中学校园组网设计与实现毕业设计论文

《中学校园组网设计与实现毕业设计论文》由会员分享，可在线阅读，更多相关《中学校园组网设计与实现毕业设计论文（36页珍藏版）》请在装配图网上搜索。

1、本科毕业设计论文中学校园组网设计与实现摘 要随着信息技术的不断发展，网络已经成为人们工作、学习、生活不可或缺的一部分。对于中学来说，也需要建设自己的校园网络来满足学校日常教学、管理、娱乐的需求，为师生提供多姿多彩的校园文化生活。本文以一中为校园网建设为背景，从相关组网技术入手，在对校园网总体进行相关的需求分析之后，在分层设计和模块化设计的指导思想下给出了校园网的整体拓扑和整体方案。然后根据实际情况为校园网工程选择了相应的核心层、汇聚层、接入层和安全设备。并对建筑物间、建筑物垂直系统和水平系统的综合布线作出相应的说明。 为了应对网络攻击和满足远程访问，本文给出了相应的安全方案和VPN接入方案。最

2、终建成千兆骨干，百兆到桌面的高性能、高安全性的网络。网络出口采用电信、网通双出口设计。最后，本位给出了用仿真工具GNS3、VMware等工具模拟出的工程。关键词：中学、校园网、综合布线、网络安全、虚拟专用网ABSTRACTWith the continuous development of information technology , the network has become the way people work , learn , integral part of life . For high schools , they also need to build their own

3、 campus network to meet the daily school teaching, management and entertainment needs for teachers and students to provide colorful cultural life on campus .In this paper, one of the places the city as the background for the campus network construction , starting from the relevant networking technol

4、ogy , after the overall campus network related needs analysis , in the hierarchical design and modular design gives the guiding ideology of the campus network overall topology and the overall program . Then according to the actual situation of the campus network engineering corresponding core layer,

5、 convergence layer and access layer, and safety equipment. And between buildings, building cabling system and the vertical level of the system to make the appropriate instructions . In response to cyber attacks and meet the remote access , this paper presents the corresponding security programs and

6、VPN access solution . Final completion gigabit backbone to the desktop Fast performance, high-security networks. Network exit using Telecom, China Netcom double outlet design .Finally , given the standard simulation tool used GNS3, VMware and other tools to simulate the project.Keywords : school, ca

7、mpus network , cabling , network security , virtual private networks第一章 绪论11.1 研究背景11.2 校园网的发展现状11.3 论文的体系结构1第二章 校园网组网技术32.1 交换技术32.1.1 VLAN（Virtual Local Area Network）32.1.2 Trunk简介32.1.3 VTP（Virtual Trunk Protocol）32.1.4 STP协议42.1.5 HSRP（Hot Standby Router Protocol）技术42.2 三层路由技术52.2.1 静态路由52.2.2 动

8、态路由选择协议 OSPF52.3 网络安全技术52.3.1 VPN(Virtual Private Network)技术52.3.2 防火墙技术62.3.3 DMZ（Demilitarized Zone）62.3.4 IDS和IPS技术62.4 QOS技术72.4.1 QOS简介72.4.2 QOS的三种模式7第三章 校园网需求分析83.1 项目概述83.2 需求分析83.2.1 传输介质类型选择83.2.2 信息点分布83.2.3 功能需求83.2.4 维护需求9第四章 校园网的总体设计104.1 分模块的设计104.2分层的设计104.3 核心层设计104.4 汇聚层设计104.5 接入层

9、设计114.6 IP地址与VLAN规划114.6.1 IP地址规划114.6.2 VLAN的规划114.7 用户上网方案114.8 VPN方案114.9 QOS方案124.9.1 QOS应用背景124.9.2 QOS设计概述12第五章 设备选型135.1 WS-C6506系列高端多业务路由交换机135.2 WS-C3750V2-24TS汇聚层交换机135.3 WS-C2960G-8TC-L接入层交换机135.4 Cisco ASA 5520防火墙145.5 Cisco 3800C系列路由器14第六章 综合布线156.1 工作区子系统布线156.2 水平子系统布线156.3 管理间子系统布线16

10、6.4 垂直干线子系统布线166.5 设备间子系统布线166.6 建筑群子系统布线16第七章 模拟工程实现177.1 网络拓扑图及说明177.2 预期实验现象与现象说明177.3 核心层配置说明及具体配置177.4 汇聚层交换机配置及说明187.4.1 以太网绑定配置187.4.2 TRUNK配置197.4.3 PVST+配置197.4.4 VTP配置197.4.5 HSRP配置197.4.6 EthernetChannel配置207.5 接入层交换机配置及说明207.6 DHCP中继及默认网关配置207.6.1 计算机上的配置，以C1为例。207.6.2 汇聚层交换机上配置217.6.3 D

11、HCP服务器配置217.7 防火墙配置217.8 出口路由器配置217.9 Internet路由器配置217.10 酒店内路由器配置217.11 PC机设置22第八章 结束语23第 32 页中国矿业大学2014届本科生毕业设计第一章 绪论1.1 研究背景随着当今社会的不断信息化，计算机网络特别是Internet已经在社会的各行各业被普及，可以说网络已经成为了人们工作、学习、生活中不可或缺的一部分。计算机网络技术连同数据库技术以及其他应用技术一起，改变着整个世界。在以知识传授和人才培养为主要目的的学校也迫切的需要使用计算机网络让学校的教学、科研、管理更加信息化、现代化。在利用网络设备和组网技术构

