网络规划毕业设计说明书

毕业设计说明书课题名称：志成中学校园网设计方案
学生姓名叶军营
学号 **********
所在学院计算机工程学院
专业网络技术
班级网络0811
指导教师朱景营刘杰
起始时间：2010年12月27日～2011年4月8日(共10周)
志成中学校园网设计方案
摘要
网络技术和信息技术，影响到社会和生活的每一个角落，同时也对教育界造成了巨大的冲击。

教育的功能和目标、教学的方法和模式也跟着在发生深刻的变化。

本文根据金华市志成中学对校园网络的需求，遵循局域网的设计原则，对志成中学的校园网进行了规划设计，提出了基于三层结构的网络方案，并根据方案及需求进行了设备选型。

同时对综合布线系统进行了设计，对网络安全与管理提出了相应方案。

关键词：网络方案设备选型综合布线网络安全
目录
摘要 (1)
第1章网络需求分析 (1)
1.1概况 (1)
1.2网络功能需求分析 (1)
1.3网络安全需求分析 (1)
第2章网络设计原则和目标 (2)
2.1设计原则 (2)
2.2设计目标 (2)
第3章网络总体规划 (3)
3.1网络拓扑图 (3)
3.3网络层次设计与设备选择 (3)
3.3.1路由器选择 (4)
3.3.2汇聚层交换机选择 (4)
3.3.3楼宇接入层设备选择 (5)
3.3.4楼层接入层设备选择 (5)
3.3.5网路设备价格清单 (7)
第4章网络布线系统设计 (8)
4.1布线系统分析 (8)
4.2布线系统方案描述 (8)
4.2.1校园主干网系统 (8)
4.2.2大楼结构化布线系统 (9)
第5章网络安全与管理 (11)
5.1网络安全问题 (11)
5.2 网络安全策略配置 (11)
5.2.1安全接入和配置 (11)
5.2.2拒绝服务的防止 (12)
5.2.3访问控制 (12)
结论 (13)
参考文献 (14)
致谢 (15)
第1章网络需求分析
1.1概况
金华市志成中学是婺城区一所公办完全中学。

这也是一所金华东部设施最好、规模最大的中学。

学校占地面积43亩，建筑面积15166㎡，除教学楼、综合楼等建筑之外，另有两幢住校生公寓，被列为市消防重点保护单位。

校园绿化面积已超过四千平米,初具花园式学校规模。

各种活动场所齐全，有300M塑胶田径场、球类运动场和器械活动场，另有设计新颖、设施先进的图书馆、体艺馆。

1.2网络功能需求分析
1、信息交流：提供Internet连接及校内信息服务；
2、教学服务：多媒体教学资源、电子备课、电子阅览、远程教学；
3、学生学习：网上学习、班级网页、成绩反馈；
4、学校管理：无纸化办公、成绩管理、学籍管理、财务管理、图书馆管理、后勤管理等。

1.3网络安全需求分析
网络统对安全保密有着非常高的要求。

虽然计算机系统本身或多或少地具有安全防范措施，网络系统的安全防范却是整个系统安全性的第一道防线。

1、网络硬件安全：网络系统中各通信计算机设备以及相关设备的物理保护
2 、网络配置安全：
（1）信息完整性：计算机系统能够防止非法修改和删除数据和程序；
（2）保密性：信息不泄漏给未经授权的人；
（3）可用性：系统能够防止非法防止非法独占计算机资源和数据，合法用户的正常请求能及时、正确、安全的得到服务或回应。

第2章网络设计原则和目标
2.1设计原则
校园网必须具备教学、管理和通讯三大功能。

教师可以方便地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习。

学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，因此，校园网的建设必须有明确的建设目标。

校园网的总体设计原则是：
1、开放性
采用开放性的网络体系，以方便网络的升级、扩展和互联；同时在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化；
2、可扩充性
从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的可扩充性；
3、可管理性
利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能；使日常的维护和操作变得直观，便捷和高效；
4、安全性
内部网络之间、内部网络与外部公共网之间的互联，利用VLAN/ELAN、防火墙等对访问进行控制，确保网络的安全；
5、投资保护
选用性能价格比高的网络设备和服务器；采用的网络架构和设备充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资；2.2设计目标
1、校园内部实现信息资源共享。

