校园网络规划设计.doc

. 分类号： 200 届本科生毕业论文题 目： 校园网络规划设计作 者 姓 名： 学 号： 系(院)、专业： 计算机科学与技术 指导教师姓名： 指导教师职称： 年月日摘 要最近几年，教学和管理不断的向着信息化、信息交流网络化、信心管理数据化数据化信息服务电子化方向发展。为了更进一步的提高教学的质量，更好的为师生服务，同时也为了保障校园信息网络的安全，有必要设计一套完备的校园网络，将学校的各主要部门，如图书馆、校办、教务处、信息中心，实训楼用计算机网络连接起来，组成信息发布、资源共享、覆盖面广的校园按网络。论文主要介绍了学院的组网，所要完成的是组网的整个过程。重点的说明了校园网的设计思想、难点技术和解决方案。关键字：需求分析、 网络安全、 拓扑图、 校园网目录1.引 言42.校园网络的需求分析52.1.校园网络的发展52.2.校园网络需求53.第二章 校园网络设计方案73.1.网络拓扑结构73.2.设备与传输介质73.3.VLAN的划分和IP分发的范围83.4.划分VLAN83.5.路由选择143.6.DHCP服务183.7.DNS服务253.8.FTP263.9.NAT324.第三章 网络安全措施354.1.包过滤防火墙设计（ACL）354.2.VPN的应用384.3.备份设计485.总结531. 引 言 在信息网络时代的今天，面对新的需求和挑战，为了学校的科研、管理、教学的技术水平，为开发和培养高层次人才建立现代化信息平台，高速多媒体校园网也就应运而生。整个高速多媒体校园网建设原则是经济高效、领先实惠。目前，众多有识之士越来越重视教育的信息化问题，一时间构架在网络环境之上校园网被媒体和计算机业界炒得沸沸扬扬，成为学校信息化建设的焦点。但由于校园网是一个较新的概念，在中国发展得还很不成熟，所以无论媒体也好，媒体计算机业界好，学校也好，对校园网的认识都存在一定的误区。 校园网络建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来，建成校园内部的Intranet系统，对外通过路由设备接入广域网，建立以校园网络为基础的行政、教学以及师生之间交互式管理系统，逐步建立学校信息管理网络，实现办公自动化。为了更好地解决这个问题，所以想通过自己的尝试组建一个理想的校园网络。 2. 校园网络的需求分析2.1. 校园网络的发展随着计算机多媒体和网络技术的不断发展与普及，校园网信息系统的建设，是非常必要的，也是非常可行的。主要表现在以下几个方面：1、当前校园网信息系统已经发展到了与国际互联、校际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，快速的发展对学校教育现代化的建设提出了越来越高的要求。 2、教育信息的不断增多,使各级各类学校、家庭和教育治理部门对教育信息、计算机治理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个关键性的因素,因此学校应该培养学生具有驾驭和把握这种技术的能力。另一方面,信息技术在作为青少年学习工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是非常多的，计算机和多媒体系统的使用有助于个人化的成长，每个学生在个人的学习道路上都可以按照自己的需求发展。 3、我国各级教育研究部门、软件开发单位、教学设备供给商和各级学校不断的开发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。 4、现代教育改革的需要。在校园网中将计算机引入教学的各个环节，从而引起了教学方法，教学手段，教学工具的重大改变。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。