校园网络组建毕业论文Word格式.docx

校园网络组建毕业论文Word格式.docx

《校园网络组建毕业论文Word格式.docx》由会员分享，可在线阅读，更多相关《校园网络组建毕业论文Word格式.docx（15页珍藏版）》请在冰豆网上搜索。

二、功能需求分析

2.1总体需求

建立一个基于校园Intranet的信息管理和应用的网络系统，并提供相应的各种服务。

共享网络上各种软、硬件资源，快速、稳定地传输各种信息，并提供有效的网络信息管理手段。

采用开放式、标准化的系统结构，以利于功能扩充和技术升级。

能够与外界进行广域网的连接，提供、享用各种信息服务。

具有完善的网络安全机制。

能够与原有的计算机局域网络和应用系统平滑地连接，调用原有各种计算机系统的信息。

接口尽量灵活、公开以便于将来进行系统扩充及二次开发。

通过持续开发与系统升级，最终将本综合应用系统在WEB上无缝地统一起来，用统一的标准实现完美的一体化。

2.2应用需求

校园网的重要功能包括实现学校管理系统计算机网络化和教育教学手段网络化、多媒体化两大部分。

实际操作时可以根据需求程度不同分阶段实施，由学校方面根据实际情况进行灵活选择。

二、系统设计

3.1校园网组建分析

校园经历一系列改革后，为了进一步提升自身实力，很多高校都开始改建自己的校园，大量新教学楼拔地而其，在新建设的建筑大楼中一般都布有网络线，这给校园组网带来了一定的方便。

不过还有一部分老式的建筑大楼并没有布网络线，如果我们在这里也使用有线网络，不但会带来布线的麻烦，还会影响建筑大楼的美观。

在一所校园内，总有一部分区域是有线网络不能涉及的范围，如果强行布置有线网，后果非常严重。

所以，在上面提到的这些地方需要布置无线局域网，才能让整个校园都被网络覆盖。

当然我们也不能在一所高校内全部布置无线局域网，毕竟无线局域网的数据传输速度较慢，并不适合一些高带宽业务的处理。

因此，一所校园的校园网应该是一个有线、无线网络的有机结合。

3.2设备的选用

建成一个具有高可靠性和开放性的校园网络，它应支持流行的SNMP等网络管理协议；

采用Internet上的标准协议--TCP/IP协议，提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务，实现与国际互联网的完全接轨；

同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；

采用模块化结构设计，容易升级；

还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。

校园网的组建不光是要有强大的系统功能。

最重要的是要有最先进的安全系统，一个校园网的核心部分在与路由器、防火墙和核心交换机器的选择与配置,拓扑图中的路由器、防火墙和核心交换机构成了校园网的核心，也就是我们平常说的网络中心，网络中心性能的好与坏将直接影响整个校园网的性能和安全,因此，网络中心的组建将是整个校园网组建成败的关键。

路由器处在网络中心的最顶层，它直接与互联网连接，同时内连校园网中的防火墙，所以路由器在校园网中的作用非常重要。

我们在选择适合校园使用的路由器时，要根据校园网的规模来决定。

例如路由器的带机数量，路由器的性能等，这些都要根据校园网的规模来确定。

Cisco827-4V路由器功能完善，复合校园网的需求。

思科827-4V详细参数

产品类型　ADSL路由器

外形尺寸　510×

246×

重量　

硬件参数我要挑错

处理器　MPC855TRISC50MHz

DRAM内存　32MBMB

Flash内存20MBMB

控制端口　RJ45,四个模拟电话（FXS）接口;

Ethernet:

10Mbps;

5REN端口

扩展插槽　无扩展插槽

网络与软件支持协议TCP/IP,PPPoE,NAT,RIP,SNMP,VoIP,FAXoverIP,PAT,RIPv2,IPX,PAP,CHAP,NeTBIOS

网络管理：

支持通过Console口配置,支持WEB网管,支持SNMP管理,CiscoFastStep软件

VPN　支持

QoS　支持

内置防火墙

网络中心的防火墙实在校园网中担当网络防黑的作用，虽然网络中心的路由器也具有防火墙功能，不过路由器的防火墙功能一般都不够强大，因此，校园网中使用防火墙还是有必要。

校园网中的防火墙与普通防火墙有些不同，它不但要防止外来黑客的攻击，还要防止内部学生的恶作剧和限制学生访问非法站点。

防止外来黑客攻击比较复杂，这需要管理员具有较高的专业知识，因为一款防火墙不进行设置，是无法抵御黑客的攻击。

防止校园内学生的恶作剧和限制学生访问非法站点相对来说要简单一些，我们只要好好利用防火墙的MAC地址绑定功能，IP地址过滤，URL过滤等功能，就能为校园网用户提供一个安全的网络环境。

