毕业设计优秀范文模板.doc

自学考试专科综合作业 题目 校园网的规划与设计 系 别 计算机 专 业 计算机网络 班 级 08计网四（1）班 姓 名 指导老师 王芳 完成日期 2011年 月 指导老师评语题目： 校园网的规划与设计评语：指导教师： （签字） 时 间：目录摘要1Abstract2一、序言31.1、什么是校园局域网31.2、组建校园局域网的设计原则3二、需求分析32.1、用户需求分析32.2、网络设备需求分析42.2.1、路由器42.2.2、交换机42.2.3、防火墙42.2.4、服务器42.3、网络应用需求分析4三、网络拓扑结构设计53.1、校园网有线部分53.1.1、主干网设计63.1.2、拓扑结构设计63.2、层次化设计63.2.1、层次化设计的优点73.2.2、层次化设计网络设计73.3、网络技术的应用93.3.1、VLAN划分93.3.2、端口聚合技术103.3.3、VTP113.3.4、STP技术113.3.5、OSPF路由协议113.3.6、ACL技术123.3.7、NAT技术123.4、校园网无线部分133.5、接入Internet设计153.5.1、拨号上网方式153.5.2、ISDN专线接入153.5.3、ADSL宽带入网163.5.4、DDN专线入网163.5.5、帧中继方式入网163.5.6、局域网接入163.6、VLAN及 IP 地址规划173.6.1、IP地址合理规划的意义173.6.2、IP地址规划173.6.3、VLAN划分方案18四、网络设备配置184.1、设备命名184.2、VLAN 配置划分194.3、IP地址设置214.4、OSPF配置214.5、ACL的实现224.6、NAT的实现234.7、校园网中联通性故障解决的步骤234.7.1、检查是否问题出在交换机之间的连接上244.7.2、检查是否问题在某个交换机上24五、安全系统25六、防火墙266.1、路由包过滤27七、总 结28参考文献29摘要目前，国际互连网络( Internet) 在全球迅猛发展， 在Internet浪潮的带动下，各地区、团体、行业相继建立起自己的Intranet（局域网），使得在自身范围内实现资源共享、协同工作，同时通过相应的入口与Internet连接，以达到世界范围内的信息交流的目的。计算机的价格不断下降，计算机已经不仅仅局限于实验室，正越来越普遍地走入广大市民的家庭、走入学校的教室。校园网络的建设是学校向信息化发展的必然选择，因此计算机校园网络系统成为学校重要的现代化基础设施。其中校园局域网组建主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、网络安全，网络系统的维护等内容。但是，由于学校的网络建设还很不完善，即使是在校园内部也不能实现很大程度的资源共享，于是有了建设“校园局域网”的设想。将全校范围内的资源使用局域网连接起来，建设一个能覆盖全校主要楼宇的校园主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与广域网相连，在网上宣传自己和获取Internet网上的教育资源。形成结构合理、内外沟通的校园计算机网络系统，为学校各类人员提供充分的网络信息服务。这一工程的实施，将充分地利用信息港丰富的网络资源，极大地推动对传统教育手段的革新，是现代化的教学手段与先进网络技术的有机结合，对学生学习将起到重大的促进作用。关键词：国际互连网络、校园网 、网络拓扑结构、网络安全AbstractAt present, international interconnection network (Internet) the rapid development in the world, driven by the wave of the Internet, regional, community, industry have set up their own Intranet (LAN), making the sharing of resources within themselves and work together at the same timethrough the appropriate entrance and Internet connection, in order to achieve world-wide information exchange purposes.Declining price of computers, the computer has not only limited to the laboratory, are becoming more common to the general public into the family, into the school classroom.The construction of a school campus