计算机网络系统设计方案重庆三峡学院文档格式.docx
《计算机网络系统设计方案重庆三峡学院文档格式.docx》由会员分享,可在线阅读,更多相关《计算机网络系统设计方案重庆三峡学院文档格式.docx(31页珍藏版)》请在冰豆网上搜索。
重庆三峡学院现分为沙龙校区、百安坝校区两个校区,共有教学楼、办公楼6栋,宿舍楼共计20余栋,食堂大楼两栋,图书馆大楼两栋,体育馆一个,后勤公司一个。
校园网搭建要将所有栋建筑纳入局域网,其中原有计算机教室局域网将并入整个校园网络,实现全校并入校园网。
根据校方要求,总的信息点将达到3000个左右。
信息节点的分布比较分散。
将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂、体育馆、后勤等。
主控室设在第一教学楼的三层,图书馆、实验楼和教学楼为信息点密集区。
沙龙校区:
第一教学楼:
1—6楼为多媒体教室、普通教室混合。
每间教室为一个信息点(需要联网与监控设备的安装,监控设备线路预留)。
6-9楼为计算机机房,每间教室设2个信息点(需要联网与监控设备的安装,监控设备线路预留)。
第一教学楼办公区:
每个办公室为一个信息点(需要联网与监控设备的安装,监控设备线路预留)。
第二教学楼:
每间教室为一个信息点(需要监控设备的安装,监控设备线路预留)。
第二教学楼办公区:
实验楼(S教):
有多媒体教室于与实验室90余间教室,每个教室为一个信息点(需要联网与监控设备的安装,监控设备线路预留)。
第四教学楼:
有普通教室20余间,每间教室为一个信息点(需要监控设备的安装,监控设备线路预留)。
青砖楼、红砖楼:
共有办公室60余间,每个办公室为一个信息点(需要监控设备的安装,监控设备线路预留)。
百安校区:
(暂时不涉及)
需求功能
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
2.2建网目标
*建立一个基于校园Intranet的信息管理和应用的网络系统,并提供相应的各种服务。
*共享网络上各种软、硬件资源,快速、稳定地传输各种信息,并提供有效的网络信息管理手段。
*采用开放式、标准化的系统结构,以利于功能扩充和技术升级。
*能够与外界进行广域网的连接,提供、享用各种信息服务(与各级教育信息中心相连、与国内外著名站点相连)。
*具有完善的网络安全机制。
*能够与原有的计算机局域网络和应用系统平滑地连接,调用原有各种计算机系统的信息。
*开辟一个专供在校大学生的BBS论坛专栏,让学生们之间有一个自己的交流平台,加强学习氛围的建设与学校科研风气。
3.网络系统设计
3.1网络系统设计原则
采用先进成熟的技术和设计思想,运用先进的集成技术路线,以先进、实用、开放、安全、使用方便和易于操作为原则,突出系统功能的实用性,尽快投入使用,发挥较好的效能。
本系统在软件配置和硬件设备,整个系统设计上依照以下原则确定:
1.先进性与现实性
作为中国教育科研网的一部分,重庆三峡学院的核心计算机网络——重庆三峡学院校园网网络系统处理的信息量将会十分庞大,要求计算机网络有很高的工作效率。
而且随着教学科研任务工作的迅速系统面临的任务也愈来愈艰巨。
所以,我们设计的网络在技术上必须体现高度的先进性。
技术上的先进性将保证处理数据的高效率,保证系统工作的灵活性,保证网络的可靠性,也使系统的扩展和维护变得简单。
我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现某重庆三峡学院校园网网络系统的先进性。
在考虑系统先进性的同时,我们也会考虑实效、兼顾现实,建设不仅先进而且合适的系统,在系统建设中坚持“边实施,边发展,高起点,早收益”的原则。
由于重庆三峡学院大部分还处于规划阶段或基础建设阶段,因此我们建议实施分期建设的方法,先根据目前的需要建设第一期工程,但为以后的建设提供一定的可扩展空间。
2.系统与软件的可靠性
在重庆三峡学院校园网网络系统设计中,很重要的一点就是网络的可靠性和稳定性。
在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,是重庆三峡学院校园网网络系统所必须考虑的。
在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。
我们将从网络线路的冗余备份及信息数据的多种备份等方面保证重庆三峡学院校园网网络系统的可靠性。
3.系统安全性与保密性
随着计算机技术的发展,尤其是网络和网络间互联的规模的扩大,信息和网络的安全性日益受到重视。
面临十分严肃的安全性挑战。
在网络设计时,将从内部访问控制和外部防火墙两方面保证重庆三峡学院校园网网络系统的安全。
