重大城科院校園網王發(fā)免 定稿

PAGEPAGE10重慶大學城市科技學院課程設計報告書課程名稱：《計算機網絡》課程設計專業(yè)班級：計算機科學與技術1班組長：王發(fā)免組員：陳金龍、李志堅、陳哲指導教師：王達恩副教授2009年6月30日重慶大學城市科技學院本科學生課程設計任務書課程設計題目《計算機網絡》課程設計學院電氣學院專業(yè)計算機科學技術年級2006級已知參數和設計要求：本課程設計的學生已經完成對《數據通信》、《計算機網絡》課程的學習，具備了具備局域網技術理論基礎知識。我院網絡實驗室可提供交換機、路由器、防火墻等相關的模擬實驗。學生應該完成從局域網絡設計、組網、互聯(lián)等內容，并能采用有關工具對局域網的網絡數據包進行抓取與分析，從而從總體上加深對局域網網絡協(xié)議及組建技術的理解與掌握。學生應完成的工作：1、設計一個Intranet網絡（校園網、企業(yè)網、政務網、醫(yī)院網絡或商業(yè)網），要求：1）實現與各部門相連，主干1000Mbps，100Mbps到部門，10Mbps到桌面。2）網絡具有先進性，五年內不換代，網絡硬件設備（交換機、路由器）服務器具有先進性；3）網絡操作系統(tǒng)，網絡數據庫系統(tǒng)具有先進性。進行虛擬局域網VLAN的劃分。4）設計并規(guī)劃隔離內、外網，設計防火墻。實現與Internet相連。2、交換以太網組網及VLAN配置、路由器的配置配置交換機，并在交換機上建立機遇端口的VLAN。理解VLAN的概念通過兩臺路由器連接三個IP子網；分別通過在兩臺路由器上建立靜態(tài)路由及OSPF動態(tài)路由實現三個IP子網的互連。要求在設計網絡拓撲結構并劃分IP子網的基礎上進行實驗。3、幀中繼、ATM、IP綜合實驗完成幀中繼FR綜合實驗、ATM綜合實驗和IP綜合實驗，熟悉FR、ATM和IP網絡接入技術。4、端口過濾防火墻的配置設計并規(guī)劃內、外網，配置基于端口過濾的防火墻，實現內外網間的訪問控制，包括TCP限制、ICMP限制及端口限制等。5、NAT的配置與應用設計并規(guī)劃內、外網，并以防火墻為代理實現內網對外網的訪問；同時，通過NAT技術建立內部IP與標準IP之間的映射關系，實現外網對內網指定服務器上規(guī)定端口的訪問。指定參考資料：1．王寶智等，局域網設計與組網實用教程，清華大學出版社2004.82．吳萬泉，局域網組建實例與應用DIY，人民郵電出版社出版2002.13．QuidwayS3500系列以太網交換機-操作手冊(V1.05)4．QuidwayS3500系列以太網交換機-命令手冊(V1.05)課程設計的工作計劃：整個課程設計學時數為20學時。課外預先準備時間4學時；設計Intranet網絡、配置及連通性測試2學時；交換以太網組網及VLAN2學時；路由器的配置2學時；端口過濾防火墻的配置2學時；NAT的配置與應用2學時。撰寫課程設計報告6學時。完成局域網絡課程設計報告方案書，打印裝訂成冊。任務書下達日期2009年6月22日完成日期2009年6月30日指導教師王達恩（簽名）學生王發(fā)免、陳金龍、李志堅、陳哲（簽名）重慶大學城市科技校園課程設計報告目錄一概述………………51.1學院概況…………………51.2組網目標…………………5二用戶需求分析……………52.1系統(tǒng)需求分析……………52.2用戶業(yè)務需求分析………62.3網絡功能需求分析………62.4網絡業(yè)務與最低帶寬……………………8三設備分析…………………8四組網技術分析……………94.1網絡技術選型……………94.2路由技術…………………94.3交換技術…………………94.4VLAN技術………………94.5遠程訪問技術……………94.6鏈路聚合技術……………104.7交換技術…………………104.8防火墻技術與DMZ………10五網絡總體設計方案5.1整體設計思路流程………115.2校園網拓撲結構整體描述………………115.3層次化設計………………125.4拓撲結構設計……………135.5主干網設計………………145.6校園網采用的協(xié)議標準…………………145.7校園網采用的操作系統(tǒng)…………………145.8網絡冗余設計……………14六設備選型6.1交換設備選型……………156.2服務器選型………………156.3路由器的選型……………156.4傳輸介質選型……………156.5需求硬件一覽表…………16七子網設計與VLAN劃分7.1.