计算机网络课设校园网组建.docx

1、计算机网络课设校园网组建*实践教学*兰州理工大学计算机与通信学院2010年秋季学期计算机网络 课程设计题 目： 对外经贸大学校园网络的构建 专业班级： 姓 名： 学 号： 指导教师： 成 绩： 摘 要学校、尤其是高等院校,和网络关系十分密切,许多网络新技术首先在学校获得成功,才推广到社会上。另一方面,学校在知识、人才方面的资源丰富,更加渴求信息,希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。对比国外校园网的建设和使用,我国目前的大多数校园网的结构、规模和应用不是很完善,网络设备、计算机设备的功能没有得到充分的挖掘和发挥。怎样利用网络设备,进一步发挥各种设备的功能,给学校的教学、

2、管理、科研带来提升,是组建校园网的一个重点。 简单的说,在高等学校中组建校园网就是将校园内各种信息资源,例如服务器、工作站、光盘阵列等设备与其上运行的程序、数据库等,通过高性能的网络设备连接起来,并通过一定的接口,连接到广域网上,建立起校园内部、校园之间、校园与社会的信息基础设施。目前各校已经在科研、教育过程中使用了大量的计算机,组建网络已经有了良好的基础,在许多场合,实施中只需用网络设施将已有的计算机等连接起来,加以组织管理,就能形成一个良好的网络体系。关键词：校园网；网络组建；信息设施；网络体系。目录摘 要 I前 言 1第1章 企业描述 2第2章 需求分析 32.1 带宽（核心层、（部门层

3、、）桌面） 52.2 子网与VLAN规划 72.3 实现的信息服务 72.4 应用程序 82.5 存储系统分析 82.6 系统及数据安全分析 82.7 QoS 92.8 网间隔离 11第3章 拓扑图及方案整体描述 123.1 主干网传输方案设计 123.1.1 垂直布线方式 123.1.2 水平布线 123.1.3 设备间 133.2 Internet接入方案及网络拓扑图； 133.3 远程访问支持 143.4 子网划分与VLAN设定 143.5 网间隔离方案设计 153.6 存储方案 163.7 设备选型 173.8 软件 193.9 信息服务方案 193.10 综合布线方案 20第4章 网

4、络管理 21第5章 系统主要设备报价 22第6章 网络测试及协议数据包分析 23第7章 课程设计总结 25参考文献 26课程设计总结 27前 言科技发展日新月异，以多媒体技术和网络技术为核心的信息技术正在以惊人的速度进入到教育的各个领域和环节，信息化大潮正冲击着我们这个时代。Internet技术和现代教育理念的紧密结合使校园网在高校中发挥着越来越重要的作用。建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连；在网上宣传和获取教育资源；在此

5、基础上建立能满足教学、科研和管理工作需要的软、硬件环境；开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务；系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。第1章 企业描述对外经济贸易大学校园网（UIBEnet）作为“九五”“211工程”子项目，始建于1997年，经历了建设、调整和完善的阶段。 “211工程”校园网子项目工程计划投入4000万元，实际投入1100万元，包括全校范围内的办公、机房的微机购置。由于资金的不到位，而导致初期网络建设没有达一期工程所要达到的目标。 2001年经过学校的努力，进行了“

6、十五”“211工程”立项，同时获得“211工程”校园网子项目建设资金500万元。除此之外，在过去5年中，学校自筹资金400万用于校园网的建设。经过近5年的努力，网络与计算中心在学校党委的领导和大力支持下，在各个部门的密切配合下，基本上将对外经济贸易大学的校园网建设成了运行比较稳定、速度比较快捷、应用比较广泛、相对安全可靠的网络，为全校的教学和科研活动提供了坚实的保障。第2章 需求分析网络系统总体设计目标是最大限度的满足应用系统的需求，与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作，即通过网络设备将信息点与中心网络系统可靠地连接起来，为当前的各种应用环境系统和应用

