小论文校园网的网络方案设计

东华大学研究生课程论文封面教师填写：得分任课教师签名年月日学生填写：姓名张成学号2131088专业信息与通信工程导师禹素萍课程名称网络通信新技术任课教师陈雯课程学分2.0上课时间2013至2014学年第2学期星期三递交时间2014年6月24日本人郑重声明：我恪守学术道德，崇尚严谨学风。所呈交的课程论文，是本人独立进行研究工作所取得的成果。除文中已明确注明和引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品及成果的内容。论文为本人亲自撰写，我对所写的内容负责，并完全意识到本声明的法律结果由本人承担。论文作者签名：注：本表格作为课程论文的首页递交，请用水笔或钢笔填写。校园网的网络方案设计1设计背景在科技技术飞速发展的今日，计算机及网络的应用也在不断增加与扩大，人们在日常的工作、学习和生活中己经无法离开计算机和网络。计算机网络、数据库及与之相关的应用技术不断发展，以及多媒体数据的存储、传输、应用技术不断成熟，尤其是国际互联网和局域网技术的广泛应用，世界正在迈入以计算机网络为中心的信息化时代。而我国在1994年才开始参考国外的建设经验，并投资建设了中国的教育和科研计算机网络(ChinaEducationandResearchNetwork，简称CERNET)[1]，并逐步实施教育信息化工程。近年来，随着我国的高校、尤其是高等院校的办学规模的不断扩大，导致了一个学校存在多个校区同时办学，结果导致了教学资源分散、信息传递慢、准确性差、办公效率低等问题的出现。如何合理地进行校园网教育时间和空间、教学内容、手段和形式的进一步开放，最大程度地提高院校的办学能力、科研能力和管理水平?校园网建设是一项需要不断更新和完善的庞大系统工程其建设过程是一个技术不断更新、资源不断整合、管理不断完善的长期过程。2设计需求在东华大学原有的网络结构中，两个校区的互访是通过上海教科网的外部路径实现的，由于两个校区之间没有直联的链路，同时松江教科网节点链路的不稳定，造成了校区间互访、松江校区访问教科网和Internet会经常中断的情况,网络很不稳定。建立一个多媒体的综合网络，在网络中传送的信息不仅是数据，还包括声音、视频等这就要求主干网必须是提供QOS的高速主干网。校园网的分布范围不局限于一幢大楼，校园网都是局域网和广域网二者的结合。东华大学拥有两个校区：校本部与松江校区。两个校区相差的距离较远，两个校区网络之间的拓扑图如下图[2]所示：图2-1两个校区网络之间的拓扑图网络现存问题：1．在各链路负载不平衡的情况下丢包率很大，导致网络不可用。2．松江教科网节点链路的不稳定，造成了校区间互访、松江校区访问教科网和Internet会经常中断的情况。3．关键网络应用不能得到保证，带宽升级后也没有效果，网络吞吐量不够。4．部分服务器、链路负载过大，造成拥塞和较大延迟。针对前面所介绍的需要解决的问题，其具体需求内容如下:(3)布线系统对校园内各楼层实现网络综合布线，建造1000M校园网主干网络，接入层利用1000M上行线路与汇聚层相连，并提供100M交换到桌面。同时为基于以太网的有线电视、消防、监控设备等提供传输线路，并预留光缆。(2)网络系统安装主干网(包括核心层、汇聚层、接入层)网络设备，以适应1000M以太网主干，百兆到桌面的传输需求;对校园网核心设备、Internet网络出口进行统一规划和协调;实现内网外网的隔离，保证网络安全。提供网络安全及管理的解决方案，能自动监测网络故障并提交告警服务。(3)应用系统开展WEB服务、DNS服务;开展VOD视频点播服务;生活区、学生区上网流量统计和带宽限制;建立校园网络的网络存储系统;校园网建设综合布线当中需要考虑今后在全校重要楼宇和场所开展智能门禁和监控系统；实现全校范围内的无线上网;充分考虑今后在全校范围内，实行校园一卡通支付及结算系统。