校园网络设计.docx

校园网络设计.docx

《校园网络设计.docx》由会员分享，可在线阅读，更多相关《校园网络设计.docx（35页珍藏版）》请在冰豆网上搜索。

校园网络设计

课程设计（大作业）报告

课程名称：

网络工程设计与系统集成

设计题目：

校园网络规划设计

引言

随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一，此时，校园网的应用系统就显得尤为重要。

一方面，学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问，这是学生综合素质中极为重要的一部分；另一方面，基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。

网络是信息高速发展的纽带，它不但可以带给我们信息发展的前沿，还能够帮助我们查阅大量的信息，它所提供的信息资源几乎是无穷无尽的。

网络作为一种研究工具的出现，极大的拓展了知识的获取范围，大大地降低了我们在每一项工作上所消耗的时间。

校园网是网络技术应用于教育事业的一种体现，改善校园网不仅可以充分的提高教学质量，更能够让学生对学习产生兴趣，而且它也是管理、办公、信息交流和通信等现代化的标志。

因此，对于一个学院来说，扩大校园网的规模，提高信息传输质量，增添新的设备，采用最新的技术，是事在必行的。

一、需求分析

1.1、工程项目概况

建立一个连接教学楼，行政办公楼，图书馆，宿舍楼，网络中心等区域的校园网，实现主干10G，1000兆到各楼，100兆到桌面。

为广大师生员工提供Internet接入、E-mail、DHCP、DNS、Web等网络服务。

网络分布框架如下图所示：

需求如下：

1、信息资源共享

通过校园网络实现学校内部，学校与国内、国际信息的快速交流，达到资源共享，使广大师生及时了解国内外科学技术和高等教育发展的最新动态，促进教学、科研、管理事业的发展。

2、图书资料检索、借阅自动化

通过改造原有图书检索系统，建设电子图书馆，提高校内图书资料的利用率充分利用校外图书资料，实现远程计算机图书检索和借阅。

3、学校管理系统的信息化、自动化

依托校园网，构建相应的交互式应用软件平台，实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化，实现统计监测网络化，提高管理效率和水平。

实现网上招生、网上人才招聘、学生网上求职等。

4、建立计算机网络辅助教学系统

建立基于网络的电子教学CAI课件开发、视频点播VOD、网上题库、答疑与作业批改等计算机辅助教学系统，实现教学手段的现代化。

5、创建学院网站，使之成为对外宣传的重要窗口，让世界了解我们，提高学院的知名度。

6、为广大师生提供宽松，开放、易用的网络环境，使网络进入日常工作和生活中，发挥网络的最大效用

1.2、各区域功能需求分析

1、教学楼：

主要为电脑机房、多媒体教室，将计算机多媒体视听引入课堂教学、声音、图像、动画的普遍采用可以大大提高教学效果。

2、行政办公楼：

办公自动化，基本web综合管理信息的信息系统、提示行政、人事、学籍、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等、使学校日常办公无纸化、减少办公开支提高办公效率等。

3、图书馆：

图书馆是给师生们提供自主学习的场所，师生可以根据需要自由选择内容以及基于web的图书音像供学生随时读、并于连接Ineternet、使图书馆得到进一步拓展、使师生能够得到近乎无限的网上资源。

