校园网网络系统集成方案03.docx

1、校园网网络系统集成方案03 河北科技师范学院系统集成课程设计论文 院（系、部）名 称 ： 数信学院 专 业 名 称： 网络工程 学 生 姓 名： 学 生 学 号： 2011年 12 月 20日秦皇岛校区校园网设计摘要校园网是各种类型网络中一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。我国自1993年与Internet连通以来，已建成了四大主干信息网：中国公众信息网ChinaNET，中国金桥网ChinaGBN，中国教育科研网CERNET和中科院网CAS

2、NET。全国各大中城市的网络节点相继开通。Internet的发展带动了全世界的信息产业的发展，也为现代学校应用程序结构提供了一个新的计算模式，这种计算模式能真正适应学校发展的需要，使学校的计算机应用提高到一个新的水平。将Internet技术应用到学校内部，并建立基于这种开放技术的学校应用程序，使学校本身具有了Internet的特性，这种应用体系结构就是Intranet 学校内部网。Internet和Intranet代表着全新的信息时代的到来。Intranet使实现学校内部的信息化成为可能。学校工作人员和在校学生面对的信息资源已不仅仅来自于一个部门、一个学校或者是一个行业，而是所有Interne

3、t世界上的资源，使得学校教学、科研、管理和决策更为有效。本次设计就从学校的需求分析入手，以我校为例设计出一个本校区的校园网，并阐述了校园网的网络拓扑、地址规划、设备选型以及配置等。关键词：网络工程 校园网 网络设计1需求分析1.1学校概况河北科技师范学院是一所具有硕士学位授予权的省属本科院校。 现有秦皇岛、昌黎、开发区、欧美学院四个校区，校园占地面积1800亩，建筑面积57万平方米。 学校设有16个二级学院和3个教学系（部）。现秦皇岛本部校区有数信学院、财经学院、工商管理学院、体育学院、理化学院、城市建设学院、继续教育学院、思想政治理论教学部、网络与教育技术中心。1.2网络环境分析1.2.1各

4、校区分布河北科技师范学院包括四个校区，其中昌黎校区位于昌黎县，欧美学院及开发区校区离秦皇岛主校区不远，四个校区物理上隔离。为了最大程度上对学校各校区资源实现资源共享，结合考虑学校实际情况，建议各分校区与秦皇岛主校区实现专线相连，同时昌黎校区和秦皇岛校区分别接入互联网和Cernet。本设计方案涉及四个校区的网络整体规划，其中以秦皇岛校区为主，实现了秦皇岛校区的具体实施方案，同时实现四个校区网络互联互通。四个校区网络核心区域拓扑如下：图 111.2.2秦皇岛校区建筑物布局经实地调查，现秦皇岛校区有逸夫楼、老楼、B区、实验楼、图书馆、校医院、后勤、招待所共8处地方需要布设网络。建筑物布局如下：图 1

5、2建筑物布局（以网络中心所在逸夫楼为轴）建筑物名称位置距离逸夫楼学校中心0B楼靠近网络中心200老楼位于逸夫楼南对面100图书馆位于逸夫楼东南方向150实验楼位于逸夫楼东面50-100后勤位于学校澡房东侧800校医院位于一食堂东南侧700招待所位于学校东门附近800表格 1-1网络中心所在位置：按照实地分析，应该把网络中心安置在逸夫楼大楼内。1.2.3信息点的分布信息点的分布：目前建筑物布局中所列出的所有建筑均需信息点的分布，考虑未来可预测范围内的网络扩展，信息点的分布如下：名称楼层信息点/楼层 (个)信息点总数（台）所需CISCO WS-C2960-48TT-L数量逸夫楼1110+10+28

