高校校园网建设方案的设计-以北方民族大学为例

第一章 绪论

1.1 研究背景及意义
信息技术的快速发展已经到达了许多领域，如科学研究、经济和国防，并继续影响传统教育模式。
校园网络将提供更有效、更快的学习工具，大大促进信息和资源交换，从而扩大学生的视野和知识，使他们能够自我教育。

1.2 国内外研究现状及成果
在欧洲、美国和其他发达国家，尤其是在20世纪90年代初，美国代表的大学网络开发开始得很早，95%以上的大学都有无线服务。这些国家对互联网设计、lan、无线电、2g和手机的研究和应用都很高。许多美国大学的网络已经成为国际标准。
我们的学校网络的建设比较缓慢，但进展更快。国家投入了大量资金、政策和技术，以建立学校网络，确保改革教育模式。自几年前建立sernet教育网络到建立211工程以来，各大学的信息技术支持一直很快。目前，Cernet(主要)交换转换率为2.2.5 gbps，与加拿大、德国、日本、日本、联合王国和美国的网络有28条国际和区域通信线路，总带宽为250兆字节/秒。该网络已经覆盖中国200多个城市，运输速度为155兆字节/秒。
由2008年发布的《中国互联网发展报告》可知，此时中国的本科院校基本在校园内搭建完成了网络，主要有关于纸质图书馆的数字化、网上学习、新媒体和因特网科学隔间、网络会议和应用程序，负责研究活动的完整性。中国是世界领先的国家，而IPV6技术在许多大学的实验室之外很受欢迎。
1.3 主要研究内容
本文件的优点和创新之处是，它基于北方民族大学的实际需要，不仅考虑到该网络的运作情况，而且考虑到扩大网络的潜力，通过使用flane技术和设计的备份，提高该网络的安全性和可靠性。

第二章 校园网整体规划概述

2.1 校园网设计原则
今天，大多数大学都有多个校园网。校园网络是一个主要以局域网为基础的大型系统。设计应以下列原则为指导:可行性、安全和可靠性。

2.2 校园网整体规划方案
北方民族大学的大量信息点、用户需求和大型示范本地网络。该网络需要高水平的技术和相关设备，为了确保其总体业绩并促进今后的扩展，它应当采用多层次的网络结构。
北方民族大学有三大出口:电信、网络和教育网络，分别为1 500万、5亿和3 400万。在负责链接外部网络的路由器公布网络地址转换协议（NAT）和访问控制列表功能（ACL），使用不一样终端设备的用户通过各种出口进入因特网，这样可以在某种程度上降低各网络出口的负载，同时还能够减少网络拥塞的程度。
除了能够在物质、应用和管理方面保证网络安全外，技术安全策略也是格外重要的。这一策略采用了虚拟局域网（VLAN）的技术，确保了所有的网络使用者都可以使用虚拟局域网系统，能够对网络病毒产生较大的抑制。除此之外，入侵检测、防火墙、代理服务、身份识别等技术也能够对校园网进行综合防护。
2.3 校园网建设的预期目标
校园网的建设并不局限于搭建网络平台，这只是校园网建设所有过程中的第一个过程。校园网络日渐趋于成熟，目前较为完善的计算机技术、网络安全技术以及通信技术能够对用户的相关信息提供管理与服务，最为人所知的就是网络办公以及教学，除此之外还包含有简报、卡片和许多其他功能,并确保学校安全的互联网用户,这是为了防止恶意攻击和有效的网络攻击。这是一个长期的项目，本文档只关注校园网络的建设。

第三章 校园网分层设计

3.1 校园网物理分层设计
3.1.1 核心层设计
核心层是校园网的中枢，主要作用是尽可能快地交换数据。校园网的其他部分都是由中枢拓展延伸出来的。如果中枢的设备停止工作，整个校园网都会瘫痪。
北方民族大学一共拥有45栋主楼，2万余个信息终端。如果用户的利用率在最大满负荷时为25%，那么5000个终端设备可以同时上网。所有用户的桌面网络流量速度均为100Mbps，在全交换模式下运行，线速利用率达到8成。信息接入方式为多点接入和单点接入（如网络中心）。考虑到突发事的发生，网络的最大信息流量可可按照以下公式计算出：
80%×100×5000=400Gbps
但现实中的情况会因为骨干链路速率、网络结构、网络应用类型、网络费用等因素无法达到本案例计算的值。在项目规划中，我们可以参考上述估算值来选择校园网网络的核心交换机。按照以上的分析，核心交换机可以选择思科公司的 catalyst 6509系列交换机，支持387mpps包转发速率和720gbps背板带宽，并且能够提供9个可扩展的模块。本次设计使用思科的交换机ws-sup720-3b作为核心交换机的控制引擎，运行思科的集成IOS操作系统。为使45栋主楼全部接入万兆以太网，两台三层交换机各安装6个ws-x6908-10g-2t模块（8端口）。三层交换机还需要一定数量的千兆端口来连接服务器。而考虑到北方民族大学的规模和未来发展，需要三个ws-x6824-sfp-2t模块（24端口）。
但是在实际的校园网搭建阶段中，设备的国际互联协议、虚拟局域网的编号、接口编号以及其他方面的参数，都会因为现实状况而产生变化，所以本文仅介绍核心交换机的基本配置，不会介绍每一项具体参数，更为简略地去阐述配置命令。
（1）设置三层交换机的基本参数
Ⅰ）修改并配置三层交换机的名称。交换机的名称就在命令行界面中的名称，如果管理员需要远程登录到其他的交换机进行维护时，使用交换机名称就能够去判断自己是在配置哪一个终端了，修改名称的命令如下文所示：
S6509(config)#hostname Core_1 //命名三层交换机为 Core_1
Ⅱ) 设置密码用于进入三层交换机的特权模式，这一密码可以帮助管理者进入特权模式，这一模式下可以执行所有的命令。
Core_1(config)#enable password 123454321 //将口令设置为 123454321
Ⅲ）设置密码用于远程登录。远程登录为管理者带来了很多便利之处。但为了防止部分用户进入三层交换机恶意改变配置进行攻击，所以必须先设置密码密码，此后才能够远程登录。
Core_1(config)#line vty 0 4 //进入远程登录模式，并且能够使最多5个用户登录
Core_1(config-line)#password 456 //设置登录口令为 456
Core_1(config-line)#login //设置 telnet 要求用户进行密码验证
Ⅳ）设置一段安全时间。为防止部分用户进入三层交换机恶意改变配置进行攻击，若在此时间段内，没有输入任何的信息数据，IOS 将自动把交换机和用户之间的连接断开。
Core_1(config)#line console 0 //控制台模式
Core_1(config-line)#exec-timeout 10 00 //设置安全时间为 10 分钟
Ⅴ）设置为禁止国际互联协议（IP）地址解析。 在未进行设置情况下，如果用户输入的一条命令被系统检测为错误，那么交换机则会把它上传给域名系统服务器，同时解析出它所对应的IP地址。但是通常情况下，这一功能是不需要的。
Core_1(config)#no ip domain-lookup //禁止国际互联协议（IP）地址解析
（2）设置三层交换机的默认网关和管理 IP
如果要使得管理者能从远程登录到三层交换机上管理，还需要给三层交换机额外设置一个管理专用的 IP 地址。一般情况下，管理 IP 都是配置在本征 VLAN（即 VLAN1）上的。
Core_1(config)#interface vlan 1 //进入 VLAN 1 的配置接口
Core_1(config-if)#ip address A.A.A.A B.B.B.B //IP 地址为 A.A.A.A，掩码为 B.B.B.B
Core_1(config)#no shutdown //打开端口
Co