第4章 构建无线智能校园网络.pdfVIP

项目四 构建无线智能校园网络 4.1 网络场景 新世纪中学是北京市的一家重点职业高中，学校有100 名教职员工，需要构建一个中小 型的闲置网，原学校网络的出口设备采用的是锐捷路由器RSR20-40 ，并从服务提供商申请 了2M 链路作为访问互联的链路；其核心采用的网络设备是锐捷三层交换机RG-S3760E 两 台；其接入层网络设备为锐捷二层交换机RG-3760E 。 新校区出口也是采用RSR20-04 路由器，由于新校区规模较小，其没有采用三层交换接 入路由器，而是采用二层交换机接入路由器，采用单臂路由实现 VLAN 间的路由。为实现 总校与分校区进行网络通信，学校申请了一条专用链路与分学校相连。 总校的网络采用的动态路由协议为OSPF，而分校区采用的路由协议为RIP 路由协议。 总校区的会议系统采用的是无线智能会议室系统。 为了保障内部网络的安全，需要对内部员工的登录身份进行验证，并对其行为进行审计， 所以其部署 Windows 域环境，并要求需要使用内部域名服务器为内部用户解析域名。为了 实现资源的共享，需要建立 FTP 服务器，并建议自己的门户网站。为了实现信息的快速而 安全的传递，学校建立自己的邮件服务器，详细网络拓扑结构如下图4- 1 所示： 图4- 1 网络结构设计图 4.2 用户需求 根据校园业务的需求，学校具体有如下需求： 1．为保障网络的高可用性，要求按照层次型网络结构进行网络设计和网络实施； 2 ．学校内部有教学部、教务部、招生部、财务部四个行政部门，根据部门业务的不同 进行区划； 3 ．总校与分校区之间需要实现链路安全，并对分学校设备进行安全的验证； 4 ．总校与分校区的用户访问互联时，使用总校的路由器作为统一出口，内部用户需要 使用运营商提供的地址段访问互联网； 5 ．总校与分校区使用不同的路由协议，需要使全网互通； 6 ．内部用户只能在上班的时间才能访问互联网； 7 ．为了保障网络安全，需要每个交换接口只允许接入一台主机； 8．需要对内部用户登录时，需要进行统一身份验证； 9 ．建立安全的智能无线会议系统； 10．学校网络采用OSPF 和RIP 两种动态路由协议； 11．学校需要将业务服务内容以门户网站的方式发布到互联网，实现宣传作用；建立自 己的FTP 服务器和邮件服务器； 12 ．构建一个安全、畅通的校园网络 4.3 需求分析 1．由于学校的网络规模较小，所以采用单核心二层网络架构，将核心层与汇聚层合为 一层，单核心二层网络结构通常是指仅包含核心层设备和接入层设备的两层结构网络，出口 设备与接入层设备直接连接在整个网络的核心设备上，这种结构类型的网络多见于中小型校 园网。 此类型的校园网由于所有IP 网段的网关都在核心设备上，所以基本不需要路由方面的 规划设计或使用小型路由协议，但是本项目却是一个特殊案例，因为这是由两个小型的网络 构成，而且每个小型的网络都有各自的路由协议，所以在本项目中对路由的规划也很重要。 在这样的网络结构下，由于没有汇聚层设备，所有的IP 网段的网关都在核心设备上， 这样就相当于核心设备是直接暴露给所有的内部网络接入者，核心设备是极易受到广播风暴、 病毒、扫描等人为或非人为的攻击行为影响，这就会出现一个 VLAN 内发生了广播风暴或 大量ARP Flooding 会导致整个核心瘫痪，进而造成全网瘫痪，如果存在汇聚层设备的话， 那么影响的范围就仅仅局限于这一台汇聚层设备下的网络。少了汇聚层设备这道天然屏障， 为了降低网络中非法报文对核心设备的影响，我们只能考虑将安全防护措施做到接入层设备 上。 接入层设备是网络边缘，经常会将各种安全防护措施做在接入层交换机上，这样不仅能 够做到对核心层设备的保护，还能够将各种非法报文直接控制在接入端口的范围内，最大程 度降低非法报文的传播范围。 综上所述，在进行单核心二层结构校园网络设计时，接入层设备的安全防护措施将是设 计规划方案中至关重要的环节。 根据学校用户数量和业务需求，学校的核心交换机采用RG-S3760E 三层交换机一台， 接入层交换机采用RG-3760E 一台，出口路由器采用RSR20-04 ； 2 ．学校内部有教学部、教务部、招生部、财务部四个行政部门，可以采用VLAN 技术， 将两个行业部门的用户划分到不同的 VLAN 中，即可