计算机网络课程设计-昆明理工大学校园网设计与分析

昆明理工大学课程设计 2011年7月 课 程 设 计课程名称： 计算机网络课程设计 设计题目： 昆明理工大学校园网设计与分析 学 院： 信息与自动化学院 专 业： 计算机科学与技术 年 级： 2008级 学生姓名： 指导教师： 日 期： 2011年7月12日 教 务 处 制 课 程 设 计 任 务 书 信息工程与自动化 学院 计算机科学与技术 专业 2008 年级学生姓名： 课程设计题目： 昆明理工大学呈贡新校区校园网设计与分析 课程设计主要内容：本课程设计以昆明理工大学呈贡新校区的校园网规划和设计为背景，从校园网的背景及相关计算机网络技术入手，以系统化和工程化的思想较为详细地论述了校园网设计与实现的过程。论文首先分析了校园网的组织结构、建设目标、建设原则和设计思想。在设计思想中采用了网络经典的“核心层/汇聚层/接入层”三层模型的思想对新校区进行了分层设计，同时结构校区的实际情况对呈贡新校区进行了分区设计，将整个校区按照分区设计思想分成了四个分区。论文继而对新校区的网络进行了划分，设计出了相应的拓扑图，并根据拓扑图中的设计，综合考虑了性能，需求，价格等因素进行了相应的网络设备的选型设计。在论文的方案设计中主要考虑了校园网的布线、安全、设备、VLAN的划分、交换机及路由器的配置以及校园网服务器的选型等。在论文的最后对所设计的网络提出了性能评价的标准。 设 计 指 导 教 师 （签字）： 教学基层组织负责人（签字）： 2011 年 7 月 12 日摘 要校园网是高校的重要宣传窗口与工作平台，随着计算机技术和网络技术的不断发展，以及计算机网络对传统教学的改革和推进，校园网已经进入一个快速发展的时期。高校校园网建设成为各高校树立品牌、宣传形象、比拼实力的重要途径，同时也成为高校提高教学、科研、管理效率的重要工具。几乎所有的高校都建有自己的校园网络，但随着近几年视频点播、在线课堂、课件交流、数字校园漫游等大流量校园网应用的不断出现，各高校对校园网要求越来越高，使得应用于校园网的设计模式、技术和设备在不断的更新。怎样利用网络设备，进一步发挥各个设备的功能，给学校的教学、管理和科研带来提升，是组建校园网的一个重点。本文以昆明理工大学呈贡新校区的校园网规划和设计为背景，从校园网的背景及相关计算机网络技术入手，以系统化和工程化的思想较为详细地论述了校园网设计与实现的过程。论文首先分析了校园网的组织结构、建设目标、建设原则和设计思想。在设计思想中采用了网络经典的“核心层/汇聚层/接入层”三层模型的思想对新校区进行了分层设计，同时结构校区的实际情况对呈贡新校区进行了分区设计，将整个校区按照分区设计思想分成了四个分区。论文继而对新校区的网络进行了划分，设计出了相应的拓扑图，并根据拓扑图中的设计，综合考虑了性能，需求，价格等因素进行了相应的网络设备的选型设计。在论文的方案设计中主要考虑了校园网的布线、安全、设备、VLAN的划分、交换机及路由器的配置以及校园网服务器的选型等。在论文的最后对所设计的网络提出了性能评价的标准，由于没有进行具体的网络实施，所以没有具体的测试结果。关键词：校园网 三层交换技术 分区技术 网络设计 Abstract University campus network is an important promotional window and work platforms, along with computer technology and network technology continues to evolve, as well as computer networks and promote the reform of traditional teaching, the campus network has entered a period of rapid development. Campus Network brand into colleges and universities to promote the image, the strength of competition an important way, but also a college to improve teaching, research, management efficiency an important tool. Almost all colleges and universities have built their own campus network, but as in recent years, video on demand, online classroom, courseware exchange, and other high-volume digital campus roaming