《基于ENSP的高职院校网络需求及校园网建设的方案设计17000字（论文）》

第第页基于ENSP的高职院校网络需求及校园网建设的方案设计TOC\o"1-2"\h\u32595摘要 14089引言 23973第一章绪论 3157671.1课题研究背景 3106761.2国内外高校校园现状 3197301.3课题研究目的与意义 430101.4网络建设及设计原则 4300841.5需求分析 69787第二章关键技术 7276022.1IPsec_VPN技术 7283662.2VLAN与TRUNK 765942.3端口聚合技术 8121862.4网络地址转换(NAT) 8211622.5DHCP概述 94172.6动态路由协议（OSPF） 96777第三章设备选型 10215433.1国内外网络设备品牌概况 10312793.2产品设备选型 1112236第四章网络建设总体设计方案 12299594.1网络整体架构 1270644.2校园网设计方案 1330234.2IP地址划分 1431579第五章高等职业技术学校校园网安全体系 16267055.1校园网络安全问题 16148585.2校园网络安全体系设计 1722716第六章网络设备配置 19266236.1端口聚合配置 19172436.2NAT配置 20297696.3DHCP配置 20156616.4OSPF配置 2285576.5IPsec_VPN配置 24535第七章综合测试测试 276475第八章总结 29173508.1论文编写工作总结 29248338.2未来的学习方向 3011387参考文献 30摘要1990年过后，Internet技术一直在飞速发展，不断进行技术迭代，技术的发展使得教育体系逐渐走向了信息化、现代化，教育行业的改革发展取得了飞跃式的提升，现如今“数字化”校园网已成为当今社会信息化成长中不可或缺的一部分。本文首先对高职院校的现状进行了切合实际的需求与分析，针对实际情况设计出校园网建设的整体方案。众所周知校园网的建设其实是一项复杂的工程，它的设计方案与实施方法是本文重点讨论的内容，需要用到许多技术，如：三层交换技术、VLAN技术、IPsec_VPN技术、NAT技术、OSPF技术等，以上技术在文中都有详细介绍。根据高职院校的规模和需求，该设计采用三层网络结构，即核心层，会聚层和访问层。每层所使用的功能各不相同，设计中也会根据每一层的需求去采用相对应的设备。一个优秀的校园网络不仅需要具备合理的拓扑结构，还应具有合理的VLAN和IP地址规划。本文的最后，利用ENSP（华为模拟器），模拟出中小型校园网络构建，通过网络配置技术，能够让所构建的校园网络满足师生日常的学习与工作中的需求，能够保证在某条网络链路发生故障的情况中，校园网中的用户能够通过备份链路保持正常通信。关键词：校园网；网络规划；三层结构；IPsec_VPN引言互联网是维系当今现代社会发展的纽带与桥梁。高端技术的网络技术给我们带来无与伦比的生活上的享受。大容量的存储设备极大的扩展了人类的视野，资源的共享创造了广阔的学习空间。目前，科学探索和体验了一百种生活。它弥补了常识性存储的不足，大大减少了人们的日常学习，工作和生活。生活经验和工作方式的影响已大大减少。每个人的职业道路。随着当代教育体系的不断变化，诸多学校早已将移动办公管理与教学、教育的规划设计逐步包含进数字信息工程与电子工程的技术发展轨道，现如今数字化的校园网络已成为当代网络的集合体。高新的网络技术逐步应用于教育行业。制定增长战略尤为重要。校园网的完善，不仅可以充分提高学校的教学运行效率，教学质量和教育管理水平，而且可以提供现如今最先进，最开放，最实用的基于计算机技术研发出来的网络环境平台。数字校园网络的建立不仅创造了丰富多彩的校园网络文化，巧妙地改变了学徒式的教育思想和观念，并创造了当代学生必须具备的未来社会的性格，情感，力量，思想和行为。传统教学变革使成千上万的学生受益，学习变得有用，学习变得坚强，学习工作，学习获得一些东西。它显示了现代社会中科技人才的需求和短缺；迫切需要学校建立一支由高水平，高技能，高素质的有识之士组成的团队。特别是要接受来自一系列重大全球性问题的挑战，例如21世纪的高端技术和生态系统，道德危机，情感危机和人格危机。在全面深化学校教育教学改革的基础上，打造“高学历，高标准，高标准”。“需求”的创造力，学习力和执行力的现代人才对于社会发展具有划时代的深刻意义。毕竟，必须创新校园网络，构建能够满足时代和人类需求的校园网络，提高数据传输速率，增加新的多功能设备，并替换成更加高端的技术配置。它的存在不仅仅是改善当前教育形式的制高点，而且是提高这个世界公民的整体素质的基础。第一章绪论1.1课题研究背景相较于当代中国职业教育而言，高等职业技术学校其重要程度不可忽视，在当前的教育体系与信息结构之中具有一个优秀的校园网络对于一所正在飞速发展的高等职业技术学校来说是尤为重要的一部分可以说是必不能缺少的一部分内容。是不可或缺的一部分。然而高等职业院校之中的教育教学等方法乃至研究方向都与普通本科院校寻在本质上上的差别，高等职业技术学校的教学内容则更加偏向于需要具体实践。理论知识在实际的教学中所占的比例相对较小。