大學校園網絡的設計與搭建畢業(yè)設計

大學校園網絡的設計與搭建畢業(yè)設計目錄1緒論 11.1課題研究背景及目的 11.2國內外研究狀況 11.3課題的研究方法 21.4論文構成及研究內容 22校園網絡設計原則與需求分析 32.1校園網絡設計原則 32.1.1開放性 32.1.2投資保護 32.1.3可擴充性 32.1.4安全性 32.1.5可管理性 32.2校園網絡功能需求分析 42.3技術需求分析 42.4網絡安全需求分析 43網絡總體設計 63.1校園網絡拓撲 63.2網絡層次設計 63.3動態(tài)路由協(xié)議 73.4IP規(guī)劃和VLAN劃分 94設備選用 104.1網絡設備選擇的原則與注意事項 104.2核心路由器的選擇 104.3核心交換機的選擇 124.4匯聚層交換機的選擇 124.5接入層交換機的選擇 134.6防火墻的選擇 144.7服務器的選擇 155網絡布線系統(tǒng)設計 165.1校園主干網絡系統(tǒng) 165.2網絡中心拓撲結構 175.3教學樓拓撲結構 175.4宿舍樓拓撲結構 185.5無線區(qū)域拓撲結構 196網絡安全與管理 206.1網絡安全問題 206.2網絡安全管理策略 206.2.1訪問控制 206.2.2安全接入和配置 216.2.3拒絕服務的防止 21結論 22致謝 23參考文獻 24附錄 25附錄A核心層多層交換機配置 25附錄B網絡中心路由器配置 27附錄C教學樓匯聚層交換機配置 28附錄D寢室樓VLAN配置 30附錄E財務處ACL配置 311緒論1.1課題研究背景及目的如今，各項先進的科學技術飛速發(fā)展，它強有力的改善了我們的生活方式，給人們群眾的生活帶來了深遠的影響。計算機技術，作為信息科技的發(fā)展更是日新月異的代表，而計算機網絡技術又是其中的的發(fā)展較為迅速的，人們的生活已經離不開計算機網絡，網絡已經滲透到了我們生活的點點滴滴。隨著因特網的快速普及，給網絡我們的學習與生活帶來極大的便利，它使我們與外部世界的溝通更加的快速和緊密。隨著高等教育由精英化向大眾化的轉變，各類大學為擴招開始新建校區(qū)。在當今的信息化社會，為新建的校區(qū)搭建網絡自然成為必不可少的一部分。作為一個二十一世紀合格的人才來說，他們需要掌握各類大量的知識，在教育中還需提高教學效率[1]。今天出現(xiàn)了許多新穎的教學方法，用各種方式提升學生對知識的學習速度，在和以前的人同樣的時間內，學習到比前人更多的文化知識。這些教學的方法，要利用計算機網絡才可以實現(xiàn)。這要求校園網絡必須是一個具有專業(yè)性和交互功能很強的局域網。校園網絡的建成與使用，不但可提高廣大師生的辦公、學習效率，節(jié)省大量時間，對于改善科研和教學條件、提高科研和教學質量、加快學校信息化的進程，開展多媒體教學與研究，以及教出更多的人才、搞出更多的科研成果有著非常重要而且深遠的意義。1.2國內外研究狀況在今天這個知識爆炸的社會中，人們對于信息交流以及信息資源共享的迫切需求，促進了網絡技術的產生與快速發(fā)展。計算機網絡的產生與使用，為我們人類信息文明的發(fā)展帶來了極具革命性的變化。自1995年中國教育教研網（CERNET）建設成功后，校園網的設計和建設已經進入到一個蓬勃發(fā)展的階段[2]。搭建的網絡要實現(xiàn)較高的利用率和可靠性。在提供較完善的冗余的同時，還要保證網絡的快速收斂。在設計時保證網絡的容錯能力、出錯后能夠快速排查修復。保證校園網絡內外穩(wěn)定安全聯(lián)通。校園網絡應該具有通信，管理和教學的三大功能。但對于目前的校園網絡建設來說主要的側重點是通信和教學，以數(shù)字化校園作為核心的管理領域比較難以實現(xiàn)[3]。1.3課題的研究方法此次搭建的網絡采用典型的三層結構：核心層，匯聚層，接入層。核心層的功能主要是實現(xiàn)骨干網絡之間的優(yōu)化傳輸，骨干層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。網絡的控制功能最好盡量的少在骨干層上實施。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設計以及網絡設備的要求十分嚴格。核心層設備將占投資的主要部分。匯聚層:匯聚層的功能主要是連接接入層節(jié)點和核心層中心。匯聚層設計為連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。接入層是和終端是直接相連的。我們在核心層和匯聚層的設計中主要考慮的是網絡性能和功能性要高，那么我們在接入層設計上主張使用性能價格比高的設備。接入層是最終用戶(教師、學生)與網絡的接口，它應該提供即插即用的特性，同時應該非常易于使用和維護。當然我們也應該考慮端口密度的問題。1.4論文構成及研究內容論文將包含大學校園網絡的需求分析，校園網絡的總體設計，校園網絡搭建中的各項模塊的詳細介紹，網絡搭建完成后的測試。