網絡工程課程設計---大學校園網絡規(guī)劃及方案設計

1、<p><b>　　《計算機網絡工程》</b></p><p><b>　　課程設計報告</b></p><p><b>　　2013年12月</b></p><p><b>　　目錄</b></p><p>　　1.網絡系統(tǒng)的需求分析4<

2、;/p><p><b>　　1.1工程概述4</b></p><p><b>　　1.2用戶需求4</b></p><p><b>　　1.3建設目標5</b></p><p>　　1.4系統(tǒng)建設原則5</p><p>　　2.邏輯系統(tǒng)設計6<

3、;/p><p><b>　　2.1需求分析6</b></p><p>　　2.2網絡邏輯結構設計6</p><p>　　2.3網絡拓撲設計7</p><p>　　2.4.IP編址設計9</p><p><b>　　2.4.1概述9</b></p><

4、p>　　2.4.2現(xiàn)有IP分析9</p><p>　　2.4.3劃分原則9</p><p>　　2.4.4編址設計10</p><p>　　2.4.5VLAN劃分11</p><p>　　2.4.6根據端口定義12</p><p>　　2.4.7根據MAC地址定義12</p><p

5、>　　2.4.8根據網絡層定義13</p><p>　　3.物理網絡設計14</p><p>　　3.1安裝與設計環(huán)境14</p><p>　　3.2設備安裝與管線布放建議15</p><p>　　3.3產品設備選型17</p><p>　　3.4供電系統(tǒng)28</p><p>

6、　　4.網絡安全設計29</p><p>　　4.1網絡安全設計的必要性29</p><p>　　4.2防火墻的配置29</p><p>　　5. 網絡設備安裝調試與測試驗收31</p><p>　　5.1網絡設備安裝調試31</p><p>　　Catalyst 6506的安裝過程31</p>

7、<p>　　配置Catalyst 6506的系統(tǒng)參數32</p><p>　　配置Catalyst 6506的VLAN33</p><p>　　5.2網絡設備的測試驗收35</p><p>　　6. 網絡系統(tǒng)驗收36</p><p>　　7. 用戶培訓和系統(tǒng)維護38</p><p>　　8. 工

8、期及費用39</p><p>　　8.1建設工期進度表39</p><p>　　8.2預算費用清單40</p><p>　　1.網絡系統(tǒng)的需求分析</p><p><b>　　1.1工程概述</b></p><p>　　該大學數字校園設計建設目標是，建設一個以校園辦公自動化、計算機輔助教學和

9、現(xiàn)代化計算機校園文化為核心，以萬兆網絡（預留升級為十萬兆的空間）技術為依托，技術先進，擴展性強，能覆蓋各校區(qū)各樓宇的校園主干網絡，將學校現(xiàn)有的各種計算機系統(tǒng)聯(lián)系起來，并與CERNET相連，形成結構合理、內外溝通的新型校園計算機網絡教學系統(tǒng)。在此基礎上建設能滿足教學、科研和管理工作需要的軟硬件環(huán)境，開發(fā)建設各類教學資源庫與應用系統(tǒng)，為教師、學生及家長提供充分的網絡信息服務。</p><p><b>　　1

10、.2用戶需求</b></p><p>　　近年來，隨著信息化的發(fā)展，各高校都建成自已內部網絡。學生公寓樓屬于高校最重要的一部分，而學生對網絡的需求是相當的大?？焖?、高效的傳播和利用信息資源是21世紀的基本特征。掌握豐富的計算機及網絡信息知識不僅僅是素質教育的要求而且也是學生掌握現(xiàn)代化學習與工作手段的要求。因此，學校校園網的有無及水平的高低，也將成為評價學校及學生選擇學校的新的標準之一。</p&g

11、t;<p>　　在校園網絡建設中存在多用戶,多服務的現(xiàn)狀。帶來了對網絡系統(tǒng)要求具有高效率等，以保證大數據量訪問下有效的處理能力。針對需求設備要能對數據做到分布式處理，這樣的分布式處理可以節(jié)省主交換引擎的消耗。使數據在獨立的板卡上就能做出對數據的識別，這樣比在中央處理器識別要快的多。并在大量的數據應用，數據傳輸的過程中，要保證所有硬件設備都可以進行快速的轉發(fā)，要具備高背板帶寬（交換容量），所有端口都能保證線速轉發(fā)。這種分布式

12、處理可以極大地提高整體處理能力，保證了網絡暢通。</p><p><b>　　1.3建設目標</b></p><p>　　建設一個以校園辦公自動化、計算機輔助教學和現(xiàn)代化計算機校園文化為核心，以萬兆網絡（預留升級為十萬兆的空間）技術為依托，技術先進，擴展性強，能覆蓋各校區(qū)各樓宇的校園主干網絡，將學?，F(xiàn)有的各種計算機系統(tǒng)聯(lián)系起來，并與CERNET相連，形成結構合理、內外

13、溝通的新型校園計算機網絡教學系統(tǒng)。在此基礎上建設能滿足教學、科研和管理工作需要的軟硬件環(huán)境，開發(fā)建設各類教學資源庫與應用系統(tǒng)，為教師、學生及家長提供充分的網絡信息服務。</p><p><b>　　1.4系統(tǒng)建設原則</b></p><p>　　在實用性、可靠性和可擴展性方面，滿足系統(tǒng)的信息交換、管理的要求。</p><p>　　在基礎設施方面

