精品資料（2021-2022年收藏的）校園局域網(wǎng)設計方案剖析

1、校園局域網(wǎng)設計方案 xxxxx幼兒園校園局域網(wǎng)設計方案滄州市感知物聯(lián)網(wǎng)絡工程有限公司2014年8月1日目錄一 、前言3二、學校需求分析1、用戶目標4三、設計需求分析5四、網(wǎng)絡總體設計方案51、網(wǎng)路構(gòu)架分析52、 設計思路63、網(wǎng)絡方案設計原則64、網(wǎng)路結(jié)構(gòu)概述及拓撲結(jié)構(gòu)圖75、Vlan的劃分及IP地址的規(guī)劃86、IP劃分 、分配9五、設備選型1、防火墻152、中心數(shù)據(jù)交換機153、接入交換機 4、無線AP一 、 前 言隨著計算機、通信和多媒體技術(shù)的發(fā)展，使得網(wǎng)絡上的應用更加豐富。同時在多媒體教育和管理等方面的需求，對校園網(wǎng)絡也提出進一步的要求。因此需要一個高速的、具有先進性的、可擴展的校園計算

2、機網(wǎng)絡以適應當前網(wǎng)絡技術(shù)發(fā)展的趨勢并滿足學校各方面應用的需要。信息技術(shù)的普及教育已經(jīng)越來越受到人們關(guān)注。學校領(lǐng)導、廣大師生們已經(jīng)充分認識到這一點，學校未來的教育方法和手段，將是構(gòu)筑在教育信息化發(fā)展戰(zhàn)略之上，通過加大信息網(wǎng)絡教育的投入，開展網(wǎng)絡化教學，開展教育信息服務和遠程教育服務等將成為未來建設的具體內(nèi)容。城市職業(yè)學院網(wǎng)將實現(xiàn)與校內(nèi)各部門進行通信，城市職業(yè)學院大學校園網(wǎng)將為學校的科研、教育、管理提供必要的技術(shù)手段，為研究開發(fā)和培養(yǎng)人才建立平臺，以此加快學校的發(fā)展，成為一個具有示范性的學校。二 、學校需求分析1、用戶目標校園網(wǎng)必須要具備教學、管理和通訊這幾大必要的功能。以便供應教師能夠方便地瀏覽

3、和查詢網(wǎng)上資源，進行教學；學生可以方便地瀏覽和上網(wǎng)查詢資料；還有學校的管理人員可方便地對教務、行政事務、學生學籍、財務、資產(chǎn)等進行綜合管理，同時可以實現(xiàn)各級管理層與層之間的信息數(shù)據(jù)交換，實現(xiàn)網(wǎng)上信息采集和處理的自動化，實現(xiàn)信息和資源設備的共享，因此，校園網(wǎng)的建設必須有明確的建設目標和明確的構(gòu)建思路。校園網(wǎng)最終必須是一個集計算機網(wǎng)絡技術(shù)、多項信息管理、辦公自動化和信息發(fā)布等功能于一體的綜合信息平臺，并能夠有效促進現(xiàn)有的管理體制和管理方法，提高學校辦公質(zhì)量和效率，以促進學校整體教學水平的提高。三、設計需求分析郵件服務器、WEB服務器、FTP服務器、數(shù)據(jù)庫服務器、數(shù)據(jù)存儲服務器。千兆光纖系統(tǒng)（用于樓

4、宇之間）、5類雙絞線（用于樓宇內(nèi)），路由器 一臺、防火墻一臺、中心交換機兩臺、工作組交換機多臺（要接入校園網(wǎng)的各個教室，學生休息室，位于分配線柜）。四、網(wǎng)絡總體設計方案1、網(wǎng)絡構(gòu)架分析采用千兆以太網(wǎng)技術(shù)，具有高帶寬1000Mbps 速率的主干，100Mbps 到桌面，運行目前的各種應用系統(tǒng)綽綽有余，還可輕松應付將來一段時間內(nèi)的應用要求，且易于升級和擴展，最大限度的保護用戶投資；根據(jù)校園網(wǎng)絡項目，我們應該充分考慮學校的實際情況，注重設備選型的性能價格比，采用成熟可靠的技術(shù)，為學校設計成一個技術(shù)先進、靈活可用、性能優(yōu)秀、可升級擴展的校園網(wǎng)絡?？紤]到學校的中長期發(fā)展規(guī)劃，在網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡應用、網(wǎng)絡管

