校园网组建与实施方案

1、辽宁建筑职业学院信息工程系2011届毕业论文（设计） 2011 届班级：网络G112辽宁建筑 2011 届班级：网络G112 毕 业 设 计 (论文)题目：校园网组建与实施方案系（部）：信息工程系专 业：计算机网络技术姓 名： 王山 学 号： 29毕业设计（论文）任务书 毕业设计（论文）题目:校园网组建与实施方案毕业设计（论文）内容:本设计主要针对学校中的办公楼与实训楼来规划和设计网络。根据校园网整体的网络情况进行设计与规划。先根据办公楼与实训楼网络所应用的各种功能及要求进进行分析，再根据分析得到的结果设计网络方案和逻辑拓朴与物理拓扑，最后进行现场施工并进行调试。 毕业设计（论文）专题部分:在

2、当代社会，网络安全性和可靠性已经上升到非常重要的一个部分了，一个网络是否安全与可靠能关系到这个企业的长远发展，这里我论述以网络安全加固以及保证网络的可靠运行为主并在其中运用了VLAN划分、防火墙原理、MSTP与VRRP、以及ACL配置等众多先进技术，以及选用高可靠性设备，我相信在我的设计下，可以使网络安全级别和可靠性得到保证。 指导教师: 签字 年 月 日教研室主任: 签字 年 月 日系（部）主任: 签字 年 月 日 毕 业 设 计 (论 文) 评 语 指导教师评语: 成绩: 指导教师: (签字)年 月 日评阅人评语: 成绩: 评阅教师: (签字) 年 月 日 前 言高校校园网的网络建设与网络

3、技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势， 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求，可以利用万兆以太网的校园网组网技术。 构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。 随着信息技术的高速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年CERNET （中国教育和科研计算机网）建设全面启动，全国各地的高校开始建设

4、自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网， 才能充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、科学计算和科学研究与合作。中国教育事业随着社会发展将会越来越开放，对学校的经营管理也逐步形成完善的现代化管理模式。本方案是针对辽宁信息职业技术学院现有应用结构而设计的，主要使用思科的网络产品，提高网络的整体性能；规划采用防火墙技术、开启端口安全性，在接入层限制主机最大连接数，汇聚层设置访问控制列表等操作系统的安全性来提高整个网络的安全和重要主机的安全；使用磁盘冗余阵列来保护系统数据的安全，防止数据的意外损失；并实现网络的冗余及使用MSTP和VRRP来保证网

5、络的可靠性，实现主干设备的冗余等，所选用的网络设备有充足的带宽以满足网络扩容的需求，主干交换机还可通过升级模块的方式实现轻松的升级和容量的扩充，千兆的网络带宽为用户的业务提供了充足的带宽，并为今后的网络的扩展做了足够的准备，保护了用户的投资，提高了整体的性能和安全性。随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。根据规划和设计规模，我们在设计该企业的网络信息系统时，将遵循“立足现在，着眼未来，重在实用，旨在效益”的总方针，按照校园网络的国际标准模式，结合中国的具体国情，同时吸取国际上流行的几家企业网络系统

6、的精华，力争使所设计的网络系统具有技术先进、高效快捷、安全可靠、易于维护等特点。一、校园网背景辽宁信息职业技术学院为辽宁建筑职业技术学院的一个分校区，全校计算机数量逾1000台（不包括学生群体），信息点近900个，目前主要楼宇有教学楼、图书馆、公寓楼、实训楼等，规划区内部局域网都是一个独立的网络，相互之间并不联通，其它还有11幢学生宿舍楼，8幢教师宿舍，学校平面示意图如图1-1。图1-1学校平面示意图表1-1信息点分布表大楼信息点到网络中心的距离/m教学楼40150图书馆200100实训楼250150电子楼20100办公楼300在同一楼内实验楼40100教师宿舍A84350教师宿舍B16730

7、0注：以上除教师宿舍信息点为确切的数据外，其它均为本人对学校的了解进行的估计。目前，以上各楼群内部综合布线采用的是5类双绞线，学院内的室外布线都是通过光纤连接到网络中心。1.2校园网现有网络概况计算机管理信息系统包括校本部的计算机通信局域网和计算机应用系统，大部分采用100M/1000M基于各类数据库平台的上述管理信息系统，绝大部分都是基于TCP/IP的计算机应用系统，随着Internet的飞速发展，TCP/IP毫无疑问地成为主流，基于IP的计算机通信网络成为管理信息系统的最为重要的部分，计算机通信网络的好坏直接影响管理信息系统，从而影响日常教学活动的正常运作。Internet正在向我们生活的

8、各个领域渗透，与此同时企业、政府、消费者和教育机构都在快速向基于IP分组的网络操作转移。无论对于IP话音（VoIP）、基于IP的视频流、基于IP的通信工具，还是对于PC、膝上电脑、蜂窝电话等IP平台、IP分组都已成为主流。换句话说，Internet的快速发展与普及正改变着公共通信网上和企业内部网的流量结构，语音信息在过去曾经占据主导地位，但在21世纪，数据(IP)将占据通信流量的主要部分。 随着千兆网的逐步实施，如何有效、灵活建立高速数据网络是一个具有战略意义的课题，高校的业务单位通常拥有3类应用：数据、话音和图象（工业电视）。未来的技术发展，使采用IP技术可以同时承载3类不同应用成为可能，并