高等职业技术学校针对于不同的教学对象都有各自的一些差别，高等职业院校中采用的教学方法也会比普通本科院校更具有多元化，凭借着多元化的教学方法在与诸多本科院校进行竞争，在拟构建校园网络或者说在校园网络的设计与实现的具体方法中，本文认为，使用中小型网络是高职院校在进行网络的设计与实现时是一个较为完美的方式，在校园网络发展的历史过程中各大职业院校的数据中心都一直在寻找一个合适的网络建设计划，然而校园网络它自身又具备有不一样的特殊性，在此基础上，以高职学校校园网络体系结构的设计与实现为研究课题，并根据校园的具体情况对校园网络设计进行了详细的研究和设计分析，为校园网的设计和建设提供新的理论依据和实践指导。校园网的建设实现了不同系统之间的信息互通[1]朱小平,周柳燕.论校园网的内容与应用[J].吉林广播电视大学学报,2005,9(l):118-119。现如今我国的网络发展正在以一种井喷式进行增长，在网络发展呈井喷式的十几年风雨历程中，数字化，一直作为学校进行高质量信息化教育的特征，所以数字化一直在飞速进行发展各大院校之间往往会投入大量资金进行数字化的改造，这就使得学校或者用户对学校校园网络的要求越来越高。为学校以后的数字化校园开发建设打下了基础[1]朱小平,周柳燕.论校园网的内容与应用[J].吉林广播电视大学学报,2005,9(l):118-119[2]杜化美,张更路,高仕军.高校校园网建设的新思考[J].高师理科学刊,2008,（3）:52-531.2国内外高校校园现状1.2.1国外高校校园网络现状目前国外教育资源已经由传通的书籍转变为多种多媒体形式，教学方式由传统的师生面对面转变为开放自由的方式，如学生可以在学校任何角落通过网络自主学习[3][3]张莉.高校信息化建设资源与教育资源的整合与利用[J].计算机教育,2008,(21):58-61目前，西方发达国家大学信息技术的发展趋势是在大学中建立无线网络。特别是在美国、英国、日本等国家，在教学过程中广泛的使用无线网络技术，其目的在于在教学与日常学习与工作中实现教学不受空间限制的影响，所以发达国家普遍将无线网络作为重要的教育资源。1.2.2国内高校校园网络现状高校信息化体系已初具规模[4]中国教育和科研计算机网简介、建设背景、作用(意义).教育文摘,2012,3-5。自上个世纪九十年代开始，国家紧跟着国际发展的脚步，启动中国教育网[4]中国教育和科研计算机网简介、建设背景、作用(意义).教育文摘,2012,3-5目前我国高校的信息化和校园网建设，虽然相较于发达国家我们的起步较晚但是凭借着国内科技实力的飞速发展网络构建能力也随之水涨船高，但仍然存在一部分缺陷。当今，大多数大学校园网络的网络架构，规模和应用还不够完善，很多院校数据中心之中还有很多的网络设备资源与计算机资源没能得到非常充分的利用，造成了资源的浪费那么如何提升和开发计算机与网络设备的资源将成为各院校之中网络发展的一个重点方向，只有完善资源利用体制才能提高种类繁多的需求较高的业务系统的使用水平。综上所述，目前由于网络资源的利用不恰当出现的各种问题限制了校园网络的发展，这是不可否认的事实。目前在校园网络中主要存在如下问题：（1）校园网络的设计建设规模和用户实际需求之间存在较大的差距。学校在对校园网络进行规划设计时，必须要从实际出发，发扬实事求是的精神在对网络进行构建时需要预留出一些冗余。当网络的规模逐渐变大的时候，规模太小的网络环境会导致资源短缺无法跟上网络用户的使用需求，严重时会影响学校的发展。（2）在很多时候人们在进行网络建设时往往比较重视基础网络建设，比较轻视网络服务的部署。大部分的高等职业院校在对校园的现代化信息建设时通常都会采取先对基础网络进行构建，对于业务系统，如教务系统、信息化平台的建设往往采取漠视的态度，基本上只要能用就能够暂且搁置，这就忽略掉了一个非常严重的问题，网络是时刻都在发展之中的，用户需求也在日常生活中逐步上升。经过长时间的发展之后学校往往会发现之前所投入的资源已经不能完全满足用户的日常使用需求，在这时候硬件设备已经不能满足软件发展的要求[5][5]张莉.高校信息化建设资源与教育资源的整合与利用[J].计算机教育,2008,(21):58-611.3课题研究目的与意义在上个世纪末，国家提出的教育信息化概念明确了网络在教育中的重要地位，之后网络就在高校迅速普及，快速渗透到了教育的各个领域[6][6]李海斌.计算机校园网在教育教学中的应用现状及存在的问题[J].科学技术新,2010,27(12):140-141本文从某高校第二校区的实际需求出发，采用华为系列交换机进行校园网的设计，该方案设计是基于三层交换技术和IPsec_VPN技术，采用DHCP、流量监控等相关技术措施。截止至目前，该校园构建的校园网络已经成功构建完成并正式投入真实环境进行使用。经过长时间的实际运行，已经能够证明该网络的设计已经基本可以满足教师在教学研究，满足学生学习和生活等诸多方面的使用需求。1.4网络建设及设计原则1.4.1网络构建的目标该高校所涉及构建的第二校区校园网络的最终目标是构建一个具有高交换的校园网络，通过查阅相关的网络文献资料，总结出当前国内校园网络中常用的技术进行校园网络的构建，能够保证校园网络具备一个高可用性的同时也具备有极强的稳定性，能够在日常的运维工作中做到可管可控并且能够经过简单操作就能够进行更新换的高效网络[7][7]李长隆.校园网规划与设计[J].电脑与电信,2007,（05）:23-24新建的第二校区将与本部的网络相连，实现网络的相互连通。在将网络架构完善后，主校区的网络线路将被取消，第二个校园将成为网络出口。同时，第二个校园根据使用需求将会有一个或者多个独立的Internet出口，但总部的Cernet出口仍将用于访问教育网专线。第二校区，校区与各校区的互连拓扑如图1-1所示：图SEQ图\*ARABIC1-1互联拓扑图1.4.2网络建设原则校园网需要全方面的覆盖到校园的每个角落。