此次搭建的網絡，對內可以實現(xiàn)校園內部資源的共享，內網用戶有效快速的溝通；對外可發(fā)布學校網站，內部用戶暢通的訪問因特網。校園網絡指的是利用通信介質，網絡設備，組網技術，協(xié)議及各種系統(tǒng)管理軟件和各類終端，有效地集成在一起，用于科研，教學，信息資源共享，學校的管理以及遠程教學方面的計算機局域網系統(tǒng)[4]。2校園網絡設計原則與需求分析2.1校園網絡設計原則校園網絡必須具備通訊、管理、教學三大功能。學生能方便瀏覽和查詢網上的資源，實現(xiàn)在線學習；老師可以便捷的瀏覽和查詢網絡上的資源，進行科研、教學工作；學校管理人員可方便地對資產、財務、學生學籍、教學事務、行政事務等進行綜合性的管理。同時可以實現(xiàn)信息與設備資源的共享，實現(xiàn)網上信息的采集及處理的自動化，實現(xiàn)各級管理階層間的信息數(shù)據交換。因此，校園網絡的建設必須具有明確的目標。2.1.1開放性采用開放的網絡體系，可以方便網絡的擴展、升級與互聯(lián)；與此同時在選擇網絡產品和服務器時，應強調產品所支持的網絡協(xié)議的國際標準化。2.1.2投資保護購買性價比高的網絡設備與服務器；采用的網絡架構及其它設備應充分考慮升級換代的便捷性，且在升級中能最大限度保護原本軟件投資和硬件設備。2.1.3可擴充性不論是從主干網絡設備的選型和其插槽個數(shù)、模塊、管理軟件及網絡整體結構，還是技術開放性和相關協(xié)議的支持等方面，都要保證網絡系統(tǒng)的可擴充性。2.1.4安全性內網之間、內網和外部公共網之間的互聯(lián)，要利用VLAN/ELAN和防火墻等相關技術和設備，用以對訪問進行控制，保證網絡的安全性。2.1.5可管理性利用簡潔的操作方式與圖形化管理界面，合理的進行網絡規(guī)劃，并提供功能強大的網絡管理功能，可以讓日常的操作與維護變的直觀、便捷、高效。2.2校園網絡功能需求分析（1）校內網絡輔助教育教學。（2）學生信息管理與查詢系統(tǒng)。（3）實現(xiàn)學校教師、行政的無紙化辦公（4）實現(xiàn)圖書館電子化，圖書信息搜索。（5）實現(xiàn)在校園網內部的文件傳輸共享。（6）建設學校網站，實現(xiàn)對外宣傳以及學校內部信息的發(fā)布。（7）校園網與Internet相連，師生可以通過互聯(lián)網獲取資源與信息。2.3技術需求分析校園網絡的特點是終端數(shù)量會很多。校園要選用合適的動態(tài)路由協(xié)議，按照不同的職能劃分不同的網絡區(qū)域，IP規(guī)劃要適當。校園網絡的ISP接入選擇要合適，其中教育網是必須接入的；根據在校人數(shù)和校園服務要求購買一定的IP數(shù)量和滿足需求的帶寬。由于存在多個校區(qū)，不同校區(qū)之間通過公網互聯(lián)存在安全風險，選擇合適的方式保證兩個校區(qū)之間可以通過內網管理。校園網中的服務器需要365*24小時開機，因此需要有專用的機房放置服務器，并有專業(yè)的運維人員看護。采用虛擬化技術，在一臺服務器上虛擬多個獨立的操作系統(tǒng)，并同時運行。數(shù)據庫服務器和其他服務器分離。網絡的實現(xiàn)較高的冗余性，重要數(shù)據采用容災備份機制。2.4網絡安全需求分析由于校園網絡接入Internet，需用防火墻來防止網絡黑客與其他非法入侵者入侵校園網絡系統(tǒng)，過濾不良信息，還可以對接入Internet的用戶進行權限控制。（1）內部服務器禁止所有人PING。（2）對校園網絡內部用戶設置AAA認證。（3）所有部門都可以訪問除財務部外的任何部門。（4）每個部門能用有線網絡訪問校園內部服務器。（5）不同的用戶設置不同的權限，對用戶進行分組。（6）任何移動用戶可以使用無線網絡訪問校院內部服務器。（7）財務部可以訪他任何部門，但財務部網絡無法訪問外網。（8）外網的用戶禁止訪問校園內網DHCP服務器和DNS服務器。（9）外網用戶不能直接訪問內網用戶，內網用戶除財務部以外則可以訪問外網。3網絡總體設計3.1校園網絡拓撲根據需求分析設計出本次搭建的校園網絡拓撲圖，總體拓撲如圖3.1所示。圖3.SEQ圖3-\*ARABIC1校園網絡拓撲3.2網絡層次設計本次搭建的校園網網絡整體上分為三個層次：核心層、匯聚層和接入層。為了實現(xiàn)校園區(qū)域內的高速互聯(lián)，核心層由1個核心節(jié)點組成，包含有網絡中心、服務器群。匯聚層設置在每棟樓上，每一棟樓上設置一個匯聚節(jié)點，匯聚層為高性能“小核心”型交換機，根據每個樓配線間數(shù)量的不同，分別采用一臺或者兩臺匯聚層交換機匯聚。為了充分的保證數(shù)據傳輸以及交換的效率，現(xiàn)將各樓內設置成三層樓內匯聚層，每個樓內匯聚層設備不僅可以分擔核心層設備的部分壓力，還可以提高了網絡安全性。接入層則為每個樓的大量接入交換機，是直接與用戶連接的設備。