河源职业技术学院校园网的实施方案设计(5稿).doc

毕业设计（论文）毕业设计（论文） 设计（论文）题目设计（论文）题目 河职院校园网的实施方案设计河职院校园网的实施方案设计 学学 院：院： 电子与信息工程学院电子与信息工程学院 学生姓名：学生姓名： 张伟彬张伟彬 专业班级：专业班级： 08 网络（网络（2）班）班 学学 号：号： 2008204218 指导教师：指导教师： 叶红卫叶红卫 2011 年年 6 月月 7 日日 毕业设计（论文）毕业设计（论文） I 摘要摘要 随着 Internet 的诞生,校园网的建设越来越受到各大高校的重视。本论文是以河 源职业技术学院校园网的现状，对进一步完善校园网做出了比较可行的规划与设计。 此方案以千兆网络为主干，提供对所有基于网络的应用系统的支持，提供安全的互联 网接入。建成一个具有高可靠性和开放性的校园网络，提供校园内部及面向全球的 WWW 服务、FTP 服务、NEWS 服务、E-mail 电子邮件服务，实现与国际互联网的完全 接轨。 关键词：网络设备；互联网；网络服务；网络协议；多媒体 毕业设计（论文）毕业设计（论文） II 目录 摘要 .II 第一章 概 述 1 第二章 需求分析 .2 2.1 网络建设现状.2 2.2 网络功能需求分析.2 2.2.1 网络工程分析2 2.2.2 网络工程规划的目标与原则4 2.2.3 功能设计4 2.2.4 项目技术指标5 2.2.5 表分析5 第三章 网络工程规划 .7 3.1 总体网络设计.7 3.1.1 网络工程规划总则7 3.1.2IP 地址规划8 3.1.3 VLAN 划分 9 3.2 详细网络设计.9 3.2.1 网络中心机房设计9 3.2.2 教学楼网络规划10 3.2.3 学生宿舍网络规划10 3.2.4 图书馆网络规划11 3.2.5 实训中心网络规划11 3.2.6 行政楼网络规划12 3.2.7 IP 和 VLAN 划分13 3.3 安全规划14 第四章 网络设备选型 19 4.1 核心交换机的选择与介绍19 4.2 汇聚层换机的选择与介绍21 毕业设计（论文）毕业设计（论文） III 4.3 接入交换机的选择与介绍23 4.4 防火墙的选择与介绍25 4.4 磁盘阵列的选择与介绍27 4.5 服务器的选择与介绍27 第五章 DR 计费设计规划.29 5.1 产品简介29 5.2 解决方案29 5.3 方案介绍30 5.3.1 支持多种通信线路30 5.3.2 用户管理功能30 5.3.3 计费和费用管理功能31 5.3.4 网络安全功能31 5.3.5 远程接入31 5.3.6 提供互动友好的操作和使用界面31 5.5 总结 .32 结束语 .33 参考文献 .34 毕业设计（论文）毕业设计（论文） 0 第一章 概 述 河源职业技术学院位于有“青山绿湖碧水城” 美誉的全国优秀旅游城市广东 省河源市市区，是 2001 年经省人民政府批准，在具有 70 多年办学历史的广东老隆师 范学校的基础上设立的，属国家教育部注册、地方政府投资的一所公办全日制高等职 业院校。 2009 年下半年，河职院正式踏入万人校园行列。学院全日制在校生 10574 人，教 职工近 600 人、其中副高职称以上教师和双师素质教师约占总教职工人数一半。学院 下设人文学院、机电工程学院、工商管理学院、电子与信息工程学院、艺术与设计学 院、继续教育学院、思想政治理论教学部共 7 个二级院部，下设信息中心、图书馆、 高等职业教育研究所等 3 个教辅机构；开设应用电子技术、模具设计与制造、旅游管 理、文秘、计算机应用技术、英语教育、语文教育、音乐教育等 33 个专业；拥有先进 的教学仪器设备，建有 76 个功能齐全的校内实训（验）室和 196 个校外实习基地，教 学电脑 1827 台，图书馆藏书已超 70 万册。 学校经过多年的努力，信息化建设累计投资达 800 多万元，至今已建成一个覆盖 全校区并能提供稳定、高效、较为先进的网上信息交流服务的校园信息化平台。学院 校园网以千兆光纤为主干，连接了包括教学楼、实训楼、图书馆及学生宿舍等校园楼 宇。各楼宇光纤互联的信息节点达 8000 个。目前校园网采用双出口链路分别连接电信 网与教科网，并部署高性能防火墙。 学院建有门户网站（）和多个二级网站，提供了 WEB、FTP、BLOG、 电子邮件等应用服务。学院还引进了 OA 办公系统、教务系统、网络教学平台、图书管 理系统、财务管理系统、党务管理系统等，自主开发了公物报修系统、试卷分析系统、 精品课程评选系统、绩效考核系统等。 校园网已成为广大师生员工获取信息的重要途径和对外交流的重要工具，更是学 校教学、科研、管理的必备支撑平台。