于强方案设计范例.docx

于强方案设计范例.docx

《于强方案设计范例.docx》由会员分享，可在线阅读，更多相关《于强方案设计范例.docx（27页珍藏版）》请在冰点文库上搜索。

于强方案设计范例

2012年湖北省中职骨干教师

《计算机网络》培训

武汉铁路桥梁学校

校园网络规划与设计

方

案

书

学员姓名：

所在学校：

武汉铁路桥梁学校

培训地点：

成绩：

2012-7-30

目录

一、建设背景2

二、需求分析2

三、设计原则2

（一）实用性2

（二）安全性2

（三）可靠性2

（四）统一性2

（五）先进性3

四、方案规划3

（一）根据学校现状及发展方案的实施具体要求如下表所示：

3

（二）网络架构及网络拓扑4

（三）网络设备选择5

（四）用户IP规划6

（五）内网路由IP规划7

（六）顶层设备IP及公网IP规划8

（七）服务器IP地址规划8

（八）安全规则定义8

（九）部分设备调试拓扑9

五、技术文档10

（一）出口路由器的配置文档10

（二）核心交换机的配置文档12

（三）汇聚－办公楼的配置文档14

（四）汇聚－学生宿舍配置文档15

（五）汇聚－图书馆配置文档17

（六）无线路由配置文档20

（七）LinuxApache服务器的配置步骤及文档21

校园网方案规划与设计

武汉铁路桥梁学校

一、建设背景

学校始建于1973年， 学校现为国家首批调整认定的重点中等职业学校、中国职教100强、全国首批中等职业教育德育工作实验基地学校、全国德育科研先进实验校（连续六年）、全国读书育人特色学校、湖北省示范中等职业学校、全省职教先进单位、湖北省最佳文明单位（连续三届）、湖北省中等专业教育十强、全省中等职业教育招生工作先进单位、湖北省信誉建设示范单位。

学校办学环境优雅，现有占地面积96264.5㎡，建筑面积71179.3㎡。

办学设施齐全（其中相当一部分设施具有当代先进水平甚至全国独有）——校内建有材料检测、工程测量、桥梁工程、建筑工程施工、工程造价、计算机应用技能等6个实训基地；拥有水泥、集料、混凝土砂浆和沥青、力学、水力水文、电工等18个实验室的综合实训大楼、藏书14.8万余册的图书馆、1个能自动演示的桥梁施工模型室，1个职业技能鉴定站、20个现代化的多媒体教室、2个多媒体报告厅；拥有教学用微机710台，建有与Internet相连接的校园网络系统，实现了网络化管理。

各种教学设施设备先进、齐全。

校内实验实训设备总值1767.6万元。

学校十分重视对数字化教学资源管理和应用平台的建设，实现教学资源的“广泛共享、有效聚合、充分应用”， 为实现了全校互连互通、资源共享，现有网络进行重新规划，进一步科学设计，打造安全、快速网络。

二、需求分析

学校构建信息化平台，着力提高信息化水平。

加强对招生就业、学籍管理、教育教学制度管理、学生日常管理、财务、资产、人事等实行数字化管理，以保证信息的准确性和管理效率的提高。

在教学资源共享平台上，为学生提供课程点播等服务，为教师提供共享教学资源等服务；在学籍管理信息平台上，使学生能够了解自己在校期间的理论学习、实训成果和就业招聘信息等，为学生提供高效服务。

