精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)行政樓局域網(wǎng)網(wǎng)絡(luò)規(guī)劃與設(shè)計需求分析1.1行政樓概述四川師范大學(xué)成都學(xué)院的行政樓一幢，共約114個信息點，所有工作人員主要集中在一至六層樓內(nèi)辦公。隨著辦公人員與規(guī)模不斷擴大，辦公自動化、信息化的需求，為提高各部門的辦公效率，促進信息交流，適應(yīng)現(xiàn)代發(fā)展的要求，需構(gòu)建一個穩(wěn)定完善的行政辦公局域網(wǎng)。新建網(wǎng)絡(luò)必須滿足行政樓未來3~5年內(nèi)的辦公需求，支持行政人員的管理、校園網(wǎng)站的建設(shè)、嚴格的網(wǎng)絡(luò)信息安全管理系統(tǒng)，適應(yīng)辦公需求及后續(xù)不斷發(fā)展。在行政樓內(nèi)部建立穩(wěn)定、高效的辦公自動化網(wǎng)絡(luò)，從而提高員工的工作效率和加快行政內(nèi)部的信息傳遞。部分員工配置桌面PC，使員工能通過內(nèi)部網(wǎng)絡(luò)接入Internet,以充分利用因特網(wǎng)上的資源。根據(jù)與行政有關(guān)領(lǐng)導(dǎo)的交流和行政各部門的情況，擬建的行政樓局域網(wǎng)主要信息點集中在行政部、技術(shù)部、財務(wù)部、教務(wù)部、后勤部，為了以后的適當擴充，信息點的個數(shù)留有一定余量。信息點詳細分布如下表1.1所示表1.1信息點分布情況部門樓層辦公室數(shù)量信息點合計值班室112后勤部312招生就業(yè)部312車隊辦公室11接待室12教務(wù)處2624督導(dǎo)專家組12后勤部13計財科14會議室324院長辦公室12人事處312副院長辦公室424校慶辦公室12會議室12黨委書記辦公室24網(wǎng)絡(luò)管理辦公室12副主任辦公室12宣傳辦辦公室12學(xué)院辦公室12基建辦公室512繼續(xù)教育辦公室12科研產(chǎn)業(yè)部12評估辦公室12綜合檔案室12工會辦公室612校史陳列館12合計641114為了更好地使用和管理網(wǎng)絡(luò)，可以對行政樓的各個部門進行類別劃分，屬于行政部的有：三樓的會議室、院長辦公室、副院長辦公室、校慶辦公室、會議室、黨委書記辦公室、副主任辦公室、宣傳辦辦公室、學(xué)院辦公室；屬于技術(shù)部的有：督導(dǎo)專家組、網(wǎng)絡(luò)管理辦公室、科研產(chǎn)業(yè)部、評估辦公室、工會辦公室；屬于財務(wù)部的有：基建辦公室、人事處、計財科；屬于教務(wù)部的有：招生就業(yè)部、教務(wù)處、繼續(xù)教育辦公室、綜合檔案室；屬于后勤部的有：值班室、一樓的后勤部、車隊辦公室、接待室、二樓的后勤部、校史陳列館。1.2網(wǎng)絡(luò)系統(tǒng)需求分析學(xué)校目前開展的行政樓局域網(wǎng)網(wǎng)絡(luò)建設(shè)，旨在推動行政樓的信息化建設(shè)，其最終建設(shè)目標是將行政樓建設(shè)成為一個借助信息化辦公和管理的高水平的智能化、數(shù)字化的辦公網(wǎng)絡(luò)，滿足信息化學(xué)校的要求，為各類應(yīng)用系統(tǒng)提供方便，快捷的信息通路，具有良好的性能，能夠支持大容量和實時性的各類應(yīng)用，能夠可靠的運行，具有較低的故障率和維護要求。主干網(wǎng)負責(zé)各子網(wǎng)和應(yīng)用服務(wù)的連接，為信息交換提供有效的高速通道，滿足學(xué)校辦公信息安全的要求，擴展容易，用戶使用簡單。要特別考慮學(xué)校內(nèi)部信息共享等方面的實時性。應(yīng)根據(jù)學(xué)校行政樓各部門的信息流量情況分配網(wǎng)段，以充分利用網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)的運行效率。具有良好的管理性，可實現(xiàn)自動實施備份策略等功能，減輕維護人員的工作量。