校园网网络系统集成方案07.pdf

《校园网网络系统集成方案07.pdf》由会员分享，可在线阅读，更多相关《校园网网络系统集成方案07.pdf（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、校园网网络系统集成方案1 数学与信息科技学院课程论文题目：校园网网络系统集成方案完成人：系（院）别：专业、班级：网络工程校园网网络系统集成方案2 目 录第 1 章 校园网络需求分析.31.1 需求分析与拓朴结构.31.1.1校园网的功能.4第 2 章 系统总体设计方案概述.42.1 系统组成与拓扑结构.42.2 校园网的设计思想.52.3 校园网络系统应用要求.5第 3 章 校园网设备选型.73.1 校园网核心层设备选择.73.2 校园网汇聚层设备选择.83.3 校园网接入层设备选择.83.4 校园网服务器和路由器设备选择.9第 4 章 VLAN 的配置.10 4.1 虚拟网划分 .10 4.

2、1.1 VLAN的发展与现状.10 4.1.2使用 VLAN技术的优点 .10 4.1.3 VLAN端口划分及配置.11 第 5 章 交换机和路由器的配置.11 5.1 路由器与交换机的配置.11 5.1.1路由器的配置 .11 5.1.2核心层交换机的配置.12 5.1.3办公室接入层交换机配置.错误！未定义书签。5.1.4学生宿舍接入层交换机配置.错误！未定义书签。第 6 章 网络安全性.14 6.1 系统安全 .12 6.2 防毒技术.15 第 7 章 绪论.15 参考文献.15 校园网网络系统集成方案3 校园网网络系统集成方案摘要：21世纪是一个以数字化、网络化与信息化为核心的信息时代

3、。信息技术的高速发展使得计算机网络发展的非常迅速，已经成为信息科学的一个新的分支。随着计算机网络的发展，校园网已经成为学校走向信息化时代的必然发展趋势，使我国教育管理向智能化发展。校园网络的规划设计是一项系统工程，不同的规划设计方案，可使网络存在较大的性能差异，它不仅体现在网络本身具备的技术特性和应用特点上，也体现了不同用户的各种需求，而校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用，同时提供简单、有效、便捷的理想办公、教学环境。本文通过对学校园网建设的研究，着重从需求分析、校园网的设计、设备的选型、网络互联设备配置等方面进行了分析与描述，并给出了具体的设计方案。关键词：

4、校园网；路由器；交换机；VLAN 第一章校园网络需求分析1.1 需求分析与拓朴结构1.1.1 校园网的功能1、网络中心网络中心形成了主干网，是整个校园网的总节点，并提供连接广域网和拨入服务，在主干网系统采用以太网结构。在方案中，中心机房放置着中心交换机、服务器群、路由器、机架 MODEM 等网络设备，这些设备以中心交换机作为中心，以星形拓朴结构通过双绞电缆线连接在一起。网络中心与子网的连接，是通过根据与子网的距离，通过光纤和双绞电缆线将中心交换机和子网的交换机连接起来。2、信息交流功能(1)互联网信息服务-让学校了解世界，让世界了解学校(2)校内信息服务，信息的接收者就是信息的发布者3、学生学

5、习功能网络使学生的学习方式发生了很大变化，他们利用网络自主学习，提高自己的学习能力。他们需要上网查了资料，将完成的作业利用电子邮件发送给了老师。鼓励学生们建立自己的网页，包括英语角、名站鉴赏、硬件长廊、编程作坊、会员网页、游戏论坛、电脑文化等栏目。4.图书馆功能，以图书馆为信息源图书馆可以开设面向教师开放的电子备课室和光盘阅览室，开设面向学生开放的电子阅览室。采购、分类编目、流通、查询、期刊等环节全面实行计算机自动化管理，可以在校园网提供网上在线书目检索服务，读者可以在网上实现检索图书、浏览全文、查阅借阅情况、办理预约及续借手续等。进而实现图书管理的电脑化 和资料查询的网络化。5、办公子网学校

6、管理机构作为学校的中枢管理系统，协调、组织整个学校工作的正常运行，为了能适应管理机构的功能，办公子网需要针对用户的权限，完成数据生成、修改、查询，进行办公自动化、人员资料管理、课程管理等方面的工作。办公子网与网络中心的信息通信比较多、每天要访问大量的数据，还有音频、视频等方面的需求，可以采用一个千兆光纤模块的交换机，在与网络中心的中心交换机通信时有足够的带宽，足以适应各种场合的应用。校园网网络系统集成方案4 6、多媒体教学子网在多媒体教学活动中，需要有大量的视频、音频数据进行传输，而基于共享工作方式的集线器，其有限带宽、广播式工作模式不利于这些信号的传输。所以推荐采用交换机用为主要设备，只有在

