開封大學校園網絡的設計與實現畢業(yè)設計開大校園網設計

開封大學軟件學院畢業(yè)設計題目：開封大學校園網絡的設計與實現院（系）：軟件學院專業(yè)：網絡系統管理學生姓名：胡皓瓊學號:2010113565起訖日期：2012年4月5日~4月27日指導教師：許濤發(fā)任務書日期:2011年4月5日目錄TOC\o"1-3"\h\u論文摘要 2一、開大校園網介紹 3二、需求分析 4（一）開封大學環(huán)境需求 4（二）開大校園網主干的需求分析 4（三）開大校園網網絡系統的需求分析 4（四）開大校園網服務器的需求分析 4三、技術簡介 5（一）HSRP介紹 5（二）NAT的介紹 5（三）VTP的介紹 5（四）VLAN技術的介紹 6（五）路由協議的介紹 6（六）網絡冗余的介紹 7四、網絡規(guī)劃設計 7（一）學校現狀分析 7（二）學校網絡拓補圖 7（三）校園網建設原則 8（四）校園VLAN劃分 8五、網絡設備的選型 10（一）選型原則 10（二）服務器的選擇 11（三）交換機的選擇 11（四）路由器的選擇 12六、綜合布線設計 12（一）結構化布線系統優(yōu)點 12（二）綜合布線系統 13七、網絡安全設計 15（一）網絡安全介紹 15（二）集成的網絡安全策略 17（三）實現防火墻技術 17八、開大校園網絡實現 18（一）硬件簡介 18（二）軟件介紹 18（三）實驗拓撲圖 19（四）IP地址劃分 19（五）配置清單 20（六）測試 32總結 35參考文獻 36論文摘要隨著網絡技術、INTERNET的發(fā)展和CERNET（中國教育科研網）的迅速壯大，很多學校建成校園網并接入到CERNET。校園網的建設已成為學校實力與發(fā)展水平的標志。學校辦學的規(guī)模、層次正在迅速地擴大和提高，建設一個先進、實用的校園網，實現校內外信息的快速傳遞，使教學、科研、管理步入信息化、網絡化，從而提高辦學水平和辦學效益已成為必然之選。開封大學校園網的建成和使用，對于提高教學和科研的質量、改善教學和科研條件、加快學校的信息化進程，開展多媒體教學與研究以及使教學多出人才、科研多出成果有著十分重要而深遠的意義。其主要包括各種局域網的技術思想、網絡設計方案、網絡拓撲結構、布線系統、Intranet/Internet的應用、網絡安全，網絡系統的維護等內容。通過本畢業(yè)設計課題的論述，希望使讀者能夠了解校園網的建設過程以及所涉及到的各種網絡技術，并能對今后大家在學習網絡技術知識或是進行校園網的工程建設中有所借鑒。本設計通過使用CiscoPacketTracer和模擬出一個虛擬的操作環(huán)境，從而演示說明使用VTP，路由策略，NAT轉換，遠程控制，STP，備份的過程，實現校園網網絡的綜合設計。關鍵詞：校園網VTP路由NATVLAN

開封大學校園網絡設計與實現胡皓瓊（軟件學院10級網絡系統管理）一、開大校園網介紹開封大學校園網是一個涉及局域網和廣域網、服務器的集成系統。開大校園網是利用先進的建筑綜合布線技術構架安全、可靠、便捷的計算機信息傳輸線路；開大校園網的建設必須考慮到為學校教學、教育科研，利用成熟、領先的計算機網絡技術規(guī)劃計算機綜合管理系統的網絡應用，提供優(yōu)質的網絡化教學環(huán)境。因此，開大校園網應當是寬帶、具有交互功能和專業(yè)性較強的計算機局域網絡。開大校園網除了需要有必備的硬件設備和操作系統平臺外，利用全面的開大校園網絡管理軟件、網絡教學軟件，實現學校多媒體教學資源、教師備課系統、電子圖書閱覽檢索、多媒體教學軟件開發(fā)平臺、開大校園網站和教學資源網站建設等功能。為學校提供教學、管理和決策三個不同層次所需要的數據、信息和知識的一個覆蓋全校管理機構和教學機構的基于Internet/Intranet技術的大型網絡系統。開大校園網還應具有教務、行政、總務管理功能，可以進行課程管理、學生成績與學籍管理、圖書資料管理等教學教務管理，也可以進行檔案管理（含人事、教師檔案等）、處室管理等行政事務管理，總務后勤管理包括財務管理、設備、房產等。開大校園網應該具有較先進的水平，體現現代教育思想，要把建設開大校園網的規(guī)劃與學校的長遠發(fā)展規(guī)劃統一起來，同時把服務教學作為網絡建設的著眼點和落腳點。開大校園網是不以盈利為目的的。開大校園網上提供大量的免費資源，供廣大師生工作學習之用，它所涉及的范圍并不局限于校園內部。有些人認為：校園網就是大學校園圍墻里面的網，即圍墻里面的就是校園網，圍墻外面的就是公網。這種看法是錯誤的。校園網的界限，并不是以用戶終端所處的地理位置范圍來的界定的，而是以校園網提供的接入服務范圍來界定的。在校園圍墻內可以有公網，在校園圍墻外也可以有校園網。二、需求分析（一）開封大學環(huán)境需求開封大學有三個校區(qū)：1.老校區(qū)（軟件，機電，外語，管理，國教，工美，行政樓，學生公寓1，實驗樓，實訓工廠，圖書館（借書處，還書處，圖書館服務器））。2.新校區(qū)（土木，化工，人文，財經，學生公寓2）3、醫(yī)學院校區(qū)。（二）開大校園網主干的需求分析開大校園網的多媒體應用是在校園網內實現VOD點播，所以大量的視頻數據流對帶寬要求很高，每個教學樓之間的距離都比較遠，所以主干需采用千兆光纜技術，在未來一段時間內滿足最多2000用戶對校園網主干的流量要求。（三）開大校園網網絡系統的需求分析1.在保證技術成熟的前提下，盡可能采用先進的技術。2.必須符合相應的國際、國內標準。3.提供足夠的帶寬，保障用戶通暢的網上信息交流。4.網絡具有良好的擴展性，考慮到未來一段時間內用戶數量的增加。5.要考慮網絡系統的可管理性及安全性。6.支持VLAN。7.遵循教育系統的定位，注重性能價格比。（四）開大校園網服務器的需求分析開大校園網服務器承擔著整個校園內各種網絡服務、用戶賬號管理、共享資料的存儲、服務器端教學管理軟件的運行、安全管理、代理服務等應用，因而服務器應滿足以下要求：1.高可靠性，能夠適應我校平均每周不少于5天的不間斷工作。2.