《小型校园网络规划与设计方案毕业论文..docx》由会员分享,可在线阅读,更多相关《小型校园网络规划与设计方案毕业论文..docx(18页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、小型校园网络规划与设计方案毕业论文. 校园网络规划与设计方案 班级:计算机网络工程 姓名:XXX 指导老师:XXX 目录 摘要 (3) 项目概况 (4) 一、用户需求分析 (5) 二、网络拓扑设计及原则 (6) (一)拓扑设计 (6) (二)设计原则 (7) 三、网络方案设计 (7) (一)网络结构分析 (7) 1骨干层 (7) 2接入层 (8) 3出口 (8) (二)网络架构设计 (9) (三)扩展的考虑 (9) (四)网络VLAN的设计 (9) (五)网络QoS设计 (10) (六)网络安全设计 (11) (七)服务器 (12) (八)机房建设 (12) 四、网络设备选择 (13) (一)
2、交换机的选择 (13) (二)路由器的选择 (14) (三)防火墙 (15) (四)服务器 (15) 五、设备清单 (16) 六、总结 (17) 七、致谢 (17) 参考文献 (18) 摘要 随着信息时代的来临,信息网络在我国正处于飞速发展的阶段。学校作为教育的前沿重地,为我国未来信息化人才提供重要的学习环境。因此,校园网络的规模和应用水平将是体现学校教学环境和科研力量的重要组成部分。 本课题首先就苏州高博软件技术职业学院校园网设计建设的相关知识技术要求作了必要的介绍,然后基于工程建设实际,重点对校园网建设的需求分析、设计策略、网络拓扑结构、方案总体设计等方面进行了比较详细的分析与描述,并给出
3、具体的实施方案。 关键词 需求分析;校园网;规划;设计;网络安全 项目概况 本次项目为一个校园网,经过实际分析,以我院东校区为主体进行校园网络的搭建。学校建筑分布如图一。 行政楼 图一 1. 校园网中每台计算机都能连接互联网,局域网资源共享。 2. 局域网内采用VLAN技术限制不同办公室的部分访问。 东校区具体环境如下: 教学楼:1幢,共6层,每层5间教室(PC机各1台) 实验楼:1幢,共6个机房,每个机房50台PC 办公楼:1幢,部门若干,共10间办公室(PC机各2台) 图书馆:1幢,电子阅览室一间,PC机共50台 学生宿舍:5幢,每幢4层 职工宿舍:2幢,每幢6层 校园网建设的具体需求:
4、(1)为适应当前网络使用需求和今后网络规模的扩大,采用3层网络体系结构设计,主干网络采用10000Mb/s光纤技术,汇聚层采用1000Mb/s光纤技术,接入层采用100Mb/s电缆到桌面。 (2)为增强网络安全性,缩小网络广播域范围,按部门或组织机构划分VLAN,并合理分配IP地址段,通过三层交换技术实现各VLAN间的互访。 (3)分析各部门机构网络流量大小,合理选择网络连接设备,如:核心交换机、 汇聚层交换机、接入层交换机、路由器、防火墙、VPN等设备。 (4)选择中心机房安放位置,并按国家标准组织施工建设。 (5)网络访问需求: 1)校园内PC机均能访问校内信息资源; 2)校园内PC机均能
5、访问Internet资源; 3)校外用户通过VPN访问校内资源; 4)校园内需实现无线网络覆盖。 (6)校园网络信息服务平台需实现以下功能: 1)Web信息服务 2)E-mail服务 3)NAT服务/代理服务 4)办公自动化OA系统 5)数据库服务 6)DNS服务 (7)、学校采用基于SQL server2000 数据库做开发平台。 (8)、校园网采用路由器+防火墙结构进行接入,网络互联设备(交换机、路由器、线缆、及其他设置)。 (9)、做好路由器与防火墙之间的安全通信工作,防止搭线窃听,IP盗用。 (10)、网络中心设在实训楼, 实训楼与学生宿舍楼相距50米,两楼用光纤连接。 (11)选择客
6、户机配置的最佳方案,以最大限度的减少地址的冲突和管理员的工作量,采用192.168.0.0的内部IP地址分配。 一、用户需求分析 在校园网络中,视频、音频、数据集于一身,如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输,就没法对流做出最高优先级和次高优先级及底优先级的分类,这样就不能保证重要业务的畅通,造成网络延迟、服务不可用。所以要想真正改变网络的效率,更有效的保证应用服务的运营,需要通过端到端的QOS,智能到边缘的方式来保证。通过智能到边缘,端到端的应用方式,可以减少对网络核心设备的消耗,这样保证了网络的有效畅通。可以对园区网应用中的,多媒体视频点播服务、数据备份服务、文献传