network to the inevitable choice for the development of information technology, so the campus computer network system as an important modern school infrastructure.Which includes a variety of campus Local Area Network LAN technology thinking, network design, network topology, cabling systems, network security, network system maintenance and so on.However, due to construction of the schools network is far from perfect, even in the campus can not be achieved within a large degree of resource sharing, so with the building campus LAN scenario.The use of school resources within the local area network linking the main building of a school building can cover the campus backbone network, the schools all PC, workstation, terminal equipment and LAN connection together, and with the wide area network connected to the Internet and promote themselvesInternet access to online educational resources.The formation of a rational structure, communication within and outside the campus computer network system for all categories of personnel to provide adequate school network information services.The implementation of this project will fully utilize the rich network resources Harbor, greatly promote the innovation of traditional means of education, is a modern teaching methods and the combination of advanced network technology, on student learning will play a major role in promoting.Keywords： internationalinterconnection network、campus network、network topology、network security一、序言1.1、什么是校园局域网校园网是在学校范围内，在一定的教育思想和理论指导下，为学校师生提供教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。校园网是一个宽带 、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、电子阅览室以及教学、考试资料库等，都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系)，也可以形成多个局域网络，并通过有线或无线方式连接起来。其次，校园网应具有教务、行政和总务管理功能。1.2、组建校园局域网的设计原则 组建校园局域网的原则有：（1）先进性原则：以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。（2）实用性：建网时应考虑利用和保护现有的资源、充分发挥设备效益（3）灵活性和可扩充性：选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。（4）稳定性和可靠性：可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。（5）可管理性原则：网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。