计算机网络课程设计网络设计.doc

学 号： 计算机通信与网络技术课程设计题 目： 安顺二中网络设计学 院：机械与电气工程学院专 业： 电气工程年 级： 09级姓 名：指导教师：时间： 2012年7月2日-2012年7月13日目录前言第一章 需求分析 1.1办公需求1.2 教学需求1.3 宿舍要求1.4 图书馆需求1.5 实验需求1.6 WEB文件浏览服务1.7 FTP文件传输服务1.8 视频点播服务1.9 邮件收发服务1.10主机系统的要求1.11 设计应满足的要求1.12 宽带分析1.13 设备分析1.14设计原则第二章 网络功能2.1 办公自动化2.2 网络多媒体教学2.3 电子图书馆2.4 远程教育第三章 网络规划4.1可靠性设计4.2安全性设计4.3动态路由协议4.4网络的冗余设计4.5服务器的冗余设计 网络接入第四章 网络设计方案4.1 主干网设计4.2 信息点分析4.2 图书馆的设计4.3试验大楼的设计4.4 机房的设计 4.5 宿舍的设计4.6 教学楼的设计4.8 无线网接入设计4.8 子网划分第五章 网络设备分析及介绍5.1 网络设备5.3 路由器的选择与介绍5.2 接入交换机的选择与介绍5.4 防火墙的选择与介绍5.5 与IPSC互操作的安全VPN工程报价设计总结参考文献致谢辞前言安顺市第二高级中学是首批省级示范高中，属省首批办好的重点中学之一，是全国群众体育先进学校、全国学校体育卫生先进集体、全国现代教育技术实验学校。作为安顺起着带头作用的学校，在网络迅速发展的今天，老式的教学方式已经很难适应21世纪的发展。为了与世界接轨，尽管是高中，也要将网络运用于教学之中。除此之外更需要学生能够充分利用网络资源，网络需要覆盖整个学校。 所建的网络后将发挥以下作用1为全体教师，学生提供一个先进的计算机网络，且网络将引入学习和教学2 将提高老师的教学水平和学生的学习效率设计主导1、 量身定制安顺二中是高中，建的网不需要有大学那么的的规模，需对学校进行定量分析，特设计此网络2、 现代教育与Interl先进技术完美结合3、 经济适用在选择硬件设备时应具有最佳性价比，不需要性能最好，只需适用，对于一个高中，从经济角度考虑，没有那么对的钱花费在网络建设上，从用途上来讲，却也是用不上功能特强大的硬件第一章 需求分析 用户对于网络的应用主要有以下需求：1.1办公需求：办公自动化基本web综合管理信息的信息系统、提示行政、人事、学籍、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等、使学校日常办公无纸化、减少办公开支提高办公效率等。1.2 教学需求：主要为多媒体教室，将计算机多媒体视听引入课堂教学、声音、图像、动画的普遍采用可以大大提高教学效果。1.3 宿舍要求宿舍区的网络构架对学校信息化工作起到了巨大的推动作用，一方面缩短了学校与外界的距离，另一方面，完善了以校园网为基础的管理信息系统，为学生提供了方便。 作为校园宿舍网络主要是为了满足学生课后上网查找资料、聊天以及娱乐等应用1.4 图书馆需求：图书馆是给师生们提供自主学习的场所，师生可以根据需要自由选择内容以及基于web的图书音像供学生随时读、并于连接Ineternet、使图书馆得到进一步拓展、使师生能够得到近乎无限的网上资源1.5 实验需求设备齐全，能满足学生在实验时的所有需要。连接Internet，使学生和教师能随时上网以便下载或浏览学习资料,并且还要能够提供一个信息交流平台，以便教师和学生之间的交流1.6 WEB文件浏览服务校园网的主要功能是WEB服务，也就是学校教育网站的服务。我们学校的网站建设从4个方面发挥作用：1.6.1 把学校网站做成对外宣传的窗口。1.6.2 把学校网站建成为学校教学工作的平台，逐步实现无纸化办公。1.6.3 把学校网站建成教师和学生展示自己才华的平台。1.6.4 学校网站建设成多方沟通的平台。1.7 FTP文件传输服务FTP文件传输是学校校园网使用的一个重要服务，建立了FTP服务后，将大大方便教师文件的传输和管理，以及学校资源库的建立。1.7.1 教师个人资源库、学校资源库的建立。1.7.2 处等都有帐户，方便资料文件的上传。