肇庆市体育馆竞赛网络方案设计要点.docx

《肇庆市体育馆竞赛网络方案设计要点.docx》由会员分享，可在线阅读，更多相关《肇庆市体育馆竞赛网络方案设计要点.docx（25页珍藏版）》请在三一办公上搜索。

1、肇庆学院计算机学院计算机网络工程课程设计报告题 目 肇庆市体育馆竞赛网络方案设计 班 级 09网络工程1班 组 长 陈文佳 成 员 罗高祥 陈文佳 何伟辉 黎 渊 指导教师 杨 帆 完成时间 2011 年 12 月 28 日 学号姓名完成任务签名成绩200924133107罗高祥链路流量需求分析、网络安全实施规范设计、及文档资料整理等200924133113陈文佳负责协调组员的各项工作及全面掌握材料及指导工程的全过程200924133128何伟辉VLAN划分与配置、IP地址的分配等200724133165黎 渊VRRP及链路冗余设计和督促组员工作目 录1 需求分析. 31.1 肇庆市中心体育馆

2、概况 .31.2 要进行网络设计的业务口.31.3 IPV6应用需求 . 31.4 工程设计的建设原则.31.5 架构层次需求分析.41.6 进行网络设计的业务及流量需求分析.41.7 场馆上行带宽需求分析.41.8 体育馆竞赛中心Internet出口带宽需求分析.51.9 设计原则.5 1.9.1 连通性与安全性并重的原则.5 1.9.2 冗余性与经济性平衡的原则.5 1.9.3 成熟性与稳定性优先的原则.5 1.9.4 可管理、灵活易维护的原则.52 网络拓扑设计.62.1.体育馆接入层.62.2.VLAN划分规范.8 2.2.1 VLAN划分说明.82.3 IP地址规范.82.4 生成树

3、设计实现.9 2.4.1 生成树配置.92.5 VRRP设计.10 2.5.1 VRRP设计实现.10 2.5.2 VRRP配置.103 网络安全实施规范.12 3.1 CPU保护安全. .12 3.1.1 CPU保护配置规范. .12 3.2 风暴控制设计. .12 3.2.1 风暴控制设计实现. .12 3.2.2 风暴控制配置规范. .12 3.3 防ARP欺骗.12 3.3.1 防ARP欺骗设计实现.12 3.3.2 防ARP欺骗配置规范.12 3.4 防非法dhcp欺骗.13 3.4.1 防dhcp欺骗配置规范.134 设备配置文件. .135 课程设计总结. .23第一章 需求分析

4、1.1 肇庆市中心体育馆概况：肇庆市中心体育馆主要承担拳击、古典式和自由式摔跤等各类比赛。2000年，该馆曾举行过全国跆拳道、拳击、摔跤等项目的大型锦标赛，并按全运会的规范进行了试运行，受到国家体育总局的充分肯定。中心体育馆也承载肇庆市一些大型的演唱会，该馆建筑面积7400平方米，可容纳观众3800人，并设贵宾休息室、记者工作室、休息室和新闻中心。该馆距离运动员接待酒店仅300米，交通方便。1.2 要进行网络设计的业务口分别有：工作人员办公室、比赛信息台、成绩处理工作室、尿检工作室、运动员检录区、运动员医务区、媒体工作室、兴奋剂检查室、贵宾休息厅、场馆运行中心、场馆技术运行中心、观众服务管理办

5、公室、场馆主任办公室、新闻发布中心、竞赛主任办公室、赛事监控系统、语言服务办公室、新闻发布厅、打印复印分发办公室共22个业务口。1.3 IPV6应用需求：本项目还承担一些IPV6应用项目。本设计考虑了未来IPV6城域网的应用需求，包括（但不限于）下列应用需求：IPV6智能家居。通过此应用，充分展示IPV6地址丰富的能力，家中的每个电器设备，都可以通过网络控制。IPV6 RFID。由于IPv6的地址空间巨大，对于RFID来说非常适合，IPv6的大量地址可以实现为每一个RFID分配一个地址。IPV6宽带视频。即插即用的视频类业务适合用IPV6技术来支撑。IPV6官方网站。大学网络是IPV6使用最广

