校园网优化改造建议

具体设置举例

1、解决ARP欺骗和攻击的方法

（以下配置以TP-LINK480T为例，具体请本学校的设备为准）

在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP 协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全都是一个很严峻的考验。

“又掉线了！！！”每当听到客户的抱怨声一片响起，网管员就坐立不安。其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏校园局域网的罪魁祸首，是网络管理员的心腹大患。

目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等，这些软件中，有些是人为手工操作来破坏网络的，有些是做为病毒或者木马出现，使用者可能根本不知道它的存在，所以更加扩大了ARP攻击的杀伤力。

从影响网络连接通畅的方式来看，ARP欺骗有两种攻击可能，一种是对路由器ARP表的欺骗；另一种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。不管理怎么样，欺骗发送后，电脑和路由器之间发送的数据可能就被送到错误的MAC地址上，从表面上来看，就是“上不了网”，“访问不了路由器”，“路由器死机了”，因为一重启路由器，ARP表会重建，如果ARP攻击不是一直存在，就会表现为网络正常，所以学校网管会更加确定是路由器“死机”或是网络掉线了，但实际上应该ARP协议本身的问题。好了，其他话就不多说，让我们来看看如何来防止ARP的欺骗吧。

上面也已经说了，欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种，我们的防护当然也是两个方面的，首先在路由器上进行设置，来防止路由器的ARP表被恶意的ARP数据包更改；其次，我们也会在电脑上进行一下设置，来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的，不然，如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑，电脑被欺骗后就不会把数据包发送到路由器上，而是发送到一个错误的地方，当然无法上网和访问路由器了。

(1)、设置前准备

当使用了防止ARP欺骗功能（IP和MAC绑定功能）后，最好是不要使用动态IP，因为电脑可能获取到和IP与MAC绑定条目不同的IP，这时候可能会无法上网，通过下面的步骤来避免这一情况发生吧。

①.把路由器的DHCP功能关闭：打开路由器管理界面，“DHCP服务器”－＞“D HCP服务”，把状态由默认的“启用”更改为“不启用”，保存并重启路由器。

②.给电脑手工指定IP地址、网关、DNS服务器地址，如果您不是很清楚当地的DNS地址，可以咨询您的网络服务商。

(2)、设置路由器防止ARP欺骗

打开路由器的管理界面可以看到如下的左侧窗口：

可以看到比之前的版本多出了“IP与MAC绑定”的功能，这个功能除了可以实现IP和MAC绑定外，还可以实现防止ARP欺骗功能。

打开“静态ARP绑定设置”窗口如下：

注意，默认情况下ARP绑定功能是关闭，请选中启用后，点击保存来启用。

打开“ARP映射表”窗口如下：

这是路由器动态学习到的ARP表，可以看到状态这一栏显示为“未绑定”。如果确认这一个动态学习的表没有错误，也就是说当时不存在arp欺骗的情况下（如果网络是正常运行的，而且不同的IP对应的MAC地址不一样，一般是没有错误的），我们把这一个表进行绑定，并且保存为静态表，这样路由器重启后这些条目都会存在，达到一劳永逸的效果。

点击“全部绑定”，可以看到下面界面：

可以看到状态中已经为已绑定，这时候，路由器已经具备了防止ARP欺骗的功能，上面的示范中只有三个条目，如果您的电脑多，操作过程也是类似的。有些条目如果没有添加，也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外，也可以使用手工添加的方式，只要知道电脑的MAC地址，手工添加相应条目就可。

为了让下一次路由器重新启动后这些条目仍然存在，我们点击了“全部导入”，然后再次打开“静态ARP绑定设置”窗口：

可以看到静态条目已经添加，而且在绑定这一栏已经打上勾，表示启用相应条目的绑定。到此，我们已经成功设置路由器来防止192.168.1.111、192.168.1.112、222.77.77.1这三个IP受ARP欺骗的攻击，如果有更多的电脑，只是条目数不同，设置过程当然是一样的，不是很难吧？

另：现在有部分具有ARP防护功能的路由器，如果路由器有此功能建议开启。

对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。遭受ARP攻击的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。可能你会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊？如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息！面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中

接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP广播包，对分析也会造成一定的影响

(3)、设置电脑防止ARP欺骗

路由器已经设置了防止ARP欺骗功能，接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序，我们可以在windows的命令行界面来使用它。打开windows的命令行提示符如下：

通过“arp-s ＋路由器IP如192.168.1.1＋路由器的MAC地址”这一条命令来实现对路由器的ARP 条目的静态绑定，可以看到在arp -a 命令的输出中，已经有了我们刚才添加的条目，Type类型为static 表示是静态添加的。至此，我们也已经设置了电脑的静态ARP条目，这样电脑发送到路由器的数据包就不会发送到错误的地方去了。

怎么知道路由器的MAC地址是多少呢？可以打开路由器的管理界面，进入“网络参数”－＞“LAN口设置”：

LAN口的MAC地址就是电脑的网关的MAC地址。

细心的人可能已经发现了，如果使用上面的方法，电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗，有没有更简单的方法自动来完成，不用手工输入呢？有！

我们可以新建一个批处理文件如static_arp.bat，注意后缀名为bat。编辑它，在里面加入我们刚才的命令：

保存就可以了，以后可以通过双击它来执行这条命令，还可以把它放置到系统的启动目录下来实现启动时自己执行。打开电脑“开始”－＞“程序”，双击“启动”打开启动的文件夹目录，把刚才建立的static_arp.bat复制到里面去：

好了，以后电脑每次启动时就会自己执行arp –s命令了，网络管理员终于可以好好休息一下，不再受到ARP攻击的干扰。

说明：对于网络中有很多主机，如果我们这样每一台都去做静态绑定，工作量是非常大的。。。。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！

对于这种情况我们建议使用ARP防护软件。目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是，360ARP防火墙、欣向ARP工具，Antiarp等。它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这些小工具。

①、欣向ARP工具

它有5个功能：

A. IP/MAC清单

选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。

IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。

之后的功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。

B. ARP欺骗检测

这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP。

(补充)“ARP欺骗记录”表如何理解：

“Time”：发现问题时的时间；

“sender”：发送欺骗信息的IP或MAC；

“Repeat”：欺诈信息发送的次数；

“ARP info”：是指发送欺骗信息的具体内容.如下面例子：

time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8 这条信息的意思是：在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息，已经发送了1433次，他发送的欺骗信息的内容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。

打开检测功能，如果出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100％的准确。所有请不要以暴力解决某些问题。

C. 主动维护

这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。

“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP，尽量少的广播频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50－100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题，还是请参照上面绑定方法。

D. 欣向路由器日志

收集欣向路由器的系统日志，等功能。

E. 抓包

类似于网络分析软件的抓包，保存格式是.cap。

②、 Antiarp

这个软件界面比较简单，以下该软件的使用方法。

A. 填入网关IP地址，点击［获取网关地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。

B. IP地址冲突

如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。

C. 您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：

右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC 地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。

注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。

③、360ARP防火墙

这个软件也比较简单，

A、在保护状态着选择开启，即可开启基本的ARP防护功能。开启ARP防火墙将有效解决局域网内因为ARP 攻击频繁掉线情况，并及时查杀已感染ARP病毒木马。

B、在“当前网关IP/MAC保护设置”中，设置当前需要进行保护的网关IP/MAC，您可以选择由防火墙自动获取，也可以自行添加需要保护的网关的IP/MAC。

C、在“综合设置”中，可设置网关及DNS保护设置（自动获取或手工设置），同时可设置拦截攻击类型（拦截外部ARP攻击、拦截IP冲突、拦截本机对外ARP攻击），建议全选。

2、路由器连接数限制功能设置指导

（以下配置以TP-LINK480T为例，具体请本学校的设备为准）

路由器里的“连接数”主要是指并发连接数，它是路由器能够同时处理的点对点连接的数目。那么，连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？

