校园网组建与实施方案.doc

辽宁建筑职业学院信息工程系2011届毕业论文（设计） 2011 届班级：网络G112辽宁建筑职业学院 毕 业 设 计 (论文)题目：校园网组建与实施方案系（部）：信息工程系专 业：计算机网络技术姓 名： 王山 学 号： 29指导教师：刘宏毕业设计（论文）任务书 毕业设计（论文）题目:校园网组建与实施方案毕业设计（论文）内容:本设计主要针对学校中的办公楼与实训楼来规划和设计网络。根据校园网整体的网络情况进行设计与规划。先根据办公楼与实训楼网络所应用的各种功能及要求进进行分析，再根据分析得到的结果设计网络方案和逻辑拓朴与物理拓扑，最后进行现场施工并进行调试。 毕业设计（论文）专题部分:在当代社会，网络安全性和可靠性已经上升到非常重要的一个部分了，一个网络是否安全与可靠能关系到这个企业的长远发展，这里我论述以网络安全加固以及保证网络的可靠运行为主并在其中运用了VLAN划分、防火墙原理、MSTP与VRRP、以及ACL配置等众多先进技术，以及选用高可靠性设备，我相信在我的设计下，可以使网络安全级别和可靠性得到保证。 指导教师: 签字 年 月 日教研室主任: 签字 年 月 日系（部）主任: 签字 年 月 日 毕 业 设 计 (论 文) 评 语 指导教师评语: 成绩: 指导教师: (签字)年 月 日评阅人评语: 成绩: 评阅教师: (签字) 年 月 日摘要 通过对高校校园网络的组建，可以形成校园内部的网络系统（Intranet），将学校内部的各种不同信息资源有序高效的组织起来并实现校园网与Intranet的连接，为学校中的各类人员提供充分的网络信息服务。实现学校内外的资源共享及信息交流。校园网属于局域网，它是局域网技术的综合应用，本校园网在组建过程中，选择以太网（Ethernet）作为主干技术，以太网是当今网络的主流技术，应用非常广泛。在校园网拓扑结构设计选用树形结构，它是星形结构的拓展，具有灵活的可扩展性、较高的可靠性、且安装方便、易管理、投资小。各楼宇之间的传输介质多选用多模光纤，楼宇内部选用五类UTP或六类UTP，大大提高内部网络的实用性。楼宇内部交换机采用三成交换技术，可提高网络的运行速度和效率。考虑到网路的安全因素，组网过程还用到ACL、VLAN等技术，在一定程度上增强了系统的安全性。关键词：局域网，拓扑结构，Internet，网络协议，VLAN，结构化布线系统AbstractThrough the formation ofthecampusnetwork,campus networksystemcan be formedinside(Intranet),connecting thevariousinformation resourcesinside the schoolorderly and efficientorganizationandimplementation of campus network and intranetnetwork information services,provide sufficient forschoolpersonnel. Realization ofinside and outside the schoolresourcesharing and exchange of information.Campus network belongs to the LAN, it is a comprehensive application of LAN technology, the campus network in the process of the formation, Ethernet (Ethernet) as the main technology, Ethernet is the mainstream of todays network, application is very extensive. In the campus network topology structure design and selection of tree structure, it is to expand the star structure, flexible scalability, high reliability, convenient installation, easy management, low investment. The transmission