【老旧建筑物网络维护项目方案设计及综合布线施工16000字（论文）】

老旧建筑物网络维护项目方案设计及综合布线施工目录27893第一章项目概述 5166941.1项目背景描述 5295611.1.1学院简介 5144781.1.2工程名称 5232641.1.3工程项目总平面图 6203901.1.4建筑物和面积介绍（建筑物平面图） 632811.2系统设计技术标准及规范 7140281.3项目目标 8144881.3.1项目总体目标 81897第二章项目需求分析 10256062.1具体业务和机构设置 10250742.1.1具体业务： 1082142.1.2机构设置 1393182.2设计依据与设计原则 13266112.3网络应用需求 15178582.4网络互联需求分析 159504第三章网络方案设计 1715553.1网络建设目标与设计原则 17270753.2网络拓扑设计方案和拓扑展示 17245853.2.1网络拓扑设计方案 17149493.2.2网络拓扑展示 18205393.4设备选型 24191143.4.1校园网设备 24264943.4.2交换机设备选择 24278493.4.3路由器的选型 2623023.4.4防火墙选型 26127553.4.5华为ac控制器配置选型 26312143.5服务器设计 27268783.6网络安全设计 2722553第四章综合布线设计及施工 29242174.1综合布线设计及施工 29301024.2信息点点数统计表 30325964.3东校区4号、5号、12号楼的布线平面图 31193034.4端口对应表 33273854.5项目实施方案设计 344654.5.1基本情况 3466104.5.2必要性 34175764.5.3可行性 3446794.5.4项目规模 352803第五章设备、材料配置报价、清单与技术参数 36226615.1工程造价 3629826第六章网络实现拟采用的技术介绍 37205136.1VLAN相关技术介绍 37136846.2交换机相关技术介绍 37184566.3路由器相关技术介绍 3817336.3.1路由器互联网络 38275546.3.2动态路由协议的选择 393153第七章网络实现 40262777.1网络设备的基本配置 40255877.2骨干网络核心策略实现 43171117.3汇聚层和接入层策略实现 50283357.4无线WLAN核心策略实现 52273397.5认证、计费、流控体系整体部署 54112647.5.1NAS设备策略实现 54272557.5.2Radius服务器和Portal服务器部署 541937.5.3计费网关部署及流量带宽控 542577.6新网试运行 54200547.6.1网络改造成果 54301587.6.2用户入网体验 5491978总结 5429481参考文献 55第一章项目概述1.1项目背景描述1.1.1学院简介北京市S技术学院创建于1954年，是国际按教育部批准的公办全日制普通高等职业技术学院，是国家骨干高职学院、北京市示范性高职院校，是国家35所“示范型软件职业技术学院”建设单位之一，是北京市一带一路国家人才培养基地，是北京市深化创新创业教育教学改革示范校和高校示范性创业中心。北京S技术学院有三大校区，本部（酒仙桥）、东校区（东坝）和南校区（花乡）等三个校区。为实施我国第一个五年计划、加快发展新中国电子工业，第二机械工业部在北京酒仙桥电子工业区创建“华北第四工业学校”。由于见效历史悠久，许多网络设备功能受到限制，想进行功能技术更新，和许多其他院校一样，需要进行旧楼改造的问题，不需要改变其原有的模式，但需要更新设备功能，已实现网络重新部署连通。由于东校区网络系统于2008年完成，无法满足日益增长得信息化教学和办公的需要，需要重建网络布线系统，现今网络系统老化需要对其部分教学楼及宿舍楼的设备及网络系统进行优化升级更新。1.1.2工程名称《关于4.5.12号楼老旧网络维护项目工程》1.1.3工程项目总平面图学校平面图（红标）1.1.4建筑物和面积介绍（建筑物平面图）（1）4号楼，建筑物有效面积1200m²，属于教师导员办公室和学生培训的综合楼，分6层。4号楼基本信息1.2系统设计技术标准及规范系统规划设计必须按照国际、国家和本地区的有关标准和规范进行。此外，系统的总体结构以及各个子系统必须结构化和标准化，并代表当今最新的技术成就。本设计将依据和参照以下的设计规范和要求进行:《中华人民共和国公共安全行业标准》GA/T75-94。《营业场所安全防范工程设计规范》GB/T16676-1996。《通信电源和空调集中监控系统技术要求》原邮电部YDN023-1996《通信局(站)电源、空调及环境集中监控管理系统前端智能设备通信协议》(1999年3月)原电信总局《通信电源集中监控系统工程设计暂行规定》(YD5027-96)原邮电部《智能建筑设计标准》(GB/T50314-2000)《民用建筑电气设计规范》(JGJ/T16-1992)《建筑与建筑群综合布线系统工程设计规范》(GB/T50311-2000)《建筑与建筑群综合布线系统工程验收规范》(GB/T50312-2000)《电子计算机房设计规范》(GB50174-1993)《民用闭路电视监控系统工程规范》(GB50198-1994)《建筑防雷设计规范》(GBJ1115-87)《火灾自动报警系统设计规范》GB50116-981.3项目目标1.3.1项目总体目标项目完成后应达到如下目标：1.通过校园网，实现校园内部，学校与国内、国际教育的快速交流，达到资源共享，是广大师生及时了解国内外的科学技术和高等教育发展的最新动态，促进教学、科学和管理的发展2.通过图书检索系统，建设电子图书馆，提高校内图书的资料的利用率；充分利用校外图书资料，实现图书检索和借阅。3.所有用户的以太网有线接入带宽能够保证提供百兆或以上的带宽。4.对于汇聚层到核心层的网络带宽至少要保证提供千兆支持，对于特别重要的互联环境，还需要能够提供千兆端口的绑定功能，以提供更高的网络带宽保障。5.建立基于网络的电子教学CAL课件开发、视频点播（VOD）、网上题库、答疑与作业批改等网络教学系统，实现教学手段的现代化。6.依托校园网、广域网开展一系列的远程教学还要创建学院的网站，使之成为对外宣传的窗口，让学生和家长了解我们学院。7.建立一套完整的网络管理与监控系统，满足教学办公，教学和分支机构，教师与教师之间或学生与教师之间的通信。

