计算机网络与安全实践课程设计报告完成版.doc

1、计算机网络与安全实践设计报告中国矿业大学（南湖校区）局域网建设方案专业: 计科 班级: 小组成员： 指导教师： 职 称： 中国矿业大学计算机科学与技术学院 2014年 4 月 徐州word文档 可自由复制编辑题 目 中国矿业大学（南湖校区）校园局域网建设方案 指导教师签字： 年 月 日目录1、引言41.1、背景41.2、目前现状42、网络设计的目标与要求62.1、矿业大学南湖网络的建设要求63、方案设计与实现73.1网络设计原则73.2 主流组网技术分析与选择83.3 网络拓扑结构设计93.4 IP地址划分93.4.1 IP地址及VLAN划分原则93.4.2、IP、VLAN的划分103.4.3

2、 NAT的实现103.5设备选型与配置：各种路由交换设备、服务器等113.6、 网络安全设计与管理173.6.1安全需求分析173.6.2网络安全控制183.6.3网络管理设计183.7、 未来升级与扩展204、网络施工与结构化布线214.1总布线规划214.2网络布局的具体实施要求215、结束语226.心得237、参考文献23中国矿业大学南湖校区校园网建设方案1、引言1.1、背景计算机网络是计算机技术和通信技术相结合的产物，在信息技术的带动下，计算机网络发展的非常迅速，特别是internet的日益普及，“校园网“就随着各高校计算机网络的建设而引起广泛关注。建设和使用校园网络已成为一种普遍的趋

3、势，学校对网络的依赖性越来越强，网络应用也是日新月异。从类型来看，校园网大都属于中小型系统，但它的网络结构和性能要求却又一定的特殊性，因此相应的网络设计和网络维护应有一些特别的考虑。随着我们学校扩建，规模扩大，设备更新，需要不断健全自己的校园网络来满足日新月异的网络环境，同时目前网络安全越来越成为特别是学校关心的一项，一旦网络瘫痪势必对教学和办公带来不可估量的影响，由此决定拟组建一个校园局域网，并附上校园网的安全已经维护服务。特此对南湖校区的校园局域网的建设方案做此规划。1.2、目前现状矿业大学南湖局域网的建设，最终是通过学校网络中心将网络接入到矿业大学南湖的每个机房，使师生员工可以在机房进行

4、各种活动，有助于提高师生的生活质量，对计算机技术的教学提供了极大的帮助。因此，建设矿业大学南湖局域网是学校发展的不可或缺的基础硬件设施。矿业大学南湖拥有一个完整的以太网布局，通过路由器与学校网络中心光纤连接， 由两层交换机将各个机房的信息点连通。矿业大学南湖位于计算机学院楼四楼，每个实验室是一间长方形教室，每个实验室大约有60台计算机。根据我校学生多、机位少的实际情况，制定如下网络需求：(1) C类局域网，独立网段，自主分配IP地址；(2) 每台计算机通过URL自由访问Internet网络资源；(3) 支持笔记本移动上网；(4) 高速、稳定、安全、可靠；(5) 布局规范、合理，易于维护；(6)

5、 节约空间，减少噪音污染；(7) 成本最优化原则建设的局域网要努力克服一些通病，如：设备种类繁多、机位拥挤不堪、网线密集凌乱、维护困难重重、空气流通不畅、往来人员频繁而中空的防静电地板将每个人脚下的声音传播到整个机房，混合上交换机噪音，产生噪音污染。此外，在建设实验室局域网过程中还要考虑以下因素：（1）主干层网落承载能力要求主干层的功能主要是实现骨干网络之间的优化传输，负责整个网络的网内数据交换。网络的功能控制最好尽量少在骨干层上实施，主干层设计任务的重点是冗余能力、可靠性和高速的传输。核心层一直被认为是流量的最终承受者和汇聚者，所以要求主干层交换机拥有较高的可靠性和性能。（2）汇聚层接点接入

6、要求汇聚层主要负责连接接入层接点和核心层中心，汇聚分散的接入点，扩大核心层设备的端口密度和种类，汇聚各区域数据流量，实现骨干网络之间的优化传输。汇聚交换及还负责本区域内的数据交换，汇聚交换机一般与主干层交换机同类型，仍需要较高的性能和比较丰富的功能，但吞吐量较低。(3) 可靠性和自愈能力要求 网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。(4) 安全性要求 制订统一的骨干网安全策略，整体考虑网络平台的安全性。可以通过各业务子网隔离，全网统一规划IP地址，根据不

