楊凌中學校園網(wǎng)的組網(wǎng)方案設計

1、摘要隨著經(jīng)濟的發(fā)展，信息起著越來越重要的作用。計算機、網(wǎng)絡和多媒體等信息技術的飛速發(fā)展，信息的傳遞越來越快捷，信息的處理能力變得越來越強，信息的表現(xiàn)形式也越來越豐富，這些都對社會經(jīng)濟和人們的生活產(chǎn)生了深刻的影響。這一切促使通信網(wǎng)絡由傳統(tǒng)的電話網(wǎng)絡向高速多媒體信息網(wǎng)發(fā)展。web技術和多媒體技術的出現(xiàn)，近幾年來internet得到了突飛猛進的發(fā)展，聯(lián)入網(wǎng)絡的節(jié)點和信息資源迅速增長。為了滿足廣大大學生的學習需要，教職工教學，辦公需求。建立一個基于校園internet的信息管理和應用的網(wǎng)絡系統(tǒng)，并提供相應的各種服務。共享網(wǎng)絡上各種軟、硬件資源，快速、穩(wěn)定地傳輸各種信息，并提供有效的網(wǎng)絡信息管理手段。采

2、用開放式、標準化的系統(tǒng)結構，以利于功能擴充和技術升級。能夠與外界進行廣域網(wǎng)的連接，提供、享用各種信息服務具有完善的網(wǎng)絡安全機制。能夠與原有的計算機局域網(wǎng)絡和應用系統(tǒng)平滑地連接，調(diào)用原有各種計算機系統(tǒng)的信息校園網(wǎng)的建設與應用，極大地豐富和完善了教育資源，拓寬了學生獲取知識的渠道，改善了教學效果，提高了學校的現(xiàn)代化管理水平，促進了教育的社會化，因此，如何進一步搞好校園網(wǎng)的建設，充分發(fā)揮校園網(wǎng)的作用，組建高性能，低成本的校園網(wǎng)，是各個高校正在探索和思考的問題。關鍵字：校園網(wǎng),信息管理，局域網(wǎng)目錄1 網(wǎng)絡規(guī)劃11.1地理布局11.2用戶設備情況11.3需求分析21.4可行性分析32網(wǎng)絡設計52.1 網(wǎng)

3、絡組網(wǎng)方案的設計52.2網(wǎng)絡拓撲結構的選擇52.3 網(wǎng)絡傳輸介質(zhì)的選擇82.4網(wǎng)絡組網(wǎng)設備的選擇82.4.1校園網(wǎng)核心層82.4.2校園網(wǎng)匯聚層92.4.3校園網(wǎng)接入層102.4.4校園網(wǎng)服務器和路由器112.5網(wǎng)絡操作系統(tǒng)的選擇132.6網(wǎng)絡協(xié)議的選擇133 網(wǎng)絡實施143.1 網(wǎng)絡布線143.2 設備選擇153.3子網(wǎng)的劃分方法及ip地址的設置153.3.1學校子網(wǎng)的劃分153.3.2 ip地址的劃分154 網(wǎng)絡的測試維護及網(wǎng)絡的安全管理194.1 網(wǎng)絡的測試維護194.2 網(wǎng)絡的安全管理195技術經(jīng)濟分析21參考文獻24ii 1 網(wǎng)絡規(guī)劃1.1地理布局楊凌中學位于楊凌農(nóng)科城后稷路北段，校

4、園綠樹成蔭，花團錦簇，占地41490平方米，總建筑面積20532平方米，布局合理，環(huán)境優(yōu)美?，F(xiàn)有教學樓、實驗樓、行政辦公樓、學生公寓樓各一幢，學生餐廳一座，另有圖書館、實驗室、學校機房。校園廣播系統(tǒng)、網(wǎng)絡系統(tǒng)和遠程教育系統(tǒng)先后投入使用，基本滿足了現(xiàn)代教育的各類需求。根據(jù)校園的地理位置，可將其分為三個區(qū)，生活區(qū)、辦公區(qū)和教學區(qū)，教學區(qū)主要使每個教室的計算機能介入網(wǎng)絡，有利于教室授課的需要，生活主要實現(xiàn)學生在寢室內(nèi)無線上網(wǎng)，辦公區(qū)提供各種辦公需求，供學校管理校內(nèi)財務、人事和學生教師信息等。根據(jù)這三個區(qū)的地理位置，共設計2230個信息點，其中各個信息點的具體分布情況如下：生活區(qū)共設615個信息點，其

