计算机网络设计毕业论文---校园网规划设计abqg.doc

课题：xx校园网规划设计(综合楼1-9)毕业设计学号： 学生： 指导教师： 论文完成日期: 2011年11月目 录摘要5第一章 需求分析51.1校园网建网需求61.2部门机构应用需求71.3网络系统性能需求7第二章 网络系统总体设计82.1系统总体设计方案概述92.1.1网络设计原则92.1.2网络拓扑结构102.1.3 ip地址规划和vlan的划分112.1.4网络设备选型132.2交换模块设计142.2.1核心层交换服务142.2.2汇聚层交换服务152.2.3接入层交换服务162.3广域网接入模块设计17第三章 综合布线183.1 综合布线183.1.1. 综合布线模块划分183.1.2 综合布线的特点193.1.4设计规范的确定193.1.5 布线要求193.2 系统设计193.2.1 工作区子系统的设计193.2.2 水平子系统的设计203.2.3 管理子系统的设计203.2.4 干线子系统的设计213.2.5 设备间子系统的设计223.3施工进度控制223.4 综合布线系统的预算设计方式23第四章 网络系统设计的实现254.1配置核心层254.2配置汇聚层284.3配置广域网接入模块-路由器31第五章 server服务器325.1 dhcp的工作过程325.1.1提供 ip 租用地址325.1.2接受 ip 租约335.1.3租约确认335.1.4 dhcp服务的安装和配置345.2 dns服务365.2.1dns概述365.2.2dns服务器的安装365.3 web服务39第六章 网络安全与防护技术406.1 计算机网络安全406.1.1 计算机网络安全的目的和功能406.1.2 网络安全的潜在威胁416.1.3 网络安全的策略426.2 防火墙技术426.2.1 防火墙的概念426.2.2 防火墙的作用和特性426.2.3 实现防火墙的主要技术436.2.4 防火墙的体系结构436.2.5 防火墙选择原则446.3上网行为管理主要功能446.3.1原理446.3.2网页访问过滤446.3.3网络应用控制456.3.4带宽流量管理456.3.5信息内容审计456.3.6上网行为分析45致谢46参考文献46摘要当今世界，各种先进的技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机为代表的信息科技的发展更是日新月异，从各方面影响和改变着我们的生活，而其中的计算机网络技术发展更为迅速，已经渗透了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的学习与工作生活条件带来更大的方便，我们与外部世界的联系将更加的紧密和快速。随着网络技术、internet的发展和cernet(中国教育科研网)的迅速壮大，很多学校建成校园网并接入到cernet。校园网的建设已成为学校实力与发展水平的标志。建设一个先进实用的校园网，实现校内外信息的快速传递，使教学、科研、管理步入信息化，网络化，从而提高办学水平和办学效益已成为必然之选。校园网主要用于学校内部网络通信，也会利用因特网进行外部上网活动，但是，网络流量主要集中于校园网内部，因此对网络交换能力要求较高，校园网上网会有多媒体教学，视频点播等多种带宽应用。信息交流功能主要有两个方面的服务功能：互联网信息服务和校内信息服务。互联网信息服务可以使任何一个办公室的计算机都能实现网上浏览、查询信息的功能，使教师能够拓宽视野，充分利用互联网上的资源辅助教学，提升教学理念，提高教师的教学能力、教学水平和科研能力。可以充分利用互联网资源来宣传学校，展示学校的办学能力与办学水平，展示教师的教学能力与科研能力，提升学校的办学形象。校内信息服务能为教育教学和管理决策提供各项信息服务，能为全校师生提供相互交流、相互学习的平台。第一章 需求分析校园网的建设是合乎目的性和规律性的统一体，要想在网络建设的过程中始终把握设计尺度，必须事先做好充分的需求分析。需求分析的过程是网络设计的起点，跨出这一步，后面得工作才能开展。1.1校园网建网需求在知识经济和数字化生存时代，校园网在资源共享、知识传播、育人管理等方面发挥越来越重要的作用，校园网网络系统的建设，是非常必要的，也是可行的。主要表现在：第一，当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。第二，教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。第三，我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。第四，现代教育改革的需要。