应用OSPF路由协议的校园网络设计

SWHEAD
SWDEPT1 SWDEPT2
CERNET 非军 事区
非主干网络拓扑(以大学本部二层网络为例) 连接SWA
园区A
SWA
AREA3 SWDEPT5 SWC SW0 SW1 AREA0
AREA2
SWDEPT3
SWHEAD
Catalyst-3560 Catalyst-3750 Catalyst-3560
2046
2046 2046 2046 2046
三院
四院 五院 六院
RFC1597/RFC1918规定的私有地址空间
• 10.0.0.0-10.255.255.255 10.0.0.0/8 • 172.16.0.0-172.31.255.255 172.16.0.0/12 • 192.168.0.0-192.168.255.255 192.168.0.0/16 • 网络上不使用私有地址空间的路由器，特别是ISP的，将会配置成 拒绝私有网络的路由信息。
OSPF协议配置
• • • • • • • • • • • 配置接口IP地址： SW0(config)#interface fa0 SW0(config-if)#ip address 202.113.136.1 255.255.255.0 运行OSPF协议： SW0 (config)# router ospf 100 手动指定router-id： SW0 (config-router)#router-id 10.0.0.1 在IP地址属于202.113.136.0/24网段的接口运行OSPF协议： SW0 (config-router)#10.0.0.0 0.0.0.255 area 0 设定选举优先级： SW0 (config-router)#ip ospf priority 3
访问控制列表ACL举例
RouterX(config)# access-list 1 deny 172.16.4.0 0.0.0.255（过滤来自 172.16.4.0/24子网的数据包） RouterX(config)# access-list 1 permit any（默认会过滤所有的数据包，所 以要允许所有数据包通过，ACL从最后一条开始匹配） RouterX(config)# interface ethernet 0 RouterX(config-if)# ip access-group 1 out（将序列为1的ACL应用到e0接口 的出口方向上）
设备选型
类型 品牌 型号 功能及其他 数量 防火墙 支持UTM:IPS、反病毒、反垃圾邮件、网页过滤
Juniper
SRX240H
6
核心交换机
Cisco
Catalyst 6880-X
4个端口卡插槽，交换容量2Tbps，支持158个万兆以太网端口
2
园区主交换机
Cisco
Catalyst -6509
支持万兆以太网端口，100Gbps背板容量
ありがとう
结构化布线系统
结构化布线系统的设备部件
• 传输介质：光纤，双绞线，同轴电缆，大对数电缆
• 介质连接部件：配线架：由跳线板与跳线组成。跳线又分为光纤 跳线、电缆跳线。电缆配线架大多都采用无焊接方式，方便操作。
防火墙技术
• 防火墙作用：保护内部网络免受“不信任”网络的攻击的同时，保证 两个网络之间可以进行合法的通信，经过各种配置的策略验证过的合 法数据包才可以通过。 • 防火墙使用的安全技术：包过滤技术：针对IP地址的一种访问控制； NAT地址转换：屏蔽内部网络地址的一种技术；智能防火墙：针对内 容等进行访问控制的技术。 • IP包过滤：对需要转发的数据包，先获取包头信息，然后和设定的规 则进行比较，根据比较的结果对数据包进行转发或者丢弃。实现包过 滤的核心技术是访问控制列表。 • 访问控制列表ACL：访问控制列表按照数据包的特点，规定了一些规则。 这些规则描述了具有一定特点的数据包，（例如所有源地址是 202.10.10.0 地址段的数据包、所有使用 Telnet 访问的数据包等等）并 且规定它们是被“允许”的还是“禁止”的。
简单流量分析
• 考虑一个1500台PC的学院子网，该子网有若干台千兆光缆连接的 内部邮件服务器。要求所有PC能同时共享内部邮件服务器，打开 学院内部系统网站页面(约100KB)，下载内部邮件客户端（约 30MB）和使用文档（约100KB）。为了使时延感觉不致太大，要 求访问文件的时延不大于10秒。 • 30+0.1+0.1=30.2MB 30.2*1500=45300MB 45300*8/10=36240Mpbs • 要求在10秒内从内部邮件服务器向外输出量将约达45300MB，约 36240Mpbs。所以至少需要四台万兆链路内部邮件服务器，且汇 聚交换机的背板带宽至少要40000Mpbs，连接二层交换网的端口 速率至少要30.2*48*0.8=1159.68Mpbs（需要千兆链路聚合技术）。
NAT技术
• 作用：将内网节点的私有IP地址转化成公网识别的IP地址接入并 访问互联网。
NAT示意图
D:172.16.0.100 D:202.113.136.2
内部端口
S:172.16.0.100
外部端口
S:202.113.136.2
内网节点
NAT主机
CERNET
NAT工作原理简介
• 如上图的内网节点要连接 CERNET的时候，数据包就会被送到 NAT 主机的内部端口，此时源IP 为 172.16.0.100 ； • 而NAT 主机会将来自内网节点的数据包的 源 IP (172.16.0.100 ) 改 写为202.113.136.2（公网地址），该数据包就可以发送至 CERNET 了，同时 NAT 主机并会记录这个数据包来自于哪个内网节点(此处 即172.16.0.100 ) ； • 由CERNET返回的数据包，也由 NAT主机接收并查询已记录的路由 信息，并将目的 IP (172.16.0.100 )改回原来的内部节点的私有地址 172.16.0.100 ； • 最后 NAT 主机将该数据包转发给相应的内部节点。