9、且具有以下优点：1、采用Internet广泛应用IP标准，开放性好。2、利用防火墙、IP地址过滤和路由器热备份等网络安全技术，确保调度安全。3、IP QoS及优先是分技术确保调度和远动等关键任务优先。4、实现数据话音和图象全网自动交换，信息共享，构成学校高效率运作的基础设施。采用IP这一面向未来技术，可以兼容现有设备，保护现有投资，又可以保证网络在当前及将来的技术先进性。校园网是现代社会高校基础设施的重要组成部分，是提高高校教学科研水平和管理水平的不可缺少的现代化手段和支撑环境.如何进一步搞好校园网的建设，充分发挥校园网的作用，是各个高等学校和教育主管部门正在探索和思考的问题。1.2.1现有校

10、园网的状况校园网是辽宁建筑职业技术学院分校的信息基础设施，是实现学校现代化管理的强有力保证。学校一直以来非常重视校园网的建设。经过三期的建设，基本可以满足当时的网络需求。其网络逻辑拓扑图如图1-2。图1-2现有校园逻辑网拓扑图由于学校数据吞吐量大，又离本部较远，所以学校采用一般的校园双端口接入方式，用一条2M光纤连接到南校区网络，另一条用百兆光纤作为中国电信的局域网方式接入internet，实现网络高速运行。中心结构主要以华为ls-3026交换机为中心，单点以星形方式连接校园各个功能单位。各楼房交换机用100M光纤连接到中心机房的三台普通企业级路由上，可以实现子网内高速互联。楼房内部均用5类双

11、绞线连接楼房交换机与用户计算机，带宽均可达百兆。1.2.2现有校园网的不足目前，辽宁建筑分校区的网络由低端的锐捷交换机构成一个平面型的网络结构，没有层次化设计的网络结构其存在许多缺陷。从网络拓扑结构看：网络管理员很难对网络进行整体管理，一旦出现故障，将很难做出快速排查。其中最至命的是网络存在单点故障，一旦中心的交换机出现故障，整个网络立刻瘫痪（如图1-3）。在平面型的网络结构下，网络中心交换机负载所有的数据处理任务，不能够实现对数据的高速转发传输。图1-3中心结构图从网络设备方面看：大部分的设备已经不能满足现在学校对网络传输的需求，如中心换机只是一台普通华为交换机，转发率不高，最大只为100M

12、，实际上不可能达到，所以即使拓扑结构是树形结构，网络数据的交换也不会多快。而且连接这些交换机和路由器的通迅线路都是百兆双绞线。在这样的设备下，中心的网络中心通迅带宽仅为百兆。这将是实现网络高速吞吐的瓶颈。还有租用网络的带宽太低，如南校区校与北校区的通迅带宽才2M，而学校师生有8000多人，平时至少也有一百多人同时会使用，这也极大限制了我们学生与师大本部信息资源的共享。从网络设置管理方面看：学生可随意修改IP地址，容易造成IP地址冲突现象；广播风暴比较严重，造成带宽的浪费，一旦某台学生电脑中毒将影响整个网络；而且没有统一的网络管理软件，网管也很难统一对网络的整体管理。从网络应用方面看：学校提供的

13、校园网络服务内容太少，如缺少校园邮件服务，文件服务等，而且还没提供学生宿舍宽带接入，学生只能用电信的电话拨号上网。不方便学生上网，也不能规范和监督学生上网，不能实现以网养网的目标，节约学校对网络的投资成本。从网络安全方面看：没有防火墙，网络安全性非常脆弱，服务器防病毒能力差，非常容易遭受到攻击，包括外网和内网对服务器的攻击。没有网络服务质量（QoS）的管理。二、校园网络需求分析校园网的建设可以分为两部分。第一部分为硬件建设，如各种网络设备、服务器的选购及连接以及综合布线等；第二部分为软件建设，如各种应用软件、网络操作系统、教务管理系统等的选择；软件应用需求是选择硬件设备的基础和依据，只有将硬件

14、系统和软件系统有机地结合在一起，才能充分发挥校园网的最佳性能。从某种程度而言，软件建设的好坏决定了校园网建设的成败。2.1功能需求分析1、实现高速的Internet和CERNET出入；2、实现内部千兆校园网主干，百兆交换到桌面；3、提供校园WWW、FTP、DNS、E-Mail等服务4、提供校园BBS等教师和学生交流学习的平台；5、增加学生宿舍的接入；6、增加校园无线局域网；2.2 IP需求分析根据上述总体要求，在技术上必须提供相应的支持和保证。整个网络在技术上定位为基于IP over Gigabit Ethernet传输的IP的光学网络，以光纤为主干传输介质，以Gigabit Ethernet

15、 + IP为核心传输方式，可以充分的满足网络的需求。在设计本网络时，还要考虑的IP网络的优化。IP优化至少包括如下几个要素：1、网络体系结构以Gigabit Ethernet为设计基础，体现在网络层的多层次化体系结构。2、网络层次的优化，使用华为或思科各自专有的QoS（Quality of Services）来保证传输层网络的数据图形语音的正常传输。3、良好的网络拓展和兼容性。可以从上向下的无缝兼容，在合理的QoS控制下，根据不同的服务类型启动不同的控制协议，比如图像传输方面，可以通过IGMP组播协议和RSVP资源预保留协议进行优化和控制，对于数据和声音可以采用PQ，CQ，WFQ等排对称技术最