7、递服务、E-mail服务、数据库服务器等服务。对不同服务流进行详细的分类,划分优先级,以及尽可能地避免发生拥塞。同时保证网络的高效运行,充分利用现有的带宽。 在园区网络中,存在多样的网络设备及系统应用环境,并且要考虑在用户迅速增长的今天,考虑到网络设备的可扩展性。保证在多样网络设备,用户不断增加的环境中,仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的兼容性和可扩展性,能与当前校园网络无缝衔接,同时预留空间符合当前和以后的信息建设需要和足够的升级空间。 在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有高效 率等,以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做
8、到分布式处理,这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别,这样比在中央处理器识别要快的多。并在大量的数据应用,数据传输的过程中,要保证所有硬件设备都可以进行快速的转发,要具备高背板带宽(交换容量),所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。 现在的网络环境中稳定可靠是争相谈论的话题,因现在在网络中运行了众多重要应用及服务,是要保证7*24小时不间断的服务。就要完全能保证网络设备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中,也要保证较小的延迟,以满足网络应用中的有效畅通的需要。在这样的需求中利用,冗余
9、的管理交换引擎、冗余的电源等关键部件的冗余,支持(802.1D、802.1W)802.1S多Vlan生成树协议保证链路级的冗余和负载均衡,支持VRRP、OSPF等三层路由协议保证路由级的冗余,支持load balancing技术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备、网络、应用系统的可靠性。 在校园网络中,对于校园网的安全保障十分重要:校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全
10、,还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞 二、网络拓扑设计及原则 (一)拓扑设计 局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。 星型结构便于集中控制,因为端用户之间的通信必须经过中心站
11、。由于这一特点,也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其它端用户间的通信但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统一旦损坏,整个系统便趋于瘫痪。对此中心系统通常采用双机热备份,以提高系统的可靠性。 网络拓扑结构如下: (二)设计原则 在设计方案时,无论是系统或网络都严格遵循以下原则,以保障方案能充分满足集团的需求。 (1)实用性原则 (2)经济性原则 (3)易管理性原则 (4)可靠性原则 (5)安全性原则 (6)可扩展性原则 (7)标准化原则 (8)高性能原则 三、网络方案设计 (一)网络结构分析 1骨干层 网络规划是一个网络是否稳定可靠
12、运行的关键,如何合理配置IP地址;选择何种路由协议;在接入层如何有效划分VLAN,减小广播的范围;如何设计满足基于声音、图像、数据综合的局域网INTERNET应用的需要;满足不同的应用服务质量,将是网络规划的一个重要内容。下面,本节将逐项详细的设计。 路有协议选择 因为内部网络是作为一个局域网存在,所有核心,汇聚及接入层都以VLAN的方式来划分子网,因此只需在三层交换机上启用IP ROUTING功能既能满足子网间的 通信需求。对于出口的访问则可采用在出口交换机以静态路由的方式将内部网络的网络流量指向出口防火墙即可。 IP地址规划 网络系统的地址规划是网络设计的一个重要环节,根据我们已有项目实施
13、的成功经验,规划IP地址应充分考虑未来发展的需要,统一规划、长远考虑、分片分块分配的原则。 根据内部网络的规模,子网根据部门及科室划分清晰的特性,以及未来地址扩展的趋势,建议IP地址应采用公网保留的C类地址中的私有地址192.168.0.0到192.168.255.255,在网络出口采用NAT地址转换,实现与Internet合法地址互连,并采用相应的合法地址用于公网访问内部网络的各种授权开放信息。 网络系统IP地址的划分原则如下: (1)唯一性:IP地址必须唯一,一个IP地址对应一台数据通信设备; (2)连续性:为同一网络区域分配连续的网络地址,原则上一个VLAN一个C 类网段,这样便于规划,
