网络工程课程中学校园网络建设规划与.docx
《网络工程课程中学校园网络建设规划与.docx》由会员分享,可在线阅读,更多相关《网络工程课程中学校园网络建设规划与.docx(24页珍藏版)》请在冰豆网上搜索。
网络工程课程中学校园网络建设规划与
************************
课程设计报告
************************
浙江理工大学
计算机与通信学院
2010年第二学期
计算机网络课程设计
题目:
中学校园网络建设规划
专业班级:
姓名:
学号:
指导教师:
成绩:
摘要
计算机教育在世界各国备受重视,计算机知识与能力已成为21世纪人才素质的基本要素之一。
计算机教育也被其所在的专业,文化和社会范围改变影响着。
计算机教育也变得更宽广,内容更丰富,其应用领域不断飞速增长,因此,无论在教学体系,教学内容还是在教学方法,教学手段上都必须进行深化改革,与时俱进。
校园网是利用现代网络技术、多媒体技术及Internet技术等建立起来的学校内部管理和通信应用网络。
信息化校园就是以校园网和必要的信息服务设备为载体,有丰富的共享软件和方便的工具支持,并包含有相当数量的教育信息资源,集教、学、管理、娱乐为一体的新型信息化的工作、学习、生活的网络环境。
本设计重点阐述了校园计算机网络系统的设计和实现方法,包括系统设计原则、网络技术选择、综合布线系统、网络拓扑结构及设备选型,本设计可以实现各个模块的基本功能,满足校园内部各部门的需求,最终设计成一个简洁、花费少、效果好的实用型校园网。
关键词:
校园网;IP划分;信息服务;网络规划
前言
校园网络建设是学校事业发展的重要组成部分,是学校发展的重要基础设施,是提高学校教学和科研水平必不可少的支撑环境。
建设一个综合性的校园网,除主干网的建设应该符合时代的发展要求,还应建立健全主干网上各项服务系统。
建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络,将学校的各种PC机工作站、终端设备和局域网连接起来,并与有关广域网相连;在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。
第1章企业描述
定西一中:
占地面积203亩,校区总建筑面积5.8万平方米,是省内校园面积的中学。
学校教学设备齐备,理化生实验室,微机室,电子备课室,语音室,舞蹈室等。
下设办公室,教务处,教研处,总务处,政教处,保卫处等管理机构,而各机构都下设其他结构。
把该校建设成为一个完备的校园网,应在教师备课教学、学生学习、教务管理、行政管理、图书资料管理、资源信息、对外交流等方面发挥辅助、支持功能,并通过与广域网的互联,实现校际间的信息共享及与因特网(INTERNET)的连接,通过与宽带数字卫星相联,实现远程教育,为学校的教学、管理、日常办公、内外交流等各方面提供全面、切实的支持。
校区校园规划科学满足高等教育现代化、信息化、智能化的要求。
第2章需求分析
中学建设校园计算机网络的根本动机,就是提高学校的管理效益和教学质量。
但并非只有用大量的资金投入,建设具有规模的计算机网络,才能开展学校的教育手段现代化的建设。
架设满足学校应用需求的小的局域网络、教学网络同样也能够发挥大的教育效益。
不同的学校可以根据自己的特点和实际情况,在实际的中小学校计算机网络的建设中,建立不同层次的计算机网络,换个角度说,就是有条件的学校,可以一次性投入,建设一个比较完善的校园计算机网络,而其他学校可以根据实际情况,先建一些小型的局域网络,以后逐步互连形成较为完善的校园网络。
这里所说的条件,不仅包括资金、学校规模,还包括学校计算机使用人员的计算机知识掌握程度,以及学校计算机专业人员的技术能力的强弱。
只有当应用和开发计算机网络人员的水平程度较好时,才能够充分利用所使用的计算机网络,否则,最好不要急于建设大规模的、复杂的计算机网络。
由于网络系统对工作的运作与发展具有非常重要的作用,因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求,网络系统对先进性的要求是在计算机技术突飞猛进的今天,提供达几年甚至更长时间的可用性。
网络系统设计必须满足其应用的要求,网络总体设计、建设的原则如下:
(1)开放性
采用开放性的网络体系,以方便网络的升级、扩展和互联;同时在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化;
(2)标准化
在方案设计中,所有计算机网络软硬件产品必须坚持标准化原则,遵从国际标准化组织所制订的各种国际标准及各种工业标准。
(3)简洁性
对于网络系统,在设计过程中要考虑系统的能够适应不断的新的发展需要,并使系统能适应多种硬件平台和多种网络结构,而且网络拓扑结构简洁,硬件和软件按需要能进行灵活的配置。