結(jié)合行政樓具體情況和當前網(wǎng)絡(luò)技術(shù)發(fā)展潮流，網(wǎng)絡(luò)應(yīng)滿足以下幾點需求：1．系統(tǒng)主干采用千兆以太網(wǎng)交換，下屬子網(wǎng)采用百兆以太網(wǎng)，采用TCP/IP協(xié)議，提供標準化的高速度主干網(wǎng)連接，實現(xiàn)100Mb/s交換到桌面的網(wǎng)絡(luò)。使用三層交換機來代替路由，實現(xiàn)數(shù)據(jù)的快速轉(zhuǎn)發(fā)。2．在同一個網(wǎng)絡(luò)中支持多種網(wǎng)絡(luò)通信協(xié)議，為學(xué)生提供遠程登錄。在學(xué)校外的學(xué)生可以通過VPN安全訪問教務(wù)系統(tǒng)，進行遠程訪問等。支持多種傳輸介質(zhì)。3．行政樓網(wǎng)絡(luò)內(nèi)部資源的共享，包括文件共享，硬件共享，軟件共享等4．文件傳輸。能快速地，在不需要移動存儲設(shè)備的情況下在各電腦之間進行文件的拷貝。5．校園內(nèi)辦公自動化，有效降低辦公成本，校園內(nèi)部人員可以方便安全地訪問因特網(wǎng)。6．能通過內(nèi)部網(wǎng)絡(luò)高速接入Internet進行工作，瀏覽網(wǎng)頁查找資料。建立學(xué)校對外網(wǎng)站，提供一個對外宣傳的平臺，提高學(xué)校知名度。7．交換機采用主流、成熟和售后服務(wù)均佳的產(chǎn)品，具有較高的性價比。網(wǎng)絡(luò)中使用的設(shè)備和協(xié)議應(yīng)完全符合國際通用的技術(shù)標準。預(yù)留擴展空間，以便今后的網(wǎng)絡(luò)改造。8．核心交換機應(yīng)采用三層交換機，支持VLAN等多種功能，能快速地解決突發(fā)數(shù)據(jù)量，在內(nèi)部用戶進行數(shù)據(jù)交換、語音通話、視頻信號時不會出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包丟失的情況。1.3應(yīng)用系統(tǒng)需求分析為滿足學(xué)校信息化建設(shè)的需要，PC機操作系統(tǒng)應(yīng)選擇占市場份額最大的主流操作系統(tǒng)，整個網(wǎng)絡(luò)采用同一廠商的操作系統(tǒng)產(chǎn)品，所選的操作系統(tǒng)應(yīng)依據(jù)以下需求：1．所有的客戶端和服務(wù)器系統(tǒng)應(yīng)該是易于配置和維護的，保障客戶端的方便使用，并提供方便的更新與升級方法。2．系統(tǒng)的運行應(yīng)具有高穩(wěn)定性，保障最高平均無故障時間。3．服務(wù)器及客戶機操作系統(tǒng)都需要支持TCP/IP協(xié)議，并能夠運行大多數(shù)常用的應(yīng)用軟件，例如辦公軟件、圖像處理軟件、CAD等。4．計算機應(yīng)用系統(tǒng)能處理大信息量的傳輸和計算；易于用戶管理、界面簡單、邏輯清晰。5．服務(wù)器操作系統(tǒng)應(yīng)能夠提供WEB、DNS等服務(wù)及完善的管理功能。6．所有的操作系統(tǒng)及選擇的服務(wù)應(yīng)盡量廣泛的支持各種硬件設(shè)備，系統(tǒng)設(shè)計應(yīng)盡量降低整個系統(tǒng)的成本。7．在系統(tǒng)的設(shè)計與實現(xiàn)及應(yīng)用上應(yīng)采用多種安全手段保障網(wǎng)絡(luò)的安全，并提供優(yōu)質(zhì)的售后服務(wù)及技術(shù)支持。8．系統(tǒng)的設(shè)計應(yīng)采用開放的技術(shù)及標準應(yīng)用軟件，保障系統(tǒng)能夠適應(yīng)未來幾年學(xué)校的發(fā)展需求，便于網(wǎng)絡(luò)的擴展和校園網(wǎng)絡(luò)的結(jié)構(gòu)變更。第二章行政樓網(wǎng)絡(luò)總體設(shè)計2.1設(shè)計標準EIA/TIA569：商用建筑物標準中對電信路由和空間的規(guī)定。EIA/TIA606：配線間的管理。