网络工程课程设计校园网络系统设计.docx

1、网络工程课程设计校园网络系统设计网络工程课程设计报告题目：兴义市龙盘中学校园网络系统设计专 业：_网络工程_班 级：_网络 101 _计算机科学与信息学院贵州大学本科课程论文（设计）任务书学生信息学号学院计算机学院班级姓名专业网络工程101教师信息姓名职称讲师学历硕士任务书 发出时间 2013年7月8日论文（设计）题目兴义市龙盘中学校园网络系统设计 论文（设计）起止时间2013年7月8 日2013年7月19日共需周数2主要内容通过设计一个完整的校园网络，使学生掌握网络分析、网络设计、网络施工、网络测试方面的基本工程分析技能，学会网络工程方案书或工程标书的书写规范，培养学生综合运用计算机网络技术

2、、组网技术、网络综合布线技术、网络管理技术、网络安全技术等方面的知识解决企业网络信息系统的构建的基本能力。主要要求1.项目概述：兴义市龙盘中学要实施信息化，需要建设校园网络系统，网络要能提供功能有：（1）Internet接入，学校各职能部门接入（教务处、政教处、后勤处、财务处、计算机实验室等的接入）,教师宿舍接入，学生宿舍的接入（视具体情况）。教师宿舍和学生宿舍实施收费。（2）Internet服务，学校建立web服务器，提供对外信息发布和学校基本情况的介绍等。（3）办公系统：学校的财务、教务、教学、图书阅览等办公系统，提供远程办公接入。（4）网络服务：提供校内外、地址解析服务，地址分配服务，安

3、全保护服务，网络管理与运维服务等。2.项目任务： （1）完成项目的需求分析，包括：功能需求、性能需求、服务管理需求、安全需求等。 （2）完成系统的的设计，包括：网络系统的逻辑、网络系统的物理设计、网络应用系统设计，网络系统的安全设计、网络综合布线施工设计、系统测试方案设计等。4.项目设计要求： (1)必须有完整的现场施工平面图，综合布线图，综合布线各种主要材料的详细需求及预算过程，详细的综合布线施工要求和测试方案，以及参考标准等。 (2)必须有完整的网络拓扑图，网络拓扑图标明设备功能、型号、IP地址，并说明分析各部分的功能和作用，有详细的 IP地址规划方案，出口IP网络地址前3位用56.24.

4、00，网络通信设备的选型、接口、模块、参考价格和每一设备详细的配置命令文件（不做要求）。(3)必须有安全设计与规划，网络安全架构、系统安全配置、安全策略应充分考虑信息系统的信息的机密性、可用性、完整性，详细说明安全策略；安全设备应当有详细的配置命令文件。(4)应用服务系统设计必须有软件和硬件设备的详细配置（类型、型号、配置、版本），及选型分析，必须考虑容错、备份。(5)必须有完整的网络服务设计，包括网络运行服务(DNS,DHCP)，网络配置管理、计费管理、认证管理等；包括网络操作系统软件的选择、网络管理软件的选择、网络接入方式选择等。预期目标完整的中学校园网络系统设计和实施方案，包括.网络拓扑

5、图、ip地址规划、子网设计、安全规划、综合布线设计、项目预算、测试方案设计等。计划进程:第1天，绘制自己所就读中学建筑结构平面图第2天，分析学校的职能部门，业务应用，完成网络系统需求分析第3天，网络架构设计，绘制网络拓扑图第4天，IP地址规划，路由策略规划第5天，网络数据中心、服务和管理子系统设计第6天，网络安全规划第7天，综合布线设计第8天，网络设备选型第9天，网络测试方案设计第10天，撰写设计报告，考核参考资料1 胡胜红编. 网络工程原理与实践教程(第2版).2008年4月 人民邮电出版社2 陈向阳等编著.网络工程规划与设计.清华大学出版社.2007.33 白涛 编著.网络工程实施技术与方

6、案大全.电子工业出版社.2008年6月4 千家综合布线网：http:/www.cabling-5 h3c官方网站：6 cisco官方网站:7 系主任意见： 签名：注：各项栏目空格不够，可自行扩大。1 需求分析1.1 背景需求为了提高学校的管理效益和教学质量，开展学校现代化教育建设，建设具有规模的校园网络，Internet技术的高校多媒体校园网是必要的。校园网络是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教学内容的积极性，同时也能更方便管理校园教学和网络。1.2 建设目标校园网络意在建设一个通畅、高效、安全、可扩展的小型校园网络，支撑校园网的各种信息获取，共享各种教

