某大学校园网构建操作文档 网络方向大学生毕业实习设计网络设备采购 有图文说明.docx

1、某大学校园网构建操作文档 网络方向大学生毕业实习设计网络设备采购 有图文说明 毕业设计声明郑重声明：所呈交的论文是有本人在导师的指导下独立进行研究所取得的成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人对学校及系对毕业设计的相关规定都充分了解。如有违反，后果由本人负责。 作者签名：小鲁哥哥 日期：2007年6月26日摘 要关于本书本方案是针对某校园网网建设的具体需求，结合学院的的未来发展需要，所作的校园网具体设计方案。根据学院的具体需要，我们选择一套合理、有效的认证计费系统来管理

2、整个校园的上网用户,。校园网是学校和外界交流的重要平台，也是展现学校面貌的重要舞台。随着学校硬件设备的不断健全，用户的复杂性及多样性，对网络提出了安全认证的需求，网络需要运营，因此也有了计费收费的需要。根据系统建设目标及应用系统的特点，考察当前计算机与网络的最新技术，目前国内新建设的网络系统大都采用新型的三层Client/Server的模式作为其主要的体系结构。经过多次成功的实践，我们认为这种模式的的开放性、灵活性以及安全性能够满足目前各系统的网络建设需要。鉴于Internet技术的迅猛发展及其在信息系统领域的广泛应用，我们在系统中同时提供Internet环境和应用开发平台。Internet的

3、Mail技术和FTP等技术将直接应用于信息的采集和传输。建立Web站点，利用WWW技术是实现校园信息查询服务的有效手段，同时利用WWW技术还能较好的实现远程教学，实现教、学双方的交互。该方案主要基于一种高性能网络的设计思路，主要特点在于：以交换技术为核心，构造一个既能覆盖本地又能与外界进行网络互通、共享信息的计算机网络主干网;选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法;完全符合开放性规范，将业界最优秀的产品集成于该综合网络平台之中；具有较好的可扩展性，为今后的网络扩容作好准备。前 言关于本书 当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息

4、化已成为当今世界潮流。其背景是：半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛，并迅速广泛应用于社会各领域，产生和激发出新的生产力，正引起社会经济乃至人们工作、生活方式的深刻变革。自从1993年美国政府公布实施“信息高速公路计划”之后，在世界引起巨大反响，许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。某校园网校园网是某校园网内建设很重要的一部分，计划在近期内建设校园网络信息系统，在校园内部实现资源高度共享，为教学、科研、管理提供服务，为计划、组织、管理与决策提供基础信息和科学手段

5、；支持教育教学改革，提高教育技术的现代化水平和教育信息化程度，为学校教师的备课、课件制作、教学演示提供网络环境；通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料，实现素材收集、电子备课功能。培养创新人才，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力，使学生能自主学习、协商学习、发现探究式学习以及自我评价，为学生的全面发展创造相应的条件。实现办公自动化，提供与上级教育部门、社会、家庭之间通讯的出入口，提供电子函件、公告牌和教育教学信息查询等服务，提高工作效率和管理水平。及时、准确、可靠地收集、处理、存储、传输学校的教

6、育教学信息，完成与因特网的通讯和资源共享实现社会教育、学校教育、家庭教育的有机结合。实现课堂多媒体电化教学。具备适用于双向课堂语音教学及语音室功能学习。以代替手提录音机，实现音频数字化资源共享、集中管理。电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。建立校园网管理应用系统。以顺应无纸教学，无纸办公的发展趋势，充分利用现代化技术来进一步提高教学质量和办公效率，为培养二十一世纪人才提供一个优良的硬件教学环境。 某校园网网支持的是一个不断多元化的网络应用系统设备组合，用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展

7、性。愿凭借自己的技术与实力，将与某校园网一道，共同设计建成一个先进的多媒体校园网络系统。某校园网是一九九三年成立的民办大学，以培养高层次人才为己任。当今世界随着计算机、网络通信等现代科学技术的发展，人类正迈入信息时代，在某校园网建立覆盖全校，并可以与国内外著名网络互联的校园网已成为必然。某校园网（北区）校园网对外将实现与位于广州电信机房中心相连；对内实现与校内各部门进行通信。某校园网网将为学校的科研、教学、管理提供必要的技术手段，为研究开发和培养人才建立平台，借此加快学校的发展，以此加快学校的发展，成为一个具有示范性的学校。在本方案中，我们将分为用户需求分析、网络系统设计、服务器及应用软件的介