校园网络在设计与实现的过程中应当尽可能去选取与借鉴那些已经成熟能够正常维护并且具备先进性的技术，这是为了能够给网络用户在日常的工作与学习中具备一个良好的用户体验，然而并不是所有的院校都适用于一套网络构建模板，网络的构建应当因地适宜，针对不同院校设计不同的网络，因此在本文中只借鉴如下构建原则：（１）网络的先进性网络发展的一直是伴随着科技发展的在持续进行，科技的更新换代也带来了计算机技术的革新，网络设备和计算机的更新速度也越来越快。结合了网络发展的迅速的基本情况，我们在进行设备的选择时应当优先对先进设备进行选择，力求达到可持续发展的目标，可持续发展展开来说即为，能够进行简单的升级与配置就能满足未来用户的使用需求，在进行业务系统的选择时，我们必须考虑到业务系统的实用性、安全性和成熟性。网络设计和规划必须基于通信网络的发展要求。因此，我们需要在当前市场中采用先进和成熟的设备和技术，并考虑到未来的发展，以便将来由于各种原因需要对软件进行升级。（２）网络的实用性实用性一直是符合国内发展的一种潮流观点，因而我们在对校园网络进行设计的时候,我们应当具备充分使用各种网络设备与业务系统的能力，能够对各种设备了如指掌利用好设备本身的价值,不过校园网络与一般网络有一定的区别，我们也应当考虑在某些导致流量大幅度提升的特殊时段，如学生选课等。（３）网络的鲁棒性除了冗余能力我们也还要具备抗灾能力如自然气候原因导致的电力中断等问题。因此就需要我们在进行网络的设计时，对整体网络的体系结构中的高可靠性有着一个综合性的考虑。以便能够在最短的时间内恢复影响使用的网络故障问题。从而提高整个校园网络的鲁棒性。（４）网络的安全性当高职院校的校园网络进行Internet互连时，校园网络用户可以随时随地访问网络上的各种网络资源，与此同时Internet上的各种危险也随之而来。当前，校园网络通过接口连接到与外部项链的互联网络时，网络用户极其容易遭受到来自外部网络的各种网络威胁如黑客攻击等。综合上述，所以我们在制作系统设计方案时应考虑系统用户信息安全性和数据机密性要求。（5）网络的易理性网络设计过程中必须要结合目前院校的实际情况来进行设计，网络在进行设计时必须要考虑整个网络结构体系的易理性，一个健康且强壮的网络必须要具备对网络故障快速定位并且能够及时消除故障。以便减少网络管理员的维护工作量，提升用户使用网络的体验性。1.5需求分析1.5.1网络安全需求(1)网络出口的安全在进行网络配置的时候需要对ACL列表进行严格的控制，在制定ACL策略时应当对各种业务进行审查，针对性开放访问控制，在出口处部署防火墙也是必要的，防火墙在进行策略的配置时应当只允许访问指定端口。Internet是一个开放的网络，校园网连接到Internet后，不可避免地会有影响Internet中网络安全的因素，因此设置安全端口的主要目的是为了防止恶意的网络攻击与具备被危害的木马与病毒。(2)服务器区安全在进行防火墙布署时应当将防火墙放置在网络服务器区，并且配置完整策略，在策略中对某些特定设备所使用的端口进行限制。1.5.2管理需求（1）通过使用如XShell软件对所有网络设备进行运维管理，并可以集中监视网络中的主要设备和骨干网。（2）IP地址的分配能够通过DHCP进行自动分配。（3）实现用软件进行网络管理，以统一的方式管理有线用户和无线用户，而无需单独管理。（4）实现用户在线帐号与在线设备MAC地址的绑定，确保网络用户的权益。第二章关键技术在本文中，与校园网络的设计有关的技术主要有以下几种：端口聚合、VLAN与TRUNK、NAT、IPsec_VPN、动态路由OSPF协议、路由重分布、DHCP等，下面进行介绍。2.1IPsec_VPN技术IPSec_VPN在当前VPN技术中具有很高点击率的技术，它还提供VPN和信息加密技术。2.1.1IPsec_VPN技术介绍IPSec在业界内称为Internet中的一种安全协议。IPSec是IETF规范套件的一部分，该规范套件提供了互联网上的安全通信。IPSec在在公网上为两个私有网络提供私密数据封包服务，以保证连接的安全。IPSec的基本目的是将加密的安全性机制引入IP协议，并通过使用现代加密方法来支持机密性和身份验证服务，以便用户可以选择性地使用它们并获得所需的安全性服务。IPSec是通过制定IPv6协议而产生的。考虑到IPv4的应用范围仍然很广，在后来的IPSec制定中增加了对IPv4协议的支持。2.1.2IPsec_VPN技术优势目前我国已经将VPN技术包括IPSec_VPN、SSL_VPN、MPLS_VPN多种技术投入到实际使用当中。这三种VPN技术均有各自优点以及缺陷。目前，国外主要网络设备厂商更加重视SSL_VPN技术和MPLS_VPN技术的发展。从而导致这两种技术发展相对较快，但是当前技术是最成熟，使用最广泛的依旧是IPSec_VPN技术。IPSec设计了一套隧道协议，其中包括加密和身份验证方案，以确保数据在通过公共网络时网络数据的完整性，安全性以及合法性。IPSec对数据进行传输时，提供了一种高质量的加密的机制，并且该机制可以与IPv4/IPv6网络相互结合使用。IPsec对数据包所提供加密服务也包括访问控制，数据源身份验证。2.2VLAN与TRUNK现在，几乎所有新建高校都采用千兆网技术，而校园网的中心均为三层交换机。它可以与VLAN(VirtualLocalAreaNetwork)技术完美融合，从此摆脱空间的局限性，虚拟子网工作组也可以自由转移，组织或逻辑，而无需更改网络的物理连接。