毕业设计（论文）校园网网络中心机房网络设备的设计与实现

广广 东东 交交 通通 职职 业业 技技 术术 学学 院院计算机网络技术专业毕业设计报告书题目：校园网网络中心机房网络设备的设计与实现开题日期 2011 年 9 月 26 日设计期限 2011 年 9 月 26 日起 2011 年 11 月 20 日止答辩日期 2011 年 11 月 20 日班 级： 09 网络技术四班 组成员： 院 系： 计算机工程学院 指导老师 前言前言随着近年来校园信息化建设的深入，校园的运作越来越融入计算机网络，校园的沟通、应用、财务、决策、会议等等数据流都在校园网络上传输，构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型校园网络已经成为校园信息化建设成功的关键基石。校园网是一个宽带、且有交互功能和专业性很强的局域网络。它为学院师生提供教学、科研和综合信息服务起了重要的作用。如多媒体教学软件开发平台、多媒体演示教室、老师系统、电子阅览室以及教学、考试资料库等。在校园网中，主要的网络设备都集中在网络中心机房里。如用于核心层的三层交换机，用于汇聚层的三层交换机，还有各种服务器，如 DHCP 服务器、DNS 服务器、FTP 服务器、WEB 服务器、Email 服务器，以及防火墙等等。网络中心机房连接着各个学院的学生宿舍楼宇和学校行政楼宇，以及与外界联系。它担当着所有数据的传输、转发、分类汇总以及流量控制等等功能。校园网的实现即方便了教师的日常教学和与学生的日常交流，也方便了教师与学生的日常娱乐生活。因而网络中心机房的网络设备选择以及配置好不好，直接影响到整个学院的网络是否正常运行以及网络安全。针对这一问题，下面我们五人小组将详细分析介绍网络中心机房的规划与实现。目录一、项目概要-41、项目概括-42、总体目标-43、设计原则-4二、网络系统设计 -61、网络主干技术 -6（1）现有技术分析.6（2）主干技术选择.72、网络拓扑设计 -73、网络拓扑分析 -84、VLAN 规划-95、IP 规划-106、网络设备的选择 -18（1）接入层交换机.18（2）汇聚层交换机.20（3）核心层交换机.23（4）边界路由器.267、网络设备配置-28（1）边界路由器配置.28（2）核心交换机配置.30（3）汇聚层配置.32三、网络安全 -381、防火墙-382、入侵检测（IDS） -41四、应用服务器-51需求分析 -511） 、FTP服务需求分析 .512） 、WEB服务需求分析.533） 、DHCP服务需求分析.554） 、DNS服务需求分析.575） 、EMAIL服务需求分析 .606） 、存储配置.63五、项目设计总结-641、网络设备列表-642、投资分析 -64投资概述.643、投资可行性分析 -65（1）项目投资.65（2）项目收益.664、总结-66一、一、项目概要项目概要1 1、项目、项目概括概括广东交通职业技术学校是一所省教育厅主管、行业特色鲜明、工科专业为主的综合性高职院校，用地面积 300 多亩，学校有着多个建筑楼群包括行政楼、校友楼、图书管、教学楼、宿舍楼等等，建筑面积 20 多万平方米。本方案旨在为广东交通职业技术学校的校园网的网络中心机房作一个详细的规划。通过结合学校的实际情况，分析校园网络中心机房建设的目标、设计原则、网络中心机房设备的选择与配置、应用服务器的设计与配置、网络安全设计等，然后进一步讨论网络拓扑图的设计结构、VLAN 的划分、IP 地址的分配等。在网络设备的选择上，按校园网所需的功能来决定网络结构中各层所需的设备，然后再从设备本身的可扩展性、性价比高低等方面考虑。本方案中将对所选择的设备的性能参数一一列表出来。另设备的配置代码也会全列举出来。这样在设备这一方面便能一目了然。2 2、总体目标、总体目标随着近年来学校信息化建设的深入，学校的运作越来越融入计算机网络，且随着国家科教兴国，要求“实施全面素质教育”的教育理念不断推行下，现代信息技术正向高校教学、科研、管理等方面的每一个环节渗透，这将有效改变传统的教学模式，并大幅度提高教育资源的利用效率。广东交通职业技术学园响应国家与社会的要号召，积极推动学校信息化基础设施建设。努力将学校建设成为一个信息化时代下的高水平的智能化、数字化校园，从而为学校的教育信息化打下坚实的基础。校园网的建设与实现主要是依靠网络中心机房的建设，根据校园的网络建设与网络应用的实际情况，主要实现以下建设总体目标：（1）建设数字化校园，为学校计算机工程学院、公路学院、物流学院、汽车学院、城轨学院这五大学院以及各个部门提供快捷有效的信息服务、提供良好的通信环境。（2）建立多种服务器。如：DHCP 服务器、DNS 服务器、邮件服务器、FTP 服务器、WEB 服务器，主要用于方便教学和师生日常的上网娱乐以及资源下载。（3）为校园创造一个安全、高效、便捷的教学环境、科研环境和生活环境3 3、设计原则、设计原则1) 实用性实用性校园网设计应能满足学校目前对网络应用的要求，如本方案中建立的 FTP 服务、邮件服务、WEB 服务等应用服务充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。满足管理职能的需求，为提高管理决策的及时性和准确性提供高质量的信息服务，增强对运行的协调和监控能力。2) 先进性先进性在校园网络建设过程中，使用三层结构，即采用万兆主干、千兆汇聚、百兆接入的网络结构。在网络设备上，由于现在计算机技术的发展十分迅速，更新换代周期越来越短，因而在选择设备时，要充分注意其设备的先进性，既能满足当前院校对网络的应用与安全的需求，又可以在将来需要扩展的时候，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。符合计算机技术发展趋势，采用先进成熟的技术，坚持技术的开发性，易于技术更新。在此项目中，我们主要采用了现行企业用得比较广泛的锐捷网络设备。3) 可扩展性可扩展性系统应是可扩展的，以便将来有更大需求时，容易将设备安装进去。