網(wǎng)絡(luò)工程課程設(shè)計--- 校園網(wǎng)內(nèi)網(wǎng)設(shè)計

1、<p><b>　　信息與電氣工程學(xué)院</b></p><p><b>　　課程設(shè)計說明書</b></p><p>　?。?011/2012學(xué)年第二學(xué)期）</p><p>　　課程名稱 ： 網(wǎng)絡(luò)工程課程設(shè)計</p><p>　　題 目 ： 校園網(wǎng)內(nèi)網(wǎng)設(shè)計</p>

2、<p>　　專業(yè)班級 ： 　</p><p>　　組 長 ： 　　</p><p>　　組 員： </p><p>　　指導(dǎo)教師 ： </p><p>　　設(shè)計周數(shù) ：2周</p><p>　　設(shè)計成績 ：

3、</p><p>　　2012年 6 月 14 日 </p><p><b>　　網(wǎng)絡(luò)工程項目設(shè)計</b></p><p><b>　　一、前言</b></p><p>　　隨著學(xué)校教育手段的現(xiàn)代化，很多學(xué)校已經(jīng)逐漸開始將學(xué)校的管理和教學(xué)過程向電子化方向發(fā)展，校園網(wǎng)的有無以及水平的高

4、低也將成為評價學(xué)校及學(xué)生選擇學(xué)校的新的標(biāo)準(zhǔn)之一，此時，校園網(wǎng)上的應(yīng)用系統(tǒng)就顯得尤為重要。一方面，學(xué)生可以通過它在促進學(xué)習(xí)的同時掌握豐富的計算機及網(wǎng)絡(luò)信息知識，毫無疑問，這是學(xué)生綜合素質(zhì)中極為重要的一部分；另一方面，基于先進的網(wǎng)絡(luò)平臺和其上的應(yīng)用系統(tǒng)，將極大的促進學(xué)校教育的現(xiàn)代化進程，實現(xiàn)高水平的教學(xué)和管理。</p><p>　　現(xiàn)代辦學(xué)條件的學(xué)校必須建立完善的服務(wù)于教育教學(xué)的計算機校園網(wǎng)、信息庫。校園網(wǎng)為學(xué)校的教

5、學(xué)、管理、辦公、信息交流和通訊等提供綜合的網(wǎng)絡(luò)環(huán)境。校園網(wǎng)的使用，使學(xué)校的教育、教學(xué)研究和管理工作跨上一個新臺階，我們可以充分利用現(xiàn)有計算機資源，實現(xiàn)信息交流和軟硬件資源的共享，實現(xiàn)學(xué)校辦公、管理、教學(xué)的現(xiàn)代化。</p><p>　　校園網(wǎng)是當(dāng)今信息社會發(fā)展的必然趨勢。它是以現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)及Internet技術(shù)等為基礎(chǔ)建立起來的計算機網(wǎng)絡(luò)，一方面連接學(xué)校內(nèi)部子網(wǎng)和分散于校園各處的計算機，另一方面作為溝通

6、校園內(nèi)外部網(wǎng)絡(luò)的橋梁。校園網(wǎng)為學(xué)校的教學(xué)、管理、辦公、信息交流和通信等提供綜合的網(wǎng)絡(luò)應(yīng)用環(huán)境。要特別強調(diào)的是，不能把校園網(wǎng)簡單的理解為一個物理意義上的由一大堆設(shè)備組成的計算機硬件網(wǎng)絡(luò)，而應(yīng)該把校園網(wǎng)理解為學(xué)校信息化、現(xiàn)代化的基礎(chǔ)設(shè)施和教育生產(chǎn)力的勞動工具，是為學(xué)校的教學(xué)、管理、辦公、信息交流和通信等服務(wù)的。要實現(xiàn)這一點，校園網(wǎng)必須有大量先進實用的應(yīng)用軟件來支撐，軟硬件的充分結(jié)合是校園網(wǎng)發(fā)揮作用的前提。</p><p&