在校园网中将计算机引入教学各个环节，从而引起了教学方法，教学手段，教学工具的重大革新。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。第五，随着经济发展，我国各级学校对教育的投入不断加大；计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和经济实力不断提高，大量计算机进入学校和家庭，使得计算机用于教育信息管理和信息服务是完全可行的。1.2部门机构应用需求公共试验楼：节点密集，上课时间对网络带宽的需求较大，其它时间基本上对网络没有要求。公共教学楼：方便教师进行多媒体教学和远程视频教育。网络中心：管理校园网整个网络，必须确保网络中心的正常运行。图书馆：电子阅览室，方便同学从校内或者校外查阅各种网上的书籍和资料。允许校校之间的互联，实现教育图书的资源共享。行政楼：办公网络、特别是行政办公网络的数据传输量不大，但非常注重安全性。而在网络中传输的是大量数据文件，视频会议系统大多采用组播方式实现，因此，对带宽的要求不高。学生宿舍：节点密集，课余时间网络流量较大，且多数为多媒体数据流，对网络带宽的需求较大。1.3网络系统性能需求接入速率需求：接入速率最基本的是由端口速率决定的。对于骨干层、核心层的端口速率需要支持双绞线、光纤的千兆位，甚至万兆位速率，接入层需要百兆位到桌面。扩展性需求：在网络结构设计上要求所采用的技术必须是主流的，且具有一定的超前性，这里所说的超前是指适当超出校园网当前应用的需求，以便日后在技术上平滑升级。扩展性需求方面还体现在网络结构中不同速率端口的配置上，一定要留有适当的冗余，一方面为日后的网络规模扩展留下空间，另一方面也是为网络维护考虑的，当一些端口失效后，就可以用冗余的端口替代。所预留的端口类型一定要齐全，包括端口速率和端口介质类型，高速率端口用于连接扩展交换机、服务器等关键节点设备，低速率接口用于连接普通用户。吞吐速率：指单位时间（通常是指1秒内）传输的数据容量。在局域网中网络的吞吐速率主要是由各级交换机的背板交换矩阵的带宽、所采用的交换方式和交换机的硬件配置等因素决定的，特别是位于核心或骨干层的交换机。在单台交换机背板带宽一定的前提下，可以通过交换机堆叠来扩展交换机的背板带宽，因为堆叠在一起的多台交换机可以当做一台交换机来管理，这样堆叠后的交换机背板带宽就相当于多台独立交换机背板带宽的总和。响应时间：指从用户发出指令到网络响应并开始执行用户指令所需的时间，响应时间越短，性能就越好，效率越高。局域网的响应时间通常为1ms2ms，要求越高，所对应的网络设备配置就越高档，成本也就越高。对于一般的文字工作，通常的响应标准是可以满足的，但对于大容量的多媒体文件传输，如视频点播、远程视频教学等，响应时间就不能按正常标准要求那么高了，因为这样会对整个网络硬件，特别是服务器配置要求相当高，会大大增加成本。并发用户数支持：并发用户数支持是指某一系统可以承载的同时访问的用户数，支持的并发用户数越多，系统性能越好，当然所需的配置就越高档。并发用户数是指对相应应用服务器的性能要求，通常是由服务器的整体硬件配置决定的。可用性：主要包括稳定性、可靠性这两个方面。稳定性通常是指服务器和其他关键网络设备连续工作时间的长短。可靠性通常与稳定性相关联，稳定性越好的网络系统，可靠性也越好。为了确保整个网络长期保持通畅，为骨干层配置了冗余链路，关键节点，如汇聚层与核心层交换机之间，服务器与核心交换机之间的连接都采取冗余的双链路连接。一旦某一条链路出现故障，另一条链路可随时接替原链路的工作，继续为用户服务。第二章 网络系统总体设计网络系统总体设计是一项复杂的创作，要严格遵循网络设计原则。网络设计策略是采取自上而下的方法。采用这种方法时，首先确定网络应用程序和服务的需求，然后设计能够支持它们的网络。使用这种分层结构设计思想，这在层次结构分明的以太网中，具有高度的灵活性和可扩展性。2.1系统总体设计方案概述2.1.1网络设计原则校园网连接了包括教学楼、办公楼、实验楼、图书馆、学生宿舍楼、教职工生活区等大量的信息点，学校管理、教育科研、电子教学、远程教育和互联网的引入以及对外技术交流与合作服务等大量的业务，要求校园网必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。为实现校园网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔，在万一出现局部故障时应不影响网络其他部分的运行，并且故障便于诊断和排除。充分体现计算机网络的高可靠性。技术先进性和实用性：保证满足校园业务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。