梧田一中校园网络设计

毕业设计（论文）题目：梧田一中校园网络设计
系部：信息技术系
专业：网络技术
学号：080307063
学生姓名：张理明
指导教师姓名：李余党
指导教师职称：讲师
二○一一年五月十日
摘要
学校目前正加紧对信息化教育的规划和建设。

开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，并保证将来可扩展骨干网络节点互联带宽为10G，为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。

最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。

关键词：网络设计IP规划设备选型
目录
第一章梧田一中校园网需求分析 (1)
1.1 总体需求 (1)
1.2 用户需求 (1)
1.3 功能需求 (2)
1.4 运行环境需求 (3)
1.4.1 硬件平台 (3)
1.4.2 软件环境 (3)
第二章逻辑网络设计 (4)
2.1网络拓扑设计 (4)
2.1.1核心层 (5)
2.1.2汇聚层 (5)
2.1.3接入层 (5)
2.2负载均衡冗余备份的出口设计 (6)
2.2.1网络地址转换(NAT) (7)
2.3骨干网络设计 (8)
2.3.1 VLAN技术 (9)
2.3.2 STP冗余链路 (11)
2.3.3 聚合链路 (12)
2.3.4 DHCP (12)
2.4 Vlan划分与IP规划 (12)
2.5设备配置 (13)
2.5.1二层交换机VLAN配置 (13)
2.5.2 三层交换机VLAN配置 (14)
2.5.3 核心交换机配置 (14)
2.5.4 路由器配置 (17)
第三章软件系统设计 (19)
3.1系统软件 (19)
3.2服务器软件 (19)
3.3应用软件 (20)
第四章网络安全设计 (21)
4.1防火墙 (22)
4.1.1主要功能 (22)
4.1.2主要技术特点 (23)
4.2网络DMZ (23)
4.3访问控制列表ACL (24)
第五章设备选型 (25)
5.1交换机 (25)
CISCO WS-C6506-E 技术参数 (25)
CISCO WS-C3560G-24TS-S 技术参数 (26)
CISCO WS-C2960-24TC-L 技术参数 (27)
5.2路由器 (28)
CISCO 3825 技术参数 (28)
5.3防火墙 (28)
CISCO ASA5510-K8 技术参数 (29)
5.4无线设备 (29)
H3C WX3008 技术参数 (29)
5.5服务器 (30)
联想万全T260 G3 S5506 2G/2*500SNR1热插拔技术参数 (30)
第六章总结 (33)
致谢 (34)
参考文献 (35)
第一章梧田一中校园网需求分析
1.1 总体需求
梧田一中已有部分楼宇内部单独组建了网络，但楼宇与楼宇之间并没有相互连接。

它们主要分布在办公大楼（150个信息点）、教学楼（42个信息点）、图书馆（60个信息点）、学生机房（共两间，每间50个点）。

另外，有部分楼宇需要建立网络，它们分别是教师宿舍（65个信息点），食堂（5个信息点），体育馆（10个信息点），实验楼的部分实验室（30个信息点）。

上述计算机房主要是根据不同的配置情况用于办公、教学、实验之用。

虽然有些已单独组网，但仍相互独立没有互连。

图书馆资料信息未采用开放的服务方式，图书信息查询仍需到图书馆。

各科室基本上都以单机方式工作，计算机上网比率仍然较低。

目前配置的计算机也仅用作一般计算机教学之用。

综上所述，梧田一中计算机应用水平和使用效率还有待于改进和提高。

骨干光纤布线采用全星型结构，中心机房设在实验楼的2楼。

把教学楼、图书馆、教师宿舍、堂、办公楼、体育馆全部以光纤与位于实验楼中心机房相连。

具体如表1-1所示。

表1-1 各大楼到网络中心距离
大楼名称到网络中心距离（米）
实验楼0
教学楼70
办公楼140
体育馆150
图书馆210
教师宿舍280
食堂80
1.2 用户需求
网络在梧田一中日常教学办公环境中起着至关重要的作用，校园网的运作模式会带
来大量动态的www应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求，目前为100/1000Mbps。

