某校園網(wǎng)規(guī)劃與設(shè)計(jì)

某校園網(wǎng)規(guī)劃與設(shè)計(jì)一、設(shè)計(jì)要求某大學(xué)的網(wǎng)絡(luò)ID為157.54.0.0/16,需要保留一半的地址空間供將來使用，該大學(xué)共有15個分學(xué)院，每個學(xué)院可能包含2000臺主機(jī)和不同用途的服務(wù)器，請根據(jù)此需求借鑒現(xiàn)行大學(xué)網(wǎng)絡(luò)設(shè)計(jì)，規(guī)劃合理適應(yīng)的校園網(wǎng)絡(luò)。二、設(shè)計(jì)規(guī)劃（一） 校園網(wǎng)建設(shè)的原則整體規(guī)劃分步實(shí)施：一方面因?yàn)閷W(xué)校的資金情況，不能一步到位。二是依據(jù)需求，不能盲目投資。注重應(yīng)用系統(tǒng)建設(shè)：計(jì)算機(jī)網(wǎng)絡(luò)要想發(fā)揮出它的作用，必須有建立在它之上的應(yīng)用系統(tǒng)。這里有一個非常形象的比喻：網(wǎng)絡(luò)就象路，而應(yīng)用系統(tǒng)就象車，只修路但沒車跑，路也不能發(fā)揮它的作用。這必須跟據(jù)學(xué)校的實(shí)際情況，選擇恰當(dāng)?shù)膽?yīng)用系統(tǒng)。把握當(dāng)前先進(jìn)性：要將未來的可擴(kuò)展性和經(jīng)濟(jì)可行性結(jié)合起來。當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)備更新淘汰很快。校園網(wǎng)建設(shè)應(yīng)當(dāng)采用當(dāng)前成熟先進(jìn)的技術(shù)和設(shè)備，而這些設(shè)備應(yīng)有良好的擴(kuò)張性，即能夠兼容未來可能的技術(shù)。（二） 學(xué)校子網(wǎng)需求劃分為了提高IP地址的使用效率，引入了子網(wǎng)的概念。將一個網(wǎng)絡(luò)劃分為子網(wǎng)：采用借位的方式，從主機(jī)位最高位開始借位變?yōu)樾碌淖泳W(wǎng)位，所剩余的部分則仍為主機(jī)位。這使得IP地址的結(jié)構(gòu)分為三級地址結(jié)構(gòu)：網(wǎng)絡(luò)位、子網(wǎng)位和主機(jī)位。這種層次結(jié)構(gòu)便于IP地址分配和管理。它的使用關(guān)鍵在于選擇合適的層次結(jié)構(gòu)—如何既能適應(yīng)各種現(xiàn)實(shí)的物理網(wǎng)絡(luò)規(guī)模，又能充分地利用IP地址空間。子網(wǎng)的劃分主要是根據(jù)子網(wǎng)掩碼來區(qū)分的，掩碼的作用就是用來告訴電腦把“大網(wǎng)”劃分為多少個“小網(wǎng)”，以及每個子網(wǎng)中的主機(jī)數(shù)目。如表（1）所示，學(xué)校子網(wǎng)的劃分。

序號子網(wǎng)名稱包含的信息點(diǎn)1學(xué)院1子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器2學(xué)院2子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器3學(xué)院3子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器4學(xué)院4子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器5學(xué)院5子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器6學(xué)院6子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器7學(xué)院7子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器8學(xué)院8子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器9學(xué)院9子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器10學(xué)院10子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器11學(xué)院11子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器12學(xué)院12子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器13學(xué)院13子