桂电组网课设报告

综合组网课程设计(论文)说明书题目：系别：计算机科学与工程学院专业：网络工程学生姓名：学号：指导教师：王虎寅2015年月日目录TOC\o"1-3"\h\u绪论 绪论当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。近年来国家加快改革教育体系，以教育为立国之本，建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系。提供更为先进的教育手段，学校很有必要建设一个校园网络管理应用系统，这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的顺应无纸教学，无纸办公的发展趋势，充分利用现代化技术来进一步提高教学质量和办公效率，为培养二十一世纪人才提供一个优良的硬件教学环境。计算机网络的迅速发展和普及，改变了整个信息管理的面貌，使信息管理从以单个计算机为中心发展到以网络为中心，并为计算机技术在工业、商业、教学、科研、管理等领域中的应用提供了一个全新的网络通信环境，也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算、技术合作及有效管理等，进而推动了管理、科研及教学事业的发展。新的世纪已经到来，信息技术所带来的一场革命将彻底改变我们的学习、生活和工作方式，现行教育体制面临着严峻挑战。作为教育主管部门的领导、学校的校长、老师以及社会上的每一个人都必须考虑这一技术的发展给我们的教育、我们的学校、我们的教师和我们的孩子所带来的冲击，同时还要积极思考我们应该怎样响应这一世纪性的挑战，如何利用信息技术为教育行政管理、师资培训、学校管理、教学研究乃至教学的全过程服务促进中华民族素质的整体提高。

