校園網專家公寓網絡設計與實現課程設計

1、<p><b>　　第1章 緒論</b></p><p>　　當今世界正從工業(yè)化社會向信息化社會轉變。一方面，社會經濟已由基于資源的經濟逐漸轉向基于知識的經濟，人們對信息的需求越來越迫切，信息在經濟的發(fā)展中起著越來越重要的作用，信息的交流成為發(fā)展經濟最重要的因素。另一方面，隨著計算機、網絡和多媒體等信息技術的飛速發(fā)展，信息的傳遞越來越快捷，信息的處理能力越來越強，信息的表現形式也越

2、來越豐富，對社會經濟和人們的生活產生了深刻的影響。這一切促使通信網絡由傳統(tǒng)的電話網絡向高速多媒體信息網發(fā)展。</p><p>　　快速、高效的傳播和利用信息資源是21世紀的基本特征。掌握豐富的計算機及網絡信息知識不僅僅是素質教育的要求而且也是學生掌握現代化學習與工作手段的要求。因此，學校專家公寓網絡的有無及水平的高低，也將成為評價學校及學生選擇學校的新的標準之一。</p><p>　　學校

3、目前正加緊對信息化教育的規(guī)劃和建設。開展的專家公寓網絡建設，旨在推動學校信息化建設，其最終建設目標是將建設成為一個借助信息化教育和管理手段的高水平的智能化、數字化的教學園區(qū)網絡，最終完成統(tǒng)一軟件資源平臺的構建，實現統(tǒng)一網絡管理、統(tǒng)一軟件資源系統(tǒng)，并保證將來可擴展骨干網絡節(jié)點互聯帶寬為10G，為用戶提供高速接入網絡；利用現代信息技術從事管理、教學和科學研究等工作。最終達到在網絡方面，更好的對眾多網絡使用及數據資源的安全控制，同時具有高性能

4、，高效率，不間斷的服務，方便的對網絡中所有設備和應用進行有效的時事控制和管理。</p><p>　　1.1 鄭州航院專家公寓現狀和現場勘察</p><p>　　經過我們小組人員幾天來的現場勘察，現對專家公寓的現場情況予以描述如下：</p><p>　　1. 校專家公寓目前一共有26座，每座有11層和1層地下室，每層居住4戶，每2戶共用1個配線間。</p>

5、<p>　　2. 樓與樓之間的距離大約50米，層與層之間大約有3米。</p><p>　　3. 每層的配線間設置在每2戶的中間，每座樓的配線間設置在5樓，每4座樓共用1個匯聚層交換機。</p><p>　　1.2 鄭州航院專家公寓網絡系統(tǒng)建設目標</p><p>　　鄭州航院專家公寓網絡系統(tǒng)主要建設一個專家信息系統(tǒng)，它以管理信息為主體，連接學校校園網系

6、統(tǒng)，是一個面向學校的日常學習、立足生產、面向社會，輔助教學的計算機信息網絡系統(tǒng)。</p><p>　　本期項目的目標是建立如下系統(tǒng)：</p><p>　　1．構造一個既連接本地校園網又能與外界進行網絡互通、共享信息的專家公寓網絡。</p><p>　　2．選用技術先進、具有容錯能力的網絡產品，在投資和條件允許的情況下也可采用結構容錯的方法。</p>&

7、lt;p>　　3．完全符合開放性規(guī)范，將業(yè)界優(yōu)秀的產品集成于該綜合網絡平臺之中。</p><p>　　4．具有較好的可擴展性，為今后的網絡擴容作好準備。</p><p>　　5．采用OA 辦公，做到集數據、圖像、聲音三位一體，提高專家教學管理效率、降低教學信息傳遞成本。</p><p>　　6．學校計劃采用1000M 光纖接入到校園網。專家公寓統(tǒng)一一個出口，為

8、以后實現遠程教學做鋪墊。</p><p>　　7．設備選型上必須在技術上具有先進性，通用性，且必須便于管理，維護。應具備未來良好的可擴展性，可升級性，保護公司的投資。設備要在滿足該項目的功能和性能上還具有良好的性價比。設備在選型上要是擁有足夠實力和市場份額的主流產品，同時也要有好的售后服務。</p><p><b>　　1.3 用戶需求</b></p>

9、<p><b>　　1.網絡設備配置</b></p><p>　　交換設備，實現樓宇間的千兆光纖連接，保證未來各應用系統(tǒng)的實施以及滿足專家公寓各種計算機應用系統(tǒng)的大信息量的傳輸。</p><p><b>　　2.網管系統(tǒng)設計</b></p><p>　　提供可以對整個網絡系統(tǒng)進行管理的中文圖形界面工具，使系統(tǒng)維護

10、人員可以集中控制網絡的所有設備。</p><p><b>　　3.內、外網隔離</b></p><p>　　過硬盤隔離卡及雙布線系統(tǒng)、雙網絡設備實現專家公寓內網與外網隔離。</p><p>　　1.4 專家公寓網絡信息系統(tǒng)建設原則</p><p>　　多業(yè)務網絡系統(tǒng)方案以實現以上功能為基本要求，在設計上力求做到既要采用國

11、際上先進的技術，又要保證系統(tǒng)的安全可靠性和實用性。具體來講，其設計遵循以下原則：</p><p><b>　　1.4.1 先進性</b></p><p>　　系統(tǒng)的主機系統(tǒng)、網絡平臺、數據庫系統(tǒng)、應用軟件均應使用目前國際上較先進、較成熟的技術，符合國際標準和規(guī)范；</p><p><b>　　1.4.2 標準性</b>&l

