2022年承德师专平泉分校校园局域网规划与方案设计书.docx

《2022年承德师专平泉分校校园局域网规划与方案设计书.docx》由会员分享，可在线阅读，更多相关《2022年承德师专平泉分校校园局域网规划与方案设计书.docx（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目 录一、现状及需求分析 3（一）运算机网络系统现状 3（二）网络系统及业务需求分析3二、系统设计原就和实现目标 4（一）网络系统设计原就 4（二）建设目标 4（三）网络设计关键技术说明 5三、系统总体方案设计 6（一）网络拓扑结构设计 6（二）网络系统接入设计及安全设计61、交换模块 62、无线接入模块 73、广域网接入 74、服务器群 7（三） VLAN 划分及子网配置 7 1、掌握广播风暴 82、增强网络的安全性 83、增强网络治理 8（四） IP 地址安排 10（五）传输及布线设计111、流量测算 112、布线设计 123、施工要求 124、主要工程量 14四、设备的选型及配置15（一

2、）设备选型的比较151、接入路由器性能指标要求 152、防火墙性能指标要求163、核心交换机性能指标要求 164、汇聚三层交换机性能指标要求17（二）系统配置方案 191、接入路由器配置方案192、防火墙配置方案 203、核心交换机配置方案214、汇聚交换机配置方案225、运算机终端配置方案236、说明 23五、总结 23承德师专平泉分校校内局域网规划与设计一、现状及需求分析（一）运算机网络系统现状承德师专平泉分校现拥有两座教案楼，办公楼、科技楼各一座，教室60 余间，办公室 40 间，作为平泉县拥有电教化实施较早的学校之一，目前拥有运算机教室 3 个，教案用运算机180 余台，部分办公室拥有

3、运算机终端及笔记本等终端如干台，目前科技楼内的运算机教室单独组成了局域网，教案楼及办公室的运算机终端并没有联网，只有个别电脑因查阅课件资料需要，能够以窄带拨号或 ADSL方式接入互联网；因此，该校的运算机等电子资源只能满意日常办公打字，无法实现联网办公、课件共享等信息化要求；（二）网络系统及业务需求分析为实现训练信息化、办公无纸化的目标，学校拟搭建校内局域网，将教案楼、办公楼及科技楼的终端进行联网，从而达到能够联网办公、电子教案及课件共享等目标；同时为了适应教案进展要求，满意老师及同学在互联网上查询资料的需求，需将校内网接入至互联网，并在互联网上发布学校网站及教案资源，网页及资源都通过架设在学

4、校中心机房的应用服务器来实现；在没有运算机的教室增设信息点，同时为满意办公楼内会议室部分拥有无线网卡的移动笔记本接入互联网，在办公楼会议室内增设无线接入点，满意这部分终端接入校内网的需求；二、系统设计原就和实现目标（一）网络系统设计原就网络系统的设计我们遵循如下原就：网络系统采纳开放、标准的网络协议；网络系统要有足够的带宽和处理才能，不造成应用系统的“瓶颈”；网络系统要有肯定的冗余，局部的故障不能造成系统瘫痪；网络系统要有足够的隔离与安全机制；网络系统要有多种网络接口，以适合不同的通信网络；网络系统要有足够的扩充才能，便于网络规模的扩大，同时有利于向新技术升级；网络系统要有肯定的先进性，保证刚

5、建立的网络系统不会由于技术落后立刻被剔除；在满意要求的情形下，尽可能采纳简洁的网络拓扑结构，尽量利用原有布线系统及相关网络设备和通信设备；（二）建设目标网络系统搭建完成后，应能达到如下目标：互联网连接；校内网内电脑都应能拜访国际互联网，便于领导、老师和员工浏览信息、查找资料和发布教案信息；信息共享；在校内网内的电脑能够共享信息，防止建立信息孤岛，提高信息利用率，增强教案沟通，提高工作效率；海量教案信息发布；能够将教案课件、视频或其他相关大容量资源在网络间进行发布，达到便利教案使用、编制课件、在线教案等目的；校内无纸化办公环境；网络环境搭建完成后，原有的纸面信息，如各种文件或资料等，可以通过网络

