校園網(wǎng)絡(luò)組建設(shè)計(jì)方案

XX工業(yè)學(xué)院計(jì)算機(jī)工程系/網(wǎng)絡(luò)工程專(zhuān)周XX方聯(lián)中學(xué)網(wǎng)絡(luò)設(shè)計(jì)方案設(shè)計(jì)人：11521班第四組指導(dǎo)教師：小組成員：設(shè)計(jì)時(shí)間：2013--06--28目錄TOC\o"1-3"\h\u24176目錄-1-27660一、需求分析-1-241391.1工程項(xiàng)目概況-1-149811.2信息點(diǎn)分布情況-1-164851.3用戶(hù)需求分析-3-1229二、網(wǎng)絡(luò)方案設(shè)計(jì)-4-11352.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹-4-292252.2校園拓?fù)鋱D-5-106372.3校園光纖分布圖-5-282462.4網(wǎng)絡(luò)設(shè)計(jì)-6-22795核心層網(wǎng)絡(luò)設(shè)計(jì)-6-16367匯聚層網(wǎng)絡(luò)設(shè)計(jì)-6-24489接入層網(wǎng)絡(luò)設(shè)計(jì)-7-26363廣域網(wǎng)互聯(lián)設(shè)計(jì)-7-129172.5綜合布線(xiàn)-8-11499三、IP地址規(guī)劃-9-254183.1IP地址規(guī)劃原則-9-229343.2方案特點(diǎn)-9-19052四、網(wǎng)絡(luò)技術(shù)選用-10-237884.1路由協(xié)議——OSPF-10-55924.2鏈路聚合技術(shù)-10-316124.3NAT的描述及策略路由的實(shí)現(xiàn) -11-133794.4ACL<訪(fǎng)問(wèn)控制列表> -11-153694.5VLAN<虛擬局域網(wǎng)> -12-2174.6網(wǎng)絡(luò)QoS設(shè)計(jì)-12-17124.7ＶＴＰ協(xié)議-13-32322五、網(wǎng)絡(luò)設(shè)備選型-13-10876六、總結(jié)-14-8816七、參考文獻(xiàn)-17-一、需求分析1.1工程項(xiàng)目概況學(xué)校為了加快信息化建設(shè),新的校園網(wǎng)網(wǎng)將建設(shè)一個(gè)以校園辦公自動(dòng)化、電子商務(wù)、業(yè)務(wù)綜合管理、多媒體視頻會(huì)議、遠(yuǎn)程通訊、信息發(fā)布及查詢(xún)?yōu)楹诵?以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托,技術(shù)先進(jìn)、擴(kuò)展性強(qiáng),將校園的各種辦公室、多媒體會(huì)議室、PC終端設(shè)備、應(yīng)用系統(tǒng)通過(guò)網(wǎng)絡(luò)連接起來(lái),實(shí)現(xiàn)內(nèi)、外溝通的現(xiàn)代化計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動(dòng)化、供應(yīng)鏈管理、ERP以及各應(yīng)用系統(tǒng)運(yùn)行的基礎(chǔ)設(shè)施,為了確保這些關(guān)鍵應(yīng)用系統(tǒng)的正常運(yùn)行、安全和發(fā)展,系統(tǒng)必須具備如下的特性：采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)完成校園網(wǎng)網(wǎng)的建設(shè),實(shí)現(xiàn)校園各的信息化；在整個(gè)校園內(nèi)實(shí)現(xiàn)所有部門(mén)的辦公自動(dòng)化,提高工作效率和管理服務(wù)水平；在整個(gè)校園內(nèi)實(shí)現(xiàn)資源共享、產(chǎn)品信息共享、實(shí)時(shí)新聞發(fā)布；在整個(gè)校園內(nèi)實(shí)現(xiàn)財(cái)務(wù)電算化；在整個(gè)校園內(nèi)內(nèi)實(shí)現(xiàn)集中式的供應(yīng)鏈管理系統(tǒng)和客戶(hù)服務(wù)關(guān)系管理系統(tǒng)；具體要求如下：學(xué)院采用1000M做骨干,100M到桌面。網(wǎng)絡(luò)應(yīng)有安全措施防止外部攻擊。網(wǎng)絡(luò)中心5臺(tái)數(shù)據(jù)服務(wù)器將需要5個(gè)1000M接口,1臺(tái)WEB服務(wù)器占用1個(gè)100M電接口,網(wǎng)管4臺(tái),需要4個(gè)100M接口,需要預(yù)留5個(gè)100M接口作為備用；校園監(jiān)控系統(tǒng)需要4個(gè)1000M接口.辦公區(qū),教學(xué)區(qū),教工宿舍,學(xué)生宿舍,圖書(shū)館,活動(dòng)中心,這些區(qū)域的網(wǎng)絡(luò)不能在同一個(gè)局域網(wǎng)中。接入端要使用防火墻。學(xué)校要具有WWW服務(wù)、E-mail服務(wù)、FTP服務(wù)以及撥號(hào)上網(wǎng)服務(wù)。獨(dú)立的校園內(nèi)部行政管理系統(tǒng)、能實(shí)現(xiàn)多媒體教學(xué)和視頻點(diǎn)播服務(wù)。