3.3動態(tài)路由協(xié)議結合校園網絡的特點，本次搭建的網絡采用較為普遍的OSPF動態(tài)路由協(xié)議。網絡為多區(qū)OSPF，一個骨干區(qū)域和三個常規(guī)區(qū)域。骨干區(qū)域是整個網絡的核心部分，由四臺多層交換機和服務器群組成，如圖3.2所示。圖3.2OSPF骨干區(qū)域拓撲其它的三個區(qū)域為常規(guī)區(qū)域，每個常規(guī)區(qū)域都與骨干區(qū)域直接相連。區(qū)域1包括行政處和財務處，其中財務處是具有較強的獨立性；區(qū)域2是包含有教學區(qū)、宿舍樓、圖書館，這一區(qū)域包含所有的教學樓和多有的寢室樓，這一區(qū)域的特點是終端數(shù)量眾多，管理難度相對較大；區(qū)域3是無線區(qū)，無線網絡將覆蓋校園的每個角落。這里所劃分的區(qū)域是邏輯上的，可能地理位置上相隔很遠的兩個地方，或者很分散的不同地理位置的地方會劃分在一個區(qū)域內。不過相同區(qū)域的不同地理位置的設備是需要用物理鏈路相互連接的。三個區(qū)域如圖3.3~3.5所示。圖3.3區(qū)域1拓撲圖3.4區(qū)域2拓撲圖3.5區(qū)域3拓撲3.4IP規(guī)劃和VLAN劃分按照建筑為單位，給每一棟建筑分配一定量IP和劃分VLAN。具體規(guī)劃情況如表3.1所示。表3.1IP規(guī)劃和VLAN劃分IP地址子網掩碼Vlan網絡中心—54Vlan1財務處—54Vlan2行政處—54Vlan3教學樓1#—54Vlan4教學樓2#—54Vlan5實驗樓—54Vlan6宿舍樓1-10#-54Vlan7宿舍樓11-23#-54Vlan8無線—54Vlan9圖書館—0Vlan10DHCP服務器0055Vlan80FTP服務器0055WEB服務器00255.255.255255數(shù)據庫服務器00554設備選用4.1網絡設備選擇的原則與注意事項在選擇時主要考慮網間網互聯(lián)技術與產品供應商能否為客戶提供可用、先進、可靠、安全并且易于管理的產品。所選用的交換機是否應支持VLAN劃分、設備管理等。在網絡設計的時候應選用升級能力和擴充能力都比較強的網絡設備，如Cisco、3COM、INTEL公司的網絡設備，國產如華為、中興廠家的交換機、路由器等網絡設備普遍具有有較高的性價比，也應該在選擇之列。通過對千兆位以太網與ATM兩種技術在性能、特點和工程中應用的比較可知，千兆以太網除了具有ATM所有的功能外，還能夠提供一個更為綜合性的解決方案。千兆以太網不僅能完成許多ATM功能，還具有價格低、更易與LAN結構相融合的優(yōu)點。所以在網絡方案選擇上用千兆以太網做校園網網絡總體結構，無論是在可適應性、可擴展性、高帶寬、高性價比、良好的管理性以及維護性等方面，都是你最明智的選擇。千兆位以太網的設計方案，采用的是最新的多層交換機作為全網的核心，在以此錯位基礎建立起來的以1000M為主干的校園網。根據應用的不同，可以將校園網絡分割成幾個以100M交換機為核心的子網。為滿足學校與Internet的連接，此次搭建的網絡將Web服務器，路由器等應用設備用防火墻將其與內部網隔離開來，達到保護敏感數(shù)據的目的。4.2核心路由器的選擇NetEngine40E系列核心層路由器（以下簡稱NE40E）是華為公司出品的高端網絡設備，可以廣泛適用在IP省干、IP國干網和其它各種大型IP網絡的核心層、匯聚層[5]。NE40E具有十分強大的匯聚接入能力。NE40E還全面支持IPv6，可以實現(xiàn)IPv4到IPv6的平滑過渡。憑借豐富靈活的特性支持，可以部署L3VPN、組播、組播VPN、MPLSTEL2、VPN、QoS等，完全可以實現(xiàn)業(yè)務運營級可靠性承載。因此，NE40E可以靈活的應用在IP/MPLS網絡的匯聚、核心，可簡化網絡的結構，提供豐富的業(yè)務類型以及可靠的服務質量，是IP網絡走向安全化、智能化、業(yè)務化、寬帶化發(fā)展的重要源動力。NE40E具有很好的線速轉發(fā)性能、良好的擴展能力，較為完善的QoS機制以及強大的業(yè)務處理能力，基于分布式的硬件轉發(fā)技術和無阻塞交換技術，并且采用華為自行研制的Solar系列芯片。NE40E采用基于業(yè)界最新的可擴展400G平臺，完美實現(xiàn)40G/Slot到400G/Slot的滑動擴展，并且可以兼容市面上幾乎所有線卡，做到最大限度的保護客戶的資本投資。產品規(guī)格如表4.1所示。表4.1華為NetEngine40E產品規(guī)格屬性具體參數(shù)交換容量2.56Tbps轉發(fā)性能1600Mpps業(yè)務子卡槽位數(shù)64個業(yè)務槽位數(shù)16個高度(U)32U最大功耗5360W滿配重量238kgIPv4支持Staticrouting、RIP、OSPF、IS-IS、BGP-4等路由協(xié)議，所有端口在路由振蕩等復雜路由環(huán)境下線速轉發(fā)。