（6）安全性原则：信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。二、需求分析2.1、用户需求分析网络在日常教学办公环境中起着至关重要的作用，校园网的运作模式会带来大量动态的网络应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求，这就要求网络有足够的主干带宽和扩展能力。除上述考虑外，还要考虑普通网络和后勤管理网必须分开，所以建成后校园网要能提供网段的划分和隔离，并能做到灵活改变配置，以适应教学办公环境的调整和变化。核心层到汇聚层节点采用千兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。数据信息点的接入用交换10/100Mbps自适应以太网端口接入，以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、资源共享、方便教师教学、OA应用和Internet访问等于一体的高可靠、高性能的校园网。2.2、网络设备需求分析2.2.1、路由器 由于校园网大量的数据都是发生在局域网内部，所以对路由器的性能要求不高。因此可以选中低端路由器，选择时要考虑端口的支持能力和包交换能力。2.2.2、交换机接入层交换机采用可网管交换机，实现对每台接入计算机的控制，实现VLAN的划分，确保网络访问安全。汇聚层交换机采用拥有千兆端口的可网管交换机实现与核心层交换机的高速连接，避免可能产生的网络瓶颈。核心层交换机采用三层交换机，实现VLAN间的线速转发，并借助访问列表控制计算机接入和网络服务，搭建高安全性和可用性网络。2.2.3、防火墙防火墙分为软件防火墙和硬件防火墙。软件防火墙一般安装在计算机上，保护及设计的安全，有病毒防护功能。这种防火墙可以有效地防止病毒在网路中的传播，另外也可以保护计算机不受攻击等硬件防火墙一般部署在局域网的出口上，是局域网与外界信息传递的一道关卡，通常基于访问控制列表进行包过滤的。2.2.4、服务器服务器是系统中至关重要的核心设备，其作用是为各类应用提供硬件运行平台。对服务器的选择不仅仅是满足当前已开展的各项业务需要，更要着眼于未来。2.3、网络应用需求分析学校主页：学校应建立独立的WWW服务器，在网上提高学校主页等服务，包括校情简介、学校新闻、校报（电子报）、招生信息以及校内电话号码和电子邮件地址查询等信息共享：有关学校的各种资料，各种信息，如图书资料，教学资料，一些最新的学校公告等可通过网络进行查询。文件传输服务：考虑到师生之间共享软件，校园网应提供文件传输服务。文件传输服务器上存放各种各样自由软件和驱动程序，师生可以根据自己需要随时下载并把它们安装在本机上。信息交流：可通过连接Internet实现与外部资讯的交流和沟通，从而获取当今世界的最新信息。办公自动化：通过运用先进的计算机技术实现办公自动化，使学校的各种行政、财务、日常办公等计算机化，提高学校的办事效率。教务管理：为学生提供成绩管理、学生信息管理、学校通知等服务。电子图书馆：为校园网内的师生提供电子图书的阅览服务。同时还应具备档案管理、学生管理、教学管理、财务管理。网络必须具备较高的性能和高度的安全性、可靠性、容错性。三、网络拓扑结构设计3.1、校园网有线部分整体设计思路流程如图3-1所示：网络中心学生宿舍教学楼教师公寓男宿（1-5）图书馆女宿（6-10）宿11和阅览室J7和图书馆J1-J6J8和机房公寓一公寓二后勤中心图：3-13.1.1、主干网设计（1）校园局域网主干采用具有第三层交换功能的千兆位以太网（Gigabit Ethernet）以满足师生的各种要求。（2）新的主干设备应能满足所有用户接入访问的要求。（3）支持IP多目广播（Multicast）与服务质量（Qos）或服务类型(CoS)，满足远程教育的需要 。（4）支持虚拟网络（VLAN）。（5）网管软件应具备对接入层交换设备进行远程可操作的能力（如在网络中心对接入交换机进行针对端口IP过滤条件的远程设置）。3.1.2、拓扑结构设计现代网络结构化布线工程中多采用星型结构，由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。在传输介质也要适合建网需要。在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠。星型结构主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的交换机，然后每层的交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构。3.2、层次化设计所谓层次化设计，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。简化交换网络设计、提高交换网络的可扩展性，在校园网内部数据交换的部署就是分层进行的。