1、網(wǎng)絡(luò)工程專周方聯(lián)中學(xué)網(wǎng)絡(luò)設(shè)計(jì)方案設(shè)計(jì)人：11521班第四組指導(dǎo)教師:小組成員:設(shè)計(jì)時(shí)間：2021-06-28word專業(yè)資料目錄1-一、需求分析1-1.1 工程工程概況1-1.2 信息點(diǎn)分布情況2-1.3 用戶需求分析3-二、網(wǎng)絡(luò)方案設(shè)計(jì)5-2.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹5-2.2 校園拓?fù)鋱D6-2.3 校園光纖分布圖7-2.4 網(wǎng)絡(luò)設(shè)計(jì)7-2.4.1 核心層網(wǎng)絡(luò)設(shè)計(jì)7-2.4.2 會(huì)聚層網(wǎng)絡(luò)設(shè)計(jì)8-2.4.3 接入層網(wǎng)絡(luò)設(shè)計(jì)9-2.4.4 廣域網(wǎng)互聯(lián)設(shè)計(jì)9-2.5 綜合布線10-三、IP地址規(guī)劃11-3.1 IP地址規(guī)劃原那么11-3.2 方案特點(diǎn)12-四、網(wǎng)絡(luò)技術(shù)選用12-4.1路由協(xié)議OSPF

2、-12-3.3 鏈路聚合技術(shù)13-3.4 NAT的描述及策略路由的實(shí)現(xiàn)13-3.5 ACL訪問限制列表14-3.6 VLAN虛擬局域網(wǎng)15-3.7 網(wǎng)絡(luò)QoS設(shè)計(jì)15-3.8 VTP協(xié)議16-五、網(wǎng)絡(luò)設(shè)備選型17-六、總結(jié)18-七、參考文獻(xiàn)20-一、需求分析1.1 工程工程概況學(xué)校為了加快信息化建設(shè),新的校園網(wǎng)網(wǎng)將建設(shè)一個(gè)以校園辦公自動(dòng)化、電子商務(wù)、業(yè)務(wù)綜合治理、多媒體視頻會(huì)議、遠(yuǎn)程通訊、信息發(fā)布及查詢?yōu)楹诵?以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托,技術(shù)先進(jìn)、擴(kuò)展性強(qiáng),將校園的各種辦公室、多媒體會(huì)議室、PC終端設(shè)備、應(yīng)用系統(tǒng)通過網(wǎng)絡(luò)連接起來,實(shí)現(xiàn)、外溝通的現(xiàn)代化計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng).該網(wǎng)絡(luò)系統(tǒng)是支持辦公自動(dòng)化、供給鏈

3、治理、ERP以及各應(yīng)用系統(tǒng)運(yùn)行的根底設(shè)施,為了保證這些關(guān)鍵應(yīng)用系統(tǒng)的正常運(yùn)行、平安和開展,系統(tǒng)必須具備如下的特性：1 .采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)完成校園網(wǎng)網(wǎng)的建設(shè),實(shí)現(xiàn)校園各的信息化；2 .在整個(gè)校園實(shí)現(xiàn)所有部門的辦公自動(dòng)化,提升工作效率和治理效勞水平；3 .在整個(gè)校園實(shí)現(xiàn)資源共享、產(chǎn)品信息共享、實(shí)時(shí)新聞發(fā)布；4 .在整個(gè)校園實(shí)現(xiàn)財(cái)務(wù)電算化；5 .在整個(gè)校園實(shí)現(xiàn)集中式的供給鏈治理系統(tǒng)和客戶效勞關(guān)系治理系統(tǒng)；具體要求如下：?學(xué)院采用1000M做骨干,100M到桌面.網(wǎng)絡(luò)應(yīng)有平安舉措預(yù)防外部攻擊.?網(wǎng)絡(luò)中央5臺(tái)數(shù)據(jù)效勞器將需要5個(gè)1000M接口,1臺(tái)WEB效勞器占用1個(gè)100M電接口,網(wǎng)管4臺(tái),需要

4、4個(gè)100M接口,需要預(yù)留5個(gè)100M接口作為備用；校園監(jiān)控系統(tǒng)需要4個(gè)1000M接口.?辦公區(qū),教學(xué)區(qū),教工宿舍,學(xué)生宿舍,圖書館,活動(dòng)中央,這些區(qū)域的網(wǎng)絡(luò)不能在同一個(gè)局域網(wǎng)中.接入端要使用防火墻.?學(xué)校要具有WWW效勞、E-mail效勞、FTP效勞以及撥號(hào)上網(wǎng)效勞.?獨(dú)立的校園部行政治理系統(tǒng)、能實(shí)現(xiàn)多媒體教學(xué)和視頻點(diǎn)播效勞.1.2 信息點(diǎn)分布情況該學(xué)校涉及20棟樓宇：4棟宿辦樓、1棟綜合辦公樓、東西2棟輔助辦公樓、1棟教工食堂、東西4棟主教學(xué)樓主教學(xué)樓、1號(hào)綜合實(shí)驗(yàn)樓、2號(hào)綜合實(shí)驗(yàn)樓、4棟學(xué)生公寓樓、1-1)1棟學(xué)生食堂洗浴中央大樓.網(wǎng)絡(luò)中央設(shè)置在西輔助辦公樓三樓.校園平面圖如圖酉H4學(xué)蚌