6、泛的网络，因此开辟IPV6官方网站，有助于为运动竞赛、演唱会提供一个更好的宣传渠道。1.4 工程设计的建设原则：分析如上应用，网络主要承载实时非高交互性业务，传统视频点播业务，IPTV业务，传统数据业务。流量大，实时性要求高。带宽需求大，转发性能、可靠性要求高，故障切换快速。要求网络必须24小时不间断运行，可用性要达到99.999% 以上。为确保达到如上网络建设目标，保证竞赛网络的顺利正常运行，本设计建设的投标方所涉及的网络系统的要求较高，要求的特点如下：转发性能高、设备可靠性高、系统可靠性高、丰富的安全控制能力、强大的软硬件QoS保证、网络可维护性高、支持IPv4/IPv6双栈。1.5 架构

7、层次需求分析：由于体育馆场馆内部信息点数量相对较少，接入层交换机数量少，网络拓扑图比较简单，所以体院馆只分为竞赛场馆接入层、汇聚层两个层面。竞赛场馆接入层即每赛场馆的内部局域网，包括中心交换与楼道接入两个子层。1.6 进行网络设计的业务及流量需求分析：下面从以下2个方面分析体育馆竞赛网络的带宽需求，从而可以为主干网链路级别的选择提供依据：场馆上行带宽需求；Internet出口带宽需求。1.7 场馆上行带宽需求分析：体育馆竞赛中心分为三个级别，带宽估算由如下部分组成： （1）赛事管理业务流量。该系统包括4个子系统，但我们假定一个用户在一个时刻只会使用其中的一个子系统。根据应用设计的需求，无论哪个

8、子系统，每次查询的数据量为100KB。由于采用B/S结构，HTML/XML的标签开销很大。为了保证使用者的正常快速使用，这些数据需要在小于0.5秒的时间内传输完毕，因此每个终端使用相关业务的带宽需求为： 0.1MB * 8b/B * 4 / 0.5s = 6.4Mbps （2）上网和收发邮件的流量：按照一般宽带应用需求计算为2Mbps，并在接入交换机上做相应的带宽限制确保单用户流量不超过该数值。 （3）资料下载的流量：按照一般E-Learning的带宽需求计算为4Mbps，并在接入交换机上做相应的带宽限制确保单用户流量不超过该数值。 上述3个部分的流量为工作人员产生的流量，并且可能是同时发生的

9、。据调查，场馆有50个工作人员需要同时使用计算机网络。根据场馆网络应用的需求特征，我们对上述三种流量的忙时集中系数分别赋予0.5、0.3、0.2，则由于工作人员的需要产生的每个场馆流量的上行流量为： （6.4*0.5 + 2*0.3 + 4*0.2 ）* 50 = 230（Mbps）视频监控带宽：场馆使用4个高清摄像头，带宽为： 4*8=32（Mbps）。赛事专网：因为赛事数据的传递要求有一个快速、高效的承载网络。每组数据的传递应该在0.1秒内完成，这样才能保证经过服务器处理及经过转发到官方网站和处理后，可以在小于一秒的时间内具备向媒体和网站用户发布即时比赛成绩的能力。使用户在网上观看到的数据

10、更新与视频直播之间不会产生人能感知的明显时间差异。因为每条信息的数据量大约是1KB。每个XML文件包括多条信息，按照每个XML文件10KB计算。一次比赛结果上传需要传递XML文件包括：名次公告、每个运动员的成绩、技术统计信息、积分计算、犯规信息、轮次晋级等等，这些信息需要上传到数据中心，经过处理及时发布到信息网上，并进一步发布到网络媒体上供查询或滚动播出。赛事专网有8种需要立即上传的数据，其中，技术统计信息包含的数据比较多，应按5倍计算，则一共相当于共计12个10KB的XML文件。所以，一次发布的总数据量（含开销）大约为： 12 * 10 KB = 120KB。根据上述分析，为保证足够快速地将