在网络信息时代的今天，面向新的需求和挑战，为了学校的科研、教学、管理的技术水平，为研究开发和培养高层次人才建立现代化平台，Intranet/Internet技术的高速多媒体校园网。整个高速多媒体校园网建设原则是"经济高效、领先实惠"，既要领先一步，具有发展余地，又要比较实惠。校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教学内容的参与性以及积极性。校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统，逐步建立学校信息管理网络，实现办公自动化；为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台；逐步建立计算机辅助教学、计算机辅助考试等系统，为实现多媒体课件制作网络化，教师备课电子化、多媒体化打好基础；保证网络系统的开放性、可持续发展性，便于以后集成视频会议、视频点播等高层次教学功能。筹划校园网要讨论三个要素，无论是校外连网还是校内连网，要较好地发挥校园网的作用都要涉及三个要素：运载基础设施、运载设施和运载信息。1设计任务及目标1.1目标校园网指校园内计算机及附属设备互联运行的网络，是由计算机、网络设备和网络软件构成的为学校教育、科研、管理、办公和交流等活动服务的大型集成应用系统，并能接入因特网（Internet）实现与国内国际网站进行信息交流、资源共享。校园网建设是教育信息化建设的重要组成部分，是全面实现素质教育的重要手段，是实现教育现代化的重要标志，校园网是学校信息基础设施。校园网的规模、网络性能、应用水平和普及程度已成为衡量一所院校办学水平高低的重要标志之一。21世纪的国力竞争说到底就是人才的竞争，而人才的能否大量涌现主要看学校的教育质量，学校教育质量的好坏又主要看教师素质的强弱和学校教学环境能否符合现代化教育的要求，所以各学校教育的责任相当艰巨，而且各学校也应当责无旁贷的肩负起这项任务。本世纪是计算机和通讯的时代，如何利用计算机网络帮助各高校强化管理辅助教师生动的教学；激发学生自主学习，已经是一个不能回避的问题。从长远来看，校园网的建设，其主要意义是有利于学校教学、科研的快速发展，它能使广大教师利用计算机网络环境进行教学，开展科研活动，进而提高学校的教学质量和科研水平，为回忆培养面向世界，面向未来的高素质人才提供有力的保障。在建设校园网时，要达到以下目标：(1)在校园内部实现资源高度共享，为教学、科研、管理提供服务，为计划、组织、管理与决策提供基础信息和科学手段。(2)支持教育教学改革，提高教育技术的现代水平和教育信息化程度、为学校教师的备课、课件制作、教学演示提供网络环境。(3)通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料，实现素材收集、电子备课功能。(4)实现办公自动化，提供与上级教育部门、社会、家庭之间通讯的出入口，提供电子函件、公告牌和教育教学信息查询等服务，提高工作效率和管理水平。(5)及时、准备、可靠地收集、处理、存储、传输学校的教育教学信息完成与因特网的通讯和资源共享，实现社会教育、学校教育、家庭教育的有机整合。校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络，也是一个以人、人与人的关系网络和应用产品为核心，通过认证、授权与开放接口进行有机融合，形成的一个庞大综合社区服务平台。校园网应为学校教学、科研提供先进的信息化教学环境。这就要求：校园网是一个宽带、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等，都可以在该网络上运行。校园网应具有为学校和学校之间的教育提供网络环境；实现资源共享、信息交流、协同工作等基本功能。(1)为教育信息的及时、准确、可靠地收集、处理、存储和传输等提供工具和网络环境。(2)为学校行政管理和决策提供基础数据、手段和网络环境，实现办公自动化，提高工作效率、管理和决策水平。(3)为备课、课件制作、授课、学习、练习、辅导、交流、考试和统计评价等各个教学环节提供网络平台和环境。(4)为使用网络通信、视频点播和视频广播技术，提供符合素质教育要求的新型教育模式；(5)为科学研究的资料检索、收集和分析；成果的交流、研讨；模拟实验等提供环境和手段总之，校园网的建设能促进教师和学生尽快提高应用信息技术的水平，为学生提供了一个实践的环境，为教师提供了一种先进的辅助教学工具、提供了丰富的资源库。1.2设计任务在分析设计任务之前，我们要进行对象研究和需求调查，明确学校的性质、建筑布局和改革发展的主系统建设的需求和条件，对学校的信息化环境进行准确的描述。在应用需求分析的基础上，确定系统建设的目标，包括网络设施、站点设置、开发应用和管理等的目标。确定网络拓扑结构和功能，根据应用需求建设目标和学校的主要建筑分布特点，进行系统分析和设计。然后确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求。同时也要明确规划校园网建设的实施步骤。明确了这些后，就可以撰写设计任务了。本次设计的任务就是根据学校的具体布局，然后设计一个局域网，该局域网能够满足一下的要求：(1)实用性和经济性校园网的建设，坚持以实用、经济为原则，满足用户的需求。(2)先进性校园网建设要采用先进的概念、技术和方法，同时也要要注意结构、设备、工具的相对成熟。能保证在未来3-5年内占主导地位，保证学校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。(3)可靠性局域网应该具有很高的可靠性，在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性。(4)安全性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、安装防火墙等。(5)可扩充性由于当今社会信息技术飞速发展，当前流行的技术再过几年有可能会被淘汰，所以在建设校园网的时候要充分的考虑到这种事情发生的可能性，所以在建设的校园网时，既要能满足当前用户的使用，也要考虑在未来3到5年内对现在的设备进行升级，这样就不会浪费现有的资源了。2需求分析2.1建网需求(1)实用性原则网络系统应采用成熟可靠的技术和设备，这样才能做到实用、经济和有效。(2)开放性原则网络系统应采用开放的标准和技术。(3)可靠性原则网络系统应确保很高的可靠性，具有较高的平均无故障时间和较低的平均故障率。(4)安全性原则网络系统应具有良好的安全性，以确保网络系统和数据的安全运行。(5)先进性原则网络系统应采用先进的技术和设备，以符合网络未来发展的潮流。(6)高效性原则网络系统应具有很高的资源利用率。(7)可扩展性原则网络系统应在规模和性能两方面具有良好的可扩展性。(8)高性价比原则网络系统应具有较高的性价比，技术优先，兼顾价格。2.2用户需求(1)具备经济实用性、先进可靠性、可扩容性和可发展性。实用性：如何使有限的经费获得较高的效益,始终是教育发展中重要的问题。在项目建设中,我们不盲目追求高层次、高档次,从实际情况出发,坚持“实用、好用,满足现在和可预见的未来需求”的设计原则。(2)可靠性：对工作站、服务器、交换机及其他主要相关设备在厂家、品牌、服务等方面进行充分调研、论证、选择,确保硬件设备的基本品质。先进性：考虑到计算机在软硬件上的高速发展和技术更新速度,在资金允许的前提下,保持适当的先进性,同时使系统有一定的扩展性和兼容性,满足未来需求。网络管理需求分析校园主干网是覆盖整个网络,组成了一个具有相当复杂的计算机网络。随着网络复杂度的增加,给网络管理带来成级数增加的管理工作量。网络管理要求解决的问题包括：对所有网络设备端口的监视和管理。对所有网络设备的远地配置和控制,包括网络设备端口的开放和关闭,整个网络的故障检测,故障自动报警功能,整个网络性能的统计和分析报告,甚至收费。(3)网络安全需求分析校园网络安全主要考虑以下几方面要求：各个部门、系所访问网络的控制,各单位之间在未经授权的情况下,不能相互访问。内部网中要建立防火墙,即禁止外部用户未经许可访问内部的数据,或者内部用户未经许可访问外部数据。对安全问题的考虑主要是两个方面：校园网应该是一个开放的系统,它不需要与政府或商业公司的一样的网络安全保密性；校园网应该安全的,它不应该受到恶意的攻击而无法运行,一些科研成果也不应该对任何人都开放。主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。(4)广域网连接需求分析校园网对广域网的连接需求主要表现在：能够与国际互联网连接,与国际交流信息；能够与国内各个单位交流信息。满足出差在外的校领导及其它公务人员及时与学校保持联络。为此应通过DDN、无线网等公用或者专用数据网络与校园网连接。3总体设计3.1设计原则校园网不只是涉及技术方面，而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化以及信息化教学环境系统。因此，在总体上如何筹划、组织网络建设和开发应用的设计思想是校园网建设中的最重要的问题。

