網(wǎng)絡(luò)工程課程設(shè)計(jì)--- 校園網(wǎng)內(nèi)網(wǎng)設(shè)計(jì)

1、<p><b>　　信息與電氣工程學(xué)院</b></p><p><b>　　課程設(shè)計(jì)說明書</b></p><p>　?。?011/2012學(xué)年第二學(xué)期）</p><p>　　課程名稱 ： 網(wǎng)絡(luò)工程課程設(shè)計(jì)</p><p>　　題 目 ： 校園網(wǎng)內(nèi)網(wǎng)設(shè)計(jì)</p>

2、<p>　　專業(yè)班級 ： 　</p><p>　　組 長 ： 　　</p><p>　　組 員： </p><p>　　指導(dǎo)教師 ： </p><p>　　設(shè)計(jì)周數(shù) ：2周</p><p>　　設(shè)計(jì)成績 ：

3、</p><p>　　2012年 6 月 14 日 </p><p><b>　　網(wǎng)絡(luò)工程項(xiàng)目設(shè)計(jì)</b></p><p><b>　　一、前言</b></p><p>　　隨著學(xué)校教育手段的現(xiàn)代化，很多學(xué)校已經(jīng)逐漸開始將學(xué)校的管理和教學(xué)過程向電子化方向發(fā)展，校園網(wǎng)的有無以及水平的高

4、低也將成為評價(jià)學(xué)校及學(xué)生選擇學(xué)校的新的標(biāo)準(zhǔn)之一，此時(shí)，校園網(wǎng)上的應(yīng)用系統(tǒng)就顯得尤為重要。一方面，學(xué)生可以通過它在促進(jìn)學(xué)習(xí)的同時(shí)掌握豐富的計(jì)算機(jī)及網(wǎng)絡(luò)信息知識，毫無疑問，這是學(xué)生綜合素質(zhì)中極為重要的一部分；另一方面，基于先進(jìn)的網(wǎng)絡(luò)平臺和其上的應(yīng)用系統(tǒng)，將極大的促進(jìn)學(xué)校教育的現(xiàn)代化進(jìn)程，實(shí)現(xiàn)高水平的教學(xué)和管理。</p><p>　　現(xiàn)代辦學(xué)條件的學(xué)校必須建立完善的服務(wù)于教育教學(xué)的計(jì)算機(jī)校園網(wǎng)、信息庫。校園網(wǎng)為學(xué)校的教

5、學(xué)、管理、辦公、信息交流和通訊等提供綜合的網(wǎng)絡(luò)環(huán)境。校園網(wǎng)的使用，使學(xué)校的教育、教學(xué)研究和管理工作跨上一個(gè)新臺階，我們可以充分利用現(xiàn)有計(jì)算機(jī)資源，實(shí)現(xiàn)信息交流和軟硬件資源的共享，實(shí)現(xiàn)學(xué)校辦公、管理、教學(xué)的現(xiàn)代化。</p><p>　　校園網(wǎng)是當(dāng)今信息社會(huì)發(fā)展的必然趨勢。它是以現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)及Internet技術(shù)等為基礎(chǔ)建立起來的計(jì)算機(jī)網(wǎng)絡(luò)，一方面連接學(xué)校內(nèi)部子網(wǎng)和分散于校園各處的計(jì)算機(jī)，另一方面作為溝通

6、校園內(nèi)外部網(wǎng)絡(luò)的橋梁。校園網(wǎng)為學(xué)校的教學(xué)、管理、辦公、信息交流和通信等提供綜合的網(wǎng)絡(luò)應(yīng)用環(huán)境。要特別強(qiáng)調(diào)的是，不能把校園網(wǎng)簡單的理解為一個(gè)物理意義上的由一大堆設(shè)備組成的計(jì)算機(jī)硬件網(wǎng)絡(luò)，而應(yīng)該把校園網(wǎng)理解為學(xué)校信息化、現(xiàn)代化的基礎(chǔ)設(shè)施和教育生產(chǎn)力的勞動(dòng)工具，是為學(xué)校的教學(xué)、管理、辦公、信息交流和通信等服務(wù)的。要實(shí)現(xiàn)這一點(diǎn)，校園網(wǎng)必須有大量先進(jìn)實(shí)用的應(yīng)用軟件來支撐，軟硬件的充分結(jié)合是校園網(wǎng)發(fā)揮作用的前提。</p><p&