高性能，能夠提供最大用戶量的常用服務請求。3.高冗余性，服務器出現故障時，仍能保證系統的安全性和數據的安全性。4.容易升級，提供更好的性能。三、技術簡介（一）HSRP介紹HSRP是一種網關冗余協議,被廣泛用于Cisco多層交換網絡中。HSRP是Cisco的專用協議,它通過在冗余之間共享協議和MAC地址,提供了不間斷的IP路徑冗余。HSRP由在兩臺或多臺路由器之間共享虛擬IP地址和虛擬MAC地址以及一個通過多播協議對LAN接口和串行接口進行監(jiān)控的進程組成。HSRP設計目的主要在于支持IP傳輸失敗情況下的不中斷服務。具體說,就是用于在源主機無法動態(tài)地學習到路由器IP地址的情況下防止路由的失敗。它主要用于多接入,多播和廣播局域網(例如以太網)。當然HSRP并不是有意要取代現有的動態(tài)路由發(fā)現機制,而這些現有的路由協議仍可以繼續(xù)使用,只不過不是在任何可能的情況下。以前的大部分主機都不支持動態(tài)路由發(fā)現協議,他們是通過配置缺省路由來進行工作的,而HSRP卻為它們提供了一種失敗服務機制。（二）NAT的介紹NAT（NetworkAddressTranslation，網絡地址轉換）是將IP數據報頭中的IP地址轉換為另一個IP地址的過程。在實際應用中，NAT主要用于實現私有網絡訪問公共網絡的功能。這種通過使用少量的公有IP地址代表較多的私有IP地址的方式，將有助于減緩可用IP地址空間的枯竭。（三）VTP的介紹VTP（VLANTrunkingProtocol）：是VLAN中繼協議，也被稱為虛擬局域網干道協議。它是思科私有協議。作用是十幾臺交換機在企業(yè)網中，配置VLAN工作量大，可以使用VTP協議，把一臺交換機配置成VTPServer,其余交換機配置成VTPClient,這樣他們可以自動學習到server上的VLAN信息。（四）VLAN技術的介紹VLAN（虛擬局域網）是對連接到的第二層交換機端口的網絡用戶的邏輯分段，不受網絡用戶的物理位置限制而根據用戶需求進行網絡分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協議來進行分組。基于交換機的虛擬局域網能夠為局域網解決沖突域、廣播域、帶寬問題。傳統的共享介質的以太網和交換式的以太網中，所有的用戶在同一個廣播域中，會引起網絡性能的下降，浪費可貴的帶寬；而且對廣播風暴的控制和網絡安全只能在第三層的路由器上實現。VLAN相當于OSI參考模型的第二層的廣播域，能夠將廣播風暴控制在一個VLAN內部，劃分VLAN后，由于廣播域的縮小，網絡中廣播包消耗帶寬所占的比例大大降低，網絡的性能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層（網絡層）的路由來實現的，因此使用VLAN技術，結合數據鏈路層和網絡層的交換設備可搭建安全可靠的網絡。網絡管理員通過控制交換機的每一個端口來控制網絡用戶對網絡資源的訪問，同時VLAN和第三層第四層的交換結合使用能夠為網絡提供較好的安全措施。另外，VLAN具有靈活性和可擴張性等特點，方便于網絡維護和管理，這兩個特點正是現代局域網設計必須實現的兩個基本目標，在局域網中有效利用虛擬局域網技術能夠提高網絡運行效率。（五）路由協議的介紹iew/1360.htm"路由器提供了異網互聯的機制，實現將一個網絡的數據包發(fā)送到另一個網絡。而路由就是指導IP數據包發(fā)送的路徑信息。路由協議就是在路由指導IP數據包發(fā)送過程中事先約定好的規(guī)定和標準。路由協議通過在路由器之間共享路由信息來支持可路由協議。路由信息在相鄰路由器之間傳遞，確保所有路由器知道到其它路由器的路徑?？傊?，路由協議創(chuàng)建了路由表，描述了網絡拓撲結構；路由協議與路由器協同工作，執(zhí)行路由選擇和數據包轉發(fā)功能。（六）網絡冗余的介紹網絡主要是由全部的節(jié)點設備以及設備之間的連接組成的。因此,網絡中的故障也主要包括節(jié)點設備的故障與連接故障兩種。常見的節(jié)點設備的故障有硬件故障和軟件故障(如操作系統崩潰,內存溢出,路由協議不收斂等)。在很多行業(yè)和企業(yè)用戶里，對網絡都有實時性的要求，比如金融、證券、航空、鐵路、郵政以及一些企業(yè)用戶等，他們的網絡是不允許出現故障的，一旦出現故障，那將帶來非常巨大的經濟損失；但網絡涉及到的環(huán)節(jié)非常多，比如說線路、基帶Modem、電信的設備等，這些都有可能出現問題，任何一個環(huán)節(jié)出現問題，都會導致整個網絡傳輸運行的停止。所以應該給用戶提供冗余的網絡，作為重要的網絡設備――路由器，就是通過備份來實現網絡的冗余，確保網絡的暢通。四、網絡規(guī)劃設計（一）學?，F狀分析學校分為新校區(qū)，老校區(qū)，醫(yī)學院。其中新校區(qū)（土木，財經，人文，化工，學生公寓）老校區(qū)（行政樓，學生公寓，機電，軟件，管理，工美，實驗樓，實訓工廠，外語，國教，圖書館（借書處、還書處、圖書館服務器））醫(yī)學部校區(qū)（二）學校網絡拓補圖計算機網絡拓撲結構有很多種，主要有總線型拓撲、環(huán)型拓撲和星型拓撲?？偩€型拓撲結構中所有的電腦用介質將整個網絡從頭串到尾。這是所有的網絡拓撲結構中最簡單的一種。環(huán)型拓撲結構，就是指所有站點被繞成一圈的電纜所連接起來，整個結構看起來像是一個圓圈。當前在各種網絡系統的建設中使用最多的是星型拓撲結構，雖然星型拓撲結構的網絡在布線和網絡設備的花費多一些，不過目前各種硬件設備已經非常便宜了，這種花費是可以承受的。因而它的優(yōu)點也是十分突出的，主要是當網絡中某個節(jié)點出現故障時不會影響整個網絡的運行，這使得網絡從總體上可以提供高度的可靠性和沉畬性，這個性能十分適合校園網這種應用環(huán)境，也是校園網的建設中必須要求做到的。本次設計我們選擇星型拓撲結構，如圖1示圖1中有三個部分，其中紅色部分是老校區(qū)，藍色部分是醫(yī)學院校區(qū)，綠色部分是新校區(qū)。