16、大限度的传输各种数据包充分利用光纤的带宽。4、稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力，快速恢复网络连接，避免路由表颤动引起的整网震荡，提供符合高速宽带网络要求的可靠性和稳定性。2.3重新建设的必要性分析基于当前学校的发展，对校园网络需求起来趍，且当前存在的诸多不足，学校网络升级改造显行非常必要。这可以从前一阶段校园网络的通信状况就可知道。在新的网络下必须能够满足教学、管理和通信三大基本功能。 教师可以在学校的任意的一台计算机上方便地浏览和查询网上资源，因为进行教学和科研工作必须可以调用网上资源，还可以通过网络对学生的学习进行指导。学生可以在计算机实验室、图书馆、教室、电子

17、阅览室等地方方便地浏览和查询网上资源，但不能在教师办公室上网，学生通过网络可以进行网上学习并能和教师进行网上讨论。学校管理人员可以方便地对教务、行政事务等进行综合管理，同时各楼办公室的计算机可以进行数据信息交换，初步实现办公自动化。总之，该校园网主要包括以下建设需求：（1）实现高速的Internet和CERNET出入；（2）实现稳定的快速的DNS、WWW、FTP、E-mail等多项网络服务；（3）建设校园BBS，促进校园文化的健康发展；（4）拥有透明出口措施，学生用学生证注册上网帐号，能够详细记录上网访问日志；（5）对外部资料实现管理，实现VOD服务；（6）整个校园网主干实现千兆传输，百兆光纤

18、到楼宇，百兆交换到桌面；（7）拥有高性能的网络设备，有足够的设备冗余；除以上要求外，还要求建成后的校园网具有一定的技术前瞻性和系统冗余度，以适应未来的发展和应用需求。2.4校园网络需要的技术2.4.1 ACL技术访问列表有三种类型的划分，包括RACL(路由器的访问列表），QoS的访问列 表，和VLAN的访问列表。路由器的访问列表可以被用于子网之间的数据包过滤，但是不能在一个子网内作过滤VLAN的访问列表，用于在一个VLAN的子网内实现过滤。2.4.2 PRIVATE VLAN 技术在很多企业网络的应用中，出于安全和简化IP地址规划的考虑，会有这样的需求：希望同一物理网段上的主机之间的通信能够互

19、相隔离，但是又希望这些主机都能够访问一个公共端口（网关或服务器端口），所有这些主机和服务器端口都位于同一个IP子网内，这样即实现了第二层的通信隔离，增加了安全保护，又不需要规划多个IP子网用于主机隔离。利用思科交换机的Private Vlan功能，可以轻松实现以上需求。2.4.3 AAA服务和安全服务器协议(radius/tacacs+)技术AAA（验证、授权、记账）网络安全服务提供了一个实现身份认证以及访问控制的主框架。AAA使用RADIUS、TACACS+等协议来实现对网络的访问控制。2.4.4 IPSec VPN技术虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时

20、的、安全的连接，是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可以大幅度地减少用户花费在远程网络连接上的费用。2.4.5 OSPF技术随着Internet技术在全球范围的飞速发展，OSPF已成为目前企业网采用最多、应用最广泛的路由协议之一。 OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS。在这个AS中，所有的OSPF路由器

21、都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。2.4.6 SPAN技术SPAN，交换端口分析器，是一种流量镜像的技术。实现该技术的目的是监控网络的性能，用于优化企业网络。常见的抓包工具，比如sniffer等只能捕捉到一个碰撞域内的流量，如果公司的网络都是用交换机互联的，就不能进行监控。通过SPAN技术，可以把流量镜像到流量分析器。2.5网络组建技术2.5.1以太网络技术早期局域网技术的关键是如何解决连接在同一总路线上的多个网络节点有秩序也共享一个信道的问题，而以太网络正是利用载波侦听多路访问/冲

22、突检测（CSMA/CD）技术成功的提高了局域网共享信道的传输利用率，从而得以发展和流行的。特别是近几年来交换式以太网和100M快速以太网的广泛应用，使以太网络成为当今局域网应用较为广泛的主流技术之一。然而，以太网络在发展早期所提出的共享带宽、信道争用机制限制了网络后来的发展，即使是近几年发展交换式以太网技术和100M快速以太网技术也不能从根本上解决这一问题，具体表现在：1、不提供服务质量保证（QoS）以太网提供的是一种所谓“无连接”的网络服务，网络本身对所传输的信息包无法进行诸如交付时间、包间延迟、占用带宽等等关于服务质量的控制。这种传送方式就像邮局递送信件一样，信息包一旦交给传输介质，无论是

23、发送端还是接收端都无法再对中间的传输过程进行任何有效的控制，这就是所谓没有服务质量保证。而且以太网的包长度本身是不确定的，这就导致网络设备对每一个帧的处理和转发延迟处于随机、不可控制状态。这两个因素的存在，使得以太网的帧在传输时的延迟和延迟的突发变化方面显得非常严重。以太网对传输过程的不可控性和对帧处理延时的过多抖动都不适于现在大量涌现出的具有较强定时性要求的多媒体信息的传输。2、带宽利用率较低对信道的共享及争用机制导致信道的实际利用带宽远低于物理提供的带宽，虽然基于CSMA/CD机制的以太网可以使网络节点对带宽的争用以一种“秩序”进行，但其带宽有效利用率仍低于10%。以太网的交换技术可以降低

