网络方案设计

网络 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 设计 xxxx 网 络 设 计 方 案 班级, 姓名, 学号, 指导教师, 2011年6月 目 录 一、学校背景和发展趋势 .................................................................. 错误,未定义书签。3 二、校园网络需求分析 ....................................................................... 错误,未定义书签。3 2.1 需求分析.................................................................................. 错误,未定义书签。3 2.1.1总体需求 ...................................................................... 错误,未定义书签。3 2.1.2具体要求 ............................................................................................................... 4 2.2 建设目标.................................................................................. 错误,未定义书签。4 2.3 建设内容.................................................................................. 错误,未定义书签。4 2.4 建设原则.................................................................................. 错误,未定义书签。5 2.5 功能分析........................................................................................................................... 6 三、校园网络解决方案 ....................................................................... 错误,未定义书签。6 3.1 总体设计原则 ........................................................................ 错误,未定义书签。6 3.2 总体网络拓朴设计 ............................................................... 错误,未定义书签。7 3.3 设备分析介绍 ................................................................................................................. 9 3.4核心层设备选择 ............................................................................................................ 10 3.5 接入层网络建设 ........................................................................................................... 12 3.5 互联网接入平台建设 .................................................................................................. 13 3.6 服务器选型 .................................................................................................................... 14 四、网络的的全面保障 .............................................................................................................. 14 4.1 高安全的全面保障 ...................................................................................................... 14 4.2 IP地址规划的保障 ........................................................... 错误,未定义书签。