(4)电源系统电源系统在规划时应充分考虑以下三个方面的需求:各汇聚层需要提供良好的防雷接地和防雷措施，接地电阻不高于4欧姆;各接入层、汇聚层、核心层集中供电入口需要安装防雷设备;网络中心须配备在线式UPS电源提供集中供电。(5)未来需求实现根据用户身份的路由策略，对访问学校的各种服务进行权限设置，通过统一认证界面按照用户的不同身份提供不同的配套服务;实施对校园网用户的计费，策略上应具有灵活性和多样性，如流量、包月、子网、时段优惠，国内国外流量划分等;对指定服务器的访问能提供具体的日志信息以备查;网络平台上开展远程教学业务;为校内应用系统的实施做好网络平台的前期准备工作，保障给校园网络应用一个安全通畅的环境。3VLAN规划设计3.1VLAN功能与作用虚拟局域网(VirtualLocalAreaNetwork,VLAN)[3]是一种近年来在计算机通信领域内逐渐发展起来的一种网络技术，在校园网中有广泛的应用前景。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。随着局域网规模的扩大和交换机的大量使用，以及ARP,RARP,DHCP等协议的应用，都会带来各种导致网络性能的下降甚至网络的堵塞的广播包，又称广播风暴。通过VLAN技术将网络划分为多个广播域，从而有效地控制了广播风暴的发生，除此之外VLAN还使网络的拓扑结构变得非常灵活。在VLAN出现之前，隔离广播域的方法主要有:(1)利用路由器隔离广播域:通过路由器连接多台交换机，由于路由器具有隔离广播包的功能，而每一台交换机就是一个广播域。但这种方式无法实现在交换机上隔离广播域，并且需要增加网络设备线路连接，经济性和灵活性较差。(2)利用子网掩码划分子网:通过在客户端配置子网掩码的方式来划分子网。但这种配置方式存在管理上的困难与安全隐患，因为其配置需在客户端进行操作，用户可以随意更改IP地址和子网掩码，导致网络出现问题。VLAN技术的发展，弥补了以上两种隔离广播域方式的缺点。VLAN的优点主要包括:(1)VLAN在交换机上配置，非常便于网管员进行管理;(2)VLAN实现了在交换机上隔离广播域。限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生；(3)VLAN的划分方式非常灵活，可以基于端口、MAC地址、协议等，利用VLAN可以实现动态组网;(4)增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。综上所述，对于大中型局域网的广播域隔离，VLAN是一个很好的解决方案，通过在三层交换机上建立的VLAN隔离广播域，能够提高网络性能并隔离“尼姆达”、“冲击波”等蠕虫病毒。校园网犹如一个大的局域网，出于对不同职能部门、院系和用户实体的管理、安全和整体网络稳定运行的考虑，需划分成若干网络或若干子网，否则网络性能难以得到保障，网络管理也比较困难。对多个网络进行既独立又统一的管理，此时就要用到VLAN，因此VLAN非常适合于校园网。3.2VLAN设计与规划设计和划分VLAN的方法有基于端口、基于MAC、基于协议，鉴于当前VLAN技术的发展，考虑到各种VLAN划分方式的优缺点，最大程度上地满足用户在具体使用过程中的需求。为了减轻用户在VLAN的使用和维护中的工作量，可以根据端口的功能和位置进行VLAN的划分。(1)按照部门或功能进行规划，而不需考虑地理位置。考虑到管理的需要，校园网主要按照部门或功能来划分VLAN，这样便于在部门内部进行二级管理，若不考虑部门则管理的难度将大大增加。由于VLAN可以跨交换机，所以不需要考虑地理位置。