计算机网络课程设计说明书兰州市第九中学校园网组建方案.doc

《计算机网络课程设计说明书兰州市第九中学校园网组建方案.doc》由会员分享，可在线阅读，更多相关《计算机网络课程设计说明书兰州市第九中学校园网组建方案.doc（36页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、实践教学兰州理工大学计算机与通信学院2012年秋季学期计算机网络 课程设计题 目： 兰州九中校园网规划设置 专业班级： 软件基地班 姓 名： 赵琛 学 号： 10240405 指导教师： 陈作汉 成 绩： 第 30 页摘要通过对兰州市第九中学校园网现状的分析，初步完成了兰州市第九中学校园网络设计方案的选择、系统全面构架以及各个子系统的完全结合成一个整体的设计方案。该校园网包括多媒体教学网、图书馆多媒体网以及校园基本信息服务网与互联网接入，由先进的软硬件系统组成，通过高速的结构化综合布线系统有机结合在一起，具有高速、安全、标准、可管理的特征，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络。

2、在组建校园局域网时所需要的硬件设备是要用到网卡、网线与集线器(HUB)与交换机。使用NAT实现Internet接入时网络地址的转换，再使用交换机将各个子网连接起来，并对每个子网进行IP地址划分，最后画出本网络的网络拓扑图，并用Sniffer软件进行网络测试及协议数据包分析。整个校园网的布线按照符合国际标准的结构化布线技术进行设计与施工。结合目前网络技术发展趋势，决定该校园局域网系统采用成熟的千兆以太网技术。关键词：校园网；IP地址划分；网络拓扑图；网络测试及协议数据包分析前言当今的世界正从工业化社会向信息化社会转变。快速、高效的传播与利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息

3、知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。Internet及WWW应用的迅猛发展，极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域与时间的界限，为更多的人共享。而快速、高效的传播与利用信息资源正是二十一世纪的基本特征。学校作为信息化进程中极其重要的基础环节，如何通过网络充分发挥其教育功能，已成为当今的热门话题。随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理与教学过程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之

4、一，此时，校园网上的应用系统就显得尤为重要。一方面，学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问，这是学生综合素质中极为重要的一部分；另一方面，基于先进的网络平台与其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学与管理。学校目前正加紧对信息化教育的规划与建设。开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育与管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，并保证将来可扩展骨干网络节点互联带宽为10G，为用户提供高速接入网络，并实现网络远程教学、

5、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学与科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备与应用进行有效的时事控制与目录第1章 学校描述1第2章 需求分析22.1 带宽22.2 子网与VLAN规划32.3 实现的信息服务42.4 应用程序4存储系统分析5系统及数据安全分析52.7 QoS62.8 网间隔离7第3章 拓扑图及方案整体描述83.1 拓扑图及方案整体描述83.2 Internet接入方案93.3 远程访问支持93.4 子网划分与VLAN设定113.4.1 VLAN设定11

6、3.4.2 子网划分123.5 网间隔离方案设计133.6 存储方案143.7 设备选型143.8 软件163.9 信息服务方案163.10 综合布线方案16第4章 网络管理18网络行政管理184.2 网络软件管理18第5章 系统主要设备报价20参考资料21课程设计总结22第1章 学校描述兰州市第九中学始建于 1954 年，是一所市属示范性中学 , 位于兰州市七里河区龚家坪东路52号，学校现有教职工110人，学生1800余人。学校现有10438平方米的教学实验综合大楼，内设图书馆、理化生实验室、微机室、语音教室、学生生公寓以及42个普通教室。学校植草坪建花园，绿化面积达7000平方米，是一所园

7、林化单位，也是七里河区首批文明单位之一，有5500平方米的塑胶操场。 大楼之间距离为50500m，各个大楼的计算机大约有770台。总的信息点将达到3000个左右。信息节点的分布比较分散，将涉及到图书馆、实验楼、教学楼、宿舍楼、公寓楼等。其中分别是:一号楼与二号楼为教学楼,三号楼是实验楼与办公楼,四号楼与五号楼是学生宿舍楼,六号楼是公寓楼,七号楼是图书馆。主控室可设在实验楼的五层，图书馆、教学楼与宿舍楼为信息点密集区。兰州市第九中学建筑分布图如图1-1所示图书馆办公楼宿舍楼实验楼教学楼宿舍楼教学楼图 兰州市第九中学建筑分布图第2章 需求分析校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实

