宁海分校最终方案Word格式.docx
《宁海分校最终方案Word格式.docx》由会员分享,可在线阅读,更多相关《宁海分校最终方案Word格式.docx(51页珍藏版)》请在冰豆网上搜索。
宁海分院目前还没有计算机网络,出于现代化教学、科研、信息沟通以及迎接即将到来的“电子商务时代”的需要,校方有必要建成一条能适应于多媒体教学的现代化计算机网络系统,通过运用先进的技术手段,现代化的教学工具培养出能适应信息时代所需的人才,并为科研、信息沟通服务。
校园网建设的总体目标是利用各种先进,成熟的网络技术和通信技术,采用统一的网络协议(TCP/IP),建设一个可实现各种综合网络应用的高速计算机网络系统,将各系,办公室,图书馆,宿舍通过网络连接起来,并与CERMET,IMTRENET相连.在校园网上,为老师,学生提供可靠的,高速的和可管理的网络环境,提供广泛的数据资源共享,丰富便捷的网络应用(如:
实时多媒体视频/音频,网络远程教学,网络会议等),提供各种网络服务(电子邮件,WWW信息查询等),为各用户提供多种形式的访问,实现网络的扩展,扩大联网的范围和规模.
校园网不仅实现了现在网络上的一般功能:
如E-MAIL,FTP,网络论坛,网络图书馆,搜索引擎,网上聊天,管理数据的传输,处理与查询,还实现了包括视频点播(VOD),实时远程教学,网络学校,电话会议等功能,是一个高速多媒体互联网络,并最终实现整个教育系统的资源共享.
众所周知Internet早已不是单一的数据传输网,而是由数据,语音,图像等多媒体信息组成的综合传输网.然而校园网络化地观念在推进的过程中,首先面临来自网络带宽瓶颈的挑战.单一的传输模式无法适应校园网络化的应用,所以如何提供令校园网满意的网络应用服务质量,这是目前解决网络化瓶颈中最为关键的一环.当今校园网络化发展已不能够简单地以限制人们上网的方式以避免带宽稀缺导致的网络拥塞.为了尽可能地利用好对满足多种网络应用需求最为关键的稀缺带宽资源,避免可能出现的网络性能问题开创在校园网化的建设过程中的每一个细节都作了努力把网络的性能优化到极限使QoS等策略不再神秘莫测充分应用到解决相识问题当中.如此一来凡对网络流量实施策略管理地方就再也没有那些无法容忍的迟延现象出现.这不仅减少了大量管理成本,还为客户节省了大量时间,同时提高了校园网的用户满意度.
1.2网络的应用
宁海分院要求完全建成以后能实现除现在网络上的一般功能:
如WWW,E-mail,FTP,网络论坛,网络图书馆,搜索引擎,网上聊天,管理数据的传输,处理与查询外,还应包括视频点播(VOD),实时远程教学,网络学校,电视会议,网络电话等功能,是一个高速多媒体互联网,实现整个教育系统的资源共享,做到网内设备全区的宁海分院都能共享.