校园网数据交换设备可以划分为三个层次：接入层、汇集层、核心层。3.2.1、层次化设计的优点在校园网设计中，使用层次化模型有许多好处（1）节省成本：在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。(2)易于理解：层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。(3)易于扩展：在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。（4）易于排错：层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过。3.2.2、层次化设计网络设计网络设计的层次可如右图3-2所示：图3-2一个层次化设计的网络有三个层：核心层（用于提供站点之间的最佳数据传输）、分布层（提供基于策略的连接）、接入层（将终端用户接入网络）。每一层都为网络提供了必不可少的功能。(1)核心层：核心层将各分布层交换机互连起来进行穿越校园网骨干的高速数据交换。实现数据包高速交换。核心层应该具有如下几个特性：高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。当网络中使用路由器时，从网络中的一个终端到另一个终端经过的路由器的数目称为网络的“直径”。在一个层次化网络中，应该具有一致的网络直径。也就是说，通过网络主干从任意一个终端到另一个终端经过的路由器的数目是一样的，从网络上任一终端到主干上的服务器的距离也应该是一样的。限定网络的直径，能够提供可预见的性能，排除故障也容易一些。分布层路由器和相连接的局域网可以在不增加网络直径的前提下加入网络，因为它们不影响原有的站点的通信。在核心层中，应该采用高带宽的千兆级交换机，CISCO WS-C3560G-24PS-S型三层交换机，充当核心层设备。因为核心层是网络的枢纽部分，网络流量最大，因此需要提供高带宽。(2)汇集层：汇聚层是网络接入层和核心层的“中介”。汇集层主要功能是汇聚网络流量，链路聚合、路由聚合，信号中继，负责将访问层交换机进行汇集，还有为整个交换网络提供VLAN间的路由选择功能。在分布层中，应该采用支持三层交换和虚拟局域网的交换机CISCO WS-C3550-24-SMI型的三层交换机，以达到网络隔离和分段的目的。(3)接入层：接入层向本地网段提供用户接入。在校园网中，接入层的特征是交换式或共享带宽式局域网。在接入层中，减少同一以太网段上的用户计算机的数量能够向工作组提供高速带宽。接入层可以选择CISCO WS-C2950C-24型号的交换机交换机。网络交换机基本参数如表3-1所示：产品型号WS-C3560G-24PS-SWS-C3550-24-SMIWS-C2950C-24产品类型三层,可网管型交换机,千兆交换机,以太网交换机。三层,可网管型交换机,快速以太网交换机二层,可网管型交换机,快速以太网交换机传输方式存储转发方式存储转发方式存储转发方式背板带宽32Gbps8.8Gbps8.8Gbps包转发率38.7Mpps6.6Mpps3.9MppsFlash内存32MB32MB8MB最大DRAM内存128MB64MB16MB接口类型10/100/1000BASE-T端口,RJ4510/100Base-t,1000Base-X SFP,10/100Base-T,GBIc10/100Base-T,10/100Base-T,100BASE-FX接口数目24口24口24 口传输速率10M/100M/1000Mbps10M/100M/1000Mbps10M/100Mbps模块化插槽数422堆叠不可堆叠可堆叠可堆叠表3-13.3、网络技术的应用3.3.1、VLAN划分Vlan划分的模式有：基于MAC的VLAN；基于IP地址的VLAN；基于组播的VLAN。本方案中交换机huiju1,huiju2上应用了VLAN技术把不同的部门划分在不同的广播域，VLAN的好处主要有三个：(1)广播控制：通过将一个网络划分成多个VLAN（即多个广播域）。可以实现广播范围的控制，并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。(2) 灵活性：在学校里，由于教学人员的变更比较频繁，当把一台计算机从一个子网转移到另一个子网时，假若采用传统局域网技术的用户需要对站点的IP地址、缺省网关进行修改后才能上网；这种迁移所耗费的精力和时间相当可观的。而采用基于MAC地址VLAN技术的用户则可不作任何修改，在网上的任意位置都可上网，因为VLAN成员不是捆绑在某固定工作站上的；反过来，用户的实际位置不发生改变却变更了部门，网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。这意味着迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中，对于网络管理而言，可以轻松完成变更。