6、+22+20+20+10+27+290+70507 11B楼54+6+3+1+1151老楼521+23+28+14+9952图书馆916+64+5+250+250+1+2+6265014实验楼7319+310+317+30（办公室信息点）97621后勤130301校医院220201招待所7200200 5表格 1-21.3功能需求通过实地调查分析，校园网络应满足如下功能需求：1、将全校所有计算机连接到网络中，满足计算机教学科研、行政办公需要，具有完善的办公事务处理能力。在网络上传输多种应用信息，用于教学、教务管理、通知通告、对外网站等应用。2、网络管理系统功能完善，操作简便，能管理到桌面台式机

7、。网络设立区域性安全防范措施，加载安全过滤。禁止如P2P等占用高带宽的技术。3、结构合理，技术先进，确保3-5年内不会更新换代，所设计网络应该具有高可靠性和可扩展性，具有一定的冗余，容错能力强，确保信息处理安全保密。4、实现VLAN间的互通，方便不同行政部门或教学部门的互访以及网络管理。5、连接至Internet。1.4技术需求分析1.4.1 路由技术：路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成

8、以路由器为中心的流量控制和过滤功能。在本工程设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。1.4.2 交换技术：现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率，更大大增强了校园网数据交换服务质量，满足了不同类型网络应用程序的需要。1.4.3 Vlan技术： 虚拟局域网（Virtual LAN，VLAN），VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，

9、可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。1.4.4 防火墙技术与DMZ ： 针对不同资源提供不同安全级别的保护, 还应构建一个“Demilitarized Zone”(DMZ)的区域，放置一些不含机密信息的公用服务器，比如Web、 Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏，也不会对内网中的机密

10、信息造成影响。图 131.4.5 链路聚合（PortTrunking）技术：链路聚合（Port Trunking）技术，支持IEEE802.3协议，是一种用在交换机与交换机之间扩大通信吞吐量、提高可靠性的技术，也称为骨干连接。当两台核心层交换机采用聚合链路Port Trunking技术后，该技术可以使交换机之间连接最多4条负载均衡的冗余连接。当某一台核心交换机出现故障或核心交换机与接入层/汇聚层交换机的某一条互联线路出现故障时，系统将通信业务快速自动切换到另一台正常工作的核心层交换机上，以使整个网络具备高容量、无阻塞、高可靠的能力。2校园网总体设计2.1主干网设计随着校园网用户数目与新的应用需

11、求不断增加，特别是网上多媒体及远程教育应用的展开，对校园网主干带宽提出了新的更高的要求，因此校园网的主干（即核心层交换机与汇聚层交换机之间或核心层交换机与服务器之间的连接）采用千兆以太网技术，在距离允许的范围内，还应当尽量采用当前性价比最好的千兆铜缆以太网技术（ 1000Base-T ）。1000Mbps以太网交换技术为主干，可以做到1000Mbps全光缆到二级交换机，100Mbps到桌面。2.2层次化网络设计根据本校网络的实际情况，网络层次应包括核心层、汇聚层和接入层三个层次。接入层位于连接到网络的最终用户处，通常在用户之间提供第2层连接性，该层的设备必须具备具备下述功能：低交换机端口成本；

12、高端口密度；连接到高层的可扩展上行链路；用户接入功能，如VLAN成员资格、数据流和协议过滤以及服务质量（QoS）。汇聚层将校园网的接入层和核心层连接起来，该层的设备必须具备下述的功能：聚集多台接入层设备；较高的第3层分组处理吞吐量；使用访问列表和分组过滤器提供安全和基于策略的连接；连接到核心层和接入层的高速连接具有可扩展性和弹性。校园网的核心层连接所有的汇聚层设备，该层必须能够尽可能高效地交换数据流。该层应具有下述功能：第2层和第3层的吞吐量非常高；不执行高成本或不必要的分组处理（访问列表、分组过滤）；支持高可用性的冗余和弹性；高级Qos功能。秦皇岛校区网络设计的层次如下图所示：图 212.3

