SRG2200配置案例(校园网出口网关举例)
校园网(大型企业)出口网关举例
SRG 作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以避免P2P 流量阻塞网络,并保护内网不受网络攻击。
组网需求
某学校网络通过SRG 连接到Internet,校内组网情况如下:
l 学校有校内用户约500 个、提供对外访问的服务器2 台。校内用户主要分布在教学
楼和宿舍区,校内2 台提供对外访问的服务器分布在图书馆,是该校主页、招生及
资源共享等网站。
l 学校分别通过两个不同运营商链路连接到Internet,带宽都是100M。
两个运营商ISP1、ISP2 分别为该校分配了5 个IP 地址。ISP1 分配的IP 地址是
200.1.1.1 ~200.1.1.5,ISP2 分配的IP 地址是202.1.1.1 ~202.1.1.5。
ISP1 提供的接入点为200.1.1.10,ISP2 提供的接入点为202.1.1.10。
该学校网络需要实现以下需求:
l 校内用户能够通过两个运营商访问Internet,且为了提高访问速度,需要去往不同
运营商的流量由分别连接两个运营商的对应接口转发。
l 当一条链路出现故障时,能够保证流量及时切换到另一条链路,避免网络长时间中断。
l 校内用户和校外用户都能够访问学校提供对外访问的服务器。
l 由于该学校P2P 流量较大,对网络影响严重,需要对校内用户进行P2P 限流。
l 需要保护内部网络不受到SYN Flood、UDP Flood 和ICMP Flood 攻击。
网络规划
根据校园网络情况和需求,网络规划如下:
l 为了实现校园网用户使用有限公网IP 地址接入Internet,需要配置NAPT 方式的NAT,借助端口将多个私网IP 地址转换为有限的公网IP 地址。
由于校园网连接两个运营商,因此需要分别进行地址转换,将私网地址转换为公网
地址。即创建两个安全区域ISP1 和ISP2(安全优先级低于DMZ 区域),并分别
在Trust—ISP1 域间、Trust—ISP2 域间配置NAT outbound。
l 为了实现去往不同运营商的流量由对应接口转发,需要收集ISP1 和ISP2 所属网段
的信息,并配置到这些网段的静态路由。使去往ISP1 的流量通过连接ISP1 的接口
转发,去往ISP2 的流量通过连接ISP2 的接口转发。
为了提高链路可靠性,避免业务中断,需要配置两条缺省路由。当报文无法匹配静
态路由时,通过缺省路由发送给下一跳。
l 由于图书馆的服务器部署在内网,其IP 地址为私网IP 地址。如果想对校外用户提
供服务,就需要将服务器的私网IP 地址转换为公网IP 地址。即分别基于ISP1、
ISP2 区域配置NAT Server。
l 由于运营商提供给该学校的带宽为2*100M,为了保证其他业务不受影响,将P2P
流量限制在30M。
l 在SRG 上启用攻击防范功能,保护校园网内部网络。
HUAWEI SRG1200/2200/3200
典型配置举例1 综合部署
文档版本03 (2012-02-20) 华为专有和保密信息
版权所有?华为技术有限公司
1-11
网络规划后的组网图如图1-2 所示。图1-2 网络规划后组网图
安全区域:Trust
安全区域:DMZ
安全区域:ISP2
安全区域:ISP1
教学楼
图书馆
ISP1
ISP2
宿舍区
SRG
接入交换机
接入交换机
汇聚交换机
Web服务器
FTP服务器
(1)
(3)
(4)
100M
100M
(2)
项目数据说明
(1)接口号:GigabitEthernet
0/0/0
IP 地址:10.1.1.1/16
安全区域:Trust
GigabitEthernet 0/0/0 是连
接内网汇聚交换机的接口。
校内用户分配到网段为
10.1.0.0 255.255.0.0 的私网
地址,部署在Trust 区域。
(2)接口号:GigabitEthernet
0/0/1
IP 地址:192.168.1.1/24
安全区域:DMZ
GigabitEthernet 0/0/1 是连
接图书馆服务器的接口。
图书馆区部署在DMZ 区
域。
(3)接口号:GigabitEthernet
0/0/2
IP 地址:200.1.1.1/24
安全区域:ISP1
安全优先级:15 GigabitEthernet 0/0/2 是连
接ISP1 的接口,去往ISP1
所属网段的数据通过GigabitEthernet 0/0/2 转发。ISP1 接入点的IP 地址为
200.1.1.10。
1 综合部署
HUAWEI SRG1200/2200/3200
典型配置举例
1-12 华为专有和保密信息
版权所有?华为技术有限公司
文档版本03 (2012-02-20)
项目数据说明
(4)接口号:GigabitEthernet 5/0/0
IP 地址:202.1.1.1/24
安全区域:ISP2
安全优先级:20 GigabitEthernet 5/0/0 是连
接ISP2 的接口。去往ISP2
所属网段的数据通过GigabitEthernet 5/0/0 转发。ISP2 接入点的IP 地址为
202.1.1.10。
Web 服务器内网IP:192.168.1.5 转换成的ISP1 的公网IP:
200.1.1.4
转换成的ISP2 的公网IP:202.1.1.4
对于ISP1 所属网段的外部
用户,Web 服务器的IP 地
址为200.1.1.4。
对于ISP2 所属网段的外部
用户,Web 服务器的IP 地
址为202.1.1.4。
FTP 服务器内网IP:192.168.1.10 转换成的ISP1 的公网IP:
200.1.1.5
转换成的ISP2 的公网IP:202.1.1.5
对于ISP2 所属网段的外部
用户,Web 服务器的IP 地
址为200.1.1.5。
对于ISP2 所属网段的外部
用户,Web 服务器的IP 地
址为202.1.1.5。
ISP1 分配给学校的IP 地址200.1.1.1 ~200.1.1.5 其中200.1.1.1 用作SRG 的出接口地址,200.1.1.2
和200.1.1.3 用作Trust—
ISP1 域间的NAT 地址池1
的地址。
ISP2 分配给学校的IP 地址202.1.1.1 ~202.1.1.5 其中202.1.1.1 用作SRG 的出接口地址,202.1.1.2
和202.1.1.3 用作Trust—
ISP2 域间的NAT 地址池2
的地址。
操作步骤
步骤1 配置SRG 各接口的IP 地址并将接口加入安全区域。
# 配置SRG 各接口的IP 地址。
[SRG] interface GigabitEthernet 0/0/0
[SRG-GigabitEthernet0/0/0] ip address 10.1.1.1 16
[SRG-GigabitEthernet0/0/0] quit
[SRG] interface GigabitEthernet 0/0/1
[SRG-GigabitEthernet0/0/1] ip address 192.168.1.1 24
[SRG-GigabitEthernet0/0/1] quit
[SRG] interface GigabitEthernet 0/0/2
[SRG-GigabitEthernet0/0/2] ip address 200.1.1.1 24
[SRG-GigabitEthernet0/0/2] quit
[SRG] interface GigabitEthernet 5/0/0
[SRG-GigabitEthernet5/0/0] ip address 202.1.1.1 24
[SRG-GigabitEthernet5/0/0] quit
# 将GigabitEthernet 0/0/0 接口加入Trust 安全区域
HUAWEI SRG1200/2200/3200
典型配置举例1 综合部署
文档版本03 (2012-02-20) 华为专有和保密信息
版权所有?华为技术有限公司
1-13
[SRG] firewall zone trust
[SRG-zone-trust] add interface GigabitEthernet 0/0/0
[SRG-zone-trust] quit
# 将GigabitEthernet 0/0/1 接口加入DMZ 安全区域
[SRG] firewall zone dmz
[SRG-zone-dmz] add interface GigabitEthernet 0/0/1
[SRG-zone-dmz] quit
# 创建安全区域ISP1,并将GigabitEthernet 0/0/2 接口加入ISP1。
[SRG] firewall zone name isp1
[SRG-zone-isp1] set priority 15
[SRG-zone-isp1] add interface GigabitEthernet 0/0/2
[SRG-zone-isp1] quit
# 创建安全区域ISP2,并将GigabitEthernet 5/0/0 接口加入ISP2。
[SRG] firewall zone name isp2
[SRG-zone-isp2] set priority 20
[SRG-zone-isp2] add interface GigabitEthernet 5/0/0
[SRG-zone-isp2] quit
步骤2 配置域间包过滤及ASPF 功能,对校内外数据流进行访问控制。
# 配置Trust—ISP1 的域间包过滤,允许校内用户访问ISP1。
[SRG] policy interzone trust isp1 outbound
[SRG-policy-interzone-trust-isp1-outbound] policy 1
[SRG-policy-interzone-trust-isp1-outbound-1] policy source 10.1.0.0 0.0.255.255
