2023年7月21日发(作者：)

⒈设计一校园网，网络基本需求如下：

1）校区约有15栋教学楼、10栋教工住宅楼、24栋学生宿舍需联入网络，综合布线信息点约为4000个(其中学生网约1700个 );

2）整个网络采取三层结构，主干采取千兆光纤接入、汇聚采用百兆光纤接入、百兆交换到桌面；通过中国教育网（Cernet）接入Internet；教务处和图书馆需要可靠连接，需作冗余接入处理;

3）学校已申请到全局IP段：218.197.16.0—218.197.31.255;

4）为抑制广播风暴、均衡网络数据流量，需采用虚拟网络技术。学校按业务职能划分（校机关、教务处、学工处等）28个，公共机房15个设置成一个VLAN，这样VLAN共有29个;

5）采用防火墙技术，将内外网分开，设置DMZ公共区域，以向内外网提供公共信息的发布;

6）具有WWW、DNS、EMAIL等服务，各系部也分别具有WWW等服务，且与网络

中心不处于同一物理区域，需与网络中心同类服务配置成一个VLAN

7）网内配置数据中心，采取IP SAN存储设计，同时需充分考虑其冗余性和可靠性

8）考虑IP地址不足及网络隔离，需将学生宿舍网及各公共机房设计使用私网IP段

⒉按照基本要求，对些校园网进行详细规划，给出可行的设计方案，包括：

需求分析

拓扑结构

IP地址分配

网络安全方案

冗余备份方案

设备及传输介质选型

综合布线方案

⒊校园网组建方案

3.1详细需求分析：

a校区共有15栋教学楼，10栋教工住宅楼，24栋学生宿舍 这些共有信息点约4000个可以采用三层网络模型结构，其中这些楼房可以作为汇集层，当然这些汇集交换机可不在这些楼房里，可以在网络中心或其他地方。由于网络节点数目较多可以采用NAT技术减少ip地址的使用

b通过中国教育网（Cernet）接入Internet，主要优点有:为访问湖北师范学院校园网提供域名解析，也为湖北师范学院访问教育网提供部分域名解析，同时实现了教育资源的共享。

c教务处和图书馆是高校很重要的部分，教务处和图书馆之间的相互访问要求具有可靠性。即要求实现可靠连接，需作冗余处理。

d用虚拟网络技术采用VLAN实现抑制广播风暴、均衡网络数据流量

⑴公共机房15个设置成一个VLAN

⑵学校按业务职能划分（校机关、教务处、学工处等）28个

⑶同类服务配置成一个VLAN

e网络中心的数据IP SAN存储设计，同时需充分考虑其冗余性和可靠性

f采用私网IP解决IP地址不足及网络隔离

3.2网络拓扑图

中国教育网军事区DMZ千兆防火墙PIX525二层交换设备网络中心机房流量整形网关Cisco 2851资源服务器网络管理平台Billing Gateway图 例GＥ单模光纤HSRPCisco 6509SiGE铜缆Si计费系统服务器Cisco 6509GE单模广域网链路汇聚层汇聚交换机汇聚交换机科技大厦物理楼信息大楼自控大楼图书馆教育大楼化学楼生物楼汇聚层图书馆和教务处实现可靠连接汇聚层………………….接入层教务处交换机

学舍1学舍2

学舍23学舍24教舍1教舍10网络拓扑图

批注：该网络拓扑图没有完全按照各个信息结点的具体位置来规划网络拓扑图

网络拓扑图说明：学生宿舍网络拓扑图如下：

学舍汇聚交换机楼层1楼层寝室NAT路由器寝室NAT路由器寝室NAT路由器寝室NAT路由器寝室NAT路由器

3.3 IP地址分配

计算机公共机房可以直接接入到教育大楼汇聚交换机上公共机房里都是使用的私有 IP的地址

象1318 可以分一个网络号 192.168.*.*/25 将一个机房分为2个子网 每个子网可以有122台机子

要是机房不分子网那么就用192.168.*.*/24 每个机房可以有254台主机

学生宿舍都有一个NAT路由器，采取动态主机配置协议DHCP为每一台计算机分配IP

图书馆和体育楼 IP网络号

218.197.16.0

教育大楼

IP网络号 218.197.17.0

15个公共机房 IP网络号 218.197.18.0 提供给NAT路由器（共计15个），也可以将部分IP分配给其他地方，多余的IP用于以后机房个数的增加，分给给新加的NAT路由器

