逻辑网络设计说明

1、逻辑网络设计1.1教学楼网络系统设计原则：由于计算机与网络技木的特殊性，网络建设需要考虑以下一些因素：系统的先进性、体统的 稳定性、系统的可扩展性、系统的可维护性、应用系统和网络系统的配合度、与外界网络的 连通性、建设成本的可接受度等。（一）、选择带宽高的网络设计多媒体课件包含了大量的声音、图象和动画等信息，需要高带宽的网络通信能力的支持。在 构建网络设计时，不能由于网络传输速率的不足，而影响整个网络的整体性能，使传输速率 成为网络传输的瓶颈。（二）、选择可扩充的网络架构一般教学楼网络的建设资金用量非常大，对于学校来说，办学资金是比较紧的，所以在教学 楼网络构建是，宜采用当时最新的网络技术，结

2、合学校财力，实行分步实施，循序渐进。这 就要求在网络构件时要选择具有良好可扩展性能的网络互连设备，一有效地保护现有的投资。（三）、充分共享络资源组建计算机网络的主要目的是实现资源共享，这个资源包括硬件资源、软件资源。网络用户 通过网络不仅可以实现文件共享、数据共享，还可以通过网络实现网络设备的共享、存储设 备的共享等。（四）、网络可管理性，降低网络运行及维护成本只要在网络设计时选用支持网络管理功能的网络设备，才能为将来降低网络运行及维护成本 打下坚实的基础。（五）、网络系统与应用系统的整和网络系统与应系统要能够很好的融合能发挥教学楼网的效率和优势，构建教学楼网的目的并 不是只为了人们浏览Int

3、ernet的方便。更多的是方便老师和学生的使用，提高教学效率。（六）、建设成本考虑教学楼网工程在建设方面都希望成本较低，整个网络系统有较高的性价比，在设备选型 等方面选用性价比高的网络产品。（七）、高可棠性网络要求具有高可靠性、高稳定性和足够设备冗余和备份，防止局部故障引起整个网络系统 的瘫痪，避免网络出现单点失效的情况。应采用各种有效的安全措施，安全包括4个层面- 网络安全，操作系统安全，数据库安全，应用系统安全。由于Internet的开放性，教学楼网 将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护 来保证安全。同时要建立系统和数据库的磁带备份系统。各主要楼

4、节点的交换机分别用光纤与网络中心的中心交换机相连接，构成与校园网千兆位以 太网的主干网络，各节点交换机至PC机及信息节点采用六类双绞线100Mbps交换。1.2校园网采用的协议标准：本校园网以TCP/IP为主要协议，因为TCP/IP协议簇是美国国防部门制定的一套计算机网络 协议，是目前众多计算机网络最流行的协议，以它为基础组建的Internet网是目前国际上规 模最大的计算机网间网，它虽不是国际标准，但却是一种事实上的工业标准协议，采用TCP/IP 为网络主要协议，可保证与ChinaNET和Internet保持一致，还可支持IPX, DECNET等其它 协议。真正实现于国际互联网的无缝连接。1

5、.3网络拓扑结构树型拓扑结构树型结构是分级的集中控制式网络，与星型相比，它的通信线路总长度短，成本较低，节点易于扩充，寻找路径比较方便，但除了叶节点及其相连的线路外，任一节点或 其相连的线路故障都会使系统受到影响。优点：（1）连结简单，维护方便，适用于汇集信息的应用要求。（2）易于扩展。（3）故障隔离较容易。缺点：资源共享能力较低，可猫性不高，任何一个工作站或链路的故障都会影响整个网络的 运行。并旦各个节点对根的依赖性太大。1.4拓扑图M 恰“- 一二MM 恰“- 一二MGS 焉* _ M 也祥整 营质sas1接入层交换机接入层主要用来支撑客户端机器对服务器的访问，主要是指接入路由器、交换机、

6、终端访问 用户。对上连接至汇聚层和核心层，对下进行带宽和业务分配，实现用户的接入。汇聚层交换机汇聚层交换机是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交 换机与接入层交换机比较，需要更高的性能，更少的接II和更高的交换速率。核心层交换机核心层交换机一般都是三层交换机或者三层以上的交换机，采用机箱式外观，具有很多冗余 的部件。核心层交换机也可以说是交换机的网关。在进行网结规划设计时核心层的设备通常要占大部分投资，因为核心层设备对于冗余能力、 可靠性和传输速度方面要求较高。网关出口两台或两台以上的路由器，组成一个备份组，配置VRRP （

