网络集成方案

目录

确定设计目日勺.......................................2

（一）需求分析....................................2

1.网络应用需求..............................2

2.网络性能需求..............................3

3.信息点记录................................3

（二）工程论证....................................4

1.建设网络的必要性..........................4

2.可行性研究................................5

二、提出设计方案.....................................6

（-）网络原则选择................................6

（二）网络拓扑构造选择............................7

（三）建立网络分层模型............................7

（四）IP子网设计子网划分.........错误!未定义书签。

（五）完善的安全机制..............................10

（六）网络布线设计.................................13

确定设计目的

为了加紧校园信息化建设，需要建设一种高性能的、安全可靠的

校园网络，校园网建成后，规定可以实现校园内部多种信息服务功

能，实现与教育网的无阻碍连通，可以实现校园办公自动化需求。

（-）需求分析

1.网络应用需求

校园网在信息服务与应用方面应满足如下儿种方面的需求聊W

服务器，在网上提高学校主页等：

1>.服务包括校情简介、学校新闻、校报（电子报）、招生信息以

及校内电话号码电子邮件地址查询

2>,文献传播服务。考虑到师生之间共享软件，校园网应提供文

献传播服务（ftp）o文献传播服务器上寄存多种各样自由软件和驱动

程序，师生以根据自己需要随时下载并把它们安装在本机上。

3>.校园网站建设（WWW、FTP、E-mail>DNS、PROXY代理、拨入

访问流量计费等）;

4>.多媒体辅助点播教学兼远程教学：校园网规定具有数据、图

像、语音多媒体实时讯能力；并在主干网上提供足够的带宽和可保证

的服务量，满足大量顾客对带宽的基本需要，并保留一定的余量供

突发的数据传播使用，最大也许地减少网络传播时延迟。

5>.其他需求包括：校园办公管理；学校教务管理；校园通卡应

用；网络安全FIREWALL；图书管理、电子阅览室；系统应提供基本

的Web开发和信息制作的平台。

2.网络性能需求

性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、

数据传播速度、资源运用率、可靠性、性能/价格比等。

根据本工程口勺特殊性，语音点和数据点使用相似的传播介质，

即统一使用超5类4对双绞电缆，以实现语音、数据互相备份的需要;

