計算機組網(wǎng)技術(shù)畢業(yè)論

1、.計 算 機 組 網(wǎng) 技 術(shù)課程設計文檔 一、題目策劃長春稅務學院校園網(wǎng)絡規(guī)劃設計 環(huán)境：windowsXp sp2、windows2000、windows2003二、.需求分析高校校園寬帶網(wǎng)用戶集中且網(wǎng)絡流量大，關(guān)注網(wǎng)絡的可運營和可管理特性，校園網(wǎng)建網(wǎng)需求如下：1、教學區(qū)、宿舍區(qū)用戶對校園網(wǎng)、教育網(wǎng)、INTERNET的訪問有相應的路由策略和相應的計費策略。2、校園網(wǎng)存在多個出口需求，校園網(wǎng)至少要提供中國教育科研網(wǎng)（CERNET）和INTERNET兩個出口。3、校園網(wǎng)安全性要求較高，要求設備能夠?qū)崿F(xiàn)用戶識別和動態(tài)綁定功能如通過“IP+MAC+端口”三元組的動態(tài)綁定來識別用戶

2、。4、校園網(wǎng)WEB頁面可實現(xiàn)以下功能：用戶Web自助服務功能，用戶可通過Web自助服務頁面，進行個人資料的查詢、密碼修改、上網(wǎng)明細查詢、繳費記錄查詢以及在線預注冊和在線帳號充值。5、校園網(wǎng)用戶能實現(xiàn)多ISP權(quán)限選擇。用戶可通過不同的帳號或采用相同帳號的不同域名進行認證，以獲得不同的權(quán)限，不同的權(quán)限對應不同的計費策略。6、校園網(wǎng)要求實現(xiàn)多種支持普通包月、包月限時長、包月限流量、計天、計時長和計量等多種計費策略。支持用戶卡和充值卡，沖值卡配合用戶卡以及提供的公用服務功能可以實現(xiàn)用戶的完全自助管理。7、校園網(wǎng)要求能對每個用戶的使用情況能進行事后審計，能夠定位到IP地址以及用戶所連接的端口和登錄的用戶

3、名，限定帳號的使用端口。8、 校園網(wǎng)要求能實現(xiàn)對用戶帶寬的動態(tài)控制。9、 校園網(wǎng)要求實現(xiàn)組播業(yè)務。10、校園網(wǎng)要求在學校規(guī)模不斷擴大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡具有很好的擴展性，能夠根據(jù)需要逐步平滑升級到萬兆的骨干連接。11、網(wǎng)管平臺實現(xiàn)網(wǎng)絡資源的管理、網(wǎng)絡安全訪問的控制。并且在平臺上能方便地開發(fā)所需網(wǎng)絡應用。12、采用流行的、支持設備面廣、有良好圖形界面的網(wǎng)管平臺。網(wǎng)管系統(tǒng)能夠管理到網(wǎng)絡中的每一個智能設備及有關(guān)設備的每一個端口，即能夠遠程對設備進行設置、調(diào)試、網(wǎng)絡流量監(jiān)測和必要的重置。能對網(wǎng)絡故障能及時發(fā)現(xiàn)并報警。三、詳細規(guī)劃1.網(wǎng)絡設計的基本原則校園網(wǎng)建設是一項大型網(wǎng)絡工程，各個學校需要

4、根據(jù)自身的實際情況來制定網(wǎng)絡設計原則。該學校網(wǎng)絡需要完成包括圖書信息、學校行政辦公等綜合業(yè)務信息管理系統(tǒng)，為廣大教職工、科研人員和學生提供一個在網(wǎng)絡環(huán)境下進行教學和科研工作的先進平臺。校園網(wǎng)覆蓋整個學校校園，網(wǎng)絡設計一般應遵循下列基本原則：可靠性和高性能網(wǎng)絡必須是可靠的，包括網(wǎng)元級的可靠性，如引擎、風扇、單板、總計等；以及網(wǎng)絡級的可靠性，如路由、交換的匯聚，鏈路冗余，負載均衡等。網(wǎng)絡必須具有足夠高的性能，滿足業(yè)務的需要。實用性和經(jīng)濟性由于學校資金并不是很充足，不可能一步到位。另一方面，學校的應用水平較參差不齊，某些系統(tǒng)即使安裝了也利用不起來，因此，在校園網(wǎng)的建設過程中，系統(tǒng)建設應始終貫徹面向應

5、用，注重實效的方針，堅持實用、經(jīng)濟的原則?？蓴U展性和可升級性系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術(shù)的發(fā)展不斷升級。設備應選用符合國際標準的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長的生命力和擴展能力，滿足將來系統(tǒng)升級的要求。易管理、易維護由于校園骨干網(wǎng)絡系統(tǒng)規(guī)模龐大，應用豐富而復雜，需要網(wǎng)絡系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設置等功能，以便于系統(tǒng)的管理和維護。同時應盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護。先進性、成熟性當前計算機網(wǎng)絡技術(shù)發(fā)展很快，設備更新淘汰也很快。