7、gt;　　一個(gè)好的校園網(wǎng)，安全問題是至關(guān)重要的。隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。</p><

8、p><b>　　二、需求分析</b></p><p><b>　　1、工作目標(biāo)</b></p><p>　　某大學(xué)具有14個(gè)二級學(xué)院，分別位于同一城市的4個(gè)校區(qū)中，其中大學(xué)與4個(gè)二級學(xué)院在一個(gè)校區(qū)（校區(qū)1），另外6個(gè)二級學(xué)院位于一個(gè)校區(qū)（校區(qū)2），而其他4個(gè)學(xué)院分別位于校區(qū)3和校區(qū)4。每個(gè)學(xué)院都擁有1500臺PC。建筑物數(shù)量各同學(xué)自己確定（

9、一般包括行政樓、圖書館、教學(xué)樓、學(xué)生宿舍、教工宿舍、體育館、學(xué)生活動(dòng)中心、飯?zhí)?、商業(yè)街、大講堂等）。師生員工數(shù)目前20000人，規(guī)劃人數(shù)30000人。</p><p>　　大學(xué)已從中國教育科研網(wǎng)（CERNET）有關(guān)機(jī)構(gòu)申請了IPv4地址塊58.193.144.0/20；申請的帶寬是500M，光纖接入。萬兆以太網(wǎng)作為整個(gè)核心層、千兆構(gòu)成匯聚層的主干、百兆到LAN/主機(jī)構(gòu)成了接入層。</p><p

10、>　　大學(xué)向因特網(wǎng)發(fā)布信息并為全校提供有關(guān)的信息化服務(wù)，每個(gè)學(xué)院也自行向因特網(wǎng)發(fā)布學(xué)院信息并負(fù)責(zé)學(xué)院自己的信息服務(wù)。</p><p>　　大學(xué)下設(shè)各行政部門：學(xué)校辦公室、教務(wù)處和學(xué)工部。各學(xué)院都有自己的行政部門：學(xué)院辦公室、教學(xué)辦和學(xué)工辦。其中相關(guān)部門之間聯(lián)系較多，試設(shè)計(jì)大學(xué)與學(xué)院、學(xué)院與學(xué)院之間的網(wǎng)絡(luò)設(shè)計(jì)。</p><p><b>　　2、功能需求</b>&l

11、t;/p><p>　　設(shè)計(jì)一個(gè)大學(xué)校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)設(shè)計(jì)，應(yīng)充分考慮各部門之間的可達(dá)性和安全性，使用VLAN進(jìn)行劃分?？紤]地址分配中聚合的問題及冗余的規(guī)劃。在此基礎(chǔ)上建設(shè)能滿足教學(xué)、科研和管理工作需要的軟硬件環(huán)境，開發(fā)建設(shè)各類教學(xué)資源庫與應(yīng)用系統(tǒng)，為教師、學(xué)生及家長提供充分的網(wǎng)絡(luò)信息服務(wù)。</p><p>　　校園網(wǎng)在信息服務(wù)與應(yīng)用方面應(yīng)滿足以下幾個(gè)方面的需求：</p><p

12、>　　1. 學(xué)校主頁。學(xué)校應(yīng)建立獨(dú)立的WWW服務(wù)器，在網(wǎng)上提高學(xué)校主頁等服務(wù)，包括校情簡介、學(xué)校新聞、校報(bào)（電子報(bào)）、招生信息以及校內(nèi)電話號碼和電子郵件地址查詢等。</p><p>　　2. 文件傳輸服務(wù)?？紤]到師生之間共享軟件，校園網(wǎng)應(yīng)提供文件傳輸服務(wù)（ftp）。文件傳輸服務(wù)器上存放各種各樣自由軟件和驅(qū)動(dòng)程序，師生可以根據(jù)自己需要隨時(shí)下載并把它們安裝在本機(jī)上。</p><p>　　

13、3. 校園網(wǎng)站建設(shè)（WWW、FTP、E-mail、DNS、PROXY代理、撥入訪問、流量計(jì)費(fèi)等）；</p><p>　　4. 多媒體輔助點(diǎn)播教學(xué)兼遠(yuǎn)程教學(xué)：校園網(wǎng)要求具有數(shù)據(jù)、圖像、語音等多媒體實(shí)時(shí)通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。</p><p>　　5. 校園辦公管理

