【正文】 遼寧建筑職業(yè)學院信息。組織配件按計劃進場，按施工平面布置圖作好存放和保管工作。組織材料按計劃進場，并作好保管工作。 物質條件準備： （ 1）施工材料的準備 根據施工組織設計中的施工進度計劃和施工預算中的工料分析，編制工程所需的材料用量計劃，作好備料、供料工作和確定倉庫、堆放面積及組織運輸的依據。由監(jiān)理牽頭組織有關單位進行圖紙會審，由設計方進行交底，理解設計意圖及施工質量標準，準確掌握設計圖紙中的細節(jié)。組織各工種的施工管理人員對本工種的有關圖紙進行審查，掌握和了解圖紙中的細節(jié)。 施工技術準備 施工技術是貫穿著整個工程的全過程。配置中需要涉及的內容有：路由器的配置；冗余的核心與匯聚交換機配置；認證服務器配置；設置 安全機制和防范策略 、 ACL 控制策略 、帶寬限制、 QoS 等，這里我只提一些組網中主要的配置。 設備清單及價格 表 41設備清單表 序號 設備名稱 產品型號 數量 價格 (元 ) 1 核心交換機 CISCO WSC3750G24TSS 2 35000*2 2 匯聚交換機 CISCO WSC650924SMI 2 14000*2 3 接入交換機 CISCO WSC3500T24 4 5500*4 4 路由器 CISCO 3620 1 15800 5 防火墻 CISCO PIX 520RBUN 1 34500 6 認證服務器 華為 MA5200F2020 1 57118 注：本章的設備參考資料主要來自 、 及一些思科產品文檔。這里選的服務器主要是驗證服務器的選擇，其它的看學校目前的網絡應用可以隨時增設 ，如前面分析的 FTP 服務器、 EMail 服務等。結合我們學校情況，我們選用 CISCO PIX 520RBUN 防火墻來保障校園網絡安全。 防火墻選型 防火墻是一種部署在內外網邊界上的訪問控制設備，在校園網中使用防火墻，可以用來防止未經授權的通信進出校園內部網絡，通過邊界控制強化內部網絡的安全策略。 集成了 Cisco IOS 軟件（產品定價中包括 IP IOS 軟件）。 預配置的 BRI 和 PRI 調制解調器捆綁。 模塊化、可伸縮的設計提供性能、可伸縮性、靈活性和投資保護。高性能的模塊化體系結構保護了客戶的網絡技術投資，并將多個設備的功能集成到一個可管理的解決方案之中。 Cisco 3600 系列擁有 70 多個模塊化接口選項，提供語音 /數據集成、虛擬專網（ VPN）、撥號訪問和多協(xié)議數據路由解決方案。在剛開始部署 時，增強型多層軟件鏡像升級工具包為用戶提供了升級到 EMI 的靈活性。 含有標準多層軟件鏡像（ SMI）或者增強型多層軟件鏡像（ EMI）。 Catalyst 6509 系列中內嵌了 Cisco 集群管理套件（ CMS）軟件，該軟件使用戶可以利用一個標準的 Web瀏覽器同時配置和診斷多個 Catalyst桌面交換機并為其排除故障。 產品特點： 6509 系列 是一款功能強大的交換機，可在中型網絡中作接入設備，也可作匯聚設遼寧建筑職業(yè)學院信息工程系 2020屆畢業(yè)論文（設計） 20 備。 安全 —— DHCP 監(jiān)聽能夠只允許可信端口訪問 DHCP 信息，消除了惡意 DHCP 服務器； NAC 則能防止代價昂貴的蠕蟲和病毒的傳播；動態(tài) ARP 檢測和 IP 源防護能夠防御中間 人攻擊； 和基于身份的網絡服務僅允許授權人員接入網絡；端口安全能防止MAC 地址泛洪攻擊 。 QoS—— 流量整形能在不丟棄數據包的情況下平穩(wěn)處理突發(fā)流量；整形循環(huán)保證了關鍵任務應用的帶寬；而 Scavenger 隊列則能防止蠕蟲過度使用資源 。 370W PoE 簡化了 IP 電話、無線和視頻監(jiān)視部署；智能電源管理特性增強了控制能力，有助于更好地利用功率預算， PoE 與快速以太網或千兆以太網型號相結合，能最大限度地利用現有基礎設施投資 。 關鍵特性： 可用性 —— 、負載均衡和迅速恢復； Flexlink 特性提供了不到 100ms 的快速收斂； PVST+則通過允許流量在冗余鏈路上傳輸，增加了可用帶寬 。 Cisco Catalyst 3750 系列交換機是一款適用于中型機構和大型企業(yè)分支機構 的創(chuàng)新產品。 性價比 在滿足網絡需求和網絡應用的額基礎上，還應當充分考慮設備的性價比，以達到最大的投資回報率。 