1、校園網絡規劃與設計方案班級： 計網1432姓名： 寧鵬飛校園網建設的具體需求：（1）為適應當前網絡使用需求和今后網絡規模的擴大，采用3層網絡體系結構設計，主干網絡采用10000Mb/s光纖技術，匯聚層采用1000Mb/s光纖技術，接入層采用100Mb/s電纜到桌面。（2）為增強網絡安全性，縮小網絡廣播域范圍，按部門或組織機構劃分VLAN，并合理分配IP地址段，通過三層交換技術實現各VLAN間的互訪。（3）分析各部門機構網絡流量大小，合理選擇網絡連接設備，如：核心交換機、匯聚層交換機、接入層交換機、路由器、防火墻、VPN等設備。 （4）選擇中心機房安放位置，并按國家標準組織施工建設。 （5）網絡

2、訪問需求：（1）校園內PC機均能訪問校內信息資源；（2）校園內PC機均能訪問Internet資源；（3）校外用戶通過VPN訪問校內資源；（4）校園內需實現無線網絡覆蓋。5）數據庫服務6）DNS服務（7）、學校采用基于SQL server2000 數據庫做開發平臺。（8）、校園網采用路由器+防火墻結構進行接入，網絡互聯設備(交換機、路由器、線纜、及其他設置)。（9）、做好路由器與防火墻之間的安全通信工作，防止搭線竊聽，IP盜用。（10）、網絡中心設在實訓樓, 實訓樓與學生宿舍樓相距50米，兩樓用光纖連接。（11）選擇客戶機配置的最佳方案，以最大限度的減少地址的沖突和管理員的工作量，采用192.1

3、68.0.0的內部IP地址分配。一、用戶需求分析 在校園網絡中，視頻、音頻、數據集于一身，如果保證不了高帶寬、又多種視頻、音頻、數據流混雜在一起進行傳輸，就沒法對流做出最高優先級和次高優先級及底優先級的分類，這樣就不能保證重要業務的暢通，造成網絡延遲、服務不可用。所以要想真正改變網絡的效率，更有效的保證應用服務的運營，需要通過端到端的QOS，智能到邊緣的方式來保證。通過智能到邊緣，端到端的應用方式，可以減少對網絡核心設備的消耗，這樣保證了網絡的有效暢通。可以對園區網應用中的，多媒體視頻點播服務、數據備份服務、文獻傳遞服務、E-mail服務、數據庫服務器等服務。對不同服務流進行詳細的分類，劃分優

4、先級，以及盡可能地避免發生擁塞。同時保證網絡的高效運行，充分利用現有的帶寬。 在園區網絡中，存在多樣的網絡設備及系統應用環境，并且要考慮在用戶迅速增長的今天，考慮到網絡設備的可擴展性。保證在多樣網絡設備，用戶不斷增加的環境中，仍能保證網絡暢通。所以萬兆骨干網絡平臺就應具有良好的兼容性和可擴展性，能與當前校園網絡無縫銜接，同時預留空間符合當前和以后的信息建設需要和足夠的升級空間。 在校園網絡建設中存在多用戶,多服務的現狀。帶來了對網絡系統要求具有高效率等，以保證大數據量訪問下有效的處理能力。針對需求設備要能對數據做到分布式處理，這樣的分布式處理可以節省主交換引擎的消耗。使數據在獨立的板卡上就能做

5、出對數據的識別，這樣比在中央處理器識別要快的多。并在大量的數據應用，數據傳輸的過程中，要保證所有硬件設備都可以進行快速的轉發，要具備高背板帶寬（交換容量），所有端口都能保證線速轉發。這種分布式處理可以極大地提高整體處理能力，保證了網絡暢通。 現在的網絡環境中穩定可靠是爭相談論的話題，因現在在網絡中運行了眾多重要應用及服務，是要保證7*24小時不間斷的服務。就要完全能保證網絡設備全天后的可用性。即使在設備出現問題時切換到備用設備的過程中，也要保證較小的延遲，以滿足網絡應用中的有效暢通的需要。在這樣的需求中利用，冗余的管理交換引擎、冗余的電源等關鍵部件的冗余，支持（802.1D、802.1W）80

