网络课程校内网设计报告.docx

1、网络课程校内网设计报告目录目录1一、设计原则 2二、需求分析 32.1环境分析 32.2功能需求 32.3布点要求 32.4业务挑战 42.5 提供的网络服务 5三、设计方案及校园网的分层结构 53.1方案技术选型 53.2校园网的分层结构 63.3核心层设备 73.4分布层设备 73.5接入层设备 83.6图书信息中心设备9四、拓扑结构设计及IP地址划分94.1拓扑结构设计图94.2 IP地址的划分 10五、网络安全设计及管理策略.115.1校园网安全115.2网络管理 11六、个人体会 11参考文献 11一 、设计原则 校园局域网设计的原则，主要应考虑以下几个方面： 费用 网络的价格（设计

2、和实现的费用）是必须考虑的，网络的速率越高，其价格就越高。由于该高校涉及多个校区的互连，需要采用光纤技术。通过了解得知该高校和当地电信部门签定了几个校区的光纤，租用了两条光纤用于连接主校区和几个分校区。网络的质量取决于网络中所有构件的质量，以及这些构件所组成网络。 可用性网络的可用性必须依靠冗余来实现，网络级冗余性可以利用双宿主设计自动绕过故障链路或设备，能够使用智能协议保持网络可靠性。设备级冗余性可以利用设备内部部件的冗余来提供不间断服务。线路级冗余可通过敷设物理走向不同的线缆的方式来实现线路的畅通。另外，降低网络的复杂性、提供备用互联网出口、强大的网络监控功能及良好的用户培训也可增加园区网

3、的可用性； 性能自 2002年中期万兆IEEE 802.3ae标准获批准以来，万兆以太网（10GE）已开始逐步普及开来， 随桌面千兆位端口增长而扩大的端口部署不仅影响着上行链路速率，还影响着IP 视频等新应用以及数字成像等行业专用应用。所以，万兆以太网将成为园区骨干网的主流技术。可先采用千兆位以太网作为园区骨干（但设备选型要注意能平滑升级到万兆），以后再根据需要升级；另外交换机及路由器本身的性能对整个网络的性能也有影响，诸如线速转发、QoS、STP、可支持的路由协议的收敛特性等等都将影响网络的性能； 可扩展性和可升级性在设计园区网时，通过层次化的设计可保证网络的扩展性。层次化结构包括三个功能部

4、分：即接入层、分布层和核心层，层次化的设计除了能带来便于扩展的优势以外，还可节约成本和加强故障隔离能力；以及性能和版本的提高。 易于管理和维护 安全性现阶段网络建设主要面临以下几方面的问题：网络流量增长得很快，与此同时网络运营商的接入费用不降反升； 管理人员对校园网的运行情况缺乏基本的分析和管理工具；网络安全事件时有发生，重要服务器和核心网络设备被攻击；网络病毒泛滥，得不到控制；有线用户和无线用户的接入控制、定位缺乏手段等；针对以上问题，将安全连接、威胁防御、信用和身份管理系统集成到单个解决方案中，并提供病毒感染限制、染毒设备隔离功能可有效的解决校园网建设中的安全问题。二、需求分析：2.1环境

5、分析： 某高校在新校区建有14栋楼,并与老校区(成人教育)和职校互连,组建一个跨地域的校园网络。 校园网建设将保证有7000-10000师生。 由8个主要建筑单位组成。网络建设范围包括教学楼(4层,2.6万平方米)、实训科研中心(4层，4万平方米)、图文信息中心(4层，2万平方米)、图际交流中心(3层，0.6万平方米)、办公行政楼(地上13层，地下1层1.3万平方米)、食堂(地上2层，地下1层0.4万平方米)6个主要单位建筑，还包括宿舍区(可以容纳5200人)。2.2功能需求根据该高校网络建设的整体规划，校园网的应用应满足：(1) 校园网站建设（WWW、FTP、EMAIL、DNS、BBS、流量

6、计费等）(2) 多媒体辅助点播教学降远程教学(3) 校园办公管理(4) 学校教务管理(5) 校园一卡通应用(6) 网络安全FIREWALL(7) 图书管理(8) 在部分区域可通过实施Wireless LAN 实现无线上网2.3 布点要求整个校园内规划的信息点为8060点，信息点的分布如下表所示：建筑名称规划的信息点数据可用的信息点数富裕的信息点数行政楼40542217教学楼1081883实训中心1630164414国际交流中心1801888图文信息中心48046212宿舍52005325125食堂809414体育馆20222后勤楼507020活动中心20244合计818085994192.4业

