校园局域网设计方案.docx

1、校园局域网设计方案xxxxx 幼儿园校园局域网沧州市感知物联网络工程有限公司2014年8月1日一 、前言 3二、学校需求分析1、用户目标 4三、设计需求分析四、网络总体设计方案 51、网路构架分析2、 设计思路 63、网络方案设计原则 64、网路结构概述及拓扑结构图 7错误! 未定义书签5、Vlan 的划分及 IP 地址的规划 86、IP 划分 、分配 五、设备选型1、防火墙 152、中心数据交换机 153、接入交换机4、无线 AP前言随着计算机、通信和多媒体技术的发展，使得网络上的应用更加丰富。同时 在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要 一个高速的、具有先进

2、性的、可扩展的校园计算机网络以适应当前网络技术发展 的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们 关注。学校领导、广大师生们已经充分认识到这一点，学校未来的教育方法和手 段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展 网络化教学，开展教育信息服务和远程教育服务等将成为未来建设的具体内容。 城市职业学院网将实现与校内各部门进行通信，城市职业学院大学校园网将为学 校的科研、教育、管理提供必要的技术手段，为研究开发和培养人才建立平台， 以此加快学校的发展，成为一个具有示范性的学校。、学校需求分析1、用户目标校园网必须要具备教学、 管理和通讯这几大必要

3、的功能。 以便供应教师能 够方便地浏览和查询网上资源， 进行教学； 学生可以方便地浏览和上网查询资 料；还有学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产 等进行综合管理， 同时可以实现各级管理层与层之间的信息数据交换， 实现网 上信息采集和处理的自动化，实现信息和资源设备的共享，因此，校园网的建 设必须有明确的建设目标和明确的构建思路。 校园网最终必须是一个集计算 机网络技术、 多项信息管理、 办公自动化和信息发布等功能于一体的综合信息 平台，并能够有效促进现有的管理体制和管理方法， 提高学校办公质量和效率， 以促进学校整体教学水平的提高。三、设计需求分析邮件服务器、 WEB服

4、务器、 FTP服务器、数据库服务器、数据存储服务器。千兆光纤系统（用于楼宇之间）、 5 类双绞线（用于楼宇内），路由器 一台、 防火墙一台、中心交换机两台、 工作组交换机多台（要接入校园网的各个教室， 学生休息室，位于分配线柜）。四、网络总体设计方案1、网络构架分析采用千兆以太网技术，具有高带宽 1000Mbps 速率的主干， 100Mbps 到桌面， 运行目前的各种应用系统绰绰有余，还可轻松应付将来一段时间内的应用要求， 且易于升级和扩展，最大限度的保护用户投资； 根据校园网络项目，我们应该 充分考虑学校的实际情况，注重设备选型的性能价格比，采用成熟可靠的技术， 为学校设计成一个技术先进、灵

5、活可用、性能优秀、可升级扩展的校园网络。考 虑到学校的中长期发展规划，在网络结构、网络应用、网络管理、系统性能以及 远程教学等各个方面能够适应未来的发展，最大程度地保护学校的投资。学校借 助校园网的建设，可充分利用丰富的网上应用系统及教学资源，发挥网络资源共 享、信息快捷、无地理限制等优势，真正把现代化管理、教育技术融入学校的日 常教育与办公管理当中。2、设计思路 在设计校园网主干结构时既要考虑到目前实际应用有所侧重，又要兼顾未来 的发展需求。中心交换机和主干交换机采用千兆交换机。要有完善的安全机制， 防止来自外部和内部的非法访问。3、网络方案设计原则(1)、先进性原则(2)、开放性原则(3)