方便站点的移动、增加和变化，大大提高管理动态网络的能力。减少了日常管理开销，提供了更大的配置灵活性。(3) 安全性：采用传统局域网技术的网络，只要利用一台PC装上协议分析软件，连到集线器上就可拦截该网段上的所有数据，采用基于MAC地址的VLAN技术时就不可能拦截该VLAN的数据；VLAN与VLAN间逻辑上是分开的，VLAN成员的数据包只能在同一VLAN内部传送，即使处于同一网络中，不同VLAN间也不能进行直接通信，有效的避免了广播风暴的传播；校园网中如财务管理、人事档案管理及一些不对外公开的科研数据资料库等应用系统，网络管理员可采用VLAN技术对广播域进行逻辑划分，达到限制用户非法访问的目的，从而确保重要部门的数据安全。除非设置了监听口，信息交换就不可能存在监听和插入问题，提高了网络的安全性能；对于内网，采用基于MAC地址的VLAN技术，可有效防止IP地址盗用问题。因此，通过划分VLAN可以提高网络的安全性。3.3.2、端口聚合技术端口聚合它可将多物理连接当作一个单一的逻辑连接来处理，它允许两个交换器之间通过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。这一技术的优点是以较低的成本通过捆绑多端口提高带宽，而其增加的开销只是连接用的普通五类网线和多占用的端口，它可以有效地提高子网的上行速度，从而消除网络访问中的瓶颈。另外Trunk还具有自动带宽平衡，即容错功能：即使Trunk只有一个连接存在时，仍然会工作，这无形中增加了系统的可靠性。3.3.3、VTP VTP技术：VTP协议是在交换机之间交换VLAN信息并使VLAN保持一致的协议。只运行于中继线上。中继线指trunk技术，实质就是允许多个VLAN的信息通过同一个物理连接。Trunking技术的实现过程通常是依靠标记完成。所有通过中继传输的帧都将用VLAN ID进行标记（即所有的帧将在修改后发出）。当其它交换机收到中继线传来的帧时，将读取标记，得知帧是属于哪个VLAN的，并将其发往在本机上相同的 VLAN之中。对于广播，交换机可以将其保留在适当的VLAN之中。Trunk的封装类型有：ISL、802.1q（也称作dot1q）、802.10、LANE.它们使用于不同的网络类型，如以太网、FDDI、令牌环网、ATM网络链路。VTP工作模式：(1) VTP服务器模式（默认状态）：处于服务器模式的交换机在所有的中继端口向外发送更新数据，并且接收和处理从它的中继端口接收到的VTP更新数据。可以在自己的CLI上配置VLAN。(2) VTP客户机模式：处于VTP 客户机模式的交换机在所有的中继端口向外发送更新数据，并且读取和获得从它的中继端口接收到的VTP更新数据。但不可以在自己的 CIL上配置 VLAN。(3) VTP透明模式：处于VTP透明模式的交换机无法处理从它的中继端口接收到的 VTP 更新数据。但能将从一个交换机收到的更新信息转发到管理域。 可以在本地配置VLAN。VTP可以分为不同的管理域，两个VTP1、VTP2管理域的在交换机处于透明模式时，不交换VTP更新信息。3.3.4、STP技术生成树协议最主要的应用是为了避免局域网中的网络环回，解决成环以太网网络的“广播风暴”问题，从某种意义上说是一种网络保护技术，可以消除由于失误或者意外带来的循环连接。STP也提供了为网络提供备份连接的可能，可与SDH保护配合构成以太环网的双重保护。3.3.5、OSPF路由协议OSPF路由协议：OSPF 是典型的链路状态型路由协议。它使用COST（开销）作为度量，根据拓扑表通过SPF算法获得以自己为根的到达目标的最优路径。它使用三张表：邻居表，拓扑表，路由表，通过这3张表，每个路由器都能独立的获得前往每个目标的路径，而不象距离矢量协议那样依靠邻居来发现路由。确保了路由的真实可靠。本方案中路由器与Internet 网之间用OSPF路由协议，来实现它们之间的通信。OSPF路由协议的主要特点有：(1)路由器拥有整个网络的拓扑结构信息，路由收敛快速。(2)用增量方式更新路由表，即只更新变化的路由表项，节约带宽资源。(3)支持可变长子网掩码。(4)支持CIDR以及路由聚合（Routing Summary）。(5)支持路由信息验证。OSPF路由更新过程：(1)运行OSPF的路由器从它所有启用了OSPF的接口向外发送Hello包。如果2台路由器共享某条数据链路，并能够使Hello包中所定义的某些参数协商成功，那么这2台路由器就可以成为邻居（Neighbor）。(2)邻接（Adjacency）可以想象成一条由邻居之间形成虚拟的点到点链路，每个路由器都发送链路状态宣告（link state advertisement，LSA）给它的邻居。LSA描述了所有的路由器的链路或接口信息和链路的状态信息。(3)当路由器收到从邻居发来的LSA，就把这个LSA记录在自己的链路状态数据库里（link state database，LSDB），然后拷贝该LSA，继续发送给别的邻居。