江技师网络课程设计校园网规划方案正文部分Word文档格式.docx
《江技师网络课程设计校园网规划方案正文部分Word文档格式.docx》由会员分享,可在线阅读,更多相关《江技师网络课程设计校园网规划方案正文部分Word文档格式.docx(23页珍藏版)》请在冰豆网上搜索。
本网络面向校园网内的办公、教学使用。
因此,在网络设计及工程实施中,通过采用划分VLAN隔离、设置“防火墙”、制定统一网管和安全策略等控制手段,以保证网络安全运行。
1.2.5.可扩展性
网络的方案中需充分考虑系统的扩展性,使得系统具有充分的机制。
方便各网点的扩展、业务量和业务种类的扩展,保证建设完成后的网络在向新的技术升级时,能保护现有的投资。
1.2.6.开放性和标准化
对计算机网络系统而言,建立一个可靠、高效、灵活的计算机网络,不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换,还要考虑同层次网络互联,远程分部的互联,以及与相关信息系统网际互联。
这些需求体现在系统设计上就是网络的开放性与标准化,既要求易于内部连接和外部通讯,又要求网络设备要具有与其它厂家设备互操作的能力。
1.2.7.易管理性
随着网络规模的不断扩大,网络的管理越来越重要.管理的事务也越来越复杂。
可以通过图形化的配置对网络进行虚网划分,设置各子网的访问权限简化网络的管理。
用户应能在中心机房通过网管工作站上友好的图形界面.实施网络的动态监测、配置、数据流量的分析等。
第二章需求分析
2.1网络要求
徐州七中,江苏省四星级高中。
始创于1945年,共有48个教学班,现有教职工208人,学生2402人。
学校占地249.4亩。
其中教学楼,办公楼,图书馆,体育馆,食堂,教工宿舍均要求有计算机网络无条件到达。
现有计算机等终端大约500台左右。
具体分布如下:
学生公寓4座,不需要使用网络。
教师公寓一座,房间有50间,每个房间内可联网。
教学楼2座,其中一个教学楼有40个教室,另一个教学楼有20个教室,每个教室都有一个网络接口,并连接计算机,方便教师教学使用。
教师办公室设在教学楼内,大约有12间每个房间有10台办公电脑,教师可在课余时间自由上网。
办公楼一座,下辖校长室,书记室,团委,政教处,财务室,教研室等几个部门,每个部门都需要使用计算机,大约有45台办公电脑。
另有学生图书馆一座,图书馆设有网络机房4个,每个机房有计算机60台,只有在上课时才能使用,能够连接到互联网。
老师和学生也可以凭借自己的登录账号在家里远程接入校园网。
图1-1徐州市第七中学建筑地理分布图
表1-1计算机数量及分布情况
建筑群
信息点数量(个)
具体分布说明
教学楼1
56
共有房间20间,其中教室16间,共信息点16个,老师办公室4间,信息点40个
教学楼2
112
共有房间40间,其中教室32间,信息点共32个,老师办公室8间,信息点共80个
办公楼
45
校长室,书记室,团委,教务处,政教处等部门共计45个信息点
图书馆
240
其中电子阅览室1间,共60台电脑,专业机房3间,共180台电脑
体育馆
10
馆长室,多媒体控制室等共10个信息点
教工宿舍
60
共有60个信息点
食堂
学校共有四个靠的比较近的食堂,共需信息点10个
2.2建设目标
此次徐州市第七中学校园网的建设目标是:
建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络,将学校的各种PC机工作站、终端设备和局域网连接起来,并与有关广域网相连(CHINANET和CERNET);
在网上宣传和获取教育资源;
在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;
开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;
系统总体设计本着总体规划、分布实施的原则,充分体现系统技术的先进性、安全运行的可靠性、良好的开放性、可扩展性,以及建设经济性。
2.3功能需求分析
2.3.1信息交流功能
学校可在互联网上通过主页展示学校的形象,开设对外宣传网站,公布招生、就业和人才等信息。
校园网建成后,全校师生可以在校园网上发布各类信息,为教育教学和管理决策提供各项信息服务。
