高校校园网设计与组建.docx

1、高校校园网设计与组建本 科 生 毕 业 论 文（设计）题 目： 高校校园网设计与组建 专 业： 考生姓名： 准考证号： 指导教师： 摘 要校园网是学校信息化教学环境的基础设施，是全面实现素质教育的重要手段，是教育技术装备现代化的主要体现，同时也是教育现代化的重要标志之一。校园网建设的目的是为全校师生提供一个先进，开放，实用的计算机网络环境。本文主要是探讨高校校园网组建的设计方案、技术原理和网络安全解决方案，着重是网络安全方案。从前期的IP地址规划、Vlan划分、核心层、分布层、接入层物理链路规划，到链路聚合、虚拟路由冗余、防火墙、网络监控管理等高级网络技术的选用，深入介绍了一个网络从无到有的设

2、计组建的全过程。更详细介绍了网络的分层设计思想和规划设计以及在设计中采用到的各种技术原理，并简略介绍了网络建成后期管理、维护、安全与应用等方面的内容，重在组建一个高速、稳定、安全的校园网络环境。以往的校园网络组建，重视资金投入少、高速、稳定的网络环境，而往往忽略网络安全，随着信息化程度的提高，极大地促进了教育事业的发展，但是随之而来的却是信息安全问题，近期当当网、京东网、淘宝网等多家知名大型网站用户账户信息遭泄密，几十万条用户信息被黑客窃取。高校校园的用户群量大，保护用户信息安全成为不可避免的重大问题，也是急需解决的问题。此外，各生厂商设备技术实现手段和配置命令有所不同，本文重点讨论如何规划设

3、计组建网络、网络的分层设计以及一些技术原理，不涉及具体设备厂商和配置命令，不受设备限制，能适用于更多的校园平台。并在仿真模拟器上测试通过，所有的设备在实施配置后按规划要求工作，与真实环境无异。关键词：校园网 ； 网络设计； 网络技术；校园网络安全；AbstractThe campus network is the information technology infrastructure for teaching and learning of a school, it is an important means for the full realization of higher-quali

4、ty education, and mainly reflected the modernization of technical equipment, also an important symbol of modernization of education. The purpose of building a campus network is providing an advanced, open, practical computer network for teachers and students in this campus.This paper is to explore t

5、he campus network design and technical principle, we discussion on the advanced network technology, including IP address planning, Vlan division, the core layer, the distribution layer, access layer and physical link, link aggregation, virtual router redundancy, firewall, network monitoring and mana

6、gement etc, Especially in the hierarchical network and planning design, and some technical principle used in the design, also a brief introduction into the latter part of the network management, maintenance, security and application aspects, focusing on building a secure , stable and high-speed camp

7、us network.In addition, different configuration commands are used in different equipment, this article focuses on how to establish the network with planning and design, and hierarchical design or some technical principle, does not involve a specific equipment manufacturers and configuration command,

8、 that means it is not restricted by the device, and can be applied to more campus platform. We have finished testing in the simulator, all the equipment worked as is expected, as the real environment is.Keywords: Campus network ; Network design ; Network technology目 录第一章 前言 5第二章 设计环境介绍 62.1 网络设备介绍 6

9、2.2 Packet Tracer软件介绍 6第三章 网络拓扑设计 73.1 需求分析 73.2 设计目标和要求 73.3 全网拓扑图设计 83.4 网络分层设计及介绍 83.4.1 核心层功能介绍 93.4.2 分布层功能介绍 103.4.3 接入层功能介绍 10第四章 全面部署 124.1 技术需求 126.1.1 网络系统 126.1.2 服务器系统 126.1.3 布线系统 126.1.4 设备的故障恢复及设置 124.2 IP地址和VLAN划分 136.1.1 IP地址分配原则 136.1.2 vlan设计和划分 146.1.3 校园网IP地址和VLAN的具体分配 144.3 核心层

10、部署 156.1.1 核心层子拓扑图 156.1.2 链路聚合 156.1.3 虚拟路由器冗余设计 164.4 分布层部署 176.1.1 分布层子拓扑图 176.1.2 分布层冗余设计 174.5 接入层部署 18第五章 系统设计 19第六章 网络的安全和管理设计 215.1 防火墙 215.2 划分vlan及应用ACL 225.3 防雷、防静电和防盗措施 225.4 网络监控 225.5 网络管理 225.6 带宽管理 235.7 用户管理 235.8 网络维护 23第七章 校园网网络安全解决方案 236.1 案例分析：xxx大学校园网网络安全解决方案 246.1.1 网络简况 246.1

