1、 目录 摘要 1 第 1 章 课程设计内容及要求 . 2 1.1 网络现状 2 1.2 网络需求 2 第 2 章 需求分析 3 2.1 环境需求 3 2.2 功能需求 3 2.3 网络规模需求 3 2.4 网络拓扑结构需求 3 2.5 网络管理需求 3 2.6 网络安全需求 4 2.7 校园网系统集成预算 4 第 3 章 校园网结构设计 4 3.1 校园各建筑物分布图 4 3.2 网络结构分析 . 5 3.2.1 网络规模与结构分析 5 3.2.2 网络工程方案分析 5 3.3 网络设计原则 5 3.4 子网设计原则 5 3.5 逻辑结构设计 6 3.6 物理结构设计 7 第 4 章 网络设备
2、选型 7 4.1 交换机 7 4.2 路由器 8 4.3 防火墙 8 4.4 服务器 9 4.5 其他设备 . 10 第 5 章 网络设备配置策略 10 5.1 网络设备连接 . 10 5.2 互联网接入设备 . 10 5.3 核心层高速传输与交换 . 10 5.4 汇聚层基于策略的连接 . 11 5.5 接入层本地与远程工作组用户的连接 . 11 1 摘 要 Internet,即国际互联网,是现在网络应用的主流,从它最初在美国诞生至今已经经历了三十多年。这个以 TCP/IP 协议为主体的国际互联网络已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。最初的 Internet 是由科研
3、网络形成的,主要是由一些大学和研究所等科研教育单位连接而成,逐渐发展到今天的规模。而进入九十年代后,由于各种商业信息进入了 Internet,使得 Internet 得到了极大地发展,其拥有的主机数,连接的网络数以及覆盖面一直呈指数形式上升。现在在 Internet 上可以提供或者获得各种各样的服务,比如通过 电子邮件进行合同的起草和签订,或利用 Internet 直接挑选商品和购物。 Internet 是一个资源的网络,其中拥有的信息资源几乎覆盖所有的领域。Internet 面向人类的社会,世界上数以亿计的人们利用它进行通信和信息共享,通过发送和接收电子邮件,或和其他人的计算机建立连接、参加
4、各种讨论组并免费使用各种信息资源实现信息共享。 Internet 的迅速发展,极大地推动了我国的网络建设。而中国教育科研网( CERNET)的快速发展,则极大地促进了高校校园网的建设。校园网的建设能从根本上促进教学科研人员之间的信息交流 、资源共享、科研合作,是学校教育和科研工作的最重要的基础设施之一。本文通过介绍校园网的设计与建设 ,来说明高校在组建内部网时所应经历的步骤;通过介绍该学校内部网设计前的各种需求分析、设计方案的选择、网络安全维护工作以及最后的具体的组网实践,来说明如何高效安全地规划组建高校的校园网。 关键词 : Internet、 校园网、需求分析、设计方案、网络安全 2 学院
5、校园网设计方案 第 一 章 课程设计内容及要求 1.1 网络现状 建设学院千兆校园网,完成一个整体规划、分步实施、充分考虑现有设备与实际资金情况的方案,建立网络中心和主干网,然后建立学校的信息管理网络、教学网络、图书管理网络和电子阅览室各应用子系统,并进行教学楼、办公楼、图书馆和结构化布线,将网络扩展到整个校园,实现校园网的全部功能,最后可通过路由器与 CERNET 和 Internet 接入。该方案应充分考虑到学校的应用和资金情况,建立一个普通高校千兆校园网,具有一定的科学性和参考价值。要求投资总额在 150 万元左右。 1.2 网络需求 校园网建设应该以应用为核心,在设计中充分考虑 到教育