如各部门发布的部门通告,教学参考、教科研信息、教师经验总结、课件素材库,还能在BBS、新闻等网站上切磋讨论。
2.3.2教学服务功能
学校拥有自己的教学资源库包括,其中包括各科的教材、教案、试题、录像、图片等对教师备课有参考价值的素材,同时提供大量的电子出版物,发挥电子媒体容量大、体积小、成本低、检索快、易于复制和保存、易于处理和音像图文并茂等优点,使教师能够用最短的时间获取最多的信息。
师生可以通过网络实现设备资源共享,如打印机、光盘刻录机、扫描仪、数码相机等设备。
2.3.3学生学习功能
通过网络学生可以上网查资料、学知识,还可以运用E-mail、BBS与教师沟通,学生还可以制作网页,建立诸如资料交流、英语角、名站鉴赏、编程作坊、会员网页、游戏论坛、电脑技术等有助于学习交流栏目,提高学生综合素质和终身学习能力。
2.3.4学校管理功能
校园网可以实现全校管理信息系统的现代化.包括以下几个方面:
办公群件系统、人力资源管理系统、财务管理系统、后勤管理系统、教务管理系统、成绩管理系统、学籍管理系统。
2.3.5网上图书馆功能
图书馆可以开设面向教师开放的电子备课和阅览室,开设面向学生开放的电子阅览室。
采购、分类编目、流通、查询、期刊等环节全面实行计算机自动化管理,可以在校园网中提供在线书目检索服务.读者可在网上实现图书检索、全文浏览、借阅情况查阅、预约及续借手续的办理等服务。
进而实现图书管理的“电脑化”和资料查询的“网络化”。
2.3.6网络安全功能
设计出的网络方案基本上可以满足以下基本安全功能:
对非法站点进行访问过滤;
非法言论的准确追踪;
恶意攻击的实时处理;
记录访问日志提供完整审计。
第三章网络设计方案
3.1网络拓扑结构
图3-1徐州市第七中学校园网拓扑结构
此次网络方案如下:
本次方案采用两台S7503E万兆以太网交换机进行双核心组网,各楼层汇聚层的三层交换机采取负载均衡双接口分别接入到两台核心交换机上,所以两台核心交换机同时在承担整个网络的流量。
同时,由于各楼层接入的三层交换机通过双链路分别接入到两台核心交换机上,所以每台核心交换机在另一台设备故障时,可承担整个网络的流量。
所以这两台核心设备之间既冗余备份又负载分担。
避免了单点故障对整网的影响范围,从而提高了整个网络的安全性。
两台S7503E上配置共配置了2个万兆口,用于两台核心之间级连,并预留了1个万兆口为备份或今后的扩容接口。
此外还在两台S7503E上共配置了7个千兆光接口,用于连接住宅楼接入交换机,24个千兆电接口用于连接内部服务器以及出口路由器。
为了各住宅楼交换机能更好的满足大接入容量、高接入带宽的配置需求,在本次网络设计中,我选用了H3CS5500-28C-SI多业务万兆交换机作为汇聚层设备,交换容量高达128Gbps,转发能力高达95.2Mpps的高速引擎,在设备的高性能上保证配合在开展视频、语音等高带宽、低时延、大流量业务时,住宅楼接入交换机能无阻塞的实现用户间互访的线速转发,并通过双上行链路和核心交换机互联,保证应用的不间断,提高整网的高效性、稳定性、安全性。
接入层交换机是连接各终端的设备,接入层网络应该满足各种客户的接入需要,而且能够实现客户化的接入策略,业务QOS保证,用户接入访问控制等,因此,这里我们选用的是H3C公司高性能的S3100系列交换机。
3.2网络平台设计
3.2.1核心层网络建设
网络中心的核心交换机是整个网络的交换中心,同时也是整网(LAN)的路由中心,全网绝大部分第三层操作(数据转发、服务器访问、视频会议等)都通过核心交换机集中进行,其有效性通过两台核心交换机全线速的多层处理性能以及骨干网的高带宽(10GE)来实现保证。
所以核心交换机必须具备以下功能:
先进的体系结构:
采用全分布式体系结构设计,可进行高速路由查找,并通过Crossbar技术进行高速报文交换,可大大提升了路由交换机的转发性能和扩充能力,并可以通过软件设置工作在主备或负荷分担方式。
大容量、高密度线速交换:
考虑到核心交换机承载的局域网网络平台,应可提供高密度接口板,支持线速转发。
此外在保持线速转发性能的基础上,支持各种高密度接口板和组合接口板,满足核心层设备高密度、高吞吐量(交换容量在720G以上并可扩充,整机转发性能应不低于400Mpps并可扩充)的要求。
可管理:
能够提供强大的QoS保障,并支持丰富的ACL、策略路由、安全等特性。
考虑未来的升级,完全支持IPv4/IPv6双协议栈。
