中学校园组网设计与实现毕业设计52565095.doc

《中学校园组网设计与实现毕业设计52565095.doc》由会员分享，可在线阅读，更多相关《中学校园组网设计与实现毕业设计52565095.doc（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流中学校园组网设计与实现毕业设计52565095.精品文档.本科毕业设计论文中学校园组网设计与实现摘 要随着信息技术的不断发展，网络已经成为人们工作、学习、生活不可或缺的一部分。对于中学来说，也需要建设自己的校园网络来满足学校日常教学、管理、娱乐的需求，为师生提供多姿多彩的校园文化生活。本文以一中为校园网建设为背景，从相关组网技术入手，在对校园网总体进行相关的需求分析之后，在分层设计和模块化设计的指导思想下给出了校园网的整体拓扑和整体方案。然后根据实际情况为校园网工程选择了相应的核心层、汇聚层、接入层和安全设备。并对建筑物间、建筑物垂直系统和水

2、平系统的综合布线作出相应的说明。 为了应对网络攻击和满足远程访问，本文给出了相应的安全方案和VPN接入方案。最终建成千兆骨干，百兆到桌面的高性能、高安全性的网络。网络出口采用电信、网通双出口设计。最后，本位给出了用仿真工具GNS3、VMware等工具模拟出的工程。关键词：中学、校园网、综合布线、网络安全、虚拟专用网ABSTRACTWith the continuous development of information technology , the network has become the way people work , learn , integral part of life

3、 . For high schools , they also need to build their own campus network to meet the daily school teaching, management and entertainment needs for teachers and students to provide colorful cultural life on campus .In this paper, one of the places the city as the background for the campus network const

4、ruction , starting from the relevant networking technology , after the overall campus network related needs analysis , in the hierarchical design and modular design gives the guiding ideology of the campus network overall topology and the overall program . Then according to the actual situation of t

5、he campus network engineering corresponding core layer, convergence layer and access layer, and safety equipment. And between buildings, building cabling system and the vertical level of the system to make the appropriate instructions . In response to cyber attacks and meet the remote access , this

6、paper presents the corresponding security programs and VPN access solution . Final completion gigabit backbone to the desktop Fast performance, high-security networks. Network exit using Telecom, China Netcom double outlet design .Finally , given the standard simulation tool used GNS3, VMware and ot

7、her tools to simulate the project.Keywords : school, campus network , cabling , network security , virtual private networks第一章 绪论11.1 研究背景11.2 校园网的发展现状11.3 论文的体系结构1第二章 校园网组网技术32.1 交换技术32.1.1 VLAN（Virtual Local Area Network）32.1.2 Trunk简介32.1.3 VTP（Virtual Trunk Protocol）32.1.4 STP协议42.1.5 HSRP（Hot S

8、tandby Router Protocol）技术42.2 三层路由技术52.2.1 静态路由52.2.2 动态路由选择协议 OSPF52.3 网络安全技术52.3.1 VPN(Virtual Private Network)技术52.3.2 防火墙技术62.3.3 DMZ（Demilitarized Zone）62.3.4 IDS和IPS技术62.4 QOS技术72.4.1 QOS简介72.4.2 QOS的三种模式7第三章 校园网需求分析83.1 项目概述83.2 需求分析83.2.1 传输介质类型选择83.2.2 信息点分布83.2.3 功能需求83.2.4 维护需求9第四章 校园网的总体

9、设计104.1 分模块的设计104.2分层的设计104.3 核心层设计104.4 汇聚层设计104.5 接入层设计114.6 IP地址与VLAN规划114.6.1 IP地址规划114.6.2 VLAN的规划114.7 用户上网方案114.8 VPN方案114.9 QOS方案124.9.1 QOS应用背景124.9.2 QOS设计概述12第五章 设备选型135.1 WS-C6506系列高端多业务路由交换机135.2 WS-C3750V2-24TS汇聚层交换机135.3 WS-C2960G-8TC-L接入层交换机135.4 Cisco ASA 5520防火墙145.5 Cisco 3800C系列路