近几年来，随着学校办学规模的进一步扩大， 原有的人工管理模式已经限制了学校在教学、管理、科研方面的核心竞争力发展。经 学校领导班子讨论，计划在 2009 年对全校进行统一的数字化校园规划与部署工作。 毕业设计（论文）毕业设计（论文） 1 第二章 需求分析 2.1 网络建设现状 河源职业技术学院是一所地方政府投资的全日制普通高等学校。学校背靠梧桐山， 面向东江河，紧依东环路，风光旖旎，交通便利。学校占地面积 1500 亩，学校现有普 通全日制在校生 10000 余人，教职工 1000 余人。学校现有行政楼 1 栋、教学楼 4 栋 （A、B、C、D） 、图书馆 1 栋、实训楼 2 栋（A、B） 、学生宿舍楼 21 栋（A区 6 栋、 B 区 6 栋、C区 3 栋、D 区 6 栋） 。 2.2 网络功能需求分析 校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资 源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过 网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、 财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网 上信息采集和处理的自动化，实现信息和设备资源的共享，因此，校园网的建设必须 有明确的建设目标。校园网的总体设计原则是：开放性采用开放性的网络体系，以方 便网络的升级、扩展和互联；同时在选择服务器、网络产品时，强调产品支持的网络 协议的国际标准化。 2.2.1 网络工程分析 需求分析 校园网的网络设计需求分析应满足以下条件：连接到电信网和教育网的主节点的 速率为 250Mbps；校内骨干网必须是 1Gbps 高速网，能支持虚拟分段和多媒体应用； 目前校园网上除门户网站外还有很多其他的网站，特别是学生组织网站较多、图书馆 网上有多种电子刊物。因此 web 服务器要有较大容量，图书馆网络要设计为 SAN 框架， 支持图书馆网络和其它网络之间资源的双向访问；学校目前在不断的发展壮大，因此 为了拓展需要应用层网络设备要有足够的扩展能力，当网络扩大时，网络性能不会大 幅度下降；教学管理软件、办公自动化及部分管理软件已在各部门局域网上运行，在 校园网上要统一标准；网络要易于维护和管理，有方便的网络管理工具；网络应有一 定的安全机制，防止滥用；本网络的网络建设必须采用当前最新的网络技术。 毕业设计（论文）毕业设计（论文） 2 网络通信平台 根据河源职业技术学院现在的实际情况，网络采用核心层、汇聚层、接入层的组 网方式。以图书馆的网络中心为核心，向外围的建筑物辐射，学校网络中心位于图书 馆 A 区五楼的电子阅览室，通过核心交换机与 Internet 相连，由于学校各楼宇之间 的相距较远因此为了保证网络的联通和日后的拓展，图书馆、教学楼、行政楼、实训 楼、学生宿舍各建筑通过光纤与网络中心连接。建筑物的层与层之间采用双绞线相连。 光纤传输突出的优点： 频带宽 损耗低 重量轻 抗干扰能力强 保真度高 工作性能可靠 成本不断下降 网络通信平台采用三层体系架构。核心层设备只有两台 Catalyst6506，20 余个子 网（VLAN）在其上通信，数据链路层采用冗余设计，楼内网络覆盖达到 60%的需求。 网络资源平台 网络资源平台建设主要集中在图书馆网络中心。现存在网络化学习资源不够多和 资源利用不足，如何设计网络资源平台来解决这个问题？ 网络管理平台 网络管理平台一般包括：配置管理、安全管理、性能管理、故障管理、计费管理 等内容。根据学校现在的状况，目前主要侧重网络的安全管理和计费管理。随着网络 规模的扩大和网络用户的增多，需要建构一个统一、安全、可靠、方便的网络管理平 台，除了安全管理和计费管理外，配置管理、性能管理和故障管理也是亟待解决的问 题。 网络拓扑分析 整个主干网以图书馆网络中心的主机房中心节点，向外辐射。通过各个建筑等多 个建主楼节点构成主干网。为实现网络动态管理和虚拟局域网，在中心节点交换机上 毕业设计（论文）毕业设计（论文） 3 配置第三层交换模块和网络监控模块。教学楼、行政楼、图书馆楼采用堆叠式交换机， 以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。学生宿舍、 实训楼采用模块化汇聚交换机。 2.2.2 网络工程规划的目标与原则 以满足校园内目前主要的网络应用为基本设计目标，为未来可能的应用保留充 分的扩充余地； 本方案根据河源职业技术学院的现状和需求目标、特点及实现的功能与技术要 求，充分考虑项目方案的实用性、经济性和先进性。