4 VPN产品选型及校园网组网方案
4.1 校园网设计方案的要求
校园网络设计方案应满足如下要求:
[9]
(1)网络方案应采用成熟的技术,并尽可能采用先进的技术。
(2)采用国际统一标准,以拥有广泛的支持厂商,最大限度的采用同一厂家的产品。 (3)方案应合理分配带宽,使用户不受网上“塞车”的影响。
(4)应充分考虑未来可能的应用,如桌面将承受大型应用软件和多媒体传输需求的压力。
(5)该网络方案要具有高扩展性,能为用户未来数目的扩展具有调整、扩充的手段和方法。
4.2 东方学院校园网组网需求分析
本课题所研究的东方学院校园网,是一个中小型校园网。东方学院共有东、西个校区,其中西校区是总校区,东校区是分部。东、西校区分别有五个、三个上网主要区域,考虑到东方学院上网人数多,设备数量较多,决定采用地址空间较大的:10.0.0.0/8。
由于东校区和西校区之间的信息交流主要是通过邮件来实现,无法实现资源共享和远程办公。随着学校办学规模的不断扩大,信息交互也越来越频繁,东校区的教学管理、学生管理等各项管理工作均由西校区统一安排,若仍以电子邮件方式进行信息交流,很难做到管理的实时性,更无法做到全程管理。东校区及各部门需要及时将信息传送到西校区校区,同样也需要随时从西校区特别是财务处和行政楼获取所需信息。重要的数据和信息在网络中传输也越来越多,安全性要求也越来越重要,目前学校信息交互的方式已不能满足学校日常工作的需求。东、西校区需要通过GRE隧道技术连接,财务处和行政楼需要建立VPN服务。
采用何种方式,才能够满足我校的校园网络的使用需求。经过分析比较,我们决定组建基于IPSec VPN的网络,利用VPN网络技术,实现东、西校区网络的互联互通,达到财务信息和数字图书资源共享、提高办事效率的目的,同时降低联网成本,增强数据传输的安全性。
4.3 校园网对网络设备要求
校园网对网络设备的主要要求大致可归纳为以下几点:
(1)高性能:所有网络设备都应足够的吞吐量。 (2)高可靠性和高可用性:应考虑多种容错技术。
(3)可管理性:所有网络设备均可用适当的网管软件进行监控、管理和设置。
16
(4)标准统一性:采用国际统一的标准。 (5)高性价比:尽最大可能提高设备的性价比。
4.4 网络产品选型
东方学院校园网设计主要采用千兆以太网的设计方案在网络方案的选择上,采用千兆以太网作为校园网的网络总体结构无论在高带宽、可适应性、可扩展性、高性价比、良好的管理性和维护性等各方面都是最明智的选择,成为学校校园网完整的、经济的解决方案。
(1)核心交换机选型
Cisco Catalyst 3750系列交换机结合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率,采用了最新的思科StackWise技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起。
对于中型组织和企业分支机构而言,Cisco Catalyst 3750系列可以通过提供配置灵活性,支持融合网络模式,已经自动配置智能化网络服务,降低融合应用的部署难度,适应不断变化的业务需求。此外,Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化,其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。通过分析东方学院的网络需要,本次设计选用了Cisco Catalyst 3750系列的Cisco Catalyst 3750G-48TS交换机作为东方学院的核心交换机,其主要参数如表4-1所示。
表4-1 Cisco Catalyst 3750G-48TS交换机主要参数 基本参数 应用层级:三层 内存:128 MB DRAM和32MB闪存 交换方式:存储-转发 背板带宽(Gbps):32 包转发率:38.7Mpps VLAN支持:支持 MAC地址表:12k 网络标准:IEEE 802.3, 802.3u, 802.3z, 802.3ab 传输速率(Mbps):10/100/1000 是否支持全双工:全双工 网管支持:网管型 网管功能:SNMP, CLI, Web, 管理软件 堆叠:可堆叠 额定电压(V):200-240 额定功率(W):160 17
端口参数 参考价格 端口类型:10/100/1000 POE,1000Base-FX/SX 端口结构:固定端口 固定端口数:48 模块化插槽数:4 20500元 (2)接入层交换机的选型
