網絡工程課程設計報告--網絡架構結構設計

1、<p><b>　　網絡工程</b></p><p><b>　　課程設計報告</b></p><p>　　學 院 信息科學與工程學院 </p><p>　　專業(yè)班級 信安1201班 </p><p>　　學

2、 號 </p><p>　　完成時間 </p><p><b>　　目錄</b></p><p><b>　　1設計要求</b></p><p>　　2網絡

3、架構結構設計 ·······················2</p><p><b>　　2.1網絡拓撲設計</b></p><p>

4、<b>　　2.2現(xiàn)狀分析</b></p><p><b>　　2.3地址劃分</b></p><p>　　2.3.1信息點分析</p><p>　　2.3.2子網需求劃分</p><p>　　2.3.3學校VLAN需求劃分</p><p>　　3網絡結構設計·&#

5、183;·························8</p><p>　　3.1選用的網絡技術</p><p>　　3.1.1 VLA

6、N虛擬局域網技術</p><p>　　3.1.2千兆位以太網技術（Gigabit Ethernet） </p><p>　　3.1.3 ATM——異步傳輸模式 </p><p>　　3.1.4 網絡QoS設計</p><p>　　3.1.5 NAT網絡地址轉換</p><p>　　3.1.6 ACL訪問控制</p

7、><p>　　3.2傳輸線路及介質</p><p><b>　　3.2.1線路選擇</b></p><p>　　3.2.2傳輸介質選擇</p><p>　　3.3 網絡設備及網絡安全設備選擇</p><p>　　3.3.1交換機的選擇</p><p>　　3.3.2路由器的選擇

8、</p><p>　　3.3.3防火墻的選擇</p><p>　　3.3.4服務器的選擇</p><p>　　4問題延伸····················

9、3;·······17</p><p><b>　　4.1問題呈現(xiàn)</b></p><p>　　4.2問題分析及解決</p><p>　　4.2.1網絡性能問題</p><p>　　4.2.2網絡安全問題</p><p>　　5

10、設計總結····························22</p><p>　　參考文獻 ···

11、·························23</p><p><b>　　設計要求</b></p><p>　

12、　要在某校區(qū)的5棟建筑物中建立網絡環(huán)境，其中辦公樓與圖書館之間的距離為350米，圖書館與計算機機房之間的距離為600米，兩棟學生宿舍離辦公樓的距離為800米。網絡中心的機房設在圖書館，辦公樓設60個信息點（校辦7個，人事部門9個，財務部門20個，另外6個部門各4個），圖書館200個信息點，計算機機房400個信息點，建成后的網絡要接入互聯(lián)網。</p><p>　?。?）畫出網絡的平面拓撲圖、所用的網絡設備和網絡安全

13、設備；</p><p>　　（2）合理地劃分網絡（各部門單獨組網，每個信息點分配一個IP地址）和分配IP地址并寫出每個網絡的網絡號和廣播地址及網絡掩碼（均須用十進制表示）；</p><p>　?。?）對所選用的網絡技術、傳輸線路及介質、網絡設備及網絡安全設備進行說明及選用的理由；</p><p>　　（4）試說明當這個網絡的規(guī)模擴大10倍或更多時，在網絡性能和網絡安

14、全方面會出現(xiàn)什么問題？應該怎么解決？</p><p><b>　　網絡架構結構設計</b></p><p><b>　　2.1網絡拓撲設計</b></p><p>　　整體設計分為三層，分別是核心層，匯聚層，接入層，每層都用交換機設備進行連接。最終完成從網絡中心到各個計算機終端的網絡連接。</p><p

15、>　　局域網采用星型網絡拓樸結構，星型拓樸結構為現(xiàn)在較為流行的一種網絡結構，它是以一臺核心交換機為主而構成的網絡，其它交換機僅與該核心交換機之間有直接的物理鏈路，核心交換機VLAN隔離的方法為接入交換機服務，所有的數(shù)據必須經過核心交換機。由于所有節(jié)點的往外傳輸都必須經過核心交換機來處理，因此，對核心交換機的要求比較高。 優(yōu)點是網絡結構簡單，易于維護，便于管理（集中式）；每臺入網機均需物理線路與處理機互連，線路利用率低；處理機

16、負載重（需處理所有的服務），因為任何兩臺入網機之間交換信息，都必須通過核心交換機；入網主機故障不影響整個網絡的正常工作。對該網絡支持的設備生產廠商有較好的技術支持。</p><p>　　局域網內的所有工作節(jié)點通過，光纖，雙絞線與交換機相連形成一個星型網絡。局域網設備選用1個核心交換機，5個匯聚層交換機，以及ATM路由器和防火墻。由于各個建筑之間的距離較遠，選用光纖連接對交換機節(jié)點進行連接。</p>

17、<p><b>　　2.2現(xiàn)狀分析</b></p><p>　　對網絡各建筑的分析情況如圖所示</p><p>　　如圖所示整個網絡分為學生公寓樓，行政辦公樓，圖書館，計算機樓。其中學生宿舍區(qū)（學生宿舍1，學生宿舍2），行政辦公區(qū)（校辦、人事處、財務處、其他處），圖書館（學生閱覽室、電子閱覽室、網絡中心、借書室），計算機教學區(qū)（計算機機房）</p>

18、;<p><b>　　2.3地址劃分</b></p><p>　　2.3.1信息點分析</p><p>　　表2-1 子網的劃分表</p><p>　　2.3.2子網需求劃分</p><p>　　在全網可采用IP+MAC綁定方式，全網分布式采用ACL，并按照部門劃分VLAN，劃分相應的權限，保證學生機房用機