4、宿舍楼：

宿舍区的网络构架对学校信息化工作起到了巨大的推动作用，一方面缩短了学校与外界的距离，另一方面，完善了以校园网为基础的管理信息系统，为学生提供了方便。

5、网络中心：

中心机房到汇聚层节点采用10G单膜光纤连接，汇聚层到接入层采用千兆的单膜光纤连接。

数据信息点的接入用交换10/100Mbps自适应以太网端口接入，以便能较经济的提供较高的带宽。

整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。

1.3、目的及要求

1、建网的目的：

实现大学的校园网络化，校园的教学楼、宿舍、图书馆等各个部分都能实现计算机联网，并且整个校园接入互联网，以及校园的数字化建设。

2、建网的要求：

（1）实用性和经济性

充分集成现有的各种计算机和网络设备，使建设的系统适用、安全、可靠且易管理、维护和扩展，具有最高的性价比。

（2）开放性

构造一个开放的网络系统，是当前世界计算机技术发展的潮流。

在整个系统设计中采用的规范和设备与厂商无关，具有较强的兼容性，便于与外界异种机平滑互联。

（3）先进性

当今计算机网络技术发展日新月异，把握不准方向则可能导致在很短的时间内技术落伍，从而面临被淘汰的危险。

因此在坚持实用性的前提下尽量采用国际先进成熟的网络技术和设备，以适于未来的发展和需要，做到一次规划长期受益。

（4）可扩充性

所选择的联网方案及设备要能适应网络规划不断扩大的要求，以便于将来设备的扩充；要能适应信息技术不断发展的要求，平稳地向未来新技术过渡。

（5）可靠性

系统设计除采用信誉好、质量高的设备外，还采用一系列容错、冗余技术，提高整个系统的可靠性。

为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。

在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。

（6）安全性

包括两个方面：

网络用户级的安全性，数据传输级的安全性。

网络用户级的安全性应在网络的操作系统中予以考虑，而数据传输的安全性则必须在网络传输时解决。

在网络设计中，既要考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。

1.4、主要信息点分布

学校共有：

24栋学生宿舍，每栋楼包含六层每层26—30间宿舍，每间宿舍（4-6人），有18个院（系），每个院系占据1-3栋教学楼，一个网络中心，一个图书馆，一栋行政办公楼。

现有全日制本专科学生14000多人，在职教职工1760多人。

物理位置

数目

信息点/楼（个）

信息点总数

教学楼

18

200

3600

行政办公楼

1

200

200

图书馆

1

200

200

宿舍楼

24

1000

24000

网络中心

1

200

200

合计

45

1800

28200

二、校园网络设计

2.1、总体网络设计

（1）层次型结构的提出

层次型网络设计是一种使用分层的、模块化的模型设计校园网的技术。

层次型网络设计模型可以按层设计拓扑结构，每层的重点集中于特定的功能上，有利于分配和规划带宽和选择适当的系统和功能。

层次型拓扑设计具有如下好处：

减轻网络中设备的CPU负载；降低网络成本；简化每个设计元素并且易于理解；容易更改层次结构；提高设备的利用率。

（2）核心层结构设计

核心层：

将各汇聚层交换机互连起来进行穿越校园网骨干的高速数据交换。

实现数据包高速交换。

核心层双中心星形拓扑的优点是结构较为简单，实现设备的，也可以很好的进行网络负载均衡。

（3）汇聚层结构设计

汇聚层：

主要功能是汇聚网络流量，链路聚合、路由聚合，信号中继，负责将访问层交换机进行汇集，还为整个交换网络提供VLAN间的路由选择功能。

（4）接入层结构设计

接入层：

接入层利用VLAN划分等技术隔离网络广播风暴，提高网络效率，为所有的终端用户提供一个接入点。

（5）广域网互联设计

考虑到Internet和其他网络的连接（如CHINANET等），目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各种广域连接中发现。

目前，越来越多的学校还开展了网络教学和建立自己的WEB。

因此，能否有效地连接Internet是校园网建立的一个重要的目标。

出于安全考虑，应该选用一个带有防火墙的边界路由。

边界路由在远程办公室和网络的其余部分之间提供了一个有效的防火墙。

同样重要的是，边界路由为远程办公室保留了利用诸如“服务类数据优先级”、“定制过滤器”和“数据压缩”等工具的优点。

（6）防火墙技术和DMZ设计

学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高，如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。

防火墙作为网络的第一道防线，应放置在外网和需要保护的校园内网之间。

这样，所有流入校园网络的数据流量都将通过防火墙，使校园内的所有客户机及服务器都处于防火墙的保护下。

针对不同资源提供不同安全级别的保护,还应构建一个“DemilitarizedZone”（DMZ）的区域，放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。