圖1校園網拓撲結構圖（三）校園網建設原則1.整體規(guī)劃分步實施：一方面因為學校的資金情況，不能一步到位。二是依據需求，不能盲目投資。2.注重應用系統建設：計算機網絡要想發(fā)揮出它的作用，必須有建立在它之上的應用系統。這里有一個非常形象的比喻：網絡就像路，而應用系統就像車，只修路但沒車跑，路也不能發(fā)揮它的作用。這必須跟據學校的實際情況，選擇恰當的應用系統。3.把握當前先進性：要將未來的可擴展性和經濟可行性結合起來。當前計算機網絡技術發(fā)展很快，設備更新淘汰很快。校園網建設應當采用當前成熟先進的技術和設備，而這些設備應有良好的擴張性，即能夠兼容未來可能的技術。（四）校園VLAN劃分VLAN（VirtualLocalAreaNetwork）稱為虛擬局域網，是指在邏輯上將物理的LAN分成不同小的邏輯子網，每一個邏輯子網就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網（LAN）在交換機上通過軟件劃分成若干個小的虛擬的局域網（VLAN）。因為交換機通信的原理就是要通過“廣播”來發(fā)現通往的目的MAC地址，以便在交換機內部的MAC數據庫建立MAC地址表，而廣播不能跨越不同網段。VLAN技術的出現，使得管理員根據實際應用需求，把同一物理局域網內的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發(fā)到其它VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN除了能將網絡劃分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網絡的拓撲結構變得非常靈活的優(yōu)點外，還可以用于控制網絡中不同部門、不同站點之間的互相訪問。通過劃分VLAN子網，能劃小了廣播域，避免了數據碰撞在大的物理LAN內產生嚴重后果的可能，也避免了廣播風暴的產生。提高交換網絡的交換效率，保證網絡穩(wěn)定。提高網絡安全性，通過劃分VLAN，LAN被劃分不同子網段，因此不能直接通信。必要的通信必須經過路由來實現，因此可在路由器（或三層交換機）上配置訪問列表來進行跨子網段的授權訪問，從而提高校園內部網絡訪問的安全性。方便網絡管理：采用VLAN技術來劃分校園網絡，一個VLAN可以根據不同的院系、辦公室或者服務器組將不同地理位置的工作站劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在子網之間移動，VLAN提供了網段和機構的彈性組合機制。VLAN技術很好的解決了網絡管理的問題，能實現網絡監(jiān)督與管理的自動化，從而更有效的進行網絡監(jiān)控。該學校校園網絡VLAN的劃分及IP的分配，如表1所示。表格1學校VLAN的劃分及IP的分配表校區(qū)序號子網名稱網段IP網關IP備注老校區(qū)1服務器群Vlan12網管中心192．168．150．1Vlan1503軟件Vlan104機電Vlan205外語1Vlan306管理Vlan407國教Vlan508工美Vlan609行政樓Vlan7010學生公寓1Vlan8011實驗樓Vlan9012實訓工廠Vlan10013圖書館還書處1Vlan10114圖書館還書處3Vlan10215圖書館借書處1Vlan10316圖書館借書處2Vlan10417圖書館服務器Vlan15新校區(qū)1土木Vlan32化工Vlan43人文Vlan54財經192.Vlan65學生公寓2Vlan7醫(yī)學院校區(qū)1醫(yī)學院部1Vlan82醫(yī)學院部2Vlan9五、網絡設備的選型（一）選型原則開封大學網絡系統設計時考慮如下特點：1．穩(wěn)定可靠的網絡只有運行穩(wěn)定的網絡才是可靠的網絡，而網絡的可靠運行取決于諸多因素，如網絡的設計，產品的可靠性。為了支持數據、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用最先進的網絡技術，以適應大量數據和多媒體信息的傳輸，既要滿足目前的用戶需求，又要充分考慮未來的發(fā)展。為此應選用高帶寬的先進技術。2．易擴展的網絡系統要有可擴展性和可升級性，隨著用戶的增長和應用水平的提高，網絡中的數據和信息流將按指數增長，需要網絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。3．安全性網絡系統應具有良好的安全性，由于網絡連接園區(qū)內部所有用戶，安全管理十分重要。應支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的安全控制，以保證系統的安全性。4．容易控制管理因為上網用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質量，又合理的利用網絡資源，是建好一個網絡所面臨的首要問題。（二）服務器的選擇開封大學選用了浪潮服務器，是因為浪潮服務器不僅提高了數據的讀寫速度同時也可以提高數據的安全性，避免數據災難帶來的損失，而且它安裝簡單，只需要點擊“下一步”的鍵，就可以輕松完成整個系統的安裝，并可以對整個系統進行實時監(jiān)控和遠程管理。選擇的這一款浪潮英信NF280D價格適中，性能也比較好，它包括金融、電信、能源、政府行業(yè)的數據庫應用、VOD應用稅務、工商、公安等電子政務應用，高校數字圖書館、遠程教育、多媒體教學等。浪潮英信NF280D是浪潮雙核服務器的明星產品，采用一體化存儲擴展模塊，用戶可以隨時添加外接存儲組件，不需添加任何成本，靈活、可靠。同時，支持模塊化存儲組件集成SATA，可選單雙通道SCSI，可選四、八通道SAS，使客戶可以按照業(yè)務發(fā)展需求隨意配置，大大提高產品靈活度，也降低了各配置之間的切換成本。