校园网规划设计

课程设计设计题目：校园网规划与设计课程名称:计算机网络专业班级：学号：姓名：指导教师：完成日期：成绩：目录概要2第一章需求分析31.1校园网的背景31.2校园网需求分析3第二章校园网布局42.1校园网分层设计42.2校园网组织结构图42.3校园网的网络系统的整体规划及拓扑图5第三章学院校园网的规划设计53.1网络拓扑结构设计53.1.1教学楼拓扑图53.1.2办公楼拓扑图63.1.3图书馆拓扑图63.1.4学生宿舍区拓扑图73.1.5信息网络中心拓扑图83.2系统平台和应用系统8系统平台选择8采用Windows2003SERVER建立FTP效劳器9DHCP的安装与配置93.2.4DNS效劳器安装与配置93.2.5Web效劳器安装与配置103.3IP地址的规划及分配103.4效劳器与客服机端的安装和配置11第四章校园网的综合布线结构设计114.1综合布线系统的概念114.2综合布线系统的组成124.3布线原那么124.4综合布线系统的结构设计12工作区子系统(WorkAreaSubsystem)：13水平子系统(HorizontalSubsystem)：134.5.3垂直子系统(BackboneSubsystem)：144.5.4管理子系统(AdministrationSubsystem)：14设备子系统(EquipmentSubsystem)：154.5.6建筑群子系统(CampusSubsystem)：16第五章网络平安的设计与维护165.1校园网的平安需求165.2防火墙系统部署165.3病毒过滤及防护195.4平安认证管理系统195.5日常管理维护20第六章设备选型与本钱核算206.1设备的选型206.2本钱核算21小结22概要随着计算机时代的到来以及Internet的迅速开展，计算机网络的使用无处不在.然而，随着学校的规模不断扩大，各学院的学生数量也急剧增加，对网络的需求也相应提高,如何铺设网络,是急需解决的问题。对计算机网络模拟方案的设计也有相应的要求：首先能实现全校的MIS〔含财务、人事等信息管理〕；能实现全校所有学生的学籍管理；能实现全校的科研设备、科研成果的管理、能实现全校的教务管理〔含题库、问卷管理、查分系系统等〕；能上Internet网查询最新资料；网络拓扑结构合理、网络工作要可靠、造价要合理；网络设备，尤其计算机在5～10年内不落后；网络的扩充性也相对灵活。校园网是一个现代化的大学建设好坏的重要标志，学院要在建设一流校园网的同时，也将使实验、实训设施到达全国一流水平，更好地适应专业教学和科技进步、社会开展的需求。校园网链接了包括教学楼、办公楼、实验楼、图书馆、电子阅览室等大量的信息点，学校管理、教育科研、电子教学、远程教育和互联网的引入以及对外技术交流与合作效劳等大量的业务，要求校园网必须是一个实用的、高可靠、高效率、高扩展性、高平安性系统。第一章需求分析1.1校园网的背景高等院校是信息化建设的重要基地，而校园网是高校重要的教学和科研根底设施，是衡量每个高校综合办学实力的重要指标之一，对提高办学水平，优化资源配置，提升核心竞争力等方面都起到了重要的促进作用。目前，高校校园网络已经进入一个快速开展的时期。各高等院校对校园网的要求越来越高，是的应用于校园网的设计模式、技术和设备在不断更新。高校校园网是为高校师生提供教学、科研和综合信息效劳的宽带多媒体网络，为高校提供教学、管理和决策三个不同层次所需要的数据、信息和知识，因此校园网的建设水平是衡量每个高等院校综合办学实力的重要指标之一。1.2校园网需求分析随着黄冈师院建设速度的不断加快，建筑楼宇的不断增多以及信息化的需求加大，校园网主干网络己经不能满足学院日益开展的信息化建设的需要。急需建设一个智能、平安、可运营数字化、覆盖整个校园的校园网。