畢業(yè)設計（論文）-校園網組網設計

1、 本 科 畢 業(yè) 設 計 第 42 頁 共 42 頁1 引言當今社會已步入信息社會，信息成為社會經濟發(fā)展的核心因素，信息化已成為當今世界潮流。半導體集成電路、計算機、光纖、衛(wèi)星、多媒體等電子信息科技發(fā)展迅猛，并迅速廣泛應用于社會各領域，產生和激發(fā)出新的生產力，正引起社會經濟乃至人們工作、生活方式的深刻變革。自從1993 年美國政府公布實施“信息高速公路計劃”之后，在世界引起巨大反響，許多發(fā)達國家和一些發(fā)展中國家也相繼提出了本國或本地區(qū)的信息基礎設施計劃?？梢哉f，信息化程度已成為衡量一個國家現代化水平和綜合國力強弱的重要標志。隨著internet的誕生,校園網的建設越來越受到各大校園的重視。校園

2、網絡的建設在全國各大校園中掀起一股熱潮，許多學校都建起了自己的校園網，形成了一個覆蓋全國的計算機網并通過專線與internet 連通。這一方面加強了學校與國內外的聯(lián)系，有利于及時了解國內的信息，有助于提高學校的科研教學水平；另一方面，校園網的建立及以其為基礎的管理信息系統(tǒng)的開發(fā)，也有利于各學校管理水平的提高。建設校園網對每個學校來說都不是一件容易的事情，校園網不只是涉及技術方面，而是包括網絡設施、應用平臺、信息資源、專業(yè)應用、人員素質等眾多成份的綜合化、信息化教學管理環(huán)境系統(tǒng)。因此每個校園網的設計、建設都要經過周密的論證、謹慎的決策和緊張的施工。校園網絡建設是學校教育建設必不可少的重要部分。1

3、本課題設計依照最新的校園網組網設計原則設計出一套適用、可行的網絡建設方案，解決了網絡技術選型、網絡設備選擇以及網絡設備的配置等關鍵問題。對進一步完善校園網做出了比較可行的規(guī)劃與設計。此課題設計以千兆網絡為主干，提供對所有基于網絡的應用系統(tǒng)的支持，提供安全的互聯(lián)網接入。建成一個具有高可靠性和開放性的校園網絡，提供校園內部及面向全球的 www 服務、ftp 服務、news 服務、e-mail 電子郵件服務，實現與國際互聯(lián)網的完全接軌。2 需求分析2.1 校園網功能（1）連接所有教學樓、圖書館、教師辦公樓和學生宿舍中的計算機。（2）提供豐富的網絡服務，實現廣泛的軟件、硬件資源共享，如網上沖浪、電子郵

4、件、文件傳輸、遠程登錄、存儲數據及論壇討論等。 校園網對主機系統(tǒng)有如下要求：（1）主機系統(tǒng)應采用國際上較新的主流技術，并具有良好的向后擴展能力。（2）主機系統(tǒng)應具有高的可靠性，能長時間連續(xù)工作，并有容錯措施。（3）支持通用大型數據庫，如：sql、oracle 等。（4）具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議。（5）能與 internet 互聯(lián)，可提供互聯(lián)網的應用，如：www 瀏覽服務、ftp 文件傳輸服務、e-mail 電子郵件服務等服務。（6）支持snmp 網絡管理協(xié)議，具有良好的可管理性和可維護性。22.2 網絡設計原則采用先進成熟的技術和設計思想，運用先進的集成技術路線，以

5、先進、實用、開放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實用性，盡快投入使用，發(fā)揮較好的效能。本課題在軟件配置和硬件設備，以及整個設計上依照以下原則確定。 2.2.1 先進性世界上計算機技術的發(fā)展十分迅速，更新?lián)Q代周期越來越短。所以，選購設備要充分注意先進性，選擇硬件要預測到未來發(fā)展方向，選擇軟件要考慮開放性，工具性和軟件集成優(yōu)勢。網絡設計要考慮通信發(fā)展要求，因此，主要、關鍵設備以主流設備為主，但國內能滿足要求的，盡量采用國產設備。 2.2.2 實用性課題的設計既要在相當長的時間內保證其先進性，還應本著實用的原則，在實用的基礎上追求先進性，使系統(tǒng)便于聯(lián)網，實現信息資源共享。易于維護管理

6、，具有廣泛兼容性，同時為適應我國實際情況，設備應具有使用靈活、操作方便的漢字、圖形處理功能。2.2.3 安全性目前，計算機網絡都與外部網絡互連互通日益增加，都直接或間接與國際互連網連接。因此，在系統(tǒng)方案設計需考慮到系統(tǒng)的可靠性、信息安全性和保密性的要求。2.2.3 以擴充性系統(tǒng)規(guī)模及檔次要易于擴展，可以方便地進行設備擴充和適應工程的變化，以及靈活地進行軟件版本的更新和升級，保護用戶的投資。2.2.4 靈活性采用結構化、模塊化的設計形式，滿足系統(tǒng)及用戶各種不同的應用要求，適應學校業(yè)務調整變化。 2.2.5 綜合性滿足課題目標與功能目標，總體課題設計合理，滿足用戶的應用要求，便于系統(tǒng)維護，以及系統(tǒng)