(4)通过在整个区域洪泛（flood）LSA，所有的路由器将建立一致的LSDB ，当所有路由器的LSDB的信息同步完成以后，路由器就各自使用SPF（最短路径优先，Shortest Path First）算法计算到达目标地址的最短路径。(5)路由器根据SPF算法的结果构建自己的路由表 ，邻居之间交换的Hello包叫做keepalive，并且LSA每30分钟重传1次。3.3.6、ACL技术ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。本方案中在汇聚层交换机上运用ACL技术，来限制校园网内部各部门的数据流通，以提高校园网信息的安全性。3.3.7、NAT技术NAT的主要作用是为了节约全局地址的使用，多个内部地址可共享一个全局地址上网。此外，由于采用NAT的内部主机不直接使用全局地址，故在Internet不直接可见，可以在一定程度上减小被攻击的风险，增强网络的安全性。本方案中路由器上都运用了NAT技术来实现内部网络私有地址到公有地址的转换，来节省开销和增加内部用户的安全性。NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。3.4、校园网无线部分无线局域网（Wireless Local Area Network)，是指以无线信道作传输媒介的计算机局域网，是有线联网方式的重要补充和延伸，并逐渐成为计算机网络中一个至关重要的组成部分，广泛适用于需要可移动数据处理或无法进行物理传输介质布线的领域。随着校园网应用的普及和应用水平的不断提高，校园内的工作和生活与网络的关系越来越密切，而学校的网络终端资源却很有限，越来越难以满足师生的需求。无线局域网技术的日趋成熟可以为此提供更加高效灵活的解决方案，通过无线网络，可以在校园的任何地方方便地访问校园网及INTERNET，可以通过较少的投资获得空前的应用灵活性。无线局域网是指用户以电脑透过区域空间的无线网络卡(Wireless Card/PCMCIA卡)结合存取无线接入点(Access Point，AP)进行区域无线网络连结方式，用户通过无线上网账号即可上网进行网络资源利用。无线局域网将用户端接取网络的线路传输部分转变成无线传输的形式。它是利用无线通信技术在一定的局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物。它以无线多址信道作为传输媒介，提供传统的有线局域网LAN(Local Area Network)的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。 无线局域网的组成包括无线网卡和无线接入点。无线局域网利用常规的局域网(如10/100/1000M以太网)及其互联设备(路由器、交换机)构成骨干支撑网，利用无线接入点(AP)来支持移动终端(MT)的移动和漫游，配有无线网卡的台式PC机、笔记本电脑或其他设备就可以与无线网络连接。 对于客户端，无线网卡作为无线网络的接口实现与无线网络的连接。无线网卡根据接口类型的不同，主要分为三种：PCMCIA无线网卡(适用于笔记本电脑，支持热插拔)、PCI无线网卡(适用于台式机)和USB无线网卡(适用于笔记本电脑和台式机，支持热插拔)。无线接入点的作用是完成WLAN和LAN之间的桥接。WLAN工作站也可漫游(Roaming)在不同的AP之间。在实现无线局域网的组建部分我们采用了多个无线AP，无线局域网分为两层，一层是连接有线网络的无线AP，另外一层是大楼内分布的无线AP。这两层的无线AP通过内部集成的桥接功能，实现它们的无线互连。连接有线网络的这个无线AP我们最好安置在离需要组建无线局域网的大楼附近，并且中间最好没有建筑物阻挡，相隔距离也不要超过300米，这样才能让无线AP性能得到发挥，最大限度节约成本投入。而需要组建无线局域网的大楼内我们每一层楼布置了一个无线AP，以目前无线AP的性能而言，基本上能够将信号覆盖到一层楼的每一个角落，这样，一个无线局域网的基本结构就形成了。由于无线AP安置的地点一般都在高处，而且比较空旷，所以无线AP的防雷措施我们也要考虑。在大型会议室内，由于室内空间比较大，没有墙壁阻挡，在这里布置的无线AP不用像在大楼中那样用多个无线AP来实现无线网络信号的覆盖。大型会议室组建无线局域网有一个特点，在大型会议室周围一般都有有线网络的接入点，我们可使用网线实现接入点与无线AP的连接，然后将无线AP置于会议室内，就可将信号覆盖到整个会议室内。在这里我们要考虑一件事情，一个大型会议室内如果召开会议，其笔记本数量肯定不会少，而无线AP在通常情况下能够连接20多台无线接入终端，如果无线接入终端数量过多，将严重影响网络性能，为了不影响网络性能实现更多的无线接入终端接入无线局域网中，我们可在这里多增加无线AP。多个无线AP在同一个地方使用，信号覆盖肯定会重叠，造成对网络性能的影响。