辦公樓網(wǎng)絡(luò)規(guī)劃方案

1、計(jì)科系辦公樓網(wǎng)絡(luò)系統(tǒng)集成二零一一年六月目錄.網(wǎng)絡(luò)現(xiàn)狀需求分析.應(yīng)用需求用戶性能分析樓層結(jié)構(gòu)分析：樓層使用分析環(huán)境分析網(wǎng)絡(luò)分析接點(diǎn)分析網(wǎng)絡(luò)管理需求.網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)設(shè)計(jì)原則網(wǎng)絡(luò)拓?fù)鋱D及相關(guān)命令 IP 地址規(guī)劃和 VLAN%計(jì)IP 規(guī)劃VLAN 設(shè)計(jì).辦公樓網(wǎng)絡(luò)專項(xiàng)設(shè)計(jì) 網(wǎng)絡(luò)管理網(wǎng)絡(luò)安全性網(wǎng)絡(luò)擴(kuò)展性設(shè)計(jì) 網(wǎng)絡(luò)操作系統(tǒng)選擇 應(yīng)用系統(tǒng)選型.網(wǎng)絡(luò)系統(tǒng)集成使用的主要設(shè)備 1網(wǎng)絡(luò)集成系統(tǒng)需求分析.網(wǎng)絡(luò)現(xiàn)狀我院許多實(shí)驗(yàn)室和黨政領(lǐng)導(dǎo)部門都使用著計(jì)算機(jī)進(jìn)行大量計(jì)算、統(tǒng)計(jì)、分析、管理和文字處理等工作。為了適應(yīng)教學(xué)、科研和管理工作的需要，加強(qiáng)我院內(nèi) 各部門之間的信息交流和共享，提高工作效率和水平，有必要為學(xué)院建立一個(gè)

2、 更加廣泛、實(shí)用、安全的網(wǎng)絡(luò)環(huán)境。需求分析了解用戶的基本情況計(jì)算機(jī)科學(xué)學(xué)院辦公大樓目前有辦公室6間、實(shí)驗(yàn)室1-間、計(jì)算機(jī)中心室1間、資料室2間、會(huì)議室1間。我院網(wǎng)絡(luò)主要應(yīng)用于學(xué)校內(nèi)部教職工的教學(xué)和學(xué)生生活管理，多數(shù)區(qū)域能夠接入Internet ;學(xué)校有關(guān)教職工教學(xué)及學(xué)生生活的區(qū)域都已連成局域網(wǎng)同時(shí)我院開啟的網(wǎng)絡(luò)教學(xué)平臺(tái)，進(jìn)行網(wǎng)上教學(xué)（交流） 、生活管理等服務(wù)等。.確定用戶需求我院網(wǎng)絡(luò)建設(shè)的主要目的是：能充分利用網(wǎng)絡(luò)資源，提高學(xué)生的自學(xué)能力；同時(shí)開啟網(wǎng)絡(luò)教學(xué)平臺(tái)，方便 學(xué)生下載資源及解決疑難，從而提高了教學(xué)質(zhì)量。能夠覆蓋我院的各個(gè)教學(xué)、科研、生活和管理區(qū)域，在各方面提供高效的網(wǎng)絡(luò)服務(wù)。具有較高的

3、安全性。2.網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)設(shè)計(jì)原則.以滿足校園內(nèi)目前主要的網(wǎng)絡(luò)應(yīng)用項(xiàng)目為基本設(shè)計(jì)目標(biāo)，為未來可能的 應(yīng)用項(xiàng)目保留充分的擴(kuò)充余地；.采用目前通用的技術(shù)路線，但要充分考慮能夠適應(yīng)未來可能的技術(shù)發(fā)展;.布線工程一次性連通學(xué)校內(nèi)所有主要建筑物，根據(jù)應(yīng)用項(xiàng)目的實(shí)際需要 分期分批配置網(wǎng)絡(luò)設(shè)備；.充分注意保證網(wǎng)絡(luò)的安全性，可靠性和可維護(hù)性。網(wǎng)絡(luò)拓?fù)鋱D及相關(guān)命令配置命令：Router#conf tRouter(config)#int fa0/0Router(config-if)#no shutdownRouter(config-if)#int fa0/0.10Router(config-subif)#enc