2.2.1VLAN概述VLAN是按照应用逻辑上划分的交换网络，VLAN与用户所处的地理位置是相互独立的。同一虚拟局域网内的端口可以接收该虚拟局域网发送到网络的广播包，而其他虚拟局域网内的端口就接收不到。VLAN的特征如下：（1）VLAN的出现，使得网络终端的删改增进行了大量的简化从而使得位于不同VLAN中终端或者移动终端能够重新获取到VLAN定义，并不需要以往那种繁杂的操作。（2）VLAN中的网端只能通过广播和多播的方式进行网络通信。（3）工作组和网络安全虚拟局域网可以约束广播域中的用户数量，掌控VLAN的规模小和构成可以控制广播域的相应特征。2.2.2TRUNK介绍Trunk技术过去在业内被称为网络封装技术，所谓的Trunk是网络中的点对点链路，Trunk的主要功能是连接多个交换机，并仅通过一条链路来扩展它们[8]李德水.基于IEEE802.1Q帧标记的VLAN实现原理[J].信息技术,2006,第10期。Trunk技术允许通过与高级交换机级联来扩大端口的规模。可以使用这种技术来实现访问堆栈，进[8]李德水.基于IEEE802.1Q帧标记的VLAN实现原理[J].信息技术,2006,第10期2.3端口聚合技术端口聚合也称为：以太网通道，普遍运用于交换机的连接，特别是核心交换机与聚合交换机的连接。端口聚合的优势在于可以将两个或两个以上的端口聚合在一起，形成一组端口聚合组，实现网络负载均衡，提高连接可靠性，但也同时失去了路径冗余。在实际的网络进行应用时，在对网络设备进行技术性配置端口聚合时对端口的状态是有一定要求的，聚合组中的端口要么处于中继端口模式要么处于接入端口模式。两种模式不能共存于一个端口聚合组中。端口聚合包含有VLAN、STP、端口属性、QQS等技术：VLAN的主要配置包括:VLAN中允许的端口号和默认的端口号等。端口属性主要包括：端口的链路类型，例如：trunk、hybrid、access等。STP的主要配置包括：控制STP网络端口的开或者关。4.QOS的主要配置包括：流量，优先级，拥塞等。首先，端口聚合技术通过低成本的多端口聚合来增加带宽。比如，通过端口聚合，两种不同的类型可以是1000个端口使用2000条链路进行主干链路聚合，虽然使用QOS技术会提高一些使用成本，但是QOS可以极为有效的提子网的网络传输速度，QOS还能够有效消除网络访问的瓶颈。此外，该继电器还提供自动链路故障容限和带宽均衡功能。当其中一条链路发生问题时，它仍然可以正常运转，提高了系统的安全稳固性。本项目采用华为S5700系列路由交换机，共配置38个聚合组，关键用于中央机房的两台核心交换机S5700与本项目各大楼网络汇聚交换机进行网络互联[9][9]谢希仁.计算机网络(第七版)[M].北京:电子工业出版社,2017,193-1942.4网络地址转换(NAT)IP地址短缺一直是网络中一个难以解决并且相当严重的问题，IP的短缺造成了可上网的终端数量减少，为了有效解决IP地址紧缺的技术型问题，科研人员在对网络技术的不断研究中提出过非常多的多解决方案，然而在众多措施中最可靠的方法仍旧是地址转换(NAT)功能。2.4.1NAT概述在网络中，网络管理员可以根据需要自由定义IP地址。当内部计算机与外部Internet网络通信时，网络配置中配置的NAT功能就将内部IP地址转换为ISP申请的外部通信IP地址。2.4.2NAT的应用环境（1）内部网络通过NAT技术与Internet隔离，因而外部用户无法获得内部地址。（2）运用NAT地址转换技术，允许多个网络用户共享一个合法的IP地址，同时与外部网络保持通信。2.4.3设置NAT的条件路由器要想运用NAT技术，最少要配置一个外部网络端口和一个内部网络端口，及WAN口与LAN口。在进行配置时将内部端口绑定内部IP地址。将外部端口已连接到外部网络。2.5DHCP概述DHCP使用专业术语进行翻译应该为：动态主机配置协议，动态主机配置协议。DHCP技术通常用于中型或者大型局域网络环境。DHCP可以有效提高IP地址的利用率。DHCP具有以下功能:1.任何IP地址一次只能被一个DHCP客户端使用。2.DHCP可以为用户提供一个永久固定的IP地址。3.DHCP应该能够与通过其他方式获得IP地址的主机(例如手动配置IP地址的主机)共存。4.DHCP服务器应该服务于现有的BOOTP客户端。2.6动态路由协议（OSPF）OSPF路由协议是Internet上运用最普遍的内部网关协议，主要为自治系统提供动态选择的路由[10][10]王笑娟,邹仁明,彭隽等.OSPF在校园网中的实现[J].中国科技信息,2010,(6):93-95其特征如下:适应性强，与各种规模的网络都相匹配，能够数百台路由器之间跳转。（2）在快速收敛网络拓扑发生变化后，立即更新消息，使变化后的自治系统同步。（3）因为OSPF是使用SPF算法基于收集的链接计算，slave算法本身就不会产生自循环路由。（4）通过将自治系统划分为多个区域，可以进一步抽象出区域间传输的路由信息，进而降低网络带宽消耗。（5）等价路由有多个，都可到同一个目的地。2.6.1路由重分布技术在校园网络中,也可用于网络各种路由协议,以达到各种路由协议一起工作,路由器可以使用路由再分配(路线”再分配)学习通过一种路由协议在另一种路由协议上广播路由，方便链接网络的所有区域。为了实现这种重新分配，路由器一定要同时运行多个路由协议，以便任何一个协议可以广播路由表中的其他协议。在不同协议之间重新分配路由时，请尤其关注以下几点：每一个路由协议都有其特殊的AD值。大概会存在次优路径的故障。