校园网 设计方案教案资料Word下载.docx

校园网 设计方案教案资料Word下载.docx

《校园网 设计方案教案资料Word下载.docx》由会员分享，可在线阅读，更多相关《校园网 设计方案教案资料Word下载.docx（11页珍藏版）》请在冰豆网上搜索。

网络设计；

网络安全

校园网是校园信息资源建设的基础设施.校园网建设的根本目的是为学校的教学科研和管理提供一个先进实用的信息网络环境.基于网络的合作学习是利用计算机网络以及多媒体等相关技术,使多个学习者针对同一学习内容彼此交互和合作,以达到对教学内容比较深刻理解与掌握的过程，利用计算机网络建立协作学习的环境,使教师与学生、学生与学生以讨论、协作和交流的方式进行学习,可以充分发挥计算机网络的优势,强化学习者的学习动机,使学习者更好地建构关于所学知识的意义,从而培养学习者的信息能力、学习策略及社会交往技能.

1.校园网设计目标

确立校园网建设的目标，不仅要考虑技术方面，而且还要考虑环境、应用和管理等方面，必须与学校各方面改革、建设长远发展相结合，科学论证和决策。

根据这一要求：

建设一个技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，形成结构合理、内外沟通的校园计算机网络系统。

在此基础上建立的校园网应具备以下3点：

1）学校的目的是通过教学过程来培养人才，因此对教学过程提供直接支持应是校园的基本功能；

2）校园网必须支持学校的日常办公和管理；

3）与Interent的连接也是校园网的基本功能之一，这样大大扩展了师生获取知识的途径，增强校内外的沟通及自由地发布教育信息。

2.校园网设计原则

根据计算机及网络技术的发展趋势,校园网的设计应采用开放性的国际通用的TCP/IP协议,本着总体规划、分步实施的总体原则,并遵循先进标准性与适用性相结合、系统可扩展性及安全可靠性原则来加以建设。

2.1统一规划,分步实施

校园网的建设应在统一的总体规划的前提下进行,这样整个系统才能统一标准,才不会出现系统互不兼容的现象。

同时,由于计算机网络技术的更新换代、设备价格的降低和设备性能提高的速度很快,而各学校在校园网建设初期网络的使用率不高,因此,校园网通常要分步实施,避免一步到位,坚持“边投资,边使用”的原则,确保以最小的投资得到最快、最好的收益。