19、對教學辦公網沒有訪問權限，只能訪問校內服務器及外網；IP分配：在辦公區(qū)采用靜態(tài)IP劃分，在學生區(qū)及移動性較大的辦公區(qū)可補充性采用DHCP動態(tài)獲得IP地址</p><p>　　為了提高IP地址的使用效率，引入了子網的概念。將一個網絡劃分為子網：采用借位的方式，從主機位最高位開始借位變?yōu)樾碌淖泳W位，所剩余的部分則仍為主機位。這使得IP地址的結構分為三級地址結構：網絡位、子網位和主機位。這種層次結構便于IP地址分配和管

20、理。它的使用關鍵在于選擇合適的層次結構--如何既能適應各種現(xiàn)實的物理網絡規(guī)模，又能充分地利用IP地址空間。子網的劃分主要是根據子網掩碼來區(qū)分的，掩碼的作用就是用來告訴電腦把“大網”劃分為多少個“小網”，以及每個子網中的主機數(shù)目。如表2-2所示，子網的劃分。</p><p>　　表2-2 子網的劃分表</p><p>　　2.3.3學校VLAN需求劃分</p><p&g

21、t;　　在校園網絡的整個網絡規(guī)劃當中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術的功能，能起到事半功倍的效果，對整個網絡的性能也是事關重要的。主要突出為以下幾點：</p><p>　　VLAN 劃分，可以避免廣播風暴，在接入網絡中尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網中進行，不會做無意義的廣播，消除了廣播風暴產生的條件。</p><p

22、>　　VLAN 劃分，可以增加網絡的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網間通訊，不會對其他的子網產生干擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當好的控制。</p><p>　　網絡管理系統(tǒng)采用完全獨立的IP子網和VLAN，實現(xiàn)更加安全的對所有網絡設備進行管理。建立VLAN 和IP 子網的對應關系。</p><p>　　提高管理效率，實現(xiàn)虛擬的工作組，減少

23、站點的移動和改變的開銷。</p><p>　　VLAN 間的子網訪問，可以在三層交換機上實現(xiàn)，子網間的通訊也可以在匯聚設備上實現(xiàn)，分流核心交換機的三層交換，優(yōu)化了組網。</p><p>　　根據以往網絡管理經驗和骨干網絡網絡改造的實際情況，方案建議在核心網絡VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：</p>

24、<p>　　1、方便管理。為了更好的進行VLAN規(guī)劃的實施，因此在網絡實施前期，要對網絡中不同區(qū)域的VLAN設置進行詳細的規(guī)劃，細化到接入層網絡，這樣在這樣大型的校園網絡中如果以用戶群體來劃分VLAN的話，避免由于前期配置設備時復雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置，導致造成整個校園網絡中VLAN劃分復雜，減輕管理和后期維護。所以方案建議網絡劃分VLAN方式前進行詳盡規(guī)劃，這樣既可以減少廣播域，又達到劃分VL

25、AN，方便管理的效果，對于后期網絡維護和升級具有十分現(xiàn)實的意義。</p><p>　　2、易于實施。按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復雜失誤而使得網絡出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網絡中心整體規(guī)劃。</p><p>　　3、VLAN間路由采用三層交換設備進行VLAN路由。以便不同VLAN間進行訪問，對于學校重要網絡資源，需要進行權限訪問的時候，建議采用專

26、家級ACL（可同時基于VLAN號、以太網類型、MAC地址、IP地址、TCP/UDP端口號、時間靈活組合限定的硬件ACL）來進行訪問權限設定，保障重要資料不被非法訪問。</p><p>　　物理/鏈路層配置遵循下面的原則： </p><p>　　1.網絡設備互連的物理端口都應該綁定端口的速率和全雙工模式； </p><p>　　2.建議所有的Vlan都不要穿透核心

27、層，所有的Vlan都將在匯聚層交換機上終結； </p><p>　　3.本實施方案建議不要啟用STP生成樹協(xié)議，由于所有的Vlan都已在匯聚層交換機終結，在二 層上并沒有環(huán)路存在，故無必要啟用；如果開啟基于每個Vlan的生成樹協(xié)議，廣播報文將會很多，影響核心交換機性能和網絡收斂時間； </p><p>　　4.所有核心層和匯聚層交換機之間的互連端口均設置為Trunk模式，但目前只容許互

28、連Vlan通過，以應付將來有Vlan穿越核心層這種情況； </p><p>　　5.匯聚層交換機和接入交換機之間的互連端口設置為Trunk模式</p><p>　　表2-3 vlan的劃分及IP的分配表</p><p>　　另外，IP地址分為公網地址和私網地址兩類，公有地址（Public address）由Inter NIC（Internet Network In

29、formation Center 因特網信息中心）負責。這些IP地址分配給注冊并向Inter NIC提出申請的組織機構。通過它直接訪問因特網。ISP分配給學校的全局IP地址地址段為: 202.106.0.3 --202.106.0.200/24.,私有地址（Private address）屬于非注冊地址，專門為組織機構內部使用。以下列出留用的內部私有地址</p><p>　　A類 10.0.0.0--10.255

30、.255.255</p><p>　　B類 172.16.0.0--172.31.255.255</p><p>　　C類 192.168.0.0--192.168.255.255</p><p><b>　　網絡結構設計</b></p><p>　　3.1選用的網絡技術</p><p>　　3.