7、二次開發(fā)與移植。 根據已制定的網絡設計原則，我們所選擇的網絡設備必須具有以下一些特定。2.2.6 安全、穩(wěn)定、可靠作為整個校園網絡系統(tǒng)的硬件基礎，網絡設備必須是具備安全性、穩(wěn)定性和可靠性的特點。這是網絡系統(tǒng)穩(wěn)定運行的最基本條件。最好是經過相當長時間，在世界范圍內被廣泛應用的網絡產品，所以在選擇產品時選用國際知名廠商的產品。2.2.7 技術先進性網絡設備僅僅具有安全、穩(wěn)定和可靠的特點是不夠的。作為高科技的產品，還應該具有技術先進性。在選擇網絡設備應該采用當今較先進的技術，能夠保持該設備在相當長的一段時間內不會因為技術落后而被淘汰。同時，在網絡規(guī)模進一步擴大，該設備不能承擔繁重的負荷時，能夠降級使

8、用。2.2.8 易于擴展性由于信息技術和人們對于新技術的需求發(fā)展都非常迅速，為了避免不必要的重復投資，應選擇具有一定擴展能力的設備，能夠保證在網絡規(guī)模逐漸擴大的時候，不需要增加的設備，而只需要增加一定數量的模塊就行。2.2.9 管理和維護方便先進的設備必須配合先進的管理和維護的方法，才能夠發(fā)揮最大的作用。所以，在選擇設備時必須支持現有的、常用的網絡管理協(xié)議和多種網絡管理軟件，便于管理人員的維護。2.2.10 校園網系統(tǒng)設計方案應滿足的要求（1）網絡方案應采用成熟的技術，并盡可能采用先進的技術。（2）采用國際統(tǒng)一標準，以擁有廣泛的支持廠商，最大限度的采用同一廠家的產品。（3）方案應合理分配帶寬，

9、使用戶不受失望“塞車”的影響。（4）應充分考慮未來可能的應用，如：桌面將承受大型應用軟件和多媒體傳輸需求的壓力。（5）該網絡方案要具有高擴展性。能為用戶未來數目的擴展具有調整、擴充的手段和方法。（6）該網絡應是面向連接的，能夠實現虛擬網絡（vlan）連接。（7）考慮對用戶現有網絡的平滑過渡，使學?，F有陳舊設備盡量保持較好的利用價值。32.3 建設校園網的目標現今的網絡系統(tǒng)包括網絡交換機以及疊加其上的語音、數據、視頻裝置以及可變化的軟，硬件應用。它的開放式設計意味著更好的整體化及高品質應用的能力。提供的帶寬可適合話音，圖像，數據的傳輸，這種帶寬結合設備廠商優(yōu)秀網管模式，可以向用戶提供面對面的通訊

10、。2.3.1 在建設校園網時，要達到以下目標 (1) 在校園內部實現資源高度共享，為教學、科研、管理提供服務，為計劃、組織、管理與決策提供基礎信息和科學手段。(2) 支持教育教學改革，提高教育技術的現代水平和教育信息化程度、為學校教師的備課、課件制作、教學演示提供網絡環(huán)境。(3) 通過互聯(lián)網、錄像機、掃描儀、數碼相機等各種渠道獲得多媒體資料，實現素材收集、電子備課功能。培養(yǎng)創(chuàng)新人才，提高學生收集處理信息的能力、獲取新知識的能力、分析和解決問題的能力、語言文字表達能力以及團結協(xié)作和社會活動的能力，使學生能自主學習、協(xié)商學習、發(fā)現探究式學習以及自我評價，為學生的全面發(fā)展創(chuàng)造相應的條件。(4) 實現

11、辦公自動化，提供與上級教育部門、社會、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學信息查詢等服務，提高工作效率和管理水平。(5) 及時、可靠地收集、處理、存儲、傳輸學校的教育教學信息完成與因特網的通訊和資源共享，實現社會教育、學校教育、家庭教育的有機整合。(6) 實現課堂多媒體電化教學，具備適用于雙向課堂語音教學及語音室功能學習。以代替手提錄音機，實現音頻數字化資源共享、集中管理。電教綜合平臺實現多媒體電教設備及室內電器設備電動一體化控制。校園網的建設能促進教師和學生盡快提高應用信息技術的水平，學生提供了一個實踐的環(huán)境，為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫。4本次方案

12、設計對計算機網絡的應用主要是多媒體教學，通過計算機網絡這種先進的技術手段，實施多媒體、交互式、內容豐富、形象生動的教學，以培養(yǎng)出能適應社會需求的具有專業(yè)技能的人才。根據這一實際應用情況，我們分析在網絡上傳輸的信息是音頻、視頻、數據相結合的信號，這樣對網絡的帶寬需求就較高，因此，必須對網絡帶寬和網絡的使用性能進行分析，以保證網絡滿足用戶應用的需求。（1）高性能：所有網絡設備都應有足夠的吞吐量。（2）高可靠性和高可用性：應考慮多種容錯技術。（3）可管理性：所有網絡設備均可用適當的網管軟件進行監(jiān)控、管理和設置。（4）采用國際統(tǒng)一的標準。2.3.2 系統(tǒng)集成所共同遵循的設計原則（1）本著實用的原則，盡

13、量使用成熟先進的平臺軟件，以縮短教學課件的開發(fā)周期。（2）采用分布式的結構，以便于開發(fā)和維護。（3）采用集群解決方案，以保證連續(xù)工作。（4）為保證網絡速度而采用高的帶寬。（5）追求最高的性能價格比。 2.3.3 系統(tǒng)集成多共同追求的設計目標（1）建成一個具有高可靠性和開放性的校園網絡，它應支持流行的 snmp 等網絡管理協(xié)議。（2）采用 internet 上的標準協(xié)議tcp/ip 協(xié)議，提供校園內部及面向全球的 www 服務、ftp 服務、news 服務、e-mail 電子郵件服務，實現與國際互聯(lián)網的完全接軌。（3）同時它還應具有支持通用大型數據庫的功能，支持多種協(xié)議，具有良好的軟件支持。（4