6、2.1S多Vlan生成樹協議保證鏈路級的冗余和負載均衡，支持VRRP、OSPF等三層路由協議保證路由級的冗余，支持load balancing技術實現了應用級的冗余備份和負載均衡。全方位的完全保證了設備、網絡、應用系統的可靠性。 在校園網絡中，對于校園網的安全保障十分重要：校園網的信息點分布很廣，與一般企業網比較，校園網用戶的流動性大，信息點存在隨意接入使用的問題。學生及外來不明身份的用戶，在校園網中找到任何一個信息點，就可以進入到校園網，可以肆意干擾和破壞校園網網絡平臺及應用系統的正常運行。另外校園網的網絡安全，還需要考慮與外網及內網不同應用系統之間的安全訪問控制。為了發生安全事件后，能夠有

7、效、快捷地處理事故，采用上網審計手段是十分有必要的。由于當前類似“沖擊波、震蕩波病毒”的肆虐，一個健壯的網絡應該提供必要的手段，禁止特定病毒的傳播以及由于病毒造成的流量擁塞二、網絡拓撲設計及原則（一）拓撲設計局域網采用星型網絡拓樸結構，星型拓樸結構為現在較為流行的一種網絡結構，它是以一臺中心處理機（通信設備）為主而構成的網絡，其它入網機器僅與該中心處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網機器服務，所有的數據必須經過中心處理機。星型結構便于集中控制,因為端用戶之間的通信必須經過中心站。由于這一特點,也帶來了易于維護和安全等優點。端用戶設備因為故障而停機時也不會影響其它端用

8、戶間的通信但這種結構非常不利的一點是,中心系統必須具有極高的可靠性,因為中心系統一旦損壞，整個系統便趨于癱瘓。對此中心系統通常采用雙機熱備份,以提高系統的可靠性。網絡拓撲結構如下：三、網絡方案設計（一）網絡結構分析1骨干層   網絡規劃是一個網絡是否穩定可靠運行的關鍵，如何合理配置IP地址；選擇何種路由協議；在接入層如何有效劃分VLAN，減小廣播的范圍；如何設計滿足基于聲音、圖像、數據綜合的局域網INTERNET應用的需要；滿足不同的應用服務質量，將是網絡規劃的一個重要內容。下面，本節將逐項詳細的設計。路有協議選擇因為內部網絡是作為一個局域網存在，所有核心，匯聚及

9、接入層都以VLAN的方式來劃分子網，因此只需在三層交換機上啟用IP ROUTING功能既能滿足子網間的通信需求。對于出口的訪問則可采用在出口交換機以靜態路由的方式將內部網絡的網絡流量指向出口防火墻即可。IP地址規劃網絡系統的地址規劃是網絡設計的一個重要環節，根據我們已有項目實施的成功經驗，規劃IP地址應充分考慮未來發展的需要，統一規劃、長遠考慮、分片分塊分配的原則。根據內部網絡的規模，子網根據部門及科室劃分清晰的特性，以及未來地址擴展的趨勢，建議IP地址應采用公網保留的C類地址中的私有地址192.168.0.0到192.168.255.255，在網絡出口采用NAT地址轉換，實現與Interne

10、t合法地址互連，并采用相應的合法地址用于公網訪問內部網絡的各種授權開放信息。網絡系統IP地址的劃分原則如下：（1）唯一性：IP地址必須唯一，一個IP地址對應一臺數據通信設備；（2）連續性：為同一網絡區域分配連續的網絡地址，原則上一個VLAN一個C類網段，這樣便于規劃，同時提高路由器尋徑效率；（3）可擴充性：分配地址應預留一定量的備用地址塊，以便網絡節點增加后能保持地址的連續性；（4）可管理性：地址的分配應該有層次性，某個局部的變動不影響網絡的其他部分；（5）高效性：綜合網采用可變長子網掩碼技術，要求采用支持可變長子網掩碼技術的TCP/IP協議族；（6）合法IP地址段由客戶從互聯網運營商申請；（

11、7）內部網絡使用私有保留，考慮到將來網絡的規模不斷擴大，建議采用192.168.X.X的私有保留地址塊，可按VLAN子網來劃分，并遵循IP地址規劃原則，進行統一分配。2接入層 接入層網絡由樓棟交換節點和樓層交換節點組成，接入層網絡應該可以滿足各種客戶的接入需要，而且能夠實現客戶化的接入策略，業務QOS保證，用戶接入訪問控制等等。樓層交換節點采用千兆智能堆疊交換機，提供智能的流分類和完善的QoS特征。為各類型網絡提供完善的端到端的服務質量、豐富的安全設置和基于策略的網管，最大化滿足高速、融合、安全的園區網新需求；本方案中各接入層交換機通過千兆鏈路上聯到各匯聚層設備，對下聯的桌面設備提供全雙工的百