5、理、系統(tǒng)性能以及遠程教學等各個方面能夠適應未來的發(fā)展，最大程度地保護學校的投資。學校借助校園網(wǎng)的建設，可充分利用豐富的網(wǎng)上應用系統(tǒng)及教學資源，發(fā)揮網(wǎng)絡資源共享、信息快捷、無地理限制等優(yōu)勢，真正把現(xiàn)代化管理、教育技術(shù)融入學校的日常教育與辦公管理當中。2、設計思路在設計校園網(wǎng)主干結(jié)構(gòu)時既要考慮到目前實際應用有所側(cè)重，又要兼顧未來的發(fā)展需求。中心交換機和主干交換機采用千兆交換機。要有完善的安全機制，防止來自外部和內(nèi)部的非法訪問。3、網(wǎng)絡方案設計原則(1)、先進性原則(2)、開放性原則(3)、可管理性原則(4)、安全性原則(5)、靈活性和可擴充性原則(6)、穩(wěn)定性和可靠性的原則4、網(wǎng)路結(jié)構(gòu)概述及拓撲結(jié)

6、構(gòu)網(wǎng)絡的拓撲結(jié)構(gòu)是指網(wǎng)絡中通信線路和站點（計算機或設備）的相互連接的幾何形式。按照拓撲結(jié)構(gòu)的不同，常見的計算機網(wǎng)絡拓撲結(jié)構(gòu)有：總線型拓撲結(jié)構(gòu)、星型拓撲結(jié)構(gòu)、環(huán)型拓撲結(jié)構(gòu)等。4.1總線型拓撲結(jié)構(gòu)總線型結(jié)構(gòu)是指各工作站和服務器均連接在一條總線上，各工作站地位平等，無中心節(jié)點控制，公用總線上的信息多以基帶形式串行傳遞，其傳遞方向總是從發(fā)送信息的節(jié)點開始向兩端擴散，如同廣播電臺發(fā)射的信息一樣，因此又稱廣播式計算機網(wǎng)絡。各節(jié)點在接收信息時都進行地址檢查，看是否與自己的工作站地址相符，相符則接收網(wǎng)上的信息。4.2星型拓撲結(jié)構(gòu)星型結(jié)構(gòu)是指各工作站以星型方式連接成網(wǎng)。網(wǎng)絡有中央節(jié)點，其他節(jié)點(工作站、服務器)

7、都與中央節(jié)點直接相連，這種結(jié)構(gòu)以中央節(jié)點為中心，因此又稱為集中式網(wǎng)絡。4.3環(huán)型拓撲結(jié)構(gòu)環(huán)型結(jié)構(gòu)由網(wǎng)絡中若干節(jié)點通過點到點的鏈路首尾相連形成一個閉合的環(huán)，這種結(jié)構(gòu)使公共傳輸電纜組成環(huán)型連接，數(shù)據(jù)在環(huán)路中沿著一個方向在各個節(jié)點間傳輸，信息從一個節(jié)點傳到另一個節(jié)點。信號通過每臺計算機，計算機的作用就像一個中繼器，增強該信號，并將該信號發(fā)到下一個計算機上。4.4 蜂窩拓撲結(jié)構(gòu)蜂窩拓撲結(jié)構(gòu)是無線局域網(wǎng)中常用的結(jié)構(gòu)。它以無線傳輸介質(zhì)(微波、a衛(wèi)星、紅外線、無線發(fā)射臺等)點到點和點到多點傳輸為特征，是一種無線網(wǎng)，適用于城市網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)，更適合于移動通信。5、Vlan的劃分及IP地址的規(guī)劃Vlan劃分

8、的原則：便于管理Vlan劃分理念：將幾個樓劃分在同一個Vlan，便于管理。Vlan具體劃分：如將梅園、桔園、竹園、桂園、桃園這幾個宿舍樓劃分在同一個Vlan下。再將博學館、圖書館劃分在同一個Vlan下。文化樓、實訓樓、光華樓劃分在同一個Vlan下。6、IP 劃分 、分配假設學校的公網(wǎng)IP為- 21、教室 ：將連到教師辦公室的交換機端口劃分為VLAN2，將連到教室的交換機端口劃分為VLAN3，每臺計算機手工設置靜態(tài)IP地址，DNS為66 6,網(wǎng)關(guān)，子網(wǎng)掩碼為，在網(wǎng)絡中

9、心的路由器上設置動態(tài)NAT共享上網(wǎng)，公網(wǎng)的IP段為-。教室IP范圍為:20教師辦公室IP范圍為:20542、學生宿舍區(qū)：將VLAN 68 到 VLAN 73分別劃分給學生宿舍樓A的16層，VLAN 74 到 VLAN 79分別加劃分給學生宿舍樓B的16層。其IP地址由網(wǎng)絡中心的將路由器設為DHCP服務器，設其IP段為55 子網(wǎng)掩碼為自動分配給學生宿舍區(qū)。在網(wǎng)絡中心的路由器上設置動態(tài)NAT上網(wǎng)，公網(wǎng)的I