14、實行適度的先進性，充分考慮信息社會迅猛發(fā)展的趨勢，采用先進的技術，并留有余地。</p><p>　　系統(tǒng)的建設必須符合實際情況，在設備投資和集成的過程中，做到實事求是, 量力而行，務求經濟和實效。</p><p>　　建成的網絡系統(tǒng)應易于管理、維護。</p><p><b>　　2.邏輯系統(tǒng)設計</b></p><p>

15、<b>　　2.1需求分析</b></p><p>　　近年來，網絡病毒泛濫、網絡安全事件頻頻發(fā)生，網絡的安全越來受到</p><p>　　人們的重視。在高校學生宿舍網絡這樣一個特殊的用戶群環(huán)境中，應該保證網絡的安全運行。由于宿舍網節(jié)點眾多，因此無法一體化管理眾多的設備和用戶、出現(xiàn)網絡故障無法快速定位、IP地址盜用、IP地址沖突等問題日益嚴重，應充分利用有限的人力物力

16、對網絡進行高效管理作為高校宿舍網建設考慮的著重點。學生宿舍網面向的接入用戶是在校學生，上網的時間相對比較集中（主要集中在晚間和節(jié)假日），所以在此時段網絡訪問流量會較大，在一些特殊時候可能會出現(xiàn)大量的網絡突發(fā)流量。如何保證網絡設備的在高壓力下的正常工作？</p><p>　　2.2網絡邏輯結構設計</p><p>　　2.2.1 結構組成</p><p>　　該網絡系

17、統(tǒng)主要由接入交換機、匯聚交換機、中心交換機組成。</p><p>　　2.2.2接入交換機</p><p>　　分別安裝在三樓的配線機柜里。在些交換機上配有24口100base-T接口，連接到各信息節(jié)點；還配有千兆光纖模塊，用于與上一級交換機的連接。同時，該交換機還能支持堆疊功能，通過堆疊可以提供更多的端口。</p><p>　　2.2.3 中心交換機</p&

18、gt;<p>　　由一臺核心交換機組成，該交換機提供多個千兆光纖端口，用于接入各二級交換機；該交換機提供快速的3層交換能力，滿足系統(tǒng)應用的需要。</p><p>　　2.2.4 匯聚交換機</p><p>　　該交換機提供快速的三層交換能力，主要用于對公寓樓的Internet接入提供服務。 </p><p><b>　　2.3網絡拓撲設計&

19、lt;/b></p><p>　　根據高校學生公寓樓和高校現(xiàn)有網絡拓撲的實際情況，建議在學生公寓樓采用樹型和星型結合的拓撲方案。</p><p>　　在每個工作區(qū)子系統(tǒng)中，只提供一個信息點。此信息點為宿舍的工作組交換機或HUB提供的接口。如果學生自已購買的是交換機，那么工作區(qū)中的邏輯網絡結構就是星型，如果使用的是HUB，那么工作區(qū)中的邏輯網絡結構是總線型，當然，這是局部的。不必去作太

20、多理會，但在此處提及的原因是因為如果很多學生使用HUB，那么每個沖突域就是一個廣播域，這樣會造成大的的廣播碎片，面廣播碎片會大量占用網絡帶寬，降低網絡利用率。針對這種情況，所選的接入交換機除劃分VLAN處，一定要有較大的冗余能力。</p><p>　　學生公寓樓設計為六層，共198間宿舍（包括設備間、老師值班室）。而我們選用的15臺接入交換機是24口10/100BASE-T自適應。所以每臺交換機是一個樓層的星型網

21、絡。用于連接15臺接入交換機的中心交換機對整樓來說是一個樹型網絡。</p><p>　　具體網絡拓撲如下圖所示：</p><p>　　2.4.IP編址設計</p><p><b>　　2.4.1概述</b></p><p>　　目前，常用的計算機網絡是基于TCP/IP協(xié)議，每一臺設備都以IP地址進行標識。因此在設計網絡方

22、案時，要為網絡上的所有設備分配一個唯一的合法IP地址。建議在采用INTERNET保留IP地址編址方式。在系統(tǒng)實施時，將根據系統(tǒng)實際情況的IP地址進行地址編碼和IP子網的劃分。</p><p>　　2.4.2現(xiàn)有IP分析</p><p>　　高校內部網絡采用的是C類網絡地址。C類網絡地址可用的共253個網段，每個網段最多可擁有253臺主機。現(xiàn)有內部網絡已用網段如下：</p>&

23、lt;p>　　192.168.1.-----192.168.224.。這些網段分別用于教學樓、實驗中心大樓、藝術樓、計算機中心、圖書館、已有學生宿樓等。</p><p><b>　　2.4.3劃分原則</b></p><p>　　統(tǒng)一性：對網絡系統(tǒng)進行統(tǒng)一的地址規(guī)劃。</p><p>　　簡單性：地址的分配應該簡單，避免主干上采用復雜的子

24、網掩碼方式。</p><p>　　連續(xù)性：為同一個單位分配連續(xù)的網絡地址，便于采用SUMARIZATION和CIDR（CLASSLESS INTER-DOMAIN ROUTEING）技術縮減路由表的表項，提高路由器的處理效率。</p><p>　　可擴充性：為一個網絡區(qū)域分配的網絡地址應該具有一定的容量，便于主機數量增加時仍然保持地址的連續(xù)性。</p><p>　　