1.2信息點(diǎn)分布情況該學(xué)校涉及20棟樓宇：4棟宿辦樓、1棟綜合辦公樓、東西2棟輔助辦公樓、1棟教工食堂、東西4棟主教學(xué)樓主教學(xué)樓、1號(hào)綜合實(shí)驗(yàn)樓、2號(hào)綜合實(shí)驗(yàn)樓、4棟學(xué)生公寓樓、1棟學(xué)生食堂洗浴中心大樓。網(wǎng)絡(luò)中心設(shè)置在西輔助辦公樓三樓?！残@平面圖如圖1-1圖1-1校園平面圖經(jīng)統(tǒng)計(jì)后,獲得信息點(diǎn)分布統(tǒng)計(jì)表表1-1校園信息點(diǎn)分布統(tǒng)計(jì)表1.3用戶(hù)需求分析為保證高帶寬、又多種視頻、音頻、數(shù)據(jù)流混雜在一起進(jìn)行傳輸,就要對(duì)流做出最高優(yōu)先級(jí)和次高優(yōu)先級(jí)及底優(yōu)先級(jí)的分類(lèi),才能保證重要數(shù)據(jù)的暢通,不會(huì)造成網(wǎng)絡(luò)延遲、服務(wù)不可用。所以通過(guò)采用端到端的QOS,智能到邊緣應(yīng)用方式,可以減少對(duì)網(wǎng)絡(luò)核心設(shè)備的消耗,這樣保證了網(wǎng)絡(luò)的有效暢通?？梢詫?duì)園區(qū)網(wǎng)應(yīng)用中的,多媒體視頻點(diǎn)播服務(wù)、數(shù)據(jù)備份服務(wù)、文獻(xiàn)傳遞服務(wù)、E-mail服務(wù)、數(shù)據(jù)庫(kù)服務(wù)器等服務(wù)。對(duì)不同服務(wù)流進(jìn)行詳細(xì)的分類(lèi),劃分優(yōu)先級(jí),以及盡可能地避免發(fā)生擁塞。同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行,充分利用現(xiàn)有的帶寬。在園區(qū)網(wǎng)絡(luò)中,存在多樣的網(wǎng)絡(luò)設(shè)備及系統(tǒng)應(yīng)用環(huán)境,并且要考慮在用戶(hù)迅速增長(zhǎng)的今天,考慮到網(wǎng)絡(luò)設(shè)備的可擴(kuò)展性。保證在多樣網(wǎng)絡(luò)設(shè)備,用戶(hù)不斷增加的環(huán)境中,仍能保證網(wǎng)絡(luò)暢通。所以萬(wàn)兆骨干網(wǎng)絡(luò)平臺(tái)就應(yīng)具有良好的兼容性和可擴(kuò)展性,能與當(dāng)前校園網(wǎng)絡(luò)無(wú)縫銜接,同時(shí)預(yù)留空間符合當(dāng)前和以后的信息建設(shè)需要和足夠的升級(jí)空間。在校園網(wǎng)絡(luò)建設(shè)中存在多用戶(hù),多服務(wù)的現(xiàn)狀。帶來(lái)了對(duì)網(wǎng)絡(luò)系統(tǒng)要求具有高效率等,以保證大數(shù)據(jù)量訪(fǎng)問(wèn)下有效的處理能力。針對(duì)需求設(shè)備要能對(duì)數(shù)據(jù)做到分布式處理,這樣的分布式處理可以節(jié)省主交換引擎的消耗。使數(shù)據(jù)在獨(dú)立的板卡上就能做出對(duì)數(shù)據(jù)的識(shí)別,這樣比在中央處理器識(shí)別要快的多。并在大量的數(shù)據(jù)應(yīng)用,數(shù)據(jù)傳輸?shù)倪^(guò)程中,要保證所有硬件設(shè)備都可以進(jìn)行快速的轉(zhuǎn)發(fā),要具備高背板帶寬〔交換容量,所有端口都能保證線(xiàn)速轉(zhuǎn)發(fā)。這種分布式處理可以極大地提高整體處理能力,保證了網(wǎng)絡(luò)暢通。為使網(wǎng)絡(luò)穩(wěn)定可靠,即使在設(shè)備出現(xiàn)問(wèn)題時(shí)切換到備用設(shè)備的過(guò)程中,也要保證較小的延遲,以滿(mǎn)足網(wǎng)絡(luò)應(yīng)用中的有效暢通的需要。利用冗余的管理交換引擎、冗余的電源等關(guān)鍵部件的冗余,支持〔802.1D、802.1W802.1S多Vlan保證鏈路級(jí)的冗余和負(fù)載均衡,支持VRRP、OSPF等三層路由協(xié)議保證路由級(jí)的冗余。全方位的完全保證了設(shè)備、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的可靠性。該校園網(wǎng)的信息點(diǎn)分布很廣,校園網(wǎng)用戶(hù)的流動(dòng)性大,信息點(diǎn)存在隨意接入使用的問(wèn)題。學(xué)生及外來(lái)不明身份的用戶(hù),在校園網(wǎng)中找到任何一個(gè)信息點(diǎn),就可以進(jìn)入到校園網(wǎng),可以肆意干擾和破壞校園網(wǎng)網(wǎng)絡(luò)平臺(tái)及應(yīng)用系統(tǒng)的正常運(yùn)行。另外校園網(wǎng)的網(wǎng)絡(luò)安全,還需要考慮與外網(wǎng)及內(nèi)網(wǎng)不同應(yīng)用系統(tǒng)之間的安全訪(fǎng)問(wèn)控制。為了發(fā)生安全事件后,能夠有效、快捷地處理事故,采用上網(wǎng)審計(jì)手段是十分有必要的。由于當(dāng)前類(lèi)似"沖擊波、震蕩波病毒"的肆虐,一個(gè)健壯的網(wǎng)絡(luò)應(yīng)該提供必要的手段,禁止特定病毒的傳播以及由于病毒造成的流量擁塞。