校园网课程设计报告

计算机网络课程设计

报告标题： 溧阳南渡中学设计方案 院 （部）： 计算机科学与工程学院 班 级： 11媒体Z 学生姓名： 颜金花 学 号： 11145102

完成日期： 2013.3.

2013 年 3 月

1

目录

第1章 绪论................................................................................................................... 3

第2章 南渡中学网络需求分析 ........................................................................................ 4

2.1 需求分析 ............................................................................................................ 4

2.2 功能分析 ............................................................................................................ 4

第3章 详细网络设计方案 ............................................................................................... 5

3.1建设原则 ............................................................................................................. 5

3.2 主干网络技术及设计 ........................................................................................... 5

3.3 网络拓扑结构及设计 ........................................................................................... 6

3.4 核心层网络建设及设备选择 ................................................................................ 7

3.5汇聚层网络建设及设备的选择 .............................................................................. 7

3.6接入层网络建设及设备选择 ................................................................................. 9

3.7设计思路 ............................................................................................................. 9

3.8传输介质选型 ...................................................................................................... 9

3.9网络拓扑结构 .................................................................................................... 10

第4章 出口配置 ............................................................................................................11

4.1静态NAT配置 ....................................................................................................11

4.2 动态NAT配置 .................................................................................................. 12

4.3策略路由 ........................................................................................................... 13

第5章 网络安全保障 .................................................................................................... 14

第6章 附录 .................................................................................................................. 15

6.1核心层交换机主要配置 ...................................................................................... 15

6.2汇聚层的主要配置 ............................................................................................. 15

2

第1章 绪论

当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。自从19xx年美国政府公布实施“信息高速公路计划”之后，在世界引起巨大反响，许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。

近年来国家加快改革教育体系，以教育为立国之本，建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系，提供更为先进的教育手段，学校很有必要建设一个校园网络管理应用系统，这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的。顺应无纸教学，无纸办公的发展趋势，充分利用现代化技术来进一步提高教学质量和办公效率。校园网已成为各学校必备的重要信息基础设施，其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。在某学院校园网目前的实际情况在充分调研的基础上，结合目前技术的发展方向和用户的实际需求，制订了学院校园校园网建设的整体设计方案。通过校园网的设计与建设，实现真正意义上的宽带多媒体网络，为师生提供教学、科研和综合信息服务。

针对本项目，本文做了以下工作：研究了数字化校园网的建设；调查比较了大型组网设备的性能的优缺点；分析了部分高校校园网组网技术方案；研究了基于校园网平台的信息安全问题；实现了拥有教学、科研、宽带多媒体网络和综合信息服务的校园网的规划设计。

3

第2章 南渡中学网络需求分析

2.1 需求分析

要求建立一个连接行政楼、图书馆，初中部和高中部各教学楼、办公楼，学生宿舍，网络中心等区域的校园网：

（1）实现各部门相连

（2）教学楼区域有无线网络信号覆盖。

（3）所有接入校园网的电脑都可以访问校园网。

（4）该网络具有先进的网络硬件设备（交换机、路由器），服务器具有先进性，网络操作系统、网络数据库系统具有先进性。

2.2 功能分析

（1）信息共享。有关学校的各种资料，各种信息，教学资料，一些最新的学校公告等可通过网络进行查询。

（2）信息交流。可通过连接Internet实现与外部资讯的交流和沟通，从而获取当今世界的最新信息。

（3）课件系统。如电子幻灯片、多媒体交互教学等。

（3）办公自动化。通过运用先进的计算机技术实现办公自动化，使学校的各种行政、财务、日常办公等计算机化，提高学校的办事效率。

（4）家庭办公学习。向全校师生提供学习资料，交流平台，提供在线答疑系统和留言答疑系统，方便师生之间的联系。

（5）教务管理。为学生提供成绩管理、学生信息管理、学校通知等服务。

同时，还应具备档案管理、学生管理、教学管理、财务管理、物资管理等网络必须具备较高的性能和高度的安全性、可靠性、容错性。而且网络系统能平滑地向未来新技术过渡，保护已有的资源。