系统规模及档次要易于护，可以方便地进行设备扩充和适应工程的变化，以及灵活地进行软件版本的更新和升级，保护学生用户的个人信息。由于信息技术和人们对新技术的需求发展都非常迅速，为了解决由于学校扩展招生等这类的问题，应该选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加设备，而是需要增加一定数量的模块就行。4) 灵活性灵活性采用了热备份协议，让设备的自行启用备份功能处理故障带有灵活性。采用结构化模块化的设计形式，满足系统及用户各种不同的应用要求，适应学校扩招调整变化。5) 安全性与保密性安全性与保密性校园骨干网络为多个用户内部网提供互连并支持多种服务，要求能进行灵活有效的安全控制，同时还应支持虚拟专网，以提供多层次的安全选择。在系统设计中，考虑信息资源的充分共享，注意信息的保护和隔离。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。本方案采用的锐捷网络设备充分考虑安全性，针对的各种应用，有多种机制，如划分VLAN、IP/MAC 地址绑定（过滤） 、ACL 访问控制列表、IDS 防入侵攻击，以及采用思科的网络设备作为防火墙，过滤不良信息等技术提升整个网络的安全性6) 综合性综合性对于网络设备功能的了解与选择是整个项目可行性的重要内容之一。它即要满足整个校园网的正常运行，以及能与外界保持联系，满足用户要求，又要便于系统维护，以及系统二次开发与移植。基于以上原则，我们所选择的网络设备具有以下特点：在满足设计方案的功能要求的前提下，还应具有高度的可扩展性，能够为未来的用户可能出现的功能需求提供可能性。采用国标统一标准，以拥有广泛的支持厂商，最大限度的采用同一品牌的产品。出于对用户现有网络的平滑过度，在能够实现网络与虚网络连接的前提下，使公司现有陈旧设备尽量保持较好的利用价值。二、二、网络系统设计网络系统设计1 1、网络主干技术、网络主干技术（1 1）现有技术分析）现有技术分析传统的网络技术存在的局限性很大，限制了计算机能力的发挥。传统的网络技术采用的是网络上所有的站点共享一条公共的通道的方式进行操作，也就是共享访问链路的方式；即多台计算机使用粗同轴电缆为共享介质进行连接，无论哪一台主机发送数据，其余的所有主机都能收到。因此当多台计算机同时发送数据时它们的数据信号就会在信道内发生碰撞，互相干扰，使信号变成不能识别的垃圾，为了解决这样的问题，当数据信号在信道内发生冲突时，遵循 CSMA/CD（多路载波侦听/冲突检测)协议。但是传统的网络技术依然存在着一定的局限性。因此，为了解决网络中出现的种种问题，以太网交换技术，快速以太网技术，千兆以太网以及 ATM 技术，这些用于提高网络性能的先进的网络技术先后出世了。1) 交换式以太网交换式以太网随着网络的使用越来越广泛，网络上需要传输的数据越来越多，多媒体应用不断地吃掉带宽，人们迫切需要一个更快速的 LAN,于是 20 世纪 90 年代初，交换式以太网被设计出来。这种网络在近几年运用的非常广泛。交换式以太网是以交换式集线器或交换机为中心构成，是一种星型拓扑结构的网络。简称为交换机为核心设备而建立起来的一种高速网络。 这种系统的核心是一个交换机。交换机具有多个连接器，每个连接器有一个10BASE-T 双绞线接口，可以连接一台主机。交换机还具有一块高速的底板，用于在连接器之间高速传输数据。 交换式以太网可在高速与低速网络间转换，实现不同网络的协同。目前大多数交换式以太网都具有 100MBPS 的端口，通过与之相对应的 100MBPS 的网卡接入到服务器上，暂时解决了 10MBPS 的瓶颈，成为网络局域网升级时首选的方案。2) 快速以太网技术快速以太网技术快速以太网与原来在 100Mbps 带宽下工作的 FDDI 相比它具有许多的优点，最主要体现在快速以太网技术可以有效的保障用户在布线基础实施上的投资，它支持3、4、5 类双绞线以及光纤的连接，能有效的利用现有的设施。快速以太网可以满足日益增长的网络数据流量速度需求。3) 千兆以太网技术千兆以太网技术千兆以太网是建立在以太网标准基础之上的技术。千兆以太网和大量使用的以太网与快速以太网完全兼容，并利用了原以太网标准所规定的全部技术规范，其中包括CSMA/CD 协议、以太网帧、全双工、流量控制以及 IEEE 802.3 标准中所定义的管理对象。同 100M 位以太网一样,千兆位以太网使用与 10M 位以太网相同的帧格式和帧大小,以及相同的 CSMA/CD 协议。这意味着广大的以太网用户可以对现有以太网进行平滑的、无需中断的升级,而且无需增加附加的协议栈或中间件。同时,千兆位以太网还继承了以太网的其它优点,如可靠性较高,易于管理等。 4)4) ATMATM 技术技术随着用户对网络带宽与对带宽高效、动态分配需求的不断增长；用户对网络实时应用需求的提高；网络的设计与组建进一步走向标准化的需要，促进了 ATM 技术发展。ATM 是一种传输模式，ATM 交换速率大大高于传统的数据网，它简化了交换过程，去除了不必要的数据校验，采用易于处理的固定信元格式。另外，对于如此高速的数据网，ATM 网络采用了一些有效的业务流量监控机制，对网上用户数据进行实时监控，把网络拥塞发生的可能性降到最小。然而，在实际需求以及兼容性方面，ATM 技术仍然存在着很多的问题。（2 2）主干技术选择）主干技术选择 通过对以上技术的介绍和分析，可以得出结论，适合广通交通职业技术学院的有如下技术：千兆以太网技术千兆以太网技术千兆以太网的所有配置都是点到点的，每根以太网电缆都恰好只能连接 2 个设备，而且千兆以太网支持两种不同的操作模式，即全双工模式和半双工模式。千兆以太网一方面为了保持从标准以太网、快速以太网到千兆以太网的平滑过渡，另一方面又要兼顾新的应用和新的数据类型。它既支持双绞线，也支持光纤。