11、.2 系统分析 256.1.3 方案实施 27第八章 结 论 29第九章 总结 30第十章 主要问题及其解决办法 31参考文献 32致谢 33第一章 前言校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及 Internet 技术等为基础建立起来的计算机网络。一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、 管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具，是

12、为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点，校园网必须有大量先进实用的应用软件来支撑，软硬件的充分结合是校园网发挥作用的前提。随着计算机多媒体和网络技术的不断发展与普及，校园网信息系统的建设，是非常必要的。所谓校园网指校园内计算机及附属设备互联运行的网络，是由计算机、网络技术设备和软件等构成的为学校教育教学和管理服务的集成应用系统，并可通过与广域网的互联实现远距离信息交流和资源共享。校园网主要是根据不同的配置情况用于办公、教学、学生、教师家庭上网之用，建立办公自动化系统和综合多媒体教室。配合当前的教学发展情况，完成学校内部 Intranet的配套基础建设，形成一个流畅、合理

13、、可靠、安全的校园网。本文主要是探讨高校校园网组建的设计方案和技术原理，从前期的IP地址规划、Vlan划分、核心层、分布层、接入层物理链路规划，到链路聚合、虚拟路由冗余、防火墙、网络监控管理等高级网络技术的选用，深入介绍了一个网络从无到有的设计组建的全过程。更详细介绍了网络的分层设计思想和规划设计以及在设计中采用到的各种技术原理，并简略介绍了网络建成后期管理、维护、安全与应用等方面的内容，重在组建一个高速、稳定、安全的校园网络环境。第二章 设计环境介绍2.1 网络设备介绍基本的网络设备有：计算机（无论其为个人电脑或服务器）、集线器、交换机、网桥、路由器、网关、网络接口卡（NIC）、无线接入点（

14、WAP）、打印机和调制解调器等等。在校园网中主要用到的网络设备是路由器和交换机等等。路由器是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。（计算机网络基础与实训第71页）。交换机是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。交换机可分为二层交换机、三层交换机及多层交换机等等。交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能，如对VLAN（虚

15、拟局域网）的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能常见网络设备生产商有：思科系统公司、华为技术有限公司、华三通信技术有限公司、锐捷网络、神州数码网络有限公司、D-LINK (友讯集团)、TP-Link（深圳市普联技术有限公司）等等。各厂商设备配置命令不尽相同，本文重点讨论如何规划设计网络、网络的分层设计以及一些配置原理，不涉及具体设备厂商和配置命令。2.2 Packet Tracer软件介绍Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网

16、络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。软件还附带4个学期的多个已经建立好的演示环境、任务挑战，目前最新的版本是 Packet Tracer 5.5。它支持VPN，AAA认证等高级配置。Packet Tracer模拟软件内嵌了Cisco设备IOS，其配置过程与真实设备无异。在此我们将使用Packet Tracer来制作校园网的拓扑图。第三章 网络拓扑设计3.1 需求分析XX大学现有10000人左右在校学生，需要在所有楼宇间组建网络，而且楼宇与楼宇之间需要相互通讯。校园网用户主要分布在教学楼区的15栋楼和宿舍区的13栋宿舍楼

17、。用户主要包括教师、教师家庭和学生，对于校园网的使用主要是网页浏览、观看视频、上传资料和文件下载等等，同时必须满足计算机教学科研、行政办公需要，并提供丰富的计算机软硬件系统资源。要坚持以学校具体需求为校园网信息系统方案设计的根本和前提，同时，也要注重源于需求又高于需求的原则，注意用专业化的技术思想来进行校园网的规划与设计，确保校园网的实用性、通用性、先进性和便于扩展性。3.2 设计目标和要求1）日常应用。满足计算机教学科研、行政办公、学生日常上网需要。2）高速合理。能按照实际情况调整网络带宽，以便更合理利用现有带宽。3）安全稳定。保障网络不因偶然的或者恶意的原因而遭受到破坏和数据不被更改、泄露