教學子網的設計…………167.2辦公子網的設計…………167.3圖書館子網的設計………167.4宿舍區(qū)子網及后勤子網等的設計………167.5VLAN劃分…………………177.6子網劃分表………………17八防火墻配置8.1防火墻原理………………178.2防火墻配置………………178.2.1防火墻配置步驟…………18.4.2防火墻配置的測試……………………1設計體會…………………21參考文獻………………22成員分工………………22一概述1.1學院概況重慶大學城市科技學院是經國家教育部批準設立的一所以本科教育為主的綜合性全日制普通高等學校。學院是按照教育部相關文件的有關規(guī)定，采用新的機制和模式運行的獨立學院，由重慶大學實施對學院的教學管理和質量監(jiān)督。學院充分利用重慶大學的雄厚師資力量，選聘具有較高教學水平和學術水平的教師任教。學院以全新的教育理念，先進的辦學模式，兼收并蓄，博采眾長，使莘莘學子全面發(fā)展、學有所長。重慶大學城市科技學院坐落在重慶市永川區(qū)，校園規(guī)劃用地1000畝，辦學規(guī)模為15000人。學院的教學樓、實驗樓、圖書館、學生公寓、食堂、體育場，教師住宅等教育教學基礎設施一應俱全。現代化的主教樓可以同時容納10000余名學生同時學習?，F有通用計算機機房18間、專業(yè)英語語音室12間、物理實驗室3間、建筑CAD實驗室2間以及建筑材料、建筑測量、電工基礎、電子技術、單片機、EDA、網絡技術、會計等多個多功能實驗室，同時有專業(yè)美術教室2間、美術作品陳列室1間、模型制作室1間以及模擬法庭1間。幽雅的校園環(huán)境和現代化的生活設施將為學生提供一個良好的學習和生活空間。1.2組網目標隨著計算機、網絡應用的不斷普及，學校管理也相應的發(fā)生著變化。如何能更加充分的利用學校現有的教學資源進行教學、管理，又能達到事半功倍的效果？校園網的實施為學校提供了很好的解決方法。校園網的建設是現代教育發(fā)展的必然趨勢，建設校園網不僅能夠更加合理有效地利用學?，F有的各種資源，而且為學校未來的不斷發(fā)展奠定了基礎，使之能夠適合信息時代的要求。校園網絡的建設及其與Internet的互聯(lián)，已經成為教育領域信息化建設的當務之急。校園網的設計目標簡而言之是將各種不同應用的信息資源通過高性能的網絡設備相互連接起來，形成校園區(qū)內部的Intranet系統(tǒng)，對外通過路由設備接入廣域網。具體而言這樣的設計目標應該是：建設一個以辦公自動化、計算機輔助教學、現代計算機校園文化為核心，以現代網絡技術為依托、技術先進、擴展性強、覆蓋全校樓宇的校園主干網絡，將學校的各種PC機工作站、終端設備和局域網等連接起來，并與有關廣域網相連:在網上宣傳和獲取教育資源;在此基礎上建立能滿足教學、科研和管理工作需要的軟、硬件環(huán)境;開發(fā)各類信息庫和應用系統(tǒng)，為學校各類人員提供充分的網絡信息服務;系統(tǒng)總體設計本著總體規(guī)劃、分布實施的原則，充分體現系統(tǒng)的技術先進性、高度的安全可靠性、良好的開放性、可擴展性，以及建設經濟性。二用戶需求分析2.1系統(tǒng)需求分析重慶大學城市科技學院位于永川市區(qū)內，校園網連接的建筑物有教學樓、行政樓、圖書館、實驗樓，學生住宿樓、食堂、教師宿舍、校園超市等信息結點共7500個。其中建筑物分布如下建筑物名稱數量（棟）位置距離（單位：米）教學樓2比較接近網絡中心200圖書館1網絡中心旁邊50辦公樓2網絡中心與圖書館之間50實驗樓1校園中心地帶0食堂2學生宿舍樓旁邊400校園超市4附近是食堂，教學樓300學生宿舍6靠近食堂和網絡中心400教師住宅1位于足球場旁1500A:建筑物以實驗樓為中心。B:建筑物之間的最大距離：位于足球場旁邊的教師住宅。C:信息點的數量如下：教學樓：主教400個信息點，普通教學樓200個信息點，共600個信息點。圖書館：300個信息點。辦公樓：行政樓300個信息點，7號樓200個信息點，共500個信息點。校園超市：50個信息點。學生宿舍：6*1000=6000個信息點。網絡中心：50個信息點。合計：7500個信息點2.2用戶業(yè)務需求分析要求設計一個連接教學樓、辦公樓、圖書館、教師住宅、校園超市、食堂、學生宿舍、網絡中心的校園網。其中主干1000Mbps實現與各部門相連，100Mbps到部門，10Mbps到，網絡具有先進性，保證五年內不換代，網絡硬件設備（交換機、路由器）服務器具有先進性；網絡操作系統(tǒng)，網絡數據庫系統(tǒng)具有先進性。進行虛擬局域網VLAN的劃分。設計并規(guī)劃隔離內、外網，設計防火墻。實現與Internet相連。2.3網絡功能需求分析2.3.1信息資源共享