7、学资源，对外交流和校园信息发布，降低校园网络的总体运行费用，同时在校园网络化的基础上实现学校办公和管理的自动化和科学化，开展计算机辅助教学的研究，全面提高教师业务素质和业务水平，提高教学质量和办学效益。校园网络的建设目标，意在使各个部门接入Internet；建立办公系统并提供Web服务、网络服务，安全性设计。1.3 建设原则整个高速多媒体校园网建设原则是“经济高效、领先实用”，既要领先一步，具有发展余地，又要比较实用。校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、

8、能与其它厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的千兆骨干网络平台。我们遵循以下的原则进行网络设计：（1）实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。（2）先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证校园网络建设的领先地位，采用千兆以太网技术来构建网络主干线路。（3）可靠性和稳定性在考虑技术先进

9、性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用百兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。（4）安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，校园网络充分考虑安全性，针对的各种应用，

10、有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。（5）可扩展性和可管理性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维

11、护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。1.4 功能需求校园网络接入Internet，包括各个部门（教务处、政教处、财务处、教室办公室、后勤处、计算机实验室和教师宿舍）的接入，其中教室宿舍的接入实施收费。校园网建立Web服务和各办公系统（学校主页、教务系统、财务系统），提供对外发布学校信息和外界的访问。网络服务：提供校内外、地址解析服务，地址分配服务，安全保护服务，

12、网络管理与运维服务等。1.5 性能需求校园网络应有以下性能：实用性和先进性、开放性和标准化、可靠性与安全性、经济性与可扩充性、可管理性。根据兴义市龙盘中学的实际情况，校园网络采用核心层，汇聚层，接入层三层网络结构。根据对该校校园网功能需求分析得出采用3层结构才能满足用户的需求和其他人员的使用需求，采用双轨树形结构的网络拓扑。选用防火墙设备，提供安全网络，隔离有关危害信息对青少年的影响，为广大青年和老师提供一个安全的交流平台。1.6 服务管理需求随着网络复杂度的增加，给网络管理带来成级数增长的工作量。网络管理要求解决问题包括：1）虚拟局域网管理、分配。目前的虚拟局域网只要基于交换机端口划分，如果

13、一个部门扩展新的入网点，扩展将改换交换机端口设置。管理软件需提供原地虚拟网的修改功能。2）接入层网络设备需要支持基于MAC地址的802.1X功能和基于端口802.1X功能，以保证帐号的唯一性；同时，支持远程telnet管理远程开关交换机端口功能；此外还要求适应大量用户并发认证及复杂的工作环境等。3）要求能够实现对用户名、IP地址、MAC地址、交换机端口的同时绑定，以杜绝非法用户恶意盗用合法用户的用户名、密码、IP和MAC等现象，确保计费工作。网络必须举办高可靠、易管理等特征。建成后的校园网要便于管理，易于检错以及修复故障，内部Web服务器对外开放，尽量保持网络畅通，实现教学办公网络化信息化。1

14、.7 安全需求校园网安全主要考虑以下几个方面要求：各部门访问网络的控制，网络需要建立防火墙，禁止外部用户未经许可访问内部的数据，或者内部用户未经许可访问外部数据。校园网是个开放的系统，不需要像政府，公司那样的网络安全保密性；另外校园网应该是安全的，它不应该受到恶意的攻击而无法运行，一些科研成果也不应该对任何人都开放。主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。1.8 网络扩展性需求一个良好的网络设计应满足网络可扩展的需求，要求所设计的网络要考虑未来10年内的增长需求，在未来10年内不宜有太大的改变。应包括网络设备的扩展和IP地址的预留等：（1）设备扩展所选用的设备要能满足扩展性需

15、求。包括端口的预留，具备升级为更高级数的设备功能，设备有较多的扩展槽等。（2）IP地址的预留每个部门（教务处、政教处、财务处、后勤处、教室办公室、教室宿舍、计算机实验室）分配的IP数应多于实际主机数，为以后增加主机留有空余IP；还应有多余空闲的IP网段，为以后增加部门留有IP划分。1.9 组网技术分析在校园网校区网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。目前在局域网络上应用最广泛的技术有以太网、快速以太网、FDDI、Toke

16、nRing以及最新崛起的ATM（异步传输模式）、千兆以太网等。快速以太网是一种非常成熟的组网技术，造价很低，性能价格比很高，可作为资金不很充裕的中小型单位组建Intranet网的首选技术。快速以太网技术现在被广泛用于大型企业网的二级、三级网络组网或直接连至桌面工作站。在选择校园校区网络技术时应该考虑如下：长远来看如何保护现有投资，保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。结合本校园实际情况，信息点不是很多，且学校不是很大，就目前来说，楼宇相对集中，建筑物之间的分布距离不算远，楼宇层数也不多，所以，校园网主