31、1.1 VLAN虛擬局域網技術</p><p>　　VLAN（Virtual Local Area Network）稱為虛擬局域網，是指在邏輯上將物理的LAN分成不同小的邏輯子網，每一個邏輯子網就是一個單獨的播域。簡單地說，就是將一個大的物理的局域網（LAN）在交換機上通過軟件劃分成若干個小的虛擬的局域網（VLAN）。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC地址，以便在交換機內部的MAC數(shù)據庫

32、建立MAC地址表，而廣播不能跨越不同網段。</p><p>　　VLAN技術的出現(xiàn)，使得管理員根據實際應用需求，把同一物理局域網內的不同用戶邏 輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理 上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個 VLAN內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段 。由VLAN的特

33、點可知，一個VLAN內部的廣播和單播流量都不會轉發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。 VLAN除了能將網絡劃 分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網絡的拓撲結構變得非常靈活的優(yōu)點外，還可以用于控制網絡中不同部門、不同站點之間的互相訪問。</p><p>　　通過劃分VLAN子網，能劃小了廣播域，避免了數(shù)據碰撞在大的物理LAN內產生嚴重后果的可能，也

34、避免了廣播風暴的產生。提高交換網絡的交換效率，保證網絡穩(wěn)定。提高網絡安全性，通過劃分VLAN，LAN被劃分不同子網段，因此不能直接通信。必要的通信必須經過路由來實現(xiàn)，因此可在路由器（或三層交換機）上配置訪問列表來進行跨子網段的授權訪問，從而提高校園內部網絡訪問的安全性。方便網絡管理：采用VLAN技術來劃分校園網絡，一個VLAN可以根據不同的院系、辦公室或者服務器組將不同地理位置的工作站劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以

35、任意地將工作站在子網之間移動，VLAN提供了網段和機構的彈性組合機制。VLAN技術很好的解決了網絡管理的問題，能實現(xiàn)網絡監(jiān)督與管理的自動化，從而更有效的進行網絡監(jiān)控。如表2-3所示，該學校校園網絡Vlan的劃分及IP的分配。</p><p>　　3.1.2千兆位以太網技術（Gigabit Ethernet）  </p><p>　　千兆位以太網技術以簡單的以太

36、網技術為基礎，為網絡主干提供1Gbps的帶寬。千兆位以太網技術以自然的方法來升級現(xiàn)有的以太網絡、工作站、管理工具和管理人員的技能。千兆位以太網與其他速度相當?shù)母咚倬W絡技術相比，價格低，同時比較簡單，例如保留以太網的幀格式、管理工具和對網絡概念上的認識。  </p><p>　　千兆以太網是相當成功的10Mbps以太網和100Mbps快速以太網連接標準的擴展?，F(xiàn)在千兆位以太網成熟的標準為IEEE

37、 802.3z.</p><p>　　千兆位以太網能夠提供更高的帶寬，并且成為有強大伸縮性的以太網家族的第三個成員。利用交換機或路由器可以與現(xiàn)有低速的以太網用戶和設備連接起來，因為千兆位以太網的幀格式和幀尺寸大小等都與所有以太網技術相同，不需要對網絡做任何改變。這種升級方法使得千兆位以太網相對于其他高速網絡技術而言，在經濟和管理性能方面都是較好的選擇。 </p><p>

38、;　　千兆以太網技術的優(yōu)點：  </p><p>　　技術簡單，例如保留以太網的幀格式、管理工具和對網絡概念上的認識.便于升級，從現(xiàn)有的傳統(tǒng)以太網和快速以太網可以平滑地過渡到千兆以太網，并不需要掌握新的配置、管理與排除故障技術；網絡投資可以得到保護，無需對用戶進行再培訓，也無需為額外的網絡協(xié)議進行投資；千兆以太網有良好的互操作性，并具有向后兼容性;端口價格相對較低；可以提供10倍于快速以太網的

39、傳輸速度。  </p><p>　　綜上所述，在選擇網絡技術時應該考慮如下：長遠來看如何保護現(xiàn)有投資。保護現(xiàn)有投資的有效途徑就是在將來網絡技術升級時還能使用現(xiàn)有的網絡技術和產品。如同計算機的發(fā)展速度一樣，網絡技術的發(fā)展也是非常迅速的。如果在現(xiàn)有技術不能合理保證在將來網絡升級后還能夠使用，那么將會帶來極大的資金浪費。從目前的趨勢來看，采用千兆以太網技術是最適宜的</p><p

40、>　　3.1.3 ATM——異步傳輸模式 </p><p>　　ATM(Asynchronous Transfer Mode）顧名思義就是異步傳輸模式，就是國際電信聯(lián)盟ITU-T制定的標準，實際上在80年代中期，人們就已經開始進行快速分組交換的實驗，建立了多種命名不相同的模型，歐洲重在圖象通信把相應的技術稱為異步時分復用（ATD）美國重在高速數(shù)據通信把相應的技術稱為快速分組交換（FPS），國際電聯(lián)經過協(xié)調研

41、究，于1988年正式命名為Asynchronous Transfer Mode(ATM) 技術，推薦其為寬帶綜合業(yè)務數(shù)據網B-ISDN的信息傳輸模式。</p><p>　　ATM技術具有如下特點：</p><p>　　1．實現(xiàn)網絡傳輸有連接服務，實現(xiàn)服務質量保證（QoS）。</p><p>　　2．交換吞吐量大、帶寬利用率高。</p><p>

42、;　　3．具有靈活的組網拓撲結構和負載平衡能力，伸縮性、可靠性極高。</p><p>　　4．ATM是現(xiàn)今唯一可同時應用于局域網、廣域網兩種網絡應用領域的網絡技術，它將局域網與廣域網技術統(tǒng)一。它的速率可達千兆位，即1000Mbps。</p><p>　　使用ATM異步傳輸模式，能夠將滿足校園網設計中的各交換機之間的連接服務，有較大的吞吐量，能夠保證帶寬。將局域網中的傳輸速率達到1000Mb

