毕业设计（论文）-大学校园网网络规划与设计.doc

重庆理工大学毕业论文 大学校园网网络规划与设计 编号 毕业设计（论文）题目 大学校园网网络 规划与设计 全套设计加扣3012250582 二级学院 计算机科学与工程学院 专 业 网络工程 班 级 学生姓名 学号 指导教师 职称 副教授 时 间 2014年6月2日 目 录摘 要IAbstractII1 概论及背景介绍11.1 概述11.2 项目背景22 需求分析与设计原则32.1 校园网络需求及功能32.2 校园网络建设思想和原则42.2.1 数字化校园建设的定位42.2.2 数字校园建设指导思想42.2.3 数字校园建设原则42.3 设备选型52.3.1 交换机52.3.2 路由器73 相关技术介绍93.1 VLAN和中继技术93.2 以太信道技术113.3 生成树协议113.4 端口安全技术133.5 多层交换技术143.6 路由选择协议EIGRP143.7 网络地址转换NAT技术153.8 访问控制列表ACL技术163.9 虚拟专用网络VPN技术164 校园网络结构设计184.1 校园网的总体设计思想184.2 校区总体规划方案科学性184.3 校园网建设的整体内容184.4 VLAN、IP需求195 综合布线系统设计205.1 综合布线概述205.2 综合布线系统的组成215.2.1 工作区子系统215.2.2 水平子系统225.2.3 管理子系统225.2.4 垂直干线子系统235.2.5 设备间子系统245.2.6 楼宇（建筑群）子系统255.3 工程概况255.3.1 软件和网络指标255.3.2 信息点建设265.3.3 综合布线要求265.3.4 网络控制中心要求265.3.5 其他资源275.4 设计目标与依据275.4.1 设计目标275.4.2 设计原则275.5 综合布线系统设计方案285.5.1 方案概述285.5.2 校园主干布线设计说明285.5.3 建筑物内布线设计说明295.5.4 建筑物内各子系统设计说明295.5.5 各建筑物内综合布线设计说明326 网络安全设计方案346.1 网络安全方案346.1.1 对系统安全的考虑346.1.2 措施346.1.3 防火墙等技术在安全方面的作用357 机房建设设计377.1 系统需求概述377.2 系统范围377.3 机房建设基本要求377.4 设计原则397.5 设计依据398 系统实现及测试428.1 实现原理428.2 关键配置命令428.3 测试环境478.4 测试记录489 结束语57致谢58参考文献59文献综述60摘 要计算机网络技术正以其迅猛的发展速度和其蓬勃的生命力受到人们的青睐，而如今社会的智能化、网络化俨然已成为网络发展的主题。随着网络的普及和信息的爆炸，居住在当今社会的人们越来越关心周围的环境。因此许多的企业楼宇、住宅、医院、学校等也加入了网络化的行列。而大学校园网的发展已成为新的发展主流。本论文主要描述智能化大学校园网络的设计和实现，阐述了智能大学校园局域网工程的设计方案。根据已有的专业知识，并在充分的了解了局域网组网技术的基础上，根据目前智能化大学校园网络的发展趋势，科学结合智能化大学校园网络系统的需求分析，设计出一个智能化大学校园局域网系统的模型，并对大学校园网络模型进行各方面的细节设计。根据需求和实际模型，对所需要用到的网络设备进行适当的选择。这里将使用网络模拟软件Cisco PackerTracer6.0，对校园网络进行规划，对设备进行配置，包括IP地址和路由协议等；根据综合布线的需求，在了解了当下主流结构化布线系统产品及技术后，给出适合大学校园网络环境需求的综合布线系统方案。关键词：智能化校园网络；局域网；模型；配置；综合布线AbstractComputer Network Technology with its rapid pace of development and its vitality being popular with people of all ages, and now social intelligence, networking seems to have become the subject of network development. With the popularity of the network and the explosive of information, people living in todays society are increasingly concerned about the surrounding environment. So many companies buildings, homes, hospitals, schools, etc. have joined the ranks