总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先是进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。总之校园网建设的原则，就是要求该网络能够满足以下性质：(1)先进性：先进的设计思想、网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品；(2)实用性：建网时应考虑利用和保护现有的资源、充分发挥设备效益；(3)开放性：遵从国际标准，系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通；(4)灵活性：采用积木式模块组合和结构化设计，使系统配置灵活，满足学校逐步到位的建网原则，使网络具有强大的可增长性；(5)可靠性：具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析；(6)强性价比：不要一味追求最新，还要考虑当前实际需要，选择合理的设备搭配，使达到良好的性能价格比。(7)安全性：包括两个方面，一是网络用户级的安全性；另一方面是数据传输级的安全性。网络用户级的安全性应在网络的操作系统中予以考虑，而数据传输的安全性则必须在网络传输时解决。我们在规划校园网时，不仅考虑到现有局域网的情况，更主要的是着眼于为未来的学校提供既符合经济原则，又具有技术先进性和实用性的发展策略。3.2技术选型、设备选型

3.2.1技术选型（1）VLANVLAN(VirtualLocalAreaNetwork)的中文名称为“虚拟局域网”，VLAN是为了解决以太网广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态地管理网络。VLAN技术是交换技术的重要组成部分，也是交换机的重要进步之一。它用以把物理上直接相连的网络从逻辑上划分为多个子网。每一个VLAN对应一个广播域，处于不同VLAN上的主机不能进行通信，不同VLAN之间的通信要引入第三层交换技术才可以解决。对虚拟局域网的配置和管理主要涉及VTP、VLAN中继和VLAN的配置。虚拟局域网是交换机的重要功能，通常虚拟局域网的实现形式有三种，即静态端口分配、动态虚拟网和多虚拟网端口配置。静态虚拟网的划分通常是网管人员使用网管软件或直接设置交换机的端口，使其直接从属于某个虚拟网。这些端口一直保持这些从属性，除非网管人员重新设置。这种方法虽然比较麻烦，但比较安全，容易配置和维护。支持动态虚拟网的端口，可以借助智能管理软件自动确定它们的从属。端口是通过借助网络包的MAC地址、逻辑地址或协议类型来确定虚拟网的从属。一旦网管人员配置好后，用户的计算机就可以灵活地改变交换机端口，而不会改变该用户的虚拟网从属性。多虚拟网端口配置支持一用户或一端口可以同时访问多个虚拟网。静态虚拟网是最普遍使用的一种划分VLAN的方法，但会带来安全上的隐患。（2）配置VTP协议VTP协议可以帮助交换机设置VLAN。VTP协议可以维护VLAN信息全网的一致性。VTP有三种工作模式，即服务器模式、客户模式和透明模式。其中服务器模式可以设置VLAN信息，服务器会自动将这些信息广播到网上其他交换机以统一配置；客户模式下交换机不能配置VLAN信息，只能被动地接受服务器的VLAN配置；而透明模式下是独立配置，它可以配置VLAN信息，但是不广播自己的VLAN信息，同时它接收到服务器发来的VLAN信息后并不使用，而是直接转发给别的交换机。配置VTP协议的命令如下：vlandatabase//(进入VLAN配置子模式)vtpdomainvname //(设置VTP管理域名称)vtpserver|client //(设置交换机为服务器(或者客户端)模式)vtppruning //(启动修剪功能)（3）配置VLANTrunk端口VLANTrunk(VLAN中继)也称为VLAN主干，是指在交换机与交换机或交换机与路由器之间连接的情况下，在互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。配置VLANTrunk端口的命令如下：interfacefa0/1 //(进入端口配置模式)switchportmodetruck //(设置当前端口为Trunk模式)switchporttrunkallowedvlanall //(设置允许从该端口交换数据的VLAN)（4）创建VLANVLAN信息可以在服务器模式或透明模式交换机上创建。创建VLAN的命令如下：valnmod_num //(创建VALN)novlana_num //(清除一个已存在的VALN)（5）将端口加入到某个VLAN中配置完VTP协议及VLANTrunk端口后就可以设置将端口归属于哪个VLAN了。将端口加入到某个VLAN中的命令如下：interfacefa0/1 (进入端口配置模式)switchportaccessvian2(把端口分配给相信的VLAN2)（6）OSPF：开放最短路径优先(OpenShortestPathFirst，OSPF)协议是重要的路由选择协议。它是一种链路状态路由选择协议，是由Internet工程任务组开发的内部网关(InteriorGatewayProtocol，IGP)路由协议，用于在单一自治系统(AutonomousSystem，AS)内决策路由。配置OSPF协议的相关命令如下：routerospfprocess-id (指定使用OSPF协议)networkaddresswildcard-maskareaarea-id (指定与该路由相连的网络)（7）NAT网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。NAT实现方式，静态转换（StaticTranslation）、动态转换（DynamicTranslation）、端口多路复用（PortAddressTranslation，PAT）（8）ACL访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。（9）DHCP动态主机设置协议（DynamicHostConfigurationProtocol,DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段。（10）DNSDNS是英文Domain

