于强方案设计范例.docx

1、于强方案设计 范例2012年湖北省中职骨干教师计算机网络培训武汉铁路桥梁学校校园网络规划与设计方案书学员姓名： 所在学校： 武汉铁路桥梁学校 培训地点： 成 绩： 2012-7-30目 录一、建设背景 2二、需求分析 2三、设计原则 2（一）实用性 2（二）安全性 2（三）可靠性 2（四）统一性 2（五）先进性 3四、方案规划 3（一）根据学校现状及发展方案的实施具体要求如下表所示： 3（二）网络架构及网络拓扑 4（三）网络设备选择 5（四）用户IP 规划 6（五）内网路由IP 规划 7（六）顶层设备IP及公网IP规划 8（七）服务器IP地址规划 8（八）安全规则定义 8（九）部分设备调试拓扑

2、 9五、技术文档 10（一）出口路由器的配置文档 10（二）核心交换机的配置文档 12（三）汇聚办公楼的配置文档 14（四）汇聚学生宿舍配置文档 15（五）汇聚图书馆配置文档 17（六）无线路由配置文档 20（七）Linux Apache服务器的配置步骤及文档 21校园网方案规划与设计武汉铁路桥梁学校一、建设背景学校始建于1973年， 学校现为国家首批调整认定的重点中等职业学校、中国职教100强、全国首批中等职业教育德育工作实验基地学校、全国德育科研先进实验校（连续六年）、全国读书育人特色学校、湖北省示范中等职业学校、全省职教先进单位、湖北省最佳文明单位（连续三届）、湖北省中等专业教育十强、全

3、省中等职业教育招生工作先进单位、湖北省信誉建设示范单位。学校办学环境优雅，现有占地面积96264.5，建筑面积71179.3。办学设施齐全（其中相当一部分设施具有当代先进水平甚至全国独有）校内建有材料检测、工程测量、桥梁工程、建筑工程施工、工程造价、计算机应用技能等6个实训基地；拥有水泥、集料、混凝土砂浆和沥青、力学、水力水文、电工等18个实验室的综合实训大楼、藏书14.8万余册的图书馆、1个能自动演示的桥梁施工模型室，1个职业技能鉴定站、20个现代化的多媒体教室、2个多媒体报告厅；拥有教学用微机710台，建有与Internet相连接的校园网络系统，实现了网络化管理。各种教学设施设备先进、齐全

4、。校内实验实训设备总值1767.6万元。学校十分重视对数字化教学资源管理和应用平台的建设，实现教学资源的“广泛共享、有效聚合、充分应用”，为实现了全校互连互通、资源共享，现有网络进行重新规划，进一步科学设计，打造安全、快速网络。二、需求分析学校构建信息化平台，着力提高信息化水平。加强对招生就业、学籍管理、教育教学制度管理、学生日常管理、财务、资产、人事等实行数字化管理，以保证信息的准确性和管理效率的提高。在教学资源共享平台上，为学生提供课程点播等服务，为教师提供共享教学资源等服务；在学籍管理信息平台上，使学生能够了解自己在校期间的理论学习、实训成果和就业招聘信息等，为学生提供高效服务。三、设计

5、原则（一）实用性校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。（二）安全性应能在可靠性的前提下，抵挡来自内部和外部的攻击；采用的安全措施有效、可信，能够在多层次上、以多种方式实现安全的控制。（三）可靠性校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，支持故障检测和恢复，可管理性强。（四）统一性在系统的设计过程中，坚持三统一，即统一规划、统一标准、统一出口。（五）先进性在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来

6、需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。四、方案规划（一）根据学校现状及发展方案的实施具体要求如下表所示：1对校区内所有楼栋进行有线所有网络覆盖2对图书馆、运动场进行无线覆盖3建设学校的OA、WEB、MAIL、学生管理、财务、教务、校产及一卡通等数字化应用系统； 4满足公安局实名上网的需求 5食堂、商店、运动场、图书馆等消费场所及身份认证场所接入校园一卡通；6要求校内主干网络千兆，接入教育网100M带宽,分配1个C的IPV4地址；IP地址范围为：125.220.160.1254、接入电信100M带宽7要求所有网络可管可控8信息点分布如下

7、：办公楼：100个 教学楼1：60个 教学楼2：60个 实验楼：80个 宿舍1： 500个 宿舍2 ： 600个 宿舍3：900个 家属楼： 150个 工厂：30个 图书馆： 30个及无线覆盖 运动场：无线覆盖（二）网络架构及网络拓扑结合现有学校基础架构及将来网络扩展要求，采用主干网络三层结构。拓扑如下图所示：（三）网络设备选择为了能提高效率和信息化水平，结合学校实际需求，合理选择如下网络设备。位置用户数量设备型号设备类型设备数量连接中心机房所有用户Cisco 2811出口设备1外接ISP服务商中心机房Cisco 3560-24核心交换机1多模光纤中心机房Cisco 3560-24DMZ区交换

