校园网网络工程实施方案.docx

《校园网网络工程实施方案.docx》由会员分享，可在线阅读，更多相关《校园网网络工程实施方案.docx（46页珍藏版）》请在三一办公上搜索。

1、目 录第一章、总体设计21.1 用户需求21.2 实施的目的31.3 系统设计原则31.4 设计依据和规范41.5 网络设备服务卡41.6 系统软件登记表4第二章、杭电网络工程施工计划52.1 主要设备清单52.2 施工计划表6第三章、杭电网络工程施工过程73.1 网络设备详细信息和IP地址分配表73.2 VLAN间访问规则83.3 施工流程83.4 施工过程93.4.1 Catalyst 6506的安装过程93.4.2 配置Catalyst 6506的系统参数93.4.3 配置Catalyst 6506的VLAN103.4.4 配置配置6509交换机的三层交换模块153.4.5 配置6506

2、交换机VLAN间的访问规则153.4.6 配置6506交换机的CDP和SNMP153.4.7 配置6506交换机的STP163.4.8 配置Catalyst 3500的安装过程163.4.9 配置Cisco 防火墙PIX 520的安装过程183.4.10 配置CACHE ENGINE 550的安装过程193.4.11 配置Cisco3640的安装过程223.4.12 配置Cisco Works网管软件243.5 设备模拟连接调试阶段263.6 设备安装阶段263.7 系统连调阶段273.8 INTERNET连接27第四章、具体设备配置实例294.1 Catalyst 6506294.2 ses

3、sion 15344.3 二级交换机Catalyst 3500384.4 防火墙PIX520414.5 CACHE ENGINE 550444.6 Cisco3640路由器45第五章、工程总结47第一章、总体设计 1.1 用户需求 此网络工程所要达到的主要目标如下： (1)支持全校现有的计算机，连接校园内实验大楼、行政大楼、电教大楼、图书馆和成教大楼等，将本校现有的及将来要配置的各种PC、工作站和终端通过高性能的网络设备连接起来，组成分布式、开放性的网络环境，以提高教育科研水平。(2)充分利用原有的主干光缆和楼内布线系统，将目前的百兆主干快速以太网升级到千兆主干、百兆交换到桌面的高速交换式以太

4、网。同时，保护原有网络设备投资，将目前运行的IBM公司系列网络产品有效地集成到升级系统中。(3)在Internet互连网络系统平台上，以数据库、Web、电子邮件、为基础的系统；并构建内部Intranet系统，与已有系统实现互联。(4)网络与数据安全是目前计算机信息技术所面临的重要挑战，解决安全问题的技术与方案有很多，通过防火墙、web cache服务器建设确定完整统一的安全策略（Security Policy）也是校园网可靠运行的保证。(5)考虑与其它学校、科学教育网络相连，可通过CERNET与国内外其它网络相连接、实现远程教学。(6)网络具有友好、一致的用户界面和丰富的管理应用系统。(7)

5、在网络升级基础上规划相应的应用系统，具体包括：学校网站的建设OA（办公管理）系统建设：电子邮件、公文处理、档案管理、会议管理、电子公告、电子论坛、备忘信息等多媒体辅助教学系统连接原有图书管理系统 VOD视频点播及视频会议系统 1.2 实施的目的 分析用户需求，可知该网络工程所含的内容包括： (1) 运用虚拟网技术，建设杭电校园千兆主干网,使其覆盖全校各主要建筑物，将学校内各种PC、LAN连接为一个结构合理、内外连通，并支持多种协议和异种机的园区网。 (2) 通过在信息中心代理服务器的设立与科教网相连并可与Internet互连。 (3) 新校区的由于其与科教网相连的特殊性，因此可分别设立独立的三