(4)可扩展性
目前设计的网络系统不仅仅用于当前,同时在今后的一段时间内,将是校园
电子化的主要系统。
因此,设计时一定得考虑将来的发展,除了当前设计得有一定的超前外,还需要考虑系统的可扩充性,易于系统以后的发展。
网络系统必须有足够的扩展性,使得将来增加信息点时,只需很少变动。
如当网络设备增加、通信网络升级时,所有设备要保证仍能继续使用,而不能以弃掉已有设备为升级的代价。
采用的产品具有充分的可扩充性及升级能力,具有足够的先进网络技术过渡的能力。
(5)安全性
安全性是指可靠性、保密性和数据一致性。
校园网对安全性的要求较高,计算机系统的安全性主要包括以下几个方面:
硬件平台安全性:
当计算机的元器件突然发生故障,或计算机系统工作环境设备突然发生故障时,计算机系统能继续工作或迅速恢复。
网络通迅系统安全性:
网络的安全性主要包括采取以下安全措施:
认证措施,包括网点认证和人员认证;数据保密措施如传输加密;存取控制措施如防止非法操作。
操作系统安全性:
操作系统安全性要达到C2级,即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性,实施存取限制,保护数据防止被别的用户读取或破坏。
数据库安全性:
数据库要有以下安全机制:
磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制,确保数据库的安全。
应用软件系统的安全性:
认同用户和鉴别,确认用户的真实身份,防止非法用户进入系统。
存取控制,当用户已注册登录后,核对用户权限,根据用户对该项资源被授予的权限对其进行存取控制。
审计,系统能记录用户所进行的操作及其相关数据,能记录操作结果,能判断违反安全的事件是否发生,如果发生则能记录备查。
保障数据完整性,对数据库操作保证数据的一致性和数据的完整性。
(6)技术先进性
网络系统不能够一经实现即落后,应当至少处于现今先进水平,只有这样才能在计算机技术迅速发展的今天不落伍,不会在竞争激烈的今天,因计算机技术的不足而影响工作的进行开展。
应至少保持系统具备几年的领先性。
采用先进而成熟的网络技术和产品,适应大量数据和多媒体信息传输、处理、交换的需要,使网络系统具有较强的生命力。
(7)实用性
网络的建设要强调网络系统与网络应用并重,以应用推动建设,信息资源的开发、利用和效果。
产品应选择主流产品,并且具有成熟、稳定、实用的特点。
能充分满足日常使用、科学决策、对外交流、以及信息自动化管理等各方面的需要。
(8)网络可靠性
网络可靠性需要从以下方面来保证:
设备的硬件制造品质与运行软件的成熟性。
网络设备必须选用已经证实,并在实际应用中得到普遍应用的产品,只有这样,才可能提供不间断运行的能力。
网络产品应具备在线热更换的能力,当某一板卡出现故障时,应能带电更换,而不需进行停机操作。
(9)易维护管理性
网络管理应走向科学化,采用先进的网络管理系统,实现“在网络中心即能实时控制、监测整个系统的运行状况,能够自动发现故障点”的目标,并具有良好的人-机操作界面。
(10)保护投资
在网络方案设计时充分考虑现有的硬件和软件资源,尽量把各期投资和未来发展的兼容性容于系统方案中。
保护投资从如下几个方面考虑:
直接的硬件设备、软件系统的投资
应用系统开发的人力、物力、财力和时间上的投资
人员培训投资
原有运行系统和业务数据的有效兼容。
2.1带宽(核心层、(部门层、)桌面)
校园网主干网是数据信息流动的主动脉,同时担负着信息流动的总调度任务。
主干网采用核心交换、划分虚拟网的设计方案。
交换核心使用一台高性能、高可靠性的交换机,实现冗余备份和负载平衡。
最好选择光纤作为通信介质。
各楼干线光缆经网络中心机房星状放射互联。
各楼内垂直主干线采用五类双绞线,主干支持FDDI或ATM。
因此作为主干网要遵循以下特点
(1)高性能与技术先进性
校园网网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性。
为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。
(2)高可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。
在网络骨干上要提供备份链路,提供冗余路由。
在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小,避免由于网络故障造成用户损失;
(3)安全性
校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,应该采用一定手段控制网络的安全性,以保证网络正常运行。