TSB67：商用建筑標準中對電信路徑的建議規(guī)定。IEEEE802.2：10BASE-T、100BASE-T、10BASE-5、10BASE-2以太網(wǎng)標準。IEEEE802.5：TOKENTING4M/16M令牌環(huán)網(wǎng)標準。IEEEE802.7：FDDI網(wǎng)絡(luò)標準。IEEEE802.4：ARCNET網(wǎng)絡(luò)標準。2.2設(shè)計原則網(wǎng)絡(luò)設(shè)計是保證網(wǎng)絡(luò)工程質(zhì)量的關(guān)鍵環(huán)節(jié)之一，只有優(yōu)良的網(wǎng)絡(luò)設(shè)計方案，才能經(jīng)過精心施工建出高質(zhì)量的網(wǎng)絡(luò)。網(wǎng)絡(luò)系統(tǒng)技術(shù)復(fù)雜，涉及面廣。要設(shè)計一個高性能的校園網(wǎng)絡(luò)，就必須對全局精心策劃。本方案的設(shè)計在追求性能優(yōu)越、經(jīng)濟實用的前提下，本著嚴謹、慎重的態(tài)度，從網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備選擇、技術(shù)措施、網(wǎng)絡(luò)管理等方面進行系統(tǒng)的總體設(shè)計。為了使設(shè)計出來的系統(tǒng)更為合理和經(jīng)濟，性能更加良好，在網(wǎng)絡(luò)設(shè)計過程中應(yīng)遵循以下原則：高可用性/高可靠性：確保網(wǎng)絡(luò)可靠運行，在網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具有冗余和容錯能力，提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)。確保很高的平均無故障時間。實用性和經(jīng)濟性：服務(wù)設(shè)備和網(wǎng)絡(luò)雖然在技術(shù)性能上逐步提升，但其價格卻在逐年下降，不可能也沒必要實現(xiàn)所謂的“一步到位”。從實用性和經(jīng)濟性出發(fā)，選用合理的設(shè)備和材料，進行最佳性能組合，做到實用，經(jīng)濟和有效。安全性和保密性：計算機網(wǎng)絡(luò)是一個極其復(fù)雜而又相對公開的系統(tǒng)，既要考慮信息資源的充分共享，更要注意信息的保護和隔離，安全保密是校園信息化建設(shè)的核心，應(yīng)根據(jù)相應(yīng)的管理制度和網(wǎng)絡(luò)策略制定一套完善的安全策略，采用合適的技術(shù)手段，以達成目標，保證系統(tǒng)的安全性。擴展性和易維護性：系統(tǒng)便于擴展，即要滿足學(xué)校網(wǎng)絡(luò)不斷發(fā)展的要求，還要滿足未來主流技術(shù)和升級的需求。采用可網(wǎng)管產(chǎn)品，提供有效的網(wǎng)絡(luò)管理和系統(tǒng)監(jiān)控等技術(shù)，保證系統(tǒng)維護管理簡明、方便、有效。先進性和成熟性：不但滿足用戶當前需要，還應(yīng)考慮滿足未來幾年內(nèi)用戶對網(wǎng)絡(luò)功能和帶寬的需要，采用成熟先進技術(shù)，盡量減少技術(shù)風(fēng)險和投資風(fēng)險，在保證應(yīng)用和發(fā)展的基礎(chǔ)上，盡量減少不必要的投資。規(guī)范性和開放性：只有支持規(guī)范性和開放性的系統(tǒng)，才能支持與其它開放型系統(tǒng)一起協(xié)同工作。在設(shè)計和實施中，必須嚴格遵循國家的規(guī)范和國際的標準；網(wǎng)絡(luò)系統(tǒng)應(yīng)用開放的標準的技術(shù)，以滿足未來網(wǎng)絡(luò)擴充的與其他網(wǎng)絡(luò)互聯(lián)。2.3拓撲結(jié)構(gòu)設(shè)計在此次行政樓局域網(wǎng)網(wǎng)絡(luò)的設(shè)計中，網(wǎng)絡(luò)拓撲結(jié)構(gòu)選用星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)，星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)具有安全、可靠、易擴展等特點。