of the networking. Intelligent campus network has become the mainstream of development in the 21st Century NetworkThis paper describes the design and implementation of intelligent campus network, elaborated the design of intelligent university campus LAN project. According to the existing knowledge and full understanding of the basic LAN networking technology, based on the current development trend of intelligent campus network, campus science with the needs of intelligent network system analysis, design of an intelligent university models campus LAN system, and refined the university campus network model all aspects of design details. According to the needs and actual model of network devices need to use the appropriate selection. Here the use of network simulation software Cisco PackerTracer6.0, on the campus network planning, equipment configuration, including IP addresses and routing protocols; according cabling needs and to understand the current mainstream structured cabling system products and techniques, give a suitable cabling system solutions on university campus network environment needs.Keywords: intelligent college buildings network; LAN; Model; Configure;CablingII1 概论及背景介绍1.1 概述在现今，人们在学习、教学及行政管理中将网络信息通信技术融入对于今天的各地高校来说已是一种迫切的需求，一种必然性，而不再是可能性的问题。随着社会的发展，科技的进步，学生的需求使正在成长的一代人一起改变迄今未知未来的生活。而网络已经成为现代交流的一种主流媒介。而网络对学生学习过程的影响是最为重要的。网络使得学生和学习资源变成“零距离”，让学生可以在任何地方任何时间自由的获取。网络将学生选择课程的范围扩大，并且消除了交流时在距离上的阻碍。通常讲的“数字化校园”是以信息的数字化、计算机科学技术、通讯技术、网络技术为前提，建立在计算机和网络技术的教学、科研、管理、技术服务、校园信息的收集的一种虚拟教育环境。通过实现从环境（包括设备环境、办公环境、研究环境、教学环境等）、资源（如图书、数据库、讲义、课件及网上资源等）到应用（包括教学、管理、服务、办公等）的全部数字化。我国的高校校园网络建设总体可以分为三个阶段：第一阶段是互联网刚兴起的时候，以太网为电脑提供了一条相比传统媒介更便利的通道，使得信息资源实现共享化；第二阶段是出现了多媒体教学、自动化、流媒体下载等网络应用，千兆以太网为各高校带来了新的生机，网络成为高校教学不可或缺的一部分；第三阶段是网络服务的兴起，校园网络不再仅仅只是为教学而用，服务型、业务型校园网络正在慢慢成长，国内最具代表性的高校有清华大学、北京大学、中国人民大学等。这些高校的基本情况为：网络基础建设：以“万兆主干、千兆到楼、百兆到桌面”的指标进行建设；网络基本服务：实现了统一身份认证、统一数据平台、统一技术标准，规范了学校的各种业务流程；应用支撑层：实现了电子校务管理、教务管理系统、学生管理系统、科研管理系统、人事管理系统、数字图书馆、网络教学系统等到应用。1.2 项目背景起初，传统校园网的建设设计方案是建立在单一的二层拓扑和单臂路由的基础的上的。所谓的单臂路由(Router-On-a-Stick)是指通过一台路由器与多个LAN相连，并由该路由器来路由这些相连网段之间的数据，这是园区网、校园网中一种传统的手段。