校园网络信息系统的规划与设计课程设计.docx
《校园网络信息系统的规划与设计课程设计.docx》由会员分享,可在线阅读,更多相关《校园网络信息系统的规划与设计课程设计.docx(14页珍藏版)》请在冰豆网上搜索。
校园网络信息系统的规划与设计课程设计
课程设计
题目:
校园网络信息系统的规划与设计
随着现代信息技术的飞速发展,中国教育也正以前所未有的速度和力度推进自己的信息化水平,信息技术给教育带来的变化是巨大的,它使教育突破了时间和空间的限制,大大扩展了教育的形式和空间。
建设校园网已经成为教育领域信息化建设的当务之急。
本文以四川师范大学校园网规划与设计为例,从校园网建设的背景、需求分析、设计原则、方案整体设计、网络设备选型、网络计费与管理系统、未来发展规划等方面进行了详细的分析与描述。
文章最后对整个校园网进行了总结。
第一章、概述
1.1校园网建设背景
二十一世纪是信息化的时代,作为基础教学和科研基地的高校自然走在了时代的前列,信息技术给教育带来的变化是巨大的,它使教育突破了时间和空间的限制,大大扩展了教育的形式和空间。
校园内的变化可谓巨大,为了提高学校的综合竞争力,各大高校都热衷于信息化建设,尤其是校园网的建设。
四川师范大学创建于1946年,是四川省规模最大、学科门类最全的省属重点大学。
学校具有较强的科研能力,也是四川省高校对外交流中心之一,四川省中小学教师信息技术检测中心也设在我校。
因此学校的信息化建设成为重要,校园网建设已经成为了当务之急。
学校校园网是学校教育资源共享、校园信息管理、计算机办公系统、计算机辅助教学等的基础平台。
进一步加速学校信息化建设。
信息化建设的核心是信息资源网络化,在经历了几个发展阶段之后,当时的校园网目标是“数字校园”。
所谓“数字校园”是指以网络为基础,利用先进的信息化手段和工具,实现从硬件到软件的全部数字化,在传统的校园基础上构建一个数字空间以拓展现实校园的时间和空间的维度,从而提高传统校园网的效率,实现教育真正的信息化。
第二章、校园网需求分析
2.1校园网需求分析
四川师范大学现有校本部、东校区和草堂校区三个校区。
本次校园网建设主要为校本部。
网络建设主要包括:
教学楼、办公楼、学生宿舍区、教师宿舍区、科研楼(如国家物理试验楼)、图书馆等楼宇。
校园网主要业务:
●全校的信息化管理系统
●教育资源共享
●数字化图书馆
●财务系统
●教师办公系统
●移动办公
●学校网站(包括校园BBS)
●视频点播
●校园网多媒体教学
●远程教育
●Internet的访问
校园网业务需求是各式各样的,并且随着学校的信息化建设,各种业务的开展会不断的增加。
要真正支持各种业务,充分发挥校园网作用并不是一件简单的事情。
校园网建设的目的是满足校园师生和各种业务的需求,并不是以设备价格,规模大小来考核,最主要的是能贴进用户的需求,根据学校的具体的实际情况量身打造,我们应该选择目前主流厂家来作为四川师范大学校园网建设的长期合作伙伴,在此我们强烈推荐杭州华为3COM。
华为3Com有限公司是华为公司与3Com公司的合资公司。
华为3COM推行的“你身边的好网络”可以从用户的角度出发,真正的帮助用户解决实际问题,华为3Com公司作为一家世界领先的网络公司,在教育行业有着极其丰富的经验和许多精典成功案例。
第三章、校园网建网原则
3.1网络建设基本原则
3.1.1高带宽
四川师范大学网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特点,整网的核心交换要求能够提供无瓶颈的、全线速的进行数据交换。
3.1.2高可靠、高安全
设计应充分考虑整个网络的稳定可靠性,核心设备尤其重要,同时要避免单点故障,支持网络节点的备份和线路保护。
在安全方面,我们必须提供给整个校园网进行保护防范措施。
保证整个校园网安全、稳定地运行。
3.1.3可增值性
四川师范大学校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展的基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我“生存”能力,实现以网养网。
3.1.4开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口。
3.1.5可管理性
整个网络支持良好的维护、测量和管理手段,提供网络统一实时监控、实现网络设备的统一管理。
3.1.6可扩充性