我們采用層次化模型來設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)。層次化模型有利于實現(xiàn)較為復(fù)雜的網(wǎng)絡(luò)功能要求且節(jié)省成本，也可以支持較大的網(wǎng)絡(luò)規(guī)模便于行政樓網(wǎng)絡(luò)的升級擴大。在設(shè)計上劃分了三層來設(shè)計：核心層、匯聚層和接入層。辦公人員大約為120人，因?qū)W校要求網(wǎng)絡(luò)主干具備高可靠性和可用性,且考慮到以后擴充和辦公需要，為了保證數(shù)據(jù)轉(zhuǎn)發(fā)的快速和可靠，核心層的設(shè)計上采用了二臺萬兆三層交換機，在匯聚層用兩臺三層交換機之間作鏈路聚合，做到設(shè)備冗余和負載均衡，就算其中某個交換機發(fā)生故障，網(wǎng)絡(luò)也可以快速恢復(fù)，增加網(wǎng)絡(luò)的可靠性。而在接入層的設(shè)計上，使用多臺二層交換機。如下圖：網(wǎng)絡(luò)體系結(jié)構(gòu)行政樓網(wǎng)絡(luò)總拓撲2.4IP規(guī)劃絕大多數(shù)局域網(wǎng)采用TCP/IP協(xié)議，因此IP地址規(guī)劃在組建行政樓局域網(wǎng)時至關(guān)重要。在行政樓網(wǎng)絡(luò)規(guī)劃中，好的IP地址方案不僅可以減少網(wǎng)絡(luò)負荷,還能為以后的網(wǎng)絡(luò)擴展打下良好的基礎(chǔ)。IP地址規(guī)劃應(yīng)考慮：惟一性——一個IP網(wǎng)絡(luò)中不能有兩臺主機采用相同的IP地址。連續(xù)性——為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，縮減速路由表的表項，提高路由表的處理效率。可擴充性——為一個網(wǎng)絡(luò)區(qū)域分配的IP應(yīng)有一定的地址冗余，以便于主機數(shù)量增加，保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。簡單性——地址分配簡單，避免在主干上采用復(fù)雜的掩碼方式。安全性——行政樓的內(nèi)部網(wǎng)絡(luò)可按不同的部門劃分不同的網(wǎng)段，以便進行管理。學(xué)校申請了一個電信公網(wǎng)IP：61.190.10.2/24以及一個網(wǎng)通公網(wǎng)IP：220.249.10.2/24,內(nèi)網(wǎng)采用私有地址，邊界路由進行NAT轉(zhuǎn)換。以下表格為本設(shè)計方案的網(wǎng)絡(luò)地址規(guī)劃：表2.1IP地址分配設(shè)備名稱接口IP地址描述3S1F0/1192.168.3.1/243L-Switch3S1F0/2192.168.1.2/243L-Switch3S2F0/1192.168.4.1/243L-Switch3S2F0/2192.168.2.2/243L-Switch3S3F0/2192.168.1.1/243L-Switch3S4F0/2192.168.2.1/243L-SwitchR1F0/1192.168.3.2/24RouterR1F0/0192.168.4.2/24RouterR1S1/161.190.10.2/24電信R1S1/2220.249.10.2/24網(wǎng)通VLANIP地址規(guī)劃：VLAN號網(wǎng)段IP名稱描述1172.80.1.0/24管理10172.80.10.0/24xzb行政部20172.80.20.0/24jsb技術(shù)部30172.80.30.0/24cwb財務(wù)部40172.80.40.0/24jwb教務(wù)部50172.80.50.0/24hqb后勤部60172.80.60.0/24Server服務(wù)器第三章網(wǎng)絡(luò)設(shè)備選型3.1設(shè)備選型原則1．