12、兆連接，為各類用戶提供無阻塞的交換性能。3出口因為校園網出口采用以太網，所以采用路由器 + 防火墻的方式，起到如下作用：防火墻提供強有力的服務器、內網安全保護、提供IDS等安全特性；路由器提供出口路由功能，數據處理能力強，具有強大的NAT功能。（二）網絡架構設計基于目前學校規模及發展的角度考慮，骨干網絡采用單核心雙引擎或雙核心單引擎的拓撲結構，保證核心的穩定；在行政樓采用萬兆的三層匯聚設備，千兆連接接入交換機；服務器千兆接入到核心交換機上；百兆到桌面；為了以后擴展的需要，所以采用RG-WALL 1000防火墻，并將校內的對外服務器與防火墻的DMZ區相連，保證良好的安全性；同時雙核心時做VRRP

13、，防火墻雙百兆連接核心，單百兆連接Internet；出于管理和安全方面角度考慮，在全網可采用IP+MAC綁定方式，全網分布式采用ACL，并按照部門劃分VLAN，劃分相應的權限，保證學生機房用機對教學辦公網沒有訪問權限，只能訪問校內服務器及外網；IP分配：在辦公區采用靜態IP劃分，在學生區及移動性較大的辦公區可補充性采用DHCP動態獲得IP地址。（三）擴展的考慮備份線路帶寬擴展：在未來升級考慮中，可將核心與匯聚間千兆備份線路帶寬升級至10G帶寬，以提高備份線路的連接帶寬。實訓樓交換機可擴充為96個千兆口，擁有很強的接入擴展功能。（四）網絡VLAN的設計具體劃分如下：宿舍男一號（VLAN-M1）1

14、92.168.1.0/24男二號（VLAN-M2）192.168.2.0/24女一號（VLAN-W1）192.168.3.0/24女二號（VLAN-W2）192.168.4.0/24女三號（VLAN-W3）192.168.5.0/24機房 (VLAN-JF)192.168.6.0/24圖書館(VLAN-TS)192.168.7.0/24辦公樓(VLAN-BG)192.168.8.0/24實驗樓(VLAN-SY)192.168.9.0/24教學樓(VLAN-JX)192.168.10.0/24在校園網絡的整個網絡規劃當中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術的功能，能起到事半

15、功倍的效果，對整個網絡的性能也是事關重要的。主要突出為以下幾點：l VLAN 劃分，可以避免廣播風暴，在骨干網絡中尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網中進行，不會做無意義的廣播，消除了廣播風暴產生的條件。l VLAN 劃分，可以增加網絡的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網間通訊，不會對其他的子網產生干擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當好的控制。l 網絡管理系統采用完全獨立的IP子網和VLAN，實現更加安全的對所有網絡設備進行管理。建立VLAN 和IP 子網的對應關系。l 提高管理效率，實現虛擬的工作組，減少

16、站點的移動和改變的開銷。l VLAN 間的子網訪問，可以在三層交換機上實現，子網間的通訊也可以在匯聚設備上實行，分流核心交換機的三層交換，優化了組網。 根據以往網絡管理經驗和骨干網絡網絡建設的實際情況，方案建議在骨干網絡VLAN劃分規劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：1、方便管理。為了更好的進行VLAN規劃的實施，因此在網絡實施前期，要對網絡中不同區域的VLAN設置進行詳細的規劃，細化到接入層網絡，這樣在骨干網絡這樣大型的校園網絡中如果以用戶群體來劃分VLAN的話，避免由于前期配置設備時復雜煩瑣，而且由于相同的用戶群體可能在不同

17、的物理位置，導致造成整個校園網絡中VLAN劃分復雜，減輕管理和后期維護。所以方案建議骨干網絡劃分VLAN方式前進行詳盡規劃，這樣既可以減少廣播域，又達到劃分VLAN，方便管理的效果，對于后期網絡維護和升級具有十分現實的意義。2、易于實施。按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復雜失誤而使得網絡出現不通的現象，便于工程快速實施和網絡中心整體規劃。3、VLAN間路由采用三層交換設備進行VLAN路由。以便不同VLAN間進行訪問，對于學校重要網絡資源，需要進行權限訪問的時候，建議采用專家級ACL（可同時基于VLAN號、以太網類型、MAC地址、IP地址、TCP/UDP端口號、時

