校园局域网设计.docx

1、校园局域网设计 目录一. 广东海洋大学海滨校区(职业技术学院)概况简介11.1广东海洋大学海滨校区(职业技术学院)概况11.2校区建筑物分布1二. 校园网需求功能分析2三. 广东海洋大学海滨校区校园规划设计33.1网络拓扑结构设计33.2校园网各个分区设计 43.2.1教学楼 43.2.2办公行政楼43.2.3图书馆53.2.4学生宿舍53.2.5网络信息中心63.3系统平台运用 73.4 IP地址规划及分配 83.5硬件设备的选择及功能描述 93.6接入internet方式 11四. 校园网的布线结构设计124.1结构化布线设计的要求 124.2系统设计的远征 124.3系统所需的工艺条件

2、12五. 网络安全的设计135.1防火墙设置133.1.1部署外部防火墙133.1.2部署内部防火墙145.2选择杀毒软件14六. 投资预算(省略)14七. 后期方案评估和验收测试14 一、广东海洋大学海滨校区(职业技术学院)概况简介1.1广东海洋大学海滨校区(职业技术学院)概况办学思路 我院全面贯彻落实高等职业教育“以服务为宗旨，以就业为导向，走产学结合发展道路，为社会主义现代化建设培养千百万高素质技能型专门人才”的办学方针，培养“能安心、能吃苦、能创业”的应用型高级专门人才。部门设置 学院设有综合办公室、教务办公室及学生工作系统。专业设置 现有航海技术、供热通风与空调工程技术、电子商务、社

3、会体育、会计电算化、数控技术、模具设计与制造、制冷与冷藏技术、防雷技术、计算机网络技术、计算机应用技术、应用电子技术、通信技术、畜牧兽医、文秘、商务英语、旅游管理、环境监测与评价等18个高职高专专业，全日制在校学生近3500人。办学条件 拥有先进的计算机类实验室、工程训练中心、航海综合实验室、动物科学实验室、动物医学实验室、语音实验室、卫星通信地面站（VSAT）和多媒体课室等教学、实验（实习）场所等丰富的教学条件。学生组织 在院团委的指导下，团委、学生会设学习部、青年志愿者服务站等14个部门，其中社团部下设英语俱乐部、话剧协会、文学社、网球协会等19个协会师资组成 学院师资以广东海洋大学各教学

4、单位为依托，师资力量雄厚，现有教学科研人员近1100人，其中，具有高级职称者566人，具有博士学位者172人，双聘院士1人。1.2校区建筑物分布 CA B西办公及教学楼南东北综合楼图书馆宿舍宿舍宿舍宿舍宿舍宿舍宿舍宿舍宿舍宿舍食堂二、校园网功能需求分析教学楼主要为电脑机房、多媒体教室，将计算机多媒体视听引入课堂教学、声音、图像、动画的普遍采用可以大大提高教学效果。办公行政楼办公自动化基本web综合管理信息的信息系统、提示行政、人事、学籍、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等、使学校日常办公无纸化、减少办公开支提高办公效率等。图书馆图书馆是给师生们提供自主学习

5、的场所，师生可以根据需要自由选择内容以及基于web的图书音像供学生随时读、并于连接Ineternet、使图书馆得到进一步拓展、使师生能够得到近乎无限的网上资源学生宿舍宿舍区的网络构架对学校信息化工作起到了巨大的推动作用，一方面缩短了学校与外界的距离，另一方面，完善了以校园网为基础的管理信息系统，为学生提供了方便。信息网络中心中心机房到汇聚层节点采用4兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。通常考虑，建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入，以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、O

6、A应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。三、广东海洋大学海滨校区(职业技术学院)校园网的规划设计3.1 网络拓扑结构设计校园网局域网主干蓝图:3.2校园网各个分区设计3.2.1 教学楼核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。汇聚交换机分别连接到各楼栋的接入层交换机，通过双绞线连接到每个课室的信息面板上，具体分配如下：教学楼西区有5层，每层6个信息点，共30个信息点，教学楼东区有5层，每层有6个信息点，共30个信息点；教学楼北区有2层，一层4个信息点，二层2个信息点，共6个信息点。图：2.2.1教学楼拓扑图3.2.3 图书馆办公行政楼位于教学楼南区，

