校園網絡設計方案

　 前言 .....................................................................

　一、 需求分析 ........................................................... 1 1.1 實施背景 ........................................................ 1 1.2 網絡應用需求 .................................................... 2 1.3 網絡性能需求 .................................................... 2 1.4 信息點統(tǒng)計 ...................................................... 3 二、

　網絡總體設計 ...................................................... 3 2.1 網絡構架分析 .................................................... 3 2.2 設計思路 ........................................................ 3 2.3 校園網的設計原則 ................................................ 4 2.4 網絡三層結構設計 ................................................ 4 2.4.1

　核心層設備選型 ............................................ 5 2.4.2

　匯聚層設備選型 ............................................ 6 2.4.3

　接入層設備選型 ............................................ 7 2.4.4

　防火墻設備選型 ............................................ 9 2.4.5

　服務器設備選型 ........................................... 10 2.5 接入 Internet 設計 .............................................. 16 2.6 VLAN 的劃分及 IP 地址的分配 ...................................... 18 2.6.1 Vlan 號(ID)的分配規(guī)劃 ..................................... 18 2.6.2 具體 VLAN 詳細表 ........................................... 18 2.7 IP 地址的分配原則 ............................................... 19 2.8 物理/鏈路層配置原則 ............................................ 21 第 3 章

　網絡安全與管理 ................................................. 21 3.1 網絡安全 ....................................................... 21 3.1.1 威脅網絡安全因素分析 ...................................... 22 3.1.2 網絡安全防范措施 .......................................... 22 3.2 網絡管理 ...................................................... 23 3.2.1

　網絡管理的內容 ........................................... 23 3.2.2

　網絡管理的手段 ........................................... 23 3.3 網絡安全策略配置 ............................................... 24 3.3.1 安全接入和配置 ............................................ 24 3.3.2 拒絕服務的防止 ............................. 錯誤! ! 未定義書簽。

　3.3.3 訪問控制 .................................................. 25 3.4 電源系統(tǒng) ....................................................... 25

　第四章

　代碼設計

　前言 科學技術的發(fā)展日新月異，九十年代，在計算機技術和通信技術結合下，網絡技術得到了飛速的發(fā)展。如今，不僅計算機已經和網絡緊密結合，整個社會都不可能脫離網絡而存在。網絡技術已經成為現(xiàn)代信息技術的主流，人們對網絡的認識也隨著網絡應用的逐漸普及而迅速改變。在不久的將來，網絡必將成為和電話一樣通用的工具，成為人們生活、工作、學習中必不可少的一部分。

　Internet，即國際互聯(lián)網，是現(xiàn)在網絡應用的主流，從它最初在美國誕生至今已經經歷了三十多年。這個以 TCP/IP 協(xié)議為主體的國際互聯(lián)網絡已經成為覆蓋全世界一百五十多個國家和地區(qū)的大型數據通信網絡。最初的 Internet 是由科研網絡形成的，主要是由一些大學和研究所等科研教育單位連接而成，逐漸發(fā)展到今天的規(guī)模。而進入九十年代后，由于各種商業(yè)信息進入了 Internet，使得 Internet 得到了極大地發(fā)展，其擁有的主機數，連接的網絡數以及覆蓋面一直呈指數形式上升。現(xiàn)在在Internet 上可以提供或者獲得各種各樣的服務，比如通過電子郵件進行合同的起草和簽訂，或利用 Internet 直接挑選商品和購物。

　Internet 是一個資源的網絡，其中擁有的信息資源幾乎覆蓋所有的領域。Internet 面向人類的社會，世界上數以億計的人們利用它進行通信和信息共享，通過發(fā)送和接收電子郵件，或和其他人的計算機建立連接、參加各種討論組并免費使用各種信息資源實現(xiàn)信息共享。

　Internet 也是一個服務的網絡。在 Internet 上，許多單位、公司和組織提供了各種各樣的服務。比如 WWW（World Wide Web 全球信息網）服務、信息查詢服務等，向網絡上的其他用戶展示自己各方面的情況，并幫助這些用戶找到需要的信息。