二、網(wǎng)絡(luò)方案設(shè)計(jì)2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹在此次校園網(wǎng)的設(shè)計(jì)中,我們采用層次化模型,將整個(gè)網(wǎng)絡(luò)分為三層結(jié)構(gòu)來(lái)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),將該層次結(jié)構(gòu)和星型模型結(jié)合起來(lái)。所謂"層次化"模型,就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次,每個(gè)層次著重于某些特定的功能,這樣就能夠使一個(gè)復(fù)雜的大問(wèn)題變成許多簡(jiǎn)單的小問(wèn)題。星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu),它是以一臺(tái)中心處理機(jī)〔通信設(shè)備為主而構(gòu)成的網(wǎng)絡(luò),其它入網(wǎng)機(jī)器僅與該中心處理機(jī)之間有直接的物理鏈路,中心處理機(jī)采用分時(shí)或輪詢(xún)的方法為入網(wǎng)機(jī)器服務(wù),所有的數(shù)據(jù)必須經(jīng)過(guò)中心處理機(jī)本方案的設(shè)計(jì)將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下,本著嚴(yán)謹(jǐn)、慎重的態(tài)度,從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實(shí)施過(guò)程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計(jì),采用了核心層,匯聚層,接入層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。這樣設(shè)計(jì)的優(yōu)點(diǎn)是

〔1控制簡(jiǎn)單。任何一站點(diǎn)只和中央節(jié)點(diǎn)相連接,因而介質(zhì)訪(fǎng)問(wèn)控制方法簡(jiǎn)單,致使訪(fǎng)問(wèn)協(xié)議也十分簡(jiǎn)單。易于網(wǎng)絡(luò)監(jiān)控和管理。

〔2故障診斷和隔離容易。中央節(jié)點(diǎn)對(duì)連接線(xiàn)路可以逐一隔離進(jìn)行故障檢測(cè)和定位,單個(gè)連接點(diǎn)的故障只影響一個(gè)設(shè)備,不會(huì)影響全網(wǎng)。

〔3方便服務(wù)。中央節(jié)點(diǎn)可以方便地對(duì)各個(gè)站點(diǎn)提供服務(wù)和網(wǎng)絡(luò)重新配置?；谀壳皩W(xué)校規(guī)模及發(fā)展的角度考慮,骨干網(wǎng)絡(luò)采用雙核心的拓?fù)浣Y(jié)構(gòu),核心層放置了雙核心交換機(jī)是為了當(dāng)其中一臺(tái)設(shè)備出現(xiàn)問(wèn)題的時(shí)候,另一臺(tái)設(shè)備能夠繼續(xù)起作用,以保證校園網(wǎng)的暢通。保證核心的穩(wěn)定。在西輔助辦公樓采用萬(wàn)兆的三層交換機(jī)設(shè)備,匯聚層千兆連接接入中端交換機(jī)；服務(wù)器千兆接入到核心交換機(jī)上；百兆到桌面；ISP通過(guò)防火墻連接到核心交換機(jī)上。出于管理和安全方面角度考慮,在全網(wǎng)可采用IP+MAC綁定方式,全網(wǎng)分布式采用ACL,并按照部門(mén)劃分VLAN,劃分相應(yīng)的權(quán)限,保證學(xué)生機(jī)房用機(jī)對(duì)教學(xué)辦公網(wǎng)沒(méi)有訪(fǎng)問(wèn)權(quán)限,只能訪(fǎng)問(wèn)校內(nèi)服務(wù)器及外網(wǎng)；IP分配：在辦公區(qū)采用靜態(tài)IP劃分,在學(xué)生區(qū)及移動(dòng)性較大的辦公區(qū)可補(bǔ)充性采用DHCP動(dòng)態(tài)獲得IP地址。2.2校園拓?fù)鋱D圖2-2校園拓?fù)鋱D2.3校園光纖分布圖圖2-3校園光纖分布圖注：根據(jù)校園平面圖和拓?fù)鋱D情況來(lái)看,把匯聚層設(shè)備間放在圖書(shū)館大樓,東主教學(xué)2號(hào)樓和綜合辦公樓中,通過(guò)光纖連接網(wǎng)管中心到各個(gè)匯聚層設(shè)備間,然后再通過(guò)光纖連接到個(gè)接入層各設(shè)備間。2.4網(wǎng)絡(luò)設(shè)計(jì)核心層網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)中心節(jié)點(diǎn)及其它核心節(jié)點(diǎn)作為校園網(wǎng)絡(luò)系統(tǒng)的心臟,必須提供全線(xiàn)速的數(shù)據(jù)交換,當(dāng)網(wǎng)絡(luò)流量較大時(shí),對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個(gè)網(wǎng)絡(luò)的交換中心,在保證高性能、無(wú)阻塞交換的同時(shí),還必須保證穩(wěn)定可靠的運(yùn)行。