第二章项目需求分析 2.1具体业务和机构设置项目由战龙狂神有限公司，对于部分教学楼和公寓楼的网络系统优化以及线路分布规划，具体负责教学楼与公寓楼如下：负责业务：4号楼。2.1.1具体业务：4号楼1层：有全校网络管理中心和教室办公室，以及2间招新办公室和贫困生资助办公室和资料室。1层房间职能（数量）101大机房办公室（4个）102大机房办公室（2个）103大机房办公室（2个）104大机房105大机房106大机房107招新办公室（4个）108资料室（1个）109贫困生办公室（4个）4号楼2层：有校长办公司和党委书记办公室为主的14间办公处和一间会议室。2层房间职能（数量）201财务室（4个）202四会议室203党委宣传部（2个）205校长办公室（2个）206档案室（1个）207党委书记办公室（2个）208档案室（1个）209校长助理办公室（2个）210办公室（2个）211校长办公室（2个）212党委宣传部（2个）213网真会议室（1个）214二会议室4号楼3层：信息安全的备份与创新实训室和web实训室共7间。3层房间职能（数量）301信息安全等保测评实训室（2个）302软件逆向分析实训室（2个）303Web实训室（2个）304备份与恢复实训室（2个）305移动安全物联网安全实训室（2个）306信息安全创新实训室（2个）307信息安全意识培养与对抗实训室（2个）4号楼4层：401为学生工作办公室，物联网的系统集成和创新，华为网络互联实训室共6间。4层房间职能（数量）401学生工作办公室（4个）402网络技术应用工作室（2个）403网络安全攻防实训室（2个）404物联网系统集成实验室（2个）405无线传感网络实训室（2个）406物联网创新工作室（2个）407华为网络互联实训室（2个）4号楼5层：501为院长办公室，信息化技术与创新工作实训室共6间。5层房间职能（数量）501院长办公室（1个）502信息化技术工作室（2个）503LTE-4G网络实训室（2个）504NGN软交换实训室（2个）505光传输实训室（2个）506ICT创新工作室（2个）507数据通信与安全实训室（2个）4号楼6层：601为机房办公室，606为资料室，思科虚拟化存储应用实训室为603/605/607，云计算架构与应用实训室是602/604。6层房间职能（数量）601机房办公室（10个）602云计算架构实训室（2个）603虚拟化技术实训室（2个）604云计算应用实训室（2个）605思科网络互联实训室（2个）606资料室（1个）607网格存储应用实训室（2个）2.1.2机构设置1.把主要工作机构设置于4号楼，因为它包括全校网络的大机房和其综合楼的特性，完善起来相对应受到针对性。2.2设计依据与设计原则1.网络安全性根据企业应用的特殊性，网络的安全性在本次网络建设中是比较重要的，整个网络必须保证万无一失的安全性，并对各个部门的信息要有严格分离保护的办法，防止网络黑客非法入侵。网络系统应配备全面的病毒防治和安全保护功能。2.易管理易操作性必须采用智能型网络管理系统，保证全网络设备（交换机、路由器）均可用一套统一的网管系统进行管理；网管软件要求界面为图形界面；所有站点重新分配网段、虚网的重新配置、所有网络设备的重新配置均可通过网管软件由网管站实现；网络布线的设计要求便于管理和维护，当某条链路出现故障时，必须可以在主设备间或配线间内重新配置。3.技术先进性当今世界，通信和计算机技术的发展日新月异，我们的方案应该适应新技术发展的潮流，既要保证网络的先进性，同时又要确保各项技术的成熟性。4.标准化计算机管理信息系统就是要实现网络及设备资源的共享，把不同厂商的设备和计算机软件进行互连。在一个复杂的大型网络系统里，必然有多个厂商的硬件及软件，为了保证用户的计算机网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性，需要建立一个开放式、遵循国际标准的网络系统。5.可扩展性由于用户业务的不断发展，网络系统必然随之不断扩大，为此，目前的网络设计必然为今后的扩充留有足够的余地，以保护用户的投资，并且不影响原有用户的工作。6.可用性由于本网络系统对于数据的时效性、可靠性要求较高，因此在设计时应重点考虑网络及设备的可用性。我们的方案要充分考虑用户的费用情况，不但理论上可行，更重要的是实际上可用，最好地适应用户的需要。7.兼容性网络结构有良好的兼容性，能够实现与不同类型的子网的无缝连接。8.可靠性为使网络可靠地运行，我们方案中要选用高品质的产品，把故障率降到最小。9.冗余性在设计时应考虑为网络留有适当的冗余度，硬件设备应具备一定的冗余模块，以提高网络容错能力。2.3网络应用需求1.数据丢失(dataloss)/可靠性(reliability)某些网络应用在一定程度上容忍数据丢失某些网络应用要求100%可靠的数据传输2.时间(timing)/延迟(delay)某些网络应用在延迟足够低时才能正常使用3.带宽(bandwidth)某些应用在带宽足够高时才能正常使用(带宽敏感的应用)某些应用能适应任何带宽(弹性应用)2.4网络互联需求分析位于东校区的教学办公所在的网络布线信息点通过网络互联设备接入；整个校区的基本网络将实现高可用性，高可靠性，高稳定性。同时也要实现网络的安全性以及可控性。（1）北京S技术学院教师员工分布及办公和教学的信息点需求：序号地点/部门信息点数备注教师员工14号楼154教学楼办公楼114

第三章网络方案设计3.1网络建设目标与设计原则该项目目标是：“建立一个设计规范、性能优良、安全可靠的网络以及系统维护平台，以高效率、高速度以及低成本来实现老师和同学对于网络的使用”。搭建学校和网络服务器，以此来时间学校网络的正常运行，同时也能保证老师与同学们进行资源共享、并且能够进行上网查阅相关学习的资料和电子邮件，对外发布招募信息；按照“高性能，低成本的要求”，网络设备以核心交换区的设备为主。保证未来几年学校网络的正常运行，组建一个高线稳定可靠的校园网。3.2网络拓扑设计方案和拓扑展示3.2.1网络拓扑设计方案通过老旧校园网的改造，将提供三栋楼的全面网络覆盖，为师生提供更加快速稳定便利的校园网，让老师和来上课的同学随时随地都可以访问校园网，不会出现再用校园网的中途出现断开的现象，为老师和同学们提供更加优质的校园网，提供优质的信息化服务，具体的方案统计如下：一、核心区域改造：现有的网络核心设备恐怕无法满足网络改造以及扩建的需求，需要对现有核心设备进行升级以及更换，原有的核心设备作为有线网络汇聚交换机与核心设备相连，用于利旧。二、无线网络改造：本次无线网将涉及到学生宿舍，实训室以及办公室等，针对不同的场景选择不同的信号覆盖方案，宿舍采用AP进行信号覆盖，办公室和教学楼采用x-sense系列进行信号覆盖3.2.2网络拓扑展示通过该拓扑图，从整体上看，是以二层网络结构为基础构建的，包括核心层和接入层。之所以采取二层结构是因为公司网络规模不是很大并综合成本因素，将汇集层和核心层进行合并。核心层：核心设备是整个网络的关键，担负着所有网络数据的转发，是整个网络的核心。由于网络结构中舍去了汇集层，核心层同时也肩负了网络管理的功能。网络环境对整体核心层要求较高。