摘要:计算机网络和多媒体等互联网技术的迅猛发展,信息的传递速度更快,信息的处理能力更强,表现方式也比之前更加丰富,可想而知,信息无时无刻不在影响着人们的生产生活。在新时代里,人们都想通过掌握足够丰富的计算机知识以便及时快速高效的搜集和利用网上信息资源,因此,校园网的水平成为评价学校好坏的标准之一,学生选择学校的时候也会更多的考虑该校校园网的性能。信息化教教学环节进程中如果高校能够合理使用校园网,充分发挥校园网的优点,那么传统的教学模式、教学方法和教学手段都会转变成合适当下教育教学的新媒体模式。诚然,新的教育观念、教育思想会拓展教师和学生的视野,在信息技术的影响下,学生能够更快的获取信息、提高处理信息的能力,并在这个过程中不断完善自己,因此如何通过设计规划校园网,提高校园网的性能以满足日益增长的网络需求迫在眉睫。本文以方屯小学校园网建设为研究背景,对该大学的实际情况进行了详细分析,按需设计、按未来发展进行规划,从实际出发,采用三层网络架构,总体结构上提高校园网的整体性能,在原有组网的基础上从网络技术的选择、网络结构的设计、网络设备的选举、网络安全的构思和管理方式等方面做详细设计,提出规划目标,制定可行性解决方案,并利用eNSP模拟器模拟真实网络环境对设计方案进行验证。
关键词:校园网;网络架构;解决方案
1绪论
1.1课题的研究背景
二十世纪末,互联网技术得到了迅猛的发展,经济信息化大潮兴起,西方发达国家的教育资源从早期的书面教学形式逐渐转变成多媒体教学形式。随着我国改革开放和科学技术的发展,国内各地各学校之间、学校与科研机构之间的交流不断增多,加上学校学生人数逐渐增多,信息交流受到阻碍,因此我国也把信息化校园建设作为重点任务,确定了互联网在教育领域的重要地位。此后互联网技术在我国得到了广泛应用,我国校园网的建设进入一个新的发展阶段。
从1994年互联网进入中国,到2000年互联网成功连接1000所大学,再到2005年有相关数据显示98.4%高校的教学、科研已经全部接入校园网,90.5%高校教室可正常接入网络,校园网的建设得到举世瞩目的成绩。如今,经历了十几年的发展,校园网的建设更是达到了一个新的高度,在DHCP、OSPF、NAT动态转换、VRRP、MSTP、VLAN划分技术等协议的加持下,各高校校园网的性能不断提升,资源越加丰富。但是,有关数据表明,即使校园网一直在更新换代,但目前大多数高校的校园网仍然有不足之处,随着校园网规模不断扩大,用户不断增多,用户对校园网网络的性能要求只会随着时代的变化越来越高,所以在建设校园网时要考虑多方要求,要做到与时俱进,符合学校的长远发展规划要求,其中拓扑结构设计、物理硬件选择、网络协议引用等都要深思熟虑,立足当下再考虑学校的发展潜力,规划好校园网络的架构。
新时代下我国的校园网建设水平不断提高,越来越多的物联网应用将涌入校园,助力实现校园的智慧全联接,但是金无足迹,再完美的设计也会存在一定的问题,因此在建设新的校园网的时候既要做好对当下的校园网的查漏补缺又要有所留白方便它的未来发展。
1.2校园网规划与设计的意义
传统的结构复杂功能简单的校园网因设备的老化、特殊时间段诸如晚上19:00-23:00网络质量差、网络覆盖不全面以及安全性指数不高等问题早就不足以满足当下师生高质量教育教学条件的需求,因而合理规划与设计一个高性能的校园网解决方案具有重要现实意义,它不仅能够减少大量人力物力以及巨大经费的投入,并且能够与时俱进,跟上时代发展的脚步,能够更高效的改善办学条件,提高教学、科研和管理水平,提升师生使用校园网的体验感。
2校园网设计原则
校园网是学校与外界交流的窗口,是学生与教师获取外界教学资源的重要途径,一个好的校园网必定做到以最少的代价获取最大的效益,集可靠性、实用性、安全性、可拓展性高性能于一身。本文根据XXX学院内部局域网的实际情况,综合需求提出以下设计原则:
2.1实用性
如今各高校的师生人数日益增多,校园内有大量的终端用户需要接入网络。因而选择设备时不可一味追求价值最高性能最好的型号,要从实际出发,考虑校园用户规模,量需而用,充分利用和保护现有的资源,发挥各网络设备的最大价值,建设一个满足广大师生需求的实用性高的校园网。