MPLS/MPLSVPN支持MPLSTE，支持MPLS/BGPVPN，符合RFC2547bis協(xié)議；支持三種跨域實現(xiàn)方式；支持與Internet業(yè)務集成；支持基于Martini、Kompella方式的MPLSL2VPN，支持VPLS/VLL等多種二層VPN技術；支持組播VPN。NAT支持豐富的NAT特性，包括NAT、NAT-PT、NAT多實例等，支持多ISP出口、內部服務器負載分擔等策略，支持雙向NAT，滿足用戶各種NAT組網應用。安全性支持ACL報文過濾，支持DHCPSnooping，支持防ARP攻擊、防DOS/DDOS攻擊，支持MAC地址限制、MAC與IP綁定；支持SSH、SSHv2，支持NetStream。時鐘支持1588v2，ACR，DCR，支持同步以太時鐘語音承載支持TDMPWE3，支持ATMPWE3,支持ATMIMA環(huán)境要求長期工作溫度：0~45°C短期工作溫度：-5~55°C4.3核心交換機的選擇通常網絡主干部分稱為核心層。核心層的主要作用是通過高速轉發(fā)，提供優(yōu)化、可靠的骨干傳輸結構。因此核心層交換機噓擁有更高的可靠性、性能和吞吐量。網絡需用四臺核心層交換機，選用的是華為QuidwayS9303，具體參數(shù)如表4.2所示。表4.2華為QuidwayS9303產品規(guī)格屬性具體參數(shù)交換機類型路由交換機應用層級三層傳輸速率10Mbps/100Mbps/1000Mbps端口結構模塊化交換方式存儲-轉發(fā)背板帶寬1.2Tbps包轉發(fā)率540MPPSVLAN支持支持QOS支持支持網管支持支持MAC地址表16K模塊化插槽數(shù)3電源DC:–38.4V～–72V;AC:90V～264V;典型功耗:<180W;整機供電能力:350W尺寸(mm)442*476*175重量(Kg)154.4匯聚層交換機的選擇Quidway?S6506R高端多業(yè)務三層交換機是華為面向大型企業(yè)網、IP城域網、園區(qū)網用戶開發(fā)的高密度、模塊化、大容量的二、三層線速以太網交換機，同時具有強大的QoS保障和NAT處理能力、豐富的業(yè)務功能、完善的安全管理機制以及電信級的高可靠設計，完全可以滿足行業(yè)客戶以及運營商用戶對高可靠、大容量、模塊化、多業(yè)務的需求[6]。Quidway?S6506R能夠為園區(qū)網、數(shù)據中心、城域網提供超高速鏈路，打造高性能、低成本、具有豐富業(yè)務支持的高性能網絡，可作為企業(yè)核心交換機或者城域網匯聚層交換機。具體參數(shù)如表4.3所示。表4.3Quidway?S6506R產品規(guī)格屬性具體參數(shù)型號S6506R插槽數(shù)量8業(yè)務槽位6背板容量≥1.6TbpsMAC地址表64K路由協(xié)議支持L2/3/4流規(guī)則分類過濾支持Diff-serv/QoS支持流量監(jiān)管（CAR），粒度為64Kbps支持流量整形（TrafficShapping）端口聚合支持，最大支持8個GE口或8個FE口捆綁POE支持IEEE標準802.3afPOE功能系統(tǒng)配置/系統(tǒng)管理提供中/英文雙語界面支持CLI、Console、Telnet、Modem方式配置支持SNMPV1/2/3；支持RMON環(huán)境工作溫度：0～45℃保存溫度：－30～60℃相對濕度：10％～90％無凝結輸入電壓AC：100V~240V，47~63HzDC：-60V~-48V外形尺寸（mm）寬×深×高436×480×530.6重量（滿配時最大重量）≤80kg系統(tǒng)最大功耗（滿插板）800W4.5接入層交換機的選擇接入層需要大量的交換機，是和終端直接相連的設備。采用傻瓜式的交換機就能滿足需求。此次選用H3CS1216（24口）作為接入層設備，具體參數(shù)如表4.4所示。表4.4H3CS1216產品規(guī)格屬性具體參數(shù)交換機類型千兆以太網交換機應用層級接入層內存2MB傳輸速率10Mbps/100Mbps/1000Mbps網絡標準IEEE802.3、IEEE802.3u、IEEE802.3ab端口結構非模塊化端口數(shù)量24接口介質10Base-T:3/4/5類雙絞線,支持最大傳輸距離200m、100Base-TX:5類雙絞線,支持最大傳輸距離100m、1000Base-T:5類雙絞線,支持最大傳輸距離100m傳輸模式全雙工/半雙工自適應交換方式存儲-轉發(fā)背板帶寬32Gbps包轉發(fā)率23.8MppsVLAN支持不支持QOS支持不支持網管支持不支持MAC地址表8K電源輸入電壓:220VAC尺寸(mm)330×230×444.6防火墻的選擇防火墻能極大地提高內部網絡的安全性，通過過濾不安全的服務而降低風險。比如防火墻可以禁止不安全的NFS協(xié)議進出受保護的網絡，這樣外部的入侵者就不能利用這些脆弱的協(xié)議攻擊內部網絡。