網(wǎng)絡工程課程設計---校園網(wǎng)網(wǎng)絡系統(tǒng)集成

1、<p><b>　　網(wǎng)絡工程課程設計</b></p><p><b>　　目錄</b></p><p><b>　　前言3</b></p><p><b>　　一、需求分析3</b></p><p>　　1.1目前學校的網(wǎng)絡狀況3</

2、p><p>　　1.2 校園網(wǎng)實現(xiàn)功能4</p><p>　　1.2.1信息交流功能4</p><p>　　1.2.2教學服務功能4</p><p>　　1.2.3學生學習功能4</p><p>　　1.2.4學校管理功能4</p><p>　　1.2.5信息點統(tǒng)計5</p>

3、<p>　　二、校園網(wǎng)設計指導6</p><p><b>　　2.1設計目標6</b></p><p>　　2.2設計指導思想6</p><p><b>　　三、校園網(wǎng)實現(xiàn)7</b></p><p>　　3.1 校園網(wǎng)全局設計7</p><p>　　3

4、.1.1網(wǎng)絡拓撲設計及原則7</p><p>　　3.1.2校園網(wǎng)全局拓撲圖8</p><p>　　3.1.3學校建筑圖9</p><p>　　3.2校園網(wǎng)內(nèi)部設計10</p><p>　　3.2.1辦公樓網(wǎng)絡拓撲(以主樓為例子)10</p><p>　　3.2.2宿舍樓網(wǎng)絡拓撲（海安為例）11</p

5、><p>　　3.3網(wǎng)絡IP分配與管理11</p><p>　　3.3.1學校VLAN需求劃分11</p><p><b>　　四、設備選擇13</b></p><p>　　4.1核心層設備13</p><p>　　4.2匯聚層設備14</p><p>　　4.2.1

6、匯聚點的確定14</p><p>　　4.2.2匯聚層交換機的選擇14</p><p>　　4.3接入層選擇15</p><p><b>　　五、安全設計15</b></p><p>　　5.1路由器和交換機的安全功能16</p><p>　　5.2安全措施16</p>

7、<p>　　5.3主機的安全17</p><p>　　六、網(wǎng)絡管理和維護18</p><p>　　6.1網(wǎng)絡管理18</p><p>　　6.2網(wǎng)絡操作系統(tǒng)管理體系的選擇19</p><p><b>　　七、實驗心得19</b></p><p><b>　　參考文獻

8、21</b></p><p><b>　　前言</b></p><p>　　自從20世紀90年代以后，以因特網(wǎng)為代表的計算機網(wǎng)絡得到了飛速的發(fā)展，已經(jīng)從最初的教育科研網(wǎng)絡逐步發(fā)展為商業(yè)網(wǎng)絡，并且已經(jīng)成為僅次于全球電話為網(wǎng)的世界第二大網(wǎng)絡。跨入21世紀以來，我們的網(wǎng)絡呈現(xiàn)出數(shù)字化、網(wǎng)絡化和信息化，它是一個以網(wǎng)絡為核心的信息時代?，F(xiàn)在人們的生活、工作、學習和交

9、往都已經(jīng)離不開網(wǎng)絡。沒有了計算機網(wǎng)絡，世界將是一片混論。當然計算機網(wǎng)絡也會帶來一些負面影響，但這是次要的，主要的還是網(wǎng)絡帶來的積極作用。在以后的階段，計算機網(wǎng)絡將會得到更大的發(fā)展。</p><p>　　設計一個網(wǎng)絡，首先要為用戶分析目前面臨的主要問題，確定用戶對網(wǎng)絡的真正需求，并在結合未來可能的發(fā)展要求的基礎上選擇、設計合適的網(wǎng)絡結構和網(wǎng)絡技術，提供用戶滿意的高質(zhì)服務。</p><p>　

10、　網(wǎng)絡在日常教學辦公環(huán)境中起著至關重要的作用，校園網(wǎng)的運作模式會帶來大量動態(tài)的www應用數(shù)據(jù)傳輸，會有相當一部分應用的主服務器有高速接入網(wǎng)絡的需求（目前為100/1000Mbps，今后可會更高）。這就要求網(wǎng)絡有足夠的主干帶寬和擴展能力。同時，一些新的應用類型，如網(wǎng)絡教學、視頻直播/廣播等，也對網(wǎng)絡提出了支持多點廣播和寬帶高速接入的要求。</p><p>　　除上述考慮外，還要注意到由于邏輯上業(yè)務網(wǎng)和管理網(wǎng)必須分開

11、，所以建成后校園網(wǎng)應能提供多個網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應教學辦公環(huán)境的調(diào)整和變化。</p><p>　　中心機房到匯聚層節(jié)點采用4兆光纖（多模）連接，匯聚層到接入層采用百兆的五類線（或者超五類）連接。通?？紤]，建議數(shù)據(jù)信息點的接入用交換10/100Mbps自適應以太網(wǎng)端口接入，以便能較經(jīng)濟的提供較高的帶寬。整個方案設計的目的是建設一個集數(shù)據(jù)傳輸和備份、多媒體應用、語音傳輸、OA應用和Inter

12、net訪問等于一體的高可靠、高性能的寬帶多媒體校園網(wǎng)。</p><p><b>　　一、需求分析</b></p><p>　　1.1目前學校的網(wǎng)絡狀況</p><p>　　與其它網(wǎng)絡一樣，校園網(wǎng)面臨的威脅大體可分為對網(wǎng)絡中數(shù)據(jù)信息的危害和對網(wǎng)絡設備的危害。具體來說，危害網(wǎng)絡安全的主要威脅有：非授權訪問，即對網(wǎng)絡設備及信息資源進行非正常使用或越權

