端口数 24
3.5 防火墙设计
防火墙的存在就是保护学校网络上的内部信息被外部未授权用户获取和防止受到非法用户的攻击,它是第一道安全防线。在 此校园网设计中选择使用的防火墙型号是CISCO PIX-525-R-BUN。现在信息技术快速发展给人们带来了方便,同时也带来了安全风险,我们的信息更容易泄露,而CISCO PIX-525-R-BUN防火墙具有很好的安全保护性,比其它类型防火墙的性能更高、更好,更有扩展性,这点是最重要的。
CISCO PIX-525-R-BUN防火墙同时还拥有多种优秀的性能:(1)能够提供VPN服务,远程用户能够节约成本安全地访问学校网。(2)高可靠性和灵活性,设计了在故障情况下可以运行第二个防火墙的绑定程序和可以自由选择电源选件。
表3-7 防火墙设备参数
网络吞吐量(Mpps) 370
VPN支持 支持
用户数限制 无用户数限制
控制端口 RS-232
3.6 本章小结
本章主要展示网络拓扑结构图、学校子网划分、IP地址规划、交换机三层设计和选择型号、防火墙设计和选择型号。
4 网络技术方案
4.1 VLAN 技术的应用
校园网使用VLAN技术能够降低校园网络的建设成本,提高工作效率,使网络便于管理,增强网络的灵活性等特点。在此次校园网的设计中,依照学校的需求规划了6个子网,并且为每个子网的命名。
在接入层和核心层设备上划分了不同的VLAN ,并为每个VLAN分配了端口,并且使用端口隔离技术。以下是vlan13的配置,其它vlan配置相似。
vlan batch 13
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface Ethernet0/0/2
port link-type access
port default vlan 13//
校园网络VLAN的划分如下图所示:
表4-1 VLAN 划分
序号 子网名称 备注
1 实验楼子网 VLAN10
2 教师宿舍楼子网 VLAN11
3 学生宿舍楼子网 VALN12
4 行政办公楼子网 VLAN13
5 教学楼子网 VLAN14
6 机房子网 VLAN15
4.2 DHCP服务器的搭建
现在网络系统的接入点太多,如果手动分配IP地址,那么工作人员的工作量太大,如果出错需要修改会给学校工作人员带来麻烦。而DHCP服务器则是主动把IP地址分配给电脑,大大地减轻工作人员的工作量,提高地址的使用率,并且动态分配能够保证局域网的稳定性。DHCP配置在核心层设备上,这是行政办公子网dhcp配置的代码,其它相似。
ip pool jszw //
gateway-list 192.168.13.1
network 192.168.13.0 mask 255.255.255.0
lease day 8 hour 0 minute 0
interface Vlanif13
ip address 192.168.13.1 255.255.255.0
dhcp select global//
表4-2 DHCP地址池
序号 VLAN IP地址池 网关IP
1 VALN10 192.168.10.2~192.168.10.254 192.168.10.1
2 VLAN11 192.168.11.2~192.168.11.254 192.168.11.1
3 VALN12 192.168.12.2~192.168.12.254 192.168.12.1
4 VALN13 192.168.13.2~192.168.13.254 192.168.13.1
5 VALN14 192.168.14.2~192.168.14.254 192.168.14.1
6 VALN15 192.168.15.2~192.168.15.254 192.168.15.1
4.3 路由协议(OSPF)
现在的广泛应用的路由协议有很多,动态路由协议就是其中之一。现在多数都是现在应用动态路由协议,因为使用静态路由的话,容易出错,而且太麻烦,需要一个一个配置。所以校园网络采用OSPF动态路由协议,能保证学校的路由表信息及时更新,而且OSPF路由协议在现在的应用具有重要的地位。OSPF同时还具有的优点为占用网络资源少、收敛速度快等多个优点。
以下是出口路由的OSPF配置,其它配置相似。
ospf 1
area 0.0.0.0
network 192.168.16.0 0.0.0.255
network 192.168.13.0 0.0.0.255//
4.4 ACL(访问控制列表)
为了防止非法访问的问题,那么对网络访问进行管理是必须的,访问控制列表就是一种方法。FTP作为学校的内部信息的主要获取通道,为了保证学校的信息安全,学校本身不希望内部信息轻易被外界所获取,所以学校内的可以进行访问但部分建筑物也要进行限制,如教学楼就不可以访问行政楼,并且学校外的不可以访问,而WEB服务器全都可以访问。在核心层设备上配置ACL,如禁止教学楼的主机访问行政办公楼的主机的配置,代码如下。
[Huawei]acl number 3000
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.14.0 0.0.0.255 destination 19
2.168.13.0 0.0.0.255
Huawei-GigabitEthernet0/0/3]traffic-filter outbound acl 3000//
在出口路由上使用静态路由访问外网,代码如下。
ip route-static 0.0.0.0 0.0.0.0 202.1.1.1
5 连通性测试
5.1 VLAN间测试
以行政办公楼子网ping机房子网来作为各个Vlan间测试的例子,如图5-1所示,而图5-1说明了vlan之间的测试是成功的,证明配置是正确的,它们之间可以实现通信。
图5-1 vlan测试
5.2DHCP的配置验证
以行政办公楼来作为DHCP验证的例子,如图5-2所示,说明可以使用DHCP方式自动的分配IP地址。
图5-2 DHCP验证
5.3 路由协议(OSPF)配置验证
以行政办公楼的主机ping出口路由来作为OSPF验证的例子,如图5-3所示, 说明行政办公楼能够跟出口路由建立连接。
图5-3 OSPF配置验证
5.4访问控制列表配置验证
以行政办公楼、教学楼和机房来作为访问控制列表验证的例子。没有设置之前教学楼的主机可以访问行政办公楼的主机,如图5-4所示。设置禁止教学楼的主机访问行政办公楼的主机。
图5-4 DHCP验证1图
设置了命令以后教学楼的主机就不可以访问行政办公楼的主机,如图5-5所示。机房的主机没有变化,可以访问行政办公楼的主机,如图5-6所示。
图5-5 DHCP验证2图
图5-6 DHCP验证3图
使用行政办公楼的主机连接外网,图5-7说明配置是成功的,内网主机可以访问外网。
图5-7 DHCP验证4图
结束语
通过这次毕业设计,使我对我自己的专业知识有了一次巩固的机会。那么网络工程从校园网的建设思想、建设需求、从实际设计到设备选型、选择应用的网络技术以及网络设备、从有线网到无线网等方面的叙述,使我了解到网络工程所用到的技术是多方面的、多层次的。渐渐的变化使我了解了更多的知识,巩固了学到的知识,加强了自己的能力,让我成长了许多。由于自己的知识和能力有限,这次设计方案过程中各个方面出现了各种问题,自己考虑问题不是很全面,曾经在迷茫中徘徊,但经过不断借鉴和分析实例,才慢慢地走出困境,使我明白了一个道理:就是一个好的校园网络方案就形成了一个好的网络。