但是，单层的网络存在许多的固有的限制。它无法提供一下的特性：(1) .拓展性。(2).安全性。(3).灵活性。(4).模块化。(5)快速恢复。(6).高可用性。二层网络的优势之一就是它的速度，搭建二层网络的优势也在于此。不过随着Cisco Catalyst和Nexus交换机承载了高速交换硬件后，三层交换的性能目前已经能够与二层交换的性能并驾齐驱。于是，网络工程师们开始大规模的部署三层交换网络。当代的Cisco交换机，就吞吐量而言，三层的交换机性能已经和二层的交换机等同。于是，为使网络更容易扩展，人们开始使用分层结构来实现校园网。当前网络运行情况如图：图1 网络拓扑图682 需求分析与设计原则2.1 校园网络需求及功能本论文方案以一个大学的校园网络规划为背景，实现网络规划设计和模拟，同时完成详细的网络实施方案。该大学有两个校区， CampusA和CampusB，该两个校区分别需要部署1个由学校自己维护的Cisco 2811路由器(RouterA和RouterB)。两个校园通过静态路由(或者 RIP，EIGRP)实现数据通信；数据中心位于CampusA, 主要包括1台DNS服务器，2台Web服务器，1台数据库服务器。服务器连接到2层/3层交换机，DNS服务器能够实现对2台Web服务器地址的映射解析。要求CampusA,CampusB及家属区域的用户能够访问服务器。教师家属区域和CampusA,B分离，通过ADSL直接连接到ISP；CampusA有3个区域(教学A区，学生宿舍区，图书馆区)全通过有线网络进行互联。其中教学A区需要划分出3个Vlan，每个Vlan包括10台主机；学生宿舍区分出5个Vlan，每个Vlan包括8台主机; 图书馆区域3个Vlan,每个Vlan包括3台主机；CampusB有2个区域(教学B区，实验室区)，其中教学B区通过有线网络进行互联，而实验室区通过无线网络和教学B区互通。其中教学B区需要划分出2个Vlan，每个Vlan包括6台主机；实验室区分出4个Vlan，每个Vlan包括2台主机;另外，自行定义各个Vlan的IP地址和所属主机的IP地址，DNS服务器和Web库服务器的地址；基本实现如下网络核心功能：(1).三层架构设计本论文方案按照三层网络结构(接入层，汇聚层，核心层)进行设计和规划，接入层要求提供较多的网络入口，汇聚层实现对接入层网络的互联，核心层完成校园内部和外部数据的交换，并实现路由和安全功能。(2).路由模块设计要求通过RIP和EIGRP路由协议实现选路。这里我们实现EIGRP距离向量路由。(3).交换模块设计合理规划虚拟局域网(Vlan)，Vlan之间通过三层路由实现。接入层交换机通过二层交换实现互通。(4).安全模块设计要求在路由器上配置访问控制列表(ACL)保证对部分网络区域的拒绝访问(如数据库服务器)，另外CampusA和CampusB可以通过VPN和家属区域实现互通。2.2 校园网络建设思想和原则2.2.1 数字化校园建设的定位包括内外两种服务。对内：将学校和网络的资源整合在一起，建立数字化的服务体系，然后再建立应用平台作支撑，使其为学校的各项工作服务。对外：开放远程教学，这样能体现学校及院系的特色，让学生和老师能够在网上面对的交流；也可以建设对教师的终身学习服务平台。2.2.2 数字校园建设指导思想建设良好的网络环境，体现校园特色，集中信息资源，在设计时做到结构的模块化，设计的细致化，有计划、分阶段地建设数字校园。2.2.3 数字校园建设原则整个系统在设计上应遵循如下原则：（1）资源共享整合并优化学校和网络资源，做到资源共享。（2）软硬件基础硬件建设为前提，软件建设为核心。将软硬件相结合，这样才能发挥出最大的优势。（3）集成与协同打破传统的以地域划分的处理模式，建立以人为对象的协同工作方式，做到集成与协同。（4）先进性与适用性统一既要跟随时代的步伐和技术发展的态势，建立先进的数字校园，又要考虑实际需求，满足数字校园的适应性。而且要考虑不应有过多的冗余，并能保证一定先进性。（5）安全、稳定、可靠网络系统稳定运行的最基本条件是网络设备具备安全、稳定和可靠性。所以最好选择经得起时间考验的网络产品。（6）易于扩展性网络技术发展迅猛，而人们的需求也逐渐增多，为了投资效益达到最大化，选择一定扩展能力的设备是必然的。在当网络需要扩展时，可以不增加设备，以省下不必要的开支。（7）管理与维护先进的管理与维护方法，是设备功能最大化的前提条件。2.3 设备选型本设计方案选择思科公司的设备。目前，网络是企业、教育、社会、家庭通信的重要组成部分，而思科网络解决方案是这些网络的基础。通过选择思科的硬件、软件、服务和网络解决方案，可帮助个人、学校挺高综合实力，提升客户满意度。