校园网综合设计分析.docx
《校园网综合设计分析.docx》由会员分享,可在线阅读,更多相关《校园网综合设计分析.docx(17页珍藏版)》请在冰豆网上搜索。
校园网综合设计分析
XXX网络工程设计方案
2009届信息学院(系)
专业:
网络工程
组号:
---
组长:
-----
组员:
---------------__
汇报人:
-----
2012年6月19日
目录
第一章前言1
1.1项目简介1
1.2建设目标1
1.3设计原则2
1.3.1先进性和实用性2
1.3.2标准性2
1.3.3安全性和可靠性2
1.3.4统一性原则3
1.3.5易扩展性3
1.3.6均衡性原则3
1.3.7节省性原则3
第二章需求分析4
2.1网络功能分析4
2.2综合布线分析5
第三章校园网建设方案6
3.1网络系统结构6
3.1接接PC,实现VLAN主机互联。
7
3.2IP地址规划7
3.3设备选型8
3.4应用服务8
3.4.1VPN8
3.4.2WEB服务器9
3.4.3电子邮件服务器9
3.4.4DNS服务器9
3.4.5FTP服务器9
3.4.6VCM视频点播系统10
3.4.7BBS服务器10
3.5安全策略10
3.5.1防火墙技术10
3.5.2VLAN技术11
3.5.3MAC地址过滤策略11
第四章项目预算12
4.1硬件预算12
4.2软件预算12
4.3布线施工与系统集成12
4.4用户培训与后期维护12
第五章附录12
5.1所选设备12
5.2应用协议12
5.3布线标准12
第一章前言
1.1项目简介
某某一中为十轨制普通高中,有56个教学班级,300余名教职工,学生3600人。
新建教学楼群(教学楼2座、办公楼1座、实验大楼1座)已经竣工,秋季入学将投入使用为了贯彻落实国家教育部“面向21世纪教育振兴行动计划”的精神,适应中学教育改革的要。
该校决定在经费紧张的情况下,筹集一定的资金建设校园网。
广泛采用计算机网络、多媒体技术作为现代教育技术手段组织教学,推进普通中学教学方法、教学手段和教学模式的改革,优化教学过程、提高教学质量,并为学生学习使用计算机网络、多媒体等现代教育技术提供基本条件。
该校资金有限,希望投标商能拿出最经济、实用、完善的方案,使其资金得到合理利用,获得良好的效果。
由于校方资金并未给出,我们仅需尽最优预算,达到该校建设目标与实用效果。
1.2建设目标
(1)可实现个性化教学,主要哦采用VOD、基于WWW的课件、光盘软件等不同的教育手段,学生可根据自己的需要自由选择所需内容。
(2)可实现电子图书馆功能,基于Web的图书音像资料供学生随时阅读,并与Internet连接,是学生能够任意浏览网上的资源。
(3)可实现电子邮件功能,为每位同学和教师设立一个帐号,利用电子邮件进行交流。
(4)可实现电子公告板功能,同学之间可以通过BBS提供的专题讨论区进行交流,并可通过此功能进行公告。
(5)完善的学校信息资源管理系统。
针对学校各项档案、文件进行管理,可靠性高,提高办公效率。
(6)利用非军事化区的防火墙和NAT地址转换功能进行内部网络私有地址的分配和其与外部网络的隔离,保证内部网络安全。
(7)具有一定的网络监控功能。
能对网络流量进行监控、统计和分析,能对不合法的数据进行过滤和排查。
(8)具有良好的扩展性。
可随技术的发展进行设备升级,在一定时间内不需要由于网络技术的进步而更换设备,只需在原有基础进行扩充和升级即可。
(9)具有良好的可靠性。
本系统可满足24*7小时连续工作的电信级要求,在UPS的基础上,保证系统的无差错工作时间。
与此同时,在重要环节配备冗余设施和容错措施、纠错措施,保证系统的正常运行。
(10)具有高效性。
本系统设备具有较高的吞吐量和传输速率,保证大数量用户同时在线时能正常工作。
保证服务器的处理能力、路由器的背板交换能力和线路传输能力。
(11)具有可管理性。
本系统可满足网络维护人员可以便捷地管理网络数据和存储的文件,能实现定期备份和及时处理。
保证数据的准确和安全。
(12)具有较高的安全性。
本系统可在通信网络各处设置安全措施,能够保证数据安全、传输安全、个人信息安全等等。
(13)具有较高的性价比。
本系统在保证可靠性和可扩展性基础上力求减少开支,努力以最少的付出获得最高的效用。
