网络工程规划与实验报告

1、Xxxx计算机科学与技术学院 网络工程与规划实验报告 （ 2013 2014 学年度 第二学期 ）姓名学号专业网络工程班级一班地点宿舍教师目录校园网拓扑建设背景2校园网拓扑建设需求分析及要求4总体方案设计5总网络拓扑图的可靠性分析：9链路带宽及冗余设计9IP地址规划10内网IP规划10公网IP具体规划如下11安全方案设计12设备选型13总结14校园网拓扑建设背景随着网络建设的逐步普及，大学高校局域网络的建设是高校向高水平、研究性大学跨进的必然选择，高校校园网网络系统是一个非常庞大而复杂的系统，它不仅为高校的发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且，能够使教育、教学、科研

2、三位一体，提高教育教学质量。而校园网网络建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向，为校园网的建设提供理论依据和实践指导。高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用万兆以太网的校园网组网技术。构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字

3、图书馆等业务的开展。高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用万兆以太网的校园网组网技术。构建校园网骨干网，实现各个分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。随着信息技术的高速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年CERNET （中国教育和科研计算

4、机网）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网， 才能充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、科学计算和科学研究与合作。 校园网的建设与应用，极大地丰富和完善了教育资源，拓宽了学生获取知识的渠道，改善了教学效果，提高了学校的现代化管理水平，促进了教育的社会化，因此，如何进一步搞好校园网的建设，充分发挥校园网的作用，组建高性能，低成本的校园网，是各个高校正在探索和思考的问题。高校校园网从启动建立到现在，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。第一阶段是基础设施建设时期，时间

5、大约从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。第二阶段是应用平台建设时期，时间大约是从2000年到2005年。这期间，随着网络技术的发展，各种应用也开始出现并发展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术特别

6、是以太网技术迅猛发展，1000M以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。第三个阶段是信息资源建设时期。时间从2005年至今，乃至今后几年时间内。近两年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后，信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后，人们的工作、学习、生活、娱乐完全离不开网络，网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界，安全事件频发：冲击波、震荡

7、波、ARP攻击等等。所以，安全可信成为了高校校园网当前关注的要点。简单来说，对于校园网：丰富的应用是关键，而稳定可靠的网络是基础，完善的安全和管理手段是保障。信息时代的变革与发展，带动了整个世界的深刻变革。网络、计算机技术的进步和应用软件的提高，使计算机变的越来越容易使用，它们正被广泛地使用，并迅速改变着人们的生活、学习、工作方式。在一个好的校园网里人们用计算机和网络进行工作、交流和学习，计算机改变了人的教学方式，同时也改变了人的学习方式。社会变的很快，我们必须跟上时代的步伐，因此在经济条件允许的情况下，尽快尽早的建设校园网好处将是显著的和长远的。校园网拓扑建设需求分析及要求l 某大学具有6个

8、二级学院。位于同一城市的4个校园中，其中主校区与一个二级学院在一个园区(园区1)，另外四个二级学院俩俩位于一个园区(园区2、园区3)，而另外一个学院位于该城市的另一个园区(园区4)。l 大学向因特网发布信息并为全校提供有关信息化服务（web服务器、邮件服务器、FTP服务器等），每个学院也自行向因特网发布学院信息并负责学院自己的信息服务（web服务器、邮件服务器、电影服务器等），每个学院提供1500台PC需要接入因特网，共划分10个子网。l 大学已从中国教育科研网CERNET有关机构申请了IPv4地址块/22。l 大学校园网与因特网具有统一接口。通过防火墙，连接放置各种应用

9、服务器的非军事区部分，并经路由器与CERNET相连。l 设计该大学校园网的拓扑结构（考虑网络的可靠性），考虑关键网络设备的选型、各链路带宽与传输介质，用VISIO软件画图；l 要有冗余链路设计；l 规划该校园网的公用IP地址和内网的IP地址；l 进行安全方案设计；l 需要考虑学校未来发展需求。对应于学号的地址块分配方案总体方案设计校园网拓扑图设计想要设计拓扑图首先就要明白题目的通信要求，以及所需的布线方案，上面我们已经给出了题目。通过下图我们可以更清楚题目的意图。题目是要求我们可以进行四个园区的通信。下图简单的给出了各个园区的大致布局园区一二级学院主校区二级学院 园区二 二级学院二级学院 园区

10、三 二级学院二级学院 园区四 题目是让我们实现六个二级学院和主校区的通信，不但可以访问广域网，而且也可以相互之间通信。同时还要满足题目的安全性，冗余性，可靠性，以及方便性和ip地址的规划等要求。此图是我们的总体拓扑图，二级学院因为主机众多不在一一画出。拓扑设计严格按照需求分析的设计要求，大学校园网与因特网具有统一接口。通过防火墙，连接放置各种应用服务器的非军事区部分，并经路由器与CERNET相连。此拓扑大致采用星型拓扑，对于每一个园区来说，从万兆交换机连接到各个学院，再到各主机，兼用了树型的拓扑，方便以后我们的拓展。拓扑如下： 层次模型拓扑结构 接下来是校园网的核心层结构 下图是到某园区的网络

11、拓扑图二级学院的网络拓扑总网络拓扑图的可靠性分析：首先我们可以发现这个网络被分成四个园区，这是题目的要求，我们可以看到路由器之间形成环路，虽然这样我们浪费了一定的资源，但是可靠性却大大提高了，当我的链路出现故障或者路由器出现故障时我们还有其他的路径可以发送数据。我们知道题目给出了每个园区的大致状况而且也给出了大致的主机数和相应的网段。我们可以看到各个园区是个大类网络，每个二级园区我们还有自己的内部网络。而且，在连接外网时设置了，设置了防火墙。这样确实保证了各个园区的安全性要求，但是我们的内部网络之间的安全性并不能得以全面的保障。链路带宽及冗余设计由于大学网络规模巨大、涉及到的用户很多，如果网络