14、同时提高路由器寻径效率; (3)可扩充性:分配地址应预留一定量的备用地址块,以便网络节点增加后能保持地址的连续性; (4)可管理性:地址的分配应该有层次性,某个局部的变动不影响网络的其他部分; (5)高效性:综合网采用可变长子网掩码技术,要求采用支持可变长子网掩码技术的TCP/IP协议族; (6)合法IP地址段由客户从互联网运营商申请; (7)内部网络使用私有保留,考虑到将来网络的规模不断扩大,建议采用192.168.X.X的私有保留地址块,可按VLAN子网来划分,并遵循IP地址规划原则,进行统一分配。 2接入层 接入层网络由楼栋交换节点和楼层交换节点组成,接入层网络应该可以满足各种客户的接入
15、需要,而且能够实现客户化的接入策略,业务QOS保证,用户接入访问控制等等。 楼层交换节点采用千兆智能堆叠交换机,提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管,最大化满足高速、融合、安全的园区网新需求;本方案中各接入层交换机通过千兆链路上联到各汇聚层设备,对下联的桌面设备提供全双工的百兆连接,为各类用户提供无阻塞的交换性能。 3出口 因为校园网出口采用以太网,所以采用路由器+ 防火墙的方式,起到如下作用:防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性;路由器提供出口路由功能,数据处理能力强,具有强大的NAT功能。 (二)
16、网络架构设计 基于目前学校规模及发展的角度考虑,骨干网络采用单核心双引擎或双核心单引擎的拓扑结构,保证核心的稳定;在行政楼采用万兆的三层汇聚设备,千兆连接接入交换机;服务器千兆接入到核心交换机上;百兆到桌面; 为了以后扩展的需要,所以采用RG-WALL 1000防火墙,并将校内的对外服务器与防火墙的DMZ区相连,保证良好的安全性;同时双核心时做VRRP,防火墙双百兆连接核心,单百兆连接Internet; 出于管理和安全方面角度考虑,在全网可采用IP+MAC绑定方式,全网分布式采用ACL,并按照部门划分VLAN,划分相应的权限,保证学生机房用机对教学办公网没有访问权限,只能访问校内服务器及外网;
17、 IP分配:在办公区采用静态IP划分,在学生区及移动性较大的办公区可补充性采用DHCP动态获得IP地址。 (三)扩展的考虑 备份线路带宽扩展:在未来升级考虑中,可将核心与汇聚间千兆备份线路带宽升级至10G带宽,以提高备份线路的连接带宽。 实训楼交换机可扩充为96个千兆口,拥有很强的接入扩展功能。 (四)网络VLAN的设计 具体划分如下: 在校园网络的整个网络规划当中,VLAN 的划分是非常重要的部分,很好的利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的。主要突出为以下几点: VLAN 划分,可以避免广播风暴,在骨干网络中尤为突出,在多媒体、视频点播 等很容易引起广
18、播信息;划分之后,VLAN 是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件。 VLAN 划分,可以增加网络的安全性,在不同的VLAN之间不能随意通讯,只限 与本子网间通讯,不会对其他的子网产生干扰。要进行访问,需要通过三层交换, 这样信息流就得到相当好的控制。 网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备 进行管理。建立VLAN 和IP 子网的对应关系。 提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。 VLAN 间的子网访问,可以在三层交换机上实现,子网间的通讯也可以在汇聚设 备上实行,分流核心交换机的三层交换,优化了组网。 根据
19、以往网络管理经验和骨干网络网络建设的实际情况,方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则,以不同的使用群体为VLAN 范围划分。这样划分VLAN的好处有: 1、方便管理。为了更好的进行VLAN规划的实施,因此在网络实施前期,要对网络中不同区域的VLAN设置进行详细的规划,细化到接入层网络,这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话,避免由于前期配置设备时复杂烦琐,而且由于相同的用户群体可能在不同的物理位置,导致造成整个校园网络中VLAN划分复杂,减轻管理和后期维护。所以方案建议骨干网络划分VLAN 方式前进行详尽规划,这样既可以减少广播域,又达
