校園網(wǎng)絡規(guī)劃畢業(yè)論文

1、<p><b>　　摘要</b></p><p>　　隨著學校教育手段的現(xiàn)代化，很多學校已經逐漸開始將學校的管理和教學過程向電子化方向發(fā)展，校園網(wǎng)的有無以及水平的高低也將成為評價學校及學生選擇學校的新的標準之一，此時，校園網(wǎng)上的應用系統(tǒng)就顯得尤為重要。一方面，學生可以通過它在促進學習的同時掌握豐富的計算機及網(wǎng)絡信息知識，毫無疑問，這是學生綜合素質中極為重要的一部分；另一方面，基于先

2、進的網(wǎng)絡平臺和其上的應用系統(tǒng)，將極大的促進學校教育的現(xiàn)代化進程，實現(xiàn)高水平的教學和管理。</p><p>　　學校目前正加緊對信息化教育的規(guī)劃和建設。開展的校園網(wǎng)絡建設，旨在推動學校信息化建設，其最終建設目標是將建設成為一個借助信息化教育和管理手段的高水平的智能化、數(shù)字化的教學園區(qū)網(wǎng)絡，最終完成統(tǒng)一軟件資源平臺的構建，實現(xiàn)統(tǒng)一網(wǎng)絡管理、統(tǒng)一軟件資源系統(tǒng)，并保證將來可擴展骨干網(wǎng)絡節(jié)點互聯(lián)帶寬為10G，為用戶提供高速

3、接入網(wǎng)絡，并實現(xiàn)網(wǎng)絡遠程教學、在線服務、教育資源共享等各種應用；利用現(xiàn)代信息技術從事管理、教學和科學研究等工作。最終達到在網(wǎng)絡方面，更好的對眾多網(wǎng)絡使用及數(shù)據(jù)資源的</p><p>　　全控制，同時具有高性能，高效率，高服務。</p><p>　　河北北方學院位于河北省張家口市宣化區(qū)，總占地410畝，分東、西兩個校區(qū)辦學。校園內綠樹成蔭，硬件完備，設施一流，建筑面積19.3萬平米，運動場地

4、6萬平米。近十年來，學院斥巨資興建17棟高標準建筑，使學院擁有了綜合教學樓、科技樓、藝術樓、圖書館、餐廳、專家樓、學生宿舍樓等可容納7000名學生的教學生活場所。2萬平米的綜合教學樓內，擁有多媒體設備的專業(yè)教室、公共教室、報告廳多間，可供數(shù)千人同時進行學術文化交流；科技樓分布著模擬電路實驗室、電子電路實驗室、高配置專業(yè)機房、多媒體實驗室、微機組裝實驗室等，為理工課程教學提供了實訓場所；省內一流的藝術教學樓內，合唱排練廳、演奏省內一流的藝

5、術教學樓內，合唱排練廳、演奏排練廳、舞蹈排練廳、演播廳、美術畫室、美術作品展覽廳，為藝術教學提供了優(yōu)越的教學環(huán)境；180架鋼琴等充足的硬件設備為音、美、幼等專業(yè)訓練提供了優(yōu)越的條件；圖書館藏書80萬冊（電子圖書50萬冊），雜志300余種，閱覽室、資料室、電子閱覽室能充分滿足師生萬冊（電子圖書50萬冊），雜志300余種，閱覽室、資料室、電子閱覽室能充分滿足師生的借閱要求。 </p><p>　　學院設有中文、數(shù)學、

6、外語、信息技術、工程技術、學前教育、音樂、體育、美術、基礎教育部等10個專業(yè)系部。開設語文教育、漢語、數(shù)學教育、會計電算化、英語教育、應用英語、計算機網(wǎng)絡技術、計算機應用技術，建筑工程技術、電子信息工程技術、學前教育、心理咨詢、音樂、美術、藝術設計、體育服務與管理等20多個專業(yè)。的借閱要求。 </p><p>　　學院設有中文、數(shù)學、外語、信息技術、工程技術、學前教育、音樂、體育、美術、基礎教育部等10個專業(yè)系部

7、。開設語文教育、漢語、數(shù)學教育、會計電算化、英語教育、應用英語、計算機網(wǎng)絡技術、計算機應用技術，建筑工程技術、電子信息工程技術、學前教育、心理咨詢、音樂、美術、藝術設計、體育服務與管理等20多個專業(yè)。學院師資力量雄厚，專任教師420人，副高級以上職稱180人。近年來學院在科研方面取得了突出成績:獲省級以上教學成果獎11項，在省級以上刊物發(fā)表論文600多篇，公開出版著作20部，承擔國家、省、市教育研究課題40項。 </p>

8、<p>　　2004年7月經河北省人民政府批復，張家口市委、張家口學院師資力量雄厚，專任教師420人，副高級以上職稱180人。近年來學院在科研方面取得了突出成績:獲省級以上教學成果獎11項，在省級以上刊物發(fā)表論文600多篇，公開出版著作20部，承擔國家、省、市教育研究課題40項。 </p><p>　　2004年7月經河北省人民政府批復，張家口市委、張家口市人民政府批準決定由原張家口教育學院張北分校、柴

