楊凌中學(xué)校園網(wǎng)的組網(wǎng)方案設(shè)計

1、摘要隨著經(jīng)濟的發(fā)展，信息起著越來越重要的作用。計算機、網(wǎng)絡(luò)和多媒體等信息技術(shù)的飛速發(fā)展，信息的傳遞越來越快捷，信息的處理能力變得越來越強，信息的表現(xiàn)形式也越來越豐富，這些都對社會經(jīng)濟和人們的生活產(chǎn)生了深刻的影響。這一切促使通信網(wǎng)絡(luò)由傳統(tǒng)的電話網(wǎng)絡(luò)向高速多媒體信息網(wǎng)發(fā)展。web技術(shù)和多媒體技術(shù)的出現(xiàn)，近幾年來internet得到了突飛猛進(jìn)的發(fā)展，聯(lián)入網(wǎng)絡(luò)的節(jié)點和信息資源迅速增長。為了滿足廣大大學(xué)生的學(xué)習(xí)需要，教職工教學(xué)，辦公需求。建立一個基于校園internet的信息管理和應(yīng)用的網(wǎng)絡(luò)系統(tǒng)，并提供相應(yīng)的各種服務(wù)。共享網(wǎng)絡(luò)上各種軟、硬件資源，快速、穩(wěn)定地傳輸各種信息，并提供有效的網(wǎng)絡(luò)信息管理手段。采

2、用開放式、標(biāo)準(zhǔn)化的系統(tǒng)結(jié)構(gòu)，以利于功能擴充和技術(shù)升級。能夠與外界進(jìn)行廣域網(wǎng)的連接，提供、享用各種信息服務(wù)具有完善的網(wǎng)絡(luò)安全機制。能夠與原有的計算機局域網(wǎng)絡(luò)和應(yīng)用系統(tǒng)平滑地連接，調(diào)用原有各種計算機系統(tǒng)的信息校園網(wǎng)的建設(shè)與應(yīng)用，極大地豐富和完善了教育資源，拓寬了學(xué)生獲取知識的渠道，改善了教學(xué)效果，提高了學(xué)校的現(xiàn)代化管理水平，促進(jìn)了教育的社會化，因此，如何進(jìn)一步搞好校園網(wǎng)的建設(shè)，充分發(fā)揮校園網(wǎng)的作用，組建高性能，低成本的校園網(wǎng)，是各個高校正在探索和思考的問題。關(guān)鍵字：校園網(wǎng),信息管理，局域網(wǎng)目錄1 網(wǎng)絡(luò)規(guī)劃11.1地理布局11.2用戶設(shè)備情況11.3需求分析21.4可行性分析32網(wǎng)絡(luò)設(shè)計52.1 網(wǎng)

3、絡(luò)組網(wǎng)方案的設(shè)計52.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇52.3 網(wǎng)絡(luò)傳輸介質(zhì)的選擇82.4網(wǎng)絡(luò)組網(wǎng)設(shè)備的選擇82.4.1校園網(wǎng)核心層82.4.2校園網(wǎng)匯聚層92.4.3校園網(wǎng)接入層102.4.4校園網(wǎng)服務(wù)器和路由器112.5網(wǎng)絡(luò)操作系統(tǒng)的選擇132.6網(wǎng)絡(luò)協(xié)議的選擇133 網(wǎng)絡(luò)實施143.1 網(wǎng)絡(luò)布線143.2 設(shè)備選擇153.3子網(wǎng)的劃分方法及ip地址的設(shè)置153.3.1學(xué)校子網(wǎng)的劃分153.3.2 ip地址的劃分154 網(wǎng)絡(luò)的測試維護(hù)及網(wǎng)絡(luò)的安全管理194.1 網(wǎng)絡(luò)的測試維護(hù)194.2 網(wǎng)絡(luò)的安全管理195技術(shù)經(jīng)濟分析21參考文獻(xiàn)24ii 1 網(wǎng)絡(luò)規(guī)劃1.1地理布局楊凌中學(xué)位于楊凌農(nóng)科城后稷路北段，校

4、園綠樹成蔭，花團錦簇，占地41490平方米，總建筑面積20532平方米，布局合理，環(huán)境優(yōu)美。現(xiàn)有教學(xué)樓、實驗樓、行政辦公樓、學(xué)生公寓樓各一幢，學(xué)生餐廳一座，另有圖書館、實驗室、學(xué)校機房。校園廣播系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和遠(yuǎn)程教育系統(tǒng)先后投入使用，基本滿足了現(xiàn)代教育的各類需求。根據(jù)校園的地理位置，可將其分為三個區(qū)，生活區(qū)、辦公區(qū)和教學(xué)區(qū)，教學(xué)區(qū)主要使每個教室的計算機能介入網(wǎng)絡(luò)，有利于教室授課的需要，生活主要實現(xiàn)學(xué)生在寢室內(nèi)無線上網(wǎng)，辦公區(qū)提供各種辦公需求，供學(xué)校管理校內(nèi)財務(wù)、人事和學(xué)生教師信息等。根據(jù)這三個區(qū)的地理位置，共設(shè)計2230個信息點，其中各個信息點的具體分布情況如下：生活區(qū)共設(shè)615個信息點，其