6、环境传递，削减了办公消耗，提高了工作效率，从而达到无纸化的办公环境；（三）网络设计关键技术说明本技术方案具有如下特点：以 TCP/IP 协议为基础，以交换技术为核心，构造一个既能掩盖本地又能与外界进行网络互通、共享信息的运算机网络主干网；选用技术先进、具有容错才能的网络产品，在投资和条件答应的情形下也可采纳结构容错的方法；完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中；具有较好的可扩展性，为今后的网络扩容作好预备；三、系统总体方案设计（一）网络拓扑结构设计（二）网络系统接入设计及安全设计设计方案主要由以下四大部分构成：交换模块、无线接入模块、广域网接入模块、服务器群；1、 交换模

7、块交换模块使用以三层交换为主的快速以太网技术构建；主干网络的拓扑结构为星形，具有高速、简洁、稳固的特点；核心交换机位于科技楼二层校内网机房，至教案楼、办公楼的距离较近， 因此采纳多模光纤进行互联，两条主干光缆缆至两个教案楼二楼的中间位置与教案楼的汇聚交换机连接；一条至办公楼与办公楼现有网络及无线网络相接；在每个楼内新增一台汇聚交换机，用于汇聚大楼内各楼层内的二层交换机网络，各楼层交换机与汇聚交换机之间采纳超五类网线进行布放；汇聚层与核心层交换机之间实行千兆速率互联，终端接入交换机采纳百兆速率互联；2、 无线接入模块由于无线办公需求，在办公楼部署数个无线AP，直接接入办公楼汇聚交换机，掩盖办公楼

8、中各层；3、 广域网接入目前主要的接入方式有光纤专线接入、DDN接入、 ADSL接入等，光纤接入速度高，费用合理，因此采纳光纤10M 接入互联网，需配置一台接入路由器用于接入互联网，一台防火墙用于实现地址转换及网络安全防护；4、 服务器群在科技楼核心机房架设数台服务器，主要用于课件资源存放、视频存放、OA 办公系统及校内网站发布；这些服务器通过一台三层交换机汇聚后接入核心交换机；（三） VLAN 划分及子网配置VLAN（ Virtual Local Area Network，虚拟局域网）技术的显现，主要为明白决交换机在进行局域网互连时无法限制广播的问题；这种技术可以把一个 LAN划分成多个规律

9、的 LAN VLAN，每个 VLAN是一个广播域， VLAN内的主机间通信就和在一个 LAN内一样，而 VLAN间就不能直接互通，这样，广播报文被限制在一个 VLAN内；采纳 VLAN具有以下优点 :1、掌握广播风暴网络治理必需解决因大量广播信息带来带宽消耗的问题；VLAN作为一种网络分段技术，可将广播风暴限制在一个VLAN内部，防止影响其他网段；与传统局域网相比， VLAN能够更加有效地利用带宽；在VLAN中，网络被规律地分割成广播域，由 VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送，而不是向网上的全部工作站发送；这样可削减主干网的流量，提高网络速度；2、增强网络的安全性共

10、享式 LAN上的广播必定会产生安全性问题，由于网络上的全部用户都能监测到流经的业务，用户只要插入任一活动端口就可拜访网段上的广播 包；采纳 VLAN供应的安全机制，可以限制特定用户的拜访，掌握广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用；3、增强网络治理采纳 VLAN技术，使用 VLAN治理程序可对整个网络进行集中治理， 能够更简洁地实现网络的治理性；用户可以依据业务需要快速组建和调整VLAN；当链路拥挤时，利用治理程序能够重新安排业务；治理程序仍能够供应有关工作组的业务量、广播行为以及统计特性等的详尽报告；对于网络治理员来说，全部这

11、些网络配置和治理工作都是透亮的；VLAN变动时，用户无需明白网络的接线情形和协议是如何重新设置的；VLAN仍能削减因网络成员变化所带来的开销；在添加、删除和移动网络成员时，不用重新布线，也不用直接对成员进行配置；如采纳传统局域网技术， 那么当网络达到肯定规模时，此类开销往往会成为治理员的繁重负担；VLAN的划分有三种方式，可以基于端口、 MAC及 IP 地址，基于端口应用最广泛，依据实际需求平泉分校采纳基于端口的方法来划分VLAN；依据平泉分校的应用需求及物理拓扑结构，将其校内网采纳VLAN技术划分VLAN标使用地点运算机数成几个小的虚拟局域网，达到缩小广播、便于治理的目的；在这里，我们依据