另外，NF280D還支持服務器虛擬化技術，能夠配合成長型企業(yè)不斷優(yōu)化IT基礎設施。浪潮英信NF280D服務器采用了最新的雙核英特爾至強處理器，支持64位擴展技術，可選2×2MB的二級高速緩存，高達1333MHz系統前端總線。為了充分的發(fā)揮雙核處理器的計算性能，NF280D采用了業(yè)界最新的全緩沖內存技術、I/O加速技術和可選高性能存儲套件。NF280D均衡效能的觀點，不僅體現在對客戶眼下需求的滿足，還體現在對客戶未來需求滿足上。NF280D具有智能識別并同時支持PCI-X、PCI-E的擴展功能，無論是PCI-X卡還是PCI-E，服務器都可以自動判別工作模式并正常工作。（三）交換機的選擇對于開封大學校園網的中心交換機選擇了性能較好的CISCOWS-C4503交換機，它對于中型組織和企業(yè)分支機構而言，WS-C4503系列可以通過提供配置靈活性，支持融合網絡模式，已經自動配置智能化網絡服務，降低融合應用的部署難度，適應不斷變化的業(yè)務需求。此外，WS-C4503系列針對高密度千兆位以太網部署進行了專門的優(yōu)化，其中包含多種可以滿足接入、匯聚或者小型網絡骨干網連接需求的交換機。CISCO新推出的WS-C4503系列交換機是一個創(chuàng)新的產品系列，它結合業(yè)界領先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網中的工作效率。這個新的產品系列采用了最新的CISCOtackWise技術，從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統一、高度靈活的交換系統--就好像是一整臺交換機一樣。這代表了堆疊式交換機新的工業(yè)技術水平和標準。（四）路由器的選擇對于開封大學的路由器我選擇了華為3ComQuidwayAR28-11,類型是模塊化接入路由器，固定的廣域網接口1個，固定的局域網接口2個,它采用模塊化結構，在提供了集成的快速以太網接口、AUX口和同異步串口的同時，又提供了豐富的可選配的智能接口卡SIC（SmartInterfaceCard，智能接口卡）及多功能接口模塊MIM（MultifunctionalInterfaceModule，多功能接口模塊）。AR28-11路由器提供了交流供電、直流供電兩種主機，產品盒式外觀使得AR28-11適合在電信管理網、計費網絡等電信級網絡中應用。六、綜合布線設計（一）結構化布線系統優(yōu)點開放性：結構化布線是根據ISO/IEC11801國際標準設計和施工的、因此，只要供應商按照ISO/IEC11801國際標準生產的網絡設備均可被選用，具有開放性。可擴展性：結構化布線呈星型拓撲，層次結構。因此，局域網站點的增加與減少不會影響整個小區(qū)網?？煽s放：小區(qū)網從基本的局域網放大成為園區(qū)網和廣域網，原有的局域網布線、設備都可保留。保護布線投資：結構化布線的使用壽命可長達15年，當網絡擴展、縮放、升級時，原有的布線仍然可以使用，保護了用戶的投資。節(jié)省費用：結構化布線把視頻、語音、數字信號的傳輸綜合在一塊，較原有的視頻、語音、數字信號各自單獨布線方法，更能節(jié)省用戶的布線投資。便于集中管理和維護：結構化布線系統使整棟大樓的布線系統構成一個有機整體，日后維護相當方便。（二）綜合布線系統綜合布線系統設計除符合國際標準外，還應符合《中國建筑電器規(guī)范》、《工業(yè)企業(yè)通信設計規(guī)范》、《中國工程建設標準化協會標準》，《綜合布線用電纜、光纖技術要求》及《建筑與建筑群綜合布線系統工程設計規(guī)范》等國內標準。布線系統是一個模塊化的開放系統，主要由六個子系統組成，這六個系統如圖2所示：圖2綜合布線示意圖1.工作區(qū)子系統（WorkArea）及其網絡設計工作區(qū)子系統，是由RJ-45跳線與信息插座所連接的設備組成。信息點由標準RJ45插座構成。信息點數量應根據工作區(qū)的實際功能及需求確定，并預留適當數量的冗余。工作區(qū)的終端設備（如：機、機）選用安普公司的超五類雙絞線直接與工作區(qū)內的每一個信息插座相連接，或用適配器（如ISDN終端設備）、平衡/非平衡轉換器進行轉換連接到信息插座上。2.配線子系統（Horizontal）及其網絡設計配線子系統，是從工作區(qū)的信息插座開始到管理間子系統的配線架。選擇配線子系統的線纜，要根據建筑物內具體信息點的類型、容量、帶寬和傳輸速率來確定。在配線子系統中推薦采用的雙絞電纜及光纖型號為:安普公司的超五類或六類非屏蔽雙絞線,TCL室內單模或多模光纖。雙絞線水平布線鏈路中，水平電纜的最大長度為90m。若使用100ΩUTP雙絞線作為配線子系統的線纜，可根據信息點類型的不同采用不同類型的電纜。該方案選擇安普公司的超五類非屏蔽雙絞線纜。3.干線子系統（Backbone）干線子系統，負責連接管理子系統到設備間子系統的子系統。干線子系統可以使用的線纜主要有：HAY三類大對數電纜；安普公司的超五類或六類雙絞線；TCL室內單?；蚨嗄９饫w。該方案選擇安普公司的超六類雙絞線纜。4.設備間子系統（EquipmentRoom）及其網絡設計設備間子系統，由電纜、連接器和相關支撐硬件組成。采用BIX跳接式配線架，連接交換機；采用光纖終結架連接主機及網絡設備。設備間的主要設備有數字程控witch-buy/index.html"交換機、計算機網絡設備、服務器、樓宇自控設備主機等等。它們可以放在一起，也可分別設置。在較大型的綜合布線中，可以將計算機設備、數字程控交換機、樓宇自控設備主機分別設置機房，把與綜合布線密切相關的硬件設備放置在設備間，計算機網絡設備的機房放在距離設備間不遠的位置。設備間子系統是一個集中化設備區(qū)，連接系統公共設備，如局域網(LAN)、主機、建筑自動化和保安系統，及通過垂直干線子系統連接至管理子系統。5.管理子系統（Administration）及其網絡設計管理子系統，由交連、互連和I/O組成。