某校园网的组建与实施组网与配置.docx

1、某校园网的组建与实施组网与配置课程设计成绩评价表指导老师评阅成绩表学习与工作态度（30%）选题的价值与意义（10%）文献综述（10%）研究水平与设计能力（20%）课程设计文档撰写质量（20%）应用创新价值（10%）总分指导老师签名： 年 月 日课程设计答辩记录及评价表学生讲述情况教师主要提问记录学生回答问题情况答辩评分评分项目分值评价参考标准评分总分优良中及格差选题的价值与意义1098764文献综述1098764研究水平与设计能力201917151310课程设计说明书（论文）撰写质量201917151310学术水平与创新1098764答辩效果302825221915是否同意论文（设计）通过答辩

2、同意 不同意答辩小组成员签名答辩小组组长签名： 年 月 日课程设计成绩评定表成绩汇总评分项目评分比例分数课程设计总分指导老师评分50%答辩小组评分50%成都信息工程学院课程设计题目：校园网络组建与配置实践作者姓名：任国帅班 级：网络081学 号：2008121028指导教师：日 期： 作者签名：1 引言1.1 课题背景为了适应某中学的发展和需要，积极参与国家信息化进程，提高管理水平，展现全新的形象，某中学准备建立一个现代化的校园网，实现信息的共享、协作和通讯。某中学主要由教学楼、实验楼、宿舍楼和办公楼组成。要在宿舍楼和实验楼实现相对稳定的网络、在办公楼和教学楼实现质量能得到可靠保证的网络。建设

3、某中学校园网络系统是某中学的施工建设过程中的重点工程之一。在当今的信息时代，信息对每个团体、每个行为、决策、收益起着重要的作用，人们对信息的依赖日趋强烈。在学校体现得尤为重要。1.2 需求现状构建校园网络，合理控制校园内部网络与互联网的接入连接。能根据实际情况，按区域划分vlan。教学楼、实验楼、宿舍楼和办公楼划为不同vlan。然后每栋楼按照楼层再划分vlan，外网要求通过硬件防火墙接入, 内网进行防病毒管理。在宿舍楼区的用户用802.1X认证的方式，通过登陆才能访问互联网络，否则只能访问内部提供的多媒体服务器。对于整个小区将分为4部分，其中A部分为办公楼，这里就要求在每个房间内设置一定数量的

4、信息点，要满足大量办公人员的对互联网的需求，同时还要保证在整个园区网络中的网络稳定性。而B部分则是教学楼，所以这里就对信息点的需求还是是很大，按照每个教室设置两个个信息点的方式进行接入。每层办公室设置10个。C部分为实验楼，按每层30个信息点设置。D部分为宿舍楼，按照每层80个信息点设置。其中布线系统采用国际标准建议的层层星型拓扑结构，设计遵从国际（ISO/IEC 11801）标准及建设部标准，支持语音、数据等综合信息，信息出口采用国际标准的RJ45插座，以统一的线路规格和设备接口，使任意信息点能接插不同类型的终端设备。2 需求分析2.1学校的基本信息某中学有各种楼宇（教学楼、办公楼、实验楼、

5、宿舍楼等）8栋。教学楼有两栋，每栋5层，每层楼有10个教室，一个教师办公室。办公楼有4层，每层有10个房间。其中4楼有财务室。二楼为学校的信息中心。实验楼有4层每层有4个教室，其中3楼和4楼分别有一个教室为计算机机房，每个机房30台电脑。宿舍楼为16栋，每栋5层，每层20个寝室。由此可以得到数据点大约有2000个。随着学校的规模不断扩大，多媒体通信及应用复杂化，使网络流量飞速提升。在多用户并发、大流量传输需求下，校园网核心设备要考虑负载均衡和主干网高带宽传输能力。为了抑制广播风暴，提高信息的传输性能，均衡网络数据流量，需要采用虚拟网络技术，则需要将办公楼划分5个vlan，每栋教学楼需要划分5个

6、vlan，实验楼需要划分4个vlan，宿舍楼每栋需要划分5个vlan（注：因住宿楼太多所以简化了下只画了4座，以下IP划分也同）。这样，vlan约需40个。由此还需要对学生宿舍配置802.1X认证协议。校园网是各种应用的统一通信平台，该平台的可用性要达到99.9%。在这种需求下，主干设备应有一定的冗余度，这种冗余度不只是设备及的，也应该考虑物理线路、数据链路层和网络层的容错能力，需要保证主干网络具有很高的稳定性和可靠性。2.2技术目标（1）统一性网络要统一规划，分步实施，便于网络管理。（2）完整性整个网络的系统功能、数据安全、网络管理等方面应有充分的保证。（3）实用性当今世界计算机和通信技术处

