大学毕业设计---福建师大网络改造.doc

《大学毕业设计---福建师大网络改造.doc》由会员分享，可在线阅读，更多相关《大学毕业设计---福建师大网络改造.doc（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、重庆信息技术职业学院毕业设计 题目 福建师大网络改造 选题性质：设计报告其他 院 系 电子工程学院 专 业 计算机网络技术 班 级 2011 级（2）班 学 号 1125030233 学生姓名 刘 涛 指导教师 王 茜 教务处制2013年9月1日 2014 届 电子工程 学院毕业设计选题审批单 年级 2011 专业 计算机网络技术 班级 2 学生姓名 刘 涛学 号 1125030233选题福建师大网络改造选题性质设计报告其他选题论证： 伴随着学校的日新月异，校园网络在学校的日常生活和工作中发挥了越来越大的作用。经过几期的建设，校园网已经发展到了一定的规模。本文主要针对当前校园网的现状进行分析，

2、分析中主要阐述了当前校园网的现状、不足及升级目标。同时本人也参与一些网络的升级设计，如网络设备选型、设备配置等。在设计中主要应用了核心冗余技术、以太网技术、生成树协议、VLAN划分及IP管理。指导教师初审意见：签 名：年 月 日毕业设计工作领导小组审批意见：签 名：年 月 日 2014 届 电子工程 学院毕业设计开题报告及进度要求 年级 2011级 班级 2班 学生姓名 刘 涛学 号1125030233指导教师 王 茜选题性质设计报告其他选题福建师大网络改造选题的目的和意义：本方案通过对我国目前校园园网建设情况的分析,并在综合考察校园网络技术的应用状况后,简要的介绍了学校网络规划与设计。在论文

3、中涉及到学校对网络建设要求、目标以及拓扑结构选择还有在学校方案的实施。提出了组建校园网的必要性、可行性以及其具体的组建方案。选题研究的主要内容和技术方案：此次毕业设计只要针对当前主流的无线校园网接入方式针对性研究并结合无线设备厂家锐捷的无线技术制定网络方案，分为分析，设计，网络规划，功能实现四大阶段，对整个方案的设计进行了可行性分析，做出工程预算及网络拓展性调研。毕业设计工作时间2013年 7月 8日 至 2013年 9月 15 日毕业设计工作日程安排时间段工作内容2013年7月1日指导教师初审意见2013年7月4日毕业设计工作组领导小组审批意见2013年7月8日开题报告时间2013年7月9日

4、-2013年9月15日毕业设计2013年9月17日指导教师评阅2013年9月19日交叉评阅时间2013年9月20日-2013年9月24日答辩时间指导教师意见： 成果要求： 签字： 年 月 日重庆信息技术职业学院摘 要伴随着学校的日新月异，校园网络在学校的日常生活和工作中发挥了越来越大的作用。经过几期的建设，校园网已经发展到了一定的规模。本文主要针对当前校园网的现状进行分析，分析中主要阐述了当前校园网的现状、不足及升级目标。同时本人也参与一些网络的升级设计，如网络设备选型、设备配置等。在设计中主要应用了核心冗余技术、以太网技术、生成树协议、VLAN划分及IP管理。本文通过对我国目前校园园网建设情

5、况的分析，并在综合考察校园网络技术的应用状况后，简要的介绍了学校网络规划与设计。在论文中涉及到学校对网络建设要求、目标以及拓扑结构选择还有在学校方案的实施。提出了组建校园网的必要性、可行性以及其具体的组建方案。关键字：网络技术、设备配置、设备冗余II目 录摘 要I目 录II绪 论1第1章 网络需求分析21.1 高校网络应用概况21.2 学校的自然情况21.3 校园网现有网络分析31.3.1 当前校园网的状况31.3.2 现有校园网的不足41.3.3 建设目标5第2章 网络升级方案设计62.1 网络设计62.2 设计分析62.3 技术介绍62.4 千兆以太网技术72.5 升级设计的依据72.6

