职业学院毕业论文大规模多校区校园网规划设计与实现.docx

1、职业学院毕业论文大规模多校区校园网规划设计与实现四川邮电职业技术学院毕 业 论 文论文（设计）题目： 大规模多校区校园网规划、设计与实现 班 级： 12级信息安全班 *学 号： * *时间：2014 年 5月15 日四川邮电职业技术学院毕 业 设 计（论文）任 务 书班级12级信息安全姓名袁帅学号1212208134论文（或设计）题 目大规模多校区校园网规划、设计与实现指导教师姓名黄晓波指导教师专业技术职称助教设计根据、内容、技术要求，主要设计方法（或步骤）：第一：你要有个需求分析，需要些什么功能，对网络有些什么要求，这是必须做的第二：根据需求，配置能满足需求的各个网络设备第三：根据需求和设备

2、配置，进行组网设计与方案设计第四：根据设计，设计实施的网络规划，设计网络拓扑图第五：建立拓扑图，进行测试，根据设计实施主要参考文献、资料：1杨卫东.网络系统集成与工程设计M.科学出版社, 2002.42胡道元.网络设计师教程M.北京:清华大学出版社,2001.3 3刘长明,郭明桥.局域网组建入门与提高M.航空工业出版社,2001.12要求完成时间2014年5 月15 日内容摘要第一章 引言1背景及意义2目前校园网建设现状第二章 需求分析1网络应用需求2网络安全需求3网络可靠性需求4网络管理需求5常用网络技术简介 交换技术 路由技术 安全技术 无线技术第三章 网络规划与设计1网络设计目标2规划设

3、计原则3整体拓扑图4信息点分布5IP地址规划6vlan规划7网络安全防护设计8无线网络规划9接入层设计10汇聚层设计11核心层设计12网络设备选型13服务器选型第四章 网络实现与配置1交换技术实现2路由技术实现3服务器技术实现4安全技术实现5无线技术实现第五章 网络测试验证1网络连通性测试2服务器测试3网络安全测试 第六章 总结致谢参考文献.大规模多校区校园网规划、设计与实现袁帅内容摘要：随着互联网技术的蓬勃发展，设计一个切实可行并具有很好的安全性的校园网络是一件富有挑战性的工作。本文通过分析网络技术特点和目前校园网的普遍需求及实际应用，讲解了校园网络的基本知识，包括路由器，三层交换机，无线A

4、P，服务器等网络设备，VLAN，和IP地址，同时对主要设备进行了选型。最后，对整个设计进行 总结，分析校园网络中存在的问题和需要继续完善的地方。.关键词：校园网；设计方案；方案实现第一章 引言1.1背景及意义1.2计算机网络在校园的应用 当今世界，各种先进的科学技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异，从各个方面影响和改变着我们的生活，而其中的计算机网络技术的发展更为迅速，已经渗透到了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的学习与生活条件带来更大的方便，我们与外部世界的联系将

5、更加的紧密和快速。在二十一世纪，普及信息科技，是提高素质教育的一项十分重要的内容，网络技术为提高我们的学习条件具有重要作用。图1所示为校园网应用体系模型。图1 校园网应用体系模型第二节需求分析2.1网络设计目标 概括起来校园网四个方面的典型应用： 第一，校园网是为学生学习活动服务的，是一种学习工具。她不但是学生与他人之间的交流工具，同时也是学习资源的提供者，有利于学生进行探索学习和协作学习。 第二，校园网是为教师的教学和科研活动服务的，如提供教学资源、辅助教师备课，参与课堂教学活动和支持教师再学习活动等。 第三，校园网是为学校教育教学管理服务的，如辅助学校的学生学籍管理、人事管理、财务管理等。

6、 第四，校园网是沟通学校与外面的窗口，利用她既可以从校外获取各种信息，也可以向外发布各种信息。 综上所述，我们可以将校园网定义为：一种为学校学习活动、教学活动、科研活动和管理活动服务的校园内局域网络环境。且它是建构在多媒体技术和现代网络技术之上并与因特网连接的。目前教育改革已将计算机网络引入到学校教学的各个环节，引起了教学方法，教学手段，教学工具的重大变革， 资源共享 互联网接入 应用平台 电子图书 课件系统 教务管理 办公学习 远程教学 多媒体教学。 这些变革为实现教育现代化起到了巨大的推动作用，因此大力发展计算机教育特别是计算机网络教育。建设校园计算机网络系统已成为我国各教育部门，各级学校