8、机1多模光纤中心机房Cisco 3560-24服务器区交换1多模光纤汇聚光纤连入中心机房办公楼100Cisco 2960-48接入交换机2双绞线上联至汇聚Cisco 3560-24汇聚交换机1多模光纤教学楼160Cisco 2960-48接入交换机1双绞线上联至汇聚Cisco 3560-24汇聚交换机1多模光纤教学楼260Cisco 2960-48接入交换机1双绞线上联至汇聚Cisco 3560-24汇聚交换机1多模光纤实验楼80Cisco 2960-48接入交换机2双绞线上联至汇聚Cisco 3560-24汇聚交换机1多模光纤家属楼150Cisco 2960-48接入交换机3双绞线上联至汇聚

9、Cisco 3560-24汇聚交换机1单模光纤图书馆30Cisco 3560-48汇聚交换机1多模光纤AP20双绞线上联至汇聚工厂30Cisco 3560-48汇聚交换机1单模光纤运动场AP20双绞线上联至图书馆汇聚宿舍1500Cisco 2960-48接入交换机11双绞线上联至汇聚Cisco 3560-24汇聚交换机1单模光纤宿舍2600Cisco 2960-48接入交换机13双绞线上联至汇聚Cisco 3560-24汇聚交换机1单模光纤宿舍3900Cisco 2960-48接入交换机19双绞线上联至汇聚Cisco 3560-24汇聚交换机1单模光纤（四）用户IP 规划位置用户数量网络号主机

10、地址段网关地址用户VLAN管理VLAN办公楼100192.168.10.0192.168.10-12.1-253192.168.10-12.254VLAN10-12VLAN 2 10.10.1.0/24教学楼160192.168.11.0192.168.13.1-253192.168.13.254VLAN13教学楼260192.168.14.0192.168.14.1-253192.168.14.254VLAN14图书馆30192.168.15.0192.168.15.1-253192.168.15.254VLAN15实验楼80192.168.16.0192.168.16.1-253192.1

11、68.16.254VLAN16家属楼150192.168.17.0192.168.17.1-253192.168.17.254VLAN17工厂30192.168.16.0192.168.16.1-253192.168.16.254VLAN16宿舍1500192.168.111115.0192.168.111-115.1-253192.168.111-115.254VLAN111-115宿舍2600192.168.116121.0192.168.11621.1-253192.168.116-121.254VLAN116-121宿舍3900192.168.201209.0192.168.122-1

12、31.1-253192.168.122-131.254VLAN122-131无线20AP192.168.250.0192.168.250.1-192.168.250.20192.168.250.254VLAN250（五）内网路由IP 规划注：内网主干采用TRUNK +vlan路由实现单VLAN2任意结点管理位置设备类型设备型号设备上联端口设备上联本端地址上联的对端设备上联对端端口上联对端地址办公楼汇聚交换机Cisco 3560F0/1172.16.1.1核心交换机F0/1172.16.1.2图书馆汇聚交换机Cisco 3560F0/1172.16.3.1核心交换机F0/3172.16.3.2实

13、验楼汇聚交换机Cisco 3560F0/1172.16.4.1核心交换机F0/4172.16.4.2家属楼汇聚交换机Cisco 3560F0/1172.16.5.1核心交换机F0/5172.16.5.2教学楼1汇聚交换机Cisco 3560F0/1172.16.6.1核心交换机F0/2172.16.6.2教学楼2汇聚交换机Cisco 3560F0/1172.16.7.1核心交换机F0/6172.16.7.2工厂汇聚交换机Cisco 3560F0/1172.16.8.1核心交换机F0/7172.16.8.2运动场APAPWAN192.168.250.1图书馆汇聚交换机F0/24192.168.2

14、50.254图书馆apAPAPWAN192.168.250.2图书馆汇聚交换机F0/24192.168.250.254宿舍1汇聚交换机Cisco 3560F0/1172.16.2.1核心交换机F0/9172.16.2.2宿舍2汇聚交换机Cisco 3560F0/1172.16.9.1核心交换机F0/9172.16.9.2宿舍3汇聚交换机Cisco 3560F0/1172.16.10.1核心交换机F0/9172.16.10.2（六）顶层设备IP及公网IP规划设备名称设备型号设备上联端口设备上联本端地址对端设备型号对端端口对端地址路由器Cisco 2811F0/1125.220.160.1电信路由

15、器cisco2811F0/1125.220.160.254核心交换机cisco 3560F0/2410.10.10.1路由器cisco2811F0/010.10.10.254路由器Cisco 2811F0/1125.220.160.1电信路由器cisco2811F0/1125.220.160.254服务器区交换机cisco 3560G1/110.10.5.1核心交换机cisco3560G0/210.10.5.254DMZcisco 3560F0/110.10.4.10路由器cisco2811F1/010.10.4.254（七）服务器IP地址规划设备内网地址外网地址连接设备连接端口WEB服务器1

16、0.10.4.1/24125.220.160.2DMZ区交换机F0/2内网FTP服务器10.10.5.3/24无服务器区交换机F0/3数据服务器10.10.5.424无服务器区交换机G1/2OA10.10.5.2/24无服务器区交换机F0/2认证服务器10.10.5.5/24无服务器区交换机F05NAT设备除需静态映射的地址外的所有用户125.220.160.10-125.220.160.15电信路由器cisco2811F0/0（八）安全规则定义1DMZ区服务采用内外网只允许单80端口映射，其他服务禁访。2. 页面认证服务内网只允许单80端口访问。3. 文件服务器内网只允许只FTP服务访问。4