10、由器14第六章 综合布线156.1 工作区子系统布线156.2 水平子系统布线156.3 管理间子系统布线166.4 垂直干线子系统布线166.5 设备间子系统布线166.6 建筑群子系统布线16第七章 模拟工程实现177.1 网络拓扑图及说明177.2 预期实验现象与现象说明177.3 核心层配置说明及具体配置177.4 汇聚层交换机配置及说明187.4.1 以太网绑定配置187.4.2 TRUNK配置197.4.3 PVST+配置197.4.4 VTP配置197.4.5 HSRP配置197.4.6 EthernetChannel配置207.5 接入层交换机配置及说明207.6 DHCP中继

11、及默认网关配置207.6.1 计算机上的配置，以C1为例。207.6.2 汇聚层交换机上配置217.6.3 DHCP服务器配置217.7 防火墙配置217.8 出口路由器配置217.9 Internet路由器配置217.10 酒店内路由器配置217.11 PC机设置22第八章 结束语23第一章 绪论1.1 研究背景随着当今社会的不断信息化，计算机网络特别是Internet已经在社会的各行各业被普及，可以说网络已经成为了人们工作、学习、生活中不可或缺的一部分。计算机网络技术连同数据库技术以及其他应用技术一起，改变着整个世界。在以知识传授和人才培养为主要目的的学校也迫切的需要使用计算机网络让学校的

12、教学、科研、管理更加信息化、现代化。在利用网络设备和组网技术构建的校园网的基础上，学校能够实现学校各个部门的信息化管理。全体师生也能够利用这个信息化平台进行更加有效便捷的交流，更加方便的投入到日常的教学学习中来。因特网Internets是指当前全球最大的、开放的、由众多网络相互连接而形成的特定计算机网络，它采用TCP/IP协议族作为通信的规则，且其前身是美国的ARPANET（计算机网络，谢）。因特网从不同程度上促进了社会各个行业的发展，教育是其中之一。Internet上有无比丰富的教育资源。校园网是一个局域网，把校园网接入到Internet后使得校园网成为了因特网的一小部分，从而可以利用因特网

13、上数量巨大的教育资源。学校不应该是闭门造车的一个点的，而应该是一个能与其他学校、机构进行有效通信的Internet中的一部分。这样的学校才能进行更加有效的教学、科研、管理和决策。1.2 校园网的发展现状随着我国在1994年开始建设CERNET（China Education and Research Network，中国教育科研网），校园网的研究工作被正式启动。国内高校纷纷开始建设自己的校园网，并在校园网的基础上构建出用于日常管理教学的信息系统。据统计，目前国内高校中已经建设校园网的已经超过90%，剩下的高校中大部分校园网正在建设。可见，校园网已经成为绝大多数学校所必须基础设施之一。随着教育信

14、息化的的发展，校园网应用涌现出种类繁多的形式。非传统的教学方式开始走进学校教育，如网络课程、远程教学、视频点播等。而随着网络应用的不断丰富，特别是P2P软件的使用对校园网的性能特别是带宽提出了更高的要求。国内不少高校已经建设了千兆主干网，百兆到桌面的校园网，相比之下，中学对校园网的性能要求没有高校那么高，但是为了保证网络在未来较长的时间内仍能满足需求应该建设处高标准的中学校园网。不少中学也已经建设了自己的网络办公系统、教务系统等众多的网络应用系统。1.3 论文的体系结构本论文共分为8章。第一章是绪论，主要介绍了课题背景。第二章是校园网组网技术，主要介绍了组网过程中要使用的二层、三层、安全以及Q

15、oS技术。第三章是校园网的需求分析，主要分析了校园网中的网络信息节点、功能需求、维护需求。第四章是校园网的总体设计使用模块设计和分层设计的方法设计出校园网的整体拓扑，合理划分了IP地址和VLAN，并给出了用户上网方案和QoS方案。第五章是设备选型，介绍了本次组网中选择的各种设备的型号，并给出了选择它们的原因。第六章是综合布线，给出了建筑群综合系统的要求和标准。第七章是模拟工程实现，通过使用模拟工具给出了尽可能贴近实际的模拟工程。第八章是结束语，对论文所完成的内容进行了总结。第二章 校园网组网技术2.1 交换技术2.1.1 VLAN（Virtual Local Area Network） 传统交