the campus network applications continue to emerge, all colleges and universities have become increasingly demanding on the campus network , making the design patterns used in the campus network, technology and equipment is constantly updated. How to use network equipment to further develop the various capabilities of the device, to the schools teaching, management and research to bring improved, is to set up a campus focus.In this paper, the new campus of Kunming Chenggong University campus network planning and design as the background, the background from the campus network and related computer network technology to start a systematic and engineering ideas are discussed in more detail the campus network design and implementation process . Paper first analyzes the organizational structure of the campus network, the goal of building, construction principles and design ideas. In the design used in the network classic core layer/ aggregation layer / access layer, the idea of three-tier model, the new campus for the hierarchical design, and structure of the actual situation on the campus of the new campus for the partition Chenggong design, partition the entire campus in accordance with design ideas into four partitions. Paper and then on the new campus network has been divided, to design the corresponding topology and topology in accordance with the design, considering the performance, demand, price and other factors the corresponding network equipment selection and design. In the paper the main consideration in the design of the campus network wiring, security, device, VLAN classification, the configuration of switches and routers, and other campus network server selection. Finally, the paper proposed the design of network performance evaluation criteria, the lack of a specific network implementation, so there is no specific test results.Keywords: campus network layer switching technology network design partitioning technology目 录摘 要2第1章 前言6第2章 