7、gt;　　一個好的校園網(wǎng)，安全問題是至關(guān)重要的。隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。</p><

8、p><b>　　二、需求分析</b></p><p><b>　　1、工作目標(biāo)</b></p><p>　　某大學(xué)具有14個二級學(xué)院，分別位于同一城市的4個校區(qū)中，其中大學(xué)與4個二級學(xué)院在一個校區(qū)（校區(qū)1），另外6個二級學(xué)院位于一個校區(qū)（校區(qū)2），而其他4個學(xué)院分別位于校區(qū)3和校區(qū)4。每個學(xué)院都擁有1500臺PC。建筑物數(shù)量各同學(xué)自己確定（

9、一般包括行政樓、圖書館、教學(xué)樓、學(xué)生宿舍、教工宿舍、體育館、學(xué)生活動中心、飯?zhí)?、商業(yè)街、大講堂等）。師生員工數(shù)目前20000人，規(guī)劃人數(shù)30000人。</p><p>　　大學(xué)已從中國教育科研網(wǎng)（CERNET）有關(guān)機構(gòu)申請了IPv4地址塊58.193.144.0/20；申請的帶寬是500M，光纖接入。萬兆以太網(wǎng)作為整個核心層、千兆構(gòu)成匯聚層的主干、百兆到LAN/主機構(gòu)成了接入層。</p><p

10、>　　大學(xué)向因特網(wǎng)發(fā)布信息并為全校提供有關(guān)的信息化服務(wù)，每個學(xué)院也自行向因特網(wǎng)發(fā)布學(xué)院信息并負(fù)責(zé)學(xué)院自己的信息服務(wù)。</p><p>　　大學(xué)下設(shè)各行政部門：學(xué)校辦公室、教務(wù)處和學(xué)工部。各學(xué)院都有自己的行政部門：學(xué)院辦公室、教學(xué)辦和學(xué)工辦。其中相關(guān)部門之間聯(lián)系較多，試設(shè)計大學(xué)與學(xué)院、學(xué)院與學(xué)院之間的網(wǎng)絡(luò)設(shè)計。</p><p><b>　　2、功能需求</b>&l

11、t;/p><p>　　設(shè)計一個大學(xué)校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)設(shè)計，應(yīng)充分考慮各部門之間的可達性和安全性，使用VLAN進行劃分?？紤]地址分配中聚合的問題及冗余的規(guī)劃。在此基礎(chǔ)上建設(shè)能滿足教學(xué)、科研和管理工作需要的軟硬件環(huán)境，開發(fā)建設(shè)各類教學(xué)資源庫與應(yīng)用系統(tǒng)，為教師、學(xué)生及家長提供充分的網(wǎng)絡(luò)信息服務(wù)。</p><p>　　校園網(wǎng)在信息服務(wù)與應(yīng)用方面應(yīng)滿足以下幾個方面的需求：</p><p

12、>　　1. 學(xué)校主頁。學(xué)校應(yīng)建立獨立的WWW服務(wù)器，在網(wǎng)上提高學(xué)校主頁等服務(wù)，包括校情簡介、學(xué)校新聞、校報（電子報）、招生信息以及校內(nèi)電話號碼和電子郵件地址查詢等。</p><p>　　2. 文件傳輸服務(wù)。考慮到師生之間共享軟件，校園網(wǎng)應(yīng)提供文件傳輸服務(wù)（ftp）。文件傳輸服務(wù)器上存放各種各樣自由軟件和驅(qū)動程序，師生可以根據(jù)自己需要隨時下載并把它們安裝在本機上。</p><p>　　

13、3. 校園網(wǎng)站建設(shè)（WWW、FTP、E-mail、DNS、PROXY代理、撥入訪問、流量計費等）；</p><p>　　4. 多媒體輔助點播教學(xué)兼遠程教學(xué)：校園網(wǎng)要求具有數(shù)據(jù)、圖像、語音等多媒體實時通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。</p><p>　　5. 校園辦公管理