13、网络冗余设计 由于大学网络规模巨大、涉及到的用户很多，如果网络特别是骨干网络出现任何的问题将导致很大的不良影响，因此对网络的可靠性和可用性要求很高。网络的冗余设计除了选择具有冗余设计的网络设备外，网络的冗余设计也十分重要，因此，分校区与主校区之间采用双链路相连，秦皇岛校区和昌黎校区核心层可采用两台核心交换机，汇聚层交换机分别用两条线路接到这两台核心交换机上，即可实现线路的冗余。冗余设计如图：图 22图 232.4出口设计为了给校园网用户提供一个快速稳定访问外部网络的通道，本方案设计采用双出口设计，一条通过本地ISP接入Chinanet，另一条接入Cernet，以满足学校办公的需求。设计如图所示

14、：图 242.5网络拓扑设计图四个校区网络拓扑：图 25秦皇岛校区网络拓扑：图 262.6设备选型校园网络主干为千兆网络，百兆交换到桌面，保障所有用户同时调用服务资源时都能快速、流畅，充分发挥多媒体课室教学的作用；同时保证所有用户同时上网顺畅，使校园网络的功能发挥得淋漓尽致。为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。下面就介绍本案例中的设备型号及具体参数、报价等信息：核心层设备：CISCO WS-C6509-NEB-A(CISCO WS-C6509-NEB-A)类别：

15、交换机品牌：CISCO（思科）参考价格：￥5.87万北京交换机类：企业级交换机应用层级：四层传输速率：10Mbps/100Mbps/1000M背板带宽：720GbpsVLAN支持：支持网管功能：CiscoWorks2000, RMON包转发率：387Mpps网络标准：IEEE 802.3, IEEE 802端口结构：模块化交换方式：存储-转发产品内存：512MB传输模式：支持全双工QOS支持：支持网管支持：支持模块化插：9电源电压：DC, 6000; AC, 4000W产品尺寸：846437460汇聚层设备：CISCO WS-C3560G-24TS-S(CISCO WS-C3560G-24TS

16、-S)类别：交换机品牌：CISCO（思科）参考价格：￥1.5万北京交换机类：企业级交换机应用层级：三层接口介质：10/100/1000BASE-T/10传输速率：10Mbps/100Mbps/1000M端口数量：24背板带宽：32GbpsVLAN支持：支持网管功能：网管功能 SNMP, CLI,包转发率：38.7MppsMAC地址：12k网络标准：IEEE 802.3、IEEE 802端口结构：非模块化交换方式：存储-转发产品内存：128 MB DRAM和32 MB闪传输模式：支持全双工配置形式：可堆叠QOS支持：支持网管支持：支持模块化插：2电源电压：100-240 VAC(自动适应 接入层

17、设备：CISCO WS-C2960-48TT-L(CISCO WS-C2960-48TT-L)类别：交换机品牌：CISCO（思科）参考价格：￥7000北京交换机类：智能交换机应用层级：二层接口介质：10/100Base-T、10/100传输速率：10Mbps/100Mbps/1000M端口数量：48背板带宽：6.8GbpsVLAN支持：支持网管功能：Web浏览器,SNMP,CLI包转发率：10.1MppsMAC地址：8K网络标准：IEEE 802.3、IEEE 802端口结构：非模块化交换方式：存储-转发产品内存：64MB传输模式：全双工/半双工自适应QOS支持：支持3校园网详细设计及实现3.

18、1VLAN及IP地址规划本工程采用10.0.0.0/8的私有IP地址段，为校园网络提供充裕的主机地址并采用基于端口的vlan划分方法。单个vlan可以使用多个地址段。Vlan的划分基于各部门职能或机房数量。其中秦皇岛校区IP地址段为10.1.0.0/16，昌黎校区IP地址段为10.2.0.0/16，开发区校区IP地址段为10.3.0.0/16，欧美学院IP地址段为10.4.0.0/16，秦皇岛校区IP地址与VLAN详细划分如下：VLAN号VLAN名称IP网段默认网关说明110.1.0.0/2410.1.0.254主校区管理vlan2duomeiti10.1.1.0/2410.1.1.1多媒体3