当运行于双绞线上时，称为 1000BASE-T，运行于光纤上时，根据使用的光纤规格不同，有 1000BASE-SX（多模光纤，最大段距离 550m)和 1000BASE-LX（单模或者多模光纤，最大段距离 5000m)两种。目前，千兆以太网已经发展成为主流网络技术。大到成千上万人的大型企业，小到几十人的中小型企业，在建设企业局域网时都会把千兆以太网技术作为首选的高速网络技术。2 2、网络拓扑设计、网络拓扑设计（1）设计思想 本方案采用星型网络拓扑结构。网络中心机房设计在学校的 12 号楼，其它各学院的楼宇再与网络中心机房里的设备相连。星型网络拓扑结构的优点是结构简单，便于管理（集中式） ，是现行企业里较为流行的一种网络结构。正如刚刚所说的其它楼宇的网络设备均以网络中心机房为中心，并与机房里的设备进行连接。这种拓扑结构是一个中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点设备的性能需要比较高。但不管是哪一种网络拓扑结构都是有一定的缺点的。星型网络拓扑结构的缺点就是每台入网的主机均需与中央处理设备互连，线路的利用率低；中央处理设备需处理所有的服务，负载较重；在中央处理设备处会形成单点故障，中央处理设备的故障将导致网络的瘫痪。（2）拓扑图设计3 3、网络拓扑分析、网络拓扑分析 本方案的网络中心与各学院的楼宇之间用光纤连接，使用三层结构，即采用万兆主干、千兆汇聚、百兆接入的网络结构。服务器是千兆接入到核心交换机上。在核心层两台 RG-S5750P-24GT/12SFP 交换机上，采用端口聚合技术，在逻辑上将两台交换机之间相连的两条物理链路绑定在一起，作为一条链路使用，从而增加交换机之间的带宽，并实现冗余备份的功能。还采用了 OSPF 路由协议，主要是为了解决用户由于地理位置发生变化所引起的网络路径的变化，产生上网速度变慢和费流量的问题。还采用了划分 VLAN，减少网络数据传输过程中所引起的网络广播风暴，提高网络传输效率和网络安全性。 在边界路由器 RG-R2690 路由器上，采用了 VPN 技术，有效地解决了当用户不在学校却需要使用学校资源时，通过 VPN 技术拨号登录校园网。同时也可以解决学校不同校区之间的联系问题。 在汇聚层上，本方案采用有五台 RG-S3760-24 交换机，在每台 RG-S3760-24 交换机上，都采用有快生成树协议，主要是为了解决 RG-S3760 交换机与两台核心交换机之间相连时所产生的交换环路问题。还采用了 DHCP 中继代理技术，主要是为了解决由于学校上网用户多而同时向主 DHCP 服务器索取 IP 地址时的负担，以及学校用户数量调整变化产生的上网问题。 在服务器上，本方案设计有五大服务器，如：FTP 服务器、DHCP 服务器、DNS 服务器、WEB 服务器、邮件服务器。各服务器都是用千兆双绞线接入到核心交换机上的。FTP 服务器上存放着各学院各专业的学习资料和相应软件，师生可以根据自己的需要上传或下载自己所需；DHCP 服务器和 DNS 服务器是方便校园内部网络可以自动获取IP 地址，以及获得正确的 IP 地址解析；WEB 服务器在网上提供学校主页等服务，包括学校简介、校园新闻、校报、招生信息以及校内联系电话号码和电子邮件地址查询等；邮件服务器则为了方便师生之间的交流，以及与校外的朋友联系。 在安全上，本方案采用现行企业用得较多的思科 ASA5520-BUN-K9 路由设备。为了避免一些常见病毒的入侵，本方案在网上查找了大量的病毒常用入侵端口，并配置了访问控制列表 ACL，提高校园网的网络安全。4 4、VLANVLAN 规划规划 根据学校不同楼宇的工作性质的不同，以及出于安全性等需要，将用户划分至不同的虚拟局域网，以隔离广播域，减小广播量，节约带宽，提高网络传输效率和网络安全性。本方案将进行 VLAN 的详细规划，方便进行组织和管理。 广东交通职业技术学院南校区只有一级公寓和一些办公楼宇才有网线接入，需要设置信息点。现采用以宿舍为单位划分 VLAN，每个宿舍的人数为 4 到 6 人，采用子网掩码为 28 位的 IP 地址。校园网各楼宇的 VLAN 的划分是在接入层 RG-S1826T 交换机上进行。对于宿舍楼宇，如 A 栋的各层楼的各个宿舍都划分一个 VLAN；对于办公楼宇和教学楼宇，如 1 号楼和 2 号楼，一个办公室作为一个信息点，并为每一个信息点划分一个 VLAN。VLAN 与 RG-S1826T 交换机的端口一一配对。另对于校园网的服务器群的VLAN 的划分是在核心交换机 RG-S5750P-24GT/125FP 上进行，并统一划分为相同的VLAN。（由于学校楼宇较多，现不一一列举所有楼宇的 VLAN 划分，VLAN 命名规则是楼号+层号+各宿舍号的最后一位数）楼宇号楼层VLAN第 1 层3810138117A 栋第 2 层3820138235第 3 层3830138335第 4 层3840138435第 5 层3850138535第 6 层3860138635第 7 层3870138735第 8 层3880138817楼宇号楼层VLAN第 1 层21第 2 层22第 3 层23第 4 层24第 5 层252 号楼第 6 层26楼宇号楼层VLAN第 1 层91第 2 层92第 3 层93第 4 层949 号楼第 5 层95第 1 层101第 2 层102第 3 层103第 4 层10410 号楼第 5 层105服务器名称VLANFTP 服务器3DHCP 服务器3DNS 服务器3WEB 服务器3邮件服务器3防火墙35 5、IPIP 规划规划（1 1）IPIP 需求需求 广东交通职业技术学院拥有学生宿舍、老师宿舍、教学楼、实训楼、图书馆、行政楼、校友楼等共 27 栋楼宇。为了保证网络通信的畅通性与安全性，现在对整个网络进行 IP 划分，以便网管可以方便统一管理。宿舍楼宇教学、办公、实训、校友楼宇楼宇号信息点数楼宇号信息点数A256110B96245C168925E15610253501120450122205501320650142075015485016101970254020702822450307图书馆250注：一个宿舍为一个信息点。