9、溝堡分校、宣化分校、宣化區(qū)職教中心四校合并，新校名為張家口教育學院宣化分校。2007年6月6日經河北省人民政府批準，正式升格為獨立建制的宣化科技職業(yè)學院。學校分東、西兩個校區(qū)，西校區(qū)位于宣化區(qū)皇城橋北地院巷1號，東校區(qū)位于宣化區(qū)師范街37號，總占地417.5畝(東校區(qū)137.5畝、西校區(qū)280畝)，建筑面積13.7萬m2。目前學校擁有教職工617人，在校生4500人（大專生2300人、中專生1550人、高中生650人）。 </p&

10、gt;<p>　　設備設施：擁有兩個田徑場，運動面積6萬平米；理化生實驗室13個、多媒體教室6個、語音教室4個；教學及管理用計算機600臺；鋼琴150架；圖書館藏書27萬冊市人民政府批準決定由原張家口教育學院張北分校、柴溝堡分校、宣化分校、宣化區(qū)職教中心四校合并，新校名為張家口教育學院宣化分校。2007年6月6日經河北省人民政府批準，正式升格為獨立建制的宣化科技職業(yè)學院。學校分東、西兩個校區(qū)，西校區(qū)位于宣化區(qū)皇城橋北地院巷

11、1號，東校區(qū)位于宣化區(qū)師范街37號，總占地417.5畝(東校區(qū)137.5畝、西校區(qū)280畝)，建筑面積13.7萬m2。目前學校擁有教職工617人，在校生4500人（大專生2300人、中專生1550人、高中生650人）。 </p><p>　　設備設施：擁有兩個田徑場，運動面積6萬平米；理化生實驗室13個、多媒體教室6個、語音教室4個；教學及管理用計算機600臺；鋼琴150架；圖書館藏書27萬冊，各種期刊300余種

12、。學校固定資產12155萬元。 </p><p>　　機構設置：校黨委成員、校級領導9名，中層干部83人，中層助理14人。設黨委辦公室、校長辦公室、干部人事處、教務處、學生工作處、招生就業(yè)處、后勤管理處、安全保衛(wèi)處、東校區(qū)管理辦公室、紀檢監(jiān)察室、工會、團委12個黨群、行政處室和教育科學研究室、教育技術中心、師資培訓處、圖書館4個教輔機構。 </p><p>　　設有中文系、數(shù)學系、信息技術

13、系、外語系、音樂系、美術系、體育系、學前教育系、基礎教學部、職業(yè)教育部10個專業(yè)系部和附屬高中一所。 </p><p>　　專業(yè)設置：開設語文教育、英語教育、數(shù)學教育、計算機教育、音樂教育、美術教育、體育教育、學前教育、現(xiàn)代教育技術9個師范專業(yè)及新聞采編與制作、商務英語、應用英語、計算機網(wǎng)絡技術、計算機應用技術、藝術設計、社會體育、會計與審計8個非師范類專業(yè)；學制有高招三年制大專、師范類二年制對口升學大專、中招五

14、年制大專、中招三年制普通中專、職業(yè)中專、普通高中等。 </p><p>　　師資隊伍：439名專任教師均為本科以上學歷，其中碩士研究生17人，在讀研究生20人，取得研究生課程結業(yè)證書78人。其中教授1人，副教授7人，高級講師137人。幾年來，我校教師獲得省級教學成果獎5項，在省級以上專業(yè)刊物發(fā)表論文500篇，出版著作20部，取得市級以上教學科研成果獎10項，有24名教師承擔了國家、省、市級教育研究課題7個。<

15、;/p><p>　　，各種期刊300余種。學校固定資產12155萬元。 </p><p>　　機構設置：校黨委成員、校級領導9名，中層干部83人，中層助理14人。設黨委辦公室、校長辦公室、干部人事處、教務處、學生工作處、招生就業(yè)處、后勤管理處、安全保衛(wèi)處、東校區(qū)管理辦公室、紀檢監(jiān)察室、工會、團委12個黨群、行政處室和教育科學研究室、教育技術中心、師資培訓處、圖書館4個教輔機構。 </p&

16、gt;<p>　　設有中文系、數(shù)學系、信息技術系、外語系、音樂系、美術系、體育系、學前教育系、基礎教學部、職業(yè)教育部10個專業(yè)系部和附屬高中一所。 </p><p>　　專業(yè)設置：開設語文教育、英語教育、數(shù)學教育、計算機教育、音樂教育、美術教育、體育教育、學前教育、現(xiàn)代教育技術9個師范專業(yè)及新聞采編與制作、商務英語、應用英語、計算機網(wǎng)絡技術、計算機應用技術、藝術設計、社會體育、會計與審計8個非師范類

