网吧网络规划方案

序号
1
楼宇
A1
实际信息点
116
序号
10
楼宇
宾馆
实际信息点
94
2
A2、A3
84
11
专家公寓
40
3
B
220
12
学生公寓1
674
4
C
188
13
学生公寓2
674
5
D
70
14
学生公寓3
674
6
E
224
15
学生公寓4
674
7
F
187
16
服务楼
15
8
G
163
17
食堂
100
9
H
526
18
体育馆、图书馆
319
合计信息点数
>=16 支持端口/IP/MAC三元组的绑定 支持基于VLAN下发ACL，有效简化ACL配置过程 支持8K MAC地址；支持黑洞MAC；支持设置端口最大MAC地址学习 5700元
网络设备选择
表8 H3C E152主要技术指标
交换容量 转发性能 端口数量 支持堆叠台数 端口/IP/MAC三元组的绑定 VLAN ACL MAC地址 参考价格
需求分析
2. 学院校园网网络规划建设目标应有以下几点：
骨干网络具有弹性扩展能力，支持IPV6，保护投资； 无线覆盖通过本校园区网，实现全校无线覆盖，方便移动办公； 对全网进行运营管理，保证入网用户的合法性； 提高整网的安全性，防止病毒、网络攻击等行为对网络的影响。
需求分析
表1 楼宇信息点分布情况
校园网络组建与互联
任务1：网络规划方案
学习情境描述
某学院现有近10000教职员工，校园网共有信息点5042个，共有教学楼、办
公楼、体育馆、图书馆、学生公寓、专家公寓、宾馆、服务楼、食堂等18余栋 建筑物。网络中心设在主教学楼八楼，在网络出口拟采用双网光纤接入，核心 层设备拟采用单核心千兆下连，在各楼主设备间均放置汇聚层三层网络设备， 各楼通过接入层网络设备与汇聚层三层网络设备相连，实现千兆主干百兆到桌 面。
5042
IP地址规划设计
表2 vlan与IP规划情况
VLAN ID 11 VLAN Name a11 IP/Subnetwork 10.1.11.0/24 描述 A1区行政办公一楼
12
13 14 15 21 22
a12
a13 a14 a15 a21 A22
10.1.12.0/24
10.1.13.0/24 10.1.14.0/24 10.1.15.0/24 10.1.21.0/24 10.1.22.0/24
10.1.23.0/24
10.1.24.0/24 10.1.25.0/24 … 10.1.201.0/24 10.1.202.0/24 10.1.203.0/24 10.1.204.0/24 10.1.205.0/24 10.1.206.0/24 10.1.207.0/24 10.1.208.0/24 10.1.209.0/24 … 10.1.260.0/24
组播协议
IPv6路由协议 流量分析
支持PIM-DM、PIM-SM、IGMP v1/v2/v3、IGMP Snooping、MSDP等协议
支持ND、RIPng、MLD SNOOPING、ICMP v6等协议 要求内置支持NETSTREAM、sflow或者netflow等流量分析功能。
安全特性
支持IP+MAC+PORT的绑定，支持黑洞MAC，支持非法帧报文过滤，用户分级管理和口令保护，支持端口 隔离，支持SSH，支持SNMPv3网管；支持DHCP Snooping。
网络设备选择
表4 Cisco ASA 5520防火墙主要技术指标
防火墙吞吐量 并发会话数 内存 端口数
≥450M bps ≥280,000 ≥512M。 ≥4个10/100/1000M以太网端口。 提供硬件的IPSEC VPN和WEB VPN、 SSL VPN功能。支持远程接入VPN和SITE TO SITE的VPN；支持VPN集群和负载 均衡，负载可根据每台设备的容量分配。支持基于状态检测的包过滤。支持NAT、PAT，支持双向NAT的功能。支持 静态、RIP、OSPF 等路由协议。支持对H.323、SIP等实时会话的安全过滤。支持对应用的深度分析，提供对于P2P、 IM等应用的控制。支持路由模式和二层透明模式的防火墙设置。