甘肃省陇东学院校园网设计说明书.docx
《甘肃省陇东学院校园网设计说明书.docx》由会员分享,可在线阅读,更多相关《甘肃省陇东学院校园网设计说明书.docx(21页珍藏版)》请在冰豆网上搜索。
甘肃省陇东学院校园网设计说明书
甘肃省陇东学院校园网设计说明书
*******************
实践教学
*******************
兰州理工大学
计算机与通信学院
2010年秋季学期
计算机网络课程设计
题目:
甘肃省陇东学院校园网设计
专业班级:
07通信4班
姓名:
温伟东
学号:
07250417
指导教师:
刘鹏
成绩:
摘要
校园网的建设主要是为了教学应用,而多媒体辅助教学和多媒体教室是教学应用的核心,在网络建设时应考虑多媒体信息的特点,如信息量大,对时间延迟敏感等;在校园网中常会出现几十个学生执行相同操作的现象,所以要考虑并发信息的控制;学生利用网络做作业,教师要在家拨号访问学校网络,学籍管理信息在网上传输。
陇东学院已逐步发展成为一所基础条件较好的多学科综合性高等院校。
为了提高工作效率和水平,有必要建立一个全校范围内、有效、实用且快速的计算与通讯环境。
本文首先就大学校园网设计建设的相关知识技术要求作了必要的介绍,然后重点就综合设计方案的多方面展开论述,并给出具体的实施方案和设备选型。
关键词:
网络拓扑;校园局域网;规划;设计
前言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。
其背景是:
半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛,并迅速广泛应用于社会各领域,产生和激发出新的生产力,正引起社会经济乃至人们工作、生活方式的深刻变革。
自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。
可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
Internet是一个资源的网络,其中拥有的信息资源几乎覆盖所有的领域。
Internet面向人类的社会,世界上数以亿计的人们利用它进行通信和信息共享,通过发送和接收电子邮件,或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。
Internet也是一个服务的网络。
在Internet上,许多单位、公司和组织提供了各种各样的服务。
比如WWW(WorldWideWeb全球信息网)服务、信息查询服务等,向网络上的其他用户展示自己各方面的情况,并帮助这些用户找到需要的信息。
校园网是各种类型网络中一大分支,有着非常广泛的应用。
作为新技术的发祥地,学校、尤其是高等学校,和网络的关系十分密切,网络最初是在校园里进行实验并获得成功的,许多网络新技术也是首先在校园网中获得成功,进而才推向社会的。
另一方面,作为“高新技术孵化器”的学校,知识、人才的资源十分丰富,比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。
本文从用户的需求分析入手,阐述了校园网的应用特点,以及网络产品如何满足校园网用户的多方面需求。
第一章 学校描述
甘肃省陇东学院肩负着培养甘肃省庆阳市教育和对在职教师进行职业培训等重要任务。
其创建于1939年,至今已走过了65年的风雨历程.1980年,庆阳行署将三所师范正式命名为甘肃省陇东学院学校、甘肃省镇原师范学校和甘肃宁县师范学校,归地区文教局主管,在区内分立,独立办学,对外仍统一称甘肃省陇东学院学校.1983年12月,甘肃省人民政府同意在西峰还建陇东学院,校址在今西峰市育才路南段.1985年7月,面向全区招生,并恢复幼师专业招生;10月,在庆阳县城办学的陇东学院学校全部迁入新址.1986年后季,镇原师范学校撤销,师生合并归陇东学院学校,同时宁县师范学校被省计委、省教育厅批准正式成立,由科级单位升为县级单位.至此,甘肃省陇东学院学校"三校并立"时期结束,以崭新的面貌屹立于董志塬上.1988年开始,学校乘着改革开放的春风,加大改革力度,积极适应市场经济要求,实行多渠道办学,先后举办过三年制美术、音乐专业自费班和短线应用型幼师专业及实用美术专业自费班.1993年,经省教委批准,招收预科班.