网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。
网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。
(4)可管理性
强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理;并且能够实现计费管理。
(5)可扩充性
随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证现有的投资。
(6)VLAN划分
根据校园网的实际需求,属于同一部门的工作人员可能在不同的建筑物中,但需要在一个逻辑子网内。
网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。
因此在网络主干中要支持三层交换及VLAN划分。
在整个网络中使用虚拟网技术,以提高网络的安全性和灵活性。
(7)多层交换技术
通过三层交换技术,特别是基于硬件的第三层交换,可以充分地利用交换机的包处理能力,实现真正的线速交换。
(8)对多媒体应用的支持
校园网要求具有数据、图像、语音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟。
整个网络在服务质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。
2.2子网与VLAN规划
根据需求的不同,将分成不同的子网。
教学子网、办公子网、图书馆子网、宿舍区及后勤子网。
局域网采用虚拟局域网,在交换式以太网中,各站点可以分别属于不同的虚拟局域网。
构成虚拟局域网的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。
虚拟局域网技术使得网络的拓扑结构变得非常灵活,使不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。
当网络规模很大时,网上的广播信息会很多,能解决了网络恶化、广播风暴、网络堵塞。
2.3实现的信息服务
需要的基本功能有:
1、电子邮件系统:
主要进行与同行交往、开展技术合作、学术交流等活动;2、文件传输FTP:
主要利用FTP服务获取重要的科技资
料和技术文挡;3、INTERNET服务:
学校可以建立自己的主页,利用外部网页进行学校宣传,提供各类咨询信息等,利用内部网页进行管理,例如发布通知、收集学生意见等。
4、计算机教学,包括多媒体教学和远程教学;5、图书馆访问系统,用于计算机查询、计算机检索、计算机阅读等; 6、其他应用,如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。
2.4应用程序
出于对校园网的功能分析,在校园网上运行的应用程序有如下几种:
文件传输系统、邮件系统、办公自动化系统、宿舍管理系统、学生档案管理系统、教学系统等一系列网络平台。
2.5存储系统分析
根据我们选用的是开放的Windows、UNIX、Linux等操作系统的服务器,开放系统的网络化存储根据传输协议又分为:
网络接入存储(Network-AttachedStorage,简称NAS)和存储区域网络(StorageAreaNetwork,简称SAN)。
2.6系统及数据安全分析
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。
目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot的WindowsNT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
因此,我们可以得出如下结论:
没有完全安全的操作系统。
不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。
因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。
而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
应用系统安全与具体的应用有关,它涉及面广。
应用系统的安全是动态的、不断变化的。
应用系统的安全性涉及到信息、数据的安全性。
信息的安全性涉及到机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的可用性等。
在某些网络系统中,涉及到很多机密信息,如果一
些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。