管理是針對設備間、電信間和工作區(qū)的配線設備、纜線等設施，按-定的模式進行標識和記錄的規(guī)定。跳線采用超5類非屏蔽雙絞線，RJ45接頭。管理間是樓層的配線間，管理子系統為其它子系統互連提供手段，它是連接垂直干線子系統和水平干線子系統的設備。管理子系統由交連、互連和輸入/輸出組成，實現配線管理，為連接其它子系統提供手段。包括配線架、跳線設備及光配線架等組成設備。設計管理子系統時,必需了解線路的基本設計原理,合理配置各子系統的部件。安普公司的綜合布線解決方案擁有搭配科學、管理簡便的成套產品用于管理子系統。6.建筑群子系統（CampusSubsystem）及其網絡設計建筑群子系統是實現建筑之間的相互連接，提供樓群之間通信設施所需的硬件。建筑群之間可以采用有線通信的手段，也可采用微波通信、無線電通信的手段。傳輸介質采用室外六芯多模光纖。建筑群子系統介質選擇原則：樓和樓之間在二公里以內、傳輸介質為室外光纖、可采用埋入地下或架空(4M以上)方式、需要避開動力線、注意光纖彎曲半徑建筑群子系統施工要點：包括路由起點、終點；線纜長度、入口位置、媒介類型、所需勞動費用以及材料成本計算。建筑群子系統所在的空間還有對門窗、天花板、電源、照明、接地的要求。建筑群子系統的設計：教學樓與辦公樓之間由于距離較遠，采用單模光纖連接；圖書館與辦公樓距離較近，采用千兆以太網連接?？紤]近期學校使用、設備投資、距離超長等各種因素，采用多模光纖和單模光纖混合的方式連接，并在每個建筑物內預留了多模光纖，以備將來整個網絡系統的發(fā)展。七、網絡安全設計（一）網絡安全介紹網絡系統使計算機資源在廣泛的地理區(qū)域內共享，具有分布廣域性、體系結構開放性、資源共享性、通信信道的共同性等特點。這些特點增強了系統的實用性，同時也帶來了系統的脆弱性，網絡上的許多敏感信息和保密數據難免受到各種主動的或被動的人為攻擊，如信息泄露、竊取、數據篡改及計算機病毒感染等。因此，在網絡上構筑一系列完善的安全策略是必不可少的。安全，通常是指這樣一種機制，即只有那些被授權的人才能使用其相應的資源。網絡的安全性主要包括網絡路由的安全性和網絡信息的安全性。對應的，網絡系統安全保障的方法可以分為二大類：即以“防火墻”技術為代表的防衛(wèi)型和建立在數據加密、用戶授權確認機制上的主動型網絡安全保障系統。前者的特征是通過在網絡路由上建立相應的網絡通訊監(jiān)控系統（即“防火墻”）來達到安全控制的目的；而后者的特征是通過對網絡數據（包括用戶數據和保證網絡正常運行所需的數據）的可靠加密和用戶確認，實現對網絡的安全保護。在網絡上運行的應用，其數據安全性要求是必然的，特別是在網絡聯入Internet網的情況下。對系統安全的考慮來源于以下方面：外界闖入的惡意攻擊；非授權的資料存取；假冒合法用戶；病毒；我們可以利用現有的安全機制和系統設計，從以下幾個方面來增強數據的安全性：在內外網間設置訪火墻；對敏感數據的傳輸采用不對稱加密；利用客戶端和服務器端的SSL協議；服務器和客戶端的雙向認證；數字簽名；操作系統的存取控制；數據庫的存取控制；對應用程序的存取控制；日常的病毒掃描。由于普遍采用了以網絡為中心的集中服務方式，在網絡上傳輸病毒的機會大大減少。以下我們將集中討論如何利用防火墻、SSL、數字簽名、VPN、LDAP等技術，來實現集成的企業(yè)級網絡安全。（二）集成的網絡安全策略在設計網絡安全策略時，需要考慮在初建費用、網絡安全的擴展性、靈活性、維護費用等方面進行綜合考慮，采取適當的策略。我們設計的安全策略包括：1.網絡系統的安全性，通過網絡管理軟件等實現網絡安全控制；2.通過設置防火墻實現網絡安全；3.在應用軟件上通過用戶認證數字簽名等手段實現網絡安全。（三）實現防火墻技術實現“防火墻”所用的主要技術有數據包過濾，應用網關和代理服務器等，在此基礎上合理的網絡拓撲結構及有關技術（在位置和配置上）的安排也是保證防火墻有效性的重要因素。包過濾(packetfilter)技術顧名思義即在網絡中適當的位置對數據包實施有選擇通過。通過檢查數據流中的每個數據包后根據數據包的源地址、目的地址、所用的TCP端口號、TCP鏈路狀態(tài)等因素或它們的組合來確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發(fā)至相應的目的的地出口端。其余數據包則被從數據流中刪除。包過濾技術實現方式簡潔，目前網絡的路由設備通常均具有一定的數據包過濾能力，因而使路由設備在完成路由選擇和數據轉發(fā)功能之外同時進行包過濾是目前常見的實現方式之一。此外在工作站上使用軟件包過濾也不失為一種可行的方案，但相對較為昂貴。若在適當的路由設備上啟動包過濾功能（作此用途的路由器稱ScreeningRouter）則通常不需要額外增加硬件/軟件配置，也不需要對網絡拓撲結構作改動。但是，包過濾技術本身對網絡的保護功能是有局限的，這是因為：1.包過濾是在網絡層和傳輸層上運作的技術，因而對位于網絡更高協議層的信息無理解能力，使得它對通過網絡應用層協議實現的安全威脅無防范能力。2.由于數據包過濾邏輯是靜態(tài)指定的，因而系統的操作、維護工作量相當可觀。包過濾邏輯的靜態(tài)設置也使得它對需要動態(tài)指定TCP端口的應用協議（如FTP和X－Window）的應用受到限制。3.進行數據包的檢查和過濾會對路由設備的工作性能產生可觀的影響。并且由于路由器內部資源的限制，通常路由器對所發(fā)現的非法數據包僅是刪除而已，并不作報告，從而不具有保障系統所要求的可審計性。應用網關是建立在網絡應用層上的協議過濾、轉發(fā)功能，它針對特別的網絡應用服務協議指定數據過濾邏輯。并可根據在按應用協議指定的數據過濾邏輯進行過濾的同時將對數據包的分析的結果及采取的措施作登錄和統計，形成報告。實際中應用網關通常由專用工作站系統實現。數據包過濾技術與應用網關技術的一個共同特點是它們僅依特定的邏輯檢查是否允許特定的數據包通過。