7、同的业务划分不同的子网（subnet），相同物理LAN通过VLAN的方式隔离，不同子网间的互通性由路由策略决定。(5) 性价比要求 建设网络时选用的设备要具有较高的性价比，用最小的成本建设最优质的网络。2、网络设计的目标与要求2.1、矿业大学南湖网络的建设要求第一、经济而实用灵活的拓扑结构的网络实验室，所提供的实验平台可以适合多种应用实验的需要。可以实现同一时段多人做实验，也可合并在一起组成大的实验环境，体现网络实验室在拓扑环境组合上的灵活性及整体的经济性。第二、可扩展和易维护性由于计算机网络技术发展快速的特点，在网络实验室建设过程中，选择设备时要求其在提供多种冗余保证稳定的情况下，还必须具有

8、超强的扩展能力。如各种交换机都提供多个扩展插槽和提供足够的背板带宽，同时还采用设备管理软件来解决设备在维护上的问题。第三、社会实际紧密结合性所建设的网络实验室是完全结合社会真实的网络进行组建的，所有的实验都是从实际的网络环境中截取的，做到实验和社会实际有机地结合起来，以提高中职院校的综合竞争实力与学生就业能力。实验教学内容应与社会应用实践密切联系，形成良性互动，实现学与用的有机结合。要认真考虑设置哪些实验项目、采用何种实验手段才能切实提高学生的动手能力，培养学生的独立性和创造性，保证实验教学的质量。完善矿业大学南湖局域网基础设施建设，构建技术先进、扩展性强、安全可靠、高速畅通的网络环境。建立公

9、共信息系统基础平台，提供先进数字化管理手段，提高管理效率；建立功能齐全的教学管理平台；建设内容丰富的教学资源库，实现教学资源共享；提高全校师生信息素养，为培养高技能应用性人才和服务社会搭建公共服务平台。在网上宣传和获取教育资源；在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境；开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务；系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。 构建南湖校区校园网，我们一组3个人，分别完成各自不同的项目。3、方案设计与实现3.1网络设计原则在充分考虑多应用、易管理

10、的同时，本方案遵循如下原则：1、高可靠性。2、标准性及开放性。通讯协议和接口符合国际标准。3、灵活性及可扩展性。4、可管理性。合理地划分vlan，能够实现vlan连接。5、采用成熟的技术方案。6、安全性。7、综合性和统一性。最大限度的采用同一厂家的产品。8、合理的性能价格比。3.2 主流组网技术分析与选择网络拓扑结构就是网络的形状，或者是它在物理上的连通性。构成网络的拓扑结构有很多种，通常包括：星型拓扑、总线拓扑、环型拓扑、树型拓扑、混合型拓扑、网型拓扑。拓扑结构的选择往往与传输媒体的选择和媒体访问控制方法的确定紧密相关。在选择网络拓扑结构时，应该考虑的主要因素有下列几点：1.可靠性尽可能提高

11、可靠性，保证所有数据流能准确接收。还要考虑系统的维护，要使故障检测和故障隔离较为方便。2.费用低它包括建网时需考虑适合特定应用的费用和安装费用。3.灵活性需要考虑系统在今后扩展或改动时，能容易地重新配置网络拓扑结构，能方便地对原有站点的删除和新站点的加入。4.响应时间和吞吐量要有尽可能短的响应时间和最大的吞吐量。经过各方面的综合考虑，我们决定采用下面的建设方案：中间核心层是一台核心三层交换机，分别连接属于分布层的学生宿舍楼，图书馆，行政楼，公教区。分布层除了行政楼是三层交换机外，其它的都是二层交换机。图中所示只说明了核心层和分布层，接入层还有很多二层交换机。其中宿舍楼还连有一台DHCP服务器，

12、以为学生上网分配IP地址。核心交换机连接一台内部路由器，该路由器充当NAT作用，连接这电信服务提供商，负责把内网地址转换为外网地址，以实现校园内网络可以访问因特网。3.3 网络拓扑结构设计3.4 IP地址划分3.4.1 IP地址及VLAN划分原则l 简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式； l 连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛(Summarization)CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项，提高路由器的处理效率； l 可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增