5、中：學生宿舍樓(600)，食堂(5)，浴室(5)，超市(5)；辦公區(qū)共設410個信息點，其中：教師宿舍樓(300)，行政辦公樓(100)，公安(10)；教學區(qū)共設1205個信息點，其中：學校機房(1000)，圖書館(50)，教學樓(100），實驗樓(50)，操場(5)。1.2用戶設備情況校園網(wǎng)是為師生提供教學、管理、科研和綜合信息服務的寬帶多媒體網(wǎng)絡；是學校信息化教學環(huán)境的基礎設施和實現(xiàn)各項管理的物質(zhì)基礎；是建立遠程教育體系的基本保證；是提高全民素質(zhì)的重要手段。它必須滿足臺式機、手提電腦、打印機、掃描儀等設備都能方便進網(wǎng)，實現(xiàn)資源共享（如硬件、軟件、數(shù)據(jù)資源共享等），其設計方案應遵循以下五大原

6、則:（1）實用性：校園網(wǎng)應滿足學校目前對網(wǎng)絡應用的要求，充分實現(xiàn)學校內(nèi)部管理、教學和科研的網(wǎng)絡化、信息化的要求，使網(wǎng)絡的整體性能得到充分發(fā)揮。（2）安全性：應能在可靠性的前提下，抵擋來自內(nèi)部和外部的攻擊，采用的安全措施有效、可信，能夠在多層次上、以多種方式實現(xiàn)安全的控制。（3)可靠性：校園網(wǎng)的系統(tǒng)及網(wǎng)絡結構較為復雜，同時在部分子系統(tǒng)中存在較高的技術性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，使其具有很高的平均無故障工作時間和極低的平均無故障率。(4)統(tǒng)一性：在系統(tǒng)的設計過程中要堅持“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一出口”。(5)先進性：校園網(wǎng)應既能滿足我院當前對網(wǎng)絡的應用需求，又可以在將來方便擴展，保

7、護目前的所有投資，設計的配置可以靈活變通，以便適應師生的其它要求。1.3需求分析在進行校園網(wǎng)的總體設計之前，應進行對象研究和需求分析，明確學校的目標、任務及系統(tǒng)建設的需求和條件，對學校的信息化環(huán)境進行準確的描述；其次要確定學校internet服務類型，進而確定系統(tǒng)建設的具體目標；第三是確定網(wǎng)絡拓撲結構，根據(jù)學校主要建筑的分布特點，進行系統(tǒng)分析和設計；第四，確定技術設計的原則要求，如在技術選型、布線設計、設備選擇、軟件配置等方面的標準和要求等。(1)用戶需求：校園網(wǎng)絡應當方便快捷，建成后的網(wǎng)絡能充分利用internet、教育網(wǎng)、國家信息網(wǎng)的各種信息，實現(xiàn)校園內(nèi)部的資源共享。通過建立學校首頁、學院

8、信箱、精品課、ftp資源、校園管理系統(tǒng)等服務，發(fā)布有關校園新聞、校園通知的信息平臺。 1)教學區(qū)：每個教室的計算機能接入網(wǎng)絡，有利于教師授課的需要； 2)生活區(qū)：實現(xiàn)學生在寢室內(nèi)無線上網(wǎng)； 3)辦公區(qū)：提供各系辦公需求，供學校管理校內(nèi)財務、人事和學生教師信息等。(2)通信需求目前國內(nèi)大部分高校的校園網(wǎng)模式是千兆/快速以太網(wǎng)架構。根據(jù)我院各建筑的地理位置、網(wǎng)路流量和資金狀況，設計為學院機房到各匯聚層節(jié)點使用1000m光纖連接，匯聚層到接入層使用百兆五類線連接。數(shù)據(jù)信息點的接入用交換10/100mbps自適應以太網(wǎng)口接入以滿足廣大師生的各種需求。(3)安全需求校園網(wǎng)絡信息安全問題正直接影響著學校的

