校园网络规划方案

描述 A1区行政办公一楼 A1区行政办公二楼 A1区行政办公三楼 A1区行政办公四楼 A1区行政办公五楼 A2区，A3区教学楼一楼 A2区，A3区教学楼二楼 A2区，A3区教学楼三楼 A2区，A3区教学楼四楼 A2区，A3区教学楼五楼
… A楼101机房 A楼105机房 A楼106机房 A楼109机房 A楼110机房 A楼111机房 A楼207机房 A楼208机房 A楼210机房
专业务实 学以致用
网络设备选择
表4 Cisco ASA 5520防火墙主要技术指标
防火墙吞吐量 并发会话数
内存 端口数
功能
参考价格
≥450M bps
≥280,000
≥512M。
≥4个10/100/1000M以太网端口。
提供硬件的IPSEC VPN和WEB VPN、 SSL VPN功能。支持远程接入VPN和SITE TO SITE的VPN；支持VPN集群和负载 均衡，负载可根据每台设备的容量分配。支持基于状态检测的包过滤。支持NAT、PAT，支持双向NAT的功能。支持 静态、RIP、OSPF 等路由协议。支持对H.323、SIP等实时会话的安全过滤。支持对应用的深度分析，提供对于P2P、 IM等应用的控制。支持路由模式和二层透明模式的防火墙设置。支持不同端口的同一安全级别设置，可以同时配置多 个INSIDE（内口）或多个OUTSIDE（外口）。所有端口支持802.1Q VLAN，可以配置多个VLAN虚拟接口数。支持冗 余防火墙的负载均衡和备份，包括ACTIVE/ACTIVE的工作方式和ACTIVE/STANDBY的工作方式。支持虚拟防火墙的 功能，虚拟防火墙数量≥2，可以为这些不同的业务分配逻辑独立的防火墙，和MPLS VPN相结合，并能够为不同VPN 的用户实现独立的安全控制策略和地址转换策略，能对不同逻辑独立防火墙分配CPU资源、内存资源、会话连接数等。 能够与外部URL过滤服务器配合实现基于URL的过滤。支持JAVA过滤和ACTIVEX过滤。防御拒绝服务（DOS）攻击， 例如SYN泛滥、互联网控制信息协议（ICMP）泛滥、端口扫描、PING OF DEATH等攻击方式。支持IP/MAC地址的绑 定。支持SYSLOG日志，可向日志服务器导出日志。可提供不小于16个级别的可定制管理角色，可以授予管理员和操 作人员访问每台设备的相应级别的权限，例如，只能进行VPN服务配置、只能进行防火墙服务配置、只能进行监控， 或配置的只读访问。支持基于WEB的管理，支持图形化的管理工具对防火墙进行配置和管理
最大限度地利用网络资源； 实现校园网100Mbps到桌面的网络数据传输； 实现校园网对内、外网服务器的安全访问。
专业务实 学以致用
需求分析
2.职业技术学院校园网网络规划建设目标应有以下几点：
骨干网络具有弹性扩展能力，支持IPV6，保护投资； 无线覆盖通过本校园区网，实现全校无线覆盖，方便移动办公； 对全网进行运营管理，保证入网用户的合法性； 提高整网的安全性，防止病毒、网络攻击等行为对网络的影响。
IPv6过渡技术 NAT-PT，IPv6隧道，6PE、IPv6隧道：手工隧道，自动隧道，GRE隧道，6to4，ISATAP、IPv6静态路由。
动态路由协议 组播路由协议
VPN 防火墙 流量分析 参考价格
RIPng，OSPFv3，IS-ISv6，BGP4+ MLD V1/V2，IGMPv3，PIM-DM，PIM-SM，PIM-SSM 硬件加密加速，IPSec/ IKE， L2TP，GRE，MPLS/BGP VPN，MPLS L2VPN，MPLS TE 包过滤、ASPF，NAT/NAPT，SSL，URPF 内置支持Netstream、sflow或netflow流量分析功能，如果不支持内置流量分析功能，需要配置相应的板卡。 180000元
专业务实 学以致用
需求分析
序号
1
楼宇
A1
2
A2、A3
3
B
4
C
5
D
6
E
7
F
8