4

第3章 详细网络设计方案

3.1建设原则

网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。应该采用一定的技术来控制网络的安全性，从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术有，用户身份验证，VLAN划分，防火墙等技术，网络系统还应具备高度的数据安全性和保密性。校园网的特点决定了网络系统必需要有实用性与经济性。应根据学校的实际情况，由于学校的建设资金有限，所以一般都要求网络具有较高的性价比，所以在建设校园网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。

3.2 主干网络技术及设计

（1）主干网络技术

主要选择千兆（适合于高校）或百兆以太网技术来构建校园网络，对两层结点和桌面微机的接入也采用快速以太网，建立一个基于多层、全交换的虚拟园区网。从校园的建筑结构来说，一般以楼宇为单位，每个楼由多个楼层组成，整个楼可以作为一个相对独立的网络应用单元考虑，多个功能相近的楼宇形成一个建筑群。

以太网采用分组交换方式，一个交换机就是一个交换中心，可以很容易地组成星型或者树型的网络结构。在楼宇内部，每层楼通过一台二层交换机来连接该层信息点，整个楼用一台二层/三层交换机作为楼宇汇聚，多个楼宇再汇聚到核心骨干交换机上。楼层、楼宇、楼群与以太网的接入、汇聚、核心的树型结构有着很好的对应关系，网络结构层次清晰。以太网建网能够提供性价比高的网络带宽。

路由协议工作在OSI参考模型的第3层。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本规划设计中，内 5

网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。

现代交换网络引入了虚拟局域网的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。为了简化交换网络设计、提高交换网络的可扩展性，在校园网内部数据交换的部署是分层进行的。校园网数据交换设备可以划分为三个层次：核心层、汇聚层、接入层。在本规划设计中，也将采用这三层进行分开设计、配置。

（2）主干网设计

1、校园主干采用具有第三层交换功能的千兆位以太网，以满足广大用户的各种要求。

2、主干建设应能保护校园网的已有投资，要求与原有校园网实施最佳连接，并提供新校园网的管理方案与管理策略。

3、新的主干设备应能满足10000用户接入访问的要求。

4、支持虚拟网络（VLAN）。

3.3 网络拓扑结构及设计

因校园网具有统一管理的要求，故局部拓扑结构为星状，整个网络成树状结构，网络中心是网络树的树干，网络出口相当于树根。教学区、宿舍区、网络中心的汇聚交换机为树干。整体设计遵照网络的三层结构：

6

1、 核心主干网：是网络的核心。对整个校园网进行控制管理，以及控制与外网

的连接。

2、 部门级网段：此网络方案中，包括教学区、宿舍区、网络中心、行政办公区。

受核心交换机的管理，同时此网段对自己的区域具有独自管理控制权。根据自己负责区域的需求，为基层网段提供相关服务和管理。

3、 基层网段：采用星型结构，以达到网络结构简单，建网容易，配置灵活，易

于扩展的要求。同时，各站点只和中央节点相连接，便于集中控制和管理，易于汇集各终端的信息和进行用户间的信息交换。

3.4 核心层网络建设及设备选择

（1）网络建设：将各分布层交换机互连起来进行穿越校园网骨干的高速数据交换。实现数据包高速交换。核心层双中心星形拓扑的优点是较为简单，实现设备，也可以很好的进行网络负载均衡。

（2）设备选择：核心层交换机是构成网络的重点，承担着数据快速率、大容量交换，大吞吐量等重任，以使整个网络高容量、无阻塞、高可靠的运行，所以选用Ciscoc atalyst6500，它与三层或二层交换机之间应采用新增型多模光纤连接。