10、P段為1-0。五、設備選型1、 防火墻H3C SecPath F100-M-G防火墻市場領(lǐng)先的基礎安全防護全面的基礎安全防護：提供安全區(qū)域劃分、靜態(tài)/動態(tài)黑名單功能、MAC和IP綁定、訪問控制列表（ACL）和攻擊防范等基本功能，還提供基于狀態(tài)的檢測過濾、虛擬防火墻、VLAN透傳等功能。能夠防御ARP欺騙、TCP報文標志位不合法、Large ICMP報文、SYN flood、地址掃描和端口掃描等多種惡意攻擊豐富的VPN特性：支持L2TP VPN、GRE VPN、IPSecVPN及SSL VPN等遠程安全接入方式，同時設備集成硬件加密引擎實現(xiàn)高性能的VPN處理專

11、業(yè)的NAT應用：提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換 、Easy IP和DNS映射等NAT應用方式；支持多種應用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能靈活可擴展的深度安全防護與基礎安全防護高度集成的一體化安全業(yè)務處理平臺全面的應用層流量識別與管理：通過H3C長期積累的狀態(tài)機檢測、流量交互檢測技術(shù)，能精確檢測Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡游戲/炒股/網(wǎng)絡視頻/網(wǎng)絡多媒體等應用；支持P2P流量控制功能，通過對流量采用

12、深度檢測的方法，即通過將網(wǎng)絡報文與P2P協(xié)議報文特征進行匹配，可以精確的識別P2P流量，以達到對P2P流量進行管理的目的，同時可提供不同的控制策略，實現(xiàn)靈活的P2P流量控制高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產(chǎn)權(quán)的FIRST（Full Inspection with Rigorous State Test，基于精確狀態(tài)的全面檢測）引擎。FIRST引擎集成了多項檢測技術(shù)，實現(xiàn)了基于精確狀態(tài)的全面檢測，具有極高的入侵檢測精度；同時，F(xiàn)IRST引擎采用了并行檢測技術(shù)，軟、硬件可靈活適配，大大提高了入侵檢測的效率實時的病毒防護：采用Kaspersky公司的流引擎查毒技術(shù)，從而迅速、準確

13、查殺網(wǎng)絡流量中的病毒等惡意代碼全面、及時的安全特征庫。通過多年經(jīng)營與積累，H3C公司擁有業(yè)界資深的攻擊特征庫團隊，同時配備有專業(yè)的攻防實驗室，緊跟網(wǎng)絡安全領(lǐng)域的最新動態(tài)，從而保證特征庫的及時準確更新技術(shù)領(lǐng)先的IPv6國內(nèi)率先支持IPv6狀態(tài)防火墻，真正意義上實現(xiàn)IPv6條件下的防火墻功能，滿足迫在眉睫的IPv6應用需求支持IPv4/IPv6雙協(xié)議棧，并支持IPv6數(shù)據(jù)報文轉(zhuǎn)發(fā)、靜態(tài)路由、動態(tài)路由及組播路由等功能支持IPv6各種過渡技術(shù)，包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道等支持IPv6 ACL、Rad

14、ius等安全技術(shù)電信級設備的高可靠性采用H3C公司擁有自主知識產(chǎn)權(quán)的軟、硬件平臺。產(chǎn)品應用從電信運營商到中小企業(yè)用戶，經(jīng)歷了多年的市場考驗支持雙機狀態(tài)熱備功能，支持配置同步與IPSecVPN的狀態(tài)備份，支持Active/Active和Active/Passive兩種工作模式，實現(xiàn)負載分擔和業(yè)務備份簡單易用的智能管理簡單易用的Web UI管理適合專業(yè)用戶的全命令行管理支持基于SNMP和TR-069協(xié)議的管理通過H3C SecCenter安全管理中心實現(xiàn)統(tǒng)一管理中小企業(yè)Internet出口安全H3C SecPath F100-M-G支持完整的基礎安全防護和深度安全防御功能，為企業(yè)提供專業(yè)的安全防護

