校园网的设计规划.docx

1、校园网的设计规划目 录一、为校园网规划IP地址 2二、为校园网设计网络拓扑结构 4三、为校园网选择适当的网络设备 5四、为校园网选择路由协议 6五、为校园网选择网络安全措施 6校园网的设计规划大学是一所极具现代意识、以现代化教学为特色的学校。为了更好地使计算机及其网络在教学、管理等方面发挥应有的作用，为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境，引入教学、科研、管理和学习等各个领域，培养熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段的高层次人才。学校计划在校内建立校园网并与国际互连网（Internet）相连。根据学校的要求，按照“统一规划、分步实施、讲究实效、安

2、全可靠”的原则，进行了该大学校园网综合系统设计。条件如下：(1)某大学具有6个二级学院，分别位于同一城市的4个园区，其中大学与两个二级学院在同一个园区（园区1），另外两个二级学院位于另一个园区（园区2），而其它两个学院分别位于园区3和园区4。(2)大学向因特网发布信息并为全校提供有关的信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务，每个学院都拥有约1500台PC机。(3)大学已从CERNET有关机构申请了IPV4地址块202.113.128.0/24202.113.137.0/24。(4)校园网络遵循网络核心层、网络汇聚层、网络接入层的三层结构模式：选用万兆以太网作为连

3、接大学4个园区的高速主干；选用千兆以太网作为各个园区的主干，形成大学校园网的汇聚层；选用百兆以太网LAN作为基本接入形式。大学校园网与因特网具有统一接口，即通过百兆以太网接入CERNET。 校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园内部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连；在网上宣传和获取教育资

4、源；在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境；开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务；系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。一、为校园网规划IP地址有条件可知，大学已从CERNET有关机构申请了IPV4地址块202.113.128.0/24202.113.137.0/24共十个地址块。6个二级学院、一个大学、校园网主干，每个分一个地址块，共需八个地址块。每个地址块共有254个因特网IP地址（例：202.113.128.1202.113.128.254），而每个学院都

5、拥有约1500台PC机，254个因特网IP地址不够给约1500台PC机分的。所以这里需要使用动态地址分配技术和网络地址转换（NAT）技术。 对IP地址202.113.128.0/24202.113.137.0/24地址块进行分配：202.113.128.0/24 二级学院 202.113.129.0/24 二级学院 园区1202.113.130.0/24 大学园区2202.113.131.0/24 二级学院 202.113.132.0/24 二级学院 202.113.133.0/24 二级学院 园区3202.113.134.0/24 二级学院 园区4202.113.135.0/24 校园网主干

6、剩余的202.113.136.0/24和202.113.137.0/24两个地址块作为备用或将来增加设备时再使用。如果当1500台PC机使用的较少时，可使用动态地址分配技术（DHCP），它可以为临时上网的用户分配一个IP地址，用户用完后再收回该地址，在供别人使用。如果当1500台PC机被同时使用的个数大于254时，仅使用DHCP协议IP地址会不够分，这时还应使用网络地址转换（NAT）。在这种方式下，可以为大量用户分配一个内部IP地址，再要与因特网通信时，要进行地址转换，将内部地址转换为该内部网络的某个代理主机的IP地址，而该IP地址是因特网的某个合法IP地址。将内部地址分配给代理IP地址：15

7、00台PC机都分一个内部地址，这些内部地址平均分配给其中一个地址块的254个IP地址192.168.0.1-192.168.0.254 192.168.1.1-192.168.1.254 .共6个地址块 .192.168.5.1-192.168.5.254 . . .192.168.35.1-192.168.35.254NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Pro

8、tocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。如图1如图1 地址转换 简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络

9、来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。二、为校园网设计网络拓扑结构 图2 层次模型拓扑结构图3 校园网的核心层结构图4某学院园区网的二层网络拓扑构架三、为校园网选择适当的网络设备选用万兆以太网作为核心层（连接大学4个园区的高速主干）；选用千兆以太网作为各个园区的主干，形成大学校园网的汇聚层；选用百兆以太网LAN作为基本接入形式。万兆以太网选择的网络设备为Cisco公司的万兆交换机Cat6509，采用租用电信公司的光线裸芯，用万兆速率将4个园区的4个千兆交换机（园区一含一个万兆交换机）连成一个环（如图3），预计总速率可达到40GHz的带宽水平。千兆以太网选择的网络设备为各

