多校区校园网的规划
开篇:润墨网以专业的文秘视角,为您筛选了一篇多校区校园网的规划范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:校园网应为学校教学,科研提供先进的信息化教学环境。以计算机为核心的信息技术必将导致教育教学领域的深刻改变,网络教学、远程教学、教育资源共享的教育新时代正向我们走来,校园网络的建设,为建构现代教育新型教学教育模式提供了最理想的教学环境。校园网网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,保证网络系统的保密性、完整性、可用性、可控性方面具有其重要意义。通过网络拓扑结构和网组技术对校园网网络进行搭建,通过物理、数据等方面的设计对网络安全进行完善是解决上述问题的有效措施。
关键词:多校园网;网络规划
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)18-4344-03
1 总体规划
IP网的规划是网络设计的一个重要环节,应当按照教育网的总体要求(校园网是教育科研网的有机组成部分)和学校自身的业务需求,在全网范围内对IP地址进行统一规划。可以采用公有IP地址(主要是教育网公网IP地址和电信公网IP地址)和校园网私有地址相结合的方式进行IP地址规划。
1) IP地址规划原则
规划IP地址要充分考虑未来发展的需要,应坚持统一规划、长远考虑和分片分块分配的原则,具体如下:
唯一性:各个网络的子网地址和网络掩码能唯一地确定一个子网,在子网内部,IP地址不冲突;
可扩充性:为每一个校区或部门分配的地址有一定的冗余,以便子网数增加和子网中主机数增加时依然能保持区域内IP地址的连续性;
可管理性:不管网络中采用静态路由还是动态路由,局部子网的变化不影响全局,当然这也有赖于IP地址的按层划分以及核心层交换机和楼层汇接层交换机的路由汇总。
2) IP地址的用途
① 设备互连和Loopback端口:两三层交换机(比如核心交换机和汇聚层三层交换机级交换机,核心交换机和路由器等)之间的每条路由链路(包括物理线路和逻辑线路)都需要2个点对点的IP地址(掩码/30);Loopback端口地址是每个三层交换机至少需要一个;
② 三层交换机VLAN网关地址:通过VLAN划分进行隔离后,可以显著改善网络性能,提高网络带宽的利用率,但同时也限制了不同VLAN间的互访,要实现各个VLAN的互连互通必须采用路由或三层交换机技术。因此对于局域网内的每一个网段,在其对应的三层交换机上的相应VLAN上必须绑定一个逻辑IP地址,作为本网段的网关。通过该逻辑地址,本网段的主机得以在整个局域网内通过路由互相访问,按照通行的惯例,一般将每个网段的第一个有效IP地址作为该网段的网关。例如网段172.16.199.0/24,一般将第一个有效地址“172.16.199.1”作为本网段的网关。
③ 用户IP:显然这是局域网最终用户的IP地址,整个局域网唯一。主要有两种:工作站用机IP和服务器IP。通行的做法是将本网段2-10作为本网段的其它需要IP地址的可网管设备、11-20或30作为本网段的服务器IP地址、而用户IP地址则逐一后排。当然对于那些公用的服务器,可以设置专门的服务器网段,便于单独管理和控制。
④ 设备管理:整个局域网内主要可网管设备的IP地址分配。对于本部分IP地址,如果公司局域网内有效IP地址不宽裕,也可以考虑使用其它保留IP地址,由于本部分IP地址主要用于管理VLAN(一般为VLAN1或VLAN2,在VLAN规划中会提到),因此不管用哪类IP,建议这些IP都不要参与公司局域网的路由和交换,出于从安全和管理方便的目的,可以设置专门的管理工作站,以对校园网的主要网络设备(主要是主交换机和楼层二级交换机)进行有效和严格的管理。
3) IP地址的具体分配及使用
① IP地址需求分析
以三个校区为例,总的来说,所需IP地址主要服务于三个校区,至于每个校区的IP地址块的大小,可以通过校区的规模和用户数来确定。另外管怎么样分配,单纯的电信和教育网IP地址都不可能够用,必须在校内使用私有IP地址。而地址分配也主要集中在校内私有地址的分配上。
a)校区间私有地址分配
假设每个校区的计算机数量都在60000台以内,整个校园网可以选用地址块172.16.0.0/12,并为每个校区分配一个相应的B类地址段。具体可以采取如下的分配方式:
主校区:172.16.0.0/16 (可容纳60000台左右主机,255×255=65535)
校区一:172.17.0.0/16 (掩码为255.255.0.0)
……
b)校区间教育网公网IP地址分配(210.45.240.0/24)