高性能：骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络（如中国教育网、公共数据网、学校之间等其它网络）之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。可管理性：对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。安全性：制订统一的网络安全策略，整体考虑网络平台的安全性。兼容性和经济性：兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如现有的双向教学系统），保证各种在用计算机系统，包括工作站、服务器和微机等设备的互连入网，充分利用现有计算机资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资。有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。为切实达到以上的网络设计原则，使校园网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略及原则。统一标准、统一平台：网络的互联及互通关键是对相同标准的遵循，要实现网络业务能融合到一起，实现数据、语音、视频业务的融合，就必须统一标准。从开放性、发展性、成熟性等方面来看，只有ip技术才能成为统一平台网络构建的标准。而在具体实施中，必须统一规划ip地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。网络分层的原则：为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。核心层负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。汇聚层负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层，去在更大的范围内进行数据的路由以及处理。接入层设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。2.1.2网络拓扑结构图2-1是xx综合楼网络拓扑图：图2-12.1.3 ip地址规划和vlan的划分使用子网划分技术，大部分网络能够获得较好的地址规划。但在校园网中，由于网络的数量与主机的数量比例不平衡，这里就需要可变长的子网掩码（vlsm）技术作为规划的依据。vlan用于将数据流分类和分离以及控制单个配线间和大楼内的广播数据流。综合楼各部门及楼层间vlan的划分：网络中心网络中心192.168.1.0255.255.255.0vlan100综合楼（2楼）子网号子网掩码vlan总务处192.168.2.0255.255.255.0vlan2学生处192.168.3.0255.255.255.0vlan3教务处192.168.4.0255.255.255.0vlan4财务处192.168.5.0255.255.255.0vlan5综合楼（5楼）子网号子网掩码vlan计算机实训室1192.168.6.0255.255.255.0vlan6计算机实训室2192.168.7.0255.255.255.0vlan7计算机实训室3192.168.8.0255.255.255.0vlan8计算机实训室4192.168.9.0255.255.255.0vlan9综合楼（6楼）子网号子网掩码vlan计算机实训室1192.168.10.0255.255.255.0vlan10计算机实训室2192.168.11.0255.255.255.0vlan11计算机实训室3192.168.12.0255.255.255.0vlan12计算机实训室4192.168.13.0255.255.255.0vlan13综合楼（7楼）子网号子网掩码vlan计算机实训室1192.168.14.0255.255.255.0vlan14计算机实训室2192.168.15.0255.255.255.0vlan15计算机实训室3192.168.160255.255.255.0vlan16计算机实训室4192.168.17.0255.255.255.0vlan17综合楼（4楼）图书管192.168.18.0255.255.255.0vlan18综合楼（8楼、9楼）子网号子网掩码vlan计算机工程系办公室192.168.19.0255.255.255.0vlan19校长室192.168.20.0255.255.255.0vlan202.1.4网络设备选型（1） 核心层交换机选择核心交换机采用模块化三层交换机，配置1或2块交换路由板，1个双绞线业务板和若干块光接口模块业务板。