因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。
采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。
2.7QoS
QoS的英文全称为"QualityofService",中文名为"服务质量"。
QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。
在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。
但是对关键应用和多媒体应用就十分必要。
当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
QoS具有如下功能:
(一)分类
分类是指具有QoS的网络能够识别哪种应用产生哪种数据包。
没有分类,网络就不能确定对特殊数据包要进行的处理。
所有应用都会在数据包上留下可以用来识别源应用的标识。
分类就是检查这些标识,识别数据包是由哪个应用产生的。
以下是4种常见的分类方法。
(1)协议有些协议非常“健谈”,只要它们存在就会导致业务延迟,因此根据协议对数据包进行识别和优先级处理可以降低延迟。
应用可以通过它们的EtherType进行识别。
譬如,AppleTalk协议采用0x809B,IPX使用0x8137。
根据协议进行优先级处理是控制或阻止少数较老设备所使用的“健谈”协议的一种强有力方法。
(2)TCP和UDP端口号码许多应用都采用一些TCP或UDP端口进行通信,如HTTP采用TCP端口80。
通过检查IP数据包的端口号码,智能网络可以确定数据包是由哪类应用产生的,这种方法也称为第四层交换,因为TCP和UDP都位于OSI模型的第四层。
(3)源IP地址许多应用都是通过其源IP地址进行识别的。
由于服务器有时是专
门针对单一应用而配置的,如电子邮件服务器,所以分析数据包的源IP地址可以识别该数据包是由什么应用产生的。
当识别交换机与应用服务器不直接相连,而且许多不同服务器的数据流都到达该交换机时,这种方法就非常有用。
(4)物理端口号码与源IP地址类似,物理端口号码可以指示哪个服务器正在发送数据。
这种方法取决于交换机物理端口和应用服务器的映射关系。
虽然这是最简单的分类形式,但是它依赖于直接与该交换机连接的服务器。
(二)标注
在识别数据包之后,要对它进行标注,这样其他网络设备才能方便地识别这种数据。
由于分类可能非常复杂,因此最好只进行一次。
识别应用之后就必须对其数据包进行标记处理,以便确保网络上的交换机或路由器可以对该应用进行优先级处理。
通过采纳标注数据的两种行业标准,即IEEE802.1p或差异化服务编码点(DSCP),就可以确保多厂商网络设备能够对该业务进行优先级处理。
在选择交换机或路由器等产品时,一定要确保它可以识别两种标记方案。
虽然DSCP可以替换在局域网环境下主导的标注方案IEEE802.1p,但是与IEEE802.1p相比,实施DSCP有一定的局限性。
在一定时期内,与IEEE802.1p设备的兼容性将十分重要。
作为一种过渡机制,应选择可以从一种方案向另一种方案转换的交换机。
(三)优先级设置
一旦网络可以区分电话通话和网上浏览,优先级处理就可以确保进行Internet上大型下载的同时不中断电话通话。
为了确保准确的优先级处理,所有业务量都必须在网络骨干内进行识别。
在工作站终端进行的数据优先级处理可能会因人为的差错或恶意的破坏而出现问题。
黑客可以有意地将普通数据标注为高优先级,窃取重要商业应用的带宽,导致商业应用的失效。
这种情况称为拒绝服务攻击。
通过分析进入网络的所有业务量,可以检查安全攻击,并且在它们导致任何危害之前及时阻止。
在局域网交换机中,多种业务队列允许数据包优先级存在。
较高优先级的业务可以在不受较低优先级业务的影响下通过交换机,减少对诸如话音或视频等对时间敏感业务的延迟事故。
为了提供优先级,交换机的每个端口必须有至少2个队列。
虽然每个端口有更多队列可以提供更为精细的优先级选择,但是在局域网环境中,每个端口需要4个以上队列的可能性不大。
当每个数据包到达交换机时,都要根据其优先级别
分配到适当的队列,然后该交换机再从每个队列转发数据包。
该交换机通过其排队机制确定下一步要服务的队列。
有以下2种排队方式。
(1)严格优先队列(SPQ)这是一种最简单的排队方式,它首先为最高优先级的队列进行服务,直到该队列为空,然后为下一个次高优先级队列服务,依此类推。
这种方法的优势是高优先级业务总是在低优先级业务之前处理。
但是,低优先级业务有可能被高优先级业务完全阻塞。
(2)加权循环(WRR)这种方法为所有业务队列服务,并且将优先权分配给较高优先级队列。