14、）采用模塊化結構設計，容易升級。（5）最后，應針對學校的教學特點，具有一些基本教學功能，以完成學校校園網的規(guī)劃與設計的基本教學任務。53 網絡設計方案3.1 學校概況本次設計方案的校園建有現代化教學大樓、辦公大樓、圖書館以及舒適的學生公寓樓。教學樓擁有可滿足教學需要的設備先進的實驗室，另有電教室、語音室及各種音像和多媒體教室、局域網絡系統(tǒng)和調頻廣播設施。圖書館電子閱覽室通過網絡系統(tǒng)可實現資源共享。學校網絡應用主要是集中式管理，文件服務器等各種服務器主要集中于中心機房，各子網分別通過各自網關訪問中心機房的服務器群，通過中心路由器與外界連接。校園的網絡中心位于教學樓中，通過中心交換機與 inter

15、net 相連，圖書館、教學樓、各系辦公樓、學生宿舍通過光纖與中心機房連接。3.2 校園網拓撲結構的總體描述本校園的網絡拓撲結構如圖3.1所示：圖3.1 校園網絡拓撲結構根據學校實際需求，網絡為星形拓樸結構，并分為核心層和接入層，中心機房計算機控制中心，并采用兩臺cisco catalyst 6500 作為核心交換機，并進行線路捆綁，也就是它將多個快速以太口或者多個千兆以太口捆綁在一起，當作一條通道來使用，這條通道的帶寬是所捆綁的以太口的帶寬的總和。這種技術通常用在主干網中，既有效地提高了主干的帶寬，最高可達到 32gbps，還提供了鏈路的冗余，同時又增強了主干網段的連接性，還增加了更多的100

16、0m 交換端口，為以后增加更多的服務設備提供了良好的擴充性。通過1000m 光纖線路上聯(lián)至核心交換機cisco catalyst 6500，并通過10/100m 自適應接口接入各教學樓內終端計算機，保證了網絡的整體速度和安全性。在教學大樓同樣采用了可堆疊千兆接口交換機cisco 2950-24 與學校計算機控制中心的核心交換機cisco catalyst 6500 相連接，保證了大流量的訪問，而避免造成網絡的擁塞，控制中心內的服務器群如： 文件服務器、代理服務器、數據庫服務器等設備直接與1000m 核心交換機上的100m 以太網模塊接口相連接。在互聯(lián)網方面通過ddn 線路與internet 連

17、接。出口采用cisco 3600 路由器與外網相連，在路由內部采用cisco secure pix 525 防火墻，這樣保證了網絡的安全性，也能很好的阻止網絡的服務攻擊。3.3 網絡技術選型設計校園網絡系統(tǒng)基本可分為校園網絡中心、教學子網、辦公子網、圖書館子網、宿舍子網。3.3.1 校園網絡中心的設計網絡中心設計主要包括主干網絡的設計、校園網與 internet 的互連、遠程訪問服務等。(1) 主干網絡的設計：主干網絡采用聯(lián)想新推出的ls5608g 智能型8 口機箱式千兆以太網交換機作為校園網的中心交換機，它提供8 個插槽，可選插8 口的 10/100basetx、2 口的100basefx

18、或1 口的千兆以太網模塊。適用于大型主干網絡和高速率、高端口密度、多端口類型的復雜網絡。同時可以選擇 ms5103 1 口千兆位以太網模塊(sx/mm/850nm,0350m)或 ms5104 1 口千兆以太網模塊(lx/sm/1310nm,0 6km)與下面的各個子網通過千兆位的鏈路相連。(2) 校園網與internet 的互連：采用局域網專線接入方式，此方式需要配備路由器等設備，租用專線 ddn 或幀中繼（frame relay），也可申請isdn 專線并向cernet 管理部門申請ip 地址及注冊域名，以專線方式連入internet，并提供防火墻、計費管理等功能。本方案選用聯(lián)想的lr25

19、01 路由器，具有1 個局域網(lan)口，2 個廣域網(wan) 口和1 個控制臺。支持幀中繼(framerelay)、x.25、ppp、hdlc 協(xié)議。(3) 遠程訪問服務：采用聯(lián)想 la220 和 la240 訪問服務器，安裝在本地局域網中，通過 1 至4 個調制解調器(或isd ta)和1 至 4 根電話線，即可為遠程訪問人員提供撥號上網服務，遠程用戶只需擁有 1 個調制解調器和 1 根電話線，通過撥接 la 220 或la240 上所連接的電話號碼，就可以登錄訪問。其網絡拓撲結構圖如圖3.2所示： 圖3.2 校園網中心拓撲結構3.3.2 教學子網的設計校園網建網的目的之一，是利用網絡

20、實現多媒體教學，如：交互式多媒體課堂、電子閱覽室、教師培訓等。多媒體教學的難點在于實現視頻信號的傳送(如 vod 視頻點播)。目前在局域網上實時傳送高質量的視頻數據還未成熟，但傳送壓縮后的視頻數據卻是可行的。根據教學子網對速度要求較高的特點，我們采用了聯(lián)想 ls5625 智能型 241 口 10/100m 自適應以太網交換機，它提供 24 個 10/100m 交換式端口和一個擴展插槽，可選插 1 個 8 口的 10/100 basetx、1 個2 口的100basefx 或1個1口的千兆以太網模塊。但實際上大量用戶(指超過60 個流)的視頻傳輸的瓶頸在于存儲介質的外部傳輸速率，因此可選用多通道