6、管理和多媒体教学的要求,并且网络技术应该具有一定的先进性,同时还要为以后的扩展留有一定的空间。为此,该校校园网应达到以下要求: 1)网络具有传递语音、图形、图像等多种信息功能,具备性能优越的资源共享功能; 2) 校园网中各终端间具有快速交换功能; 3) 中心系统交换机采用虚拟网技术,对网络用户分类控制功能; 4) 对网络资源的访问提供完善的权限控制; 5) 网络具有防止及便于捕杀病毒功能,以保证网络使用安全; 6) 校园网与 Internet 相连后具有“防火墙”过滤功能,以防止网络黑客入侵网络系统; 7) 可对接入因特网的各网络用户进行权限控制。 3 第二章 需求分析 2.1 环境需求 部门
7、名称 节点数目 建筑物层数 与校园网信息中心 的距离 (米 ) 土木教学楼 1000 5 300 图书馆 200 7 50-100 公共教学 楼 1000 5 250 行政楼 50 4 500 11 栋宿舍楼 11000 6 实验楼 500 5 400 逸夫楼 500 4 500 文体中心 100 4 800 2.2 功能需求 对于多媒体形式的数据如语音、图象、动画演示、视频点播等,网络应该及时、高效地完成数据传输,确保电子教学的正常运做。满足学生上机要求 . 2.3 网络规模需求 网络应该支持大规模的数据库应用。随着我国基础教育水平的提高,通过网络运行基于服务器 /客户机的数据库查询检索是日
8、常教学中教师和学生经常要进行的活动。如何确保数据库查询迅速及时地得到反馈是网络应该注意的问题。 2.4 网络拓扑结构需求 随着校园网对因特网接入需求的增加,应该考虑校园网能够顺利实现与外部网络和 Internet 的连接 。 校园网应该具备使用灵活,管理简单的特性。由于校园网不可能投入太多的专业人员从事系统维护,因此在设计时就应该考虑网络使用和维护应该尽量简单。考虑到未来校园的扩建,教学发展的需要,校园网应该具备很好的扩展能力,能够保证在需要时校园网能够实现向未来网络的平滑升级。另外校园网应该能够保证新的应用形顺利开发实现。 2.5 网络管理需求 4 网络系统应该能够支持 SNMP(简单网管协
9、议),这样便于计算机管理人员通过网管软件随时监 视网络的运行状况,一旦出现故障,可以自动报告出错位置和出错原因,管理人员可以迅速发现故障并即时维护,同时 SNMP V2 版本的协议还支持很多更高级的网络安全管理功能。 2.6 网络安全需求 配备的防火墙。防火墙的配备,极大的提高了我校校园网与外网之间的安全性,从根本上消除了多年以来存在的网络安全隐患。 2.7 校园网系统集成预算 器材 型号 数量 价格 (元 ) 硬件防火墙 CISCO ASA5510-BUN-K9 1 14000 核心交换机 CISCO WS-C6509-E 1 50000 汇聚交换机 (1) H3C S5500-52C-PW
10、R-EI 3 40000 汇聚交换机 (2) CISCO WS-C3750G-12S-S 3 20000 接入层交换机 H3C S5120-28P-SI 20 5000 无线路由器 D-Link DIR-655 10 600 双绞线 AMP 超五类工业布线电缆1499448-3 20 43000 光纤 AMP 室外用铠装型光缆1664175-5 2000 14 尾纤 AMPS 口尾 2105022-2 24 100 模块接口卡 H3C SFP-GE-LX-SM1310-A 12 3000 服务器 IBM System x3500 M3(7379I18) 5 20000 其它 100000 总价
11、 1469000 第三章 校园网结构设计 3.1 校园各建筑物分布图 5 3.2 网络结构分析 1.网络规模与结构分析 千兆干线、百兆交换到桌面,轻松实现高速网上冲浪。主干采用三层架构,充分利用三层交换的高性能管理,满足大容量、高速率的数据传输。基于三层的管理,对网络各种信息数据的处理游刃有余。分布式的三层提供强大的系统张力,避免了牵一发而动全身。处于三层的交换技术,实现网络路由管理。不但有效控制网络风暴,又能实现跨 VLAN 的网络连结,为网络的安全提供了强有力的保障。千兆干线充分保障了主干的带宽,为各子网提供优良的“服务”,百兆到桌面有效地保障的数据、语音以及视频的有无阻塞传输。 2.网络
12、工程方案分析 网络设备选型、软件平台 配置、综合布线系统与网络工程施工、网络工程经费预算、网络系统的测试与验收、网络应用和技术培训。 3.3 网络设计原则 1.开放性 : 采用开放的网络体系以方便网络的升级、扩展和互联; 2.可管理性 : 利用合理的网络规划策略提供强大的网络管理功能; 3.可扩充性 : 从主干网络设备的选型及其模块、管理软件和网络整体机构以及技术的开放性来保证系统的可扩充性; 4.安全性 : 内部网络之间、内部网络与外部公网之间的互联,利用 Vlan/Elan 以及防火墙等对访问进行控制,确保网络的安全 。 3.4 子网设计原则 1.服务器区采用私 IP 地址, NAT 后供
13、人员远程访问; 6 2.与 internet 互联设备 IP 地址采用真实 IP 地址; 3.部分内部互连采用私有 IP 地址; 4.面向用户的私有 IP 地址,由统一出口的边缘设备(路由器、防火墙)进行地址翻译。 3.5 逻辑结构设计 1.网络拓扑结构的分层设计 校园网分为 3 层结构,即核心层、汇聚层和接入层。主干网一般采用星型拓扑结构,主流技术是千兆以太网,为了克服当点故障,校园网核心层一般采用双核心路由交换机,核心层到汇聚层具有冗余链路,以提高网络可靠性。为了便于校园网的管理,一般按部门划分子网和 VLAN。 2.网络拓扑结构各层设计 网络核心层设计 网络接入层设计(含 802.11x
14、 无线接入方案) 网络汇聚层设计 网络拓扑各层的设计目标和策略 3.网络安全和管理策略的设计 防火墙只允许内网访问外网 https, http; 4.网络综合布线设计 工作区子系统设计 : 由终端设备连线和信息插座组成,信息插座设在教室、实验室、办公室、宿舍等场所,全部选用超 5 类信息模块 水平布线子系统设计 : 本系统是把分布在同一水平层内的信息插座,以星型结构连接到管理模块上。采用标准的 4 对非屏蔽双绞线 (UTP);每个信息插座的信息出口均对应布放 1 条 4 对水平电缆。 垂直主干子系统 : 均采用多模光纤连接,并在每个管理子系统预留超 5 类 8芯非屏蔽双绞线作为垂直主干路由的备
15、份。 管理子系统 : 采用快接式配线架连接主机及网络设备。设备间子系统设在图书馆的网络中心和学生宿舍区的网络分中心内。 设备间子系 统设计 : 采用快接式配线架连接主机及网络设备。设备间子系统设在图书馆的网络中心和学生宿舍区的网络分中心内。 建筑群主干子系统设计 : 建筑群子系统网络中心与宿舍区网络分中心之间由于距离较远,考虑到千兆网多模光纤传输距离仅为 550m,采用 12 芯单模光纤7 连接。由网络中心和分中心至各建筑物,考虑近期学校使用、设备投资、距离超长等各种因素,采用多模光纤和单模光纤混合的方式连接,并在每个建筑物内预留了单模光纤,以备将来整个网络系统的发展。 3.6 物理结构设计
16、组建所需设备的选择,包括硬件设备(服务器、路由器、交换机、网 卡、传输介质、信息插座等等)、软件设备(操作系统软件、应用软件等)。在组建局域网选择网络设备的时候,需要从多方面去考虑。选择的设备要能满足学校的实际功能需求,设备的性能和费用等等这些都是设备选型时应该考虑的。选择的设备既能使网络运行达到高效率,又经济实惠关系到校方的利益。根据对本校园网的实际要求、信息点数量和建筑物布局的分析,得出了本校园组网所需的各类硬、软件设备。 第四章 网络设备选型 4.1 交换机 CISCO WS-C6509-E 交换机类型 企业级交换机 应用层级 四层 传输速率 10Mbps/100Mbps/1000Mbp