15 4.2.1 IP地址具体规划.................................................. 错误,未定义书签。15 4.2.2 IP地址的分配管理 ...................................................................................... 15 4.3 网络安全的全面保障 .................................................................................................. 16 4.3.1 设备访问控制安全 ....................................................................................... 16 4.3.2 NAT .................................................................................................................. 16 4.3.3 OSPF路由安全 ............................................................................................. 17 五、网络设备报价单................................................................................................................... 17 六、参考配置 ................................................................................................................................ 18 七、设计总结 第 2 页 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 目:xx县广播电视大学网络方案设计 一、学校背景和发展趋势 xx广播电视大学是xx唯一一所职业性专科学校，为了提高学校整体水平，现在南院已经改为职高教学区，学校重点发展在提高北院高职综合水平，同时开发新校区。而全球正处在信息时代的热潮中，学校要发展，信息网络技术势必先行。而今，学校校园网规划乱七八糟，为了提高学校管理水平、网络信息畅通无阻，重构校园规划网迫在眉睫。另外关于置放核心网络设备的环境问题也亟待解决。 二、校园网络需求分析 2.1需求分析 2.1.1总体需求 校园网技术经过十几年的发展已经是一个比较成熟的技术，尤其是近些年，随着多媒体技术应用的出现，对网络的传输能力提出了更高的要求，联网技术也取得了长足的发展。在联网技术的每一方面都存在着若干方案可供选择，影响选择决断的主要因素有:网络规模;要求提供的网络服务类型;速度;可靠性;使用、维护管理的方便性;价格;国际标准;未来前景等。设计校园网络时，应综合考虑和权衡各种因素，在若干成熟的技术中进行选择和集成，以便能以最快的速度、最优的价格建成一个技术先进、功能丰富、工作可靠、使用维护及升级方便的校园网。 xx广播电视大学呈长型，教学楼、办公楼，学生宿舍分散。学校大体分为三处教学楼区域，一栋处图书馆区域，一处办公楼区域，还有宿舍集中区域。其中三教区域附近有两栋教师宿舍，图书馆区域附近有三栋学生宿舍。由于该校是一所广播电视院校，对网络需求利用比一般学校要广泛，所以除教学区域、办公楼区域，图书馆区域有网络互连设备可供连接外网外，学生宿舍集中区域也可有网络设备，供学生在宿舍上网学习。 2.1.2具体要求 第 3 页 1(高性能;所有网络设备都应足够的吞吐量; 2(高可靠性和高可用性;应考虑多种容错技术; 3(可管理性;所有网络设备均可用适当的网管软件进行监控、管理和设置; 4(采用国际统一的标准; "校园网管理条例"应依据国家相关法律、法规制订。此条例将对校园网的建设目的、机构组成、经费来源等做出规定，它是校园网所有规章制度的总纲。校园网领导小组应对网络建设提出指导性意见并进行监督，网络建设具体由"网络中心"组织实施，各系、部、处均应指派分管领导与网络管理员。 除了规范网络应用外，校园网各项规章制度的建立还可加速网上教学、科研、开发等工作的进展。在网络支撑的管理信息系统开发、数据资源上网过程中，需要统一组织规划，协调好各相关部门的关系。 2.2建设目标 校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是:建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连;在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。 2.3建设内容 ?网络资源平台:包括核心、汇聚、接入路由交换设备，主干线路规划实施，为xx电视大学一系列基于网络应用的业务和工作提供强大网络资源平台。 第 4 页 ?数据中心平台:包括主机/存储等基础硬件、数据库软件及应用平台软件，构成xx广播电视大学网应用系统的数据汇聚、管理支撑环境; ?