因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。具體來(lái)說(shuō)核心節(jié)點(diǎn)的交換機(jī)有兩個(gè)基本要求：1高密度端口情況下,還能保持各端口的線(xiàn)速轉(zhuǎn)發(fā)；2關(guān)鍵模塊必須冗余,如管理引擎、電源、風(fēng)扇。由于校園網(wǎng)對(duì)外傳輸?shù)臄?shù)據(jù)是巨大的,所以我們需要考慮校園網(wǎng)對(duì)外出口的帶寬大小的問(wèn)題,因此需要考慮到核心設(shè)備對(duì)萬(wàn)兆的支持能力。綜上所述,主干核心交換機(jī)屬于高端系列的產(chǎn)品,所以在本方案中,核心交換機(jī)建議采用多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)?？梢愿鶕?jù)用戶(hù)的需求靈活配置,靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。所以我們使用兩臺(tái)DCRS-7604<R3>的交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。DCRS-7604<R3>核心路由交換機(jī)是神州數(shù)碼推出的萬(wàn)兆核心路由交換機(jī),DCRS-7604<R3>核心路由交換機(jī)在保障高性能大容量的基礎(chǔ)上提供強(qiáng)大的安全防護(hù)能力,并且擁有業(yè)務(wù)按需疊加擴(kuò)展能力,達(dá)到業(yè)務(wù)和性能并重的設(shè)計(jì)需求。目前提供4插槽核心路由交換機(jī)機(jī)箱,電源1＋1冗余,標(biāo)配1個(gè)MRS-PWR-A1-AC交流電源,1個(gè)熱插拔風(fēng)扇盤(pán)。。核心層交換機(jī)跟匯聚接入層交換機(jī)之間的千兆鏈路可以捆綁,從而實(shí)現(xiàn)帶寬的靈活擴(kuò)展。為用戶(hù)提供完整的端到端解決方案,是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇,在此方案中,校區(qū)網(wǎng)絡(luò)中心采用DCRS-7604<R3>多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)作為核心交換機(jī)。核心層交換機(jī)跟匯聚接入層交換機(jī)之間的千兆鏈路可以捆綁,從而實(shí)現(xiàn)帶寬的靈活擴(kuò)展。匯聚層網(wǎng)絡(luò)設(shè)計(jì)以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供能力,而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴(lài)于網(wǎng)絡(luò)的匯聚層或核心層設(shè)備,這給匯聚層和核心層設(shè)備帶來(lái)了巨大的壓力,往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致核心層設(shè)備癱機(jī),使網(wǎng)絡(luò)沒(méi)有QOS服務(wù)質(zhì)量保障。DCS-5950接入交換機(jī)是能滿(mǎn)足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境智能交換機(jī),具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn),同時(shí)還具有領(lǐng)先的安全特性,進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層面的安全控制能力。用戶(hù)可以根據(jù)需要來(lái)訂制自身的安全策略并部署在此交換機(jī)上。該產(chǎn)品具備的端口帶寬限制、端口鏡像、QoS、端口安全、廣播風(fēng)暴抑制等功能可以很好的協(xié)助用戶(hù)實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。除此之外,此交換機(jī)還具備多個(gè)專(zhuān)用堆疊接口,可以滿(mǎn)足樓層,樓宇內(nèi)多個(gè)交換機(jī)高性能匯聚的需要。匯聚層作為匯聚接入層的設(shè)備,推薦使用中端路由交換機(jī)設(shè)備,神州數(shù)碼的DCRS-5950-24<R3>交換機(jī)滿(mǎn)足此要求。2.4.3接入層網(wǎng)絡(luò)設(shè)計(jì)接入層通常指網(wǎng)絡(luò)中直接面向用戶(hù)連接或訪(fǎng)問(wèn)的部分。接入層目的是允許終端用戶(hù)連接到網(wǎng)絡(luò),因此接入層交換機(jī)具有低成本和高端口密度特性。DCS-3950二層交換機(jī)是能滿(mǎn)足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境智能交換機(jī),具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn),同時(shí)還具有領(lǐng)先的安全特性,進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層面的安全控制能力。