6、、可管理性原则(4)、安全性原则(5)、灵活性和可扩充性原则(6)、稳定性和可靠性的原则4、网路结构概述及拓扑结构网络的拓扑结构是指网络中通信线路和站点 (计算机或设备) 的相互连接的 几何形式。 按照拓扑结构的不同， 常见的计算机网络拓扑结构有： 总线型拓扑结 构、星型拓扑结构、环型拓扑结构等。4.1总线型拓扑结构总线型结构是指各工作站和服务器均连接在一条总线上，各工作站地位平 等，无中心节点控制，公用总线上的信息多以基带形式串行传递，其传递方向 总是从发送信息的节点开始向两端扩散，如同广播电台发射的信息一样，因此 又称广播式计算机网络。各节点在接收信息时都进行地址检查，看是否与自己 的工作

7、站地址相符，相符则接收网上的信息。4.2星型拓扑结构星型结构是指各工作站以星型方式连接成网。 网络有中央节点， 其他节点 （工 作站、服务器 ） 都与中央节点直接相连， 这种结构以中央节点为中心， 因此又称为 集中式网络。4.3环型拓扑结构环型结构由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环， 这种结构使公共传输电缆组成环型连接，数据在环路中沿着一个方向在各个节点 间传输，信息从一个节点传到另一个节点。信号通过每台计算机，计算机的作用 就像一个中继器，增强该信号，并将该信号发到下一个计算机上。4.4蜂窝拓扑结构蜂窝拓扑结构是无线局域网中常用的结构。它以无线传输介质 （微波、a 卫星

8、、 红外线、无线发射台等 ）点到点和点到多点传输为特征， 是一种无线网， 适用于城 市网、校园网、企业网，更适合于移动通信。5、Vlan 的划分及 IP 地址的规划Vlan 划分的原则：便于管理Vlan 划分理念：将几个楼划分在同一个 Vlan ，便于管理。Vlan 具体划分：如将梅园、桔园、竹园、桂园、桃园这几个宿舍楼划分在同一个Vlan 下。再将博学馆、图书馆划分在同一个 Vlan 下。文化楼、实训楼、光华楼 划分在同一个 Vlan 下。6、IP 划分 、分配假设学校的公网 IP 为 200.1.1.0- 200.1.1.321、教室 ：将连到教师办公室的交换机端口划分为 VLAN2，将连

9、到教室的交换机端口划分为 VLAN3，每台计算机手工设置静态 IP 地址， DNS为 202.96.128.166 202.96.18.86, 网关 192.168.1.1 ，子网掩码为 255.255.255.0 ，在网络中心的路 由器上设置动态 NAT共享上网，公网的 IP 段为 200.1.1.1-200.1.1.5 。 教室 IP 范围为 :192.168.1.2 192.168.1.120 教师办公室 IP 范围为 :192.168.1.120 192.168.1.254 2、学生宿舍区：将 VLAN 68 到 VLAN 73 分别划分给学生宿舍楼 A的 16层，VLAN 74 到

10、VLAN 79分别加划分给学生宿舍楼 B的16层。其 IP 地址由网 络中心的将路由器设为 DHCP服务器，设其 IP 段为 172.18.2.0 172.118.255.255 子网掩码为 255.255.240.0 自动分配给学生宿舍区。在网络中心的路由器上设置 动态 NAT上网，公网的 IP 段为 200.1.1.11-200.1.1.20 。五、设备选型1、 防火墙H3C SecPath F100-M-G 防火墙市场领先的基础安全防护全面的基础安全防护：提供安全区域划分、静态 /动态黑名单功能、 MAC和IP 绑 定、访问控制列表（ ACL）和攻击防范等基本功能，还提供基于状态的检测过

11、滤、 虚拟防火墙、VLAN透传等功能。能够防御 ARP欺骗、TCP报文标志位不合法、 Large ICMP报文、 SYN flood 、地址扫描和端口扫描等多种恶意攻击丰富的 VPN特性：支持 L2TP VPN、GRE VPN、IPSecVPN及 SSL VPN等远程安全 接入方式，同时设备集成硬件加密引擎实现高性能的 VPN处理专业的 NAT应用：提供多对一、多对多、静态网段、双向转换 、Easy IP 和 DNS映射等 NAT应用方式；支持多种应用协议正确穿越 NAT，提供 DNS、NBT等 NATA LG 功能灵活可扩展的深度安全防护与基础安全防护高度集成的一体化安全业务处理平台全面的应