网络业务的设想为:
Web服务:
学生可以通过Web浏览的方式在线学习。
FTP服务:
教师可通过FTP服务器下载或上载课件资料。
电子邮件服务:
教师以及学生之间可通过E-mail方式交流信息。
视频点播服务(VOD):
学生可能通过视频点播的方式随时观看以前教师授课影像;
网络直播:
教师授课的现场景仰可以通过IP网络实时发送到各个客户端,实现网络教学的功能.这些影像还可同时备存储下来,以便日后学生通过视频点播方式再次观看。
过程办公:
我们可以实现远程对校园网内的养分资料和关键应用的安全访问;
视频会议:
由于交换机所支持的QoS能力可以对视频等的实时业务提供优先级和带宽保障,整个网络系统可以提供对视频会议的良好支持.教师通过该系统可以在不走也办公室的情况下进行全区的可视会议。
与浙江工商职业技术学院总校进行VPN连接,保证总校和分校资源共享和数据交换等应用。
第二章网络基础架构规划
2.1宁海分院网络拓扑图
网络主干系统必须满足总体规划的要求,坚持实用性、先进性、开放性、可扩充性、可靠性、安全保密性和友好性技术方针。
2.2校园管理网络的基本构成:
将全校的信息资源(行政楼、实训教学楼、图书馆、教师公寓)利用计算机网络连接起来,形成一个流畅、合理、可靠、安全的校园网。
以校园网为基础,建立多媒体教学网,为大力发展多媒体辅助教学提供较好的硬件平台。
并通过校园网与国家教育科研网(CERnet)及Internet相连,利用VPN隧道将工商学院总校建立内部连接,对内对外共享丰富的网络资源。
总而言之,无论从现代学校校园网的应用要求,或者是将来的发展目标来看,作为现代校园网的最核心和最基础设施----校园网主干系统应为最终实现“数码校园”打下良好的基础为目标。
2.3校园网设计思路
为减少网络中各部分的相关性,便于网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。
核心层负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。
汇聚层负责将各种接入业务集中起来,除了进行局部数据的交换、转发以外,通过高速接口将数据输送到核心层去,在更大的范围内进行数据的路由以及处理。
接入层设备提供各种标准接口将数据接入到网络中,完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。
在校园网的设计过程中,决定性的因素还有很多,需要结合用户需求综合考虑。
例如,网络数据流量的估计是网络所需带宽的重要依据,以信息服务系统为例,其工作方式主要分为局域网内部工作站对网络服务器上的信息资源的访问和远程计算机对本局域网网络服务器上信息资源的访问两种。
由于局域网内工作站对网络服务器的访问有可能造成网络最大的数据流量,使服务器和网络设备之间的连接成为系统瓶颈口,使网络发生拥塞,因此需要对这一数据流量进行一个大致的估计,也就是根据工作站的数量以及工作站从资源中心所存取的数据性质所需要的通讯带宽来配置相应的网络传输介质及节点设备。
网络传输是校园网的的关键,学校在实际应用时,其网络主干系统将要面临海量的实时图像数据信息的处理和传输,因此,建议网络传输的方式以1000M形式。
网络设计者通常面临这样一个问题,即网络方案的设计是否符合实际的应用和易于扩展,不因科技的不断发展进步而影响先期的投资。
校园网建设必须考虑学校特点,网络传输介质有一定的超前性,网络设备及网络通信规程的选择有一定开放性、易扩展性和先进性。
2.4校园网设计原则
校园网是学校未来实现“数码校园”的基础,本着从实际出发、着眼未来的原则,本方案提出了校园网的设计目标及要求。
本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合要求的校园网系统。
从技术措施角度来讲,在系统的设计和实现中将严格遵守以下原则:
2.4.1可靠性原则
采用高可靠性的设备和必要的容错措施,加强网络管理,以确保网络系统有很高的可靠性,网络易于维护。
2.4.2先进实用性原则
采用的技术应代表目前计算机网络的先进水平。
基于Intranet网络技术,选用与网络技术发展潮流相适应的产品,保持技术的先进性,同时也注重应用的实际需求和设备的性能价格比,并充分利用现有的资源和设备,充分保护原有投资。
2.4.3可扩充性原则
充分考虑采用开放的技术和产品,以保证今后进行有效的扩充和升级,这也是充分保护投资的有效办法。
2.4.4安全性原则
认真、周全选用系统硬、软件,采取多种手段确保系统安全性。
2.4.5可维护性和可管理性
整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。
对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行。
因此,网络所选网络设备应支持SNMP协议,管理员通过网管工作站就能方便地进行网络管理、维护甚至修复。
在设计和实现计算机应用系统时,必须充分考虑整个系统的便于维护性,以使系统在万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。
