校园网网络拓扑设计方案Word格式.docx

校园网网络拓扑设计方案Word格式.docx

《校园网网络拓扑设计方案Word格式.docx》由会员分享，可在线阅读，更多相关《校园网网络拓扑设计方案Word格式.docx（15页珍藏版）》请在冰豆网上搜索。

综合考虑校园各项工作需求，估计给出了下（表1-2）的流量分析表。

单位

类型

流量

节点数

利用率（%）

总流量

教务处

（艺术楼）

办公自动化

5Mbit/s

30

60

90Mbit/s

财务处

财务管理

20

60

60Mbit/s

微机室

实验、科研

6Mbit/s

50

180Mbit/s

图书馆

电子图书馆

6

100

30Mbit/s

东教学楼

多媒体、办公自动化

45

90

202.5Mbit/s

西教学楼

45

学生宿舍

Internet

2Mbit/s

40

50

40Mbit/s

饭堂

监控系统

56Kbit/s

2

100

1.68Mbit/s

表1-2

（1）为了考虑以后学校不断发展壮大，采用Trunking技术，既提供了一定的冗余性，又将带宽提高，硬件开销比较划算。

艺术楼和教学楼汇聚层分别提供1Gbit/s带宽，预留足够的冗余进行以后的拓展。

学生宿舍和饭堂提供100Mbit/S的带宽就够用而且还有冗余。

（2）校园网有2台内网服务器和一个网络控制中心，访问Web服务器和财务数据库服务时网络的主要流量。

网络流量符合80/20规律，绝大部分流量需求在核心层交换，因此将服务器直接接入核心交换机。

（3）为了方便集中管理，网络控制中心也放置在核心层，直接连入核心层交换机，直接连入核心层交换机的端口。

5、广域网需求：

校园网使用带宽接入Inernet,带宽约为100Mbit/s。

6、安全性需求：

（1）内网使用VLAN分段，隔离广播域，防止网络窃听和非授权的跨网段访问。

（2）使用防火墙分割校园内部网和外部网，不允许外部用户访问内部Web服务器、财务数据库和办公数据等。

内部网的用户都必须经过网络控制中心转发数据包。

7、环境需求分析：

云浮市田家炳中学现有五栋建筑物，网络接入技术主要应用在艺术楼上。

其他环境状况依据大楼建筑结构图来确定。

二、逻辑结构设计与地址分配：

1、网络技术选择：

防火墙技术：

Internet日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。

但由于Internet是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。

它可使计算机和计算机网络数据和文件丢失，系统瘫痪。

因此，计算机网络系统安全问题必须放在首位。

防火墙是一种网络边界隔离技术，其主要作用是在网络边界入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。