14、:包括電子公文傳遞、電子公文管理、電子郵件、郵件收發(fā)等無紙辦公自動化功能。</p><p>　　6. 每個學(xué)院也自行向因特網(wǎng)發(fā)布學(xué)院信息并負(fù)責(zé)學(xué)院自己的信息服務(wù)。</p><p>　　7. 學(xué)校教務(wù)管理；對各部門的管理和通信: 學(xué)校辦公室對各學(xué)院部門的管理、教務(wù)處對下屬部門的管理；</p><p>　　8. 校園通卡應(yīng)用；一卡通系統(tǒng)的網(wǎng)絡(luò)布置。</p>

15、<p>　　9. 網(wǎng)絡(luò)安全FIREWALL：保證校園網(wǎng)的安全性。</p><p>　　10. 圖書管理、電子閱覽室；</p><p>　　11. 上網(wǎng)需求：宿舍、教室的網(wǎng)絡(luò)布置、應(yīng)滿足上網(wǎng)的穩(wěn)定性和高速性。</p><p>　　12. 學(xué)校信息網(wǎng)絡(luò)系統(tǒng)要保證實用和技術(shù)先進，便于非計算機專業(yè)人員使用，并能不斷滿足學(xué)校未來業(yè)務(wù)發(fā)展的需要，具有很強的擴展能力。

16、</p><p><b>　　3、 網(wǎng)絡(luò)性能需求</b></p><p>　　性能需求：有服務(wù)效率、服務(wù)質(zhì)量、網(wǎng)絡(luò)吞吐率、網(wǎng)絡(luò)響應(yīng)時間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能/價格比等；</p><p>　　根據(jù)本工程的特殊性，語音點和數(shù)據(jù)點使用相同的傳輸介質(zhì)，即統(tǒng)一使用超5類4對雙絞電纜，以實現(xiàn)語音、數(shù)據(jù)相互備份的需要；</p>

17、<p>　　對于網(wǎng)絡(luò)主干，數(shù)據(jù)通信介質(zhì)全部使用光纖；光纜和大對數(shù)電纜均留有余量；對于其他系統(tǒng)數(shù)據(jù)傳輸，可采用超5類雙絞線或?qū)Ｓ镁€纜。</p><p><b>　　三、邏輯網(wǎng)絡(luò)設(shè)計</b></p><p><b>　　1、總體網(wǎng)絡(luò)設(shè)計</b></p><p>　　考慮電信網(wǎng)絡(luò)及其收費情況，使用幀中繼鏈路作為主校區(qū)

18、與各個分校區(qū)互聯(lián)的主鏈路，使用ISDN撥號鏈路作為其備份鏈路。在路由的選擇上，為了盡量提高可靠性，獨立使用一臺路由器接入Internet，對科教網(wǎng)與主校區(qū)DDN、幀中繼的鏈接使用另一臺路由器，ISDN備份線路的接入使用第三臺路由器。這樣的好處是安全性較高，對于最不安全的Internet進行獨立接入，并通過防火墻進行內(nèi)外網(wǎng)之間的隔離；其次是系統(tǒng)可靠性高，當(dāng)DDN或幀中繼線路出現(xiàn)問題是，ISDN撥號線路自動啟動，使網(wǎng)絡(luò)連接不會被中斷，而且即

19、使主校路由器出現(xiàn)故障時，網(wǎng)絡(luò)連接依然不會被中斷。</p><p>　　在設(shè)備型號選擇上可以有多種搭配，，可以考慮使用一臺Cisco 2620XM接入Internet，另一臺Cisco 2620XM作為撥號訪問服務(wù)器，配置一臺Cisco 3662-AC作為接入DDN和幀中繼的路由器。分小段可以選用帶有兩個快速以太網(wǎng)接口的Cisco2621XM路由器。處于對未來擴展接入能力方面的考慮，每臺設(shè)備都留有相應(yīng)的未被使用的插