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器14學(xué)院14子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器15學(xué)院15子網(wǎng)2000臺主機(jī)和不同用途的服務(wù)器表（1）學(xué)校子網(wǎng)的劃分三、解決方案提出論證（一）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)在用戶的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中，我們建議采用層次化的結(jié)構(gòu)設(shè)計(jì)。對于用戶即將建設(shè)的網(wǎng)絡(luò)系統(tǒng)來說，想要建設(shè)成為一個覆蓋范圍廣、網(wǎng)絡(luò)性能優(yōu)良、具有很強(qiáng)擴(kuò)展能力和升級能力的網(wǎng)絡(luò)，在起初的設(shè)計(jì)中就必須采用層次化的網(wǎng)絡(luò)設(shè)計(jì)原則。采用這樣的結(jié)構(gòu)所建設(shè)的網(wǎng)絡(luò)具有良好的擴(kuò)充性、管理性，因?yàn)樾碌淖泳W(wǎng)模塊和新的網(wǎng)絡(luò)技術(shù)能被更容易集成到整個系統(tǒng)中，而不破壞已存在的骨干網(wǎng)。大多數(shù)的網(wǎng)絡(luò)都可以被層次性劃分為三個邏輯服務(wù)單元：核心骨干網(wǎng)(Backbone)、匯聚網(wǎng)(Distribute)和接入網(wǎng)(Local—access)，模塊化網(wǎng)絡(luò)設(shè)計(jì)方法的目標(biāo)在于把一個大型的網(wǎng)絡(luò)元素劃分成一個個互連的網(wǎng)絡(luò)層次。層次性結(jié)構(gòu)如下圖所示。根據(jù)項(xiàng)目的具體需求及現(xiàn)有的光纖結(jié)構(gòu)，結(jié)合網(wǎng)絡(luò)建設(shè)的基本理論和原則，各入網(wǎng)部門的實(shí)際情況，應(yīng)用需求，資金條件和遠(yuǎn)，近目標(biāo)等各方面的要求，設(shè)計(jì)出該網(wǎng)絡(luò)為拓?fù)浣Y(jié)構(gòu)為分層的集中式結(jié)構(gòu)或稱星型分級拓?fù)?。布線系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)總體四層，從總部機(jī)房用十二芯單模光纖與其他四層建筑的設(shè)備間|BD|相連，每個設(shè)備間也設(shè)用十二芯多模光纖與每層的電信間|FD|，并用五類非屏蔽雙絞線從電信間與工作站相連接，集團(tuán)園區(qū)網(wǎng)采用10M的光纖以太網(wǎng)接入到因特網(wǎng)服務(wù)提供商的網(wǎng)絡(luò)，然后接入到因特網(wǎng)中，使集團(tuán)實(shí)現(xiàn)與外界的信息交換和網(wǎng)絡(luò)通信。集團(tuán)統(tǒng)一由總部機(jī)房的一個出口訪問Internet，集團(tuán)能夠控制網(wǎng)絡(luò)的安全。在服務(wù)器和核心交換機(jī)間：使用UTP電纜來將服務(wù)器連接到核心交換機(jī)。四、所需設(shè)備描述、網(wǎng)絡(luò)拓?fù)浼昂喴渲梅桨福ㄒ唬?網(wǎng)絡(luò)設(shè)計(jì)總體要求靈活性：系統(tǒng)具有較高的適應(yīng)變化的能力。當(dāng)用戶的物理位置發(fā)生變化時可以在非常簡便的調(diào)整下重新連接；布線系統(tǒng)且具有一定的擴(kuò)展能力。實(shí)用性：系統(tǒng)具有低成本、使用方便、簡單、易擴(kuò)展的特點(diǎn)。布線系統(tǒng)應(yīng)在滿足各種需求的情況下盡可能降低材料成本;布線系統(tǒng)具有操作簡單、使用方便、易于擴(kuò)展的特點(diǎn)。可擴(kuò)展性：網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)結(jié)構(gòu)模塊化，易于擴(kuò)充，適應(yīng)未來發(fā)展。高可靠性：網(wǎng)絡(luò)建設(shè)應(yīng)立足于現(xiàn)有成熟的技術(shù)，具有高可靠性，并考慮主十設(shè)備的備份（二） 設(shè)備選擇（1） 匯聚層采用三層交換機(jī)，選擇CISCOWS-C3560G-24TS-S，功能較全面，穩(wěn)定可靠，接口豐富?？梢栽谄渖吓渲肁CL，控制各部門訪問的權(quán)利。實(shí)現(xiàn)流量的匯聚。