14、:包括電子公文傳遞、電子公文管理、電子郵件、郵件收發(fā)等無紙辦公自動(dòng)化功能。</p><p>　　6. 每個(gè)學(xué)院也自行向因特網(wǎng)發(fā)布學(xué)院信息并負(fù)責(zé)學(xué)院自己的信息服務(wù)。</p><p>　　7. 學(xué)校教務(wù)管理；對各部門的管理和通信: 學(xué)校辦公室對各學(xué)院部門的管理、教務(wù)處對下屬部門的管理；</p><p>　　8. 校園通卡應(yīng)用；一卡通系統(tǒng)的網(wǎng)絡(luò)布置。</p>

15、<p>　　9. 網(wǎng)絡(luò)安全FIREWALL：保證校園網(wǎng)的安全性。</p><p>　　10. 圖書管理、電子閱覽室；</p><p>　　11. 上網(wǎng)需求：宿舍、教室的網(wǎng)絡(luò)布置、應(yīng)滿足上網(wǎng)的穩(wěn)定性和高速性。</p><p>　　12. 學(xué)校信息網(wǎng)絡(luò)系統(tǒng)要保證實(shí)用和技術(shù)先進(jìn)，便于非計(jì)算機(jī)專業(yè)人員使用，并能不斷滿足學(xué)校未來業(yè)務(wù)發(fā)展的需要，具有很強(qiáng)的擴(kuò)展能力。

16、</p><p><b>　　3、 網(wǎng)絡(luò)性能需求</b></p><p>　　性能需求：有服務(wù)效率、服務(wù)質(zhì)量、網(wǎng)絡(luò)吞吐率、網(wǎng)絡(luò)響應(yīng)時(shí)間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能/價(jià)格比等；</p><p>　　根據(jù)本工程的特殊性，語音點(diǎn)和數(shù)據(jù)點(diǎn)使用相同的傳輸介質(zhì)，即統(tǒng)一使用超5類4對雙絞電纜，以實(shí)現(xiàn)語音、數(shù)據(jù)相互備份的需要；</p>

17、<p>　　對于網(wǎng)絡(luò)主干，數(shù)據(jù)通信介質(zhì)全部使用光纖；光纜和大對數(shù)電纜均留有余量；對于其他系統(tǒng)數(shù)據(jù)傳輸，可采用超5類雙絞線或?qū)Ｓ镁€纜。</p><p><b>　　三、邏輯網(wǎng)絡(luò)設(shè)計(jì)</b></p><p><b>　　1、總體網(wǎng)絡(luò)設(shè)計(jì)</b></p><p>　　考慮電信網(wǎng)絡(luò)及其收費(fèi)情況，使用幀中繼鏈路作為主校區(qū)

18、與各個(gè)分校區(qū)互聯(lián)的主鏈路，使用ISDN撥號鏈路作為其備份鏈路。在路由的選擇上，為了盡量提高可靠性，獨(dú)立使用一臺路由器接入Internet，對科教網(wǎng)與主校區(qū)DDN、幀中繼的鏈接使用另一臺路由器，ISDN備份線路的接入使用第三臺路由器。這樣的好處是安全性較高，對于最不安全的Internet進(jìn)行獨(dú)立接入，并通過防火墻進(jìn)行內(nèi)外網(wǎng)之間的隔離；其次是系統(tǒng)可靠性高，當(dāng)DDN或幀中繼線路出現(xiàn)問題是，ISDN撥號線路自動(dòng)啟動(dòng)，使網(wǎng)絡(luò)連接不會(huì)被中斷，而且即

19、使主校路由器出現(xiàn)故障時(shí)，網(wǎng)絡(luò)連接依然不會(huì)被中斷。</p><p>　　在設(shè)備型號選擇上可以有多種搭配，，可以考慮使用一臺Cisco 2620XM接入Internet，另一臺Cisco 2620XM作為撥號訪問服務(wù)器，配置一臺Cisco 3662-AC作為接入DDN和幀中繼的路由器。分小段可以選用帶有兩個(gè)快速以太網(wǎng)接口的Cisco2621XM路由器。處于對未來擴(kuò)展接入能力方面的考慮，每臺設(shè)備都留有相應(yīng)的未被使用的插

