××大学校园网解决方案

一、需求分析

建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种pc机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的教育资源。形成结构合理，内外沟通的校园计算机系统，在此基础上建立满足教学、研究和管理工作需要的软硬件环境，开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务。系统总体设计将本着总体规划、分步实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性、冗余性。本着为学校着想，合理使用建设资金，使系统经济可行。

具体包括下以几个方面:

1、内网络能够高速访问FTP服务器现在或上传文件实现资源共享功能，实现对不同类型的用户划分不同的权限,限制不同类型的用户只能访问特定的服务资源。可以下载和上传资料文件，访问速度可以对指定的用户进行级别的划分。

2、建设Web服务器对外实现信息发布，对内实现教学教务管理。网站发布学校新闻、通知、学校的活动等相关内容。实现学生能够在网上进行成绩查询、网上报名、网上评教等功能；以及教师的信息查询、教学数据上传等。

3、建设邮件服务器以满足校园内部之间和内、外网这间的大量邮件传输的需求。

4、实现内网划分多个VLAN，实现校园内不同校区，不同楼宇，不同楼层的多客户接入。

5、内部实现PC间实现高速互访，同时可以访问互联网。网络内同一IP段内的PC机可以通过网上邻居实现高速互访，传送资料文件等，解决不同楼宇，不同楼层之间通过移动存储设备传送数据费时、费力的问题。

6、内部用户的QoS管理，实现用户的分级管理功能，对用户下载和上传做相应的带宽限制。对校园网络中的流量实现有效控制，对校园内的重要数据量可靠、稳定的传输如：语音、视频会议等的延迟和阻塞的敏感。

应用服务：

电子邮件服务（E-mail）：内部E-mail系统

文件传输服务（FTP）、远程登录服务（TELNET）：提供资源共享

电子公告板牌服务(BBS)：信息发布

Internet WWW信息服务：学校网站

域名服务DNS：提供域名解析

数据库服务器：数据存储

二、网络规划

核心层考虑到核心层应该具有数据快速转发、路由等主要功能，采用Cisco 6500系列三层交换机，配置第三层路由功能模块。核心层节点间可通过若干千兆端口以Channel方式互联，每个核心层节点通过千兆端口与所有汇聚层Cisco Catalyst 3750三层千兆以太网交换机互联，组成星形结构，有助于获得安全保障，同时可提高带宽，以便为用户提供安全高速的数据传输通道。

  区域汇聚层采用Cisco Catalyst 3750三层全千兆以太网交换机，区域汇聚交换机以双千兆光纤与核心交换机相连，实现接入层与核心层之间的高速、高效中继，提高校园网系统的结构化层次和可管理性；

接入层 接入层直接面对用户，可在汇接层交换机下采用若干支持802.1q或ISL VLAN功能的二层交换机，在二层交换机上延伸汇接层交换机的VLAN，从而将用户划分在不同的子网里，防止IP地址欺骗，一方面为了安全，一方面便于计费。 

固定安装的线速快速以太网桌面交换机Cisco Catalyst 2950系列，可以为局域网（LAN）提供极佳的性能和功能。这些独立的、10/100自适应交换机能够提供增强的服务质量（QoS）和组播管理特性，所有的这些都由易用、基于Web的Cisco集群管理套件（CMS）和集成Cisco IOS软件来进行管理。带有10/100/1000 BaseT上行链路的Cisco Catalyst 2950 铜线千兆位，能够利用现有的5类铜线从快速以太网升级到更高性能的千兆位以太网主干。

以线速性能将终端工作站连接到LAN。

校园网VLAN的划分和IP地址规划

核心层设备端口分配表：

设备型号：核心层cisco6509交换

连接设备：

路由器cisco3745     （一个）  分配端口：1-4端口；

教学区cisco3750     （两个）  分配端口：5-12端口;

行政区cisco3750     （两个）  分配端口：13-20端口;

学生宿舍cisco3750   （两个）  分配端口：21-30端口;

实验区cisco3750     （两个）  分配端口：31-38端口;

服务器群cisco3750   （两个）  分配端口：39-46端口;