如 A 号楼有 256 个宿舍，所以有 256 个信息点数。（2 2）网段划分原则）网段划分原则 根据每栋楼的信息点数量不同，分别分配一定数量的网段的 IP 地址。分配规则是每栋楼每两百个信息点分配一个网段，低于两百个信息点的直接分配一个网段。若有多出的 IP 地址，则作为备用。另外学生宿舍楼群与教师办公楼群、教师宿舍楼群、校园网服务器群分别用不同的网段。如学生宿舍楼群用 192.168.0.0 网段，教师办公楼群、教师宿舍楼群、校园网服务器群用 172.16.0.0 网段。（3 3）网段划分设计）网段划分设计设备型号：RG-S5750P-24GT/12SFP端口分布IP 地址上联设备（服务器）VLAN IDF0/1172.16.100.1/24DHCP 服务器VLAN 3F0/2172.16.100.2/24DNS 服务器VLAN 3F0/3172.16.100.3/24FTP 服务器VLAN 3F0/4172.16.100.4/24邮件服务器VLAN 3F0/5172.16.100.5/24WEB 服务器VLAN 3F0/6192.168.99.1/24防火墙VLAN 3设备型号：RG-S3760-24上联设备：RG-S5750P-24GT/12SFP上联端口：F0/1汇聚楼宇1-10 栋设备数量1 台设备 IP192.168.1.5/24Default-gateway192.168.1.254/24端口分布IP 地址F0/1172.16.1.12/24F0/2192.168.1.10/24F0/3192.168.1.11/24F0/4192.168.1.13/24F0/5192.168.1.14/24F0/6192.168.1.15/24F0/7192.168.1.16/24F0/8192.168.1.17/24F0/9192.168.1.18/24F0/10192.168.1.19/24F0/11192.168.1.20/24F0/12192.168.1.21/24F0/13192.168.1.22/24F0/14192.168.1.23/24F0/15192.168.1.24/24F0/16192.168.1.25/24F0/17192.168.1.26/24F1/1TRUNK设备型号：RG-S3760-24上联设备：RG-S5750P-24GT/12SFP上联端口：F0/2汇聚楼宇19-20 栋、图书馆、E 栋、28栋、30 栋设备数量1 台设备 IP192.168.1.6/24Default-gateway192.168.1.254/24端口分布IP 地址F0/1192.168.1.27/24F0/2192.168.1.28/24F0/3192.168.1.29/24F0/4192.168.1.30/24F0/5192.168.1.31/24F0/6192.168.1.32/24F0/7192.168.1.33/24F0/8192.168.1.34/24F0/9192.168.1.35/24F0/10192.168.1.36/24F0/11192.168.1.37/24F0/12192.168.1.38/24F0/13192.168.1.39/24F0/14192.168.1.40/24F0/15192.168.1.41/24F0/16192.168.1.42/24F0/17192.168.1.43/24F0/18192.168.1.44/24F0/19192.168.1.45/24F0/20192.168.1.46/24F0/21172.16.1.13/24F0/22172.16.1.14/24F0/23172.16.1.15/24F0/24172.16.1.16/24F1/1TRUNK设备型号：RG-S3760-24上联设备RG-S5750P-24GT/12SFP上联端口F0/3汇聚楼宇24 栋、25 栋、A 栋设备数量1 台设备 IP192.168.1.7/24Default-gateway192.168.1.254/24端口分布IP 地址F0/1192.168.1.47/24F0/2192.168.1.48/24F0/3192.168.1.49/24F0/4192.168.1.50/24F0/5192.168.1.51/24F0/6192.168.1.52/24F0/7192.168.1.53/24F0/8192.168.1.54/24F0/9192.168.1.55/24F0/10192.168.1.56/24F0/11192.168.1.57/24F0/12192.168.1.58/24F0/13192.168.1.59/24F0/14192.168.1.60/24F0/15192.168.1.61/24F0/16192.168.1.62/24F0/17192.168.1.63/24F0/18192.168.1.64/24F0/19192.168.1.65/24F0/20192.168.1.66/24F0/21192.168.1.67/24F0/22192.168.1.68/24F1/1TRUNK设备型号：RG-S3760-24上联设备：RG-S5750P-24GT/12SFP上联端口：F0/4汇聚楼宇B 栋、C 栋设备数量1 台设备 IP192.168.1.8/24Default-gateway192.168.1.254/24端口分布IP 