06240425曾祥虎 武威一中校园网规划与设计文档格式.docx
《06240425曾祥虎 武威一中校园网规划与设计文档格式.docx》由会员分享,可在线阅读,更多相关《06240425曾祥虎 武威一中校园网规划与设计文档格式.docx(27页珍藏版)》请在冰豆网上搜索。
第1章企业描述
适用对象:
中等规模的大专院校
基本数据:
在校生人数≥3500;
占地面积≥700亩。
主要建筑:
图书馆、实验楼、教学楼、宿舍楼、公寓楼等
网络节点:
总的信息点将达到
3000个左右。
信息节点的分布比较分散,将涉及到图书馆、实验楼、教学楼、宿舍楼、公寓楼等。
主控室可设在实验楼的五层,图书馆、教学楼和宿舍楼为信息点密集区。
网络结构:
网络分为三个层次,核心层、汇聚层、接入层。
采用千兆以太网技术,具有高带宽1000Mbps
速率的主干,100Mbps
到桌面,内部网与外部网之间采用防火墙技术进行网络安全和网络控制。
第2章需求分析
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。
同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。
因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。
信息技术的普及教育已经越来越受到人们关注。
学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
为了适应教学的需要,系统的总体要求如下:
先进性:
采用先进的技术、方法、设备,使系统既成熟可靠又能反映当今应用水平,并具发展潜力。
开放性:
整个系统应具有开放性,符合相应的国际标准和协议。
提供开放的网络接口和数据接口,使不同的产品能够协同运行,方便数据交换、信息共享。
扩充性:
系统应易于升级和功能扩充。
在系统容量、能力、处理能力等方面具有可扩充性,可以方便地进行产品的升级换代,不仅能够保护学校的投资,而且具有较高的综合性能价格比。
可靠性:
应该在系统结构、设计方案、设备选择、技术服务等方面综合考虑,保证系统能够无故障运行。
同时系统必须具有出错处理、容错能力、冗余备份功能。
实用性:
整个网络的功能应完全立足于学校管理和教学的需求,保证系统信息处理和传递的安全、可靠、及时、准确。
安全性:
网络系统必须具有高度的安全性和保密性,通过设置分级保护、控制数据存取的权限,防止对系统的非法侵入。
可维护性:
提供有效的网络管理和系统监控、调试、诊断技术,保证系统维护管理简明、方便、有效。
可操作性:
必须提供友好的中文界面,采用基于Windows的GUI界面,操作简便,容错性强,易于管理和维护。
经济性:
在充分满足系统应用功能需求和系统性能、并保证系统安全可靠性的前提下,选用物美价廉、经济实用的技术和产品。
设计目标:
要求完全建成以后能实现除现在网络上的一般功能:
如E-mail、FTP、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询外,还应包括视频点播(VOD)、网络电话(IP电话)等功能,是一个高速多媒体互联网,实现整个校园系统的资源共享。
2.1带宽
武威一中对计算机网络的应用主要是多媒体教学和办公自动化,通过计算机网络这种先进的技术手段,实施多媒体、交互式、内容丰富、形象生动的教学,以培养出能适应社会需求的具有专业技能的人才。
根据这一实际应用情况,我们分析在网络上传输的信息是音频、视频、数据相结合的信号,这样对网络的带宽需求就较高,故采用1000Mbps作为主干网带宽,以保证网络满足用户应用的需求。
根据各信息点所属部门不同,可将整个校园网分割成几个以100M交换机为核心的子网,每个子网内由100M交换机组提供数目不等的交换端口,所有工作站都通过100M网卡连接到交换机组上,使桌面带宽达到100Mbps。
2.2子网与VLAN规划
1.基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2.基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3.基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
2.3实现的信息服务
能够利用FTP实现教学资料的共享,利用Internet实现对最新教学、科研资料的获得与学习。
利用网络实现对学生的学习和自动管理,实现办公自动化。
提高教学质量和办事效率。
另外,在学习之余利用Internet实现娱乐,以及其它的基本服务,例如www服务、e-mail服务等。
2.4应用程序
局域网中的应用程序分为系统应用程序和用户应用程序。
根据学校建网的目的,该局域网应配备如下系统应用程序:
1)FTP服务器应用程序及相关协议