6、个代理服务器与Internet互连。 (4) 根据科学的安全策略，通过Cisco PIX520防火墙配置，从而有效的隔绝内网和外网，但同时又能实现公网对杭电校内网站和对外开放资源的访问。(5) 通过Cache Egeine 505与Cisco 6506之间WCCP配置建立高速的Internet访问通道。(6) 通过CiscoWorks网管软件实施有效的网络管理。 1.3 系统设计原则连续性原则：充分利用现有资源（包括现有的网络、计算机和应用资源），使系统既能与前期系统相衔接，同时具有一定的可扩充性，为后期工作打下基础。实用性原则：在保证使用要求和技术可行性的前提下，要选择易于操作、管理、见效的

7、设计和设备。安全保密原则：设计中应注意各个环节的安全保密，统筹规划，不可偏废。信息共享原则：设计必须考虑信息在一定的条件下、一定范围内的共享。先进性原则：系统建设要与当今先进的计算机网络发展技术相适应，保证系统的先进性、开放性、高可靠性和可扩展性的有机结合。 1.4 设计依据和规范主机和网络设备的选型符合下列国家和组织的技术标准和规范：GB：中华人民共和国国家标准ISO：国际标准组织ITU-T：国际电信联盟IEEE：国际电气与电子工程师协会EIA：电气工业协会IEC：国际电工协会 1.5 网络设备服务卡（见附件） 1.6 系统软件登记表（见附件）第二章、杭电网络工程施工计划 2.1 主要设备清

8、单杭电校园网升级改造工程网络主干设备清单：No.Product No.DescriptionQty1Ws-c6506Catalyst 6506 chassis12WS-CAC-1300Catalyst 6506 Chassis w/ 1300W AC Power Supply13WS-X6K-S2-MSFC2Catalyst 6000 Supervisor Engine2-A, 2GE, plus MSFC-2 & PFC14WS-X6408-GBICCatalyst 6000 8-port Gigabit Ethernet Module (Req. GBICs)15WS-G54841000B

9、ASE-SX Short Wavelength GBIC (Multimode only)66WS-X6348-RJ-45Catalyst 6000 48-port 10/100 RJ-45 Module17WS-C6500-SFMCatalyst 6500 Switch Fabric Model18WS-C3524-XL-ENCatalyst 3524 XL Enterprise Edition39WS-C3548-XL-ENCatalyst 3548 XL Enterprise Edition210WS-G54841000BASE-SX Short Wavelength GBIC (Mul

10、timode only)711CISCO3640Cisco 3600 4-slot Modular Router-AC with IP Software112NM-2FE2W2 10/100 Ethernet 2 WAN Card Slot Network Module113PIX-520-1K-CHMidrange PIX Firewall 520, two 10/100 Enet NICs114CE-550Cache Engine 550115CWW-5.0Cisco works for windows 6.0116JSX-FM-2WIBM8274 2 Port Gigabit Ether

11、net Module1Total 2.2 施工计划表系统设备列表 Cisco 6506主交换机 Cisco 3524二级换机 Cisco 3548二级换机 Cisco PIX520防火墙 Cache Engine 550 Cisco 3640路由器环境检查（10分钟） UPS 电源质量 温度和湿度 接地系统电阻要求设备开包（60分钟）主交换设备二级交换设路由器防火墙电源线缆系统上电（20分钟）cisco6506主机系统（10分钟）各CISCO3500系列主机（60分钟）系统上电正常以及上电失败的相应动作对照系统订单检查系统的功能部件（30分钟）中央处理器内存磁盘（内置以及外置）设备/适配器操作

12、系统安装（150分钟*2）升级Cisco3640 IOS操作系统的（150分钟）安装在线帮助，包括Info，电子书籍，配置书籍搜索程序第三章、杭电网络工程施工过程 3.1 网络设备详细信息和IP地址分配表(见附表)3.2 VLAN间访问规则注： 默认情况下VLAN间的IP包访问不受限制3.3 施工流程以下是本次工程中网络设备的施工流程图 开始配置6506安装模块、配置名字、口令、远端控制 配置 VLAN 配置 MSFC 配置 SNMP配置3500安装模块、名字、口令、远端控制 配置 VLAN 配置 SNMP 配置 网关配置CE-505名字、口令、远端控制 配置 WCCP 配置 网关、DNS配置

