校园网初级片)校园网建设)PPT课件

《校园网初级片)校园网建设)PPT课件》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

武汉职业技术学院网络设计方案-1

1学校鸟瞰图宿舍楼图书馆办公楼教学楼1教学楼2-2

2项目背景-3

3项目背景建立安全、可靠、可扩展、高效的网络环境，使校园内能够方便快捷的实现网络资源共享共有1600个信息点，具体信息如下：宿舍楼：5栋，每栋6层，每层40个宿舍，每个宿舍1个信息点；每层楼一个弱电竖井；教学楼：2栋，每栋5层，每层20；每层楼一个弱电竖井；图书馆：1栋，共5层，每层15个信息点，学校信息中心位于5楼；每层楼一个弱电竖井；办公楼：1栋，共3层；每层楼一个弱电竖井；1楼：办公室10，学生处30；2楼：教务处15，人事处5，后勤处5；3楼：财务处20，其它部门15。学校出口为电信，带宽500M，地址202.10.1.1－202.10.1.10-4

4项目需求分析-5

5项目需求分析全网动态获取IP地址具备稳定性、容错性和可扩展性；具有接入安全，如防私设DHCP、防ARP欺骗；财务处和其它部门不可以互相访问；学生周一至周五，23:00-6:00不能访问互联网。学生带宽限制为2M办公区上班时间禁止游戏，手游，钓鱼网站……..学校内部搭建的web服务器对外提供服务所有设备均可通过SSH加密方式管理-6

6项目方案设计-7

7-8

8宿舍区拓扑宿舍区使用设备：RG-S5750-24GT/12SFP1台RG-S2952G6台-9

9办公区拓扑办公区一楼办公区二楼办公区三楼办公区使用设备：RG-S5750-24GT/12SFP1台RG-S2928G6台RG-S29521台办公三楼的财务室使用ACL进行隔离-10

10教学区使用设备：RG-S5750-24GT/12SFP1台RG-S2952G6台教学区拓扑-11

11图书馆拓扑RG-2928G-ERG-2928G-ERG-2928G-ERG-2928G-ERG-2928G-E汇集RG-5750核心RG-8610第五层第四层第一层第二层第三层图书馆设备列表：核心层设备：RG-86101台汇聚层设备：RG-57501台接入层设备：RG-29286台RG-2928G-E-12

12RG-S2952（接入交换机）01RG-S5750-24GT/8SFP（汇聚交换机）02RG-S8610（核心交换机）03设备产品简介RG-EG2000UE（出口网关）04-13

13屏蔽各种与工作无关的网站，营造良好工作氛围，提高工作效率；可对聊天工具、邮件、论坛、微博、搜索引擎等提供安全审计功能，保护内网信息安全。并会自动分析多条线路的情况，选择最优线路，避免出现跨运营商访问、链路使用率低等问题，提高上网速度。可以实现对网络带宽资源的全面管控，让带宽空闲时随意使用、带宽紧张时按需分配，保障关键业务的顺畅开展优点1优点2优点3RG-EG2000UE（出口网关）RG-EG2000UE-14

14Part1所有关键器件均采用冗余设计；双引擎切换时实现万兆数据业务不中断转发Part2核心路由交换机面向十万兆平台设计，提供14.4T/9.6T/4.8T背板带宽，并且支持未来40G/100G接口的扩展Part3支持OSPF/IS-IS/BGP的优雅重启技术提供毫秒级的切换时间Part4最长匹配（LPM）三层交换技术，方式、学习到的IPv4/IPv6路由直接以网段形式存储于硬件转发表，不明目的网段IP地址的数据包直接通过硬件缺省路由转发，极大地节约硬件存储空间RG-S8610（核心交换机）RG-S8610-15

154支持生成树协议、完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡3WEB界面让用户通过图形化界面即可实现复杂命令2124端口10/100/1000M自适应端口（支持PoE远程供电），8个复用的光纤接口，2个扩展槽USB2.0接口可用于外置Flash引导启动或者保持日志RG-S5750-24GT/8SFP（汇聚交换机）RG-S5750-16