6、HSRP技术分析92.6.1 HSRP协议92.6.2 校园网系统设计102.6.3 校园网应用系统设计102.6.4 校园网物理结构设计112.6.5 校园网逻辑结构设计12第3章 硬件设计143.1 交换机选型143.1.1 核心层交换机选型143.1.2 汇聚层交换机选型153.1.3 路由器选型153.2 服务器选型17第4章 软件配置184.1 路由器配置184.2 IP管理18第5章 网络维护215.1 网络管理215.1.1 基础设施的管理215.1.2 操作系统的管理215.1.3 应用服务器的管理215.2 网络的维护21总 结22参考文献23绪 论中国教育事业随着社会发展将

7、会越来越开放，对学校的经营管理也逐步形成完善的现代化管理模式。本方案是针对福建师范大学福清分校的现有应用结构而设计的，在现有的基础上，主要使用思科的网络产品，提高网络的整体性能；规划采用防火墙技术、VPN网关、杀毒软件和漏洞扫描技术及结合操作系统的安全性来提高整个网络的安全和重要主机的安全使用磁带备份保护系统数据的安全，防止数据的意外损失；并实现网络的冗余及可升级性，实现主干设备的冗余、数据存储的冗余等，所选用的网络设备有充足的带宽以满足网络扩容的需求，主干交换机还可通过升级模块的方式实现轻松的升级和容量的扩充，千兆的网络带宽为用户的业务提供了充足的带宽，并为今后的网络的扩展做了足够的准备，保

8、护了用户的投资，提高了整体的性能和安全性。通过本次升级可进一步提高管理效率，增强技术服务水平，提高企业综合竞争力。随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。第 1 页第1章 网络需求分析1.1 高校网络应用概况计算机管理信息系统包括校本部的计算机通信局域网和计算机应用系统，大部分采用100M/1000M以太网来组网。主要的应用系统有（或将来）：OA办公、生产管理、学生管理、保安图像监控管理、图书馆管理等，全校将实现完全电子化管理。基于各类数据库平台的上述管理信息系统，绝大部分都是基于TCP/IP的计算

9、机应用系统，随着Internet的飞速发展，TCP/IP毫无疑问地成为主流，基于IP的计算机通信网络成为管理信息系统的最为重要的部分，计算机通信网络的好坏直接影响管理信息系统，从而影响日常教学活动的正常运作。Internet正在向我们生活的各个领域渗透，与此同时企业、政府、消费者和教育机构都在快速向基于IP分组的网络操作转移。无论对于IP话音（VoIP）、基于IP的视频流、基于IP的通信工具，还是对于PC、膝上电脑、蜂窝电话等IP平台、IP分组都已成为主流。换句话说，Internet的快速发展与普及正改变着公共通信网上和企业内部网的流量结构，语音信息在过去曾经占据主导地位，但在21世纪，数据(

10、IP)将占据通信流量的主要部分。 随着千兆网的逐步实施，如何有效、灵活建立高速数据网络是一个具有战略意义的课题，高校的业务单位通常拥有3类应用：数据、话音和图象（工业电视）。未来的技术发展，使采用IP技术可以同时承载3类不同应用成为可能，并且具有以下优点：采用Internet广泛应用IP标准，开放性好利用防火墙、IP地址过滤和路由器热备份等网络安全技术，确保调度安全IP QoS及优先是分技术确保调度和远动等关键任务优先实现数据、话音和图象全网自动交换，信息共享，构成学校高效率运作的基础设施采用IP这一面向未来技术，可以兼容现有设备，保护现有投资，又可以保证网络在当前及将来的技术先进性。校园网是

11、现代社会高校基础设施的重要组成部分,是提高高校教学科研水平和管理水平的不可缺少的现代化手段和支撑环境.如何进一步搞好校园网的建设,充分发挥校园网的作用,是各个高等学校和教育主管部门正在探索和思考的问题。1.2 学校的自然情况福清学院为福建师范大学的一个分校，全校计算机数量逾1000台（不包括学生群体），信息点近900个，目前主要楼宇有教学楼、图书馆、科学楼、昌檀楼等，规划区内部局域网都是一个独立的网络，相互之间并不联通，其它还有11幢学生宿舍楼，8幢教师宿舍。表：1.1信息点分布表大楼信息点到网络中心的距离/m教学楼40150图书馆200100科学楼250150外语楼20100昌檀楼300在同