主校区:210.45.240.0/25
(地址:210.45.240.1-210.45.240.126,掩码:255.255.255.128)
校区一:210.45.240.128/27
(地址:210.45.240.129-210.45.240.158,掩码:255.255.255.224)
(地址:210.45.240.161-210.45.240.190,掩码:255.255.255.224)
预留段:210.45.240.224/27
(地址:210.45.240.225-210.45.240.254,掩码:255.255.255.224)
c)校区内地址分配
当各个校区有了相应的地址段后,就可以进行面向最终用户的地址分配,在分配前首先需要对相关部门的IP地址需求进行分析。分配的原则是:不仅要满足现有的需要,同时还要对未来一段时间的IP地址使用进行预测,并保留足够的地址给该部门;另外,包括预留地址在内,分配给同一部门的地址要尽可能的连续。
② IP地址分配方案(以主校区为例,其它校区与此相似)
通过IP地址使用数的统计分析并结合以上IP地址的用途,我们可以使用VLSM的分配方式,根据网段内主机的具体数目分别采用/30(255.255.255.252)、/24(255.255.255.0)、/23(255.255.252.0)、/25(255.255.255.128)、/26(255.255.255.192)等不同的掩码。其中,建议将最大网段的主机数限制在254(/24)台以内,对于网内广播包数较大的网段,还可以降至127台(/25)、63台(/26)等,具体分配如表1。
2 VLAN规划
设计思想:整个网络首先是一个层次型的IP路由网络,同时相对某些特殊的需要来说又是一个大范围的二层交换网络(即通过VLAN中继,可以使不同物理位置的任意两个信息点可以处于同一个二层广播域中)。
因此单单从VLAN角度看,整个局域网既有跨全网的VLAN、又有范围较小的VLAN,加之本次网络的建设必须得将原有不同厂商的设备全部合理利用起来,因此必须采用通用的802.1Q作为上联(Trunk)的封装协议,以兼容不同厂商的网络设备,同时802.1Q协议能支持多至4096各VLAN id数量,足以满足整个校园网当前今后网络扩展的需要。
为了避免混乱及开放各部门子网时出错(导致不同部门的用户在无意中相通等),应对整个局域网的VLAN id统一进行规划和使用。
我们建议整个校园网的VLAN id做如下规划:
1)VLAN1-2保留,主要用于整个校园网内关键网络设备的管理,具体就是核心层设备(主交换机)和汇聚层设备(楼层二级交换机)的网络管理VLAN;
2)校区间VLAN id分配:
VLAN3-999:主校区
VLAN1000-1999:校区一
VLAN2000-2999:校区二
3)校区内VLAN id分配(以x表示校区,0表示主校区a.VLAN x051-x100:网络中心核心交换机使用。我们知道,与网络中心位于同一幢大楼内的各个部门,虽然各部门的机柜相对独立,但从节省费用的角度出发,各独部门不可能再购买单独的具有三层功能的二级交换机,而是通过超五类双绞线以1000M、多条100M线路捆绑或单独的100M直接接入中心交换机,这样这些独立机房的相应网段的网关即相应的VLAN id逻辑IP地址就直接设置在中心交换机上,用以路由这些网段的数据流。
b.VLAN x201-x299:保留给主交换机使用。以后假如网络需要扩展,同时要保证2台以上中心交换机的冗余时可使用,在目前只有一台中心交换机的情况下暂时用不到。
c.VLAN x301-x399:主交换机(核心交换机)与二级交换机(汇接层交换机)点对点互连使用,注意这些VLAN具有逻辑IP地址,且其子网掩码为255.255.255.252即/30。
d.VLAN x401-x499:需要中继VLAN的相关交换机使用,包括主交换机、二级交换机、接入层交换机等,详见“内网路由及冗余设计”以及“异地二层连接”。其中仅仅贯穿主交换机和二级交换机的用于路由备份,而跨越全网的VLAN则主要是为了解决异地二层连接问题。
e.VLAN x501-x599:配置在汇聚层和接入层交换机上,直接面向最终用户的VLAN id。其中一部分用于不同网段的隔离和路由(注意用于隔离和路由的VLAN有逻辑IP地址);还有可能用于向下中继其它的接入层交换机在(这些VLAN没有逻辑IP地址)等等。
3 物理互连和拓扑结构
按照以上的设计和规划,校园网的总体拓扑结构如图1所示,其中汇聚层设备由于端口密度问题,下面还会有数目众多的接入层二级交换机,由于篇幅有限,不再全部列举。
4 异地二层连接