medium between the buildings of the multi selection of multimode fiber, building internal use five UTP or six UTP, greatly improve the practicability of the internal network. Building internal switch with three switching technology, can improve the network operation speed and efficiency. Considering the safety factors of Internet, network process is used ACL, VLAN technology, enhance the security of the system in a certain extent.Keyword: Gao Xiao4 information-based website construction; Campus network culture; The campus network cloth line; Campus network management 目 录前 言1一、校园网背景21.2校园网现有网络概况31.2.1现有校园网的状况31.2.2现有校园网的不足4二、校园网络需求分析62.1功能需求分析62.2 IP需求分析62.3重新建设的必要性分析62.4校园网络需要的技术72.4.1 ACL技术72.4.2 PRIVATE VLAN 技术72.4.3 AAA服务和安全服务器协议(radius/tacacs+)技术72.4.4 IPSec VPN技术72.4.5 OSPF技术82.4.6 SPAN技术82.5网络组建技术82.5.1以太网络技术82.5.2千兆以太网络技术92.5.3 ATM技术102.5.4 HSRP技术11三、校园网系统设计123.1校园网内部网络设计123.2校园网接入Internet设计123.3校园网应用系统设计123.4校园网结构设计133.4.1校园网物理结构设计133.4.2校园网逻辑结构设计14四、网络设备选择方案184.1设备选择基本原则184.2交换设备选型194.2.1 核心层交换机选型194.2.2 汇聚层交换机选型194.2.3接入层交换机选型204.3路由器选型204.4防火墙选型204.5服务器选型214.6设备清单及价格21五、网络实施225.1施工准备工作225.2实施规划245.2.1项目实施及工期安排245.2.2 IP管理245.3网络设备配置265.3.1配置三层交换模块265.3.2配置交换机VLAN265.3.3配置交换机的CDP和SNMP275.3.4配置交换机的STP275.3.5配置Catalyst 3500275.3.6配置Cisco 防火墙PIX 520275.5设备模拟调试阶段285.6设备安装阶段285.7系统连调阶段295.8 INTERNET连接29六、结 论30七、谢 辞31八、参考文献325前 言高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势， 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求，可以利用万兆以太网的校园网组网技术。 构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。 随着信息技术的高速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年CERNET （中国教育和科研计算机网）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网， 才能充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、科学计算和科学研究与合作。中国教育事业随着社会发展将会越来越开放，对学校的经营管理也逐步形成完善的现代化管理模式。