43、ps。</p><p>　　3.1.4 網絡QoS設計</p><p>　　為確保用戶各種關鍵業(yè)務的正常開展，必須采取全面而系統(tǒng)的QoS設計(提供端到端QoS服務)，以保證重要的數(shù)據流在網絡發(fā)生擁塞時獲得有保證的吞吐量和最低的延時；為了保證端到端用戶的服務質量，因此要求端到端數(shù)據流經的所有網絡設備都支持實施的QoS策略，核心設備是多個服務器接入的設備，并且擔負著全網數(shù)據的交換，QoS的能力

44、影響著全網的服務質量保障能力。</p><p>　　使用的交換機支持豐富的QoS功能，能確保重要業(yè)務量不受延遲或丟棄，同時又充分利用現(xiàn)有的帶寬以保證網絡的高效運行。</p><p>　　例如，將下載一個大型文件的任務設置到交換機一個端口，而在該交換機的另外一個端口進行語音通信，為減少語音通信時延，保證通話質量，可在整個網絡中對各種業(yè)務進行分類和優(yōu)先級劃分。在校園網絡中，由于信息資源集中于網

45、絡中心，為保證全網的QoS，要求資源中心核心交換機、匯聚交換機和接入交換機均支持第三層的QoS標注方案，而二層的802.1P標記對于這樣的網絡并沒有實際意義，因為802.1P的標記不能在交換機之間傳遞，只能在本機上有用。</p><p>　　多業(yè)務交換機支持基于基于DiffServ標準為核心的QoS保障系統(tǒng)，支持IP TOS、SP、WRR等完整的QoS策略，實現(xiàn)基于全網系統(tǒng)多業(yè)務的QoS邏輯，另外提供靈活的端口隊

46、列管理機制，端口多級擁塞設置;具備MAC流、IP流、應用流、時間流等多層流分類和流控制能力，實現(xiàn)帶寬控制、轉發(fā)優(yōu)先級等多種流策略，支持網絡根據不同的應用、以及不同應用所需要的服務質量特性，提供服務。</p><p>　　通過從核心到接入設備全程對QoS的良好支持，全部硬件提供二到四層數(shù)據流交換，實現(xiàn)應用感知的功能，給予多媒體辦公應用提供透明的QoS保障，確保真正的端到端的QoS的實現(xiàn)。</p>&l

47、t;p>　　3.1.5 NAT網絡地址轉換</p><p>　　網絡地址轉換(NAT,Network Address Translation)被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。雖然NAT可以借助于某些代理服務器來實現(xiàn)，但考慮到運算成本和網絡性能，很多時候都是

48、在路由器上來實現(xiàn)的。 </p><p>　　隨著接入Internet的計算機數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實上，除了中國教育和科研計算機網(CERNET)外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺計算機的大型局域網用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網絡用戶的需求，于是也就產生了NAT技

49、術。</p><p>　　NAT的實現(xiàn)方式有三種，即靜態(tài)轉換Static Nat、動態(tài)轉換Dynamic Nat 和 端口多路復用OverLoad。</p><p>　　靜態(tài)轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態(tài)轉換，可以實現(xiàn)外部網絡對內部網絡中某些特定設備(如服務器)的訪問。</p

50、><p>　　動態(tài)轉換是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉換。動態(tài)轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉換的方式。</p>

51、;<p>　　端口多路復用(Port address Translation,PAT)是指改變外出數(shù)據包的源端口并進行端口轉換，即端口地址轉換(PAT，Port Address Translation).采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自internet的攻擊。因此，目前網絡中應

52、用最多的就是端口多路復用方式。</p><p>　　3.1.6 ACL訪問控制</p><p>　　訪問控制列表（Access Control List，ACL） 是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。 <

53、/p><p>　　信息點間通信，內外網絡的通信都是企業(yè)網絡中必不可少的業(yè)務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的。簡而言之，ACL可以過濾網絡中的流量，控制訪問的一種網絡技術手段。ACL技術用在了核心交換機的SW0上面，不允許學生公寓區(qū)訪問行政區(qū)，其它的都可以。</p><p>　　對信息的權限的控制，阻止了非授權用

54、戶進行的信息的瀏覽，修改甚至破壞。適當?shù)乜刂茖eb和FTP內容的訪問是安全運行Web服務器的關鍵。使用 Windows和IIS中的安全功能，您可以有效地控制用戶訪問您Web和FTP內容的方式?？梢钥刂贫嗉壴L問，從整個網站和FTP站點到單獨的文件。每個帳戶均被授予用戶特權和權限。用戶特權是指在計算機或網絡上執(zhí)行特定操作的權力。權限是與對象（如文件或文件夾）關聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對象的訪問權限。</p><

55、;p>　　3.2傳輸線路及介質</p><p><b>　　3.2.1線路選擇</b></p><p>　　建筑系統(tǒng)間的布線主要的就是對各主要建筑屋之間的連接，考慮的問題有多個方面：帶寬的需求，外部自然地形的匹配，外部環(huán)境的等。我們通過上面的需求分析，同時結合下面的對其他因數(shù)的比較，得出建筑物之間最好用1000MB/S的光纖進行連接。</p>&l