1.7.3 FTP文件传输服务与互联网开通，无论走到哪里，我们的教师只要能上网就能随时读取自己需要的文件，真正实现异地办公。1.8 视频点播服务校园网的又一功能就是视频点播服务。通过校园网将新课程教材中的所有视频资料复制到服务器，教师可以通过校园网轻松观看教学录象、课堂实例、专家报告，在很大程度上方便了广大教师和学生。1.9 邮件收发服务邮件收发是学校校园网中最普及的一种服务，建立此服务后，将极大的方便广大师生的邮件收发服务，更加有利于学校教学工作的开展，充分发挥校园网络的优势1.10主机系统的要求办公室：考虑到办公室里的主机多且多用于办公，在选择软硬件方面选择了兼容性好、扩张性强的设备。并且根据需要安装办公所需软件。教学楼：根据专业所需安装各类软件。宿舍楼：考虑学生对网络应用较大，采用信息发射点分层设置，合理分散在每一层楼，以确保网速的流畅性与稳定性。图书馆：图书馆一般主要的流动是物流跟人流，对网络需求。1.11 设计应满足的要求1.11.1网络方案采用成熟的技术，并尽可能采用先进技术1.11.2 采用国际统一标准，以拥有广泛的支持厂家，最大限度的采用同一家的产品1.11.3 方案合理分配带宽，使用户不受“堵车”影响1.11.4 应充分考虑将来的应用1.11.5 该网络应该支持面向连接的，保证可靠传输1.12 宽带分析从宽带需求来看，宿舍和试验大楼的机房需要最大宽带，所以在分配带宽，应在这两处分配较大的带宽。1.13 设备分析作为校园网络，首先需要考虑的是资金的问题，其次是性能上的问题。由于资金的限制，我们考虑价格适中，性能较优越的设备，作为一个高中的网络，在性能上的要求也不是很高。1.14设计原则1.14.1 良好的开放性和可扩展性这种开放性依靠标准化实现，使符合标准的计算机系统很容易进行网络的互连。因此在网络建设中，网络体系结构和通信协议应选择广泛使用的国际标准，使得校园网成为一个完全开放的网络环境。在校园网络平台建设中，尽量采取成熟先进的技术，统一的网络标准和主流的网络设备，使得网络结构更易于扩展、升级和维护。1.14.2 校园网的软件平台针对性校园网的服务和应用的对象是学生和老师。这就这就要求校园网软件平台的建设应以教学为核心，建设起一个在技术上先进，在教学过程的各阶段应用上具有灵活性、多样性和针对性的数字化校园网。1.14.3 安全性和可靠性对于网络系统应确保系统运行可靠，对关键部分提供容错能力，同时建立完善的安全管理系统。1.14.4 经济实用性盲目追求技术，会建成一个不稳定、不成熟产品的试验台。单纯的高性能，只会带来难以承受的高额投资。所以，网络系统建设应采用成熟、适用、实用、好用的技术，力争以最小的投资得到最大的满足。第二章 网络功能2.1 办公自动化办公自动化是将现代化办公和计算机网络功能结合起来的一种新型的办公方式。办公自动化没有统一的定义，凡是在传统的办公室中采用各种新技术、新机器、新设备从事办公业务，都属于办公自动化的领域。通过实现办公自动化，或者说实现数字化办公，可以优化现有的管理组织结构，调整管理体制，在提高效率的基础上，增加协同办公能力，强化决策的一致性，最后实现提高决策效能的目的。2.2 网络多媒体教学 是指在教学过程中，根据教学目标和教学对象的特点，通过教学设计，合理选择和运用现代教学媒体，并与传统教学手段有机组合，共同参与教学全过程，以多种媒体信息作用于学生，形成合理的教学过程结构，达到最优化的教学效果。 多媒体计算机是指利用多媒体计算机，综合处理和控制符号、语言、文字、图形、影像、等多媒体信息投影机投影显示出来，同时按需要加上声音的配合，以及使用者与计算机之间的人机交互操作，完成教学或训练过程。 所以，多媒体教学通常指的是计算机多媒体计算机实现的多种媒体组合，具有交互性、集成性、可控性等特点，它只是多种媒体中的一种。2.3 电子图书馆馆，里面收藏的不是一本本的印刷在纸上的图书，而是以电子形式储存、检索文献信息，从而为公众提供服务的图书馆。其是随着电版物的出现，网络通信技术渐出现的。电子图书馆，具有存储能力大、速度快、保存时间长、成本低、便于交流等特点。光盘海量存储器、能够存储比传统图书高几千倍的信息，比微缩胶卷要多得多，而且包括图象、视频、声音，等等。 技术，在这一种图书馆，我们能很快地从浩如烟海的图书中，查找到自己所需要的信息资料。