2.2可靠性
传统的校园网因结构复杂功能单一留下许多问题,用户访问网络资源时有连接中断或页面丢失的现象发生,给用户极差的体验感,给网络管理员的维护工作带来一定挑战性。在建设校园网时应该采用可靠性较高的星型结构,选用容错能力较高的传输介质,网络中适当设置冗余备份,提高局域网可靠性。
2.3安全性
学校是以教育教学为中心的场所,校园网虽然一直推陈出新,但是存在大量的安全漏洞,不法人员利用漏洞入侵校园网,植入病毒,损坏师生所使用的的办公软件盗取重要信息,特别的会导致网络中断,使得老师不能正常办公,学生不能正常上网因此高性能的校园网必须具备良好的安全防范措施和保护技术,防范各种形式对网络的非法入侵和内部攻击,保证在校师生使用网络查找信息利用资源的安全性。
2.4可拓展性
校园师生人数与日俱增,校园网规模也越来越大,在建设校园网时应选择采购扩展性能力较强的设备,为后期发展对该网络进行必要扩充时能够有效保护现在所拥有的资源奠定基础。保证今后技术、设备等更新时该网络能够成功的过渡到新的技术和网络设备上,如此就会大大降低工作成本、难度也不会太大,校园网新用户能够无障碍的接入并使用网络。
2.5经济性
校园网的规划设计应从生活实际出发,要充分考虑资金周转问题,毕竟校园网的规模愈来愈大,用户数量愈来愈多,用户对网络性能要求也愈来愈高,但是建设一个校园网的资金不允许任何一个网络规划设计师铺张浪费,所以在设备的选取和方案的设计过程中,都要综合考虑,设计出能够满足多方要求的方案,实现以最少的付出获取最大的利益。建设校园网时应该选取性价比高的网络技术和网络设备,减少不必要开销。
2.6先进性
随着高新技术的推陈出新以及当下校园网的高性能要求,在对校园网进行设计规划时要注意结构、设备、工具的先进成熟性,要保证整个网络的生命周期足够长,能够满足当下需求的同时还要保证在未来一定时间内用户需求增长的需要;简而言之,校园网的建设不仅能反映时下技术的先进水平,又要具有一定的发展潜力,保证领先地位。
3校园网络需求分析
3.1用户需求分析
经了解,用户对该高校内部局域网的网络设计提出如下要求:
1.网络拓扑中的服务器应该包括:DNS服务器、DHCP服务器及其他服务器集群。
2.与外部网络连接的地址池为:220.100.100.1-220.100.100.2,220.200.200.1-220.200.200.2。
3.IP地址规划和VLAN划分一一对应合理规划,便于管理员管理,考虑到将来学校规模变大,主机增多等原因设计的时候要预留足够的地址。4.在两台防火墙上部署相应策略路由,实现分流效果,让不同流量从不同的端口流出。
5.在网络骨干区域的交换机之间部署多生成树协议、VRRP冗余技术,实现流量负载均衡和数据冗余备份。
6.在服务器集群中部署DHCP服务,保证随时为接入用户分配IP地址,避免手动配置出现错误。
7.在局域网内汇聚层部署AC,各部门接入AP,实现校园网无线覆盖,老师和学生使用不同信道访问网络。
8.财务管理部门部署标准访问控制列表,限制用户行为,只允许行政楼中校长、副校长以及管理员访问。
9.接入交换机划分vlan,减少广播域,控制广播风暴,从而提高网络稳定性。
10.部署双机热备份,解决防火墙会话备份和负载分担问题,避免单点故障风险,加强网络的安全性。
3.2网络管理需求分析
网络管理是校园网建设中不能缺少的部分,网络规模不断扩大后网络管理员的工作内容越来越复杂,难度也越来越大,为了减轻管理员的工作压力也为了更好的管理校园网,可以让网络管理人员使用网络设备和相关的设备管理软件提供的服务管理网络远程控制管理。例如使用DHCP技术,让DHCP服务器为接入网络的所有终端用户动态分配IP地址;引进AC控制器,将无线局域网接入控制设备,把来自不同AP的数据进行汇聚并接入网络中,实现网络管理员通过一个管理软件对终端用户的统筹管理,满足校园网网络管理简单便捷的需求。