Cisco Catalyst 2960系列智能以太网交换机,它是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,适用于入门级企业、中型市场和分支机构网络,有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。该系列还包括一系列针对网络管理员所作的硬件改进,包括双介质(或有线)千兆以太网上行链路配置,允许网络管理员使用铜缆端口或光纤上行链路端口。另外,它包括一款24端口千兆以太网交换机,可加速网络中的桌面千兆位(GTTD)传输。
本次设计选购了CISCO WS-C2960-48TC-L,其主要参数如表4-2所示。
表4-2 CISCO WS-C2960-48TC-L交换机主要参数
基本参数 设备类型:智能交换机 内存:64MB 交换方式:存储-转发 背板带宽(Gbps):6.8Gbps VLAN支持:支持 MAC地址表:8K 传输模式:全双工/半双工自适应 网络标准:IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、IEEE 802.3z、IEEE 802.3 传输速率(Mbps):10Mbps/100Mbps/1000Mbps 端口数量:48 模块化插槽数:2 接口介质:10/100Base-T、10/100/1000Base-Tx/SFP 4400元 端口参数 参考价格 (3)出口路由器的选型
Cisco 3800 C系列的集成化服务路由架构采用了独特的设计,可以内嵌并集成安全功能、语音处理和先进的有线、无线服务,因而可以迅速地部署新型应用,包括应用层功能、智能网络服务和融合通信。Cisco 3800 C系列可以满足每插槽多个快速以太网接口、时分复用(TDM)互联要求。而且,它还能支持现有的各种模块化接口,这有助于确保持续的投资保护,以便在部署新型服务和应用的同时,支持网络扩展或技术变动。具有广域网链路冗余、在线插拔(OIR)和冗余电源配置功能,可支持不间断业务运营和业余连续性。通过将多个独立设备的功能集成到同一个外型小巧的设备之中,Cisco
18
3800 C系列路由器大幅降低了管理远程网络的成本和复杂度。
Cisco 3800 C系列包括Cisco 3825 C和Cisco 3845 C系列路由器。这些路由器集成了一组全面的安全功能,例如防火墙、IPSec、SSL VPN、入侵防御系统(IPS)。另外,它们还支持语音呼叫处理和先进的有线、无线服务,能够迅速地部署各种新型应用,包括应用层功能、智能网络服务和融合通信。东方学院采用的是CISCO 3845C/k9路由器,主要参数如表4-3所示。
表4-3 CISCO 3845C/k9路由器主要参数 主要参数 路由器类型:集成多业务路由器 最大Flash内存:256MB 最大DRAM内存:1024MB VPN功能:支持 Qos功能:支持 防火墙功能:内置 其他接口:2GbE、1SFP、2NME、4HWIC、2AIM 电源电压:AC 100-240V,47–63Hz 功耗:460W 端口:固定广域网接口(可选) 固定局域网接口:2 x 10/100/1000Mbps 支持扩展模块插槽数:6 控制端口 Console 25200元 端口参数 参考价格 根据东方学院的网络需求做的网络设计,需要的主要设备有:Cisco Catalyst 3750G-48TS 3台,CISCO 3845C/k9 2台,CISCO WS-C2960-48TC-L 8台,购买设备需要费用约15万,在东方学院预算范围内。
4.5 东方学院校园网拓扑结构设计
为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。
根据东方学院网络组建需求情况,东方学院分为了总校区和分校区,两个校区组建成了一个虚拟局域网,共用一条专线连接到互联网。为了实现东、西两校区之间数据传输的可靠性,建立了基于IPSec协议的VPN网络,网络拓扑图如图4-1所示。
19
图4-1 东方学院网络设计拓扑图
本文采用GNS3软件进行网络拓扑的搭建与仿真,实现了东方学院总部网络和东方学院分部的互访。10.1.0.0/16和10.2.0.0/16两台分别属于东方学院总部和分部,并且不在同一网段上的两台主机之间通过IPSec VPN可以互访。
5 IP地址规划
5.1 IP地址划分发展历程
IP地址划分技术的研究历程大致可以分为四个阶段[10]:
第一阶段:是标准分类的IP地址IPv4协议的初期,大约在1981年左右。IP地址采用“网络号—主机号”的两级的层次结构。常用的是A类、B类、C类地址。网络规模小,IP地址利用率低。
第二阶段:划分子网的三级地址结构始于1991年。为提高地址利用率,提出了子网Subnet和掩码mask的概念。即将一个大的网络划分为几个较小的子网络,地址结构变为“网络号—子网号—主机号”的三级结构。 第三阶段:构成超网的无类域间路由(CIDR)技术
始于1993年。无类域间路由(CIDR)技术是为了解决Internet中存在的地址枯竭及
20