防火墻還應該可以拒絕所有常見型攻擊的報文并通知管理員。本方案選用華為賽門鐵克USG2110作為防火墻，其主要參數(shù)如表4.5所示。表4.5賽門鐵克USG2110產品規(guī)格屬性具體參數(shù)設備類型企業(yè)級防火墻網絡吞吐量(Mbps)2000網絡端口2*ComboGEWAN,10*10/100MLAN,擴展:4MIC+2FIC用戶數(shù)限制無用戶數(shù)限制入侵檢測Dos,DDoS安全標準FCC,CE控制端口Console口管理Web和命令行VPN支持支持4.7服務器的選擇本方案中將采用三種服務器為網絡提供服務。其中兩臺DellR620，一臺DellR510和一臺DellR710。 采用Intel?Xeon?處理器5500和5600系列的三款戴爾服務器均為機架式服務器，其R620為1U，R510和R710為2U，可以安放在一個機柜里面。5網絡布線系統(tǒng)設計5.1校園主干網絡系統(tǒng)校園主干網指的是連接到校園內每個建筑物的主干通信線路，常采用光纖作為傳輸介質[7]。光纖具有通信距離長、抗干擾、通信容量大、抗雷電等優(yōu)良性能，采用架空或者埋地等鋪設方式。同樣也可以選用超五類雙絞線作為干線，但需做好防雷措施，如：用鐵管保護埋地等。需要注意的是雙絞線的可靠通信距離約為100米。校園主干網采用LucentSYSTIMAXOptiSPEED室外光纖，校園主干網系統(tǒng)的結構如圖5.1所示。圖5.1校園網主干網系統(tǒng)結構校園網的網絡中心設置在圖書館一樓。以網絡中心為中心，以星型布線方法向各個主建筑物鋪設光纖，這樣就形成一個了星型光纖網絡，組成了校園網絡的主干網系統(tǒng)。在校園主干網系統(tǒng)中，除了以網絡中心為中心鋪設光纖主干網外，還要在行政樓與實驗樓之間再布放一條光纖路線，同樣采用的是室外六芯多模光纖。這樣多布放一條光纖后就形成了在行政樓、實驗樓、圖書館樓之間的環(huán)型光纖網絡。在資金投資不是很大的情況下，這樣的做法做有一定的好處：加入行政樓到圖書館或者實驗樓到圖書館的一條線路發(fā)生故障，就可以通過行政樓到實驗樓這條鏈路來保證網絡正常的通信。5.2網絡中心拓撲結構圖書館，即網絡中心是一個相對獨立的系統(tǒng)，拓撲如圖5.2所示。圖5.2網絡中心拓撲結構網絡中心是連接各個區(qū)域的紐帶，在這種體系結構之下，網絡中心的配置可以抽象的分為負載均衡器、服務結點池與存儲系統(tǒng)三個層次。這里是集群的惟一入口，校園網通過該設備接入Internet，校園網接入聯(lián)通、電信、鐵通、教育網多條線路。核心交換機的配置見附錄A，網絡中心路由器的配置見附錄B。服務器群采用云計算的架構和VMWARE的解決方案，兩臺R620作為前端服務器，一臺R510作為后端存儲服務器。兩臺前端安裝ESX4.1的操作系統(tǒng)，每臺前端擁有64G內存，兩臺共128G內存，做容災備份。當一臺機器出現(xiàn)硬件、網絡、軟件故障時，服務可以在極短的時間內遷移到另一臺機器上。一臺后端存儲服務器安裝OPEN-E存儲操作系統(tǒng)，配置12塊2T的硬盤。內置系統(tǒng)盤做RAID10，數(shù)據存儲盤做RAID50，并用兩塊盤做全局熱備份。采用千兆內網交換機和前端存儲相連。5.3教學樓拓撲結構校園網絡建設的目的之一，就是是利用網絡實現(xiàn)多媒體教學。教學樓的拓撲如圖5.3所示。圖5.3教學樓拓撲結構現(xiàn)在多媒體教學存在難點是實現(xiàn)視頻信號的傳送。目前在局域網上實現(xiàn)實時傳送高質量視頻數(shù)據流的技術還不成熟，但傳送壓縮之后的視頻數(shù)據是可以的[8]。根據教學樓網絡的特點，這里把匯聚層和接入層劃分合而為一，終端直接連接到S6506R多層交換機上，實現(xiàn)了數(shù)據的高速轉發(fā)。教學樓匯聚層交換機配置見附錄C。5.4宿舍樓拓撲結構宿舍樓的拓撲如圖5.4所示。圖5.4宿舍樓拓撲結構宿舍樓的特點是終端用戶眾多，根據這一特性，宿舍樓分布了大量的二層交換設備。多層次的網絡結構，不僅層次分明，還可以滿足所有在校學生的聯(lián)網需求。5.5無線區(qū)域拓撲結構無線區(qū)域是是一個覆蓋全校的區(qū)域，拓撲結構如圖5.5所示。圖5.5無線區(qū)域拓撲結構無線網絡架設的基礎是有線網絡成功的搭建，在每一棟已經鋪設好有線網絡的建筑內，根據空間面積，連接若干臺無線交換機，保證在校園內有線網絡沒有觸及的地方，無線信號能夠覆蓋。6網絡安全與管理6.1網絡安全問題校園網絡的安全威脅主要來源于兩大方面：一方面是來自于網內，另一方面是來自于外網[9]。來自網內的安全威脅主要是黑客惡意攻擊和病毒攻擊。據統(tǒng)計，威脅校園網絡安全的攻擊行為約60％來自于網絡外部[10]，采取什么措施防范來自于外部的攻擊，是校園網絡安全防護需要著重關注的地方。主要的安全威脅有以下幾種類型。