校园网规划及相关技术完整版.docx

1、校园网规划及相关技术完整版校园网规划及相关技术-完整 版德州科技职业学院毕业设计（论文）题目 校园网规划及相关技术院系名称信息工程系 班 级09网络 学生姓名李文卿 学 号 090402017 指导教师栾亨胜 答辩教师栾亨胜杨新华王洪考孙先民时 间2012年4月10日 摘要设计一个结构合理， 性能优良， 经济实用的校园网络是一个中小型高校校园网建设 的基本目标。本文对高校校园网的特点，设计的思路，以及整个校园网络的设计方案作 了阐述。网络管理，是大型计算机网络成功的关键因素。高效有序的网络管理，确保网 络的最优化运行，发挥网络的最佳效益。本文从IP地址分配和VLAN勺规划、使用802. 1x

2、协议进行用户认证以及通过配置访问控制列表对网络数据流进行控制三个方面对校园 网管理进行技术研究。 地址管理在网络世界中非常重要。 错误的理解将会带来非常严重 的后果，对于一个大型网络， 地址管理结构设计不好很容易引起组织对整个网络重新编 号。这不仅会引起长时间的停机，而且还会在重新编址阶段引起不稳定。而一个良好的 地址管理结构是不需要花费任何代价的， 仅需要认真规划和了解问题。每个VLA内部的 广播和单播流量都不会转发到其他 VLA冲，从而有助于控制流量、减少设各投资、 简化 网络管理、提高网络的安全性。 IEEE 802.Ix 通过对认证方式和认证体系结构进行优化， 消除了网络瓶颈，减轻了网

3、络封装开销，降低了建网成本。访问控制列表是网络防御外 来攻击的第一关。网络管理员可以使用访问控制列表设计网络操作和控制网络数据流。 反过来，通过使用路由器的访问控制列表， 网络管理员也可以建立特定的网络规划策略。关键词：校园网设计；网络管理；IP地址；虚拟局域网；IEEE802. 1X认证；访问控制 列ABSTRACTThe design of a reasonable structure, excellent performance, economical and practical campus network is a small campus network construction

4、the basic goal. This paper on the characteristics of the campus network, design ideas, as well as the entire campus network design is expounded. Network management, is a large computer network key success factors. Highly efficient and orderly management, ensure network optimal operation, network pla

5、y the best benefits. This article from the P address allocation and VLAN programming, the use of the 802.1x protocol user authentication and accesscontrol list through the configuration of the network data flow control three aspects of the campus network management technology research. Address manag

6、ement is very important in the world. Wrong understanding will lead to very serious consequences, in a large network, address management structure design is very easy to cause the organization to the whole network renumbering. This will not only cause the long time shutdown, but also to address phas

7、e induced instability. While a good address management structure is not need to spend any cost, only requires careful planning and understanding of the problem. Each VLAN internal broadcast and unicast traffic will not be forwarded to the other VLAN, thereby contributing to the control of flow, redu

8、ce equipment investment, simplifying the management of network, improve network security. MEE802.Ix through the certification and accreditation system structure optimization, eliminating bottlenecks in the network, reduce network encapsulation overhead, reducing the net cost. Accesscontrol list is t

9、he first network defenseagainst attack. The network administrator can use the access control list design network operation and control of network data flow. In turn, through the use of router access control list, a network administrator can also set up a specific network planning strategy.Key words:

10、 campus network design; network management; IP; virtual LAN; IEEE802.1X certification; access control List中文摘要 I.英文摘要 II1园区网的相关介绍 11.1引言 11.2校园网规划建设问题的提出与研究 11.3校园网规划需求分析 21.4校园网中的应用 32校园网规划方案 52.1组建校园网相关设计分析 52.2组网设备选型 . 72.2IP地址和VLAN的划分 143组网中的相关技术配置 193.1网络边界防火墙的配置 193.2接入互联网 -NAT 技术 213.3802.1X

11、认证 213.4VLAN及生成树 233.5链路聚合 253.6端口快速收敛 253.7园区网中容易产生的问题 263.8使用访问控制列表进行网络管理 274结论 29致谢 30参考文献 311 园区网的相关介绍1.1 引言 1随着的 Internet 普及，校园网己成为每个学校必备的信息基础设施，也成 了学校提高教学、科研及管理水平的重要途径和手段，再加上国家积极倡导教 育信息化，致使全国不少学校都在积极筹划、建设和完善校园网。建设一个以 办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术 为依托，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校 的各种 Pc