7、核心交换机通过室外光线连接到行政楼的汇聚交换机，汇聚交换机通过双绞线连接到行政楼办公室的信息面板上，信息面板分布情况如下：教学楼南区，共4层，每层5个信息点，共20个信息点。办公室使用8口交换机连接到信息面板。图：2.2.2办公行政楼拓扑图3.2.3 图书馆中心机房放置在图书馆的第五层，连接到汇聚交换机，通过双绞线连接到图书馆内的信息面板上。具体分分配如下：图书馆1楼：3个信息点;图书馆2楼：20个信息点图：2.2.3图书馆拓扑图3.2.4 学生宿舍区核心交换机通过光纤连接到学生公寓A、B、C区的汇聚交换机，每个区域的交换机通过光纤连接到各自的区域楼，区域楼交换机再与楼层的交换机堆叠，通过双绞

8、线连接到宿舍的信息面板上。图：2.2.4(1) A区宿舍楼拓扑图图：2.2.4(2) Bs区宿舍楼拓扑图图：2.2.4(3) C区宿舍楼拓扑图3.2.5 信息网络中心综合楼共7层，一、二、三、四每层4个信息点，五、六、七层为实验机房网络中心位于第七层。通过光纤接入，连接H3C SecPath F100-S-AC防火墙，再连接到一台“思科 WS-C4503”的核心交换机和服务器群。服务器群组服务器统一采用IBM System x3650 M3(7945I75)，一台对外Web服务器，放的是学校的官方网站；一台内网Web服务器，是学校的内部网站；一台Ftp服务器，由于FTP流量比较大，所以增加了一

9、台IBM TotalStorage DS3400(1726-42X) Raid服务器。核心层交换机通过光纤连接到办公及教学楼、综合楼、图书馆、学生公寓A、B、C区的汇聚层交换机。图：2.2.5信息网络中心拓扑图3.3系统平台和应用系统3.3.1系统平台选择系统平台的建设主要包括：网络操作系统、桌面平台、数据库、防火墙等的选择。一般校园网络，服务器系统平台可以选择微软WINDOWS2003 SERVER操作系统的解决方案，提供域名服务、WWW服务、FTP服务、Email服务等。具有强大的网络功能和可二次开发性。桌面操作系统比较可以选择XP和LINUX等平台。3.3.2采用Windows2003

10、SERVER建立FTP服务器一般来说，用户联网的首要目的就是实现信息共享，文件传输是信息共享非常重要的一个内容之一。在校园内部信息交流是非常频繁，所以有必要在网络中使用WINdows2003 SERVER架设起一个FTP服务器。3.4 IP地址的规划及分配在设计IP地址方案之前，应考虑以下几个问题: 1）. 是否将网络用真实地址连入Internet。 2）. 是否将网络划分为若干子网以方便网络管理。 3）. 是采用静态IP地址分配还是动态IP地址分配。 4）. 每个子网现在规划多少个信息点。 5）. 每个子网将来会增加多少个信息点。 综上所述，现将各区域IP划分如下：办公行政楼：将连到行政办公

11、室的交换机端口划分为VLAN2，每台计算机手工设置静态IP地址，DNS为202.96.18.86,网关192.168.1.1，子网掩码为255.255.255.0，在网络中心的路由器上设置动态NAT共享上网，公网的IP段为200.1.1.1-200.1.1.5。行政办公室IP范围为:192.168.1.2192.168.1.60教学楼：将VLAN3VLAN67分别划分给每一间教室，每台计算机手工设置静态IP地址，DNS为202.96.128.166 202.96.18.86,网关192.168.2.1, 子网掩码为255.255.255.0，在网络中心的路由器上设置动态NAT共享上网，公网的I

12、P段为200.1.1.6-200.1.1.10西区的IP范围为 192.168.2.1192.168.2.30东区的IP范围为 192.168.2.31192.168.2.60北区的IP范围为 192.168.2.61192.168.2.66计算机室16的IP划分如下表：计算机室服务器IP教师机学生机110.1.1.1/24192.168.2.59/2410.1.1.52/2410.1.1.210.1.1.51/24210.1.2.1/24192.168.2.60/2410.1.2.52/2410.1.2.210.1.1.51/24310.1.3.1/24192.168.2.61/2410.1

