白银区碱台子节水灌溉增效示范项目

工程设计工作报告

1.工程概况

1.1工程位置

项目区地处甘肃中部干旱区，四面环山，呈狭长的沟谷地带。东邻靖远县刘川乡，南与市区相连，西南与皋兰县黑石川相邻，北与景泰县中泉乡接壤。全乡境内沟壑纵横，常年干旱少雨，群众居住分散。海拔2273-1640米，东西长约38公里，南北宽约21公里，包兰铁路和白景公路纵穿境内。地势西北高，东南低，自然坡降为18‰。项目区位于白银区西北方向30km处的武川乡红岘村。

1.2气象及水文

白银区地处大陆腹地，远离海洋，地势较高，属典型温带大陆性气候，具干旱～半干旱温暖气候特征。多受大气环流、蒙新、青藏高原气候和秦岭屏障的影响，东南暖流不易到达，降水少，蒸发大，气候干燥。区域气候特点是：光照资源丰富，热量较充足，气温日差较大，降水量少，风沙大。干旱多风是区域内的主要气候特征。

白银区境内自产径流水稀少，黄河自西峡口入境，由东向西流经水川、四龙两乡，流长38km，年平均流量1500 m?/秒，年径流量4.7亿立方米，流域面积200平方公里。农田灌溉和城区用水均以从黄河电力提水解决。区域内降水少而蒸发量大，地下水补给来源缺乏，又受地质因素影响，地下水矿化度较高，水味苦咸，加之埋藏较深，很难利用。潜水面一般在4～8米以下。除东大沟、金沟附近的水位为0～ 1

3米外，其它地区均在5米以上。全区平均年降水量为203.4mm，一般降水不能满足农作物生长的需求。武川乡红岘村碱台子沟道内可见地下水分布，埋深6-10m左右，经对区域地下水取样化验，潜水矿物质离子含量较高，不宜用于农业灌溉和人畜饮水。

1.3水源条件

武川乡农灌和人畜用水受益于19xx年兴建的引大入秦黑武分干渠，设计流量2.5m?/s，设计灌溉面积3万亩，实际灌溉面积1.3万亩。其水量充沛，水质较好，但由于红岘村处于灌区末端，输水渠线长，供水成本较高。20xx年建成的甜水井塘坝位于项目区上游3.5km处，设计坝高6m，总库容4万m?，为均质碾压式土坝，坝内设计有卧管、涵管等取水输水建筑物，可满足取用水的要求。塘坝接蓄水渠道为黑武分干渠武川段武三支以下农灌斗渠，是续灌渠道，根据上游渠道供水轮灌周期，年轮灌水4次，分别为夏灌2次、秋灌和冬灌各1次。塘坝主要是用于水量的调蓄，年最大可供水量为20万m?，目前仅作为红岘村冬季日光温室供水水源，20xx年实际供水量为2.5万m?。

1.4基础设施条件

项目区对外交通方便， 217线（景白公路）从其边缘经过，乡村主干道四通八达，村村通混凝土硬化道路已全面实现。且项目区处在西北大电网覆盖之下，农村电网全部形成，供电设施齐全，电力供应有保障。工程施工用水引用灌区大通河灌溉水，水质、水量均能满足工程施工要求。 2

1.5项目建设的必要性

红岘村位于武川灌区末端，引大黑武分干渠武三支渠道为该村灌溉水来源。但项目区输水渠道受地形条件限制，大部分环山分布，沿线险工险段多，排洪设施不足，渠基不稳，渠堤单薄，易滑塌垮堤和淤填，渠道渗漏严重，渠系水利用率低，灌溉成本高。农毛渠大部分为未经衬砌的土渠，灌水方式以大水漫灌为主，灌水浪费严重，渠系水利用率仅为0.46，灌溉水利用率不足40%。项目区山大沟深，投资渠道须投入较大财力，运行成本较高。现有以渠道输水为主的水利工程只覆盖全村3279亩耕地，仅为总耕地面积的27.9%。在近些年的降雨条件下，该村大量的旱地被弃荒，耕地资源浪费严重，极大挫伤了当地农民的种地的积极性。

项目实施后，不但可以发展水地面积980亩种植枣树，更重要的是可以使有限的水资源得到高效利用，提高种地的经济效益，减轻农民负担，增加农民收入。项目具有广泛的社会经济效益和生态环境效益，因此，该示范项目建设是十分必要的。