这就要求网络有足够的主干带宽和扩展能力。

同时，一些新的应用类型，如网络教学、视频直播/广播等，也对网络提出了支持多点广播和宽带高速接入的要求。

除上述考虑外，还要注意到由于逻辑上业务网和管理网必须分开，所以建成后校园网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应教学办公环境的调整和变化，及实现移动教学办公的要求。

按目前通常的考虑，建议数据信息点的接入以交换10/100Mbps自适应以太网端口接入为主，以供带宽需求较高用户或应用使用。

整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。

1.3 功能需求
（1）满足计算机教学科研、行政办公需要，提供各种教学、办公工具和支撑平台，并提供丰富的计算机软硬件系统资源。

（2）具有完善的办公事务处理能力，包括电子公文传递、电子公文管理、电子邮件、邮件收发等无纸办公自动化功能。

（3）满足信息情报交流的需要，方便学校各级领导和教学科研人员对各种信息资料、科技情报的检索和查阅。

包括Web查询、电子公告、电子新闻等。

（4）具有远程通信能力，借助电话网等通信手段，以最低的通信成本，方便地实现远程互联，跨越地域限制，满足学校要求，加强各单位之间的业务联系和信息资源共享。

（5）具有收集、处理、查询、统计各类信息资源的能力，充分利用原有数据资源，为学校领导提供准确、快捷的数字信息，实现数据化管理和智能化决策。

（6）学校网络系统要确保整个计算机网络系统的可靠性、安全性，具有一定的冗余。

容错能力强，确保信息处理安全保密。

（7）学校信息网络系统要保证实用和技术先进，便于非计算机专业人员使用，并能不断满足学校未来业务发展的需要，具有很强的扩展能力。

1.4 运行环境需求
1.4.1 硬件平台
（1）开放性：具有良好的可操作性、可互连性和相应的高速数据处理能力和数据交换能力。

（2）可扩充性：可根据体制、机构的变动而调整。

（3）可靠性：保证网络和应用系统安全稳定运行。

1.4.2 软件环境
（1）对操作系统的要求：
较高的性能价格比。

易于安装、维护、使用。

优异的连网能力。

具有高度的安全性。

（2）对数据库要求：
开放性，基于标准的，可与不同数据库、开发工具互连。

可靠性，具有自动备份和自动恢复功能。

安全性，对系统提供多种权限控制。

分布式，具有分布式和集中式处理能力。

支持联机分析处理。

支持WEB技术并具有多媒体处理技术。

具有较高的性能价格比。

（3）对开发环境和工具的要求：
基于客户机/服务器环境、分布式环境、Internet环境。

支持分布式、组件式的应用体系结构。

支持WEB的应用开发。

具有开放性，支持不同的使用平台、数据库、事务处理器。

第二章逻辑网络设计
2.1网络拓扑设计
梧田一中校园解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性、可运营性，采用模块化的设计方法。

针对其网络建设目标，其校园网整体总体方案如图2-1所示：
图2-1 网络拓扑图
从逻辑上，网络可分为核心层、分布层和接入层，每层都有其特点。

层次化设计的优点可以总结为如下几点：
（1）可扩展性：因为网络可模块化增长而不会遇到问题；
（2）简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；
（3）设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；
（4）可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。

2.1.1核心层
核心层为下两层提供优化的数据输运功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等)，否则会降低数据包的交换速度。

2.1.2汇聚层
汇聚层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。

在园区网络环境中，分布层主要提供如下功能：（1）地址的聚集
（2）部门和工作组的接入
（3）广播域/多目传输域的定义
（4）Inter VLAN路由
（5）介质的转换
（6）安全控制
2.1.3接入层
接入层的主要功能是为最终用户提供对园区网络访问的途径。

本层也可以提供进一步的调整，。

在园区网络环境中，接入层主要提供如下功能：
(1) 共享带宽
(2) 交换带宽
(3) 学习MAC地址
(4) VLAN
2.2负载均衡冗余备份的出口设计
当前，校园网出口面临的首要问题就是性能问题。