[SRG-policy-interzone-trust-isp1-outbound-1] action permit
[SRG-policy-interzone-trust-isp1-outbound-1] quit
[SRG-policy-interzone-trust-isp1-outbound] quit
# 配置Trust—ISP2 的域间包过滤,允许校内用户访问ISP2。
[SRG] policy interzone trust isp2 outbound
[SRG-policy-interzone-trust-isp2-outbound] policy 1
[SRG-policy-interzone-trust-isp2-outbound-1] policy source 10.1.0.0 0.0.255.255
[SRG-policy-interzone-trust-isp2-outbound-1] action permit
[SRG-policy-interzone-trust-isp2-outbound-1] quit
[SRG-policy-interzone-trust-isp2-outbound] quit
# 配置ISP1—DMZ 的域间包过滤,允许校外用户访问DMZ 区域的服务器(注意Policy 配置目的地址为服务器的内网地址)。
[SRG] policy interzonedmz isp1 inbound
[SRG-policy-interzone-dmz-isp1-inbound] policy 1
[SRG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.5 0
[SRG-policy-interzone-dmz-isp1-inbound-1] policy destination 192.168.1.10 0
[SRG-policy-interzone-dmz-isp1-inbound-1] action permit
[SRG-policy-interzone-dmz-isp1-inbound-1] quit
[SRG-policy-interzone-dmz-isp1-inbound] quit
# 配置ISP2—DMZ 的域间包过滤,允许校外用户访问DMZ 区域的服务器(注意Policy 配置目的地址为服务器的内网地址)。
[SRG] policy interzonedmz isp2 inbound
[SRG-policy-interzone-dmz-isp2-inbound] policy 1
[SRG-policy-interzone-dmz-isp2-inbound-1] policy destination 192.168.1.5 0
[SRG-policy-interzone-dmz-isp2-inbound-1] policy destination 192.168.1.10 0
[SRG-policy-interzone-dmz-isp2-inbound-1] action permit
[SRG-policy-interzone-dmz-isp2-inbound-1] quit
[SRG-policy-interzone-dmz-isp2-inbound] quit
# 配置Trust—DMZ 的域间包过滤,允许校内用户访问服务器。
[SRG] policy interzone trust dmz outbound
[SRG-policy-interzone-trust-dmz-outbound] policy 1
1 综合部署
HUAWEI SRG1200/2200/3200
典型配置举例
1-14 华为专有和保密信息
版权所有?华为技术有限公司
文档版本03 (2012-02-20)
[SRG-policy-interzone-trust-dmz-outbound-1] policy source 10.1.0.0 0.0.255.255
[SRG-policy-interzone-trust-dmz-outbound-1] policy destination 192.168.1.5 0
[SRG-policy-interzone-trust-dmz-outbound-1] policy destination 192.168.1.10 0
[SRG-policy-interzone-trust-dmz-outbound-1] action permit
[SRG-policy-interzone-trust-dmz-outbound-1] quit
[SRG-policy-interzone-trust-dmz-outbound] quit
# 在域间开启ASPF 功能,防止多通道协议无法建立连接。
[SRG] firewall interzone trust isp1
[SRG-interzone-trust-isp1] detect ftp
[SRG-interzone-trust-isp1] detect qq
[SRG-interzone-trust-isp1] detect msn
[SRG-interzone-trust-isp1] quit
[SRG] firewall interzone trust isp2
[SRG-interzone-trust-isp2] detect ftp
[SRG-interzone-trust-isp2] detect qq
[SRG-interzone-trust-isp2] detect msn
[SRG-interzone-trust-isp2] quit
[SRG] firewall interzonedmz isp1
[SRG-interzone-dmz-isp1] detect ftp
[SRG-interzone-dmz-isp1] quit
[SRG] firewall interzonedmz isp2
[SRG-interzone-dmz-isp2] detect ftp
[SRG-interzone-dmz-isp2] quit
[SRG] firewall interzone trust dmz
[SRG-interzone-trust-dmz] detect ftp
[SRG-interzone-trust-dmz] quit
步骤3 配置NAT outbound,使内网用户通过转换后的公网IP 地址访问Internet。
# 配置应用于Trust—ISP1 域间的NAT 地址池1。地址池1 包括ISP1 提供的两个IP 地址200.1.1.2 和200.1.1.3。
[SRG] nat address-group 1 200.1.1.2 200.1.1.3
# 配置应用于Trust—ISP2 域间的NAT 地址池2。地址池2 包括ISP2 提供的两个IP 地址202.1.1.2 和202.1.1.3。
[SRG] nat address-group 2 202.1.1.2 202.1.1.3
# 在Trust—ISP1 域间配置NAT outbound,将校内用户的私网IP 地址转换为ISP1 提供
的公网IP 地址。
[SRG] nat-policy interzone trust isp1 outbound
[SRG-nat-policy-interzone-trust-isp1-outbound] policy 1
[SRG-nat-policy-interzone-trust-isp1-outbound-1] policy source 10.1.0.0 0.0.255.255
[SRG-nat-policy-interzone-trust-isp1-outbound-1] action source-nat
[SRG-nat-policy-interzone-trust-isp1-outbound-1] address-group 1
[SRG-nat-policy-interzone-trust-isp1-outbound-1] quit
[SRG-nat-policy-interzone-trust-isp1-outbound] quit
# 在Trust—ISP2 域间配置NAT outbound,将校内用户的私网IP 地址转换为ISP2 提供的公网IP 地址。
[SRG] nat-policy interzone trust isp2 outbound
[SRG-nat-policy-interzone-trust-isp2-outbound] policy 1
[SRG-nat-policy-interzone-trust-isp2-outbound-1] policy source 10.1.0.0 0.0.255.255
[SRG-nat-policy-interzone-trust-isp2-outbound-1] action source-nat
[SRG-nat-policy-interzone-trust-isp2-outbound-1] address-group 2
[SRG-nat-policy-interzone-trust-isp2-outbound-1] quit
[SRG-nat-policy-interzone-trust-isp2-outbound] quit
步骤4 配置多条静态路由和两条缺省路由,实现网络的双出口特性和链路的可靠性。
# 为特定目的IP 地址的报文指定出接口,目的地址为IPS1 的指定出接口为GigabitEthernet 0/0/2、目的地址为ISP2 的指定出接口为GigabitEthernet 5/0/0。HUAWEI SRG1200/2200/3200
典型配置举例1 综合部署
文档版本03 (2012-02-20) 华为专有和保密信息
版权所有?华为技术有限公司
1-15
注意
实际场景中,可能需指定多条静态路由,为特定目的IP 地址配置明细路由。因此需要
咨询运营商获取ISP 所属网段信息。本例中仅给出了四条静态路由的配置。