2.2先进性、标准性与适用性相结合

计算机网络技术发展及设备更新淘汰速度很快,因此,在设计校园网络系统时,应符合国际规范标准,并采用市场占有率高、符合国际标准和技术成熟的新型软硬件产品。

这里应注意的是,在校园网建设时,应充分考虑本学校实际应用的需要和现有设备情况,充分发挥设备效益,充分利用现有资源,不超前投资硬件设备,更不做新产品

2.3可扩展性

校园网的建设是一个长期的系统工程,随着网络技术的发展和学校应用需求的扩展,校园网也需要扩展和升级。

因此,在进行校园网规划设计时,既要有用户发展的配置预留,又要满足系统升级的需要。

2.4安全性和可靠性

只有安全可靠的系统才能达到令人满意的服务效果。

校园网一经使用,学校的各种管理都会逐渐依赖于网络系统来运转,网络一旦瘫痪,将会给学校各项工作带来不便,甚至会为学校带来巨大损失。

因此,校园网的系统结构和软硬件设备必须具有稳定可靠的性能,尤其是网管中心的设备,大多需要连续运转,面向全校服务,其可靠性更为重要。

校园网建成后,网络安全问题就成了首要问题。

为保证系统得以安全可靠运转,通常网络中心必须配有必要的用于安全防范的软硬件设备,以防止内外非法访问和恶意进攻。

同时,由于校园网遍布学校的各个地方,比较分散,因此,网络系统中的端口设备应具有良好的可管理性。

2.5易管理性

随着网络规模的不断扩大,校园网络的管理越来越重要,管理的事务也越来越复杂。

可以通过图形化的配置对网络进行虚网划分,设置各子网的访问权限,简化网络的管理。

用户应能在中心机房通过网管工作站上友好的图形界面,实施网络的动态监测、配置、数据流量的分析等。

3.校园网需求分析

3.1校园网功能

（1）支持约1000用户浏览Internet。

（2）连接校内所有教学楼、办公楼、实验室楼和学生宿舍中的计算机。

（3）提供丰富的网络服务，包括：

①提供国际互联网ISDN专线接入（或DDN），实现与各公共网的连接。

提供基本的Internet网络服务功能：

如电子邮件、文件传输、远程登录等。

②有综合网络办公系统及各个应用管理系统，实现办公自动化，管理信息化。

③提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。

④全校共享软件库服务，避免重复投资，发挥最大效益。

3.2主机系统的要求

（1）主机系统应采用当前市场较新的主流技术，并有良好的扩展能力。

（2）支持通用大型数据库。

（3）主机系统应有高的可靠性，能长时间连续工作，并有容错措施。

（4）具有广泛的软件支持，软件兼容性好，并支持多种传输协议。

（5）能与Internet互联，可提供互联网的应用，如WW－W浏览服务、FTP文件传输服务、E－mail电子邮件服务

3.3网络拓扑的选取

校园网络拓扑图

当计算机的台数较多或可靠性要求较高时，优先考虑采用星型或树型连接；

对于具有几台距离较远或可靠性要求不高的以及共享任务不繁重的，可考虑采用总线型连接。

而校园网中的计算机数量较多，所需的功能也不一样，所以实际的拓扑结构常为以上两种方式综合。

3.4校园网的技术方案设计

校园网的设计应采用符合国际工业标准的、比较成熟的技术，并能兼顾网络技术的发展方向，可选择结构化、可扩充、多用途的网络产品。

同时网络设计应结构合理，在通信网络、资源配置、系统服务和网络管理上要有良好的分层设计，使网络结构更加清晰，便于使用、管理和维护。

另外，网络设计应坚持高效实用的原则，着眼于教学、科研、管理的实际需要，用有限的资金优先解决工作急需的问题。

4.校园网设计方案

4.1总体架构设计

针对校园网的特点，总体设计思路分为以下几点：

（1）全面掌握校园网网络结构，绘制详细的校园网网络拓扑机构图，并在图中标注重点设备位置及用途。

（2）梳理校园网网络通信设备、安全设备、存储设备、服务器等信息信息。

（3）依据业务或功能对校园网中的信息系统进行区域划分，形成各自独立的区域，这样可以最大限度的解决信息系统互相干扰问题。

（4）制定外部访问规则，提供VPN服务供教职工访问校内业务系统，禁止外部直接对校园网的访问。

（5）制定安全管理制度，完善各环节工作规程，减少由于工作失误造成的故障。

4.2网络体系结构的选择

网络体系结构是指计算机通讯系统的整体设计，它为网络软件、硬件及网络通讯协议、数据存取控制和拓扑结构提供标准。

因此，网络体系结构的选择是实现校园网建设目标的核心环节。

在充分了解网络的特点、性能、价格的基础上，根据学校的实际应用，考虑学校能够投入的资金及现有的设备、局域网和其他资源情况，进行综合分析，并制定有利于开发利用、发展扩充，性能价格比高的网络方案。

现有的网络技术主要有千兆以太交换网、ATM等。

千兆以太网是快速以太网的延续，是性价比很高的一种主干网技术，但由于千兆以太网所涉及的标准还没有完全确定。

在对传送视频应用等响应时间不可预测的网络中，千兆以太网不是最佳选择。

ATM技术比千兆以太网早3年，ATM技术能提供较高的网络带宽和服务质量控制，具有适合于语音、视频、数据传输等特点。

因此，考虑到多媒体技术的迅速发展和现代教学中大量多媒体课件的开发应用，能满足网上大量多媒体信息传递的需要，比较先进的方案还是建议采用ATM作主干，局域网和用户端仍采用以太交换网。

4.3主干网设计

根据分层理念，主干网可采用三层网络架构，通过层次化模型设计，将复杂的网络设计分成３个层次：

接入层、汇聚层和核心层。

每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题，如图所示。

核心层（实现高速交换）

汇聚层（实现基于策略的连接）

接入层（实现本地或远程工作组访问）

层次化网络模型

主干网采用三层网络架构，可以从以下几个方面保证了校园网络的灵活性、可扩充性、可靠性和高效性：

①利用分层结构将网络的功能区块化，使得网络的局部修改和扩充被隔离，使校园网络更具灵活性；

②利用区块的不对称特性优化网络的流量配置，提高校园网络的性能价格比；

③利用网络整体的对称性提供负载均衡，最大限度地提高网络的性能；

④利用网络整体的对称性提供校园网络的冗余，提高网络的可靠性。

局域网的类型有多种，但性价比占优势的还是1000M以太网，其优点就是组网技术简单、廉价，即主干网组网技术应采用千兆以太网技术。

因为其技术具有高带宽1000Mbps速率的主干，其次就是做为校园网的结构无论在高带宽、可适应性、高性价比、良好的管理性和可维护性等各方面都是最明智的选择。

用100Mbps交换机到桌面，这样的结构不但就目前的各种应用系统运行起来绰绰有余，而且还可以轻松地应付将来一段时间内的应用要求，且非常容易升级和扩展，使用户投资得到最大限度地保护。