需求分析72.1校园网的背景72.2校园网的组织结构72.2.1校园网络的地理分布72.2.2校园网组织结构图72.3校园网建设的目标82.3.1校园网建设总体目标82.3.2校园网建设具体目标82.4校园网建设的原则92.5校园网设计思想102.5.1校园网分层设计102.5.2校园网主干技术122.5.3校园网分区设计132.5校园网的网络系统的整体规划及拓扑图142.5.1校园网的网路规划142.5.2校园网的网络拓扑图142.5.3校园网的网络设备15第3章 方案设计173.1 布线系统的分析与设计173.1.1 布线系统的概述173.1.2 布线系统用户需求分析173.2.1安全需求分析183.2.2防火墙设计183.2.3校园网访问控制183.3网络设备需求分析193.3.1核心交换机设备选型193.3.2汇聚层设备选型223.3.3接入层设备选型233.3.4防火墙选型23第4章 工程实施254.1 布线系统的实施254.1.1布线系统的设计原则254.1.2布线注意事项264.2 交换机路由器的配置以及VLAN的划分284.2.1交换机的配置284.2.2路由器的配置294.2.3 VLAN的划分294.3 服务器与客服机端的安装和配置31第5章 网络的测试325.1 网络系统测试325.1.1网络系统测试的主要内容325.1.2对网络性能的评价32总结与体会34参考文献34第1章 前言 人类已经跨入二十一世纪，科学技术的发展日新月异，初见端倪的只是经济不仅预示着经济社会生活将发生新的巨大的变化，更预示着信息社会已经来临。信息的获取、分析、处理、发布、应用能力将作为现代人最基本的能力和文化水平的标志。以计算机技术和网络技术为主的信息技术，已经在各个领域得到广泛的应，并逐步改变着人们的工作、学习和生活方式。目前，世界各国都在积极发展信息技术教育。现在人类社会一个新的发展时期正在到来，驱动人类社会发生这次变革的核心技术或标志技术就是信息技术。在这种形式下，整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。将来，网络必然将成为和电话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。为了适应网络应用深化带来的挑战，在过去的二十年里，网络在速度和网段这两个技术方向急剧发展。在速度方面，给用户提供了更高的带宽：局域网的速度已从最初的10Mbit/s提高到1000Mbit/s，目前千兆以太网技术已得到普遍的应用。同时FDDI和ATM技术给用户带来了提高网络速度的更过选择。在网段方面也有了质的突破：已从早期的共享介质的局域网发展到目前的交换式局域网。交换式局域网技术使专用的带宽为用户所共享，极大的提高了局域网的传输效率。本课题以昆明理工大学呈贡新校区的校园网规划和设计为背景，从校园网的背景及相关计算机网络技术入手，根据网络的功能需求，结合工作实践，并考虑了目前网络的发展趋势，以系统化和工程化的思想较为详细地论述了校园网设计与实现的过程。第2章 需求分析2.1校园网的背景高等院校是信息化建设的重要基地，而校园网是高校重要的教学和科研基础设施，是衡量每个高校综合办学实力的重要指标之一，对提高办学水平，优化资源配置，提升核心竞争力等方面都起到了重要的促进作用。目前，高校校园网络已经进入一个快速发展的时期。各高等院校对校园网的要求越来越高，是的应用于校园网的设计模式、技术和设备在不断更新。高校校园网是为高校师生提供教学、科研和综合信息服务的宽带多媒体网络，为高校提供教学、管理和决策三个不同层次所需要的数据、信息和知识，因此校园网的建设水平是衡量每个高等院校综合办学实力的重要指标之一。为了进一步提高校园网信息水平，努力像数字化校园迈进，昆明理工大学在建设新校区的同时开展了校园网项目的规划、设计和建设。为了加快校园信息化建设，需要建设一个高性能的、安全可靠的校园网络，校园网建成后，要求能够实现校园内部各种信息服务功能，实现与教育网的无阻碍连通，同时提供宽带接入功能，以备主连接失效情况下的被用连接要求，能够实现校园办公自动化需求。实现各个校区、办公大楼之间能够实现信息交流。2.2校园网的组织结构2.2.1校园网络的地理分布昆明理工大学呈贡校区现有大约20000台教学、科研、办公和服务用的PC机、工作站、服务器等需要联网。网络的地理范围：教学办公大楼2栋；学生宿舍园区有3个片区，每片区7幢宿舍楼；学院办公大楼大概20栋；实验楼3栋；食堂目前4栋；图书馆等范围。以上各个片区在此次的校园网项目的设计、建设中都要将其考虑在布线的地理范围中。综合布线系统是网络建设的基础。昆明理工大学呈贡校区的综合布线系统以学生事务中心的网络机房管理中心为中心结点已经建设完成，其他各建筑物与网络机房管理中心均有弱电管道以及线路连接。因此此次校园网建设主要以网络机房管理中心作为网络的中心，连接其他的教学办公楼、实验楼、学生宿舍楼等建筑大楼，将整个校区的各建筑楼连接成完整网络。