　將來的網絡在 Internet 基礎上進一步發(fā)展，其功能、速度、適用范圍等必將全面超過現(xiàn)有的 Internet。

　泰興市第四高級中學對計算機網絡的建設投入了大量的人力和物力，在短短的幾年中，已經從最初僅僅局限在教育科研單位的網絡，迅速發(fā)展到今天遍及全國的包括教育、科研、商業(yè)、民用各個方面的數個大型網絡，如 Chinanet（中國郵電網）、Cernet（中國教育網）、Gbnet（金橋網絡）等等。目前在網絡上提供有價值、有吸引力的信息，對一個學校樹立自己的形象，提高自己的知名度，以及開拓和市里上其他學校、組織的聯(lián)系和往來能夠起到很顯著的作用。

　泰興市第四高級中學校園網將實現(xiàn)與校內各部門進行通信。泰興市第四高級中學校園網將為學校的科研、教學、管理提供必要的技術手段，為研究開發(fā)和培養(yǎng)人才建立平臺，借此加快學校的發(fā)展，以此加快學校的發(fā)展，成為一個具有示范性的學校。

　一、需求分析

　1.1 實施背景

　泰興市第四高級中學為了加快校園信息化建設，需要建設一個高性能的、安全可靠的校園網絡，校園網建成后，要求能夠實現(xiàn)校園內部各種信息服務功能，實現(xiàn)與教育網的無阻礙連通，同時提供寬帶接入功能，以備主連接失效情況下的被用連接要求，能夠實現(xiàn)校園辦公自動化需求。

　1.2 網絡 應用需求

　這方面的需求不同學校有著明顯不同，大體都可以分為，教學、辦公、后勤、實訓這四方面應用。如對教學、科研方面的網絡設計應考慮穩(wěn)定、擴展、安全等問題；

　辦公、后勤等帶寬是要著重考慮的方面，所以學校應該根據自己的實際情況來考慮網絡的結構，及安全問題。

　校園網在信息服務與應用方面應滿足以下幾個方面的需求：

　1. 學校主頁。學校應建立獨立的 WWW 服務器，在網上提高學校主頁等服務，包括校情簡介、學校新聞、校報（電子報）、招生信息以及校內電話號碼和電子郵件地址查詢等。

　2. 文件傳輸服務（FTP）。考慮到師生之間共享軟件，校園網應提供文件傳輸服務（ftp）。文件傳輸服務器上存放各種各樣自由軟件和驅動程序，師生可以根據自己需要隨時下載并把它們安裝在本機上。

　3. 校園網站建設（WWW、FTP、E-mail、DNS、PROXY 代理、撥入訪問、流量計費等）； 4. 多媒體輔助點播教學兼遠程教學：校園網要求具有數據、圖像、語音等多媒體實時通訊能力；并在主干網上提供足夠的帶寬和可保證的服務質量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數據傳輸使用，最大可能地降低網絡傳輸的延遲。

　5. 校園辦公管理； 6. 學校教務管理； 7. 校園通卡應用； 8. 網絡安全 FIREWALL； 9. 圖書管理、電子閱覽室； 10. 系統(tǒng)應提供基本的 Web 開發(fā)和信息制作的平臺。

　1.3 網絡性能需求 性能需求：有服務效率、服務質量、網絡吞吐率、網絡響應時間、數據傳輸速度、資源利用率、可靠性、性能/價格比等； 根據本工程的特殊性，語音點和數據點使用相同的傳輸介質，即統(tǒng)一使用超 5 類4 對雙絞電纜，以實現(xiàn)語音、數據相互備份的需要； 對于網絡主干，數據通信介質全部使用光纖，語音通信主干使用大對數電纜；光纜和大對數電纜均留有余量；對于其他系統(tǒng)數據傳輸，可采用超 5 類雙絞線或專用線纜。

　1.4 信息點統(tǒng)計 泰興市第四高級中學聯(lián)網各樓所在位置及信息點分布情況如下。

　二、

　網絡總體設計

　1 2.1 網絡架構分析

　現(xiàn)代網絡結構化布線工程中多采用星型結構，主要用于同一樓層，由各個房間的計算機間用集線器或者交換機連接產生的，它具有施工簡單，擴展性高，成本低和可

　管理性好等優(yōu)點；而校園網在分層布線主要采用樹型結構；每個房間的計算機連接到本層的集線器或交換機，然后每層的集線器或交換機在連接到本樓出口的交換機或路由器，各個樓的交換機或路由器再連接到校園網的通信網中，由此構成了校園網的拓補結構 校園網采用星形的網絡拓撲結構，骨干網為 1000M 速率具有良好的可運行性、可管理性，能夠滿足未來發(fā)展和新技術的應用，另外作為整個網絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。