13、使用等；冒充合法用戶，即利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限，以達到占用合法用戶資源的目的；破壞數(shù)據(jù)的完整性，即使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用；干擾系統(tǒng)正常運行。</p><p>　　除此之外，Internet非法內(nèi)容也形成了對網(wǎng)絡的另一大威脅。IDC的統(tǒng)計曾顯示，有30％－40％的Internet訪問是與工作無關的，甚至有的是去訪問色情、暴力、反動等站點。在這樣的

14、情況下，Internet資源被嚴重浪費。而對校園網(wǎng)來說，面對形形色色、良莠不分的網(wǎng)絡資源，如不具有識別和過濾作用，不但會造成大量非法內(nèi)容或郵件出入，占用大量流量資源，造成流量堵塞、上網(wǎng)速度慢等問題，而且某些網(wǎng)站如娛樂、游戲、暴力、色情、反動消息等不良網(wǎng)絡內(nèi)容，將極大地危害青少年的身心健康，導致無法想象的后果。</p><p>　　盡管現(xiàn)在世界的網(wǎng)絡已經(jīng)得到空前的發(fā)展，但是我們的校園內(nèi)部還是沒有跟上世界的變化，網(wǎng)絡

15、的鋪設仍然不夠。還只是在一小部分高層領導上網(wǎng)，其他部門都沒有。我們學校的辦公學習還只是處在純粹的人工階段，只是處在課本學習的階段，對外面的兄弟學校一點都不了解，學習辦公效率超低。</p><p>　　1.2 校園網(wǎng)實現(xiàn)功能</p><p>　　1.2.1信息交流功能</p><p>　　信息交流功能主要有兩個方面的服務功能：互聯(lián)網(wǎng)信息服務和校內(nèi)信息服務。</p

16、><p>　　互聯(lián)網(wǎng)信息服務可以使任何一個辦公室的計算機都能實現(xiàn)網(wǎng)上瀏覽、查詢信息的功能，使教師能夠拓寬視野，充分利用互聯(lián)網(wǎng)上的資源輔助教學，提升教學理念，提高教師的教學能力、教學水平和科研能力。</p><p>　　可以充分利用互聯(lián)網(wǎng)資源來宣傳學校，展示學校的辦學能力與辦學水平，展示教師的教學能力與科研能力，提升學校的辦學形象。</p><p>　　校內(nèi)信息服務能為教

17、育教學和管理決策提供各項信息服務，能為全校師生提供相互交流、相互學習的平臺。</p><p>　　1.2.2教學服務功能</p><p>　　構建校園網(wǎng)的主要目的就是提高教學質(zhì)量，為學校的教育教學服務。校園網(wǎng)將主要從以下幾個方面為教學服務。</p><p>　?。?）建立課件（基件）、教學信息資源庫，實現(xiàn)課件點播和輔助教學。將教學資源庫建設成為包括各科的教材、教案、

18、試題、錄像、圖片等對教師備課有參考價值的多媒體素材庫。</p><p>　?。?）利用網(wǎng)絡技術，實現(xiàn)多媒體信息交換、視頻點播、遠程教育等功能。</p><p>　?。?）建立電子備課室、光盤閱覽室。電子備課室為教師提供優(yōu)越的電腦制作條件，配備各種先進的備課設備，方便教師備課使用；光盤閱覽室提供大量的電子讀物，發(fā)揮電子媒體容量大、體積小、成本低、檢索快、易于保存和復制、圖文并茂等優(yōu)點，使教師

19、能夠用最短的時間獲取最多的信息。</p><p>　　1.2.3學生學習功能</p><p>　　利用網(wǎng)絡自主學習，可以提高學生的學習能力。學生可以利用校園網(wǎng)查閱資料，擴展視野；可以利用網(wǎng)絡相互交流、相互學習；可以在網(wǎng)絡上建立主頁，宣傳自己，宣傳班級；可以利用網(wǎng)絡與教師交流，實現(xiàn)無紙化作業(yè)等。</p><p>　　1.2.4學校管理功能</p><

20、;p>　　校園網(wǎng)使學校建立完善及時的信息發(fā)布體系，在此基礎上可以實現(xiàn)學校管理的透明化、公平公正化。學校管理功能主要有以下幾個方面。</p><p>　?。?）網(wǎng)上辦公系統(tǒng)。</p><p>　?。?）教務管理系統(tǒng)。</p><p>　?。?）學生管理系統(tǒng)。</p><p>　　（4）行政辦公系統(tǒng)。</p><p>

21、;　?。?）財務管理系統(tǒng)。</p><p>　?。?）后勤管理系統(tǒng)。</p><p>　?。?）圖書管理系統(tǒng)。</p><p>　　1.2.5信息點統(tǒng)計</p><p><b>　　信息點統(tǒng)計</b></p><p><b>　　二、校園網(wǎng)設計指導</b></p>

22、<p><b>　　2.1設計目標</b></p><p>　　建成后的網(wǎng)絡能充分利用Internet、國家信息網(wǎng)、教育網(wǎng)、全國高?；ヂ?lián)網(wǎng)上的各種信息，實現(xiàn)資源共享，能夠為在此校區(qū)學習的學生提供豐富的多媒體教學手段，實現(xiàn)高質(zhì)高效的教學目標。由此，我們認為，校園網(wǎng)網(wǎng)絡是一個典型的面向未來的網(wǎng)絡化、信息化、自動化的集娛樂、教學、辦公于一體的，具備多媒體綜合業(yè)務發(fā)展需求的園區(qū)網(wǎng)絡。&