8、现小区内的高速互联，核心层由一个节点组成，包括教学区区域、服务群。汇聚层设在每层楼上，每栋楼设置一个汇聚点，汇聚层位高性能交换机，根据各个楼的配线间的数量不同，可以分别采用一台或两台汇聚层交换机进行汇聚， 为了保证数据传输与交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性。接入层为每个楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性、及易于维护性出发进行设计，已满足用户需求。该学校校园网的总体建设目标是：利用先进实用的计算机技术与网络通信技术，建成覆盖全校、高速、高性能的计算机网络，实现网络在教学、管理、

9、科研、通信等方面的作用。具体包括以下几个方面：1.建立一个以光纤为主干、覆盖全校的宽带网，主干1000M，100M至桌面。需要考虑网络运行的高效、可靠、安全以及管理的方便。2.实现校园Intranet的互联互通，校本部、各大学院以及医学院之间可以方便快捷地访问国内外消息，以满足信息查询、通信、资源共享、远程教学等需要。3.建立网络教学系统，提供教师电子备课、课件制作、多媒体演示，学生多媒体交互式学习、网络考试、自动教学评估、视频 等功能。4.建立基于网络的教育管理及自动化办公系统，包括行政、教学教务、科研、后勤、财务等系统，以满足学院管理现代化的需要。2.1 带宽兰州市第九中学对计算机网络的应

10、用主要是多媒体教学与办公自动化，通过计算机网络这种先进的技术手段，实施多媒体、交互式、内容丰富、形象生动的教学，以培养出能适应社会需求的具有专业技能的人才。根据这一实际应用情况，我们分析在网络上传输的信息是音频、视频、数据相结合的信号，这样对网络的带宽需求就较高，因此，必须对网络带宽与网络的使用性能进行分析，以保证网络满足用户应用的需求。音频信号所需的带宽。模拟的音频信号必须转换成二进制数据后才能被计算机存储与处理。对音频信号用等于信号最高频率两倍的速率进行采样，然后对采样值按一定的量化等级进行量化与编码，就可以将音频信号转化成数字数据，并且基本保留原来的信息。采样频率与编码位数的选取视使用场

11、合而定。在 系统中，一路 所需的带宽只有56Kbps或64Kbps，而传送立体声唱片则需要1.411Mbps。视频信号所需的带宽。在计算机中，一幅图像是由一个个的像素组成的，对每个比特进行编码。灰度图像中，每个像素编码成一个8比特的数，在彩色图像中，每个像素记录了它的颜色，因此每个像素用24比特来表示，而为了获得平稳的运动画面，每秒钟又必须显示25帧的图像，这样一幅分辨率为800600的图像所需的带宽为2480060025288Mbps，通过压缩，带宽可达810Mbps。以上两种信号是网络中对带宽要求最严的数据信号，而且音频信号与视频信号突发性很大，在网络中要求实时的与高质量的传输。当网络规模

12、比较大，网络用户比较多，网络中的多个用户同时发起音频、视频信号与其它各种数据信号的传输时，往往会对网络带宽带来压力，令网络带宽不堪负荷，造成网络拥塞，严重时会导致阻塞，使网络通信停顿。为了解决网络拥塞问题，必须对各种网络技术进行选择，以符合用户对网络实际应用所提出的各项要求，以最高的性价比，实现网络功能。2.2 子网与VLAN规划校园网中所有的主机数不超过1000台。计算机的基本地域分配是：教师办公楼有210台、实验楼有220台、学生宿舍有250台、还有图书馆与教学楼一共有90台。而一个C类子网有254个可以让用户正常使用的IP地址，所以申请4个C类IP地址即可满足这个校园网需求。具体地址分配

13、如下：教师办公楼(210台)，分配一个C类子网。实验楼(220台)，分配一个C类子网。 学生宿舍(250台)，分配一个C类子网。图书馆与教学楼一共有90台，因此两栋楼可以共用一个C类IP网段，然后对其进行子网划分。分割成两个虚拟子网，由于图书馆与教学楼的主机都不超过126台，因此图书馆与教学楼的子网掩码定为：255.255.255.128。这样实现图书馆与教学楼共用一个C类IP网段，从而提高了IP地址的利用率。在校园网络的整个网络规划当中，VLAN 的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。根据以往网络管理经验与骨干网络网络建设