本方案是针对辽宁信息职业技术学院现有应用结构而设计的，主要使用思科的网络产品，提高网络的整体性能；规划采用防火墙技术、开启端口安全性，在接入层限制主机最大连接数，汇聚层设置访问控制列表等操作系统的安全性来提高整个网络的安全和重要主机的安全；使用磁盘冗余阵列来保护系统数据的安全，防止数据的意外损失；并实现网络的冗余及使用MSTP和VRRP来保证网络的可靠性，实现主干设备的冗余等，所选用的网络设备有充足的带宽以满足网络扩容的需求，主干交换机还可通过升级模块的方式实现轻松的升级和容量的扩充，千兆的网络带宽为用户的业务提供了充足的带宽，并为今后的网络的扩展做了足够的准备，保护了用户的投资，提高了整体的性能和安全性。随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。根据规划和设计规模，我们在设计该企业的网络信息系统时，将遵循“立足现在，着眼未来，重在实用，旨在效益”的总方针，按照校园网络的国际标准模式，结合中国的具体国情，同时吸取国际上流行的几家企业网络系统的精华，力争使所设计的网络系统具有技术先进、高效快捷、安全可靠、易于维护等特点。一、校园网背景辽宁信息职业技术学院为辽宁建筑职业技术学院的一个分校区，全校计算机数量逾1000台（不包括学生群体），信息点近900个，目前主要楼宇有教学楼、图书馆、公寓楼、实训楼等，规划区内部局域网都是一个独立的网络，相互之间并不联通，其它还有11幢学生宿舍楼，8幢教师宿舍，学校平面示意图如图1-1。图1-1学校平面示意图表1-1信息点分布表大楼信息点到网络中心的距离/m教学楼40150图书馆200100实训楼250150电子楼20100办公楼300在同一楼内实验楼40100教师宿舍A84350教师宿舍B167300注：以上除教师宿舍信息点为确切的数据外，其它均为本人对学校的了解进行的估计。目前，以上各楼群内部综合布线采用的是5类双绞线，学院内的室外布线都是通过光纤连接到网络中心。1.2校园网现有网络概况计算机管理信息系统包括校本部的计算机通信局域网和计算机应用系统，大部分采用100M/1000M以太网来组网。主要的应用系统有（或将来）：OA办公、生产管理、学生管理、保安图像监控管理、图书馆管理等，全校将实现完全电子化管理。基于各类数据库平台的上述管理信息系统，绝大部分都是基于TCP/IP的计算机应用系统，随着Internet的飞速发展，TCP/IP毫无疑问地成为主流，基于IP的计算机通信网络成为管理信息系统的最为重要的部分，计算机通信网络的好坏直接影响管理信息系统，从而影响日常教学活动的正常运作。Internet正在向我们生活的各个领域渗透，与此同时企业、政府、消费者和教育机构都在快速向基于IP分组的网络操作转移。无论对于IP话音（VoIP）、基于IP的视频流、基于IP的通信工具，还是对于PC、膝上电脑、蜂窝电话等IP平台、IP分组都已成为主流。换句话说，Internet的快速发展与普及正改变着公共通信网上和企业内部网的流量结构，语音信息在过去曾经占据主导地位，但在21世纪，数据(IP)将占据通信流量的主要部分。 随着千兆网的逐步实施，如何有效、灵活建立高速数据网络是一个具有战略意义的课题，高校的业务单位通常拥有3类应用：数据、话音和图象（工业电视）。未来的技术发展，使采用IP技术可以同时承载3类不同应用成为可能，并且具有以下优点：1、采用Internet广泛应用IP标准，开放性好。2、利用防火墙、IP地址过滤和路由器热备份等网络安全技术，确保调度安全。3、IP QoS及优先是分技术确保调度和远动等关键任务优先。4、实现数据话音和图象全网自动交换，信息共享，构成学校高效率运作的基础设施。采用IP这一面向未来技术，可以兼容现有设备，保护现有投资，又可以保证网络在当前及将来的技术先进性。校园网是现代社会高校基础设施的重要组成部分，是提高高校教学科研水平和管理水平的不可缺少的现代化手段和支撑环境.如何进一步搞好校园网的建设，充分发挥校园网的作用，是各个高等学校和教育主管部门正在探索和思考的问题。1.2.1现有校园网的状况校园网是辽宁建筑职业技术学院分校的信息基础设施，是实现学校现代化管理的强有力保证。学校一直以来非常重视校园网的建设。经过三期的建设，基本可以满足当时的网络需求。其网络逻辑拓扑图如图1-2。图1-2现有校园逻辑网拓扑图由于学校数据吞吐量大，又离本部较远，所以学校采用一般的校园双端口接入方式，用一条2M光纤连接到南校区网络，另一条用百兆光纤作为中国电信的局域网方式接入internet，实现网络高速运行。中心结构主要以华为ls-3026交换机为中心，单点以星形方式连接校园各个功能单位。各楼房交换机用100M光纤连接到中心机房的三台普通企业级路由上，可以实现子网内高速互联。