尤其注重了网络设备易维护和易 操作。采用目前通用的技术路线，但要充分考虑能够适应未来可能的技术发展； 布线工程一次性连通学校内所有主要建筑物，根据应用项目的实际需要分期分 批配置网络设备； 充分注意保证网络的安全性，可靠性和可维护性。 2.2.3 功能设计 办公自动化 基于 Web 综合管理信息系统，提供行政、人事、学籍、教学、后勤、财务管理、 公文收发管理、教师档案管理、学生档案管理、科技档案管理等，使学校日常办公无 纸化，减少办公开支，提高办公效率。 网络多媒体教学 将计算机多媒体引入课堂教学，使声音、图像、动画的普遍采用可以大大提高教 学效果，使每一节课都能够得到有效的作用。 学生自主学习 针对不同的学生，提供不同的教学内容，采取不同的教学手段。主要采用基于 VOD、WEB 及 FTP 的课件和光盘软件资源，学生可以根据自己的需要自由选择所需内容。 电子图书馆 基于 Web 的图书音像资料供学生随时阅读，并与 Internet 连接，使图书馆得到进 一步拓展，使学生能够随时随刻得到网上资源。 有了电子图书馆以后，所有资料可以以电子文档形式存入大容量服务器中，通过 毕业设计（论文）毕业设计（论文） 4 网络向图书馆内、甚至教室、办公室或宿舍内的客户机开放，这样师生们可以不受时 间、空间限制随时查阅所需资料，同时实现了同一资源的多人共享；资料包含的内容 不仅为文字，还可以是图像、声音等多媒体信息，甚至还能是一段电影，可谓丰富多 彩；当然这样的开放也不是无条件的，每人都有的“电子借书证“（网络帐号） ，凭此在 许可范围内借阅；同时，图书管理工作也由机器来完成，除了提供方便快捷的检索工 具外，还可以跟踪每人的借阅记录。 电子邮件及 OA 将为每一位教师和学生开设一个电子邮件账号。校园网信息平台还应有功能强大 的邮件系统和 OA 系统，可以为每个使用者建立自己的信箱，和 OA 账号，安全保密又 极大地方便了通信。许多事务处理均可以通过邮件和 OA 提醒，高效便利。 校园一卡通工程 利用 IC 卡易于管理的特性，结合校园网络，轻松实现学期注册、考试、教务管理， 食堂餐饮管理，图书借阅管理，网上缴费等多种 IC 卡应用。 校园移动上网 采用有线和无线网络混合建构，方便学生、老师移动上网学习和办公。 无线局域网技术的日趋成熟可以提供更加高效灵活的解决方案，可以用较少的投 资获得空前的应用灵活性。随着国家对中国教育行业的更加重视并加大投入，中国教 育网的建设得到了国家更大的支持并得到了更加广泛的应用，并已经成为一种其它方 式不能代替的获得资源的重要手段，因此教师和学生对网络的依赖也越来越强，随时 随地能够从网络获得相要的资源成为教育用户追求的目标。 2.2.4 项目技术指标 采用先进成熟的网络技术；统一技术规范、标准和方案，统一设备选性，统一组 织实施；网络系统采用三层架构，采用 TCP/IP 协议栈，采用统一的客户端应用软件； 网络系统采用全交换网络，核心层、汇聚层采用冗余连接，办公楼和学生公寓楼局域 网采用静音设计；网络系统按部门、业务划分 VLAN，网络多层交换采用 802.1Q 虚拟干 道协议、802.1D 生成树协议、802.1X 认证协议和 802.1P 优先队列排序；网络综合布 线采用 EIA/TIA568B、EIA/TIA569、TSB36、TSB40 等标准施工；网络系统必须满足标 准化的要求，以实现开放性、可扩展性；重要部件、文挡要有备份，保证系统全天候 运转；重视数据的安全与保密，建立完善的网络安全管理系统。 毕业设计（论文）毕业设计（论文） 5 2.2.5 表分析 表 2-1 各网络应用需求分析表 应用名称应用名称应用类型应用类型评价评价 电子邮件电子邮件教职工间传输数据 OA办公自动化教职工办公文件发放与下载 FTP文件共享对内提供教学资料 校/各院主页WEB 服务宣传查询平台 图书馆藏书电子阅览对内提供电子阅览 财务管理电子账务管理整个学校财务 信息网上发布电子公告学校对内发布公告 网上讨论技术交流校内外师生交流平台 教工/学生上网Intenet 服务最基本的服务 无线上网无线接入未来发展的趋势 表 2-2 各用户团体需求分析表 主要用户团体主要用户团体所处位置所处位置主要应用类型主要应用类型 学生学生宿舍楼综合型 教职工各院办公室电子办公 教师多媒体教室网络教学 实训人员实训中心各项目实训 教师学生教学楼上课教学 行政人员行政楼电子办公 表 2-3 数据存储位置分析表 数据类别数据类别存储位置存储位置访问对象访问对象所处网络位置所处网络位置 Web 数据网络中心整个 Internet核心层 学生学籍信息网络中心全校学生核心层 财务数据财务处财务人员接入层 毕业设计（论文）毕业设计（论文） 6 教学资源网络中心全校师生核心层 考试信息教务处教学员工接入层 OA 及 Email网络中心全体教职工核心层 毕业设计（论文）毕业设计（论文） 7 第三章 网络工程规划 3.1 总体网络设计 根据学校目前的网络现状及要求，学校的网络系统从设计上分为核心层、汇聚层 和接入层；从功能上基本可分为校园网络中心、教学子网、办公子网、宿舍区子网等。 