17、專業(yè)；學制有高招三年制大專、師范類二年制對口升學大專、中招五年制大專、中招三年制普通中專、職業(yè)中專、普通高中等。 </p><p>　　師資隊伍：439名專任教師均為本科以上學歷，其中碩士研究生17人，在讀研究生20人，取得研究生課程結業(yè)證書78人。其中教授1人，副教授7人，高級講師137人。幾年來，我校教師獲得省級教學成果獎5項，在省級以上專業(yè)刊物發(fā)表論文500篇，出版著作20部，取得市級以上教學科研成果獎10

18、項，有24名教師承擔了國家、省、市級教育研究課題7個。</p><p>　　關鍵詞：校園網(wǎng)絡規(guī)劃 數(shù)據(jù)資源安全控制 網(wǎng)絡設備管目錄</p><p><b>　　目錄</b></p><p>　　第一章 概況及需求分析1</p><p><b>　　1.1需求分析1</b></p

19、><p>　　第二章 拓撲設計及原則3</p><p><b>　　2.1拓撲設計3</b></p><p><b>　　2.2設計原則3</b></p><p>　　第三章網(wǎng)絡方案設計6</p><p>　　3.1網(wǎng)絡結構分析6</p><p>

20、;　　3.2網(wǎng)絡架構設計8</p><p>　　第四章設備選型10</p><p>　　4.1路由器的選擇10</p><p>　　4.2交換機的選擇12</p><p>　　第五章vlan及ip地址規(guī)劃20</p><p>　　5.1 VLAN 規(guī)劃20</p><p>　　5.2

21、防火墻 路由器 服務器20</p><p>　　5.3多層交換機22</p><p>　　第六章 應用系統(tǒng)的規(guī)劃24</p><p>　　第七章 網(wǎng)絡安全的全局規(guī)劃25</p><p>　　7.1接入安全25</p><p>　　7.2訪問安全25</p><p><b>

22、　　參考文獻28</b></p><p>　　第一章 概況及需求分析</p><p><b>　　1.1需求分析</b></p><p>　　1.1.1用戶需求分析</p><p>　　在校園網(wǎng)絡建設中存在多用戶,多服務的現(xiàn)狀。帶來了對網(wǎng)絡系統(tǒng)要求具有高效率等，以保證大數(shù)據(jù)量訪問下有效的處理能力。針對需求設

23、備要能對數(shù)據(jù)做到分布式處理，這樣的分布式處理可以節(jié)省主交換引擎的消耗。使數(shù)據(jù)在獨立的板卡上就能做出對數(shù)據(jù)的識別，這樣比在中央處理器識別要快的多。并在大量的數(shù)據(jù)應用，數(shù)據(jù)傳輸?shù)倪^程中，要保證所有硬件設備都可以進行快速的轉發(fā)，要具備高背板帶寬（交換容量），所有端口都能保證線速轉發(fā)。這種分布式處理可以極大地提高整體處理能力，保證了網(wǎng)絡暢通。</p><p>　　在的網(wǎng)絡環(huán)境中穩(wěn)定可靠是爭相談論的話題，因現(xiàn)在在網(wǎng)絡中運行

24、了眾多重要應用及服務，是要保證7*24小時不間斷的服務。就要完全能保證網(wǎng)絡設備全天后的可用性。即使在設備出現(xiàn)問題時切換到備用設備的過程中，也要保證較小的延遲，以滿足網(wǎng)絡應用中的有效暢通的需要。在這樣的需求中利用，冗余的管理交換引擎、冗余的電源等關鍵部件的冗余，支持（802.1D、802.1W）802.1S多Vlan生成樹協(xié)議保證鏈路級的冗余和負載均衡，支持VRRP、OSPF等三層路由協(xié)議保證路由級的冗余，支持load balancing

25、技術實現(xiàn)了應用級的冗余備份和負載均衡。全方位的完全保證了設備、網(wǎng)絡、應用系統(tǒng)的可靠性。</p><p>　　1.1.2校園網(wǎng)建設的具體需求：</p><p>　?。?）、為學院采用1000M做骨干，100M到桌面。</p><p>　?。?）、校園網(wǎng)內具有WWW服務器、FTP服務器、DNS服務器、VOD點播服務器、辦公OA服務器、設有基于SAN架構的磁盤陣列用于數(shù)據(jù)

26、存儲、用于提供一些培訓中常用的資料下載，網(wǎng)絡管理等。</p><p>　?。?）、學校采用基于SQL server2000 數(shù)據(jù)庫做開發(fā)平臺。</p><p>　?。?）、校園網(wǎng)采用路由器+防火墻結構進行接入，網(wǎng)絡互聯(lián)設備(交換機、路由器、線纜、及其他設置)。</p><p>　?。?）、所有實驗室各自劃分VLAN，各系辦公室各自劃分VLAN，行政辦公室為一個VLA