2.3.1 交换机交换机参数主要包括：背板带宽和吞吐率，这两个参数决定了一个网络的交换能力，是网络交换性能的基础。所以这两个个参数是最重要的。TRUNKING这项功能实际市场上的产品都支持，但是实际应用不是很大。因此只要选择支持该功能的设备即可。堆叠的支持随着用户数量的增加，堆叠的作用则越来越明显。扩展交换机的传统做法是在一台交换机下接另一台交换机，但是这样交换机之间的最大传输速率就只有100M，这对网络的性能影响是极大的。如果采用堆叠的话，带宽则是以G为单位了。主要参数有堆叠数量、堆叠方式、堆叠带宽等。三层交换机选择本次设计方案选择Cisco Catalyst 3560系列交换机。Catalyst 3560交换机整合了很多高级功能，用户可以在该交换机上部署QoS、ACL和路由协议等，这是二层交换机所没有的的功能。这样使得整个交换网络更加简洁明了。品牌：思科 CISCO型号：WS-C3560-24PS-S 传输速率： 10/100/1000Mpps 传输模式：全双工 背板带宽：32Gbps 端口数：24 模块化插槽数：2 产品数量 3二层交换机选择本次设计方案选择思科2950系列交换机。该系列交换机拥有基于Web的Cisco集群管理套件和集成的Cisco 操作系统软件，它提供了增强的服务质量（QoS）和组播管理特性。而且2950系列交换机带有可以升级的千兆位上行链路，所以在今后网络需要升级时可以利用现有的条件。CISCO 2950-24 主要参数 产品类型 快速以太网交换机 传输速率 10/100Mbps 交换方式 存储转发 背板带宽 8.8Gbps 端口数量 24 接口介质 10BASE-T/10BASE -TX 3类或3类以上UTP ,100BASE-TX五类。 传输模式 支持全双工 堆叠功能 可级联 产品数量 102.3.2 路由器路由器的选择非常关键，应参考以下几种条件：产品类型和档次路由器有高中低三档产品。这里选用中档即可。产品外型尺寸集中管理网络设备对于校园网的管理是必要的，因此这里选用19英寸的机架式路由器。产品的基本性能指标路由器是高技术产品，因此在选择时，应考虑，如可扩展性、路由协议兼容性等性能。另外，还应考察路由器的工作能力，比如处理数据包的能力、路由器的容量和缓存等。另外还要注意路由器是否能够提供其他的增值服务等。路由器的安全特性比如是否集成了防火墙软件，是否可以备份等。路由器的网络扩展能力网络发展的迅猛速度导致现有的网络在将来一定会面临扩展的问题，而路由器的扩展能力则要看路由器支持的扩展槽数目或者扩展端口的数目。因此路由器的选购必须具备扩展能力。路由器的售后服务支持路由器产品毕竟是一种高科技产品，因此技术和价格都比较高，所以在选购时一定要特别重视产品的技术支持和维修服务。路由器产品的品牌路由器是高技术产品，因此选择良好的品牌很重要。厂商越大越值得信赖。路由器选择本次设计方案选择Cisco 2811路由器。它可以安全、快速、高质量的为校园网络提供多种并发服务。提供了内嵌加密和VPN模块；入侵防御和防火墙功能；适用各种连接需求的接口；充足的性能和插槽密度。产品型号 思科2811 路由器类型 模块化接入路由器 传输速率 10/100Mbps 局集成多业务路由器域网接口 2个 其它端口 1个板载USB端口 扩展模块 2个模块化插槽+2个WAN接入的模块化插槽+2个HWIC的模块化插槽+1个板载AIM插槽 功能参数 防火墙 内置防火墙 Qos支持 支持 网络管理 SNMP/SSH 其他参数 产品数量 33 相关技术介绍3.1 VLAN和中继技术VLAN技术4VLAN（Virtual Local Area Network），虚拟局域网，VLAN是基于逻辑划分的，可以跨越多个物理的网段。在交换网际网络中，通过实施VLAN的划分，可以灵活的进行分段和组织。通过设计VLAN结构，可以将按功能、项目组和应用程序来逻辑分段的战力划分到一起，而无需考虑用户的实际的物理位置。也可以将每个二层交换机的端口只分配给一个VLAN，从而来加强安全防护。由于同一个VLAN属于一个广播域，不同的VLAN中的端口不能共享广播，以此来限制广播在一个VLAN内，可以改善网络的整体性能。下图说明了VLAN如何在交换机端口之间提供逻辑连接性。我们知道，一般情况下同一交换机下的用户是可以相互通信的。在下图中，左边的交换机，两个用户被划分到VLAN1中，而另一个用户则被划分到VLAN100中。在这个例子中，VLAN1和VLAN100是不能相互同行的。而在右边的交换机中，一个用户也被划分到VLAN1中，由于VLAN1具有端到端的连接性，因此VLAN1中的用户可以像连接到一个物理网段那样通信。图2 VLAN的作用思科交换机默认只将流量转发到与源端口相同VLAN的端口。因此，当数据帧到达端口时，交换机则只将数据帧传输到与该端口相同的VLAN端口上。实际上，在交换机上实施的VLAN技术限制了单播的流量、组播的流量和广播的流量传输。