网络规划师论文模板.docx

1、网络规划师论文模板网络规划师论文模板 摘要 本文讨论了地性大学 XX学院二期网络工程项目案的规划和设计。该工程项目投入经费 150万元，建设期为 6 个月。在项目的建设过程中，本人有幸参与了整个建设案的规划、设计，并组织参与了整个项目的招标、投标工程建设等工作。该工程是在原部局域网的基础上升级改建的，新增了 220 个信息点作为数字化校园专用信息点，采用双核心冗余的三层星型拓扑结构，并优化网络信息服务，建立了外网能直接安全地访问校网的数字化校园应用系统的 vpn互连，充分实现了信息的共享。整个项目包含项目性能和安全等规划、网络设备、网络布线、服务器、操作系统和 ORACLE数据软件、施工、后期

2、维护和验收。本工程项目基本完工后就投入运行，顺利通过相关测试，并验收结项，得到了学校领导和教职工的一致好评。最后针对本项目的一些规划设计工作中提出了今后需要进一步改进意见。正文 2010年 10 月，作为地性大学 XX学院信息网络中心的一名技术骨干，我有幸参与了本单位数字化校园网络工程案的规划，设计，并组织参与了整个项目了招标、投标，工程建设，且承担了该网络的运维工作。该网络工程建设的投资经费为 150 万元。本单位目前已建成校园网是主干千兆链路，百兆到桌面。校园网电信出口总带宽为 2034Mb，电信的带宽的利用率在 80%左右，流控设备 acenet3000（30 万）上限制学生的带宽限在

3、1Mb、老师 2Mb。教科网出口总带宽是 10Mb。网通的带宽 200Mb。校园网现有千兆核心以太网交换机 2台，千兆核心路由器 2台，百兆路由器 2台，千兆防火墙 juniper SRX 3400（66万一台）2台，一台防火墙负责外网 ACL和 NAT，一台防火墙负责网 ACL，服务器部署在 DMZ区，各种交换机 120多台，流控设备acenet3000 一台。juniper SA4500（6 万）的 ssl vpn 设备一台，有 2000 用户并发量。在学校图书馆大楼建成无线网络。全校网络信息点 8000 个左右，用户数 1 万个左右，网络中心现有各种小型机和服务器 30余台。运行多种操作

4、系统，承载了包括 DNS、Web、Mail、Ftp、杀毒、计费、日志等基础服务和教务管理、网络教学平台、精品课程、外语在线教学等一大批服务教学和管理的应用系统。目前已有的校园网拓扑结构如下：PC 接到接入交换机，接入交换机接到汇聚交换机，汇聚交换机接到核心交换机，核心交换机分别接到网、外网防火墙，外网防火墙接到路由器，路由器接到internet,其中防火墙上做 NAT，路由通过光纤接口接到教科网、电信、网通，路由器采用策略路由把目的地址把 ip包转发到相应的教科网、电信、网通；2个防火墙，一个是做网过滤，一个是做外网过滤，无线控制器旁路接在校园网核心交换机上。这次的网络建设主要为数字化校园的统

5、一身份认证、信息门户、公共数据三大平台和 OA、一卡通系统的将来上线能为学校的教学、科研、管理等提供了畅通的网络性能和安全性、可靠性保障需求进行的。数字化校园的各个应用系统分为、外网访问。其建设的目标是在原部局域网的基础上升级改建，新增了 220 个信息点（信息点在学校新竣工的综合服务大楼，这些信息点都是数据化校园应用系统的主要访问信息点），能最大限度的保障网络系统的不间断运行，并优化网络信息服务，为学校各下属单位和校外重要教师实现 vpn网络互连，实现相互间信息共享。我在投入资金限制的前提下，在学校可以容忍的网络系统、风险和可以接受的成本之间作为取舍，充分利用现有的条件及成熟的技术，保护已有