但由于网络规模的因素，选择高性能的核心交换机，完全可以胜任当前的网络运用，并留有广阔的扩展空间。可以根据今后的业务需要提供丰富的扩展选择。接入层：接入层在企业网络的边缘，员工通过接入设备接入企业网络。根据目前的业务需求，应该具有必要的稳定性，由于大量部署，经济性也是需要考虑的重要因素。公司内部规模不大，但也分成多个部门，每个部门独立形成一个子网，同时为了便于网络后期扩展，内部网络系统的结构拓扑采用二层星型拓扑结构构建小型局域网。网络系统的拓扑采用接入级交换机加核心级交换机的组合模式。核心交换机组成网络系统的主干，在各部门之间进行有效的数据转发，保证网络的总体性能。考虑到经济性，并结合将来网络的扩展需求，由于经理办公室、行政部和财务部用户数量较少，可将三个部门的计算机连接到同一个可管理的部门级交换机，如图所示，通过VLAN技术将三个部门划分成三个虚拟子网。市场部和技术部分别配置一台可管理部门级交换机。整个网络的物理分布为：新加坡总部办公楼4层设备间设为整个网络中心机房核心交换机、防火墙，服务器等关键设备就放置此处。其余各个楼层设备间放置接入层交换机。网络拓扑3.3IP地址、VLAN和端口规划方案序号部门子网地址地址范围广播地址子网掩码VLAN1205、211校长办公室及助理办公室192.168.1.0/29192.168.1.1192.168.1.6192.168.1.7255.255.255.248v102207党委书记办公室：192.168.1.8/29192.168.1.9192.168.1.14192.168.1.15255.255.255.248V203203212党委宣传部192.168.1.16/29192.168.1.17192.168.1.22255.255.255.248V304201财务部192.168.1.24/29192.168.1.25192.168.1.30192.168.1.31255.255.255.248V405206207档案室192.168.1.32/29192.168.1.33192.168.1.38192.168.1.39255.255.255.248V506210213办公室及网真会议室192.168.1.40/29192.168.1.41192.168.1.46192.168.1.47255.255.255.248V607101-103大机房办公室192.168.1.48/28192.168.1.49192.168.1.62192.168.1.63255.255.255.240V708107-109招新办公室、资料室、贫困办公室192.168.1.64/28192.168.1.65192.168.1.78192.168.1.79255.255.255.240V809三层、四层、五层、六层的教师办公室192.168.3.192/27192.168.3.193192.168.3.206192.168.3.207255.255.255.224V9010301教室192.168.2.0/26192.168.2.1192.168.2.62192.168.2.63255.255.255.192V10011302192.168.2.64/26192.168.2.65192.168.2.126192.168.2.127255.255.255.192V11012303192.168.2.128/26192.168.2.129192.168.2.190192.168.2.191255.255.255.192.V12013304192.168.2.192/26192.168.2.193192.168.2.254192.168.2.255255.255.255.192V13010305教室192.168.3.0/26192.168.3.1192.168.3.62192.168.3.63255.255.255.192168.3.64/26192.168.3.65192.168.3.126192.168.3.127255.255.255.192168.3.128/26192.168.3.129192.168.3.190192.168.3.191255.255.255.192.V16010402403教室192.168.4.0/26192.168.2.1192.168.2.62192.168.4.63255.255.255.192168.4.64/26192.168.4.65192.168.4.126192.168.4.127255.255.255.192168.4.128/26192.168.4.129192.168.4.190192.168.4.191255.255.255.192.V19013406192.168.4.192/26192.168.4.193192.168.4.254192.168.4.255255.255.255.192V20010407教室192.168.5.0/26192.168.5.1192.168.5.62192.168.5.63255.255.255.192V21011502192.168.5.64/26192.168.5.65192.168.5.126192.168.5.127255.255.255.192V22012503192.168.5.128/26192.168.5.129192.168.5.190192.168.5.191255.255.255.192.V23013504192.168.5.192/26192.168.5.193192.168.5.254192.168.5.255255.255.255.192V24010505教室192.168.6.0/26192.168.6.1192.168.6.62192.168.6.63255.255.255.192V25011506192.168.6.64/26192.168.6.65192.168.6.126192.168.6.127255.255.255.192V26012507192.168.6.128/26192.168.6.129192.168.6.190192.168.6.191255.255.255.192.V27013602192.168.6.192/26192.168.6.193192.168.6.254192.168.6.255255.255.255.192V28010603教室192.168.7.0/26192.168.7.1192.168.7.62192.168.7.63255.255.255.192V29011604192.168.7.64/26192.168.7.65192.168.7.126192.168.7.127255.255.255.192V30012605192.168.7.128/26192.168.7.129192.168.7.190192.168.7.191255.255.255.192.V31013607192.168.7.192/26192.168.7.193192.168.7.254192.168.7.255255.255.255.192V310图11IP规划和VLAN划分3.4设备选型3.4.1校园网设备校园网的网络设备分为交换机、路由器、网络服务器、专业软件3.4.2交换机设备选择①二层交换机二层交换机工作于OSI模型的第2层（数据链路层），故而称为二层交换机。