大部分校园网从初建至今已有几年的历史。

初建时，一般都是租用一条DDN线路连接到中国教育和科研计算机网（CERNET）。

由于中国教育科研网与一般的电信级运营网络不同，没有非常充裕的线路、设备冗余，有可能发生单点故障，对于校园网的稳定运行有一定的影响。

同时，通过CERNET访问其他的共众网如CHINANET、GBNET等速率缓慢。

随着校园网用户量增加和基于校园网络的各种网络应用的展开，要求校园网络出口具有较高的网络带宽，原有单一的CERNET出口已不能满足，有必要进一步扩大带宽，通过当地网络服务提供商（ISP）开辟第二出口连入INTERNET是较好的解决途径，许多学校采用了教育网和电信（或联通、铁通等）第二出口的双出口方案，既可以保留教育网资源，同时可以增加带宽，提高了访问INTERNET资源的速度。

各个学校采用了不同的技术实现双出口，但是基本上思路是相同的：对于访问教育网资源和mail流量走教育网出口，对于用户上网来说，走第二出口。

这样，一方面提高了校园网出口的冗余，增加了校园网的稳定性，另一方面，也解决了校外访问校园网速度过慢的问题，同时，有效减少教育网的国际流量，降低网络运行费用。

第二出口从连接方式上来说，可以采用DDN专线、ISDN、ADSL等多种技术在启用NAT、ACL的情况下，在通常情况报文流情况下（平均报文长度为500byte 左右的混合报文），双向可以达到8Gbps的线速转发。

每秒高达30万条的NAT 新建链接会话。

在2Gbps的NAT线速转发下，每秒达到7万条NAT会话。

达到200万条的并发NAT会话数。

如果按照每个网络节点300条NAT会话，则可以同时支持将近7000台的网络节点同时在线。

出口线路负载均衡，出口设备及冗余链路的备份
一方面在流量的策略上，能够实现基于源头的流量区分和基于访问目的的出口控制。

具体举例来说，可以将学生的流量和老师的流量制定不同的路由路径；在对外出口上，根据所访问的资源进行划分，教育网免费资源走教育网出口，免费地址列表之外的都走网通或者电信出口。

2.2.1网络地址转换(NAT)
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet 接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。

随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。

事实上，除了中国教育和科研计算机网(CERNET)外，一般用户几乎申请不到整段的C 类IP地址。

在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。

显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。

NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。

（1）静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

（2）动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。

当ISP提供的合法IP地址略少于网络内部的计算机数量时。

可以采用动态转换的方式。

（3）端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。

内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。

因此，目前网络中应用最多的就是端口多路复用方式。

2.3骨干网络设计
本方案采用千兆以太交换网体系结构、可扩展的拓扑结构、300米以内的建筑物采用多模光缆布线结构；300米以外的建筑物采用单模/多模混装光缆的布线结构，保证向千兆位以太网技术迁移的可能性，每条光缆有50％的冗余度。

光缆敷设采用地下管道直埋式，主管道保证50％的冗余度；主建筑物与网络中心之间采用单点对单点无中继管理模式。

如图2-2所示。

图2-2骨干网络图
虚拟网的设计主要是满足校园主干网各部门灵活的进行网络逻辑结构的更改和配置。

虚拟网的作用主要有以下几点：
（1）划分不同的广播域，减少共享带宽的单元；
（2）划分不同的逻辑网段，限制不同网段用户的相互访问，以此达到对网络安全的管理；
（3）将不同地理区域上属于同一部门的结点划分到同一虚拟网段上，便于单位内部网络的建设和管理。

骨干网最重要的就是稳定可靠性。

影响骨干网稳定可靠的因素有很多，但是最主要的有三个方面：设备本身、网络架构、安全保障。

只有这三个方面都没问题了，才会形
成稳固健壮的骨干网络。

网络核心作为全网的心脏，向学校的教学办公、宿舍以及各种应用系统（在线点播、电子邮件、WEB服务等）源源不断的提供安全稳定的信息血液，保证整个学校相关业务的可靠运行。