因此要传输多个VLAN的流量就必须使用中继技术来实现。中继技术4中继是一条交换机和其他设备相连的点对点链路。中继可承载多个VLAN的流量。在接入层，终端设备连接到交换机端口，后者提供了到单个VLAN的简单连接性。但是终端设备不知道有VLAN，就像连接的是常规的物理网段。如果没有其他设备第三层设备或外部第二层网桥的帮助，将无法在不同的VLAN之间传输信息。对于每个VLAN，都是用一条链路来传输信息是可能的，但当VLAN数量增加，则必须使用中继。中继链路可以通过单个交换机端口传输多个VLAN的信息。当交换机连接到其他交换机或路由器的时候，中继链路的优势最明显。下图是使用单个链路连接的交换机网络和中继链路连接的交换机网络：图3 单个链路连接的交换机网络图4 中继链路连接的交换机网络3.2 以太信道技术4将链路速度一次性提高一个数量级，交换机可以使用快速以太网和吉比特以太网端口。另外，思科还提供了另外一种增加链路速率和带宽的方法，即聚合多条平行链路，被称为以太信道技术。可以将2-8条快速以太网链路、吉比特以太网链路或10吉比特以太网链路，分别捆绑为一条快速以太信道、吉比特以太信道或10吉比特以太信道。这种捆绑可提供比多条链路总和更高的全双工带宽。这提供了一种在两台交换机之间扩展容量的简单方法，而无需去不断地购买硬件。然而，通常，在交换机之间有多条链路可能导致桥接环路，这是人们不希望看到的情况。因此，为避免这一现象的出现，以太信道将平行链路捆绑成单条逻辑的链路，可以做接入或者中继链路来使用。另外以太信道通过多条捆绑的物理链路来实现冗余的设计。如果其中的一条出现故障，在这条链路上传播的数据信息则会转移到相邻的链路上，这种故障切换在几毫秒之内就完成了，这在终端用户之前是完全透明的。3.3 生成树协议5一般情况下，复杂的网络实现冗余设计时通过冗余设备实现的。尽管这样可以解决问题，但是也会导致比如产生环路，广播风暴等问题。而生成树协议（STP）是一种工作在OSI模型第二层的链路管理协议，它可以保证复杂的交换网络中不出现环路，同时也提供了路径的冗余。任何转发帧，无论是知道还是不知道其目标地址，都将通过适当的端口转发出去，让终端设备能够收到转发帧。图3.4显示了端口交换机充当网桥时在两台终端设备间转发帧的情况。然而，当交换机或者链路出现故障时，这种网络设计没有使用额外的链路来实现冗余，于是这样交换机两端的网络将会被隔离。为增加冗余设计，在终端设备间再加入一台交换机，如图3.5所示。现在，从理论上说，单个交换机或者单个链路出现故障的时候两端的网络不会被隔离。图5 使用交换机实现透明桥接图6 使用交换机实现冗余桥接但是这种设计也会出现问题，那就是环路。当广播帧在这个网络中无节制地转发是，广播风暴就产生了。这里，就该用到STP来解决。STP让交换机之间相互通信，通过发送桥协议数据单元（BPDU）来协商根桥、根端口等信息。这样使得及提供了冗余又阻止了环路的产生。3.4 端口安全技术4在交换机端口上，我们可以通过限定一个MAC地址的接入或者几个MAC地址的接入来实现端口安全。我们可以手动配置这些MAC地址，也可以让交换机自己学习。然后，这些端口就只为这些MAC地址的终端提供接入服务。端口安全特性可以通过限制每个交换机的每个端口只允许一个MAC地址的接入，这样来缓解MAC地址的欺骗攻击。这样做可以防止入侵者在短时间内使用多个MAC地址进行访问，但它并没有指定具体的MAC地址。在端口安全技术中有一个叫做粘性MAC地址（Sticky MAC Address）的特性，它既可以限制交换机端口，使其只接受单个具体的MAC地址，又不需管理员收集所有合法设备的MAC地址，这样减少了管理员的工作负担。3.5 多层交换技术4二层网络是一个广播域；第二层网络也可以是位于一台或多台交换机内的VLAN。VLAN之间是彼此独立的，一个VLAN中的分组是不能进入到另一个VLAN的。要在VLAN间传输信息，就必须利用三层设备。这是路由器的工作。路由器必须给每个VLAN单独提供物理的或逻辑的链路，这样不同VLAN才能交换分组信息。可以使用连接到交换机中的每个VLAN的路由器来执行VLAN间的路由选择。为此，可以使用独立的物理连接来实现。如图3.6的A部分。外部路由器也可以通过一条中继链路来实现VLAN间的路由。如图3.6的B部分。最后，图3.6的C部分则描述了怎样将路由选择和交换功能整合在一台设备中多层交换机。在这种情况下，不需要其他的外部路由器。图7 VLAN间路由选择连接实例3.6 路由选择协议EIGRP6增强内部网关路由协议（Enhanced Interior Gateway Routing Protocol，EIGRP）是增强版的IGRP协议。它继承了IGRP的优点，是思科私有的协议。它和IGRP相比，操作效率和收敛性有了显著的提高。