湖南理工學院畢業設計(論文)PAGE學業設計(論文):多層交換園區網絡的規劃與設計PAGEPAGE摘要當今時代的知識經濟的產生和信息技術的發展及Internet的全球普及化都決定了網絡將成為信息時代的主要工具。園區網通常是指大學的校園網或企業的內部網，本論文以大學校園網為例。前期從網絡需求、綜合布線系統、網絡中心機房、網絡安全與管理和網絡服務與應用方面進行需求分析，按用戶數量為3000余人的網絡規模從網絡系統、網絡中心、網絡安全與管理平臺、網絡服務與應用平臺和綜合布線方面進行規劃與設計，并對核心交換機、防火墻、路由器等主體網絡設備選型。針對設計方案采用到的虛擬局域網、網絡地址轉換、多生成樹、虛擬專用網、基本服務器等主要技術，在實驗室進行了模擬配置，并順利通過測試，達到了預期的效果。關鍵詞：校園網；網絡規劃與設計；網絡中心；網絡設備PAGEPAGEIAbstractTheemergenceofknowledgeeconomyandthedevelopmentofinformationtechnologyandtheglobalpopularizationofInternetinthepresenterahavedeterminedthatthenetworkwillbecomethemaintooloftheinformationage.Campusnetworkisusuallyreferstotheuniversitycampusnetworkorenterpriseintranet,thisthesistakesuniversitycampusnetworkasanexample.Fromthepre-demandnetwork,integratedwiringsystem,networkcenterroom,networksecurityandmanagement,andnetworkservicesandapplicationsneedsanalysis,accordingtothenumberofusersfornetwork,thesizeofmorethan3000peoplefromthenetworksystem,networkcentric,networksecurityandmanagementplatform,networkserviceprovidedandapplicationplatformandintegratedwiring,planninganddesign,andthecoreswitches,firewalls,routersandothernetworkofthemainequipmentselection.Theprogramisdesignedusingthevirtuallocalareanetwork,networkaddressconversion,multiplespanningtree,virtualprivatenetwork,basicserver,etc.themaintechnical,configurationsaresimulatedinthelaboratory,andsuccessfullypassedthetest,toachievethedesiredeffect.Keywords:campusnetwork;networkdesign;NetworkCenter;networkequipment湖南理工學院畢業設計(論文) 目錄TOC\o"1-3"\h\u25153摘要 I20252Abstract II26406第1章校園網的需求分析 1207771.1學校背景 1212321.2網絡需求分析 1193531.3綜合布線系統需求 3285001.4網絡中心機房需求 310091.5網絡安全與管理需求 430371.6網絡服務與應用需求 44932第2章校園網絡規劃與設計 536422.1校園網設計原則和實現目標 5240042.1.1校園網設計原則 546282.1.2校園網的實現目標 581402.2網絡系統設計 6318422.2.1網絡拓撲結構 611052.2.2與外部網絡相連 6180762.2.3網絡拓撲結構圖 661182.2.4IP地址規劃與子網劃分 7102952.2.5VLAN設計及其IP地址分配 7175772.3網絡中心設計 8146722.3.1網絡中心的功能劃分與布局 899452.3.2網絡中心機房環境 9162452.3.3供電系統 9181522.3.4接地保護系統 976582.3.5消防系統 9279682.4網絡安全與管理平臺設計 9278692.4.1網絡安全措施 994962.4.2網絡管理 1059852.5網絡服務與應用平臺設計 10284272.6網絡設備選型 1177252.7綜合布線設計 13269622.7.1設計范圍 13198292.7.2布線系統組成 1389042.8技術設計 1326191第3章校園網的具體實現 15141183.1交換機的配置 151353.1.1vlan的配置 1515693.1.2路由的配置 17204333.1.3多生成樹MSTP的配置 1792783.1.4端口聚合的配置 1840153.2路由器的配置 18234613.2.1端口的配置 18132053.2.2路由的配置 1910853.2.3動態NAPT的配置 1994813.2.4VPN的配置 19301553.3服務器的配置 20265703.3.1DNS的配置 20318233.3.2DHCP的配置 23131073.3.3Web的配置 25233223.3.4FTP的配置 2728570第4章系統測試 28306374.1VLAN間的測試 2841444.2網絡地址轉換（NAT）測試 29287094.3虛擬專用網（VPN）測試 29290604.4服務器的測試 3011567參考文獻 333790致謝 34PAGE34PAGE34第1章校園網的需求分析學校背景A高校依山而建，校園面積約500余畝，按其自然地理環境，整個校園分為南、北兩個校區，北校區為教職工家屬區，共有15棟住宅樓；南校區為辦公、教學和學生宿舍區。