第9章局域网解决方案案例

局域网技术与组网工程第9章局域网解决方案案例局域网技术与组网工程主要内容9.1校园网解决方案案例9.2企业网解决方案案例9.3本章小结局域网技术与组网工程本章学习目标掌握以校园网为代表的局域网的规划与设计步骤掌握校园网规划与设计方案的撰写理解企业网与校园网的区别与联系掌握企业网规划与设计步骤局域网技术与组网工程9.1校园网解决方案案例--9.1.1校园网背景学校现有教职工1500人，各类在校生15000余人，每年以5％比例增长。校园占地1460亩，分南区、北区和西区三个校区，18个学院分布在3个校区。本方案针对北区部分，现北区拥有行政、教学、实验综合楼两栋、教学楼一栋、图书馆楼一栋、后勤及工会混合楼一栋、家属院楼四栋、学生宿舍楼六栋。由于入学率的增加和应用需求带宽的激增，导致现有网络存在性能和可用性、可靠性问题。网络中心6名管理人员和若干兼职学生从事管理维护工作。因外来访问者、学生不经过认证就可以轻而易举访问无线网络，因此无线接入点成为网络中心和各学院争议的焦点。局域网技术与组网工程9.1校园网解决方案案例--9.1.2需求分析1.商业目标分析在未来的三年中，将损耗从30%降低到5%。提高教师的效率，允许教师和其他学院的同仁一起参与更多的项目研究。提高学生提交作业、选课、成绩查询效率。允许学生使用他们的无线笔记本电脑访问园区网络和因特网。允许访问者使用他们的无线笔记本电脑从园区网络访问互连网络。保护网络防止入侵。提高关键任务应用程序和数据的安全性和可靠性。局域网技术与组网工程9.1校园网解决方案案例--9.1.2需求分析2.技术目标分析重新设计IP地址规划。增加已有因特网接入带宽，以支持新的应用和现有应用的扩展。为学生提供一个安全、私密的无线网络用于访问园区网络和因特网。提供一个响应时间大约为1/10秒的网络。网络的可靠性大约为99.90%，MTBF为3000个小时，MTTR为3个小时。提高安全性，保护因特网连接和内部网络，防止入侵。使用网络管理工具，提高IT部门的效率和效果。网络具有良好的可扩展性，可以在将来支持多媒体应用。局域网技术与组网工程9.1校园网解决方案案例--9.1.2需求分析3.网络应用分析参见表9-14.用户团体分析参见表9-25.数据存储位置参见表9-3局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征1.现有网络概括和拓扑核心层是一台8512三层交换机，通过多模光纤连接到计算机中心、图书馆、主教楼、基础实验楼和东教楼，各个宿舍楼经过7606汇聚后连接到8512上。同时在防火墙上拿出一个端口接到DMZ区域，提供校园网的、DNS、电子邮件等服务；SAM和DHCP服务器也连到8512上，提供各个宿舍楼的动态地址分配和上网计费功能。边界路由通过CERNRT（中国教育科研网）和网通的线连接到Internet上。在边界路由NET40和所有的三层交换机上配置OSPF路由协议；在边界路由上配置NAT做地址转换；在核心交换机8512上划分VLAN对全院VLAN进行管理。每个楼宇上的三层交换机同样划分VLAN。该校北区网络拓扑如图9-1所示。局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征CNCCernetDMZ区SAMDHCP北区学生宿舍区家属院电子邮件服务器DNS楼2#楼3#楼4#楼5#楼6#楼局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征2.地址和命名由于学校上网人数比较多，各个部门和楼宇之间又处在不同的VLAN中，C类的IP地址不能够满足上网的需求，所以校园网内部一部分采用了公有地址，而另一部分采用了RFC1918中规定的私有地址段，这些私有地址不能访问外部网络，但是可以访问校园网，必须经过路由将私有地址转换成公有地址才能出网。学生宿舍楼采用了私有地址转换成公有地址的方案，使用DHCP服务器和RAIDUS服务器结合的技术，只有通过RAIDUS认证服务器认证后的用户DHCP服务器才能给他分配公有IP地址，没有通过认证的只能分配私有地址，私有地址采用了子网划分，将172的B类地址借了7位主机位，每个楼宇可以分配512个私有地址。计算机中心、图书馆以及其他部门分配了固定的共有IP地址，可以直接访问Internet。如表9-4所属为北区各部门、学生宿舍楼IP地址配置情况和常见服务器的命名与地址配置。局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征部门名称IP地址所属网络子网掩码基础实验楼网络中心202.*.32.0255.255.255.0主教楼202.*.34.0255.255.255.0基础实验楼202.*.35.0255.255.255.0基础实验楼202.*.43.0255.255.255.0南区教师楼202.*.46.0255.255.255.0学生宿舍1#楼（认证后）222.*.81.0255.255.255.0学生宿舍2#楼（认证后）222.*.82.0255.255.255.0学生宿舍3#楼（认证后）222.*.83.0255.255.255.0学生宿舍4#楼（认证后）222.*.84.0255.255.255.0学生宿舍5#楼（认证后）222.*.85.0255.255.255.0学生宿舍6#楼（认证后）222.*.86.0255.255.255.0学生宿舍1#楼（未认证）172.24.0.*-172.24.1.*255.255.254.0学生宿舍2#楼（未认证）172.24.2.*-172.24.3.*255.255.254.0学生宿舍3#楼（未认证）172.24.4.*-172.24.5.*255.255.254.0学生宿舍4#楼（未认证）172.24.6.*-172.24.7.*255.255.254.0学生宿舍5#楼（未认证）172.24.8.*-172.24.9.*255.255.254.0学生宿舍6#楼（未认证）172.24.10.*-172.24.11.