网络设计工程规划 ccna.docx

1、网络设计工程规划 ccna计算机网络规划设 计 报 告题目名称：川师成都学院校园网络规划完成人：杨超完成时间:2011年3月-6月目 录前言 11 需求分析 21.1 网络功能 21.1.1 信息交流功能 21.1.2 教学服务功能 21.1.3 学生学习功能 21.1.4 学校管理功能 21.2网络节点 32 建设思想设计 42.1 先进性 52.2 实用性 52.3 灵活性 52.4 可靠性 52.5 安全性 53 网络技术支持 53.1 路由技术 53.2 交换技术 63.3 VLAN技术 73.4 远程访问技术 73.5 防火墙技术与DMZ 94 具体设计方案 104.1 整体拓扑设计

2、 104.2 网络结构划分及IP地址规划 114.2.1 网络分层结构设计 114.2.2 IP地址规划 114.3 设备选型及描述 124.4 配置清单及预算 144.5 综合布线系统设计和网络链路及链接介质 14附录：实验报告 16川师成都学院校园网络规划前言现今的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软，硬件应用。它的开放式设计意味着更好的整体化及高品质应用的能力。提供的带宽可适合话音，图像，数据的传输，这种带宽结合设备厂商优秀网管模式，可以向用户提供面对面的通讯。根据我对川师成都学院基本情况的了解，本校园网内有8000台计算机。由图书馆,各教学楼，行政楼，

3、新校区,宿舍区与主干网构成整个校园网。根据学院用户日益增加，导致阻塞相当严重，需要适当更改。现在学校已经有了10M流量。地理分布范围在一个大区域内,一个主校区和一个分校区，主要用于学校内部网络通信，也 会利用因特网进行外部业务活动，但是，网络流量主要集中于外网，因此对网络交换能力要求较高，因此是一个局域网的网络项目。经过对部分教师和同学网络需求的调查，期望本校园网建设能达到以下目标：为教育信息的及时、准确、可靠地收集、处理、存储和传输等提供工具和网络环境。为学校行政管理和决策提供基础数据、手段和网络环境，实现办公自动化，提高工作效率、管理和决策水平。为备课、课件制作、授课、学习、练习、辅导、交

4、流、考试和统计评价等各个教学环节提供网络平台和环境。为使用网络通信、视频点播和视频广播技术，提供符合素质教育要求的新型教育模式； 为科学研究的资料检索、收集和分析；成果的交流、研讨；模拟实验等提供环境和手段。通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料，实现素材收集、电子备课功能。培养创新人才，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力，使学生能自主学习、协商学习、发现探究式学习以及自我评价，为学生的全面发展创造相应的条件；校园网的建设能促进教师和学生尽快提高应用信息技术的水平，为学生提供了一个实践的环境，为

5、教师提供了一种先进的辅助教学工具、提供了丰富的资源库。校园网是学校进行教学改革、推行素质教育的一种必不可少的工具，是学校现代化信息管理的基础，也提供了学校与外界交流的窗口。然而，校园网络管理应用系统支持的是一个不断多元化的网络应用系统设备组合，用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展性。1 需求分析1.1 网络功能1.1.1 信息交流功能信息交流功能主要有两个方面的服务功能：互联网信息服务和校内信息服务。互联网信息服务可以使任何一个办公室的计算机都能实现网上浏览、查询信息的功能，使教师能够拓宽视野，充分利用互联网上

6、的资源辅助教学，提升教学理念，提高教师的教学能力、教学水平和科研能力。可以充分利用互联网资源来宣传学校，展示学校的办学能力与办学水平，展示教师的教学能力与科研能力，提升学校的办学形象。校内信息服务能为教育教学和管理决策提供各项信息服务，能为全校师生提供相互交流、相互学习的平台。1.1.2 教学服务功能构建校园网的主要目的就是提高教学质量，为学校的教育教学服务。校园网将主要从以下几个方面为教学服务。建立课件（基件）、教学信息资源库，实现课件点播和辅助教学。将教学资源库建设成为包括各科的教材、教案、试题、录像、图片等对教师备课有参考价值的多媒体素材库。利用网络技术，实现多媒体信息交换、视频点播、远

7、程教育等功能。建立电子备课室、光盘阅览室。电子备课室为教师提供优越的电脑制作条件，配备各种先进的备课设备，方便教师备课使用；光盘阅览室提供大量的电子读物，发挥电子媒体容量大、体积小、成本低、检索快、易于保存和复制、图文并茂等优点，使教师能够用最短的时间获取最多的信息。1.1.3学生学习功能利用网络自主学习，可以提高学生的学习能力。学生可以利用校园网查阅资料，扩展视野；可以利用网络相互交流、相互学习；可以在网络上建立主页，宣传自己，宣传班级；可以利用网络与教师交流，实现无纸化作业等。1.1.4学校管理功能校园网使学校建立完善及时的信息发布体系，在此基础上可以实现学校管理的透明化、公平公正化。学校