对于模块化三层交换机，用户可任意选择不同数量、不同速率和不同接口类型的模块，以适应千变万化的网络需求。而且模块化交换机大都有很强的容错能力，支持交换模块的冗余备份，并且往往拥有可热插拔的双电源，以保证交换机的电力供应。（2）汇聚层交换机选择区域汇聚层交换机选择具有安全控制能力和qos保障能力，拥有较多gbic或sfp端口的三层固定配置交换机。交换机支持万兆上行，千兆下行，并且可以通过irf技术实现无缝快速扩展端口，真正实现按需购买，无缝扩容。采用irf技术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。在信息点密集的区域（如生活区），由于接入的计算机数量较大，而我们为了避免广播风暴所造成的安全隐患，进行了vlan的划分。一旦接入不同vlan的计算机之间要进行通信，所有的交换数据都必须通过区域层的三层交换机。这样可能对区域交换机造成了不少的压力，对于设备的性能会有更高的要求。（3）接入交换机选择接入层交换机采用可网管的交换机，实现对每台接入计算机的控制，实现vlan、pvlan的划分，确保最大限度的网络访问安全。根据接入计算机的数量，可以灵活的选择24口或48口的交换机。（4）路由器选择随着信息化水平的不断提高，各个联网单位已经从“网络互连”走向“整合优化”的阶段。其中最显著的一个转变就是，为了进一步提高效率或提升竞争优势，都广泛开展各种网络应用、开始整合部分网络业务。应用的日趋广泛，就必须确保主网络的畅通和不间断运行，以保证关键业务的正常运营。当前，网络的规模不断扩大，复杂度随之增加，数据转发量也在急剧攀升，使得业务访问中断的不可控因素变多。内网安全问题、isp线路问题、远程访问问题等等，都是业务顺利开展的障碍。（6） 防火墙选择互联网的快速发展，给人们带来方便的同时，遭受恶意攻击和病毒侵害的事例也在增加，这对网络的安全提出更高的要求。所以，必须选用网络防火墙，关闭未被使用的tcp/udp端口，以避免蠕虫病毒和网络木马的入侵，保证网络内部计算机和网络服务器的安全，防止重要和敏感数据的丢失。防火墙支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用aspf（application specific packet filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种vpn业务，如l2tp vpn、gre vpn 、ipsec vpn、动态vpn等；支持rip/ospf/bgp/路由策略及策略路由；支持丰富的qos特性，提供流量监管、流量整形及多种队列调度策略。2.2交换模块设计2.2.1核心层交换服务核心层负责快速而可靠地传输大量数据。为各区域汇聚层交换机提供高速接入，负责完成网络各汇聚节点之间的互联，及完成高效的数据传输交换转发及路由分发，从而将校园网的网络组建成一个拥有万兆位带宽的、高性能的多层交换网络。核心层采用冗余方案，任何一台核心交换机、任何一条网络链路故障，都不会影响整个网络的正常运行和网络服务的提供，从而确保网络的稳定、高速和安全。（1）路由冗余：核心交换机是整个网络的核心和心脏，如果发生致命性的故障，将导致本地网络的瘫痪，所造成的损失也是难以估计的。因此，对三层路由采用热备份是提高网络可靠性的必然选择。在一个三层路由完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（hot stand by router protocol）。（2）冗余链路：通过在核心层部署冗余链路，可确保发生故障时网络设备能找到替代路径来发送数据。核心层使用了第三层设备，则除备用外，这些冗余链路还可用于负载均衡。对于一个网络的负载均衡，可以从网络的不同层次入手，由于核心层的业务量分布比较高，所以在核心层可以采用传输链路聚合。链路聚合技术为消除传输链路上的瓶颈与不安全因素提供了成本低廉的解决方案。（3）互联拓扑：网络中的大多数核心层都采用全互联或部分互联拓扑。在全互联拓扑中，任何两台设备都直接相连。虽然全互联拓扑具有全面冗余的优点，但难以布线和管理且成本高昂。对于大型网络，通常采用部分互联拓扑。在部分互联拓扑中，每台设备至少与其他两台设备相连，这提供了足够的冗余，同时比全互联拓扑简单。（4）安全机制：在控制平面，防止非法路由更新报文导致的网络瘫痪；在管理平面，利用snmpv3网管协议，提供基于802.1x、aaa/radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持ip、vlan 、mac和端口等多种组合精细绑定。