24、争用的几率，但为了与原有网卡及应用软件相兼容，CSMA/CD仍必须存在，且交换中对转发端口的定位是在动态学习、动态刷新中进行的，这就使在统计上仍存在大量的包是以共享争用的方式传递的。引入交换技术可使利用率提高至20%-50%。除以上两点以外，以太网传输机制所固有的对网络半径、冗余拓扑和负载平衡能力的限制以及网络的附加服务能力薄弱等等，也都是以太网络的不足之处。但以太网成熟的技术、广泛的用户基础和较高的性价比，使其仍成为传统数据传输的网络应用中较为优秀的解决方案。现在，传统10M以太网的应用越来越少。在网络应用中，比较流行的以太网技术是：100M快速以太网和千兆以太网。2.5.2千兆以太网络技术

25、千兆位以太网应用于大中型网络，能把现有的10Mbps以太网和100Mbps快速以太网连接起来。千兆位以太网采用同样的CSMA/CD协议、同样的帧格式，是现有以太网最自然的升级途径，使用户对以太网原有设备管理工具的投资得到保护。千兆位以太网是超高速主干网的一种选择方案。在数据、话音、视频等实时业务方面，它虽然不能提供真正意义上的服务质量保证（QoS），但千兆位以太网频宽较高，能克服原以太网的一些弱点，提供服务保证等特性。IEEE802.3Z工作组已确定了以下一组规范，统称为1000Base-X。1、1000Base-LX:多模光纤传输距离为550米，单模光纤传输距离为3000米。2、1000Ba

26、se-SX：62.5微米多模光纤传输距离为300米，50微米多模光纤传输距离为550米。3、1000Base-CX:用于短距离设备的连接，使用高速率双绞线铜缆，最大传输距离为25米。4、1000Base-T：5类铜缆传输最大距离为100米。千兆位以太网支持交换机之间、交换机与终端之间的全双工连接，支持共享网络的半双工连接方式，使用中继器和CSMA/CD冲突检测机制。对于大多数用户而言，花费很少的投资就可将现有的网络升级至千兆以太网，并且不需在通信协议上进行额外的投资。2.5.3 ATM技术ATM在现有技术水平上已获得成熟的发展。不过，ATM有一个不足之处就是，采用ATM技术来构建网络主干，需要

27、较高的成本，其经济可行性较差。这对所建的中等规模仿小的网络就更是如此。基于我们学校目前的发展情况，ATM虽好，但并不合适，成本太高也还没有那多的需求。且学校原有的网络也都是基于以太网和快速以太网而建的，因此，我们使用千兆以太网为校园网主干，百兆到桌面，来平滑升级现有网络。即可以保护原有投资也达到升级的目的。这是我们升级中不二的选择。设计依据：1、根据学校现有的业务量与业务类型，估算出网络大约需要的交换能力和功能。学校的业务主要有：校园网的Internet接入包括使用ChinaNet和CERNET，从学校现有计算机数量看，最大并行访问Internet的计算机数量大概在500台，以百兆光纤出入Ch

28、inanet是有些拥挤，不过大多数时间内不会有那么多台同时访问，而且还可以通过交换机带宽配置，来分配各个单位的上网需求，因此目前的带宽还是可以满足用户的上网需求。不过接入CERNET的带宽就显得过小了，虽然访问的人没有访问Chianet的多。校园内部的BBS、WWW、FTP、E-Mail等，这些网络服务均可对内外开放，而且是学生群体比较活跃的区域，网络的通迅量较大，需要较大的带宽；学校内部日常的管理系统，如教务管理系统，学生学籍管理系统等，这些也是师生访问较多的网络服务；校园网内的文件传输等内部通信也需要很大的带宽。将学生宿舍的宽带接入也是校园网重要的功能模块，它所需要的带宽也是很庞大的。随着

29、社会发展，移动办公也越来越普遍，增设校园无线局域网也是势在必行的。而且校园无线局域网也可以方便那些早期没有安装网络通迅线路的建筑接入校园网。经过以上分析，将校园内部主干网设计为千兆是十分必要的。2、根据业务量与业务类型的发展，估算出五年内网络大约需要的交换能力和功能在此次升级中，我们都将使用一些能够充分满足当前网络通迅及应用服务的网络设备，又能够在相当长一段时间内保持技术的先进性，能够满足今后学校对网络的扩展需要。3、依据网络分级原则，确定核心、会聚、接入各层设备所在位置与策略。该次升级方案中，彻底改变了校园网络的主干拓扑结构，摒弃了以前那平面型的拓扑结构，采用当今主流的三层网络结构，即核心层

