广东交通职业技术学院校园网规划与.doc

目录前 言3一，项目概述4（一） 项目概括4（二） 项目建设目标4（三） 项目指导原则5二，网络系统设计6（一） 网络主干技术61）现有技术分析62）主干技术选择8（二） 网络拓扑设计91）设计思想92）拓扑图设计103）拓扑图分析10（三） IP规划141）IP需求142）网段划分原则143）网段划分设计与分析15（四） 网络设备选择211）交换机212）路由器243）其他网络设备25（五） 网络布线261）综合布线系统设计262) 综合布线拓扑图273）设计原则294) 布线系统标准295）布线产品选择296）A栋综合布线系统设计目标307）垂直布线系统设计及分析318）水平布线系统设计及分析329）网络布线系统测试36三，网络应用系统平台设计41（一） 应用需求分析41（二） 网络应用服务器设计42四，网络安全规划设计45(一) 校园网安全问题45(二) 网络安全技术分析46(三) 校园网安全的解决方法50五项目设计总结52(一) 网络设备列表52(二) 工程费用列表52(三) 投资分析54(四) 项目总结57前 言当今的世界正从工业化社会向信息化社会转变。一方面，社会经济已由基于资源的经济逐渐转向基于知识的经济，人们对信息的需求越来越迫切，信息在经济的发展中起着越来越重要的作用，信息的交流成为发展经济最重要的因素。另一方面，随着计算机、网络和多媒体等信息技术的飞速发展，信息的传递越来越快捷，信息的处理能力越来越强，信息的表现形式也越来越丰富，对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。Internet及WWW应用的迅猛发展，极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域和时间的界限，为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。学校作为信息化进程中极其重要的基础环节，如何通过网络充分发挥其教育功能，已成为当今的热门话题。学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，并保证将来可扩展骨干网络节点互联带宽为10G，为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。一，项目概述（一），项目概括广东交通职业技术学院用地面积 300多亩，包括行政办公楼、图文信息楼、教学楼群、实验科研楼群，学生宿舍楼群等建筑，建筑面积超过20万平方米，是一座现代化、综合性的大学园区。本项目方案旨在通过对广东交通职业技术学院校园网作一个详细规划，帮助学校更好地建立学校、教师、家长和学生之间的交流平台，主要实现以下功能：（1）、为广东交通职业技术学院采用1000M做骨干，100M到桌面的网络接入。（2）、校园网内具有WWW服务器、FTP服务器、DNS服务器、办公OA服务器、设有基于SAN架构的磁盘阵列用于数据存储、用于提供一些教学资源及学生日常资源下载，网络管理等。（3）、学校采用基于SQL server2000 数据库做开发平台。（4）、校园网采用路由器+防火墙结构进行接入，网络互联设备(交换机、路由器、线缆、及其他设置)。（5）、所有楼宇各自划分VLAN，服务器组为一个VLAN。（6）、做好路由器与防火墙之间的安全通信工作，防止搭线窃听，IP盗用。（7）、学生宿舍不能对各行政办公室访问，可以上外网和下载校园ftp资源。（8）、网络中心设在12楼, 网络中心与各楼宇之间用光纤连接。（二），项目建设目标随着科教兴国观念不断深入人心，高等教育已成为国家科技进步、经济发展的重要支撑，“实施全面素质教育”的教育理念不断推行，高等教育的办学模式在教育的时间、地点、方式等方面均面临变革，信息化已成为最引人注目的变革趋势之一。 信息技术的应用与普及，较早地在高校得以实现，而现代信息技术正在向高校教学、科研、管理的每一个环节渗透，将改变传统的教学模式并大幅度提高教育资源的利用效率。数字化校园、网上大学已被人们熟悉，高等教育正在走向全面的信息化。 在广东交通职业技术学院应推动学校信息化基础设施建设，其最终建设目标是将学院建设成为一个信息化时代下的高水平的智能化、数字化校园，从而为我校的教育信息化打下坚实的基础。结合学校的发展目标、及其它高校调研情况和实践经验，本方案提出是广东交通职业技术学院的校园网工程总体规划的一个方案。 