支持不同端口的同一安全级别设置，可以同时配置多 个INSIDE（内口）或多个OUTSIDE（外口）。所有端口支持802.1Q VLAN，可以配置多个VLAN虚拟接口数。支持冗 余防火墙的负载均衡和备份，包括ACTIVE/ACTIVE的工作方式和ACTIVE/STANDBY的工作方式。支持虚拟防火墙的 功能，虚拟防火墙数量≥2，可以为这些不同的业务分配逻辑独立的防火墙，和MPLS VPN相结合，并能够为不同VPN 的用户实现独立的安全控制策略和地址转换策略，能对不同逻辑独立防火墙分配CPU资源、内存资源、会话连接数等。 能够与外部URL过滤服务器配合实现基于URL的过滤。支持JAVA过滤和ACTIVEX过滤。防御拒绝服务（DOS）攻击， 例如SYN泛滥、互联网控制信息协议（ICMP）泛滥、端口扫描、PING OF DEATH等攻击方式。支持IP/MAC地址的绑 定。支持SYSLOG日志，可向日志服务器导出日志。可提供不小于16个级别的可定制管理角色，可以授予管理员和操 作人员访问每台设备的相应级别的权限，例如，只能进行VPN服务配置、只能进行防火墙服务配置、只能进行监控， 或配置的只读访问。支持基于WEB的管理，支持图形化的管理工具对防火墙进行配置和管理 35000元
网络设备选择
表5 Cisco Catalyst 6509主要技术指标
操作系统 背板带宽 第三层转发性能 冗余交换管理引擎 高可用性特性 10/100/1000兆位以太网 （GBIC）、10千兆位以 太网 其他功能 参考价格
Catalyst OS(CatOS) / Cisco IOS混合配置 32Gbps共享总线、720Gbps交换矩阵 Supervisor 720 、400Mpps 支持状态化故障切换 网关负载均衡协议（GLBP）、 热备份路由器协议（HSRP） 、跨多模块EtherChannel 、快速生成树、多生成树、 每VLAN快速生成树、快速收敛的第三层协议 576个端口，都支持馈线电源 194个端口（在交换管理引擎上提供了2个端口） 32个端口 支持QoS、硬件支持IPv6、可扩展支持NAT 810000元
网络设备选择
表3 H3C SR6608主要技术指标
包转发能力 可扩展插槽 背板带宽 IPSec加密 GE路由接口满配 路由协议 组播 IPv6过渡技术 动态路由协议 组播路由协议 VPN 防火墙 流量分析 参考价格
>=18Mpps >=8 >=100Gpbs >=12Gbps >=64 支持RIP、OSPF、BGP、IS-IS等路由协议。 组播路由协议：IGMP/IGMPv3，PIM-DM，PIM-SM，PIM SSM，MBGP，MSDP NAT-PT，IPv6隧道，6PE、IPv6隧道：手工隧道，自动隧道，GRE隧道，6to4，ISATAP、IPv6静态路由。 RIPng，OSPFv3，IS-ISv6，BGP4+ MLD V1/V2，IGMPv3，PIM-DM，PIM-SM，PIM-SSM 硬件加密加速，IPSec/ IKE， L2TP，GRE，MPLS/BGP VPN，MPLS L2VPN，MPLS TE 包过滤、ASPF，NAT/NAPT，SSL，URPF 内置支持Netstream、sflow或netflow流量分析功能，如果不支持内置流量分析功能，需要配置相应的板卡。 180000元
>=19Gbps >=13.2Mpps 固定10/100M电口： >=48 ；固定千兆SFP的光口数量： >=4个（如果SFP口需要配置子卡， 必须配置子卡） >=16 支持端口/IP/MAC三元组的绑定 支持基于VLAN下发ACL，有效简化ACL配置过程 支持8K MAC地址；支持黑洞MAC；支持设置端口最大MAC地址学习 8600元
A1区行政办公二楼
A1区行政办公三楼 A1区行政办公四楼 A1区行政办公五楼 A2区，A3区教学楼一楼 A2区，A3区教学楼二楼
23
24 25 … 201 202 203 204 205 206 207 208 209 … 260
A23