2.工程规划设计要点

2.1工程设计依据：

—《水利水电工程等级划分及洪水标准》（SL252-2000） —《灌溉与排水工程设计规范》（GB50288-99）

—《节水灌溉工程技术规范》（GB/T50363-2006） —《微灌工程技术规范》（SL103-95）

—《农田灌溉水质标准》（GB5084-92）

—《微灌工程技术》（周卫平、宋广程、邵思编著） 3

—《白银区碱台子节水灌溉增效示范项目可行性研究报告》和甘肃省水利厅20xx年节水灌溉示范项目安排意见及投资规模

2.2工程设计内容

工程设计节水灌溉面积980亩，年供水总量达到11.76万m。主要设计内容：首部枢纽建筑面积62.04m，其中：净水间1间40.92m（5.5m×7.44m），办公室1间21.12 m2232（5.5m×3.84m）。管网工程铺设干管1条长3598m，其中：DN200×0.6MpaPVC管1350m，DN200×0.8MpaPVC管1200m，DN200×1.0MpaPVC管504m；分干管2条长1416m，其中：分干1 DN160×1.0MpaPVC管768m；分干2长648m（其中分干2-1 DN125×1.0MpaPVC管150m；分干2-2 DN110×1.0MpaPVC管260m；分干2-3 DN90×1.0MpaPVC管238m）；支管9条长8070m，直径DN50-DN75之间，承压等级0.8Mpa-1.0Mpa；分支管148条长7044m，规格为DN40×0.6MpaPE管。滴灌管铺设DN16×0.4MpaPE管166600M,安装8L补偿式滴头5.488万个。

管道系统中布置分水井7座，排水井2座，检查井1座，干管线路较高位置分别设置排气井5座，6-9支管分水井内安装减压阀4个。

3.工程设计存在的问题及处理情况

设计为工程服务，建设为当地群众使用服务。因此，我院对白银区碱台子节水灌溉增效示范项目高度负责，组织成立了设计小组，本着经济合理的原则，依据建设单位要求严 4

格按照相关规范规定设计。经审查有三个主要问题：一、设计净水间没有考虑过滤器清洗时的高度，导致净水间安装过滤器的地面改为沉箱体结构。二、支管DN50管沟土方开挖及回填没有计量。三、田间工程量按水浇地计算，没有按旱砂田计算，导致揭砂和铺砂工程量没有计入。在工程建设过程中，我院设计人员多次到施工现场进行设计回访，与建设单位共同协商解决设计中存在的问题，保证工程建设的合理性和经济性。

4.工程标准

（1）工程规模等级：

本项目规划枣林灌溉面积980亩，根据《水利水电工程等级划分及洪水标准》（SL252-2000），本工程等别为Ⅴ等，工程规模为小（2）型，主、次要建筑物等级为5级。

（2）使用年限

干支管为地埋PVC管道，使用寿命为40年，分支管和毛管为浅埋PE管，材料使用寿命为10～15年，综合考虑，确定工程使用年限为20年。

（3）设计标准

根据《灌溉与排水工程设计规范》（GB50288-99）规定，采用喷、微灌方式灌溉的各类作物，灌溉设计保证率为85%-95%，缺水地区以旱作物为主，灌溉设计保证率为85%，结合工程实际条件和水源地供水保证率程度的实际情况，灌溉设计保证率采用P=85%.

5.设计变更

该项目在实施过程中没有发生设计变更。

5

6.设计文件质量管理

保证工程设计质量是设计人的基本责任。针对本设计特点我院成立了设计小组，明确分工，责任到人，加强设计全过程质量控制，由技术负责人对设计文件进行审核把关。设计过程中，严格按照国家规定的设计规范、规程、技术标准及勘察成果文件进行精心设计。对完成的阶段规划方案进行反复论证，有效保证设计文件质量。

7.设计服务

工程设计是为工程建设服务，设计质量的好坏是决定工程质量的关键环节。为了保证项目的顺利实施，工程开工前，到施工现场进行设计技术交底。在施工过程中，设计技术人员多次深入施工现场，进行设计回访，并对施工中出现的技术问题进行协调处理。

8.工程评价

本工程首部枢纽净水间、管理房和田间管网工程都按设计内容、设计要求完成，遵循了设计意图，设计布局基本合理，达到了预期目的。

9.经验与建议

在整个工程设计、施工过程中，得到了建设单位、施工单位、监理单位的大力支持和配合，使设计蓝图变为现实。经过设计回访，骨干工程和田间配套工程都按原设计实施，设计布局基本合理。建议在以后的设计中，进一步做到设计内容与概算内容一致。应走向市场，详细地调查材料价格，使材料的概算价格与实际价格更接近，更合理，更适用。同 6

时工程管理单位加强工程管理工作，做到及时管理，经常维护，确保工程的正常运行。

7

 

第二篇：校园网络工程设计方案Microsoft Word 文档

校园网络工程设计方案

目 录

前言????????????????????????2

第一章 需求分析???????????????????3

第二章 网络规划???????????????????5 一 拓扑设计与设计原则………………………………………… 5

二 网络结构分析…………………………………………………6

三 网络架构设计与拓扑结构………………………………………7

第三章 主要技术设计的具体配置过程???????????9

一 访问层交换服务的实现——配置访问层交换机…………………10

二 分布层交换服务的实现－配置分布层交换机……………………12

三 核心层交换服务的实现——配置核心层交换机…………………15

四 配置接入路由器InternetRouter………………………………17

五 远程访问模块设计……………………………………………19

六 服务器模块设计……………………………………………… 21

第四章 总结?????????????????????22

第五章 设计体会???????????????????23 感谢????????????????????????24 参考文献??????????????????????24