12、机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在 网上宣传自己和获取 Internet 网上的教育资源。形成结构合理、内外沟通的校 园计算机网络系统，在此基础上建立能满足教学、科研和管理工作需要的软硬 件环境，开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服 务。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先 进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为学校着 想，合理使用建设资金，使系统经济可行。网络的发展壮大，网络的管理也提 到议事日程。网络管理是网络的灵魂，为保证计算机网络稳定高效地运行，网 络管理起着非常重要的作用，网络管理的

13、好坏直接影响到网络的运行质量，对 于像大学这样一个较大规模的校园网络来说尤其如此。伴随互联网的高速发展的X）科技职业学院也在不断扩建和壮大的同时， XX科技职业学院校园网建设也紧跟时代发展的步伐 - 建设现代化高效能的校园 网络。本文以XX科技职业学院校园网组建为例展开论述分析。1.2校园网规划建设问题的提出与研究1.21 校园网规划建设问题的提出在学院的不断发展壮大的同时，校园网己成为我学校必备的信息基础设施， 建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现 代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网 络，将学校的各种Pc机、工作站、终端设备和

14、局域网连接起来，并与有关广域 网相连，在网上宣传自己和获取 Internet 网上的教育资源。这一高效节能无纸 化办公的现代化教学方式受到我校领导的高度关注，随之校园网的规划建设这德州科技职业学院毕业论文 园区网的相关介 绍一问题被提出。1.2. 2 组建校园网的相关研究在组建校园网络的同时，会同时产生一系列的问题，例如：网上办公、网 上教学、招生、在线注册、网上社区服务、网上支付等具有校园特色的电子商 务将蓬勃发展，构建电子社区服务，电子社区服务包括地图导航、虚拟服务台、 海报、意见处理、新闻中心及各式服务项目 ( 学习、运动、娱乐、餐饮、购物、 旅游交通、邮电、金融、医疗、维修、治安 )

15、等。在这一系列问题产生的同时，我们必须把校园网组建时产生的问题拿到桌 面上来分析研究，从而得出一些比较安全、合理、稳定、容易管理的校园网络， 为学校的发展和在校师生等人员的工作、学习、生活带来方便。1.3校园网规划需求分析1.3.1校园网建设目标校园网建设的目标应该是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心， 以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的校园主 干网络，将学校的各种P(机、工作站、终端设备和局域网连接起来，并与有关 广域网相连，在网上宣传自己和获取INTERNE网上的教育资源。形成结构合理、 内外沟通的校园计算机网络系统，在此基础上建立

16、能满足教学、科研和管理工 作需要的软硬件环境，开发各类信息库和应用系统，为学校各类人员提供充分 的网络信息服务。系统总体设计将本着总体规划、分布实施的原则，充分体现 系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。 本着为学校着想，合理使用建设资金，使系统经济可行。1.3.2校园网的特点(1)先进性(2)兼容性好(3) 应用复杂流量大(4) 安全控制要求高(5) 网络设备分散，不易统一管理 把握校园网应用，了解用户网络建设需求，是成功构建校园网络的关键所 在。我认为：构建符合应用的校园网络可以用下面七个标准来衡量。(1)高性能(2)高可靠性(3)适合多种应用需求德州科技职业

17、学院毕业论文 园区网的相关介 绍(4)高伸缩性(5)高安全性(6)可运营，可管理(7)结构合理1.4 校园网中的应用 在我校不断发展和壮大正朝着多元化、社会化的方向发展，所以建立一些 生活学习所需的设施也是在校园网的建设中必须考虑，也应该校园网应具备的 基本功能。1.4.1校园一卡通的使用所谓校园一卡通，就是利用IC卡作为电子身份的载体，在校园中，每一个 成员都有一个固定的身份，如教师、管理人员、专科生、本科生、临时人员等， 成员的身份都可以通过其校园一卡通得到确认。用户的身份决定了用户在校园 空间所享有的权限，如教师可以在教师食堂就餐、学生可以在学生食堂就餐、 教师可以在图书馆借更多的书等。