7、都已建成或正在拟建各种教学网络，发展和建设校园计算机网络将成为今后发展的必然趋势。2.2设计原则2.2.1先进性 为了达到最好的教学效果，所以网络速度和稳定性相应要比较高。为了能够达到最加效果，本着最小投资的原则，在本方案中决定采用cisco的网络设备。这样可以最大的节约成本和最大限度的提高设备的质量。由于在校园网中存在大量的网络设备，为了保障整个网络的正常运作，学校安装了cisco的网管软件来对整个网络的运作进行监控。此网管系统支持SNMP、RMON等网络管理协议，能对网络中的设备进行远程监控，通过探测每台网络设备的工作状态，来保证整个网络的可靠性。一旦网络设备出现问题，网管系统会及时准确地

8、发现问题所在，并发出警告信息。通过此软件不但可以帮助学校网管人员及时排除故障，又能大大降低学校在网络维护费用上的支出。2.2.2 可靠性 校园网建设的可靠性是非常重要的，在选型时候，明确提出要求网络设备厂商具备自主研发和自主生产的能力，这样才能够保证网络产品的可靠运行，同时保证后期设备的维护和升级。 2.2.3 安全性 内外网通讯安全 考虑到校园内部网络的安全性，在Internet入口处加装了cisco设备的防火墙，它能自动进行对不明数据包的检测，可拒绝所有XX的网络访问尝试，并生成实时报警和报告，避免了XX访问和其他来自因特网的外部威胁和黑客侵袭。 网络设备安全整个校园网络所采用的cisco

9、产品都具有不同级别的密码保护，网络管理员可以根据不同的需要制定多样的安全级别来保护网络设备自身的安全性，例如指定哪种类型用户可以获得何种级别的权限、对网络设备进行哪些方面的修改等，从而最大程度地保护设备的安全。 VLAN划分保证内网访问安全 由于整个校园网节点数多达2000多个，从保证内网的访问安全和便于管理的角度考虑，对整个校园网进行了VLAN的划分。网络中的各节点按相同职能部门或者相同的应用划分到同一个VLAN当中，不同VLAN之间的用户是不能互相访问的。譬如学校领导和普通教师之间，由于职能的差异，互相之间数据不能共享，因此将他们划分到不同的VLAN当中，这样不会造成数据的错误传播以及不必

10、要的数据泄漏，并能有效避免广播风暴的形成。 2.3 系统需求分析 不同应用及数据流所占用带宽分析：基础信息服务约占用 100MB 视频电话、网络会议、数字音频约占用 100500M视频流媒体播放 5001000M WWW、FTP、E-Mail服务约占用 10M文件传输、Internet访问约占用 15M 由以上数据可以满足所有应用要求，单个用户所独占的网络带宽必须在 10M 以上，加上网络上固有的广播风暴，设计目标是使单用户在某一个时间独占的带宽不小于100M。这样就足以实现网络视频播放、计算机网络和各种网络服务合一，而且也符合现今主流的10M/100M自适应网络的要求。第二章校园网方案第一节

11、校园网方案设计1.1逻辑网络设计1.1.1 IP地址规划及VLAN设计 所谓IP地址就是给每一个直接与Internet相连的主机分配一个在全世界范围惟一的网络地址。目前，大多使用的是32位的IPv4地址，寻址时路由器先按IP地址中的网络号net-id把网络找到；当找到目的网络后，再用ARP协议用主机号hostid找到主机。实际上，由于一台主机可能有多个IP地址，因此IP地址只是标志了一台计算机的某个接口。 虚拟网络（VLAN，Virtual Local Area Network）技术在校园网络中起到举足轻重的作用，应为VLAN技术可以提高校园网的效率和安全性，便于对用户的管理。VLAN的技术优

12、势主要体现在以下几个方面：增加了网络连接的灵活性； 控制网络上的广播； 加强了网络的安全性； 网络管理简单、直观；根据VLAN在交换机上的实现方式，在本方案中我们采用了基于端口的静态VLAN。本设计采用三层交换结构，两台核心交换机，两台汇聚交换机，四十二台接入交换机，目前现在的配置可以满足整个校园的需求。详细情况请参照图2： 图2 校园网拓补图1.2 拓扑结构设计1.2.1层次型结构的提出 层次型网络设计是一种使用分层的、模块化的模型设计校园网的技术。层次型网络设计模型可以按层设计拓扑结构，每层的重点集中于特定的功能上，有利于分配和规划带宽和选择适当的系统和功能。 层次型拓扑设计具有如下好处。