要了解连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不是我们平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或者叫会话。同样，在我们用电脑工作时，每一次完整的数据交换过程，我们都可以把它叫做一个“会话”。说到这里，可能有人会说：这个是在电脑上的操作，跟路由器有什么关系呢？事实并不是这样的，我们使用路由器的目的是共享上网，电脑说出去的话都需要路由器来转发出去，对方电脑的回话也需要路由器转发回来，那么，如果是多台电脑的话，路由器如何知道哪句话是谁说的呢？举个例子：张三、李四、王五

说话，您都知道哪句话是张三说的，哪句话是李四说的；那是因为您记住了他们说的话。路由器如果要分辨的话，同样也要记住。在路由器内部维护着一张连接数表，是用来存放连接数信息，动态占用一些内存、CPU。这张表的大小是固定的，如果某个时候，这张表被填满了；那么，再有数据要出去的话，路由器没有办法转发。可以这么说：“路由器的连接数是有上限的，如果其中的一部分电脑就用完了连接数，那么，其余的电脑就没法上网”。

下面以图例来说明连接数条目问题，以下测试结果在2M的ADSL线路上得出的：

（1）打开https://www.360docs.net/doc/ea6795935.html,的时候，连接数可以达到80左右；这个连接数维持的时间很短，一分钟之内可以老化消失掉。因此，不必担心这个会影响网速。那么，为什么会一下有这么多连接数呢？这主要是象sina这些门户网站，有多个服务器，而且网页页面有很多图片、动画等，而网页浏览的时候需要先把这些元素下载到本地电脑的临时文件夹里，这样一来，才会导致一瞬间产生这么多连接数。如图1所示：

图1 连接新浪首页发起的连接数

（2）开启迅雷下载，占用连接数不是很多；当下载热门电影、游戏的时候，连接数会稳定在80左右；这80个连接数会一直存在，直到迅雷下载完成。强调一下，这个数值是在2M ADSL线路上测试的。如图2所示：

图2 使用迅雷下载时发起的连接数

（3）开启BT（使用Bitcomet）下载，会占用大量连接数。下载的初始化阶段，连接数可能达到2000多，等待稳定下载以后，连接数会下降；这些条目也是一直存在，直到下载完成。如图3所示，是速度在

时候，所发起的连接数。这里说明一点：连接数和速度大小没有必然的联系。速度大，连接数不一定多；反过来，连接数多，速度也不一定大。但是，连接数多的话，速度变大的可能性比较高。

图3 使用BitComet下载

其他的P2P软件，原理也是差不多的。

上面通过几个简单的例子来说明下什么是连接数，那么在路由器上设置这个功能有什么好处呢？有两个目的：1、可以防止P2P类软件过分占用连接资源而导致的网速慢和掉线问题，同时也能间接的避免P2P 软件占用太多的带宽（如果想要有效分配内网带宽的话请使用IP QOS功能）；2、可以避免一些攻击甚至病毒发起大量连接占用完路由器资源或带宽而导致的掉线问题。

因此在学校局域网这种复杂的网络环境下，我们建议启用连接数限制，最大连接数建议设置为100或者150。

2、路由器IP QoS功能设置

（以下配置以TP-LINK480T为例，具体请本学校的设备为准）

这篇文档就TP-LINK企业级路由器的IP QoS功能的设置，给出了较详细的配置过程。

下面就以TL-R480T举例说明。R480T软件升级后的界面如下，新增“QoS”：

QoS Set界面如下图

上图中红线勾勒部分的信息重要性就不强调了，下面有“上行带宽”和“下行带宽”两项参数，点击页面“帮助”按钮可以看到下图信息：

可以将“上行带宽”和“下行带宽”理解为用户申请的宽带线路的实际上下行带宽，比如ADSL线路上行512Kbps下行2Mbps ，那么就可以在这里分别填写如下：

如上图，在这里强调的是：必须先开启这里的开关“开启QoS”并填入线路实际的上下行带宽，然后才能在IP QoS页面继续配置，否则会提示错误。

下面是IP QoS设置界面：

举例添加如下新条目，如下图：

上面填写了一些参数，解释如下：

(1)“地址段”——包含了从.10到.20总共11个IP地址。另外，这里的地址段允许输入和路由器LAN口IP地址不在同一网段的IP地址，意味着用户内网如果采用三层交换设备规划了不同子网的方案下，路由器也可以支持对不同网段IP的带宽限制。

(2)“模式”——独立带宽，顾名思义下面的“最大带宽”“最小带宽”是针对这段IP地址里面的每一个IP而言，如果模式选择了“共享带宽”也就是这段IP共享下面的参数。

(3)“上行/下行”——我们都知道网络上传输的数据流是有方向的，比如BT下载，可以从Internet 上的服务器下载数据，自身也作为服务器上传数据，我司路由器IP QoS就是根据这种“有方向性的数据流”来分别进行限制。

路由器非常准确的对上/下行数据流分开来进行了限制。就上图填写的参数，假设配置了

192.168.1.10这个IP地址的主机正在进行BT下载，那么这台主机的数据流量会比较大，这台主机的数据流分两部分：一部分是它从别的服务器下载数据，一部分是它上传数据给别的主机。路由器的IP QoS将会对这台.10的主机下载和上传两个方向的数据流量分别进行规定限制。

按照上面填写的参数，.10主机在上行方向（上传数据）的数据流量最小保证50Kbps、最大不超过100Kbps的带宽，下行方向（下载数据）的数据流量最小保证100Kbps、最大不超过200Kbps的带宽。这里上行数据和下行数据的可用带宽是以线路实际上/下行带宽作为参考的。

如果现在.10 — .20这11台主机都在下载数据，而线路的实际下行带宽是有限的2Mbps ，可能发生带宽争用，按照我们上面设置的参数路由器要先保证每一个IP地址下行数据最小使用100Kbps的带宽，那么11台主机总共使用了1100Kbps的带宽资源，这条线路总的下行带宽资源2000Kbps还余留约900Kbps ，这900Kbps的剩余带宽资源如何分配？我们可以这样理解路由器对剩余900Kbps的线路带宽的分配：比如某个时候11台主机都在争用剩余900Kbps的带宽，那么“在第一轮争用过程中，11台主机平分了900Kbps 的带宽”，过了第一轮争用后，11台主机中的2台在使用给自己保证的最小100Kbps的带宽后刚好足够传输不需要额外的带宽了，这2台主机就退出了争用过程只余下9台主机继续争用，那么在第二轮争用过程中就是9台主机平分了900Kbps的带宽。

如上图红色标注，现在假设线路的下行带宽是10Mbps ，配置了192.168.1.10和192.168.1.11这两台主机的“下行带宽”最小都是100Kbps ，最大却不同分别是1000Kbps和2000Kbps ，那么带宽在分配的时候：

?路由器先保证两台主机的“下行带宽”最小可以使用到100Kbps 。

?最小带宽保证后，两台主机进一步还有下行带宽的需求，那么超过100Kbps的流量后，路由器采用“轮询”方式，开始增大两台主机占用的有效带宽，当192.168.1.10这台主机的下行数据流

占用的带宽达到最大1000Kbps的时候，路由器将不会载转发超过1000Kbps带宽的数据包。但

是192.168.1.11这台主机在争用带宽的时候，数据流达到1000Kbps后这台主机仍然需要更大

的带宽，路由器会一直增大它占用的有效下行带宽至2000Kbps后，将不再继续转发超过这个带

宽范围的数据包。

?剩余的下行7Mbps的带宽资源将闲置，不会分配给.10和.11 ，除非将其最大可用“下行带宽”

改为更大，否则它们将不能使用剩余带宽。

配置IP QoS的时候，“模式”选择为“共享带宽”，则是地址段内包含的所有IP地址共享设置的上下行最大最小带宽。

上面我们用了较长篇幅来描述企业级路由器新增的IP QoS功能的使用，是不是看似很复杂？不过即使您看的不是太懂的话也没有关系，您只需要按照下面的步骤来设置您的网络即可：

