承德师专平泉分校校园局域网规划与方案设计书终稿.docx

1、承德师专平泉分校校园局域网规划与方案设计书终稿承德师专平泉分校校园局域网规划与设计一、现状及需求分析（一）计算机网络系统现状承德师专平泉分校现拥有两座教案楼，办公楼、科技楼各一座，教室60余间，办公室40间，作为平泉县拥有电教化实施较早的学校之一，目前拥有计算机教室3个，教案用计算机180余台，部分办公室拥有计算机终端及笔记本等终端若干台，目前科技楼内的计算机教室单独组成了局域网，教案楼及办公室的计算机终端并没有联网，只有个别电脑因查阅课件资料需要，能够以窄带拨号或ADSL方式接入互联网。因此，该校的计算机等电子资源只能满足日常办公打字，无法实现联网办公、课件共享等信息化要求。（二）网络系统及

2、业务需求分析为实现教育信息化、办公无纸化的目标，学校拟搭建校园局域网，将教案楼、办公楼及科技楼的终端进行联网，从而达到能够联网办公、电子教案及课件共享等目标；同时为了适应教案发展要求，满足教师及学生在互联网上查询资料的需求，需将校园网接入至互联网，并在互联网上发布学校网站及教案资源，网页及资源都通过架设在学校中心机房的应用服务器来实现；在没有计算机的教室增设信息点，同时为满足办公楼内会议室部分拥有无线网卡的移动笔记本接入互联网，在办公楼会议室内增设无线接入点，满足这部分终端接入校园网的需求。二、系统设计原则和实现目标（一）网络系统设计原则网络系统的设计我们遵循如下原则： 网络系统采用开放、标准

3、的网络协议。 网络系统要有足够的带宽和处理能力，不造成应用系统的“瓶颈”。 网络系统要有一定的冗余，局部的故障不能造成系统瘫痪。 网络系统要有足够的隔离与安全机制。 网络系统要有多种网络接口，以适合不同的通信网络。 网络系统要有足够的扩充能力，便于网络规模的扩大，同时有利于向新技术升级。 网络系统要有一定的先进性，保证刚建立的网络系统不会因为技术落后立即被淘汰。 在满足要求的情况下，尽可能采用简单的网络拓扑结构，尽量利用原有布线系统及相关网络设备和通信设备。（二）建设目标网络系统搭建完成后，应能达到如下目标： 互联网连接。校园网内电脑都应能访问国际互联网，便于领导、老师和员工浏览信息、查找资料

4、和发布教案信息。 信息共享。在校园网内的电脑能够分享信息，避免建立信息孤岛，提高信息利用率，增强教案沟通，提高工作效率。 海量教案信息发布。能够将教案课件、视频或其他相关大容量资源在网络间进行发布，达到方便教案使用、编制课件、在线教案等目的。 校园无纸化办公环境。网络环境搭建完成后，原有的纸面信息，如各种文件或资料等，可以通过网络环境传递，减少了办公消耗，提高了工作效率，从而达到无纸化的办公环境。（三）网络设计关键技术说明本技术方案具有如下特点： 以TCP/IP协议为基础，以交换技术为核心，构造一个既能覆盖本地又能与外界进行网络互通、共享信息的计算机网络主干网。 选用技术先进、具有容错能力的网

5、络产品，在投资和条件允许的情况下也可采用结构容错的方法。 完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中； 具有较好的可扩展性，为今后的网络扩容作好准备。三、系统总体方案设计（一）网络拓扑结构设计（二）网络系统接入设计及安全设计设计方案主要由以下四大部分构成：交换模块、无线接入模块、广域网接入模块、服务器群。1、 交换模块交换模块使用以三层交换为主的快速以太网技术构建。主干网络的拓扑结构为星形，具有高速、简单、稳定的特点。核心交换机位于科技楼二层校园网机房，至教案楼、办公楼的距离较近，因此采用多模光纤进行互联，两条主干光缆缆至两个教案楼二楼的中间位置与教案楼的汇聚交换机连接；一条