16、换机能够隔离冲突域，但是却不能隔离广播域。这时连接在同一台交换机上的终端都在同一个广播域之中，如果其中一个计算机发送广播包那么在同这一个广播域之中的其他计算机都会收到这个广播包。如果广播域中的计算机数量众多，那么大量的广播包会占用大量的带宽，同时大量的广播包也加重了CPU的负担。而VLAN技术的出现解决了这个问题。VLAN可以隔离广播域，同一个VLAN内的计算机在同一个广播域之中，不同VLAN的计算机要想通信必须经过三层设备。使用VLAN有很多好处。第一，使用VLAN之后一个广播域之中的计算机数量将大大降低，一般，一个VLAN包含一个独立的子网。第二，使用VLAN提高了网络的安全程度。如果一台

17、主机感染了病毒那么广播域内的其它主机就很容易受到感染。另外，VLAN把含有重要数据的部门和其他部门隔离开来，增加了信息的安全性。第三，使用VLAN使得网络的管理更加方便，管理员在不改变网络物理拓扑的情况下能够很容易的改变VLAN的设置。例如，一个员工原先属于公司的技术部，现在他被调派到了市场部，那么他的办公地点不许改变，只需通过交换机上的几条配置命令就能把他的计算机从技术部的VLAN划分到市场部的VLAN。2.1.2 Trunk简介在不增加交换机之前的连接线的前提下，通常连接在同一台交换机上的同一VLAN可以相互通信，但是连接在不同交换机上的同一VLAN却不能通信，这在实际网络中明显是不可取的

18、。所以有必要实用Trunk技术。“Trunk”一词在英文中意为“干道”。可以这样来理解“Trunk”：就像条马路原先只允许一种交通工具通过，如果想使用其他交通工具必须修建另外一条马路，现在使用一种技术使得这条马路允许不同交通工具都能通过。这种技术在网络工程中就是“Trunk”技术。Trunk技术在实现上使用的是“打标签”的方法。来自不同VLAN的数据在进入TRUNK链路前会被打上“标签”，然后在TRUNK链路中传输，传输到TRUNK链路的另一端时标签会被去掉，然后被转发到不同的VLAN之中去。有两种主流的帧标记技术：ISL和802.1q(IEEE)，其中ISL是思科私有，802.1q是国际标准

19、，一般802.1q使用的比较多。在本案例中我们使用的也是80.21q。在配置TRUNK链路的时候还要注意Native VLAN的问题，在网络管理和排错的时候Native VLAN都是检查和注意的重点。2.1.3 VTP（Virtual Trunk Protocol）在一个校园网里面会有大量的二层和三层交换机，而在这些交换机上管理员会配置大量的VLAN，配置这些VLAN要花费大量时间，而且要做大量的重复性工作，这对每一个网络工程师来说都是十分枯燥的。而VTP的出现就解决了这一问题。在一个网络中，管理员只需要把其中一台或者几台交换机设置为VTP Server其他交换机设置为VTP Client那么

20、在VTP Server交换机上建立、删除、修改VLAN后，VTP Server上的VLAN会通过VTP协议和VTP Server同步，这样就大大简化了VLAN配置的工作量。需要注意的是，VTP是思科私有的协议，只能在思科交换机之间运行。由于本案例中采用的都是思科交换机所以VTP将发挥它的作用。2.1.4 STP协议如果不做冗余设计，那么在网络中如果个别网络设备或者链路出现故障，那么一大部分甚至整个网络就有可能瘫痪。为了避免这种情况的发生，我们往往会在某些网络设备之间添加多条链路或者添加一些备用网络设备。但是这样做在增加网络的稳定性的同时也为网络带来了环路。环路会导致三个问题：广播风暴、交换机的