用戶(hù)可以根據(jù)需要來(lái)訂制自身的安全策略并部署在此交換機(jī)上。該產(chǎn)品具備的端口帶寬限制、端口鏡像、QoS、端口安全等功能可以很好的協(xié)助用戶(hù)實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。除此之外,此交換機(jī)還具備多個(gè)專(zhuān)用堆疊接口,可以滿(mǎn)足樓層,樓宇內(nèi)多個(gè)交換機(jī)高性能匯聚的需要。此處我們選用神州數(shù)碼的DCS-3950-52C和DCS-3950-28C交換機(jī),信息點(diǎn)少的大樓我們選擇具有24口以太網(wǎng)接口的DCS-3950-28C,信息點(diǎn)多的地方選用48口以太網(wǎng)接口的DCS-3950-52C交換機(jī)。并且選了10臺(tái)神州數(shù)碼的無(wú)線(xiàn)路由器以提供無(wú)線(xiàn)方式接入互聯(lián)網(wǎng)。廣域網(wǎng)互聯(lián)設(shè)計(jì)由于從ＩＳＰ連接到學(xué)校的核心交換機(jī)的帶寬是非常的高的,所以此處我們?yōu)閮膳_(tái)核心交換機(jī)選擇了兩個(gè)神州數(shù)碼的XFP-ER萬(wàn)兆接口卡模塊,以滿(mǎn)足帶寬需求。

由于學(xué)校校園網(wǎng)絡(luò)需要對(duì)外出口,所以學(xué)校校園網(wǎng)的設(shè)計(jì)需要考慮到網(wǎng)絡(luò)安全的問(wèn)題,一般情況,我們將硬件防火墻放在網(wǎng)絡(luò)對(duì)外出口的地方。針對(duì)該校園的規(guī)模,我們這里選用DCFW-1800S-H-V2<R3>小型企業(yè)級(jí)防火墻神州數(shù)碼DCFW-1800S-H-V2<R3>防火墻,網(wǎng)絡(luò)吞吐量為200Mbps,并發(fā)連接數(shù)為256000,同時(shí)能檢測(cè)Dos、DDos,能管理SSH、HTTP、HT、等。也支持VPN技術(shù)。神州數(shù)碼DCFW-1800S-H-V2<R3>防火墻內(nèi)置5個(gè)10/100/1000M自適應(yīng)以太網(wǎng)電口,接口模塊類(lèi)型支持單模、多模光纖,千兆電口,充分滿(mǎn)足您的定制需求。同時(shí)采用流量控制技術(shù),能方便流量管理,并與防火墻一起,等網(wǎng)絡(luò)安全設(shè)備協(xié)同構(gòu)建一個(gè)主動(dòng)的安全威脅防御體系的功能,以提升整個(gè)網(wǎng)絡(luò)的安全防護(hù)能力,從而更好地保證網(wǎng)絡(luò)流量。2.5綜合布線(xiàn)布線(xiàn)系統(tǒng)設(shè)計(jì)結(jié)構(gòu)化布線(xiàn)應(yīng)該滿(mǎn)足以下目標(biāo)：滿(mǎn)足學(xué)院各大樓主要需求,同時(shí)兼顧未來(lái)升級(jí)能更好的實(shí)施滿(mǎn)足當(dāng)前和長(zhǎng)遠(yuǎn)的數(shù)據(jù)傳輸要求,兼顧質(zhì)量。布線(xiàn)系統(tǒng)遵循國(guó)際標(biāo)準(zhǔn)和國(guó)家建設(shè)部門(mén)和電信部門(mén)標(biāo)準(zhǔn),根據(jù)邏輯設(shè)計(jì)中的拓?fù)湫切徒Y(jié)構(gòu)采用國(guó)際標(biāo)準(zhǔn)施工。布線(xiàn)設(shè)備的安裝將支持語(yǔ)音、文本、視頻等綜合數(shù)據(jù)的高質(zhì)量傳輸,重點(diǎn)強(qiáng)調(diào)各設(shè)備的兼容問(wèn)題。布線(xiàn)系統(tǒng)信息出口主要才用現(xiàn)在流行的通用RJ45接口插座,按統(tǒng)一規(guī)格進(jìn)行線(xiàn)路鋪設(shè)和連接接口,使之?dāng)?shù)據(jù)暢通。各設(shè)備間布線(xiàn)設(shè)計(jì)：例.辦公大樓綜合布線(xiàn)圖：三、IP地址規(guī)劃3.1IP地址規(guī)劃原則IP地址構(gòu)成了整個(gè)Internet的基礎(chǔ),IP地址資源是整個(gè)Internet的基本核心資源,IP地址資源的合理分配和有效利用是整個(gè)Internet發(fā)展過(guò)程中持續(xù)有效的一個(gè)極具分量的研究課題。因?yàn)樾@內(nèi)部網(wǎng)絡(luò)是使用的私有地址,所以這里直接使用了C類(lèi)的/24地址來(lái)劃分。在內(nèi)部網(wǎng)絡(luò)出口處,采用了獲得的個(gè)公網(wǎng)地址,進(jìn)行動(dòng)態(tài)NAT轉(zhuǎn)換,這樣便能實(shí)現(xiàn)全部通信。該校園因?yàn)楦鱾€(gè)部分信息點(diǎn)都不算太大,所以用普通的C類(lèi)地址便可。所以IP地址及VLAN劃分如下：3.2方案特點(diǎn)本ＩＰ分配方案充分考慮了信息點(diǎn)數(shù)量,做到了能讓學(xué)校的每個(gè)信息點(diǎn)都能得到ＩＰ地址本ＩＰ分配方案為每個(gè)區(qū)域分配了遠(yuǎn)遠(yuǎn)大于學(xué)校要求的信息點(diǎn)的數(shù)量的ＩＰ地址,為以后增加網(wǎng)絡(luò)信息點(diǎn)做好準(zhǔn)備。