5、I華I圖1-1校園平面圖經(jīng)統(tǒng)計(jì)后,獲得信息點(diǎn)分布統(tǒng)計(jì)表表1-1校園信息點(diǎn)分布統(tǒng)計(jì)表成都方聯(lián)高級(jí)中學(xué)網(wǎng)絡(luò)信息點(diǎn)分布表區(qū)域地點(diǎn)樓層班明信息點(diǎn)數(shù)小it臺(tái)ft1號(hào)數(shù)工星由集5單L"V601772號(hào)教工用臺(tái)校與早：.5號(hào)軟H宿力情394號(hào)看工喧巾序徨初4B辦公稷算性辦a掛號(hào)中-也加一富,容兩一SD292一.:7.-28謀wKlW缶；丁v包互64琨%退-同二后青瓦.谷下-£口三14京軸助辦公橫Ay三徒町打公喳為感個(gè)笠號(hào)同啊網(wǎng)誑中央,共二.八1那么?1病目點(diǎn)r寸小lOOOM幅息,79F丈二二百1汁窗口傳電點(diǎn),冰冏爸他窟點(diǎn),周東安關(guān)用一碼M16IB#區(qū)；-.-,皎乎£三,善ia6

6、33尊才1-H是夸點(diǎn)g二15一校室疝15西主裝乎?可孽4S11"教學(xué)三,年漏工忖田百11序一二七一L3才1等星個(gè)實(shí)或直,關(guān)門人盧1112瑞勺一妥"二弓中17集生縣4乙最心里,轉(zhuǎn)16卞點(diǎn)*5厘二手療天立餐.情事十二君鼎1818圖書館室書請(qǐng)主江單:T月堡縣10F饅,共*'.建園曾集作,還匯臺(tái)5田書查：='小,多攆體直觸小,導(dǎo)同去湖1個(gè),電子阮覽室2今,演由7878飛三后區(qū)叁至202QS4G洗冷中央17槎開加N*=.R.酊D$Kr總計(jì)1郵14K-1刖1.3 用戶需求分析為保證高帶寬、又多種視頻、音頻、數(shù)據(jù)流混雜在一起進(jìn)行傳輸,就要對(duì)流做出最高優(yōu)先級(jí)和次高優(yōu)先級(jí)及底

7、優(yōu)先級(jí)的分類,才能保證重要數(shù)據(jù)的暢通,不會(huì)造成網(wǎng)絡(luò)延遲、效勞不可用.所以通過采用端到端的QOS,智能到邊緣應(yīng)用方式,可以減少對(duì)網(wǎng)絡(luò)核心設(shè)備的消耗,這樣保證了網(wǎng)絡(luò)的有效暢通.可以對(duì)園區(qū)網(wǎng)應(yīng)用中的,多媒體視頻點(diǎn)播效勞、數(shù)據(jù)備份效勞、文獻(xiàn)傳遞效勞、E-mail效勞、數(shù)據(jù)庫效勞器等效勞.對(duì)不同效勞流進(jìn)行詳細(xì)的分類,劃分優(yōu)先級(jí),以及盡可能地預(yù)防發(fā)生擁塞.同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行,充分利用現(xiàn)有的帶寬.在園區(qū)網(wǎng)絡(luò)中,存在多樣的網(wǎng)絡(luò)設(shè)備及系統(tǒng)應(yīng)用環(huán)境,并且要考慮在用戶迅速增長(zhǎng)的今大,考慮到網(wǎng)絡(luò)設(shè)備的可擴(kuò)展性.保證在多樣網(wǎng)絡(luò)設(shè)備,用戶不斷增加的環(huán)境中,仍能保證網(wǎng)絡(luò)暢通.所以萬兆骨干網(wǎng)絡(luò)平臺(tái)就應(yīng)具有良好的兼容性和可

8、擴(kuò)展性,能與當(dāng)前校園網(wǎng)絡(luò)無縫銜接,同時(shí)預(yù)留空間符合當(dāng)前和以后的信息建設(shè)需要和足夠的升級(jí)空間.在校園網(wǎng)絡(luò)建設(shè)中存在多用戶,多效勞的現(xiàn)狀.帶來了對(duì)網(wǎng)絡(luò)系統(tǒng)要求具有高效率等,以保證大數(shù)據(jù)量訪問下有效的處理水平.針對(duì)需求設(shè)備要能對(duì)數(shù)據(jù)做到分布式處理,這樣的分布式處理可以節(jié)省主交換引擎的消耗.使數(shù)據(jù)在獨(dú)立的板卡上就能做出對(duì)數(shù)據(jù)的識(shí)別,這樣比在中央處理器識(shí)別要快的多.并在大量的數(shù)據(jù)應(yīng)用,數(shù)據(jù)傳輸?shù)倪^程中,要保證所有硬件設(shè)備都可以進(jìn)行快速的轉(zhuǎn)發(fā),要具備高背板帶寬交換容量,所有端口都能保證線速轉(zhuǎn)發(fā).這種分布式處理可以極大地提升整體處理水平,保證了網(wǎng)絡(luò)暢通.為使網(wǎng)絡(luò)穩(wěn)定可靠,即使在設(shè)備出現(xiàn)問題時(shí)切換到備用設(shè)備的