12、校方要求基于物理地点的不同来划分VLAN，即将教案楼、办公楼及科技楼划分为 3 个 VLAN，由于服务器群在科技楼内，为了保证该服务器运行质量，因此我们将服务器群单独划分1 个 VLAN，因此将该校内网划分成下表几个VLAN：号10教案楼量8020办公楼8030科技楼20040服务器12100三层交换机与防火墙互联VLAN划分示意图VLAN划分完成后，同一个VLAN内的终端属于一个局域网，不通VLAN内的终端是是不能进行数据链路层的拜访，这样就大大缩小了广播的范畴，削减了由于局域网内存在 ARP等广播病毒时而可能造成的大面积障碍；（四） IP 地址安排目前互联网上所使用的 IP 地址协议号为

13、IPV4 版本，每个 IP 地址由 32 个二进制数字共 4 个字节组成；为了便于识别， IP地址采纳点分十进制进行书 写，如 192.168.0.1 ；每个 IP 地址由网络位和主机位两部分组成，网络位代表该 IP 地址所属网络，主机位代表 IP 地址在该网络中的标号， IP 地址用网络掩码来区分网络位和主机位，网络掩码一般是连续的二进制数“1”；依据 IANA规定， IP 地址依据其掩码不同，共分为5 类地址，分别为：A 类地址：由 1 个字节的网络位及 3 个字节的主机位组成，其 IP 地址最高位必需是“ 0”，网络掩码为 255.0.0.0 ；B 类地址：由 2 个字节的网络位及 2

14、个字节的主机位组成，其 IP 地址最高位必需是“ 10”，网络掩码为 255.255.0.0 ；C类地址：由 3 个字节的网络位及 1 个字节的主机位组成，其 IP 地址最高位必需是“ 110”，网络掩码为 255.255.255.0 ；D类地址：其地址最高位必需是“1110”，一般用于组播； E类地址：其地址最高位必需是“11110”，用于保留应用；目前所使用的主要是 A、B、C 三类地址，由于 IP 地址数量有限，为节省IP 地址资源， IANA 又从这三类地址中分别规划出一段 IP 地址，用于各种组织在内部组网时应用，而这些地址就在互联网上不再显现，称为私有地址，分别为：A类： 10.0

15、.0.0-10.255.255.255B类： 172.16.0.0-172.31.0.0C类： 192.168.0.0-192.168.255.255本次平泉分校组网依据其VLAN的划分，其每个 VLAN内的终端都不超过255 台，因此采纳 C 类私有地址段就可以满意其应用需求，详细规划如下表所示：VLAN标所属位置IP 网络网络掩码网关表：平泉分校局域网IP 地址规划号10教案楼192.168.10.0255.255.255.0192.168.10.120办公楼192.168.20.0255.255.255.0192.168.20.130科技楼192.168.30.0255.255.255.

16、0192.168.30.140服务器群192.168.40.0255.255.255.0192.168.40.1100互联 VLAN192.168.100.0255.255.255.252此外，由于平泉分校要拜访外网，因此特向平泉网通申请了光纤互联网专线 一 条 ， 互 联 地 址4个 ， 202.99.160.40到 202.99.160.43， 其 中202.99.160.41和 202.99.160.42是用户网通公司及接入路由器互联用；用户 内网 IP地 址 32 个， 地址 段为 61.55.192.1-60.5.192.31， 网 络掩 码为255.255.255.224 ，其中

17、61.55.192.1是接入路由器的内网地址， 61.55.192.2是防火墙地址， 61.55.192.3-61.55.192.30为 NAT地址池，用于局域网内终端拜访外网及外网拜访平泉分校网站服务器使用；（五）传输及布线设计1、流量测算依据各楼宇所接入终端数量，以及每个终端所占用网络带宽，加以适当的收敛，最终得出科技楼核心交换机至汇聚层交换机所使用带宽，运算方法及参考依据见下表：名称业务应用教案楼 1网页浏览、课件下载、视频播放教案楼 2网页浏览、课件下载、视频播放科技楼网页浏览、课件下载、视频播放办公楼课件下载、 OA办公、网页浏览终端接入带宽 台）100400.2800100400.