通过使用防火墙过滤不安全的访问，提高网络安全和减少子网中主机的风险，提供对系统的访问控制；

同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构，阻止攻击者获得攻击网络系统的有用信息。

使用日志来对非法访问进行监控，记录和统计网络利用数据以及非法使用数据的事件。

使用防火墙可与入侵检测联动功能形成动态、自适应的安全防护平台。

2、网络拓扑结构：

（1）网络拓扑结构采用树形结构和分层设计思想，优点是能够正确定位网络需求，扩展性和升级性较好，便于网络管理。

核心设备及主干网络技术采用1000Base-T技术，汇聚层设备及线路采用100Base-T技术，100Mbit/s的桌面带宽。

各层次网络都提供足够的带宽保证网络流量畅通无阻，将丢包率降到最小，且都属于以太网家族技术，保持了良好的兼容性和升级性。

校园网网络结构拓扑图如图（图2-1）

（图2-1）云浮市田家炳中学网络拓扑结构图

（2）地址分配方案：

在学校网络划分虚拟局域网，实现逻辑隔离。

为了方便管理和配置，采用按工作单位来划分虚拟局域网的方法，别给每一个虚拟网络指定一个子网号。

VLAN与地址分配表如（表2-2）所示。

工作组名

VLAN号

IP地址

掩码

Internet端口

--------

VLAN1

192.168.0.0/24

255.255.255.255

网络控制中心

WLZX

VLAN10

192.168.1.0/24

教务处/财务处

JCWC

VLAN20

192.168.2.0/24

WJS

VLAN30

192.168.3.0/24

TSG

VLAN40

192.168.4.0/24

东/西教学楼

DXJXL

VLAN50

192.168.5.0/24

学生宿舍/饭堂

SSFT

VLAN60

192.168.6.0/24

电信部门分配的IP地址是C类地址，可以满足学校的连入Internet，为了配置和管理方便，将校园网络划分为6个VLAN。

同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。

（3）服务子网设计：

服务子网选择集中式设计和分布式设计相结合的方法。

财务数据库相当重要，集中存放在财务处由管理员专人看管，大大降低了器被盗的可能性。

Web服务经常要被局域网内的用户访问，不属于任何一个工作单位或者网段，所以将它作为公共服务设备放置在网络控制中心。

（4）广域网设计：

通过光纤与中国电信100M相连。

内部用户通过网络控制中心统一代理服务上网。

三、功能模块简介：

（1）教务管理

计划建设。

该模块功能将实现教学项目的全过程跟踪管理。

包括教学方法管理、教学进度管理、学生学习情况跟踪，并实现教学项目建设周期的流程管理，最终达到控制教学资源，提高教学质量，过程中的管理分析系统紧紧围绕建立“综合分析应用系统”为主线，紧贴教学方针，对各种相关的关键数据进行整合，并以简捷直观的图形化方式进行展示、对比、分析，为学校领导提供及时、准确、真实的信息查询和分析，使教学管理层对教师的教学情况一目了然；

通过对数据深入挖掘和分析，找出教学运行的最佳点，更好地为教学管理提供决策依据，为科学教学活动分析发挥应有的作用。

（2）财务管理：

主要实现企业财务数据的抽取、整合、转换清洗、财务报表展示。

应用效果：

规范了财务核算、报表编制和报送工作。

（3）办公自动化：

计划建设新的集成办公自动化平台，实现收文管理、发文管理、日常办公等功能模块。

新系统集成门户、AD域用户、邮件系统、企业即时通讯系统。

实现文件的提示、催办、通知、实时沟通、邮件传输等功能，用户可以通过多种通信手段获得信息和进行交流。

（4）档案管理：

档案是企业建设项目，主要实现档案文件管理、收集整编、档案管理、开发利用等功能。

通过档案系统可高效地进行档案数据的采集和管理，建立不同单位、不同档案类型集中统一的档案分级管理体系，并方便用户对档案的检索查询。

档案管理系统可以实现对文件的电子化管理，防止电子文件的丢失；

实现学生档案信息资源的集中管理，统一利用，灵活查询；

提高工作效率，提高数据资源共享。

改进的系统统计功能，围绕档案年报统计与档案基础统计数据设计系统统计模块，形成评价档案工作成效的统计体系；

实现电子文件上传的断点续存功能；

实现系统数据的归档识别体系；

设计档案系统与其它应用系统的通用性接口；

增加档案数据三维立体查询体系。

（5）数字图书馆

数字图书馆，实现图书资源管理、读者管理、数字图书的发布、分类、检索和共享等功能。

四、网络安全设计：

SymantecClientFirewall防止黑客攻击计算机、保护隐私以及清除不需要的网络通信资源。

SymantecClientFirewall在校园网络和Internet之间设置一道屏障。

防火墙防止XX的用户访问连接Internet的私有计算机和网络。

SymantecClientFirewall防止您在Internet上时有人XX而访问您的计算机，检测可能的黑客攻击，保护个人信息，以及清除不需要的网络通信资源。

为了确保校园网络数据安全，使用了以下配置：

防火墙：

校园网络与Internet出口连接防火墙

入侵检测：

安装在Internet的出口处

防病毒：

Symantec网络版。

五、物理设计与设备选择：

1、路由器选型：

H3CSR6602路由器（以下简称SR6602）依托大容量、高可靠的硬件设计架构，采用了业界领先的多核多线程处理器作为其业务处理核心，其面向业务设计的理念诠释了数据通信业务汇聚/接入和企业网关的新型解决方案，更加充分的满足未来业务扩展的多元化应用需求，符合各行业IT建设的现状与发展趋势。