3.3网络安全需求分析
校园网安全威胁表现方式多种多样,但万变不离其宗,归根结底由两个出处,其一源于内网,其二便来自外网。据相关统计,攻击校园网安全的不良行为80%来自网络内部,主要是病毒入侵与黑客攻击,学生下载软件的时候病毒乘机而入,植根于软件中,当连接网络时会时不时的弹出广告,导致页面跳转,影响电脑的正常使用,因此防范来自内部攻击成为了校园网网络安全防护体系不可轻视的一部分。随着校园网规模不断地扩大,安全事件发生的频率越来越大。当然,外部的非法访问也不可以忽视,所以校园网安全的设计时要采用上网审计、划分VLAN隔离广播风暴、防火墙分割内外网等必要手段禁止特定病毒大传播以及由于病毒造成的网络不正常现象发生,保证校园网网络安全。
3.4网络高性能需求分析
校园网的主要目的是为了方便师生教学、办公、科研、网上资源查询利用等,网络高性能的需求得到满足将对教师的教学质量、学生的学习热情和学习效率有很大帮助。
学校规模越来越大,师生人数越来越多,庞大的用户要求我们在建设校园网时要使得校园网网络带宽足够大,WEB网站等要有很快的响应速度,不至于多人访问时出现网络瘫痪现象。
4校园网的逻辑网络设计
4.1网络拓扑设计
本设计方案中的网络拓扑结构设计如下图所示:
图4-1校园网络架构图
拓扑图中各设备命名说明如下表所示:
表4-1设备命名规则
可知该校有行政楼、实验楼、餐厅、办公楼和图书馆各1栋,宿舍楼9栋。且该学校将复杂的网络设计分成三个层次,分别为接入层、汇聚层和核心层,接入层功能简单,主要负责用户的连接和访问,普遍采用即插即用、端口密度大的交换机;汇聚层在接入核心层前先进行数据汇聚,提供路由策略,由此减轻核心交换机设备负荷;而核心层是网络的枢纽中心,主要目的是实现骨干网络间优化传输,保证整个网络性能。校园网用户网关放置汇聚层,在核心层部署OSPF链路状态路由协议。核心层两台交换机出口出分别部署一台防火墙实现双机热备分功能,服务器直连防火墙,校园网内用户都能够访问DNS,FTP、HTTP等服务器,但外网只能访问HTTP服务器。骨干区域使用MSTP+VRRP协议,实现负载均衡和冗余备份功能,保证数据不丢失,提高网络可靠性。
4.2 IP地址和VLAN划分方案
在局域网的建设中,IP地址和vlan的规划需要与网络拓扑结构相结合,规划IP时要考虑地址空间的利用率和灵活性问题。因此,根据方屯小学的实际信息点的分布情况将ip地址和vlan进行如下划分。
4.2.1信息点分布说明
4.2.2 IP地址和VLAN划分
表4-3IP地址规划及Vlan划分
4.3网络冗余设计
网络结构冗余设计的主要目的就是为了在线路出现故障时数据能够快速转换路径,保证数据不丢失。在核心交换机部署VRRP协议,当网络中某台设备、某个端口故障无法转发数据时,处于备份状态的设备能够接替主设备的工作,保障用户无间断上网的需求。在本方案中使用冗余设计的主要目的是为了避免单点故障。当某个接口某个设备出现问题时可以绕过故障点,从其他设备进行数据转发,提供安全的方法防止服务丢失。
4.4网络安全设计
网络技术惠及全球,但各种各样的安全问题也在人们享受网络带来的便利的过程中相继出现,校园网安全事件也时有发生,造成论文极大恶劣影响和经济损失,因此在建设校园网的过程中无论是接入层、汇聚层、核心层还是服务器等模块的设计都应该着重考虑安全可靠性设计。为保证财务部门的安全,在接入层JR-D设备上部署ACL对财务部的访问权限进行设置,仅允许行政楼和管理员访问。网络骨干部署MSTP+VRRP协议以及bfd协议,实现网络冗余和链路冗余,确保某个端口down掉后,数据能够快速切换从另一个端口转发出去。核心层之上部署两台防火墙,在防火墙上部署安全策略以及NAT地址转换技术,实现内网子网用户能够正常访问WEB、FTP和HTTP等服务,并且内网用户能够正常访问外网,而外部用户只能访问安全规则允许的对外开放的服务器以及其他隐藏的服务,提高网络安全。
5校园网建设关键技术
5.1 VLAN技术