资源中心平台:以网络化教学和数字图书馆应用系统为核心，整合教学资源的制作、管理、发布及应用; ?管理中心平台:整合各校各管理系统需共享和发布的数据，构建统一的管理信息系统和业务系统，并为学校领导决策提供支持; ?服务中心平台:以一卡通及网络基础服务系统为核心，对全园区的学生消费、社区生活、校内服务整合和管理; ?信息门户平台:包括部门级信息门户、个人工作平台，为用户提供个性化信息与服务，是数字化园区对外服务的窗口。 2.4建设原则 统筹规划、统一标准、滚动发展，逐步建立一个覆盖全园区系统的信息网络系统。 充分重视网络系统和信息的安全，建立先进的网络管理系统和安全管理系统。 采用成熟技术，兼顾未来发展，既量力而行又适当超前。 软硬并举，网络基础建设与信息资源建设同步进行。 为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境，并将计算机引入教学、科研、管理和学习等各个领域。改善学校教学科研、管理和学习环境，提高其水平。熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段，有利于培养面向世界、面向未来的高层次人才。在学院建成一个适合于信息采集、共享的内部网络～在此基础上建立起供教学及人员培训使用的内部网络以及内部办公网络,实现到Internet的接入～实现信息在Internet的发布。 2.5功能分析 第 5 页 xx电大新校区校园网的建设应当以当前及未来应用为驱动。目前，在教育网络建设和营运的应用主要可分为两类: 1、一般功能 即教育网络都需具有的:教育行政办公自动化、教学管理自动化、多媒体教学、网站和电子邮件、资源学习、网络管理和连接互联网的功能。这些业务主要通过整合性的软硬件一体化平台来实现，其中包括资源库平台、应用软件平台、网络监控和管理平台等等 2、高级功能 课件 超市陈列培训课件免费下载搭石ppt课件免费下载公安保密教育课件下载病媒生物防治课件 可下载高中数学必修四课件打包下载 点播:学生可以随时观看以前的授课内容 网络直播:教师授课的现场影像可以通过IP网络实时发送到各个教室或学生 远程教学:网校招生 远程办公:远程对教育网内的关键资料和关键应用的安全访问 在线考试:通过网络进行在线的练习、考试和竞赛 视频会议:通过网络召开系统内的会议，提高效率 从以上功能需求出发，渤海大学新校区网络应该是以网络信息中心为主管部门的高速、可控、相对开放、服务完善、资源丰富、交互特征明显的网络体系。 三、校园网络解决方案 3.1总体设计原则 开放性:采用开放性的网络体系，以方便网络的升级、扩展和互联;同时在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。 可扩充性:从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的可扩充性。 安全性:内部网络之间、内部网络与外部公共网之间的互联，利用VLAN/ ELAN 、防火墙等对访问进行控制，确保网络的安全。 投资保护:选用性能价格比高的网络设备和服务器;采用的网络架构和设备充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软 第 6 页 件投资。 易用性:应用软件系统必须强调易用性，用户界友好，带有帮助和查询功能，用户可以通过Web查询。 实用性:应当从实际情况出发，使之达到使用方便且能发挥效益的目的。内部网络之间、内部网络与外部公共网之间的互联，利用VLAN/ ELAN 、防火墙等对访问进行控制，确保网络的安全。 :采用当前国际先进成熟的主流技术，采用业界相关国际标准。 先进性 可扩充性:采用符合国际和国内工业标准的协议和接口，从而使校园网具有良好的开放性，实现与其他网络和信息资源的容易互联互通。并可以在网络的不同层次上增加节点和子网。一般包括开放标准、技术、结构、系统组件和用户接口等原则。 可管理性:设计网络时充分考虑网络日后的管理和维护工作，并选用易于操作和维护的网络操作系统，大大减轻网络运营时的管理和维护负担。采用智能化网络管理，最大程度地降低网络的运行成本和维护。利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能;使日常的维护和操作变得直观，便捷和高效; 高性能价格比:结合日益进步的科技新技术和校园的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障学校的经济效益。坚持经济性原则，力争用最少的钱办更多的事，以获得最大的效益。 3.2总体网络拓扑设计 第 7 页 xx电大总体网络拓扑设计 一教区域网络拓扑设计 第 8 页 二教区域、三角区域、图书馆区域、办公楼区域及学生宿舍区域的网络拓扑设计基本同于一教区域。部分区域，如图书馆的电子阅览室和图书馆及学生宿舍是需要用集线器连接，另外图书馆区域有两栋教师宿舍楼与上面有相同网络互连设备。核心管理层专门存放在一处单独的网管中心，存放这些高精度设备的屋内常年控制湿度和温度以及防雷电等措施。详见上图。 