14、的实际情况，方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有：1.方便管理。为了更好的进行VLAN规划的实施，因此在网络实施前期，要对网络中不同区域的VLAN设置进行详细的规划，细化到接入层网络，这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话，避免由于前期配置设备时复杂烦琐，而且由于相同的用户群体可能在不同的物理位置，导致造成整个校园网络中VLAN划分复杂，减轻管理与后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划，这样既可以减少广播域，又达到划分VLAN，方便管理的效果，对于后期

15、网络维护与升级具有十分现实的意义。2.易于实施。按群体划分VLAN在工程实施中就十分的方便，不会造成VLAN划分复杂失误而使得网络出现不通的现象，便于工程快速实施与网络中心整体规划。3.VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问，对于学校重要网络资源，需要进行权限访问的时候，建议采用专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL）来进行访问权。2.3 实现的信息服务建成以后能实现除现在网络上的一般功能：如E-mail、FTP、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与

16、查询外，还应包括视频点播（VOD）、网络 （IP ）等功能，是一个高速多媒体互联网，实现整个校园系统的资源共享。兰州市第九中学校园网在信息服务与应用方面应满足以下几个方面的需求：用户需求决定了该网络系统的特殊性，按照用户的要求，网络系统须实现以下功能。信息共享。有关学校的各种资料，各种信息，如图书资料，教学资料，一些最新的学校公告等可通过网络进行查询。信息交流。可通过连接Internet实现与外部资讯的交流与沟通，从而获取当今世界的最新信息。通过计算机网络实现多媒体教学。如电子幻灯片、多媒体交互教学、电子白板等、办公自动化。通过运用先进的计算机技术实现办公自动化，使学校的各种行政、财务、日常办

17、公等计算机化，提高学校的办事效率。 同时，网络必须具备较高的性能与高度的安全性、可靠性、容错性。而且网络系统能平滑地向未来新技术过渡，保护已有的投资。2.4 应用程序局域网中的应用程序分为系统应用程序与用户应用程序。1.系统程序根据学校建网的目的，该局域网应配备如下系统应用程序：1) FTP服务器；2) Web服务器；3) E-Mail服务器；4) 数据库服务器；5) DNS服务器；6) 应用程序服务器；7) 备份服务器；2.用户程序 针对该局域网要实现信息交流、视频教学、办公自动化等功能，应配备如下用户程序：8) 实时聊天工具9) 多媒体教学及课件制作软件10) 多媒体视频点播软件11) O

18、ffice软件2.5存储系统分析随着网络技术的不断发展，校园网已经成为学校行政、教学、办公的一个基础平台，在学校的发展与建设当中扮演着越来越重要的角色。当前的中学校园网都是基于多种出口、多种操作平台的服务器群，这给服务器的管理与安全防护带来了一定的难度。我校的各类应用服务器拓扑如图所示，校园网的各类网络服务根据服务对象不同，把服务器分布在电信公网、教科网与局域网三个网段落中，三个网段落间互相隔离，从而起到安全控制的作用。主干采用千兆/百兆以太网络，存储采用独立的存储区域网络（SAN），实现数据的独立存储与管理。校园计算机网络需要的服务器通过SAN交换机连接到光纤存储系统上，图书馆系统服务器与一

19、卡通系统的服务器也通过这个交换机连接到这个存储系统上。每台服务器通过两条线路分别连接在两台SAN交换机上，浪潮英信EMC CX500存储系统通过四条线路连接在两台交换机上，由于一卡通与部分学校信息管理系统的数据尤为重要，为了万无一失，存储建议通过一台ADIC的Scalar 24 LTO磁带库，用于此类关键数据的离线备份，确保整个校园信息系统有一定的容灾能力。2.6系统及数据安全分析数据是网络的精神，数据的安全是网络安全的关键。该系统以NT为平台，以DA磁盘阵列及HA软件为核心，SQL库及所有数据存放在DA磁盘阵列中，两台服务器上只安装本地系统文件及HA软件并构成一主一从的热备方式。当系统启动后

20、，Rose HA首先启动HA manager管理程序，然后启动必要的服务与代理程序来监控与管理系统服务。HA代理程序通过RS232或专用网络适配器来监控、监测、诊断与管理硬件、软件服务。在校园网中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因些从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP

21、用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。在WINDOWS NT使用的IIS，是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，为了加大安全性，在安装配置时可以注意以下几个方面：首先，不要将IIS安装在默认目录里（默认目录为C:Inetpub），可以在其它逻辑盘中重新建一个目录，并在IIS管理器中将主目录指向新建的目录。其次，IIS在安装后，会在目录中产生如scripts等默认虚拟目录，而该目录有执行程序的权限，这对系统的

22、安全影响较大，许多漏洞的利用都是通过它进行的。因此，在安装后，应将所有不用的虚拟目录都删除掉。第三，在安装IIS后，要对应用程序进行配置，在IIS管理器中删除必须之外的任何无用映射，只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重，尽量不要给可执行权限。 2.7 QoS为确保用户各种关键业务的正常开展，必须采取全面而系统的QoS设计(提供端到端QoS服务)，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量与最低的延时；为了保证端到端用户的服务质量，因此要求端到端数据流经的所有网络设备都支持实施的QoS策略，核心设备是多个服务器接入的设备，并且担负着全网数据的交换，QoS的能力影

23、响着全网的服务质量保障能力。Qos的选择为RSVP资源预留RSVP是一个信令协议，它提供建立连接的资源预留，控制综合业务，往往在IP网络上提供仿真电路。RSVP是所有QoS技术中最复杂的一种，与尽力而为的IP服务标准差别最大，它能提供最高的QoS等级，使得服务得到保障、资源分配量化，服务质量的细微变化能反馈给支持QoS的应用与用户。协议的工作情况如下：发送端依据高、低带宽的范围、传输迟延，以及抖动来表征发送业务。RSVP从含有业务类别(TSpec)信息的发送端发送一个路径信息给目的地址(单点广播或多点广播的接收端)。每一个支持RSVP的路由器沿着下行路由建立一个路径状态表，其中包括路径信息里先

24、前的源地址(例如，朝着发送端的上行的下一跳)为了获得资源预留，接收端发送一个上行的RESV(预留请求)消息。除了TSpec，RESV消息里有请求类别(RSpec)，表明所要求的综合服务类型，还有一个过滤器类别，表征正在为分组预留资源(如传输协议与端口号)。RSpec与过滤器类别合起来代表一个流的描述符，路由器就是靠它来识别每一个预留资源的当每个支持RSVP的路由器沿着上行路径接收RESV的消息时，它采用输入控制过程证实请求，并且配置所需的资源。如果这个请求得不到满足(可能由于资源短缺或未通过认证)，路由器向接收端返回一个错误消息。如果这个消息被接受，路由器就发送上行RESV到下一个路由器当最后

25、一个路由器接收RESV，同时接受请求的时候，它再发送一个证实消息给接收端当发送端或接收端结束了一个RSVP会话时，有一个明显的断开连接的过程。2.8 网间隔离网络隔离，英文名为Network Isolation，主要是指把两个或两个以上不可路由的网络(如：TCP/IP)通过不可路由的协议(如：IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离(Protocol Isolation)。协议隔离与防火墙不属于同类产品。 网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层

26、的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂与高带宽需求的网间数据交换。而由于设计原理问题使得第三代与第四代隔离产品在这方面很难突破，既便有所改进也必须付出巨大的成本，与“适度安全”理念相悖。第3章 拓扑图及方案整体描述3.1 拓扑图及方案整体描述本方案主要选择千兆以太网技术来构建校园网络，对两层结点与桌面微机的接入也采用快速以太网，建立一个基于多层、全交换的虚拟校园网。在实

27、际构筑中采用三层结构。最下层到桌面为100Mbps；第二层为楼内各楼层到二级交换机，由100M bps的交换式快速以太网构成；各楼到网络中心（即主干）为千兆位以太网。根据前面的分析，画出兰州市第九中学校园网拓扑结构图，如图3-1所示：图书馆宿舍楼Interne接入入点 口入点 实验楼办公楼 宿舍楼办公楼实验楼Catalyst3000Catalyst3000Catalyst5000Catalys t3000教学楼网管中心Catalyst3000Catalyst3000Catalyst3000千兆光纤百兆光纤双绞线 图 兰州市第九中学校园网拓扑结构图3.2 Internet接入方案对于校园网，可以

