中学校园组网设计与实现1学位论文.docx

1、中学校园组网设计与实现1学位论文本科毕业设计论文中学校园组网设计与实现摘 要随着信息技术的不断发展，网络已经成为人们工作、学习、生活不可或缺的一部分。对于中学来说，也需要建设自己的校园网络来满足学校日常教学、管理、娱乐的需求，为师生提供多姿多彩的校园文化生活。本文以一中为校园网建设为背景，从相关组网技术入手，在对校园网总体进行相关的需求分析之后，在分层设计和模块化设计的指导思想下给出了校园网的整体拓扑和整体方案。然后根据实际情况为校园网工程选择了相应的核心层、汇聚层、接入层和安全设备。并对建筑物间、建筑物垂直系统和水平系统的综合布线作出相应的说明。 为了应对网络攻击和满足远程访问，本文给出了相

2、应的安全方案和VPN接入方案。最终建成千兆骨干，百兆到桌面的高性能、高安全性的网络。网络出口采用电信、网通双出口设计。最后，本位给出了用仿真工具GNS3、VMware等工具模拟出的工程。关键词：中学、校园网、综合布线、网络安全、虚拟专用网ABSTRACTWith the continuous development of information technology , the network has become the way people work , learn , integral part of life . For high schools , they also need to

3、 build their own campus network to meet the daily school teaching, management and entertainment needs for teachers and students to provide colorful cultural life on campus .In this paper, one of the places the city as the background for the campus network construction , starting from the relevant ne

4、tworking technology , after the overall campus network related needs analysis , in the hierarchical design and modular design gives the guiding ideology of the campus network overall topology and the overall program . Then according to the actual situation of the campus network engineering correspon

5、ding core layer, convergence layer and access layer, and safety equipment. And between buildings, building cabling system and the vertical level of the system to make the appropriate instructions . In response to cyber attacks and meet the remote access , this paper presents the corresponding securi

6、ty programs and VPN access solution . Final completion gigabit backbone to the desktop Fast performance, high-security networks. Network exit using Telecom, China Netcom double outlet design .Finally , given the standard simulation tool used GNS3, VMware and other tools to simulate the project.Keywo

7、rds : school, campus network , cabling , network security , virtual private networks第一章 绪论1.1 研究背景随着当今社会的不断信息化，计算机网络特别是Internet已经在社会的各行各业被普及，可以说网络已经成为了人们工作、学习、生活中不可或缺的一部分。计算机网络技术连同数据库技术以及其他应用技术一起，改变着整个世界。在以知识传授和人才培养为主要目的的学校也迫切的需要使用计算机网络让学校的教学、科研、管理更加信息化、现代化。在利用网络设备和组网技术构建的校园网的基础上，学校能够实现学校各个部门的信息化管理。

8、全体师生也能够利用这个信息化平台进行更加有效便捷的交流，更加方便的投入到日常的教学学习中来。因特网Internets是指当前全球最大的、开放的、由众多网络相互连接而形成的特定计算机网络，它采用TCP/IP协议族作为通信的规则，且其前身是美国的ARPANET（计算机网络，谢）。因特网从不同程度上促进了社会各个行业的发展，教育是其中之一。Internet上有无比丰富的教育资源。校园网是一个局域网，把校园网接入到Internet后使得校园网成为了因特网的一小部分，从而可以利用因特网上数量巨大的教育资源。学校不应该是闭门造车的一个点的，而应该是一个能与其他学校、机构进行有效通信的Internet中的一

9、部分。这样的学校才能进行更加有效的教学、科研、管理和决策。1.2 校园网的发展现状随着我国在1994年开始建设CERNET（China Education and Research Network，中国教育科研网），校园网的研究工作被正式启动。国内高校纷纷开始建设自己的校园网，并在校园网的基础上构建出用于日常管理教学的信息系统。据统计，目前国内高校中已经建设校园网的已经超过90%，剩下的高校中大部分校园网正在建设。可见，校园网已经成为绝大多数学校所必须基础设施之一。随着教育信息化的的发展，校园网应用涌现出种类繁多的形式。非传统的教学方式开始走进学校教育，如网络课程、远程教学、视频点播等。而随着

