吉林动画学院网络规划与设计毕业论文.doc

吉林动画学院网络规划与设计毕业论文目 录1引言22网络建设的目标33网络的设计规划43.1网络建设设计原则43.2网络的结构化设计54网络设计方案74.1网络技术及接入方式的选择74.1.1网络技术的选则74.1.2网络接入方式的选择94.2路由协议的选取94.3网络的拓扑结构124.4网络设备的选择134.4.1选择值得信赖的设备华为134.4.2核心层设备的选择144.4.3汇聚层设备的选择164.4.4接入设备的选择184.4.5 防火墙设备的选择214.4.6 路由设备的选择224.4.7 无线设备的选择244.4.8 服务器设备的选择254.5网络总体拓扑图265网络的详细规划275.1 IP地址的划分275.2 VLAN的划分295.3 网络的安全设计305.4 网络内部的详细设计315.4.1创业产业园的网络建设315.4.2图书馆的网络建设325.4.3学生公寓的网络建设335.4.4行政楼的网络建设345.4.5计算机楼的网络建设355.4.6 教学楼的网络建设355.5 校园无线设计365.6 VPN技术366总结37致谢38参考文献391引言吉林动画学院是中国第一所专门培养动漫游戏人才的普通本科高等院校，规模属亚洲最大的单体动画学院，与法国高布兰动画学院和加拿大谢尔丹理工学院动画学院并称为世界三大著名动画院校，学院以动漫和游戏（指数字媒体艺术）为核心内容，被誉为“中国动漫游戏人才的摇篮”。 吉林动画学院成立于2000年6月，设有长春高新、双阳两个校区，校园总占地面积86.5万平方米。高新校区占地面积16.5万平方米，建筑面积23.4万平方米。双阳校区正在建设中，规划建筑面积60万平方米。截止2015年5月，分别是动漫、游戏与数字媒体、动画艺术、设计、传媒、广告、影视戏剧、文化产业管理8个分院以及公共基础、思想政治理论、外语3个教学部。现有22个本科专业，分布在艺术学、文学、工学、管理学4个学科门类。教师总数789人，全日制本科生11911人.并且学院设科研所（中心、基地、室）10个，其中省级产学研合作示范基地1个，省级工程研究中心2个，省级特色文化研究基地1个。校园内部内部的建筑环境主要包括：吉林省动漫产业游戏创业园、图书馆、博物馆、传媒学院与游戏学院教学楼、教学楼A、教学楼B、计算中心以及学生公寓。学校校园网能够在校园内部实现网络的全覆盖，并且为在校师生提供高速上网、视频点播、网络会议、内部邮件、VPN、教学管理系统、财务系统、图书馆系统等业务。校园网采用层次化的网络模型，混合型的拓扑结构，采用光纤的连接方式以及多种先进稳定的技术、设备，努力的为广大师生打造出一个高质量、高可用性的校园网络。随着网络覆盖面积的增加、用户群的扩大，以及用户对信息传输速度要求的不断提高，网络的技术服务和用户服务的工作量和难度亦不断提高，将校园网络延伸到吉林动画学院的每一个角落，让网络成为所有老师同学每天生活的一部分，以吉林动画学院的办学特设相结合，让学校的校园网建设成为学校发展的重要角色。因此，本次的网络方案设计就针对吉林动画学院的实际情况，为学校提供一个高可用的网络设计方案，来实现学校目前以及将来需要的网络需求。2网络建设的目标校园网的设计目的简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连；在网上宣传和获取教育资源；在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境；开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务；系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。那么结合吉林动画学院的实际情况，吉林动画学院的网络建设目标应该包括如下方面：（1）能够解决学校基本的上网问题；（2）能够在基本功能实现的基础上满足各类教务、教学需求；（3）支持丰富的外网接入资源，如联通、电信等运营商和中国教育网；（4）能够实现最大化的资源共享；（5）网络结构清晰明显；（6）网络的性能稳定，可支持长时间的全负荷运转；（7）网络中核心部分要具备支持冗余功能；（8）采取的网络技术先进；（9）选取的网络设备要足够强大，能够满足校园网的需求；（10）校园网内部可以支持多种服务器，来满足内部、外部对服务器的需求，如认证计费服务器、WEB、FTP、邮件等服务；（11）网络的安全性能要足够强大，能够防御各类病毒、木马的攻击以及黑客的入侵。（12）网络的IP地址划分要清晰、明了；（13）学校内部的网络规划要清晰；（15）支持VPN技术，满足学校两个小区网络的连接；（16）要支持网络的扩展和升级；（17）要具备高性能的地址转换功能；（18）校园网建成之后的维护工作要简单，做到操作管理方便。（19）校园网中要具备无线功能3网络的设计规划 3.1网络建设设计原则 作为一个为学校师生提供教学、科研和综合信息服务的宽带多媒体网络，校园网的建设必须坚持长远规划、分步实施的原则，应该将计算机网络设计成为一种起点高、技术成熟、易于扩充和升级、便于管理和使用的网络系统。