校园网络优化设计方案

校园网络优化设计方案内容摘要：

学校都是采用单链路结构，无冗余链路。 千兆光纤到栋楼设备间，网管中心到南院各楼栋设备 间采用单模。 网管中心到北院各楼栋设备间采用多模光钎。 工作间实现双绞线 100M 到桌面。 湖南信息职业技术学院计算机工程系（网络技术专业）毕业论文 4 2 平台优化 校园网优化思路 平台优化。 首先是对网络承载平台进行硬件设施的优化，重整架构，建造一个高性能、高带宽、稳定可靠的校园网承载平台。 管理控制。 其次通过强化网络管理与接入认证，达到净化网络应用环境，优化网络空间的目的，让垃圾信息没有用武之地。 让真正的应用大行其道。 资源整合。 整合目前零星的网络应用以及能用的硬件资源，在网络平台的基础上，建立校园内网资源服务。 拓扑优化 学校现在的网络拓 扑结构 改造后网络拓扑图 湖南信息职业技术学院计算机工程系（网络技术专业）毕业论文 5 学院现有的出口带宽是 400M（ 3 根 100M 电信，一根 100 的网通）。 1. 方正 FG8360 走一根电信 100M，主要负责家属区和北院教学区及办公区的上网。 2. 飞塔 FG3016B 走 2 根 300M（ 200M 电信， 100M 网通）。 负责北院 2 栋、 栋、4 栋、 5 栋、 8 栋以及南院 17 栋的上网。 在防火墙上启用 IPSEC 隧道与东院建立 VPN 连接，彻底解决两校区的互访问题。 3. 利用双防火墙与核心交换机和扩展核心交换机实现冗余，锐捷 355012G 是款全千兆交换机拥有 48Gbps之前做过临时 核心 .考虑到家属区和教学区主要的网络流量是访问 Inter网以及学校邮件服务器 .并没有特别频繁的内部文件互传，所以不会需要很高的带宽。 使用单独出口可以保持上网带宽的稳定性不会因为学生上网高峰而影响到办公。 同时也简化了流量不用再经过核心，减少了核心的负荷。 通过扩展核心直接与各服务器相连提高了访问速度。 4. 核心冗余使用浮动路由实现。 湖南信息职业技术学院计算机工程系（网络技术专业）毕业论文 6 流量优化 合理的 vlan 和 ip 规划 建定 IP 子网的聚合点，聚合点以下采用连续的子网划分。 使聚合点向核心路由交换机通告最少的路由。 根据 IP 子网的规划，对交换机进 行 VLAN 的规划和划分。 建立 VLAN 和 IP 子网的对应关系。 IP 地址的分配必须采用 VLSM 技术，充分合理利用已申请的地址空间，保证 IP 地址的利用效率，采用 CIDR 技术，减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小； 在三层路由交换机建立相应的 VLAN 以及与 VLAN 绑定的 IP 子网网关。 vlan 规划。 一台交换机一般供一层楼处在同一个 vlan 内，经常会因为一个人的电脑中病毒或搞各种攻击导致整层楼上网很慢甚至断网。 实际上个寝室之间的通信并不频繁。 为了解决这个问题我 们可以在原有基础上划分多个 vlan 再结合之后要做的网络广播控制，这样一来个人搞 ARP 攻击无异于自杀。 ip 的规划。 家属楼 17 栋 使用的 vlan17— vlan23 对应的网段是 —考虑到扩展划分的是： — 教学楼使用的 vlan 65— vlan66 对应的是 — 考虑到扩展划分的是： — 而图书 馆使用的却是 vlan 101，网段 由于当初的过高的考虑扩展需求浪费了太多 ip，根据改造后的拓扑，以及实际需求可以将家属区、教学楼、图书馆合并成： （ — ） 路由优化 学校现在部分路由： 湖南信息职业技术学院计算机工程系（网络技术专业）毕业论文 7 缺省路由： ip route GigabitEther 3/2 家属 17 栋： ip route Vlan 1 图书馆： ip route Vlan 1 北院教学区： ip route Vlan 1 南院教学区： ip route Vlan 1 南院五栋： ip route Vlan 1 以下的是给教师宿舍及楼栋： 南院一栋 : ip route Vlan 1 ip route Vlan 1 南院六栋 : ip route Vlan 1 ip route Vlan 1 北院八栋 : ip route Vlan 1 ip route Vlan 1 上面我们已经做过了 ip 重新规划，比如南院一栋教师宿舍的 vlan 106 对应的，每一栋都留有备用。 用备用网段取代原网段 优化方案： 家属 17 栋、办公楼、图书馆 :ip route Vlan 1。 南一栋及教师宿舍： ip route Vlan 1 南五栋及教学楼： ip route Vlan 1 南六栋及教师宿舍： ip route Vlan 1 北八栋及教师宿舍： ip route Vlan 1 提升设备使用率，优化流量 P2P 应用消耗了大量的网络带宽，对某些 P2P 要进行完全的限制（如电驴、电骡、迅雷） 由于没有流控设备。 只能用交换机实现， ① 限制带宽 例如 : 使用交换机的 QOS 实现限速，学校的 S2126 及以上都可以实现， 湖南信息职业技术学院计算机工程系（网络技术专业）毕业论文 8 那我寝室来说 6 个人上网，网段：。 接口： interface fastEther 0/22 配置如下： ip accesslist extended xiandan 配置 ACL permit ip any deny ip any any classmap fanfan 设置分类映射图 match accessgroup xiandan 匹配 ACL policymap 1m 设置策略映射图 class fanfan 匹配分类映射图 police 1000000 65536 设置限制带宽 1Mbps，猝发流量 65536byte Interface Fastether 0/2 进入 F 0/2，交换机的上行端口（出口） mls qos trust cos 启用 QoS servicepolicy input 1m 对输入带宽生效 ② 限制 UDP 范围 通过缩小端口取值来减少连接数，比如迅雷一般有几百条链接，也就开启了几百个 UDP 端口，而如果我们不用迅雷有几百个端口就够用了。 可以设定把UDP 端口大于 2020 的数据全部丢弃，这样限制了一些使用当对于提高网速极其有用，但会照成个别应有无法正常使用。 所以还需要额外的允许某些特定端口通过。 ③ 控制广播包 学院网络的数据处理方式 是：接入处理不了的往汇聚丢、汇聚处理不了则往核心丢容易照成过多的广播包，以及一些中病毒的电脑不断的发广播包，极大的占用了资源 .ACL 则可以解决这一问题，锐捷 S2126G 只能做进接口的 ACL。 于是选择把 ACL 做在汇聚上。 若网段为 145 到 150 配置应用到汇聚对下的 trunk。 湖南信息职业技术学院计算机工程系（网络技术专业）毕业论文 9 配置如下： ip accesslist extended deny ip any deny ip any deny ip any deny ip any deny ip any deny ip an。