这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。

即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

防火墙的设计结构如下图所示：

（7）设备冗余/负载均衡设计

冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。

但是投资也将增加。

部分校园网在早期的建设中由于成本的原因并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。

冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。

万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。

可采用GEC链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。

也可采用生成树协议（IEEE802.1d）提供设备级的冗余连接。

此外，我们在设计中提供不同物理方向的双归属、双路由保护。

（8）网管工作站设计

网络管理是校园网必须考虑的关键技术，这里的网络管理主要指网络设备及其系统的管理，它包括配置、性能、安全、故障管理等，网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的、驻留有网络管理协议的设备。

网络管理设计的另一方面，是配置一个网络管理中心，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。

网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。

2.2、校园网分区设计

2.2.1、教学楼（详见你教学楼分支拓扑图）

教学楼信息点总数共36000个，总共需要48口的接入层交换机77台，以及需要2台48口汇聚层交换机才可够使用。

先利用第一台的汇聚交换机的全部接口，不够的从第二台接入。

第二台汇聚交换机剩余的接口用于其他各部分。

从而保证最高的利用效率。

2.2.2、行政办公楼（详见其他分支拓扑图）

行政办公楼信息点总数200个，总共需要48口的接入层交换机5台，这5台交换机可直接连接到之前用于教学楼的汇聚交换机剩余端口上。

2.2.3、图书馆（详见其他分支拓扑图）

图书馆信息点总数200个，总共需要48口的接入层交换机5台，这5台交换机可直接连接到之前用于教学楼的汇聚交换机剩余端口上。

2.2.4、网络中心（详见其他分支拓扑图）

图书馆信息点总数200个，总共需要48口的接入层交换机5台，这5台交换机可直接连接到之前用于教学楼的汇聚交换机剩余端口上。

2.2.5、宿舍楼（详见宿舍分支拓扑）

宿舍信息点总数24000个，总共需要48口的接入层交换机511台，需要11台汇聚交换机。

其中澄明院分配5台汇聚交换机，提供235个口可供接入交换机连接，235台接入交换机提供了11045个口，可供宿舍楼各个信息点使用。

润泽院分配6台汇聚交换机，提供282个口可供接入交换机连接，282台接入交换机提供了13254个口，可供宿舍楼各个信息点使用。

2.3、整体网络拓扑结构图

2.4、IP地址分配

根据我校信息点分布情况，制定的ip地址规划的内容如下：

1、服务器区以及行政楼各个信息点应当采用私有ip地址，因为行政楼和服务器区涉及到学校里面的私密信息，因此应当使用私有ip地址。

服务器区通过NAT技术转换后，供人们远程访问。

行政楼各个信息点通过设置可以利用NAT转换连接internet上网。

2、使用B类ip地址，并划分为若干个子网供给各个区域。

B类地址范围：

128.0.0.1到191.255.255.254。

B类地址的私有地址：

172.16.0.0到172.31.255.255。

169.254.0.0到169.254.255.255是保留地址。

如果你的IP地址是自动获取IP地址，而你在网络上又没有找到可用的DHCP服务器，这时你将会从169.254.0.0到169.254.255.255中临时获得一个IP地址。

