教育網路的組成部分
為了支援下一代應用,大多數學院和大學將需要升級他們的LAN。在最基本的層次上,他們需要從共享式集中器技術升級到一種交換式基礎設施。很多校園還需要使用速度更快、更加智慧化的技術,例如快速乙太網或者千兆乙太網。另外,學院和大學可能需要將無線技術整合到他們的環境中,以提高使用者的移動性和LAN的可訪問性。下面介紹了學院和大學目前建立一個強大的、高效能的LAN所需要採取的步驟。通過完成這項功能的部署,教育機構的教育任務將可以迅速地發展到新的水平。
產生收入的機會--大學可以通過讓學生購買可選的、速度更快的服務或者新增面向本地企業的鏈路從校園網路服務中獲得收入。
網路設計例項
大學網路
即使已經採用了一套簡單的基礎設施,大學也可以用一個層次化的交換架構來智慧化地管理使用者、伺服器和與外部世界的連線。如圖3所示,高效能的、高可用性的第三層交換機可以管理網路的核心功能,確保一個性能最優的骨幹網路。
單獨的或者堆疊的桌面交換機可能與第三層交換機以星形方式連線在一起,從而為處於固定位置的傳統使用者基站提供接入解決方案。對於需要靈活的連線方式的教室和其他位置(例如圖書館、宿舍、實驗室和辦公室)來說,可以只安裝一條與無線接入點的連線線,以代替連線固定基站的多條電纜。這樣,學校可以靈活地利用分佈於各個教室中的膝上型電腦,其中每臺電腦都處於接入點的覆蓋範圍之內,他們還可以方便、快捷地改變教室的配置,而不需要改變線路的佈局。
圖3大學科系網路設計例項
高效能部署
更加複雜的校區網路可以從相同的層次化交換架構和無線覆蓋中獲得更多的好處。如圖4所示,管理級的一根T1線路可以有效地為多所學校提供網際網路連線,從而使學校無需每月交納相關的費用。可以通過傳統的佈線方式連線到一個新的建築物或者地點(用於距離非常近的建築物),也可以通過部署肉眼可見的點對點或者點對多點解決方案來以低廉的成本覆蓋較長或者較短的距離(以最高11Mbps的速率覆蓋15英里,或者以最高5.5Mbps的速率覆蓋25英里),或者跨越河流或者高速公路等障礙物。對一個肉眼可見的LAN間連線的投資只需三到四個月內就可收回,相比之下,如果採用傳統的T1連線,則每月需要支付很高的成本。
一個或者多個第三層交換機可以提供一個高效能的核心層。可堆疊的第二層桌面交換機可以部署在各個網段的接入點。可以在網路中設定多個接入點,以擴大無線網路的覆蓋範圍,使使用者可以進行漫遊。具有很高的可用性、整合化的管理和安全性的網路可以支援所有新興的下一代應用和技術。層次化的結構可以在需要靈活連線或者需要經常改變連線配置的場所簡化無線網路的部署工作。
整個大學的高效能網路設計示意圖
學生網路
思科建築物寬頻解決方案可以利用乙太網、LRE和無線基礎設施裝置在整個校園環境中為學生提供高速的寬頻接入。
所示,一臺Cisco LRE交換機為那些採用一類、二類、三類線的較老的教室和宿舍提供了連線。Cisco LRE CPE裝置位於每個教室或者每個宿舍中,用於橋接LRE和乙太網連線。可以將一個無線接入點連線到Cisco LRE CPE裝置,以便為教室中的膝上型電腦、筆記本電或者PDA提供連線。圖書館是一個採用了五類線的較新的建築物,它使用10/100/1000交換機來為學生提供專用連線。圖書館還為那些喜歡移動上網的學生提供了無線接入。學校可以通過WLAN接入點為戶外的學生和教師提供連線。
網路通過無線或者交換連線集中到一臺第三層交換機。Cisco BBSM伺服器可以提供一個功能強大的服務建立平臺,它可以提供多種寬頻服務,以滿足不同學生的需求。
工具/原料
交換機 網線 機房
步驟/方法
組網步驟:
準備工作:在拓撲圖上規劃好IP地址和VLAN。
配置RTA(對外路由器)
根據ISP提供的IP網段配置外網介面,然後用PING命令測試外網閘道器是否通
配置內網NAT相關ACL(訪問控制列表)
在外網介面中用NAT
配置內網介面IP地址,然後用PING –A <內網介面ip地址> <外網閘道器> 來測試是否能正確連通
在內網介面用NAT SERVER命令對映內部WWW伺服器到外網IP(只對映WWW服務即80號埠)
使用DNS resolve命令進行DNS解析,指向路由器的外網真實DNS
使用DNS MAP 命令為內網WEB伺服器做域名解析
使用SAVE命令儲存配置
配置核心交換機(S1:根據拓撲選用3900三層交換機)
根據要求劃分三個VLAN,分別用作公共通道(一般應為VLAN1)、部門A和部門B通訊
給三個VLAN介面(即用nterface vlan
配置靜態路由IP RO 0.0.0.0 0 <路由器內網介面ip地址> ,即配置內部網路訪問外網的預設路由。
使用DNS proxy命令進行DNS中繼,指向路由器的內網介面地址
由於三層功能已經起作用,為防止三層出現兩個VLAN區域互通需建立ACL在核心交換機中限制兩個部門VLAN區域不通,由於涉及判斷目的地址所以應配置高階訪問控制列表。
把ACL分別應用在兩個上行口(即從下面二層交換機來的介面)的INBOUND方向上。
繼續設定兩個上行口為TRUNK口,並用PORT TRUNK PERMIT VLAN 1 <部門a vlan號部門b vlan號>
分別配置接入層交換機(S2和S3選用2000系列二層交換機)
分別配置S2與S3的Interface vlan 1(假設公共通道使用VLAN1)的IP地址為公共通道IP網段的地址(這樣做是為了實現遠端管理)
按拓撲要求劃分VLAN,每個交換機留下一個介面為TRUNK口
配置保留的TRUNK口為PORT TRUNK PERMIT VLAN 1 <部門a vlan號部門b vlan號>
配置部門主機:
分別設定部門的主機的IP地址到部門所在VLAN地址段,並配置閘道器為三層中的相應所屬VLAN介面的IP地址,DNS與閘道器相同
由本區閘道器開始逐步向外PING通。
注意事項
參考配置:
假定ISP分給以下資料其中一個網段:DNS:172.18.0.253 220.187.24.2
A:61.153.208.64-67閘道器:61.153.208.65
B:61.153.208.68-71閘道器:61.153.208.69
C:61.153.208.72-75閘道器:61.153.208.73
D:61.153.208.76-79閘道器:61.153.208.75
比如IP段:61.153.208.64-67閘道器:61.153.208.65DNS:220.187.24.2
規劃內網IP段如下:
公共網段:172.16.0.0/24 其中RTA為172.16.0.1/24