Name

System的缩写,是域名解析服务器的意思，即域名管理系统。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。首先，要知道互联网的网站都是一台一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器呢？这就需要给每台服务器分配IP地址，互联网上的网站无穷多，我们不可能记住每个网站的IP地址，这就产生了方便记忆的域名管理系统DNS，他可以把我们输入的好记的域名转换为要访问的服务器的IP地址。DNS的设置比较简单，只要设置好DNS的IP地址，和一些域名与相应的转换条目即可，只要终端的DNS的IP指向该DNS服务器，就可以使用该DNS服务器的服务了。DNS服务器的配置如下图所示：（11）webweb服务器一般指网站服务器，是指驻留于因特网上某种类型计算机的程序，可以向浏览器等Web客户端提供文档，也可以放置网站文件，让网络用户浏览；可以放置数据文件，提供下载。Web具有如下的特点：

=1\*GB3①Web是图形化的和易于导航的（navigate）

web非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰富的图形和文本的性能。在web之前Internet上的信息只有文本形式。web可以提供将图形、音频、视频信息集合于一体的特性。同时，web是非常易于导航的，只需要从一个连接跳到另一个连接，就可以在各页各站点之间进行浏览了。

=2\*GB3②web与平台无关

无论你的系统平台是什么，你都可以通过Internet访问WWW。浏览WWW对你的系统平台没有什么限制。无论从Windows平台、UNIX平台、Macintosh还是别的什么平台我们都可以访问WWW。对WWW的访问是通过一种叫做浏览器（browser）的软件实现的。如Netscape的Navigator、NCSA的Mosaic、Microsoft的Explorer等。

=3\*GB3③Web是分布式的

大量的图形、音频和视频信息会占用相当大的磁盘空间，我们甚至无法预知信息的多少。对于Web没有必要把所有信息都放在一起，信息可以放在不同的站点上。只需要在浏览器中指明这个站点就可以了。使在物理上并不一定在一个站点的信息在逻辑上一体化，从用户来看这些信息是一体的。3.2.2设备选型构建校园网的主要硬件有：服务器、传输设备（光纤、双绞线等）、交换机以及终端工作站、网卡等。校园网按照主干网的组网技术可分为：交换式以太网、快速以太网、FDDI、ATM和千兆以太网。交换式以太网现在主要用于网络交换机到桌面工作站。FDDI和ATM存在着组建网络成本高、带宽利用率较低等因素使得它们都不太适合校园网的要求。快速以太网是非常成熟的组网技术，造价低，具有较高的性能价格比，但传输速度较慢。千兆以太网传输的速度较快，范围也很广，成本相对于快速以太网较高。