16RG-S2952（接入交换机）RG-S2952Part148个10/1000M自适应电口，4个千兆SFP光口Part1支持IP、MAC、端口三元素绑定支持IPv6、MAC、端口三元素绑定Part1过滤非法的MAC地址Part1采用涡轮变速风扇设计，在低温情况下，风扇自动降低转速，降低功耗和噪声。-17

17项目方案实现-18

18设备命名规范例如：TSG-HX-S8610-5图书馆核心设备型号SSL=宿舍区HJ=汇聚JR=接入JXL=教学楼BGQ=办公区TSG-HX-S8610所在楼层-19

19IP地划规划原则：宿舍1号楼3层的一个IP：10.11.3.23代表宿舍楼代表一号楼代表第三层当前主机号1宿舍楼2图书馆3教学楼4办公楼10.11323..-20

20IP地划规划：宿舍1号楼IP规划：10.11.0.0/2110.11.1.0/24……...............一楼10.11.2.0/24……...............二楼10.11.3.0/24……...............三楼10.11.4.0/24……...............四楼10.11.5.0/24……...............五楼10.11.6.0/24……...............六楼10.11.7.0/24……...............备用10.11.0.0/24……...............管理-21

21网段及VLAN的划分核心Ip段：10.20.0.0/21Vlan：200Ip段：10.40.0.0/24Vlan:411、412、426427、428、431、432Ip段:10.31.0.0/21Vlan：310Ip段：10.32.0.0/21vlan：320图书馆教学楼宿舍楼办公楼Ip段：10.11.0.0/21Vlan：110Ip段：10.12.0.0/21vlan：120Ip段：10.13.0.0/21Vlan：130Ip段：10.14.0.0/21vlan：140Ip段：10.15.0.0/21vlan：150-22

22路由选用:网络协议设计规划静态路由出口EG核心宿舍汇聚教学汇聚图书馆汇聚办公汇聚GI0/60.0.0.0/0→GI0/610.0.0.0/8→Gi0/210.0.0.0/8→NULL0GI0/1GI0/2GI0/3GI0/4GI0/5GI0/60.0.0.0/0→Gi0/110.11.0.0/21→Gi0/1110.20.0.0/21→Gi0/1210.31.0.0/21→Gi0/1310.40.0.0/21→Gi0/1410.11.0.0/21→NULL010.20.0.0/21→NULL010.31.0.0/21→NULL010.40.0.0/20→NULL0Gi0/13Gi0/14Gi0/12GiI0/110.0.0.0/0→Gi0/30.0.0.0/0→Gi0/40.0.0.0/0→Gi0/50.0.0.0/0→Gi0/6-23

23RG-EG2000UE（出口网关）-24

24网络地址转化NAT:静态NATWEB服务器一对一转化汇聚核心出口静态IP静态NAT转化动态NAT用户用户出口动态NAT转化-25

25网络安全规划防私设DHCP内网安全：DHCPdiscoveryDHCPdiscoveryDHCPoffer合法DHCP非法DHCPDHCPofferDHCPSnoopingF0/24设为trust（信任口）F0/24-26

26嗨，我是网关内网安全：网络安全规划ARP欺骗pc1网关欺骗者网关pc1欺骗者嗨，我是PC1-27

27内网安全：网络安全规划防ARP欺骗1、网络时断时通；2、内网通讯正常、网关不通；3、频繁提示ＩＰ地址冲突；ARP欺骗的表象是网络通讯中断，真实目的是截获网络通讯数据。欺骗者通过双向攻击后，PC发往网关的数据将被欺骗者截获，导致敏感信息被窃取，网游的木马程序多通过这种方式进行盗号，网银，支付宝账号密码也可能通过这种方式被窃取。PC1欺骗者PC2汇聚设备接入设备DHCPDHCPDHCPSNOOPING软件表IPSourceguardARP-check欺骗-28

28设备管理安全采用ACL限制，指定从特定的IP地址来进行访问；(只允许网络管理中心可以进行访问）取消Web管理功能禁止telnet远程登陆，激活SSH访问，从而允许操作员从网络的外部环境进行设备安全登陆（telnet不够安全）网络管理中心安全访问网络设备-29

29谢谢观赏-30