5、中：學(xué)生宿舍樓(600)，食堂(5)，浴室(5)，超市(5)；辦公區(qū)共設(shè)410個信息點，其中：教師宿舍樓(300)，行政辦公樓(100)，公安(10)；教學(xué)區(qū)共設(shè)1205個信息點，其中：學(xué)校機房(1000)，圖書館(50)，教學(xué)樓(100），實驗樓(50)，操場(5)。1.2用戶設(shè)備情況校園網(wǎng)是為師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實現(xiàn)各項管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段。它必須滿足臺式機、手提電腦、打印機、掃描儀等設(shè)備都能方便進(jìn)網(wǎng)，實現(xiàn)資源共享（如硬件、軟件、數(shù)據(jù)資源共享等），其設(shè)計方案應(yīng)遵循以下五大原

6、則:（1）實用性：校園網(wǎng)應(yīng)滿足學(xué)校目前對網(wǎng)絡(luò)應(yīng)用的要求，充分實現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能得到充分發(fā)揮。（2）安全性：應(yīng)能在可靠性的前提下，抵擋來自內(nèi)部和外部的攻擊，采用的安全措施有效、可信，能夠在多層次上、以多種方式實現(xiàn)安全的控制。（3)可靠性：校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，使其具有很高的平均無故障工作時間和極低的平均無故障率。(4)統(tǒng)一性：在系統(tǒng)的設(shè)計過程中要堅持“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口”。(5)先進(jìn)性：校園網(wǎng)應(yīng)既能滿足我院當(dāng)前對網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來方便擴展，保

7、護(hù)目前的所有投資，設(shè)計的配置可以靈活變通，以便適應(yīng)師生的其它要求。1.3需求分析在進(jìn)行校園網(wǎng)的總體設(shè)計之前，應(yīng)進(jìn)行對象研究和需求分析，明確學(xué)校的目標(biāo)、任務(wù)及系統(tǒng)建設(shè)的需求和條件，對學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述；其次要確定學(xué)校internet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)；第三是確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，根據(jù)學(xué)校主要建筑的分布特點，進(jìn)行系統(tǒng)分析和設(shè)計；第四，確定技術(shù)設(shè)計的原則要求，如在技術(shù)選型、布線設(shè)計、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求等。(1)用戶需求：校園網(wǎng)絡(luò)應(yīng)當(dāng)方便快捷，建成后的網(wǎng)絡(luò)能充分利用internet、教育網(wǎng)、國家信息網(wǎng)的各種信息，實現(xiàn)校園內(nèi)部的資源共享。通過建立學(xué)校首頁、學(xué)院

8、信箱、精品課、ftp資源、校園管理系統(tǒng)等服務(wù)，發(fā)布有關(guān)校園新聞、校園通知的信息平臺。 1)教學(xué)區(qū)：每個教室的計算機能接入網(wǎng)絡(luò)，有利于教師授課的需要； 2)生活區(qū)：實現(xiàn)學(xué)生在寢室內(nèi)無線上網(wǎng)； 3)辦公區(qū)：提供各系辦公需求，供學(xué)校管理校內(nèi)財務(wù)、人事和學(xué)生教師信息等。(2)通信需求目前國內(nèi)大部分高校的校園網(wǎng)模式是千兆/快速以太網(wǎng)架構(gòu)。根據(jù)我院各建筑的地理位置、網(wǎng)路流量和資金狀況，設(shè)計為學(xué)院機房到各匯聚層節(jié)點使用1000m光纖連接，匯聚層到接入層使用百兆五類線連接。數(shù)據(jù)信息點的接入用交換10/100mbps自適應(yīng)以太網(wǎng)口接入以滿足廣大師生的各種需求。(3)安全需求校園網(wǎng)絡(luò)信息安全問題正直接影響著學(xué)校的