18、2800102000.360015800.5600Mbps终端数量收敛比实际带宽（Mbps其中终端接入带宽是依据其接入网络设备所使用接口的带宽打算，收敛比是依据同时在线终端数所推算；依据流量测算，并考虑到将来扩展需求，各个汇聚交换机到核心交换机之间采纳千兆以太接口，依据距核心交换机距离远近全部采纳多模光纤进行连 接；2、布线设计本设计在科技楼二层机房放置1 个网络柜，网络柜内分别安装1 台路由器、1 台防火墙、 1 台核心交换机和 1 台接入交换机；在教案楼（ 1， 2）二楼东墙安装多媒体箱，在多媒体箱内分别放置一台汇聚层交换机，通过多模光缆缆与核心交换机相连，并且从多媒体箱引出超五类4 对

19、UTP电缆到达各层信息点；超五类4 对 UTP电缆在楼道内敷设通过 PVC线槽爱护；核心交换机位于科技楼二层机房内，分别通过3 条 4 芯多模光纤与办公楼、教案楼（ 1，2）的汇聚交换机进行级联，其中每条光缆中2 芯主用、另外2 芯备用；再通过超五类线与科技楼五层指定位置的汇聚交换机进行级联；从办公楼汇聚交换机引出 3 条超五类 4 对 UTP电缆与办公楼三至五层会议室的无线 AP相联；无线 AP居中布放；科技楼的汇聚交换机位于二层机房，两栋教案楼的汇聚交换机分别为于教案楼二楼楼道东墙多媒体箱内，超五类4 对 UTP 电缆分别从接入交换机引出在楼道内敷设，通过 PVC线槽爱护，分别引上引下，打

20、墙洞到达各屋接入交换机或数据信息点位置；各楼内信息点布置数量见下表；信息点分布表楼号信息点数接入交换机数科技楼2009教案楼 1302教案楼 2302办公楼403合计80173、施工要求1） 光缆接续要求光纤接续宜采纳熔接法；光纤接续衰减应符合规范的要求；光纤接续后应用接头套管爱护，余纤在光纤盘片内的曲率半径应30mm，盘绕方向应一样；管道光缆接头盒安装应符合设计要求，余缆应采纳波纹塑料管爱护并 紧贴人孔壁或人孔搁架，盘成“ O”型圈，并用扎线固定；光缆固定后的曲率半径应小于光缆直径的10 倍；2） 布放局内光、电缆及成端要求局内电缆的安装依据各局（站）现有条件采纳爬梯和走线架方式安装；局内电

21、缆的布放应整齐美观，绑扎固定要坚固，并进行统一编号；进局电缆的外护层应完整，无可见的损耗；横放的电缆接头应交叉排列，接头任一端距电缆转弯处应大于2m；进线室的电缆应按设计要求做好编号和相关标志；当测量室的地板洞为上线槽方式时，所布放的成端电缆应与相对应的总配线架对直，并绑扎固定，以非延燃材料封堵上线槽洞口；在原有总配线架上新做直列成端电缆的，其绑扎方法、位置、式样应与原直列成端电缆相同；成端电缆屏蔽连接线应牢靠接至总配线架铁架；光缆在 ODF或单设的光缆终端盒做终端时，光缆内的金属构件应与ODF接地装置接触良好， ODF接地装置至机房防雷接地排的接地线的规格、型号应符合设计要求；接地线严禁成螺

22、旋型布放；3） 综合布线施工要求在敷设缆线前，应对已运到施工现场的各种缆线进行清点和复查；其内容有缆线的型号、规格、程式和数量；依据施工图纸要求、施工组织方案和工程现场条件等，将需要布放的缆线整理妥当，在其两端应贴有显著的标签；标签内容有缆线的用途和名称（也可用代号代替）、型号、规格、长度、起始端和终端地点等，标签上的字迹应清楚、端正、精确，且线缆敷设施工应严格依据工序进行；为了保证缆线本身不受损耗，在缆线敷设时，布放缆线的牵引力不宜过大，应小于缆线答应张力的80；在牵引过程中为防止缆线被拖、蹭、刮、磨等损耗，应匀称设置吊挂或支承缆线的支点；在缆线布放过程中，缆线不应产生扭绞或打圈等有可能受到