学院按6000名学生规模设计,校园网及信息化基础设施建设能充分体现21世纪高等学校校园建设水平，实现以下建设总体目标： 1)建设数字化新校园，为学校下属系部、教学和科研部门、管理部门、后勤部门的教学、科研、行政管理提供快捷有效的信息服务、提供良好的通信环境。 2)实现集中式数据存储，实现在网络系统上的高速互连互通，及信息资源和软硬件资源高度共享。 3)为新校园创造安全、高效、便捷的教学环境、科研环境和生活环境。 4)把数字化校园建设作为教育信息化过程的一个步骤，为促进我校实现跨越式发展作出贡献（三）， 项目指导原则实用性和经济性结合日益进步的科技新技术和校园的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障学校的经济效益。坚持经济性原则，力争用最少的钱办更多的事，以获得最大的效益。 先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。可扩展性和可管理性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。二，网络系统设计（一）网络主干技术1）现有技术分析传统的网络技术通常采用共享访问链路的方式进行操作，即网络上所有站点共享一条公共的通信通道；在多个站点同时请求发送数据而导致冲突时，遵循 CSMA/CD(多路载波侦听/冲突检测)协议。传统的网络技术存在着一定的局限性，限制了计算机能力的发挥。由此，产生了多种先进的网络技术提高网络性能，以交换以太网、快速以太网、千兆以太网以及ATM技术。 交换以太网技术交换以太网是新近发展起来的先进网络技术。它在保证与以太网协议兼容的前提下，提高网络利用率，减少网络资源争夺造成的冲突，使网络性能大幅度提高，以满足各类数据信息传输的要求。交换以太网从产生发展到今天在技术上分为两种：静态交换和动态交换。静态交换：将网络划分为多个网段，网络管理员可以通过网管平台分配各个网段的负载，即网络管理员可以只利用鼠标就可将工作站从资源争夺紧张的网段移到其它冲突较少的网段上。动态交换：动态交换是在高速总线上支持多对传输的同时进行。它不需人工干预实时地将独占带宽分配给一对节点；而其它节点间也可同时进行数据传输。动态交换在总线内部改变了以太网的介质访问机制，使得网上的数据传输以独占的10Mbps进行，就好象在两个有数据传输的节点之间有独立的传输电缆一样，使网络效率大大提高。动态交换代表了当今交换技术发展的方向。 快速以太网技术快速以太网实际上是10Mbps以太网的100Mbps版本，所以它的运行速度要比10Mbps以太网快十倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受，它可以应用在共享式和主干环境下，提供高带宽的共享式网络或主干连接，同时也可以应用在交换式环境下，提供优异的服务质量(QOS)。 千兆以太网技术千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。IEEE已批准千兆位以太网工程IEEE 802E Task Force。千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。最初的以太网规范由分组格式定义，且支持CSMD/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目，千兆位以太网将使用所有这些规范。总之，千兆位以太网和管理员以前使用和了解的以太网相同，所不同的仅仅是比快速以太网快十倍与当前的高带宽需求应用程序相协调的额外特性，而且和日益增强的服务器和台式计算机的功能相匹配。 ATM技术ATM是在70年代末、80年代初的宽带ISDN基础上发展起来的，是一种与在今天市场上流行的所有其它LAN技术大相径庭的新技术。ATM使用定长的53字节的信元交换，按不同的速率传输数据、图像、语音，由此对连网作了本质上的修改，从根本上解决了传统连网技术所存在的问题。但是，作为一种新兴的联网技术，ATM仍然存在着许多问题。首先，也就是用户最为关注的价格问题，同样速率的ATM网络设备，其价格要远远超出以太网设备；第二，从技术上来讲，ATM存在兼容性上的问题，由于完全不同的传输机制，ATM与以太网在数据交换时需要一种称为ATM LAN仿真的技术。如果在局域网内采用这种技术，需要一定的转换时延，因此会抵消ATM技术上所带来的优越性，得不偿失。所以，目前，尤其是针对中学校园网络的环境，我们不建议采用ATM技术。