2)Web服务器应用程序及相关协议
3)E-Mail服务器应用程序及相关协议
4)数据库服务器应用程序及相关协议
5)DNS服务器应用程序及相关协议
6)应用程序服务器应用程序及相关协议
7)备份服务器应用程序及相关协议
针对该局域网要实现信息交流、视频教学、办公自动化等功能,应配备如下用户程序:
1)制作软件
2)多媒体视频点播软件
3)Office软件实时聊天工具
4)多媒体教学及课件
2.5存储系统分析
校园网内需要存储的数据量是相当大的。
其中包括:
1)学生信息,包括学生个人信息,学生成绩信息,学生缴费信息等;
2)教师信息
3)图书馆书目信息
4)学校设备信息
5)共享软硬件的文件信息
数据是网络的灵魂。
如果不采取适当的数据保护措施,一旦出现故障,系统将有可能完全瘫痪。
故必须采取数据备份措施。
2.5.1网络信息量估算:
假定该校园网的用户大量达到3000户,最大满负荷时用户的使用率为35%,即由1000个用户同时上线,其中2/3为100Mbps桌面速率,1/3为10Mbps桌面速率,以80%线速利用率且为全交换方式运行,信息模式为多点访问一点,如网络中心,按这种突发性最恶劣的情况考虑,计算出的网络最大信息流量为
(1000*2/3*100+1000*1/3*10)*80%=57(Gbps)
如果今后学校的发展,网络按照4500台计算机估算的话,那么现在的核心设备的配置应为57Gbps并可扩充至80Gbps。
当然,实际上运行的网络流量由于诸多因素将达不到这种情况计算出来的树值,但在工程上可以参考以上估算出来的数值选择网络设备。
系统集成费按网络工程总造价的10.15%计算,网络总造价为150万元左右。
2.6系统及数据安全分析
鉴于学校自身的特点,系统的可靠性及安全性尤其重要,遵循本系统设计原则中“可靠性”“安全性”两点,制定出以下细则:
1.系统的安全性
由于学校自身特点,系统必须具有较高的安全保密性能,本系统应针对不同的对象、环境、防止非法侵入和机密泄露,避免灾难性事件地发生。
2.环境安全性
环境安全性主要是指网络、微机所在环境的安全性,所以在主机房的设计方面一定要在UPS电源保障、通风设备、消防设备、烟火预警、监控等方面要考虑周全,按照相关国家标准进行设计,避免灾难性事件地发生。
3.设备安全性
所选用的网络设备,服务器、微机设备,其质量必须稳定可靠、服务过硬,并能通过美国FCCCLASSB级标准,尽可能地减少电磁泄漏量,以保证数据和人体的安全。
4.应用系统设计安全性
所选的网络操作系统、数据库开发平台工具必须能够提供多级安全机制,如多级口令、数据恢复等。
5.系统的可靠性
对于学校来说,一个系统的正常运行尤为重要一旦遇到关键时刻系统出现故障率小,便于维护。
在系统结构设计中应充分考虑到网络的负载,尽可能避免网络瓶颈,以及对故障点的隔离作用。
物理结构上采用星型拓扑结构,其单点的故障不会对其他的工作点产生影响。
对于数据的安全可靠性,可以采用如服务器镜像、RAID5磁盘阵列、联机磁带备份等手段来提高网络数据的可靠性。
2.7网间隔离
信息技术的广泛应用及信息资源共享和信息安全问题之间的矛盾日益突出。
典型的现实情况是,一个部门从自身安全角度考虑,把内部网络与互联网物理断开,但与此同时,从开展业务的需求出发,与其他部门的内部网络连接越来越多,于是,有的部门将内部网络划分为不同安全等级的域,即把内部网络进一步划分为内网和外网,将重要数据和系统置于内网,仅供内部人员授权访问,将与其他部门联网的系统置于外网,形成一种“外网受理、内网处理”的格局,有效保护核心系统和汇总的重要信息的安全,符合国家等级保护的原则。
不过,这并不意味着问题就解决了,随之而来的困难是,原来同处一个网络域的信息系统之间有着千丝万缕的联系,系统交互的数据类型复杂(包括数据报文、数据文件、影像文件和数据库表等)、实时性要求高、时延要求低,需要交换的数据量大,而且是不同等级安全域的数据交换。
这便是网间隔离的问题。
为维护校园的正常教学秩序,必须对教职工和学生的网上操作加以限制。
如:
在多媒体教室上课期间,要对教学子网和Internet实施网间隔离。
学校的部门与部门之间,在保证必要的通信之外,也要对其各自的私数据实施隔离。
第3章拓扑图及方案整体描述
3.1主干网传输方案设计
校园网建设拟采用千兆位以太网技术。
在实际构筑中采用三层结构。
最下层到桌面为10Mb/s以太网,部分可达到100Mb/s;
第二层为楼内各楼层到二级交换机,由100Mb/s的交换式快速以太网构成;
各楼到网络中心(即主干)为以光缆为介质的千兆位以太网。
一级交换设备具有ATM端口,二级交换设备支持ATM端口模块,可以方便的向ATM网过度。
校园网在设计上应具备以下特性才能够满足需求,并保证建成后的网络在一个较长的时间内具有较强的可用性和一定的先进性。
1.高性能与技术先进性
校园网网络系统要求具有较高的数据通信能力和较大的带宽;
