631106040222徐国健校园网设计报告2

通信2011级《通信网规划与设计》课程结业考核重庆市涪陵实验中学校园网系统方案设计姓名： 徐国健学号： 631106040222老师： 蒲 树 祯2014年6月第1页共25页目录摘要..............................................................3第1章绪论.......................................................41.1项目背景...................................错误！未定义书签。第2章需求分析....................................................42.1学校概况介绍...............................错误！未定义书签。2.2用户需求分析................................................42.3网络需求分析...............................错误！未定义书签。2.3.1校园网对网络设备的要求................错误！未定义书签。2.3.2校园网对主机系统的主要要求.............................52.3.3校园网络系统设计方案应满足要求.........................52.4用户环境分析................................................52.4.1校园平面分布..........................错误！未定义书签。2.4.2校园主要建筑物分布间隔................错误！未定义书签。2.4.3主要建筑物信息点统计..................错误！未定义书签。2.5视频监控系统需求............................................72.6服务体系设计................................................72.6.1质量保证体系...........................................72.6.2售后服务和技术持.......................................8第3章网络拓扑设计及原则...........................................83.1设计原则....................................................83.2网络拓扑结构................................................9第4章网络方案设计................................................104.1网络结构分析...............................................104.2网络构架设计...............................错误！未定义书签。4.3IP地址分配.................................错误！未定义书签。4.4网络vlan设计..............................错误！未定义书签。4.5网络QoS设计...............................错误！未定义书签。4.6网络安全设计...............................错误！未定义书签。4.7服务器.....................................错误！未定义书签。4.8路由规划..................................错误！未定义书签。6第5章设备选择....................................................175.1路由器选择.................................................175.2交换机选择.................................................185.3防火墙.....................................错误！未定义书签。5.4服务器.....................................错误！未定义书签。第6章结论与心得体会..............................错误！未定义书签。参考文献...........................................错误！未定义书签。第2页共25页摘 要摘要：学校是培养人才的窗口，学校的硬件实施建设尤为重要；在当今网络飞速发展的今天，学校网络建设势在必行。 校园网络具有一般与企业单位、 居民小区网络不同使用功能的多样化、结构复杂化的特点， 因而在规划设计上需要更深层次的探讨和研究。 