18、通过采用校园一卡通的解决方案，可以全面 实现校园的高度信息化、自动化管理。1.4.2信息服务信息服务是根据用户的需求，将信息按照用户的逻辑提取出来，以方便的 接口提供给用户。(1)信息发布 信息发布是校园网的基本功能：管理信息系统将信息收集、整理起来，主 要是提供给特定的用户用于管理活动；(2)决策支持 决策支持是信息服务的高级形式。为学校重大问题提供决策依据。如：教 学评估、招生评估、毕业评估、学科评估等等。1.4.3电子商务随着远程教育的开展和校内管理与服务的数字化进展，网上招生、在线注 册、网上社区服务、网上支付等具有校园特色的电子商务将蓬勃发展。电子商 务平台的建设对于数字校园中和支付

19、相关的各个应用系统的发展具有重要的推 动作用。1.4.4网上办公办公自动化系统为学校领导以及各职能部门提供了基于校园网的协同办公德州科技职业学院毕业论文 园区网的相关介 绍环境，使学校办公逐步向电子化、无纸化方向迈进。同时由于校园网络连接了 办公室、计算机实验室、学生宿舍乃至教师家庭，同样一件工作在不同的场所 办理成为现实的可能情况。1.4.5网上教学网络教学是一种新型教育手段，它是为适应 21世纪社会经济和科技发展对 高素质创造型人才的需要，创造一个在教师指导下的学生自主式学习的环境。(1)网络教学资源 网络教学的资源是开展网络教学的基础，它包括教师的电子讲义、课件、 录像、试题库、以及各种

20、数字化的教学素材。(2)网络教学平台 网络教学平台是一个全新的教学环境，它为校园网上的同步远程教学提供 实时双向交互的多媒体网络教学环境，为校园上的异步远程教学提供自主学习 的网络教学环境。网络教学平台将建设成一个支持包括网上备课、课件制作、 教学素材建设、网络授课、网上交流、网上自学、网络考试等多种服务的综合 教学平台，全面支持教学各个环节。(3)数字图书馆 数字图书馆是采用现代高新技术所支持的数字信息资源系统，是下一代因 特网上信息资源的管理模式，将从根本上改变目前因特网上信息分散、不便使 用的现状。它涉及数字信息资源的生产、加工、存储、检索、传递、保护、利 用、归档、剔除等全过程。(4)

21、虚拟实验室网络虚拟实验就是在We中创建出一个可视化的三维环境，其中每一个可视 化的三维物体代表一种实验对象。通过鼠标的点击以及拖曳操作，用户可以进 行虚拟、仿真实验。2校园网规划方案2.1组建校园网相关设计分析2.1.1拓扑图的绘制根据XX科技职业学院的楼宇坐落、部门分布和逻辑网络拓扑层次分析之后，绘制了拓扑图，如下：X X科技职业学院校园网规划拓扑图图2.1 XX科技职业学院校园网拓扑图Fig2.1 Technological Vocational College of XXcampus network topology2.1.2校园网的结构化建设（1）核心层网络建设核心层的功能主要是实现骨

22、干网络之间的优化传输，骨干层设计任务的重 点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干 层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心 层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。(2)汇聚层网络建设 同样的，校园网汇聚层网络建设按照中小型校园网两种规模来分析设计。对于大型校园网络，汇聚层的设计十分类似于核心层的设计思想。那就是将汇 聚层当作本地交换系统的核心来设计，每个汇聚层的设计应该符合本地交换系 统的应用需求。比如，对于教学系统，可能存在大量的语音和视频传输。据此， 应该考虑汇聚层对QO有良好的支持并且能提供大的带宽。如

23、果本地子网无特殊 需求，可以考虑这里是降低网络投资成本的点，选用一般设备即可。中小型校园网络汇聚层的设计原则和大型校园网络汇聚层的设计是相同 的，既要兼顾本地的需求又要兼顾对整个网络的配合。对于中小型校园网络， 可能汇聚层和接入层并为一层，也就是出现了 2层的结构。 2层结构也好 3层结构 也好都是逻辑的，网络设计层次只要对需求有利就可以了。(3)接入层网络建设 接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以 及易于维护的特点。另外，设备对恶劣环境的抵抗能力也应该考虑在内。至少 性能方面应该考虑几个方面：能提供好的性能价格比，不需要过高的性能； 需求端口密度高的时候，最好使用