对于网络主干，数据通信介质所有使用光纤，语音通信主干使用大

对数电缆；光缆和大对数电缆均留有余量。

3.信息点记录

校园网各楼信息（个）备注

所在位置及信息

点分布情如下：

地点

行政楼1000需要保证速度、流量和可靠性和安全性

试验楼300需要保证速度、流量

文科楼（图书馆）500需要保证速度、流量和可靠性

第一教学楼300需要保证速度、流量和可靠性

女生宿舍楼300需要保证速度、流量和可靠性

男生宿舍楼300需要保证速度、流量和可靠性

（二）工程论证

二十一世纪是信息时代，是科学高速发展的时代故作为知识传播

的重要场所一一学校也一定要实现信息化。

1.建设网络的必要性

1》.伴随各学校校园网的建设，发展对本学校教育现代化H勺建设

提出了越来越高日勺规定。

2>,教育信息量的不停增多，使学校对教育信息计算机管理和教

育信息服务的规定越来越强烈。

3>,我国各级教育研究部门、软件开发单位、教学设备供应商和

各级学校不停开发提供了多种在网络上运行的软件及多媒体系统，

并且越来越形象化、实用化，迫切需要网络环境。

4>.现代教育改革的需要。在校园网络中将计算机引入教学各个

环节，从而引起了教学措施，教学手段，教学工具的重大革新。对提

高教学质量，动我国教育现代化的发展起着不可估计的作用。

2.可行性研究

1.》政策可行性：该系统日勺建设是在遵守国家有关法律日勺基础下,

并完全按照国际、国家有关原则(如IEEE802.3z、IEEE802.lq)建

设，同步还得到了学校有关领导的大力支持，顺应国家时代的规定，

在政策上是完全可行的。

2>.技术可行性：该系统中日勺软硬件均是采用国际大厂的产品，

如、CiscoDell、Microsoft等,这些主流厂商均有着极高小J信誉、

雄厚H勺技术力量以及良好H勺后续服务。在网络技术上将采用目前流行

的并且很成熟日勺三层互换技术。极大地满足系统的安全可靠性、先

进性、可拓展性等规定。

3>.环境可行性：在大楼的建设中已经充足考虑到环境规定以及网络

布线规定，同步采用综合布线技术，这给新网络系统的实行以极好

的环境支持。

4>,成本/效益比:在该系统的建设中采用了诸多国际大厂的产品，这

使得在系统的初始投入会比较大，但使用这些大厂的产品可以获得

更大的效益，同步这些大厂的产品返修率低，以及他们具有良好的

后续服务，再加上他们雄厚的技术支持，这使得系统的维护成本较

低，综合考虑各方面原因，该系统的成本/效益比还是比较高的。

5>.经济可行性：一种系统的建立需要大量的资金，假如不充足考虑

经济上的原因，将会导致没必要时损失。但学校网络的建设是公共设

施的建设，无法量化投入产出比，但根据以往的尚有其他学校的经

验，建立该网络系统是必要的I并且是可行的。

二、提出设计方案

(-)网络原则选择

通过对比选择采用千兆以太网技术。千兆以太网是建立在以脱分

化太网原则基础之上的技术。千兆以太网包括两个原则：IEEE802.3z

与IEEE802.3ab.千兆以太网事目前使用最广泛的网络技术，它在速

度上比老式以太网快100倍，而在技术上却与以太网相兼容，同样

使用CSMA/CD和MAC协议，仍保留IEEE802.3原则规定的以太网数据

帧格式及最大，最小帧长。千兆以太网最大的长处在于它对既有以太

网的兼容性。

（二）网络拓扑构造选择

网络拓扑图

vlan900

VIANTOO

.16K.25,0/24东校区VPN

教学楼

ICK1126.v700

192.1KH.ZL0A?4

H126、1的汹CE152vlan103

.168.21.0/242.I6H.100.0/24

!92.168.10.3

*）'或也办公

图布情办公

22-16

VLAN刎

V1AN2((2

V1AN2(CIHX£126vlan103

四巩后VUN23192.16K.IIKLQ/21

VW215

S3610服务MV1AN2I6

192.168.10.251/25V1AN217

管理系g防ILN218El5*vloikiOO

网敏10・22计也1。101,168.22.0/24

部分办公

服务楣集群

图路山:a服芬器群

一光纤日交院信息工程系

一双皎线9交换机此机群冯盼红

例

2015年3月20日

网络拓扑采用树形和星型结合构造，重要用于同一楼层，由各

个房间W、J计算机间用，集线器或者互换机连接产生出J,它具有施工

简朴，扩展性高，成本低和可管理性好等长处；每个房间的计算机连

接到本层的集线器或互换机，然后每层的集线器或互换机在连接到

本楼出口的互换机或路由器，各个楼的互换机或路由器再连接到校

园网日勺通信网中，由此构成了校园网W、J拓补构造。