[SRG] ip route-static 200.1.2.3 24 GigabitEthernet 0/0/2 200.1.1.10
[SRG] ip route-static 200.2.2.1 24 GigabitEthernet 0/0/2 200.1.1.10
[SRG] ip route-static 202.1.2.3 24 GigabitEthernet 5/0/0 202.1.1.10
[SRG] ip route-static 202.2.3.4 24 GigabitEthernet 5/0/0 202.1.1.10
# 配置两条缺省路由,当报文无法匹配静态路由时,通过缺省路由发送给下一跳。为两条缺省路由设置不同的优先级,使不能匹配静态路由的报文优先通过GigabitEthernet
0/0/2
接口转发到ISP1。
[SRG] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 0/0/2 200.1.1.10
[SRG] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 5/0/0 202.1.1.10 preference 200
说明
l 正常情况下,去往ISP1 的流量通过GigabitEthernet 0/0/2 转发,去往ISP2 的流量通过GigabitEthernet 5/0/0 转发,不能匹配静态路由的流量通过GigabitEthernet 0/0/2 转发。
l 如果去往ISP1 的链路发生故障,所有流量通过GigabitEthernet 5/0/0 转发;如果去往ISP2 的
链路发生故障,所有流量通过GigabitEthernet 0/0/2 转发。
步骤5 配置NAT Server,使校内和校外用户能够通过公网IP 地址访问图书馆的服务器。# 配置基于ISP1 区域的NAT Server,使ISP1 的用户能够通过200.1.1.4 访问Web 服务器,通过200.1.1.5 访问FTP 服务器。
[SRG] nat server zone isp1 global 200.1.1.4 inside 192.168.1.5
[SRG] nat server zone isp1 global 200.1.1.5 inside 192.168.1.10
# 配置基于ISP2 区域的NAT Server,使ISP2 的用户能够通过202.1.1.4 访问Web 服务器,通过202.1.1.5 访问FTP 服务器。
[SRG] nat server zone isp2 global 202.1.1.4 inside 192.168.1.5
[SRG] nat server zone isp2 global 202.1.1.5 inside 192.168.1.10
步骤6 配置DPI 控制P2P 行为,将网络中P2P 总流量限制在30M。
注意
使用DPI 功能前请确保已购买并在设备上激活含DPI 功能的License。
# 启用DPI 功能,定义应用协议集Network_Control,并将P2P 类型协议加入该应用协议集。
[SRG] dpi enable
[SRG] dpi
[SRG-dpi] app-set Network_Control
[SRG-app-set-Network_Control] category p2p
[SRG-app-set-Network_Control] quit
[SRG-dpi] quit
# 定义数据流分类P2P 供QoS策略调用。
[SRG] traffic classifier P2P
[SRG-classifier-P2P] if-match any
[SRG-classifier-P2P] quit
1 综合部署
HUAWEI SRG1200/2200/3200
典型配置举例
1-16 华为专有和保密信息
版权所有?华为技术有限公司
文档版本03 (2012-02-20)
# 定义流行为CAR 供QoS策略调用,限定平均速率为和突发速率均为30M。即P2P 流量超过30M 后,立即丢弃超出部分的报文。
[SRG] traffic behavior CAR
[SRG-behavior-CAR] car cir 30000000 cbs 30000000
[SRG-behavior-CAR] quit
# 配置QoS策略P2P_CAR,调用配置好的流分类和流行为,作为DPI 模块检测到相关
协议后的限速动作。
[SRG] qos policy P2P_CAR
[SRG-qospolicy-P2P_CAR] classifier P2P behavior CAR
[SRG-qospolicy-P2P_CAR] quit
# 配置DPI 规则,调用配置好的应用协议集和QoS策略。
[SRG] dpi
[SRG-dpi] rule 1 if-match app-set Network_Control apply policy P2P_CAR
[SRG-dpi] quit
步骤7 配置攻击防范功能,保护校园网络。
注意
请根据网络实际情况开启攻击防范功能和调整报文速率阈值,本例中配置的攻击防范功能仅供参考。
# 开SYN Flood、UDP Flood 和ICMP Flood 攻击防范功能,并限制每条会话允许通过的ICMP 报文最大速率为5 包/秒。
[SRG] firewall defend syn-flood enable
[SRG] firewall defend udp-flood enable
[SRG] firewall defend icmp-flood enable
[SRG] firewall defend icmp-flood base-session max-rate 5
----结束
结果验证
1. 执行命令display nat all,可以看到配置的NAT 地址池和内部服务器信息。
[SRG] display nat all
NAT address-group information:
number : 1 name : ---
startaddr : 200.1.1.2 endaddr : 200.1.1.3
reference : 0 vrrp : ---
vpninstance : public
number : 2 name : ---
startaddr : 202.1.1.2 endaddr : 202.1.1.3
reference : 1 vrrp : ---
vpninstance : public
Total 2 address-groups
Server in private network information:
id : 0
zone : isp1
globaladdr : 200.1.1.4 insideaddr : 192.168.1.5
globalport : --- insideport : ---
globalvpn : public insidevpn : public
protocol : --- vrrp : ---
HUAWEI SRG1200/2200/3200
典型配置举例1 综合部署
文档版本03 (2012-02-20) 华为专有和保密信息
版权所有?华为技术有限公司
1-17
id : 1
zone : isp1
globaladdr : 200.1.1.5 insideaddr : 192.168.1.10
globalport : --- insideport : ---
globalvpn : public insidevpn : public
protocol : --- vrrp : ---
id : 3
zone : isp2
globaladdr : 202.1.1.4 insideaddr : 192.168.1.5
globalport : --- insideport : ---
globalvpn : public insidevpn : public
protocol : --- vrrp : ---
id : 4
zone : isp2
globaladdr : 202.1.1.5 insideaddr : 192.168.1.10
globalport : --- insideport : ---
globalvpn : public insidevpn : public
protocol : --- vrrp : ---
Total 4 NAT servers
2. 通过在网络中操作,检查业务是否能够正常实现。
# 在校园网内的一台主机上,访问ISP1 所属网段的一台服务器(IP 地址为
200.1.2.3),通过执行命令display firewall session table,可以看到私网IP 地址转
换成了ISP1 的公网IP 地址。
[SRG] display firewall session table
Current Total Sessions : 1
http VPN: public -> public 10.1.2.2:1674[200.1.1.2:12889]-->200.1.2.3:80
# 在Internet 的一台主机上(所属ISP2 网段),访问学校的FTP Server(对外IP 地址为200.1.1.5),通过执行命令display firewall server-map,可以看到服务器的IP
地址进行了转换。
[SRG] display firewall server-map
server-map item(s)
------------------------------------------------------------------------------
Nat Server, ANY -> 200.1.1.5[192.168.1.10], Zone: isp1
Protocol: ANY(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public