9、過程中,也要保證較小的延遲,以滿足網(wǎng)絡(luò)應(yīng)用中的有效暢通的需要.利用冗余的治理交換引擎、冗余的電源等關(guān)鍵部件的冗余,支持802.1D、802.1W802.1S多Vlan保證鏈路級(jí)的冗余和負(fù)載均衡,支持VRRP、OSPF等三層路由協(xié)議保證路由級(jí)的冗余.全方位的完全保證了設(shè)備、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的可靠性.該校園網(wǎng)的信息點(diǎn)分布很廣,校園網(wǎng)用戶的流動(dòng)性大,信息點(diǎn)存在隨意接入使用的問題.學(xué)生及外來不明身份的用戶,在校園網(wǎng)中找到任何一個(gè)信息點(diǎn),就可以進(jìn)入到校園網(wǎng),可以肆意干擾和破壞校園網(wǎng)網(wǎng)絡(luò)平臺(tái)及應(yīng)用系統(tǒng)的正常運(yùn)行.另外校園網(wǎng)的網(wǎng)絡(luò)平安,還需要考慮與外網(wǎng)及網(wǎng)不同應(yīng)用系統(tǒng)之間的平安訪問限制.為了發(fā)生平安事件后,能

10、夠有效、快捷地處理事故,采用上網(wǎng)審計(jì)手段是十分有必要的.由于當(dāng)前類似“沖擊波、震蕩波病毒的肆虐,一個(gè)健壯的網(wǎng)絡(luò)應(yīng)該提供必要的手段,禁止特定病毒的傳播以及由于病毒造成的流量擁塞.:、網(wǎng)絡(luò)方案設(shè)計(jì)2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹在此次校園網(wǎng)的設(shè)計(jì)中,我們采用層次化模型,將整個(gè)網(wǎng)絡(luò)分為三層結(jié)構(gòu)來設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),將該層次結(jié)構(gòu)和星型模型結(jié)合起來.所謂“層次化模型,就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次,每個(gè)層次著重于某些特定的功能,這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題.星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu),它是以一臺(tái)中央處理機(jī)(通信設(shè)備)為主而構(gòu)成的網(wǎng)絡(luò),其它入網(wǎng)機(jī)器僅與該中央處理機(jī)之間有直接的物理鏈

11、路,中央處理機(jī)采用分時(shí)或輪詢的方法為入網(wǎng)機(jī)器效勞,所有的數(shù)據(jù)必須經(jīng)過中央處理機(jī)本方案的設(shè)計(jì)將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下,本著嚴(yán)謹(jǐn)、慎重的態(tài)度,從系統(tǒng)結(jié)構(gòu)、技術(shù)舉措、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)效勞和實(shí)施過程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計(jì),采用了核心層,會(huì)聚層,接入層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu).這樣設(shè)計(jì)的優(yōu)點(diǎn)是(1)限制簡(jiǎn)單.任何一站點(diǎn)只和中央節(jié)點(diǎn)相連接,因而介質(zhì)訪問限制方法簡(jiǎn)單,致使訪問協(xié)議也十分簡(jiǎn)單.易于網(wǎng)絡(luò)監(jiān)控和治理.(2)故障診斷和隔離容易.中央節(jié)點(diǎn)對(duì)連接線路可以逐一隔離進(jìn)行故障檢測(cè)和定位,單個(gè)連接點(diǎn)的故障只影響一個(gè)設(shè)備,不會(huì)影響全網(wǎng).(3)方便效勞.中央節(jié)點(diǎn)可以方便地對(duì)各個(gè)站點(diǎn)提供效勞和網(wǎng)絡(luò)重新配

12、置.基于目前學(xué)校規(guī)模及開展的角度考慮,骨干網(wǎng)絡(luò)采用雙核心的拓?fù)浣Y(jié)構(gòu),核心層放置了雙核心交換機(jī)是為了當(dāng)其中一臺(tái)設(shè)備出現(xiàn)問題的時(shí)候,另一臺(tái)設(shè)備能夠繼續(xù)起作用,以保證校園網(wǎng)的暢通.保證核心的穩(wěn)定.在西輔助辦公樓采用萬兆的三層交換機(jī)設(shè)備,會(huì)聚層千兆連接接入中端交換機(jī)；效勞器千兆接入到核心交換機(jī)上；百兆到桌面；ISP通過防火墻連接到核心交換機(jī)上.出于治理和平安方面角度考慮,在全網(wǎng)可采用IP+MAC綁定方式,全網(wǎng)分布式采用ACL,并根據(jù)部門劃分VLAN,劃分相應(yīng)的權(quán)限,保證學(xué)生機(jī)房用機(jī)對(duì)教學(xué)辦公網(wǎng)沒有訪問權(quán)限,只能訪問校效勞器及外網(wǎng)；IP分配：在辦公區(qū)采用靜態(tài)IP劃分,在學(xué)生區(qū)及移動(dòng)性較大的辦公區(qū)可補(bǔ)充性

13、采用DHCP動(dòng)態(tài)獲得IP地址.2.2 校園拓?fù)鋱D成都市方聯(lián)高級(jí)中學(xué)校園網(wǎng)柘撲圖地目*梓方聯(lián)中學(xué)拄園網(wǎng)拓?fù)渲艿糜?jì)考篦四小拉改行時(shí)同圖2-2校園拓?fù)鋱D2.3 校園光纖分布圖I廉讓灑岸廠I可廿卜心干件小HO廠修二會(huì)代4芯臚喧坨阡E醒中由打用.云i【¥1上梅柯班即7忙敷門吶*時(shí)電配向11圮萬印制卡叫工字紙IJI工程君捧光纖小布練合圖設(shè)計(jì)者第四小組沒i卜時(shí)間2021/627圖2-3校園光纖分布圖注：根據(jù)校園平面圖和拓?fù)鋱D情況來看,把會(huì)聚層設(shè)備間放在圖書館大樓,東主教學(xué)2號(hào)樓和綜合辦公樓中,通過光纖連接網(wǎng)管中央到各個(gè)會(huì)聚層設(shè)備問,然后再通過光纖連接到個(gè)接入層各設(shè)備問.2.4 網(wǎng)絡(luò)設(shè)計(jì)2.4.1