13、.3.52/2410.1.3.210.1.1.51/24410.1.4.1/24192.168.2.62/2410.1.4.52/2410.1.4.210.1.1.51/24510.1.5.1/24192.168.2.63/2410.1.5.52/2410.1.5.210.1.1.51/24610.1.6.1/24192.168.2.64/2410.1.6.52/2410.1.6.210.1.1.51/24学生宿舍区：将VLAN 68 到 VLAN 69分别划分给学生宿舍楼A的1、2栋，将VLAN 70 到 VLAN 73分别加划分给学生宿舍楼B的36栋，将VLAN 74 到 VLAN 77分

14、别划分给学生宿舍楼C的69栋，其IP地址由网络中心的将路由器设为DHCP服务器，设其IP段为172.18.2.0172.118.255.255 子网掩码为255.255.240.0自动分配给学生宿舍区。在网络中心的路由器上设置动态NAT上网，公网的IP段为200.1.1.11-200.1.1.20。图书馆：将连到电子阅览室的交换机端口划分为VLAN78，每台计算机手工设置静态IP地址，DNS为202.96.128.166 202.96.18.86,网关192.168.3.1, 子网掩码为255.255.255.0。在网络中心的路由器上设置动态NAT共享上网，在网络中心的路由器上设置动态NAT共

15、享上网，以及设置静态NAT，绑定知网公网地址。公网的IP段为200.1.1.21-200.1.1.25。电子阅览室的IP为192.168.3.3-192.168.3.63将VLAN79VLAN72分别划分给FTP、校内论坛和教学网站、学校官方网站，手动设置IP，在网络中心的路由器上设置静态NAT，绑定学校官方网站公网地址。3.5硬件设备的选择及功能描述3.5.1 交换机CISCO SLM224G2l SLM224G2具有24个接入端口，用于连接终端设备；2个千兆COMBO端口，用来连接网络核心设备。COMBO端口的引入，丰富了设备的上联选择：可以是千兆铜缆链路，也可以是千兆的光纤链路。此外，8

16、.8Gbps的背板带宽确保了所有端口都可以满负荷运转，而不会出现阻塞。l SLM224G2充分考虑到用户对内网安全的要求。支持802.1x认证功能，可将未经授权的用户挡在接入层之外，确保网络的安全。当然，如果网络还没有成型的AAA认证体系，SLM224G2的MAC地址过滤的功能，也能确保网络免遭非法入侵。3.5.2智能交换机 l 思科WS-C2960-24TT-L交换机可实现为多达24个端口提供完全15.4瓦功率的PoE配置，在网络边缘提供高级访问控制列表(ACL)和增强安全性等智能化特性，支持千兆以太网上行链路灵活性的两用上行链路，允许使用铜缆或光纤上行链路;其中每个两用上行端口分别拥有一个

17、10/100/1000以太网端口和一个基于小形可插拔(SFP)的千兆以太网端口，每次有一个端口处于激活状态，采用高级QoS、速率限制、ACL和组播服务，提供网络控制和带宽优化，根据用户、端口和MAC地址，并通过多种不同的身份验证方法、数据加密技术和NAC，提供网络安全性。3.5.3 交换机 CISCO WS-C3560G-24TS-S l 提供了24个以太网10/100/1000端口，4个SFP千兆位以太网端口，采用思科IP电话和Cisco Aironet无线LAN接入点，以及任何IEEE 802.3af兼容终端设备的部署，提供了较低的总体拥有成本(TCO)。l 以太网电源使客户无需再为每台支

18、持PoE的设备提供墙壁电源，免除了在IP电话和无线LAN部署中所必不可少的额外布线。支持24个15.4W的同步全供电PoE端口，从而获得了最佳上电设备支持。3.5.4 企业级交换机l 思科WS-C3750-24TS-S交换机提供了24个以太网10/100端口和2条小型可插拔（SFP）上行链路，它采用了最新的思科StackWise技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。l 思科WS-C3750-24TS-S交换机使用了业界领先的标记、分类和排队机制，为数据、话音和视频流量提

19、供了最佳性能，确保在大型网络中数据传输依然畅通，不会发生拥堵现象。它运行稳定，功能丰富，可拓展性强，它可以帮助中型机构和企业分支机构大幅度提高他们的局域网（LAN）的运营效率，并让他们可以适应不断变化的业务需求。3.5.5快速以太网交换机l TP-link这款交换机的价格适中，TP-link的产品在性能和稳定性上都非常不错，对于需要购买交换机的小型企业或个人用户来说还是蛮合算的。此外它采用了内置电源、机架式结构、全金属外壳、无风扇静音设计。都为交换机的长时间稳定工作提供便利，而且这款TP-LNIK交换机也是在二三级城市，校园、网吧应用最广的一款产品。3.5.6企业级交换机l Cisco Cat