2.2.2汇聚层交换服务汇聚层是接入层和核心层之间的路由选择边界，也是远程站点和核心层之间的连接点。主要提供了用户的汇聚功能和服务质量保证的功能。在汇聚层能够真正做到通过识别用户及应用提供不同的服务质量保证。汇聚层的多层交换机提供了众多功能，有助于实现网络设计目标，同时减轻核心层设备的压力。这些功能包括有：过滤和管理数据流；实施访问控制策略；向核心层通告路由前对路由进行汇总；防止接入层故障或中断影响核心层；在接入层vlan之间进行路由选择。汇聚层设备还用于在数据进入园区核心层前管理队列和确定数据流的优先顺序。（1）汇聚层的路由选择：汇聚层设备提供的三层路由功能，可以为二层上不同vlan之间进行路由选择；另一个重要功能是路由汇总，也叫路由聚合。路由汇总给网络带来了很多好处，其中包括：路由选择表中的一条路由可代表众多其他路由，这缩小了路由选择表；减少了网络中的路由选择更新数据流；降低了核心设备的开销。（2）汇聚层的交换：成对地部署多层交换机，并在它们之间平均地分配接入层交换机。这种配置称为大楼交换块。每个交换块独立运行，这样，单台设备发生故障便不会导致整个网络瘫痪，甚至整个交换块出现故障也不会影响太多终端用户。（3）冗余链路：在接入层计算机对网络连接要求较高的地方，应当采用冗余连接的方式，即每台接入层交换机都有2条链路连接至汇聚层交换机；当其中一条链路发生故障后，另外一条链路将迅速被激活，从而保证了网络链路的稳定。（4）汇聚层拓扑：汇聚层网络通常采用部分互联拓扑，这种拓扑提供了足够的冗余路径，可确保链路或设备出现故障时网络不会瘫痪。使用光缆连接汇聚层设备和核心层设备，这样就必须确保有足够的光纤端口提供所需的带宽和冗余。（5）限制故障域的大小：由于网络核心层故障影响很大，因此网络设计人员通常把精力放在避免故障上，这极大地增加了部署网络的成本。在层次型设计模型中，控制汇聚层故障域大小最容易，成本通常也最低。在汇聚层中，可将网络错误限制在较小的区域内，从而减少影响的用户。在汇聚层使用三层交换设备时，每台三层交换机都充当网关，限制有限数量的接入层用户。2.2.3接入层交换服务接入层用于控制用户对网络资源的访问。网络设计人员必须让接入层生成的数据流能够方便地前往其他网段或其他层。如果设计不合理，接入层将很快被数据流淹没，导致性能对最终用户来说是无法接受的。接入层使用带有两个或多个sfp端口的千兆位端口的可网管交换机。实现与汇聚层1000mbps，与用户100mbps的高速连接。在接入层根据用户类型的不同划分为不同的vlan；在公共场合，例如：实验室、图书馆、阅览室等，部署具有接入控制功能的以太网交换机，划分相应的vlan。（1）接入层堆叠设计：接入层网络是纯二层交换网络，提供用户的网络接入。由于接入层设备需要部署在楼层，因此要求这些设备容易管理并且投资成本少。对于计算机机房、电子阅览室、学生公寓等接入计算机数量很大的接入场所，应当采用可堆叠交换机，以提供大量的100 mbps端口。接入交换机之间以高速堆叠模块相互连接在一起，并借助1000mbps链路实现与汇聚层交换机之间的连接。为了提高网络稳定性和网络带宽，可以将24条千兆位链路绑定在一起借助链路汇聚技术实现链路冗余、负载均衡和带宽倍增，以确保所有计算机都能够无阻塞地实现与校园网络的连接。（2）接入层链路汇聚设计：如果接入层所连接的计算机数量较多，除了使用上面所说的堆叠技术之外，还可以使用链路汇聚的方式实现接入层交换机之间的高速连接，既增加了接入层交换机之间的互联带宽，又提高了连接的稳定性。（3）接入层级联设计：如果接入网络的计算机数量较多，需要由多台交换机才能满足用户需求时，也可以采用最简单的级联方式。当然，如果接入层交换机拥有1000mbps端口，那么采用级联方式也可以实现接入层交换机之间的高速连接。（4）接入层拓扑：在星型拓扑中，每台终端设备都与一台网络设备直接相连，该网络设备通常是第二层交换机。在接入层有线星型拓扑中，终端设备和交换机之间通常没有冗余。但是可以将接入层的第二层交换设备互联在一起，使接入层和汇聚层构成一个环路，通过配置生成树协议来保证网络可靠运行，当网络某一接入设备与汇聚设备之间的链路出现故障时，不至于陷入网络瘫痪。2.3广域网接入模块设计广域网接入是为了校园内是用户方便使用internet网络上的资源。由于internet通常采用lan或城域网接入方式（光纤接入），而且isp提供的合法ip地址有限，因此，必须采用nat方式实现ip地址转换，或者采用代理服务器实现internet连接共享。而对与校园网的接入用户众多，如果采用代理服务器的话，网络的性能将得不到保障。所以在这里我们使用nat地址转化方式。nat是对ip分组报头中的地址进行操作的过程，它将ip报头中的目的地址、源地址或这两个地址替换为管理员分配的不同地址。