成都职业技术学院校园网网络建设 毕业论文.doc

成都职业技术学院 毕业论文（设计） 设计题目 成都职业技术学院校园网网络建设 学生姓名 专业班级 2009级计算机网络技术 1班 学生学号 09302021524 系 别 计算机系 指导教师 2012 年 3 月 10 日 目 录 摘 要 3 第 1 章 项目建设背景 5 1.1 引言 .5 第 2 章 成都职业技术学院校园网需求分析 6 2.1 环境分析 6 2.2 网络应用需求分析 7 2.3 网络性能需求分析 7 2.4 网络管理需求分析 7 2.5 设备分析 8 2.5.1 交换机设备需求分析 .8 2.5.2 计算机设备需求分析 .8 2.5.3 服务器设备需求分析 .8 第 3 章 校园网建设目标 8 3.1 数字校园建设目标 8 3.2 数字化环境 8 3.3 数字化管理 9 3.4 数字化学习 9 第 4 章 校园网建设 9 4.1 设计原则 9 4.1.1 开放性 .9 4.1.2 可扩充性 .9 4.1.3 可管理性 .9 4.1.4 安全性 10 4.1.5 先进性 10 4.1.6 稳定性和可靠性 10 4.2 网络结构设计 .10 4.2.1 核心层 10 4.2.2 汇聚层 10 4.2.3 接入层 10 4.3 主要设备选型 .10 4.3.1 核心交换机选型 10 4.3.2 汇聚层交换机选型 11 4.3.3 接入层交换机选型 11 4.3.4 路由器选型 11 4.3.5 防火墙选型 12 4.3.6 服务器选型 12 4.4 拓扑结构 .13 4.5 布线系统 .13 4.4 网络方案设计 18 4.4.1 核心层设计 18 4.4.2 汇聚层设计 .20 4.4.3 接入层设计 21 4.4.4 桌面 pc 规划 22 4.4.5 防火墙设计 22 4.4.6 服务器配置与管理 .22 4.4.7 vlan 划分、子网配置与 ip 地址分配 .23 4.6 网络安全设计 28 4.6.1 有害信息过滤 .28 4.6.2 应用防病毒技术，建立防病毒体系 .29 第 5 章 总结 .29 参考文献 .29 成都职业技术学院校园网络建设 作者：席鑫 指导教师：彭天炜 成都职业技术学院计算机网络技术专业 09 级 1 班 摘 要 internet 的迅速发展，极大地推动了我国的网络建设。校园网的建设能从根本上促 进教学科研人员之间的信息交流、资源共享、科研合作，是学校教育和科研工作的最重 要的基础设施之一。本文通过介绍成都职业技术学院校园网的设计与假设，来说明高校 在组建内部网时应经历的步骤；通过介绍该学校内部网络设计前的各种需求分析、设计 方案的选择、网络安全维护工作以及最后的具体的组网实践，来说明如何高效安全地规 划组建高校的校园网。 大学校园网的组建，是一个比较先进且非常实用的课题，主要从校园网的需求和作 用分析。大学校园网的建立，是多媒体教学的重要基础，首先教室可以多渠道、多方位、 多形式的进行教学，可以把教程放在网上实现教学资源的共享，进行远程的教育、交流； 另外学生可以更加广阔的学习知识并与老师有多重形式的交流。网络的无处不在让学习 的空间和时间都得到了较大的延伸，可有选择性的主动学习、提高自身综合素质。使校 园的办公管理进入一种高效、节约、严谨的状态，从而发生质的飞跃。大学校园网硬件 系统的实施包括主干网、子网、服务器及各标准参数；软件系统的实施包括网间协议、 操作平台、应用软件、网络管理等。 关键词： 校园网、需求分析、设计方案、网络安全 4 the rapid development of internet has greatly promoted the construction of the network. construction of the campus network from the fundamental teaching and research cooperation, is the school of education and research infrastructure of the most important one. this article introduces the journal of our university campus network design and construction, to illustrate the university intranet in the formation of the steps that should be experienced; by introduction the design of the pre-school intranet needs analysis, design choices, network security maintenance and, finally, the specific networking practice to illustrate how to build efficient and safe planning college campus network. the set-up of campus network of middle school, is a more