12、t;/p><p>　　所采用技術的標準化，可以保證網絡發(fā)展的一致性，增強網絡的兼容性，以達到網絡的互連與開放。為確保將來不同廠家設備、不同應用、不同協議連接，整個網絡從設計、技術和設備的選擇，必須支持國際標準的網絡接口和協議，以提供高度的開放性。</p><p>　　全面支持IEEE 工業(yè)標準：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；&l

13、t;/p><p>　　支持路由協議：IP 的RIP V1/2，OSPF，BGP-4；信令標準：H.323,RTP/CRTP.</p><p>　　支持：IPsec、L2TP、GRE、MPLS-VPN 規(guī)范。</p><p>　　支持多址廣播協議：IGMP，DVMRP，PIM-DM，PIM-SM；</p><p>　　網絡管理協議：SNMP，RMO

14、N，RMON2；</p><p><b>　　1.4.3 兼容性</b></p><p>　　跟蹤世界科技發(fā)展動態(tài)，網絡規(guī)劃與現有光纖傳輸網及將要改造的分配網有良好的兼容，在采用先進技術的前提下，最大可能地保護已有投資，并能在已有的網絡上擴展多種業(yè)務。</p><p>　　1.4.4 可升級和可擴展性</p><p>　

15、　隨著技術不斷發(fā)展，新的標準和功能不斷增加，網絡設備必須可以通過網絡進行升級，以提供更先進、更多的功能。在網絡建成后，隨著應用和用戶的增加，核心骨干網絡設備的交換能力和容量必須能作出線性的增長。設備應能提供高端口密度、模塊化的設計以及多種類接口、技術的選擇，以方便未來更靈活的擴展。</p><p><b>　　1.4.5 安全性</b></p><p>　　網絡的安全

16、性對網絡設計是非常重要的，合理的網絡安全控制，可以使應用環(huán)境中的信息資源得到有效的保護可以有效的控制網絡的訪問，靈活的實施網絡的安全控制策略。在校園區(qū)網絡中，關鍵應用服務器、核心網絡設備，只有系統(tǒng)管理人員才有操作、控制的權力。應用客戶端只有訪問共享資源的權限，網絡應該能夠阻止任何的非法操作。在園區(qū)網絡設備上應該可以進行基于協議、基于Mac 地址、基于IP 地址的包過濾控制功能。在大規(guī)模園區(qū)網絡的設計上，劃分虛擬子網，一方面可以有效的隔離

17、子網內的大量廣播，另一方面隔離網絡子網間的通訊，控制了資源的訪問權限，提高了網絡的安全性。在設計園區(qū)網的原則上必須強調網絡安全控制能力，使網絡可以任意連接，又可以從第二層、第三層控制網絡的訪問。</p><p><b>　　1.4.6 可靠性</b></p><p>　　本系統(tǒng)是 7x24 小時連續(xù)運行系統(tǒng)，從硬件和軟件兩方面來保證系統(tǒng)的高可靠性。</p>

18、<p><b>　　硬件可靠性</b></p><p>　　系統(tǒng)的主要部件采用冗余結構，如：傳輸方式的備份，提供備份組網結構；主要的計算機設備（如數據庫服務器），采用CLUSTER 技術,支持雙機或多機高可用結構；配備不間斷電源等。</p><p><b>　　軟件可靠性</b></p><p>　　充分考慮

19、異常情況的處理，具有強的容錯能力、錯誤恢復能力、錯誤記錄及預警能力并給用戶以提示；并具有進程監(jiān)控管理功能，保證各進程的可靠運行數據庫系統(tǒng)應。</p><p><b>　　網絡結構穩(wěn)定性</b></p><p>　　當增加/擴充應用子系統(tǒng)時，不影響網絡的整體結構以及整體性能，對關鍵的網絡連接采用主備方式，已保證數據的傳輸的可靠性。</p><p>

20、;　　本系統(tǒng)應具有較強的容災容錯能力，具有完善的系統(tǒng)恢復和安全機制；</p><p>　　1.4.7 易操作性</p><p>　　提供中文方式的圖形用戶界面，簡單易學，方便實用。</p><p><b>　　優(yōu)良的性能價格比。</b></p><p>　　系統(tǒng)應著重考慮和滿足以上的設計要求。</p>&l

21、t;p>　　1.4.8 可管理性</p><p>　　網絡的可管理性要求：網絡中的任何設備均可以通過網絡管理平臺進行控制，網絡的設備狀態(tài)，故障報警等都可以通過網管平臺進行監(jiān)控，通過網絡管理平臺簡化管理工作，提高網絡管理的效率。</p><p>　　在進行網絡設計時，選擇先進的網絡管理軟件是必不可少的。網絡管理軟件應用于網絡的設備配置，網絡拓撲結構表示，網絡設備的狀態(tài)顯示，網絡設備的故

22、障事件報警，網絡流量統(tǒng)計分析以及計費等。網管軟件的應用可以提高網絡管理的效率，減輕網絡管理人員的負擔。網絡管理的目標是實現零管理，基于策略的管理方式，網絡管理是通過制定統(tǒng)一的策略，由管理策略服務器進行全局控制的。基于Web 的網管界面，是網管軟件的發(fā)展趨勢，靈活的操作方式簡化了管理人員的工作。在設計園區(qū)網的設備選擇上，要求網絡設備支持標準的網絡管理協議SNMP，同時支持RMON/RMONII 協議，核心設備要求支持 RAP (遠程分析端

23、口) 協議，實施充分的網絡管理功能。在設計園區(qū)網的原則上應該要求設備的可管理性，同時先進的網管軟件可以支持網絡維護、監(jiān)控、配置等功能。</p><p>　　第2章 網絡設計方案</p><p><b>　　網絡結構圖：</b></p><p>　　2.1 vlan子網邏輯設計</p><p>　　vlan 劃分及ip地址