本次校園網絡建設只對南校區進行，南校區南北長約800m，東西寬約500m，共有2棟綜合辦公樓、5棟教學樓、1棟圖書館、1棟實驗樓、5棟學生宿舍樓和1棟后勤服務中心。學校現有在校學生3000余人，教職工200余人，教學二級教學單位有計算機與電子信息工程系、建筑工程系、機械與電氣工程系、經濟與管理系、外國文學系、中國文學系等。1.2網絡需求分析本次在南校區新建的校園網絡覆蓋南校區全部樓宇，在各部門辦公室、教室、實驗室、閱覽室、學生宿舍布置相應的信息點，將微機室接入校園網，在圖書館后樓的第四層和第五層各新建1個電子閱覽室并接入校園網。各樓宇上網人數分布統計如表1.1所示。表1.1各樓宇上網人數分布統計表樓號/樓層上網人數備注教學樓教室80教室共40個信息點，每個點計2人教學樓辦公120辦公室共30個信息點，每個點計4人圖書館100辦公室、閱覽室共50個信息點電子閱覽室100100臺計算機，考慮服務器等實驗樓辦公7070個信息點微機室340320臺計算機，考慮服務器等綜合辦公樓10064個信息點，行政人員不超過100人后勤服務中心3015個信息點，每個點計2人學生總人數2400每個宿舍4人，每層20個宿舍，每棟樓6層，共5樓網絡中心50服務器、網絡設備、管理機等合計3390綜合布線系統中考慮到房間的功能，辦公室配置數據和語音信息點，教室暫不考慮安排語音信息點。各樓宇信息點的分布需求如下：教學樓：第1~4層均為教室，每個教室布一個數據點，每層10個點；第5~7層均為辦公室，每層10個數據點，10個語音點。合計70個數據點，30個語音點。圖書館：第1~2層的辦公室和書庫布數據點和語音點各1個，每層數據點和語音點各10個。第3層除網絡中心的機房、控制室和辦公室外，其他辦公室、書庫和閱覽室共計4個數據點，4個語音點。第4~5層閱覽室布2個點，其他辦公室等布1個點，每層10個數據點，4個語音點。第6層閱覽室布1個點，計6個數據點，3個語音點。第4~5層每個電子閱覽室50臺計算機。合計50個數據點，31個語音點。實驗樓：大實驗室布2個數據點和1個語音點，小實驗室布1個數據點；第3層都是機房，每個機房40臺計算機，8個機房共320臺計算機，加上服務器和管理機，需340個數據點。合計410個數據點和12個語音點。綜合辦公樓：大辦公室和會議室布數據點和語音點各2個，小辦公室各1個點，合計64個數據點，64個語音點。學生宿舍：每個宿舍布2個數據點，1個語音點，每棟樓240個數據點，120個語音點，5棟宿舍總計1200個數據點，600個語音點。后勤服務中心：每層數據點和語音點各5個，合計15個數據點，15個語音點。網絡中心：服務器、管理計算機和其他網絡設備所需20個數據點和5個語音點。（2）A高校校園網主干網絡系統運用基于TCP/IP協議的千兆位以太網技術構建，采用核心層、匯聚層和接入層三層結構。連接網絡中心機房核心交換機與大樓匯聚交換機或接入交換機的主干網絡系統為1000Mbps光纖通信，從樓層交換機到用戶桌面終端實現100Mbps連網。核心層：網絡系統核心層設在網絡中心機房，網絡中心機房設在圖書館后樓的第三層。核心層選擇萬兆三層交換機作為網絡核心交換機，通過光纜連接到各匯聚交換機，負責內網之間及內網與外網之間的信息交換，同時可根據應用的實際需求，合理地分布流量，利用虛擬局域網技術，合理進行網絡劃分，實現網絡流量的隔離和控制以及網絡安全的需求。匯聚層：將整個校園網劃分為3個匯聚區，圖書館、實驗樓、綜合辦公樓和后勤服務中心為1個匯聚區，教學樓為1個匯聚區，學生宿舍為1個匯聚區。各匯聚區配置1臺千兆三層交換機，上連至核心交換機，下連至本匯聚區內的各樓宇的接入交換機，均采用光纖千兆連接。接入層：設備安裝在個大樓的設備間。各大樓中每層樓都有管理間，可根據各大樓信息點的分布情況設計管理間的位置。接入層選擇二層交換機，連接至工作區的每個信息點。（3）校園網與Internet互聯，采用100Mbps光纖接入。（4）網絡系統規模擴展：網絡系統第二期工程規模要覆蓋到教職工家屬區，考慮到學校擴大招生規模的需要，同一時間上網的最大人數要設計到6000人。網絡設備擴展：網絡設備必須同時支持IPv4和IPv6，在日后IPv6部署時直接支持，不需要新增任何設備與費用。（5）校園主干網絡系統按照三個層次選配相應的網絡設備，所有網絡設備全部選用同一品牌產品，服務器全部選用同一品牌產品。1.3綜合布線系統需求A高校校園網絡工程綜合布線系統涉及南校區內每一棟建筑物的室內雙絞線布線和建筑物之間主干網光纜的室外布線兩部分。綜合布線系統必須達到如下要求：（1）具有高速率高質量傳輸語音、數據、圖像、視頻信號等多種類型信息的能力。（2）連接網絡中心機房核心交換機與大樓匯聚交換機或接入交換機的主干網絡系統為1000Mbps光纖通信，從樓層交換機到用戶桌面終端實現100Mbps連網，并且設計冗余鏈路。