21、CAM表不稳定、同一个帧的多次复制。这时我们就引入了STP（Spanning Tree Protocol生成树协议）。在数据结构中我们知道，“树”是没有环路的拓扑结构。人们正是利用了“树”的这个特性开发出了STP协议，来避免环路的产生。STP的基本思路是通过阻断交换机的某些接口来使一个图变成一个“树”。早期人们开发出的802.1d这一STP协议。这一协议虽然能避免网络的环路但是收敛时间（交换机从检测到网络拓扑发生变化开始到所有交换机重新生成一棵“树”的时间）通常需要30-50秒。这明显不能满足现代网络的需要。因此人们做了一些改进措施如：Portfast、Uplinkfast、Backbonef

22、ast技术。这些措施可以使收敛时间减少一些，但是仍不能满足人们的需求。因此，又开发出了一些新的STP协议如：PVST+(思科私有)、RSTP（IEEE 802.1w）、MSTP。在实际应用中上述技术一般两个或多个同时使用，这样网络的收敛时间大大的减少了。例如使用RSTP的网络收敛时间甚至能达到几百毫秒。2.1.5 HSRP（Hot Standby Router Protocol）技术HSRP属于思科私有，是一种网关冗余技术，和它类似的另外一种协议是VRRP协议（国际标准）。在本案例中我们使用的是HSRP协议，在这里作重点介绍。在理解HSRP协议的时候我们可以把它同其他的冗余技术作比较。在增加网

23、络设备或者增加网络设备间链路时我们是为了增加网络设备（路由器和交换机）之间的冗余，主要使网络设备之间的通信更稳定；而HSRP的设计是为了增加计算机和网关之间的冗余，主要使计算机和网络设备之间的通信更稳定。在实际工程中，我们可以把几个网关放到一个热备份组之中（可以创建不同的组），在这个组中，只有一个网关是处于Active（活动）状态的。如果处于Active状态的路由器出现了故障，那么HSRP会在剩下的备份路由器中选举出一个路由器置为Active状态。配置HSRP时会为所有的网关地址配置一个虚拟IP地址，这时只需把计算机的网关设置为这个虚拟IP地址就可以了。在本案例之中，配置HSRP是基于VLAN

24、的。在每个汇聚层交换机为每个VLAN创建一个SVI（Switch Virtual Interface），然后把相同VLAN的SVI接口放到同一热备份组，为这个热备份组创建一个虚拟IP地址，把同一VLAN的所有计算机的网关设置为这个虚拟IP地址。2.2 三层路由技术2.2.1 静态路由路由选择表获取信息的方式有两种，以静态路由表项的方式手工输入信息，或者通过几种自动信息发现和共享系统（动态路由选择系统）之一自动地获取信息。（TCP/IP路由技术）通俗的说，静态路由就是人工告诉路由器每条路应该怎么走，而动态路由则是让路由器自己学习每条路应该怎么走。从上面的叙述中我们不难发现配置静态路由要比配置动态

25、路由要花费更多的时间。因为通常较大规模的网络中的路由器都有成百上千条路由，静态路由要求我们手工的把数量巨大的路由条目一条一条的配置到路由表中。另外只要网络拓扑发生变化，管理员就得重新更改静态路由的配置，这在管理上又是一个巨大的难题。而动态路由就没有这些问题，只需较少的配置，较少的维护。既然这样我们为什么还要使用静态路由呢？这是因为静态路由在某些需要精确控制路由选择的场合能发挥巨大作用，而动态路由此时就显得力不从心了。所以到底是选择静态路由还是选择动态路由要根据具体情况具体具体分析，不能一概而论。另外，静态路由中的默认路由在局域网出口路由器连接Internet时非常有用。举一个简单的例子，网络的

