校園網(wǎng)工程策劃書(shū)

冬，楊尹翔 A規(guī)劃 11 5.3A校區(qū)防火墻與DMZ區(qū)服務(wù)器接入交換機(jī)(3560)之間的接口與接口地址規(guī)劃11 2A區(qū)匯聚層交換機(jī)配置命令示例(學(xué)生宿舍5) 19 第一章校園網(wǎng)概述及分析校園網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重要領(lǐng)域。隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，校園網(wǎng)已經(jīng)成為各學(xué)校必備的信息設(shè)計(jì)基礎(chǔ)，其規(guī)模和應(yīng)用水平已經(jīng)成為衡量學(xué)校綜合實(shí)力的主要標(biāo)志。我國(guó)從1994年開(kāi)始啟動(dòng)中國(guó)教育科研計(jì)算機(jī)網(wǎng)絡(luò)以來(lái)，現(xiàn)已經(jīng)基本完成了國(guó)內(nèi)大部分的校園網(wǎng)，校園網(wǎng)在教育領(lǐng)域的應(yīng)用越來(lái)越廣泛。1.2建設(shè)校園網(wǎng)的必要性為全校教師、科研人員、管理人員、學(xué)生提供一個(gè)先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，并將計(jì)算機(jī)引入教學(xué)、科研、管理和學(xué)習(xí)等各個(gè)領(lǐng)域。改善學(xué)校教學(xué)科研、管理和學(xué)習(xí)環(huán)境，提高其水平。熟悉現(xiàn)代化的工作環(huán)境和掌握先進(jìn)的教學(xué)、科研、管理和學(xué)習(xí)手段，有利于培養(yǎng)面向世界、面向未來(lái)的高層次人才。(1)教學(xué)科研活動(dòng)：校園網(wǎng)要為教師的教學(xué)和科研提供服務(wù)，例如通過(guò)校園網(wǎng)為教師提供教學(xué)資源，提供教師備課，為教學(xué)研究提供相關(guān)資料。(2)教務(wù)管理：校園網(wǎng)要為學(xué)校的教學(xué)管理提供服務(wù)，例如通過(guò)校園網(wǎng)進(jìn)行學(xué)籍管理，人事管理，財(cái)務(wù)管理等。(3)為學(xué)生學(xué)習(xí)提供幫助：校園網(wǎng)必須為學(xué)生學(xué)習(xí)提供服務(wù)，是一種學(xué)習(xí)工具，它一方面是學(xué)生與他人的交流工具，另一方面也是學(xué)習(xí)資源的提供者，有利于學(xué)生進(jìn)行探索學(xué)習(xí)和協(xié)作學(xué)習(xí)。XX大學(xué)是一所全日制本科學(xué)校，學(xué)校占地面積為XXXX多畝，現(xiàn)有學(xué)生將近X萬(wàn)名。學(xué)院現(xiàn)有綜合樓，實(shí)訓(xùn)樓，教學(xué)樓，學(xué)生宿舍，教工宿舍，圖書(shū)館等。為適應(yīng)信息時(shí)代的要求，提升學(xué)校教學(xué)水平，學(xué)院決定建立覆蓋全校的校園求分析(1)建立以網(wǎng)絡(luò)中心為核心，連接校園各樓的校園主干網(wǎng)絡(luò)。(2)按校園內(nèi)不同用戶(hù)的需求，劃分相應(yīng)的子網(wǎng)，以方便網(wǎng)絡(luò)管理，提高(3)在整個(gè)校園內(nèi)實(shí)現(xiàn)資源共享，為教學(xué)，科研，管理提供服務(wù)。(4)建立基于網(wǎng)絡(luò)的教育掛歷及辦公自動(dòng)化系統(tǒng)，實(shí)現(xiàn)行政，教學(xué)，教務(wù)，科研，后勤，財(cái)務(wù)等日常事務(wù)的網(wǎng)絡(luò)化管理。(5)網(wǎng)絡(luò)教學(xué)系統(tǒng)，提供教師電子備課，課件制作，多媒體演示，學(xué)生多媒體交互式學(xué)習(xí)，網(wǎng)絡(luò)考試，自動(dòng)教學(xué)評(píng)估等。(6)建立電子圖書(shū)館，提供電子閱覽功能。(7)建立安全，高速的internet連接，實(shí)現(xiàn)內(nèi)外互通。(8)提供常用的internet應(yīng)用，包括學(xué)校網(wǎng)站，郵件系統(tǒng)，文件傳輸。