7、软件系统提供运行环境支持。由于网络系统对工作的运作与发展具有非常重要的作用，因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求，网络系统对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时间的可用性。网络系统设计必须满足其应用的要求，网络总体设计、建设的原则如下：（1） 开放性采用开放性的网络体系，以方便网络的升级、扩展和互联；同时在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化；（2） 标准化在方案设计中，所有计算机网络软硬件产品必须坚持标准化原则，遵从国际标准化组织所制订的各种国际标准及各种工业标准。（3） 简洁性对于网络系统，在设计过程中

8、要考虑系统的能够适应不断的新的发展需要，并使系统能适应多种硬件平台和多种网络结构，而且网络拓扑结构简洁，硬件和软件按需要能进行灵活的配置。（4）可扩展性 目前设计的网络系统不仅仅用于当前，同时在今后的一段时间内，将是校园电子化的主要系统。因此，设计时一定得考虑将来的发展，除了当前设计得有一定的超前外，还需要考虑系统的可扩充性，易于系统以后的发展。网络系统必须有足够的扩展性，使得将来增加信息点时，只需很少变动。如当网络设备增加、通信网络升级时，所有设备要保证仍能继续使用，而不能以弃掉已有设备为升级的代价。采用的产品具有充分的可扩充性及升级能力，具有足够的先进网络技术过渡的能力。（5）安全性安全性

9、是指可靠性、保密性和数据一致性。校园网对安全性的要求较高，计算机系统的安全性主要包括以下几个方面:硬件平台安全性：当计算机的元器件突然发生故障，或计算机系统工作环境设备突然发生故障时，计算机系统能继续工作或迅速恢复。 网络通迅系统安全性：网络的安全性主要包括采取以下安全措施：认证措施，包括网点认证和人员认证；数据保密措施如传输加密；存取控制措施如防止非法操作。 操作系统安全性：操作系统安全性要达到C2级，即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性，实施存取限制，保护数据防止被别的用户读取或破坏。 数据库安全性：数据库要有以下安全机制：磁盘镜像、数据备份、恢复机制、事务日

10、志、内部一致性检查、锁机制以及审计机制等安全保障体制，确保数据库的安全。 应用软件系统的安全性： 认同用户和鉴别，确认用户的真实身份，防止非法用户进入系统。 存取控制，当用户已注册登录后，核对用户权限，根据用户对该项资源被授予的权限对其进行存取控制。 审计，系统能记录用户所进行的操作及其相关数据，能记录操作结果，能判断违反安全的事件是否发生，如果发生则能记录备查。 保障数据完整性，对数据库操作保证数据的一致性和数据的完整性。 （6）技术先进性网络系统不能够一经实现即落后，应当至少处于现今先进水平，只有这样才能在计算机技术迅速发展的今天不落伍，不会在竞争激烈的今天，因计算机技术的不足而影响工作的

11、进行开展。应至少保持系统具备几年的领先性。采用先进而成熟的网络技术和产品，适应大量数据和多媒体信息传输、处理、交换的需要，使网络系统具有较强的生命力。（7）实用性网络的建设要强调网络系统与网络应用并重，以应用推动建设，信息资源的开发、利用和效果。产品应选择主流产品，并且具有成熟、稳定、实用的特点。能充分满足日常使用、科学决策、对外交流、以及信息自动化管理等各方面的需要。（8）网络可靠性网络可靠性需要从以下方面来保证：设备的硬件制造品质与运行软件的成熟性。网络设备必须选用已经证实，并在实际应用中得到普遍应用的产品，只有这样，才可能提供不间断运行的能力。网络产品应具备在线热更换的能力，当某一板卡出

12、现故障时，应能带电更换，而不需进行停机操作。（9）易维护管理性网络管理应走向科学化，采用先进的网络管理系统，实现“在网络中心即能实时控制、监测整个系统的运行状况，能够自动发现故障点”的目标，并具有良好的人-机操作界面。（10）保护投资在网络方案设计时充分考虑现有的硬件和软件资源，尽量把各期投资和未来发展的兼容性容于系统方案中。保护投资从如下几个方面考虑：直接的硬件设备、软件系统的投资 应用系统开发的人力、物力、财力和时间上的投资 人员培训投资 原有运行系统和业务数据的有效兼容。2.1 带宽（核心层、（部门层、）桌面）校园网主干网是数据信息流动的主动脉，同时担负着信息流动的总调度任务。主干网采用

