[计算机硬件及网络]兰州理工大学西校区校园网设计.doc

摘摘 要要 为了利用计算机网络建设现代校园和现代教育，校园网的概念就应运而生了，校园网 是一个典型的计算机局域网。为满足当前学校校园网的实际功能需求，我根据校园网的组建 原理、技术特点及兰州理工大学西校区的具体需求设计了一个校园网，设计的主要内容包括： 校园网拓扑结构设计、主要设备选型，布线系统设计，工程报价，最后对网络安全提出了几 点建议。 关键词关键词：网络规划；局域网；校园网；IP 规划 I 前前 言言 在网络信息时代的今天，面向新的需求和挑战，为了学校的科研、教学、管理技术水平， 为研究开发和培养高层次人才建立现代化平台，Intranet/Internet 技术的高速多媒体校园 网已经越来越普及。 整个高速多媒体校园网建设的原则是“经济高效、领先实惠“，既要领先一步，具有发展 余地，又要比较实惠。校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够 最大限度地调动学生对教学内容的参与性以及积极性。 校园网的建设主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统， 逐步建立学校信息管理网络，实现办公自动化；为开展网上远程教学、多媒体交互式立体教 学模式的探索提供高速、稳定的支持平台；逐步建立计算机辅助教学、计算机辅助考试等系 统，为实现多媒体课件制作网络化，教师备课电子化、多媒体化打好基础；保证网络系统的 开放性、可持续发展性，便于以后集成视频会议、视频点播等高层次教学功能。 目目 录录 摘 要.I 前 言II 第一章 校园网的建设目标1 第二章 西校区校园网需求分析2 2.1 系统总体需求 .2 2.2 具体需求分析 .3 2.2.1 教学楼 .3 2.2.2 实验楼 .3 2.2.3 宿舍区 .4 2.2.4 体育部和校医院 .4 2.2.5 图书馆及网络中心 .4 第三章 校园网设计6 3.1 校园网设计原则 .6 3.2 主要网络设备的选型 .7 3.2.1 网络设备选型原则 .7 3.2.2 主要设备选型 .8 3.3 校园网拓扑结构设计 14 3.3.1 校园网总体结构设计 14 3.3.2 校园网内部结构设计 15 3.4 网络 IP 地址规划 .20 3.5 布线系统设计 23 3.6 工程报价 24 第四章 网络安全.25 设计总结26 参考文献27 致 谢28 0 第一章第一章 校园网的建设目标校园网的建设目标 大学校区系统的建设目标是光缆主干网覆盖校区各主要建筑，从而将校园网络建成一个 具有一定规模容量、技术先进、功能齐全、优良运用、安全可靠，并具有可扩充性的现代化 网络系统，通过千兆链路和大学校区本部相连，进而与国内过外网络互连，为校区提供一个 多媒体通信和现代化办公自动化管理的支持环境，为学校的教学生活和管理服务带来及大的 方便。 大学校园网必须具备教学、管理和通信三大功能： 每个教师可以方便地浏览和查询网上资源，进行教学设计和科研工作：可以调用网上资 源，进行课堂教学：可以通过网络对学生的学习进行指导和考察。 学生可以方便地浏览和查询网上资源，开展网上“个性化学习”等：通过网上学习学会 信息处理能力。 学校的管理人员可以方便地对教务、行政事务、财务、资产等进行综合管理，同时可以 实现各级管理层之间的信息数据交换。 大学校区的应用目标可概括为以下三点： 首先，学校的目的是通过教学过程来培养人才，因此对教学过程提供直接支持应是校园 网的基本功能。学校可以利用校园网实现对 CAI 课件等各种教学资源的共享，通过教务管理 系统、电子备课系统、辅助教学系统、考试系统等网上应用提供对教学过程的支持。 其次，校园网必须能支持学校的日常办公和管理。这方面的工作包括：教职员工的档案 管理、学生的学籍管理、学校工资财务的管理、各种教育物资的管理、图书馆管理、成绩的 统计分析、课程的编排以及校内外各种公文的管理等等。 再次。学校的机通过校园网络访问其它的 LAN 或 INTERNET，从而把目光投向更 广阔的社会空间，大大扩展师生获取知识的途径，还可以自由地发布教育消息，增强学校和 家长的沟通以及校园间的交流。 1 第二章第二章 西校区校园网需求分析西校区校园网需求分析 2.12.1系统总体需求系统总体需求 建立一个基于校园网的信息管理和应用的网络系统，并提供相应的各种服务。 