7、个别用户数目比较少、对信号质量要求不高时，采用集线器。多媒体教室与网络中心的数据通信一般不多，但距离比较远，可以根据教室的多少，增加二级交换机，各个教室采用端口数比较多的交换机。7、图书馆子网图书馆子网主要功能是在图书馆范围内进行计算机文献检索、电子阅读、计算机借还系统以及在校园网上进行文献检索等。由于图书、文献等多以文本的形式出现，数据量不大，可以采用集线器作为节点。图书馆子网中需要存储大量数据，所以要设置专用的数据库服务器作为数据存储、管理系统，数据存放在光盘塔、硬盘阵列等系统中，支持图书馆子网和校园网用户的访问和查询。图书馆子网与网络中心采用1000M带宽的交换机。8、宿舍子网学生和教师

8、宿舍子网主要是通过100M接入层交换机实现互联。第二章系统总体设计方案概述2.1 系统组成与拓扑结构如前所述，就校园网网络系统进行如下规划：校园网络拓扑结构如图2.2 校园网的设计思想校园网设计方案将从学院的实际应用出发，结合现代信息技术的发展，遵循实用，可靠，先进，安全的设计原则。校园网建设第一步方案将以结构化布线和主干建设为重点。网络主干采用以太网技术，核心交换设备不仅功能强大，而且具有优异的扩展性能，可以很好地满足今后不断发展的应用需要。同时，在服务器，操作系统，应用软件开发，信息出口等方面也进行了周密的设计，保证在系统开通的同时，基本网上应用及各种专业应用开发能够同步进行。校园网网络系

9、统集成方案5 在前面的内容中，对本次我院校园网络系统的总体要求和技术要求进行了总结，这些要求实际上主要反映了网络系统的现状及将来在实际运行阶段的需要。在充分研究了目前网络界对设计一个校园网所采用的各种网络主干技术，并充分考虑到技术发展的主流和趋势后，在我院校园网络系统的主干部分采用千兆以太网。网络设备连接方案示意图在设备选型上，核心层使用Switch 8800或者类似性能的三层交换机作为核心交换机。该类交换机采用特快包转发三层交换技术，适合于包含数千个节点的大型网络；而不会象其他三层交换技术那样，随着网络规模的扩大而处理性能迅速下降。考虑到整个网络系统性能和层次问题，汇聚层选择Quidway

10、S5516千兆路由交换机和Quidway S3928P智能弹性以太网交换机，接入层选用H3C S2126或者类似性能网络交换机。2.3 校园网络系统管理要求我校组建的校园网必需具备有完善的、安全的智能化网络管理功能，其基本需求如下：1）网络设备支持基于端口的虚拟网（VLAN）划分，利用网络管理软件能动态地调整配置VLAN。使划分的各虚网之间既能相互共享所需的信息，又能分别独立运作，加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力。2）具有基于端口的访问控制模式，有效防止外部或内部对某些重要信息点的访问，达到控制信息流向的目的，增强网络的安全性。3）动态监控网络流量和端口

11、状态，及时平衡网络负载。4）动态监控网络登录、网络代理用户数，有效、及时地防止某些非法访问。5）对网络故障及时报警，并实现隔离。对于网络管理系统软件，选用华为公司的网络管理软件H3C网管应用软件。2.3 校园网络系统应用要求整个网络在技术上定位为千兆以太网主干网络，以1000M多模光纤和100/1000M 双绞线为主要传输介质，因而对网络协议透明，但可以配置成以IP 协议为主的高速IP 网络。网络至少包括如下几个要素333435：1、网络结构的优化：网络体系结构要体现在网络层的层次化体系结构，可以减少对传统传输体系的依赖。校园网网络系统集成方案6 2、包转发的优化：适合大型、高速宽带网络的特征

12、，提供高速包转发机制。3、带宽优化：在合理的QoS控制下，最大限度的利用带宽。4、稳定性优化：最大限度的利用故障恢复方面快速切换的能力，快速恢复网络连接，提供符合高速宽带网络要求的可靠性和稳定性。5、可扩展性：要求网络能适应网络技术的不断发展，使网络系统能够顺利、平滑地向更新的网络技术过渡。6、通信协议的支持：可以支持TCP/IP、IPX、DECNET、APPLE-TALK等协议。以TCP/IP为主要通信协议。支持RIP，OSPF，BGP4，IGMP，PIM-SM，PIM-DM等多种国际标准的路由协议。下面从核心层的网络承载能力、接入能力、拥塞控制与服务质量保障、扩展能力、与国际互联网的互联、