校园网不仅要使分布在不同地理位置的网络节点互连互通组成一个统一的网络，更为重要的是要将学校的各种信息资源有序高效的组织起来，以满足学校教学、科研、管理和信息交流等方面的需求。学校的建设的总体目标是采用先进的网络通信技术和计算机技术，建立一个覆盖主校区的综合网络，实现用户管理、数据管理、信息管理、信息效劳、网上办公、网上教学、平安管理等全方位网络应用的要求，使学校的教学、科研和管理到达一个更高的层次。这些需求使大学校园网应能适应多种不同数据传输类型，表达出不同的应用特点。同时，网络设计要尽量简单化、模块化，既可节省资金投入，又便于网络管理和升级。随着该校信息化建设,教学资源整合,加强本地院校,远程院校,研究所,后勤部门的管理,急需重建整个大学的校园网络。能实现行政，教学，科研在网络上进行，实现接入国际Internet的信息化目标。因此要求校园网必须是一个实用的、高可靠、高效率、高扩展性、高平安性系统。第二章校园网布局2.1校园网分层设计校园网是一个复杂的系统，为了便于实施和管理，减少网络中各局部的相关性，在设计时应将其按功能划分成假设干层次。每个层次完成相对独立的功能，各个层次之间通过接口协议完成整个校园网的功能需求。因此采用经典的“三层层次模型”校园网具有三级网络结构，即核心层、会聚层、接入层。图2-1三层层次模型根据这一分级模型可以设计出最正确管理的校园网。这个模型可以简化网络的管理。同时具备很好的伸缩性，支持网络规模的有序扩大2.2校园网组织结构图按照黄冈师范学院的建设开展需求，主要将校园网的布线范围划定在以下区域。其中主要包括教学区办公大楼、学院办公大楼、学生宿舍区、图书馆等。并选取局部进行了详细的扩充，在实际的校园网接入中还应该更为详细。如下列图所示：图2-2是校区的校园网组织结构图2.3校园网的网络系统的整体规划及拓扑图图3-3校园网网络拓扑图第三章学院校园网的规划设计3.1网络拓扑结构设计3.1.1教学楼拓扑图核心层交换机通过光纤传输介质与教学楼的会聚交换机相连。会聚交换机分别连接到各楼栋的接入层交换机，通过双绞线连接到每个课室的信息面板上，具体分配如下：教学楼西区有5层，每层6个信息点，共30个信息点，教学楼东区有5层，每层有6个信息点，共30个信息点；教学楼北区有2层，一层4个信息点，二层2个信息点，共6个信息点。图3-1教学楼拓扑图3.1.2办公楼拓扑图办公行政楼位于教学楼南区，核心交换机通过室外光线连接到行政楼的会聚交换机，会聚交换机通过双绞线连接到行政楼办公室的信息面板上，信息面板分布情况如下：教学楼南区，共4层，每层5个信息点，共20个信息点。办公室使用8口交换机连接到信息面板。图3-2办公行政楼拓扑图3.1.3图书馆拓扑图中心机房放置在图书馆的第五层，连接到会聚交换机，通过双绞线连接到图书馆内的信息面板上。具体分分配如下：图书馆1楼：3个信息点;图书馆2楼：20个信息点图3-3图书馆拓扑图3.1.4学生宿舍区拓扑图核心交换机通过光纤连接到学生公寓A、B、C区的会聚交换机，每个区域的交换机通过光纤连接到各自的区域楼，区域楼交换机再与楼层的交换机堆叠，通过双绞线连接到宿舍的信息面板上。图3-4A区宿舍楼拓扑图图3-5B区宿舍楼拓扑图3.1.5信息网络中心拓扑图综合楼共7层，一、二、三、四每层4个信息点，五、六、七层为实验机房网络中心位于第七层。通过光纤接入，连接H3CSecPathF100-S-AC防火墙，再连接到一台“思科WS-C4503”的核心交换机和效劳器群。效劳器群组效劳器统一采用IBMSystemx3650M3(7945I75)，一台对外Web效劳器，放的是学校的官方网站；一台内网Web效劳器，是学校的内部网站；一台Ftp效劳器，由于FTP流量比拟大，所以增加了一台IBMTotalStorageDS3400(1726-42X)Raid效劳器。核心层交换机通过光纤连接到办公及教学楼、综合楼、图书馆、学生公寓A、B的会聚层交换机。