如教务信息共享、教研成果共享、教学资料共享、图书资料共享等。

2、校园内信息传递畅通无阻，能准确、可靠地传输学校的教育教学信息；努力创造与上级教育部门、社会、家庭之间通讯接口，实现社会教育、学校教育、家庭教育的有机整合。

3、完成与Internet的常规接轨，使教师、学生能利用因特网的信息优势为教育教学与学习提供良好帮助；为教师校外办公、学生远程学习、教师与学生家长间通讯提供通讯手段。

第3章网络总体规划
3.1网络拓扑图
图 3-1志成中学网络拓扑图
志成中学校园网建设采用星型网拓扑结构，采用星型结构的以太网是目前最为安全成熟的技术，并且，从应用角度讲，星形结构是综合布线系统的推荐网络拓扑结构，可以与综合布线系统紧密结合，得整个网络系统的通信瓶颈从以往的网络电缆转移至中央网络设备上。

在中央设备之间，而采用交换以太网络设备配合星形结构来实现对局域网络的需求，使得中央结点与卫星结点的网络吞吐能力大大加强，对多媒体的支持也更加完美，既而提高整个系统的吞吐能力。

3.3网络层次设计与设备选择
从逻辑上，大型网络可分为核心层、分布层和接入层，每层都有其特点。

网络层次如图3-2所示
核心层
接入层
分布层
高速交换技术
基于策略的操作
本地/远程工作组接入
图3-2 网络层次图
本方案主要是采用了上图中的分布层与接入层。

层次化设计的优点可以总结为如下几点：
1、可扩展性：因为网络可模块化增长而不会遇到问题；
2、简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；
3、设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；
4、可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。

3.3.1路由器选择
在本方案中，我们选用cisco系列的7200路由器
Cisco 7200路由器有以下优点：
Cisco7200系列在性能价格比方面实现了突破，以较低的价格满足了高吞吐量要求。

Cisco7200配有一个150MHzRISC处理器和SRAM，提供了600Mbps的带宽容量和每秒150000个包(pps)的性能。

它还带有一个更经济有效的RISC处理器，带宽为200Mbps、性能为100000pps，这个处理器使Cisco7200的性能价格比进一步得到了优化。

NetFlow交换是CiscoIOS交换机制，它允许Cisco7200把高性能网络层交换与网络服务面向连接的应用结合在一起，这些服务包括安全性、服务质量和通信管理。

它还可以用协议和IP地址进行详细的通信统计。

Cisco7200系列由4插槽的7204和6插槽的7206组成，提供了适用于以太网、令牌环、串行、ISDN、HSSI、快速以太网、100VGAnyLAN、FDDI和ATM的可扩展密度。

Cisco7200采用与Cisco7500通用接口处理器(VIP)相同的端口适配器，保护了客户在接口上的投资和简化了备用措施。

借助这些高密度的端口适配器，Cisco7206支持48个以太网或串行端口、24个令牌环网端口、24个串行端口，12个HSSI端口、7个快速以太网端口、6个FDDI或3个ATM端口。

由于具有4插槽和6插槽的机箱，因此密度可以扩展，能够满足大多数客户的需要。

3.3.2汇聚层交换机选择
网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。

另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。

因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和
高可靠性。

具体来说核心节点的交换机有两个基本要求：
1、高密度端口情况下，还能保持各端口的线速转发；
2、关键模块必须冗余，如管理引擎、电源、风扇。

本方案我们选择Cisco Catalyst 4948作为校园网的汇聚层交换机
Cisco Catalyst 4948交换机的主要性能：
Cisco Catalyst 4948是一款线速、低延迟、第二到四层、1机架单元（1RU）固定配置交换机，可提供进行了优化设计的服务器集群机架的交换。

Cisco Catalyst 4948以成熟的Cisco Catalyst 4500系列硬件和软件架构为基础，为高性能服务器和工作站的低密度、多层汇聚提供了出色性能和可靠性。

Cisco Catalyst 4948拥有96Gbps的背板带宽，72Mpps的包转发率。

Cisco Catalyst 4948具有48个线速10/100/1000BASE-T端口，并另有4个线速端口，可容纳可选1000BASE-X小型可插拔(SFP)光接口1。