楼房内部均用5类双绞线连接楼房交换机与用户计算机，带宽均可达百兆。1.2.2现有校园网的不足目前，辽宁建筑分校区的网络由低端的锐捷交换机构成一个平面型的网络结构，没有层次化设计的网络结构其存在许多缺陷。从网络拓扑结构看：网络管理员很难对网络进行整体管理，一旦出现故障，将很难做出快速排查。其中最至命的是网络存在单点故障，一旦中心的交换机出现故障，整个网络立刻瘫痪（如图1-3）。在平面型的网络结构下，网络中心交换机负载所有的数据处理任务，不能够实现对数据的高速转发传输。图1-3中心结构图从网络设备方面看：大部分的设备已经不能满足现在学校对网络传输的需求，如中心换机只是一台普通华为交换机，转发率不高，最大只为100M，实际上不可能达到，所以即使拓扑结构是树形结构，网络数据的交换也不会多快。而且连接这些交换机和路由器的通迅线路都是百兆双绞线。在这样的设备下，中心的网络中心通迅带宽仅为百兆。这将是实现网络高速吞吐的瓶颈。还有租用网络的带宽太低，如南校区校与北校区的通迅带宽才2M，而学校师生有8000多人，平时至少也有一百多人同时会使用，这也极大限制了我们学生与师大本部信息资源的共享。从网络设置管理方面看：学生可随意修改IP地址，容易造成IP地址冲突现象；广播风暴比较严重，造成带宽的浪费，一旦某台学生电脑中毒将影响整个网络；而且没有统一的网络管理软件，网管也很难统一对网络的整体管理。从网络应用方面看：学校提供的校园网络服务内容太少，如缺少校园邮件服务，文件服务等，而且还没提供学生宿舍宽带接入，学生只能用电信的电话拨号上网。不方便学生上网，也不能规范和监督学生上网，不能实现以网养网的目标，节约学校对网络的投资成本。从网络安全方面看：没有防火墙，网络安全性非常脆弱，服务器防病毒能力差，非常容易遭受到攻击，包括外网和内网对服务器的攻击。没有网络服务质量（QoS）的管理。二、校园网络需求分析校园网的建设可以分为两部分。第一部分为硬件建设，如各种网络设备、服务器的选购及连接以及综合布线等；第二部分为软件建设，如各种应用软件、网络操作系统、教务管理系统等的选择；软件应用需求是选择硬件设备的基础和依据，只有将硬件系统和软件系统有机地结合在一起，才能充分发挥校园网的最佳性能。从某种程度而言，软件建设的好坏决定了校园网建设的成败。2.1功能需求分析1、实现高速的Internet和CERNET出入；2、实现内部千兆校园网主干，百兆交换到桌面；3、提供校园WWW、FTP、DNS、E-Mail等服务4、提供校园BBS等教师和学生交流学习的平台；5、增加学生宿舍的接入；6、增加校园无线局域网；2.2 IP需求分析根据上述总体要求，在技术上必须提供相应的支持和保证。整个网络在技术上定位为基于IP over Gigabit Ethernet传输的IP的光学网络，以光纤为主干传输介质，以Gigabit Ethernet + IP为核心传输方式，可以充分的满足网络的需求。在设计本网络时，还要考虑的IP网络的优化。IP优化至少包括如下几个要素：1、网络体系结构以Gigabit Ethernet为设计基础，体现在网络层的多层次化体系结构。2、网络层次的优化，使用华为或思科各自专有的QoS（Quality of Services）来保证传输层网络的数据图形语音的正常传输。3、良好的网络拓展和兼容性。可以从上向下的无缝兼容，在合理的QoS控制下，根据不同的服务类型启动不同的控制协议，比如图像传输方面，可以通过IGMP组播协议和RSVP资源预保留协议进行优化和控制，对于数据和声音可以采用PQ，CQ，WFQ等排对称技术最大限度的传输各种数据包充分利用光纤的带宽。4、稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力，快速恢复网络连接，避免路由表颤动引起的整网震荡，提供符合高速宽带网络要求的可靠性和稳定性。2.3重新建设的必要性分析基于当前学校的发展，对校园网络需求起来趍，且当前存在的诸多不足，学校网络升级改造显行非常必要。这可以从前一阶段校园网络的通信状况就可知道。在新的网络下必须能够满足教学、管理和通信三大基本功能。 教师可以在学校的任意的一台计算机上方便地浏览和查询网上资源，因为进行教学和科研工作必须可以调用网上资源，还可以通过网络对学生的学习进行指导。学生可以在计算机实验室、图书馆、教室、电子阅览室等地方方便地浏览和查询网上资源，但不能在教师办公室上网，学生通过网络可以进行网上学习并能和教师进行网上讨论。