考虑到四川师范大学用户数量和业务种类发展的复杂性,要求对于核心层设备与汇聚层交换机具有强大的扩展功能,四川师范大学校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
为此我们也要求整个网络具有良好的兼容性。
这些在设备、软件选取上都应该充分考虑到。
3.2高校网络建网原则
3.2.1对IPv6的支持
高校做为我国科技的前沿阵地,是新技术的倡导者也是执行者。
因此各大高校校园网应该而且必须支持IPv6,即使我们暂时不能实现IPv6,但是我们可以考虑到将来的发展,因为这是一种必然的趋势。
3.2.2对万兆的支持
随着校园网规模的扩大,原有的业务的扩展和新业务的不断增加都将造成网络流量拥挤的现象,现实的需要决定了校园网对万兆的支持,高带宽的核心网络将成为必然。
而且现在许多厂家的设备都支持万兆接口,进一步降低了成本。
3.2.3WLAN的布署
要真正的实现网络无处不在,无线网络将会是非常重要的一步棋子。
毕竟有许多网络施工或其他原因无法覆盖到的地方,这时无线网络的优势得到充分的体现,而且现在的无线网络传输速度、抗干扰和安全方面都得到了很好的解决。
第四章、总体网络设计方案
四川师范大学校园仍然采用精典的三层网络结构。
并同时体现下一代网络的身影,让最先进的技术服务于教育。
4.1核心层
核心设计核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
实现骨干网带宽万兆,同时华为S8512万兆交换机其背板容量1.8T,交换容量720G,包转发率432Mpps,具有14个插槽,包括12个业务插槽。
进一步满足大型节点高数据量转发的特点完全满足骨干节点的需求,整个建成后的IP网络与校园网核心交换机之间采用10GE的带宽相连,Quidway®S8500万兆核心交换机采用Crossbar体系结构所有端口均线速转发。
两台Quidway®S8512可实现VRRP技术,保证核心设备的稳定可靠性。
4.2汇聚层
由于汇聚层需要处理的数据量比较大,为了保证数据传输和交换的效率,现在各个大楼内设置汇聚层交换机。
楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性。
在这里我们建议楼内汇聚采用QuidwayS6500万兆核心交换机。
同时也采用华为功能强大的宽带接入设备MA5200,这些设备可按需购买、平滑扩容,在网络升级时最大限度地保护已有投资。
同时Quidway®S6500支持万兆上联最大程度的提高了汇聚层与核心交换机之间的带宽扩展需求。
MA5200也是运营商性能的接入服务器。
4.3接入层
接入层是直接与用户相连的设备,这里用户比较集中。
因此,在实际的应用的过程中我们建议采用华为3ComQuidway®S3900产品,同时千兆上联到汇聚层交换机Quidway®S6500,同时Quidway®S3900支持堆叠,支持华为特有的IRF技术。
并能够提供强大的业务功能:
如802.1X认证、动态ACL、动态Vlan、防止Proxy等功能。
支持802.1X认证,其高性价比的特性可满足用户对于强业务、高性价比的组网要求。
同时我们采用无线接入方式真正让大家感到网络无处不在。
WA1208E是华为3Com公司自主研发的新一代定位于公众运营网络的无线接入点系列设备。
支持802.11i安全机制、802.11eEDCFQoS机制、802.11f切换机制,并提供了如虚拟AP、多类型认证方法共存、多样化的计费策略、多层次的安全策略、全面的二层特性、丰富的管理维护手段等强大的可运营、可管理、可盈利能力。
加强接入层认证计费管理控制的能力。
第五章、网络方案技术特点
5.1解决方案特点:
校园网组网解决方案有以下优点:
5.1.1核心设备的高性能、高可靠
Quidway®S8500为用户提供完全的分布式的处理方式,四川师范大学的校园网内部的数据量是非常大的,因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。
华为Quidway®S8512万兆核心路由交换机背板交换容量1.8T够做到所有GE接口的双向的线速,华为公司的Quidway®S8512的性能指标是经过完整的测试和应用的一个非常成熟稳定的产品。
再次,分布式的转发,对于Quidway®S8500路由查找是非常有益的补充。
因为Quidway®S8500的路由查找模式为最长匹配。
