資源描述:
《校園網(wǎng)初級(jí)片)校園網(wǎng)建設(shè))PPT課件》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
武漢職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)設(shè)計(jì)方案-1
1學(xué)校鳥瞰圖宿舍樓圖書館辦公樓教學(xué)樓1教學(xué)樓2-2
2項(xiàng)目背景-3
3項(xiàng)目背景建立安全、可靠、可擴(kuò)展、高效的網(wǎng)絡(luò)環(huán)境,使校園內(nèi)能夠方便快捷的實(shí)現(xiàn)網(wǎng)絡(luò)資源共享共有1600個(gè)信息點(diǎn),具體信息如下:?宿舍樓:5棟,每棟6層,每層40個(gè)宿舍,每個(gè)宿舍1個(gè)信息點(diǎn);每層樓一個(gè)弱電豎井;?教學(xué)樓:2棟,每棟5層,每層20;每層樓一個(gè)弱電豎井;?圖書館:1棟,共5層,每層15個(gè)信息點(diǎn),學(xué)校信息中心位于5樓;每層樓一個(gè)弱電豎井;?辦公樓:1棟,共3層;每層樓一個(gè)弱電豎井;?1樓:辦公室10,學(xué)生處30;?2樓:教務(wù)處15,人事處5,后勤處5;?3樓:財(cái)務(wù)處20,其它部門15。?學(xué)校出口為電信,帶寬500M,地址202.10.1.1-202.10.1.10-4
4項(xiàng)目需求分析-5
5項(xiàng)目需求分析?全網(wǎng)動(dòng)態(tài)獲取IP地址?具備穩(wěn)定性、容錯(cuò)性和可擴(kuò)展性;?具有接入安全,如防私設(shè)DHCP、防ARP欺騙;?財(cái)務(wù)處和其它部門不可以互相訪問(wèn);?學(xué)生周一至周五,23:00-6:00不能訪問(wèn)互聯(lián)網(wǎng)。學(xué)生帶寬限制為2M辦公區(qū)上班時(shí)間禁止游戲,手游,釣魚網(wǎng)站……..?學(xué)校內(nèi)部搭建的web服務(wù)器對(duì)外提供服務(wù)?所有設(shè)備均可通過(guò)SSH加密方式管理-6
6項(xiàng)目方案設(shè)計(jì)-7
7-8
8宿舍區(qū)拓?fù)渌奚釁^(qū)使用設(shè)備:RG-S5750-24GT/12SFP1臺(tái)RG-S2952G6臺(tái)-9
9辦公區(qū)拓?fù)滢k公區(qū)一樓辦公區(qū)二樓辦公區(qū)三樓辦公區(qū)使用設(shè)備:RG-S5750-24GT/12SFP1臺(tái)RG-S2928G6臺(tái)RG-S29521臺(tái)辦公三樓的財(cái)務(wù)室使用ACL進(jìn)行隔離-10
10教學(xué)區(qū)使用設(shè)備:RG-S5750-24GT/12SFP1臺(tái)RG-S2952G6臺(tái)教學(xué)區(qū)拓?fù)?11
11圖書館拓?fù)銻G-2928G-ERG-2928G-ERG-2928G-ERG-2928G-ERG-2928G-E匯集RG-5750核心RG-8610第五層第四層第一層第二層第三層圖書館設(shè)備列表:核心層設(shè)備:RG-86101臺(tái)匯聚層設(shè)備:RG-57501臺(tái)接入層設(shè)備:RG-29286臺(tái)RG-2928G-E-12
12RG-S2952(接入交換機(jī))01RG-S5750-24GT/8SFP(匯聚交換機(jī))02RG-S8610(核心交換機(jī))03設(shè)備產(chǎn)品簡(jiǎn)介RG-EG2000UE(出口網(wǎng)關(guān))04-13