advanced and very more practical subject, analysis from the demand and function for campus network mainly. foundation, middle school of campus network, important foundation, multimedia of teaching, teacher can multi-channel diversified at first, a multi-form one carry on teaching, can put the study course on the net the sharing of realizing teaching resources, carry on long-range education, exchange; study knowledge and having diversified forms of exchanges with the teacher that students can be wider in addition. because the network is ubiquitous, the space and time of study get greater extension, alternative initiative study, improving ones own overall qualities. make the office administration of the campus enter high-efficiently, economizes, rigorous, a real-time qualitative leap. implementation, hardware of system in the implementation, middle school of campus network, including backbone, sub network, server, all standard parameter; implementation of software, including agreement under network, speak pieces of platform, application software, network management. key words: campus network, needs analysis, design, network security 5 第 1 章 项目建设背景 1.1 引言 互联网是一个世界规模的、可以存储海量信息并提供锅中服务资源的平台。通过互联 网，全世界的人们既可以互通信息、交流思想，又可以获得各个方面的知识和经验。通 过网络，人们足不出户就可以进行购物、订票、接受教育、远程医疗等活动。成就互联 网辉煌的是数以亿计的各式各样的网站，众多设计独特、创意新颖、内容丰富的网站。 建设网站的目的对网站的计划和实施会有决定性的作用，所以在建设网站钱就应重视 起来。企业建设网站首先应该以营销委几本目的。网站的建立主要也是为了宣传 自己的 公司，发布时效性强的信息；方便快捷地与各地客户或代理商 24 小时保持联络；以及增 加业务量、开拓国际市场等。 第 2 章 成都职业技术学院校园网需求分析 2.1 环境分析 成都职业技术学院是位于成都市的一所大专学院。学院已有几十年的历史，也就是 在经过这么多年的建设后，如今在学院内已建立起一个现代化的教学环境。学院内建筑 包括有教学楼、软件大楼、实训楼、综合楼、食堂、体育馆、图书馆、教师宿舍和学生 寝室等。具体的建筑平面图如下所示： 图 1.1 成都职业技术学院建筑平面图 6 因为学院是成都市市政府所管辖的学院，所以学院已经拥有现代教学的规模，也已经建 立起现代的校园网络。上图中的教学楼、实训楼、综合楼、图书馆、教师宿舍，以前已 建立起网络环境，但是应社会变化的速度，软件大楼内部网络可以进行综合规划，剩下 的体育馆、食堂因应用需求暂时不接入校园网络。 2.2 网络应用需求分析 这方面的需求，不同的学校有着明显的不同。大体可以分为：教学、办公、科研、 服务这四方面应用。如对教学、办公方面的网络设计应考虑稳定、扩展、安全等问题， 科研、服务的网络设计中带宽是要着重考虑的方面，而成都职业技术学院在科研、服务 方面已经有一定的结构，所以本次规划着重在教学与办公方面，即对软件大楼进行综合 规划。 2.3 网络性能需求分析 性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、 资源利用率、可靠性、性价比等。 2.4 网络管理需求分析 校园网必须具备教学、管理和通讯三大功能。教师可以方便的浏览和查询网上资源， 进行教学和科研工作；学生可以方便的浏览和查询网上资源实现远程学习：通过网上学 习学会信息处理能力。学校的管理人员可方便的对教务、行政事务、学生学籍、财务、 资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采 集和处理的自动化，实现信息和设备资源的共享，因此，校园网的建设必须有明确的建 设目标。 