21、的磁盤陣列接多臺主機的方式提高訪問的總線帶寬。在教學子網的軟件方面，可選用的種類較多，如：聯(lián)想傳奇(parasago)、電子教室、海航的電子閱覽室、中教的課件制作系統(tǒng)等。 其網絡拓撲結構圖如圖3.3所示:圖3.3 教學子網拓撲結構3.3.3 辦公子網的設計辦公子網主要面向學校的各級領導及各職能部門，能夠實現對網絡數據的查詢、修改、添加、刪除等操作，同時，應該能夠滿足支持視頻傳送的要求。其網絡拓撲結構圖如圖3.4所示: 圖3.4 辦公子網拓撲結構3.3.4 圖書館子網的設計圖書館是一個相對獨立的系統(tǒng)，我們采用聯(lián)想ls3016 16 口10/100m 自適應以太網交換機，它提供了優(yōu)良的每端口性能價

22、格比，并支持基于端口的 vlan 劃分。其網絡拓撲結構圖如圖3.5所示:圖3.5 圖書館子網拓撲結構3.3.5 宿舍區(qū)子網設計宿舍區(qū)子網即在學生宿舍內部連網，用以直接瀏覽學校發(fā)布的信息及查閱一些電子文檔資料。 其網絡拓撲結構圖如圖3.6所示：圖3.6 宿舍區(qū)子網拓撲結構3.4 校園網采用的協(xié)議標準本方案校園網以tcp/ip 為主要協(xié)議，因為tcp/ip 協(xié)議是目前眾多計算機網絡最流行的協(xié)議，可保證與chinanet 和internet 保持一致，還支持ipx 協(xié)議，真正實現于國際互聯(lián)網的無縫連接。下面介紹tcp/ip中的幾個配置參數：3.4.1 ip地址對校園網ip 地址分配建議采用如下規(guī)劃原

23、則：（1）網絡系統(tǒng)的編址方案利用cidr 和可變長子網掩碼技術,并支持ipv6；（2）在整個網絡環(huán)境中必須保持ip 地址的唯一性；（3）為提高路由處理效率,實現理想的路由匯總，縮減路由表項數，盡量為同一網絡分配連續(xù)地址；（4）地址分配具有層次性,便于管理,局部的變動不影響網絡的其他部分；（5）為了滿足不斷增長的 ip 地址需求，并實現與其他網絡互聯(lián)和內部子網互聯(lián)的有效控制和管理，建議校園網采用內部保留地址,給將來的網絡發(fā)展留下充分的余地；（6）采用 dhcp-relay 協(xié)議獲得用戶的 ip 地址，辦公區(qū)子網.教師區(qū)子網采用vlan 接入方式，學生區(qū)子網采用pppos 接入方式，用戶全部由動態(tài)

24、地址分配獲得地址。大小為 1/2 個 c 類地址塊,其中將對學校的 web、ftp 等服務器分配靜態(tài) ip 地址。pppos 接入方式需單獨定義域和分配地址段，針對教師宿舍和學生宿舍的特點，分配多個不同的地址段,每段大小為1/4 個c 類地址塊。63.4.2 子網掩碼為了快速確定ip地址的哪部分代表網絡id，哪部分代表主機id，以及判斷兩個ip地址是否屬于同一網段，產生了子網掩碼的概念。子網掩碼是一個32位地址，主要用于確定ip地址中的網絡id和主機id，并且可將一個大的網絡劃分為若干個小的子網。（1）區(qū)分ip地址中的網絡id和主機id，子網掩碼中為1的部分對應著網絡id，為0的部分對應著主機

25、id。例如，ip地址為21，由于其屬于c類地址，對應子網掩碼為,表示成二進制為11111111.1111111.11111111.00000000,因此可以看出網絡id為210.168.0,主機id為121。這表明該主機是網絡id為210.168.0的網絡中的第121臺主機。（2）為了提高ip地址的使用效率，可以通過人工設定子網掩碼的方式將一個網絡劃分成多個子網。劃分采用借位的方式：從主機id部分的最高位開始借位，所借的位與原來的網絡id構成新的網絡id，借的位也被稱為子網id，主機id剩余部分仍作為主機id。例如：對于c類網絡210.168.0

26、，通常情況下其所對應的子網掩碼因該是，此時所有的主機位于同一網段內。但是為了將該網絡劃分為4個不同的子網，可以將子網掩碼設置為24，即借用了主機id的最高3位最為子網id。3位二進制數共有000、001、010、011、100、101、110、111八種組合，出去代表本身的000和代表廣播的111以外，還有六種組合，也就是說可以提供6個子網。3.4.3 網關網關就是一個網絡連接到另外一個網絡的“關口”。在windows操作系統(tǒng)里網關主要指的是一臺連接外部網絡的服務器或者路由器的一個端口，即ip路由器。比如有網絡a和網絡b，網絡a的ip地址范圍

27、為“-54”，子網掩碼為；網絡b的ip地址范圍為“-54”，從子網掩碼可以判定兩個網絡中的主機處在不同的網絡里。在沒有路由器的情況下，這兩個網絡之間是不能進行tcp/ip通信的，即使兩個網絡連接在同一臺交換機上。而要實現這兩個網絡之間的通信，則必須通過網關。如果網絡a中主機發(fā)現數據包的目的主機不在本地網絡中，就把數據包轉發(fā)給它自己的網關，再由網關轉發(fā)給網絡b的網關，網絡b的網關再轉發(fā)給網絡b的某個主機。3.5 校園網采用的網絡操作系統(tǒng)本方案校園網的網絡操作系統(tǒng)以microsoft