共享网络上各种软、硬件资源，快速、稳定地传输各种信息，并提供有效的网络信息管 理手段。 采用开放式、标准化的系统结构，以利于功能扩充和技术升级。 能够与外界进行广域网的连接，提供、享用各种信息服务（与各级教育信息中心相连、 与国内外著名站点相连）。 具有完善的网络安全机制。 能够与原有的局域网络和应用系统平滑地连接，调用原有各种计算机系统的信息。 为了实现上面几点，必须对大学教育本身有相当了解，并能够充分利用校园网，扩充各 种网络应用，如多媒体课件系统、多媒体教学系统、网络教学系统、图书检索系统等，使其 为各学科的教学和实验服务。通过对西校区整体调查得出西校区校园网具备以下主要功能： 规模：支持 6500 个以上的信息点。分为教学楼、实验楼、图书馆、体育教研部、校医 院、学生宿舍等； 带宽：千兆交换，百兆到点； 应用：主要提供教学、管理、通讯以及 Internet 网接入； 服务：对内提供 DHCP、E-Mail、VOD 等私有服务，并提供 WWW、FEP 等公共服务； 管理：提供集中管理、实时监控，支持带宽的分配、限制或是禁止 BT，迅雷等 P2P 软 件的使用，提供详细的日志等； 安全：提供多重安全防范机制，抵御来自内网与外网的各种常见攻击以及网络病毒。 吞吐量：整个网络的吞吐量为 600Mbps，由电信光纤接入到中心机房（设在图书馆三楼） 。 信息点布局：教学楼提供 250 个信息点；实验楼提供 104 个信息点；图书馆提供 65 个 信息点；体育教研部及校医院配备 20 个以上的信息点；学生公寓按照每间寝室配备 2 个信 息点。总配备 6000 个信息点。其各栋建筑地理分布及信息点总体需求数如图 2-1 所示。 2 图 2-1 西校区各建筑地理位置及信息点分布图 2.22.2 具体需求分析具体需求分析 结合实际情况，校园网络需求主要为以下五方面：教学楼、实验楼、宿舍区、体育部和 校医院、图书馆（办公区）及信息网络中心。 2.2.1 教学楼 1#教学楼有 12 个办公室，每个办公室配置 2 个信息点；34 个教室，每个教室配置 1 个 信息点。2#教学楼与 1#教学楼结构及功能需求完全相同。 主要的网络服务有：办公室数据一般在校园局域网内传输，主要为一些报表数据和电子 邮件，报表数据如学生成绩信息、签到信息等，电子邮件多为向上级汇报情况，少量邮件通 过 Internet 与外网通信，教室主要是提供多媒体教学。 2.2.2 实验楼 实验楼分为 A 馆和 B 馆。A 馆共有 52 个实验室，每个实验室配置 1 个信息点，共有 52 个信息点；B 馆有 30 个实验室，每个实验室配置 1 个信息点，11 个计算机机房，每个机房 3 可容纳 100 至 200 不等的计算机。每个机房配置 2 个信息点，共有 52 个信息点。 主要的网络服务有：实验室信息点以日常办公为主，主要上传学生成绩信息，计算机机 房提供学生上机，数据只在一个机房的内部传输，少数情况与外网相互通信，如计算机等级 考试、英语四、六级网考等。 2.2.3 宿舍区 宿舍区分为南村、北村两大区域。南村共有 9 栋宿舍楼，其中 A、B、C、D、E、F、G、H 座各有七层，每层有 26 个宿舍，每个宿舍配置 2 个信息点，值班 室配置 2 个信息点，每栋有 366 个信息点，9#公寓共有 485 个信息点，A 座和 C 座地下室各 有一个电子阅览室，每个电子阅览室容纳主机数为 320 台，各配置 2 个信息点；北村有 8 栋 宿舍楼，每栋有 364 个信息点。C 座地下室有一个电子阅览室，分配一个信息点，F 座地下 室为图书馆分，分配一个信息点。 主要网络服务有：宿舍内以学校图书馆局域网内传输为主；还有一般的上网浏览网页， 视频点播，收发电子邮件等；阅览室提供宽带上网，网络流量需求大，每台主机需要 1M 以 上的流量速度，需要光纤直接铺到桌面。 2.2.4 体育部和校医院 体育教研部和校医院共有十个办公室，每个办公室两个信息点，共计 20 个信息点。 主要网络服务有：体育教研部主要记录和传送学生考核信息，校医院传送学生的病历信 息和查询相关信息。85%数据量在校园内部局域网，15%数据量在传送上级部门或相关部门。 2.2.5 图书馆及网络中心 图书馆及网络中心包括图书馆、办公区、电子阅览室三个小区域。