9、教學(xué)活動和學(xué)生的隱私的安全，大部分校園存在信息點隨意接入的使用的問題，不明身份的用戶很容易就可以進(jìn)入校園網(wǎng)，干擾和破壞校園網(wǎng)網(wǎng)絡(luò)平臺及應(yīng)用系統(tǒng)的正常運行。威脅校園網(wǎng)安全的攻擊行為大部分來自網(wǎng)絡(luò)內(nèi)部，如何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點關(guān)注的地方。1.4可行性分析可行性分析只要包括以下三方面：(1)費用校園網(wǎng)的特點決定了網(wǎng)絡(luò)系統(tǒng)必需要有實用與經(jīng)濟性。實用性使得網(wǎng)絡(luò)便于管理、維護(hù)，以減少網(wǎng)絡(luò)使用人員運用網(wǎng)絡(luò)的難度，從而降低人為操作引起的網(wǎng)絡(luò)故障，并使更多的人掌握網(wǎng)絡(luò)的使用。應(yīng)根據(jù)學(xué)校的實際情況，由于學(xué)校的建設(shè)資金有限，所以一般都要求網(wǎng)絡(luò)具有較高的性價比，所以在建設(shè)校園網(wǎng)時一定要

10、使用性價比高的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備，可以節(jié)約建設(shè)資金；（2）風(fēng)險網(wǎng)絡(luò)安全對于網(wǎng)絡(luò)系統(tǒng)來說是十分重要的，它直接關(guān)系到網(wǎng)絡(luò)的正常使用。由于校園網(wǎng)與外部網(wǎng)進(jìn)行互聯(lián)特別是和internet的互聯(lián)，internet是一個開放式網(wǎng)絡(luò)系統(tǒng)，它的安全性是很差的。應(yīng)該采用一定的技術(shù)來控制網(wǎng)絡(luò)的安全性，從內(nèi)部和外部同時對網(wǎng)絡(luò)資源的訪問進(jìn)行控制。當(dāng)前主要的網(wǎng)絡(luò)安全技術(shù)有，用戶身份驗證，vlan劃分，防火墻等技術(shù)。網(wǎng)絡(luò)系統(tǒng)還具備高度的數(shù)據(jù)安全性和保密性，可大大降低網(wǎng)絡(luò)風(fēng)險；（3）收益高校校園網(wǎng)的網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)技術(shù)發(fā)展幾乎是同步進(jìn)行的，為了充分滿足高校骨干網(wǎng)對高速，智能，安全，認(rèn)證計費等的需求,可以利用萬兆以太網(wǎng)的校園網(wǎng)

11、組網(wǎng)技術(shù)，構(gòu)建校園網(wǎng)骨干網(wǎng)，實現(xiàn)各個分校區(qū)和本部之間的連接，以及實現(xiàn)端到端的以太網(wǎng)訪問，不僅提高了傳輸?shù)男?，有效地保證了遠(yuǎn)程多媒體教學(xué)、數(shù)字圖書館等業(yè)務(wù)的開展。2網(wǎng)絡(luò)設(shè)計2.1 網(wǎng)絡(luò)組網(wǎng)方案的設(shè)計在本次組網(wǎng)方案設(shè)計中，根據(jù)校園網(wǎng)的網(wǎng)絡(luò)應(yīng)用需求，將其分為如下四個子系統(tǒng):（1）校園計算機局域網(wǎng)；這點是校園網(wǎng)建設(shè)的基礎(chǔ)，也是本次校園網(wǎng)組建規(guī)劃的主要工作，其他所有的建設(shè)都是建立在此部分之上的。建設(shè)覆蓋全校的局域網(wǎng)包括網(wǎng)絡(luò)技術(shù)選型，拓?fù)浣Y(jié)構(gòu)設(shè)計，布線系統(tǒng)設(shè)計和網(wǎng)絡(luò)方案的具體設(shè)計。在這之中，網(wǎng)絡(luò)方案設(shè)計中網(wǎng)絡(luò)的核心、匯聚、接入層三層是其重點。其次進(jìn)行vlan劃分，子網(wǎng)配置和ip地址的分配，最后進(jìn)行服務(wù)器

12、、交換機和路由器的配置。 （2）交互式多媒體教學(xué)系統(tǒng)； （3）學(xué)校自動化辦公系統(tǒng)； （4）學(xué)校教學(xué)和管理綜合信息系統(tǒng)在本網(wǎng)絡(luò)中服務(wù)從類型上說既有簡單的消息服務(wù)，又有資源共享服務(wù)；既有訪問集中式的數(shù)據(jù)庫，又有分布式事務(wù)處理；既有非實時性服務(wù)，又有實時性服務(wù)。主要支持教師教學(xué)和學(xué)生學(xué)習(xí)，提供共享接入internet，e-mail，www，ftp，vod點播等。2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選用星型拓?fù)浣Y(jié)構(gòu)。星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu)，它是以一臺中心處理機（通信設(shè)備）為主而構(gòu)成的網(wǎng)絡(luò)，其它入網(wǎng)機器僅與該中心處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網(wǎng)機器服務(wù)，