2.2.2校园网组织结构图按照昆明理工大学呈贡新校区现有的建设情况以及未来的建设发展需求，主要将校园网的布线范围划定在以下区域。其中主要包括教学区办公大楼、学生宿舍园区、学院办公大楼、图书馆等。并选取部分进行了详细的扩充，在实际的校园网接入中还应该更为详细。以下图2-1是昆明理工大学呈贡新校区的校园网组织结构图。图2-1 昆明理工大学呈贡校区校园网组织结构图2.3校园网建设的目标2.3.1校园网建设总体目标 校园的网络建设，是校园信息化建设的基础。为了进一步提高学校的科研水平和办学质量，增强学校在国内外的声誉和竞争实力，昆明理工大学呈贡新校区需要建设一个服务于本校且能与中国教育科研网(CerNET)及因特网(Internet)互联的高性能校园网。校园网建成后应能满足学校现代化教学及管理需求，实现教育现代化、提高教学水平，通过计算机网络加强学校与学校之间、校区与校区之间的资源共享。所以，校园网的建设应该达到以下总体目标： (1) 搭建一套先进、完善的宽带接入网综合布线系统，为各种应用包括数据及图像提供接入方法和配线，既满足当前的使用需要，又要考虑将来的发展需求，使系统达到配置灵活、易于管理、易于维护、易于扩充的目的。 (2) 根据相关国际和国内的布线标准进行设计、安装和测试，组成一个模块化、系统化和灵活性极高的结构化布线系统，能够连接及支持现在和将来的数据及多媒体信息应用。 (3) 满足灵活应用的要求，即任何一信息点能够连接不同的计算机终端和通信设备。(4) 有很高的抗电磁干扰特性，具有可靠性。2.3.2校园网建设具体目标 根据校园网内站点和用户的规模、主要网络应用及信息资源的特点，呈贡新校区校园网建成后应该实现以下的一些具体需求：(1) 实现教学管理网络化，完成学校教学管理信息的采集、处理、查询、统计、分析。同时，实现学校各个部门办公自动化，提高学校管理的工作效率。(2) 保证网络系统的开放性、可持续性发展性，在今后数年的网络发展中应能够便于集成视频点播、远程教学等教学功能。(3) 建成后的校园网网络系统必须安全可靠，保证教学数据的安全运行。(4) 校园网应该接入中国教育科研网(CerNET)以及因特网(Internet)，实现真正意义上的数据共享、信息共享。(5) 建成后的校园网应与莲花、新迎等老校区实现互联。确保校园信息的联通和共享。同时应发挥计算机在教学中的作用，实现教学、管理、通讯等信息服务一体化。(6) 为教师和学生提供从校外安全便捷地访问校内资源的服务。 校园网必须建成一个基于标准的结构化计算机网络；需要选择使用高品质和高性能的网络产品，选择经过认证和具有实践经验的专业系统集成商集成；力争建设成为先进实用、规范安全，以及具有良好的接入性、开放性、可扩展性和灵活性的计算机网络系统。校园网建设在保证与现有部分局域网互联互通的同时，还要兼顾网络技术未来的发展。2.4校园网建设的原则校园网体系结构的设计至关重要，体系结构的优劣直接影响了所建设的校园网的整体性能，因此，在进行此次呈贡校区校园网的结构设计时应注意一下原则：（1）先进性原则网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。要保证设计所选择的方案在技术上是先进的，保证多种设备的互操作性、兼容性和可维护性。（2）开放性原则校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口，从而为异种机、异种操作系统的互连提供便利和可能。（3）可管理性原则网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。（4）安全性原则信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。（5）灵活性选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新需要。（6）稳定性和可靠性可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。 （7）可扩展性 校园网络将会是一个不断增长的网络，包括规模、应用范围、服务内容等都将随着计算机应用的不断普及而不断增加。以为在进行校园网的网络设计上必须重视校园网络的扩展能力。具体的扩展性原则包括以下三点： 网络规模的扩展，包括网络的地理分布，用户数。 应用内容的扩展，IP主干网络将不仅仅担负数据传输的任务，包括其他视频和语音服务也会不断加入至IP网络中去，这就要求主干网络设备必须具有多种业务支持的能力。 网络容量的扩展，随着规模和应用的扩展网络的传输容量也必须能相应的增加。2.5校园网设计思想2.5.1校园网分层设计校园网是一个复杂的系统，为了便于实施和管理，减少网络中各部分的相关性，在设计时应将其按功能划分成若干层次。每个层次完成相对独立的功能，各个层次之间通过接口协议完成整个校园网的功能需求。