7、于高速发展阶段，新的技术和新的产品不断的出现，但是一些新的技术和设备往往存在不成熟和不完善等问题，需要在使用过程中不断的完善，但给用户带来的问题将是：系统不稳定、不可靠，存在安全隐患，而且造成了大量不必要的资金浪费，运行和维护费用大大增加。所以本系统在充分满足系统应用需求的前提下，应采用先进的、成熟的、实用性强的技术和产品，不盲目的追求设备的高档、技术的超前。以免造成不必要的资金浪费，从而使系统具有较强的实用性。（4） 可靠性与有效性网络系统作为其他应用系统的基础，如发生系统瘫痪，其造成的损失是难以估量的，因此系统必须可靠地连续运行，即系统设计必须从系统结构、设计方案、设备选择、厂商的技术服务

8、与维修响应能力、设备备件供应能力等方面考虑，使故障发生的可能性尽可能少，影响面尽可能小.它应该能实现内部办公事务和外部事务处理的整合.（5）适应性用户信息网站应采用大型关系数据库,模块化等先进成熟的技术方法,在给用户提供了极大的灵活性的同时,也有效地保证了系统的可靠性.（6）可扩展性由于计算机和通信技术的不断发展，用户的需求也在随着时间的推移不断的发生变化，以及由于应用软件种类和业务数量的增加，功能的强化，系统软件的升级将对主机和网络系统提出更高的要求，网络构造应具有高度的扩展性,以降低系统扩充的投入成本,并满足信息技术高速发展的需要.能适应2-3年内的业务增长和突发性事件的需要,确保各级系统

9、的可扩充性和先进性,并注意设备的冗余设计以及网络的负载均衡.（7）安全性信息安全是企业信息网实施的第一要素,网络系统不但要能够实现功能,更重要的是要稳定安全. 因此,应采取如下技术以增强网络的安全性:设备的安全性应用级的安全性网络级的安全性数据级的安全性2.3信息点统计A区：4*10*4=160（每层10个房间，每个房间4个信息点设置）B区：2*5*30=300（每层10个教室，每个教室2个，一个办公室10个）C区：2*4*10+2*（30+3*10）=200（一层二层，4个教室，每个教室10个信息点设置，三层四层，每层一个计算机机房，每个机房30个PC）D区：4*5*20*14=6400（每

10、层20个房间，每个房间4个信息点设置，一共14栋）信息点总数约为7060个。3 拓扑及IP和路由规划3.1 拓扑设计及描述某中学网络组建拓扑图： 图3.1拓扑图本设计采用三层架构，一台核心层交换机，8台汇聚层交换机，39台接入层交换机。每一栋楼的每一层划分为一个VLAN，然后放置一台接入层交换机。在出口处，放置一台防火墙，使外来的访问都要经过防火墙才能进入校园内部网络。3.2 IP和VLAN设计 在本设计中，VLAN的划分为每一个楼层划分一个VLAN，其中办公楼的财务室单独划分一个VLAN。其中IP地址使用A类地址中的10.0.0.010.255.255.254表3.2 IP和VLAN设计接入

11、层VlanVlan IP用户网段汇聚层接口IPS1-1210.1.2.110.1.2.0/24S110.1.101.1S1-2310.1.3.110.1.3.0/24S110.1.101.1S1-3410.1.4.110.1.4.0/24S110.1.101.1S1-4510.1.5.110.1.5.0/24S110.1.101.1S1-5610.1.6.110.1.6.0/24S110.1.101.1S2-1710.1.7.110.1.7.0/24S210.1.102.1S2-2810.1.8.110.1.8.0/24S210.1.102.1S2-3910.1.9.110.1.9.0/24S

12、210.1.102.1S2-41010.1.10.110.1.10.0/24S210.1.102.1S3-11110.1.11.110.1.11.0/24S310.1.103.1S3-21210.1.12.110.1.12.0/24S310.1.103.1S3-31310.1.13.110.1.13.0/24S310.1.103.1S3-41410.1.14.110.1.14.0/24S310.1.103.1S3-51510.1.15.110.1.15.0/24S310.1.103.1S4-11610.1.16.110.1.16.0/24S410.1.104.1S4-21710.1.17.11