　因此在網絡中心的設備選型和結構設計上必須考慮整體網絡的高性能和高可靠性，我們選擇熱路由備份可以有效地提高核心交換的可靠性。

　傳輸介質也要適合建網需要。在樓宇之間采用 1000M 光纖，保證了骨干網絡的穩(wěn)定可靠，不受外界電磁環(huán)境的干擾，覆蓋距離大，能夠覆蓋全部校園。在樓宇內部采用超 5 類雙絞線，其連接狀態(tài) 100m 的傳遞距離能夠滿足室內布線的長度要求。

　 2.2 設計思路

　進行校園網總體設計，首先要進行對象研究和需求調查，明確學校的性質、任務和改革發(fā)展的特點及系統(tǒng)建設的需求和條件，對學校的信息化環(huán)境進行準確的描述；其次，在應用需求分析的基礎上，確定學校 Intranet 服務類型，進而確定系統(tǒng)建設的具體目標，包括網絡設施、站點設置、開發(fā)應用和管理等方面的目標；第三是確定網絡拓撲結構和功能，根據應用需求建設目標和學校主要建筑分布特點，進行系統(tǒng)分析和設計；第四，確定技術設計的原則要求，如在技術選型、布線設計、設備選擇、軟件配置等方面的標準和要求；第五，規(guī)劃校園網建設的實施步驟。

　校園網總體設計方案的科學性，應該體現(xiàn)在能否滿足以下基本要求方面：

　（1）整體規(guī)劃安排； （2）先進性、開放性和標準化相結合； （3）結構合理，便于維護； （4）高效實用； （5）支持寬帶多媒體業(yè)務； （6）能夠實現(xiàn)快速信息交流、協(xié)同工作和形象展示。

　 2.3 校園網的設計原則

　（1）先進性原則 以先進、成熟的網絡通信技術進行組網，支持數據、語音和視頻圖像等多媒體應用，采用基于交換的技術代替?zhèn)鹘y(tǒng)的基于路由的技術，并且能確保網絡技術和網絡產品在幾年內基本滿足需求。

　（2）開放性原則 校園網的建設應遵循國際標準，采用大多數廠家支持的標準協(xié)議及標準接口，從而為異種機、異種操作系統(tǒng)的互連提供便利和可能。

　（3）可管理性原則 網絡建設的一項重要內容是網絡管理，網絡的建設必須保證網絡運行的可管理性。在優(yōu)秀的網絡管理之下，將大大提高網絡的運行速率，并可迅速簡便地進行網絡故障的診斷。

　（4）安全性原則 信息系統(tǒng)安全問題的中心任務是保證信息網絡的暢通，確保授權實體經過該網絡安全地獲取信息，并保證該信息的完整和可靠。網絡系統(tǒng)的每一個環(huán)節(jié)都可能造成安

　全與可靠性問題。

　（5）靈活性和可擴充性 選擇網絡拓撲結構的同時還需要考慮將來的發(fā)展，由于網絡中的設備不是一成不變的，如需要添加或刪除一個工作站，對一些設備進行更新?lián)Q代，或變動設備的位置，因此所選取的網絡拓撲結構應該能夠容易的進行配置以滿足新的需要。

　（6）穩(wěn)定性和可靠性 可靠性對于一個網絡拓撲結構是至關重要的，在局域網中經常發(fā)生節(jié)點故障或傳輸介質故障，一個可靠性高的網絡拓撲結構除了可以使這些故障對整個網絡的影響盡可能小以外，同時還應具有良好的故障診斷和故障隔離功能。

　 2.4 網絡三層結構設計

　校園網網絡整體分為三個層次：核心層、匯聚層、接入層。為實現(xiàn)校區(qū)內的高速互聯(lián)，核心層由 1 個核心節(jié)點組成，包括教學區(qū)區(qū)域、服務器群；匯聚層設在每棟樓上，每棟樓設置一個匯聚節(jié)點，匯聚層為高性能“小核心”型交換機，根據各個樓的配線間的數量不同，可以分別采用 1 臺或是 2 臺匯聚層交換機進行匯聚，為了保證數據傳輸和交換的效率，現(xiàn)在各個樓內設置三層樓內匯聚層，樓內匯聚層設備不但分擔了核心設備的部分壓力，同時提高了網絡的安全性；接入層為每個樓的接入交換機，是直接與用戶相連的設備。本實施方案從網絡運行的穩(wěn)定性、安全性及易于維護性出發(fā)進行設計，以滿足客戶需求。