12、用层流量识别与管理：通过 H3C长期积累的状态机检测、流量交互检 测技术，能精确检测 Thunder/Web Thunder（迅雷 /Web迅雷）、BitTorrent 、eMule （电骡） /eDonkey（电驴）、 QQ、MSN、PPLive等 P2P/IM/网络游戏/炒股/网络视 频/网络多媒体等应用；支持 P2P流量控制功能，通过对流量采用深度检测的方法， 即通过将网络报文与 P2P协议报文特征进行匹配，可以精确的识别 P2P流量，以 达到对 P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的 P2P流量控制高精度、高效率的入侵检测引擎。采用 H3C公司自主知识产权的 F

13、IRST（ Full Inspection with Rigorous State Test ，基于精确状态的全面检测）引擎。 FIRST 引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时， FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提 高了入侵检测的效率实时的病毒防护：采用 Kaspersky 公司的流引擎查毒技术，从而迅速、准确查 杀网络流量中的病毒等恶意代码全面、及时的安全特征库。通过多年经营与积累， H3C公司拥有业界资深的攻击 特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从 而保证特征库的及时准确更新技术领先的

14、 IPv6国内率先支持 IPv6 状态防火墙，真正意义上实现 IPv6 条件下的防火墙功能，满足迫在眉睫的 IPv6 应用需求支持 IPv4/IPv6 双协议栈，并支持 IPv6 数据报文转发、静态路由、动态路由及 组播路由等功能支持 IPv6 各种过渡技术，包括 NAT-PT、IPv6 Over IPv4 GRE 隧道、手工隧道、6to4 隧道、 IPv4 兼容 IPv6 自动隧道、 ISATAP隧道等支持 IPv6 ACL、 Radius 等安全技术电信级设备的高可靠性采用 H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中 小企业用户，经历了多年的市场考验支持双机状态热备

15、功能，支持配置同步与 IPSecVPN的状态备份，支持Active/Active 和 Active/Passive 两种工作模式，实现负载分担和业务备份简单易用的智能管理简单易用的 Web UI 管理适合专业用户的全命令行管理支持基于 SNMP和 TR-069 协议的管理通过 H3C SecCenter 安全管理中心实现统一管理中小企业 Internet 出口安全H3C SecPath F100-M-G 支持完整的基础安全防护和深度安全防御功能， 为企业提供专业的安 全防护； F100-M-G 能够支持完整的 IPv6 状态防火墙， 满足马上到来的 IPv6 时代的安全防护 需求；同时 F10

16、0-M-G 还内置了链路负载均衡、 SSL VPN 等丰富特性，能够满足当前互联网 出口多 ISP 链路和移动办公的业务需求。2、中心数据交换机千兆接入方案在企业网络或园区网络中， S5800PV2-EI 系列丰富完善的安全特性能最大程度地降低非法 用户和病毒入侵对网络安全带来的危害，同时 S5000PV2-EI 对 SNMP 网管特性的支持使 其在面对大中型网络的统一管理方面也能应对游刃有余，可广泛使用在企业、学校、酒店等 网络搭建。3、接入交换机H3C S1600 系列安全智能交换机产品特点全线速的二层交换：S1626 S1626-PWR S1650 交换机提供所有端口二层线速交换能力，保

17、证所有端口 无阻塞的进行报文转发。优异的安全性能：支持 802.1x 认证，安全专区提供多种丰富的安全功能， 可以实现 IP+MAC+ 端口 +VLAN 四元素绑定，并可通过 DHCP-Snooping 或者智能绑定自动获取绑定列表，有效防御 ARP 攻击、 DOS 攻击及蠕虫攻击，并可以方便的实现脚本配置文件的导入和导出。支持基于 MAC 的 Guest VLAN ，配合动态 VLAN 下发功能可控制接入同一端口的不同用 户访问不同的网络资源，增强了网络的安全性和易用性。强大的链路扩展及备份能力：提供 LACP 、STP/RSTP 功能，可有效实现链路扩展及备份。 简单方便的管理方式：可以通