可选的内部AC或DC 1+1热插拔电源和带冗余风扇的一个热插拔风扇架提供了优秀的可靠性和可维护性。

Cisco Catalyst 4948采用了一个96Gbps交换矩阵，在硬件中为第二到四层流量提供了72Mpps的转发速率，从而为数据密集型应用提供了线速吞吐率和低延迟。

无论有多少路由条目或启用了多少第三层和第四层服务，都能保证交换性能。

基于硬件的思科快速转发路由架构提高了可扩展性和性能。

3.3.3楼宇接入层设备选择
志成中学校园网络楼宇接入层（二级骨干）的要求：提供较高的可靠性和高速上行网络连接，部署网络的控制能力。

对于流量较大的汇聚层交换机建议采用交换能力大于20Mpps的三层交换机，其它数据流量较小的汇聚节点则选用交换能力在10Mpps左右的二层交换机通过千兆光纤与汇聚层交换机连接。

综上所述，在各子网用户接入方面，我们使用了CISCO WS-C2960G-24TC-L交换机，该交换机支持GigaStack技术，能以1000/100M的速率上连到汇聚交换机上。

另外，当用户增多的时候，我们可以直接增加交换机，并以堆叠的方式连接上网络，从而为系统各子网的扩充带来极大的灵活性。

CISCO WS-C2960G-24TC-L的专有技术及优势
(1)24Gbps的底板带宽；35.7Mpps的多层交换；4个插槽。

(2)支持24端口10/100Base-T、10/100/1000Base-Tx/SFP。

(3)固定端口内存64MB，拥有8KMAC地址表
(4)网络参数网络标准EEE 802.3, IEEE 802.3u, IEEE 802.1x, IEEE 802.1Q, IEEE 802.1p, IEEE 802.1D, IEEE 802.1s, IEEE 802.1w, IEEE 802.3ad, IEEE 802.3z, IEEE 802.3
3.3.4楼层接入层设备选择
楼层接入设备的主要功能是为最终用户提供对校园网络访问的途径。

本层也可以提供进一步的调整，如Access-list Filtering等。

在校园网络环境中，接入
层主要提供如下功能：带宽共享、交换带宽、MAC层过滤、微分网段等。

在局域网环境中，接入层主要提供通过Frame Relay、ISDN、Leased Line 连入远程节点。

楼层接入网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。

楼层接入交换机亦称外围交换机或边缘交换机，一般都属于可堆叠/可扩充式固定端口交换机，应具备下列要求：
1、端口选择：对端口的选择包括两个方面，一个是端口数量，一个是端口类型。

而且可以堆叠、易扩展，以便由于信息点的增加而从容地进行扩容。

2、高性能。

作为大型网络的二级交换设备，应支持千兆/百兆高速上连以及同级设备堆叠，当然还要注意与核心交换机品牌的一致性；如果用作小型网络的中央交换机，要求具有较高的背板带宽和三层交换能力。

3、性价比高。

在满足网络性能要求的同时，达到最高的性价比，使用方便简单。

4、支持多级别网络管理。

楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS 特征。

为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。

支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率。

综上所述，接入层交换机采用CISCO SR2024。

CISCO SR2024以太网交换机提供24个无阻塞10/100/1000Mbps千兆交换机端口，可为网络客户端提供10，100，1000兆字节速率的数据交换。

用这个交换机替换工作组中现有的集线器或交换机可以将你的高数据传输需求的工作站升级到千兆字节速率的带宽，也可以适应其他客户端的网速。

或重新建立一个满足不同层次用户要求的网络。

任何一个方法都可以满足你的图形，多媒体，和其他一些应用在网络上快速传输.
现有的10/100以太网络可以通过24口10/100/1000千兆交换机连接到千兆主干网服务器上而不需要另外购买任何设备。

所有端口都是MDI/MDI-X自调整端口，所以不需要为了电缆类型而担心。

每个端口都能自动识别全双工和半
双工模式. 支持地址学习功能，802.3x流控功能可使高速客户端在低速数据传输时保持稳定. 快速存储转发有效的防止网络产生或扩散坏的数据包.
交换机本身具有的MAC 地址学习引擎支持多达8000个MAC地址，可以高效的进行转发。