目前,学校占地103亩,校舍建筑面积3.8万平方米,建有综合科技楼、教学楼、音乐楼、美术楼、办公楼、电教楼各一幢;有学生公寓楼4幢、学生食堂4个,具备容纳3000多名学生食宿的良好条件。
学校集多种现代化的教学辅助设施于一体,有计算机教室2个、多媒体报告厅1个,总控室1个,电子阅览室1外,电子图书室1个,共有教学用计算机180台,办公用计算机30台。
学校拥有在全省中等学校具有领先水平和多功能语音实验室2个,理、化、生实验室各2个,生物标本室1个,心理实验室1个,微格教室1个,史地专用教室1个,科技活动室1个,音乐实验室1个,音乐欣赏室1个,书法专用教室1个,美术专用教室3个,舞蹈室1个,有琴室88间,配有星海牌钢琴21架,电钢琴54架,脚踏琴124架,各式电子琴11架,铜管乐器100余件,各式舞蹈服装2428套(件),体育设施和设备比较齐全。
教学仪器总数为11895台(件),价值1972602元;学校藏书8.1万册,其中电子图书光碟4150张,折合图书41.5万册。
报刊杂志247种,音像资料210套,理、化、生实验室均配有有线电视机和VCD,学生宿舍都安装201电话。
先进的教学手段、种类齐全的教学设施和强大的后勤服务网,为学生的学习和生活提供了强有力的保障。
该中学校园内需要联网的建筑物共6座,包括2座多媒体教学楼、1座实验楼、1座办公楼、1座学生宿舍楼和1座图书馆,学校的整体网络规模约为三百多个信息点,按照符合国际标准的结构化布线技术进行设计和施工。
结合目前网络技术发展情况,决定该校园局域网系统采用成熟的以太网技术。
第二章 需求分析
根据我方所了解的学校总体目标,利用先进实用的计算机技术和网络通信技术,把学校内所有的局域网、网段和单机用户都连接起来,组成—个分布式网络系统。
同时通过校园网向上连通省、市教委信息中心及CERNET和Internet连接,向下覆盖全校,分享国内外的计算机资源信息,并建立基于校园网的应用系统,这是学院网络建设的总需求。
本次设计从如下几个方面进行需求分析。
2.1带宽
陇东学院对计算机网络的应用主要是多媒体教学和办公自动化,通过计算机网络这种先进的技术手段,实施多媒体、交互式、内容丰富、形象生动的教学,以培养出能适应社会需求的具有专业技能的人才。
根据这一实际应用情况,我们分析在网络上传输的信息是音频、视频、数据相结合的信号,这样对网络的带宽需求就较高,因此,必须对网络带宽和网络的使用性能进行分析,以保证网络满足用户应用的需求。
1、音频信号所需的带宽。
模拟的音频信号必须转换成二进制数据后才能被计算机存储和处理。
对音频信号用等于信号最高频率两倍的速率进行采样,然后对采样值按一定的量化等级进行量化和编码,就可以将音频信号转化成数字数据,并且基本保留原来的信息。
采样频率和编码位数的选取视使用场合而定。
在电话系统中,一路电话所需的带宽只有56Kbps或64Kbps,而传送立体声唱片则需要1.411Mbps。
2、视频信号所需的带宽。
在计算机中,一幅图像是由一个个的像素组成的,对每个比特进行编码。
灰度图像中,每个像素编码成一个8比特的数,在彩色图像中,每个像素记录了它的颜色,因此每个像素用24比特来表示,而为了获得平稳的运动画面,每秒钟又必须显示25帧的图像,这样一幅分辨率为800×600的图像所需的带宽为24×800×600×25=288Mbps,通过压缩,带宽可达8-10Mbps。
以上两种信号是网络中对带宽要求最严的数据信号,而且音频信号和视频信号突发性很大,在网络中要求实时的和高质量的传输。
当网络规模比较大,网络用户比较多,网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时,往往会对网络带宽带来压力,令网络带宽不堪负荷,造成网络拥塞,严重时会导致阻塞,使网络通信停顿。
为了解决网络拥塞问题,必须对各种网络技术进行选择,以符合用户对网络实际应用所提出的各项要求,以最高的性价比,实现网络功能。
2.2 子网与VLAN规划
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
可以提高网络的安全性,控制网络广播,方便网络管理,VLAN可划分为基于端口的VLAN和基于MAC地址的VLAN。
通过将校园网络划分为虚拟子网(VLAN),可以强化网络管理和网络安全,控制不必要的数据广播。
当广播包的数量占到总量的30%时,网络的传输效率将会明显下降。
特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致网络风暴,使网络通信陷于瘫痪。