这样就可以避免校园网内外的非法用户利用专门的攻击软件来攻击中心交换机,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。
但是Quidway®S8500是根据最长匹配来查找路由的,是针对网断进行路由的。
所以当攻击者进行攻击时,Quidway®S8512只能造成该接口板的业务能力处理下降,但是对于整机没有多大影响。
这是我们选则Quidway®S8500的作为核心交换的非常重要的原因。
同时核心是采用两台Quidway®S8512交换机。
两台设备做了VRRP,可以保证在一台设备Down机的时候另一台设备正常工作,不影响校园网业务,避免单点故障,同时每一台Quidway®S8512自身设备也是可靠性比较高的设备,都是按照运营商的要求来设计。
可靠性能保证5个9,所有板卡支持热插拨,可以任意改变其中一个板卡状态,电源也是1+1,同时Quidway®S8512有是一个完全模块化的设备,有12个业务板插槽和2个主控板插槽。
具有良好的可扩展能力,可以随时满足各种业务增长的需求。
从核心交换机到各大楼交换机的校园网主干线我们采用10000M的带宽,然后实施1000M到楼层,100M到桌面的方式,这样也可以方便以后升级扩展网络,实现1000M到桌面。
使整个网络有足够的带宽来适应来开展各种的增长和新业务的开展。
5.1.2良好的互通性
Quidway®S8500具有良好的互通性,Quidway®S8500支持标准的路由协议,包括OSPF、BGP4、ISIS、RIP等路由协议,在实际的工程应用中与思科、锐捷、港湾、阿尔卡特等多厂家均能够实现良好的互通。
支持国际统一标准。
5.1.3基于流攻击的防止
华为3com所采用产品Quidway®S8500、Quidway®S6500等三层转发模式均为最长路由匹配技术。
这样就可以避免校园网内外的非法用户利用专门的攻击软件进行的一些基于流的共计,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。
Quidway®S8500是根据最长匹配来查找路由的,是针对网断进行路由的。
所以当攻击者进行攻击时,不会造成Quidway®S8500业务能力处理下降,对于整机没有影响影响。
这是我们选则Quidway®S8500的作为核心交换的非常重要的原因。
5.1.4接入层解决方案
1.端口+IP地址的绑定:
对于学生宿舍区的用户上网的安全性非常重要,因为相当其它接入点来说,学校宿舍区相对比较复杂。
华为Quidway®S3900可以实现端口+IP地址的绑定关系,一般的802.1X的认证的采用的是MAC+IP地址的绑定关系,但是由于学校学生流动的缘故,PC机的MAC地址会不断的发生变化,学生的PC机随机的发生变化使得学校无法对整个校园网进行有效的管理和维护,而且无法防止学生IP地址欺骗的攻击,因此建议学校采用IP地址+端口的绑定关系,如:
每个宿舍分配一个IP地址,当用户通过802.1X客户端认证通过以后用户便可以实现IP地址+端口+用户ID的绑定,这种方式具有很强的安全特性:
防D.O.S的攻击,防止用户的IP地址的欺骗,对于更改IP地址的用户(IP地址欺骗的用户)可以实现强制下线。
真正实现接入层的安全管理是一件相当困难的事,所以在工程中我们要尽量选取一种认证方法来适应学校这种环境。
2.动态Vlan的功能
对于位置移动的用户(如笔记本电脑),可以采用动态Vlan的技术来实现,用户的的Vlan是和用户的ID号对应的,用户可以通过不同地理位置的接入点上网,用户认证的过程当中,Raduis服务器会根据用户的ID号对应到用户所属的Vlan当中。
这样学校便携机使用者能够方便的使用学校的网络资源,同时学校有能够对移动用户进行管理监控。
华为S3900接入层交换机可以为用户提供强大的动态VLAN功能切实可行的为用户提供丰富的业务功能。
3.接入层防Proxy的功能
考虑到大学学生的技术性较强,在实际的应用的过程当中应当充分考虑到学生的Proxy的使用,对于Proxy的防止,华为3com公司Quidway®S3900配合华为3com公司的802.1X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),Quidway®S3900将会下发指令将该用户直接踢下线。
4.IP地址盗用的防止