13、 减轻网络中设备的CPU负载 降低网络成本 简化每个设计元素并且易于理解 容易更改层次结构 提高设备的利用率图3 三层模型示意图1.2.2核心层结构设计 核心层是校园网互联网络的高速交换主干，用来实现远程站点之间的优化传输，对协调校园网的通信非常重要。核心层负责完成网络各汇聚节点之间的互联及高效的数据传输、交换、转发及路由分发。核心层结构有以下特点： 提供高可靠性和冗余性； 提供故障隔离； 迅速适应升级； 提供较少的滞后和较好的可管理性； 具有有限和一致的直径。 目前校园网核心层设备一般采用万兆核心以太网交换机，万兆以太网交换机构成了网络的骨干部分。核心交换机还可以下接许多百兆或千兆交换机作为

14、汇聚层交换机，汇聚层交换机在通过100Mbps传输介质连接工作站。 一般核心层设备采用高性能的交换网芯片以及高性能的网络处理器芯片，要求有极高的系统总吞吐量和背板容量，可支持多个千兆端口。 核心交换机安放在网络中心方便管理，网络核心层设备的以太网交换机应具有以能： 、高可靠性 、大容量高密度 、线速转发性能 、完善的QoS功能 、完善的安全机制 、强大的业务能力 1.2.3汇聚层结构设计 网络汇聚层是网络接入层和核心层之间的分界层，包括园区主干网络及所有连接的路由器。汇聚层负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，还能通过高速接口将数据传输到核心层，在更大范围内进行数据的路

15、由以及处理。汇聚交换机分别位于一、二号教学楼，如图4：图4 汇聚层交换机汇聚层多下将接入层交换机的数据进行汇聚，对上通过高速接口将数据传输到核心交换机上，起到承上启下的作用。设计汇聚层时根据汇聚层的主要功能，应考虑到以下几点：汇聚层设备要有足够的带宽； 具有三层和多层交换特性； 具有灵活多样的业务能力； 必须具有冗余和负载均衡能力；汇聚层设备要进行VLAN之间的通信，因此一般为支持三层或三层以上的多层交换设备，汇聚层设备的多层以太网交换机应具备以下特点： 支持三层交换对上连接提供多种千兆端口 模块化组网 支持丰富的二层协议 完善的安全机制 丰富的QoS支持 实用方便的网管能力1.2.4接入层结

16、构设计接入层为用户提供多网络本地网段的访问，它的主要作用事将工作组与汇聚层连接起来，主要完成逻辑网络分段、基于工作组或LAN隔离广播通信量以及在多个CPU之间分布服务。介入层设备位于网络的末端，对下提供对工作站的接入，对上连接到汇聚层交换机。接入层设备提供各种标准接口将数据接入到网络中，完成基于业务系统之间的隔离和安全性控制、认证管理等功能。网络接入层设备应具有如下特点：提供各种不同数量的100Mbps端口到用户，提供1000Mbps或1Gbps（电口、光口）上行端口到上层交换机；高性能，低成本，所有端口支持全线速二层交换；支持标准以太网协议，支持丰富的业界标准，充分考虑兼容现有网络设施； 网

17、络设备可扩展性好，可平滑升级；支持丰富的业务特性，如VLAN、VLANTrunk、链路聚合、端口镜像、QOS多播、安全特性等； 方便实用的网管。1.3校园网接入Internet在信息化飞速发展的今天需要考虑校园网与互联网的连接问题。一但接入互联网，就会涉及到很多管理、安全等方面的问题，校园网除了接入CERNET以外，还同时选择了中国网通作为出口接入点。 校园网有两条出口，一个是光纤接入教育网，另一个是中国网通100Mbps专线。考虑到IP地址匮乏的原因校园网内部采用NAT地址装换方式提供Internet访问服务。 NAT 的主要功能包括以下几个方面： 转换内部局部地址。在内部局部地址和内部全局

18、地址之间建立映射关系； 内部全局地址复用。可以通过润许TCP连接或UDP会话中的原端口进行转换而节省内部全局地址，用各个内部主机的TCP或UDP端口号区别； TCP负载均衡。对于某些外部网络发起的与内部网络的通信数据流，可以为其配置一种目的地址转换得动态形式。1.4校园信源点分布根据校园的情况，由于图书馆地理位置特殊，处在中心位置，我们选定它作为网络中心。我们在里安放核心交换机2台，接入交换机2台，路由器2台，服务器4台，防火墙设备：1套。 我们把校园的建筑虚拟的分为两个组，一组包括（1-15栋宿舍，图书馆，二号教学楼），另一组包括（一、二号实验楼，一号教学楼，1-6号办公楼，15-22栋宿舍