并在主干网上提供较强的可扩展性。
为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。
2.高可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。
在网络骨干上要提供备份链路,提供冗余路由。
在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小。
3.安全性
校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,应该采用一定手段控制网络的安全性,以保证网络正常运行。
网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。
网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。
4.可管理性
强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理;
并且能够实现计费管理。
5.可扩充性
随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;
随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证现有的投资。
6.VLAN划分
根据校园网的实际需求,属于同一部门的工作人员可能在不同的建筑物中,但需要在一个逻辑子网内。
网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。
因此在网络主干中要支持三层交换及VLAN划分。
在整个网络中使用虚拟网技术,以提高网络的安全性和灵活性。
7.多层交换技术
通过三层交换技术,特别是基于硬件的第三层交换,可以充分地利用交换机的包处理能力,实现真正的线速交换。
8.对多媒体应用的支持
校园网要求具有数据、图像、语音等多媒体实时通讯能力;
并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟。
整个网络在服务质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。
3.2Internet接入方案
3.2.1网络中心拓扑结构图如图3.1所示
图3.1网络中心拓扑结构图
3.2.2实验楼交换节点拓扑图如图3.2所示
图3.2实验楼交换节点拓扑图
3.3远程访问支持
远程登录协议的目的是提供一个全面的、双向的、面向8个比特字节的通信工具,其主要目标是提供终端设备与面向进程接口的标准方法,Telnet是应用层的协议,采用客户/服务器模式工作的,Telnet不仅允许用户登录到远端主机上,还允许用执行远端主机的命令,这样用户就能以极小的网络资源代价完成大型的网络应用。
3.4子网划分与VLAN设定
子网划分类别及其详细信息如表3.1所示:
表3.1子网划分类别及其详细信息表
序号
子网名称
包含的信息点
1
服务器子网
连接Internet的所有服务器,为真实IP地址
2
网络设备子网
除路由器外所有的网络设备
3
办公室子网
办公楼、图书馆和实验楼的办公室计算机
4
多媒体子网
多媒体教室计算机
5
教室子网
所有教室计算机
6
电子阅览室子网
电子阅览室计算机
7
图书馆子网
学生阅览室和借书室计算机
8
计算机实验室1子网
计算机实验室1的计算机
9
计算机实验室2子网
计算机实验室2的计算机
10
计算机实验室3子网
计算机实验室3的计算机
11
计算机实验室4子网
计算机实验室4的计算机
12
计算机实验室5子网
计算机实验室5的计算机
13
学生宿舍A子网
学生宿舍A的200台计算机
14
学生宿舍B子网
学生宿舍B的200台计算机
15
教工宿舍子网
教工宿舍的130台计算机
学校子网划分示意图如图3.3所示:
图3.3学校子网划分示意图
学校校园网接入CERNET,可以向CERNET申请IP地址和域名。
在校园网系统集成之前需要对全校的IP地址分配作充分的规划,对每台服务器、PC机网络设备的端口IP地址都要分配。
学校申请的IP地址为4个C类地址,为202.28.100.0--202.28.103.255,域名为,主DNS
服务器IP地址为202.28.100.10,辅DNS服务器IP地址为202.28.100.11。
学校设备IP地址分配如表3.2所示:
表3.2学校设备IP地址分配表
主机名/类型
设备名称
IP设置
注释
CiscoCatalyst4507
CiscoCatalyst4507R交换机
IP:
192.168.2.1/24
网关:
192.168.2.254
网管IP
CiscoCatalyst3550
CiscoCatalyst3550交换机
192.168.2.2/24
