某校园网组网方案设计与实施论文正稿.doc

. . . .xx职业技术学院毕业设计课题名称：某校园网组网方案设计与实施指导教师： XXX 系 别： 基础教育学院 专 业： 计算机网络技术 班 级： 网络1201 姓 名： XXX 学习好帮手摘要本方案主要完成校园网络的设计与建设。论文主要介绍校园网设计的需求分析，确立建设校园网的目标，依照标准的设计原则，设计出校园网络的结构和解决方案。本校园网采用通用的分层设计方法，将校园网分为3个层次：核心层，汇聚层，访问层。建设一个高效安全的局域网联入互联网，使每台电脑都能访问互联网。本方案采用Cisco的网络设备，把校园每一栋建筑设计为一个子网，规划每个子网的IP地址，设计网络拓扑图，配置网络的交换模块，广域网接入模块，服务器模块和远程访问模块。关键词：校园网 拓扑图 远程访问 Cisco网络设备AbstractThis plan is mainlyto complete the designand construction of campusnetwork.This papermainly introducesthe design of campus networkneedsanalysis,establishthe goal of building the campus network,according to the standard of design principle,design of campus network structureand solutions.Using hierarchical designmethod of generalof thecampus network,thecampusnetwork is divided into3 levels: the core layer,convergence layerandaccess layer.Building a high security oflocal area networklinked to the Internet,so thateach computercanaccess the internet.Thisscheme usesthe Cisco network equipment,the campusevery buildingis designed asa subnet,the planning ofeach sub networkIP address,designthe network topology,switching moduleconfiguration of network,wide area network accessmodule,the servermodule and the remoteaccess module.Keywords: campus network topology remote access Cisconetwork equipment目录摘要Abstract第1章 引言背景及意义校园网建设的原则第2章 校园网需求分析管理需求网络安全需求网络环境需求第3章 校园网建设设计技术说明设计原则网络协议选择网络安全性的实现第4章 校园网方案简述设备选型网络拓扑子网划分和IP规划第5章 校园网方案具体实施办法配置核心层配置汇聚层配置访问层交换模块，广域网接入模块，服务器模块和远程访问模块结束语参考文献第一章 引言（一）背景及意义信息时代的变革与发展，带动了整个世界的深刻变革。网络、计算机技术的进步和应用软件的提高，使计算机变的越来越容易使用，它们正被广泛地使用，并迅速改变着人们的生活、学习、工作方式。在一个好的校园网里人们用计算机和网络进行工作、交流和学习，计算机改变了人的教学方式，同时也改变了人的学习方式。社会变的很快，我们必须跟上时代的步伐，因此在经济条件允许的情况下，尽快尽早的建设校园网好处将是显著的和长远的。信息技术的快速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995年中国教育和科研计算机网（Cernet）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网，才能充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、科学计算和科学研究与合作。校园网的建设与应用，极大地丰富和完善了教育资源，拓宽了学生获取知识的渠道，改善了教学效果，提高了学校的现代化管理水平，促进了教育的社会化，因此，如何进一步搞好校园网的建设，充分发挥校园网的作用，组建高性能，低成本的校园网，是各个高校正在探索和思考的问题。简单来说，对于校园网，丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。（二）校园网建设的原则校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的网络平台。我们遵循以下的原则进行网络设计：（1）稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。（2）先进性在满足用户需求的前提下，充分考虑信息社会迅猛发展的趋势，在技术上适度超前，使提出的方案将布线系统建设成先进的、现代化的信息系统。采用最先进的组网技术，选用代表当今世界潮流趋势的网络产品，才能在未来的发展中保持技术领先。（3）安全性网络的安全性是网络的一个重要的指标，网络设计从结构设计、产品选择以及网络管理上要对网络的安全性作出保证。既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括划分VLAN、路由过滤、系统安全机制、加密机制、多种数据访问权限控制等技术提升整个网络的安全性。在选材方面，高性能的防火墙等设备也是必要的选择。（4）实用性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。设备选型也不能过于超前，一定要经济实用。对于模块化的网络设备，要对模块进行有效的利用。在实现先进性、可靠性的前提下，达到功能和经济的优化设计。综合布线系统各个部分都采用高质量材料和标准化部件，并按照标准施工和严格检测，保证系统技术性能优良可靠，满足目前和今后通信需要，且在维护管理中减少维修工作，节省管理费用。第二章 需求分析一、管理需求随着网络复杂度的增加，给网络管理带来成级数增加的工作量。网络管理要求解决的问题包括：2.1虚拟局域网管理目前虚拟局域网主要基于端口划分，如果一个部门需要扩展新的接入点，扩展将改变交换机端口设置。需提供远程虚拟局域网的修改能力。2.2对网络设备管理对所有网络设备的远程配置和控制，包括网络设备的故障检测，设备自动报警。二、网络安全需求校园网网络安全主要考虑以下几点：1 各部门，系所访问网络的控制，各单位之间的互相访问。