海滨校区校园网设计方案.doc

网络工程课程设计计划任务书论文题目课程实习报告学生姓名苏枝海学生学号201036615131手在专业网络所在班级101授课教师周香庭完成时间 2012/12/21成绩海滨校园局域网设计1、 广东海洋大学海滨校区(职业技术学院)概况简介1、广东海洋大学海滨校区(职业技术学院)概况校园网在教学过程中的合理使用，不仅改变了传统的教学模式、教学方法和教学手段，也将促进教育观念、教育思想的大转变。从上世纪90年代微型计算机开始普及，短短的10几年发展应用非常迅速，就学院来说，行政教辅岗位127人配有电脑105台，几乎人手一台，网络的需求更是迅猛，行政教辅部门的105台电脑有104台联网，可以说我们已经生活在一个网络的时代。2、校区建筑物分布 广东海洋职业技术学院新校区位于湛江市，占地面积近170亩，规划建筑面积15万平米，首期建设11万平方米，容纳学生3500人。首期在建的17个单体建筑为：图书馆、行政办公楼、教学楼、综合楼、平房教学楼、学生公寓女生宿舍楼群（共3栋宿舍楼），男生宿舍（共7栋宿舍楼），教师职工（4栋宿舍楼）。二、需求分析 1、校园网功能需求分析 根据学院的地域环境和校园网建设的理论，校园网计划采用城域网技术，以核心、汇聚、接入的结构模式建设。设立广东海洋大学职业技术学院校园网网络中心（核心层）机房，同时还有汇聚层、接入层。全网采用双核的万兆核心技术为中心，汇聚层到核心层全部采用双链路千兆作为链接，每个楼栋的接入都采用千兆链接到汇聚层。中心机房建设有服务器集群系统，集群服务器系统的平台有：MAIL、FTP、WWW、计费、认证、杀毒、VOD、DNS、数据库存储、磁盘存储系统服务器等；中心机房的硬件建设包括有校园网的网络设备、服务器集群系统、网络安全、UPS不间断电源。以教学与管理应用为核心、软硬件并重的建设模式，搭建共享型专业教学资源库与公共服务平台。校园网建设重点是要实现以下六个方面的建设：校园网网络布线系统、光纤骨干系统的建设；校园网网络中心机房的建设和装修；校园网核心层、汇聚层、接入层各种网络设备的建设以及相关管理认证系统、计费系统、网络管理系统建设；校园网安全建设：防火墙系统、病毒网关系统、垃圾邮件网关系统；校园网服务器集群系统建设；校园网中心机房设备，UPS不间断电源系统建设。 2、校园网所需信息点的分布 学校有几栋建筑需纳入局域网，其中原有计算机教室将并入整个校园网络。根据校方要求，总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、综合楼、教学楼、宿舍楼等。主控室可设在综合楼的一层，图书馆、综合楼和教学楼为信息点密集区。校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理方法，提高学校办公质量和效率，以促进学校整体教学水平的提高。 3、 校园网的规划设计1、 网络拓扑结构设计校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备。2、信息流量，端口数及端口速率计算及硬件设备的选择及功能描述信息点位统计表建筑物名称楼层数（层）每层楼房数量（间）信息点数（个）接入层交换机的使用教学楼51575用两台16口、一台48口的交换机综合楼710450用一台16口、十台48口的交换机教师办公室75用一台16口、两台48口交换机女生宿舍楼715420用一台16口、十台48口交换机男生宿舍楼715820用两台16口、20台48口交换机教师宿舍楼515100用两台16口、一台48口的交换机信息点统计（个）19403、 硬件设备的选择及功能描述 通常将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。核心层交换机选择锐捷RG-S12010。核心层交换机位于实训楼4楼中心机房，整个校园配置一台。锐捷RG-S12010的主要性能参数交换机类型千兆以太网交换机模块插槽 10个（2个用于管理引擎模块） 6个（2个用于管理引擎模块） 背板带宽15T 15T 交换容量 7.68T/10.24T（可扩展至15T） 7.68T/10.24T （可扩展至15T） 包转发率L2：5714Mpps/7620MppsL3：5714Mpps/7620MppsL2：2857Mpps/3810MppsL3：2857Mpps/3810Mpps802.1q VLAN 4kL2协议 IEEE802.3（10Base-T）、IEEE802.3u（100Base-T）、IEEE802.3z（1000Base-X） 、IEEE802.3ab（1000Base-T）、IEEE802.3ae（10GBase）、IEEE802.3ba（40G/100G）IEEE802.3ak、IEEE802.3an 