23、lt;/p><p>　　系統(tǒng)總體設計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術先進性、高度的安全可靠性，同時具有良好的開放性、可擴展性。本著為學校校區(qū)著想，合理使用建設資金，使系統(tǒng)經(jīng)濟可行。</p><p>　　學校網(wǎng)絡應當實現(xiàn)如下功能：</p><p><b>　　●訪問互聯(lián)網(wǎng)絡</b></p><p>　　●

24、訪問學校虛擬網(wǎng)絡</p><p><b>　　●校園網(wǎng)站建立</b></p><p><b>　　●遠程教育</b></p><p><b>　　●VOD點播</b></p><p><b>　　●網(wǎng)絡安全管理</b></p><

25、;p>　　●電子郵件和電子公告</p><p><b>　　●計算機輔助教學</b></p><p><b>　　●教師備課功能</b></p><p><b>　　●對外交流</b></p><p><b>　　●校園管理平臺</b>&l

26、t;/p><p><b>　　●信息資源庫</b></p><p><b>　　2.2設計指導思想</b></p><p>　　建設校園網(wǎng)絡，本著少花錢辦大事的原則，充分利用有限的投資，在保證網(wǎng)絡先進性的前提下，選用性能價格比最好的設備，我們認為校園網(wǎng)建設應該遵循以下原則： </p><p><

27、b>　　●先進性 </b></p><p>　　以先進、成熟的網(wǎng)絡通信技術進行組網(wǎng)，支持數(shù)據(jù)、語音、視像等多媒體應用，用基于交換的技術替代傳統(tǒng)的基于路由的技術。 </p><p><b>　　●標準化和開放性 </b></p><p>　　網(wǎng)絡協(xié)議采用符合ISO及其他標準，如：IEEE、ITUT、ANSI等制定的協(xié)議，采用遵從

28、國際和國家標準的網(wǎng)絡設備。 </p><p><b>　　●可靠性和可用性 </b></p><p>　　選用高可靠的產(chǎn)品和技術，充分考慮系統(tǒng)在程序運行時的應變能力和容錯能力，確保整個系統(tǒng)的安全與可靠。 </p><p><b>　　●設備的兼容性 </b></p><p>　　選用符合國際發(fā)展潮流

29、的國際標準的軟件技術，以便系統(tǒng)有可靠性強、可擴展和可升級等特點，保證今后可迅速采用計算機網(wǎng)絡發(fā)展出現(xiàn)的新技術，同時為現(xiàn)存不同的網(wǎng)絡設備、小型機、工作站、服務器、和微機等設備提供入網(wǎng)和互連手段。 </p><p><b>　　●實用性和經(jīng)濟性 </b></p><p>　　從實用性和經(jīng)濟性出發(fā)，著眼于近期目標和長期的發(fā)展，選用先進的設備，進行最佳性能組合，利用有限的投資

30、構造一個性能最佳的網(wǎng)絡系統(tǒng)。 </p><p><b>　　●安全性和保密性 </b></p><p>　　在接入Internet的情況下，必須保證網(wǎng)上信息和各種應用系統(tǒng)的安全。 </p><p>　　●擴展性和升級能力 </p><p>　　網(wǎng)絡設計應具有良好的擴展性和升級能力，選用具有良好升級能力和擴展性的設備。在以

31、后對該網(wǎng)絡進行升級和擴展時，必須能保護現(xiàn)有投資。應支持多種網(wǎng)絡協(xié)議、多種高層協(xié)議和多媒體應用。 </p><p><b>　　●網(wǎng)絡的靈活性 </b></p><p>　　系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負載平衡等方面，配合交換機產(chǎn)品與路由器產(chǎn)品支持的最先進的虛擬網(wǎng)絡技術，整個網(wǎng)絡系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網(wǎng)絡轉移到另一個網(wǎng)絡，可以跨越辦公室、辦公

32、樓，而無需任何硬件的改變，以適應機構的變化。同時也可以通過平衡網(wǎng)絡的流量，以提高網(wǎng)絡的性能。</p><p><b>　　三、校園網(wǎng)實現(xiàn)</b></p><p>　　3.1 校園網(wǎng)全局設計</p><p>　　3.1.1網(wǎng)絡拓撲設計及原則</p><p>　　大型校園網(wǎng)網(wǎng)路系統(tǒng)從結構上可以分為核心層、匯聚層和接入層；從功

33、能上可分為校園網(wǎng)絡中心、教學子網(wǎng)、辦公子網(wǎng)、宿舍區(qū)子網(wǎng)等。</p><p>　　該校在主校區(qū)的網(wǎng)絡中心、霞山校區(qū)網(wǎng)絡中心和海濱校區(qū)網(wǎng)絡中心各放置一臺核心層設備，在主校區(qū)、霞山校區(qū)和海濱校區(qū)的各個匯聚分中心各放置一臺高性能的三層交換機設備，每 一臺設備負責就近區(qū)域的樓宇交換機的接入。核心層設備與匯聚層設備構成了整個校園網(wǎng)的主干。如圖4至圖8所示分別為三個校區(qū)網(wǎng)絡連接拓撲結構圖、主校區(qū)網(wǎng)絡拓撲結構圖。這里主要規(guī)劃主

34、校區(qū)網(wǎng)絡拓撲圖。</p><p>　　3.1.2校園網(wǎng)全局拓撲圖</p><p>　　3.1.3學校建筑圖</p><p>　　3.2校園網(wǎng)內(nèi)部設計</p><p>　　3.2.1辦公樓網(wǎng)絡拓撲(以主樓為例子)</p><p>　　3.2.2宿舍樓網(wǎng)絡拓撲（海安為例）</p><p>　　3.3

35、網(wǎng)絡IP分配與管理</p><p>　?。ǚ峙銲P,劃分VLAN）</p><p>　　3.3.1學校VLAN需求劃分</p><p>　　VLAN（Virtual Local Area Network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網(wǎng)（LAN）在交換機上通過軟件劃