56、t;p>　　根據各網絡內各建筑的方位，可以得出布線線路。由圖書館網絡中心核心交換機分別連接到計算機樓，辦公樓的匯聚交換機，學生宿舍的交換機線路由辦公樓交換機引出。</p><p>　　3.2.2傳輸介質選擇</p><p>　　由上表列出了千兆以太網現(xiàn)在支持的距離標準。</p><p>　　我們可以選擇單模光纖。我們使用了波長為1300um的單模光纖，因為辦公

57、樓與學生公寓的距離800m，以及圖書館至計算機樓的傳輸距離600m都超過了多模光纖的傳輸能力，同時單模光纖的傳輸距離在3000m以內對信號衰減不會很明顯。單模信號的距離損失比多模的小，根據差分模式延遲的原理分析，單模光纖的光源為激光源，是沿纖芯階躍式傳播，由于多模光纖中玻璃介質的缺陷，使得光束在來回折射的過程中造成能量的距大衰減。這經分析我們選用1000BASE-LX波長為1300nm帶寬為160~200MHZ的單模光纖。</p&

58、gt;<p>　　3.3 網絡設備及網絡安全設備選擇</p><p>　　3.3.1交換機的選擇</p><p><b>　　1.核心層交換機</b></p><p>　　由于校園網絡規(guī)模較大，需提供多媒體辦公、圖書資料檢索、遠程互聯(lián)、教育網資源共享等吞吐量較大的網絡應用，為便于管理，選用的交換機作為網絡組建交換設備。選用1臺RG

59、-S6800E交換機作為核心交換機實現(xiàn)1000M做主干100M到桌面的需求。</p><p>　　RG-S6800E是銳捷網絡推出的基于NP+ASIC構架的新一代多業(yè)務萬兆核心路由交換機，RG-S6800E在保障高性能大容量的基礎上提供強大的安全防護能力，并且擁有業(yè)務按需疊加擴展能力，達到業(yè)務和性能并重的設計需求。目前提供10豎插槽設計和6橫插槽設計兩種主機：RG-S6810E和RG-S6806E。 &

60、lt;/p><p>　　RG-S6800E系列多業(yè)務萬兆核心路由交換機提供2.4T/1.2T背板帶寬，并支持將來擴展到4.8T/2.4T的能力，高達857Mpps/428Mpps的二/三層包轉發(fā)速率可為用戶提供高速無阻塞的數(shù)據交換，強大的交換路由功能、安全智能技術可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網絡核心骨干和大流量節(jié)點交換機的理想選擇。 RG-S6800E交換機通過先進的第三代高性能

61、引擎可硬件支持策略路由、IPV6等協(xié)議，并可擴展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等豐富的業(yè)務功能，滿足客戶環(huán)境靈活而復雜的不同應用需求。</p><p><b>　　2.匯聚層交換機</b></p><p>　　匯聚層交換機也應該采用具有路由功能的多層交換機，以達到網絡隔離和分段

62、的目的。為滿足辦公，計算機機房，學生宿舍等的需求。選用5臺RG-S5760系列 交換機作為匯聚層交換機</p><p>　　RG-S5760系列是銳捷網絡推出的融合了高性能、高安全的全千兆智能機架式多層交換機，十分適合在企業(yè)網的接入層或者匯聚層使用。同時支持IPv4/IPv6雙棧，為IPv4網絡的建設、IPv4向IPv6網絡過渡、以及IPv6網絡的建設和通信提供了最直接和最方便靈活的技術實現(xiàn)和方案保障。

63、   </p><p>　　全千兆的端口形態(tài)，機身自帶4個復用的SFP千兆光纖接口，不僅滿足網絡的彈性擴展，和高帶寬傳輸需要，也滿足網絡建設中不同傳輸介質的連接需要。特別適合高帶寬、高性能和靈活擴展的大型網絡匯聚層、中型網絡核心層、以及數(shù)據中心服務器群的接入使用。  </p><p>　　硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換和功能

64、特性，為IPv6網絡之間的通信提供了豐富的Tunnel技術，可靈活應用于純IPv4網絡、純IPv6網絡、IPv4與IPv6共存的網絡，能充分滿足當前園區(qū)網從IPv4向IPv6過渡的需要。   </p><p>　　提供二到七層的智能的業(yè)務流分類、完善的服務質量（QoS）保證和組播應用管理特性。在提供高性能、多智能的同時，其內在的安全防御機制和用戶接入管理能力，更可有效防止和控制病毒傳

65、播和網絡攻擊，控制非法用戶接入網絡，保證合法用戶合理地使用網絡資源，并可以根據網絡實際使用環(huán)境，實施靈活多樣的安全控制策略，充分保障了網絡安全、網絡合理化使用和運營。</p><p><b>　　3.接入層交換機</b></p><p>　　接入層交換機放置于樓層的設備間，用于終端用戶的接入。應該能夠提供高密度的接入，對環(huán)境的適應能力強，運行穩(wěn)定。統(tǒng)計了局域網內各建筑

66、物的樓層數(shù)量，決定選用30臺RG-S20交換機作為接入層交換機。</p><p>　　產品概述 RG-S20系列是全線速智能型增強網管交換機，具有特別豐富而強大的網管功能，在實現(xiàn)流量線速交換的同時，可以通過多重設置方式進行網管操作，實現(xiàn)802.1Q VLAN、保護端口、鏈路聚合、Spanning Tree、端口監(jiān)控設置、靜態(tài)地址管理、廣播風暴控制、端口動態(tài)MAC地址鎖、端口MAC地址綁定、端口IGMP屬性設置、