本文以重庆市涪陵第五中学局域网络建设过程技术及实施方案为例，说明了校园网建设的可实施性，为校园网建设提供理论依据和实践指导。 本文通过需求分析与了解， 对学校的校园网系统进行了方案设计，包括校园网建设目标、设计原则以及网络拓扑结构、网络安全以及 IP规划，针对本设计进行主要设备选择，最后实现校园网络信息化平台。 随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展， 校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一， 此时，校园网上的应用系统就显得尤为重要。关键词：校园网络；建设原则；规划与设计；网络安全；需求分析Abstract:Theschoolisthetrainingofpersonnelwindowhardwareimplementationoftheschoolbuildingisparticularly important;intoday'snetworksarerapidlydevelopingtoday,theschoolnetworkconstructionisimperative.Campusnetworkshavegenerallyenterprises,diversificationresidentialareanetworksusingdifferentfunctions,complexstructureofthecharacteristics,whichrequiredeeperstudyandresearchintheplanninganddesign.Inthispaper,thefifthmiddleschoolinChongqingFulingareanetworktechnologiesandtheimplementationoftheprocessofbuildingtheprogramtoillustratetheconstructionofthecampusnetworkcanbeimplementedtoprovideatheoreticalbasisandpracticalguidancefortheconstructionofthecampusnetwork.Thisarticleneedsanalysisandunderstandingoftheschool'scampusnetworksystemoftheprogramdesign,including theconstructionof thecampusnetwork objectives,designprinciples andnetworktopology,networksecurity andIPplanning,equipmentselectionfortheprincipalofthedesign,andfinallyrealizethecampusnetworkinformationplatform.Withthemodernizationofthemeansofschooleducation,manyschoolshavegraduallystartedtoschoolmanagementandteachingprocesstotheelectronicdirection,whetherthecampusnetworkandthelevelofevaluationwillalsobecomeoneoftheschoolsandstudentstochooseschoolsnewstandardAtthistime,thecampusonlineapplicationsystemisparticularlyimportant.keywords:Campusnetwork; constructionprinciples; planninganddesign;network security;needsanalysi第3页共25页第1章绪 论1.1 项目背景重庆市涪陵实验中学校创建于1991年，1996年四川省教委批准为省重点中学，1999年重庆市教委复查后确认为重庆市重点中学。学校位于涪陵城区最繁华的兴华西路与实验路交汇处，交通便利。校内布局合理，环境优美。占地113亩，建筑面积7万余平方米。有教学楼、实验楼、图书楼、办公室、科技体艺楼、学生食堂、学生公寓、教师宿舍、大礼堂、综合大楼等建筑。学校现有教职工300余名，90个教学班，5500多名学生。近年来，随着办学条件的改善，教学质量的提高，办学规模也日益扩大，因此，完善教育资源，创新教育模式，加强网络教学系统以及校园管理的建设成为涪陵实验中学学重要的发展方向之一。为了尽快地改变原来所采用的传统教学方式和模式，以便培养新时代的高素质人才，涪陵实验中学学决定利用新型网络技术建设校园网，满足现代教育的要求。具体包括校园网络系统，多媒体教室（每班建设由电视、计算机、投影仪、视频展台、音响设备、中央控制器等设备构成的多媒体教学系统），视频监控系统。第2章需求分析2.1学校概况介绍重庆市涪陵实验中学校创建于1991年，1996年四川省教委批准为省重点中学，1999年重庆市教委复查后确认为重庆市重点中学。