13、网络管理与安全体系等方面对本网络的技术要求进行论述。一：核心层网络承载能力核心层网络由两台Switch 8800中心交换机组成，分别与汇聚层交换网络设备进行星型连接，网络主干支持千兆以太网技术，并充分考虑网络冗余备份，从而提供高网络系统带宽和网络的可靠性。上述连接必须全部采用光缆。两台核心网络交换设备Switch 8800无阻塞第二、三层交换容量为64Gbps，第二、三层交换能力为48Mpps，具备足够的处理能力满足高速端口之间的无丢包线速交换。主干网设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制，避免前向拥塞时的丢包。二：接入能力及连接说明接入的核心层是两台具有第2/3 层交换能力的

14、Switch 8800交换机，两台Switch8800 交换机分别配置冗余电源，两台Switch 8800交换机之间做冗余备份和均衡负载，保障稳定可靠的运行，实现无单点故障。根据我院实际情况分析，本次校园网建设工程覆盖的范围包括南院北院的办公区、教学区、生活区、学生区，从网络的结构层次性、合理性方面考虑，本方案在北院设置一个网络中心，支持各楼汇聚层节点的千兆光缆上连，而各汇聚层节点分别支持各小区内接入层节点的千兆光缆上连。只通过单链路连接，势必会在汇聚层与核心层这段连接中存在着瓶颈，并且，采用单链路的方式，两台核心交换机即使做双机热备份，也不能发挥双机热备份的功能，单核心交换机的负荷量增大，网

15、络可靠性差。因此，在建设当中，汇聚层与核心层的连接应采用两条链路分别与核心层的两台核心交换机连接，核心交换机Switch 8800之间采用 VRRP实现双机热备，达到均衡负载的目的。汇聚层至核心层采用了双链路，可以减轻单台核心交换机的负荷，从而实现网络系统的快速、高效、稳定、可靠的运行。三：拥塞控制与服务质量保障拥塞控制和服务质量保障(QoS)是高速网络的重要品质。由于接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。1、业务分类COS：网络设备支持68 种业务分类(COS)。当用户终端不提供业务分类信息时，

16、网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。2、接入速率控制：接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。3、队列机制QUEUING：具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。4、先期拥塞控制：当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。5、资源预留：对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。

17、四：网络的扩展能力网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展，以及网络规模的扩展能力。校园网网络系统集成方案7 1、交换容量扩展：交换容量应具备在现有基础上继续扩充容量的能力，以适应业务急速膨胀的现实。2、端口密度扩展：设备的端口密度应能满足网络扩容时设备间互联的需要。3、主干带宽扩展：主干带宽应具备48 倍甚至更高的带宽扩展能力，以适应应用急速膨胀的未来需求。五：与国际互联网的互联我院校园网络将通过100M宽带接口，实现与Internet国内国际出口的无缝连接。因为学院分南北两个校区，两个校区分别通过电信或网通提供的100M宽带口独自接入Internet,但

18、学校应要求电信或网通承诺，将两个出口设在同一个子网内，以保证可以设置南院对北院服务器的访问。从而以最小的代价实现南、北两院的互联互通。六：通信协议的支持可以支持 TCP/IP、IPX、DECNET、APPLE-TALK等协议。以TCP/IP 为主要通信协议。支持RIP，OSPF，BGP4，IGMP，PIM-SM，PIM-DM等多种国际标准的路由协议。七：网络管理与安全体系1、支持整个网络系统各种网络设备的统一网络管理。2、支持故障管理、配置管理、性能管理和安全管理四大功能。3、支持系统级的管理，包括系统分析、系统规划等；4、支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。5、网络

19、设备支持多级管理权限，支持RADIUS等认证机制。6、支持安全监控和控制机制，当发现存在安全漏洞和遭到攻击时，应及时通知网络管理人员，并应自动采取适当的措施予以保护。第三章校园网设备选型本次校园网设备选型中，我们采用了1 台华为 S5328C-EI-24S 核心层交换机、6 台华为Quidway S3952P-SI 汇聚层交换机、以及若干个3COM(H3C)华为 S1526 接入层交换机，其各层设备具体性能参数如下：3.1 校园网核心层设备选择核心层采用华为S5328C-EI-24S 交换机，其具体参数如下：华为 S5328C-EI-24S 主要参数交换机类型运营级千兆以太网交换机应用层级三层