分配方案采用了虛擬局域網(wǎng)網(wǎng)技術(shù),使各個(gè)區(qū)域的網(wǎng)絡(luò)不在同一個(gè)局域網(wǎng),增強(qiáng)了網(wǎng)絡(luò)的安全性,并讓某些不在同一個(gè)地點(diǎn)的網(wǎng)絡(luò)能處在同一個(gè)局域網(wǎng)內(nèi),為網(wǎng)絡(luò)的使用帶來(lái)便利。四、網(wǎng)絡(luò)技術(shù)選用4.1路由協(xié)議——OSPF在網(wǎng)絡(luò)骨干核心層和核心層以及匯聚層上需要使用三層設(shè)備為網(wǎng)絡(luò)內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同vlan間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時(shí),我們采用OSPF協(xié)議作為路由協(xié)議。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個(gè)網(wǎng)絡(luò)的鏈路信息,從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu),獨(dú)立計(jì)算路由。因?yàn)镽IP路由協(xié)議不能服務(wù)于大型網(wǎng)絡(luò),所以,IETF的IGP工作組特別開(kāi)發(fā)出鏈路狀態(tài)協(xié)議——OSPF。目前廣為使用的是OSPF第二版,最新標(biāo)準(zhǔn)為RFC2328。OSPF作為一種內(nèi)部網(wǎng)關(guān)協(xié)議〔InteriorGatewayProtocol,IGP,用于在同一個(gè)自治域〔AS中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議<RIP>,OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn),在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。4.2鏈路聚合技術(shù)鏈路聚合技術(shù),支持IEEE802.3協(xié)議,是一種用在交換機(jī)與交換機(jī)之間擴(kuò)大通信吞吐量、提高可靠性的技術(shù),也稱(chēng)骨干連接。當(dāng)兩臺(tái)中心交換機(jī)采用聚合鏈路PortTrunking技術(shù)后,該技術(shù)可以使交換機(jī)之間連接最多4條負(fù)載均衡的冗余連接。當(dāng)某一臺(tái)核心交換機(jī)出現(xiàn)故障或核心交換機(jī)與接入層/匯聚層交換機(jī)的某一條互聯(lián)線(xiàn)路出現(xiàn)故障時(shí),系統(tǒng)將通信業(yè)務(wù)快速自動(dòng)切換到另一臺(tái)正常工作的核心層交換機(jī)上,以使整個(gè)網(wǎng)絡(luò)具備高容量、無(wú)阻塞、高可靠的能力。作為一個(gè)較為完整的校園網(wǎng)實(shí)現(xiàn),路由、交換與遠(yuǎn)程訪(fǎng)問(wèn)技術(shù)缺一不可。4.3NAT的描述及策略路由的實(shí)現(xiàn)在組建網(wǎng)絡(luò)時(shí),為了節(jié)約地址,我們?cè)趦?nèi)部使用保留的私有地址段中的地址,但是使用私有地址不能訪(fǎng)問(wèn)Internet,所以必須申請(qǐng)多個(gè)公開(kāi)地址配置在和Internet相連的局域網(wǎng)邊緣設(shè)備上。應(yīng)用NAT進(jìn)行地址轉(zhuǎn)換。NAT是網(wǎng)絡(luò)地址翻譯技術(shù),在路由器上起用NAT之后,可以在部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的IP翻譯成外部公網(wǎng)的IP。配置基于策略的路由選擇時(shí),可使用路由映射表來(lái)指定基于IP地址,應(yīng)用程序,協(xié)議或者分組長(zhǎng)度的條件?；诓呗缘穆酚蛇x擇命令對(duì)中選的路由實(shí)現(xiàn)策略。基于策略的路由和靜態(tài)路由有很多共同之處。然而,靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò)地址來(lái)轉(zhuǎn)換分組,而策略路由根據(jù)源地址來(lái)轉(zhuǎn)發(fā)分組。在路由選擇表中使用訪(fǎng)問(wèn)列表時(shí),可根據(jù)諸如目標(biāo)地址,分組長(zhǎng)度,IP協(xié)議字段,優(yōu)先級(jí)或端口號(hào)來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛,更細(xì)致的條件,并根據(jù)這些條件來(lái)決定下一跳路由器。