二层交换技术的发展已经比较成熟，二层交换机属数据链路层设备，可以识别数据帧中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。型号：二层：S100-24F端口密度满足每一配线间所有信息点百兆交换到桌面的要求；提供至少两个千兆端口作为与主交换机的相连或两个千兆端口连接到汇聚层交换机；提供第二层上虚网划分；支持802.1q及802.1p，支持802.1x用户接入认证。CiscoCatalyst2960-48TT设备参数指标48个以太网10/100端口和2个10/100/1000TX上行链路端口1RU固定配置交换机提供入门级企业智能服务安装了LAN基本镜像②三层交换机三层交换机就是具有部分路由器功能的交换机，工作在OSI网络标准模型的第三层：网络层。三层交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。对于数据包转发等规律性的过程由硬件高速实现，而像路由信息更新、路由表维护、路由计算、路由确定等功能，由软件实现。型号：三层：S5735-S24P模块化三插,24个千兆以太网PoE铜线端口8个千兆以太网SFP光端口1000AC电源48个10/100M电口接入层交换机的选择：主要可划分为学生公寓、教学楼与实训楼三大块。对于接入层，这要考虑的是对PC机的连接，由于三栋楼接入层PC机较多，为方便管理，采用可管理的固定端口交换机。品牌的选择上，考虑到锐捷公司在该领域的专业性与知名度，以及后续施工的方便，推荐采用锐捷的RG-S1850G。汇聚层交换机的选择：汇聚层对端口数目无太高要求，主要是连接接入层交换机3.4.3路由器的选型路由器考虑到三栋楼的高出口带宽，以及与交换机设备的兼容性，故采用传输速率为10000mbps的WS5200双核版增强版路由路由器类型：WS5200双核版增强版路由3.4.4防火墙选型防火墙的主要应用：主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。防火墙选型考虑：软件防火墙；硬件防火墙并发连接数:130000网络吞吐量（Mpps）:190安全过滤带宽（MB）:130限制用户，200MhzCPU，2个10/100MVPN支持:支持3.4.5华为ac控制器配置选型AC控制器AC6605-26-PWR-16AP无线ap控制器POE供电3.5服务器设计服务器服务器选型有几个基本原则：可靠性、可用性、可管理型、已够用为准则、是否满足要求。按照处理器架构分为：CISC架构服务器、RISC架构服务器、VLIW架构服务器，相对于其他两个，VLIW要比CISC和RISC强大很多。VLIW简化了处理器的结构，删除了处理器内部许多复杂的控制电路，这些电路通常是超标量芯片（CISC和RISC）协调并行工作时必须使用的，VLIW的结构简单，也能够使其芯片制造成本降低，价格低廉，能耗少，而且性能也要比超标量芯片高得多。服务器类型：VIEW架构服务器3.6网络安全设计1、信号连接采用通行的网络协议标准：目前局域网普遍采用802.11标准，因此校园局域网将主要支持802.11n/802.11ac标准，从而提供可供实际应用的相对稳定的网络通讯服务；2、多种服务基于网络的为IE来可持续发展，保证被覆盖的网络访问流畅，提供数据接入服务，让居住在宿舍楼的学生能够更快捷更迅速的访问到学校校园网，同时利用现在学校有线资源做到混合组网3、性能提高在老式校园网中又是会出现安全性能问题，在此改造中会更做到防范各种形式对网络的非法入侵和内部攻击，以此来保证对网络的实体安全、有效的保障正常的业务活动和防止内部信息数据部被非法窃取、篡改和泄露。因此学校系统要根据不同的应用和不同的网络环境做出不同的网络防护措施4、更加高速的数据转发老旧的网络链路恐怕不具有足够高的数据转发能力。在新改造之后可以保证网络链路和设备具备很高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。不会出现异常5、便携的管理平台老旧的校园网不具有良性、稳定、持续、健康的发展，对校园网学生进行严格的管理和控制，现如今新的校园网结构可以更好地对学生进行管理，通过对上网的学生进行认证，记录上网学生的行为，为学校的网络管理提供便利的工具。

第四章综合布线设计及施工4.1综合布线设计及施工一、综合布线系统的设计包括工作区、配线子系统、干线子系统、建筑群子系统、设备间、进线间、管理、电源、防雷与接地等方面设计。综合布线设计二、综合布线系统的施工包括信息插座的安装方式、配线箱（含家居配线箱）的安装方式、缆线的布放、缆线的终接、常用机柜（箱）外形尺寸、综合布线缆线敷设穿管最小管径及线缆敷设、连接方法。综合布线实施4.2信息点点数统计表序号地点/部门信息点数备注44号楼154教学楼办公楼55号楼30教室楼1212号楼170女生公寓合计3544.3东校区4号、5号、12号楼的布线平面图4号楼1-6层综合布线4号楼综合布线施工图

房间号信息端口/网线信息端口/网线用途4号楼3层-5层所有实训室a1a2网线a1/a24号楼1层、3-5层所有办公室a1a2a3a4a5a6a7a8网线a1-a84号楼2层所有办公室a1a2网线a1/a24.4端口对应表战龙狂神组工程信息点统计表信息点端口对应表二层交换机楼层交换机号端口号模块号面板

编号线缆

编号配线架

端口号交换机

端口号1S100-24F-6101-A101-A101101-A101-AS1-6-1101-B101-B101-B101-BS1-6-2↓15S100-24F-20115-A115-A115115-A115-AS1-20-1115-B115-B115-B115-BS1-20-2三层交换机16S5735-S24P-1116-A116-A116116-A116-AS1-1-1116-B116-B116-B116-BS1-1-2↓20S5735-S24P-5120-A120-A120120-A120-AS1-5-1120-B120-B120-B120-BS1-5-2图26信息对应表4.5项目实施方案设计4.5.1基本情况东坝街道北京S技术学院4/5/12楼，位于朝阳区东坝街道中部，施工面积共3175m²，以4号楼为主要施工楼层，基础设置较为老旧，但整体积极进行硬件软件管理，有很强的编号逻辑性，给我们带来方便。4.5.2必要性近年来，北京S技术学院发现设备老旧，不能跟上学生所学知识的更新发展，为保证学生学习能力的稳步提升，需要更新所有配置，从事更多更大的互联网发展，已跟上时代发展。4.5.3可行性随着经济社会的不断发展，必须有一个方便快捷的信息安全网络，彻底改变落后的网络安全状况，提高学生的练习情况。同时也是顺应时代发展，维护网络安全的需要，是满足学生及老师安全网络的要求，是构建和谐社会、带动网络经济社会发展的需要。4.5.4项目规模全楼3720m²，全楼网络新建，高速安全网络实施，20m带宽下载最高速度可达2560kb/s。