11、比赛成绩及相关信息上报，需要保留的带宽需求估算为： (120KB * 8b/B) / 0.1s = 9.6Mbps 此外，考虑到还有一些未尽的因素以及作为重大赛事网的重要性，带宽需要一定的冗余设计。根据已有赛事网的经验，一般设带宽冗余系数为1.5。因此上述三个方面的的带宽分别为：用户应用带宽应为：230*1.5=345（Mbps）视频监控带宽应为：32*1.5=48（Mbps），赛事专网带宽应为：9.6*1.5=14.4根据这些条件，计算得到场馆上行总带宽需求为：中心场馆：345+ 48 + 14.4= 407.4（Mbps），因此，总体上场馆上行的带宽需求为千兆以太网级别。1.8 体育馆竞赛

12、中心Internet出口带宽需求分析：流量中的一部分为Internet流量。每个用户的Internet带宽为2Mbps，每场馆40个用户，总的Internet出口带宽需求为： 2Mbps * 40 * = 80 Mbps由于Internet带宽不是赛事最关键的流量，选用百兆级带宽出口即可，并使用流量控制设备，对不必要的流量和可能出现的拥塞进行控制，以保证最基本的功能如收发邮件等工作的正常进行。1.9 设计原则：根据体育馆的通信和信息系统建设指导性纲领“安全、可靠、实用、先进、经济”的定位，并根据上述应用需求的分析，尤其是关于需求特点的分析，我们认为体育馆平台的设计和建设，应该遵循以下一些原则：

13、连通性与安全性并重的原则，冗余性与经济性平衡的原则，成熟性与稳定性优先的原则，可管理、灵活易维护的原则。1.9.1 连通性与安全性并重的原则有：多数节点布置的防火墙以透明防火墙为主，不割裂网络；安全性设计以预防DoS攻击为最主要的任务，确保网络畅通；在网络中以并联方式使用IDS、及流量分析设备，以便预防和及早发现问题，而不形成瓶颈；总之，要确保网络既安全又可靠的运行。1.9.2 冗余性与经济性平衡的原则有：链路冗余：除了临时布线网络以外的部分均采用双链路；设备冗余：主干网络部分（包括接入层交换机和汇聚层交换机）使用双设备；同时，本网的设计还须考虑经济性原则。1.9.3 成熟性与稳定性优先的原则

14、：要的复杂功能或新功能，尽可能避免潜在的、甚至不可预知的问题。1.9.4 可管理、灵活易维护的原则：网络还应该具备灵活机动、快速安装、快速调整的特点，以便满足临时布线布网、故障设备快速更换的要求。根据上述原则，并进一步结合对需求的分析中指出本项目网络流量结构清晰、路由表结构简单，因此，本项目主体网络设备不需要采用路由功能和MPLS等其它功能非常强大的高端路由器，而是采用具有高转发性能和一定路由功能的路由式交换机，既成熟可靠、高速高效，又经济实用、维护便捷。总之，稳定可靠、通畅安全、确保赛事运行，是体育竞赛网络平台压倒一切的要求。第二章 网络拓扑设计2.1.体育馆接入层：经调查一共有85左右的信

15、息点，体育馆需要7台RG-S3760-24、固化24个10/100Mbps电口、4个千兆光电复用端口作为接入层交换机。还有两台5750汇聚交换机RG-S5750-24GT、固化12个千兆电口、12个千兆光电复用端口、2个扩展插槽、五台服务器、两台防火墙。2.1.1场馆拓扑介绍：场馆采用两台中心机房交换机，负责本场馆的数据转发核心。场馆中心机房交换机上联到中间链路上联到电信，中间各安置一台防火墙作为数据流的访问控制。场馆中心机房交换机下联分为如下四个模块： 1.楼道交换机：负责场馆办公及技术网络和赛事成绩及其他他信息PC的接入； 2.服务器交换机 ：包括、DNS服务器及审计交换机和检错交换机；