20、槽。此設(shè)計如上圖所示。</p><p>　　在主校區(qū)網(wǎng)域設(shè)備中，設(shè)備選擇如下。</p><p>　　選一臺Cisco3662-AC路由器，加配一個NM-4T，用兩根CAB-V35MT分別連接幀中繼和DDN，加配一個PWR-3660-AC。</p><p>　　Internet接入路由器選用Cisco2620XM,加配一個WIC-1T，用一根CAB-V35MT連接DD

21、N。</p><p>　　遠程訪問備份路由器Cisco2620XM，加配一個NM-8B-S/T用于連接ISDN接入。</p><p>　　在分校區(qū)網(wǎng)域設(shè)備中設(shè)備類型為：分校接入路由器選用Cisco2621加配一個WIT-2T，用一根CAB-SS-V35MT連接幀中繼，一個WIC-B1-S/T用于撥號和租用線。這些設(shè)備每個分校區(qū)一套。</p><p>　　防火墻的選型

22、采用華堂HT2100</p><p>　　該廣域網(wǎng)設(shè)備特點如下：</p><p>　　·遠程訪問服務(wù)器（ISDN撥號）由單獨的路由器來實現(xiàn)，提高了可用性、容錯性和安全性；</p><p>　　·Cisco3662路由器的配置中選擇了雙電源模塊，這是核心設(shè)備常用的配置方法。</p><p>　　·ISDN模塊和接口

23、卡選擇了S/T接口，這是因為國內(nèi)通常由電信運營商提供NT設(shè)備。</p><p>　　·對于分校路由器，選擇了Cisco2621XM機型，它有兩塊快速以太網(wǎng)接口，可用于連接局域網(wǎng)內(nèi)的兩個網(wǎng)段，便于以后對系統(tǒng)進行擴展；同時，配置了兩端的串行廣域網(wǎng)接口卡，為將來接入更多的廣域網(wǎng)鏈路留出一個接口；</p><p>　　·在V3.5線纜的配置上，注意分校路由器與主校區(qū)路由器的不同

24、，分校區(qū)選配的是SS型的線纜，這是與其串行廣域網(wǎng)接口卡相匹配的線纜類型。</p><p><b>　　2、校區(qū)設(shè)計</b></p><p>　　如上與所示，在教學(xué)樓中，每層組建一個虛擬局域網(wǎng)，連接到一臺兩層的交換機上，每棟教學(xué)樓再上連到匯聚層交換機上。在機房中，每個機房組成一個局域網(wǎng)連接到一套交換機上，每個機房再連接到匯聚成交換機上。在學(xué)生宿舍每層組建一個虛擬局域網(wǎng)，

25、連接到一臺二層交換機上。每棟學(xué)生宿舍再連到匯聚層交換機上。行政樓按不同的科室組建虛擬局域網(wǎng)，上聯(lián)到核心交換機上。圖書館按不同的電子閱覽室組建虛擬局域網(wǎng)，連接到核心交換機上。</p><p><b>　　3、IP分配</b></p><p>　　大學(xué)已從中國教育科研網(wǎng)（CERNET）有關(guān)機構(gòu)申請了IPv4地址塊58.193.144.0/20，現(xiàn)根據(jù)校區(qū)和學(xué)院進行綜合性劃

26、分，如下：</p><p>　　4、大學(xué)與各校區(qū)、學(xué)院的通信</p><p>　　由于大學(xué)的各個校區(qū)之間通常相距較遠，到校園網(wǎng)網(wǎng)絡(luò)建設(shè)不可能為各個校區(qū)之間單獨搭建線纜。因此，各個校區(qū)之間的通信實際上是依賴幀中繼技術(shù)實現(xiàn)的。</p><p>　　幀中繼的帶寬控制技術(shù)既是幀中繼技術(shù)的特點更是幀中繼技術(shù)的優(yōu)點。幀中繼的帶寬控制通過CIR（承諾的信息速率）、Bc（承諾的突發(fā)