25、靈活性：地址分配不應該基于某個局部網絡的優(yōu)化方案，應該便于多數路由策略在整個地址分配方案上實現(xiàn)優(yōu)化。</p><p>　　可管理性：地址的分配應該有一定層次，某個局部的變動不要影響上層和全局。</p><p>　　安全性：網絡內部應該按照業(yè)務內容劃分成不同的網段即子網，便于管理和保證系統(tǒng)的安全。</p><p><b>　　2.4.4編址設計</b&

26、gt;</p><p>　　學生公寓設計共六層，第一層共32間宿舍，共余5層每層33間宿舍。</p><p>　　宿舍總數＝32+33*(6-1)＝197間</p><p>　　每間宿舍有4臺主機(4個IP地址)，通過一個100BASE-T信息接口連接交換機。全樓共有：主機數（IP地址數）＝4*197＝788個地址。</p><p>　　為了

27、避免和上述已用IP沖突，和一定的冗余原則，采用224以后網段。具體劃分如下：</p><p>　　2.4.5VLAN劃分</p><p>　　VLAN技術允許交換機將網絡劃分成多個虛擬的子網，通過VLAN的劃分，形成了多個廣播域，減少了網絡的廣播風暴，提高的網絡性能。在同一個VLAN中的主機可以互相訪問，而在不同VLAN中的主機要互相訪問則需要通過第三層網絡來實現(xiàn)，因此也在一定的程度上增加

28、了網絡的安全性。</p><p>　　有很多種方式可以用來劃分VLAN，在下面只討論其常見的三種劃分方法：根據端口定義、根據MAC地址定義、根據網絡層定義。</p><p>　　2.4.6根據端口定義</p><p>　　按交換機端口來劃分網絡成員，其配置過程簡單明了。因此，迄今為止，仍然是最常用的一種方式。但是，這種方式不允許多個VLAN共享一個物理網段或交換機端

29、口。而且，更糟糕的是，如果某一個用戶從一個端口所在的虛擬網移動到另一個端口所在的虛擬網，網絡管理員需要重新進行設置。這對于擁有眾多移動用戶的網絡來說是不可想象的。</p><p>　　2.4.7根據MAC地址定義</p><p>　　按MAC地址定義的VLAN有其特有的優(yōu)勢。因為MAC地址是捆綁在網絡接口卡上的，所以這種形式的虛擬網允許網絡用戶從一個物理位置移動到另一個物理位置，并且自動保

30、留其所屬VLAN的成員身份。同時，這種方式獨立于網絡的高層協(xié)議（如TCP/IP, IP, IPX等）。因此，從某種意義上講，利用MAC地址定義虛擬網可以看成是一種基于用戶的網絡劃分手段。</p><p>　　這種方法的一個缺點是所有的用戶必須被明確的分配給一個虛擬網。在這種初始化工作完成之后，對用戶的自動跟蹤才成為可能。然而，在一個擁有成千上萬用戶的大型網絡中，如果要求管理員將每個用戶都一一劃分到某一個虛擬網，這

31、實在是太困難了。因此，有些廠商便將這項配置MAC地址的復雜勞動推給了他們的網絡管理工具。這些網管工具可以根據當前網絡的使用情況，在MAC地址的基礎上自動劃分虛擬網，但要增加系統(tǒng)的開銷。</p><p>　　2.4.8根據網絡層定義</p><p>　　基于網絡層的虛擬網使用協(xié)議（如果網絡中存在多協(xié)議的話）或網絡層地址（如TCP/IP中的子網段地址）來確定網絡成員的劃分。</p>

32、<p>　　利用網絡層定義虛擬網有以下幾點優(yōu)勢。第一，這種方式可以按傳輸協(xié)議分網段。這對于希望針對具體應用和服務來組織用戶的網絡管理員來說無疑是非常有誘惑力的。其次，用戶可以在網絡內部自由移動而不用重新配置自己的工作站，尤其是使用TCP/IP的朋友們。第三，這種類型的虛擬網可以減少于協(xié)議轉換而造成的網絡延遲。</p><p>　　當然，缺點也總是有的。與利用MAC地址的形式相比，基于網絡層的虛擬網需

33、要分析各種協(xié)議的地址格式并進行相應的轉換。因此，使用網絡層信息定義虛擬網的交換機要比使用數據鏈路層信息的交換機在速度上處于劣勢。而且，這種差異在絕大多數網絡產品中都存在。另外，雖然按網絡層劃分的虛擬網對于使用TCP/IP協(xié)議的用戶群來說是十分有效的。但是，像IPX，DECnet，AppleTalk這樣的協(xié)議運行在這種虛擬網絡結構中似乎不太合適了。再者，對于某些“無法路由”的協(xié)議，如NetBIOS，按網絡層定義虛擬網就更困難了。運行不可路

34、由的協(xié)議的工作站是不能被識別的。因此也就不能成為虛擬網的一員。</p><p>　　需要注意的是，雖然這種類型的虛擬網是建立在網絡層的基礎上，但交換機本身并不參與路由工作。當一個交換機捕捉到一個IP包，并IP地址確定其身份時，沒有任何與路由有關的計算產生。RIP以及OSPF等路由傳輸協(xié)議也不被采用。交換機只是作為一個高速網橋，簡單的利用擴展樹算法將包轉發(fā)給下一個節(jié)點上的交換機。這樣看來，基于網絡層的虛擬網之間的連