6、的网络投资，对学校网络进行了全面细致的规划，并且最大限度地发挥管理功效，尽可能全位地提高学校网络性能和安全水平。本单位网络工程在建设案规划过程中我们主要紧系了如下几个面的策略选择。综合布线案。综合服务大楼是一幢 6层的建筑物，每 2个楼层一个设备间，每个设备间到管理的 2层楼房的信息点距离均在 90 米以。每位办公人员均有一台计算机。二期网络工程要求每台计算机均能访问 internet，同时要求与校已有的网络互通。领导层，中层干部等群体将来也会在这里大楼中使用数字化校园系统中的数据查询功能，并且一卡通的卡务中心也设置在此大楼的一楼。基于本单位的现状，首先在办公室楼进行结构化综合布线工程，以利于

7、今后信息点的扩展。采用集中走线的案，使用超 5类非屏蔽双绞线，100Mbps 带宽。按照 GB50311-2007综合布线工程设计规。对重要的信息点到接入层交换机，采用 2条超 5类非屏蔽双绞线连接到接入交换机，一条用来正常工作，另一条作为冷备份。接入交换机到汇聚交换机采用多条链路捆绑技术，从而达到带宽倍增，均衡网络流量、增加链路可靠性等目的。接入交换机到核心交换机分别在两幢大楼中，且它们的距离超过 550米，采用 12芯的长飞单模光纤连接（10元/米）（综合比较了长飞、富通和光意等厂家的性价比），它比双绞线具有抗电磁干扰和雷击等作用，比较可靠安全，性能也好，其中每 2 芯分别先连接到 2 个

8、互备的数字化校园核心交换机，其他的 8芯作为冷备，极大的增加了汇聚到核心交换机的链路可靠性。平时用光维光功率计和 fluke分别检测、维护光纤和双绞线的故障。我们的图书馆有 5层，每层 60*20 平米左右，一层部署 3 个 AP，因为 AP 实际信号围比理论要小很多，依据实际测量一个 AP 的实际围在 20米左右，会议室和阅览器单独部署 AP，共部署 18台 AP。瘦 AP 通过接入交换机的 POE供电，瘦 AP 通过双绞线连接到接入层交换机。网络拓扑结构逻辑结构设计案。数字化校园的网络上运行着学校的所有公文数据和财务数据和学生老师教学科研数据，它的可靠运行关系到学校的正常运转。满足受整体经

9、费限制和将来网络扩展、网络信息安全、可靠传输要求高的目前需要，为了使已有的网络和正在建设的数字化校园的网络最大限度的不相互干扰。在物理层上，数字化校园的核心网络不重用已有的核心交换机。在本单位此次的网络工程逻辑结构设计时，采用双核心冗余的三层星型拓扑结构，双核心交换机之间采用 MSTP 协议进行双链路连接，配置 VRRP 协议设置虚拟网关，在数据链路层和网络层增加了网络的可靠性,以及在数据链路层的 VLAN上实现了不同 VLAN的数据包流量的负载均衡,不重用已有的核心交换机，在硬件上使数字化校园的网络和原有的校园网络在核心层上的分离，充分保障了数字化校园应用系统的网络和整个校园网络的可靠性。所

10、有数字化校园系统的服务器通过部防火墙都接在这两台核心交换机上。已有的网络架构中为减少网络中各部分的相关性，便于以后网络的扩展包括这次的数字换校园专用网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次，以有的网络架构的扩展性很强，这次的数字化校园网络工程项目充分建立在以有网络的扩展性上。核心层负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发，核心层是计算机网络的主干部分，计算机网络的这个分层结构中不应该被牵扯到费力的数据包操作或者任减慢数据交换的处理。在划分计算机网络逻辑功能时，应该避免在核心层中使用像访问控制列表和数据包过滤这类

11、的功能。核心层主要负责以下的工作:提供交换区块之间的连接；提供到其他区块(如服务器区块)的访问；尽可能快地交换数据帧或者数据包。汇聚层负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的围进行数据的路由以及处理和 ACL规则过滤，汇聚层是计算机网络接入层和核心层之间的分界点，帮助定义和区分计算机网络的核心层。接入层设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能，接入层能够通过过滤或访问控制列表提供对用户流量的进一步控制。在局域网络环境中，接入层主要侧重于通过低成本，高端口密度的设备提供服务功能