15、；F100-M-G能夠支持完整的IPv6狀態(tài)防火墻，滿足馬上到來的IPv6時代的安全防護需求；同時F100-M-G還內(nèi)置了鏈路負載均衡、SSL VPN等豐富特性，能夠滿足當前互聯(lián)網(wǎng)出口多ISP鏈路和移動辦公的業(yè)務需求。2、 中心數(shù)據(jù)交換機H3C S5800PV2-EI 千兆交換機千兆接入方案在企業(yè)網(wǎng)絡或園區(qū)網(wǎng)絡中，S5800PV2-EI系列豐富完善的安全特性能最大程度地降低非法用戶和病毒入侵對網(wǎng)絡安全帶來的危害，同時S5000PV2-EI對SNMP網(wǎng)管特性的支持使其在面對大中型網(wǎng)絡的統(tǒng)一管理方面也能應對游刃有余，可廣泛使用在企業(yè)、學校、酒店等網(wǎng)絡搭建。3、 接入交換機H3C S1600系列安全

16、智能交換機產(chǎn)品特點全線速的二層交換： S1626S1626-PWRS1650交換機提供所有端口二層線速交換能力，保證所有端口無阻塞的進行報文轉(zhuǎn)發(fā)。優(yōu)異的安全性能： 支持802.1x認證，安全專區(qū)提供多種豐富的安全功能，可以實現(xiàn)IP+MAC+端口+VLAN四元素綁定，并可通過DHCP-Snooping或者智能綁定自動獲取綁定列表，有效防御ARP攻擊、DOS攻擊及蠕蟲攻擊，并可以方便的實現(xiàn)腳本配置文件的導入和導出。 支持基于MAC的Guest VLAN，配合動態(tài)VLAN下發(fā)功能可控制接入同一端口的不同用戶訪問不同的網(wǎng)絡資源，增強了網(wǎng)絡的安全性和易用性。強大的鏈路擴展及

17、備份能力： 提供LACP、STP/RSTP功能，可有效實現(xiàn)鏈路擴展及備份。簡單方便的管理方式： 可以通過Web可視化的界面，對交換機的各種功能進行簡單方便的操作，同時提供Console口和Telnet的命令行配置。多業(yè)務支持能力 支持PoE（Power over Ethernet）技術(shù)，通過以太網(wǎng)對所連接的設備（如Wireless AP、IP Camera、IP Phone等）進行遠程供電，從而使得不必在使用現(xiàn)場為設備部署單獨的電源系統(tǒng)，能夠極大地減少部署終端設備的布線和管理成本。H3C S1600系列安全智能交換機具有豐富的安全特性，這使得在企業(yè)應用中可方便的做

18、到接入認證和授權(quán)訪問，豐富的防攻擊特性讓企業(yè)內(nèi)部的網(wǎng)絡更加健壯、安全。S1600系列安全智能交換機在企業(yè)網(wǎng)的應用示意圖4、 無線APH3C WA2610H-GN 面板式無線接入設備標準的86mm面板尺寸WA2610H-GN采用標準的86*86mm面板尺寸，可以完全復用用戶既有的86mm網(wǎng)口面板暗盒，安裝實施時，無需專業(yè)人員，即可方便的將原有的網(wǎng)口面板替換為H3C的面板式APWA2610H-GN。由于WA2610H-GN采用86*86mm標準面板尺寸，所以在安裝之后，不會對原有周邊可能存在的其他插座面板或裝修事物造成影響，對客戶原有裝修的影響接近于零。5步！安裝一個AP只需35分鐘WA2610H

19、-GN采用國際標準的插座安裝方法進行設計，和其他開關(guān)面板一樣，更換一個面板式AP只需要簡單的5個步驟，總耗時不超過5分鐘，可以極大的加快客戶部署無線網(wǎng)絡的速度。圖2 WA2610H-GN之5步安裝方法綠色低碳設計WA2610H-GN采用專業(yè)綠色低碳設計，支持動態(tài)MIMO省電模式(DMPS)與增強型自動省電傳送(E-APSD)，智能辨識終端實際性能需求，合理化調(diào)配終端休眠隊列，動態(tài)調(diào)整MIMO工作模式。WA2610H-GN支持Green AP模式，實現(xiàn)單天線待機，節(jié)能更精準。WA2610H-GN通過創(chuàng)新性的逐包功率控制(PPC)技術(shù)，在確保報文能成功傳輸?shù)那疤嵯聞討B(tài)調(diào)節(jié)AP設備和客戶端直接的雙向功率，以達到減少設備能耗和延長移動終端待機時間的作用。提供本地轉(zhuǎn)發(fā)功能當WA2610H-GN通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時，無線接入設備部署在分支機構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由無線接入設備發(fā)送到無線控制器，再由無線控制器進行集中轉(zhuǎn)發(fā)。WA2610H-GN可將數(shù)據(jù)報文在無線接入設備上直接轉(zhuǎn)化為有線