计算机网络课程设计中国石油大学校园网设计finishWord格式文档下载.docx

1、由于计算机网络的特殊性，网络建设需要考虑以下因素：系统的先进性、系统的稳定性、系统的可扩展性、系统的可维护性、应用系统和网络系统的配合度、与外界网络的连通性以及建设的成本等问题。1、 选择高带宽网络设计校园网应用具体要求决定了网络必须采取高带宽网络。多媒体课件包含了大量的声音、图像和动画信息，需要高带宽网络通信能力的支持。在构建校园网时，不能由于网络传输速率不足，而影响整个网络的整体性能。所以要尽可能的采用最新的高带宽网络技术。2、 选择可扩充的网络架构校园网的用户数量或者服务功能是逐渐提高的，网络技术日新月异，新技术新产品不断涌现。一般情况下，校园网的建设资金用量非常大，对于小小来说，办学资

2、金相对紧缺，所以在校园网构建方面，适合采用当时最新的网络技术，结合学校的财力，实行缝补实施，循序渐近。这就要求在网络架构上选择具有良好可扩展性能的网络互连设备，有效的利用现有的投资，并可持续发展。3、 充分共享网络资源组建计算机网络的主要目的就是实现资源共享。资源共享包括硬件资源、软件资源。网络用户通过网络不仅可以实现文件共享、数据共享，还可以通过网络实现设备的共享，如打印机、扫描仪等。4、 网络可管理性降低网络运营成本和维护成本是网络设计中必须考虑的一个环节。只要在网络设计时选用支持网络管理功能的网路设备，才能将来降低网络运行即维护成本打下坚实的基础。5、 网络系统和应用系统的整和校园网构建

3、了学校内部数据的通路，为应用系统发挥更大的作用打下了基础。网络系统和应用系统要能够很好的融合，才能发货校园网的效率和优势，构建校园网的目的并不是只为了人们浏览Internet的方便。校园网要能够为学校图书资料管理、网络考试、档案管理、学生系统等提供技术的支持和帮助。应用系统能在网络平台上与硬件平台很好的集合，才能发挥出网络的优势。6、 建设成本考虑校园网工程在建设方面都希望成本较低，整个网络系统有较高的性价比，所以在设备选型等方面选用性价比较高的网络产品。7、 高可靠性网络要求高可靠性、高稳定性和足够的设备冗余和备份，防止因局部故障引起整个网络系统的瘫痪，避免网络上出现单点失效的情况。所以在网

4、络干线上要提供备份链路，在网络设备上要提供适当的冗余配置。采用各种有效的安全措施，保证网络系统和应用系统安全运行。综合上述分析，中国石油大学校园网系统的架构为，各主要楼节点的交换机分别用光纤与网络中心的中心交换机相连，构成校园千兆以太网主干网络，各节点交换机至桌面采用超5类双绞线100Mbps交换。第二章 用户需求分析2.1网络功能性需求分析中国石油大学校园网系统用户为教师和学生。这些用户对网络需求教师和学生，高速、无阻塞等访问网络。满足教师办公信息化、办公自动化、多媒体应用质量。满足学生之间的资源共享，学生与老师之间的资源共享，以及老师对学生的可管理性。具体可分为以下几点：（1） 连接校内所

5、有教学楼、实验楼、办公楼中的PC机；（2） 同时支持约5000用户浏览Internet；（3）提供丰富的网络服务，实现广泛的软硬件资源。2.2网络非功能性需求分析网络非功能性需求为网络本身的需求，即和用户没有之间关系。对于本校园网系统需要有网络操作系统、校园网数据库系统以及客户端操作系统。网络操作系统采用Windows 2008 Server作为网络操作系统，具有性能可靠、支持完善、升级稳定、维护方便、界面友好、配套软件多、易于学习等特.Windows 2008 Server操作系统可以很容易的实现文件共享、打印共享以及系统中的账户管理。校园网数据库系统使用Microsoft SQL Serv

6、er2005进行设计与管理，可以方便同意的对整个数据库进行操作、修改、管理和维护。客户端操作系统最常用的为Windows XP，由于近期微软停止了对Windows XP的支持服务，所以客户端操作系统采用Windows 7操作系统。2.2.1网络拓扑结构需求分析中国石油大学校园网系统的架构为，各主要楼节点的交换机分别用光纤与网络中心的中心交换机相连，构成校园千兆以太网主干网络，各节点交换机至桌面采用超5类双绞线100Mbps交换。整个网络设计采用分层的结构，主要为核心层和接入层。2.2.2网络性能需求分析校园网面向的是整个学校的教师和学生，所以必须采用高性能的网络设备。无论从主干线路到接入线路，