2.4.6分步实施原则
考虑到在整个校园网建设中,可以采取分期投入、分步建设和逐步投用的原则,在进行总体设计时,设计方案必须保证校园网的每一个子系统可独立建设和应用者有条件的使用,同时保证在总体系统完成建设后,各子系统可平滑接入校园网主干系统,满足相关应用点无限制的使用;
此外,所有子系统的网络接入设备(网络交换器或集线器)不会因为因应用需求升级而被淘汰,而是可升级复用,或被移植到相应的应用环境使用,再者或被用于取代下一个子层面的低档级连接设备。
2.5选择华为设备的原因
杭州华三通信技术有限公司(简称H3C),致力于IP技术与产品的研究、开发、生产、销售及服务。
2006年,H3C销售收入7.12亿美元,连续三年保持70%左右的同比增长。
在全国34省市设有分支机构。
目前公司有员工近5000人,其中研发人员占51%。
H3C不但拥有全线路由器和以太网交换机产品,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。
目前,安全产品中国市场份额位居前三,IP存储亚太市场份额第一,IP监控技术全球领先,H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。
H3C每年将销售额的15%以上用于研发投入,在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构,在北京和杭州设有产品鉴定测试中心。
目前,H3C已申请专利超过700件,其中80%是发明专利。
根植中国,H3C广泛服务于党政、公检法、财税、教育、金融、电力、能源、交通、水利、运营商、制造业、公共事业、中小企业等用户。
服务全球,H3C通过与3Com、华为、西门子、NEC等公司合作拓展国际市场,目前,H3C的产品和解决方案已经覆盖全球90多个国家和地区。
我们推荐华为的产品,因为在产品性能和稳定性上接近Cisco产品,但价格却要便宜很多。
虽然CISCO是全球最大的网络设备供应商,但由于国内和国外的价格相差巨大,商家往往会选择一些水货代替正规行货,所以在售后服务和保修上存在着巨大的隐患。
第三章企业基础网络设计
3.1网络带宽分析
宁海分院对计算机网络的应用主要是多媒体教学,通过计算机网络这种先进的技术手段,实施多媒体、交互式、内容丰富、形象生动的教学,以培养出能适应社会需求的具有专业技能的人才。
根据这一实际应用情况,我们分析在网络上传输的信息是音频、视频、数据相结合的信号,这样对网络的带宽需求就较高,因此,必须对网络带宽和网络的使用性能进行分析,以保证网络满足用户应用的需求。
1、音频信号所需的带宽。
模拟的音频信号必须转换成二进制数据后才能被计算机存储和处理。
对音频信号用等于信号最高频率两倍的速率进行采样,然后对采样值按一定的量化等级进行量化和编码,就可以将音频信号转化成数字数据,并且基本保留原来的信息。
采样频率和编码位数的选取视使用场合而定。
在电话系统中,一路电话所需的带宽只有56Kbps或64Kbps,而传送立体声唱片则需要1.411Mpbs。
2、视频信号所需的带宽。
在计算机中,一幅图像是由一个个的像素组成的,对每个比特进行编码。
灰度图像中,每个像素编码成一个8比特的数,在彩色图像中,每个像素记录了它的颜色,因此每个像素用24比特来表示,而为了获得平稳的运动画面,每秒钟又必须显示25帧的图像,这样一幅分辨率为800×
600的图像所需的带宽为24×
800×
600×
25=288Mbps,通过压缩,带宽可达8-10Mbps。
以上两种信号是网络中对带宽要求最严的数据信号,而且音频信号和视频信号突发性很大,在网络中要求实时的和高质量的传输。
当网络规模比较大,网络用户比较多,网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时,往往会对网络带宽带来压力,令网络带宽不堪负荷,造成网络拥塞,严重时会导致阻塞,使网络通信停顿。
为了解决网络拥塞问题,必须对各种网络技术进行选择,以符合用户对网络实际应用所提出的各项要求,以最高的性价比,实现网络功能。
3.2设计技术的选择
3.2.1千兆以太网
千兆位以太网具有更大的数据传输速率,意味着用户将能以更快的速度访问Intranet和存取多媒体型数据,并有一个更大的访问Internet和广域网服务的管道。
千兆以太网在校园网建设中的优势:
原始带宽——千兆位
千兆位以太网将显著增加纯带宽,以帮助用户迎接负担过重或者不断扩展的网络基础设施所带来的挑战。
千兆位以太网的通信处理能力将极大地缓解局域网主干网所承受的压力,同时为用户提供高效运行数据密集型应用程序所需的可缩放性和速度。
当获得千兆位以太网的数据传输速率后,用户将能够大大加快文件在服务器和其它设备间的传输速度。
网络管理人员将拥有充裕的带宽把日益强大的服务器区直接与局域网主干网相连。
测试表明,即使是一台单独的现有服务器,在配置了一块以千兆位速率运行的高性能接口卡后,也能处理30%以上的千兆位通信量。
性能价格比
