大学校园网网络设计规划方案[共34页]

1、制作人：5组 1 前言前言 随着网络技术、INTERNET的发展和CERNET（中国教育科研 网）的迅速壮大，很多学校建成校园网并接入到CERNET。校园网 的建设已成为学校实力与发展水平的标志。学校办学的规模、层 次正在迅速地扩大和提高，建设一个先进、实用的校园网，实现 校内外信息的快速传递，使教学、科研、管理步入信息化、网络 化，从而提高办学水平和办学效益已成为必然之选。 大学校园网的建成和使用，对于提高教学和科研的质量、改 善教学和科研条件、加快学校的信息化进程，开展多媒体教学与 研究以及使教学多出人才、科研多出成果有着十分重要而深远的 意义。 2 网络设计目标网络设计目标 校园网实现高

2、速的Internet和CERNET接入出口； 校园网提供DNS、WWW、FTP、E-mail等多项Internet服务； 校园网内部能够实现高速的视频会议、VOD点播、多媒体教学等 服务； 校园网在管理上拥有灵活的、安全的管理模式，做到分级别、分 权限、分地点的管理； 校园网拥有透明的出口措施，能够详细地记录上网访问日志； 实现网络的计费管理和帐号管理； 在校园网上能实现远程教学管理、教务管理、科研管理、设备管 理、图书管理； 应对校园网进行全面的系统安全设计，包括防火墙、网络防病毒、 入侵检测、漏洞扫描、数据的灾难恢复等； 整个校园网主干实现千兆传输。 3 网络拓扑图网络拓扑图 4 用户总体

3、需求用户总体需求 用户对于网络的应用主要有以下需求： 上网娱乐上网娱乐 办公、行政办公、行政 教学教学 管理员进行管理管理员进行管理 完成作业、完成作业、 上交作业上交作业 查阅、或查阅、或 下载资料下载资料 5 需求分析需求分析 校园网络需求主要为 ： 教学楼、办公行政楼、宿舍区、中心机、图书馆、食堂、体 育馆、医务室 6 1 1、教学楼、教学楼 主要为电脑机房、 多媒体教室， 支持多媒体信息交换 远程教学 视屏教学 无线网络 isdn等 7 2 2、宿舍、宿舍 （1 1）端口隔离：每一个信息点独自使用一个交换机端口并通过 VLAN方式相互隔离 目的：杜绝由于各类病毒（如ARP欺骗）和私设D

4、HCP服务器等 对学生寝室网带来的影响，提高网络安全性。 （2 2）用户限速：每位用户的上下行速度分别限制为下行速度 为最高2Mb，上行速度最高为512kb，同时每个用户的TCP最大连 接数限制为200个，QOS。 （3 3）网卡绑定：每位用户的认证服务帐号与用户所用计算机 的网卡定 目的：提高认证服务的安全性。 （4 4）IP盗用的技术：采用静态的ARP命令捆绑IP地址和MAC 地址，从而阻止非法用户在不修改MAC地址的情况下冒用IP地址 进行的访问，同时借助交换机的端口安全即MAC地址绑定功能可 以解决非法用户修改MAC地址以适应静态ARP表的问题。 8 3 3、办公行政楼、办公行政楼 1

5、、使领导能及时、全面、准确地掌握全校的教学、科 研、学籍考绩、一般管理、财务、人事等方面的情况。 2、需要划分个vlan。实现备份， 3、需要远程访问。telnet 4、视频会议，监控头 5、OA系统各分区校园用户使用VPN方式访问主教学总部网络， 并限制同时的访问量。 6、课件讨论，BBS 9 4 4、中心机房、中心机房 1、因为此网络设计时要求采用先进、可靠、成熟，所以要需要双核， 要进行数据备份。采用链路聚合 2、要求安全的网络，避免广播风暴。需要采用 3、由于校园里面容易出现私接HUB或者非网管交换机，要采用RSTP 4、因为校园里面不可能每个人都能申请到IP地址，所以需要NAT 5、