19、，食堂） 一组：我们在二号教学楼安放一台汇聚，所有的接入交换机都汇聚在这里，在这一组里信息源点分布较多，所以在这一组里放置24台接入交换机。二组：我们在一号教学楼安放一台汇聚交换机，这组其他建筑的接入交换机都汇聚在这里，在这组里我们放置18台接入交换机。1.5网络设备的选择第三章校园网实现第一节 交换机配置1.1核心层配置 配置基本参数 在全局模式下，用conf t，进入配置模式，进行以下配置： #conf t #clock timezone GMT 8 ；配置时区 #clock set 13:30:21 31 JAN 2004 ；配置交换机时间 #clock calendar-valid ；

20、使能硬件时钟同步 #service timestamps debug datetime localtime ；配置系统debug记录时间格式 #service timestamps log datetime localtime ；配置系统日志记录时间格式 #service password-encryption ；配置使用加密服务，主要针对口令加 #hostname 123 ；配置交换机名 #enable secret 0 123456 ；配置enable口令 #copy run start ；将配置信息保存到NVRAM中，重启动不会丢#line vty 0 4 ；配置telnet #exec

21、-timeout 30 0 #password 0 123456 #login 配置核心层交换机的管理IP、默认网关 #interface vlan 1 #ip address 192.168.0.1 255.255.255.0#no shutdown #exit #ip default-gateway 192.168.0.254 配置核心层交换机的端口参数 核心层交换机Switch1通过自己的端口FastEthernet 4/3同广域网接入模块（Internet路由器）相连。同时，核心层交换机Switch1的端口GigabitEthernet 3/1GigabitEthernet 3/2分别

22、下连到分布层交换机Switch1和DistributeSwitch2的端口GigabitEthernet 0/1。 #interface range fastethernet 0/1 24 #dupex full #speed 100 #switchport mode access #switchport access vlan 1 #spanning-tree portfast #interface range gigabitEthernet 3/1 2 #switchport mode trunk 此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交换机Switch1的千兆

23、端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CoreSwitch2。 #interface port-channel #switchport # interface gigabitEthernet 2/1 2 #channel-group 1 mode desiruble non-silent #no shutdown 配置核心层交换机Switch1的路由功能 核心层交换机Switch1通过端口FastEthernet 0/3同广域网接入模块（Internet 路由器）相连。因此

24、，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。 #ip routing #ip route 0.0.0.0 0.0.0.0 192.168.0.254 注：Switch2的配置步骤、命令和witch1的配置类似（略） 1.2汇聚层配置 配置汇聚层交换机的端口基本参数 Switch1(config)#interface range fastethernet 0/1 24 Switch1(config-if-range)#dupex f

25、ull Switch1(config-if-range)#speed 100 Switch1(config-if-range)#interface range fastethernet 0/1 10 Switch1(config-if-range)#switchport mode access Switch1(config-if-range)#switchport access vlan 100 Switch1(config-if-range)#spanning-tree portfast Switch1(config-if-range)#interface range fastetherne

26、t 0/23 24 Switch1(config-if-range)#switchport mode trunk Switch1(config-if-range)#interface range gigabitEthernet0/12 Switch1(config-if-range)#switchport mode trunk 配置汇聚层交换机的3层交换功能 Switch1(config)#interface vlan 2 Switch1(config-if)#ip address 192.168.1.1 255.255.255.0 Switch1(config-if)#no shutdown

27、 Switch1(config)#interface vlan 3 Switch1(config-if)#ip address 192.168.2.1 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config)#interface vlan 4 Switch1(config-if)#ip address 192.168.3.1 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config)#interface vlan 5 Switch1(config-if)#ip addr

28、ess 192.168.4.1 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config)#interface vlan 6 Switch1(config-if)#ip address 192.168.6.1 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config)#interface vlan 7 Switch1(config-if)#ip address 192.168.7.1 255.255.255.0 Switch1(config-if)#no shutdown

29、 Switch1(config)#interface vlan 8 Switch1(config-if)#ip address 192.168.8.1 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config)#interface vlan 9 Switch1(config-if)#ip address 192.168.6.1 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config)#interface vlan 10 Switch1(config-if)#ip add

30、ress 192.168.7.1 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config)#interface vlan 11 Switch1(config-if)#ip address 192.168.8.1 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config)#interface vlan 12 Switch1(config-if)#ip address 192.168.9.1 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config)#interface vlan 13 Switch1(config-if)#ip address 192.168.10.1 255.255.255.0 Switch1(config-if)#no shutdown1.2接入层配置 配置接入层交换机的基本参数 # enable secret 123