3.1.1 网络工程规划总则 分层思想使网络有一个结构化的设计，针对每个层次进行模块化的分析，对统一 管理网络和维护非常有帮助。目前，分层式的设计已经成为一个潮流。我们首先先对 三个层次进行分析，然后简单介绍该校校园网的功能子网。 核心层: 核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重 点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实 施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及 网络设备的要求十分严格。核心层设备将占投资的主要部分。 汇聚层: 汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接 本地的逻辑中心，仍需要较高的性能和比较丰富的功能。 接入层: 我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高， 那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户(教师、学 生) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当 然我们也应该考虑端口密度的问题。 河源职业技术学院校园整体网络拓扑结构如下图 3-1 所示。 图 3-1 河源职业技术学院校园整体网络拓扑图 毕业设计（论文）毕业设计（论文） 8 学校图书馆的网络中心是核心层交换机、防火墙、服务器等重要设备的所在地。 而供全校使用的服务器也将连接到核心层交换机上，充分利用核心层交换机的路由、 控制和安全的功能，达到服务器资源的有效利用。而公网的出口连接到核心层交换机， 在公网和内网之间要有防火墙保障(软件的或硬件的) ，以确保安全和防止反动的、色 情的内容入侵校园网络。 汇聚层的交换机选择 3 层交换机，在全网络的设计上体现了分布式路由思想，可 以大大减轻核心层交换机的路由压力，有效的进行路由流量的均衡。 接入层交换机选用对环境的适应力强一点的，这是因为在每个建筑里都设置一个 通风良好、防外界电磁干扰条件优良的设备间是不现实的，大多数楼层交换机被放置 在楼道里，所以接入层的设备首先应该对恶劣环境有良好的“抵抗力” 。接入层设备不 用追求太多的功能，只要稳定就好。 整体的设计对传输多媒体信息特别是语音和视频的支持有利，提供端到端 Multicast 支持。这主要取决于校园的教学应用需求。 3.1.2IP 地址规划 IP 地址的合理规划是校园网网络设计中的重要一环，大型计算机网络必须对 地址进行统一规划并得到实施。IP 地址规划的好坏，影响到网络路由协议算法的效率， 影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络 应用的进一步发展。 1）校园网 IP 地址分配总则 IP 地址规划根据所分配的公网 IP 地址和内部私网 IP 地址分配，地址可分为两大 块，一块是电信网分配多个公网 IP 地址，作为和国际互联网互连的地址，学校门户网 站域名 就解析在这片公网 IP 地址上，主要供图书馆网络中心、部分 特殊部门专用；校园网的普通用户,使用内部地址，不能和国际互联网直接发生联系， 要通过网络中心的核心交换机将数据包转发，不能避开代理和计费系统。 2）校园网内部私网 IP 地址的分配 内部地址的分配原则是按建筑物进行的，视用户的数量和类型来划分。对于相对 固定不变的教学区采用静态分配 IP 地址，为防止地址盗用，采用 IP 地址与 MAC 地址 绑定，对于流动性大、用户人数多、用户增长快的学生宿舍区采用动态分配 IP 地址。 对上网用户的管理，是基于 Dr.COM 所具备的对信息流和用户的需求可以实时的、 毕业设计（论文）毕业设计（论文） 9 互动的强大的控制能力。根据用户的身份验证，给予不同的应用授权和计费方法，并 且实时监控信息的流通的全部过程，通知用户的资源的使用情况和状态，根据用户的 授权属性保持或切断用户的连接。