9、教學活動和學生的隱私的安全，大部分校園存在信息點隨意接入的使用的問題，不明身份的用戶很容易就可以進入校園網(wǎng)，干擾和破壞校園網(wǎng)網(wǎng)絡平臺及應用系統(tǒng)的正常運行。威脅校園網(wǎng)安全的攻擊行為大部分來自網(wǎng)絡內(nèi)部，如何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡安全防護體系需要重點關注的地方。1.4可行性分析可行性分析只要包括以下三方面：(1)費用校園網(wǎng)的特點決定了網(wǎng)絡系統(tǒng)必需要有實用與經(jīng)濟性。實用性使得網(wǎng)絡便于管理、維護，以減少網(wǎng)絡使用人員運用網(wǎng)絡的難度，從而降低人為操作引起的網(wǎng)絡故障，并使更多的人掌握網(wǎng)絡的使用。應根據(jù)學校的實際情況，由于學校的建設資金有限，所以一般都要求網(wǎng)絡具有較高的性價比，所以在建設校園網(wǎng)時一定要

10、使用性價比高的網(wǎng)絡技術和網(wǎng)絡設備，可以節(jié)約建設資金；（2）風險網(wǎng)絡安全對于網(wǎng)絡系統(tǒng)來說是十分重要的，它直接關系到網(wǎng)絡的正常使用。由于校園網(wǎng)與外部網(wǎng)進行互聯(lián)特別是和internet的互聯(lián)，internet是一個開放式網(wǎng)絡系統(tǒng)，它的安全性是很差的。應該采用一定的技術來控制網(wǎng)絡的安全性，從內(nèi)部和外部同時對網(wǎng)絡資源的訪問進行控制。當前主要的網(wǎng)絡安全技術有，用戶身份驗證，vlan劃分，防火墻等技術。網(wǎng)絡系統(tǒng)還具備高度的數(shù)據(jù)安全性和保密性，可大大降低網(wǎng)絡風險；（3）收益高校校園網(wǎng)的網(wǎng)絡建設與網(wǎng)絡技術發(fā)展幾乎是同步進行的，為了充分滿足高校骨干網(wǎng)對高速，智能，安全，認證計費等的需求,可以利用萬兆以太網(wǎng)的校園網(wǎng)

11、組網(wǎng)技術，構建校園網(wǎng)骨干網(wǎng)，實現(xiàn)各個分校區(qū)和本部之間的連接，以及實現(xiàn)端到端的以太網(wǎng)訪問，不僅提高了傳輸?shù)男剩行У乇ＷC了遠程多媒體教學、數(shù)字圖書館等業(yè)務的開展。2網(wǎng)絡設計2.1 網(wǎng)絡組網(wǎng)方案的設計在本次組網(wǎng)方案設計中，根據(jù)校園網(wǎng)的網(wǎng)絡應用需求，將其分為如下四個子系統(tǒng):（1）校園計算機局域網(wǎng)；這點是校園網(wǎng)建設的基礎，也是本次校園網(wǎng)組建規(guī)劃的主要工作，其他所有的建設都是建立在此部分之上的。建設覆蓋全校的局域網(wǎng)包括網(wǎng)絡技術選型，拓撲結構設計，布線系統(tǒng)設計和網(wǎng)絡方案的具體設計。在這之中，網(wǎng)絡方案設計中網(wǎng)絡的核心、匯聚、接入層三層是其重點。其次進行vlan劃分，子網(wǎng)配置和ip地址的分配，最后進行服務器

12、、交換機和路由器的配置。 （2）交互式多媒體教學系統(tǒng)； （3）學校自動化辦公系統(tǒng)； （4）學校教學和管理綜合信息系統(tǒng)在本網(wǎng)絡中服務從類型上說既有簡單的消息服務，又有資源共享服務；既有訪問集中式的數(shù)據(jù)庫，又有分布式事務處理；既有非實時性服務，又有實時性服務。主要支持教師教學和學生學習，提供共享接入internet，e-mail，www，ftp，vod點播等。2.2網(wǎng)絡拓撲結構的選擇網(wǎng)絡拓撲結構選用星型拓撲結構。星型拓樸結構為現(xiàn)在較為流行的一種網(wǎng)絡結構，它是以一臺中心處理機（通信設備）為主而構成的網(wǎng)絡，其它入網(wǎng)機器僅與該中心處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網(wǎng)機器服務，