所有網絡布線接插設備、接口模塊和網絡跳線都必須滿足100/1000Mbps數據傳輸要求。（3）雙絞線采用符合EIA/TIA568-B2等國際標準的超5類UTP，且具有CMR防火等級，以保證系統具有較強的防火能力。（4）建筑物內部的雙絞線，要求按照相關的標準通過PVC套管埋入墻內，管理間進出的每一條路線都必須打上標簽，并采用表格的方式加以記錄存檔。工作區信息點的插座要暗式安裝在合適的位置，信息模塊均采用超5類自壓式，信息面板均為雙口，一個作為網絡數據線（網線）接口，另一個作為電話線接口。（5）建筑物之間的室外光纖，要求按照相關的標準通過PVC套管埋入地下，光纖轉彎和分支處，要求做光纜井。1.4網絡中心機房需求為了加強對網絡的管理和信息系統的建設，在圖書館后樓第3層設立專用網絡中心機房，機房的規劃與建設應符合國家有關標準。機房環境：機房作為整個網絡的樞紐，對環境的要求及布線的要求較高。機房內選擇抗靜電的金屬活動地板；墻面選擇不易產生塵埃、不產生靜電和對人體無害的涂料；配備具有供風、加熱、冷卻、除濕和空氣除塵能力的機房專用空調設備。供電系統：機房的市電供電應滿足《電子計算機場地通用規范》的規定，供電系統的電源頻率為50Hz，電壓為220V或380V，并且要穩定安全。同時配置在線式不間斷電源系統，保證在市電停電時機房網絡設備正常運轉8小時。防雷和接地保護系統：中心機房要有良好的保護接地系統、防雷接地系統、工作接地系統和防靜電接地系統，保證人身和設備的安全。防雷接地和設備接地應達到目前國家相關標準要求。消防系統：機房內配備火災自動探測器、區域報警器和滅火器，要根據國家現行的《建筑設計防火規范》中的有關規定，設計消防系統。1.5網絡安全與管理需求校園網絡的安全與管理應從設備與線路、軟件和數據、系統運行、網絡互連等方面進行周密的考慮，主要達到以下幾方面的要求：（1）硬件可靠性：網絡服務器、交換設備、路由設備、工作站、連接器件、電源，以及外部設備的性能和質量必須有全優保證，并對至關重要的設備或器件采用冗余設計。（2）系統運行安全：采取必要的措施，保證網絡系統穩定安全運行，防止網絡風暴等事件發生。（3）數據安全：需要設計相應的容錯方案、數據備份方案和數據保護措施，保證數據安全可靠。（4）防攻擊防病毒：內網與外網互連，須采用可靠的隔離措施；網絡服務器、工作站和系統運行必須采用可靠的防病毒、防攻擊措施。（5）上網行為管理：對內網用戶的上網行為進行管理、控制和審計，防止不良行為對網絡系統運行產生影響。（6）網絡管理：選用合適的網絡管理軟件，對網絡設備及其運行狀況、網絡設備的配置等進行管理，對網絡故障和性能進行監控，對內網上網用戶實行身份認證管理，計費方式采用按月/年固定收費。1.6網絡服務與應用需求校園網建成后，需提供下列網絡應用和服務：（1）能夠同時支持3000用戶登錄Internet，快速獲得各種信息。（2）建立學校網站，提供Web服務。（3）提供基本的Internet網絡服務功能，如DNS服務、DHCP服務。（4）建立網絡辦公系統，實現無紙化辦公。（5）建立綜合教務管理系統，對學生的學籍和學習情況實行計算機管理。（6）建立數字圖書館系統，對圖書館的業務辦公實行計算機管理，并建立期刊、圖書和報紙等方面的數字資源。（7）建立網絡教學系統，為全校教師提供一個網絡教學平臺。

第2章校園網絡規劃與設計2.1校園網設計原則和實現目標2.1.1校園網設計原則整個網絡設計方案要符合以下設計原則：（1）設計與實現標準化：所使用的標準、技術、結構、系統組件、用戶接口、支撐軟件等全部采用國際化標準，易學易用。（2）功能框架模塊化：對于所設計規劃的校園網絡建設方案，學校可根據實際情況，有選擇地或分步實施方案中的每個功能模塊，如核心層、匯聚層、接入層等功能模塊的實現。（3）實用性：設計方案中，網絡類型、網絡結構和網絡硬件設備等都必須是實用的；同時考慮到學校目前的教學、科研和管理工作的實際需求，以及學校的財力情況，做到分步實施。（4）充分考慮兼容性：所設計的網絡要充分考慮不同廠商的硬件和軟件的兼容性，這里統一使用銳捷網絡硬件設備。（5）整體方案的開放性、拓展性和再開發性：方案在設計和實現中，充分認識到校園網建設和信息化教育的現狀和未來發展變化，高度實現模塊化、標準化和兼容性，具備開放性、拓展性和再開發性，可以隨著網絡技術和信息化教育的發展而拓展，為用戶提供長期的發展空間和效益。（6）完善的安全機制：所設計的網絡系統要有完善的措施和技術防御外部攻擊、管理內部用戶不良的上網行為，確保網絡系統安全可靠。2.1.2校園網的實現目標該校根據教學與管理需要，決定在南校區校園內新建校園網，其主要目標和內容如下：（1）建立一個以網絡技術、計算機技術與現代信息技術為支撐，以辦公自動化、多媒體輔助教學、現代信息校園文化為核心，技術先進、擴展性強、覆蓋南校區各樓宇的校園網絡；網絡主干系統實現1000Mbps光纖到樓道，桌面終端實現100Mbps連網，將學校的各種計算機、終端設備和機房局域網全部并入校園網絡。（2）外網實現與互聯網互聯。（3）在校園網上運行網絡辦公系統、綜合教務管理系統和網絡教學系統，覆蓋學校各職能部門的管理業務，為教師提供網絡教學平臺，實現信息共享，提高辦學效率和質量。（4）開發建立各類教育信息資源庫和數字圖書館系統，為學校各類人員提供豐富的數字信息資源和充分的網絡信息服務。2.2網絡系統設計根據需求分析，A高校校園網絡確定為園區級網絡，主干網絡系統采用基于TCP/IP協議的千兆位以太網構建技術。2.2.1網絡拓撲結構根據需求分析，A高校校園網絡采用核心層、匯聚層和接入層三層拓撲結構。按照三個層次選配相應的網絡設備。核心交換機與匯聚交換機、匯聚交換機與接入交換機的連接鏈路采用1000Mbps光纖通信。從接入交換機到用戶桌面計算機采用100Mbps雙絞線連接。核心層：核心層設在網絡中心機房，網絡中心機房設在圖書館后樓的第3層。考慮到校園網現有的規模和今后的擴展，核心層選用2臺銳捷RG-S7606萬兆三層交換機作為網絡核心交換機，負責內網之間及內網與外網之間的信息交換；根據實際需求，合理地分布流量；對全網統一進行VLAN劃分和管理，實現網絡流量的隔離和控制以及網絡安全的需求。RG-S7606是一臺多業務IPv6路由核心交換機，提供熱插拔的冗余管理模塊和冗余電源模塊。全面支持IPv6的各種技術，能夠平滑擴展到IPv6網絡。匯聚層：將整個網絡劃分為3個匯聚區。綜合辦公樓、圖書館、實驗樓和后勤服務中心為1個匯聚區，匯聚交換機放在網絡中心機房；教學樓為1個匯聚區，匯聚交換機放在3號教學樓第3層設備間；學生宿舍為1個匯聚區，匯聚交換機放在3號學生宿舍樓的第3層設備間。各匯聚點配置1臺銳捷RG-S7360-12SFP/GT三層交換機作匯聚交換機，上連至核心交換機，下連至本匯聚區內的各樓宇的接入交換機，均采用光纖千兆連接。接入層：接入層設備安裝在各大樓的設備間。各大樓均設有弱電井，每層樓都有管理間，可根據各大樓的實際情況設計設備間的位置。接入交換機選用銳捷RG-S2352G二層可堆疊接入交換機，1000Mbps上連至匯聚交換機，100Mbps下連至本樓的桌面計算機。2.2.2與外部網絡相連根據需求分析，采用光纖接入方式將校園網與Internet互連，由Internet服務提供商（中國電信）提供1條100Mbps光纖接入到網絡中心機房的RG-RSR-08E路由器上，再通過銳捷RG-WALL160E防火墻接入核心交換機RG-S7606。路由器負責路由選擇和網絡地址轉換，防火墻負責網絡安全。2.2.3網絡拓撲結構圖根據需求分析，A高校校園網絡拓撲圖如圖2.1所示：圖2.1A高校網絡拓撲圖2.2.4IP地址規劃與子網劃分A高校校園網IP地址實行內網與外網分開，外網向IP地址管理機構申購5個公有地址：1~5，子網掩碼為，網關為，DNS為1。內網采用C類私有地址/24~55/24。內網與外網之間通信，通過網絡地址轉換技術實現。由于有充足的私有地址供內部網絡主機分配，所以不劃分子網。2.2.5VLAN設計及其IP地址分配根據需求分析，采用如下VLAN的設計方案：（1）按部門性質或樓棟或樓層設置VLAN，每個VLAN內的主機數不超過254臺。（2）設計一個管理VLAN，對全校的交換機、路由器、防火墻、上網行為管理等網絡設備的IP地址進行統一管理。（3）VLAN的IP地址分配，按照C類地址網段進行分配。全校所有VLAN的設計及其IP地址分配如表2.1所示。表2.1VLAN規劃表序號VLAN號VLANIP地址/掩碼默認網關主機用戶11/24管理VLAN22/24服務器群133/24服務器群244/24管理PC510/24教學樓1611/24教學樓2712/24教學樓3813/24教學樓4914/24教學樓51015/24辦公樓11116/24辦公樓21217/24圖書館1318/24實驗樓1419/241520/24后勤中心1621/241棟學生宿舍1~3層1722/241棟學生宿舍4~6層1823/242棟學生宿舍1~3層1924/242棟學生宿舍4~6層2025/243棟學生宿舍1~3層2126/243棟學生宿舍4~6層2227/244棟學生宿舍1~3層2328/244棟學生宿舍4~6層2429/245棟學生宿舍1~3層2530/245棟學生宿舍4~6層2.3網絡中心設計網絡中心位于圖書館后樓第三層，面積約120㎡，包括網絡中心機房、管理控制室和網絡中心辦公室。網絡中心機房建設按照國家相關標準設計與施工。2.3.1網絡中心的功能劃分與布局網絡中心的功能劃分與平面布局如圖2.2所示：圖2.2網絡中心平面布局圖2.3.2網絡中心機房環境網絡中心機房作為整個網絡的樞紐，對環境的要求較高，其設計方案如下：（1）地面：中心機房區地面采用600×600全鋼抗靜電活動地板，載重量不小于100磅每平米。（2）墻面：網絡中心墻面選擇不易產生塵埃、不產生靜電和對人體無害的涂料粉刷。（3）防塵：中心機房區的窗戶采用良好的密封技術加封。（4）中心機房的窗戶加裝牢固的防盜網，采用防盜門。（5）環境溫度：中心機房區配備2臺5P格力空調，并配置空調控制器，控制2臺空調自動開關機、自動切換，使機房保持恒溫、無塵。（6）照明：室內照明不低于150Lx。2.3.3供電系統網絡中心機房供電系統設計為雙路電源供電，一路為市電，采用三相四線制，電源頻率為50Hz，電壓為220V/380V。另一路為在線式不間斷電源系統(UPS)，采用捷益達藍堡RP150L33-K/15KVA三進三出貢品UPS，保證機房設備正常運轉8小時，電池放1樓。中心機房內每個電源插座的容量不小于300W。2.3.4接地保護系統網絡中心機房建立兩套接地系統。一套為防雷保護接地系統，在配電箱三相電源處安裝防雷保護器，通過專用接地線接地。另一套為電源接地與防靜電接地系統，將電源的地線、機房中所有金屬頂棚、龍骨架、墻面、設備的金屬外殼、金屬管線、防靜電地網、防靜電地板的支架連接體全部接入該接地系統。地線按相關規范制作。2.3.5消防系統網絡中心機房配備火災自動探測器和區域報警器構成消防自動報警系統，并配備“七氟丙烷”氣體滅火器。2.4網絡安全與管理平臺設計A高校校園網絡的安全策略強調重點保護、規范管理和提高效率。