防火墙的性能与功能同样重要，毕竟校园网用户要访问互联网必需经过防火墙，如果防火墙性能比较差，将严重影响校园网性能。

防火墙性能主要根据吞吐量，并发连接数来确定。

我们在选择校园防火墙时，最好选择带VPN功能的防火墙，现在很多高校都有自己的分校，要实现远程分校的网络访问，采用VPN技术是最好的方式。

我考虑学校的机房和多媒体教室很多,采用的是世界领先的CiscoSecurePIX535防火墙。

CiscoSecurePIX535防火墙介绍：

CiscoSecurePIX防火墙535作为世界领先的CiscoSecurePIX防火墙系列的组成部分，该防火墙将静态防火墙和IP安全（IPSec）虚拟专网（VPN）功能与千兆位以太网吞吐量灵活地结合在一起。

PIX535是一种能够提供空前保护能力的通用防火墙设备。

它与PIX操作系统（OS）紧密集成在一起，该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。

PIX535防火墙的核心是基于自适应安全算法（ASA）的一种保护机制，它可以提供面向静态连接的防火墙功能，能够进行50万个同时连接，并同时防止常见的拒绝服务（DoS）攻击。

另外，PIX535还是一种能够通过公网安全传输数据的全功能VPN网关，它支持使用56位数据加密标准（DES）或168位3DES对VPN应用进行站点到站点和远程访问。

PIX535的集成VPN功能可以得到VPN加速卡（VAC）选件的支持，能够提供100Mbps的吞吐量和2000个IPSec隧道。

高可用性通过部署一个冗余的热备用单元来实现，该故障切换选件通过自动静态同步维护了同时连接。

这保证了即使是在系统故障情况下，也能够维护对话，并且保证切换过程对网络用户而言是透明地完成。

另外，PIX535还允许您向交流或直流型号添加可选的冗余、热插拔电源，使其成为一种真正的容错安全设备。

网络中心的核心交换机也是根据校园规模来确定，通常将网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的部分称为分布层或汇聚层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性；

汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。

而将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。

现在学校数一般都比较多，计算机数量也比较多，为了方便管理，这里通常都是采用支持VLAN的三层路由交换机，VLAN功能可以帮助管理员管理校园网络。

CiscoCatalyst3750系列交换机是一款创新交换机，通过将业界领先的易用性和可堆叠交换机的最高永续性相结合，提高了LAN的运行效率，我选择了CiscoCatalyst3750交换机。

CiscoCatalyst3750交换机介绍：

CiscoCatalyst3750系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。

此外，CiscoCatalyst3750系列以千兆位以太网速度提供了使一切顺畅运行的智能服务－其速度甚至达到了普通网速的10倍。

CiscoCatalyst3750系列提高了可堆叠交换机的可用性。

每个交换机既可作为主控制器，也可作为转发处理器运行。

堆叠中的每个交换机都可作为主交换机，为网络控制创建了一个1:

N可用性体系。

万一有一个设备发生故障，其他所有设备会继续转发流量，维持运行。

CiscoCatalyst3750系列支持用于连接和接入控制的全面安全特性集，包括ACL、身份验证、端口级安全性，以及带802.1x和扩展、基于身份的网络服务。

这一全面的特性集不仅有助于防御外部攻击，而且还可保护网络免遭“中间人”攻击，这是当前的一个主要安全问题。

校园网中的服务器主有数据库服务器和代理服务器，数据服务器与代理服务器主要是面向校园网内部用户的服务，对来自Internet的用户服务也很多，主要是对校园网内部用户进行Internet代理服务。

目前，绝大多数校园网都要求内部服务用户通过代理访问Internet，这样内部用户就不能直接访问Internet，同时代理服务器保存着内部用户访问Internet的日志，以作为记费的依据。

由于用户数量非常大，也非常集口中，所以在选型代理服务器时，主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性，一般来说都选用大型服务器作为代理服务器。

我选择微软的服务器端集成软件BackOffice.BackOffice包括了WindowsNT.IIS.FrontPage.SQLServer.Exchangeserver.SystemsManagementServer。

