小型网络规划

校园网络规划与设计方案

班级：计网1432

姓名：宁鹏飞

校园网建设的具体需求：

（1）为适应当前网络使用需求和今后网络规模的扩大，采用3层网络体系结构设计，主干网络采用10000Mb/s光纤技术，汇聚层采用1000Mb/s光纤技术，接入层采用100Mb/s电缆到桌面。

（2）为增强网络安全性，缩小网络广播域范围，按部门或组织机构划分VLAN，并合理分配IP地址段，通过三层交换技术实现各VLAN间的互访。

（3）分析各部门机构网络流量大小，合理选择网络连接设备，如：核心交换机、汇聚层交换机、接入层交换机、路由器、防火墙、VPN等设备。

（4）选择中心机房安放位置，并按国家标准组织施工建设。

（5）网络访问需求：

（1）校园内PC机均能访问校内信息资源；

（2）校园内PC机均能访问Internet资源；

（3）校外用户通过VPN访问校内资源；

（4）校园内需实现无线网络覆盖。

5）数据库服务

6）DNS服务

（7）、学校采用基于SQL server2000 数据库做开发平台。

（8）、校园网采用路由器+防火墙结构进行接入，网络互联设备(交换机、路由器、线缆、及其他设置)。

（9）、做好路由器与防火墙之间的安全通信工作，防止搭线窃听，IP盗用。

（10）、网络中心设在实训楼, 实训楼与学生宿舍楼相距50米，两楼用光纤连接。

（11）选择客户机ＴＣＰ／ＩＰ配置的最佳方案，以最大限度的减少ＩＰ地址的冲突和管理员的工作量，采用192.168.0.0的内部IP地址分配。

http:///
一、用户需求分析

在校园网络中，视频、音频、数据集于一身，如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输，就没法对流做出最高优先级和次高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟、服务不可用。所以要想真正改变网络的效率，更有效的保证应用服务的运营，需要通过端到端的QOS，智能到边缘的方式来保证。通过智能到边缘，端到端的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。可以对园区网应用中的，多媒体视频点

播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。对不同服务流进行详细的分类，划分优先级，以及尽可能地避免发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。

在园区网络中，存在多样的网络设备及系统应用环境，并且要考虑在用户迅速增长的今天，考虑到网络设备的可扩展性。保证在多样网络设备，用户不断增加的环境中，仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的兼容性和可扩展性，能与当前校园网络无缝衔接，同时预留空间符合当前和以后的信息建设需要和足够的升级空间。

在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有高效率等，以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理，这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别，这样比在中央处理器识别要快的多。并在大量的数据应用，数据传输的过程中，要保证所有硬件设备都可以进行快速的转发，要具备高背板带宽（交换容量），所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力，保证了网络畅通。

现在的网络环境中稳定可靠是争相谈论的话题，因现在在网络中运行了众多重要应用及服务，是要保证7*24小时不间断的服务。就要完全能保证网络设备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中，也要保证较小的延迟，以满足网络应用中的有效畅通的需要。在这样的需求中利用，冗余的管理交换引擎、冗余的电源等关键部件的冗余，支持（802.1D、802.1W）802.1S多Vlan生成树协议保证链路级的冗余和负载均衡，支持VRRP、OSPF等三层路由协议保证路由级的冗余，支持load balancing技术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备、网络、应用系统的可靠性。

在校园网络中，对于校园网的安全保障十分重要：校园网的信息点分布很广，与一般企业网比较，校园网用户的流动性大，信息点存在随意接入使用的问题。学生及外来不明身份的用户，在校园网中找到任何一个信息点，就可以进入到校园网，可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全，还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后，能够有效、快捷地处理事故，采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐，一个健壮的网络应该提供必要的手段，禁止特定病毒的传播以及由于病毒造成的流量拥塞

二、网络拓扑设计及原则

（一）拓扑设计

局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。

星型结构便于集中控制,因为端用户之间的通信必须经过中心站。由于这一特点,

也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其它端用户间的通信但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用双机热备份,以提高系统的可靠性。

网络拓扑结构如下：

三、网络方案设计

（一）网络结构分析

1．骨干层

网络规划是一个网络是否稳定可靠运行的关键，如何合理配置IP地址；选择何种路由协议；在接入层如何有效划分VLAN，减小广播的范围；如何设计满足基于声音、图像、数据综合的局域网INTERNET应用的需要；满足不同的应用服务质量，将是网络规划的一个重要内容。下面，本节将逐项详细的设计。

路有协议选择

因为内部网络是作为一个局域网存在，所有核心，汇聚及接入层都以VLAN的方式来划分子网，因此只需在三层交换机上启用IP ROUTING功能既能满足子网间的通信需求。对于出口的访问则可采用在出口交换机以静态路由的方式将内部网络的网络流量指向出口防火墙即可。

IP地址规划

网络系统的地址规划是网络设计的一个重要环节，根据我们已有项目实施的成功

经验，规划IP地址应充分考虑未来发展的需要，统一规划、长远考虑、分片分块分配的原则。

根据内部网络的规模，子网根据部门及科室划分清晰的特性，以及未来地址扩展的趋势，建议IP地址应采用公网保留的C类地址中的私有地址192.168.0.0到192.168.255.255，在网络出口采用NAT地址转换，实现与Internet合法地址互连，并采用相应的合法地址用于公网访问内部网络的各种授权开放信息。

网络系统IP地址的划分原则如下：

（1）唯一性：IP地址必须唯一，一个IP地址对应一台数据通信设备；

（2）连续性：为同一网络区域分配连续的网络地址，原则上一个VLAN一个C类网段，这样便于规划，同时提高路由器寻径效率；

（3）可扩充性：分配地址应预留一定量的备用地址块，以便网络节点增加后能保持地址的连续性；

（4）可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其他部分；

（5）高效性：综合网采用可变长子网掩码技术，要求采用支持可变长子网掩码技术的TCP/IP协议族；

（6）合法IP地址段由客户从互联网运营商申请；

（7）内部网络使用私有保留，考虑到将来网络的规模不断扩大，建议采用192.168.X.X的私有保留地址块，可按VLAN子网来划分，并遵循IP地址规划原则，进行统一分配。

2．接入层

接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。

楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。

3．出口

因为校园网出口采用以太网，所以采用路由器 + 防火墙的方式，起到如下作用：防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。

（二）网络架构设计

基于目前学校规模及发展的角度考虑，骨干网络采用单核心双引擎或双核心单引擎的拓扑结构，保证核心的稳定；在行政楼采用万兆的三层汇聚设备，千兆连接接入交换机；服务器千兆接入到核心交换机上；百兆到桌面；

为了以后扩展的需要，所以采用RG-WALL 1000防火墙，并将校内的对外服务

器与防火墙的DMZ区相连，保证良好的安全性；同时双核心时做VRRP，防火墙双百兆连接核心，单百兆连接Internet；

出于管理和安全方面角度考虑，在全网可采用IP+MAC绑定方式，全网分布式采用ACL，并按照部门划分VLAN，划分相应的权限，保证学生机房用机对教学办公网没有访问权限，只能访问校内服务器及外网；

IP分配：在办公区采用静态IP划分，在学生区及移动性较大的办公区可补充性采用DHCP动态获得IP地址。

（三）扩展的考虑

备份线路带宽扩展：在未来升级考虑中，可将核心与汇聚间千兆备份线路带宽升级至10G带宽，以提高备份线路的连接带宽。

实训楼交换机可扩充为96个千兆口，拥有很强的接入扩展功能。

（四）网络VLAN的设计