6、至办公楼与办公楼现有网络及无线网络相接。在每个楼内新增一台汇聚交换机，用于汇聚大楼内各楼层内的二层交换机网络，各楼层交换机与汇聚交换机之间采用超五类网线进行布放。汇聚层与核心层交换机之间采取千兆速率互联，终端接入交换机采用百兆速率互联。2、 无线接入模块由于无线办公需求，在办公楼部署数个无线AP，直接接入办公楼汇聚交换机，覆盖办公楼中各层。3、 广域网接入目前主要的接入方式有光纤专线接入、DDN接入、ADSL接入等，光纤接入速度高，费用合理，因此采用光纤10M接入互联网，需配置一台接入路由器用于接入互联网，一台防火墙用于实现地址转换及网络安全防护。4、 服务器群在科技楼核心机房架设数台服务器，

7、主要用于课件资源存放、视频存放、OA办公系统及校园网站发布。这些服务器通过一台三层交换机汇聚后接入核心交换机。（三）VLAN划分及子网配置VLAN（Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个 VLAN内。采用VLAN具有以下优点:1、控制广播风暴网络管理必须解决因大量广播信息带来带宽消耗的问题。VLAN作为一种网络分段技术

8、，可将广播风暴限制在一个VLAN内部，避免影响其他网段。与传统局域网相比，VLAN能够更加有效地利用带宽。在VLAN中，网络被逻辑地分割成广播域，由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送，而不是向网上的所有工作站发送。这样可减少主干网的流量，提高网络速度。2、增强网络的安全性 共享式LAN上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。3、

9、增强网络管理 采用VLAN技术，使用VLAN管理程序可对整个网络进行集中管理，能够更容易地实现网络的管理性。用户可以根据业务需要快速组建和调整VLAN。当链路拥挤时，利用管理程序能够重新分配业务。管理程序还能够提供有关工作组的业务量、广播行为以及统计特性等的详尽报告。对于网络管理员来说，所有这些网络配置和管理工作都是透明的。VLAN变动时，用户无需了解网络的接线情况和协议是如何重新设置的。VLAN还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成员时，不用重新布线，也不用直接对成员进行配置。若采用传统局域网技术，那么当网络达到一定规模时，此类开销往往会成为管理员的沉重负担。VLAN的

10、划分有三种方式，可以基于端口、MAC及IP地址，基于端口应用最广泛，根据实际需求平泉分校采用基于端口的方法来划分VLAN。根据平泉分校的应用需求及物理拓扑结构，将其校园网采用VLAN技术划分成几个小的虚拟局域网，达到缩小广播、便于管理的目的。在这里，我们根据校方要求基于物理地点的不同来划分VLAN，即将教案楼、办公楼及科技楼划分为3个VLAN，由于服务器群在科技楼内，为了保证该服务器运行质量，因此我们将服务器群单独划分1个VLAN，因此将该校园网划分成下表几个VLAN：VLAN标号使用地点计算机数量10教案楼8020办公楼8030科技楼20040服务器12100三层交换机与防火墙互联VLAN划

11、分示意图VLAN划分完成后，同一个VLAN内的终端属于一个局域网，不通VLAN内的终端是是不能进行数据链路层的访问，这样就大大缩小了广播的范围，减少了由于局域网内存在ARP等广播病毒时而可能造成的大面积障碍。（四）IP地址分配目前互联网上所使用的IP地址协议号为IPV4版本，每个IP地址由32个二进制数字共4个字节组成。为了便于识别，IP地址采用点分十进制进行书写，如192.168.0.1。每个IP地址由网络位和主机位两部分组成，网络位代表该IP地址所属网络，主机位代表IP地址在该网络中的标号，IP地址用网络掩码来区分网络位和主机位，网络掩码一般是连续的二进制数“1”。根据IANA规定，IP地

12、址按照其掩码不同，共分为5类地址，分别为：A类地址：由1个字节的网络位及3个字节的主机位组成，其IP地址最高位必须是“0”，网络掩码为255.0.0.0；B类地址：由2个字节的网络位及2个字节的主机位组成，其IP地址最高位必须是“10”，网络掩码为255.255.0.0；C类地址：由3个字节的网络位及1个字节的主机位组成，其IP地址最高位必须是“110”，网络掩码为255.255.255.0；D类地址：其地址最高位必须是“1110”，一般用于组播；E类地址：其地址最高位必须是“11110”，用于保留应用；目前所使用的主要是A、B、C三类地址，由于IP地址数量有限，为节约IP地址资源，IANA又