具備較強的安全性2．代表目前網(wǎng)絡(luò)系統(tǒng)設(shè)備的先進水平3．具備優(yōu)良的可擴充性和升級能力4．具有優(yōu)良的性價比，根據(jù)現(xiàn)在需求和未來擴展需求選擇設(shè)備型號，避免追求高檔和最新技術(shù)花費巨大的代價5．選擇售后服務(wù)好且有一套完善的服務(wù)體系及未來在該領(lǐng)域的發(fā)展計劃的廠商產(chǎn)品。為保證校園信息系統(tǒng)的穩(wěn)定性和高效運行，因此，應(yīng)該采用主流的網(wǎng)絡(luò)產(chǎn)品。CISCO是網(wǎng)絡(luò)業(yè)界第一品牌和最大的研發(fā)專家，是項目可持續(xù)應(yīng)用的投資保護和規(guī)避廠家風(fēng)險的首選。根據(jù)實際調(diào)查，綜合考慮各家公司的發(fā)展狀況、技術(shù)實力、市場占有率等各方面因素，本方案選擇CISCO公司的網(wǎng)絡(luò)設(shè)備，以確保網(wǎng)絡(luò)實用與性價比。3.2核心層交換機選型核心層為網(wǎng)絡(luò)主干，選用具有“路由器的功能，交換機的性能”的三層交換機最為合適。為公司辦公網(wǎng)絡(luò)主干選用二臺CISCOWS-C6509-E萬兆路由交換機作為核心交換機來連接各級交換機，對全網(wǎng)的數(shù)據(jù)進行高速無阻塞的交換。CISCOWS-C6509-E為辦公級模塊化交換機，具備極高的交換能力和端口密度，最多可支持上百個千兆以太網(wǎng)端口，充分滿足網(wǎng)絡(luò)互聯(lián)的需求。WS-C6509-E交換機擁有高達720Gbps背板帶寬和387Mpps的包轉(zhuǎn)發(fā)率，以固定的配置、存儲轉(zhuǎn)發(fā)的交換方式、可堆疊的獨立設(shè)備，提供了線速度快速以太網(wǎng)和千兆以太網(wǎng)連接，并帶有三層路由的引擎，可使公司網(wǎng)絡(luò)具有很強的升級能力，大大增加了網(wǎng)絡(luò)的交換能力、系統(tǒng)的實時性和系統(tǒng)的互動性。3.3匯聚層交換機選型匯聚層連接各接入設(shè)備，提供路由管理、網(wǎng)絡(luò)服務(wù)等，每天訪問量巨大，所以建議匯聚層設(shè)備選用二臺CISCOWS-C3750X-24T-S三層企業(yè)級交換機，它以存儲轉(zhuǎn)發(fā)的交換方式，160Gbps的背板帶寬和65.5Mpps的包轉(zhuǎn)發(fā)率，提供高水平的可用性、安全性和管理能力，從而提高整個行政樓網(wǎng)絡(luò)的運行效率。行政樓網(wǎng)絡(luò)中該設(shè)備通過1000Base-FX光纜上聯(lián)核心交換機，形成網(wǎng)絡(luò)的高速骨干。WS-C3750X-24T-S的傳輸速率為10/100/1000Mbps，具有很高的性能和堆疊能力。滿足服務(wù)器群的高速率的接入需要，也可以滿足因特網(wǎng)接入的需求。WS-C3750X-24T-S交換機簡化了網(wǎng)絡(luò)的部署，同時融合了可伸縮的網(wǎng)絡(luò)速率、性能、網(wǎng)絡(luò)規(guī)模。3.4接入層設(shè)備選型接入層交換機放置于樓層的設(shè)備間，連接各端末設(shè)備，做為網(wǎng)絡(luò)智能安全和策略的邊緣。為方便跨交換機的VLAN劃分，優(yōu)化網(wǎng)絡(luò)性能，簡化網(wǎng)絡(luò)拓撲結(jié)構(gòu)，在本設(shè)計中接入層統(tǒng)一使用10/100Mbps自適應(yīng)的CISCOWS-C2960-24TC-L智能交換機。背板帶寬為4.4Gbps,包轉(zhuǎn)發(fā)率為6.5Mpps,以存儲轉(zhuǎn)發(fā)的交換方式和全雙工/半雙工自適應(yīng)的傳輸模式，配備有千兆的上行鏈路，所有的接入層交換機組以百兆RJ-45直通雙絞線交換到桌面，在網(wǎng)絡(luò)中提供高密度的接入。