前言

当今的世界正从工业化社会向信息化社会转变。一方面，社会经济已由基于资源的经济逐渐转向基于知识的经济，人们对信息的需求越来越迫切，信息在经济的发展中起着越来越重要的作用，信息的交流成为发展经济最重要的因素。另一方面，随着计算机、网络和多媒体等信息技术的飞速发展，信息的传递越来越快捷，信息的处理能力越来越强，信息的表现形式也越来越丰富，对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。

快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。 Internet及WWW应用的迅猛发展，极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域和时间的界限，为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。学校作为信息化进程中极其重要的基础环节，如何通过网络充分发挥其教育功能，已成为当今的热门话题。

随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一，此时，校园网上的应用系统就显得尤为重要。一方面，学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问，这是学生综合素质中极为重要的一部分；另一方面，基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。

学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，并保证将来可扩展骨干网络节点互联带宽为10G，为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。

1

第一章 需求分析

在校园网络中，视频、音频、数据集于一身，如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输，就没法对流做出最高优先级和次高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟、服务不可用。所以要想真正改变网络的效率，更有效的保证应用服务的运营，需要通过端到端的QOS，智能到边缘的方式来保证。通过智能到边缘，端到端的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。可以对园区网应用中的，多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。对不同服务流进行详细的分类，划分优先级，以及尽可能地避免发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。

在园区网络中，存在多样的网络设备及系统应用环境，并且要考虑在用户迅速增长的今天，考虑到网络设备的可扩展性。保证在多样网络设备，用户不断增加的环境中，仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的兼容性和可扩展性，能与当前校园网络无缝衔接，同时预留空间符合当前和以后的信息建设需要和足够的升级空间。

在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有高效率等，以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理，这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别，这样比在中央处理器识别要快的多。并在大量的数据应用，数据传输的过程中，要保证所有硬件设备都可以进行快速的转发，要具备高背板带宽（交换容量），所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力，保证了网络畅通。

现在的网络环境中稳定可靠是争相谈论的话题，因现在在网络中运行了众多重要应用及服务，是要保证7*24小时不间断的服务。就要完全能保证网络设备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中，也要保证较小的延迟，以满足网络应用中的有效畅通的需要。在这样的需求中利用，冗余的管理交换引擎、冗余的电源等关键部件的冗余，支持（802.1D、802.1W）802.1S多Vlan生成树协议保证链路级的冗余和负载均衡，支持VRRP、OSPF等三层路由协议保证路由级的冗余，支持load balancing技术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备、网络、应用系统的可靠性。

在校园网络中，对于校园网的安全保障十分重要：校园网的信息点分布很广，与一般企业网比较，校园网用户的流动性大，信息点存在随意接入使用的问题。学生及外来不明身份 2

的用户，在校园网中找到任何一个信息点，就可以进入到校园网，可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全，还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后，能够有效、快捷地处理事故，采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐，一个健壮的网络应该提供必要的手段，禁止特定病毒的传播以及由于病毒造成的流量拥塞。

我们采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。

路由技术：路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。

交换技术：传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本设计中，也将采用这三层进行分开设计、配置。

远程访问技术：远程访问也是园区网络必须提供的服务之一。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。）在本设计中，分别采用专线连接（到因特网）和电路交换（到校园网）两种方式实现远程访问需求。

3

第二章 网络规划

一 拓扑设计与设计原则

局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。

优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。

局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。 校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。

根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。

我们遵循以下的原则进行网络设计：

1.实用性和经济性

网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。

2.先进性和成熟性

网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。

3.可靠性和稳定性

4

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，Cisco公司作为知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。

为了保证骨干网络平台的健壮性和链路冗余性，网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。

4.安全性和保密性

在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，充分考虑Cisco公司安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。

5.可扩展性和可管理性

由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。

为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。

先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。

二 网络结构分析

1．骨干层

网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。

5

因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：1）高密度端口情况下，还能保持各端口的线速转发；2）关键模块必须冗余，如管理引擎、电源、风扇。

由于校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。

综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。

在此方案中，校区网络中心采用Cisco公司路由交换机作为核心交换机。核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。

2．接入层

接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。

楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。

3．出口

因为校园网出口采用以太网，所以采用路由器 + 防火墙的方式，起到如下作用： 防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。

三 网络架构设计与拓扑结构

为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。

本校园网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模 6

块、服务器群。整个网络系统的拓扑结构图如下图所示。在后面将根据此图分块进行分析。

校园网整体拓扑结构图

7

表 VLAN及IP编址方案

除了表中的内容外，拨号用户从192.168.200.0/27中动态取得IP地址。在这里为每个VLAN定义了一个由拼音缩写组成的VLAN名称。

第三章 主要技术设计的具体配置过程

为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。

园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。

传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。

现代交换网络还引入了虚拟局域网（Virtual LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。

8

当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。

当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这需要通过在各交换机上运行生成树协议（Spanning Tree Protocol，STP）来解决。