28、windows nt server 4.0 為主，它是集成web 應用而發(fā)展速度最快的網絡操作系統(tǒng)。具有界面友好、穩(wěn)定可靠等優(yōu)點，并支持大量的基于nt的服務器端軟件，是internet 網絡中最佳的網絡操作系統(tǒng)平臺。其主要功能表現在以下幾個方面：（1）域控制器。管理網絡服務器及工作站是一件非常艱辛的工作，每個服務器都必須要管理每個用戶的賬號及權限。如果網絡上有多個服務器的話，網絡管理員的負擔就更重。利用域，既可以對賬號做統(tǒng)一管理，又可以方便的在網絡上共享文件及網絡打印服務。（2）文件及打印共享。windows nt能夠共享文件和打印機，還可以為其設置不同的權限。為滿足高速網絡的需要，通過改善文

29、件系統(tǒng)使高速以太網達到100mbit/s的速度。（3）應用服務器。在windows nt上可以安裝sql server資源庫以及exchange server郵局系統(tǒng)，提供多種應用程序平臺。（4）遠程訪問服務器。可在windows nt server上直接安裝遠程訪問服務器，允許遠程計算機連入該網絡存取共享資源，并允許連接多路調制解調器通道和連接isdn專線，提高傳輸速度。（5）dhcp服務器。windows nt的dhcp服務器提供動態(tài)管理ip地址的能力，網絡上的計算機不必設置固定的ip地址，只是在需要時才由dhcp動態(tài)分配，使用完以后再對還給dhcp服務器。（6）dns服務器。window

30、s nt提供了內置的dns圖形管理工具，可以直接啟動dns以wins聯(lián)合，使得名稱對照表可相互更新，從而使dns管理更方便。（7）internet信息服務器。microsoft公司將iis網絡服務器內置于windows nt中，用戶可以輕松地安裝和管理自己的互聯(lián)網絡服務器。3.6 網絡實現方法對于建立一個可擴展的、高速的、充分冗余的、基于標準的網絡，并且能夠支持融合話音、視頻、圖像和數據的應用程序，應對訪問層交換機進行配置，對分布層交換機進行配置，對核心層交換機進行配置，對廣域網接入路由器進行配置，對遠程訪問服務器進行配置，對整個校園網系統(tǒng)進行診斷。為了簡化交換網絡設計、提高交換網絡的可擴展性

31、，在園區(qū)網內部數據交換的部署是分層進行的。園區(qū)網數據交換設備可以劃分為三個層次：訪問層、分布層、核心層。訪問層為所有的終端用戶提供一個接入點；分布層除了負責將訪問層交換機進行匯集外，還為整個交換網絡提供vlan間的路由選擇功能；核心層將各分布層交換機互連起來進行穿越園區(qū)網骨干的高速數據交換。在本工程案例設計中，也將采用這三層進行分開設計、配置。遠程訪問技術：遠程訪問也是園區(qū)網絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。在本工程案例設計中，分別采用專線連接（到因特網）和電路交換（到校園網）兩種方式實現遠程訪問需求。73.7 可靠性、安全性設計本方案在網絡可靠性設計

32、中，核心層設備之間采用1000兆光纖連接，采用鏈路聚合技術，允許每條冗余連接鏈路實現浮在分擔，設置熱備份路由協(xié)議（hsrp）來保證核心交換機冗余，在網絡出現問題時，能迅速啟動備用路徑。采用cisco vlan priority技術實現多練路之間的負載均衡，針對不同出口鏈路，將局域網內多個vlan分別設置不同優(yōu)先級實現出口流量的負載均衡。使用帶有冗余電源cisco交換機作為核心層和分布層的設備，在電源失靈的情況下，提供電源的冗余。服務器冗余：采用全冗余的服務器方式和服務器的硬盤進行鏡像相結合，數據在兩個或多個服務器上進行復制和自己硬盤進行復制相結合。在網絡安全中，主要考慮內網與外網和鏈接，采用c

33、isco secure pix525防火墻和cisco3600路由器。作為全網安全核心cisco secure pix525防火墻不但具有防火墻功能而且還具有ip（ipsec）虛擬專用網（vpn）能力，可以在兩個pix.、一個pix和任意cisco vpn路由器、一個pix和cisco安全vpn客戶機之間創(chuàng)建和端接vpn隧道。服務器對外部訪問者指提供有限的訪問，它有外部訪問的重要的數據（比如說網頁），不過這些數據在堅固的保護之下，外部訪問者只能訪問這些服務，提供的服務包括：匿名ftp服務，web服務，dns,telnet,終端訪問控制器訪問控制系統(tǒng)。83.8 動態(tài)路由協(xié)議本方案設計采用cisc

34、o三層交換設備，建議采用ospf的等值路由平衡技術來保障匯聚層和核心層設備之間數據的可靠傳送，為兩層之間數據流量提供合理、安全的負載均衡機制，以提高網絡性能。虛擬子網的劃分：根據校園地理環(huán)境、管理要求我們采用劃分虛擬子網（vlan），保證校園網絡的安全性，vlan之間的訪問必須通過三層功能來實現。cisco交換機支持vlan的多種劃分，目前vlan劃分主要方式有基于端口的vlan劃分、基于mac地址的vlan劃分、基于網絡層的vlan劃分等方式以及這三種方式的混合使用。方式一是根據用戶接入的交換機端口來劃分其所屬的vlan，這種方式的優(yōu)點是配置簡單方便，但用戶移動時需要換其接入端口，管理員需對