网络又为学校的治理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高治理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。 5、随着经济发展，我国社会各界对教育的投入不断加大；计算机技术的飞速发展，使对应产品价格不断下降；同时人们对网络的熟悉水平和经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教育信息治理和信息服务是完全可行的。2.2. 校园网络需求 构建校园网的主要硬件有：服务器、路由器、传输设备（光纤、双绞线等）、交换机、HUB以及网卡等。校园网按照主干网的组网技术可分为：交换式以太网、快速以太网、ATM、FDDI和千兆以太网。交换式以太网现在主要用于网络交换机到工作站。FDDI和ATM存在着组网成本高、带宽利用率较低等不利因素使得它们都不太适合校园网的要求。快速以太网是非常成熟的组网技术，造价低，具有较高的性能价格比，但传输速度较慢。千兆以太网传输的速度较快，范围也很广（100公里范围内），成本相对于快速以太网较高。 校园网的规模在1001000个终端左右较好，可实现每个教室都有一个终端，如足够的校园图书馆终端、教师的备课终端、学校各种治理部门的终端。假如终端数过少，校园网的资源利用率就太低；终端过多，信息的传输速度就会受到很大限制。校园网络建设的目标主要有两个：一、是与外界的资源进行共享和信息共享，如通过中教网与国内外各院校、各部、各省等相连，或通过Internet与各国相连； 二、校内的资源共享与信息交换，如校园行政管理系统、教学管理系统、各年级师生对图书馆资源的远程检索和资料阅读等等。可以和企业的网络对比，但在应用中由于教学等需要而具有特殊性，如对多媒体教学传输的需求。 因此，我们充分考虑校园网应用需求来确定解决方案。3. 第二章 校园网络设计方案3.1. 网络拓扑结构3.2. 设备与传输介质 接入层采用Cisco 2950交换机，并根据实际情况将交换机级联以扩充端口数量，采用超5类双绞线到户，使带宽可以到达100-1000M，能完成数据的处理和转发。 汇聚层采用Cisco 3550交换机，以支持三层交换，有冗余和负载均衡能力，以达到快速处理数据，进行策略和其他数据任务的处理。每条线路采用两条光纤，满足数据的高速处理和寻址，支持VLAN的转发和聚合，并且可以达到冗余和负载均衡，并且可以高速进行路由的选择和路由条目的转发。 核心层采用Cisco 4560 支持VLAN转发和聚合，端口镜像，端口绑定。可以支持多种常用的路由协议，用强大的模板，以支持以后的扩展和升级，有强大的抗攻击能力。3.3. VLAN的划分和IP分发的范围VLANIP范围用途10-54服务器群20-0财务处301-00档案室4001-50教务处50-54图书馆其它地方60-54教学楼70-54机房80-54实训楼90-54男生宿舍100-192.168.130254女生宿舍1其它的校园网络升级3.4. 划分VLAN以计算机系和图书馆为例，为了可以看到划分VLAN的效果，我们把它们放在一个网段里进行配置，考虑到把它们划在同一个域中，这样管理方便，并且安全性相对有了一个提高，所以我们把它放在域中进行配置。这里它们都在192.168.1这个网段里，我们在没有划分VLAN时我们可以相互通信下面我们来划分VLAN使它们之间可以不能相互通信首先我们在划分VTP Server上进行配置我们把它作为server ，在school这个域中，在里面划了两个vlan由于是用fa0/1和fa0/2与下面的交换机相连的，所以我们在它们上面起trunk这样在服务端的VLAN信息就划好了，下面我们在客户端上进行VLAN信息的配置此时VLAN信息就可以从服务端传到客户端了VLAN 100和VLAN 200此时传了下来，我们再把下面的PC划进VLAN这样计算机系的两台PC就被划进了VLAN 100里面，和这类似我们再把图书馆的PC划进VLAN 200里面此时计算机系就和图书馆在不同的VLAN里了，在没有路由的情况下，它们是不能相互通信的这样，VLAN就划好了。