QoS 控制能力 隨著網絡上多媒體業(yè)務（語音、視頻等）越來越多，我們對核心交換機節(jié)點提出了更高德要求，不僅能進行一般的限速交換，還要能根據不同的業(yè)務流的特點，對他們的優(yōu)先級和貸款進行有效的控制，從而保證重要業(yè)務和時間敏感業(yè)務的順暢。 安全性 隨著網絡的普及和發(fā)展，各種各樣的攻擊也在威脅這網絡的安全。其交換機結構也應能夠根據網絡擴容靈活地擴大容量。因此，所有的節(jié)點都應市可網管得，而且需要有一個強有力切簡介的網絡管理系統(tǒng)，能夠對網絡的業(yè)務流量、運行狀況等進行全方位的控制和官吏。 性能 作為網絡骨干網絡節(jié)點，中心交換機、匯聚 交換機和廠區(qū)交換機必須能夠提供完全無阻塞的多層交換性能，以保證業(yè)務的順暢。 以下為學校升級中，對學校所有網內計算機的子網劃分情況： VLAN 劃分如表 31： 遼寧建筑職業(yè)學院信息工程系 2020屆畢業(yè)論文（設計） 17 表 31 VLAN 劃分表 序號 VLAN號 子網名稱 包含的信息點 1 DMZ區(qū) 服務器子群 連接 Inter 的所有對外開放服務器，為真實 IP地址 2 11 服務器子網 所有只對校內開放的服務器，為保留 IP地址 3 12 網絡設備子網 除路由器外所有網絡設備 4 13 辦公室子網 圖書館、實訓樓、科學樓的辦公室計算機 5 14 無線接入子網 所有無線接入的計算機 6 15 學生宿舍子網 1 校內學生宿舍接入的計 算機 7 16 學生宿舍子網 2 校外學生宿舍接入的計算機 8 17 教師宿舍子網 1 校內教師宿舍接入的計算機 9 18 教師宿舍子網 2 校外教師宿舍接入的計算機 10 19 教室子網 教學樓、科學樓、電子樓、實驗樓的教學用計算機 11 20 電子閱覽室子網 圖書館除辦公室計算機外的所有計算機 12 21 計算機實驗室子網 1 實訓樓的計算機實驗室 1 13 22 計算機實驗室子網 2 實訓樓的計算機實驗室 2 14 23 計算機實驗室子網 3 實訓樓的計算機實驗室 3 15 24 計算機實驗室子網 4 實驗樓計算機實驗室 1 16 25 計算機實驗室子網 5 實驗樓計算機實驗室 2 17 26 計算機實驗室子網 6 實驗樓計算機實驗室 3 子網劃分示意圖如圖 35： 圖 35 VLAN 劃分示意圖 遼寧建筑職業(yè)學院信息工程系 2020屆畢業(yè)論文（設計） 18 四、網絡設備選擇方案 設備選擇基本原則 在網絡升級選擇網絡設備時，應當遵循以下原則： 可靠性 由于升級的往往是核心和骨干網絡，其重要性不言而喻，一旦癱瘓則影響巨大。 從校園網的安全性、 IP 地址的可管理性和 IP 地址資源的有限性出發(fā)，將整個校園網絡劃分成若干個子網網段并對 IP 地址進行有效的管理是十分必要的。 核心與匯聚部分 圖 33冗余部分拓撲圖 匯聚與接入部分 遼寧建筑職業(yè)學院信息工程系 2020屆畢業(yè)論文（設計） 16 圖 34匯聚與接入設計圖 注：由于接入層是工作在數據鏈路層，所以不需為其設置 IP。 圖 31物理拓撲圖 根據上一節(jié)的設備選型及校園網絡結構設計，我們可以繪制出更詳細的校園網絡結遼寧建筑職業(yè)學院信息工程系 2020屆畢業(yè)論文（設計） 15 構圖，如下列圖 32。校內各網絡服務采用 100M 雙絞線連到核心交換機。 在通信線路上，此次將校園主干網都升級為 1000M 以滿足學校對網絡的需求。 增加 3A身份認證服務器，增加校內外學生宿舍的校園網接入和校園無線局域網接入。接入層采用 C3500 系列。 采用思科雙 C3750核心交換機做冗余技術 。對些我們就可以做出相應的升級拓撲設計。在完成對校園網的網絡現狀分析后，就可以有針對性的進行物理和邏輯上的規(guī)劃設計，進一步完善校園網絡。同時包括無線接入的認證。加入硬件防火墻可以對出入校園網數據包進行監(jiān)控、過濾， 最大程度的屏蔽內部網絡的信息、結構及運行情況，以此來保護網絡安全；它具有 控制對系統(tǒng)的訪問 ， 集中安全管理 ， 增強的保密性 等功能。公寓樓可供 6 的接入。從學校的自然布局和辦公情況看，將無線接入 點分別設在學生公寓樓和外語樓。 然后 ，不同 用 戶實施不同的 QoS:對于重要的 服務器、教師機通信等 ，在匯聚層實施獨享帶寬和獨立邏輯通道的二層 QoS 策略 。另外，還必須考慮到網絡本身還存在管理和控制信令等，這種消息流與 VoIP 數據流具有同等的 QoS 保證需求。 