36、分成若干個小的虛擬的局域網(wǎng)（VLAN）。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC地址，以便在交換機內(nèi)部的MAC數(shù)據(jù)庫建立MAC地址表，而廣播不能跨越不同網(wǎng)段。</p><p>　　VLAN技術的出現(xiàn)，使得管理員根據(jù)實際應用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏 輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理 上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，

37、而不是從物理上劃分，所以同一個 VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段 。由VLAN的特點可知，一個VLAN內(nèi)部的廣播和單播流量都不會轉發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。 VLAN除了能將網(wǎng)絡劃 分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網(wǎng)絡的拓撲結構變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡中不同部門、不同站點之間的互相訪問。&

38、lt;/p><p>　　通過劃分VLAN子網(wǎng)，能劃小了廣播域，避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴重后果的可能，也避免了廣播風暴的產(chǎn)生。提高交換網(wǎng)絡的交換效率，保證網(wǎng)絡穩(wěn)定。提高網(wǎng)絡安全性，通過劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過路由來實現(xiàn)，因此可在路由器（或三層交換機）上配置訪問列表來進行跨子網(wǎng)段的授權訪問，從而提高校園內(nèi)部網(wǎng)絡訪問的安全性。方便網(wǎng)絡管理：采用VLAN技術來劃

39、分校園網(wǎng)絡，一個VLAN可以根據(jù)不同的院系、辦公室或者服務器組將不同地理位置的工作站劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動，VLAN提供了網(wǎng)段和機構的彈性組合機制。VLAN技術很好的解決了網(wǎng)絡管理的問題，能實現(xiàn)網(wǎng)絡監(jiān)督與管理的自動化，從而更有效的進行網(wǎng)絡監(jiān)控。如表2-3所示，該學校校園網(wǎng)絡Vlan的劃分及IP的分配。</p><p>　　表2-2 學校子網(wǎng)的劃分表<

40、;/p><p>　　表2-3 學校vlan的劃分及IP的分配表</p><p>　　另外，IP地址分為公網(wǎng)地址和私網(wǎng)地址兩類，公有地址（Public address）由Inter NIC（Internet Network Information Center 因特網(wǎng)信息中心）負責。這些IP地址分配給注冊并向Inter NIC提出申請的組織機構。通過它直接訪問因特網(wǎng)。ISP分配給學校的全局IP

41、地址地址段為: 202.106.0.3 --202.106.0.200/24.,私有地址（Private address）屬于非注冊地址，專門為組織機構內(nèi)部使用。以下列出留用的內(nèi)部私有地址</p><p>　　A類 10.0.0.0--10.255.255.255</p><p>　　B類 172.16.0.0--172.31.255.255</p><p>　　C

42、類 192.168.0.0--192.168.255.255</p><p><b>　　四、設備選擇</b></p><p><b>　　4.1核心層設備</b></p><p>　　根據(jù)以上計算數(shù)值，確定網(wǎng)絡的核心交換機，考慮最佳性價比的原則，可采用國產(chǎn)的著名品牌——華為3COM。</p><p&g

43、t;<b>　?、傩@網(wǎng)核心交換機</b></p><p>　　主校區(qū)的核心交換機即整個校園網(wǎng)的核心交換機，可以選擇H3C S7506-AC。</p><p>　　H3C S7500系列交換機是H3C公司面向以業(yè)務為核心的企業(yè)網(wǎng)絡架構而推出的新一代高端多業(yè)務路由交換機。H3C S7500系列交換機作為H3C公司自適應安全網(wǎng)絡的核心產(chǎn)品之一，可廣泛地適用于IP城域網(wǎng)、大

44、型企業(yè)園區(qū)網(wǎng)、中小型企業(yè)辦公網(wǎng)絡的核心層和匯聚層，同時也可以作為以太無源光網(wǎng)絡（EPON）的光線路終端（OLT）設備，為用戶提供多種業(yè)務接入、交換、路由一體化的安全融合網(wǎng)絡解決方案。</p><p>　　H3C S7500系列交換機支持高達768G交換容量的高速引擎，背板帶寬可達到1600Gb/s。H3C S7500系列交換機包括以下4款產(chǎn)品：</p><p><b>　?、谛^(qū)

45、核心交換機</b></p><p>　　S7500：2個業(yè)務插槽，主控板與業(yè)務板合一。</p><p>　　S7503：3個業(yè)務插槽，1個主控插槽。</p><p>　　S7506：6個業(yè)務插槽，1個主控插槽</p><p>　　S7506R：6個業(yè)務插槽，2個主控插槽</p><p>　　表2為本例中H3

46、C S7506-AC的參考配置。</p><p>　　表2 霞山校區(qū)/海濱校區(qū)核心交換機配置清單</p><p><b>　　4.2匯聚層設備</b></p><p>　　4.2.1匯聚點的確定</p><p>　　在校園網(wǎng)的總體規(guī)劃中，將在主校區(qū)的主樓、圖書館、科技樓、實驗樓等處部署匯聚分中心。</p>

47、<p>　　另外，在主校區(qū)的食堂、藝術樓和行政樓各放置樓宇匯聚交換機。</p><p>　　由于當今網(wǎng)絡技術的發(fā)展，很多產(chǎn)品的兼容性問題得到了很好的解決，但考慮到校園網(wǎng)中最終的設備管理等方面的問題，決定采用統(tǒng)一品牌。</p><p>　　4.2.2匯聚層交換機的選擇</p><p>　　如前所述，匯聚層交換機又根據(jù)它所在的位置和所起的作用不同，細分為區(qū)域匯

