XX学校网络建设设计方案
河北软件职业技术学院
吴梅梅
2010.4.11
目录
一、项目背景 (3)
二、网络拓扑图 (3)
三、设备选型 (4)
1.网络设备 (4)
2.服务器 (4)
3.网管系统 (4)
4.存储设备 (4)
5.安全产品 (5)
6.设备清单 (5)
四、系统实施规划和设计 (5)
1.设备命名规则 (5)
2.VLAN划分原则与规划 (5)
3.IP地址规划 (6)
4.路由协议规划 (9)
5.网络安全规划 (9)
6.VRRP与MSTP (10)
五、施工进度安排 (10)
一、项目背景
某大学有四座普通教学楼、一座多媒体教学楼、一座图书馆、三个学生宿舍，一座办公楼，一座实训楼。

为响应信息化建设要求，搞好信息化基础设施建设，现在全校范围内进行网络规划实施。

除普通教学楼外，其它地方都需要有网络覆盖。

二、网络拓扑图
三、设备选型
1.网络设备
由于该学校有1558个信息点，核心路由的负担较大，所以我们选择SR6602两台冗余配分，流量负载分担，每台SR6602分别连接一ISP运营商。

核心交换机采用S7502E两台冗余备份，该设备自身具有良好的可靠性设计，支持万兆模块，再加上两台冗余使网络可以达到电信级可靠性，保证业务不间断，同时具有良好的可扩展性。

汇聚层交换机采用S3100系列，能够很好的控制网络拓扑结构的变化，控制路由表的大小，环节核心层的压力，对于流量进行很好的控制，同时实现端口的收敛，实现丰富的业务特性。

接入交换机采用S1656系列，可提供千兆上行接口，提高内网用户，访问内网服务器的速度。

2.服务器
Web服务器、DNS服务器、DHCP服务器和ftp服务器。

3.网管系统
采用H3C iMC在传统的网络管理系统的基础上，实现对IP用户、IP资源和IP 业务的统一管理，为客户最终提供一系列面向安全控制、面向性能优化和面向运营管理的整体解决方案。

4.存储设备
H3C EX800：适用于web、数据库存储和多媒体编辑制作等应用系统，可提供中小型系统数据集中、Windows系统保护等。

5.安全产品
H3C SecPath T1000-S入侵防御系统，该设备能精确实时地识别、阻断或限制黑客、蠕虫、病毒、木马DOS/DDOS、扫描、网络钓鱼、网游等网络攻击，还具有实用的带宽管理和url过滤功能，可以为用户网络提供最全面的深度防御。

6.设备清单
序列设备名设备参数设备型
SR660212SR660核心路由路由主
S7502E 主控板2 2
S7502E核心交换机
S3100 3 2
汇聚交换机S1656
50
48个接入交换机 10/1004 自协商的以太网口1 4×网安全产品口：业H3C 固定务5
以太网电口；可10/100/1000MSecPath
10/100/1000M×T1000-S 扩展业务口：4 ×1000MSFP光口以太网电口，46 存储设备 1H3C EX800 管理口：个10/100自适用；1
10/100/1000个业务接口：4 自适用7 1 个网管软件管理软件H3C iMC 1四、系统实施规划和设计
1.设备命名规则
为了保证以后管理的方便，采用如下的设备命名方法：AA-BB-CC-DD，其中AA 为设备所在网络中的位置，BB为设备的生产商，CC为设备型号，DD为设备的编号。

2.VLAN划分原则与规划
每个VLAN 1个网段，每个网段的网关为254。

部门主机数量 VLAN IP地址（子网掩码255.255.255.0）
多媒体教学楼 68 Vlan 2 192.168.2.1-192.168.2.253
地址规划3.IP设备管理地址1.的地址作VLAN 1LOOPBACK路由器采
24 10.0.0.7 JR-H3C-1656-1
24 JR-H3C-1656-3 10.0.0.9 24 JR-H3C-1656-4 10.0.0.10 24 10.0.0.11 JR-H3C-1656-5 24 10.0.0.12 JR-H3C-1656-6 24 JR-H3C-1656-7 10.0.0.13 24 JR-H3C-1656-8 10.0.0.14 24 JR-H3C-1656-9 10.0.0.15 24 JR-H3C-1656-10 10.0.0.16 24 JR-H3C-1656-11 10.0.0.17 24 JR-H3C-1656-12 10.0.0.18 24 JR-H3C-1656-13 10.0.0.19 24 JR-H3C-1656-14 10.0.0.20 24 JR-H3C-1656-15 10.0.0.21 24 JR-H3C-1656-16 10.0.0.22 24 JR-H3C-1656-17 10.0.0.23 24 JR-H3C-1656-18 10.0.0.24 24 10.0.0.25 JR-H3C-1656-19 24 10.0.0.26 JR-H3C-1656-20 24 JR-H3C-1656-21 10.0.0.27 24 JR-H3C-1656-22 10.0.0.28
4.路由协议规划动态路由协议，路由收敛速度快，不存在路由环路，可路
由协议采用OSPF以动态感知网络拓扑结构的变化，保证网络业务不间断。

网络安全规划5.规划1.NAT可以让内网用户NATNAT技术可以隐藏内部
网路，提高内网的安全性，同时地址的同时也节省了用IPInternet，节省使用一个或几个公网地址就可以接入户投资。

可以把内网服务器映射到外网，使外网用户通过公网地址就可NAT SERVER 以访问内网的服务器，提高了内网服务器的安全性。

NAT技术都在核心路由器上实现。

以上提到的两种攻击2.防内网ARP入侵检测功能，可有效防止黑客或攻ARPS3100-EI系列交换机支持特有的ARP报文实施网络中逐渐盛行的“中间人”攻击。

击者通过 DHCP防私设服务器3.的信任端口特性有效杜绝私系列交换机可以利用S3100-EIDHCP snooping
设DHCP服务器，保证DHCP服务器环境的真实性和一致性。

4.访问控制
使用acl访问控制列表实现多媒体教学楼、图书馆实现全天可以访问公网，办公楼上班时间（8：
00-12：00，14：00-18：00）不能访问外网的www服务。

宿舍楼上休息时间（0:00-6:00）不允许访问任何外网。

6.VRRP与MSTP
VRRP（虚拟路由冗余协议）可以起到设备备份的作用，当一台核心设备坏掉后，另一台设备可以不间断的提供服务，保证业务的不间断性。

MSTP通过采用冗余链路保障网络可靠性，同时还可以根据不同的VLAN制定不同的生成树实例，不同实例间单独计算生成树，保证不同实例有不同的根桥，从而实现在保障链路冗余的同时还可以起到流量负载分担的作用。

五、施工进度安排。