20、槽。此設(shè)計(jì)如上圖所示。</p><p>　　在主校區(qū)網(wǎng)域設(shè)備中，設(shè)備選擇如下。</p><p>　　選一臺Cisco3662-AC路由器，加配一個(gè)NM-4T，用兩根CAB-V35MT分別連接幀中繼和DDN，加配一個(gè)PWR-3660-AC。</p><p>　　Internet接入路由器選用Cisco2620XM,加配一個(gè)WIC-1T，用一根CAB-V35MT連接DD

21、N。</p><p>　　遠(yuǎn)程訪問備份路由器Cisco2620XM，加配一個(gè)NM-8B-S/T用于連接ISDN接入。</p><p>　　在分校區(qū)網(wǎng)域設(shè)備中設(shè)備類型為：分校接入路由器選用Cisco2621加配一個(gè)WIT-2T，用一根CAB-SS-V35MT連接幀中繼，一個(gè)WIC-B1-S/T用于撥號和租用線。這些設(shè)備每個(gè)分校區(qū)一套。</p><p>　　防火墻的選型

22、采用華堂HT2100</p><p>　　該廣域網(wǎng)設(shè)備特點(diǎn)如下：</p><p>　　·遠(yuǎn)程訪問服務(wù)器（ISDN撥號）由單獨(dú)的路由器來實(shí)現(xiàn)，提高了可用性、容錯(cuò)性和安全性；</p><p>　　·Cisco3662路由器的配置中選擇了雙電源模塊，這是核心設(shè)備常用的配置方法。</p><p>　　·ISDN模塊和接口

23、卡選擇了S/T接口，這是因?yàn)閲鴥?nèi)通常由電信運(yùn)營商提供NT設(shè)備。</p><p>　　·對于分校路由器，選擇了Cisco2621XM機(jī)型，它有兩塊快速以太網(wǎng)接口，可用于連接局域網(wǎng)內(nèi)的兩個(gè)網(wǎng)段，便于以后對系統(tǒng)進(jìn)行擴(kuò)展；同時(shí)，配置了兩端的串行廣域網(wǎng)接口卡，為將來接入更多的廣域網(wǎng)鏈路留出一個(gè)接口；</p><p>　　·在V3.5線纜的配置上，注意分校路由器與主校區(qū)路由器的不同

24、，分校區(qū)選配的是SS型的線纜，這是與其串行廣域網(wǎng)接口卡相匹配的線纜類型。</p><p><b>　　2、校區(qū)設(shè)計(jì)</b></p><p>　　如上與所示，在教學(xué)樓中，每層組建一個(gè)虛擬局域網(wǎng)，連接到一臺兩層的交換機(jī)上，每棟教學(xué)樓再上連到匯聚層交換機(jī)上。在機(jī)房中，每個(gè)機(jī)房組成一個(gè)局域網(wǎng)連接到一套交換機(jī)上，每個(gè)機(jī)房再連接到匯聚成交換機(jī)上。在學(xué)生宿舍每層組建一個(gè)虛擬局域網(wǎng)，

25、連接到一臺二層交換機(jī)上。每棟學(xué)生宿舍再連到匯聚層交換機(jī)上。行政樓按不同的科室組建虛擬局域網(wǎng)，上聯(lián)到核心交換機(jī)上。圖書館按不同的電子閱覽室組建虛擬局域網(wǎng)，連接到核心交換機(jī)上。</p><p><b>　　3、IP分配</b></p><p>　　大學(xué)已從中國教育科研網(wǎng)（CERNET）有關(guān)機(jī)構(gòu)申請了IPv4地址塊58.193.144.0/20，現(xiàn)根據(jù)校區(qū)和學(xué)院進(jìn)行綜合性劃

26、分，如下：</p><p>　　4、大學(xué)與各校區(qū)、學(xué)院的通信</p><p>　　由于大學(xué)的各個(gè)校區(qū)之間通常相距較遠(yuǎn)，到校園網(wǎng)網(wǎng)絡(luò)建設(shè)不可能為各個(gè)校區(qū)之間單獨(dú)搭建線纜。因此，各個(gè)校區(qū)之間的通信實(shí)際上是依賴幀中繼技術(shù)實(shí)現(xiàn)的。</p><p>　　幀中繼的帶寬控制技術(shù)既是幀中繼技術(shù)的特點(diǎn)更是幀中繼技術(shù)的優(yōu)點(diǎn)。幀中繼的帶寬控制通過CIR（承諾的信息速率）、Bc（承諾的突發(fā)