24、規(guī)劃</p><p>　　vlan2:192.168.2.0/24 gw:192.168.2.254</p><p>　　vlan3:192.168.3.0/24 gw:192.168.3.254</p><p>　　vlan4:192.168.4.0/24 gw:192.168.4.254</p><p>　　vlan5:192.168.5

25、.0/24 gw:192.168.5.254</p><p>　　vlan6:192.168.6.0/24 gw:192.168.6.254</p><p>　　vlan7:192.168.7.0/24 gw:192.168.7.254</p><p>　　vlan8:192.168.8.0/24 gw:192.168.8.254</p><p&

26、gt;　　vlan9:192.168.9.0/24 gw:192.168.9.254</p><p>　　vlan10:192.168.10.0/24 gw:192.168.10.254</p><p>　　vlan11:192.168.11.0/24 gw:192.168.11.254</p><p>　　vlan12:192.168.12.0/24 gw:192

27、.168.12.254</p><p>　　vlan13:192.168.13.0/24 gw:192.168.13.254</p><p>　　vlan14:192.168.14.0/24 gw:192.168.14.254</p><p>　　vlan15:192.168.15.0/24 gw:192.168.15.254</p><p>

28、;　　每兩棟樓劃分入一個vlan里面，可以有效做到隔絕網絡風暴的產生，同時增強網絡安全性。</p><p>　　路由器與兩個三層交換連接的網段IP地址規(guī)劃如下：</p><p>　　R---msw_1:192.168.16.0/24</p><p>　　R---msw_2:192.168.17.0/24</p><p><b>　　

29、2.2 冗余設計</b></p><p>　　1. 二層冗余技術:MSTP</p><p>　　優(yōu)點：MSTP 兼容STP 和RSTP，并且可以彌補STP 和RSTP 的缺陷。它既可以快速收斂，也能使不同VLAN 的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負載分擔機制。 </p><p>　　MSTP 方案設計：MSTP instance 1 映

30、射 vlan 2--8 MSTP instance 2 映射 vlan 9--15，通過調整priority 使msw_1作為instance 1 的根橋，msw_2作為 instance 2的根橋</p><p>　　2. 三層冗余技術:VRRP</p><p>　　優(yōu)點：提供動態(tài)的故障轉移機制 ，保持網絡通信的連續(xù)性和可靠性</p><p>　　VRRP方案設計

31、：通過調整pritorty ，使msw_1作為vlan 2--8的master ，msw_2作為 vlan 9-15的master </p><p>　　2.3 路由協議設計</p><p>　　1. 路由協議：OSPF</p><p>　　優(yōu)點：算法優(yōu)越，天生無環(huán)，收斂速度快，路由自身的開銷比較小。</p><p><b>　　路

32、由協議設計：</b></p><p>　　路由器和三層交換在一個ospf area 0 里面，同時路由器將自己到外網的兩條默認路由重分布進ospf路由協議里。</p><p>　　3. NAT 特性：</p><p>　　在路由器上進行NAT轉換，一方面隱藏子網，保障內網安全，一方面，使內網用戶能夠進行對外網的訪問。</p><p&g

33、t;　　2.4 網絡安全設計</p><p>　　一個建全的網絡訪問控制體系是網絡安全防范和保護的主要策略，主要任務是保證網絡資源不被非法使用和訪問。是保證網絡安全最重要的核心策略之一。</p><p>　　2.4.1 接入安全</p><p>　　CISCO WS-C3750-24TS-S是思科網絡推出的全千兆安全智能接入交換機，在提供高性能、高帶寬的同時，提供

34、智能的流分類、完善的服務質量（QoS）和組播應用管理特性，并可以根據網絡的實際使用環(huán)境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網絡攻擊，控制非法用戶接入和使用網絡，保證合法用戶合理化使用網絡資源，充分保障了網絡高效安全、網絡合理化使用和運營。</p><p>　　2.4.2 訪問安全</p><p>　　多業(yè)務萬兆核心路由交換機支持802.1Q VLAN，可使用VLAN劃分隔

35、離用戶訪問。同時還支持VLAN 隧道技術，可實現跨校區(qū)的VLAN功能。并且銳捷RG-S6800E多業(yè)務萬兆核心路由交換機支持完善的ACL，可以基于MAC、IP、TCP/UDP端口號進行流量控制，以有效的防范和控制網絡蠕蟲病毒（如沖擊波）的傳播和危害。</p><p>　　ACLS的全稱為接入控制列表(Access Control Lists)，可以對數據流進行過濾可以限制網絡中的通訊數據類型及限制網絡的使用者或使

36、用設備。在數據流通過交換機時對其進行分類過濾，并對從指定接口輸入的數據流進行檢查，根據匹配條件(conditions)決定是允許其通過(permit)還是丟棄(deny)。</p><p>　　思科Cisco6509多業(yè)務千兆核心路由交換機支持以下幾種類型的ACLs：</p><p>　　IP ACLs用于過濾IP報文，包括TCP和UDP。</p><p>　　St

37、andard IP access lists (標準IP接入控制列表)使用源IP地址作為匹配的條件</p><p>　　Extended IP access lists(擴展IP接入控制列表)使用源IP地址、目的IP地址及可選的協議類型信息作為匹配的條件</p><p>　　Ethernet ACLs用于過濾二層數據流：</p><p>　　MAC　 Extende

38、d　 access lists(MAC擴展控制列表)使用源MAC地址、目的MAC地址及可選的以太網類型作為匹配的條件</p><p>　　Expert ACLS用于過濾二層和三層、二層和四層、二層和三層、四層數據流：</p><p>　　Expert Extended　 access lists(專家擴展控制列表)使用源MAC地址、目的MAC地址、以太網類型、源IP、目的IP、及可選的協