4、apsulation dot1Q 10Router(config-subif)#int fa0/0.20Router(config-subif)#encapsulation dot1Q 20Router(config-subif)#int fa0/0.30Router(config-subif)#encapsulation dot1Q 30Router(config-subif)#endIP地址規(guī)劃和VLANS計(jì)IP 規(guī)劃簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式；連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂 (Summarization)及 CIDR(Clas

5、sless Inter-Domain Routing)技術(shù)縮減路由表 的表項(xiàng)，提高路由器的處理效率；可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性，網(wǎng)絡(luò)系統(tǒng)的編址方案利用CIDR和可變長子網(wǎng)掩碼技術(shù)，并支持IPv6 ,為了滿足不斷增長的IP地址需求，并實(shí)現(xiàn)與 其他網(wǎng)絡(luò)互聯(lián)和內(nèi)部子網(wǎng)互聯(lián)的有效控制和管理，建議企業(yè)網(wǎng)采用內(nèi)部保留地址,給將來的網(wǎng)絡(luò)發(fā)展留下充分的余地；靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多 數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化；唯一性：在整個(gè)網(wǎng)絡(luò)環(huán)境中必須保持IP地址的唯一性；可管理性：地址的分配應(yīng)該有層

6、次，某個(gè)局部的變動(dòng)不要影響上層、全局。安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。VLAN 設(shè)計(jì)在此我們主要采用的是 Vlan技術(shù)：丫1人可交換環(huán)境中為了克服網(wǎng)絡(luò)物理分段白限制而建立的邏輯網(wǎng)絡(luò)段。VLAN在物理網(wǎng)絡(luò)的基礎(chǔ)上，能根據(jù)需要靈活的劃出許多邏輯網(wǎng)絡(luò)，從而擺脫了建筑物、樓層、地址 空間等物理地域限制，以及因?yàn)槲挥诓季€柜或路由器地理位置的固定而造成的對(duì)用戶組 的限制，能根據(jù)用戶實(shí)際需要靈活地建立邏輯的專用網(wǎng)絡(luò)，使網(wǎng)絡(luò)更安全，更便于管理， 更暢通和帶寬更有保證。VLAN術(shù)為網(wǎng)絡(luò)設(shè)計(jì)帶來了實(shí)質(zhì)性變化：1)碰撞域縮小，廣播隔離;2）交換端口智能化；3）物理邊界不復(fù)存在；4）用戶按

7、邏輯關(guān)系分組；5）更有力地控制帶寬，有在鏈路擁護(hù)時(shí)配置和重新分配流量；6）簡化了用戶移動(dòng)時(shí)配置和重新布線的過程；7）集中式管理，提供關(guān)于流量和廣播狀態(tài)的詳細(xì)報(bào)告以及VLAN組大小和組成的統(tǒng)計(jì)數(shù)據(jù)；8）用于跨VLAN通訊的路由功能等。VLAN的主要技術(shù)特點(diǎn)包括：1. VLAN有基于網(wǎng)絡(luò)協(xié)議類型、網(wǎng)絡(luò)交換機(jī)端口、網(wǎng)絡(luò)鏈路層地址和網(wǎng)絡(luò)層地址定義 等多種形式：1）基于網(wǎng)絡(luò)協(xié)議的 VLAN基于網(wǎng)絡(luò)協(xié)議的 VLAN主要有跨越快速以太網(wǎng)主干的ISL、跨越FDDI的802.10和跨越ATM的LANE這些協(xié)議可在那些與快速以太網(wǎng)、FDDI、ATM主干網(wǎng)相連接的交換機(jī)、路由器和服務(wù)器之間傳送配置后的VLAN言息。

8、2）基于網(wǎng)絡(luò)交換機(jī)端口的 VLAN基于交換機(jī)端口的 VLAN是大多數(shù)網(wǎng)絡(luò)交換機(jī)廠家都能提供性能。依據(jù)端口草分網(wǎng)絡(luò) 成員關(guān)系，擴(kuò)大了交換機(jī)的傳輸性能，便于通過GUI進(jìn)行管理和網(wǎng)絡(luò)控制，能確保數(shù)據(jù)包不會(huì)漏入其它區(qū)域增強(qiáng)了 VLAN之間的安全性。3）基于網(wǎng)絡(luò)鏈路層地址的 VLAN基于鏈路層（第二層）地址的 VLAN是依據(jù)MACM址劃分網(wǎng)絡(luò)中的成員關(guān)系，能把 VLAN劃分的更細(xì)、更靈活，但是增加一些開銷。它是在 OSI第2層上的VLAN分段采用了 一種包標(biāo)識(shí)處理（包標(biāo)志）。數(shù)據(jù)包在經(jīng)過整個(gè)交換網(wǎng)絡(luò)時(shí)都攜帶這一標(biāo)識(shí)。從而使得唯 一標(biāo)識(shí)的數(shù)據(jù)包從每一個(gè)交換端口到VLAN組的處理具有極小的時(shí)延。這種方法不需