12、，接入层的主要功能如下:为最终网络用户提供计算机网络的接入端口；为计算机网络提供交换的带宽；提供计算机网络的第二层服务，如基于接口或 Mac地址的 Vlan成员资格和数据流过滤。这次的数字化校园网络工程的整体网络拓扑结构如下：新大楼的信息点接到接入交换机，接入交换机接到汇聚交换机，汇聚交换机直接接到数字化校园的核心交换机，数字化校园的核心交换机连接到校园网的核心交换机，数字化校园的网服务器通过数字化校园的核心交换机连接到网防火墙，网防火墙再连接到数字换校园的核心交换机；数字化校园的对外网提供服务的服务器通过数字化校园的核心交换机连接到校网的核心交换机。其中当新大楼的信息点访问数字化校园的网应用

13、系统时，数据包从新大楼接入交换机到新大楼汇聚交换机，再直接到数字化校园的核心交换机，再到防火墙，再到数字化校园应用系统；而已有的学校其他信息点访问数字化校园应用系统时，数据包从已有的接入交换机，到已有的汇聚交换机，再到校核心交换机，再到数字化校园核心交换机，再到防火墙，再到数字化校园应用系统。这样充分的利用了已有的校网结构，又增强了数字化校园在物理层上的可靠性。网络规划设计中碰到的问题及解决：由于受资金的限制，在规划案中的链路和应用负载均衡器是个权衡的重点，一台这么的设备需要几十万，有了这么一台的商业设备，出口的链路和应用系统的性能和可靠性会大幅度的提高，可是以目前的 130 万元的资金投入只

14、能满足基本的网络设备、网络信息点的布线，服务器和软件的采购、施工。考虑到目前学校的数字化校园的应用系统也是逐步上线，上线后也是先向教师开放，再向学生开放的步伐，考虑在出口线路的单点故障上采用策略陆由和冷备链路的式，在服务器应用系统的单点故障上采用开源软件实现应用的负载均衡目的。等学校的数字化校园应用系统的应用到了一定的规模，以及再有资金投入的情况下，再购买像深信服这样的负载均衡器。确定了分二步走的目标。网络设备选择：在同类产品中综合比较了 h3c,cisco,juniper这 3个市场上的主流厂家的交换机，考虑性价比以及将来网络的扩展和与现有网络的充分兼容（现有网络的设备主要以 H3C 为主）

15、、目前的需求和以后技术支持，选择了目前 H3C 的主流产品，主流产品不容易被淘汰。核心交换机采用 H3C 的核心设备 7510E（5万），支持ipv4/ipv6,支持双电源冗余和双主控交换板，支持 24口千兆光口板，以便于今后网络扩建时更多的数字化校园专用的汇聚层交换机的接入，并且有 10 个业务槽位数量。具有良好的可扩展性和可靠性。该核心交换机放置在网络中心机房，选购核心交换机 2台。汇聚层设备采用 H3C 的 S5500-28F-EI（2.2 万），支持 ipv4/ipv6，支持双电源，支持 24个千兆光口，还可以插万兆扩展板，具有良好的可扩展性和可靠性。选购汇聚交换机 1台。接入层交换机

16、采用 H3C 的 S3100V2（2000 元），每台有 24 个以太网口，支持 ipv4/ipv6，支持 POE供电，共部署 10 台。供以后此大楼部署无线 AP 的需要。由于办公室仅有 6 层，汇聚交换机到最远点接入层交换机的距离不超过 90m，在每台 S3100V2交换机的 2 个上行的千兆口上使用超 5类 utp 两链路捆绑上连至 S5500-28F-EI交换机。对于图书馆的无线用户的接入，采用 radius 和 ldap结合的用户名、密码认证式，设备选用采用了锐捷的 Trpeze MP-372 瘦 AP 和 Trpeze MX-200 无线控制器。AP 采用双 POE以太网口供电，在

17、物理层的部署上：PC 机无线网卡接到瘦 AP,瘦AP 再接到该楼层的接入交换机，接入交换机连接到该楼层汇聚交换机，汇聚交换机连接到学校的核心交换机，而无线控制器也是接到核心交换机，无线控制器通过瘦 AP 的管理 IP 地址管理瘦 AP，在无线控制器上设置相应的 SSID等参数。用户的 IP 数据包先到 AP,再到接入交换机，再到汇聚交换机，再到核心交换机转发到相应的目的网络。（2008年 5 月建成无线网络）。vlan和 ip 地址规划。本单位二期网络工程采用基于交换机端口的式按部门划分vlan，并为服务器，网络管理等应用划分了专门的 vlan。尽可能将 IP 子网划分到同一栋建筑部，避免同一

