毕业设计（论文）-校园网络办公楼子系统设计及实施.docx

校园网络办公楼网络规划与设计校园网络办公楼子系统设计及实施摘要校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用供简单、有效、便捷的理想办公、教学环境。网络接入优点：采用路由器作为通讯平台网关，满足用户高速上网需求，保障内外网转换的高速通畅，有效的与运营商网络对接。网络的安全性和稳定性保障：1、采用防火墙对网络进行防护以增加网络的安全性2、核心交换机采用双机机制，能有效的避免因设备故障而造成不必要的损失，极大地增加了网络的稳定性。网络的可管理性和可扩展性：1、所选设备尽量采用同一厂家产品，达到统一管理的目的，使网络融合和分级管理更加简易化。2、设备选型时，应选择配置稍高的型号，以满足以后可能的网络扩充需求。关键词： 校园网络 办公楼网络 设计方案校园网络办公楼子系统设计及实施summaryThe construction of the campus network is bound to improve the information construction and the teaching quality of the school. Network access advantages: the use of the router as a communication platform, to meet the needs of users, and to protect the high speed of the internal and external network conversion, effective and efficient network operators. Security and stability of the network: 1, the use of firewall to protect the network to increase the network security 2, the core switch uses a dual mechanism, can effectively avoid the failure of equipment and cause unnecessary losses, greatly increased the network stability.Network management and scalability: 1, the selection of equipment to try to use the same manufacturer products, to achieve the purpose of unified management, so that the network convergence and hierarchical management more simple. 2, equipment selection, should choose a slightly higher profile, to meet the needs of the network expansion.Key words: campus network office building network design scheme目录校园网络办公楼子系统设计及实施1绪论3一. 校园办公楼网络需求41.1办公楼网络功能设计思修41.2设计原则5二. 网络设计与布线62.1建设目标62.1.1设计理念62.2办公楼整体构架72.2.1网络拓扑图7各信息点的需求分析11三. 设备的简单部署与配置153.1两个三层交换机配置163.2两个二层交换机配置193.3 路由器配置213.4 防火墙的应用及配置22防火墙配置:223.5高性能和服务质量(QoS)保障25QOS具体配置：253.6信息保护273.7无线和监控283.8 服务器搭建29图3-2 备份图30手动备份：30四 实验与遇到的问题31实验一:从网络中心到PC1的联通31实验二：从防火墙内部到外网31五 总结33毕业综合实践心得33六. 参考文献与应用软件34绪论随着科技的发展，网络已深入人们的生活。同时教育也和网络联系到了一起。校园网是各大网络类型的一大分支，有着广泛的应用和发展。尤其是高等学校和网络关系十分密切。在校园中，知识、人才的资源非常丰富，相比其他行业更渴求信息、希望在各种渠道获得各种信息来增进自己的学术和知识。所以校园更需要一个安全，健康的网络环境。正是因为我们处在一个信息化时代，大大小小的生活已经离不开网络。而怎样利用网络设备，发挥设备功能使学校各项业务系统集成，提高网络质量，加快办公效率是校园网络建设的重点。作为校园网的分支办公楼的网络，首先，进行对象的研究和调查，弄清办公网络的性质、特点、和发展，对办公楼的信息化环境进行了解，明确办公系统的需求和条件；然后明确需求后确定建设目标，理清管理和站点等目标；第三，确定网络拓扑结构和功能，进行系统分析和设计；第四，确定布线设计，设备选材，软件配置等方面的要求；第五，规划办公楼网络的实施步骤。达到高可用性、高安全性、可扩展性、可管理性和先进性。本文注重阐述了校园网办公网络的应用特点。然后从布线设计，网络规划及路由器与交换机的配置做了详细的介绍。一. 校园办公楼网络需求分析1.1办公楼网络功能设计思修根据我校的实际情况，我们现在需要建设一个办公子网络系统。本网络系统要既要满足新办公楼日常办公管理的业务需求，包括楼内办公人员宽带上网，视频会议,财务室的安全、各领导办公室的网络质量以及一些特殊部门的外网设计。学校办公楼作为学校的中枢管理系统，协调和组织整个学校工作的正常运行。所以办公网络需要针对用户的需求和职位进行权限的设置。同时要达到办公自动化、同时还访问大量的数据、音频、视屏等需求。为了保证网络的质量可以采用两个千兆光纤模块的交换机与网管中心链接，这样可以保证通信和数据传递时有足够的带宽，两个交换机可以做链路聚合来增加网络的稳定和速度。