39、議類型信息作為匹配的條件。</p><p>　　對于不同訪問權限的區(qū)域采用ACL訪問控制來對不同訪問資源進行權限控制。</p><p>　　應用ACL可以有效的防范“沖擊波”等蠕蟲病毒；支持802.1X技術，滿足6元素綁定接入限制；支持IGMP源端口檢查及源IP檢查，可有效控制非法組播源，提高網絡安全；IGMP V3支持通告主機希望接收的多播源的地址，避免非法的組播數據流占用網絡帶寬； &

40、lt;/p><p>　　通過PVLAN（保護端口）隔離用戶之間信息互通，不必占用VLAN資源；提供SSH的加密登陸和管理功能，避免管理信息明文傳輸引發(fā)的潛在威脅；</p><p>　　Telnet/Web登錄的源IP限制功能，避免非法人員對網絡設備的管理；</p><p>　　SNMPV3提供加密和鑒別功能：確保數據從合法的數據源發(fā)出（引擎ID）；確保數據在傳輸過程中不

41、被篡改（采用MD5和SHA認證協議）；加密報文，確保數據的機密性（采用DES56加密協議）。</p><p>　　2.4.3 病毒防御</p><p>　　cisco網絡設備，能夠提供病毒防御功能，使得某些特定病毒不能任意傳播。主要提供以下幾個功能：</p><p>　　1）預防PC感染類似“沖擊波、震蕩波”的病毒；</p><p>　　2）

42、如果某臺機器感染病毒，能夠實現中毒機器隔離，限制同一網段中病毒的傳播。</p><p>　　3）支持防止DDoS攻擊，防止IP段惡意掃描等抗攻擊特性。</p><p><b>　　第3章 配置過程</b></p><p>　　msw_1 及msw_2 配置了vrrp+mstp+ospf，由于packet 不支持MSTP、VRRP，故MSTP、

43、VRRP用實驗室銳捷3550模擬</p><p>　　3.1 vlan 及VRRP配置：</p><p><b>　　msw_1</b></p><p>　　interface Vlan2</p><p>　　ip address 192.168.2.1 255.255.255.0</p><p&g

44、t;　　standby 2 ip 192.168.2.254</p><p>　　standby 2 priority 105</p><p><b>　　!</b></p><p>　　interface Vlan3</p><p>　　ip address 192.168.3.1 255.255.255.0</

45、p><p>　　standby 3 ip 192.168.3.254</p><p>　　standby 3 priority 105</p><p><b>　　!</b></p><p>　　interface Vlan4</p><p>　　ip address 192.168.4.1 255.

46、255.255.0</p><p>　　standby 4 ip 192.168.4.254</p><p>　　standby 4 priority 105</p><p><b>　　!</b></p><p>　　interface Vlan5</p><p>　　ip address 19

47、2.168.5.1 255.255.255.0</p><p>　　standby 5 ip 192.168.5.254</p><p>　　standby 5 priority 105</p><p><b>　　!</b></p><p>　　interface Vlan6</p><p>　

48、　ip address 192.168.6.1 255.255.255.0</p><p>　　standby 6 ip 192.168.6.254</p><p>　　standby 6 priority 105</p><p><b>　　!</b></p><p>　　interface Vlan7</p&g

49、t;<p>　　ip address 192.168.7.1 255.255.255.0</p><p>　　standby 7 ip 192.168.7.254</p><p>　　standby 7 priority 105</p><p><b>　　!</b></p><p>　　interface

50、 Vlan8</p><p>　　ip address 192.168.8.1 255.255.255.0</p><p>　　standby 8 ip 192.168.8.254</p><p>　　standby 8 priority 105</p><p><b>　　!</b></p><p&

51、gt;　　interface Vlan9</p><p>　　ip address 192.168.9.1 255.255.255.0</p><p>　　standby 9 ip 192.168.9.254</p><p><b>　　!</b></p><p>　　interface Vlan10</p>

52、<p>　　ip address 192.168.10.1 255.255.255.0</p><p>　　standby 10 ip 192.168.10.254</p><p><b>　　!</b></p><p>　　interface Vlan11</p><p>　　ip address 192

53、.168.11.1 255.255.255.0</p><p>　　standby 11 ip 192.168.11.254</p><p><b>　　!</b></p><p>　　interface Vlan12</p><p>　　ip address 192.168.12.1 255.255.255.0<

54、/p><p>　　standby 12 ip 192.168.12.254</p><p><b>　　!</b></p><p>　　interface Vlan13</p><p>　　ip address 192.168.13.1 255.255.255.0</p><p>　　standby

55、13 ip 192.168.13.254</p><p><b>　　!</b></p><p>　　interface Vlan14</p><p>　　ip address 192.168.14.1 255.255.255.0</p><p>　　standby 14 ip 192.168.14.254</p&

56、gt;<p><b>　　!</b></p><p>　　interface Vlan15</p><p>　　ip address 192.168.15.1 255.255.255.0</p><p>　　standby 15 ip 192.168.15.254</p><p><b>　　!&

57、lt;/b></p><p><b>　　msw_2:</b></p><p>　　nterface Vlan1</p><p>　　no ip address</p><p><b>　　!</b></p><p>　　interface Vlan2</p>

58、;<p>　　ip address 192.168.2.2 255.255.255.0</p><p>　　standby 2 ip 192.168.2.254</p><p><b>　　!</b></p><p>　　interface Vlan3</p><p>　　ip address 192.16

59、8.3.2 255.255.255.0</p><p>　　standby 3 ip 192.168.3.254</p><p><b>　　!</b></p><p>　　interface Vlan4</p><p>　　ip address 192.168.4.2 255.255.255.0</p>