13、核心交换、划分虚拟网的设计方案。交换核心使用一台高性能、高可靠性的交换机，实现冗余备份和负载平衡。最好选择光纤作为通信介质。各楼干线光缆经网络中心机房星状放射互联。各楼内垂直主干线采用五类双绞线，主干支持或。因此作为主干网要遵循以下特点（1）高性能与技术先进性校园网网络系统要求具有较高的数据通信能力和较大的带宽；并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据，网络应有较高的网络主干速度。（2）高可靠性网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗

14、余路由。在网络设备上要提供冗余配置，设备在发生故障时能以热插拔的方式在最短时间内进行恢复，把故障对网络系统的影响减少到最小，避免由于网络故障造成用户损失；（3）安全性校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络，网络安全性在整个网络中是个很重要的问题，应该采用一定手段控制网络的安全性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性，能够防止非法侵入和信息泄漏。（4）可管理性强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进

15、行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能，能够对每个用户实行管理；并且能够实现计费管理。（5）可扩充性随着应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证现有的投资。（6）VLAN划分根据校园网的实际需求，属于同一部门的工作人员可能在不同的建筑物中，但需要在一个逻辑子网内。网络站点的增减，人员的变动，无论从网络管理，还是用户的角度来讲，都需要虚拟网技术的支持。因此在网络主干中要支持三层交换及VLAN划分。在整个网络中使用虚拟网技术，以提高网络的安全性和灵活性。（7）多层交换技术

16、通过三层交换技术，特别是基于硬件的第三层交换，可以充分地利用交换机的包处理能力，实现真正的线速交换。（8）对多媒体应用的支持校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。整个网络在服务质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。2.2 子网与VLAN规划根据需求的不同，将分成不同的子网。教学子网、 办公子网、 图书馆子网、宿舍区及后勤子网。局域网采用虚拟局域网，在交换式以太网中，各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站

17、点不拘泥于所处的物理位置，它们既可以挂接在同一个交换机中，也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活，使不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。当网络规模很大时，网上的广播信息会很多，能解决了网络恶化、广播风暴、网络堵塞。2.3 实现的信息服务需要的基本功能有：1、电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动； 2、文件传输FTP：主要利用FTP服务获取重要的科技资料和技术文挡； 3、INTERNET服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意

18、见等。4、计算机教学，包括多媒体教学和远程教学；5、图书馆访问系统，用于计算机查询、计算机检索、计算机阅读等；6、其他应用，如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。2.4 应用程序出于对校园网的功能分析，在校园网上运行的应用程序有如下几种：文件传输系统、邮件系统、办公自动化系统、宿舍管理系统、学生档案管理系统、教学系统等一系列网络平台。2.5 存储系统分析根据我们选用的是开放的Windows、UNIX、Linux等操作系统的服务器，开放系统的网络化存储根据传输协议又分为:网络接入存储(Network-Attached Storage，简称NAS)和存储区域网络(Sto

19、rage Area Network，简称SAN)。2.6 系统及数据安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统，其开发厂商必然有其Back-Door。因此，我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格

20、限制登录者的操作权限，将其完成的操作限制在最小的范围内。应用系统安全与具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用系统的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、XX的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息（包括管理员口令与帐户、上传信息等）的机密性与完整性

21、。2.7 QoSQoS的英文全称为Quality of Service，中文名为服务质量。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。 QoS具有如下功能： （一）分类 分类是指具有QoS的网络能够识别哪种应用产生哪种数据包。没有分类，网络就不能确定对特殊数据包要进行的处理。所有应用都会在数据包上留下可以用来识别源应用的标识。分类就是检