17、干用快速以太网技术完全能满足本校的网络需求，主干中的路由器和交换机都具备升级为千兆功能，为网络以后的升级改造留有充足的空间。2 逻辑设计2.1 网络拓扑规划根据对兴义市龙盘中学的校园实际情况，以及项目的需求分析，对兴义市龙盘中学校园进行网络拓扑规划。要求符合需求分析，符合进行设备的布局。2.1.1 物理分布图根据校园实际样貌，画出校园物理平面图：图2.1 兴义市龙盘中学物理平面图计算机实验室是学校的网络信息中心，校园网络的主要网络及设备都在计算机实验室里，画出计算机实验室的机柜布置图及实验室平面布置图：图2.2 机柜布置图图2.3 计算机实验室平面图图2.4 计算机实验室布线图2.1.2 网络

18、拓扑根据学校情况，规划校园网络，画出网络拓扑结构图。图2.5 兴义市龙盘中学网络结构拓扑图表2-1 网络拓扑图图例图例符号数量说明符号数量说明1Internet1电子邮件服务器1路由器1显示器1防火墙1机柜2核心交换机NPC13工作组交换机1通信链路1G1Web服务器1Gb/s1FTP服务器100Mb/s2.2 IP规划和命名模型设计根据网络拓扑图并结合校园各个部门主机数，考虑合理分配和可扩展性，给校园网划分IP地址并划分VLAN。并给服务器做命名规划。2.2.1 网络地址分配学校所在地邮编为562400。故将学校接入Internet分到的IP网段假设为56.24.0.0/24。根据网络拓扑结

19、构图，并结合各个部门需要的主机数，再考虑到可扩展性，最小子网划分62个主机IP（服务器除外），将子网划分如下：名称主机个数给予个数子网号掩码CIDR地址主机地址范围计算机实验室41254192.168.1.0255.255.255.0192.168.1.0/24192.168.1.1192.168.1.254教室宿舍25254192.168.2.0255.255.255.0192.168.2.0/24192.168.2.1192.168.2.254教室办公室20254192.168.3.0255.255.255.0192.168.3.0/24192.168.3.1192.168.3.254后勤

20、处362192.168.4.64255.255.255.192192.168.4.64/26192.168.4.65192.168.4.126财务处362192.168.4.128255.255.255.192192.168.4.128/26192.168.4.129192.168.4.190政教处462192.168.5.64255.255.255.192192.168.5.64/26192.168.5.65192.168.5.126教务处562192.168.5.128255.255.255.192192.168.5.128/26192.168.5.129192.168.5.190服务器3

21、（网卡）1456.24.0.10255.255.255.24056.24.0.10/2856.24.0.1156.24.0.24表2-2 IP地址规划表就目前学校情况来看，楼宇集中，各个部门都没有零散的分布情况，可以不需要划分VLAN，但考虑以后发展的情况，可将几个可能用到VLAN的划分如下：表2-3 VLAN划分VLAN号VLAN名网络号网关VLAN2计算机实验室192.168.10.0/24192.168.10.254VLAN3教室宿舍192.168.20.0/24192.168.20.254VLAN4教室办公室192.168.30.0/24192.168.30.254如有需要，也还可以照

22、此划分其它VLAN。分好IP后的拓扑图如下：图2.6 网络拓扑图-IP2.2.2 命名设计Web服务器的域名为： FTP服务器的域名为：邮件服务器的域名为：mail. 2.3 交换和路由协议设计规划2.3.1 交换协议的选择根据我们对兴义市龙盘中学的需求分析和网络拓扑图的设计，我们对校园网络进行了IP地址和VLAN的划分，并使用VLAN中继协议VTP（VLAN Trunking Protocol）来实现交换机之间交换信息。VLAN中继协议VTP作用是：十几台交换机在企业网中，配置VLAN工作量大，使用VTP协议，把一台交换机配置成VTP Server, 其余交换机配置成VTP Client，这

23、样VTP Client可以自动学习到VTP Server上的VLAN 信息。采用VTP协议可以简化配置。VTP有三种工作模式：服务器模式、客户机模式和透明模式，本次设计默认是服务器模式。服务器模式提供VTP消息，包括VLAN ID和名字信息，学习相同域名的VTP消息，转发相同域名的VTP消息，可以添加、删除和更改VLAN，VLAN信息写入NVRAM该模式下不能使用扩展。客户机模式的内容是请求VTP消息，学习相同域名的VTP消息，转发相同域名的VTP消息，不可以添加、删除和更改VLAN,VLAN信息不会写入NVRAM，该模式下不能使用增强型软件映像提供的VID，即只能使用2-1001这一段的值。