电信级可靠设计:
核心交换机应采用分布式结构,支持双主控交换板,无源背板设计,所有单板支持热插拔;
电源系统采用1+1冗余热备份,并支持双路电源输入;
支持STP/RSTP/MSTP协议和VRRP协议,能够满足苛刻的复杂网络可靠性要求,系统可靠性达到:
99.999%。
完善的安全机制:
核心交换机应支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证。
根据以上原则,徐州市第七中学局域网核心交换机采用S7503E,两台S7503E之间采用10GE接口联接,同时与互联网出口路由器通过GE链路连接,两条GE链路之间的备份和负载分担策略通过OSPF、BGP等动态路由协议实现。
为了充分保障核心交换平台的高可靠特性,每一台S7503E都配置了双交换引擎和双主控单元以及双电源配置,规格指标达到电信级要求。
3.2.2汇聚层网络建设
汇聚层交换机是每栋楼的交换中心,由于每幢楼用户之间存在通过划分VLAN实现隔离与互访,而且第三层操作(数据转发、服务器访问等)也都会通过住宅楼接入交换机集中进行,所以接入建筑楼里的交换机除了具备三层功能之外,还必须具备先进的体系结构、大容量高密度端口线速交换、高可靠性设计、弹性堆叠扩展、精细化用户管理等特性。
结合各楼宇信息点的分布情况,我采用H3cS5500-28C-SI交换机作为汇聚层交换设备。
H3CS5500SI系列交换机是H3C自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。
内部交换容量高达128Gbit/s,可以充分满足今后以及后续长期内楼层节点三层交换机的应用需求。
3.2.3接入层网络建设
接入层的主要任务是完成用户的接入,它直接和用户连接,可能遭受ARP风暴、MAC扫描、ICMP风暴、宽带攻击等攻击方式,对安全性的要求很高,另一方面必须提供灵活的用户管理手段。
H3CS3100系列千兆以太网交换机是H3C公司秉承IToIP理念设计的线速智能型可网管以太网交换机产品,具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QOS控制策略等特点,满足企业用户多业务融合、高安全、可扩展、易管理的建网需求,适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。
3.2.4出口路由选择
互联网访问是这次的重点,按照目前的成熟配置,选择H3CMSR50-60多业务路由器产品作为出口转发设备。
MSR(MultipleServicesRouter)多业务开放路由器具有先进的软件结构与硬件平台,能够在最小的投资范围内为内部网络提供一体化解决方案,为用户提供集成数据、安全、语音、视频以及各种上层应用业务的服务。
另外值得一提的是MSR50基于OAA(OpenApplicationArchitecture)理念设计,创新性的推出了对外开放的业务平台。
该平台提供了一套完整、标准的对外接口(API接口)。
厂商与合作伙伴均可以在此平台上直接开发各类高级功能(例如应用层攻击抵御、网络病毒防护、多媒体集合通信、Web优化与加速等),用户只需安装开发出的软件,便可以将上述业务与MSR50无缝融合,为日渐细分的个性化需求提供完整的解决方案。
MSR支持完善的下一代IP协议解决方案(IPv6),并可以提供高达200Mbps的处理能力,完全可以满足学校的要求。
3.2.5综合布线系统设计
设计校园网网络系统的综合布线系统时,将严格依照标准和规范进行设计和施工、测试、验收,适度超,一步到位。
建筑群间子系统采用6芯室外多模光缆。
校园网采用的技术有FDDI(FiberDistributedDataInterface)、FE(FastEthernet)、GE(GigabitEthernet)和ATM(AsynchronousTransmissionMode),其中除FDDIDAS(DualAttachmentStation)需使用4芯光纤外,其余技术均只需要使用2芯光纤;
徐州市第七中学校园网不准备采用FDDI技术,因为FDDI技术性价比比较差。
这样,可选FE、GE或ATM作为园区骨干网,1个通道只用2芯光纤,即使冗余配置也只需4芯光纤,还有2芯光纤可作备用,所以,采用6芯光纤的光缆应该是足够的。