13、0.1.17.0/24S410.1.104.1S4-31810.1.18.110.1.18.0/24S410.1.104.1S4-41910.1.19.110.1.19.0/24S410.1.104.1S4-52010.1.20.110.1.20.0/24S410.1.104.1S5-12110.1.21.110.1.21.0/24S510.1.105.1S5-22210.1.22.110.1.22.0/24S510.1.105.1S5-32310.1.23.110.1.23.0/24S510.1.105.1S5-42410.1.24.110.1.24.0/24S510.1.105.1S5-5

14、2510.1.25.110.1.25.0/24S510.1.105.1S6-12610.1.26.110.1.26.0/24S610.1.106.1S6-22710.1.27.110.1.27.0/24S610.1.106.1S6-32810.1.28.110.1.28.0/24S610.1.106.1S6-42910.1.29.110.1.29.0/24S610.1.106.1S6-53010.1.30.110.1.30.0/24S610.1.106.1S7-13110.1.31.110.1.31.0/24S710.1.107.1S7-23210.1.32.110.1.32.0/24S710

15、.1.107.1S7-33310.1.33.110.1.33.0/24S710.1.107.1S7-43410.1.34.110.1.34.0/24S710.1.107.1S7-53510.1.35.110.1.35.0/24S710.1.107.1S8-13610.1.36.110.1.36.0/24S810.1.108.1S8-23710.1.37.110.1.37.0/24S810.1.108.1S8-33810.1.38.110.1.38.0/24S810.1.108.1S8-43910.1.39.110.1.39.0/24S810.1.108.1S8-54010.1.40.110.1

16、.40.0/24S810.1.108.13.3 路由设计路由表的构成以动态路由RIP为主，从而保证信息点的数据能正常发送与接收。为了保证用户之间可以互相通信且确保ARP安全，一个接入层交换机划分为一个VLAN，汇聚层与核心机之间再组成一个VLAN。保证了网络内部的ARP包隔离，同时VLAN之间能通过其上层实现互访。表3.3 路由设计汇聚层交换机动态路由（network）S110.1.2.010.1.3.010.1.4.010.1.5.010.1.6.010.1.101.0S210.1.7.010.1.8.010.1.9.010.1.10.010.1.102.0S310.1.11.010.1.1

17、2.010.1.13.010.1.14.010.1.15.010.1.103.0S410.1.16.010.1.17.010.1.18.010.1.19.010.1.20.010.1.104.0S510.1.21.010.1.22.010.1.23.010.1.24.010.1.25.010.1.105.0S610.1.26.010.1.27.010.1.28.010.1.29.010.1.30.010.1.106.0S710.1.31.010.1.32.010.1.33.010.1.34.010.1.35.010.1.107.0S810.1.36.010.1.37.010.1.38.010.

18、1.39.010.1.40.010.1.108.0核心层交换机动态路由（network）SR10.1.101.010.1.102.010.1.103.010.1.104.010.1.105.010.1.106.010.1.107.010.1.108.0/244 安全设计校园网建成后，要有相应的安全机制。现在主要的安全机智有：物理安全，认证，授权，统计，数据加密，数据包过滤，防火墙，入侵检测。我们将在XX学院校园网的建设过程中应用这些技术。 物理安全：物理安全是指通过物理隔离的手段实现对关键网络资源的保护。物理安全可以防止网络被未经安全流程培训的员工和合作伙伴有意和无意的滥用。也可以阻止黑客、竞

19、争对手随意修改网络配置，对你的网络产生威胁。根据用户对网络设计的不同需求用在不同的层次。应该确保将设备放在有门禁系统或者有人职守的机房。机房应该提供不间断电力供应能力，具备火警、灭火、排水系统。还应该将放置设备的机架固定在地板或者墙上。 认证：为了获得更大的安全性，应该使用一次性的动态口令使一次性口令系统都通过安全卡。用户应该采用双重认证系统即要求拥护提供两个独立的身份证明，这样能够获得更高的安全性。 授权：在实施授权策略时，用户应该采用最小访问权限原则。使用户只能获得完成这次任务所必须的最小权限。而这种事情也是很难实施的所以在实际的操作中使用一些比如用户管理员可以拥有同样的访问权限的用户创立