24、1，1002-1005均为系统默认VID，要使用1006-4096作VID的值，只能关闭VTP或采用透明模式。透明模式不提供VTP消息，不学习VTP消息，转发VTP消息，可以添加、删除和更改VLAN，只在本地有效 VLAN信息写入NVRAM，新交换机出厂时的默认配置是预配置为VLAN1，VTP 模式为服务器。当交换机是在VTP Server或透明的模式，能在交换机配置VLAN。当交换机配置在VTP Server或透明的模式，使用CLI、控制台菜单、MIB修改VLAN配置。2.3.2 路由协议选择路由器的作用是用于网络的互连，每个路由器与两个以上的实际网络相连，负责在这些网络之间转发数据报，为经

25、过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。常用的动态路由协议有RIP、IGRP、EIGRP、OSPF等，他们都属于内部网关协议。根据兴义市龙盘中学的校园网络建设要求，我们选用距离向量路由协议中的RIP协议作为校园网的内部网关协议。RIP的算法简单，但在路径较多时收敛速度慢，广播路由信息时占用的带宽资源较多，它适用于网络拓扑结构相对简单且数据链路故障率极低的小型网络中，在大型网络中，一般不使用RIP。RIP协议是基于距离矢量算法的，它使用“跳数”，即metric来衡量到达目标地址的路由距离。这种协议的路由器

26、只关心自己周围的世界，只与自己相邻的路由器交换信息，范围限制在15跳(15度)之内，再远，它就不关心了。RIP应用于OSI网络七层模型的网络层。RIP通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。RIP提供跳跃计数作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则RIP认为两个路由是等距离的。RIP最多支持的跳数为15，即在源和目的网间所要经过的最多路由器的数目为15，跳数16表示不可达。2.4 安全策略设计构建全程全网的访问控制体系是网络安全防范和保护的主要策略，它的主要任务是保证网络资

27、源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。2.4.1 通信网络安全在外网与内网之间使用防火墙，可以使校园网外部网络不能随便访问内网，以至不能随意访问服务器；在交换机与交换机之间划分了Vlan，使不同区域楼层之间在没有经过路由选择之后不能互相共享信息。加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。2.4.2 服务器安全防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。在外网与内网之间加入防火墙，可以保证内网和服务器的安全，不受外部攻击。将服务器接在防火墙上，也可以保证服务器不受内网的攻击。可以将防火墙

28、配置成许多不同保护级别。为了保证服务器的安全，我们可以把HTTP/TCP 80端口列入防火墙的例外，把FTP的21端口修改并且把它列为例外；禁用默认共享，修改文件权限。2.4.3 应用安全应用安全，就是保障程序在运行过程和运行结果的安全，就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过其他安全工具或策略来消除隐患。网络管理员可以通过用户密码策略、用户安全策略、访问控制策略来保证服务器的稳定性以及限定用户安全访问应用程序的安全设置。1. 用户密码策略身份验证不仅是网络应用安全首先要解决的问题，还是最重要的阶段，对大部分网络应用而言，用户验证包括用户ID和密码两部分。用户

29、密码策略用于应用接入平台的身份模块，它确定用户的用户名和密码设置。2. 用户安全策略用户安全策略用于权限设置，它确定用户身份权限设置，例如：访问硬盘中的文件，用户身份能运行哪个业务程序等设置。3. 访问控制策略访问控制是网络应用使用验证方法来接受或拒绝对内容和功能访问的过程。以下是两种主要的访问控制方法：（1）路径挖掘（一般用于无法直接访问的文件）（2）客户端缓存（限制缓存）2.4.4 接入安全选择一个全千兆安全智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传

30、播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。2.5 管理策略设计校园网络管理的主要目的是保证网络安全和稳定运行，维持网络传输速率、降低网络传输误码、网络流量异常监控等。所以校园网络管理部门的技术人员应该熟悉常用的网络监控工具和路由器、交换机、防火墙等网络设备所具有的网络安全控制模块对整个网络进行管理。2.5.1 配置管理配置管理是管理所有的网络设备，随时掌握网络内的网络设备的增减和变动，对所有的网络设备进行参数配置，并对设备的数据参数要严格备份。当故障发生时，技术人员可以快速重设恢复，保障网络的正常运行。配置管理过程是对处于不断演化、完善过程中的软件产品的管理过程。其最终目标是实现软件产品的完整性、一致性、可控性，使产品极大程度地与用户需求相吻合。它通过控制、记录、追踪对软件的修改和每个修改生成的软件组成部件来实现对软件产品的管理功