主干采用的千兆以太网技术在多模光缆上可以传输550米,该学校校园网部署范围内参与连网的楼宇之间的距离没有超过550米,所以采用多模光缆是安全可行的。
骨干光纤布线采用全星型结构,中心机房设在图书馆的3楼。
把教学楼、图书馆、教工宿舍、食堂、办公区全部以光纤与位于实验楼中心机房相连。
采用6芯室外光缆。
在各楼采用墙装式光纤接线盒;
网络中心要端接的光纤芯数比较多,采用机架式光纤接线盒。
3.3其他设备
3.3.1网络传输介质
传输介质决定了网络的传输速度、网络段的最大长度、传输可靠性、网络接口卡的复杂程度,直接影响网络的建设成本,也影响今后网络的发展。
根据网络拓扑,选择双绞线和光缆作为学校网络的传输介质。
1、双绞线:
采用超5类非屏蔽双绞线。
2、光缆:
光缆一旦铺设以后,需要长时间的质量保证,因此选择高质量、高可靠的产品。
3、跳线:
成品跳线与自制跳线按1:
5的比例配置。
3.3.2电源及保护
网管中心是整个网络的核心,长延时电源及相关电源保护是必不可少的。
突然停电后,要求维持网管中心设备几个小时的供电;
在电池用完之前能自动关闭被保护的服务器,供电后能自动启动服务器;
防止公用电源线上的浪涌、脉冲、闪电损害重要设备;
电能要求在10000VA上,因此在网络中心配置了一套APCSURT20KUXICH的UPS电源。
第四章资源子网设计方案
4.1服务器接入方案
服务器系统是网络的核心设备,服务器在网络中的位置直接影响网络应用效果和网络运行效率。
服务器连接的两种方案,一种直接接入核心交换机,有利于直接利用核心交换机的高带宽,但占有太多的核心交换机端口,是成本上升;
一种是在核心交换机上外接一台专用服务器子网交换机,可以分担带宽,减少核心交换机端口占用,为服务器组提供充足的端口密度,但容易形成带宽瓶颈,且存在单点故障。
由于徐州市第七中学校园网接入点较少,网络流量并不是很大,又考虑到服务器的安全性,因此本方案中WEB服务器,mail服务器,ftp等服务器接入防火墙的非军事区,视频点播服务器,数据库服务器等安全等级要求较高,流量比较大的服务器通过千兆电缆直接接入核心交换机。
4.2网络操作系统系统选择
网络操作系统是指运行在各种服务器上的操作系统,是网络中的一个重要组成部分,与网络的应用紧密相连。
在Windows域网络中,域控制操作系统主要有WindowsServer2003和WindowsServer2008两个版本。
但像RedHatEnterpriseLinux等企业级Linux或者UNIX操作系统中,也可以加入Windows域网络,或者但当域中的DNS服务器、DHCP服务器等角色,成为Windows域的成员服务器。
在以上这几种操作系统的选择方面,我从以下几个方面来确定所选操作系统:
4.2.1成本考虑
Linux平台由于采用开源方式,并且是一类新兴的系统平台,用的人还较少,总体来说价格是做便宜的。
UNIX系统和Linux系统一样也采用开源方式,但是它的发展历史相当悠久,且多由几个国际服务器的巨头掌握,所以这个平台的网络操作系统价格并不便宜,比起Windows还要贵很多。
微软的Windows系统平台价格居中,由于不属于开源方式,所以用户升级的价格比较贵。
但是,具体选择哪一种还不能仅从购买价格来衡量,从长远来看,购买操作系统的费用只是整个成本的一小部分,网络管理的大部分费用是技术维护的费用和员工培训的费用。
一般来说,Windows平台比较简单易用,适用于技术维护力量较弱的网络环境中,而UNIX和Linux平台操作相对比较复杂,要请专业的UNIX和Linux网络管理员,其代价要比Windows系统的高。
4.2.2实用性
考虑UNIX和Linux采用的基本是命令方式,就连软件安装和卸载这样在Windows系统中很简单的操作,在这两个系统中仍显得非常复杂,需要熟练掌握各种命令和繁多的参数功能,而微软的Windows系统采用可视化图形界面,而且许多配置都是向导式的,所以非常容易使用和掌握。
4.2.3可用性可虑
可用性主要包括稳定性和可靠性两个方面。
相对来说,UNIX和Linux两个平台系统在稳定性和可靠性要高于微软的图形用户界面Windows服务器系统。
但是最新推出的WindowsServer2008系统在稳定性和可靠性两个方面又较前一个版本WindowsServer2003有了明显的提高,所以在这方面,Windows平台服务器系统同样具有较高的保障。