一个好的校园网设计应该是一个分层的设计。一般分为三层设计模型。

一 访问层交换服务的实现——配置访问层交换机

访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst 2950 24口交换机（WS-C2950-24）。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。我们以下图的访问层交换机AccessSwitch1进行设置。

1. 配置访问层交换机AccessSwitch1的基本参数

Switch(config)#hostname AccessSwitch1

AcccessSwitch1(config)# enable secret 123Switch /设置交换机口令

AcccessSwitch1(config)#line vty 0 15 /设置登录虚拟终端线时的口令 AcccessSwitch1(config-line)#login

AcccessSwitch1(config-line)#password youguess

2. 配置访问层交换机AccessSwitch1的管理IP、默认网关

AcccessSwitch1(config)#interface vlan 1

AcccessSwitch1(config-if)#ip address 192.168.0.5 255.255.255.0

9

AcccessSwitch1(config-if)#no shutddown

AcccessSwitch1(config)#ip drfault-gateway 192.168.0.254

3．配置访问层交换机AccessSwitch1的VLAN及VTP

AcccessSwitch1(config)#vtp mode client

AcccessSwitch1(config)#interface range fatchernet 0/1 – 24

AcccessSwitch1(config-if-range)#duplex full

AcccessSwitch1(config)#interface range fatchernet 0/1 – 24

AcccessSwitch1(config-if-range)#specd 100

4. 配置访问层交换机AccessSwitch1的访问端口

AcccessSwitch1(config)#Interface range fastchernet 0/1 -10

AcccessSwitch1(config-if-range)#switchport mode access

AcccessSwitch1(config-if-range)#switchport access vlan 10

AcccessSwitch1(config)#Interface range fastchernet 0/11 -20

AcccessSwitch1(config-if-range)#switchport mode access

AcccessSwitch1(config-if-range)#switchport access vlan 20

AcccessSwitch1(config)#Interface range fastchernet 0/11 -20

AcccessSwitch1(config-if-range)#spanning-tree portfast

5. 配置访问层交换机AccessSwitch1的主干道端口

AcccessSwitch1(config)#Interface range fastchernet 0/23 -24

AcccessSwitch1(config-if-range)#switchport mode trunk

AcccessSwitch1(config)#spanning-tree uplinkfast / 冗余设计

AcccessSwitch1(config)#spanning-tree Backbonefast / 加快生成树的收敛

7．配置访问层交换机AccessSwitch2与AccessSwitch1类似

10

二 分布层交换服务的实现－配置分布层交换机

分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。

这里的分布层交换机采用的是Cisco Catalyst 3550交换机。作为3层交换机，Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用，运行的是Cisco的Integrated IOS操作系统。我们以下图中的分布层交换机DistributeSwitch1为例进行设置。

1．配置分布层交换机DistributeSwitch1的基本参数

Switch#configure terminal

Enter congifguration commands,one per line End with CNTL/Z

Switch(config)#hostname DistributeSwitch1

DistributeSwitch1(config)#enable secret youguess

DistributeSwitch1(config)#line con 0

DistributeSwitch1(config-line)#logging synchronous

DistributeSwitch1(config-line)#exec-timeout 5 30

DistributeSwitch1(config-line)#line vty 0 15

DistributeSwitch1(config-line)#password abc

DistributeSwitch1(config-line)#login

DistributeSwitch1(config-line)# exec-timeout 5 30

DistributeSwitch1(config-line)#exit

DistributeSwitch1(config)#no ip domain-lookup

2．配置分布层交换机DistributeSwitch1的管理IP、默认网关

DistributeSwitch1(config)#interface vlan 1

DistributeSwitch1(config-if)#ip address 192.168.0.3 255.255.255.0

DistributeSwitch1(config-if)#no shutdown

DistributeSwitch1(config-if)#exit

DistributeSwitch1(config-if)#ip default-gateway 192.168.0.254

11

3. 配置分布层交换机DistributeSwitch1的VTP

DistributeSwitch1(config)#vtp domain nciae /设置VTP管理域的域名 DistributeSwitch1(config)#vtp mode server /设置VTP服务器 DistributeSwitch1(config)#vtp pruning /激活VTP剪裁功能