随着校园网络规模逐渐扩大,网络中计算机数量越来越多,若是没有一定规则的限制,就会导致某些计算机接收到本不该接收到的信息,而某些计算机却收不到本该接收到的信息,如此一来不仅存在安全隐患,还会导致资源的浪费,进而使得整个网络出现问题。在建设网络时使用VLAN技术能够将有相同需求的数据划分到同一个VLAN中,控制网络中的广播风暴,用这种方式达到保护校园网的目的。
5.2 Trunk技术
所谓trunk技术就是在线路需要承载多个不同vlan时能够通过trunk连接不同交换机,使得不同交换机中相同的vlan能够通过Trunk技术创造的共享链路进行数据传输需求。在接入层交换机和汇聚层交换机之间配置Trunk,数据包传递过程中在源Mac和type字段中间加上tag标签,用来区分不同vlan的数据包,并把这个信息传递到另一台交换机上,实现不同交换机上相同id的vlan相互通信,保证数据正常流通。配置Trunk技术之后一条物理线路上可以传送多个vlan,使得VLAN能够发挥最大作用。trunk允许承载的vlan范围缺省下为1-1005,在配置的时候可以根据需要进行合理修改。
5.3链路聚合
链路聚合顾名思义就是将交换机的多个端口捆绑成一个Eth-Trunk接口,保证业务不被中断,实现链路负载均衡,避免二层环路。在HX-A和HX-B设备之间部署链路聚合,提高HX-A和HX-B链路之间带宽,提升整个网络的数据吞吐量,有效解决拥塞问题。当交换机HX-AG0/0/23和g/0/24其中某一条链路出现故障时,可以快速地将流量转移到另一条链路,防止数据丢包。
5.4 NAT地址转换技术
网络地址转换技术通常部署在网络出口位置,主要作用是进行私有IP地址和公有IP地址之间的转换。例如本方案中引用网络地址转换技术,由宿舍楼某客户端192.168.60.253和电信网出口互联网服务器220.200.210.1通信,192.16 8.60.253发送数据时,先转换为防火墙220.200.200.3:1723端口地址,然后再利用防火墙身份将数据发送给互联网服务器,互联网服务器收到请求后将回应数据发送给220.200.200.3:1723,此时NAT网关检查自己的关联表,发现该数据这是自己私网中主机192.168.60.253的数据包,然后就把这个数据发送给客户端,由此实现位于网络内部的计算机与外部网络进行通讯目的。NAT的实现方式是多样性的,部署时应根据场景需要进行选择。
5.5 ACL访问控制列表
访问控制列表可根据设定的规则对接口上的数据包进行帅选过滤,控制数据包的出入。ACL包括permit/deny两种动作,分别表示允许和拒绝,在网络中相应设备接口处适当部署acl,决定所经过的流量是被转发还是被阻塞。在局域网网络中应用ACL限制除行政楼和管理员其他设备访问财务部,限制用户行为,加强校园网内部网络安全。
5.6 MSTP多生成树协议
多生成树协议将多个VLAN映射到同一个实例中,实例间相互独立,可以提供数据转发的冗余路径。在校园网中配置MSTP,生成两颗树,HX-A作为实例1的根,HX-B为实例2的根,将网络中的Vlan1015203040划分到实例1中,而vlan50607080被划分到实例2中,实现负载均衡的同时解决环路问题。
5.7 VRRP冗余技术
VRRP是一种容错机制,可以实现网关的备份,当主机的下一跳路由器down掉时,流量可以快速切换到另一台路由器上,保证正常通信。在网络中的两台核心交换机启用VRRP功能,让HX-A和HX-B互为主备设备,当主备发生故障之后,起监听状态作用的备份设备立即肩负主备设备的工作,此时主备Master自动转换为Backup,流量则从备设备转发,保证业务正常工作。
5.8 OSPF动态路由协议
OSPF动态路由协议主要作用是计算路由表,得出最短路径,在路由域内使用的比较多。在较大规模的网络中,OSPF通常将网络划分成多个区域,每台路由器都用一个router-id来标识自己,且都会启用lookback接口并配置IP地址以此提高网络的可靠性和稳定性。本方案设计在校园网的核心交换、防火墙和出口路由都部署OSPF协议,降低了域内每个路由器的压力,通过区域划分使路由可达,路由器和火墙上的链路能够通信。