EIGRP使用的是DUAL（Distributed Update Algorithm）算法。EIGRP主要有如下几个特点：精确的路由计算：EIGRP使用DUAL算法计算路由。在计算时对网络宽带、网络时延、信道占有率、信道可信度等因素做全面考虑，所以EIGRP的路由计算更为准确。较少的宽带占用：启用相同EIGRP进程的路由器之间会发送很小的hello数据包报文，并且只发送更改的路由。且采用可靠传输，如果没有收到确认信息则会重新发送，直到确认。无环路由和较快的收敛速度：EIGRP使用DUAL算法，在计算路由时不会有环路路由产生，另外收敛时间也得到很好的保证。因为DUAL算法只会对发生变化的路由进行重新计算，且对于一条路由，也只有此路由影响的路由器才会介入路由的重新计算。任意掩码长度的路由汇总：可以通过配置对所有的路由进行任意掩码长度的路由汇总，从而减少路由信息传输，节省宽带。路由优先级：去往同一目的的路由表项，可以根据接口的速率、链接质量、可靠性等属性，自动生成路由优先级，报文发送时可根据这些信息自动匹配接口的流量，达到几个接口负载分担的目的。协议配置简单：不同于OSPF的区域和接口设置。支持多种网络层协议：可以支持ApplleTalk、IP和Novell Netware等协议。图8 EIGRP发现和更新过程3.7 网络地址转换NAT技术6NAT，Network Address Translation，网络地址转换，它可以让一个机构以一个IP地址出现在Internet上。NAT使用一个地址可以让局域网内所有的IP使用它。它也可以隐藏个别IP地址，这样外界就无法访问内部网络。同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用。NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。其中，静态NAT是设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。3.8 访问控制列表ACL技术6我们将应用在路由器接口的指令列表称为访问控制列表（Access Control List）。这些指令列表的作用是告诉路由器数据包是接受还是拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目标地址、端口号等的特定指示条件来决定。从概念上来讲ACL并不难懂，但是复杂的是对ACL的使用。ACL有两种：标准ACL和扩展ACL。标准的ACL只允许过滤源地址，且功能十分有限。扩展ACL则允许过滤源地址、目标地址和上层应用数据。3.9 虚拟专用网络VPN技术5VPN（Virtual Private Network），即虚拟专用网络。对于大型的企业网络来说，通常需要多个远程办公网络连接公司的总部网络，而VPN则可以满足。比如某一公司的员工在外地出差，而他想访问在总部公司的服务器资源，这种就属于远程访问。而在传统的企业网络设计中，要进行远程访问，一般的方法就是租用DDN专业或者使用帧中继。但是这样会导致比较高昂的费用。对于个人而言，则会通过电话线拨号进入企业网络，但是这样很不安全。于是便有了VPN技术。绝大多数的VPN可以归为一下两类：站点互联VPN：通常终结在公司总部路由器和远程站点路由器上，此时，不需要在远程站点的终端用户上安装VPN客户端软件。远程接入VPN：远程接入VPN需要远程站点的客户端安装VPN客户端软件。虽然这样会带来更多的开销，但是给用户带来了更多的灵活性。图9 站点互连VPN和远程接入VPN4 校园网络结构设计4.1 校园网的总体设计思想信息革命的发展十分迅速，不论是对学校还是国家而言，都是一种机遇，也是一种挑战。随着“科教兴国”战略、素质教育口号的提出，面向二十一世纪振兴教育一文的发布，大学校园网络的建设步伐正在不断地加快。4.2 校区总体规划方案科学性整体规划安排：根据实际需求和实际情况，对系统的目标、结构、功能、服务和经费做出详细规划。综合性能：应采用国内甚至国际先进的技术，根据综合需求和实际情况，来选择合适的网络产品，保证网络在较长时间内不落后。结构合理：在各项设计中应有明显的、清晰的分层设计，是的整个网络系统方便管理。高效实用：科学分析，实现资金的效益最大化；建立先进的科研平台。新增业务：例如远程教学、网络教室、电视会议。良好的环境：万兆接入，实现快速的Internet访问，使学校能很好地和其他高校交流。4.3 校园网建设的整体内容数字校园网络的建设主要包括：网络技术方案；信息系统建设。网络技术方案包括：综合布线系统、网络技术实现两个方面。信息系统建设包括应用平台的搭建和信息资源系统的建设，主要内容包括：校园内部信息系统建设、校园外部信息系统建设。校园内部信息系统包括办公管理系统、多媒体网络教室、通信信息服务系统、视频点播等。