由于昆明理工大学呈贡校区网络的规模较大而且应用比较复杂，普通的平面网络结构设计模型难以满足校区网络设计的需求，由于层次性网络设计模型的良好伸缩性、易于实现、易于排出故障、可预测性、协议支持、易于管理等特点。可充分满足校区网络的长期需求。因此，此次校园网采用交换技术或虚拟网络技术，而不是基于传统的共享介质结构的网络技术。采用经典的“三层层次模型”校园网具有三级网络结构，即核心层、汇聚层、接入层。图2-2 H3C三层模型根据这一分级模型可以设计出最佳管理的校园网。这个模型可以简化网络的管理。同时具备很好的伸缩性，支持网络规模的有序扩大。三个层次的功能如下：（1）接入层接入层的主要目标是为最终用户提供对网络的访问途径，提供了带宽共享、交换带宽、MAC层过滤、网段微分等功能。本层也可以提供访问列表的过滤等操作。接入层设计时可以采用可网络管理、可堆叠的以太网交换机作为网络的接入级交换机，以适应高端口密度的部门级大中型网络。可以通过这一层通过过滤或访问控制列表提供对用户流量的进一步控制，但是这一层的主要功能是为最终用户提供网络接入。第二次交换机在接入层将用户连接到网络，并为每个端口提供专用带宽。在校园网环境中，接入层具有如下的功能：共享或交换的带宽；第二层服务，如基于广播或MAC地址的VLAN设置和数据包过滤；接入层的主要原则是能够通过低成本、高端口密度的设备提供这些功能。（2） 汇聚层汇聚层提供基于统一策略的互联性，定义了网络的边界，可以对数据报进行复杂的运算。汇聚层内的千兆位交换机、防火墙和服务器群、网络管理终端及主干链路均可采用千兆模块进行生成数冗余链路连接。局域网内的汇聚层主要提供了地址的汇聚、部门和工作组的接入、广播域/组播传输域的定义、VLAN路由、任何媒体的转化、安全控制等功能。汇聚层是接入层和核心层之间的分界点。汇聚层也帮助定义和区分核心层。这一层定义了边界，并进行一些复杂的、消耗系统资源较大的数据包操作。接入层设备汇接到一台或者多台汇聚层设备上。汇聚层设备在接入层交换机之间提供第二层连接，同时提供第三层功能，支持路由选择和网络层服务。汇聚层保护交换区段不受网络其它部分失效的影响。例如：如果一个或若干个子网遭受了一场广播风暴，汇聚层设备可以防止该风暴扩散到核心和网络其它部分。每个区段都被保护不受其它区段失效的影响。但发生广播风暴的子网段中仍然会存在网络问题，直到引起广播风暴的设备被发现并从网络上被删除。在校园网环境中，汇聚层可以具有下面功能中的一项或多项：VLAN聚合；部门级或工作组级接入；广播域或多点广播域的定义；VLAN间路由；介质转化。安全（3） 核心层核心层的任务是为其他两层提供优化的数据传输功能。核心层由一个高速的骨干网组成，其作用是尽可能快的交换数据报。核心层不应卷入对具体的数据报的运算，否则会降低数据报的交换速度。核心层的主干交换机一般采用最快速率的连接技术在与分层骨干交换机相连时要考虑建立在生成树基础上的多链路冗余连接，以保证与骨干交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。这样当交换机之间的线路出现故障时，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作。核心层的主要目的是尽可能快地交换数据。这一层不应该进行复杂的、消耗系统资源较大的数据包操作，也不能进行减慢数据交换的处理。不应当在核心层进行诸如访问控制列表和数据包过滤之类的操作。当汇聚层上有两个或更多子网时，就需要设计核心层来连接这些子网。核心负责传输穿过校园的数据流，不进行任何处理器密集的操作。核心层所处理的数据流比其它层次要大很多，核心层应当能尽可能快地传输数据流。核心层提供以下功能：连接交换区段；到其它区块的连接；尽可能快地交换数据帧或数据包。2.5.2校园网主干技术在校园网网络的建设和扩建中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择合适的校园网络需求特点的干流网络技术，不但保证网络的高性能，还能保证网络的先进性和扩展性。目前，在局域网网络上应用最广泛的技术有交换式以太网、快速以太网、FDDI、ATM异步传送模式、千兆以太网以及最新崛起的万兆以太网技术等等。表2-1是对这几种技术的比较。表2-1 主要网络技术的比较项目快速以太网FDDIATM千兆以太网传输速率100M100M155M/622M1000M访问方式CSMA/CD，碰撞令牌环无碰撞QoS信元交换带优先级的CSMA/CD，碰撞介质类型双绞线多模光纤单模光纤双绞线多模光纤双绞线多模光纤单模光纤双绞线多模光纤单模光纤产品标准化程度高程度高实现方案接近标准实现方案接近标准价格低高中中拓扑结构星型结构双环结构星型结构星型结构 FDDI是一种共享式宽带网络，其网络协议比较复杂，安装和管理都相对困难。ATM能提供面向连接的服务，并且其服务质量QoS可以保证。