13屏蔽各種與工作無(wú)關(guān)的網(wǎng)站,營(yíng)造良好工作氛圍,提高工作效率;可對(duì)聊天工具、郵件、論壇、微博、搜索引擎等提供安全審計(jì)功能,保護(hù)內(nèi)網(wǎng)信息安全。并會(huì)自動(dòng)分析多條線路的情況,選擇最優(yōu)線路,避免出現(xiàn)跨運(yùn)營(yíng)商訪問(wèn)、鏈路使用率低等問(wèn)題,提高上網(wǎng)速度??梢詫?shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬資源的全面管控,讓帶寬空閑時(shí)隨意使用、帶寬緊張時(shí)按需分配,保障關(guān)鍵業(yè)務(wù)的順暢開展優(yōu)點(diǎn)1優(yōu)點(diǎn)2優(yōu)點(diǎn)3RG-EG2000UE(出口網(wǎng)關(guān))RG-EG2000UE-14
14Part1所有關(guān)鍵器件均采用冗余設(shè)計(jì);雙引擎切換時(shí)實(shí)現(xiàn)萬(wàn)兆數(shù)據(jù)業(yè)務(wù)不中斷轉(zhuǎn)發(fā)Part2核心路由交換機(jī)面向十萬(wàn)兆平臺(tái)設(shè)計(jì),提供14.4T/9.6T/4.8T背板帶寬,并且支持未來(lái)40G/100G接口的擴(kuò)展Part3支持OSPF/IS-IS/BGP的優(yōu)雅重啟技術(shù)提供毫秒級(jí)的切換時(shí)間Part4最長(zhǎng)匹配(LPM)三層交換技術(shù),方式、學(xué)習(xí)到的IPv4/IPv6路由直接以網(wǎng)段形式存儲(chǔ)于硬件轉(zhuǎn)發(fā)表,不明目的網(wǎng)段IP地址的數(shù)據(jù)包直接通過(guò)硬件缺省路由轉(zhuǎn)發(fā),極大地節(jié)約硬件存儲(chǔ)空間RG-S8610(核心交換機(jī))RG-S8610-15
154支持生成樹協(xié)議、完全保證快速收斂,提高容錯(cuò)能力,保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡3WEB界面讓用戶通過(guò)圖形化界面即可實(shí)現(xiàn)復(fù)雜命令2124端口10/100/1000M自適應(yīng)端口(支持PoE遠(yuǎn)程供電),8個(gè)復(fù)用的光纖接口,2個(gè)擴(kuò)展槽USB2.0接口可用于外置Flash引導(dǎo)啟動(dòng)或者保持日志RG-S5750-24GT/8SFP(匯聚交換機(jī))RG-S5750-16
16RG-S2952(接入交換機(jī))RG-S2952Part148個(gè)10/1000M自適應(yīng)電口,4個(gè)千兆SFP光口Part1支持IP、MAC、端口三元素綁定支持IPv6、MAC、端口三元素綁定Part1過(guò)濾非法的MAC地址Part1采用渦輪變速風(fēng)扇設(shè)計(jì),在低溫情況下,風(fēng)扇自動(dòng)降低轉(zhuǎn)速,降低功耗和噪聲。-17
17項(xiàng)目方案實(shí)現(xiàn)-18
18設(shè)備命名規(guī)范例如:TSG-HX-S8610-5圖書館核心設(shè)備型號(hào)SSL=宿舍區(qū)HJ=匯聚JR=接入JXL=教學(xué)樓BGQ=辦公區(qū)TSG-HX-S8610所在樓層-19
19IP地劃規(guī)劃原則:宿舍1號(hào)樓3層的一個(gè)IP:10.11.3.23代表宿舍樓代表一號(hào)樓代表第三層當(dāng)前主機(jī)號(hào)1宿舍樓2圖書館3教學(xué)樓4辦公樓10.11323..-20
20IP地劃規(guī)劃:宿舍1號(hào)樓IP規(guī)劃:10.11.0.0/2110.11.1.0/24……...............一樓10.11.2.0/24……...............二樓10.11.3.0/24……...............三樓10.11.4.0/24……...............四樓10.11.5.0/24……...............五樓10.11.6.0/24……...............六樓10.11.7.0/24……...............備用10.11.0.0/24……...............管理-21