2）主干技术选择根据以上对各类组网技术的分析，可以得出以下结论:适合广东交通职业技术学院有：动态IP光纤传输技术动态IP光纤传输技术DPT(Dynamic Packet Transport)。定义了一种全新的传输方法-IP优化的光学传输技术。这种技术提供了带宽使用的高效率、服务类别的丰富性以及网络的高级自愈功能，从而在现有的一些解决方案基础上，为网络营运商提供了性能价格比极好和功能极其丰富的更先进的解决方案。它吸取了POS技术的精华(可以识别SDH 帧中的K1/K2 比特从而保证快速的通道切换，可以基于原有的SDH 线路进行传输等)，而克服了成本较高的缺点。DPT 技术的关键在于提供了一种对带宽的空间复用(SRP: Spatial Reuse Protocol)机制，使多点可以共享一个光纤环、带宽可以进行动态分配。高性能价格比是DPT 技术一个比较诱人的地方。一个SRP环上的每个设备永远只需要一对SRP端口(而点对点网状网中，每节点需N2个端口)，从而使网络扩容时不再需要增加端口，大大降低了网络成本。千兆以太网技术千兆以太网技术(GE)。单路最高传输速率为1Gbps，与以太网技术、快速以太网技术向下兼容。在对带宽需求比较高的情况下，可以若干路快速以太网捆绑起来形成Fast EtherChannel，也可以把若干路千兆以太网捆绑起来形成Gigabit EtherChannel，所捆绑的通道最高的双向传输速率可以达到16G bps。十千兆以太网的标准有望于明年出台，主流厂家相关产品的十千兆以太接口将于明年提供，将来把若干路十千兆以太进行捆绑以后可以提供双向数万兆的带宽。千兆以太网是网络界公认的技术发展方向之一，它是对成功的10Mbps和100MbpsIEEE802.3以太网标准的扩展，仍然沿用以太网IEEE802.3帧格式，全双工操作和流控制方法。在半双工模式下，千兆以太网使用同样的CSMA/CD访问方法来解决媒体的通信竞争问题，并使用由IEEE802.3小组定义的同样的管理对象。概括起来，千兆以太网的优点在于：网络技术可靠，易于管理，具有可伸缩性，且它相对于ATM的价格水平要低得多；缺点为部分标准不统一。千兆以太网能与桌面的以太网和快速以太网无缝衔接，因为他们采用的协议是相同的。ATM网络与以太网共存时，需在帧和信元之间进行转换。在企业园区网，90的应用都是基于以太网或快速以太网的，千兆以太网以其从以太网及快速以太网升级方便、易管理和低廉的价格使ATM举步维艰，ATM的传统优势如传输多媒体和传输的距离长也日渐逊色。千兆以太网支持资源预留协议（RSVP）、IEEE802.3、IEEE802.1Q、IPPrecedence、独立组播路由协议（PIM）、国际互联网成组管理协议（IGMP）等，这就使得千兆以太网传输多媒体成为可能，已有厂家的千兆以太网产品传输距离超过100公里。因此建议，主要传输数据的情况下，应选择千兆以太网作主干技术。（二）网络拓扑设计1）、设计思想本方案采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。 优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。2）、拓扑图设计3）、拓扑图分析网络架构基于目前学校规模及发展的角度考虑，骨干网络采用单核心双引擎或双核心单引擎的拓扑结构，保证核心的稳定；在12栋网管中心采用万兆的三层汇聚设备，各楼群汇聚采用千兆连接接入交换机；服务器千兆接入到核心交换机上；百兆到桌面；为了安全和以后扩展的需要，所以采用RG-WALL 160防火墙，并将校内的对外服务器与防火墙的DMZ区相连，保证良好的安全性；防火墙双百兆连接核心设备和Internet；出于管理和安全方面角度考虑，在全网可采用IP+MAC绑定方式，全网分布式采用ACL，并按照部门划分VLAN，划分相应的权限，保证学生宿舍区对办公网没有访问权限，只能访问校内服务器及外网；IP分配：在办公区采用静态IP划分，在学生区及移动性较大的办公区采用DHCP动态获得IP地址。按照核心的架构，采用用单引擎单核心，核心和引擎之间做冗余备份。各实训楼办公楼层和宿舍楼群的汇聚设备可采用双链路连接核心设备，作链路的冗余备份，如果其中任何一条链路出现故障，所有数据会切换到另外的链路上，保证校园网的畅通。骨干层网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：A，高密度端口情况下，还能保持各端口的线速转发；B，关键模块必须冗余，如管理引擎、电源、风扇。