6、這就要求校園網(wǎng)建設在系統(tǒng)設計時既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設備、工具的相對成熟。只有采用當前符合國際標準的成熟先進的技術(shù)和設備，才能確保校園網(wǎng)絡能夠適應將來網(wǎng)絡技術(shù)發(fā)展的需要，保證在未來若干年內(nèi)占主導地位。安全性、保密性網(wǎng)絡系統(tǒng)應具有良好的安全性。由于校園骨干網(wǎng)絡為多個用戶內(nèi)部網(wǎng)提供互聯(lián)并支持多種業(yè)務，要求能進行靈活有效的安全控制，同時還應支持虛擬專網(wǎng)，以提供多層次的安全選擇。在系統(tǒng)設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權(quán)限控制等。靈活性、綜合性通過采用結(jié)構(gòu)化、

7、模塊化的設計形式，滿足系統(tǒng)及用戶各種不同的需求，適應不斷變革中的要求。以滿足系統(tǒng)目標與功能為目標，保證總體方案的設計合理，滿足用戶的需求，同時便于系統(tǒng)使用過程中的維護，以及今后系統(tǒng)的二次開發(fā)與移植。 2、模塊化設計所謂模塊化就是將把整個網(wǎng)絡按功能和安全需求分為若干個組件，這些組件之間有一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡設計。模塊化設計的好處在于：1. 解決各網(wǎng)絡之間的沖突問題；2. 簡化安裝和后臺設備管理；3. 易于故障檢測和分離問題；4. 易于執(zhí)行不同類型的服務和安全方針；5. 易于擴展和/或代替原來的技術(shù)。一個完整的模塊化設計如下圖所示：  校園網(wǎng)的設計可以

8、借鑒這種思想，對各種不同種類，不同安全等級的業(yè)務進行模塊劃分，相互之間的訪問將受到控制。當然，在實際情況中并不一定要求嚴格按照上述模塊劃分，而是根據(jù)實際情況靈活運用，做適當?shù)牟脺p與調(diào)整。 3、層次化的設計（層次化網(wǎng)絡設計模型）對于大型網(wǎng)絡，可以采用業(yè)界通用“核心層-匯聚層-接入層”層次化網(wǎng)絡設計模型。  核心層核心層的主要提供不同網(wǎng)絡模塊之間優(yōu)化傳輸服務，將分組盡可能快地從一個網(wǎng)絡傳到另一個網(wǎng)絡，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡性能。匯聚層到核心層要具備冗余傳輸鏈路，任何單條鏈路斷連不影響網(wǎng)絡的可用性。作為所有網(wǎng)絡流量的傳輸中樞，核心層除了要求高性能交

9、換設備和高帶寬傳輸鏈路外，還需考慮選用支持負載均衡或負載分擔特性的設備實現(xiàn)負荷均衡。此外，為了避免網(wǎng)元故障對網(wǎng)絡造成沖擊，需要網(wǎng)絡采用支持快速聚合的特性，一旦主用通路斷開，可以很快的切換到備用通路。 匯聚層匯聚層顧名思義就是作為訪問層到骨干層的匯聚，通常為訪問層與骨干層實現(xiàn)基于策略的網(wǎng)絡間連接。匯聚層主要由三層交換機組成，提供對網(wǎng)絡流量模式控制、服務訪問控制、QoS、定義路由路徑度量（path metric）和路由協(xié)議網(wǎng)絡通告控制。  接入層接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進行邏輯子網(wǎng)劃分，并通過VLAN技術(shù)實現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離

10、模塊間的廣播流量，避免不同模塊之間相互影響。訪問層主要通過二層交換機組成。四、路由器配置與web設置1.網(wǎng)絡拓撲圖  方案說明校園網(wǎng)網(wǎng)絡系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸,骨干層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。因?qū)W校存在大量的語音和視頻傳輸。據(jù)此，考慮匯聚層對QoS有良好的支持并且能提供大的帶寬。接入層設備是最終用戶的最直接上聯(lián)的設備，它應該具備即插即用特性以及易于維護的特點。根據(jù)學校建設要求與總體目標，骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)成。在接入層面，通過定義相應的訪問策略，實現(xiàn)訪問控制，內(nèi)外