30、、汇聚层、接入层结构。网络中心还是设在实验楼，所以核心层设备也自然设在该楼内.汇聚层接入层设备根据新的网络拓扑及子网划分，具体安放在后面的章节中说明。4、根据以上三点，以及充分利用现有的网络设备的前提下，确定对所需网络设备的要求和投资估算，以此来确定设备的供应商，并在满足现有业务的同时，确保网络可以以较少投资平滑升级。核心冗余，从图1-3可以清楚的知道，学校所有出入Chinanet 和CERNET的数据都必须通过ls-3026交换机，一旦该设备出现故障，整个网络将瘫痪。为应对该问题，我们采用核心冗余技术（如图2-1），通过设置HSRP协议，即使核心交换机有一台出现故障，网络会自动切换到另一台核

31、心交换机上，保证网络通畅。我们使用的冗余交换机都可以工作在三层，支持该协议。图2-1核心冗余图2.5.4 HSRP技术热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（A

32、ctive Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。HSRP 运行在 UDP 上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别.三、校园网系统设计网络系统设计方案主要包括校园网内部网络和In

33、ternet接入两部分的设计。3.1校园网内部网络设计校园网内部网络是组建在学院校园内的计算机应用网络，可以采用Intranet方式建设校园网内部网络。对本分校区而言，几乎包括所有的建筑楼群：如教学楼、图书馆、科学楼、外语楼、实训楼、实验楼、教师及学生宿舍楼等。根据福清学院对网络应用的需求，主干可以采用千兆以太网结构，每栋楼与网络中心用多模光纤连接，百兆交换到桌面。在升级设计中，针对现有的不足，我们采用分层次的网络结构和冗余设计技术，如采用核心、汇聚冗余。还有无线局域网的引入，也是逐步完善校园网络的一个举措。3.2校园网接入Internet设计学校校园网采用双端口方式，一个接入辽宁建筑本部教育

34、网，一个作为电信的局域网方式接入中国电信，校园网核心交换机及路由器都存放在网络中心，所有楼的光纤均连接到网络中心。并申请相应的域名和IP地址。内部网络的IP地址由保留地址和真实地址混合使用，保证内部网络的安全。3.3校园网应用系统设计1、Internet应用学校向域名注册代理商申请Internet域名后，通过配置相应设备便可以向校内外提供DNS、WWW、FTP和E-Mail等服务。网络操作系统可以选择Microsoft的Windows系列或Linux。在服务器上，每一个服务可以由一台服务器来完成；也可以由一服务器来同时完成几项服务。这些是对校内外开放的。另外一些主要面向教学或学生工作的服务，可

35、以另外设一些专门的服务器，如：学生学籍管理系统、教务管理系统等，这些可以视需要决定是否向外开放。2、视频点播、教学讨论BBS 校园网视频点播系统，可以使学生通过电脑在校园内任何地方进行教学课件的视频点播，进一步提高学生的学习积极性。校园BBS服务，可以使每位学生教师都可以在BBS上书写信息、提出看法、讨论教学问题，增强师生间的教学交流。校园网还以提供许多其他服务(可选)，如网络课件库、网络试题库、精品课程点播以及远程教学等，进一步推动教学手段的改革。4、网络管理随着校园网的不断扩大，对校园网中网络设备的管理成为校园网管的重要任务，可以通过网络管理软件实现对全校所有网络设备的集中式管理。网络管理

36、集通信技术、网络技术和信息处理技术于一体，通过高度和协调资源，进行各项管理活动，以达到使网络可靠、安全和高效运行的目的。由于我们在建设中主要使用Cisco的产品，可以用CiscoWork2000这个网管软件来统一管理，它可以管理Cisco的基于IOS操作系统的连接设备。使用方式是Web管理方式，所以在安装完网络管理服务器后可以在任何有网络连接的机器上进行网管监控。5、QOS管理流量管理也是一个非常重要的工程，如何有效的、合理的管理网络中ip流量将有助于网络整体性能。实施QoS，首先必须进行QoS的总体规划，其规划原则可如下:首先，根据不同业务特性在网内实施针对业务类型的业务分流，目前可考虑的业

37、务类型可以分为VoIP语音、视频、专线互联及互联网接入等。另外，还必须考虑到网络本身还存在管理和控制信令等，这种消息流与VoIP数据流具有同等的QoS保证需求。其次，在接入网的汇聚层实施业务VLAN策略，并根据业务及流量特性对业务VLAN进行合理的带宽规划。然后，不同用户实施不同的QoS:对于重要的服务器、教师机通信等，在汇聚层实施独享带宽和独立逻辑通道的二层QoS策略。6、无线局域网校园内加入无线网络，一方面可以方便师生在校园内的移动入网，也可以使那早期没安装网络接口的建筑，如电子楼，5、6号楼。从学校的自然布局和办公情况看，将无线接入点分别设在学生公寓楼和外语楼。外语楼主要面向本楼接入和科

38、学楼外来领导的移动接入。公寓楼可供5、6的接入。7、网络安全网络安全性非常脆弱，服务器防病毒能力差，非常容易遭受到攻击。加入硬件防火墙可以对出入校园网数据包进行监控、过滤， 最大程度的屏蔽内部网络的信息、结构及运行情况，以此来保护网络安全；它具有控制对系统的访问，集中安全管理，增强的保密性等功能。8、用户上网需求校园网的主要用户是教师和学生，学校可增设一个透明网关或认证服务器来对用户身份认证及上网计费。同时包括无线接入的认证。3.4校园网结构设计校园网结构设计主要指网络的物理结构设计和逻辑结构设计。在完成对校园网的网络现状分析后，就可以有针对性的进行物理和逻辑上的规划设计，进一步完善校园网络。