26、拓扑、接口设置、接口IP地址如下图所示。我们可以这样告诉路由器23.1.1.0/24网段怎么走：R1(config)#ip route 23.1.1.0 255.255.255.255.0 12.1.1.2/ip route 要配置的网段地址子网掩码（24位）下一跳地址2.2.2 动态路由选择协议 OSPF同RIP协议相同，OSPF也属于内部网关协议（IGP）。但是，与RIP不同的是，是另外一种全新类型的协议链路状态协议（属于距离矢量协议）。距离向量的意思是，R I P发送的报文包含一个距离向量（跳数） 。每个路由器都根据它所接收到邻站的这些距离向量来更新自己的路由表。在一个链路状态协议中，路

27、由器并不与其邻站交换距离信息。它采用的是每个路由器主动地测试与其邻站相连链路的状态，将这些信息发送给它的其他邻站，而邻站将这些信息在自治系统中传播出去。每个路由器接收这些链路状态信息，并建立起完整的路由表。（详解）。运行协议的路由器就好像一个人，他知道某地应该怎么走，但是他都是从别人口中“打听”得到的，每个人都是从其他人那里“打听”，如果其中某个环节出错，就会产生错误。而则不同，运行的路由器就好像一个拥有整个区域地图的人，他对整个区域有一个完整的了解。如果想去另外一个地方，那么他查看地图就可以了，不易出错。另外，还有许多其他优点。这些优点使得比更先进，更适合现代的大中型网络。2.3 网络安全技

28、术2.3.1 VPN(Virtual Private Network)技术使用Internet会面临很多风险，数据包在通过Internet到达目的地时有可能别人阅读、修改，这明显是不应该被允许的。VPN技术是一种可以保证数据安全通过Internet的技术。VPN使用多种安全技术，为分支机构、远程和移动办公提供安全安全通信及资源共享。从接入方式看，VPN有专线和拨号两种。从实现类型看，VPN有二层VPN和三层VPN两种。从拓扑类型看，VPN有站点到站点（Site to Site）VPN和远程访问VPN两种。VPN有许多优点，第一，VPN节省开支；第二VPN很安全；第三，VPN拥有较好的可扩展性；

29、第四，VPN兼容宽带技术。在本案例中，由于一中没有分支机构（分校）所以不需要配置站点VPN，只需要配置远程访问VPN，以方便在家庭和出差的师生访问学校资源。2.3.2 防火墙技术现代网络面临着大量的安全威胁。从具体形式看，病毒、蠕虫、特洛伊木马是最常见的三种类型；从攻击类型看，侦查攻击、接入攻击、拒绝服务攻击是三个主要类别。各种各样的网络攻击已经给人们的生活生产造成了巨大的损失。防火墙的出现从一定程度上缓解了上述威胁。总的来说，防火墙可有以下几个功能。避免不受信任的用户访问敏感数据。净化协议流量、隐藏协议漏洞。防止病毒和恶意文件接触服务器和终端。 另外还可以再防火墙上配置VPN，使网络安全策略

30、变得更简易。2.3.3 DMZ（Demilitarized Zone）非军事区来源于军事学，指的是交战双方之间的缓冲带。在计算机网络中，我们也可以把DMZ区域看做缓冲地带，只不过交战的双方分别变成了网络攻击者和内网。为了使内网更安全，有时会把一些必须公开的服务器放在DMZ区域内。2.3.4 IDS和IPS技术防火墙可以在一定程度上抵御来自网络外部的攻击，但是如果威胁来自内部，那么防火墙就显得有些无能为力了。更可怕的是，来自网络内部的攻击可能会比来自外部的攻击造成更大的破坏，因为攻击者更加了解网络的构成，可以直接访问网络和数据。可以这样理解，防火墙就好比一栋大楼的保安，IDS就好比这栋大楼里的监

31、视系统。入侵检测系统被动的检测网络上的流量。IDS设备通过复制数据流来分析和检测数据，并不转发数据。IDS的有点事不会影响数据包的转发，缺点是不能及时的阻止恶意流量对于网络的攻击。IDS通常与其他网络设备一起对攻击做出反应。IPS是在IDS技术之上建立的。与IDS不同，IPS设备工作在在线模式，所有进入和送出流量都要经过它来处理。数据包如果没有没有被IPS分析是不允许进入信任区域的。这样做的好处就是，IPS可以实现按需检测和立即解决问题。另一方面，IPS可能导致许多错误、失误和溢出的流量，影响网络的性能。IPS和IDS各有优缺点，具体工程时一起选择两种技术，让它们相互补充。2.4 QOS技术2