27、大小）和Be（超過的突發(fā)大?。?個(gè)參數(shù)設(shè)定完成。Tc（承諾時(shí)間間隔）和EIR（超過的信息速率）與此3個(gè)參數(shù)的關(guān)系是：Tc=Bc/CIR；EIR=Be/Tc。在傳統(tǒng)的數(shù)據(jù)通信業(yè)務(wù)中用戶申請了一條64K的電路，那么他只能以64kbit/s的速率來傳送數(shù)據(jù)；而在幀中繼技術(shù)中，用戶向幀中繼業(yè)務(wù)運(yùn)營商申請的是承諾的信息速率（CIR），而實(shí)際使用過程中用戶可以以高于CIR的速率發(fā)送數(shù)據(jù)，卻不必承擔(dān)額外的費(fèi)用。</p><p>

28、;　　幀中繼是使用光纖作為傳輸介質(zhì)，因此誤碼率極低，能實(shí)現(xiàn)近似無差錯(cuò)傳輸，減少了進(jìn)行差錯(cuò)校驗(yàn)的開銷，提高了網(wǎng)絡(luò)的吞吐量；幀中繼是一種寬帶分組交換，使用復(fù)用技術(shù)時(shí)，其傳輸速率可高達(dá)44.6Mbps。但是，幀中繼不適合于傳輸諸如話音、電視等實(shí)時(shí)信息，它僅限于傳輸數(shù)據(jù)。幀中繼是一個(gè)接口規(guī)范，它定義了信息如何封裝，然后如何通過網(wǎng)絡(luò)傳送到目的地。因此它并不對應(yīng)于某種特定的設(shè)備。幀中繼接口可以在多種設(shè)備上實(shí)現(xiàn)。對于幀中繼特別有價(jià)值的一點(diǎn)在于，它并不

29、需要投入很多資金，通過對現(xiàn)有設(shè)備進(jìn)行升級就可以實(shí)現(xiàn)，因此非常經(jīng)濟(jì)。幀中繼接口接收本地?cái)?shù)據(jù)流，而不管它們用的是什么協(xié)議然后將數(shù)據(jù)封裝進(jìn)幀中繼數(shù)據(jù)包中。幀中繼使用交換機(jī)可以支持的D信道鏈路接入?yún)f(xié)議（LAPD）來封裝本地?cái)?shù)據(jù)。幀中繼是一種用于連接計(jì)算機(jī)系統(tǒng)的面向分組的通信方法。它主要用在公共或?qū)Ｓ镁W(wǎng)上的局域網(wǎng)互聯(lián)以及廣域網(wǎng)連接。大多數(shù)公共電信局都提供幀中繼服務(wù)，把它作為建立高性能的虛擬廣域連接的一種途徑。幀中繼是進(jìn)入帶寬范圍從56Kbps到1

30、．544Mbps的廣域分組交換網(wǎng)的用戶接口。</p><p>　　與幀中繼網(wǎng)相連，需要一個(gè)路由器和一條從用戶場地到交換局幀中繼入口的線路。這種線路一般是象T1那樣的租用數(shù)字線路，但取決于通信量而定。兩種可能的廣域連接方法，如下面所述：專用網(wǎng)方法在這種方法中，每個(gè)場點(diǎn)將需要三條專用（租用）線路和相聯(lián)的路由器，以便與其它每一個(gè)場點(diǎn)相連，這樣總共需要6條專線和12個(gè)路由器。幀中繼方法在這種公共網(wǎng)方法中，每個(gè)場點(diǎn)僅需要一

31、條專用（租用）線路和相聯(lián)的路由器直至幀中繼網(wǎng)。這時(shí)，在其它網(wǎng)間的交換是在幀中繼網(wǎng)內(nèi)處理的。來自多個(gè)用戶的分組被多路復(fù)用到一條連到幀中繼網(wǎng)上的線路，通過幀中繼網(wǎng)它們被送到一個(gè)或多個(gè)目的站。永久虛電路（PVC）是通過幀中繼網(wǎng)連接兩個(gè)端節(jié)點(diǎn)的預(yù)先確定的通路。幀中繼服務(wù)的提供者根據(jù)客戶的要求，在兩個(gè)指定的節(jié)點(diǎn)間分配PVC。這些信道保持連續(xù)不間斷地運(yùn)行，并且保證提供一種客戶洽商好了的指定級別的服務(wù)。</p><p>　　在

