網(wǎng)絡工程實驗報告

校園網(wǎng)設計實驗報告姓名學號班級指導老師實驗要求要在某校區(qū)的5棟建筑物中建立網(wǎng)絡環(huán)境，其中辦公樓與圖書館之間的距離為350米，圖書館與計算機機房之間的距離為600米，兩棟學生宿舍離辦公樓的距離為800米。網(wǎng)絡中心的機房設在圖書館，辦公樓設60個信息點（校辦7個，人事部門9個，財務部門20個，另外6個部門各4個），圖書館200個信息點，計算機機房400個信息點，建成后的網(wǎng)絡要接入互聯(lián)網(wǎng)。畫出網(wǎng)絡的平面拓撲圖、所用的網(wǎng)絡設備和網(wǎng)絡安全設備；合理地劃分網(wǎng)絡（各部門單獨組網(wǎng)，每個信息點分配一個IP地址）和分配IP地址，并寫出每個網(wǎng)絡的網(wǎng)絡號和廣播地址及網(wǎng)絡掩碼（均須用十進制表示）；對所選用的網(wǎng)絡技術、傳輸線路及介質、網(wǎng)絡設備及網(wǎng)絡安全設備進行說明及選用的理由；試說明當這個網(wǎng)絡的規(guī)模擴大10倍或更多時，在網(wǎng)絡性能和網(wǎng)絡安全方面會出現(xiàn)什么問題？應該怎么解決？平面拓撲圖采用核心層，匯聚層，接入層的三層網(wǎng)絡設計模型核心層：由1個核心節(jié)點組成；匯聚層：設在每棟樓上，每棟樓設置一個匯聚節(jié)點，匯聚層為路由器；接入層：為每個樓的接入交換機，是直接與用戶相連的設備。網(wǎng)絡劃分校辦：7個信息點

子網(wǎng)起始地址：

人事：9個信息點

子網(wǎng)起始地址：

財務：20個信息點

子網(wǎng)起始地址：

接下來6個部門的各有4個信息點。6個不同的子網(wǎng)起始地址依次為：、、、、、

圖書館：200個信息點

子網(wǎng)起始地址：

計算機機房：400個信息點

子網(wǎng)起始地址：

網(wǎng)絡中心：信息點數(shù)暫時未知

子網(wǎng)起始地址：

學生宿舍：信息點數(shù)暫時未知

子網(wǎng)起始地址為

子網(wǎng)結束地址：55每個子網(wǎng)網(wǎng)段最多有4094個有效主機（0和255要保留），有充分的預留，及時將來面臨系統(tǒng)的大升級或學校人數(shù)短期內的激增，仍能夠保證IP地址的有效分配各不同子網(wǎng)網(wǎng)段的有效主機地址序列及廣播地址.如下圖所示網(wǎng)絡技術VLAN的劃分

VLAN（VirtualLocalAreaNetwork）的中文名為"虛擬局域網(wǎng)"。虛擬局域網(wǎng)（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術相比較，VLAN技術更加靈活，它具有以下優(yōu)點：網(wǎng)絡設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網(wǎng)絡的安全性。VLAN的劃分依據(jù)也就是部門或組織。不同部門不屬于同一VLAN。將前期劃分好的子網(wǎng)，每個子網(wǎng)的首地址賦予其所屬VLAN。并對其進行編號：

VLAN號：

組織名稱：

子網(wǎng)號：

VLAN1

校辦

/22

VLAN2

人事/22VLAN3財務/22VLAN4--9其他6個部門/22-/22VLAN10圖書館/22VLAN11

計算機機房/22VLAN12網(wǎng)絡中心/22VLAN13學生宿舍/22（/22和/22段備用）

傳輸線路及介質設計中主要用了三種線，分別是單模光纖、多模光纖及雙絞線。單模光纖：因為接入internet是需要遠距離傳送且要求較高的傳輸速率，所以選擇單模光纖。多模光纖：大部分的線路采用的是多模光纖，因為各樓棟之間距離不遠，但是有需要較高的傳輸速率，所以選擇多模光纖。雙絞線：在辦公樓各部門之間選擇雙絞線，因為每個部門主機不是很多，也不需要太高的速率，距離又近，所以用雙絞線。網(wǎng)絡設備選型1核心交換機（H3C9508中心交換機）：（1）最長的網(wǎng)絡運行時間（2）產(chǎn)品的無單點故障設計（3）路由協(xié)議的高可靠保障（4）快速自愈的環(huán)網(wǎng)保護技術（5）融合的多業(yè)務特性，包括