同时由于不同的VLAN之间会有路由，这样它们就可以相互通信了，这样安全性又不能得到保证了，但我们可以进行ACL的配置来保证VLAN信息的安全性。 下面我们就来进行VLAN ACL的配置，以图书馆的财务部门为例，它不想和外面通信，所以我们可以把用ACL进行隔离开，来保证网络的安全在这里我们假如图书馆的网络在192，168.1这个网段里这样我们写下access-lists 112来防止别的PING，telnet,ftp，同时也把135和139端口给关了，我们也可以来一些常见的病毒商品给屏蔽了，这里我们不多写了，可以根据实际情况来写。此时，图书馆就和外界隔离开了。3.5. 路由选择下面我们来进行路由协议的配置，由于学校是在一个中小型的网络，考虑到静态在进行扩展的时候不方便进行升级，所以我们采取动态路由中的RIP来进行路由选择，我们不考虑其它方面的配置了，在这里只进行路由配置，所以拓扑只以有路由的地方进行配置下面我们来进行路由协议的配置以后每一个都是这样，把与它相连的IP网段的路由进行广播发布。在这里我们只写两台路由条目，其它相同的。所以我们不多写了。现在，它们的路由表中已经有了对方的路由条目，此时不同的网段可以进行通信了。现在每一台路由器中都有对方的路由条目了，此时这样路由协议就配置好了，动态的路由也方便升级，当有了新的网段加入的时候，只要该路由器在自己的路由表中加上与自己相连的路由条目，这样路由就可以建立了。3.6. DHCP服务在这里我们选择用微软的server 2003来配置DHCP服务。以计算机系来说吧，假如把192.168.1.这个网段的IP分给计算机系，其中作为DHCP Server，再把和55这两人个IP给排除了，其余的可以分给客户机了下面是它的拓扑图（这是其中教学楼中计算机系的拓扑） 服务器配置在这里我们把它的默认网关指向与它相连的路由器的IP，假如与它相连的路由器的IP为，它的DNS指向公网上的DNS服务器，由于在宿州地区，用的是同一台DNS服务器，所以我们把它指向它。在这里9是作为备用的DNS服务器下面是它的配置在这里假如把到0固定分给一些人，我们可以把它给排除了这样DHCP就初步完成了，在这里我们来为它配置其它的选项假如我们想把这个IP分配给固定的一台PC，我们可以把它和MAC地址绑定下面我们来设置为DHCP客户机分配置IP地址的一些选项这样DHCP客户机获得的IP的DNS服务器的IP地址就全为刚才我们所配置的了，这样DHCP服务器就初步完成了，它的一些别的服务我们可以在用的时候给加上，下面我们来DHCP客户机上验证这样就可以获得DHCP服务器为我们分配的IP地址了，其中默认网关和DNS Server也获得了。其中它的租约为8天3.7. DNS服务由于DNS服务在校园网络内很少用到，它的解析一般由8和9两台服务器解析，因此我们可以不用配置，直接把它指向这两台服务器就可以了。3.8. FTP为了使学校可以方便的进的传输与下载，我们布置了FTP服务。为了可以方便的与公网上IP方便进行下载，我们可以配置一个公网IP，在这里我们仅用内网IP做个实验。下面我们来配置IP，其中服务器的IP为3/24，客户机的IP为/24，我们创建个帐户，用来进行远程访问下面的是FTP资源的站点地下面我们来选一个IP进行可以使远程主机进行访问，为了它的安全，我们把它的端口给修改给2121下面来选取FTP站点的路径为了安全性，我们不允许匿名访问同时也只对某些特定的IP进行授权，别的全部拒绝下面来对这个用户进行授权这样在服务器端就配置好了，下面我们在客户机上进行访问。由于我们修改了端口号，我们要加上我们刚才修改的端口号这样就可以进行访问了。如果用别的IP ，因为我们只允许这个IP访问，所以别的IP是不能够访问的。