35、交換機進行重新配置；第二種方式是根據計算機的mac地址來劃分，其特點是不必重新對交換機進行配置，但需在交換機上創(chuàng)建并維護一個較大的用戶mac地址列表；第三種方式通常利用ip子網以及ip地址來劃分vlan，其優(yōu)點是配置簡單，但安全性較差。本方案設備從核心層交換機cisco catalyst 6500、接入層交換機cisco catalyst2950-24，到接入層交換機設備支持ieee802.1q標準，保證了該項技術的順利實施。這樣，通過在接入層交換機為用戶配置不同的vlan,進行端口隔離，所有的用戶端口只能通過接入層交換機或核心交換機來實現互連。在核心層交換機通過訪問控制列表進行相應的控制，使

36、得用戶的訪問得到完全的控制。3.9 網絡的冗余設計采用冗余配置的單機或多臺設備互為熱備。當然最好的方式是多臺設備互為熱備。但是這種方案一般情況下比較昂貴。3.9.1 網絡鏈路的冗余設計往往鏈路的冗余設計是最易被實現和被用戶接受的冗余方式。只要原因是這種冗余設計構思簡單而且便宜。鏈路的冗余實現可以通過多種方式，目前比較流行的是鏈路聚合技術（802.3ad）和生成樹技術（802.1d）。這兩種技術可用于不同的環(huán)境和需求，也各有優(yōu)勢。當然鏈路聚合技術可與生成樹技術配合使用。鏈路聚合技術針對點對點的應用，常用在核心多機熱備和二級交換機與核心的單機連接。生成樹技術常用于二級交換機與核心交換機連接的鏈路上

37、。鏈路聚合技術提供了寬展帶寬、鏈路熱備、均衡負載和快速切換（一般小于4秒）的特征。生成樹技術是一個純備份的技術，在應用的時候有一條或多條鏈路處在阻塞（blocking）狀態(tài)，只有在主鏈路斷掉之后，備份鏈路才會啟動。這個過程大概需要45秒鐘（收斂時間）。鏈路聚合技術相對投資較大（端口、路線），但是可靠性好。生成樹協(xié)議早就成為工業(yè)標準，兼容性非常好，而且比較便宜，但是浪費鏈路帶寬。很多廠商也開發(fā)了代替生成樹協(xié)議的廠商標準，只要是減少收斂時間。目前ieee802.1w被成為第二代生成樹技術，可以代替?zhèn)鹘y(tǒng)的802.1d。802.1w將收斂時間縮短為4秒之內。93.9.2 服務器的冗余設計服務器的冗余設

38、計包括了很對方面：鏈路、硬件和軟件等。鏈路的冗余可采用雙網卡方式或在單片機多口網卡上使用鏈路聚合技術;硬件的冗余可以采用雙服務器熱備的方法；軟件的冗余可以采用雙服務器軟件鏡像的方法。冗余設計是網絡設計的重要部分，是保證網絡整體可靠性能的重要手段。但是投資也將增加。當然，3個層次的設計可以貫穿于整個網絡，每個冗余設計都有針對性。我們也可以選擇其中一部分或幾部分應用到網絡中以針對重要的采用。匯聚層在這里考慮了兩種情況：（1）對于突發(fā)流量大、控制要求高、需要對qos有良好支持的應用（多媒體流-語音、視頻和數據的融合應用，比如多媒體教室和教學），選擇高性能但是性價比高的dcrs-6512多層交換機；（

39、2）對于沒有特殊需求（多媒體傳輸、安全、控制等）的子網，一般情況校園網使用性能中等的二層交換機設備。接入層針對不同的接入密度可采用dcs-3726s 24 口可堆疊交換機或dcs-3750 48 口交換機。通常多媒體教室人數都在50人左右，采用神州數碼為教育城域網“客制化”的dcs-1064，dcs-1064可以提供64個10/100m以太網接口，完全適應校園網多媒體教師的需求。如果接入點數量在24口以下，如學生宿舍樓等，也可以選擇24口獨立交換機dcs-3526，這三款交換機均可支持百兆光纖和千兆上聯(lián)，dcs-3726s還可實現堆疊組內跨交換機的千兆聚合，能夠有效提高上聯(lián)鏈路的帶寬和可靠性，

40、消除網絡瓶頸，達到真正的無阻賽的千兆骨干和百兆交換的桌面。教師端配置多媒體教學終端，完成vod/aod、課件點播、只能教學廣播、數字監(jiān)控、網絡中控等多媒體教學功能。在主控室配置相應的硬件和軟件完成全網的應用功能及管理。4 ip地址規(guī)劃4.1 校園網ip地址intranet是internet技術在企業(yè)內部或閉合用戶群內的實現。它的基本通信協(xié)議是tcp /ip協(xié)議,其中tcp使得內部網上的數據有序、可靠地傳輸,ip使內部網中的各個子網互聯(lián)起來。網絡的建設關鍵在于ip地址的規(guī)劃，ip地址規(guī)劃應具有一定的開放性和可擴展性。在以tcp/ip為基本通信協(xié)議的計算機網中每一臺設備都是以ip地址標識網絡位置的

41、,因此在組建網絡之前,要為網上的所有設備包括服務器、客戶機、打印服務器等分配一個唯一的ip地址?？紤]到整個網絡今后的擴展、維護等問題,內部網的ip地址不僅應符合流行的國際標準,還應有規(guī)律、易記憶,能反映自己整個網絡的特點。由于不同單位的計算機網絡有各自不同的特點,ip地址的規(guī)劃也需要考慮不同的因素。 本方案設計校園網是由位于不同位置的多個子網組成。在進行這個局域網的ip地址規(guī)劃時, 主要考慮了以下幾個方面: 確定廣域網ip地址的類型， ip地址由32位二進制數碼組成,8位為一組,分為4組,中間用.隔開。每個ip地址有兩部分,即網絡標識和主機標識,這兩種標識長度的不同,使ip地址分為五類,常用的