24、堆叠方式； 建议重要部门的接入层设备提供网络管理功能； 如果有多媒体应用，设备应该提供IGMP Sno opi ng功能，以充分利用带 宽； 依据实际流量的情况选择上连带宽；2.1.3根据网络层次划分之后选择设备应具备的特性此方案在于汇聚层设计采用二层交换机，通过二层可网管交换机 DCF3926S堆叠之后千兆上联到网络中心，宿舍楼内的每个信息点可以直接与汇聚层 交换机DC一3926S,楼内不方便布线或者距离汇聚层配线间较远的楼层，可以 在相应的楼层内采用DCS-2026网管交换机，然后与汇聚层交换机连接，实现高 性能的灵活的高性价比的宿舍网络接入方案。此方案的特点是宿舍区接入网采 用堆叠方式实

25、现，堆叠方式的特点决定了接入网的性能较好，很好的解决了各 级交换机级联带来的带宽限制；同时方案也很好的体现了灵活设计的特点，可 以根据用户的网络需求，在接入层或者采用功能较强的 DCS-2026网管交换机， 或者采用投资较小的DCS 2026网管交换机。充分体现了网络设计原则。 除此之外，此方案还具有如下特点：(1)实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。（2）先进性和成熟性 网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、 工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在 未来

26、若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技 术来构建网络主干线路。（3）可靠性和稳定性 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性 能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性 和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领 导厂商，其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启 用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障 后骨干网络平台的可用性。（4）安全性和保密性 在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔

27、离， 因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包 括端口隔离、路由过滤、防 DDoS巨绝服务攻击、防IP扫描、系统安全机制、 多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多 种的保护机制，如划分VLAN IP/MAC地址绑定（过滤）、ACL路由过滤、防DDoS 拒绝服务攻击、防IP扫描、802.1X认证机制、SSHto密连接等具体技术提升整 个网络的安全性。（ 5）可扩展性和可管理性 由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要 的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐 渐扩大的时候，不需要增加新的

28、设备，而只需要增加一定数量的模块就行。先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全 线采用基于SNM标准的可网管产品，达到全程网管，降低了人力资源的费用， 提高网络的易用性、可管理性，同时又具有很好的可扩充性。2.2 组网设备选型 根据校园网规划拓扑图和分层次设计的优点和各种特性，下面来进行设备 的选型。（不涉及终端、线缆、中继器、组网工具或其他小型设备的选型，根据 需要购买即可。）2.2. 1网络出口设备选择因为校园网出口采用以太网，所以采用路由器 +防火墙的方式，起到如下 作用：防火墙提供强有力的服务器、内网安全保护、提供 IDS等安全特性；路 由器提供出口路由功能，数

29、据处理能力强，具有强大的 NAT功能。（1）防火墙的选择为了以后扩展的需要，所以采用了 RG-WALL1000 RG-WALL100采用锐捷网 络独创的分类算法（Classification Algorithm ）设计的新一代安全产品 第三类防火墙，支持扩展的状态检测（Stateful In spection ）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序 （如VoIP, H323等）时，可提 供强有力的安全信道。采用锐捷独创的分类算法使得 RG-WAL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时， RG-WAL在内核层处理所有数据包的接收、

30、分类、转发工作，因此不会成为网络流量的瓶颈。另外， RG-WAL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不 会影响防火墙的性能。RG-WAL 的主要功能包括：扩展的状态检测功能、防范入 侵及其它（如URL过滤、HTTP透明代理、SMTP弋理、分离DNS NAT功能和审 计/报告等）附加功能。表2.1 RG-WALL100防火墙技术参数（单位：台）Table 2.1 RG-WALL1000firewall technology parameters ( unit: bench )RG-WALL 100（千兆防火墙/VPN网关端 口固化 2 个 10/100BaseT+2 个

31、10/100/1000BaseT 接口，可选配最多4个千兆电口 /千兆SX/LX 光口最大并发连接 数1,000,000sessio ns吞叶量1.8Gbps（最大）策略数65,535VPN并发通道数10,000tu nn elsVPN吞吐量(SHA-1,3-DES)400Mbps尺 寸标准19英寸宽度，2U高度电气性能电源类型：AC100-240V/50-60HZ电源功率：200W工作环境操作环境：温度0C 40C,湿度 0%80%存储环境：温度-40 C 80C,湿度0%95%技术性能MTBF（平均故障间隔时间）： 100,000 小时（2）路由器的选择RG-S6800E是锐捷网络推出的基

32、于NP+ASIC勾架的新一代多业务万兆核心路 由交换机，RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力， 并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。目前提供 10竖插槽设计和6横插槽设计两种主机：RG-S6810E和RG-S6806ERG-S6800E系列多业务万兆核心路由交换机提供 2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率 可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可 同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核 心骨干和大流量节点交换机的理