第五章设备、材料配置报价、清单与技术参数5.1工程造价工程造价设备名称型号单价数量总价核心交换机S5735-S24P2292002458400汇聚交换机S5735-S24P816003244800接入交换机S100-24F4280015642000服务器VIEW架构服务器620003186000防火墙软件防火墙硬件防火墙91900191900控制器AC6605-26-PWR-16AP32300132300路由器WS5200双核版增强版路由2438001243800总价：1899200

第六章网络实现拟采用的技术介绍6.1VLAN相关技术介绍VLAN(VirtualLAN)，翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。广播域，指的是广播帧(目标MAC地址全部为1)所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧(MulticastFrame)和目标不明的单播帧(UnknownUnicastFrame)也能在同一个广播域中畅行无阻。本来，二层交换机只能构建单一的广播域，不过使用VLAN功能后，它能够将网络分割成多个广播域。6.2交换机相关技术介绍网络交换机是一个扩大网络的器材，能为子网络中提供更多的连接端口，以便连接更多的计算机。随着通信业的发展以及国民经济信息化的推进，网络交换机市场呈稳步上升态势。它具有性能价格比高、高度灵活、相对简单、易于实现等特点。以太交换机是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。交换机(Switch)也叫交换式集线器，是一种工作在OSI第二层(数据链路层，参见“广域网”定义)上的、基于MAC(网卡的介质访问控制地址)识别、能完成封装转发数据包功能的网络设备。它通过对信息进行重新生成，并经过内部处理后转发至指定端口，具备自动寻址能力和交换作用。交换机不懂得IP地址，但它可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。交换机上的所有端口均有独享的信道带宽，以保证每个端口上数据的快速有效传输。由于交换机根据所传递信息包的目的地址，将每一信息包独立地从源端口送至目的端口，而不会向所有端口发送，避免了和其它端口发生冲突，因此，交换机可以同时互不影响的传送这些信息包，并防止传输冲突，提高了网络的实际吞吐量。6.3路由器相关技术介绍我们都知道Internet是遵照TCP/IP协议将世界范围众多计算机网络（包括各种局域网、城域网和广域网）互联在一起的。而设备互连主要采用的就是路由器。路由器（Router）是在网络层实现网络互连，可实现网络层、链路层和物理层协议转换。也就是说，路由器是一种利用协议转换技术将异种网进行互联的设备。6.3.1路由器互联网络路由器工作在OSI模型中的第三层，即网络层。路由器利用网络层定义的“逻辑”上的网络地(即IP地址)来区别不同的网络，实现网络的互连和隔离，保持各个网络的独立性。路由器不转发广播消息，而把广播消息限制在各自的网络内部。发送到其他网络的数据茵先被送到路由器，再由路由器转发出去。IP路由器只转发IP分组，把其余的部分挡在网内(包括广播)，从而保持各个网络具有相对的独立性，这样可以组成具有许多网络(子网)互连的大型的网络。由于是在网络层的互连路由器可方便地连接不同类型的网络，只要网络层运行的是IP协议，通过路由器就可互连起来。网络中的设备用它们的网络地址(TCP/IP网络中为IP地址)互相通信。IP地址是与硬件地址无关的“逻辑”地址。路由器只根据IP地址来转发数据。IP地址的结构有两部分，一部分定义网络号，另一部分定义网络内的主机号。目前，在Internet网络中采用子网掩码确定IP地址中网络地址和主机地址。子网掩码与IP地址一样也是32bit，并且两者是一一对应的，并规定子网掩码中数字为“1”所对应的IP地址中的部分为网络号，为“0”所对应的则为主机号。网络号和主机号合起来，才构成一个完整的IP地址。同一个网络中的主机IP地址，其网络号必须是相同的，这个网络称为IP子网。6.3.2动态路由协议的选择动态路由选择协议：能够实现自动发现信息和信息共享的系统。动态路由选择协议的最大优点是能够缓解拓扑变化带来的影响。动态路由选择协议的基础：所有的路由选择协议都是围绕一种算法构建的，而算法就是逐步解决问题的过程。对路由选择算法来说，至少要指明一下4点：1.向其他路由器传送网络可达性信息的过程。2.从其他路由器接收可达性信息的过程。3.基于现有可达性信息决策最优路由的过程及将这些信息记录在路由表的过程。4.响应、修正、通告网络种拓扑变化的过程。对于所有的路由协议来说，需要解决的几个共同问题是：路径策略、度量、收敛、负载均衡。

第七章网络实现7.1网络设备的基本配置4号楼大机房4号楼实训部4号楼财务部5号楼教室5号楼机房12号楼宿舍7.2骨干网络核心策略实现7.2.1核心交换机策略实现每台RG—N18010核心交换机均需安装两块引擎板卡、两块M18000．44SP．4XS．ED线卡、一块M18000．WS．ED卡。(1)核心交换机虚拟化(vsu)的实现(1)核心交换机虚拟化(vsu)的实现①首先配置VSL。将两台核心交换机的domain值都设置为1，主机的优先级设置为200(默认为100)，从机为默认，优先级值高的将成为VSU管理主机；再对核心交换机1进行VSL链路配置，为了保持冗余VSL链路至少2条，把两台核心交换机Tenl／47和Ten3／47端口添加到VSL链路；将两台核心交换机的工作模式分别切换至虚拟化运行模式，并将VSL端口通过单模光纤连接起来。这样两台核心交换机分别重新启动之后便会进入VSU虚拟化模式。switch—id：1(mac：1414．4b7d．