G
9
H
合计信息点数
表1 楼宇信息点分布情况
实际信息点
序号
116
10
楼宇
宾馆
84
11
专家公寓
220
Βιβλιοθήκη Baidu
12
学生公寓1
188
13
学生公寓2
70
14
学生公寓3
224
15
学生公寓4
187
16
服务楼
163
17
食堂
526
18
体育馆、图书馆
5042
专业务实 学以致用
网络设备选择
表3 H3C SR6608主要技术指标
包转发能力 可扩展插槽
背板带宽 IPSec加密
>=18Mpps >=8 >=100Gpbs >=12Gbps
GE路由接口满配 >=64
路由协议 组播
支持RIP、OSPF、BGP、IS-IS等路由协议。 组播路由协议：IGMP/IGMPv3，PIM-DM，PIM-SM，PIM SSM，MBGP，MSDP
… 10.1.201.0/24 10.1.202.0/24 10.1.203.0/24 10.1.204.0/24 10.1.205.0/24 10.1.206.0/24 10.1.207.0/24 10.1.208.0/24 10.1.209.0/24
… 10.1.260.0/24
专业务实 学以致用
学习情境4 校园网络组建与互联
任务1：网络规划方案
专业务实 学以致用
学习情境描述
职业技术学院现有近10000教职员工，职业技术学院校园网共有信息点5042 个，共有教学楼、办公楼、体育馆、图书馆、学生公寓、专家公寓、宾馆、服 务楼、食堂等18余栋建筑物。网络中心设在主教学楼八楼，在网络出口拟采用 双网光纤接入，核心层设备拟采用单核心千兆下连，在各楼主设备间均放置汇 聚层三层网络设备，各楼通过接入层网络设备与汇聚层三层网络设备相连，实 现千兆主干百兆到桌面。
专业务实 学以致用
实际信息点
94 40 674 674 674 674 15 100 319
IP地址规划设计
VLAN ID 11 12 13 14 15 21 22 23 24 25 … 201 202 203 204 205 206 207 208 209 … 260
VLAN Name a11 a12 a13 a14 a15 a21 A22 A23 A24 A25 …
专业务实 学以致用
工作任务描述
作为项目的负责人，通过给出的职业技术学院校园网网络建设的具体 要求，对本项目进行需求分析，并在此基础上进行组网方案设计，绘制 网络拓扑图、进行网络设备的选型，形成需求分析及方案设计文档。
专业务实 学以致用
需求分析
1.用户的基本需求如下: 实现光纤双网接入； 校园网的所有计算机或终端设备均可通过网络中心连接到互联网，从而
所以在网络设计的时候要考虑采用统一的网络出口设备，保证内网 的用户可以简单高速的访问互联网，同时网络出口设备要具有非常高的 NAT性能和电信、联通自动选路的功能。根据内部节点数为8000个点以 内，可以选择相应的路由器、防火墙，根据网络需求和性价比这里选择 H3C SR6608路由器、Cisco ASA 5520防火墙 。
ZL101 ZL105 ZL106 Zl109 ZL110 ZL111 ZL207 ZL208 ZL210
… G217
表2 vlan与IP规划情况
IP/Subnetwork 10.1.11.0/24 10.1.12.0/24 10.1.13.0/24 10.1.14.0/24 10.1.15.0/24 10.1.21.0/24 10.1.22.0/24 10.1.23.0/24 10.1.24.0/24 10.1.25.0/24
… G教学楼217机房
拓扑图绘制
专业务实 学以致用
网络设备选择
1.互联网接入设备选型
学院校园网络设计有两个网络出口，一个是电信、另一个是联通， 如果每个网络出口均采用路由器、防火墙的话，成本要增加，而采用双 线路接入的话网络中的服务器都需要进行配置双网卡，才能实现高速访 问外网，网络维护难度大。