此时需要进一步优化路由配置，比如修改AD值或对路由过滤等。二、每一个路由协议之间的度量值(即度量)也是不同的。基于不同度量值的路由问题，规定不同路由协议，其种子的默认度量值也不同：RIP认为再分配的路由表项的度量是无穷的。EIGRP也认为再分配的路由表项的度量是无穷的。OSPF认为已重新分配的路由表表项的度量（即种子度量）为20，默认值为类型。设备选型3.1国内外网络设备品牌概况思科思科于1984年12月成立。它依靠自身过硬的专业技术和对网络经济的深度理解成功的成为了网络应用的实践者之一，它凭借着自己的技术创建了属于自己网络设备品牌。同时也是全球排名第一的网络设备供应商。思科的成功与优势就是它创建了网络这个商品，因此只要是在于网络相关的设计上，思科的发展永远是最成功的和先进的。在2018中国与美国的贸易战争中，中兴作为中国也是，因为思科是全球最领先的网络供应商，所以我们习惯的用网络界的词语“鼻祖”来形容它，但是由于国产品牌发展日益壮大，越来越多的人选择国产，以至于思科的销售量逐年降低。华为华为作为全球领先的信息与通讯技术的供应商，它专注于ICT领域，为消费提供服务。华为是国内最大的网络供应商，它在技术方面有着领先的优势，正因如此，华为公司生产的手机现在成为很多人买时候时候的选择。以前我们因为不了解这个行业，所以很多人一提起华为就知道这只是一个手机的牌子，但其实并不是这样的。华为行业分布到各个地方，比如有电力和交通，这两个华为产业的重要组成部分，占据华为大部分的份额，也占据着国内网络行业的方方面面。现在的华为已经成为国内市场上最大的网络公司，销售量逐年增长。由于思科这种国外品牌发生的后门丑闻，引起了很多企业更愿意选择华为这种高端的国内品牌，表达了我们的爱国之情。H3C有了华为的珠玉在前，H3C大家可能就不那么清楚了。但是最为国内的网络生产商志一起，毋庸置疑它也占据了国内市场的一部分份额。只是跟国内最大说华为网络供应商来比，它的专业技能，专业范围，操作熟练程度就没有那么优秀。锐捷锐捷是国内主流的网络及行业解决方案的供应商。锐捷的产品是跟思科学习的，所以它们的产品都是自己研发的。他们研发时研究的对象就是教育类行业，因为教育行业范围的范围广，只要能拿下一部分的教育业的合同，他们运用的好，自然会给你推广，因为教育行业是一个整体，而且价格相对于其他网络商来说也比较便宜。中兴中兴是全球领先的综合通信解决方案提供商，也是中国最大网络通讯设备公司。中兴的网络设备在国内主要运用于无线基站与核心网中。中兴最为一个外国的网络设备品牌，它的业务遍布全国，但我国国内的中小型企业中就看得比较少。但在2018年它收到美国取消它的销售禁令这一消息，它的营业收入直线下滑，一度濒临破产。3.2产品设备选型3.2.1设备品牌选择根据对比之后，为了达到经济实惠的目标，本次设计中选择华为的产品作为本次网络建设的网络设备，在众多网络设备的生产商中选择华为作为主要的网络组建设备有如下几点原因：（1）随着华为的科研技术逐渐提高，产品技术也逐渐变得成熟，在国内也能够得到比较好的服务，使得华为的网络设备在进行网络的构建中成为了国内比较热门的选择，他们都是华为企业的衷心客户，与华为有着长期稳定而又良好的发展。而我们也可以从它的项目和客户量中看出它的能力以及实力。（2）国外的设备品牌，比如思科的网络设备，就曾经在网上被曝光过出现网络设备安全问题，为了保证校园网络的安全与整洁性，国外的网络设备品牌不在选择之中。（3）产品的性价比高，交付快。因为华为的生产商，供应商都在国内有产地，同时华为最大国内设备品牌，它的质量也是毋庸置疑的，但价格也会相对比较昂贵。3.2.2网络设备产品选型1、网络出口设备：现在是一个网络化的信息时代，电脑会产生相当大的网络流量，有时候一个人会拥有两台电脑，所产生的流量就更大了，为了满足用户的需求，避免在使用的过程中出现卡顿，所以我们可以采用华为的AR3260路由器作为出口设备来使用。路由器的设计一直在不断的创新，它可以适用于任何板卡，来提高路由器的质量、速度和性能，同时我们可以自己在电脑上设置路由器，变更密码和名称，以此来保障网络的安全。2、网络核心汇聚设备：网络核心汇聚设备选用的是华为S5700只能路由交换机。这款路由器属于华为的高端产品，有完备可靠的保护机制。由于它支持40GE/100GE，所以它可以保护那些业务范围广的企业的业务不中断，使用流量网络迅速快捷，简单可靠，维护方便。，容量和内存也比较大，方便客户自己进行规划和管理。3、网络接入层交换机设备：对于网络接入层交换机设备，我们选择的是华为的S3700它的传输速度相对于其他交换机来说会显得稍微快一点，同时价格也更加经济实惠，用作接入层交换机绰绰有余。第四章网络建设总体设计方案4.1网络整体架构某个高校大学的第二个校区的互联网重点涵盖网络区域，服务器区域，办工楼区域，教学区域及其试验区域，学生宿舍区域与食堂七个能效区域，各个能校区均可以直接性连接到中心区，但会对网络权限展开分类工作。下面是第二校区的网络框架，如图4-1所示。图4-1校园网络拓扑图4.1.1网络拓扑在现今大部分院校网络的结构常规均是选用“核心层选万兆，汇聚层挑千兆，接入层接百兆”的互联网架构。此文把此类网络架构具体运用在高职学校的互联网架构中，利用了下列三种模式：1、互联网中心的核心交换器利用万兆三层交换机器，用来同网络服务供应商的网络性接连工作。2、依照学校内的建造物物理上的方位及建造物的个体来选用句型交换机器的型类及其数量，而且依照校园架构图选用交换机器的放置区位，最终经过千兆光纤把汇聚成接连智中心万兆交换机器中。