校园网的规模会随着学校规模不同而不同，有的用户较多，有的较少，多的有几万个用户，少的则只有几千个用户，但是每个教室都有一个终端，同时也要有足够的校园图书馆终端、教师的备课终端、学校各种管理部门的终端、学生宿舍终端等。根据设计原则和网络设备选择原则，主要网络设备配置的情况如下表表2-1主要网络设备配置表设备名称设备型号放置地点品牌数量备注路由器Cisco2621XM网络中心Cisco1核心层Cisco3560-24PS网络中心Cisco1交换机Cisco2925-24各个建筑群多个汇聚层Cisco2925-24PSCisco8接入层Cisco2925T学生公寓Cisco多个主服务器CiscoServer-PT网络中心Cisco4

Cisco2621XM路由器的介绍：表2-2路由器的规格参数类型描述兼容性与当前的所有Cisco12000系列线卡兼容软件兼容性CiscoIOS12.0（27）S及更高版本协议IPv4、MPLS、BGPv4、IS-IS、OSPF、EIGRP、RIP、IGMP、DVMRP和PIMDM/SM。可用性电源冗余度（DC为1：1，• AC为负载均衡）路由处理器冗余度1：1支持自动保护切• 换（APS）ASIC平均无故障时间（MTBF）：交换矩阵卡＝276,062hr网络管理命令行界面（CLI）Cisco12000Manager简单网络管理协议（SNMP）接口GRP支持两个串行端口（控制台和AUX连接）和2个10/100端口认证SR-3580中规定的NEBSLevel3要求(2)核心交换机（Cisco3560-24PS）的介绍：表2-3Cisco3560-24PS交换机的参数类型描述设备类型企业级交换机 吞吐率（MBPS） 7交换方式存储-转发 地址表大小 12000网络标准IIEEE802.3，IEEE802.3u，IEEE802.3z端口类型24个以太网10/100MppsPoE端口，2个SFP上行链路端口交换容量（GBPS）48端口数24堆叠支持堆叠式 背板带宽（Gbps）32包转发率6.5Mpps内存DRAM内存：128MB,FLASH内存：16MB传输速率(Mbps)10/100VLAN支持支持 (3)汇聚层层交换机（Cisco3560-24PS）的介绍表2-4Cisco3560-24PS交换机的参数类型描述设备类型企业级交换机 吞吐率（MBPS） 7交换方式存储-转发 地址表大小 12000网络标准IIEEE802.3，IEEE802.3u，IEEE802.3z端口类型24个以太网10/100MppsPoE端口，2个SFP上行链路端口交换容量（GBPS）48端口数24堆叠支持堆叠式 背板带宽（Gbps）32包转发率6.5Mpps内存DRAM内存：128MB,FLASH内存：16MB传输速率(Mbps)10/100VLAN支持支持 (4)接入层交换机（Cisco2950-24）的介绍表2-4Cisco2950-24交换机的参数类型描述设备类型快速以太网交换机 交换方式存储-转发 地址表大小 8000网络标准IIEEE802.1x、IEEE802.3x、IEEE802.1D、IEEE802.1pCoS、IEEE802.1Q、IEEE802.3ab、IEEE802.3u、IEEE802.3

端口类型24个以太网10/100MppsPoE端口，端口数24堆叠支持堆叠式 背板带宽（Gbps）8.8内存DRAM内存：16MB,FLASH内存：8MB传输速率(Mbps)10/100VLAN支持支持 3.3目标网络拓扑3.4网络层次分析3.4.1核心层需求分析在校园网中骨干设备担负着连接各个汇聚设备的工作，同时通过设备的互联，将分布在各物理位置的区域网络连接在一起形成一套完整的网络。由于骨干层设备担负着整个网络的流量。骨干设备和链路的稳定性将直接影响整个网络的可靠运行。由于骨干设备在网络中核心的位置需要高性能，所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以支持热插拔和冗余热备份等特性。完成网络骨干层高速数据交换、转发以及稳定性的要求。骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种业务的高质量传输，才能使网络不成为业务开展的瓶颈。大学网络也是学生的业务专网，实现内部高速互连。要具有构建校园各部门的虚拟业务专网的能力，可以实现部门内部及部门间的协同工作。3.4.2区域汇聚层需求分析(1)高速运送区域流量，主要工作是交换区域数据包。(2)高可靠性及冗余性(3)提供故障隔离(4)较少的时延和好的可管理性(5)良好的路由交换能力(6)良好的区域汇聚能力(7)良好的万兆能力在校园网中汇聚设备担负着网络接入层和骨干设备的连接，网络汇聚层有着承上启下的重要任务。汇聚设备不但要完成接入层的链路汇聚和流量汇聚还要完成本地数据的交换以及接入和骨干之间的数据转发。作为骨干层的入口和接入层的出口，汇聚层的身份如同关卡。为保证整个网络良好运行在汇聚层同样需要高性能、关键部件冗余等特性，另外要求汇聚设备的有高端口密度可以直接连接大量的二层设备，提供更好的络品质。3.4.3接入层需求分析我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主张使用性能价格比高的设备。接入层在整个网络的边缘，是最终用户(教师、学生)