27、N，教室為一個VLAN，服務器組為一個VLAN。</p><p>　?。?）、做好路由器與防火墻之間的安全通信工作，防止搭線竊聽，IP盜用。</p><p>　?。?）、交換機的要求：所有的交換機均屏蔽echo協(xié)議，屏蔽135、136、137、138、139、389、445、4444常用端口，屏蔽TFTP協(xié)議。</p><p>　?。?）、所有實驗室各自劃分VLAN

28、之間不能互訪，不能訪問其他區(qū)域，只能上網(wǎng)。</p><p>　?。?）、各系辦公室自劃分VLAN之間不能互訪，不能訪問行政辦公VLAN，能上網(wǎng)，可以訪問教室的VLAN。</p><p>　?。?0）、網(wǎng)絡中心設在實訓樓的321和教學樓的321, 實訓樓與教學樓相距100米，兩樓用光纖連接。</p><p>　　（11）、選擇客戶機ＴＣＰ／ＩＰ配置的最佳方案，以最大限

29、度的減少ＩＰ地址的沖突和管理員的工作量，采用192.168.0.0的內部IP地址分配。</p><p>　　第二章 拓撲設計及原則</p><p><b>　　2.1拓撲設計</b></p><p>　　局域網(wǎng)采用星型網(wǎng)絡拓樸結構，星型拓樸結構為現(xiàn)在較為流行的一種網(wǎng)絡結構，它是以一臺中心處理機（通信設備）為主而構成的網(wǎng)絡，其它入網(wǎng)機器僅與該中心

30、處理機之間有直接的物理鏈路，中心處理機采用分時或輪詢的方法為入網(wǎng)機器服務，所有的數(shù)據(jù)必須經過中心處理機。由于所有節(jié)點的往外傳輸都必須經過中央節(jié)點來處理，因此，對中央節(jié)點的要求比較高。</p><p>　　優(yōu)點是網(wǎng)絡結構簡單，易于維護，便于管理（集中式）；每臺入網(wǎng)機均需物理線路與處理機互連，線路利用率低；處理機負載重（需處理所有的服務），因為任何兩臺入網(wǎng)機之間交換信息，都必須通過中心處理機；入網(wǎng)主機故障不影響整個網(wǎng)

31、絡的正常工作。對該網(wǎng)絡支持的設備生產廠商有較好的技術支持。</p><p>　　局域網(wǎng)內的所有工作節(jié)點通過雙絞線與交換機相連形成一個星型網(wǎng)絡。辦公電腦建議采用品牌的商用機，商用機運行比較穩(wěn)定，而且比較耐用，運算速度較快，較適于開發(fā)使用。</p><p><b>　　2.2設計原則</b></p><p>　　校園網(wǎng)絡系統(tǒng)的建設在實用的前提下，應

32、當在投資保護及長遠性方面做適當考慮，在技術上、系統(tǒng)能力上要保持五年左右的先進性。并且從學校的利益出發(fā)，從技術上講應該采用標準、開放、可擴充的、能與其它廠商產品配套使用的設計。</p><p>　　根據(jù)校園網(wǎng)的總體需求，結合對應用系統(tǒng)的考慮，本次網(wǎng)絡建設的設計目標是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬兆骨干網(wǎng)絡平臺。</p><p>　　我們遵循以下的原則進行網(wǎng)絡設計：<

33、/p><p>　　2.2.1實用性和經濟性</p><p>　　網(wǎng)絡建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則，建設的萬兆骨干網(wǎng)絡平臺，保護用戶的投資。</p><p>　　2.2.2先進性和成熟性</p><p>　　網(wǎng)絡建設設計既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對成熟。不但能反映當今的先進水平，而且

34、具有發(fā)展?jié)摿?，能保證在未來若干年內占主導地位，保證貴校網(wǎng)絡建設的領先地位，采用萬兆以太網(wǎng)技術來構建網(wǎng)絡主干線路。</p><p>　　2.2.3可靠性和穩(wěn)定性</p><p>　　在考慮技術先進性和開放性的同時，還應從系統(tǒng)結構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及保修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間，銳捷網(wǎng)絡做為國內知名品牌，網(wǎng)絡領導廠商，其產

35、品的可靠性和穩(wěn)定性是一流的。</p><p>　　為了保證骨干網(wǎng)絡平臺的健壯性和鏈路冗余性，建議網(wǎng)絡實施時在學校啟用千兆備份線路。在學校啟用物理鏈路冗余機制，保證任何一條線路出現(xiàn)故障后骨干網(wǎng)絡平臺的可用性。</p><p>　　2.2.4安全性和保密性</p><p>　　在網(wǎng)絡設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用

36、和不同的網(wǎng)絡通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權限控制等，銳捷網(wǎng)絡充分考慮安全性，針對的各種應用，有多種的保護機制，如劃分VLAN、IP/MAC地址綁定（過濾）、ACL、路由過濾、防DDoS拒絕服務攻擊、防IP掃描、802.1x認證機制、SSH加密連接等具體技術提升整個網(wǎng)絡的安全性。</p><p>　　2.2.5可擴展性和可管理性&l