4. 在分布层交换机DistributeSwitch1上定义VLAN

Switch#configure terminal

Enter configuration commands,one per line.End with CNTL/Z

DistributeSwitch1(config)#vlan 10

DistributeSwitch1(config-vlan)#name JWC

DistributeSwitch1(config)#vlan 20

DistributeSwitch1(config-vlan)#name XSSS

DistributeSwitch1(config)#vlan 30

DistributeSwitch1(config-vlan)#name CWC

DistributeSwitch1(config)#vlan 40

DistributeSwitch1(config-vlan)#name JGSS

DistributeSwitch1(config)#vlan 50

DistributeSwitch1(config-vlan)#name WXY

DistributeSwitch1(config)#vlan 60

DistributeSwitch1(config-vlan)#name YYXY

DistributeSwitch1(config)#vlan 70

DistributeSwitch1(config-vlan)#name JSJXY

DistributeSwitch1(config)#vlan 100

DistributeSwitch1(config-vlan)#name FWQQ

5. 配置分布层交换机DistributeSwitch1的端口基本参数

DistributeSwitch1(config)#interface range fastethernet 0/1 – 24

DistributeSwitch1(config-if-range)#dupex full

DistributeSwitch1(config-if-range)#speed 100

DistributeSwitch1(config-if-range)#interface range fastethernet 0/1 – 10 DistributeSwitch1(config-if-range)#switchport mode access

DistributeSwitch1(config-if-range)#switchport access vlan 100

DistributeSwitch1(config-if-range)#spanning-tree portfast

DistributeSwitch1(config-if-range)#interface range fastethernet 0/23 – 24 DistributeSwitch1(config-if-range)#switchport mode trunk

DistributeSwitch1(config-if-range)#interface range gigabitEthernet 0/1– 2 DistributeSwitch1(config-if-range)#switchport mode trunk

6. 配置分布层交换机DistributeSwitch1的3层交换功能

DistributeSwitch1(config)#interface vlan 10

DistributeSwitch1(config-if)#ip address 192.168.1.254 255.255.255.0 DistributeSwitch1(config-if)#no shutdown

DistributeSwitch1(config)#interface vlan 20

DistributeSwitch1(config-if)#ip address 192.168.2.254 255.255.255.0 12

DistributeSwitch1(config-if)#no shutdown

DistributeSwitch1(config)#interface vlan 30

DistributeSwitch1(config-if)#ip address 192.168.3.254 255.255.255.0

DistributeSwitch1(config-if)#no shutdown

DistributeSwitch1(config)#interface vlan 40

DistributeSwitch1(config-if)#ip address 192.168.4.254 255.255.255.0

DistributeSwitch1(config-if)#no shutdown

DistributeSwitch1(config)#interface vlan 50

DistributeSwitch1(config-if)#ip address 192.168.5.254 255.255.255.0

DistributeSwitch1(config-if)#no shutdown

DistributeSwitch1(config)#interface vlan 60

DistributeSwitch1(config-if)#ip address 192.168.6.254 255.255.255.0

DistributeSwitch1(config-if)#no shutdown

DistributeSwitch1(config)#interface vlan 70

DistributeSwitch1(config-if)#ip address 192.168.7.254 255.255.255.0

DistributeSwitch1(config-if)#no shutdown

DistributeSwitch1(config)#interface vlan 100

DistributeSwitch1(config-if)#ip address 192.168.100.254 255.255.255.0

DistributeSwitch1(config-if)#no shutdown

7．配置分布层交换机DistributeSwitch2

分布层交换机DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/24以及访问层交换机AccessSwitch2的端口FastEthernet 0/24。

此外，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。

为了实现冗余设计，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet 0/2.

DistributeSwitch1(config)#ip route 0.0.0.0.0.0.0.0 192.168.0.254

另外. 为了实现对无类别网络（Classless Network）以及全零子网（Subnet-zero）的支持，在充当3层交换机的分布层交换机DistributeSwitch1，还需要进行适当的配置.

DistributeSwitch1(config)#ip classless

DistributeSwitch1(config)#ip subnet-zero

/定义对无类别网络以及全零子网的支持.

13

三 核心层交换服务的实现——配置核心层交换机

核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换

本设计中的核心层交换机采用的是Cisco Catalyst 4006交换机，采用了Catalyst 4500 Supervisor II Plus（WS-X4013+）作为交换机引擎。运行的是Cisco的Integrated IOS操作系统

在作为核心层交换机的Cisco Catalyst 4006交换机中，安装了WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)）模块，该模块提供了5个千兆光纤上连接口，可以用来接入WS-G5484（1000BASE-SX Short Wavelength GBIC (Multimode only)）。以下图中的核心层交换机CoreSwitch1为例进行设置

1．配置核心层交换机CoreSwitch1的基本参数

Switch#configure terminal

Enter configuration commands,one per line.End with CNTL/Z

Switch(config)#hostname DistributeSwitch1

CoreSwitch1 (config)#enable secret youguess

CoreSwitch1 (config)#line con 0

CoreSwitch1 (config-line)#logging synchronous

CoreSwitch1 (config-line)#exec-timeout 5 30

CoreSwitch1 (config-line)#line vty 0 15

CoreSwitch1 (config-line)#password abc

CoreSwitch1 (config-line)#login

CoreSwitch1 (config-line)# exec-timeout 5 30

CoreSwitch1 (config-line)#exit

CoreSwitch1 (config)#no ip domain-lookup

14

2．配置核心层交换机CoreSwitch1的管理IP、默认网关

CoreSwitch1(config)#interface vlan 1

CoreSwitch1(config-if)#ip address 192.168.0.1 255.255.255.0

CoreSwitch1(config-if)#no shutdown

CoreSwitch1(config-if)#exit

CoreSwitch1(config-if)#ip default-gateway 192.168.0.254

3．配置核心层交换机CoreSwitch1的的VLAN及VTP

CoreSwith1(config)#vtp mode client

4．配置核心层交换机CoreSwitch1的端口参数

核心层交换机CoreSwitch1通过自己的端口FastEthernet 4/3同广域网接入模块（Internet路由器）相连。同时，核心层交换机CoreSwitch1的端口GigabitEthernet 3/1～GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。