其中图书馆有 3 层， 一层需要 6 个信息点，二、三层各需要 2 个信息点共计 10 个信息点；北村图书馆楼有 11 间 办公室，配置 22 个信息点，南村食堂三楼有财务处等 10 间办公室，配置 20 个信息点，地 下超市配置 2 个信息点，共计 44 个信息点；图书馆三楼有一个电子阅览室，可容纳主机数 120 台，配置 1 个信息点。 主要网络服务有：图书馆有借书，还书登记，预约，查询，新书上架。每天平均发生 1500 笔，每笔数据量为 30KB，保留时间为一个月，60%数据量在学校图书馆局域网内传输， 40%数据量在校园内部局域网内传输。其对安全性有较高的要求。电子阅览室是给师生们提 4 供自主学习的场所，师生可以根据需要自由选择内容以及基于 web 的图书音像供学生随时读、 并于连接 Internet、使图书馆得到进一步拓展、使师生能够得到近乎无限的网上资源数据 量主要在校园内部局域网内传输。学校图书馆局域网内传输，校园内部局域网内传输，每笔 数据流量为 50K。财务处等办公室办公自动化基本 web 综合管理信息的信息系统、提示行政、 人事、学籍、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管 理等、使学校日常办公无纸化、减少办公开支提高办公效率等。业务主要有报销，交款，汇 款，税务，固定资产管理等，财务报表数据，明细账目数据，总账数据，每天平均 20 笔， 每笔数据量为 100KB，保留时间为 20 年。80%数据量在财务部局域网内传输，15%数据在校 园内部局域网内传输，5%数据量传送上级主管部门或相关单位。 5 第三章第三章 校园网设计校园网设计 一个基于网络的信息系统应该包括：设备环境、网络设备、管理系统、网络操作系统， 以及基于网络操作系统的网络数据库管理系统、软件开发工具、网络应用系统、网络管理系 统和网络安全系统。如图 3-1 所示为基于网络的信息系统结构示意图。 图 3-1 基于网络的信息系统结构示意图 3.13.1 校园网设计原则校园网设计原则 根据西校区校园网网络需求的分析，我们制定以下系统设计的原则： 1先进性与实用性。 作为中国教育科研网的一部分，学校的核心计算机网络系统处理的信息量将会十分庞大， 要求计算机网络有很高的工作效率。而且随着教学科研任务工作的迅速系统面临的任务也愈 来愈艰巨，所以，我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证 处理数据的高效率，保证系统工作的灵活性，保证网络的可靠性，也使系统的扩展和维护变 得简单。我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各 个方面充分体现学校校园网网络系统的先进性。 在考虑系统先进性的同时，我们也会考虑实效、兼顾现实，建设不仅先进而且合适的系 统，在系统建设中坚持“边实施，边发展，高起点，早收益”的原则。 2系统与软件的可靠性。 在校园网网络系统设计中，很重要的一点就是网络的可靠性和稳定性。在外界环境或内 部条件发生突变时，怎样使系统保持正常工作，或者在尽量短的时间内恢复正常工作，是某 学院校园网网络系统所必须考虑的。在设计时对可靠性的考虑，可以充分减少或消除因意外 或事故造成的损失。我们将从网络线路的冗余备份及信息数据的多种备份等方面保证某学院 校园网网络系统的可靠性。 网络安全系统 应用软件 网络设备 网络操作系统 设备环境 数据库软件开发工具 管 理 系 统 网络安全系统 管 理 系 统 6 3系统安全性与保密性。 随着计算机技术的发展，尤其是网络和网络间互联的规模的扩大，信息和网络的安全性 日益受到重视。面临十分严肃的安全性挑战。在网络设计时，将从内部访问控制和外部防火 墙两方面保证某学院校园网网络系统的安全。系统还将按照国家相关的规定进行相应的系统 保密性建设。 4易管理与维护。 校园网网络系统的节点数目大，分布范围广，通信介质多种多样，采用的网络技术也较 先进，尤其引入交换式网络和虚拟网之后，网络的管理任务加重了，如何有效地管理好网络 关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和 简洁的操作方式，可以提供强大的网络管理功能，使网络日常的维护和操作变得直观、简便 和高效。 