吉林动画学院校园网的设计应尽量采用符合国际工业标准的、比较成熟的技术，兼顾网络技术的发展方向，选择结构化、可扩充、多用途的网络产品，保证网络在较长时间内不被淘汰。同时网络的结构设计应合理，在通信网络、资源配置、系统服务和网络管理上有良好的分层设计，使网络结构清晰，便于使用、管理和维护。另外网络应坚持高效实用的原则，着眼于教学、科研、管理的实际需要，用有限的资金解决更多的问题。那么，吉林动画学院的校园网应该遵循以下原则：（1）实用性原则在学校校园网的设计中，首先要考虑其实用性和易于操作性，确保使用技术成熟的网络设备和通信技术，确保使用技术成熟的网络设备和通信技术，同时要考虑对现有资源的充分利用。要针对每一个学校的网络系统的特点和各自不同的规模、不同的具体需求量体裁衣，做到投资合理，有较高的性价比，选择真正适合自身应用的网络技术。（2）先进性原则由于新的应用功能不断涌现，多媒体技术不断普及，越来越多的流量不仅限于一个局部网络，而且大量穿梭于网络的边界。在考虑利用和保护现有的资源、充分发挥设备效益的前提下，校园网应具有先进的设计思想、网络结构、开发工具，并选用市场覆盖率高和技术成熟的软、硬件产品。（3）开放性原则学校校园网是分期建设的，因此在总体设计中，应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通，使相对独立的子系统易于组合调整。（4）标准化原则校园网系统应符合IEEE 802.3、IEEE 802.3u、IEEE 802.3z等以太网标准和IEEE 802.1p、IEEE 802.1q、WBM等网络管理标准，所选取的网络技术和网络设备都有该支持这些行业标准。（5）可靠性原则校园网络是各种应用的统一通信平台，平均无故障时间以及故障恢复时间，要保持在一个可容忍的许可范围之内。鉴于学校校园网的重要性和特殊性，要求网络系统具有极高的可靠性，应具体网络监督和管理的能力，要充分考虑设备和线路的容错机制和冗余。 （6）安全性原则学校校园网中的信息，一般都有一定的保密性，因此在网络设计中，要采用子网隔离（Isolation）、应用网关(Application Gateway)和代理服务(Proxy Service)等防火墙和手段，提供灵活可靠地安全控制措施以保证网络安全运行，防止未经授权的访问和恶意的破坏。对于校园网络，安全问题不仅来自外部网络，主要的威胁还是来自内部网络，如何有效地设计安全方案是一个很重要的问题。（7）可维护性原则校园网系统分布在校园的各个角落，日常的网络维护和操作的工作量大大增加，校园网络系统需要一个可靠、便捷、功能强大的网络管理系统，来充分有效地管理和利用校园网络资源。在吉林动画学院的网络规划中要严格遵循以上的设计原则，从实用性、安全性、开放性、标准性、可靠性、安全性、可维护性这些方面设计整个校园网。 3.2网络的结构化设计 吉林动画学院的网络结构采用层次化的设计方式，即将整个网络分为核心层、汇聚层、计入层。所谓“层次化”设计，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。 在校园网设计中，使用层次化模型有许多好处，列举如下： （1）节省成本 在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。 （2）易于理解 层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。 （3）易于扩展 在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。 （5）易于排错 层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。 如图3.2-1所示，一个层次化设计的网络有三个层：核心层（用于提供站点之间的最佳数据传输）、分布层（提供基于策略的连接）、接入层（将终端用户接入网络）。 图3.2-1 网络层次结构设计每一层都为网络提供了必不可少的功能。在实际设计中，三个层中的某两个层可以合并为一个层，比如核心层和分布层，但是为了使性能最优，最好采用层次式结构。 （1）核心层 核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。 当网络中使用路由器时，从网络中的一个终端到另一个终端经过的路由器的数目称为网络的“直径”。在一个层次化网络中，应该具有一致的网络直径。也就是说，通过网络主干从任意一个终端到另一个终端经过的路由器的数目是一样的，从网络上任一终端到主干上的服务器的距离也应该是一样的。限定网络的直径，能够提供可预见的性能，排除故障也容易一些。分布层路由器和相连接的局域网可以在不增加网络直径的前提下加入网络，因为它们不影响原有的站点的通信。 （2）分布层 分布层是网络接入层和核心层的“中介”。