　泰興市第四高級中學網絡拓撲 圖

　邏輯圖如下：

　 高三教學樓 高三教學樓高二教學樓高一教學樓食堂學生宿舍學生宿舍服務器群教學區(qū)后勤實訓區(qū)辦公區(qū)校長辦公室主任辦公室副校長主任辦公室10000兆1000兆100兆

　 網絡設備的選擇依據

　（1）通常將網絡中直接面向用戶連接或訪問網絡的部分稱為接入層，將位于接入層和核心層之間的部分稱為分布層或匯聚層。

　 接入層目的是允許終端用戶連到網絡，因此接入層交換機具有低成本和高端口密度特性。

　 匯聚層交換層是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。

　而將網絡主干部分稱為核心層，核心層的主要目的在于通過高速轉發(fā)通信，提供安全，可靠的骨干傳輸結構，因此核心層交換機應擁有更高的可靠性，性能和吞吐量

　 （2）服務器網卡：一般采用帶智能的網卡，它能夠利用其內置的處理器最大限度地優(yōu)化服務器資源。

　 （3）校園網絡出口設備：路由器，一般帶 NAT 功能，防火墻功能等。

　 設備及線纜選型 名稱 型號 單價 數量 合計 路由器 7206VXR 3.5 萬 1 臺 3.5 萬 核心層交換機 Quidway S9303 10 萬 2 臺 20 萬 匯聚層交換機 WS-C2960-G-48 2.2 萬 4 臺 8.8 萬 接入層交換機（24口）

　H3C S1216 1300 13 臺 1.69 萬 接入層交換機（48口）

　H3C S1550 2800 7 臺 1.96 萬 防火墻 USG3030 3 萬 1 臺 3 萬 服務器 電子郵件服務器 eWorld 郵件服務器M 5.7 萬 1 臺

　文件傳輸服務器 eWorld 寬 帶 主 機S20 2.86 萬 1 臺

　計費服務器 藍 海 卓 越NS-G50-2000 3.96 萬 1 臺

　代理服務器

　1250 1 臺

　EEB 服務器

　1.18 萬 1 臺

　UPS C3KVA/2100W 2250 1 2250 調制解調器 ATRIE WireSpan 1000 1 1000

　300E 超五類非屏蔽雙腳線 安普 6-219507-4 720

　 12 芯多模光纜 TCL 12 芯室內多模光纜 40

　 12 芯單模光纜 TCL 12 芯室內單模光纜 33

　交換機 和路由器的配置 ③配置核心層交換機，進入 f0/1 接口，開啟三層端口。配置靜態(tài)路由，配置訪問外網缺省路由。配置口令如下：

　RG-S1824GT(config)#interface fastEthernet 0/1 RG-S2312GP (config-fastEthernet 0/1)#no switchport

　RG-S2312GP (config-fastEthernet 0/1)#ip address 192.168.1.2 255.255.255.0 RG-S2312GP (config-fastEthernet 0/1)#exit RG-S2312GP (config)# interface fastEthernet 0/5 RG-S2312GP (config-fastEthernet 0/5)#no switchport RG-S2312GP (config- fastEthernet 0/5)#ip address 192.168.2.1 255.255.255.0 RG-S2312GP (config- fastEthernet 0/5)#exit RG-S2312GP (config)#vlan 50 RG-S2312GP (config)# interface fastEthernet 0/3 RG-S2312GP (config-fastEthernet 0/3)#switchport access vlan 50 RG-S2312GP (config-fastEthernet 0/3)#exit RG-S2312GP (config)# interface vlan 50 RG-S2312GP (config-VLAN 50)#ip address 192.168.50.1 255.255.255.0 RG-S2312GP (config -VLAN 50)# exit RG-S2312GP (config)#ip route 192.168.10.0 255.255.255.0 192.168.2.2 RG-S2312GP (config)#ip route 192.168.20.0 255.255.255.0 192.168.2.2 RG-S2312GP (config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 ④配置出口路由器 1）RG-S2320OG 路由器基本配置，口令如下：

　RG-S2320OG(config)#interface fastEthernet 0/0

　RG-S2320OG (config-if-FastEthernet 0/0)#ip address 192.168.1.1 255.255.255.0

　RG-S2320OG (config- if-FastEthernet 0/0)#no shut RG-S2320OG (config- if-FastEthernet 0/0)#no shutdown RG-S2320OG (config- if-FastEthernet 0/0)# exit RG-S2320OG (config)#interface fastEthernet 0/1