12、一楼内实验楼40100教师宿舍A84350教师宿舍B167300注：以上除教师宿舍信息点为确切的数据外,其它均为本人对学校的了解进行的估计。目前，以上各楼群内部综合布线采用的是5类双绞线，学院内的室外布线都是通过光纤连接到网络中心。1.3 校园网现有网络分析1.3.1 当前校园网的状况校园网是福建师范大学福清分校的信息基础设施，是实现学校现代化管理的强有力保证。其网络拓扑图如下图1.2。图1.2现有校园网拓扑图由于学校数据吞吐量大，又离本部较远，所以学校采用一般的校园双端口接入方式,用一条2M光纤连接到师大本部，另一条用百兆光纤作为福清电信的局域网方式接入internet，实现网络高速运行。中

13、心结构主要以华为ls-3026交换机为中心，单点以星形方式连接校园各个功能单位。各楼房交换机用100M光纤连接到中心机房的三台普通企业级路由上，可以实现子网内高速互联。楼房内部均用5类双绞线连接楼房交换机与用户计算机，带宽均可达百兆。1.3.2 现有校园网的不足目前，福清分校的网络由低端的锐捷交换机构成一个平面型的网络结构，没有层次化设计的网络结构其存在许多缺陷。从网络拓扑结构看，网络管理员很难对网络进行整体管理，一旦出现故障，将很难做出快速排查。其中最至命的是网络存在单点故障，一旦中心的交换机出现故障，整个网络立刻瘫痪如图1.3。在平面型的网络结构下，网络中心交换机负载所有的数据处理任务，不

14、能够实现对数据的高速转发传输。图1.3中心结构图从网络设备方面看：大部分的设备已经不能满足现在学校对网络传输的需求，如中心换机只是一台普通华为交换机，转发率不高，最大只为100M，实际上不可能达到,所以即使拓扑结构是树形结构，网络数据的交换也不会多快。而且连接这些交换机和路由器的通迅线路都是百兆双绞线。在这样的设备下，中心的网络中心通迅带宽仅为百兆。这将是实现网络高速吞吐的瓶颈。还有租用网络的带宽太低，如学校与师大本部的通迅带宽才2M，而学校师生有5000多人，平时至少也有一百多人同时会使用，这也极大限制了我们学生与师大本部信息资源的共享。从网络设置管理方面看：学生可随意修改IP地址，容易造成

15、IP地址冲突现象；广播风暴比较严重，造成带宽的浪费，一旦某台学生电脑中毒将影响整个网络；而且没有统一的网络管理软件，网管也很难统一对网络的整体管理。从网络应用方面看：学校提供的校园网络服务内容太少，如缺少校园邮件服务，文件服务等，而且还没提供学生宿舍宽带接入，学生只能用电信的电话拨号上网。（1）不方便学生上网，也不能规范和监督学生上网；（2）不能实现以网养网的目标，节约学校对网络的投资成本。从网络安全方面看：没有防火墙，网络安全性非常脆弱，服务器防病毒能力差，非常容易遭受到攻击，包括外网和内网对服务器的攻击。没有网络服务质量（QoS）的管理。1.3.3 建设目标基于当前学校的发展，对校园网络需

16、求起来趍，且当前存在的诸多不足，学校网络升级改造显行非常必要。这可以从前一阶段校园网络的通信状况就可知道。在新的网络下必须能够满足教学、管理和通信三大基本功能。 教师可以在学校的任意的一台计算机上方便地浏览和查询网上资源，因为进行教学和科研工作必须可以调用网上资源，还可以通过网络对学生的学习进行指导。学生可以在计算机实验室、图书馆、教室、电子阅览室等地方方便地浏览和查询网上资源，但不能在教师办公室上网，学生通过网络可以进行网上学习并能和教师进行网上讨论。第 24 页第2章 网络升级方案设计2.1 网络设计校园网的建设可以分为两部分。第一部分为硬件建设，如各种网络设备、服务器的选购及连接以及综合