（2） 核心層的路由器選擇CISCO2911/K9，內(nèi)置了防火墻，但防火墻主要還是應(yīng)用華為賽門鐵克USG5320（4GE/AC），支持VPN。優(yōu)點(diǎn)是業(yè)務(wù)多重，智能管理，安全性高，集成多業(yè)務(wù)路由器均提供嵌入式硬件加密加速、支持語音和視頻的數(shù)字信號處理器插槽、可選防火墻、入侵預(yù)防、呼叫處理、語音信箱以及應(yīng)用程序服務(wù)。（3） 防火墻選擇華為賽門鐵克USG5320（4GE/AC），網(wǎng)絡(luò)吞吐量為2000Mbps，支持VPN，可以抵御大流量的DDOS攻擊，甚至達(dá)到每秒數(shù)百萬包以上的DDOS攻擊，還能提供病毒流量的識別和防范能力。防火墻應(yīng)連在核心層的路由器上，作為病毒進(jìn)入企業(yè)網(wǎng)絡(luò)的第一層抵御，保護(hù)企業(yè)的網(wǎng)絡(luò)不被破壞，數(shù)據(jù)不丟失。

應(yīng)用地址2960-24TTSwitch8（2）分配各個學(xué)院地址：分為十五個學(xué)院。.2960-1296^^7SwitSwitch-24TTch10?9*&0-24TT^Switch112960-247SwitchS用地址J9&0-24TTSwitchl32960-24TTSwitch22960-24TTSwitch122960-24TTSwitch52960-24TTSwitch15應(yīng)用地址2960-24TTSwitch8（2）分配各個學(xué)院地址：分為十五個學(xué)院。.2960-1296^^7SwitSwitch-24TTch10?9*&0-24TT^Switch112960-247SwitchS用地址J9&0-24TTSwitchl32960-24TTSwitch22960-24TTSwitch122960-24TTSwitch52960-24TTSwitch152960-24TTSwitch92960-24TTSwitch42960-24TT

Switch!72960-24TTSwitchS2960-24TTSwitch1+（3）創(chuàng)建地址分配模板:（四）交換機(jī)的配置交換機(jī):Swithch#vlandatabase//劃分VLANSwitch(vlan)#vlan2nameVLANSCBSwitch(config)#interfacef0/1Switch(config-if)#switchmodeaccessSwitch(config-if)#swtichaccessvlan2Switch(config)#interfacef0/3Switch(config-if)#switchmodetrunk三層交換機(jī)：Switch(config)#interfacef0/0.1 〃單臂路由Switch(config-subif)#encapdot1q1Switch(config-subif)#ipaddress192.168.1.254255.255.255.0Switch(config)#routerrip //RIP協(xié)議Switch(config-rip)#network192.189.1.0Switch(config-rip)#network192.189.2.0Switch(config-rip)#network10.10.10.0Switch(config)#access-list1permithost192.168.8.0//ACLSwitch(config)#access-list1denyanySwitch(config)#intf0/1Switch(config-if)#ipaccess-group1out五、IP地址分配方案IP地址規(guī)劃和分配原則根據(jù)目前網(wǎng)絡(luò)結(jié)構(gòu)和以后擴(kuò)展，遵循以下原則進(jìn)行IP地址分配。?唯一性：IP地址必須唯一，一個IP地址對應(yīng)一臺數(shù)據(jù)通訊設(shè)備；?連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于規(guī)劃，同時提高路由器尋徑效率；?可管理性：地址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其它部分；?高效性：采用可變長子網(wǎng)掩碼技術(shù)，要求采用支持可變長子網(wǎng)掩碼技術(shù)的TCP/IP協(xié)議族；?可匯聚，性：方便路由匯總，縮減路由表?xiàng)l目，提高路由器處理效率。?可擴(kuò)展性：既要考慮到IP地址的使用現(xiàn)狀，又要考慮到未來信息網(wǎng)絡(luò)的發(fā)展，為各單位分配合理的地址空間，在網(wǎng)絡(luò)上盡可能少地做NAT，減少網(wǎng)絡(luò)設(shè)備CPU處理負(fù)擔(dān)和加快網(wǎng)絡(luò)訪問速度。