光纤主干网覆盖整个教科院、并将光纤连接到有条件的部分大学生宿舍，从而将校园网建成一个具有一定规模容量、技术先进、功能齐全、优良实用、安全可靠，并具有可扩充性的现代化网络系统

以千兆交换机作为校园网的中心，在此基础上，根据不同功能的需要，把整个校园网分割为几个或者几十个以百兆交换机为核心的校园网中的子网。

为满足学校能与其他网络的连接，可在百兆交换机中再布设一个子网，把服务器，路由器等与外部网相连接的应用设备用防火墙将它们与校园网隔离开来，以保护校园网内部的数据。

4.4架构设计说明

互联网接入域方面：

此区域主要负责学院ISP接入，目前我院共有联通、电信、教育信息网共三条线路，其中联通、电信主要负责教职工及学生的日常网络服务，由于这部分区域的特殊性区域内设备均采用主、备方式冗余部署，最大限度的解决了由于设备单点故障导致的网络中断。

网络核心区：

此区域主要为各教学楼及各校区链路的汇聚提供数据链路服务。

除此之外最为校园网的核心部分，也是连接应用网路和外部网络的桥梁，必须确保进入和输出数据的安全性，因此安全审计、安全监测设备均部署在此区域内。

通过这些设备对数据的过滤、筛选。

网络管理区：

网络关系信息系统是保障网络可靠运行的重要手段，网络管理云可以通过网络关系系统对网络进行全面监控，对全部网络设备进行配置、运维管理，因此将这些系统放到独立的区域集中管理，通过特殊的安全设备进行安全加固是保障校园网健康运行的前提。

业务系统区：

校园网全部服务器归属到该区域进行统一管理，通过边界防火墙对外提供服务，采用基于TCP/IP的访问策略进行数据访问限制，提供对外单项服务，对内采用特殊授权方式解决。

视频会议区：

我院现共有三个校区，日常会议大都通过视频会议的方式来解决，由于视频会议对网络带宽的要求较高因此将视频会议区域单独通过校区自由光纤与其他校区连接，并通过带宽保障技术确保足够的带宽供应。

校园卡区域：

校园卡网络最为消费功能有它的特殊性，必须独立于其余的网络独立出来，采用专线网络管理从而从物理层面实现与校园网的隔离，随着学校发展的需求，赋予了校园卡更多的身份不单单只应用于消费还有考勤、门禁等应用出现，此区域内应该包括全部与校园卡相关的硬件及软件。

测试区域：

测试区主要服务对象是一些处于测试阶段的软件系统，此区域的安全级别较低，软件管理人员可以随时操作服务器调试软件，为用户提供良好的测试环境

4.5用户准入机制设计

对于校园网的用户，最重要的是对用户准入准出进行控制，并满足计费管理功能。

因此主要解决下面的问题：

将网络安全接入控制、防代理、上网用户的多种IP控制和管理功能、非法DHCPserver控制、认证时的绑定安全控制功能、合法用户的授权功能、Mac地址防盗功能、主机与IP的绑定功能、多种计费控制功能、对特定用户的强制下线功能、黑名单用户禁止上网功能、支持用户上网的时段控制，还可以对学生的上网时间加以控制。

这些是校园网通常认证计费软件需要实现的功能，这是一个较为复杂的应用系统，需要由多方来实现。

校园网另外一个问题是互联网带宽的滥用，不少学生在网络中使用BT等P2P软件，大量占用互联网出口带宽，使得全网访问互联网非常缓慢，有时也可能因为病毒的原因，向外大量广播数据包，导致交换机端口堵塞，接入交换机可以通过限制接入速度来实现对这些问题的抑制。

上述功能，可以在接入层或者汇聚层交换机上实现，这样可以将网络初始流量抑制在每台交换机上，不至于将异常流量引入核心层交换机，占用核心层交换机的处理能力，影响网络性能。