13、加时仍然能够保持地址的连续性； l 灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化； l 可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。 l 安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。3.4.2、IP、VLAN的划分 内网全部使用私有地址，在核心交换机上划分vlan 1：学生宿舍楼：vlan 2，所用网段192.168.1.0/24，网关地址为192.168.1.1/24图书馆：vlan 3，所用网段192.168.2.0/24，网关地址为192.168.2.1/24.教学楼：vlan 4，所用网段19

14、2.168.3.0/24，网关地址为192.168.3.1/24.行政楼：vlan 5，所用网段192.168.4.0/24，网关地址为192.168.4.1/24.3.4.3 NAT的实现NAT，网络地址转换，是通过将专用网络地址转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的 IP 地址。这样，通过在内部使用非注册的 IP 地址，并将它们转换为一小部分外部注册的 IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。NAT网络地址转换的3种实现方式：1、静态NAT（一对

15、一）2、动态NAT（多对多）3、端口多路复用PAT（多对一）对于本方案而言，核心交换机与NAT路由器相连网段为172.16.1.0/243.5设备选型与配置：各种路由交换设备、服务器等设备报价及选择：我们通过查阅资料得到以下报价表：设备型号生产厂家单价核心交换机CISCOWS-C3750E-48PD-E思科130000元/台二层交换机RG-S6806E锐捷180000元/台ATM交换机CISCOWS-C3560G-24TS-E思科35000元/台ATM交换机CISCOWS-C3750-24TS-S思科9000元/台路由器CISCO 1841思科3700元/台路由器CISCO 2801思科530

16、0元/台交换机CISCOWS-C3560-24TS-S思科6000元/台交换机CISCORV042思科1000元/台光钎收发机 金浪KN-S113SCKingnet280元/台12芯室外架空多模光缆汉维 (HW810-12MM)汉维7元/米8芯多模室外铠装光缆立孚立孚5元/米超五类双绞线 TCLTCL4.6元/米防火墙 华为赛门铁克USG2110华为1800元/台比较各设备的性能和价格，我们作出如下选择：（1）分布层的三层设备采用Cisco Catalyst 3560系列交换机。Cisco Catalyst 3560系列交换机一个固定配置、企业级、IEEE 802.3af和思科预标准以太网供电

17、（PoE）交换机系列，工作在快速以太网和千兆位以太网配置下。Catalyst 3560是一款理想的接入层交换机。核心交换机为最主要部分，因此需要高端设备。Catalyst 6500系列为企业园区网和电信运营商网络设立了新的IP通信和应用支持标准，它不但能提高用户的生产率，增强操作控制，还能提供无与伦比的投资保护。所有二层交换机考虑到价格因素选用锐捷RG-S6806E系列交换机。RG-S6806E 系列多业务万兆核心路由交换机提供 1.6T/0.8T 背板带宽，并支持将来3.2T/1.6T 的能力，高达 572Mpps/286Mpps 的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的

18、交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。 （2）关于防火墙的选择：根据该校园的网络使用状况和实际需求，综合考虑经济性、品牌实力、应用拓展等因素，本方案采用国内防火墙华为赛门铁克USG2110系列产品。其技术特点是：l 安全功能：高稳定，高安全，高效率，高扩展，模块化，多平台支持。l 管理功能：实时监控，实时查看防火墙主机的当前负载情况，包括内存的使用情况和连接状况等；支持同时对多个设备的监控。支持对各种二层协议的控制；支持进行深层次的应用层过滤。支持SSN（Service-oriented seeuri

19、ty network面向服务的安全网络）。l 日志分析：审计日志分为多个等级；支持日志的自动导出与自动统计分析。支持高级日志分析系统。除防火墙外，还支持路由器、交换机、OS和应用系统的日志分析。l 可靠性：支持报文调试功能。支持运行黑匣子功能，并能导出设备健康运行记录。 （3）关于DHCP服务器局域网中每台计算机都要有自己的IP 地址，但静态的去给每台机子输入，由于校园网的计算机很多，会很麻烦而且容易导致IP冲突，不易管理。所以用DHCP服务器将IP 地址数据库中的IP 地址动态的分配给局域网中的客户机，这时只需在客户机上选择“自动获取IP地址”即可。客户机通过广播信息包的方式向DHCP服务器