一旦特定的網絡數據流滿足邏輯，則防火墻內外的計算機系統建立直接聯系，因而保留了防火墻外部網絡系統直接了解防火墻內網絡結構和運行狀態(tài)的可能，代理服務器技術則是針對這一問題引入的防火墻技術，其特點是將所有跨越防火墻的網絡通信鏈路分為二段，防火墻內外計算機系統間的應用層的“鏈接”由二個終止于代理服務器上的“鏈接”來實現。外部計算機的網絡鏈路只能到達代理服務器,由此實現了防火墻內外計算機系統的隔離，代理服務器在此等效于一個網絡傳輸層上的數據轉發(fā)器的功能。八、開大校園網絡實現（一）硬件簡介本實驗為小型模擬實驗一共需要22臺PC機，12臺交換機，3臺路由器。交換機采用思科出產的Cisco2960和Cisco3640的交換機,路由器使用思科出產的Cisco2811和Cisco3620系列的路由器。（二）軟件介紹使用CiscoPacketTracer和模擬器進行模擬實驗的環(huán)境搭建。CiscoPacketTracer是由Cisco公司發(fā)布的一個輔助學習工具，為學習思科網絡課程的初學者去設計、配置、排除網絡故障提供了網絡模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網絡拓撲，并可提供數據包在網絡中行進的詳細處理過程，觀察網絡實時運行情況。DynamipsGUI，是由中國青島CCIE小凡開發(fā)的一個思科模擬器圖形前端。它不僅整合了思科所有的IOS模擬器，而且還整合了BES以及VPCS。它是一個綜合的模擬器解決方案。它配置輸出采用的是bat批處理文件。（三）實驗拓撲圖此拓撲圖只是一個模擬圖，其中Cisco2960的交換機是二層交換機；Cisco3640的交換機是三層交換機；Cisco2811和Cisco3620是路由器。該實驗是一個大型模擬實驗，開封大學總體的網絡拓撲圖，如圖3所示。本實驗將以此圖來模擬進行冗余網絡的實現配置過程。圖3實驗拓撲關系圖圖3中有三個部分，其中紅色部分是老校區(qū)，藍色部分是醫(yī)學院校區(qū)，綠色部分是新校區(qū)。紅色部分和藍色部分用CiscoPacketTracer實現，其中主要技術有VLAN、VTP、TELNET、MSTP、DHCP、單臂路由、路由策略、NAT等。綠色部分用DynamipsGUI來實現，其中主要技術是VRRP等（四）IP地址劃分表格2PC機IP表IP地址子網掩碼網關所屬VLANPC00DHCPVLAN10PC01DHCPVLAN20PC02DHCPVLAN30PC03DHCPVLAN40PC04DHCPVLAN50PC05DHCPVLAN60PC06DHCPVLAN70PC07DHCPVLAN80PC08DHCPVLAN90PC09DHCPVLAN100PC10VLAN104PC11VLAN103PC12VLAN102PC13VLAN101PC14VLAN3PC15VLAN4PC16VLAN5PC17VLAN6PC18VLAN7PC19VLAN8PC20VLAN9（五）配置清單如圖4所示開大新校區(qū)的網絡拓補圖，主要技術是HSRP的配置。圖4開大新校區(qū)網絡拓補圖對三層交換機Sanceng1的配置：Switch#conftSwitch(config)#hostnamesanceng1sanceng1#endsanceng1#vlandatabaseSanceng1(vlan)#vlan3（創(chuàng)建VLAN）Sanceng1(vlan)#vlan4Sanceng1(vlan)#vlan5Sanceng1(vlan)#vlan6Sanceng1(vlan)#vlan7Sanceng1(vlan)#vtpdomaincom（創(chuàng)建VTP域使不同VLAN間能夠通信）Sanceng1(vlan)#vtpserver（將其劃分為服務器）Sanceng1(vlan)#exitSanceng1#conftSanceng1(config)#interfacefas0/2Sanceng1(config-if)#switchporttrunkendSanceng1(config-if)#switchportmodetrunkSanceng1(config-if)#noshutdownSanceng1(config-if)#exitSanceng1(config)#interfacefas0/3Sanceng1(config-if)#switchporttrunkendSanceng1(config-if)#switchportmodetrunkSanceng1(config-if)#noshutdownSanceng1(config-if)#exitSanceng1(config)#interfacevlan3（開始HSRP的配置）（該路由器在該VLAN10上的接口的IP地址及掩碼）Sanceng1(config-if)#standby2preempt（啟用該組的HSRP搶占功能，誰的權值大就能即時成為活動狀態(tài)）Sanceng1(config-if)#standby2priority120（定義路由器的權值，值越大，成為活動狀態(tài)的希望越大）Sanceng1(config-if)#exitSanceng1(config)#interfacevlan4Sanceng1(config-if)#standby2preemptSanceng1(config-if)#standby2priority120Sanceng1(config-if)#exitSanceng1(config)#interfacevlan5Sanceng1(config-if)#standby2preemptSanceng1(config-if)#standby2priority120Sanceng1(config-if)#exitSanceng1(config)#interfacevlan6Sanceng1(config-if)#standby2preemptSanceng1(config-if)#standby2priority100Sanceng1(config-if)#exitSanceng1(config)#interfacevlan7Sanceng1(config-if)#standby2preemptSanceng1(config-if)#standby2priority100Sanceng1(config-if)#exitSanceng1(config)#endSanceng1#copyrunning-configstartup-config通過以上命令可以配置可以完成創(chuàng)建VLAN，配置VLANIP地址，創(chuàng)建VTP服務器模式，和配置HSRP中的虛擬IP。