67、802.1p優(yōu)先級等各種管理。 RG-S20系列交換機在設置豐富的管理策略時，可針對用戶的不同使用情況進行靈活的端口帶寬分配，并采用業(yè)界最先進的802.1x安全接入控制策略，提供用戶接入安全保障。 RG-S20系列交換機靈活的上鏈端口擴展能力、端口帶寬分配、安全的用戶接入控制使該系列交換機特別適合于高校、中小學、金融網點、中小企業(yè)、政府、寬帶社區(qū)等多種應用場合。</p><p>　　3.3.2路由器的選擇

68、</p><p>　　考慮Internet出口路由器的配置。決定選用一臺銳捷RSR-08路由器。它是校園網對外的出口，也可以作為保護校園網的第一道防火墻。</p><p>　　銳捷RSR-08路由器是高性能、通用的骨干匯聚路由器，具有高背板帶寬、高包轉發(fā)率、結構緊湊、端口密度高等特點，并能提供全范圍的光纖和銅纜接口。RSR-08路由器具有強大的業(yè)務能力，可以滿足目前所有的城域匯聚和接入需求

69、，提供多協(xié)議標準交換 (MPLS)第2或3層隧道技術、動態(tài)帶寬控制和面向連接的數(shù)據收集體系。作為多協(xié)議標記（MPLS）PE路由器，他們使提供商的基于MPLS的業(yè)務具有高度的可擴展性和可靠性。通過使用VPLS，可以利用原有網絡和以太網基礎設施提供VOIP、互聯(lián)網接入、視頻以及多點虛擬專用網（VPN）等融合業(yè)務。 </p><p>　　銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網，速率

70、高達OC- 48。部署在各種應用中，RSR-08路由器可用于搭建骨干匯聚路由器和核心層網絡，為用戶提供綜合的、高性能、功能強大的服務, 并提供高可用性網絡所需的冗余支持</p><p>　　3.3.3防火墻的選擇</p><p>　　為了擴展的需要，所以采用了RG-WALL1000。RG-WALL1000采用銳捷網絡獨創(chuàng)的分類算法（Classification Algorithm

71、）設計的新一代安全產品——第三類防火墻，支持擴展的狀態(tài)檢測（Stateful Inspection）技術，具備高性能的網絡傳輸功能；同時在啟用動態(tài)端口應用程序(如VoIP, H323等)時，可提供強有力的安全信道。 </p><p>　　采用銳捷獨創(chuàng)的分類算法使得RG-WALL產品的高速性能不受策略數(shù)和會話數(shù)多少的影響，產品安裝前后絲毫不會影響網絡速度；同時，RG-WALL在內核層處

72、理所有數(shù)據包的接收、分類、轉發(fā)工作，因此不會成為網絡流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測功能不會影響防火墻的性能。RG-WALL的主要功能包括：擴展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。</p><p>　　3.3.4服務器的選擇</p><p>　　

73、華為FusionServer RH2288H V2-8</p><p>　　國際先進、國內首創(chuàng)的一體化信息化平臺,嵌入式linux結構、抗病毒、抗攻擊; 主要功能:防火墻、VPN、上網行為管理、網站、郵件、郵件監(jiān)控、病毒垃圾郵件過濾、FTP、文件服務器、帶寬管理、負載均衡等多種功能,企業(yè)信息化性價比極高整體解決方案</p><p><b>　　問題延伸</b><

74、/p><p><b>　　4.1問題呈現(xiàn)：</b></p><p>　　說明當這個網絡的規(guī)模擴大10倍或更多時，在網絡性能和網絡安全方面會出現(xiàn)什么問題？應該怎么解決？</p><p>　　4.2問題分析及解決</p><p>　　4.2.1網絡性能問題</p><p>　　1.網絡規(guī)模擴大，IP地址需

75、求量增大</p><p><b>　　解決方案：</b></p><p>　　IP地址的統(tǒng)一、合理規(guī)劃以及整個網絡向IPv6的演進是關系到整體分層網絡穩(wěn)定、快速收斂的關鍵，也是某職業(yè)技術學院校園網網絡設計中的重要一環(huán)。IP地址規(guī)劃的好壞，不僅影響到網絡路由協(xié)議算法的效率，更影響到網絡的性能和穩(wěn)定以及網絡的擴展和管理，也必將直接影響到相關新業(yè)務的開拓和網絡應用的進一步可

76、持續(xù)性發(fā)展。 劃分時注意使用VLAN，充分節(jié)約IP地址，使路由交換機上能夠采用聚合進行路由的合并，減少路由表的大小。出口到互聯(lián)網可以采用NAT防火墻上做地址轉換實現(xiàn)。校區(qū)內接入到同一匯聚層交換機的區(qū)域建議采用連續(xù)IP地址段，以便做路由匯聚。 </p><p>　　IP地址的分配原則如下： </p><p>　　（1）給三層交換機設備互連的點對點IP地址分配1個C類地址，提供足夠的擴展性

77、 </p><p>　?。?）考慮到以后的網絡擴展規(guī)模，二層交換機設備的管理IP地址分配1個C類IP地址； </p><p>　?。?）可以考慮為學校校園網分配若干個C類私有地址段。 </p><p>　　服務器集群和辦公樓的IP獲取方式為手動分配，其他的均為通過DHCP獲取。上網方式均采用NAT方式</p><p>　　2.數(shù)據吞吐量過

78、大，核心網帶寬匱乏。</p><p><b>　　解決方案</b></p><p>　　建立一條高速的、多能的、可靠的、易擴展的主干網絡，解決目前存在的帶寬問題，適應未來發(fā)展。如果網絡規(guī)模擴大，可直接在主干網絡中添加核心交換機，而不用更換設備。</p><p>　　對于校園網這種規(guī)模大、集成度高的網絡，我們建議采用Client/Server結構