系统还将按照国家相关的规定进行相应的系统保密性建设。
4.易管理与维护
重庆三峡学院校园网网络系统的节点数目大,分布范围广,通信介质多种多样,采用的网络技术也较先进,尤其引入交换式网络和虚拟网之后,网络的管理任务加重了,如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。
用图形化的管理界面和简洁的操作方式,可以提供强大的网络管理功能,使网络日常的维护和操作变得直观、简便和高效。
5.易扩充性
随着教学科研的快速发展,重庆三峡学院校园网网络系统面临的任务将愈来愈艰巨,愈来愈复杂。
为了适应这个变化和日新月异的计算机技术的发展,我们网络十分注重扩充性。
无论是网络硬件还是系统软件,都可以方便的扩充和升级。
3.2主要网络设备的选择原则
1.设备基础
作为整个校园网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。
这是网络系统稳定运行的最基本条件。
最好是经过相当长时间,在世界范围内被广泛应用的网络产品。
为此,我们建议选择国际知名厂商的产品。
2.技术先进
网络设备仅仅具有安全、稳定和可靠的特点是不够的。
作为高科技的产品,还应该具有的特点就是技术的先进性。
我们所选择的网络设备应该采用当今较先进的技术,能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。
同时,在网络规模进一步扩大,该设备不能承担繁重的负荷时,能够降级使用。
3.便于扩展
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。
最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
4.管理和维护方便
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。
所以,我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。
3.3网络设计方案
3.3.1网络拓扑结构
3.3.2网络地址分配
学校入网的计算机台数接近1万,规模庞大,选择采用172.16.0.0这个B类地址的网段,并划分254个子网(子网掩码为255.255.255.0),以方便管理。
学生宿舍每层楼为一个子网;
教师办公室酌情考虑;
图书馆之类的重要单位则独占若干网段,不与他人混用。
学生宿舍楼中IP地址有两种分配方式:
动态分配和静态分配。
动态分配:
由DHCP(DynamicHostConfigurationProtocol,DHCP)动态主机配置协议提供相应服务。
该协议允许服务器向客户端动态分配IP地址及相应的配置信息。
通常,DHCP服务器向客户端提供的基本信息有IP地址、子网掩码、默认网关。
除此之外,DHCP还可以向客户端提供其他信息,如域名服务(DNS)服务器的地址等。
静态分配:
每台主机的IP地址、子网掩码、默认网关以及首选DNS服务器都需要手工设置。
3.3.3安全设计
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;
同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
一、技术解决方案
1、防火墙
安装位置:
局域网与路由器之间;
WWW服务器与托管机房局域网之间;
局域网防火墙作用:
(1) 实现单向访问,允许局域网用户访问INTERNET资源,但是严格限制INTERNET用户对局域网资源的访问;
(2) 通过防火墙,将整个局域网划分INTERNET,DMZ区,内网访问区这三个逻辑上分开的区域,有利于对整个网络进行管理;
(3)局域网所有工作站和服务器处于防火墙地整体防护之下,只要通过防火墙设置的修改,就能有限绝大部分防止来自INTERNET上的攻击,网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞;
(4)通过防火墙的过滤规则,实现端口级控制,限制局域网用户对INTERNET的访问;
(5)进行流量控制,确保重要业务对流量的要求;
(6)通过过滤规则,以时间为控制要素,限制大流量网络应用在上班时间的使用。
托管机房防火墙的作用:
(7) 通过防火墙的过滤规则,限制INTERNET用户对WWW服务器的访问,将访问权限控制在最小的限度,在这种情况下,网络管理员可以忽略服务器系统的安全漏洞,只需要关注WWW应用服务软件的安全漏洞;