16、3.场内的临时交换机：在临时需要接入信息点时，可以在场内部署临时交换机，临时交换机与场馆中心机房交换机的连接属于按需连接方式。为满足标准化、规范化的要求，计算机网络设备有一定的命名规范要求：设备命名分别为：RG_A1、RG_A2为汇聚层中心主设备的名称。RG_B1、.RG_B7为楼道接入层设备名称。RG_F1、RG_F2为防火墙设备名称。2.2. VLAN划分规范：2.2.1 VLAN划分说明：按照体育馆的业务要求，合理地对不同的业务划分VLAN,有利于业务之间的的隔离、缩小广播域、并对IP地址规划和QoS、安全设计等有直接的支持作用。划分原则：把功能（应用）相近的设备群组（端口）划分到同一V

17、LAN，将不同性质的设备（端口）划分到不同VLAN。各VLAN成员之间不能直接访问，不同VLAN之间的流量必须经过路由。在办公网现有规划的基础上，进行VLAN的设计及划分，如下：赛事专网：VLAN 10；技术部门：VLAN 11；办公新闻官员服务：VLAN 12；详见附页：Excel文档：中心交换机，信息点IP地址及VLAN划分表。 2.3 IP地址规范：由于肇庆市体育馆使用的网络比较小，所以采用C类保留网段192.168.0.0，192.168.255.255的255个C类地址，并通过适当的规划区分物理位置和业务。详见附表。 2.4 生成树设计实现：1.生成树协议统一使用MSTP。2.如涉及

18、到两台场馆中心交换机，统一设置01号设备为主根设备，02号设备为备根设备。3.对于接PC或者服务器的D/E设备端口，接入端口配置portfast、bpduguard。4-开启TPP功能，防止由于CPU利用率过高时导致拓扑震荡。2.4.1 生成树配置： 以正式比赛场馆为模板进行配置规范：RG-A1：Ruijie(config)#spanning-treeRuijie(config)#spanning-tree mode MSTPRuijie(config)#spanning-tree mst 0 priority 4096 /配置生成树，模式MSTP，优先级4096cpu topology-li

19、mit 60 /设置CPU利用率阀值为60，推荐值为50-70cpu-pro typ arp pps 1000 /配置arp报文的带宽为1000ppscpu-pr typ arp pri 4 /配置arp报文的优先级为4，数值越高，优先级越高cpu-pr typ vrrp pps 800 /配置VRRP报文的带宽为800ppscpu-pr typ crrp pri 7 /配置VRRP报文的优先级为7spanning-tree tc-protection /打开全局tc-protection，防止TC BPDU报文的大量攻击int rang gi 0/1-4，0/11 /配置进入多个接口swit

20、ch mode trunk /配置接口为trunktp-guard port enable /如果设备支持TPP，则在端口上开启TPP功能，即配置 tp-guard port enable命令，当设备cpu利用率超过60 时，会保持拓扑中MSTP和VRRP状态不变，防止拓扑发生振荡。RG-A2：Ruijie(config)#spanning-treeRuijie(config)#spanning-tree mode MSTPRuijie(config)#spanning-tree mst 0 priority 8192 /配置生成树，模式MSTP，优先级8192cpu topology-lim

21、it 60 /设置CPU利用率阀值为60，推荐值为50-70cpu-pro typ arp pps 1000 /配置arp报文的带宽为1000ppscpu-pr typ arp pri 4 /配置arp报文的优先级为4，数值越高，优先级越高cpu-pr typ vrrp pps 800 /配置VRRP报文的带宽为800ppscpu-pr typ crrp pri 7 /配置VRRP报文的优先级为7spanning-tree tc-protection /打开全局tc-protection，防止TC BPDU报文的大量攻击int rang gi 0/1-4，0/11 /配置进入多个接口switc

22、h mode trunk /配置接口为trunktp-guard port enable /如果设备支持TPP，则在端口上开启TPP功能，即配置 tp-guard port enable命令，当设备cpu利用率超过60时， 会保持拓扑中MSTP和VRRP状态不变，防止拓扑发生振荡RS-B1：Ruijie(config)#spanning-treeRuijie(config)#spanning-tree mode MSTP /配置生成树，模式MSTPRuijie(config)#interface fastethernet 0/1 /连接终端的接口Ruijie(config-if)#spanni