与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。3.5网络安全规划设计局域网网络安全已成为当今值得关注的问题，它的重要性是不言而喻的，对于大多数网络黑客来说，成功地入侵一个企业特别是著名局域网的网络系统，具有证明和炫耀其能耐的价值，尽管这种行为的初衷也许并不具有恶意的目的；窃取企业的网络数据，甚至破坏其网络系统，更加具有现实和长远的商业价值。因此，如何保障局域网网络的安全变得重要起来。

网络安全性包括信息安全性，网络本身的安全性，保证系统的安全性。要从管理和技术角度制定不同的安全策略。安全设备的技术性能和功能，必须满足行业系统管理体制的要求，即能基于网络实现安全管理，具有接受网络信息安全管理机构管理的能力，还要不影响原网络拓扑结构。

局域网络系统建成之后，应该达到如下的目标：建立一套完整可行的网络安全与网络管理策略；将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信；建立网站各主机和服务器的安全保护措施，保证他们的系统安全；对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝；加强合法用户的访问认证，同时将用户的访问权限控制在最低限度；全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为；加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志；备份与灾难恢复——强化系统备份，实现系统快速恢复；加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。主要包括：设备安全，设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；媒体安全，媒体数据的安全及媒体本身的安全。还有其他的安全隐患，黑客们利用系统和管理上的漏洞，进入企业网的内部，篡改一些数据，例如将自己变为高级用户，或者监听登录会话，窃取他人的账户和口令；还有包括病毒、蠕虫、特洛伊木马等恶意代码；能够通过mail、internet传播的病毒；还有一些对网络的攻击手段，没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息，例如，假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作；破坏数据的完整性，使得信息/数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响；以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应，恶意添加，修改数据，以干扰用户的正常使用。搭线(网络)窃听攻击者可以采用如wireshark等网络协议分析工具，在internet网络安全的薄弱处进入internet，并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。

网络安全技术可以分为如下几大类，即：身份认证技术、防火墙技术、入侵检测技术、病毒防治技术、网络数据完整性技术和网络活动审计技术。他们应用于网络活动的不同阶段，来保护网络内的信息资源。

整个校园的局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网。局域网一般都进行文件共享、办公自动化、WWW服务、电子邮件服务，文件数据的统一存储，提供与Internet的访问，通过公开服务器对外发布企业信息、发送电子邮件等。

网络运行环境下，系统与系统、系统与用户、用户与用户之间频繁交换各种数据、信息，如电子文件、文档、报文甚至数据或代码。在网络通信环境下，也经常有假冒源点身份将报文插入网络中，或者假的报文接收者发回假确认，或不予接收；还有篡改报文内容、报文序号；报文延迟或回收；否认收到报文或否认发送报文等。数字签名可以防止否认收到报文或否认发送报文这类问题，所以解决的方法就是，对这些数据库的录入与修改的操作者的身份进行认证，也可用数字签名、证书技术保证数据交换过程中用户和信息的有效性，用于标明信息分发者的身份和对交换信息的认可，接收方也可以通过验证数字签名以判断信息是否来源于指定用户，以及交换信息的完整性。存取控制规定何种主体对何种客体具有何种操作权利，也是内部网络安全理论的重要方面，主要包括人员限制、数据标识、权限控制、控制类型和风险分析。

在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。包过滤防火墙工作在网络层上，有选择的让数据包在内部网络与外部网络之间进行交换。一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据校园的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。代理服务防火墙也有一定功效，是一种增加了安全功能的应用层网关，位于internet和intranet之间，自动截取内部用户访问internet的请求，验证其有效性，代表用户建立访问外部网络的连接。3.6网络服务器规划校园网中的服务器集群包括DNS服务器、DHCP服务器、E-mail服务器、Web服务器、FTP服务器、。这些服务器划分到一个VLAN中，通过一个二层交换机直接与核心交换机相连。DNS服务器可以进行域名解析，然后返回对应的IP给客户端，从而实现双方通信；DHCP服务器在核心层交换机上设置，使所有终端服务器可以动态获取IP地址，Email服务器实现邮件发送接收功能，Web服务器实现校园网网络服务，FTP服务器实现教学资源共享，这样使我们的教学资源达到最大化。根据学校实际情况合理地规划设置服务器。3.7网络管理(1)将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。