通過校園網，實現學校內部，學校與國內、國際信息的快速交流，達到資源共享，使廣大師生及時了解國內外科學技術和高等教育發(fā)展的最新動態(tài)，促進教學、科研、管理事業(yè)的發(fā)展。

2.3.2圖書資料檢索、借閱自動化。

通過改造原有圖書檢索系統(tǒng)，建設電子圖書館，提高校內圖書資料的利用率；充分利用校外圖書資料，實現遠程計算機圖書檢索和借閱。

1.學校管理系統(tǒng)的信息化、自動化。

依托校園網，構建相應的交互式應用軟件平臺，實現教學、科研、人事、學生、財務、后勤、檔案等管理工作的自動化，實現統(tǒng)計監(jiān)測網絡化，提高管理效率和水平。實現網上招生、網上人才招聘、學生網上求職等。

2.建立計算機網絡輔助教學系統(tǒng)。

建立基于網絡的電子教學CAI課件開發(fā)、視頻點播（VOD）、網上題庫、答疑與作業(yè)批改等計算機輔助教學系統(tǒng)，實現教學手段的現代化。

3.依托校園網、廣域網開展遠程教學。

4.創(chuàng)建學院網站，使之成為對外宣傳的重要窗口，讓世界了解我們，提高學院的知名度。

5.為廣大師生提供寬松，開放、易用的網絡環(huán)境，使網絡觸入日常工作和生活中，發(fā)揮網絡的最大效用。

7.因特網功能：A:域名系統(tǒng)（DNS）：B:網頁瀏覽（Web）：占上網人數的66.3%（2006）C:郵件收發(fā)（Email）：占上網人數的64.2%D:文件傳輸（FTP）：占上網人數的33.9%E:網絡論壇（BBS）：占上網人數的43.2%F:網絡聊天（IM）：占上網人數的42.7%G:視頻點播（VOD）：占上網人數的37.3%H:網絡電話（VoIP）：部分企業(yè)使用I:遠程登錄。J:遠程訪問。8.實用性：應當從實際情況出發(fā)，使之達到使用方便且能發(fā)揮效益的目的。采用成熟的技術和產品來建設該系統(tǒng)。要能將新系統(tǒng)與已有的系統(tǒng)兼容，保持資源的連續(xù)性和可用性。系統(tǒng)是安全的，可靠的。使用相當方便，不需要太多的培訓即可容易的使用和維護。9.先進性采用當前國際先進成熟的主流技術，采用業(yè)界相關國際標準。設備選型要是先進和系列化的，系統(tǒng)應是可擴充的。便于進行升級換代。建立Intranet/Internet模式的總體結構，符合當今信息化發(fā)展的趨勢。通過Intranet/Internet的建立，加速國內外院校之間的信息交流。10.安全性采用各種有效的安全措施，保證網絡系統(tǒng)和應用系統(tǒng)安全運行。安全包括4個層面-網絡安全，操作系統(tǒng)安全，數據庫安全，應用系統(tǒng)安全。由于Internet的開放性，世界各地的Internet用戶也可訪問校園網，校園網將采用防火墻、數據加密等技術防止非法侵入、防止竊聽和篡改數據、路由信息的安全保護來保證安全。同時要建立系統(tǒng)和數據庫的磁帶備份系統(tǒng)。為了防止病毒對系統(tǒng)安全的威脅，選用性能優(yōu)越的網絡版殺毒軟件負責內部網絡系統(tǒng)服務器及單機的病毒防護、查殺工作。同時利用防火墻的設置對病毒的入侵進行有效的防范.11.可管理性設計網絡時充分考慮網絡日后的管理和維護工作，并選用易于操作和維護的網絡操作系統(tǒng)，大大減輕網絡運營時的管理和維護負擔。采用智能化網絡管理，最大程度地降低網絡的運行成本和維護12.可擴充性采用符合國際和國內工業(yè)標準的協(xié)議和接口，從而使校園網具有良好的開放性，實現與其他網絡和信息資源的容易互聯(lián)互通。并可以在網絡的不同層次上增加節(jié)點和子網。