外接Cisco 2821路由器与光纤Lan专线上联广域网，实现办公网到Internet的高速接入。 3.5汇聚层网络建设及设备的选择

（1）汇聚层网络设备的选择：汇聚层设备选用三台思科 WS-C3750-24TS-S 7

（15000），WS-C3750 系列智能以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列，可以提供高水平的可用性、可扩展性、服务质量、安全性和可改进网络运营的管理能力，从而提高网络的运行效率。Catalyst 3750 系列包括一系列快速以太网和千兆位以太网配置，可以用全套千兆位接口转换器设备提供强大的千兆以太网连接；拥护第一次可以在整个网络中部署智能化的服务，例如先进的服务质量、速度限制、CISCO安全访问控制列表、多播管理和高性能的IP路由，并于此同时保持了传统LAN交换的简便性。通过高性能的IP路由实现了网络的可扩展性，利用基于硬件的IP路由和增强型多层软件镜像，基于CISCO快速转发的路由架构有助于提高可扩展性和性能，该体系结构支持极高速的搜索功能，并可确保必要的稳定性和可扩展性，以满足未来的需求。

该设备通过1000Base-SX光纤上联核心交换机，形成网络的高速骨干。C3750以太网交换机是24+2规格结构，接口为10/100/1000Base-TX, 1000Base-FX/SX，具有很高的性能和堆叠能力。通过使用增强多层软件镜像（EMI），可以提供路由、多层交换等功能，满足三层交换的要求。可以满足服务器群的高密度、高速率的接入需要，也可以满足因特网接入的需求。

（2）VLAN及IP地址的划分

8

3.6接入层网络建设及设备选择

接入层利用VLAN划分等技术隔离网络广播风暴，提高网络效率，为所有的终端用户提供一个接入点。

接入层交换机放置于楼层的设备间，用于终端用户的接入。能够提供高密度的接入，对环境的适应力要强，运行稳定，采用10/100M自适应的普通交换机即可， S1026T交换机有24个10/100M自适应端口，2个1000M接口。

3.7设计思路

3.8传输介质选型

由于教学楼、办公楼、学生宿舍距离网络中心较远，使用光纤作为传输介质。多模光纤的传输距离（≤3Km），多模光纤（≤550）。根据距离差异，采用不同介质布线：

1）教学楼、办公楼与学生宿舍采用单模光纤传输。

2）单模比多模光纤昂贵，图书馆采用多模光纤传输。

3）为减轻以太网给5类电缆的负重，考虑到经费问题，在核心层交换机与防火墙的另一内网端口采用6类非屏蔽双绞线互连。

9

D、普通接入点依然采用5类双绞线连接。

3.9网络拓扑结构

10

第4章 出口配置

4.1静态NAT配置

（1）静态路由协议：

静态路由是指由用户或手工配置的路由信息。当网络的或链路的状态发生变化时，需要手工去修改中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的。当然，网管员也可以通过对进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。

在一个支持DDR（dial-on-demand routing）的网络中，拨号链路只在需要时才拨通，因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下，网络也适合使用静态路由。

（配置NAT、静态映射）：

教育网分配的IP地址：68.1.1.1

RH(config-if)#ip address 68.1.1.1 255.255.255.0

RH(config)#ip nat inside source static 192.168.23.2 68.1.1.2 #（配置WWW 服务器静态映射）

RH(config)#ip nat outside source static 192.168.33.2 68.1.1.3 #（配置FTP 服务器静态映射） RH(config)#ip nat outside source static 192.168.43.2 68.1.1.4 #（配置DNS 服务器静态映射） RH(config)#ip nat outside source static 192.168.53.3 68.1.1.5 #（配置邮件 服务器静态映射） RH(config)#interface fastEthernet 0/0

11

RH(config-if)#ip nat inside

RH(config-if)#exit

RH(config)#interface fastEthernet 0/1

RH(config-if)#ip nat outside

RH(config-if)#exit

RH(config-if)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0

4.2 动态NAT配置

动态路由器上的路由表项是通过相互连接的路由器之间交换彼此信息，然后按照一定的算法优化出来的，而这些路由信息是在一定时间间隙里不断更新，以适应不断变化的网络，以随时获得最优的寻路效果。为了实现IP分组的高效寻路，IETF制定了多种寻路协议。其中用于自治系统内部网关协议有开放式最短路径优先协议和寻路信息协议所谓自治系统是指在同一实体（如学校、企业或ISP）管理下的主机、路由器及其他网络设备的集合。还有用于自治域系统之间的外部网络路由协议BGP－4等。根据是否在一个自治域内部使用，动态路由协议分为内部网关协议（IGP）和外部网关协议（EGP）。这里的自治域指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由选择协议称为内部网关协议，常用的有RIP、OSPF；外部网关协议主要用于多个自治域之间的路由选择，常用的是BGP和BGP-4。下面分别进行简要介绍。