7、都采用宽带设备，留足够的裕量，使网络的性能与目前新兴的高速网络相兼容，以达到最好的效果。2.2.3网络可靠性需求分析校园网的用户数量庞大，信息量更大。由于人们对网络的依赖性越来越强，作为网络的服务和运营商来讲，保障网络不间断的运行和使用是十分重要的，所以网络设备需有备用电源供电，保证网络设备不间断运行。2.2.4网络安全需求分析校园网的的安全性是非常重要的，网络的安全性分为物理安全和虚拟安全，物理安全为设备本身的故障或者操作错误，虚拟安全只网络对病毒和攻击的防护性。随着网络安全问题的日益突出，网络安全是网络建设当中不可缺少的一部分。第三章 网络拓扑结构设计3.1网络拓扑结构针对需求分析以及网络

8、接入点数目流量分析对网络性能提出了很高的要求，为此采用吉比特以太网组网方案。根据层次化网络设计原则，在链路方面核心层与分布层之间链路带宽达到1000Mbps，部分链路中，如网络中心至主教学楼，网络中心至学生宿舍区应采用1000Mbps*2的链路带宽。分布层与接入层之间采用100Mbps链路带宽接入方式，部分流量集中接入点采用1000Mbps链路带宽。设备方面，为了保证网络的高性能、高可靠性，核心层采用世界第一大网络厂商Ciso Catalyst生产的6500系统高档多层交换机6504-E。分布层仍然是大量数据集中点，所以采用Ciso Catalyst 4500系列中档三层交换机WS-C4506

9、，接入层因为数据相对较少，采用性能比较好的WS-C2960-48TC-L交换机。具体网络拓扑结构如图1所示。图1 网络拓扑结构 网络采用星形结构，2台CISCO的6500系列交换机作为局域网的主干交换机，6504采用千兆级以太网体系结构。双引擎，双电源，多个扩充插槽，这种体系结构交换容量达到96Gps，吞吐量高达72Mbps，因而可以提供建立大型交换机内部网络的扩展性、灵活性和冗余性。3.2网络硬件结构核心层设置一个核心节点，建在中心机房。核心交换机处于网络的核心位置，不仅是网络的核心，还是数据中心服务器的核心交换机，应该具有高性能的吞吐量，线速的交换能力，强大的应用功能，还要有足够的扩展能力

10、。本方案建议采用一台核心交换机，都能够提供不小于64Gbps的无阻塞线速交换能力，达到48Mpps的包转发能力，提供至少4个接口模块插槽。有多种高带宽接口模块选择。配置至少12个多模千兆光口，分别连接接入层节点交换机。每台配置一个24口100Base-T百兆以太网接口模块，用于连接应用服务器、防火墙等。接入层共有12个接入节点，每层2个，分布在各个楼层，接入层交换机应具有线速的交换性能，千兆上联端口，并且能支持多模光纤和单模光纤，应该有足够的10/100M端口。根据接入节点接入端口的需求不同，可分别提供24口或者48口10/100M自适应以太网接口的交换机。1、中心区接入点下面是每个接入节点的

11、具体配置。（1）一楼一楼接入终端设备采用多模千兆光纤链路连接中心节点交换机，需要67个10/100Base-T端口。配置二台48口交换机，提供96个10/100Base-T接入端口；配置两个1000Base-SX短距离多模千兆光口，分别上联中心区汇聚节点交换机。（2）二楼二楼接入终端设备采用多模千兆光纤链路连接中心节点交换机，需要102个10/100Base-T端口。配置一台48口交换机，提供48个10/100Base-T接入端口；配置一个1000Base-SX短距离多模千兆光口，上联中心区汇聚节点交换机。同时再配置一台24口和一台48口交换机，提供70个10/100Base-T接入端口；（3

