一、需求分析 1、总体设计分析 本设计是为安徽工业大学东校区的校园网网络规划设计，为保证学院校园网的实用性、先进性、经济性以及可延展性，现按学院的整体布局及实际需求，提出校园网综合设计方案。 2、需求分析 安徽工业大学（东区）校区占地约100亩，现有师生6000余人，现有主要建筑8幢，分别是1号教学楼、2号教学楼、实验楼、女生公寓、男生公寓、两栋教师公寓，办公楼。如下图所示： 东校区平面图 根据教育部门有关文件精神，结合学院实际情况，学院信息化建设工作的核心目标在于充分利用信息技术，建立多层次、高可靠、可管理、可运营的开放式的数字化校园，促使其提高办学质量和效益。重点体现在以下几个方面。 教学方面，利用多媒体、网络技术实现高质量的教学资源、信息资源和智力资源的共享和传播，同时促进高水平的师生互动，促进主动式、协作式、研究型的学习，从而形成开放、高效的教学模式，更好地培养学生的信息素养、问题解决能量和创新能力。 管理方面，利用信息技术实现职能信息管理的自动化，实现上下级部门之间更迅速、便捷的沟通，实现不同职能部门之间的数据共享与协调，提高决策的科学性和民主性，减员增效，形成充满活力的新型管理机制。 科研方面，促进科研资源共享，加快科研信息传播，促进院内外学术交流。 公共服务体系方面，建设和维护好覆盖学院教学、科研、管理、生活等各个区域的宽带网络环境，提供面向全院师生的基本网络服务，建设高质量的数字化图书馆等应用信息资源库，以及服务于学院中心工作的基本信息资源库，实现身份认证等院内公共管理、服务功能。 学院局域网的功能要求包括能够高速、安全、及时地传送文本、音频和视频等多种媒体信息，能够支持一定程度的突发访问。 在性能和安全性上应满足10000人的网络应用需求，对响应时间不作特殊要求；为了存储数据和备份数据，网络中心需要建立磁盘列阵；为保障网络中心设备的安全运行要求在网络中心提供不间断电源；在遵循经济实用、成熟先进和安全可靠的设计原则下，{zd0}限度地考虑采用符合发展趋势的新技术；网络设备必须采用成熟先进的技术，所采用的标准要求统一，支持目前业界{zx1}的网络协议，，网络的标准必须符合国际/国家标准，并且拥有广泛的支持厂商；网络设备要求具有高可靠性、高稳定性和高可用性；网络设备要求提供足够的宽带，以适应校园网上信息结构多样化，要求支持虚拟网和第三层交换，形成公布式三层交换网；网络设备要求具有扩展性和可升级性，能够适应用户数量的扩展，能够保证未来网络升级时的平稳衔接，保证网络通信介质、网络基本设计核心的向后兼容性；要求网络易于管理，支持网络的拓扑视图、网段与端口的监控；网络流量及错误统计，具备计费管理、故障定位、诊断、修复和自动隔离等功能；要求网络具有高的安全性。在要求网络具有开放性的同时，要求保证其安全性。 在广域网选择上考虑学院的实际需求我们的校园网将通过光纤接入Internet网。 二、网络设计 1、设计目标 以上面需求分析的结果为依据，进行安工大东校区校园网的网络系统设计。 校园网系统由硬件系统和软件系统构成。其中，硬件系统主要由网络系统（交换机、路由器、防火墙等）、主机系统（服务器、工作站等）、外部设备（打印机、UPS、磁盘阵列等）以及布线系统组成；软件系统主要由系统软件（网络操作系统、网络管理系统、安全系统等）和应用软件（办公自动化系统、综合教务管理系统、图书馆自动化系统等）组成。 安工大东校区网络系统设计的总体目标是充分利用信息技术，建立多层次、高可靠、可管理、可运营、经济实用的开放式数字化校园，促进提高办学质量和效益。具体体现在以下4个方面。 1）总体规划，分步实施。 2）以教学活动为核心，以师生为主题。 3）注重应用系统建设。 4）注重网络建设的扩展性和可升级性以及向后兼容性。 2、设计原则 设计原则为标准化、可扩展性、可靠性与安全性、先进性、可管理性、完善的技术支持服务。 3、拓扑结构 根据前面的需求分析可知，安工大东校区校园网要求覆盖学校的教学区、行政办公区及学生和教师公寓等，要求数据、图形、图像、语音、视频皮等信息都能在网络上较好的传输，考虑到需求分析中收集的师生员工规模的信息，在网络设计时将校园网分为主干网和各区子网，主干网带宽1000Mbps，子网带宽100Mbps，网络支持VLAN管理、IP组播、第三层交换以及多种路由协议；在网络技术选型上，采用目前主流的快速以太网技术。 千兆以太网是超高速主干网的一种选择方案，它在数据、语音、视频等实时业务方面表现优良。千兆以太网频宽较高，能够克服原以太网的弱点，提供服务保证。从网络设备投资成本与维护成本、技术的先进性与稳定性、应用系统的开发难易程度等诸多方面考虑，应选择基于1000M和100M相结合的高速以太网技术作为安工大东校区校园网的设备、选型的主要依据之一。 在网络拓扑结构上选用星型结构，将校园网整体划分为核心层、汇聚层、接入层三个逻辑层次。 