23、外界的挤压或遭受损耗而产生障碍隐患；电缆在线槽中敷设时，为了使电缆布置牢靠和美观整齐，应实行稳妥的固定绑扎措施；如是在水平装设的桥架内敷设，应在电缆的始端、终端、转弯处进行固定；如是在垂直装设的桥架内敷设时，应在电缆的上端和每间隔 1.5m 处进行固定；4） 缆线的弯曲半径应符合以下规定：非屏蔽对对绞电缆的弯曲半径应至少为电缆外径的4 倍；屏蔽对对绞电缆的弯曲径应至少为电缆外径的6-10 倍；主干对绞电缆的弯曲半径应至少为电缆外径的10 倍；光缆的弯曲半径应至少为光缆外径的15 倍；5）对绞电缆芯线终接应符合以下要求：终接时，每对对绞线应保持扭绞状态，类线的扭绞松开长度不应大于 13mm；对绞

24、线在与位模块式通用插座相连时，必需按色标和线对次序进行卡接；插座类型、色标和编号应符合规定；在T568A 和 T568B 两种连接中，首推类连接方式，但在同一布线工程中两种连接方式不应混合使用；对绞电缆与插接件连接应认准线号、线位色标，不得颠倒和错接；4、主要工程量序号主要工作量单位数量11.181.510.0747.8027.62校内局域网主要工程量表1光电缆施工测量100M2钉固式墙壁光缆100M 条3吊线式墙壁光缆100M 条4明布 4 对对绞电缆100M 条5敷设塑料线槽 D100mm 宽以下100M6电缆跳线条54.007 安装网络柜架1.008 安装多媒体箱个3.009 安装 8

25、位模块式信息插座单口非屏蔽 10 个8.0010 安装交换机架6.0011 安装路由器架1.0012 安装无线 AP站3.0013 光纤链路测试链路4.0014 打穿楼墙洞 混凝土墙 个89.0015 光缆成端接头芯8.00施工图纸见附件图 1-7.四、设备的选型及配置（一）设备选型的比较1、接入路由器性能指标要求工程规格与参数系统才能至少 2Mpps 包转发率512K 条路由表项用户槽位支持模块化设计端口才能1、 支持 10/100/1000 自适应 RJ-45 以太接口； 2、 支持千兆以太网光口链路层协议PPP、Frame Relay、X.25 、LAPB 、HDLC 、SLIP 、MP

26、路由协议全面支持 IPv4 和 IPv6 双协议栈支持 IPv4 向 IPv6 的基本过渡技术：手工配置隧道、自动配置隧道、 6to4 隧道、硬件实现 NAT-PT 等支持 IPv6 静态路由，支持 BGP4/BGP4+ 、RIPng 、OSPFv3、ISISv6 等动态路由协议支持 ICMPv6 MIB 、UDP6 MIB 、TCP6 MIB 、IPv6 MIB 等支持的 QoS 机制队列调度机制： PQ、CQ 、WFQ支持 802.1p、DiffServ支持 WRED支持 CAR 、GTS治理特性网络治理接口： Console， RJ-45支持 SNMP工程规格与参数支持带内、带外网管信息

27、通道可以进行远程网管和软件版本升级牢靠性交换结构和主控模块可配置1:1 冗余备份电源模块 1+1 备份其他关键特性支持 SDH APS/MSP支持策略路由支持安全过滤特性支持高速端口的线速NAT 功能支持基于标准列表（ SA 、DA ）、扩展列表（TCP/UDP 端口号）的 ACL电源220VAC依据校内网应用及以后网络升级改造需求，提出以上路由器性能指标要求，符合该性能要求的设备许多，最终确定CISCO3600路由器作为该校内网接入互联网路由器，其中上行配置1 个 FE百兆口，下行配置一个多模 GE口；2、防火墙性能指标要求工程规格与参数基本参数10/100/1000M 以太网口 *3, 千

28、兆 GBIC 接口 *2并发连接数1200000网络吞吐量2000 Mbps入侵检测IDS主要功能动态检测包过滤 ,支持双向 NAT, 全面支持 VLAN, 支持复杂动态协议 ,供应透亮网关式应用代理 ,抗 DoS/DdoS 攻击,IPSec VPN 网关,与 IDS 联动,双机热备和多机集群 ,流量治理 ,远程安全治理 ,安全集中治理 ,日志治理依据校内网实际需求，选用华为公司的Eudemon100防火墙设备来进行校内网的安全防护；3、核心交换机性能指标要求接口支持千兆 Fiber 接口至少 48 个 RJ-45 10/100M 以太网接口扩展插槽超级扩展堆叠支持扩展插槽-32 台基本参数交