在大多数情况下,相对低优先级,WRR将首先处理高优先级,但是当高优先级业务很多时,较低优先级的业务并没有被完全阻塞。
2.8网间隔离
面对新型网络攻击手段的出现和高安全度对网络的特殊需求,全新安全防护防范理念的网络安全技术――“网络隔离技术”应运而生。
网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。
网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
网络隔离,英文名为NetworkIsolation,主要是指把两个或两个以上可路由的网络(如:
TCP/IP)通过不可路由的协议(如:
IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。
由于其原理主要是采用了不同的协议所以通常也叫协议隔离(ProtocolIsolation)
网络隔离是指在一个网络系统中划分边界,分割不同安全域的技术。
网络安全的重点在于边界保护,采用隔离技术明确边界后,我们就能根据应用环境的具体需求实施相应的边界控制策略。
具体而言,采用网络隔离技术有以下优点:
采用隔离技术划分安全域后,一个区域内的安全问题可以被控制在本区域以内,不会对其它区域造成影响,从而提高了系统整体的可控性和稳定性。
采用隔离技术划分安全域后,可以根据需求灵活制定访问控制策略,便于在不同粒度上隔离攻击。
安全是要考虑成本的。
对于重要的资源,我们可以采取隔离技术对其进行重点保护,使有限的投入获得最佳的效果,这也符合国家分级保护的要求。
第3章拓扑图及方案整体描述
3.1主干网传输方案设计
网络中心设在实验楼的一层,以实验楼为中心,选择星形拓扑结构,网络主干最好选用光纤,以便采用链路聚合技术及备份线路。
光纤布线采用星型结构,即由实验楼网络中心向其它建筑辐射。
建筑内部布线采用5类双绞线进行垂直和水平布线,如建筑物规模较大,也可部分采用室内多模光纤。
双绞线的接法采用EIA/TIA568B标准。
设计时要依据EIA/TIA568工业标准及国商务布线标准。
(1)主干网汇接各子网,形成中心交换。
(2)子网通过交换机连接到主干网。
(3)网络中心的网络构成一个单独的子网,汇接到主干网。
(4)在网络中心进行集中控制和管理。
(5)每个子网按部门划分成多个工作组网。
(6)每个工作网划分成多个基层网段。
(7)在关键子网设立防火墙,防止来自内部或外部的恶意攻击。
(8)在完善的网络基础之上,提供基本的Internet服务。
3.11垂直布线方式
垂直干线在电缆桥加上加以固定,五类双干线电缆走专门的弱电桥架,与专门的强电电缆分开。
3.12水平布线
水平布线采用五类双绞线,用于水平数据通信。
从管理间到办公楼部分的布线方式采用电缆桥架走吊顶,布线路由及进房间后信息插座具体位置视具体布局确定。
3.13设备间
主设备间设在网络中心,是整个信息系统的中心,它是安放由许多用户共用的通信设备的空间,是整个楼群的主要布线区域所在地。
它包括网络接口、电话局电缆和用户建筑物布线系统交汇点网络系统的干线网络互联设备放置在此,外来的电话中继线延伸至主设备间。
其它各楼的设备间在各楼的顶层。
主设备间对环境的要求较高,所以要注意环境的选择与调节。
3.2Internet接入方案及网络拓扑图
本局域网通过路由器接入因特网,如图所示:
图4-1网络拓扑图
3.3远程访问支持
远程访问提供电话拨号访问功能,使用户在家中、在外地都可以访问校园网。
远程工作站通过拨号接入校园网,采用点对点的协议为PPP。
远程访问服务器RAS与调制解调器Modem组合实现远程访问功能。
在访问服务器的远程访问端口提供访问控制(AccessList)。
通过与拨号安全服务器配合,还能实现进一步的用户认证和授权控制。
远程访问解决了远程工作站通过拨号线路对网络资源的访问。
由于拨号网络是攻击网络的可能的主要入口,因而必须在技术和管理两个方面加强管理。
远程访问服务应提供以下功能:
拨号访问(Telnet/Rlogin/PPP)支持;
静态/动态地址分配;
多协议(IP和IPX)透明访问支持;
用户访问和安全控制;
拨出(Dial-on-Demand,Dial-Out)功能;
自动协议检测和转换;
远程控制和维护;
网管支持。
拨号网络是可能的主要攻击入口,并且采用动态IP分配策略,所以必须与其它网段隔离,直接连到网络中心路由器上,占用一个独立的网段,这样也有利于计费管理。
访问服务器通过路由器与MODEM池接入拨号线。
访问服务器与拨号安全服务器配合,根据身份认证协议(TACACS/RADIUS/KEBEROS)实现拨号用户的认证和授权。
3.4子网划分与VLAN设定
在充分考虑了网络的高度的