3.3设备分析介绍 网络中心选用三台高性能的锐捷RG-S6808的万兆智能核心路由交换机，对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等，选用RG-S6806万兆核心路由交换机，提纲全线速的二三四层交换，超强的数据处理能力，支持负载均衡、冗于备份、QOS、ACL、NAT、策略路由等强大的功能，是校园网核心交换机的理想选择。接入层采用RG-S2126S，由于中学校园网络的规模较小，所以没有设计汇聚层。核心层之间设计为双链路，使用链路聚合功能提高了核心网络设备间的带宽，并能提供两条聚合链路间的相互冗余备份。 链路聚合功能技术也体现了产品的可扩充性能，能充分利用现有设备实现高速数据传递。 接入层设备在各个大楼内部实现10/100M速率自适应互连。采用这样的结构可以有效的提高整体网络设备转发效率，并能有效节省项目开支，保证达到最优性能。超强的服务质量保证机制和组播性能提供了有效的网络快速转发作用，并具有抑制广播风暴和分流核心数据的压力。 在接入层，选用RG-S2126S交换机，RG-S2126S是全线速千兆交换机，具有特别丰富而强大的网管功能，可以通过多重设置方式对网络进行网管操作，实现IP设置、Spanning Tree设置、Port VLAN 和Port TRUNK设置、802.1Q Tag VLAN 和L2 TRUNK设置、安全控制设置、监控设置、地址老化时间修改、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。S2126S可针对用户的不同情况进行端口带宽分配，并采用业界最先进的802.1x安全接入控制策略，简化认证的同时实现高效的用户控制能力 第 9 页 3.4核心层设备选择 xx电大的核心层网络由三台高性能的万兆核心交换机RG-S6806组成。 网络中心节点作为校园网的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在核心节点的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。 RG-S6806系列是锐捷网络推出的充分融合了高性能、高安全、多智能、易用性的新一代多层交换机。 该系列交换机硬件支持多层线速交换，并提供了丰富而完善的路由协议，以适合大型网络多种路由和高性能的需要。 RG-S6806系列交换机提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性。在提供高性能、多智能的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理使用网络资源，充分保障网络安全、网络合理化使用和运营，并可以根据网络实际使用环境，实施灵活多样的安全控制策略。 高性能多层交换: , 高背板带宽为所有的端口提供非阻塞性能; , 丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需 要，特别是支持ECMP/WCMP(Equal-Cost Multipath Routing/ Weight-CostMultipath Routing)，确保了各骨干网络链路的充分使用，大 大增加了网络传输带宽，而且可以无时延无丢包地备份失效链路的数据传 输; , 基于LPM硬件路由转发方式使得RG-S6806系列不仅适用于大型网络环境， 而且可防御各种网络病毒的侵袭，保障所有报文线速转发，有效保证了设 备的安全性; 第 10 页 , 硬件支持多层线速交换，能够识别二到七层的应用业务流，所有端口都具 有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理 和控制; 灵活完备的安全控制 , 通过与锐捷网络全局安全解决方案GSN的结合，可在安全策略方面为用户提 供全面的立体三维的技术特性和解决方案，完全解除安全威胁、攻击、病 毒、ARP欺骗等侵害，还网络一片绿色，让用户更安心、省心上网; , 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如防黑客 IP扫描、防源IP欺骗等，还网络一片绿色; , 通过将端口设为保护端口即可简单方便地隔离同一VLAN下用户之间信息互 通，隔离广播报文，不必占用VLAN资源; , 基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全 性，避免黑客恶意攻击和控制设备; , 控制非法用户使用网络，保证合法用户合理化使用网络，如端口安全、端 口隔离、专家级ACL、时间ACL、基于数据流的带宽限速、六元素绑定等 等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的 需求。 完善的QoS策略 , 以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层 流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻 辑; , 具备MAC流、IP流、应用流等多层流分类和流控制能力，实现灵活精细的 带宽控制、转发优先级等多种流策略，带宽限制粒度达64Kbps，支持网络 根据不同的应用、以及不同应用所需要的服务质量特性，提供服务; 高可靠性 , 支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错 能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供 冗余链路利用率; , 支持VRRP虚拟路由器冗余协议，有效保障网络稳定。 