39、3.4.1校园网物理结构设计根据前面对校园网络现状的分析，可以知道校园网内有多少建筑，各建筑内包含多少信息点以及它们的分布情况，可以知道校园网的功能及其应用。对些我们就可以做出相应的升级拓扑设计。此次物理上主要是对网络设备及通信带宽的升级（对于设备选择在第三章中介绍）：1、升级核心路由器，采用思科优质的产品C3600系列。2、采用思科双C3750核心交换机做冗余技术;汇聚层也采用思科C6509原有的可当备份用;接入层采用C3500系列。各层设备都具有千兆以太网端口。3、增加3A身份认证服务器，增加校内外学生宿舍的校园网接入和校园无线局域网接入。4、引入防火墙机制，提高校园网的安全性。在通信线路

40、上，此次将校园主干网都升级为1000M以满足学校对网络的需求。接入电信仍为原有的百兆光纤，不过只要更改光缆的带宽就可以使网络升级到更高的带宽；路由器与核心交换机间采用1000Base-T铜缆连接； 核心交换机与汇聚层交换机间采用1000Base-LX光纤连接（在同一室内可用优质双绞线）。校内各网络服务采用100M双绞线连到核心交换机。汇聚层交换机所在的楼房内直接采用100双绞线连接到接入层交换机，其它楼房的接入层交换机则用100M光纤连接到该汇聚交换机上，物理拓扑如图3-1。图3-1物理拓扑图3.4.2校园网逻辑结构设计根据上一节的设备选型及校园网络结构设计，我们可以绘制出更详细的校园网络结构

41、图，如下列图3-2。图3-2逻辑拓扑图注：图2-3中完整IP的均使用默认C类掩码，而只有两个IP位的都默认省去了前两位，如：100.6/30其完整IP为/30，其中30为该IP的掩码长度。1、核心与汇聚部分图3-3冗余部分拓扑图2、汇聚与接入部分图3-4汇聚与接入设计图注：由于接入层是工作在数据链路层，所以不需为其设置IP。3、VLAN的划分部分校园网逻辑结构设计主要是IP子网网段的划分，根据校园网实际应用需求实现VLAN的设置。从校园网的安全性、IP地址的可管理性和IP地址资源的有限性出发，将整个校园网络划分成若干个子网网段并对IP地址进行有效的管理是十分必要的。子网网段划分一般应遵循以下原

42、则：（1）需要对外开放的服务器划分在同一网段，并分配真实的IP地址；（2）除接入Internet的路由器外，将其它所有网络设备划分到私有的网段；（3）将不对外开放的服务器划分到专有网段中，其地址对外是隐蔽的；（4）最好将不同部门的机器划分到不同网段中；（5）划分的子网应使IP管理简单，同时也要避免IP地址的大量浪费；（6）可使用子网掩码将几个C类地址分给同一个大的子网，或将一个C类地址分给几个小的子网；（7）校园内部网IP地址使用保留地址，连接Internet的子网采用真实IP地址。以下为学校升级中，对学校所有网内计算机的子网划分情况：VLAN划分如表3-1：表3-1 VLAN划分表序号VLA

43、N号子网名称包含的信息点1DMZ区服务器子群连接Internet的所有对外开放服务器，为真实IP地址211服务器子网所有只对校内开放的服务器，为保留IP地址312网络设备子网除路由器外所有网络设备413办公室子网图书馆、实训楼、科学楼的办公室计算机514无线接入子网所有无线接入的计算机615学生宿舍子网1校内学生宿舍接入的计算机716学生宿舍子网2校外学生宿舍接入的计算机817教师宿舍子网1校内教师宿舍接入的计算机918教师宿舍子网2校外教师宿舍接入的计算机1019教室子网教学楼、科学楼、电子楼、实验楼的教学用计算机1120电子阅览室子网图书馆除办公室计算机外的所有计算机1221计算机实验室子

44、网1实训楼的计算机实验室11322计算机实验室子网2实训楼的计算机实验室21423计算机实验室子网3实训楼的计算机实验室31524计算机实验室子网4实验楼计算机实验室11625计算机实验室子网5实验楼计算机实验室21726计算机实验室子网6实验楼计算机实验室3子网划分示意图如图3-5：图3-5 VLAN划分示意图四、网络设备选择方案4.1设备选择基本原则在网络升级选择网络设备时，应当遵循以下原则：1、可靠性由于升级的往往是核心和骨干网络，其重要性不言而喻，一旦瘫痪则影响巨大。因此，必须将可靠性放在第一位，无论是品牌的选择，还是设备的配置，都将可靠性作为第一考虑。2、性能作为网络骨干网络节点，中

45、心交换机、汇聚交换机和厂区交换机必须能够提供完全无阻塞的多层交换性能，以保证业务的顺畅。3、可管理性一个大型网络可管理程度的高低直接影响这运行成本和业务质量。因此，所有的节点都应市可网管得，而且需要有一个强有力切简介的网络管理系统，能够对网络的业务流量、运行状况等进行全方位的控制和官吏。4、灵活性和可扩展性由于企业网络结构复杂，需要交换机能够接续全系列接口，例如光口和电口、百兆、千兆和万兆端口，以及多模光纤接口和长距离的单模光纤接口等。其交换机结构也应能够根据网络扩容灵活地扩大容量。其软件应具有独立知识产权，应保证其后续研发和升级以保证对未来新业务的支持。5、安全性随着网络的普及和发展，各种各