　RG-S2320OG (config- if-FastEthernet 0/1)#ip address 200.1.1.2 255.255.255.0 RG-S2320OG (config- if-FastEthernet 0/1)#no shut RG-S2320OG (config if-FastEthernet 0/1)#exit 2）在 RG-S2320OG 上進行路由配置。配置靜態(tài)路由，配置訪問外網缺省路由，口令如下：

　RG-S2320OG (config)#ip route 192.168.10.0 255.255.255.0 192.168.1.2 RG-S2320OG (config)#ip route 192.168.20.0 255.255.255.0 192.168.1.2 RG-S2320OG (config)#ip route 192.168.50.0 255.255.255.0 192.168.1.2 RG-S2320OG (config)#ip route 0.0.0.0 0.0.0.0 200.168.1.1 3)利用動態(tài) NAPT 實現(xiàn)局域網訪問互聯(lián)網配置，創(chuàng)建訪問控制列表，定義 f0/0 接口為內部接口,定義 f0/1 為外部接口，配置 NAT 地址池，配置動態(tài) NAT，允許內網訪問互聯(lián)網，配置口令如下：

　RG-S2320OG(config)#access-list 10 permit 192.168.10.0 0.0.0.255

　RG-S2320OG(config)#access-list 10 permit 192.168.20.0 0.0.0.255 RG-S2320OG(config)#access-list 10 permit 192.168.50.0 0.0.0.255 RG-S2320OG (config)#interface fastEthernet 0/0 RG-S2320OG (config- if-FastEthernet 0/0)#ip nat inside RG-S2320OG (config- if-FastEthernet 0/0)#exit

　RG-S2320OG (config)#interface fastEthernet 0/1 RG-S2320OG (config- if-FastEthernet 0/1)#ip nat outside RG-S2320OG (config- if-FastEthernet 0/1)#exit RG-S2320OG (config)# interface fastEthernet 0/1 RG-S2320OG (config-fastEthernet 0/1)# ip nat outside RG-S2320OG (config-fastEthernet 0/1)#exit RG-S2320OG (config)#ip nat pool aaa 200.1.1.3 200.1.1.6 netmask 255.255.255.0 RG-S2320OG (config)#ip nat inside source list 10 pool aaa overload 4）利用 NAT 實現(xiàn)外網主機訪問內網服務器。配置靜態(tài) NAT，將內部 FTP 服務器發(fā)布到互聯(lián)網。

　RG-S2320OG (config)#ip nat inside source static tcp 192.168.50.254 21 200.1.1.7 21 RG-S2320OG (config)#ip nat inside source static tcp 192.168.50.254 20 200.1.1.7 20 2.5 接入 t Internet 設計

　Internet 接入方式主要有以下六種:撥號上網方式,使用 ISDN 專線入網,使用 ADSL 寬帶入網,使用 DDN 專線入網,使用幀中繼方式入網,局域網接入。

　1．撥號上網方式 撥號上網方式又稱為撥號 IP 方式，因為采用撥號上網方式，在上網之后會被動態(tài)地分配一個合法的 IP 地址。用撥號方式上網的投資不大，但是能使用的功能比撥號仿真終端方法聯(lián)入要強得多。撥號上網就是通過電話撥號的方式接入 Internet 的，但是用戶的電腦與接入設備連接時，該接入設備不是一般的主機，而是稱為接入服務（Access Server）的設備，同時在用戶電腦與接入設備之間的通信必須用專門的通信協(xié)議 SLIP 或 PPP。

　撥號上網的特點：投資少，適合一般家庭及個人用戶使用；速度慢，因為其受電話線及相關接入設備的硬件條件限制，一般在 56K 左右。

　2．ISDN 專線接入 ISDN 專線接入又稱為一線通、窄帶綜合業(yè)務數字網業(yè)務（N-ISDN）。它是在現(xiàn)有電話網上開發(fā)的一種集語音、數據和圖像通信于一體的綜合業(yè)務形式。

　一線通利用一對普通電話線即可得到綜合電信服務：邊上網邊打電話、邊上網邊發(fā)傳真、兩部計算機同時上網、兩部電話同時通話等。

　通過 ISDN 專線上網的特點：方便，速度快，最高上網速度可達到 128K/S。

　3．ADSL 寬帶入網 ADSL 即不對稱數字線路技術，是一種不對稱數字用戶線實現(xiàn)寬帶接入互聯(lián)網的技術，其作為一種傳輸層的技術，利用銅線資源，在一對雙絞線上提供上行 640kbps、下行 8Mbps 的寬帶，從而實現(xiàn)了真正意義上的寬帶接入。