13、所有的數(shù)據(jù)必須經(jīng)過中心處理機。由于所有節(jié)點的往外傳輸都必須經(jīng)過中央節(jié)點來處理，因此，對中央節(jié)點的要求比較高。它的優(yōu)點是網(wǎng)絡(luò)結(jié)構(gòu)簡單，易于維護(hù)，便于管理（集中式）；每臺入網(wǎng)機均需物理線路與處理機互連，線路利用率低；處理機負(fù)載重（需處理所有的服務(wù)），因為任何兩臺入網(wǎng)機之間交換信息，都必須通過中心處理機；入網(wǎng)主機故障不影響整個網(wǎng)絡(luò)的正常工作。對該網(wǎng)絡(luò)支持的設(shè)備生產(chǎn)廠商有較好的技術(shù)支持。局域網(wǎng)內(nèi)的所有工作節(jié)點通過雙絞線與交換機相連形成一個星型網(wǎng)絡(luò)。辦公電腦建議采用品牌的商用機，商用機運行比較穩(wěn)定，而且比較耐用，運算速度較快，較適于開發(fā)使用。它是目前使用最多、最為普遍的局域網(wǎng)拓?fù)浣Y(jié)構(gòu)。具體分為三級結(jié)構(gòu)：

14、第一級是網(wǎng)絡(luò)中心，為中心節(jié)點。網(wǎng)絡(luò)中心選址在學(xué)校地域的中心建筑,布置了校園網(wǎng)的核心設(shè)備，如路由器、交換機、服務(wù)器(www服務(wù)器、電子郵件服務(wù)器、文件服務(wù)器等)，并預(yù)留了將來與本部以外的幾個園區(qū)的通信接口；第二級是建筑群的主干結(jié)點，為二級節(jié)點。校園網(wǎng)按地域設(shè)置了幾條干線光纜，從網(wǎng)絡(luò)中心輻射到幾個主要建筑群，并在二級主干節(jié)點處端接。在主干網(wǎng)節(jié)點上安裝的交換機位于網(wǎng)絡(luò)的第三層，它向上與網(wǎng)絡(luò)中心的主干交換機相連，向下與各樓層的接入層交換機相連。學(xué)校校園網(wǎng)主干帶寬全部為1000mbps；第三級是建筑物樓內(nèi)的接入層交換機，為三級節(jié)點，三級節(jié)點主要是指直接與工作站連接的局域網(wǎng)設(shè)備。e_mailftpwww核

15、心交換機路由器防火墻internet匯聚層交換機匯聚層交換機匯聚層交換機匯聚層交換機匯聚層交換機匯聚層交換機實驗樓圖書館教學(xué)樓學(xué)生宿舍教師宿舍辦公樓圖2.2.1 拓?fù)浣Y(jié)構(gòu)圖2.3 網(wǎng)絡(luò)傳輸介質(zhì)的選擇 根據(jù)距離差異，采用不同介質(zhì)布線：（1）教師宿舍與學(xué)生宿舍采用單模光纖傳輸；（2）單模比多模光纖昂貴，辦公樓、教學(xué)樓、圖書館、實驗樓均采用多模光纖傳輸；（3）為減輕以太網(wǎng)給5類電纜的負(fù)重，考慮到經(jīng)費問題，在核心層交換機與防火墻的另一內(nèi)網(wǎng)端口采用6類非屏蔽雙絞線互連；（4）普通接入點依然采用5類雙絞線連接。2.4網(wǎng)絡(luò)組網(wǎng)設(shè)備的選擇本次校園網(wǎng)設(shè)備選擇中，我們采用了1臺華為s5328c-ei-24s核心層

16、交換機、6臺華為quidways3952p-si匯聚層交換機、以及若干個3com(h3c)華為s1526接入層交換機。2.4.1校園網(wǎng)核心層核心層采用華為s5328c-ei-24s交換機，其具體參數(shù)如下：表2.4.1 核心層交換機參數(shù)華為s5328c-ei-24s主要參數(shù)交換機類型運營級千兆以太網(wǎng)交換機應(yīng)用層級三層傳輸速率10mbps/100mbps/1000mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)ieee802.3,ieee802.3u,ieee802.3d,ieee802.3ab,ieee802.3x端口結(jié)構(gòu)模塊化端口數(shù)量28接口介質(zhì)24個100/1000base-xsfp,4個10/100/1000base-t

17、combo,上行2個10gexfp插卡或者4個1000base-xsfp傳輸模式全雙工交換方式存儲-轉(zhuǎn)發(fā)背板帶寬256gbps包轉(zhuǎn)發(fā)率66mppsvlan支持支持qos支持支持網(wǎng)管支持支持網(wǎng)管功能支持telnet遠(yuǎn)程配置、維護(hù)、支持snmpv1/v2/v3、rmon、imanager網(wǎng)管系統(tǒng)、集群管理hgmp、支持系統(tǒng)日志、分級告警mac地址表32k安全性用戶分級管理和口令保護(hù)、支持防止dos、arp攻擊功能、支持ip、mac、端口的組合綁定、支持端口隔離、支持mac地址黑洞、支持mac地址學(xué)習(xí)數(shù)目限制、支持ieee802.1x認(rèn)證,支持單端口最大用戶數(shù)限制、支持aaa認(rèn)證,支持radius、