用于VLAN邊緣為交換機的端口間提供安全性和隔離性，同時保證語音流量從進入點通過虛擬通道直接傳輸?shù)絽R聚層設(shè)備上，而不會被定位到其它無關(guān)端口。保證了投資成本少及易于管理的要求。3.5行政樓網(wǎng)絡(luò)服務(wù)器設(shè)備選擇服務(wù)器是所有C/S模式網(wǎng)絡(luò)中最核心的網(wǎng)絡(luò)設(shè)備，在相當程度上決定了整個網(wǎng)絡(luò)的性能。它既是網(wǎng)絡(luò)的文件中心，同時又是網(wǎng)絡(luò)的數(shù)據(jù)中心。學(xué)校需對外發(fā)布校園信息網(wǎng)站，且WEB站點為動態(tài)網(wǎng)頁，所以，我們的服務(wù)器選擇了聯(lián)想萬全R525S5405辦公級機架式服務(wù)器，它是一款內(nèi)存1G，CPU為IntelXeonE5405、主頻2000MHZ，硬盤容量73GB，集成ATI顯示芯片,16MB顯存，集成Intel雙千兆自適應(yīng)網(wǎng)卡,支持網(wǎng)卡冗余、負載均衡等功能,可選外插Intel千兆自適應(yīng)網(wǎng)卡的服務(wù)器。它支持Windowsserver2003R2StandardEdition中文版/英文版(X32)、Windowsserver2003R2EnterpriseEdition中文版/英文版(X32)、Windowsserver2003R2StandardEdition英文版（X64）、WindowsServer2003存儲增強版V2(WSS)等操作系統(tǒng)。且價格適中，有較高的性價比。3.6出口路由設(shè)備選型由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內(nèi)部，所以對路由器的性能要求不高，可以選用中低端路由器。因此出口路由器選用CISCO2811模塊化路由器。它是行政網(wǎng)絡(luò)對外的出口，也可以作為行政樓網(wǎng)絡(luò)的第一道防火墻。CISCO2811模塊化路由器提供了安全、可擴展的網(wǎng)絡(luò)連接，容納多種流量類型，如VPN等,最大DRAM內(nèi)存為760MB，傳輸速率為10/100Mbps,支持IEEE802.3x網(wǎng)絡(luò)標準。內(nèi)置的防火墻功能提高了局域網(wǎng)的安全性，利用CISCO2811網(wǎng)絡(luò)服務(wù)還可以預(yù)防和響應(yīng)網(wǎng)絡(luò)攻擊和威脅。3.7客戶端電腦選型本設(shè)計為客戶端PC機選擇神舟新瑞E30D4,神舟新瑞E30D4配有Intel奔騰雙核處理器G2030,雙核心設(shè)計,相當于兩個CPU共同工作,更大程度的提高多任務(wù)處理能力,搭配4GBDDR3內(nèi)存,CPU頻率3GHz。配備500GB的硬盤,有效降低成本，可使辦公效率大大提高。性能好，運行速度快。3.8主要網(wǎng)絡(luò)設(shè)備清單表3.1主要網(wǎng)絡(luò)設(shè)備列表設(shè)備名稱產(chǎn)品說明數(shù)量（個）價格（萬）CISCOWS-C6509-E核心層設(shè)備27.3CISCOWS-C3750X-24T-S匯聚層設(shè)備23.52CISCOWS-C2960-24TC-L接入層設(shè)備51.4聯(lián)想萬全R525S5405服務(wù)器設(shè)備25.5CISCO2811邊界路由10.58神舟新瑞E30D4客戶端電腦12028.788第4章網(wǎng)絡(luò)設(shè)計4.1廣域網(wǎng)接入隨著Internet技術(shù)的不斷發(fā)展，IP地址資源缺乏是Internet面臨的一個關(guān)鍵問題。為了節(jié)約地址資源，在內(nèi)部使用私有地址段中的地址，但是使用私有IP地址不能訪問Internet。所以必須申請一個或多個公有IP地址配置在和Internet相連的局域網(wǎng)邊緣設(shè)備上。再應(yīng)用NAT把使用私有地址的內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)換成注冊的合法IP與Internet進行連接，解決了IP地址緊缺的問題。