17、布线等；第二部分为软件建设，如各种应用软件、网络操作系统、教务管理系统等的选择；软件应用需求是选择硬件设备的基础和依据，只有将硬件系统和软件系统有机地结合在一起，才能充分发挥校园网的最佳性能。从某种程度而言，软件建设的好坏决定了校园网建设的成败。2.2 设计分析（1）实现高速的Internet和CERNET出入（2）实现内部千兆校园网主干，百兆交换到桌面（3）提供校园WWW、FTP、DNS、E-Mail等服务（4）提供校园BBS等教师和学生交流学习的平台（5）增加学生宿舍的接入（6）增加校园无线局域网（7）校园网设计依据及相关标准2.3 技术介绍（1）网络设备中常用的网络技术（以思科设备来说明

18、,这些技术会在网络设备配置中用到）（2）三层交换机的VLAN间路由和VLAN间访问控制（3）访问列表有三种类型的划分，包括RACL(路由器的访问列表），QoS的访问列 表，和VLAN的访问列表。路由器的访问列表可以被用于子网之间的数据包过滤，但是不能在一个子网内作过滤VLAN的访问列表，用于在一个VLAN的子网内实现过（4）利用HSRP为主机实现冗余网关和负载均衡服务HSRP热备路由协议，是思科公司的私有技术，用于出口点互切。 主要的应用场景是公司有两个路由出口，正常应用的时候企业内的用户走其中的一个主连接，当主连接出问题的时候，自动切换到另一个路由出口.利用交换机的PRIVATE VLAN功

19、能实现同一物理网段的主机之间的隔离和到公共端口的访问。（5）在很多企业网络的应用中，出于安全和简化IP地址规划的考虑，会有这样的需求：希望同一物理网段上的主机之间的通信能够互相隔离，但是又希望这些主机都能够访问一个公共端口（网关或服务器端口），所有这些主机和服务器端口都位于同一个IP子网内，这样即实现了第二层的通信隔离，增加了安全保护，又不需要规划多个IP子网用于主机隔离。利用思科交换机的Private Vlan功能，可以轻松实现以上需求。2.4 千兆以太网技术千兆位以太网应用于大中型网络，能把现有的10Mbps以太网和100Mbps快速以太网连接起来。千兆位以太网采用同样的CSMA/CD协议

20、、同样的帧格式，是现有以太网最自然的升级途径，使用户对以太网原有设备管理工具的投资得到保护。千兆位以太网是超高速主干网的一种选择方案。在数据、话音、视频等实时业务方面，它虽然不能提供真正意义上的服务质量保证（QoS），但千兆位以太网频宽较高，能克服原以太网的一些弱点，提供服务保证等特性。（1）IEEE802。3Z工作组已确定了以下一组规范，统称为1000Base-X。（2）1000Base-LX:多模光纤传输距离为550米，单模光纤传输距离为3000米。（3）1000Base-SX：62.5微米多模光纤传输距离为300米，50微米多模光纤传输距离为550米。（4）1000Base-CX:用于短

21、距离设备的连接，使用高速率双绞线铜缆，最大传输距离为25米。（5）1000Base-T：5类铜缆传输最大距离为100米。千兆位以太网支持交换机之间、交换机与终端之间的全双工连接，支持共享网络的半双工连接方式，使用中继器和CSMA/CD冲突检测机制。对于大多数用户而言，花费很少的投资就可将现有的网络升级至千兆以太网，并且不需在通信协议上进行额外的投资。（6）千兆位以太网联盟为千兆位以太网的应用提出以下几种方案：更新快速以太网主干网：更换核心交换机，全面提高原有网络性能。用于交换机到服务器链路：服务器使用千兆位以太网卡，直接与千兆位以太网交换机相接，提供每秒百万个包的处理能力。2.5 升级设计的依