此外，它还支持地址学习和老化功能，以及802.3x流控及队头阻塞预防功能，可以防止高速客户端受困于低速流量。

值得一提的是，CISCO SR2024本身没有任何配置软件，开箱即用，这一点可以为学校管理员节省时间，同时也方便维护。

3.3.5网路设备价格清单
第4章网络布线系统设计
4.1布线系统分析
学校有教学楼2幢，图书馆1幢，行政楼1幢，体育馆1幢，学生宿舍楼2幢。

网络中心建在图书馆1楼，楼间主干采用Lucent SYSTIMAX OptiSPEED 光纤网络解决方案，以图书馆为中心铺设光纤到教学楼，综合楼，体育馆，宿舍楼，采用室外6芯多模光纤；楼内布线采用Lucent SYSTIMAX PowerSum超五类布线产品，以配线间为中心铺设四对UTP电缆到各工作位。

信息点的分布：初中部教学楼总共有100个信息点，高中部教学楼总共有100个信息点，行政楼总共有45个信息点，图书馆总共有100个信息点，体育馆总共有20个信息点，宿舍区总共有200个信息点。

4.2布线系统方案描述
4.2.1校园主干网系统
校园主干网是指连接校园各建筑物的主干通信线路，一般选用光纤作为传输材料。

光纤具有通信容量大、通信距离长、抗干扰、抗雷电等良好的性能，可采用架空或埋地等铺设方式。

此外也可以采用超五类双绞线作为干线，但必须做好防雷措施。

如：用铁管保护埋地等。

双绞线的可靠通信距离为100米。

校园主干网将采用Lucent SYSTIMAX OptiSPEED室外光纤，校园主干网系统结构图如下所示：
图 4-1 主干网系统结构图
1、金华市志成中学校园网的网络中心设在图书馆一楼。

以网络中心为中心以星型的布线方法向各主要建筑物布放光纤，形成一个星型的光纤网络，组成校园网的主干网系统。

2、在金华市志成中学校园主干网系统中，除以网络中心为中心的光纤主干网之外，在初中楼与高中楼之间再多布放一条光纤，同样是室外六芯多模光纤。

这样多布放一条光纤后，就组成了在行政楼、初中楼、高中楼之间的环型光纤网。

在投资不大的情况下，这样做有一定的好处：如果初中楼至图书馆或高中楼至图书馆其中一条链路发生故障，则可以通过初中楼至高中楼这条链路保证正常的通信连接。

4.2.2大楼结构化布线系统
完成大楼内各楼层和各课室、办公室的物理线路连接和管理，并与校园干线系统互联。

通信线路一般采用双绞线，特殊的大楼可能用光纤作为楼内的主干通信线路。

图 4-2 大楼结构化布线系统图
1、工作区子系统
工作位连接标准RJ45信息插座模块，采用标准86mm*86mm双口面板，面板上有各工作位端口标示，工作位插座口在墙面的位置要方便使用，若是办
公室则一般设在靠近办公桌的墙面上，离地一般约30cm-1m左右。