(8)通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制。
2、入侵检测
局域网DMZ区以及托管机房服务器区;
IDS的作用:
(1) 作为旁路设备,监控网络中的信息,统计并记录网络中的异常主机以及异常连接;
(2)中断异常连接;
(3)通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP地址实施封堵。
3、网络防病毒软件控制中心以及客户端软件
局域网防病毒服务器以及各个终端
防病毒服务器作用:
(1) 作为防病毒软件的控制中心,及时通过INTERNET更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件;
(2)记录各个终端的病毒库升级情况;
(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。
防病毒客户端软件的作用:
(4) 对本机的内存、文件的读写进行监控,根据预定的处理方法处理带毒文件;
(5) 监控邮件收发软件,根据预定处理方法处理带毒邮件;
4、网络管理软件
局域网中。
网络管理软件的作用:
(1) 收集局域网中所有资源的硬件信息;
(2) 收集局域网中所有终端和服务器的操作系统、系统补丁等软件信息;
(3) 收集交换机等网络设备的工作状况等信息;
(4) 判断局域网用户是否使用了MODEM等非法网络设备与INTERNET连接;
(5) 显示实时网络连接情况;
(6) 如果交换机等核心网络设备出现异常,及时向网管中心报警;
5、反垃圾邮件系统
同邮件防病毒软件,如果软硬件条件允许的话,建议安装在同一台服务器上。
反垃圾邮件系统作用:
(1) 拒绝转发来自INTERNET的垃圾邮件;
(2) 拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网
用户的IP地址通过电子邮件等方式通报网管;
(3) 记录发垃圾邮件的终端地址;
(4) 通过电子邮件等方式通知网管垃圾邮件的处理情况。
二、安全服务解决方案
在安全服务方案中,采用不同的安全服务,定期对网络进行检测、改进,以达到动态增进网络安全性,最大限度发挥安全设备作用的目的。
安全服务分为以下几类:
1、网络拓扑分析
服务对象:
整个网络
服务周期:
半年一次
服务内容:
(1)根据网络的实际情况,绘制网络拓扑图;
(2)分析网络中存在的安全缺陷并提出整改建议意见。
服务作用:
针对网络的整体情况,进行总体、框架性分析。
一方面,通过网络拓扑分析,能够形成网络整体拓扑图,为网络规划、网络日常管理等管理行为提供必要的技术资料;
另一方面,通过整体的安全性分析,能够找出网络设计上的安全缺陷,找到各种网络设备在协同工作中可能产生的安全问题。
2、中心机房管理制度制订以及修改
中心机房
严格控制中心机房的人员进出、设备进出并及时登记设备的配置更新情况,有助于网络核心设备的监控,确保网络的正常运行。
3、操作系统补丁升级
服务器、工作站、终端
不定期
通过及时、有效的补丁升级,能够有效防止局域网主机和服务器相互之间的攻击,降低现代网络蠕虫病毒对网络的整体影响,增加网络带宽的有效利用率。
4、防病毒软件病毒库定期升级
防病毒服务器、安装防病毒客户端的终端
每周一次
通过不断升级病毒库确保防病毒软件能够及时发现新的病毒。
5、服务器定期扫描、加固
服务器
(1) 找出对应服务器操作系统中存在的系统漏洞;
(2) 找出服务器对应应用服务中存在的系统漏洞;
(3) 找出安全强度较低的用户名和用户密码。
6 、防火墙日志备份、分析
防火墙设备
一周一次
通过流量简图找出流量异常的时间段,通过检查流量较大的主机,找出局域网中的异常主机。
7、入侵检测等安全设备日志备份
入侵检测等安全设备
防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。
8、服务器日志备份
主要服务器(如WWW服务器、文件服务器等)
防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。
9、白客渗透
对INTERBET提供服务的服务器
先于黑客进行探测性攻击以检测系统漏洞。
根据最终检测报告进一步增强系统的安全性
10、设备备份系统
骨干交换机、路由器等网络骨干设备
实时
一旦核心设备出现故障,使用备件替换以减少网络故障时间。
11、信息备份系统
所有重要信息
根据网络情况定完全备份和增量备份的时间
防止核心服务器崩溃导致网络应用瘫痪。
12、定期总体安全分析报告
提供综合性、全面的安全报告,针对全网络进行安全性讨论,为全面提高网络的安全性提供技术资料。