在校园网的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己获取的IP地址进行修改,然后在进行一些非法操作,在四川师范大学的网络的设计当中我们针对该问题,在接入层交换机上提供防止IP地址盗用的功能,用户在更改IP地址后,802.1X客户端与Quidway®S3900配合,直接将用户下线,其下线功能是由Quidway®S3900来实现的,不依赖于802.1X客户端,因此对于学生自己从网上下载的802.1X的客户端来说,Quidway®S3900仍然可以对其进行有效的控制。
5.基于静态VLAN的应用
在许多的工程中,我们都采用过这种技术,一般来说学生宿舍区这样用户集中的地方,可以用VLAN让一层楼或两层楼的用户在同一VLAN。
这样便于管理,没有必要让每个寝室成为一个VLAN,因为几个寝室有时需要共享一些数据资料什么的,所以我们在此采用每层楼作为一个广播域。
有效地解决广播风暴问题。
5.1.5QOS功能
Qos对于网络的应用来说是非常重要的,考虑到学校未来要增加多种的业务,如:
流媒体点播、视频点播、视频会议、语音电话等,这要求全网能够提供强大的Qos的功能,华为3com的Quidway®S8500、Quidway®S6500全网产品可以为用户提供丰富的Qos保证,华为3com公司支持QoS技术中的PQ/CQ/WFQ/LLQ/CBWFQ等转发队列优先保证机制,所携带的IP地址段、TOS值、源端口号等均可实现业务的保证,同时可以针对不同的接入层交换机端口或是不同业务进行端口的限速,以提高全网的Qos业务的保证。
同时Quidway®S8500以及Quidway®S6500可实现基于业务类型的流领控制功能,如:
基于端口、IP、Vlan等带宽管理以及优先权的分配,可实现带宽管理最小粒度为8K。
5.1.6广播风暴的抑止
华为3ComQuidway®S8500、Quidway®S6500、Quidway®S3900系列接入交换机均可以实现基于端口的广播风暴抑止功能,可支持同一VLAN内的风暴抑止功能,可以有效的抑止局域网内部的广播风暴,确保网络的安全稳定。
5.1.7组播业务
Quidway®S8500、Quidway®S6500、Quidway®S3900通过标准的组播协议完成用户的组播管理,Quidway®S8500、Quidway®S6500均可以支持丰富的组播协议,包括ICMP、PIM-SM、PIM-DM、MSDP等组播协议,可支持丰富的业务,包括视频点播、流媒体点播,可支持各种流媒体终端以及组播源的种类。
并可以并通过HGMP协议将各楼道交换机也纳入到组播实现中。
由Quidway®S6500完成对其下挂的汇聚交换机以及楼道交换机的组播用户进行报文复制和发送。
通过这种机制,使得整个网络的流量做到最优,有效的保证了视频点播、网络电视、会议电视、视频游戏等视频业务的开展,通过组播实现的视频业务有:
会议电视:
利用网络和数字视像技术实现异地会议的交互传输和控制。
视频点播:
交互式电视的一部分,它使用户可以随意选择所需的视讯节目,并可随意地控制节目播出(如快进、快倒、暂停等)。
网络教学:
使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教学,实现学生和教师的实时交流,学生还可随时进行学习点播和查询。
5.1.8用户认证、计费管理
采用华为3Com专业用户认证计费系统CAMS系统。
CAMS系统具有强大的认证计费功能,可以实现按流量计费、支持多种计费策略,同时利用CAMS和华为3COM接入层交换机配合,可以实现802.1X、portal、等多种认证计费方式。
而且CAMS和MA5200配合更加能够体现华为设备整体建网的优势。
不管从兼容性还是设备性能都是首屈一指。
本次组网采用CAMS综合管理软件实行全网的用户认证和计费管理。
可以实现全校轻松的认证计费。
CAMS是一种低成本、可扩展的综合访问管理服务器,它的组件比较多,可以根据用户的需求进行订购。
而且可以跨平台,操作也比较简便。
网管平台:
为提高网络管理的效率,减轻网络维护的压力,本次组网采用Quidview网管系统进行全网设备的统一管理。
Quidview网络管理软件是华为3Com公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品,位于网络解决方案的管理层,能够实现网元管理和网络管理的功能。
Quidview网络管理软件基于灵活的组件化结构,包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