13、所有的數(shù)據(jù)必須經(jīng)過中心處理機。由于所有節(jié)點的往外傳輸都必須經(jīng)過中央節(jié)點來處理，因此，對中央節(jié)點的要求比較高。它的優(yōu)點是網(wǎng)絡結構簡單，易于維護，便于管理（集中式）；每臺入網(wǎng)機均需物理線路與處理機互連，線路利用率低；處理機負載重（需處理所有的服務），因為任何兩臺入網(wǎng)機之間交換信息，都必須通過中心處理機；入網(wǎng)主機故障不影響整個網(wǎng)絡的正常工作。對該網(wǎng)絡支持的設備生產(chǎn)廠商有較好的技術支持。局域網(wǎng)內(nèi)的所有工作節(jié)點通過雙絞線與交換機相連形成一個星型網(wǎng)絡。辦公電腦建議采用品牌的商用機，商用機運行比較穩(wěn)定，而且比較耐用，運算速度較快，較適于開發(fā)使用。它是目前使用最多、最為普遍的局域網(wǎng)拓撲結構。具體分為三級結構：

14、第一級是網(wǎng)絡中心，為中心節(jié)點。網(wǎng)絡中心選址在學校地域的中心建筑,布置了校園網(wǎng)的核心設備，如路由器、交換機、服務器(www服務器、電子郵件服務器、文件服務器等)，并預留了將來與本部以外的幾個園區(qū)的通信接口；第二級是建筑群的主干結點，為二級節(jié)點。校園網(wǎng)按地域設置了幾條干線光纜，從網(wǎng)絡中心輻射到幾個主要建筑群，并在二級主干節(jié)點處端接。在主干網(wǎng)節(jié)點上安裝的交換機位于網(wǎng)絡的第三層，它向上與網(wǎng)絡中心的主干交換機相連，向下與各樓層的接入層交換機相連。學校校園網(wǎng)主干帶寬全部為1000mbps；第三級是建筑物樓內(nèi)的接入層交換機，為三級節(jié)點，三級節(jié)點主要是指直接與工作站連接的局域網(wǎng)設備。e_mailftpwww核

15、心交換機路由器防火墻internet匯聚層交換機匯聚層交換機匯聚層交換機匯聚層交換機匯聚層交換機匯聚層交換機實驗樓圖書館教學樓學生宿舍教師宿舍辦公樓圖2.2.1 拓撲結構圖2.3 網(wǎng)絡傳輸介質(zhì)的選擇 根據(jù)距離差異，采用不同介質(zhì)布線：（1）教師宿舍與學生宿舍采用單模光纖傳輸；（2）單模比多模光纖昂貴，辦公樓、教學樓、圖書館、實驗樓均采用多模光纖傳輸；（3）為減輕以太網(wǎng)給5類電纜的負重，考慮到經(jīng)費問題，在核心層交換機與防火墻的另一內(nèi)網(wǎng)端口采用6類非屏蔽雙絞線互連；（4）普通接入點依然采用5類雙絞線連接。2.4網(wǎng)絡組網(wǎng)設備的選擇本次校園網(wǎng)設備選擇中，我們采用了1臺華為s5328c-ei-24s核心層

16、交換機、6臺華為quidways3952p-si匯聚層交換機、以及若干個3com(h3c)華為s1526接入層交換機。2.4.1校園網(wǎng)核心層核心層采用華為s5328c-ei-24s交換機，其具體參數(shù)如下：表2.4.1 核心層交換機參數(shù)華為s5328c-ei-24s主要參數(shù)交換機類型運營級千兆以太網(wǎng)交換機應用層級三層傳輸速率10mbps/100mbps/1000mbps網(wǎng)絡標準ieee802.3,ieee802.3u,ieee802.3d,ieee802.3ab,ieee802.3x端口結構模塊化端口數(shù)量28接口介質(zhì)24個100/1000base-xsfp,4個10/100/1000base-t

17、combo,上行2個10gexfp插卡或者4個1000base-xsfp傳輸模式全雙工交換方式存儲-轉(zhuǎn)發(fā)背板帶寬256gbps包轉(zhuǎn)發(fā)率66mppsvlan支持支持qos支持支持網(wǎng)管支持支持網(wǎng)管功能支持telnet遠程配置、維護、支持snmpv1/v2/v3、rmon、imanager網(wǎng)管系統(tǒng)、集群管理hgmp、支持系統(tǒng)日志、分級告警mac地址表32k安全性用戶分級管理和口令保護、支持防止dos、arp攻擊功能、支持ip、mac、端口的組合綁定、支持端口隔離、支持mac地址黑洞、支持mac地址學習數(shù)目限制、支持ieee802.1x認證,支持單端口最大用戶數(shù)限制、支持aaa認證,支持radius、

