您的当前位置:首页正文

校园网规划与设计论文

2023-09-02 来源:易榕旅网


班 级

学 号

XXX 学院 毕业论文

校园网规划与设计

姓 名 专 业 计算机网络技术 指导教师

二0一一年十二月

摘要:本文通过介绍

XXX职业技术学院校园网的设计与建设,来说明高校在组建校

园网时所应经历的步骤,依照我校网络拓扑结构,对我校校园网的规划和管理进行了深入的探讨,包括需求分析,目标,整体设计方案,规划和设计方法,网络技术和网络设计要求,网络设备选型,设备配置,网络的规划等。并对路由器、防火墙、核心交换机、汇聚层交换机、接入层交换机的配置和安全运行管理进行了细致说明,系统地分析了影响校园网正常运行的因素及应对措施。

关键字:校园网,网络规划,设备配置

Campus Network Planning And Design

Abstract:This article introduces the XXX COLLEGE Campus Network Design

and Construction, to illustrate the university intranet in the formation of the steps that should be experienced, in accordance with the extension of the network topology, the school campus network configuration and management are discussed, including needs analysis, the goal, the overall design scheme, the method of planning and design, network technology and network design requirements, the network equipment selection, device configuration, network planning and so on. and the router, firewall, a central switch, convergence layer and access layer switch configuration and the computer virus management is described in detail, and systematic analysis of the influence of the normal operation of campus network the factors and strategies.

目录

第一章 校园网的需求分析 ······················ 4

1、1校园网的建设背景 ··················································································· 4 1、2校园网的应用需求 ··················································································· 4

1、2、1 用户需求 ···················································································· 4 1、2、2 通讯需求 ···················································································· 4 1、2、1 安全需求 ···················································································· 4 1、3校园网的设计思想 ··················································································· 4 1、4信息点的分布情况 ··················································································· 5

第二章 校园网络总体设计 ····················· 5

2、1校园网的设计原则 ··················································································· 5 2、2网络拓扑结构介绍 ··················································································· 6 2、3校园网络的拓扑图 ··················································································· 6 2、4校园网规划与配置 ··················································································· 7 2、4、1 子网划分与地址分配 ········································································ 8 2、4、2 VLAN划分 ·················································································· 8 2、4、3 设备选型与方案预算 ········································································ 8 2、4、4 服务器与防火墙 ············································································ 10 2、4、5 路由器 ························································································ 10 2、4、6 交换机 ························································································ 11

第三章 网络安全与管理 ······················ 12

3、1 威胁网络安全因素 ················································································ 12 3、2 网络安全防范措施 ················································································ 13 3、3 网络安全策略配置 ················································································ 14

3、3、1 安全接入和配置 ········································································· 14 3、3、2 谢绝服务的防止 ········································································· 14 3、3、4 访问控制 ·················································································· 14

第四章 结束语 ·························· 15 参考文献 ···························· 15

第一章:校园网的需求分析

(一)校园网的建设的背景

XXX职业技术学院是一所秉承\"学以进德,工以养技\"为办学理念,发扬\"团结、勤奋、求实、创新\"的优良校风,奋力潮头,勇于开拓,努力创建国家级示范性的职业技术学院。

学院目前正加紧推动学校信息化建设,最终目标是建设一个借助信息化教育和管理手段的高水平校园网络,实现校园内计算机互联、资源共享,并为师生提供丰富的网上资源,最后达到在网络方面能更好的对众多网络使用及数据资源的安全控制,同时具有高性能、高效率、不间断的服务,方便的对网络中所有设备和应用进行有效的实时控制和管理。

由此可见,制作一个优秀的校园网络规划是很有必要的。 (二)校园网的应用需求 1.用户需求:

校园网络应当方便快捷,建成后的网络能充分利用Internet、教育网、国家信息网的各种信息,实现校园内部的资源共享。通过建立学校首页、学院信箱、精品课、FTP资源、校园管理系统等服务,发布有关校园新闻、校园通知的信息平台。 (1) 教学区:每个教室的计算机能接入网络,有利于教师授课的需要; (2) 生活区:实现学生在寝室内无线上网;

(3) 办公区:提供各系办公需求,供学校管理校内财务、人事和学生教师信息等。 2.通信需求

目前国内大部分高校的校园网模式是千兆/快速以太网架构。根据我院各建筑的地理位置、网路流量和资金状况,设计为学院机房到各汇聚层节点使用1000M光纤连接,汇聚层到接入层使用百兆五类线连接。数据信息点的接入用交换10/100Mbps自适应以太网口接入以满足广大师生的各种需求。 3.安全需求