DistributeSwitch1(config)#interface range fastethernet 0/1 – 24

DistributeSwitch1(config-if-range)#dupex full

DistributeSwitch1(config-if-range)#speed 100

DistributeSwitch1(config-if-range)#switchport mode access

DistributeSwitch1(config-if-range)#switchport access vlan 1

DistributeSwitch1(config-if-range)#spanning-tree portfast

DistributeSwitch1(config-if-range)#interface range gigabitEthernet 3/1– 2 DistributeSwitch1(config-if-range)#switchport mode trunk

此外，为了提供主干道的吞吐量以及实现冗余设计，在本设计中，将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CoreSwitch2。 CoreSwitch1 (config)#interface port-channel

CoreSwitch1 (config-if)#switchport

CoreSwitch1 (config-if)# interface gigabitEthernet 2/1– 2

CoreSwitch1 (config-if)#channel-group 1 mode desiruble non-silent

CoreSwitch1 (config-if)#no shutdown

5．配置核心层交换机CoreSwitch1的路由功能

核心层交换机CoreSwitch1通过端口FastEthernet 4/3同广域网接入模块（Internet路由器）相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太网接口FastEthernet 0/0的IP地址。

CoreSwitch1(config)#ip routing

CoreSwitch1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254

15

6．其它配置

定义对无类别网络以及全零子网的支持

CoreSwith1(config)#ip classless

CoreSwith1(config)#ip subnet-zero

CoreSwitch2的配置步骤、命令和CoreSwitch1的配置类似.

四 配置接入路由器InternetRouter

1. 配置接入路由器InternetRouter的基本参数

Router#configure terminal

Enter configuration commands,one per line.End with CNTL/Z Switch(config)#hostname InternetRouter

InternetRouter (config)#enable secret youguess

InternetRouter (config)#line con 0

InternetRouter (config-line)#logging synchronous

InternetRouter (config-line)#exec-timeout 5 30

InternetRouter (config-line)#line vty 0 15

InternetRouter (config-line)#password abc

InternetRouter (config-line)#login

InternetRouter (config-line)# exec-timeout 5 30

InternetRouter (config-line)#exit

InternetRouter (config)#no ip domain-lookup

2. 配置接入路由器InternetRouter的各接口参数

InternetRouter (config)#interface fastethernet 0/0

InternetRouter (config-if)#ip address 192.168.0.254 255.255.255.0 InternetRouter (config-if)#no shutdown

InternetRouter (config-if)# interface serial 0/0

InternetRouter (config-if)#ip address 193.1.1.1 255.255.255.252 InternetRouter (config-if)#no shutdown

3. 配置接入路由器InternetRouter的路由功能

InternetRouter (config)#ip route 0.0.0.0 0.0.0.0 serial0/0

InternetRouter (config)#ip route 192.168.0.0 255.255. 248.0 192.168.0.3 / InternetRouter (config)#ip route 192.168.100.0 255.255. 255.0 192.168.0.3 /定义到校园网内部的路由

16

4. 配置接入路由器InternetRouter上的NAT

为了接入Internet，本校园网向当地ISP申请了9个IP地址。其中一个IP地址：193.1.1.1被分配给了Internet接入路由器的串行接口，另外8个IP地址：202.206.222.1～202.206.222.8用作NAT。

InternetRouter (config)#interface fastethernet 0/0

InternetRouter (config-if)#ip nat inside

InternetRouter (config-if)#interface serial 0/0

InternetRouter (config-if)#ip nat outside /定义NAT内部、外部接口 InternetRouter (config)#ip access-list 1 permit 192.168.0.0 0.0.7.255

InternetRouter (config)#ip access-list 1 permit 192.168.100.0 0.0.0.255

InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.1 InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.2 InternetRouter (config)#ip nat inside source static 192.168.100.1 202.206.222.3 …… / 为服务器定义静态地址转换

InternetRouter (config)#ip nat inside source list 1 interface serial 0/0 overload / 为工作站定义复用地址转换

5. 配置接入路由器InternetRouter上的安全访问ACL

1. 路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表（Access Control List，ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园网内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对校园网内网包括防火墙本身实施保护。

在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。在绝大多数网络环境的实现中它们都是应该对外加以屏蔽的。主要应该做以下的ACL设计：