8、绍等几个部分来阐述。第二章 需求分析1、总体需求：建立一个基于校园Intranet的信息管理和应用的网络系统，并提供相应的各种服务。共享网络上各种软、硬件资源，快速、稳定地传输各种信息，并提供有效的网络信息管理手段。采用开放式、标准化的系统结构，以利于功能扩充和技术升级。能够与外界进行广域网的连接，提供、享用各种信息服务。具有完善的网络安全机制。能够与原有的计算机局域网络和应用系统平滑地连接，调用原有各种计算机系统的信息。接口尽量灵活、公开以便于将来进行系统扩充及二次开发。通过持续开发与系统升级，最终将本综合应用系统在WEB上无缝地统一起来，用统一的标准实现完美的一体化。2、网络需求：骨干网必

9、须是高速局域网千兆传输，能支持虚拟分段和多媒体应用，桌面达到百兆传输。支持图书馆网络和其它网络之间资源的双向访问。接入校园网的所有电脑应能访问校园网的共享资源。网络要有足够的扩展能力，当网络扩大时，网络性能不会大幅度下降。网络要易于维护和管理，有方便的网络管理工具。网络应有一定的安全机制，防止滥用。第三章 网络系统设计1、网络系统设计原则：根据上面对某校园网网网络需求的分析，我们制定以下系统设计的原则：11 先进性与现实性作为中国教育科研网的一部分，某校园网的核心计算机网络某校园网网网络系统处理的信息量将会十分庞大，要求计算机网络有很高的工作效率。而且随着教学科研任务工作的迅速系统面临的任务也

10、愈来愈艰巨，所以，我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率，保证系统工作的灵活性，保证网络的可靠性，也使系统的扩展和维护变得简单。我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现某校园网网网络系统的先进性。在考虑系统先进性的同时，我们也会考虑实效、兼顾现实，建设不仅先进而且合适的系统，在系统建设中坚持“边实施，边发展，高起点，早收益”的原则。由于某校园网大部分还处于规划阶段或基础建设阶段，因此我们建议实施分期建设的方法，先根据目前的需要建设第一期工程，但为以后的建设提供一定的可扩展空间。12 系统与软件的可靠性在某校

11、园网网网络系统设计中，很重要的一点就是网络的可靠性和稳定性。在外界环境或内部条件发生突变时，怎样使系统保持正常工作，或者在尽量短的时间内恢复正常工作，是某校园网网网络系统所必须考虑的。在设计时对可靠性的考虑，可以充分减少或消除因意外或事故造成的损失。我们将从网络线路的冗余备份及信息数据的多种备份等方面保证某校园网网网络系统的可靠性。13 系统安全性与保密性随着计算机技术的发展，尤其是网络和网络间互联的规模的扩大，信息和网络的安全性日益受到重视。面临十分严肃的安全性挑战。在网络设计时，将从内部访问控制和外部防火墙两方面保证某校园网网网络系统的安全。系统还将按照国家相关的规定进行相应的系统保密性建

12、设。14 易管理与维护某校园网网网络系统的节点数目大，分布范围广，通信介质多种多样，采用的网络技术也较先进，尤其引入交换式网络和虚拟网之后，网络的管理任务加重了，如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式，可以提供强大的网络管理功能，使网络日常的维护和操作变得直观、简便和高效。15 易扩充性随着教学科研的快速发展，某校园网网网络系统面临的任务将愈来愈艰巨，愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展，我们网络十分注重扩充性。无论是网络硬件还是系统软件，都可以方便的扩充和升级。上述系统设计的原则将自始自终贯穿整个