10、网络应用的不断丰富，特别是P2P软件的使用对校园网的性能特别是带宽提出了更高的要求。国内不少高校已经建设了千兆主干网，百兆到桌面的校园网，相比之下，中学对校园网的性能要求没有高校那么高，但是为了保证网络在未来较长的时间内仍能满足需求应该建设处高标准的中学校园网。不少中学也已经建设了自己的网络办公系统、教务系统等众多的网络应用系统。1.3 论文的体系结构本论文共分为8章。第一章是绪论，主要介绍了课题背景。第二章是校园网组网技术，主要介绍了组网过程中要使用的二层、三层、安全以及QoS技术。第三章是校园网的需求分析，主要分析了校园网中的网络信息节点、功能需求、维护需求。第四章是校园网的总体设计使用模

11、块设计和分层设计的方法设计出校园网的整体拓扑，合理划分了IP地址和VLAN，并给出了用户上网方案和QoS方案。第五章是设备选型，介绍了本次组网中选择的各种设备的型号，并给出了选择它们的原因。第六章是综合布线，给出了建筑群综合系统的要求和标准。第七章是模拟工程实现，通过使用模拟工具给出了尽可能贴近实际的模拟工程。第八章是结束语，对论文所完成的内容进行了总结。第二章 校园网组网技术2.1 交换技术2.1.1 VLAN（Virtual Local Area Network） 传统交换机能够隔离冲突域，但是却不能隔离广播域。这时连接在同一台交换机上的终端都在同一个广播域之中，如果其中一个计算机发送广播

12、包那么在同这一个广播域之中的其他计算机都会收到这个广播包。如果广播域中的计算机数量众多，那么大量的广播包会占用大量的带宽，同时大量的广播包也加重了CPU的负担。而VLAN技术的出现解决了这个问题。VLAN可以隔离广播域，同一个VLAN内的计算机在同一个广播域之中，不同VLAN的计算机要想通信必须经过三层设备。使用VLAN有很多好处。第一，使用VLAN之后一个广播域之中的计算机数量将大大降低，一般，一个VLAN包含一个独立的子网。第二，使用VLAN提高了网络的安全程度。如果一台主机感染了病毒那么广播域内的其它主机就很容易受到感染。另外，VLAN把含有重要数据的部门和其他部门隔离开来，增加了信息的

13、安全性。第三，使用VLAN使得网络的管理更加方便，管理员在不改变网络物理拓扑的情况下能够很容易的改变VLAN的设置。例如，一个员工原先属于公司的技术部，现在他被调派到了市场部，那么他的办公地点不许改变，只需通过交换机上的几条配置命令就能把他的计算机从技术部的VLAN划分到市场部的VLAN。2.1.2 Trunk简介在不增加交换机之前的连接线的前提下，通常连接在同一台交换机上的同一VLAN可以相互通信，但是连接在不同交换机上的同一VLAN却不能通信，这在实际网络中明显是不可取的。所以有必要实用Trunk技术。“Trunk”一词在英文中意为“干道”。可以这样来理解“Trunk”：就像条马路原先只允

14、许一种交通工具通过，如果想使用其他交通工具必须修建另外一条马路，现在使用一种技术使得这条马路允许不同交通工具都能通过。这种技术在网络工程中就是“Trunk”技术。Trunk技术在实现上使用的是“打标签”的方法。来自不同VLAN的数据在进入TRUNK链路前会被打上“标签”，然后在TRUNK链路中传输，传输到TRUNK链路的另一端时标签会被去掉，然后被转发到不同的VLAN之中去。有两种主流的帧标记技术：ISL和802.1q(IEEE)，其中ISL是思科私有，802.1q是国际标准，一般802.1q使用的比较多。在本案例中我们使用的也是80.21q。在配置TRUNK链路的时候还要注意Native V

15、LAN的问题，在网络管理和排错的时候Native VLAN都是检查和注意的重点。2.1.3 VTP（Virtual Trunk Protocol）在一个校园网里面会有大量的二层和三层交换机，而在这些交换机上管理员会配置大量的VLAN，配置这些VLAN要花费大量时间，而且要做大量的重复性工作，这对每一个网络工程师来说都是十分枯燥的。而VTP的出现就解决了这一问题。在一个网络中，管理员只需要把其中一台或者几台交换机设置为VTP Server其他交换机设置为VTP Client那么在VTP Server交换机上建立、删除、修改VLAN后，VTP Server上的VLAN会通过VTP协议和VTP Se