18、tacacs+等多種方式、支持sshv2.0、支持cpu保護功能尺寸(mm)44242043.6mm重量(kg)8kg2.4.2校園網(wǎng)匯聚層匯聚層采用華為quidways3952p-si作為交換機，其具體參數(shù)如下：表2.4.2 匯聚層交換機參數(shù)華為quidways3952p-si主要參數(shù)交換機類型部門級交換機應用層級三層傳輸速率10mbps/100mbps/1000mbps網(wǎng)絡標準ieee802.3,ieee802.3u,ieee802.3d,ieee802.3ab,ieee802.3x端口結構固定端口端口數(shù)量48接口介質(zhì)100base-tx、10/100/1000base-t、1000bas

19、e-sx、1000base-fx傳輸模式全雙工交換方式存儲-轉(zhuǎn)發(fā)背板帶寬17.6gbps包轉(zhuǎn)發(fā)率13.2mbpsvlan支持支持qos支持支持網(wǎng)管支持支持網(wǎng)管功能通過console口配置,支持snmp,支持rmon1,2,3,9組mib,支持華為imanagern2000dms網(wǎng)管系統(tǒng),支持web網(wǎng)管,支持系統(tǒng)日志,分級告警mac地址表16k尺寸(mm)44026043.6重量(kg)4kg2.4.3校園網(wǎng)接入層接入層采用3com(h3c)華為s1526作為交換機，其具體參數(shù)如下：表2.4.3 接入層交換機參數(shù)3com(h3c)華為s1526主要參數(shù)交換機類型3com(h3c)華為s1526可

20、管理接入24口10/100m機架交換機應用層級二層傳輸速率10/100mbps網(wǎng)絡標準ieee802.310base-t以太網(wǎng)ieee802.3u100base-tx快速以太網(wǎng)ieee802.3ab1000base-t千兆以太網(wǎng)端口結構固定端口端口數(shù)量24接口介質(zhì)24個10/100base-tx自適應以太端口 2個10/100/1000base-t自適應以太網(wǎng)端口 1個console接口傳輸模式全雙工接口類型rj-452.4.4校園網(wǎng)服務器和路由器該校園網(wǎng)服務器選擇聯(lián)想萬全r525s5405，其性能參數(shù)如下：表2.4.4服務器相關參數(shù)聯(lián)想萬全r525s5405參數(shù)類型企業(yè)級類別機架式結構2uc

21、pu類型xeone5405、主頻2000mhz、二級緩存12mb、四核fsb（總線）1333mhz，擴展槽3個內(nèi)存類型fb-dimm內(nèi)存大小1gb內(nèi)存帶寬/描述21gb/s內(nèi)存插槽數(shù)量12硬盤大小3*73gb硬盤類型sas內(nèi)部硬盤架數(shù)單機支持12塊硬盤最大熱插拔硬盤數(shù)支持熱插拔磁盤陣列卡板載1078256msasraid卡光驅(qū)標配slimcd-rom光驅(qū)網(wǎng)絡控制器集成intel雙千兆自適應網(wǎng)卡,支持網(wǎng)卡冗余、負載均衡等功能,可選外插intel千兆自適應網(wǎng)卡顯示芯片集成ati顯示芯片,16mb顯存標準接口3個rj45網(wǎng)絡接口(其中一個用于服務器管理)、4個usb接口(前置2個,后置2個)、1個p

22、s/2鼠標接口、1個ps/2鍵盤接口、2個顯示接口(前置1個,后置1個)、1個串口系統(tǒng)支持windowsserver2003r2standardedition中文版/英文版(x32)、windowsserver2003r2enterpriseedition中文版/英文版(x32)、windowsserver2003r2standardedition本網(wǎng)絡采用思科2811的路由器，其基本參數(shù)如下：表2.4.5路由器相關參數(shù)思科2811基本參數(shù)產(chǎn)品定位模塊化路由器網(wǎng)絡類型wan|ethernet|fastethernet安全標準ul60950:can/csac22.2no.60950,iec609