7、虚拟路由器冗余协议）VRRP协议VRRP是一种容错协议，它保证当主机的下一跳路由器失效时，可以及时的由另一台路 由器来替代，从而保持通讯的连续性和可靠性，VRRP协议通过交互报文的方法将多台物理 路由器模拟成一台虚拟路由器，网络上的主机与虚拟路由器进行通信。一旦VRRP组中的某台物理路由器失效，其他路由器自动将接替其工作。在功能上,VRRP和HSRP非常相似，但是就安全而言,VRRP对HSRP的一个主要优势:它允许 参与VRRP组的设备间建立认证机制。并且，不像HSRP那样要求虚拟路由器不能是其中一个 路由器的ip地址，但是VRRP允许这种情况发生（如果“拥有”虚拟路由器地址的路由器被建 立并

8、且正在运行，那么应该总是由这个虚拟路由器管理一等价于HSRP中的活动路由器），但是 为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使用的MAC地址 00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID（等价于一个HSRP的组标识符）。VRRP是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器，它负责转发数据 包到这些虚拟IP地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制, 这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器是一种LAN接入

9、设 备备份协议。一个局域网结的所有主机都设置缺省网关，这样主机发出的目的地址不在本网 段的报文将被通过缺省网关发往三层交换机，从而实现了主机和外部网结的通信。1.5lnternet 接入采用用光纤接入传输速度快：光纤接入能够提供10Mbps、100Mbps、1000Mbps的高速带宽：实现双向数 据同步传输，上网速度快、质量稳定、丢包率低、更具安全性，能满足用户对各种业务的需 求，比如CRM、ERP、视频、语音、VPN等。传输距离远：光纤连接距离可这70公里；衰减小，光纤每公里衰减比目前容量最大的通 信同轴电缆的每公里衰减要低一个数量级以上；容量大，光纤工作频率比目前电缆使用的工 作频率高出8

10、9个数量级，故所开发的容量很大。抗扰能力强，因为光纤是非金属的介质材料，不受强电干扰、电气信号干扰和雷电干扰, 抗电磁脉冲能力也很强，性好。光纤网络提供数据业务，有完善的监控和管理系统，能适应将来宽带综合业务数字网的需 要，打破“瓶颈”，使信息高速公路畅通无阻。扩容便捷，一条带宽为2M的标准光纤专线很容易就可以升级到4M、10M、20M，最 大可达100M ,并旦无需更换任何设备。2.1VLAN 划分VLAN 号IP网段默认网 关说 明VLAN 10/2454第一层VLAN 20/2454第二层VLAN 30/2454第三层VLAN 40/2454第四层VLAN 50/2454第五层VLAN划

11、分优点1、限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分 段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过 量广播。使用VLAN,可以将某个交换端I I或用户赋于某一个特定的VLAN组，该VLAN组可 以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样， 相邻的端II不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应 用，减少广播的产生。2、安全增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露信息 的可能性。不同VLAN的报文在传输时是相互隔离的，

12、即一个VLAN的用户不能和其它VLAN 的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。 成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性 能。VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLANoVLAN将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项 目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此 外，也很容易确定升级网络服务的影响围。3、增加灵活性借助VLAN技术，

13、能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环 境，就像使用本地LAN 一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置 的管理费用，特别是一些业务情况有经常性变动的公司使用了 VLAN后，这部分管理费用大 大降低。4、组建条件VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技木 的网络设备。当网络中的不同VLAN IuJ进行相互通信时，需要路由的支持，这时就需要增加 路由设备一一要实现路由功能，既可采用路由器，也可采用三层交换机来完成，同时还严格 限制了用户数量。3.1冗余性设计（1）设备级冗余技术设备级的冗余技术分为电源冗

14、余和管理板卡冗余：电源模块的冗余备份实施后，在主电源供电中断时，备用电源将继续为设备供电，不会 造成业务的中断管理卡冗余也就是在交换机运行过程中，如果主管理板出现异常不能正常工作，交换机 将自动切换到从管理板工作，同时不丢失用户的相应配置，从而保证网络能够正常运行，实 现冗余功能。在实际工程中使用双管理卡的设备都是自动选择主管理卡的，先被插入设备中 将会成为主管理卡，后插入的板卡自动处于冗余状态，但是也可以通过命令来选择哪块板卡 成为主管理卡。（2）链路级冗余技术在大型园区网络中往往存在多条二层和三层链路，使用链路级冗余技术可以实现多条链 路之间的备份，流量分担和环路避免。二层设备冗余技术生成