13、系统的设计和实现。2、主要网络设备的选择原则根据已制定的网络系统设计原则，我们所选择的网络设备必须具有以下一些特点：21安全、稳定、可靠作为整个校园网络系统的硬件基础，网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间，在世界范围内被广泛应用的网络产品。为此，我们建议选择国际知名厂商的产品。22技术先进网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品，还应该具有的特点就是技术的先进性。我们所选择的网络设备应该采用当今较先进的技术，能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时，在网络规模进一步扩大，该设备不能

14、承担繁重的负荷时，能够降级使用。23便于扩展由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。管理和维护方便先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。所以，我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。3、网络设计方案描述31 网络拓扑结构校园网物理拓扑结构，即将校园骨干网分为核

15、心网和接入网两部分。核心网络层是整个系统的中心，它提供一个千M高速的网络通信平台以及网络核心管理服务，核心网络层是由一台3COM4950核心交换机所支撑，组成总线型网络。网络由核心节点向外辐射到各学生公寓大楼的4芯光缆和上行的节点设备组成，学生公寓的局域网则通过上行节点设备连入校园骨干网，网络的拓扑结构如下图所示。简单网络拓扑结构： （ 图一 ） 校园网络详细拓扑示意图：（ 图二）32 主要网络设备介绍a)易尚防火墙性能及功能介绍ES800产品性能参数 防火墙性能： 150M-500M 并发会话数： 50-80万 每秒新建会话数： 5000 3DES： 70M 策略数： 2000 时间表： 2

16、56 VPN隧道数：100-200 接口类型：3-4个10/100Base-T接口 用户数： 无限制 电源： 单 机箱： 1U 主要用户：中小型企业，分支机构 主要特性和优势 防火墙（通过公安部监测并获销售许可证） 符合工业标准的状态检测防火墙，支持NATPAT,透明、路由、混合模式； 用户认证：内建用户认证数据库，支持外部RADIUS/LDAP认证数据库，支持RSASecurID和IPsecVPN下RADIUS扩展认证支持近百种标准服务 （包括Netmeeting，GRE,HTTP,OSPF）,支持用户自定义服务和服组。根据小时、日、周和月建立一次性或循环时间表，防火墙根据时间表建立安全策略

17、。 路由协议、防御功能、地址翻译、IP/MAC绑定、虚拟域模式、虚拟IP映射、VLAN支持、VoIP、 流量控制、基于网络的病毒防御（通过公安部防病毒产品检测并获得销售许可证） 、VPN隧道防毒、支持病毒扫描引擎和病毒库的在线升级 、入侵检测和防护 、可选择的攻击数据库、支持攻击库的在线升级 、反垃圾邮件 、VPN 支持工业标准的IPSec、PPTP、L2TP、Web内容过滤、高可用性（HA） 、日志 、系统管理 、远程管理、命令行界面、电子邮件告警、SNMP告警、 通过与Syslog或WebTrends集成，实现外部监控、分析和管理、通过易尚的ESCentreManager集中化管理和监控。

18、这是一些关于易尚防火墙硬件简介和功能简介，就说这么多了，上面的都是一些常用的功能介绍，如果想详细了解的，可以给我发E-mail，我可以把详细的技术白皮书传给你！ b) 3COM4950核心交换机性能及功能介绍3COM 4950系列交换机是3Com生产的可网管的三层交换机， 4950 包括12个100/1000Base-T自适应口，32Gbps的交换容量，23M PPS的包转发速率 4950 包括12个10/100/1000Base-T自适应口，6个1000Base-SX光纤端口(MTRJ)，6个GBIC端口，其中GBIC口可以选配3Com的GBIC模块，包括1000Base-SX(3CGBIC

19、91)、1000Base-LX(3CGBIC92)及1000Base-LH70(3CGBIC97)。 56Gbps的交换容量，41.7M PPS的包转发速率除了上面讲到的端口外，3COM 4950交换机都有一个扩展槽，在机箱的后面，可以增加模块，这些扩展模块包括：4端口1000Base-SX模块(3C17710)，4端口1000Base-T模块(3C17711)，4端口1000Base-LX模块(3C17712)，4端口GBIC模块(3C17714)以及XRN互联工具包(3C17715)。作为一款三层交换机，4950的定位是边缘与核心之间，在它之上，是4050/4060/4070及4007/4