12、建的校园网的基础上，学校能够实现学校各个部门的信息化管理。全体师生也能够利用这个信息化平台进行更加有效便捷的交流，更加方便的投入到日常的教学学习中来。因特网Internets是指当前全球最大的、开放的、由众多网络相互连接而形成的特定计算机网络，它采用TCP/IP协议族作为通信的规则，且其前身是美国的ARPANET（计算机网络，谢）。因特网从不同程度上促进了社会各个行业的发展，教育是其中之一。Internet上有无比丰富的教育资源。校园网是一个局域网，把校园网接入到Internet后使得校园网成为了因特网的一小部分，从而可以利用因特网上数量巨大的教育资源。学校不应该是闭门造车的一个点的，而应该是

13、一个能与其他学校、机构进行有效通信的Internet中的一部分。这样的学校才能进行更加有效的教学、科研、管理和决策。1.2 校园网的发展现状随着我国在1994年开始建设CERNET（China Education and Research Network，中国教育科研网），校园网的研究工作被正式启动。国内高校纷纷开始建设自己的校园网，并在校园网的基础上构建出用于日常管理教学的信息系统。据统计，目前国内高校中已经建设校园网的已经超过90%，剩下的高校中大部分校园网正在建设。可见，校园网已经成为绝大多数学校所必须基础设施之一。随着教育信息化的的发展，校园网应用涌现出种类繁多的形式。非传统的教学方式

14、开始走进学校教育，如网络课程、远程教学、视频点播等。而随着网络应用的不断丰富，特别是P2P软件的使用对校园网的性能特别是带宽提出了更高的要求。国内不少高校已经建设了千兆主干网，百兆到桌面的校园网，相比之下，中学对校园网的性能要求没有高校那么高，但是为了保证网络在未来较长的时间内仍能满足需求应该建设处高标准的中学校园网。不少中学也已经建设了自己的网络办公系统、教务系统等众多的网络应用系统。1.3 论文的体系结构本论文共分为8章。第一章是绪论，主要介绍了课题背景。第二章是校园网组网技术，主要介绍了组网过程中要使用的二层、三层、安全以及QoS技术。第三章是校园网的需求分析，主要分析了校园网中的网络信

15、息节点、功能需求、维护需求。第四章是校园网的总体设计使用模块设计和分层设计的方法设计出校园网的整体拓扑，合理划分了IP地址和VLAN，并给出了用户上网方案和QoS方案。第五章是设备选型，介绍了本次组网中选择的各种设备的型号，并给出了选择它们的原因。第六章是综合布线，给出了建筑群综合系统的要求和标准。第七章是模拟工程实现，通过使用模拟工具给出了尽可能贴近实际的模拟工程。第八章是结束语，对论文所完成的内容进行了总结。第二章 校园网组网技术2.1 交换技术2.1.1 VLAN（Virtual Local Area Network） 传统交换机能够隔离冲突域，但是却不能隔离广播域。这时连接在同一台交换

16、机上的终端都在同一个广播域之中，如果其中一个计算机发送广播包那么在同这一个广播域之中的其他计算机都会收到这个广播包。如果广播域中的计算机数量众多，那么大量的广播包会占用大量的带宽，同时大量的广播包也加重了CPU的负担。而VLAN技术的出现解决了这个问题。VLAN可以隔离广播域，同一个VLAN内的计算机在同一个广播域之中，不同VLAN的计算机要想通信必须经过三层设备。使用VLAN有很多好处。第一，使用VLAN之后一个广播域之中的计算机数量将大大降低，一般，一个VLAN包含一个独立的子网。第二，使用VLAN提高了网络的安全程度。如果一台主机感染了病毒那么广播域内的其它主机就很容易受到感染。另外，V

17、LAN把含有重要数据的部门和其他部门隔离开来，增加了信息的安全性。第三，使用VLAN使得网络的管理更加方便，管理员在不改变网络物理拓扑的情况下能够很容易的改变VLAN的设置。例如，一个员工原先属于公司的技术部，现在他被调派到了市场部，那么他的办公地点不许改变，只需通过交换机上的几条配置命令就能把他的计算机从技术部的VLAN划分到市场部的VLAN。2.1.2 Trunk简介在不增加交换机之前的连接线的前提下，通常连接在同一台交换机上的同一VLAN可以相互通信，但是连接在不同交换机上的同一VLAN却不能通信，这在实际网络中明显是不可取的。所以有必要实用Trunk技术。“Trunk”一词在英文中意为

18、“干道”。可以这样来理解“Trunk”：就像条马路原先只允许一种交通工具通过，如果想使用其他交通工具必须修建另外一条马路，现在使用一种技术使得这条马路允许不同交通工具都能通过。这种技术在网络工程中就是“Trunk”技术。Trunk技术在实现上使用的是“打标签”的方法。来自不同VLAN的数据在进入TRUNK链路前会被打上“标签”，然后在TRUNK链路中传输，传输到TRUNK链路的另一端时标签会被去掉，然后被转发到不同的VLAN之中去。有两种主流的帧标记技术：ISL和802.1q(IEEE)，其中ISL是思科私有，802.1q是国际标准，一般802.1q使用的比较多。在本案例中我们使用的也是80.