18、，系统连续可靠正常地运行，网络服务不中断。4）冗余备份。学校网络系统要确保整个计算机网络系统的可靠性、安全性，具有一定的冗余。5）管理维护。具有完善的网络管理和监控系统，对网络故障能迅速定位修复。6）可扩展性。要保证实用和技术先进，便于非计算机专业人员使用，并能不断满足学校未来业务发展的需要，具有很强的扩展能力和升级空间。3.3 全网拓扑图设计图3-3：全网拓扑设计3.4 网络分层设计及介绍基于交换技术的层次模型主要由2层和3层交换机组成，这种网络由于统一采用交换机构建。因此结构简单，近年来，交换机性能提高很快，而且价格也越来越低廉，十分适合校园网这种中小型局域网的建设。图3-4：网络分层设计

19、思想 从逻辑上，大型网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点可以总结为如下几点： 性价比好：采用层次化模型后，核心层采用高端网络设备，分布层采用中端网络设备，而接入层采用低端设备。这样既保证了整个网络的合理搭配和性能。又获得了最合理的性能价格比。可靠性好：层次化模型对各层应用了各种可靠不同的网络拓扑结构。用户可以根据自身网络对可靠性的要求来选择特定的网络结构，并对不同的网络层次采用不同的可靠性策略。可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设

20、计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。3.4.1 核心层功能介绍核心层主要高速处理数据流，提供节点与节点之间的高速数据转发，优化传输链路，并实现安全通信。核心层是所有流量的最终汇聚点和处理点。结构相对简单，但是对核心层设备的性能要求十分严格。在本校园网设计中，核心层采用星型拓扑结构。它的优点是网络结果较为简单，实现了设备冗余和链路冗余，这提高了网络的可靠性，也可以很好地进行网络负载平衡。核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠

21、性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层需要考虑冗余设计。核心层为下两层提供优化的数据输运功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等)，否则会降低数据包的交换速度。3.4.2 分布层功能介绍分布层是核心层与接入层的分界面，主要提供基于策略的网络连接，负责路由聚合，收敛数据流量，将网络服务连接到接入层，还可以屏蔽接入层变化对核心层的影响。分布层大多选用3层交换机，也有少部分选择2层交换机。分布层提供基于统一策略的互连性

22、，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，分布层主要提供如下功能： 地址的聚集 部门和工作组的接入 广播域/多目传输域的定义 Inter VLAN路由 任何介质的转换 安全控制3.4.3 接入层功能介绍为用户提供网络访问功能，并负责将网络流量馈入到汇聚层，执行用户认证和访问控制，并提供相关网络服务。在局域网设计中，接入层网络结构应当采用通用的星型拓扑结构。为了降低网络成本，接入层一般很少采用冗余链路。为了简化网络和降低成本，接入层一般不提供路由功能，也不进行路由信息交换。接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的

23、调整，如Access-list Filtering等。在园区网络环境中，接入层主要提供如下功能： 带宽共享（Shared Bandwidth） 交换带宽（Switched Bandwidth） MAC层过滤（MAC Layer Filtering(possibly)） 微分网段（Microsegmentation）第四章 全面部署4.1 技术需求6.1.1 网络系统本校园网方案建成以后，应能充分利用先进的计算机技术和网络通信技术把学校所有的单机用户连接起来，在有效利用现有资源的基础上，实现教学、财务、行政的计算机管理，方便地为全校师生提供信息浏览、文件传输、电子邮件等服务。这对网络性能特别是网

24、络带宽提出了更高的要求。校园网工程采取交换式快速以太网技术，全部实现 100M 交换到桌面。工程中将校园网主干定位为千兆或者更高，具体技术视工程实施时的网络技术发展而定。可通过路由器与 CERNET 和 Internet 介入。在校园中，校园网的互联网出口带宽为:中国电信100M 光纤 6 条，教育网千兆光纤 1 条。6.1.2 服务器系统服务器系统应能代表当今计算机的最新技术，具有最先进的 CPU 技术，非常快的计算速度，能快速、准确地处理大量复杂的数据，并具有优良的性能价格比。更为重要的是，它应具有长远的生命期和易扩展性，能适应校园网络不断增长的需求，以最小的投资，产出最大的效益。校园网工

25、程采取配备多台服务器分担负荷的方案。6.1.3 布线系统布线系统要符合结构化布线国际标准，能适应各种不同的网络，还要具有先进性，争取 在 10-15 年之内不落后。Lucent 布线系统是当今国际上最流行的结构化布线系统之一，它 不仅质量卓越，价位合理，而且提供 15年质保。 本方案全面采用 Lucent 产品。网络主干采用光纤，其他链接介质采用超五类双绞线布线。6.1.4 设备的故障恢复及设置交换机等网络结点关键设备必须具备冷/热备份能力。关键结点设备运行中出现故障后，能够有效、及时地恢复。基本配置的终端方式操作要简单，结点内部的配置内容可以通过笔记本电脑采用 TCP/IP 协议下载保存、或