但ATM的标准过于复杂，特别是通信量的管理非常复杂，而ATM的成本一直偏高，也缺乏能直接在ATM上运行的应用程序，并且价格较贵、不能轻易地从现有网络升级，几乎所有的设备都需要更新。千兆以太网提供1000Mbps的通信带宽，最大的优点在于它对现有以太网的兼容性。同10兆以太网一样，千兆以太网使用与10兆以太网相同的帧格式和帧大小以及相同的CSMACD协议。广大的以太网用户可以对现有以太网进行平滑的、无需中断升级。千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证Qos、高性价比等特点正逐渐占据主流位置。根据学校的实际需求，综合考虑主干网性能、服务质量（QoS）、易移植性、新技术的系列性及成熟性、建设费用和以后发展等几个方面的因素，校园网主干网采用10Gbps高速千兆以太网技术。为了提供可靠的网络网络服务，所建成的呈贡新校区的主干网采用VRRP实现双核心结构，所有汇聚交换机均同时与两台核心交换机连接。考虑到新校区建成后在与老校区进行连接时距离较远，敷设专用光缆投资过高。在与老校区莲花连接时可采用租用专线的方案实现双链路互联互通。DHCP服务器等供校内访问的服务器采用双机热备份，主服务器群部署在呈贡新校区学生事务中心的网络机房管理中心，备用服务器群部署在老校区莲花。这样即使出现两个校区间网络中断的情况，每个校区内的计算机业都能访问到本校区内的服务器。根据逐步实现无线网络全覆盖的需求，考虑到建设成本，无线网络与有线网络的连接采用就近接入方案，不采用在整个校区内部署无线专网的方案。但移动终端接入无线网络必须经过严格的身份认证，以保证校园网的安全。2.5.3校园网分区设计昆明理工大学呈贡新校区校园网的需求按照园区的地理位置及不同的网络应用，我们把校园网按照用户群体的不同划分为以下的分区：（1） 教学办公区教学办公区网络应用大致包括学校职能管理业务和电子教学两方面。包括学生事务管理中心和行政大楼等两栋楼，学校职能管理业务主要的办公业务面积有学校办公与决策支持系统、教务管理系统。财务管理系统、人事管理系统等。而电子教学主要体现在多媒体教学等，这部分业务流量较大，大量的数据、语音以及视频穿插在校园网内部。教学办公区网络应用对网络的需求包括：在保证校内资源信息共享的同时实现网络安全；内部网络高速交换；NAT地址转换；完善的QoS支持能力。（2） 学生宿舍区学生宿舍园区的用户群体网络应用为学生社区实现信息检索、资料查询、对外联网、丰富业余生活、资源共享、校园网信息系统的访问。网络流量为校园网内部以及Internet的访问。呈贡新校区的学生宿舍园区主要有怡园学生社区、憬园学生社区和恬园学生社区三个部分，每个社区大概分为7栋学生宿舍楼以及学生食堂等。这部分网络的需求应当包括：网络安全性要求较高，VLAN的划分；用户的管理性要求比较严格，对学生宿舍区上网的控制；NAT地址转化的需求；带宽的控制；计费需求；网络管理等。（3） 学院办公区学院办公区主要为新校区各学院的办公提供网络连接，这部分的网络对网络速率、网络流量的要求也相对的比较高，在这部分分区中，按照各学院的不同需求根据实际的需求接入Internet并进行局域网络的组建。学生办公区主要有现代教育中心（多媒体教学楼）、外国语学院（博文楼）、计算中心、信息工程与自动化学院（信自楼）等部分。这部分的网络去求包括：网络性能要求要搞，特别像计算中心等外网的接入点；对部分学院办公区需进行LAN局域网的划分，如博文楼；NAT地址转化的需求；完善党的QoS支持能力；网络管理等。（4） 图书馆新校区图书馆在网络接入中要有Internet以及内部网络的接入，这部分网络主要为在校学生提供数据查找、电子图书馆系统网络应用、用户信息管理等。这部分网络数据流量大，而且应方便管理人员的工作。对网络的需求有：完善党的QoS支持能力；带宽的控制；保证校内资源信息共享的同时实现网络安全；网络管理等。对于校园网，由于校园内的网络系统包括多个局域网子系统，涉及各类高性能服务器、以及许多应用子系统的管理，因此必须架构一个完善的网络管理体系。只有这样，才能保证在具体运行过程中，网络管理系统能够起到保证系统正常运行的作用。2.5校园网的网络系统的整体规划及拓扑图2.5.1校园网的网路规划昆明理工大学呈贡新校区对网络进行了分层、分区设计，分层设计中按照H3C三层模型原则将校园网整体结构分为核心层、汇聚层和网络层的三层结构；分区设计中包括了教学办公区、学生宿舍园区、学院办公区、图书馆四个部分。此次校园网设计采用千兆以太网作为校园网的网络总体结构。无论在高带宽、可适用性、可扩展性、高性价比、良好的网络管理和维护性等方面都是不错的选择。按照校园网的分区划分结果，根据各个分区以及分区中不同建筑、不同办公地点、用户需求的不同，在主干网络千兆以太网的基础上，可以根据实际的需求建立局域网、无线网络，在学生事务中心以及办公大楼等地点在需同时设有Internet、局域网、无线网络。