1、冒充合法用戶。指的是利用各種欺騙手段非法獲取合法用戶的權限，從而達到享用合法用戶私有資源的目的。2、破壞數(shù)據完整性。主要是指使用非法手段刪除、修改、重發(fā)一些敏感信息，干擾用戶正常使用。3、非授權訪問。此類攻擊是針對網絡設備或信息資源的非正常使用或者越權使用行為。如管理員安全配置不完善造成的安全漏洞，口令選擇不慎，用戶把自己的賬號轉借他人，用戶安全意識不夠強等。4、軟件漏洞和“后門”。軟件不可能確保完全沒有安全漏洞和設計缺陷，這些漏洞和缺陷最容易受黑客利用。另外軟件的“后門”都是軟件編程人員為了管理方便而設置的[11]，一般不為外人所知，但是一旦“后門”被發(fā)現(xiàn)，網絡信息將無安全可言。5、破壞系統(tǒng)的正常運行，破壞網絡的可用性。指的是改變系統(tǒng)的正常運行方式，減緩系統(tǒng)響應時間的手段。這種行為會使合法用戶無法正常訪問網絡資源，還能夠使有嚴格響應時間要求的服務無法及時得到響應。6.2網絡安全管理策略6.2.1訪問控制1、允許從內網訪問internet，端口全開放。2、禁止從公網到內部區(qū)的訪問請求，端口全關閉。3、允許從內網訪問DMZ（非軍事）區(qū)，端口全開放。4、禁止從DMZ（非軍事）區(qū)訪問內網，端口全關閉。5、允許從DMZ（非軍事）區(qū)訪問internet，端口全開放6、允許從公網到DMZ（非軍事）區(qū)的訪問請求：WEB服務器只開放80端口，F(xiàn)TP服務器只開放20和21端口。6.2.2安全接入和配置安全接入和配置指的是在物理或邏輯端口接入到網絡基礎設施設備之前，需通過認證和授權限制，為網絡基礎設備提供了安全性。財務處的ACL配置見附錄E。接入的安全設置方法如表6.1所示。表6.1安全接入和配置方法訪問方式保證網絡設備安全的方法備注Console控制接口的訪問設置密碼和超時限制建議超時限制設成5分鐘設備配置級別的命令行配置Radius來記錄logon/logout時間和操作活動；配置至少一個本地賬戶作應急之用telnet訪問采用ACL限制，指定從特定的IP地址來進行telnet訪問；；設置超時限制SSH訪問激活SSH訪問，從而允許操作員從網絡的外部環(huán)境進行設備安全登陸WEB管理訪問取消Web管理功能SNMP訪問常規(guī)的SNMP訪問是用ACL限制從特定的IP地址來進行SNMP訪問；記錄非授權的SNMP訪問并禁止非授權的SNMP企圖和攻擊為增加安全，建議更改缺省的SNMPCommutiy子串設置不同賬號通過設置不同的賬號的訪問權限，提高安全性6.2.3拒絕服務的防止防止拒絕服務攻擊主要是防止Smurf攻擊、TCPSYN泛濫攻擊等。網絡設備防TCPSYN的主要方法是配置網絡設備的SYN臨界值，若高于這個臨界值，就丟棄多余的TCPSYN包[12]；防止Smurf攻擊的方法主要是設置ICMP包臨界值和配置網絡設備不轉發(fā)ICMPecho請求，從而避免成為Smurf攻擊的轉發(fā)者和受害者。結論大學校園網絡搭建的成功與否，在很大程度上取決于當初規(guī)劃方案（包括設備選用、拓撲結構、IP及路由規(guī)劃等）的設計實施是否合理。本次的組網根據前期對校園網絡需求的分析，采用典型的三層設計：核心層、匯聚層和接入層。在整體上配置OSPF動態(tài)路由協(xié)議，網絡中心為作為骨干區(qū)域，包含網絡中心和服務器群；其它如行政處、教學樓、寢室樓、實驗樓、無線區(qū)都劃分在其它常規(guī)區(qū)域，常規(guī)區(qū)域是與骨干區(qū)域直接相連的。設計出校園網拓撲圖后，再確定Internet的接入方案及中心機房設計，圖書館及網絡中心到各個樓宇的連接方式。此外還要對網絡搭建中使用的網絡設備諸如交換機、路由器的品牌和設備基本參數(shù)有一定的了解，選擇性價比較高的產品。在核心路由器、多層交換機以及二層交換機上選用華為的產品，防火墻使用賽門鐵克一款產品，服務器則選用戴爾的R510、R620和R710。服務器采用虛擬化及云計算技術，把WEB服務器和FTP服務器放置在由三臺服務器組成的服務器集群里，把數(shù)據庫單獨放置在另一臺物理服務器中。在設計和搭建的大學校園網絡時，閱讀了大量的書籍資料、翻閱了大量的資料，從目標確定到環(huán)境、應用、管理以及擴展性分析，從邏輯結構設計到到拓撲設計、硬件、軟件的選用，從有線網絡到無線網絡，設計思路從茫然到清晰，設計方案從無到有的漸變。力求考慮周全，不讓網絡中出現(xiàn)重大設計缺陷。但因為知識和能力的限制，在網絡安全配置、網絡冗余性、核心路由配置、服務器配置方面有待改進。相信在以后不斷的實踐和學習過程中會努力的彌補和改善。參考文獻[1]DianeTeare.CCNPROUTE(642-902)[M].Mechanicindustry：Press，2003[2]Richard.CCNPSWITCH(642-813)[M].Mechanicindustry：Press，2003.4.