5.1.9IPv6的实现
IPv6产生的初衷主要是针对IPv4地址短缺问题,,即从IPv4的32bit地址,扩展到了IPv6的128bit地址,充分解决地址匮乏问题。
IPv6极大的地址空间使层次性的地址规划成为可能,同时国际标准中已经规定了各个类型地址的层次结构,这样既便于路由快速查找址格式更具层次性,也有利于路由聚合,缩减IPv6路由表大小,降低网络地址规划的难度。
IPv6集成了IPSec,用于网络层的认证与加密,为用户提供端到端安全,使用起来比IPv4简单、方便,可以在迁移到IPv6时同步发展IPSec。
MobileIPv6增强了移动终端的移动特性、安全特性、路由特性,降低了网络部署的难度和投资,为用户提供了永久在线的网络服务。
华为Quidway®S8500、Quidway®S6500等三层交换机可实现IPv6的支持,可以支持静态IPv6路由、支持基于硬件的IPv6转发,可实现IPv6到IPv4以及IPv4到IPv6等隧道技术,其整体的IPv6升级方案如下图所示:
如图所示,在同一台接入层交换机下可能存在不同的用户有IPv6用户也有IPv4用户,对于IPv4与IPv6用户的互通,或是IPv6与IPv6用户的互通可以直接通过核心交换机来实现,而对于两个跨IPv4网的IPv6之间的通信可以通过隧道技术来实现,通过两个IPv6边界路由之间建立隧道的方式进行互访,边界路由交换机Quidway®S8500以及汇聚层交换机Quidway®S6500都采用双栈运行的模式,对于IPv6用户访问IPv6的资源方式,可以采用ALG或是NPAT-PT的方式来实现,将IPv6的和IPv4的报文头进行互译,从而实现IPv6与IPv4用户的互通。
华为Quidway®S8500支持6to4或4to6等方式完全可以满足用户的需求。
IPv4与IPv6之间的相互通信是非常重要的,在实际的应用的过程当中华为3Com采用NAT转换的方式进行互通,在IPv4用户访问IPv6的资源时,由于IPv6的IP地址丰富,可以采用一个IPV4对应一个IPv6的地址,进行转换;而IPv6用户访问IPv4的资源时,由于IPv4的地址资源相对有限,可以按照收敛比采取多对一动态的转换的方式进行互通。
5.1.10全方位的安全保护
在校园网出口处采用的华为3COMSecpath1000F,做为整个校园网保护的第一层,Secpath1000F不仅具有强大的防火墙功能,而且具有强大的路由功能,支持1000M的接口,能功担负校园网强大的出口流量。
第二层就是华为QuidwaySecEngineD500入侵检测系统,QuidwaySecEngineD500可以进行网络流量的深度检测,对数据进监听、分析,同时它可以和网内的其他设备进行联动,而达到整体防御的目的。
在第二期我们加上了EAD,XLOG服务器,进一步加强了校园安全。
没有绝对,只有相对,华为3COM提倡的您身边的好网络。
随着网络的发展,华为通信技术也在进一步发展,我们的网络安全要求也越来越高。
只有不断的改进,才能满足发展的要求。
第六章、远景规划
6.1四川师范大学整体网络解决方案
采用2.5G的RPR弹性分组环网连接各校区,弹性分组环(RPR)技术是一种在环形结构上优化数据业务传送的新型MAC层协议,能够适应多种物理层(如SDH、以太网、DWDM等),可有效地传送数据、话音、图像等多种业务类型。
它融合了以太网技术的经济性、灵活性、可扩展性等特点,同时吸收了SDH环网的50ms快速保护的优点,并具有网络拓扑自动发现、环路带宽共享、公平分配、严格的业务分类(COS)等技术优势,目标是在不降低网络性能和可靠性的前提下提供更加经济有效的城域网解决方案。
构成完整的四川师范大学校园网。
整个网络的性能和稳定可靠性方面都有保障。
后期网络的扩展,各种业务的发展,比如校园网内部语音电话,视频会议。
还有就是EAD(端点防御系统方案),这是华为针对网络接入层的方案,可以有效保护内部网络,防止没有防火墙、病毒库没有升级更新、安全级别过低、操作系统有漏洞的终端不能通过服务器认证,从而被服务器安排到隔离区,强行进行病毒库升级、打漏洞补丁、更新系统等,达到策略服务器的要求后,才能通过认证上外网。
进一步加强接入层安全性,从而保证整个网络的安全。
同时在第二期工程中我们可以加上XLOG服务器,进行事后的审计。
进一步加强安全,做到事前防范,事后审查,从时间空间地域真正做到华为技术倡导的一种三维的安全体系。
完全解决网络安全问题。
升级会员 