27、大?。┖虰e（超過的突發(fā)大?。?個參數(shù)設(shè)定完成。Tc（承諾時間間隔）和EIR（超過的信息速率）與此3個參數(shù)的關(guān)系是：Tc=Bc/CIR；EIR=Be/Tc。在傳統(tǒng)的數(shù)據(jù)通信業(yè)務(wù)中用戶申請了一條64K的電路，那么他只能以64kbit/s的速率來傳送數(shù)據(jù)；而在幀中繼技術(shù)中，用戶向幀中繼業(yè)務(wù)運營商申請的是承諾的信息速率（CIR），而實際使用過程中用戶可以以高于CIR的速率發(fā)送數(shù)據(jù)，卻不必承擔(dān)額外的費用。</p><p>

28、;　　幀中繼是使用光纖作為傳輸介質(zhì)，因此誤碼率極低，能實現(xiàn)近似無差錯傳輸，減少了進行差錯校驗的開銷，提高了網(wǎng)絡(luò)的吞吐量；幀中繼是一種寬帶分組交換，使用復(fù)用技術(shù)時，其傳輸速率可高達44.6Mbps。但是，幀中繼不適合于傳輸諸如話音、電視等實時信息，它僅限于傳輸數(shù)據(jù)。幀中繼是一個接口規(guī)范，它定義了信息如何封裝，然后如何通過網(wǎng)絡(luò)傳送到目的地。因此它并不對應(yīng)于某種特定的設(shè)備。幀中繼接口可以在多種設(shè)備上實現(xiàn)。對于幀中繼特別有價值的一點在于，它并不

29、需要投入很多資金，通過對現(xiàn)有設(shè)備進行升級就可以實現(xiàn)，因此非常經(jīng)濟。幀中繼接口接收本地數(shù)據(jù)流，而不管它們用的是什么協(xié)議然后將數(shù)據(jù)封裝進幀中繼數(shù)據(jù)包中。幀中繼使用交換機可以支持的D信道鏈路接入?yún)f(xié)議（LAPD）來封裝本地數(shù)據(jù)。幀中繼是一種用于連接計算機系統(tǒng)的面向分組的通信方法。它主要用在公共或?qū)Ｓ镁W(wǎng)上的局域網(wǎng)互聯(lián)以及廣域網(wǎng)連接。大多數(shù)公共電信局都提供幀中繼服務(wù)，把它作為建立高性能的虛擬廣域連接的一種途徑。幀中繼是進入帶寬范圍從56Kbps到1

30、．544Mbps的廣域分組交換網(wǎng)的用戶接口。</p><p>　　與幀中繼網(wǎng)相連，需要一個路由器和一條從用戶場地到交換局幀中繼入口的線路。這種線路一般是象T1那樣的租用數(shù)字線路，但取決于通信量而定。兩種可能的廣域連接方法，如下面所述：專用網(wǎng)方法在這種方法中，每個場點將需要三條專用（租用）線路和相聯(lián)的路由器，以便與其它每一個場點相連，這樣總共需要6條專線和12個路由器。幀中繼方法在這種公共網(wǎng)方法中，每個場點僅需要一

31、條專用（租用）線路和相聯(lián)的路由器直至幀中繼網(wǎng)。這時，在其它網(wǎng)間的交換是在幀中繼網(wǎng)內(nèi)處理的。來自多個用戶的分組被多路復(fù)用到一條連到幀中繼網(wǎng)上的線路，通過幀中繼網(wǎng)它們被送到一個或多個目的站。永久虛電路（PVC）是通過幀中繼網(wǎng)連接兩個端節(jié)點的預(yù)先確定的通路。幀中繼服務(wù)的提供者根據(jù)客戶的要求，在兩個指定的節(jié)點間分配PVC。這些信道保持連續(xù)不間斷地運行，并且保證提供一種客戶洽商好了的指定級別的服務(wù)。</p><p>　　在