22、据（1）根据学校现有的业务量与业务类型，估算出网络大约需要的交换能力和功能。（2）学校的业务主要有：校园网的Internet接入包括使用ChinaNet和CERNET,从学校现有计算机数量看，最大并行访问Internet的计算机数量大概在500台，以百兆光纤出入Chinanet是有些拥挤，不过大多数时间内不会有那么多台同时访问，而且还可以通过交换机带宽配置，来分配各个单位的上网需求，因此目前的带宽还是可以满足用户的上网需求。不过接入CERNET的带宽就显得过小了，虽然访问的人没有访问Chianet的多。将学生宿舍的宽带接入也是校园网重要的功能模块，它所需要的带宽也是很庞大的。随着社会发展，移动

23、办公也越来越普遍，增设校园无线局域网也是势在必行的。而且校园局域网1也可以方便那些早期没有安装网络通迅线路的建筑接入校园网。经过以上分析，将校园内部主干网升级为千兆是十分必要的。（3）根据业务量与业务类型的发展，估算出五年内网络大约需要的交换能力和功能在此次升级中，我们都将使用一些能够充分满足当前网络通迅及应用服务的网络设备，又能够在相当长一段时间内保持技术的先进性，能够满足今后学校对网络的扩展需要。（4）依据网络分级原则，确定核心、会聚、接入各层设备所在位置与策略。该次升级方案中，彻底改变了校园网络的主干拓扑结构，摒弃了以前那平面型的拓扑结构，采用当今主流的三层网络结构，即核心层、汇聚层、接

24、入层结构。网络中心还是设在昌檀楼，所以核心层设备也自然设在该楼内.汇聚层接入层设备根据新的网络拓扑及子网划分，具体安放在后面的章节中说明。（5）根据以上三点，以及充分利用现有的网络设备的前提下，确定对所需网络设备的要求和投资估算，以此来确定设备的供应商，并在满足现有业务的同时，确保网络可以以较少投资平滑升级。（6）根据前面的对网络现状的分析，需要对不足的地方加以改进。这里主要对核心冗余、无线接入、网络安全加以说明。（7）核心冗余，从图1.3可以清楚的知道，学校所有出入Chinanet 和CERNET的数据都必须通过ls-3026交换机，一旦该设备出现故障，整个网络将瘫痪。为应对该问题，我们采用

25、核心冗余技术（如图2.1），通过设置HSRP协议，即使核心交换机有一台出现故障，网络会自动切换到另一台核心交换机上，保证网络通畅。我们使用的冗余交换机都可以工作在三层，支持该协议。图2.1核心冗余图2.6 HSRP技术分析2.6.1 HSRP协议热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路

26、由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。HSRP 运行在 UDP 上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别。（1）无线局域网2，校园内加入无线网络，一方面可以方便师生在校园内的移动入网，也可以使那早期没安装网络接口的建筑，如外语楼，13、14号楼。从学校的自然布局和办公情况看，将无线接入点分别设在学生公寓楼和外语楼。外语楼主要面向本楼接入和科学楼外来领导的移动接入。公寓楼可供13、14及主席台的接入。（2）网络安全，在没有防火墙的网络下，网络安全性非常

27、脆弱，服务器防病毒能力差，非常容易遭受到攻击。加入硬件防火墙可以对出入校园网数据包进行监控、过滤， 最大程度的屏蔽内部网络的信息、结构及运行情况，以此来保护网络安全；它具有控制对系统的访问，集中安全管理，增强的保密性等功能。2.6.2 校园网系统设计网络系统设计方案主要包括校园网内部网络和Internet接入两部分的设计。（1）校园网内部网络设计校园网内部网络是组建在学院校园内的计算机应用网络，可以采用Intranet方式建设校园网内部网络。对本分校而言，几乎包括所有的建筑楼群：如教学楼、图书馆、科学楼、外语楼、昌檀楼、实验楼、教师及学生宿舍楼等。根据福清学院对网络应用的需求，主干可以采用千兆