(9)為學(xué)校提供一定的安全保障，防治黑客入侵和破壞，保障校園網(wǎng)安(10)為校園網(wǎng)提供簡(jiǎn)單有效的網(wǎng)絡(luò)管理措施，實(shí)現(xiàn)對(duì)整個(gè)校園網(wǎng)的管理和(11)為校園網(wǎng)提供相應(yīng)的容錯(cuò)功能，防止在校園網(wǎng)出現(xiàn)故障時(shí)導(dǎo)致整個(gè)(1)實(shí)用性原則。計(jì)算機(jī)技術(shù)發(fā)展迅速，新技術(shù)，新設(shè)備層出不窮，在網(wǎng)可靠的技術(shù)和設(shè)備，取得最佳性?xún)r(jià)比。(2)開(kāi)放性原則。在網(wǎng)絡(luò)建設(shè)過(guò)程中盡量選擇開(kāi)放的標(biāo)準(zhǔn)和技術(shù)，以便和其它網(wǎng)絡(luò)系統(tǒng)兼容，有利于未來(lái)的網(wǎng)絡(luò)擴(kuò)充。(3)高可靠性。保障網(wǎng)絡(luò)建成后順利運(yùn)行，不會(huì)因?yàn)榫W(wǎng)絡(luò)故障而影響用戶(hù)(4)先進(jìn)性原則。在資金允許的情況下盡量使用國(guó)際先進(jìn)成熟的技術(shù)，符流。(5)易用性原則。網(wǎng)絡(luò)必須易于管理和使用。(6)安全性原則。整個(gè)網(wǎng)絡(luò)具有一定的安全保障，防止黑客入侵和破壞。(7)可擴(kuò)展性。網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮近期目標(biāo)，還要為網(wǎng)絡(luò)進(jìn)一步的上述原則將自始至終貫穿整個(gè)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)過(guò)程。模塊化防火墻：內(nèi)置防火墻環(huán)境標(biāo)準(zhǔn)：工作溫度：0-40℃模塊化插槽數(shù)0個(gè)網(wǎng)絡(luò)標(biāo)準(zhǔn)或規(guī)范是否可網(wǎng)管支持持VLAN支持工作溫度0-45℃X4.1說(shuō)明XX學(xué)校分為3個(gè)校區(qū)A,B,C每個(gè)校區(qū)分別進(jìn)行規(guī)劃，規(guī)劃分三層：核心層，匯聚層，接入層，并應(yīng)用相應(yīng)設(shè)備進(jìn)行組網(wǎng)4.2A校區(qū)基本拓?fù)鋱DAA校區(qū)B校區(qū)3560核心nternet邊界路由器學(xué)生宿舍43560匯聚層2950接入層WAN3560核心層LAN防火墻35603560匯聚層DMZ3560匯聚層2950接入層換機(jī)35603560匯聚層3560匯聚層2950接入層2950接入層2950接入層2950接入層宿舍1工宿舍樓z宿舍5宿舍3宿舍2學(xué)樓合樓B拓?fù)鋱DB校區(qū)教工宿舍4教工宿舍1教教工宿舍1教工宿舍32950接入層2950接入層2950接入層2950接入層3560匯聚層3560匯聚層60匯聚層60匯聚層60匯聚層教學(xué)樓3560教學(xué)樓2950接入層學(xué)生宿舍2950接入層學(xué)生宿舍60核心層C圖CHINANETINTERNET100M光纖專(zhuān)線MPLSVPN邊界路由器WAN防火墻3560LANDMZ接入層2950核心層交換機(jī)3560…………匯聚層交換機(jī)匯聚層交換機(jī)3560DMZ區(qū)服務(wù)器群5.1A校區(qū)核心層交換機(jī)與各三層設(shè)備互聯(lián)的接口與接口地址規(guī)劃樓宇/設(shè)備名稱(chēng)匯聚層交換機(jī)型號(hào)互聯(lián)接口匯聚層接口核心層接口核心層交換機(jī)互聯(lián)接口綜合樓cisco3560f0/11/30/30f0/1教學(xué)樓cisco3560f0/10/30/30f0/1實(shí)訓(xùn)樓cisco3560f0/9/300/30f0/1圖書(shū)館cisco3560f0/83/304/30f0/1A區(qū)教工宿舍cisco3560f0/77/308/30f0/1學(xué)生宿舍1cisco3560f0/61/302/30f0/1學(xué)生宿舍2cisco3560f0/55/306/30f0/1學(xué)生宿舍3cisco3560f0/49/300/30f0/1學(xué)生宿舍4cisco3560f0/33/304/30f0/1學(xué)生宿舍5cisco3560f0/27/308/30f0/1B校區(qū)核心層交換機(jī)cisco3560f0/11/302/30f0/1MPLSVPN電信