校园网内的网络资源不需认证就可访问，但访问校 外的资源就必须经过认证,用户开机时，从 DHCP 服务器获得校园 IP 地址，并可以直接 访问校园网。 3）中心交换机支持静态或动态的 IP 地址分配，并支持动态 IP 地址分配方式下 DHCP-Relay 功能，DHCP SERVER 可安放在园区内部。 4）对于固定 IP 地址用户，需要针对标识符（MAC 地址）设定保留 IP 地址。 3.1.3 VLAN 划分 对于学生区，校园网内 VLAN 划分是一层楼一个 VLAN。交换机内部实现 VLAN+PORT 的标识，所以 VLAN 规划中可以重复分配，但是需要保证相同的 VLAN 号必须分配在不 同的物理端口下。 对于教学楼和实训中心的机房，每一间教室将划分一个 VLAN，每台计算机设置静 态 IP 地址。 对于行政楼办公室和各二级学院办公室，是每个部门划分一个 VLAN。特别是要将 财务部与其他部门分隔开 3.2 详细网络设计 校园网详细设计主要包括以下部分：网络中心机房设计、图书馆网络规划、教学 楼网络规划、行政楼网络规划、实训中心规划、学生宿舍楼规划。 3.2.1 网络中心机房设计 通过光纤接入，连接“CISCO SECURE PIX 525”防火墙，再连接到一台“CISCO WS-C6509-E”的核心交换机和服务器群。一台为宿舍区，在交换机前连接了“D 服务器” ，2 台交换机分别都连接到服务器群组；服务器群组服务器统一采用“IBM System X3650 7979R01” ，一台对外 Web 服务器，放的是学校的官方网站；一台内网 Web 服务器，是学校的内部网站；一台 Ftp 服务器，由于 FTP 流量比较大，所以增加了 一台“IBM TotalStorage DS3200”Raid 服务器。 核心层交换机通过光纤连接到教学楼、实训中心、图书馆、行政楼、学生公寓 毕业设计（论文）毕业设计（论文） 10 A、B、C、D 区的汇聚层交换机。 3.2.2 教学楼网络规划 网络中心的交换机“CISCO WS-C6509-E”通过单模光纤连接到教学楼的汇聚交换 机相连。汇聚交换机分别连接到各楼栋的接入层交换机，通过双绞线连接到每个课室 的信息面板上。 教学楼拓扑结构如下图 3-2 所示。 图 3-2 教学楼拓扑图 3.2.3 学生宿舍网络规划 网络中心的交换机“CISCO WS-C6509-E”通过单模光纤连接到学生宿舍楼连接到 汇聚交换机，再分别接出 6 条 1000M FX 双绞线分别连到 6 台“华为 S1024 交换机” ， 每层楼各一台“华为 S1024 交换机” ，每间宿舍的电脑通过宿舍里的“TL-SF1008+交换 机”连接到“华为 S1024 交换机” ， 在“CISCO3845 交换机”上将连接到每层楼的交换 机的端口划分为一个 VLAN，时间限制以及上网控制在网络中心的路由器上设置。 学生宿舍楼拓扑结构如下图 3-3 所示。 毕业设计（论文）毕业设计（论文） 11 图 3-3 学生宿舍楼拓扑图 3.2.4 图书馆网络规划 网络中心的交换机“CISCO WS-C6509-E”通过单模光纤连接到图书馆，连接到 “WS-C3750G-12S-S 交换机” ，再连接到网吧计费系统的服务器，将 3 台“华为 S1024 交换机” ”通过堆叠方式连接起来，再与计费服务器相连， “超星电子书库”镜像存放 在 RAID0 磁盘阵列中连接到“知网服务器” ，再连接到“WS-C3750G-12S-S 交换机” ，电 子阅览室的 60 台计算机分别连接到这三台“S1024 交换机”上。 图书馆拓扑结构如下图 3-4 所示。 图 3-4 图书馆拓扑图 3.2.5 实训中心网络规划 核心交换机通过室外光线连接到实训楼的汇聚交换机，汇聚交换机通过双绞线连 毕业设计（论文）毕业设计（论文） 12 接到各个实训课室的信息面板上 实训中心网络拓扑结构如下图 3-5 所示。 图 3-5 实训中心网络拓扑图 3.2.6 行政楼网络规划 网络中心的交换机“CISCO WS-C6509-E”通过单模光纤连接到行政楼的汇聚交换 机，每一层楼使用一台“CISCO2960-24TT-L”交换机，每个办公室都使用“TL- SF1008+交换机”连接到“CISCO 2960-24TT-L 交换机”上。在一楼交换机上将一楼的 财务办公室划分到 vlan 1，其他办公室划分到其他 vlan 以实现财务办公室与其他办公 室的隔离。 行政楼网络拓扑结构如下图 3-6 所示。 