29、换容量至少 160G转发速率至少 100Mpps缓存容量至少 128M业务特性MAC 表容量基本特性至少 16K支持标准以太网IEEE 802.3 协议族支持 STP、RSTP、MSTP、PVST支持端口聚合 LACP支持 802.1Q VLAN ，支持 SVLAN 、QinQ 、SelectiveQinQ支持完整可控组播支持 QOS支持 Radius 认证安全特性支持 MAC 地址过滤支持 MAC 地址捆绑支持广播、组播、单播报文抑制支持端口限速增强特性支持 CPU 防攻击（病毒）爱护，支持CPU 过载/节奏爱护防 DDos 攻击，识别多种病毒特点报文并加以过滤支持生成树根爱护（ Rood

30、Guard）、 BPDU 攻击爱护、 ARP 攻击爱护支持 uRPF 单播逆向路由检查，防假冒源地址攻击支持 OSPF/RIPv2/BGPv4 MD5 密文检查支持 IP source Guard网络治理本地治理接口Console RS232治理方式本地命令行 CLI远程 Telnet标准 SNMP图形化 NetNumen N31集群治理 ZGMP （命令行模式、图形模式）支持 SSHv2.0支持用户网管本地、远程认证MIB 集合SNMP v1/v2/v3 RMON 1/2/3/9私有 MIB （CPU、内存、端口状态等）电源沟通 AC100V 240V 50 60Hz整机最大功耗80wLAN

31、D/BLAT/NULLScan/XmaScan/Smurf、SYN Flooding 、Ping Flood依据校内网应用及以后网络升级改造需求，提出以上交换机性能指标要求，符合该性能要求的设备许多，最终确定华为Quidway5600 交换机作为该校内网核心交换机，配置为 8 端口千兆光口板一块， 24 端口百兆电口板一块；4、汇聚三层交换机性能指标要求工程规格与参数基本参数交换容量：至少 32G；全线速二三层交换端口容量：至少 25.6G包转发率：至少 9.6Mpps用户槽位协议支持业务特性VLAN 数目： 4KMAC 表容量：至少 16K 路由表容量：至少 128K 路由接口数目：至少 5

32、K 组播表容量：至少 1KACL 规章数目：至少 1K支持模块化插槽，支持100-BASE-FX 接口，至少 48 个 RJ-45 100BASE-TX接口支持基本网络协议：IEEE802.3 10Base-T 以太网协议IEEE802.3u 100Base-TX 快速以太网协议IEEE802.3z 1000BaseX 千兆以太网协议IEEE802.3x 流量掌握协议IEEE802.1x 用户认证计费协议支持 RADIUS 认证支持 802.1x 透传VLAN ：支持 IEEE802.1q， VLAN 数目 4K 个支持基于端口的 VLANVID 、PVID 范畴为 14094支持 PVLAN

33、支持生成树协议：IEEE802.1d STP 生成树协议IEEE 802.1w RSTP 快速生成树协议IEEE 802.1s MSTP 多生成树协议链路聚合：支持 IEEE802.3ad /LACPACL 和 QoS 支持：支持 IEEE 802.1p 协议，支持 8 级基于 VLAN 的优先级设置支持多重优先级调度算法（WRED ）支持基于 VLAN 的 ACL 、二层、三层和混合 ACL支持分时间段 ACL 支持流限速、流分类支持单播路由协议：支持最长匹配路由，支持路由均衡和策略路由RFC2453 RIPv1/v2 RFC2328 OSPFv2支持组播路由协议：IGMP v1v2v3组播

34、组数 1K，支持 IGMP SnoopingPIM-SM ，支持 PIM snooping PIM-DMDVMRP流量掌握：支持基于IEEE 802.3x 的流量掌握设备治理数据传输速率支持端口速率限制 ,支持端口和 MAC 地址的捆绑，防止用户私接，捆绑数目1K支持动态绑定支持风暴抑制，抑制才能连续可设支持 SNMP MIB ，MIBII （ RFC1213）， Bridge MIB （ RFC 1493）及私有MIB支持 RMON 中的 1,2,3,9 组统计、历史、 告警、大事 支持端口入口和出口镜像可通过 TFTP 方式进行软件升级支持线缆测试功能支持 Console/Telnet 治