①将内网的电脑的IP手工指定，并且是连续的，如192.168.1.2～192.168.1.100，这样方便后面的设置；

②在IP QOS设置开关处设置您的线路的带宽，分别设置线路的上行带宽和下行带宽，如10M的光纤线路需要填入

10000；然后开启QOS总开关；

③进入IP QOS规则设置页面，添加新条目，设置：

IP地址段如192.168.1.2～192.168.1.100；

模式选择为“独立”；

上行最小带宽：线路真实上行带宽/内网电脑数，在此例中为10000/99＝101；最大带宽的设置关系不大，推荐设置800或1000或2000；

下行最小带宽：线路真实下行带宽/内网电脑数，在此例中为10000/99＝101；最大带宽的设置关系不大，推荐设置800或1000或2000；

④保存，设置完成。

4、PPPOE设置

目前ARP病毒比较猖獗，严重影响了网络的正常运行。在一般情况下，只要有一台计算机感染ARP病毒就可能造成此网段中所有计算机上网时断时续或缓慢等其它不正常现象。为了保障校园网络正常运行，针对ARP病毒猖獗和破坏性，我们以上也介绍了一引起应对措施。但由于ARP病毒利用的是二层网络ARP 协议固有的弱点，以上措施并不能从根本上彻底解决问题，网络上有的介绍的应对措施虽然能从根本上解决，但对于绝大部分学校来说，资金投入又比较多，例如以下网管常用的几种应对措施：

第一、对感染病毒的计算机进行暂时断网杀毒；给网络中每台计算机安装ARP病毒防御软件（Antiarp、360ARP防火墙等）。不足之外：在学校计算机数量比较多的情况下不利于实施。

第二、对每台计算机实行IP和MAC双向绑定。不足之外：在计算机数量比较多的情况下不利于实施。第三、使用路由器广播网关MAC地址ARP包。不足之外：影响网络质量，在ARP病毒发包比较厉害的情况下作用不大，不能从根本上阻止ARP病毒攻击。

第四、每台计算机都直接连接可网管交换机，用交换机进行端口和MAC地址以及IP地址绑定。不足之处：需要可网管交换机，资金投入大。

以上措施都是在继续使用ARP协议上网的基础上实施的。那么有没有一种能够彻底解决ARP病毒带来的困扰而且投资又比较少的上网方式呢？其实是有的，我们可以在网内采用PPPOE(PPPOE全称Point to Point Protocol over Ethernet，意思是基于以太网的点对点协议)的方式上网。这种方式不使用ARP 协议，也就不存在ARP病毒欺骗了，如同 ADSL 宽带上网，每个工作站访问 Internet 是相对独立的，互不干扰，可以有效解决局域网 ARP 攻击等带来的问题。（具体可参见PPPOE协议原理）

需要使用PPPOE就必须有能支持PPPOE SERVER的设备，而电信级的支持PPPOE服务的BRAS设备的价格高昂（如华为MA5200等），不是一般学校能够接受的，普通的宽带路由器如TP－link、侠诺等又不支持PPPOE SERVER，如何解决呢？下面我们就重点介绍部分支持PPPOE SERVER的性价比又比较高的中低端路由器及软路由。

支持PPPOE SERVER的中低端路由器有：

h3c(华三) VRP 3.4版本以上的中低端路由器,华为（H3C）AR18-21A（约1600元已停产）、MSR20－10(约2500元) 推荐, 如博达的1750（约1200元）、2605等(推荐)；

Cisco(思科)1700以上路由器（价格较高）；

BEST HR－802宽带路由器（小品牌，未实际试用）。

支持PPPOE SERVER的软路由：

海蜘蛛（针对国内网络条件优化的软路由器，做用WEB进行管理，简单易用）；

ROUTEROS（最著名的软路由系统，功能强大，为收费软件，国内一版采用汉化破解版，主要通过脚本进行管理，也可以使用winbox通过web进行管理）

下面我们就举例说明具体的配置：

(1)、华为中低端路由器PPPOE SERVER设置

以下是华为AR18-21配置，进入后将下面的脚本COPY进去，再根据学校具体的网络情况进行修改即可。

sys

[Quidway]

sysname Quidway

clock timezone gmt+08:004 add 08:00:00

cpu-usage cycle 1min

connection-limit disable

connection-limit default action deny

connection-limit default amount upper-limit 50 lower-limit 20

dialer-rule 1 ip permit

qos carl 1 source-ip-address range 192.168.1.2 to 192.168.1.255 per-address

qos carl 2 destination-ip-address range 192.168.1.2 to 192.168.1.255 per-address qos carl 3 source-ip-address range 192.168.2.2 to 192.168.2.255 per-address

qos carl 4 destination-ip-address range 192.168.2.2 to 192.168.2.255 per-address #

DNS resolve

DNS server 202.103.225.68 //定义DNS服务器1

DNS server 202.103.224.68 //定义DNS服务器2

DNS-proxy enable

web set-package force flash:/http.zip

radius scheme system

domain ggdx //创建域ggdx

authentication local //认证方式采用本地认证

ip pool 192.168.1.2 to 192.168.1.255 //定义域IP地址池

domain pppoe //定义域PPPOE

authentication local //认证方式采用本地认证

ip pool 192.168.2.2 to 192.168.2.255 //定义域IP地址池

domain system

local-user admin //创建本地用户

password simple 123456之不理 //定义用户密码

service-type telnet terminal //采用telnet方式登录

level 3

service-type ftp

local-user user1 //创建本地用户

password simple pass1 //定义用户密码

service-type ppp //采用PPP方式登录

acl number 2000 //定义acl

rule 0 permit source 192.168.1.0 0.0.0.255 //定义acl规则

rule 1 permit source 192.168.2.0 0.0.0.255

interface Virtual-Template1 //创建虚接口

ppp authentication-mode chap domain ggdx //定义PPP认证方式为chap,域为ggdx

ppp ipcp dns 101.103.225.68 202.103.224.68 //定义PPP给对端分配的DNS服务器地址 ip address 192.168.1.1 255.255.255.0 //定义虚接口地址

qos car inbound carl 1 cir 200000 cbs 200000 ebs 200000 green pass red discard //定义上传流量为200K

qos car outbound carl 2 cir 300000 cbs 300000 ebs 300000 green pass red discard //定义下行流量为300K

interface Virtual-Template2

ppp authentication-mode chap domain pppoe

ppp ipcp dns 202.103.225.68 202.103.224.68

ip address 192.168.2.1 255.255.255.0

qos car inbound carl 3 cir 200000 cbs 200000 ebs 200000 green pass red discard

qos car outbound carl 4 cir 300000 cbs 300000 ebs 300000 green pass red discard

interface Aux0

async mode flow

interface Dialer0 //创建PPPOE拨号接口

link-protocol ppp //连接协议为PPP

ppp pap local-user ggdx password simple 123456 //定义拨号用户名及密码

mtu 1400 //最大传输单元

tcp mss 1024

ppp ipcp dns request //指定DNS获取方式是自动获取

ip address ppp-negotiate //IP地址自动获取

dialer user GGDX //拨号用户名称

dialer bundle 1

dialer-group 1

nat outbound 2000 //指定NAT acl规则

interface Ethernet1/0

interface Ethernet1/0.1

ip address 192.168.1.1 255.255.255.0

dhcp select interface

dhcp server dns-list 192.168.1.1

dhcp server expired day 0 hour 4

vlan-type dot1q vid 10

interface Ethernet1/0.2

ip address 192.168.2.1 255.255.255.0

dhcp select interface

dhcp server dns-list 192.168.2.1

dhcp server expired day 0 hour 4

vlan-type dot1q vid 8

interface Ethernet1/1

port link-type hybrid

port hybrid vlan 8 10 tagged

port hybrid vlan 1 untagged

interface Ethernet1/2

interface Ethernet1/3

interface Ethernet1/4

interface Ethernet2/0

pppoe-client dial-bundle-number 1

nat server protocol tcp global 10.198.134.251 6956 inside 192.168.1.11 3389 //目标端口映射

interface NULL0

Rip

network 192.168.1.0 //RIP路由设置

network 192.168.2.0

ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60

user-interface con 0

user-interface aux 0

user-interface vty 0 4

user privilege level 3

set authentication password simple ggdxadmin

return

[Quidway]