分布层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。 （4）接入层 接入层向本地网段提供用户接入。在校园网中，接入层的特征是交换式或共享带宽式局域网。在接入层中，减少同一以太网段上的用户计算机的数量能够向工作组提供高速带宽。 4网络设计方案4.1网络技术及接入方式的选择 4.1.1网络技术的选则目前校园网的主干网络技术主要有ATM技术、千兆以太网技术、万兆以太网技术。ATM技术就是异步传输模式, ATM 技术具有以下特点:（1）ATM 采用了分组交换中统计复用、 动态按需分配带宽的技术；（2）ATM 将信息分成固定长度的交换单元- - 信元，ATM 的信元长度为 53 个字节, 其中 5 个字节用来标识虚通道( VPI) 和虚通路( VCI) 、检测信元正确 性、标识信元的负载类型。 由于采用短固定长度的信元, 可用硬件逻辑完成对信元的接收、识别、分类和交换, 保证 155Mbps- 622Mbps 的高速通信；（3）ATM 网内不处理纠错重发、 流量控制等一系列复杂的协议这样可以减少网络开销, 提高网络资源利用率；（4）在 ATM 网中可承载不同类型的业务如话音、数据、图像和视频等, 这在其他的网络中是不可能实现的；（5）ATM 提供适配层( AAL) 的功能不通类型的业务在该层被转换成标准信元；（6）ATM 是面向连接的；（7）ATM 是目前唯一具有 QOS( 服务质量) 特性的技术。 在费用、性能之间做出折中选择；（8）ATM 在专网、公网和 LAN 上都可以使用。千兆比以太网是一种新型高速局域网, 可以实现在原有低速以太网基础上平滑、连续的网络升级, 从而能最大限度的保护用户以前的投资。 由于以太网技术所支持的网络升级简易, 对新应用和数据类型处理的灵活性、网络的可伸缩性, 使得千兆比以太网成为高速、高带宽网络的首选技术。千兆比以太网的特点:（1）全双工和半双工模式具备全双工能力, 允许同时接收和发送数据, 相当于将有效带宽翻倍；（2）通过增大带宽来获得更高的性能, 并且消除了网络传输瓶颈；（3）广泛的部署能力使用 1000Base- T 的第 5 类铜线电缆上的千兆位技术不需要重新布线；（4）利用千兆位服务器网卡和交换机, 通过链路聚合实现多个千兆位的速度；（5）其服务质量( QoS) 特性, 可用来帮助消除视频抖动和音频失真；（6）采购和拥有成本低廉。我国高校信息化建设正在经历巨大变迁。 在不到 20 年的时间里, 从引入计算机开始, 高校信息化建设几乎每隔几年就会跨上一个新台阶。 今天, 高校信息化建设又向前迈进了一大步, 万兆以太网技术已经开始慢慢渗透到高校校园网中。从经典的 OSI 网络层次模型上看, 以太网属于第 2 层协议。为了适应高带宽的要求和更长传输距离的要求, 万兆以太网对原来的以太网技术也做了很大的改进, 主要表现在: 物理层实现方式、帧格式和 MAC 的工作速率及适配策略方面。万兆以太网技术特点:（1）全双工的工作模式万兆位以太网只在光纤上工作, 并只能在全双工模式下操作, 它的优点是减少了网络的复杂性, 兼容现有的局域网技术并将其扩展到广域网, 同时有望降低系统费用, 并提供更快、更新的数据业务；（2）物理层特点支持 802.3MAC 全双工工作方式, 允许以太网复用设备同时携带 10 路 1G 信号, 帧格式与以太网的帧格式致, 工作速率为10Gbps。（3）帧格式在帧格式方面, 如果以太网帧在广域网中传输, 需要对以太网帧格式添加长度域和 HEC 域。（4）速度适配在局域网与广域网的速率适配方面, 10G 局域以太网和广域以太网物理层的速率不同, 所以必须采取相应的调整策略, 将10GMII 接口的传输速 10Gbps 降低, 使之与物理层的传输速率9.58464Gbps 相匹配；（5）接口方式万兆以太网作为新一代宽带技术, 在接口类型及应用上提供了更为多样化的选择。 局域网 PHY(局域网接口)、城域网 PHY(城域网接口)及广域网 PHY(广域网接口)可以适用于不同的 解决方案。通过上述比较分析, 我们看到千兆比以太网最大的优点在于它对现有以太网的兼容性。广大的以太网用户可以对现有以太网进行平滑的、无需中断的升级,而且无需增加附加的协议栈或中间件。同时,千兆位以太网还继承了以太网的其它优点,如可靠性较高,易于管理等。ATM 技术复杂, 若将校园网建成ATM 网络, 不仅资金投入较大, 还要采购一些专门适配ATM网络的设备, 同时人员培训成本和今后网络维护成本均将大幅提高。因此为最大限度的保护校园网建设项目的投资, 实现在原有低速以太网基础上平滑、连续的网络升级, 并且从成本考虑, 我们确定千兆比以太网技术作为校园网建设项目的首选技术。4.1.2网络接入方式的选择 吉林动画学院的网络接入方式选择光纤入网的接入方式。与其他接入技术相比，光纤接入网具有如下优点：（1）光纤接入网能满足用户对各种业务的需求。人们对通信业务的需求越来越高，除了打电话、看电视以外，还希望有高速计算机通信、家庭购物、家庭银行、远程教学、视频点播（VOD）以及高清晰度电视（HDTV）等。