4fdc)switchvirtualdomain1 ／／设置域名为1，两台设备域名必须相同switch1 ／／交换机ID号为lswitch1pority200／／优先级设置为200，值越大优先级越高vsl—aggregateport1 ／／建立VSL链路port—memberinterfaceTenGigabitEthemet1／47／／将Tenl／47加入VSLport—memberinterfaceTenGigabitEthemet3／47／／将Ten3／47加入VSLswiwhconvertmodevirtual／／将本交换机切换至虚拟化运行模式②配置双主机检测BFD。配置BFD是为了防止VSL链路故障断开后产生双主机，当BFD检测到VSU分裂时，会自动关闭从机上所有端口，使得从机停止对外服务。开启BFD检测时，交换机端口必须为三层端口。我们将核心交换机的GigatitEthemet1／1／43和GigatitEthemet2／1／43配置为BFD检测端口，并将GigatitEthemet111144和GigatitEthemet2／1／44配置为例外端13，双主机时利用例外端口来管理交换机。这样配置完后就完成了核心层交换机的虚拟化检测工作了，保障VSU的安全性。intergi1／1／43noswitchport／／将端口GI1／1／43设置三层模式，Gi2／1／43同样设置switchvirtualdomain1dual．activedetectionbfd ／／开启BFD功能dual．activepairinterfacegi1／1／43interfacegi2／1／43／／配置为BFD检测端口dual．activeexcludeinterfacegl／1／44／／配置为例外端口dual．activeexcludeinterfaceg2／1／44／／配置为例外端口(2)VLAN和IP地址划分及DHCP服务的实现①核心交换机VLAN的划分。VALN划分中包含用户VLAN和其它VLAN，其中用户VLAN划分采用VLAN聚合技术，而其它VLAN下的设备入网时无需认证，需要将这些VLAN加入到直通VLAN中。vlan3501 ／／建立办公区有线用户超级VLAN的ID号为3501nameBANGONG—LAN／／命名为BANGONG．LANsupervlan ／／定义为超级VLANvlan3600 ／／建立全网交换机的管理VLAN，ID号为3600nameForSwitch_Managementdirect．vlan3591．3602，3702—3704．3734／／添加直通VLAN②内网IP地址划分，内网IP地址网关全部都建立在核心交换机上，严格按照IP地址规划方案实现。interfaceVLAN3501／／办公区有线用户地址划分descriptionFor——Teacher——Lanipaddress222．17．243．254255．255．252．0lpaddress222．17．245．254255．255．254．0secondaryinterfaceVLAN3700／／外网服务器区地址划分descriptionForWaiWang_Serveripaddress222．17．247．254255．255．254．0③DHCP服务的实现。DHCP服务主要是针对广大师生用户和AP设备，一般将租用周期设置的越短，可以提高地址的利用率，但对于办公区有线用户的一些特殊需求，需延长IP地址的租用周期来实现，而无线AP接入点需要永久IP地址，故设置的时长为无期。servicedllcp ／／核心交换机开启DHCP服务ipdhcppool3501 ／／办公区有线网络的DHCP实现lease200 ／／N地址租用周期设为2天network222．17．240．0255．255．240．0 ／／分配地址段dns．server202．96．64．68222．17．246．100／／设置分配的DNS地址default．router222．17．243．254 ／／设置分配网关④核心至汇聚冗余链路的实现。楼宇内汇聚交换机分别上联至两台核心交换机上，双链路是通过链路聚合来实现的。interfaceRangeGigabitEthemet1／1／1，2／1／1／／进入核心交换机的接口模式descriptionTo——DY——A1XB——S2910port—groupl ／／添加到聚合组1中interfaceAggregatePort1 ／／建立聚合组1descriptionTo—·DY——A1XB·—$2910switchportmodetrunkswitchporttrunkallowvlanonly301—305，3595，3600N设置放行VLAN(3)核心层楼内网安全策略实现建议开启DHCPSNOOPING功能来屏蔽假冒的DHCP服务器，同时开启网络基础保护策略(NFPP)，防范内网攻击，避免影响到核心层设备的运行。securityglobalaccess—groupdhcpipdhcpsnooping ／／核心交换机上开启DHCPSNOOPING功能nf—pp ／／开启网络基本保护策略Arp—guardmonitor—period300／／设置监控时间段，默认600秒arp—guardrate——limitper—src—ip10Arp—guardrate—1imitper—src—mac10 ／／对终端ARP报文的速率进行限制，5分钟内，核心交换机对每个终端最多接受10个ARP报文，超出部分屏蔽掉Arp—guardattack—thresholdper—src—ip20aria—guardattack—thresholdper—src—mac20／／5分钟内如果单个终端的发出ARP报文超过20个，被认为正向网络发起ARP攻击，则对主机进行隔离ip—guardtrusted—host222．17．246．0255．255．254．0ip—guardtrusted—host10．10．0．0255．255．254．0／／不对服务器主机监控7.2.2出口网关策略实现出口网关是整个校园网络的唯一出口，是内、外网之间数据通信的唯一节点。出口网关上主要实现路由转发策略和内外网的地址转换策略。(1)出口路由实现在出口路由设计中，我们引用策略路由和通常路由，故而当数据包经过出口网关时，要匹配路由图的规则，如果匹配成功，数据包则会按照策略中设置的路径进行转发，如果匹配不成功，则按照通常路由进行转发。在制定策略路由规则的过程中，要将运营商中特定资源地址筛选出来，按照通常路由进行转发。①定义时间跨度和访问控制列表。时间跨度应用于访问控制列表中，而访问控制列表则用于路由图中。