校园网络信息安全问题正直接影响着学校的教学活动和学生的隐私的安全,大部分校园存在信息点随意接入的使用的问题,不明身份的用户很容易就可以进入校园网,干扰和破坏校园网网络平台及应用系统的正常运行。威胁校园网安全的攻击行为大部分来自网络内部,如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。

(三)校园网的设计思想

对校园网进行整体设计,首先要进行对象研究和需求调查,明确学校的目标、任

务及系统建设的需求和条件,对学校的信息化环境进行准确的描述;其次要确定学校Intranet服务类型,进而确定系统建设的具体目标;第三是确定网络拓扑结构,根据学校主要建筑的分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求; (四)信息点的分布情况

根据设计要求,以及校园建筑地理位置,共设计2280个信息点,其中各个信息点的具体分布情况如下:

生活区共设615个信息点,其中:学生宿舍楼(600),食堂(5),浴室(5) ,超市(5)。 办公区共设410个信息点,其中:教师宿舍楼(300),行政楼(100),公安(10)。 教学区共设1255个信息点,其中:学校机房(1000),图书馆(50),教学楼A(50),教学楼B(50),制药实训楼(50),机电实训楼(50),风雨操场(5)。

第二章:校园网络总体设计

(一)校园网的设计原则

校园网是为师生提供教学、管理、科研和综合信息服务的宽带多媒体网络;是学校信息化教学环境的基础设施和实现各项管理的物质基础;是建立远程教育体系的基本保证;是提高全民素质的重要手段。其设计方案应遵循以下五大原则:

1.实用性:校园网应满足学校目前对网络应用的要求,充分实现学校内部管理、教学和科研的网络化、信息化的要求,使网络的整体性能得到充分发挥。

2.安全性:应能在可靠性的前提下,抵挡来自内部和外部的攻击,采用的安全措施有效、可信,能够在多层次上、以多种方式实现安全的控制。

3.可靠性:校园网的系统及网络结构较为复杂,同时在部分子系统中存在较高的技术性,因此必须保证系统的稳定、可靠和安全运行,使其具有很高的平均无故障工作时间和极低的平均无故障率。

4.统一性:在系统的设计过程中要坚持“统一规划、统一标准、统一出口”。 5.先进性:校园网应既能满足我院当前对网络的应用需求,又可以在将来方便扩展,保护目前的所有投资,设计的配置可以灵活变通,以便适应师生的其它要求。 (二)网络拓扑结构介绍

在本次校园网设计中,我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题简单化。 (三)校园网络的拓扑图

校园网的层次网络结构

校园网络规划详细拓扑图

(四)校园网规划与配置

Internet接入方式主要有以下六种:拨号上网方式,使用ISDN专线入网,使用ADSL宽带入网,使用DDN专线入网,使用帧中继方式入网,局域网接入。

由于DDN专线有着传输质量高,信道利用率高,网络时延小等优点,我校采用DDN专线接入的方式上网,校园内上网采用NAT的方式,以保证师生上网方便。 1.子网划分与地址分配

我校申请的IP地址为222.222.32.10,域名为www.XXX.cn,主DNS为202.99.160.68,辅助DNS为219.150.32.132。 学校建筑 机房 主教学楼A 主教学楼B 机电实训楼 制药实训楼 学生宿舍楼 教师宿舍楼 信息点数目 500 100 100 100 100 200 150 IP地址 192.168.10.0/24 192.168.20.0/24 192.168.30.0/24 192.168.40.0/24 192.168.50.0/24 192.168.60.0/24 192.168.70.0/24 网关 192.168.10.254 192.168.20.254 192.168.30.254 192.168.40.254 192.168.50.254 192.168.60.254 192.168.70.254 上网方式 NAT NAT NAT NAT NAT NAT NAT 图书馆 行政楼 风雨操场 浴室 超市 食堂 公安 2.VLAN划分