1.3设计原则
校园网络系统以实现以上功能为基本要求,采用先进成熟的技术和设计思想,以先进、使用、开放、安全、使用方便和易于操作的原则,突出系统的实用性,尽快投入使用,发挥较好的效能。
具体来讲,其设计遵循以下原则:
1.3.1先进性和实用性
系统的主机系统、服务器系统、网络平台、数据库系统、应用软件等设计应能满足学校目前对网络的应用要求,充分实现学校内管理、教学和教研的自动化的要求,设计的性能能尽快得到充分发挥,并且便于掌握,使用目前国际上较先进、较成熟的技术,符合国际码标准和规范。
1.3.2标准性
网络系统的设计需遵照国际标准(如ISO,CCITT,IEEE)、国家标准、工业标准(如TCP/IP等),走标准化的道路。
1.3.3安全性和可靠性
对校园网来说,各个学科的资料安全性和保密非常重要,特别是学校尚未公布的决策,财务资料等重要数据的安全尤为重要。
在设计网络时,考虑各种外界干扰,在各环节提供安全措施,如划分虚拟网,对用户设置访问权限等。
同时,由于系统及网络结构较为复杂,保证网络的高可靠性同样是非常重要的,在部分子系统中存在较高的技术性,保证系统的稳定、可靠和安全运行,具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均故障率),提高容错设计,支持故障检测和恢复,可管理性强,采用冗余路由和备份设备,对网络进行实时监控,便于及时排除故障,确保网络的可靠营运,在高可靠性的前提下,抵挡来自内部和外部的攻击,采用安全措施有效、可信,能够在多层次上、以多种方式实现安全的控制。
1.3.4统一性原则
在系统的设计过程中,坚持“三个统一”,即统一规划,统一标准,统一出口。
统一规划:
即系统的设计依据学校的长期发展目标并结合时代发展的需要进行综合考虑,统筹规划;
统一标准:
采用统一的网络协议和接口等技术标准,引用统一的国家、行业的信息分类与代码标准(如课件分类、档案分类等)、学校管理制度、学校评审标准、功能规范、文档规范等;
统一出口:
设计统一的信息对外出口,各类信息由专门部门控制和负责,保证学校内部的数据安全。
1.3.5易扩展性
随着教学科研的快速发展,保证校园网网络系统适应这个变化和日新月异的计算机技术的发展,考虑以后网络的平滑过度;选用产品具有最佳性价比,充分考虑未来可能的应用,网络十分注重扩充性。
同时满足学校规模在不断扩大,用户数在持续增加时,网络具有很好的扩展性。
无论是网络硬件还是系统软件,都可以方便的扩充和升级。
1.3.6均衡性原则
充分考虑网络各个环节的负载平衡,不因为某一个环节而影响网络整体的性能,均衡的网络设计要考虑的环节包括桌面带宽、主干边缘交换机带宽、主干交换机带宽、服务器计算能力、服务器输入、输出带宽、广域网出入口带宽等。
1.3.7节省性原则
在充分满足以上要求的前提下,尽可能地节约投资,花好每一分钱,为客户提供性价比最高的解决方案和工程建设。
第二章需求分析
2.1网络功能分析
XX中学按网络分为三块:
教学楼,实验楼,办公楼。
我们的工作就是在这三块区域内搭建网络互联,以及进行一定的网络扩展。
本方案采用成熟的千兆以太网技术,采用分层结构的解决方案。
整个网络设计的原则是:
中心交换机为整个网络的核心,它对整个网络的性能、可靠性起决定作用,它连接各个物理子网,管理网络内信息交换(包括多媒体信息),控制VLAN间的访问,保证信息的安全。
因此,选用中心交换机除了提供高速的网络连接之外,还具有多种信息的管理控制能力。
网络提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:
提供基本的Internet网络服务功能:
如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌等。
提供校内各个管理机构的办公自动化:
提供受存取权控制的文件、档案查询服务。
提供与CERNET连接,为国际间的信息交流和科研合作,为学校快速获得最新教学成果及技术合作等创造良好的信息通路。
全部的网络设备均支持高效的Intranet多媒体和多点广播技术,为多媒体和多点广播应用等提供端到端的带宽保证。