22、查这些标识，识别数据包是由哪个应用产生的。以下是4种常见的分类方法。 (1)协议 有些协议非常“健谈”，只要它们存在就会导致业务延迟，因此根据协议对数据包进行识别和优先级处理可以降低延迟。应用可以通过它们的EtherType进行识别。譬如，AppleTalk协议采用0x809B，IPX使用0x8137。根据协议进行优先级处理是控制或阻止少数较老设备所使用的“健谈”协议的一种强有力方法。 (2)TCP和UDP端口号码 许多应用都采用一些TCP或UDP端口进行通信，如 HTTP采用TCP端口80。通过检查IP数据包的端口号码，智能网络可以确定数据包是由哪类应用产生的，这种方法也称为第四层交换，因为

23、TCP和UDP都位于OSI模型的第四层。 (3)源IP地址 许多应用都是通过其源IP地址进行识别的。由于服务器有时是专门针对单一应用而配置的，如电子邮件服务器，所以分析数据包的源IP地址可以识别该数据包是由什么应用产生的。当识别交换机与应用服务器不直接相连，而且许多不同服务器的数据流都到达该交换机时，这种方法就非常有用。 (4)物理端口号码 与源IP地址类似，物理端口号码可以指示哪个服务器正在发送数据。这种方法取决于交换机物理端口和应用服务器的映射关系。虽然这是最简单的分类形式，但是它依赖于直接与该交换机连接的服务器。 （二）标注 在识别数据包之后，要对它进行标注，这样其他网络设备才能方便地识

24、别这种数据。由于分类可能非常复杂，因此最好只进行一次。识别应用之后就必须对其数据包进行标记处理，以便确保网络上的交换机或路由器可以对该应用进行优先级处理。通过采纳标注数据的两种行业标准，即IEEE 802.1p或差异化服务编码点(DSCP)，就可以确保多厂商网络设备能够对该业务进行优先级处理。 在选择交换机或路由器等产品时，一定要确保它可以识别两种标记方案。虽然DSCP可以替换在局域网环境下主导的标注方案IEEE 802.1p，但是与IEEE 802.1p相比，实施DSCP有一定的局限性。在一定时期内，与IEEE 802.1p 设备的兼容性将十分重要。作为一种过渡机制，应选择可以从一种方案向另

25、一种方案转换的交换机。 （三）优先级设置 一旦网络可以区分电话通话和网上浏览，优先级处理就可以确保进行Internet上大型下载的同时不中断电话通话。为了确保准确的优先级处理，所有业务量都必须在网络骨干内进行识别。在工作站终端进行的数据优先级处理可能会因人为的差错或恶意的破坏而出现问题。黑客可以有意地将普通数据标注为高优先级，窃取重要商业应用的带宽，导致商业应用的失效。这种情况称为拒绝服务攻击。通过分析进入网络的所有业务量，可以检查安全攻击，并且在它们导致任何危害之前及时阻止。 在局域网交换机中，多种业务队列允许数据包优先级存在。较高优先级的业务可以在不受较低优先级业务的影响下通过交换机，减少

26、对诸如话音或视频等对时间敏感业务的延迟事故。 为了提供优先级，交换机的每个端口必须有至少2个队列。虽然每个端口有更多队列可以提供更为精细的优先级选择，但是在局域网环境中，每个端口需要4个以上队列的可能性不大。当每个数据包到达交换机时，都要根据其优先级别分配到适当的队列，然后该交换机再从每个队列转发数据包。该交换机通过其排队机制确定下一步要服务的队列。有以下2种排队方式。 (1)严格优先队列(SPQ) 这是一种最简单的排队方式，它首先为最高优先级的队列进行服务，直到该队列为空，然后为下一个次高优先级队列服务，依此类推。这种方法的优势是高优先级业务总是在低优先级业务之前处理。但是，低优先级业务有可