A24 A25 … ZL101 ZL105 ZL106 Zl109 ZL110 ZL111 ZL207 ZL208 ZL210 … G217
网络设备选择
表6 H3C S5500-28C-PWR-EΒιβλιοθήκη Baidu主要技术指标
背板带宽 包转发率（整机） 端口 可扩展万兆接口数量 路由表容量 链路聚合
192Gbps 95.2Mpps 24个10/100/1000Base-T以太网端口 4个复用的1000Base-X千兆SFP端口 >=4 >=512 最大支持8个GE口或者2个10GE端口聚合；支持LACP
交换容量 转发性能
>=19Gbps >=6Mpps
端口数量
固定10/100M电口： >=24 ；固定千兆SFP的光口数量： >=2个（如果SFP口需要配置子卡，必 须配置子卡）；固定千兆电口数量： >=2个（可以与千兆SFP光口Combo复用）
支持堆叠台数 端口/IP/MAC三元组的绑定 VLAN ACL MAC地址 参考价格
参考价格
28000元
网络设备选择
4.局域网接入交换设备选型 接入层就是每栋楼的楼层接入交换机，考虑到接入层交换机的对于 终端用户接入的控制起着非常重要的作用，因此建议采用安全性、控制 性较高的设备，我们在此建议采用H3C E126A/E152接入交换机作为楼层 接入交换机。
网络设备选择
表7 H3C E126A主要技术指标
网络设备选择
3.局域网汇聚交换设备选型 汇聚层的交换机主要是选用三层交换机。在全网络的设计上体现了 分布式路由思想，可以大大减轻核心层交换机的路由压力，有效的进行 路由流量的均衡。作为本地网络的逻辑核心，对于突发流量大、控制要 求高、需要对QoS有良好支持的应用(多媒体流-语音、视频和数据的融 合应用，比如多媒体教室和教学) ，选择性价比高的H3C S5500-28CPWR-EI，实施策略部署和接入的汇聚。对于没有特殊需求(多媒体传输、 安全、控制等) 的子网，比如正常办公子网（通常只进行数据的传输） 可以考虑选择性能中等的二层交换机设备。
功能
参考价格
网络设备选择
2.局域网核心交换设备选型
核心层是局域网的骨干，重点考虑全网的安全建设，采用的核心设 备必须具备完整的安全体系架构，具备防源IP地址欺骗、防DOS/DDOS攻 击，防IP扫描等防攻击功能，支持千兆端口链路聚合，支持端口镜像， 支持DHCP Snooping，设备的管理支持采用SNMPV3标准协议，具备数据 加密，非法数据包检测等安全功能，保证网络设备的安全，负责可靠而 迅速的传输大量的数据流。根据网络需求和性价比这里选择Cisco Catalyst 6509 。
工作任务描述
作为项目的负责人，通过给出的学院校园网网络建设的具体要求，对 本项目进行需求分析，并在此基础上进行组网方案设计，绘制网络拓扑 图、进行网络设备的选型，形成需求分析及方案设计文档。
需求分析
1.用户的基本需求如下: 实现光纤双网接入； 校园网的所有计算机或终端设备均可通过网络中心连接到互联网，从而 最大限度地利用网络资源； 实现校园网100Mbps到桌面的网络数据传输； 实现校园网对内、外网服务器的安全访问。
A2区，A3区教学楼三楼
A2区，A3区教学楼四楼 A2区，A3区教学楼五楼 … A楼101机房 A楼105机房 A楼106机房 A楼109机房 A楼110机房 A楼111机房 A楼207机房 A楼208机房 A楼210机房 … G教学楼217机房
拓扑图绘制
网络设备选择
1.互联网接入设备选型 学院校园网络设计有两个网络出口，一个是电信、另一个是联通， 如果每个网络出口均采用路由器、防火墙的话，成本要增加，而采用双 线路接入的话网络中的服务器都需要进行配置双网卡，才能实现高速访 问外网，网络维护难度大。 所以在网络设计的时候要考虑采用统一的网络出口设备，保证内网 的用户可以简单高速的访问互联网，同时网络出口设备要具有非常高的 NAT性能和电信、联通自动选路的功能。根据内部节点数为8000个点以 内，可以选择相应的路由器、防火墙，根据网络需求和性价比这里选择 H3C SR6608路由器、Cisco ASA 5520防火墙 。