11、隔離和抭IP地址。在網(wǎng)絡結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù)(第三層交換)作為核心層，呈網(wǎng)狀拓撲結(jié)構(gòu)。以TCP/IP協(xié)議為主，并輔以IP/SPX. NETTEUI等其他流行通信協(xié)議堅持開放性和標準化，采用標準的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系統(tǒng)間易于集成，兼顧其他標準的網(wǎng)絡體系結(jié)構(gòu)，網(wǎng)絡能實現(xiàn)協(xié)議之間無縫連接。而公用服務器與每一臺核心層交換機都應該具備連接。在網(wǎng)絡硬件上采用高性能、高可靠的設備，此產(chǎn)品是具有運營商級容錯能力的高性能大型網(wǎng)絡核心交換機，可實現(xiàn)冗余備份，從而提高核心層的可靠性。整個網(wǎng)絡通過匯聚層交換機RG-S6806E和核心交換機RG-S6810E之間的鏈路冗余備份和負載

12、均衡提供安全可靠的網(wǎng)絡構(gòu)架（使用OSPF、ECMP、WCMP等技術(shù)），其安全保障技術(shù)提供一個全網(wǎng)概念的整體網(wǎng)絡安全，而通過簡單地增加萬兆模塊可以平滑升級到萬兆骨干的校園網(wǎng)。如拓撲圖所示，作為學生宿舍網(wǎng)的核心，要求設備能夠大容量、穩(wěn)定可靠的高速路由轉(zhuǎn)發(fā)，能夠接入大量的匯聚節(jié)點并滿足今后擴充的需要。同時，應完備的QOS保證機制，完備的業(yè)務控制、用戶管理機制。同時，還應該考慮到與一期工程的網(wǎng)絡設備之間的良好的兼容性、互通性。因此，在本方案的在核心層，部署了銳捷網(wǎng)絡的RG-S6810E模塊化骨干路由交換機兩臺，該交換機具有高達1.6T（可擴展3.2T）的背板，L2/L3層具有572Mpps的轉(zhuǎn)發(fā)率，同

13、時還可以配置冗余電源和管理引擎模塊，可以實現(xiàn)對全網(wǎng)的數(shù)據(jù)進行高速無阻塞的交換，負責路由管理、網(wǎng)絡管理、網(wǎng)絡服務、核心數(shù)據(jù)處理等。其硬件策略路由功能為學校的出口規(guī)則提供了靈活的設置，此外核心交換機硬件的IPv6功能為學校接入CERNET2提供了無縫連接。為了提高網(wǎng)絡上連帶寬，業(yè)界提出了端口聚合(802.1ad)的概念，此概念也廣泛應用于校園網(wǎng)的建設中。銳捷網(wǎng)絡交換機可將多個端口聚合，每條干路支持全雙工模式。端口聚合可以在單臺交換機中進行配置，支持聚合通道內(nèi)部的負載均衡。從核心層到匯聚層使用多條多模光纖連接到匯聚層交換機，并實現(xiàn)端口聚合。匯聚層起著承上啟下的作用，負責對各種接入的匯聚，并可在該層實

14、現(xiàn)對于用戶的訪問控制，以及對用戶的網(wǎng)絡管理。因此，匯聚層應考慮三層智能交換機。在本方案中，共部署三臺銳捷網(wǎng)絡自主研發(fā)的RG-S6806E模塊化骨干路由交換機。在匯聚層使用三層交換機的目的是為了減輕核心層的負擔。接入層應該能夠?qū)崿F(xiàn)對用戶的訪問控制，并具有較強的安全和QOS控制功能，支持802.1x的認證計費，支持千兆上聯(lián)，支持SMNP的網(wǎng)管。同時，為滿足學生宿舍網(wǎng)的高端口密度接入的需求，接入層應考慮二層智能型可堆疊交換機。因此，在接入層部署了銳捷網(wǎng)絡的STAR-S2126G/STAR-S2150G智能型可堆疊交換機。同時為了保證宿舍網(wǎng)內(nèi)部網(wǎng)的安全,在內(nèi)網(wǎng)和外網(wǎng)之間增加硬件防火墻，接在INTERN

15、ET/CERNET出口的位置,根據(jù)安全需求可將校園網(wǎng)分為內(nèi)部網(wǎng)、外部網(wǎng)與DMZ區(qū)等，以保護校園網(wǎng)的安全，防止惡意用戶的攻擊。為了統(tǒng)一網(wǎng)絡管理和監(jiān)控，在網(wǎng)絡中心配置StarView管理平臺可以對設備進行集中的管理，包括網(wǎng)絡拓撲發(fā)現(xiàn)、配置管理、性能管理、事件管理，實現(xiàn)全網(wǎng)設備的管理。在網(wǎng)絡中心兩臺核心交換機各通過兩條千兆鏈路連接校園圖書館子網(wǎng)，兩臺核心交換機間業(yè)務量增大時，也可考慮通過上行雙鏈路Trunk來連接。其中公寓干網(wǎng)以千兆鏈路下聯(lián)至公寓樓宇交換機STAR-S2126G/STAR-S2150G；同時網(wǎng)絡中心通過千兆連接專項課題研究樓子網(wǎng)；在網(wǎng)絡中心核心交換機通過千兆鏈路連接行政/教學樓子網(wǎng)交

