校园网设计

X（GBIC）千兆模块，用于连接教学楼、综合楼以及办公楼的汇聚层交
换机）
SFP-SX光纤模块4块（1000Base-SX SFP接口卡模块，LC接口）
（2）汇聚层
汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与
骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提
供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量
选用国内知名品牌神码数码DCRS-7216核心路由交换机来担当该校 校园网的核心交换机。
设备介绍：DCRS7216采用业界先进的ASIC芯片，保证了高性能，并 且DCRS7216具有可冗余的电源、引擎设计，完全按照电信级的可靠性设 计，是理想的网络核心选择。DCRS7216具有384G高速背板，143M三层包 转发率，支持RIP、OSPF等路由协议，支持硬件NAT，支持PPPOE、 802.1x、DHCP+WEB认证方式，支持DHCP 中继模式。DCRS-7216提供了18 个插槽，其中16个业务接口模块插槽，2个管理模块插槽。
（二）团队分工
小组成员总共有6人，分别为xxx、xxx（搜集资料）；xxx、
xxx（说明书设计）；xxx、xxx（实践操作）。
（三）校园布局分析与校园组织结构图
根据学院网络环境、规模和网络建设的技术要求，以及网络技术的 发展趋势和技术经济性观点，又可以把整个学校计算机网络设计分为主 干网和工作组网两个层次。
网络主干由主干交换机和分布在各建筑中的主干节点及它们之间的 光纤组成。需要选择适当的高速交换机作为网络的主干核心，这关系到 网络的整体性能和系统的灵活性。主干设计是本方案的重点之一，主干 网的选择要考虑带宽、可靠性、先进性等特点，要以当前及未来网络技 术的发展和业务量的发展为基础，同时兼顾资金的承受能力。主干网络 设计得好坏将直接影响到本校园网设计的成败。现在的用户对网络的需 求已经不再满足于对文件及打印的共享，而是对更多带宽网络的需求。
SW-7200-AR（DCRS-7200标准三层升级软件，包括OSPF,BGP4,PIM和 DVMRP，）1套
MRS-7200E-12GT，1块（DCRS-7200增强系列12口10/100/1000Base-
T模块，用于连接各服务器，威驰易网管、数字媒体中心，实验楼接入
层交换机等设备）
MRS-7200E-12GB，1块（DCRS-7200增强系列12口1000Base-
4
核心交换机
神州数码DCRS-7216
台
1
6
汇聚层交换
神州数码DCRS-
台
5
机
5512GC
7
接入层交换
神州数码DCS3926
台
8
机
8
网管软件
LinkManager-40-B-
套
1
250N
9
防雷系统设
DK-380AC100-4
台
1
备
DK-380AC40Hale Waihona Puke Baidu4
1
DK-220AC20-3
1
10
防火墙
CISCO PIX515E-UR-
路由器选型 从档次上分，路由器可分高、中和低档路由器，不过各厂家划分并 不完全一致。 从性能上分，路由器可分为线速路由器以及非线速路由器。 从结构上分，路由器可分为模块化结构与非模块化结构。模块化结 构可以灵活地配置路由器，以适应企业不断增加的业务需求，非模块化 的就只能提供固定的端口。 从功能上划分，可将路由器分为核心层（骨干级）路由器，企业级 路由器和访问层（接入级）路由器。 从应用划分，路由器可分为通用路由器与专用路由器。一般所说的 路由器皆为通用路由器。专用路由器通常为实现某种特定功能对路由器
备。支持802.1D/w
生成树协议，支持802.1Q，802.1p，802.3ad，
802.3x，GVRP，DHCP，SNTP等标准。支持IGMP，DVMRP，PIM等完整的组
播协议。支持RIPv1/2、OSPF、HSRP等路由协议，适用于复杂的网络环
境。
具体配置如下功能模块：
DCRS-5512GC整机1台（12口千兆路由交换机，4口SFP+8口
地址转换（NAT）技术可以有效的隐藏内部局域网中的主机，因此 同时是一种有效的网络安全保护技术。地址转换（NAT）可以按照用户 的需要，在局域网内部提供给外部FTP、WWW、Telnet等服务。
分类： 静态NAT 内部服务器发布到互联网 动态NAPT 企业内部的多台电脑利用一个公网IP上网 定义NAT内部、外部接口 (config)#interface fastethernet 0/0 (config-if)#ip nat inside (config-if)#interface serial 0/0 (config-if)#ip nat outside
（3）NAPT配置
学校机房教学网有一个内部网络192.168.2.0由于内部用户有访问 外部网络的要求。因此分配给它一个外部网络的公用地址210.34.143.2 用于内网络用户访问外部网络。
（path metric）和路由协议网络通告控制。
采用神州数码DCRS-5512GC作来作为该校校园网部分区域的汇聚层
交换机。
DCRS-5512GC是神州数码网络有限公司推出的一款汇聚层千兆路由
交换机，提供了12个千兆端口，交换能力高达36Gbps，可全线速进行
L2/L3数据转发，适合于作为校园网、企业网、IP城域网的汇聚层设
(config)#interface serial 0/1 (config-if)#ip access-group 101 in
（2） NAT配置
地址转换（NAT，Net Address Translation）是在IP地址日益短缺 的情况下提出的。
一个局域网内有很多主机，可是很难保证每台主机都拥有合法的公 网IP地址，为了达到所有的内部主机都可以连接Internet的目的，使用 地址转换。
（4）网络管理设备 在网络应用的过程中，网络管理一直最重要的部分。有了一个好的 网络管理软件，相当于多了几个网络管理员来辅助管理。同时网络管理 员需要网络管理软件提供易用、全面和有效等特性。 因此，我们使用神州数码公司的网管软件LinkManager-40-B-250N 对网络进行管理。
（六）系统设备的选择与成本核算
在核心交换机配备如下功能模块： 神州数码DCRS-7216 ，1台（18插槽核心路由交换机机箱。