對三層交換機sanceng2的配置：Switch>enableSwitch#conftSwitch(config)#hostnamesanceng2Sanceng2#endSanceng2#vlandatabaseSanceng2(vlan)#vlan3Sanceng2(vlan)#vlan4Sanceng2(vlan)#vlan5Sanceng2(vlan)#vlan6Sanceng2(vlan)#vlan7Sanceng2(vlan)#exitSanceng2#conftSanceng2(config)#vtpdomainxinxiaoquSanceng2(config)#vtpmodeserverSanceng2(config)#interfacefas0/2Sanceng2(config-if)#switchporttrunkendSanceng2(config-if)#switchportmodetrunkSanceng2(config-if)#noshutdownSanceng2(config-if)#exitSanceng2(config)#interfacefas0/3Sanceng2(config-if)#switchporttrunkendSanceng2(config-if)#switchportmodetrunkSanceng2(config-if)#noshutdownSanceng2(config-if)#exitSanceng2(config)#interfacevlan3（開始HSRP的配置）（該路由器在該VLAN10上的接口的IP地址及掩碼）Sanceng2(config-if)#standby2preempt（啟用該組的HSRP搶占功能，誰的權值大就能即時成為活動狀態(tài)）Sanceng2(config-if)#standby2priority100（定義路由器的權值，值越大，成為活動狀態(tài)的希望越大）Sanceng2(config-if)#exitSanceng2(config)#interfacevlan4Sanceng2(config-if)#standby2preemptSanceng2(config-if)#standby2priority100Sanceng2(config-if)#exitSanceng2(config)#interfacevlan5Sanceng2(config-if)#standby2preemptSanceng2(config-if)#standby2priority100Sanceng2(config-if)#exitSanceng2(config)#interfacevlan6Sanceng2(config-if)#standby2preemptSanceng2(config-if)#standby2priority120Sanceng2(config-if)#exitSanceng2(config)#interfacevlan7Sanceng2(config-if)#standby2preemptSanceng2(config-if)#standby2priority120Sanceng2(config-if)#exitSanceng2(config)#endSanceng2#copyrunning-configstartup-config通過以上命令可以配置可以完成創(chuàng)建VLAN，配置VLANIP地址，創(chuàng)建VTP服務器模式，和配置HSRP中的虛擬IP。對二層交換機s5,s6的配置以s5為例：Switch>enableSwitch#conftSwitch(config)#hostnames5S5(config)#vtpdomaincomS5(config)#vtpmodeclientS5(config)#exitS5(config)#interfacefas0/1S5(config-if)#switchportmodetrunkS5(config-if)#noshutdownS5(config-if)#exitS5(config)#interfacefas0/2S5(config-if)#switchportmodetrunkS5(config-if)#noshutdownS5(config-if)#exitS5(config)#interfacefas0/3S5(config-if)#switchportaccessvlan3S5(config-if)#exitS5(config)#interfacefas0/4S5(config-if)#switchportaccessvlan4S5(config-if)#exitS5(config)#interfacefas0/5S5(config-if)#switchportaccessvlan5S5(config-if)#exitS5(config)#endS5#copyrunning-configstartup-config通過以上命令可以完成VTP客戶機模式，從而能學習到VLAN。同時對應端口劃給對應VLAN。如圖5所示為老校區(qū)的一部分網絡拓補圖，其主要運用技術VTP，DHCP。