32、.4.1 QOS简介QOS用来度量网络传输质量和服务可用性。进一步的讲，QOS是网络为某特定数据流提供优质服务的能力。QOS通过以下几种手段来提供优质的网络服务：提供专用带宽降低丢包率避免网络拥塞整形（Shapping）网络流量设置数据优先级2.4.2 QOS的三种模式尽力而为服务模式，集成服务模式，区分服务模式。三种模式中，尽力而为模式是IP网络的初始模式，集成服务模式与本案例无关，区分服务模式区别的对待不同的数据流量，把他们分成不同的类别，不同类别的数据流量进行不同类别的处理。在这里我们重点介绍区分服务模式。区分服务模式的基础是在RFC2474和RFC2475中奠定的。区分服务模式由以下几

33、个基本部分构成：在网络边界设置IP报文头中的某些位，也就是标记数据。用来为以下的处理做准备。网络内的节点根据这些位的设置情况决定如何转发数据包。被标记的数据在网络边界被调整为与服务或规则要求的一致。从区分服务模式的构成也能看出它的工作原理，即根据管理策略设置每个服务的要求和规则，网络节点根据标记位选择数据包，结合缓冲区管理和数据包调度机制区别处理不同的数据包。第三章 校园网需求分析3.1 项目概述一中是安徽省重点高中，学校现占地300亩，每个学生人均40平方米，共有行政楼一栋、教学楼两栋、图书馆一个、科学馆一个、体艺馆一个、公寓楼两栋、餐厅楼一栋，操场一个。学校的建筑平面图如下图所示。建筑物平

34、面图为了跟上信息化时代校园网建设的潮流，进行自动化办公以及网络化教学，一中决定建设自己的校园网。3.2 需求分析要进行组网设计首先必须进行需求分析。本方案从传输线类型选择、信息点分布、功能需求、维护需求等几个方面进行分析。3.2.1 传输介质类型选择一中建筑物平面图如上图所示。在本案例中，电教馆计算中心被设计为整个校园网的中心。因为网络中心到其他建筑之间的距离都在500m以内，所以我们采用多模光纤连接网络中心和其他网络节点。建筑物内部采用超五类非屏蔽双绞线作为传输线。3.2.2 信息点分布3.2.3 功能需求（1） 建立以电教馆为中心连接其他建筑物的星型拓扑网络，达到千兆核心骨干网络，百兆到桌

35、面。（2） 根据具体的情况，划分合适的子网和合适的VLAN，每个子网的带宽大于等于100Mbps，建立起高性能并且易于管理的校园网。（3） 要求校园网能够实现资源共享（4） 在校园网的基础上建立起教育管理和自动化办公系统，实现校园的现代化管理。（5） 建立网络教学系统，以适应信息化时代网络教学。（6） 建立网上图书馆，提供电子阅览（7） 建立与Internet的连接，并保证连接的安全、高速。（8） 安装常用的因特网应用。（9） 保障校园网的安全，防止入侵和破坏。（10） 校园网要具备一定的容错和冗余能力，网络的个别部分出现故障时不应导致整个网络的瘫痪。3.2.4 维护需求为保证校园网建成后能够

36、在工程师离开之后依然能够正常运行，应该对学校的相关人员进行必要的技术培训，让他们具有一定的网络管理和排错能力。相关人员应该具备以下能力：具备一定的网络基础知识、熟悉相关网络产品的技术参数、具备基本的组网与排错能力。（1） 课程培训内容LAN与WLAN技术。Internet基础技术和应用。Windows Server 2003服务器的使用方法。WWW、DNS、E-mail、FTP服务器的搭建与管理。（2） 现场培训网络、操作系统的安装与调试。网络、操作系统的故障诊断与排除。网络管理工作站与网络管理软件的原理与应用。交换机安装与配置。结构化布线实际操作。第四章 校园网的总体设计4.1 分模块的设计