图3-6信息网络中心拓扑图3.2系统平台和应用系统3.2.1系统平台选择系统平台的建设主要包括：网络操作系统、桌面平台、数据库、防火墙等的选择。一般校园网络，效劳器系统平台可以选择微软WINDOWS2003SERVER操作系统的解决方案，提供域名效劳、WWW效劳、FTP效劳、E－mail效劳等。具有强大的网络功能和可二次开发性。桌面操作系统比拟可以选择XP和LINUX等平台。采用Windows2003SERVER建立FTP效劳器一般来说，用户联网的首要目的就是实现信息共享，文件传输是信息共享非常重要的一个内容之一。在校园内部信息交流是非常频繁，所以有必要在网络中使用WINdows2003SERVER架设起一个FTP效劳器。DHCP的安装与配置DHCP指的是由效劳器控制一段IP地址范围，客户机登录效劳器时就可以自动获得效劳器分配的IP地址和子网掩码。首先，DHCP效劳器必须是一台安装有Windows2003Server系统的计算机；其次，担任DHCP效劳器的计算机需要安装TCP/IP协议，并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下，DHCP作为Windows2003Server的一个效劳组件不会被系统自动安装，必须把它添加进来：(1)点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”翻开相应的对话框，(2)用鼠标左键点击选中对话框的“组件”列表框中的“网络效劳”一项，单击[详细信息]按钮，出现带有具体内容的对话框(3)在对话框“网络效劳的子组件”列表框中勾选“动态主机配置协议〔DHCP〕”，单击[确定]按钮，根据屏幕提示放入Windows2003安装光盘，复制所需要的程序。(4)重新启动计算机后，在“开始→程序→管理工具”下就会出现“DHCP”一项，说明DHCP效劳安装成功3.2.4DNS效劳器安装与配置DNS就是进行域名解析的效劳器。在DHCP安装好的时候，DNS也安装完毕。然后进行域名，主机，区域等设置。3.2.5Web效劳器安装与配置校园网有很多电脑去访问Internet，Web效劳器主要功能是提供网上信息浏览效劳，通过Internet网，人们只要通过使用简单的方法，就可以很迅速方便地取得丰富的信息资料。3.3IP地址的规划及分配根据学校校区的实际情况，将整个校园网划分为假设干VLAN，每个VLAN对应一个部门或功能。每个VLAN有独立的VLANID作为标识，每个VLAN也有相应的地址范围、子网掩码和网关地址。由于VLAN可以跨交换机，因此对于接入端口在都上联于同一三层交换机的VLAN，网关一般建立会聚层的三层交换机上，这样VLAN内流量不会经过核心层；对于接入端口跨三层交换机的VLAN，网关一般建立核心交换机上。整个校园网的VLAN规划如表5-1所示。表5-1VLAN及IP划分VLAN地点VLAN名称IP网段子网掩码默认网关教学办公区网络中心wangluo财务处caiwuchu教务处jiaowuchu黄冈播送台guangbo文学院wenxue计算机教室jisuanji学生宿舍区北区1栋dong12栋dong23栋dong34栋dong45栋dong56栋dong67栋dong78栋Dong89栋Dong910栋Dong1011栋Dong1112栋Dong1213栋Dong1314栋dong14南区15栋Dong1516栋Dong1617栋Dong1718栋Dong18学院办公区物科院wuke化生院huasheng政法学院zhengfa音乐学院yinyue生科院shengwu新闻传媒xinwen数计学院shuji外院waiu图书馆tushuguan3.4效劳器与客服机端的安装和配置在校园网建设中，规划了7台效劳器作为应用系统和资源系统的载体，构成数字化校园应用系统的数据会聚、管理支撑环境。