VLAN号 VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50 VLAN 60 VLAN 70 VLAN 80 VLAN 90 VLAN 100 VLAN 110 VLAN 120 VLAN 130 VLAN 140 50 150 10 10 10 10 10 192.168.80.0/24 192.168.90.0/24 192.168.100.0/28 192.168.100.16/28 192.168.100.32/28 192.168.100.48/28 192.168.100.64/28 192.168.80.254 192.168.90.254 192.168.100.15 192.168.100.31 192.168.100.47 192.168.100.63 192.168.10.79 NAT NAT NAT NAT NAT NAT NAT VLAN名称 JF ZJA ZJB JD ZY SX JS TSG XZL FYCC YS CS ST GA 开始IP 192.168.10.1 192.168.20.1 192.168.30.1 192.168.40.1 192.168.50.1 192.168.60.1 192.168.70.1 192.168.80.1 192.168.90.1 192.168.100.1 192.168.100.17 192.168.100.33 192.168.100.49 192.168.100.65 备注 机房 主教学楼A 主教学楼B 机电实训楼 制药实训楼 学生宿舍楼 教师宿舍楼 图书馆 行政楼 风雨操场 浴室 超市 食堂 公安 3. 配置原则与方案预算 (1)配置原则

配置原则总体上要能满足通信,教学和方便管理三大功能。

其一,选用Cisco WS系列。可提供大量的高速以太网端口,具有强大的QoS能力;模块板支持热插拔,电源系统采用冗余热备份;支持STP/RSTP/MSTP协议和VRRP协议,能够满足苛刻的电信级网络要求;支持双路电源供电,同时保证在增加新的网络接口时性能呈线性增长。

其二,选用 HP ProLiant系列服务器, ProLiant服务器是惠普融合基础设施产品组合的一部分,该产品组合将服务器、存储、网络设施及基础设施资源集成到一个共同的环境下,从而能够使IT对业务需求做出迅速响应。惠普ProLiant服务器提供模块化的、基于标准化的架构,推动客户端朝着融合基础设施的方向发展。

(2)方案预算

生产厂商 数单价 量 设备名称型号 配置 总价 描述 主交换机,负思DRAM:256MB,FLASH:64MB. 1816008.16责访问层交换传输速率: CISCO 机、服务器的科 台 元/台 万元 10/100/1000mbps 接入 WS-C3750G-48PD-E 核心交换机 负责与主交换机和楼层交换台 元/台 万元 机互连 35540016.62分布交换机 思CISCO WS-C4948-E 科 接入层交换 思CISCO 科 WS-C3750-24TS-S 路由器 思CISCO 科 2821-HSEC/K9 传输速率: 10/100/1000mbps 传输速率: 10/100/1000mbps 作为直接负责用户的接入交台 元/台 万元 换机 60770046.2DRAM:1GFLASH:256MB. 传输速率:10/100/1000mbps 1395003.95台 元/台 万元 负责接入Internet Web服务器 惠内存:DDR3 容量:12GB 1268002.68HP ProLiant DL380 用于Web服务器 最大容量:192GB 台 元/台 万元 G7(583914-B21) 普 FTP服务器 HP ProLiant DL380 G5(583914-B21) Mail服务器 HP ProLiant ML350 G6(600431-AA5) 数据库服务器 HP ProLiant ML370 G6(QK654A) 惠内存:DDR3 容量:12GB 1268002.68用于FTP服务器 最大容量:192GB 普 台 元/台 万元 惠普 惠内存:DDR3 容量:2GB 普 VPN防火墙 内存:DDR3 容量:4GB 最大容量:192GB 用于E-mai服务器 台 元/台 万元 1205002.05用于数据库服务器 协助确保信息安全 1148001.48台 元/台 万元 11250012500元 思防火墙 CISCO ASA5510-K8 科 总造价 台 元/台 85.07万元

4.服务器与防火墙

服务器名 WEB FTP 电子邮件 数据库 服务器 IP 段 192.168.10.1/24 192.168.10.3/24 192.168.10.5/24 192.168.10.7/24 映射IP 222.222.32.10 222.222.32.13 222.222.32.15 222.222.32.17 接口 F0 F1 防火墙(ASA5510-K8) IP 地址 连接的设备 222.222.32.10/24 INTERNET 10.1.1.27/30 2821-HSEC/K9 5.路由器

路由器2821-HSEC/K9与内网的连接端口为f 0/0,此端口的IP地址为10.1.1.1。f0/1为外部端口,IP地址为222.222.32.10。通过以下对路由器2821-HSEC/K9的配置完成了该校内部网络与外部Internet的通信,并使用NAT技术完成了外部网络对内部局域网访问的地址转换。

router>en

router#configure terminal

router(config)#router ospf 100 #配置OSPF路由协议 router(config)#network 10.1.1.0 0.0.0.3 area 0 router(config)#redistribute rip subnets router(config)#exit

router(config)#ip nat pool router 222.222.32.10 222.222.32.254

netmask 255.255.255.0 #定义用于转换的外部地址池 router(config)#access-list 1 permit any #定义需要转换的地址范围 router(config)#ip nat inside source list 1 pool router overload