16、rver同步，这样就大大简化了VLAN配置的工作量。需要注意的是，VTP是思科私有的协议，只能在思科交换机之间运行。由于本案例中采用的都是思科交换机所以VTP将发挥它的作用。2.1.4 STP协议如果不做冗余设计，那么在网络中如果个别网络设备或者链路出现故障，那么一大部分甚至整个网络就有可能瘫痪。为了避免这种情况的发生，我们往往会在某些网络设备之间添加多条链路或者添加一些备用网络设备。但是这样做在增加网络的稳定性的同时也为网络带来了环路。环路会导致三个问题：广播风暴、交换机的CAM表不稳定、同一个帧的多次复制。这时我们就引入了STP（Spanning Tree Protocol生成树协议）。在

17、数据结构中我们知道，“树”是没有环路的拓扑结构。人们正是利用了“树”的这个特性开发出了STP协议，来避免环路的产生。STP的基本思路是通过阻断交换机的某些接口来使一个图变成一个“树”。早期人们开发出的802.1d这一STP协议。这一协议虽然能避免网络的环路但是收敛时间（交换机从检测到网络拓扑发生变化开始到所有交换机重新生成一棵“树”的时间）通常需要30-50秒。这明显不能满足现代网络的需要。因此人们做了一些改进措施如：Portfast、Uplinkfast、Backbonefast技术。这些措施可以使收敛时间减少一些，但是仍不能满足人们的需求。因此，又开发出了一些新的STP协议如：PVST+(

18、思科私有)、RSTP（IEEE 802.1w）、MSTP。在实际应用中上述技术一般两个或多个同时使用，这样网络的收敛时间大大的减少了。例如使用RSTP的网络收敛时间甚至能达到几百毫秒。2.1.5 HSRP（Hot Standby Router Protocol）技术HSRP属于思科私有，是一种网关冗余技术，和它类似的另外一种协议是VRRP协议（国际标准）。在本案例中我们使用的是HSRP协议，在这里作重点介绍。在理解HSRP协议的时候我们可以把它同其他的冗余技术作比较。在增加网络设备或者增加网络设备间链路时我们是为了增加网络设备（路由器和交换机）之间的冗余，主要使网络设备之间的通信更稳定；而HS

19、RP的设计是为了增加计算机和网关之间的冗余，主要使计算机和网络设备之间的通信更稳定。在实际工程中，我们可以把几个网关放到一个热备份组之中（可以创建不同的组），在这个组中，只有一个网关是处于Active（活动）状态的。如果处于Active状态的路由器出现了故障，那么HSRP会在剩下的备份路由器中选举出一个路由器置为Active状态。配置HSRP时会为所有的网关地址配置一个虚拟IP地址，这时只需把计算机的网关设置为这个虚拟IP地址就可以了。在本案例之中，配置HSRP是基于VLAN的。在每个汇聚层交换机为每个VLAN创建一个SVI（Switch Virtual Interface），然后把相同VLA

20、N的SVI接口放到同一热备份组，为这个热备份组创建一个虚拟IP地址，把同一VLAN的所有计算机的网关设置为这个虚拟IP地址。2.2 三层路由技术2.2.1 静态路由路由选择表获取信息的方式有两种，以静态路由表项的方式手工输入信息，或者通过几种自动信息发现和共享系统（动态路由选择系统）之一自动地获取信息。（TCP/IP路由技术）通俗的说，静态路由就是人工告诉路由器每条路应该怎么走，而动态路由则是让路由器自己学习每条路应该怎么走。从上面的叙述中我们不难发现配置静态路由要比配置动态路由要花费更多的时间。因为通常较大规模的网络中的路由器都有成百上千条路由，静态路由要求我们手工的把数量巨大的路由条目一条

21、一条的配置到路由表中。另外只要网络拓扑发生变化，管理员就得重新更改静态路由的配置，这在管理上又是一个巨大的难题。而动态路由就没有这些问题，只需较少的配置，较少的维护。既然这样我们为什么还要使用静态路由呢？这是因为静态路由在某些需要精确控制路由选择的场合能发挥巨大作用，而动态路由此时就显得力不从心了。所以到底是选择静态路由还是选择动态路由要根据具体情况具体具体分析，不能一概而论。另外，静态路由中的默认路由在局域网出口路由器连接Internet时非常有用。举一个简单的例子，网络的拓扑、接口设置、接口IP地址如下图所示。我们可以这样告诉路由器23.1.1.0/24网段怎么走：R1(config)#i

