校园网络设计方案

1、学员编号：中等职业学校专业骨干老师国家级培训校内网络设计方案培 训 专 业计算机网络技培 训 学 员崔强荣完 成 时 间2012 年 12 月 20日。陕西杨凌目录 HYPERLINK l _TOC_250023 引言3 HYPERLINK l _TOC_250022 校内网需求分析3 HYPERLINK l _TOC_250021 网络基本状况3 HYPERLINK l _TOC_250020 网络需求分析3 HYPERLINK l _TOC_250019 网络总体设计4 HYPERLINK l _TOC_250018 网络架构分析4 HYPERLINK l _TOC_250017 设计思路

2、4 HYPERLINK l _TOC_250016 校内网的设计原则5 HYPERLINK l _TOC_250015 网络三层结构设计5主干网核心层设计5园区内汇聚层设计6 HYPERLINK l _TOC_250014 IP规划与VLAN7IP地址的安排原则7公网地址安排7专用网的IP地址规划8专用网中vlan划分9 HYPERLINK l _TOC_250013 设备选型9核心交换机设备选型9汇聚层设备选型9-可编辑修改-。接入层设备选型10 HYPERLINK l _TOC_250012 物理/链路层配置原则10 HYPERLINK l _TOC_250011 网络安全与管理10 HY

3、PERLINK l _TOC_250010 网络安全10威逼网络安全因素分析10网络安全防范措施10 HYPERLINK l _TOC_250009 网络管理11 HYPERLINK l _TOC_250008 网络安全策略配置11安全接入和配置11拒绝服务的防止12 HYPERLINK l _TOC_250007 电源系统12 HYPERLINK l _TOC_250006 综合布线设计13 HYPERLINK l _TOC_250005 综合布线的设计原则13 HYPERLINK l _TOC_250004 结构化综合布线系统的组成及设计13工作区子系统（WorkArea）及其网络设计13

4、配线子系统（Horizontal）及其网络设计13干线子系统（Backbone）及其网络设计13设备间子系统（EquipmentRoom）及其网络设计14管理子系统（Administration）及其网络设计14建筑群子系统（CampusSubsystem）及其网络设计14进线间子系统及其网络设计15 HYPERLINK l _TOC_250003 防雷系统15 HYPERLINK l _TOC_250002 在施工中留意事项15工程施工前预备15现场施工16现场测试16 HYPERLINK l _TOC_250001 硬件设备预算16 HYPERLINK l _TOC_250000 结束语1

5、7-可编辑修改-。引言势,可以利用万兆以太网的校内网组网技术。构建校内网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。1995 CERNET （教育和科研计算机网）建设全面启动，全国各地的高校开头建设才能充分发挥网络资源管理和应用的优势，进行信息沟通、资源共享、科学计算和科学争辩与合作。与其它网络一样，校内网面临的威逼大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威逼有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或哄骗的手

6、段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用； 干扰系统正常运行。校内网需求分析网络基本状况64二级学院在一个园区（1），另外两个二级学院位于一个园区（2），34。高校已从教育科研网（CERNET） 有关机构申请了 IPV4 地址块58.193.152.0/21。因特网具有统一接口，即通过百兆以太网接入教育科研网（CERNET）。高校向因特网发布信息并为全校供应有关的信息服务，每个二级学院都包含网管中心、院办公楼、教学楼、试验楼、干部培训楼、1500PC。网络需求分析为提高网络牢靠性及安全性，需

7、要在主干网接受光纤布线。校内网应实现虚拟局-可编辑修改-。域网（VLAN）的功能，以保证全网的良好性能及网络安全性。主干网交换机应具有 Internet整个业务网必需具备良好的可管理性,过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块网络总体设计网络架构分析现代网络结构化布线工程中多接受星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简洁，扩展性高，成本低和可管理性好等优点；而校内网在分层布线主要接受树型结构；每层的集线器或交换机在连接到本楼出口的交换机，各个楼的交换机再连接到园区通信网中。为了增加网络的牢靠性，四个园区通信网连成一