*255.255.254.0服务器命名与地址配置情况WEB服务器*.32.7/24DNS服务器dns202.*.32.1/24Email服务器mail202.*.32.50/24NAT服务器nat202.*.32.110/24DHCP服务器dhcp10.10.10.252/24局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征3.现有网络采用的布线和介质在核心的主干网上采用了千兆光纤，从网络中心到各个楼宇之间采用千兆光纤的多模光纤，每栋楼宇内部采用超五类双绞线连接到桌面，可提供百兆的带宽。如表9-5所示为所采用的光纤信息。在双绞线的选取上，交换机之间采用TCLPC101004，交换机到主机间采用FS-HSYV5e(UTP)。建筑物建筑物间距离（米）光纤类型亚太八楼到家属楼260AMP6芯光纤(50/125)亚太八楼到图书馆100AMP4芯光纤(62.5/125)亚太八楼到主教楼100AMP4芯光纤(62.5/125)亚太八楼到1#宿舍160AMP6芯光纤(50/125)亚太八楼到2#宿舍260AMP6芯光纤(50/125)亚太八楼到3#宿舍220AMP6芯光纤(50/125)亚太八楼到4#宿舍260AMP6芯光纤(50/125)亚太八楼到5#宿舍160AMP4芯光纤(62.5/125)亚太八楼到6#宿舍100AMP4芯光纤(62.5/125)局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征4.建筑物之间的距离和环境因素校园内各个建筑物采用的是光纤连接的，而这里只以建筑物之间实际距离为准，包括建筑物之间的水平距离和垂直距离。水平距离是就是建筑物之间水平相聚多远，如基础实验楼到综合楼大概是50M。垂直距离是某一建筑物的一楼到顶楼之间的距离，如基础实验楼一楼到九楼的垂直距离大概是24米。如表9-6、9-7所示。局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征5.现有网络的性能参数（1）带宽从网络中心到各个楼宇均铺设了多模光纤，带宽可以达到千兆每秒，各楼层到桌面采用的是超五类双绞线，带宽在百兆左右。（2）吞吐量在网络高峰期，比如中午12：00左右和晚上9：00左右，上网人数比较多，发生冲突的可能性达到10%，这样吞吐量=90%*G(网络负载)，其它时间的吞吐量几乎等于网络负载。（3）丢包率在网络无拥塞的时候，路径丢包率为0%，轻度拥塞时丢包率为1%~4%，严重拥塞时丢包率为5%~15%。（4）可用性以边界路由NE40为例计算设备可用性，如表9-8所示为各数据。局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征（5）主干网的流量负载7606到8512干线流量：最大约800M，流量分布如下：7606到1#楼：最大约180M7606到2#楼：最大约108M7606到3#楼：最大约88M7606到4#楼：最大约106M7606到5#楼：最大约104M7606到6#楼：最大约104M8512到计算机中心流量：最大约500M，流量分布如下：8512到图书馆流量：最大约200M8512到主教楼流量：最大约200M8512到基础实验楼流量：最大约60M8512到东教流量：最大约40M局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征6.网络应用流量的特征要分析现有网络流量，首先需确定子网边界，把网络分成几个易管理的域；其次确定工作组和数据的传输方式；最后通过网络流量基线对网络流量进行分析。可以将现有校园网划分为综合楼、后勤部、家属院、教学区、宿舍区、图书馆和主区域。其物理区域和逻辑区域分别如图9-2、9-3所示。局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征图书馆后勤宿舍区家属院教学区综合楼主区域局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征名称用户数量位置所使用的应用程序基础实验楼800电子邮件、FTP、Web、数据存储与备份、计费东教学楼25电子邮件、文件传输、Web综合楼600电子邮件、FTP、Web、数据存储与备份图书馆10电子邮件、文件传输、Web浏览器、查询学生宿舍楼5160电子邮件、文件传输、Web浏览器、上网后勤部40计费、数据存储家属院2000电子邮件、Web浏览器、上网局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征局域网技术与组网工程9.1校园网解决方案案例--9.1.3现有网络特征7.现有网络安全与网络管理通过对网络流量做了简单的分析，发现BT和ARP攻击高峰期两类流量总和占75%左右。BT下载是现在比较流行的下载方式，BT是用多少带宽就有可能吃多少，这个也是运营商很争议的事情。ARP攻击属于协议性攻击行为，通常因很多学生和教职工较少安装ARP防火墙之类的专防ARP的软件，并且定期更新系统漏洞较少等造成。BT和ARP不仅仅影响网速，而且还影响网络的可用性。为了最大可能的减少校外的攻击，给校内提供一个安全稳定的网络环境，要求学校在网络边界路由和核心层之间添加硬件防火墙。同时划分VLAN及应用ACL。对安全性以及低广播风暴的要求，要求各个部门可单独划分VLAN，各单位之间在未经授权的情况下，不能相互访问。对财务部，院领导部门等访问做特殊控制。同时尽量减少不正常的网络流量如病毒的传播。同时学校目前一直使用MRTG，进行各个交换机和路由器的流量实时监控，能及时反映出当前和平均的流量图。学校采用锐捷计费系统，对学生使用Internet的用户，进行自动计费。局域网技术与组网工程9.1校园网解决方案案例--9.1.4网络逻辑设计1.网络拓扑结构设计8512核心交换机在整个校园网中站了主导地位，所以必须保证它的安全性和可靠性，我们在原有的拓扑基础上增加了一台8512核