5.9 DHCP
DHCP即协议动态主机配置协议。客户端以广播方式向服务器发起申请,服务器动态分配IP地址信息。DHCP技术的产生为网络管理员带来了极大的便利,有了DHCP技术,网络管理员避免了因手动设置IP地址所产生的错误和重复。本方案中部署DHCP服务器,使校园网内有新的终端接入时能够通过DHCP的方式自动获取IP地址。DHCP配置操作简单,对于管理员来说的工作难度不大且作用极大。
5.10防火墙技术
过去的组网架构中,我们经常将一台防火墙部署在网络出口处,多年的经验告诉我们,校园网的建设中如果只部署一台防火墙会存在极大的安全隐患,因为一旦防火墙出现故障,内网和外网之间就不能正常通信,也就是说通讯可靠性无法保证。为了防止中断现象发生,在新一代校园网中可以部署两台防火墙形成双机热备份。在防火墙双击热备架构中,当其中一台防火墙出现故障时,业务流量能够切换到另外一台防火墙上,保证流量不中断。在本方案中使用防火墙双机热备份技术是为了解决当主设备出现问题时,备份能够快速切换至主问题,保证主备之间的配置命令和会话状态信息同步。最终目的是为了解决单点故障,保证内部网络与外部网络之间的通讯通畅。
6实现与结果验证
本方案结果验证仅以网络拓扑结构中部分设备的配置为例进行说明,其余配置相似,不一一列举。
6.1 VLAN划分
以行政楼为例:
[JR-xzl]vlanbatch10//创建vlan10
[JR-xzl-GigabitEthernet0/0/1]porttrunkallow-passvlanall//放行Vlan结果如图所示:
图6-1将端口划分到vlan下
如图6-1所示,将行政楼划分到vlan10中,避免广播风暴的发生,提高网络稳定性。
6.2 MSTP配置
接入层以行政楼为例
[JR-xzl]stp mode mstp//配置stp的模式为mstp[JR-xzl]stp region-configuration
[JR-xzl-mst-region]region-name huawei
[JR-xzl-mst-region]instance 1 vlan 10 15 20 30 40//生成树实例1映射vlan10 15 20 30 40
[JR-xzl-mst-region]instance 2 vlan 50 60 70 80//生成树实例2映射vlan50 60 70 80
[JR-xzl-mst-region]active region-configuration//激活配置核心层以HX-A设备为例
[HX-A]stp mode mstp//配置stp的模式为mstp[HX-A]stp region-configuration
[HX-A-mst-region]region-name huawei
[HX-A-mst-region]instance 1 vlan 10 15 20 30 40//生成树实例1映射vlan10 15 20 30 40
[HX-A-mst-region]instance 2 vlan 50 60 70 80//生成树实例2映射vlan50 60 70 80
[HX-A-mst-region]active region-configuration
[HX-A]stp instance1 root primary//实例1以HX-A为主根[HX-A]stp instance 2 root secondary//实例2以HX-B为备根
图6-2 MSTP实例根端口查看
如图6-2所示,将vlan绑定到实例中,实现负载分担。
6.3 VRRP配置
以HX-A交换机配置为例[HX-A]intvlan10
[HX-A-vlanif10]ipaddr192.168.10.324//配置vlan10的iP地址
[HX-A-vlanif10]vrrpvrid10virtual-ip192.168.10.1//虚拟网关[HX-A-Vlanif10]vrrpvrid10priority120//设置优先级
