校园网建设方案范例.doc

闽江学院 课课程程设设计计说说明明书书 题目：题目： 校园网或企业网的建设方案校园网或企业网的建设方案 院 系： 计算机科学系 专 业： 计算机科学与技术 班 级： 计本（2）班 学 号： 120051101222 学生姓名： 庄志向 指导教师： 吴征远 8 年年 10 月月 10 日日 目目 录录 第一章第一章 需求分析需求分析 1.1 、校园网建设思路与规划. 1.2、校园网建设目标. 1.3、 校园网设计要求. 第二章第二章 网络方案设计网络方案设计 2.1、 设备选型考虑. 2.2 、网络拓扑结构. 第三章第三章 网络设计分析网络设计分析 3.1、 网络的安全性设计. 3.2、 IP 地址规划及相关配置结果. 3.3、 VLAN 规划及相关配置结果. 3.4、 路由协议规划及相关配制结果. 第四章第四章 网络应用设计网络应用设计 4.1、 服务器分析与选择. 4.2 、系统软件选择 第第五五章章 涉及到的问题及心得涉及到的问题及心得 第一章：需求分析第一章：需求分析 1.11.1、校校园网建设思路与规划、校校园网建设思路与规划 一、应用特点及需求分析一、应用特点及需求分析 随着现代化教学活动的开展和与国内外教学机构交往的增多，对通过 Internet/Intranet网络进行信息交流的需求越来越迫切，为促进教学、方便管 理和进一步发挥学生的创造力，校园网络建设成为现代教育机构的必然选择。 校园网大都属于中小型系统，以园区局域网为主，一个基本的校园网具有以下 的特点： 高速的局域网连接高速的局域网连接校园网的核心为面向校园内部师生的网络，因此园区局 域网是该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包 含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求； 信息结构多样化信息结构多样化校园网应用分为电子教学（多媒体教室、电子图书馆等） 、 办公管理和远程通讯（远程教学、互联网接入）三大部分内容：电子教学包含 大量多媒体信息，办公管理以数据库为主，远程通讯则多为WWW方式，因此数据 成分复杂，不同类型数据对网络传输有不同的质量需求； 安全可靠安全可靠校园网中同样有大量关于教学和档案管理的重要数据，不论是被 损坏、丢失还是被窃取，都将带来极大的损失； 操作方便，易于管理校园 网面向不同知识层次的教师、学生和办公人员，应用和管理应简便易行，界面 友好，不宜太过专业化； 经济实用经济实用学校对网络建设的投入有限，因此要求建成的网络应经济实用， 具备很高的性能价格比。 校园内各建筑互连形成园区主干；各建筑物内再扩展面向用户的局域网。 园区主干连接为 100M/1000Mbps，建筑物内部的用户局域网提供到桌面的 10/100Mbps网络带宽。 二二. .校园网建设思路与规划校园网建设思路与规划 确立校园网建设的目标，不仅要考虑技术方面，更要考虑环境、应用和管理 等，必须与学校各方面改革、建设相结合，与学校长远发展相结合，科学论证 和决策。根据这样的使用要求：建设一个技术先进、扩展性强、能覆盖全校主 要楼宇的校园主干网络，将学校的各种 PC 机、工作站、终端设备和局域网连接 起来，并与有关广域相连，形成结构合理、内外沟通的校园计算机网络系统。 在此基础上建立的校园网应具备以下三点应用目标：首先，学校的目的是通过 教学过程来培养人才，因此对教学过程提供直接支持应是校园的基本功能。其 次，校园网必须能够支持学校的日常办公和管理。再次，与 Interent 的联接也 是校园网的基本功能之一。联接 Interent 可以使学校把目光投向更广阔的社会 空间。大大扩展师生获取知识的途径，还可以增强校内外的沟通以及自由地发 布教育消息。 在此，我们以计算机系楼，数学系楼，英语系楼，物理系楼及行政楼为例。 将它们划分为5个VLAN，并通过路由进行资源共享，同时租用电信一个外部IP地 址6，用虚拟映射方式实现局域网上网。以提供丰富的网络服务， 实现广泛的软件，硬件资源共享。 1.21.2、校园网建设目标、校园网建设目标 1）建设数字化新校园，为学校各下属系部、教学和科研部门、管理部门、后勤 部门的教学、科研、行政管理提供快捷有效的信息服务、提供良好的通信环境。 