网络工程课程大作业

⒈设计一校园网，网络基本需求如下：

1）校区约有15栋教学楼、10栋教工住宅楼、24栋学生宿舍需联入网络，综合布线信息点约为4000个(其中学生网约1700个);

2）整个网络采取三层结构，主干采取千兆光纤接入、汇聚采用百兆光纤接入、百兆交换到桌面；通过中国教育网（Cernet）接入Internet；教务处和图书馆需要可靠连接，需作冗余接入处理;

3）学校已申请到全局IP段：218.197.16.0—218.197.31.255;

4）为抑制广播风暴、均衡网络数据流量，需采用虚拟网络技术。学校按业务职能划分（校机关、教务处、学工处等）28个，公共机房15个设置成一个VLAN，这样VLAN共有29个;

5）采用防火墙技术，将内外网分开，设置DMZ公共区域，以向内外网提供公共信息的发布;

6）具有WWW、DNS、EMAIL等服务，各系部也分别具有WWW等服务，且与网络

中心不处于同一物理区域，需与网络中心同类服务配置成一个VLAN

7）网内配置数据中心，采取IP SAN存储设计，同时需充分考虑其冗余性和可靠性

8）考虑IP地址不足及网络隔离，需将学生宿舍网及各公共机房设计使用私网IP段

⒉按照基本要求，对些校园网进行详细规划，给出可行的设计方案，包括：

需求分析

拓扑结构

IP地址分配

网络安全方案

冗余备份方案

设备及传输介质选型

综合布线方案

⒊校园网组建方案

3.1详细需求分析：

a校区共有15栋教学楼，10栋教工住宅楼，24栋学生宿舍这些共有信息点约4000个可以采用三层网络模型结构，其中这些楼房可以作为汇集层，当然这些汇集交换机可不在这些楼房里，可以在网络中心或其他地方。由于网络节点数目较多可以采用NAT技术减少ip地址的使用b通过中国教育网（Cernet）接入Internet，主要优点有:为访问湖北师范学院校园网提供域名解析，也为湖北师范学院访问教育网提供部分域名解析，同时实现了教育资源的共享。

c教务处和图书馆是高校很重要的部分，教务处和图书馆之间的相互访问要求具有可靠性。即要求实现可靠连接，需作冗余处理。

d用虚拟网络技术采用VLAN实现抑制广播风暴、均衡网络数据流量

⑴公共机房15个设置成一个VLAN

⑵学校按业务职能划分（校机关、教务处、学工处等）28个

⑶同类服务配置成一个VLAN

e网络中心的数据IP SAN存储设计，同时需充分考虑其冗余性和可靠性

f采用私网IP解决IP地址不足及网络隔离

3.2网络拓扑图

Billing Gateway

学舍1学舍2学舍23学舍24教舍1教舍10

网络拓扑图

批注：该网络拓扑图没有完全按照各个信息结点的具体位置来规划网络拓扑图

网络拓扑图说明：学生宿舍网络拓扑图如下：

寝室NAT路由器寝室NAT路由器

寝室NAT路由器

3.3 IP地址分配

计算机公共机房可以直接接入到教育大楼汇聚交换机上公共机房里都是使用的私有 IP的地址象1318 可以分一个网络号192.168.*.*/25 将一个机房分为2个子网每个子网可以有122台机子要是机房不分子网那么就用192.168.*.*/24 每个机房可以有254台主机

学生宿舍都有一个NAT路由器，采取动态主机配置协议DHCP为每一台计算机分配IP

图书馆和体育楼IP网络号218.197.16.0

教育大楼IP网络号218.197.17.0

15个公共机房IP网络号218.197.18.0 提供给NAT路由器（共计15个），也可以

将部分IP分配给其他地方，多余的IP用于以后机房个数的增加，分

给给新加的NAT路由器

自控大楼和电子中心IP网络号218.197.19.0

物理楼和老年中心IP网络号218.197.20.0

信息大厦IP网络号218.197.21.0

科技大厦IP网络号218.197.22.0

音乐楼和大剧院IP网络号218.197.23.0

生物楼IP网络号218.197.24.0

文外楼IP网络号218.197.25.0

教师宿舍也主要采取私有IP的地址，当然也可以分配一定量的IP

学校服务器可划到一个网络号里IP网络号218.197.25.26.0，也可以不这样分

其他网络号保留未使用

每一个网络号可以根据具体情况然后划分子网以节省IP

3.4 VLAN技术的实现

▲公共机房15个设置成一个VLAN

▲学校按业务职能划分VLAN

▲同类服务器配VLAN

配置VLAN要求获得交换机的支持

VLAN技术的实现方法：

ⅰ基于端口

可以将局域网交换机中的几个端口指定成一个VLAN。基于端口规则的VLAN就是一个群组》这类VLAN可以有效的隔离广播数据报文。但依赖于交换机的物理端口，所以无法保证网络站点在整个网络中的移动，另外在跨交换机设置VLAN中，难以保证配置的一致性

ⅱ基于MAC

根据局域网中工作站的MAC划分VLAN

ⅲ基于路由的VLAN的划分

路由协议工作在物理层，工作设备有路由器和交换机（第三层交换机）允许一VLAN可以跨越多个交换机或一个端口位于多个VLAN中

各个系的web服务器，计算机机房，职能机构可以根据第三种基于路由进行划分

VLAN

3.5设备选型：

核心交换机CISCO6509 共计2个

汇聚交换机3com3900

楼层交换机3com3300

计费认证网关一个

防火墙PIX55

出口路由器CISCO2851

服务器若干

3.6 网络安全方案

⑴选用合适的防火墙和合理配置

⑵采用私网

⑶选用windows 2000操作系统和合理配置，用最小权限获得最多的操作资源的原则进行用户

管理启用本地安全策略等

⑷VLAN设计为局域网内部提供了最大的安全性。各VLAN网段的主机被限定在本网络内部

可以自由访问，跨虚拟网段的访问必须通过核心交换机路由，符合访问规则集的数据包才会被转发。而访问规则集由管理员根据安全需求信息制订，任何人都无权获悉。

⑸使用公共子网隔离内部网络和外部网络

3.7 冗余备份

线路冗余：线路聚合提供更高的带宽

设备冗余：多核心交换机磁盘阵列提供高可靠性

3.8网络存储技术

采取IP SAN存储设计，有如下优点：

架构更灵活，易于实现；

成本更低，有效保护投资；

技术门槛更低，管理成本更低

3.9传输介质选型

单模光纤连接两核心交换机连接核心交换机和汇聚交换机等

5类线连接接入交换机和终端连接管理站等

3.10综合布线方案