结果如下图所示:
图6-3 VRRP主备网关分布
由图6-3可见,行政楼用户的网关主备在HX-A上,当行政楼用户访问其他设备时先走HX-A,如若Master路由器出现故障,Backup路由器将根据优先级重新选择新的Master,也就说能够达到当网关发生故障时能让PC快速切换路径的效果。
6.4 DHCP帧中继配置与实现
[Huawei]dhcpenable//使能DHCP服务[Huawei]ippool10//地址池命名为10
[Huawei-ip-pool-10]gateway192.168.10.1//设置网关
[Huawei-ip-pool-10]network192.168.10.0mask255.255.255.0//设置地址池范围
[Huawei-ip-pool-10]excluded-ip-address192.168.10.1192.168.10.3//地址池中不包含的地址
[Huawei-ip-pool-10]dns-list192.168.100.150//设置DNS服务器[Huawei-Vlanif10]dhcpselectglobal//采用全局地址池的方位分配IP地址
图6-4 DHCP地址池
如图6-4所示,配置完DHCP之后,当有用户接入时DHCP服务器便会自定分配IP地址。
6.5链路聚合
[Huawei]intEth-Trunk10//进入Eth-Trunk10视图[Huawei-Eth-Trunk1]trunkportg0/0/23
[Huawei-Eth-Trunk1]trunkportg0/0/24//聚合端口G0/0/23和G0/0/24[Huawei-Eth-Trunk1]portling-typetrunk
[Huawei-Eth-Trunk1]porttrunkallow-passvlanall//放行Vlan
图6-5链路聚合结果
如图6-5所示,通过将核心交换机HX-A、HX-B端口G0/0/23和G0/0/24成功聚合到Eth-Trunk10中,达到提升整个网络的数据吞吐量,解决拥塞问题效果。
6.6无线网络配置与仿真
[AC6605]wlan//进入无线配置视图
[AC6605-wlan-view]regulatory-domain-profilenamedefault//创建域的管理模板
[AC6605-wlan-view]security-profilenamedefault-wds//创建安全策略名称
[AC6605-wlan-vap-prof-student-vap]security-profileoffice-security//绑定安全策略
[AC6605-wlan-vap-prof-student-vap]ssid-profilestudent-ssid//绑定SSID模板
[AC6605-wlan-vap-prof-student-vap]service-vlanvlan-id15//绑定业务VLAN
[AC6605-wlan-view]ap-groupnameap-group1//创建AP组名称
[AC6605-wlan-ap-group-student-ap-group]vap-profilestudent-vapwlan1radio 0//绑定vap模板
[AC6605-wlan-ap-group-student-ap-group]vap-profilestudent-vapwlan1radio 1//绑定vap模板
[AC6605-wlan-view]ap-id1type-id45ap-mac00e0-fc2a-7b40//添加AP,APmac
[AC6605-wlan-ap-0]ap-groupoffice-ap-group1//添加到AP组
图6-6仿真图
如图7、8、9、10,配置WLAN后,启动AP上线功能,教师和学生分别通过不同信道连接网络,输入正确密码后就能够上网.