学校管理人员可以方便地对教务、行政事务等进行综合管理，同时各楼办公室的计算机可以进行数据信息交换，初步实现办公自动化。总之，该校园网主要包括以下建设需求：（1）实现高速的Internet和CERNET出入；（2）实现稳定的快速的DNS、WWW、FTP、E-mail等多项网络服务；（3）建设校园BBS，促进校园文化的健康发展；（4）拥有透明出口措施，学生用学生证注册上网帐号，能够详细记录上网访问日志；（5）对外部资料实现管理，实现VOD服务；（6）整个校园网主干实现千兆传输，百兆光纤到楼宇，百兆交换到桌面；（7）拥有高性能的网络设备，有足够的设备冗余；除以上要求外，还要求建成后的校园网具有一定的技术前瞻性和系统冗余度，以适应未来的发展和应用需求。2.4校园网络需要的技术2.4.1 ACL技术访问列表有三种类型的划分，包括RACL(路由器的访问列表），QoS的访问列 表，和VLAN的访问列表。路由器的访问列表可以被用于子网之间的数据包过滤，但是不能在一个子网内作过滤VLAN的访问列表，用于在一个VLAN的子网内实现过滤。2.4.2 PRIVATE VLAN 技术在很多企业网络的应用中，出于安全和简化IP地址规划的考虑，会有这样的需求：希望同一物理网段上的主机之间的通信能够互相隔离，但是又希望这些主机都能够访问一个公共端口（网关或服务器端口），所有这些主机和服务器端口都位于同一个IP子网内，这样即实现了第二层的通信隔离，增加了安全保护，又不需要规划多个IP子网用于主机隔离。利用思科交换机的Private Vlan功能，可以轻松实现以上需求。2.4.3 AAA服务和安全服务器协议(radius/tacacs+)技术AAA（验证、授权、记账）网络安全服务提供了一个实现身份认证以及访问控制的主框架。AAA使用RADIUS、TACACS+等协议来实现对网络的访问控制。2.4.4 IPSec VPN技术虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可以大幅度地减少用户花费在远程网络连接上的费用。2.4.5 OSPF技术随着Internet技术在全球范围的飞速发展，OSPF已成为目前企业网采用最多、应用最广泛的路由协议之一。 OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。2.4.6 SPAN技术SPAN，交换端口分析器，是一种流量镜像的技术。实现该技术的目的是监控网络的性能，用于优化企业网络。常见的抓包工具，比如sniffer等只能捕捉到一个碰撞域内的流量，如果公司的网络都是用交换机互联的，就不能进行监控。通过SPAN技术，可以把流量镜像到流量分析器。2.5网络组建技术2.5.1以太网络技术早期局域网技术的关键是如何解决连接在同一总路线上的多个网络节点有秩序也共享一个信道的问题，而以太网络正是利用载波侦听多路访问/冲突检测（CSMA/CD）技术成功的提高了局域网共享信道的传输利用率，从而得以发展和流行的。特别是近几年来交换式以太网和100M快速以太网的广泛应用，使以太网络成为当今局域网应用较为广泛的主流技术之一。然而，以太网络在发展早期所提出的共享带宽、信道争用机制限制了网络后来的发展，即使是近几年发展交换式以太网技术和100M快速以太网技术也不能从根本上解决这一问题，具体表现在：1、不提供服务质量保证（QoS）以太网提供的是一种所谓“无连接”的网络服务，网络本身对所传输的信息包无法进行诸如交付时间、包间延迟、占用带宽等等关于服务质量的控制。这种传送方式就像邮局递送信件一样，信息包一旦交给传输介质，无论是发送端还是接收端都无法再对中间的传输过程进行任何有效的控制，这就是所谓没有服务质量保证。而且以太网的包长度本身是不确定的，这就导致网络设备对每一个帧的处理和转发延迟处于随机、不可控制状态。这两个因素的存在，使得以太网的帧在传输时的延迟和延迟的突发变化方面显得非常严重。以太网对传输过程的不可控性和对帧处理延时的过多抖动都不适于现在大量涌现出的具有较强定时性要求的多媒体信息的传输。2、带宽利用率较低对信道的共享及争用机制导致信道的实际利用带宽远低于物理提供的带宽，虽然基于CSMA/CD机制的以太网可以使网络节点对带宽的争用以一种“秩序”进行，但其带宽有效利用率仍低于10%。以太网的交换技术可以降低争用的几率，但为了与原有网卡及应用软件相兼容，CSMA/CD仍必须存在，且交换中对转发端口的定位是在动态学习、动态刷新中进行的，这就使在统计上仍存在大量的包是以共享争用的方式传递的。