校园网规划与设计毕业论文1.docx
《校园网规划与设计毕业论文1.docx》由会员分享,可在线阅读,更多相关《校园网规划与设计毕业论文1.docx(19页珍藏版)》请在冰豆网上搜索。
校园网规划与设计毕业论文1
毕业论文
校园网规划与设计
姓名:
学号:
指导老师:
系名:
专业:
班级:
2011年5月10日
摘要
自1994年以来,互联网在我国取得了飞速发展,联网的计算机、上网用户和网站的数目逐年倍增。
各大专院校相继建立了自己的校园网。
Internet技术和现代教育的快速发展以及越来越紧密的结合使得校园网成为学校教育、教学和科研的重要平台。
校园网已成为各学校必备的重要信息基础设施,其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。
在某学院校园网目前的实际情况在充分调研的基础上,结合目前技术的发展方向和用户的实际需求,制订了学院校园校园网建设的整体设计方案。
通过校园网的设计与建设,实现真正意义上的宽带多媒体网络,为师生提供教学、科研和综合信息服务。
针对本项目,本文做了以下工作:
研究了数字化校园网的建设;调查比较了大型组网设备的性能的优缺点;分析了部分高校校园网组网技术方案;研究了基于校园网平台的信息安全问题;实现了拥有教学、科研、宽带多媒体网络和综合信息服务的校园网的规划设计。
关键字:
校园网;协议;设备
引言
某学院是一所极具现代意识、以现代化教学为特色的公办高校。
为了推进教育学信息化和现代化,学校计划在校内建立校园内部网并通过千兆位链路连接与国际互联网相连。
根据学校的要求,我们按照“统一规划、讲究实效、安全可靠”的原则,进行某高校园网综合系统设计,以满足校园内计算机网络系统的需要。
对于某高校来说,由于将有越来越多的资料信息和管理平台放到校园网上,越来越多的用户使用校园网,校园网的可扩展性和可靠性成为选择合作伙伴的重要标准。
建设校园网对每个学校来说都不是一件容易的事,校园网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成分的综合化、信息花管理系统。
因此每个校园网的设计、建设都要经过周密的论证、谨慎的决策。
论文的主要结构:
第一章:
简介。
叙述了校园网概念以及优势。
第二章:
校园网的要求及其特点。
第三章:
根据该学校的要求和现今校园网要求和特点设置出的拓扑图和设计图,以及所以要用到的技术和一些设计的细节。
第四章:
方案设计。
根据第三章的方案规划,在具体的模块上实现相对应的功能。
写出实现功能的主要命令。
第一章校园网简介
1.1什么是校园网
首先,校园网是利用先进的建筑综合布线技术构架安全、可靠、便捷的计算机信息传输线路;其次,校园网的建设必须考虑到为学校教学、教育科研,利用成熟、领先的计算机网络技术规划计算机综合管理系统的网络应用,提供优质的网络化教学环境。
因此,校园网应当是宽带、具有交互功能和专业性较强的计算机局域网络。
校园网除了需要有必备的硬件设备和操作系统平台外,利用全面的校园网络管理软件、网络教学软件,实现学校多媒体教学资源、教师备课系统、电子图书阅览检索、多媒体教学软件开发平台、校园网站和教学资源网站建设等功能。
为学校提供教学、管理和决策三个不同层次所需要的数据、信息和知识的一个覆盖全校管理机构和教学机构的基于Internet/Intranet技术的大型网络系统。
校园网还应具有教务、行政、总务管理功能,可以进行课程管理、学生成绩与学籍管理、图书资料管理等教学教务管理,也可以进行档案管理(含人事、教师档案等)、处室管理等行政事务管理,总务后勤管理包括财务管理、设备、房产等。
校园网应该具有较先进的水平,体现现代教育思想,要把建设校园网的规划与学校的长远发展规划统一起来,同时把服务教学作为网络建设的着眼点和落脚点。
校园网是不以盈利为目的的。
校园网上提供大量的免费资源,供广大师生工作学习之用,它所涉及的范围并不局限于校园内部。
有些人认为:
校园网就是大学校园围墙里面的网,即围墙里面的就是校园网,围墙外面的就是公网。
这种看法是错误的。
校园网的界限,并不是以用户终端所处的地理位置范围来的界定的,而是以校园网提供的接入服务范围来界定的。
在校园围墙内可以有公网,在校园围墙外也可以有校园网
1.2校园网有什么作用
(1)信息传递
这是校园网络最基本的功能之一,用来实现电脑与电脑之间传递各种信息,使分散在校园内不同地点的电脑用户可以进行集中的控制管理。
在校务部门建立网络服务器,可以为整个校园网络提供各类教学资源,并对这些资源进行综合管理。
(2)资源共享
