校園網路組建方案

中小型區域網設計方案

----雁北學院網路組建方案

***x 05計網11班

摘要本課題主要討論：校園網的建設，管理與維護。高度發達的計算機網路是資訊化校園的核心技術支撐。

具體的形式就是校園網，即在校園範圍內連線的計算機網路，它將行政管理、資訊管理、教學服務、研究開發等各類系統連線起來，實現這些系統之間的資訊交換和資訊服務。網路化的內容還應該包括與校園網及其整個國際互連網的充分互連。正因為如此，校園的教學、科研資源與社會知識資源實現了高度整合，使資訊化校園成為完全開放、超越時空的校園平台和知識中樞。

在教學上來說校園網提供的對**教學方式為學生提供拉乙個立體的多感官的教學環境，更有利與學生學習知識，掌握知識。本校園網的作用不僅僅是用於教學，而且更可以用於學校的辦公自動化，對各種檔案進行管理，對學生日常資訊進行管理，是乙個為科研教學辦公學生管理提供了乙個全方位的平台，大大方便教師教學，對提高教學辦公效率，增強教學效果有著非常重要的意義。

關鍵字：校園網 vlan 交換路由

一、概述：

1.1專案背景

學院坐落於歷史文化名城、煤海之鄉山西大同。校園占地面積700畝，建築面積36萬平方公尺，學校有主要建築：教學樓4棟、科技實驗樓1棟、新圖書館1棟、行政樓一棟、宿舍樓9棟。

中外文藏書50萬餘冊，教學科研儀器裝置總值已達5000萬元。基本辦學條件均達到或超過教育部專科教學水平評估規定的合格標準。下設政法、管理、藝術、工學、計算機、經濟管理等8個系，開設專科專業35個，全日制專科在校生9600人，師資隊伍建設取得了較大的成績。

現有專職教師507名，教授22名，副教授82名，講師120名。外聘兼職教師16名，聘請6名兩院院士任我院榮譽教授，教師隊伍的職稱、學歷結構漸趨優化。由於學院的高速發展，急需建立乙個可擴充套件的、高速的、充分冗餘的、基於標準的網路。

1.2專案的目的及意義

在網路資訊時代的今天，面向新的需求和挑戰，為了學校的科研、教學、管理的技術水平，為研究開發和培養高層次人才建立現代化平台，建設intranet/internet技術的高速多**校園網。

雁北學院的整個高速多**校園網建設原則是"經濟高效、領先實惠"，既要領先一步，具有發展餘地，又要比較實惠。校園網是集計算機技術、網路技術、多**技術於一體的系統，能夠最大限度地調動學生對教學內容的參與性以及積極性。

本校園網建設的目標主要是建立以校園網路為基礎的行政、教學及師生之間互動式管理系統，逐步建立學校資訊管理網路，實現辦公自動化；為開展網上遠端教學、多**互動式立體教學模式的探索提供高速、穩定的支援平台；逐步建立計算機輔助教學、計算機輔**試等系統，為實現多**課件製作網路化，教師備課電子化、多**化打好基礎；保證網路系統的開放性、可持續發展性，便於以後整合**會議、**點播等高層次教學功能。

1.3專案的特點

隨著現代化教學活動的開展和與國內外教學機構交往的增多，對通過internet/intranet網路進行資訊交流的需求越來越迫切，為促進教學、方便管理和進一步發揮學生的創造力，校園網路建設成為現代教育機構的必然選擇。校園網大都屬於中小型系統，以園區區域網為主，雁北學院的校園網具有以下的特點：

高速的區域網連線——校園網的核心為面向校園內部師生的網路，由於參與網路應用的師生數量眾多，而且資訊中包含大量多**資訊，故大容量、高速率的資料傳輸是網路的一項基本要求；本方案核心層交換機採用的是cisco catalyst 4006，達到萬兆的速度以滿足了師生的需求；

資訊結構多樣化——校園網應用分為電子教學（多**教室、電子圖書館等）、辦公管理和遠端通訊（遠端教學、網際網路接入）三大部分內容：電子教學包含大量多**資訊，辦公管理以資料庫為主，遠端通訊則多為www方式，因此資料成分複雜，不同型別資料對網路傳輸有不同的質量需求；