37、我们把网络分成几大模块，每个模块相互之间功能独立，模块之间通过接口连接，组网时把各个模块恰当的拼接起来。在本案例中我们把网络分为：内部接入层汇聚层模块、内部核心模块、网络安全模块、网络计费管理模块、广域网模块、内部服务器集群模块、外部服务器集群模块等。4.2分层的设计所谓分层设计方法，就是按照信息的流动过程将网络的整体功能分解为一个个功能层，不同机器上的同等功能层之间采用相同的协议，同一机器上的相邻功能层之间通过接口进行信息传递。-某高职学院校园网的规划与建设采用分层设计的方法有许多好处。第一，分层设计使得设计和维护网络变得容易。一方面，如果没有分层设计的理念，网络工程师对于网络就没有一个整体

38、的把握，没有清晰的思路，这样很难设计出一个大型的优秀的网络。另一方面，如果网络不是分层设计的，那么当网络出现故障时，维护人员很难分析出是哪个地方出现问题，增加了排查解决故障的时间和难度。第二，分层设计提高了网络的可扩展性。在分层设计的网络中，各层之间相互独立，每一层只需要下层提供接口对上层提供服务而不需要知道上下层具体是怎么实现的。这样当其他层的技术升级时，本层不需要进行太大的改动，具有很高的可扩展性。4.3 核心层设计核心层是一个网络的主干，核心层的设计要考虑到网络的冗余能力，高性能和高可靠性。核心层设备一般采用背板转发的高性能交换机。核心层设备的性能往往决定了网络整体的转发性能，所以在对核

39、心层的设计和配置一定要合理。在本方案中，由于普通中学的财力有限，而核心层设备比较昂贵，并且中学网络对网络的性能和冗余没有高校那么高，所以本方案只使用了一台核心层设备。4.4 汇聚层设计汇聚层负责把接入层交换机汇聚起来，一台汇聚层交换机连接多台接入层交换机，一台汇聚层交换机往往也连接多台核心层交换机以实现网络的冗余功能。汇聚层交换机的功能比接入层交换机多，性能也比接入层交换机强。汇聚层通常被设计要完成不同VLAN间的路由和定义广播和多播等任务。另外，为了节约网络IP地址，还可以在接入层采用私有地址，通过汇聚层进行NAT转换形成因特网中的合法地址。职业中学校园网规划与设计。4.5 接入层设计接入层

40、负责连接大量的终端设备，用来隔离冲突域，是整个网络中数量最多的网络设备。接入层一般由大量的二层低端交换机组成，设计时要选用容易使用、管理、维护的交换机，要考虑到设备的高性价比，并且要具有较高的端口密度。4.6 IP地址与VLAN规划4.6.1 IP地址规划本案例中的中学目前共有计算机800余台，充分考虑未来终端数量的进一步增加，在初期设计网络时，校园网被设计为使用50台接入层计算机提供1200个接入端口。本案例中校园内的网络采用网络地址采用私网地址192.168.0./8，私网地址是用VLSM（可变长子网掩码）划分子网。行政楼内的主机采用固定的IP地址，一般的上网用户主机采用DHCP（动态主机

41、配置协议）获取。终端计算机具体设置如下图。本案例采用了PPPoE认证方式来确保用户的合法性。用户只有在身份被认证之后后才能连接到校园网内。如图所示。4.6.2 VLAN的规划VLAN号VLAN名称IP网段默认网关说明VLAN 1-19216800/241921680254管理VLANVLAN 10XZL192168100/2419216810254行政楼VLANVLAN 20MAN192168200/2419216820254男生宿舍VLANVLAN 30WMAN192168300/2419216830254女生宿舍VLANVLAN 40ZHG192168400/2419216840254职工