当校园网络内计算机数超过200台后,就必须采取措施将网络分隔开来,将一个大的广播域划分成若干个小的广播域。
H分隔广播域的方式有两种,一是物理分隔,即将一个完整网络物理地一分为二或一分为多,然后通过一个能够隔离广播的网络设备将彼此连接起来。
二是逻辑分隔,即将一个大的网络划分为若干个小的虚拟子网,也就是VLAN,各虚拟子网间通过路由设备连接实现通讯。
E)dF7
s,AhGJ
2.3实现的信息服务
陇东学院校园网在信息服务和应用方面应满足以下几个方面的需求:
用户需求决定了该网络系统的特殊性,按照用户的要求,网络系统须实现以下功能
1)信息共享。
有关学校的各种资料,各种信息,如图书资料,教学资料,一些最新的学校公告等可通过网络进行查询。
2)信息交流。
可通过连接Internet实现与外部资讯的交流和沟通,从而获取当今世界的最新信息。
3)通过计算机网络实现多媒体教学。
如电子幻灯片、多媒体交互教学、电子白板等。
4)办公自动化。
通过运用先进的计算机技术实现办公自动化,使学校的各种行政、财务、日常办公等计算机化,提高学校的办事效率。
同时,网络必须具备较高的性能和高度的安全性、可靠性、容错性。
而且网络系统能平滑地向未来新技术过渡,保护已有的投资。
2.4应用程序
通过对陇东学院校园网的需求分析,我们最后要实现其基本的服务功能,必须要有相关的软件设备的硬件设备来支持。
在软件设备这方面,根据分析将来的校园网要实现办公自动化,教学管理自动化,在线信息的共享,必需在服务器端安装相关的应用程序。
如:
办公自动化系统,教学管理系统,网上教学辅助系统等。
还有各个部门根据自己的实际情况,可以在自己的服务器上安装相应的应用系统,如部门内部的人事管理系统等。
未来课根据学校的需求,在动态增加服务器的基础上可相应的增加应用系统来扩展整体系统的功能。
2.5存储系统分析
网络管理中心必需具有大型数据库,从而能对用户的信息,用户的日志文件等重要数据进行存储和备份,防止数据的破坏和丢失。
各个部门根据实际情况具备中小型数据库,用于存储各教研室教学资料,对各专业的教学资料进行备份,以防止发生意外。
网络管理中心必需采用大磁盘阵列存储设备,其它部门可以采用小磁盘进行数据备份。
由于陇东学院的终端在1000台以内,当所有的主机都要访问外网时,分配给每个终端的带宽定为1MB,这样主服务器的带宽可以定为1000MB。
由于此校园网的数据存储量不是很大,sqlserver2000完全可以处理这些数据,而且sqlserver2000得维护比较简单,这样数据库管理系统软件就可定为sqlserver2000。
2.6系统及数据安全分析
校园网已经在我国的教育系统广泛使用,在广大教育工作者和学生们享受它带来的方便的同时,校园网的信息安全问题,也日益突出。
在DDOS攻击在互联网上活动猖獗的时候,大部分攻击都是利用校园网的主机进行的。
黑客利用这些主机在管理上的松懈来达到发动攻击的目的,同时也隐藏了自己。
由此可见,校园网存在严重的安全隐患。
联想根据校园网系统的具体特点,建立一个防护--检测--响应的完整的安全防护体系,从而提高整个网络的安全,保证应用系统的安全性。
2.7Qos
QoS是网络与用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定。
现阶段Internet的状况是比较复杂的,带宽参差不齐、时延大、不稳定。
如何在IP网络上保证用户信息传输的质量就成为一个不容忽视的重要问题,为解决这一问题,网络服务质量(QoS,QualityofService)便应运而生。
随着各种需要大量带宽的新型网络业务的出现,校园网内的业务流量不断增加,对带宽、延迟、抖动等指标提出了更高的要求。
各学校开始考虑在自己的网络中部署QoS,以保证语音、视频等业务的正常运行。
策略是指流量分类、定义的执行,它们确定每个业务的优先级、分配的带宽等一些与QoS有关的内容。
策略服务器是管理员在全网中集中统一定义策略的地方,通过指定的各种策略对园区网中的QoS服务进行控制和管理。
网络设备从策略服务器下载并执行这些定义好的策略,所有支持QoS的设备都遵循策略中定义的规则来转发数据,从而有效地对全网资源进行统一分配与管理。
同时,策略服务器能够根据网络的现状与预先定义的策略调整,自动与网络适应,网络设备会根据策略自动完成相关配置,向不同的业务提供不同的QoS。
部署实现
在校园网中实现基于策略服务器的QoS部署时,主要包括以下三个步骤:
(1)在策略服务器上定义策略;
(2)配置网络设备接收策略;(3)在策略服务器上分发策略。
策略服务器使用了NortelOPS(OptivityPoliceService),同时使用NorteliPlanet目录服务器存储策略信息。
