校园网建设技术方案建议书

1、校园网建设技术方案建议书目 录第1章 用户需求分析21.1 概述21.2 需求分析21.2.1 东区公寓21.2.2 本部公寓2第2章 网络扩容方案32.1 整网设计方案32.1.1 接入区域32.1.2 汇聚区域32.1.3 核心区域4第3章 IP地址规划53.1 IP地址需求分析53.2 IP地址具体分配（待定）5第4章 建设方案6第5章 产品清单0第1章 用户需求分析1.1 概述本校园局域网是以防火墙、上网行为管理和核心交换机作为核心管理区域，本部校区各公寓楼宿舍的用户通过汇聚交换机与核心交换机连接，东部汇聚交换机通过光纤线路与核心交换机连接。设备的管理操作集中在核心管理区域，核心交换机

2、对数据进行路由转发，上网行为管理对网络拓扑中的行为进行监控，防火墙对校园局域网的数据进行保护，出口通过联通线路连接互联网。1.2 需求分析设备的管理操作集中在核心设备区域，网关集中在核心设备上，增大了核心设备区域的管理压力。接入用户反映上网速度不稳定，情况恶劣的时候会出现连接中断。为保证网络能安全高效的使用，需将网关下移，管理操作下移，减少核心设备上的管理和操作负担，将公寓宿舍的接入交换机连接宿舍公寓的汇聚交换机，将管理网关设置在公寓的汇聚交换机上，从而直接管理接入设备。本次设计的建设范围为：本部和东区的楼层内部接入，本部和东区的楼层汇聚接入，以及核心网络构架设计。1.2.1 东区公寓东区公寓

3、包括办公用户和接入终端用户的接入，因与本部在地理上存在距离，需借助光纤线路互相连接，办公用户和接入终端用户通过汇聚设备，和校园核心设备连接。 1.2.2 本部公寓本部拥有两栋宿舍公寓楼，楼内的接入用户和办公用户通过楼内汇聚交换机连接校园核心设备。校园核心cisco4503双链路上行到深信服上网行为管理设备E690，数据经过处理后分流处理。第2章 网络扩容方案针对校园网局域网建设，我们采用网络分层，接入层实现终端设备的接入，汇聚层实现数据的传输并保证用户之间的数据的相互独立，实现网络、应用的层次清晰明了，实现网络的高可行、高性能、易管理、易扩展的目标。遵循“统一规划、分步实施、立足当前、面向未来

4、“的思路。2.1 整网设计方案校园网局域网建设 从网络拓扑图可把建设简化为接入区域、汇聚区域和核心部分2.1.1 接入区域接入区域选用的是H3C S2126 智能网管交换机，通过划分VLAN保证各用户数据的相互独立，Web界面和iMC网管软件等多种方式进行管理，具备在户外环境下正常工作的能力，百兆端口速率保证数据的快速转发，从而在链路上提高网络速率，通过H3C S3100将二层数据汇聚到三层设备上，传输速率达到千兆。2.1.2 汇聚区域在公寓的使用H3C S3600-SI 系列以太网交换机作为汇聚设备，上行速率可达到千兆，保证接入设备的数据可以更快与核心设备交互，同时vlan的划分可以区别接入

5、用户和办公用户的数据。H3C S3600-SI 系列以太网交换机在管理和维护方面也具有出众的能力，本身可具有网关设置操作，使的维护操作透明具体。多业务融合保证数据汇聚的高可靠性，安全高速的数据传输，建设有保障的高性能校园局域网。2.1.3 核心区域在校园网络的核心区域，沿用校园网络的原有核心设备cisco4503，东区、绿苑和鸿雁楼的设备最终全部上联到cisco4503上，再统一出口上联深信服上网行为管理设备E690进行行为审计和上网权限管理。第3章 IP地址规划3.1 IP地址需求分析本次网改当中， 由于新添的网络设备，计划新规划一批私网地址供用户使用。3.2 IP地址具体分配（待定）设备管