这种图书馆，保存信息量的时间要长得多，不存在霉烂、生虫等问题。利用网络，在远在几千里、万里的单位、家中，都可以使用这种图书，效率极高。2.4 远程教育 远程教育：指使用电视及互联网等传播媒体式，它突破了时空的界线，有别于传统需要往校舍安坐于课室的教学模式。使用这种教学模式的学生，通常是业余进修者。由于不需要到特定地点上课，因此可以随时随地上课。学生亦可以透过电视广播、互联网、辅导专线、课研社、面授等多种不同管道互助学习。第三章 网络规划4.1可靠性设计在网络可靠性设计中，核心层设备之间采用1000兆光纤连接，采用链路聚合技术，允许每条冗余连接链路实现浮在分担，设置热备份路由协议（HSRP）来保证核心交换机冗余，在网络出现问题时，能迅速启动备用路径。采用Cisco VLAN Priority技术实现多练路之间的负载均衡，针对不同出口链路，将局域网内多个VLAN分别设置不同优先级实现出口流量的负载均衡。使用带有冗余电源Cisco交换机作为核心层和分布层的设备，在电源失灵的情况下，提供电源的冗余。服务器冗余：采用全冗余的服务器方式和服务器的硬盘进行镜像相结合，数据在两个或多个服务器上进行复制和自己硬盘进行复制相结合。4.2安全性设计在网络安全中，主要考虑内网与外网和链接，采用Cisco Secure PIX525防火墙和Cisco3600路由器。作为全网安全核心Cisco Secure PIX525防火墙不但具有防火墙功能而且还具有IP（Ipsec）虚拟专用网（VPN）能力，可以在两个PIX.、一个PIX和任意Cisco VPN路由器、一个PIX和Cisco安全VPN客户机之间创建和端接VPN隧道。服务器对外部访问者指提供有限的访问，它有外部访问的重要的数据（比如说网页），不过这些数据在坚固的保护之下，外部访问者只能访问这些服务，提供的服务包括：匿名FTP服务，WEB服务，DNS,TELNET,终端访问控制器访问控制系统。4.3动态路由协议本方案设计采用CISCO三层交换设备，建议采用OSPF的等值路由平衡技术来保障汇聚层和核心层设备之间数据的可靠传送，为两层之间数据流量提供合理、安全的负载均衡机制，以提高网络性能。虚拟子网的划分根据校园地理环境、管理要求我们采用划分虚拟子网（VLAN），保证校园网络的安全性，VLAN之间的访问必须通过三层功能来实现。CISCO交换机支持VLAN的多种划分，目前VLAN划分主要方式有基于端口的VLAN划分、基于MAC地址的VLAN划分、基于网络层的VLAN划分等方式以及这三种方式的混合使用。方式一是根据用户接入的交换机端口来划分其所属的VLAN，这种方式的优点是配置简单方便，但用户移动时需要换其接入端口，管理员需对交换机进行重新配置；第二种方式是根据计算机的MAC地址来划分，其特点是不必重新对交换机进行配置，但需在交换机上创建并维护一个较大的用户MAC地址列表；第三种方式通常利用IP子网以及IP地址来划分VLAN，其优点是配置简单，但安全性较差。本方案设备从核心层交换机Cisco Catalyst 6500、接入层交换机Cisco Catalyst2950-24，到接入层交换机设备支持IEEE802.1Q标准，保证了该项技术的顺利实施。这样，通过在接入层交换机为用户配置不同的VLAN,进行端口隔离，所有的用户端口只能通过接入层交换机或核心交换机来实现互连。在核心层交换机通过访问控制列表进行相应的控制，使得用户的访问得到完全的控制。4.4网络的冗余设计采用冗余配置的单机或多台设备互为热备。当然最好的方式是多台设备互为热备。但是这种方案一般情况下比较昂贵。网络链路的冗余设计往往链路的冗余设计是最易被实现和被用户接受的冗余方式。只要原因是这种冗余设计构思简单而且便宜。链路的冗余实现可以通过多种方式，目前比较流行的是链路聚合技术（802.3ad）和生成树技术（802.1D）。这两种技术可用于不同的环境和需求，也各有优势。当然链路聚合技术可与生成树技术配合使用。链路聚合技术针对点对点的应用，常用在核心多机热备和二级交换机与核心的单机连接。生成树技术常用于二级交换机与核心交换机连接的链路上。链路聚合技术提供了宽展带宽、链路热备、均衡负载和快速切换（一般小于4秒）的特征。