各效劳器功能如表5-2所示。表5-2校园网效劳器功能列表序号主机名操作系统实现功能IP地址1HP1WindowsXP数据库效劳2HP2WindowsXPWEB效劳3HP3WindowsXP计费、认证、日志效劳4HP4WindowsXP网络版杀毒、网络管理5HP5Windows2002DNS域名解析6HP6Windows2002视频点播、文件效劳7HP7Windows2002万维网效劳第四章校园网的综合布线结构设计4.1综合布线系统的概念综合布线系统就是为了顺应开展需求而特别设计的一套布线系统。对于现代化的大楼来说，就如体内的神经，它采用了一系列高质量的标准材料，以模块化的组合方式，把语音、数据、图像和局部控制信号系统用统一的传输媒介进行综合，经过统一的规划设计，综合在一套标准的布线系统中，将现代建筑的三大子系统有机地连接起来，为现代建筑的系统集成提供了物理介质。可以说结构化布线系统的成功与否直接关系到现代化的大楼的成败，选择一套高品质的综合布线系统是至关重要的。4.2综合布线系统的组成综合布线系统产品由各个不同系列的器件所构成，包括传输介质、交叉/直接连接设备、介质连接设备、适配器、传输电子设备、布线工具及测试组件。这些器件可组合成系统结构各自相关的子系统，分别起到各自功能的具体用途。4.3布线原那么根据结构化综合布线设计标准之要求，本工程将遵循结构化综合布线系统原那么，即标准化、模块化、先进性、综合性、灵活性、可靠性、可扩充性和经济性。4.4综合布线系统的结构设计结构化布线系统其系统结构如下列图所示：根据国际标准ISO11801的定义，结构化布线系统可由以下系统组成工作区子系统(WorkAreaSubsystem)：连接水平子系统的电信插座(TO)和语音或数据终端设备目的：方便连接设备的变动的重新安排组成：连接跳线和适配器水平子系统(HorizontalSubsystem)：水平子系统为从信息插座至楼层配线间的水平线缆。本工程水平子系统采用六类4对十字骨架结构的非屏蔽双绞线，其防火等级不低于LSZH级，性能指标应到达国际TIA-EIA-568-b-2.1的六类测试标准，所选品牌应具有国际UL或ETL检验的六类信道测试认证，支持带宽250MHZ，可千兆以太网应用。保密全部采用全六类屏蔽系统。光纤点采用室内4芯万兆多模光缆，防火等级到达OFNR要求。对于重要场所如领导办公室、大会议室、应急指挥中心等处设置光纤点，实现千兆到桌面的布置，并设置假设干无线局域网接入AP点。水平配线长度不应超过90m。水平子系统包括从工作区到电信接线间〔TC〕这段距离。组成：包括TO和把插座延伸到TC所使用的传输介质。应采用星形拓扑结构，所有工作区TO都连接到一个TC或一个设备间〔ER〕上。水平电缆的最大长度是295英尺〔90米〕。4.5.3垂直子系统(BackboneSubsystem)：垂直子系统应为设备间至各楼层配线间的干线线缆，可分为数据主干及语音主干。语音主干采用5类大对数铜缆，每个语音点在语音主干中配置2对线缆。数据主干千兆楼层交换机采用50/125μm室内8芯万兆多模光缆，防火等级OFNR。数据主干设备间核心层网络交换机至会聚层网络交换机采用SC-ST双工光缆跳线，支持10Gbps应用，干线子系统沿弱电竖井内垂直桥架敷设。连接电信接线间和设备区域，实现大楼内部通信。提供大楼的干线〔馈电线〕电缆的路由部份。4.5.4管理子系统(AdministrationSubsystem)：管理子系统：包括把两个子系统连接起来或为一个子系统分配共用设备线路的交连和互连、端接硬件、彩色编码、编号方案及记录保存装置。在每个楼层设置一个管理间〔IDF〕，组成管理间子系统，作为连接设备间子系统与水平子系统的中转站。负责楼层信息点的配线管理，连接主干铜缆、光缆及水平铜缆、光缆的配线。