校园外部信息系统包括学校主页、远程教学等。4.4 VLAN、IP需求本校园网络根据需求一共划分了18个VLAN。采用静态VLAN：基于端口的VLAN。具体的划分如下表所示：各设备间接口地址使用192.168.100.0网段.名称所属子网名称网段IP网关IP备注Campus-A数据中心服务器子网192.168.0.0/24192.168.0.6Vlan10教学A区教学A区子网1192.168.1.0/28192.168.1.14Vlan11教学A区子网2192.168.1.16/28192.168.1.30Vlan12教学A区子网3192.168.1.32/28192.168.1.46Vlan13学生宿舍区学生宿舍区子网1192.168.2.0/28192.168.2.14Vlan14学生宿舍区子网2192.168.2.16/28192.168.2.30Vlan15学生宿舍区子网3192.168.2.32/28192.168.2.46Vlan16学生宿舍区子网4192.168.2.48/28192.168.2.62Vlan17学生宿舍区子网5192.168.2.64/28192.168.2.78Vlan18图书馆区图书馆区子网1192.168.3.0/29192.168.3.6Vlan19图书馆区子网2192.168.3.8/29192.168.3.14Vlan20图书馆区子网3192.168.3.16/29192.168.3.22Vlan21Campus-B教学B区教学B区子网1192.168.4.0/28192.168.4.14Vlan22教学B区子网2192.168.4.16/28192.168.4.30Vlan23实验区实验区子网1192.168.5.0/29192.168.5.6Vlan24实验区子网2192.168.5.8/29192.168.5.14Vlan25实验区子网3192.168.5.16/29192.168.5.22Vlan26实验区子网4192.168.5.24/29192.168.5.30Vlan27表1 VLAN及IP地址的划分5 综合布线系统设计5.1 综合布线概述1必要性在这个信息爆炸的时代，信息俨然成为当代关键的资源，而信息在各设备间准确、迅速地传输则显得尤为重要。因此，各行各业都会根据实际的需求来配置不同的结构来使这些信息能够以最快的速度传输于网络之中。于是，寻求高性能、高扩展性、高强度的布线技术，已迫在眉睫。它不但要能够满足现在的需求，而且更要面临未来的挑战。综合布线系统正是这样的一种技术，从而广泛的被人们接受。总之，布线系统既要适应当前的需要，又要充分考虑未来的发展趋势。综合布线系统特点： （1）系统化工程：综合布线系统包括基本的硬件设施（传输媒介、连接硬件）到后期的硬件安装、连接、测试、维护、管理和服务等。（2）模块化结构：采用模块化的硬件设备来实施综合布线系统使得在今后面临问题时可以很好的解决。（3）灵活方便性：结构化的设计和模块化的硬件基础使得综合布线系统可以兼容许多应用和技术。（4）技术超前性：综合布线系统独立于应用之外，允许用户采用各种可行的技术。综合布线系统优势：（1）经济性：初期系统花费的降低使得综合布线系统可以取得最大的经济效益。（2）高效性：模块化的结构使得综合布线系统能做出灵活的反应。（3）便于重新安装：良好的兼容性使得它可对现有环境做出改进，还可在新环境中取得成功。（4）低廉的运行花费：综合布线系统的模块化结构和灵活性将运行花费大大降低。5.2 综合布线系统的组成1从功能上看，综合布线系统包括工作区子系统、水平子系统、设备间子系统、垂直干线子系统、的管理子系统和建筑群子系统。设备间子系统工作区子系统垂直干线子系统建筑群子系统水平布线子系统管理子系统图10 布线各系统5.2.1 工作区子系统图11 工作区子系统工作区子系统指工作区内所有终端到信息模块的区域。工作区布线子系统由终端设备连接到信息插座的连线组成，它包括装配软线、连接器和连接所需的扩展软线，并在终端设备和信息口I/O之间搭桥。5.2.2 水平子系统指从楼层配线间至工作区用户信息插座。由用户信息插座、水平电缆、配线设备等组成。采用星型拓扑，每个信息点均需连接到管理子系统。图12 水平子系统根据该校园网的要求，水平电缆采用超五类双绞线，信息插座采用超五类信息插座。5.2.3 管理子系统综合布线系统和传统布线系统的区别就在于管理子系统的建设。管理子系统将垂直子系统和水平子系统相连，是整个布线系统灵活性和管理性的集中体现。通常情况下将管理子系统佘子在楼层配线间，是水平子系统的终端连接点。由大楼主配线架、楼层分配线架、跳线、转换插座等组成。用户可以在管理子系统中更改、增加、交接、扩展线缆。图13 管理子系统管理子系统将其他几个子系统有机的相连，是整个布线系统形成一个有机的整体。