5易扩充性。 随着教学科研的快速发展，某学院校园网网络系统面临的任务将愈来愈艰巨，愈来愈复 杂。为了适应这个变化和日新月异的计算机技术的发展，我们网络十分注重扩充性。无论是 网络硬件还是系统软件，都可以方便的扩充和升级。 上述系统设计的原则将自始自终贯穿整个系统的设计和实现。 3.23.2 主要网络设备的选型主要网络设备的选型 3.2.1 网络设备选型原则 根据已制定的网络系统设计原则，我们所选择的网络设备必须具有以下这些特点： 1安全、稳定、可靠 作为整个校园网络系统的硬件基础，网络设备必须是具备安全性、稳定性和可靠性的特 点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间，在世界范围内被广泛应 用的网络产品。为此，我们建议选择国际知名厂商的产品。 2技术先进 网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品，还应该具有 的特点就是技术的先进性。我们所选择的网络设备应该采用当今较先进的技术，能够保持该 设备在相当长的一段时间内不会因为技术落后而被淘汰。同时，在网络规模进一步扩大，该 设备不能承担繁重的负荷时，能够降级使用。 3便于扩展 7 由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资， 我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加 新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展， 4管理和维护方便 先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。所以，我们选择 的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维 护。 3.2.2 主要设备选型 （1）路由器选型 教学区和学生宿舍的通讯量都比较高，根据设计原则和网络设备选型原则，路由器选 型为华为 Quidway AR46-20，相关的主要参数如表 3-1 所示。 表 3-1 华为 Quidway AR46-20 主要参数 基本参数基本参数 路由器类型多业务路由器 网络协议DHCP，VLAN，IPX，DLSw，RIP-1/RIP-2，OSPF，BGP 传输速率10/100/1000Mbps 端口结构模块化 局域网接口2 个 其它端口 1 个 AUX 口 1 个 Console 口 扩展模块2 包转发率350Kpps 功能参数功能参数 防火墙内置防火墙 Qos 支持支持 VPN 支持支持 网络管理SNMP 其他参数其他参数 处理器PowerPC 733MHz 产品内存最大 512MB 8 电源电压100-240V（+/-10%） ，50-60Hz （2）交换机的选型 1.核心层交换机选型 对于中心交换机的选型，重点要考虑它的交换容量，扩展能力，具有很好的第二层性 能和第三层功能。在这里核心层交换机选型为 CISCO WS-C4503，主要参数如表 3-2 所示。 表 3-2 CISCO WS-C4503 主要参数 主要参数主要参数 产品类型企业级交换机 传输速率10/100/1000Mbps 交换方式存储-转发 背板带宽64Gbps MAC 地址表16K 端口参数端口参数 端口结构模块化 扩展模块1 个超级引擎插槽数+2 个线路卡插槽 功能特性功能特性 网络标准IEEE 802.3，IEEE 802.3u，IEEE 802.3z，IEEE 802.3x，IEEE 802.3ab VLAN支持 其它参数其它参数 产品尺寸439.7317311.2mm 产品重量14.1kg 2.汇聚层交换机选型 通常将位于接入层和核心层之间的部分称为分布层或汇聚层，它能够处理来自接入层上 传的数据的进行路由交换及宽安全控制。承担着较大的数据流量。在此，汇聚层交换机选型 为华为 Quidway S5352C-EI，主要参数如表 33 所示。 