28、以太网结构，每栋楼与网络中心用多模光纤连接，百兆交换到桌面。在升级设计中，针对现有的不足，我们采用分层次的网络结构和冗余设计技术，如采用核心、汇聚冗余。（2）校园网接入Internet设计学校校园网采用双端口方式，一个接入师大本部教育网，一个作为福清电信的局域网方式接入福清电信，校园网3核心交换机及路由器都存放在网络中心，所有楼的光纤均连接到网络中心。并申请相应的域名和IP地址。内部网络的IP地址由保留地址和真实地址混合使用，保证内部网络的安全。2.6.3 校园网应用系统设计（1）Internet应用学校向域名注册代理商申请Internet域名后，通过配置相应设备便可以向校内外提供DNS、WW

29、W、FTP和E-Mail等服务。网络操作系统可以选择Microsoft的Windows系列或Linux。在服务器上，每一个服务可以由一台服务器来完成；也可以由一服务器来同时完成几项服务。这些是对校内外开放的。另外一些主要面向教学或学生工作的服务，可以另外设一些专门的服务器，如：学生学籍管理系统、教务管理系统等，这些可以视需要决定是否向外开放。（2）视频点播、教学讨论BBS及其它校园网视频点播系统，可以使学生通过电脑在校园内任何地方进行教学课件的视频点播，进一步提高学生的学习积极性。校园BBS服务，可以使每位学生教师都可以在BBS上书写信息、提出看法、讨论教学问题，增强师生间的教学交流。校园网还

30、以提供许多其他服务(可选)，如网络课件库、网络试题库、精品课程点播以及远程教学等，进一步推动教学手段的改革。2.6.4 校园网物理结构设计根据前面对校园网络现状4的分析，可以知道校园网内有多少建筑，各建筑内包含多少信息点以及它们的分布情况，可以知道校园网的功能及其应用。对些我们就可以做出相应的升级拓扑设计。此次升级物理上主要是对网络设备及通信带宽的升级（对于设备选择在第三章中介绍）：（1）升级核心路由器，采用思科优质的产品C3600系列.（2）采用思科双C3750核心交换机做冗余技术;汇聚层也采用思科C3550原有的可当备份用;接入层采用C2950系列。各层设备都具有千兆以太网端口。（3）增加

31、3A身份认证服务器，增加校内外学生宿舍的校园网接入和校园无线局域网接入。（4）引入防火墙机制，提高校园网的安全性。（5）在通信线路上，此次将校园主干网5都升级为1000M以满足学校对网络的需求。接入福清电信仍为原有的百兆光纤，不过只要更改光缆的带宽就可以使网络升级到更高的带宽；路由器与核心交换机间采用1000Base-T铜缆连接； 核心交换机与汇聚层交换机间采用1000Base-LX光纤连接（在同一室内可用优质双绞线）。校内各网络服务采用100M双绞线连到核心交换机。汇聚层交换机所在的楼房内直接采用100双绞线连接到接入层交换机，其它楼房的接入层交换机则用100M光纤连接到该汇聚交换机上。升级

32、物理拓扑图如图2.3。图2.3升级后网络拓扑图2.6.5 校园网逻辑结构设计校园网逻辑结构设计主要是IP子网网段的划分，根据校园网实际应用需求实现VLAN的设置。从校园网的安全性、IP地址的可管理性和IP地址资源的有限性出发，将整个校园网络划分成若干个子网网段并对IP地址进行有效的管理是十分必要的。子网网段划分一般应遵循以下原则：（1）需要对外开放的服务器划分在同一网段，并分配真实的IP地址；（2）除接入Internet的路由器外，将其它所有网络设备划分到私有的网段；（3）将不对外开放的服务器划分到专有网段中，其地址对外是隐蔽的；（4）最好将不同部门的机器划分到不同网段中；（5）划分的子网应使