网络采用层次结构,不仅逻辑结构清晰,管理方便;更重要的是大多数的数据流量的交换在分布交换机上直接处理,不经中心设备,节省主干带宽,提高利用率。
网络允许实施极为灵活高效的网络分段,它是用户和资源能够在逻辑上组合起来,而无论其物理位置如何。
虚拟局域网为陷入困境的路由器和广播风暴提供了一个有效的解决方案。
通过限制广播、多点广播和单点广播通信的传播,虚拟局域网能够帮助节约带宽,减少在交换网络间进行昂贵复杂的路由器的需求,同时消除广播风暴的危害。
整个网络不仅满足当前网上应用,也会向将来更高性能的升级作好了准备:
网络具有伸缩性和层次化结构,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩充,升级模块即可大量提高主干网络带宽;层次化结构包括三个功能部分:
即接入层、分布层和核心层,层次化的设计除了能带来便于扩展的优势以外,还能节约成本和加强故障隔离能力。
2.2综合布线分析
本校园网占地约20000平米,包括实验楼、办公楼、教学楼等建筑,楼宇之间超过双绞线最大传输距离,采用光纤搭建通信网络。
各网络内部采用双绞线。
管理区设置在实验楼,包括核心层的交换机,提供服务的服务器及保存校园各种数据的数据库服务器。
实验楼设有机房,共1000左右个信息点,需要满足同时最多用户在线时高速率传输数据。
办公楼大约100左右信息点,需要保证数据传输具有高可靠性。
教学楼内每个班级设有一个信息点,需要保证语音、图像等信息传输要求。
综合布线结构模拟图如下图2-1:
图2-1综合布线模拟图
本综合布线系统符合国际标准ISO11801,由下列子系统构成:
管理子系统:
包括核心层采用冗余结构的高速三层交换机,各工作区的汇聚功能的交换机,以及各种功能的服务器,利用配线架进行搭建和管理。
水平子系统和垂直子系统:
楼层之间和楼层之内的配线采用5类双绞线,如有超过100米距离的用网络结点进行中继。
每个机房设置8—10个信息插座,每个办公室内至少设置一个信息插座并根据特殊要求设置传真、电话等信息插口,每个班级设置一个信息插座。
建筑群子系统:
楼宇之间用光纤进行数据传输,采用直埋布线的布线方式,在保证介质正常传输的条件下,尽量减少传输路程。
同时在建筑群配线间防止广域网的连接设备。
布线标准
我们为该学校网络设计的综合布线系统将基于一下标准:
符合当前和长远的信息传输要求。
布线系统设计遵从国际(ISO/CEI11801)标准。
布线系统采用三层树形结构。
考虑网络连接到桌面的速度100Mbps,网络主干信息传输向1000兆发展的需要。
布线系统的信息出口采用国际标准的RJ45插座。
布线系统符合业务数据网的要求。
布线系统要立足开放原则。
第三章校园网建设方案
3.1网络系统结构
根据需求分析中所提到的建筑环境与服务需求,该网络拓扑采用典型的三层结构,即核心层,汇聚层,接入层。
如图3-1。
图3-1网络拓扑三层结构图
1)临界路由:
1.实现NAT(静态NAT和端口多路复用NAT)转换,实现内外网的互相访问。
网络中的服务器既为网络内部的客户提供网络服务,又同时为Internet中的用户提供访问服务。
因此,如果采用端口复用地址转换或动态地址转换,将由于无法确定服务器的IP地址,而导致Internet用户无法实现对网络内部服务器的访问。
此时,就应当采用静态地址转换+端口复用地址转换的NAT方式。
也就是说,对服务器采用静态地址转换,以确保服务器拥有固定的合法IP地址。
而对普通的客户计算机则采用端口复用地址转换,使所有用户都享有访问Internet的权力。
2.ACL实现一些内网保护,内网很多服务外网不可以访问。
比如图书馆资料,VOD等。
2)核心层
实现流量的转发,采用OSPF协议。
3)汇聚层
1.教学楼、办公楼、实验楼划分VLAN,但是不同VLAN能够通信。
2.服务区:
实现对内部服务器的保护,某些资源仅允许办公室或指定主机访问。
4)接入层
3.1接接PC,实现VLAN主机互联。
3.2IP地址规划
如表3-2:
表3-2IP地址规划表
部门
接口数(个)
带宽(M)
主机配置
IP地址范围
VLAN
教学1区
50
10/100M
192.168.1.2~192.168.1.250
10
教学2区
50