28、采用路由器实现接入Internet。在局域网上通过代理服务器软件或者路由器，都可以解决多用户共享访问Internet问题，实质上是一个介于用户群体与Internet之间的桥梁，用以实现其网络用户对Internet的访问。在使用路由器接入Internet时，dh|I3-EclJd对于缺少合法IP地址情况下，可以使用（NAT）地址转换技术实现内部网络对外部网络的访问。路由器在收到内部网络中的计算机访问外部网络的IP数据包时，将这些非法的IP地址转换成合法的IP地址， 作为IP数据包的源地址访问外部网络，当回来的数据包经过路由器时，在把该数据包的目标地址转换为相应的局域网内的主机IP地址，并把该数据

29、包传送到相应主机，SB网TDe_4jzv软s从而达到访问Internet的目的。这些功能其实是NAT（网络地址转换）的一部分。 除了NAT之外，路由器接入Internet还采用了防火墙技术，主要是基于源与目标IP地址以及端口过滤的防火墙技术。通过防火墙技术，可以在一定程度上使内部局域网免受外面的攻击，起到一定的安全作用。目前国内常见的有以下的几种接入方式可选择：1.TN公共 网 这是最容易实施的方法，费用低廉。只要一条可以连接ISP的 线与一个账号就可以。但缺点是传输速度低，线路可靠性差。如果用户多，可以多条 线共同工作，提高访问速度。2.DN 目前在国内迅速普及，价格大幅度下降，有的地方甚至

30、是免初装费用。两个信道128kbit/s的速率，快速的连接以及比较可靠的线路，可以满足校园网浏览以及收发电子邮件的需求。而且还可以通过ISDN与Internet组建VPN。这种方法的性能价格比很高，在国内大多数的城市都有ISDN接入服务。 3.ADSL 非对称数字用户环路，可以在普通的 铜缆上提供158Mbit/s的下行与1064kbit/s的上行传输，可进行视频会议与影视节目传输。可是有一个致命的弱点：用户距离电信的交换机房的线路距离不能超过46km，限制了它的应用范围。3.3 远程访问支持远程访问通常指远程接入，即远程计算机通过拨号线路连接到本地网络。远程访问最主要的应用有两类，一是供远程

31、移动用户接入校园网的本地网络，二是供ISP(因特网服务提供商)提供Internet接入服务。在实际应用中，主要通过专门的硬件设备来提供远程访问服务，如3COM的NETServer能够提供16路 线或ISDN拨号上网，使用于远程用户不同的校园网网络的远程接入，而TotalControl多服务平台一般用作ISP的介入设备，能够同时支持大量用户通过 线或ISDN上网。也可通过软件来提供远程访问服务，如WindowsW与Windows2000网络操作系统都集成了远程访问服务器。这种软件方式，效率虽然不如专门的硬件设备，但是在有些场合下则是一种经济有效的解决方案，特别是对远程接入用户较少的网络来说，非常

32、适用。广义的远程访问包括远程控制与远程客户两种方式。远程控制主要用于从一台计算机控制与操作另一台计算机,一般通过远程控制软件来实现，如著名的PC Anywhere。远程客户即是本章主要介绍的远程拨号接入，由远程服器提供若干远程计算机连接到网络的服务，如无特别说明，一般就称为远程访问，也有称远程接入的。Windows2000远程访问是整个路由与远程访问服务的一部分。路由与远程访问是互相关联的，但路由与远程访问是两个独立的网络功能。Windows2000服务器将虚拟专用网络集成到路由与远程访问服务(RRAS)组件。运行Windows2000的远程访问服务器提供两种不同的远程访问连接，即拨号网络与虚

33、拟专用网络。通过使用远程通信提供商(例如模拟 、ISDN或X.25)提供的服务，远程客户机使用非永久的拨号连接到远程访问服务器的物理端口上，这时使用的网络就是拨号网络。最常见的使用方式是拨号网络客户机使用拨号网络拨打远程访问服务器某个端口的 号码。拨号网络客户机与拨号网络服务器之间通过拨号网络(模拟 或ISDN线路)建立直接的物理连接。如何组建拨号网络是本章的中心内容。虚拟专用网络是在公共网络(Internet)环境中建立的专用网络。虚拟专用网络客户机使用特定的。称为隧道协议的基于TCP/IP的协议，来对虚拟专用网络服务器的虚拟端口( 号码)进行依次虚拟呼叫。最常见的使用方式是，虚拟网络客户机