学校位于涪陵城区最繁华的兴华西路与实验路交汇处，交通便利。校内布局合理，环境优美。占地113亩，建筑面积7万余平方米。有教学楼、实验楼、图书楼、办公室、科技体艺楼、学生食堂、学生公寓、教师宿舍、大礼堂、综合大楼等建筑。学校现有教职工300余名，90个教学班，5500多名学生。学校建有各种现代教育教学设施：电子阅览室、语音室、微机室、电子备课室、“新三机”装备每间教室。还有专用音乐室、音乐欣赏教室、文艺练功房、美术教室、画室等。涪陵实验中学以升学预备教育为主要办学模式。坚持以“三个面向”和“三个代表”思想为指针，以强化管理为保证，突出“高、严、实、新”的特点（即“高起点、高标准；严格治校、严谨治学；注重实效，讲求实际；更新观念，改革创新”）。遵从“以人为本，素质优先，和谐发展”的办学理念，以建成全国示范高中为办学目标，按“六会一长”的标准培养学生的主体精神，主体能力达到学生身心全面健康、和谐发展。学校实行走精品立校的发展道路，即通过外树形象，内强素质来增强竞争力，使学校管理、师资队伍、教育质量、办学条件在近期通过重庆市示范高中验收，争取在2010年前后办成全国性示范高中。2.2用户需求分析在校园网络中，视频、音频、数据集于一身，如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输，就没法对流做出最高优先级和次高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟、服务不可用。所以要想真正改变网络的效率，更有效的保证应用服务的运营，需要通过端到端的QOS，智能到边缘的方式来保证。通过智能到边缘，端到端的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。可以对园区网应用中的，多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。对不同服务流进行详细的分类，划分优先级，以及尽可能地避免发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。第4页共25页在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有高效率等，以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理，这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别，这样比在中央处理器识别要快的多。并在大量的数据应用，数据传输的过程中，要保证所有硬件设备都可以进行快速的转发，要具备高背板带宽（交换容量），所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力，保证了网络畅通。2.3 网络需求分析实现与Internet相关的服务，包括DNS、Web、BBS、FTP、操行分查询、考试、电子邮件等等。1、主干网必须是高速局域网，能支持虚拟分段和多媒体应用。2、多媒体教室主要完成多媒体网络教学任务，要求支持 60个用户同时上网。3、利用学校现有的小总机的闲置资源，为教职工提供低廉的家庭拨号入网服务，减少家市话线入网而长时间占线带来的话费大幅增加。拨号入网用户可以访问本校资源和视聆通，从而实现移动办公。4、支持图书馆网络和其它网络之间资源的双向访问。5、接入校园网的所有电脑应能访问视聆通的资源。6、网络要有足够的扩展能力，当网络扩大时，网络性能不会大幅度下降。7、网络要易于维护和管理，有方便的网络管理工具。 校园网对网络设备的要求：高性能：所有网络设备都应足够的吞吐量 ;高可靠性和高可用性：应考虑多种容错技术 ;可管理性：所有网络设备均可用适当的网管软件进行监控、管理和设置;采用国际统一的标准;高性价比：尽最大可能提高设备的性价比 校园网对主机系统的主要要求：主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力 ;主机系统应具有高的可靠性，能长时间连续工作，并有容错措施;支持通用大型数据库，如SQL、Oracle等;具有广泛的软件支持，软件兼容性好，并支持多种传输协议 ;能与Internet互联，可提供互联网的应用，如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务等服务;支持SNMP网络管理协议，具有良好的可管理性和可维护性校园网络系统设计方案应满足如下要求：网络方案应采用成熟的技术，并尽可能采用先进的技术 ;采用国际统一标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品;方案应合理分配带宽，使用户不受网上“塞车”的影响;应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的 压力;该网络方案要具有高扩展性。能为用户未来数目的扩展具有调整、扩充的手段和方法；2.4用户环境分析：校园平面分布图：第5页共25页 校园主要建筑物分布间隔建筑物名称数量图书馆1逸夫教学楼1第一教学楼1第二教学楼1第三教学楼1实验楼1明德楼3男生宿舍1女生宿舍1电话亭1第一食堂1第二食堂1足球场1多媒体教室3门卫处1由学校的平面图以及调查分析后可知，