SR6602万兆网关是SR6602路由器提供的一种设备工作模式，该工作模式针对校园网出口、企业网出口、网吧等应用的特点和性能需求，做了专门的优化，将出口网关的NAT转发性能一举突破万兆，并且在网关特性的功能和性能二者之间达到了完美的平衡。

主要参数：

类型：

电信级高端路由器

端口结构：

模块化

网络协议：

TCP、UDP、策略路由、静态

传输速率：

10/100/1000Mbps

固定的局：

4个GE光电复合端口

其他端口：

Console口

包转发率：

4.5Mpps

Qos支持：

支持

2、主干交换机的选型

主干交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备。

要求工程将分为三期，我们根据工程三个阶段中网络点成批增加其间伴随着的使用需求增长，对主干交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。

通过以上分析，所以我选择主干交换机是CiscoCatalyst4908G-L3三层以太网交换机。

CiscoCatalyst4000系列产品为布线室和数据中心提供高性能、中等密度的、10/100/1000M以太网模块交换平台。

利用业界领先的5500/5000系列的软件代码库，提供客户在布线室所需要的丰富的和经实践证明的特性，以获得学校联网的解决方案。

新的Catalyst4006系统-经济有效的模块化6插槽机箱，为学校或分支机构的每一个用户提供汇合配线间的好处。

新的Catalyst4006功能包括可伸缩的交换、多达240个端口的10/100密度、多协议第三层IP、IPX和IP多点传送交换。

新的Catalyst4908G-L3交换机，在一个固定配置产品包中提供园区主干网所需的高性能第三层。

新的Catalyst4908G-L3功能包括：

带有千兆位接口转换器（GBIC）支持的1000BaseX千兆位以太网的8个端口。

服务质量（QoS）---带有WRR（加权循环）调度的多个队列，12Mpps第三层交换以及IP、IPX和IPMulticast的路由。

并且使用快速以太网通道（FEC）及千兆以太网通道（GEC）技术为网络提供更高的主干带宽（800M或8000M）。

3、接入交换机的选型

我们采用交换机而不使用共享式集线器到桌面是由于学校实际使用情况是主要表现在集中突发性，即学生同时使用同一软件的情况比较多，如果使用共享到桌面，网络就会产生拥阻而影响速度，因此在校园网中应使用百兆交换到桌面。

因此我们将采用Catalyst3512XL、Catalyst3524XL和Catalyst3548XL作为校园网工作组级接入交换机，直接连接学生站点。

3512XL、3524XL和3548XL交换机是CiscoSystems公司Catalyst3500XL系列产品的成员，是可扩展的堆叠式10/100和千兆比特以太网交换机系列产品，它们能够提供超值的性能、可管理性、灵活性，同时能够出色地保护客户的投资。

10.8Gbps的交换网和最高8.0Mpps的转发速率使这些交换机成为建立。

高性能局域网的理想选择。

Catalyst3512XL，3524XL，和3548XL能够为客户提供基于千兆比特以太网的配置选项、新的Cisco交换机集群多设备管理结构以及综合的IP话音和电话支持能力，使客户可以从中获得巨大的收益。

Catalyst3512XL、Catalyst3524XL，Catalyst3548XL是用于创建高性能LAN的自适应10/100交换机。

这些交换机能够提供12，24，或48个10/100端口以及2个内置的千兆比特以太网端口，性能最高可以达到8.0Mpps。

4、防火墙的选型：

CiscoASA5510-K8自适应安全设备是能够为从小型办公室/家庭办公室和中小企业到大型企业的各类环境提供新一代安全性和VPN服务的模块化安全平台。

CiscoASA5510-K8能为企业提供全面的服务，而且这些服务都可以根据客户对防火墙、入侵防御（IPS）、Anti-X和VPN的要求而特别定制。

CiscoASA5510-K8能够在适当的位置提供适当的安全服务，因而能为企业提供卓越的安全保护。

包含一套特殊的CiscoASA服务，以满足企业网络内特殊环境的要求。

随着每个位置安全需求的满足，整体网络安全性也得到了提升。

值得信赖的防火墙和威胁防御VPN技术

CiscoASA5510-K8建立于值得信赖的CiscoPIX安全设备和CiscoVPN3000系列集中器技术，ASA5510-K8是第一个兼具市场领先的防火墙技术保护，同时提供SSL和IPsecVPN服务的解决方案。