这些业务用铜线或双绞线是比较难实现的。（2）光纤可以克服铜线电缆无法克服的一些限制因素。光纤损耗低、频带宽，解除了铜线径小的限制。此外，光纤不受电磁干扰，保证了信号传输质量，用光缆代替铜缆，可以解决城市地下通信管道拥挤的问题。（3）光纤接入网的性能不断提高，价格不断下降，而铜缆的价格在不断上涨。（4）光纤接入网提供数据业务，有完善的监控和管理系统，能适应将来宽带。 所以结合光纤的优势，选择光纤入网这种网络接入方式作为吉林动画学院的网络接入方式。 4.2路由协议的选取 随着Internet技术在全球范围的飞速发展，OSPF已成为目前Internet广域网和Intranet园区网采用最多、应用最广泛的路由协议之一。那么，吉林动画学院校园网的路由协议就选取OSPF作为整个网络的路由协议。OSPF路由协议是一种典型的链路状态洗型路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个自治系统中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。直接相连的邻居路由器在失去与邻居路由器的联系后，路由器通过Hello信息来确定邻居的存活状态。10秒内如果没有收到邻居的Hello信息，或者路由器向邻居所发送的Hello信息没有返回，路由器就会将该路由在路由表删除然后发送LSA通告区域内的其他路由器。网络或区域内的其他路由器及其相连的网络：路由器通过LSA来获悉其他路由器和网络，LSA被扩散到整个网络，他存储在拓扑表（LSDB）中。路由器前往每个目的的最佳路径使用SPF算法来计算前往网络中每个目的地的最佳路径。SPF算法是OSPF路由协议的基础。SPF算法有时也被称为Dijkstra算法，这是因为最短路径优先算法SPF是Dijkstra发明的。SPF算法将每一个路由器作为根（ROOT）来计算其到每一个目的地路由器的距离，每一个路由器根据一个统一的数据库会计算出路由域的拓扑结构图，该结构图类似于一棵树，在SPF算法中，被称为最短路径树。在OSPF路由协议中，最短路径树的树干长度，即OSPF路由器至每一个目的地路由器的距离，称为OSPF的Cost，其算法为：Cost = 100106/链路带宽。在这里，链路带宽以bps来表示。也就是说，OSPF的Cost 与链路的带宽成反比，带宽越高，Cost越小，表示OSPF到目的地的距离越近。举例来说，FDDI或快速以太网的Cost为1，2M串行链路的Cost为48，10M以太网的Cost为10，56K串行线路的链路开销为1785。然后将根路由器到达每一个目的地的Cost值相加，最小值确定为最佳路径。OSPF具有区域的概念，OSPF路由协议会把大规模的网络划分成多个小范围区域，以避免大规模网络所带来的弊病，从而提高网络性能。它包括骨干区域（Area0）和常规区域，骨干区域主要功能为快速、高效的传输IP分组的OSPF域。中转区域将其他类型的OSPF区域连接起来，通常，中转区域中没有终端用户；常规区域：主要功能为连接用户和资源的OSPF区域。常规区域通常是根据职能或地理位置划分的。默认情况下，常规区域不允许另一个区域使用其连接将数据流传输到其他区域。来自其他区域的所有数据流都必须经过骨干区域。OSPF协议推荐每个区域不超过50台机器。全网最多支持1024台路由器。运行OSPF的路由器内部要维护三个表，他们分别是：（1）邻居表：凡是路由器认为和自己有邻居关系的路由器，都会出现在这个表里。只有形成了邻居表，路由器才可能向其他路由器学习网络拓扑。（2）拓扑表：当路由器建立了邻居表之后，运行OSPF路由协议的路由器会互相通告自己所了解的网络拓扑建立拓扑表。在一个区域里，所有的路由器应该形成相同的拓扑表。只有建立了拓扑表之后，路由器才能使用SPF算法从拓扑表里计算路由。（3）路由表：路由器依靠路由表来为数据包进行路由操作。在运行OSPF路由协议的路由器中，当完整的拓扑表建立起来之后，路由器便会按照链路带宽的不同，使用SPF算法从拓扑表例计算出路由，记入路由表。运行OSPF的路由器都具有一个路由器标识，路由器标识（route ID）是指路由器在OSPF路由协议操作中对自己标识。一般来说，在没有配置回环接口时，路由期的所有物理接口上配置的最大的IP地址就是这台路由器的标识。如果我们在路由器上配置了环回地址接口，则不论环回地址上的IP地址是多少，该地址都自动成为路由器的标识。当我们在路由器上配置了多个环回接口时，这些环回接口中最大的IP地址将作为路由器的标识。