引入交换技术可使利用率提高至20%-50%。除以上两点以外，以太网传输机制所固有的对网络半径、冗余拓扑和负载平衡能力的限制以及网络的附加服务能力薄弱等等，也都是以太网络的不足之处。但以太网成熟的技术、广泛的用户基础和较高的性价比，使其仍成为传统数据传输的网络应用中较为优秀的解决方案。现在，传统10M以太网的应用越来越少。在网络应用中，比较流行的以太网技术是：100M快速以太网和千兆以太网。2.5.2千兆以太网络技术千兆位以太网应用于大中型网络，能把现有的10Mbps以太网和100Mbps快速以太网连接起来。千兆位以太网采用同样的CSMA/CD协议、同样的帧格式，是现有以太网最自然的升级途径，使用户对以太网原有设备管理工具的投资得到保护。千兆位以太网是超高速主干网的一种选择方案。在数据、话音、视频等实时业务方面，它虽然不能提供真正意义上的服务质量保证（QoS），但千兆位以太网频宽较高，能克服原以太网的一些弱点，提供服务保证等特性。IEEE802.3Z工作组已确定了以下一组规范，统称为1000Base-X。1、1000Base-LX:多模光纤传输距离为550米，单模光纤传输距离为3000米。2、1000Base-SX：62.5微米多模光纤传输距离为300米，50微米多模光纤传输距离为550米。3、1000Base-CX:用于短距离设备的连接，使用高速率双绞线铜缆，最大传输距离为25米。4、1000Base-T：5类铜缆传输最大距离为100米。千兆位以太网支持交换机之间、交换机与终端之间的全双工连接，支持共享网络的半双工连接方式，使用中继器和CSMA/CD冲突检测机制。对于大多数用户而言，花费很少的投资就可将现有的网络升级至千兆以太网，并且不需在通信协议上进行额外的投资。2.5.3 ATM技术ATM在现有技术水平上已获得成熟的发展。不过，ATM有一个不足之处就是，采用ATM技术来构建网络主干，需要较高的成本，其经济可行性较差。这对所建的中等规模仿小的网络就更是如此。基于我们学校目前的发展情况，ATM虽好，但并不合适，成本太高也还没有那多的需求。且学校原有的网络也都是基于以太网和快速以太网而建的，因此，我们使用千兆以太网为校园网主干，百兆到桌面，来平滑升级现有网络。即可以保护原有投资也达到升级的目的。这是我们升级中不二的选择。设计依据：1、根据学校现有的业务量与业务类型，估算出网络大约需要的交换能力和功能。学校的业务主要有：校园网的Internet接入包括使用ChinaNet和CERNET，从学校现有计算机数量看，最大并行访问Internet的计算机数量大概在500台，以百兆光纤出入Chinanet是有些拥挤，不过大多数时间内不会有那么多台同时访问，而且还可以通过交换机带宽配置，来分配各个单位的上网需求，因此目前的带宽还是可以满足用户的上网需求。不过接入CERNET的带宽就显得过小了，虽然访问的人没有访问Chianet的多。校园内部的BBS、WWW、FTP、E-Mail等，这些网络服务均可对内外开放，而且是学生群体比较活跃的区域，网络的通迅量较大，需要较大的带宽；学校内部日常的管理系统，如教务管理系统，学生学籍管理系统等，这些也是师生访问较多的网络服务；校园网内的文件传输等内部通信也需要很大的带宽。将学生宿舍的宽带接入也是校园网重要的功能模块，它所需要的带宽也是很庞大的。随着社会发展，移动办公也越来越普遍，增设校园无线局域网也是势在必行的。而且校园无线局域网也可以方便那些早期没有安装网络通迅线路的建筑接入校园网。经过以上分析，将校园内部主干网设计为千兆是十分必要的。2、根据业务量与业务类型的发展，估算出五年内网络大约需要的交换能力和功能在此次升级中，我们都将使用一些能够充分满足当前网络通迅及应用服务的网络设备，又能够在相当长一段时间内保持技术的先进性，能够满足今后学校对网络的扩展需要。3、依据网络分级原则，确定核心、会聚、接入各层设备所在位置与策略。该次升级方案中，彻底改变了校园网络的主干拓扑结构，摒弃了以前那平面型的拓扑结构，采用当今主流的三层网络结构，即核心层、汇聚层、接入层结构。网络中心还是设在实验楼，所以核心层设备也自然设在该楼内.汇聚层接入层设备根据新的网络拓扑及子网划分，具体安放在后面的章节中说明。4、根据以上三点，以及充分利用现有的网络设备的前提下，确定对所需网络设备的要求和投资估算，以此来确定设备的供应商，并在满足现有业务的同时，确保网络可以以较少投资平滑升级。