由于校园网建设采用千兆光纤，并且应该具备高数据转换效率，因此需要考虑核心设备的数据承载能力并应该具备一定的安全机制。综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。RG-S5750P-24GT/12SFP交换机 硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP隧道等，可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信方案，双协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝地升级为下一代IPv6方案；可防御各种网络病毒的侵袭，保障所有报文的线速转发，有效保证了设备的安全性；硬件支持多层线速交换，能够识别二到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的应用流进行不同的策略管理和控制。灵活完备的安全控制具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描等. 支持DHCP snooping，可只允许信任端口的DHCP响应，防止私设DHCP Server的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；支持VRRP虚拟路由器冗余协议，有效保障网络稳定;支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。 RG-S5750P-24GT/12SFP交换机提供二到七层的智能的业务流分类、完善的服务质量（QoS）保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户接入管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入网络，保证合法用户合理地使用网络资源，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，充分保障了网络安全、网络合理化使用和运营。RG-S5750P-24GT/12SFP以高性能、高安全、多业务、易用性特性为大型网络汇聚和中型网络核心提供了IPv4/IPv6的多层交换、端到端的服务质量、灵活丰富的安全措施和基于策略的网管，最大化满足高速、安全、多业务的下一代校园网需求。在此方案中，校区网络中心采用RG-S5750P-24GT/12SFP多业务千兆核心路由交换机作为核心交换机。核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。汇聚层汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。RG-S3760-24交换机在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，并为以后升级提供了保障，并提供了丰富而完善的路由协议，以适合大型网络多种路由和多业务的需要。同时，其基于DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；并具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，强大的多应用支持能力，支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量多播服务的环境，实现网络的可扩展和多业务应用；支持VRRP虚拟路由器冗余协议，有效保障网络稳定；支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。RG-S3760-24以极高的性价比为各类型网络提供多层交换、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。特别适合企业级网络核心层、宽带社区楼栋核心层、电子政务网核心层等层次化、高流量、高安全、高管理需求的应用场合。在本方案中，采用5台RG-S3760-24分别对A栋，110栋，19、20、图书馆，24、25栋，1114栋做一个楼宇汇聚后，再接入万兆核心设备，达到了安全和高效的接入和数据交换的效果。