生成树技术是一个纯备份的技术，在应用的时候有一条或多条链路处在阻塞（blocking）状态，只有在主链路断掉之后，备份链路才会启动。这个过程大概需要45秒钟（收敛时间）。链路聚合技术相对投资较大（端口、路线），但是可靠性好。生成树协议早就成为工业标准，兼容性非常好，而且比较便宜，但是浪费链路带宽。很多厂商也开发了代替生成树协议的厂商标准，只要是减少收敛时间。目前IEEE802.1W被成为第二代生成树技术，可以代替传统的802.1D。802.1W将收敛时间缩短为4秒之内。4.5服务器的冗余设计服务器的冗余设计包括了很对方面：链路、硬件和软件等。链路的冗余可采用双网卡方式或在单片机多口网卡上使用链路聚合技术;硬件的冗余可以采用双服务器热备的方法；软件的冗余可以采用双服务器软件镜像的方法。冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。当然，3个层次的设计可以贯穿于整个网络，每个冗余设计都有针对性。我们也可以选择其中一部分或几部分应用到网络中以针对重要的采用。汇聚层在这里考虑了两种情况：（1）对于突发流量大、控制要求高、需要对QoS有良好支持的应用（多媒体流-语音、视频和数据的融合应用，比如多媒体教室和教学），选择高性能但是性价比高的DCRS-6512多层交换机；（2）对于没有特殊需求（多媒体传输、安全、控制等）的子网，比如后勤子网。一般情况河北科技大学理工学院使用性能中等的二层交换机设备。接入层针对不同的接入密度可采用DCS-3726S 24 口可堆叠交换机或DCS-3750 48 口交换机。通常多媒体教室人数都在50人左右，采用神州数码为教育城域网“客制化”的DCS-1064，DCS-1064可以提供64个10/100M以太网接口，完全适应校园网多媒体教师的需求。如果接入点数量在24口以下，如学生宿舍楼等，也可以选择24口独立交换机DCS-3526，这三款交换机均可支持百兆光纤和千兆上联，DCS-3726S还可实现堆叠组内跨交换机的千兆聚合，能够有效提高上联链路的带宽和可靠性，消除网络瓶颈，达到真正的无阻赛的千兆骨干和百兆交换的桌面。教师端配置多媒体教学终端，完成VOD/AOD、课件点播、只能教学广播、数字监控、网络中控等多媒体教学功能。在主控室配置相应的硬件和软件完成全网的应用功能及管理。4.6 网络接入采用以太网接入方式 以太网接入是一种局域网技术，其带宽可达到G位以太网或更高速。以太网的帧格式与IP是一致的，特别适合传输IP数据。那么能够采取FTTB宽带接入，千兆或百兆到校，每个节点的接入速率可达10Mbps，可能就得也能够扩充到100Mbps。使用FTTB网不就得拨号，网民只要开机就可接入Internet。 以太网拥有优良的可扩展性，升级扩容非常非常方便；网民享有的带宽稳定，不存在ADSL最高传输速率受到传输距离制约的疑问，也不存在Cable有线接入随着网民的增加，每个网民分得的可用带宽会大大下降的缺点。 不足之处：前期投入较大，必须进行重新布线，铺设线路有必须难度；IP地址资源需要数量过大，管理水平需要较高等。 点评：我们接着看方式主要应用于多数规模较大的学校，网速非常快，也非常稳定。但因为前期成本过高，目前不适合规模较小的中小学校使用。 第四章 网络设计方案设计完全是根据学校实际情况和地图阿里设计的，以下是安顺二中建筑的主要分布图：教学楼1食堂 教师宿舍试验 机房 大楼教学楼4图书馆教学楼5教学楼3 足球厂 篮球厂教学楼2女宿舍 男宿舍二中大门小道4.1 主干网设计设计核心层是网络建设的关键，功能是实现高性能的交换和传输。因此，核心层设备应该具有高性能的传输功能和高可靠性、可管理性以及高带宽，以达到网络的设计要求。服务器：将选用一台小型机作为网络管理服务器，同时提供Web、E-MAIL、FTP服务。采用高性能的PC Server作为全校应用服务及信息存储的中心，包括：学生信息管理子系统、教师信息管理子系统、财务管理子系统、IC卡子系统、图书馆管理子系统、多媒体网上教学系统、视频点播子系统。中心交换机：中心交换机采用三层交换机作为校园网的主交换设备，提供划分内部虚拟网等功能，连接校园网内部各子网。校园网的核心层是一个数据交换枢纽，提供高速、有效地数据交换。