34、使用虚拟专用网络连接连接到与Internet相连的远程访问服务器上。远程访问服务器应答虚拟呼叫，验证呼叫方身份，并在虚拟专用网络客户机与校园网网络之间传送数据。虚拟专用网络客户机与虚拟专用网络服务器之间通过虚拟专用网络建立逻辑的、非直接的连接。当Wimdows2000服务器用于拨号网络时常常称为拨号网络服务器;当Windows2000服务器用于虚拟专用网络时，则称为VPN服务器。两者在Windows2000中统称为远程访问服务器。3.4 子网划分与VLAN设定3.4.1 VLAN设定VLAN的划分方法有：包括基于端口的VLAN、基于MAC地址的VLAN与基于协议的VLAN等。(1)基于端口划分

35、VLAN定了依据以太网交换机的端口来划分VLAN的国际标准。定义VLAN成员时非常简单有效，只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑端口所连接的设备。但如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。(2)基于MAC地址划分VLAN这种方法是根据每个主机的MAC地址来划分的。MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址由12位十六进制数表示，前8位为厂商标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。当用户物理位置移动时，即一个交换机寰岛其他的交换机时，VLAN不用重新配置

36、，所以可以认为这种根据MAC地址的划分方法时基于用户的。但初始化时，所有的用户都必须进行配置。如果有几百个甚至上千个用户的话，配置时非常累的。而且，导致了交换机执行效率的降低。因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。对于经常更换网卡的用户，例如使用笔记本电脑的用户来说，VLAN就必须经常重新配置。(3)根据IP组播划分VLANIP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。鉴于当前业界

37、VLAN发展的趋势，考虑到各种VLAN划分方法的优缺点，为了最大程度地满足用户在具体使用过程中的需求，减轻用户在VLAN的具体使用与维护中的工作量，一般采用根据端口来划分VLAN的方法。不同的VLAN数据包可以打上不同的VLAN标记，用于VLAN的识别。校园网VLAN划分方法也就是按端口来划分的。(4)基于协议（即网络层）划分VLAN路由协议工作在网络层，相应的工作设备有路由器与路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的。虽然这种划分方法根据的是网络地址，比如

38、IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以没有RIP、OSPF等路由协议，而是根据生成树算法进行桥交换。用户的物理位置改变了，不需要重新配子所属的VLAN。而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要。这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。但是整个交换效率低，因为检查每一个数据包的网络层地址需要消耗处理时间的（相对于前面两种方法）。一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。校园网总共划分

39、成18个VLAN，每个VLAN中信息点的数量不是太多，而且至少都是100Mbps到桌面，防止了广播风暴的产生。其中网络中心的所有路由器、交换机与服务器组，以及各栋楼的分布层交换机都划分到了VLAN 1，即网络管理VLAN，便于网络设备、服务器的配置与管理，也起到了一定的安全防护作用。其余的楼宇与部分楼层都被划分到了不同的VLAN，如图书馆的电子阅览室、机房，办公楼，学生公寓等，其中实验楼，学生公寓与教室公寓由于计算机数量更多，必须划分为更细更多的VLAN。3.4.2 子网划分1.IP地址规划原则IP地址规划有以下原则。简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式；连续性：为同一个

40、网络区域分配连续的网络地址，便于采用Summarization及CIDR（ClasslessInterdomainRouting）技术缩减路由表的表项，加快路由器的收敛速度，也可以减少网络中广播的路由信息的大小，提高路由器的处理效率；可扩充性：考虑到信息网络的飞速发展，为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性，满足网络信息平台未来发展的需要；灵活性：地址分配不应该仅基于某个网络路由策略的优化方案，而应该便于多数路由策略在该地址分配方案上实现优化，满足各种用户接入的需要；可管理性：地址的分配应该有层次，某个局部单位IP地址的变化不要影响全局网络；

41、安全性：网络内应按工作内容划分成不同网段即子网，以便进行管理；高利用率：合理使用地址块，并且采用VLSM技术，提高IP地址利用效率。2.IP地址编码结构与分配本设计方案校园网使用1个C类的地址段：192.168.5.0192.168.5.255地址段，校园局域网需要规划的IP地址包括：办公区IP；教学区IP192.168.5.120。IP网段网关VLAN ID端口建筑物名称1S3750 1-2宿舍楼12S3750 3宿舍楼23S3750 4教学楼14S3750 5教学楼25S3750 6实验室192.168.5.2546S3750 7行政楼192.168.6.2547S3750 8图书馆图3.