另外,在OPS中定义了网络边缘设备和网络核心设备两类设备。
网络核心设备只是简单地执行已定义的策略,保证全网的策略连续性。
2.8网间隔离
网络隔离:
实现内网和外网的网络隔离。
用户访问内网时,断开外网网络连接;访问外网时,断开内网网络连接。
用户不能同时连入内、外网,始终保持内网、外网网络隔离的状态。
根据学校校园网的结构特点及面临的安全隐患,通常通过瑞星防火墙、入侵检测、网络杀毒软件,实现网络病毒防范的安全需求,为校园构建统一、安全的网络。
防火墙的布置,在Internet与校园网内之间布署了一台瑞星防火墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星入侵检测系统RIPS-100。
将RIPS-100入侵检测引擎接入Cisco中心交换机上,对来自外部网和校园网内部的各种行为进行实时监测。
第三章拓扑图及方案整体描述
3.1主干网传输方案设计
校园网的网络主干采用1个IntelExpress10/100FastEthernetSwitch以太网交换器。
该交换器有8个自动识别速率的10Base-T/100BASE-TX双绞线端口,每个端口支持1个以太网段(10Mbps)或1个快速以太网段(100Mbps)。
它还有两个槽可用于功能扩展,扩展模块可选用2口的100BASE-TX双绞线适配器或100BASE-FX光纤适配器,因此交换器最大可扩到12个端口。
100BASE-FX光纤模块提供了62.5/125多模光纤的SC连接器,当它与其它交换器互连时,支持2KM的连接距离,适合于校园网上建筑物之间的互连。
该交换器还内嵌了一个SNMP代理,能通过SNMP兼容的网管系统进行监控。
它还具有以下特点:
1、IntelFastEthernetSwitch可以在保持现有网络结构不变的情况下将工作组网络向高速以太网转变。
交换器的每个端口能自动调整到最高可能的速率。
所有的端口都可设置为全双工或半双工。
当设置为全双工操作时,每个端口的有效通信速率将提升到200Mbps。
2、支持虚拟网络,提高网络的安全性,并减少网络中的广播信息。
3、支持端口级的全双工操作和流量控制的配置。
4、简单的基于软件的安装和升级。
5、可以通过Intel的LANDeskNetworkManager软件进行统一管理。
由于图书馆和中心网络相距有300米以上,而双绞线只能支持100米,因此我们在中心交换器上还增加了一个100BASE-FX光纤模块。
3.2Internet接入方案
1.DSL宽带接入,其包括ADSL,CDSL,HDSL,IDSL和UDSL等,典型的是ADSL,即不对称数字用户线。
ADSL被普遍认为是具有广阔应用前景的接入技术之一。
2.专线接入,在企业级用户中,主要采用的是专线接入方式。
常用的专线接入使DDN(数字数据网)方式。
速度范围64Kbps至2Mbps。
采用DDN,网络设备需要路由器、NTU、基带调制解调器或HDSL。
租用DDN专线费用详细列表:
表1租用DDN专线费用详细列表
速率
初装费用(元/条)
终端设备
线路月租赁费
信息流量费
区内
区间
DUT2603
PAIRGAIN
区内
区间
64K
2810
2860
6500台
*2
1500
2000
4000
128K
2000
2500
5400
256K
8000*2
2500
3200
7300
384K
3200
4000
9900
512K
3800
5200
133000
768K
4300
6200
180000
1M
5000
7500
243000
2M
6000
8000
300000
校园网和Internet的连接技术就显得十分重要了,它关系到校园网与外部网络能否进行可靠的连接。
用户计算机接入Internet主要有两种方式,通过局域网或通过电话线网。
不过,我们一般采取局域网接入方式。
但不管使用哪种接入方式,首先都要连接到ISP的主机。
从用户角度看,ISP位于Internet的边缘,用户通过某种通信线路连接到ISP,再通过ISP的连接通道接入Internet。
通过局域网接入Internet是指用户局域网使用路由器,通过数据通信网与ISP相连接,
图1校园网拓扑图
再通过ISP的连接通道接入Internet。
选择哪种数据通信网络与租用多大的带宽,通常取决于用户的信息流量与能够承担的费用等多种因素。
3.3远程访问支持
针对移动办公用户通过internet接入企业内部网,建议采用L2TP+IPsec+RSAOTP技术组合,实现VPN的安全可靠接入。
下面对上述三种所涉及的技术做简要介绍。
1.L2TP技术
PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。
L2TP(Layer2TunnelingProtocol)协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。
L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。
L2TP包括以下几个特性。
①安全的身份验证机制:
与PPP类似,L2TP可以对隧道端点进行验证。
不同的是PPP可以选择采用PAP方式以明文传输用户名及密码,而L2TP规定必须使用类似PPPCHAP的验证方式。
②内部地址分配支持:
LNS放置于企业网的防火墙之后,可以对远端用户的地址进行动态分配和管理,还可以支持DHCP和私有地址应用(RFC1918)。
远端用户所分配的地址不是Internet地址而是企业内部的私有地址,方便了地址管理并可以增加安全性。
③统一的网络管理:
L2TP协议已成为标准的RFC协议,有关L2TP的标准MIB也已制定,这样可以统一地采用SNMP网络管理方案进行方便的网络维护与管理。
2.IPSec技术
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec通过AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)这两个安全协议来实现。
而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
IPSec提供以下几种网络安全服务:
私有性:
IPSec在传输数据包之前将其加密,以保证数据的私有性;
完整性:
IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;
真实性:
IPSec端要验证所有受IPSec保护的数据包;
防重放:
IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
3.RSAOTP技术
RSAOTP是建立在“双因素认证”基础上。
该方法的前提是一个单一的记忆因素,如口令,但口令本身只能对真实性进行低级认证,因为任何听到或盗窃口令的人都会显得完全真实,因此需要增加第二个物理认证因素以使认证的确定性按指数递增。
借助强大的用户认证系统,RSA信息安全解决方案可以向授权的员工发放单独登记的设备,以生成个人使用令牌码,这一代码可以根据时间而变化。
每60秒就会生成一个不同的令牌码,保护网络的认证服务器能够验证这个变化的代码是否有效。
每个认证设备都是唯一的,别人无法通过记录以前的令牌代码来预测将来的代码,就可以高度确信该用户即拥有RSA安全认证令牌的合法用户。
每一个令牌密码变换是基于时间和预置的种子的函数。
保证令牌卡与认证服务器的时间同步是保证系统可靠运行的基础。
①与UCT时间同步
全球同步时间(UCT)用来同步所有RSA信息安全公司产品之间的时间。
在发售时,每个RSASecurID令牌都设定为UCT(与格林威治标准时间相同);在安装过程中,RSAACE/Server系统时钟同样设定为UCT。
实质上,全世界各地的所有RSA信息安全公司都被精确设定为相同的时钟,从而不需处理时区差或进行夏令时调整。
②有效令牌窗口和时钟漂移调整
为解决使用基于硬件的令牌所产生的微小时间设置差异和时钟漂移问题,RSAACE/Server在3分钟的时间窗口基础上进行认证,即UCT时钟显示的当前时间、该时间的前一分钟和后一分种。
如果用户名和PIN准确无误,而所提供的密码与当前时间不符,RSAACE/Server会自动将其前一分钟和后一分种匹配项进行核对。
这一过程适用于认证令牌中的时钟略为偏离RSAACE/Server中的时间相位的情况。
如果与其中任一项相符,则用户通过认证,进而在该用户的数据库纪录中创建一个节点,用于调整未来的登录,以反映时间漂移。
假定一个用户定期进行登录,RSAACE/Server会一直调整令牌时间,使令牌码保持在3分钟窗口内。
但是,如果一个用户长期没有登录(一般情况下达几个月),其令牌时间就会漂移到三分钟窗口以外,生成一个无效的令牌码。
在这种情况下,RSAACE/Server会测试当前时间前十分钟和当前时间后十分钟的令牌码,如果它与其中任意一个代码相符,那么RSAACE/Server会再次要求用户输入令牌码,以确认令牌所有权;如果第二个令牌码具有相同的时钟漂移,该令牌就被假定为有效,从而用户通过认证,RSAACE/Server会在该用户纪录中注明特定认证令牌的时钟差异,已备未
升级会员 