S1為172.16.0.2
S2:172.16.0.3/24S3:172.16.0.4/24
Web伺服器IP:172.16.0.5/24 域名為:
部門A網段:192.168.0.0/24閘道器:192.168.0.1/24
部門B網段:192.168.1.0/24 閘道器:192.168.1.1/24
配置RTA:
sysname Wang_Guan
acl number 2000
rule permit source 192.168.0.0 0.0.0.255
rule permit source 192.168.1.0 0.0.0.255
acl number 3000
rule deny ip source 192.168.0.0 0.0.0.255 destnation 192.168.1.0 0.0.0.255
rule deny ip source 192.168.1.0 0.0.0.255 destnation 192.168.0.0 0.0.0.255
interface e0/0
ip address 61.153.208.66 255.255.255.252
nat outbound 2000
nat server protocol tcp global 61.153.208.66 www inside 172.16.0.5 www
interface e0/1
ip address 172.16.0.1 24
firewall packet-filter 3000 inbound
ip route-static 0.0.0.0 0 61.153.208.65
ip route-static 192.168.0.0 24 172.16.0.2
ip route-static 192.168.1.0 24 172.16.0.2
dns server 220.187.24.2
dns resolve
nat dns-map www.test.com 61.153.208.66 80
firewall enable
用PING測試對外網閘道器應該都能通,測試通過用SAVE進行儲存。
配置S1 (用1-8號口用於部門A主機相連,不夠接S2中1-8號口,9-16號接部門B主機,不夠接S3中9-15號口,23、24號口分別接S2和S3的16號口,17-22號口接路由器和伺服器)
sysname He_Xin
vlan 20
port e1/0/1 to e1/0/8
vlan 30
port e1/0/9 to e1/0/16
interface vlan 1
ip address 172.16.0.2 255.255.255.0
interface vlan 20
ip address 192.168.0.1 255.255.255.0
interface vlan 30
ip address 192.168.1.1 255.255.255.0
interface e1/0/23
port link-type trunk
port trunk permit vlan 1 20 30
interface e1/0/24
port link-type trunk
port trunk permit vlan 1 20 30
acl number 3000
rule deny ip source 192.168.0.0 0.0.0.255 destnation 192.168.1.0 0.0.0.255
acl number 3001
rule deny ip source 192.168.1.0 0.0.0.255 destnation 192.168.0.0 0.0.0.255
interface e1/0/1
packet-filter 3000 inbound
interface e1/0/2
packet-filter 3000 inbound
interface e1/0/3
packet-filter 3000 inbound
interface e1/0/4
packet-filter 3000 inbound
interface e1/0/5
packet-filter 3000 inbound
interface e1/0/6
packet-filter 3000 inbound
interface e1/0/7
packet-filter 3000 inbound
interface e1/0/8
packet-filter 3001 inbound
interface e1/0/9
packet-filter 3001 inbound
interface e1/0/10
packet-filter 3001 inbound
interface e1/0/11
packet-filter 3001 inbound
interface e1/0/12
packet-filter 3001 inbound
interface e1/0/13
packet-filter 3001 inbound
interface e1/0/14
packet-filter 3001 inbound
interface e1/0/15
packet-filter 3001 inbound
interface e1/0/16
ip route-static 0.0.0.0 0 172.16.0.1
配置S2、S3(兩臺除管理用IP地址不一樣其餘配置相同)
sysname S2
vlan 20
port e0/1 to e0/8
vlan 30
port e0/9 to e0/15
interface vlan 1
ip address 172.16.0.3 255.255.255.0
interface e0/16
port link-type trunk
port trunk permit vlan 1 20 30
***************************************************
sysname S3
vlan 20
port e0/1 to e0/8
vlan 30
port e0/9 to e0/15
interface vlan 1
ip address 172.16.0.4 255.255.255.0
interface e0/16
port link-type trunk
port trunk permit vlan 1 20 30