地址F0/1192.168.1.69/24F0/2192.168.1.70/24F0/3192.168.1.71/24F0/4192.168.1.72/24F0/5192.168.1.73/24F0/6192.168.1.74/24F0/7192.168.1.75/24F0/8192.168.1.76/24F0/9192.168.1.7724F0/10192.168.1.78/24F0/11192.168.1.79/24F0/12192.168.1.80/24F0/13192.168.1.81/24F0/14192.168.1.82/24F0/15192.168.1.83/24F0/16192.168.1.84/24F0/17192.168.1.85/24F0/18192.168.1.86/24F0/19192.168.1.87/24F0/20192.168.1.88/24F0/21192.168.1.89/24F0/22192.168.1.90/24F0/23192.168.1.91/24F0/24192.168.1.92/24F1/1TRUNK设备型号：RG-S3760-24上联设备：RG-S5750P-24GT/12SFP上联端口：F0/5汇聚楼宇11-16 栋设备数量1 台设备 IP172.16.1.17/24Default-gateway172.16.1.254/24端口分布IP 地址F0/1172.16.1.18/24F0/2172.16.1.19/24F0/3172.16.1.20/24F0/4172.16.1.21/24F0/5172.16.1.22/24F0/6172.16.1.23/24F0/7172.16.1.24/24F0/8172.16.1.25/24F0/9172.16.1.26/24F0/10172.16.1.27/24F0/11172.16.1.28/24F0/12172.16.1.29/24F0/13172.16.1.30/24F0/14172.16.1.31/24F0/15172.16.1.32/24F0/16172.16.1.33/24F0/17172.16.1.34/24F1/1TRUNK服务器服务器名称IP 地址对外 IP 地址VLAN IDDHCP 服务器172.16.100.10200.200.41.1/283DNS 服务器172.16.100.11200.200.41.2/283FTP 服务器172.16.100.12禁止访问3邮件服务器172.16.100.13禁止访问3WEB 服务器172.16.100.14200.200.41.3/283路由器设备型号：RG-R2690端口分布IP 地址上联设备S1/1200.200.41.4/28INTERNETF1/1192.168.1.1/30ASA5520-BUN-K9S1/1200.200.41.5/28INTERNETF1/1192.168.1.2/30ASA5520-BUN-K9防火墙设备型号：思科 ASA5520-BUN-K9管理 IP172.16.101.1/24端口分布IP 地址上联设备F0/1192.168.1.3/30RG-R2690F0/2192.168.1.4/30RG-S5750P-24GT/12SFPF0/3192.168.1.5/30RG-R2690F0/4192.168.1.6/30RG-S5750P-24GT/12SFPF0/5172.16.100.6/24DMZ 区设备型号：RG-S1826T设备总数量：14 台楼宇号端口分布网段VLAN 划分楼层/设备数量F0/1-24192.168.1.0/243810138122第 1 层/1 台F0/1-23F0/1-12192.168.2.0/243820138235第 2 层/2 台F0/1-23F0/1-12192.168.3.0/243830138335第 3 层/2 台F0/1-23F0/1-12192.168.4.0/243840138435第 4 层/2 台F0/1-23F0/1-12192.168.5.0/243850138535第 5 层/2 台F0/1-23F0/1-12192.168.6.0/243860138635第 6 层/2 台A 栋F0/1-23192.168.7.0/243870138735第 7 层/2 台F0/1-12F0/1-23192.168.8.0/243880138817第 8 层/1 台设备型号：RG-S1826T设备总数量：17 台楼宇号端口分布网段VLAN 划分楼层/设备数量1 栋F0/1-21192.168.9.0/24101110第 1 层/1 台F0/1-23第 1-4 层/1 台2 栋F0/1-22192.168.10.0/24201245第 5-9 层/1 台F0/1-25第 1-3 层/1 台3 栋F0/1-25192.168.11.0/24301350第 4-5 层/1 台F0/1-25第 1-3 层/1 台4 栋F0/1-25192.168.12.0/24401450第 4-5 层/1 台F0/1-25第 1-3 层/1 台5 栋F0/1-25192.168.13.0/24501550第 4-5 层/1 台F0/1-25第 1-3 层/1 台6 栋F0/1-25192.168.14.0/24601650第 4-5 层/1 台F0/1-25第 1-3 层/1 台7 栋F0/1-25192.168.15.0/24701750第 4-5 层/1 台F0/1-25第 1-3 层/1 台8 栋F0/1-25192.168.16.0/24801850第 4-5 层/1 台9 栋F0/1-25192.168.17.0/27901925第 1-5 层/1 台10 栋F0/1-25192.168.18.0/2710011025第 1-5 层/1 台设备型号：RG-S1826T设备总数量：21 台楼宇号端口分布网段VLAN 划分楼层/设备数量F0/1-24第 1-2 层/1 台F0/1-24第 3-4 层/1 台19 栋F0/1-24192.168.19.0/2519011970第 5-6 层/1 台F0/1-24第 1-2 层/1 台F0/1-24第 3-4 层/1 台20 栋F0/1-24192.168.20.0/2520012070第 5-6 层/1 台F0/1-24F0/1-24F0/1-24F0/1-24F0/1-24192.168.21.0/2322012204第 1-4 层/5 