各建筑物之间采用光纤进行互连，楼内采用超5类非屏蔽双绞线布线，在同一幢楼的汇聚层和接入层交换机之间也采用超5类非屏蔽双绞线进行连接。 全网设一个核心层节点，位于网络中心。校内所有主干线路均汇聚于此节点，同时网络中心骨干节点也是学院广域网的{wy}出口。 汇聚层又根据实际情况分为一级汇聚节点和二级汇聚节点，一级汇聚节点直接和核心层连接，二级汇聚节点则只和一级汇聚节点相连。结合需求分析的结果，全网设置5个一级汇聚节点，分别分布在学生宿舍区汇聚点、教师公寓汇聚点、教学楼汇聚点、办公楼汇聚点和实验楼汇聚点；全网设置6个二级汇聚节点，分别位于学生公寓A、学生公寓B、教师公寓A、教师公寓B、教学楼1、教学楼2、办公楼和实验楼。 接入层网络交换设备位于各个建筑物的弱点设备间，提供多组24口的RJ45端口，端口带宽为10/100Mbps,接入层的各个网络交换设备之间采用级联方式，与汇聚层连接通过千兆上行光口相连。 全网的主干链路包括网络中心到每一级汇聚节点间的线路，即网络中心到学生宿舍区汇聚点线路、网络中心到教学行政办公区汇聚点线路、网络中心到计算机中心汇聚点线路以及网络中心到图书馆汇聚点线路。 网络拓扑图 4、结构化布线系统 1）综合示意图 2）工作区子系统 3）水平布线子系统 水平子系统是从用户工作区连接到垂直主干线子系统的线。水平子系统是整个结构化布线系统的一部分，它与主干线子系统的区别在于：水平子系统总在同一楼层，并与信息插座相连。这里使用五类线。 4）垂直布线子系统 垂直子系统，它提供建筑物干线电缆的路由。通常是在两个单元之间，特别是在位于中央点的公共系统设备处提供多个线路设施。该子系统由所有的布线电缆组成，或光纤以及将光纤连到其它专访的相关支撑硬件组合而成。传输介质可能包括一栋多层建筑物之间垂直布线的内部电缆或从主要单元或其它干线间来的电缆。这里使用超五类线。 5）管理子系统 管理子系统由交连、互连以及I/O组成。管理点是为了连接其它子系统提供连接的手段。交连和互连允许将通讯线路定位或重定位在建筑物的不同部分，以便能更容易的管理通讯线路。I/O位于用户工作区的其它房间或办公室，使得移动终端设备时能方便的进行插拔。 6）设备间子系统 设备间子系统由设备间的电缆，连接器和有关支撑硬件组成。它的作用是把公共系统设备的各种不同设备互连起来。该子系统将中继线交叉连接处和布线交叉连接处与公共系统设备连接起来。该子系统还包括设备间和临近单元中的导线。 7）建筑群子系统 建筑群子系统将一个建筑物中电缆延伸到建筑群的另一些建筑物中的通讯设备和装置上，建筑群子系统是结构化布线系统的一部分，它支持提供楼群之间通讯所需的硬件，其中包括导线电缆，光纤以及有效防止高压脉冲电压进入建筑物的电气保护装置。 5、网络安全设计 根据用户需求分析的结果可知，东校区的校园网必须是一个安全的网络。,因此，在逻辑网络设计时必须进行网络安全设计。 提供网络安全实质上是一种平衡策略，因此，权衡网络安全需要和方便用户需要，在东校区校园网的安全设计方面主要采用访问控制技术、用户认证技术、防火墙和安全管理技术以及病毒防范技术等来保障网络安全运行。 6、IP地址规划 接入点估计： 教学楼：2栋*6层*20=240个接入点 实验楼：1栋*5层*20=100个接入点 学生宿舍：2栋*6层*30个房间=360个接入点 教师公寓：2栋*4单元*6层*10个房间=480个接入点 办公楼：10个学院*5个办公室*2=100个接入点 假设申请到的一个C类地址为211.70.144.0 新的子网划分: 子网ID 子网划分 子网IP地址范围 区域分配 0 211.70.144.1000 0000 //211.70.144.128/26 教学楼1 1 211.70.144.0100 0000 //211.70.144.68/26 教学楼2 2 211.70.144.0011 0000 //211.70.144.48/28 办公楼 3 211.70.144.0010 0000 //211.70.144.32/28 实验楼 4 211.70.144.0001 1000 //211.70.144.24/29 教师公寓A 5 211.70.144.0001 0000 //211.70.144.16/29 教室公寓B 6 211.70.144.0000 1000 //211.70.144.8/29 学生公寓A 7 211.70.144.0000 0000 //211.70.144.0/29 学生公寓B 因为IP地址不足需使用xx地址，要用NAT地址转换技术进行地址转换，用DHCP服务对宿舍内IP号进行动态分配，并在学生公寓按学院划分VLAN。 