Nat Server Reverse, 192.168.1.10[200.1.1.5] -> ANY, Zone: isp1
Protocol: ANY(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
VPN: public -> public
3. 执行命令display dpi statistic,可以看到由于P2P 类型的流量由于超过了配置的限定速率,超出部分报文被丢弃。
[SRG] display dpi statistic
DPI Statistic Information
Codes: DPI(Deep Protocol Inspection)
-------------------------------------------------------------------------------- AppNameRcvPktACLDropPktQosCarPktCurConnIPCarConnTotalConn
--------------------------------------------------------------------------------
http 1001869 0 0 0 0 48
ftp_signal 28 0 0 0 0 5
bt_data 78234 0 433 0 0 2125
netbios 1789 0 0 0 0 167
smb 4035 0 0 0 0 481
telnet 28829 0 0 0 0 14
-------------------------------------------------------------------------------- Total Application Number : 6
1 综合部署
HUAWEI SRG1200/2200/3200
典型配置举例
1-18 华为专有和保密信息
版权所有?华为技术有限公司
文档版本03 (2012-02-20)
配置脚本
SRG 配置脚本:
#
nat address-group 1 200.1.1.2 200.1.1.3
nat address-group 2 202.1.1.2 202.1.1.3
nat server 0 zone isp1 global 200.1.1.4 inside 192.168.1.5
nat server 1 zone isp1 global 200.1.1.5 inside 192.168.1.10
nat server 2 zone isp2 global 202.1.1.4 inside 192.168.1.5
nat server 3 zone isp2 global 202.1.1.5 inside 192.168.1.10
#
firewall defend icmp-flood enable
firewall defend udp-flood enable
firewall defend syn-flood enable
firewall defend icmp-flood base-session max-rate 5
#
dpi enable
#
traffic classifier P2P
if-match any
#
traffic behavior CAR
carcir 30000000 cbs 30000000 ebs 0
#
qos policy P2P_CAR
classifier P2P behavior CAR
#
interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.0.0
#
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 200.1.1.1 255.255.255.0
#
interface GigabitEthernet5/0/0
ip address 202.1.1.1 255.255.255.0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
#
firewall zone untrust
set priority 5
#
firewall zone dmz
set priority 50
add interface GigabitEthernet0/0/1
#
firewall zone name isp1
set priority 15
add interface GigabitEthernet0/0/2
#
firewall zone name isp2
set priority 20
add interface GigabitEthernet5/0/0
#
firewallinterzone trust dmz
detect ftp
#
firewallinterzone trust isp1
detect ftp
detectqq
detect msn
HUAWEI SRG1200/2200/3200
典型配置举例1 综合部署
文档版本03 (2012-02-20) 华为专有和保密信息版权所有?华为技术有限公司
1-19
#
firewallinterzone trust isp2
detect ftp
detectqq
detect msn
#
firewallinterzonedmz isp1
detect ftp
#
firewallinterzonedmz isp2
detect ftp
#
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 200.1.1.10
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet5/0/0 202.1.1.10 preference 200
ip route-static 200.1.2.0 255.255.255.0 GigabitEthernet0/0/2 200.1.1.10
ip route-static 200.2.2.1 255.255.255.0 GigabitEthernet0/0/2 200.1.1.10
ip route-static 202.1.2.0 255.255.255.0 GigabitEthernet5/0/0
202.1.1.10
ip route-static 202.2.3.4 255.255.255.0 GigabitEthernet5/0/0 202.1.1.10
#
dpi
app-setNetwork_Control
category p2p
#
dpi
rule 1 if-match app-set Network_Control apply policy P2P_CAR
#
policyinterzone trust dmz outbound
policy 1
action permit
policy source 10.1.0.0 0.0.255.255
policy destination 192.168.1.5 0
policy destination 192.168.1.10 0
#
policyinterzone trust isp1 outbound
policy 1
action permit
policy source 10.1.0.0 0.0.255.255
#
policyinterzone trust isp2 outbound
policy 1
action permit
policy source 10.1.0.0 0.0.255.255
#
policyinterzonedmz isp1 inbound
policy 1
action permit
policy destination 192.168.1.5 0
policy destination 192.168.1.10 0
#
policyinterzonedmz isp2 inbound
policy 1
action permit
policy destination 192.168.1.5 0
policy destination 192.168.1.10 0
#
nat-policyinterzone trust isp1 outbound policy 1
action source-nat
policy source 10.1.0.0 0.0.255.255 address-group 1
#
nat-policyinterzone trust isp2 outbound policy 1
action source-nat
policy source 10.1.0.0 0.0.255.255 address-group 2
1 综合部署
HUAWEI SRG1200/2200/3200
典型配置举例
1-__
大学校园网设计方案组图
最佳校园工程设计帖-某大学校园网设计方案(组图) 概述 总设计师:讲师 机构:国家重点大学院校 校园占地面积:146.57万平方米 校舍建筑面积:1070875.64平方米 教职工人数:2000 学生总数::1.7万余人 网络面临的挑战:建立一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络能够支持融合了话音、视频、图像和数据的应用程序。 关键网络系统:3640路由器、2950 24口交换机(2950-24)、3550交换机、4006交换机