6.7 ACL配置与实现
[HX-A]aclnumber2000//创建ACL
[HX-A-acl-basic-2000]rulepermitsource192.168.10.0//允许源IP地址192.168.10.0主机的报文通过,
[HX-A-acl-basic-2000]ruledenysource192.168.10.00.0.0.255//拒绝192.168.10.0/24其余报文通过
[HX-A-acl-basic-2000]descriptionpermitonly192.168.10.19through
[HX-A]intg0/0/22//在HX-A接口上应用ACL
[HX-A-GigabitEthernet0/0/22]traffic-filteroutboundacl2000
如图6-10、11、12所示,本文中以财务管理部门的访问权限为例,限制除行政楼和管理员外其他网段不允许访问,限制网络用户行为,以此保证财务部门的安全。
6.8 OSPF配置与实现
[Huawei]ospf1router-id10.10.10.1
[Huawei-ospf-1]area0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.21.0 0.0.255.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.14.0 0.0.255.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.13.0 0.0.255.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.50.0 0.0.255.255
OSPF配置效果如下图所示:
图6-13 OSPF邻居图
6.9防火墙模块配置与实现
6.9.1安全区域划分
[USG6000V1]firewallzonetrust//将端口加入到防火墙trust区域中
[USG6000V1-zone-trust]setpriority85
[USG6000V1-zone-trust]addinterfaceGigabitEthernet0/0/0
[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/0
[USG6000V1-zone-trust]addinterfaceGigabitEthernet1/0/1
[USG6000V1]firewallzoneuntrust//将端口加入到防火墙Untrust区域中
[USG6000V1-zone-untrust]setpriority5
[USG6000V1-zone-untrust]addinterfaceGigabitEthernet1/0/2
[USG6000V1-zone-untrust]addinterfaceGigabitEthernet1/0/3
[USG6000V1]firewallzonedmz//将端口加入到防火墙dmz区域中
[USG6000V1-zone-dmz]setpriority50
[USG6000V1-zone-dmz]addinterfaceGigabitEthernet1/0/4
图6-14区域划分
安全区域的划分可以实现策略的统一管理。如图15所示,g0/0/0、g1/0/0、g1/0/1均为内部用户所在的网络区域,因而被划分到trust区域,g1/0/2和g1/0/3所在地为Internet等不安全的网络区域,因而被划分到Untrust区域,而DHCP等服务器集群被划分到dmz区域。
6.9.2安全策略配置
[USG6000V1]security-policy
[USG6000V1-policy-security]rulenamehttp//定义安全策略名称
[USG6000V1-policy-security]source-zoneuntrust//源区域为untrust
[USG6000V1-policy-security]destination-zonedmz//目标区域为dmz
[USG6000V1-policy-security]actionpermit//允许通过
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rulenamenat//定义策略名称