19、21q。在配置TRUNK链路的时候还要注意Native VLAN的问题，在网络管理和排错的时候Native VLAN都是检查和注意的重点。2.1.3 VTP（Virtual Trunk Protocol）在一个校园网里面会有大量的二层和三层交换机，而在这些交换机上管理员会配置大量的VLAN，配置这些VLAN要花费大量时间，而且要做大量的重复性工作，这对每一个网络工程师来说都是十分枯燥的。而VTP的出现就解决了这一问题。在一个网络中，管理员只需要把其中一台或者几台交换机设置为VTP Server其他交换机设置为VTP Client那么在VTP Server交换机上建立、删除、修改VLAN后，VT

20、P Server上的VLAN会通过VTP协议和VTP Server同步，这样就大大简化了VLAN配置的工作量。需要注意的是，VTP是思科私有的协议，只能在思科交换机之间运行。由于本案例中采用的都是思科交换机所以VTP将发挥它的作用。2.1.4 STP协议如果不做冗余设计，那么在网络中如果个别网络设备或者链路出现故障，那么一大部分甚至整个网络就有可能瘫痪。为了避免这种情况的发生，我们往往会在某些网络设备之间添加多条链路或者添加一些备用网络设备。但是这样做在增加网络的稳定性的同时也为网络带来了环路。环路会导致三个问题：广播风暴、交换机的CAM表不稳定、同一个帧的多次复制。这时我们就引入了STP（S

21、panning Tree Protocol生成树协议）。在数据结构中我们知道，“树”是没有环路的拓扑结构。人们正是利用了“树”的这个特性开发出了STP协议，来避免环路的产生。STP的基本思路是通过阻断交换机的某些接口来使一个图变成一个“树”。早期人们开发出的802.1d这一STP协议。这一协议虽然能避免网络的环路但是收敛时间（交换机从检测到网络拓扑发生变化开始到所有交换机重新生成一棵“树”的时间）通常需要30-50秒。这明显不能满足现代网络的需要。因此人们做了一些改进措施如：Portfast、Uplinkfast、Backbonefast技术。这些措施可以使收敛时间减少一些，但是仍不能满足人们

22、的需求。因此，又开发出了一些新的STP协议如：PVST+(思科私有)、RSTP（IEEE 802.1w）、MSTP。在实际应用中上述技术一般两个或多个同时使用，这样网络的收敛时间大大的减少了。例如使用RSTP的网络收敛时间甚至能达到几百毫秒。2.1.5 HSRP（Hot Standby Router Protocol）技术HSRP属于思科私有，是一种网关冗余技术，和它类似的另外一种协议是VRRP协议（国际标准）。在本案例中我们使用的是HSRP协议，在这里作重点介绍。在理解HSRP协议的时候我们可以把它同其他的冗余技术作比较。在增加网络设备或者增加网络设备间链路时我们是为了增加网络设备（路由器和

23、交换机）之间的冗余，主要使网络设备之间的通信更稳定；而HSRP的设计是为了增加计算机和网关之间的冗余，主要使计算机和网络设备之间的通信更稳定。在实际工程中，我们可以把几个网关放到一个热备份组之中（可以创建不同的组），在这个组中，只有一个网关是处于Active（活动）状态的。如果处于Active状态的路由器出现了故障，那么HSRP会在剩下的备份路由器中选举出一个路由器置为Active状态。配置HSRP时会为所有的网关地址配置一个虚拟IP地址，这时只需把计算机的网关设置为这个虚拟IP地址就可以了。在本案例之中，配置HSRP是基于VLAN的。在每个汇聚层交换机为每个VLAN创建一个SVI（Switc

24、h Virtual Interface），然后把相同VLAN的SVI接口放到同一热备份组，为这个热备份组创建一个虚拟IP地址，把同一VLAN的所有计算机的网关设置为这个虚拟IP地址。2.2 三层路由技术2.2.1 静态路由路由选择表获取信息的方式有两种，以静态路由表项的方式手工输入信息，或者通过几种自动信息发现和共享系统（动态路由选择系统）之一自动地获取信息。（TCP/IP路由技术）通俗的说，静态路由就是人工告诉路由器每条路应该怎么走，而动态路由则是让路由器自己学习每条路应该怎么走。从上面的叙述中我们不难发现配置静态路由要比配置动态路由要花费更多的时间。因为通常较大规模的网络中的路由器都有成百

25、上千条路由，静态路由要求我们手工的把数量巨大的路由条目一条一条的配置到路由表中。另外只要网络拓扑发生变化，管理员就得重新更改静态路由的配置，这在管理上又是一个巨大的难题。而动态路由就没有这些问题，只需较少的配置，较少的维护。既然这样我们为什么还要使用静态路由呢？这是因为静态路由在某些需要精确控制路由选择的场合能发挥巨大作用，而动态路由此时就显得力不从心了。所以到底是选择静态路由还是选择动态路由要根据具体情况具体具体分析，不能一概而论。另外，静态路由中的默认路由在局域网出口路由器连接Internet时非常有用。举一个简单的例子，网络的拓扑、接口设置、接口IP地址如下图所示。我们可以这样告诉路由器

26、23.1.1.0/24网段怎么走：R1(config)#ip route 23.1.1.0 255.255.255.255.0 12.1.1.2/ip route 要配置的网段地址子网掩码（24位）下一跳地址2.2.2 动态路由选择协议 OSPF同RIP协议相同，OSPF也属于内部网关协议（IGP）。但是，与RIP不同的是，是另外一种全新类型的协议链路状态协议（属于距离矢量协议）。距离向量的意思是，R I P发送的报文包含一个距离向量（跳数） 。每个路由器都根据它所接收到邻站的这些距离向量来更新自己的路由表。在一个链路状态协议中，路由器并不与其邻站交换距离信息。它采用的是每个路由器主动地测试与

27、其邻站相连链路的状态，将这些信息发送给它的其他邻站，而邻站将这些信息在自治系统中传播出去。每个路由器接收这些链路状态信息，并建立起完整的路由表。（详解）。运行协议的路由器就好像一个人，他知道某地应该怎么走，但是他都是从别人口中“打听”得到的，每个人都是从其他人那里“打听”，如果其中某个环节出错，就会产生错误。而则不同，运行的路由器就好像一个拥有整个区域地图的人，他对整个区域有一个完整的了解。如果想去另外一个地方，那么他查看地图就可以了，不易出错。另外，还有许多其他优点。这些优点使得比更先进，更适合现代的大中型网络。2.3 网络安全技术2.3.1 VPN(Virtual Private Netw

28、ork)技术使用Internet会面临很多风险，数据包在通过Internet到达目的地时有可能别人阅读、修改，这明显是不应该被允许的。VPN技术是一种可以保证数据安全通过Internet的技术。VPN使用多种安全技术，为分支机构、远程和移动办公提供安全安全通信及资源共享。从接入方式看，VPN有专线和拨号两种。从实现类型看，VPN有二层VPN和三层VPN两种。从拓扑类型看，VPN有站点到站点（Site to Site）VPN和远程访问VPN两种。VPN有许多优点，第一，VPN节省开支；第二VPN很安全；第三，VPN拥有较好的可扩展性；第四，VPN兼容宽带技术。在本案例中，由于一中没有分支机构（分

29、校）所以不需要配置站点VPN，只需要配置远程访问VPN，以方便在家庭和出差的师生访问学校资源。2.3.2 防火墙技术现代网络面临着大量的安全威胁。从具体形式看，病毒、蠕虫、特洛伊木马是最常见的三种类型；从攻击类型看，侦查攻击、接入攻击、拒绝服务攻击是三个主要类别。各种各样的网络攻击已经给人们的生活生产造成了巨大的损失。防火墙的出现从一定程度上缓解了上述威胁。总的来说，防火墙可有以下几个功能。避免不受信任的用户访问敏感数据。净化协议流量、隐藏协议漏洞。防止病毒和恶意文件接触服务器和终端。 另外还可以再防火墙上配置VPN，使网络安全策略变得更简易。2.3.3 DMZ（Demilitarized Z

30、one）非军事区来源于军事学，指的是交战双方之间的缓冲带。在计算机网络中，我们也可以把DMZ区域看做缓冲地带，只不过交战的双方分别变成了网络攻击者和内网。为了使内网更安全，有时会把一些必须公开的服务器放在DMZ区域内。2.3.4 IDS和IPS技术防火墙可以在一定程度上抵御来自网络外部的攻击，但是如果威胁来自内部，那么防火墙就显得有些无能为力了。更可怕的是，来自网络内部的攻击可能会比来自外部的攻击造成更大的破坏，因为攻击者更加了解网络的构成，可以直接访问网络和数据。可以这样理解，防火墙就好比一栋大楼的保安，IDS就好比这栋大楼里的监视系统。入侵检测系统被动的检测网络上的流量。IDS设备通过复制

31、数据流来分析和检测数据，并不转发数据。IDS的有点事不会影响数据包的转发，缺点是不能及时的阻止恶意流量对于网络的攻击。IDS通常与其他网络设备一起对攻击做出反应。IPS是在IDS技术之上建立的。与IDS不同，IPS设备工作在在线模式，所有进入和送出流量都要经过它来处理。数据包如果没有没有被IPS分析是不允许进入信任区域的。这样做的好处就是，IPS可以实现按需检测和立即解决问题。另一方面，IPS可能导致许多错误、失误和溢出的流量，影响网络的性能。IPS和IDS各有优缺点，具体工程时一起选择两种技术，让它们相互补充。2.4 QOS技术2.4.1 QOS简介QOS用来度量网络传输质量和服务可用性。进

32、一步的讲，QOS是网络为某特定数据流提供优质服务的能力。QOS通过以下几种手段来提供优质的网络服务：提供专用带宽降低丢包率避免网络拥塞整形（Shapping）网络流量设置数据优先级2.4.2 QOS的三种模式尽力而为服务模式，集成服务模式，区分服务模式。三种模式中，尽力而为模式是IP网络的初始模式，集成服务模式与本案例无关，区分服务模式区别的对待不同的数据流量，把他们分成不同的类别，不同类别的数据流量进行不同类别的处理。在这里我们重点介绍区分服务模式。区分服务模式的基础是在RFC2474和RFC2475中奠定的。区分服务模式由以下几个基本部分构成：在网络边界设置IP报文头中的某些位，也就是标记

33、数据。用来为以下的处理做准备。网络内的节点根据这些位的设置情况决定如何转发数据包。被标记的数据在网络边界被调整为与服务或规则要求的一致。从区分服务模式的构成也能看出它的工作原理，即根据管理策略设置每个服务的要求和规则，网络节点根据标记位选择数据包，结合缓冲区管理和数据包调度机制区别处理不同的数据包。第三章 校园网需求分析3.1 项目概述一中是安徽省重点高中，学校现占地300亩，每个学生人均40平方米，共有行政楼一栋、教学楼两栋、图书馆一个、科学馆一个、体艺馆一个、公寓楼两栋、餐厅楼一栋，操场一个。学校的建筑平面图如下图所示。建筑物平面图为了跟上信息化时代校园网建设的潮流，进行自动化办公以及网络

34、化教学，一中决定建设自己的校园网。3.2 需求分析要进行组网设计首先必须进行需求分析。本方案从传输线类型选择、信息点分布、功能需求、维护需求等几个方面进行分析。3.2.1 传输介质类型选择一中建筑物平面图如上图所示。在本案例中，电教馆计算中心被设计为整个校园网的中心。因为网络中心到其他建筑之间的距离都在500m以内，所以我们采用多模光纤连接网络中心和其他网络节点。建筑物内部采用超五类非屏蔽双绞线作为传输线。3.2.2 信息点分布3.2.3 功能需求（1） 建立以电教馆为中心连接其他建筑物的星型拓扑网络，达到千兆核心骨干网络，百兆到桌面。（2） 根据具体的情况，划分合适的子网和合适的VLAN，每

35、个子网的带宽大于等于100Mbps，建立起高性能并且易于管理的校园网。（3） 要求校园网能够实现资源共享（4） 在校园网的基础上建立起教育管理和自动化办公系统，实现校园的现代化管理。（5） 建立网络教学系统，以适应信息化时代网络教学。（6） 建立网上图书馆，提供电子阅览（7） 建立与Internet的连接，并保证连接的安全、高速。（8） 安装常用的因特网应用。（9） 保障校园网的安全，防止入侵和破坏。（10） 校园网要具备一定的容错和冗余能力，网络的个别部分出现故障时不应导致整个网络的瘫痪。3.2.4 维护需求为保证校园网建成后能够在工程师离开之后依然能够正常运行，应该对学校的相关人员进行必要

36、的技术培训，让他们具有一定的网络管理和排错能力。相关人员应该具备以下能力：具备一定的网络基础知识、熟悉相关网络产品的技术参数、具备基本的组网与排错能力。（1） 课程培训内容LAN与WLAN技术。Internet基础技术和应用。Windows Server 2003服务器的使用方法。WWW、DNS、E-mail、FTP服务器的搭建与管理。（2） 现场培训网络、操作系统的安装与调试。网络、操作系统的故障诊断与排除。网络管理工作站与网络管理软件的原理与应用。交换机安装与配置。结构化布线实际操作。第四章 校园网的总体设计4.1 分模块的设计我们把网络分成几大模块，每个模块相互之间功能独立，模块之间通过

37、接口连接，组网时把各个模块恰当的拼接起来。在本案例中我们把网络分为：内部接入层汇聚层模块、内部核心模块、网络安全模块、网络计费管理模块、广域网模块、内部服务器集群模块、外部服务器集群模块等。4.2分层的设计所谓分层设计方法，就是按照信息的流动过程将网络的整体功能分解为一个个功能层，不同机器上的同等功能层之间采用相同的协议，同一机器上的相邻功能层之间通过接口进行信息传递。-某高职学院校园网的规划与建设采用分层设计的方法有许多好处。第一，分层设计使得设计和维护网络变得容易。一方面，如果没有分层设计的理念，网络工程师对于网络就没有一个整体的把握，没有清晰的思路，这样很难设计出一个大型的优秀的网络。另

38、一方面，如果网络不是分层设计的，那么当网络出现故障时，维护人员很难分析出是哪个地方出现问题，增加了排查解决故障的时间和难度。第二，分层设计提高了网络的可扩展性。在分层设计的网络中，各层之间相互独立，每一层只需要下层提供接口对上层提供服务而不需要知道上下层具体是怎么实现的。这样当其他层的技术升级时，本层不需要进行太大的改动，具有很高的可扩展性。4.3 核心层设计核心层是一个网络的主干，核心层的设计要考虑到网络的冗余能力，高性能和高可靠性。核心层设备一般采用背板转发的高性能交换机。核心层设备的性能往往决定了网络整体的转发性能，所以在对核心层的设计和配置一定要合理。在本方案中，由于普通中学的财力有限

39、，而核心层设备比较昂贵，并且中学网络对网络的性能和冗余没有高校那么高，所以本方案只使用了一台核心层设备。4.4 汇聚层设计汇聚层负责把接入层交换机汇聚起来，一台汇聚层交换机连接多台接入层交换机，一台汇聚层交换机往往也连接多台核心层交换机以实现网络的冗余功能。汇聚层交换机的功能比接入层交换机多，性能也比接入层交换机强。汇聚层通常被设计要完成不同VLAN间的路由和定义广播和多播等任务。另外，为了节约网络IP地址，还可以在接入层采用私有地址，通过汇聚层进行NAT转换形成因特网中的合法地址。职业中学校园网规划与设计。4.5 接入层设计接入层负责连接大量的终端设备，用来隔离冲突域，是整个网络中数量最多的

40、网络设备。接入层一般由大量的二层低端交换机组成，设计时要选用容易使用、管理、维护的交换机，要考虑到设备的高性价比，并且要具有较高的端口密度。4.6 IP地址与VLAN规划4.6.1 IP地址规划本案例中的中学目前共有计算机800余台，充分考虑未来终端数量的进一步增加，在初期设计网络时，校园网被设计为使用50台接入层计算机提供1200个接入端口。本案例中校园内的网络采用网络地址采用私网地址192.168.0./8，私网地址是用VLSM（可变长子网掩码）划分子网。行政楼内的主机采用固定的IP地址，一般的上网用户主机采用DHCP（动态主机配置协议）获取。终端计算机具体设置如下图。本案例采用了PPPo

41、E认证方式来确保用户的合法性。用户只有在身份被认证之后后才能连接到校园网内。如图所示。4.6.2 VLAN的规划VLAN号VLAN名称IP网段默认网关说明VLAN 1-19216800/241921680254管理VLANVLAN 10XZL192168100/2419216810254行政楼VLANVLAN 20MAN192168200/2419216820254男生宿舍VLANVLAN 30WMAN192168300/2419216830254女生宿舍VLANVLAN 40ZHG192168400/2419216840254职工宿舍VLANVLAN 50JXL1192168500/2419

42、216850254教学楼1VLANVLAN 60JXL2192168600/24192168600/24教学楼2VLANVALN 70 SHYL19216870.0/24192168700/24实验楼 VALN本实验中的VLAN划分如下图所示位置VLANIP地址子网掩码作用核心层无192.168.1.024连接服务器群中的交换机192.168.12.024连接分布层交换机1192.168.13.024连接分布层交换机2192.168.2.024连接防火墙192.168.0.024管理VLAN汇聚层无192.168.12.024连接核心层交换机防火墙 无192.168.214.024PIX-R2

43、192.168.213.024PIX-R14192.168.200.024PIX-DMZ出网路由器无192.168.213.024R14-PIX192.168.144.14424R14 环回口宿舍10192.168.10.024宿舍120192.168.20.024宿舍24.7 用户上网方案一中除了要实现校内通信之外还要和Internet相连，用户在校内使用私网地址，与Internet通信时通过NAT把私网地址转换为公网地址。为实现上网稳定，学校决定采用连接电信、联通两个ISP上网的方式，用户上网时采用PPPoE拨号上网，计费系统会计算用户上网的花费。4.8 VPN方案由于一中没有分校区，所以

44、不必实现Site toSiteVPN。本案例采用思科公司的Easy VPN方案，这种VPN方案不需要客户端作较多的配置，大部分VPN在VPN网关上实现。通过本方案可以实现教师学生可以在家里或者其他场所通过连接到互联网后登陆VPN Client客户端访问学校的内部资源，极大的方便的教师和学生。4.9 QOS方案4.9.1 QOS应用背景随着个人计算机和Internet的普及，师生越来越多的使用Internet浏览网页、下载、看在线视频等。这些活动导致带宽需求不断的增长。就如同当今的道路总是不能满足车辆交通需求一样，网络的带宽也总是跟不上用户对带宽的需求。特别是大量的P2P下载和视频流量消耗了大量

45、的带宽，这些非关键应用加剧了带宽的供需矛盾。这时就必须采用QOS技术保证一些关键应用的带宽，如：OA，VoIP，教务系统，网络教学平台，一卡通等。在不能无限拓宽道路的情况下，加强交通的管理是一个缓解拥塞的切实可行的手段。在IP网络使用尽力服务模式的情况下，P2P下载、网络视频会占用关键应用的带宽，因此有必要采用区分服务模型保证各种关键应用数据的传输。4.9.2 QOS设计概述一VoIP设计需求VoIP是一种对网络性能要求较高，需要为VoIP保证足够大的带宽，足够小的丢包率、延迟和抖动。语音流量的DSCP值应该设置为EF，即无障碍转发。丢包率应该小于1%。单向延迟应该小于150ms。平均单向抖动

46、应该小于30ms带宽需要20320kbps。二视频的设计需求视频流量分为两种：交互式视频，流式视频。交互式视频的DSCP应被标记为AF41，丢包率小于1%，单向延迟小于150ms，抖动小于30ms。流式视频的DSCP应被标记为CS4，丢包率小于5%，延迟小于4秒，抖动需求不强。三数据的设计需求数据流量一般可以分为4中：大块数据、尽力服务，本地定义的关键业务数据、事物处理数据/交互数据。大块数据的DSCP应被标记为AF11，如果过量可以降格为AF12或AF13。尽力服务数据的DSCP设置为0（默认），要为其至少预留25%的带宽。要防止大块数据占用所有带宽，也要为大块数据保留足够的带宽。本地定义关

47、键业务数据的DSCP应被设置为AF31，需要时也可以降格为AF31或AF33，需要保留适当的带宽以支持交互式前台操作。事物处理数据/交互数据的DSCP应被设置为AF41，必要时可以降格为AF42或AF43，需要保留适当的带宽以支持交互式前台操作。第五章 设备选型5.1 WS-C6506系列高端多业务路由交换机Cisco Catalyst 6500 系列交换机是Cisco交换机的旗舰产品，在网络服务，网络安全、无间断通信、管理性能方面都具有无与伦比的优势。该系列交换机拥有丰富的功能，相当高的端口密度和可扩展性。该系列可以用途广泛，可以部署在不同环境中，如核心层、汇聚层、数据中心等，因为其硬软件具

48、有高度一致性，所以可以最大限度的提高运营效率。Cisco Catalyst 6500系列的服务模块是集成的，可以灵活的组合各个模块，以达到最佳的性能。Cisco Catalyst 6500的端口密度可以扩展达到最大，支持以太网供电（PoE）、10/100快速以太网、千兆以太网、万兆以太网等多种接口。该系列交换机向后兼容，客户只需升级管理引擎至最新，就可以在老式线路卡上实现新服务和功能。本案例中采用的WS-C6506-E交换机属于该系列中性能中等的交换机。具有6个插槽，GBIC为80，SFP为242，配置为虚拟交换系统的双机箱系统为484,10 GBE XENPAK/X2 端口密度20/82，配

49、置为虚拟交换系统的双机箱系统有164个，10/100/1000 密度为241，配置为虚拟交换系统的双机箱系统为482,10/100 密度为480，100BASE-FX 密度为240，万兆以太网 RJ-45 端口密度为80。5.2 WS-C3750V2-24TS汇聚层交换机Cisco Catalyst 3750交换机的配置是固定的，具备多层交换和Cisco StackWise技术，可用于企业分支机构和终端市场。Cisco Catalyst 3750具备多层快速以太网和千兆以太网技术，由于使用了CiscoStackWise技术，所以可以进行30Gbps的堆叠。最多可以使用9台该系列交换机进行任意堆

50、叠组合。另外组网时还可以根据需要部署十兆、百兆、千兆、万兆以太网和以太网供电（PoE）连接，从而为网络升级提供了一种简单而经济的方法。WS-C3750V2-24TS具有32Gbps交换矩阵，最多可以堆叠9个成员，堆叠总带宽达到32Gbps，每个机箱处理数据包的速度达到6.5Mpps，最多可以支持12000个MAC地址，最多支持11000条路由，板载内存为128MB，千兆以太网 GBIC/SFP 密度为2，10/100 密度为24。5.3 WS-C2960G-8TC-L接入层交换机Cisco Catalyst 2960系列交换机为固定配置交换机，具有百兆以太网和千兆以太网连接，可以提供增强的局域

51、网服务，被广泛应用于终端市场和分支机构网络。Catalyst 2960系列交换机为紧凑型，没有风扇，非常适合办公室、教室、及其他空间有限的环境。在室外布线时为了实现智能服务可以使用企业级功能。Cisco Catalyst 2960系列交换机分为基于LAN Base软件的和基于LAN Lite软件的。基于LAN Base软件的交换机配置固定，是一种独立式智能以太网设备，具有以太网供电（PoE）或非PoE配置，提供百兆到桌面或者千兆到桌面，支持增强的局域网服务，适合入门级企业，终端市场，提供集成安全，包括网络准入控制（NAC），高级QoS，和恢复能力，满足为网络边缘提供智能服务的要求。基于LAN

52、Lite软件的交换机不是智能交换机。可以提供桌面百兆以太网连接，多用于入门级配线间和小型分支机构网络。该类型交换机简化了非智能集线器和托管交换机迁移到完全可以扩展的托管网络的步骤，它提供的安全保障为入门级的，同时也提供QoS和低延迟功能，可以较大幅度的降低成本。Catalyst 2960系列有四种类型配置，上游链路采用双重用途千兆以太网，也可以采用铜线或者光纤，每个双重用途上游链路都提供一个十兆/百兆/千兆端口和一个基于SFP的端口，且活动端口只允许有一个。该系列交换机有24端口千兆以太网和48端口千兆以太网两种类型，经济高效的推动网络的千兆到桌面。5.4 Cisco ASA 5520防火墙C

53、isco ASA 5520防火墙使用模块化的高性能设备内为中型企业提供具有活动/活动高可用性的安全服务，同时可以提供千兆位以太网连接。具有4个1000Mbps以太网接口，最多能同时支持100个VLAN，单位和企业可以轻松地将Cisco ASA 5520部署到自己网络内部的多个区域。在网络安全需求变化时可以进行相应的调整，从而提供坚实的投资保护。在需要为大量移动员工、远程站点、合作伙伴提供支持是，单位可以扩展其SSL和IPsec VPN功能。每个Cisco ASA 5520设备可以通过安装一个基本或高级AnyConnect VPN许可来支持AnyConnect和/或非客户端VPN对等体，最多能达

54、到750个，基础平台上可以支持750哥IPsec VPN对等体。可以借助其整个VPN集群和负责平衡功能提高VPN功能和灵活性。通过适当的部署，还可以扩展ASA 5520提供的高级应用级安全和内容安全防御功能。单位可以借助它的可选安全上下文功能在网络内部部署最多20个虚拟防火墙，从而划分部门层面的策略控制。通过虚拟化，可以提高安全性，降低成本，并且可以将多台安全设备整合到单一设备上。Cisco ASA5520防火墙具有最大450Mbps的吞吐量，最大225Mbps的VPN吞吐量，最多维持28000个并发会话，最多20个安全上下文，具有4个千兆以太网端口和一个快速以太网接口，150个虚拟接口。5.

55、5 Cisco 3800C系列路由器Cisco 3800C系列路由器可以为用户提供无与伦比的网络灵活性、性能和智能，技术先进。该系列路由器提供了出色的性能和可靠的数据包交付，可以VoIP、业务视频和协作通信等实时应用。系统架构进行了嵌入式安全处理、平台性能和内存的大幅度增强。Cisco 3800C包括Cisco 3825C和Cisco 3845C两种型号，适用于企业分支机构和中型组织，达到充分利用融合业务服务的目的，同时降低网络升级的成本和复杂性。Cisco 3800C系列提供了两种模块化平台，可以优化并发语音、视频以及数据安全交付。该系列路由器最多可以支持112个集成交换口，可以将任何网络基

56、础设施最常用的组件两两组合。第六章 综合布线布线系统要做到系统性、标准化、延续性、先进性，同时还要为未来系统扩充作准备。布线之后，要做到五到十年之内不需要重新布线。网络系统要做到高质量，包括高质量的语音系统和高速的网络系统。本方案是为中学学校规模的建筑群综合布线的系统，其中包括：（1） 建筑物内工作区子系统、管理子系统、水平子系统（2） 垂直子系统（3） 设备间子系统（4） 建筑群间子系统要求如下：（1）用多模光纤连接一个建筑物与另一个建筑物。（2）用超五类非屏蔽双绞线连接建筑物内的的信息模块；用六类非屏蔽双绞线连接垂直子系统；用19英寸6类24口快接式非屏蔽配线架连接所有信息点端；用110型

57、配线架连接垂直语音主干端。（3）主配线间和分配线间采用19英寸标准网络机柜安装配线架和网络设备；在光纤配线间配置19英寸机架式12口ST光纤配线架。6.1 工作区子系统布线使用超五类非屏蔽双绞线连接楼层分配线间和墙面接口，这种方式成为布线到桌面方式。安装要求：使用墙面安装方式安装所有信息插座，插座底边距地60厘米。插座周围应该安装220V电源插座，两种插座的距离应不小于30厘米。信息插座选用对生产商家没有特定的要求，但要求所有的信息插座都要采用相关的通用标准。本项目中采用AMP系列产品。RJ45水晶头与信息模块压线有两种方式，EIA/TIA568A和EIA/TIA568B。在这两种方式中，只能

58、选择一种，本项目中采用EIA/TIA568B。RJ45插头需求量的计算方法为：m=n*4+n*4*15%（其中m为需求量，n为信息点个数），信息模块需求量计算方法为：m=n+n*3%（其中m为需求量，n为信息点个数）。为方便使用和维护，应该在信息插座做明显的标识，不同的工作区的信息插座涂以不同的颜色，在信息插座上做易懂的文字标记方便不同用户使用。6.2 水平子系统布线水平子系统包括两部分：传输介质和部件集成。为保证数据的高速传输，采用超五类非屏蔽双绞线作为水平电缆。采用这种电缆能提供100M到桌面的带宽，在未来网络升级时还可以提供1000Mbp的速率。进行这一升级时，无需重新布线，起到了保护投

59、资的作用。水平子系统的布线要综合考虑路由、造价、施工等几个因素，选出最佳的布线方案。一般有三种方式供选择：先走吊顶内线槽，再走支管到信息出口的方式、直接埋管式、地面线槽方式。（职业中学校园网规划与设计）6.3 管理间子系统布线为每个楼层设置一个管理间，管理该楼层内的信息节点，根据每个楼层内信息节点的多少确定管理间的大小。对于大于50个节点的楼层为其安排一个单独的房间作为管理间；少于50个节点的楼层选用壁挂机柜来管理该子系统。采用T568B接线方式端接数据配线架和信息模块。用不同的颜色标记不同的区域，实现整个系统的统一色标管理。管理间是综合布线中最重要的一环，因为其是水平电缆与垂直电缆之间的枢纽

60、。6.4 垂直干线子系统布线垂直干线子系统将各个楼层的配线间汇总起来，采用星型拓扑。星型拓扑有许多优点，如方便管理、配置简单、排错容易，另外在未来系统扩充时也不用做太大的改动。用六类双绞线连接设备间与管理间。具体布线管理间和设备间时，要综合考虑线路长度、安全性和经济性等几个因素。6.5 设备间子系统布线设备间子系统是一栋建筑的中心节点，是连接其他建筑的枢纽节点，也是一栋建筑的管理中心。设备间主要放置总配线架，包括数据总配线架和语音总配线架。设备间在整个系统中起关键作用，因此对环境要求较高。应该为每栋建筑安排一间单独的且各方面条件都较好的房间作为设备间，无关人员不允许接触设备间内的设备。设备间一

61、般被安排在建筑的中部，这样做是为了节约保证传输效果和节约线缆。6.6 建筑群子系统布线本案例中，建筑群子系统是指连接电教馆计算中心与其他建筑，要求实现千兆连接。由于其他建筑与电教馆就算中心的距离都不超过500米所以可以采用多模光纤作为连接线。考虑到学校的美观整洁，室外光纤施工全部在地下管道内进行。第七章 模拟工程实现7.1 网络拓扑图及说明上图中，C1，C2，C3模拟同一部门内的的三台计算机，C4模拟另一部门内的计算机，AccessSwitch1和AccessSwitch2是两台接入层交换机，DistributeSwitch1和DistributeSwitch2是两台汇聚层交换机，CoreSw

62、itch1是一台核心层交换机，DhcpServer和DnsServe所在区域为内部服务器集群，这里只模拟两台服务器，PIX1是网络的防火墙，R1是网络的出口服务器，PIX防火墙所连的外部访问服务器集群被设置为DMZ区域，R2模拟Internet上的一台路由，R2模拟酒店网络的出口路由器，PC模拟出差员工的计算机。7.2 预期实验现象与现象说明1、C1，C2，C3，C4开机就可以获得IP地址，说明DHCP服务器设置正确2、C1能够ping通C2，说明连接在相同交换机上的同一部门内的计算机可以相互访问3、C1能够ping通C3，说明连接在不同交换机上的同一部门内的计算机可以相互访问4、C1能够ping通C4，说明不同部门内的计算机能够通过三层交换机互相访问5、C1能够ping通DNS服务器，说明校园网内部计算机能够访问校内资源6、C1能够ping通R2说明校园网内部计算机能够访问Internet7、PC能够ping通外部访问Server，说明DMZ区域设置正确8、PC