2 网络出口需建立防火墙，禁止外部用户未经许可的对内部数据的访问，或者内部用户未经许可访问内部数据。3 校园网应是开放的，不需要如政府部门的保密性；另外也应该是安全的，不应该受到恶意的攻击而导致网络无法运行。2.3网络环境需求该需求需要根据校园的占地面积、建筑面积和建筑方位分析需求。校园网建设设计技术说明第三章 设计基本原则一、校园网设计原则1 实用性原则在学校校园网的设计中，首先要考虑其实用性和易于操作性，确保使用技术成熟的网络设备和通信技术，确保使用技术成熟的网络设备和通信技术，同时要考虑对现有资源的充分利用。要针对每一个学校的网络系统的特点和各自不同的规模、不同的具体需求量体裁衣，做到投资合理，有较高的性价比，选择真正适合自身应用的网络技术。2 先进性原则由于新的应用功能不断涌现，多媒体技术不断普及，越来越多的流量不仅限于一个局部网络，而且大量穿梭于网络的边界。在考虑利用和保护现有的资源、充分发挥设备效益的前提下，校园网应具有先进的设计思想、网络结构、开发工具，并选用市场覆盖率高和技术成熟的软、硬件产品。3 开放性原则学校校园网是分期建设的，因此在总体设计中，应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及与外界信息的沟通，使相对独立的子系统易于组合调整。4 标准化原则学校校园网建设，要从经济性着眼，在完成系统目标的基础上，力争用最少的钱办最多的事，创造出最大的效益。5 可靠性原则校园网络是各种应用的统一通信平台，平均无故障时间以及故障恢复时间，要保持在一个可容忍的许可范围之内。鉴于学校校园网的重要性和特殊性，要求网络系统具有极高的可靠性，应具体网络监督和管理的能力，要充分考虑设备和线路的容错机制和冗余。6 安全性原则学校校园网中的信息，一般都有一定的保密性，因此在网络设计中，要采用子网隔离（Isolation）、应用网关(ApplicationGateway)和代理服务(ProxyService)等防火墙和手段，提供灵活可靠地安全控制措施以保证网络安全运行，防止未经授权的访问和恶意的破坏。对于校园网络，安全问题不仅来自外部网络，主要的威胁还是来自内部网络，如何有效地设计安全方案是一个很重要的问题。7 可维护性原则校园网系统分布在校园的各个角落，日常的网络维护和操作的工作量大大增加，校园网络系统需要一个可靠、便捷、功能强大的网络管理系统，来充分有效地管理和利用校园网络资源。二、网络协议选择在此校园网络设计中采用了以下标准：IEEE802.3uIEEE802.3u是100Mbit/S以太网标准。曼彻斯特编码曼彻斯特编码，常用于局域网传输。三、网络安全性的实现使用由容器管理的安全服务BASIC登录FORM登录使用由应用程序管理的安全服务应用不同的安全程序来管理整个网络。系统安全性的实现采用VLAN等技术进一步控制内部网络的安全，采用身份验证控制拨号用户的安全性，采用双机备份和冗余链接、网卡容错、数据库容错、定期备份等实现安全可靠性。第四章 校园网方案简述一、设备选型为了更好的网络安全，本方案选用思科设备进行网络搭建。4.1防火墙防火墙使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。采用CISCO ASA5525-K8为防火墙。CISCO ASA5525-K8防火墙的基本参数如表所示：4.2路由器路由器实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务。采用CISCO 2911/K9 两台路由器作冗余链路。CISCO 2911/K9路由器的基本参数如表所示：4.3交换机交换机为接入交换机的任意两个网络节点提供独享的电信号通路。采用CISCO WS-C3560X-24P-L 两台三层交换机作冗余链路。CISCO WS-C3560X-24P-L交换机的基本参数如表所示：采用多台CISCO SG200-50 为汇聚层交换机。CISCO SG200-50 交换机的基本参数如表所示：4.4网络拓扑1 将校园网连入Internet处，以及各服务器处设为核心层。2 将各交换机设为汇聚层。3 将各连入PC设为访问层。4.5子网划分和IP规划1 本设计方案需要实地考察校园建设，同时咨询校园管理者，在作具体网络划分。2 由ISP分配的IP作为校园网出口路由器IP，在出口路由器上作NAT网络地址转换技术达到私网连入公网目的。3 同时将各栋各部门作VLAN技术，分开管理，同时设置各VLAN的权限，达到安全管理目的。4 在各VLAN之间实施超网技术，节省IP地址空间，以备未来对校园网的扩充。 第五章 校园网方案具体实施办法完成校园网络的核心层，汇聚层，访问层的配置。一、配置核心层在核心层中主要配置出口路由器以及出口处冗余链路的路由器。主要配置该路由器的NAT转换技术（STP生成树协议在思科设备中默认开启）、VPN技术等。5.1VPN技术5.1.1启用IKE协商routerA(config）#cryptoisakmppolicy1建立IKE协商策略（1是策略编号1-1000，号越小，优先级越高routerA(config-isakmap)#hashmd5密钥认证的算法routerA(config-isakmap)#authenticationpre-share告诉路由使用预先共享的密钥routerA(config)#cryptoisakmpkey123456address*(123456是设置的共享钥，*是对端的IP地址）。routerB(config)#cryptoisakmppolicy1routerB(config-isakmap)#hashmd5routerB(config-isakmap)#authenticationpre-sharerouterB(config)#cryptoisakmpkey123456address*(路由B和A的配置除了这里的对端IP地址变成了*，其他都要一样的）。5.1.2配置IPSec相关参数routerA(cnfog)#cryptoipsectransform-settestah-md5-hamcesp-des(test传输模式的名称。ah-md5-hamcesp-des表示传输模式中采用的验证和加密参数）。NAT转换技术routerC(config)#ipnatinsidesourcestaticA1 A2(A1为内部IP，A2为ISP分配的IP。则本条命令完成NAT转换。）routerC(config-if)#ipnatinside（设置内部端口）routerC(config-if)#ipnatoutside（设置外部端口）5.2配置汇聚层主要配置各交换机的VLAN、链路捆绑。5.2.1链路捆绑Switch#interfaceranggi0/1-2 （将1、2号端口捆绑）Switch#switchporttrunkencapsulationdot1