22、p route 23.1.1.0 255.255.255.255.0 12.1.1.2/ip route 要配置的网段地址 子网掩码（24位） 下一跳地址2.2.2 动态路由选择协议 OSPF同RIP协议相同，OSPF也属于内部网关协议（IGP）。但是，与RIP不同的是，是另外一种全新类型的协议链路状态协议（属于距离矢量协议）。距离向量的意思是，R I P发送的报文包含一个距离向量（跳数） 。每个路由器都根据它所接收到邻站的这些距离向量来更新自己的路由表。在一个链路状态协议中，路由器并不与其邻站交换距离信息。它采用的是每个路由器主动地测试与其邻站相连链路的状态，将这些信息发送给它的其他邻站，而

23、邻站将这些信息在自治系统中传播出去。每个路由器接收这些链路状态信息，并建立起完整的路由表。（详解）。运行协议的路由器就好像一个人，他知道某地应该怎么走，但是他都是从别人口中“打听”得到的，每个人都是从其他人那里“打听”，如果其中某个环节出错，就会产生错误。而则不同，运行的路由器就好像一个拥有整个区域地图的人，他对整个区域有一个完整的了解。如果想去另外一个地方，那么他查看地图就可以了，不易出错。另外，还有许多其他优点。这些优点使得比更先进，更适合现代的大中型网络。2.3 网络安全技术2.3.1 VPN(Virtual Private Network)技术使用Internet会面临很多风险，数据包

24、在通过Internet到达目的地时有可能别人阅读、修改，这明显是不应该被允许的。VPN技术是一种可以保证数据安全通过Internet的技术。VPN使用多种安全技术，为分支机构、远程和移动办公提供安全安全通信及资源共享。从接入方式看，VPN有专线和拨号两种。从实现类型看，VPN有二层VPN和三层VPN两种。从拓扑类型看，VPN有站点到站点（Site to Site）VPN和远程访问VPN两种。VPN有许多优点，第一，VPN节省开支；第二VPN很安全；第三，VPN拥有较好的可扩展性；第四，VPN兼容宽带技术。在本案例中，由于一中没有分支机构（分校）所以不需要配置站点VPN，只需要配置远程访问VPN

25、，以方便在家庭和出差的师生访问学校资源。2.3.2 防火墙技术现代网络面临着大量的安全威胁。从具体形式看，病毒、蠕虫、特洛伊木马是最常见的三种类型；从攻击类型看，侦查攻击、接入攻击、拒绝服务攻击是三个主要类别。各种各样的网络攻击已经给人们的生活生产造成了巨大的损失。防火墙的出现从一定程度上缓解了上述威胁。总的来说，防火墙可有以下几个功能。避免不受信任的用户访问敏感数据。净化协议流量、隐藏协议漏洞。防止病毒和恶意文件接触服务器和终端。 另外还可以再防火墙上配置VPN，使网络安全策略变得更简易。2.3.3 DMZ（Demilitarized Zone）非军事区来源于军事学，指的是交战双方之间的缓冲

26、带。在计算机网络中，我们也可以把DMZ区域看做缓冲地带，只不过交战的双方分别变成了网络攻击者和内网。为了使内网更安全，有时会把一些必须公开的服务器放在DMZ区域内。2.3.4 IDS和IPS技术防火墙可以在一定程度上抵御来自网络外部的攻击，但是如果威胁来自内部，那么防火墙就显得有些无能为力了。更可怕的是，来自网络内部的攻击可能会比来自外部的攻击造成更大的破坏，因为攻击者更加了解网络的构成，可以直接访问网络和数据。可以这样理解，防火墙就好比一栋大楼的保安，IDS就好比这栋大楼里的监视系统。入侵检测系统被动的检测网络上的流量。IDS设备通过复制数据流来分析和检测数据，并不转发数据。IDS的有点事不

27、会影响数据包的转发，缺点是不能及时的阻止恶意流量对于网络的攻击。IDS通常与其他网络设备一起对攻击做出反应。IPS是在IDS技术之上建立的。与IDS不同，IPS设备工作在在线模式，所有进入和送出流量都要经过它来处理。数据包如果没有没有被IPS分析是不允许进入信任区域的。这样做的好处就是，IPS可以实现按需检测和立即解决问题。另一方面，IPS可能导致许多错误、失误和溢出的流量，影响网络的性能。IPS和IDS各有优缺点，具体工程时一起选择两种技术，让它们相互补充。2.4 QOS技术2.4.1 QOS简介QOS用来度量网络传输质量和服务可用性。进一步的讲，QOS是网络为某特定数据流提供优质服务的能力