[3]鳥哥.鳥哥的Linux私房菜服務器架設篇[M].北京：人民郵電出版社，2012.6.[4]王利.數(shù)據庫基礎與應用[M].北京：中央廣播電視大學出版社，1997.6.[5]薩師煊，王姍.數(shù)據庫系統(tǒng)概述[M].北京：高等教育出版社，2000.11.[6]劉濤.小型網站建設技術[M].北京：中國鐵道出版社，2006.11.[7]劉濤.小型網站建設技術[M].北京：中國鐵道出版社，2006.11.[8]王利.數(shù)據庫基礎與應用[M].北京：中央廣播電視大學出版社，1997.6.[9]沈大林.Access數(shù)據庫管理與開發(fā)案例教程[M].北京：中國鐵道出版，2007.9.[10]余波.動態(tài)WEB應用高級開發(fā)指南(第2版)[M].北京：人民郵電出版社，2000.5.[11]王淑江.ExchangeServer2010SP1/SP2管理實踐[M].北京：人民郵電出版社，2013.1.[12]馬博峰.VMware、Citrix和Microsoft虛擬化技術詳解與應用實踐[M].北京：機械工業(yè)出版社，2012.12.附錄附錄A核心多層交換機配置<NetEngine40E>sysSystemView:returntoUserViewwithCtrl+Z.[NetEngine40E]intvlan1[NetEngine40E-Vlan-interface1]ipaddress024[NetEngine40E-Vlan-interface1]quit[NetEngine40E]user[NetEngine40E]user-[NetEngine40E]user-interfacevty04[NetEngine40E-ui-vty0-4]auth[NetEngine40E-ui-vty0-4]authentication-modepassword[NetEngine40E-ui-vty0-4]setauthen[NetEngine40E-ui-vty0-4]setauthenticationpasswordsimplehuawei[NetEngine40E-ui-vty0-4]userpri[NetEngine40E-ui-vty0-4]userprivilegelevel3[NetEngine40E-ui-vty0-4]quit//為核心交換機設置telnet遠程管理地址//[NetEngine40E]vlan6[NetEngine40E-vlan6]intvlan6[NetEngine40E-Vlan-interface6]ipaddress24[NetEngine40E-Vlan-interface6]quit[NetEngine40E]vlan7[NetEngine40E-vlan7]intvlan7[NetEngine40E-Vlan-interface7]ipaddress24[NetEngine40E-Vlan-interface7]quit[NetEngine40E]vlan8[NetEngine40E-vlan8]intvlan8[NetEngine40E-Vlan-interface8]ipaddress24[NetEngine40E-Vlan-interface8]quit[NetEngine40E]vlan9[NetEngine40E-vlan9]intvlan9[NetEngine40E-Vlan-interface9]ipaddress24[NetEngine40E-Vlan-interface9]quit[NetEngine40E]vlan10[NetEngine40E-vlan10]intvlan10[NetEngine40E-Vlan-interface10]ipaddress24[NetEngine40E-Vlan-interface10]quit[NetEngine40E]vlan11[NetEngine40E-vlan11]intvlan11[NetEngine40E-Vlan-interface11]ipaddress24[NetEngine40E-Vlan-interface11]quit//給每個vlan一個ip地址，同時也是每個vlan里計算機的網關地址//[NetEngine40E]vlan80[NetEngine40E-vlan80]porte1/0/12[NetEngine40E-vlan80]intvlan80[NetEngine40E-Vlan-interface80]ipaddress30[NetEngine40E-Vlan-interface80]quit//給路由器劃分一個vlan并劃分一個端口及分配vlan地址//[NetEngine40E]inte1/0/23[NetEngine40E-Ethernet1/0/23]portlink[NetEngine40E-Ethernet1/0/23]portlink-[NetEngine40E-Ethernet1/0/23]portlink-typetrunk[NetEngine40E-Ethernet1/0/23]porttrunkpermitvlanallPleasewaitDone.