、IEEE802.3x、IEEE802.3ad（链路聚合，同时支持跨板链路聚合）、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEE802.1D（STP）、IEEE802.1w（RSTP）、IEEE802.1s（MSTP）、IGMP Snooping 、Jumbo Frame(9Kbytes)、IEEE802.1ad（QinQ、灵活QinQ）、GVRP L3协议(IPV4) 支持BGP4、IS-IS、OSPFv2、RIPV1、RIPV2、MBGP等单播路由协议、LPM Routing、Policy-based Routing、Route-policy、ECMP、WCMP、VRRP、支持组播IGMP v1/v2/v3、 DVMRP、PIM-SSM/SM/DM、MSDP、Any-RP IPv6基础协议 ND（邻居发现）、ICMPv6、Path MTU Discovery、DNSv6、DHCPv6、ICMPv6、ICMPv6重定向、ACLv6、TCP/UDP for IPv6、SOCKET for IPv6、SNMP v6、Ping /Traceroute v6、IPv6 TACACS+/ RADIUS、Telnet/SSH v6、FTP/TFTP v6、NTP v6、IPv6 MIB support for SNMP、VRRP for IPv6、IPv6 QoS IPv6路由特性 静态路由、等价路由、策略路由、OSPFv3、RIPng、BGP4+、MLDv1/v2、PIM-SMv6 IPv6隧道技术 手工隧道、自动隧道、ISATAP隧道等 MPLS VPN LDP、支持三层VPN，BGP/MPLS VPN、支持VLL，实现点到点的二层MPLS VPN功能、支持VPLS/H-VPLS，实现点到多点的二层MPLS VPN功能、P/PE功能，符合RFC2547bis协议、支持CE双归属、支持三种跨域MPLS VPN方式（Option1/Option2/Option3），支持组播VPN、支持MPLS TE流量工程 QOS 支持IP Precedence、802.1P、DSCP、TOS等EXP优先级映射，支持ACL流分类，支持优先级标记Mark/Remark，支持SP、RR、WRR、DRR、SP+WRR、SP+DRR、WFQ等多种队列调度机制，每端口支持8个硬件队列，支持WRED、RED拥塞避免，CAR、支持LR（InOut）流量整形功能、HOL，支持VoQ 管理方式 支持Syslog系统工作日志，支持故障后报警和自恢复、支持USB、支持SNTP、NTP时钟、支持RMON，支持1、2、3、9组，支持SNMP v1/v2/v3c，支持Console/AUX Modem/Telnet/SSH2.0 命令行配置，支持WEB，支持FTP、TFTP、Xmodem、SFTP文件上下载管理，支持SPAN/RSPAN/ERSPAN，支持IPFIX流量分析 其它协议 DHCP Client、DHCP Relay、DHCP Server、DNS Client、UDP relay、ARP Proxy、Domain、VPN、Syslog 尺寸（宽x深x高）(mm) 437 x 450 x 930.65，高度21U 437 x 500 x 486.15，高度11U 电源 RG-PA1200I：90VAC176VAC，4763Hz，功率:530WRG-PA1200I：176VAC264VAC，4763Hz，功率:1400WRG-PA2000I：90VAC176VAC，4763Hz，功率:1080WRG-PA2000I：176VAC264VAC，4763Hz，功率:2000W温度 工作温度：0 到 50 存储温度：-40 到 70湿度 工作湿度：10% 到 90% RH 存储湿度：10% 到 90% RH4、 应用软件及操作系统的选择 我们要选择的操作系统不仅要求可以为各种外设和应用软件提供运行平台，而且必须是支持一种或多种网络协议，具有一定的安全策略，能对网络中的其他计算机提供必要的网络服务，一般具有以下特点：1：多用户的支持；2：访问控制；3：安全性管理；4：网络管理功能；5：对TCP/IP的良好要求。所以我们可以选择目前市场上流行的网络操作系统，如：Windows NT/Windows XP等5、子网及VLAN的划分 Vlan ID采用如下分配原则：（1）Vlan1保留使用（2）Vlan2Vlan3分配给教学楼使用（3）Vlan4 分配给教师办公室使用（4）Vlan5Vlan9分配给实验楼使用；Vlan20分配给实训楼服务器使用。（5）Vlan10Vlan14分配给男、女生宿舍楼使用（6）Vlan15Vlan17 分配给教师宿舍楼使用（7）Vlan18 分配给图书馆使用6、IP地址的规划及分配IP地址的分配原则如下：（1） 每个vlan分配一个C类地址（2） 给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性（3）考虑到以后的网络扩展规模，二层交换机设备的管理IP地址分配1个C类IP地址；（4）可以考虑为学校校园网分配一个C类私有地址段，如192.168.19.X/24,将/24的地址段分配给网络设备使用，/24的地址段分配给服务器等设备使用，其它地址分配给各办公室PC机以及其它信息点使用7、接入Internet方式 使用代理服务器的硬件接入。