13、PIX安装网卡、名字、口令、端口状态 配置 端口地址 配置 路由 配置 安全规则配置3640路由器安装模块、名字、口令、端口状态 配置 端口地址 配置 路由 配置 安全规则设备到位 整体联调 测试与故障解决 3.4 施工过程 3.4.1 Catalyst 6506的安装过程模块安装安装6506的电源模块； WS-X6K-S1A-MSFC2； WS-X6408-GBIC； WS-G5484； WS-X6248-RJ-45； WS-C6500-SFMCisco Catalyst 6506 由工厂根据定货单直接安装好标准配置的模块，但电源、路由等尚未安装，所以首先将待安装的各模块拆开，装入6506的

14、电源插槽。上电检查6506的各个模块的工作状态是否正常：接入6506电源，由于6506有两个电源作为冗余，所以最好两个电源分别接入两路UPS电源上，这样即使当UPS其中一路电源故障时，不会影响整个6506交换机的正常远行，当6506交换机上电初始化结束后，从各个模块面板上的LED灯的状态可以判断各个模块的工作状态是否正常。 3.4.2 配置Catalyst 6506的系统参数 当6506交换机初始化结束后，就进入系统单机配置阶段。对于6506来说，首先需要配置系统参数，其中包括以下几个部分：机器名、口令和远程登陆等。以下是具体配置过程：cisco6506 enable cisco6506（en

15、able）set system name cisco6506说明：配置6506的名字为CISCO6506cisco6506 enable cisco6506（enable）set enable password cisco说明：配置6506的enable 口令为ciscocisco6506 enable cisco6506（enable）set interface sc0 1 192.168.9.3/255.255.255.0 cisco6506（enable）set ip route 0.0.0.0/0.0.0.0 192.168.9.254 说明：配置6506的CPU模块上的以太网IP地址

16、为：192.168.9.3，且只允许本网段任何地址存取 3.4.3 配置Catalyst 6506的VLAN 网络IP地址分配策略杭电校园网是覆盖全院的广域网络，其网络主干连接的节点多，因此，要保证网络的有效性和可管理性，网络地址的规划与分配是十分重要的问题。网络地址是一种资源，必须经过优化的规划和设计，因为很难预测网络将来的规模和应用情况的发展，如果规划不当，将导致地址资源不够用，网络的扩展将受到极大的限制；如果规划过于庞大，则在现行运行过程中，网络的路由将会复杂，影响网络的效率。网络地址的分配应遵循以下的原则：唯一性：在同一个互联网络内网络地址应该保持其唯一性；简单性：地址的分配应该简单，

17、避免在主干上采用复杂的掩码方式；连续性：为同一个网络区域分配连续的网络地址，便于缩减路由表的表项，提高路由器的处理效率，这种技术称为地址叠合（Summarization）；可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性；灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化；可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。在对一个具体部门拥有的某个或几个子区划分子网时，要根据本部门的具体应用需求来合理分配子网资源，并且要留有一定的余地，这要从子网数和某一个子网所拥有的最大主机数

18、两个方面来考虑。根据我们对杭电校园网的网络地址规划和分配的了解，我们采用以C类地址为主B类地址为辅的地址分配原则。前二位（192.168）作为公共网络地址，第三位作为各VLAN的地址，并第四位的（254）作为各VLAN的网关（地址分配表见附表） 杭电计算机网络根据业务功能的不同，可以分为51个VLAN，51个VLAN各自独立，分别属于不同的广播域，默认情况下不同VLAN间可互相访问，根据不同安全策略，access-list表可作访问控制楼幢机构端口分配VLAN IDVLAN命名网关行政楼党政办领导1-18VLAN 10DangZheng192.168.10.254人事处19-24VLAN 11