OSPF具有如下优点：（1）OSPF是真正的无路由自环路由协议，源自其算法本身的优点（2）OSPF收敛速度快:能够在最短的时间内将路由变化传递到整个自治系统；（3）提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量也使得路由信息不会随网络规模的扩大而急剧膨胀；（4）将协议自身的开销控制到最小（5）用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小包含路由信息的报文时是触发更新的机制，即有路由变化时才会发送但为了增强协议的健壮性,每1800秒全部重发一次（6）在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行ospf 的网络设备的干扰；（7）在各类可以多址访问的网络中(广播,NBMA),通过选举DR,使同网段的路由器之间的路由交换(同步)次数由 O(N*N)次减少为 O (N)次；（8）提出STUB区域的概念,使得STUB区域内不再传播引入的ASE路由（9）在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息传递；（10）在点到点接口类型中,通过配置按需播号属性(OSPF over On Demand Circuits),使得ospf不再定时发送hello报文及定期更新路由信息只在网络拓扑真正变化时才发送更新信息；（11）通过严格划分路由的级别(共分四极),提供更可信的路由选择（12）良好的安全性,ospf支持基于接口的明文及md5 验证；（13）OSPF适应各种规模的网络,最多可达数千台 4.3网络的拓扑结构 计算机网络的拓扑结构，即是指网上计算机或设备与传输媒介形成的结点与线的物理构成模式。网络的结点有两类：一类是转换和交换信息的转接结点，包括结点交换机、集线器和终端控制器等；另一类是访问结点，包括计算机主机和终端等。线则代表各种传输媒介，包括有形的和无形的。拓扑结构的选择往往与传输媒体的选择及媒体访问控制方法的确定紧密相关。在选择网络拓扑结构时,应该考虑的主要因素有下列几点:(1)可靠性。尽可能提高可靠性,以保证所有数据流能准确接收；还要考虑系统的可维护性,使故障检测和故障隔离较为方便。(2)费用。建网时需考虑适合特定应用的信道费用和安装费用。(3)灵活性。需要考虑系统在今后扩展或改动时,能容易地重新配置网络拓扑结构,能方便地处理原有站点的删除和新站点的加入。(4)响应时间和吞吐量。要为用户提供尽可能短的响应时间和最大的吞吐量。计算机网络的拓扑结构主要有：总线型拓扑、星型拓扑、环型拓扑、树型拓扑和混合型拓扑。在校园这中较大的园区网中，采取单一的网络拓扑结构往往无法解决一些网络问题，所以我们采用混合型的网络结构，将多种网络拓扑结构结合使用，针对不同的地理位置、网络层次进行专门的网络规划。混合型网络结构的优点：(1)故障诊断和隔离较为方便。一旦网络发生故障,只要诊断出哪个集中器有故障,将该集中器和全网隔离即可；(2)易于扩展。要扩展用户时,可以加入新的集中器,也可在设计时,在每个集中器留出一些备用的可插入新的站点的连接口；(3)安装方便。网络的主电缆只要连通这些集中器,这种安装和传统的电话系统电缆安装很相似。 4.4网络设备的选择 4.4.1选择值得信赖的设备华为华为技术有限公司是一家生产销售通信设备的民营通信科技公司，于1987年在中国深圳正式注册成立。总部位于中国广东省深圳市龙岗区坂田华为基地。华为的产品主要涉及通信网络中的交换网络、传输网络、无线及有线固定接入网络和数据通信网络及无线终端产品，为世界各地通信运营商及专业网络拥有者提供硬件设备、软件、服务和解决方案。1987年9月，华为以“民间科技企业”身份获深圳市工商局批准获得注册，注册资本2.1万元，员工14人，主要业务为代理中资控股的香港康力投资有限公司的HAX小型模拟交换机。成立早期代理小型程控交换机，在通信设备核心技术方面的第一次突破，是1994年推出的“C&C08”大型程控交换机，之后逐渐占据中国内固定交换及接入网等通信设备市场，市场份额逐渐扩大，至90年代末期已经在中国国内市场上与其他少数竞争对手共同占有大部分市场份额。至2007年，华为在光传输网络、移动及固定交换网络、数据通信网络几大领域内拥有较强实力，并在全球电信市场与爱立信、阿尔卡特、思科等老牌通讯公司展开激烈竞争。作为国际知名企业，它的主要收入来源于电信行业，同时也提供企业与个人使用的产品服务，世界上大约三分之一在使用某种形式的华为技术。它的业务主要包括无线接入（GSM、UMTS、LTE等基站），固定接入（传统固网接入、光纤宽带接入、ODN和配线），核心网（WDM/OTN、MSTP/Hybrid MSTP、微波系统等），数据通信（路由器、交换机等），网络能源，软件，OSS服务器（电信网络和运维转型中的网规网设、IP运维、资源管理、业务发放与激活、线路诊断、系统架构及端到端的专业服务等)，存储与网络安全，终端（手机、上网卡、网关、调制解调器、机顶盒等）。由此可以看出华为公司是一个业务广泛的公司。华为企业业务定位为ICT解决方案和服务提供商，致力成为企业信息化的最佳创新合作伙伴。依托强大的研发和综合技术能力，华为在企业市场坚持“聚焦”和“被集成”战略，理解客户需求，提供 ICT 基础设施，包括企业网络、云计算与数据中心、统一通信与协作、企业无线、网络能源等，与合作伙伴开放合作，为全球政府和公共事业、企业提供有竞争力的 ICT 解决方案和服务。 