8、个环构成校内网的核心区域，从而构成了高校校内网的拓补结构。4选用百兆以太 LAN 作为基本的接入形式，在网络中心的设备选型和结构设计上必需考虑整体网络的高性能和高牢靠性。设计思路进行校内网总体设计，首先要进行对象争辩和需求调查，明确学校的性质、任务和改革进展的特点及系统建设的需求和条件，对学校的信息化环境进行精确的描述； 在应用需求分析的基础上，确定学校 Intranet 服务类型，进而确定系统建设的具体目标，依据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计。1 、万兆交换机互联各个园区网选用万兆交换机互联各个园区网，而不选用高速路由器是由于：各园区网均接受的以太网技术体系，兼容

9、性好。高校将在校内网上开展教学视频观摩、远程听课等多媒体应用，供应高速率信息通道是必要的。万兆交换机为三层交换机，是具有选路功能的交换机，在校内网环境下能够具有更好的性能。23好的隔离性，在该校内网中用处不大。2、主干网接受公用 IP 地址相连CERNETIP-可编辑修改-。IPNAT 为之的方法；另一方面，可能使得校内网受到网络黑客侵扰会少些。校内网的设计原则先进性原则以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，接受基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。开放性原则校内网的建设应遵循国际标准，接受大多数厂家支持的

10、标准协议及标准接口，从而为异种机、异种操作系统的互连供应便利和可能。可管理性原则网络建设的一项重要内容是网络管理，网络的建设必需保证网络运行的可管理 故障的诊断。安全性原则信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地猎取信息，并保证该信息的完整和牢靠。网络系统的每一个环节都可能造成安全与牢靠性问题。机敏性和可扩充性因此所选取的网络拓扑结构应当能够简洁的进行配置以满足新的需要。稳定性和牢靠性可能小以外，同时还应具有良好的故障诊断和故障隔离功能。网络三层结构设计主干网核心层设计CERNET相连。该三层校内网结构中的核心层位于公网部分，可选用了 Cisco 公司的万兆

11、交换机Cat6509。4424-可编辑修改-。校内网的核心层结构如下图所示：园区内汇聚层设计IPPC1500以隔离广播流量，提高网络工作效率，并提高安全性。3COMSwitch40073C16980PC连。二级学院园区网的二层网络拓扑架构如下图所示：-可编辑修改-。IPVLANIPIP一步可持续性进展。该高校有六个二级学院,1500PCIP8*256-2 个=2023,6*1500NATINTERNET IPPCIPNAT技术上网。这样既满足一般用户上网需求又可以使服务器正常作用于互联网。公网地址安排IP58.193.152.0/218254IP254IPIP表 1：学校公网 IP 地址安排表

12、-可编辑修改-。名称名称IP高校本部58.193.152.0/24园区一学院一58.193.153.0/24学院二58.193.154.0/24学院三58.193.155.0/24园区二学院四58.193.156.0/24园区三学院五58.193.157.0/24园区四学院六58.193.158.0/24学校服务器58.193.159.0/24IPIPIPNAT1500IPB172.16.0.0/21，将其安排给高校6IP308*256-2=20467IP划也可。名称专网 名称专网 IP高校本部172.16.8.0/21园区一学院一172.16.16.0/21学院二172.16.24.0/21

13、学院三172.16.32.0/21园区二学院四172.16.40.0/21-可编辑修改-。园区三园区三学院五172.16.48.0/21园区四学院六172.16.56.0/21学校服务器58.193.159.0/24vlanVLANLANVLAN VLANVLANVLAN 是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的VLANVLANIDIP（VLAN）设备选型核心交换机设备选型通常将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，供应油画，牢靠的骨干传输结构，因此核心层交换机应拥有更高的牢靠性，性能和吞吐量。RG-S96203.39.6T, 汇聚层设备选型图