17、s/10000Mbps 网络标准 IEEE 802.3, IEEE 802.3u, IEEE 802.1s, IEEE 802.3ad 端口结构 模块化 传输模式 支持全双工 交换方式 存储 -转发 背板带宽 720Gbps 包转发率 387Mpps VLAN 支持 支持 QOS 支持 支持 网管支持 支持 MAC 地址表 64K 模块化插槽数 9 电源电压 DC, 6000W;AC, 4000W 产品尺寸 (mm) 622 445 460 8 4.2 路由器 CISCO 3825 路由器类型 多业务路由器 传输速率 10/100/1000Mbps 端口结构 模块化 局域网接口 2 个 扩展模
18、块 6 包转发率 10Mbps:14800pps 100Mbps:148800pps 1000Mbps:1488000pps 防火墙 内置防火墙 Qos 支持 支持 VPN 支持 支持 网络管理 Cisco ClickStart, SNMP 4.3 防火墙 CISCO ASA5510-BUN-K9 设备类型 VPN 防火墙 并发连接数 130000 网络吞吐量 300 安全过滤带宽 170Mbps 网络端口 3+1 个管理快速以太网端口、可升级到 5 个快速以太网端口、 1个 SSM 扩展插槽 用户数限制 无用户数限制 入侵检测 DoS 安全标准 UL 1950, CSA C22.2 No.
19、950, EN 60950 IEC 60950, AS/NZS3260, TS001 控制端口 console 管理 思科安全管理器 (CS-Manager) ,Web VPN 支持 支持 防火墙尺寸 362*200.4*44.5mm 9 4.4 服务器 IBM System x3500 M3(7379I18) 产品类别 塔式 产品结构 5U CPU 类型 Intel 至强 5600 CPU 型号 Xeon E5607 CPU 频率 2.26GHz 标配 CPU 数量 1 颗 最大 CPU 数量 2 颗 总线规格 QPI 4.8GT/s CPU 核心 四核 CPU 线程数 四线程 扩展槽 6
20、PCI-Express; 1 PCI; PCI-X(可选 ) 内存类型 DDR3 内存容量 4GB 内存描述 1 4GB 1.35V DDR3 RDIMM 内存 内存插槽数量 16 最大内存容量 192GB 硬盘接口类型 SAS 标配硬盘容量 146GB 最大硬盘容量 16TB 硬盘描述 1 块 146GB 2.5 英寸 10000 转硬盘 RAID 模式 RAID 0, 1, 5 网络控制器 集成双端口千兆网卡 4.5 其他设备 UPS 3kw,可管理(可选 Smart-ups 3000) PC 机 P4 1.6GHz/256MB/30GB/显卡 /15ch/50X/100Mb/s 网卡 机
21、柜 2m 高机柜 1 个, 1.2m 高 7 个 布线 双绞线:朗讯超 5 类以上 (含双绞线、模块、配线架。线槽和工程费等) 10 第五章 网络设备配置策略 5.1 网络设备连接 5.2 互联网接入设备 由于目前 IP 地址资源非常稀缺,对不可能给校园网内部的所有工作站都分配一个公有 IP( Internet 可路由的)地址。为了解决所有工作站访问 Internet的需要,必须使用 NAT(网络地址转换)技术 。 5.3 核心层高速传输与交换 为了方便管理员远程管理交换机所以给交换机设置一个管理 ip 网关为接入路由 ip 这样就可以在不同子网管理交换机 . 11 5.4 汇聚层基于策略的连接 为了方便管理员远程管理交换机所以给交换机设置一个管 理 ip; 网关为接入路由 ip 这样就可以在不同子网管理交换机 . 5.5.接入层本地与远程工作组用户的连接 第一种: 适合在某一楼层中电脑较少的情况 ; 第二种: 适用于机房中 ,由于机房一般会集中排布对每个机房的交换机进行如上交换机 ;