在管理子系统进行适当的设计可以将综合布线系统的灵活性发挥到极致。管理子系统采用超五类快接式12-96口配线架。5.2.4 垂直干线子系统垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。采用分层星型拓扑，每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时，每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。图14 垂直干线子系统垂直主干线缆安装原则：所有垂直子系统的线缆要求原理强磁场干扰，并且要符合国际安装标准。电缆安装性能原则：保证电缆应有的各项性能指标。每个楼层只是少配置一条超五类线缆做主干。当楼层安装线缆过长时，每个配线间应至少配置一条室内六芯多模光纤做主干。主配线架应满足路由最短原则。5.2.5 设备间子系统设备间子系统连接各系统公共设施，是一个集中化的设备区。是整栋大楼的数据中心，是所有线缆终接的场所。设备间子系统应设在建筑物的中层或者第一层，且不能远离电梯，以备以后扩充。建议建筑群来的线缆进入建筑物时应有相应的过流、过压保护设施、系统接地等。图15 设备间子系统设备间子系统空间要按ANSI/TIA/EIA-569要求设计。为接地和连接设施、保护装置提供控制环境；是系统进行管理、控制、维护的场所。5.2.6 楼宇（建筑群）子系统建筑群子系统也称区园子系统。建筑群子系统介质选择原则：楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点：包括路由起点、终点；线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。5.3 工程概况5.3.1 软件和网络指标以万为单位设计，万兆主干、千兆到楼、百兆到桌面。软件系统要使用主流技术应用系统、数据库开发、中间件应使用现有的主流平台，便于扩展和升级。信息标准数据按照统一的标准，真正实现共享。通过仔细研究，制作相应的业务流程标准，实现业务协同的真正意义。5.3.2 信息点建设1、办公室：每个办公室保证至少2个信息点，对终端多的办公室再进行组建。2、教室：每一间教室至少2个信息点。3、学生宿舍：每间宿舍保证2个信息点，多出的可用交换机扩展。4、主要公共场所：设立大型电子公告牌5.3.3 综合布线要求1、采用模块化结构设计、易于扩展、管理和维护2、使用标准配线系统和统一的信息插座，可连接不同类型和设备3、各设备最好相同，并且兼容性要好，能兼容其他厂商设备。4、每个区域都按综合布线系统的六大模块来设计。5、各个有区域应用适当类型和数量的光缆接入或无线网络接入。6、预留足够的网络节点和主干链路。5.3.4 网络控制中心要求校园的网络中心机房必须配备40KV的稳压电源进行不间断供电，这样来保证核心层的交换机和路由器能稳定运行；学校的各服务器统一放置在网络中心机房（WEB服务器、DNS服务器、数据库服务器）。对于楼宇交换机房，必须由本栋楼宇配电室直接供电，配备单进单出UPS供电系统。所有机房必须做防雷系统。5.3.5 其他资源音频、视频资源：电话独立成网或者使用IP电话；学校的视频资源以网络电视的形式向全校师生提供。无线网：通过无线发射器将全校的盲点区域覆盖，做到无死角通信。5.4 设计目标与依据5.4.1 设计目标建成后的系统它应达到如下目标：符合最新国际标准，满足网络的高速和可靠传输要求。能适应现在和将来的需求。保留固有的资源，应用模块化的设备，以方便将来很容易地扩展。能满足灵活应用的要求，即任一信息点能够连接不同类型的计算机或微机设备。能支持百兆/千兆的数据传输，可支持以太网、快速以太网、千兆位以太网、令牌环网、ATM等网络及应用。5.4.2 设计原则实用性:本方案以校园网为基础，主要提供如下系统功能：信息综合计算机网络系统：模块话电话通信网（话音，传真，X.25等）办公自动化网络系统：支持各种技术和系统，且能适应未来的发展。灵活性：模块化的信息点能连接不同的设备。模块化: 接插件都采用模块化的标准件。可扩展性:布线系统的实施结果不仅能满足计算机网络的需要，而且可以在此基础上扩展更多的应用和设备经济性：综合布线系统相比传统的布线系统可以是网络系统降低50%左右的管理费用。另外，采用模块化的结构和设备，也将减少以后更改或搬迁时的费用。本次设计在经济性上有着重的考虑，为用户提供最优性价比产品。合理性：综合布线系统不论是对现在还是以后都将提供最优的功能、质量、服务和性价比。5.5 综合布线系统设计方案5.5.1 方案概述根据该大学校区网络布线工程的特点及用户需求分析，对客户需求的理解，以及现在和将来的业务性质、提供服务的水平，并根据开放式布线系统对信息点分布的一般准则，我们完成以下的设计方案供选择。大学校