4.1.2校园网布局结构整体性布线体系常规上拥有垂直、水平、建筑群里、管控区域、工作范畴、设备间等六个子体系构建而成[11]白永祥．西部高职学院校园网设计方案探讨[J].网络通讯及安全，[11]白永祥．西部高职学院校园网设计方案探讨[J].网络通讯及安全，2012，8(12)4069－4073考虑到目前高等职业院校的实际情况，校园在规划上通常基于功能相同的专业或建筑物。例如，每个专业都有各自独立的办公空间，宿舍区，图书馆，教学楼，食堂和其他各种建筑物，并且各栋建造物体间常规上还流传着一定的间距，所以，若仅利用一个网络设施区域则，把不符合现实的状况亦或会引来愈大的资本预算，常规性收益会出现耗损现象。所以，我们能够选用大量的网络设备机房，其重点涵盖中央设施区域与子设施区域。子设备室装置在各个单独的建造物体中来构建一个小规模的局域网，常态上小型局域网的覆盖范畴相对小，所以能够采用小型路由器和交换机器来满足常规需要。最后，把各层的骨干电缆接入至中央机房。中央机房能够在学院网络中心所处的建造物体中展开创建工作，校园覆盖网的中心部分（比如各类校园服务器）能够置于此范畴里。设施间的交换器需要接入至中央子设施间的核心交换器里，所以这里还需要对每个局域网的流量进行汇总，这需要中央设备之间需要具有尽量高的网络带宽与强大的流量处理能力。4.2校园网设计方案某高校第二校区校园网络利用核心层、汇聚层\分发层及其接入层的网络结构。高职学院的学院和本科高等院校有很大的不同在结构设计中,例如设置本科高等是不一样的,还有一些功能强大的高职院校,例如,它主要由体育学院和大学,主要是音乐学院和大学,主要是美术院校,所以我们不能视为相同的进行校园网络设计时,高职院校的现实状况考量到具体的释析及其创设，除此之外，还需要考量到后续院校可能的发展趋向且要考量的后续发展及其优化运作。创设应力求先进、经济、实用、安全、可扩展等[12][12]张蒲生．局域网组网技术与实训[M].清华大学出版社,2006.94.2.1核心层核心层供予高速三层互换型骨干。核心层不接入终端体系，不对高速互换能效的功能产生影响，常规上不匹配低速接口板块，供予自身的高实用性[13]王丽雯,龚尚福,马旭.基于三层交换技术的虚拟局域网规划[J].科技信息,2008,2:63-68。核心层重点考量校园网的互联网及其设施能效，在运作中，综合性校园网的流量通过众多层次最终在核心层汇聚。核心层[13]王丽雯,龚尚福,马旭.基于三层交换技术的虚拟局域网规划[J].科技信息,2008,2:63-68此文选用华为S5700，24口全千兆非网管交换器完成展现以可开拓性相符的要求，在对园区互联网展开创设时，除了采用VLAN科技外，也能够支持QOS等科技，以利于后续高效满足体系此层面的科技性要求。在确保互联网的常规高效性，需要对链路展开冗余创设。利用冗余创设,校园互联网运作进程中的实用性是缩减校园互联网故障的重要科技，同时在高职院校互联网采用进程中，网络流量迅猛提升现象的繁出,如在线课程,同时能够有承载性平衡的能效，因此我们能够选用开关和双核心科技，以对高能效需求为基础，核心层需要不断提升高带宽，用以应对核心层互联网量值相对大的现象，使得校园互联网拥有更好的通讯品质。4.2.2汇聚/分发层高职院校校园网的汇聚层的主要考虑的是功能性问题。网络的防控能效重点是经过汇聚层来创设的，汇聚层重点拥有“连接上下”的能效，“上下”本地逻辑中心，“上下”下层信息的能效，与此同时把聚合的下层信息向上输送至核心变换中。4.2.3接入层接入层需考量的重点层面是校园网的采用，在校园网中采用接入层接入各局域网与终端用户。考虑到高职院校中存在大量的终端用户。接入层在设计时可以采用具有高性能和具备多种接口的低端交换机，比如千兆或100M普通交换机。接入层直接同终端用户展开关联，所以此层对最终用户的能效影响较大。4.2.4整体结构设计现今，全球综合性拓扑架构有众多类型，当中极为关键的是网络组建科技，比如FDDI，ATM与以太网科技。当中，以太网交换局域网采用的资金相对少，能够依照详细的需要分布对应的能效，拥有相对高的性价比率。现今，众多职业性学院在校园互联网上的投入相对少。但是现实需要是留存能够供予主流互联网服务的高能效园区覆盖网，所以此文在总体拓扑创设中选择以太网科技，对于骨干网采选千兆宽带。这会使得网络拥有层次化，创设组网时愈加的简单便捷，推动校园覆盖网拥有便捷，修复单一，开拓性高的属性。与此同时，采用分层创设，能够推动在后续的探研进程中，一些分层变换更先进，更高效的设施，其能够提升综合园区互联网的速率，进而缩降综合运作及修复的耗费率值。因为我国高职院校的覆盖范围相对，重点采用中小型局域网，而且考量到资本输入问题，层次版型同高职院校网络拓扑的标准是相符的。综上，针对高职院校的目前的网络环境，我们对核心层，汇聚层和接入层进行了详尽的技术分析，凭借分析结果来选择网络设备。最终此文的网络结构设备决定利用经济可用性高的国产设施。其中，核心层选择具有24个端口的HuaweiS5700。大型非网络管理交换机。华为S570024端口全千兆交换机是一款集成了网络管理功能，支持VLAN，高安全性等功能的交换器。它满足聚合层的需求，因此在聚合层选择此交换机。对于有线用户，接入层可以选择24端口走廊交换机HuaweiS3500。此交换器的价位相对低，拥有16个100M以太网接入端，校园网使用者能够享受优质的Internet体验。4.2IP地址划分宿舍区学生用户均配置移动网地址，本文中对宿舍区进行了网络地址的划分，具体划分为：192.168.11.0-192.168.56.254网段。