37、t;/p><p>　　由于信息技術和人們對于新技術的需求發(fā)展都非常迅速，為了避免不必要的重復投資，我們必須選擇具有一定擴展能力的設備，能夠保證在網(wǎng)絡規(guī)模逐漸擴大的時候，不需要增加新的設備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡技術進一步發(fā)展，現(xiàn)有模塊不支持新技術的情況下，只需要更換相應模塊，而不需要更換整個設備。</p><p>　　為了適應網(wǎng)絡結構變化的要求，必須充分考慮以最簡便

38、的方法、最低的投資，實現(xiàn)系統(tǒng)的擴展和維護。為了便于擴展，對于核心設備必須采用模塊化高密度端口的設備，便于將來升級和擴展。</p><p>　　先進的設備必須配合先進的管理和維護方法，才能夠發(fā)揮最大的作用。全線采用基于SNMP標準的可網(wǎng)管產品，達到全程網(wǎng)管，降低了人力資源的費用，提高網(wǎng)絡的易用性、可管理性，同時又具有很好的可擴充性。</p><p>　　第三章 網(wǎng)絡方案設計</p&g

39、t;<p><b>　　3.1網(wǎng)絡結構分析</b></p><p><b>　　3.1.1骨干層</b></p><p>　　網(wǎng)絡中心節(jié)點及其它核心節(jié)點作為校園網(wǎng)絡系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當網(wǎng)絡流量較大時，對關鍵業(yè)務的服務質量提供保障。另外作為整個網(wǎng)絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行

40、。</p><p>　　因此在網(wǎng)絡中心的設備選型和結構設計上必須考慮整體網(wǎng)絡的高性能和高可靠性。具體來說核心節(jié)點的交換機有兩個基本要求：1）高密度端口情況下，還能保持各端口的線速轉發(fā)；2）關鍵模塊必須冗余，如管理引擎、電源、風扇?！　∮捎谛@網(wǎng)建設最終必將采用萬兆技術，因此需要考慮到核心設備對萬兆的支持能力。</p><p>　　綜上所述，主干核心交換機屬于高端系列的產品，所以在本方案中

41、，核心交換機建議采用多業(yè)務萬兆核心路由交換機?？梢愿鶕?jù)用戶的需求靈活配置，靈活構建彈性可擴展的網(wǎng)絡。多業(yè)務萬兆核心路由交換機高背板帶寬和二/三層包轉發(fā)速率可為用戶提供高速無阻塞的交換，強大的交換路由功能、安全智能技術可為用戶提供完整的端到端解決方案，是大型網(wǎng)絡核心骨干交換機的理想選擇。</p><p>　　RG-S68100E是銳捷網(wǎng)絡推出的基于NP+ASIC構架的新一代多業(yè)務萬兆核心路由交換機，RG-S6800

42、E在保障高性能大容量的基礎上提供強大的安全防護能力，并且擁有業(yè)務按需疊加擴展能力，達到業(yè)務和性能并重的設計需求。目前提供10豎插槽設計和6橫插槽設計兩種主機：RG-S6810E和RG-S6806E。</p><p>　　RG-S6800E系列多業(yè)務萬兆核心路由交換機提供2.4T/1.2T背板帶寬，并支持將來擴展到4.8T/2.4T的能力，高達857Mpps/428Mpps的二/三層包轉發(fā)速率可為用戶提供高速無阻塞

43、的數(shù)據(jù)交換，強大的交換路由功能、安全智能技術可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡核心骨干和大流量節(jié)點交換機的理想選擇。</p><p>　　RG-S6800E交換機通過先進的第三代高性能引擎可硬件支持策略路由、IPV6等協(xié)議，并可擴展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等豐富的業(yè)務功能，滿足客戶環(huán)

44、境靈活而復雜的不同應用需求。</p><p>　　在此方案中，校區(qū)網(wǎng)絡中心采用RG-S6810E多業(yè)務萬兆核心路由交換機作為核心交換機。核心層交換機跟匯聚接入層交換機之間的千兆鏈路可以捆綁，從而實現(xiàn)帶寬的靈活擴展。</p><p><b>　　3.1.2接入層</b></p><p>　　接入層網(wǎng)絡由樓棟交換節(jié)點和樓層交換節(jié)點組成，接入層網(wǎng)絡應

45、該可以滿足各種客戶的接入需要，而且能夠實現(xiàn)客戶化的接入策略，業(yè)務QOS保證，用戶接入訪問控制等等。</p><p>　　樓層交換節(jié)點采用千兆智能堆疊交換機，提供智能的流分類和完善的QoS特征。為各類型網(wǎng)絡提供完善的端到端的服務質量、豐富的安全設置和基于策略的網(wǎng)管，最大化滿足高速、融合、安全的園區(qū)網(wǎng)新需求；本方案中各接入層交換機通過千兆鏈路上聯(lián)到各匯聚層設備，對下聯(lián)的桌面設備提供全雙工的百兆連接，為各類用戶提供無阻