18、个 IP 子网跨越多个建筑。既避免将 VLAN跨越多个汇聚区。在同一幢建筑部再根据功能划分子网，比如划分为设备管理子网、普通用户接入子网、应用系统子网。比如，10.18.0.0/24 为服务器和虚拟机的管理地址分别划分单独的 vlan,便虚拟机的漂移和 vlan的集中管理，教学区为 10.17.0.0/16.学生公寓为 10.19.0.0/16。一卡通系统为 10.3.0.0/16。同时预留地址段，整体上必须保留一定量的预留，在每段上也应有一定量的预留，以每幢、每层或每楼道为单位的 VLAN，给每个 VLAN留足 IP，特别是办公楼，考虑机器增长的情况。由于整个学校的网络工程拓扑结构复杂程度不

19、高，因此部网络没有使用 rip或 ospf等动态路由协议，只是把每个信息点配置成静态ip，记录每个信息点的静态 ip地址以及相应的接入交换机的位置和端口，便于及时排除网络故障，便维护。通过 s8512-B交换机实现不同 vlan间的数据通信。对于无线用户采用 10.25.0.0/24，采用 DHCP 式动态地给用户分配 ip地址，因用户都是随机接入AP 进入校园网或访问外网。Internet 接入式：对于校的信息点，目前学校的所有公网地址包括从教科网和从中国电信申请到的 IP 地址，从教科网申请到 24 个 C 类地址。从中国电信和网通申请到32 个 IP，除去子网号、广播地址及电信端网关地址

20、可用 IP 数为 29 个。这么公网地址用于电信、教科网和网通接入的地址，NAT 的公网地址池在防火墙 juniper SRX 3400上配置，不作为校园网部主机地址分配，比如图书馆机房。私网地址段即 RFC1918 中定义的用于企业部使用的 IP 地址。通过使用私有 IP 地址段解决申请到的 IP 地址不足的问题，在 Internet 接入设备上进行 NAT以实现校私有地址段访问外部网络的目的。对于需要访问外网的信息点，重用已有的 H3C 的 SR66 系列路由器，该款设备支持Ipv6路由，双电源和双路由引擎，三层路由板，按流路由功能，采用光纤专线式接入教科网、电信网和网通，并且在路由器上配

21、置策略路由把相应的数据包路由到相应的运营商网络上，并且分别提供一条链路备份，增加外网访问的可靠性。校的私网地址通过 NAT地址池转换访问外网。网络安全。考虑网络系统运维支持等因素重用已有的网络环境，在客户机和服务器上分别安装相应版本防病毒软件，及时更新病毒库和杀毒引擎，在服务器上编写网络登陆脚本，实现客户端病毒库和杀毒软件引擎的自动派送安装。在网的防火墙上：a)只允有权限的网用户访问系统相应端口。B)只允信息技术中心的维护地址 PING、TELNET服务器。C)其它服务及端口全部禁止。D)只允网网络通过。在外网防火墙上：只允外部网络客户访问 DMZ区域的服务等对外开放的服务，其他都禁止。其中网

22、防火墙主要保护网的服务器，因为安全主要是来自网。外放防火墙主要是设置 DMZ，控制外网用户访问对外网开放的服务。数字化校园的对外网提供服务的系统通过数字化校园的核心交换机连接在外网防火墙的 DMZ区，只能网访问的服务器通过数字化校园的核心交换机连接在网防火墙。对于学校的每个部门的信息员，登记每个信息人员办公的信息点的 ip,需要访问的服务器的 web 服务网址和端口号，在网的防火墙上的规则中只允规定的信息点访问规定的服务器和端口号，其他禁止。在接入交换机上的端口上实现只允这个端口下联的计算机的 mac地址通过，实现把 ip 地址和 mac绑定，交换机其他上未使用的端口都 shutdown。在服