20、007R交换机。从功能和性能上讲，3COM 4950具有以下特点： 支持XRN技术，后面有简单的介绍 除通过Console口进行管理外，还可以通过VLAN的Interface IP地址，以Telnet方式及Web方式来进行管理。但是，强烈建议用户及代理商不要使用Web方式进行配置(因为显得太不专业了)。支持基于SNMP的网管 二层交换功能以及三层路由功能，注意，如果用户需要启动OSPF协议，那么需要购买升级软件。3Com免费提供的软件不支持OSPF。 所有端口支持自协商Auto-Negotiation及MDI/MDIX自适应 支持VLAN、STP、LinkAggregation、Multica

21、stFilter、BroadcastControl、等功能。 c) 3COM4400接入层交换机性能及功能介绍3COM 4400交换机是3Com生产的可管理的二层交换机系列产品，该系列交换机目前包括的型号如下： 3C17204，48端口的4400。包括48个10Base-T/100Base-Tx自适应口，2个扩展槽位(在机箱后面) 3C17203，24端口的4400。包括24个10Base-T/100Base-Tx自适应口，2个扩展槽位(在机箱后面) 3C17210，24端口的4400。包括24个100Base-Fx光纤端口MT-RJ，2个扩展槽位(在机箱后面) 3C17205，4400PWR

22、。包括24个10Base-T/100Base-Tx自适应口，并支持Power Over Ethernet，2个扩展槽位(在机箱后面) 3C17206，4400SE。包括24个10Base-T/100Base-Tx自适应口，2个扩展槽位(在机箱后面) 所有3COM 4400系列交换机都有2个扩展槽位，在机箱后面，可以选择的扩展模块有以下这些，1000Base-T模块(3C17220)，1000Base-SX模块(3C17221)、100Base-FX模块(3C17222)、1000Base-LX模块(3C17223)及堆叠模块(3C17227)、堆叠扩展模块(3C17228)。以上这些模块插在那

23、个扩展槽位都可以，没有什么先后、左右的规定。与其他二层交换机如3COM 4200、3COM 3300等相比，3COM 4400在性能及功能方面是有一定优势的，相应的其价格也较其他二层交换机也要贵一些。如果用户对性能及功能方面要求比较高，那么3COM 4400比其他3Com的二层交换机要更适合一些。注意3COM 4400系列交换机(除了4400SE)支持四层的QoS功能，但不支持三层的路由功能。从功能和性能上讲，3COM 4400具有以下特点： 可堆叠。详细情况后面章节介绍 除通过Console口进行管理外，还可以配置管理地址，远程通过Telnet方式及Web方式来进行管理。但是，强烈建议用户及

24、代理商不要使用Web方式(因为显得太不专业了)。支持基于SNMP的网管 基本的二层交换功能，其性能为：48口的4400交换容量17.6Gbps，包转发率10.1MPPS；其他的都是交换容量8.8Gbps，包转发率6.6MPPS 所有端口支持自协商Auto-Negotiation及MDI/MDIX自适应 支持VLAN、STP、Multicast Filter、BroadcastControl、QoS等功能。33 主要网络设备配置a) 易尚网关防火墙的常用配置安装非常快捷简单，当您第一次打开电源启动易尚网关防火墙时，防火墙已经设置了默认IP地址和安全策略。所有保护网络的必需设置，你都可以连接到基于

25、Web的管理器进行操作模式设置，或使用安装指南来自定义您网络里易尚网关防火墙的IP地址。在此基础上您可以用基于Web的管理器来定义一些您所需要的设置。基于Web的管理器，使用安全的https连接，您可以从任何一台运行Internet Explorer的计算机上配置和管理易尚网关防火墙，您可以从任一易尚网关防火墙端口进行安全管理，包括从外部网上进行安全管理。易尚网关防火墙的核心功能是抵御来自公网的、对本地网络的恶意攻击，它通过清晰简洁的设计界面提供了对安全策略的控制，而且允许在复杂情况下进行全面控制。基于Web的管理器，图形化操作界面, 快速安装配置截图 （登陆界面）(下一步) 防火墙系统的基本