（2）博达1750 PPPOE SERVER及带宽限速配置

service timestamps log date

service timestamps debug date

no service password-encryption

set-wan-count 4 用于设定WAN端口数量(范围1－4）

ip domain proxy enable 开启作为代理域名服务器的功能

ip domain name-server ppp 使用PPP指定域名服务器

ip fast-switch enable 全局快速交换使能

gbsc enable 启用gbsc模块

gbsc group bdcom 配置组bdcom

range 172.16.1.100 172.16.1.254 配置组包含的范围

set-band upload 800000 1000000 配置一个组内所有主机的带宽（dowload下行，upload 上行),最低保证速率,最高限制速率

set-band download 800000 1000000

anti dos 防止组内的主机进行DOS攻击

gbsc group default 配置缺省组

set-band upload 800000 1000000 配置上行带宽

set-band download 800000 1000000 配置限制的下行带宽

anti dos 防止组内的主机进行DOS攻击

ip local pool bdcom 172.16.1.100 100 定义本地地址池bdcom 地址从172.16.1.100开始100个

校园网优化方案

太谷县桃园堡学校校园网优化方案学校简介：太谷县桃园堡学校位于太谷县城东南1公里，是太谷县唯一的九年一贯制学校,现有教学班12个，在校学生450余人，在职教职工38人，拥有一个计算机教室、2个多媒体教室、一个教师电子备课室,是一所电教设施中等的农村一贯制学校。现状分析: 桃园堡学校拥有单面三层教学楼,集教学实验及电教于一体,三层东侧设计算机教室、多媒体小教室一个,三楼中设多媒体大教室一个且兼顾教师电子备课室。职能主要以计算机教学为主、学生上网查阅学习、教师上网学习等。我校基本上建成了简单、方便、快捷的校园网，主要包括计算机教室、多媒体教室、校长室、财务处等，并连接到广域网，形成在校园内部、校园与外部进行信息沟通的体系，为学校老师提供充分的网络信息服务，在网络环境中进行教学、收集信息，处理学校政务等工作。硬件环境： 1、计算机教室通过ADSL接入互联网，使用TP-Link Modem，接入48口普通交换机分别以星型拓扑结构直接连接36台学生用机，一台教师用机，一台服务器，多媒体小教室用机及多媒体大教室的另一个32口交换机。而后此交换机连接多媒体用机一台，校长办公用机一台，财会用机及教师电子备课用机七台。 2、服务器配置：清华同方（CPU—Intel（R）Xeon （TM）2.80G、硬盘200G 内存 1G），提供INTERNET、Web服务功能。 3、使用瑞星杀毒及卡巴斯基及安全卫士360维护网络系统安全。三﹑校园网改扩建及优化设计方案:

上图是我校实施优化后的校园网拓扑结构图。将原来设在网络教室的调制解调器更换在二楼校长室即整栋楼的中心位置，大大缩短交换机和各机子之间的线路长度。将教师电子备课室设立专门用室减少使用多媒体上课与教师用机备课的干扰。校长行政机室是整个网络的主干系统，是网络的总节点，用ADSL 接入INTERNET 后，使用一个普通五口交换机连直连校长行政办公用机、网络教室48口清华同方TFS7148E+交换机、财会室五口交换机及一楼教师电子备课室32口交换机。将整个校园网由4台交换机来分担，减少了因关掉电源给其它使用者带来不能上网的忙烦，也优化了使用计算机的合理性，减少了因病毒等因素带来的相互干扰。计算机教室、教师电子备课室、及财会室以星型的拓扑结构连接计算机。网络教室以清华同方服务器，48口清华同方TFS7148E+交换机、无屏蔽双绞电缆线构成，它们构成将来桃园堡学校校园网站的核心。具体优化方案如下：（一）、校园网基础建设方案：（1）、硬件建设和布线根据学校实际情况我校仍采用清华同方TFS7148E+以太网交换机，及32口交换机作为网络主体的网络教室和电子备课室构成网络，另外增添教师电子备课用计算机和2 三楼电脑室一楼电子备课室二楼校长室三楼多媒体室2 三楼财会室三楼多媒体室1 服务器

某高校校园网建设设计方案设计

科技学院二○一三～二○一四学年第一学期计算机网络大作业校园网建设方案设计班级：电子Z1111 学号：姓名：

二○一四年一月目录

1.需求分析 1.1网络发展与需求伴随着计算机、通信和多媒体等技术的发展，使得网络应用更加丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个具有先进性的、高速的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。作为校园网，需要连接多少个节点，怎样合理使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中，怎样使整个网络上的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分，更重要的问题是如何将这些资源有序地组织起来，需要实现什么功能，以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园部、校园与外部进行信息沟通的体系，建立满足教学、科研和管理需求的计算机环境，为学校各种人员提供充分的网络信息服务，在网络环境中进行教学、研究、收集信息等工作。为了使大学能够具有良好的网络环境为更多的学生和老师服务，设计并实现了大学校园网络。校园需要的基本功能有： ●计算机教学，包括多媒体教学和远程教学； ●网络下载、网络聊天等； ●电子系统：主要进行与同行交往、开展技术合作、学术交流等活动； ●文件传输FTP：主要利用FTP 服务获取重要的科技资料和技术文挡； ●INTERNET 服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用部网页进行管理，例如发布通知、收集学生意见

和建议等。 ●图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等； ●对带宽的要求：音频信号和视频信号对网络带宽要求最严的数据信号，而且突发性很大，在网络中要时的和高质量的传输。当网络规模比较大，网络用户比较多，网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时，往往会对网络带宽带来压力，令网络带宽不堪负荷，造成网络拥塞，严重时会导致阻塞，使网络通信停顿。为了解决网络拥塞问题，必须对各种网络技术进行选择，以符合用户对网络实际应用所提出的各项要求，以最高的性价比，实现网络功能。 1.2现有基本状况介绍学校有如下设施以及具体状况：图书馆、院系部门到计算机网络中心之间的距离大于500米

校园网改造项目网络技术方案

2006年6月

前言 (3) 第1章概述 (4) 1.1现有网络概述 (4) 1.2网络建设要求 (4) 第2章某校园网现有网络分析 (6) 2.1原有网络结构 (6) 2.1.1用户需求 (6) 2.2网络改造方案综述 (6) 第3章组网解决方案 (8) 第4章相关产品介绍 (10) 4.1核心交换机 (10) 4.2接入交换机 (11) 第5章项目的售后服务 (13) 1关于保修服务 (13) 2软件升级服务 (13) 3技术服务、故障响应： (13) 3.1技术服务、故障响应时间承诺： (13) 3. 2技术服务、故障响应方式： (13) 3. 3泄期检査服务 (15)

某校园信息网改造本着先进性、现实性和经济性统一的原则进行设计，网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点，能灵活地根据需求提供不同的服务等级并保证服务质量。该网络将采用最先进的IP技术和高速设备，为各类信息系统提供统一的综合业务网络平台。本方案提出的核心网络结构和各园区网络组网方式进行了描述，并提供了针对网络应用系统的解决方案的介绍。总之，为用户提供最完善的服务是昆明恒瑞信公司的一贯宗旨，有关本方案的一切问题，欢迎用户在任何时间垂询。

isr 第1早概述 1.1现有网络概述随着社会的发展，校园教学任务的日益扩张，教学资源分布日益广泛，这种情况也使传统校园网络的功能缺陷越来越凸现：传统校园网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是用户对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。 1.2网络建设要求组网要求某校园信息网的组网上要求充分利用光纤资源，建设一个相对独立、便于管理的分级宽带信息网。中心（核心层）机房的建设和选择符合整个校园网的工程建设需求，网络的中心机房选择在四号楼。网络中心的设计，要求有足够的服务能力、扩展能力和网管能力，具有教学多媒体资源库的承载与管理能力。同时中心机房提供校园内其他楼层的网络接入服务。性能要求核心层带宽应达到2?5G以上，并可根据发展需要增加带宽，应釆用独立的线路，可实现集中与分级的网管。接入层、汇聚层与核心层的连接速度应能支持开展远程教育、网上教学、流媒体、多媒体等业务。中心机房应能实现高带宽、数据分发等技术，达到当全网开通时，亦能满足易用、高质量、无阻塞等使用要求。整网还要具有可黑性、坚固性、良好的扩展能力、强大的管理能力以及拥塞控制和服务质量保证等一系列良好的性能。