●信息资源共享。
通过接入DDN或ISDN,很容易将校园网连接到internet,这样,网络内的各电脑终端不但可以互通信息资源,而且可以享受网络服务器上的相关数据及internet网上取之不尽,用之不竭的巨大信息资源,校园网在教学活动中的作用也将成倍地增强。
●硬件资源共享。
网络中各台电脑可以彼此互为后备机,一旦某台电脑出现故障,它的任务就由网络中其他电脑代而为之,当网络中的某台电脑负担过重时,网络又可将新的任务转交给网络中较空闲的电脑完成。
(3)网上资源提高教学质量,方便教学
以往传统的教学手段已经不能够满足时代进步的需要,学生也对粉笔和黑板的教学逐渐感到厌烦了。
现在的大部份学生每天都要上七、八节课,如果整天对着枯燥无味的书本,学生已经没有什么兴趣了。
如何把课本里的东西,变得生动、形象,在以前是很难的,但现在就不算什么,依靠信息技术,从互联网我们可以找到教学资源,并可应用到教学中。
网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的。
校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境。
这样的教学方式,大大提高了学生的学习兴趣,教学效果好,老师也就提高了教学的质量,真是一举二得。
第二章校园网的需求分析
信息化建设目标的建设不但应考虑现有的硬件、软件,同时还应考虑学校教师的信息化教育能力;不但网络要建起来,软件也要贴近应用,同时还应加强教师培训,才能逐步实现教育由应试教育转向素质教育转化。
项目总体目标是:
建立物理上覆盖学校教学楼与办公楼的千兆主干校园网,百兆交换到桌面,使学校所有部门的网络和计算机都能够方便地连接到网络;配置必要的计算机网络设备、布线设备和辅料,为学校的教学、管理和研究提供服务。
本项目的需求可概括为如下几部分:
2.1校园网对主机系统的要求
(1)主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力。
(2)主机系统应具有较高的可靠性,能长时间连续工作,并有容错措施。
(3)支持通用大型数据库,如:
SQL、Oracle等。
(4)具有广泛的软件支持,软件兼容性好,并支持多种传输协议。
(5)能与Internet,可提供互联网的应用,如:
WWW浏览服务、FTP文件传输服务、E-mail电子邮件等服务。
(6)支持SNMP网络管理协议,具有良好的可管理性和可维护性。
2.2校园网系统设计方案应满足的要求
(1)网络方案应采用成熟的技术,并尽可能采用先进的技术。
(2)采用国际统一标准,以永远广泛的支持厂商,最大限度采用同一厂商的产品。
(3)应充分考虑未来可能的应用,如:
桌面将承受大型应用软件和多媒体传输需求的压力
(4)该方案要具有高扩展性。
能为用户未来数目的扩展具有调整、扩充的手段和方法。
(5)该网络是面对连接的,能够实现虚拟网络(vlan)连接。
2.3交换机需求
核心层交换机2个。
汇聚层、接入层交换机5个。
为了实现数据的高速转发。
所以核心层交换机选用CISCOWS-C3560G-24PS-S型三层交换机。
为了承担网关和三层路由转发功能的重担。
所以汇聚层交换机选用CISCOWS-C3550-24-SMI型的三层交换机。
实现与PC机的连接,为用户提供大量端口。
接入层交换机选用CISCOWS-C2950C-24型号的交换机。
基本参数如表2.1所示。
产品型号
WS-C3560G-24PS-S
WS-C3550-24-SMI
WS-C2950C-24
产品类型
三层,可网管型交换机,千兆交换机,以太网交换机。
三层,可网管型交换机,快速以太网交换机
二层,可网管型交换机,快速以太网交换机
传输方式
存储转发方式
存储转发方式
存储转发方式
背板带宽
32Gbps
8.8Gbps
8.8Gbps
包转发率
38.7Mpps
6.6Mpps
3.9Mpps
Flash内存
32MB
32MB
8MB
最大DRAM内存
128MB
64MB
16MB
接口类型
10/100/1000BASE-T端口,RJ45
10/100Base-t,1000Base-XSFP,10/100Base-T,GBIc
10/100Base-T,10/100Base-T,100BASE-FX
接口数目
24口
24口
24口
传输速率
10M/100M/1000Mbps
10M/100M/1000Mbps
10M/100Mbps
模块化插槽数
4
2
2
堆叠
不可堆叠
可堆叠
可堆叠
表2.1网络交换机基本参数