79、模式，即將網絡結構建立在各類信息分布處理和集中管理相結合的方式上；由于將數(shù)據處理工作放在各客戶機(Client)獨立處理，減輕了服務器（Server)的負擔，設備的性能可得到了良好的應用，而且資源信息可以分布共享、集中管理，使得系統(tǒng)的可靠性、開放性不單單依賴服務器，互補性很強。這種結構靈活性好，速度快，可靠性高，是當今流行的網絡系統(tǒng)方案。</p><p>　　3. 由于缺乏帶寬限制和優(yōu)先級設置，對帶寬資源的大量占

80、用導致科研等重要應用無法進行</p><p><b>　　解決方案</b></p><p>　　引入網絡管理監(jiān)控軟件，保證合法用戶合理化使用網絡，如端口安全、端口隔離、專家級ACL、時間ACL、端口ARP報文合法性檢查、基于數(shù)據流的帶寬限速、六元素綁定等等，滿足企業(yè)網、校園網加強對訪問者進行控制、限制非授權用戶通信的需求?？伸`活控制二－七層數(shù)據報文，使得任何一個用戶P

81、C上的任何一種應用報文通過網絡都能得到有效控制，充分保障了網絡的安全和合理化使用。</p><p>　　4.2.2網絡安全問題</p><p>　　1. 計算機病毒攻擊；</p><p><b>　　解決方案：</b></p><p>　　提供一套完整的校園網寬帶管理該方案，全面采用IEEE 802.1X認證功能，提供了

82、一個融合防火墻、接入服務器、訪問控制、認證、計費功能的強大系統(tǒng)，對學校存在的每個問題都能提供完全的應對策略。 </p><p>　　控制網絡病毒。 統(tǒng)一對接入層交換機做動態(tài)下發(fā)安全策略，輕松有效的控制網絡病毒，使網絡保持暢通。在匯聚、核心交換設備設置由硬件實現(xiàn)ACL，對病毒進行過濾，我們選用的匯聚、核心交換設備都支持SPOH，所以在使用ACL時將不會影響整個交換機的性能。 </p><

83、p>　　抵御網絡攻擊。 結合網絡攻擊的檢測系統(tǒng)，能夠抵御日益增多的內部網絡攻擊，并且自動對用戶做出相應的控制動作，保證網絡安全。 </p><p>　　安全認證到桌面。 采用六元素的自動綁定、靜態(tài)綁定、動態(tài)綁定相結合，可以確保用戶入網時身份唯一，并且避免了IP沖突。 </p><p>　　管理分級授權。 不同職能的管理者使用同一套系統(tǒng)時可以得到不同的操作界面以及使用權限，避

84、免了管理的安全隱患。</p><p>　　2.拒絕服務攻擊（Denial of Service Attack）</p><p><b>　　解決方案：</b></p><p>　　網絡設備拒絕服務攻擊的防止主要是防止出現(xiàn)TCP SYN泛濫攻擊、Smurf攻擊等；</p><p>　　網絡設備的防TCP SYN的方法主要是

85、配置網絡設備TCP SYN臨界值，若多于這個臨界值，則丟棄多余的TCP SYN數(shù)據包；</p><p>　　防Smurf攻擊主要是配置網絡設備不轉發(fā)ICMP echo請求(directed broadcast)和設置ICMP包臨界值，避免成為一個Smurf攻擊的轉發(fā)者、受害者。</p><p>　　正確配置路由器能夠有效防止DoS攻擊</p><p>　　使用擴展訪

86、問列表，擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型，也可以阻止DoS攻擊。Show ip access-list命令能夠顯示每個擴展訪問列表的匹配數(shù)據包，根據數(shù)據包的類型，用戶就可以確定DoS攻擊的種類。如果網絡中出現(xiàn)了大量建立TCP連接的請求，這表明網絡受到了SYN Flood攻擊，這時用戶就可以改變訪問列表的配置，阻止DoS攻擊。</p><p>　　使用QoS ，使用服務質量優(yōu)

87、化(QoS)特征，如加權公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定制隊列(CQ)等，都可以有效阻止DoS攻擊。需要注意的是，不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如，WFQ對付Ping Flood攻擊要比防止SYN Flood攻擊更有效，這是因為Ping Flood通常會在WFQ中表現(xiàn)為一個單獨的傳輸隊列，而SYN Flood攻擊中的每一個數(shù)據包都會表現(xiàn)為一個單獨的數(shù)據流。此外，人們可以利用

88、CAR來限制ICMP數(shù)據包流量的速度，防止Smurf攻擊，也可以用來限制SYN數(shù)據包的流量速度，防止SYN Flood攻擊。使用QoS防止DoS攻擊，需要用戶弄清楚QoS以及DoS攻擊的原理，這樣才能針對DoS攻擊的不同類型采取相應的防范措施。</p><p>　　使用單一地址逆向轉發(fā)，逆向轉發(fā)(RPF)是路由器的一個輸入功能，該功能用來檢查路由器接口所接收的每一個數(shù)據包。如果路由器接收到一個源IP地址為10.1

89、0.10.1的數(shù)據包，但是CEF(Cisco Express Forwarding)路由表中沒有為該IP地址提供任何路由信息，路由器就會丟棄該數(shù)據包，因此逆向轉發(fā)能夠阻止Smurf攻擊和其他基于IP地址偽裝的攻擊。</p><p>　　使用TCP攔截 ，在TCP連接請求到達目標主機之前，TCP攔截通過攔截和驗證來阻止這種攻擊。TCP攔截可以在攔截和監(jiān)視兩種模式下工作。在攔截模式下，路由器攔截到達的TCP同步請求，