router(config)#interface fastEthernet 0/0 #定义f0/0为内部接口 router(config-if)#ip address 10.1.1.1 255.255.255.252 router(config-if)#ip nat inside router(config-if)#no shutdown

router(config-if)#interface fastEthernet 0/1 #定义F0/1外部接口 router(config-if)#ip address 222.222.32.10 255.255.255.0 router(config-if)#ip nat outside router(config-if)#no shutdown router(config)#

router#write #保存配置

6.交换机

(1)核心交换机的配置

IP地址 10.1.1.1/30 10.1.1.5/30 10.1.1.9/30 192.168.10.2/24 192.168.10.4/24 192.168.10.6/24 192.168.10.8/24 分配如表所示

下面为WS-C3750G-48PD-E的具体配置: Switch>enable

Switch#configure terminal

Switch(config)#hostname Wangwei

Wangwei(config)#enable password 123456

Wangwei(config)#interface fastEthernet 0/0 #进入接口0/0 并为其端口设置IP Wangwei(config-if)no switchport

Wangwei(config-if)#ip address 10.1.1.1 255.255.255.252 Wangwei(config-if)no shutdown

Wangwei(config-if)interface FastEthernet0/19 Wangwei(config-if)no switchport

Wangwei(config-if)ip address 10.1.1.5 255.255.255.252 Wangwei(config-if)no shutdown

Wangwei(config-if)interface FastEthernet0/20 Wangwei(config-if)no switchport

Wangwei(config-if)ip address 10.1.1.9 255.255.255.252 Wangwei(config-if)no shutdown Wangwei(config-if)#exit

Wangwei(config)#router ospf 100 #配置OSPF路由(设OSPF的区号为100) Wangwei(config-router)#network 10.1.1.0 0.0.0.3 area 0 #配置路由区域 Wangwei(config-router)#network 10.1.1.4 0.0.0.3 area 1 Wangwei(config-router)#network 10.1.1.8 0.0.0.3 area 2 Wangwei(config-router)#network 10.1.1.12 0.0.0.3 area 3 Wangwei(config-router)#exit Wangwei#write

端口 对端设备 对端IP地址 10.1.1.2/30 10.1.1.6/30 10.1.1.10/30 192.168.10.1/24 192.168.10.3/24 192.168.10.5/24 192.168.10.7/24 对端OSPF区端口 域 F0/18 Area1 F0/19 Area2 F0/20 Area3 F0/0 行政楼 F0/19 学生宿舍楼 F0/20 机房 F0/4 Web 服务器 F0/3 FTP 服务器 F0/2 电子邮件服务器 F0/1 数据库服务器 为了与计算机使用的IP地址区分,因此必须划分相应的端口地址及网段,具体

(2)汇聚层交换机配置

汇聚层交换机以行政楼所在的汇聚交换机WS-C4948-E配置为详细说明,其它汇聚层交换机可参考本配置。下面是行政楼汇聚交换机的详细配置。 Wangwei>enable

Wangwei#configure terminal

Wangwei(config)#interface fastEthernet 0/18 #进入接口模式 Wangwei(config)#no switchport

Wangwei(config-if)#ip address 10.1.1.2 255.255.255.252 Wangwei(config-if)no shutdown

Wangwei(config-if)interface fastEthernet 0/24 #进入24号端口,设置为trunk Wangwei(config-if)switchport mode trunk Wangwei(config-if)no shutdown Wangwei(config)exit

Wangwei(config)interface Vlan 70 #进入VLAN虚拟端口,并设其IP Wangwei(config-if)ip address 192.168.70.254 255.255.255.0 Wangwei(config-if)interface Vlan 90

Wangwei(config-if)ip address 192.168.90.254 255.255.255.0 Wangwei(config-if)interface Vlan 140

Wangwei(config-if)ip address 192.168.100.79 255.255.255.0 Wangwei(config-if)#exit #返回到全局模式 Wangwei(config)#router opsf 100 #配置OSPF及RIP路由 Wangwei(config-router)#network 10.1.1.0 0.0.0.3 area 1 Wangwei(config-router)#redistribute rip subnets Wangwei(config-router)#exit Wangwei(config)#router rip Wangwei(config-router)#version 2

Wangwei(config-router)#network 192.168.70.0 Wangwei(config-router)#network 192.168.90.0 Wangwei(config-router)#network 192.168.100.64 Wangwei(config-router)#network 10.1.1.0 Wangwei(config-router)#redistribute ospf 100 Wangwei(config-router)#exit Wangwei#write