通過網絡安全設計，達到了保護網絡資源不受內部或外部的惡意攻擊和破壞，保護網絡的配置不受非法的修改；阻止反動的、黃色的信息在網上流動和傳播等效果。這些問題的解決除加強思想教育和組織管理外，最根本的方法就是采取各種有效的措施，加強網絡運行管理，維護校園網的安全。2.4.1網絡安全措施A高校校園網從以下幾方面在多個層次上實現比較完整的安全管理。（1）建立安全管理制度：建立各種安全規章制度，如值班制度、系統安全運行制度等；完善各種事故保護系統，如防火系統、防盜系統、電源安全保護系統等。（2）通過統一出口銳捷路由器RG-RSR-08E（R1）接入Internet。（3）主干網不直接接入用戶。（4）合理劃分VLAN：通過VLAN的合理劃分，實現不同網段間的互訪隔離，使管理要求、安全要求不同的網段彼此分離，加強安全控制,具體VLAN的劃分請參考表2.1VLAN規劃表。（5）數據備份措施：服務器采用熱插拔硬盤，其中網絡辦公系統、網絡教學系統、綜合教務管理系統和數字圖書館系統配置RAID5進行數據備份和恢復，同時由管理員定期將數據備份到光盤上。（6）設置銳捷RG-WALL160E防火墻隔離外部和內部網絡，防止外部和內部的攻擊。（7）對校園網所有訪問用戶實行身份認證。（8）全網在核心層和匯聚層配置多生成樹協議，防止網絡風暴的產生。2.4.2網絡管理設計采用銳捷網絡的RG-SNC智能網絡管理系統對全網進行管理。RG-SNC智能網絡管理系統是銳捷網絡為精確進行網絡管理而設計的網絡管理系統。RG-SNC專注于網絡變更與配置管理，采用友好的全中文Web瀏覽器界面，可以遠程協同維護和管理，采用非代理模式，避免了傳統的“Agent”模式的煩瑣和重復性勞動，而且便于實施和后期維護，極大地節省了工作時間和工作繁雜度；主動式的網管，可定義管理服務，主動收集網絡狀況并及時備份，做到狀態變更的及時響應，出現故障可及時恢復；提供美觀的網絡拓撲圖，俯瞰整個網絡狀況，出現異常時，在拓撲圖上即時呈現。產品主要配合銳捷設備使用，提供圖形化的配置界面，實現對設備配置修改，從而大大降低管理員的維護強度和難度。2.5網絡服務與應用平臺設計根據A高校的應用要求，校園網建成后，按照分步實施的原則，逐步建立和完善網絡服務與應用，首期建設的網絡服務與應用系統有：信息服務系統（包括WWW服務、DNS服務、DHCP服務）、網絡辦公系統、網絡教學系統、綜合教務管理系統和數字圖書館系統。根據上述服務與應用的需求，設計部署10臺DellR710服務器分別作為Web與FTP服務器、DNS與DHCP服務器、綜合教務管理服務器、科研管理服務器、數字資源服務器、網絡辦公管理服務器、圖書館管理系統服務器、網絡教學服務器、信息門戶身份認證服務器、智能網絡管理服務器等，所有服務器放置在網絡中心機房組建成服務器群。對于WWW服務，主要是建立學校網站，包括學校概況、學校新聞、師資建設、教學管理、學科科研、校園文化、學生工作等。對于DHCP服務，因為A高校校園網采用的是C類私有地址網段/24，所以網內計算機的IP地址都采用動態分配和靜態分配相結合的辦法。部署1臺DHCP服務器，負責學生個人、辦公室IP地址的動態分配工作。分配固定IP地址給服務器。對于網絡辦公系統、網絡教學系統、信息門戶身份認證、綜合教務管理系統和數字圖書館系統，購買相應的軟件。2.6網絡設備選型根據A高校的應用要求，A高校校園網絡建設所需的交換機、路由器、防火墻、上網行為管理和服務器等主要設備已在上面的敘述中選定，詳細情況如下：核心層三層交換機RG-S7606參數如表2.2所示表2.2RG-S7606參數表產品名稱RG-S7606產品圖片產品類型三層交換機交換方式存儲轉發背板寬帶48Gbps傳輸速率10/100/1000Mbps端口數量24包轉發率18MbpsVLAN支持網絡標準IEEE802.3，IEEE8需求數量2臺匯聚層三層交換機RG-S3760參數如表2.3所示：表2.3RG-S3760參數表產品名稱RG-S3760產品圖片產品類型三層交換機交換方式存儲轉發背板寬帶48Gbps傳輸速率10/100/1000Mbps端口數量24包轉發率18MbpsVLAN支持網絡標準IEEE802.3，IEEE8需求數量3臺（3）接入層二層交換機RG-S2352G參數如表2.4所示：表2.4RG-S2352G參數表產品名稱RG-S2352G產品圖片產品類型二層交換機交換方式存儲轉發背板寬帶19.2Gbps傳輸速率10/100/1000Mbps端口數量52包轉發率13.2MbpsVLAN支持網絡標準IEEE802.3，IEEE8需求數量15臺（4）防火墻RG-WALL160E參數如表2.5所示：表2.5RG-WALL160E參數表產品名稱RG-WALL160E產品圖片并發連接數130000安全策略數65535包延時45μs用戶數限制無用戶數限制用戶網絡端口3個快速以太網絡端口控制端口2個Rj-45VPN支持支持入侵檢測Dos管理銳捷安全管理器安全標準UL1950,CSAC22.2NO.950（5）路由器RG-RSR-08E參數如表2.6所示：表2.6RG-RSR-08E參數表產品名稱RG-RSR-08E產品圖片產品類型路由器交換容量12.8G路由表50萬條ACL超過1萬條端口結構模塊化QoS支持VLAN支持網絡協議TCP/IP需求數量2臺2.7綜合布線設計2.7.1設計范圍布線系統設計遵從國際（ISO/IEC11801）標準，符合《綜合布線工程系統設計規范》（GB50311-2007），其范圍包括南校區的每一棟樓宇內數據線、語音線的布線以及從網絡中心到每棟樓宇之間的主干光纜的布線兩部分。