三、设计原则

（一）实用性

校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。

（二）安全性

应能在可靠性的前提下，抵挡来自内部和外部的攻击；采用的安全措施有效、可信，能够在多层次上、以多种方式实现安全的控制。

（三）可靠性

校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，支持故障检测和恢复，可管理性强。

（四）统一性

在系统的设计过程中，坚持"三统一"，即统一规划、统一标准、统一出口。

（五）先进性

在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。

四、方案规划

（一）根据学校现状及发展方案的实施具体要求如下表所示：

1

对校区内所有楼栋进行有线所有网络覆盖

2

对图书馆、运动场进行无线覆盖

3

建设学校的OA、WEB、MAIL、学生管理、财务、教务、校产及一卡通等数字化应用系统；

4

满足公安局实名上网的需求

5

食堂、商店、运动场、图书馆等消费场所及身份认证场所接入校园一卡通；

6

要求校内主干网络千兆，接入教育网100M带宽,分配1个C的IPV4地址；IP地址范围为：

125.220.160.1－254、接入电信100M带宽

7

要求所有网络可管可控

8

信息点分布如下：

办公楼：

100个教学楼1：

60个教学楼2：

60个实验楼：

80个宿舍1：

500个

宿舍2：

600个宿舍3：

900个家属楼：

150个工厂：

30个图书馆：

30个及无线覆盖运动场：

无线覆盖

（二）网络架构及网络拓扑

结合现有学校基础架构及将来网络扩展要求，采用主干网络三层结构。

拓扑如下图所示：

（三）网络设备选择

为了能提高效率和信息化水平，结合学校实际需求，合理选择如下网络设备。

位置

用户数量

设备型号

设备类型

设备数量

连接

中心机房

所有用户

Cisco2811

出口设备

1

外接ISP服务商

中心机房

Cisco3560-24

核心交换机

1

多模光纤

中心机房

Cisco3560-24

DMZ区交换机

1

多模光纤

中心机房

Cisco3560-24

服务器区交换

1

多模光纤

汇聚光纤连入中心机房

办公楼

100

Cisco2960-48

接入交换机

2

双绞线上联至汇聚

Cisco3560-24

汇聚交换机

1

多模光纤

教学楼1

60

Cisco2960-48

接入交换机

1

双绞线上联至汇聚

Cisco3560-24

汇聚交换机

1

多模光纤

教学楼2

60

Cisco2960-48

接入交换机

1

双绞线上联至汇聚

Cisco3560-24

汇聚交换机

1

多模光纤

实验楼

80

Cisco2960-48

接入交换机

2

双绞线上联至汇聚

Cisco3560-24

汇聚交换机

1

多模光纤

家属楼

150

Cisco2960-48

接入交换机

3

双绞线上联至汇聚

Cisco3560-24

汇聚交换机

1

单模光纤

图书馆

30

Cisco3560-48

汇聚交换机

1

多模光纤

AP

20

双绞线上联至汇聚

工厂

30

Cisco3560-48

汇聚交换机

1

单模光纤

运动场

AP

20

双绞线上联至图书馆汇聚

宿舍1

500

Cisco2960-48

接入交换机

11

双绞线上联至汇聚

Cisco3560-24

汇聚交换机

1

单模光纤

宿舍2

600

Cisco2960-48

接入交换机

13

双绞线上联至汇聚

Cisco3560-24

汇聚交换机

1

单模光纤

宿舍3

900

Cisco2960-48

接入交换机

19

双绞线上联至汇聚

Cisco3560-24

汇聚交换机

1

单模光纤

（四）用户IP规划

位置

用户数量

网络号

主机地址段

网关地址

用户VLAN

管理VLAN

办公楼

100

192.168.10.0

192.168.10-12.1--253

192.168.10-12.254

VLAN10-12

VLAN210.10.1.0/24

教学楼1

60

192.168.11.0

192.168.13.1--253

192.168.13.254

VLAN13

教学楼2

60

192.168.14.0

192.168.14.1--253

192.168.14.254

VLAN14

图书馆

30

192.168.15.0

192.168.15.1--253

192.168.15.254

VLAN15

实验楼

80

192.168.16.0

192.168.16.1--253

192.168.16.254

VLAN16

家属楼

150

192.168.17.0

192.168.17.1--253

192.168.17.254

VLAN17

工厂

30

192.168.16.0

192.168.16.1--253

192.168.16.254

VLAN16

宿舍1

500

192.168.111－115.0

192.168.111-115.1--253

192.168.111-115.254

VLAN111-115

宿舍2

600

192.168.116－121.0

192.168.116－21.1--253

192.168.116-121.254

VLAN116-121

宿舍3

900

192.168.201－209.0