15、树协议802.1DSTP作为一种纯二层协议，通过在交换网络中建立一个最佳的树型拓扑结构实现 了两个重要功能：环路避免和冗余。但是纯粹的生成树协议IEEE 802.1D在实际应用中并不 多，因为其有几个非常明显的缺陷:，收敛慢，而旦浪费了冗余链路的带宽。作为STP的升级 版本JEEE802.1W RSTP解决了收敛慢的问题，但是仍然不能有效利用冗余链路做负载分担。 因此在实际工程应用中，往往会选用802.1S MSTP技术。MSTP技术除保留了 RSTP快速收敛 的优点外，同时MSTP能够使用instance （实例）关联VLAN的方式来实现多链路负载分担。基于OSPF的三层链路冗余技术基于OS

16、PF的三层链路冗余技术在大型园区网络中使用广泛，通过cost值的调整可以非常容 易的实现链路冗余和负载分担3.2路由协议OSPF （开放式最短路径优先）路由协议1.OSPF是真正的LOOP- FREE（无路由自环）路由协议2、OSPF收敛速度快3、提出区域划分的概念4、将协议自身的开销控制到最小5、通过严格划分路由的级别（共分四极），提供更可信的路由选择6、良好的安全性QSPF支持基于接I I的明文及md5验证7.0SPF适应各种规模的网络，最多可达数千台OSPF与RIP相比的优势RIP协议一条路由有15跳（网关或路由器）的限制，如果一个RIP网络路由跨越超过 15跳（路由器），则它认为网络不

17、可到达：对于OSPF路由协议，路由表中表示目的网络的 参数为Cost,该参数为一虚拟值，与网结中链路的带宽等相关，也就是说OSPF路由信息不 受物理跳数的限制；RIP路由协议不支持变长子网屏蔽码（VLSM），这使得RIP协议对当前IP地址的缺乏和 可变长度子网掩码的灵活性缺少支持；RIP网络是一个平面网络，对网络没有分层。OSPF在网络中建立起层次概念，在自治域 中可以划分网络域，使路由的广播限制在一定的围，避免链路中继资源的浪费：RIP路由协议路由收敛较慢。OSPF与EIGRP相比的优势EIGRP没有区域（AREA）的概念，而OSPF在大规模网络的情况下，可以通过划分区域 来规划和限制网络规

18、模。所以EIGRP适用于网络规模相对较小的网络，这也是矢量-距离路 由算法的局限所在。EIGRP是Cisco公司的私有协议。Cisco公司是该协议的发明者和唯一具备该协议解释和 修改权的厂商。如果要支持EIGRP协议需向Cisco公司购买相应，并旦Cisco公司修改该协 议没有义务通知任何其他厂家和使用该协议的用户。而OSPF是开放的协议，是IETF组织公 布的标准。世界上主要的网结设备厂商都支持该协议，所以它的互操作性和可靠性由于公开 而得到保障4.1校园网络面临的威胁-操作系统的安全问题-病毒的破坏I令入侵-黑客-非正常途径访问或部破坏不良信息传播4.2网络安全防护策略划分子网，实现子网之

19、间的隔离 网接口安全防护对外网络接I I的安全防护数据库的安全防护：加密客户与服务器之间数据传送检查配置文件许可禁止远程访问服务器的安全防护：口常监控补丁管理访问控制主机安全配置安全检查漏洞扫描 漏洞跟踪与分析 安全通告防病毒备份、口志集中客户端的安全防护安装防火墙，杀毒软件无线网络的安全防护MAC地址过滤隐藏SSID5.1服务器建设需求DHCP服务器DNS服务器WEB服务器FTP服务器E-mail服务器6.1无线网络设计WLAN由以下几个部分组成：Client （客户端）：带有无线网卡的便携机。Access Point （无线路由器，接入点）：执行桥接操作的设备，在客户端（Client）和局

20、域 网（LAN）之间对无线帧和有线帧进行相互转换。Access Controller （AC,无线控制管理器）：对WLAN所有无线路由器进行管理和控制的 设备，通过与认证服务器的通信来进行信息过滤。室区域无线覆盖方案：采用多个无线路由器整合交叉覆盖形成大面积覆盖区域，每个无 线路由器都独立接到交换机上，以保证有更高的带宽7.1防火墙华为 USG5160华为USG5160详细参数主要参数设备类型：安全网关网络端I I： 4GE （Combo）VPN支持：支持入侵检测：DoS, DDoS管理：支持命令行、WEB方式、SNMP. TR069等配置和管理方式，这些方式提供对设备 的本地配置、远程维护、