19、erjixueyuanbangong10.1.2.0/2310.1.2.1 二级学院办公4xingzhenbangong10.1.4.0/2310.1.4.1行政办公5jiulou110.1.6.0/2310.1.6.1九楼机房16jiulou210.1.8.0/2410.1.8.1九楼机房27zhaodaisuo10.1.9.0/2410.1.9.1招待所8fuwuqiqun10.1.10.0/2410.1.10.1服务器9shiyan110.1.10.0/2310.1.11.1实验楼机房五楼10shiyan210.1.12.0/2310.1.12.1实验楼机房六楼211shiyan310.

20、1.14.0/2310.1.14.1实验楼机房七楼12tushuguan110.1.16.0/2310.1.16.1图书馆电子阅览室113tushuguan210.1.18.0/2310.1.18.1图书馆电子阅览室214xiaoyiyuan10.1.20.0/2410.1.20.1校医院15houqin10.1.21.0/2410.1.21.1后勤255Guanli192.168.255.0/24192.168.255.1管理vlan表格 3-13.2交换模块设计 为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。 园区网数据交换设备可划分为三个层次：访问

21、层、分布层、核心层。 注：交换模块设计以秦皇岛校区为例做出实施方案，其他校区与此类似，不做冗述。3.2.1接入层以duomeiti交换机配置为例：1配置访问层交换机duomeiti的基本参数（1）设置交换机名称如图所示，为访问层交换机duomeiti命名。图 31（2）设置交换机的加密使能口令 当用户在普通用户模式而想要进入特权用户模式时，需要提供此口令。此口令会以MD5的形式加密，因此，当用户查看配置文件时，无法看到明文形式的口令。 如图所示，将交换机的加密使能口令设置为wangbao图 32（3）设置登录虚拟终端线时的口令 如图所示，设置登录交换机时需要验证用户身份，同时设置口令为wang

22、bao图 33（4）设置终端线超时时间 为了安全考虑，可以设置终端线超时时间。在设置的时间内，如果没有检测到键盘输入，IOS将断开用户和交换机之间的连接。 如图所示，设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分10秒钟。图 34（5）设置禁用IP地址解析特性交换机默认配置的情况下，当我们输入一条错误的交换机命令时，交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令no ip domain-lookup。可以禁用这个特性图 352配置访问层交换机duomeiti的管理IP、默认网关 访问层交换机是OSI参考模型的第2层设备，即数据链路层的设备。因此，给访

23、问层交换机的每个端口设置IP地址是没意义的。但是，为了使网络管理人员可以从远程登录到访问层交换机上进行管理，必要给访问层交换机设置一个管理用IP地址。这种情况下，实际上是将交换机看成和PC机一样的主机。给交换机设置管理用IP地址只能在VLAN1，即本征VLAN中进行。按照表4-1，管理VLAN所在的子网是：10.1.0.0/24，这里将访问层交换机duomeiti的管理IP地址设为：10.1.0.1/24图 36为了使网络管理人员可以在不同的子网管理此交换机，还应设置默认网关地址10.0.0.254，如图所示。图 373配置访问层交换机duomeiti的VLAN及VTP 从提高效率的角度出发，

24、在本校园网实现实例中使用了VTP技术。同时，将分布层交换机设置成为VTP服务器，其他交换机设置成为VTP客户机。这里访问层交换机duomeiti将通过VTP获得在分布层交换机中定义的所有VLAN的信息。图 384配置访问层交换机duomeiti端口基本参数（1）端口双工和速度配置设置访问层交换机duomeiti的所有端口均工作在全双工模式。图 395配置访问层交换机duomeiti的访问端口 访问层交换机duomeiti为终端用户提供接入服务。图 310（2）设置快速端口默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个