46、样的攻击也在威胁这网络的安全。不仅仅是介入交换机，骨干层次的交换机也应考虑到安全防范的问题，例如访问控制、宽带控制等，从而有效控制不良业务对整个骨干网络的侵害。6、QoS控制能力随着网络上多媒体业务（语音、视频等）越来越多，我们对核心交换机节点提出了更高德要求，不仅能进行一般的限速交换，还要能根据不同的业务流的特点，对他们的优先级和贷款进行有效的控制，从而保证重要业务和时间敏感业务的顺畅。7、标准性和开放性由于网络往往是一个具有多种厂商设备的环境，因此，所选择的设备必须能够支持业界通用的开放标准和协议，以便能够和其他厂商的设备有效地沟通。8、性价比在满足网络需求和网络应用的额基础上，还应当充分

47、考虑设备的性价比，以达到最大的投资回报率。4.2交换设备选型4.2.1 核心层交换机选型根据学校的规模和应用需求，为将校园主干升级为千兆网络，我们核心交换机选用两台CISCO WS-C3750G-24TS-S作核心冗余。Cisco Catalyst 3750系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。该交换机采用了Cisco StackWise技术，通过结合易用性和可堆叠交换机的最高永续性，提高了局域网运行效率。关键特性：1、可用性802.1S/W支持基于标准的容错性、负载均衡和迅速恢复；Flexlink特性提供了不到100ms的快速收敛；PVST+则通过允许流量在冗余链路上传

48、输，增加了可用带宽。2、Cisco StackWise技术单一IP地址和单一命令行界面（CLI）简化了管理；32-Gbps永续架构加速了收敛；1N堆叠采用了冗余和第三层上行链路永续性、跨堆叠Cisco EtherChannel技术及QoS，提高了可用性；自动配置和Cisco IOS软件版本检查和升级加速了部署过程；交换机的热添加和删除能保持堆叠持续运行。3、370W PoE简化了IP电话、无线和视频监视部署；智能电源管理特性增强了控制能力，有助于更好地利用功率预算，PoE与快速以太网或千兆以太网型号相结合，能最大限度地利用现有基础设施投资。4、第三层特性 OPSF、EIGRP、BGP 、静态

49、PBR等高级路由协议扩大了网络规模；等成本路由以及PIM等组播路由能够最大限度地利用网络资源；VRFLite可保护流量；（5）IPv6在简化网络寻址和移动IP的同时提高了安全性。5、QoS 流量整形能在不丢弃数据包的情况下平稳处理突发流量；整形循环保证了关键任务应用的带宽；而Scavenger队列则能防止蠕虫过度使用资源。6、管理 Cisco Smartports能快速、简单地配置高级 Web界面完成设置； 资源模板则可用于为应用定制交换机资源。7、安全DHCP监听能够只允许可信端口访问DHCP信息，消除了恶意DHCP服务器；NAC则能防止代价昂贵的蠕虫和病毒的传播；动态ARP检测和IP源防护

50、能够防御中间人攻击；802.1x和基于身份的网络服务仅允许授权人员接入网络；端口安全能防止MAC地址泛洪攻击。4.2.2 汇聚层交换机选型汇聚层交换机需要支持第三层交换，对应核心冗余，在这里我们也选用两台CISCO WS-C6509-24-SMI作汇聚冗余。产品特点：6509系列是一款功能强大的交换机，可在中型网络中作接入设备，也可作汇聚设备。用户可以在整个网络中部署智能化的服务，例如先进的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。Catalyst 6509系列中内嵌了Cisco集群管理套件（CMS）软件，该软件使用户

51、可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。Cisco CMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。 含有标准多层软件镜像（SMI）或者增强型多层软件镜像（EMI）。EMI提供了一组更加丰富的企业级功能，包括基于硬件的IP单播和多播路由，虚拟LAN（VLAN）间的路由，路由访问控制列表（RACL）和热备用路由器协议（HSRP）。在刚开始部署时，增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。4.2.3接入层交换机选型接入层设备主要作用是要支持VLAN的划分，我们可以选用CISCO Catalyst 35

52、00. 4.3路由器选型接入Internet的路由器完全可以选用Cisco 3620，因为Cisco 3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco 3600系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/传真网络模块，Cisco 3600系列允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。关键特性：1、在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、AT

53、M连接以及语音、视频和数据的多服务集成。2、模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。3、高密度ISDN PRI功能。 4、预配置的BRI和PRI调制解调器捆绑。5、支持Modem-over-BRI功能性。 6、集成了Cisco IOS软件（产品定价中包括IP IOS软件）。 7、完全支持VPN。4.4防火墙选型防火墙是一种部署在内外网边界上的访问控制设备，在校园网中使用防火墙，可以用来防止未经授权的通信进出校园内部网络，通过边界控制强化内部网络的安全策略。防火墙主要有简单包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙三种。结合我们学校情况，我们选用CISCO PIX