2.4路由器需求
接入路由器2个
选择思科2621XM型的路由器
产品型号
2621
处理器
MotorolaMPC86050MHz
DRAM内存
64MB
Flash内存
32MB
固定网络接口
可选广域接口WIC卡
控制端口
RS-232
扩展插槽
1个网络模块插槽,1个AIM插槽,2个WIC插槽,IPs/w
表2.2网络路由器基本参数
第三章网络规划设计
3.1校园网络拓扑结构示意图
网络拓扑规划如图3.1,基本保证了网络的先进性、可靠性、可扩展性、可管理性、安全性等方面的需求。
图3.1网络拓扑图
方案的特点
(1)高性能全交换,千兆骨干(多模光纤)、百兆交换到桌面(UTP双绞线);
(2)虚拟局域网(VLAN)策略,提高局域网络内部安全与性能;
(3)多业务,办公管理、远程通信一网实现;
(4)管理简单,基于浏览器和网络管理工具的图形化配置;
(5)系统安全,集成路由器防火墙,提供互联网接入的安全保障;
(6)经济实用,高性价比产品配置,支持系统平滑升级。
3.2网络技术的应用
3.2.1VLAN划分
Vlan划分的模式有:
基于MAC的VLAN;基于IP地址的VLAN;基于组播的VLAN。
本方案中交换机huiju1,huiju2上应用了VLAN技术把不同的部门划分在不同的广播域,VLAN的好处主要有三个:
(1)广播控制。
通过将一个网络划分成多个VLAN(即多个广播域)。
可以实现广播范围的控制,并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。
(2)灵活性。
在学校里,由于教学人员的变更比较频繁,当把一台计算机从一个子网转移到另一个子网时,假若采用传统局域网技术的用户需要对站点的IP地址、缺省网关进行修改后才能上网;这种迁移所耗费的精力和时间相当可观的。
而采用基于MAC地址VLAN技术的用户则可不作任何修改,在网上的任意位置都可上网,因为VLAN成员不是捆绑在某固定工作站上的;反过来,用户的实际位置不发生改变却变更了部门,网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。
这意味着迁移的工作只是在交换机上重新定义VLAN即可,尤其是采用网卡的MAC地址来划分VLAN时,交换机能够自动跟踪该终端的MAC地址,并自动将其纳如定义的VLAN中,对于网络管理而言,可以轻松完成变更。
方便站点的移动、增加和变化,大大提高管理动态网络的能力。
减少了日常管理开销,提供了更大的配置灵活性
(3)安全性。
采用传统局域网技术的网络,只要利用一台PC装上协议分析软件,连到集线器上就可拦截该网段上的所有数据,采用基于MAC地址的VLAN技术时就不可能拦截该VLAN的数据;VLAN与VLAN间逻辑上是分开的,VLAN成员的数据包只能在同一VLAN内部传送,即使处于同一网络中,不同VLAN间也不能进行直接通信,有效的避免了广播风暴的传播;校园网中如财务管理、人事档案管理及一些不对外公开的科研数据资料库等应用系统,网络管理员可采用VLAN技术对广播域进行逻辑划分,达到限制用户非法访问的目的,从而确保重要部门的数据安全。
除非设置了监听口,信息交换就不可能存在监听和插入问题,提高了网络的安全性能;对于内网,采用基于MAC地址的VLAN技术,可有效防止IP地址盗用问题。
因此,通过划分VLAN可以提高网络的安全性。
根据本校园网络的VLAN划分,IP地址的划分等分配,分别在教学楼、实验楼、办公楼、宿舍楼等楼群汇聚层的交换机配置相关的IP地址,并对其重要的部门和多媒体教室进行VLAN的划分。
配置步骤相对简单,每楼群的配置方法也相似。
只需将交换机划分VLAN,将相对应的客户端端口加入到VLAN中,并配置中继(要将交换机与交换机之间的连接以及交换机与路由器之间的连接端口设为主干模式Trunk)。
同时需要配置单臂路由使有些VLAN之间可以相互访问。
3.2.2端口聚合技术
端口聚合它可将多物理连接当作一个单一的逻辑连接来处理,它允许两个交换器之间通过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。
这一技术的优点是以较低的成本通过捆绑多端口提高带宽,而其增加的开销只是连接用的普通五类网线和多占用的端口,它可以有效地提高子网的上行速度,从而消除网络访问中的瓶颈。
另外Trunk还具有自动带宽平衡,即容错功能:
即使Trunk只有一个连接存在时,仍然会工作,这无形中增加了系统的可靠性。
端口聚合的具体实现:
在核心层交换机中,进入要聚合的端口,打入命令channel-group1modeactive,就可以成功。