6、需要动态地址分配。Dhcp 10 5 5、图书馆、图书馆 用于计算机查询、检索、阅读等其他应用，如大型分布式数 据库系统、超性能计算资源共享/管理系统、视频会议等对数据备 份。 11 7、食堂 1、IC卡（或CPU卡）读卡器 2、消费营业机出纳机 3、自助查询终端 4、实现数据备份 12 8 8、体育馆、体育馆 1、IC卡（或CPU卡）读卡器 2、实现带宽限制 QOS 3、实现数据备份 13 9 9、医务室、医务室 1、IC卡（或CPU卡）读卡器 2、实现数据备份，学生信息查询检索 14 15 核心层主干网络规划核心层主干网络规划 核心层层是局域网的主干，其主要目的是尽可能快地交换数据。 网络

7、的这个分层不应该被牵扯到费力的数据包操作或者任何减慢 数据交换的处理。应该避免在核心层使用如访问控制列表和数据 包过滤这类的功能。 核心层主要负责以下的工作： （1）提供交换区块间的连接； （2）提供到其他区块(如服务器区块)的访问； （3）尽可能快地交换数据帧或数据包。 16 汇聚层网络规划汇聚层网络规划设计设计 网络的汇聚层是网络接入层和核心层之间的分界点。汇聚层也帮 助定义和区分网络核心层。该分层提供了边界定义，并在该处对 潜在费力的数据包操作进行处理。 在局域网环境中，汇聚层执行最多的功能有： (1)VLAN的聚合； (2)部门级或工作组接入； (3)广播域咸多点广播域定义； (4)V

8、LAN间路由； (5)介质转换及安全等。 17 接入层网络规划设计接入层网络规划设计 网络的接入层是最终用户被许可接入网络的点。该层能通过滤或 访问控制列表提供对用户流量的进一步控制；不过，该分层的主 要功能是为最终用户提供网络接入。 在局域网环境中，接入层主要功能如下： 到汇聚层的工作组连接 建立单独的冲突域(分段) 共享式带宽或交换式带宽 提供灵活的用户接入及扩展 18 信息点楼层分配信息点楼层分配 楼层分布： 教学楼教学楼11 行政办公楼行政办公楼2 宿舍楼宿舍楼12 中心机房中心机房1 图书馆图书馆1 食堂食堂1 体育馆体育馆1 医务室医务室1 19 信息点楼层分配信息点楼层分配 信息

9、分布： 教学楼教学楼1500个 行政办公楼行政办公楼810个 宿舍楼宿舍楼6700个 中心机房中心机房300个 图书馆图书馆250个 食堂食堂50个 体育馆体育馆70个 医务室医务室50个 20 IPIP分配分配 一共分为五个网段。其中第一网段一共分为五个网段。其中第一网段 为网络管理中心、共为网络管理中心、共300300 个信息点，第二网段为教学区、共个信息点，第二网段为教学区、共15001500个信息节点，第三网段为个信息节点，第三网段为 学生生活区、共学生生活区、共420420个信息节点，第四网段为综合办公区、共个信息节点，第四网段为综合办公区、共810810 个信息节点，第五网段为宿舍

10、区、共个信息节点，第五网段为宿舍区、共67006700个信息点个信息点 21 IP地址地址网络号：网络号：子网淹码子网淹码 网络中心：网络中心：54/24 教学区：教学区：54 /24 /24 生活区：生活区：54 /24 /24 综合办公区：综合办公区： 172.16.10.

11、254 /24 /24 宿舍区宿舍区54 /24 /24 22 VLANVLAN设计设计 教学区教学区Vlan2vlan12 行政办公楼行政办公楼Vlan13vlan14 宿舍楼宿舍楼Vlan15vlan27 中心机房中心机房Vlan28 图书馆图书馆Vlan29 食堂食堂Vlan30 体育馆体育馆Vlan31 医务室医务室Vlan32 23 结构化综合布线系统设计方案结构化综合布线系统设计方案 1、垂直布线子

12、系统 2、设备间子系统 3、管理区子系统 4、工作区子系统 24 设备选型设备选型 中心路由器中心路由器 华为Quidway S8500 Quidway S8505系列采用分布式处理、业务模块化以及Crossbar 交换网等设计理念，具备业界领先的交换容量，并且交换容量可 持续平滑升级。Quidway S8505系列支持新一代高性能万兆接 口，能够为城域网、行业网提供超高速链路，可打造低成本、高 性能、具有丰富业务支 持能力的以太网络。 网络特性，网络特性网络特性支持支持ARP Proxy 支持支持DHCP Relay 支持支持DHCP Server 支持支持VRRP 支持支持URPF （单播