[USG6000V1-policy-nat]source-zonetrust//定义源区域
[USG6000V1-policy-nat]destination-zoneuntrust//定义目标区域
[USG6000V1-policy-nat]actionsource-nat
6.9.3 NAT地址转换配置与实现
如图6-15、16所示,在防火墙部署NAT,实现内网用户可以访问外网,当内外网互通时,可在防火墙使用display firewall session table命令查看公私网地址转换之间的映射关系。
7总结与展望
7.1总结
网络上的知识取之不尽,用之不竭,因为科学技术的发展,互联网深入大街小巷,所有学生、老师甚至任何有知识需求的人在任何时间、任何地点都可以通过互联网进行知识的获取和学习。
本论文以方屯小学学校内部局域网建设为研究背景,推陈出新,提出新的解决方案。本文从该校局域网内部用户需求、网络管理需求、网络安全需求以及网络高性能需求分析出发,考虑到网络冗余、安全、性能以及使用VLAN、NAT地址转换、ACL访问控制列表、VRRP冗余备份、DHCP动态分配地址以及防火墙技术等方面设计一套更为可靠实用灵活的校园网设计与实现的解决方案。经过eNSP模拟器的调试运行后,证明了本网络建设方案的设计及具体实施计划的可行性,达到了想要的效果。
7.2展望
近些年互联网技术发展日新月异,更多的技术得到创新,校园网用户与日俱增,现有的校园网存在的安全问题层出不穷,建设新的校园网实乃大势所趋。校园网建设总的来说就是为了改造升级,与时俱进,满足校园网高可靠性、可扩展性、可管理性以及经济实用性的需求,也满足用户学习生活中越来越高标准的需求,因此校园网的建设过程中要充分考虑各方需求,在网络拓扑设计上要更加简单,设备的选举要更加严谨,协议的使用更加合理,再者计算机中使用杀毒软软件,提高学生的网络安全意识,加快教育信息化建设,紧跟互联网发展步伐,不断提高网络性能,与时俱进,时刻加强网络的稳定性。
参考文献
[1]张海秀.高校校园网规划与设计[D].青岛科技大学,2018.
[2]范玉普.现代高校校园网设计与规划[D].云南大学,2015.
[3]刘立圆,夏文英,南晓青.高校校园网络的规划与设计[J].电子制作,2014(01):150.
[4]徐峰.高校校园网的设计与规划[J].科技视界,2012(15):169-171+166.
[5]姜瑞鹏.山西医科大学校园网的设计与实施[D].北京邮电大学,2009.
[6]钟机灵.高可靠性校园网规划与设计研究[J].电脑知识与技术,2020,16(22):74-76.
[7]皮宗辉,王树国,简明.高校校园网规划设计及性能优化——以喀什大学为例[J].喀什大学学报,2020,41(06):65-68.
[8]王鹏.高校基础网络规划与设计[J].信息与电脑(理论版),2020,32(21):210-212.
[9]廖伟文.广州工商学院校园网的规划及实现[D].华南理工大学,2018.
[10]刘晓亚.校园无线网络的规划设计与部署[J].计算机时代,2021(06):12 2-124.
致谢
本文的立题、撰写和修改均得到了指导老师的倾心指导、多次反复修正和细致辅导,谨此表示衷心感谢。感谢指导老师在论文写作时提出的修改意见和建议。导师严谨、精益求精的工作作风,深深感染和激励我。在此谨向指导老师致以诚挚的感谢和崇高的谢意。经过几个月来广泛地搜集资料,参考大量文献,归纳整理写出了该篇论文。在论文写作的过程中,深感自己学识肤浅,在分析问题与提出解决问题时不免有疏漏与不当之处,恳请老师的批评指正。在此我还要感谢学院的诸多老师,他们在传道授业的过程中,让我奠定了良好的理论功底。不但给了我学业上的指导,而且也给了我生活上的启发,这会使我终身受益。
1、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“文章版权申述”(推荐),也可以打举报电话:18735597641(电话支持时间:9:00-18:30)。
2、网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
3、本站所有内容均由合作方或网友投稿,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务。
原创文章,作者:1158,如若转载,请注明出处:https://www.447766.cn/chachong/200575.html,