网络解决办法: 对校园网系统整体方案设计 对访问层交换机进行配置 对分布层交换机进行配置 对核心层交换机进行配置 对广域网接入路由器进行配置 对远程访问服务器进行配置 对整个校园网系统进行诊断 分析: 路由、交换与远程访问技术不仅仅是思科的课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。常常有学员说无法学以致用,其实,课程中的每个章节都对应着实际工程中的每个小的案例。只不过,实际工程是各个小案例的综合。在遇到一个实际工程的时候,我们不防采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。 路由技术:路由协议工作在参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(,),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。 交换技术:传统意义上的数据交换发生在模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(,)的概念。将广播域限制在单个内部,减小了各间主机的广播通信对其他的影响。在间需要通信的时候,可以利用间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用中继协议(,)简化管理,它只需在单独一台交换机上定义所有。然后通过协议将定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本工程案例设计中,也将采用这三层进行分开设计、配置。 远程访问技术:远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素
智能校园网组建课程设计要求
计算机组网技术期末结课设计要求 一、结课设计具体要求 题目:利用Packet tracer 组建智能校园网 要求:某高校在新校区组建校园网,希望通过校园网实现网络资源共享,全网安全、可靠地接人Internet等目标。 具体要求如下: ?为了提高数据的传输效率,在整个校园园区网络内控制广播域 的范围。 ?在整个校园网内实现资源共享,提供DNS、WWW、FTP和 邮件服务。 ?校园网中实现高效的路由选择,并且对外隐藏内部路由信息, 提高网络可靠性。 ?校园网内所有主机使用私有地址,能够使用较少的公网地址接 人因特网,能对公网上的主机提供内网服务器的访问。 ?再添加无线网络 二、实验报告书写具体要求 实验报告应包含如下内容: 总体方案 拓扑图 使用什么设备
vlan的划分 dns、web、ftp和邮件服务器的具体配置 并请按照工程模式来书写实验报告 最后要提交实验报告和packet tracer文件,二者缺一不可 三、参考方案 1. 参考方案 针对以上具体要求,提出如下解决方案: 选择二层交换机作接入设备,并且在二层交换机上采用静态VLAN划分技术实现对广播域的划分。 选择高性能三层交换机作为核心层,实现VLAN间的路由。 接人层交换机通过上行链路连接到核心交换机。三层交换机具有路由的功能,二层交换速度快,端口数量多,通过Trunk 链路可以方便、高效地互连VLAN,实现VLAN之间的通信。 同时在三层交换机上提供DHCP服务,动态分配IP地址、默认网关地址和DNS服务器地址。 两台核心交换机之间配置端口聚合,采用链路聚合提高核心交换机之间的链路带宽。 在三层交换机和路由器上启用RIP路由协议,实现内网动态路由选择。配置静态路由连接到因特网,隐藏内部路由信息。 路由器通过串口与因特网相连,在广域网接口上配置PPP(点到点)协议,并用PAP认证提高安全性。
大型校园网设计完整配置
1规划背景 1.1 规划对象 华中科技大学文华学院学院坐落在白云黄鹤之乡武汉东湖高新技术开发区“武汉?中国光谷”腹地,离主校区一公里,毗邻风光秀丽的东湖风景区,校园占地面积1280亩。校园内高楼林立,鳞次栉比,富有现代气息,教学、生活设施齐全,总建筑面积约40万平方米。 学院设有理、工、文、管、法多个学科门类的32个本科专业和13个专科专业,面向全国30个省市区招生,在校本、专科生14500余名。 1.2 对象需求分析 该学院校园网的总体建设目标是:利用先进实用的计算机技术和网络通信技术,建成覆盖全校、高速、高性能的计算机网络,实现网络在教学、管理和通信等方面的作用。具体包括以下几个方面:
?建立一个以光纤为主干、覆盖全校的宽带网,主干1000M ,100M 至桌面。需要考虑网络运行的高效、可靠、安全以及管理的方便。 ?实现校园Intranet 同CERNET ,Internet 的互连互通,校内可以方便快捷地访问国内外消息,以满足信息查询、通信、资源共享、远程教学等需要。 ?建立网络教学系统,提供教师备课、课间制作、多媒体演示,学生多媒体交互式学习、网络考试、自动教学评估等功能。 ?建立基于网络的教育管理及自动化办公系统,包括行政、教学教务、科研、后勤财务等系统,以满足学校管理现代化的需要。 具体功能为: (1)实现校内办公自动化,提高管理水平 (2)提供信息服务 (3)为教师提供良好的交流环境 (4) 为学生提供良好的学习环境 2网络总体规划 2.1 网络技术选择 2.1.1总体技术 从校园的建筑结构来说,一般以楼宇为单位,每个楼由多个楼层组成,整个楼可以作为一个相对独立的网络应用单元考虑,多个功能相近的楼宇形成一个建筑群,最典型的是学生宿舍楼。这种建筑分布结构非常适合以太网技术的应用。 首先,以太网时采用分组交换方式,一个交换机就是一个交换中心,可以很容易地组成星型或者树型的网络结构。在楼宇内部,每层楼通过一台二层交换机来连接该层信息点,整个楼用一台二层/三层交换机作为楼宇汇聚,多个楼宇再汇聚到核心骨干交换机上。楼层、楼宇、楼群与以太网的接入、汇聚、核心的树型结构有着很好的对应关系,网络结构层次清晰。 其次,传输介质也适合了建网需要。在楼宇之间采用1000M光纤,保证了骨干网络的
校园网方案设计拓扑图
校园网方案设计拓扑图 导语:拓扑图是对面实体符号图形的简单化与规则化表示,并借此图形显示量化信息,图形大小一般与实体面积无关。以下本人为大家介绍校园网方案设计拓扑图文章,欢迎大家阅读参考! 校园网方案设计拓扑图随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。 学校有几栋建筑需纳入局域网,其中原有计算机教室将并入整个校园网络。根据校方要求,总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。 校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,
并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。 根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下: 采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资; 网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善的服务保证; 采用支持网络管理的交换设备,足不出户即可管理配置整个网络。 提供国际互联网ISDN 专线接入,实现与各公共网的连接;
校园网络构建方案设计1.doc
校园网络构建方案设计1 课程设计任务书 2010—2011学年第二学期 专业:计算机网络技术学号:姓名: 课程设计名称:局域网组建、管理与维护课程设计 设计题目:校园网络构建方案设计 完成期限:自2010 年09 月07日至2010年09 月13日共1 周设计目的:(1)对计算机网络基本理论知识的加深理解。 (2)通过设计对计算机网络的应用有所了解。 (3)掌握基本cisco基本配置命令并熟练运用 一、开发工具:路由器、交换机、服务器、PC机 二、进度安排: 三、主要参考资料: [1] 谢希仁.计算机网络(第三版).北京.电子工业出版社.2002 [2] 魏雪萍.网络配置与应用.北京.人民邮电出版社.2003 [3] 王奇睿,陈文飞.Windows 2000网络服务.北京.中国电力出版社.2004 [4] 张英,王景新.网络安全基础.北京.中国电力出版社.2004
[5] 潘爱民.计算机网络.北京.清华大学出版社.2006 指导教师(签字):教研室主任(签字): 批准日期:年月 摘要 Internet的迅速发展,极大地推动了我国的网络建设。而中国教育科研网(CERNET)的快速发展,则极大地促进了高校校园网的建设。校园网的建设能从根本上促进教学科研人员之间的信息交流、资源共享、科研合作,是学校教育和科研工作的最重要的基础设施之一。本文通过介绍校园网的设计与建设,来说明高校在组建内部网时所应经历的步骤;通过介绍该学校内部网设计前的各种需求分析、设计方案的选择、网络安全维护工作以及最后的具体的组网实践,来说明如何高效安全地规划组建高校的校园网。 关键词:校园网、需求分析、设计方案、网络安全 目录 1 课程设计目的(1) 2 参考案例(1) 2.1需求分析(1) 2.2网络拓扑设计方案(2) 2.3设备的配置方案(5)
计算机网络与通信课程设计:小型校园网的组建
湖南涉外经济学院课程设计报告 学院:计算机科学与技术 专业名称:计应1001、计软1001 课程名称:计算机网络与通信 设计题目:小型校园网的组建 学生姓名: 指导教师: 时间:2015年6月23日
任务分配表
摘要 随着计算机网络通信技术和Internet的飞速发展,校园网络的建设是学校向信息化发展的必然选择,校园网网络系统是一个非常庞大而复杂的系统,它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本课程设计课题将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向,为校园网的建设提供理论依据和实践指导。 关键字:计算机网络通信技术,局域网,Internet
