模拟学校网规划说明书文档格式.docx
《模拟学校网规划说明书文档格式.docx》由会员分享,可在线阅读,更多相关《模拟学校网规划说明书文档格式.docx(25页珍藏版)》请在冰豆网上搜索。
3.4子网划分与VLAN设定11
3.5网间隔离方案设计14
3.6存储方案14
3.7设备选型15
3.8软件20
3.9信息服务方案20
3.10综合布线方案21
第4章网络管理22
第5章系统主要设备报价23
第6章网络测试及协议数据包分析24
参考文献27
课程设计总结28
第1章学校描述
学校,在校生人数≥4000~4500;
占地面积≥l50亩~200亩。
主要建筑有8栋,分别为办公楼、教学楼、图书馆、实验楼、教工宿舍楼、学生宿舍A和B。
网络总造价为50万~70万元。
学校楼层分布结构图如图1所示:
图1学校平面示意图
学校的信息表分布位置介绍,如表1所示:
表1信息点分布表
大楼
楼层
信息点
信息点合计
到网络中心距离
图书馆
1:
学生阅览室
6
76
在同一栋楼内
2:
电子阅览室
50
3:
网络中心
10
4:
借书室
4
5:
办公室
教学楼
教室
12
94
100
多媒体教室
3~5:
32
实验楼
5
260
280
计算机实验室
150
办公楼
1~5:
40
220
学生宿舍A
200
300
学生宿舍B
350
教工宿舍楼
130
合计
1000
第2章需求分析
2.1网络现状与需求
有许多学校很早就开展了计算机辅助教学,并建立了大规模的计算机实验室,学校拥有计算机上千台,但由于目前各个系统都是自己组建自己的内部网络,采用的软件平台、硬件平台和网络结构各不相同,因此随着学校网络发展和各个学校之间互联网络的建成,现有的网络结构与水平已经不能适应高速发展的信息网络建设,主要表现在:
1.由于网络应用系统是各系根据本系自己的教学、实验、工作的需求组建的,因而各种信息既有大量的冗余,又有相互冲突。
同时由于各套网络系统的开发单位不同,技术水平参差不齐,因此信息的规范化程度低,各部门信息无法共享,交互操作的难度很大。
2.各系、各工作终端有自己的传输线路,传输速率不等,速率低且安全性、可靠性差,不利于统一管理,随着工作终端的增多,此问题将日益突出。
3.由于当时组建网络时都是由本专业自己开发,因此存在多种机型,多种操作系统,多种协议,网络异构等情况。
所以很难实现资源共享、系统互访、统一管理,对于后期的开发难度很大,这将影响实现办公自动化。
4.由于大部分系统没有实现客户机/服务器模式。
因此系统远程互访时,需要较大的带宽。
5.由于校园内计算机之间对Internet都只能通过自己使用拨号网络方式连接,尽管目前学校已经拥有了自己的Internet网络出口于自己的IP地址,这些优势资源大家还是不能实现共享。
6.随着多媒体教学、远程教育、图像监控等业务的开展,校园网本身的业务范围不断扩大,对学校的网络性能提出了新的要求。
由于现有应用系统存在上述缺陷,而实际发展需求不可能在短时间内对所有网络系统进行更换,因此必须对目前的现状和需求进行科学分析,制定出全局网络的规划,既能满足发展,又要容纳现有系统,具体要求如下:
1.不对目前各网络做大规模修改,各系自己的网络系统应能平滑地过渡到整个校园网中。
2.提供各种灵活多变的联网方式,系统要有一定的壳扩容性和可扩展性。
3.提供高速平台与足够的带宽,为将来的OA系统、图像系统、Internet/Intranet、远程教学、多媒体教学应用等系统提供一条可靠、健壮的信息高速公路.