42、有a、b、c三類，相應地址范圍為: a類1.x.x.x126.x.x.x b類122.x.x.x191.x.x.x c類:192.x.x.x223.x.x.x d類:目前為實驗性多點投射(multicast)位址e類:保留作為未來發(fā)展之用其中x表示0255之間的任意數。 不難看出,a類ip表示少數網絡上有眾多主機,b類ip表示網絡和主機分布適中,c類ip表示很多網絡上有少量主機。在選擇計算機網絡的ip地址類型時,應根據計算機網絡中的子網數量及每個子網的規(guī)模進行選擇。鄭州信息科技職業(yè)學院校園網選用c類,足已滿足整個網絡的需要（c類地址最大可有532,676,608個ip地址）。我們把前三段標識不

43、同的網絡,第四段標識一個網絡中的不同主機。為使ip地址反映校園網的特點,我們給其中的每一段都賦予了實際意義。第一段用來表示校園網,取192；第二段區(qū)分不同地理位置的子網,本校取10開始,校外其他地方由100開始,其他省份由表200開始，如此類推，這樣當校園網進行擴展,有新的子網加入時,其ip地址的規(guī)劃非常容易實現。 計算機網絡中所有設備的子網掩碼均選用c類缺省值 ,不再另外用掩碼劃分子網。 4.2 路由器到交換機各端口的ip地址本方案校園網,它以每個不同地方計算機網絡為不同子網，整個網的中心節(jié)點為cisco catalyst 6500交換機,它支持最新一代可堆疊交換技

44、術，同一堆棧中的交換機可作為一個實體進行運行和管理，它提供多個交換口,網絡中的服務器、客戶機都直接或間接地連接到這些端口。每個子網中，路由器到交換機各端口起到網關的作用，為了讓網關ip地址有規(guī)律，路由器到以太網端口ip地址的主機標識都取1。 4.3 ethernet端口ip地址 客戶機通過交換機分別接在交換機多個ethernet端口上，每一個交換機上的客戶機獨占100m 帶寬。哪些客戶機使用100m帶寬，應根據內部網的具體應用來決定。假如客戶機沒有特殊的帶寬要求，可按客戶機所屬的位置或所在的建筑分配帶寬。由于校園的特殊性，客戶機較均勻地分布在各樓內，取后一種方式，把同一樓內的客戶機接在一個交換

45、機上。ethernet端口ip地址的第三段取客戶機分布的建筑代號，則主干交換器的 ethernet端口的ip地址的子網號分別設為，二級交換機ethernet端口的ip地址分別為4，4。 4.4 服務器ip地址服務器可以接在主干網上,獨占或共享100m帶寬,也可以接在交換器的internet端口上,獨占100m帶寬。具體接在哪個端口,占用多大帶寬,是由該服務器在內部網中所承擔的任務決定的。但不管接在哪個端口上,服務器都是與所接的交換器端口處于同一網絡,即服務器ip地址的網絡標識

46、與所接端口的網絡標識是相同的,因此服務器ip地址的規(guī)劃只需對主機標識規(guī)劃就可以了。本方案校園網中服務器的類型對主機標識做了不同規(guī)劃,數據庫服務器的主機標識為20,web服務器為30,郵件服務器為40,打印服務器為50。如甲地接在ethernet端口上的數據庫服務器,ip地址為0;接在第一、二個ethernet端口的郵件服務器、打印服務器,ip地址分別為0、0。 4.5 客戶機ip地址客戶機與所接的交換器的端口處于同一網絡,其ip地址的規(guī)劃也只需對其主機標識進行規(guī)劃即可。在具體規(guī)劃時,應盡量考慮使主機標識體現內部網中客戶機的某些特征。本

47、例取后一種方式,主機標識直接引用其所在的房間號,因為大多數客戶機與房間號具有一一對應關系。如某宿舍樓客戶機位于3樓的319,其ip地址設為9。選用這種方式,有兩點需要注意一是當房間號大于255時,主機標識不能直接引用,應再考慮其他對應關系。二是客戶機的ip地址不具有連續(xù)性,因為有些房間可能無客戶機,而另一些房間可能有不只一臺客戶機,為方便今后新的客戶機ip地址的分配,應做好現有客戶機ip地址的整理記錄工作。 另外,如果校園網要與互聯(lián)網internet相連, 在規(guī)劃內部網ip地址之前,應到有關部門辦理申請internet網的ip地址。由于internet上的ip地址比較緊張,

48、申請到的ip地址可能不夠分配校園網的每一個設備,這時仍需對廣域網的ip地址進行規(guī)劃。所以校園網與internet的連接,可通過代理服務器使本地廣域網與internet連接，避免受internet網的ip地址不夠分配影響本地廣域網ip地址的規(guī)劃。5 校園網vlan的設計隨著校園網規(guī)模的不斷擴大，用戶不斷增加，網絡應用也不斷增長，網絡變得越來越擁擠，沖突不斷產生，管理難度日益加大。為了有效地提高網絡管理的靈活性，提高網絡效率和網絡安全性，一個合理的vlan規(guī)劃給網絡的管理更加有效。校園網目前的電腦數目已經上千臺了。如果把這個龐大的網絡作為一個vlan，那么校園網的網絡性能和安全性就會大大的降低，而