一般包括開放標準、技術、結構、系統(tǒng)組件和用戶接口等原則。在實用的基礎上必須采用先進的成熟的技術，選購具有先進水平的計算機網絡系統(tǒng)和設備，并保留向ATM過渡的自然性。由于計算機技術的飛速發(fā)展和計算機網絡技術的日新月異，網絡系統(tǒng)擴充能力的大小已變得非常重要，因此考慮網絡系統(tǒng)的可擴充性是相當重要的。13.校園網絡管理計費與使用時間實現IP地址管理，由于校園網具有用戶訪問多，校園網多校園中的IP地址管理多使用DHCP技術來解決，這就使管理者無法根據IP地址確定使用者的身份、權限；不能以IP地址收取上網費用，甚至存在IP地址冒用、盜用的現象；不能根據用戶名管理用戶的上網時間、上網時限等。使用時間分為星期日至星期四的8：30～23：30，星期五和星期六全天可上網。2.4網絡業(yè)務與最低帶寬業(yè)務類型所需最低帶寬業(yè)務說明網頁瀏覽64kb/s每個頁面收發(fā)郵件32kb/s按照用戶與郵件服務器帶寬來定網上聊天64kb/s文字、視頻聊天網上購物128kb/s在線電影512kb/s網絡游戲256~512kb/s因特網游戲,依用戶與游戲服務器帶寬來定網絡電話64~128kb/sPCtoPC純話音,交互式多媒體業(yè)務視頻會議256kb/s多媒體視頻會議視頻監(jiān)控32kb/s分布式多媒體監(jiān)控業(yè)務BT下載512kb/s依用戶使用帶寬而定數字化電視256~512kb/s分配型多媒體業(yè)務VOD512kb/s分配型多媒體視頻點播業(yè)務FTP下載200kb/s大約占用到用戶的%70左右遠程醫(yī)療256kb/s~1.5Mb/s交互式多媒體業(yè)務三設備分析根據對重慶大學城市科技學院網絡需求的考察，根據合理性、實用性和節(jié)約費用等原則進行設備選擇：1.基于路由器和交換機的局部網間的互聯(lián)是最好的解決方案。網絡協(xié)議方面，以網際協(xié)議（IP）作為校園網網絡系統(tǒng)的公用網絡協(xié)議實行標準化，使用IP作為標準傳輸協(xié)議，在以后對網絡進行擴充以與其它的網絡互連時，可以跨越多個平臺自然而然地提供互操作能力和無縫連接功能。2.在網絡服務器的選擇上，選擇了HP或DELL計算機公司的服務器，作為世界知名品牌，可提供最優(yōu)良的系統(tǒng)設備和優(yōu)質的售后服務。3.在主干網建設時，選擇3Com和Cisco系統(tǒng)產品，它能夠以極具競爭力的價格提供所有技術，為我們提供一個集成化、高性能、靈活、可伸縮、安全和高性能價格比的解決方案的標準。4.在局部網建設方面，選擇使用CISCO設備和TP-LINK產品作為骨干網基礎設施的基礎。CISCO設備和TP-LINK方案提供了可伸縮的結構和高性能的設備，能夠高速傳輸數據，同時通過它們Secure技術保證了安全地接入Internet和一體化的網絡解決方案。5.計算機終端設備的選型既考慮性能、價格比、設備的運行維護費用，也考慮設備的可擴充性，確保系統(tǒng)主要設備的投入在整個系統(tǒng)的生命周期內能得到充分利用并具有強健靈活的體系結構。同時，也考慮局部子網對硬件和信息流量的要求，必須能夠提供專用的高速帶寬，以處理日常數據信息和峰值操作，并能夠支持各種新技術和新增用戶。6.安全性是另一個關鍵要求，要保證能夠安全地接入Internet。四組網技術分析4.1網絡技術選型采用千兆以太網技術，具有高帶寬1000Mbps速率的主干，100Mbps到桌面，運行目前的各種應用系統(tǒng)綽綽有余，還可輕松應付將來一段時間內的應用要求，且易于升級和擴展，最大限度的保護用戶投資；