8、管理功能主要有以下几个方面。网上办公系统。教务管理系统。学生管理系统。行政办公系统。财务管理系统。后勤管理系统。图书管理系统。1.2 网络节点由于网络接入层，汇聚层，核心层节点位置的地理分布情况是，网络接入层节点设置在建筑物内，因为接入层终端设备较多，所以将汇聚层节点设置在接入层一起。因为接入用户较多，且是内部交换网络，因此网络节点设备交换机要采用高性能，具备大型交换能力的设备。同时考虑到内网用户数据的安全性要求不高并加大网络建设和管理成本，但是为了改善主干链路数据流量的压力，增强网络性能，把外网的信息先通过防火墙过滤，再接入路由器对信息分流，传递到每层。根据学校多种功能并存的实际条件，以及用

9、户对系统的要求，同时也兼顾到其未来长远发展，学校布线系统共布置信息点数约为2522个。表1.2-1 数据信息点区域楼编号单元数量数据信息点总计单元配置小计合计学生公寓1180118018021602180118018031801180180418011801805180118018061801180180718011801808180118018091801180180101801180180111801180180121801180180教师公寓A.B3601360360360一教1661666666二教1321323232三教11281128128128图书馆1761767676行政楼16

10、61666666艺术大楼110211021021022 建设思想设计四川师范大学成都学院工程的建设目标是建设一个集数据、语音、视频服务于一体的高带宽、多功能、多服务、开放的、多业务接入的IP多媒体交换园区网，本次校园网建设以千兆以太网技术为基础，以未来万兆以太网为目标，即主干交换机至各栋楼宇的楼层交换机采用千兆链路，楼层交换机至用户端采用100M交换到桌面，核心层设备未来支持万兆、IPV6、MPLS等前沿技术。同时，本网络在建成后，校园网络要求高速、安全、可靠和可扩展，能为学生和教师提供E-MAIL、FTP、WEB信息发布、VOD视频点播、信息传递等网络应用。并且除了满足自身的业务需求外，还应

11、该起到一个示范性、品牌性、辐射性的社会效应。四川师范大学成都学院网络建成后，校园网络要求能为学生和教师FTP、WEB信息发布、VOD视频点播、信息传递等网络应用，并能实现教育网的无缝连接，所以本次校园网采用的网络设备必须支持各种完善的网络协议，同时能够满足各种应用数据流在网络中的运行，确保网络通讯的高效率，确保资金的合理利用。因此要求校园网是高性能、高速、安全、可靠和可扩展的网络。随着网络安全问题的日益严重，本次四川师范大学成都学院网对于网络的安全非常重视，要求至少从两个方面考虑解决全网的安全问题：一个是防御来在外网的网络攻击，一个是控制来自网内的网络行为，以达到保证网络设备及网络用户安全使用

12、的双重目的。所以，一方面要求在校园网出口配置一台高性能的防火墙隔离内外网，另一方面要求校园网网络系统能够提供基于硬件的安全措施：具有针对用户网络行为做出实时的信息反馈的功能和控制功能。综上所述，根据四川师范大学成都学院校园网工程项目的任务和需求，投标人应提出具体的技术解决方案。技术方案应该本着以下原则进行设计：2.1 先进性先进的设计思想、网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品。 2.2 实用性建网时应考虑利用和保护现有的资源、充分发挥设备效益； 2。3 开放性：遵从国际标准,系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口，以利于网络的维护、扩展升级及

13、与外界信息的沟通。 2.3灵活性采用积木式模块组合和结构化设计，使系统配置灵活，满足学校逐步到位的建网原则，使网络具有强大的可增长性； 2.4可靠性具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析不要一味追求最新，还要考虑当前实际需要，选择合理的设备搭配，使达到良好的性能价格比。 2.5安全性包括两个方面，1、网络用户级的安全性；2、数据传输级的安全性。网络用户级的安全性应在网络的操作系统中予考虑，而数据传输的安全性则必须在网络通宵时解决。3 网络技术支持3.1 路由技术路由技术主要是指路由选择算法。因特网的路由选择协议的特点及分类。其中，路由选择算法可以