千兆位以太网体现了快速以太网带给以太网网络的性价比优点,它将以2至3倍于当今的快速以太网的成本提供10倍于它的性能。
千兆位以太网将保留802.3的以太网标准帧格式以及802.3管理的对象规格。
因此,用户能够在保留现有应用程序、操作系统、IP、IPX及AppleTald等协议以及网络管理平台和工具的同时,方便地升级至千兆位以太网。
以太网的新时代
采用千兆位太网解决方案后,用户将获得一种极具吸引力的解决办法,以缓解由于数据密集型应用不断增加和用户需求不断扩展而带来的网络压力。
由于千兆位以太网能够提供用户所需的带宽,均衡发挥基于以太网的网络中已有技术的作用,因此在校园网建设中千兆以太网是最理想的网络环境。
3.2.2快速以太网:
由于100Base_T已经被IEEE802.3以太网标准化委员会标准化,它保留了CSMA/CD协议,使得网上的10Base_T和100Base_T站点之间数据通过时不需要协议转换,可方便地将10Base_T网络和100Base_T网络集成在一起,与10Base_T网络进行无缝连接,并可非常容易地实现10Base_T向1000Base_T迁移,使用户已有的10Base_T计算机室网络设备不被淘汰。
交换式快速以太网技术是快速以太网技术与交换式技术的结合,交换式快速以太网交换机(SWITCH)每个连接端口独享100Mbps的带宽。
同时,其有较好的升级千兆以太网的便利性。
其拓朴结构既适于综合布线,又为以后网络升级带来方便。
鉴于100M与10M在建网投入方面差距已经很小,同时以目前最为先进的网络结构也既虚拟网络结构方式,不再采用分级的拓扑结构,校园网整体带宽100M,网络传输介质选用超五类双绞线,对于校园面积较大的学校,网络主干传输介质采用光纤,多数节点选用交换器,以便于日后的升级。
使网络结构达到是既要有先进性、实用性、可靠性,又要充分保证学校的投资在相当一段时间具有保值性的基本要求。
100M网络由于其带宽限制了同时进行多媒体教学的课室数量(理论上,VCD的MPEG格式数据流速度为7.2M/S,100M的带宽只允许最多7个工作站同时观看多媒体资源中心的课件)所以,为了以后实现全校性多媒体教学的普及(所有课堂都可随时调用多媒体课件),系统必须具有可扩充和可升级的特点。
3.2.3虚拟专用网(VirtualPrivateNetwork,VPN)
VPN是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。
VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可*性。
VPN可分为三大类:
(1)企业各部门与远程分支之间的IntranetVPN;
(2)企业网与远程(移动)雇员之间的远程访问(RemoteAccess)VPN;
(3)企业与合作伙伴、客户、供应商之间的ExtranetVPN。
二、VPN的要求
(1)安全性
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。
VPN的安全性可通过隧道技术、加密和认证技术得到解决。
在IntranetVPN中,要有高强度的加密技术来保护敏感信息;
在远程访问VPN中要有对远程用户可*的认证机制。
(2)性能
VPN要发展其性能至少不应该低于传统方法。
尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。
因此VPN解决方案应能够让管理员进行通信控制来确保其性能。
通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。
这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。
(3)管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。
VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。
管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。
(4)互操作
在ExtranetVPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。
因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。
这就要求所选择的VPN方案应该是基于工业标准和协议的。
这些协议有IPSec、点到点隧道协议(PointtoPointTunnelingProtocol,PPTP)、第二层隧道协议(Layer2TunnelingProtocol,L2TP)等。
3.2.4虚拟路由冗余协议(VRRP)及应用
在基于TCP/IP协议的网络中,为了保证不直接物理连接的设备之间的通信,必须指定路由。
目前常用的指定路由的方法有两种:
一种是通过路由协议(比如:
内部路由协议RIP和OSPF)动态学习;
另一种是静态配置。