　ADSL 寬帶入網特點：與撥號上網或 ISDN 相比，減輕了電話交換機的負載，不需要撥號，屬于專線上網，不需另繳電話費。

　4．DDN 專線入網

　DDN 即數字數據網，是利用數字傳輸通道（光纖、數字微波、衛(wèi)星）和數字交叉復用節(jié)點組成的數字數據傳輸網。可以為用戶提供各種速率的高質量數字專用電路和其它新業(yè)務，以滿足用戶多媒體通信和組建中高速計算機通信網的需要。

　其主要特點：

　傳輸質量高，信道利用率高；傳輸速率高，網絡時延小；·數據信息傳輸透明度高，可支持任何規(guī)程，可傳輸語音、數據、傳真、圖象等多種業(yè)務；適用于數據信息流量大的校園；·網絡運行管理簡便，對數據終端的數據傳輸速率沒有特殊要求。

　其主要優(yōu)點：

　能提供高性能的點到點通信；通信保密性強，特別適合金融、保險等保密性要求高的客戶需要；傳輸質量高，網絡時延小，通信速率可根據用戶需要選擇；信道固定分配，充分保證了通信的可靠性，保證用戶的帶寬不會受其他用戶的影響；用戶通過這條高速的國際互聯(lián)網通道，可構筑自己的 Internet、E-mail 等應用系統(tǒng)；用戶網絡的整體接入使局域網內的 PC 均可共享互聯(lián)網資源；用戶可免費得到多個 Internet 合法 IP 地址及域名；用戶可實現(xiàn)每天 24 小時全天候的信息發(fā)布，即用戶可建立自己的Web 站點，向國際互聯(lián)網發(fā)布自己的信息或提供信息服務；·用戶可通過防火墻等技術保護內部網絡免受不良侵害；用戶可通過 VPN（Virtual Private Network）虛擬私

　用網絡功能，利用首創(chuàng)網絡綜 合信息平臺實惠安全、可靠的企業(yè)網的國際網絡互聯(lián)，從而構建起企業(yè)的國際專用互 聯(lián)網絡。

　5．幀中繼方式入網 幀中繼是在 OSI 第二層上用簡化的方法傳送和交換數據單元的一種技術。通過幀中繼入網需申請幀中繼電路，配備支持 TCP/IP 協(xié)議的路由器，用戶必須有 LAN（局域網）或 IP 主機，同時需申請 IP 地址和域名。入網后用戶網上的所有工作站均可享受Internet 的所有服務。

　幀中繼上網特點：通信效率高，租費低，適用于 LAN 之間的遠程互聯(lián)，傳輸速率在 9600bps~2048kbps 之間。

　6．局域網接入 局域網連接就是把用戶的電腦連接到一個與 Internet 直接相連的局域網 LAN 上，并且獲得一個永久屬于用戶電腦的 IP 地址。不需要 Modem 和電話線，但是需要有網卡才能與 LAN 通信。同時要求用戶電腦軟件的配置要求比較高，一般需要專業(yè)人員為用戶的電腦進行配置，電腦中還應配有 TCP/IP 軟件。

　局域網接入的特點：傳輸速率高，對電腦配置要求高，需要有網卡，需要安裝配有 TCP/IP 的軟件。

　通過對比選擇使用 DDN 專線入網，DDN 專線的特點：采用數字電路，傳輸質量高，信道利用率高，數據信息流量大，時延小，通信速率可根據需要選擇；電路可以自動迂回，可靠性高，適用于校園網絡。

　校園網采用 DDN 專線接入的方式上網，校園內上網采用 NAT 的方式，保證師生上網方便。

　N 2.6 VLAN 的劃分及 P IP 地址的分配

　VLAN 技術在在網絡領域等到了廣泛應用， 尤其在網絡管理和網絡安全上方面起到了不可忽視的作用。VLAN 提供的安全機制，可以限制用戶對安全設備的訪問，例如，限制普通用戶對計費服務器，安全交換機等的訪問。Vlan 控制廣播組的大小和位置，甚至鎖定網絡成員的 MAC 地址，這樣，就限制了未經安全許可的用戶和網絡成員對網絡的使用增強網絡管理。