60、<p>　　standby 4 ip 192.168.4.254</p><p><b>　　!</b></p><p>　　interface Vlan5</p><p>　　ip address 192.168.5.2 255.255.255.0</p><p>　　standby 5 ip 192.168

61、.5.254</p><p><b>　　!</b></p><p>　　interface Vlan6</p><p>　　ip address 192.168.6.2 255.255.255.0</p><p>　　standby 6 ip 192.168.6.254</p><p><

62、b>　　!</b></p><p>　　interface Vlan7</p><p>　　ip address 192.168.7.2 255.255.255.0</p><p>　　standby 7 ip 192.168.7.254</p><p><b>　　!</b></p>&

63、lt;p>　　interface Vlan8</p><p>　　ip address 192.168.8.2 255.255.255.0</p><p>　　standby 8 ip 192.168.8.254</p><p><b>　　!</b></p><p>　　interface Vlan9</p

64、><p>　　ip address 192.168.9.2 255.255.255.0</p><p>　　standby 9 ip 192.168.9.254</p><p>　　standby 9 priority 105</p><p><b>　　!</b></p><p>　　interfa

65、ce Vlan10</p><p>　　ip address 192.168.10.2 255.255.255.0</p><p>　　standby 10 ip 192.168.10.254</p><p>　　standby 10 priority 105</p><p><b>　　!</b></p>

66、<p>　　interface Vlan11</p><p>　　ip address 192.168.11.2 255.255.255.0</p><p>　　standby 11 ip 192.168.11.254</p><p>　　standby 11 priority 105</p><p><b>　　!&l

67、t;/b></p><p>　　interface Vlan12</p><p>　　ip address 192.168.12.2 255.255.255.0</p><p>　　standby 12 ip 192.168.12.254</p><p>　　standby 12 priority 105</p><

68、p><b>　　!</b></p><p>　　interface Vlan13</p><p>　　ip address 192.168.13.2 255.255.255.0</p><p>　　standby 13 ip 192.168.13.254</p><p>　　standby 13 priority

69、105</p><p><b>　　!</b></p><p>　　interface Vlan14</p><p>　　ip address 192.168.14.2 255.255.255.0</p><p>　　standby 14 ip 192.168.14.254</p><p>　　s

70、tandby 14 priority 105</p><p><b>　　!</b></p><p>　　interface Vlan15</p><p>　　ip address 192.168.15.2 255.255.255.0</p><p>　　standby 15 ip 192.168.15.254</

71、p><p>　　standby 15 priority 105</p><p><b>　　!</b></p><p>　　3.2 ospf 配置：</p><p><b>　　R：</b></p><p>　　router ospf 100</p><p&

72、gt;　　router-id 3.3.3.3</p><p>　　log-adjacency-changes</p><p>　　network 192.168.0.0 0.0.31.255 area 0</p><p>　　default-information originate always</p><p><b>　　!&l

73、t;/b></p><p>　　ip route 0.0.0.0 0.0.0.0 serial1/0</p><p>　　ip route 0.0.0.0 0.0.0.0 serial1/1</p><p><b>　　msw_1:</b></p><p><b>　　!</b></p&

74、gt;<p>　　router ospf 100</p><p>　　router-id 1.1.1.1</p><p>　　log-adjacency-changes</p><p>　　network 192.168.0.0 0.0.31.255 area 0</p><p><b>　　!</b>&l

75、t;/p><p><b>　　msw_2:</b></p><p>　　router ospf 100</p><p>　　router-id 2.2.2.2</p><p>　　log-adjacency-changes</p><p>　　network 192.168.0.0 0.0.31.25

76、5 area 0</p><p><b>　　!</b></p><p>　　3.3 MSTP配置：</p><p><b>　　msw_1:</b></p><p><b>　　!</b></p><p>　　spanning-tree mst co

77、nfiguration </p><p>　　instance 1 vlan 2,3,4,5,6,7,8</p><p>　　instance 2 vlan 9,10,11,12,13,15</p><p>　　name zzia </p><p>　　revision 2 </p><p><b>　　

78、!</b></p><p>　　spanning-tree mst 1 priority 4096 </p><p>　　spanning-tree mst 2 priority 8192 </p><p><b>　　msw_2:</b></p><p><b>　　!</b>&l

79、t;/p><p>　　spanning-tree mst configuration </p><p>　　instance 1 vlan 2,3,4,5,6,7,8</p><p>　　instance 2 vlan 9,10,11,12,13,15</p><p>　　name zzia </p><p>　　rev

80、ision 2 </p><p><b>　　!</b></p><p>　　spanning-tree mst 1 priority 8192 </p><p>　　spanning-tree mst 2 priority 4096</p><p>　　3.4 NAT配置</p><p>

81、<b>　　!</b></p><p>　　ip nat inside source list 10 interface serial1/0 overload</p><p>　　ip nat inside source list 10 interface serial1/1 overload</p><p><b>　　!</

82、b></p><p>　　ip classless</p><p><b>　　!</b></p><p><b>　　!</b></p><p>　　access-list 10 permit 0.0.0.0 255.255.240.</p><p>　　網絡連通性測

83、試（用ip為202.196.63.50 模擬公網上的一臺主機）：</p><p>　　第4章 綜合布線方案</p><p>　　根據綜合布線國際標準 ISO 11801 的定義，綜合布線系統(tǒng)可由以下子系統(tǒng)組成：</p><p>　　工作區(qū)子系統(tǒng)(Work Area Subsystem) </p><p>　　工作區(qū)子系統(tǒng)由信息插座延伸至用戶終

84、端設備的布線組成，包括信息插座和相應的連接</p><p>　　軟線。用戶能方便地把計算機、電話、傳真等不同的終端設備接入大樓的通信網絡系統(tǒng)。 </p><p>　　水平布線子系統(tǒng)(Horizontal Subsystem) </p><p>　　水平布線子系統(tǒng)由樓層配線間延伸至信息插座的布線組成，通常可采用超五類雙絞線，</p><p>　