鉴于其重要性和必要性，核心层的可用性也在设计中得到了充分的体现。腾达网络的校园网解决方案是一个优化的解决方案。核心节点之间的互联采用千兆以太网或千兆以太网的捆绑技术。核心层是一个路由域。通过在核心层配置动态路由协议，提供数据的路由和路由的迂回。网络核心层是网络的中心，其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机，可实现高速度的交换传输，以连接服务器等核心设备；并且非常可靠，实现不间断工作。网络拓扑图如下：4.2 信息点分析教学楼：每间教室只需一个信息点，教学楼没楼有5个教室，共6楼就需30个信息点。共有5栋教学楼，共150个信息点宿舍：考虑到大部分高中生还没有电脑，只需在每间寝室安装4个信息点即可，在加上有无线网，4个足够了。每楼有12间寝室，共6楼，2栋（一男一女）宿舍。一共576个信息点。实验大楼：两个机房120个信息点，其余教室一间一个信息点，共34个。教室宿舍：每间一个信息点，共60个。列表如下：楼名信息点数备注教学楼150个男宿舍288个女宿舍288个实验大楼162个机房各64个教室各一个教师宿舍60个合计948个4.2 图书馆的设计对于图书馆，主要是存储电子资料，这些资料都存储在数据服务器中，在图书馆只需一个主机进行维护，凡在二中校园网内均可访问电子资料。4.3试验大楼的设计实验大楼中有两个机房，每间房间中有64台主机，所以在此再用三个三级交换机，两个分配到两个机房，最后一个分配给整栋楼的其他教室，其拓扑图如下：4.4 机房的设计 学校的两个机房，每个机房64台主机，仅仅用一个交换机远不够，就采用两层交换机，其拓扑图如下：4.5 宿舍的设计考虑到学生用电脑的并不多，信息点在每间寝室只设了4个，其实主干网如下图：每一层共有48台主机，需要24接口的交换机两个4.6教学楼的设计教学楼每间教室只用一个信息点，一栋楼有30个信息点，需要两个24接口交换机方能满足需求，设计图如下所示：4.8 无线网接入设计对无线网用得比较对的是学生宿舍和教师宿舍的这三栋楼用得比较多，所以，只在这几栋楼加社无线路由器。无线主线拓扑如下图：考虑到辐射，我们采用的是小功率的无线路由器，去覆盖范围在10m左右，在两间宿舍之间就设置一无线路由器，设计图如下：4.8 子网划分4.8.1子网划分的优点: 1）减少网络流量 2）提高网络性能 3）简化管理 4）易于扩大地理范围 如何划分子网?首先要熟记2的幂:2的0次方到9次方的值分别为:1,2,4,8,16,32,64,128,256和512.还有要明白的是:子网划分是借助于取走主机位,把这个取走的部分作为子网位.因此这个意味划分越多的子网,主机将越少 4.8.2 网数来计算在求子网掩码之前必须先搞清楚要划分的子网数目，以及每个子网内的所需主机数目。1）将子网数目转化为二进制来表示 2)取得该二进制的位数，为 N3)取得该IP地址的类子网掩码，将其主机地址部分的的前N位置 1 即得出该IP地址划分子网的子网掩码。如欲将B类IP地址168.195.0.0划分成27个子网：1)27=110112)该二进制为五位数，N = 53)将B类地址的子网掩码255.255.0.0的主机地址前5位置 1，得到255.255.248.0，即为划分成 27个子网的B类IP地址 168.195.0.0的子网掩码。 利用主机数来计算1)将主机数目转化为二进制来表示2)如果主机数小于或等于254（注意去掉保留的两个IP地址），则取得该主机的二进制位数，为 N，这里肯定 N<8。如果大于254，则 N>8，这就是说主机地址将占据不止8位。3)使用255.255.255.255来将该类IP地址的主机地址位数全部置1，然后从后向前的将N位全部置为 0，即为子网掩码值。4.8.3 如欲将B?类IP地址168.195.0.0划分成若干子网，每个子网内有主机700台(17)：1) 700=10101111002) 该二进制为十位数，N = 10(1001)3) 将该B类地址的子网掩码255.255.0.0的主机地址全部置 1，得到255.255.255.255，然后再从后向前将后10位置0，即为：11111111.11111111.11111100.00000000，即255.255.252.0。