核心层cisco6509之间 （两个）  分配端口：47-54端口。

汇聚层设备端口分配表：

设备型号：教学区汇聚层cisco3750交换机

连接设备：

第一教学楼cisco2950（四层） 分配端口：1-8    VLAN：40

第二教学楼cisco2950（四层） 分配端口：9-16   VLAN：41

第三教学楼cisco2950（四层） 分配端口：17-24  VLAN：42

第四教学楼cisco2950（四层） 分配端口：25-32  VLAN：43

第五教学楼cisco2950（四层） 分配端口：33-40  VLAN：44

核心层交换机6509（两个）   分配端口：41-46 

汇聚层交换机cisco 3750之间  分配端口：47-48

设备型号：行政区汇聚层cisco3750交换机

连接设备：

行政楼cisco2950      (五层)    分配端口：1-10   VLAN：30

图书馆cisco2950      (五层)    分配端口：11-20  VLAN：31

电子阅览室cisco2950  (五层)    分配端口：21-30  VLAN：32

信息大楼cisco2950    (五层)    分配端口：31-40  VLAN：33

核心层交换机6509   （两个）  分配端口：41-44

汇聚层交换机cisco 3750之间    分配端口：45-48

设备型号：学生宿舍汇聚层cisco3750交换机

宿舍楼1 cisco2950 （48端口两层一个）分配端口：1-3    VLAN：10

宿舍楼2 cisco2950 （48端口两层一个）分配端口：4-6    VLAN：11

              .                         .             .

              .                         .              .

              .                         .              .

宿舍楼14 cisco2950 （48端口两层一个）分配端口：40-42 VLAN：24

    核心层交换机6509（两个）            分配端口：43-46

 汇聚层交换机cisco 3750之间           分配端口：47-48

设备型号：实验汇聚层cisco3750交换机

连接设备：

实验楼1 cisco2950   (五层)    分配端口：1-15   VLAN：51

实验楼2 cisco2950   (五层)    分配端口：16-30  VLAN：52

实验楼3 cisco2950   (五层)    分配端口：31-42  VLAN：53

核心层交换机6509（两个）   分配端口：43-46  

汇聚层交换机cisco 3750之间  分配端口：47-48

IP地址规划

1、各楼层IP地址具体分配如下：

第一教学楼      1-4层    IP地址: 10.20.1.0/24

第二教学楼      1-4层    IP地址: 10.20.2.0/24

第三教学楼      1-4层    IP地址: 10.20.3.0/24

第四教学楼      1-4层    IP地址: 10.20.4.0/24

第五教学楼      1-4层    IP地址: 10.20.5.0/24

行政楼          1-5层    IP地址: 10.30.1.0/24

信息大楼        1-5层    IP地址: 10.30.2.0/24

图书馆          1-5层    IP地址: 10.30.3.0/24

电子阅览室      1-5层    IP地址: 10.30.4.0/24

宿舍楼1        1-6层     IP地址: 10.1.0.0/16

宿舍楼2        1-6层     IP地址: 10.2.0.0/16

宿舍楼3        1-6层     IP地址: 10.3.0.0/16

宿舍楼4        1-6层     IP地址: 10.4.0.0/16

宿舍楼5        1-6层     IP地址: 10.5.0.0/16

宿舍楼6        1-6层     IP地址: 10.6.0.0/16

宿舍楼7        1-6层     IP地址: 10.7.0.0/16

宿舍楼8        1-6层     IP地址: 10.8.0.0/16

宿舍楼9        1-6层     IP地址: 10.9.0.0/16

宿舍楼10       1-6层     IP地址: 10.10.0.0/16

宿舍楼11       1-6层     IP地址: 10.11.0.0/16

宿舍楼12       1-6层     IP地址: 10.12.0.0/16

宿舍楼13       1-6层     IP地址: 10.13.0.0/16

宿舍楼14       1-6层     IP地址: 10.14.0.0/16

  实验楼1        1-5层     IP地址: 10.40.1.0/24

实验楼2        1-5层     IP地址: 10.40.2.0/24

实验楼3        1-5层     IP地址: 10.40.3.0/24

内部服务器                IP地址: 10.50.1.0/24

2、核心层与汇聚层IP地址规划：

核心层两台Cisco 6509之间路由IP为：10.1.1.1/30和10.1.1.2/30；

3、路由器、防火墙与核心层交换机的IP规划

网段10.1.3.0/29:       