網(wǎng)絡業(yè)務分析、高品質QoS特性級

定制的行業(yè)解決方案2.中心路由器（Catalyst6513路由器）：產(chǎn)品有9個插槽，產(chǎn)品端口密度大，可用性強，具有豐富的第3層網(wǎng)絡服務，可擴展的性能，集成式高性能的網(wǎng)絡安全性和網(wǎng)絡管理，產(chǎn)品安全性高，提供數(shù)據(jù)丟包保護，能夠從網(wǎng)絡故障中快速恢復Catalyst3548-EN交換機價格便宜，非常注意對新技術的跟蹤4.CISCO251路由器價格便宜，滿足設計需求流控設備（RG-EG1000）RG-EG系列下一代網(wǎng)關是適用于多個行業(yè)的業(yè)務加速類網(wǎng)關產(chǎn)品。設備配以高性能的MIPS多核硬件體系架構，擁有業(yè)務加速通道、精準流控、上網(wǎng)行為管理、可視化VPN、智能選路、防火墻、高性能的NAT、Web認證等多個功能6.負載均衡設備（深信服AD-1600）它包含鏈路負載均衡、服務器負載均衡、全局負載均衡、商業(yè)智能分析功能，以及緩存、壓縮、SSL卸載、TCP連接復用等優(yōu)化特性。支持單邊加速功能，提高低質量網(wǎng)絡環(huán)境下遠端用戶的訪問速度網(wǎng)絡安全網(wǎng)絡安全設計目標：

信息安全的目標是通過系統(tǒng)及網(wǎng)絡安全配置，應用防火墻及入侵檢測、安全掃描、網(wǎng)絡防病毒等技術，對出入口的信息進行嚴格的控制；對網(wǎng)絡中所有的裝置進行檢測、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內存在的弱點和漏洞，評估安全風險，建議補救措施，并有效地防止黑客入侵和病毒擴散，監(jiān)控整個網(wǎng)絡的運行狀況。訪問控制管理：

實施有效的用戶口令和訪問控制，確保只有合法用戶才能訪問合法資源。在內網(wǎng)中系統(tǒng)管理員必須管理好所有的設備口令，不要在不同系統(tǒng)上使用同一口令；口令中最好要有大小寫字母、字符、數(shù)字；定期改變自己的口令。

由于企業(yè)廣域網(wǎng)網(wǎng)絡部分通過公共網(wǎng)絡建立，其在網(wǎng)絡上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網(wǎng)絡的訪問控制最成熟的是采用防火墻技術來實現(xiàn)的，本方案中選擇帶防火墻功能的VPN設備來實現(xiàn)網(wǎng)絡安全隔離。

當前網(wǎng)絡擴大十倍當前網(wǎng)絡擴大十倍，瀏覽量迅速增加，首先會導致防火墻崩潰，因為當前網(wǎng)絡的設計最多能承受兩三倍的增長，無法承受網(wǎng)絡一下擴大十倍后的流量壓力，然后會導致，數(shù)據(jù)紊亂，丟包等一系列問題。還會導致網(wǎng)絡擁塞，網(wǎng)絡效率降低等。解決方法有：升級防火墻更換更高級容量更大的設備增加設備，升級線路總結通過本次課設，我清楚地了解到了一般校園網(wǎng)絡拓撲的基本結構，也對本學科有了更深層地認識，對我來說，網(wǎng)絡工程已經(jīng)