某高校校园网建设的方案设计.doc

苏州科技学院二○一三～二○一四学年第一学期计算机网络大作业校园网建设方案设计班级：电子Z1111 学号：姓名：二○一四年一月

1.需求分析 1.1网络发展与需求伴随着计算机、通信和多媒体等技术的发展，使得网络应用更加丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个具有先进性的、高速的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。作为校园网，需要连接多少个节点，怎样合理使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中，怎样使整个网络上的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分，更重要的问题是如何将这些资源有序地组织起来，需要实现什么功能，以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园内部、校园与外部进行信息沟通的体系，建立满足教学、科研和管理需求的计算机环境，为学校各种人员提供充分的网络信息服务，在网络环境中进行教学、研究、收集信息等工作。为了使延安大学能够具有良好的网络环境为更多的学生和老师服务，设计并实现了延安大学校园网络。校园需要的基本功能有： ●计算机教学，包括多媒体教学和远程教学； ●网络下载、网络聊天等； ●电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动； ●文件传输 FTP：主要利用 FTP 服务获取重要的科技资料和技术文挡； ●INTERNET 服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见和建议等。 ●图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等； ●对带宽的要求：音频信号和视频信号对网络带宽要求最严的数据信号，而且突发性很大，在网络中要求实时的和高质量的传输。当网络规模比较大，网络用户比较多，网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时，往往会对网络带宽带来压力，令网络带宽不堪负荷，造成网络拥塞，严重时会导致阻塞，使网络通信停顿。为了解决网络拥塞问题，必须对各种网络技术

校园网建设方案范例(CISCO路由器)

目录第一章需求分析 ........................................................................................... 1.1、校园网建设思路与规划........................................................................... 1.2、校园网建设目标......................................................................................... 1.3、校园网设计要求....................................................................................... 第二章网络方案设计 ................................................................................... 2.1、设备选型考虑........................................................................................... 2.2、网络拓扑结构........................................................................................... 第三章网络设计分析........................................................................................ 3.1、网络的安全性设计................................................................................... 3.2、IP地址规划及相关配置结果 .................................................................. 3.3、VLAN规划及相关配置结果................................................................... 3.4、路由协议规划及相关配制结果............................................................... 第四章网络应用设计........................................................................................ 4.1、服务器分析与选择................................................................................... 4.2 、系统软件选择第五章涉及到的问题及心得 ...........................................................................

校园网优化及校园网站建设方案

校园网优化及校园网站建设方案张靖一、学校简介晋中开发区实验中学的前身是原使赵乡办中学,历经几次的撤点并校和资源整合，2007年9月, 一所由开发区投资1300余万元的现代化学校矗立在开发区大地上。目前学校为八轨制完全初中，在校生1000余名，现有教职员工86人，近年来，学校不断提升文化品位，构建文明、绿色、平安、和谐校园，逐步形成了物质文化、制度文化、行为文化、精神文化相容相促、竞相发展的良好态势。2008年中考，达榆次一中、二中和经纬中学分数线人数创历史新高，达51名。在历任校长和全体师生员工的共同努力下，学校连续三年被开发区评为“零案学校”、“中考成绩显著单位”、“模范职工小家”,先后被授予晋中市“文明学校”、晋中市“绿色学校”、晋中市“法律六进活动先进单位”、晋中市“德育示范学校”、晋中市“第二届育人杯先进集体”、山西省“德育示范学校”等荣誉称号。二、系统设计原则和实现目标校园网是指由“硬件+软件+应用”构成，能够实现学校的管理、教学、信息交流等功能的网络系统。校园网的目的是为了促进教学、方便管理和进一步发挥教师学生的创造力。校园网应具备两大功能 1、教学方面 ?利用现代化的技术设备，多媒体的教学手段，形象直观地进行教学讲解，增强学生的学习兴趣和理解水平，从而提高教学质量和学生品质，促进教师教学水平的提高； ?提供高速、方便的信息交流和资源共享等；

?构建家校联系，促进学校健康教育理念和教育特色的影响。 2、管理方面 ?统一管理教学资源，如学生档案、教学资料、考试成绩等； ?逐步实现办公自动化、无纸化，增强各部门的协调能力，提高工作效率；三、校园网现有方案学校所有电脑全部联入校园局域网，并接入国际互联网，所有教室全部优化为多媒体教室。学校服务器还未发挥了WEB功能和FTP服务功能。多媒体教室：20个，电脑网络教室：1个，卫星接收室：1个，DVD演播室：1个，教师备课室一个，各行政办公室有1或2台联网电脑、激光打印机一台（打印机共享），校园广播系统一套，校园监控系统。（附分布图）四、校园网优化方案 1、软件建设 ?校园网网站建设，添加数据库管理和资源库建设； ?电子阅览室建设； ?局域网功能完善：进一步增强各部门的协调能力、资源共享设置、FTP的进一步使用等。 2、教师培训，提高教师应用技能。 3、加强校园网应用于教学实践的教研活动，以提高校园网的利用效率。 4、进一步划分子网。 5、加强管理。随时做好安全措施，五、校园网站建设方案我校网站正在建设中,初步规划如下:

学校网络改造申请报告

学校网络改造申请报告篇一：网络改造申请报告1 网络改造申请报告尊敬的领导: 我校上网现在用的是移动无线WLAN，学校连接网络的电脑60多台，所需上网费用为2400元/年。随着学校的发展，上网电脑不断增加，目前学校的无线WLAN网络已经极不稳定，网速缓慢，经常掉线，极大的影响老师办公和正常的教学需求。今特向领导申请进行网络改造，改造成有线网络，需要资金元，大写人民币柒仟叁佰叁拾元。请领导给予批复为盼！申请单位： 2014年6月14日果都镇大霞雾联小网络改造预算明细交换机2台×= 网线1500米×= 穿

线管（PPR）240米×= 粗线槽180米×= 细线槽200米×= 直节 60个×= 弯头20个×= 水晶头80个×= 钢钉5斤×= 线卡200个×= 工时费15个×= 合计：新泰市果都镇大霞雾联办小学（章）法人代表：法人代表： 2014年6月10日篇二：关于维修改造校园网络工程的请示关于维修改造校园网络工程的请示局领导：我校校园网络始建于2005年，承担着板桥中学、中心学校和镇中心幼儿园三个单位的光纤网络接入任务。由于本地区雷电及电力环境等因素，原校园网路由器、交换机设备已有部分损坏。三个单位的网络接入都受到影响。现班班通教学仪器设备已全部安装到位，互动

式白板电子教室网络布线急需重新规划和布线。为了更好服务于教育教学，充分利用网络信息资源推进校园信息化建设，我们聘请技术人员对学校网络布局进行了实地规划，对原校园网络结构进行了合理调整，预计需投入资金近10000余元对现有网络软硬件进行维修和改造。对学校网络改造维修需近原材料和施工费如下：（1）H3C路由器1300元*1台=1300元；（2）S2000 交换机华为1500元*1=1500元；（3）H3C SOHO-S1526交换机850元*1=850元；（4）超五类网线550元/箱*4=2200元；（5）超五类网线室外680元/箱*1=680元；（6）水晶头2 元/个*100个=200元；（7）PVC线槽50元*20=1000元（8）施工费200元*10天=2000元，合计9730元当否，请批示！南漳县板桥中学 2012年10月22日篇三：学校网络申请报告尊敬的校领导：

大学校园网设计方案组图

最佳校园工程设计帖-某大学校园网设计方案(组图) 概述总设计师：讲师机构：国家重点大学院校校园占地面积：146.57万平方米校舍建筑面积：1070875.64平方米教职工人数：2000 学生总数:：1.7万余人网络面临的挑战：建立一个可扩展的、高速的、充分冗余的、基于标准的网络，该网络能够支持融合了话音、视频、图像和数据的应用程序。关键网络系统：3640路由器、2950 24口交换机（2950-24）、3550交换机、4006交换机