配线间内水平千兆对绞线〔包括语音和数据〕端接使用24口模块式配线架；垂直语音主干大对数铜缆端接使用快接式50端口IDC语音配线架,以充分表达数据与语音的互换性和今后的实时监控系统升级，在语音主干中支持4线对、25线对或50线对UTP电缆。光纤端接箱必须是机架式的。垂直数据主干千兆对绞线〔垂直数据主干光缆备份〕使用独立的模块式配线架。所有的配线架应预留10%的余量，以供今后扩展。.4.5.5设备子系统(EquipmentSubsystem)：设备间子系统包括共享的公用设备，及把这些设备端接到连接硬件上要求的传输介质组成：设备间中的电缆、连接器和相关支撑硬件。设备间子系统〔MDF〕设在每个楼一层的网络机房，为计算机网络及通信机房。计算机网络中心机房内设核心层网络交换机、光纤配线架、铜缆配线架〔24口模块式配线架〕和效劳器等，还有会聚层网络交换机；总机房设语音总配线架等。根据防雷系统要求，设备间的语音配线架宜采用可开断机架式DNC语音配线架，它能提供一个过压保护系统，防止雷电或类似事件的高压损坏电路，实现语音系统的全时保护。设备间子系统是综合布线系统的总配线机构，是系统的核心。设备间子系统采用19″机柜落地式安装。4.5.6建筑群子系统(CampusSubsystem)：建筑群子系统把一幢大楼的电缆线延伸到建筑群中其它大楼的通信设备和装置上。组成：包括提供大楼间通信设施所需的传输介质和支撑硬件，其中有铜缆、光缆、接地的防止电缆的浪涌电压进入大楼的电气保护设备。第五章网络平安的设计与维护校园网的平安需求1、校园网边界平安管理需求2、校园网漏洞及补丁管理平安需求3、校园网效劳器平安需求4、校园网平安监控管理平安需求5、校园网病毒平安管理需求6、校园网平安运维管理需求7、物理环境平安5.2防火墙系统部署防火墙在实际的部署应用过程当中，经常部署在网关的位置，也就是经常部署在网内和网外的一个"中间分隔点"上，而就是在这样一个部署的环境中，也还存在着多种方式，且存在着许多"陷阱"，以下就是对四种防火墙部署方案：方案一：传统防火墙部署方式传统的防火墙部署方式可能所有人都认为非常简单，将防火墙部署于外部网络和内部网络之间。这个思路如果在内部网络中存在共享资源〔比方说FTP效劳器和Web效劳器〕的话，那么这将是一个非常危险的部署方式，如图1所示。理由其实非常简单，一旦这些共享效劳器为黑客攻击和安装木马渗透病毒的话，那么内部网络的客户端及其资源将没有任何平安可言。因为在这种情况下，木马和病毒已经在内网中存在，而客户端和共享资源效劳器在同一个网段，这无异于内网的平安隐患，防火墙对此无能为力，从而也失去了部署的意义了。图1

传统的防火墙部署方式方案二：使用DMZ目前一个比拟流行和正确的做法就是采用DMZ的防火墙部署方式，如图2所示。也就是在防火墙上多加一块网卡，把提供对外效劳的效劳器和内网的客户端严格地隔离开来，这样，即算有平安风险和漏洞在DMZ中出现，由此对内部网络造成的危害也可以得到很好的控制，从而防止了方案一的缺点。图2

使用DMZ的防火墙部署方式方案三：使用DMZ+二路防火墙为了加强方案二中防火墙的平安强度，目前有些企业将图2的架构优化成图3的架构，也就是使用DMZ+二路防火墙。另外，在此结构中选用防火墙，应尽量采用两家不同公司的产品，这样才有利于发挥这种架构的优势。图3

使用DMZ+二路防火墙的部署方式方案四：通透式防火墙在前面的几种方案中，防火墙本身就是一个路由器，在使用的过程中用户必须慎重地考虑到路由的问题。如果网络环境非常复杂或者是需要进行调整，那么相应的路由需要进行变更，维护和操作起来有一定的难度和工作量。通透式防火墙那么可以比拟好的解决上述问题〔如图4所示〕。该类防火墙是一个桥接设备，并且在桥接设备上赋予了过滤的能力。由于桥接设备工作在OSI模型的第二层〔也就是数据链路层〕，所以不会有任何路由的问题。并且，防火墙本身也不需要指定IP地址，因此，这种防火墙的部署能力和隐密能力都相当强，从而可以很好地应对黑客对防火墙自身的攻击，因为黑客很难获得可以访问的IP地址。图4