图 3-6 行政楼网络拓扑图 毕业设计（论文）毕业设计（论文） 13 3.2.7 IP 和 VLAN 划分 假设学校的公网 IP 为 - 2 1）行政楼：将行政楼每一层交换机按部门划分 VLANxxx（xxx 为部门名称的中文 拼音首字母） ，将连到财务部交换机划分独立 VLAN，每台计算机手工设置静态 IP 地址， DNS 为 66 6,网关 ，子网掩码为 ，在网络中心的路由器上设置动态 NAT 共享上网，公网的 IP 段为 -。 行政楼 IP 范围为:20。 各二级学院办公室也按行政楼类似，划分 VLAN。 各二级学院办公室 IP 范围为:2054。 2）教学楼：将 VLAN4VLAN67 分别划分给每一间教室，每台计算机手工设置静态 IP 地址，DNS 为 66 6,网关 , 子网掩码为 ，在网络中心的路由器上设置动态 NAT 共享上网，公网的 IP 段为 -0。 1 楼的 IP 范围为 6 2 楼的 IP 范围为 72 3 楼的 IP 范围为 38 4 楼的 IP 范围为 94 表 3-1 计算机室 16 的 IP 划分表 计算机室服务器 IP教师机学生机 1 /24 9/24 2/241/24 2 /24 0/24 2/241/24 3 /24 1/24 2/241/24 4 /24 2/24 2/241/24 毕业设计（论文）毕业设计（论文） 14 5 /24 3/24 2/241/24 6 /24 4/24 2/241/24 3）学生宿舍区：将 VLAN 68 到 VLAN 73 分别划分给学生宿舍楼 A 的 16 层，将 VLAN 74 到 VLAN 79 分别加划分给学生宿舍楼 B 的 16 层。其 IP 地址由网络中心的 将路由器设为 DHCP 服务器，设其 IP 段为 55 子网掩码为 自动分配给学生宿舍区。在网络中心的路由器上设置动态 NAT 上网，公 网的 IP 段为 1-0。 4）图书馆：将连到电子阅览室的交换机端口划分为 VLAN80，将连到“知网”服务 器的交换机端口划分为 VLAN81，每台计算机手工设置静态 IP 地址，DNS 为 66 6,网关 , 子网掩码为 。在 网络中心的路由器上设置动态 NAT 共享上网，在网络中心的路由器上设置动态 NAT 共 享上网，以及设置静态 NAT，绑定知网公网地址。公网的 IP 段为 1- 5。 知网服务器 IP 为公网 IP 为 1，内网 IP 电子阅览室的 IP 为 -3 5）实训中心：将连到实训中心的交换机端口划分为 VLAN82VLAN86，各个机房划 分一个 VLAN，IP 范围为 -55，公网的 IP 段为 6- 0。 6）将 VLAN87VLAN90 分别划分给 FTP、校内论坛和教学网站、学校官方网站，手 动设置 IP，在网络中心的路由器上设置静态 NAT，绑定学校官方网站公网地址。 FTP IP 为 论坛 IP 为 教学网站 IP 为 学校官方网站外网 IP 为 1 内网 IP 3.3 安全规划 网络的安全性是评价校园网的重要指标之一，对于校园网这样的大型园区网，网 络的安全问题就越发重要。 毕业设计（论文）毕业设计（论文） 15 本地主机系统的安全考虑： 计算机病毒是伴随着计算机而产生的，它同时随着计算机技术的发展而发展，在 网络环境中，计算机病毒更易于传播，其对系统的危害也是明显的，在校园网工程中 建议采用网络与单机相结合的方式来避免计算机病毒的危害。 内部网安全控制： 通过 VLAN 的划分，利用中心交换机上高性能路由模块的管理和控制，可以控制内 部各 VLAN 间的访问。 外联网的安全控制： 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以考虑信 息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来， 成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才 有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网与外部网络 （如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网 络服务的可用性。 拨号访问的安全设计： 对于从外部拨号访问中心内部局域网的用户，由于使用公用电话网进行数据传输 所带来的风险，必须严格控制其安全性，主要措施如下： *通过在拨号访问服务器后设置防火墙来实现网络的安全性，以严格限制拨号上网 用户所访问的系统信息和资源。 *使用专用身份验证服务器，以加强对拨号用户的身份认证。 *在数据传输过程中采用加密技术，防止数据被非法窃取。 数据的安全： 网络系统应能通过身份验证实现信息的鉴别，通过存取控制达到对信息的控制， 通过数字签名或数据压缩等算法保证数据在传送过程中保持完整、保证信息的机密。 