48、聚交換機和樓宇匯聚交換機。</p><p><b>　?、賲^(qū)域匯聚交換機</b></p><p>　　主校區(qū)的分匯聚點采用H3C S5500-28C-SI。H3C S5500-SI系列交換機是全千兆三層以太網(wǎng)交換機產(chǎn)品，具備豐富的業(yè)務特性，提供IPv6轉發(fā)功能及最多4個10GE擴展接口。通過H3C特有的集群管理功能，用戶能夠簡化對網(wǎng)絡的管理。H3C S5500-SI系

49、列千兆以太網(wǎng)交換機定位為企業(yè)網(wǎng)和城域網(wǎng)的匯聚或接入，同時還可以用于數(shù)據(jù)中心服務器群的連接。H3C S5500-SI系列以太網(wǎng)交換機目前包含5個型號，主要技術指標如下：</p><p>　　背板帶寬192Gb/s。</p><p>　　24個10/100/1000Base-T以太網(wǎng)端口。</p><p>　　4個復用的SFP千兆端口。</p><p

50、><b>　　兩個擴展槽位。</b></p><p><b>　　樓宇匯聚交換機</b></p><p>　　樓宇匯聚交換機采用H3C S3610-28P。H3C S3610系列多協(xié)議交換機是H3C公司基于全新軟、硬件平臺開發(fā)的支持IPv4/IPv6雙棧的盒式路由交換機系列。系列支持IPv4/IPv6雙棧及應急按鈕轉發(fā)，豐富的IPv4/IP

51、v6路由協(xié)議和隧道技術，是理想的大型園區(qū)網(wǎng)、網(wǎng)絡實驗室的核心交換機。</p><p>　　H3C S3610系列多協(xié)議交換機目前包含4個型號，主要技術指標如下：</p><p>　　背板帶寬32Gb/s</p><p>　　24個10/100 Base-T以太網(wǎng)端口。</p><p>　　4個1000Base-X SFP千兆位以太網(wǎng)端口。&l

52、t;/p><p><b>　　4.3接入層選擇</b></p><p>　　接入層是最終用戶被許可接入網(wǎng)絡的節(jié)點?？梢栽谶@一層通過過濾或訪問控制列表提供對用戶流量的進一步控制，但是這一層的主要功能是為最終用戶提供網(wǎng)絡接入。</p><p>　　第二層交換機在MAC子層將用戶連接到網(wǎng)絡，并為每個端口提供專用帶寬。在選擇接入層設別時應考慮以下幾個方面的

53、因素：</p><p><b>　　交換的帶寬。</b></p><p>　　第二層服務，如基于廣播或MAC地址的VLAN設置和數(shù)據(jù)包過濾。</p><p><b>　　是否支持網(wǎng)管。</b></p><p><b>　　性價比</b></p><p>

54、　　這里接入層交換機采用兩種型號的產(chǎn)品，24口交換機采用H3C S1526，16口交換機采用H3C S1016。</p><p>　　H3C S1526交換機是二層線速以太網(wǎng)交換產(chǎn)品，是為要求具備高性能且易于安裝的網(wǎng)絡環(huán)境而設計的智能型交換機。S1526背板帶寬為8.8Gb/s，提供了24個10/100/Mb/s端口，2個千兆銅纜/SFP組合端口，用于靈活的千兆銅纜或光纖骨干連接，用戶可根據(jù)傳送距離的不同要求靈活

55、地選擇1000BASE-LX、1000BASE-SX、1000BASE-T等多種接口類型。該款交換機支持Vlan劃分、端口鏡像、端口聚合和QoS等功能，可以通過Web界面進行方便的配置。</p><p><b>　　五、安全設計</b></p><p>　　安全策略越來越成為學校計算機網(wǎng)絡的關鍵因素。特別是隨著多協(xié)議新業(yè)務的發(fā)展、電子商務、網(wǎng)上辦公、各種中間業(yè)務的應用

56、，學校網(wǎng)絡不再是一個封閉的網(wǎng)絡，極大地擴展了學校的業(yè)務，提高了學校的競爭力，但同時也帶來網(wǎng)絡安全的風險。網(wǎng)絡設計中必須制定網(wǎng)絡安全策略，保證內(nèi)部網(wǎng)絡的完整性和安全性。 </p><p>　　所謂安全威脅，就是未經(jīng)授權，對位于服務器、網(wǎng)絡和桌面的數(shù)據(jù)和資源進行訪問，甚至破壞或者篡改這些數(shù)據(jù)/資源。從安全威脅的對象來看，可以分為網(wǎng)絡傳送過程、網(wǎng)絡服務過程和軟件應用過程三類。網(wǎng)絡傳送過程主要針對數(shù)據(jù)鏈路層和網(wǎng)絡層協(xié)議特

57、征中存在的漏洞進行攻擊，如常見的監(jiān)聽、ip地址欺騙、路由協(xié)議攻擊、ICMP Smurf攻擊等；網(wǎng)絡服務過程主要是針對TCP/UDP以及局域其上的應用層協(xié)議進行，如常見的UDP/TCP欺騙、TCP流量劫持、TCP Dos、FTP反彈、DNS欺騙等等；軟件應用過程則針對位于服務器/主機上的操作系統(tǒng)以及其上的應用程序，甚至是基于WEB的軟件系統(tǒng)發(fā)起攻擊。從安全威脅的手法來看，蠕蟲、拒絕服務、艦艇、木馬、病毒……都是常見的攻擊工具。</p

58、><p>　　5.1路由器和交換機的安全功能</p><p>　　路由器實現(xiàn)的網(wǎng)絡安全技術有：</p><p>　　VPN技術：IPSec、GRE;包過濾技術;日志功能;NAT網(wǎng)絡地址轉換；PPP協(xié)議PAP、CHAP認證；PPP協(xié)議Callback技術；IP地址－MAC地址綁定技術；路由信息認證技術； IEEE 802.1Q VLAN技術</p><