網絡中心機房（簡稱網管中心）位于圖書館后樓的第三層。目前有綜合辦公樓、教學樓、實驗樓、學生宿舍樓和后勤服務中心需要與網管中心連接成校園網主干，并且各樓需要進行網絡布線，同時通過網管中心將學校校園網與電信網互連。2.7.2布線系統組成綜合布線系統由工作區、配線子系統、干線子系統、建筑群子系統、設備間、進線間等組成。2.7.3綜合布線系統設計在配線子系統中，信息點的連接全部采用4對超5類優質非屏蔽雙絞線，用于支撐數據和語音傳輸。纜線從電信間配線架引出，經走廊吊定內的金屬線槽或橋架至室內墻上預埋暗管，連接到信息模塊。干線子系統的線纜選用6芯單模光纜支持數據傳輸，采用3類25對數電纜支持語音傳輸。所有線纜通過電信間金屬線槽垂直布放。樓間建筑群子系統：從中心機房到各樓宇設備間采用1根室外8芯單模或多模光纖組成校園主干網，其中4芯用于核心層到匯聚層雙鏈路支持數據傳輸，2芯用于支持語音傳輸，余下的2芯備用。中國電信的互聯網光纖進入網絡中心機房。光纜的敷設直埋地下，在光纜的拐彎處和分支處都設置光纜井。電信間設置：教學樓、圖書館、實驗樓和綜合辦公樓每3層設置1個電信間，學生宿舍樓每層設置1個電信間，后勤中心各設置1個電信間兼設備間。設備間設置：在每棟樓各設置1個設備間；南校區設備間設置在網絡中心機房，除配置一般設備間的設備外，還配有防火墻、數據服務器、應用服務器和BD等網絡設備，電話程控交換機及BD等語音設備，電信的互聯網連接以及中國教育與科研網連接設備等。配線設備采用三種配線架，分別連接光纖和銅纜。FD采用5類RJ-45模塊數據配線架用于支持數據，采用語音配線架用于支持干線側與水平測語音。BD采用光纖配線架用于支持數據，采用語音配線架用于支持語音。2.8技術設計需要實現的技術有：虛擬局域網（VLAN）、網絡地址轉換（NAT）、多生成樹（MSTP）、虛擬專用網（VPN）、動態主機配置協議（DHCP）、域名系統（DNS）、文本傳輸協議（FTP）。虛擬局域網（VLAN）：是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣。該高校校園網內共有25個VLAN。網絡地址轉換（NAT）：所有使用本地地址的主機在和外界通信時，都要在NAT路由器上將其本地地址轉換成全球IP地址，才能和因特網連接。該高校校園網內NAT路由器是1841（R0）。多生成樹（MSTP）：在網絡設計中，為了增強通信鏈路的可靠性，一般在交換機之間設計一條或多條冗余鏈路，冗余鏈路的添加可以保證鏈路正常通信，但也可能會導致環路的產生。采用多生成樹（MST），能夠通過干道（trunks）建立多個生成樹，關聯VLANs到相關的生成樹進程，每個生成樹進程具備單獨于其他進程的拓撲結構；MST提供了多個數據轉發路徑和負載均衡，提高了網絡容錯能力，因為一個進程（轉發路徑）的故障不會影響其他進程（轉發路徑）。在該高校網絡的核心層和匯聚層中用到MSTP。虛擬專用網（VPN）：在公用網絡上建立專用網絡，進行加密通訊。在校園或企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。該高校校園網內VPN路由器是1841（R0）。動態主機配置協議（DHCP）：通常被應用在大型的局域網絡環境中，主要作用是集中的管理、分配IP地址，使網絡環境中的主機動態地獲得IP地址、Gateway地址、DNS服務器地址等信息，并能夠提升地址的使用率。域名系統（DNS）：每個IP地址都可以有一個主機名，主機名由一個或多個字符串組成，字符串之間用小數點隔開。有了主機名，就不要死記硬背每臺IP設備的IP地址，只要記住相對直觀有意義的主機名就行了。這就是DNS協議所要完成的功能。文本傳輸協議（FTP）：用于Internet上的控制文件的雙向傳輸。在FTP的使用當中，用戶經常遇到兩個概念：“下載”和“上傳”。"下載"文件就是從遠程主機拷貝文件至自己的計算機上；"上傳"文件就是將文件從自己的計算機中拷貝至遠程主機上。用Internet語言來說，用戶可通過客戶機程序向（從）遠程主機上傳（下載）文件。

校園網的具體實現本章根據A高校網絡拓撲圖在實驗室對VLAN、NAT、MSTP、VPN、DHCP、DNS、WEB、FTP進行模擬配置，網絡設備簡化之后如圖3.1所示。其中，用三層交換機3560-24PS模擬RG-S7606，用三層交換機3560-24PS模擬RG-S3760-12SFP/GT，用二層交換機2950-24模擬RG-S2352G，用路由器1841模擬RG-RSR-08E。圖3.1網絡拓撲簡化圖3.1交換機的配置3.1.1vlan的配置（1）核心層3560-24PS（SW1）：創建vlan2、vlan10、vlan11三個vlan，把f0/1、f0/2、f0/3、f0/4這四個端口設置為trunk端口，設置IP地址和子網掩碼，并啟動路由功能。