2.5 设备分析 2.5.1 交换机设备需求分析 设备 数量（台） 核心交换机 1 汇聚层交换机 6 接入交换机 28 2.5.2 计算机设备需求分析 计算机位置 1 楼 2 楼 3 楼 4 楼 5 楼 6 楼 7 楼 8 楼 9 楼 10 楼 11 楼 12 楼 数量（台） 1 0 0 100 10 10 200 200 10 10 10 10 2.5.3 服务器设备需求分析 7 服务器名 数量（台） dns 服务器 1 www 服务器 1 mail、ftp 服务器 1 数据服务器 1 vod 点播服务器 1 电子图书服务器 1 存储服务器 1 总计 7 第 3 章 校园网建设目标 3.1 数字校园建设目标 在现有的基础上，建设一流的数字化网络环境，数字化的教育资源环境、数字化的 教学与学习环境、管理工作环境，实现数字化学习、数字化教学、数字化管理和数字化 生活，创建数字化虚拟空间的进一步提升，建立基于网络的电子教学课件开发、视频点 播、网上题库、答疑与作业批改等计算机辅助教学系统，实现数字手段的现代化，实现 学校更具信息化和现代化。 3.2 数字化环境 数字化校园的硬件基础，包括：覆盖全校，技术先进、功能齐全的高速校园网络； 数字化广播电视系统；数字化多媒体制作系统；建立满足教学需要的计算机机房、数字 化阅览室和多媒体教学系统等。图书资料检索、借阅自动化。通过改造原有图书检索系 统，建设电子图书馆，提高校内图书资料的利用率；充分利用校外图书资料，实现远程 计算机图书检索和借阅。 3.3 数字化管理 指校务管理系统，包括办公、人事、教务等管理子系统，学校管理系统的信息化、 自动化。依托校园网络，构建相应的交互式应用软件平台，实现教学、科研、人事、学 生、财务、后勤、档案等管理工作的自动化，实现统计监测网络化，提高管理效率和水 平，实现网上人才招聘、学生网上求职等。 3.4 数字化学习 指数字化校园软件平台和资源两方面。建立先进实用的应用平台和应用系统。包括： 8 校园信息发布系统、校务管理系统、教育教学系统、学生、家长和学校联系交流平台、 试验图书馆系统和生活服务系统。 加强现有信息资源的数字化工作，重视现有信息资源的数字化工作，把具有优势和 特色的传输媒介的信息资源尽快数字化。加强各类教育信息资源库的建设，包括教育教 学资源科、管理资源库、实训成果资源库、学生信息资源库、数字化图书馆等涉及教学、 管理等各方面信息资源库，积极开发基于 web、ftp 等技术的各类网络信息资源，充分 利用信息为学校、社会和同学提供优质服务。最终，通过校园网，实现学校内部，学校 与国内、国际信息的快速交流，大道资源共享，使广大师生及时了解国内外科学技术和 高等教育发展的最新动态，促进教学、科研、管理事业的发展，实现信息资源共享。 第 4 章 校园网建设 4.1 设计原则 4.1.1 开放性 采用开放性的网络体系，以方便网络的升级、扩展和互联；同时在选择服务器、网 络产品时，强调产品支持的网络协议的国际标准化； 4.1.2 可扩充性 从主干网络设备的选型机器模块、插槽个数、管理软件和网络整体结构，以及技术 的开放性和对相关协议的支持等方面，来保证网络系统的可扩充性； 4.1.3 可管理性 网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。 在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便的进行网络故障的 诊断。 4.1.4 安全性 内部网络之间、内部网络与外部公共网之间的互联，利用 vlan，防火墙等对访问 进行控制，确保网络的安全； 4.1.5 先进性 网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换 的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足 9 需求。 4.1.6 稳定性和可靠性 可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输 介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能 小以外，同时还应具有良好的故障诊断和故障隔离功能。 4.2 网络结构设计 为实现校园内的高速互联，校园网网络整体分为三个层次：核心层、汇聚层、接入 层。 4.2.1 核心层 核心层由 1 个核心节点组成，包括软件大楼和服务器群； 4.2.2 汇聚层 汇聚层设在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交 换机，根据各个楼的配线间的数量不同，可以分别采用 1 台或 2 台汇聚层交换机进行汇 聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层 设备不但分担了核心设备的部分压力，同时提高了网络的安全性； 4.2.3 接入层 接入层为每个楼的接入交换机，是直接与用户相连的设备； 4.3 主要设备选型 4.3.1 核心交换机选型 使用交换机可以把网络进行“分段” ，通过对照 mac 地址表，交换机只允许必要的 网络流量通过交换机。