14、核心層網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)中央節(jié)點(diǎn)及其它核心節(jié)點(diǎn)作為校園網(wǎng)絡(luò)系統(tǒng)的心臟,必須提供全線速的數(shù)據(jù)交換,當(dāng)網(wǎng)絡(luò)流量較大時(shí),對(duì)關(guān)鍵業(yè)務(wù)的效勞質(zhì)量提供保證.另外作為整個(gè)網(wǎng)絡(luò)的交換中央,在保證高性能、無阻塞交換的同時(shí),還必須保證穩(wěn)定可靠的運(yùn)行.因此在網(wǎng)絡(luò)中央的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性.具體來說核心節(jié)點(diǎn)的交換機(jī)有兩個(gè)根本要求：1高密度端口情況下,還能保持各端口的線速轉(zhuǎn)發(fā)；2)關(guān)鍵模塊必須冗余,如治理引擎、電源、風(fēng)扇.由于校園網(wǎng)對(duì)外傳輸?shù)臄?shù)據(jù)是巨大的,所以我們需要考慮校園網(wǎng)對(duì)外出口的帶寬大小的問題,因此需要考慮到核心設(shè)備對(duì)萬兆的支持水平.綜上所述,主干核心交換機(jī)屬于高端系列的產(chǎn)品,所以在

15、本方案中,核心交換機(jī)建議采用多業(yè)務(wù)萬兆核心路由交換機(jī).可以根據(jù)用戶的需求靈活配置,靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò).所以我們使用兩臺(tái)DCRS-7604(R3)的交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案.DCRS-7604(R3)核心路由交換機(jī)是神州數(shù)碼推出的萬兆核心路由交換機(jī),DCRS-7604(R3)核心路由交換機(jī)在保證高性能大容量的根底上提供強(qiáng)大的平安防護(hù)水平,并且擁有業(yè)務(wù)按需疊加擴(kuò)展水平,到達(dá)業(yè)務(wù)和性能并重的設(shè)計(jì)需求.目前提供4插槽核心路由交換機(jī)機(jī)箱,電源1+1冗余,標(biāo)配1個(gè)MRS-PWR-A1-AC交流電源,1個(gè)熱插拔風(fēng)扇盤.核心層交換機(jī)跟會(huì)聚接入層交換機(jī)之間的千兆鏈路可以捆綁,從

16、而實(shí)現(xiàn)帶寬的靈活擴(kuò)展.為用戶提供完整的端到端解決方案,是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇,在此方案中,校區(qū)網(wǎng)絡(luò)中央采用DCRS-7604(R3)多業(yè)務(wù)萬兆核心路由交換機(jī)作為核心交換機(jī).核心層交換機(jī)跟會(huì)聚接入層交換機(jī)之間的千兆鏈路可以捆綁,從而實(shí)現(xiàn)帶寬的靈活擴(kuò)展.2.4.2 會(huì)聚層網(wǎng)絡(luò)設(shè)計(jì)以往傳統(tǒng)企業(yè)網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于平安限制和QOS提供水平,而將網(wǎng)絡(luò)的平安防御舉措和QOS保證依賴于網(wǎng)絡(luò)的會(huì)聚層或核心層設(shè)備,這給會(huì)聚層和核心層設(shè)備帶來了巨大的壓力,往往網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致核心層設(shè)備癱機(jī),使網(wǎng)絡(luò)沒有QOS效勞質(zhì)量保證.DCS-5950接入交換機(jī)是能滿足高平安、多業(yè)務(wù)承載、高性

17、能的網(wǎng)絡(luò)環(huán)境智能交換機(jī),具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn),同時(shí)還具有領(lǐng)先的平安特性,進(jìn)一步增強(qiáng)了企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層面的平安限制水平.用戶可以根據(jù)需要來訂制自身的平安策略并部署在此交換機(jī)上.該產(chǎn)品具備的端口帶寬限制、端口鏡像、QoS、端口平安、播送風(fēng)暴抑制等功能可以很好的協(xié)助用戶實(shí)現(xiàn)網(wǎng)絡(luò)的治理和維護(hù).除此之外,此交換機(jī)還具備多個(gè)專用堆疊接口,可以滿足樓層,樓宇多個(gè)交換機(jī)高性能會(huì)聚的需要.會(huì)聚層作為會(huì)聚接入層的設(shè)備,推薦使用中端路由交換機(jī)設(shè)備,神州數(shù)碼的DCRS-5950-24(R3)交換機(jī)滿足此要求.2.4.3 接入層網(wǎng)絡(luò)設(shè)計(jì)接入層通常指網(wǎng)絡(luò)中直接面向用戶連接或訪問的局部.接入層目的是允

18、許終端用戶連接到網(wǎng)絡(luò),因此接入層交換機(jī)具有低本錢和高端口密度特性.DCS-3950二層交換機(jī)是能滿足高平安、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境智能交換機(jī),具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn),同時(shí)還具有領(lǐng)先的平安特性,進(jìn)一步增強(qiáng)了企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層面的平安限制水平.用戶可以根據(jù)需要來訂制自身的平安策略并部署在此交換機(jī)上.該產(chǎn)品具備的端口帶寬限制、端口鏡像、QoS、端口平安等功能可以很好的協(xié)助用戶實(shí)現(xiàn)網(wǎng)絡(luò)的治理和維護(hù).除此之外,此交換機(jī)還具備多個(gè)專用堆疊接口,可以滿足樓層,樓宇多個(gè)交換機(jī)高性能會(huì)聚的需要.此處我們選用神州數(shù)碼的DCS-3950-52C和DCS-3950-28C交換機(jī),信息點(diǎn)少的大樓