32、幀中繼中，中間節(jié)點(diǎn)（交換器）僅僅沿著預(yù)定的通路中繼幀。在X．25中，中間節(jié)點(diǎn)必須完整地接收每一個(gè)分組，并在轉(zhuǎn)發(fā)之前進(jìn)行檢錯(cuò)，如果有錯(cuò)誤發(fā)生，節(jié)點(diǎn)要求發(fā)送方重傳。使用這種方法，一旦分組丟失，發(fā)送方就盡快地重發(fā)一個(gè)分組。在X．25中每個(gè)中間節(jié)點(diǎn)使用狀態(tài)表來處理管理、流控和檢錯(cuò)，而在幀中繼中是不需要的。如果一個(gè)分組由于幀中繼網(wǎng)的擁塞而被破壞或丟失，檢測幀丟失和請求重發(fā)是接收系統(tǒng)的工作。幀中繼網(wǎng)把自己的所有精力都用來傳遞分組。在子網(wǎng)中的交換節(jié)點(diǎn)

33、不會(huì)執(zhí)行任何糾錯(cuò)，盡管它們能檢測出被損壞的分組，一旦檢測出，分組就會(huì)被丟棄了。為了建立幀中繼連接，需要與本地的電信公司聯(lián)系。</p><p>　　幀中繼端口一般用PVC連接。PVC是邏輯鏈路，它具有特定的端接點(diǎn)和服務(wù)特性。它們在網(wǎng)狀拓?fù)浣Y(jié)構(gòu)上提供邏輯連接，且在使用前為交換局提供一種確定服務(wù)特性和速率的方法。它們也在端接點(diǎn)之間提供快速連接。在得到提供者的服務(wù)時(shí)，可以為PVC規(guī)定一些服務(wù)特性， </p>

34、<p><b>　　5、學(xué)院通信</b></p><p>　　學(xué)校設(shè)有教務(wù)處、學(xué)工辦、辦公室，各個(gè)學(xué)院也設(shè)有上述機(jī)構(gòu)，在校教務(wù)、學(xué)工辦、辦公室與各學(xué)院教務(wù)處、學(xué)工辦、辦公室之間和各個(gè)學(xué)院教務(wù)處、學(xué)工辦、辦公室之間會(huì)有大量的數(shù)據(jù)交流，而上述機(jī)構(gòu)有沒有劃分在一個(gè)局域網(wǎng)路。為了減輕核心網(wǎng)絡(luò)的帶寬壓力，應(yīng)采用VLAN技術(shù)將上述機(jī)構(gòu)分別劃分在各自的VLAN里，即：將校教務(wù)處與各個(gè)學(xué)院的院教

35、務(wù)處劃分在同一個(gè)VLAN中，將校學(xué)工辦和各個(gè)院學(xué)工辦劃分在同一個(gè)VLAN中，將校辦公室和各個(gè)院辦公室劃分在同一個(gè)VLAN中。</p><p>　　在校園網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功能，能起到事半功倍的效果，對整個(gè)網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點(diǎn)：</p><p>　　VLAN 劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，

36、在多媒體、視頻點(diǎn)播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進(jìn)行，不會(huì)做無意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。</p><p>　　VLAN 劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會(huì)對其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪問，需要通過三層交換，這樣信息流就得到相當(dāng)好的控制。</p><p>　　網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的IP子網(wǎng)和VLA

37、N，實(shí)現(xiàn)更加安全的對所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。建立VLAN 和IP 子網(wǎng)的對應(yīng)關(guān)系。</p><p>　　提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少站點(diǎn)的移動(dòng)和改變的開銷。</p><p>　　VLAN 間的子網(wǎng)訪問，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實(shí)行，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。</p><p>　　根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)的