位置距离中心挨着中心位置200挨着中心位置20靠近中心位置50中心位置靠近教师宿舍200靠近第一教学楼300靠近足球场300靠近第一教学楼20靠近第二教学楼400靠近第一教学楼200男生宿舍旁边250女生宿舍旁边20远离中心位置200靠近第三教学楼215校门口400表2.1学校的主要建筑物分别围绕在以第二教学楼和图第6页共25页书馆为中心的四周， 总体上看分布均匀， 中间没有较大的布线障碍。 第二教学楼位于学校的中央位置，到达其他建筑物的距离比较均匀， 将网络中心设在实验楼， 距离其它楼宇的距离如上表所示，最远为门卫处到第二教学楼的距离大约400米。实验楼作为培养学生实践能力的地方， 主要提供学生动手的地方， 教学楼每个教室能提供多媒体教学，音频广播提供语音教育； 第三教学楼作为高中部综合办公楼， 主要提供学生平时的办理学习与交流工作的地方，每个办公室提供，音频广播提供语音教育，还有音乐，舞蹈等知识与能力的培养， 提升学生的综合素质。 明德楼主要作为学校的职能部门， 财务处，人事处以及领导办公室。 主要建筑物的信息点统计如表信息点及位置建筑物数目网络信息点广播信息点视频信息点总数图书馆1404536121逸夫教学楼130203080第一教学楼130231669第二教学楼130222072第三教学楼130161359实验楼1702815113明德楼1802530135操场10202男生公寓1801520115女生公寓801520115总计103902112008012.5 视频监控系统需求：安装视频监控设备，实现对教学楼，行政楼，门卫处，实验楼，学生公寓以及校园内操场等地方的监控，提供监控视频，构建平安校园。为学校师生提供一个安全的学习生活环境。2.6服务体系设计： 质量保证体系：首先我代表本公司衷心的感谢贵校能采用此设计方案。任何一项工程的实施与竣工用户最关心的除了工程质量，最重要、最担心的就是售后服务问题。为了使贵校在日后能更好的运营并和我公司合作，为了客户做到放心安全，我们在质量保证方面将会做到以下几个方面：设备配置：保证严格按合同中所注明的产品订货号和规格、品牌等进行订货。产品验收:按合同中规定为依据，设备送到贵校施工现场，与贵校负责人员在场时方第7页共25页能开箱，经双方验收合格后，签字确认。调试：安装调试中所出现的问题，由我公司负责。安装调试完毕后，我们将安排贵校的专业人员，对我们提供的设备做性能测试和评定，并且根据测试结果，我们将会努力改进不良的地方。 售后服务和技术支持服务承诺：我方承诺对我公司做的工程5年内提供保修服务、保修时间为5年（各品牌厂商的产品按厂商提供的售后服务为准），保修期自投标方和使用方双方在设备验收单上签字之日起计算、保修期过后，我公司提供终生免费技术支持，如果出现故障，我公司派专业人员进行维修，所有费用由贵公司承当。保修期内我方负责对所提供的设备进行维修和软件维护、升级，不再向使用方收取费用，但人为因素、自然因素造成的故障除外。售后服务时间：如果事故地点在市内，本公司技术人员将30分钟到达如果事故地点在郊区，则在1-2小时内到达；在湖北省内，则在1-2天内到达。具体情况视距离远近而定。如果设备故障在检修1小时后仍无法排除，我方在24小时内提供不低于故障设备规格型号档次的备用设备供贵校使用，直至故障设备修复。售后服务方式：1）保修期和系统技术支持自双方代表在设备验收单上签字之日起计算。2）所有设备保修服务方式均为我方或原厂家派员到需求方设备使用现场维修，由此产生的一切费用均为供货方承担。3）保修期内，我方有专门的技术人员跟踪保修本项目，每周一次电话寻访，每日一次免费定期主动上门做系统检查，并提出改进意见和对系统做适应的修改，一防患于未然，保证系统的稳定运行和适应新业务的开展。第3章网络拓扑设计及原则3.1 设计原则根据校方的具体要求，校园网络应具有良好的开放性。这种开放性靠标准化实现，使得符合这些标准的计算机系统很容易进行网络互连。为此，必须遵循全网统一的网络体系结构，并遵循统一的通信协议标准。网络体系结构和通信协议应选择广泛使用的国际工业标准，并符合网络的总体设计要求，使得校园网成为一个完全开放式的网络环境。1、经济性接入层交换机选择的是金浪KN-S1024P交换机，该款交换机在价格和性能方面有着极好的半衡，连接电缆选择的是AMP超五类双绞线，我们设置了四台服务器，分别集成FTP、Web、DNS、与BBS、学生操行分查询、考试与邮件服务器七种服务。2前瞻性这次的校园网我们选择的是星河网结构。我们这次主干网络 采用的是IEEE802，3ab1000M(1000BaseTCopperCa5UTP)千兆以太网。采用的是千兆到骨干、百兆到桌面，核心交换机与服务器的连接选用的也是IEEE802.3ab1000M千兆以太网，服务器直接与核心交换机通过千兆网线连接，使得客户机对于服务器的访问更加流畅，对于Internet的接入，我们通过艾泰HiPER4520NB采用中国电信的10M光纤接入，外加ISDN链路，作为备份。