19、我們選擇具有24口以太網(wǎng)接口的DCS-3950-28C,信息點(diǎn)多的地方選用48口以太網(wǎng)接口的DCS-3950-52C交換機(jī).并且選了10臺(tái)神州數(shù)碼的無線路由器以提供無線方式接入互聯(lián)網(wǎng).2.4.4 廣域網(wǎng)互聯(lián)設(shè)計(jì)由于從ISP連接到學(xué)校的核心交換機(jī)的帶寬是非常的高的,所以此處我們?yōu)閮膳_(tái)核心交換機(jī)選擇了兩個(gè)神州數(shù)碼的XFP-ER萬兆接口卡模塊,以滿足帶寬需求.由于學(xué)校校園網(wǎng)絡(luò)需要對(duì)外出口,所以學(xué)校校園網(wǎng)的設(shè)計(jì)需要考慮到網(wǎng)絡(luò)平安的問題,般情況,我們將硬件防火墻放在網(wǎng)絡(luò)對(duì)外出口的地方.針對(duì)該校園的規(guī)模,我們這里選用DCFW-1800S-H-V2(R3)小型企業(yè)級(jí)防火墻神州數(shù)碼DCFW-1800S-H-V

20、2(R3)防火墻,網(wǎng)絡(luò)吞吐量為200Mbps,并發(fā)連接數(shù)為256000,同時(shí)能檢測(cè)Dos、DDos,能治理SSH、HTTP、HT、等.也支持VPN技術(shù).神州數(shù)碼DCFW-1800S-H-V2(R3)防火墻置5個(gè)10/100/1000M自適應(yīng)以太網(wǎng)電口,接口模塊類型支持單模、多模光纖,千兆電口,充分滿足您的定制需求.同時(shí)采用流量限制技術(shù),能方便流量治理,并與防火墻一起,等網(wǎng)絡(luò)平安設(shè)備協(xié)同構(gòu)建一個(gè)主動(dòng)的平安威脅防御體系的功能,以提升整個(gè)網(wǎng)絡(luò)的平安防護(hù)水平,從而更好地保證網(wǎng)絡(luò)流量.2.5綜合布線2.5.1 布線系統(tǒng)設(shè)計(jì)結(jié)構(gòu)化布線應(yīng)該滿足以下目標(biāo)：1 .滿足學(xué)院各大樓主要需求,同時(shí)兼顧未來升級(jí)能更好的

21、實(shí)施2 .滿足當(dāng)前和長(zhǎng)遠(yuǎn)的數(shù)據(jù)傳輸要求,兼顧質(zhì)量.3 .布線系統(tǒng)遵循國(guó)際標(biāo)準(zhǔn)和建設(shè)部門和電信部門標(biāo)準(zhǔn),根據(jù)邏輯設(shè)計(jì)中的拓?fù)湫切徒Y(jié)構(gòu)采用國(guó)際標(biāo)準(zhǔn)施工.4 .布線設(shè)備的安裝將支持語音、文本、視頻等綜合數(shù)據(jù)的高質(zhì)量傳輸,重點(diǎn)強(qiáng)調(diào)各設(shè)備的兼容問題.5,布線系統(tǒng)信息出口主要才用現(xiàn)在流行的通用RJ45接口插座,按統(tǒng)一規(guī)格進(jìn)行線路鋪設(shè)和連接接口,使之?dāng)?shù)據(jù)暢通.2.5.2 各設(shè)備間布線設(shè)計(jì)：例.辦公大樓綜合布線圖:三、IP地址規(guī)劃3.1 IP地址規(guī)劃原那么IP地址構(gòu)成了整個(gè)Internet的根底,IP地址資源是整個(gè)Internet的根本核心資源,IP地址資源的合理分配和有效利用是整個(gè)Internet開展過程中

22、持續(xù)有效的一個(gè)極具分量的研究課題.由于校園部網(wǎng)絡(luò)是使用的私有地址,所以這里直接使用了C類的/24地址來劃分.在部網(wǎng)絡(luò)出口處,采用了獲得的個(gè)公網(wǎng)地址,進(jìn)行動(dòng)態(tài)NAT轉(zhuǎn)換,這樣便能實(shí)現(xiàn)全部通信.該校園由于各個(gè)局部信息點(diǎn)都不算太大,所以用普通的C類地址便可.所以IP地址及VLAN劃分如下：Ip卻閨方地域地址"te息點(diǎn)VIM子同稅IP篦利加如監(jiān)西熊由后河70292VLat.lCO192.Ifi氏LO.O/id13靠16B.肛1153a360»LQ+WMMP玉宛打上橫蜻擰含辦去帶160VLflii1'193,16B,F».Q4RLfil教工黃豆

23、臉塞痼直丁VlatilOO必一】由W.0/34IBS.Id21P2.aCBxJ254形mP自iPiaa-iga,n.Q/ad天排場(chǎng)一臺(tái)：Plfii2.1j5&12.醉區(qū)東外救掌,罟神93FImBQ田&二有歸.電4IS；,LaSxS.3LD3.eE.3.雙南子省洋巖樓盯卞中WiW橫亞DHCP西口地掌二號(hào)橙繇窗實(shí)居恃30苛實(shí)逾塔住學(xué)主虎洗浴中央京主總小甲“203071叫TOW2.：C8./赳10X1C8,L2-1B2,MB.T,254千名電F含ZP102.1B3.13.0/24同節(jié)值國(guó)書館q曰帕132.：G0.邑口廣加1我.道山2-102.lfiB.fi.254夫然AF一臺(tái)IP10