QOS 管理 流量管理也是一個非常重要的工程，如何有效的、合理的管理網絡中 ip 流量將有助于網絡整體性能。 由于我們在建設 中主要使用 Cisco 的產品，可以用 CiscoWork2020 這個網管軟件來統(tǒng)一管理，它可以管理 Cisco 的基于 IOS 操作系統(tǒng)的連接設備。 網絡管理 隨著校園網的不斷擴大，對校園網中網絡設備的管理成為校園網管的重要任務，可以通過網絡管理軟件實現對全校所有網絡設備的集中式管理。 校園 BBS 服務，可以使每位學生教師都可以在 BBS 上書寫信息、提出看法、討論教學問題，增強師生間的教學交流。 另外一些主要面向教學或學生工作的服務，可以另外設一些專門的服務器，如：學生學籍管理系統(tǒng)、教務管理系統(tǒng)等，這些可以視需要決定是否向外開放。在服務器上，每一個服務可以由一臺服務器來完成；也可以由一服務器來同時完成幾項服務。 校園網應用系統(tǒng)設計 Inter 應用 學校向域名注冊代理商申請 Inter 域名后，通過配置相應設備便可以向校內外提供DNS、 WWW、 FTP 和 EMail 等服務。并申請相應的域名和 IP 地址。還有無 線局域網的引入，也是逐步完善校園網絡的一個舉措。 根據福清學院對網絡應用的需求，主干可以采用千兆以太網結構，每棟樓與網絡中心用多模光纖連接，百兆交換到桌面。 校園網內部網絡設計 校園網內部網絡是組建在學院校園內的計算機應用網絡，可以采用 Intra 方式建設校園網內部網絡。 HSRP 運行在 UDP 上，采用端口號 1985。 HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網絡系統(tǒng)的缺省網關地址。 負責轉發(fā)數據包的路由器稱之為主動路由器（ Active Router）。 HSRP 協(xié)議只支持一個路由器代表虛擬路由器實現數據包轉發(fā)過程。換句話說，當源主機不能動態(tài)知道第一跳路由器的 IP 地址時，HSRP 協(xié)議能夠保護第一跳路由 器 不出故障。我們使用的冗余交換機都可以工作在三層，支持該協(xié)議。 遼寧建筑職業(yè)學院信息工程系 2020屆畢業(yè)論文（設計） 11 核心冗余，從圖 13 可以清楚的知道，學校所有出入 China 和 CERNET 的數據都必須通過 ls3026 交換機，一旦該設備出現故障，整個網絡將癱瘓。網絡中心還是設在實驗樓，所以核心層設備也自然設在該樓內 .匯聚層接入層設備根據新的網絡拓撲及子網劃分，具體安放在后面的章節(jié)中說明。 依據網絡分級原則，確定核心、會聚、接入各層設備所在位置與策略。 經過以上分析，將校園內部主干網設計為千兆是十分必要的。 隨著社會發(fā)展，移動辦公也越來越普遍，增設校園無線局域網也是勢在必行的。 校園內部的 BBS、 WWW、 FTP、 EMail 等，這些網絡服務均可對內外開放，而且是學生群體比較活躍的區(qū)域，網絡的通迅量較大，需要較大的帶寬；學校內部日常的管理系統(tǒng)，如教務管理系統(tǒng)，學生學籍管理系統(tǒng) 等，這些也是師生訪問較多的網絡服務；校園網內的文件傳輸等內部通信也需要很大的帶寬。 學校的業(yè)務主要有： 校園網的 Inter 接入包括使用 ChinaNet 和 CERNET， 從學校現有計算機數量看，最大 并行訪問 Inter 的計算機數量大概在 500 臺，以百兆光纖出入 China 是有些擁擠，不過大多數時間內不會有那么多臺同時訪問，而且還可以通過交換機帶寬配置，來分配各個單位的上網需求，因此目前的帶寬還是可以滿足用戶的上網需求。這是我們升級中不二的選擇。且學校原有的網絡也都是基于以太網和快速以太網而建的，因此，我們使用千兆以太網為校園網主干，百兆到桌面，來平滑升級現有網絡。這對所建的中等規(guī)模仿小的網絡就更是如此。 遼寧建筑職業(yè)學院信息工程系 2020屆畢業(yè)論文（設計） 10 ATM 技術 ATM 在現有技術水平上已獲得成熟的發(fā)展。 千兆位以太網支持交換機之間、交換機與終端之間的全雙工連接，支持共享網絡的半雙工連接方式，使用中繼器和 CSMA/CD 沖突檢測機制。 1000BaseCX:用于短 距離設備的連接，使用高速率雙絞線銅纜，最大傳輸距離為 25米。 1000BaseLX:多模光