核心层cisco 6509(1):10.1.3.1/29

核心层cisco 6509(2):10.1.3.2/29

防火墙CISCO PIX-525-UR-BUN: 10.1.3.3/29  10.1.3.4/29

网段10.1.4.0/30

Cisco 3745路由器：10.1.4.1/30

防火墙CISCO PIX-525-UR-BUN:10.1.4.1/30

4、各楼层管理设备地址：

表3.5

路由协议：

校园网设计中将采用OSPF协议，其中核心层两台路由交换机cisco6509为骨干区域；教学区、行政区、学生宿舍和实训实验区汇聚层路由交换机cisco3750为普通区域。每个建筑物内的域边界路由交换机向位于校园骨干网上的其它建筑物的域边界路由交换机广播本域的概要信息。

路由策略：

interface FastEthernet0/0 --------------------电信接入端口

ip address 192.168.1.2 255.255.255.0 --------分配地址

ip nat outside --------指定为NAT Outside端口

interface FastEthernet0/1 --------------------网通接入端口

ip address 192.168.2.2 255.255.255.0 --------分配地址

ip nat outside --------指定为NAT outside端口

interface Ethernet1/0 --------------------该端口为内部网络端口

ip address 10.1.3. 4 255.255.255.0 --------分配地址

ip nat inside --------指定为NAT Inside端口

ip policy route-map t0 --------在该端口上使用route-map t0进行策略控制

ip nat inside source list 1 interface FastEthernet0/0 overload ------Nat转换，指定原地址为学生宿舍网段的主机使用Fastethernet 0/0的地址进行转换

ip nat inside source list 2 interface FastEthernet0/1 overload ------Nat转换，指定原地址为除学生宿舍以外所有网段的主机使用Fastethernet 0/1的地址进行转换

ip route 0.0.0.0 0.0.0.0 192.168.2.1 ------静态路由，对Internet的访问通过192.168.2.1网通链路

ip route 0.0.0.0 0.0.0.0 192.168.1.1 ------静态路由，对Internet的访问通过192.168.1.1电信链路

access-list 1 permit 10.1.0.0 0.0.255.255

access-list 1 permit 10.2.0.0 0.0.255.255

…………

access-list 1 permit 10.14.0.0 0.0.255.255

----访问控制列表1，用于过滤原地址，允许学生宿舍的所有网段主机流量通过

access-list 2 permit 10.10.1.0 0.0.0.255

………….

access-list 2 permit 10.10.5.0 0.0.0.255

access-list 2 permit 10.20.1.0 0.0.0.255

………….

access-list 2 permit 10.20.4.0 0.0.0.255

access-list 2 permit 10.30.1.0 0.0.0.255

………….