10/100M
192.168.2.2~192.168.2.250
15
办公区1层楼
100
10/100M
192.168.3.2~192.168.3.250
110
办公区2楼
100
10/100M
192.168.4.2~192.168.4.250
120
办公区3楼
100
10/100M
192.168.5.2~192.168.5.250
130
办公区4楼
100
10/100M
192.168.6.2~192.168.6.250
140
办公区5楼
100
10/100M
192.168.7.2~192.168.7.250
150
实验楼
机房1
80
10/100M
10.1.1.2~10.1.1.250
210
机房2
80
10/100M
10.1.2.2~10.1.2.250
220
机房3
80
10/100M
10.1.3.2~10.1.3.250
230
机房4
80
10/100M
10.1.4.2~10.1.4.250
240
机房5
80
10/100M
10.1.5.2~10.1.5.250
250
教师办公
80
10/100M
10.1.6.2~10.1.6.250
260
服务区
10
100/1000M
50
临界路由公有地址
132.136.128.120~132.136.128.129
子网掩码255.255.255.0
3.3设备选型
设备选型如表3-2:
表3-2设备选型表
设备名称
设备型号
设备单价(元)
使用数量
设备费用
路由器
华为QuidwayAR28-31
4400/台
2个局域网接口
三层交换机
华为S5700-24TP-SI(AC)
4400/台
28个端口
二层交换机
华为S2700-26TP-SI(AC)
1430/台
26端口
二层交换机
华为S1724G
1180/台24端口
双绞线
TCL超五类双绞线
460元/300米
光纤
立孚8芯室外单模光缆
5/米
光纤
立孚4芯室外单模光缆
2/米
3.4应用服务
3.4.1VPN
在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。
校外的教职工学生在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入校内网。
为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。
有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。
VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
(1)路由器式VPN:
路由器式VPN部署较容易,只要在路由器上添加VPN服务即可
(2)交换机式VPN:
主要应用于连接用户较少的VPN网络
(3)防火墙式VPN:
防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
3.4.2WEB服务器
IIS6.0和WindowsServer2003在网络应用服务器的管理、可用性、可靠性、安全性、性能与可扩展性方面提供了许多新的功能。
IIS6.0同样增强了网络应用的开发与国际性支持。
IIS6.0和WindowsServer2003提供了最可靠的、高效的、连接的、完整的网络服务器解决方案。
IIS6.0与WindowsServer2003为网络应用服务器的管理提供了许多新的特性,包括实用性、可靠性、安全性与可扩展性。
IIS6.0也增强了开发和国际化支持,WindowsServer2003和IIS6.0为您提供了一整套最可靠、高效、连接的一体化网络应用解决方案
3.4.3电子邮件服务器
通过WindowsServer2003提供的POP3服务和SMTP服务架设小型邮件服务器来满足我们的需要。
3.4.4DNS服务器
DNS(DomainNameSystem,域名系统)是一种组织成层次结构的分布式数据库,里面包含有从DNS域名到各种数据类型(如IP地址)的映射。
这通常需要建立一种A(Address)记录,意为“主机记录”或“主机地址记录”,是所有DNS记录中最常见的一种。