12、）三楼三楼接入终端设备采用多模千兆光纤链路连接中心节点交换机，需要120个10/100Base-T端口。配置一台48口和一台24口交换机，提供70个10/100Base-T接入端口；同时再配置一台48和一台24口交换机，提供70个10/100Base-T接入端口；（4）四楼四楼接入终端设备采用多模千兆光纤链路连接中心节点交换机，需要150个10/100Base-T端口。配置二台48口交换机，提供94个10/100Base-T接入端口；同时再配置一台48口和一台24口交换机，提供70个10/100Base-T接入端口；（5）五楼五楼接入终端设备采用多模千兆光纤链路连接中心节点交换机，需要137个

13、10/100Base-T端口。（6）六楼六楼接入终端设备采用多模千兆光纤链路连接中心节点交换机，需要160个10/100Base-T端口。同时再配置二台48口交换机，提供94个10/100Base-T接入端口；配置一个1000Base-SX短距离多模千兆光口，上联中心区汇聚节点交换机3.3网络地址规划中国石油大学校园网络属于区域性的网络，具有一定的独立性。建议在网络内部采用10.0.0.010.255.255.255，或者192.168.0.0192.168.255.255网段保留地址。IP地址分配的原则1简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式。2连续性：为同一个网络区域分

14、配连续的网络地址，便于采用SUMMARIZATION及CIDR（CLASSLESSINTER-DOMAINROUTING）技术缩减路由表的表项，提高路由器的处理效率。3可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机量增加时仍然能够保持地址的连续性。4灵活性：地址分配不应该基于某个网络路由策略优化方案，应该便于多数路由策略在该地址分配方案上实现优化。5可管理性：地址的分配应该有层次，某个局部变动不要影响上层、全局。6安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。IP地址的规划从管理、运营维护方面考虑，根据不同的用户分配不通的IP地址段，对于不同应用的用户或不同权

15、限的用户，分配不同的网段。例如，需要访问Internet的用户分配10.x.x.x网段的IP地址，不需要访问Internet的用户分配192.168.x.x网段的IP地址，这样非常容易区分和控制这些用户，采用对此网段的限制即可限制用户的访问。再如网络设备的互联IP地址和管理IP地址采用单独的一个IP网段，加强了网络设备的安全性。下面以10.x.x.x网段为例，说明划分IP地址的方法，在具体实施时，可以对不同的用户换用不同的IP地址网段。将IP地址10.X.X.X划分出三个部分：（1）网络设备和设备互联IP地址段，网络设备包括核心节点设备、接入层设备、服务器等。共有一个核心节点，20多个接入层节

16、点。考虑将来的网络的扩展。核心层的VLAN地址为对应VLAN的第一个地址，比如10.1.1.1等等，依次类推。接入层设备的IP地址为对应VLAN的最后240后的IP地址，比如10.1.1.254等等，依次类推。（2）服务器和管理员IP地址段，考虑将来的网络的扩展，预留服务器和管理员网段10.1.0.010.10.0.0（3）天各单位的IP地址段，系统内部单位较多，考虑将来的发展。小的单位分配1-2个C类地址段。大的单位分配4-5个C类地址段。分配地址段为10.11.0.0以后的网段。按地理位置和网络拓扑结构，以每个接入节点为一个区域，将各单位分厂的用户IP地址段分成5个部分。保证以每个核心节点

17、为中心，接入设备和接入用户的IP地址有一定的连续性。第四章 网络性能设计网络性能是指网络对用户的使用性能指标。网络性能一般分为以下几点：（1）抗毁性是指系统在人为破坏下的可靠性，例如部分线路或者节点失效后，系统是否能提供一定程度的服务。（2）生存性是在随机破坏下系统的可靠性。随机性破坏是指系统部件因为自然老化等造成的自然失效。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效的情况下，满足业务性能要求的程度。提高网络系统可靠性的方法，除了保证系统本身的质量和规范的管理外，网络设计中主要是设计冗余部件，即构建网络系统

18、的备份体系，增强系统的容错能力。在信息系统中，完整的备份体系还应该包括运行环境备份、业务数据备份、备份策略和恢复方案。下面对具体需求进行论述：教学区：主教学楼学院的教学中心，内包括计算机机房、多媒体教室等。根据上述情况采用1台CISO WS-4507三层高性能交换机通过双1000Mbps口连接中心CISO 6504交换机。对于学院校内网成本的考虑，采用多台性价比较高的CISCO WS-C2960交换机做为接入。为接入多个计算机机房在机房交换机与分布层之间使用捆绑技术将三根百兆捆绑并在相应端口开启全双工通信模式。学生公寓：每个楼层都超过了24个宿舍，所以放置一台48口的CISCO WS-C296