本网络系统与外界互联需要加载防火墙等安全设备，配合其它网络安全措施，以保证系统的安全性,整个计算机网络系统分为二层结构：核心层和接入层。千兆接入交换机位于各楼层的弱电间，接入交换机通过1000M接入桌面，通过光纤上联到核心交换机，接入交换机除提供终端计算机的联网接入外，还提供IP电话、视频图像等的接入。 1.2设计原则办公楼网络系统负担着内部的各部门的网络通讯，要提供网络与Internet之间的通信，提供数据、语音、视频多媒体的融合，实现三网融合，同时承载这大量的只能控制子系统通信，如门禁，摄像监控，因此于对服务质量有着很高的要求，网络设计时我们遵循着以下原则：先进性：新办公楼网络为了支持数据、话音、视频多媒体 的传输能力,在技术上要采用 下载文档到电脑，查找使用更 方最先进、成熟的网络技术来满足目前的网上应用需求,并考虑未来的发展。网络主干设备应选用高带宽的、先进的千兆位线速路由交换技术，能够承载和交换各种信息。可扩展性和可升级性：随着网络信息化的不断发展和应用水平的提高,网络中的数据和信息 流会呈指数增长，需要网络有很好的可扩展性，并能随技术的发展不断升级.国际标准性和开放性：网络系统应该是一个开放型的网络,支持各种协议的互联。选用 符合国际标准的系统和产品,保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。可靠性：可靠性是所有类型的网络所必须具备的特性。这种可靠性不仅表现在通过网 络提供的信息资源，还需要由可靠的网络基础平台来保证，网络结构的先进性、冗错性和稳定的QoS是使得各种网络应用可靠完成的前提。而这些都必须通过可靠稳定的网络设备来保证安全性：新办公楼网络中存在各种内部专用信息，这些信息必须得到可靠的保护，要防止黑客对网络系统的攻击，还必须防止内部工作人员的误操作而导致的网络故障。新办公楼网络的安全性一方面要从信息提供角度来保证，即从应用系统中来保证信息安全性，另一方面需要结合网络结构和网络设备来保证，与先进网络设备所提供的各种安全机制相结合。易管理和易维护性：网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故 障隔离、过滤设置、灵活实现用户级别的设置等功能。实用性：网络系统选用的硬件设备和软件系统应当具有良好的性能价格比，网络系统 的日常管理和维护简单方便，经济实用，网络拓扑结构和技术符合多媒体应用对主干网络的要求。 投资保护：网络系统选用的网络设备应当能够充分保护原有网络设备投资，按照实际 需要方便的升级调整，尽可能的延长原有设备的使用价值。高性能和服务质量(QoS)保障：新办公楼网络系统将承载大量的交互信息，对网络设备 的性能要求高，不仅要提供办公自动化平台、数据信息服务，还必须为许多先进的网络应用提供支持。例如，除了传统的Internet服务(Email、FTP、WWW、数据库查询)外，还要提供网络视频会议、视频点播、VoIP等多媒体应用类型。这些应用的通信方式和对传输网络的要求各不相同，所以网络必须具有面向应用的特性和提供，QoS保证能力，才能有效地为不同的网络应用提供可靠的传输。二. 网络设计与布线2.1建设目标行政办公楼是公共建筑中的一种较普遍的建筑类型,它的需求量大,由于其本身功能的复杂性和设计的多样性,使其空调能耗非常高,远大于住宅,因为行政办公楼对能源和环境的影响较大。由此可见,行政办公楼推行节能的力度和深度在很大程度上将直接影响着我国建筑节能整体目标的实现,我们也看到,对行政办公楼节能问题目前所进行的一系列探索性的研究更是具有战略性的意义。 生态节能建筑的设计主要从整体环境规划和单体建筑设计两个方面展开。在整体环境规划中,强调的是建筑与环境的关系,解决建筑与地貌、水土、风向、日照、植被与气候的关系。在单体建筑设计中,由于不同的功能要求,形成多种的空间组合,同时也反映出不同的建筑体型影响建筑能耗得失的基本情况。2.1.1设计理念网络接入优点：采用路由器作为通讯平台网关，满足用户高速上网需求，保障内外网转换的高速通畅，有效的与运营商网络对接。网络的可管理性和可扩展性：1、所选设备尽量采用同一厂家产品，达到统一管理的目的，使网络融合和分级管理更加简易化。2、设备选型时，应选择配置稍高的型号，以满足以后可能的网络扩充需求。最终达到高可用性、高安全性、可扩展性、可管理性和先进性2.2办公楼整体构架2.2.1网络拓扑图根据多次实地考查，多次修改。通过小组商议与老师指导我们最终设计出网络拓扑图, 行政办公楼的分布图，信息点分布图，U型墙机柜路由图，行政楼工程预算表等如下：图2-1 网络拓扑图网络拓扑采用树形结构，是为了，1易于扩展；2故障隔离较容易。为了减小它的缺点各个节点对根的依赖性太大，我们汇聚层采用两个三层交换机，做链路聚合的同时还能避免一个机器出问题时，网络不能正常运行。因为实际因素，学校办公楼多处房间不能参观。所以我们只能根据自己看到的和假想来设计和布局房间。根据自己的实地考查和组长的任务分配我负责一楼与五楼信息点分布图和平面设置图的设计。具体设计如下：图2-2 办公楼一楼布置图因为条件有限，房间布局和实际有所偏差。主要原因在于我们考察时有大部分房间没人或者不允许参观。所以此图只是大概布局。图2-3 办公楼二楼布置图图2-4 办公楼三楼布置图图2-5 办公楼四楼布置图图2-6 办公楼五楼布置图图2-7 U型墙机柜路由图图2-8 设备机柜图各信息点的需求分析跟据实际情况和小组成员讨论结果得出此分布表，考虑到实际问题。我们把设备间放在二楼，一是为了方便设备的搬运，二是防潮与方便管理人员的管理。同时我们在每层楼都设有一个配线间，是根据实际需求，一是方便线路的整理使它整齐方便管理，二是出现网络问题是方便管理人员排查。根据自己的观擦及实际需求，我在一楼规划了19个信息点。相对而言一楼办公人员较多，所以考虑到实际问题信息点规划多一些。