18、tacacs+等多種方式、支持sshv2.0、支持cpu保護(hù)功能尺寸(mm)44242043.6mm重量(kg)8kg2.4.2校園網(wǎng)匯聚層匯聚層采用華為quidways3952p-si作為交換機，其具體參數(shù)如下：表2.4.2 匯聚層交換機參數(shù)華為quidways3952p-si主要參數(shù)交換機類型部門級交換機應(yīng)用層級三層傳輸速率10mbps/100mbps/1000mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)ieee802.3,ieee802.3u,ieee802.3d,ieee802.3ab,ieee802.3x端口結(jié)構(gòu)固定端口端口數(shù)量48接口介質(zhì)100base-tx、10/100/1000base-t、1000bas

19、e-sx、1000base-fx傳輸模式全雙工交換方式存儲-轉(zhuǎn)發(fā)背板帶寬17.6gbps包轉(zhuǎn)發(fā)率13.2mbpsvlan支持支持qos支持支持網(wǎng)管支持支持網(wǎng)管功能通過console口配置,支持snmp,支持rmon1,2,3,9組mib,支持華為imanagern2000dms網(wǎng)管系統(tǒng),支持web網(wǎng)管,支持系統(tǒng)日志,分級告警mac地址表16k尺寸(mm)44026043.6重量(kg)4kg2.4.3校園網(wǎng)接入層接入層采用3com(h3c)華為s1526作為交換機，其具體參數(shù)如下：表2.4.3 接入層交換機參數(shù)3com(h3c)華為s1526主要參數(shù)交換機類型3com(h3c)華為s1526可

20、管理接入24口10/100m機架交換機應(yīng)用層級二層傳輸速率10/100mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)ieee802.310base-t以太網(wǎng)ieee802.3u100base-tx快速以太網(wǎng)ieee802.3ab1000base-t千兆以太網(wǎng)端口結(jié)構(gòu)固定端口端口數(shù)量24接口介質(zhì)24個10/100base-tx自適應(yīng)以太端口 2個10/100/1000base-t自適應(yīng)以太網(wǎng)端口 1個console接口傳輸模式全雙工接口類型rj-452.4.4校園網(wǎng)服務(wù)器和路由器該校園網(wǎng)服務(wù)器選擇聯(lián)想萬全r525s5405，其性能參數(shù)如下：表2.4.4服務(wù)器相關(guān)參數(shù)聯(lián)想萬全r525s5405參數(shù)類型企業(yè)級類別機架式結(jié)構(gòu)2uc

21、pu類型xeone5405、主頻2000mhz、二級緩存12mb、四核fsb（總線）1333mhz，擴展槽3個內(nèi)存類型fb-dimm內(nèi)存大小1gb內(nèi)存帶寬/描述21gb/s內(nèi)存插槽數(shù)量12硬盤大小3*73gb硬盤類型sas內(nèi)部硬盤架數(shù)單機支持12塊硬盤最大熱插拔硬盤數(shù)支持熱插拔磁盤陣列卡板載1078256msasraid卡光驅(qū)標(biāo)配slimcd-rom光驅(qū)網(wǎng)絡(luò)控制器集成intel雙千兆自適應(yīng)網(wǎng)卡,支持網(wǎng)卡冗余、負(fù)載均衡等功能,可選外插intel千兆自適應(yīng)網(wǎng)卡顯示芯片集成ati顯示芯片,16mb顯存標(biāo)準(zhǔn)接口3個rj45網(wǎng)絡(luò)接口(其中一個用于服務(wù)器管理)、4個usb接口(前置2個,后置2個)、1個p

22、s/2鼠標(biāo)接口、1個ps/2鍵盤接口、2個顯示接口(前置1個,后置1個)、1個串口系統(tǒng)支持windowsserver2003r2standardedition中文版/英文版(x32)、windowsserver2003r2enterpriseedition中文版/英文版(x32)、windowsserver2003r2standardedition本網(wǎng)絡(luò)采用思科2811的路由器，其基本參數(shù)如下：表2.4.5路由器相關(guān)參數(shù)思科2811基本參數(shù)產(chǎn)品定位模塊化路由器網(wǎng)絡(luò)類型wan|ethernet|fastethernet安全標(biāo)準(zhǔn)ul60950:can/csac22.2no.60950,iec609