这就是该欲划分成主机为700台的B类IP地址 168.195.0.0的子网掩码。子网掩码用于辨别IP地址中哪部分为网络地址,哪部分为主机地址,有1和0组成,长32位,全为1的位代表网络号.不是所有的网络都需要子网,因此就引入1个概念:默认子网掩码.A类IP地址的默认子网掩码为255.0.0.0;B类的为255.255.0.0;C类的为255.255.255.0 CIDR叫做无类域间路由,ISP常用这样的方法给客户分配地址,ISP提供给客户1个块(block size),类似这样:192.168.10.32/28,这排数字告诉你你的子网掩码是多少,/28代表多少位为1,最大/32.但是你必须知道的1点是:不管是A类还是B类还是其他类地址,最大可用的只能为30/,即保留2位给主机位 CIDR值: 1）掩码255.0.0.0:/8(A类地址默认掩码) 2)掩码255.128.0.0:/9 3)掩码255.192.0.0:/10 4)掩码255.224.0.0:/11 5)掩码255.240.0.0:/12 4.8.4 划分子网的几个捷径: 1)你所选择的子网掩码将会产生多少个子网?:2的x次方-2(x代表掩码位,即2进制为1的部分) 2)每个子网能有多少主机?: 2的y次方-2(y代表主机位,即2进制为0的部分) 3)有效子网是?:有效子网号=256-10进制的子网掩码(结果叫做block size或base number) 4)每个子网的广播地址是?:广播地址=下个子网号-1 5)每个子网的有效主机分别是?:忽略子网内全为0和全为1的地址剩下的就是有效主机地址.最后有效1个主机地址=下个子网号-2(即广播地址-1) 4.8.5 根据实际情况划分子网1） 从学校的规模来看，若是只用一个C类网络，仅仅能容纳254台主机是远远不够的，所以需要一个B类网络 2） 从主机数来看，在学生宿舍所需的信息点最多，宿舍共六层，每层有12间寝室，对于高中生来说，很多学生都没有电脑，所以每间4个信息点即可。整栋楼共有有288个信息点，至少用9位二进制数来表示主机号。为了以后的扩展性，我们用10位来表示主机号，六位来表示主机号。3） 整个学校现在共五个网络，分别是男宿舍、女宿舍、教学楼、实验大楼、教师宿舍。其余的网络以后备用。其网络号分别为：男宿舍：172.168.251.0女宿舍：172.168.250.0教学楼：172.168.249.0实验大楼：172.168.248.0教师宿舍：172.168.247.0无线网男宿舍：172.168.246.0无线网女宿舍：172.168.245.0教室宿舍：172.168.244.0 第五章 网络设备分析及介绍5.1 网络设备核心交换机的选择与介绍 - CISCO CATALYST 6500 交换机由于中心服务器的访问及数据流量对主干带宽要求很高，所以我们采用 Cisco Catalyst 6500 千兆模块把百兆交换机组通过光纤相连到Cisco Catalyst 6500 千兆交换机上，通过千兆交换机实现和 WEB 服务器千兆带宽的主干连接。并且我们将用2 台千兆交换机通过4GB 高速通道来实现千兆交换机冗余连接，使网络主干拥有很高的带宽。设备介绍如下： 由 Cisco Catalyst 6500 家族为企业网络和服务供应商网络提供了一系列高性能多层交换解决方案。Catalyst 6500 家族是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN 集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供应商环境中智能多层交换的不断增长的需求而设计的，是 Catalyst 4000 和5000 系列以及思科8500 系列交换机的补充和完善，这些产品将继续提供相应的主要配线柜和ATM 网络核心解决方案。这些Cisco 家族产品共同提供了广泛的智能交换解决方案，使公司内部网和 Internet 能够支持多媒体、关键任务数据和语音应用。Catalyst 6500 家族提供了出色的可扩展性和性能/价格比，能够支持广泛的接口密度、性能以及高可用性选项。