目录 任务分配表....................................................................................................................................... I 摘要 ............................................................................................................................................... II 第1章引言.. (1) 1.1 课程设计目的及要求 (1) 1.2 问题陈述 (1) 第2章需求分析及设计原则 (2) 2.1 需求分析 (2) 2.2 设计原则: (2) 2.2.1 实用性和经济性 (2) 2.2.2 先进性和成熟性 (3) 2.2.3 可靠性和稳定性 (3) 2.2.4 可扩展性和易维护性 (3) 第3章课程设计的内容 (4) 3.1 拓扑结构图 (4) 3.2 详细步骤: (4) 3.2.1 设备选型 (4) 3.2.2 VLAN及IP地址规划如下 (5) 3.2.3 服务器等设备的IP地址分配如下 (5) 3.3 路由器或交换机配置的代码: (5) 3.3.1 三层交换机 (5) 3.3.2 二层交换机 (9) 3.3.3 接入路由器 (10) 3.3.4 校园服务器的IP配置 (11) 3.3.5 外网服务器的IP配置 (12) 第4章校园网络安全 (13) 4.1 网络安全的概念 (13) 4.2 网络安全的脆弱性及面临的威胁 (13) 4.3 网络安全防范的内容 (13) 4.4 网络安全的主要技术 (14) 第5章系统测试的结果 (15) 5.1 学生ping教师 (15) 5.2 教师ping学生 (15) 5.3 学生ping实验中心 (16) 5.4 实验中心ping外网服务器 (16) 第6章课程设计总结 (17) 参考文献 (18)
中小型校园网的网络拓扑图
IP地址:211.80.192.1-254 学生宿舍vlan 192 网关地址:211.81.192.2/24 211.80.193.1-254 学生宿舍vlan 193 网关地址:211.81.193.2/24 211.80.194.1-254 计算中心vlan 194 网关地址:211.81.194.2/24 211.80.195.1-254 计算中心vlan 195 网关地址:211.81.195.2/24 211.80.196.1-254 教学楼vlan 196 网关地址:211.81.196.2/24 211.80.197.1-254 实训楼vlan 197 网关地址:211.81.197.2/24 211.80.198.1-254 图书馆vlan 198 网关地址:211.81.198.2/24 211.80.199.1-254 办公楼vlan 199 网关地址:211.81.199.2/24 校园网出口路由器地址:202.202.102.105 接入ISP的路由器端口地址:202.202.102.106 Router0配置: Router>en Router#conf t Router(config)#inter s1/0 Router(config-if)#ip address 202.202.102.105 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#clock rate 64000 Router(config-if)#inter f0/0 Router(config-if)#ip address 211.81.199.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#route rip Router(config-router)#network 202.202.102.0 Router(config-router)#network 211.81.199.0 Router(config-router)#version 2 Router(config-router)# Router1配置:
高校校园网设计方案
《网络工程设计与应用》实习报告 课题设计:高校校园网设计方案 班级: 姓名: 学号: 指导教师: 完成日期:
目录 摘要................................................... 错误!未指定书签。 引言......................................................................... .. (3) 第一章、校园网需求分析 (4) 1.1项目背景 (4) 1.2需求分析 (4) 1.2.1网络信息点分布 (5) 1.2.2应用系统需求分析 (5) 1.3目前的网络现状.............................................................. ......................................... .. (5) 第二章、拓扑图及IP地址分配 (6) 2.1网络拓扑结构图 (6) 2.2 IP地址分配及子网划分 (6) 2.3校园网络系统方案设计总体思路 (7) 第三章、校园网综合设计 (7)
3.1校园网建设原则 (7) 3.2校园网建设目标 (8) 3.3校园网建设技术需求 (9) 络系 统…………………………………………………………………………… (9) ………………………………………………………………………… (9) ………………………………………………………………………… (9) ………………………………………………………………………… (9) 3.4网络主干设计及设备选型 (9) 主干网 (9) (10) 第四章、设备清单与报价 (13) 4.1网络系统清单及预算 (13)
大学校园网规划课程设计
大学校园网规划课程设计WORD版本下载后可编辑
一、校园网络的需求分析 1.1 规划背景 随着网络建设的逐步普及,大学高校局域网络的建设是高校向高水平、研究性大学跨进的必然选择,高校校园网网络系统是一个非常庞大而复杂的系统,它不仅为高校的发展、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且,能够使教育、教学、科研三位一体,提高教育教学质量。而校园网网络建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本次课程设计将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向,来对高校校园网络做出一系列的规划。高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作,更承担着部分国家级的科研任务,同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速,智能,安全,认证计费等的需求,可以利用千兆以太网的校园网组网技术。构建校园网骨干网,实现各个分支建筑和校园网中心机房之间的连接,以及实现端到端的以太网访问,提高了传输的效率,有效地保证了远程多媒体教学、数字图书馆等业务的开展。 S大学有师生一万多人,主要建筑有16栋,分别是:1.一实验楼;2.二实验某某区;3.二实验某某区;4.三实验楼1号楼;5.三实验楼2号楼;6.三实验楼3号楼;7.图书馆;8.1号教学楼;9.2
号教学楼;10.学校食堂;11.学校宿管中心;12.体育馆;13.科学会堂;14.行政楼;15.励志楼;16.生活服务中心。这16栋建筑分别位于以图书馆为中心的从60米到500米的地理范围内。现拟建覆盖全校的校园网,包括局域网和接入网,能支持办公自动化、信息管理、科研与教学工作,能接入CERNET,与INTERNET 相联。校园网出口有两个:中国电信1000M,中国教育科研网2M,中心机房位于1实验楼316室。 1.2 需求分析 1.2.1 网络设计需求 1) 校园网主干结构采用当前的主流技术,并保证一定的技术先进性; 2) 组建专门的网络中心,负责校园网运行和管理,核心网络设备应具备很强的交换能力,为将来网络容量需求的成倍增长预留足够的扩展空间; 3) 各系级单位一般建成独立局域网后,再接入校园网;暂不能建局域网的单位直接接入校园网; 4) 网管设备(软、硬件)能实现对网络设备的实时监控和网络流量计费; 5) 要有完善的安全机制,防止来自外部和内部的非法访问; 6) 校园网应能够为全校师生提供以下应用服务: ● WWW 服务 ● E-mail 服务
校园网网络拓扑图
学校目前已建成较为完善的校园网络基础教学设施和各种应用系统,形成了以现代网络信息技术为载体的公共服务体系,在本科教学中发挥了重要作用。 我校是1995年全国首批百所加入中国教育与科研网的高校之一。多年来,在石油高校网络建设项目、国家西部大学校园计算机网络建设项目、日元贷款和学校自筹资金的支持下,使用先进的网络技术和核心设备建成了光缆连接整个校园内永久性建筑的、结构合理的校园网。网络核心层采用两台高性能万兆交换设备构成双核架构。在用户密集的学生区使用双引擎思科6509交换机,并通过万兆链路与核心交换机互连。其它各区域汇聚节点使用思科4500等交换机均以双千兆链路分别连接到两个核心交换机,同时向下汇聚该区域内部各个楼宇的网络流量,形成层次合理、收敛快、转发高速、扩展性强、运转高效的三层网络结构,并能提供IPv6支持。在休闲广场、图书馆阅览厅、会议中心等公共区域实现无线网络覆盖。 成都校区校园网网络拓扑图