服务器可以是性能较好的PC机或专用服务器，通过局域网或者拨号网络、ADSL等连接Internet。通过局域网接入时，服务器上最好安装两块网卡，一块连接局域网，设置本地IP地址；一块连接外部网络，设置Internet上分配的IP地址。使用代理服务器的好处：1、能加快对网络的浏览速度。2、节省IP开销。3、可以作为防火墙。4、方便对用户的管理。5、访问受限站点。8、传输方式设计与说明在局域网中常采用广播方式进行数据传输。交换机通过划分虚拟局域网既VLAN，可以划分成很多广播域，也就是房间，不同广播域里的电脑不会接收到其他VLAN的广播信息。这样的好处是：一、减少了广播的数量，节省了网络带宽；二、保证了保密信息只能被特定的部分电脑接收到信息，加强了安全性。四、校园网的布线结构设计1、室外布线系统 室外布线系统介质选择原则： 楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点：包括路由起点、终点；线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。根据学校的实际应用，配服务器7台，用途如下： 主服务器2台：装有Solaris操作系统，负责整个校园网的管理，教育资源管理等。其中一台服务器装有DNS服务，负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统，负责整个校园网中各个用户的邮件管理。 WWW服务器1台：装有Linux操作系统，负责远程服务管理及WEB站点的管理。WEB服务器采用现在比较流行的APACHE服务器，用PHP语言进行开发，连接MYSQL数据库，形成了完整的动态网站。 电子阅览服务器1台：多媒体资料的阅览、查询及文件管理等； 教师备课服务器1台：教师备课、课件制作、资料查询等文件管理以及Proxy服务等。 光盘服务器1台：负责多媒体光盘及视频点播服务。 图书管理服务器1台：负责图书资料管理。2、室内垂直布线系统垂直干线子系统Topology结构采用分层星型拓扑结构，每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时，每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。 垂直干线设计要求：数据：光缆，每48个信息插座配2芯光纤，考虑一定数量备用大对数铜缆，每24个信息插座配4对对绞电缆。垂直干线的规格：大对数铜缆：常用3类25对、50对等，多用于语音通讯。室内光缆：多用于数据通信。3、室内水平布线系统 水平布线子系统设计要求：不分数据和语音全部采用同类4对铜芯对绞线，每个信息插座一根，增加灵活性。水平线缆的根数取决于信息插座的数量。 水平布线的长度限制：90米（总长不超过100米）；水平线缆采用24号线规，通过电流能力弱，仅为5mA。由配线间出来在吊顶中走线槽，进房间时改穿管敷设。 水平配线间位置和数量选择：位置靠近中心，满足最远线缆长度要求，可与弱电竖井合并设置，考虑通风、空调、照明、检修电源插座。 水平配线间配线架选择：多安装在19英寸标准机柜内，分区域设置机架可选择25对的110配线架，10对或8对的模块，或RJ45插接式模块。5、 网络安全的设计1、设置防火墙 为了保证校园骨干网的稳定可靠，此次学院的网络建设采取双核心、双链路的设计，即网络中心放置两台核心万兆交换机，当一台核心出现问题时，另外的核心可以自动承担所有的交换任务；正常情况下，两台核心交换机通过ECMP/WCMP技术实现负载的自动均衡，同时转发数据。采用双链路两条链路连接到网络中心，分别连接到两台核心设备上，即使一条链路出现问题，数据转发也可以在另一条链路上正常进行。 由于服务器上可以运行功能很强的安全性方面的软件，可以完全满足操作系统的安全需求。在路由器、拨号访问服务器和安全服务器之间传送的可以是经过加密的有关网络安全协议的数据流。其次，分级安全控制。在具体的访问控制中，使用了一个被广泛使用的“防火墙”的概念,即把防火墙看作是一个数据流的过滤器，只有用户所期望的数据流才能够通过这个过滤器,而其它所有的数据流都不能通过,这一控制是双向的。在区中心与Internet的连接就设置了PIX防火墙，将内网与外网隔断，而作为用户WEB查询用的服务器则置于DMZ（Demilitarized Zoon）中，用户访问时，不会直接进入内网，而只和查询服务器发生关联，再由查询服务器也只能由查询服务器进入内网寻找到用户所需的数据。这样就可以