3.2.3VTP技术
VTP协议是在交换机之间交换VLAN信息并使VLAN保持一致的协议。
只运行于中继线上。
中继线指trunk技术,实质就是允许多个VLAN的信息通过同一个物理连接。
Trunking技术的实现过程通常是依靠标记完成。
所有通过中继传输的帧都将用VLANID进行标记(即所有的帧将在修改后发出)。
当其它交换机收到中继线传来的帧时,将读取标记,得知帧是属于哪个VLAN的,并将其发往在本机上相同的VLAN之中。
对于广播,交换机可以将其保留在适当的VLAN之中。
Trunk的封装类型有:
ISL、802.1q(也称作dot1q)、802.10、LANE.它们使用于不同的网络类型,如以太网、FDDI、令牌环网、ATM网络链路。
VTP允许在一台交换机上创建所有的VLAN。
然后,利用交换机之间的互相学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。
同时,有关VLAN的删除、参数更改操作均可传播到其他交换机。
从而大大减轻了网络管理人员配置交换机的负担。
具体配置方法进入
Vlan//3640配置
Switch#vlandatabase
建立VTP域
Switch(vlan)#vtpdomainname
修改交换机vtp的模式
Switch(vlan)#vtp{client|server|transparent}
配置vtp密码
Switch(vlan)#vtppassword……
配置VTP修剪
switch(vlan)#vtppruning
查看VTP运行状态
Switch#showvtpstatus
查看交换机收到和发出广告的数目
Switch#showvtpcounters
3.2.4STP技术
生成树协议最主要的应用是为了避免局域网中的网络环回,解决成环以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接。
STP也提供了为网络提供备份连接的可能,可与SDH保护配合构成以太环网的双重保护。
3.2.5EIGRP路由协议
EIGRP:
EnhancedInteriorGatewayRoutingProtocol即增强网关内部路由线路协议。
也翻译为加强型内部网关路由协议。
EIGRP是Cisco公司的私有协议。
Cisco公司是该协议的发明者和唯一具备该协议解释和修改权的厂商。
EIGRP结合了链路状态和距离矢量型路由选择协议的Cisco专用协议,采用弥散修正算法(DUAL)来实现快速收敛,可以不发送定期的路由更新信息以减少带宽的占用,支持Appletalk、IP、Novell和NetWare等多种网络层协议。
基本配置
r1(config)#routereigrp1
r1(config-router)#net192.168.1.0激活接口,下行等价命令
r1(config-router)#net192.168.1.10.0.0.255
优点:
精确路由计算和多路由支持。
EIGRP协议继承了IGRP协议的最大的优点是矢量路由权。
EIGRP协议在路由计算中要对网络带宽、网络时延、信道占用率和信道可信度等因素作全面的综合考虑,所以EIGRP的路由计算更为准确,更能反映网络的实际情况。
同时EIGRP协议支持多路由,使路由器可以按照不同的路径进行负载分担。
较少带宽占用。
使用EIGRP协议的对等路由器之间周期性的发送很小的hello报文,以此来保证从前发送报文的有效性。
路由的发送使用增量发送方法,即每次只发送发生变化的路由。
发送的路由更新报文采用可靠传输,如果没有收到确认信息则重新发送,直至确认。
EIGRP还可以对发送的EIGRP报文进行控制,减少EIGRP报文对接口带宽的占用率,从而避免连续大量发送路由报文而影响正常数据业务的事情发生。
快速收敛。
路由计算的无环路和路由的收敛速度是路由计算的重要指标。
EIGRP协议由于使用了DUAL算法,使得EIGRP协议在路由计算中不可能有环路路由产生,同时路由计算的收敛时间也有很好的保证。
因为,DUAL算法使得EIGRP在路由计算时,只会对发生变化的路由进行重新计算;对一条路由,也只有此路由影响的路由器才会介入路由的重新计算。
MD5认证。
为确保路由获得的正确性,运行EIGRP协议进程的路由器之间可以配置MD5认证,对不符合认证的报文丢弃不理,从而确保路由获得的安全。
路由聚合。
EIGRP协议可以通过配置,对所有的EIGRP路由进行任意掩码长度的路由聚合,从而减少路由信息传输,节省带宽。