13、从这三类地址中分别规划出一段IP地址，用于各种组织在内部组网时应用，而这些地址则在互联网上不再出现，称为私有地址，分别为：A类：10.0.0.0-10.255.255.255B类：172.16.0.0-172.31.0.0C类：192.168.0.0-192.168.255.255本次平泉分校组网根据其VLAN的划分，其每个VLAN内的终端都不超过255台，因此采用C类私有地址段就可以满足其应用需求，具体规划如下表所示：表：平泉分校局域网IP地址规划VLAN标号所属位置IP网络网络掩码网关10教案楼192.168.10.0255.255.255.0192.168.10.120办公楼192.16

14、8.20.0255.255.255.0192.168.20.130科技楼192.168.30.0255.255.255.0192.168.30.140服务器群192.168.40.0255.255.255.0192.168.40.1100互联VLAN192.168.100.0255.255.255.252此外，由于平泉分校要访问外网，因此特向平泉网通申请了光纤互联网专线一条，互联地址4个，202.99.160.40到202.99.160.43，其中202.99.160.41和202.99.160.42是用户网通公司及接入路由器互联用。用户内网IP地址32个，地址段为61.55.192.1-60

15、.5.192.31，网络掩码为255.255.255.224，其中61.55.192.1是接入路由器的内网地址，61.55.192.2是防火墙地址，61.55.192.3-61.55.192.30为NAT地址池，用于局域网内终端访问外网及外网访问平泉分校网站服务器使用。（五）传输及布线设计1、流量测算根据各楼宇所接入终端数量，以及每个终端所占用网络带宽，加以适当的收敛，最终得出科技楼核心交换机至汇聚层交换机所使用带宽，计算方法及参考依据见下表：名称业务应用终端接入带宽(Mbps)终端数量(台）收敛比实际带宽（Mbps)教案楼1网页浏览、课件下载、视频播放100400.2800教案楼2网页浏览、

16、课件下载、视频播放100400.2800科技楼网页浏览、课件下载、视频播放102000.3600办公楼课件下载、OA办公、网页浏览15800.5600其中终端接入带宽是根据其接入网络设备所使用接口的带宽决定，收敛比是根据同时在线终端数所推算。根据流量测算，并考虑到将来扩展需求，各个汇聚交换机到核心交换机之间采用千兆以太接口，根据距核心交换机距离远近全部采用多模光纤进行连接。2、布线设计本设计在科技楼二层机房放置1个网络柜，网络柜内分别安装1台路由器、1台防火墙、1台核心交换机和1台接入交换机。在教案楼（1，2）二楼东墙安装多媒体箱，在多媒体箱内分别放置一台汇聚层交换机，通过多模光缆缆与核心交换

17、机相连，并且从多媒体箱引出超五类4对UTP电缆到达各层信息点。超五类4对UTP电缆在楼道内敷设通过PVC线槽保护。核心交换机位于科技楼二层机房内，分别通过3条4芯多模光纤与办公楼、教案楼（1，2）的汇聚交换机进行级联，其中每条光缆中2芯主用、另外2芯备用；再通过超五类线与科技楼五层指定位置的汇聚交换机进行级联；从办公楼汇聚交换机引出3条超五类4对UTP电缆与办公楼三至五层会议室的无线AP相联。无线AP居中布放。科技楼的汇聚交换机位于二层机房，两栋教案楼的汇聚交换机分别为于教案楼二楼楼道东墙多媒体箱内，超五类4对UTP电缆分别从接入交换机引出在楼道内敷设，通过PVC线槽保护，分别引上引下，打墙洞

18、到达各屋接入交换机或数据信息点位置。各楼内信息点布置数量见下表。 信息点分布表楼号信息点数接入交换机数科技楼2009教案楼1302教案楼2302办公楼403合计80173、施工要求1）光缆接续要求 光纤接续宜采用熔接法。光纤接续衰减应符合规范的要求。 光纤接续后应用接头套管保护，余纤在光纤盘片内的曲率半径应30mm，盘绕方向应一致。 管道光缆接头盒安装应符合设计要求，余缆应采用波纹塑料管保护并紧贴人孔壁或人孔搁架，盘成“O”型圈，并用扎线固定。光缆固定后的曲率半径应小于光缆直径的10倍。2）布放局内光、电缆及成端要求 局内电缆的安装根据各局（站）现有条件采用爬梯和走线架方式安装。局内电缆的布放