38、實(shí)際情況，方案建議在骨干網(wǎng)絡(luò)VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：</p><p>　　1、方便管理。為了更好的進(jìn)行VLAN規(guī)劃的實(shí)施，因此在網(wǎng)絡(luò)實(shí)施前期，要對網(wǎng)絡(luò)中不同區(qū)域的VLAN設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在骨干網(wǎng)絡(luò)這樣大型的校園網(wǎng)絡(luò)中如果以用戶群體來劃分VLAN的話，避免由于前期配置設(shè)備時(shí)復(fù)雜煩瑣，而且由于相同的用戶

39、群體可能在不同的物理位置，導(dǎo)致造成整個(gè)校園網(wǎng)絡(luò)中VLAN劃分復(fù)雜，減輕管理和后期維護(hù)。所以方案建議骨干網(wǎng)絡(luò)劃分VLAN方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少廣播域，又達(dá)到劃分VLAN，方便管理的效果，對于后期網(wǎng)絡(luò)維護(hù)和升級具有十分現(xiàn)實(shí)的意義。</p><p>　　2、易于實(shí)施。按群體劃分VLAN在工程實(shí)施中就十分的方便，不會(huì)造成VLAN劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。<

40、/p><p>　　3、VLAN間路由采用三層交換設(shè)備進(jìn)行VLAN路由。以便不同VLAN間進(jìn)行訪問，對于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問的時(shí)候，建議采用專家級ACL（可同時(shí)基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、時(shí)間靈活組合限定的硬件ACL）來進(jìn)行訪問權(quán)限設(shè)定，保障重要資料不被非法訪問。</p><p><b>　　四、網(wǎng)絡(luò)安全</b>&l

41、t;/p><p>　　1、威脅網(wǎng)絡(luò)安全因素分析</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：</p><p>　　1.“黑客”的攻擊；</p><p><b>　　2. 計(jì)算機(jī)病毒；</b></p><p>　　3. 拒絕服務(wù)攻擊（Denial of Service Attack）。</p

42、><p><b>　　安全威脅的類型：</b></p><p>　　1、非授權(quán)訪問。指對網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。</p><p>　　2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)

43、到占用合法用戶資源的目的。</p><p>　　3、破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。</p><p>　　4、干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時(shí)間等手段。這會(huì)使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。</p><p>　　5、病毒與

44、惡意攻擊。指通過網(wǎng)絡(luò)傳播病毒或惡意Java、active X等，其破壞性非常高，而且用戶很難防范。</p><p>　　6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計(jì)缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如Windows的安全漏洞便有很多。</p><p>

45、　　7、電磁輻射。電磁輻射對網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。另一方面，電磁泄漏可以導(dǎo)致信息泄露。</p><p><b>　　2、應(yīng)對措施</b></p><p>　　采用防火墻技術(shù)，在內(nèi)網(wǎng)與外網(wǎng)的環(huán)節(jié)中間添加防火墻，以保證校園網(wǎng)的安全。&

46、lt;/p><p>　　1、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻</p><p>　　這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。</p><p>　　2、只有符合安全策略的數(shù)據(jù)流才能通過防火墻</p><p>　　防火墻最基本的功

47、能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報(bào)文則予以阻斷。因此，從這個(gè)角度上來說，防火墻是一個(gè)類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口>=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個(gè)分離的物理網(wǎng)段之間，并在報(bào)文轉(zhuǎn)

48、發(fā)過程之中完成對報(bào)文的審查工作。</p><p>　　3、防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力</p><p>　　這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)

49、的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再?zèng)]有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說是相對的。</p><p><b>　　五、虛擬模擬</b></p><p><b>　　路由器配置：</b></p><p><b>　　Router0</b><

50、;/p><p>　　Router>enable</p><p>　　Router#config terimial</p><p>　　Router(config)#interface FastEthernet0/0</p><p>　　Router(config-if)#ip address 192.168.1.1 255.255.255.