第 11 页 3.5接入层网络建设 接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。 -S2126S千兆交换机，RG-S2126S系列是一教学楼的楼层交换节点采用RG 款全线速千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。S2126S是一款全线速千兆增强网管型交换机，具有特别丰富而强大的网管功能，可以通过多重设置方式对网络进行网管操作，实现IP设置、Spanning Tree设置、Port VLAN 和Port TRUNK设置、802.1Q Tag VLAN 和L2 TRUNK设置、安全控制设置、监控设置、地址老化时间修改、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。S2126S可针对用户的不同情况进行端口带宽分配，并采用业界最先进的802.1x 灵活的带宽安全接入控制策略，简化认证的同时实现高效的用户控制能力，具有分配功能和安全的用户接入控制功能。 图书馆楼的交换机使用RG-S3526全线速三层交换机，保证实验室的所有计算机可以单独的一个模块。RG-S3526提供二到七层的智能的流分类和和完善的服务质量(QoS)以及组播管理特性，支持完善的路由协议，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。 RG-S3526可通过SNMP、Telnet、Web和Console口等多种方式为企业级用户提供丰富的管理方式，极高的性价比为各类型网络提供多层交换、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。 完善的安全策略增强网络防御能力 RG-S3526内置丰富的智能流识别技术和ACL(访问控制列表)特性，可有效防范和控制病毒传播和黑客攻击，对于如Dos攻击、黑客扫描、病毒扫描等 第 12 页 恶性事件具有预防能力;其先进的专家级ACL功能更可以对MAC地址、IP地址、VLAN号、TCP/UDP端口号、协议类型和时间六元素进行任意组合进行访问控制，对于诸如红色代码、冲击波、synflood攻击、ARP攻击等网络安全威胁进行彻底的防御; 基于流识别的灵活带宽限制能力 RG-S3526通过先进的数据流识别技术，可基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号、协议类型的组合进行带宽限制，限制粒度最小可达1Mbps，可以通过不同的设置组合来限制不同用户、不同应用的带宽资源。不仅为网内重要应用提供了带宽保障，还可对非法攻击或网络病毒攻击等严重消耗网络资源的数据流量进行针对性的抑制，保障正常合法数据的带宽资源。 丰富的组播控制能力 同时，由非法用户主动或被动发起的非法组播会大大影响合法组播设备和网络的正常运行。针对这一问题，RG-S3526应用了IGMP源端口和源IP检查技术，可完全限制合法组播在网络中的稳定传输，有效控制非法组播源，即提高了网络传输安全能力，也保障了正常合法的组播应用的稳定运行。 丰富的生成树协议提供网络高可靠性 RG-S3526不仅支持传统的802.1d生成树协议，还支持802.1w(快速生成树)和802.1S(多VLAN生成树协议)，在提供通信链路的冗余备份的基础上，大大提高了复杂网络结构下的收敛速度。同时，基于VLAN的生成树协议，提高系统容错能力，保证网络的稳定运行和链路的负载均衡。 多样的管理方式方便用户使用 RG-S3526交换机支持SNMP v1/v2、Telnet、Web和Console口等多种管理方式，可支持锐捷网络StarView网络管理系统及Open View等通用网管平台，用户可根据不同的使用习惯和网络规模灵活、方便、快速设备管理; 3.6 互联网接入平台建设 第 13 页 校园网的互联网接入平台提供以下功能: , 连接互联网; , 对外提供信息服务，包括学校介绍、网络学校、招生 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 等; , 入侵防御和入侵检测，保护内网资源的安全; , 访问外网服务加速功能，缩短了网络访问的响应时间同时也减少了 出口流量; , NAT(网络地址转换)，保护内部网络资源的安全，解决IP地址不 足问题。 xx电大网络的互联网出口为电信的百兆出口，为了分担流量和提高访问的响应速度，可以同时使用CERNET或其它网络出口。两条互联网出口，只能对校园网内部访问外部资源的流量进行负载分流和相互备份，负载分流和相互备份在RG-S3550交换机上实现;对于外部网络访问校园网外部服务器的资源，只能通过CERNET出口。 出口配置两台PIX-515E-FO-BUN防火墙，用来抵御外部和内部的非法网络攻击，保护校园网络的正常运行，NAT功能在防火墙上通过硬件实现。 3.7服务器选型 文件服务器通常使用NT/NetWare，完成用户对应用软件的处理需求。配置要求:高带宽，以快速响应大量进程通信请求; 较大的RAM，缓存数据的请求; 一定的存储空间提供对数据记录的快速处理。 