業(yè)務(wù)地址的劃分可以按照兩個原則來分配：?按照部門規(guī)劃，每個部門一個獨(dú)立的網(wǎng)段；這種方案適合業(yè)務(wù)種類單一的情況，管理方便。?按照業(yè)務(wù)規(guī)劃，每種業(yè)務(wù)一個網(wǎng)段，所有的地市同一業(yè)務(wù)使用同一網(wǎng)段，這種方案適合業(yè)務(wù)之間互訪的控制。網(wǎng)路地址分配網(wǎng)絡(luò)ID為157.54.0.0/16，分配方案如下：(1)保留地址：需要保留一半的地址空間供將來使用。子網(wǎng)劃分生成了2個子網(wǎng)157.54.0.0/17和157.54.128.0/17,將地址空間平均

分成了兩部分?？梢赃x擇157.54.128.0/17作為保留的那一部分地址空間的網(wǎng)絡(luò)ID,從而滿足上述要求。序號子網(wǎng)名稱網(wǎng)段IP網(wǎng)關(guān)IP1應(yīng)用子網(wǎng)157.54.0.1157.54.127.2542保留子網(wǎng)157.54.128.1157.54.255.254（2）分配各個學(xué)院地址：該大學(xué)共有15個分學(xué)院，每個學(xué)院可能包含2000臺主機(jī)和不同用途的服務(wù)器。為了達(dá)到擁有15個地址前綴，每個前綴有大約2000個主機(jī)這一要求，對子網(wǎng)網(wǎng)絡(luò)ID157.54.0.0/17執(zhí)行4位子網(wǎng)劃分。第2次子網(wǎng)網(wǎng)劃分生成了16個地址前綴。即157.54.0.0/21、157.54.8.0/21?157.54.104.0/21和157.54.112.0/21，每個地址前綴可擁有多達(dá)2046個主機(jī)。下表列出了這15個地址前綴，其中每個子網(wǎng)可擁有多達(dá)2046個主機(jī)。子網(wǎng)編號網(wǎng)絡(luò)ID（點(diǎn)分十進(jìn)制）網(wǎng)絡(luò)ID（網(wǎng)絡(luò)前綴）序號子網(wǎng)名稱網(wǎng)段IP網(wǎng)關(guān)IP1學(xué)院一157.54.0.1157.54.7.2542學(xué)院二157.54.8.1157.54.15.2543學(xué)院三157.54.16.1157.54.23.2544學(xué)院四157.54.24.1157.54.31.2545學(xué)院五157.54.32.1157.54.39.2546學(xué)院六157.54.40.1157.54.47.2547學(xué)院七157.54.48.1157.43.55.2548學(xué)院八157.54.56.1157.54.63.2549學(xué)院九157.54.64.1157.54.71.25410學(xué)院十157.54.72.1157.54.79.25411學(xué)院十一157.54.80.1157.54.87.25412學(xué)院十二157.54.88.1157.54.95.25413學(xué)院十三157.54.96.1157.54.103.25414學(xué)院十四157.54.104.1157.54.111.25415學(xué)院十五157.54.112.1157.54.119.254創(chuàng)建地址分配模板為了滿足每個學(xué)院創(chuàng)建8個可擁有250個主機(jī)的子網(wǎng)模板要求，需要對子網(wǎng)網(wǎng)絡(luò)ID157.54.248.0/21進(jìn)行3位的子網(wǎng)劃分。第3次子網(wǎng)劃分會生成8個子網(wǎng)。157.54.248.0/24、157.54.249.0/24?157.54.254.0/24和157.54.255.0/24，每個子網(wǎng)可擁有254個主機(jī)?？梢赃x擇所有8個子網(wǎng)網(wǎng)絡(luò)ID從157.54.248.0/24~157.54.255.0/24，作為網(wǎng)絡(luò)ID分配給單個子網(wǎng)，從而完成整個任務(wù)。下表列出了8個子網(wǎng)，其中每個子網(wǎng)可擁有254個主機(jī)。序號子網(wǎng)名稱網(wǎng)段IP子網(wǎng)掩碼1學(xué)院子棋板一157.54.248.0255.255.255.02學(xué)院子模板二157.54.249.0255.255.255.03學(xué)院子模板三157.54.250.0255.255.255.04學(xué)院子模板四157.54.251.0255.255.255.05學(xué)院子模板五157.54.252.0255.255.255.06學(xué)院子模板六157.54.253.10255.255.255.07學(xué)院子模板七157.54.254.0255