表 33 华为 Quidway S5352C-EI，主要参数 基本参数基本参数 传输速率10/100/1000Mbps 交换方式存储-转发 背板带宽256Gbps 9 包转发率102Mpps MAC 地址表32K 端口参数端口参数 端口结构非模块化 端口数量52 个 端口描述48 个 10/100/1000Base-T 端口，4 个 1000Base-X SFP 端口 扩展模块提供 2 个扩展插槽 传输模式全双工/半双工自适应 功能特性功能特性 网络标准 IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3ae，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X VLAN 支持 4K 个 VLAN 支持 Guest VLAN、Voice VLAN 支持基于 MAC/协议/IP 子网/策略/端口的 VLAN 支持 1:1 和 N:1 VLAN 交换功能 支持基本、灵活 QinQ 功能 QOS 支持对端口接收和发送报文的速率进行限制 支持报文重定向 支持基于端口的流量监管，支持双速三色 CAR 功能 每端口支持 8 个队列 支持 WRR、DRR、SP、WRRSP、DRR+SP 队列调度算法 支持 WRED（S5306 和 S53HI 支持） 支持报文的 802.1p 和 DSCP 优先级重新标记 支持 L2（Layer 2）-L4（Layer 4）包过滤功能，提供基于源 MAC 地址、 目的 MAC 地 址、源 IP 地址、目的 IP 地址、端口、协议、VLAN 的非法帧过滤功能 支持基于队列限速和端口整形功能 组播管理 支持 IGMP Snooping 和快 速离开机制 支持组播 VLAN 支持 MLD Snooping 支持 IGMP Proxy 10 支持可控组播 基于端口的组播流量统计 支持 IGMP v1/v2/v3 支持 PIM-SM、PIMDM、PIM-SSM 支持 MSDP 网络管理 支持智能堆叠 支持 MAC 地址强制转发 支持虚拟电缆检测 支持以太网 OAM 支持本地端口镜像和远程端口镜像（RSPAN） ，支持观察端口正常转发报文 支持 Telnet 远程配置、维护 支持 SNMPv1/v2/v3 支持 RMON 支持网管系统、支持 WEB 网管特性 支持集群管理 HGMP 支持系统日志、分级告警支持断电告警 Dying gasp 功能 支持断电告警 Dying gasp 功能 支持 HTTPS 其他参数其他参数 电源电压 AC 100-240V DC -48-60V 电源功率150W 产品尺寸44222043.6mm 产品重量8kg 3.接入层交换机选型 Cisco Catalyst 2950 系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列， 提供了标准以太网的接入。为中型网络和广域接入应用提供了智能服务。其价格也比较低廉。 它的主要参数如表 34 所示。 表 34 Cisco Catalyst 2950 主要参数 基本参数基本参数 产品类型快速以太网交换机 传输速率10/100Mbps 11 交换方式存储转发 背板带宽8.8Gbps 端口参数端口参数 端口数量24 接口介质10BASE-T/10BASE -TX 3 类或 3 类以上 UTP ,100BASE-TX 五类。 传输模式支持全双工 功能特性功能特性 网络标准IEEE 802.3u 网络协议局域网协议 堆叠功能可级联 其它参数其它参数 状态指示灯 各端口的状态指示 LED：连接成功、失败、活动、速度和全双工指示。系 统状态 LED：系统、RPS、带宽使用指示。 产品重量7kg （3）防火墙选型 防火墙是在两个网络之间执行访问控制策略地系统。它在内部网络和外部网络之间 设置障碍，以阻止外界对内部资源地非法访问，也可以防止内部对外部的安全访问。设置防 火墙的目的都是为了在内部网与外部网之间设立惟一得通道，来简化网络得安全管理。所以， 防火墙尤其重要。本次设计中选华为赛门铁克 Eudemon 作为防火墙。主要参数如表 35 所 示。 