3扩展性第8页共25页核心层交换机为3Com3CR17450-913870,接口丰富扩展性好，采用的汇聚成交换机3ComSuperStack3Switch4226T(3C17300),与每个接入层交换机连接同时也没有占用汇聚层交换机所有的端口，而是只用到一部分端口，余下的端口供以后扩展。开放性采用的网络设备都支持同种国际标准或是遵守同种协议。使用综合布线系统实现了不同信息类型的相互转换，包括：数据通讯、语音通讯、视频通讯等。在数据通讯方面整个局域网内部遵守的是TCPIP协议，不同类型的电脑，不同类型的OS只要安装了TCP/IP协议，就可以实现数据通讯与资源共享，采用开发标准;采用开发结构;采用开放系统组件；采用开放用户接口。稳定性服务器的稳定：除了能保证长时间的稳定，还采用一系列容错、冗余、技术，提高整个系统的可靠运行。线路的稳定：布线方面严格遵守各种规章制度，铺设的线缆规则，以确保网络的稳定、可靠。可靠性是实用的基础，具有高MTBF（平均无故障时间）和低ＭＴＢＲ（平均故障修复时间），提供容错设计，支持故障检测和恢复，可管理性强。安全性高：这次采用了天融信NGFWARES-S-VPN(S)主要参数的硬件防火墙，以守护校区的网络安全，安全措施有效可信，能够在多个层次上实现安全控制。包括整个网络安全性高，可防止外部侵入。兼容性从核心层到汇聚层，我们选用的都是3Com公司的交换机，这使得产品的兼容性更好，网络传输更加的稳定。3.2 网络拓扑结构我们本次的设计采用现在最流行的快速以太网IEEE802.3U和千兆以太网IEEE802.3ab的标准，该标准使用的是星型网络拓扑结构。在星型网络中所有的计算机都直接连接到中心节点上，常使用的中心节点为交换机。当一台计算机要传输数据到另一台计算机时，都需要通过中心节点。采用星型组网有以下几个特点：接入层交换机可以进行集联。计算机接入或退出网络时不会影响系统的正常工作，即缆线松开或断开时只影响与缆线相连的计算机。这种网络中一般使用双绞线或光纤进行连接，符合现代综合布线的标准。4这种网络结构可以满足多种带宽的要求，带宽范围从10Mbit/s、100Mbit/s到1000Mbit/s.如果交换机出现故障，与之相连的所有计算机将全部无法进行通信。星形拓扑具有扩展性好、故障易查找和隔离、易于管理、组建容易等优点。星型拓扑是当前局域网采用的最广泛的拓扑结构。星型拓扑的网络设备也是最易于获得的。网络拓扑结构图第9页共25页第4章 网络方案设计4.1网络结构分析三层网络架构采用层次化模型设计，即将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次：核心层（网络的高速交换主干）、汇聚层（提供基于策略的连接）、接入层（将工作站接入网络）。1．核心层核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高第10页共25页可靠性。具体来说核心节点的交换机有两个基本要求：1）高密度端口情况下，还能保持各端口的线速转发；2）关键模块必须冗余，如管理引擎、电源、风扇。由于校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机建议采用多业务万兆核心路由交换机。 可以根据用户的需求灵活配置， 灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。在此方案中，校区网络中心采用三层交换机作为核心交换机。核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。2．汇聚层汇聚层：汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中，应该选用支持三层交换技术和VLAN的交换机，以达到网络隔离和分段的目的。3．接入层接入层：接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量，能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层交换技术的普通交换机。4.2 网络架构设计基于目前学校规模及发展的角度考虑，骨干网络采用单核心双引擎或双核心单引擎的拓扑结构，保证核心的稳定；在两栋实训楼采用万兆的三层汇聚设备，实训楼6506千兆连接接入交换机；服务器千兆接入到核心交换机上；百兆到桌面；为了以后扩展的需要，所以采用 RG-WALL1000防火墙，并将校内的对外服务器与防火墙的 DMZ区相连，保证良好的安全性；同时双核心时做 VRRP，防火墙双百兆连接核心，单百兆连接 Internet ；第11页共25页出于管理和安全方面角度考虑，在全网可采用 IP+MAC绑定方式，全网分布式采用ACL，并按照部门划分VLAN，划分相应的权限，保证学生机房用机对教学办公网没有访问权限，只能访问校内服务器及外网； IP分配：在办公区采用静态IP划分，在学生区及移动性较大的办公区可补充性采用 DHCP动态获得IP地址。按照核心的架构，才用单引擎单核心，采用单核心单引擎，核心和引擎之间做冗余备份。