交换机在同一时刻可以进行多个端口对之间的数据传输。每一端 口都可视为独立的网段，连接在其上的网络设备独自享有全部的带宽，无须同其他设备 争夺使用。交换机是一种基于 mac 地址识别，能完成封装转发数据包功能的网络设备。 交换机可以“学习”mac 地址，并把其存放在内部地址表中，通过在数据帧的初发者和 目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。 4.3.2 汇聚层交换机选型 作为局域网的主要连接设备，以太网交换机成为应用普及最快的网络设备之一。随 着交换技术的不断发展，以太网交换机的价格急剧下降，交换到桌面已是大势所趋。如 10 果你的以太网络上拥有大量的用户、繁忙的应用程序和各式各样的服务器，而且你还未 对网络结构做出任何调整，那么整个网络的性能可能会非常低。不同网络环境下的交换 机作用也各不相同，在同一网络环境下添加的交互及和增加现有交换机的交换端口对网 络的影响也不尽相同。充分了解和掌握网络的流量模式是能否发挥交换机作用的一个非 常重要的因素。因为使用交换机的目的就是尽可能的减少和过滤网络中的数据流量，所 以如果网络中的某台交换机由于安装位置设置不当，几乎需要转发接收到得所有数据包 的话，交换机就无法发挥其优化网络性能的作用，反而降低了数据的传输速度，增加了 网络延迟。 4.3.3 接入层交换机选型 从广义上来看，交换机分为两种：广域网交换机和局域网交换机。广域网交换机主 要应用于电信领域，提供通信用的基础平台。而局域网交换机则应用于局域网络，用于 连接终端设备。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千 兆以太网交换机、fddi 交换机、atm 交换机和令牌交换机的等。从规模应用上又可分 为企业级交换机、部门交换机和工作组交换机等。各厂商划分的尺度并不是完全一致的， 一般来讲，企业级交换机都是机架式，部门级交换机可以是机架式，也可以是固定配置 式，而工作组级交换机为固定配置式。而本文所介绍的交换机指的是局域网交换机。 4.3.4 路由器选型 接入路由器连接家庭或 isp 内的小型企业用户。接入路由器已经开始不只是提供 ppp 连接，还支持虚拟私有网络协议。这些协议要能在每个端口上运行。例如 adsl 等技术 将很快提高各家庭的可用宽带，这将进一步增加接入路由器的负担。由于这些趋势，接 入路由器将来会支持许多异构和高速端口，并在各个端口能够运行多种协议，同时还要 避开电话交换网。 企业或校园级路由器连接许多终端系统，其主要目标是以尽量便宜的方法实现尽可 能多的端点互连，并且进一步要求支持不同的服务质量。许多现有的企业网络都是由网 桥连接起来的以太网段。骨干级路由器实现企业级网络的互联。对它的要求是速度和可 靠性，而代价则处于次要地位。硬件可靠性可以才有电话交换网中使用的技术来获得。 这些技术对所有骨干路由器而差不多是标准的。 在未来核心互联网使用的三种主要技术中，光纤盒 dwdm 都已经是很成熟的并且是 现成的。如果没有与现有的光纤技术和 dwdm 技术提供的原始宽带对应的路由器，新的 网络基础设施将无法从根本上得到性能的改善，因此开发高性能的骨干交换/路由器已经 11 成为一项迫切的要求。 4.3.5 防火墙选型 防火墙是一种特殊的设备，在两个网络之间执行访问控制。通常一个路由器，也可 以是一台运行防火墙软件的 pc 机。防火墙由选择的过滤或阻塞网络间的流量。防火墙一 般是基于源地址和目的地址以及每个 ip 包的端口来作出禁止或允许判断。 （一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙，这是防火墙所处 网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一 通道，才可以全面、有效的保护企业网部网络不受侵害。防火墙的目的就是在网络连接 之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、 出内部网络的服务和访问的审计和控制。所有的内、外部网络之间的通信都要经过防火 墙。 （二）只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流 量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。防 火墙是一个类似于桥接或路由器的、多端口的转发设备，它跨接与多个分离的物理网段 之间，并在报文转发过程之中完成对报文的审查工作。 （三）防火墙自身应具有非常强的抗攻击免疫力。这是防火墙之所以能担当企业内部网 络安全防护重任的先决条件。防火墙处于网络边缘，就像一个边界卫士一样，每时每刻 都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领，它之所以 具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统 才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防 火墙嵌入系统外，再没有其他应用程序在防火墙上运行。 4.3.6 服务器选型 按网络规模划分，服务器分为工作组级服务器、部门级服务器、企业级服务器。