85、　我們這里采用的是超五類雙絞線，也可采用光纜以滿足高傳輸帶寬應用或長傳輸距離的要</p><p>　　求。水平布線提供大樓網絡通信系統(tǒng)到用戶終端設備的信息傳輸。 </p><p>　　建筑物主干子系統(tǒng)(Building Backbone Subsystem) </p><p>　　建筑物主干子系統(tǒng)由大樓配線間延伸至各樓層配線間的布線組成。該子系統(tǒng)亦包括各配線間的配線

86、架，跳接線等。采用的線纜是超五類雙絞線。大樓配線間和樓層配線間通常也用于放置網絡設備和其他有源設備。建筑物主干子系統(tǒng)提供大樓內通信網絡信息交換的主干通道。 </p><p>　　建筑群布線子系統(tǒng)(Campus Cabling Subsystem) </p><p>　　建筑群布線子系統(tǒng)由建筑群配線間延伸至各大樓配線間的布線組成。采用的線纜為光纖，建筑群配線間通常也用于放置電信接入設備和廣域

87、網連接設備。建筑群布線子系統(tǒng)提供了各建筑物間通信網絡連接和信息交換的通道。 </p><p>　　4.1 系統(tǒng)總體設計</p><p>　　以上就是布線的國際標準，因此采用高速大容量光纖主干建設專家公寓網絡的主干</p><p>　　為了滿足專家公寓將來靈活組網的需要，在專家公寓等建筑物內各設有配線間。整個公寓樓配線間安置在大樓的5 樓，各層的配線間安置在用戶的中間

88、，每2戶放置一個配線間。</p><p>　　為充分滿足專家公寓對校園網高速高容量信息通信的需要，系統(tǒng)采用高速高容量的多</p><p>　　模光纖作為園區(qū)的網絡主干。</p><p>　　建筑物內采用先進的超五類非屏蔽布線系統(tǒng)：</p><p>　　根據技術規(guī)范，選用高性能UTP 非屏蔽系統(tǒng)，傳輸參數可達到200MHz，通道傳輸性</

89、p><p>　　能在200 MHz 時ACR>3dB, 250MHz 時ACR> 0 dB，通道傳輸性能不低于招標技術要求所附性能參數表的要求。因此，本方案建議采用AVAYA 超五類UTP 產品，其傳輸帶寬可達200MHZ 以上，可靠支持新的千兆以太網、2.4Gbps ATM 及高達550MHZ 的寬帶語音應用，為今后新的高速網絡應用留有充足的性能余量。</p><p>　　4.2

90、 系統(tǒng)結構設計描述</p><p>　　整個結構化布線系統(tǒng)由工作區(qū)子系統(tǒng)、水平干線子系統(tǒng)、管理子系統(tǒng)、主干子系統(tǒng)、設備間子系統(tǒng)及建筑群子系統(tǒng)等六個子系統(tǒng)構成，方案設計時充分考慮了高度的可靠性、先進性、靈活性、可擴充性、易管理性及性能價格比高等優(yōu)點。 </p><p>　　布線系統(tǒng)結構如下： </p><p>　　4.3 在施工中注意事項</p><

91、;p>　　1. 仔細查閱其它專業(yè)的施工圖紙 </p><p>　　在施工前，必須仔細查閱其他專業(yè)的施工圖紙，尤其是土建結構施工圖、水、電、通風施工圖。因為水平路由的長短將會對設計的等級有一定的影響，而土建結構施工圖、水、電、通風施工圖對水平布線子系統(tǒng)管線路由的走向影響最大。在審圖時，建議用比例尺在圖紙上認真測量，為水平布線子系統(tǒng)找出最合理的路由走向，這樣既節(jié)省水平線纜的長度，又避免與其他專業(yè)管路發(fā)生沖突，由

92、于電氣專業(yè)管線不可避免的要與其他各專業(yè)管路交叉重疊，發(fā)生矛盾的現象，給土建專業(yè)帶來地面超高等問題。綜合布線一般由專業(yè)公司負責安裝調試，施工方僅做管路預埋、線纜敷設，如果在施工中敷衍了事，不遵循“管線路由最短”的原則，就會增加水平布線子系統(tǒng)管線的長度，不利于提高綜合布線系統(tǒng)的通信能力、不利于通信系統(tǒng)的穩(wěn)定性、不利于通信傳輸速率的提高。 </p><p>　　2. 建議在施工中應滿足設計裕量。 </p>

93、<p>　　因為在實際施工中，不可能使水平線纜一直保持直線路由，所以實際安裝中，需要的線纜總會比圖紙上統(tǒng)計的量大的多，這就需要電氣工程師考慮一定的裕量。裕量的計算方法是將一張平面圖紙上離配線架最遠的信息點的線纜圖紙長度（圖紙上用比例尺量出的長度），和最近的信息點的線纜圖紙長度相加，除以 2，得出得數值為信息點的平均圖紙長度，取平均長度的 30%作為裕量。否則就會造成不必要的材料浪費或不足。 </p><p

94、>　　3. 采用質量可靠的管路和線纜，以避免日后的麻煩 </p><p>　　在大多數設計中，水平布線子系統(tǒng)是被設計在吊頂、墻體或底板內的，所以可以認為水平子系統(tǒng)是不可更改、永久的系統(tǒng)。在安裝中，應盡量使用性能優(yōu)良、質量可靠的管路和線纜，保證用戶日后不破壞建筑結構。 </p><p>　　4. 嚴格遵守綜合布線系統(tǒng)規(guī)范 </p><p>　　良好的安裝質量，可