35、接應該看成是一個類似于橋的拓撲結構。</p><p>　　綜上所述，劃分VALN的方法有多種，每種方的的側重點不相同，所達到的效果也不相同。根據高校學生公寓樓的實際情況，建議采用端口的劃分方法。</p><p><b>　　3.物理網絡設計</b></p><p>　　3.1安裝與設計環(huán)境</p><p>　　??布線裝

36、置及線纜的工作環(huán)境</p><p>　　??海拔高度:2000M以下</p><p>　　??環(huán)境溫度:-5℃ --- +50℃</p><p>　　??最大日溫差:35℃</p><p>　　??最大月平均相對濕度:90%</p><p>　　??最大日平均相對濕度:95%</p><p>　

37、　??地震地面加速度:水平加速度不超過0.2G</p><p>　　??垂直加速度不超過0.1G</p><p>　　3.2設備安裝與管線布放建議</p><p>　　全部選擇墻壁安裝型信息插座，提供標準的RJ-45 接口（全部按照TIA/EIA-568-B標準）。根據國標規(guī)定，所有墻上型信息插座均距地200mm ；所有地面信息插座距強電插座中心距不小于200mm

38、。根據學生公寓樓的實際情況，所有工作區(qū)子系統(tǒng)墻上型信息插座均距地2500mm。</p><p>　　為了美觀，信息插座建議采用暗埋式插座 </p><p>　　根據建筑的實際情況，對于墻面信息出口，其水平線纜由樓層設備間的配線架引至本層吊頂或沿的墻PVC線槽內，在合適位置套穿PVC線槽經墻面穿過墻壁線管沿墻敷設至信息出口，并有40%的PVC槽的冗余。</p><p>

39、;<b>　　二樓平面圖：</b></p><p><b>　　走線方式：</b></p><p>　　PVC線槽采用明線方式，五類線沿PVC槽走動。到每間宿舍信息點可以墻壁穿墻而過。</p><p>　　注：上圖長寬和1樓一樣。</p><p>　　垂直主干纜用金屬槽固定，樓層（1-4樓）之間段穿

40、洞而過。</p><p>　　配線架均安裝在各配線間，在本方案中，配線架均為機柜安裝型配線架，</p><p>　　全部安裝于設備間內標準的168U立式機柜中。</p><p>　　學生公寓樓的一到四樓的主干光纖敷設，建議采用由下向上牽引光纖的施工方式。而在網絡中心的光纖，可以采用自上而下的方式（將光纖從電梯搬到七樓）。中間樓距建議采用埋地方式。</p>

41、<p><b>　　3.3產品設備選型</b></p><p>　　目前，在網絡設備的市場上，國外廠商主要有Cisco公司、3Com公司等，國內廠商有華為、實達等?？紤]到學生公寓樓的實際情況，建議采用實達公司的網絡設備。主要是由于Cisco公司的產品性能比較好，但是價格比較貴，性能價格比不如實達的產品。實達公司是國內大型的電信設備制造商之一，在網絡產品上實達秉承了電信產品的可靠

42、性設計，設計開發(fā)出具備電信級可靠性的網絡產品。實達公司自主研究開發(fā)的產品，涵蓋了交換、接入、傳輸、GSM、智能網、支撐網、ATM、接入服務器、路由器、以太網交換機等主要通信領域，形成了自主的核心技術體系，提供固定網、移動網、數據通信網的全方位解決方案。其公司在全國各地都設有辦事處，售后服務網絡遍布全國，為用戶提供可靠的保障。</p><p>　　3.3.1 中心交換機</p><p>　　

43、中心交換機。建議使用實達公司的RG-S2126S千兆智能交換機。實達公司的RG-S2126S是一款全線速可堆疊千兆智能交換機，提供智能的流分類和完善的服務質量（QoS）以及組播管理特性，并可以實施靈活多樣的ACL訪問控制?？赏ㄟ^SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。RG-S2126S以極高的性價比為各類型網絡提供完善的端到端的服務質量、靈活豐富的安全設置和基于策略的網管，最大化滿足高速、安全、智能的企

44、業(yè)網新需求。提供24個10/100M自適應端口和兩個高速通用擴展插槽，可以支持2個GE端口上行。是內部網工作組，IP城域網小區(qū)FE用戶接入的理想產品其主要性能如下：</p><p><b>　　●可用模塊：</b></p><p>　　M2121S：單口1000BASE-SX模塊</p><p>　　M2121L：單口1000BASE-LX模塊

45、</p><p>　　M2121T：單口1000BASE-TX模塊（支持10/100/1000M自適應）</p><p>　　M2101F：單口100BASE-FX模塊</p><p>　　M2101F-S：單口100BASE-FX單模模塊</p><p>　　M2101T：單口100BASE-TX模塊</p><p>

46、;　　M2131：堆疊模塊 </p><p>　　● 包轉發(fā)速率：線速（6.6 Mpps）</p><p>　　● 802.1q VLAN 4K</p><p>　　● 模塊插槽：2個擴展插槽 </p><p>　　● 背板：12.8Gbps（為所有的端口提供非阻塞性能）</p><