6、理IP地址规划表1设备名称管理地址管理vlanDQ-3600172.30.30.X950LY-3600172.30.30.X950HY-3600172.30.30.X9503100-1172.30.30.X9503100-2172.30.30.X950DQ-2126-1172.30.30.X950DQ-2126-2172.30.30.X950LY-2126-1172.30.30.X950LY-2126-2172.30.30.X950172.30.30.X9502126-1-n172.30.30.X950命名规则：1）DQ-代表东区设备，LY-代表绿苑设备，HY-代表鸿雁设备用户地址IP地址规划

7、表地址范围地址数目网关使用对象192.168.255.1-125125192.168.255.126宿舍公寓接入交换机1192.168.255.129-253125192.168.255.254宿舍公寓接入交换机2192.168.254.1-125125192.168.254.126宿舍公寓接入交换机3.192.168.n.1-125125192.168.n.宿舍公寓接入交换机n第4章 建设方案1、 楼层接入交换机，使用可只能网管的H3C系列2126交换机，通过划分不同vlan的方式，减小arp广播对网络的影响，同时对接入用户进行精细的划分。全网使用统一的管理vlan950，进行统一的只能管控

8、。业务vlan计划从vlan600开始使用。因设备上存在不同vlan信息，因此上联端口采用trunk方式上联至汇聚设备3100.2、 3100交换机对2126进行汇聚，因为2126存在多个不同的vlan信息，因此将在3100上也创建相应的vlan信息，并将不同的vlan信息通过trunk方式传送至3600寻找网关。3、 在3600上，将创建各个不同网段用户的网关信息，将二层广播终结在这台三层设备上，以减少广播报文对网络的影响。3600与ISG1000之间将进行三层互联。4、 而最终的数据，将在ISG1000防火墙上进行地址转换，通过NAT公网地址进行上网。通过以上设备的上架并调试运行，将力求使

9、内网用户的上网体验得到提升，通过深信服上网行为管理设备，针对内网的流量进行有针对性的调整，使流量更加合理，各种资源得到充分的利用。注意事项：1、 东区现有的路由器将开启DHCP的功能。2、 所有接入用户的网关均在相对应的3600交换机上。3、 Cisco4503只对数据进行透传，不参与三层转发，因此在本次设计中，不存三层接口，三层交换机3600直接与ISG1000进行点对点的互联，在ISG1000的内网端口上设置相应的子接口。4、 在防火墙上进行针对源ip的地址转换，外网出口使用一个联通地址。需要继续考虑的问题：1、 每个公寓大楼部署多少台2126交换机，分别部署在哪个楼层，每个楼层需要部署几

10、台接入交换机。2、 两台3100如何使用，部署在什么位置。3、 办公用户接入在何种设备上（3600还是2126），是否需要划分所有办公用户到相同vlan。4、 关于校园网管如何接入管理新添加的设备，还需要和张文超确认，将尽快将方案完善。第5章 产品清单产品名称型号产品详细描述数量质保期限防火墙JUNIPER ISG-10004个 10/ 100/ 1000端口；防火墙性能2G;并发连接数50万，每秒新建连接数2万.13千兆交换机H3C 5024PEI24个10/100/1000Base-T自协商以太网端口、2个千兆SFP光口（与电口复用）。支持VLAN划分、端口镜像、端口限速、STPRSTP、

11、手工和静态LACP聚合、802.1x等功能，可以通过Telnet、命令行、Web界面、SNMP等多种方式进行管理13三层交换机H3C LS-3600-28TP-SI24个10/100Base-TX以太网端口；2个10/100/1000M电/SFP端口33汇聚交换机S3100-26TP-SI24个10/100Base-T以太网端口，2个10/100/1000Base-T以太网端口和2个1000Base-X SFP千兆以太网端口（Combo）；1个Console口，支持多个端口汇聚组；可以通过Telnet、命令行、Web界面、SNMP等多种方式进行管理23楼层交换机H3C S212624个10/100Base