35、理支持系统日志和分级告警全线速AC 沟通： 100V 240V ，50Hz 60Hz电源DC 直流： -57V-40V功耗最大： 40W牢靠性MTBF ：50000 小时， MTTR ： 30 分钟依据校内网应用及以后网络升级改造需求，提出以上交换机性能指标要求，符合该性能要求的设备许多，最终确定华为Quidway3528 交换机作为该校内网汇聚交换机，配置为 1 端口千兆光口板一块， 8 端口百兆电口板两块；依据接入层特点，选用华为 2403 设备作为接入二层交换机； 选用华为 WA1006E系列 AP作为办公楼无线接入设备；详细设备明细见附表（二）系统配置方案1、接入路由器配置方案Host

36、name PingQuanShiZhuan-AR Ip subnet-zeroEnable securet .X#$./*定义连接互联网的接口*/ Interface fastethernet 1/0ip address 202.99.160.42 255.255.255.252./*定义连接防火墙的接口*/ interface gigabitethernet 2/0ip address 61.55.192.1 255.255.255.224./*指定静态路由*/ Ip route 0.0.0.0 0.0.0.0 202.99.160.41Access-list 100 permit 192.

37、168.20.0 255.255.255.0/* 定义远程 telnet拜访方式 */ Line vty 0 4Access-list 100 inPassword 7 .$#%#$.2、防火墙配置方案Hostname PingQuanFX-Firewall Password 7 #%$&#定义公网地址池nat address-group 1 61.55.192.3 61.55.192.15#定义外网口interface GigabitEthernet0/0ip address 61.55.192.2 255.255.255.224#定义内网口interface GigabitEthernet

38、1/0ip address 192.168.100.1 255.255.255.252#定义答应拜访互联网的拜访掌握列表acl number 2000rule 0 permit source 192.168.10.0255.255.255.0rule 1 permit source 192.168.20.0255.255.255.0rule 2 permit source 192.168.30.0255.255.255.0rule 3 permit source 192.168.40.0255.255.255.0#Acl number 2100rule 0 permit source 192.

39、168.20.0255.255.255.0firewall zone local set priority 100#firewall zone trustadd interface GigabitEthernet1/0set priority 85#firewall zone untrustadd interface GigabitEthernet0/0set priority 5#定义地址转换nat outbound 2000 address-group 1nat outbound source static 192.168.40.2 61.55.192.16nat outbound sou

40、rce static 192.168.40.3 61.55.192.17#firewall interzone dmz untrust#ip route-static 0.0.0.0 0.0.0.0 61.55.192.1ip route-static 192.168.10.0 255.255.255.0 192.168.100.2ip route-static 192.168.20.0 255.255.255.0 192.168.100.2ip route-static 192.168.30.0 255.255.255.0 192.168.100.2ip route-static 192.1

41、68.40.0 255.255.255.0 192.168.100.2#User-interface vty 0 4Acl 2021 inboundSet authentication password 7 #$#3、核心交换机配置方案Sysname core-switch Password 7 #%$&./*指定虚拟局域网 */ Vlan 100Alias To-RouterVlan 10Alias To-JiaoXueLouVlan 20Alias To-BanGongLou Vlan 30Alias To-KeJilouVlan 40 Alias To-Server./*指定虚拟局域网三

42、层接口*/Interface vlan-if 100Ip address 192.168.100.2 255.255.255.252Interface vlan-if 10Ip address 192.168.10.1 255.255.255.0Interface vlan-if 20Ip address 192.168.20.1 255.255.255.0Interface vlan-if 30Ip address 192.168.30.1 255.255.255.0Interface vlan-if 40Ip address 192.168.40.1 255.255.255.0./*指定互

43、联端口及端口所属VLAN */ Interface GigabitEthernet1/0/0Description To-Router Port access vlan 100Interface GigabitEthernet1/0/1Description To-JiaoXueLou Port trunk permit vlan 10Interface GigabitEthernet1/0/2Description To-BanGongLou Port trunk permit vlan 20Interface GigabitEthernet1/0/3 Description To-KeJiLouPort trunk permit vl