第三章:网络安全与管理

(一)威胁网络安全因素

影响校园网络安全的因素有很多,主要来自人的失误、恶意攻击和网络软件系统的漏洞三个方面,归纳起来如下:

1.应用系统和软件安全漏洞。且每个操作系统或网络软件的出现都不可能完美无缺,因此始终处于一个危险的境地,一旦连接入网,就有可能成为攻击对象。 2.安全策略。安全配置不当造成安全漏洞,许多站点在防火墙配置上无意识地放宽了访问权限,忽视了这些权限就很可能会被其它人员滥用。对特定的网络应用程序,启动它时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。 3.病毒。病毒是一种在人为或非人为的情况下产生的、在用户不知情或批准下,能自我复制或运行的电脑程序。它具有传播性、隐蔽性、感染性、潜伏性、可激发性等等,同时具有自己的一些特征,如:不利用文件寄生,对网络造成拒绝服务以及和黑客技术相结合等。

4.黑客。黑客是对计算机科学、编程和设计方面具高度理解的人,并利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。 (二)网络安全防范措施

1.杀毒软件。杀毒软件是用得最为普通的安全技术方案,因为这种技术实现起来最为简单,但杀毒软件功能比较有限,不能完全满足网络安全的需要。这种方式对于个人用户或小型校园网能满足基本需要,但如果个人或校园有电子商务方面的需求,就不能完全满足了。还有的杀毒软件开发商同时提供了软件防火墙,具有了一定防火墙功能,在一定程度上能起到硬件防火墙的功效,如Norton防火墙。

2.防火墙技术。防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。但防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的,也就是说要保证网络信息的安全还必须有其它一系列措施。需要说明的是防火墙只能抵御来自外部网络的侵扰,而对校园内部网络的安全却无能为力。

3.网络安全扫描技术。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,评估网络风险等级。并可以对局域网络、WEB站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。

网络安全与网络的发展戚戚相关,关系着Internet的进一步发展和普及。网络安全不能仅依靠杀毒软件、防火墙和漏洞检测等硬件设备的防护,还应注重树立广大师生的计算机安全意识,这样才能更好地进行防护,真正享受校园网带来的各种便利。 (三)网络安全策略配置

1.安全接入和配置

安全接入和配置是指在控制台或逻辑端口接入网络基础设施设备前必须通过认证和授权限制,从而为网络基础设施提供安全性。

限制远程访问的安全接入和配置方法

访问方式 Console口的访问 Telnet访问 SSH访问 WEB管理访问 保证网络设备安全的方法 设置密码和超时限制 使用ACL,指定特定IP进行Telnet访问 激活SSH访问以允许操作人员从网络外部环境进行设备安全登陆 取消Web管理访问功能 常规的SNMP访问是用ACL限制从特定IP地址来进行SNMP访问 SNMP访问;记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击 备注 超时限制建议设为5分钟 为增加安全,建议更改缺省的SNMP Commutiy子串 2.谢绝服务的防止

网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等;网络设备防止TCP SYN的方法主要是配置网络设备的TCP SYN临界值,若多于这个临界值,则丢弃多余的TCP SYN数据包;防Smurf攻击主要是配置网络设备不转发ICMP echo请求和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。 3.访问控制

1、内网访问Internet开放全部端口;

2、允许从公网到隔离区的访问请求:Web服务器只开放80端口,Mail服务器只开放25和110端口;

3、禁止公网到内部区的访问请求并关闭全部端口; 4、允许内网访问隔离区并开放全部端口; 5、允许隔离区访问Internet并开放全部端口; 6、禁止隔离区访问内网并关闭全部端口。

第四章:结束语

一个校园网络系统的组建需要从多方面进行考虑,会涉及许多技术问题。在本次组网过程中,由于本人对网络知识的掌握有限,刚开始接到设计任务的时候,很多方面无从下手,所以参考了众多别人对校园网络设计的经典案例,通过这样一个边学习边应用的过程,完成了此次校园网的组网的工作,虽然感觉自己准备的不是很充分,但是通过这次的课程设计,我还是学会了许多的东西,同时也发现了大量的问题,有些在设计过程中已经解决,有些还有待今后慢慢学习

我相信只要学习就会攻克众多问题和难点,会得到更多的收获! 参考文献

[1]Allan Reid,思科网络技术学院教程,人民邮电出版社,2010; [2]程庆梅,路由型与交换型互联网基础,机械工业出版社,2010; [3]马宜兴,网络安全与病毒防范,上海交通大学出版社,2010;

因篇幅问题不能全部显示,请点此查看更多更全内容