在实现时重点考虑信息系统整体的安全控制策略和重要设备的安全控制。 网络管理系统： 要求校园网的网络管理软件应提供流量、错误、广播、利用率等性能分析的图表， 要有支持基于 WEB 的网管并支持扩充性设计。 根据信息点的需求情况，在网络的整体设计中要充分考虑到网络的扩展性。这包 毕业设计（论文）毕业设计（论文） 16 括：整个网络结构的扩展性和网络设备的扩展性。 通过链路聚合技术实现网络高带宽和高可靠性通过链路聚合技术实现网络高带宽和高可靠性 链路聚合技术亦称主干技术（Trunking）或捆绑技术（Bonding） ，其实质是将两 台设备间的数条物理链路“组合”成逻辑上的一条数据通路，称为一条聚合链路，此 次网络建设内网两台核心交换机之间采用 2 条千兆光纤链路聚合互联。交换机之间物 理链路 Link 1、Link2 组成一条聚合链路。该链路在逻辑上是一个整体，内部的组成 和传输数据的细节对上层服务是透明的。 聚合内部的物理链路共同完成数据收发任务并相互备份。只要还存在能正常工作 的成员，整个传输链路就不会失效。如果 Link1 故障，它们的数据任务会迅速转移到 Link2 上，因而两台交换机间的连接不会中断。 链路聚合中，成员互相动态备份。当某一链路中断时，其它成员能够迅速接替其 工作。与生成树协议不同，链路聚合启用备份的过程对聚合之外是不可见的，而且启 用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。 在校园网络中，区域汇聚层交换机与核心交换机，部分接入交换机与汇聚交换机 直间都是通过双链路连接，可以采用链路局和技术提高网络带宽，建立备份线路。 通过通过 STPSTP 技术防止链路回环技术防止链路回环 在校园网络中存在设备众多管理复杂等问题，特别是学生思维活跃，动手能力强， 监管难度大，学生的实验或教职工对信息点的误拔插可能引起校园网的链路回环，这 就可以通过采取生成树协议族(STP/RSTP/MSTP),防止链路产生环路而造成对网络的影 响。 STP(Spanning Treep Protocol)能够提供路径冗余，使用 STP 可以使两个终端中 只有一条有效路径。STP 在大的网络中定义了一个树，并且迫使一定的备份路径处于备 用状态。如果生成树中的网络一部分不可达，或者 STP 值变化了，生成树算法会重新 计算生成树拓扑，并且通过启动备份路径来重新建立连接。STP 操作对于终端来说是透 明的，而不管终端连在 LAN 的某一部分或者多个部分。当创建网络时，网络中所有节 点存在多条路径。生成树中的算法计算出最佳路径。因为每个 VLAN 是一个逻辑 LAN 部 分，所以网管员能使 STP 一次工作在最多 64 个 VLAN 中。如果要配置超过 64 个 VLAN， 网管员需要将其他 VLAN 的 STP 禁止，因为默认的 STP 可以支持 1-64 个 VLAN。 通过路由策略来保障网络的健壮性通过路由策略来保障网络的健壮性 毕业设计（论文）毕业设计（论文） 17 IP 网络是建立在对 IP 分组报文进行逐跳转发的基础之上的，路由器是实现这一功 能的核心设备。路由器在接收到一个 IP 分组之后，以 IP 报文的目的索引查找路由表， 并根据找到的路由表项进行转发。但是在某些情况下，用户希望对符合某些过滤条件 的 IP 分组报文进行指定下一跳（或出接口）的转发，路由器所实现的这种路由选择机 制就称为策略路由。 校园网核心层交换机与接入层设备很大部分都实现双归连接，即交换机间均通过 双链路连接备，这时候，选择合适的路由协议满足网络连通性要求，并通过策略路由 优化网络选径和寻址，保证网络的健壮性和区分应用服务要求。 端口端口IPIPMACMAC 地址的绑定：地址的绑定： 学生宿舍区的用户上网的安全性非常重要。交换机应该可以做到端口+IP+MAC 地址 的绑定关系，交换机交换机应能支持基于 MAC 地址的 802.1X 认证，整机最多支持 1K 个下挂用户的认证，每端口支持 256 个。MAC 地址的绑定可以直接实现用户对于边缘用 户的管理，提高整个网络的安全性、可维护性。如：每个用户分配一个端口，并与该 用户主机的 MAC、IP、VLAN 等进行绑定，当用户通过 802.1X 客户端认证通过以后用户 便可以实现 MAC 地址端口IP用户 ID 的绑定，这种方式具有很强的安全特性：防 D.O.S 的攻击，防止用户的 MAC 地址的欺骗，对于更改 MAC 地址的用户（MAC 地址欺骗 的用户）可以实现强制下线。 