方便以后扩充或者增加人员办公等：图2-9 平面图1楼（信息点分布图）图2-10 平面图2楼（信息点分布图）图2-11 平面图3楼（信息点分布图）图2-12 平面图4楼（信息点分布图）图2-13 平面图5楼（信息点分布图）图2-14 综合布线系统报价表图2-15 信息点分布表格 三 设备的简单部署与配置图3-1 设备上架图独立外网图3-2 pt网络拓扑图3.1两个三层交换机配置S1:配置VTP域：ip routing / 启用三层路vtp domain benet / 创建VTP域vtp password 123 / VTP域的密码vtp pruning / 起用VTP修剪vtp mode server / 配置交换机为vtp启用三层交换机路由功能：config terminalip routing /启动路由功能配置vlan IP地址：config terminal interface vlan11 /负责一楼网络ip address interface vlan12 /负责财务室网络ip address interface vlan13 /负责会议室网络ip address interface vlan19 /外用网络ip address int f0/5 swi mode acc sw acc vlan 13 /会议室应用配置OSPF协议：config terminalrouter ospf 1network area 0 /网络通告 network area 0 network area 0network area 0配置PVST:spanning-tree vlan vlan13 root primary /端口优先级spanning-tree vlan vlan12 root secondary 通道创建：int port-channel 2 /创建通道2ip add interface range fastEthernet 0/3 4 /同时进入F0/3和F0/4端口no switchport /取消交换功能channel-group 2 mode on /配置以太网通道S2:配置VTP域：ip routing / 启用三层路vtp domain benet / 创建VTP域vtp password 123 / VTP域的密码vtp pruning / 起用VTP修剪vtp mode server / 配置交换机为vtp启用三层交换机路由功能：config terminalip routing配置vlan IP地址：config terminalinterface vlan10 /配置到网络中心ip address interface vlan14 /负责三楼网络ip address interface vlan15 /负责四楼网络ip address interface vlan16 /负责五楼网络ip address 配置OSPF协议：config terminalrouter ospf 1network area 0network area 0network area 0network area 0通道创建：int port-channel 2 /创建通道2ip add 192.168.172 interface range fastEthernet 0/3 4 /进入一定端口no switchport channel-group 2 mode on /配置以太网通道3.2两个二层交换机配置S3：配置VTP域：vtp domain benet / 创建VTP域vtp password 123 / VTP域的密码vtp mode client / 配置交换机为vtvtp pruning / 起用VTP修interface f0/1switchport mode trunkinterface f0/2switchport mode trunkinterface f0/3switchport access vlan 11interface f0/4switchport access vlan 12interface f0/6switchport access vlan 13interface f0/9switchport access vlan 19spanning-tree portfast /端口速链路exitspanning-tree uplinkfast /上行速端口S4：配置VTP域：vtp domain benet / 创建VTP域vtp password 123 / VTP域的密码vtp mode client / 配置交换机为vtvtp pruning / 起用VTP修interface f0/1switchport mode trunkinterface f0/2switchport mode trunkinterface f0/3switchport access vlan 14interface f0/4switchport access vlan 15interface f0/5switchport access vlan 16spanning-tree portfast /端口速链路exitspanning-tree uplinkfast /上行速端口3.3 路由器配置 Conf tInt f0/1Ip add No shutdown interface seria 0/0ip address 29 48no shutdownRouter ospf 1Network area 0Network area 0实现NAT转换,从内部局部像内部全局之间转换：ip nat inside source static 30ip nat inside source static 31ip nat inside source static 32ip nat inside source static 33ip nat inside source static 34在外部和内端口上启用NAT：interface s0/0ip nat outsideinterface f0/0ip nat insiceExitExitwrite3.4 防火墙的应用及配置对于财务室和档案室安全很重要，所以我们安排了ip地址绑定同时用防火墙加强安全措施，在配置上设置访问权限和流量限制。