192.168.122-131.1--253

192.168.122-131.254

VLAN122-131

无线

20AP

192.168.250.0

192.168.250.1-192.168.250.20

192.168.250.254

VLAN250

（五）内网路由IP规划

注：

内网主干采用TRUNK+vlan路由实现单VLAN2任意结点管理

位置

设备类型

设备型号

设备上联端口

设备上联本端地址

上联的对端设备

上联对端端口

上联对端地址

办公楼

汇聚交换机

Cisco3560

F0/1

172.16.1.1

核心交换机

F0/1

172.16.1.2

图书馆

汇聚交换机

Cisco3560

F0/1

172.16.3.1

核心交换机

F0/3

172.16.3.2

实验楼

汇聚交换机

Cisco3560

F0/1

172.16.4.1

核心交换机

F0/4

172.16.4.2

家属楼

汇聚交换机

Cisco3560

F0/1

172.16.5.1

核心交换机

F0/5

172.16.5.2

教学楼1

汇聚交换机

Cisco3560

F0/1

172.16.6.1

核心交换机

F0/2

172.16.6.2

教学楼2

汇聚交换机

Cisco3560

F0/1

172.16.7.1

核心交换机

F0/6

172.16.7.2

工厂

汇聚交换机

Cisco3560

F0/1

172.16.8.1

核心交换机

F0/7

172.16.8.2

运动场

AP

AP

WAN

192.168.250.1

图书馆汇聚交换机

F0/24

192.168.250.254

图书馆ap

AP

AP

WAN

192.168.250.2

图书馆汇聚交换机

F0/24

192.168.250.254

宿舍1

汇聚交换机

Cisco3560

F0/1

172.16.2.1

核心交换机

F0/9

172.16.2.2

宿舍2

汇聚交换机

Cisco3560

F0/1

172.16.9.1

核心交换机

F0/9

172.16.9.2

宿舍3

汇聚交换机

Cisco3560

F0/1

172.16.10.1

核心交换机

F0/9

172.16.10.2

（六）顶层设备IP及公网IP规划

设备名称

设备型号

设备上联端口

设备上联本端地址

对端设备型号

对端端口

对端地址

路由器

Cisco2811

F0/1

125.220.160.1

电信路由器cisco2811

F0/1

125.220.160.254

核心交换机

cisco3560

F0/24

10.10.10.1

路由器cisco2811

F0/0

10.10.10.254

路由器

Cisco2811

F0/1

125.220.160.1

电信路由器cisco2811

F0/1

125.220.160.254

服务器区交换机

cisco3560

G1/1

10.10.5.1

核心交换机cisco3560

G0/2

10.10.5.254

DMZ

cisco3560

F0/1

10.10.4.10

路由器cisco2811

F1/0

10.10.4.254

（七）服务器IP地址规划

设备

内网地址

外网地址

连接设备

连接端口

WEB服务器

10.10.4.1/24

125.220.160.2

DMZ区交换机

F0/2

内网FTP服务器

10.10.5.3/24

无

服务器区交换机

F0/3

数据服务器

10.10.5.424

无

服务器区交换机

G1/2

OA

10.10.5.2/24

无

服务器区交换机

F0/2

认证服务器

10.10.5.5/24

无

服务器区交换机

F05

NAT设备

除需静态映射的地址外的所有用户

125.220.160.10-

125.220.160.15

电信路由器cisco2811

F0/0

（八）安全规则定义

1．DMZ区服务采用内外网只允许单80端口映射，其他服务禁访。

2.页面认证服务内网只允许单80端口访问。

3.文件服务器内网只允许只FTP服务访问。

4.办公OA服务器开启所需服务，其它禁止访问。

5.数据服务器，远程禁访。

（九）部分设备调试拓扑

五、技术文档

（一）出口路由器的配置文档

Router#showrun

Buildingconfiguration...

Currentconfiguration:

1741bytes

!

version12.4

noservicetimestampslogdatetimemsec

noservicetimestampsdebugdatetimemsec

noservicepassword-encryption

hostnameRouter

interfaceFastEthernet0/0#设置端口IP

ipaddress10.10.10.254255.255.255.0

ipnatinside

duplexauto

speedauto!

interfaceFastEthernet0/1#设置端口IP

ipaddress125.220.160.1255.255.255.0

ipnatoutside

duplexauto

speedauto

!

interfaceFastEthernet1/0#DMZ端口IP

ipaddress10.10.4.254255.255.255.0

ipnatinside

duplexauto

speedauto

!