23、务器的操作系统层设置 tcp连接的时间，tcp窗口大小，icmp 包速率，并只开启有用的端口。在汇聚交换机上做 ACL路由策略，过滤了不必要的 ip 数据包。平时在核心交换机上做端口映射，把通过核心交换机的所有流量映射到相应的服务器，并在服务器上用 wireshark对所有的数据包进行分析，保证校园网络 ip数据包的干净,特别能发现局域网中的 ARP 广播病毒。并保存近 3年的网络日志和应用系统的服务日志。对于 B/S 系统的关键业务数据采用 HTTPS 协议传输。校公用计算机上限制共享目录及读写权限的使用；限制网上软件的下载和禁用盗版软件；先查毒后使用等等。所有的应用系统需要身份认证后才能登

24、陆系统在给予它赋予相应的访问权限。服务器上设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制,非法访问者登陆服务器的错误登陆次数限制。定期扫描服务器的漏洞。远程访问的接入。数字化校园的一些应用系统只允网用户访问，可是本校会有好多师生会在校外访问网系统的需求，为了解决此问题，采用已有的 juniper SA4500 ssl vpn 设备，ssl vpn 不需要安装客户端就是通过 web 浏览器的合法用户名和密码登陆到网，操作相对简单便。通过它实现了校外用户访问网的一条安全的数据通道，使外网用户访问数字化校园应用系统，以实现充分的信息共享。网络管理面：为了

25、便网络设备的管理对网络设备进行统一的命名，路由器命名：Rxxxxxx.ip.tzc.edu.，其中 xxxxxx 为数字，取设备管理地址 ip 的后 2段，不足 3位，在前面补 0，如 10.10.10.5：R010005.tzc.edu.。交换机命名：Sxxxxxx.tzc.edu.。数据存储设备（交换机和存储）命名：Dxxxxxx.ip.tzc.edu.。其他设备命名：Oxxxxxx.ip.tzc.edu.，如 UPS 管理地址。设备管理地址：设为 Loopback 地址。VLAN地址：管理 VLAN用，网关。接口地址：链路点对点地址，互连用。各个网络设备和服务器采用 SNMP 协议管理,

26、提高计算机网络的可管理性。应用服务器部署：采用 5台 DELL R900（9 万一台）服务器，一台作为 ORACLE服务器，其他 4台分为 2 组，每组 2台服务器，其中每组 2台服务器做 HA，2组服务器做负载均衡，在服务器上部署虚拟机，提高了 WEB服务器的可靠性和性能。由于目前还没有存储，所有的服务器的硬盘 RAID卡用 4块硬盘做 RAID5，1块作为热备。数据库文件每天要增量备份，一做全备。充分提高了系统的可靠性和容灾性。所有的服务器采用 UPS 供电,其中 UPS 连接 2路市电,这 2 路的主备市电采用斯耐德 ATS 自动电源转换系统。极大的保障了服务器的可靠运行。数字化校园应用

27、系统的特点是网用户访问网 ip相比教科网用户和电信和网通用户多，依据 20/80 原理，一个 web服务分为2 台网 ip 虚拟机、1台教科网 ip虚拟机、1台电信 ip 虚拟机、1台网通 ip 虚拟机。采用DNS 多 view、网络带宽的三角传输机制和虚拟机技术结合。此 web 服务器共需要 5台虚拟机和 5个 ip 地址。DNS 采用多 view机制，即要是客户端是校用户，则 DNS 返回给客户端校网 ip地址；要是客户端是教科网地址，返回给客户端教科网 ip 地址；要是客户端是电信地址，返回给客户端电信地址；要是客户端是网通地址，返回给客户端网通地址；这样很好的解决了电信网、教科网和网通

28、之间的互联互通问题。也解决了一个公网地址的访问拥塞问题。同时采用 DNS 轮询机制，配置了 2个校 vip 地址。比如当校客户端请求此 WEB系统时，则 DNS 轮询的把这校的 vip 地址分配给客户端,这样极大的提高服务器部署的性能扩展。同时在网络数据包的请求和相应上采用三角传输机制，基于负载均衡器（本项目采用开源的负载均衡软件像 haproxy搭建的服务器)的三角传输，由于 B/S 的请求和应答流量很不平衡，应答的流量要远大于 B/S 请求。三角传输，在每个 web 服务器的实际 ip 中配置 loopback地址，并禁止 loopback 的 ARP回应，并把 loopback 的 ip