32、幀中繼中，中間節(jié)點（交換器）僅僅沿著預(yù)定的通路中繼幀。在X．25中，中間節(jié)點必須完整地接收每一個分組，并在轉(zhuǎn)發(fā)之前進行檢錯，如果有錯誤發(fā)生，節(jié)點要求發(fā)送方重傳。使用這種方法，一旦分組丟失，發(fā)送方就盡快地重發(fā)一個分組。在X．25中每個中間節(jié)點使用狀態(tài)表來處理管理、流控和檢錯，而在幀中繼中是不需要的。如果一個分組由于幀中繼網(wǎng)的擁塞而被破壞或丟失，檢測幀丟失和請求重發(fā)是接收系統(tǒng)的工作。幀中繼網(wǎng)把自己的所有精力都用來傳遞分組。在子網(wǎng)中的交換節(jié)點

33、不會執(zhí)行任何糾錯，盡管它們能檢測出被損壞的分組，一旦檢測出，分組就會被丟棄了。為了建立幀中繼連接，需要與本地的電信公司聯(lián)系。</p><p>　　幀中繼端口一般用PVC連接。PVC是邏輯鏈路，它具有特定的端接點和服務(wù)特性。它們在網(wǎng)狀拓?fù)浣Y(jié)構(gòu)上提供邏輯連接，且在使用前為交換局提供一種確定服務(wù)特性和速率的方法。它們也在端接點之間提供快速連接。在得到提供者的服務(wù)時，可以為PVC規(guī)定一些服務(wù)特性， </p>

34、<p><b>　　5、學(xué)院通信</b></p><p>　　學(xué)校設(shè)有教務(wù)處、學(xué)工辦、辦公室，各個學(xué)院也設(shè)有上述機構(gòu)，在校教務(wù)、學(xué)工辦、辦公室與各學(xué)院教務(wù)處、學(xué)工辦、辦公室之間和各個學(xué)院教務(wù)處、學(xué)工辦、辦公室之間會有大量的數(shù)據(jù)交流，而上述機構(gòu)有沒有劃分在一個局域網(wǎng)路。為了減輕核心網(wǎng)絡(luò)的帶寬壓力，應(yīng)采用VLAN技術(shù)將上述機構(gòu)分別劃分在各自的VLAN里，即：將校教務(wù)處與各個學(xué)院的院教

35、務(wù)處劃分在同一個VLAN中，將校學(xué)工辦和各個院學(xué)工辦劃分在同一個VLAN中，將校辦公室和各個院辦公室劃分在同一個VLAN中。</p><p>　　在校園網(wǎng)絡(luò)的整個網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功能，能起到事半功倍的效果，對整個網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點：</p><p>　　VLAN 劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，

36、在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進行，不會做無意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。</p><p>　　VLAN 劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會對其他的子網(wǎng)產(chǎn)生干擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當(dāng)好的控制。</p><p>　　網(wǎng)絡(luò)管理系統(tǒng)采用完全獨立的IP子網(wǎng)和VLA

37、N，實現(xiàn)更加安全的對所有網(wǎng)絡(luò)設(shè)備進行管理。建立VLAN 和IP 子網(wǎng)的對應(yīng)關(guān)系。</p><p>　　提高管理效率，實現(xiàn)虛擬的工作組，減少站點的移動和改變的開銷。</p><p>　　VLAN 間的子網(wǎng)訪問，可以在三層交換機上實現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實行，分流核心交換機的三層交換，優(yōu)化了組網(wǎng)。</p><p>　　根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)的

38、實際情況，方案建議在骨干網(wǎng)絡(luò)VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：</p><p>　　1、方便管理。為了更好的進行VLAN規(guī)劃的實施，因此在網(wǎng)絡(luò)實施前期，要對網(wǎng)絡(luò)中不同區(qū)域的VLAN設(shè)置進行詳細的規(guī)劃，細化到接入層網(wǎng)絡(luò)，這樣在骨干網(wǎng)絡(luò)這樣大型的校園網(wǎng)絡(luò)中如果以用戶群體來劃分VLAN的話，避免由于前期配置設(shè)備時復(fù)雜煩瑣，而且由于相同的用戶