网络解决办法：对校园网系统整体方案设计对访问层交换机进行配置对分布层交换机进行配置对核心层交换机进行配置对广域网接入路由器进行配置对远程访问服务器进行配置对整个校园网系统进行诊断分析：路由、交换与远程访问技术不仅仅是思科的课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。常常有学员说无法学以致用，其实，课程中的每个章节都对应着实际工程中的每个小的案例。只不过，实际工程是各个小案例的综合。在遇到一个实际工程的时候，我们不防采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。路由技术：路由协议工作在参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（，），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。交换技术：传统意义上的数据交换发生在模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网（，）的概念。将广播域限制在单个内部，减小了各间主机的广播通信对其他的影响。在间需要通信的时候，可以利用间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用中继协议（，）简化管理，它只需在单独一台交换机上定义所有。然后通过协议将定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点；分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供间的路由选择功能；核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进行分开设计、配置。远程访问技术：远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素

校园网建设方案详细

校园网建设方案目录第一章、校园网需求分析 (2) 一．需求分析及需求调查 (2) 二. 网络建设要求 (2) 三.校园网对主机系统的主要要求： (2) 四.校园网络系统设计方案应满足如下要求： (2) 五.校园网对网络设备的要求： (3) 六.系统集成所共同遵循的设计原则： (3) 七.系统集成所共同追求的设计目标： (3) 第二章、网络方案设计 (3) 一、设计原则 (3) 二、网络拓扑 (4) 第三章、网络设备选型 (4) A.防火墙 (4) B.核心路由器 (5) C.核心交换机 (6) D.分布层交换机 (7) E.访问层交换机 (8) F.服务器 (10) E.价格统计 (12) 第四章、VLAN划分与IP规划 (12) 一、VLAN的优势 (12) 二、网络VLAN的设计 (13) 三、规划网络子网（VLAN） (13) 四、校园网无线覆盖 (14) 第五章、网络安全与管理 (15) 一、设计要求 (15) 二、锐捷StarView 网络管理系统 (15) 三、网络安全 (16) 第六章、改进和扩展 (16)

第一章、校园网需求分析一．需求分析及需求调查 1.1项目背景 1. 教学楼:共5层,每层8个教室，每个教室要求一个接入口，共40个接口。 2.体育馆,共两层：1层为游泳馆，5台主机；2层为健身房、乒乓球室等，2台主机，共7个信息点，设无线网络。 3.行政楼：1、3、4、5每层11个房间，共44个端口；2层图书馆，5个信息点，设无线网络 4.实验楼，共五层，155台主机：1、2层为化学生物实验室：每层10间，每间一个接入点，共20个信息点。3、4层为物理实验室：光学实验室5间，每间1个接入点；电学实验室3间，每间10个接入点，共35个信息点；5层为计算机房：4个教室，共100台主机 5.学生公寓：共2栋楼，每栋6层，每层40个宿舍，每个宿舍1个接入点，240个信息点/栋。二. 网络建设要求 1.学校采用1000M做骨干，10M到桌面。 2.校园网具有WWW服务器、FTP服务器、DNS服务器网络管理等。学校采用基于SQL server2000 数据库做开发平台。 3.VLAN划分：各组办公室、财务部、教务处、学生处各为一个VLAN；所有教室、图书馆各为一个VLAN；同类实验室、计算机房各自划分VLAN；体育馆为一个VLAN；服务器组为一个VLAN。各V`LAN之间不能互访，只能上网；教务处可以访问教室的VLAN。 4.考虑冗余设计、扩展需求和网络升级。三.校园网对主机系统的主要要求： 1.主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力； 2.主机系统应具有高的可靠性，能长时间连续工作，并有容错措施； 3.支持通用大型数据库，如SQL、Oracle等； 4.具有广泛的软件支持，软件兼容性好，并支持多种传输协议； 5.能与Internet互联，可提供互联网的应用，如WWW浏览服务、FTP文件传输服务、E-mail 电子服务、NEWS新闻组讨论等服务； 6.支持SNMP网络管理协议，具有良好的可管理性和可维护性；四.校园网络系统设计方案应满足如下要求： 1.网络方案应采用成熟的技术，并尽可能采用先进的技术； 2.采用国际统一标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品； 3.方案应合理分配带宽，使用户不受网上“塞车”的影响； 4.应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力；

校园网优化方案

校园网优化方案 1 2020年4月19日

太谷县桃园堡学校校园网优化方案学校简介：太谷县桃园堡学校位于太谷县城东南1公里，是太谷县唯一的九年一贯制学校,现有教学班12个，在校学生450余人，在职教职工38人，拥有一个计算机教室、2个多媒体教室、一个教师电子备课室,是一所电教设施中等的农村一贯制学校。现状分析: 桃园堡学校拥有单面三层教学楼,集教学实验及电教于一体,三层东侧设计算机教室、多媒体小教室一个,三楼中设多媒体大教室一个且兼顾教师电子备课室。职能主要以计算机教学为主、学生上网查阅学习、教师上网学习等。我校基本上建成了简单、方便、快捷的校园网，主要包括计算机教室、多媒体教室、校长室、财务处等，并连接到广域网，形成在校园内部、校园与外部进行信息沟通的体系，为学校老师提供充分的网络信息服务，在网络环境中进行教学、收集信息，处理学校政务等工作。硬件环境： 1、计算机教室经过ADSL接入互联网，使用TP-Link Modem，接入 48口普通交换机分别以星型拓扑结构直接连接36台学生用机，一台教师用机，一台服务器，多媒体小教室用机及多媒体大教室的另一个32口交换机。而后此交换机连接多媒体用机一台，校长办公用机一台，财会用机及教师电子备课用机七台。

文档仅供参考，不当之处，请联系改正。 3 2020年4月19日 2、服务器配置：清华同方（CPU —Intel （R ）Xeon （TM ）2.80G 、硬盘200G 内存1G ），提供INTERNET 、Web 服务功能。 3、使用瑞星杀毒及卡巴斯基及安全卫士360维护网络系统安全。三﹑校园网改扩建及优化设计方案: 上图是我校实施优化后的校园网拓扑结构图。将原来设在网络教室的调制解调器更换在二楼校长室即整栋楼的中心位置，大大缩短交换机和各机子之间的线路长度。将教师电子备课室设立专门用室减少使用多媒体上课与教师用机备课的干扰。校长行政机室是整个网络的主干系统，是网络的总节点，用ADSL 接入INTERNET 后，使用一个普通五口交换机连直连校长行政办公用机、网络教室48口清华同方TFS7148E+交换机、财会室五口交换机及一楼教师电子备课室32口交换机。将整个校园网由三楼电一楼电子备课二楼校三楼三楼财会三楼服务器

学校网络改造申请报告

竭诚为您提供优质文档/双击可除学校网络改造申请报告篇一：网络改造申请报告1 网络改造申请报告尊敬的领导: 我校上网现在用的是移动无线wLAn，学校连接网络的电脑60多台，所需上网费用为2400元/年。随着学校的发展，上网电脑不断增加，目前学校的无线wLAn网络已经极不稳定，网速缓慢，经常掉线，极大的影响老师办公和正常的教学需求。今特向领导申请进行网络改造，改造成有线网络，需要资金7330.00元，大写人民币柒仟叁佰叁拾元。请领导给予批复为盼！申请单位： 20XX年6月14日果都镇大霞雾联小网络改造预算明细交换机2台×400.00=800.00网线1500米× 2.00=3000.00穿线管（ppR）240米×1.50=360.00粗线槽180米×2.00=360.00细线槽200米×1.50=300.00直节