4.6IP地址的规划

在校园网的规划设计中,IP地址方案的设计至关重要,为了便于校园网的管理,可将校园网划分为若干网段,各部门各占一个网段,由IP地址和子网掩码来确定各子网中的主机地址。

在信息访问时,各子网段是相对独立的,在一定程度上保护了该网段内的信息安全。

为了保证网络的扩展性和安全性,我们一般在网络中设计使用C类IP地址,网络中的应用服务器也使用私网IP地址。

IP地址的分配

IP地址分配是优化路由处理的重要组成部分。

在网络规划中,应尽量采用保留地址,并且地址按区域进行划分。

在地址分配过程中,各节点的保留IP地址应尽量保持连续性以便于内部路由管理,同样,整个网络内部也应尽量保持CIDR（无线域间路由）地址块的连续性,保留IP地址的使用应为将来网络发展留有余地,以便于网络的统一规划。

4.7设备的选型

网络服务器一般选择基于UNIX的中档工作站，如SUN、HP、IBM等工作站或服务器。

操作系统可选Solaris、HP-UNIX、AIX。

这些服务器内存至少64MB，硬盘容量超过2GB以上，根据需要划分为若干卷，匿名FTP服务器、WWW服务器及BBS服务器应具有较大的硬盘容量。

一般应使用486以上机型。

主干交换机是指连接服务器及楼（比如办公楼）与楼（宿舍）之间、层（比如实验楼一层与二层之间）与层之间的数据交换设备。

校园网的主干交换机可选择的1000M交换机。

这样可以为主干校园网之间提供1Gb／s的宽带。

应用的主干技术可用堆叠交换技术。

校园网服务对象最大的群体是学生，因此直接使用100M交换机到桌面上，利于解决集中突发性所造成的堵塞。

为了使每个教室之间互访得到有效的进行，提高安全性，可在校园网中另外采取虚网技术

路由器选择的是一台IntelExpressRouter9100路由器。

路由器是校园网对外的出口，也是为保护校园网的第一道防火墙。

中心机房到汇聚层节点采用千兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。

通常考虑，建议数据信息点的接入用交换100/10OOMbp自适应以太网端口接入，以便能较经济的提供较高的带宽。

整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。

5.校园网安全管理

5.1安全技术的应用

（1）VLAN技术的应用。

为了有效地管理网络，我们在校园网络中进行虚拟网的划分。

虚拟网（VLAN）技术是目前局域网技术中发展迅速的一种技术，它通过在现有物理网基础上，根据实际网络应用的需要灵活配置，将网络各节点重新划分组网，形成一个逻辑网络。

虚拟网技术的引入给现有网络的设计、管理和维护带来了某些根本性的改变。

（2）ACL技术的应用。

合理配置和使用交换机支持的访问控制列表（ACL）功能，能够合理地限制网络非法流量，其主要原理为：

ACL使用包过滤技术，在路由器或者核心交换机上对ISO模型的第三层、第四层的包头信息读取，包括源地址与目的地址、源端口与目的端口，根据设定的规则对数据包进行过滤，从而实现访问控制。

校园网节点主要由资源节点与用户节点构成，资源节点提供大量的应用服务与数据共享供用户节点访问。

在这个过程中，ＡＣＬ技术一方面对资源节点提供保护，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

5.2VLAN的划分

校园网内部已经具备了数个相对独立的办公或学习单元,如果所有独立单元的用户无差别地处于对等网中,不仅使许多敏感数据容易被无关人员获取,而且独立单元内的大量通信也会占用很多的网络资源,使整个网络的效率变低,甚至引起崩溃。

为此,需要将经常进行通信的计算机组成一个子网,使大量的内部数据局限在子网内传播,然后将各个子网连接在一起,形成校园局域网。

VLAN又称虚拟网,从网络管理上被定义为一个位置无关的局域网广播域。

VLAN技术是随着交换技术的出现而产生的,在一个校园网内划分若干虚拟子网有以下好处:

（1）隔离广播。

（2）方便的工作组划分和管理。

（3）增强网络安全性。

具体在校园网虚拟网的划分中有以下优点:

（1）使得校园网的划分很容易和校内各部门的划分一致起来,能使得同一部门在不同物理网段的结点可被设为同一逻辑子网,实现与物理位置的无关性。

（2）对于网络中心,财务部门等要害部门可采用基于传统的MAC地址的VLAN划分技术,以防止非授权结点在该子网中的出现。

（3）对于比较分散、物理子网比较多,难以有效管理的地方可采用混合策略,以尽量减少IP地址盗用和其它安全问题。

5.3防火墙的使用

防火墙是架构于两个不同网络之间，根据设定的安全规则，决定网络中传输的数据包是否允许通过，并监视网络运行状态，内部的结构以及运行状况均对外屏蔽，从而实现内部网络的安全防护。