46、塞的交換性能?！?lt;/p><p><b>　　3.1.3出口</b></p><p>　　因為校園網(wǎng)出口采用以太網(wǎng)，所以采用路由器 + 防火墻的方式，起到如下作用：</p><p>　　防火墻提供強有力的服務器、內網(wǎng)安全保護、提供IDS等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強，具有強大的NAT功能。</p><p&

47、gt;<b>　　3.2網(wǎng)絡架構設計</b></p><p>　　基于目前學校規(guī)模及發(fā)展的角度考慮，骨干網(wǎng)絡采用單核心雙引擎或雙核心單引擎的拓撲結構，保證核心的穩(wěn)定；在兩棟實訓樓采用萬兆的三層匯聚設備，實訓樓6506千兆連接接入交換機；服務器千兆接入到核心交換機上；百兆到桌面；</p><p>　　為了以后擴展的需要，所以采用RG-WALL 1000防火墻，并將校內的

48、對外服務器與防火墻的DMZ區(qū)相連，保證良好的安全性；同時雙核心時做VRRP，防火墻雙百兆連接核心，單百兆連接Internet；</p><p>　　出于管理和安全方面角度考慮，在全網(wǎng)可采用IP+MAC綁定方式，全網(wǎng)分布式采用ACL，并按照部門劃分VLAN，劃分相應的權限，保證學生機房用機對教學辦公網(wǎng)沒有訪問權限，只能訪問校內服務器及外網(wǎng)；IP分配：在辦公區(qū)采用靜態(tài)IP劃分，在學生區(qū)及移動性較大的辦公區(qū)可補充性采用

49、DHCP動態(tài)獲得IP地址。</p><p>　　按照核心的架構，才用單引擎單核心，采用單核心單引擎，核心和引擎之間做冗余備份。實訓樓的匯聚設備可采用雙鏈路連接核心設備，作鏈路的冗余備份，如果其中任何一條鏈路出現(xiàn)故障，所有數(shù)據(jù)會切換到另外的鏈路上，保證校園網(wǎng)的暢通。</p><p>　　網(wǎng)絡拓撲結構如下圖：</p><p><b>　　3.3擴展的考慮<

50、;/b></p><p>　　備份線路帶寬擴展：在未來升級考慮中，可將核心與匯聚間千兆備份線路帶寬升級至10G帶寬，以提高備份線路的連接帶寬。</p><p>　　實訓樓交換機可擴充為96個千兆口，擁有很強的接入擴展功能。</p><p><b>　　第四章 設備選型</b></p><p><b>　

51、　4.1路由器的選擇</b></p><p>　　銳捷RSR-08路由器是高性能、通用的骨干匯聚路由器，具有高背板帶寬、高包轉發(fā)率、結構緊湊、端口密度高等特點，并能提供全范圍的光纖和銅纜接口。RSR-08路由器具有強大的業(yè)務能力，可以滿足目前所有的城域匯聚和接入需求，提供多協(xié)議標準交換 (MPLS)第2或3層隧道技術、動態(tài)帶寬控制和面向連接的數(shù)據(jù)收集體系。作為多協(xié)議標記（MPLS）PE路由器，他們使提

52、供商的基于MPLS的業(yè)務具有高度的可擴展性和可靠性。通過使用VPLS，可以利用原有網(wǎng)絡和以太網(wǎng)基礎設施提供VOIP、互聯(lián)網(wǎng)接入、視頻以及多點虛擬專用網(wǎng)（VPN）等融合業(yè)務。</p><p>　　銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網(wǎng)，速率高達OC- 48。部署在各種應用中，RSR-08路由器可用于搭建骨干匯聚路由器和核心層網(wǎng)絡，為用戶提供綜合的、高性能、功能強大的服務, 并提供高可用性

53、網(wǎng)絡所需的冗余支持。</p><p><b>　　4.2交換機的選擇</b></p><p>　　RG-S6800E是銳捷網(wǎng)絡推出的基于NP+ASIC構架的新一代多業(yè)務萬兆核心路由交換機，RG-S6800E在保障高性能大容量的基礎上提供強大的安全防護能力，并且擁有業(yè)務按需疊加擴展能力，達到業(yè)務和性能并重的設計需求。目前提供10豎插槽設計和6橫插槽設計兩種主機：RG-S

54、6810E和RG-S6806E。</p><p>　　RG-S6800E系列多業(yè)務萬兆核心路由交換機提供2.4T/1.2T背板帶寬，并支持將來擴展到4.8T/2.4T的能力，高達857Mpps/428Mpps的二/三層包轉發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換，強大的交換路由功能、安全智能技術可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡核心骨干和大流量節(jié)點交換機的理想選擇。</p&g