14、分为静态路由选择算法和动态路由选择算法。因特网的路由选择协议的特点是：属于自适应的选择协议（即动态的）；是分布式路由选择协议；采用分层次的路由选择协议，即分自治系统内部和自治系统外部路由选择协议。因特网的路由选择协议划分为两大类：内部网关协议（IGP,具体的协议有RIP和OSPF等）和外部网关协议（EGP,目前使用最多的是BGP）。路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（ACCESS CONTROL LIST，ACL），路由器还可以用来完成以路由器为中心的流量控

15、制和过滤功能。在本工程中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。三层交换技术(也称多层交换技术,或IP交换技术):所谓的三层交换技术,是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,三层交换技术就是:二层交换技术+三层转发技术。三层交换机的最重要目的是加快大型局域网内部的数据交换,揉合进去的路由功能也是为这目的服务的,所以它的路由功能没有同一档次的专业路由器强。3.2三层交换技术现代交换技术还实现了第3层交换和多层

16、交换。高层交换技术的引入不但提高了校园网数据交换的效率，更大大增强了校园网数据交换服务质量，满足了不同类型网络应用程序的需要。三层交换技术的原理:一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。第三层交换工作在OSI七层网络模型中的第三层即网络层,是利用第三层协议中的IP包的包头信息来对后续数据业务流进行标记,具有同一标记的业务流的后续报文被交换到第二层数据链路层,从而打通源IP地址和目的IP地址之间的一条通路。这条通路经过第二层链路层。有了这条通路,三层交换机就没有必要每次将接收到的数据包进行

17、拆包来判断路由,而是直接将数据包进行转发,将数据流进行交换。 具体的工作过程是:假设两个使用IP协议的站点A、B通过第三层交换机进行通信,发送站点A在开始发送时,把自己的IP地址与B站的IP地址比较,判断B站是否与自己在同一子网内。若目的站B与发送站A在同一子网内,则进行二层的转发。若两个站点不在同一子网内,如发送站A要与目的站B通信,发送站A要向“缺省网关”发出ARP(地址解析)封包,而“缺省网关”的IP地址其实是三层交换机的三层交换模块。当发送站A对“缺省网关”的IP地址广播出一个ARP请求时,如果三层交换模块在以前的通信过程中已经知道B站的MAC地址,则向发送站A回复B的MAC地址。否则

18、三层交换模块根据路由信息向B站广播一个ARP请求,B站得到此ARP请求后向三层交换模块回复其MAC地址,三层交换模块保存此地址并回复给发送站A,同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。从这以后,当A向B发送的数据包便全部交给二层交换处理,信息得以高速交换。由于仅仅在路由过程中才需要三层处理,绝大部分数据都通过二层交换转发,因此三层交换机的速度很快,接近二层交换机的速度,同时比相同路由器的价格低很多。三层交换技术的优势:三层交换机是为IP设计的,接口类型简单,拥有很强二层包处理能力,更适用于大型局域网。为了减小广播风暴的危害,必须把大型局域网按功能或地域等因素划他成一个一个的小

19、局域网,也就是一个一个的小网段,这样必然导致不同网段这间存在大量的互访,单纯使用二层交换机没办法实现网间的互访而单纯使用路由器,则由于端口数量有限,路由速度较慢,而限制了网络的规模和访问速度,所以这种环境下,由二层交换技术和路由技术有机结合而成的三层交换机就最为适合。而三层交换技术相对于路由器比起来也有其不具备的功能:路由器端口类型多,支持的三层协议多,路由能力强,所以适合于在大型网络之间的互连。虽然不少三层交换机甚至二层交换机都有异质网络的互连端口,但一般大型网络的互连端口不多,互连设备的主要功能不在于在端口之间进行快速交换,而是要选择最佳路径,进行负载分担,链路备份和最重要的与其它网络进行

20、路由信息交换,所有这些都是路由完成的功能。在价格方面,三层交换机产品的价格一般至少都在1万元以上。随着三层交换机产品的价格在不断下降,产品的性价比不断提高,其市场可提升空间也在不断的扩大。3.3 虚拟局域网VLAN技术虚拟局域网（VIRTUAL LAN，VLAN），VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（VLAN TRUNKING PROTOCOL，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后

21、通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。3.4 入口路由器的ACL技术ACL:即访问控制列表,它是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、APPLETALK等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间。ACL的优点:信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的

22、网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。ACL的作用:可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级;提供对通信流量的控制手段,例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;ACL是提供网络安全访问的基本手段,ACL允许主机A访问信息部网络,而拒绝主机B访问;ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-MAIL通信流量被路由,拒绝所有的TELNET通信流量。ACL定义时所需遵循的规范:ACL的列表号指出了是哪种协议