(2)定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。

(3)通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。

(4)使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。

(5)在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。3.8小结通过对学校的综合了解，对校园网建设给出了总体的设计方案，从而进一步完善对广西师范学院校园网的设计与规划,使其更加优秀，使网络更完善的应用于教学与科学研究。设计之中，充分考虑了广西师范学院的各处基础设施，对实验楼，行政楼，图书馆，学生宿舍等主要建筑进行了全方位的数据统计，在做需求分析时，通过对网络管理中心的老师进行咨询，根据实际情况，精确的制定出学院校园网的需求方案。本文也从多个角度对校园网的硬、软件设施进行考虑，特别是以思源学院的实际应用为导向、以经济性为原则、以未来的发展为导向、切合实际的对建设中的具体应用与布局进行了详细的分系设计。在硬件设备方面，尽量选择思科的设备，为以后校园网络的发展奠定基础，这些设备的选取不仅在满足学院的基本教学、资源共享等方面完全能够胜任而且在科研，前沿学科的研究、探索上都能充分发挥他的作用。在设计思路上，我曾多次上网查阅各个方面的资料、也曾多次向这方面的老师征求宝贵的意见，以便制作出完备的、先进的、方案新颖的校园网规划系统。在布线系统的设计上，采用EIA/TIA568国际布线标准，以便刚好的发挥主干网络的性能、从而也给以后的管理带便利。在本次组建校园网络过程中，由于本组人对网络知识的掌握有限，可以说在整个的组建网络过程是一边摸索一边实践出来的。但令人高兴的是，通过这样一个边学习边应用的过程，本组人完成了校园网的组网的工作。在这过程中使我们的对各个设备有一个很大的认识，也花费了一番功夫。4详细设计4.1IP子网规划与VLAN划分4.1.1VLAN规划虚拟局域网是交换机的重要功能，通常虚拟局域网的实现形式有三种，即静态端口分配、动态虚拟网和多虚拟网端口配置。静态虚拟网的划分通常是网管人员使用网管软件或直接设置交换机的端口，使其直接从属于某个虚拟网。这些端口一直保持这些从属性，除非网管人员重新设置。这种方法虽然比较麻烦，但比较安全，容易配置和维护。支持动态虚拟网的端口，可以借助智能管理软件自动确定它们的从属。端口是通过借助网络包的MAC地址、逻辑地址或协议类型来确定虚拟网的从属。一旦网管人员配置好后，用户的计算机就可以灵活地改变交换机端口，而不会改变该用户的虚拟网从属性。多虚拟网端口配置支持一用户或一端口可以同时访问多个虚拟网。从上述情况分析，本网所采用的VLAN划分方案如下：(1)把不同的系划分到不同的vlan中，因为各系的教学风格，制度都有差异，教学材料也不同，分离开来更加容易管理而且更加安全。(2)实验楼有各种实验器材，设备及资料文档，把其划分到多个vlan也是为了更方便有效的管理。(3)财务处、人事处，财务处涉及财产安全，而且人事处聚集各层重要信息，把其化成同一个vlan更安全可靠也更方便。(4)将图书馆，后勤处，教务处划分为不同的vlan，因为他们属于不同性质的，因此为了易于管理。(5)服务器群划分为一个vlan，并设置访问控制，确保信息安全。(6)将男生、女生公寓楼划分为不同的vlan,实现有效的管理。划分方法采用基于端口的划分。基于端口的划分，相对来说容易设置和监控，只需要将端口配置的VLAN重新分配。vlan的具体划分如下所示：Vlan网络地址用户数IP获取方式100服务器群/244手动配置17和18办公楼/24/24多个自动获取9和10实验楼/24/24多个自动获取11和12图书馆/24/24多个自动获取13中文系/24多个自动获取14外语院/24多个自动获取15体育系/24多个自动获取16艺术系/24多个自动获取17教务处、财务处/24/24多个自动获取2、3和4男生宿舍楼/24/24/24多个自动获取5、6和20女生宿舍楼/24/24/24多个自动获取4.1.2IP地址规划设备及接口地址网关子网掩码Router1--s0/0Router1--fa0/0852Router2--s0/0Router2--fa0/0宿舍楼区汇聚层交换机1Fa0/152宿舍楼区汇聚层交换2Fa0/152宿舍楼区汇聚层交换3Fa0/152实验楼区汇聚层交换机Fa0/1352图书馆汇聚层交换机Fa0/2152教学楼区汇聚层交换机1Fa0/2652教学楼区汇聚层交换2Fa0/2052办公楼区汇聚层交换机Fa0/2452核心交换机Fa0/352核心交换机Fa0/452核心交换机Fa0/5052核心交换机Fa0/6452核心交换机Fa0/7252DNSFTPEMAILWEBPC0-外网PC1-内网各个主机IP地址已根据DHCP自动分配。4.2DHCP实现方案以宿舍楼区汇聚层交换机1为例，DHCP的设计口令如下：ipdhcppoolVLAN2//创建VLAN2地址池network//指定地址池所包含的网段default-router//指定网段的网关dns-server//配置dns服务器地址iprouting//开启路由功能通过此设置，只要把接入层交换机的相应端口划分给该VLAN，则连接该端口的PC的默认网关就是其所归属到的vlan的IP，并可以自动获取该VLAN的地址池范围内的一个IP，其他汇聚层交换机的DHCP设计口令也类似。