55、t;<p>　　RG-S6800E交換機通過先進的第三代高性能引擎可硬件支持策略路由、IPV6等協(xié)議，并可擴展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等豐富的業(yè)務功能，滿足客戶環(huán)境靈活而復雜的不同應用需求。</p><p><b>　　技術參數(shù)</b></p><p>　　

56、RG-S6506是銳捷網(wǎng)絡推出的萬兆骨干路由交換機，擁有6個模塊擴展槽，提供管理模塊冗余，支持萬兆、千兆和百兆模塊線速轉發(fā)，可以根據(jù)用戶的需求靈活配置，構建彈性可擴展的現(xiàn)代IP網(wǎng)絡。”</p><p>　　RG-S6506交換機高達768G的背板帶寬和286Mpps的二/三層包轉發(fā)速率可為用戶提供高速無阻塞的線速交換，強大的交換路由功能、安全智能技術可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是小型

57、網(wǎng)絡核心和大型網(wǎng)絡骨干交換機的理想選擇。</p><p><b>　　技術參數(shù)</b></p><p>　　RG-S2924G是銳捷網(wǎng)絡推出的全千兆安全智能接入交換機，在提供高性能、高帶寬的同時，提供智能的流分類、完善的服務質量（QoS）和組播應用管理特性，并可以根據(jù)網(wǎng)絡的實際使用環(huán)境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡攻擊，控制非法用戶接入和使

58、用網(wǎng)絡，保證合法用戶合理化使用網(wǎng)絡資源，充分保障了網(wǎng)絡高效安全、網(wǎng)絡合理化使用和運營。</p><p>　　RG-S2924G特有的CPU保護控制機制，對發(fā)送到CPU的數(shù)據(jù)進行帶寬控制，以避免非法者對CPU的惡意攻擊，充分保障了交換機的安全。</p><p>　　RG-S2924G為方便不同管理員的使用習慣，提供了多種形式的管理工具，如SNMP、Telnet、Web和Console口等。&

59、lt;/p><p>　　RG-S2924G以極高的性價比為各類型網(wǎng)絡提供完善的端到端的QoS服務質量、靈活豐富的安全策略管理和基于策略的網(wǎng)管，最大化滿足高速、高效、安全、智能的企業(yè)網(wǎng)新需求。</p><p>　　支持生成樹協(xié)議802.1D、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網(wǎng)絡的穩(wěn)定運行和鏈路的負載均衡，合理使用網(wǎng)絡通道，提供冗余鏈路利用率。</p>

60、<p><b>　　技術參數(shù)</b></p><p>　　第五章vlan及ip地址規(guī)劃</p><p>　　5.1 VLAN 規(guī)劃</p><p>　　5.2防火墻 路由器 服務器</p><p><b>　　5.3多層交換機</b></p><p>　　第六章

61、應用系統(tǒng)的規(guī)劃</p><p>　　根據(jù)校園網(wǎng)的實際需求：數(shù)據(jù)計算量大；實現(xiàn)多種服務如：WEB服務，OA應用平臺，F(xiàn)TP服務，防病毒等等。應用服務器和數(shù)據(jù)庫分離，防止應用服務器被攻擊后，影響數(shù)據(jù)庫安全。</p><p>　　服務器主要用于幫助學校對校務、學籍、人事、政教等方面進行管理，實現(xiàn)學校的辦公自動化，各系統(tǒng)之間實現(xiàn)充分的資源共享，提高辦公及管理效率。還可以提供資料庫管理，所有相關資料

62、都可通過網(wǎng)絡系統(tǒng)被檢索和使用。通過Internet/LAN向教師及學生、學生家長提供盡可能多的信息。信息服務不僅是提供E－mail、FTP、Telnet、WWW等簡單服務，還應包括如教學資料、教學課件、圖書館圖書資料的遠程查詢，遠程視頻點播、遠程電子閱覽室、教育論壇、網(wǎng)上教學以及學生的網(wǎng)上交流、網(wǎng)上聊天等。對于這些網(wǎng)絡服務，可以根據(jù)各部門需求，選擇或組織編寫一些應用系統(tǒng)軟件。</p><p>　　第七章 網(wǎng)絡安全

63、的全局規(guī)劃</p><p>　　構建全程全網(wǎng)的訪問控制體系是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。它是保證網(wǎng)絡安全最重要的核心策略之一。</p><p><b>　　7.1接入安全</b></p><p>　　RG-S2924G是銳捷網(wǎng)絡推出的全千兆安全智能接入交換機，在提供高性能、高帶寬的同時，提供智能的

64、流分類、完善的服務質量（QoS）和組播應用管理特性，并可以根據(jù)網(wǎng)絡的實際使用環(huán)境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡攻擊，控制非法用戶接入和使用網(wǎng)絡，保證合法用戶合理化使用網(wǎng)絡資源，充分保障了網(wǎng)絡高效安全、網(wǎng)絡合理化使用和運營。</p><p><b>　　7.2訪問安全</b></p><p>　　銳捷RG-S6800E多業(yè)務萬兆核心路由交換機