表 35 华为赛门铁克 Eudemon800 主要参数 基本参数基本参数 防火墙类型千兆防火墙 内存容量512MB 网络吞吐量1000Mbps VPN 支持支持 主要功能具有优异的处理性能、灵活的业务和路由特性、完善的配置管理和高可靠 性, 支持电源, 风扇的热插拔, 支持双机热备并支持回路径不一致, 从而 提供简单方便的组网模式, 在透明模式下, 更提供 BYPASS 卡, 可以确保设 备在故障、掉电、升级版本操作等情况下, 不影响现网的业务 12 人数限制无用户数限制 入侵检测Dos,DDoS 安全标准支持 H.323（包括 T.120、RAS 等） 、RTSP、HTTP、FTP、TCP、UDP 等状态检 测；NAT 支持 H.323（包括 T.120、RAS 等） 、ICMP、DNS、NBT 等协议；支 持 PPP、PPPOE、ARP、DHCP Server，支持 L2TP、GRE、IPSec/IKE，支持 QoS、SNMPv3、SSH、RADIUS、RIP、OSPF 及多种组播协议 网络参数网络参数 网络管理WEB 配置、命令行配置、华为 DMS 集中网管、配套日志管理软件、SNMP 端口类型SDRAM：缺省：256MB，最大：512MB，2 个 FE 管理端口，4 个扩展槽，支持 2FE/4FE/8FE/1GE/2GE 等多种插卡，支持高速加密卡 电气规格电气规格 电源电压AC：85-264V (50/60Hz)，DC：-40V - 75V 电源功率105 （4）服务器选型 服务器群组服务器统一采用 IBM System x3650 M3(7945I75)，一台对外 Web 服务器， 放的是学校的官方网站；一台内网 Web 服务器，是学校的内部网站。IBM System x3650 M3(7945I75)主要参数如表 36 所示。 表 36 IBM System x3650 M3(7945I75)主要参数 基本参数基本参数 产品类别机架式 产品结构2U 处理器处理器 CPU 类型Intel 至强 5600 CPU 型号Xeon X5670 CPU 频率2.93GHz 智能加速主频3.333GHz 标配 CPU 数量1 颗 最大 CPU 数量2 颗 制程工艺32nm 三级缓存12MB 总线规格QPI 6.4GT/s 13 CPU 核心六核 CPU 线程数12 线程 主板主板 扩展槽4PCI-E（二代插槽） 内存内存 内存类型DDR3 内存容量8GB 内存描述24GB 1.5V DDR3 RDIMM 内存 3.33.3 校园网拓扑结构设计校园网拓扑结构设计 3.3.1 校园网总体结构设计 根据前期的网络需求分析，因为建筑物间的距离一般在 300 米以，上核心层交换机应该 通过多模光纤接入到各个建筑，信号衰减少，而楼层内都在 90 米范围内可布网，应该用五 类双绞线实现百兆接入。西校区校园网总拓扑图如图 3-2 所示。 图 3-2 西校区校园网总拓扑图 14 3.3.2 校园网内部结构设计 （1）网络中心 通过光纤接入，连接 H3C SecPath F100-S-AC 防火墙，再连接到一台“思科 WS- C4503”的核心交换机和服务器群。 服务器群组服务器统一采用 IBM System x3650 M3(7945I75)，一台对外 Web 服务器， 放的是学校的官方网站；一台内网 Web 服务器，是学校的内部网站；一台 Ftp 服务器，由 于 FTP 流量比较大，所以增加了一台 IBM TotalStorage DS3400(1726-42X) Raid 服务器。 核心层交换机通过光纤连接到教学楼、图书馆、实验楼、南村和北村的宿舍的汇聚层 交换机。拓扑结构如图 3-3 所示。 图 3-3 网络中心拓扑图 （2）图书馆 网络中心设在图书馆，图书馆和办公室直接通过接入层交换机接入，考虑到图书馆和 财务处等办公室对数据的保密性和安全性都要求较高，可以在接入层交换机端口进行入侵检 测，以防止内网对学校图书管理系统和教务系统等系统的攻击。电子阅览室通信量较大，可 直接接在核心层交换机。 图书馆有 10 个信息点，办公区共有 44 个信息点，网络中心有 10 个信息点。电子阅览 15 室有 1 个信息点，拓扑结构如图 3-4 所示。 图 3-4 图书馆/办公区拓扑图 （3）教学楼 采用星形拓扑结构，接入层交换机通过连接一个汇聚层交换机再与主干网络相连。 1#.2#教学楼办公区每栋有 24 个信息点，需要一台接入层交换机，教室每栋有 34 个信 息点，需要 2 台接入层交换机。拓扑结构完全相同，如图 3-5 所示： 16 图 3-5 1#教学楼拓扑图 4#、6#教学楼只有教室， ，每栋楼有 67 个信息点，需要 3 台接入层交换机，拓扑结构也 完全相同，拓扑结构如图 3-6 所示。 