21網(wǎng)段及VLAN的劃分核心Ip段:10.20.0.0/21Vlan:200Ip段:10.40.0.0/24Vlan:411、412、426427、428、431、432Ip段:10.31.0.0/21Vlan:310Ip段:10.32.0.0/21vlan:320圖書館教學(xué)樓宿舍樓辦公樓Ip段:10.11.0.0/21Vlan:110Ip段:10.12.0.0/21vlan:120Ip段:10.13.0.0/21Vlan:130Ip段:10.14.0.0/21vlan:140Ip段:10.15.0.0/21vlan:150-22
22路由選用:網(wǎng)絡(luò)協(xié)議設(shè)計(jì)規(guī)劃靜態(tài)路由出口EG核心宿舍匯聚教學(xué)匯聚圖書館匯聚辦公匯聚GI0/60.0.0.0/0→GI0/610.0.0.0/8→Gi0/210.0.0.0/8→NULL0GI0/1GI0/2GI0/3GI0/4GI0/5GI0/60.0.0.0/0→Gi0/110.11.0.0/21→Gi0/1110.20.0.0/21→Gi0/1210.31.0.0/21→Gi0/1310.40.0.0/21→Gi0/1410.11.0.0/21→NULL010.20.0.0/21→NULL010.31.0.0/21→NULL010.40.0.0/20→NULL0Gi0/13Gi0/14Gi0/12GiI0/110.0.0.0/0→Gi0/30.0.0.0/0→Gi0/40.0.0.0/0→Gi0/50.0.0.0/0→Gi0/6-23
23RG-EG2000UE(出口網(wǎng)關(guān))-24
24網(wǎng)絡(luò)地址轉(zhuǎn)化NAT:靜態(tài)NATWEB服務(wù)器一對(duì)一轉(zhuǎn)化匯聚核心出口靜態(tài)IP靜態(tài)NAT轉(zhuǎn)化動(dòng)態(tài)NAT用戶用戶出口動(dòng)態(tài)NAT轉(zhuǎn)化-25
25網(wǎng)絡(luò)安全規(guī)劃防私設(shè)DHCP內(nèi)網(wǎng)安全:DHCPdiscoveryDHCPdiscoveryDHCPoffer合法DHCP非法DHCPDHCPofferDHCPSnoopingF0/24設(shè)為trust(信任口)F0/24-26
26嗨,我是網(wǎng)關(guān)內(nèi)網(wǎng)安全:網(wǎng)絡(luò)安全規(guī)劃ARP欺騙pc1網(wǎng)關(guān)欺騙者網(wǎng)關(guān)pc1欺騙者嗨,我是PC1-27
27內(nèi)網(wǎng)安全:網(wǎng)絡(luò)安全規(guī)劃防ARP欺騙1、網(wǎng)絡(luò)時(shí)斷時(shí)通;2、內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通;3、頻繁提示IP地址沖突;ARP欺騙的表象是網(wǎng)絡(luò)通訊中斷,真實(shí)目的是截獲網(wǎng)絡(luò)通訊數(shù)據(jù)。欺騙者通過(guò)雙向攻擊后,PC發(fā)往網(wǎng)關(guān)的數(shù)據(jù)將被欺騙者截獲,導(dǎo)致敏感信息被竊取,網(wǎng)游的木馬程序多通過(guò)這種方式進(jìn)行盜號(hào),網(wǎng)銀,支付寶賬號(hào)密碼也可能通過(guò)這種方式被竊取。PC1欺騙者PC2匯聚設(shè)備接入設(shè)備DHCPDHCPDHCPSNOOPING軟件表IPSourceguardARP-check欺騙-28
28設(shè)備管理安全采用ACL限制,指定從特定的IP地址來(lái)進(jìn)行訪問(wèn);(只允許網(wǎng)絡(luò)管理中心可以進(jìn)行訪問(wèn))取消Web管理功能禁止telnet遠(yuǎn)程登陸,激活SSH訪問(wèn),從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸(telnet不夠安全)網(wǎng)絡(luò)管理中心安全訪問(wèn)網(wǎng)絡(luò)設(shè)備-29
29謝謝觀賞-30