59、p><b>　　5.2安全措施</b></p><p>　　a.基于包過濾的防火墻技術</p><p>　　路由器支持基于包過濾的防火墻技術，防火墻訪問列表根據(jù)IP報文的IP報頭及所承載的上層協(xié)議（如TCP）報頭中的每一個域包含了可以由路由器進行處理的信息。包過濾通常用到的IP報文的以下屬性：</p><p>　　IP的源、目的地址及協(xié)議

60、類型</p><p>　　TCP或UDP的源、目的端口</p><p>　　ICMP碼、ICMP的類型碼</p><p><b>　　TCP的標志域</b></p><p><b>　　服務類型TOS</b></p><p>　　IP報文的優(yōu)先級（precedence)<

61、;/p><p><b>　　b.日志功能</b></p><p>　　日志（log）功能用于將路由器產(chǎn)生的各種信息以日志形式記錄到具備Syslog功能的主機上（如Unix主機或運行Syslogd的主機）。日志功能與訪問列表功能相結合可以任意定義所要記錄的信息，以備查用，如跟蹤記錄黑客攻擊報文等。</p><p>　　c.NAT網(wǎng)絡地址轉換技術<

62、;/p><p>　　網(wǎng)絡地址轉換，用來實現(xiàn)內(nèi)部網(wǎng)絡私有地址和外部網(wǎng)絡公共地址的相互轉換，它的優(yōu)點在于避免了內(nèi)部非法地址和外部公共地址間的沖突，屏蔽了內(nèi)部網(wǎng)絡的實際地址，隱藏了內(nèi)部網(wǎng)絡的結構，增強了對外部網(wǎng)絡訪問的可控性，也增強了外部網(wǎng)絡對內(nèi)部網(wǎng)絡訪問的可控性。</p><p>　　選擇路由器支持靜態(tài)地址翻譯（SNAT）、端口地址翻譯（PAT）、動態(tài)地址翻譯（DNAT）?？梢灾С謳гL問列表的地

63、址轉換，用來限定可以進行地址轉換的內(nèi)部主機地址，有效地控制內(nèi)部主機對外部網(wǎng)絡的訪問；同時還可以根據(jù)地址池，進行多對多的地址轉換，合理地利用公共的合法IP地址資源；利用網(wǎng)絡地址轉換，可以在屏蔽內(nèi)部地址的同時，確保了對外的各種網(wǎng)絡服務的安全性。</p><p>　　d.IP地址－MAC地址綁定技術</p><p>　　MAC地址綁定技術是通過在路由器中靜態(tài)配置IP地址和MAC地址的映射關系來完

64、成ARP應答來實現(xiàn)的.</p><p>　　e．動態(tài)路由協(xié)議認證技術</p><p>　　路由器是根據(jù)路由信息來發(fā)送報文的，而路由信息恰恰又是通過網(wǎng)絡在不同的路由器間轉發(fā)的。所以，在接受任何路由信息之前，有必要對該信息的發(fā)送方進行認證，以確保收到的路由信息是合法的。我們學校校園網(wǎng)配置OSPF協(xié)議。</p><p><b>　　f.訪問控制</b&g

65、t;</p><p>　　也可以在核心交換機或者匯聚交換機上設置訪問控制，比如限制不同網(wǎng)段之間的互訪，但是允許這兩個網(wǎng)段對中心服務器的訪問。設置允許兩個網(wǎng)段上特定的主機可以訪問外網(wǎng)和Internet等。</p><p>　　在核心交換機上可以設置ACL訪問控制列表，端口監(jiān)控等，控制和管理特定服務，如允許http、Mail、Ftp等服務，而禁止其他不需要的服務和端口，如禁止外部發(fā)起的ICMP

66、報文等；采用NAT地址轉換技術，實現(xiàn)上網(wǎng)?？梢圆捎渺o態(tài)、動態(tài)NAT，PAT等多種方式，對于內(nèi)部某些對外的服務器，如Web服務器、Mail服務器、DNS服務器、FTP服務器等，可以采用靜態(tài)NAT方式建立內(nèi)外網(wǎng)地址和特定端口之間的靜態(tài)映射。而一般用戶可以采用動態(tài)地址池，端口地址轉換等方式實現(xiàn)上網(wǎng)。</p><p><b>　　g. 防arp攻擊</b></p><p>　

67、　防arp攻擊這項功能，在統(tǒng)計周期和吞吐量的設定上最好使用默認配，只需要在全局和端口下開啟此功能即可。我們可擁有內(nèi)建的防制ARP功能，借助自動檢視封包的機制，偵測過濾可疑的封包，做為防制ARP攻擊的第一道防線。當然如果網(wǎng)管人員可搭配IP /MAC雙向綁定，在路由器端以及各個系所或是宿舍內(nèi)的PC端進行IP/MAC綁定，即可達到防堵ARP無漏洞的效果。另外一方面，由于網(wǎng)絡信息包羅萬象，有許多不當應用或網(wǎng)站例如BT下載等，對于校園學子風氣有不

68、良的影響，應透過防火墻Access Rule存取規(guī)則或網(wǎng)頁內(nèi)容管制設定，針對特定的網(wǎng)域或關鍵詞搜尋予以封鎖服務。</p><p><b>　　5.3主機的安全</b></p><p>　　主機是最可能被攻擊的目標之一，同時從安全方面也有最多的困難。學校網(wǎng)中有很多不同的硬件平臺、操作系統(tǒng)、和應用程序。因為主機要向網(wǎng)絡中其他機器提供服務，所以主機在網(wǎng)絡中必須是可見的，因此