在每一个终端都运行动态路由协议是不现实的,大多客户端操作系统平台都不支持动态路由协议,即使支持也受到管理开销、收敛度、安全性等许多问题的限制。
因此普遍采用对终端IP设备静态路由配置,一般是给终端设备指定一个或者多个默认网关(DefaultGateway)。
静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点:
如果作为默认网关的路由器损坏,所有使用该网关为下一跳主机的通信必然要中断。
即便配置了多个默认网关,如不重新启动终端设备,也不能切换到新的网关。
采用虚拟路由冗余协议(VirtualRouterRedundancyProtocol,简称VRRP)可以很好的避免静态指定网关的缺陷。
在VRRP协议中,有两组重要的概念:
VRRP路由器和虚拟路由器,主控路由器和备份路由器。
VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。
一组VRRP路由器协同工作,共同构成一台虚拟路由器。
该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。
处于同一个VRRP组中的路由器具有两种互斥的角色:
主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。
VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。
当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。
由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
二、工作原理
一个VRRP路由器有唯一的标识:
VRID,范围为0—255。
该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID]。
主控路由器负责对ARP请求用该MAC地址做应答。
这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。
VRRP控制报文只有一种:
VRRP通告(advertisement)。
它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。
这保证了VRID在不同网络中可以重复使用。
为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。
备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。
若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;
IP地址所有者自动具有最高优先级:
255。
优先级0一般用在IP地址所有者主动放弃主控者角色时使用。
可配置的优先级范围为1—254。
优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。
主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。
对于相同优先级的候选路由器,按照IP地址大小顺序选举。
VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
为了保证VRRP协议的安全性,提供了两种安全认证措施:
明文认证和IP头认证。
明文认证方式要求:
在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。
适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。
IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
3.2.5IPv6技术
随着网络的发展,IPv6也是必然的网络发展趋势,为了投资保护,我们选用的设备将完全支持IPv6,以便以后平滑过渡到IPv6。
使用IPv6的好处:
·
IPv4地址资源面临枯竭,我国仅有3000多万个IP地址
互联网黑客、病毒泛滥,IPv6能提供更安全的保障
实现3G与互联网的融合,让每部手机都有IP地址
IPv6支持“永远在线”,为客户提供更满意的服务
IPv6的另一个基本特性是它支持无状态和有状态两种地址自动配置的方式。
无状态地址自动配置方式是获得地址的关键。
在这种方式下,需要配置地址的节点使用一种邻居发现机制获得一个局部连接地址。
一旦得到这个地址之后,它使用另一种即插即用的机制,在没有任何人工干预的情况下,获得一个全球唯一的路由地址。
有状态配置机制,如DHCP(动态主机配置协议),需要一个额外的服务器,因此也需要很多额外的操作和维护。
服务质量(QoS)包含几个方面的内容。
从协议的角度看,IPv6的优点体现在能提供不同水平的服务。
这主要由于IPv6报头中新增加了字段\"
业务级别\"
和\"
流标记\"
。
有了它
升级会员 