例如，实训楼存在多个会议室、办公室，可以将其划在一个VLAN中集中管理。(2)基于端口的VLAN划分方式。在学校内部，各部门(院系)办公地点相对稳定，采用基于端口的VLAN划分方式，将各部门(院系)的VLAN划分到各部门(院系)所在地点相应交换机的端口上，这样便于管理，VLAN初始化和维护的工作量也较小，除非部门的办公地点发生变化，否则不需要修改VLAN的配置。例如，1号学院楼有三个学院的实验室，不同的实验室有不同的教学用途，则可以在实验楼划分3个VLAN，每个VLAN对应不的学院，并分别由相应院系管理员负责管理。(3)对于安全有特殊要求的情况单独划分VLAN。由于VLAN有隔离广播包的作用，因此，对于安全性有特殊要求的情况应单独划分VLAN。例如，数据中心机房服务器有很多重要的数据，应单独划分一个VLAN将其和实训楼的其他用户隔离;对于一卡通、校园广播、安防监控等其它信息应用专用子网，也应单独设置VLAN，与校园有线网络隔离。(4)VLAN间的通信可以通过访问控制列表进行灵活控制。VLAN与VLAN之间采用路由实现通信，将同一部门(系别)的接入交换机相应端口划分到同一个VLAN中，同时通过核心设备支持的访问控制列表ACL(AccessControlList)对不同VLAN间的用户进行灵活控制。例如，是否允许访问、允许数据进入还是流出、允许哪个协议或端口的数据、允许访问的源或者目的地址范围是多少等等，都可以在ACL中定义。3.3VLAN划分本设计根据实际情况对东华大学松江校区网络系统划分如下子网:网络中心-管理子网、网络中心-信息服务子网、行政办公子网、教学科研子网、教工子网，以及一卡通、校园广播、安防监控等其它信息应用专用子网。每个子网由若干VLAN组成，每个VLAN对应一个部门或功能，分配独立的VLANID作为标识。具体划分如下:(1)综合实验楼，按部门或功能划分，每一楼层或部门划分一个VLAN。(2)大学生活动中心，按端口划分，不同部门的办公室各自划分在同一个VLAN。(3)教学楼，按大楼划分，每栋楼单独划分一个VLAN。(4)第一食堂、教工之家，按大楼划分一个VLAN。(5)为保证网络设备的安全，单独设置一个VLAN作为设备管理VLAN。(6)网管工作站、服务器群单独设置一个VLAN。(7)对于其它信息应用专用子网，如一卡通、校园广播、安防监控系统等单独设置VLAN。4路由方案为了提高松江校区校园网的安全性、可靠性和有效地隔离广播流量，本设计将在新校区的骨干网(核心层和汇聚层)中采用OSPF动态路由协议进行数据转发。(1)主干网路由设计在新校区主干网(核心层一汇聚层)上采用OSPF动态路由协议，使其自动学习路由，完成数据包的寻径和转发。OSPF是IPv4网络协议主要的动态路由协议之一，能支持大规模网络的路由发布、维护和管理，其收敛速度快，能够在最短时间内将路由变化传递到整个自治系统，改善网络的可扩展性。它可以把网络划分成多个小的区域，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。将老校区的汇聚层设备定义一个区Area1，新校区的汇聚层设备定义一个区Area2，新老校区的核心层设备定义为一个区Area0。(2)外部网路由设计外部网(Extranet)指的是新校区的出口网络，其IP包的寻径和转发主要是通过静态路由或默认路由的设置来完成。通过对新校区核心交换机(路由器)CR1上静态路由或默认路由的设置来传递本地网络路由，将内部的网数据指向外部网(即延安路校区)。由于采用了不同的路由协议，因此利用路由重分布技术将主干网的OSPF协议能够学习到指向外部网的路由。5互联网接入5.1松江校区互联网接入设计东华大学松江校区早己接入中国教育科研网和电信网。另外为了扩展校园网出口的带宽，也可以考虑增加与其他运营商的网络接