19、RenShi192.168.11.254教务处25-27VLAN 12JiaoWu192.168.12.254科研财务28-32VLAN 13Xz_1_west192.168.13.254研究所33-36VLAN 14YanjiuSheng192.168.14.254组织、宣传、综合37-42VLAN 15XuanChuan192.168.15.254离休等192.168.16.254纪监、后勤、高教等43-46VLAN 17Xz_2_west192.168.17.254电教CAD1-2VLAN 18Cad192.168.18.254电教3-4VLAN 19DianJiao 192.168.1

20、9.254计算中心5-10VLAN 20Computer_Center192.168.20.254408自备房11-14VLAN 21Student192.168.21.254 楼幢机构端口分配VLAN IDVLAN命名网关实验楼文理学院1-2VLAN 22WenLi192.168.22.254机电分院3-4VLAN 23JiDian192.168.23.254自动化分院5-6VLAN 24ZiDongHua192.168.24.254财经分院7-8VLAN 25Caijing192.168.25.254管理分院9-10VLAN 26GuanLi192.168.26.254计算机分院11-12

21、VLAN 27JiSuanJi192.168.27.254电子分院13-14VLAN 28DianZi192.168.28.254通信分院15-16VLAN 29Tongxin192.168.29.254信息分院17-18VLAN 30XinXi192.168.30.254CAE所19-20VLAN 31CAE192.168.31.254设备处21-22VLAN 32SB_other192.168.32.254网管23-35VLAN 37NIC_1(服务器)192.168.37.25437-42VLAN 33NIC_2（备用）192.168.33.25443-48VLAN 46NIC_3 （学

22、生）192.168.46.254计算机分院1-2VLAN 38proxy192.168.38.2543-4VLAN 39computer_1192.168.39.2545-6VLAN 40computer_2192.168.40.2547-8VLAN 41computer_3192.168.41.2549-10VLAN 42computer_4192.168.42.25411-12VLAN 43computer_5192.168.43.25413-14VLAN 44computer_6192.168.44.254 楼幢机构端口分配VLAN IDVLAN命名网关图书馆服务器VLAN 45LIB_

23、server192.168.45.254客户端1-24VLAN 36Lib_1192.168.36.254 具体配置过程如下：cisco6506（enable）set vtp domain hzdzgxycisco6506（enable）set vtp passwd ciscocisco6506（enable）set vlan 10 name dangzheng cisco6506（enable）set vlan 11 name renshi cisco6506（enable）set vlan 12 name jiaowu cisco6506（enable）set vlan 13 name x

24、z_1_west cisco6506（enable）set vlan 14 name yanjiusheng cisco6506（enable）set vlan 15 name xuanchuan cisco6506（enable）set vlan 16 name xz_other1 cisco6506（enable）set vlan 17 name xz_other cisco6506（enable）set vlan 18 name cad cisco6506（enable）set vlan 19 name dianjiao cisco6506（enable）set vlan 20 name

25、 computer_center cisco6506（enable）set vlan 21 name shudent cisco6506（enable）set vlan 22 name wenli cisco6506（enable）set vlan 23 name jidian cisco6506（enable）set vlan 24 name zidonghua cisco6506（enable）set vlan 25 name caijing cisco6506（enable）set vlan 26 name guanli cisco6506（enable）set vlan 27 name

26、 jisuanji cisco6506（enable）set vlan 28 name dianzi cisco6506（enable）set vlan 29 name tongxin cisco6506（enable）set vlan 30 name xinxi cisco6506（enable）set vlan 31 name cae cisco6506（enable）set vlan 32 name sb_other cisco6506（enable）set vlan 33 name nic_2 cisco6506（enable）set vlan 34 name chengjiao ci