因为知识不足和经验较少，如果可能档案可以做异地备份。防火墙配置:Hostname F2 /配置防火墙名telnet inside /允许内部接口网段telnet防火墙password cisco /远程密码 enable password cisco /特权模式密码 interface Ethernet0/0 switchport access vlan 3 no shutdown!interface Ethernet0/1 switchport access vlan 12 no shutdown!interface Ethernet0/2 switchport access vlan 6 no shutdown!interface Vlan3 nameif inside security-level 100 ip address !interface Vlan6 no forward interface Vlan3 nameif DMZ security-level 50 ip address 22 ! interface Vlan12 nameif outside security-level 0 ip address 0 mtu inside 1500 /inside最大传输单元1500字节mtu outside 1500 /outside最大传输单元1500字节mtu dmz 1500 /dmz最大传输单元1500字节arp timeout 14400 /arp表的超时时间14400秒ftp mode passive /FTP被动模式 domain-name C /配置域名logging enable /启动日志Show logging /验证配置http server /启用HTTP服务enable /启动HTTP server,便于ASDM连接http outside /对外启用ASDM连接http inside /对内启用ASDM连接控制列表access-list acl_out extended permit tcp any any eq www /允许tcp协议80端口入站access-list acl_out extended permit tcp any any eq https /允许tcp协议443端口入站 access-list acl_out extended permit tcp any host eq ftp /允许tcp协议21端口到主机access-list acl_out extended permit tcp any host eq 3389 /允许tcp协议3389端口到主机access-list acl_out extended permit tcp any host /允许tcp协议1433端口到主机access-list acl_out extended permit tcp any host eq 8080 /允许tcp协议8080端口到主机 asa5505(config)#show access-list /验证配置route dmz 22 1 /静态路由到网段经过22网关跳数为1 route outside 54 1 /默认路由到所有网段经过54网关跳数为1static (inside,outside) 22 2 netmask 55 /外网22映射到内网54access-list acl_out extended permit icmp any any /控制列表名acl_out允许ICMP协议access-group acl_out in interface outside /控制列表acl_out应用到outside接口static (inside,dmz) 22 3 netmask 55 /dmz22映射到内网3access-list acl_dmz extended permit icmp any any /控制列表名acl_dmz允许ICMP协议access-group acl_dmz in interface dmz /控制列表acl_out应用到dmz接口 动态NATglobal(outside) 1 00-00 /定义全局地址池 nat(inside) 1 0-2 /内部转换地址池global (outside) 2 interface /定义全局地址即outside地址：54nat (inside) 2 /内部转换地址access-group acl_out in interface outside /把acl_out应用到出口（没配置这条整个防火墙都无法联通）3.5高性能和服务质量(QoS)保障对于领导办公室和会议室对于办公的质量要求非常高，在保证正常办公的情况下，要做到会议室的网络流畅，保证视屏会议的清晰和流畅。同时校领导办公量大、通知信息多，为了避免紧急情况发生，我们在做了qos同时在二楼交换机边缘接一个路由器，在必要时可不通过校园内部网直接连通外网。QOS具体配置：1、在交换机上启动QOSSwitch(config)#mls qos /在交换机上启动QOS, mls 多层交换2、分别定义PC1()和PC2()访问控制列表Switch(config)#access-list 10 permit 55 /控制pc1上行流量Switch(config)#access-list 100 permit ip any 55 /控制pc1下行流量Switch(config)#access-list 11 permit 55 /控制pc2上行流量 Switch(config)#access-list 111 permit ip any 55 /控制pc2下行流量 3、定义类，并和上面定义的访问控制列表绑定Switch(config)# class-map user1-up /定义PC1上行的类，并绑定访问列表Switch(config-cmap)# match