台F0/1-24F0/1-24F0/1-24F0/1-24F0/1-24F0/1-24图书馆F0/1-24192.168.22.0/232205第 5 层/10 台F0/1-24F0/1-24F0/1-24设备型号：RG-S1826T设备总数量：7 台楼宇号端口分布网段VLAN 划分楼层/设备数量F0/1-24192.168.46.0/243610136123第 1 层/1 台F0/1-24F0/1-24192.168.47.0/243620136248第 2 层/2 台F0/1-24F0/1-24E 栋F0/1-24192.168.48.0/243630136348第 3 层/2 台28 栋F0/1-24192.168.49.0/2428012802第 1-3 层/1 台F0/1-24192.168.50.0/2430101130103第 1-4 层/1 台F0/1-24192.168.51.0/243020130303第 5-7 层/1 台30 栋F0/1-24192.168.52.0/2430301第 8-10 层/1 台设备型号：RG-S1826T设备总数量：10 台楼宇号端口分布网段VLAN 划分楼层/设备数量F0/1-18F0/1-17192.168.23.0/252410124120第 1 层/2 台F0/1-18F0/1-17192.168.24.0/252420124220第 2 层/2 台F0/1-18F0/1-17192.168.25.0/252430124320第 3 层/2 台F0/1-2024 栋F0/1-15192.168.26.0/252440124420第 4-5 层/2 台F0/1-252510125120第 1-3 层/1 台25 栋F0/1-25192.168.27.0/252520125220第 4-6 层/1 台设备型号：RG-S1826T设备总数量：17 台楼宇号端口分布网段VLAN 划分楼层/设备数量11 栋F0/1-20192.168.28.0/2720第 1-4 层/1 台13 栋F0/1-20192.168.29.0/2720第 1-4 层/1 台14 栋F0/1-20192.168.30.0/2720第 1-4 层/1 台15 栋F0/1-20192.168.31.0/274第 1-4 层/1 台F0/1-20192.168.32.0/271610116103第 1-3 层/1 台F0/1-20192.168.33.0/271620116203第 4-6 层/1 台F0/1-20192.168.34.0/271630116302第 7-9 层/1 台16 栋F0/1-20192.168.35.0/271640116402第 10-11 层/1 台F0/1-20192.168.36.0/271210112120第 1-5 层办公室/1台12 栋F0/1-25192.168.37.0/2712201122100第 3 层实训室/4F0/1-25F0/1-25F0/1-25台F0/1-25F0/1-25F0/1-25F0/1-25192.168.38.0/2712301123100第 4 层实训室/4台设备型号：RG-S1826T设备总数量：6 台楼宇号端口分布网段VLAN 划分楼层/设备数量F0/1-21192.168.39.0/24101111第 1 层/1 台F0/1-23F0/1-12192.168.40.0/24201217第 2 层/2 台F0/1-23F0/1-12192.168.41.0/24301317第 3 层/2 台F0/1-23F0/1-12192.168.42.0/24401417第 4 层/2 台F0/1-23F0/1-12192.168.43.0/24501517第 5 层/2 台F0/1-23B 栋F0/1-12192.168.44.0/24601617第 6 层/2 台设备型号：RG-S1826T设备总数量：6 台楼宇号端口分布网段VLAN 划分楼层/设备数量F0/1-21192.168.45.0/24101118第 1 层/1 台F0/1-23F0/1-12192.168.46.0/24201230第 2 层/2 台F0/1-23F0/1-12192.168.47.0/24301330第 3 层/2 台F0/1-23F0/1-12192.168.48.0/24401430第 4 层/2 台F0/1-23F0/1-12192.168.49.0/24501530第 5 层/2 台F0/1-23C 栋F0/1-12192.168.50.0/24601630第 6 层/2 台6 6、网络设备的选择、网络设备的选择（1 1）接入层交换机）接入层交换机需求分析需求分析 接入层为用户提供多网络本地网段的访问，它的主要作用是将工作组与汇聚层连接起来，主要完成逻辑网络分段、基于工作组或 lan 隔离广播通信量以及多个 cpu 之间分布服务。 接入层设备位于网络的末端，对下提供对工作站的接入，对上连接到汇聚层交换机。接入层设备提供各种标准接口数据接入到网络中，完成基于业务系统之间的隔离和安全性控制、认证管理等功能。在选择接入层交换机时，应着重考虑以下几点：A 提供各种不同数量的百兆端口到用户，提供千兆或 1gbps（电口、光口）上行端口到上层交换机；B 高性能，低成本，所有端口支持全速二层交换；C 支持标准以太网协议，支持丰富的业界标准，充分考虑兼容现有网络设备；D 网络设备可扩展性好，可平滑升级；E 支持丰富的业务特点，如 vlan、vlan trunk、链路聚合、端口镜像、qos 多播、安全特性等;基于以上的一些需求分析后，我组在接入层交换机选择中选取锐捷交换机RG-S1836T交换机交换机 RG-S1836T 的优点如下：的优点如下：千兆高速上行千兆高速上行除 24 个 10/100Mbps 的自适应 RJ45 端口之外，还带有 2 个固化以太网铜缆千兆 RJ-45交换端口，所有端口可以根据连接的设备，自动将连接速度和工作模式调整到需要的方式，可为用户提供网络高速访问能力。