23、50,en60950-1,as/nzs60950是否內(nèi)置防火墻是是否支持vpn是是否支持qos是支持網(wǎng)絡協(xié)議ieee802.3x固定的局域網(wǎng)接口2x10/100mbps擴展模塊槽數(shù)4控制端口consoleflash內(nèi)存64mbdram內(nèi)存256mb支持的網(wǎng)管協(xié)議ciscoclickstart，snmp2.5網(wǎng)絡操作系統(tǒng)的選擇windowsserver2003在穩(wěn)定性和安全性方面可靠性較高，完全適合該校的網(wǎng)絡操作系統(tǒng)需求。2.6網(wǎng)絡協(xié)議的選擇該校園網(wǎng)的網(wǎng)絡協(xié)議選用tcp/ip協(xié)議和ipx/spx協(xié)議。3 網(wǎng)絡實施3.1 網(wǎng)絡布線隨著網(wǎng)絡日新月異的發(fā)展，綜合布線在校園網(wǎng)中的應用越來越廣所以該校也采

24、用綜合布線系統(tǒng)來規(guī)劃網(wǎng)絡，具體分為六大子系統(tǒng)，它們分別是:（1）水平子系統(tǒng)主要是實現(xiàn)信息插座和管理子系統(tǒng)，即中間配線架（idf）間的連接。比如從宿舍樓層的每一層交換機到每個宿舍的距離，中間采用雙絞線連接。（2）管理子系統(tǒng)由交連、互連和輸入/輸出組成，實現(xiàn)配線管理，為連接其它子系統(tǒng)提供手段。比如從每一棟樓到中心機房的距離，中間采用多模光纖連接。（3）干線子系統(tǒng)指提供建筑物的主干電纜的路由，是實現(xiàn)主配線架與中間配線架，計算機、pbx、控制中心與各管理子系統(tǒng)間的連接。比如宿舍每一層樓與每一層樓之間，中間采用雙絞線連接。（4）設備間子系統(tǒng)由設備室的電纜、連接器和相關支持硬件組成，把各種公用系統(tǒng)設備互連

25、起來。比如從宿舍與辦公樓之間相接的地方。（5）建筑群子系統(tǒng)是實現(xiàn)建筑之間的相互連接，提供樓群之間通信設施所需的硬件。比如宿舍與辦公樓之間的距離，由于距離較遠，所以中間采用多模光纖連接。3.2 設備選擇核心層采用華為s5328c-ei-24s交換機，匯聚層采用華為quidways3952p-si作為交換機，接入層采用3com(h3c)華為s1526作為交換機，該校園網(wǎng)服務器選擇聯(lián)想萬全r525s5405，采用思科2811的路由器，3.3子網(wǎng)的劃分方法及ip地址的設置3.3.1學校子網(wǎng)的劃分表3.3.1 學校子網(wǎng)表序號子網(wǎng)名稱包含的信息點1學生宿舍子網(wǎng)學生宿舍區(qū)所有計算機2教師宿舍子網(wǎng)教師宿舍區(qū)所

26、有計算機3實驗樓子網(wǎng)實驗樓所有計算機4圖書館子網(wǎng)圖書館所有計算機5教學樓子網(wǎng)教學樓所有計算機6辦公樓子網(wǎng)辦公樓所有計算機7服務器群子網(wǎng)該區(qū)所有計算機8無線網(wǎng)絡子網(wǎng)該區(qū)所有計算機3.3.2 ip地址的劃分（1）在網(wǎng)絡規(guī)劃中，ip地址方案的設計至關重要，好的ip地址方案不僅可以減少網(wǎng)絡負荷，還能為以后的網(wǎng)絡擴展打下良好的基礎。ip地址的合理是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。校區(qū)ip地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內(nèi)地址分配及業(yè)務流量的均勻分布。所以ip地址規(guī)劃遵循如下原則來設計：1）服務器區(qū)采用私ip地址，nat后供人員遠程訪問

27、；2）與internet互聯(lián)設備ip地址采用真實ip地址；3）部分內(nèi)部互連采用私有ip地址；4）面向用戶的私有ip地址，由統(tǒng)一出口的邊緣設備（路由器、防火墻）進行地址翻譯。即出口路由器（防火墻）互聯(lián)采用合法ip地址；公共服務器如www/ftp/dns/資源服務器等均采用合法地址（或從安全角度考慮采用私有ip）；部分接入用戶采用私有保留ip地址相連。這樣設計，既可以充分利用已有的公網(wǎng)ip地址，解決了ip地址空間不足的，既可以方便的實現(xiàn)互通互連，而且將地址翻譯（nat）這種耗費設備資源的工作由網(wǎng)絡邊緣設備分擔，提高網(wǎng)絡數(shù)據(jù)傳輸整體性能。（2）vlan劃分，vlan（virtuallocalarea