接入层接入层网络由各栋楼交换节点和楼层信息接入点组成，接入层是各栋楼的楼层，其应该保证高流量的数据交换负载及安全保障机制，例如抑制广播风暴。RG-S1826T拥有超高速背板带宽，采用高性能交换芯片，高达9.6Gbps的背板带宽可保证高流量负载环境下，所有端口全线速无阻塞传输，满足接入层或汇聚层高流量数据转发要求，亦可直接作为小型网络的核心设备。双向地址学习，所有端口均支持双向地址学习，自动记录端口连接设备地址并存储于地址表中，有效提高地址学习刷新效率，协助用户快速连接网络。病毒广播风暴抑制，采用特殊的异常广播数据包抑制技术，实时监控并抑制端口异常流量，避免因网络病毒泛滥攻击而造成整个网络瘫痪，有效保证整网正常运行。流量控制保障数据稳定传输，支持半双工模式下的背压（Back-pressure）流量控制和全双工模式下的IEEE802.3x流量控制功能，可保障在大流量数据峰值稳定交换，而不会因过度负担而导致网络瘫痪。其强大的交换性能和高性价比的千兆接口上行能力，充分满足了用户的实现高带宽数据交换、密集型高速访问服务器群或搭建千兆骨干业务网络的需求。 各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的分层交换机提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。入口和出口因为校园网出口采用以太网，所以采用路由器 + 防火墙的方式，并且采用两台路由器做链路冗余备份，起到如下作用：防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能，并且保证安全高效的链接。防火墙使用思科ASA5520-BUN-K9，具有成熟的安全和VPN 性能，提供IPS、Anti-X 以及IPSec 和SSL VPN 技术，提供了强大的应用安全、基于用户和应用的访问控制、蠕虫和病毒防御、恶意软件防御、防网络钓鱼和防垃圾邮件、URL 阻拦和过滤，以及远程用户/ 地点连接扩展的自适应识别和防御服务架构AIM采用了一个模块化服务处理和策略框架，能在逐个流量的基础上提供特定安全或网络服务，支持高度精确的策略控制和Anti-x 保护，并简化了流量处理。无需更换平台或降低性能，即能升级现有服务和部署新服务，为扩展升级节约成本支持高度可定制的安全策略及服务，有助于防御快速发展的威胁环境降低部署和运营成本多功能设备使用户能实现配置和管理标准化，从而降低部署及日常运营成本路由器方面采用锐捷RG-R2690，其采用模块化结构设计，具有4个网络/语音模块插槽，支持种类丰富、功能齐全、高密度的网络/语音模块，可实现更多的组合应用。采用64位的微处理器技术，CPU为Motorola MPC 8241，主频达到200MHz，操作系统使用锐捷网络公司拥有自主知识产权的RGNOS，模块化结构，具有更高的处理能力和更大的接入密度，适合大中型企业、金融体系、各大公司的办事处和中型 Internet 服务供应商的模块化多服务访问平台，R2690路由器提供丰富的网络安全特性，支持哑终端接入服务器功能；提供完备的冗余备份解决方案，支持VoIP特性、支持IPv4/IPv6、IP组播协议，有丰富的QoS特性，可以为校园网络提供高性价比的三网合一解决方案。（三）IP规划1）IP需求广东交通职业技术学院有学生宿舍，教师宿舍，教学楼，实训楼，图书馆，教师办公楼共19栋楼实现校园网分布，为了保证网络通信的适用性与安全性，对整个网络进行了VLAN划分，网管可以对地理分布在不同但需求相同的用户进行统一管理。宿舍楼群教学、办公、实训楼群楼号信息点数楼号信息点数A25611019702452070925241501025350112045012220550132065014207502540850图书馆2502）网段划分原则IP地址规划根据所分配的公网IP地址和内部私网IP地址分配，地址可分为三大块，一块是Cernet分配多个C类公网IP地址，校园网的普通用户,使用内部地址，不能和国际互联网直接发生联系，学校同时还可以申请一块ChinaNet的公网IP地址，作为接入电信公网和部分关键的服务器出口备份,关键服务器拥有两个公网IP，分别跨接在Cernet和internet上。对上网用户的管理，是基于用户名、密码的代理认证WEB认证过程进行，校园网内的网络资源不需认证就可访问，但访问校外的资源就必须经过认证, 用户开机时，从DHCP服务器获得校园IP地址，并可以直接访问校园网和教育网中心交换机支持静态或动态的IP地址分配，并支持动态 IP 地址分配方式下DHCP-Relay功能，DHCP SERVER可安放在园区内部。