20、传输速率10Mbps/100Mbps/1000Mbps 网络标准IEEE802.3,IEEE802.3u,IEEE802.3d,IEEE802.3ab,IEEE802.3x 端口结构模块化端口数量28 接口介质24 个 100/1000Base-X SFP,4个 10/100/1000Base-T Combo,上行 2 个 10GE XFP插卡或者4 个 1000Base-X SFP 传输模式全双工交换方式存储-转发背板带宽256Gbps 包转发率66Mpps VLAN支持支持校园网网络系统集成方案8 QOS 支持支持网管支持支持网管功能支持 Telnet 远程配置、维护、支持SNMPv1/v

21、2/v3、RMON、iManager 网管系统、集群管理HGMP、支持系统日志、分级告警MAC 地址表32K 安全性用户分级管理和口令保护、支持防止DoS、ARP 攻击功能、支持IP、MAC、端口的组合绑定、支持端口隔离、支持MAC 地址黑洞、支持MAC 地址学习数目限制、支持 IEEE 802.1X 认证,支持单端口最大用户数限制、支持 AAA 认证,支持 Radius、TACACS+等多种方式、支持SSH V2.0、支持 CPU 保护功能尺寸(mm)44242043.6 mm重量(Kg)#启动路由器后进入用户模式router0en router0#configure terminal 校园

22、网网络系统集成方案12 router0(config)#router0(config)#router ospf 100#配置 OSPF路由协议router0(config)#network 10.1.1.0 0.0.0.3 area 0 router0(config)#redistribute rip subnets router0(config)#exit router0(config)#ip nat pool router 207.160.130.131 207.160.130.139 netmask 255.255.255.0#定义用于转换的外部全局地址池router0(config)#

23、access-list 1 permit any#定义需要转换的地址范围router0(config)#ip nat inside source list 1 pool router0 overload#配置端口地址转换router0(config)#interface fastEthernet 0/0#定义 f0/0为内部接口router0(config-if)#ip address 10.1.1.1 255.255.255.252 router0(config-if)#ip nat inside router0(config-if)#no shutdown router0(config-i

24、f)#interface fastEthernet 0/1#定义 F0/1 外部接口router0(config-if)#ip address 207.160.130.131 255.255.255.0 router0(config-if)#ip nat outside router0(config-if)#no shutdown router0(config-if)exit router0(config)#access-list deny 1 host 192.168.30.2#配置 ACL访问控制router0(config)#access-list 1 permit any router

25、0(config)#exit router0(config)#interface fastEthernet 0/1#将规则定义到指定的接口router0(config-if)#ip access-group 1 out router0(config-if)#exit router0(config)#返回特权模式router0#write#保存配置5.1.2 核心层交换机的配置表 5-1-2 为 OSPF 端口及区域的划分为了与计算机使用的IP 地址区分，因此必须划分相应的端口地址及网段，具体分配如表所示通过以上配置各汇聚层交换机与核心层交换机均采用OSPF路由协议，共划分了7 个区域，路由器与

26、中心机房配置成area0，其余为area1-area6（在模拟软件中都有标记），各汇聚层交换机与接入层交换机之间均采用RIP 路由协议，各服务器与中心机房采用静态路由，另外在每个汇聚层交换机上都配有远程登录。IP 地址端口对端设备对端 IP 地址对 端 端口OSPF区域10.1.1.1/30 F0/0 主教学楼10.1.1.2 F0/18 Area1 10.1.1.5/30 F0/19 学生宿舍10.1.1.6/30 F0/19 Area2 10.1.1.9/30 F0/20 教师宿舍10.1.1.10 F0/20 Area3 10.1.1.13/30 F0/21 办公楼10.1.1.14/3

27、0 F0/21 Area4 10.1.1.17/30 F0/22 图书馆10.1.1.18/30 F0/22 Area5 10.1.1.21/30 F0/23 实训楼10.1.1.22/30 F0/23 Area6 192.168.150.2/24 F0/3 Web server 192.168.150.3/24 F0/2 E-mailserver 192.168.150.4/24 F0/1 FTPserver 校园网网络系统集成方案13 5.1.3 汇聚层交换机的配置汇聚层交换机以实训楼所在的汇聚交换机华为S5328C-EI-24S配置为详细说明，其它汇聚层交换华为S5328C-EI-24S

28、 交换机可参考本节的配置。下面是实验楼汇聚交换机的详细配置。Switch Switchenable#进入特权模式Switch#configure terminal#进入全局模式Switch(config)#hostname converge#为 交 换 机 配 置 名 称converge(config)#enable password 123456#配置进入特权模式口令converge(config)#enable secret test converge(config)#vtp domain perry#配置 VTP，设 VTP域名为 perry，并设为客户端模式。converge(conf