工 作组级服务器用于联网计算机在几十台左右或者对处理速度和系统可靠性要求不高的小 型网络，其硬件配置相对比较低，可靠性不是很高。部门级服务器用于联网计算机在百 台左右、对处理速度和系统可靠性中等的中型网络，其硬件配置相对较高，其可靠性居 于中等水平。企业级服务器用于联网计算机在数百台以上、对处理速度和数据安全要求 的大型网络，硬件配置最高，系统可靠性要求最高。需要注意的是，这三种服务器之间 的界限并不是绝对的，而是比较模糊的，比如工作组级服务器和部门级服务器的区别就 不是太明显，有的干脆统称为“工作组/部门级”服务器。 12 4.4 拓扑结构 拓扑结构是在理论上对整体网络的一个描述，它反映的是整个网络的结构。在网络 结构上，目前的网络结构主要有以下几种： 星形拓扑：星型拓扑是由中央节点和通过点到点链路到中央节点的各站点组成。 总线拓扑：总线拓扑结构采用单根传输线作为传输介质，所有的站点都通过相应的 硬件接口直接连接到传输介质上，或称总线上。 环形拓扑：由一些中继器和连接中继器的点到点链路组成一个闭合环。每个中继器 都和两条链路相连。 树形拓扑：树形拓扑是从总线拓扑演变过来的，形状像一棵倒置的树，顶端有一个 分支的根，每个分支还可以延伸出子分支。它主要有易于扩展和故障隔离等优点。 环拓扑：它是将星形拓扑和环形拓扑混合起来的一种拓扑，试图取这两种拓扑的优 点于一个系统。 4.5 布线系统 布线系统是校园网络建设的一个核心内容，它连接着校园建筑物的传输网络，给数 据、语音、视频设备提供链路，布线的设计以及质量直接影响网络的运行质量，综合布 线系统可划分为个子系统，它们是： 水平系统：水平系统是整个布线系统的一部分，水平系统的方式是采用吊灯上线槽 布线，一根水平电缆接两个信息模块，一个插座安排两个信息模块，分别支持语音和数 据，每个数据骨干电缆和语音要分开，语音终端和数据终端也要分开。 垂直干线系统：垂直干线系统也称骨干（riser backbone）系统，它是整个建筑物综 合布线系统重要的一部分。一般情况下，按星型拓扑结构，采用点对点端接方式，连接 垂直干线。 设备间子系统：设备间子系统也称设备（ equipment ）子系统。它把光缆、同轴电 缆、程控交换机等相互连接起来。 建筑群子系统：建筑群子系统也称校园（campus backbone）子系统或楼宇管理子系 统，它是将一个建筑物中的电缆延伸到另一个建筑物的通信设备和装置，通常是由光缆 和相应设备组成。综合布线系统示意图如下所示： 13 图 4.2 7 楼综合布线系统示意图 图 4.3 701 路由交换实训室综合布线系统示意图 14 图 4.4 702 网络综合布线与测试实训室综合布线系统示意图 图 4.5 704 融合通信实训室综合布线系统示意图图 15 4.6 705信息安全实训室综合布线系统示意图图 16 4.7 706互联网应用开发实训室综合布线系统示意图 综合布线有以下一些优点： a. 结构清晰，方便工作人员管理与维护 b. 材料比较统一而且先进，适应学校网络的发展需要 c. 灵活性强，便于扩充，节约资源，提高系统的可靠性从而适应各种不同的需求 成都职业技术学院在网络布线上同样与其他普通院校一样，采用的是中华人民共和 国国建标准的布线系统。其中，将 7 楼网络设备管理员办公室设为核心交换机房；其余 楼层设汇聚交换机，每个楼层接直接与用户相连的交换机。 在布线的过程中，1000m 光纤到楼上，另外用 1000m 双绞线到各个机房的服务器， 其余的 100m 到用户。统一从汇聚交换机放线到各个机房以及办公室的同一个位置，其中 的多媒体教室以及教师办公室地面统一装修为防静电的地板，已达到防静电的作用。对 于无线网的接入点进行布线的同时，考虑到无线网信号强弱的问题，所以我们决定将接 入点设置在多媒体教室以及教师办公室的中心位置，以便平均分布信号，使较强的无线 网信号能够完整覆盖到各个所需之地。 17 4.4 网络方案设计 成都职业技术学院校园网络建设，我们主要是根据学校地理位置分布实际情况，设 计校园网。 4.4.1 核心层设计 核心层的功能是实现骨干网络之间的传输，核心层位于顶层，主要负责大量的数据 流的传输，所以在选择网络设备之前一定要估算它所能承载的信息流量。 用户的数据进行处理后，分配层会将请求送到核心层，这样看来，容错也是比较重 要的，这一层不能做任何影响传输流量的事情，也不能在这一层接入工作组，鉴于核心 层本身所具有的特点，我们在选选择设备的时候更要慎重。 考虑到社会的发展，以及网络的普及，学院学生及老师对网络速度的需求也会越来 越高，所以，为了让更多的信息点接入，网络流量的增加，在此设计中，我们选用的是 思科 cisco catalyst 6500 系列的交换机，这类交换机的系列能为校园网和电信运营商 网络设立了新的 ip 通信和应用支持标准，它同时还能提高用户的生产率，增强操作控制。 作为思科重要的智能多层模块化交换机，catalyst 6500 系列能够提供安全的端到端融合网 络服务，其使用范围从布线室到核心，再到数据中心和广域网边缘，并且能够通过多种 机箱配置和 lan/wan/man 接口提供可扩展的性能和端口密度，提供 3 插槽、6 插槽、 9 插槽和 13 插槽的机箱，以及多种集成式服务模块，包括数千兆位网络安全性、内容交 换、语音和网络分析模块。