69、主機是最可能被嘗試侵入的。為保證主機的安全，需要注意到系統(tǒng)中的每一部件。保持操作系統(tǒng)和防毒軟件的及時的更新；安裝適當?shù)慕?jīng)過測試的補丁程序。雖然強效防火墻，可防止一般的攻擊，但目前許多病毒與攻擊層出不窮，校園網(wǎng)絡又如此龐大，因此萬一不幸中毒，也希望可以盡量縮小感染的范圍，不致擴散到整體網(wǎng)絡。因此，各個系所以及學生宿舍都必須建置基礎的VLAN隔離，才不會導致某一層宿舍里某個學員中毒，造成整個學生宿舍網(wǎng)絡全面感染中毒的狀況。 VLAN

70、的概念是讓網(wǎng)管依據(jù)不同網(wǎng)段，劃分出不同的局域網(wǎng)，比如宿舍區(qū)可區(qū)分為一樓、二樓、三樓等不同VLAN，再使用VLAN功能將一樓、二樓、三樓不同局域網(wǎng)區(qū)分為VLAN1、VLAN2、VLAN3…作為隔離。如此一來不同VLAN的局域網(wǎng)便不能互相訪問，便可限制病毒與無用信息流通。也就是說，當一個VLAN中(例如：一樓)有人不幸中毒，只會影響同一個VLAN(一樓)內(nèi)的VLAN，不會擴散到整</p><p><b>　

71、　六、網(wǎng)絡管理和維護</b></p><p>　　為了提高網(wǎng)絡管理能力設計中所有設備最好具有網(wǎng)管功能，不存在光纖收發(fā)器等類似不可網(wǎng)管設備，提高了網(wǎng)絡可靠性和可管理。</p><p>　　支持通用的網(wǎng)絡管理協(xié)議如（SNMP），方便網(wǎng)絡的管理和維護。</p><p>　　支持通用的的網(wǎng)絡管理軟件，如Cisco Ciscoworks、HP Open View、

72、3Com Trensand。</p><p><b>　　6.1網(wǎng)絡管理</b></p><p>　　隨著校園網(wǎng)的不斷發(fā)展和應用，網(wǎng)絡管理和安全防范問題也越來越復雜。為此，我校專門設立了網(wǎng)絡管理中心，負責網(wǎng)絡管理系統(tǒng)的建立和應用、線路和站點的監(jiān)測、通信設備管理、全局目錄管理、用戶和文件管理及收費管理、用戶培訓等。同時，利用網(wǎng)管中心，可以方便地采取各種安全性措施，控制通

73、信，購買硬件防火墻，即時下載系統(tǒng)漏洞，實施新的安全技術，數(shù)據(jù)備份等提高網(wǎng)絡可靠和安全性能水平。</p><p>　　校園網(wǎng)管理的主要目的是保障網(wǎng)絡運行的品質(zhì)，如維持網(wǎng)絡傳送速率、降低傳送錯誤率、確保網(wǎng)絡安全等。所以校園網(wǎng)系統(tǒng)管理的技術人員可借網(wǎng)絡管理工具或本身的技術經(jīng)驗實施網(wǎng)絡管理，內(nèi)容可分為下列6項： （1）系統(tǒng)管理隨時掌握網(wǎng)絡內(nèi)任何設備的增減與變動，管理所有網(wǎng)絡設備的設置參數(shù)。當故障發(fā)生時，管理人員得以

74、重設或改變網(wǎng)絡設備的參數(shù)，維持網(wǎng)絡的正常運作。 （2）故障管理為確保網(wǎng)絡系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡出現(xiàn)問題時，必須及時察覺問題的所在。它包含所有節(jié)點動作狀態(tài)、故障記錄的追蹤與檢查及平常對各種通訊協(xié)議的測試。 （3）效率管理在于評估網(wǎng)絡系統(tǒng)的運作，統(tǒng)計網(wǎng)絡資源的運用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡提升或更新規(guī)劃的依據(jù)。 （4）安全管理為防范不被授權的用戶擅自使用網(wǎng)絡資源，以及用戶蓄意破壞網(wǎng)絡系統(tǒng)的安全，要隨時做好安全措

75、施，如合法的設備存取控制與加密等。 （5）計費管理了解網(wǎng)絡使用時間，能針對各個局部網(wǎng)絡做使用統(tǒng)計。一則可作為使用網(wǎng)絡計費的依據(jù)，更可作為日后網(wǎng)絡升級或更新規(guī)劃的參考。 （6）信息管理網(wǎng)絡上的信息分成兩部分，一是由管理員放置的信息，它們的品質(zhì)一般較高；另</p><p>　　要真正提高校園網(wǎng)的應用水平，就必須堅持不懈地在教學和學習中應用網(wǎng)絡，以切實提高教學水平、管理水平和學習水平，其中加強對相關人員的培訓十

76、分必要。為此我校正舉辦網(wǎng)絡技術培訓班，對校園網(wǎng)的四類實用人員，即學校領導、系統(tǒng)維護人員、課件制作人員和應用系統(tǒng)使用人員，分期分批進行網(wǎng)絡培訓，以提高全體師生的網(wǎng)絡應用水平，并促進校園網(wǎng)的健康發(fā)展</p><p>　　6.2網(wǎng)絡操作系統(tǒng)管理體系的選擇</p><p>　　網(wǎng)絡操作系統(tǒng)的管理一般包括如下方面： 賬戶和資源管理介紹</p><p><b>　　

77、管理服務器</b></p><p>　　管理用戶和計算機賬戶</p><p><b>　　管理組</b></p><p>　　組織單位對象的訪問管理</p><p><b>　　實現(xiàn)組策略</b></p><p>　　使用組策略管理用戶環(huán)境8</p>