超高速背板带宽超高速背板带宽采用高性能交换芯片，高达 9.6Gbps 的背板带宽可保证高流量负载环境下，所有端口全线速无阻塞传输，满足接入层或汇聚层高流量数据转发要求，亦可直接作为小型网络的核心设备。高效高效 SRAM 提高交换效率提高交换效率内建高效 SRAM 数据缓存及集成地址搜寻引擎，各端口动态分配 SRAM 数据缓存，有效提高数据交换效率。病毒广播风暴抑制病毒广播风暴抑制 采用特殊的异常广播数据包抑制技术，实时监控并抑制端口异常流量，避免因网络病毒泛滥攻击而造成整个网络瘫痪，有效保证整网正常运行。流量控制保障数据稳定传输流量控制保障数据稳定传输 支持半双工模式下的背压（Back-pressure）流量控制和全双工模式下的 IEEE802.3x 流量控制功能，可保障在大流量数据峰值稳定交换，而不会因过度负担而导致网络瘫痪。设备详情设备详情设备需求锐捷网络 RG-S1826T基本参数基本参数产品型号RG-S1826T产品类型二层,非网管型交换机,SOHO 交换机传输方式存储转发方式背板带宽9.6bps包转发率10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps外形尺寸22044044mm 硬件参数硬件参数接口类型10/100BASE-TX 端口,10/100/1000BASE-T 端口,RJ45接数目26 口传输速率10M/100M/1000Mbps模块化插槽数0堆叠不可堆叠网络与软件网络与软件支持网络标准IEEE 802.3,IEEE 802.3u,IEEE802.3,IEEE 802.3abVLAN 支持无 VLAN 功能网管功能无网管功能是否支持全双工支持全双工MAC 地址表8k其它参数其它参数电源电压AC 180-240V,48Hz-60Hz最大功率19W（2 2）汇聚层交换机）汇聚层交换机需求分析需求分析汇聚层是下将接入层交换机的数据进行汇聚，对上通过高速接口将数据传输的核心交换机上，起到承上启下的作用。另外汇聚层设备要进行 vlan 之间的通信，因此一般为支持三层或三层以上的多层交换设备。因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。在选择汇聚层交换机时，应着重考虑以下几点：A 汇聚层设备要有足够的带宽； B 具有三层和多层交换特性； C 具有灵活多样的业务能力； D 必须具有冗余和负载均衡能力； E 支持三层交换 F 对上连接提供多种千兆端口 G 模块化组网 H 支持丰富的二层协议 I 完善的安全机制 J 丰富的 qos 支持 0 K 实用方便的网管能力基于以上的一些需求分析后，我组在汇聚层交换机选择中选取锐捷交换机RGS3760-24.交换机交换机 RG-S3760-24 的优点如下：的优点如下：高性能高性能 IPv4/IPv6 双栈协议多层交换双栈协议多层交换高背板带宽为所有的端口提供非阻塞性能；硬件支持 IPv4/IPv6 双协议栈多层线速交换，硬件区分和处理 IPv4、IPv6 协议报文，支持多种 Tunnel 隧道技术（如手工配置隧道、6to4 隧道和 ISATAP 隧道等等，可根据 IPv6 网络的需求规划和网络现状，提供灵活的 IPv6 网络间通信方案；双协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝地升级为下一代 IPv6 方案；丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需要；基于 LPM 硬件路由转发方式使得 RG-S3760 系列不仅适用于大型网络环境，而且可防御各种网络病毒的侵袭，保障所有报文线速转发，有效保证了设备的安全性。灵活完备的安全控制策略灵活完备的安全控制策略 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防 Dos 攻击、防黑客 IP 扫描机制、端口 ARP 报文的合法性检查、多种硬件 ACL 策略等，还网络一片绿色；业界领先的硬件 CPU 保护机制：特有的 CPU 保护策略（CPP 技术），对发往 CPU 的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU 不被非法流量占用、恶意攻击和资源消耗，保障了 CPU 安全，充分保护了交换机的安全；硬件实现端口或交换机整机与用户 IP 地址和 MAC 地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；专用的硬件防范 ARP 网关和 ARP 主机欺骗功能，有效遏制了网络中日益泛滥的 ARP网关欺骗和 ARP 主机欺骗的现象，保障了用户的正常上网；SSH（Secure Shell）和 SNMPv3 可以通过在 Telnet 和 SNMP 进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间 ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。高可靠性高可靠性支持生成树协议 802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；支持 VRRP 虚拟路由器冗余协议，有效保障网络稳定；支持 RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接 Hub等设备形成的环路而导致网络故障的现象。