60个×0.5=30.00 弯头20个×0.5=10.00水晶头80个×1.00=80.00钢钉5斤×8.00=40.00线卡200个×0.5=100.00工时费15个×150.00=2250.00 合计：7330.00 新泰市果都镇大霞雾联办小学（章）法人代表：法人代表： 20XX年6月10日篇二：关于维修改造校园网络工程的请示关于维修改造校园网络工程的请示局领导：我校校园网络始建于20XX年，承担着板桥中学、中心学校和镇中心幼儿园三个单位的光纤网络接入任务。由于本地区雷电及电力环境等因素，原校园网路由器、交换机设备已有部分损坏。三个单位的网络接入都受到影响。现班班通教学仪器设备已全部安装到位，互动式白板电子教室网络布线急需重新规划和布线。为了更好服务于教育教学，充分利用网络信息资源推进校园信息化建设，我们聘请技术人员对学校网络布局进行了实地规划，对原校园网络结构进行了合理调整，预计需投入资金近10000余元对现有网络软硬件进行维修和改造。对学校网络改造维修需近原材料和施工费如下：（1）h3c路由器

xx大学校园网设计方案(课程设计经典方案)全解

湖南机电职业技术学院毕业设计校园网的规划与设计设计方案作者姓名欧阳贝伦所属系部信息工程学院指导教师吴勇专业班级计算机网络技术网络1301班

目录 1.1网络设计原则 3 1.2网络需求分析 3 2网络设计解决方案 4 2.1网络系统结构规划 4 2.1.1接入层 4 2.1.2汇聚层 5 2.1.3核心层 5 2.1.4远程接入区域 5 2.2网络拓扑设计 5 2.3网络IP地址规划 6 2. 3.1IP地址合理规划的意义 6 2.4网络设计技术方案特点7 3网络设计技术分析7 3.1校园网络技术分类7 3.2校园网交换技术8 3.3路由技术9 3.4广域网接入技术9 4 设备的选型10 5 投资预算11 6综合布线工程规划12 4.1工程概况12 4.2施工原则12 7总结体会13

1网络设计原则与需求分析 1.1 网络设计原则 ?实用性与先进性根据学校实际情况和特点，在设计中特别强调实用性与先进性的结合，应采用成熟的网络技术，保证校园网实用；跟踪国际网络技术的新发展，设计技术先进的网络。在保证校园网可靠、实用、先进的基础上，可以提供研究先进网络技术的科研环境，方便学校的科研与开发。 ?开放性与标准化整个校园网的设计采用开放性的网络体系，以方便网络的升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。 ?可靠性与安全性在校园网的设计中，主要考虑两个层次：一是整个网络的可靠性与安全性，采用高可靠性高安全性的网络体系结构；二是网络设备的安全性和可靠性，主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。 ?经济性与可扩充性在满足学校需求的前提下，选用性能价格比高的网络设备和服务器。采用的网络架构和设备，应充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资。 1.2 网络需求分析湖南机电职业技术学院作为一所高等院校，必须建成一个集学校行政、办公、教学以及师生宿舍上网于一体的校园网络系统。具体需求如下：管理层需求（1）办公需求：办公自动化，文档电子化，电子公告牌（2）E-mail 服务（3）远程访问（4）管理需求：会议管理，个人信息管理，公共信息管理，公文管理，教务综合管理，以及图书馆自动化管理。教师需求（1）教学要求：电子备课，资料查阅，文档打印，文档、课件上传/下载，在线答疑（2）教学活动：VOD（或将来需要），学生成绩登入、公布（3）自学需求：电子图书馆，资料查询（4）远程访问（5）E-mail 服务

高校校园网设计方案

《网络工程设计与应用》实习报告课题设计：高校校园网设计方案班级：姓名：学号：指导教师：完成日期：

目录摘要................................................... 错误!未指定书签。引言......................................................................... .. (3) 第一章、校园网需求分析 (4) 1.1项目背景 (4) 1.2需求分析 (4) 1.2.1网络信息点分布 (5) 1.2.2应用系统需求分析 (5) 1.3目前的网络现状.............................................................. ......................................... .. (5) 第二章、拓扑图及IP地址分配 (6) 2.1网络拓扑结构图 (6) 2.2 IP地址分配及子网划分 (6) 2.3校园网络系统方案设计总体思路 (7) 第三章、校园网综合设计 (7)

3.1校园网建设原则 (7) 3.2校园网建设目标 (8) 3.3校园网建设技术需求 (9) 络系统…………………………………………………………………………… (9) ………………………………………………………………………… (9) ………………………………………………………………………… (9) ………………………………………………………………………… (9) 3.4网络主干设计及设备选型 (9) 主干网 (9) (10) 第四章、设备清单与报价 (13) 4.1网络系统清单及预算 (13)

中学校园网络建设方案

数字化校园网络建设方案

目录 1普教数字化校园建设与应用概述 (3) 1.1数字化校园概述 (3) 1.2数字化校园的应用现状 (3) 1.3数字化校园的发展阶段及趋势 (4) 2xxx中学网络需求分析 (4) 2.1XXXXX中学网络现状 (4) 2.3.1需求不间断的基础网络平台 (5) 2.3.2需求易管理的网络运维 (5) 2.3.3需求安全报障 (6) 2.3.4需求统一身份认证 (6) 2.3.5需求单点登录、统一信息门户 (6) 3XXXXX中学数字校园建设设计 (6) 3.1数字校园整体架构 (6) 3.2XXXXX中学改造网络拓扑 (7) 4XXXXX中学数字校园网络解决方案 (8) 4.1核心网络设计 (8) 4.1.1核心网建设 (8) 4.2接入设计 (12) 4.3学校网络出口设计 (13) 4.3.1出口智能流控审计 (13) 4.4无线网设计 (14) 4.4.1无线规划 (14) 4.4.2无线信息统计 (17) 4.5安全设计 (18) 4.5.1数字化校园的安全设计思想 (18)

1 普教数字化校园建设与应用概述 1.1 数字化校园概述目前，什么是数字化校园尚没有一个明确的定义，但相对使用较多的一个定义是：以网络为基础，利用先进的信息手段和工具，将学校的各个方面，从环境（包括网络、设备、教室等）、资源（如图书、讲义、课件等）、到活动（包括教、学、管理、服务、办公等）数字化，逐步形成一个数字空间，从而使校园在时间和空间上获得延伸，在现实校园基础上形成一个虚拟校园。数字化校园旨在用层次化、整体性的观点来实施校园信息化建设，利用校园网把教学资源和管理信息更好地组织分类，为教学工作提供基于网络环境的信息化教学平台，为管理、科研工作提供基于网络环境的信息化管理平台。 1.2 数字化校园的应用现状 XXXX在全国做了近2万个中小学项目，同时，进行大量的现场调研工作，根据目前学校业务应用的使用情况，大体上把业务系统分为三类，教学管理、行政管理及特色应用等。行政管理中的业务系统的服务端大部分在信息中心，学校作为客户端使用，主要是为了提高行政管理的效率，包括OA办公、一卡通、人事管理、财务管理等；教学管理中的大部分业务系统各个学校都会独立建设，主要是为了提高教学管理的质量，包括数字广播、备课系统、多媒体录播系统等，实际上，目前行政管理和教学管理的业务系统基本上各地都已经建设了，差别在于，特色应用中的业务系统各个学校根据自己的情况建设的侧重点不一样，如各地目前关注度比较高的特色业务系统包括网上阅卷系统、多媒体录播系统、同步课堂等。

某校园网络改造方案

随园校区各部门、院（系）：随园校区校园网络始建于1995年，已近十个年头。这些年来，随着学校的发展、建设的需要，网络使用需求也越来越大，经过近十年的不断扩充改造，已使校区内原有的网络建设架构面目全非。目前校区内的现状是：设备老化、布线混乱、网络部件性能、质量参差不齐。这样带来的直接后果是严重影响了网络本身的性能和安全，造成网速缓慢，安全、可靠运行难以保证。同时凌乱的布线也影响了校区优美的环境。鉴于此，学校决定对随园校区网络进行改造。现将相关事项通知如下：一：本次改造的基本思路本次改造工程打算是：①拟按网络综合布线要求，对原先不规范的但目前尚能使用的楼宇布线进行整改和补充，并确保不影响网络链路质量；②对重点学科和重点部门重新布线；③根据今后发展的需要，对每幢楼内尚没有信息点的房间视今后发展需要增加信息点；④随园校区网络尚未通达的学生宿舍等楼宇也拟在这次整改中一并进行布线；⑤本次改造拟在2004年8月底基本结束。