在該網(wǎng)絡(luò)設(shè)計中，出口處僅使用了一個CISCO2811路由器，因?qū)W校要求網(wǎng)絡(luò)具有很高的可靠性和快速性，由于當前網(wǎng)通和電信兩個運營商之間存在著互聯(lián)互通速度慢的問題，造成速度瓶頸。所以學(xué)校向ISP同時申請了8M的中國電信寬帶和4M的中國網(wǎng)通寬帶兩條接入線路，在出口上采用雙出口設(shè)計，提高校園網(wǎng)絡(luò)對公網(wǎng)的訪問速度，保證網(wǎng)絡(luò)的穩(wěn)定、可靠和快速。由于學(xué)校只購買了一個電信公網(wǎng)IP地址和一個網(wǎng)通公網(wǎng)IP地址，而行政樓內(nèi)部共有150多個信息點，采用普通的靜態(tài)地址轉(zhuǎn)換，150多個信息點訪問外網(wǎng)需要150多個公網(wǎng)地址，這樣顯然不可能。所以在出口路由器上采用NAT技術(shù)，在行政樓內(nèi)部使用B類私有IP，通過基于端口號的地址轉(zhuǎn)換，將內(nèi)部私有IP地址轉(zhuǎn)換成公有IP地址在Internet上使用，既可節(jié)省IP地址，又可以同時讓多個內(nèi)網(wǎng)IP地址訪問Internet。NAT地址轉(zhuǎn)換使行政樓網(wǎng)絡(luò)內(nèi)外網(wǎng)互相獨立，達到完全的物理隔離的目的。4.2路由設(shè)計4.2.1OSPF行政樓網(wǎng)絡(luò)中有一個路由器和四個路由交換機，需使用路由協(xié)議使它們之間能夠共享信息?？紤]到將來網(wǎng)絡(luò)的擴展，平面結(jié)構(gòu)的路由協(xié)議（如RIP，EIGRP）不能滿足網(wǎng)絡(luò)性能的要求。行政樓網(wǎng)絡(luò)內(nèi)部有6個用戶網(wǎng)段，4個中轉(zhuǎn)路徑，為優(yōu)化網(wǎng)絡(luò)性能，建議采用OSPF路由協(xié)議。因此在本設(shè)計中在核心層匯聚層交換機與外出其路由器之間使用OSPF路由協(xié)議，并運行在Area0區(qū)域上，以實現(xiàn)路由的動態(tài)更新，加快核心層的路由轉(zhuǎn)發(fā)能力，確保全網(wǎng)互通。area0區(qū)域的劃分可減少各路由器的路由表尺寸；占用網(wǎng)絡(luò)資源少；利于網(wǎng)絡(luò)擴展,使用靈活，安全性較好。4.2.2策略路由行政樓網(wǎng)絡(luò)分別連接了電信和網(wǎng)通雙線路，通過在出口路由設(shè)備R1上添加策略路由包的方式，實現(xiàn)電信數(shù)據(jù)走電信，網(wǎng)通數(shù)據(jù)走網(wǎng)通。IP報文將先根據(jù)策略路由指定的策略轉(zhuǎn)發(fā)，只有當所有策略都不滿足時，才查找路由表，根據(jù)路由轉(zhuǎn)發(fā)，提高網(wǎng)絡(luò)的訪問速度。4.3網(wǎng)絡(luò)管理規(guī)劃4.3.1VTP管理域VTPDOMAIN稱為管理域，是VLAN中繼協(xié)議。在行政樓網(wǎng)絡(luò)設(shè)計中，在行政樓內(nèi)部劃分了6個VLAN，如果要在每臺交換機上都進行同一個VLAN建立，無疑加重了網(wǎng)絡(luò)工程中網(wǎng)絡(luò)配置的工作量，而且在以后新加VLAN時增加了管理員的工作量，所以在接入層和匯聚層的交換機上配置VTP，所有交換機配置為相同的管理域，三層交換機配置成服務(wù)器模式，這樣只要在Server模式的交換機上配置VLAN，管理域里所有的交換機就能夠了解彼此的VLAN列表，減少在多臺設(shè)備上配置同一個VLAN的工作量。而且保持了VLAN配置的統(tǒng)一性。