14、3.3通常将位于接入层和核心层之间的部分称为分布层或汇聚层，汇聚层交换层是多台接入层交换机的汇聚点，它必需能够处理来自接入层设接口和更高的交换速率。各二级学院网管中心汇聚层交换机选择,锐捷网络RG-S8606 为企业网络核心交换机的抱负选择，如图 4.4所示。适用于为政府、学校、企业构建高速、安全、牢靠的 千 兆 背 板 带 宽 为1.6T,包 转 发 率 ：-可编辑修改-图 3.4图 3.5。L2:595Mpps,595Mpps,扩展插槽：6 个(2 个用于管理引擎模块)。在二级学院各楼层的汇聚层交换机，我们接受锐捷网络 RG-S3760E-24，如图 3.5 所示，属于千兆交换机，背板带宽

15、：49.6G，包转发率：12.8/16.4Mpps。接入层设备选型通常将网络中直接面对用户连接或访问网络的部分称为接入层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入层交换机我们选择可网管的交换机。/链路层配置原则物理/链路层配置遵循下面的原则：网络设备互连的物理端口都应当绑定端口的速率和全双工模式；VlanVlanSTPVlanVlan成树协议，广播报文将会很多，影响核心交换机性能和网络收敛时间；TrunkVlanVlanTrunk网络安全与管理网络安全校内网的安全威逼主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威逼主要是病毒攻ft

16、和黑客行为攻ft。依据统计，威逼校内网安全的攻ft 行为或许有 40左右是来自于网络内部，如何防范来自于内部的攻ft是校内网网络安全防护体系需要重点关注的地方。威逼网络安全因素分析计算机网络安全受到的威逼包括：“黑客”的攻ft；计算机病毒；拒绝服务攻ft（DenialofServiceAttack）。网络安全防范措施在不转变原有网络结构的基础上实现多种信息安全，保障校内内部网络安全，我们选购了一套网络安全防范设备。-可编辑修改-。1瑞星杀毒软件网络版超强病毒查杀智能主动防备增加型全网漏洞管理二次开发。兼容多种平台一体化智能服务体系网络管理在校内网络管理方面，为了便于校内网络管理人员的管理及维护

17、，我们选购Quidview 网络管理软件。Quidview 网络管理软件基于机敏的组件化结构，用户可以依据自己的管理需要和网络状况机敏选择自己需要的组件，真正实现“按需建构”。Quidview 网络管理软件接受组件化结构设计，通过安装不同的业务组件实现了VPN支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。网络安全策略配置安全接入和配置安全接入和配置是指在物理(把握台)或规律(telnet)端口接入网络基础设施设备前19安全接入和配置方法访问方式访问方式保证网络设备安全的方法备注Console 把握接口建议超时限制设设置密码和超时限制的访问5execR

18、adiuslogon/logout设备配置级别的命地账户作应急之用令行telnetACLIPtelnetRadius-可编辑修改-。安全纪录方案；设置超时限制安全纪录方案；设置超时限制SSH 访问，从而允许操作员从网络的外部环境进行设备安全登SSH访问陆WEB管理访问Web管理功能为增加安全建SNMPACLIPSNMP访问； 议更改缺省的SNMP访问SNMPSNMPftSNMPCommutiy 子串设置不同账号通过设置不同的账号的访问权限，提高安全性拒绝服务的防止网络设备拒绝服务攻ftTCPSYN 泛滥攻ftSmurfft TCPSYN TCPSYN临界值，若多于TCPSYNSmurfftIC

19、MPecho(directedbroadcastICMP包临界值，避开成为一个Smurfft的转发者、受害者。3.3.3 访问把握internet，端口全开放。DMZ（非军事）区的访问恳求：WEB80mail25110禁止从公网到内部区的访问恳求，端口全关闭。DMZ（非军事）区，端口全开放DMZ（非军事）internet，端口全开放DMZ（非军事）区访问内网，端口全关闭。电源系统,UPS,C3KVA/2100WUPS-可编辑修改-。综合布线设计综合布线的设计原则综合布线同传统的布线相比较，有着很多优越性，是传统布线所无法比及的。其特点主要表现为它的有用性、功能性、先进性、机敏性、便利性、牢靠性