20、提出申请，服务器收到信息后会向客户机提供一个合适的IP地址，每台客户机将选择一个IP地址而拒绝其他的，而且DHCP服务器在提供IP地址时会设置一定的租用期限，当客户机的租约到期后会释放IP地址而重新获得服务器提供的其他IP地址。DHCP服务器还可以通过保留设置，给其它服务器提供一个永久不过期的IP地址，例如给DNS服务器保留IP192.168.6.2，就相当于有了一个静态容易访问的IP地址。也就是你的电脑连上网，DHCP服务器才从地址池里临时分配一个IP地址给你，每次上网分配的IP地址可能会不一样，这跟当时IP地址资源有关。当你下线的时候，DHCP服务器可能就会把这个地址分配给之后上线的其他电

21、脑。这样就可以有效节约IP地址，既保证了你的通信，又提高IP地址的使用率。因为之前划分vlan时，学生宿舍楼属于vlan 2，可用地址空间为192.168.1.0/24，所以在DHCP服务器的地址池中只能宣告这个范围的地址供同学们使用。通过更改三层交换机的优先级，使其成为生成树协议（STP）中的根交换机。为了交换机与交换机之间能够传递不同vlan，需要在交换机相连接口之间配成802.1Q trunk模式。还需要在每台交换机上配置VTP，用于传递和同步vlan信息，其中把三层交换机配置成VTP的server端。在内部接入主机的交换机接口都配成portfast接口，此功能可以使该接口跳过生成树的监

22、听和学习状态，直接进入转发状态，实现生成树的快速收敛。为了不让在配置了portfast接口上错误地连接交换机导致STP重新计算，配置了portfast的同时要配置bpduguard，此功能可以让配置了portfast的接口在接收BPDU的时候进入err-disable状态，从而解决不小心把交换机错误地接入。配置DHCP：Router(config)#service dhcpRouter(config)#ip dhcp pool STUDENTRouter(dhcp-config)#network 192.168.1.0 255.255.255.0Router(dhcp-config)#exit

23、Router(config)#ip dhcp excluded-address 192.168.1.1配置vlan：SW(config)#vlan 2SW(config-vlan)#name stu SW(config-vlan)#exitSW(config)#vlan 3SW(config-vlan)#name libSW(config-vlan)#exitSW(config)#vlan 4SW(config-vlan)#name techSW(config-vlan)#exitSW(config)#int f1/0 /交换机上连接主机的接口SW(config-if)#switchport

24、mode access SW(config-if)#switchport access vlan 2SW(config)#spanning-tree portfast defaultSW(config)#spanning-tree portfast bpduguard defaultSW(config)#interface f1/2 /交换机之间互联接口配trunkSW(config-if)#switchport trunk encapsulation dot1q SW(config-if)#switchport mode trunkSW(config)#spanning-tree vlan

25、1-4096 priority 0 /核心交换机上配置优先级使其成为根交换机。SW(config)#vtp domain cisco /配置所有交换机相同域名和密码。SW(config)#vtp password ccieSW(config)#vtp mode server /核心交换机为server端SW(config)#vtp mode client /其它交换机为client端核心交换机创建SVI接口，并且运行OSPF协议：SW(config)#interface vlan 3SW(config-if)#ip address 192.168.2.1 255.255.255.0SW(con

26、fig)#interface f1/1 SW(config-if)#no switchport /开启交换机三层接口SW(config-if)#ip address 172.16.1.1 255.255.255.0 SW(config)#router ospf 1SW(config-router)#router-id 1.1.1.1SW(config-router)#network 192.168.1.0 0.0.0.255 area 1SW(config-router)#network 192.168.2.0 0.0.0.255 area 2SW(config-router)#network

27、 192.168.3.0 0.0.0.255 area 3SW(config-router)#network 192.168.4.0 0.0.0.255 area 4SW(config-router)#network 172.16.1.1 0.0.0.0 area 0 /用于NAT路由建立邻居关系（4） 路由选择与配置思科cisco 2800系列路由器可以用于中小型企业的网络接入，实现NAT转换，共享公网地址，支持各种专线接入。NAT路由器的设计网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的