方便易用易管理方便易用易管理 RG-S3760-24 灵活复用的千兆接口形式，可灵活满足需要多个千兆链路上链、或多个千兆服务器的连接，方便用户灵活选择和网络扩展；RG-S3760-12SFP/GT 的 SFP 和电口任意选用的架构设计，可选配多种规格千兆接口模块，支持千兆铜缆、单/多模光纤接口模块的混合配置，支持模块热插拔，极大方便用户灵活配置和扩展网络；网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；Syslog 方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；CLI 界面，方便高级用户配置和使用；Java-based Web 管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。设备详情设备详情设备需求锐捷网络 RG-S3760-24基本参数基本参数产品型号RG-S3760-24产品类型工作组级,四层,可网管型交换机传输方式存储转发方式背板带宽37.6Gbps包转发率9.6Mpps外形尺寸44024044m硬件参数硬件参数接口类型10/100/1000BASE-T 端口,1000Base-X SFP 端口接数目28 口传输速率10M/100M1000Mbps模块化插槽数4堆叠不可堆叠网络与软件网络与软件支持网络标准IEEE802.3,IEEE802.3u,IEEE802.3z ,IEEE802.3x,IEEE802.3ad,IEEE802.1p,IEEE802.1x,IEEE802.3ab,IEEE802.1Q(GVRP),IEEEE802.1d,IEEE802.1w,EEE802.1s,IGMP Snooping v1/v2/v3VLAN 支持支持 VLAN 功能网管功能支持网管功是否支持全双工支持全双工MAC 地址表16k其它参数其它参数电源电压160VAC-240VAC,50Hz-60Hz最大功率51W（3 3）核心层交换机）核心层交换机需求分析需求分析核心层交换机设备需采用高性能的交换芯片以及高性能的网络处理器芯片，要求有极高的系统总吞吐量和背板容量，可支持多个千兆端口。核心层交换机还需要支持链路聚合功能，以确保为汇聚层交换机发送到核心层交换机的流量提供足够的带宽。在选择汇聚层交换机时，应着重考虑以下几点：A 高可靠性 B 大容量密度 C 线速转发性能 D 完善的 qos 功能 E 完善的安全机制 F 强大的业务能力基于以上的一些需求分析后，我组在核心层交换机选择中选取锐捷交换机 RG-S5750P-24GT/125FP.交换机交换机 RG-S5750P-24GT/125FP 的优点如下：的优点如下：高性能高性能 IPv4/IPv6 双协议栈多层交换双协议栈多层交换高背板带宽为所有的端口提供非阻塞性能；丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要，特别是支持 ECMP/WCMP（Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing），确保了各骨干网络链路的充分使用，大大增加了网络传输带宽，而且可以无时延无丢包地备份失效链路的数据传输；硬件支持 IPv4/IPv6 双协议栈多层线速交换，硬件区分和处理 IPv4、IPv6 协议报文，支持多种 Tunnel 隧道技术（如手工配置隧道、6to4 隧道和 ISATAP 隧道等，可根据IPv6 网络的需求规划和网络现状，提供灵活的 IPv6 网络间通信方案；双协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝地升级为下一代 IPv6 方案；基于 LPM 硬件路由转发方式使得 RG-S5750 系列不仅适用于大型网络环境，而且可防御各种网络病毒的侵袭，保障所有报文的线速转发，有效保证了设备的安全性；硬件支持多层线速交换，能够识别二到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的应用流进行不同的策略管理和控制。灵活完备的安全控制灵活完备的安全控制具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防 Dos 攻击、防黑客 IP 扫描等，还网络一片绿色；业界领先的硬件 CPU 保护机制：特有的 CPU 保护策略（CPP 技术），对发往 CPU 的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护 CPU 不被非法流量占用、恶意攻击和资源消耗，保障了 CPU 安全，充分保护了交换机的安全；硬件实现端口或交换机整机与用户 IP 地址和 MAC 地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；保护端口不必占用 VLAN 资源，即可非常方便地隔离用户之间信息互通，充分保护用户信息的安全；支持 DHCP snooping，可只允许信任端口的 DHCP 响应，防止私设 DHCP Server 的欺骗；并在 DHCP 监听的基础上，通过动态监测 ARP 和检查用户的 IP，直接丢弃不符合绑定表项的非法报文，有效防范 ARP 欺骗和用户源 IP 地址的欺骗问题；基于源 IP 地址控制的 Telnet 和 Web 设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；SSH（Secure Shell）和 SNMPv3 确保在 Telnet 和 SNMP 进程中加密管理信息，保证交换机管理信息的安全性，防止黑客攻击和控制设备；控制非法用户接入网络，保证合法用户合理化使用网络，如端口安全、端口隔离、专家级 ACL、时间 ACL、基于应用数据流的带宽限速、多元素绑定等等，满足企业和校园网加强对访问者进行控制、阻止非授权用户通信的需求。高可靠性高可靠性支持生成树协议 802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；支持 VRRP 虚拟路由器冗余协议，有效保障网络稳定；支持 RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，