25、端口可能最多要等50秒钟的时间（20秒的阻塞时间15秒的侦听延迟时间15秒的学习延迟时间）。对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（Portfast）。设置为快速端口的端口当交换机启动或端口有工作站接入时，将会直接进入转发状态，而不会经历阻塞、侦听、学习状态（假设桥接表已经建立）。图 3116配置访问层交换机duomeiti的trunk端口 设置访问层交换机duomeiti的端口FastEthernet 0/0为trunk端口。图 3127配置其它访问层交换机 其它访问层交换机分别为剩余VLAN的用户提

26、供接入服务。同时，它们也通过自己的fa0/0连到分布层交换机的端口上。这些剩余的访问层交换机其配置步骤、命令与访问层交换机duomeiti的配置相似。这里就不再详细分析了。3.2.2汇聚层分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。1配置分布层交换机fenbu1的基本参数 对分布层交换机fenbu1的基本参数的配置步骤与对访问层交换机duomeiti的基本参数的配置类似。这里，只给出实际的配置步骤，不再给出解释。 图 313配置分布层交换机fenbu1的管理IP、默认网关如图所示，显示了为分布层交换机fenbu1设置管理IP并激活本征VLAN。同时，还

27、设置了默认网关的地址。图 314图 3152配置分布层交换机fenbu1的VTP 当网络中交换机数量很多时，需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐，并且容易出错。因此我们常采用VLAN中继协议（Vlan Trunking Protocol，VTP）来解决这个问题。VTP允许我们在一台交换机上创建所有的VLAN。然后，利用交换机之间的互相学习功能，将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上。同时，有关VLAN的删除、参数更改操作均可传播到其他交换机。从而大大减轻了网络管理人员配置交换机负担。在本校园网实现实例中使用了VTP技术。同时，将分

28、布层交换机fenbu1设置成为VTP服务器，其他交换机设置成为VTP客户机。（1）配置VTP管理域 共享相同VLAN定义数据库的交换机构成一个VTP管理域。每一个VTP管理域都有一个共同的VTP管理域域名。不同VTP管理域的交换机之间不交换VTP通告信息。将VTP管理域的域名定义为campus。图 316（2）设置VTP服务器 工作在VTP服务器模式下的交换机可以创建、删除VLAN、修改VLAN参数。同时，还有责任发送和转发VLAN更新消息。如图所示，设置分布层交换机fenbu1成为VTP服务器。 图 317 4在分布层交换机fenbu1上定义VLAN 在本校园网实现实例中，除了默认的本地VL

29、AN外，又定义了14个VLAN，如表4-1所示。由于使用了VTP技术，所以所有VLAN的定义只需要在VTP服务器，即分布层交换机fenbu1上进行。如图所示，定义了3个VLAN，同时为每个VLAN命名。图 3185配置分布层交换机fenbu1的端口基本参数 图 3196配置其他分布层交换机对其他汇聚层交换机的配置步骤、命令和对汇聚层交换机fenbu1的配置类似。这里，不再详细分析。3.3核心模块设计注：核心模块设计以秦皇岛校区为例做出实施方案，其他校区与此类似，不做冗述。3.3.1核心层1配置核心层交换机core1的基本参数 对核心层交换机core1的基本参数的配置步骤与对访问层交换机duom

30、eiti的基本参数的配置类似。基本配置如下：图 3202配置核心层交换机core1的管理IP、默认网关 如图所示，显示了为核心层交换机core1设置管理IP并激活本征VLAN。同时，还设置了默认网关的地址。图 3213.配置核心层交换机core1的的VLAN及VTP在本实例中，核心层交换机core1也将作为VTP客户机。这里核心层交换机core1将通过VTP获得在分布层交换机fenbu1中定义的所有VLAN的信息。图 3224配置核心层交换机core1的端口参数核心层交换机core1通过自己的端口f0/4同广域网接入模块（Internet路由器）相连。同时，核心层交换机core1的端口fa/0- 6分别连到分布层交换机fenbu1和fenbu2的端口。图 3235.配置核