19、应整齐美观，绑扎固定要牢固，并进行统一编号。 进局电缆的外护层应完整，无可见的损伤；横放的电缆接头应交错排列，接头任一端距电缆转弯处应大于2m；进线室的电缆应按设计要求做好编号和相关标志。 当测量室的地板洞为上线槽方式时，所布放的成端电缆应与相对应的总配线架对直，并绑扎固定，以非延燃材料封堵上线槽洞口。 在原有总配线架上新做直列成端电缆的，其绑扎方法、位置、式样应与原直列成端电缆相同。 成端电缆屏蔽连接线应可靠接至总配线架铁架。 光缆在ODF或单设的光缆终端盒做终端时，光缆内的金属构件应与ODF接地装置接触良好，ODF接地装置至机房防雷接地排的接地线的规格、型号应符合设计要求。接地线严禁成螺旋

20、型布放。3）综合布线施工要求 在敷设缆线前，应对已运到施工现场的各种缆线进行清点和复查。其内容有缆线的型号、规格、程式和数量。根据施工图纸要求、施工组织计划和工程现场条件等，将需要布放的缆线整理妥善，在其两端应贴有显著的标签。标签内容有缆线的用途和名称（也可用代号代替）、型号、规格、长度、起始端和终端地点等，标签上的字迹应清晰、端正、准确，且线缆敷设施工应严格按照工序进行。 为了保证缆线本身不受损伤，在缆线敷设时，布放缆线的牵引力不宜过大，应小于缆线允许张力的80。在牵引过程中为防止缆线被拖、蹭、刮、磨等损伤，应均匀设置吊挂或支承缆线的支点。 在缆线布放过程中，缆线不应产生扭绞或打圈等有可能受

21、到外界的挤压或遭受损伤而产生障碍隐患。 电缆在线槽中敷设时，为了使电缆布置牢靠和美观整齐，应采取稳妥的固定绑扎措施。如是在水平装设的桥架内敷设，应在电缆的始端、终端、转弯处进行固定；如是在垂直装设的桥架内敷设时，应在电缆的上端和每间隔1.5m处进行固定。4）缆线的弯曲半径应符合下列规定： 非屏蔽对对绞电缆的弯曲半径应至少为电缆外径的4倍。 屏蔽对对绞电缆的弯曲径应至少为电缆外径的6-10倍。 主干对绞电缆的弯曲半径应至少为电缆外径的10倍。 光缆的弯曲半径应至少为光缆外径的15倍。5）对绞电缆芯线终接应符合下列要求： 终接时，每对对绞线应保持扭绞状态，类线的扭绞松开长度不应大于13mm。 对绞

22、线在与位模块式通用插座相连时，必须按色标和线对顺序进行卡接。插座类型、色标和编号应符合规定。在T568A和T568B两种连接中，首推类连接方式，但在同一布线工程中两种连接方式不应混合使用。 对绞电缆与插接件连接应认准线号、线位色标，不得颠倒和错接。4、主要工程量校园局域网主要工程量表序号主要工作量单位数量1光电缆施工测量100M11.182钉固式墙壁光缆100M条1.513吊线式墙壁光缆100M条0.074明布4对对绞电缆100M条47.805敷设塑料线槽(D100mm宽以下)100M27.626电缆跳线条54.007安装网络柜架1.008安装多媒体箱个3.009安装8位模块式信息插座(单口非

23、屏蔽)10个8.0010安装交换机架6.0011安装路由器架1.0012安装无线AP）站3.0013光纤链路测试链路4.0014打穿楼墙洞(混凝土墙)个89.0015光缆成端接头)芯8.00施工图纸见附件图1-7.四、设备的选型及配置（一）设备选型的比较1、接入路由器性能指标要求工程规格与参数系统能力至少2Mpps包转发率512K条路由表项用户槽位支持模块化设计端口能力1、 支持10/100/1000自适应RJ-45以太接口；2、 支持千兆以太网光口链路层协议PPP、Frame Relay、X.25、LAPB、HDLC、SLIP、MP路由协议全面支持IPv4和IPv6双协议栈支持IPv4向IP

24、v6的基本过渡技术：手工配置隧道、自动配置隧道、6to4隧道、硬件实现NAT-PT等支持IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3、ISISv6等动态路由协议支持ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB等支持的QoS机制队列调度机制：PQ、CQ、WFQ支持802.1p、DiffServ支持WRED支持CAR、GTS管理特性网络管理接口：Console，RJ-45支持SNMP支持带内、带外网管信息通道可以进行远程网管和软件版本升级可靠性交换结构和主控模块可配置1:1冗余备份电源模块1+1备份其他关键特性支持 SDH APS/MSP支持策