20、alyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。3.5.7防火墙l H3C SecPath F100-S-AC防火墙支持标准网管SNMPv3, 并且兼容SNMP v2c, SNMP v1, 支持NTP时间同步, 支持Web方式进行远程配置管理，支持外部攻击防范, 内网安全, 流量监控, 邮件过滤, 网页过滤, 应用层过滤等验证。3.5.8服务器l IBM System x3650 M3(7945I75)采用2U机架式结构设计，拥有不错的

21、扩展能力，特别适合大批量集群式部署。标配提供1颗英特尔最新32纳米至强X5670处理器，拥有6个物理内核，并且支持英特尔超线程技术，使处理器内核可以达到12个，核心频率为2.93GHz，拥有12MB三级缓存，由于采用了最新的32纳米制程，使得功耗得到了一定的降低，最高为95W，最大可支持双路英特尔至强六核处理器。内存方面，标配提供2条4GB DDR3 RDIMM内存，主板提供18个RDIMM DDR3内存，最大可支持192GB的内存容量。l 存储方面，标配并不提供内存容量，提供16个2.5英寸SAS/SATA/固态硬盘驱动器，最大可支持8TB的硬盘容量，集成ServerRAID M5015阵列

22、卡，可以支持RAID 5磁盘阵列，并且提供512MB的缓存，但不带电池。I/O方面，服务器提供4个PCI Express二代插槽。集成双千兆以太网卡，标配2个RJ-45端口，用户可以根据需要选购额外2个端口。提供1个675W热插拔服务器电源。3.5.9 磁盘阵列l IBM TotalStorage DS3400(1726-42X) 磁盘阵列，易于使用: 易于使用的 DS3000 Storage Manager 有助于降低管理成本 可扩展: 容量最多可以扩展到 48 个驱动器，并且与 IBM DS4000 Storage Manager 兼容，使 IBM 系统架构能够根据客户需要进行扩展 灵活:

23、 可以通过直连或 SAN 配置访问存储在 System x 和 BladeCenter 服务器上的数据 在单个机柜中支持近线和辅助存储设备 价格合理: 是中小型企业预算范围内所能购买的最佳产品3.6接入Internet方式校园网接入Internet的可选方式主要有：光纤、DDN、ISDN、ADSL等。1、光纤光纤是速度最快的Internet接入方式，适用于对带宽要求较高的大型校园网Internet接入，当然它的技术要求和成本也是最高的。2、DDNDDN是目前校园网接入Internet的主要方式，速度最高可达2Mbit/s。它性能稳定，成本适中，比较适合中型校园网。3、ISDN对于终端较少的小型

24、校园网，可选用ISDN接入Internet。ISDN接入Internet的标准速度是64Kbit/s（1B+D）。ISDN配置简单，虽然像Modem一样利用电话线路，但可以在上网的同时打电话。4、ADSLADSL是Internet接入方式的后起之秀。这正是笔者推荐和将要详细介绍的校园网Internet接入方案。ADSL是Asymmetric Digital Subscriber Line的缩写，中文意思是非对称数字用户线路，下行和上行最快速度分别是8Mbit/s和1Mbit/s。ADSL上网也通过电话线路，但不需要拨号。ADSL的使用费和维护费用远远低于DDN，而速度却高于DDN，是校园网接入

25、Internet的理想选择。ADSL设备和校园局域网连接如图所示，安装和设置过程如下。在校园网中选择一台较高配置的PC作为接入Internet的代理服务器。该PC安装两块快速以太网卡。一块通过RJ-45直连网线与外置ADSL Modem连接，另一块连接到校园网的交换设备。外置ADSL Modem和滤波器用RJ-11铜制电话线连接，滤波器通过电话外线连接到电信局。滤波器用于将低频信号与ADSL高频信号分离，如果在滤波器上接入电话机，则上网和打电话两不误，为学校节约了一条电话线路。采用G.Lite标准的ADSL Modem由于降低了对输入信号的要求，就不需要安装滤波器了，这使得ADSL Modem