17、. 办公OA服务器开启所需服务，其它禁止访问。5. 数据服务器，远程禁访。（九）部分设备调试拓扑五、技术文档（一）出口路由器的配置文档Router#show runBuilding configuration.Current configuration : 1741 bytes!version 12.4no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryptionhostname Routerinterface FastEthernet0

18、/0 #设置端口IP ip address 10.10.10.254 255.255.255.0 ip nat inside duplex auto speed auto!interface FastEthernet0/1 #设置端口IP ip address 125.220.160.1 255.255.255.0 ip nat outside duplex auto speed auto!interface FastEthernet1/0 #DMZ端口IP ip address 10.10.4.254 255.255.255.0 ip nat inside duplex auto speed

19、 auto!interface Vlan1 no ip address shutdown!ip nat pool yuer 125.220.160.20 125.220.160.100 netmask 255.255.255.0 #PATip nat inside source list 1 pool yuer overloadip nat inside source static tcp 10.10.4.1 80 125.220.160.2 80 #静态映射ip classlessip route 192.168.10.0 255.255.255.0 FastEthernet0/0 #回指路

20、由ip route 192.168.111.0 255.255.255.0 FastEthernet0/0 ip route 192.168.112.0 255.255.255.0 FastEthernet0/0 ip route 192.168.250.0 255.255.255.0 FastEthernet0/0 ip route 192.168.15.0 255.255.255.0 FastEthernet0/0 ip route 10.10.5.0 255.255.255.0 10.10.10.1 ip route 192.168.11.0 255.255.255.0 FastEthe

21、rnet0/0 ip route 192.168.12.0 255.255.255.0 FastEthernet0/0 ip route 0.0.0.0 0.0.0.0 125.220.160.254 !access-list 1 permit 192.168.10.0 0.0.0.255 #ACL列表access-list 1 permit 192.168.11.0 0.0.0.255 access-list 1 permit 192.168.12.0 0.0.0.255access-list 1 permit 192.168.15.0 0.0.0.255access-list 1 perm

22、it 192.168.100.0 0.0.0.255access-list 1 permit 192.168.101.0 0.0.0.255access-list 1 permit 192.168.111.0 0.0.0.255access-list 1 permit 192.168.112.0 0.0.0.255access-list 1 permit 192.168.250.0 0.0.0.255access-list 1 permit 10.10.5.0 0.0.0.255access-list 1 permit 10.10.10.0 0.0.0.255line con 0line vt

23、y 0 4 loginend（二）核心交换机的配置文档hexin#show runBuilding configuration.Current configuration : 3152 bytes!version 12.2no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryptionhostname hexinip routinginterface FastEthernet0/1 switchport trunk encapsulatio

24、n dot1q switchport mode trunkinterface FastEthernet0/2 switchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/4 no switchport no ip address duplex auto speed autointerface GigabitEthernet0/

25、1 #设置端口IP no switchport ip address 10.10.10.1 255.255.255.0 duplex auto speed 100interface GigabitEthernet0/2 #设置端口IP no switchport ip address 10.10.5.254 255.255.255.0 ip access-group 101 out duplex auto speed 1000interface Vlan1 no ip address shutdowninterface Vlan2 #设置管理VLAN端口IP ip address 10.10.

26、1.1 255.255.255.0interface Vlan201 # VLAN设置IP ip address 172.16.1.2 255.255.255.252interface Vlan202 ip address 172.16.2.2 255.255.255.252!interface Vlan203 ip address 172.16.3.2 255.255.255.252ip classlessip route 192.168.10.0 255.255.255.0 172.16.1.1 #回指路由ip route 192.168.100.0 255.255.255.0 172.1

27、6.3.1 ip route 192.168.101.0 255.255.255.0 172.16.3.1 ip route 10.10.5.0 255.255.255.0 GigabitEthernet0/2 ip route 192.168.111.0 255.255.255.0 172.16.2.1 ip route 192.168.112.0 255.255.255.0 172.16.2.1 ip route 192.168.15.0 255.255.255.0 172.16.3.1 ip route 192.168.250.0 255.255.255.0 172.16.3.1 ip

28、route 192.168.11.0 255.255.255.0 172.16.1.1 ip route 192.168.12.0 255.255.255.0 172.16.1.1 ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1 #默认路由access-list 101 permit tcp any host 10.10.5.5 eq www #ACL列表access-list 101 permit tcp any host 10.10.5.3 eq ftpaccess-list 101 permit ip any host 10.10.5.4access-list 101 permit ip any host 10.10.5.2access-list 101 permit ip any host 10.10.5.1access-list 101 permit tcp any host 10.10.4.1 eq wwwline con 0line vty 0 4 #TELNET开启 password yuer loginend（三）汇聚办公楼的配置文档hj_bg#show runBuilding co