作为Cisco 内容组网体系结构的一个关键组成部分，Catalyst 6500 家族提供了前所未有的商业灵活性，使企业能够快速部署新的Internet 应用并因而提高自己的收入和降低运营成本。当与应用智能、服务质量（QoS）机制和安全性功能结合在一起时，客户将能够在不牺牲网络性能的情况下更有效地使用自己的网络提供更多的客户机服务，如组播和企业资源规划（ERP）应用。Cisco 内容组网通过提供Internet 商业应用（这些应用的例子包括电子商务、供应链管理以及劳动力优化）创造了一个Internet 商业生态系统，这一系统使企业和自己的客户、供应商和商业合作伙伴更加紧密地结合在一起。通过CiscoAssure，利用像特殊用户、IP 地址或应用程序这样的Layer 2、3、4 信息，将能够以端对端的形式应用网络策略。 5.2 接入交换机的选择与介绍 - CISCO SG200-26 交换机在接入层我们采用百兆交换机，因为 10 兆虽然在目前校园网使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求。因此我们将采用CISCO SG200-26 交换机作为校园网工作组级接入交换机。并且我们通过 VLAN 技术，使每个教室或每个年级之间的互访得到有效的管理和控制，提高网络的安全性设备介绍如下： CISCO SG200-26系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco 交换产品系列，为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，CISCO SG200-26系列在网络或城域接入边缘实现了智能服务。 主要的中型企业优势 在布线室配线间中实现了智能的服务质量（QoS）、限速、访问控制列表（ACL）和多播服务在多种介质上提供了升级到千兆位以太网的强大路径凭借内置Cisco 集群管理套件可出色地管理并轻松地配置第2-4 层服务与CISCO SG200-26系列集中汇聚交换机相结合，用于IP 路由至网络核心 主要的城域接入优势 通过高级QoS、限速、语音及多播特性提供广泛的服务通过生成树协议改进和访问控制参数（ACP）来提供服务可用性和安全性通过Cisco IE 2100 系列智能引擎支持和简单网络管理协议（SNMP）来实现服务管理 5.3 路由器的选择与介绍 - CISCO 2811C/K9 路由器首先考虑到Internet 和其他网络的连接，如ChinaNET 等，我们建议出口路由器采用CISCO 2811C/K9型号路由器。它是学校的校园网对外的出口，也可以作为保护校园网的第一道防火墙，但根据客户商务和局域网配置的具体不同情况，也应该采取适当的步骤来确保来自 Internet 的局域安全。这至少要包括配置通过协议过滤器的访问控制目录。设备介绍如下：CISCO 2811C/K9 系列是一个适合大中型企业Internet 服务供应商的模块化、多功能访问平台家族。CISCO 2811C/K9 系列拥有70 多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用CIsco 的语音/传真网络模块，CISCO 2811C/K9系列允许客户在单个网络上合并语音、传真和数据 流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。关键特性在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM 连接以及语音、视频和数据的多服务集成。模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。高密度ISDN PRI 功能。预配置的BRI 和PRI 调制解调器捆绑。支持Modem-over-BRI 功能性。集成了Cisco IOS 软件（产品定价中包括IP IOS 软件）。完全支持VPN。5.4 防火墙的选择与介绍 - CISCO ASA5505-UL-BUN-K8防火墙随着 Internet 的迅速发展，如何保证信息和网络的自身安全性问题，尤其是在开发互联环境中进行商务等机密信息的交换中，如何保证信息存取不被窃取篡改，已成为企业非常关注的问题。