VTP配置信息如下表4.3.1表4.3設(shè)備名稱DomainpasswordMode3S1ciscociscoServer3S2ciscociscoServer3S3ciscociscoServer3S4ciscociscoServer2S1ciscociscoClient2S2ciscociscoClient2S3ciscociscoClient2S4ciscociscoClient2S5ciscociscoClient注：交換機為Server模式是指允許在本交換機上創(chuàng)建、修改、刪除VLAN及對整個VTP域的配置參數(shù)。Client模式則不允許在本交換機上創(chuàng)建、修改、刪除VLAN。4.3.2IP地址管理網(wǎng)絡(luò)中需要為所有的PC機配置IP地址，由于行政樓網(wǎng)絡(luò)中有150多個信息點，為每一臺PC手工配置地址的工作量相當大，為了簡化行政樓網(wǎng)絡(luò)的配置，在3S3三層交換機上采用DHCP技術(shù)，網(wǎng)內(nèi)的主機除服務(wù)器外均通過DHCP服務(wù)器動態(tài)主機分配協(xié)議，自動獲得IP地址，減輕了網(wǎng)絡(luò)配置的工作量，同時當某個部門增加主機時不需要查看哪些IP地址可用，更不用擔心IP地址配置沖突。DHCP配置的詳細信息如下表4.3.2表4.3.2名稱IP地址池默認網(wǎng)關(guān)DNS描述VLAN10172.80.10.2-252172.80.10.1172.80.60.2行政部VLAN20172.80.20.2-252172.80.20.1172.80.60.2技術(shù)部VLAN30172.80.30.2-252172.80.30.1172.80.60.2財務(wù)部VLAN40172.80.40.2-252172.80.40.1172.80.60.2教務(wù)部VLAN50172.80.50.2-252172.80.50.1172.80.60.2后勤部4.3.3TELNET遠程登錄如果每次管理維護交換機與路由器時都到設(shè)備所在的現(xiàn)場進行配置，管理員工作量很大且麻煩，為提高工作效率，在交換機路由器上進行telnet設(shè)置，以后再需要配置交換機與路由器時，管理員可以通過telnet遠程方式登錄，然后進行配置與管理。需要注意的是，交換機的telnet管理IP配置在Vlan虛擬接口上，而路由器或路由交換機的管理IP在物理接口上，不在同一網(wǎng)段在交換機需加默認網(wǎng)關(guān)Ipdefault-gateway，Telnet登錄配置的詳細信息如下表4.3.3所示：表4.3.3設(shè)備名稱管理IP地址用戶名密碼特權(quán)密碼R1192.168.3.2/192.168.4.2adim123123453S1192.168.1.2adim123123453S2192.168.2.2adim123123453S3172.16.1.253adim123123453S4172.16.1.254adim123123454.4網(wǎng)絡(luò)安全設(shè)計4.4.1VLAN規(guī)劃VLAN（虛擬局域網(wǎng)）它依靠用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)絡(luò)劃分為多個虛擬網(wǎng)段。虛擬網(wǎng)絡(luò)（VLAN）技術(shù)在局域網(wǎng)中起到舉足輕重的作用，因為VLAN技術(shù)可以提高行政樓網(wǎng)絡(luò)的效率和安全性，便于對用戶的管理。在本設(shè)計中對行政樓內(nèi)部的不同部門劃分不同的VLAN進行管理，以達到以下幾個目的：1．控制網(wǎng)絡(luò)上的廣播風(fēng)暴。行政樓網(wǎng)絡(luò)的客戶端有上百臺設(shè)備，如所有設(shè)備都在一個VLAN中，當某臺設(shè)備發(fā)出一個廣播報文，報文到達交換機后就會被交換機復(fù)制到除接收該報文接口外的其余所有接口，浪費了其余設(shè)備帶寬。本方案將不同部門劃分到不同的VLAN中，能夠很好的保證一個VLAN中的廣播不會被另一個VLAN接收，這樣就減少了廣播流量，釋放更多的帶寬給用戶應(yīng)用。一個VLAN內(nèi)的通信主機原則上不超過50臺控制在30臺內(nèi)，后勤部的主機數(shù)量超過20臺，通過二層隔離