（配置NAPT、动态映射）：

教育网分配的IP地址：68.1.1.1

RH(config)#ip nat pool to-internet 68.1.1.1 68.1.1.1 netmask 255.255.255.0

RH(config)#access-list 1 permit 192.168.21.1 0.0.0.255

RH(config)#access-list 1 permit 192.168.31.1 0.0.0.255

RH(config)#access-list 1 permit 192.168.41.1 0.0.0.255

RH(config)#access-list 1 permit 192.168.22.1 0.0.0.255

12

RH(config)#access-list 1 permit 192.168.32.1 0.0.0.255

RH(config)#access-list 1 permit 192.168.42.1 0.0.0.255

RH(config)#access-list 1 permit 192.168.23.1 0.0.0.255

RH(config)#access-list 1 permit 192.168.33.1 0.0.0.255

RH(config)#access-list 1 permit 192.168.43.1 0.0.0.255

RH(config)#access-list 1 permit 192.168.14.1 0.0.0.255

RH(config)#access-list 1 permit 192.168.24.1 0.0.0.255

RH(config)#ip nat inside source list 1 pool to-internet overload

RH(config)#ip nat inside source list 1 pool to-cernetoverload

4.3策略路由 策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策

略路由，路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。

应用策略路由，必须要指定策略路由使用的路由图，并且要创建路由图。一个路由图由很多条策略组成，每个策略都定义了1 个或多个的匹配规则和对应操作。一个接口应用策略路由后，将对该接口接收到的所有包进行检查，不符合路由图任何策略的数据包将按照通常的路由转发进行处理，符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。

策略路由可以使数据包按照用户指定的策略进行转发。对于某些管理目的，如QoS需求或VPN拓扑结构，要求某些路由必须经过特定的路径，就可以使用策略路由。例如，一个策略可以指定从某个网络发出的数据包只能转发到某个特定的接口。

13

第5章 网络安全保障

网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。由于校园网与外部网进行互联特别是和Internet的互联，Internet是一个开放式网络系统，它的安全性是很差的。因此安全问题更加重要。应该采用一定的技术来控制网络的安全性，从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术有，用户身份验证，VLAN划分，防火墙等技术。

（1）内部网安全控制： 通过VLAN的划分，利用中心交换机上高性能路由模块的管理和控制，可以控制内部各VLAN间的访问。

（2）外联网的安全控制： 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网与外部网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

（3）拨号访问的安全设计： 对于从外部拨号访问中心内部局域网的用户，由于使用公用电话网进行数据传输所带来的风险，必须严格控制其安全性，主要措施如下： 1)通过在拨号访问服务器后设置防火墙来实现网络的安全性，以严格限制拨号上网用户所访问的系统信息和资源。2)使用专用身份验证服务器，以加强对拨号用户的身份认证。3)在数据传输过程中采用加密技术，防止数据被非法窃取。

（4）数据的安全： 网络系统应能通过身份验证实现信息的鉴别，通过存取控制达到对信息的控制，通过数字签名或数据压缩等算法保证数据在传送过程中保持完整、保证信息的机密。在实现时重点考虑信息系统整体的安全控制策略和重要设备的安全控制。

14

第6章 附录

6.1核心层交换机主要配置

switchA(config)#router rip

switchA(config-router)#version 2

switchA(config-router)#network 192.168.1.0

switchA(config-router)#network 192.168.2.0

switchA(config-router)#network 192.168.3.0

switchA(config-router)#network 192.168.4.0

switchA(config-router)#network 192.168.5.0

switchA(config-router)#end

6.2汇聚层的主要配置

switchA(config)#router rip

switchA(config-router)#version 2

switchA(config-router)#network 192.168.1.0

switchA(config-router)#network 192.168.21.0

switchA(config-router)#network 192.168.31.0

switchA(config-router)#network 192.168.41.0

switchA(config-router)#end

15