7、务挑战： 学校的网络同时承载着多样的网络应用：网络下载、视频点播、网络聊天、专项课题研究、网络化教学，学校要求网络具有高性能、高可用性和高安全性。 学校规模在不断扩大中，用户数在持续增加，要求网络具有很好的扩展性，能够根 据需要逐步平滑升级到万兆的骨干连接。 学生拥有笔记本电脑的人数越来越多，他们想在校园的各个地方都可以上网，甚至包括操场。要求网络具有移动和无线集成 学校要求能对每个用户的使用情况能进行事后审计，能够定位到 IP 地址以及用户所连接的端口和登录的用户名 由于校园网络的开放性和流量的多样性，学校要求能及时发现网络异常流量并做出响应。同时要求基于每用户的速率限制 随着高校的集团化改

8、造的逐步进展,学院教学的多元化、教学的移动、国际性交流加深，目前在拥有传统学院的科目优势的同时,向全国提供网上课堂也是该校的特色之一,全开放式学习交流是本校未来5 年的教育重点目标. 另外在设备支持上要求：在10/100 或10/100/1000BaseT 上支持802.3af PoE；网络设备集成的安全性；要求第 2 层和第 3 层的 QoS；要求增强的 802.1x 功能；支持10GE 或将来平滑过渡到10GE。2.5 提供的网络服务校园网主要提供的网络服务有:Web服务、Email服务、域名（DNS）服务和FTP服务等。今后提供的服务有：多媒体教学、各部门和个人主页、视频、教学化图书馆、

9、电子阅览室、流量计费及各种办公、教学和科研的管理信息系统等。三、设计方案及校园网的分层结构根据总体设计思路及需求，我们设计该高校的总体框架如下：3.1、方案技术选型：本方案采用成熟的千兆以太网技术，采用分层结构的解决方案。整个网络设计的原则为：中心交换机为整个网络的核心，它对整个网络的性能、可靠性起决定作用，它连接各个物理子网，管理网络内信息交换（包括多媒体信息），控制VLAN 间访问，保证信息安全。因此，选用中心交换机除了提供高速的网络连接之外，还具有多种信息的管理控制能力。网络采用层次结构，不仅逻辑结构清晰，管理方便；更重要的是大多数的数据流量的交换在分布层交换机上直接处理，不经中心设备，

10、节省主干带宽，提高利用率。有一定的前瞻性，不仅满足当前网上应用，也为向将来更高性能的升级作好了准备：网络具有的伸缩性，升级和扩展主要只集中在网络中心，添加新的接口模块，即可实现用户和信息点的扩充，升级模块即可大量提高主干带宽；中心配置两台多层交换机，网络结构就能连接成高可靠性的、真正的中心交换机互备份和上联线路冗余。网络设计的过程中，为了将一个复杂的问题简单化，常采用分层的思想。在学院校园网的设计过程中，我们也采用了这样的分层思想，将一个大型校园网和园区网按照其所起的功能和作用从设计上分为核心层、汇聚层和接入层。我们将核心层与汇聚层之间的链路叫主干网，网络技术方案的选择就是要选择主干网采用什么

11、样的技术。通过分析目前主流的网络技术主要有千兆以太网和万兆以太网。千兆以太网在校园网和园区网已经运用的非常成熟，而万兆以太网尽管也有运用实例，但成本费用比较高，因此，从技术的成熟度、传输速率和性价比考虑我们拟采用千兆以太网技术，也就是学院校园网的所有主干网全部采用千兆以太网，然后100M到桌面。这样的传输速率能够几乎满足用户各种各样的要求。3.2、校园网的分层结构整个校园网划分为三个层次：核心层、分布层和接入层。相应的交换机就是核心交换机、分布层交换机和接入层交换机。网络区域划分：根据地理位置及信息点的数量和未来覆盖面扩充等多方面原因，整个校园网划分为主校区及两个分校区。划分区域主要考虑以下几

12、个方面：可以减轻中央核心交换机的负担管理上方便便于未来的连接扩充 核心层网络：核心层网络选择千兆以太网。网络中心将放置两台高端三层千兆交换机和一台边界路由器。交换机间的连接要求是高带宽连接。分布层交换机有要求两路上行链路连至两台核心层交换机上，采用快速收敛的路由协议实现故障切换和负载均衡，并且分校区分布层的各交换机和网络中心的核心交换机都要有两路不同地理走向的光纤。当某一路的光纤出现意外，如被挖断，也可以从另外一路光纤上连。 汇聚层设计汇聚层介于核心层与接入层之间，可以起到2个基本作用，即将大量从接入层过来的低速链路通过少量高速链路接入核心层，实现通信量的聚合；屏蔽经常处于变化之中的接入层对相