自控大楼和电子中心 IP网络号 218.197.19.0

物理楼和老年中心 IP网络号 218.197.20.0

信息大厦 IP网络号 218.197.21.0

科技大厦 IP网络号 218.197.22.0

音乐楼和大剧院 IP网络号 218.197.23.0

生物楼 IP网络号 218.197.24.0

文外楼 IP网络号 218.197.25.0

教师宿舍 也主要采取私有IP的地址，当然也可以分配一定量的IP

学校服务器可划到一个网络号里 IP网络号 218.197.25.26.0，也可以不这样分

其他网络号 保留未使用

每一个网络号 可以根据具体情况然后划分子网以节省IP

3.4 VLAN技术的实现

▲ 公共机房15个设置成一个VLAN

▲ 学校按业务职能划分VLAN ▲ 同类服务器配VLAN

配置VLAN要求获得交换机的支持

VLAN技术的实现方法：

ⅰ基于端口

可以将局域网交换机中的几个端口指定成一个VLAN。基于端口规则的VLAN就是一个群组》这类VLAN可以有效的隔离广播数据报文。但依赖于交换机的物理端口，所以无法保证网络站点在整个网络中的移动，另外在跨交换机设置VLAN中，难以保证配置的一致性

ⅱ基于MAC

根据局域网中工作站的MAC划分VLAN

ⅲ基于路由的VLAN的划分

路由协议工作在物理层，工作设备有路由器和交换机（第三层交换机） 允许一VLAN可以跨越多个交换机或一个端口位于多个VLAN中

各个系的web服务器，计算机机房，职能机构可以根据第三种基于路由进行划分

VLAN

3.5设备选型：

核心交换机CISCO6509 共计2个

汇聚交换机 3com3900

楼层交换机 3com3300

计费认证网关 一个

防火墙 PIX55

出口路由器 CISCO2851

服务器 若干

3.6 网络安全方案

⑴选用合适的防火墙和合理配置

⑵采用私网

⑶选用windows 2000操作系统和合理配置，用最小权限获得最多的操作资源的原则进行用户管理 启用本地安全策略等

⑷VLAN设计为局域网内部提供了最大的安全性。各VLAN网段的主机被限定在本网络内部可以自由访问，跨虚拟网段的访问必须通过核心交换机路由，符合访问规则集的数据包才会被转发。而访问规则集由管理员根据安全需求信息制订，任何人都无权获悉。

⑸使用公共子网隔离内部网络和外部网络

3.7 冗余备份

线路冗余：线路聚合提供更高的带宽

设备冗余：多核心交换机 磁盘阵列 提供高可靠性

3.8网络存储技术

采取IP SAN存储设计，有如下优点：

架构更灵活，易于实现；

成本更低，有效保护投资；

技术门槛更低，管理成本更低

3.9传输介质选型

单模光纤 连接两核心交换机 连接核心交换机和汇聚交换机 等

5类线 连接接入交换机和终端 连接管理站 等

3.10综合布线方案 3.10.1汇聚方式及光纤布线

该校园网采用光纤汇聚使核心交换机直接与楼栋的交换机连接，减少因使用区域汇聚交换机而可能出现的设备故障点；同时也减少了网络的层次，提高了网络性能。各楼栋通过单模千兆光纤与位于网络中心核心交换机直接进行连接。

3.10.2学生宿舍楼内综合布线方式

考虑学生宿舍楼环境复杂、存在设备安全隐患和使用环境恶劣，学生宿舍楼采用集中式综合布线（见图二，集中式布线方式）。所有关键设备都集中在每栋楼的配线间，所有信息点都集中在配线间。

3.10.3学生宿舍寝室预布线点数

学生宿舍按每寝室一个实际点位来布设信息点，后期通过在每间寝室加装小型交换机或集线器的方式扩充学生寝室信息点，并采用技术手段实现边缘节点的安全、认证管理，依然能对扩展的终端节点进行基于802.1x协议的安全认证和管理。