南洋大学校园网络规划方案

南洋大学校园网络规划方案

成 员 姓 名： 王超 张楠 赵丽婷 专 业： 网络工程 班 级： B1104

信息技术学院

南洋大学校园网络规划方案

摘 要

摘要：近年来，由于因特网的迅速发展与普及，基本上每个大学都建立了自己的校园网。建立一个大型的大学校园网，首先需要了解大学的基本情况和需求，再对校园网进行规划分析。对于网络设备路由器交换机型号的选择要合理，满足各种需求的同时，性价比尽可能高。此外，还需对各个信息点的设置和它们之间布线做合理的安排，以节省材料。另外，对于网络安全的设计也是非常重要的一块。本方案根据校园网的需求，主要规划了校园网的拓扑结构，详细介绍了服务器、交换机、路由器的选择和配置，IP地址的规划，以及为了网络安全而设计的防火墙及其功能。

为了更好地使用计算机这一现代化的高科技产物，使其在教学、管理等方面发挥应有的作用，我们拟定在南洋大学校内重新建立校园网并与外界互联网（Internet）相连。根据学校的要求，我们将按照“统一规划、分步实施、讲究实效、安全可靠”的原则，进行南洋大学校园网综合系统设计包括：建校园网目标、用户需求分析、技术需求分析、网络拓扑结构设计、物理结构及无线局域网设计，以满足校园内计算机系统的需要。

关键词：局域网；IP地址；网络安全

- I -

南洋大学校园网络规划方案

目 录

摘 要 ............................................................................................................................. I 一、 需求分析 .................................................................................................................. 1 （一） 工程项目概况 ...................................................................................................... 1

1.信息资源共享 ......................................................................................................... 1 2.图书馆资源检索、借阅自动化 ............................................................................. 1 3.学校管理系统的信息化、自动化 ......................................................................... 1 4.建立计算机网络辅助教学系统 ............................................................................. 1 5.创建学院网站 ......................................................................................................... 1 6.提供便利网络环境 ................................................................................................. 1 （二） 信息点分布 .......................................................................................................... 1 （三） 方案分析 .............................................................................................................. 2 二、 方案设计原则 .......................................................................................................... 2 （一） 实用性和经济性 .................................................................................................. 2 （二） 高性能与技术先进性 .......................................................................................... 3 （三） 高可靠性 .............................................................................................................. 3 （四） 安全性 .................................................................................................................. 3 （五） 可管理性 .............................................................................................................. 3 （六） 可扩充性 .............................................................................................................. 3 三、 网络方案设计 .......................................................................................................... 3 （一） 网络拓扑结构介绍 .............................................................................................. 3

1.节省成本 ................................................................................................................. 4 2.易于理解 ................................................................................................................. 4 3.易于扩展 ................................................................................................................. 4 4.易于排错 ................................................................................................................. 4 （二） 网络拓扑图 .......................................................................................................... 4 （三） 网络设计 .............................................................................................................. 5

1.核心层网络设计 ..................................................................................................... 5 2.汇聚层网络设计 ..................................................................................................... 5 3.接入层网络设计 ..................................................................................................... 6 4.整体层次化设计 ..................................................................................................... 6 5.广域网互联设计 ..................................................................................................... 6

- II -

南洋大学校园网络规划方案

6.防火墙技术和DMZ设计 ...................................................................................... 7 7.冗余/负载均衡设计 ................................................................................................ 7 8.线路冗余设计 ......................................................................................................... 7 9.网络设备冗余/负载均衡设计 ................................................................................ 8 10.网络管理中心设计 ............................................................................................... 9 11.IP地址和VLAN规划 ......................................................................................... 9 四、 网络技术选型 ........................................................................................................ 10 （一） VRRP（虚拟路由冗余协议）原理 ................................................................. 10 （二） NAT的描述及策略路由的实现 ....................................................................... 11 （三） ACL(访问控制列表) ......................................................................................... 11 （四） 链路聚合EC(Ethernet Channel) ....................................................................... 12 （五） VLAN虚拟局域网 ............................................................................................ 12 （六） WLAN无线局域网 ........................................................................................... 13 五、 网络安全及管理机制 ............................................................................................ 13 （一） 防火墙技术 ........................................................................................................ 13 （二） 防火墙的功能 .................................................................................................... 14

1.过滤 ....................................................................................................................... 14 2.学习功能 ............................................................................................................... 14 3.监控 ....................................................................................................................... 14 4.日志 ....................................................................................................................... 14 5.报警 ....................................................................................................................... 14 （三） 防火墙的使用 .................................................................................................... 14 （四） 防火墙的分类 .................................................................................................... 14

1.包过滤型 ............................................................................................................... 14 4.代理型 ................................................................................................................... 15 3.监测型 ................................................................................................................... 15 （五） 网络安全需求分析 ............................................................................................ 15 （六） 海量信息数据 .................................................................................................... 16 （七） 信息安全目标 .................................................................................................... 16 六、 设备清单 ................................................................................................................ 17 七、 性能测试与评估 .................................................................................................... 17 （一） 网络配置实施 .................................................................................................... 17

- III -

南洋大学校园网络规划方案

1.telnet远程访问配置命令 ..................................................................................... 17 2.端口聚合配置命令 ............................................................................................... 18 3.NAT地址转换配置命令 ...................................................................................... 18 4.ACL访问控制列表配置命令 .............................................................................. 19 5.单臂路由配置命令 ............................................................................................... 19 6.VLAN划分配置命令 ........................................................................................... 19 （二） 网络测试实施 .................................................................................................... 20 （三） 方案的扩展性考虑 ............................................................................................ 20 八、总结 .......................................................................................................................... 21 参考文献 .......................................................................................................................... 21 成绩评定表 ...................................................................................................................... 22

- IV -

南洋大学校园网络规划方案

一、需求分析

（一）工程项目概况

要求建立一个连接教学楼，图书馆，宿舍公寓，网络中心等区域的校园网，需求如下：

1.信息资源共享

通过校园网，实现学校内部，院与院之间信息的快速交流，达到资源共享，使广大师生及时了解国内外科学技术和学院的最新动态，促进教学、科研、管理事业的发展。 2.图书馆资源检索、借阅自动化

通过改造原有图书检索系统，建设电子图书馆，提高校内图书资料的利用率；充分利用校外图书资料，实现远程计算机图书检索和借阅。 3.学校管理系统的信息化、自动化

依托校园网，构建相应的交互式应用软件平台，实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化，实现统计监测网络化，提高管理效率和水平。 4.建立计算机网络辅助教学系统

建立基于网络的电子教学CAI课件开发、视频点播（VOD）、网上题库、答疑与作业批改等计算机辅助教学系统，实现教学手段的现代化。 5.创建学院网站

创建学院网站，使之成为对外宣传的重要窗口，让世界了解我们，提高学院的知名度。

6.提供便利网络环境

为广大师生提供宽松，开放、易用的网络环境，使网络触入日常工作和生活中，发挥网络的最大效用。

（二）信息点分布

主要信息点集中在教学楼、办公楼、图书馆、宿舍公寓、科研中心、网络中心等区域。详细分布如表1.1所示。

–1–

南洋大学校园网络规划方案

表1.1信息点分布表

区域 教学楼 办公楼 图书馆 宿舍公寓 科研中心 网络管理中心

信息点数 1250 150 250 100 150 50

（三）方案分析

校园网的建设对于学校来说是一项大的工程，必须精心设计、精心施工，做到经济适用，技术先进、开放性能良好、投资强度合理、与内外网络互联、能长期、稳定运行的高性能的校园网络。

校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享。

二、方案设计原则

本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该校园的网络系统。

从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：

（一）实用性和经济性

校园网的特点决定了网络系统必需要有实用与经济性。实用性使得网络便于管理、维护，以减少网络使用人员运用网络的难度，从而降低人为操作引起的网络故障，并使更多的人掌握网络的使用。应根据学校的实际情况，由于学校的建设资金有限，所以一般都要求网络具有较高的性价比，所以在建设校园网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。

–2–

南洋大学校园网络规划方案

（二）高性能与技术先进性

校园网网络系统要求具有较高的数据通信能力和较大的带宽；并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据，网络应有较高的网络主干速度。

（三）高可靠性

网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，设备在发生故障时能以热插拔的方式在最短时间内进行恢复，把故障对网络系统的影响减少到最小，避免由于网络故障造成用户损失。

（四）安全性

校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络，网络安全性在整个网络中是个很重要的问题，应该采用一定手段控制网络的安全性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性，能够防止非法侵入和信息泄漏。

（五）可管理性

强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能，能够对每个用户实行管理；并且能够实现计费管理。

（六）可扩充性

随着应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证现有的投资。

三、网络方案设计

（一）网络拓扑结构介绍

在此次校园网的设计中，我们采用层次化模型来设计网络拓扑结构。所谓层次化模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能

–3–

南洋大学校园网络规划方案

够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。

在校园网设计中，使用层次化模型有许多好处，列举如下： 1.节省成本

在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。 2.易于理解

层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。 3.易于扩展

在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。 4.易于排错

层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。

（二）网络拓扑图

网络拓扑图如图3.1所示。

–4–

南洋大学校园网络规划方案

图3.1 校园网络拓扑图

核心层交换机通过光纤传输介质分别与教学楼、办公楼、宿舍楼、科研中心、图书馆及网络管理中心的汇聚交换机相连。汇聚交换机分别连接到各楼栋的接入层交换机，通过双绞线连接到每个信息点上。

（三）网络设计

1.核心层网络设计

核心层是将各汇聚层交换机互连起来进行穿越校园网骨干的高速数据交换。实现数据包高速交换。核心层双中心星形拓扑的优点是结构较为简单，能够很好的进行网络负载均衡。Port Trunking技术提高互联交换机的吞吐量，使得整个网络具备高容量、无阻塞、高性能的能力。 2.汇聚层网络设计

汇集层的主要功能是汇聚网络流量，链路聚合、路由聚合，信号中继，负责将访问层交换机进行汇集，还为整个交换网络提供VLAN间的路由选择功能。

–5–

南洋大学校园网络规划方案

3.接入层网络设计

接入层利用接入层利用单臂路由、VLAN划分等技术隔离网络广播风暴，提高网络效率，为所有的终端用户提供一个接入点。 4.整体层次化设计

本校园网网络系统的设计采用层次化的设计方法，即核心层、汇聚层和接入层。网络设计的层次可如图3.2所示。

图3.2 校园网络系统的三层结构

5.广域网互联设计

考虑到Internet和其他网络的连接(如CHINANET等)，目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各种广域连接中发现。目前，越来越多的学校还开展了网络教学和建立自己的WEB。因此，能否有效地连接Internet是校园网建立的一个重要的目标。

–6–

南洋大学校园网络规划方案

出于安全考虑，应该选用一个带有防火墙的边界路由。边界路由在远程办公室和网络的其余部分之间提供了一个有效的防火墙。同样重要的是，边界路由为远程办公室保留了利用诸如“服务类数据优先级”、“定制过滤器”和“数据压缩”等工具的优点。 6.防火墙技术和DMZ设计

学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高，如图书管理、档案管理、学生管理、教学管理、财务管理等可以通过分布式、集中式相结合的方法进行管理。防火墙作为网络的第一道防线，应放置在外网和需要保护的校园内网之间。这样，所有流入校园网络的数据流量都将通过防火墙，使校园内的所有客户机及服务器都处于防火墙的保护下。针对不同资源提供不同安全级别的保护, 还应构建一个DMZ区域，放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的机密信息。即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。 7.冗余/负载均衡设计

冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段，但是投资也将增加。部分校园网在早期的建设中由于成本的原因并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。可采用GEC链路聚合实现端口级冗余，以克服某个端口或线路引起的故障。也可采用生成树协议提供设备级的冗余连接。此外，我们在设计中提供不同物理方向的双归属、双路由保护。 8.线路冗余设计

在校园网核心层，网络边界拓扑结构由于采用了双机热备份的核心交换机系统解决方案，所以在线路冗余方面的要求较高，对于线路的冗余要求，我们采用10GE线路对核心层设备进行环行双向备份，并使用业界领先的VRRP（虚拟路由器冗余协议）来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路，通过这个链路连接核心交换机，具备万兆扩展能力；接入交换机采用10/100M自适应端口连接桌面系统，多千兆链路连接到汇聚层。

GEC路具有链路聚合和冗余保证两大特性，下面我们将对它们依次进行介绍：

–7–

南洋大学校园网络规划方案

链路聚合：可使用一条物理链路在不同品牌交换机之间、交换机和服务器之间提供聚合的高速通道，在不增加投资的情况下，扩大交换带宽，使关键连接的传输效率更高。

冗余保证：链路聚合中，成员互相动态备份。当某一链路中断时，其它成员能够迅速接替其工作。与生成树协议不同，链路聚合启用备份的过程对聚合之外是不可见的，而且启用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。

综合分析以上各主流方案的优缺点，从性能与成本及拓展性等方面的综合考虑出发，本方案决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。

在校园网汇聚层及接入层出于成本及性价比的考虑，本方案决定采用万兆拓展，千兆汇聚，百兆到桌面的链路选择。 9.网络设备冗余/负载均衡设计

各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担。负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性；为用户提供更好的访问质量；提高服务器响应速度；提高服务器及其他资源的利用效率；避免了网络关键部位出现单点失效。

此方案中，在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的核心层上,我们采用了两台CISCO核心路由交换机组建高性能的核心网络平台，在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。如图3.3所示。

–8–

南洋大学校园网络规划方案

图3.3 冗余备份

双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上，因此形成两条不同的，但是等代价的连接。如果一条核心设备发生故障，还是能够收敛，因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用，VRRP提供快速错误恢复。核心层不需要STP，因为在核心交换机间没有冗余的第2层连接。 10.网络管理中心设计

网络管理是校园网必须考虑的关键技术，这里的网络管理主要指网络设备及其系统的管理，它包括配置、性能、安全、故障管理等，网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的、驻留有网络管理协议的设备。

网络管理设计的另一方面，是配置一个网络管理中心，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。 11.IP地址和VLAN规划

根据互联网络技术发展的趋势，结合学校网络目前真实IP地址的现实情况，我们建议IP地址规划遵循如下原则来设计：服务器区采用私IP地址，NAT后供人员远程访问；与Internet互联设备IP地址采用真实IP地址；部分内部互连采用私有IP地址；面向用

–9–

南洋大学校园网络规划方案

户的私有IP地址，由统一出口的边缘设备（路由器、防火墙）进行地址翻译，即出口路由器（防火墙）互联采用合法IP地址；公共服务器如WWW/FTP/DNS等均采用合法地址（或从安全角度考虑采用私有IP），部分接入用户采用私有保留IP地址相连。

这样设计，既可以充分利用已有的公网IP地址，解决了IP地址空间的不足，以方便的实现互通互连，提高网络数据传输整体性能。

同时，还可以采用VLSM。VLSM是可变长子网掩码的英文缩写，它提供了一个主类（A类、B类、C类）网络内包含多个子网掩码的能力，可以对一个子网再进行子网划分。

VLSM的优点，所以我们采取VLSM对网络进行编址，以达到节约IP地址，能够使用路由汇总的目的，如表3.1所示。

表3.1 IP和VLAN的规划表

宿舍公寓 科研中心 办公楼 图书馆

网络管理中心（内网）

教学楼

IP地址网段 192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 192.168.40.0/24 192.168.50.0/24 192.168.60.0/24 192.168.70.0/24 192.168.80.0/24 192.168.90.0/24 192.168.100.0/24

网络管理中心（公网）

200.1.1.0/24

VLAN编号

10 20 30 40 50 60 70 80 90 100 使用真实IP

默认网关 192.168.10.1/24 192.168.20.1/24 192.168.30.1/24 192.168.40.1/24 192.168.50.1/24 192.168.60.1/24 192.168.70.1/24 192.168.80.1/24 192.168.90.1/24 192.168.100.1/24 200.1.1.1/24

四、网络技术选型

（一）VRRP（虚拟路由冗余协议）原理

VRRP给路由器组提供了一个冗余网关地址，它是一种容错协议，通过定义不同的组，不同优先级的路由器，它保证网络的主路由器失效时，可以及时的由备分来实现路由器来替代，从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。

–10–

南洋大学校园网络规划方案

VRRP技术的实现：汇聚到核心冗余连接及VRRP的实现通过VRRP技术将多个设备虚拟成为一台逻辑设备，实现汇聚/接入链路冗余。

（二）NAT的描述及策略路由的实现

在组建网络时，为了节约地址，我们在内部使用保留的私有地址段中的地址，但是使用私有地址不能访问Internet,所以必须申请多个公开地址配置在和Internet相连的局域网边缘设备上。应用NAT进行地址转换。

NAT是网络地址翻译技术，在路由器上起用NAT之后，可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的IP翻译成外部公网的IP。

配置基于策略的路由选择时，可使用路由映射表来指定基于IP地址，应用程序，协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策略。

基于策略的路由和静态路由有很多共同之处。然而，静态路由根据目标网络地址来转换分组，而策略路由根据源地址来转发分组。在路由选择表中使用访问列表时，可根据诸如目标地址，分组长度，IP协议字段，优先级或端口号来转发数据流。这样可以指定范围更广泛，更细致的条件，并根据这些条件来决定下一跳路由器。

（三）ACL(访问控制列表)

访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求，从而达到设置网络安全策略，防止网络中的敏感设备受到非授权访问的情况。

在具体实现过程中从技术上来说我们需要了解到ACL分为两种类型,他们分别是标准访问列表(Standard access lists)和扩展访问列表（Extends access-lists）前者在过滤网络的时候只使用IP数据报的源地址，那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP地址，它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定，它可以具体到端口，从而精确到某一个服务，比如对WEB,FTP的访问等，给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。

–11–

南洋大学校园网络规划方案

（四）链路聚合EC(Ethernet Channel)

以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把2个、3个、4个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在这些千兆以太网交换机中，最多可以支持4组链路聚合，每组中最大4个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一旦出现故障，启用备份链路，如图4.3所示。

图4.3 链路聚合配置

（五）VLAN虚拟局域网

VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技术，通过这种划分，我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域，或者把物理位置上邻近的网络设备划为不同的广播域，从而更方便我们管理和做一个逻辑层次的划分。从技术上说VLAN可以分为静态VLAN和动态VLAN,那么静态的VLAN是基于交换机端口进行划分，根据网络设备连接不同的交换机端口，则进入相应的VLAN。动态VLAN则更灵活，它可以根据接入计算机的IP地址，MAC地址，甚至是用户的登陆账号做出相应的处理，把计算机划分进相应的。

–12–

南洋大学校园网络规划方案

VLAN中，这样就为我们实际的网络管理带来了比较大的方便性和灵活性。那么在我们的校园网方案中，我们希望通过使用VLAN技术进行划分达到以下目的：隔离、划分广播域，减小不必要的广播流量，从而提高整个网络的利用效率。

（六）WLAN无线局域网

无线局域网有4大特点：移动性：不受时间限制，空间限制，用户可以在网络中漫游；灵活性：不受线缆的限制，可以随意增加和配置工作站；低成本：无线网络不再需要大量的工程布线，同时节省了线路的维护费用；易安装：对于有线网络来说，无线网络的组建、配置和维护更为容易。

结合以上特点，无线网络非常适合图书馆的环境和要求，我们在图书管布置无线网络，并且采用Infrastructure这种典型的WLAN工作模式，无线客户端可以通过无线接入器AP(Access Point)接入以太网共享网络资源，多个AP分布在相邻的区域可以实现无线客户端的移动漫游。

五、网络安全及管理机制

校园网络安全主要有以下要求：各个部门访问网络的控制，各单位之间在未经授权的情况下，不能相互访问。内部网中要建立防火墙，即禁止外部用户未经许可访问内部的数据，或者内部用户未经许可访问外部数据。

对安全问题主要有以下考虑：校园该应具备抵御恶意攻击的能力，一些科研成果也不是对任何人都开放的。利用虚拟网技术和防火墙技术可以较为合理地解决安全与开放的问题。

在校园网络安全管理及维护中，建立单机版反病毒防御体系，设立防火墙保护和网络入侵侦测系统对防止病毒和黑客入侵，提供防范、检测手段和对攻击作出反应，采取自动抗击措施，对保证网络安全及维护是很有必要的。

（一）防火墙技术

网络安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当企业外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。

–13–

南洋大学校园网络规划方案

在逻辑上，防火墙其实是一个分析器，是一个分离器，同时也是一个限制器，它有效地监控了内部网间或Internet之间的任何活动，保证了局域网内部的安全。

（二）防火墙的功能

防火墙只是一个保护装置，它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点： 1.过滤

根据应用程序访问规则可对应用程序联网动作进行过滤。 2.学习功能

对应用程序访问规则具有学习功能。 3.监控

可实时监控，监视网络活动。 4.日志

具有日志，以记录网络访问动作的详细信息。 5.报警

被拦阻时能通过声音或闪烁图标给用户报警提示。

（三）防火墙的使用

由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此，防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间，阻止别人通过不安全与不可信的网络对本网络的攻击，破坏网络安全，限制非法用户访问本网络，最大限度地减少损失。

（四）防火墙的分类

市场上的硬件防火墙产品非常之多，分类的标准比较杂，从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。 1.包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数

–14–

南洋大学校园网络规划方案

据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。 4.代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器;而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。 3.监测型

监测型防火墙是新一代的产品，这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种监测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。

（五）网络安全需求分析

传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理，这样导致安全信息分散互不相通，安全策略难以保持一致，这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。安全运营中心是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析，得出全局角度的安全风险事件，并形成统一的安全决策对安全事件进行响应和处理。总体来说SOC的根本模型就是PDR模型，而SOC系统就是实现其中的D（Detection，检测）和R（Response，响应）。SOC的需求主要是从以下几个方面得到体现：大系统的管理

–15–

南洋大学校园网络规划方案

通常安全系统是分别独立逐步的建立起来的，比如防病毒系统、防火墙系统、入侵检测系统等，各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警，这些分散独立的安全事件信息难以形成全局的风险观点，导致了安全策略和配置难于统一协调。这种对于大规模系统的安全管理也正是SOC的需求根源，就是说只有大系统、拥有复杂应用的系统才有SOC的需求。

（六）海量信息数据

随着安全系统建设越来越大，除了需要协调各个安全系统之间的问题之外，由于安全相关的数据量越来越大，有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没，一些全局性的、影响重大的问题很难被分析和提炼出来。为了从大量的、孤立的单条事件中准确的发现全局性的、整体的安全威胁行为，需要SOC这样一个平台使得整个安全体系的检测能力更加准确，更加集中于影响重大的焦点问题。

（七）信息安全目标

我们知道传统的信息安全有7个属性，即保密性、完整性、可用性、真实性、不可否认性、可追究性和可控性/可治理性。信息安全的目标是要确保全局的掌控，确保整个体系的完整性，而不仅限于局部系统的完整性；对于安全问题、事件的检测要能够汇总和综合到中央监控体系，确保可追究性是整个体系的可追究性。SOC的出现就是为了确保对全局的掌控，实现全面支撑信息安全管理目标。全局可控性

可控性是信息安全7个属性中最重要的一个，可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统，对于新的安全漏洞和攻击方法的及时了解，针对体系内局部发生的安全入侵等事件进行响应。我们通常用水桶效应来描述分布式系统的安全性问题，认为整个系统的安全性取决于水桶中最薄弱的一块木条。SOC就像是这个水桶的箍，有了这个箍，水桶就很难崩溃，即使出现个别的漏洞，也不至于对整个体系造成灾难性的破坏。SOC充分利用所掌握的空间、时间、知识、能力等资源优势，形成全局性的资源协调体系，为系统的全局可控性提供有力的保障。

–16–

南洋大学校园网络规划方案

六、设备清单

表6.1 设备清单

设备

型号

数量（台）

单价（元）

总价（元）

交换机（核心）

CISCO WS-C3750X-48P-S

CISCO WS-C3560X-24T-L

CISCO WS-C2960-48TC-L

CISCO 3945/K9 TP-LINK TL-WR842N CISCO UCS C24 M3(1U)

2 32,000 64,000

交换机（汇聚） 交换机（接入）

路由器 无线路由 服务器 合计

38 1 125 7

8,600 6,300 35,000 90 8,600

60,200 239,400 35,000 11，250 60,200 470,050

七、性能测试与评估

（一）网络配置实施

网络设备测试包括性能测试、功能测试、一致性测试、互操作性测试、可靠性和稳定性测试，根据厂商说明书验证网络设备是否具有设计要求的没一样功能；分析网络设备在各个不同的配置和负载下的容量对负载的处理能力；验证网络设备的各项设备功能是否符合国内国际行业标准；考察一台网络设备是否能在一个不同厂家的多种网络产品互连的网络环境中很好的工作；加重负载的方法来分析、评估系统的可靠性和稳定性。 1.telnet远程访问配置命令

Switch(config)#enable password 123 Switch(config-line)#line vty 0 4

Switch(config-line)#password 123456789

–17–

南洋大学校园网络规划方案

Switch(config-line)#login Switch(config-line)#exit 2.端口聚合配置命令 交换机A：

Switch A (config) # interface port-channel 1 Switch A (config-if) # switchport mode trunk Switch A (config-if) #no shutdown Switch A (config-if) #exit Switch A (config) # interface range f0/1-2

Switch A (config-if -range)# channel-group 1 mode active Switch A (config-if -range)#end 交换机B：

Switch B (config) # interface port-channel 1 Switch B (config-if) # switchport mode trunk Switch B (config-if) #no shutdown Switch B (config-if) #exit Switch B (config) # interface range f0/1-2

Switch B (config-if -range)# channel-group 1 mode active Switch B (config-if -range)#end 3.NAT地址转换配置命令

Router(config)#access-list 1 permit 192.168.0.0 0.0.255.255

Router(config)#ip nat inside source list 1 interface s0/0/0 overload Router(config)#int f0/0.1

Router(config-subif)#ip nat inside Router(config)#int f0/0.2

Router(config-subif)#ip nat inside Router(config)#int f0/0.3

Router(config-subif)#ip nat inside Router(config)#int f0/0.4

Router(config-subif)#ip nat inside Router(config)#int f0/0.5

Router(config-subif)#ip nat inside Router(config)#int f0/0.6

Router(config-subif)#ip nat inside

–18–

南洋大学校园网络规划方案

Router(config)#int f0/0.7

Router(config-subif)#ip nat inside Router(config) #int s0/0/0

Router(config-if/1)#ip nat outside Router(config-if/1)#exit 4.ACL访问控制列表配置命令

RouterB（config）#ip access-list standard 1 RouterB（config_std_nacl）#deny 201.1.1.0 0.0.0.255 RouterB（config_std_nacl）#permit any RouterB（config）#int f0/0

RouterB（config-f0/0）#ip access-group 1 out 5.单臂路由配置命令

Router (config) #int f 0/0 Router (config-if) #no shut

Router (config) #int f0/0.1 (f0/0.1-f0/0.10)

Router (config-subif) #encapsulation dot1q 10 (10-100)

Router (config-subif) #ip address 192.168.10.1 255.255.255.0 (192.168.10.1-192.168.100.1) Router (config-subif) #no shut Router (config-subif) #exit 6.VLAN划分配置命令 核心交换机（三层）：

Switch(config)#int f0/1

Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config)#int f0/2

Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config)#int f0/3

Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config)#int f0/4

Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk

–19–

南洋大学校园网络规划方案

Switch(config)#int f0/5

Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config)#int f0/6

Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config)#int f0/24

Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk 宿舍公寓汇聚交换机（三层）：

Switch(config) #vlan 10 Switch(config) #int f0/1

Switch(config-if) #switchport access vlan 10 Switch(config) #int f0/2

Switch(config-if) #switchport access vlan 10 Switch(config) #int f0/3

Switch(config-if) #switchport access vlan 10 Switch(config) #int f0/24

Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if) #switchport mode trunk 科研中心划分vlan 20 办公楼划分vlan 30 图书馆划分vlan 40 网络管理中心划分 vlan 50 教学楼划分 vlan 60-100

（二）网络测试实施

运用ipconfig，ping,telnet,tracert,netstat等命令对网络的联通性进行测试。

（三）方案的扩展性考虑

本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展，无论从校园网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术，把网络已构筑了高速和坚固的信息高速公路，面对未来的发展将处于非常有利的境界。

–20–

南洋大学校园网络规划方案

八、总结

校园网要能很好地应用与发展，很大程度上取决于设计方案的设计实施成功与否。本文从校园网工程的实际出发，从理论、设计、实现等多方面阐述了经济可行的校园网综合设计实施方案，经实践证明是切实可行的。当然，随着用户需求与新技术的发展，还可以进一步完善。

通过这次课程设计我明白了要不断学习，不断完善自己，而且只有善于学习，才不会在原地绕圈子，才会走在前进的道路上。

回顾这两个星期的课程设计，让我收获颇多，从定下题目，到最后完成课程设计的过程是宝贵的，也是艰辛的，但收获也是显而易见的。

在此过程中遇到了许多问题，但是我相信挫折是成功的催化剂，这次的课程设计使我对学到的知识掌握的更加熟练，自身也有很大的提高。为期两周的课程设计已经结束了，在本次设计中我们主要是构建一个计算机网络，并能按照相关要求，收集资料，研究成功的校园网络系统的设计案例；掌握校园网络设计过程中的用户需求，完成需求分析，根据用户需求分析结果，进行网络系统的设计，确定网络拓扑图，确定主要设备和软件的性能配置要求，实现系统的可管理性、可扩展性和可维护性。

本次课程设计中，有成功之处，也有不足。整体上来说，这次课程设计还是很成功的，无论是在学习上还是在生活中，都需要有一种坚持不懈，知难而进，勇于探索的精神。经过这次课程设计，在以后的学习和生活中我都会受益匪浅。而且在以后的学习中我们还要更认真的学习校园网知识，力争对它熟练的掌握。

参考文献

[1] 胡道元.智能建筑计算机网络工程.北京：清华大学出版社，2004年. [2] 李建民.网络设计基础.北京：希望电子出版社，2000年. [3] 刘正勇.网络系统集成技术与应用.北京：清华大学出版社，2000年. [4] 王竹林.网络组建与管理.北京：清华大学出版社，2000年. [5] 郭向勇.千兆位以太网组网技术.北京：电子工业出版社，2002年. [6] 石硕．计算机组网技术.北京：机械工业出版社，2003年. [7] 毕学军.网络工程案例集锦.北京：北京希望电子出版社，2002年. [8] 赵腾任.网络工程与综合布线培训教程．北京：清华大学出版社，2003年. [9] 廖常武.网络组建.北京：清华大学出版社，2005年.

–21–

南洋大学校园网络规划方案

成绩评定表

报告成绩评阅表： 评分标准 成绩 总成绩 评阅意见 1报告结构（20%） 2方案内容（40%） 3排版格式（20%） 4标点错别字（20%） 5创新点（10%） 成员报告成绩表： 成员排序 姓名 学号 报告成绩（60%） 答辩成绩表

姓名 学号 答辩成绩（40%） 总成绩表

姓名 1（系数：1） 2（系数：0.9） 3（系数：0.8） 4（系数：0.7） 5（系数：0.6） –22–

南洋大学校园网络规划方案

学号 成绩 评阅教师： 日期：2014年7月21日

–23–

本文来源：https://www.bwwdw.com/article/69pr.html