包含1个MRS-7216-M交换管理模块和3个MRS-7200-AC交流电源模块;交换 背板384G;包转发速率143Mpps，L2/L3全线速;最大千兆端口数量192 口;MAC表项64K;VLAN表项4K;IP路由表项100K）
校园网设计说明书
(1) 校园网需求分析
1、用户需求分析 某某学校大体主要分为3个部分网络学院教育网络，各个学院办公
网络，学生公寓网络，主要用于学校内部网络通信，也会利用因特网进 行外部上网活动，但是，网络流量主要集中于校园网内部，因此对网络 交换能力要求较高，校园网上网会有多媒体教学，视频点播等多种带宽 应用。
台
1
BUN
11
路由器
CISCO 2821
台
1
12
激光打印机
HP 2000C
台
3
13
机柜
服务器机柜
个
2
14
UPS
山特C1KS/12H
台
1
（七）主要网络设备相关配置命令
（1）路由器上的ACL
ACLs的全称为接入控制列表（Access Control Lists），也称为访 问列表（Access List），俗称为防火墙，在有的文档中还称之为包过 滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制：允 许通过或丢弃，从而提高网络可管理性和安全性，ACL用来规划网络中 的访问层次以期达到优化网络流量,加强网络安全的作用。都是由具体 的一条条规则组成ACL可以绑定在物理端口上也能绑定在虚拟接口上,如 Vlan接口。学校的ACL配置主要有以下几方面进行设置：
接口、硬件等作专门优化。 基于以上这些因素的综合考虑，最终选用思科CISCO 2821路由器，
它的各项参数性能符合本次的校园网建设。 其他设备及其成本如下表：
序号
名称
规格
单位
数量
1
内网网线
AMP超五类屏蔽双绞
箱
22
线
2
外网网线
AMP超五类非屏蔽双
箱
22
绞线
3
服务器
曙光天阔I650(R)机
台
5
架式服务器
在接入层选用选用神州数码DCS3926二层可网管交换机，如下：24 口10/100Base-TX可堆叠交换机(v2.0)，带2个扩展插槽；交换背板18G; 包转发速率6.6Mpps，全线速；MAC表项8K;VLAN表项256。
在信息较多的地方，我们可将二台3926堆叠，来满足用户的需求。 作为新一代的交换机，DCS-3926S具有强大的安全特性。强大的ACL可以 完全过滤“冲击波”等病毒，保护核心设备。完全的硬件转发可以在病 毒泛滥时使正常数据不受任何影响。
信息交流功能主要有两个方面的服务功能：互联网信息服务和校内 信息服务。互联网信息服务可以使任何一个办公室的计算机都能实现网 上浏览、查询信息的功能，使教师能够拓宽视野，充分利用互联网上的 资源辅助教学，提升教学理念，提高教师的教学能力、教学水平和科研 能力。
可以充分利用互联网资源来宣传学校，展示学校的办学能力与办学 水平，展示教师的教学能力与科研能力，提升学校的办学形象。
校园布局分析图
（四）主要楼宇网络拓扑图
楼宇拓扑图
（五）系统平台和管理平台的选择与相关服 务器配置
对于大型网络而言一般采用三层结构设计，即“接入层-汇聚层-核 心层”，如图所示：
（1） 核心层：
核心层主要提供不同网络模块之间优化传输服务，将分组尽可能快 地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、 最佳的网络性能。
Combo）SFP-SX 2块（1000Base-SX SFP接口卡模块，LC接口。通过两
条千兆光纤，用链路汇聚的方式和核心交换机7216相连，从而实现2G的
全双工带宽）。
（3）接入层
接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网
划分，并通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离 模块间的广播流量，避免不同模块之间相互影响。访问层主要通过二层 交换机组成。
1、允许内部IP地址范围 (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255 2、对外屏蔽远程登录协议telnet (config)#ip access-list 101 deny tcp any any eq telnet (config)#ip access-list 101 permit ip any any (config)#interface serial 0/1 (config-if)#ip access-group 101 in 3、对外屏蔽其他不安全的协议或服务 如远程执行、远程登录、远程命令的端口是512、513、514远程 过程调用端口111, 文件共享协议端口2049。可以针对这些端口进行协议设计。 (config)#ip access-list 101 deny tcp any any range 512 513 514 (config)#ip access-list 101 deny tcp any any eq 111 (config)#ip access-list 101 deny udp any any eq 111 (config)#ip access-list 101 deny tcp any any range 2049 (config)#ip access-list 101 permit ip any any
校内信息服务能为教育教学和管理决策提供各项信息服务，能为全 校师生提供相互交流、相互学习的平台。
2、教学服务功能需求分析 构建校园网的主要目的就是提高教学质量，为学校的教育教学服
务。校园网将主要从以下几个方面为教学服务。 （1）建立课件（基件）、教学信息资源库，实现课件点播和辅助教 学。将教学资源库建设成为包括各科的教材、教案、试题、录像、图片 等对教师备课有参考价值的多媒体素材库。 （2）利用网络技术，实现多媒体信息交换、视频点播、远程教育等功 能。 （3）建立电子备课室、光盘阅览室。电子备课室为教师提供优越的电 脑制作条件，配备各种先进的备课设备，方便教师备课使用；光盘阅览 室提供大量的电子读物，发挥电子媒体容量大、体积小、成本低、检索 快、易于保存和复制、图文并茂等优点，使教师能够用最短的时间获取 最多的信息。 （4）兼容（集成）校内有线电视广播网，拓展网络功能。