通透式防火墙部署方式5.3病毒过滤及防护网络可能会受到来自于多方面的病毒威胁，包括来自Internet网关上、网络内部所连接的网段等，为了免受病毒所造成的损失，准备采用多层的病毒防卫体系。所谓多层病毒防卫体系，是指在网络的每个台式机上要安装台式机的反病毒软件，在效劳器上要安装基于效劳器的反病毒软件，在Internet网关上配置硬件的病毒过滤网关，因为对网络来说，防止病毒的攻击是每个使用者的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个网络不受病毒的感染。前面提到的防火墙具有病毒过滤功能，可以阻止一局部病毒的入侵，在反病毒上我们还配置了网络版的杀毒软件symantec，可以及时地为每一台效劳器，办公计算机更新病毒库，实时地检测到网络存在的病毒。5.4平安认证管理系统在建设校园网建设时，考虑到现有网络规模大、用户数多，网络平安问题不能仅仅局限于防止外部的攻击，而忽略网络平安隐患更为突出的内网平安，网络平安问题应要从全局的角度出发，外网和内网平安两手一起抓，全局部署实现全方位的平安保障。平安认证系统应当能够实现高效分布式认证，保障网络的高效畅通。平安认证系统应能够实现强大的用户接入控制，能够解决IP地址冲突，并有效防止IP地址的盗用和滥用，能够控制代理的使用问题。5.5日常管理维护(1)网络监控学院配置网络管理软件，可以对整个网络上的网络设备进行集中式的配置、监视和控制，自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合的管理和监测。这对解决网络故障帮助非常大，特别是某些突发性的故障。(2)备份对交换机、防火墙等重要的网络设备的配置要进行备份，当网络设备出现故障时能够及时恢复对网络设备的配置。(3)用户权限的管理中心管理员控制着全网用户的配置和权限的修改，因此对于权限的管理要严格进行，以保证网络权限分配的平安合理第六章设备选型与本钱核算设备的选型日本SANWASUPPLYLKB6-CB300BL300米高速优质6类网线1461水晶头3元西蒙信息插座50元图腾K3鼎极网络效劳器机柜5940元网件〔Netgear〕WN604150Mbps无线接入点〔无线AP〕369元Ups电源伊顿9395600291万元机房空调儒雅风冷机组/DME1215.2万Linux〔正版〕2900元设备类型安装场所设备型号设备价格路由器核心机房CISCO7206VXR10*2万防火墙核心机房ASA5580-40-10GE-K955*2万DNS、DHCP效劳器核心机房IBMx3620M37376i0313800FTP效劳器IBMx3620M37376i0313800E-mail效劳器IBMx3620M37376i0313800WEB效劳器IBMx3620M37376i0313800核心层交换机核心机房WS-C6509-E60*2万会聚层交换机实验楼机房CISCOWS-C45068万办公楼机房CISCOWS-C45068万图书馆机房CISCOWS-C45068万宿舍楼座房CISCOWS-C45068万接入层交换机实验楼WS-C2960G-24TC-L8200*11办公楼WS-C2960G-24TC-L8200*6图书馆WS-C2960G-24TC-L8200*3宿舍楼WS-C2960G-24TC-L8200*5本钱核算300m网线*101461*10=14610元光纤30000元无线AP1000*5=5000元水晶头4192*〔3+50〕=222176元Linux2900〔教育〕元设备价格5158140元人工费4192*300=1257600元总价