核心冗余，从图1-3可以清楚的知道，学校所有出入Chinanet 和CERNET的数据都必须通过ls-3026交换机，一旦该设备出现故障，整个网络将瘫痪。为应对该问题，我们采用核心冗余技术（如图2-1），通过设置HSRP协议，即使核心交换机有一台出现故障，网络会自动切换到另一台核心交换机上，保证网络通畅。我们使用的冗余交换机都可以工作在三层，支持该协议。图2-1核心冗余图2.5.4 HSRP技术热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。HSRP 运行在 UDP 上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别.三、校园网系统设计网络系统设计方案主要包括校园网内部网络和Internet接入两部分的设计。3.1校园网内部网络设计校园网内部网络是组建在学院校园内的计算机应用网络，可以采用Intranet方式建设校园网内部网络。对本分校区而言，几乎包括所有的建筑楼群：如教学楼、图书馆、科学楼、外语楼、实训楼、实验楼、教师及学生宿舍楼等。根据福清学院对网络应用的需求，主干可以采用千兆以太网结构，每栋楼与网络中心用多模光纤连接，百兆交换到桌面。在升级设计中，针对现有的不足，我们采用分层次的网络结构和冗余设计技术，如采用核心、汇聚冗余。还有无线局域网的引入，也是逐步完善校园网络的一个举措。3.2校园网接入Internet设计学校校园网采用双端口方式，一个接入辽宁建筑本部教育网，一个作为电信的局域网方式接入中国电信，校园网核心交换机及路由器都存放在网络中心，所有楼的光纤均连接到网络中心。并申请相应的域名和IP地址。内部网络的IP地址由保留地址和真实地址混合使用，保证内部网络的安全。3.3校园网应用系统设计1、Internet应用学校向域名注册代理商申请Internet域名后，通过配置相应设备便可以向校内外提供DNS、WWW、FTP和E-Mail等服务。网络操作系统可以选择Microsoft的Windows系列或Linux。在服务器上，每一个服务可以由一台服务器来完成；也可以由一服务器来同时完成几项服务。这些是对校内外开放的。另外一些主要面向教学或学生工作的服务，可以另外设一些专门的服务器，如：学生学籍管理系统、教务管理系统等，这些可以视需要决定是否向外开放。2、视频点播、教学讨论BBS 校园网视频点播系统，可以使学生通过电脑在校园内任何地方进行教学课件的视频点播，进一步提高学生的学习积极性。校园BBS服务，可以使每位学生教师都可以在BBS上书写信息、提出看法、讨论教学问题，增强师生间的教学交流。校园网还以提供许多其他服务(可选)，如网络课件库、网络试题库、精品课程点播以及远程教学等，进一步推动教学手段的改革。4、网络管理随着校园网的不断扩大，对校园网中网络设备的管理成为校园网管的重要任务，可以通过网络管理软件实现对全校所有网络设备的集中式管理。网络管理集通信技术、网络技术和信息处理技术于一体，通过高度和协调资源，进行各项管理活动，以达到使网络可靠、安全和高效运行的目的。由于我们在建设中主要使用Cisco的产品，可以用CiscoWork2000这个网管软件来统一管理，它可以管理Cisco的基于IOS操作系统的连接设备。使用方式是Web管理方式，所以在安装完网络管理服务器后可以在任何有网络连接的机器上进行网管监控。5、QOS管理流量管理也是一个非常重要的工程，如何有效的、合理的管理网络中ip流量将有助于网络整体性能。实施QoS，首先必须进行QoS的总体规划，其规划原则可如下:首先，根据不同业务特性在网内实施针对业务类型的业务分流，目前可考虑的业务类型可以分为VoIP语音、视频、专线互联及互联网接入等。另外，还必须考虑到网络本身还存在管理和控制信令等，这种消息流与VoIP数据流具有同等的QoS保证需求。其次，在接入网的汇聚层实施业务VLAN策略，并根据业务及流量特性对业务VLAN进行合理的带宽规划。然后，不同用户实施不同的QoS:对于重要的服务器、教师机通信等，在汇聚层实施独享带宽和独立逻辑通道的二层QoS策略。6、无线局域网校园内加入无线网络，一方面可以方便师生在校园内的移动入网，也可以使那早期没安装网络接口的建筑，如电子楼，5、6号楼。从学校的自然布局和办公情况看，将无线接入点分别设在学生公寓楼和外语楼。外语楼主要面向本楼接入和科学楼外来领导的移动接入。公寓楼可供5、6的接入。