21、集中管理等多种手段，并提供完备的诊断、告警、测试等功能 安全标准：CE, ROHS, CB, UL, VCC处理器：多核处理器一般参数电源：AC： 100240V； DC： -48-60V最大功率300W产品尺寸：442*414*130.5mm产品重量：8.3kg适用环境：工作温度：0C-45C工作湿度：10%-90%存储温度：-4(rc-7(rc存储湿度：5%-95%其他性能：UTM扩展槽位：4MIC+2FIC+4DFIC核心交换机需要满足三层结构、可堆叠、端II数量为28、安全性高、支持VLAN功能、满足802.11n 等思科(Cisco) SG200-50 (SLM2048T) 48 口

22、千兆智能交换机价格4199元人民币主体品牌思科Cisco型号 SG200-50(SLM2048T)规格网络标准 IEEE 802.3 10BASE-T Ethernet, IEEE 802.3u 100BASE-TX Fast Ethernet, IEEE 802.3ab 1000BASE-T Gigabit Ethernet, IEEE 802.3ad LACP, IEEE 802.3z GiglEEE 802.3x , IEEE 802.1D , IEEE 802-lQ/p, IEEE 802.1W, IEEE 802.1s, IEEE 802.1X, IEEE 802.3af,端口 48

23、千兆以太网端口,2千兆以太网组合 端口(SFP)速度1000MMAC地址表 8000缓存8Mb*2LEDs系统、(端口连接/工作)、速度VLAN 256尺寸 257x 440 x 44 mm重量3.96kg特性特性经济实用48千兆端I 1 2个共享端I I (铜缆和光纤)思科(Cisco) SG300-52 (SRW2048)48 口千兆全网管交换机价格6499人民币主体品牌思科(CISCO)型号SG300-52(SRW2048) T兆网管交换机规格网络标准 IEEE 8023 10BASE-T 以太网,IEEE 802.3u 100BASE-TX 快速以太网，IEEE 802.3ab 100

24、0BASE-T 千兆以太网,IEEE 802.3ad LACP, IEEE 802.3z 千兆以太网IEEE 802.3x 流量控 制, IEEE 802.1D (STP, GARR and GVRP)JEEE 802.1Q/p VLAN, IEEE 802.lw RSTP, IEEE 802.1s 多重 STP, IEEE 802.IX 端口接入授权,IEEE 802.3af, IEEE 802.3at, IPv6端口 50千兆以太网，2千兆以太网组合端II （SFP）速度1000MMAC地址表 8000缓存8Mb*2LEDs System,Link/Act,PoE,SpeedVLAN 25

25、6尺寸 440 X 44.45 X 257mm重量3.91 kg特性特性-52个高速端I】，针对网络性能而优化，并且支持带宽密集型应用-强大的安全 性可保护网络流量，防止未经授权的用户访问网络-智能QoS可帮助确保一致的网络体 验，支持包括语音、视频和数据存储在的网络应用-简单的、基于Web的管理功能，易 于安装和配置汇聚层交换机路由；访问表，包过滤和排序，网结安全如防火墙等；重新分配路由协议，包括静态路由; 在vlan之间进行路由，以及其他工作组所支持的功能：定义组播域和广播域。CISCO WS-C3750V2-24TS-S6800 元主要参数产品类型：快速以太网交换机应用层级：三层传输速率

26、：10/100Mbps产*品存:Flash存:32MB交换方式：存储-转发背板带宽：32Gbps包转发率：6.5Mpps端口参数端II结构：非模块化端口数量：26个端II描述：24个10/100Mbps接II, 2个小型可插拔（模块）千兆以太网端I I传输模式：支持全双工功能特性网络标准：IIEEE 802.3, IEEE 802.3u, IEEE 802.3ab, IEEE 802.Ip, IEEE 802.3af, IEEE 802.1Q, IEEE802.1D, IEEE802.1p, IEEE 802.3, adlEEE 802.1X, IEEE802.1W, IEEE 802.1Z 堆叠功能：可堆叠其它参数电源电压：AC 100-240V, 0.7A-0.5A, 50-60HZ电源功率：36W产品尺寸：295X443X44mm产品重量：3.7kg平均无故障时间:351, 247小时环境标准：工作温度：0-45r工作湿度：10%-85% （非冷凝）存储温度：-25-70C存储湿度：10%-85% （非冷凝）接入层交换机Cisco WS-C3560-24TS-S6000 元主要参数产品类型：企业级交换机应用层级：三层传输速率：10Mbps/100Mbps产品存：128 MB DRAM和16MB闪存交换方式：存储-转发背