因此，作为整个网络平台的神经中枢，网络核心层是全网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输，同时，还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。

整网采用千兆多核心、千兆骨干、千兆/百兆到桌面的设计理念。

高吞吐量，线速转发的核心路由器和三层交换机，所有关键器件的冗余，包括主控板、交换网板、电源等，支持板件的热插拔技术，保证了网络的高效运转。

骨干设备双核心双链路，或者核心成环之后，相互之间互为容错备份，并在核心交换机中采用关键模块冗余设计（双电源冗余等）。

核心和汇聚之间采用双链路连接，一旦数据传输的活动链路失效以后可以自动切换到另一条链路，保障数据的正常转发。

这样，从全网架构上，核心层双链路交换系统不存在单点故障，是一种高级别交换完全冗余的容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性、稳定性的运行。

2.3.1 VLAN技术
VLAN是交换环境中为了克服网络物理分段的限制而建立的逻辑网络段。

VLAN在物理网络的基础上，能根据需要灵活的划出许多逻辑网络，从而摆脱了建筑物、楼层、地址空间等物理地域限制，以及因为位于布线柜或路由器地理位置的固定而造成的对用户组的限制，能根据用户实际需要灵活地建立逻辑的专用网络，使网络更安全，更便于管理，更畅通和带宽更有保证。

VLAN技术为网络设计带来了实质性变化：
(1) 碰撞域缩小，广播隔离；
(2) 交换端口智能化；
(3) 物理边界不复存在；
(4) 用户按逻辑关系分组；
(5) 更有力地控制带宽，有在链路拥护时配置和重新分配流量；
(6) 简化了用户移动时配置和重新布线的过程；
(7) 集中式管理，提供关于流量和广播状态的详细报告以及VLAN组大小和组成的
统计数据；
(8) 用于跨VLAN通讯的路由功能等。

VLAN的主要技术特点包括：
1．VLAN有基于网络协议类型、网络交换机端口、网络链路层地址和网络层地址定义等多种形式：
(1) 基于网络协议的VLAN
基于网络协议的VLAN主要有跨越快速以太网主干的ISL、跨越FDDI的802.10和跨越ATM的LANE。

这些协议可在那些与快速以太网、FDDI、ATM主干网相连接的交换机、路由器和服务器之间传送配置后的VLAN信息。

(2) 基于网络交换机端口的VLAN
基于交换机端口的VLAN是大多数网络交换机厂家都能提供性能。

依据端口草分网络成员关系，扩大了交换机的传输性能，便于通过GUI进行管理和网络控制，能确保数据包不会漏入其它区域增强了VLAN之间的安全性。

(3) 基于网络链路层地址的VLAN
基于链路层（第二层）地址的VLAN，是依据MAC地址划分网络中的成员关系，能把VLAN划分的更细、更灵活，但是增加一些开销。

它是在OSI第2层上的VLAN 分段采用了一种包标识处理（包标志）。

数据包在经过整个交换网络时都携带这一标识。

从而使得唯一标识的数据包从每一个交换端口到VLAN组的处理具有极小的时延。

这种方法不需要对终端站应用进行任何修改。

可以直接进行配置和管理，并可对现有的LAN 介质类型和千兆骨干网进行扩展。

当交换机接收到来自任何相连终端站设备的数据包后，在每个包头部都会加上一个唯一的包标识符。

该头部信息指定了每个包的VLAN属性（即属于哪一个VLAN）。

然后，根据VLAN标识符与MAC地址，将数据包传递给相应交换机和路由器，在到达最终日的站点时，数据包在相邻的交换机中去除头部信息，并以原来的形式传递至相连的设备。