95、以使水平布線子系統(tǒng)在其工作周期內，始終保證良好工作狀態(tài)和穩(wěn)定的工作性能，尤其對于高性能的通信線纜和光纖，安裝質量的好壞對系統(tǒng)的開通影響尤其顯著，因此在安裝線纜中，要嚴格遵守 EIA/TIA569 規(guī)范標準。 </p><p>　　5. 選材標準必須一致 </p><p>　　綜合布線系統(tǒng)所選用的線纜、信息插座、跳線、連接線等部件，必須與選擇的類型一致，如選用超 5 類標準，則線纜、信息插座

96、、跳線、連接線等部件必須為超 5類；如系統(tǒng)采用屏蔽措施，則系統(tǒng)選用的所有部件均為屏蔽部件，只有這樣才能保證系統(tǒng)屏蔽效果，達到整個系統(tǒng)的設計性能指標。 </p><p>　　第5章 網絡設備選型</p><p><b>　　5.1 選型原則</b></p><p>　　我們在網絡系統(tǒng)設計時考慮如下特點： </p><p>

97、　　穩(wěn)定可靠的網絡 只有運行穩(wěn)定的網絡才是可靠的網絡，而網絡的可靠運行取決于諸多因素，如網絡的設計，產品的可靠，而選擇一個具有運營此類網絡規(guī)模經驗的網絡合作廠商則更為重要。要求有物理層、數據鏈路層和網絡層的備份技術。</p><p>　　高帶寬 為了支持數據、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用最先進的網絡技術，以適應大量數據和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮

98、未來的發(fā)展。為此應選用高帶寬的先進技術。</p><p>　　易擴展的網絡 系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網絡中的數據和信息流將按指數增長，需要網絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。易擴展不僅僅指設備端口的擴展，還指網絡結構的易擴展性：即只有在網絡結構設計合理的情況下，新的網絡節(jié)點才能方便地加入已有網絡；網絡協議的易擴展：無論是選擇第三層網絡路由協議，還是規(guī)劃第二層虛擬網

99、的劃分，都應注意其擴展能力。 QoS(英文全稱為"Quality of Service"，中文名為"服務質量"。)QoS是網絡的一種安全機制, 是用來解決網絡延遲和阻塞等問題的一種技術。保證 隨著網 絡中多媒體的應用越來越多，這類應用對服務質量的要求較高，本網絡系統(tǒng)應能保證QoS，以支持這類應用。 </p><p>　　安全性 網絡系統(tǒng)應具有良好的安全性，由于網絡連接園區(qū)內

100、部所有用戶，安全管理十分重要。應支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的安全控制，以保證系統(tǒng)的安全性。 </p><p>　　符合IP發(fā)展趨勢的網絡 在當前任何一個提供服務的網絡中，對IP的支持服務是最普遍的，而IP技術本身又處在發(fā)展變化中，如IpV6，IP QoS，IP Over SONET等等新興的技術不斷出現，旭日集團園區(qū)網網絡絡必須跟緊IP發(fā)展的步伐，也就是必須選擇處于IP發(fā)展領導

101、地位的網絡廠商。</p><p>　　5.2 核心層交換機</p><p>　　由于專家公寓網絡發(fā)展規(guī)模較大，未來需提供多媒體辦公、辦公自動化、圖書資料檢索、遠程互聯、視頻會議等復雜的網絡應用，為便于管理，我們建議選用的交換機作為網絡組建交換設備。選用1臺Cisco6509交換機作為主干交換機實現1000M做主干100M到桌面的需求。</p><p>　　Cisco

102、6509系列交換機支持堆疊技術，將來擴充端口極為靈活方便，不必改變原有網絡的任何配置。通過增加堆疊交換機數量或做Port Trunking(端口干路)兩種辦法均可擴充網絡規(guī)模；并且實現了本地化交換，改善了整個網絡，使整個網絡的性能發(fā)生了質的變化。選用千兆光纖模塊，與主干上聯，實現主干的千兆傳輸。Cisco6509系列交換機支持網管和堆疊，可以很容易地根據需要，通過堆疊擴充端口數量。另外，Cisco6509系列交換機建立在一個功能強大且絕

103、對無阻塞的32G交換背板上，可以保證堆疊中的所有端口間實現無阻塞的線速交換。 </p><p>　　此外，Cisco6509交換機，在安裝千兆光纖模塊的同時，還可以安裝百兆光纖模塊，完全可以適應現在或將來的樓內光纖布線，靈活性很強。 </p><p>　　5.3 匯聚層交換機</p><p>　　匯聚層設備選擇CISCO公司的CISCO WS-C3750-24TS-

104、S系列的交換機，每個子公司的主交換機選擇WS-C3550-48-EMI交換機。CISCO WS-C3750-24TS-S交換機智能以太網交換機是一個新型的可堆疊的，多層次級交換機系列，可以提高水平的可用性，可擴展性，服務質量（QoS）,安全性和可改進網絡運營的管理能力，從而提高網絡的運行效率。</p><p>　　CISCO WS-C3750-24TS-S系列包括一系列快速以太網和千兆位以太網配置，可以用全套千兆

105、位接口轉換器（GBIC）設備提供強大的千兆位以太網連接；并將CISCO IOS軟件中的一套第2-4層功能——IP路由、QoS、限速、訪問控制列表（ACL）和多播服務擴展到邊緣，堪稱一款適用于企業(yè)和城域應用的強大選擇。用戶第一次可以在整個網絡中部署智能化的服務，例如先進的服務質量、速度限制、CISCO安全訪問控制列表、多播管理和高性能的IP路由，并與引同時保持了傳統(tǒng)LAN交換的簡便性。通過高性能的IP路由實現了網絡的可擴展性，利用基于硬件