26、是上传恢复。4.2 IP地址和VLAN划分在TCP/IP网络中，每一台设备都需要用IP地址唯一标识。IP地址的规划应符合标准，还应由规律、易记忆、易于扩展、便于路由组织。IP地址大致可以分为两类：全球地址和专用地址。全球地址在因特网中使用。专用地址在内部网络中使用，只能通过代理服务器或者地址转换设备才能与因特网通信。RFC1918定义了专用IP地址的范围，具体如下：A类：10.0.0.010.255.255.255 ；B类：172.16.0.0172.31.255.255 ；C类：192.168.0.0192.168.255.255 。上面的专用地址不会分配给因特网上的任何网络，因此可以自由的

27、选择这些网络地址作为校园网的内部地址（机械工业出版社，王文东，网络工程，第97页）。6.1.1 IP地址分配原则为了方便管理和路由组织，采用了以下IP地址分配原则：）采用无分类编址技术（CIDR）和可变长子网掩码技术（VLSM）。例如，宿舍区由于用户较集中，密集程度高，我们可将多个C类地址合并成使用。）根据网络IP地址需求情况，将IP地址划分成大块，例如可以按照建筑物划分，或者按照部门为单位划分。要求一个IP对应一个或者若干个分布层设备的管理范围。）对应每个IP地址块，按照楼层或者小部门可进行二次划分。）在进行工作组的详细IP地址分配，例如具体工作站地址、打印机的地址等。）从整个IP地址空间中

28、选取一段（例如一个类IP地址），作为网络设备互连和管理IP地址。）对各工作组网段，建议不要超过255台主机。6.1.2 vlan设计和划分在校园网中，合理设计和划分vlan非常关键，一个合理的vlan设计可以有效地保证网络的安全性，减少广播风暴，提高网络的运行效率。目前，在本校园网中，可将每一栋楼（或部门）划分成一个个相互独立的vlan。这里就将每栋楼划分成一个独立的vlan，学生宿舍楼用户密集度较大，如有需要，可划分多个vlan。交换机上的vlan划分我们采用基于端口划分vlan的方式。这种方式划分比较简单，而且同一vlan可以跨越数个以太网交换机，容易操作，此外，一个vlan一般对应一个I

29、P子网。为了方面网络管理人员管理，可将vlan号对应IP地址段来划分。6.1.3 校园网IP地址和VLAN的具体分配经过对网络环境设备等的研究，决定采用由 DHCP 服务器分配 IP 地址，在服务器中建立IP地址数据库，局域网中的客户机通过动态分配的方式从DHCP服务器中获取IP地址、网关等参数。对IP地址的分配，首先确定IP网段的分配。表4-1-3为校园网地址的具体IP地址分配。表4-1-3 IP地址和vlan具体分配编号单位名称主机数目IP地址范围子网掩码VLAN1宿舍楼1栋1层约290192.168.11.0255.255.254.0112宿舍楼1栋2层约290192.168.12.02

30、55.255.254.0123宿舍楼1栋3层约290192.168.13.0255.255.254.0134宿舍楼2栋1层约290192.168.21.0255.255.254.0215宿舍楼3栋1层约290192.168.31.0255.255.254.0316宿舍楼10栋1层约290192.168.101.0255.255.254.01017科技楼约127192.168.181.0255.255.255.01818行政楼约97192.168.182.0255.255.255.01829图书馆约79192.168.183.0255.255.255.018310教学楼1栋约80192.168.

31、201.0255.255.255.020111教学楼2栋约85192.168.202.0255.255.255.020212教学楼3栋约79192.168.203.0255.255.255.020313教学楼4栋约70192.168.204.0255.255.255.020414机房1约130192.168.211.0255.255.255.021115机房2约96192.168.212.0255.255.255.021216机房3约95192.168.213.0255.255.255.0213在确定了IP网段之后，每个部门在对具体的网络设备和计算机进行地址分配。设备的地址分配可以使用顺序分配和地址分块两种方法。4.3 核心层部署6.1.1 核心层子拓扑图图4-2-1 核心层子拓扑图核心层主要