39、群體可能在不同的物理位置，導(dǎo)致造成整個校園網(wǎng)絡(luò)中VLAN劃分復(fù)雜，減輕管理和后期維護。所以方案建議骨干網(wǎng)絡(luò)劃分VLAN方式前進行詳盡規(guī)劃，這樣既可以減少廣播域，又達到劃分VLAN，方便管理的效果，對于后期網(wǎng)絡(luò)維護和升級具有十分現(xiàn)實的意義。</p><p>　　2、易于實施。按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網(wǎng)絡(luò)中心整體規(guī)劃。<

40、/p><p>　　3、VLAN間路由采用三層交換設(shè)備進行VLAN路由。以便不同VLAN間進行訪問，對于學(xué)校重要網(wǎng)絡(luò)資源，需要進行權(quán)限訪問的時候，建議采用專家級ACL（可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、時間靈活組合限定的硬件ACL）來進行訪問權(quán)限設(shè)定，保障重要資料不被非法訪問。</p><p><b>　　四、網(wǎng)絡(luò)安全</b>&l

41、t;/p><p>　　1、威脅網(wǎng)絡(luò)安全因素分析</p><p>　　計算機網(wǎng)絡(luò)安全受到的威脅包括：</p><p>　　1.“黑客”的攻擊；</p><p><b>　　2. 計算機病毒；</b></p><p>　　3. 拒絕服務(wù)攻擊（Denial of Service Attack）。</p

42、><p><b>　　安全威脅的類型：</b></p><p>　　1、非授權(quán)訪問。指對網(wǎng)絡(luò)設(shè)備及信息資源進行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。</p><p>　　2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達

43、到占用合法用戶資源的目的。</p><p>　　3、破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。</p><p>　　4、干擾系統(tǒng)正常運行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運行方法，減慢系統(tǒng)的響應(yīng)時間等手段。這會使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時間要求的服務(wù)不能及時得到響應(yīng)。</p><p>　　5、病毒與

44、惡意攻擊。指通過網(wǎng)絡(luò)傳播病毒或惡意Java、active X等，其破壞性非常高，而且用戶很難防范。</p><p>　　6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如Windows的安全漏洞便有很多。</p><p>

45、　　7、電磁輻射。電磁輻射對網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。另一方面，電磁泄漏可以導(dǎo)致信息泄露。</p><p><b>　　2、應(yīng)對措施</b></p><p>　　采用防火墻技術(shù)，在內(nèi)網(wǎng)與外網(wǎng)的環(huán)節(jié)中間添加防火墻，以保證校園網(wǎng)的安全。&

46、lt;/p><p>　　1、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻</p><p>　　這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。因為只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。</p><p>　　2、只有符合安全策略的數(shù)據(jù)流才能通過防火墻</p><p>　　防火墻最基本的功

47、能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口>=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)

48、發(fā)過程之中完成對報文的審查工作。</p><p>　　3、防火墻自身應(yīng)具有非常強的抗攻擊免疫力</p><p>　　這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領(lǐng)。它之所以具有這么強的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)

49、的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應(yīng)用程序在防火墻上運行。當(dāng)然這些安全性也只能說是相對的。</p><p><b>　　五、虛擬模擬</b></p><p><b>　　路由器配置：</b></p><p><b>　　Router0</b><

50、;/p><p>　　Router>enable</p><p>　　Router#config terimial</p><p>　　Router(config)#interface FastEthernet0/0</p><p>　　Router(config-if)#ip address 192.168.1.1 255.255.255.

51、0</p><p>　　Router(config-if)#exit</p><p>　　Router(config)#interface FastEthernet0/1</p><p>　　Router(config-if)#no shutdown</p><p>　　Router(config-if)#ip address 192.168

52、.2.1 255.255.255.0</p><p>　　Router(config-if)#exit</p><p>　　Router(config)#interface Serial1/0</p><p>　　Router(config-if)#no shutdown</p><p>　　Router(config-if)#ip addr

53、ess 192.168.254.1 255.255.255.0</p><p>　　Router(config-if)#exit</p><p>　　Router>enable</p><p>　　Router#configure terminal</p><p>　　Enter configuration commands, one