　 N VLAN 號 (ID) 的分配規(guī)劃

　VLAN 劃分原則：便于分開詳細管理。

　VLAN 劃分理念：將一個樓的不同部門劃分在不同 VLAN，便于分開管理。

　具體 N VLAN 詳細表

　區(qū)域劃分 部門 所屬 VLAN 辦公區(qū) 校長辦公室 VLAN 10 教務科 VLAN 11 主任辦公室 VLAN 12 總務科 VLAN 13 教學區(qū) 高一教學樓 VLAN 20 高二教學樓 VLAN 21 高三教學樓 VLAN 22 后勤管理區(qū) 食堂 VLAN 30

　學生宿舍樓 1 VLAN 31 學生宿舍樓 2 VLAN 32

　實訓區(qū) 所有計算機 VLAN40

　服務器集群 所有服務器 VLAN 50

　P 2.7IP 地址的分配原則

　IP 地址的統(tǒng)一、合理規(guī)劃以及整個網絡向 IPv6 的演進是關系到整體分層網絡穩(wěn)定、快速收斂的關鍵，也是某職業(yè)技術學院校園網網絡設計中的重要一環(huán)。IP 地址規(guī)劃的好壞，不僅影響到網絡路由協(xié)議算法的效率，更影響到網絡的性能和穩(wěn)定以及網絡的擴展和管理，也必將直接影響到相關新業(yè)務的開拓和網絡應用的進一步可持續(xù)性發(fā)展。

　劃分時注意使用 VLAN，充分節(jié)約 IP 地址，使路由交換機上能夠采用聚合進行路由的合并，減少路由表的大小。出口到互聯(lián)網可以采用 NAT 防火墻上做地址轉換實現(xiàn)。校區(qū)內接入到同一匯聚層交換機的區(qū)域建議采用連續(xù) IP 地址段，以便做路由匯聚。

　IP 地址的分配原則如下：

　（1）給三層交換機設備互連的點對點 IP 地址分配 1 個 C 類地址，提供足夠的擴展性 （2）考慮到以后的網絡擴展規(guī)模，二層交換機設備的管理 IP 地址分配 1 個 C 類 IP地址； （3）可以考慮為學校校園網分配若干個 C 類私有地址段。

　服務器集群和辦公樓的 IP 獲取方式為手動分配，其他的均為通過 DHCP 獲取。上網方式均采用 NAT 方式。

　IP 地址分配表 網絡單元 地址段 地 址 范圍 網關 上網方式 Ip 獲取方式 辦公區(qū) ：共有 28 個信息點 辦公區(qū)一層 192.168.10.0/24

　1～14 192.168.10.1 NAT 手動分配 辦公區(qū)二層 192.168.11.0/24

　17～30 192.168.11.1 NAT 手動分配 辦公區(qū)三層 192.168.12.0/24

　33～46 192.168.12.1 NAT 手動分配 辦公區(qū)四層 192.168.13.0/24

　49～62 192.168.13.1 NAT 手動分配 后勤區(qū)：共有 62 個信息點 后勤區(qū)食堂 192.168.20.0/24

　1～30 192.168.20.1 NAT dhcp 學生宿舍 1 192.168.21.0/24

　33～62 192.168.21.1 NAT Dhcp 學生宿舍 2 192.168.22./24

　65～126 192.168.22.1 NAT Dhcp 教學區(qū)：共有 50 個信息點 高一教學樓 192.168.30.0/24

　1～30 192.168.30.1 NAT Dhcp 高二教學樓 192.168.31.0/24

　33～46 192.168.31.1 NAT Dhcp 高三教學樓 192.168.32.0/24

　49～62 192.168.32.1 NAT Dhcp 實訓大樓：共有 61 個信息點

　實訓中心 2層 192.168.40.0/24

　1～14 192.168.40.1 NAT Dhcp 實訓中心 3層 192.168.40.0/24 17～22 192.168.40.1

　NAT Dhcp 實訓中心 4層 192.168.40.0/24 25～38 192.168.40.1

　NAT Dhcp 實訓中心 5層 192.168.40.0/24 41～54 192.168.40.1

　NAT dhcp 實訓中心 6層 192.168.40.0/24 57～70 192.168.40.1

　NAT Dhcp 實訓中心 7層 192.168.40.0/24 73～86 192.168.40.1

　NAT Dhcp 實訓中心 8層 192.168.40.0/24 89～102 192.168.40.1

　NAT dhcp 服務器集群 10.8.0.0/28 1～14 10.8.0.1 NAT 手動分配

　外網 81.186.140.90

　 核心交換機與匯聚層交換機連接端口地址分配

　P IP 網段

　 P 4006IP 地址

　4006VLAN

　4006端口

　對端設備

　對端 IP 地址

　對 端VLAN

　對 端端口

　172.16.1.0 172.16.1.1 603

　1/1

　辦公樓

　172.16.1.2

　105

　G0/1

　172.16.1.4 172.16.1.5 604

　1/2

　教學區(qū)