9、要對(duì)終端站應(yīng)用進(jìn)行任何修改?？梢灾苯舆M(jìn)彳T配置和管理，并可對(duì)現(xiàn)有的LAN介質(zhì)類型和千兆骨干網(wǎng)進(jìn)行擴(kuò)展。當(dāng)交換機(jī)接收到來自任何相連終端站設(shè)備的數(shù)據(jù)包后，在每個(gè)包頭 部都會(huì)加上一個(gè)唯一的包標(biāo)識(shí)符。1頭部信息指定了每個(gè)包的VLAN屬性（即屬于哪一個(gè)VLAN。然后，根據(jù) VLAN標(biāo)識(shí)符與MACM址，將數(shù)據(jù)包傳遞給相應(yīng)交換機(jī)和路由器，在 到達(dá)最終日的站點(diǎn)時(shí)，數(shù)據(jù)包在相鄰的交換機(jī)中去除頭部信息，并以原來的形式傳遞至相連的設(shè)備。這種方法為在不干擾網(wǎng)絡(luò)和應(yīng)用的情況下控制廣播和應(yīng)用的信息流動(dòng)提供了一種強(qiáng)有力的機(jī)制。目前，絕大多數(shù)網(wǎng)絡(luò)設(shè)備廠商還不能提供基于網(wǎng)絡(luò)層地址定義的 VLAN4）基于網(wǎng)絡(luò)層地址定義的 VLA

10、N基于網(wǎng)絡(luò)層的 VLAN通過基于協(xié)議類型和網(wǎng)絡(luò)地址的分段，可在網(wǎng)絡(luò)層（第 3層） 上得到進(jìn)一步定義。這種類型的VLAN分段需要子網(wǎng)地址與 VLAN組映射。交換機(jī)將終端站白MACM址和基于子網(wǎng)地址的對(duì)應(yīng) VLAN連接起來，同時(shí)選定在同一 VLAN中的其它站 的相應(yīng)網(wǎng)絡(luò)端口。這種方法的優(yōu)點(diǎn)在于網(wǎng)絡(luò)管理員可根據(jù)每個(gè)包中的網(wǎng)絡(luò)層信息對(duì)網(wǎng)絡(luò) 進(jìn)行分段。這種 VLAN&是大多數(shù)廠商不能支持的。VLAN之間的通信VLAN間的通信需要第 3層的路由選擇。如果沒有這個(gè)功能，VLAN將完全是相互獨(dú)立的。在今天的幾乎所有網(wǎng)絡(luò)中，無論所處地點(diǎn)或邏輯網(wǎng)段如何，訪問網(wǎng)絡(luò)所有部分的 能力是至關(guān)重要的。這就要求在一個(gè)交換機(jī)或

11、路由器中跨主干網(wǎng)進(jìn)行第3層。這樣，在設(shè)計(jì)配置和管理 VLAN時(shí)，第3層路由選擇就成為一個(gè)必不可少的組成部分。VLAN的負(fù)載分布功能VLAN的負(fù)載分布功能對(duì)局域網(wǎng)來說是十分重要的。能夠在兩個(gè)流量密集的交換機(jī)間 分布流量負(fù)載，同時(shí)又能保持這些鏈路完全冗余性，這對(duì)于需要在兩個(gè)或一系列互連的 交換機(jī)間進(jìn)行大帶寬通信的網(wǎng)管員來說是一個(gè)非常有效的機(jī)制。將用戶和流量分布在不 同的VLAN中，網(wǎng)管員可以在交換機(jī)間添加冗余鏈路，并利用這些鏈路來分布流量。在沒 布VLAN組的情況下，兩交換機(jī)間的冗余鏈路（重復(fù)路徑）并不能被交換機(jī)充分利用，這 是因?yàn)樯蓸浼夹g(shù)僅允許一條鏈路傳輸數(shù)據(jù)流，而禁止其它鏈路傳輸以防止形成橋