time—rangeunwork—time ／／定义名为unwork—time非工作时间periodicWeekdays0：00to6：59periodicWeekdays18：01to23：59periodicWeekend00：00to23：59time—rangework—time ／／定义名为work—time工作时间periodicWeekdays7：00to18：00ipaccess—listextended Student—user／／定义访问控制列表，学生用户走电信出口10denyip10．5．0．00．0．255．255host198．160．100．77／／对于访问特定资源的学生用户不转发20permitip10．5．0．00．0．255．255any／／学生无线用户的出口指定为电信出口30permitip10．6．0．00．0．127．255any40permitip71．8．16．00．0．15．255anytime—rangework—time／／宿舍区有线网络在工作时间走电信出口、非工作时问走网通出口50permitip71．8．32．00．0．15．255anytime—rangeunwork—time／／办公区学生无线在非工作时间走电信出口、工作时间走网通出口ipaccess—listextendedLibrary ／／图书馆电子资源走联通出口10permitip10．20．1．00．0．0．255anyipaccess—1iststandardComputerlab／／计算机实验室走教育网出IS]10permit222．17．248．00．0．3．255②定义路由图，将访问列表应用于路由图中。首先学生用户，匹配访问控制列表Student．user，如果满足需求，则强制数据包的下一跳出口为电信出口，如果电信出口DOWN掉，则数据包通过联通出口进行转发。置顶向下，依次分别匹配，如果数据包在路由图中没有被匹配到，则会跳出路由图，按照通常路由进行转发。route—mapDMU_Mappermit10matchipaddressStudent—usersetipnext—hop188．20．240．253／／设置下一跳出12为电信地址setipnext—hop142．39．20．5 ／／设置备用出口为联通出口route—mapDMU_Mappermit20matchipaddressComputer_labsetipnext—hop140．16．17．1 ／／设置下一跳出口为教育网出口setipnext—hop142．39．20．5 ／／设置备用出口为联通出口route—mapDMU_Mappermit30matchipaddressLibrarysetipnext—hop142．39．20．5 ／／联通出口下一跳地址setipnext—hop 188．20．240．253／／电信出口下一跳地址③将路由图应用至端口上。将策略捆绑至内网与该路由器之间的端口上，这样设计中的路由转发策略便可实现。ippolicyredundance ／／开启链路冗余备份interfaceTenGigabitEthemet0／1description To—TopSec—TenGi0／1ipaddress172．20．2．2255．255．255．248ippolicyroute—mapDMU_Map④通常路由实现。数据包在经过网络出口时，没有匹配到指定的策略路由规则，该类数据报文需按照路由表中的路由信息进行选路并发送至指定的网络出口。这时需要我们配置通常路由。开启探测功能。开启探测功能的目的是检测联通出口下一跳是否可达，如果可达则将通过路由器的默认数据报文转发至联通出口，如若不可达，则宣布该条路由失效，并启动备份路由，即电信链路。在策略路由中，我们已经为所用通往电信出口链路数据指定了备份链路，电信链路如果出现故障时，走电信出口的数据报文会自动切换到联通出口，所以不必再探测电信链路的可达性。ipms1iemp—echo142．39．20．6 ／／PING联通出口的下一跳地址frequency40000timeout5000ipmsschedule1start·timenOWlifeforevertrack1ms1配置通常路由。出口网关上全部配置静态路由，要将指向电信出口路由的度量值设置成高于指向联通出口路由的度量值，这样电信出口充当备份出口角色，如果联通出口线路出现故障，则所有通往外网的数据报文会立刻切换至电信出口，不至于导致部分用户断网。iproute0．0．0．00．0．0．0142．39．20．6track1／／对网通出口进行探测，如果不可达，则该路由条目失效iproute0．0．0．00．0．0．0188．20．240．253 10／／设置电信出口为备份出口，当网通链路不可达时，则电信出口路由生效iproute55．51．0．0255．255．0．0140．16．17．1／／至教育网资源路由条目iproute10．5．0．0255．255．0．0172．20．2．1／／至校园网资源路由条目(2)NAT策略实现教育网出口无需做地址转换，当用户数据报文经过联通、电信运营商链路访问互联网时，数据报文在经过网络出口时均需完成基于端口的动态地址转换。①配置公网的地址池。联通出口的公网地址为142．39．20．1．142．39．20．3，电信出口的公网地址为188．20．240．249．188．20．240．251。ipnatpoolnat__poolnetmask255．255．255．248address142．39．20．1142．39．20．3matchinterfaceGigabitEthemet0／1／／当从Gi0／1转发时，数据报文中源IP地址转换为142．39．20．1—3address188．20．240．249188．20．240．251matchinterfaceTenGigabitEth0／2／／当从Ten0／1转发时，数据报文中源IP地址转换为188．20．240．249．251②配置NAT源地址池，源地址池是通过访问列表过滤的，包含所有校内终端对外网有需求的IP地址段。ipaccess—liststandardl10permit71．8．0．00．0．31．25520permit71．8．32．00．0．15．25530ermit222．17．240．00．0．15．25540permit10．5．0．00．0．255．25560permit10．6．0．00．0．127．25570permit10．20．1．00．0．0．255ipnatinsidesourcelist1poolnat_pooloverload／／将ACLl匹配的地址，添加源地址池中，并做基于端口的动态地址转换③配置静态地址转换，即地址映射。ipnatinsidesourcestatictep222．17．255．1008080142．39．20．48081permit—inside∥将内网图书馆WEB服务器映射成142．39．20．4，端口号为8081ipnatinsidesourcestatictcp10．