对外屏蔽简单网管协议，即SNMP. 利用这个协议，远程主机可以监视、控制网络上的其它网络设备。它有两种服务类型：SNMP和SNMPTRAP。

设置对外屏蔽简单网管协议SNMP:

InternetRouter (config) #ip route 192.168.0.0 255.255.248.0 192.168.0.3

InternetRouter (config)#ip route 192.168.100.0 255.255.255.0 192.168.0.3

2. 对外屏蔽远程登录协议telnet. 首先，telnet是一种不安全的协议类型。用户在使用telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的，很容易被网络上的非法协议分析设备截获。其次，telnet可以登录到大多数网络设备和UNIX服务器，并可以使用相关命令完全操纵它们。这是极其危险的，因此必须加以屏蔽。 屏蔽远程登录协议telne

InternetRouter (config)#ip access-list 101 deny tcp any eq telnet

InternetRouter (config)#ip access-list 101 permit ip any any

3. 对外屏蔽其它不安全的协议或服务. 这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。可以将针对以上协议综合进行设计

InternetRouter (config)#ip access-list 101 deny tcp any any range 512 514

17

InternetRouter (config)#ip access-list 101 deny tcp any any eq 111

InternetRouter (config)#ip access-list 101 deny udp any any eq 111

InternetRouter (config)#ip access-list 101 deny tcp any any range 2049

InternetRouter (config)#ip access-list 101 permit ip any any

4. 针对DoS攻击的设计. DoS攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃。

InternetRouter (config)#ip access-list 101 deny icmp any any eq echo-requset InternetRouter (config)#ip access-list 101 deny udp any any eq echo

InternetRouter (config)#interface serial 0/0

InternetRouter (config-if)#ip access-group 101 m

InternetRouter (config-if)#interface fastethernet 0/0

InternetRouter (config-if)#no ip directed-broadcast

5. 保护路由器自身安全. 作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制。应只允许来自服务器群的IP地址访问并配置路由器。这时，可以使用ACCESS-CLASS命令进行VTY访问控制

InternetRouter (config)#line vty 0 4

InternetRouter (config-line)#access-class 2 in

InternetRouter (config-line)#exit

InternetRouter (config-line)#access-list 2 permit 192.168.100.0 0.0.0.255

InternetRouter (config)#ip classless /对无类别网络以及全零子网的支持 InternetRouter (config)#ipsubnet-zero

五 远程访问模块设计

远程访问也是园区网络必须提供的服务之一。

远程访问服务

18

远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。在本设计中，由于面对的用户群规模、业务量较小，所以采用了异步拨号连接作为远程访问的技术手段。

异步拨号连接属于电路交换类型的广域网连接，它是在传统公共交换电话网（Public Switched Telephone Network，PSTN）上提供服务的。传统PSTN提供的服务也被称为简易老式电话业务（Plan Old Telephone System，POTS）。因为目前存在着大量安装好的电话线，所以这样的环境是最容易满足的。因此，异步拨号连接也就成为最为方便和普遍的远程访问类型。

广域网连接可以采用不同类型的封装协议，如HDLC、PPP等。其中，PPP除了提供身份认证功能外，还可以提供其他很多可选项配置，包括链路压缩、多链路捆绑、回叫等，因此更具优势。也是本设计所采用的异步连接封装协议。

在本设计中采用了可以集成在广域网接入路由器InternetRotuer中的异步Modem模块NM-16AM（8Port Analog Modem Network Module）提供远程访问服务。它可以同时对最多16路拨号用户提供远程接入服务。

配置异步拨号模块NM-16AM的步骤:

1．配置物理线路的基本参数

对物理线路的配置包括配置线路速度（DTE、DCE之间的速率）、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等.

InternetRouter (config)#line 97

InternetRouter (config-line)#moderm InOur

InternetRouter (config-line)#transport input all

InternetRouter (config-line)#stopbits

InternetRouter (config-line)#speed 115200

InternetRouter (config-line)#flowcontrol hardware

2. 配置接口基本参数

对接口基本参数的配置包括：接口封装协议类型、接口异步模式、IP地址、为远程客户分配IP地址的方式等。这里，设置远程客户从IP地址池rasclients中获得IP地址。 InternetRouter (config)#interface async97

InternetRouter (config)#ip address 192.168.200.100 255.255.255.0

InternetRouter (config)#encapsulation ppp

InternetRouter (config)#async mode dedicated

InternetRouter (config)#peer default address pool rasclients

InternetRouter (config)#ip local pool rasclients 192.168.200.1 192.168.200.16 /建立了一个名为rasclients的IP地址池

3. 配置身份认证

PPP提供了两种可选的身份认证方法：口令验证协议PAP（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。 PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。 19

CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为"挑战字符串"。如图14-1-5所示。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。