33、IP管理简单，同时也要避免IP地址的大量浪费；（6）可使用子网掩码将几个C类地址分给同一个大的子网，或将一个C类地址分给几个小的子网；表2.1 VLAN划分表序号VLAN号子网名称包含的信息点1DMZ区服务器子群连接Internet的所有对外开放服务器，为真实IP211服务器子网所有只对校内开放的服务器，为保留IP地址312网络设备子网除路由器外所有网络设备413办公室子网图书馆、昌檀楼、科学楼的办公室计算机514无线接入子网所有无线接入的计算机615学生宿舍子网1校内学生宿舍接入的计算机716学生宿舍子网2校外学生宿舍接入的计算机817教师宿舍子网1校内教师宿舍接入的计算机918教师宿舍子网

34、2校外教师宿舍接入的计算机1019教室子网教学楼、科学楼、外语楼、实验楼的教学用计算机1120电子阅览室子网图书馆除办公室计算机外的所有计算机1221计算机实验室子网1昌檀楼的计算机实验室11322计算机实验室子网2昌檀楼的计算机实验室21423计算机实验室子网3昌檀楼的计算机实验室31524计算机实验室子网4科学楼经法系计算机实验室1625计算机实验室子网5科学楼人文系计算机实验室1726计算机实验室子网6科学楼人外语系计算机实验室子网划分示意图如图2.4：图2.4 VLAN划分示意图第3章 硬件设计根据前面对校园网络升级的分析，就可以确定所有网络设备的型号，从安全可靠和高性能角度考虑，我们

35、都使用世界著名公司思科的网络产品。以下分别对各种网络设备进行分析介绍。3.1 交换机选型3.1.1 核心层交换机选型根据学校的规模和应用需求，为将校园主干升级为千兆网络，我们核心交换机选用两台CISCO WS-C3750G-24TS-S作核心冗余。Cisco Catalyst 3750系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。该交换机采用了Cisco StackWise技术，通过结合易用性和可堆叠交换机的最高永续性，提高了局域网运行效率。关键特性：（1）可用性802.1S/W支持基于标准的容错性、负载均衡6和迅速恢复；Flexlink特性提供了不到100ms的快速收敛；PVS

36、T+则通过允许流量在冗余链路上传输，增加了可用带宽（2）Cisco StackWise技术单一IP地址和单一命令行界面（CLI）简化了管理；32-Gbps永续架构加速了收敛；1N堆叠采用了冗余和第三层上行链路永续性、跨堆叠Cisco EtherChannel技术及QoS，提高了可用性；自动配置和Cisco IOS软件版本检查和升级加速了部署过程；交换机的热添加和删除能保持堆叠持续运行（3）370W PoE简化了IP电话、无线和视频监视部署；智能电源管理特性增强了控制能力，有助于更好地利用功率预算，PoE与快速以太网或千兆以太网型号相结合，能最大限度地利用现有基础设施投资（4）第三层特性 OPS

37、F、EIGRP、BGP 、静态 PBR等高级路由协议扩大了网络规模；等成本路由以及PIM等组播路由能够最大限度地利用网络资源；VRFLite可保护流量；IPv6在简化网络寻址和移动IP的同时提高了安全性（5）QoS 流量整形能在不丢弃数据包的情况下平稳处理突发流量；整形循环保证了关键任务应用的带宽；而Scavenger队列则能防止蠕虫过度使用资源（6）管理 Cisco Smartports能快速、简单地配置高级 Web界面完成设置； 资源模板则可用于为应用定制交换机资源。（7）安全DHCP监听能够只允许可信端口访问DHCP信息，消除了恶意DHCP服务器；NAC则能防止代价昂贵的蠕虫和病毒的传播

38、；动态ARP检测和IP源防护能够防御7中间人攻击；802.1x和基于身份的网络服务仅允许授权人员接入网络；端口安全能防止MAC地址泛洪攻击。各关键交换机的主要性能参数如下表3.1。参数类型WS-C3750G-24TS-S主要参数WS-C3550-24-SMI主要参数WS-C2950T-24主要参数交换机类型网管交换机网管交换机快速以太网交换机内存128MB32MB DRAM和8MB闪存16MB DRAM和8MB闪存传输速率10Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps端口数量2424 个10/100端口