47、;p><b>　　● ACL： </b></p><p>　　IP標準ACL（基于IP地址的硬件ACL）</p><p>　　IP擴展ACL（基于IP地址、傳輸層端口號的硬件ACL）</p><p>　　MAC擴展ACL（基于源MAC地址、目的MAC地址和可選的以太網類型的硬件ACL）</p><p>　　● L2

48、協(xié)議：IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping、LLDP</p><p>　　● 管理協(xié)議：SNMPv1/v2、Web(JAVA)、CLI(Teln

49、et/Console)、RMON(1,2,3,9)、 集群、SSH、Syslog</p><p>　　● 其它協(xié)議：BOOTP/DHCP Relay </p><p>　　● 固定端口：24端口10/100自適應</p><p><b>　　安全控制</b></p><p>　　1具有

50、的端口安全、MAC地址綁定和動態(tài)地址鎖、端口隔離、用戶接入認證（802.1x）、ACL控制、端口ARP報文合法性檢查、基于數據流的帶寬限速等多種安全措施，滿足企業(yè)網加強對訪問者進行控制、限制非授權用戶通信的需求。</p><p>　　2 硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴格限定端口上用戶接入。</p><p>　　3 通過將端口設為保護端口即可簡單方便地隔離用戶之間信息互通，

51、不必占用VLAN資源。</p><p>　　4 通過Private VLAN可以在交換機的同一VLAN中提供端口之間的通訊或安全隔離，確保數據流進入有效端口，而不會被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網VID資源不夠的問題，同時又無需利用安全規(guī)則資源即能達到隔離不同用戶以及不同組用戶之間通訊的功能，充分保護用戶隱私。</p><p>　　5 實現(xiàn)用戶賬號、MAC地址、

52、IP地址、交換機IP、交換機端口等六大元素之間的靈活任意綁定，有效確認用戶合法性和唯一性；</p><p>　　6 提供極為有效的Port Blocking功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口負載負擔，提高端口帶寬，保護用戶PC更高效安全地運行；</p><p>　　7 基于源IP地址控制的Telnet和Web設備訪問控制，增強了設備網管的安全性，避免黑

53、客惡意攻擊和控制設備；</p><p>　　8 提供加密傳輸的Secure Shell（SSH），保證管理設備信息的安全性，防止黑客攻擊和控制設備。</p><p><b>　　完善的QoS策略</b></p><p>　　支持802.1P、端口優(yōu)先級、IP TOS、二到七層流過濾等QoS策略，具備MAC流、IP流、應用流等多層流分類和流控制能

54、力，實現(xiàn)帶寬控制、轉發(fā)優(yōu)先級等多種流策略，支持網絡根據不同的應用、以及不同應用所需要的服務質量特性，提供服務；極靈活的帶寬控制能力，可以基于交換機端口、MAC地址、IP地址、協(xié)議、應用組合進行帶寬限速，限速粒度精細：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口，可根據網絡安全需求，設定不同業(yè)務應用的帶寬流量，滿足按需所用。</p><p><b>　　高可靠性<

55、/b></p><p>　　支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網絡的穩(wěn)定運行和鏈路的負載均衡，合理使用網絡通道。</p><p><b>　　方便易用易管理</b></p><p>　　1 強大的菊花鏈式堆疊，最多支持堆疊8臺S2126S，最大支持192個10/100M端口，保證網

56、絡的高度靈活和可擴展，網絡管理更加簡單；</p><p>　　2 獨特的集群管理，通過一臺命令交換機可管理多達20臺的S3550系列和S21系列交換機，無論交換機是否在同一配線間和布線室；</p><p>　　3 強大的集群管理方式使得網絡的維護工作變得非常方便和簡單，只需配置1個IP地址，即可管理多臺設備，不僅成倍節(jié)省了IP地址空間，而且維護和管理量也得到極大降低；</p>

57、<p>　　4 多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數據流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率；</p><p>　　5 CLI界面，方便高級用戶配置和使用；</p><p>　　6 Java-based Web管理方式，實現(xiàn)對交換機的可視化圖形界面管理，快速和高效地配置設備。</p><p>　　3.3.2 匯聚交換

58、機</p><p>　　匯聚交換機作為公寓樓的INTERNET接入口。推薦實達公司的STAR-S3550系列安全智能多層交換機作為系統(tǒng)的核心交換機。STAR-S3550-24/S3550-48是兩款全線速安全智能多層交換機，該交換機硬件支持多層交換，提供二到七層的智能的流分類和完善的服務質量（QoS）以及組播管理特性，支持完善的路由協(xié)議，并可以根據網絡實際使用環(huán)境，實施靈活多樣的安全控制策略，可有效防止和控制病毒

59、傳播和網絡攻擊，控制非法用戶使用網絡，保證合法用戶合理使用網絡資源，充分保障網絡安全和網絡合理化使用和運營。可通過SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。S3550-24/S3550-48以極高的性價比為各類型網絡提供多層交換、完善的端到端的服務質量、靈活豐富的安全設置和基于策略的網管，最大化滿足高速、安全、智能的企業(yè)網新需求。</p><p><b>　　主要性能參數