ProxyServer以及一个统的客户/服务器软件安装程序。

其中,WINDOWNT作为网络的基础,提供文件和打印机共享,通信Internet连接和应用程序服务:

IIS提供WWW和FTP服务;

FrontPage提供网页制作工具和Web管理;

Indexserver提供Email.时间规划和集成的群件性能;

SNAServer提供主机数据和应用的连接能力;

SystemsManagement集中地管理这个分布式的环境;

ProxyServer提供防火墙功能,有效地将校园网与公共Internet分离,并有效地提供客户访问Internet的通路。

四、技术实现

4.1设计原则

网络管理人员可根据自己的管理模式和本学校的需求来决定选择哪种类型的VLAN。

4.2校园网之所以才用VLAN技术是因为有如下的特点：

VLAN支持任意多个站点间的组合，一个站点或工作组可以属于多个虚拟工作组，一般交换机可以建立多达16个虚拟工作组；

一个虚拟工作组可以跨越不同的交换机，从逻辑上看，VLAN完全独立于网络物理结构，只有同一虚拟工作组的成员才能接收到同一虚拟工作组站点发出的信息帧，因此不会增加其它虚拟网段的通信量。

VLAN可大大简化网络的管理。

VLAN的建立、修改和删除都十分简便，虚拟工作组也可以方便的重新配置，而无需对实体进行再配置。

VLAN可简化实际的网络结构，它允许管理员在交换机节点上配置和管理网络。

有域网络分组比较容易，而且网络用户能够方便、有效的访问中心服务器，故可以把部门级服务器放置在网管中心，有利于网络的安全性。

VLAN为网络设备的变更和扩充提供了一种有效的手段。

在交换式网络上实现的VLAN功能与ATM网络基本相同，不仅可以获得ATM网络的功能，还可以为今后升级为ATM网络培训网络管理人员。

VLAN的发展方向是扩展到广域网，可是用户在世界各地都能随时联入自己的网络，并与其它工作组成员交流信息。

4.3VLAN在交换机上的实现方法:

这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。

这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

　　对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。

对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。

这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

　　从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。

适合于任何大小的网络。

它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLANMAC的地址。

这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

　　由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。

这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。

而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。

另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。

VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。

这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。

这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。

而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

　　这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。

当然，这与各个厂商的实现方法有关。

IP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。

这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

　　基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

4.4VLAN的技术应用

COM#vlandatabase进入VLAN配置模式

COM（vlan）#vtpdomainCOM设置VTP管理域名称COM

COM（vlan）#vtpserver设置交换机为服务器模式

PAR1#vlandatabase进入VLAN配置模式

PAR1（vlan）#vtpdomainCOM设置VTP管理域名称COM

PAR1（vlan）#vtpClient设置交换机为客户端模式

PAR2#vlandatabase进入VLAN配置模式

PAR2（vlan）#vtpdomainCOM设置VTP管理域名称COM

PAR2（vlan）#vtpClient设置交换机为客户端模式

PAR3#vlandatabase进入VLAN配置模式

PAR3（vlan）#vtpdomainCOM设置VTP管理域名称COM

PAR3（vlan）#vtpClient设置交换机为客户端模式

4.4.1配置中继

为了保证管理域能够覆盖所有的分支交换机，必须配置中继。

Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。

ISL（Inter－SwitchLink）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。

在核心交换机端配置如下：

COM（config）#interfacegigabitEthernet2/1

COM（config-if）#switchport

COM（config-if）#switchporttrunkencapsulationisl

COM（config-if）#switchportmodetrunk

COM（config）#interfacegigabitEthernet2/2

COM（config）#interfacegigabitEthernet2/3

在分支交换机端配置如下：

PAR1（config）#interfacegigabitEthernet0/1

PAR1（config-if）#switchportmodetrunk

PAR2（config）#interfacegigabitEthernet0/1

PAR2（config-if）#switchportmodetrunk

PAR3（config）#interfacegigabitEthernet0/1

PAR3（config-if）#switchportmodetrunk

一旦建立了管理域，就可以创建VLAN了。

COM（vlan）#Vlan10nameCOUNTER创建了一个编号为10名字为COUNTER的VLAN。

COM（vlan）#Vlan11nameMARKET创建了一个编号为11名字为MARKET的。

4.5CiscoCatalyst3750交换机配置清单

Currentconfiguration:

3750bytes

　　!

　　version12.1

　　noservicepad

　　servicetimestampsdebuguptime

　　servicetimestampsloguptime

　　noservicepassword-encryption

　　servi