13、对稳定的核心层的影响，可以隔离接入层拓扑结构的变化，减少核心层路由器路由表的大小。具有强大的流量聚合性能，支持多种接入链路；与核心层之间的链路数量尽可能少。 接入层网络：分布层交换的下连交换机都为接入层网络，本部每个接入层交换机要求有两路上行链路分别连接至两个分布层交换机上（分校区接入层网络如条件允许也可用两条链路连接至本区的分布层交换机上） ，并可采用HSRP 等提供故障切换功能。 分校区与本部的连接：分校区在城区内，有条件最好能买断电信运营商的线路或自行铺设，实现园区网真正意义上的物理连接，否则可通过VPN的方式实现园区互联设备选型：3.3核心层设备：CISCO Catalyst 6509

14、（Supervisor Engine 720*2/电源*2/FWSM*1/IPSec VPN模块*1/IDSM*1/NAM*1/16 口千兆以太网光口板*1/若干 5486/48 口千兆电口板*1，符合 IEEE802.3af&PoE） 数量：2 台 CISCO 7xxx系列路由器（3GE 口） Cisco Catalyst 6509 的优点 最长的网络正常运行时间-利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供13秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。 全面的网络安全性-将切实可行的数千兆位级思科安全解决方案集成到现有网络中

15、，包括入侵检测、防火墙、VPN和SSL。 可扩展性能-利用分布式转发体系结构提供高达400Mpps的转发性能。 能够适应未来发展并保护投资的体系结构-在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT基础设施利用率，增大投资回报，并降低总体拥有成本； 卓越的服务集成和灵活性-将安全和内容等高级服务与融合网络集成在一起，提供从10/100和10/100/1000以太网到万兆以太网，从DS0到OC-48的各种接口和密度，并能够在任何部署项目中端到端地执行。3.4分布层设备：CISCO Catalyst 4507R （Supervisor Engine V-10GE*2/ 电源*2/若干千兆以

16、太网光口板及 GBIC/48口千兆电口板*1，符合 IEEE802.3af&PoE）数量：6台Cisco Catalyst 4506（With Supervisor V-10GE）的优点： 102mpps 第二层到第四层吞吐率 双线速万兆以太网上行链路 利用千兆以太网SFP 上行链路顺利移植到万兆以太网 在交换管理引擎上提供集成式NetFlow，通过基于用户的速率限制实施精确流量控制： 超快速800MHz CPU 可实现更快的控制平面 最多能够在Catalyst 4510R 交换机中支持384 个10/100/1000 端口 提供所有Cisco Catalyst 集成式安全特性 为提供更加灵活

17、的策略，能够为每个端口和VLAN 实施不同的QoS 思科快速转发能够防止可变IP信息攻击。 端口安全、DHCP侦听、ARP检测和IP源防护能够防止黑客从第二层及以上发动拒绝服务（DoS）攻击或破坏网络。 速率限制以出口和入口限速器的方式出现，可以控制每个VLAN的流量，防止DoS攻击。Supervisor Engine V-10GE支持基于用户的速率限制。 802.1X及其扩展特性能够防止非法用户和设备接入网络，例如恶意接入点。 硬件Netflow可用于主动发现网络流量异常，并采取相应措施。它使用的访问控制列表可以在交换端口和路由端口上提供，以便进行第二到七层流量控制。接入层设备CISCO C

18、atalyst 3560(EMI) 3.5接入层设备 Cisco Catalyst 3560 系列交换机是一个固定配置、企业级、IEEE 802.3af 和思科预标准以太网供电(PoE) 交换机系列，工作在快速以太网和千兆位以太网配置下； Catalyst 3560 是一款理想的接入层交换机，适用于小型企业布线室或分支机构环境，结合了10/100/1000 和 PoE 配置，实现最高生产率和投资保护，并可部署新应用，如IP 电话、无线接入、视频监视、建筑物管理系统和远程视频访问等； 客户可在整个网络范围中部署智能服务，如高级QoS 、速率限制、访问控制列表、组播管理和高性能IP 路由等，且同时

19、保持传统LAN 交换的简洁性。 思科网络助理(network assistant)在Catalyst 3560 系列中免费提供，是一个集中管理应用，可简化思科交换机、路由器和无线接入点的管理任务。思科网络助理提供了配置向导，大大简化了融合网络和智能网络服务的实施。支持增强的802.1x(IBNS)3.6图书信息中心设备图书信息中心，其访问量及数据存储量较大，为保证其高可用性和高性能，可考虑数字化图书馆服务器采用双服务器架构并与核心交换机直连，并采用高可靠的基于Fibre Channel的存储区域网（SAN）作后端存储，因此可考虑购买2个光纤交换机以实现冗余；建议设备：isco MDS 9100