12、接環(huán) 路。通過把一組 VLAN分配給一個(gè)鏈路作為主要路徑，并把另一個(gè)VLAN組分配到冗余鏈路，仍然作為主要路徑，就可以在冗余鏈路上分布流量。如果使用兩條鏈路則可以將帶 寬加倍。而且，可添加的鏈路數(shù)量是不受限制的。通過為每個(gè)VLAN都提供一個(gè)生成樹，可以保持用于負(fù)載分配的重復(fù)鏈路冗余功能持續(xù)有效工作。當(dāng)主鏈路發(fā)生故障時(shí)，配置 在這個(gè)鏈路的VLAN可通過冗余鏈路重新連接。在主要鏈路運(yùn)行中斷期間，冗余鏈路將擔(dān) 負(fù)全部VLAN流量（如果僅有兩條冗余鏈路的話），當(dāng)主鏈路恢復(fù)以后，生成樹會(huì)重新將VLAN流量引向這一鏈路。.劃分VLANVLAN各實(shí)驗(yàn)由需要分析極樓層的電腦分布情況，可將網(wǎng)絡(luò)分為四個(gè)VLAN其

13、中，辦公室所有電腦共處一個(gè)VLAN方便各辦公室之間的通信，以及共享打印機(jī)等。各實(shí)驗(yàn)室各處一個(gè)室之間的數(shù)據(jù)不相互傳播。.vlan的IP地址段分配情況VLANffi IP地址規(guī)劃如下表Vlan 號(hào)IP地址1020301.4.辦公樓網(wǎng)絡(luò)專項(xiàng)設(shè)計(jì)網(wǎng)絡(luò)管理是一個(gè)復(fù)雜網(wǎng)絡(luò)必須考慮的關(guān)鍵技術(shù)問題，這里的網(wǎng)絡(luò)管理主要 指網(wǎng)絡(luò)設(shè)備及其系統(tǒng)的管理，包括網(wǎng)絡(luò)配置管理，網(wǎng)絡(luò)性能管理，網(wǎng)絡(luò)安全管 理和網(wǎng)絡(luò)故障管理。網(wǎng)絡(luò)管理設(shè)計(jì)需要在配置每個(gè)網(wǎng)絡(luò)設(shè)備時(shí)，都選擇具有網(wǎng) 絡(luò)管理代理的，駐留有網(wǎng)絡(luò)管理協(xié)議的設(shè)備，網(wǎng)絡(luò)管理設(shè)計(jì)的另一方面，是配 置一個(gè)網(wǎng)絡(luò)管理中心，它一般是一臺(tái)微機(jī)，配置網(wǎng)絡(luò)管理平臺(tái)，在平臺(tái)上運(yùn)行 管理每個(gè)網(wǎng)絡(luò)設(shè)備

14、的應(yīng)用軟件。計(jì)算機(jī)網(wǎng)絡(luò)的安全可以理解為計(jì)算機(jī)安全在網(wǎng)絡(luò)環(huán)境下的擴(kuò)展，以保證業(yè) 主基于網(wǎng)絡(luò)的應(yīng)用安全、可靠。本方案中主要從如下幾方面來實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò) 的安全問題：1）內(nèi)部安全控制內(nèi)部訪問采取如下步驟以確保安全：a）身份認(rèn)證，以識(shí)別區(qū)分合法用戶和非法用戶，從而阻止非法用戶訪問系統(tǒng)； b）權(quán)限控制，通過系統(tǒng)對(duì)用戶的授權(quán)，決定哪些用戶有資格訪問哪些資源； c）審計(jì)跟蹤，它將記錄哪個(gè)用戶在何時(shí)訪問了哪些資源，用于收費(fèi)記帳和非法事件發(fā)生時(shí)能夠有效地追蹤；d）對(duì)一些機(jī)密文件采用加密數(shù)據(jù)存放，用戶一切合法后方可查閱。2）主干網(wǎng)關(guān)于安全性方面的設(shè)計(jì)僅僅提供安全控制的方法，具體的安全控 制方案需求根據(jù)應(yīng)用需求而定