2)2) 实现集中式数据存储，实现在网络系统上的高速互连互通，及信息资源和 软硬件资源高度共享。 3)3) 为新校园创造安全、高效、便捷的教学环境、科研环境和生活环境。 1.31.3、校园网设计要求、校园网设计要求 校园网应以宽带网为目标，具有数据、语音、图形、图像等多种信息 媒体传递功能，具备性能优越的资源共享功能。 校园网主干传输带宽应达到1000Mbps要求，楼宇之间千兆连接。校园网子 网包括教学子网和功能教室子网，子网采用交换式百兆以太网方案，教室、办 公室（科室） 、功能教室等单元场所应有充足的信息节点并具有快速交换功能。 建设校园网的同时必须考虑到与城域网的连接，要按统一规划接入教育城域网， 接入带宽不小于100Mbps。不得游离于教育信息网之外，以保证网络安全、资源 共享和带宽的要求。校园网内用户能访问教育城域网上资源，城域网内用户至 少能访问该校的WWW服务器、资源服务器。 第二章第二章 网络方案设计网络方案设计 2.12.1、设备配置描述、设备配置描述 2.1.1、路由器 CISCOCISCO 36403640 在本设计中，采用的是Cisco的3640路由器。CISCOCISCO 36403640 主要参数主要参数： 路由器类型 ：模块化中高密度路由器 包转发率 ：IP/IPX/AT/DEC/FW/IDS Plus 其他端口 ：高速控制和AUX端口 支持VPN ：True 扩展模块 ：广域网网卡（WIC）模块：1端口 ISDN BRI（S/T） ；1端口 ISDN BRI（U） ；1 端口同步串行；1端口4线 56Kbps CSU/DSU；1端口 T1/FT1 CSU/DSU；-语音接口卡（VIC）模块：2端口语音 FXS；2端口语音E&M；2端口语音F 处理器 :225 MHz RISC QED RM5271 网络协议： PPP HDLC（IP over HDLC） Frame Relay（RFC1490） Bridge 静态路由 RIP（v1或v2） OSPF v2 BGP-4IEEE 802.3 ISDN 加密标准AH（MD5） ESP（Null，DES，3DES，ARC4，proprietary fast encoding，+MD5/HMAC，-MD5） V.35， EIA/TIA-232 EIA/TIA-449 X.21 EIA-530 内存 :32MB（缺省） ；64MB（最大） 网管软件 :Cisco IOS Release 12.0（5）T 2.1.2 交换机的选择 CiscoCisco CatalystCatalyst 35503550 交换方式：交换方式：存储-转发 VLANVLAN支持类型：支持类型：端口的VLAN、MAC地址的VLAN 传输速度：传输速度：10/100 Mbps 支持全双工：支持全双工：是 .1.3. 服务器和服务器和PCPC的选择的选择 服务器和PC是实现网络操作，网络应用的窗口和平台。针对学校校园网用 户而言，对此设备的选择应该充分考虑可管理性、稳定性、安全性、综合性能 价格比等因素。 2.22.2、网络拓扑结构、网络拓扑结构 以计算机系办公楼、英语系办公楼、行政楼、数学系办公楼、物理系办公 楼为例。图中的五台 PC 机代表五个 VLAN。外网 IP 为：6. 为了 实现上述功能，需要一台名为 Switch1 的交换机与一个路由器 Router相 连还需一个连接外网的路由器 Router2 与 Router1 相连，实现外网通信将 计算机系楼，数学系楼，英语系楼，物理系楼及行政楼看作个 VLAN，分别用 台机代替在 R1 与 SW1 之间设置防火墙。具体拓扑图为 第三章第三章 网络设计分析网络设计分析 3.13.1、网络的安全性设计、网络的安全性设计 为了确保网络的安全性，在路由器与交换机之间设置防火墙（FortiGate- 5020） 。防火墙可以为管理员确保校园网与 Internet 的通信符合校园网的安全 方针提供相关问题的答案。例如：谁在使用网络，他们在网络上做了什么，他 们什么时间使用了网络，他们上网去了何处，等。 所有 FortiGate-5020 系统病毒防火墙设计都是使用 FortiGate-5020 机箱， 提供各种不同的吞量、 冗余量和接口要求。