1.项目概述 1.1项目背景大亚湾核电站二核现有内网系统由于建设时间长,网络设备可以预计将会逐渐老化,而市面上已不能找到现有设备厂家的网络产品予以更换,如遇设备故障,将会导致网络瘫痪,所以,有必要对现有网络进行改造。智能化系统按国家《智能建筑设计标准》甲级标准设计，根据办公楼使用的行业特点、房间用途、管理模式和设备使用环境等因素进行规划。 1.2设计原则在整个设计过程中，我们严格遵守以下设计原则：先进性：总体方案设计的设计充分参照了国际规范和标准，采用国际上成熟的模式、先进的技术和成功的经验。高性能：总体设计确保了系统具有足够的数据传输带宽，并为可预计的业务提供足够的系统容量和提供QOS、COS服务品质。可靠性、可用性、可维护性：我们在设计中将设备的可靠性、可用性、可维护性放在了重要位置，从结构设计、设备选型、系统建设、网络管理上对整个网络运行系统必须具备的可靠性、可用性、可维护性作出了保证，确保网络成为了一个不间断的系统。安全性：选择的设备能提供系统级的、灵活的多种安全控制机制，

学校网站建设方案

学校网站建设技术方案设计者：电话：电子邮箱：

目录 1 项目概述 (2) 1.1项目概述 (2) 1.2建设目标 (2) 1.3建设原则 (3) 2 网站技术解决方案 (3) 2.1网站平台选型 (3) 2.2系统建设任务 (3) 2.3网站技术架构 (4) 2.4网站技术路线 (6) 2.4.1 采用PHP语言开发 (6) 2.4.2 基本DIV+CSS WEB设计标准开发 (7) 3 网站相关设计 (7) 3.1前台部分设计 (7) 3.1.1 门户页面设计 (7) 3.1.2 栏目设计 (8) 3.1.3 学校网站栏目设臵 (8) 3.2后台部分设计 (9) 3.2.1 采用Phpcms V9内容管理系统 (9) 4 售后服务体系及承诺 (11) 5 预计网站开发时间及费用预算 (12)

1项目概述 1.1项目概述 “科教兴国，教育为本”，教育事业蓬勃兴旺是国家可持续发展的根本保障。新的世纪，信息技术正以惊人的速度传播着新世纪的文化价值观点。面对教育界的新形式，为了加大学校与外界间的信息交流，提高学生的综合素质，提高办公和教学效率，提高学校管理水平，进行高效的信息传输，学校校园网络建设势在必行。 1.2建设目标采用先进PHP+MySQL网站开发技术，将学校网站建设成为集开放性、先进性、高性能、实用性、安全性、规范性、可集成性为一体的学校网站，以适应信息化时代的到来，及满足学校今后的工作需求。提高信息沟通效率，实现全体教职工信息资源共享互通，丰富网站内容，实现学校信息流转，开展多媒体教学、教学资源共享，将网站建设成为学校高效实用的信息化平台。规范网站服务内容，提升学校整体形象。建设具有高性能、高可靠性、技术先进、能实现统一的信息发布、集中的信息存储备份、专业的系统管理维护和便

学校网络优化方案

XXX学校网络优化改造方案一、优化改造目的随着互联网的飞速发展和电视、电脑、手机、平板应用的发展普及，互联网已进入一个新时代，在这个网络办公时代，互联网已成为网络审批、网络办公、信息传递不可缺少的一个通道。教育信息化也成为未来教育的一个重要途径。与此同时，随着高速带宽网络的接入，学校网络的安全问题凸显。为保证学校网络的稳定可靠，创建学校的安全网络环境，根据学校具体情况提出优化改造方案二、现网存在问题 1、学校网络接入存在瓶颈，网络出口带宽无法突破100M 限制。现有网络使用光电转换器接入防火墙，NAT后转入校园内网，因防火墙存在100M 带宽限制，对超过100M 的带宽接入无法实现。综合考虑后期网络带宽扩容和网络IP 带宽的充分使用，应更改新的出口设备解除网络带宽瓶颈。 2、学校设备陈旧，无法满足网络需求。根据对现场设备的检查和网络结构的分析，现有网络设备多数为无管理、无VLAN 划分、无QoS 保障、无速率限制、无ARP 攻击防范等功能设备，所有计算机和监控设备之间无隔离，设备之间无分级设置，在整个局域网为一个共有的广播域，单台主机对网络影响很大。

3、学校网络核心交换层过于陈旧。学校所有路由和交换功能都由现有陈旧普通交换机承担，负荷较重且设备陈旧，性能无法满足要求。 4、学校网络接入层监控视频流较大，现网接入层为100M 互联，且设备陈旧，基本都属于已停维产品，存在瓶颈，无法满足学校局域网使用要求。三、优化改造方案 1、更换学校出口路由器为1000M 模式，解决学校出口瓶颈。 2、改造接入连接方式，在学校总机房更换千兆核心交换机，配置VLAN，通过局域网网关下移至交换层，减轻局域网转发对路由器和核心交换机的压力。 3、更换接入层交换机（现有交换机最高100M），将所有交换机之间的互联改为1000M，解除100M 带宽局限。 4、在网络使用量大的地点增加千兆接入交换机，解决学校网络拥塞。并为后期接入预留。 5、通过VLAN 划分将学校网络划分为办公区域、教学区域、视频监控区域三大区域，减少冲突域、增加广播域，减少区域之间的相互影响。 6、更改部分交换机之间连接方式，由之前光转换器改为千兆光模块直接接入。通过以上改造，实现网络结构的层次化和区域化，规划主干网络结构如下：

校园网改造项目网络技术方案

2006年6月

目录前言 (3) 第1章概述 (4) 1.1 现有网络概述 (4) 1.2 网络建设要求 (4) 第2章某校园网现有网络分析 (6) 2.1 原有网络结构 (6) 2.1.1 用户需求 (6) 2.2 网络改造方案综述 (6) 第3章组网解决方案 (8) 第4章相关产品介绍 (9) 4.1核心交换机 (9) 4.2接入交换机 (10) 第5章项目的售后服务 (12) 1关于保修服务 (12) 2软件升级服务 (12) 3 技术服务、故障响应： (12) 3.1技术服务、故障响应时间承诺： (12) 3.2技术服务、故障响应方式： (12) 3.3定期检查服务 (14)

前言某校园信息网改造本着先进性、现实性和经济性统一的原则进行设计，网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点，能灵活地根据需求提供不同的服务等级并保证服务质量。该网络将采用最先进的IP技术和高速设备，为各类信息系统提供统一的综合业务网络平台。本方案提出的核心网络结构和各园区网络组网方式进行了描述，并提供了针对网络应用系统的解决方案的介绍。总之，为用户提供最完善的服务是恒瑞信公司的一贯宗旨，有关本方案的一切问题，欢迎用户在任何时间垂询。

第1章概述 1.1 现有网络概述随着社会的发展，校园教学任务的日益扩，教学资源分布日益广泛，这种情况也使传统校园网络的功能缺陷越来越凸现：传统校园网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是用户对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。 1.2 网络建设要求组网要求某校园信息网的组网上要求充分利用光纤资源，建设一个相对独立、便于管理的分级宽带信息网。中心（核心层）机房的建设和选择符合整个校园网的工程建设需求，网络的中心机房选择在四号楼。网络中心的设计，要求有足够的服务能力、扩展能力和网管能力，具有教学多媒体资源库的承载与管理能力。同时中心机房提供校园其他楼层的网络接入服务。性能要求核心层带宽应达到2～5G以上，并可根据发展需要增加带宽，应采用独立的线路，可实现集中与分级的网管。接入层、汇聚层与核心层的连接速度应能支持