78、<p>　　應用管理模板和審核策略</p><p>　　使用軟件更新服務管理軟件1</p><p>　　服務器性能監(jiān)視的準備</p><p><b>　　監(jiān)視服務器性能</b></p><p><b>　　維護設備驅(qū)動程序</b></p><p><b>

79、;　　、資源訪問管理</b></p><p><b>　　實現(xiàn)打印</b></p><p><b>　　第打印管理</b></p><p><b>　　磁盤管理</b></p><p><b>　　數(shù)據(jù)存儲管理</b></p>&

80、lt;p><b>　　故障恢復的管理 </b></p><p>　　對于這些方面的管理，我們平時只要稍加學習，就可以方便的操作了。</p><p><b>　　七、實驗心得</b></p><p>　　通過兩周時間的網(wǎng)絡工程課程設計，我受益匪淺，學到了許多知識，更重要的是，我解決問題的能力有了明顯的提供。</

81、p><p>　　本次網(wǎng)絡工程課程設計的任務是以我校為背景，設計一個校園網(wǎng)方案。隨著網(wǎng)絡的不斷發(fā)展，校園應用中數(shù)據(jù)、話音、視頻等多媒體傳輸需要的逐漸增加，校園網(wǎng)建設正向高速化，智能化方向發(fā)展。隨之而來的是校園網(wǎng)用戶對資源共享，多媒體教學、數(shù)據(jù)安全保障、高速網(wǎng)絡交換以及未來網(wǎng)絡擴展等等的需求日益增長，建設一個滿足學?，F(xiàn)狀和未來應用需求的高效網(wǎng)絡，成為提高學校信息化應用水平和整體投資效益的關鍵。</p>&l

82、t;p>　　校園網(wǎng)建設的設計中應充分考慮到教育管理和多媒體教學的要求，并且網(wǎng)絡技術上應該具有一定的先進性，同時還要為以后的擴展留有一定的空間。為此校園網(wǎng)應該能達到以下要求；網(wǎng)絡具有傳遞語音、圖形、圖像等多種信息媒體功能，具備資源共享功能；校園網(wǎng)中各終端間具有快速交換功能；中心系統(tǒng)交換機采用虛擬網(wǎng)技術，對網(wǎng)絡用戶具有分類控制功能。對網(wǎng)絡資源的訪問提供完善的權限控制，網(wǎng)絡具有防止及便于殺毒功能，以保證網(wǎng)絡使用安全；校園網(wǎng)與Intern

83、et網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡黑客入侵網(wǎng)絡系統(tǒng)，可對計入因特網(wǎng)的各網(wǎng)絡用戶進行權限控制。</p><p>　　在網(wǎng)絡工程課程設計之初我先做了需求分析，在需求分析的基礎上進行系統(tǒng)設計、技術選型、規(guī)劃、設計網(wǎng)絡的邏輯拓撲方案、布線設計等，劃分子網(wǎng)，設計子網(wǎng)地址、掩碼和網(wǎng)關，為每個子網(wǎng)中的計算機制定IP地址，然后在網(wǎng)絡上根據(jù)條件進行設備選型，決定各類硬件的配置、報價，最終計算出經(jīng)費預算。</p&g

84、t;<p>　　在整個校園網(wǎng)方案設計過程中，我認為掌握學習的方法，提高解決問題的能力是最重要的。學習是我們一生都在做的事情，而學習的方法是逐步提高的。學習要好，方法得要對，在這個方案的設計過程中，我就深刻認識到學習方法得重要性，比如以前，我只懂一些網(wǎng)路設計的基本知識，而沒有動手實踐過，這次的課程設計我才認識到實踐就是學習，實踐就是學習的最好方法。解決問題的能力也是逐步提高的，通過這次的課程設計，我遇到了許多問題，開始不知如

85、何下手，但是通過進一步的學習，查找資料，請教老師，同學，我解決了許多問題，從而完成了課程設計，總之，本次網(wǎng)絡工程課程設計讓我感受很深，也讓我學到了許多知識，懂得了許多道理。</p><p>　　在本次課程設計中，有成功之處，也有不足。</p><p>　　整體上來說，這次課程設計還是很成功的，無論是在學習上還是在生活中，都需要有一種堅持不懈，知難而進，勇于探索的精神。經(jīng)過這次課程設計，在以

86、后的學習和生活中我都會受益匪淺。而且在以后的學習中我們還要更認真的學習組網(wǎng)知識，力爭對它熟練地掌握。</p><p><b>　　參考文獻</b></p><p>　　[1] 王喆，羅進文．現(xiàn)代通信交換技術．北京：人民郵電出版社，2009.</p><p>　　[2] 王保順，張煒 編著 校園網(wǎng)設計與遠程教學系統(tǒng)開發(fā) 2003.01.<

87、/p><p>　　[3] 張浦生.網(wǎng)絡組建的工作過程與任務. 電子工業(yè)出版社,2010.</p><p>　　[4] 謝希仁，計算機網(wǎng)絡 第五版 電子工業(yè)出版社 北京 2010.4</p><p>　　[5] 張基溫. 計算機網(wǎng)絡技術（第2版）.北京:高等教育出版社，2008-9.</p><p>　　[6] 馮昊、黃治虎、伍技祥 交換機/路由器

88、的配置和管理 清華大學出版社，2005 </p><p>　　[7] 杜煜 姚鴻 計算機網(wǎng)絡基礎 人民郵電出版社，2001</p><p>　　[8] 吳獻文 計算機網(wǎng)絡安全基礎與技能訓練 西安電子科技大學出版社，2008</p><p>　　[9] 王祥仲. 局域網(wǎng)組建實用培訓教程.北京：清華大學出版社</p><p>　　[10] 張際