4.4ACL<訪(fǎng)問(wèn)控制列表>訪(fǎng)問(wèn)列表為我們提供了一種對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行有效管理的方法,通過(guò)訪(fǎng)問(wèn)列表,我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過(guò)路由器,或者允許或者拒絕具體的某些端口進(jìn)行訪(fǎng)問(wèn)和使用,如果滿(mǎn)足條件則執(zhí)行相應(yīng)的操作,放行這個(gè)包或者放棄這個(gè)包。我們通過(guò)這些設(shè)置來(lái)滿(mǎn)足實(shí)際網(wǎng)絡(luò)的靈活需求,從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策略,防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪(fǎng)問(wèn)的情況。在具體實(shí)現(xiàn)過(guò)程中從技術(shù)上來(lái)說(shuō)我們需要了解到ACL分為兩種類(lèi)型,他們分別是標(biāo)準(zhǔn)訪(fǎng)問(wèn)列表<Standardaccesslists>和擴(kuò)展訪(fǎng)問(wèn)列表〔Extendsaccesslists前者在過(guò)濾網(wǎng)絡(luò)的時(shí)候只使用IP數(shù)據(jù)報(bào)的源地址,那么在使用這種訪(fǎng)問(wèn)列表的情況下它做出允許或者拒絕這個(gè)決定完全是依賴(lài)于源IP地址,它無(wú)法區(qū)分具體的流量類(lèi)型。而擴(kuò)展訪(fǎng)問(wèn)列表則可以提供更細(xì)的決定,它可以具體到端口,從而精確到某一個(gè)服務(wù),比如對(duì)WEB,FTP的訪(fǎng)問(wèn)等,給我們網(wǎng)絡(luò)的策略提供了更細(xì)的控制手段。我們利用這種訪(fǎng)問(wèn)列表進(jìn)行協(xié)議級(jí)的控制以達(dá)到對(duì)網(wǎng)絡(luò)一個(gè)有效的管理。標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表一般放在靠近目標(biāo)的路由器上,而擴(kuò)展訪(fǎng)問(wèn)控制列表一般放于近源端的路由器上。4.5VLAN<虛擬局域網(wǎng)>VLAN虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分廣播域的技術(shù),通過(guò)這種劃分,我們可以把物理位置上分離的網(wǎng)絡(luò)設(shè)備在邏輯上劃為同一個(gè)廣播域,或者把物理位置上鄰近的網(wǎng)絡(luò)設(shè)備劃為不同的廣播域,從而更方便我們管理和做一個(gè)邏輯層次的劃分。從技術(shù)上說(shuō)VLAN可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN,那么靜態(tài)的VLAN是基于交換機(jī)端口進(jìn)行劃分,根據(jù)網(wǎng)絡(luò)設(shè)備連接不同的交換機(jī)端口,則進(jìn)入相應(yīng)的VLAN。動(dòng)態(tài)VLAN則更靈活,它可以根據(jù)接入計(jì)算機(jī)的IP地址,MAC地址,甚至是用戶(hù)的登陸賬號(hào)做出相應(yīng)的處理,把計(jì)算機(jī)劃分進(jìn)相應(yīng)的VLAN中,這樣就為我們實(shí)際的網(wǎng)絡(luò)管理帶來(lái)了比較大的方便性和靈活性。那么在我們的企業(yè)網(wǎng)方案中,我們希望通過(guò)使用VLAN技術(shù)進(jìn)行劃分達(dá)到以下目的：隔離,劃分廣播域,減小不必要的廣播流量,從而提高整個(gè)網(wǎng)絡(luò)的利用效率。4.6網(wǎng)絡(luò)QoS設(shè)計(jì)為確保教學(xué)區(qū)數(shù)據(jù)流量的高質(zhì)量傳輸,必須采取全面而系統(tǒng)的QoS設(shè)計(jì)<提供端到端QoS服務(wù)>,以保證重要的數(shù)據(jù)流在網(wǎng)絡(luò)發(fā)生擁塞時(shí)獲得有保證的吞吐量和最低的延時(shí)；為了保證端到端用戶(hù)的服務(wù)質(zhì)量,因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡(luò)設(shè)備都支持實(shí)施的QoS策略,核心設(shè)備是多個(gè)服務(wù)器接入的設(shè)備,并且擔(dān)負(fù)著全網(wǎng)數(shù)據(jù)的交換,QoS的能力影響著全網(wǎng)的服務(wù)質(zhì)量保障能力。QoS工作原理如圖所示在骨干網(wǎng)絡(luò)網(wǎng)絡(luò)中,由于信息資源集中于骨干網(wǎng)絡(luò)網(wǎng)絡(luò)中心,為保證全網(wǎng)的QoS,要求資源中心核心交換機(jī)、分中心交換機(jī)和接入交換機(jī)均支持第三層的QoS標(biāo)注方案,而二層的802.1P標(biāo)記對(duì)于骨干網(wǎng)絡(luò)這樣的網(wǎng)絡(luò)并沒(méi)有實(shí)際意義,因?yàn)?02.1P的標(biāo)記不能在交換機(jī)之間傳遞,只能在本機(jī)上有用。