106、的IP路由和增強型 多層軟件鏡像，CISCO WS-C3750-24TS-S系列交換機可以在所有端口上提供高達17Mpps的線速路由；基于CISCO快速轉發(fā)（CEF）的路由架構有助于提高可擴展性和性能，該體系結構扶持極高速的搜索功能，并可確保必要的穩(wěn)定性和可擴展性，以滿足未來的需求。憑借內置CISCO集群管理套件，CISCO WS-C3750-24TS-S 系列交換機可簡化網絡的部署。</p><p>　　5.4

107、 接入層交換機</p><p>　　接入層交換機放置于樓層的設備間，用于終端用戶的接入。應該能夠提供高密度的接入，對環(huán)境的適應能力強，運行穩(wěn)定。</p><p>　　樓層接入設備選擇CISCO公司的CISCO思科WS-C2960-24TT-LI智能以太網交換機。</p><p>　　CISCO思科WS-C2960-24TT-LI交換機屬于Catalyst2960系列

108、智能交換機。Catalyst2950系列是固定的配置，可堆疊的獨立設備系列，提供了線速快速以太網和千兆位以太網連接。 </p><p>　　CISCO思科WS-C2960-24TT-LI交換機，有26個10/100端口，2個基于千兆接口轉換器（GBIC）的1000BaseX端口，能夠為用戶提供千兆的光纖骨干和高密度度的接入端口；具有高達13.6Gbps的背板帶寬，能夠提供10.1Mpps的轉

109、發(fā)速率；增強型的IOS，能夠支持250個VLAN，提供安全，QoS，管理等各方面的智能交換服務。</p><p><b>　　5.5 路由器</b></p><p>　　CISCO 7304路由器是高性能、通用的骨干匯聚路由器，具有高背板帶寬、高包轉發(fā)率、結構緊湊、端口密度高等特點，并能提供全范圍的光纖和銅纜接口。CISCO 7304路由器具有強大的業(yè)務能力，可以滿足

110、目前所有的城域匯聚和接入需求，提供多協議標準交換 (MPLS)第2或3層隧道技術、動態(tài)帶寬控制和面向連接的數據收集體系。作為多協議標記（MPLS）PE路由器，他們使提供商的基于MPLS的業(yè)務具有高度的可擴展性和可靠性。通過使用VPLS，可以利用原有網絡和以太網基礎設施提供VOIP、互聯網接入、視頻以及多點虛擬專用網（VPN）等融合業(yè)務。</p><p>　　CISCO 7304路由器支持包括TDM、POS、ATM

111、和千兆位以太網，速率高達OC- 48。部署在各種應用中，RSR-08路由器可用于搭建骨干匯聚路由器和核心層網絡，為用戶提供綜合的、高性能、功能強大的服務, 并提供高可用性網絡所需的冗余支持。</p><p><b>　　5.6 防火墻</b></p><p>　　為了以后擴展的需要，所以采用了CISCO ASA5520-K8。CISCO ASA5520-K8采用思科網

112、絡獨創(chuàng)的分類算法（Classification Algorithm）設計的新一代安全產品——第三類防火墻，支持擴展的狀態(tài)檢測（Stateful Inspection）技術，具備高性能的網絡傳輸功能；同時在啟用動態(tài)端口應用程序(如VoIP, H323等)時，可提供強有力的安全信道。</p><p>　　采用思科獨創(chuàng)的分類算法使得CISCO ASA5520-K8產品的高速性能不受策略數和會話數多少的影響，產品安裝前后

113、絲毫不會影響網絡速度；同時，CISCO ASA5520-K8在內核層處理所有數據包的接收、分類、轉發(fā)工作，因此不會成為網絡流量的瓶頸。另外，CISCO ASA5520-K8具有入侵監(jiān)測功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測功能不會影響防火墻的性能。CISCO ASA5520-K8的主要功能包括：擴展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。<

114、/p><p>　　5.7 產品訂貨與供貨</p><p><b>　　設備清單：</b></p><p>　　設備費用總計：549200元</p><p>　　第6章 工程驗收與項目測試</p><p>　　神馬股份有限公司提供全面的解決方案和工程管理。神馬股份有限公司委任一位項目經理負責該項目，統(tǒng)籌

115、全程工程。該項目經理將在與客戶協定的工程計劃基礎上核定實施時間表?？蛻魬概蓪Ｈ伺c神馬股份有限公司合作溝通、提供信息、給予確認信息，以便更有效地協作。</p><p>　　神馬股份有限公司的技術人員將按照合同簽署的實施時間表，根據客戶要求進行實施、調試，通過集成測試和用戶使用測試后交付。</p><p>　　自方案開始，神馬股份有限公司將與客戶密切合作，請客戶提供必要信息，并安排相關協調人

116、員負責.</p><p>　　6.1 驗收基本說明</p><p><b>　　驗收計劃 </b></p><p>　　雙方簽定合同后，簽定一項驗收計劃，作為驗收執(zhí)行的規(guī)范，合同雙方共同遵循，驗收計劃包括以下必備內容： </p><p><b>　　A．驗收人員組成 </b></p>

117、<p>　　B．驗收場所和驗收時間 </p><p><b>　　C．驗收內容組成 </b></p><p>　　D．各項內容的驗收標準 </p><p><b>　　E．驗收方式 </b></p><p>　　下面分別就驗收計劃中的要點進行說明：</p><p>

118、<b>　　A．驗收人員 </b></p><p>　　由業(yè)主方指定人員，工程實施方參加項目所有人員配合驗收。</p><p>　　驗收人員要求：熟悉整個項目的物理設備組成、技術組成和驗收標準，具有驗收完成之后的簽字權。</p><p>　　B．驗收場所和驗收時間 </p><p>　　設備到現場后3天之內進行相應的設備