27、sco6506（enable）set vlan 35 name lib cisco6506（enable）set vlan 36 name lib_1 cisco6506（enable）set vlan 37 name nic_1 cisco6506（enable）set vlan 38 name proxy cisco6506（enable）set vlan 39 name computer_1 cisco6506（enable）set vlan 40 name computer_2 cisco6506（enable）set vlan 41 name computer_3 cisco6506

28、（enable）set vlan 42 name computer_4 cisco6506（enable）set vlan 43 name computer_5 cisco6506（enable）set vlan 44 name computer_6 cisco6506（enable）set vlan 45 name lib_server cisco6506（enable）set vlan 46 name nic_3 cisco6506（enable）set vlan 48 name dialup cisco6506（enable）set vlan 50 name 408 cisco6506（

29、enable）set vlan 51 name wy type cisco6506（enable）set vlan 999 name cache ! 说明：设置6506的VLAN名字和VTP模式cisco6506（enable）set trunk 2/1 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/2 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/3 nonegotiate isl 1-1005,1025-4094cisco6506（enab

30、le）set trunk 2/4 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/5 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/6 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/7 nonegotiate isl 1-1005,1025-4094cisco6506（enable）set trunk 2/8 nonegotiate isl 1-1005,1025-409

31、4说明：设置6506的第二模块1-8口为主干模式，并采用ISL协议并不可磋商。 3.4.4 配置配置6509交换机的三层交换模块 当在6506上划分了VLAN以后，桌面工作站就可以根据不同的需求分别加入到对应的VLAN中去，不同的VLAN的客户机就分别属于不同的广播域，有各自不同的IP地址段，当需要跨网段互相访问时，就必须通过路由。6506可以带三层交换MSFC模块，本系统中由于在6506上有一个超级引擎上配置了一块MSFC模块，随着杭电计算机网络的发展，系统可能的情况下，就可以利用CISCO的HSRP协议作热备份，再配置一台或者多台支持HSRP协议的三层交换机，即当其中任何一块MSFC模块故

32、障时，另外一块可以立即接替原来的模块继续工作，切换时间很短。我们可实现51个VLAN分别优先运行在多个三层路由模块上，这样在系统无故障时，能到达路由数据负载分担的目的。 3.4.5 配置6506交换机VLAN间的访问规则 当数据在VLAN间路由时，出于对各独立系统的安全考虑，在各VLAN路由端口上应用访问列表，使VLAN之间的数据按规则通过。针对每个VLAN的所属机构将安全规则量化，再依次应用在端口上。Access-list 1 permit any any 其他VLAN的访问规则见最后的具体配置。 3.4.6 配置6506交换机的CDP和SNMP 当交换机需要被网管时，必须配置交换机的CDP

33、和SNMP参数，其中CDP协议是CISCO公司特有的一种协议，而SNMP是标准的简单网络管理协议。其中SNMP协议需要有一个COMMUNITY NAME控制对交换机的读写，在本次工程中，我们定义了以下的COMMUNITY NAME：READWRITE：PRIVATEREADONLY：PUBLIC以下是具体配置命令：cisco6506enablecisco6506(enable)set cdp enable说明：启用6506交换机的CDP协议。Cisco6506(enable)set snmp enable all说明：启用6506交换机的SNMP功能，并启用默认的关键字PUBLIC为只读，PR

34、IVATE为读写。 3.4.7 配置6506交换机的STP 由于在设计的过程中，为了增加网络的可靠性，在核心层交换机与汇接层交换机之间、以及核心应用中均设计了双冗余链路。为了避免这些冗余链路所形成的透明桥接问题，必须使生成树协议（STP）有效工作。启动生成树cisco6506(enable)set spantree enable all 3.4.8 配置Catalyst 3500的安装过程 Catalyst 3500系列是CISCO公司的提供1000兆上行端口的桌面交换机，本次工程中包括3台catalyst3524交换机和2台catalyst3548交换机，配置过程完全一样。以下是具体配置过程