12、特别是骨干网络出现了不稳定性或者瘫痪，这都将导致很大的事件。好的冗余能使网络快速收敛，坏的冗余能使网络瘫痪的哦，因为可以形成环路，所以，一定要好好的设计。随着网络的增长，可用性变得越来越重要，你可以通过分层网络的冗余实现提高其可用性，访问层交换机连接到两个不同的分发层交换机，确保链路冗余，如果某个分发层交换机出现故障，访问层交换机可以转到另一个分发层交换机。此外，分发层交换机也连接到两个或更多核心层交换机，在核心交换机出现故障的情况下，确保链路始终可用。只有访问层不容易做到冗余，通常，每个终端设备，如PC、打印机和IP电话不能连接到多个访问交换机，因为它们往往只有一块网络接口卡，如果访问层交换

13、机出现故障，只有连接到该交换机的终端设备受到影响，网络中的其它设备可以继续正常使用网络。 考虑到信息的飞速发展，校园网主干链路带宽为千兆级，采用双核心来处理庞大的校园网访问。IP地址规划随着国家对驻地网的开放政策,驻地网的建设技术和管理模式,是每个网络运营商都实际面临的问题。宽带驻地网前期建设只是发展用户必然而初步的基础,宽带运营商在逐步转入网络建设、运营阶段的过程中,IP地址规划、分配、使用是一项重要工作,尤其是对那些大运营商,由于建设地域范围广泛,市场发展进度各不相同,前期规划、管理工作就显得更加重要。大家知道,合法IP地址资源比较紧缺。IP地址规划直接影响网络运营、网络地址管理工作。宽带

14、运营商要作好网络地址规划,充分利用合法IP地址和私有IP地址。按照要求，将地址块/22（块大为5）作为公网网段，/16网段作为内网ip使用；又考虑到每个学院有1500台PC接入Internet内网IP规划Vlan子网名称网段网关物理位置5系统管理253网络中心9网络设备253网络中心6校级行政80校级大领导办公室7院级行政253院级办公室10教学楼172

15、.111.（36-46）.1253各栋教学楼15机房172.111.（47-49）.1253机房20图书馆253图书馆30学生宿舍172.111.（51-63）.1253各栋学生宿舍为学院A分的内网子网网段为/20B的网段为/20C的网段为/20D的网段为/20E的网段为/20F的网段为：/20。公网IP具体规划如下

16、： 要是网络内部ip在公网上显示自己的不同公网IP，需要在路由器上用NAT（网络地址转换）技术实现。 园区1的公网ip网段：/22（00子网），园区2的公网：/22，园区3的公网ip：/22，园区4的公网：/22园区一：公网ip网段子网掩码备注实现系统管理NAT技术校级行政办公NAT技术院级行政办公NAT技术教学楼NA

17、T技术图书馆NAT技术机房NAT技术学生宿舍NAT技术安全方案设计安全体系是安全工程实施的指导方针和必要依据，它的质量也决定了安全工程的质量。所以，应把安全体系的设计提升到一定的高度，确保安全体系的可靠性、可行性、完备性和可扩展性。我们在总线拓扑图和二级学院上都做了较好的设置。不但设置了防火墙而且也设置了冗余链路。同事我们还可以数据加密，这些都是我们在安全设计方面的可虑。就拿上面的子网来说，因为防火墙的原因我们就可以对服务器更好的保护，让部分不需要的网

18、段和主机访问我们的服务器。这样的过滤正式我们防火墙需要做的事。下面可以看看安全策略。安全的策略： （1）划分安全子网。VLAN（Virtual LocalArea Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN）。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安

19、全性。如果同一局域网内有不同等级的安全域，就可以通过划分子网及VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。（2）加强网络边界的访问控制。安全等级差别较大或者安全性未知的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。 （3）防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS）,可有效地防止来自网络内外的攻击。 （4）定期的网络安全性检测实现持续安全。利用漏洞扫描器（Scanner）,定期对系统

20、进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。 （5）建立网络防病毒系统。在校园网中安装网络版的防毒系统，集中控制、管理查杀网络中服务器、终端的病毒，保护全网不被病毒侵害。主要的系统病毒防护技术如下：（a）阻止病毒的传播 在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。设备选型在设备型号选择上可以有多种搭配，可以考虑使用一台Cisco 2620XM接入Internet，另一台Cisco 2620XM作为拨号访问服务器，配置一台Cisco 3662-AC作为接入DDN和帧中继的路由器。分小段可以选用带有两个快速以

21、太网接口的Cisco2621XM路由器。处于对未来扩展接入能力方面的考虑，每台设备都留有相应的未被使用的插槽。此设计如上图所示。在主校区网域设备中，设备选择如下。选一台Cisco3662-AC路由器，加配一个NM-4T，用两根CAB-V35MT分别连接帧中继和DDN，加配一个PWR-3660-AC。Internet接入路由器选用Cisco2620XM,加配一个WIC-1T，用一根CAB-V35MT连接DDN。远程访问备份路由器Cisco2620XM，加配一个NM-8B-S/T用于连接ISDN接入。在分校区网域设备中设备类型为：分校接入路由器选用Cisco2621加配一个WIT-2T，用一根CAB-SS-V35MT连接帧中继，一个WIC-B1-S/T用于拨号和租用线。这些设备每个分校区一套。防火墙的选型采用华堂HT2100该广域网