CiscoCatalyst3550S
192.168.2.3/24
CiscoCatalyst3550B
192.168.2.4/24
A
计费网关
192.168.2.5/24
D
主DNS服务器
202.28.100.10/24
辅DNS服务器
202.28.100.11/24
Web服务器
202.28.100.12/24
M
邮件服务器
202.28.100.13/24
FTP服务器
202.28.100.14/24
认证管理服务器
202.28.100.15/24
数据库服务器
202.28.100.16/24
3.5网间隔离方案设计
1.防火墙的部署
在Internet与校园网内网之间部署了一台瑞星防火墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
2.入侵检测系统的部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星入侵检测系统RIDS-100。
将RIDS-100入侵检测引擎接入Cisco中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
3.瑞星网络版杀毒产品的部署
为了实现在整个局域网内病毒的防护,我们在可能感染和传播病毒的地方采取相应的防病毒手段。
实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。
3.6存储方案
浪潮光纤存储阵列NS8800D,采用双机热备份方案,作为该校网络存储SAN结构里的一个核心部分,在整个校园网的存储方面起到了决定性的作用。
NS8800D是双控制器光纤磁盘阵列,内部采用无线缆连接设计,无单点故障,具有较高的可用性。
通过交换机可以实现前端服务器对存储设备的共享,完全实现了存储集中和灵活应用,节省了存储空间。
整个存储系统基于2Gb的带宽设计,在性能上完全可以满足当前系统的存储需求。
NS8800具有多主机接入能力,可以支持4台服务器的多主机共享,并且扩容能力突出,最多可扩展7个JBOD从而达到16TB的存储容量。
保证了系统的可扩展性,为今后数据的增长提供了稳定可靠的平台。
通过该系统,图书馆的资源、信息可以方便的被不同的网络教学教室调用,满足电子化教学的需求;
同时网络用户还可以通过服务器到英特网上寻求更多的图书信息、学习资料等。
3.7设备选型
1.服务器选型
根据根据学校的实际应用,配服务器9台,用途如下:
(1)主服务器2台:
装有Windows2000server操作系统,负责整个校园网的管理,教育资源管理等。
其中一台服务器装有DNS服务,负责整个校园网中各个域名的解析。
另一台服务器装有电子邮件系统,负责整个校园网中各个用户的邮件管理。
WWW服务器1台:
装有Unix操作系统,负责远程服务管理及WEB站点的管理。
计费服务器一台:
负责学生宿舍和公寓上网信息费的计费管理。
备分服务器:
负责校园网关键数据备分。
电子阅览服务器1台:
多媒体资料的阅览、查询及文件管理等;
图书管理服务器1台:
负责图书资料管理。
教师多媒体备课服务器1台:
教师备课、课件制作、资料查询等文件管理以及Proxy服务等。
多媒体光盘服务器1台:
负责多媒体光盘及视频点播服务。
选择HP公司的AlphaServerES47system服务器作为系统的网络服份服器,该服务器具有以下特点:
快速恢复引擎,全面差错管理,环境监视。
积级防错。
高级容错:
N+1分布数据保护、在线备份磁盘、控制器双工、可带电热插拔。
自动错误恢复:
硬件及软件能将重大服务器差错报告管理员并识别错供智能无人管理的错误恢复,以缩短故障时间、通电错误记录。
该款产品以中档服务器的价格提供了大型机的速度、功率和性能,能够支持高性能技术计算、电信和电子商务领域的关键资源密集型应用。
凭借多达4枚833MHzAlphaEV68或667MHzEV6764位处理器,它能够以惊人的速度处理最艰巨的任务,同时其8MB双数据速率高速缓存还可使高速缓存的尺寸和带宽成倍增长。
其出色的可靠性源自热插拔RAID存储、高级集群支持,以及冗余热插拔电源和冷却系统。
(2)选择联想万全R350服务器作为数字图书馆和多媒体教学服务器.
适用范围:
万全R350服务器是一款性能卓越的服务器精品,面向企业用户的关键应用以及行业用户的重要应用,易于部署为邮件服务器、Proxy服务器、WEB服务器、数据库服务器以及其他应用服务器等,适合于对服务器系统可用性、可靠性均有高要求的场合。
主要特点:
万全R350服务器64位四核英特尔®
至强TM处理器处理器,二级缓存8M,系统处理性能大副提升;
超大容量的ECCDDR内存扩展能力,在保证了数据在系统各部分间准确无误的传递处理的同时,为提升应用系统运行速度留下很大空间;
支持功率负载平衡及可故障切换的热插拔冗余电源,故障电源更换简便
升级会员 