29、地址设置为负载均衡器的 vip 地址。这样当负载均衡器把请求包转发给实际的 web 服务器时，web服务器直接把响应数据包返回给客户端，而不需要经过负载均衡器。这样子避免了传统的负载均衡器的流量均等情况，即当客户端向负载均衡器的 vip 发送 web 请求,vip把数据包转发给 web服务器,web 服务器回答请求,回答数据包经过 vip 向客户端响应请求。这样子部署 web服务器充分利用了网络带宽和服务器的性能。虚拟机技术的运用充分降低了这种架构的成本。在校网出口流控设备 acenet3000 配置需要外网访问的数字化校园 web服务带宽，能充分保障外网访问此系统的带宽要求。软件平台的选择。

30、考虑到学校的规模，以及系统安全性、系统的并发性、稳定性、易维护性，因此选择 red hat 企业版（1.5 万）作为服务器的网络操作系统，操作系统的核中优化了 tcp连接数和超时机制，并且通过 iptable在服务器上只开启有用端口，其他禁止。oracle 9i（3.5万）作为数据库平台。并使用 weblogic 作为 web服务器平台，客户机大多数采用 windows 系统，IE 系列作为客户浏览平台。网络测试。本单位的数字化校园网络工程项目于 2011 年 5月基本完工并投入试运行，与 2011年 6 月 15日验收通过，期间聘请了第三测试机构对结构化布线工程的光线及双绞线性能参数，网络流

31、量等进行了相关测试。本工程项目加快了学校部信息和校公文等的流转速度，通过外网能办公加快了信息的时效性，得到了学校领导及职工的好评。但是，由于单位的性质，规模等多局限性(如入经费的投入，本身的技术水平，网络规划能力等)，使本项目的一些规划设计工作施行了简单使用，低廉的策略。而网络工程建设是一项系统工程，不仅需要结合近期目标考虑其实用性，安全性，易用性，也要为系统的进一步发展和扩展留有余地，还应具有良好的开放性，较高的可靠性，先进性。网络安全制度：要使全校师生充分认识加强校园网络管理的重要性和紧迫性，健全完善校园网络管理的体制和机制，切实加强对校园网络管理工作的领导，明确相关职能部门职责，强化责任

32、意识，建立校园网建设工作会议机制和应用系统评比机制，加强校园网络管理研究工作，建立网络信息库，完善网络信息报送与发布制度，实行网络信息审批备案制度，加强网络信息管理的技术防控，健全和完善网络舆情预警和干预制度，强化网络安全责任制度，加强对校园及边网络环境的综合治理。制定网络安全管理办法，进行网络安全集中管理。信息技术网管人员的责任制：1）多人负责原则，每一项与安全有关的活动，都必须有两人或多人在场，并且一人操作一人复核。2）任期有限原则，技术人员不定期地轮岗。3）职责分离原则，非本岗人员不得掌握用户、密码等关键信息。4）学校进行网络改造案必须经过中心网络安全小组审批后可实施。5）增加互访机器时

33、须经过中心批准并进行存取控制设置后可运行。6）及时升级系统软件补丁，关闭不用的服务和端口等等。网络日常维护管理：平时维护的时候做好维护记录，这个记录里详细记录了故障以及故障的解决办法，为以后的维护提供更好的便。在部门中建立起网络设备日常运维手册和制度，以及网络设备故障巡检记录。这样当故障第 2 此出现的时候，能够快速的恢复、排除系统故障，。比如一次由于核心交换机的模块松动，导致整个校园网上数据包丢失很重，并且用 wireshark捕获 ip 数据包发现 ARP 广播包很多，一直以为是有病毒在作怪，可是一直找不到病毒源，最后只能在半夜里学校几乎没有人上网的时候，把核心交换机上端口一个个手工拔除了，可是拔除了后，整个校园网的 ARP 包还是很多并且 ping包的时候丢包率也很高。在病毒找不到的情况下，我们反思了好久，最后把整个核心交换机的物理部件也仔细检查了下，发现是电口板卡有松动，最后插紧了