对于固定IP地址用户，需要针对标识符（MAC地址）设定保留IP地址。为了保障信息的安全，在部门之间也实行VLAN的划分，将不同的用户的数据流进行隔离以免不合法的用户访问。为了将来网络的发展，对每个VLAN预备了备用IP地址。同时在管理机上配置DHCP服务。网络中心路由交换机采用DHCP RELAY的技术隔离用户和DHCP服务器，可以通过IP地址、MAC地址与VLAN ID绑定技术防止MAC地址、IP地址的盗用。 每栋楼分配一定数量的网段的IP地址，每栋每两百个信息点分配一个网段，少于两百个信息点的直接分配一个网段，多出的IP地址以备以后不时之需。学生宿舍楼群与教学，办公，实训楼群分开网段，学生宿舍楼群用网段；教学，办公，实训楼群用网段。3）网段划分设计与分析设备IP规划交换机设备型号RG-S5750P-24GT/12SFP设备名称IPVLAN IDF0/1RG-S3760-24/24VLAN 97F0/2RG-S3760-24/24VLAN 97F0/3RG-S3760-24/24VLAN 97F0/4RG-S3760-24/24VLAN 97F0/5RG-S3760-24/24VLAN 98F0/6DHCP服务器/24VLAN 99F0/7WEB服务器/24VLAN 99F0/8邮件服务器/24VLAN 99F0/9FTP服务器/24VLAN 99F0/10DNS服务器/24VLAN 99F0/11防火墙/30VLAN 99设备型号：RG-S3760-24上联交换机RG-S5750P-24GT/12SFP上联端口F0/1汇聚楼宇110栋设备数量1台设备IP/24default-gateway54/24端口分布IPVLANF0/19/2498F0/25/2497F0/36/2497F0/47/2497F0/58/2497F0/69/2497F0/70/2497F0/81/2497F0/92/2497F0/103/2497F0/114/2497F0/125/2497F0/136/2497F0/147/2497F0/158/2497F0/169/2497F0/170/2497F1/1TRUNK设备型号：RG-S3760-24上联交换机RG-S5750P-24GT/12SFP上联端口F0/2汇聚楼宇19栋，20栋，图书馆设备数量1台设备IP/24default-gateway54/24端口分布IPVLANF0/11/2497F0/22/2497F0/33/2497F0/44/2497F0/55/2497F0/66/2497F0/77/2497F0/88/2497F0/99/2497F0/100/2497F0/111/2497F0/122/2497F0/133/2497F0/144/2497F0/155/2497F0/166/2497F0/177/2497F1/1TRUNK设备型号：RG-S3760-24上联交换机RG-S5750P-24GT/12SFP上联端口F0/3汇聚楼宇24栋，25栋设备数量1台设备IP/24default-gateway54/24端口分布IPVLANF0/18/2497F0/29/2497F0/30/2497F0/41/2497F0/52/2497F0/63/2497F0/74/2497F0/85/2497F1/1TRUNK设备型号：RG-S3760-24上联交换机RG-S5750P-24GT/12SFP上联端口F0/4设备IP/24default-gateway54/24汇聚楼宇A栋设备数量1台端口分布IPVLANF0/16/2497F0/27/2497F0/38/2497F0/49/2497F0/50/2497F0/61/2497F0/72/2497F0/83/2497F0/94/2497F0/105/2497F0/116/2497F0/127/2497F0/138/2497F0/149/2497F1/1TRUNK设备型号：RG-S3760-24上联交换机RG-S5750P-24GT/12SFP上联端口F0/5设备IP2/24default-gateway54/24汇聚楼宇1114栋，设备数量1台端口分布IPVLANF0/12/2498F0/23/2498F0/34/2498F0/45/2498F0/56/2498F0/67/2498F0/78/2498F0/89/2498F0/90/2498F0/101/2498F0/112/2498F0/123/2498F1/1TRUNK服务器服务器服务器名IP 