校园网采用树形和星型结合日勺网络拓扑构造，骨干网为1000M

速率具有良好的）可运行性、可管理性，可以满足未来发展和新技术的

应用，此外作为整个网络的互换中心，在保证高性能、无阻塞互换的

同步，还必须保证稳定可靠的运行。

（三）建立网络分层模型

VRRP（网关备份、防止网关备份）

双妇接入（实现负载分担、冗余备份）

校园网网络整体分为三个层次：关键层、汇聚层、接入现校区

内日勺高速互联，关键层由1个关键节点构成，包括教学区区域、服

务器群；汇聚层设在每栋楼上，每栋楼设置一种汇聚节点，汇聚层

为高性能“小关键”型互换机，根据各个楼的配线间的数量不一样,

可以分别采用1台或是2台汇聚层互换机进行汇聚，为了保证数据

传播和互换的效率，目前各个楼内设置三层楼内汇聚层，楼内汇

聚层设备不仅分担了关键设备的部分压力，同步提高了网络的安

全性，接入层为每个楼日勺接入互换机，是直接与顾客相连日勺设备。

（四）IP子网设计子网划分时注意使用VLAN,充足节省IP地

址，使路由互换机上可以采用聚合进行路由的合并，减少路由表的

大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区

内接入到同一汇聚层互换机的区域提议采用持续IP地址段，以便做

路由汇聚。

编号默认网关

服务器所需口勺IP地址数IP地址网段VLAN

集群和

办公楼

的IP获

取方式

为手动

分派，

其他的

均为通

过DHCP

获取。上

网方式

均采用

NAT方

式。IP

地址分

派表

网段描述

FR-10012.2.2.2—

关键2（用于拓展备份）3.3.3.3—

服务器15.5.5.5—

机房和操场1192.168.10.1/25600192.168.10.254/25

行政楼办公1192.168.21.0/24500192.168.21.254/24

第一教学楼1192.168.199.0/24900192.168.199.254/24

试验楼1192.168.23.0/24700192.168.23.254/24

图书馆1192.168.100.0/24103192.168.100.254/24

文科楼1192.168.22.0/2460054/24

（五）完善的安全机制

楼宇互换机通过内在的多种安全机制可有效防止和控制病毒传

播和网络流量袭击，控制非法顾客使用网络，保证合法顾客合理化

使用网络，如端口安全、端口隔离、ACL、端口ARP报文合法性检查、

基于数据流附带宽限速、六元素绑定等等，满足企业网加强对访问者

进行控制、限制非授权顾客通信H勺需求；在汇聚、关键互换设备设置

由硬件实现ACL,对病毒进行过滤，我们选用口勺汇聚、关键互换设备

都支持SPOH,因此在使用ACL时将不会影响整个互换机的性能。

1.硬件实现端口与MAC地址和顾客IP地址KJ绑定，严格限定

端口上顾客接入。

2.通过PrivateVLAN可以在互换机的同一VLAN中提供端口之

间日勺通讯或安全隔离，保证数据流进入有效端口，而不会被发送到

其他端口，即处理了因老式802.1QVLAN导致全网VID资源不够的

问题，同步又无需运用安全规则资源即能到达隔离不一样顾客以及

不一样组顾客之间通讯的功能，充足保护顾客隐私。

3.可实现顾客账号、MAC地址、开地址、互换机IP、互换

机端口等六大元素之间的灵活任意绑定，有效确认顾客合法性和唯

一性。

4.支持业界特有日勺IGMP源端口检查，有效杜绝非法组播源播

放和大量占用大量网络带宽，提高网络安全性

5.提供极为有效曰勺PortBlocking功能，防止端口受到其他端

口发送的广播包、多播包等报文口勺干扰，有效减轻端口负载承担，提

高端口带宽，保护顾客PC更高效安全地运行。

6.基于源1P地址控制的Telnet和Web设备访问控制，增强了

设备网管的安全性，防止黑客恶意袭击和控制设备。

7.提供加密传播SecureShell(SSH),保证管理设备信息日勺

安全性，防止黑客袭击和控制设备。

8.可灵活控制2-7层数据报文，使得任何一种顾客PC上的任

何一种应用报文通过网络都能得到有效控制，充足保障了网络的安

全和合理化使用。处理安全威胁在企业网络已经成为企业生产运行的

重要构成部分H勺今天，现代企业网络必须要有一整套从顾客接入控

制，病毒报文识别到积极克制日勺一系列安全控制手段，才能有效日勺

保证企业网络日勺稳定运行。

1.防冲击波病毒伴随蠕虫病毒等的袭击手段呈多元化发展，单

一的防护措施已经无能为力保卫校园网络安全。IDS只能根据预先定

义的方略进行检测，对新的袭击方式无能为力，或者当IDS侦测到

某终端顾客感染病毒后，只能将有关信息形成汇报告知网管人员，