4.必须对整个校园网进行有效地集中资源管理和网络管理。
5.可以为校园内各个系统之间提供邮件服务、BBS服务、文件服务、WEB服务等各种服务。
2.2子网与VLAN规划
2.2.1基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2.2.2基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
2.2.3基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
2.3实现的信息服务
能够利用FTP实现教学资料的共享,利用Internet实现对最新教学、科研资料的获得与学习。
利用网络实现对学生的学习和自动管理,实现办公自动化。
提高教学质量和办事效率。
另外,在学习之余利用Internet实现娱乐,以及其它的基本服务,例如www服务、e-mail服务等。
2.4存储系统分析
中心交换机必须具有大型数据库,各系分交换机具有中小型数据库,用于存储各教研室教学资料。
中心交换机进行对各系的教学资料进行备份,以防发生意外。
2.5系统及数据安全分析
校园网一旦建成,学校必须安排专业人员进行网络维护,确保各种重要的教学资料的安全,确保网络的畅通。
防止各种恶意的黑客攻击,保证教学秩序顺利进行,从而保证教学质量。
2.6QoS
QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。
在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。
但是对关键应用和多媒体应用就十分必要。
当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
2.7网间隔离
网络隔离,英文名为NetworkIsolation,主要是指把两个或两个以上可路由的网络(如:
TCP/IP)通过不可路由的协议(如:
IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。
网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。
网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换。
由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。
因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。
而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破,既便有所改进也必须付出巨大的成本,和“适度安全”理念相悖。
第3章拓扑图及方案整体描述
3.1主干网传输方案设计
校园网建设拟采用千兆位以太网技术。
在实际构筑中采用三层结构。
最下层到桌面为10Mb/s以太网,部分可达到100Mb/s;
第二层为楼内各楼层到二级交换机,由100Mb/s的交换式快速以太网构成;
各楼到网络中心(即主干)为以光缆为介质的千兆位以太网。
一级交换设备具有ATM端口,二级交换设备支持ATM端口模块,可以方便的向ATM网过度。
按照校方提出的需求,作出相应的解决方案:
a)目前学校已经有100Mb/s光纤接入,可配备具有第三层交换功能的交换机,通过划分VLAN提高网络性能。
b)采用千兆主干,主干采用1000Base-SX千兆光纤。
百兆交换机采用CiscoCatalyst3550系列和GES-1024系列。
c)防火墙,使用软件(winroute)或者硬件防火墙(天网),推荐使用软件防火墙。
d)在局域网内使用私有IP,防火墙使用NAT或者Proxy方式连接Internet。
e)使用千兆光纤的主干使用多芯光纤,提供冗余。
同时与服务器板上百兆网卡配置为冗余方式,若千兆网卡故障了,自动切换到百兆网卡,保证网络服务
f)利用MicrosoftSQLServer2000操作系统提供的IIS5.0构件学校网站,并提供校园个人主页服务。
校园网在设计上应具备以下特性才能够满足需求,并保证建成后的网络在一个较长的时间内具有较强的可用性和一定的先进性。
3.1.1高性能与技术先进性
校园网网络系统要求具有较高的数据通信能力和较大的带宽;
并在主干网上提供较强的可扩展性。
为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。
3.1.2高可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。
在网络骨干上要提供备份链路,提供冗余路由。
在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小。
3.1.3安全性
校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,应该采用一定手段控制网络的安全性,以保证网络正常运行。
网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。
网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。
3.1.4可管理性
强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理;
并且能够实现计费管理。
3.1.5可扩充性
随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;
随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证现有的投资。
3.1.6VLAN划分
根据校园网的实际需求,属于同一部门的工作人员可能在不同的建筑物中,但需要在一个逻辑子网内。
网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。
因此在网络主干中要支持三层交换及VLAN划分。
在整个网络中使用虚拟网技术,以提高网络的安全性和灵活性。
3.1.7多层交换技术
通过三层交换技术,特别是基于硬件的第三层交换,可以充分地利用交换机的包处理能力,实现真正的线速交换。
3.1.8对多媒体应用的支持
校园网要求具有数据、图像、语音等多媒体实时通讯能力;
并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟。
整个网络在服务质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。
3.2Internet接入方案
校园网络拓扑图如图2所示:
图2校园网络拓扑图
3.3远程登录协议
远程登录协议的目的是提供一个全面的、双向的、面向8个比特字节的通信工具,其主要目标是提供终端设备与面向进程接口的标准方法,Telnet是应用层的协议,采用客户/服务器模式工作的,Telnet不仅允许用户登录到远端主机上,还允许用执行远端主机的命令,这样用户就能以极小的网络资源代价完成大型的网络应用。
3.4子网划分与VLAN设定
子网划分类别及其详细信息如表2所示:
表2子网划分类别及其详细信息表
序号
子网名称
包含的信息点
1