interfaceVlan1

noipaddress

shutdown

!

ipnatpoolyuer125.220.160.20125.220.160.100netmask255.255.255.0#PAT

ipnatinsidesourcelist1poolyueroverload

ipnatinsidesourcestatictcp10.10.4.180125.220.160.280#静态映射

ipclassless

iproute192.168.10.0255.255.255.0FastEthernet0/0#回指路由

iproute192.168.111.0255.255.255.0FastEthernet0/0

iproute192.168.112.0255.255.255.0FastEthernet0/0

iproute192.168.250.0255.255.255.0FastEthernet0/0

iproute192.168.15.0255.255.255.0FastEthernet0/0

iproute10.10.5.0255.255.255.010.10.10.1

iproute192.168.11.0255.255.255.0FastEthernet0/0

iproute192.168.12.0255.255.255.0FastEthernet0/0

iproute0.0.0.00.0.0.0125.220.160.254!

access-list1permit192.168.10.00.0.0.255#ACL列表

access-list1permit192.168.11.00.0.0.255

access-list1permit192.168.12.00.0.0.255

access-list1permit192.168.15.00.0.0.255

access-list1permit192.168.100.00.0.0.255

access-list1permit192.168.101.00.0.0.255

access-list1permit192.168.111.00.0.0.255

access-list1permit192.168.112.00.0.0.255

access-list1permit192.168.250.00.0.0.255

access-list1permit10.10.5.00.0.0.255

access-list1permit10.10.10.00.0.0.255

linecon0

linevty04

login

end

（二）核心交换机的配置文档

hexin#showrun

Buildingconfiguration...

Currentconfiguration:

3152bytes

!

version12.2

noservicetimestampslogdatetimemsec

noservicetimestampsdebugdatetimemsec

noservicepassword-encryption

hostnamehexin

iprouting

interfaceFastEthernet0/1

switchporttrunkencapsulationdot1q

switchportmodetrunk

interfaceFastEthernet0/2

switchporttrunkencapsulationdot1q

switchportmodetrunk

interfaceFastEthernet0/3

switchporttrunkencapsulationdot1q

switchportmodetrunk

interfaceFastEthernet0/4

noswitchport

noipaddress

duplexauto

speedauto

interfaceGigabitEthernet0/1#设置端口IP

noswitchport

ipaddress10.10.10.1255.255.255.0

duplexauto

speed100

interfaceGigabitEthernet0/2#设置端口IP

noswitchport

ipaddress10.10.5.254255.255.255.0

ipaccess-group101out

duplexauto

speed1000

interfaceVlan1

noipaddress

shutdown

interfaceVlan2#设置管理VLAN端口IP

ipaddress10.10.1.1255.255.255.0

interfaceVlan201#VLAN设置IP

ipaddress172.16.1.2255.255.255.252

interfaceVlan202

ipaddress172.16.2.2255.255.255.252

!

interfaceVlan203

ipaddress172.16.3.2255.255.255.252

ipclassless

iproute192.168.10.0255.255.255.0172.16.1.1#回指路由

iproute192.168.100.0255.255.255.0172.16.3.1

iproute192.168.101.0255.255.255.0172.16.3.1

iproute10.10.5.0255.255.255.0GigabitEthernet0/2

iproute192.168.111.0255.255.255.0172.16.2.1

iproute192.168.112.0255.255.255.0172.16.2.1

iproute192.168.15.0255.255.255.0172.16.3.1

iproute192.168.250.0255.255.255.0172.16.3.1

iproute192.168.11.0255.255.255.0172.16.1.1

iproute192.168.12.0255.255.255.0172.16.1.1

iproute0.0.0.00.0.0.0GigabitEthernet0/1#默认路由

access-list101permittcpanyhost10.10.5.5eqwww#ACL列表

access-list101permittcpanyhost10.10.5.3eqftp

access-list101permitipanyhost10.10.5.4

access-list101permitipanyhost10.10.5.2

access-list101permitipanyhost10.10.5.1

access-list101permittcpanyhost10.10.4.1eqwww

linecon0

linevty04#TELNET开启

passwordyuer

login

end

（三）汇聚－办公楼的配置文档

hj_bg#showrun

Buildingco