39、+2 个1000BaseX 端口26背板带宽32Gbps8.8Gbps8.8Gbps表3.1设备性能参数表3.1.2 汇聚层交换机选型汇聚层交换机需要支持第三层交换，对应核心冗余，在这里我们也选用两台CISCO WS-C3550-24-SMI作汇聚冗余. 主要参数列表请参看表3-1.产品特点：3550系列是一款功能强大的交换机，可在中型网络中作接入设备，也可作汇聚设备。用户可以在整个网络中部署智能化的服务，例如先进的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。Catalyst 3550系列中内嵌了Cisco集群管理套件（

40、CMS）软件，该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障8。Cisco CMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。含有标准多层软件镜像（SMI）或者增强型多层软件镜像（EMI）。EMI提供了一组更加丰富的企业级功能，包括基于硬件的IP单播和多播路由，虚拟LAN（VLAN）间的路由，路由访问控制列表（RACL）和热备用路由器协议（HSRP）。在刚开始部署时，增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。3.1.3 路由器选型接入Internet的路由器完全可以选用Cisco 3620，因为

41、Cisco 3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco 3600系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/传真网络模块，Cisco 3600系列允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。关键特性：（1）在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接以及语音、视频和数据的多服务集成。（2）模块化、可伸缩的设计提供性能、可伸缩性、灵

42、活性和投资保护。（3）高密度ISDN PRI功能。 （4）预配置的BRI和PRI调制解调器捆绑。（5）支持Modem-over-BRI功能性。 （6）集成了Cisco IOS软件（产品定价中包括IP IOS软件）。 （7）完全支持VPN。路由器的主要性能参数如表3.2：表3.2 CISCO 3620参数表参数类型CISCO 3620主要参数网络标准WAN，Ethernet，Fast Ethernet，ATM，ISDN，T1/E1，Frame Relay，X.25，IP/IPX 网络协议IP/IPX/AT/DEC/FW/IDS Plus 是否内置防火墙是 内存32MB(缺省)；128MB(最大)

43、 重量13.6kg PIX-525 的相关参数如表3.3：表3.3 PIX-525参数表参数类型PIX-525参数处理器600 MHzRAM128或256 MB闪存16 MBPCI插槽3固定接口2个10/100快速以太网端口最大接口数量8个10/100FE 或GE最大虚拟接口100支持的安全环境有， 2/50 VPN加速器卡（VAC）选项有， 集成在部分型号中高可用性支持A/S， A/A设备更新处理仅使用小型文件传输协议（TFTP）故障切换端口DB-15（RS 232）大小2 RU3.2 服务器选型现在著名的服务器9品牌非常多，有IBM、HP、DELL、LENOVO、曙光、浪潮等。这里选的服务

44、器主要是验证服务器的选择，其它的看学校目前的网络应用可以随时增设,如前面分析的FTP服务器、E-Mail服务等。根据我们前面的分析与设计，我们选择华为MA5200F-2000 来作为校园的宽带接入验证服务器，主要验证学生接入与无线接入这两方便。第4章 软件配置在本章里论述的主要是在升级好的网络设备上，根据学校的实际应用需求进行相应配置。配置中需要涉及的内容有：路由器的配置；冗余的核心与汇聚交换机配置；认证服务器配置；设置安全机制和防范策略10、ACL控制策略、带宽限制、QoS等，这里我只提一些组网中主要的配置。4.1 路由器配置就学校目前的应用来说，只需要配置OSPF协议即可。不过该模块已由做安全的人员完成。4.2 IP管理根据学校的网络拓扑说明可知学校的公网IP分配情况，如福清电信的IP为：218.5.6.7218.5.6.95218.5.6.98218.5.6.152218.5.6.210218.5.6.239可接入师大校园网的网段有210.34.32.0210.34.36.0210