54、520-R-BUN 防火墙来保障校园网络安全。CISCO PIX 520-R-BUN防火墙的主要功能：1、企业级集成式安全设备2、最高330 Mbps防火墙吞吐率3、利用硬件加速（某些型号自带，在其他型号中为可选组件）最高可以提供145 Mbps 3DES和135Mbps AES-256 VPN吞吐率4、最多可以为2000个远程用户提供VPN集中器服务（Easy VPN Server）5、千兆以太网支持；最多8个10/100 FE或者3个千兆以太网接口6、虚拟局域网中继（基于802.1q标签）和OSPF动态路由支持7、安全环境（虚拟防火墙服务）支持8、主用/主用和主用/备用防火墙状态故障切换支

55、持9、主用/备用IPSec VPN故障切换支持4.5服务器选型现在著名的服务器品牌非常多，有IBM、HP、DELL、LENOVO、曙光、浪潮等。这里选的服务器主要是验证服务器的选择，其它的看学校目前的网络应用可以随时增设，如前面分析的FTP服务器、E-Mail服务等。根据我们前面的分析与设计，我们选择华为MA5200F-2000 来作为校园的宽带接入验证服务器，主要验证学生接入与无线接入这两方便。4.6设备清单及价格表4-1设备清单表序号设备名称产品型号数量价格(元)1核心交换机CISCO WS-C3750G-24TS-S235000*22汇聚交换机CISCO WS-C6509-24-SMI2

56、14000*23接入交换机CISCO WS-C3500T-2445500*44路由器CISCO 36201158005防火墙CISCO PIX 520-R-BUN1345006认证服务器华为MA5200F-2000157118注：本章的设备参考资料主要来自 、及一些思科产品文档。在本章里论述的主要是在升级好的网络设备上，根据学校的实际应用需求进行相应配置。配置中需要涉及的内容有：路由器的配置；冗余的核心与汇聚交换机配置；认证服务器配置；设置安全机制和防范策略、ACL控制策略、带宽限制、QoS等，这里我只提一些组网中主要的配置。五、网络实施5.1施工准备工作为了确保网络设备采购及服务项目的建设工

57、作能够按期保质的竣工，并完成整个网络系统的安装、调试及应用培训。施工技术准备施工技术是贯穿着整个工程的全过程。施工技术准备是施工过程中的重要环节也是施工准备的核心，其具体有如下内容：（1）现场对每个学校的监控系统进行了解和熟悉、审查设计图纸（2）由工程、技术部门认真编制施工组织设计并作好各种物资资源和技术条件的调查工作（3）作好与设计的配合工作通过熟悉图纸内容，了解设计上要求施工达到的技术标准，明确工艺流明程。组织各工种的施工管理人员对本工种的有关图纸进行审查，掌握和了解图纸中的细节。组织和专业施工队伍共同学习施工图纸，商定施工配合事宜。由监理牵头组织有关单位进行图纸会审，由设计方进行交底，理

58、解设计意图及施工质量标准，准确掌握设计图纸中的细节。（4）认真编制施工组织设计，作为工程施工生产的指导性文件（5）编制施工图预算和施工预算由预算部门根据施工图、预算定额、施工组织设计、施工定额等文件，编制施工图预算和施工预算，以便为施工作业计划的编制、施工任务单和限额领料单的签发提供依据。物质条件准备：（1）施工材料的准备根据施工组织设计中的施工进度计划和施工预算中的工料分析，编制工程所需的材料用量计划，作好备料、供料工作和确定仓库、堆放面积及组织运输的依据。根据材料需用量计划，做好材料的申请、订货和采购工作，使计划得到落实。组织材料按计划进场，并作好保管工作。（2）配件的加工订货准备根据施工

59、进度计划及施工预算所提供的各种构配件数量，做好加工工作，并编制相应的需用量计划。组织配件按计划进场，按施工平面布置图作好存放和保管工作。（3）施工机械准备根据施工组织设计中确定的施工方法、施工机具、设备的要求和数量以及施工进度的安排，编制施工机具设备需用量计划，组织施工机具设备需用量计划的落实，确保按期进场。现场准备：（1）组织机械设备进场根据施工机具的需用量计划，按施工平面布置图的要求，组织施工机械设备进场，机械设备进场后按规定地点和方式布置，并进行相应的保养和试运转等项工作。（2）组织安装材料和构配件的进场根据安装材料、构配件的需用量计划组织其进场，按规定地点和方式存放堆放，并做好组织和保

60、护措施。施工队伍的准备：根据确定的现场管理机构建立项目管理层，并选择高素质的施工作业队伍进行该工程的施工。（1）建立项目部施工组织的领导机构。施工组织机构的建立应遵循以下的原则：根据工程的规模、结构特点和复杂程度，确定劳动组织的领导机构名额和人选；坚持合理分工及密切协作相结合的原则；把有施工经验、有创新精神、工作效率高的人选入领导机构；认真招待因事设职、因职选人的原则。（2）建立精干的施工队组。施工队组的建立，要认真考虑专业工种的合理配合，技工和普工的比例要满足合理的劳动组织要求。按组织施工方式的要求，确定建立混合施工队组及其数量。（3）根据该工程的特点和施工进度计划的要求，确定各施工阶段的劳