具体IP地址规划如表4-1、表4-2所示表4-1宿舍楼IP划分表楼宇IP地址段备注1#男生宿舍楼192.168.11.0-192.168.18.254DHCP2#男生宿舍楼192.168.19.0-192.168.26.254DHCP1#女生宿舍楼192.168.27.0-192.168.34.254DHCP2#女生宿舍楼192.168.35.0-192.168.42.254DHCP表4-2食堂IP划分表楼宇IP地址段备注1#食堂192.168.45.0-192.168.50.254DHCP2#食堂192.168.51.0-192.168.56.254DHCP注：宿舍楼和食堂都对IP地址有所保留增加网络冗余上限，便于后期的网络建设中能够容纳所扩建的网络环境。办公区网络文中打算分配如下IP地址：192.168.60.0-192.168.83.0/24。具体IP规划如表4-3所示：表4-3办公区IP规划楼宇IP地址段备注1号教学楼192.168.60.0-192.168.63.254DHCP2号教学楼192.168.64.0-192.168.67.254DHCP3号教学楼192.168.70.0-192.168.73.254DHCP图书馆192.168.76.0-192.168.79.254DHCP办公教学楼192.168.80.0-192.168.83.254DHCP4.3.1路由设备互联IP地址规划核心层网络想要与汇聚层、路由设备互联，那么核心层网络就必须要配置相互连接的IP地址。如表4-4所示。表4-4路由设备互联IP地址计划表设备名对应端口IP地址子网掩码互联设备名对应端口出口路由器GE0/0/210.1.111.1255.255.255.0核心汇聚1GE0/0/24GE0/0/010.1.113.1255.255.255.0重分布路由GE0/0/0GE0/0/110.1.112.1255.255.255.0核心汇聚2GE0/0/24GE4/0/01.1.1.1255.255.255.0移动网GE0/0/0GE4/0/1202.138.163.1255.255.255.0本部路由器GE0/0/1移动网GE0/0/01.1.1.2255.255.255.0出口路由器GE4/0/0服务器1Fa010.1.100.12255.255.255.0服务器汇聚GE0/0/1服务器2Fa010.1.100.13255.255.255.0服务器汇聚GE0/0/2服务器3Fa010.1.100.14255.255.255.0服务器汇聚GE0/0/3核心交换机SW1GE0/0/24192.168.1.2255.255.255.0出口路由器GE0/0/2GE0/0/110.1.122.1255.255.255.0核心汇聚2GE0/0/1GE0/0/310.1.122.1255.255.255.0核心汇聚2GE0/0/3GE0/0/2192.168.15.254255.255.255.0宿舍汇聚GE0/0/1GE0/0/4192.168.12.254255.255.255.0图书馆汇聚GE0/0/1GE0/0/5192.168.11.254255.255.255.0食堂汇聚GE0/0/1核心交换机SW2GE0/0/2410.1.112.12255.255.255.0出口路由器GE0/0/1GE0/0/1192.168.5.1255.255.255.0核心汇聚1GE0/0/1GE0/0/3192.168.8.2255.255.255.0核心汇聚1GE0/0/3GE0/0/2192.168.9.2255.255.255.0教学区汇聚GE0/0/2第五章高等职业技术学校校园网安全体系5.1校园网络安全问题5.1.1外部网络安全问题当职业院校的网络用户通过校园网与Internet进行互相交互时，出在校园网络中的用能能够随时从Internet上获取到各种自己所需要的资源。与此同时，特洛伊木马病毒和黑客攻击等危险也随之而来。由于Windows操作系统有着极好的应用界面和人性化的操作，使得Windows操作系统在校园网络的建设中所占的比例相当的大。众所周知在网络安全中便利性与安全性其实是一个无法调节的矛盾，由于Windows操作系统过于重视用户体验，具有高度开放性，由此带来的就是该系统的安全性相较于Linux系统来说较为薄弱，具体表现在Windows操作系统具有更多的安全漏洞，因此更易受到黑客的恶意攻击。校园网络的自身其实是一个局域网，而局域网在于互联网进行数据交换时就很容易遭受到恶意的网络攻击或者感染木马病毒，而身处校园网络中的用户将会直接遭受到该病毒与特洛伊木马的直接攻击。5.1.2内部网络安全问题在相当长的段时间里，高职院校的校园网都在遭遇外部网络不安全因素的威胁，但这并不是最重要的问题。校园网的大部分网络攻击源自内部的网络用户。在校园网中，网络运营商和网络设施可能会带来一些轻微的影响。而学校中的网络用户为了更方便的接入校园网络，节约使用网络的成本，很多的老师和学生都会自行购买路由器进行安装，然而未经规划的路由器再设置上可能存在问题，同时也会占用跟多的网络带宽，这很容易导致校园网速度变得缓慢。5.1.3其他网络安全问题（１）校园网用户安全意识浅薄万物互联逐渐走进了千家万户，也走进了校园里，无论是在教学、科研、校园管理，还是在师生校园生活等方面，高职院校的运转无疑对网络产生了较高的依赖性，导致了现如今无论在网上工作、网上学习、学生报名、学生选课或者进行课题研究上都离不开网络。