4.4.2核心层设备的选择 在网络中设备的选型和结构须考虑网络的整体性能和实际要求。具体来说核心节点的交换机有两个基本要求：（1）高密度端口情况下，还能保持各端口的线速转发；（2）关键模块必须冗余，如管理引擎、电源、风扇。由于吉林动画学院是一个动漫类的专业院校，学生经常访问视频网站来获取资料。因此学校的核心网络设备的数据量非常大。所以采用的核心设备必须能支持千兆到万兆的网络扩展。所以在本次设计中采用华为S9706路由交换机。S9700系列交换机是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设计开发的高端智能T比特核心路由交换机。基于华为公司自主研发的通用路由平台VRP开发，在提供高性能的L2/L3层交换服务基础上，进一步融合了MPLS VPN、硬件IPV6、桌面云、视频会议、无线等多种网络业务，提供不间断升级、不间断转发、硬件OAM/BFD、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。S9700系列提供S9703、S9706、S9712三种产品形态。图4.4-1 核心交换机华为S9700系列交换机具备如下优点：（1）产品特点针对校园网络S9700支持随板AC，业务单板同时兼具无线AC功能，无需额外购买AC硬件；整机最大可管理2KAP，32K用户；整机转发性能可达T-bit，解决外置AC处理性能瓶颈，助力客户从容面向高速无线时代。S9700支持统一用户管理功能，屏蔽了接入层设备能力和接入方式的差异，支持PPPoE/802.1X/MAC/Portal等多种认证方式，支持对用户进行分组/分域/分时的管理，用户、业务可视可控，实现了从“以设备管理为中心”到“以用户管理为中心”的飞跃。S9700支持Service Chain业务编排功能，Service Chain对网络增值业务处理能力(如下一代防火墙NGFW)进行虚拟化，以便园区网络实体(如交换机、路由器、AC、AP、终端设备)可以无差别的利用这些能力，而不受物理位置的约束，提供一种更灵活部署园区增值业务的解决方案，减少客户设备投资和维。（2）具备创新的CSS集群技术S9700支持CSS交换网集群和业务口集群，将多台设备虚拟化为一台逻辑设备，在可靠性、交换效率、灵活性和易管理性方面具有强大的优势。可靠性：通过路由热备份技术，实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大地增强了设备的可靠性和性能，同时可以通过跨框链路聚合提高链路的利用率，消除单点故障，避免了业务中断；交换效率： 创新的CSS交换网集群技术，克服了业界普遍采用的线卡集群跨框多次交换，交换效率低下的架构难题；灵活性：普通业务端口可以复用为集群端口，使端口应用更加灵活。通过光纤进行集群可大幅增加集群的距离，突破了传统集群距离的限制；易管理性：整个弹性架构共用一个IP管理，简化网络设备管理，简化网络拓扑管理，提高运营效率，降低维护成本；（3） 具备运营级高可靠性设计 S9700所有关键器件，如主控、电源、风扇等均采用冗余设计，所有模块均支持热插拔，有效保证网络稳定运行。S9700支持硬件级3.3ms高精度BFD快速链路检测功能，能为静态路由/RIP/OSPF/BGP/ISIS/VRRP/PIM/MPLS等协议提供稳定均匀的毫秒级检测机制，大大提高了网络可靠性。S9700支持硬件级以太OAM，包括完善的802.3ah、802.1ag和ITU-Y.1731，能够对网络传输中的时延、抖动等参数进行精确统计，实时监测网络运行情况，并在设备故障发生时快速定位实现网络快速故障检测、定位与倒换。S9700支持ISSU业务运行中软件升级，设备软件升级过程中确保关键业务和服务不中断。支持优雅重启技术(Graceful Restart)，实现NSF无中断转发，有效保证全网高速可靠运行。（4）具有强大的业务处理能力多业务路由交换平台，满足企业接入、汇聚、核心业务承载要求，支持无线、语音、视频和数据应用，为企业提供高可用、低时延、全业务的一体化网络解决方案。支持分布式L2/L3 MPLSVPN功能，支持MPLS、VPLS、HVPLS、VLL，满足企业VPN等用户的接入需求。完善的二、三层组播协议，支持PIM SM、PIM DM、PIM SSM、MLD、IGMP Snooping，满足多终端高清视频监控和视频会议接入需求。软件平台提供多种路由协议满足企业建网要求，支持从中小企业到超大型跨国公司级大规模路由，支持IPv6，能够为企业网络提供平滑升级能力。（5） 具有丰富的网络流量分析功能S9700支持Netstream网络流量分析，支持V5/V8/V9多种报文格式，支持聚合流量模板，实时流量采集、动态报表生成、属性分析、流量异常告警等功能；支持向主、备分析服务器同时发送日志，防止统计信息丢失。能够提供实时的网络监控功能和全网范围内的流量模式，并提供预先故障检测、高效故障排除和快速问题解决功能，提供安全监控等应用和分析，帮助用户及时优化网络结构、调整资源部署。