60、</b></p><p>　　● 固定端口：24端口10/100M自適應、48端口10/100M自適應</p><p>　　● 模塊插槽：2擴展插槽</p><p><b>　　● 可用模塊：</b></p><p>　　STAR-M2121S：單口1000BASE-SX模塊</p><p

61、>　　STAR-M2121L：單口1000BASE-LX模塊</p><p>　　STAR-M2121T：單口1000BASE-TX模塊（10/100/1000M自適應）</p><p>　　STAR-M2101F：單口100BASE-FX模塊</p><p>　　STAR-M2101F-S：單口100BASE-FX-S模塊</p><p&

62、gt;　　STAR-M2101T：單口100BASE-TX模塊</p><p>　　● 背板：12.8Gbps、18.5Gbps</p><p>　　● 包轉發(fā)速率：L2：線速（10.1M Mpps）、L3：線速（10.1Mpps）</p><p>　　● MAC地址：8K</p><p>　　● 802.1q VLAN：4K</p&g

63、t;<p>　　● ACL：IP標準ACL（基于IP地址的硬件ACL）、IP擴展ACL（基于IP地址、 傳輸層端口號的硬件ACL）、MAC擴展ACL（基于源MAC地址、目的MAC地址和可選的以太網類型的硬件ACL）、基于時間ACL、專家級ACL （可同時基于VLAN號、以太網類型、MAC地址、IP地址、TCP/UDP端口號、協(xié)議類型、時間靈活組合的硬件ACL）</p><p>　　● L2

64、協(xié)議：IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、 IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q (GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping、LLDP</p><p>　　● L3協(xié)議：OSPF、RIPV1、RIPV2、PIM（DM/S

65、M）、VRRP、IGMP</p><p>　　● 管理協(xié)議：SNMPv1/v2、Web(JAVA)、CLI(Telnet /Console)、RMON(1,2,3,9)、集群、SSH、Syslog</p><p>　　● 其它協(xié)議：BootP、DHCP Relay</p><p><b>　　高性能多層交換</b></p><

66、;p>　　1 、12.8G/18.5G背板帶寬為所有的端口提供非阻塞性能；</p><p>　　2 、硬件支持多層線速交換，能夠識別、處理四層以上的應用業(yè)務流，所有端口都具有單獨的數據包過濾、區(qū)分不同應用流，并根據不同的流進行不同的管理和控制。</p><p><b>　　靈活完備的安全控制</b></p><p>　　1、 具有的多種內

67、在機制可以有效防范和控制病毒傳播和黑客攻擊，如預防Dos攻擊、防黑客和病毒IP掃描機制等，還網絡一片綠色；</p><p>　　2、 硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴格限定端口上用戶接入；</p><p>　　3、 通過將端口設為保護端口即可簡單方便地隔離用戶之間信息互通，不必占用VLAN資源；</p><p>　　4、 基于源IP地址控制的Teln

68、et和Web設備訪問控制，增強了設備網管的安全性，避免黑客惡意攻擊和控制設備；</p><p>　　5、 提供加密傳輸的Secure Shell（SSH），保證管理設備信息的安全性，防止黑客攻擊和控制設備；</p><p>　　6、 控制非法用戶使用網絡，保證合法用戶合理化使用網絡，如端口安全、端口隔離、專家級ACL、時間ACL、基于數據流的帶寬限速、六元素綁定等等，滿足企業(yè)網、校園網加強

69、對訪問者進行控制、限制非授權用戶通信的需求。</p><p><b>　　豐富的組播特性</b></p><p>　　1、 支持各種單播和組播動態(tài)路由協(xié)議，可適應不同的網絡規(guī)模，和需要進行大量多播服務的環(huán)境，實現(xiàn)網絡的可擴展；</p><p>　　2、 支持IGMP源端口和源IP檢查功能，有效地杜絕非法的組播源，提高網絡的安全性。</p&

70、gt;<p><b>　　完善的QoS策略</b></p><p>　　1、 以DiffServ標準為核心的QoS保障系統(tǒng)，支持802.1p、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略，實現(xiàn)基于全網系統(tǒng)多業(yè)務的QoS邏輯；</p><p>　　2、 具備MAC流、IP流、應用流等多層流分類和流控制能力，實現(xiàn)帶寬控制、轉發(fā)優(yōu)先級等多種流策

71、略，支持網絡根據不同的應用、以及不同應用所需要的服務質量特性，提供服務；</p><p><b>　　高可靠性</b></p><p>　　支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網絡的穩(wěn)定運行和鏈路的負載均衡，合理使用網絡通道，提供冗余鏈路利用率；支持VRRP虛擬路由器冗余協(xié)議，有效保障網絡穩(wěn)定。</p>

72、;<p><b>　　方便易用易管理</b></p><p>　　獨特的集群管理，通過一臺命令交換機即可管理多達20臺的匯聚層和接入層設備S3550系列和S21系列交換機，無論交換機是否在同一配線間和布線室，都能得到統(tǒng)一管理；</p><p>　　強大的集群管理方式使得網絡的維護工作變得非常方便和簡單，只需配置1個IP地址，即可統(tǒng)一管理多臺設備，不僅成倍

73、節(jié)省了IP地址空間，而且維護和管理量也得到極大降低；</p><p>　　多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數據流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護效率；</p><p>　　CLI界面，方便高級用戶配置和使用；</p><p>　　Java-based Web管理方式，實現(xiàn)對交換機的可視化圖形界面管理，快速和高效地配置設備<