　172.16.1.6 203

　G0/1

　172.16.1.8 172.16.1.9 605

　2/1

　后勤區(qū)

　172.16.1.10 306

　G0/1

　172.16.1.12 172.16.1.13 606

　2/2

　實訓中心

　172.16.1.14 402

　G0/1

　192.168.48.0/28 192.168.48.1

　607

　2/3

　192.168.48.2

　E0

　2 5.2 辦公樓交換機連接圖

　校長辦公室主任辦公室總務處其他辦公室教務處FF0/1F0/2F0/3-24F0/1BG-2F0/2-8F0/9-24BG-1F0/16-24F0/2-15 1、 、 辦公區(qū)交換機配置

　switch#configure terminal switch(config)#hostname bangongqu bangongqu(config)#enable password test

　bangongqu(config)#enable secret test bangongqu(config)#line vty 0 4 bangongqu(config-line)#login bangongqu(config-line)#password test

　bangongqu(config-line)#exit bangongqu (config)#vtp mode server bangongqu (config)#vtp domain bangongqu bangongqu (config)# vlan 101 bangongqu (config-vlan)#name xiaozhangbangongshi bangongqu (config)# vlan 102 bangongqu (config-vlan)#name gaoyishixunzhongxin

　bangongqu (config)# vlan 103 bangongqu (config-vlan)#name zhurenbangongshi bangongqu (config)# vlan 104

　bangonglou (config-vlan)#name zongwuke bangonglou (config)# vlan 105 bangonglou (config-vlan)#name gaoershixunzhongxin bangongqu (config-vlan)#exit bangongqu (config)#interface fastethernet 0/1 bangongqu(config-if)#switchport bangongqu(config-if)#switchport trunk encapsulation dot1q

　bangongqu(config-if)#switchport mode trunk

　bangongqu(config-if)#switchport trunk allowed vlan all bangongqu (config-if)#interface fastethernet 0/2 bangongqu(config-if)#switchport bangongqu(config-if)#switchport trunk encapsulation dot1q bangongqu(config-if)#switchport mode trunk

　bangongqu(config-if)#switchport trunk allowed vlan all bangongqu (config-if)#interface fastethernet 0/3 bangongqu(config-if)#switchport mode access bangongqu(config-if)#switchport access vlan 105 bangongqu (config-if)exit bangongqu (config)# interface vlan 101

　bangongqu (config-if)#ip address 192.168.0.1 255.255.255.0

　bangongqu (config)# interface vlan 102

　bangongqu (config-if)#ip address 192.168.1.1 255.255.255.0 bangongqu (config)# interface vlan 103

　bangongqu (config-if)#ip address 192.168.2.1 255.255.255.0 bangongqu (config)# interface vlan 104 bangongqu (config-if)#ip address 192.168.3.1 255.255.255.0 bangongqu (config-if)# interface GigabitEthernet0/1

　bangongqu (config-if)#no switchport bangongqu (config-if)#ip address 172.16.1.2 255.255.255.252 bangongqu (config-if)exit bangongqu(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1 bangongqu(config)#access-list 101 deny tcp any any range 135 144 bangongqu(config)#access-list 101 deny udp any any range 135 144 bangongqu(config)#access-list 101 permit ip any any bangongqu (config)interface GigabitEthernet0/1 bangongqu (config-if)#ip access-group 101 out

　（2）全局 IP 地址的分配 網段 設備 IP 地址 61.186.170.96/28 防火墻 DMZ 接口 61.186.170.97 WWW 服務器 61.186.170.98 FTP 服務器 61.186.170.99 DNS 服務器 61.186.170.100 E-mail 服務器 61.186.170.101 61.186.170.112/30 防火墻內網接口 61.186.170.113 代理服務器內網卡 61.186.170.114 61.186.170.116/30 防火墻外網接口 61.186.170.117

　ISP 設備接口 61.186.170.118

推薦訪問： 拓撲 計算機網絡 實驗