但绝大部分师生的网络安全意识十分浅薄，在他们的意识之中，校园网是在互联网之外、内网之内、被隔离出来的一个极度安全又理想的网络环境。因此，由于对校园网络安全性的相信，这些人时常出于个人需求，在公共电脑随意地上传或下载软件或资料，比如通过机房和办公室的公共电脑进入安全性未知的网站、下载来源未知的软件，或将个人的Ｕ盘、移动硬盘、手机及电脑等设备与公共电脑之间进行数据传输，这些危险的操作都有可能会导致病毒在校园网内传播，并且无法彻底删除。哪怕管理人员在对病毒进行了严格的清理，过一段时间后依旧会出现各种各样奇奇怪怪的病毒，存在内网中的病毒最后通过校园网络再次入侵个人电脑和网络设备之中。（２）校园网安全管理资金投入不足在现实的网络环境中，由于高职院校在校园网建设方面可投入的资金不足，加之安全管理意识普遍较为薄弱，导致校园网建设和安全管理的资金十分欠缺。高职院校的购买硬件、网络设备安全保护方面的不足,在软件,为了省钱,使用盗版软件的状况在高职院校中频频出现,同时专业网络管理教师少,尤其是在网络安全领域的老师,所以,当发生紧急网络事故时,无法及时采取相应的应急措施，从而造成财产损失。除此之外，网络管理人员网络安全意识薄弱，基本上不会开展网络安全的教育培训，导致其在校园网建设和发展过程中，常常只关注校园网的扩展程度。然而，随着网络规模的逐渐扩大管理员在管理上也会逐渐显得松散渐渐有心无力，这将会给网络管理工作带来更加重大而且沉重的负担。（３）校园网安全管理制度不健全在长期的实践工作中，校园网安全管理不仅存在由于资金缺乏所带来的各类问题，内部网络还有可能出现管理层面的纰漏。例如，一些服务器实际上已经废弃，但由于工作管理的疏忽而没有被及时关停；还有由于网络管理人员对日常安全防护工作的不重视,对存在于网络中的设备硬件或者业务系统没有做一个定期的检查和维护工作,防火墙的没有采取足够的安全措施常常都是所有的防护策略设为允许所有网络流量通过,这就导致很容易收到内部和外部的病毒木马感染和黑客攻击校园网络，造成网络安全事故。目前，大多数高职院校的安全管理体系还不完善。在此类体系下，当安全问题爆发的时候并没有一个完善的网络安全事件应急方案。因而无法在灾害变大之前及时有效的解决。5.2校园网络安全体系设计5.2.1安全体系结构1.将用于保存校园网流量日志服务器假设在内外网互相连的主机上，以便于抓取校园网中网络用户上网时所产生的数据、上网地址和流量信息。同时，定期对这部分信息进行汇总和检查，并第一时间将异常数据上传至校园网负责监控的服务器中，以便能够及时发现、处理和解决其中存在的紧急安全问题。2.在实际的网络应用中，校园网检测服务器并不在一个相对固定的位置上。通常情况下，只要负责检测的服务器能够对需要检测的校园网区域进行访问，那么校园网络的具体运行状态就能够被监视服务器所监控，并及时察觉到网络中出现的特殊状况。在监控过程中，检测服务器对各个网络设备的实时监控，是利用一个简易的网络协议SNMP来实现的。当异常状况发生时，信息将被及时上传至监控服务器。监控服务器通过与检测服务器进行联动响应，能够达到对具有隐藏危险的异常信息进行处理的功能，包括对异常客户端弹出危险警告提示、冻结其所使用的账号、实施强制断网或者关机等。5.2.2校园网络安全体系构建构建校园网网络安全体系的方法有以下四种。根据网络安全需求的不同，对整体网络区域实行划分当前校园网络系统所应用的结构通常为典型的三层架构模型，即核心层、汇聚层和接入层。该模型设计层次明显，逻辑清晰，能够在日常的管理和维护中给管理人员提供相对较大的便利。但是，该模型也忽视了一个相当关键的网络安全问题，即，没有对同一层次下不同模块节点间配置以适当隔离。因此，在某种程度上，该模型结构存在安全隐患。该问题常存在于实际应用中，而相应的解决办法则涉及大量人力、物力等的耗费。本文将根据网络安全需求的不同，对整体网络区域进行功能划分，并在此基础之上，在不同区域之间进行安全隔离措施的部署，如：WAN区、Internet服务器区、DNZ区、远程接入区、数据区、网管区和内部办公区。使用防火墙作为网络安全隔离手段防火墙是网络结构中一种非常常见并且非常有效的网络隔离技术，防火墙的作用是可以把内部网络环境与公共网络环境隔离开来。防火墙具备很强的阻挡能力，可以有效地防来自Internet的恶意网络攻击。基于上述，本文将利用防火墙设备对上述所划分的各个网络安全区域进行有效隔离，作为每个区域之间的信息通道，并对相应安全策略进行配置，以此保证每个间隔之间进行传输的数据流的监控。针对关键网络路径进行特点防护随着网络攻击技术的迭代升级，一些在网络中传播的安全数据包中可能存在特洛伊木马病毒，其目的是通过将该类恶意数据或程序进行伪装，以躲避防火墙的正确识别。为解决此类安全问题，文中选择在校园网络结构中部署IPS入侵防御安全设备。该安全设备可以对数据包进行深入分析，以判断在网络中所传播的数据包的安全性。当判断数据包中存在恶意数据或程序时，该设备能够通过自身的特征库对不同恶意数据或程序采取不同对策。对用户上网行为进行监控审查在当今万物互联的时代里，互联网能够为用户提供的资料和服务数不胜数。然而，校园网络在实际运行中所需要的服务却远少于当下的提供数量。丰富的服务种类不但占用校园网络的合法应用带宽，危害校园系统，还会影响在校师生的学习与工作效率等。因此，可以利用非法互联网应用识别技术，对不必要的服务进行有效地检测与分析，并利用阻断网络传输或限制流量的方法对其进行合理且有效地控制。通过以上设置，校园网的