nat的实现方式有三种，即静态转换static nat、动态转换dynamic nat和 端口多路复用overload。 （1）静态转换是指将内部网络的私有ip地址转换为公有ip地址，ip地址对是一对一的，是一成不变的，某个私有ip地址只转换为某个公有ip地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。 （2）动态转换是指将内部网络的私有ip地址转换为公用ip地址时，ip地址对是不确定的，而是随机的，所有被授权访问上internet的私有ip地址可随机转换为任何指定的合法ip地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当isp提供的合法ip地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 第三章 综合布线3.1 综合布线 综合布线是一个能支持多种应用系统的模块化、灵活性极高的建筑物内或建筑物之间的信息高速传输通道，其组成部件包括不同系列和规格的通信介质、连接硬件（如配线架、连接器、适配器、插座和插头）以及电气保护设备等。一个设计良好的综合布线对其服务的设备应具有一定的独立性，能互连多种不同应用系统的设备，如模拟或数字式的公共系统设备，也能支持语音、数据、图形图像和视频设备。 3.1.1. 综合布线模块划分 综合布线一般采用星形拓扑结构。该结构下的每个分支子系统都是相对独立的单元，对每个分支系统的改动都不影响其他子系统，只要改变节点连接方式就可使综合布线在星形、总线形、环形、树形等结构之间进行转换。综合布线采用模块化的结构。按每个模块的作用，可把它分成六个部分：工作区子系统、配线（水平）子系统、干线（垂直）子系统、管理子系统、设备间子系统、建筑群子系统。3.1.2 综合布线的特点 与传统的布线相比，综合布线具有许多的优越性。其特点主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性，而且在设计、施工和维护方面会带来许多方便。3.1.4设计规范的确定 我们为本校的校园网设计的综合布线系统将基于以下目标： （1）符合当前和长远的信息传输要求。 （2）布线系统设计遵从国际（iso/cei11801）标准。 （3）布线系统采用国际标准建议的星形拓扑结构。 （4）基于100mbps应用需要。 （5）布线系统的信息出口采用国际标准的rj45插座。 （6）布线系统符合综合业务数据网的要求。 （7）布线系统要立足开放原则。3.1.5 布线要求 校园网络计算机主机房位于综合楼的三楼。然后通过光缆分别连至校内的其他建筑，在各建筑内部采用五类4对5类utp电缆连接到设备间的配线架。3.2 系统设计 3.2.1 工作区子系统的设计 工作区系统又称为服务区子系统,它是由rj-45插座和所连接的设备组成,对于校园网的用户,基本上需求不是很大,故基本型即可。 基本型,用铜芯电缆组网，每个工作区的配线电缆为一条4对双绞线,引至楼层配线架。系统支持语音、数据、图像等功能，能随应用的需要转向更高功能的布线系统。3.2.2 水平子系统的设计 水平子系统也称为水平布线系统。水平布线子系统是从rj-45插座开始到布线主干的子系统。由4对5类utp组成，能支持大多数现代化通信设备。（1） 用线采用utp双绞线。（2） 长度不超过90米。（3） utp双绞线布线方式采用线槽管道布线方式。综合楼一楼施工平面图如图图3-1，其余楼层平面图详见（附件1）图3-13.2.3 管理子系统的设计 为了管理方便，各层的交换机统一安放在设备间的配线架，故各层交换机只需一条光缆连接即可。 管理间的设计及建设应考虑一下因素：（1） 管理间位置 各楼层管理间一般设置在弱电竖井内（2） 管理间环境要求 管理配线间要尽量保持无尘，注意防火，散热良好，每个电源插座容量不小于300w，并根据设备的要求及有关规定保证一定的温度和湿度。建议的最佳温度和湿度：温度 1626，湿度 45%65%。（3） 配线架排列 管理间的配线间排列应遵守原则：进出线方便，跳线方便、尽量短，墙面布局合理、占用空间小。 （4）跳线管理采用eia/tia 568b 接线方式，级联时若交换机无级联口，可用交叉线连接。 （5）系统接地 确保穿线金属管、金属线槽与桥梁之间及各配线架的金属外壳具有良好的电气连接特性，所有设备间ingredients提供接地端接子。3.2.4 干线子系统的设计 干线子系统是结构化布线系统的骨干，包括：（1） 供干线走缆走线用的垂直通道；（2） 设备间与网络接口之间的连接电缆；（3） 设备间与建筑群子系统之间的连接电缆；（4） 主设备间与计算机中心间的电缆。 干线子系统的设计必须能满足当前的需求，同时又能适应今后的发展。