42、宿舍VLANVLAN 50JXL1192168500/2419216850254教学楼1VLANVLAN 60JXL2192168600/24192168600/24教学楼2VLANVALN 70 SHYL19216870.0/24192168700/24实验楼 VALN本实验中的VLAN划分如下图所示位置VLANIP地址子网掩码作用核心层无192.168.1.024连接服务器群中的交换机192.168.12.024连接分布层交换机1192.168.13.024连接分布层交换机2192.168.2.024连接防火墙192.168.0.024管理VLAN汇聚层无192.168.12.024连接核

43、心层交换机防火墙 无192.168.214.024PIX-R2192.168.213.024PIX-R14192.168.200.024PIX-DMZ出网路由器无192.168.213.024R14-PIX192.168.144.14424R14 环回口宿舍10192.168.10.024宿舍120192.168.20.024宿舍24.7 用户上网方案一中除了要实现校内通信之外还要和Internet相连，用户在校内使用私网地址，与Internet通信时通过NAT把私网地址转换为公网地址。为实现上网稳定，学校决定采用连接电信、联通两个ISP上网的方式，用户上网时采用PPPoE拨号上网，计费系统会

44、计算用户上网的花费。4.8 VPN方案由于一中没有分校区，所以不必实现Site toSiteVPN。本案例采用思科公司的Easy VPN方案，这种VPN方案不需要客户端作较多的配置，大部分VPN在VPN网关上实现。通过本方案可以实现教师学生可以在家里或者其他场所通过连接到互联网后登陆VPN Client客户端访问学校的内部资源，极大的方便的教师和学生。4.9 QOS方案4.9.1 QOS应用背景随着个人计算机和Internet的普及，师生越来越多的使用Internet浏览网页、下载、看在线视频等。这些活动导致带宽需求不断的增长。就如同当今的道路总是不能满足车辆交通需求一样，网络的带宽也总是跟不

45、上用户对带宽的需求。特别是大量的P2P下载和视频流量消耗了大量的带宽，这些非关键应用加剧了带宽的供需矛盾。这时就必须采用QOS技术保证一些关键应用的带宽，如：OA，VoIP，教务系统，网络教学平台，一卡通等。在不能无限拓宽道路的情况下，加强交通的管理是一个缓解拥塞的切实可行的手段。在IP网络使用尽力服务模式的情况下，P2P下载、网络视频会占用关键应用的带宽，因此有必要采用区分服务模型保证各种关键应用数据的传输。4.9.2 QOS设计概述一VoIP设计需求VoIP是一种对网络性能要求较高，需要为VoIP保证足够大的带宽，足够小的丢包率、延迟和抖动。语音流量的DSCP值应该设置为EF，即无障碍转发

46、。丢包率应该小于1%。单向延迟应该小于150ms。平均单向抖动应该小于30ms带宽需要20320kbps。二视频的设计需求视频流量分为两种：交互式视频，流式视频。交互式视频的DSCP应被标记为AF41，丢包率小于1%，单向延迟小于150ms，抖动小于30ms。流式视频的DSCP应被标记为CS4，丢包率小于5%，延迟小于4秒，抖动需求不强。三数据的设计需求数据流量一般可以分为4中：大块数据、尽力服务，本地定义的关键业务数据、事物处理数据/交互数据。大块数据的DSCP应被标记为AF11，如果过量可以降格为AF12或AF13。尽力服务数据的DSCP设置为0（默认），要为其至少预留25%的带宽。要防止大块数据占用所有带宽，也要为大块数据保留足够的带宽。本地定义关键业务数据的DSCP应被设置为AF31，需要时也可以降格为AF31或AF33，需要保留适当的带宽以支持交互式前台操作。事物处理数据/交互数据的DSCP应被设置为AF41，必要时可以降格为AF42或AF43，需要保留适当的带宽以支持交互式前台操作。第五章 设备选型5.1 WS-C6506系列高端多业务路由交换机Cisco Catalyst 6500 系列交换机是Cisco交换机的旗舰产品，在网络服务，网络安全、无间断通信、管理性能方面都具有无与伦比的优势。该