20、用户组的方式减少工作量。统计：在统计数据的过程中应该包括任何用户获得网络人证和授权的尝试，更加是匿名或客户方式访问服务器的用户的行为进行统计。收集包括登陆，注销等用户信息、主机名以及改变前后的访问权限。数据加密：加密会对网络的性能有影响，需要在安全和性能两方面考虑。如果用户加密对网络性能没有影响应该使用加密。在内部网和只使用简单的浏览、等网络业务时没有必要使用加密。需要使用私有网络和建议使用加密机制。防火墙：基于状态的放火墙可以与协议同工作，服务器应该打开一条到客户机的连接。基于类型的防火墙：代理防火墙在主机和服务器之间起到中间人的作用，主机和服务器之间的通信通过放火墙进行中继。入侵检测：利用

21、入侵检测可以监测一些恶意的攻击事件，并且通过邮件、短消息、系统日志等方式通知给管理者。分为主机和网络。主机的驻留在单台主机上只检测主机。网络监测他可以感知的所有网络流量和所有预定义的恶意攻击。5 实践配置5.1接入层交换机的配置S1-1 的配置：Switchenable Switch#configure terminal Switch(config)#hostname s1-1s1-1(config)#vlan 2s1-1(config-vlan)#exits1-1(config)#interface fastEthernet 0/2s1-1(config-if)#switchport mod

22、e access s1-1(config-if)#switchport access vlan 2s1-1(config)#interface range fastethernet 0/3-24s1-1(config-if-range)# switchport access vlan 2s1-1(config-if-range)#ends1-1(config)#interface fastEthernet 0/1s1-1(config-if)#switchport mode trunkS1-2的配置：Switchenable Switch#configure terminal Switch(c

23、onfig)#hostname s1-2s1-2(config)#vlan 3s1-21(config-vlan)#exits1-2(config)#interface fastEthernet 0/2s1-2(config-if)#switchport mode access s1-2(config-if)#switchport access vlan 3s1-21(config)#interface range fastethernet 0/3-24s1-2(config-if-range)# switchport access vlan 3s1-2(config-if-range)#en

24、ds1-2(config)#interface fastEthernet 0/1s1-2(config-if)#switchport mode trunkS1-3的配置：Switchenable Switch#configure terminal Switch(config)#hostname s1-3s1-3(config)#vlan 4s1-3(config-vlan)#exits1-3(config)#interface fastEthernet 0/2s1-3(config-if)#switchport mode access s1-3(config-if)#switchport ac

25、cess vlan 4s1-3(config)#interface range fastethernet 0/3-24s1-3(config-if-range)# switchport access vlan 4s1-3(config-if-range)#ends1-3(config)#interface fastEthernet 0/1s1-3(config-if)#switchport mode trunkS1-4的配置：Switchenable Switch#configure terminal Switch(config)#hostname s1-4s1-4(config)#vlan

26、5s1-4(config-vlan)#exits1-4(config)#interface fastEthernet 0/2s1-4(config-if)#switchport mode access s1-4(config-if)#switchport access vlan 5s1-4(config)#interface range fastethernet 0/3-24s1-4(config-if-range)# switchport access vlan 5s1-4(config-if-range)#ends1-4(config)#interface fastEthernet 0/1

27、s1-4(config-if)#switchport mode trunkS1-5的配置：Switchenable Switch#configure terminal Switch(config)#hostname s1-5s1-5(config)#vlan 6s1-5(config-vlan)#exits1-5(config)#interface fastEthernet 0/2s1-5(config-if)#switchport mode access s1-5(config-if)#switchport access vlan 6s1-5(config)#interface range

28、fastethernet 0/3-24s1-5(config-if-range)# switchport access vlan 6s1-5(config-if-range)#ends1-5(config)#interface fastEthernet 0/1s1-5(config-if)#switchport mode trunkS2-1的配置：Switchenable Switch#configure terminal Switch(config)#hostname s2-1s2-1(config)#vlan 7s2-1(config-vlan)#exits2-1(config)#inte

29、rface range fastethernet 0/2-24s2-1(config-if-range)# switchport access vlan 7s2-1(config-if-range)#ends2-1(config)#interface fastEthernet 0/1s2-1(config-if)#switchport mode trunkS2-2的配置：Switchenable Switch#configure terminal Switch(config)#hostname s2-1s2-2(config)#vlan 8s2-2(config-vlan)#exits2-2(config)#interface range f