24、/24教工宿苦:匕我二或J嘏0P177T1ar60舊人IFF?.E.G加192.168B5a21B2.16B.5.2&4DTP嗚教二惺幅3.I加工通橫39d號(hào)端二胡會(huì)羋學(xué)士宦舍士生問2C0K'D也皿為192.對(duì)LP:>.Ks.l.?-l9?TL?8.r；5d學(xué)生及宅SCO1S2.IjQS.2-on二箱.1S2,3,315X15S.3=B4學(xué)生去空號(hào)200Vljan=O392.USB.3.04;明,1行M大2193,1用,S,4堂壬公宅4200VLan4u193,USB.4,Q?24192,1155.4.2192.LtS.5說明:每個(gè)網(wǎng)段的第一個(gè)TP地址

25、作河關(guān)3.2 方案特點(diǎn)本IP分配方案充分考慮了信息點(diǎn)數(shù)量,做到了能讓學(xué)校的每個(gè)信息點(diǎn)都能得到IP地址本IP分配方案為每個(gè)區(qū)域分配了遠(yuǎn)遠(yuǎn)大于學(xué)校要求的信息點(diǎn)的數(shù)量的IP地址,為以后增加網(wǎng)絡(luò)信息點(diǎn)做好準(zhǔn)備.分配方案采用了虛擬局域網(wǎng)網(wǎng)技術(shù),使各個(gè)區(qū)域的網(wǎng)絡(luò)不在同一個(gè)局域網(wǎng),增強(qiáng)了網(wǎng)絡(luò)的平安性,并讓某些不在同一個(gè)地點(diǎn)的網(wǎng)絡(luò)能處在同一個(gè)局域網(wǎng),為網(wǎng)絡(luò)的使用帶來便利.四、網(wǎng)絡(luò)技術(shù)選用4.1 路由協(xié)議一一OSPF在網(wǎng)絡(luò)骨干核心層和核心層以及會(huì)聚層上需要使用三層設(shè)備為網(wǎng)絡(luò)部不同的網(wǎng)段的數(shù)據(jù)和不同vlan間的數(shù)據(jù)轉(zhuǎn)發(fā)而需要路由協(xié)議時(shí),我們采用OSPF協(xié)議作為路由協(xié)議.OSPF是一種典型的鏈路狀態(tài)路由協(xié)議.采用O

26、SPF的路由器彼此交換并保存整個(gè)網(wǎng)絡(luò)的鏈路信息,從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu),獨(dú)立計(jì)算路由.由于RIP路由協(xié)議不能效勞于大型網(wǎng)絡(luò),所以,IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議一一OSPF.目前廣為使用的是OSPF第二版,最新標(biāo)準(zhǔn)為RFC2328.OSPF作為一種部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,IGP),用于在同一個(gè)自治域(AS)中的路由器之間發(fā)布路由信息.區(qū)別于距離矢量協(xié)議(RIP),OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn),在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位.4.2 鏈路聚合技術(shù)鏈路聚合技術(shù),支持IEEE802.3協(xié)議,是一種用在交換機(jī)與交

27、換機(jī)之間擴(kuò)大通信吞吐量、提升可靠性的技術(shù),也稱骨干連接.當(dāng)兩臺(tái)中央交換機(jī)采用聚合鏈路PortTrunking技術(shù)后,該技術(shù)可以使交換機(jī)之間連接最多4條負(fù)載均衡的冗余連接.當(dāng)某一臺(tái)核心交換機(jī)出現(xiàn)故障或核心交換機(jī)與接入層/會(huì)聚層交換機(jī)的某一條互聯(lián)線路出現(xiàn)故障時(shí),系統(tǒng)將通信業(yè)務(wù)快速自動(dòng)切換到另一臺(tái)正常工作的核心層交換機(jī)上,以使整個(gè)網(wǎng)絡(luò)具備高容量、無阻塞、高可靠的水平.作為一個(gè)較為完整的校園網(wǎng)實(shí)現(xiàn),路由、交換與遠(yuǎn)程訪問技術(shù)缺一不可.4.3 NAT的描述及策略路由的實(shí)現(xiàn)在組建網(wǎng)絡(luò)時(shí),為了節(jié)約地址,我們?cè)诓渴褂帽４娴乃接械刂范沃械牡刂?但是使用私有地址不能訪問Internet,所以必須申請(qǐng)多個(gè)公開地址配置

28、在和Internet相連的局域網(wǎng)邊緣設(shè)備上.應(yīng)用NAT進(jìn)行地址轉(zhuǎn)換.NAT是網(wǎng)絡(luò)地址譯技術(shù),在路由器上起用NAT之后,可以在部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換.比方我們可以把網(wǎng)絡(luò)部使用的IP譯成外部公網(wǎng)的IP.配置基于策略的路由選擇時(shí),可使用路由映射表來指定基于IP地址,應(yīng)用程序,協(xié)議或者分組長(zhǎng)度的條件.基于策略的路由選擇命令對(duì)中選的路由實(shí)現(xiàn)策略.基于策略的路由和靜態(tài)路由有很多共同之處.然而,靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò)地址來轉(zhuǎn)換分組,而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組.在路由選擇表中使用訪問列表時(shí),可根據(jù)諸如目標(biāo)地址,分組長(zhǎng)度,IP協(xié)議字段,優(yōu)先級(jí)或端口號(hào)來轉(zhuǎn)發(fā)數(shù)據(jù)流.這樣可以指定圍更廣泛,更細(xì)致的條件