四、网络的全面保障 4.1高安全的全面保障 网络解决方案从全局的角度实施网络安全，为学校提供一个安全的网络。 , 网络病毒的防范与控制 网络病毒都是通过特定的报文类型和相应的端口传播和散布的，通过本方 第 14 页 案中的接入、核心这层层的交换机强大的ACL功能，可以在发现病毒后相应的设置ACL关闭某些类型的报文和端口号，实现防范和控制。 , 网络攻击的防范与控制 网络攻击呈上升趋势，攻击的手段越来越多样化，产生的影响越来越验证，据统计超过80%的攻击来自网络内部，最典型的比如DDoS分布式拒绝服务器攻击，通过交换机绑定IP地址和MAC地址与端口，攻击主机一旦修改其源IP地址其报文就会被丢弃，不对网络造成影响，消除了DDOS对网络的攻击。 4.2 IP地址规划的保障 IP地址规划应依据科学性、系统性、完整性及可扩展性原则，采用先进的网络编码技术，保证信息交换的速率和质量，既要在相当期内保持技术的先进性，同时也充分考虑现期工程的可实施性，为了更加便于记忆管理，在xx电大网络建设中，网络IP地址规划采用统一的IP地址分配方式，保证IP地址的唯一性。 对于校园网来说需要全局IP地址的情况有以下:1)对互联网提供信息服务的服务器，这些服务器一般放置在防火墙的DMZ区;2)内部分配私有IP地址的网络访问互联网时，需要全局IP地址做NAT;3)内部网络中对全局IP 地址有特定需求的网段，跟CERNET和ChinaNet的互联地址有ISP另外分配。 对于校园网的网络设备互联IP地址，以及没有对全局IP地址有特定需求的网段。 IP地址分配表 IP网段 默认网关 VLAN号 用途 Vlan1 192.168.1.0/24 192.168.1.254 管理VLAN 192.168.10.254 Vlan10 192.168.10.0/24 一教区域 192.168.20.254 Vlan20 192.168.20.0/24 二教区域 190.168.30.254 Vlan30 192.168.30.0/24 三教区域 192.168.40.254 Vlan40 192.168.40.0/24 办公楼区域 192.168.50.254 Vlan50 192.168.50.0/24 图书馆区域 第 15 页 192.168.60.254Vlan60 192.168.60.0/24 宿舍区域 4.2.2 IP地址的分配管理 校园网的信息点多，如何对IP地址的分配进行有效的管理，是十分重要的。针对不同的情况，可以对IP地址进行静态或动态的分配方式。由于学校的规模较小，为了安全起见，使用静态分配方式。 静态分配的情况: 对外提供信息服务的服务器; 校园网内提供信息及管理服务器的服务器; 对一些老师或学生用户，需要对校园网内部或外部提供信息服务的信息点。 路由器、交换机等网络设备的IP地址分配。 4.3网络的全面保障 4.3.1设备访问控制安全 方案中的交换机都支持ACL IP标准、扩展，MAC扩展、时间、专家级访问控制，可以通过多种策略进行访问控制。 本方案中的所有交换机支持VLAN的划分，VLAN之间的相互访问只能通过三层路由，这样在三层交换机上就可以配置ACL(访问控制列表)，对网络资源访问进行精确控制。 本方案中的所有交换机支持802.1x协议，对用户接入进行认证、授权以及计费，而且可以防止用户随意修改IP地址。 接入层交换机支持端口与MAC及IP地址的绑定，保证只有有效的指定设备才能访问网络资源。 4.3.2 NAT NAT除了可以解决全局IP地址不足之外，还对网络的安全起一定的作用， 第 16 页 NAT的安全性主要体现在以下两点: 1)以统一的IP地址访问互联网，屏蔽内部网络拓扑结构; 2)外部网络不可以访问内部网络的资源，除非有策略允许。 4.3.3 OSPF路由安全 在网络平台建设中，路由系统的安全是不可忽视的。路由系统的安全是指阻止未经认证的路由器通告非法的路由信息。OSPF路由协议可以支持明文或MD5的认证方式，从而保证了路由系统的安全。 五、网络设备报价单 网络设备型号 价格 RG-S6806(核心交换机) 210000 RG-S6806(核心交换机) 210000 RG-S6806(核心交换机) 210000 RG-S3550(汇聚层交换机) 26000 RG-S3550(汇聚层交换机) 26000 RG-S3550(汇聚层交换机) 26000 RG-S3550 (汇聚层交换机) 26000 RG-S3550(汇聚层交换机) 26000 RG-S3526(图书馆接入层交换机) 19000 PIX-515E-FO-BUN(防火墙) 17500 PIX-515E-FO-BUN(防火墙) 17500 Cisio2801路由器 8000 文件服务器(HP ProLiant ML110 G4) 6000 文件服务器(HP ProLiant ML110 G4) 6000 文件服务器(HP ProLiant ML110 G4) 6000 文件服务器(HP ProLiant ML110 G4) 6000 文件服务器(HP ProLiant ML110 G4) 6000 8500 网络服务器(HP ProLiant ML150G3) 860500 总计 第 17 页 六、参考配置 核心层RG-S6806配置 (config)#int vlan 1 (config-if)#ip add 192.168.1.1 255.255.255.0 (config-if)#no shut (config)#enable secret level 15 0 dyzj (config)#enable secret level 1 0 dyzj (config)#vlan 11 (config-vlan)#name shujukufuwuqi (config)#vlan 12 (config-vlan)#name webfuwuqi (config)#vlan 13 (config-vlan)#name ftpfuwuqi (config)#vlan 14 (config-vlan)#name dianziyoujianfuwuqi (config)#vlan 15 (config-vlan)#name dailifuwuqi (config)#vlan 16 (config-vlan)#name guanlifuwuqi (config)#ip route 0.0.0.0 0.0.0.0 201.12.1.1 (config)#router rip (config-router)#version 2 (config-router)#network 192.168.11.0 (config-router)#network 192.168.12.0 (config-router)#network 192.168.13.0 (config-router)#network 192.168.14.0 (config-router)#network 192.168.15.0 (config-router)#network 192.168.16.0 (config)#int aggregatep 1 (config)#int range g 0/1-2 (config-range-if)port-group 1 ………… 汇聚层STAR-S3550配置: (config)#int vlan 1 (config-if)#ip add 192.168.1.1 255.255.255.0 (config-if)#no shut 第 18 页 (config)#enable secret level 15 0 dyzj (config)#enable secret level 1 0 dyzj (config)#vlan 10 (config-vlan)#name yijaio (config)#vlan 20 (config-vlan)#name erjiao (config)#vlan 30 (config-vlan)#name sanjiao (config)#vlan 40 (config-vlan)#name bangonglou (config)#vlan 50 (config-vlan)#name tushuguan (config)#vlan 60 (config-vlan)#name sushelou (config)#ip route 0.0.0.0 0.0.0.0 201.12.1.1 (config)#router rip -router)#version 2 (config (config-router)#network 192.168.10.0 (config-router)#network 192.168.20.0 (config-router)#network 192.168.30.0 (config-router)#network 192.168.40.0 (config-router)#network 192.168.50.0 (config-router)#network 192.168.60.0 ………… 接入层STAR-S2126配置: (config)#int vlan 1 (config-if)#ip add 192.168.1.1 255.255.255.0 (config-if)#no shut (config)#enable secret level 15 0 dyzj (config)#enable secret level 1 0 dyzj (config)#vlan 10 (config-vlan)#name sushelou1 (config)#vlan 20 (config-vlan)#name sushelou2 (config)#vlan 30 (config-vlan)#name sushelou3 (config)#vlan 40 (config-vlan)#name sushelou4 ………… 七、设计总结 第 19 页 通过本次计算机网络课程设计，我懂得了应用画图软件设计网络拓扑图，了解了网络设计的基本常识，懂得了一些网络设备的应用，更加充分的理解了课本上的知识，并能够加以扩展，从而应用于实践当中。在visio软件中虚拟实现规划校园网络，画出整个园区网络的拓扑图。这次的课程设计让我受益匪浅，很多平时模棱两可的 知识点 高中化学知识点免费下载体育概论知识点下载名人传知识点免费下载线性代数知识点汇总下载高中化学知识点免费下载 都认真复习并实践了。我对校园网络规划提升了认识，并且意识到我们所学的东西将来都是要付诸实践的，所以一切要从实际情况出发，理论联系实际，这样才能真正发挥我们所具备的能力。 第 20 页