业内领先的Anti-X服务

将TrendMicro在互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一起，提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。

高级入侵防御服务

提供主动型全功能入侵防御服务，有效阻止各种威胁，包括蠕虫、应用层攻击、操作系统级攻击、rootkit攻击、间谍软件、对等文件共享和即时消息传送。

丰富的管理和监控服务

通过CiscoAdaptiveSecurityDeviceManager（ASDM）提供直观的单设备管理和监控服务，通过CiscoSecurityManagementSuite提供企业级多设备集中管理服务。

降低部署和运作成本

　　由于CiscoASA5510-K8提供与现有思科安全解决方案一致的设计和界面，因而能显著降低初始安全部署成本和日常管理成本。

由于CiscoASA5510-K8支持一个平台上的标准化，因而能降低整体安全运作成本。

统一配置环境不仅简化了管理，还降低了人员培训成本。

另外，该系列的通用硬件平台还有助于降低备件成本。

5、设备清单表：

设备名称

规格型号

单价/元

数量

合计（元）

主服务器

IBMBladeCenterHS22

45200

2

90400

百兆堆叠交换机组

INTELEXPRESS500系列

65000

130000

二层交换机

Catalyst3512XL、Catalyst3524XL、Catalyst3548XL

5500

33000

三层交换机

CiscoCatalyst4908G-L3

13000

26000

防火墙

H3CSecPathF100-A-AC

17000

1

路由器

IntelExpressRouter9100

250000

总价钱

553400

六、综合布线及设备清单：

综合布线设计图如下图：

（图6-1）

图6-1

1、工作区子系统：

每个工作区配置一台24端口的100Mbit/s有源集线器，用户计算机直接连接到集线器，集线器Uplink口连接信息插座。

2、垂直干线子系统：

垂直干线子系统选用两根62.5um6芯室内多模光纤布线和超五类UTP双绞线引入楼层交换机，除了满足基本需求外，剩余的线缆全部作为备用。

垂直布线线标格式制定如下:

楼层

单位

端口号

3、水平布线子系统：

水平布线子系统全部使用AMP超5类双绞线，长度根据实际距离测算，预留15%作为以后维护。

水平布线线标格式制定如下:

4、设备间子系统：

设备间子系统是主机房，存放各种服务器和核心交换机。

综合考虑各种因素后，设备间子系统设置在网络控制中心。

5、管理子系统：

楼层管理区主要安放第二层交换机，使用壁挂式机柜。

管理标签和材质按TIA/EIA-606标准设计。

6、布线产品清单：

数量

机柜

畅想神州CXSZ-42UD（服务器机柜）

4200

8400

墙挂式机柜F500418（600*450）

1821/个

4

7284

配线架

24口超五类配线架

800

40000

24口光纤配线架

600

10

6000

单模光纤

F-NET6芯单模光纤

30米

900

多模光纤

F-NET6芯多模

42

650米

27300

双绞线

ATP超5类4对非屏蔽双绞线

450/箱

8

3600

ATPRJ45水晶头

60/盒

2

120

总价

93604

七、系统管理与维护：

⏹网管平台：

HP　Openview

⏹模块：

（1）OVO（OpenViewOperation）：

CPU、MEM、HD、SEVICE　ect.

（2）OVIS（OpenViewInternetService）：

Ftp、Telnetect.

（3）NNM（NetworkNodeManagement）:

SW、Router

（4）OVPM（OpenViewPerformanceManagement）:

亿阳接口：

（1）IP管理

（2）管理面板

（3）告警前转

培训计划：

（1）系统的使用及提高；

（2）网络故障及简单维护；

（3）Internet网页制作与发布。