25、略路由支持安全过滤特性支持高速端口的线速NAT功能支持基于标准列表（SA、DA）、扩展列表（TCP/UDP端口号）的ACL电源220VAC根据校园网应用及以后网络升级改造需求，提出以上路由器性能指标要求，符合该性能要求的设备很多，最终确定CISCO3600路由器作为该校园网接入互联网路由器，其中上行配置1个FE百兆口，下行配置一个多模GE口；2、防火墙性能指标要求工程规格与参数基本参数10/100/1000M以太网口*3,千兆GBIC接口*2并发连接数1200000网络吞吐量2000 Mbps入侵检测IDS主要功能动态检测包过滤,支持双向NAT,全面支持VLAN,支持复杂动态协议,提供透明网关

26、式应用代理,抗DoS/DdoS攻击,IPSec VPN网关,与IDS联动,双机热备和多机集群,流量管理,远程安全管理,安全集中管理,日志管理根据校园网实际需求，选用华为公司的Eudemon100防火墙设备来进行校园网的安全防护。3、核心交换机性能指标要求接口支持千兆Fiber接口至少48个RJ-45 10/100M以太网接口扩展插槽支持扩展插槽超级扩展堆叠-32台基本参数交换容量至少160G转发速率至少100Mpps缓存容量至少128MMAC表容量至少16K业务特性基本特性支持标准以太网IEEE 802.3协议族支持STP、RSTP、MSTP、PVST支持端口聚合LACP支持802.1Q VL

27、AN，支持SVLAN、QinQ、SelectiveQinQ支持完整可控组播支持QOS支持Radius认证安全特性支持MAC地址过滤支持MAC地址捆绑支持广播、组播、单播报文抑制支持端口限速增强特性支持CPU防攻击（病毒）保护，支持CPU过载/节奏保护防DDos攻击，识别多种病毒特征报文并加以过滤LAND/BLAT/NULLScan/XmaScan/Smurf、SYN Flooding、Ping Flood支持生成树根保护（Rood Guard）、BPDU攻击保护、ARP攻击保护支持uRPF单播逆向路由检查，防假冒源地址攻击支持OSPF/RIPv2/BGPv4 MD5密文检查支持IP sourc

28、e Guard网络管理本地管理接口Console RS232管理方式本地命令行CLI远程Telnet标准SNMP图形化NetNumen N31集群管理ZGMP（命令行模式、图形模式）支持SSHv2.0支持用户网管本地、远程认证MIB集合SNMP v1/v2/v3RMON 1/2/3/9私有MIB（CPU、内存、端口状态等）电源交流AC100V240V 5060Hz整机最大功耗80w根据校园网应用及以后网络升级改造需求，提出以上交换机性能指标要求，符合该性能要求的设备很多，最终确定华为Quidway5600交换机作为该校园网核心交换机，配置为8端口千兆光口板一块，24端口百兆电口板一块。4、汇聚

29、三层交换机性能指标要求工程规格与参数基本参数交换容量：至少32G；全线速二三层交换端口容量：至少25.6G包转发率：至少9.6MppsVLAN数目：4KMAC表容量：至少16K路由表容量：至少128K路由接口数目：至少5K组播表容量：至少1KACL规则数目：至少1K用户槽位支持模块化插槽，支持100-BASE-FX接口，至少48个RJ-45 100BASE-TX接口协议支持支持基本网络协议：IEEE802.3 10Base-T以太网协议IEEE802.3u 100Base-TX快速以太网协议IEEE802.3z 1000BaseX 千兆以太网协议IEEE802.3x 流量控制协议IEEE802.1x 用户认证计费协议支持RADIUS认证支持802.1x透传VLAN：支持IEEE802.1q，VLAN数目4K个支持基于端口的VLANVID、PVID范围为14094支持PVLAN支持生成树协议：IEEE802.1d STP生成树协议IEEE 802.1w RSTP 快速生成树协议IEEE 802.1s MSTP多生成树协议链路聚合：支持IEEE802.3ad /LACPACL和QoS支持：支持IEEE 802.1p协议，支持8级基于VLAN的优先级设置支持多重优先级调度算法（WRED）支持基于VLAN的ACL、二层、三层和混合ACL支持分时间段ACL支持流限速、流分类支