23、50,en60950-1,as/nzs60950是否內(nèi)置防火墻是是否支持vpn是是否支持qos是支持網(wǎng)絡(luò)協(xié)議ieee802.3x固定的局域網(wǎng)接口2x10/100mbps擴展模塊槽數(shù)4控制端口consoleflash內(nèi)存64mbdram內(nèi)存256mb支持的網(wǎng)管協(xié)議ciscoclickstart，snmp2.5網(wǎng)絡(luò)操作系統(tǒng)的選擇windowsserver2003在穩(wěn)定性和安全性方面可靠性較高，完全適合該校的網(wǎng)絡(luò)操作系統(tǒng)需求。2.6網(wǎng)絡(luò)協(xié)議的選擇該校園網(wǎng)的網(wǎng)絡(luò)協(xié)議選用tcp/ip協(xié)議和ipx/spx協(xié)議。3 網(wǎng)絡(luò)實施3.1 網(wǎng)絡(luò)布線隨著網(wǎng)絡(luò)日新月異的發(fā)展，綜合布線在校園網(wǎng)中的應(yīng)用越來越廣所以該校也采

24、用綜合布線系統(tǒng)來規(guī)劃網(wǎng)絡(luò)，具體分為六大子系統(tǒng)，它們分別是:（1）水平子系統(tǒng)主要是實現(xiàn)信息插座和管理子系統(tǒng)，即中間配線架（idf）間的連接。比如從宿舍樓層的每一層交換機到每個宿舍的距離，中間采用雙絞線連接。（2）管理子系統(tǒng)由交連、互連和輸入/輸出組成，實現(xiàn)配線管理，為連接其它子系統(tǒng)提供手段。比如從每一棟樓到中心機房的距離，中間采用多模光纖連接。（3）干線子系統(tǒng)指提供建筑物的主干電纜的路由，是實現(xiàn)主配線架與中間配線架，計算機、pbx、控制中心與各管理子系統(tǒng)間的連接。比如宿舍每一層樓與每一層樓之間，中間采用雙絞線連接。（4）設(shè)備間子系統(tǒng)由設(shè)備室的電纜、連接器和相關(guān)支持硬件組成，把各種公用系統(tǒng)設(shè)備互連

25、起來。比如從宿舍與辦公樓之間相接的地方。（5）建筑群子系統(tǒng)是實現(xiàn)建筑之間的相互連接，提供樓群之間通信設(shè)施所需的硬件。比如宿舍與辦公樓之間的距離，由于距離較遠(yuǎn)，所以中間采用多模光纖連接。3.2 設(shè)備選擇核心層采用華為s5328c-ei-24s交換機，匯聚層采用華為quidways3952p-si作為交換機，接入層采用3com(h3c)華為s1526作為交換機，該校園網(wǎng)服務(wù)器選擇聯(lián)想萬全r525s5405，采用思科2811的路由器，3.3子網(wǎng)的劃分方法及ip地址的設(shè)置3.3.1學(xué)校子網(wǎng)的劃分表3.3.1 學(xué)校子網(wǎng)表序號子網(wǎng)名稱包含的信息點1學(xué)生宿舍子網(wǎng)學(xué)生宿舍區(qū)所有計算機2教師宿舍子網(wǎng)教師宿舍區(qū)所

26、有計算機3實驗樓子網(wǎng)實驗樓所有計算機4圖書館子網(wǎng)圖書館所有計算機5教學(xué)樓子網(wǎng)教學(xué)樓所有計算機6辦公樓子網(wǎng)辦公樓所有計算機7服務(wù)器群子網(wǎng)該區(qū)所有計算機8無線網(wǎng)絡(luò)子網(wǎng)該區(qū)所有計算機3.3.2 ip地址的劃分（1）在網(wǎng)絡(luò)規(guī)劃中，ip地址方案的設(shè)計至關(guān)重要，好的ip地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴展打下良好的基礎(chǔ)。ip地址的合理是保證網(wǎng)絡(luò)順利運行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。校區(qū)ip地址的分配應(yīng)該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。所以ip地址規(guī)劃遵循如下原則來設(shè)計：1）服務(wù)器區(qū)采用私ip地址，nat后供人員遠(yuǎn)程訪問

27、；2）與internet互聯(lián)設(shè)備ip地址采用真實ip地址；3）部分內(nèi)部互連采用私有ip地址；4）面向用戶的私有ip地址，由統(tǒng)一出口的邊緣設(shè)備（路由器、防火墻）進(jìn)行地址翻譯。即出口路由器（防火墻）互聯(lián)采用合法ip地址；公共服務(wù)器如www/ftp/dns/資源服務(wù)器等均采用合法地址（或從安全角度考慮采用私有ip）；部分接入用戶采用私有保留ip地址相連。這樣設(shè)計，既可以充分利用已有的公網(wǎng)ip地址，解決了ip地址空間不足的，既可以方便的實現(xiàn)互通互連，而且將地址翻譯（nat）這種耗費設(shè)備資源的工作由網(wǎng)絡(luò)邊緣設(shè)備分擔(dān)，提高網(wǎng)絡(luò)數(shù)據(jù)傳輸整體性能。（2）vlan劃分，vlan（virtuallocalarea