28、转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。NAT不仅解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。因此NAT是这个校园网络不可缺少的一部分。NAT可以将多个地址同时映射到单个地址，该功能称为PAT。PAT会同时转换IP地址和端口号，来自不同地址的数据包可以被转换为同一个地址，但相应的端口号不相同，这样就可以共享同一个地址了。NAT连接核心交换机的地址采用私有地址，连接ISP的接口采用共有地址，该地址必须要向ISP申请。配置NAT：Router(config)#interface f0/0Router(config

29、-if)#ip address 172.16.1.2 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#no shutdownRouter(config)#interface f1/0Router(config-if)#ip address 197.168.1.2 255.255.255.0Router(config-if)#ip nat outsideRouter(config-if)#no shutdownRouter(config)#ip nat inside source list 1 interface f1/

30、0 overloadRouter(config)#access-list 1 permit 192.168.0.0 0.0.255.255配置OSPF：Router (config)#router ospf 1Router (config-router)#router-id 2.2.2.2Router (config-router)#network 172.16.1.2 0.0.0.0 area 03.6、 网络安全设计与管理3.6.1安全需求分析(1)、网络病毒的防范(2)、防止IP、MAC地址的盗用(3)、安全事故发生时候，需要准确定位到用户(4)、用户上网时间的控制(5)、用户网络权限的

31、控制(6)、各种网络攻击的有效屏蔽3.6.2网络安全控制(1)对端口 ARP 检查防止 ARP 攻击；(2)对端口安全：MAC 动态地址锁，MAC 地址静态绑定； (3)交换设备 BPDU Guard 功能，过滤非法 BPDU 报文，防止 STP 攻击交换机； (4)端口安全：端口静态绑定，自动绑定 IP 和 MAC 地址防止 DOS 攻击； (5)智能安全到边缘：多种 ACL，满足不同网络应用，过滤病毒 (6) SSH 密文传输，限制管理 IP 等措施保证设备管理可靠； (7)对网络病毒的防范：采用设置 ACL，对病毒进行过滤； 我们使用的汇聚、核心交换机都支持 SPOH，通过端口独立的 F

32、FP 进行 ACL 处理，网络设备性能不受设置 ACL 数目影响； 3.6.3网络管理设计网络管理包括用户管理、设备管理、网络故障管理(1)网络用户管理(2)网络设备管理网络设备的管理通过STARVIEW实现，主要提供以下功能，这些功能也是我们常见的解决问题的思路：1、网络现状及故障的自动发现和了解STARVIEW能自动发现网络拓扑结构，让网络管理员对整个校园网了如指掌，对于用户私自挂接的HUB、交换机等设备能及时地发现，提前消除各种安全隐患。对于网络中的异常故障，比如某台交换机的CPU利用率过高，某条链路上的流量负载过大，STARVIEW都可以以不同的颜色进行显示，方便管理员及时地发现网络中

33、的异常情况。2、网络流量的查看STARVIEW在网络初步异常的情况下，能进一步的察看网络中的详细流量，从而为网络故障的定位提供了丰富的数据支持。3、网络故障的信息自动报告STARVIEW支持故障信息的自动告警，当网络设备出现故障时，会通过TRAP的方式进行告警，网络管理员的界面上能看到各种故障信息，这些信息同样为管理员的故障排除提供了丰富的信息。4、设备面板管理STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板，包括端口数量、状态等等，同时可以很方便的登陆到设备上，进行配置的修改，完善以及各种信息的察看。5、RGNOS操作系统的批量升级校园网很大的一个特点就是规模大，需要使用大量的

34、接入层交换机，如果需要对这些交换机进行升级，一台一台的操作，会给管理员的工作带来很大的压力，STARVIEW提供的操作系统的批量升级功能，能够很方便的一次对所有的相同型号的交换机进行升级，加大的较少了网络管理员的工作量。(3)网络故障管理3.7、 未来升级与扩展本方案采用的是分层结构。分层结构可从一个单元素架构开始进行线性扩展，从而显著降低了构建可与其多级结构相媲美的大型结构所需的器件数。未来需要接入交换机时要记得把该交换机的配置清空，避免影响到整个拓扑。此外，还有包括以下几个方面：l 处理能力扩展 处理能力是指交换机的数据转发能力，一般是指三层转发能力。这种要求通常出现在网络的汇聚层或核心层