54、per line. End with CNTL/Z.</p><p>　　Router(config)#router rip</p><p>　　Router(config-router)#network 192.168.1.0</p><p>　　Router(config-router)#network 192.168.2.0</p><p

55、>　　Router(config-router)#network 192.168.254.0</p><p>　　Router(config-router)#exit</p><p>　　同理配置route1</p><p>　　利用交換機劃分vlan,對路由器的配置：</p><p>　　Switch#vlan databaseSw

56、itch(vlan)#vlan 2Switch(vlan)#vlan 3Switch(vlan)#vtp domain jkxSwitch(vlan)#vtp serverSwitch(vlan)#exit</p><p>　　Switch>enable</p><p>　　Switch#configure terminal</p><p>　　Ent

57、er configuration commands, one per line. End with CNTL/Z.</p><p>　　Switch(config)#vlan 2</p><p>　　Switch(config-vlan)#name vlan02</p><p>　　Switch(config-vlan)#exit</p><p

58、>　　Switch(config)#vlan 3</p><p>　　Switch(config-vlan)#name vlan13</p><p>　　Switch(config-vlan)#exit</p><p>　　Switch(config)#interface FastEthernet0/2</p><p>　　Switch

59、(config-if)#switchport mode access</p><p>　　Switch(config-if)#switchport access vlan 2</p><p>　　同理配置其它三個交換機實現(xiàn)pc0與pc2屬于vlan02，pc1與pc3屬于vlan13。</p><p>　　配置完成，使用ping命令，此時不能ping通，對交換機分別

60、執(zhí)行以下命令：</p><p>　　Switch(config)#interface FastEthernet0/2</p><p>　　Switch(config-if)#switchport mode trunk</p><p>　　再次使用ping命令，此時便能ping通。</p><p><b>　　六、心得總結(jié)</b

61、></p><p>　　本人通過這次課程設(shè)計，使我了解并學(xué)習(xí)到了很多以前沒有注意過的知識和設(shè)計細節(jié),同時也學(xué)到了很多新知識，使自己增長了見識，讓自己過了一把當(dāng)設(shè)計師的癮,讓我感受到了當(dāng)優(yōu)秀的網(wǎng)絡(luò)設(shè)計師的不容易，使我更加認(rèn)識到自己對相關(guān)知識的匱乏，以后還需要更多的努力，學(xué)習(xí)更多的專業(yè)知識。雖然我們盡了最大的努力，但是由于經(jīng)驗不足，及學(xué)習(xí)過程中的疏忽，錯漏之處在所難免，從整體上說，我們通過以上的分析布局已基本上

62、展現(xiàn)了網(wǎng)絡(luò)工程設(shè)計的全部過程，但是我們討論課題的局限性，還有很多的網(wǎng)絡(luò)技術(shù)沒有提到，如VPN，又如路由器的安裝與使用等等。此外，這兩周我們相互合作，共同學(xué)習(xí)和設(shè)計，讓我更深的體會到了團隊合作的重要性，讓我更深的認(rèn)識到五根手指和一個拳頭的巨大差別。建設(shè)校園網(wǎng)對每個學(xué)校來說都不是一件容易的事情，都要經(jīng)過周密的論證、謹(jǐn)慎的決策、緊張的施工和科學(xué)的管理。學(xué)校的網(wǎng)絡(luò)化建設(shè)必然會對學(xué)校的信息化建設(shè)起到巨大的推動作用，為學(xué)校的辦公提供簡單、有效、便捷

63、的理想環(huán)境，為學(xué)校的教育教學(xué)改革提供有效的數(shù)據(jù)信息。由于建立了校園網(wǎng)，一方面縮短了學(xué)校與外界的距離，利用電子郵件和Internet網(wǎng)站等服務(wù)，擴大了學(xué)與外界的交流；另一方面，</p><p><b>　　七、參考文獻</b></p><p>　　網(wǎng)絡(luò)工程（第2版）人民郵電出版社；</p><p>　　計算機網(wǎng)絡(luò)（第5版）電子工業(yè)出版