第1讲 构建小型校园网络.pdf

项目一 构建小型校园网络 1.1 网络场景 新江中学是某新江区一所重点中学，学校有60 名教职员工，学校需要构建一个小型的 校园网，网络的出口设备采用的是锐捷路由器RSR20-40 ，由服务提供商申请了2M 链路作 为访问互联的链路；其核心采用的网络设备是锐捷三层交换机 RG-S3760E，其接入层网络 设备为锐捷二层交换机RG-S2328G。 为了保障内部网络的安全，需要对内部员工的登录身份进行验证，并对其行为进行审计， 所以其部署 Windows 域环境，需要使用内部域名服务器为内部用户解析域名。详细网络拓 扑结构如下图1- 1 所示： 图1- 1 小型校园网设计图 1.2 用户需求 根据学校业务的需求，具体有如下需求： 1．要求按照层次型网络结构进行网络设计和网络实施； 2 ．内部有教学部和教务部两个行政部门，根据部门业务的不同进行区划； 3 ．内部用户需要使用运营商提供的地址段访问互联网； 4 ．内部用户只能在上班的时间才能访问互联网； 5 ．为了保障网络安全，需要每个交换接口只允许接入一台主机； 6 ．内部用户登录时，需要进行统一身份验证； 7 ．需要将学校教学及教改内容以门户网站的方式发布到互联网，实现宣传作用； 8．构建一个安全、畅通的校园网络。 1.3 需求分析 1．由于学校的网络规模较小，所以采用二层的网络架构，将核心层与汇聚层合为一层， 即保障业务数据流的畅通，又可以实现层次型网络架构； 根据用户数量和业务需求，核心交换机采用RG-S3760E 三层交换机，接入层交换机采 用RG-S2328G，出口路由器采用RSR20-04 ； 为了保障网络流量畅通，在接入交换机上行至三层核心交换的链路，采用链路聚合技术， 实现链路带宽的增加和负载均衡。。 2 ．学校有两个行政部门，采用VLAN 技术，将两个行政部门的用户主机划分到不同的 VLAN 中，即可以实现统一管理，又可以保障网络的安全性； 创建VLAN11 、VLAN12 和VLAN13 ，将教学部的用户主机划分为VLAN11 ，教务部的 用户主机划分到VLAN12 ，服务器群中的服务器主机划分到VLAN13 。为了便于网络管理， 为每个VLAN 按照部门的名称汉语拼音为其命名。 3 ．由于规模较小，网络架构采用的二层架构 ，所以在三层路由规划时，全网采用的静 态路由。 4 ．服务提供商为学校提供了全局的 IP 地址段为 ~，使用网络地址转换 （NAT ）技术，将RFC1918 的私有地址转换为合法的全局IP 址；使用动态端口NAT 技术 实现内部用户访问互联网资源，使用静态NAT 技术，将WEB 服务器发布到互联网。 内部用户访问互联时使用的合法的全局地址段为~，使用 地址将 WEB 服务器发布互联网上，为了保障服务器的安全，采用基于端口NAT 技术。 5 ．在网络安全方面使用基于时间的访问控制列表，满足内部用户只能在上班的时间访 问互联网；为保障接入层安全，在每个接入接口使用端口安全技术，实现交换机接口只允许 接入一台主机。 学校的上班时间为每星期的星期一至星期五，每天的9:00~17:00，使用端口安全技术限 制主机的连接数为1，如果有违规的用户则关闭交换机接口。 6 ．在网络中部署Windows 域环境，其申请的合法域名为 ，在服务器 群安装Windows Server 2003 操作系统，并将所有的客户机加入到域环境中，使用活动目录 对内部用户进行身份验证。 学校有60 名工，教学部的员工为28 名，其中包括一个经理，而校长主抓教学工作；而 教务部有32 名员； 根据行政架构创建相应的组，创建的组的名称采用其部门名称的拼音；创建用户帐号名 称采用员工姓名的拼音字母+部门名称拼音首字母，为保障用户帐户的安全，创建用户时需 要用户登录时重新修改口令，将所有用户加入至相应的组中。 7 ．搭建WEB 服务器，创建学校的门户网站，网站需要支持ASP.net ，为保障WEB 服 务器的安全性，只允许用户使用域名来访问WEB 站点。 为保障活动目录的安全性，DNS 服务不能安装在活动目录服务器上，所以需要在另外 一台服务器上安装DNS 服务，DNS 服务器不但解析内网中的服务器域名，也要为内部用户 解析互联网域名，所以需要配