7、二层交换机VLAN配置 学生公寓划分为12个VLAN Switch# Switch#configure terminal Switch#(config)vlan1 Switch#(config)vlan2 Switch#(config)vlan3 …… Switch#(config)vlan12 将{dy}个学院的宿舍的网线连接的交换机端口都指定到VLAN1 Switch# Switch#configure terminal Switch#(config)#interface fastEthernet 0/1 Switch#(config-if)#switchport access vlan1 Switch#(config-if)#no shutdown Switch#(config-if)#end ……（其他同样配置） 三、设备选型 从核心交换机到教学楼、办公室、公寓等使用千兆光纤，通过光纤与各楼宇二层交换机相连，形成星型结构千兆以太网解决方案。 垂直系统采用超五类线，水平系统采用五类线。 1、网络设备选型 根据东校区网络建设需求及针对具体实际情况，采用的设备主要包括： 整体网络系统可分为主干网络、分支网络、和广域网络三部分。 核心网络设备采用锐捷RG-S9620路由千兆以太网交换机，负责对骨干节点网络、服务器接入，以及VLAN等主要功能。 接入层设备采用xx密度交换机EN-2924S,实现10M/100M用户接入。 2、中心交换机 网络主干的网络设备选用1台锐捷RG-S9620千兆中心路由交换机，通过光纤与各楼宇二级交换机相连，形成星型结构千兆以太网的主干解决方案。它不仅可以同时满足铜缆、多模与单模接入的共存问题，而且具有较高的无阻塞的背板速率，支持全线速交换能力，较好的扩展性，可为东校区的进一步扩容提供快捷与低成本的升级方式。 锐捷RG-S9620千兆中心路由交换机具有以下特点： 最小的代价满足需求，实现主干网络的1000M连接，同时还实现线速的2、3、4层交换能力。 实现VLAN划分、应用级负载均衡等功能，并能保证性能不受影响。 投入成本小，网络连接易于实现。 预留一定数量的100M网络端口，便于网络的扩展。 锐捷RG-S9620基本规格 交换机类型 路由交换机 交换方式 存储-转发 背板带宽 9830Gbps MAC地址表 768K 锐捷RG-S9620网络参数 包转发率 L2: 3571Mpps L3: 3571Mpps 网络标准 IEEE802.3, IEEE802.3u, IEEE802.3z, IEEE802.3ab, IEEE802.3ae, IEEE802.3ak, IEEE802.3an, IEEE802.3x, IEEE802.3ad, IEEE802.1p, IEEE802.1x, IEEE802.1Q, IEEEE802.1D, IEEEE802.1w, IEEEE802.1s 网络协议 BGP4、IS-IS、OSPFv2、RIPV1、RIPV2、IGMP v1/v2/v3、 DVMRP、PIM-SSM/SM/DM、MBGP、LPM Routing、Policy-based Routing、Route-policy、ECMP、WCMP、VRRP 网管功能 SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2、FTP/TFTP、USB、监控显示屏 其他功能 QOS: IP Precedence、802.1P、DSCP、ACL流分类、Urgent Queue、、Protocol Queue、硬件队列、FIFO、PQ、CQ、SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、CBWFQ、LLQ、WRED、CAR、LR(In\Out)Traffic Shaping(GTS)、HOL、RSVP 3、其它交换机选型 接入层选择EN2924-SGM+型号的交换机，提供了24个10/100MbpsRJ-45端口和用于扩展及上行链路模块的2个可选插槽。此外还专门提供一个专用管理插槽。其即插即用式安装、先进的网络管理和基于标准的交换能力是我们的理想选择。 EN-2924 SGM+千兆交换机 主 要 性 能 1 千兆高性能以太网交换机 2 支持端口汇聚（Port Trunking）、VLAN、流量控制（Flow Control）、端口镜像 3 Port Mirror）等功能，可以提高网络性能和可监控性 4 支持IGMP协议，可在组播（如视频点播）时有效降低网络流量 5 8.8Gbps大容量背板带宽 6 19”机架式安装 7 全双工和半双工自适应 8 支持多达6K的MAC地址空间 9 内建3M缓存 10 {zg}支持8.8G的吞吐量 11 自动地址学习功能 12 安全过滤通信数据 13 符合IEEE802.3X 14 支持存储转发模式 15 自适应交叉线和平行线 4、服务器 根据学院的实际需求情况高性能的服务器必不可少，所以我们选择了HP ProLiant DL580 G5 451993-AA1的服务器，它为校园网高效、稳定、安全地运行提供了优质服务。