11．1．103045142．39．20．433045permit—inside∥将内网毒品库监控系统映射至142．39．20．4端口号为33045④配置NAT内部端口和外部端口，通常内部端口是EG上连接内网的端口，外部端口是连接联通和电信运营商网络的端口。interfaceGigabitEthemet0／1descriptionTo—CNCipaddress142．39．20．5255．255．255．248ipnatoutside ／／联通出口为外部端口interfaceTenGigabitEthemet0／1description To··TopSec·—TenGi0／1ipaddress172．20．2．2255．255．255．248ippolicyroute—mapDMU_Mapipnatinside ／／内网端口为内部端口interfaceTenGigabitEthemet0／2descriptionTo—Telcomipaddress188．20．240．254255．255．255．248ipnatoutside ／／电信出口为外部端口7.3汇聚层和接入层策略实现7．3．1汇聚层策略实现 ‘汇聚层交换机工作在二层，分布在各楼宇的弱电间内，其功能仅仅是将接入层的设备流量汇总转发至核心层，为了保障链路安全，楼宇汇聚交换机通过使用链路聚合技术分别连接到两台核心交换机上，同时配置设备的管理地址，并开启远程终端服务。vlanrange306—309，3591，3600，3702 ／／用户、管理、应用VLANinterfaceRangeGigabitEthemet0／1—24switchportmodetrunk ／／交换机端口设为中继模式interfaceTenGigabitEthemet0／27—28descriptionTo—RGl8010—Gi枣／3／4port—group1interfaceAggregatePortl ／／建立聚合接口descriptionTo—RGl8010·—PortGroup5switchportmodetrunkinterfaceVLAN3600 ／／设置管理地址ipaddress172．21．5．253255．255．255．0iproute0．0．0．00．0．0．0172．21．5．254 ／／配置默认路由linevty04 ／／开启telnetloginpasswordmima7．3．2接入层策略实现接入层交换机分布在各楼宇的每一层设备间内。当接入电脑终端时，直接在交换机端口上添加用户VLAN即可；当接入AP时，要将交换机端口配置成中继模式，将AP的管理VLAN设为本征VLAN，并开启POE供电功能；同时在所有接入交换机的端口上开启端口保护、环路检测功能，便于网络设备平稳运行。interfacerangefast 0／1—12 ／／电脑接入端口配置switchportprotected ／／开启端口保护switchportaccessvlan103 ／／划分有线用户所属VLANrldpportloop—detectshutdown／／开启环路检测机制interfacerangef0／13—24 ／／AP接入端口配置switchportmodetnmk ／／端口配置为中继模式switchporttrunknativevlan3592 ／／将VLAN3592设置成为本征VLANswitchportprotected ／／开启端口保护功能poeenable ／／开启POE供电功能rldpportloop—detectshutdown ／／开启环路检测功能interfaceGigabitEthemet0／28 ／／上联端口switchportmodetrunk7.4无线WLAN核心策略实现无线网络的核心是无线控制器(AC)，核心策略均在两台AC上实现，AP与AC之间建立CAPWAP隧道连接，AP从AC上自动获取版本并完成自动升级。AP最终会从AC上获取配置，实现对外服务。4．3．1无线控制器核心策略实现无线网络核心策略，包含无线SSID划分、无线速率集设置、AP组建立、AC接口配置等。(1)无线SSID划分建立无线SSID并对接入终端做限速。WLAN必须应用到指定的AP组中方可生效，按照之前部署共划分4个SSID信号。wlan—con_fig10DMU—student—webwlan—basedper—user—limitup—streamsaverage—data—rate256burst—data—rate256／／用户上行流量限制256KB／swlan—basedper—user—limitdown—streamaverage—data—rate1024burst—dat—rate1024∥用户下行流量限制为1MB／s(2)无线速率集设置在无线速率集设置方面，关闭802．1lb／g／a标准的低速率集，开启高速率集，提高无线网络的整体性能。802．1lgnetworkrate9disabled ／／关闭802．1lg9M以下低速率集802．1lgnetworkrate11mandatory／／支持802．1lg11M以上的高速率集802．1lgnetworkrate12supported802．1lbnetworkrate11mandatory／／支持802．11b11M以上的高速率集802．1lanetworkrate9disabled／／关闭802．1la9M以下的低速率集802．1lanetworkrate12mandatory／／支持802．1la12M以上的高速率集802．1lanetworkrate18supposed(3)建立AP组AP组的建立原则上以楼宇为单位，全校共建立58个AP组，且包含默认AP组，名为Default。ap-groupXSSS一1拌 ／／建立XSSS-1撑(学生宿舍1)的AP组名interface-mapping101009印-wlan-idl／／将SSID号(10对应DMU—student—web)、对应用户子VLAN1009及捆绑AP无线ID1interface—mapping202009ap—wlan—id2interface-mapping301059ap-wlan-id3interface—mapping402059印-wlan-id4／／将SSID号(10对应DMU·teacher-auto)、对应用户子VLAN2059及捆绑AP无线ID号(4)无线网络安全设置为了提高无线网络的安全性，校园WLAN采用当前主流标准WPA2，并通过使用高级加密算法(AES)对用户数据进行加密，并对用户认证信息进行加密。wlansec20 ／／进入DMU．student．auto无线WLAN下securityYsnenable ／／开启WPA2认证security