access-group 10Switch(config-cmap)# exitSwitch(config)# class-map user2-upSwitch(config-cmap)# match access-group 11 /定义PC2上行的类，并绑定访问列表10Switch(config-cmap)# exitSwitch(config)# class-map user1-downSwitch(config-cmap)# match access-group 100 /定义PC1下行的类，并绑定访问列表100Switch(config-cmap)# exitSwitch(config)# class-map user2-downSwitch(config-cmap)# match access-group 111 /定义PC2下行的类，并绑定访问列表111Switch(config-cmap)# exit4、定义策略，把上面定义的类绑定到该策略Switch(config)# policy-map user1-up /定义PC1上行的速率为1M,超过的丢弃Switch(config-pmap)# class user1-upSwitch(config-pmap-c)# trust dscpSwitch(config-pmap-c)# police 1024000 1024000 exceed-action dropSwitch(config)# policy-map user2-up /定义PC2上行的速率为2M,超过的丢弃Switch(config-pmap)# class user2-upSwitch(config-pmap-c)# trust dscpSwitch(config-pmap-c)# police 2048000 1024000 exceed-action dropSwitch(config)# policy-map user-downSwitch(config-pmap)# class user1-downSwitch(config-pmap-c)# trust dscpSwitch(config-pmap-c)# police 1024000 1024000 exceed-action dropSwitch(config-pmap-c)# exitSwitch(config-pmap)# class user2-downSwitch(config-pmap-c)# trust dscpSwitch(config-pmap-c)# police 2048000 1024000 exceed-action dropSwitch(config-pmap-c)# exit5、在接口上运用策略Switch(config)# interface f0/5Switch(config-if)# service-policy input user1-upSwitch(config)# interface f02Switch(config-if)# service-policy input user2-up3.6信息保护对于信息中心，在保障物理安全的前提下要做到软件上的安全。因为信息中心是整个办公楼网络枢纽，所以各设备的访问要限制，同时还要禁止远程登陆。对于密码，除却管理员与少数相关人员了解就好，以避免内部安全存在威胁。S1:configure terminalenable password ciscoline con 0 password cisco1 loginline vty 0 password cisco2 loginS2:configure terminalenable password ciscoline con 0 password cisco1 loginline vty 0 password cisco2 loginaccess-list 101 deny tcp host any eq telnetaccess-list 101 permit ip any anyinterface fastEthernet 0/5ip access-group 101 in exitexitwriS3:configure terminalenable password ciscoline con 0 password cisco1 loginline vty 0 password cisco2 loginS4:configure terminalenable password ciscoline con 0 password cisco1 loginline vty 0 password cisco2 login3.7无线和监控为了保证无线的信号和质量，我们在每层楼装备3个无线信号发射器。为了保证办公楼的安全和监控进出人员，我们在每层楼的两侧安装摄象头，做到无死角。3.8 服务器搭建图3-3文件和web服务器搭建图步骤：打开2008 服务器的管理工具服务器管理器，点击添加角色。在选择服务器角色界面，选择Web服务器（IIS）。在选择Web服务器角色是，会弹出如图所示窗口，点击添加必需的功能，然后点击下一步。在Web服务器简介（IIS）界面，直接点击下一步。在选择角色服务界面，默认设置，直接点击下一步。在确认安装选择界面，确认安装信息，点击安装。安装成功。图3-4 备份图手动备份：步骤 1: 点击两侧 浏览 按钮以选定需要同步的双方文件夹。步骤 2: 点击 分析 按钮GoodSync将计算出需要同步的文件并列示出来。步骤 3: 当同步文件准备就绪之后，点击 同步 按钮。自动备份：步骤 1: 选择 任务 选项，即可打开选项设置界面。步骤 2: 点击 自动 标签即可选择你所需要的自动操作功能。步骤 3: 现在即可回到上述 基本设置 中进行文件备份了。四实验与遇到的问题图4-1 过防火墙联通外围实验一:从网络中心到PC1的联通 我们试着把网络中心换成一个电脑.IP用的2 255.2