網絡設備選型為國際知名產品，性能穩(wěn)定可靠、技術先進、產品系列全及完善的服務保證；

采用支持網絡管理的交換設備，足不出戶即可管理配置整個網絡。此次校園網設計主要采用千兆以太網的設計方案在網絡方案的選擇上，采用千兆以太網做為校園網的網絡總體結構無論在高帶寬、可適應性、可擴展性、高性價比、良好的管理性和維護性等各方面都是最明智的選擇，成為學校校園網完整的、經濟的解決方案4.2路由技術路由器在網絡層工作，主要功能之一是進行路由選擇，當網絡中一臺主機要給一個網絡中主機發(fā)送分組時，它首先把分組送給同一網絡中用于網間連接的路由器，路由器根據目的地址信息，選擇合適的路由，傳遞分組。該分組被網絡中的其他中繼路由傳遞，直到目的網絡路由器，最終被遞交到目的主機上。路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網間路由數據包。路由器具有在網絡中傳遞數據時選擇最佳路徑的能力。除了可以完成主要的路由任務，利用訪問控制列表（AccessControlList，ACL），路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程案例設計中，內網用戶不僅通過路由器接入因特網、內網用戶之間也通過3層交換機上的路由功能進行數據包交換。4.3交換技術通過三層交換技術，特別是基于硬件的第三層交換，可以充分地利用交換機的包處理能力，實現真正的線速交換。4.4VLAN技術VLAN（VirtualLocalAreaNetwork）即虛擬局域網，是一種通過將局域網內的設備邏輯的而不是物理的劃分成一個個網段從而實現虛擬工作組的新興技術?；诰W絡層劃分VLAN的方法是根據每個主機的網絡層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據網絡地址，比如IP地址，但它不是路由，與網絡層的路由毫無關系。VLAN將廣播域限制在單個VLAN內部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術來實現。VLAN具有以下優(yōu)點：控制網絡的廣播風暴，確保網絡安全，簡化網絡管理。4.5遠程訪問技術遠程訪問是服務的一部分,用來為遠程辦公人員、外出人員,以及監(jiān)視和管理多個部門辦公室服務器的系統(tǒng)管理員提供遠程網絡。有運行Windows的計算機和網絡連接的用戶可以撥號遠程訪問他們的網絡來獲得服務.它可以為教學辦公用戶和學生遠程訪問學校網站獲取信息服務。遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。在本設計中，采用專線連接（到因特網）和電路交換（到校園網）兩種方式實現遠程訪問需求。4.6鏈路聚合技術:鏈路聚合是將兩個或更多數據信道結合成一個單個的信道,該信道以一個單個的更高帶寬的邏輯鏈路出現。鏈路聚合一般用來連接一個或多個帶寬需求大的設備,例如連接骨干網絡的服務器或服務器群。它支持IEEE802.3協(xié)議，是一種用在交換機與交換機之間擴大通信吞吐量、提高可靠性的技術，也稱為骨干連接，作為一個較為完整的校園網實現，路由、交換與遠程訪問技術缺一不可。4.7交換技術現代交換技術還實現了第3層交換和多層交換。高層交換技術的引入不但提高了校園網數據交換的效率，更大大增強了校園網數據交換服務質量，滿足了不同類型網絡應用程序的需要。4.8防火墻技術與DMZ防火墻能增強機構內部網絡的安全性，防火墻系統(tǒng)決定了哪些內部服務可以被外界訪問；外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。另外防火墻可以作為部署NAT（NetworkAddressTranslation，網絡地址變換）的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。防火墻的兩大分類：1、包過濾防火墻2、代理防火墻；根據定義好的過濾規(guī)則ACL審查每個數據包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP)等等。學生基本信息檔案和重要的工作文件要求對數據存儲、傳輸的安全性的性能較高，如(圖書、管理、學生、教學、財務、物資)管理等可以通過分布式、集中式相集合的方法進行管理。防火墻作為網絡的第一道防線，應放置在外網和需要保護的校園內網之間作為對不同信息資源提供不同安全級別的保護,此外還應構建一個“DemilitarizedZone”(DMZ)的區(qū)域，放置一些不含機密信息的公用服務器。這樣來自外網的訪問者可以訪問DMZ中的服務，但不可能訪問到存放在內網中的學校機密或私人信息，等等。即使DMZ中服務器受到黑客的攻擊，也不會對內網中的機密信息等造成危害。注：DMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內部網絡和外部網絡之間的小網絡區(qū)域內，在這個小網絡區(qū)域內可以放置一些必須公開的服務器設施，如企業(yè)Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內部網絡，因為這種網絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。五網絡總體設計方案5.1整體設計思路流程5.2校園網拓撲結構整體描述校園網絡網絡拓撲結構特點：網絡的可靠性增強，如果在網絡中的一個站點或一條線路的發(fā)生故障時，不會影響到其它接點的正常工作；網絡的可擴展性強，如要擴充網絡結點，則只要有一條線即可將擴充結點聯(lián)接到網絡上，且不影響其它結點的工作；網絡便于日常的管理和維護；網絡便于維護，可遠程管理和配置網絡；網絡帶寬容易擴展，配備光纖接口和千兆位接口擴展口；與公網連接鏈路的網絡安全考慮；考慮遠程寬帶接入訪問。我們對此次設計的校園網總體拓撲圖確定大致如下：5.3層次化設計所謂“層次化”設計就是將復雜的網絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。層次模型既能夠應用于局域網的設計，也能夠應用于廣域網的設計。另外使用層次化還有許多好處如下4點a、節(jié)省成本在采用層次模型之后，各層次各司其職，不再在同一個平臺上考慮所有的事情。層次模型模塊化的特性使網絡中的每一層都能夠很好地利用帶寬，減少了對系統(tǒng)資源的浪費。b、易于理解層次化設計使得網絡結構清晰明了，可以在不同的層次實施不同難度的管理，降低了管理成本。c、易于擴展在網絡設計中，模塊化具有的特性使得網絡增長時網絡的復雜性能夠限制在子網中，而不會蔓延到網絡的其他地方。而如果采用扁平化和網狀設計，任何一個節(jié)點的變動都將對整個網絡產生很大影響。d、易于排錯層次化設計能夠使網絡拓撲結構分解為易于理解的子網，網絡管理者能夠輕易地確定網絡故障的范圍，從而簡化了排錯過程.本校園網絡設計將網絡中心設在學校實驗樓，以實驗樓為中心，用光纖連接到其它建筑物。通過DDN專線將整個校園網連入教育科研網CERNET，即連入國際互聯(lián)網，同時也接入電信網。此網絡結構分成三層：核心層、分布、接入層。1核心層核心層是網絡的高速交換主干，對整個網絡的連通起到至關重要的作用。核心層應該具有如下幾個特性：高可靠性、提供冗余、提供容錯、能夠迅速適應網絡變化、低延時、可管理性良好、網絡直徑限定和網絡直徑一致。在核心層中，應該采用高帶寬的千兆級交換機，如神州數碼D-LinkDES-6000系列高端交換機，充當核心層設備。因為核心層是網絡的樞紐部分，網絡流量最大，因此需要提供高帶寬。