段对外IPVLAN IDDHCP服务器1/2464/2899WEB服务器2/2465/2899邮件服务器3/24禁止访问99FTP服务器4/24禁止访问99DNS服务器5/2468/2899路由器路由器(RG-R2690) 接口IP 地址 连接的设备S1/162/28INTERNETF1/1/30ASA5520-BUN-K9S1/163/28INTERNETF1/1/30ASA5520-BUN-K9防火墙防火墙(思科ASA5520-BUN-K9)接口IP 地址 连接的设备F0/1/30RG-R2690F0/2/30RG-S5750P-24GT/12SFPF0/3/30RG-R2690F0/4/30RG-S5750P-24GT/12SFPF0/50/24DMZ区管理IP00详细IP规划设备名称：RG-S1826T设备数量14台端口分布网段宿舍楼层/需求数量宿舍楼号F0/1-21/21第1层/1台A栋F0/1-23/21第2层/2台F0/1-12F0/1-23/21第3层/2台F0/1-12F0/1-23/21第4层/2台F0/1-12F0/1-23/21第5层/2台F0/1-12F0/1-23/21第6层/2台F0/1-12F0/1-23/21第7层/2台F0/1-12F0/1-23/21第8层/1台设备名称：RG-S1826T设备数量17台端口分布网段宿舍楼层/需求数量宿舍楼号F0/1-21/281层/1台1栋F0/1-23/2614层/1台2栋F0/1-2259层/1台F0/1-25/2613层/1台3栋F0/1-2535层/1台F0/1-25/2613层/1台4栋F0/1-2535层/1台F0/1-25/2613层/1台5栋F0/1-2535层/1台F0/1-25/2613层/1台6栋F0/1-2535层/1台F0/1-25/2613层/1台7栋F0/1-2535层/1台F0/1-25/2613层/1台8栋F0/1-2535层/1台F0/1-25/27共5层/1台9栋F0/1-25/27共5层/1台10栋设备名称：RG-S1826T设备数量17台端口分布网段宿舍楼层/需求数量宿舍楼号F0/1-24/2512层/1台19栋F0/1-2434层/1台F0/1-2456层/1台F0/1-24/2512层/1台20栋F0/1-2434层/1台F0/1-2456层/1台F0/1-20/2714层/1台图书馆F0/1-20/24第5层/10台（实训室）F0/1-20F0/1-20F0/1-20F0/1-20F0/1-20F0/1-20F0/1-20F0/1-20F0/1-20设备名称：RG-S1826T设备数量10台端口分布网段宿舍楼层/需求数量宿舍楼号F0/1-18/251层/2台24栋F0/1-17F0/1-18/252层/2台F0/1-17F0/1-18/253层/2台F0/1-17F0/1-20/2545层/2台F0/1-15F0/1-25/2613层/1台25栋F0/1-2546层/1台设备名称：RG-S1826T设备数量12台端口分布网段宿舍楼层/需求数量宿舍楼号F0/1-20/27共4层/1台11栋F0/1-20/27共4层/1台13栋F0/1-20/27共4层/1台14栋F0/1-20/2715层办公室/1台12栋F0/1-25/253层实训室/4台F0/1-25F0/1-25F0/1-25F0/1-25/254层实训室/4台F0/1-25F0/1-25F0/1-25（四）网络设备选择1）交换机设备需求RG-S5750P-24GT/12SFP，应用于网络核心层，保障高效，稳定的数据交换需要。选择分析RG-S5750P-24GT/12SFP交换机 硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP隧道等，可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信方案，双协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝地升级为下一代IPv6方案；可防御各种网络病毒的侵袭，保障所有报文的线速转发，有效保证了设备的安全性；硬件支持多层线速交换，能够识别二到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的应用流进行不同的策略管理