成都校区校园无线网络分布示意图 校园网覆盖了学校教学、科研、行政办公、教工与学生生活区,总计信息点数24000多个。开通了教育网、电信和网通三个出口,出口总带宽为500M,出口带宽利用率达到93%以上。成都、南充两校区通过2M专线连接,实现了视频会议传输。部署了企业级硬件防火墙、入侵检测系统和趋势防杀病毒等软硬件,构成了校园网络安全防御系统。配置了85KVA不间断电源系统,充分保障了校园网重要交换设备和应用服务器的正常运行。拥有16个C类教育网网络地址、32个电信IP地址和32个网通IP地址,构成了统一的校园网络环境,为全校教学、科研、管理、生活提供了设施完善、建设水平高、运行良好的网络平台。我校“西部大学校园计算机网络建设工程”通过教育部专家组的实地检查和整体验收,学校被评为“四川省高等学校校园网建设优秀单位”。 校园网为本科教学提供了良好的数字化平台。学校门户网站、各院系与部门的二级网站、英语教学网站、新闻中心网站、党建网站、校团委网站等形成一定规模。学校外语系网站自2004年以来页面访问量达到30多万次,首页点击量达到10多万次。通过https://www.360docs.net/doc/4a4157042.html, 网站根据网络流量排名,我校校内网站上榜的有教务处网站、成教院网站、精品课程网站、同心网站和外语系网站等。 校园网为网络课程与精品课程建设提供了强大的支持。学校于2005年构建了“天空教室网络课堂”与“精品课程信息中心”两个平台。精品课程相关的文本、图片、课件、视频等资源已经全面实现网络化。目前网上注册课程300余门,通过网络课程进行学习的学生人数超过10000人,网络课程平台的总访问量已经超过100万次。 校园网为本科教学提供了丰富的教学资源。学校自主开发并搭建了专门的教学资源型网站---e学网,提供了大量的文本、课件与视频等资源,为学校师生员工提供了一个集中的资源展示与下载平台。学校引进清华大学教育技术研究所研制的“网络教学资源库管理平台”,建立了规范的专用教学资源共享平台,具
校园网络构建方案
华东交通大学理工学院 课程设计报告书 所属课程名称计算机网络 题目校园网网络构建方案设计分院电信分院 专业班级信管2班 学号 20130210450212 学生姓名吴志豪 指导教师汤文平 2015 年 12 月 29 日
目录 第1章课程设计内容及要求--------------------------- 3第2章需求分析------------------------------------- 4 2.1建设目标----------------------------------------- 4 2.2 网络环境---------------------------------------- 4 2.3网络拓扑结构需求--------------------------------- 4第3章校园网结构的设计----------------------------- 5 3.1 总体设计原则------------------------------------ 5 3.2 校园网设计的层次化模型 -------------------------- 5 3.3层次化网络设计----------------------------------- 6第4章校园网络设计 --------------------------------- 6 4.1 网络拓扑结构------------------------------------ 6 4.2 系统组成与拓扑结构 ------------------------------ 7 4.3方案说明----------------------------------------- 8 4.4网络设备选型------------------------------------- 9 4.4.1交换机---------------------------------------- 11 4.4.2服务器---------------------------------------- 13 4.4.3其他设备-------------------------------------- 13第5章 IP地址规划---------------------------------- 14第6章心得体会------------------------------------ 17参考文献(资料)----------------------------------- 18致谢--------------------------------------------- 18
校园网规划与设计方面的文献综述
校园局域网规划 网络工程071 200780124106 常幸飞 摘要:校园网是学校内部的专用网络,它的根本目的是为学校的教学、科研和管理提供先进实用的计算机网络环境,为学校的发展、全球信息资源的共享服务。目前,我国的校园网正飞速发展,大部分高等院校已经有自己的校园网并且实现了如教务管理、办公自动化、一卡通等多方面应用,利用校园网可以进行学校之间及学校内部各部门之间、教师与教师之间、教师与学生之间、学校与技术单位之间等多方位、多层次的交流,达到了以信息服务为主的校园网建设目标。 关键词:校园网;资源共享;办公自动化 Abstract: the campus network is the dedicated network at school, its primary purpose is for school teaching, scientific research and management with advanced practical computer network environment and offer the global information resource sharing service for the development of the school .Nowadays, with the high pace development of China's campus network, a majority of colleges and universities have their own campus network and fulfilled multiaspect of application, such as academic affairs management, office automation, one-card etc.We can have multiaspect and multilevel communication between different schools,depart-ments of schools,teachers,students and teachers, schools and skill units and so on, by making use of the campus network. Reaching the goal that the primary construction of the campus network is the information service. Key words:Campus Network;resource sharing;office automation 一.校园网的发展过程 随着互联网的不断发展,网络已经融入到我们的生活和学习当中,高校校园网做为一个成功应用的实例,给学校的教学及管理带来了新的方式,成为学校教育活动的发展平台,因此也成为教学和管理中不可或缺的一部分。 我国高校校园网的发展可分为三个阶段:第一个阶段是大部分学校没有网络设备阶段,我国已经基本渡过这个阶段。据不完全统计,我国现在大学校园网的覆盖率已经达到100%。第二个阶段是学校网络设备处于比较杂乱的阶段,我国现有高校的大部分校园网都处在这个阶段。第三个阶段是学校的校园网可以提供一个高效、安全的平台,为高校的教育事业发展提供良好的条件。这个阶段也是我们校园网发展的更高目标。校园
学校校园网组建
学校校园网组建 随着信息时代的来临,知识的更新换代在加快,如何更好、更快、更便捷的学习和掌握新知识,是现代教育正面临的问题。利用现代化的电教设备,充分发挥科学教育的优越性,是提高教学质量的重要的重要手段。利用学校计算机网络,采用先进的管理软件,可规范学校的管理行为,提高管理水平和工作效率;在减轻工作量的同时,利用计算机存储量大、处理快速准确的特点,为学校的决策提供准确的及时地的信息。在学校的办公,信息交流和通信方面充分发挥计算机网络的作用,在软件的支持下实现网上协同工作。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。 校园网的建设是一项非常复杂的系统工程,校园作为一个特殊的网络应用环境,它的建设与使用都有其自身的特点。需要覆盖整个校园,要将校园内的计算机、服务器和其他终端设备连接起来,实现校园内部的数据流通,实现校园网络的与互联网的的信息交流,并且还要涉及到网络安全及网络管理。在选择局域网的网络技术时要体现开放式、分布式、安全可靠,维护简单的原则。校园网的建设主要 应用局域网技术以及多媒体技术为主的各种网络应用技术。使得校园网能满足现代教学对信息处理的要求,使计算机的应用能对教学管理现代化起重要的促进作用,能实现信息查寻、教务管理,并与外部网络系统进行交流等多种需要。实例概况 兴华职业技术学校位于某市区内。校园网连接建筑物有教学楼、行政楼、图书馆、实验楼等。信息结点共570个,分布如下: 教学楼:200个信息结点 宿舍楼:200个信息结点 行政楼:70个信息结点 实验楼:50个信息结点 图书馆:50个信息结点。 网络中心设在教学楼三层,以教学楼为中心,用光纤连接其它三个建筑物,构成兴华职业技术学校校园网光纤主干。
校园网规划与设计
重庆大学城市科技学院 课程设计报告书 课程名称:《局域网络组建与设计》课程设计专业班级:计算机科学与技术2007级(1)班组号: 组长: 组员: 指导教师:张娟 二○○八年 12 月 19 日 重庆大学城市科技学院专科学生课程设计任务书
目录 课程设计服务书 (2) 一、引言与目标 学院概况 (5) 组网目标 (5)
二、用户需求分析 用户网络环境分析 (5) 用户业务需求分析 (6) 网络功能需求分析 (6) 校园基础应用平台 (6) Internet网功能 (7) 安全与管理需求 (7) 实用与经济性 (7) 三、技术需求分析 路由技术 (7) 交换技术 (7) VLAN技术 (7) 远程访问技术 (7) 防火墙技术与 (7) 链路聚合技术 (8) 四、拓扑结构设计 整体设计流程 (8) 主干网设计 (9) 拓扑结构设计 (9) 分层化设计 (9) 网络冗余设计 (10) 总体拓扑图设计 (11) 五、物理设计与选型 交换机选型 (12) 路由器选择 (12) 传输介质选型 (12) 服务器选择 (12) 需求项目一览表 (13) 应用需求一览表 (13)