实现负载分担。
去往同一目的的路由表项,可根据接口的速率、连接质量和可靠性等属性,自动生成路由优先级,报文发送时可根据这些信息自动匹配接口的流量,达到几个接口负载分担的目的。
配置简单。
使用EIGRP协议组建网络,路由器配置非常简单,它没有复杂的区域设置,也无需针对不同网络接口类型实施不同的配置方法。
使用EIGRP协议只需使用routereigrp命令在路由器上启动EIGRP路由进程,然后再使用network命令使能网络范围内的接口即可。
3.2.5ACL技术
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
本方案中在汇聚层交换机上运用ACL技术,来限制校园网内部各部门的数据流通,以提高校园网信息的安全性。
在总部ACL的实现汇聚层交换机上配置访问控制列表,以实现办公楼只能和服务器群进行通信,宿舍楼在上每周星期一到星期天的早上8:
00到下午18:
00只能访问Internet网的WEB服务,其他任何服务都不能进行访问。
命令如下:
router>enable
router#configureterminal
router(config)#timerangeminperiodicweekday6:
00to20:
00
//定义一个名为min,时间段为工作日的每天早上6点到20点的时间范围
router(config)#access-list101permittcp192.168.3.00.0.0.255192.168.5.00.0.0.255
//定义一条只允许192.168.3.0网络(办公楼)到192.168.5.0网络(服务器群)列表号为101的访问控制列表
Huiju2(config)#access-list102permittcp192.168.4.00.0.0.255Anyeqwww
3.2.6NAT技术
NAT的主要作用是为了节约全局地址的使用,多个内部地址可共享一个全局地址上网。
此外,由于采用NAT的内部主机不直接使用全局地址,故在Internet不直接可见,可以在一定程度上减小被攻击的风险,增强网络的安全性。
本方案中路由器上都运用了NAT技术来实现内部网络私有地址到公有地址的转换,来节省开销和增加内部用户的安全性。
NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。
它解决问题的办法是:
在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。
NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。
每个包在NAT设备中都被翻译成正确的IP地址,发往下一级,这意味着给处理器带来了一定的负担。
但对于一般的网络来说,这种负担是微不足道的。
在接入路由器上进行配置,下面以路由器为例,内部网段192.168.0.0到网段192.168.6.0都用207.160.211.11进行动态转换,实现内部网络的上网问题。
分部的配置情况类似。
配置命令如下:
Zongbu(config)#ipnatpoolaa207.160.211.11207.160.211.11
Netmask255.255.255.0
//配置全局IP地址池aa
Zongbu(config)#access-list1permit192.168.0.00.0.0.255
Zongbu(config)#access-list1permit192.168.1.00.0.0.255
Zongbu(config)#access-list1permit192.168.2.00.0.0.255
Zongbu(config)#access-list1permit192.168.3.00.0.0.255
Zongbu(config)#access-list1permit192.168.4.00.0.0.255
Zongbu(config)#access-list1permit192.168.5.00.0.0.255
//设置允许访问的内部IP地址列表
Zongbu(config)#interfaces1/0
Zongbu(config-if)#ipnatoutside
Zongbu(config-if)#noshutdown
//将路由器接口S1/0指定为外部端口
Zongbu(config)#interfacef0/0
Zongbu(config-if)#ipnatinside
Zongbu(config-if)#noshutdown