CHAP对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全要求很高的场合。

PAP虽然有着用户名和密码是明文发送的弱点，但是认证只在链路建立初期进行，因此节省了宝贵的链路带宽。

本设计中将采用PAP身份认证方法。

InternetRouter (config)#username remoteuser password userpwd

InternetRouter (config)#interface a / 设置进行pap认证

InternetRouter (config)#PPP authentication pap

六 服务器模块设计

服务器模块用来对校园网的接入用户提供各种服务。在本设计方案中，所有的服务器被集中到VLAN 100构成服务器群并通过分别层交换机DistributeSwitch1的端口fastethernet 1～20接入校园网。如图所示。

校园网提供的常见的服务（服务器）包括：

WEB服务器：提供WEB网站服务。

DNS、目录服务器：提供域名解析以及目录服务。

FTP、文件服务器：提供文件传输、共享服务。

邮件服务器：提供邮件收发服务。

数据库服务器：提供各种数据库服务。

打印服务器：提供打印机共享服务。

实时通信服务器：提供实时通信服务。

流媒体服务器：提供各种流媒体播放、点播服务。

网管服务器：对校园网网络设备进行综合管理。

20

如下图所示。显示了各服务器IP地址配置情况

第四章 总结

校园网络是非常典型的综合网络.本设计是建立一个可扩展的、高速的、充分冗余的、基于标准的网络，该网络能够支持融合了话音、视频、图像和数据的应用程序. Cisco公司作为知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。因此.在关键网络系统中采用了Cisco 3640路由器、Cisco Catalyst 2950 24口交换机（WS-C2950-24）、Cisco Catalyst 3550交换机、Cisco Catalyst 4006交换机.在本设计中. 将重点放在网络主干的设计上，对于服务器的架设只作简单介绍。通过对校园网络关键设备进行分析.得出配置步骤和配置命令.

本设计中所采取的技术与产品充分考虑到了网络未来的升级与发展，无论从校园网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术，把网络已构筑了高速和坚固的信息高速公路，面对未来的发展将处于非常有利的境界

21

第五章 设计体会

通过这次课程设计，加强了我们小组四个人动手、思考和解决问题的能力。在整个设 计过程中.我们通过网上找资料和使用Cisco公司发布Packet Tracer 5.0网络模拟环境来完成了这次设计.

在设计过程中，经常会遇到这样那样的情况，就是心里想着这样的命令可以行得通，但实际接上模拟测试时，总是实现不了，因此耗费在这上面的时间用去很多。我觉得做课程设计同时也是对课本知识的巩固和加强，由于课本上的知识太多，平时课间的学习并不能很好的理解和运用各种知识点，而且考试内容有限，所以在这次课程设计过程中，我们了解了很多交换机和路由器的功能，并且对于其在网络的使用有了更多深刻的认识。

平时看课本时，有时问题老是弄不懂，做完课程设计，那些问题就迎刃而解了。而且还可以记住很多东西。比如一些交换机和路由器的命令，平时看课本，这次看了，下次就忘了，通过动手实践让我们对各种命令映象深刻。认识来源于实践，实践是认识的动力和最终目的，实践是检验真理的唯一标准。所以这次网络工程课程设计对我们的作用是非常大的。 同时这次设计是一个团队的工作，团队需要个人，个人也离不开团队，必须发扬团结协作的精神。某个人的离群都可能导致导致整项工作的失败。实践中只有一个人知道原理是远远不够的，必须让每个人都知道，否则一个人的错误，就有可能导致整个工作失败。团结协作是我们实习成功的一项非常重要的保证。而这次实践也正好锻炼我们这一点，这也是非常宝贵的。

通过这次课程设计使我懂得了理论与实际相结合是很重要的，只有理论知识是远远不够的，只有把所学的理论知识与实践相结合起来，从理论中得出结论，才能真正为社会服务，从而提高自己的实际动手能力和独立思考的能力。在设计的过程中遇到问题，可以说得是困难重重，这毕竟第一次做的，难免会遇到过各种各样的问题，同时在设计的过程中发现了自己的不足之处，对以前所学过的知识理解得不够深刻，掌握得不够牢固。

这次课程设计终于顺利完成了，在设计中遇到了很多专业知识问题。但最终还是解决了. 此次课程设计，学到了很多课内学不到的东西，比如独立思考解决问题，出现差错的随机应变，和与人合作共同提高，都受益非浅，今后的制作应该更轻松，自己也都能扛的起并高质量的完成项目。

22

感谢

通过这次课程设计，使我们理解和掌握了组建中小型网络的能力。这次课程设计过程中，得到了杨帆老师的辛勤指导，同时，在老师的身上我们学也到很多实用的知识.在此我们表示衷心的感谢！

参考文献

张宝通，《某（中小型）校园网设计方案实例》，ChinaITLab网校教研中心，20xx年3月 蒋先华、许以臣，《校园网络组建与应用》， 科学出版社，20xx年6月 胡远萍、张治元，《计算机组网技术》，高等教育出版社 ，20xx年6月

/global/CN/products/rt/index.shtml （思科产品的参数介绍）

23