计算机平台需求 (13) 子网(Vlan)划分 (14) 六、无线局域网设计 无线局域网的优点 (15) 无线局域网设计 (16) 无线网卡 (16) 接入点AP (16) 无线网络控制器 (16) 无线局域网模型 (16) 城域WLAN设计 (17) WLAN AP配置 (17) 七、性能测试与估 (18) 八、总结与体会 (19) 九、参考文献 (19) 十、组成员分工情况 (19) 一、引言与目标 学院概况: 重庆大学城市科技学院是经国家教育部批准设立的一所以本科教育为主的综合性全日制普通高等学校。学院是按照教育部相关文件的有关规定,采用新的机制和模式运行的独立学院,由重庆大学实施对学院的教学管理和质量监督。学院充分利用重庆大学的雄厚师资力量,选聘具有较高教学水平和学术水平的教师任教。学院以全新的教育理念,先进的办学模式,兼收并蓄,博采众长,使莘莘学子全面发展、学有所长。 组网目标: 随着经济的发展,信息起着越来越重要的作用。计算机、网络和多媒体等信息技术的飞速发展,信息的传递越来越快捷,信息的处理能力变得越来越强,信息的表现形式也越来越丰富,这些都对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。Web技术和多媒体技术的出现,近几年来Internet得到了突飞猛进的发展,联入网络的节点和信息资源迅速增长。 为了满足广大大学生的学习需要,教职工教学,办公需求。建立一个基于校园Intranet的信息管理和应用的网络系统,并提供相应的各种服务。共享网络上各种软、硬件资源,快速、稳定地传输各种信息,并提供有效的网络信息管理手段。采用开放式、标准化的系统结构,以利于功能扩充和技术升级。能够与外界进行广域网的连接,提供、
高校校园网设计方案(2)
高校校园网设计方 案(2)
《网络工程设计与应用》实习报告 课题设计:高校校园网设计方案班级: 姓名: 学号: 指导教师: 完成日期:
目录 摘要.............................................................................错误!未定义书签。引言............................................................................................................. .. (3) 第一章、校园网需求分析 (4) 1.1项目背景 (4) 1.2需求分析 (4) 1.2.1网络信息点分布 (5) 1.2.2应用系统需求分析 (5) 1.3当前的网络现状....................................................................................................... (5) 第二章、拓扑图及IP地址分配 (6) 2.1网络拓扑结构图 (6) 2.2 IP地址分配及子网划分 (6)
2.3校园网络系统方案设计总体思路 (7) 第三章、校园网综合设计 (7) 3.1校园网建设原则.................................................................................................................... (7) 3.2校园网建设目标 (8) 3.3校园网建设技术需求 (9) 3.3.1网络系统 (9) 3.3.2主流网络传输技术 (9) 3.3.3网络互联技术 (9)
校园网课程设计---校园网络设计方案
课程设计 报告 所属课程名称信息管理与信息系统 题目校园网络设计方案 院(系)经济管理系 班级 学生 学号 指导教师 2011 年 12 月 9 日
课程设计的内容: 以某校校园为背景,设计一个校园网。学院包括教学区、生活区、办公区。假设出来计算机大楼有120个信息点以外,其余各系大楼和教学楼都是40个信息点,使用原有的Internet地址,根据本部校园网的应用需求和管理需求,设计出本部的校园网方案。 一、需求分析 【背景分析】 如今二十一世界信息社会中,教育的质量不断提高,教育管理部门对教育信息计算机管理和教育信息的方式服务的要求悦来越高。绝大部分校园组建了网络环境,为了提高教育和学习的质量。校园网也成为现在教育背景下的基础设施。而且随着校园的规模不断扩大,对网络的需求也不断的提高,如何铺设网络、师生的交流、信息的公布和通知、办公的需求,满足校园的扩大需求,需要建立一个校园网。【应用需求】 校园网络应该方便便捷,建立后的网络能够充分利用Internet、国家信息网、教育网、全国高校互联网上的各种信息,实现资源共享,能够在校给学生提供丰富的多媒体教学方案,实现高质高效的教学目的。校园网络是一个网络化、信息化、自动化、办公一体化的教学需求。 【性能分析】 校园面积比较大,网络铺设比较麻烦,因此建立的校园网性能要应该很好,而且能够保证在长期内网络的畅通和稳定,从而满足师生
的需求。 1.先进性:先进的设计思想、网络结构、开发工具,采用市场覆盖率高、标准化和技术成熟的软硬件产品; 2.实用性:建网时应考虑利用和保护现有的资源、充分发挥设备效益; 3.开放性:遵从国际标准,系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口,以利于网络的维护、扩展升级及与外界信息的沟通; 4.灵活性:采用积木式模块组合和结构化设计,使系统配臵灵活,满足学校逐步到位的建网原则,使网络具有强大的可增长性; 5.可靠性:具有容错功能,管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析; 6.强性价比:不要一味追求最新,还要考虑当前实际需要,选择合理的设备搭配,使达到良好的性能价格比。 7.安全性:包括两个方面,1、网络用户级的安全性;2、数据传输级的安全性。网络用户级的安全性应在网络的操作系统中予考虑,而数据传输的安全性则必须在网络传输时解决。 【校园网功能】 (1)连接校内所有教学区、生活区、办公区中的PC。 (2)同时支持约600用户浏览Internet。
校园网规划与设计论文
校园网规划与设计
二零一一年六月一日 目录 摘要 (3) 前言 (4) 第一章校园网简介 (5) 1.1什么是校园网 (5) 1.2校园网有什么作用 (6) 第二章校园网的现状及需求分析 (8) 2.1 计算机网络系统现状 (8) 2.2 网络系统及业务需求分析 (9) 第三章系统设计原则和实现目标 (11) 3.1 网络系统设计原则 (11) 3.2 系统建设目标 (12) 3.3网络设计关键技术说明 (16) 第四章系统总体方案设计 (19) 4.1 网络拓扑结构设计 (19) 4.2 网络系统接入设计 (21) 4.3 网络设备选型 (23) 4.4 VLAN划分及子网配置 (23) 4.5 IP地址分配 (27) 第五章布线系统设计 (28) 第六章网络安全、管理设计 (34) 总结 (36) 参考文献 (37) 致谢 (38)
摘要 20世纪后期互联网在我国取得了快速的发展,通过网络办公和网络交易的更为广泛,涉及到企业,单位,学校,军事等各个领域,教育发展也逐渐的走上了网络化,河北能源职业技术学院拟定在校内建立校园内部网并与国际互联网络相连。互联网技术和现代化式的教育快速发展的结合使得校园网成为学校教育、教学的重要平台。 学校的校园网已经成为重要的信息传递设施,其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。在能源学院校园网目前的实际情况和在充分调研的基础上,结合目前技术的发展方向和用户的实际需求,制订了学院校园校园网建设的整体设计方案。通过校园网的设计与建设,通过各种协议的链接与设备的选购,从而实现真正意义上的宽带多媒体网络,为师生提供教学、科研和综合信息服务。成为现代化办公的首要工具。 关键字:校园网;协议;设备
校园网络拓扑结构设计
校园网络拓扑结构设计 班级:机升本14-1 学号:1407980111 姓名:刘庆伟 指导教师:张志杰 实验日期:2014年12月18日 1
目录 摘要 (4) 1前言 (1) 1.1概述 (1) 1.2校园网建设的必要性 (1) 第2章校园网络需求分析 (2) 2.1用户需求分析 (2) 2.2校园网建网需求 (3) 2.3设计原则 (3) 2.3.1 网络设计的基本原则 (4) 2.3.2 模块化、层次化的设计原则 (4) 2.3.3 校园网的设计原则 (5) 第3章解决方案 (5) 3.1网络拓扑图 (5) 3.2方案说明 (5) 3.2.1 用户上网方案 (6) 3.3IP地址规划和路由设计 (6) 3.3.1 IP 地址规划 (7) 3.3.2 路由设计 (7) 3.3.3 安全与流量控制 (8) 3.3.4 流量监控与控制: (9) 3.4方案特点 (9) 3.4.1 高带宽、高性能 (9) 3.4.2 完善的安全机制 (9) 第4章综合布线 (9) 4.1概述 (9) 4.2布线系统概述 (10) 2
4.2.1布线系统结构组成 (10) 4.3办公场地布线系统设计 (11) 第5章设备选型 (11) 5.1核心层:DCRS-7600系列插槽IP V6万兆路由交换机 (11) 5.2汇聚层:DCRS-5950系列盒式万兆IP V6路由交换机 (13) 5.3接入层:DCRS-5200系列安全路由接入交换机 (13) 结论 (14) 参考文献 (15) 3
摘要 校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。其次,校园网应具有教务、行政和总务管理功能。 关键词:校园网;多媒体教学;局域网络 4