要解决这一问题，就必需将无线AP上的频段进行设置，无线AP一般都提供了11个频道，我们只要将会议室内的无线AP设置为各自不同的频道，就不会造成信号覆盖重叠。至于无线AP的选择，高校就要根据自己实际情况来决定了。目前市场上的无线AP主要有基于IEEE 802.11b、IEEE 802.11a和IEEE 802.11g三种协议下的产品，它们分别提供了不同的数据传输率，用户可根据实际情况来选择无线AP。当一个无线局域网组建成功后，大家最关心的还是无线局域网的安全问题。这里所说的安全不是指互联网中黑客带来的威胁，而是无线局域网内数据传输的安全，用户接入访问无线局域网的安全。无线局域网内数据是通过无线链路进行数据传输，有一些非法用户通过截获无线链路中的数据给无线局域网用户带来损失，要解决这一问题，我们就必需使用到无线AP中的WEP加密功能，这项功能能够对传输的数据进行加密，即使非法用户获得这些数据，也无法破译，所以我们组建无线局域网成功后必需将这项功能开启。用户接入访问安全是指一个无线局域网组建成功后，它的信号覆盖面积大，有些非法用户在信号覆盖范围内通过无线网卡连接到无线局域网中。要解决这个问题，必需使用到无线AP中的三项功能，MAC地址绑定，DHCP服务和认证功能。采用MAC地址绑定功能主要是因为每一块网卡只有全球唯一的一个MAC地址，通过设置MAC地址绑定功能后，其他没绑定MAC地址的终端就不能接入无线局域网；DHCP主要是为网内用户自动分配IP地址，所有有些用户就通过获取IP地址进入无线局域网中，只要将DHCP功能关闭就能杜绝这类事件的发生；目前，网络中最常用的认证方式就是802.1x端口认证技术，我们可通过这项功能限制非法用户访问无线局域网。在大部分的无线AP中，提供了一种SSID功能，这项功能主要是用来区分不同的网络，实际上这就是无线局域网的名称，一般同一厂家的无线AP都采用同一种SSID，所以我们在无线局域网组建成功后最好将SSID进行重新设置。通常情况下，无线AP都是将SSID进行广播，为了防止其他用户搜索到SSID，我们最好将这项功能关闭，不过关闭之后对性能有影响，但无线局域网的安全却得到了提高。3.5、接入Internet设计Internet接入方式主要有以下六种:拨号上网方式,使用ISDN专线入网,使用ADSL宽带入网,使用DDN专线入网,使用帧中继方式入网,局域网接入。3.5.1、拨号上网方式拨号上网方式又称为拨号IP方式，因为采用拨号上网方式，在上网之后会被动态地分配一个合法的IP地址。用拨号方式上网的投资不大，但是能使用的功能比拨号仿真终端方法联入要强得多。拨号上网就是通过电话拨号的方式接入Internet的，但是用户的电脑与接入设备连接时，该接入设备不是一般的主机，而是称为接入服务（Access Server）的设备，同时在用户电脑与接入设备之间的通信必须用专门的通信协议SLIP或PPP。拨号上网的特点：投资少，适合一般家庭及个人用户使用；速度慢，因为其受电话线及相关接入设备的硬件条件限制，一般在56K左右。3.5.2、ISDN专线接入ISDN专线接入又称为一线通、窄带综合业务数字网业务（N-ISDN）。它是在现有电话网上开发的一种集语音、数据和图像通信于一体的综合业务形式。通过ISDN专线上网的特点：方便，速度快，最高上网速度可达到128K/S。3.5.3、ADSL宽带入网ADSL即不对称数字线路技术，是一种不对称数字用户线实现宽带接入互联网的技术，其作为一种传输层的技术，利用铜线资源，在一对双绞线上提供上行640kbps、下行8Mbps的宽带，从而实现了真正意义上的宽带接入。ADSL宽带入网特点：与拨号上网或ISDN相比，减轻了电话交换机的负载，不需要拨号，属于专线上网，不需另缴电话费。3.5.4、DDN专线入网 DDN即数字数据网，是利用数字传输通道（光纤、数字微波、卫星）和数字交叉复用节点组成的数字数据传输网。可以为用户提供各种速率的高质量数字专用电路和其它新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。其主要特点： 传输质量高，信道利用率高；传输速率高，网络时延小；数据信息传输透明度高，可支持任何规程，可传输语音、数据、传真、图象等多种业务；适用于数据信息流量大的校园；网络运行管理简便，对数据终端的数据传输速率没有特殊要求。 3.5.5、帧中继方式入网帧中继是在OSI第二层上用简化的方法传送和交换数据单元的一种技术。通过帧中继入网需申请帧中继电路，配备支持TCP/IP协议的路由器，用户必须有LAN（局域网）或IP主机，同时需申请IP地址和域名。入网后用户网上的所有工作站均可享受Internet的所有服务。帧中继上网特点：通信效率高，租费低，适用于LAN之间的远程互联，传输速率在9600bps2048kbps之间。3.5.6、局域网接入局域网连接就是把用户的电脑连接到一个与Internet直接相连的局域网LAN上，并且获得一个永久属于用户电脑的IP地址。