由于特殊的应用,需要使位于不同物理位置的办公用机或服务器置于同一个广播域中,也就是使这些机器在二层上具有可连接性。对于这种需要,我们可以通过统一规划VLAN id和中继(Trunk)来实现。
具体原理如图2所示,在核心交换机、汇聚层以及接入层交换机的2条千兆链路上任选一条作为中继线路,并且用802.1Q进行封装,而且在Trunk 修剪(Prunning)中允许VLAN 141(此VLAN id号可以从VLAN141-200中任取一个即可,但注意不能重复)的数据流通过中继链路,再在相关交换机上将某一端口比如每台交换机的第48端口设为属于VLAN 141的透明端口,这样以上三个不同物理位置的端口就处于同一个广播域,可以设置同一网段的IP地址,进行二层互访。
5 内网路由及冗余设计
如前所述,由于整个网络已经将IP地址及VLAN做过统一的规划,而且整个网络又是一个标准的三层网络结构(核心层、汇接层、接入层),因此各校区除了IP地址段不一样外,其路由模式都是相同的。考虑到分配给各个部门的地址段相对固定,建议整个路由网络采用静态路由。
比如某大楼或学院,假使其ip地址段为:172.16.208.0-172.16.215.255,即汇聚地址为172.16.208.0/21,则路由配置命令为:
核心交换机:ip route 172.16.208.0 255.255.248.0 172.16.193.130
汇聚交换机:ip route 0.0.0.0 0.0.0.0 172.16.193.129
在冗余方面,由物理连接图可知,从中心交换机到每层楼均有2条光纤链路,如图3所示,我们建议将其中的一条线路作为一个透明的路由线路,而另一条作为中继线路,在中继链路两端的交换机上设置一个公共vlan,比如vlan155,并在其上封装一对掩码为30为地址,通过它也设置一条静态路由并设置不同的路由优先级,使正常的流量通过透明路由线路出去,而单该线路出现问题时通过中继链路上的vlan155出去,这样整个路由设置如下所示:
核心交换机:ip route 172.16.208.0 255.255.248.0 172.16.193.130
ip route 172.16.208.0 255.255.248.0 172.16.193.134 200
汇聚交换机:ip route 0.0.0.0 0.0.0.0 172.16.193.129
ip route 0.0.0.0 0.0.0.0 172.16.193.133 200
6 因特网接入方式选择
现在ISP供应商提供给客户的宽带接入方式主要有两种,一种是IP(主要指公网IP)网关在ISP处,另外一种是IP网关在客户处。
第一种接入方式中用户使用一个二层设备(如交换机或HUB等)连接在城域网接入层交换机的10/100M接口上,这种连接方式不需要点到点直连地址,用户的缺省网关就是城域网的汇接层交换机路由处理单元上设置的逻辑端口IP地址。相对于客户而言这种方式的不足之处就是客户的机器直接暴露在公网上,而且客户也不能控制自己的网关,更不好做流量及安全相关的配置。
第二中方式需要点对点直连IP地址,该方式的优点就是用户的广播被用户的路由器隔离,不会影响城域网的接入层及汇接层设备,更重要的是客户可在路由器或其它设备上实施防火墙等安全保护措施,使自己的设备和信息资源更安全。缺点就是需要点到点直连的IP地址。
7 内网工作站出网设计
由于教育科研网IP较多,可以将其于内网私有地址进行混合路由,这样内网私有IP(172地址)可以直接访问局域网内具有公网IP地址的服务器,而不必经过NAT设备;当具有这两类地址主机访问其它类外网IP地址,核心交换机的策略路由机制会做相应的处理,具体处理步骤为:
首先判断目的地址,如果目的地址是非教育网公网IP地址,则将数据包的下一条地址改为电信网NAT网关,转换后访问INTERNET;如果目的地址为教育网公网IP地址,核心交换机还要做进一步的判断,判断的依据是源IP地址,如果源地址是合法教育网IP地址,则直接从教育网路由器转发出去;如果包的源地址为私有IP地址,而且目的地址为教育网地址,则包被转发到教育网NAT设备的端口上,这样私有IP地址的数据包经过NAT地址翻译后,才能访问教育网。
具体转换策略如表2所示。
参考文献:
[1] Stevens W R.TCP/IP详解 卷1:协议[M].范建华,译.北京:机械工业出版社,2007.
[2] Stevens W R.TCP/IP详解 卷2:协议[M].范建华,译.北京:机械工业出版社,2007.
[3] Paquet C.组建Cisco远程接入网络[M].李逢天,张帆,译.北京:人民邮电出版社,2000.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文