access-list 2 permit 10.30.1.0 0.0.0.255

 ----访问控制列表2，用于过滤原地址，允许教学区、行政区、实训实验区的网段主机流量通过

route-map t0 permit 10 ----定义route-map t0，permit序列为10

match ip address 1 ----检查原地址，允许学生宿舍网段地址

set interface FastEthernet0/0 ----指定出口为Fastethetnet 0/0

route-map t0 permit 20 ----定义route-map t0，permit序列为20

match ip address 2 ----检查原地址，允许教学区、行政区、实训实验区的网段地址

set interface FastEthernet0/1 ----指定出口为Fastethetnet 0/1

三、拓扑结构

四、主要设备关键配置

主要设备 ：

cisco6509三层交换机  cisco3745路由器

cisco三层交换机   cisco2950交换机

关键配置：

路由协议的配置：

对cisco 6509（1）核心层路由交换机的配置：

interface fastethernet 0/1

ip address 10.1.1.1 255.255.255.252

interface fastethernet 0/2

ip address 10.1.1.6 255.255.255.252

interface fastethernet 0/3

ip address 10.1.1.14 255.255.255.252

interface fastethernet 0/4

ip address 10.1.1.22 255.255.255.252

interface fastethernet 0/5

ip address 10.1.1.30 255.255.255.252

interface fastethernet 0/6

ip address 10.1.1.38 255.255.255.252

interface fastethernet 0/7

ip address 10.1.1.46 255.255.255.252

interface fastethernet 0/8

ip address 10.1.1.54 255.255.255.252

interface fastethernet 0/9

ip address 10.1.1.62 255.255.255.252

interface fastethernet 0/10

ip address 10.1.1.70 255.255.255.252

interface fastethernet 0/11

ip address 10.1.1.78 255.255.255.252

router ospf 100

network 10.1.1.1 0.0.0.3  area 0

network 10.1.1.6 0.0.0.3  area1

network 10.1.1.14 0.0.0.3  area1

network 10.1.1.22 0.0.0.3  area2

network 10.1.1.30 0.0.0.3  area2

network 10.1.1.38 0.0.0.3  area3

network 10.1.1.46 0.0.0.3  area3

network 10.1.1.54 0.0.0.3  area4

network 10.1.1.62 0.0.0.3  area4

network 10.1.1.70 0.0.0.3  area5

network 10.1.1.78 0.0.0.3  area5

对cisco 6509（2）核心层路由交换机的配置与cisco 6509（1）类似；

对汇聚层路由交换机cisco 3750(1)的配置：

interface fastethernet 0/1

ip address 10.1.1.5 255.255.255.252

router ospf 200

network 10.1.1.5 0.0.0.3 area 1

其余汇聚层路由交换机配置与此类似，其中教学区为区域1，进程ID为200；行政区为区域2，进程ID为300；学生宿舍为区域3，进程ID为400；实训实验区为区域4，进程ID为500；服务器区为区域5，进程ID为600；

静态路由的配置：

Cisco 6509(连防火墙接口)：ip route 10.0.0.0 255.0.0.0 10.3.1.4

Cisco 3745：ip route 0.0.0.0 0.0.0.0 (ISP电信地址)

           ip route 0.0.0.0 0.0.0.0 (ISP网通地址)

VLAN的配置：

学生宿舍cisco3750交换机的VLAN的配置：

创建VLAN命令:

XSSQ (vlan)Vlan 10 name XSSQ1

XSSQ (vlan)Vlan 11 name XSSQ2

………..

XSSQ (vlan)Vlan 24 name XSSQ14

添加端口命令:

XSSQ (config)#interface fastEthernet 0/1 配置端口1

PAR1(config-if)#switchport access vlan 10 归属XSSQ1 VLAN

………..

行政区cisco3750交换机的VLAN的配置：

创建VLAN命令:

XZQ (vlan)Vlan 30 name XZQ 1

…………

XZQ (vlan)Vlan 34 name XZQ 4

添加端口命令:

XZQ(config)#interface fastEthernet 0/1 配置端口1

PAR1(config-if)#switchport access vlan 30 归属XZQ 1 VLAN

…………

教学区cisco3750交换机的VLAN的配置：

JXQ (vlan)Vlan 40 name JXQ 1

………….

JXQ (vlan)Vlan 45 name JXQ 5

添加端口命令:

PAR1(config)#interface fastEthernet 0/1 配置端口1

PAR1(config-if)#switchport access vlan 40 归属JXQ 1 VLAN

…………..

实训实验区cisco3750交换机的VLAN的配置：

SXSYQ (vlan)Vlan 50 name SXSYQ 1

……………

SXSYQ (vlan)Vlan 53 name SXSYQ 3

添加端口命令:

SXSYQ (config)#interface fastEthernet 0/1 配置端口1

PAR2(config-if)#switchport access vlan 10 归属SXSYQ 1 VLAN

………….

服务器区cisco3750交换机的VLAN的配置：

FWQQ (vlan)Vlan 60 name FWQQ 1

添加端口命令:

FWQQ (config)#interface fastEthernet 0/1 配置端口1

PAR2(config-if)#switchport access vlan 60 归属FWQQ 1 VLAN

地址转换协议（NAT）的配置(在cisco 3745路由器中配置)：

Access-list 1 permit 10.1.0.0 0.0.255.255

……………

Access-list 1 permit 10.14.0.0 0.0.255.255

Access-list 2 permit 10.10.1.0 0.0.0.255

……………

Access-list 2 permit 10.10.5.0 0.0.255

Access-list 2 permit 10.20.1.0 0.0.0.255

…………….

Access-list 2 permit 10.20.4.0 0.0.0.255

Access-list 2 permit 10.30.1.0 0.0.0.255

…………….

Access-list 2 permit 10.30.3.0 0.0.255.255

ip nat inside source list 1 interface FastEthernet0/0 overload

ip nat inside source list 2 interface FastEthernet0/1 overload

ip nat pool nat-pool1 202.17.89.51 202.17.89.100 netmask 255.255.255.0

ip nat pool nat-pool2 202.17.89.101 202.17.89.151 netmask 255.255.255.0

ip nat inside source list 1 pool nat-pool1 overload

ip nat inside source list 2 pool nat-pool2 overload

interface FastEthernet0/0

ip nat outside

interface FastEthernet0/1

ip nat outside

interface Ethernet1/0

ip nat inside

五、所需设备清单及型号

cisco6509三层交换机  cisco3745路由器

cisco三层交换机   cisco2950交换机