC2匯聚設備接入設備DHCPDHCPDHCPSNOOPING軟件表IPSourceguardARP-check欺騙-28
28設備管理安全采用ACL限制,指定從特定的IP地址來進行訪問;(只允許網(wǎng)絡管理中心可以進行訪問)取消Web管理功能禁止telnet遠程登陸,激活SSH訪問,從而允許操作員從網(wǎng)絡的外部環(huán)境進行設備安全登陸(telnet不夠安全)網(wǎng)絡管理中心安全訪問網(wǎng)絡設備-29
29謝謝觀賞-30