（6） 具备完善的安全保护机制NGFW新一代防火墙业务处理板，在提供传统防火墙、身份认证、Anti-DDoS等基础防御功能外，同时支持IPS、反垃圾邮件、Web安全、应用控制等专业安全功能。提供完善的NAC解决方案，支持MAC地址认证、Portal认证、802.1x认证、DHCP Snooping触发认证多种认证方式，有效应对哑终端接入、移动设备接入和集中式IP地址分配等多种接入方式的安全挑战，确保企业网络安全。提供2级CPU保护机制，支持1K CPU硬件保护队列，可实现数据和控制的分离处理，防止拒绝服务攻击、非法接入以及控制平面过载等安全威胁，提供业界领先的一体化安全解决方案。4.4.3汇聚层设备的选择汇聚层的设备作为承上启下的作用，在网络中起到至关重要的作用。在吉林动画学院的网络设计中，汇聚层设备作为网络中间设备。在网络数据高峰时，提供高速的数据转发，和提供高质量的网络应用。在本次的设计中，网络的汇聚层交换机采用华为的S5700-28C-EI-24S。该交换机属于S5700-EI增强型千兆以太网交换机系列，该系列交换机是华为公司自主研发的千兆以太网交换机。该交换机具有灵活的千兆接入以及万兆的上行端口。且该交换机具有管理简单，应用范围广等特点。广泛应用于校园园区接入、汇聚，数据中心等多种应用场景。图 4.4-2 汇聚交换机华为S5700-28C-EI-24S具有以下特性和优势: (1)丰富的端口组合S5700-EI支持多种上行扩展插卡，提供高密度的GE/10GE上行接口。其中S5710-EI系列具有4 个固定10GE SFP+端口，通过上行扩展插卡可实现64GE410GE，48GE810GE，或56GE610GE等不同端口组合，充分满足吉林动画学院对带宽的实际需求，减少以后升级维护的费用。（2） 灵活的组网吉林动画学院，具有多座教学楼和学生公寓。并且还有图书馆等教辅类设施。因此，需要灵活的组网方式。华为的S5700-EI交换机正符合该要求。5700-EI不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP 智能以太保护技术和业界最新的以太环网标准ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。ERPS是ITU-T发布的G.8032标准，该标准基于传统的以太网MAC和网桥功能，实现以太环网的毫秒级快速保护倒换。且该系列交换机具有SmartLink和VRRP功能。可通过多条链路接入到多台汇聚交换机上，SmartLink/VRRP实现了链路上的备份，极大的提高了网络的可靠性。5700-EI系列交换机支持多种连接故障快速检测功能。且支持完善的以太OAM和BFD功能。（3） 多样的安全控制S5700-EI支持MAC地址认证和802.1x认证，实现用户策略（VLAN、QoS、ACL）的动态下发。支持基于端口粒度的dot1X、MAC认证和混合认证；支持基于VLANIF接口粒度的Portal认证。支持完善的DoS类防攻击、用户类防攻击。其中，DoS类防攻击主要针对交换机本身的攻击，包括SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC欺骗、DHCP request flood、改变DHCP CHADDR 值等等。通过建立和维护DHCP Snooping绑定表，对不符合绑定表项的非法报文直接丢弃。利用DHCP Snooping的信任端口特性，S5700-EI还可以保证DHCP服务器的合法性。支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。（4） 出色的网络流量分析S5710-EI支持NetStream 网络流量分析功能。作为网络流量输出器，S5710-EI 根据用户配置，实时采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。支持sFlow功能。S5700-EI按照标准定义的方式，对转发的流量按需采样，并实时地将采样流量上送到收集器，用于生成统计信息图表，为校园用户的日常维护提供了极大的方便。（5） 简单的运行维护S5700-EI支持华为Easy Operation简易运维方案，提供新入网设备Zero-Touch 安装、故障设备更换免配置、USB开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700-EI支持SNMP v1/v2c/v3、CLI（命令行）、Web网管、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。支持GVRP，实现VLAN 的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。