4.2.4安全性考虑
网络操作系统的安全是整个计算机网络安全的基础。
从网络安全性来看,UNIX和Linux两个系统由于采用非图形界面的文本方式,加上文件系统格式比较特别,所以就目前来说,在安全性方面有一定的优势。
但是,其实一般来说,微软的Windows的安全性能够满足绝大多数用户的应用需要,安全方面是不用太担心的。
加上基于Windows系统安全防护措施远比UNIX和Linux系统的多,所以根本不必对Windows系统平台的安全有太多的担忧。
根据以上几点,在这里我们选用WindowsServer2008作为网络操作系统,管理服务器资源。
4.3多媒体教学软件选择
多媒体教学是指在教学过程中,根据教学目标和教学对象的特点,通过教学设计,合理选择和运用现代教学媒体,并与传统教学手段有机组合,共同参与教学全过程,以多种媒体信息作用于学生,形成合理的教学过程结构,达到最优化的教学效果。
在这里我选用纯软件的“远志”纯软件教学软件,它利用一套软件,在现有的电脑网络设备上,实现教师机对学生机的广播、监控、语音教学等操作,辅助学生完成电脑软件的学习和使用。
此系统融合了数字化、网络化的先进思想,突破传统教室对时空的限制,既实现传统课堂教学中老师与学生、学生与学生间的交流,又符合电脑教学轻松、互动的自身特点,从而是一次教学方式的飞跃。
图4-1远志软件模拟物理结构
4.4远程访问系统设置
为了便于教师在校外可以随时的访问只有在校园网中才能访问到的资源,在这里,我采用了深信服SSLVPN远程访问系统。
深信服SSLVPN是基于浏览器内置SSL协议吉安尼的VPN接入方式,不需要用户安装任何客户软件,免除了用户配置维护的麻烦,从而保证众多用户简单方便的使用该SSLVPN网络。
在此次方案中,为需要进行远程接入访问的教师、学生开启SSLVPN登陆账号,并为其分配相应的教学资源访问权限,通过SSLVPN保证科研教学数据的安全授权、传输、访问。
并采用SSLVPN用户流量控制,对每个用户的上下行流量做合理的限制,防止某一用户大流量长连接的过量占用资源。
为了解决校外用户分配校内地址问题,通过在SSLVPN设备中开启虚拟IP池,分配校内网空IP段,并将该IP段地址与介入用户的账号进行绑定。
第五章网络系统管理
5.1使用Telnet管理网络资源
Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。
它为用户提供了在本地计算机上完成远程主机工作的能力。
在终端使用者的电脑上使用telnet程序,用它连接到服务器。
终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。
可以在本地就能控制服务器。
要开始一个telnet会话,必须输入用户名和密码来登录服务器。
Telnet是常用的远程控制Web服务器的方法。
为了更方便的管理网络资源,我们可以为汇聚层和接入层的交换机分配固定的内部IP地址,并且每台交换机开启Telnet服务,这样网络管理员就可以,很方便的管理、配置各个交换机。
5.2IP地址分配的管理
目前中小企业网络IP分配方法主要以手工静态分配和DHCP服务器动态分配两种分配方式,但是此两种方式在应用过程中都存在不同的问题。
如:
手工静态分配,在客户端进行IP配置,相对较严谨,管制较完全,但一般非IT性质的中小企业,没有专门的网络管理员,在出现由于IP配置导致的网络问题时,解决问题有一定的难度。
静态配置对于一些移动办公或临时性使用网络的人员,实际操作也很麻烦。
在这里我们利用汇聚层中三层交换机的中继功能,当VLAN的接口地址(默认网关),接收到该VLAN客户端发出的DHCP请求广播信号后,由该默认网关充当DHCP代理的角色将请求信息转发给DHCP服务器。
在DHCP中继中,每个VLAN的接口地址都作为该VLAN得DHCP代理。
利用DHCP中继功能只需在网络中设置一台DHCP服务器即可,并且DHCP服务器可位于任何一个VLAN中,只需要在设置DHCP中继参数的时候指定DHCP服务器的地址就可以了。
食堂,体育馆等没有3层交换机的楼宇使用手工静态分配IP地址的方法完成IP地址分配。
表5.1各交换机地址分配情况
交换机名
交换机IP地址
VLAN
VLAN名
主机网络号
升级会员 