接入层防接入层防 ProxyProxy 的功能的功能： 考虑到大学生的技术性较强，在实际的应用的过程当中应当充分考虑到学生的 Proxy 的使用，对于 Proxy 的防止，交换机交换机配合 802.1X 的客户端，一旦检测到 用户 PC 机上存在两个活动的 IP 地址（不论是单网卡还是双网卡） ，交换机交换机将会 下发指令将该用户直接踢下线。 MACMAC 地址盗用的防止地址盗用的防止： 在校园网的应用当中 IP 地址的盗用是最为经常的一种非法手段，用户在认证通过 以后将自己的 MAC 地址进行修改，然后在进行一些非法操作，在 的宿舍区网络的设 计当中我们针对该问题，在接入层交换机上提供防止 MAC 地址盗用的功能，用户在更 改 MAC 地址后，交换机交换机对于与绑定 MAC 地址不相符的用户直接将下线，其下线 功能是由交换机来实现的，不依赖于 802.1X 客户端，因此对于学生自己从网上下载的 802.1X 的客户端来说，交换机仍然可以对其进行有效的控制。 毕业设计（论文）毕业设计（论文） 18 MACMAC 地址反查，防攻击特性地址反查，防攻击特性： 网络当中存在大量的攻击性的报文，对于用户来说，当网络当中出现大量的攻击 报文进而形成广播风暴的时候，网管可以实现 MAC 地址反查功能，直接从网管平台可 以了解到出现大量垃圾报文的端口，维护人员可以直接通过网管进行操作将该端口 down 掉，进而避免网络风暴产生的问题。 GuestGuest VLANVLAN 实现用户客户端的安全下载实现用户客户端的安全下载 802.1X 认证是非常安全的用户管理、认证方式，但是在实际的应用的过程当中由 于用户认证之前接入交换机的端口是关闭状态，因此 802.1X 认证的客户端的下载将是 非常重要的，在实际的应用的过程当中，可以采用 Guest Vlan802.1X 认证的方式来 实现全网的安全认证。 用户在认证之前是归属于一个公共 VLAN 当中，可以免费的到服务器上下载 802.1X 的客户端，用户下载后，安装好 802.1X 客户端以后，当用户再次发起认证，通 过以后对应接入端口的 VLAN 属性改变，同时获得出去的权限，用户可以正常访问 Internet 资源，Guest Vlan802.1X 的认证方式，实现了安全与便捷兼得，确保用户的 安全性与友好性。 毕业设计（论文）毕业设计（论文） 19 第四章 网络设备选型 4.1 核心交换机的选择与介绍 Cisco WS-C6509-E 由于中心服务器的访问及数据流量对主干带宽要求很高，所以我们采用 Cisco Catalyst 6500 千兆模块把百兆交换机组通过光纤相连到 Cisco Catalyst 6500 千兆 交换机上，通过千兆交换机实现和 WEB 服务器千兆带宽的主干连接。并且我们将用 2 台千兆交换机通过 4GB 高速通道来实现千兆交换机冗余连接，使网络主干拥有很高的 带宽。 设备介绍如下： 由 Cisco Catalyst 6500 家族为企业网络和服务供应商网络提供了一系列高性能 多层交换解决方案。Catalyst 6500 家族是专为满足对千兆位密度、数据和语音集成、 LAN/WAN/MAN 集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供应商 环境中智能多层交换的不断增长的需求而设计的，是 Catalyst 4000 和 5000 系列以 及思科 8500 系列交换机的补充和完善，这些产品将继续提供相应的主要配线柜和 ATM 网络核心解决方案。这些 Cisco 家族产品共同提供了广泛的智能交换解决方案，使公 司内部网和 Internet 能够支持多媒体、关键任务数据和语音应用。 Catalyst 6500 家族提供了出色的可扩展性和性能/价格比，能够支持广泛的接口 密度、性能以及高可用性选项。作为 Cisco 内容组网体系结构的一个关键组成部分， Catalyst 6500 家族提供了前所未有的商业灵活性，使企业能够快速部署新的 Internet 应用并因而提高自己的收入和降低运营成本。当与应用智能、服务质量 （QoS）机制和安全性功能结合在一起时，客户将能够在不牺牲网络性能的情况下更有 效地使用自己的网络提供更多的客户机服务，如组播和企业资源规划（ERP）应用。 Cisco 内容组网通过提供 Internet 商业应用（这些应用的例子包括电子商务、供应链 管理以及劳动力优化）创造了一个 Internet 商业生态系统，这一系统使企业和自己的 客户、供应商和商业合作伙伴更加紧密地结合在一起。通过 CiscoAssure，利用像特殊 用户、IP 地址或应用程序这样的 Layer 2、3、4 信息，将能够以端对端的形式应用网 络策略。 毕业设计（论文）毕业设计（论文） 20 表 4-1 Cisco WS-C