29、,并根據(jù)這些條件來決定下一跳路由器.4.4 ACL(訪問限制列表)訪問列表為我們提供了一種對(duì)網(wǎng)絡(luò)訪問進(jìn)行有效治理的方法,通過訪問列表,我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器,或者允許或者拒絕具體的某些端口進(jìn)行訪問和使用,如果滿足條件那么執(zhí)行相應(yīng)的操作,放行這個(gè)包或者放棄這個(gè)包.我們通過這些設(shè)置來滿足實(shí)際網(wǎng)絡(luò)的靈活需求,從而到達(dá)設(shè)置網(wǎng)絡(luò)平安策略,預(yù)防網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況.在具體實(shí)現(xiàn)過程中從技術(shù)上來說我們需要了解到ACL分為兩種類型,他們分別是標(biāo)準(zhǔn)訪問列表(Standardaccesslists)和擴(kuò)展訪問列表(Extendsaccesslists)前者在過濾網(wǎng)絡(luò)的時(shí)候只使用IP數(shù)

30、據(jù)報(bào)的源地址,那么在使用這種訪問列表的情況下它做出允許或者拒絕這個(gè)決定完全是依賴于源IP地址,它無法區(qū)分具體的流量類型.而擴(kuò)展訪問列表那么可以提供更細(xì)的決定,它可以具體到端口,從而精確到某一個(gè)效勞,比方對(duì)WEB,FTP的訪問等,給我們網(wǎng)絡(luò)的策略提供了更細(xì)的限制手段.我們利用這種訪問列表進(jìn)行協(xié)議級(jí)的限制以到達(dá)對(duì)網(wǎng)絡(luò)一個(gè)有效的治理.標(biāo)準(zhǔn)訪問限制列表一般放在靠近目標(biāo)的路由器上,而擴(kuò)展訪問限制列表一般放于近源端的路由器上.4.5 VLAN虛擬局域網(wǎng)VLAN虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分播送域的技術(shù),通過這種劃分,我們可以把物理位置上別離的網(wǎng)絡(luò)設(shè)備在邏輯上劃為同一個(gè)播送域,或者把物理位置上鄰近的

31、網(wǎng)絡(luò)設(shè)備劃為不同的播送域,從而更方便我們治理和做一個(gè)邏輯層次的劃分.從技術(shù)上說VLAN可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN,那么靜態(tài)的VLAN是基于交換機(jī)端口進(jìn)行劃分,根據(jù)網(wǎng)絡(luò)設(shè)備連接不同的交換機(jī)端口,那么進(jìn)入相應(yīng)的VLAN0動(dòng)態(tài)VLAN那么更靈活,它可以根據(jù)接入計(jì)算機(jī)的IP地址,MAC地址,甚至是用戶的登陸賬號(hào)做出相應(yīng)的處理,把計(jì)算機(jī)劃分進(jìn)相應(yīng)的VLAN中,這樣就為我們實(shí)際的網(wǎng)絡(luò)治理帶來了比擬大的方便性和靈活性.那么在我們的企業(yè)網(wǎng)方案中,我們希望通過使用VLAN技術(shù)進(jìn)行劃分到達(dá)以下目的：隔離,劃分播送域,減小不必要的播送流量,從而提升整個(gè)網(wǎng)絡(luò)的利用效率.4.6 網(wǎng)絡(luò)QoS設(shè)計(jì)為保證教學(xué)區(qū)數(shù)據(jù)流

32、量的高質(zhì)量傳輸,必須采取全面而系統(tǒng)的QoS設(shè)計(jì)提供端到端QoS效勞,以保證重要的數(shù)據(jù)流在網(wǎng)絡(luò)發(fā)生擁塞時(shí)獲得有保證的吞吐量和最低的延時(shí)；為了保證端到端用戶的效勞質(zhì)量,因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡(luò)設(shè)備都支持實(shí)施的QoS策略,核心設(shè)備是多個(gè)效勞器接入的設(shè)備,并且擔(dān)負(fù)著全網(wǎng)數(shù)據(jù)的交換,QoS的水平影響著全網(wǎng)的效勞質(zhì)量保證水平.QoS工作原理如下圖端到端的QOS在骨干網(wǎng)絡(luò)網(wǎng)絡(luò)中,由于信息資源集中于骨干網(wǎng)絡(luò)網(wǎng)絡(luò)中央,為保證全網(wǎng)的QoS,要求資源中央核心交換機(jī)、分中央交換機(jī)和接入交換機(jī)均支持第三層的QoS標(biāo)注方案,而二層的802.1P標(biāo)記對(duì)于骨干網(wǎng)絡(luò)這樣的網(wǎng)絡(luò)并沒有實(shí)際意義,由于802.1P的標(biāo)記不能在

33、交換機(jī)之間傳遞,只能在本機(jī)上有用.通過從核心到接入設(shè)備全程對(duì)QoS的良好支持,全部硬件提供二到四層數(shù)據(jù)流交換,實(shí)現(xiàn)應(yīng)用感知的功能,給予多媒體辦公應(yīng)用提供透明的QoS保證,保證真正的端到端的QoS的實(shí)現(xiàn).4.7VTP協(xié)議我們?yōu)榫W(wǎng)絡(luò)中劃分了大量的VLAN,但在校園網(wǎng)絡(luò)的交換機(jī)數(shù)量又不止一臺(tái)兩臺(tái)的情況下,我們?yōu)槊颗_(tái)交換機(jī)都手動(dòng)配置VLAN的工作量將會(huì)是巨大的,所以我們采用了VTP技術(shù),VTP提供了一種用于治理全部VLAN的方法,該協(xié)議使得我們可以在一個(gè)或者幾個(gè)中央點(diǎn)上創(chuàng)立,修改,刪除VLAN,這些信息通過TRUNK鏈路自動(dòng)擴(kuò)散到其他交換機(jī).這樣,我們就不必到每臺(tái)交換機(jī)上去配置VLAN信息.大大簡(jiǎn)化了