10、二级学院使用的交换机可为Catalyst 3524/3548，六类双绞线或千兆光缆。此外，每个园区都须有防火墙的配置。百兆以太网选择的网络设备为百兆光缆，百兆交换机,可为Catalyst 2924M-XL，超五类双绞线。四、为校园网选择路由协议使用开放最短路径优先（OSPF），OSPF是一套链路状态路由协议，这意味着路由选择的变化基于网络中路由器物理连接的状态与速度，并且变化被立即广播到网络中的每一个路由器。 当一个OSPF路由器第一次被激活，它使用OSPF的“hello协议”来发现与它连接的邻节点，然后用LSA(链路状态广播信息)等和这些路由器交换链路状态信息。每个路由器都创建了由每个接口、

11、对应邻节点和接口速度组成的数据库。每个路由器从邻接路由器收到的LSA被继续向各自的邻接路由器传递，直到网络中的每个路由器收到了所有其它路由器的LSA。链路状态数据库不同于路由表，根据数据库中的信息，每个路由器计算到网络的每一目标的一条路径，创建以它为根的路由拓扑结构树，其中包含了形成路由表基础的最短路径优先树(SPF树)。LSA每30分钟被交换一次，除非网络拓扑结构有变化。例如，如果接口变化，信息立刻通过网络广播；如果有多余路径，收敛将重新计算SPF树。计算SPF树所需的时间取决于网络规模的大小。因为这些计算，路由器运行OSPF需要占用更多CPU资源。 一种弥补OSPF协议占用CPU和内存资源

12、的方法是将网络分成独立的层次域，称为区域(Area)。每个路由器仅与它们自己区域内的其它路由器交换LSA。Area0被作为主干区域，所有区域必须与Area0相邻接。在ABR(区域边界路由器，AreaBorderRouter)上定义了两个区域之间的边界。ABR与Area0和另一个非主干区域至少分别有一个接口。最优设计的OSPF网络包含通过VLSM与每个区域邻接的主干网络。这使得在路由表的一个条目中描述多个网络成为可能。虽然OSPF协议是RIP协议强大的替代品，但是它执行时需要更多的路由器资源。如果网络中正在运转的是RIP协议，并且没有发生任何问题，仍然可以继续使用。但是如果想在网络中利用基于标准

13、协议的多余链路，OSPF协议是更好的选择。 五、为校园网选择网络安全措施随着网络技术的不断发展和Internet的日益普及，许多学校都建立了校园网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题，登陆了一些非法网站和使用了带病毒的软件，导致了校园计算机系统的崩溃，给计算机教师带来了大量的工作负担，也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时，教师和学生都应加强对校园网络的安全重视。正如人们经常所说的：网络的生命在于其安全性。因此，如何在现有的条件下，如何搞好网络

14、的安全，就成了校园网络管理人员的一个重要课题。网络安全主要是网络信息系统的安全性，包括系统安全、网络运行安全和内部网络安全。系统安全包括主机和服务器的运行安全，主要措施有反病毒。入侵检测、审计分析等技术。 反病毒技术：计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如安装远程教育中心配置的金山毒霸进行实时监控，效果不错。入侵

15、检测：入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和

16、系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏性行为。因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。 网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外，还要有备份与恢复等应急措施来保证网络受到攻击后，能尽快地全盘恢复运行计算机系统所需的数据。一般数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些

17、上次备份之后更改过的文件，这种备份是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件。根据备份的存储媒介不同，有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放，具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装。其特点是便于保管，用以弥补了热备份的一些不足。进行备份的过程中，常使用备份软件，如GHOST等。内部网络安全为了保证局域网安全，内网和外网最好进行访问隔离，

18、常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测，以增强机构内部网的安全性。访问控制：在内外网隔离及访问系统中，采用防火墙技术是目前保护内部网安全的最主要的，同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。其基本功能有：过滤进、出的数据；管理进、出网络的访问行为；封堵某些禁止的业务等。应该强调的是，防火墙是整体安全防护

19、体系的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。另外，防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段，防止一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。网络安全检测：保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析，用实践性的方法扫描分析网络系统，检查报告系存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安

20、全性的目的。 以上只是对防范外部入侵，维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施，健康正常的校园网络需要广大师生共同来维护。参 考 文 献中文著作类：1 陈 鸣.网络工程设计教程：系统集成方法.北京：机械工业出版社，2008.2 陈 鸣.计算机网络工程设计教程：系统集成方法.北京：希望电子出版社，2002.3 陈 鸣，常强林，岳振军.计算机网络实验教程：从原理到实践.北京：机械工业出版社，2007.4 谢希仁.计算机网络（第5版）.北京：电子工业出版社，2008.5 杨 威.网络工程与系统集成.北京：人民邮电出版社，2005.6 王正友.网络规划与系统集成.上海：上海科技教育出版社，2003.