FortiGate-5020 机箱支持冗余热 交换式电源模块， 以保证高可用性和不间断的运行。对于可扩展的吞量， FortiGate-5020 机箱具有 2 个插槽， 以适应 FortiGate-5001 母板式模块， 每一个都装有 FortiASICTM 内容处理器芯片和提供高性能防火墙、VPN、 ， 反 病毒、入侵检测、Web 和电子邮件内容过滤和流量控制功能和流量控制功能。 每一个 FortiGate-5001 母板式模块具有 4Gb 小型规格尺寸插拔式(SFP)端口和 4 个三速 Gb 以太网端口。 FortiGate-5020 系统支持独立的安全区和映射到 VLAN 标签的策略。持续的攻击库更新， 以保护网络不受病毒、蠕虫、木马及 其他攻击， 使网络随时随地的得到安全保护。 使用了防火墙，使得内部和外部之间所有的网络数据流都必须通过防火墙， 而且只有符合安全政策的数据流才能通过防火墙。这样就确保了网络的安全性 能。 3.23.2、IPIP 地址规划及相关配置结果地址规划及相关配置结果 数学系VLAN1, PC 机 IP 范围：/2454/24 英语系VLAN2，PC 机 IP 范围：/2454/24 计算机系VLAN3，PC 机 IP 范围：/2454/24 物理系VLAN4，PC 机 IP 范围：/2454/24 行政楼VLAN5, PC 机 IP 范围：/2454/24 相对应的： PC：IP 掩码 网关 PC：IP 掩码 网关 PC：IP 掩码 网关 PC：IP 掩码 网关 PC：IP 掩码 网关 、做基本配置，让做基本配置，让PC3,PC4,PC5,PC6,PC7PC3,PC4,PC5,PC6,PC7之间互相通信之间互相通信 PC的配置：的配置： PC2PC2的配置：的配置： PC3PC3的配置：的配置： PC4PC4 的配置：的配置： PC5PC5 的配置：的配置： . .配好后测试之间的联通性；配好后测试之间的联通性； 使用 ping 命令 对 pc1 使用 C:ping ，发现 pc1 和 pc2 可以通信 对 pc使用 C:ping 192.168.，发现 pc和 pc可以通信 对 pc使用 C:ping ，发现 pc和 pc2 可以通信 对 pc使用 C:ping 192.168.2，发现 pc和 pc可以通信 对 pc使用 C:ping 192.168.2，发现 pc和 pc可以通信 3.33.3、VLANVLAN 的划分的划分 创建创建 VLANVLAN，使各个系之间不互相通信。，使各个系之间不互相通信。 SW1SW1 的配置如下：的配置如下： Switchen Switchconf t Switchhost sw1 Switchexit sw1#vlan database sw1(vlan)#vlan 2 VLAN 2 added: Name: VLAN0002 sw1(vlan)#vlan 3 VLAN 3 added: Name: VLAN0003 sw1(vlan)#vlan 4 VLAN 4 added: Name: VLAN0004 sw1(vlan)#vlan 5 VLAN 5 added: Name: VLAN0005 sw1(vlan)#exit sw1#conf t sw1(config)#int f0/2 sw1(config-if)#switchport access vlan 2 sw1(config-if)#exit sw1(config)#int f0/3 sw1(config-if)#switchport acc vlan 3 sw1(config-if)#exit sw1(config)#int f0/4 sw1(config-if)#sw acc vlan 4 sw1(config-if)#exit sw1(config)#int f0/5 sw1(config-if)#sw acc vlan 5 sw1(config-if)#exit sw1(config)#int f0/ sw1(config-if)#switchport mo trunk sw1(config-if)#switchport trunk encapsulation dot1q sw1(config-if)#exit sw1(config)#end