作为开放安全企业互联盟的组织和倡导者之一，CISCO 公司在企业级安全性产品开发方面占有世界市场的主导地位，其FIREWALL-1 防火墙产品在市场占有率上已超过44%，世界上许多著名的大公局都已成为企业互联盟的成员或分销其产品。CISCO ASA5505-UL-BUN-K8 防火墙是世界领先的防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和灵活性。它所提供的完全防火墙保护以及IP 安全虚拟专网（VPN）能力特别适合于保护企业总部的边界。安全特性Internet 的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件，包括性能低、需要昂贵的通用平台、使用开放系统如UNIX 时本身具有安全风险等。而Cisco Secure PIX 防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。ASA 可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP 标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过CISCO ASA5505-UL-BUN-K8防火墙。这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受到非授权访问的侵袭。 另外，实时嵌入式系统还能进一步提高防火墙系列的安全性。虽然UNIX 服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的防火墙是为了实现安全、高性能的保护而专门设计。5.5 与IPSC互操作的安全VPN从传统上来说，防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前，越来越多的客户正在寻求除了提供访问控制以外，还能提供VPN 服务的防火墙。利用VPN，远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网，同时，使用Internet 访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的Modem 池和访问服务器来处理远程的拨号用户，而这些都是需要花费大量资金并且让管理校园网的规划与设计 第 14 页 共 24 页 员头痛的事情。现在，只需要向ISP 进行本地呼叫，用户就可以通过Internet 安全的访问专用的企业Intranet。 PIX 525 实现了在Internet 或所有IP 网络上的安全保密通信。它集成了 VPN 的主要功能 - 隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525 可以同时连接高达4 个VPN 层，为用户提供完整的IPsec 标准实施方法，其中IPsec 保证了保密性、完整性和认证能力。对于安全数据加密，Cisco 的IPsec 实现方法全部支持56 位数据加密标准（DES）和168 位三重DES 算法。可靠性PIX 防火墙提供了空前的可靠性，其平均无故障时间（MTBF）超过60000 小时。即使是达到了这样高的水平，那些Internet、Intranet 或Extranet 连接是企业生命线的企业还是认识到了防火墙冗余是一项关键因素。防火墙的每一分钟停止运行都意味着收入、机会或关键信息的损失。Cisco 已经创建了配合PIX 525-UR 使用的故障切换捆绑程序，能够简单、便宜地满足上述要求。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙，而其价格仅是标准PIX 525 UR 捆绑件的一小部分。灵活性CISCO ASA5505-UL-BUN-K8防火墙支持各种网络接口卡（NIC）。标准NIC 包括单端口或4 端口10/100 快速以太网、千兆位以太网、4/16 令牌环和双连接多模FDDI 卡。 另