综合楼垂直布线图如图3-2 图3-23.2.5 设备间子系统的设计设备间子系统中的电话、数据、计算机主机设备及其保安配线设备宜设在一个房间内。设备间的位置及大小应根据设备的数量、规模、最佳网络中心等内容综合考虑确定。在设备间子系统的设计和安装过程中还需要考虑配备不间断电源ups和安全因素。同时，建筑群的线缆进入建筑物时应有过流、过压保护设施，设备间室温保持在1027，相对湿度保持在30%80%。3.3施工进度控制施工进度控制关键就是编制施工进度计划，合作安排好前后序作业的工序，综合布线工程具体的作业安排如下：（1）对于与土建工程同时进行的布线工程，首先检查垂井、水平线槽、信息插座底盒是否已安装到位，布线路由是否全线贯通，设备间、配线间是否符合要求，对于需求安装布线槽道的布线工程来说，首先需要安装垂井、水平线槽和插座底盒等。（2）敷设主干布线主要是敷设光缆或大对数电缆。（3）敷设水平布线主要是敷设双绞线。（4）线缆敷设的同时，开始为各设备间设立跳线架，跳线面板光纤盒的安装。（5）当水平布线工程完成后，开始为各设备间的光纤及utp/stp安装跳线板，为端口及各设备间的跳线设备做端接。 (6)安排好所有的跳线板及用户端口，做全面性的测试，包括光纤及utp/stp，并提供报告交给用户。综合布线系统工程施工组织进度见下表15-1 表3-3 综合布线系统工程施工组织进度 图3-33.4 综合布线系统的预算设计方式预算设计方式取费的主要内容一般由材料费、施工费、设计费、测试费、税金等组成。下表是一种典型的综合布线系统工程预算标价设计表。 布线工程报价名称型号单价数量总价/元配线架安普6类24口配线架1120元/个11个12,320六类非屏蔽线安普9-1427200-6920元/箱10箱9,200双口面板mx-bfp-s-02-025元/只247个1,2356类模块安普(0-1375055-6)48元/个247个11,856光缆62.5/125室内6芯多模光缆32元/米2000米64,000机柜图腾te6621.9001280元/个25个32,000设备总价（不含测试费）130,611设计费（5%）6,530.55测试费（5%）6,530.55督导费（5%）6,530.55施工费（15%）19,591.65税金（3.41%）4,453.84总计174,248网络设备报价名称设备型号单价（元）数量（个）总价（元）交换机cisco 3560g25700377,100交换机cisco 296041001977,900无线路由cisco wap4410n wireless-n160058,000防火墙cisco asa5510-k8 14500114,500服务器惠普ml110 g66800320,400上网行为管理深信服 ac110024750124,750合计222,650总报价布线工程报价（rmb元）174,248元网络设备报价（rmb元）222,650元工程总费用（rmb元）396,898元第四章 网络系统设计的实现在前一章中，给出了校园网网络系统的规划设计方案。通过本章，将在给出的设备上配置一系列相应的命令参数，来完成已规划好的具体方案，实现校园校的需求。网络配置拓扑图如图4.1。 图4.14.1配置核心层核心层交换机通过自己的端口同广域网接入模块相连，并负责整个校园网的vlan间的路由选择。设置交换机名称。当需要telnet登录到多台交换机时，通过交换机的名字，方便的确认其所在的位置。（1） 配置核心层交换机的基本参数，包括核心交换机本地密码、管理ip和telnet密码配置。设置交换机名称。当需要telnet登录到多台交换机时，通过交换机的名字，方便的确认其所在的位置。switchswitch enswitch #conf tenter configuration commands, one per line. end with cntl/z.switch (config)#hostname sw-a 更改主机名称sw-a(config)#interface vlan 1sw-a(config-if)#ip address 172.16.1.1 255.255.255.0 配置telnet的ipsw-a(config-if)#no shutdown sw-a(config-if)#exitsw-a(config)#enable password 123sw-a(config)#line vty 0 4sw-a(config-line)#password 123 配置远程登录密码sw-a(config-line)#loginsw-a(config-line)#exitsw-a(config)#（2） 配置核心层交换机的服务器群vlan及vlan ipsw-a(config)#vlan 