sw1#show vlan 此时，显示结果为：此时，显示结果为： 配好之后检测配好之后检测 PCPC 之间的联通性，发现彼此不互相通信之间的联通性，发现彼此不互相通信 使用 ping 命令 对 pc1 使用 C:ping ，发现 pc1 和 pc2 不互相通信 对 pc使用 C:ping 192.168.2，发现 pc和 pc不互相通信 对 pc使用 C:ping ，发现 pc和 pc2 不互相通信 对 pc使用 C:ping 192.168.2，发现 pc和 pc不互相通信 对 pc使用 C:ping 192.168.2，发现 pc和 pc不互相通信 3.43.4、路由协议规划、路由协议规划 配好之后检测配好之后检测 PCPC 之间的联通性，发现彼此不互相通信，是由于每个之间的联通性，发现彼此不互相通信，是由于每个 VLANVLAN 就相就相 当于一个虚拟的局域网。要想让不同当于一个虚拟的局域网。要想让不同 VLANVLAN 之间能互相通信，通过单臂路由来实之间能互相通信，通过单臂路由来实 现！具体配置过程如下：现！具体配置过程如下： Routeren Routerconf t Routerhost r1 Routerexit R1#config t R1(config)#int f0/0 R1(config-if)#no shut R1(config-if)#int f0/0.1 R1(config-subif)#encapsulation dot1Q 1 R1(config-subif)#ip addr R1(config-subif)#int f0/0.2 R1(config-subif)#encapsulation dot1Q 2 R1(config-subif)#ip addr R1(config-subif)#int f0/0.3 R1(config-subif)#encapsulation dot1Q 3 R1(config-subif)#ip addr R1(config-subif)#int f0/0.4 R1(config-subif)#encapsulation dot1Q 4 R1(config-subif)#ip addr R1(config-subif)#int f0/0.5 R1(config-subif)#encapsulation dot1Q 5 R1(config-subif)#ip addr R1(config-subif)#exit 单臂路由后检测连通信，发现之间又可以通信了单臂路由后检测连通信，发现之间又可以通信了 使用 ping 命令 对 pc1 使用 C:ping 192.168.2.，发现 pc1 和 pc2 可以通信 对 pc使用 C:ping 192.168.，发现 pc和 pc可以通信 对 pc使用 C:ping 192.168.2.，发现 pc和 pc2 可以通信 对 pc使用 C:ping 192.168.，发现 pc和 pc可以通信 对 pc使用 C:ping 192.168.，发现 pc和 pc可以通信 为了能和外网通信，要把内部的为了能和外网通信，要把内部的 IPIP 通过做通过做 NATNAT 转化成外部的转化成外部的 ISPISP 提供的公用提供的公用 IPIP 为为 66 . . 配好配好 NATNAT 后就能使内部的网络和外部的网络通信了！后就能使内部的网络和外部的网络通信了！ 在上进行配置，如下： R1(config)#int s1 R1(config-if)#ip addr 6 R1(config-if)#no shut R1(config-if)#end R1#config t R1(config)#ip nat pool Internet 6 6 prefix- length 24 R1(config)#ip nat inside source list 1 pool Internet overload R1(config)#access-list 1 permit 55 R1(config)#access-list 1 permit 55 R1(config)#access-list 1 permit .55 R1(config)#access-list 1 permi