若是普通教室则一般设在靠近讲台的墙面上，因教室学生人员流动较大，工作位插座口要设在离地面较高的位置且要暗埋，便于保护插座口不受损坏。

若是多媒体教室，工作位插座口要设在多媒体教学讲台内，方便使用又不影响美观。

2、水平子系统
即大楼各层的水平布线区域,以本楼配线间为中心,采用标准星型结构用线
缆连接至各工作区。

从各配线间引出超五类四对UTP电缆至各工作位，可满足快速以太网、622M ATM网等的应用,用于数据、图像、多媒体等信号的高速传输。

工作位的信息出口采用兼容EIA、RJ45的5类8针插座模块连接。

在配线架端，可采用RJ45式端接模块，方便满足多系统并行使用。

3、管理子系统
电磁辐射是考虑管理区子系统安装环境的主要因素。

电磁辐射的影响主要来自两个方面，一是环境对系统传输的影响，一是系统在信息传输过程中对环境设备的影响。

在建筑物内，环境对系统传输的影响主要来自强电磁辐射源，如电台，建筑物内的电梯，马达，UPS电源等。

如果环境中这些干扰源的影响较大，应考虑采取屏蔽措施，或选择距离较远的位置。

布线系统的端接工艺是直接影响系统性能的重要因素。

连接配件的安装工艺主要影响布线系统的近端串扰和衰减，而这两个参数是判断系统性能的重要依据。

在管理区子系统还要考虑环境的通风，照明，酸碱度，湿度等条件，这些因素将对端接配件造成腐蚀和老化，日久之后会影响系统的性能。

管理区子系统内的安全性也要加以考虑，端接配件最好安装在布线机柜或墙柜内。

4、垂直子系统
电缆通道安置需看安装所在环境的情况而定，为了能限制可能的电磁干扰，电缆通道、竖井和配线间都应当设在距离电梯和发电机尽可能远的地方。

电缆通道也应与多网格状的接地系统相连接。

强电和保护电缆可能会给话音/数据/图象信号弱电电缆带来干扰。

因此必须采取一些必要措施，以便这些不同类型导体的通道能运行正常：
不同的电缆金属通道之间相隔至少0.3米。

强电/弱电电缆处于同一电缆通道里，强电与弱电电缆分开，并用金属板隔离，而且导线之间的距离相隔0.3米。

平行电缆管道必须遵守以上规定。

当遇到电缆交叉而过时，交叉必须成直角，以减弱回路影响。

第5章网络安全与管理
5.1网络安全问题
校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。

来源于网内的威胁主要是病毒攻击和黑客行为攻击。

根据统计，威胁校园网安全的攻击行为大概有60％左右是来自于网络外部，如何防范来自于外部的攻击是校园网网络安全防护体系需要重点关注的地方。

计算机网络安全受到的威胁包括：
1、“黑客”的攻击；
2、拒绝服务攻击（Denial of Service Attack）。

安全威胁的类型：
1、非授权访问。

指对网络设备及信息资源进行非正常使用或越权使用等。

如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。

2、冒充合法用户。

主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。

3、破坏数据的完整性。

指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。

4、干扰系统正常运行，破坏网络系统的可用性。

指改变系统的正常运行方法，减慢系统的响应时间等手段。

这会使合法用户不能正常访问网络资源，使有严格响应时间要求的服务不能及时得到响应。

5、软件的漏洞和“后门”。

软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。

另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言。

如Windows的安全漏洞便有很多。

5.2 网络安全策略配置
5.2.1安全接入和配置
安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供安全性。

限制远程访问的安全设置方法如下表5-1:
表5-1 安全接入和配置方法
5.2.2拒绝服务的防止
网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf 攻击等；网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值，若多于这个临界值，则丢弃多余的TCP SYN数据包；防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值，避免成为一个Smurf攻击的转发者、受害者。

5.2.3访问控制
1、允许从内网访问internet，端口全开放。

2、允许从公网到DMZ（非军事）区的访问请求：WEB服务器只开放80端口，mail服务器只开放25和110端口。

3、禁止从公网到内部区的访问请求，端口全关闭。

4、允许从内网访问DMZ（非军事）区，端口全开放
5、允许从DMZ（非军事）区访问internet，端口全开放
6、禁止从DMZ（非军事）区访问内网，端口全关闭。

结论
本说明书通过对金华志成中学校园的具体分析，参考相关资料之下得出该方案。

该方案从网络升级的建设思想、目标、可以选用的网络技术以及对网络设备的介绍和选择、采用的拓扑结构、设备选型、网络安全等方面进行论述。

校园网是一个庞大而复杂的工程，需要根据具体的环境来组建网络，涉及的面也比较广，本方案主要针对校园网建设提出的一种规划，主要为解决志成中学校园网络的设计问题。

以及网络层次规划，设备的选择，布线系统的方案。

从而完成校园内信息传递畅通无阻，能准确、可靠地传输学校的教育教学信息；努力创造与上级教育部门、社会、家庭之间通讯接口，实现社会教育、学校教育、家庭教育的有机整合。

完成与Internet的常规接轨
本方案主要从校园网的技术方案设计出发，其优点主要是让志成中学能更好的管理以及一些重要信息不被泄露。

论文中还有许多不足之处，相信在以后不断的实践和运用过程中会努力的弥补和改善。