安全性——校園網中同樣有大量關於教學和檔案管理的重要資料，不論是被損壞、丟失還是被竊取，都將帶來極大的損失；本方案中採用了防火牆、acl、身份仁政等技術保證網路的安全；

可靠性—— 本方案的關鍵部件均可以冗餘配置、冗餘工作。電源的冗餘是採用ups電源供電方式，核心交換機採用兩條鏈路實現負載均衡，接入層交換機採用生成樹技術，在避免二層鏈路環迴的同時，提供了備份連線。可靠性達到了99.

9%。易於管理——校園網面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，介面友好，不宜太過專業化；

二、需求分析

2.1 結構分析

根據專案的背景描述，本方案中在核心層採用萬兆交換機可以大大提高核心資料交換能力，而整個校園網路不僅需要保證各個接入點充足的頻寬，而且需要擁有可管理且安全的網路服務，這樣才能讓整個校園網發揮最大的功用，成為整個校園的中樞神經。

在核心層，萬兆核心交換機通過萬兆鏈路分別與兩台接入層的萬兆上連交換機相連，構成萬兆環網設計，一旦其中一條萬兆鏈路出現問題，另一條會立刻自動啟用。在鏈路設計上，充分保障了關鍵區域網路的穩定可靠。

在對頻寬需求比較大的教學場所或圖書館等接入層部署萬兆骨幹交換機，需要配備多個擴充套件槽，以滿足未來的擴充套件需要，並實現萬兆線卡的線速**。接入層的其它地方則要部署千兆交換機。另外，網路裝置還需要支援硬體ipv6，為以後的平滑過渡做準備。

在接入層，網路接入交換機全部採用安全智慧型接入交換機，以提供強大的安全功能，從而在接入層對常見的病毒和攻擊進行防護。

2.2 效能分析

網路的高效能首先需要在核心層得到保障，因此，核心交換機的先進性、吞吐量和可靠性是校園網最重要的環節之一。萬兆核心交換機至少需要支援3.2tbps的背板處理能力，且具有1190mbps以上的的包**能力，還需要採用第二代crossbar架構，以克服第一代crossbar架構技術的侷限性，從而達到質的提公升。

另外，核心交換機需要採用acl（接入控制）來實現病毒防護、安全過濾等功能。在核心交換機的acl實現方面，需要採用硬體asic晶元，達到在保證安全的同時不影響網路效能的目的，同時實現整機資料埠級同步處理acl/qos.通過線卡晶元線速**l2/l3/組播資料，實現從線卡到埠的全面匯聚式硬體設計，有效分流、緩解線卡asic晶元的負載壓力，極大地提公升交換機的整體資料處理能力，滿足業務急劇增長的需要，保持網路的高效能無阻塞交換和網路安全防護，實現多資料多業務的全線速處理。

在可靠性方面，核心裝置需要電源冗餘、交換引擎冗餘，另外，模組需要具備熱拔插功能，以防止裝置級單點故障。

2.3 接入認證分析

以前校園網在設計時的立足點是讓每個使用者都可以無障礙地接入到網路中來，同時，儘量減少故障率。而現在，在保證無障礙接入的同時，校園網更加注重接入使用者的認證，未經授權的網路接入和接入需要禁止。目前，在實現認證功能方面，最常採用的是802.

1x技術，而以前常用的web portal或pppoe認證方式，已逐步被淘汰。

由於校園網使用者接入型別相對繁雜，包括生活區及教學區的固定接入、機房接入、圖書館接入以及無線接入等方式。網管人員可以通過賬號、ip位址、 mac位址、交換機、交換機埠等多元素靈活繫結，以滿足複雜的應用需求。

在認證策略方面，可採取認證計費報文與業務資料分流技術。在認證通過後，業務資料流就旁路了。這樣使用者在整個上網過程中，就避免了報文和伺服器的交換，交換機也無須處理認證計費報文，從而保證了網路效能。