23、ng-tree portfastRuijie(config-if)#spanning-tree bpduguard enableexitRuijie(config)#error-recovery interval 60 /配置自动恢复时间为60秒cpu topology-limit 60 /设置CPU利用率阀值为60，推荐值为50-70cpu-pro typ bpdu pri 6 /配置bpdu报文的优先级为4spanning-tree tc-protection /打开全局tc-protection，防止TC BPDU报文的大量攻击int rang gi 0/23-24 /配置进入多个接口s

24、witch mode trunk /配置接口为trunktp-guard port enable /如果设备支持TPP，则在端口上开启TPP功能，即配置 tp-guard port enable命令，当设备cpu利用率超过60时， 会保持拓扑中MSTP和VRRP状态不变，防止拓扑发生振荡 2.5 VRRP设计： 2.5.1 VRRP设计实现：1、VRRP的主备设置：统一设置奇数序号设备为VRRP主设备，偶数序号设备为VRRP备设备，保证VRRP主设备同生成树的根保持一致。2、为了防止VRRP频繁切换，VRRP的主设备启用抢占延时，抢占延时为10秒。3、为了防止非法的VRRP设备接入，VRRP的

25、两端开启认证，增强网络的安全性。 2.5.2 VRRP配置：RS-A1，X为奇数作为VRRP的主设备， X为偶数作为VRRP的备设备RS-A1：Ruijie(config)#interface vlan X /进入特定的接口，服务器VLANRuijie(config-if-VLAN 1)#vrrp 1 ip x.x.x.254 /配置特定的组和虚拟网关地址Ruijie(config-if-VLAN 1)vrrp 1 priority 150 /配置特定组的优先级Ruijie(config-if-VLAN 1)#vrrp 1 preempt delay 120 /处于备份状态的VRRP路由设备准

26、备宣告自己拥有Master 身份之前的延迟120秒防止VRRP震荡RS-A2：Ruijie(config)#interface vlan X /进入特定的接口，服务器VLANRuijie(config-if-VLAN1)#vrrp 1 ip x.x.x.254 /配置特定的组和虚拟网关地址备注：所有服务器的网关均设置为X.X.X.254，也就是VRRP组的虚拟IP地址为X.X.X.254虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟

27、IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议，同时VRRP的主备切换对于终端来说是透明的。网络正常情况下，终端的网关在VRRP主设备，通过VRRP主设备访问外部网络资源；故障情况下：1. 当01号线路的线路出现故障，由于VRRP开启了track功能，此时VRRP的虚拟网关切换至VRRP备设备，终端通过VRRP主设备访问外部网络资源；2. 当02号线路的线路出现故障，对网络没有任何影响，终端通过VRRP主设

28、备访问外部网络资源；3. 当03号线路的线路出现故障，VRRP主备设备不切换，虚拟网关地址在VRRP主，终端通过VRRP主设备访问外部网络资源。第三章 网络安全实施规范 3.1 CPU保护安全： 在网络环境中经常发现一些恶意的攻击，这些攻击会给交换机带来过重的负担。有时当网络中的管理报文超过了交换机所能负荷的能力，这些都会造成交换机CPU 利用率过高，导致交换机无法正常运行。通过部署网络设备相应的CPU保护的功能，区分不同的CPU处理报文的队列以及优先级、送CPU处理的报文速率，用以减轻交换机CPU 负担，保护交换机的正常处理能力。当设备受到攻击时，设备的CLI （Command Line I

29、nterface）管理界面仍可进行正常的管理操作，不会导致CPU 利用率过高，设备对收到的其他协议报文仍可以被交换机及时处理。 3.1.1 CPU保护配置规范：cpu-protect type bpdu pri 6cpu-protect type arp pps 1000cpu-protect type arp pri 4cpu-protect type ospf pps 400cpu-protect type ospf pri 5cpu-protect type vrrp pps 800cpu-protect type vrrp pri 7 3.2 风暴控制设计： 3.2.1 风暴控制设计实