实训楼的汇聚设备可采用双链路连接核心设备，作链路的冗余备份，如果其中任何一条链路出现故障，所有数据会切换到另外的链路上，保证校园网的畅通。网络拓扑规划图如下：4.3IP 地址分配学校校园园网中的每一台设备都是以 IP地址标识网络位置的，因此在组建本校园网时，要为网上的所有设备（包括服务器、交换机、客户机、路由器等）分配一个惟一的 IP地址。在网络设备调试安装之前，首先给设备申请和规划 IP地址，然后根据实际情况来给校园网规划和分配 IP地址。国家分配给本校的网址区段是 ，因此，要实现合理的网络畅通，对划分 IP地址很关键。在此表示，为了以后便于学校网络扩第12页共25页充，现只采用，留做备用。内部使用私有IP地址，选择C类网络地址，对外使用申请到的合法的IP地址，实现方法是使用IP地址转换技术（DHCP），使校内的私有IP地址的全校师生用户均能正常上网，同时IP地址转换技术还能为校园网络的安全提供保障。在进行分配的时候采用 DHCP，为配置减少工作，在选择交换设备时，需支持DHCP。内部私有IP地址的规划和分配名称IP规划地址子网掩码第一教学楼92/26第二教学楼492/26第三教学楼220.202250.12892/26实验楼9292/26明德楼92/26图书馆492/26男生宿舍2892/26女生宿舍9292/26科技楼92/26保卫处492/264.4 网络VLAN的设计VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术允许网络管理者将一个物理的VLAN逻辑地划分成不同的广播域(或称虚拟LAN，即VLAN)，每一个VLAN都包含一组有相同需求的计算机主机，与物理上形成的LAN有着相同的属性。但由于它是逻辑地址划分而不是物理地址划分，所以同一个VLAN内的各个主机无需被放置在同一个物理空间里，即这些主机不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。在本校园网的建设中，应大力采用VLAN技术。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,不同的VLAN之间的通讯是需要路由来完第13页共25页成。如果局域VLAN划分得又多又细, 会产生非常多的路由, 无类域间路由CIDR(ClasslessInter2DomainRouting) 是减少路由器中路由表的长度有效方法。Vlan设计一般设计过程：4.5 网络QoS设计为确保用户各种关键业务的正常开展，必须采取全面而系统的 QoS设计(提供端到端QoS服务)，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时；为了保证端到端用户的服务质量，因此要求端到端数据流经的所有网络设备都支持实施的QoS策略，核心设备是多个服务器接入的设备，并且担负着全网数据的交换，QoS的能力影响着全网的服务质量保障能力。华为各款交换机都支持丰富的 QoS功能，能确保重要业务量不受延迟或丢弃，同时又充分利用现有的带宽以保证网络的高效运行。例如，将下载一个大型文件的任务设置到交换机一个端口，而在该交换机的另外一个端口进行语音通信， 为减少语音通信时延，保证通话质量，可在整个网络中对各种业务进行分类和优先级划分。例如 Web浏览，可以作为低优先级对待，或者“尽力而为”地进行处理。QOS工作原理：第14页共25页在骨干网络网络中，由于信息资源集中于骨干网络网络中心，为保证全网的QoS，要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS标注方案，而二层的802.1P标记对于骨干网络这样的网络并没有实际意义，因为802.1P的标记不能在交换机之间传递，只能在本机上有用。4.6 网络安全设计构建全程全网的访问控制体系是网络安全防范和保护的主要策略， 它的主要任务是保证网络资源不被非法使用和访问。 它是保证网络安全最重要的核心策略之一。接入安全华为网络推出的全千兆安全智能接入交换机， 在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（ QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略， 有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。访问安全华为二层交换机支持 802.1QVLAN，可使用VLAN划分隔离用户访问。同时还支持VLAN隧道技术，可实现跨校区的 VLAN功能。并且可以基于 MAC、IP、TCP/UDP端口号进行流量控制，以有效的防范和控制网络蠕虫病毒（如冲击波）的传播和危害。ACLs的全称为接入控制列表(AccessControlLists) ，可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。 在数据流第15页共25页通过交换机时对其进行分类过滤， 并对从指定接口输入的数据流进行检查， 根据匹配条件(conditions) 决定是允许其通过(permit) 还是丢弃(deny)。