这种方法为在不干扰网络和应用的情况下控制广播和应用的信息流动提供了一种强有力的机制。

目前，绝大多数网络设备厂商还不能提供基于网络层地址定义的VLAN。

(4) 基于网络层地址定义的VLAN
基于网络层的VLAN通过基于协议类型和网络地址的分段，可在网络层（第3层）
上得到进一步定义。

这种类型的VLAN分段需要子网地址与VLAN组映射。

交换机将终端站的MAC地址和基于子网地址的对应VLAN连接起来，同时选定在同一VLAN中的其它站的相应网络端口。

这种方法的优点在于网络管理员可根据每个包中的网络层信息对网络进行分段。

这种VLAN也是大多数厂商不能支持的。

2．VLAN之间的通信
VLAN之间的通信需要第3层的路由选择。

如果没有这个功能，VLAN将完全是相互独立的。

在今天的几乎所有网络中，无论所处地点或逻辑网段如何，访问网络所有部分的能力是至关重要的。

这就要求在一个交换机或路由器中跨主干网进行第3层。

这样，在设计配置和管理VLAN时，第3层路由选择就成为一个必不可少的组成部分。

3．VLAN的负载分布功能
VLAN的负载分布功能对局域网来说是十分重要的。

能够在两个流量密集的交换机间分布流量负载，同时又能保持这些链路完全冗余性，这对于需要在两个或一系列互连的交换机间进行大带宽通信的网管员来说是一个非常有效的机制。

将用户和流量分布在不同的VLAN中，网管员可以在交换机间添加冗余链路，并利用这些链路来分布流量。

在没布VLAN组的情况下，两交换机间的冗余链路（重复路径）并不能被交换机充分利用，这是因为生成树技术仅允许一条链路传输数据流，而禁止其它链路传输以防止形成桥接环路。

通过把一组VLAN分配给一个链路作为主要路径，并把另一个VLAN组分配到冗余链路，仍然作为主要路径，就可以在冗余链路上分布流量。

如果使用两条链路则可以将带宽加倍。

而且，可添加的链路数量是不受限制的。

通过为每个VLAN都提供一个生成树，可以保持用于负载分配的重复链路冗余功能持续有效工作。

当主链路发生故障时，配置在这个链路的VLAN可通过冗余链路重新连接。

在主要链路运行中断期间，冗余链路将担负全部VLAN流量（如果仅有两条冗余链路的话），当主链路恢复以后，生成树会重新将VLAN流量引向这一链路。

2.3.2 STP冗余链路
STP 协议是用来避免链路环路产生的广播风暴、并提供链路冗余备份的协议。

对二层以太网来说，两个LAN 间只能有一条活动着的通路，否则就会产生广播风暴。

但是为了加强一个局域网的可靠性，建立冗余链路又是必要的，其中的一些通路必须处于备份状态，如果当网络发生故障，另一条链路失效时，冗余链路就必须被提升为
活动状态。

手工控制这样的过程显然是一项非常艰苦的工作，STP 协议就自动的完成这项工作。

它能使一个局域网中的交换机起下面作用：
发现并启动局域网的一个最佳树型拓朴结构。

发现故障并随之进行恢复，自动更新网络拓朴结构，使在任何时候都选择了可能的最佳树型结构。

局域网的拓朴结构是根据管理员设置的一组网桥配置参数自动进行计算的。

使用这些参数能够生成最好的一棵拓朴树。

只有配置得当，才能得到最佳的方案。

2.3.3 聚合链路
把多个物理链接捆绑在一起形成一个简单的逻辑链接，这个逻辑链接我们称之为一个aggregate port（以下简称AP ）。

AP是链路带宽扩展的一个重要途径，符合IEEE 802.3ad标准。

它可以把多个端口的带宽叠加起来使用，比如全双工快速以太网端口形成的AP最大可以达到800Mbsp，或者千兆以太网接口形成的AP最大可以达到8Gbsp。

2.3.4 DHCP
DHCP协议被广泛的应用在局域网环境里来动态分配IP地址。

DHCP Client发出目的IP地址为255.255.255.255的DHCP请求报文来找寻DHCP Server，并请求获取IP。

DHCP Server收到后DHCP请求报文后，根据一定的策略来给Client分配IP，发出DHCP响应报文。

一旦DHCP Client收到确认的响应报文后，就认为自己获得了一个合法的IP地址，以后就绑定这个IP地址开始正常的网络通讯。

2.4Vlan划分与IP规划
Vlan划分与IP规划的具体细节如表2-1所示。