图 3-6 4#教学楼拓扑图 （4）实验楼 首先通过汇聚层接入到楼，再通过接入层交换机连接到各个实验室。 A 馆全部为实验室，有 52 个信息点。一般为简单的办公所用，需要 3 台接入层交换机 实现十兆接入。拓扑图如图 3-7 所示。 17 图 3-7 A 馆拓扑图 B 馆有 30 个实验室，共 30 个信息点，用途为日常办公，需要 2 台接入层交换机实现百 兆接入；11 个机房，共 22 个信息点，通信量比较大，直接连接在汇聚层交换机上，实现光 纤到桌面，NAT 路由器实现内网到外网的 IP 地址转换，以达到节约 IP 地址的目的。拓扑图 如图 3-8 所示。 图 3-8 B 馆拓扑图 18 （5）宿舍楼 由于宿舍通讯量比较大，所以由核心层通过多模光纤接入到各楼的汇聚层交换机，汇 聚层交换机再连接到各楼层的接入层交换机，接入层交换机通过堆叠的方式来连接。 南村 A 栋、B 栋、C 栋、D 栋、E 栋、F 栋、G 栋、H 栋，北村 A 栋、B 栋、C 栋、D 栋、 E 栋、F 栋、G 栋、H 栋信息点分布完全相同，每层 52 个信息点，共有七层，值班室有 2 个 信息点，每层需要 3 台接入层交换机。个别楼地下室有电子阅览室，由于网络流量需求大， 直接与汇聚层交换机相连，实现光纤到桌面。拓扑图如图 3-9 所示。 南村 9#公寓共有 485 个信息点，需要接入层交换机 21 台，同时，校医院与体育教研部 地理位置上距 9#公寓较近，而且所需的信息点数比较少，可以从 9#公寓的汇聚层交换机通 过超 5 类屏蔽双绞线连接一台接入层交换机，再从接入层交换机通过 4 类双绞线连接至各个 信息点。其网络拓扑图如图 3-10 所示。 图 3-9 宿舍楼拓扑图 19 图 3-10 体育教研部、校医院及 9#公寓拓扑图 3.43.4 网络网络 IPIP 地址规划地址规划 校园网 IP 地址的规划一般按校园内各部门的来划分。不同的部门划分不同的网段 IP， 并要留出足够多的主机 IP，以方便将来节点的增加。注意，最好能够将连续的 IP 分配给各 个部门，方便网络管理员对网络设备的 IP 管理与维护。 在设计 IP 地址方案之前，应考虑以下几个问题: 1.是否将网络用真实地址连入 Internet。 2.是否将网络划分为若干子网以方便网络管理。 3.是采用静态 IP 地址分配还是动态 IP 地址分配。 4.每个子网现在规划多少个信息点。 5.每个子网将来会增加多少个信息点。 综上所述，考虑到设计的子网数为 27 个，最大的子网内需要分配 1000 个 IP 地址。所 以子网地址位数为 5 位，主机地址位数为 10 位。 因为 10+5=15，且 81516,所以考虑申请一个 C 类地址。假设申请到的网络地址为 。按照部门分配 IP 地址，具体分配见表 3-7。 20 表 3-7 IP 地址分配表 部门子网网络地址分配的 IP 地址分配方式 北村 A 座 VLAN 2 /22-54动态分配 北村 B 座 VLAN 3 /22-54 动态分配 北村 C 座 VLAN 4 /22-54 动态分配 北村 D 座 VLAN 5 /22-54 动态分配 北村 E 座 VLAN 6 /22-54 动态分配 北村 F 座 VLAN 7 /22-54 动态分配 北村 G 座 VLAN 8 /22-54 动态分配 北村 H 座 VLAN 9 /22-54 动态分配 南村 A 座 VLAN 10 /22-54 动态分配 南村 B 座 VLAN 11 /22-54 动态分配 南村 C 座 VLAN 12 /22-54 动态分配 南村 D 座 VLAN 13 /22-54 动态分配 南村 E 座 VLAN 14 /22-54 动态分配 21 南村 F 座 VLAN 15 /22-54 动态分配 南村 G 座 VLAN 16 /22-54 动态分配 南村 H 座 VLAN 17 /22-54 动态分配 9#公寓 VLAN 18 /22-54 动态分配 1#教学楼 VLAN 19 /26-2 动态分配 2#教学楼 VLAN 20 4/265-26 动态分配 4#教学楼 VLAN 21 /25-26 动态分配 6#教学楼 VLAN 22 /2529.