16、換機，以千兆鏈路下聯(lián)至樓宇交換機STAR-S2126G/STAR-S2150G；計算中心子網(wǎng)及應用服務器群另在網(wǎng)絡中心通過千兆鏈路下行連接。實現(xiàn)百兆交換到桌面。 A. 校園網(wǎng)路由設計不使用默認路由，使用策略路由，防止從Internet訪問校園網(wǎng)。B.Internet路由設計采用靜態(tài)默認路由協(xié)議訪問Internet為了實現(xiàn)路由的備份，配置到Internet的兩條默認路由，兩條路由的優(yōu)先級可以相同，可以不同。如果相同，則兩條線路采取負載分擔方式。如果不同，則是主備方式，其中優(yōu)先級高的稱為主路由，優(yōu)先級低的為備份路由。這樣，正常情況下，路由器采用主路由發(fā)送數(shù)據(jù)。當線路發(fā)生故障時，該路由自動

17、隱藏，路由器會選擇余下的優(yōu)先級最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。這樣，也就實現(xiàn)了主路由到備份路由的切換。當主路由恢復正常時，路由器恢復相應的路由，并重新選擇路由。由于該路由的優(yōu)先級最高，路由器選擇主路由來發(fā)送數(shù)據(jù)。采用源地址路由，讓Internet地址訪問Internet；采用ACL，防止訪問Cernet的流量通過Internet；采用ACL，防止來自校園網(wǎng)的Internet地址。C.安全與流量控制對端口ARP檢查防止ARP攻擊；對端口安全：MAC動態(tài)地址鎖，MAC地址靜態(tài)綁定；交換設備 BPDU Guard功能，過濾非法BPDU報文，防止STP攻擊交換機；端口安全：端口靜態(tài)綁定，自動綁定 I

18、P和MAC 地址防止DOS攻擊；智能安全到邊緣：多種ACL，滿足不同網(wǎng)絡應用，過濾病毒SSH密文傳輸，限制管理IP等措施保證設備管理可靠；對網(wǎng)絡病毒的防范：采用設置ACL，對病毒進行過濾；我們使用的匯聚、核心交換機都支持SPOH，通過端口獨立的FFP進行ACL處理，網(wǎng)絡設備性能不受設置 ACL 數(shù)目影響； 五、組網(wǎng)方案方案一：1將一個班同學的寢室劃為同一個VLAN，再將一棟宿舍樓劃為一個大VLAN。理由：高校的學生通過網(wǎng)絡交換的信息量日益增大，特別是一個班的同學，住在一個寢室的同學不一定就是一個班的，將一個班的同學劃為同一個VLAN便于信息的傳遞。2將每個老師的寢室劃為一個VLAN。

19、理由：每個老師的計算機里可能有一些重要的科研資料，從安全性考慮，所以不能將所有老師的寢室劃為同一個網(wǎng)。并且學生宿舍和教師宿舍不能互相訪問。3將教學樓的所有教室劃為一個VLAN。理由：上課的教室不固定，每個教室需要共享一些信息。4將實驗樓劃為一個大VLAN，再將每個實驗室劃為一個小VLAN。理由：方便同學和老師做一些教學實驗，實驗室會進行一些專項課題研究，一個實驗室同一個VLAN安全性更高。5將辦公樓劃為一個大VLAN，再將每個部門劃為一個小VLAN。理由：方便每個部門管理，鑒于每個的不同性質(zhì)，更要提高安全性。6劃分方法采用基于端口的劃分。理由：高校學生的流動性大，例如換寢室，畢業(yè)等，而導致的學生的人數(shù)和班級的變動?；诙丝诘膭澐郑鄬碚f容易設置和監(jiān)控，只需要將端口配置的VLAN重新分配。備注：將每個小VLAN里的其中一臺交換機設為VTP SERVER，其余的為VTP CLIENT。工作在VTP服務器模式下的服務器將使用VTP共享VALN信息。在VTP SERVER上進行VLAN的創(chuàng)建、添加、刪除或修改操作。每個大VLAN的劃分由上一層交換機完成。方案二：1將一個寢室劃為同一個VLAN，再將一棟宿舍樓劃為一個大VLAN。理由：一個寢室的同學公用一個端口，可以節(jié)約成本。一個寢室的同學在一個網(wǎng)內(nèi)可以共享一些資源，更方便的進行信息交流