42、2 VLAN划分与IP地址规3.5 网间隔离方案设计网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂与高带宽需求的网间数据交换。而由于设计原理问题使得第三代与第四代隔离产品在这方面很难突破，既便有所改进也必须付出巨大的成本，与“适度安全”理念相悖。校园网网络隔离图如图

43、3-2所示。图 网络隔离图3.6 存储方案比较了各种存储方案之后，在本组网方案中决定采用RAID方式。RAID，为RedundantArraysofIndependentDisks的简称，中文为独立磁盘冗余数组。RAID为使用者降低了成本、增加了执行效率，并提供了系统运行的稳定性。标准的RAID写操作，包括如：RAID4或RAID5中所必需的校验计算，需包括以下几个步骤：以校验盘中读取数据；以目标数据盘中读取数据；以旧校验数据，新数据及已存在数据，生成新的校验数据；将新校验数据写入校验盘；将新数据写入目标数据盘。 当主机将一个待写入阵列RAID组中的数据发送到阵列时，阵列控制器将该数据保存在缓

44、存中并立即报告主机该数据的写入工作已完成。该数据写入到阵列硬盘的工作由阵列控制器完成，该数据可继续存放在Cache中直到Cache满，而且要为新数据腾出空间而必须刷新时或阵列需停机时，控制器会及时将该数据从Cache写入阵列硬盘中。 这种缓存回写技术使得主机不必等待RAID校验计算过程的完成，即可处理下一个读写任务，这样，主机的读写效率大为增加。3.7 设备选型校园网硬件主要有以下部件组成：交换机、路由器、服务器、网卡、传输介质。交换机采用华为S1216，这款千兆交换机有16个10M/100M/1000M自适应RJ45接口，可插入二对100M光纤模块。为网络设备的升级与网络端口的扩充打下了良好

45、的基础。易于操作与管理以太网络技术本身就具有极强的可管理性。BENQ-SS0224交换机的配置界面清晰明了，为网络的安装、设置与管理带来的极大的便利。网管软件使用图形界面简化了网络的管理与维护使用标准协议使不同网络设备的互连成为可能。以上这些都具有良好的扩展性。路由器采用CISCO-7513，这是多协议高端路由器，最大DRAM内存（MB）：32MB（缺省），128MB（RSP2最大），256MB（RSP2最大），最大Flash局域网端口适配器：5端口以太网10BaseFL，2端口快速以太网/ISL 100BaseFX，4端口令牌环网4/16Mbps，全双工，1端口FDDI全双工多模式或单模式

46、；广域网端口适配器：1端口多通道T3，带有集成化CSU/DSU的8端口多通道T1。支持多协议如：IEEE 802.3，ISDN；加密标准AH（MD5），ESP（Null，DES，3DES，ARC4，proprietary fast encoding，+MD5/HMAC，-MD5）；PPP （PAP，CHAP，LCP，IPCP，MLPPP）。支持的网管协议：Cisco ClickStart，SNMP。支持VPN、Qos、内置防火墙、安全标准：CE FCC、电源电压（V）：100-240，电源功率（W）150。防火墙采用CISCO PIX-50， CISCO设备类型，3500网络吞吐，10Mpps

47、安全过滤，3MB用户数限，10设备类型，并发连接数 3500，网络吞吐量 10Mpps，安全过滤带宽 3MB，用户数限制 10，入侵检测 DoS、IDS，安全标准 UL1950, CAN/CSA-C22.2 No. 950，EN 60950, IEC60825-1, IEC60825-2, EN60825-1, EN60825-2, 21CFR 1040，控制端口 RS-232，管理 CSPM,PDM,CLI,WEB,管理软件： CISCO PIX-501-一般参数 适用环境 工作温度（） 0 - 40工作湿度 5% - 95%存储温度（） -20 - 65存储湿度 10% - 90%，电源 220V,5W，尺寸 159*140*25mm，重量 0.34kg ，其他性能 CPU;133MHz AMD SC520,闪存: 8 MB