应用ACL可以有效的防范“冲击波”等蠕虫病毒；支持 802.1X技术，满足6元素绑定接入限制；支持 IGMP源端口检查及源IP检查，可有效控制非法组播源，提高网络安全；IGMPV3支持通告主机希望接收的多播源的地址，避免非法的组播数据流占用网络带宽；通过PVLAN（保护端口）隔离用户之间信息互通，不必占用 VLAN资源；提供SSH的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁；Telnet/Web 登录的源IP限制功能，避免非法人员对网络设备的管理；SNMPV3提供加密和鉴别功能：确保数据从合法的数据源发出（引擎ID）；确保数据在传输过程中不被篡改（采用MD5和SHA认证协议）；加密报文，确保数据的机密性（采用DES56加密协议）。病毒防御华为网络设备，能够提供病毒防御功能，使得某些特定病毒不能任意传播。主要提供以下几个功能：1）预防PC感染类似“冲击波、震荡波”的病毒；2）如果某台机器感染病毒，能够实现中毒机器隔离，限制同一网段中病毒的传播。3）支持防止DDoS攻击，防止IP段恶意扫描等抗攻击特性。4.7服务器根据校园网的实际需求：数据计算量大；实现多种服务如：WEB服务，OA应用平台，FTP服务，防病毒等等。应用服务器和数据库分离，防止应用服务器被攻击后，影响数据库安全。服务器主要用于帮助学校对校务、学籍、人事、政教等方面进行管理，实现学校的办公自动化，各系统之间实现充分的资源共享，提高办公及管理效率。还可以提供资料库管理，所有相关资料都可通过网络系统被检索和使用。通过Internet/LAN向教师及学生、学生家长提供尽可能多的信息。信息服务不仅是提供E－mail、FTP、Telnet、WWW等简单服务，还应包括如教学资料、教学课件、图书馆图书资料的远程查询，远程视频点播、远程电子阅览室、教育论坛、网上教学以及学生的网上交流、网上聊天等。对于这些网络服务，可以根据各部门需求，选择或组织编写一些应用系统软件 .4.8 路由规划第16页共25页核心三层交换机S5700实现VLAN之间的相互访问。对于三层交换机来讲，所有VLAN（网段）都是直连的，因此只需要启动路由，而不需要设置额外的静态或动态路由条目。我们在S-7506中创建VLAN10至VLAN17，并把与接入层交换机光纤连接的光纤端口添加到对应的VLAN中，同时给VLAN端口添加对应的网关IP作为虚拟端口的IP地址，实现整个校园网不同网段之间的相互访问。第5章设备选则5.1 路由器的选择华为AR1200-S采用嵌入式硬件加密，支持防火墙以及应用程序服务， 覆盖业界最广泛的有线和无线连接模式，如 E1/T1、xDSL、WiFi、3G等。AR1220W-S的百兆固定以太接口还支持 PoE功能。AR1200-S支持多种接口卡，包括以太网接口卡、E1/T1/PRI/VE1/VT1接口卡、同异步接口卡、ADSL2+/G.SHDSL接口卡、ISDN接口卡等。按使用槽位的不同，可分为 SIC卡（灵活接口卡）和 WSIC卡（双宽SIC卡）。另外华为 AR1200-S采用多业务合一、支持多种接入方式（几乎涵盖了所有的有线和无线接入方式），多核 CPU和无阻塞交换架构，铸就了 ARG3企业路由器强大的系统性能和可扩展能力， 充分满足了企业未来业务扩展的多元化应用需求，提供一体化的解决方案，能够为客户实现多业务加速的需求。 华为AR1200-S路由器支持包括 TDM、POS、ATM和千兆位以太网，速率十分高。部署在各种应用中，华为 AR1200-S路由器可用于搭建骨干汇聚路由器和核心层网络，为用户提供综合的、高性能、功能强大的服务, 并提供高可用性网络所需的冗余支持。第17页共25页5.2 交换机的选择S5700系列全千兆企业交换机（以下简称 S5700），是华为公司为满足大带宽接入和以太多业务汇聚而推出的新一代绿色节能的全千兆以太网交换机。 它基于高性能硬件芯片和华为公司统一的 VRP软件平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足企业用户的园区网接入、汇聚、 IDC千兆接入以及千兆到桌面等多种应用场景。S5700提供精简版（LI）、标准版（SI）、增强版（EI）和高级版（HI）四种产品形态，具有下列这些特点。1.创新AHM节能2.智能iStack，支持9台设备堆叠3.硬件级以太OAM/BFD4高.性能Netstream5.第18页共25页双电源可靠供电第19页共25页S1700系列企业交换机（以下简称 S1700）是华为公司推出的新一代绿色节能以太接入交换机。S1700提供简单便利的安装维护手段和丰富的业务特性，助第20页共25页力用户打造安全可靠的高性能网络，可广泛应用于中小企业、网吧、酒店、学校等以太接入场景。5.3 防火墙为了以后扩展的需要，所以采用了 RG-WALL1000。RG-WALL1000采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品——第三类防火墙，支持扩展的状态检测（ StatefulInspection ）技术，具备高性能第21页共25页的网络传输功能；同时在启用动态端口应用程序 (如VoIP,H323