35、：3524的配置：Current configuration:!version 12.0no service padservice timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname lib说明：配置3524的NAME 为lib。enable secret 5 $1$G3SM$DbzVKE3l/fkYHpoi0XUug/enable password cisco说明：配置3524的口令interface FastEthernet0/1switchport acce

36、ss vlan 35说明：配置端口1属于VLAN135interface GigabitEthernet0/1switchport mode trunkswitchport trunk encapsulation dot1q 说明：两个千兆的上行口配置为TRUNK方式。interface VLAN1ip address 192.168.9.5 255.255.255.0no ip directed-broadcastno ip route-cache说明：配置VLAN1的IP地址vtp client说明：配置VTP为CLIENT方式vtp domain hzdzgxy 说明：配置VTP域名为h

37、zdzgxyline vty 0 4password ciscologinline vty 5 15password ciscologin说明：配置远程登陆的口令为cisco 3.4.9 配置Cisco 防火墙PIX 520的安装过程配置PIX的基本属性 将PIX 安放至机架，经检测电源系统后接上电源，并加电主机。将CONSOLE 口连接到PC的串口上，运行Hyper Terminal 程序从CONSOLE口进入PIX系统；此时系统提示pixfirewall。输入命令：enable，进入特权模式，此时系统提示为pixfirewall#。输入命令：configure terminal，对系统进行

38、初始化设置。配置以太口参数： interface ethernet0 auto (auto选项表明系统自适应网卡类型) interface ethernet1 auto interface ethernet2 auto配置各功能段的安全级别： nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50配置各网卡的IP地址： ip address outside 210.32.39.253 255.255.255.0 ip address inside

39、 10.0.0.254 255.255.255.0 ip address dmz 210.32.32.254 255.255.255.0指定外部地址范围： global (outside) 1 210.32.38.254 global (dmz) 1 192.168.1.1-192.168.1.253 global (dmz) 1 192.168.1.254指定要进行转换的内部地址： nat (inside) 1 0.0.0.0 0.0.0.0 0 0 nat (dmz) 0 0.0.0.0 0.0.0.0 0 0设置静态的地址转换，将真实地址与提供服务的私有地址绑定static (dmz,o

40、utside) 210.32.32.1 210.32.32.1 netmask 255.255.255.255 0 0static (dmz,outside) 210.32.32.21 210.32.32.21 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.18 210.32.32.18 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.10 210.32.32.10 netmask 255.255.255.255 0static (dmz,outside) 210.

41、32.32.32 210.32.32.32 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.23 210.32.32.23 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.150 210.32.32.150 netmask 255.255.255.255 0 static (dmz,outside) 210.32.32.20 210.32.32.20 netmask 255.255.255.255 0static (dmz,outside) 210.32.32.229

42、 210.32.32.229 netmask 255.255.255.255 0 0static (dmz,outside) 210.32.32.50 210.32.32.50 netmask 255.255.255.255 0 0指定要进行静态转换的IP地址能够通过的协议conduit permit icmp any any 允许所有ICMP通信conduit permit tcp host 210.32.32.21 range ftp www anyconduit permit tcp host 210.32.32.10 range ftp www anyconduit permit ud

43、p host 210.32.32.1 eq domain anyconduit permit tcp host 210.32.32.150 eq www anyconduit permit tcp host 210.32.32.18 range smtp pop3 anyconduit permit tcp host 210.32.32.20 eq www anyconduit permit tcp host 210.32.32.229 anyconduit permit tcp host 210.32.32.50 eq telnet anyconduit permit tcp host 210.32.32.23 eq www any设置指向内、外部网的缺省路由route outside 0.0.0.0 0.0.0.0 210.32.39.254 1route inside 192.168.0.0 255.255.0.0 10.0.0.253 1系统允许的主机对防火墙端口的TELNET访问telnet 192.168