其次，catalyst 6500 系列中的所有型号都使用了统一的模块和 操作系统软件，形成了能够适应未来发展的体系结构，由于能提供操作一致性，因而能 提高 it 基础设施的利用率。从 48 端口到 576 端口的 10/100/1000 以太网布线室到能够支 持 192 个 1gbps 或 32 个 10gbps 骨干端口，提供每秒数亿个数据包处理能力的网络核心， cisco catalyst 6500 系列能够借助冗余路由与转发引擎之间的故障切换功能提高网络正常 运行时间。 基于思科 cisco catalyst 6500 系列完美的配置信息，我们在此也就采用此系列的 一员：思科 cisco ws-c6503-e 作为我们本设计的核心交换机，在此也详细介绍它的技术 参数： cisco ws-c6503-e 的信息如下所示： 交换机类型：千兆以太网交换机 传输速率：10/100/1000 18 传输模式：支持全双工 交换方式：存储-转发 背板带宽：240gbps 包转发率：99mpps 内存：1gb mac 地址表：64k 网络标准：ieee 802.3，ieee 802.3u，ieee 802.1s，ieee 802.1w，ieee 802.3ad 网管功能：ciscoworks2000 ，rmon，增强交换端口分析器（espan） ， snmp，telnet，bootp ， tftp 接口类型：dso 到 oc-48,100base-fx 额定功率：dc，1400；ac，950 思科 cisco ws-c6503-e 最高系统端口密度 万兆以太网 8 千兆以太网（小型可插拔sfp 光端口） 98 千兆以太网（千兆接口sfp光 端口） 34 10/100/1000 以太网 97 10/100 快速以太网 192 100base-fx 96 flex(ds-0 到 oc-3) 带 2 个模块，带 4 个 端口适配器 思科 cisco ws-c6503-e 可以选择思科系列的 ws-x6k-s2u-msfc2 catalyst 6500 supervisor 2u 引擎。 对于该交换机的特点和成都职业技术学院的网络需求，选购的交换机模块如下所示： 机箱：ws-c6503-e catalyst 6500 增强 3 插槽机箱 电源：pwr-c45-1000ac 19 电源线：cab-7kaca 交换机模块：ws-x6500-sfm 4.4.2 汇聚层设计 汇聚层对于整个网络来说，是将接入层交换机的数据进行统一汇聚，并且通过交换 机的高速接口将网络数据在此传输到核心交换机，在整个网络过程中起到了非常重要的 作用。所以，在设计汇聚层时，我们根据汇聚层的主要功能，考虑到了交换机性能的主 要问题： a. 足够的带宽来传输数据； b. 最好具有三层交换性能，以防核心交换层不够承载； c. 保证核心层的安全和稳定； d. 必须具有负载均衡和冗杂能力。 当网络数据流量很大时，内部互相访问的需求量很大，所以不能让核心层负载所有 的流量，这时，汇聚层就可以解决网络数据流量的分流作用。另外局域网中，很大一部 分的路由是由汇聚层来实现的，所以，用三层交换机有一次路由多次交换的特点，比一 般的路由更快，减小了网络速度的迟缓，加快了网络速度，其次就是可以在汇聚层就进 行流量控制和安全管理。但是为了节约成本，同时考虑到将来网络升级时，汇聚层交换 机不被淘汰掉，本次设计将根据成都职业技术学院的实际情况进行选材，所以 我们将根据具体端口数量规格根据网络需要来决定，在 cisco catalyst 3560 系列中， 主要有 cisco ws-c3560e-48pd-s 和 cisco ws-c3560e-24pd-s 两种选择，具体选购情 况如下所示： cisco ws-c3560e-48pd-s： 传输速率：10/100/1000/10000mbps 应用层级：三层 交换方式：存储-转发 背板带宽：128gbps 包转发率：101.2mbps 传输模式：全双工 接口数量：50 个 接口类型：rj-45,10/100/1000 端口，万兆以太网端口 20 cisco ws-c3560e-24pd-s： 传输速率：10/100/1000/10000mbps 应用层级：三层 交换方式：存储-转发 背板带宽：128gbps 包转发率：65.5mbps 传输模式：全双工 接口数量：26 个 接口类型：rj-45,10/100/1000 端口，万兆以太网端口 产品名称 数量 ws-c3560e-24pd-s 2 ws-c3560e-48pd-s 1 glc-sx-mm 3 4.4.3 接入层设计 接入层是网络中直接面向用户连接或访问网络的一部分，同时，接入层也是为终端 设备接入 lan 的第一道设备，是最接近用户计算机的设备，一般接入层交换机多数为 24 口或 48 口等，呈堆叠状态，因为用户团体是相当庞大的。一般接入层交换机端口保持在 10/100，最大的 100，保持微分段的设备的传输速度，因为是接到用户交换机，所以接入 层交换机的端口通产跟在 up 和 down 之间反复。但是，接入层交换机有很多策略限制， 比如 vlan 等。一般接入层交换机会以 2 端口的 100 口绑定成以太通道（trunk 等）接入 到汇聚层。