en//從用戶配置模式進入特權配置模式conft//從特權配置模式進入全局配置模式vlan2//創建vlan2vlan10//創建vlan10vlan11//創建vlan11intf0/1//進入fastEthernet0/1接口配置模式switchtrunkencapdot1q//trunk協議封裝為dot1qswitchmodetrunk//端口模式為trunkexit//退出intf0/2//進入fastEthernet0/2接口配置模式switchtrunkencapdot1q//trunk協議封裝為dot1qswitchmodetrunk//端口模式為trunkexit//退出intf0/3//進入fastEthernet0/3接口配置模式switchtrunkencapdot1q//trunk協議封裝為dot1qswitchmodetrunk//端口模式為trunkexit//退出intf0/4//進入fastEthernet0/4接口配置模式switchtrunkencapdot1q//trunk協議封裝為dot1qswitchmodetrunk//端口模式為trunkexit//退出iprouting//啟動路由intvlan2//進入接口配置模式ipadd//設置IP地址和子網掩碼exit//退出intvlan10//進入接口配置模式ipadd//設置IP地址和子網掩碼exit//退出intvlan11//進入接口配置模式ipadd//設置IP地址和子網掩碼exit//退出核心層3560-24PS（SW3）：創建vlan2、vlan10、vlan11三個vlan，把f0/2、f0/3、f0/4這三個端口設置為trunk端口，配置f0/1端口的IP地址，并啟動路由功能。en//從用戶配置模式進入特權配置模式conft//從特權配置模式進入全局配置模式vlan2//創建vlan2vlan10//創建vlan10vlan11//創建vlan11intf0/2//進入fastEthernet0/2接口配置模式switchtrunkencapdot1q//trunk協議封裝為dot1qswitchmodetrunk//端口模式為trunkexit//退出intf0/3//進入fastEthernet0/3接口配置模式switchtrunkencapdot1q//trunk協議封裝為dot1qswitchmodetrunk//端口模式為trunkexit//退出intf0/4//進入fastEthernet0/4接口配置模式switchtrunkencapdot1q//trunk協議封裝為dot1qswitchmodetrunk//端口模式為trunkexit//退出intf0/1//進入fastEthernet0/1接口配置模式ipadd//設置IP地址和子網掩碼noshutdown//啟用該接口exit//退出iprouting//啟動路由（2）匯聚層兩臺3560-24PS（SW0和SW2）與3560-24PS（SW1）配置相似。（3）接入層2950-24（SW0）：創建vlan10、vlan11兩個vlan，將f0/1端口加入到vlan10中，把f0/2設置為trunk端口。en//從用戶配置模式進入特權配置模式conft//從特權配置模式進入全局配置模式vlan10//創建vlan10vlan11//創建vlan11intf0/2//進入fastEthernet0/2接口配置模式switchmodetrunk//端口模式為trunkexit//退出intf0/1//進入fastEthernet0/1接口配置模式switchaccessvlan10//將fastEthernet0/1接口加入vlan10中exit//退出另外1臺2950-24（SW2）與其配置相似。3.1.2路由的配置核心層3560-24PS（SW3）：配置RIP路由和默認路由。routerrip//打開路由器的RIP路由進程network//配置路由器的直連主網段為network//配置路由器的直連主網段為network//配置路由器的直連主網段為iproute//配置默認路由3.1.3多生成樹MSTP的配置（1）核心層3560-24PS（SW1）：配置多生成樹MSTP，設置實例優先級，并關聯相應vlan。spanning-tree//開啟生成樹協議spanning-treemodemstp//配置生成樹模式為MSTPspanning-treemst1priority4096//在instance1中的優先級為4096spanning-treemst3priority4096//在instance3中的優先級為4096spanning-treemstconf//進入MSTP配置模式instance1vlan2//配置實例1并關聯vlan2instance2vlan10//配置實例2并關聯vlan10instance3vlan11//配置實例3并關聯vlan11nameregion1//配置域名為region1revision1//配置修正級別（2）核心層3560-24PS（SW3）：配置多生成樹MSTP，設置實例優先級，并關聯相應vlan。spanning-tree//開啟生成樹協議spanning-treemodemstp//配置生成樹模式為MSTPspanning-treemst2priority4096//在instance2中的優先級為4096spanning-treemstconf//進入MSTP配置模式instance1vlan2//配置實例1并關聯vlan2instance2vlan10//配置實例2并關聯vlan10instance3vlan11//配置實例3并關聯vlan11nameregion1//配置域名為region1revision1//配置修正級別（3）匯聚層3560-24PS（SW0）配置多生成樹MSTP，創建實例并關聯相應vlan。