等待处理。然而，此时受感染出J顾客也许已经通过网络散播到了校园

网络H勺各个角落。

2.来自网络内部的恶意或误操作袭击据有关数字显示，目前，网

络遭受的恶意袭击90%以上是来自于内部，诸如窃取他人密码等重

要信息、盗打IP电话、校园一卡通金额被盗等事件时有发生。对此,

假如仅仅倚靠被动的监测方式，就给事后追查“嫌疑人”的网管人员

制造了难以逾越的瓶颈。

3.VPN(虚拟专用网)虚拟专用网(virtualprivatenetwork)是

一种在公用网络上通过创立隧道，封装数据模拟的一种私有专用链

路。隧道起一种提供逻辑上点对点连接的作用，从隧道的一端到此外

一端支持数据身份验证和加密。由于数据自身也要进行加密，因此虽

然通过公共网络，它仍然是安全的，由于即便数据包在通过网络结

点时被拦截(如通过服务器时)但只要拦截者没有密钥。就无法查看

包的内容。从内容上来说VPN的连接重要可以分为两个部分，即隧

道的建立和数据附加密，在第2层上常见的隧道协议包括PPTP

(PointtoPointTunnelingProtocol)点对点隧道协议，尚有

L2TP(Layer2TunnelingProtocol)第二层隧道协议，L2Tp隧道可以

提供ATM和FRAMERELAY上的隧道，并且由于不依赖IP协议，它还

可以支持不止一种连接，那么一般的网络设备如路由器等大多支持

这个协议。在第三层上创立的隧道是基于IP的虚拟连接，这些连接

通过收发IP数据包实现，这个抱被封装在由(Internet

EngineeringTaskForce)指定的协议包装之内。包装使用IPsec,

IKE以及身份验证和加密措施，如MD5,DES,以及SHA。数据加密使

用时加密数据协议有MPPE,IPSEC,VPND,SSHHIPSEC可以与L2Tp一

起使用，这个时候L2Tp建立隧道，IPSEC加密数据，这种形式下IP

SEC运行于传播模式。

(六)网络布线设计

构造化综合布线一般划分为六个子系统。工作区子系统工作区子

系统，是由RJ-45跳线与信息插座所连接II勺设备构成。信息点由原则

RJ45插座构成。

信息点数量应根据工作区日勺实际功能及需求确定，并预留合适数量

的冗余。

工作区H勺终端设备（如：电话机、传真机）选用安普企业的超五

类双绞线直接与工作区内的每一种信息插座相连接，或用适配器（如

ISDN终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。

网络综合布线系统工程报价清单

网络互换机设备部分

关键层部分

序号规格型号设备设备名称数量单位品牌单价（元）

QuidwayS6506以太网

1LS-6506-AC-XG-P1台华为39,80C.00

互换机交流主-XG-POE

6,80C.00

QuidwayS6500-直流电

2LS8M4481台华为

源模块

QuidwayS6500-互换路

LS8M1SRPG38,00C.00

由模块-自带4个SFP

31华为

千兆接口-Saliencen

III384G

LS8M1FT48EQuidwayS6500-48端口14,80C.00

4百兆以太网电接口业务1台华为

板E-（RJ45）

LS8M1GT8UEQuidwayS650O8端口

5千兆以太网电接口业务1台华为19,80C.00

板EYRJ45）

QuidwayS6500-8端口

6LS8M1GP8UB1台华为18,70C.00

千兆以太网光接口、lk务

板B-(SFP,LC)

7SFP-GE-SX-MM850-A1台华为3,600.00

合计：141500.00

汇聚层部分

QuidwayS3126c-以太

网互换机主机

1LS-3126C-AC3台华为4,200.00

(220V)2410/100Base-

T2XGE/FESlot

单端口千兆以太网多

2LS-GM1UA模光接口模块1块华为1,800.00

(850nm,500m,SC)

千兆堆叠模块(1米，

专用物理接口)

3LS-ST1UA4块华为980.00

合计：6980.00

接入层部分

QuidwayS3126C-

以太网互换机主机

1

(220V),24X

LS-3126C-AC12台华为16,80C.00

10/100Base-T,2

XGE/FESlot

单端口千兆以太网多

2LS-GMWA模光接口模块4台华为1,800.00

(850nm,500m,SC)

3LS-STWA千兆堆叠模块(1米，16个华为3920.00

专用物理接口）

合计：22520.00

综合布线部分

序号规格型号单位

1TUM402EGY六类4个TCL1,380.00

2TCL35.003PAG2RJ45双位插座面板