28、network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的lan分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網(wǎng)（lan）在交換機上通過軟件劃分成若干個小的虛擬的局域網(wǎng)（vlan）。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的mac地址，以便在交換機內(nèi)部的mac數(shù)據(jù)庫建立mac地址表，而廣播不能跨越不同網(wǎng)段。a.將一個班同學的寢室劃為同一個vlan，再將一棟宿舍樓劃為一個大vlan。理由：高校的學生通過網(wǎng)絡交換的信息量日益增大，特別是一個班的同學，住在一個寢室的同學不一定就是一個班的，將一個班的同學劃為同一個vlan便于信息的傳遞。b.將每個老師

29、的寢室劃為一個vlan。理由：每個老師的計算機里可能有一些重要的科研資料，從安全性考慮，所以不能將所有老師的寢室劃為同一個網(wǎng)。并且學生宿舍和教師宿舍不能互相訪問。c.將教學樓的所有教室劃為一個vlan。理由：上課的教室不固定，每個教室需要共享一些信息。d將實驗樓劃為一個大vlan，再將每個實驗室劃為一個小vlan。理由：方便同學和老師做一些教學實驗，實驗室會進行一些專項課題研究，一個實驗室同一個vlan安全性更高。e將辦公樓劃為一個大vlan，再將每個部門劃為一個小vlan。理由：方便每個部門管理，鑒于每個的不同性質(zhì)，更要提高安全性。f劃分方法采用基于端口的劃分。理由：高校學生的流動性大，例如

30、換寢室，畢業(yè)等，而導致的學生的人數(shù)和班級的變動?；诙丝诘膭澐郑鄬碚f容易設置和監(jiān)控，只需要將端口配置的vlan重新分配。具體劃分情況如下：表3.3.2 ip地址的劃分序號子網(wǎng)名稱網(wǎng)段ip網(wǎng)關ip備注1學生宿舍子網(wǎng)1721600/161721621vlan22教師宿舍子網(wǎng)1721700/161721731vlan 33實驗樓子網(wǎng)19216840/2419216841vlan 44圖書館子網(wǎng)19216870/2419216871vlan 5 5教學樓子網(wǎng)1721800/161721861vlan 66辦公樓子網(wǎng)19216850/2419216851vlan 77服務器群子網(wǎng)19216880/2

31、419216881vlan 88無線網(wǎng)絡子網(wǎng)19216800/2419216801vlan 9另外，ip地址分為公網(wǎng)地址和私網(wǎng)地址兩類，公有地址由因特網(wǎng)信息中心負責。這些ip地址分配給注冊并向inter nic提出申請的組織機構。通過它直接訪問因特網(wǎng)。isp分配給學校的全局ip地址地址段為:-00/24.,私有地址屬于非注冊地址，專門為組織機構內(nèi)部使用。以下列出留用的內(nèi)部私有地址：a類 -55b類 -55c類 -554

32、網(wǎng)絡的測試維護及網(wǎng)絡的安全管理4.1 網(wǎng)絡的測試維護可以通過ping等命令測試網(wǎng)絡的連通性；根據(jù)廠商說明書驗證網(wǎng)絡設備是否具有設計要求的每一樣功能；分析網(wǎng)絡設備在各個不同的配置和負載下的容量對負載的處理能力；驗證網(wǎng)絡設備的各項設備功能是否符合國內(nèi)國際行業(yè)標準；考察一臺網(wǎng)絡設備是否能在一個不同廠家的多種網(wǎng)絡產(chǎn)品互連的網(wǎng)絡環(huán)境中很好的工作；加重負載的方法來分析、評估系統(tǒng)的可靠性和穩(wěn)定性。4.2 網(wǎng)絡的安全管理網(wǎng)絡的安全性是評價校園網(wǎng)的重要指標之一，對于校園網(wǎng)這樣的大型園區(qū)網(wǎng)，網(wǎng)絡的安全問題就越發(fā)重要。網(wǎng)絡的安全問題主要是由網(wǎng)絡的開放性、無邊界性、自由性造成的，所以考慮信息網(wǎng)絡的安全首先應該考慮把被