18、过 Web 可视化的界面，对交换机的各种功能进行简单方便的操作，同时提供Console 口和 Telnet 的命令行配置。多业务支持能力支持 PoE( Power over Ethernet )技术，通过以太网对所连接的设备 (如 Wireless AP IP Camera 、 IP Phone 等)进行远程供电，从而使得不必在使用现场为设备部署单独的电 源系统，能够极大地减少部署终端设备的布线和管理成本。H3C S1600 系列安全智能交换机具有丰富的安全特性，这使得在企业应用中可方便的做到 接入认证和授权访问，丰富的防攻击特性让企业内部的网络更加健壮、安全。S1600 系列安全智能交换机在

19、企业网的应用示意图4、无线 AP标准的 86mm 面板尺寸WA2610H-GN 采用标准的 86*86mm 面板尺寸，可以完全复用用户既有的 86mm 网口面板暗 盒，安装实施时，无需专业人员，即可方便的将原有的网口面板替换为 H3C 的面板式 AP WA2610H-GN 。由于 WA2610H-GN 采用 86*86mm 标准面板尺寸，所以在安装之后， 不会对原有周边可能存在的其他插座面板或装修事物造成影响，对客户原有装修的影响接近 于零。5 步！安装一个 AP 只需 35 分钟WA2610H-GN 采用国际标准的插座安装方法进行设计， 和其他开关面板一样， 更换一个面板 式 AP 只需要简

20、单的 5 个步骤，总耗时不超过 5 分钟，可以极大的加快客户部署无线网络的 速度。图 2 WA2610H-GN 之 5 步安装方法绿色低碳设计WA2610H-G采N用专业绿色低碳设计， 支持动态 MIMO省电模式 (DMPS)与增强型自 动省电传送 (E-APSD)，智能辨识终端实际性能需求，合理化调配终端休眠队列， 动态调整 MIMO工作模式。WA2610H-G支N持 Green AP模式，实现单天线待机，节能更精准。WA2610H-G通N 过创新性的逐包功率控制 (PPC)技术，在确保报文能成功传输的前 提下动态调节 AP设备和客户端直接的双向功率， 以达到减少设备能耗和延长移动 终端待机

21、时间的作用。提供本地转发功能当 WA2610H-GN 通过广域网方式转发时，无线接入设备部署在分支机构，而无线控制器部 署在总部， 所有用户数据由无线接入设备发送到无线控制器， 再由无线控制器进行集中转发。 WA2610H-GN 可将数据报文在无线接入设备上直接转化为有线格式的报文， 使得数据报文不 经过无线控制器，而是在本地进行转发，大大节约了有线带宽。支持 IPv4/IPv6 双协议栈 (Native IPv6)WA2610H-GN 全面支持 IPv6 特性，设备实现了 IPv4/IPv6 双协议栈。 无论原有有线网络是 IPv4 还是 IPv6 ，都可以自动地与 WX 系列控制器进行注册

22、提供 WLAN 服务，不会成为网络中的 信息孤岛。提供 EAD 无线接入终端准入控制 (EAD ， End user Admission Domination) 解决方案从控制用户终端安全接入网络 的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全 策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户 端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之 后才允许正常访问网络，从而提高了无线网络的整体安全性。支持智能负载均衡WA2610H-GN 支持按接入用户数量和流量的复杂均衡方式， 当无线控制器发现无线接入设备 的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还 有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接 入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式 往往会导致连接不上网络，造成误均衡。 H3C 公司创新性的支持智能负载均衡技术，保证只 对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限 度的提高了无线网络容量。