51、0</p><p>　　Router(config-if)#exit</p><p>　　Router(config)#interface FastEthernet0/1</p><p>　　Router(config-if)#no shutdown</p><p>　　Router(config-if)#ip address 192.168

52、.2.1 255.255.255.0</p><p>　　Router(config-if)#exit</p><p>　　Router(config)#interface Serial1/0</p><p>　　Router(config-if)#no shutdown</p><p>　　Router(config-if)#ip addr

53、ess 192.168.254.1 255.255.255.0</p><p>　　Router(config-if)#exit</p><p>　　Router>enable</p><p>　　Router#configure terminal</p><p>　　Enter configuration commands, one

54、per line. End with CNTL/Z.</p><p>　　Router(config)#router rip</p><p>　　Router(config-router)#network 192.168.1.0</p><p>　　Router(config-router)#network 192.168.2.0</p><p

55、>　　Router(config-router)#network 192.168.254.0</p><p>　　Router(config-router)#exit</p><p>　　同理配置route1</p><p>　　利用交換機(jī)劃分vlan,對路由器的配置：</p><p>　　Switch#vlan databaseSw

56、itch(vlan)#vlan 2Switch(vlan)#vlan 3Switch(vlan)#vtp domain jkxSwitch(vlan)#vtp serverSwitch(vlan)#exit</p><p>　　Switch>enable</p><p>　　Switch#configure terminal</p><p>　　Ent

57、er configuration commands, one per line. End with CNTL/Z.</p><p>　　Switch(config)#vlan 2</p><p>　　Switch(config-vlan)#name vlan02</p><p>　　Switch(config-vlan)#exit</p><p

58、>　　Switch(config)#vlan 3</p><p>　　Switch(config-vlan)#name vlan13</p><p>　　Switch(config-vlan)#exit</p><p>　　Switch(config)#interface FastEthernet0/2</p><p>　　Switch

59、(config-if)#switchport mode access</p><p>　　Switch(config-if)#switchport access vlan 2</p><p>　　同理配置其它三個(gè)交換機(jī)實(shí)現(xiàn)pc0與pc2屬于vlan02，pc1與pc3屬于vlan13。</p><p>　　配置完成，使用ping命令，此時(shí)不能ping通，對交換機(jī)分別

60、執(zhí)行以下命令：</p><p>　　Switch(config)#interface FastEthernet0/2</p><p>　　Switch(config-if)#switchport mode trunk</p><p>　　再次使用ping命令，此時(shí)便能ping通。</p><p><b>　　六、心得總結(jié)</b

61、></p><p>　　本人通過這次課程設(shè)計(jì)，使我了解并學(xué)習(xí)到了很多以前沒有注意過的知識和設(shè)計(jì)細(xì)節(jié),同時(shí)也學(xué)到了很多新知識，使自己增長了見識，讓自己過了一把當(dāng)設(shè)計(jì)師的癮,讓我感受到了當(dāng)優(yōu)秀的網(wǎng)絡(luò)設(shè)計(jì)師的不容易，使我更加認(rèn)識到自己對相關(guān)知識的匱乏，以后還需要更多的努力，學(xué)習(xí)更多的專業(yè)知識。雖然我們盡了最大的努力，但是由于經(jīng)驗(yàn)不足，及學(xué)習(xí)過程中的疏忽，錯(cuò)漏之處在所難免，從整體上說，我們通過以上的分析布局已基本上

62、展現(xiàn)了網(wǎng)絡(luò)工程設(shè)計(jì)的全部過程，但是我們討論課題的局限性，還有很多的網(wǎng)絡(luò)技術(shù)沒有提到，如VPN，又如路由器的安裝與使用等等。此外，這兩周我們相互合作，共同學(xué)習(xí)和設(shè)計(jì)，讓我更深的體會(huì)到了團(tuán)隊(duì)合作的重要性，讓我更深的認(rèn)識到五根手指和一個(gè)拳頭的巨大差別。建設(shè)校園網(wǎng)對每個(gè)學(xué)校來說都不是一件容易的事情，都要經(jīng)過周密的論證、謹(jǐn)慎的決策、緊張的施工和科學(xué)的管理。學(xué)校的網(wǎng)絡(luò)化建設(shè)必然會(huì)對學(xué)校的信息化建設(shè)起到巨大的推動(dòng)作用，為學(xué)校的辦公提供簡單、有效、便捷

63、的理想環(huán)境，為學(xué)校的教育教學(xué)改革提供有效的數(shù)據(jù)信息。由于建立了校園網(wǎng)，一方面縮短了學(xué)校與外界的距離，利用電子郵件和Internet網(wǎng)站等服務(wù)，擴(kuò)大了學(xué)與外界的交流；另一方面，</p><p><b>　　七、參考文獻(xiàn)</b></p><p>　　網(wǎng)絡(luò)工程（第2版）人民郵電出版社；</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)（第5版）電子工業(yè)出版