30、现：当LAN中存在过量的广播、多播或未知名单播包时，就会导致网络变慢和报文传输超时几率大大增加。这种情况就是LAN风暴。协议栈的执行错误或对网络的错误配置都有可能导致风暴的产生。我们分别针对广播、多播和未知名单播数据流进行风暴控制。当接口接收到的广播、多播或未知名单播包的速率超过所设定的阀值时，设备将只允许通过所设定阀值带宽的报文，超出阀值部分的报文将被丢弃，直到数据流恢复正常，从而避免过量的泛洪报文进入LAN中形成风暴。 3.2.2 风暴控制配置规范：在体育馆楼道交换机上配置Ruijie(config)#interface fastethernet 0/1Ruijie(config-if)#

31、storm-control broadcastRuijie(config-if)#storm-control uncast /针对需要开启的端口，进行广播、未知名单播的速率限制3.3 防ARP欺骗： 3.3.1 防ARP欺骗设计实现：局域网中的ARP攻击主要是针对网关进行欺骗，一般是通过在LAN中洪泛非法的sender位为网关IP的ARP报文实现对正常用户的欺骗，导致正常用户无法上网，或者实现“中间者攻击”，通过在接入层交换机上使能anti-arp-spoofing功能可以对ARP网关欺骗进行防范。 3.3.2 防ARP欺骗配置规范：Ruijie（config）#interface faste

32、thernet 0/1Ruijie（config-if）#anti-arp-spoofing ip x.x.x.x /指定本端口的网关IP地址 3.4 防非法dhcp欺骗：用户可能通过dhcp方式获取ip地址，为了防止体育馆内存在用户采用dhcp方式进行欺骗，通过在接入层交换机上开启dhcp-snooping功能来预防此类欺骗。 3.4.1 防dhcp欺骗配置规范：Ruijie（config）#ip dhcp snoopingRuijie（config-if）#ip dhcp snooping trust/指定交换机上联端口为可信任 第四章 设备配置文件 4.1 场馆中心交换机（RS-A1）配

33、置：配置命令如下：RG_A1的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitconf teint range f0/0 -7switchport mode trunkno shutint f0/1ip add 192.168.20.1 255.255.255.0no shutInt f0/2Ip add 192.168.20.2 255.255.255.0no shutint f0/3ip add 192.168.20.3 255.255.255.0no shutInt f0/4Ip add 192.168.20.4 25

34、5.255.255.0no shutInt f0/5Ip add 192.168.20.5 255.255.255.0no shutint f0/6ip add 192.168.20.6 255.255.255.0no shutint f0/7ip add 192.168.20.7 255.255.255.0no shutexitwrRG_A2的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan12exitconf teint range f0/0 -7switchport mode trunkno shutint f0/1ip add 1

35、92.168.20.1 255.255.255.0no shutInt f0/2Ip add 192.168.20.2 255.255.255.0no shutint f0/3ip add 192.168.20.3 255.255.255.0no shutInt f0/4Ip add 192.168.20.4 255.255.255.0no shutInt f0/5Ip add 192.168.20.5 255.255.255.0no shutint f0/6ip add 192.168.20.6 255.255.255.0no shutint f0/7ip add 192.168.20.7

36、255.255.255.0no shutexitwrRG_B1的配置命令：enavlan dvlan 10exitvlan dvlan 11exitvlan dvlan 12exitcofn teint range f0/1 -2switchport access vlan 12int range f0/3 -8switchport access vlan 11int range f0/9 -13switchport access vlan 12exitint range f0/14 -15switchport mode trunkno shutint f0/1ip add 192.168.5

37、5.1 255.255.255.0no shutInt f0/2Ip add 192.168.55.2 255.255.255.0no shutint f0/3ip add 192.168.56.1 255.255.255.0no shutInt f0/4Ip add 192.168.56.2 255.255.255.0no shutInt f0/5Ip add 192.168.56.3 255.255.255.0no shutint f0/6ip add 192.168.56.4 255.255.255.0no shutint f0/7ip add 192.168.56.5 255.255.255.0no shutint f0/8ip add 192.168.56.6.255.255.255.0no shutint f0/9ip add 192.168.55.3 255.255.255.0no shutInt f0/10Ip add 192.168.55.4 255.255.255.0no shutint f0/11ip add 192.168.55.5 255.255.255.0no shutInt f0/12Ip add 192.168.55.6 255.25