在認證計費技術的實現上，每個接入交換機的每乙個埠均相當於乙個認證者，從而實現了匯聚認證，排除單點故障，同時克服了傳統閘道器裝置進行認證計費時造成的效能瓶頸。

2.4 ip位址分析

在校園網執行中，由於使用者自行隨意分配ip位址，常會發生ip位址衝突、盜用和濫用的情況，這嚴重干擾了校園網的正常執行，也是網路管理人員最頭痛的問題。因此，如何解決ip位址衝突，並有效防止ip位址的盜用和濫用，是校園網建設中必須考慮的問題。

在接入客戶端上啟用埠+ip+ mac繫結是解決ip位址問題的乙個非常有效的方法。這就需要接入交換機能夠支援硬體實現ip、mac、埠繫結和ip+mac繫結，並能實現埠反查功能，從而追查源ip、mac接入以及惡意使用者，有效地防止通過假冒源ip、mac位址進行網路攻擊，進一步增強網路的安全性。

控制類似arp攻擊，保護校園網路安全也是乙個非常重要的工作。接入交換機需要支援arp報文檢測功能。交換機通過核對arp報文中的源ip、mac是否和埠安全規則一致，有效防止了安全埠上的arp欺騙以及非法資訊點冒充網路關鍵裝置ip事件的發生。

2.5應用分析

乙個完善的校園網路應該具備杜絕非法組播源、保證合法組播源正常應用的功能，同時還能夠保障網路頻寬合理有效地利用。

目前銷售的交換機均支援imgp源埠檢查，能夠有效杜絕全網非法組播源，嚴格限定igmp組播流的進入埠。當igmp源埠檢查關閉時，從任何埠進入的**流全是合法的，交換機會把它們**到已註冊的埠。而當igmp源埠檢查開啟時，只有從路由連線口進入的**流才是合法的，交換機會把它們**向已註冊的埠，而從非路由連線口進入的**流則會被視為非法埠進而被丟棄。

另外，校園網還需要控制和過濾已知的網路病毒型別，保障正常網路資源的接入，這需要依靠acl來實現。acl還要支援智慧型的防掃瞄功能，從而判斷使用者是否對網路進行掃瞄，如果結果超出定義值，交換機就會自動切斷使用者連線，從而保障網路的正常應用。

實現智慧型控制網路應用，合理規劃使用資源，需要網路對出現的新應用有探知能力。例如在校園網中盛行的p2p應用，如果不對其加以控制，其後果將是有效頻寬被無限制地占用。因此，交換機需要支援對新應用的深度識別和控制，除硬體識別報文中的二層欄位如mac位址、三層欄位ip位址、四層字段 tcp/udp埠號以外，還能硬體識別和控制報文內容，從而及時在接入層進行遏制，達到控制氾濫使用或不法網路應用流的目的。

2.6 安全分析

安全性是網路設計中最重要的方面之一，但在網路設計過程中它經常被忽視，因為安全性通常被認為是執行的問題而非設計的問題。然而，如果在設計網路之前考慮了安全性，就可以避免在已經完成的設計中加入安全措施時所帶來的擴充套件性和效能方面的問題。此外，可以在邏輯設計階段就考慮折衷方案，以便能夠設計出滿足安全目標的解決方案。

所以，在本校園網的設計中中，要求所有使用者必須有嚴格的安全身份認證才能登入。要實現對非法訪問、非法入侵、內部的不良企圖作安全記錄，阻止非法操作。要具有良好的防病毒系統。

對於內網的成員，必須經過安全身份認證才能登入內部辦公網。為了防止非法入侵和計算機病毒，並保證內網與網際網路連線的安全，外網需要建立一組相互重疊的安全機制，包括防火牆、資料報過濾、防病毒系統、審查日記、身份驗證和授權等。將公共伺服器，比如www、應用伺服器、ftp伺服器和郵件伺服器放置於dmz區（非軍事化區），可以通過防火牆的隔離和內部真實位址的隱藏使網路處於安全的狀態。

校園網路組建方案

校園網組建方案

校園網路設計和組建開題報告

校園網組建方案設計

校園網路組建方案

校園網組建方案

校園網路設計和組建開題報告

校園網組建方案設計

相關推薦