2分布層

分布層是網絡接入層和核心層的“中介”。分布層具有實施策略、安全、工作組接入、虛擬局域網（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在分布層中，應該采用支持三層交換和虛擬局域網的交換機。

3接入層

通過在樓宇間使用“多模光纖”或者在樓宇內使用超5類線纜，將網絡從各分布層節(jié)點延伸至部署在樓宇、樓層或者單元的1000M或100M交換機，形成校園網絡的接入層。接入層向本地網段提供用戶接入。在校園網中，接入層的特征是交換式或共享帶寬式局域網。在接入層中，減少同一以太網段上的用戶計算機的數量能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層交換的工作組級交換機，如神州數碼D-LinkDES-1226交換機、全向QS-532交換機等。5.4拓撲結構設計A.總線拓撲結構是將網絡中的所有設備通過相應的硬件接口直接連接到公共總線上，結點之間按廣播方式通信，一個結點發(fā)出的信息，總線上的其它結點均可“收聽”到。優(yōu)點：結構簡單、布線容易、可靠性較高，易于擴充，是局域網常采用的拓撲結構。缺點：所有的數據都需經過總線傳送，總線成為整個網絡的瓶頸；出現故障診斷較為困難。最著名的總線拓撲結構是以太網（Ethernet）。B.樹型拓撲結構是一種層次結構，結點按層次連結，信息交換主要在上下結點之間進行，相鄰結點或同層結點之間一般不進行數據交換。優(yōu)點：連結簡單，維護方便，適用于匯集信息的應用要求。缺點：資源共享能力較低，可靠性不高，任何一個工作站或鏈路的故障都會影響整個網絡的運行。C.環(huán)形拓撲結構各結點通過通信線路組成閉合回路，環(huán)中數據只能單向傳輸。優(yōu)點：結構簡單，適合使用光纖，傳輸距離遠，傳輸延遲確定。缺點：環(huán)網中的每個結點均成為網絡可靠性的瓶頸，任意結點出現故障都會造成網絡癱瘓，另外故障診斷也較困難5.5主干網設計主干網絡采用聯(lián)想新推出的LS－5608G智能型8聯(lián)機箱式千兆以太網交換機作為校園網的中心交換機，它提供8個插槽，可選插8聯(lián)的10/100Base－TX、2聯(lián)的100Base－FX或1聯(lián)的千兆以太網模塊。適用于大型主干網絡和高速率、高端口密度、多端口類型的復雜網絡。同時可以選擇MS－5103千兆位以太網模塊(SX/MM/850nm,0－350m)或MS－5104千兆以太網模塊(LX/SM/1310nm,0－6km)與下面的各個子網通過千兆位的鏈路相連。5.6校園網采用的協(xié)議標準本校園網以TCP/IP為主要協(xié)議，因為TCP/IP協(xié)議簇是美國國防部門制定的一套計算機網絡協(xié)議，是目前眾多計算機網絡最流行的協(xié)議，以它為基礎組建的Internet網是目前國際上規(guī)模最大的計算機網間網，它雖不是國際標準，但卻是一種事實上的工業(yè)標準協(xié)議，采用TCP/IP為網絡主要協(xié)議，可保證與ChinaNET和Internet保持一致，還可支持IPX，DECNET等其它協(xié)議。真正實現于國際互聯(lián)網的無縫連接。從計算機網絡通訊的觀點來看，TCP/IP網絡實質上可稱為IP網絡，它是由許多IP網關(或稱為IP路由器)通過若干直接連通的通信線路(點到點通信)形成一個計算機通信網絡。在IP網點上再接入主機，子網便構成一個互聯(lián)的計算機網絡，這些安裝了TCP/IP的各類計算機間需要通信時，它就不再要求設置協(xié)議轉換開關，而且主要的網絡服務都可建立在TCP/IP服務器上。5.7校園網采用的操作系統(tǒng)WindowsXP是基于Windows2000代碼的產品，同時擁有一個新的用戶圖形界面，簡化了的Windows2000的用戶安全特性，并整合了防火墻，以用來確保長期以來以著困擾微軟的安全問題，簡單實用。WindowsServer2003企業(yè)版支持高性能服務器，并且可以群集服務器，以便處理更大的負荷。通過這些功能實現了可靠性，有助于確保系統(tǒng)即使在出現問題時仍可用。5.8網絡冗余設計網絡冗余主要是由全部的節(jié)點設備以及設備之間的連接組成的。因此,網絡中的故障也主要包括節(jié)點設備的故障與連接故障兩種。常見的節(jié)點設備的故障有硬件故障和軟件故障(如操作系統(tǒng)崩潰,內存溢出,路由協(xié)議不收斂等).由于重慶大學城市科技學院網絡規(guī)模巨大、涉及到的用戶很多，如果網絡特別是骨干網絡出現任何的問題將導致很大的不良影響，因此對網絡的可靠性和可用性要求很高。網絡的冗余設計除了選擇具有冗余設計的網絡設備外，網絡的冗余設計也十分重要，采用支持2個獨立通訊口的產品，如1756-CNBR有兩個BNC接口連接器，一個是通道A，一個是通道B，任何一個通道的中斷都會無擾切換到另外一個通道上，網絡的拓撲是兩個2個并行的網絡，通訊媒體可以是同軸電纜或光纜?