关键就是不要忘记开启路由功能。4.3路由方案以宿舍楼区汇聚层交换机1为例，ospf的设计口令如下：routerospf1networkarea0//宣告网络networkarea0//宣告网络networkarea0//宣告网络network52area04.4ACL与NAT技术应用4.4.1ACL技术本次ACL的设计是在汇聚层第三层交换机设置，以办公楼区汇聚层交换机为例，ACL的设计口令如下：access-listaccess-list-number{permit|deny}source[source-wildcard]permit表示也许，deny表示拒绝。例如：access-list1deny55access-list1denyaccess-list1permitany配置完这个访问控制列表，还要应用到具体的端口上。例如进入办公楼区汇聚层交换机的FastEthernet0/2，可以使用如下命令应用配置好的访问控制列表：interfaceFastEthernet0/2ipaccess-groupaccess-list-number{in|out}其中in代表入方向，out表示出方向。将以上的配置设置为in，则表示拒绝/24和主机的流量通过该端口。如果ACL配置中先配置了deny命令，则一定要加一条命令access-listaccess-list-numberpermitany,要不然会默认拒绝所有的包通过。此口令不允许男生公寓楼、女生公寓楼访问校长办公室以及财务处等办公楼的计算机。NAT技术应用（1）静态NAT的配置设置外部端口的IP地址：Router(config)#interfaceSerial0/0Router(config-if)#ipaddress设置内部端口的IP地址Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress852建立静态地址转换 Router(config)#ipnatinsidesourcestaticRouter(config)#ipnatinsidesourcestatic在内部和外部端口上启用NATRouter(config)#interfaceSerial0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinside配置默认路由Router(config)#iproute（2）动态NAT的配置设置外部端口的IP地址：Router(config)#interfaceSerial0/0Router(config-if)#ipaddress设置内部端口的IP地址：Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress852定义合法IP地址池Router(config)#ipnatpoolwan50netmask实现网络地址转换Router(config)#ipnatinsidesourcelist1poolwan在内部和外部端口上启用NATRouter(config)#interfaceSerial0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinside配置默认路由Router(config)#iproute（3）PAT的配置设置外部端口的IP地址：Router(config)#interfaceSerial0/0Router(config-if)#ipaddress设置内部端口的IP地址：Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress852定义合法IP地址池Router(config)#ipnatpoolonlyonenetmask实现网络地址转换Router(config)#ipnatinsidesourcelist1poolonlyoneoverload在内部和外部端口上启用NATRouter(config)#interfaceSerial0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatinside配置默认路由Router(config)#iproute4.5DNS实现方案DNS的配置比较简单，只要设置好各个终端的DNS服务器的IP地址指向该DNS服务器，然后再在DNS服务器上设置好要解析的条目就可以使用DNS服务了。本次规划中主要设置了如下图所示的DNS条目：5仿真实现5.1仿真拓扑（1）在CiscoPacketTracer软件中仿真拓扑：5.2VLAN仿真与测试以宿舍楼区汇聚层1为例，通过showvlan,显示该交换机上所划分的vlan，其他三层交换机划分原理相似。由上图可知，该交换机上划分了三个vlan,分别为vlan2,vlan3,vlan4,下面对vlan2和vlan3的两个主机pc1,pc2进行连通性测试：由此可见，不同vlan间的计算机可以相互通信。5.3路由的仿真与测试以核心层交换机为例，显示的路由表，显示的是到各个网段的动态路由条目，确保各个网段的主机都可以实现互相连通。从宿舍楼访问图书馆，实现VLAN间