74、;/p><p>　　3.3.3 接入交換機</p><p>　　接入交換機為本樓層的工作站提供接入。考慮到可擴展性，因此，要求樓層交換機具有擴展插槽，除了接光纖外，還能提供交換機間的堆疊功能。推薦實達公司的STAR-S1926F+交換機作為系統(tǒng)的接入交換機。STAR-S1926F+是一款線速增強網管型交換機，具有豐富而強大的網管功能，可以通過多重設置方式對網絡進行網管操作，實現(xiàn)IP設置、Spa

75、nning Tree設置、Port VLAN 和Port TRUNK設置、802.1Q Tag VLAN 和L2 TRUNK設置、安全控制設置、監(jiān)控設置、地址老化時間修改、靜態(tài)地址管理、廣播風暴控制、端口動態(tài)MAC地址鎖、端口MAC地址綁定、端口IGMP屬性設置、802.1p優(yōu)先級等各種管理。S1926F+可針對用戶的不同情況進行端口帶寬分配，并采用業(yè)界最先進的802.1x安全接入控制策略，簡化認證的同時實現(xiàn)高效的用戶控制能力，其靈活

76、的帶寬分配功能和安全的用戶接入控制功能使此款交換機特別適合于寬帶社區(qū)、高教宿舍網、中小學、企業(yè)等多種應用場合。</p><p>　　選用STAR-S1926F+是根據高校學生公寓樓的實際情況而定的。據分析，高校網絡中心的管理員要求具有以下功能：</p><p>　　1 如果客戶端某一臺機器不能連通，要求能判斷是設備問題還是線路問題。而處理這種問題須具有SNMP功能。</p>

77、<p>　　2 由于宿舍網是高校客戶機最為密集的地方，因此，對客戶機的管理顯得重要。對客戶機的管理特別是IP分段管理和VALN劃分極為重要。</p><p><b>　　3.4供電系統(tǒng)</b></p><p>　　??電壓:0.38/0.22KV 三相五線制/單相三線制</p><p>　　??頻率:50HZ±2%</

78、p><p><b>　　4.網絡安全設計</b></p><p>　　4.1網絡安全設計的必要性</p><p>　　針對網絡系統(tǒng)實際情況，解決網絡的安全保密問題是當務之急，考慮技術難度及經費等因素，設計時應遵循如下思想： </p><p>　　1．大幅度地提高系統(tǒng)的安全性和保密性； </p><p>

79、;　　2．保持網絡原有的性能特點，即對網絡的協(xié)議和傳輸具有很好的透明性； </p><p>　　3．易于操作、維護，并便于自動化管理，而不增加或少增加附加操作； </p><p>　　4．盡量不影響原網絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能的擴展； </p><p>　　5．安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； </p><p

80、>　　6．安全與密碼產品具有合法性，及經過國家有關管理部門的認可或認證； </p><p>　　7．分步實施原則：分級管理 分步實施。 </p><p><b>　　4.2防火墻的配置</b></p><p>　　防火墻是一種網絡安全保障手段,是網絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接

81、都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內部網絡和Internet之間地任何活動，保證了內部網絡地安全；在物理實現(xiàn)上，防火墻是位于網絡特殊位置地以組硬件設備――路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統(tǒng)，也可以在一個進行網絡互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網絡安全必須考慮防火墻的網絡拓撲結構： </p>&

82、lt;p>　　（1）屏蔽路由器：又稱包過濾防火墻。 </p><p>　?。?）雙穴主機：雙穴主機是包過濾網關的一種替代。 </p><p>　　（3）主機過濾結構：這種結構實際上是包過濾和代理的結合。 </p><p>　?。?）屏蔽子網結構：這種防火墻是雙穴主機和被屏蔽主機的變形。 </p><p>　　根據防火墻所采用的技術不同,

83、我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監(jiān)測型。 </p><p>　　5.網絡設備安裝調試與測試驗收</p><p>　　5.1網絡設備安裝調試</p><p>　　Catalyst 6506的安裝過程</p><p><b>　　模塊安裝</b></p><p>

84、　　安裝6506的電源模塊；</p><p>　　☆ WS-X6K-S1A-MSFC2；</p><p>　　☆ WS-X6408-GBIC；</p><p>　　☆ WS-G5484；</p><p>　　☆ WS-X6248-RJ-45；</p><p>　　☆ WS-C6500-SFM</p>&l

85、t;p>　　Cisco Catalyst 6506 由工廠根據定貨單直接安裝好標準配置的模塊，但電源、路由等尚未安裝，所以首先將待安裝的各模塊拆開，裝入6506的電源插槽。</p><p>　　上電檢查6506的各個模塊的工作狀態(tài)是否正常：接入6506電源，由于6506有兩個電源作為冗余，所以最好兩個電源分別接入兩路UPS電源上，這樣即使當UPS其中一路電源故障時，不會影響整個6506交換機的正常遠行，當6

86、506交換機上電初始化結束后，從各個模塊面板上的LED燈的狀態(tài)可以判斷各個模塊的工作狀態(tài)是否正常。</p><p>　　配置Catalyst 6506的系統(tǒng)參數</p><p>　　當6506交換機初始化結束后，就進入系統(tǒng)單機配置階段。對于6506來說，首先需要配置系統(tǒng)參數，其中包括以下幾個部分：機器名、口令和遠程登陸等。</p><p>　　以下是具體配置過程：&