此外，在千兆以太网作为主干网络的同时，根据不用的应用需求将校园网分割不同的子网。2.5.2校园网的网络拓扑图常见的拓扑结构包括星型结构、树状结构、总线型结构、环型结构、网状结构等。其中树状结构是由多个层次的星型结构连接而成。由于此次校园网选用了千兆以太网作为校园网的主干网，所以校园网的主干网应该采用星型结构。此外由于整个校园网采用了“核心层/汇聚层/接入层”的三层模型，同时将整个校园网按照“教学办公区/学生宿舍园区/学院办公区/图书馆”的分区规划。在这种分层、分区的规划下，呈贡校区校园网整个校园网应该设计为树型结构。按照上面的设计原则，设计出的网络拓扑图如图2-3所示。图2-3 呈贡新校区校园网网络拓扑图2.5.3校园网的网络设备此次昆明理工大学呈贡新校区的校园网设计中在网络设备选型时主要按照网络设计时所划分的“核心层/汇聚层/接入层”三层模型以及结合分区方案中各分区的网络设备需求进行。下面主要描述三层模型的设备选型：（1） 核心层由于数据包高速转发、全网流量的承载等特征，在网络设备选型时主要按照下面的选型依据进行：架构设计：模块化设计交换类型：多级交换（CLOS）安全性：多业务扩展（网流、FW、IPS、LB、ACG）可靠性：双电源、双主控制智能化：双机虚拟（IRF、VSS）可维护：VCT、DLDP（2） 在汇聚层网络设备选型时要充分考虑汇聚层设备的安全特性、路由特性以及灵活扩展等特点，在网络设备选型时主要按照下面的选型依据进行：架构设计：模块化设计交换类型：Crossbar（矩阵交换）安全性：安全业务模块扩展（FW、IPS、LB、ACG）可靠性：双电源、双主控制智能化：双机虚拟（IRF、VSS）可维护：VCT、DLDP（3） 接入层是网络终端设备、工作站的网络接入点，在设备选型时要按照下面的选型依据进行:接入速率：千兆接入上行带宽：万兆上行交换类型：安三层交换可靠性：双电源可扩展：智能堆叠以上只是按照三层模型的网络设备需求特点所提出的一些依据，在实际的网络设备中还需充分考虑分区方案以及实际的网络设备需求，结合经济型、可满足度等原则进行设备的选型和购买，具体的网络设备选型方案在本文“3.3网络设备需求分析”有详细的描述，在实施时按照要求进行选型。第3章 方案设计3.1 布线系统的分析与设计 3.1.1 布线系统的概述 布线系统是构成以网络为基础的应用系统的重要组成部分。布线系统是网络的基础，一个好的布线系统不但可以充分发挥网络设备的性能，它还应该能够为整个应用系统提供20年甚至更长时间的发展潜力，充分保护用户的投资。对于布线系统，目前主要存在两种模式：传统的布线模式和结构化的布线模式。传统布线系统，是指采用不同的传输媒介、对多个子系统进行独立布线。这给建筑物从设计到今后的管理都将带来一系列的弊端。结构化布线系统，指在综合考虑到一幢楼或楼群中的语音、数字、视频、图象等多种需求的基础上进行的布线系统设计。此次所采用的是结构化的布线模式，结构化的布线模式是一套开放式的布线模式，可以支持所有的数据、语音设备及各种通信协议，同时，由于结构化的布线模式充分考虑了通信技术的发展，设计时有足够的技术储备，能充分满足用户长期的需求，应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性，各种设备位置的改变，局域网的变化，不需重新布线，只要在配线间作适当的布线调整即可满足需求。3.1.2 布线系统用户需求分析网络系统的正常运行主要取决于两个方面：网络设备和网络管理。对于此次设计的校园网网络系统，采用综合布线系统能够很好的满足需求，特别是从计算机网络系统可靠运行的角度来讲，布线系统的可靠性决定了网络系统通信信道的可靠性，他是计算机网络系统可靠运行的前提，整个布线系统主要包含光纤网络和室内的综合布线系统。根据昆明理工大学新校区的联网需求，各个分区建筑之间的光纤布线较多。所以在总的原则上，需要按照结构化的布线模式的设计规范，在有的方面要根据实际的需求进行相应的变更，满足实际的业务网络需求，使得该部分布线系统能够实现结构化的布线模式的基本功能，又能结合实际情况，做到经济实用。在此次的校园网布线系统建设中我们综合考虑以下的需求。在进行综合布线时要结合一下各点需求。（1）教学办公区的综合布线采用光纤布线系统；（2）从结构化的布线模式的特点出发，在学生宿舍园区的综合布线采用在每栋楼中设立配线间，全楼布线采用集中管理；（3）每栋学院办公大楼设置配线间，对学院办公大楼布线进行集中管理。（4）在图书馆适当的采用光纤技术，同时设置配线间，管理图书馆布线。3.2安全策略的分析与设计 3.2.1安全需求分析校园网络拥有着大规模的、高速的、开放的网络环境；支撑着复杂的网上应用和业务类型；拥有着活跃的、不同使用水平的用户群体。因此，安全风险的防御问题也就变得较为严重和复杂。