通过DNS,用户可以使用友好的名称查找计算机和服务在网络上的位置。
DNS名称分为多个部分,各部分之间用点分隔。
最左边的是主机名,其余部分是该主机所属的DNS域。
因此一个DNS名称应该表示为“主机名+DNS域”的形式。
3.4.5FTP服务器
文件服务器提供网络上的中心位置,可供您存储文件并通过网络与用户共享文件。
当用户需要重要文件(比如项目计划)时,他们可以访问文件服务器上的文件,而不必在各自独立的计算机之间传送文件。
如果您的网络用户需要对相同文件和可通过网络访问的应用程序的访问权限,就要将该计算机配置为文件服务器。
3.4.6VCM视频点播系统
系统概述
VCM视频服务系统是最新一代流媒体网络视频服务系统。
系统一方面能支持各种格式的视频、音频节目和各种文本、图片、动画、执行文件等课件的网上点播,另外还支持视频广播直播服务,它可以运行于局域网、广域网(互联网、电信网、广电网)等任何复杂的网络环境。
不依赖于操作系统自带管理服务的独立服务器设计,在总体提高服务器性能的同时,也确保了视频服务的安全性和保密性。
本系统的设计体现了软件产品完全模块化的思想。
系统提供了强大的编辑、检索、查询、统计、权限、监控、计费等应用及管理功能;兼备对操作系统、数据库、应用系统的兼容性和开发语言的开放性,本VOD系统在实际应用意义上不仅仅是一个完善的流媒体服务系统,而是为网络服务所提供的统一运行平台。
3.4.7BBS服务器
Discuz论坛软件系统亦称电子公告板(BBS)系统,它伴随社区BBS的流行而成为互联网最重要的应用之一,也逐渐成为网站核心竞争力的标志性体现。
2006年7月CNNIC发布的最新统计表明,43.2%的中国网民经常使用论坛/BBS/讨论组,论坛社区应用首次超过即时通讯IM,成为仅次于收发Email的互联网基本应用。
3.5安全策略
参见附录3。
3.5.1防火墙技术
防火墙在网络安全应用中的主要作用:
(1)控制来自互联网对内部网络的访问。
(2)控制来自第三方局域网对内部网的访问。
(3)控制局域网内部不同网络之间的访问。
(4)控制对服务器数据中心的网络访问。
它们有3个属性:
(1)所有进出内部网的防火墙的数据包必须经过它。
(2)仅被内地安全策略所授权的包才能通过它。
(3)防火墙本身对攻击必须有具有免疫的能力。
校园网防火墙有3种:
边界防火墙、内部防火墙、重要数据与应用服务器防火墙、个人防火墙。
1)边界防火墙
处于内外网的边界,主要对内外网进行隔离保护边界内部网络,控制内外网之间相互访问,属于硬件类型。
它对进出内外部网络的数据进行包过滤技术方面的检测以及入侵与病毒审计方面的检测。
根据校园网络的吞吐量要求以及实际情况。
由于学校规模的在此选择华为赛门铁克USG5310。
并发连接数完全可以满足用户同时上网需求。
2)内部防火墙
处于校园网内部的各个局域网之间。
对内部各个子网之间的访问进行控制。
设置在汇聚层的三层交换机上。
采用的是ACL与NAT等技术。
3)重要数据与应用服务器防火墙
处于学校网络服务区的三层交换机上,用于保护对该子网内的各种服务器的访问控制以及对各种攻击的防范。
4)个人防火墙
位于各种客户终端上用于保护本主机的系统安全。
在此使用的个人防火墙为瑞星个人防火墙。
3.5.2VLAN技术
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户互相访问。
3.5.3MAC地址过滤策略
在网络中还可以利用交换机的MAC地址过滤功能对局域网的访问提供链路层的安全控制。
它可以进一步实现对局域网的安全控制。
在交换机的每个端口上进行配置。
可以禁止或允许特定MAC地址的源站点或目的站点从而实现个站点间的访问控制。
由于每块网卡具有唯一的MAC地址是固定不变的,只允许特定MAC地址的工作站通过特定的端口进行访问,所以对MAC的访问控制实际上就是对指定工作站这一物理设备的访问控制。
由于MAC地址的不可改变与对IP地址的过滤相比有更高安全性。
可以在华为交换机上直接开启此功能。
第四章项目预算
4.1硬件预算
4.2软件预算
4.3布线施工与系统集成
4.4用户培训与后期维护
第五章附录
5.1所选设备
5.2应用协议
5.3布线标准