而思科接入层交换机具有一些配置特点： 端口密集； 接口状态翻动频繁； 单位流量低； 有较多的访问策略； 有二层环路存在。 虽然，接入层交换机设备在市场上可以选择的有很多，大多数品牌都能满足配置要 求。但是考虑到成都职业技术学院经济条件不错，而且为了方便、快捷的完成网络流通 的方便，所以我们仍然选用和核心层、汇聚层同一品牌的思科交换机作为接入层交换机。 21 也许价格较其他品牌稍微贵了一些，可它的方便并不是三言两语就能够说清楚的。所以， 成都职业技术学院校园网在接入交换机上选择的是 cisco catalyst 3560v2-48ps-e 交换机。 在接入层交换机的配置中，涉及到无线网络接入点的存在，而无线接入点不可能存 在于汇聚层或者是核心层，但是为了网络的安全和稳定性，只能让无线接入点接入到接 入层交换机中，无线接入点能够让一些习惯使用无线网卡的用户接入到网络中。所以， 有了无线接入点的存在，可以让用户方便的接入到网络中。 无线路由采用的是一款 tp-link tl-wr941n 的无线宽带路由器，能提供最高 300mbps 的传输速率。它支持路由功能，内建了 wps 功能、防火墙、wds 等众多功能， 让拥有无线网卡的用户能快速方便的接入网络。在安全性上，除提供 64/128/152 位的 wep 加密功能外，还提供基于无线 mac 地址过滤、无线安全功能开关、 qss 安全设置 的控制功能，使无线接入方便的同时也保证了用户的安全。 4.4.4 桌面 pc规划 建设校园网的目的在于应用，这就需要对桌面 pc 选购。联想-启天 m4280 pc 机是专 为注重品质的企业及校园用户设计的一款主流数字办公平台电脑。它拥有领先的结构设 计、创新的应用功能，无论从人性化使用的角度，还是从安全防护、易于管理的方面都 为用户周到的设想，安全密钥让用户不再为数据信息的安全而担心；文件管理系统能够 及时地拯救重要文件免除意外丢失的风险，这些业界独创的领先功能和设计都致力于为 用户搭建一个稳定、高效、安全的数字办公平台。所以，综合考虑到成都职业技术学院 现有的计算机的实际情况，提出以下方案： 1 原有计算机 400 台，购买 200 台 2 选购网络教室计算机； 3 选购各办公室计算机； 4.4.5 防火墙设计 从逻辑上来说，防火墙其实就是一个分析器，也是一个分离器，同时也是一个限制 器，因为它有效地监控了内部网络之间以及 internet 之间的各种活动，从而保证了局域 网内部的安全。防火墙是网络安全的屏障，所以配置防火墙是实现网络安全既基本又有 效的安全措施之一。首先，我们可以在学校内部网络与外部的 internet 的接口处配备防火 墙，用来阻挡外部网络的入侵；第二，如果学校的内部网络规模过大，并且设置有虚拟 局域网，则应该在各个局域网之间安装防火墙；第三，通过公网连接的总部与各分支机 构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用 22 网。 4.4.6 服务器配置与管理 从广义上讲，服务器是指网络中能对其它机器提供某些服务的计算机系统（如果一 个 pc 对外提供 ftp 服务，也可以叫服务器） 。从狭义上讲，服务器是专指某些高性能计 算机，能通过网络，对外提供服务。相对于普通 pc 来说，稳定性、安全性、性能等方面 都要求更高，因此在 cpu、芯片组、内存、磁盘系统、网络等硬件和普通 pc 有所不同。 所以，服务器所提供的服务就是重中之重。这主要是配置网络中心 7 台服务器。 在服务 器的软件配置上，对所有的服务器都装入 microsoft windows xp professional 并对服务器 进行相应的必须软件配置。具体的原则是此服务器负责哪方面的服务，就装入与其对应 的软件。 具体的服务器软件配置如下表所示： 名称 品牌及型号 详细配置 dns 服务器 ibm system x3250 m microsoft windows xp professional+dns+dhcp www 服务器 ibm system x3850 x5 microsoft windows xp professional +iis ftp/邮件服 务器 ibm system x3400 m3 microsoft windows xp professional + serv-u6.0+ microsoft exchange 数据库服务 器 ibm system x3620 m3 microsoft windows xp professional + microsoft sql2005 视频点播服 务器 ibm system x5130 microsoft windows xp professional +windows media services 网络存储服 务器 ibm system x3650 m3 microsoft windows xp professional 4.4.7 vlan划分、子网配置与 ip地址分配 vlan 是一种将局域网（lan）设备从逻辑上划分成一个个网段也就是是更小的局域网 lan，从而实现虚拟工作组的数据交换技术。它的三个好处是： a. 端口的分隔 23 b. 网络的安全 c. 