服务器子网
连接Internet的所有服务器,为真实IP地址
2
网络设备子网
除路由器外所有的网络设备
3
办公室子网
办公楼、图书馆和实验楼的办公室计算机
多媒体子网
多媒体教室计算机
教室子网
所有教室计算机
电子阅览室子网
电子阅览室计算机
7
图书馆子网
学生阅览室和借书室计算机
8
计算机实验室1子网
计算机实验室1的计算机
9
计算机实验室2子网
计算机实验室2的计算机
计算机实验室3子网
计算机实验室3的计算机
11
计算机实验室4子网
计算机实验室4的计算机
计算机实验室5子网
计算机实验室5的计算机
13
学生宿舍A子网
学生宿舍A的200台计算机
14
学生宿舍B子网
学生宿舍B的200台计算机
15
教工宿舍子网
教工宿舍的130台计算机
学校子网划分示意图如图3所示:
学校校园网接入CERNET,可以向CERNET申请IP地址和域名。
在校园网系统集成之前需要对全校的IP地址分配作充分的规划,对每台服务器、PC机网络设备的端口IP地址都要分配。
学校申请的IP地址为4个C类地址,为202.28.100.0--202.28.103.255,域名为,主DNS
服务器IP地址为202.28.100.10,辅DNS服务器IP地址为202.28.100.11。
学校设备IP地址分配如表3所示:
表3学校设备IP地址分配表
主机名/类型
设备名称
IP设置
注释
CiscoCatalyst4507R
CiscoCatalyst4507R交换机
IP:
192.168.2.1/24
网关:
192.168.2.254
网管IP
CiscoCatalyst3550J
CiscoCatalyst3550交换机
192.168.2.2/24
CiscoCatalyst3550S
192.168.2.3/24
CiscoCatalyst3550B
192.168.2.4/24
A
计费网关
192.168.2.5/24
D
主DNS服务器
202.28.100.10/24
辅DNS服务器
202.28.100.11/24
Web服务器
202.28.100.12/24
M
邮件服务器
202.28.100.13/24
FTP服务器
202.28.100.14/24
认证管理服务器
202.28.100.15/24
数据库服务器
202.28.100.16/24
3.5网间隔离方案设计
1防火墙的部署
在Internet与校园网内网之间部署了一台瑞星防火墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
2入侵检测系统的部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星入侵检测系统RIDS-100。
将RIDS-100入侵检测引擎接入Cisco中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
3瑞星网络版杀毒产品的部署
为了实现在整个局域网内病毒的防护,我们在可能感染和传播病毒的地方采取相应的防病毒手段。
实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。
3.6存储方案
浪潮光纤存储阵列NS8800D,采用双机热备份方案,作为该校网络存储SAN结构里的一个核心部分,在整个校园网的存储方面起到了决定性的作用。
NS8800D是双控制器光纤磁盘阵列,内部采用无线缆连接设计,无单点故障,具有较高的可用性。
通过交换机可以实现前端服务器对存储设备的共享,完全实现了存储集中和灵活应用,节省了存储空间。
整个存储系统基于2Gb的带宽设计,在性能上完全可以满足当前系统的存储需求。
NS8800具有多主机接入能力,可以支持4台服务器的多主机共享,并且扩容能力突出,最多可扩展7个JBOD从而达到16TB的存储容量。
保证了系统的可扩展性,为今后数据的增长提供了稳定可靠的平台。
通过该系统,图书馆的资源、信息可以方便的被不同的网络教学教室调用,满足电子化教学的需求;
同时网络用户还可以通过服务器到英特网上寻求更多的图书信息、学习资料等。
3.7设备选型
1.确定交换机数量
由于学校为中等规模,采用三层结构设计,各层交换机数量如下:
核心交换机,只需要一台。
汇聚层交换机,由于网络中心位于图书馆,因此图书馆不需要汇聚层交换机,其余三栋楼各一台,共三台。
接入层交换机,选择24口100Base-T交换机设综合布线交换机柜中信息点数为N则该柜中所需交换机的数量为N/24的整数加一。
由于电子阅览室、多媒体教室和计算机实验室内部的局域网已建成因此不需要再增加交换机。
每个房间按一个信息点算。
网络中心的十个信息点和电子阅览室的接入点直接连接到核心交换机上,因此图书馆需要连接到接入层交换机的信息点数为16,所以只需要1台交换机。
教学楼的多媒体教室直接连接教学楼的汇聚层交换机,所以,连接接入层交换机的信息点是44个,需要2台接入层交换机。
试验楼共有5个实验室,每个实验室用2个信息点上连共需10个上连信息点,加上其他信息共20个信息点,直接连接到汇聚层交换机上。
办公楼有40个信息点,可将24个信息点连接接入层交换机,将重要部门信息点连接汇聚层交换机。
全校所需交换机数量如表4所示。
表4学校交换机数量及分布表
核心层交换机
汇聚层交换机
接入层交换机
备注
存放在网络中心
存放在多媒体教室
试验楼
存放在2层
存放在3层
存放在1层控制室
2.核心交换机选型
由于学校的规模和应用需求,主干为千兆、百兆到桌面,所以选用核心交换机使用CiscoCatalyst4507R.。
学校核心层交换机的配制如表5所示。
表5学校核心层交换机的配制
产品
数量
描述
WS-4507R
Catalyst4500Chassis(7-slot),fan,nop/s,RedSupCapable
PWR-C45-1000AC
Catalyst45001000WACPowerSupply(DataOnly)
PWR-C45-1000AC/2
Catalyst45001000WACPowerSupplyRedundant
CAB-7KACA
ACPowerCord(Australia)
CAB-7KACE
Cisco4500SeriesACPowerCord,Europe
WS-X4515
Catalyst4507Supervisor
Console(RJ-45),Mgt(RJ-45)(Spare)
SL3E-12119EW
CiscoIOSEnhancedL3Cat4500SUP3/4(OSPF,IGRP,EIGRP,IS-IS)
WS-X4148-RJ
Catalyst400010/100AutoModule,48-Ports,6Ports(GBIC)
WS-G5484
100Base-SXShortWavelenthGBIC(Multimodeonly)
WS-G5483
1000Base-TGBIC
CCW-6.1
CiscoWorksforWindows6.198/NT/2000
·
CISCOCatalyst4507R基本资料
产品类型:
快速交换机
上市时间:
产品型号:
思科WS-C4507R交换机
CISCOCatalyst4507R硬件规格
接口数目:
24
堆叠:
可以
接口类型:
模块化插槽数:
6
CISCOCatalyst4507R网络与软件
网管功能:
VLAN支持:
支持
端口聚合数:
24-50
升级会员 