15、。網(wǎng)絡(luò)安全性的保證可通過網(wǎng)之間的訪問控制功 能，限定各個(gè)部門之間非授權(quán)的網(wǎng)絡(luò)訪問。根據(jù)業(yè)主的信息點(diǎn)需求情況，在網(wǎng)絡(luò)的整體設(shè)計(jì)中充分考慮到網(wǎng)絡(luò)的擴(kuò)展性，主要從如下兩個(gè)層次考慮:1）整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的擴(kuò)展性。整個(gè)網(wǎng)絡(luò)主干采用星型拓?fù)浣Y(jié)構(gòu)，可以很 容易地?cái)U(kuò)展主干節(jié)點(diǎn)。二級(jí)以下的節(jié)點(diǎn)也采用星型拓?fù)浣Y(jié)構(gòu)，可以很靈活 地接入微機(jī)和工作站。2）網(wǎng)絡(luò)設(shè)備的擴(kuò)展性。首先在網(wǎng)絡(luò)主干允許的情況下，可以增加樓層 集線器來擴(kuò)展網(wǎng)絡(luò)信息點(diǎn)。然后，可以增加二級(jí)節(jié)點(diǎn)交換機(jī)以增加交換的端口。3.網(wǎng)絡(luò)系統(tǒng)集成使用的主要設(shè)備設(shè)備不性設(shè)備名稱設(shè)備單價(jià)設(shè)備數(shù)量小計(jì)核心路由器CISCO 3825核心交換機(jī)CISCO WS-C3560G-24

16、TS-S接入交換機(jī)CISCO WS-C2918-48TT-CCISCO 3825參數(shù)規(guī)格基本參數(shù)路由器類型多業(yè)務(wù)路由器傳輸速率10/100/1000Mbps端口結(jié)構(gòu)模塊化局域網(wǎng)接口2個(gè)擴(kuò)展模塊610Mbps:14800pps包轉(zhuǎn)發(fā)率100Mbps:148800Pps1000Mbps:1488000pps功能參數(shù)防火墻內(nèi)置防火墻Qos支持支持VPN支持支持網(wǎng)絡(luò)管理Cisco ClickStart , SNMP其他參數(shù)產(chǎn)品內(nèi)存 256MBAC 100-240V電源電壓DC 24-60V產(chǎn)品尺寸373.38 X 434.34 X 88.9mm產(chǎn)品重量9.06kg工作溫度：0-40 環(huán)境標(biāo)準(zhǔn)濕度：5%

17、-95% （非冷凝）存儲(chǔ)溫度：-40-85 CCISCO WS-C3560G-24TS-滲數(shù)規(guī)格主要參數(shù)交換機(jī)類型企業(yè)級(jí)交換機(jī)應(yīng)用層級(jí)三層產(chǎn)品內(nèi)存128 MB DRAMK 32MB閃存?zhèn)鬏斔俾?0Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.3、IEEE802.3u、IEEE 802.3z、IEEE 802.3ab端口結(jié)構(gòu)非模塊化端口數(shù)量24接 口介質(zhì)10/100/1000BASE-T/1000FX/SX傳輸模式支持全雙工配置形式可堆疊交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬32Gbps包轉(zhuǎn)發(fā)率38.7MppsVLAN支持支持QO豉持支持網(wǎng)管支持支持網(wǎng)管功能網(wǎng)管功能SNMP,CLI,Web,管理軟件MAO址表12k數(shù)電源電壓環(huán)境標(biāo)準(zhǔn)產(chǎn)品尺(mm)產(chǎn)品重(Kg)模塊化插槽 2100-240 VAC(自動(dòng)適應(yīng))50-60Hz工作溫度0C-45 c378*445*44縣 里5.4CISCO WS-C2918-48TT-C# 數(shù)規(guī)格主要參數(shù)交換機(jī)類型快速以太網(wǎng)交換機(jī)產(chǎn)品內(nèi)存64MB傳輸速率10Mbps/100Mbps/1000MbpsIEEE 802.1D,IEEE 802.1p,IEEE 802.1Q,IEEE 802.1s,IEEE 802.1w,IEEE 802.1x,IEEEI802.3ad,IEEE 802.3ah,IEEE 802.3x,IEEE 802