圖5開大老校區(qū)一部分網絡拓補圖對于圖中配置首先在三層交換機進行配置以下為三層交換機主要配置命令，laoxiaoqu(config)#vtpdomainlaoxiaoqu(創(chuàng)建VTP域名)ChangingVTPdomainnamefromNULLtolaoxiaoqulaoxiaoqu(config)#vtpversion2（設置VTP版本為V2）laoxiaoqu(config)#vtpmodeserver（設置為服務器模式）DevicemodealreadyVTPSERVER.laoxiaoqu(config)#vtppassword123？（設置VTP密碼為123）SettingdeviceVLANdatabasepasswordto123laoxiaoqu(config)#vlan10（創(chuàng)建VLAN10）laoxiaoqu(config-vlan)#namev10（給VLAN10從命名為V10）laoxiaoqu(config)#interfacevlan10%LINK-5-CHANGED:InterfaceVlan10,changedstatetoup（給VLAN10設置IP網關和子網掩碼）laoxiaoqu(config-if)#noshutlaoxiaoqu(config-if)#exitEnterconfigurationcommands,oneperline.EndwithCNTL/Z.laoxiaoqu(config)#ipdhcppoolruanjian（創(chuàng)建DHCP域名）（設置DHCP工作網段）（設置DHCP網管）aoxiaoqu(config)#interfacerangf0/2-6（）進入端口F0/2到6）laoxiaoqu(config-if-range)#switchporttrunkencapsulationdot1q（封裝dotlq1協議）laoxiaoqu(config-if-range)#switchportmodetrunk（設置為trunk口）laoxiaoqu(config-if-range)#exit通過以上命令完成了DHCP的配置和VTP服務器模式，創(chuàng)建VLAN和VLAN的IP配置。對圖中二層交換機進行配置以二層交換機S0為例S0(config)#VTPdomainlaoxiaoqu(創(chuàng)建VTP域名)Domainnamealreadysettolaoxiaoqu.S0(config)#vtpversion2VTPmodealreadyinV2.S0(config)#vtpmodeclient（設置為客戶機模式）SettingdevicetoVTPCLIENTmode.S0(config)#vtppassword123Passwordalreadysetto123S0(config)#interfacef0/1S0(config-if)#switchportmodetrunk（將端口F0/1設置為Trunk口）S0(config)#interfacef0/2S0(config)#switchportaccessvlan10（將端口F0/2劃給VLAN10）通過以上命令配置成VTP客戶機模式，和端口F0/1和F0/2設置TRUNK口。如圖6為開大老校區(qū)圖書館拓補圖，圖6開大老校區(qū)圖書館網絡拓補圖圖中主要配置：vtpdomainlaoxiaoqu(創(chuàng)建VTP域名)ChangingVTPdomainnamefromNULLtolaoxiaoquvtpversion2（設置VTP版本為V2）vtpmodeserver（設置為服務器模式）DevicemodealreadyVTPSERVER.vtppassword123（設置VTP密碼為123）SettingdeviceVLANdatabasepasswordto123vlan101（創(chuàng)建VLAN101）namev101（給VLAN10從命名為V10）interfacevlan101%LINK-5-CHANGED:InterfaceVlan101,changedstatetoup1（給VLAN10設置IP網關和子網掩碼）Enterconfigurationcommands,oneperline.EndwithCNTL/Z.interfacerangf0/2-3（進入端口F0/2到3）switchporttrunkencapsulationdot1q（封裝dotlq1協議）switchportmodetrunk（設置為trunk口）通過以上命令配置成功VTP和創(chuàng)建VLAN對應端口設置為Trunk口。如圖7所示為醫(yī)學院校區(qū)拓補圖，主要技術為單臂路由。圖7開大醫(yī)學院校區(qū)網絡拓補圖對路由器R0的主要配置：（進入F0/0的第一子端口）（給F0/0的第一子端口設置IP）Router(config-subif)#nosh（進入F0/0的第二子端口）（給F0/0的第二子端口設置IP）Router(config-subif)#noshutRouter(config-subif)#interfacef0/0Router(config-if)#noshut對于二層交換機的配置：Switch(config)#interfacef0/1Switch(config-if)#switchportmodetrunk（設置trunk口）Switch(config-if)#noshutSwitch(config-if)#vlan8Switch(config-vlan)#vlan9Switch(config-vlan)#interfacef0/2Switch(config-if)#switchportaccessvlan8Switch(config-if)#noshutSwitch(config-if)#interfacef0/3Switch(config-if)#switchportaccessvlan9Switch(config-if)#noshut通過以上命令完成單臂路由的配置。如圖8所示為開封大學主干道路由器和核心交換機圖8開大主干道網絡拓