49、且能產生網絡風暴使網絡癱瘓。因此，應對這個龐大的校園網進行vlan的規(guī)劃，把它劃分為若干個虛擬子網，這樣可以提高校園網的網絡性能和安全性，防止網絡風暴。5.1 vlan的配置為了使校園網的管理更加完善，校園網的安全性更強，則必須要對校園網進行vlan的劃分。對校園網的vlan的劃分，主要是根據學院的網絡拓撲圖，首先是基于核心路由交換機cisco catalyst 6500上根據為每個分配一個c類的ip地址劃分為一個vlan；然后再基于cisco catalyst 2950交換機根據網絡管理的要求和網絡的安全需要進行vlan劃分。如下分別是以學生宿舍1棟為例關于基于cisco catalyst

50、6500、cisco catalyst 2950的vlan配置。1） 網絡設備的安全配置命令s enable 進入特權模式 s# configure terminal 進入全局配置模式 s(config)# hostname name 改變交換機名稱 s(config)# enable password level level_# password 設置用戶口令（level_#=1)或特權口令（level_#=15) s(config)# line console 0 進入控制臺接口 s(config-line)# password console_password 接上一條命令，設置控制臺口

51、令 s(config)# line vty 0 15 進入虛擬終端 s(config-line)# password telnet_password 接上一條命令，設置telnet口令 s(config-line)# login 允許telnet登錄 s(config)# enable password|secret privilege_password 配置特權口令（加密或不加密） 2）網絡設備基本配置命令s(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 進入交換機的接口模式s(config-if

52、)# no shutdown 關閉或啟用該接口（默認啟用） s(config)# ip address ip_address sunbet_mask 指定ip地址 s(config)# ip default-gateway routers_ip_address 指定哪臺路由器地址為默認網關 s(config-if)# speed 10|100|auto 設置接口速率 s(config-if)# duplex auto|full|half 設置接口雙工模式 s (config-if)# description description-string 設置的交換機的端口描述: s(config-if

53、)# duplex auto|full|half 在交換機上設置以太網的鏈路模式3）在交換機上配置靜態(tài)vlan: s# vlan database 進入交換機vlan的配置模式s(vlan)# vlan vlan-num name vla 創(chuàng)建vlan 并給vlan命名s(vlan)# exit 退出交換機vlan的配置模式s# configure teriminal 進入交換機的特權配置模式s(config)# interface interface module/number 進入接口子配置模式s(config-if)# switchport mode access /trunk 設置交換

54、機的接入模式s(config-if)# switchport access vlan vlan-num 把端口添加到vlan里面s(config-if)# end 提出vlans(config-if)# switchport trunk encapsulation isl|dotlq 設置vlan的加密方式s(config-if)# switchport trunk allowed vlan remove vlan-list 設置禁止通過的vlans(config-if)# switchport trunk allowed vlan add vlan-list 設置允許通過的vlan5.2 v

55、lan之間的通信隨著交換機應用的普及，vlan技術的應用也越來越廣泛。眾所周知，vlan技術的主要作用是可將分布于不同地理位置的計算機按工作需要組合成一個邏輯網絡，同時vlan的劃分可縮小廣播域，以提高網絡傳輸速度，由于處于不同vlan的計算機之間不能直接通信，從而使網絡的安全性能得到了很大提高。但事實上在很多網絡中要求處于不同vlan中的計算機間能夠相互通信，如何解決vlan間的通信問題是我們在規(guī)劃vlan時必須認真考慮的問題。在校園網絡發(fā)展的初期，網絡中只有10%20%的信息在vlan之間傳播，但隨著多媒體技術在校園網絡中應用的迅速普及，vlan之間信息的傳輸量增加了許多倍，如果vlan之

56、間的通信問題解決得不好，將嚴重影響網絡的使用和安全。在lan內的通信，是通過數據幀頭中指定通信目標的mac地址來完成的。而為了獲取mac地址，tcp/ip協(xié)議下使用arp地址協(xié)議解析mac地址的方法是通過廣播報文來實現的，如果廣播報文無法到達目的地，那么就無從解析mac地址，亦即無法直接通信。當計算機分屬不同的vlan時，就意味著分屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同vlan的計算機之間無法直接互相通信。為了能夠在vlan間通信，需要利用osi參照模型中更高一層網絡層的信息（ip地址）來進行路由。在目前的網絡互連設備中能完成路由功能的設備主要有路由器和三層以上的交換機。1)

57、通過路由器實現vlan間的通信使用路由器實現vlan間通信時，路由器與交換機的連接方式有兩種。第一種通過路由器的不同物理接口與交換機上的每個vlan分別連接。第二種通過路由器的邏輯子接口與交換機的各個vlan連接。2)通過路由器的不同物理接口與交換機上的每個vlan分別連接這種方式的優(yōu)點是管理簡單，缺點是網絡擴展難度大。每增加一個新的vlan，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設一條網線。而路由器，通常不會帶有太多l(xiāng)an接口的。新建vlan時，為了對應增加的vlan所需的端口，就必須將路由器升級成帶有多個lan接口的高端產品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。3)通過路由器的邏輯子接口與交換機的各個vlan連接這種連接方式要求路由器和交換機的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對應各個vlan的邏輯子接口e1.1和e1.2。由于這種方式是靠在一個物理端口上設置多個邏輯子接口的方式實現網絡擴展，因此網絡擴展比較容易且成本較低，只是對路由器的配置要復雜一些6 設備選型6.1 核心交換機的選擇 - cisco catalyst 6500 交換機由于中心服務器的訪問及數據流量對主干帶寬要求很高，所以方案設計采用 cisco cataly