以上是服务解决方案,众所周知,安全产品一般是共性的产品,通过安全服务,能够配制出适合本网络的安全设备,使得安全产品在特定的网络中发挥最大的效能,使得各种设备协同工作,增强网络的安全性和可用性。
当然,在网络中,不安全是绝对的,即使采取种种措施,网络也可能遭到应用某种原因无法正常运作,这时候,就需要有及时有效的技术支持,使得网络在尽可能短的时间内恢复正常。
下面将提出技术支持解决方案。
三、技术支持解决方案
技术支持是整个安全方案的重要补充。
其主要作用是在用户网络发生重要安全事件后,通过及时、高效的安全服务,达到尽快恢复网络应用的目的。
技术支持主要包括以下几方面:
1、故障排除
支持范围:
(1)用户无法访问网络(如局域网用户无法访问INTERNET);
(2)应用服务无法访问(如不能对外提供WWW服务);
(3)网络访问异常(如访问速度慢)。
作用:
一旦网络出现异常,为用户提供及时、有效的网络服务。
在最短的时间内恢复网络应用。
2、灾难恢复
设备遇到物理损害网络应用异常。
通过备品备件,快速恢复网络硬件环境;
通过备份文件的复原,尽快恢复网络的电子资源;
由此可在最短的时间内恢复整个网络应用。
3、查找攻击源
网络管理员发现网络遭到攻击,并需要确定攻击来源。
通过日志文件等信息,确定攻击的来源,为进一步采取措施提供依据。
4、实时检索日志文件
遭到实时的攻击(如DOS,SYNFLOODING等),需要及时了解攻击源以及攻击强度。
通过实时检索日志文件,可以当时存在的针对本网络的攻击并查找出攻击源。
如果攻击强度超出网络能够承受的范围,可采取进一步措施进行防范。
5、即时查杀病毒
由不可确定的因素导致网络中出现计算机病毒。
即使网络中出现病毒,通过及时有效的技术支持,在最短的时间内查处感染病毒的主机并即时查杀病毒,恢复网络应用。
6、即时网络监控
网络出现异常,但应用基本正常。
通过网络监控,近可能发现网络中存在的前期网络故障,在故障扩大化以前及时进行防治。
以上是技术支持解决方案,技术支持是安全服务的重要补充部分,即使在完善的安全体系下,也存在不可预测的因素导致网络故障,此时,需要及时、有效的技术支持服务,在尽可能短的时间内恢复网络的正常运行。
综上所述,局域网的安全由三大部分组成,涵盖设备、技术、制度、管理、服务等各个部分。
3.3.4主要网络设备介绍
1、核心交换机
锐捷网络RG-S8606¥76736
锐捷网络RG-S8606详细参数
查看:
更多信息|产品图片
基本参数
产品型号
RG-S8606
产品类型
核心交换机
背板带宽
1.6T
包转发率
L2:
595Mpps,595Mpps
外形尺寸
436.8×
508×
647.4mm
重量
≤50Kg
硬件参数
模块化插槽数
6个(2个用于管理引擎模块)
网络与软件
MAC地址表
512K
其他性能
交换容量:
0.8T
其它参数
其它
工作温度:
0-40摄氏度
存储温度:
-40~70摄氏度
工作湿度:
10-90%
存储湿度:
5-95%
数据来源:
太平洋电脑网
产品报价()
2、分中心交换机
NETGEARGS724TPS详细参数¥49000
NETGEARGS724TPS详细参数
GS724TPS
传输方式
存储转发方式
48Gbps
6.5Mpps
43×
440×
310mm
4.92Kg
接口类型
10/100/1000M电口
接口数目
24口
堆叠
可堆叠
8K
堆叠带宽:
20Gpbs
数据包缓冲内存:
2Mb
0-50℃
存放温度:
-20~70℃
最大90%,无冷凝
存放湿度:
最大95%,无冷凝
电源电压
100-240VAC,50/60Hz
最大功率
235W
3、二层交换机
思科WS-C2960-24TT-L详细参数¥3300
思科WS-C2960-24TT-L详细参数
WS-C2960-24TT-L
企业级,二层,可网管型交换机,快速以太网型
直通交换方式
4.4Gbps
236×
445×
44mm
3.6Kg
最大DRAM内存
64MB
10/100Base-T端口,10/100/1000BASE-T端口
传输速率
10M/100M/1000Mbps,10M/100Mbps
不可堆叠
支持网络标准
IEEE802.3,IEEE802.3u,IEEE802.1x,IEEE802.1Q,IEEE802.1p,IEEE802.1D,IEEE802.1s.IEEE802.1w,IEEE802.3ad,IEEE802.3z,IEEE802.3
VLAN支持
支持VLAN功能
端口聚合
支持端口聚合功能
网管功能
支持网管功能
是否支持全双工
支持全双工
100VAC-240VAC,50Hz/60Hz,1.3-0.8A
30W