26、的安装更加简单。四、校园网的布线结构设计4.1 结构化布线设计的要求结构化布线设计应该满足以下目标 1. 满足大楼各项主要业务的需求，且兼顾未来长远发展 2. 符合当前和长远的信息传输要求 3. 布线系统设计遵从国际（ISO/IEC 11801） 标准和邮电部和建设部标准,布线系统采用国际标准建议的星型拓扑结构 4. 布线系统将支持语音、数据等综合信息（如 ADSL、BISDN 、ATM 等）的高质量传输，并适应各种不同类型不同厂商的电脑及网络产品 5. 布线系统的信息出口采用国际标准的RJ45插座，以同一的线路规格和设备接口，使任意信息点都能接插不同类型的终端设备，如电脑、打印机、网络终端、

27、电话机、传真机等，以支持话音、数据、图象等数据信息和多媒体信息的传输 6. 布线系统符合综合业务数据网ISDN的要求，以便与国内国际其它网络互连。4.2系统设计原则1. 设计标准：a) ISO 11801国际综合布线标准b) IEEE 802标准c) EIA/TIA 568工业标准及国际商务建筑布线标准2. 安装与设计规范a) 建筑与建筑群综合布线系统工程设计规范CECS 72:97b) 建筑与建筑群综合布线工程施工及验收规范CECS 89:97c) 中国建筑电气设计规范d) 工业企业通信设计规范3. 设计目标实用性-实施后的布线系统，将能够在现在和将来适应技术的发展，并且实现数据通信、语音通

28、信、图像通信。灵活性-布线系统能够满足灵活应用的要求，即任一信息点能够连接不同类型的设计，如计算机、打印机、终端或电话、传真机。模块化-布线系统中，除去敷设在建筑内的缆线外，其余所有的接插件都应是积木式的标准件，以方便管理和使用。扩充性-由于所有基础设施（材料、部件、通信设备）都采用国际标准，无论计算机设备、通信设备、控制设备随技术如何发展，将来都可很方便地将这些设备扩充到系统中去。经济性-在满足应用要求的基础上，尽可能低造价。4.3系统所需的工艺条件4.3.1机房工艺需求温度： 10C27C湿度： 60%90%照度： 300 LUX门宽：900mm面积： 100200 平方米承重： 5KN/

29、 平方米使用防火门，至少能耐火1小时的防火墙和阻燃漆4.3.2设备管理间工艺需求管理配线间应尽量保持室内无尘土、通风良好、室内照明不低于 150Lux。应符合有关消防规范、配置有关消防系统。每个电源插座的容量不小于 300W。按照标准的设计要求，设备间尤其是要集中放设备的设备间，应尽量满足下面的要求：l 保持室内无尘或少尘 ，通风良好，亮度至少达30英尺/烛光；l 安装合适的消防系统；l 使用防火门，至少能耐火1小时的防火墙和阻燃漆；l 提供合适的门锁，至少要有一扇窗口留作安全出口；l 避开电磁干扰源(如发射机和电动机)；l 远离危险物品场所（如有害气体等）；4.3.3系统使用电源要求 工作区

30、：在每个工作区附近预留交流220V，5A电源插座一组（6个的通用插孔，使用功率1000W），使用系数0.6。 管理区：在每个配线间内预留交流220V，45A电源插座组一组（使用功率1600W）。 设备区：在主计算机机房内预留20KW三相配电总开关一个，三相及单相电源插座若干。4.3.4系统防火/防水要求本系统防火/防水要求如下： 所有电缆均为阻燃缆线。 敷线后使用防火材料有效封闭地板洞。 壁挂设备后附防火背板。4.3.5系统抗电磁干扰要求本系统抗电磁干扰要求如下： 统一接地：在各配线间和中央控制室内预留接地端子； 接地电阻1。 电磁屏蔽：所有线缆均封闭于镀锌金属线槽内。保护：对于由楼外来的信号线选用防雷防高压的保护器，建议选用进口的110ANA1保护架(带4C保护器),或采用国内用于交换机上的过压过流保护器；在关键的网络设备的数据连线上串接防雷防浪涌电压的网络保护器，建议选用美国APC的PTEL4网络保护器（最大信息流100Mbps）。五、网络安全的设计5.1设置防火墙5.1.1 部署外部防火墙设置外部防火墙可以实现内部网络与外部网络的有效 隔离可有效防范外部网络的攻击。外部防火墙可以制定