20、、扩展性、开放性、标准化、经济性和生命周期。而且在设计、施工和维护方面也给人们带来了很多便利。结构化综合布线系统的组成及设计Distribution是一套开放式的布线系统， 可以支持几乎全部的数据、语音设备及各种通信协议，同时，由于 PDS 充分考虑了通信技术的进展，设计时有足够的技术储备，能充分满足用户长期的需求，应用范围格外广泛。而且结构化综合布线系统具有高度的机敏性，各种设备位置的转变，局域网的变化，不需重新布线，只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。工作区子系统（WorkArea）及其网络设计工作区子系统，是由 RJ-45 跳线与信息插座所连接的设

21、备组成。信息点由标准RJ45 插座构成。信息点数量应依据工作区的实际功能及需求确定，并预留适当数量2335100M100M工作区的终端设备（如：电话机、传真机）选用安普公司的超五类双绞线直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN 终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。配线子系统（Horizontal）及其网络设计配线子系统，是从工作区的信息插座开头到管理间子系统的配线架。选择配线子系统的线缆，要依据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推举接受的双绞电缆及光纤型号为: 安普公司的超五类或六类非屏蔽双绞线, TCL 室内单模或多模

22、光纤。90m选择安普公司的超五类非屏蔽双绞线缆。干线子系统（Backbone）及其网络设计-可编辑修改-。用的线缆主要有：HAY 三类大对数电缆；安普公司的超五类或六类双绞线；TCL 室内单模或多模光纤。该方案选择安普公司的超六类双绞线缆。垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆供应楼层之间通信的通道，使整个布线系统组成一个有机的整体。垂直干线子系统 Topology 结构接受分层星型拓扑结构， 每个楼层配线间均需接受垂直主干线缆连接到大楼主设备间。垂直主干接受 25 对大25线缆和水平系统线缆之间的连接需要通过楼层管理间的

23、跳线来实现。设备间子系统（EquipmentRoom）及其网络设计BIX连接交换机；接受光纤终结架连接主机及网络设备。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在较大型的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线亲密相关的硬件设备放置在设备间，计算机网络设备的机房放在距离设备间不远的位置。设备间子系统是一个集中化设备区，连接系统公共设备，如局域网(LAN)、主机、建筑自动化和保安系统，及通过垂直干线子系统连接至管理子系统。管理子系统（Administration）及其网络设计I/

24、O5 接头。管理间是楼层的配线间，管理子系统为其他子系统互连供应手段，它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配 置各子系统的部件。安普公司的综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。建筑群子系统（CampusSubsystem）及其网络设计建筑群子系统是实现建筑之间的相互连接，供应楼群之间通信设施所需的硬件。建筑群之间可以接受有线通信的手段，也可接受微波通信、无线电通信的手段。传输介质接受室外六芯多模光纤。可接受埋入地下或架空(4M-可编辑修改-。接地的要求。建

25、筑群子系统的设计：3512567系统的进展。进线间子系统及其网络设计1进线间，有利于与外部管道沟通。进线间与建筑物红外线范围内的人孔或手孔接受管-防雷系统由于机房雷电防护系统对所爱护系统的业务正常运行具有格外重要的作用 ,因此雷电防护系统应具备先进性、牢靠性、易维护、易升级等方面的突出特性。主要爱护对象为信息中心机房具体措施:对于接受光纤通信的线路可以不另外加装防雷器,只需在光纤入户端将 ,DDN,RJ45-ISDN/4-F在施工中留意事项工程施工前预备材质、规格、型号及孔径壁厚应符合设计文件的规定和质量标准。编制施工方案、工程预算及材料清单。依据实际勘查的状况确定路由并申请批准，如需要在承重梁上打过墙眼时需要向监理部门申请，否则违反施工法规等。整个规划及破坏程度说明最好经甲方及监理部门批准，修正规划。在正式的有最终许可手续的规划基础上，计算用料和用工，综合考虑设计实施中的管理操作等的费用，提出预算和