不需要Modem和电话线，但是需要有网卡才能与LAN通信。同时要求用户电脑软件的配置要求比较高，一般需要专业人员为用户的电脑进行配置，电脑中还应配有TCP/IP软件。局域网接入的特点：传输速率高，对电脑配置要求高，需要有网卡，需要安装配有TCP/IP的软件。通过对比选择使用DDN专线入网，DDN专线的特点：采用数字电路，传输质量高，信道利用率高，数据信息流量大，时延小，通信速率可根据需要选择；电路可以自动迂回，可靠性高，适用于校园网络。校园网采用DDN专线接入的方式上网，校园内上网采用NAT的方式，保证师生上网方便。3.6、VLAN及 IP 地址规划3.6.1、IP地址合理规划的意义在网络规划中，IP地址方案的设计至关重要，好的IP地址方案不仅可以减少网络负荷，还能为以后的网络扩展打下良好的基础。IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。校区IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义：（1）减少对各种资源（内存、CPU的处理能力以及网络带宽等）的需求IP地址的合理规划有利于网络中路由的汇聚，因而可以使得路由器中的路由表数目以及链路状态数据库等占用的内存减少，同时更新所占用的网络带宽也降低了；（2）有利于IP地址空间的合理使用；（3）优化业务流量的分布；（4）有利于故障诊断。3.6.2、IP地址规划根据互联网络技术发展的趋势，结合学校网络目前真实IP地址的现实情况，我们建议IP地址规划遵循如下原则来设计：（1）服务器区采用私IP地址，NAT后供人员远程访问；（2）与internet 互联设备IP地址采用真实IP地址；（3）部分内部互连采用私有IP地址；（4）面向用户的私有IP地址，由统一出口的边缘设备（路由器、防火墙）进行地址翻译。即出口路由器（防火墙）互联采用合法IP地址；公共服务器如WWW/FTP/DNS/资源服务器等均采用合法地址（或从安全角度考虑采用私有IP）；部分接入用户采用私有保留IP地址相连。这样设计，既可以充分利用已有的公网IP地址，解决了IP地址空间不足的，既可以方便的实现互通互连，而且将地址翻译（NAT）这种耗费设备资源的工作由网络边缘设备分担，提高网络数据传输整体性能。3.6.3、VLAN划分方案（1）将一个班同学的寝室划为同一个VLAN，再将一栋宿舍楼划为一个大VLAN。 理由：高校的学生通过网络交换的信息量日益增大，特别是一个班的同学，住在一个寝室的同学不一定就是一个班的，将一个班的同学划为同一个VLAN便于信息的传递。（2）将每个老师的寝室划为一个VLAN。理由：每个老师的计算机里可能有一些重要的科研资料，从安全性考虑，所以不能将所有老师的寝室划为同一个网。并且学生宿舍和教师宿舍不能互相访问。（3）将教学楼的所有教室划为一个VLAN.理由：上课的教室不固定，每个教室需要共享一些信息。（4）将实验楼划为一个大VLAN，再将每个实验室划为一个小VLAN。理由：方便同学和老师做一些教学实验，实验室会进行一些专项课题研究，一个实验室同一个VLAN安全性更高。（5）将办公楼划为一个大VLAN，再将每个部门划为一个小VLAN。理由：方便每个部门管理，鉴于每个的不同性质，更要提高安全性。（6）划分方法采用基于端口的划分。理由：高校学生的流动性大，例如换寝室，毕业等，而导致的学生的人数和班级的变动。基于端口的划分，相对来说容易设置和监控，只需要将端口配置的VLAN重新分配。四、网络设备配置4.1、设备命名为设备命名，方便区分各个设备，避免配置时因选错设备而产生的错误。在交换机和路由器上进入全局配置模式，输入hostname name例如：Switchenable/进入特权模式 Switch #configure terminal/进入全局模式 Switch(config)# hostname xiao /将switch命名为xiaoXiao(config)#4.2、VLAN 配置划分以太网VLAN ID的取值范围为11001。其中，VLAN 1为系统默认VLAN，不能被创建，也不能被删除。在基于IOS的交换机上配置VLAN，可以在两种管理模式下操作：在特权配置模式下和VLAN Database模式下创建，其中第2种模式在新型交换机上会有警告提示，并说明此模式已不被厂商推荐使用。第1种配置方法：在特权配置模式下配置VLAN步骤:(1)Switch#configure terminal 进入全局配置模式(2)Switch(config)#vlan vlan-id (输入一个VLAN号, 然后进入VLAN配置模式，可以输入一个新的VLAN号或旧的来进行修改。如本案例采用的 VLAN 1114,VLAN 2124,VLAN 3134)(3)Switch(config-vlan)#name vlan-name (输入一个VLAN名，如果没有配置VLAN名，缺省的名字是VLAN号前面用0填满