19、0作为接入设备，然后上连千兆端口，完全支持1000人的数据交换。公寓12栋，一栋六层，需72台交换机。教师宿舍：公寓六栋，一栋六层，共需36台交换机。第五章 网络可靠性设计网络的安全运行，对信息网网络的可靠性提出了很高的要求。特别随着各部门的信息化、数字化办公，可以说一旦网络服务器等中断，将会使整个办公陷于瘫痪，引起严重的后果。因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成，即网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成，在其它系统建议中说明；网络的可靠性则包括网络拓扑组网结构的可靠性及组

20、网设备可靠性，下面对政务信息网中网络的可靠性设计进行说明。1、采用分布式体系结构：分布式体系结构是提高可靠性的基础，与集中式体系设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。而且，分布式体系结构可以提高组网的物理可靠性，如在城域网环网组网中，每个骨干节点都有两条GE接口与相邻的两个节点互联，从路由上提高了可靠性。但如果是集中式体系，则当节点设备出现故障时，这个节点

21、两个GE口都会失效，造成节点所带网络的中断；而采用分布式结构时，可以将这两个接口分别配置到不同的接口板上，这样，无论这台设备的管理单元、交换转发单元，还是单一接口出现故障，都可以保证至少有一条路径是连通的，该节点网络都不会中断。2、关键部件冗余：采用分布式体系下，对设备的关键部件，如主控管理单元、交换转发单元等，进行冗余构造配置，保证系统在工作中不会全部失效。3、实时热备份机制：在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。4、热插拔特性：设备任意单板需要支持热插拔特性，保证系统出现故障

22、需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的724小时不间断运行。5、冗余电源支持：冗余电源负载分担及备份供电可保障系统具有可靠的能量源。6、散热系统：散热系统使设备长时间运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。具备这些特性的网络设备是保障网络高可靠运行的基础。第六章 网络安全设计随着网络的快速发展，网络也成为计算机病毒传播的一个重要途经，采取有效方法，防止网络病毒传播是现在网络安全的一个重要方面。内部办公系统网络是一个较大规模的系统。整个网络和外部隔离，其网络中心有多台服务器。网络上连接的PC机有800台左右。对于这样大的一个

23、用户群，非常需要一个整体的防病毒方案来保护整个网络的安全和稳定运行。通过对网络系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即，可用性：授权实体有权访问数据机密性：信息不暴露给未授权实体或进程完整性：保证数据不被未授权修改可控性：控制授权范围内的信息流向及操作方式可审查性：对出现的安全问题提供依据与手段访问控制：需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的L

24、AN或网段进行隔离，并实现相互的访问控制。数据加密：数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计：是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容，一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断；二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏针对企业现阶段网络系统的网络结构和业务流程，结合企业今后进行的网络化应用范围的拓展考虑，企业网主要的安全威胁和安全漏洞包括以下几方面：（1）内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员（或外部

25、非法人员利用其它部门的计算机）通过网络进入内部网络，并进一步窃取和破坏其中的重要信息（如领导的网络帐号和口令、重要文件等），因此这种风险是必须采取措施进行防范的。（2）搭线（网络窃听）这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息（尤其是敏感信息）的内容。对企业网络系统来讲，由于存在跨越INTERNET的内部通信（与上级、下级）这种威胁等级是相当高的，因此也是本方案考虑的重点。（3）假冒这种威胁既可能来自企业网内部用户，也可能来自INTERNET内的其它用户。如系统内

26、部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。（4）完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/3数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息，从而影响工作的正常进行。（5）其它网络的攻击企业网络系统是接入到INTERNET上的，这样就有可能会

27、遭到INTERNET上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。（6）管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术认识不足，很容易使安全设备/系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。由于网络安全产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使安全设备能够尽量

28、发挥其作用，避免使用上的漏洞。（7）雷击由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。因此，为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏，有必要对整个网络系统采取相应的防雷措施第七章 网络物理设计7.1网络传输介质的选择无屏蔽双绞线UTP（UnshieldTwistedPair）可用于所有配线子系统，可传输70V以下几乎所有的弱电信号，包括数据、语音、控制和图像信号等，是结构化布线的基础介质。采用先进的平衡式传输方式，利用差值传送，减少了外界的干扰，与以往的同轴电缆和屏蔽双绞线相比大大提高了抗干扰能力。分