根据需要应配置WWW服务器、邮件服务器、管理服务器以提高整个校园网的服务效率和质量。 HP ProLiant DL580 G5 451993-AA1基本参数 服务器类型 机架式 结构 4U 处理器类型 Intel 至强 E7350 服务器处理器主频 CPU核心 2.93GHz 四核 标配处理器 4颗 {zd0}支持处理器 4颗 处理器二级缓存 8MB 主板芯片组 Intel 7300 芯片组 内存类型 DDR2 内存容量 8G {zd0}内存 128GB 重量 30.8Kg 网卡数量 2个 网络控制器 NC373i 多功能千兆网络适配器 I/O接口 1 个串行端口、1 个定位设备（鼠标）、1 个正面视频接口、1 个背面视频接口、1 个键盘、共 6 个 USB 2.0 端口：正面 2 个；背面 2 个内部 2 个；1 个 iLO 2 远程管理端口；2 个 RJ-45 网络接口 操作系统 Microsoft Windows Server 2003；Red Hat Enterprise Linux；SuSE Linux Enterprise Server；Novell NetWare；Sun Solaris Intel Platform Edition；VMware 虚拟化软件 网卡数量 2个 5、 路由器 路由器我们根据学院的需求结果选择 H3C RT-SR6608-H3型号的核心路由器，报价为220000.00元，如下图。 H3C RT-SR6608-H3主要参数 路由器类型 开放多核企业级路由器 其他控制端口 Console, AUX, USB 扩展插槽 ≥18 Mpps 路由器包转发率 30个 路由器网络协议 支持静态路由, RIPv1/v2、RIPng, OSPFv2/v3, BGP、BGP4+, IS-IS、ISIS v6, 支持DHCP Server, DHCP Relay, DHCP Client, DNS Client, IPv6, TFTP Client, FTP Server, FTP Client, 二层协议等 VPN功能 支持VPN 防火墙功能 内置 安全标准 ACL, TCP, AAA, RADIUS, HWTACACS, IKE, PKI, RSA, SSH 1.5/2.0, IPSec 机身重量 ＜50kg 外观尺寸 436×468×308mm 6、防火墙 防火墙采用天融信的NGFW4000-E-VPN(E)。面向中心骨干机构和复杂的xx流量环境。拥有内置的IPSEC加密、Web页面包护和负载均衡双机热备，提供强大的功能和安全保障。 天融信NGFW4000-E-VPN(E)主要参数如下： 防火墙类型 百兆级防火墙 网络吞吐量 100Mbps 管理 SNMP/CLI/SSH 人数限制 无用户数限制 入侵检测 IDS/Dos/DDoS 主要功能 VPN, 访问控制, 宽带管理, 防火墙功能 安全标准 UL 1950, EN 41003, AS/NZS 3260, AS/NZS 3548 Class A, CSA Class A, FCC Class A, EN 60555-2, VCCI (ClassII) 控制端口 RS-232 其他端口 3个10/100BASE-TX,最多可扩展7个端口 7、 电源以及其他 UPS电源对于机房服务器和网络设备的正常运行非常重要，而电池对于UPS电源而言至关重要，在此，我们采用爱克赛的主机，而电池采用大力神电池，提供4小时的后备电源。 四、方案预算 1 、设备 防火墙（1个）：价格140000元/台。 路由器（1个）：价格160000元/个。 锐捷RG-S9620千兆中心路由交换机（1个）：价格230000元 /个。 千兆三层交换机（5个）：价格20000元/个。 百兆二层交换机（140个）：价格5000元/个。 核心服务器（1个）：价格140000元/个。 应用服务器（5个）：价格6000元/个。 光纤线缆：（4000米）：价格3元/米。 双绞线：(200箱)：价格200元/箱。 其他设备：20000元； 总计： 140000×1+1×160000+230000×1+20000×5+5000×140+140000×1+6000×5+4000×3+200×200+20000=157.2万 2、工程实施资金 项目时间：2个月。 一线实施人员（10名）：100元/天。 现场跟踪管理人员（2名）：300元/天。 项目经理（1名）：100000元。 总计：10×100×60+2×300×60+100000=19.6万 3、工程总计 总金额=157.2+19.6=176.8万。