OSPF协议配置
• Router-ID：使用IP地址表示，每台OSPF路由器只有一个，可手工指定。 • LSA：链路状态，即接口的描述信息。如接口的IP地址，子网掩码，网络类型，COST值 等。 • DR（Designated Router）：使用OSPF协议的路由器连接到广播链路时，为减少LSA的数 量，选出的核心路由器。同一广播域中所有的OSPF路由器都只和DR互换LSA。 • BDR（Backup Designated Router）： DR的备份。在DR不可用时，代替DR的工作。 • DR与BDR在以太网中被要求选举。筛选过程：优先级为0的不参与选举；优先级高的路 由器为DR；优先级相同时，以router ID大为DR；BDR次之，作为备份。 • 骨干区域中的路由叫骨干路由（BR-Backbone Router）；非骨干区域和骨干区域之间相 连的路由叫区域边界路由（ABR-Area Border Router）；位于自治系统边界的路由叫自治 系统边界路由（ASBR-AS Border Router）。
应用OSPF路由协议的校园 网络设计
网络1201 朱淼
需求分析
• 七个需要连接外网的节点，每个节点对应子网有超过1500台PC， 共计10500台，属于大型网络。采用OSPF路由协议更有可扩展性。
• 采用三层架构的层次型网络：核心层、汇聚层和接入层。能发挥 更好的网络性能。 • CERNET只提供网络号为202.113.128.0/24至202.113.137.0/24的公 网IP地址块10个，每个地址块有效主机位为254个，共计2540个主 机位。2540<10500，需采用NAT技术，局域网使用私有地址，才 能满足要求。
4
汇聚交换机
Cisco
Catalyst -3750
6个万兆以太网端口，支持48个10/100/1000BASE-TX
7
二层交换机
Cisco
Catalyst -3560
48个10/100BASE-TX端口,2个10/100/1000BASE-T端口，17.6Gbps背板容量
280
拓扑结构
AREA1
校园 主干 网络 拓扑 结构
园区B 园区C
SWB SWDEPT4 SWD 万兆单模光纤 万兆多模光纤 AREA4 SWDEPT6
园区D
Catalyst-3560
万兆光缆 千兆光缆 百兆光缆
Catalyst-3560
地址分配
• 公网地址分配：对IP地址块202.113.128.0/24~202.113.137.0/24进 行分配，将其分为10*256个IP地址大小的范围。
子网2
子网3 子网4 子网5 子网6
172.16.16.0/21
172.16.24.0/21 172.16.32.0/21 172.16.40.0/21 172.16.48.0/21
பைடு நூலகம்
255.255.240.0
255.255.240.0 255.255.240.0 255.255.240.0 255.255.240.0
三院
四院 五院 六院 科研 主干网 主干网
园区B
园区B 园区C 园区D / / /
地址分配
• 内网地址分配：各园区子网采用NAT技术，根据RFC1597文档，取 一个公网不识别的B类地址进行规划。现在我们取172.16.0.0/21进 行规划。
网络名称 子网0 子网1 网络地址 172.16.0.0/21 172.16.8.0/21 子网掩码 255.255.240.0 255.255.240.0 主机数 2046 2046 所属机构 本部 一院 二院
网络地址 202.113.128.0/24 202.113.129.0/24 202.113.130.0/24 202.113.131.0/24 202.113.132.0/24 202.113.133.0/24 202.113.134.0/24 202.113.135.0/24 202.113.136.0/24 202.113.137.0/24 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 主机数 254 254 254 254 254 254 254 254 254 254 所属机构 大学本部 一院 二院 所属园区 园区A 园区A 园区A
NAT的实现方式
• 静态转换：地址转换是一一对应的，某个私有IP地址只转换为某 个公有IP地址。 • 动态转换：地址转换是随机的，被授权访问外网的私有地址可随 机转换为任何指定的合法IP地址。动态转换可以使用多个合法外 部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量 时，采用动态转换的方式。 • 网络端口地址转换：内部网络的所有主机均可共享一个合法外部 IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资 源。同时，又可隐藏网络内部的所有主机，有效避免来自internet 的攻击。
汇聚层流量分析示意图
连接园区主交换机 内部邮件 服务器
万兆链路
„„
内部邮件 服务器
„„
百兆链路
千兆链路
„„
PC1 PC3 PC2 PC48
设备选型
• 以汇聚交换机和二层交换机选型为例。 • Catalyst-3750三层交换机有6个万兆以太网端口，支持48个 10/100/1000BASE-TX全双工端口，背板带宽32Gpbs。可作为汇聚 交换机。其中2个万兆以太网口用于连接上行链路的园区主交换 机，实现链路聚合，剩余4个万兆以太网口用于连接万兆链路的 内部邮件服务器。千兆口用于连接各个二层交换网。 • Catalyst-3560有2个10/100/1000BASE-T端口，48个10/100BASE-TX 端口 ，背板带宽17.6Gpbs。可作为二层交换机。其中2个千兆以 太网口用于连接上行链路的汇聚交换机，实现链路聚合。