3.9. NAT 由于在内网中我们用的是私有的IP，而在公网上是不可能出现，所以我们采用NAT技术，把内网的IP转成公网上的IP，NAT不仅可以使内网IP转换成公网IP，而且可以隐藏内部的IP，同时也直到保护内部网络的作用。在这里我们假设R1是内网的路由器，R2是与公网相连的路由器在这里为了方便实验，我们做NAT的负载，即多个内网IP通过一个IP转换出去，下面我们在Router 1的内网上起多个IP，同时把它配置为内网IP （ip nat inside），我们把/24当作公网上的一IP，/24当作本校连接公网的IP然后把这个路由器的另一个接口配置为外网IP (IP NAT outside)然后我们再来配置NAT的转换规则配置了一个ACL，允许所有的内网IP被转换出去，同时把做负载，也就是允放许内部IP通过它转换出去，我们可以根据实际情况，选多个IP被转换出去，这里我们仅使用这一个。这样NAT就已经配置好了，下面我们来做测试。下面是NAT转换出去的IP由上图可以看出，我们使用, 和外网进行通信里，它们都被转换成了，这样NAT就已经完成了。4. 第三章 网络安全措施4.1. 包过滤防火墙设计（ACL） 我们把路由器能过配置ACL把它设计成包过滤防火墙来对外网不安全因素的隔离在与外网相连的路由器上进行ACL的设置，这样可以保护内网不易受到外网的攻击，从而保证内网的安全。以下是常见的病毒端口，所以我们写个ACL把它给隔离了假如图书馆的电脑不想任何外网的人可以TELNET ,FP ,PING.这样我们可以写个ACL来达到这个目的（图书馆的IP在这个网段）假如机房的机子为了方便管理，它允许管理员对它进行telnet，但是管理员的IP为/24，我们为它写个ACL（机房IP为/28）同时我们也可以基于时间的ACL，这样可以在某个特定时间段内来达到某个目的。例如，我们可以允许宿舍学生在周未达到更大的网速。4.2. VPN的应用考虑到远程办公越来越受到广泛的应用，因此我们在采用Microsoft来构建VPN网络。以计算机系来说，有的老师希望在空家里可以远程办公。所以我们在计算机系中VPN服务器上来建造这个服务。首先在VPN服务器上安装有两块网卡，一块用来连接内网，另一块用来连接外网。下面的是VPN服务器的网上配置首先我们来为客户端分配一些帐户在这里，我们仅是做实验，所以我们在没有起路由的情况下，我们把客户机的IP设为和服务器在一个网段中/24，这样它们就可以相互通信了。在有路由的情况下，我们可以把它设为不同的网段，然后在VPN服务器上启用路由和远程访问。这样，在VPN服务器上的一些配置已经初步完成了。此时我们应该对wenda-1这个用户进行远程访问授权下面我们在客户机上进行配置这样客户机就可以获得一个我们原先设定好的IP了，这时它就连入了，内部网络，此时它们可以相互通信了。这样，我们就完成了VPN的配置下面我们来进行VPN的一些安全和权限的配置下面是对拨入时间的限制拨入的加密算法这样我们还可以加入一些其它的策略来限制拨入，这里仅列举这些。4.3. 备份设计考虑到财务处级教务处资料的安全性，我们在这里进行网络的备份。我们采取Microsoft 的Server 2003中的备份工具来进行备份在Backup Server上具有很多的磁盘构成的磁盘阵列，在这里它们专用于备份，在这里我们假设它有三块磁盘，我们在这里把它做成RAID-5卷，这样就有两块磁盘专门用来存放数据，另一块用来做校验。这样安全性和系统的冗余性得到了保证在这里我们可以看到有0，1，2三块磁盘，这样就可以做RAID-5卷了我们把它指定为D盘，这样D盘中就有2*2496M的空间了，其中有2496是作为校验的这样RAID-5卷就做好了，同时我们可以采用多块磁盘来做。下面我们来做备份在我们第一次备份的时候 我们采取正常备份的方式，在以后备份的时候考虑到资料的重要性，我们采取差异备份的方式进行备份,也就是从上一次以来所有改变的资料我们都进行备份，这样虽然浪费磁盘，但是它对安生性是有很大的好处的。我们只备份C盘的东西，这样应该先进行正常备份，以后就可以选择其它的备份