28、network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的lan分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網(wǎng)（lan）在交換機上通過軟件劃分成若干個小的虛擬的局域網(wǎng)（vlan）。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的mac地址，以便在交換機內(nèi)部的mac數(shù)據(jù)庫建立mac地址表，而廣播不能跨越不同網(wǎng)段。a.將一個班同學(xué)的寢室劃為同一個vlan，再將一棟宿舍樓劃為一個大vlan。理由：高校的學(xué)生通過網(wǎng)絡(luò)交換的信息量日益增大，特別是一個班的同學(xué)，住在一個寢室的同學(xué)不一定就是一個班的，將一個班的同學(xué)劃為同一個vlan便于信息的傳遞。b.將每個老師

29、的寢室劃為一個vlan。理由：每個老師的計算機里可能有一些重要的科研資料，從安全性考慮，所以不能將所有老師的寢室劃為同一個網(wǎng)。并且學(xué)生宿舍和教師宿舍不能互相訪問。c.將教學(xué)樓的所有教室劃為一個vlan。理由：上課的教室不固定，每個教室需要共享一些信息。d將實驗樓劃為一個大vlan，再將每個實驗室劃為一個小vlan。理由：方便同學(xué)和老師做一些教學(xué)實驗，實驗室會進(jìn)行一些專項課題研究，一個實驗室同一個vlan安全性更高。e將辦公樓劃為一個大vlan，再將每個部門劃為一個小vlan。理由：方便每個部門管理，鑒于每個的不同性質(zhì)，更要提高安全性。f劃分方法采用基于端口的劃分。理由：高校學(xué)生的流動性大，例如

30、換寢室，畢業(yè)等，而導(dǎo)致的學(xué)生的人數(shù)和班級的變動。基于端口的劃分，相對來說容易設(shè)置和監(jiān)控，只需要將端口配置的vlan重新分配。具體劃分情況如下：表3.3.2 ip地址的劃分序號子網(wǎng)名稱網(wǎng)段ip網(wǎng)關(guān)ip備注1學(xué)生宿舍子網(wǎng)1721600/161721621vlan22教師宿舍子網(wǎng)1721700/161721731vlan 33實驗樓子網(wǎng)19216840/2419216841vlan 44圖書館子網(wǎng)19216870/2419216871vlan 5 5教學(xué)樓子網(wǎng)1721800/161721861vlan 66辦公樓子網(wǎng)19216850/2419216851vlan 77服務(wù)器群子網(wǎng)19216880/2

31、419216881vlan 88無線網(wǎng)絡(luò)子網(wǎng)19216800/2419216801vlan 9另外，ip地址分為公網(wǎng)地址和私網(wǎng)地址兩類，公有地址由因特網(wǎng)信息中心負(fù)責(zé)。這些ip地址分配給注冊并向inter nic提出申請的組織機構(gòu)。通過它直接訪問因特網(wǎng)。isp分配給學(xué)校的全局ip地址地址段為:-00/24.,私有地址屬于非注冊地址，專門為組織機構(gòu)內(nèi)部使用。以下列出留用的內(nèi)部私有地址：a類 -55b類 -55c類 -554

32、網(wǎng)絡(luò)的測試維護(hù)及網(wǎng)絡(luò)的安全管理4.1 網(wǎng)絡(luò)的測試維護(hù)可以通過ping等命令測試網(wǎng)絡(luò)的連通性；根據(jù)廠商說明書驗證網(wǎng)絡(luò)設(shè)備是否具有設(shè)計要求的每一樣功能；分析網(wǎng)絡(luò)設(shè)備在各個不同的配置和負(fù)載下的容量對負(fù)載的處理能力；驗證網(wǎng)絡(luò)設(shè)備的各項設(shè)備功能是否符合國內(nèi)國際行業(yè)標(biāo)準(zhǔn)；考察一臺網(wǎng)絡(luò)設(shè)備是否能在一個不同廠家的多種網(wǎng)絡(luò)產(chǎn)品互連的網(wǎng)絡(luò)環(huán)境中很好的工作；加重負(fù)載的方法來分析、評估系統(tǒng)的可靠性和穩(wěn)定性。4.2 網(wǎng)絡(luò)的安全管理網(wǎng)絡(luò)的安全性是評價校園網(wǎng)的重要指標(biāo)之一，對于校園網(wǎng)這樣的大型園區(qū)網(wǎng)，網(wǎng)絡(luò)的安全問題就越發(fā)重要。網(wǎng)絡(luò)的安全問題主要是由網(wǎng)絡(luò)的開放性、無邊界性、自由性造成的，所以考慮信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被

