一、设计思路 1. 每个楼栋划分一个VLAN,楼栋内互通,各楼栋根据ACL规则实现互通。 2. 内网使用私网IP,为每个楼栋分配一个24位掩码长度的私网段,实现上网。 3. 楼栋主机采用DHCP自动获取地址,减少管理员手动分配的任务量,方便管理与维护。 4. 运行OSPF协议,提高收敛速度。而且OSPF可以适应拓扑变化,路由自动学习,防止路由环路,提高拓扑稳定性。 5. 接入层和汇聚层交换机配置MSTP和VRRP技术,实现设备冗余、线路可靠、数据负载分担,能够保证主设备故障后,可以快速切换到备用设备,不影响业务转发。 6. 增加防火墙设备,设置安全区域,控制楼栋主机、服务器和外网设备的数据转发,保证学校网络的安全性。 7. 出口采用光纤接入,汇聚层交换机进行链路聚合,提高网络带宽,实现运营商万兆接入,千兆到楼栋,百兆到桌面的体验。 8. 学校内部实现无线全覆盖,保障内部终端设备可以无线接入并上网。 9. 汇聚层交换机配置ACL控制访问技术,实现办公楼和宿舍楼不通,食堂只能和宿舍楼互通,其他楼栋全互通的网络需求。 10. 配置端口限制,保证每个交换机的端口最多可以连接一个终端。 11. SNAT:应用于内网用户访问Internet时进行的地址转换将私网地址转为公网地址,这里我们采用easy-ip的NAT,保证学校上网采用出接口地址。 12. DNAT:使的外网用户能够访问内部服务器,用户访问202.96.137.88:8080时,防火墙将流量能够送给内网的WEB服务器。当用户访问202.96.137.88:21时防火墙将目的地址转换为172.16.50.20:21 访问学校的FTP服务器。 二、目录 摘要 一、 设计思路 二、 网络规划 1 学校网络设计 2 ip地址和vlan 划分 3 设备选型 三、 配置步骤 1、 基础配置 2、 VRRP+MSTP配置 3、 链路聚合配置 4、 路由配置 5、 DHCP配置 6、 无线配置 7、 控制访问技术ACL配置 8、 防火墙安全策略配置 9、 NAT策略配置 10、 NAT Server配置 11、 端口限制配置 四、 网络测试 1、 DHCP测试 2、 访问外网测试 3、 无线登录测试 4、 VRRP主备选举测试 5、 负载分担测试 6、 核心路由表查看,邻居建立关系查看 7、 ACL测试 8、 内网访问服务器测试 9、 外网NAT Server测试
|