7、网络安全网络安全性非常脆弱，服务器防病毒能力差，非常容易遭受到攻击。加入硬件防火墙可以对出入校园网数据包进行监控、过滤， 最大程度的屏蔽内部网络的信息、结构及运行情况，以此来保护网络安全；它具有控制对系统的访问，集中安全管理，增强的保密性等功能。8、用户上网需求校园网的主要用户是教师和学生，学校可增设一个透明网关或认证服务器来对用户身份认证及上网计费。同时包括无线接入的认证。3.4校园网结构设计校园网结构设计主要指网络的物理结构设计和逻辑结构设计。在完成对校园网的网络现状分析后，就可以有针对性的进行物理和逻辑上的规划设计，进一步完善校园网络。3.4.1校园网物理结构设计根据前面对校园网络现状的分析，可以知道校园网内有多少建筑，各建筑内包含多少信息点以及它们的分布情况，可以知道校园网的功能及其应用。对些我们就可以做出相应的升级拓扑设计。此次物理上主要是对网络设备及通信带宽的升级（对于设备选择在第三章中介绍）：1、升级核心路由器，采用思科优质的产品C3600系列。2、采用思科双C3750核心交换机做冗余技术;汇聚层也采用思科C6509原有的可当备份用;接入层采用C3500系列。各层设备都具有千兆以太网端口。3、增加3A身份认证服务器，增加校内外学生宿舍的校园网接入和校园无线局域网接入。4、引入防火墙机制，提高校园网的安全性。在通信线路上，此次将校园主干网都升级为1000M以满足学校对网络的需求。接入电信仍为原有的百兆光纤，不过只要更改光缆的带宽就可以使网络升级到更高的带宽；路由器与核心交换机间采用1000Base-T铜缆连接； 核心交换机与汇聚层交换机间采用1000Base-LX光纤连接（在同一室内可用优质双绞线）。校内各网络服务采用100M双绞线连到核心交换机。汇聚层交换机所在的楼房内直接采用100双绞线连接到接入层交换机，其它楼房的接入层交换机则用100M光纤连接到该汇聚交换机上，物理拓扑如图3-1。图3-1物理拓扑图3.4.2校园网逻辑结构设计根据上一节的设备选型及校园网络结构设计，我们可以绘制出更详细的校园网络结构图，如下列图3-2。图3-2逻辑拓扑图注：图2-3中完整IP的均使用默认C类掩码，而只有两个IP位的都默认省去了前两位，如：100.6/30其完整IP为/30，其中30为该IP的掩码长度。1、核心与汇聚部分图3-3冗余部分拓扑图2、汇聚与接入部分图3-4汇聚与接入设计图注：由于接入层是工作在数据链路层，所以不需为其设置IP。3、VLAN的划分部分校园网逻辑结构设计主要是IP子网网段的划分，根据校园网实际应用需求实现VLAN的设置。从校园网的安全性、IP地址的可管理性和IP地址资源的有限性出发，将整个校园网络划分成若干个子网网段并对IP地址进行有效的管理是十分必要的。子网网段划分一般应遵循以下原则：（1）需要对外开放的服务器划分在同一网段，并分配真实的IP地址；（2）除接入Internet的路由器外，将其它所有网络设备划分到私有的网段；（3）将不对外开放的服务器划分到专有网段中，其地址对外是隐蔽的；（4）最好将不同部门的机器划分到不同网段中；（5）划分的子网应使IP管理简单，同时也要避免IP地址的大量浪费；（6）可使用子网掩码将几个C类地址分给同一个大的子网，或将一个C类地址分给几个小的子网；（7）校园内部网IP地址使用保留地址，连接Internet的子网采用真实IP地址。以下为学校升级中，对学校所有网内计算机的子网划分情况：VLAN划分如表3-1：表3-1 VLAN划分表序号VLAN号子网名称包含的信息点1DMZ区服务器子群连接Internet的所有对外开放服务器，为真实IP地址211服务器子网所有只对校内开放的服务器，为保留IP地址312网络设备子网除路由器外所有网络设备413办公室子网图书馆、实训楼、科学楼的办公室计算机514无线接入子网所有无线接入的计算机615学生宿舍子网1校内学生宿舍接入的计算机716学生宿舍子网2校外学生宿舍接入的计算机817教师宿舍子网1校内教师宿舍接入的计算机918教师宿舍子网2校外教师宿舍接入的计算机1019教室子网教学楼、科学楼、电子楼、实验楼的教学用计算机1120电子阅览室子网图书馆除办公室计算机外的所有计算机1221计算机实验室子网1实训楼的计算机实验室11322计算机实验室子网2实训楼的计算机实验室21423计算机实验室子网3实训楼的计算机实验室31524计算机实验室子网4实验楼计算机实验室11625计算机实验室子网5实验楼计算机实验室21726计算机实验室子网6实验楼计算机