B类地址默认子网掩码为255.255.0.0。

一个B类IP地址由2个字节的网络地址和2个字节的主机地址组成，网络地址的最高位必须是“10”，即第一段数字范围为128～191。

每个B类地址可连接65534（2^16-2,因为主机号的各位不能同时为0,1）台主机。

各个区域ip地址具体分布情况如下：

物理地址

所需地址数

Ip地址

提供地址数

网络号

子网掩码

宿舍楼

24000

128.0.0.1-128.0.127.254

32766

128.0.0.0／17

255．255.128.0

行政楼

200

172.16.0.1-172.16.0.254

254

172.16.0.0／24

255．255.255.0

图书馆

200

128.0.128.1-128.0.128.254

254

128.0.128.0／24

255．255.255.0

网络中心机房

200

128.0.129.1-128.0.129.254

254

128.0.129.0／24

255．255.255.0

教学楼

3600

128.0.144.1-128.0.144.254

4094

128.0.144.0／20

255．255.240.0

网管工作站

10

172.16.1.1-172.16.1.10

254

172.16.1.0／24

255．255.255.0

3、在本次ip分配里面由于学校上网的人员不固定所以在每个子网内都是动态的分配ip地址，并且安装了DHCP服务器也为动态分配提供了基础。

三、校园网设备选型

3.1、交换机选型

3.1.1、核心交换机

它是构成网络的重点，承担着快速率、大容量交换，大吞吐量等重任，以使整个网络高容量、无阻塞、高可靠的运行。

根据我校的规模和应用需求，主干为10G、百兆到桌面，所以核心交换机可以使用H3CS9512E。

报价：

5.2万。

设备名称

核心交换机

设备型号

H3CS9512E

主要参数

产品类型：

路由交换机

应用层级：

三层

传输速率：

10/100/1000/10000Mbps

交换方式：

存储-转发

背板带宽：

7.2Tbps

包转发率：

864Mpps/1440Mpps

端口参数

端口结构：

模块化

扩展模块：

2个主控板槽位数+12个业务板槽位数

传输模式：

全双工/半双工自适应

其他参数

电源电压：

AC100-240VDC-48--60V

电源功率：

2380W

产品认证：

CE，UL/cUL，FCC-PART15，VCCI等

产品尺寸：

753×442×450mm

产品重量：

≤110kg

环境标准：

工作温度：

0-45℃；工作湿度：

5%-90%（非凝结）；存储温度：

-40-70℃；存储湿度：

5%-95%（非凝结）

功能特性

网络标准

IEEE802.1Q，IEEE802.1d，IEEE802.1ad，IEEE802.3x，IEEE802.3ad，IEEE802.3，IEEE802.3z，IEEE802.3ae，IEEE802.3af，IEEE802.17，IEEE802.1P

QOS

支持Diff-ServQoS；支持SP/SDWRR等队列调度机制

支持精细化的流量监管，粒度可达1Kbps

支持流量整形，支持拥塞避免，支持优先级标记Mark/Remark

支持802.1p、TOS、DSCP、EXP优先级映射，支持VOQ

组播管理

支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP路由协议；支持IGMPV1/V2/V3、IGMPV1/V2/V3Snooping

支持PIM6-DM、PIM6-SM、PIM6-SSM

支持MLDV1/V2、MLDV1/V2Snooping

支持组播策略和组播QoS、支持组播ARP，支持双向PIM

网络管理

支持Console/AUXModem/Telnet/SSH2.0命令行配置

支持FTP、TFTP、Xmodem、SFTP文件上下载管理

支持SNMPV1/V2c/V3，RMON，支持1、2、3、9组

支持NTP时钟、NQA，支持故障后报警和自恢复

支持系统工作日志

安全管理

支持用户分级管理和口令保护

支持SSHv2，为用户登录提供安全加密通道

支持可控IP地址的FTP登录和口令机制

支持标准和扩展ACL，可以对报文进行过滤，防止网络攻击

支持防止ARP、未知组播报文、广播报文、未知单播报文、本机网段路由扫描报文、TTL=1报文、协议报文等攻击功能

支持MAC地址限制、IP＋MAC绑定功能

3.1.2、汇聚交换机

汇聚层，是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。

汇聚层交换机需要支持三层交换,由于设计中要求汇聚交换机与接入交换机线路1000M我选择了华为S5700-52C-SI报价（1.3万）。

主要参数：

设备名称

汇聚交换机

设备型号

华为S5700-52C-SI

主要参数

产品类型：

千兆以太网交换机

应用层级：

三层

传输速率：

10/100/1000Mbps

交换方式：

存储-转发

背板带宽：

256Gbps

包转发率：

132Mpps

MAC地址表：

16K

端口参数

端口结构：

非模块化

扩展模块：

2个扩展插槽

端口描述：

48个10/100/1000Base-T端口，4个1000Base-XSFP端口

端口数量：

52个

其他参数

电源电压：

AC100-240V，50-60Hz

电源功率：

<78W

产品尺寸：

442×420×43.6mm

环境标准：

工作温度：

0-50℃；相对湿度：

10%-90%（无凝露）

功能特性

VLAN

支持4K个VLAN；GuestVLAN、VoiceVLAN；支持基于MAC/协议/IP子网/策略/端口的VLAN；支持1:

1和N:

1VLAN交换功能

堆叠功能

可堆叠

QOS

支持对端口接收和发送报文的速率进行限制，报文重定向。

支持基于端口的流量监管，支持双速三色CAR功能，每端口支持8个队列；支持WRR、DRR、SP、WRR＋SP、DRR+SP队列调度算法；支持报文的802.1p和DSCP优先级重新标记；支持L2（Layer2）-L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN

的非法帧过滤功能；支持基于队列限速和端口Shapping功能

组播管理

支持IGMPv1/v2/v3Snooping和快速离开机制

支持VLAN内组播转发和组播，多VLAN复制

支持捆绑端口的组播负载分担，支持可控组播，基于端口的组播流量统计；IGMPv1/v2/v3、PIM-SM、PIM-DM、PIM-SSM

网络管理

支持堆叠，MFF；支持虚拟电缆检测（VirtualCableTest）；端口镜像和RSPAN（远程端口镜像）；支持Telnet远程配置、维护；SNMPv1/v2/v3；RMON；支持网管系统、支持WEB网管特性；集群管理HGMP；系统日志、分级告警；支持GVRP协议；支持MUXVLAN功能

安全管理

用户分级管理和口令保护；支持防止DOS、ARP攻击功能、ICMP防攻击；支持IP、MAC、端口、VLAN的组合绑定

支持端口隔离、端口安全、StickyMAC

支持黑洞MAC地址；支持MAC地址学习数目限制

支持IEEE802.1X认证，支持单端口最大用户数限制

支持AAA认证，支持Radius、TACACS+、NAC等多种方式；支持SSHV2.0；支持HTTPS；支持CPU保护功能；支持黑名单和白名单

3.1.3、接入交换机

接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。

接入交换机是最常见的交换机，它直接与外网联系，使用最广泛，尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。

在传输速度上，现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。

设计中要求100兆到桌面那么其传输速率就应该能达到100M，并且接入层设计就是直接用于连接到信息点的。

对它最重要的要求就是端口数量的充分以及具备即插即用特性以便维护的特点。

因此我选择了有48个10/100Base-TX端口的华为QuidwayS3352P-EI（AC）。

报价：

6000元

设备名称

接入交换机

设备型号

华为QuidwayS3352P-EI（AC）

主要参数

产品类型：

运营级接入交换机

应用层级：

三层

传输速率：

10/100Mbps

交换方式：

存储-转发

背板带宽：

64Gbps

包转发率：

13.2Mpps

MAC地址表：

16K

端口参数

端口结构：

非模块化

扩展模块：

2个扩展插槽

端口描述：

48个10/100Base-TX端口，2个100/1000Base-XSFP端口，2个1000Base-XSFP端口

端口数量：

52个

传输模式：

全双工/半双工自适应

其他参数

电源电压：

AC100-240V

产品重量：

<3kg

产品尺寸：

442×420×43.6mm

环境标准：

长期工作温度：

0-50℃；短期工作温度：

-5-55℃

相对湿度：

10%-90%（无凝露）

功能特性

VLAN

支持4K个VLAN；GuestVLAN、VoiceVLAN、SuperVLAN；基于MAC/协议/IP子网的VLAN；灵活QinQ功能；1:

1和N:

1VLAN交换功能

网络标准

IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，IEEE802.3x，IEEE802.1Q，IEEE802.1d，IEEE802.1X

QOS

支持对端口接收和发送报文的速率进行限制；报文重定向；基于端口的流量监管，支持双速三色CAR功能；每端口支持8个优先级队列；支持WRR、DRR、SP、WRRSP、DRR+SP等队列调度算法；支持WRED（仅S33HI支持）；支持报文的802.1p和DSCP优先级重新标记；支持L2（Layer2）-L4（Layer4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP；地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能；基