65、支持802.1Q VLAN，可使用VLAN劃分隔離用戶訪問。同時還支持VLAN 隧道技術，可實現(xiàn)跨校區(qū)的VLAN功能。并且銳捷RG-S6800E多業(yè)務萬兆核心路由交換機支持完善的ACL，可以基于MAC、IP、TCP/UDP端口號進行流量控制，以有效的防范和控制網(wǎng)絡蠕蟲病毒（如沖擊波）的傳播和危害。</p><p>　　ACLs的全稱為接入控制列表(Access Control Lists)，可以對數(shù)據(jù)流進行過濾可

66、以限制網(wǎng)絡中的通訊數(shù)據(jù)類型及限制網(wǎng)絡的使用者或使用設備。在數(shù)據(jù)流通過交換機時對其進行分類過濾，并對從指定接口輸入的數(shù)據(jù)流進行檢查，根據(jù)匹配條件(conditions)決定是允許其通過(permit)還是丟棄(deny)。</p><p>　　銳捷RG-S6800E多業(yè)務萬兆核心路由交換機支持以下幾種類型的ACLs：</p><p>　　IP ACLs用于過濾IP報文，包括TCP和UDP。&

67、lt;/p><p>　　Standard IP access lists (標準IP接入控制列表)使用源IP地址作為匹配的條件</p><p>　　Extended IP access lists(擴展IP接入控制列表)使用源IP地址、目的IP地址及可選的協(xié)議類型信息作為匹配的條件</p><p>　　Ethernet ACLs用于過濾二層數(shù)據(jù)流：</p>

68、<p>　　MAC　 Extended　 access lists(MAC擴展控制列表)使用源MAC地址、目的MAC地址及可選的以太網(wǎng)類型作為匹配的條件</p><p>　　Expert ACLS用于過濾二層和三層、二層和四層、二層和三層、四層數(shù)據(jù)流：</p><p>　　Expert Extended　 access lists(專家擴展控制列表)使用源MAC地址、目的MA

69、C地址、以太網(wǎng)類型、源IP、目的IP、及可選的協(xié)議類型信息作為匹配的條件。</p><p>　　對于不同訪問權限的區(qū)域采用ACL訪問控制來對不同訪問資源進行權限控制。</p><p>　　應用ACL可以有效的防范“沖擊波”等蠕蟲病毒；支持802.1X技術，滿足6元素綁定接入限制；支持IGMP源端口檢查及源IP檢查，可有效控制非法組播源，提高網(wǎng)絡安全；IGMP V3支持通告主機希望接收的多播

70、源的地址，避免非法的組播數(shù)據(jù)流占用網(wǎng)絡帶寬； </p><p>　　通過PVLAN（保護端口）隔離用戶之間信息互通，不必占用VLAN資源；提供SSH的加密登陸和管理功能，避免管理信息明文傳輸引發(fā)的潛在威脅；</p><p>　　Telnet/Web登錄的源IP限制功能，避免非法人員對網(wǎng)絡設備的管理；</p><p>　　SNMPV3提供加密和鑒別功能：確保數(shù)據(jù)從合法

71、的數(shù)據(jù)源發(fā)出（引擎ID）；確保數(shù)據(jù)在傳輸過程中不被篡改（采用MD5和SHA認證協(xié)議）；加密報文，確保數(shù)據(jù)的機密性（采用DES56加密協(xié)議）。</p><p><b>　　7.3病毒防御</b></p><p>　　銳捷網(wǎng)絡設備，能夠提供病毒防御功能，使得某些特定病毒不能任意傳播。主要提供以下幾個功能：1）預防PC感染類似“沖擊波、震蕩波”的病毒；2）如果某臺機器感染病

72、毒，能夠實現(xiàn)中毒機器隔離，限制同一網(wǎng)段中病毒的傳播。3）支持防止DDoS攻擊，防止IP段惡意掃描等抗攻擊特性。</p><p><b>　　參考文獻</b></p><p>　　1、《局域網(wǎng)組建實訓教程》清華大學出版社 2008年11月 作者：王祥忠 韓偉鋒</p><p>　　2、《局域網(wǎng)組建和管理入門與提高》人民郵電出版社 2009年4月

73、作者：金剛善 包英捷 趙博 侯波等著</p><p>　　3、《局域網(wǎng)組建與維護實例教程》（第2版）清華大學出版社2008年6月 作者：王衛(wèi)國 葉如燕 張伊</p><p>　　4、《局域網(wǎng)組建與維護實用教程》中國電力出版社2009年8月 作者：張國鋒、黃華國</p><p>　　5、《局域網(wǎng)組建與管理專家培訓教程》電子科技大學出版社2008年9月 作者：崔亞量 張