通過(guò)從核心到接入設(shè)備全程對(duì)QoS的良好支持,全部硬件提供二到四層數(shù)據(jù)流交換,實(shí)現(xiàn)應(yīng)用感知的功能,給予多媒體辦公應(yīng)用提供透明的QoS保障,確保真正的端到端的QoS的實(shí)現(xiàn)。4.７ＶＴＰ協(xié)議我們?yōu)榫W(wǎng)絡(luò)中劃分了大量的ＶＬＡＮ,但在校園網(wǎng)絡(luò)的交換機(jī)數(shù)量又不止一臺(tái)兩臺(tái)的情況下,我們?yōu)槊颗_(tái)交換機(jī)都手動(dòng)配置ＶＬＡＮ的工作量將會(huì)是巨大的,所以我們采用了ＶＴＰ技術(shù),ＶＴＰ提供了一種用于管理全部VLAN的方法,該協(xié)議使得我們可以在一個(gè)或者幾個(gè)中央點(diǎn)上創(chuàng)建,修改,刪除VLAN,這些信息通過(guò)TRUNK鏈路自動(dòng)擴(kuò)散到其他交換機(jī)。這樣,我們就不必到每臺(tái)交換機(jī)上去配置VLAN信息。大大簡(jiǎn)化了網(wǎng)絡(luò)建設(shè)的工作量。五、網(wǎng)絡(luò)設(shè)備選型表2-2-4.1設(shè)備清單表2-2-4.2模塊及其他六、總結(jié)通過(guò)一周的訓(xùn)練,我明白了做任何事都不是一件容易的事情,都要經(jīng)過(guò)周密的論證、謹(jǐn)慎的決策、緊張的施工和科學(xué)的管理。學(xué)習(xí)也不是簡(jiǎn)單的事,任何一件看起來(lái)簡(jiǎn)單的事情,想要把它做好,都要付出很大的努力,就像拓?fù)鋱D和光纖分布圖,都是經(jīng)過(guò)一遍又一遍的修改才算弄對(duì)。一個(gè)看似簡(jiǎn)單的word文檔,都蘊(yùn)含很大的學(xué)問(wèn),想要寫(xiě)好也需要付出。所以,當(dāng)你付出的越多,收獲也就越多。其次就是團(tuán)隊(duì)的合作,要明確每個(gè)人的優(yōu)點(diǎn),再合理地分配工作,"投其所好"很重要。但是最大的還是成員的態(tài)度問(wèn)題,有的是即使不會(huì),也會(huì)努力去學(xué)習(xí),但是也有不愿意加入一起學(xué)習(xí)的同學(xué)。通過(guò)這次專(zhuān)周,我發(fā)現(xiàn)自己最大的缺點(diǎn)就是東西都會(huì)一點(diǎn),但是都學(xué)得很膚淺。要不是老師一步一步的指導(dǎo),可能我們的成果也會(huì)很差,所以還是很感謝老師的指導(dǎo)。胡甜本人通過(guò)專(zhuān)周訓(xùn)練,使我接觸到了很多沒(méi)有接觸過(guò)的新知識(shí),同時(shí)也學(xué)到了很多,增長(zhǎng)了見(jiàn)識(shí),也認(rèn)識(shí)到當(dāng)設(shè)計(jì)師的不容易,當(dāng)優(yōu)秀的網(wǎng)絡(luò)設(shè)計(jì)師更加不容易,更加認(rèn)識(shí)到自己對(duì)相關(guān)知識(shí)的匱乏,以后還需要更多的努力,學(xué)習(xí)更多的專(zhuān)業(yè)知識(shí)。雖然我們盡了最大的努力,但是由于經(jīng)驗(yàn)不足,及學(xué)習(xí)過(guò)程中的疏忽,錯(cuò)漏之處在所難免,從整體上說(shuō),我們通過(guò)以上的分析布局已基本上展現(xiàn)了網(wǎng)絡(luò)工程硬件設(shè)計(jì)的全部過(guò)程,但是我們討論課題的局限性,還有很多的網(wǎng)絡(luò)技術(shù)沒(méi)有提到,如VPN,又如路由器的安裝與使用等等。由于建立了校園網(wǎng),一方面縮短了學(xué)校與外界的距離,利用電子郵件和Internet網(wǎng)站等服務(wù),擴(kuò)大了學(xué)與外界的交流；另一方面,構(gòu)建了以Intranet為基礎(chǔ)的管理信息系統(tǒng),推動(dòng)了學(xué)校的信息化建設(shè),為學(xué)校今后的發(fā)展準(zhǔn)備了條件。隨著學(xué)校的校園網(wǎng)建設(shè)的普及化,學(xué)校將會(huì)進(jìn)入一個(gè)科學(xué)管理和科學(xué)教學(xué)的新時(shí)代。胡凱強(qiáng)這次網(wǎng)絡(luò)工程專(zhuān)周我在我們組主要負(fù)責(zé)IP地址的分配和V-lan劃分,好在這個(gè)比較基礎(chǔ)并且網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和綜合布線(xiàn)由其他人完成。這樣只要像以前專(zhuān)周或者平時(shí)練習(xí)那樣分配好IP地址就好了,實(shí)際操作和軟件模擬也還是有點(diǎn)差距的,比如我們學(xué)校的網(wǎng)絡(luò)IP地址就分配的很不合理,這也是很多網(wǎng)絡(luò)工程的通病,很多時(shí)候中午聯(lián)網(wǎng)的時(shí)候銳捷客戶(hù)端會(huì)被彈下就是因?yàn)镮P不夠,深受其害的我們所以更加懂得IP地址合理分配的重要性,每一個(gè)地點(diǎn)都預(yù)留了足夠的IP從而杜絕了這種情況的發(fā)生,搞定了這一點(diǎn)再保證內(nèi)網(wǎng)、外網(wǎng)、DHCP的正常運(yùn)行就基本完成了我的IP劃分。唐緒光通過(guò)這次的專(zhuān)周,發(fā)現(xiàn)了自己的許多不足！也發(fā)