防火墙的主要作用为：

①防火墙能够把内、外网络、对外服务器网络实行分区域隔离，从而杜绝它们与外网直接通信；

②防火墙能够将对外服务器、网络上的主机隔离在一个区域内，通过安全保护措施，确保安全；

③防火墙能够对用户的访问权限进行限制，在增加合法用户安全性的同时，也实现对非法用户的拒绝；

④防火墙能够实现对访问服务器的请求控制，发现非法行为以及阻止非法操作；

⑤利用防火墙及各服务器上的审计记录，形成一个完善的审计体系，在策略之后建立第二条防线。

出口防火墙主要是互联网出口安全规则的检查，由于是专用的安全设备，可以定义许多安全规则，可以根据需要定义较为复杂的规则，对互联网访问外网服务器和内部网络的行为进行控制，检测和切断黑客的攻击行为，从而保证网络的安全运行。

5.4管理员安全管理与服务支持

服务器日常维护量较大，管理员需要在任何地点连接服务器进行维护，管理员+地址映射的模式安全隐患极大，基于整个原因和上述的安全管理模型，我们院采用了管理员+VPN+跳板机的方式提供管理员维护连接服务，这种方式的特点是可以不受地域的限制随时连接授权的服务器连接，可以针对人员进行特定的链接限制，用户通过这样的审核机制后便可以提供一条安全的数据链路，管理员可以对服务器、网络设备维护服务。

5.5完善的制度

通常所说的网络安全建设“三分技术，七分管理”，也就是突出了“管理”在网络安全建设中所处的重要地位。

长期以来，由于管理制度上的不完善、人员责任心差而导致的网络攻击事件层出不穷。

尽管在所有的网络安全建设中。

网络安全管理制度的建设都被提到极其重要的位置，但能按相关标准制定出具有全面性、可行性、合理性的安全制度，并严格按其实施的项目数量并不是很多。

长期的安全攻击事件分析证明，很多攻击事件是由于人员的安全意识薄弱，无意中触发了黑客设下的机关、打开了带有恶意攻击企图的邮件或网页造成的。

针对这种情况，首要解决的问题是提高网络使用人员的安全意识，定期进行相关的网络安全知识的培训，全面提高网络使用人员的安全意识，是提高网络安全性的有效手段。

6.学习心得

以上对校园网规划的各个方面进行了阐述,但即使选用的设备和软件再好,如果设计不周全,方案不全面,也难以发挥全部功能,并且会给日后的使用、维护和升级造成困难。

所以在对设计方案的评估过程中,既要抓住重点,又要重视细节,同时,还要及时掌握网络发展的新动向、了解新产品,因为现代网络技术发展速度很快,今天的先进技术也许很快就会过时。

总之,校园网的规划设计只有满足了总体目标,才能够称之为一个比较完整全面的方案,根据这样的方案区具体实施才能做出优秀的工程,所建设的校园网才能够更好的为广大师生服务！

网络安全工作是一个长期的工作，有一个好的安全管理架构可以协助网络管理人员提高网络安全管理能力。

网络安全是动态的、整体的，并不是简单的安全产品集成就解决问题。

安全不是一劳永逸的，安全总会随着用户网络现况的变化而变化。

随着时间推移，新的安全风险又将随着产生，只有大力加强信息安全的宣传和教育，树立牢固的信息安全意识，提高网络使用人员的技术水平，才可能实现网络的畅通和信息的安全。

参考文献

[1]丁扬．校园网络安全现状分析及对策研究［J］．中国科技信息，2010．

[2]AndrewS,Tsanenbaum.计算机网络[M].熊桂喜,王小虎,译.北京:

清华大学出版社,2000.

[3]黄勇,等.校园网应用技术[M].清华大学出版社,2005.

[5]孙卫佳．网络系统集成技术与实训［M］．北京：

电子工业出版社，2005

[6]王洪.计算机网络实用技术[M].北京:

人民邮电出版社.

[7]王移芝,罗四维.大学计算机基础教程[M].北京：

高等教育出版社

[8]郎波,等.千兆以太网技术与应用[M].机械工业出版社,2000.