-54 动态分配 A 馆 VLAN 23 /26-2 静态分配 B 馆 VLAN 24 4/265-26 静态分配 体育部 VLAN 25 /27-1 静态分配 图书馆 VLAN 26 2/2768-2 静态分配 办公区 VLAN 27 /26-2 静态分配 阅览室 VLAN 28 4/265-26 静态分配 说明：对于阅览室分配的固定地址，为外网地址，阅览室统一采用 IP 地址 NAT 技术，内网 22 采用 - 网段。例如某个计算机房或阅览室 IP 地址分配如下： 外网地址：0/26 教师机 IP 地址：54 3.53.5 布线系统设计布线系统设计 （1）工作区子系统设计 校园内各大楼工作区信息点选择 RJ45 接口的单孔形式。信息插座的安装距离地面的高 度为 30cm-50cm. （2）配线子系统设计 配线子系统最常见的拓扑结构是星形结构，该系统中的每个节点都必须通过一根独立的 线缆与管理子系统的配线架连接，每个楼层都有一个配线间他为楼层的各个工作区服务，节 点可以使用外接适配器。这样每种设备都能连接到该星形结构的布线系统上，同时也提高了 配线子系统的灵活性。 （3）水平子系统设计 信息点全部采用 CAT54 对 UTP 五类优质非屏蔽双绞线。根据经验，结合办公大楼的各楼 层的平面图，计算出线缆的平均长度为 60 米。 （4）设备间系统设计 有两种类型的配线架，分别连接光纤和铜缆。 设备间应尽量保持室内无尘土、通风良好、室内照明不低于 150Lx，载重量不小于 100 磅每平米。应符合有关消防规范、配置有关消防系统。室内应提供 UPS 电源配电盘以保证网 络设备运行及维护的供电。每个电源插座的容量不小于 300W。 （5）楼间建筑群系统设计 楼间连接选用 6 芯多模光纤，从校园平面图可以大致估算出实际距离，部分可以利用原 有的管道，其余采用架空方式或从新铺设地下管道。铺设的距离如表 3-8 所示。 表 3-8 多模光纤铺设距离 走 向平均距离 到宿舍楼300m 到实验楼400m 到教学楼300m 到办公区120m 23 3.63.6 工程报价工程报价 根据主要网络设备端口数和整个网络中节点数分布，先做出以下预算，见表 3-9 所示。 表 3-9 工程预算花费 名称型号单价数量合计（元） 路由器华为 Quidway AR46-2020000 元/台2 台40000 核心层交换机CISCO WS-C450388950 元/台2 台177900 汇聚层交换机华为 Quidway S5352C-EI12000 元/台20 台240000 接入层交换机Cisco Catalyst 29501300 元/台316 台410800 防火墙USG303037500 元/台1 台37500 电子邮件服务器eWorld 邮件服务器 M57000 元/台1 台57000 文件传输服务器eWorld 宽带主机 S2028600 元/台1 台28600 计费服务器蓝海卓越 NS-G50-200039600 元/台1 台39600 UPSC3KVA/2100W2250 元/台1 台2250 调制解调器ATRIE WireSpan 300E10000 元/台1 台10000 多模光缆（室外）中心管式轻铠装光缆 （GYXTW） 18 元/米500 米9000 单模光缆（室内）单模双芯13 元/米4500 米58500 双绞线超 5 类线缆2 元/米10000 米20000 接口配件若干5000 总计1136150 24 第四章第四章 网络安全网络安全 网络安全性可以被粗略地分为 4 个相互交织的部分：保密、鉴别、认证以及完整性控制。 保密保护信息不被未授权都访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要 指在提示敏感信息或进行事务处理之前先确认对方的身体。认证主要与签名有关保密和完整 性通过使用注册过的邮件和文件锁来实现。 计算机系统安全一般从操作系统和应用系统的安全威胁。在信息技术飞猛发展的现在， 计算机系统的安全性越来越为计算机用户所关注。非计算机授权用户（黑客）经常对计算机 系统进行非法访问，让计算机系统中存储信息的安全性，完整性，保密性都受到威胁。 基于以上，我对计算机网络安全做了以下对策： 1.防止未授权存取，计算机安全管理中最重要的问题，就是防止未被授权的人进入系统， 为此我在计算机中都会周期的