87、lt;/p><p>　　cisco6506> enable </p><p>　　cisco6506>（enable）set system name cisco6506</p><p>　　說明：配置6506的名字為CISCO6506</p><p>　　cisco6506> enable </p><p&

88、gt;　　cisco6506>（enable）set enable password cisco</p><p>　　說明：配置6506的enable 口令為cisco</p><p>　　cisco6506> enable </p><p>　　cisco6506>（enable）set interface sc0 1 192.168.9.3/

89、255.255.255.0 </p><p>　　cisco6506>（enable）set ip route 0.0.0.0/0.0.0.0 192.168.9.254 </p><p>　　說明：配置6506的CPU模塊上的以太網IP地址為：192.168.9.3，且只允許本網段任何地址存取</p><p>　　配置Catalyst 6506的VLAN

90、</p><p>　　網絡IP地址分配策略</p><p>　　大學校園網是覆蓋全院的廣域網絡，其網絡主干連接的節(jié)點多，因此，要保證網絡的有效性和可管理性，網絡地址的規(guī)劃與分配是十分重要的問題。網絡地址是一種資源，必須經過優(yōu)化的規(guī)劃和設計，因為很難預測網絡將來的規(guī)模和應用情況的發(fā)展，如果規(guī)劃不當，將導致地址資源不夠用，網絡的擴展將受到極大的限制；如果規(guī)劃過于龐大，則在現(xiàn)行運行過程中，網絡的

91、路由將會復雜，影響網絡的效率。網絡地址的分配應遵循以下的原則：</p><p>　　??◇唯一性：在同一個互聯(lián)網絡內網絡地址應該保持其唯一性；</p><p>　　??◇簡單性：地址的分配應該簡單，避免在主干上采用復雜的掩碼方式；</p><p>　　??◇連續(xù)性：為同一個網絡區(qū)域分配連續(xù)的網絡地址，便于縮減路由表的表項，提高路由器的處理效率，這種技術稱為地址

92、疊合（Summarization）；</p><p>　　??◇可擴充性：為一個網絡區(qū)域分配的網絡地址應該具有一定的容量，便于主機數量增加時仍然能夠保持地址的連續(xù)性；</p><p>　　??◇靈活性：地址分配不應該基于某個網絡路由策略的優(yōu)化方案，應該便于多數路由策略在該地址分配方案上實現(xiàn)優(yōu)化；</p><p>　　??◇可管理性：地址的分配應該有層次，某個局

93、部的變動不要影響上層、全局。</p><p>　　在對一個具體部門擁有的某個或幾個子區(qū)劃分子網時，要根據本部門的具體應用需求來合理分配子網資源，并且要留有一定的余地，這要從子網數和某一個子網所擁有的最大主機數兩個方面來考慮。</p><p>　　根據我們對大學校園網的網絡地址規(guī)劃和分配的了解，我們采用以C類地址為主B類地址為輔的地址分配原則。前二位（192.168）作為公共網絡地址，第三位

94、作為各VLAN的地址，并第四位的（254）作為各VLAN的網關</p><p>　　大學計算機網絡根據業(yè)務功能的不同，可以分為51個VLAN，51個VLAN各自獨立，分別屬于不同的廣播域，默認情況下不同VLAN間可互相訪問，根據不同安全策略，access-list表可作訪問控制.</p><p>　　5.2網絡設備的測試驗收</p><p><b>　　網

95、管維護測試記錄：</b></p><p><b>　　說明：</b></p><p>　　本測試記錄中的項目為整個產品的全部測試項目，現(xiàn)場應根據合同購買的設備功能、工程類別（擴容、改造）選擇測試項目。</p><p><b>　　功能特性測試記錄：</b></p><p><b&g

96、t;　　6.網絡系統(tǒng)驗收</b></p><p><b>　　驗收結論</b></p><p>　　7.用戶培訓和系統(tǒng)維護</p><p>　　簽訂此電腦維護合同，具體事項如下。   </p><p>　　維護范圍及內容：  </p><

97、;p>　　該網絡工程故障維修 。  </p><p>　　⑵ 該工程軟件故障維修（包括系統(tǒng)安裝，系統(tǒng)還原，系統(tǒng)更新，定期檢查，）。  </p><p>　　網絡工程每月一次定期檢查。  </p><p>　　工程應用最新信息傳播。  </p&g

98、t;<p>　?、?#160;提供技術支持。  </p><p><b>　　二、維護方式：  </b></p><p>　　⑴ 突發(fā)故障的上門維護：在接到甲方的電話通知后，乙方必須最遲在第二個工作日內進行上門維護。(如有特殊意外，雙方調解處理)。  </p><p

99、>　?、?#160;每周一次定期探訪維護系統(tǒng)，對用戶的系統(tǒng)進行優(yōu)化配置、調試好應用軟件及相關硬件設備，使系統(tǒng)達到更高使用效率。  三、收費：  </p><p>　　項目實施完畢后一年內免費提供產品及工程的維護和檢查，終身優(yōu)惠提供 項目升級及維護。  四、雙方責任。</p><p><b>　　8.工期及