35、。随着用户业务的发展，业务数据流较大时，或对业务数据流有较多的QOS或安全策略时，交换机的转发能力不足就会影响业务。 l 带宽扩展 带宽扩展通常出现在不同的网络层次间，如接入层和汇聚层，汇聚层和核心层。由于桌面接入的主流都已经是100MB，而100MB交换机的上联端口通常为1000MB，在满负荷情况下，也才能满足10个端口的线速上联，而现在交换机动辄24口，48口，因此在某些情况下，需要进行上联带宽的扩展。l 平滑扩展 随着用户对网络的依赖性越来越强，网络的中断可能会给用户带来巨大的损失。即使是要进行网络的扩展升级，用户也希望不要对现存的网络有影响。这就要求网络的扩展具有平滑不中断的特性。同时

36、，在网络扩展中，能够保护原有设备的投资，不造成投资浪费。4、网络施工与结构化布线4.1总布线规划由于规划的是一个校园局域网，它包含多栋建筑物，对网络的连接可靠性和性能要求较高。这种网络最好采用千兆以太网作为网络骨干，网络可以分为核心层和接入层。核心层设备具有多层交换机功能的千兆以太网交换机，接入层设备选择带有千兆上联端口的以太网交换机。4.2网络布局的具体实施要求对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。校园网的规划与设

37、计为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，符合国家有关的机房设计规定。1)防静电静电不仅会对计算机运行出现随机故障，而且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。2)防火、防盗设计时可以根据消防防火级别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。3)防雷由于通信和供电电缆多从室外引入，易遭受雷电的侵袭，建筑防雷设计尤其重要。计算机通信电缆的芯线，电

38、话线均应加装避雷器。5、结束语在本次实践中，我们以校园网络建设为出发点，通过研究比较和分析，提出采用基于三层交换的千兆以太网作为校园网主干，打造“千兆到交换、百兆到桌面”的应用型多功能校园网络，以此来满足该校园网络的应用需求。我们首先从该学校既有的网络实际、使用状况及缺点不足入手，认真细致分析其需求（包括基本需求、功能需求和性能需求），然后按照制定的设计原则和组网目标，从网络规划、网络安全机制、网络结构与实现等方面进行总体方案设计，实现整体网络方案定型。其中，我们主要使用是千兆以太网技术，三层交换技术以及VLAN技术。除此之外，我们还用到了综合布线系统，以此来对整个校园环境进行整体布线的考量。

39、通过该校园网络建设研究与分析，我们也从中收获了很多实践知识，摆脱了唯书本论。只有理论与实践相结合，这样得来的知识才会受用终身。这次实践真正让我们体会到了“纸上得来终觉浅，绝知此事要躬行”的意义。6.心得实验过程中，我对一些以前学到的网络知识的有了更加深刻的了解，也充分复习了计算机网络的知识点，对以后的网络课程设计做了充分的准备，比如以前对于交换机不是很理解，但是通过这次的课程设计，我明白了交换机是对信息进行重新生成，并经过内部处理后转发至指定端口，通过自动寻址能力和交换作用，完成信息交换功能的设备。对整个校园网络的设计让我学会了对要统筹大局，要充分考虑每一个方面的问题，尤其是在需求分析模块，多

40、方面的需求分析才能为校园网络的设计提供一个可行的方案。课程设计让我学到了许多的新知识，比如DHCP服务器与DNS服务器的配置，这些都是我操作熟练的东西，但是经过这次的设计，我掌握了配置的一般原理和方法。总的来说，自己不是很满意这份设计报告，由于时间原因，自己设计的很粗糙，也存在着太多的不足，对于线路的设计和设备的选择也不是太完美合理，还需要进一步的改正，如果下次还有机会设计的话，我一定会做好充分的准备，出色的完成任务。7、参考文献1谢希仁计算机网络（第5版）北京：电子工业出版社20082黄铁宁校园网络方案设计及工程实践，硕士学位论文北京：北京邮电大学20113 刘韵洁，张智江，下一代网络M. 人民邮电出版社,20054 李振宇，计算机公共机房的局域网建设 20075甘强，孙继军，网络设备配置与管理.中国水利水电出版社，20066 （美）拉菲, 思科网络技术学院教程. 人民邮电出版社word文档 可自由复制编辑