28、。QOS通过以下几种手段来提供优质的网络服务：提供专用带宽降低丢包率避免网络拥塞整形（Shapping）网络流量设置数据优先级2.4.2 QOS的三种模式尽力而为服务模式，集成服务模式，区分服务模式。三种模式中，尽力而为模式是IP网络的初始模式，集成服务模式与本案例无关，区分服务模式区别的对待不同的数据流量，把他们分成不同的类别，不同类别的数据流量进行不同类别的处理。在这里我们重点介绍区分服务模式。区分服务模式的基础是在RFC2474和RFC2475中奠定的。区分服务模式由以下几个基本部分构成：在网络边界设置IP报文头中的某些位，也就是标记数据。用来为以下的处理做准备。网络内的节点根据这些位的

29、设置情况决定如何转发数据包。被标记的数据在网络边界被调整为与服务或规则要求的一致。从区分服务模式的构成也能看出它的工作原理，即根据管理策略设置每个服务的要求和规则，网络节点根据标记位选择数据包，结合缓冲区管理和数据包调度机制区别处理不同的数据包。第三章 校园网需求分析3.1 项目概述一中是安徽省重点高中，学校现占地300亩，每个学生人均40平方米，共有行政楼一栋、教学楼两栋、图书馆一个、科学馆一个、体艺馆一个、公寓楼两栋、餐厅楼一栋，操场一个。学校的建筑平面图如下图所示。建筑物平面图为了跟上信息化时代校园网建设的潮流，进行自动化办公以及网络化教学，一中决定建设自己的校园网。3.2 需求分析要进

30、行组网设计首先必须进行需求分析。本方案从传输线类型选择、信息点分布、功能需求、维护需求等几个方面进行分析。3.2.1 传输介质类型选择一中建筑物平面图如上图所示。在本案例中，电教馆计算中心被设计为整个校园网的中心。因为网络中心到其他建筑之间的距离都在500m以内，所以我们采用多模光纤连接网络中心和其他网络节点。建筑物内部采用超五类非屏蔽双绞线作为传输线。3.2.2 信息点分布3.2.3 功能需求（1）建立以电教馆为中心连接其他建筑物的星型拓扑网络，达到千兆核心骨干网络，百兆到桌面。（2）根据具体的情况，划分合适的子网和合适的VLAN，每个子网的带宽大于等于100Mbps，建立起高性能并且易于管

31、理的校园网。（3）要求校园网能够实现资源共享（4）在校园网的基础上建立起教育管理和自动化办公系统，实现校园的现代化管理。（5）建立网络教学系统，以适应信息化时代网络教学。（6）建立网上图书馆，提供电子阅览（7）建立与Internet的连接，并保证连接的安全、高速。（8）安装常用的因特网应用。（9）保障校园网的安全，防止入侵和破坏。（10）校园网要具备一定的容错和冗余能力，网络的个别部分出现故障时不应导致整个网络的瘫痪。3.2.4 维护需求为保证校园网建成后能够在工程师离开之后依然能够正常运行，应该对学校的相关人员进行必要的技术培训，让他们具有一定的网络管理和排错能力。相关人员应该具备以下能力：

32、具备一定的网络基础知识、熟悉相关网络产品的技术参数、具备基本的组网与排错能力。（1）课程培训内容LAN与WLAN技术。Internet基础技术和应用。Windows Server 2003服务器的使用方法。WWW、DNS、E-mail、FTP服务器的搭建与管理。（2）现场培训网络、操作系统的安装与调试。网络、操作系统的故障诊断与排除。网络管理工作站与网络管理软件的原理与应用。交换机安装与配置。结构化布线实际操作。第四章 校园网的总体设计4.1 分模块的设计我们把网络分成几大模块，每个模块相互之间功能独立，模块之间通过接口连接，组网时把各个模块恰当的拼接起来。在本案例中我们把网络分为：内部接入层汇聚层模块、内部核心模块、网络安全模块、网络计费管理模块、广域网模块、内部服务器集群模块、外部服务器集群模块等。4.2分层的设计所谓分层设计方法，就是按照信息的流动过程将网络的整体功能分解为一个