20、 Cisco MDS 9100 系列通过将思科智能化网络带入中小型SAN和数据中心边缘应用等领域，提升了光纤通道交换机的标准。Cisco MDS 9100 系列可以通过一个小巧的1RU 机型，在成本、性能和企业级功能之间实现完美的平衡。 Cisco MDS 9100系列提供了20端口和40端口两种配置，因而可以提供多种存储环境所需要的端口密度。通过提供业界领先的可扩展性、可用性和管理功能， Cisco MDS 9100 系列让您能够以很低的TCO 部署高性能的SAN。通过在一个经济有效、外型小巧的交换平台上添加一组范围广泛的智能化功能，Cisco MDS 9100 系列可以满足中小型存储环境对

21、于成本、性能、便于管理性和连通性的要求，并提供与Cisco MDS 9500多层控制器和Cisco MDS 9216多层光纤通道交换机的全面兼容，从而可以在大型数据中心核心边缘部署中实现透明、端到端的存储服务供应。3.7无线网络设备建议设备：Cisco Aironet 系列AP或网桥四、拓结构设计及IP地址划分4.1拓结构设计图网络拓扑结构是具体网络模型的反映，它用来指示组成网络的设备、节点及用户分布。网络拓扑结构说明的是网络的几何形状，而不是它的地理位置或技术实现。在拓扑结构设计阶段，要确定网络和互联点，明确网络的大小和范围，信息点的分布情况以及所需要的网络互联设备类型。网络设计经常采用分层

22、网络设计方法，该方法采用分层的、模块化的模型来设计园区网和企业网。 （1）校园局域网的整体拓扑结构如下： （2）为实现“校园一卡通”，其实现拓扑结构如下： 4.2 IP地址的划分Internet通信的基础是以TCP/IP协议为核心，网络之间的相互通信依靠的IP地址。因此，在以TCP/IP体系结构为基础的网络中，必须为各个工作站和网络设备分配IP地址。在以TCP/IP为体系的网络中，域名、IP地址的规划及VLAN的划分是非常重要的一个环节。为了做好这一个环节，必须要知道甲方所申请到的公有IP地址有多少，是全部采用公有IP地址，还是一部分采用公有IP地址，另一部分采用私有IP地址？在确定了规划方案

23、之后，根据图拓扑结构图就可以进行域名、IP地址的规划。下面是根据该高校的网络拓扑结构图规划域名、IP地址。IP地址的划分：建筑物信息点IP地址子网掩码宿舍5200192.168.1.0/19255.255.255.0实训中心1630192.168.1.0/21255.255.255.0图文信息中心480192.168.1.0/23255.255.255.0行政楼405192.168.2.0/23255.255.255.0国际交流中心180192.168.1.0/24255.255.255.0教学楼108192.168.2.0/24255.255.255.0食堂80192.168.3.0/242

24、55.255.255.0五、校园网安全性设计和网络管理 5.1校园网安全校园网安全是一个系统工程，本次校园网的安全性主要采用防火墙技术和VLAN技术来实现。防火墙技术主要实现内网和外网的隔离，VALN技术用于财务、教学等部门数据隔离。制定周期性的独立审计，阅读审计日志，响应突发事件，阅读最新的文献和代理警告，不断测试和培训，以及更新安全性计划和策略维护安全性。5.3网络管理确定网络管理的目标，即用户对性能管理、故障管理、配置管理、安全管理、记账管理等方面的需求及实现的可能性。确定网络管理结构，包括：网络管理设备，即收集和存储管理信息的网络节点，可以是路由器、服务器、交换机、网桥、集线器等；网管

25、代理，即驻留在管 理设备上的网络管理软件；网络管理系统是一个具有高级图形、内存、外存和处 理能力的功能强大的工作站，它运行的网管软件，显示管理数据，监控和控制管 理设备，并与网络代理通信，确定网络管理工具和协议。六、个人体会 经过一个礼拜的课程设计，使现在对网路这么学科有了进一步的认识和了解要想学好它更要重载实践，要通过它不断的积累自己的知识，才能更好的去设计，在次之前我发现了自己的好多不足之处，一些设备的不够熟悉，对划分IP地址中出现的错误也不了解，通过这一礼拜的课程设计，是我在这几个方面认识有所提高，通过对这门课程的设计的学习，让我对网络有更一步的了解，让我有更好的心态去更深的认识它，学习它。参考文献1.计算机网络 作者：谢希仁2李洪 林殿魁 等 电信级IP信息网络的构建 北京 人民邮电出版社 2002年3. Michael Salvagno 任峥 丁青 等译 Cisco网络设计手册 北京:电子工业出版社 2000