23、的ACL。各种协议有自己的ACL,而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号,那么就会出错误。一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说,如果路由器上启用了IP和IPX两种协议栈,那么路由器的一个接口上可以配置IP、IPX两种协议,每种协议进出两个方向,共四个ACL。ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时,会按照各项描述语句在ACL中的顺序,根据各描述语句的

24、判断条件,对数据报进行检查,一旦找到了某一匹配条件就结束比较过程,不再检查以后的其他条件判断语句。最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上,把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行,可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。新的表项只能被添加到ACL的末尾,这意味着不可能改变已有访问控制列表的功能。如果必须改变,只有先删除已存在的ACL,然后创建一个新ACL,将新ACL应用到相应的接口上。在将ACL应用到接口之前,一定要先建立ACL。首先在全局模式下建立ACL,然后把它应用在接口的出方向或进

25、方向上。在接口上应用一个不存在的ACL是不可能的。ACL语句不能被逐条的删除,只能一次性删除整个ACL。 在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在 ACL里一定至少有一条“允许”的语句。 ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包。 ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包。 在路由器选择决定以后,应用在接口离开方向的ACL起作用。3.5 NAT技术NAT中文意思是“网络地址转换”允许一个整体机构以一个公用IP地址出现在INTERNET上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。如图：图3

26、.5-1 NAT地址转换NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将 内部地址替换成公用地址，从而在外部公网上正常使用，NAT可以使多台计算机共享INTERNET连接，这一功能很好地解决了公共 IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入INTERNET中。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全 局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多

27、个内部局部地址，是全球统一的可寻址的地址。图3.5-2 NAT结构NAT的优点: 对于那些家庭用户或者小型的商业机构来说，使用NAT可以更便宜，更有效率地接入INTERNET。使用NAT可以缓解目前全球IP地址不足的问题。在很多情况下，NAT能够满足安全性的需要。使用NAT可以方便网络的管理，并大大提高了网络的适应性。4 详细设计方案4.1 整体拓扑设计川师成都学院的网络连接应采用总线和星型相结合的网路拓扑。因为主校区有三栋教学楼、行政楼、教工住宅,学生住宅。教学楼和行政楼采用星型和总线型的结构设计，教工住宅和学生住宅采用总线设计。图4.1-1 校园网络拓扑设计图4.2 网络结构划分及IP地址

28、规划4.2.1 网络分层结构设计根据川师成都学院的实际情况，网络采用接入层，汇聚层，核心层。根据对该校校园网功能需求分析得出采用3层结构才能满足用户的需求和其他人员的使用需求，采用总线型结构加网状结构的网络拓扑。由于采用大型交换机技术，为了避免广播风暴带来不必要的带宽影响，因此要采用VLAN进行工作组的划分，防止网络安全发生，隔离有关危害信息对青少年的影响，应采用防火墙过滤有关外网信息。为广大学生和老师提供一个安全的交流平台。核心层(在第二教学楼的核心交换机)、汇聚层(每栋楼的汇聚交换机)、接入层(各层楼的交换机)从逻辑上，校园网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点

29、可以总结为如下几点：可扩展性：因为网络可模块化增长而不会遇到问题。简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题。设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境。可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。 图4.2.1-1 网络分层结构4.2.2 IP地址规划表4.2.2-1 川师成都学院IP总体规划川师成都学院校园网IP总体规划用途地址范围大小汇总地址VLAN范围用户办公与教学172。20。1。0-172。20。16。0/2420个C172。2

30、0。1。0/2410-200预留172。20。17。0-172。20。24。0/248个C172。20。17。0/24教师宿舍172。20。25。0-172。20。32。0/248个C172。20。25。0/24170-240学生宿舍172。20。33。0-172。20。64。0/2432个C172。20。33。0/24250-560预留172。20。65。0-172。20。80。0/2420个C172。20。65。0/24服务器服务器172。20。81。0/241个C172。20。81。0/24800公网IP地址联通提供的外网119。6。30。661个4.3 设备选型及描述通过与学校网络中心的管理人员调查得知,目前学校用的都是H3C设备,性价比高。支持国产,思科太贵,不适合学校。新的网络规划中,为节约成本。将继续使用H3C设备。以下为该公司设备的简述。交换机:H3C能够提供业界覆盖最全面的交换机产品。从园区到数据中心、盒式到箱式、从FE、GE到10G和100G，从L2到L4/7，从IPV4到IPV6，从接入到核心，用户都有最丰富选择和灵活组合。 在以太网领域，经历多年的耕耘和发展，H3C积累了大量业界领先的知识产权和专利，产品覆盖园区交换机和数据中心交换机产品，从核心骨干到边缘接入10多个系列上百款产品，并且全部通过中国信息产业部、TOLLY GR0UP