；蛘卟捎霉饫w環(huán)型拓撲結構，用中繼器如1786-RPA和1786-RPFRL或1786-RPFLXL連接，這樣任何一個地方出現中斷都不會影響數據的通訊，這也是環(huán)形網絡的獨特優(yōu)勢，即可實現線路的冗余。六設備選型設備選型主要包括交換設備、服務器、路由器選型、傳輸介質選型為了在次校園網上順利地實現多媒體教學，對網絡設備選型應該采用如下原則。6.1交換設備選型采用高速網絡交換設備；選擇同一公司的產品集成方案；與已有局域網的交換設備兼容；采用具有二、三層交換功能的系統(tǒng)配套網絡設備；有組播功能的靈活配置.6.2服務器選型作為校園網的關鍵設備，服務器應該具備速度高、存儲容量大、吞吐能力強、性能可靠、擴展性強、連網和管理功能強等特點。6.3路由器的選型由于目前中心交換機提供了二、三層交換功能，局域網內子網間的路由通過三層交換實現。路由器多用于廣域網的連接，有廣域網多媒體教學需求的校園網，在選擇路由器的時候，應該考慮其對于多媒體傳輸的支持，如對于先進的服務質量（QOS）的支持。對多服務語音/數據集成的支持。另外出于安全考慮，應該選用一個帶有防火墻的邊界路由。6.4傳輸介質選型傳輸介質有雙絞線、同軸電纜、光纖等，光纖分為單模光纖和多模光纖兩種，單模光纖具有較寬的頻帶，傳輸損耗小，允許進行無中繼的長距離傳輸，但這種光纖難于與光源耦合，連接比較困難，價格昂貴，故主要用于用作信道中長距離主干線。多模光纖頻帶較窄，傳輸衰減也比較大，因此允許的無中繼傳輸距離較小，容易連接、價格便宜，故常用于中、短距離的數據傳輸網絡和LAN中。因此出于對學校建筑物的布局與網絡中心的距離和傳輸介質所需資金考慮來合理的選擇傳輸介質，這樣可為學校節(jié)省大量的資金。教師住宅距網絡中心較遠應該采用單模光纖傳輸，辦公樓、教學樓、圖書館、行政樓、食堂、學生宿舍、校園超市等離網絡中心比較近因此應該采用多模光纖傳輸，另外普通接入點可以采用5類雙絞線連接。6.5需求硬件一覽表序號名稱數量用途備注1信息點總數7500個連接因特網2核心層交換機2臺校園網核心層CiscoCatalyst45063匯聚層交換機8臺每棟大樓一臺ATM交換機4接入層交換機250臺據樓層高度而定Cisco2950-245路由器1臺從中心接入帶防火墻的6光纖9000米主干網介質單模和多模光纖7主服務器1臺校園網管理戴爾PowerEdge29508備份服務器1臺鏡像服務器戴爾PowerEdge29509圖書管理服務器1臺圖書管理Dell295010郵件服務器1臺提供郵件服務Dell295011教務處服務器1臺教學、學籍管理、學生成績查詢等Dell195012光盤服務器1臺負責多媒體光盤及視頻點播服務Sun3013多播服務器5臺提供多播14電子閱覽服務器1臺負責多媒體資料的閱覽、查詢等戴爾PowerEdge2950七子網設計與VLAN劃分7.1.教學子網的設計校園網建網的目的之一，是利用網絡實現多媒體教學，根據教學子網對速度要求較高的特點，可以采用了聯(lián)想LS－5625智能型24＋1和10/100M自適應以太網交換機，它提供24個10/100M交換式端口和一個擴展插槽，可選插1個8聯(lián)的10/100Base－TX、1個2聯(lián)的100Base－FX或1個1聯(lián)的千兆以太網模塊。但實際上大量用戶(指超過60個流)的視頻傳輸的瓶頸在于存儲介質的外部傳輸速率，因此可選用多通道的磁盤陣列接多臺主機的方式提高訪問的總線帶寬。在教學子網的軟件方面，可選用的種類較多，如：聯(lián)想傳奇(ParaSago)、電子教室、海航的電子閱覽室、中教的課件制作系統(tǒng)等。7.2辦公子網的設計辦公子網主要面向學校的各級領導及各職能部門，能夠實現對網絡數據的查詢、修改、添加、刪除等操作，同時，應該能夠滿足支持視頻傳送的要求。鑒于此，辦公子網采用了聯(lián)想LH－262724＋3的10/100M自適應集線器或LH－261312＋1的10/100M自適應集線器，這兩款集線器除具備普通雙速集線器功能外，還專門提供了交換式端口，能夠為連接在該端口上的設備提供獨享的10/100M帶寬，極大地提高數據傳輸速率，解決服務器瓶頸問題。采用聯(lián)想LP－1363聯(lián)10/100M以太網打印服務器，來完成共享打印功能。該服務器具有3個標準并聯(lián)，可同時連接三臺任意標準并聯(lián)打印機。7.3圖書館子網的設計圖書館是一個相對獨立的系統(tǒng)，我們采用聯(lián)想LS－301616的10/100M自適應以太網交換機，它提供了優(yōu)良的每端口性能價格比，并支持基于端口的VLAN劃分。7.4宿舍區(qū)子網及后勤子網等的設計宿舍區(qū)子網即在學生宿舍內部連網，用以直接瀏覽學校發(fā)布的信息及查閱一些電子文檔資料；后勤子網覆蓋范圍較大，主要用途有食堂IC卡計費系統(tǒng)等。