33、保護的網(wǎng)絡由開放的、無邊界的網(wǎng)絡環(huán)境中獨立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡。也只有做到這一點，實現(xiàn)信息網(wǎng)絡的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)絡（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。(1)硬件實現(xiàn)端口與mac地址和用戶ip地址的綁定，嚴格限定端口上用戶接入；(2)通過vlan的劃分，利用中心交換機上高性能路由模塊的管理和控制，可以控制內(nèi)部各vlan間的訪問；(3)通過privatevlan可以在交換機的同一vlan中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進入有效端口，而不會被發(fā)送到其它端；

34、口，即解決了因傳統(tǒng)802.1qvlan造成全網(wǎng)vid資源不夠的問題，同時又無需利用安全規(guī)則資源即能達到隔離不同用戶以及不同；組用戶之間通訊的功能，充分保護用戶隱私；(4)可實現(xiàn)用戶賬號、mac地址、ip地址、交換機ip、交換機端口等六大元素之間的靈活任意綁定，有效確認用戶合法性和唯一性；(5)提供極為有效的portblocking功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口負載負擔，提高端口帶寬，保護用戶pc更高效安全地運行；(6)基于源ip地址控制的telnet和web設備訪問控制，增強了設備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設備；提供加密傳輸secureshe

35、ll（ssh），保證管理設備信息的安全性，防止黑客攻擊和控制設備；(7)計算機病毒是伴隨著計算機而產(chǎn)生的，它同時隨著計算機技術的發(fā)展而發(fā)展，在網(wǎng)絡環(huán)境中，計算機病毒更易于傳播，其對系統(tǒng)的危害也是明顯的，在校園網(wǎng)工程中建議采用網(wǎng)絡與單機相結合的方式來避免計算機病毒的危害。5技術經(jīng)濟分析設備名稱型號生產(chǎn)廠商配置數(shù)量單價總價描述核心層交換機華為s5328c-ei-24s華為dram:256mb,flash:64mb.傳輸速率：10/100/1000mbps1臺81600元/臺8.16萬元主交換機，負責訪問層交換機、服務器的接入?yún)R聚層交換機華為quidways3952p-si華為傳 輸 速 率：10/

36、100/1000mbps6臺55440元/臺33.264萬元負責與主交換機和樓層交換機互連接入層交換機3com(h3c)華為s1526華為傳 輸 速 率：10/100/1000mbps60臺7700元/臺46.2萬元作為直接負責用戶的接入交換機路由器思科2811思科dram:256mbflash:64mb.傳輸速率：10/100/1000mbps1臺39500元/臺3.95萬元負責接入internetweb服務器聯(lián)想萬全r525s5405聯(lián)想內(nèi)存：fb-dimm容量：12gb最大容量：192gb1臺26800元/臺2.68萬元用于web服務器ftp服務器hpproliantdl380g5(58

37、3914-b21)惠普內(nèi)存：ddr3容量：12gb最大容量：192gb1臺26800元/臺2.68萬元用于ftp服務器mail服務器hpproliantml350g6(600431-aa5惠普內(nèi)存：ddr3容量：4gb最大容量：192gb1臺14800元/臺1.48萬元用于e-mai服務器數(shù)據(jù)庫服務器hpproliantml370g6(qk654a)惠普內(nèi)存：ddr3容量：2gb1臺20500元/臺2.05萬元用于數(shù)據(jù)庫服務器防火墻ciscoasa5510-k8思科vpn防火墻1臺12500元/臺1.25萬元協(xié)助確保信息安全總造價101.714萬元再加上所需人工費用合計5萬元，最后該項目的總費

38、用為106.714萬元。6總結及收獲通過本次課程設計，我深入地了解了組建一個局域網(wǎng)全部過程，這個過程，從目標確立，到環(huán)境、應用、管理和擴展性分析，從邏輯結構設計、拓撲圖總體設計到硬件、軟件的選型，從有線網(wǎng)到無線網(wǎng)，思路從茫然到清晰，設計稿從無到有的漸變讓我收獲頗多，不僅僅了解了更多的網(wǎng)絡知識，讓我可以獨立去完成一個局域網(wǎng)的組建工作，更讓我們學會了思考，學會就地分析解決問題的能力。在課程設計過程中，由于對知識的缺乏和貧乏的實踐能力，設計的過程一直磕磕絆絆，非常不順利，有時候不知道要先做什么，后做什么，思路非?；靵y，甚至感覺無從下手，后來經(jīng)過不斷分析借鑒，也查閱了許多相關資料，才漸漸找到了思路，雖然最終順利完成了課設，但這個過程卻使我