90、并代表服務器建立與客戶機的連接，如果連接成功，則代表客戶機建立與服務器的連接，并將兩個連接進行透明合并。在整個連接期間，路由器會一直攔截和發(fā)送數(shù)據包。對于非法的連接請求，路由器提供更為嚴格的對于half-open的超時限制，以防止自身的資源被SYN攻擊耗盡。在監(jiān)視模式下，路由器被動地觀察流經路由器的連接請求，如果連接超過了所配置的建立時間，路由器就會關閉此連接。</p><p><b>　　3.“黑客”

91、的攻擊</b></p><p><b>　　解決方案</b></p><p>　　部署入侵檢測/保護系統(tǒng)，防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻已經無法滿足企業(yè)的安全需要，部署了防火墻的安全保障</p><p>　　體系仍需要進一步完善。 <

92、/p><p>　　傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個方面： </p><p>　　防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對 WEB 服務的 Code Red 蠕蟲等。</p><p>　　有些主動或被動的攻擊行為是來自防火墻內部的，防火墻無法發(fā)現(xiàn)內部網絡中的攻擊行為。 </p><p>　　作為網絡訪問控制設

93、備，受限于功能設計，防火墻難以識別復雜的網絡攻擊并保存相關信息，以協(xié)助后續(xù)調查和取證工作的開展。</p><p>　　入侵檢測系統(tǒng) IDS（ Intrusion Detection System）是繼防火墻之后迅猛發(fā)展起來的一類安全產品，它通過檢測、分析網絡中的數(shù)據流量，從中發(fā)現(xiàn)網絡系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時識別入侵行為和未授權網絡流量并實時報警。 </p><p&g

94、t;　　IDS 彌補了防火墻的某些設計和功能缺陷，側重網絡監(jiān)控，注重安全審計，適合對網絡安全狀態(tài)的了解，但隨著網絡攻擊技術的發(fā)展，IDS 也面臨著新的挑戰(zhàn)： </p><p>　　IDS 旁路在網絡上，當它檢測出黑客入侵攻擊時，攻擊已到達目標造成損失。IDS 無法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網絡癱瘓，IDS 無能為力。 </p><p>　　蠕蟲、病毒、DDoS 攻擊、垃圾郵件等混合

95、威脅越來越多，傳播速度加快，留給人們響應的時間越來越短，使用戶來不及對入侵做出響應，往往造成企業(yè)網絡癱瘓，IDS 無法把攻擊防御在企業(yè)網絡之外。</p><p>　　為了彌補防火墻和IDS的缺陷，入侵保護系統(tǒng) IPS（Intrusion Prevention System）作為IDS的替代產品應運而生。網絡入侵防御系統(tǒng)作為一種在線部署的產品，提供主動的、實時的防護，其設計目標旨在準確監(jiān)測網絡異常流量，自動對各類攻

96、擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。</p><p><b>　　設計總結</b></p><p>　　本畢業(yè)設計從校園網的建設思想、目標?？梢赃x用的的介紹和選擇等多方面的論述，校園網絡建設作為一項重要的系統(tǒng)工程，它的所用到的各種技術是多方面的，即有網絡技術、工程施工技術，也有管理制度等各個方面的知識。，在論

97、述中不可能面面具到，同時也由于本人的知識水平有限，文中的不足和錯誤在所難免，敬請各位老師多多指點和更正</p><p>　　通過這次設計，我接觸到了很多網絡技術和網絡設備的知識,同時也學到了很多，增長了見識，認識到自己對相關知識的匱乏，以后還需要更多的努力，學習更多的專業(yè)知識。雖然我們盡了最大的努力，但是由于經驗不足，及學習過程中的疏忽從整體上說，通過以上的分析布局已基本上展現(xiàn)了網絡工程硬件設計的全部過程，但是我

98、們討論課題的局限性，還有很多的網絡技術沒有提到，如VPN，又如路由器的安裝與使用等等。建設校園網對每個學校來說都不是一件容易的事情，都要經過周密的論證、謹慎的決策、緊張的施工和科學的管理。學校的網絡化建設必然會對學校的信息化建設起到巨大的推動作用，為學校的辦公提供簡單、有效、便捷的理想環(huán)境，為學校的教育教學改革提供有效的數(shù)據信息。</p><p>　　隨著信息技術與通信技術的飛速發(fā)展及人們對網絡性能要求的提高，各

99、種網絡新技術、新思想等必將產生并不斷得到完善和發(fā)展。使得更多更好的建網思想和技術應用到新的校園網的建設及改造之中，校園網的功能也將得到很大的提高與擴充。網絡技術的發(fā)展是永無止境的，在前進的過程中必將有更多的知識需要我們去學習與研究，并能將其應用到實際的網絡工程建設之中。由于校園網功能齊全，技術含量高，接觸面廣，在網絡設計、規(guī)劃和建設中都非常復雜。因此要廣泛普及網絡技術，發(fā)展網絡工程。</p><p><b&

100、gt;　　參考文獻</b></p><p>　　[1] 嚴偉，潘愛明.計算機網絡（第5版）[M].北京：清華大學出版社，2012.</p><p>　　[2] 白國強.網絡安全基礎（第4版）[M].北京：清華大學出版社，2011.</p><p>　　[3] 張衛(wèi)，俞黎陽.計算機網絡工程（第2版）[M].北京：清華大學出版社，2010.</p>