27、能被高优先级业务完全阻塞。 (2)加权循环(WRR) 这种方法为所有业务队列服务，并且将优先权分配给较高优先级队列。在大多数情况下，相对低优先级，WRR将首先处理高优先级，但是当高优先级业务很多时，较低优先级的业务并没有被完全阻塞。2.8 网间隔离面对新型网络攻击手段的出现和高安全度对网络的特殊需求，全新安全防护防范理念的网络安全技术“网络隔离技术”应运而生。网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离，英文名为Netwo

28、rk Isolation,主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议所以通常也叫协议隔离（Protocol Isolation）网络隔离是指在一个网络系统中划分边界，分割不同安全域的技术。网络安全的重点在于边界保护，采用隔离技术明确边界后，我们就能根据应用环境的具体需求实施相应的边界控制策略。具体而言，采用网络隔离技术有以下优点：采用隔离技术划分安全域后，一个区域内的安全问题可以被控制在本区域以内，不会对其它区域造成影响，从而提高了系统整体的可控性和稳定性。采用隔

29、离技术划分安全域后，可以根据需求灵活制定访问控制策略，便于在不同粒度上隔离攻击。安全是要考虑成本的。对于重要的资源，我们可以采取隔离技术对其进行重点保护，使有限的投入获得最佳的效果，这也符合国家分级保护的要求。第3章 拓扑图及方案整体描述3.1 主干网传输方案设计网络中心设在实验楼的一层，以实验楼为中心，选择星形拓扑结构，网络主干最好选用光纤，以便采用链路聚合技术及备份线路。光纤布线采用星型结构，即由实验楼网络中心向其它建筑辐射。建筑内部布线采用5类双绞线进行垂直和水平布线，如建筑物规模较大，也可部分采用室内多模光纤。双绞线的接法采用EIA/TIA568B标准。设计时要依据EIA/TIA568

30、工业标准及国商务布线标准。（1）主干网汇接各子网，形成中心交换。（2）子网通过交换机连接到主干网。（3）网络中心的网络构成一个单独的子网，汇接到主干网。（4）在网络中心进行集中控制和管理。（5）每个子网按部门划分成多个工作组网。（6）每个工作网划分成多个基层网段。（7）在关键子网设立防火墙，防止来自内部或外部的恶意攻击。（8）在完善的网络基础之上，提供基本的Internet服务。3.1.1 垂直布线方式垂直干线在电缆桥加上加以固定，五类双干线电缆走专门的弱电桥架，与专门的强电电缆分开。3.1.2 水平布线水平布线采用五类双绞线，用于水平数据通信。从管理间到办公楼部分的布线方式采用电缆桥架走吊顶

31、，布线路由及进房间后信息插座具体位置视具体布局确定。3.1.3 设备间主设备间设在网络中心，是整个信息系统的中心，它是安放由许多用户共用的通信设备的空间，是整个楼群的主要布线区域所在地。它包括网络接口、电话局电缆和用户建筑物布线系统交汇点网络系统的干线网络互联设备放置在此，外来的电话中继线延伸至主设备间。其它各楼的设备间在各楼的顶层。主设备间对环境的要求较高，所以要注意环境的选择与调节。3.2 Internet接入方案及网络拓扑图；本局域网通过路由器接入英特网，如图4-1所示： 图4-1 网络拓扑图3.3 远程访问支持远程访问提供电话拨号访问功能，使用户在家中、在外地都可以访问校园网。远程工作站通过拨号接入校园网，采用点对点的协议为PPP。远程访问服务器RAS与调制解调器Modem组合实现远程访问功能。在访问服务器的远程访问端口提供访问控制(Access List)。通过与拨号安全服务器配合，还能实现进一步的用户认证和授权控制。远程访问解决了远程工作站通过拨号线路对网络资源的访问。由于拨号网络是攻击网络的可能的主要入口，因而必须在技术和管理两个方面加强管理。远程访问服务应提供以下功能：拨号访问（Telnet/Rlogin/PPP）支持；静态/动态地址分配；多协议（IP和IPX）透明访问支持；用户访问