[NetEngine40E-Ethernet1/0/23]quit[NetEngine40E]inte1/0/24[NetEngine40E-Ethernet1/0/24]portlink[NetEngine40E-Ethernet1/0/24]portlink-[NetEngine40E-Ethernet1/0/24]portlink-typetrunk[NetEngine40E-Ethernet1/0/24]porttrunkpermitvlanallPleasewaitDone.[NetEngine40E-Ethernet1/0/24]quit//設置23號，24號端口為trunk口//[NetEngine40E]vlan88[NetEngine40E-vlan88]porte1/0/20toe1/0/22[NetEngine40E-vlan88]intvlan88[NetEngine40E-Vlan-interface88]ipaddress24[NetEngine40E-Vlan-interface88]quit//給服務器劃分vlan，分配端口，并劃分vlan地址//[NetEngine40E]iproute[NetEngine40E]iproute-static//缺省路由//

附錄B網絡中心路由器配置NetEngine40E#(config-if)#intg3/7NetEngine40E#(config-if)#ipadd652NetEngine40E#(config-if)#noshutNetEngine40E#(config-if)#exNetEngine40E#(config)#intg3/9NetEngine40E#(config-if)#noswNetEngine40E#(config-if)#noswitchportNetEngine40E#(config-if)#ipadd452NetEngine40E#(config-if)#noshutNetEngine40E#config-if)#exNetEngine40E#(config)#routerospf1NetEngine40E#(config-router)#netNetEngine40E#(config-router)#network6area0NetEngine40E#(config-router)#network3area0NetEngine40E#(config-router)#exNetEngine40E#(config)#end

附錄C教學樓匯聚層交換機配置//三層交換機與核心交換機連接端口ipJX1-HJ_S5750#(config-if)#JX1-HJ_S5750#(config-if)#ipadd552JX1-HJ_S5750#config-if)#noshutJX1-HJ_S5750#(config-if)#ex//202機房vlan和網關配置JX1-HJ_S5750#(config)#vlan202（202機房vlan）JX1-HJ_S5750#(config-vlan)#exJX1-HJ_S5750#(config)#intvlan202%LINK-5-CHANGED:InterfaceVlan202,changedstatetoupJX1-HJ_S5750#(config-if)#ipadd292（202機房所有主機網關）JX1-HJ_S5750#(config-if)#noshut//205機房vlan和網關配置JX1-HJ_S5750#(config)#vlan205（205機房vlan）JX1-HJ_S5750#(config-vlan)#exJX1-HJ_S5750#(config)#intvlan205%LINK-5-CHANGED:InterfaceVlan205,changedstatetoupJX1-HJ_S5750#(config-if)#ipadd2692（205機房所有主機網關）JX1-HJ_S5750#(config-if)#noshut//206機房vlan和網關配置JX1-HJ_S5750#(config)#vlan206（206機房vlan）JX1-HJ_S5750#(config-vlan)#exJX1-HJ_S5750#(config)#intvlan206JX1-HJ_S5750#(config-if)#ipadd9092（206機房所有主機網關）JX1-HJ_S5750#(config-if)#noshut//210機房vlan和網關配置JX1-HJ_S5750#(config)#vlan210（210機房vlan）JX1-HJ_S5750#(config-vlan)#exJX1-HJ_