29、ig)#vtp mode client converge(config)#converge#返回到特权模式Converge#show vlan#查看 VLAN converge#configure terminal#进入全局模式converge(config)#interface fastEthernet 0/19#进入接口模式converge(config)#no switchport converge(config-if)#ip address 10.1.1.5 255.255.255.252 converge(config-if)no shutdown converge(config-i

30、f)interface fastEthernet 0/24#进入 24 号端口，设置为trunk口converge(config-if)switchport mode trunk converge(config-if)no shutdown converge(config)exit#返回到全局模式converge(config)interface Vlan 2#进入 VLAN虚拟端口，并设其IP converge(config-if)ip address 192.168.10.254 255.255.255.0 converge(config-if)interface Vlan 3 conve

31、rge(config-if)ip address 192.168.20.254 255.255.255.0 converge(config-if)#exit#返回到全局模式converge(config)#router opsf 100#配置 OSPF及 RIP 路由converge(config-router)#network 10.1.1.0 0.0.0.3 area 1 converge(config-router)#redistribute rip subnets converge(config-router)#exit converge(config)#router rip conv

32、erge(config-router)#version 2 converge(config-router)#network 192.168.10.0 converge(config-router)#network 192.168.20.0 converge(config-router)#network 10.1.1.0 converge(config-router)#redistribute ospf 100 converge(config-router)#exit#返回全局模式converge(config)#line vty 0 1#配置远程登录converge(config-line)#

33、login converge(config-line)#password 123456 converge(config-line)#exit converge#write#返回到特权模式保存配置5.1.3 办公室接入层交换机配置校园网网络系统集成方案14 通过以下对办公楼所在的交换机配置命令，完成了对办公楼不同办公室区域网段的划分，同时开启了此台交换机的远程登录功能。办公楼接入交换机3COM(H3C)华为 S1526 的 24 号端口与汇聚层交换机华为Quidway S3952P-SI的 24 号端口相连，与其它设备端口连接如下表：端口对端设备端口所属VLAN fastEthernet 0/1

34、 后勤处7 fastEthernet 0/2 教务处8 fastEthernet 0/3 学工处9 表 5-1-4 为各办公室VLAN的端口划分5.1.4 学生宿舍接入层交换机配置把不同楼的宿舍学生用户划分为不同的网段，并实现了交换机端口与学生宿舍电脑的MAC地址的绑定，同时开启了此交换机远程登录功能。对于学生宿舍的接入层交换机3COM(H3C)华为 S1526，学生宿舍的这台交换机与其它设备相连情况如下表：端口对端设备所属 vlan fastEthernet 0/1 学生宿舍1 4 fastEthernet 0/2 学生宿舍2 15 fastEthernet 0/24 学生宿舍汇聚端口tru

35、nk 表 5-1-5 为学生宿舍VLAN端口的划分第六章网络安全性6.1 系统安全l 应用系统的安全技术由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。1、Web Server应用安全Web Server是校园对外宣传、开展业务的重要基地。由于其重要性，成为Hacker攻击的首选目标之一。2、电子邮件系统安全电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。3、操作系统安全市场上几乎所有的操作系统均已发现有安全

36、漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：(1)检查系统设置(敏感数据的存放方式，访问控制，口令选择/更新)。(2)基于系统的安全监控系统。6.2 防毒技术l 病毒防护技术校园网网络系统集成方案15 病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。病毒防护的主要技术如下：(1)阻止病毒的传播。在防火墙、代理服务器、SMTP 服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面 PC 安装病毒监控软件。(2)检查和清除病毒。使用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新，并

37、下发到桌面系统。(4)在防火墙、代理服务器及PC 上安装 Java 及 ActiveX控制扫描软件，禁止未经许可的控件下载和安装。第七章、结论一个校园网络系统的组建需要从多方面进行考虑，不但涉及许多技术问题，而且包括网络设施、信息资源、专业应用、等众多成份的综合化以及信息化教学环境系统的建设。本文用言简意赅的语言描述了如何组建一个性能可靠技术先进、功能丰富的校园网系统。参考文献1 刘哓辉.网络硬件搭建与配置实践（第二版）M.电子工业出版社.2009.12 陈良宽，计算机网络与建筑智能化系统集成，中国建筑工业出版社，2003年 3 月3 胡道元，智能建筑计算机网络工程，清华大学出版社，2004年 7 月4 蒋先华、许以臣，校园网络组建与应用，科学出版社，2003年 6 月5 美Matthew H.Birkner（潇湘工作室译），Cisco 互联网络设计，人民邮电出版社6 2002 年第一版7 李建民，网络设计基础，北京希望电子出版社，2000年第一版8 胡远萍、张治元，计算机组网技术，高等教育出版社，2003年 6 月9 http:/