33、保護(hù)的網(wǎng)絡(luò)由開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點，實現(xiàn)信息網(wǎng)絡(luò)的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。(1)硬件實現(xiàn)端口與mac地址和用戶ip地址的綁定，嚴(yán)格限定端口上用戶接入；(2)通過vlan的劃分，利用中心交換機上高性能路由模塊的管理和控制，可以控制內(nèi)部各vlan間的訪問；(3)通過privatevlan可以在交換機的同一vlan中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會被發(fā)送到其它端；

34、口，即解決了因傳統(tǒng)802.1qvlan造成全網(wǎng)vid資源不夠的問題，同時又無需利用安全規(guī)則資源即能達(dá)到隔離不同用戶以及不同；組用戶之間通訊的功能，充分保護(hù)用戶隱私；(4)可實現(xiàn)用戶賬號、mac地址、ip地址、交換機ip、交換機端口等六大元素之間的靈活任意綁定，有效確認(rèn)用戶合法性和唯一性；(5)提供極為有效的portblocking功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口負(fù)載負(fù)擔(dān)，提高端口帶寬，保護(hù)用戶pc更高效安全地運行；(6)基于源ip地址控制的telnet和web設(shè)備訪問控制，增強了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；提供加密傳輸secureshe

35、ll（ssh），保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；(7)計算機病毒是伴隨著計算機而產(chǎn)生的，它同時隨著計算機技術(shù)的發(fā)展而發(fā)展，在網(wǎng)絡(luò)環(huán)境中，計算機病毒更易于傳播，其對系統(tǒng)的危害也是明顯的，在校園網(wǎng)工程中建議采用網(wǎng)絡(luò)與單機相結(jié)合的方式來避免計算機病毒的危害。5技術(shù)經(jīng)濟分析設(shè)備名稱型號生產(chǎn)廠商配置數(shù)量單價總價描述核心層交換機華為s5328c-ei-24s華為dram:256mb,flash:64mb.傳輸速率：10/100/1000mbps1臺81600元/臺8.16萬元主交換機，負(fù)責(zé)訪問層交換機、服務(wù)器的接入?yún)R聚層交換機華為quidways3952p-si華為傳 輸 速 率：10/

36、100/1000mbps6臺55440元/臺33.264萬元負(fù)責(zé)與主交換機和樓層交換機互連接入層交換機3com(h3c)華為s1526華為傳 輸 速 率：10/100/1000mbps60臺7700元/臺46.2萬元作為直接負(fù)責(zé)用戶的接入交換機路由器思科2811思科dram:256mbflash:64mb.傳輸速率：10/100/1000mbps1臺39500元/臺3.95萬元負(fù)責(zé)接入internetweb服務(wù)器聯(lián)想萬全r525s5405聯(lián)想內(nèi)存：fb-dimm容量：12gb最大容量：192gb1臺26800元/臺2.68萬元用于web服務(wù)器ftp服務(wù)器hpproliantdl380g5(58

37、3914-b21)惠普內(nèi)存：ddr3容量：12gb最大容量：192gb1臺26800元/臺2.68萬元用于ftp服務(wù)器mail服務(wù)器hpproliantml350g6(600431-aa5惠普內(nèi)存：ddr3容量：4gb最大容量：192gb1臺14800元/臺1.48萬元用于e-mai服務(wù)器數(shù)據(jù)庫服務(wù)器hpproliantml370g6(qk654a)惠普內(nèi)存：ddr3容量：2gb1臺20500元/臺2.05萬元用于數(shù)據(jù)庫服務(wù)器防火墻ciscoasa5510-k8思科vpn防火墻1臺12500元/臺1.25萬元協(xié)助確保信息安全總造價101.714萬元再加上所需人工費用合計5萬元，最后該項目的總費

38、用為106.714萬元。6總結(jié)及收獲通過本次課程設(shè)計，我深入地了解了組建一個局域網(wǎng)全部過程，這個過程，從目標(biāo)確立，到環(huán)境、應(yīng)用、管理和擴展性分析，從邏輯結(jié)構(gòu)設(shè)計、拓?fù)鋱D總體設(shè)計到硬件、軟件的選型，從有線網(wǎng)到無線網(wǎng)，思路從茫然到清晰，設(shè)計稿從無到有的漸變讓我收獲頗多，不僅僅了解了更多的網(wǎng)絡(luò)知識，讓我可以獨立去完成一個局域網(wǎng)的組建工作，更讓我們學(xué)會了思考，學(xué)會就地分析解決問題的能力。在課程設(shè)計過程中，由于對知識的缺乏和貧乏的實踐能力，設(shè)計的過程一直磕磕絆絆，非常不順利，有時候不知道要先做什么，后做什么，思路非?；靵y，甚至感覺無從下手，后來經(jīng)過不斷分析借鑒，也查閱了許多相關(guān)資料，才漸漸找到了思路，雖然最終順利完成了課設(shè)，但這個過程卻使我