灵活的管理 vlan 技术的出现，让网络管理员可以根据实际网络应用的需求，把同一局域网内的 不同用户划分成不同的广播网，由 vlan 的特点可知，一个 vlan 内部的流量都不会转发 到其他 vlan 中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全 性。 vlan 除了能将网络划分为多个广播域网，以及使网络的拓扑结构变得非常灵活的优 点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。 根据 vlan 的类型，可以有以下几种划分方法： 1、基于端口的 vlan 这是最常应用的一种 vlan 划分方法，应用也最为广泛、最有效，目前绝大多数 vlan 协议的交换机都提供这种 vlan 配置方法。这种划分 vlan 的方法是根据端口来划分的， 它是将物理端口和内部的 pvc（永久虚电路）端口分成若干个组，每个组构成一个虚拟网， 相当于一个独立的 vlan 交换机。对于不同部门需要互访时，可通过路由器转发，并配合 基于 mac 地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机 或路由器的相应端口上，设定可通过的 mac 地址集。这样就可以防止非法入侵者从内部 盗用 ip 地址从其他可接入点入侵的可能。 2、基于 mac 地址的 vlan 这种划分 vlan 的方法是根据每个主机的 mac 地址来划分，它实现的机制就是每一块 网卡都对应唯一的 mac 地址，vlan 交换机跟踪属于 vlan mac 的地址。这种方式的 vlan 允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属 vlan 的成员身 份。3、基于网络层协议的 vlan vlan 按网络层协议来划分，可分为 ip、ipx、decnet、appletalk、banyan 等 vlan 网络。这种按网络层协议来组成的 vlan，可使广播域跨越多个 vlan 交换机。这对于希望 针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可 以在网络内部自由移动，但其 vlan 成员身份仍然保留不变。 4、根据 ip 组播的 vlan ip 组播实际上也是一种 vlan 的定义，即认为一个 ip 组播组就是一个 vlan。这种划 分的方法将 vlan 扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过 路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个 vlan，不适合局 域网，主要是效率不高。 24 5、按策略划分的 vlan 基于策略组成的 vlan 能实现多种分配方法，包括 vlan 交换机端口、mac 地址、ip 地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择 哪种类型的 vlan 。 6、按用户定义、非用户授权划分的 vlan 基于用户定义、非用户授权来划分 vlan，是指为了适应特别的 vlan 网络，根据具体 的网络用户的特别要求来定义和设计 vlan，而且可以让非 vlan 群体用户访问 vlan，但 是需要提供用户密码，在得到 vlan 管理的认证后才可以加入一个 vlan。 在 vlan 划分的同时也要考虑网络 ip 地址的分配。 ip 地址在分配上主要是针对网 络设备、服务器、pc 机这三部分的工作。首先，需要申请公网 c 类 ip 地址（如： 192.168.1. *） ，其次针对成都职业技术学院的网络设备以及对外服务服务器的 ip 分配如下： 主机名 设备名称 ip 设置 800f 防火墙外口 /24 800f 防火墙内口 /24 6503e 核心交换机 cisco ws-c6503-e /24 3560a 汇聚交换机 cisco ws-c3560e-48pd- s /24 3560b 汇聚交换机 cisco ws-c3560e-24pd- s /24 3560c 汇聚交换机 cisco ws-c3560e-24pd- s /24 www web 服务器 0/24 ftp/mail ftp/e-mail 服务器 1/24 综合成都职业技术学院情况，在 ip 地址分配的问题当中，我们采用 “保留网络地址 分配和网络地址的转换”的方法来对 ip 地址进行规划。在校园网络内部采用 a 类保留 地址，用申请的公网 ip 地址进行网络地址的转换。 根据成都职业技术学院实际情况拟定在 vlan 的划分上按照以下方案执行： 在网络中心思科 cisco ws-c6503-e 上把需要分开的部门划分出 vlan（如办公室、 25 教室、多媒体教室） ，形成子网；再在各层汇聚交换机 cisco catalyst 3560 上定义 vlan 端口，把相应的端口划分到其所在 vlan。成都职业技术学院 vlan 划分及计算机 ip 分 配如下表所示： vlan 号 子网号 vlan ip（网关） ip 地址规划 11 /24 192.168. 1.1 1250/24 21 /24 192.168. 2.1 1250/24 701 教室 22 /24 192.168. 3.1 1250