20、到划分VLAN,方便管理的效果,对于后期网络维护和升级具有十分现实的意义。 2、易于实施。按群体划分VLAN在工程实施中就十分的方便,不会造成VLAN 划分复杂失误而使得网络出现不通的现象,便于工程快速实施和网络中心整体规划。 3、VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问,对于学校重要网络资源,需要进行权限访问的时候,建议采用专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL)来进行访问权限设定,保障重要资料不被非法访问。(五)网络QoS设计 为确保用户各种关键业务的正常开展,必须采取全面而
21、系统的QoS设计(提供端到端QoS服务),以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时;为了保证端到端用户的服务质量,因此要求端到端数据流经的所有网络设备都支持实施的QoS策略,核心设备是多个服务器接入的设备,并且担负着全网数据的交换,QoS的能力影响着全网的服务质量保障能力。 锐捷各款交换机都支持丰富的QoS功能,能确保重要业务量不受延迟或丢弃,同时又充分利用现有的带宽以保证网络的高效运行。 例如,将下载一个大型文件的任务设置到交换机一个端口,而在该交换机的另外一个端口进行语音通信,为减少语音通信时延,保证通话质量,可在整个网络中对各种业务进行分类和优先级划分。例如Web
22、浏览,可以作为低优先级对待,或者“尽力而为”地进行处理。 在骨干网络网络中,由于信息资源集中于骨干网络网络中心,为保证全网的QoS,要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS标注方案,而二层的802.1P标记对于骨干网络这样的网络并没有实际意义,因为802.1P的标记不能在交换机之间传递,只能在本机上有用。 锐捷网络的RG-S6810E多业务万兆核心路由交换机支持基于基于DiffServ标准为核心的QoS保障系统,支持IP TOS、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑,另外提供灵活的端口队列管理机制,端口多级拥塞设置;具备MAC流、IP流
23、、应用流、时间流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。 通过从核心到接入设备全程对QoS的良好支持,全部硬件提供二到四层数据流交换,实现应用感知的功能,给予多媒体办公应用提供透明的QoS保障,确保真正的端到端的QoS的实现。 (六)网络安全设计 构建全程全网的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。1.接入安全 RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机,在提供高性能、高带宽的同时,提供智能的流分类
24、、完善的服务质量(QoS)和组播应用管理特性,并可以根据网络的实际使用环境,实施灵活多样的安全控制策略,有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理化使用网络资源,充分保障了网络高效安全、网络合理化使用和运营。 2.访问安全 锐捷RG-S6800E多业务万兆核心路由交换机支持802.1Q VLAN,可使用VLAN 划分隔离用户访问。同时还支持VLAN 隧道技术,可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒(如冲击波)的传播和
25、危害。 ACLs的全称为接入控制列表(Access Control Lists),可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤,并对从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。 锐捷RG-S6800E多业务万兆核心路由交换机支持以下几种类型的ACLs: IP ACLs用于过滤IP报文,包括TCP和UDP。 1.Standard IP access lists (标准IP接入控制列表)使用源IP地址作为匹配的 条件 2.Extended IP access lists(扩展IP接入控制列表)使用源IP地址、目的IP地 址及可选的协议类型信息作为匹配的条件 Ethernet ACLs用于过滤二层数据流: 1.MAC Extended access lists(MAC扩展控制列表)使用源MAC地址、 目的MAC地址及可选的以太网类型作为匹配的条件 Expert ACLS用于过滤二层和三层、二层和四层、二层和三层、四层数据流: