高校校园网络规划与设计论文
目录
前言 (1)
第一章校园网络的需求分析 (2)
1.1校园背景 (2)
1.2网络设计要求 (2)
1.3需求分析 (2)
第二章网络拓扑结构设计 (5)
2.1 建筑分布 (5)
2.2信息点分布 (5)
2.3校园网络扩扑图 (7)
2.4网段及VLAN的划分 (7)
第三章硬件设备及线缆的选择 (9)
3.1各设备参数如下 (9)
3.2各设备数量 (17)
3.3校园网与Internet的互连 (18)
3.4远程访问服务 (18)
3.5各个子网的设计 (19)
第四章校园网络的逻辑结构设计 (21)
4.1主干网 (21)
4.2中心服务器 (22)
4.3 网络技术选型 (23)
4.4 内部路由协议比较 (27)
第五章服务器平台的设计 (30)
5.1 DNS域名系统 (30)
5.2 DHCP服务器 (31)
5.3 WWW和FTP服务器介绍 (32)
5.4 E-mail服务器 (33)
第六章心得体会 (34)
第一章校园网络的需求分析
1.1校园背景
江西理工大学是一所以理工为主,工学、理学、经济学、管理学、法学、文学、教育学、艺术学等八大学科协调发展,研究生教育与本科教育并举,面向全国招生和就业并有权接收华侨及港澳台学生的教学研究型大学;现有14个学院,18个科研院所,各类在校生4万余人,其中全日制在校生3万余人。在赣州有三个校区,校园网的中心机房设在校本部教学主楼的九楼,面积约150平方,在黄金校区正在建设一个灾备机房。
三个校区的学生人数分别为:校本部14000人,黄金校区13000人,西校区4000人。黄金校区还要建设教职工的周转房(1900套),各栋楼内的布线系统暂不考虑,校园网的出口有四个:中国电信500M,中国移动100M,中国联通100M,教育科研网500M,
1.2网络设计要求
1.所有信息点都有交换能力,万兆骨干,千兆桌面。
2.支持虚拟网划分,部门之间访问受控;
3.网络具备容错能力,并能进行良好的网络管理;
4.易于扩充和升级。
5. 有线无线一体化方案设计。
6. 分层设计:核心层、汇聚层、接入层。
学校仅有2个C类段地址,为218.87.136.1~218.87.137.255,教育科研网的IP地址:15个C类地址219.229.224.0~219.229.239.255学校内部主机可采用内网私有地址:172.16.0.0 到 172.31.255.255
1.3需求分析
根据学校目前的校园规模和未来的发展趋势,江西理工大学校园网的建设有如下的需求:
1.校园网需要连接校内的各个教学部门(教学楼、实验室、图书馆)中的PC。
2.
同时要求网络线缆必须连通每栋学生宿舍楼,并在每个寝室内装有一个宽带接口,以便为学生提供Internet的接入。
3.提供丰富的网络服务,实现广泛的软件、硬件资源共享,包括:
(1)提供基本的网络服务功能:如文件传输服务(FTP)、动态主机配置服务(DHCP)、电子邮件、远程登录、域名服务等。
(2)实现校内各个管理机构的办公自动化:提供学生信息的查询,提供教务数据的查询,提供各学科专业资料数据库服务。提供学校自己的管理信息系统(MIS)。
(3)提供网上图书馆功,图书查询功能等,使校图书馆成为信息化和数字化的图书馆。
(4)全校共享软硬件库服务,避免重复投资,发挥最大效益。
(5)经广域网接口,与Internet的互连,为国际间的信息交流和科研合作为学校快速获得最新教学成果及技术合作等创造良好的信息通路。
4.校园网对主机系统的主要要求:主机系统应采用国际上较新的主流技术,并具有良好的可扩展能力;主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;支持通用大型数据库,如SQL、Oracle 等;具有广泛的软件支持,软件兼容性好,并支持多种传输协议;能与Internet 互联,可提供互联网的应用,如WWW浏览服务、FTP 文件传输服务、E-mail 电子邮件服务;支持SNMP网络管理协议,具有良好的可管理性和可维护性;
校园网络系统设计方案应满足如下要求:网络方案应采用成熟的技术,并尽可能采用先进的技术;采用国际统一标准,以拥有广泛的支持厂商,最大限度的采用同一厂家的产品;方案应合理分配带宽,使用户不受网上“塞车”的影响;应充分考虑未来可能的应用,如桌面将承受大型应用软件和多媒体传输需求的压力;该网络方案要具有高扩展性。能为用户未来数目的扩展具有调整、扩充的手段和方法;该网络应是面向连接的,能够实现虚拟网(VLAN)连接;考虑对用户现有网络的平滑过度,使学校现有陈旧设备尽量保持较好的利用价值;
校园网对网络设备的要求:高性能;所有网络设备都应有足够的吞吐量;高可靠性和高可用性;应考虑多种容错技术;可管理性;所有网络设备均可用适当的网管软件进行监控、管理和设置;采用国际统一的标准;
系统集成所共同遵循的设计原则:本着实用的原则,尽量使用成熟先进的平台软件,以缩短教学课件的开发周期;采用分布式的结构,以便于开发和维护;采用集群解决方案,以保证连续工作;为保证网络速度而采用高的带宽;追求最高的性能价格比。系统集成所共同追求的设计目标:建成一个具有高可靠性和开放性的校园网络,它应支持流行的SNMP 等网络管理协议;采用Internet 上的标准协--TCP/IP 协议,提供校园内部及面向全球的WWW服务、FTP 服务、DNS 服务、DHCP服务、NEWS 服务、电子邮件服务,实现与国际互联网的完全接轨;同时它还应具有支持通用大型数据库的功能,支持多种协议,具有良好的软件支持;采用模块化结构设计,容易升级;最后,它还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。
第二章网络拓扑结构设计
2.1 建筑分布
根据校园的实际布局情况,各栋建筑物距离教学主楼(教学主楼为信息交换中心即网络中心)的实际分别如下:
1)本部:(1)主教;(2)二教;(3)三教;(4)男生宿舍;(5)女生宿舍;(6)荟莘园;(7)幸福餐厅;(8)图书馆;(9)办公楼(10)实验室;(11)图书馆(12)书香阁。
2)、黄金校区:(1)研究生大楼;(2)三本大楼;(3)稀土大楼;(4)男生宿舍;(5)女生宿舍;(6)图书馆;(7)食堂。
3)、西校区:(1)教学楼;(2)办公楼;(3)食堂;(4)男生宿舍;(5)女生宿舍。
2.2信息点分布
根据各栋建筑物对网络的需求不同,现将各栋建筑物的信息节点需求及分配规划如下:
1)、校园网的信息交换中心(网络管理中心)设在主楼。
2)、图书馆,二栋教学楼,三栋教学楼,学生宿舍,教师宿舍,食堂以及体育馆等信息节点分布在信息交换中心的周围。
其中主楼是信息交换中心、网络管理中心,是整个网络的核心所在地,同时也是广域网以及Internet的接口。因此配线间也设置在主楼.下面给出各个建筑物的信息节点:
建筑物名称信息节点个数
主教楼200
二教楼100
三教楼100
图书馆200
食堂30
各学生宿舍100×10 体育馆 5
各学院楼200×5 行政楼100
西校区400
应科院1000
信息点总数4135
2.3校园网络扩扑图
江西理工大学网络扩扑图
2.4网段及VLAN的划分
表是校园网网段及VLAN划分表建筑物所属VLAN IP地址
办公楼VLAN101 172.16.0.0/24
VLAN102 172.16.0.0/24 学生宿舍VLAN201 172.16.1.0/24
VLAN202172.16.2.0/24 VLAN203172.16.3.0/24 VLAN204 172.16.4.0/24
实验室VLAN205
VLAN305 172.16.5.0/22 172.16.6.0/24
主教VLAN206
VLAN306 172.16.7.0/24 172.16.8.0/24
二教VLAN207 218.87.136.1/24—
218.87.137.255 三教VLAN208 172.16.9.0/24
图书馆VLAN209 172.16.10.0/24
书香阁VLAN210 172.16.11.0/24
荟莘园VLAN211 172.16.12.0/24
幸福餐厅VLAN212 172.16.13.0/24
西校区Vlan301 172.16.14.0/24~172.16.
16.0/24
应科院Vlan401 172.16.17.0/24~172.16.
19.0/24
食堂与一卡通中
心
Vlan501 172.16.20.0/24
第三章硬件设备及线缆的选择
3.1、各设备参数如下:
采用万兆骨干网络,千兆桌面的设计方案,核心层交换机选用H3C S9508E-V 路由交换机,此交换机采用模块化设计,能够方便的增加功能模块来满足功能需要,便于将来的功能扩展,其主要参数如下:
H3C S9508E-V详细参数
主要参数产品类型:路由交换机
应用层级:三层
传输速率:10/100/1000/10000Mbps 交换方式:存储-转发
背板带宽:4.8Tbps
包转发率:576Mpps/960Mpps
端口参数端口结构:模块化
扩展模块:2个主控板槽位数+8个业务板槽位数传输模式:全双工/半双工自适应
功能特性
网络标准:
IEEE 802.1Q,IEEE 802.1d,IEEE 802.1ad,IEEE 802.3x,IEEE 802.3ad,IEEE 802.3,IEEE 802.3z,IEEE 802.3ae,IEEE 802.3af,IEEE 802.17,IEEE 802.1P
QOS :
支持Diff-Serv QoS
支持SP/SDWRR等队列调度机制
支持精细化的流量监管,粒度可达1Kbps
支持流量整形
支持拥塞避免
支持优先级标记Mark/Remark
支持802.1p、TOS、DSCP、EXP优先级映射
支持VOQ
组播管理:
支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP 等路由协议
支持IGMP V1/V2/V3、IGMP V1/V2/V3 Snooping
支持PIM6-DM、PIM6-SM、PIM6-SSM
支持MLD V1/V2、MLD V1/V2 Snooping
支持组播策略和组播QoS、支持组播ARP
支持双向PIM
网络管理:
支持Console/AUX Modem/Telnet/SSH2.命令行配置
支持FTP、TFTP、Xmodem、SFTP文件上下载管理
支持SNMP V1/V2c/V3
支持RMON,支持1、2、3、9组
支持NTP时钟
支持NQA
支持故障后报警和自恢复
支持系统工作日志
安全管理:
支持用户分级管理和口令保护
支持SSHv2,为用户登录提供安全加密通道
支持可控IP地址的FTP登录和口令机制
支持标准和扩展ACL,可以对报文进行过滤,防止网络攻击
支持防止ARP、未知组播报文、广播报文、未知单播报文、本机网段路由扫描报文、TTL=1报文、协议报文等攻击功能支持MAC地址限制、IP+MAC绑定功能
支持uRPF技术,防止基于源地址欺骗的网络攻击行为
支持ND防攻击
支持Portal认证、支持Radius
支持VRRP、OSPF、RIPv2及BGP4报文的明文及MD5密文认证
支持安全网管SNMPv3、SSHv2
支持广播报文抑制
支持主备数据备份机制
支持防火墙、IPS等安全插卡
汇聚层交换机选用H3C S5500-28C-SI千兆交换机,能够满足千兆到桌面的
要求,其主要参数如下:
主要参数产品类型:千兆以太网交换机传输速率:10/100/1000Mbps 交换方式:存储-转发
背板带宽:128Gbps
包转发率:96Mpps
MAC地址表:16K
端口参数
端口结构:非模块化
端口数量:28个
端口描述:24个10/100/1000Base-T以太网端口,4个复用的1000Base-X千兆SFP端口
扩展模块:2个扩展插槽
传输模式:支持全双工
功能特性堆叠功能:可堆叠
VLAN :
支持基于端口的VLAN(4K个)支持基于MAC的VLAN
基于协议的VLAN
支持QinQ,灵活QinQ
支持VLAN Mapping
支持V oice VLAN
支持GVRP
QOS :
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
支持CAR(Committed Access Rate)功能
每个端口支持8个输出队列
支持端口队列调度
支持报文的802.1p和DSCP优先级重新标记
组播管理:
支持IGMP Snooping/MLD Snooping
支持组播VLAN
支持未知组播丢弃
网络管理:
支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telnet,Console口进行配置
支持SNMPv1/v2/v3,WEB网管
支持RMON(Remote Monitoring)告警、事件、历史记录
支持iMC智能管理中心
支持系统日志,分级告警,调试信息输出
支持HGMPv2
支持NTP
支持电源的告警功能,风扇、温度告警
支持Ping、Tracert
支持VCT(Virtual Cable Test)电缆检测功能
支持DLDP(Device Link Detection Protocol)单向链路检测协议
支持Loopback-detection 端口环回检测
安全管理:
支持用户分级管理和口令保护
支持802.1X认证/集中式MAC地址认证
支持Guest VLAN
支持RADIUS认证
支持SSH 2.0
支持端口隔离
支持端口安全
支持EAD
接入层交换机选用H3C S3600V2-28TP-SI,可以提供千兆接入功能,其参数如下:
主要参数产品类型:快速以太网交换机应用层级:三层
传输速率:10/100Mbps
交换方式:存储-转发
背板带宽:64Gbps
包转发率:9.6Mpps
端口参数
端口结构:非模块化
端口数量:28个
端口描述:24个100Mbps端口,2个1000Mbps SFP Combo 端口,2个1000Mbps SFP端口
控制端口:1个Console口
传输模式:全双工
VLAN :
功能特性
支持基于端口的VLAN(4K个)
支持基于协议的VLAN
支持基于MAC的VLAN
支持V oice VLAN
支持Super VLAN
支持PVLAN
支持GVRP
支持VLAN VPN(QinQ),灵活QinQ
QOS :
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文的802.1p和DSCP优先级重新标记
支持报文重定向
支持CAR功能
支持8个端口输出队列
支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR等模式
组播管理:
支持IGMP Snooping v1/v2/v3,MLD Snooping v1/v2
支持组播VLAN
网络管理:
用户分级管理和口令保护
支持IEEE 802.1X认证/集中式MAC地址认证
支持二层Portal认证/triple认证
支持AAA&RADIUS认证
支持MAC地址学习数目限制
支持MAC地址与端口、IP的绑定
支持SSH2.0
支持防止DoS攻击功能
支持ARP入侵检测功能
支持端口隔离
支持MAC地址黑洞
安全管理:
支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI)、Telnet、Console口进行配置
支持SNMPV1/V2/V3、WEB网管
支持RMON 1,2,3,9组MIB
支持IMC智能管理中心
支持HGMPv2集群管理
支持系统日志、分级告警、调试信息输出
支持PING、Tracert
支持上电POST、风扇堵转、PoE设备过热等情况的检测与告警
支持VCT(Virtual Cable Test)电缆检测功能
支持DLDP(Device Link Detection Protocol,设备连接检测协议)
支持端口环回检测
支持IPv6 host功能族,实现IPv6管理
防火墙选用H3C SecPath U200-CS-AC,其参数如下:
主要参数
设备类型企业级防火墙纠错
网络端口1个配置口(CON);5GE;1个mini插槽,可通过该插槽扩展网络接口;外置一个CF扩展槽(选配)
控制端口console
VPN支持支持
入侵检测Dos,DDoS
管理支持标准网管SNMPv3,并且兼容SNMP v2c、SNMP v1,支持NTP时间同步,支持Web方式进行远程配置管理,支持
SNMP/TR-069网管协议,支持H3C SecCenter安全管理中心进行设备
管理
安全标准FCC,CE
路由器选用H3C MSR56-60,其主要参数如下:
基本参数路由器类型:企业级路由器
端口结构:模块化
其它端口:2个USB2.0端口
1个CON
1个AUX
1个CON(Mini-USB Type AB)
扩展模块:6个HMIM插槽+1个DHMIM+2个VPM
无线AP选用H3C WA2620i-AGN,其主要参数如下:
产品类型:无线AP
网络标准:
IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11n
最高传输速率:300Mbps
频率范围:双频(2.4GHz,5GHz)
调制方式:
OFDM:BPSK@6/9Mbps、QPSK@12/18Mbps、
主要参数16-QAM@24Mbps、64-QAM@48/54Mbps
DSSS:DBPSK@1Mbps、DQPSK@2Mbps、CCK@5.5/11Mbps MIMO-OFDM:MCS 0-15
网络接口:1个10/100/1000Mbps接口纠错
其它接口:1个Console接口
天线天线类型:内置天线天线数量:4根
天线增益:4dBi
服务器选用联想,该设备属于企业级服务器,功能全面,性能强大,设备详细参数如下:产品类别:机架式。产品类型:企业级。CPU型号:Xeon E5620 2.4GHz。标配CPU数量:2颗。内存容量:12GB DDR3。标配硬盘容量:584GB。内部硬盘架数:最大支持16块SAS/SATA(SFF)硬盘。网络控制器:2个NC382i 双端口千兆网卡。电源类型:热插拔电源。产品结构:2U。RAID模式:1个集成的智能阵列P410i,256M。扩展槽:最多6个。
3.2、各设备数量
名称型号数量
路由器H3C MSR56-60 1
防火墙H3C SecPath U200-CS-AC 1 核心层交换机H3C S9508E-V 2
汇聚层交换机华为S3528 10
接入层交换机华为S3026 23 无线AP H3C WA2620i-AGN 23
3.3校园网与Internet的互连
Internet的连接技术主要有两种:拨号连接和专线连接。
1.拨号连接:对于传输量不是很大的情况,可以采用拨号方式入网,通过SLIP/PPP实现与专线入网方式完全相同的功能。拨号连接适合于个人和小型的单位使用。用户通过调制解调器(Modem)与ISP的访问服务器或终端服务器相连,并通过ISP来实现与Internet连接。
2.专线连接:这种方式适合于使用人数多、数据通信量比较大的情况,比如校园网和大中型企事业单位。通过专线连接入网的用户,其计算机系统成为Internet的一部分,有自己的IP地址,在网络上与其他Internet主机的地位平等,可以使用和实现Internet的所有功能。相应地,用户与ISP之间维护连接的费用和复杂程度也大大提高了。
对于专线连接,用户需要以下设备.
路由器:用来在用户所在网络与Internet之间传输信息。数据通信专线:提供用户至ISP之间的通信信道。
服务器:用于处理IP地址分配和域名解析等,提供Internet服务。
对于本方案中我们采用局域网专线接入方式,此方式需要配备路由器等设备,租用专线DDN或帧中继(Frame Relay),也可申请ISDN专线并向CERNET 管理部门申请IP地址及注册域名,以专线方式连入Internet,并提供防火墙、计费管理等功能。本方案选用一台Cisco3640路由器,3640共有四个接口插槽,具有1个局域网(LAN),2个广域网(WAN)和1个控制台(AUX)接口。支持帧中继(Frame-Relay)、X.25、PPP、HDLC等广域网协议。同时考虑到Internet 外部入侵和拨号用户的非法登陆等不安全因素,此路由器支持防火墙功能。
3.4远程访问服务
远程访问服务(Remote Access Servicers,RAS)提供了经由调制解调器,I S D N连接器,和 X . 2 5数字广域网登录到局域网和广域网的能力.它可以满足正