校园网的安全问题主要包括以下几个方面：（1）出口安全由于校园网连接到了Internet，而Internet作为一种开放的、标准的技术，面向所有用户，所有资源均通过网络共享，所使用的TCP/IP协议以及网页、Email等都包含着许多影响网络安全的因素。出口安全应主要防范黑客攻击、网络蠕虫、垃圾邮件等，应对校园网外部进入内部的连接进行分析，对校园网外部进入内部的信息进行检测和筛选。（2）内网安全校园网内部拥有大量计算机和用户，由于内部用户对网络的结构和应用模式都比较了解，特别是在校学生的好奇心和求知欲较强，所以加强内网安全也不容忽视。内网安全应主要防范内部对服务器和网络设备的攻击、病毒在内网的传播以及内部网络管理制度上的漏洞。3.2.2防火墙设计在进行校园网设计时，为了充分考虑到网络安全因素，在设计时应该加入网络安全策略。此次呈贡新校区的校园网设计我们大量的使用了防火墙，用以进行网络安全防范。在外网（如Internet、Cernet等）与核心层中心交换机直接的网络连接中（出口网络）每条线路都加入了防火墙，目的是为了很好的防范一些黑客攻击、网络蠕虫等网络危险因素的入侵。同时在汇聚层的各个汇聚交换机上都设有防火墙的网络安全防范策略。其目的在于防止来自于内网的一些攻击和传播因素等。在进行防火墙设计的同时，我们根据实际的业务需求可以在像网络管理中心等地点加上适当的入侵检测系统，作为防火墙的一种合理的补充。入侵检测技术能够帮助防火墙系统对付网络攻击，扩展了系统管理员的安全管理能力。同时还可以提高信息安全基础结构的完整性。设计入侵检测可以很好的配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。3.2.3校园网访问控制 此次校园网设计按照下面的策略进程访问和控制：（1）从校园网内网访问Internet或者Cernet时端口全开放；（2）允许从公网到非军事区的访问请求。Web服务器只开放80端口，Mail服务器只开放25和110端口；（3）禁止从公网到内部网络的访问请求，端口全关闭；（4）允许从内网访问非军事区，端口全开放；（5）允许从非军事区访问Internet或者Cernet时端口全开放；（6）禁止从非军事区访问内网，端口全关闭。3.3网络设备需求分析 此次校园网设计中按照设计规则所划分的三层交换机构和校园网的四个分区结构进行网络设备的选取，选取时根据不用的需求，综合考虑设备的性能、价格，以及校园网用户的需求。为实现校园网内的高速互联，核心层由两个核心交换机组成，两个核心层交换机上设置流量分析模块。在核心交换机与外网的连接时设置防火墙，不单独的在核心交换机上设置防火墙。汇聚层设置在校园网分区方案中的各个分区中，每个分区设置两台汇聚层交换机，同时在汇聚层交换机上安装防火墙和IPS(互联网协议群)模块。汇聚层设备不但分担了核心层设备的部分压力，同时提高了网络的安全性。接入层为每个楼的接入交换机，是直接与用户相连的设备。此次校园网的设备选型方案从网络运行的稳定性、安全性以及易于维护性出发，结合实际的网络需求和网络设备的价格而提出，以充分满足新校区的校园网业务。下面为此次校园网设备的选取方案。在设备选型中综合考虑了“2.5.3校园网网络设备”中所提出的三层模型设备选型依据，同时主要考虑了以下一些因素：（1） 符合设计需求；（2） 产品与国际标准的兼容性和与相关网络系统的互操作性；（3） 产品的易配置性、易管理性和易维护性；（4） 厂家的技术实力和服务能力；（5） 性能价格比3.3.1核心交换机设备选型通常将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。核心层是高速交换骨干具有高性能、高速数据交换、路由快速收敛、高可靠性、易扩展性等特点。此次呈贡新校区校园网设计所选用的核心层交换机设备是H3C公司提供的 S9500E交换机，核心层的路由器选择的是H3C公司的MSR 50路由器。核心层交换机位于学生事务中心的网络管理机房。 （1）H3C S9500E系列适合为用户组建多业务、可升级的校园网络核心。S9500E支持IPv4/IPv6双栈协议的协同处理，同时满足对IPv4/IPv6报文的全线速转发，满足高校下一代v6网络的需求，同时对于IPv6孤岛可以采用多种6to4隧道技术实现互通；S9500E系列继承H3C公司开放应用架构（OAA）的理念，全面支持安全、无线等多业务插卡，满足校园网络多业务的要求。（2） MSR 50路由器在硬件设计方面充分地考虑到集成综合业务的需要，采用了先进的N-Bus多总线设计方案，语音、数据、交换、安全四大业务分别经由不同的总线，由专门的协处理引擎并行完成处理，消除总线和CPU性能瓶颈，大大提高了该路由器集成的多业务部署和实施能力。可满足企业网络内部多种高质量并发业务无缝集成、完美融合。以下的表3-1，3-2分