100sw-a(config-vlan)#exitsw-a(config)#interface range f0/1-3sw-a(config-if-range)#sw-1port access vlan 100sw-a(config-if-range)#exitsw-a(config)#interface vlan 100sw-a(config-if)#ip address 192.168.1.1 255.255.255.0 配置vlan100的ipsw-a(config-if)#no shutdown （3） 配置核心层交换机与路由链接端口vlan及vlan ipsw-a(config)#vlan 200sw-a(config-vlan)#exitsw-a(config)# interface f 0/24sw-a(config-if)#switchport access vlan 200sw-a(config-if)#exitsw-a(config)#interface vlan 200sw-a(config-if)#ip address 10.10.10.1 255.255.255.0sw-a(config-if)#no shutdown （4） 配置核心层交换机的vlansw-a (config)#vlan 2sw-a (config-vlan)#exitsw-a (config)#vlan 3sw-a (config-vlan)#exitsw-a (config)#vlan 4sw-a (config-vlan)#exitsw-a (config)#vlan 5sw-a (config-vlan)#exitsw-a (config)#vlan 17sw-a (config-vlan)#exitsw-a (config)#vlan 18sw-a (config-vlan)#exitsw-a (config)#vlan 19sw-a (config-vlan)#exitsw-a (config)#vlan 20sw-a (config-vlan)#exit（5） 配置核心层交换机各个vlan的ipsw-a (config)#interface vlan 2sw-a (config-if)#ip address 192.168.2.1 255.255.255.0sw-a (config-if)#no shutdown sw-a (config-if)#exitsw-a (config)#interface vlan 3sw-a (config-if)#ip address 192.168.3.1 255.255.255.0sw-a (config-if)#no shutdown sw-a (config-if)#exitsw-a (config)#interface vlan 4sw-a (config-if)#ip address 192.168.4.1 255.255.255.0sw-a (config-if)#no shutdown sw-a (config-if)#exitsw-a (config)#interface vlan 5sw-a (config-if)#ip address 192.168.5.1 255.255.255.0sw-a (config-if)#no shutdown sw-a (config-if)#exitsw-a (config)#interface vlan 17sw-a (config-if)#ip address 192.168.17.1 255.255.255.0sw-a (config-if)#no shutdown sw-a (config-if)#exitsw-a (config)#interface vlan 18sw-a (config-if)#ip address 192.168.18.1 255.255.255.0sw-a (config-if)#no shutdown sw-a (config-if)#exitsw-a (config)#interface vlan 19sw-a (config-if)#ip address 192.168.19.1 255.255.255.0sw-a (config-if)#no shutdown sw-a (config-if)#exitsw-a (config)#interface vlan 20sw-a (config-if)#ip address 192.168.20.1 255.255.255.0sw-a (config-if)#no shutdown sw-a (config-if)#exit（6）配置核心层交换机trunk端口sw-a(config)