26、信息，版本，序列号，模式. ，你可以用序列号码去易尚防火墙官方网站,填写注册信息,下载该产品的更新版本、技术资料等等。(下一步) 修改web界面的登陆密码（此密码设置强密码，定期更换，提高安全性）(下一步) 选择NAT/路由模式来保护您的私有网络，当防火墙用NAT/路由模式运行的时候，您的内部网络可以连接到Internal端口，DMZ网络连接到DMZ端口，而公共网络象Internet，连接到External端口，每个网络必须有自己的不同的网络地址。可以创建安全策略来控制防火墙在不同端口间发送数据包。 NAT模式策略使用网络地址转换来隐藏内部网络的地址，配置内部接口（内部所有的IP地址都转换成内

27、部接口地址访问互联网）(下一步) 配置外部接口类型（由ISP提供固定IP地址）(下一步) 配置External IP地址，掩码地址，网关(下一步) (校园网内架设了windows2003的DHCP服务器,故没使用易尚防火墙的DHCP功能)配置内部服务器的地址，允许公共网络访问服务器资源查看“系统”的“状态”信息,监视CPU、内存、网络的使用率，会话的连接数，病毒的攻击次数，可以很好的掌握防火墙使用性能情况，掌握校园网目前的网络使用情况。路由表中的顺序是非常重要的，防火墙采用最先匹配的原则 从路由表的头部进行查询，直到找到匹配的路由为止，因此，路由表应该把最长匹配的项放置在前部，最短匹配的项放置

28、后部，如果你有一个默认路由应该放置在最后。配置路由，IP网段，掩码，网关，默认路由防火墙端口间添加访问控制策略来控制数据连接和流量，控制Internal到External、Internal到DMZ、External到Internal、External到DMZ、DMZ到Internal、DMZ到External的连接策略，控制用户或计算机可以访问到外部网络什么服务，也可以给这些策略启用防病毒和内容过滤功能来避免内部网用户或计算机从外部网下载病毒和访问非法网页。 配置访问控制策略（Internal内部网，External外部网，DMZ非军化区域）（从外网访问内网的WEB、SMTP、POP3的服务器

29、，可使用PPTP服务VPN远程访问）将内部网WEB、STMP、POP3服务器IP地址端口作映射，通过外网口地址发布于互联网, 当您在网络地址转换模式下使用易尚网关防火墙时，从因特网上，是无法看到内部网和DMZ网络上的计算机地址的，如果想从因特网上访问DMZ网络或者内部网上的某一台服务器，您必须创建一个虚拟IP地址，这样才能够使因特网上某台服务器IP地址和DMZ或者内部网上面的计算机的真实地址之间建立联系。配置VPN远程访问，通过PPTP点对点隧道协议还有一些基于网络的病毒防御、反垃圾邮件、Web内容过滤、系统管理、入侵检测和防护，防火墙的我就说这么多了，上面的都是一些常用配置的截图和简单说明，

30、如果想详细了解的，可以给我发E-mail，我可以把详细的技术白皮书传给你！ b) 3COM4950核心层交换机简单配置 查看4950系统信息 配置IP管理地址和网管系统 生成树-Spanning Tree Protocol 组播过虑-Multicast Filter 链路聚合Link Aggregation VLAN功能及VLAN之间的三层数据转发 配置4950 RIP协议 配置静态路由 配置DHCP Relay 配置ACL访问控制 QoS流量控制 软件升级及密码丢失查看4950系统信息Select menu option: sys summ3Com SuperStack 3System Na

31、me :Location :Contact :Time Since Reset : 0 Hrs 0 Mins 20 SecondsOperational Version : 03.12Hardware Version : 0Boot Version : 1.00MAC Address : 00-30-1e-69-1d-c0Product Number : 3C17700Serial Number : 7RGV4691DC0Module Slot 1 : Not installedSelect menu option: 说明 由以上命令可以得到该4950交换机的系统信息，按重要程度，说明如下：版本信息，包括Operation版本，Hardware版本及Boot版本。我们要的是Operation版本信息，3Com在网站上发布的版本、我们要升级的版本也都是Operation版本。其他两个版本信息不经常用到。系统运行时间-Time Since Reset，从这里可以看到系统到目前已经运行了多长时间。产品序列号-Ser