18、間靈活組合限定的硬件ACL）來進行訪問權限設定，保障重要資料不被非法訪問。（六）網絡安全設計構建全程全網的訪問控制體系是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。1.接入安全RG-S2924G是銳捷網絡推出的全千兆安全智能接入交換機，在提供高性能、高帶寬的同時，提供智能的流分類、完善的服務質量（QoS）和組播應用管理特性，并可以根據網絡的實際使用環境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網絡攻擊，控制非法用戶接入和使用網絡，保證合法用戶合理化使用網絡資源，充分保障了網絡高效安全、網絡合理化使用和運營。2.訪

19、問安全銳捷RG-S6800E多業務萬兆核心路由交換機支持802.1Q VLAN，可使用VLAN劃分隔離用戶訪問。同時還支持VLAN 隧道技術，可實現跨校區的VLAN功能。并且銳捷RG-S6800E多業務萬兆核心路由交換機支持完善的ACL，可以基于MAC、IP、TCP/UDP端口號進行流量控制，以有效的防范和控制網絡蠕蟲病毒（如沖擊波）的傳播和危害。ACLs的全稱為接入控制列表(Access Control Lists)，可以對數據流進行過濾可以限制網絡中的通訊數據類型及限制網絡的使用者或使用設備。在數據流通過交換機時對其進行分類過濾，并對從指定接口輸入的數據流進行檢查，根據匹配條件(condi

20、tions)決定是允許其通過(permit)還是丟棄(deny)。銳捷RG-S6800E多業務萬兆核心路由交換機支持以下幾種類型的ACLs：l IP ACLs用于過濾IP報文，包括TCP和UDP。1. Standard IP access lists (標準IP接入控制列表)使用源IP地址作為匹配的條件2. Extended IP access lists(擴展IP接入控制列表)使用源IP地址、目的IP地址及可選的協議類型信息作為匹配的條件l Ethernet ACLs用于過濾二層數據流：1. MAC Extended access lists(MAC擴展控制列表)使用源MAC地址、目的MAC

21、地址及可選的以太網類型作為匹配的條件l Expert ACLS用于過濾二層和三層、二層和四層、二層和三層、四層數據流：Expert Extended access lists(專家擴展控制列表)使用源MAC地址、目的MAC地址、以太網類型、源IP、目的IP、及可選的協議類型信息作為匹配的條件。對于不同訪問權限的區域采用ACL訪問控制來對不同訪問資源進行權限控制。應用ACL可以有效的防范“沖擊波”等蠕蟲病毒；支持802.1X技術，滿足6元素綁定接入限制；支持IGMP源端口檢查及源IP檢查，可有效控制非法組播源，提高網絡安全；IGMP V3支持通告主機希望接收的多播源的地址，避免非法的組播數據流占

22、用網絡帶寬；     通過PVLAN（保護端口）隔離用戶之間信息互通，不必占用VLAN資源；提供SSH的加密登陸和管理功能，避免管理信息明文傳輸引發的潛在威脅；    Telnet/Web登錄的源IP限制功能，避免非法人員對網絡設備的管理；    SNMPV3提供加密和鑒別功能：確保數據從合法的數據源發出（引擎ID）；確保數據在傳輸過程中不被篡改（采用MD5和SHA認證協議）；加密報文，確保數據的機密性（采用DES56加密協議）。（四、網絡設備選擇（一）交換機的選擇RG-S6506是銳捷網絡推出的萬兆骨干路由交換機，擁有6個模塊擴展槽，提供管理模塊冗余，支持萬兆、千兆和百兆模塊線速轉發，可以根據用戶的需求靈活配置，構建彈性可擴展的現代IP網絡。”RG-S6506交換機高達768G的背板帶寬和286Mpps的二/三層包轉發速率可為用戶提供高速無阻塞的線速交換，強大的交換路由功能、安全智能技術可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是小型網絡核心和大型網絡骨干交換機的理想選擇。參考報價：10.6萬元。參數：（二）路由器的選擇銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網，速率高達OC-