由于宿舍區(qū)子網及后勤子網對帶寬的要求并不高，因此我們選用聯(lián)想LH－201616的10/100M自適應集線器，提供16個雙速集線器端口，能夠自動適應所接設備的速度(10/100Mbps)，每臺LH－2016背面都有2個堆疊口、利用這兩個堆疊口最多可堆疊6臺集線器，最大可用端口數為96個。7.5VLAN劃分可以將一個寢室劃為同一個小的VLAN，再將一棟宿舍樓劃為一個大VLAN；每個老師的計算機里可能有一些重要的科研資料，從安全性考慮，不能將所有老師的寢室劃為同一個網，只能將每個老師的寢室劃為一個VLAN并且學生宿舍和教師宿舍不能互相訪問；由于上課的教室不固定，每個教室需要共享一些信息，因此將教學樓的所有教室劃為一個VLAN；為了方便同學和老師做一些教學實驗，實驗室會進行一些專項課題研究，一個實驗室同一個VLAN安全性更高，可以將實驗樓劃為一個大VLAN再將每個實驗室劃為一個小VLAN；為了方便每個部門管理，鑒于每個的不同性質，更要提高安全性，可以將辦公樓劃為一個大VLAN，再將每個部門劃為一個小VLAN，劃分方法采用基于端口的劃分。7.6子網劃分表Vlan號Vlan名稱Ip網段默認網關備注Vlan1Glzhx/243網絡管理中心Vlan2Xsss./1654學生宿舍Vlan2Tshg4/2250圖書館Vlan4Jx51/2200教學大樓Vlan5Dzyl01/2154閱覽室Vlan6Bgl/2254行政樓Vlan7Slp/2454教師住宅八防火墻配置8.1防火墻原理防火墻能增強機構內部網絡的安全性，防火墻系統(tǒng)決定了哪些內部服務可以被外界訪問；外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。另外防火墻可以作為部署NAT（NetworkAddressTranslation，網絡地址變換）的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。防火墻的兩大分類：1、包過濾防火墻2、代理防火墻；根據定義好的過濾規(guī)則ACL審查每個數據包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP)等等。8.2防火墻配置實驗了解防火墻的基本功能和作用，理解ACL（訪問控制列表）的特點與作用，理解防火墻的工作原理及特點，掌握防火墻的配置，掌握標準ACL的定義與配置。要求1、理解防火墻的工作原理。2、熟悉防火墻的配置命令，通過防火墻控制不同網絡（內網/外網）間主機的通信。3、掌握標準ACL的定義與配置，按要求設計并放置ACL。4、掌握NAT（網絡地址轉換）的定義與配置。8.2.1防火墻生成如上圖的網絡拓撲，一臺防火墻、兩臺Switch及三臺主機并分別連接使得處于外網的Host2可以訪問dmz區(qū)域的Host0，但不可以訪問inside區(qū)域的Host1；dmz區(qū)域的Host0也不可以訪問Host1。內網的Host0和Host1的內部地址均通過防火墻定義的合法地址池中的地址靜態(tài)轉換成了合法地址。1.三臺主機配置<1>Host0[root@Host0root]#ifconfigeth0netmask[root@Host0root]#routeadddefaultgw<2>Host1";[root@Host1root]#ifconfigeth0netmask[root@Host1root]#routeadddefaultgw<3>Host2[root@Host2root]#ifconfigeth0netmask[root@Host2root]#routeadddefaultgw2配置防火墻<1>配置端口：類型及IP地址Pix525>enablePix525#cont Pix525(config)#nameife2outsidesecurity10//定義e2是外部端口 Pix525(config)#namee1insidesec100 Pix525(config)#namee0dmzsec100 Pix525(config)#ipaddressoutside Pix525(config)#ipaddinside Pix525(config)#ipadddmz <2>配置合法地址池（global）、地址合法轉化（nat）、地址靜態(tài)轉換（static） Pix525(config)#global(outside)1-0 //定義合法地址池1，包含合法地址是-0 Pix525(config)#glo(outside)2 Pix525(config)#nat(inside)2 Pix525(config)#nat(dmz)1 //允許/24網段的地址用合法地址池1中的地址進行轉換 Pix525(config)#static(inside,outside)//將內部地址靜態(tài)轉換為外部合法地址 Pix525(config)#sta(inside,outside) Pix525(config)#sta(dmz,ou