13、反向路（单播反向路 径检查）径检查） 路由特路由特 性性 支持静态路由支持静态路由 支持支持RIPv1/v2 支持支持OSPFv2 支持支持IS-IS 支持支持BGPv4 支持等价路由支持等价路由 25 接入层路由器接入层路由器 华为Quidway NetEngine 20-4 高品质QOS能力，高可靠性、强大的MPLS处理能力 业务能力、路由处理能力：支持RIP、OSPF、BGP、IS-IS等单播路 由协议和IGMP、PIM、MBGP、MSDP等多播路由协议，支持路由策 略以及策略路由。 26 华为Quidway S5624P/S5624P-PWR 端口类型端口类型 10/100/1000B

14、A SE-T 1000Base-SX- SFP 1000Base-LX- SFP 1000Base-LH- SFP 1000Base-T-SFP 10GBase-LR-XENPAK 10GBase-LR-XFP 10GBase-ER-XFP 外形尺寸外形尺寸 (mm) 44042043.6(宽宽深高深高) 线 速 二线 速 二 / 三三 层交换层交换 所有端口支持线速转发所有端口支持线速转发,交换容量为交换容量为192Gbit/s,包转发率包转发率 66Mpps VLAN4K交换模式 存储转发模式存储转发模式 IP路由路由静态路由、 RIPv1/2 OSPF ECMP 生成树协议生成树协议支持

15、支持STP/RSTP，支持，支持VLAN的的STP-ignore属性属性 端口汇聚端口汇聚支持通过支持通过LACP进行动态端口汇聚进行动态端口汇聚 支持进行通过命令行手动进行端口汇聚支持进行通过命令行手动进行端口汇聚 支持堆叠范围内的跨设备链路汇聚支持堆叠范围内的跨设备链路汇聚 支持支持GE（Gigabit Ethernet）端口汇聚）端口汇聚 支持支持10G（Gigabit Ethernet）端口汇聚）端口汇聚 最多最多32组端口汇聚组，组端口汇聚组，GE汇聚组最多支持汇聚组最多支持8个端口，个端口， 10GE汇聚组最多汇聚组最多4个端口，汇聚的端口必须具有相同的个端口，汇聚的端口必须具有相

16、同的 端口类型端口类型27 二层交换机 华为华为Quidway S3050C/S3026T 接入层作为直接与终端连接的端口也不能马虎，在这里我们使用了 Quidway S 3050C和S3026T系列智能二层交换机。Quidway S3050C/S3026T以太网交换机以太网交换机采用1U高的盒式设备，支持19英寸 机架安装，可不依赖于其他设备独立运行；提供固定的48/24个 10Base-T/100Base-TX的自适应端口、1个Console口及2个后扩展 槽。 28 防火墙 中心防火墙 华为Quidway SecPath 500F 防火墙 包过滤 基础和扩展的访问控制列表 基于接口的访问

17、控制列表 基于时间段的访问控制列表 动态包过滤 ASPF应用层报文过滤 应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP） 传输层协议：TCP、UDP 防攻击特性 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、 SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范 ARP主动反向查询 TCP报文标志位不合法攻击防范 超大ICMP报文攻击防范 地址/端口扫描的防范 DoS/DDoS攻击防范 ICMP重定向或不可达报文控制功能 Trac

18、ert报文控制功能 带路由记录选项IP报文控制功能 静态和动态黑名单功能 MAC和IP绑定功能 透明防火墙 基于MAC的访问控制列表 29 服务器 中心服务器 产品型号产品型号PowerEdge 2850(Xeon 2.8G) 产品类型产品类型2U双路机架式双路机架式 采用处理器采用处理器Intel Xeon 2.8G 标配标配CPU数目数目标配标配1个最大个最大2个个 处理器主频处理器主频(MHz)2800MHz 处理器二级缓存处理器二级缓存(KB)1024KB 前端总线前端总线(MHz)800MHz FSB 标配内存标配内存ECC DDR2512M/最大最大8G 网卡网卡1000M1000M以太网卡以太网卡 机箱尺寸机箱尺寸2U2U单电源单电源 其它性能其它性能ATI RadeonATI Radeon显卡显卡,16MB SDRAM,16MB S