34、網(wǎng)絡(luò)建設(shè)的工作量.五、網(wǎng)絡(luò)設(shè)備選型表2-2-4.1設(shè)備清單表2-2-4.2模塊及其他設(shè)備總計(jì)價(jià)格煌t'r蛾量說明1$僚研也戰(zhàn)器三盤100»0*10擢供元姓方式能人民絡(luò)訴2-飛出山21鈍6套*32兇陷-冶.4苣費(fèi)掙塊.含1二口1口.3g丁芯(3陽)千卷挎口DU£-39bQT乩13lS14b*13丁推魯呷鉞貴金交通機(jī),的口1(),1=IX,固化超阡?»口£匚加:n仁肝/GT)質(zhì)口DCS-3950-29C1510167*1B費(fèi)駕百猊全交換機(jī),24aiO/iaOB«e-IX,固化4個(gè)千百了二；悔口XFP-ER萬口中楨煥2期58X21BE亡“VR

35、咫尸中模光斜傳口干根女(LE50.MME.二工接口.由辛投二SP比囹工面訓(xùn):網(wǎng)iL£源充如L3冽口至千兆r?v箔由交換機(jī),2ffllOOG&ase-Z(SFP)43口10/L00/1OCOEsse-I(CaiDtd>,基干ASIC的施件線速IPv6WRSTGtM附修詞否由交接機(jī)23436142漏噌極心路日以會(huì)視機(jī)拜,申薪I4J冗余,I布二iFlRS-p幗工iUc宏透電密4好幅撥風(fēng)舄血-aCR大自源口1帕彳房直ZiCFRlSODS-H-TC3)132J6S*1小型企業(yè)級(jí)防火一Sl>2.21亡1三tnt1Q艮證客U端ZJwvn-La£rT-rriJIT網(wǎng)管敢

36、沖13571&v!支持閩塔相撲發(fā)現(xiàn).賁雷治理,役骨治理、終謎治理雌守H、故障訃拓、異常簫量曲涮r做名感治理、WEB監(jiān)控萼桁格總計(jì)工15OUOOU六、總結(jié)通過一周的練習(xí),我明白了做任何事都不是一件容易的事情,都要經(jīng)過周密的論證、謹(jǐn)慎的決策、緊的施工和科學(xué)的治理.學(xué)習(xí)也不是簡(jiǎn)單的事,任何一件看起來簡(jiǎn)單的事情,想要把它做好,都要付出很大的努力,就像拓?fù)鋱D和光纖分布圖,都是經(jīng)過一遍又一遍的修改才算弄對(duì).一個(gè)看似簡(jiǎn)單的word文檔,都蘊(yùn)含很大的學(xué)問,想要寫好也需要付出.所以,當(dāng)你付出的越多,收獲也就越多.其次就是團(tuán)隊(duì)的合作,要明確每個(gè)人的優(yōu)點(diǎn),再合理地分配工作,“投其所好很重要.但是最大的還是成

37、員的態(tài)度問題,有的是即使不會(huì),也會(huì)努力去學(xué)習(xí),但是也有不愿意參加一起學(xué)習(xí)的同學(xué).通過這次專周,我發(fā)現(xiàn)自己最大的缺點(diǎn)就是東西都會(huì)一點(diǎn),但是都學(xué)得很淺薄.要不是老師一步一步的指導(dǎo),可能我們的成果也會(huì)很差,所以還是很感謝老師的指導(dǎo).-甜本人通過專周練習(xí),使我接觸到了很多沒有接觸過的新知識(shí),同時(shí)也學(xué)到了很多,增長(zhǎng)了見識(shí),也熟悉到當(dāng)設(shè)計(jì)師的不容易,當(dāng)優(yōu)秀的網(wǎng)絡(luò)設(shè)計(jì)師更加不容易,更加熟悉到自己對(duì)相關(guān)知識(shí)的匱乏,以后還需要更多的努力,學(xué)習(xí)更多的專業(yè)知識(shí).雖然我們盡了最大的努力,但是由于經(jīng)驗(yàn)缺乏,及學(xué)習(xí)過程中的疏忽,錯(cuò)漏之處在所難免,從整體上說,我們通過以上的分析布局已根本上展現(xiàn)了網(wǎng)絡(luò)工程硬件設(shè)計(jì)的全部過程,但是我們討論課題的局限性,還有很多的網(wǎng)絡(luò)技術(shù)沒有提到,如VPN,又如路由器的安裝與使用等等.由于建立了校園網(wǎng),一方面縮短了學(xué)校與外界的距離,利用電子和Internet等效勞,擴(kuò)大了學(xué)與外界的交流；另一方面,構(gòu)建了以Intranet為根底的治理信息系統(tǒng),推動(dòng)了學(xué)校的信息化建設(shè),為學(xué)校今后的開展準(zhǔn)備了條件.隨著學(xué)校的校園網(wǎng)建設(shè)的普及化,學(xué)校將會(huì)進(jìn)入一個(gè)科學(xué)治理和科學(xué)教學(xué)的新時(shí)代.-凱強(qiáng)這次網(wǎng)絡(luò)工程專周我在我們組主要負(fù)責(zé)IP地址的分配和V-l