端f0/245/306/30f0/0cisco2811f0/139/300/30f1/0防火墻LAN口cisco3560f0/12/30/30f0/1劃5.3A校區(qū)防火墻與DMZ區(qū)服務(wù)器接入交換機(jī)(3560)之間的接口5.4B校區(qū)各匯聚層交換機(jī)與B校區(qū)核心層交換機(jī)互聯(lián)接口及接口f0/1/30/30f0/1/30/30f0/1/300/30設(shè)備/網(wǎng)絡(luò)名稱(chēng)設(shè)備型號(hào)互聯(lián)接口匯聚層接口ip地址核心層接口ip地址2811接口防火墻WAN口Cisco3560f0/1核心層交換機(jī)Cisco3560ChinaNet/30/30f0/1/30/30f1/0樓樓宇/校區(qū)名稱(chēng)地址的聚合表示B校區(qū)樓樓A區(qū)教工宿舍學(xué)生宿舍1學(xué)生宿舍2學(xué)生宿舍3學(xué)生宿舍4學(xué)生宿舍5A區(qū)電信網(wǎng)內(nèi)部服務(wù)器A區(qū)教育網(wǎng)內(nèi)部服務(wù)器A區(qū)和B區(qū)未分配地址C校區(qū)/24-/24/20/24-/2/23/24-/2/23/24-/2/21/24-/2/21/24-/2/21/24-/2/23/24-/2/23/24-/2/23/24-/2/23/24-/2/23/24-/246.1A校區(qū)ChianNet公網(wǎng)地址使用規(guī)范T公公網(wǎng)地址使用規(guī)范公網(wǎng)地址使用范圍邊界路由器互聯(lián)接口地址/30NAT地址池使用網(wǎng)段/30內(nèi)部服務(wù)器靜態(tài)NAT轉(zhuǎn)換/29教育網(wǎng)招生錄取pc6/28校園NAT轉(zhuǎn)換示例(以A校區(qū)示例)：6.2-1由于模擬器限制不能執(zhí)行地址池所以在模擬器上有接口轉(zhuǎn)換配置命令如下y[OK]6.2-2用地址池實(shí)現(xiàn)雙出口NAT策略的配置如下所示： ety[OK]isp.177.150.120/30NAT轉(zhuǎn)換f0/0:306.4C校區(qū)地址轉(zhuǎn)換配置如下所示：[OK]第七章校園網(wǎng)設(shè)備基本配置示例分為三個(gè)校區(qū)：A、B、C，基本的路由器和交換機(jī)的使用策略是一樣的，配置命令相仿，現(xiàn)在以A校區(qū)的部分設(shè)備為例進(jìn)行示范7.1A區(qū)交換機(jī)及路由器配置示例A心層交換機(jī)配置命令：nt[OK]2A區(qū)匯聚層交換機(jī)配置命令示例(學(xué)生宿舍5)[OK]3A區(qū)邊界路由器配置如下：[OK]4A區(qū)防火墻配置如下：n[OK5A區(qū)服務(wù)器接入交換機(jī)配置如下：n[OK]綜合樓是學(xué)校的辦公樓，不需要對(duì)用戶(hù)的上網(wǎng)行為進(jìn)行控制，因此ACL的蛀牙功能是過(guò)濾常見(jiàn)的病毒傳播端口，控制病毒在網(wǎng)絡(luò)上的傳播做法為：配置一個(gè)ACL列表，然后應(yīng)用到交換機(jī)的全部端口，常見(jiàn)的病毒端口如表所示TCPTCP端口4444135-139、445、593445、5554、9995、9996UDP端口135-139、445、593病毒名稱(chēng)Blaster蠕蟲(chóng)沖擊波病毒震蕩波病毒SQLServer病毒[OK]教學(xué)樓計(jì)算機(jī)的使用者眾多，主要包括教師學(xué)生和其他人員，為了控制用戶(hù)使用網(wǎng)絡(luò)的流量和病毒傳播，應(yīng)使用較高的安全措施，即只允許用戶(hù)進(jìn)行常用網(wǎng)絡(luò)操作，其余TCP端口UDP端口TCP端口UDP端口HTTP上網(wǎng)DNS域名解析FTP文件傳輸20、21DHCPIP地址分配67、68SMTP郵件傳輸HTTPS上網(wǎng)43POP3郵件傳輸o在本校園網(wǎng)拓?fù)浣Y(jié)構(gòu)中，防火墻僅用來(lái)保護(hù)DMZ區(qū)中的服務(wù)器群以免受到因特網(wǎng)和校園ping因特網(wǎng)中的任意主機(jī)服服務(wù)對(duì)應(yīng)的端口UDP80、443、20、2120、2125、110WWW、HTTPS、FTP、ICMPFTPSMTP、POP3DNSDHCP服務(wù)器IP地址1234567、68提供的服務(wù)TCPqfirewall(config-if)#^Zrite[OK]pp