S5700-EI还支持MUX VLAN功能，MUX VLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN 之间可以相互通信；互通型从VLAN 内的端口之间互相通信；隔离型从VLAN内的端口之间不能互相通信。4.4.4接入设备的选择在吉林动画学院的网络设计中，接入层的网络流量转发速率直接影响着网络用的体验。在本次设计中，采用百兆接入的设计方式。又因校园需部署无线网络。这就要求接入层的交换机具有控制无线的功能。所以在本次设计中采用华为的S2750-28TP-PWR-EI-AC交换机。该交换机不仅具有百兆以太网接口。还具有千兆光接口。该交换机还具有POE供电能力，也满足了校园无线的建设。图4.4-3 接入交换机该交换机还具有以下几点特性和优点：（1） 简易运维S2700支持华为Easy Operation简易运维功能。借助Easy Operation简易运维功能可以实现简易安装、简易配置、简易监控和简易故障处理，大幅降低初始安装和配置成本；提高升级效率并降低工程成本；具备友好的人机界面和Web网管，支持告警管理和可视化配置；支持故障设备更换免配置功能。改交换机采用全新ASIC交换芯片，支持无风扇设计，在减少机械故障点的同时免除凝露腐蚀和尘土侵害，能有效降低故障率。（2） 灵活的业务控制能力S2700-EI支持丰富的ACL策略控制，特别是支持基于VLAN下发ACL规则，实现VLAN内多端口的灵活控制和统一资源调度。而且还支持多种VLAN划分方式：支持基于端口、基于MAC地址、基于协议、基于网段划分VLAN，部署安全灵活。非常适合校园组网的要求。并且支持GVRP，可实现VLAN的动态分发、注册和传播VLAN属性，减少手工配置量、保证VLAN配置正确性，减少因为配置不一致而导致的网络互通问题。此外，还支持SSHv2、HWTACACS、RMON、基于端口的流量统计；支持NQA网络质量分析，有利于网络规划和优化。（3） 丰富的安全接入方式 S2700支持完备的DHCP Snooping功能，通过侦听接入用户的MAC/IP 地址、租期、VLAN ID、接口等信息，防止IP报文伪造、中间人攻击、DHCP服务器私接等常见网络安全威胁，保障网络接入安全。支持基于端口的源MAC地址学习限制功能，有效防止攻击者变换源MAC地址发动攻击而产生的泛洪。S2700支持ARP表限制学习功能，能防止ARP欺骗攻击将交换机ARP表项占满，保障合法用户正常接入。支持IP Source Check 特性，防止非法IP地址仿冒带来的DOS攻击威胁。还支持集中式MAC地址认证和802.1x 认证功能，支持IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，并支持用户策略（VLAN、ACL）的动态下发。（4） PoE特性S2700 PWR系列交换机，支持完善的PoE解决方案，用户可灵活配置PoE端口是否供电以及何时供电。可以通过配置不同功率等级的PoE电源支持PoE（Power over Ethernet）功能，即可通过网线向远端下挂设备（如IP Phone、WLAN AP、Security、Bluetooth AP等）提供-48V直流电源。作为供电方PSE（Power Sourcing Equipment）设备，支持IEEE802.3af及802.3at （PoE+）供电标准，同时兼容不符合802.3af及802.3at标准的PD（Powered Device）设备，并支持绿色PoE节电应用模式。其中802.3at单端口供电功率高达30W，方便接入更大功率的终端。（5） 高可靠性S2700支持智能堆叠 iStack功能，能够将多台交换机通过堆叠虚拟化为一台逻辑设备来管理和使用，实现多台设备的扩展。智能堆叠iStack提升交换容量、可靠性、扩展性，堆叠后的逻辑系统共用一个IP地址，统一配置管理，大大降低系统运维的成本。不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP（Rapid Ring ProtectionProtocol，快速环网保护协议）等增强型以太技术，可以实现毫秒级链路保护倒换，保证高可靠的网络质量。支持智能以太保护SEP（Smart Ethernet Protection），SEP是一种专用于以太链路层的环网协议，提供毫秒级快速业务倒换性能，保证业务的不中断。SEP协议简单可靠、倒换性能高、维护方便、拓扑灵活，可以大大方便用户进行网络的管理和规划。（6） 防雷功能 由于接入交换机放置的环境得不到很好的保障，是否具有防雷措施。这个标准在实际的环境中未必能达标。所以就得要求交换机具有防雷能力。S2700采用内置防雷的专利技术，业务端口高达6KV的防雷能力，能有效抵御感应雷击的过电压。在恶劣的应用环境下，甚至无法实现有效接地的场景，也可以大大降低设备的雷击损坏率。 4.4.5 防火墙设备的选择防火墙作为一个园区网的“守门员”，它在网络安全中的地位是举足轻重的。因此，选好一个防火墙，也是网络设计中的重要任务。在吉林动画学院的