spanning-tree//開啟生成樹協議spanning-treemodemstp//配置生成樹模式為MSTPspanning-treemstconf//進入MSTP配置模式instance1vlan2//配置實例1并關聯vlan2instance2vlan10//配置實例2并關聯vlan10instance3vlan11//配置實例3并關聯vlan11nameregion1//配置域名為region1revision1//配置修正級別另外一臺3560-24PS（SW2）與其配置一樣。3.1.4端口聚合的配置核心層3560-24PS（SW1）：配置端口聚合。intaggregateport1//創建聚合接口AG1switchmodetrunk//端口模式為trunkintrangef0/4-5port-group1//配置接口0/4和0/5屬于AG1另外一臺3560-24PS（SW3）與其配置一樣。3.2路由器的配置3.2.1端口的配置（1）1841（R0）：配置f0/1、f0/2這兩端口的IP地址并啟用端口。en//從用戶配置模式進入特權配置模式conft//從特權配置模式進入全局配置模式intf0/1//進入fastEthernet0/1接口配置模式ipadd//設置IP地址和子網掩碼noshutdown//啟用該接口exit//退出intf0/2//進入fastEthernet0/2接口配置模式ipadd//設置IP地址和子網掩碼noshutdown//啟用該接口exit//退出（2）1841（R1）：配置f0/1、f0/2這兩端口的IP地址并啟用端口。en//從用戶配置模式進入特權配置模式conft//從特權配置模式進入全局配置模式intf0/1//進入fastEthernet0/1接口配置模式ipadd//設置IP地址和子網掩碼noshutdown//啟用該接口exit//退出intf0/2//進入fastEthernet0/2接口配置模式ipadd0//設置IP地址和子網掩碼noshutdown//啟用該接口exit//退出3.2.2路由的配置1841（R0）：配置RIP路由和默認路由。routerrip//打開路由器的RIP路由進程network//配置路由器的直連主網段為iproute0//配置默認路由3.2.3動態NAPT的配置1841（R0）：設置IP地址池，建立訪問控制列表和NAT映射，把f0/1端口設為內部接口，把f0/2端口設為外部接口。ipnatpoolnet15netmask//定義一個名為net的IP地址池范圍是1至5access-list1permit55access-list1permit55access-list1permit55//定義三個訪問控制列表，表號為1，只有和這個列表匹配的地址才會進行NAT轉換ipnatinsidesourcelist1poolnetoverload//定義動態NAT，把和列表匹配的內部本地地址，用地址池的地址建立NAT映射intf0/1//進入fastEthernet0/1接口配置模式ipnatinside//指定網絡的內部接口intf0/2//進入fastEthernet0/2接口配置模式ipnatoutside//指定網絡的外部接口3.2.4VPN的配置1841（R0）：配置VPN，進行3A認證，建立用戶名和密碼，建立安全參數配置，最后綁定f0/2端口。aaanew-modelaaaauthenticationloginvpn-alocalaaaauthorizationnetworkvpn-olocal//進行aaa認證usernamevpnpassword0vpn//建立本地用戶名密碼cryptoisakmppolicy10//建立ipsec安全參數配置hashmd5authenticationpre-shareiplocalpoolVPN-POOL54//建立分配給VPN用戶的地址池cryptoisakmpclientconfigurationgroupvpngroup//easyvpn的組及密碼配置,vpngroup為組名keyvpn//密碼為vpnpoolVPN-POOL//vpn用戶的地址池cryptoipsectransform-setschool-setesp-3desesp-md5-hmac//Ipsec階段2配置cryptodynamic-mapd-map10//動態加密圖settransform-setschool-setreverse-route//反向路由注入cryptomapschool-mapclientauthenticationlistvpn-acryptomapschool-mapisakmpauthorizationlistvpn-ocryptomapschool-mapclientconfigurationaddressrespondcryptomapschool-map10ipsec-isakmpdynamicd-map//Easyvpn用戶的認證授權配置intf0/2cryptomapschool-map//綁定端口3.3服務器的配置3.3.1DNS的配置（1）首先把本機的TCP/IP屬性填好，如圖3.2所示圖3.2Internet協議（TCP/IP）屬性圖（2）打開DNS控制臺，在服務器名上單擊右鍵，在出現的快捷菜單中選擇“新建區域”；（3）點擊“下一步”，選擇“主要區域”；（4）點擊“下一步”，選擇“正向查找區域”；（5）點擊“下一步”，輸入域名（如：）；（6）點擊“下一步”，直至“完成”，如圖3.3所示：圖3.3向導完成圖（7）進行反向查找區域新建向導，輸入網絡ID（如192.168.3