校园局域网设计方案.doc
《校园局域网设计方案.doc》由会员分享,可在线阅读,更多相关《校园局域网设计方案.doc(14页珍藏版)》请在冰豆网上搜索。
校园局域网设计方案
xxxxx幼儿园
校园局域网
设
计
方
案
沧州市感知物联网络工程有限公司
2014年8月1日
目录
一、前言 3
二、学校需求分析
1、用户目标 4
三、设计需求分析 5
四、网络总体设计方案 5
1、网路构架分析 5
2、设计思路 6
3、网络方案设计原则 6
4、网路结构概述及拓扑结构图 7
5、Vlan的划分及IP地址的规划 8
6、IP划分、分配 9
五、设备选型
1、防火墙 15
2、中心数据交换机 15
3、接入交换机
4、无线AP
一、前言
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。
同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。
因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。
信息技术的普及教育已经越来越受到人们关注。
学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
城市职业学院网将实现与校内各部门进行通信,城市职业学院大学校园网将为学校的科研、教育、管理提供必要的技术手段,为研究开发和培养人才建立平台,以此加快学校的发展,成为一个具有示范性的学校。
二、学校需求分析
1、用户目标
校园网必须要具备教学、管理和通讯这几大必要的功能。
以便供应教师能够方便地浏览和查询网上资源,进行教学;学生可以方便地浏览和上网查询资料;还有学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层与层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和资源设备的共享,因此,校园网的建设必须有明确的建设目标和明确的构建思路。
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
三、设计需求分析
邮件服务器、WEB服务器、FTP服务器、数据库服务器、数据存储服务器。
千兆光纤系统(用于楼宇之间)、5类双绞线(用于楼宇内),路由器一台、防火墙一台、中心交换机两台、工作组交换机多台(要接入校园网的各个教室,学生休息室,位于分配线柜)。
四、网络总体设计方案
1、网络构架分析
采用千兆以太网技术,具有高带宽1000Mbps速率的主干,100Mbps到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资; 根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。
考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。
学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。
2、设计思路
在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发展需求。
中心交换机和主干交换机采用千兆交换机。
要有完善的安全机制,防止来自外部和内部的非法访问。
3、网络方案设计原则
(1)、先进性原则
(2)、开放性原则
(3)、可管理性原则
(4)、安全性原则
(5)、灵活性和可扩充性原则
(6)、稳定性和可靠性的原则
4、网路结构概述及拓扑结构
网络的拓扑结构是指网络中通信线路和站点(计算机或设备)的相互连接的几何形式。
按照拓扑结构的不同,常见的计算机网络拓扑结构有:
总线型拓扑结构、星型拓扑结构、环型拓扑结构等。
4.1总线型拓扑结构
总线型结构是指各工作站和服务器均连接在一条总线上,各工作站地位平等,无中心节点控制,公用总线上的信息多以基带形式串行传递,其传递方向总是从发送信息的节点开始向两端扩散,如同广播电台发射的信息一样,因此又称广播式计算机网络。
各节点在接收信息时都进行地址检查,看是否与自己的工作站地址相符,相符则接收网上的信息。
4.2星型拓扑结构
星型结构是指各工作站以星型方式连接成网。
网络有中央节点,其他节点(工作站、服务器)都与中央节点直接相连,这种结构以中央节点为中心,因此又称为集中式网络。
4.3环型拓扑结构
环型结构由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环,这种结构使公共传输电缆组成环型连接,数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。
信号通过每台计算机,计算机的作用就像一个中继器,增强该信号,并将该信号发到下一个计算机上。
4.4蜂窝拓扑结构
蜂窝拓扑结构是无线局域网中常用的结构。
它以无线传输介质(微波、a卫星、红外线、无线发射台等)点到点和点到多点传输为特征,是一种无线网,适用于城市网、校园网、企业网,更适合于移动通信。
5、Vlan的划分及IP地址的规划
Vlan划分的原则:
便于管理
Vlan划分理念:
将几个楼划分在同一个Vlan,便于管理。
Vlan具体划分:
如将梅园、桔园、竹园、桂园、桃园这几个宿舍楼划分在同一个Vlan下。
再将博学馆、图书馆划分在同一个Vlan下。
文化楼、实训楼、光华楼划分在同一个Vlan下。
6、IP划分、分配
假设学校的公网IP为200.1.1.0-200.1.1.32
1、教室:
将连到教师办公室的交换机端口划分为VLAN2,将连到教室的交换机端口划分为VLAN3,每台计算机手工设置静态IP地址,DNS为202.96.128.166202.96.18.86,网关192.168.1.1,子网掩码为255.255.255.0,在网络中心的路由器上设置动态NAT共享上网,公网的IP段为200.1.1.1-200.1.1.5。
教室IP范围为:
192.168.1.2-192.168.1.120
教师办公室IP范围为:
192.168.1.120-192.168.1.254
2、学生宿舍区:
将VLAN68到VLAN73分别划分给学生宿舍楼A的1-6层,
VLAN74到VLAN79分别加划分给学生宿舍楼B的1-6层。
其IP地址由网络中心的将路由器设为DHCP服务器,设其IP段为172.18.2.0-172.118.255.255子网掩码为255.255.240.0自动分配给学生宿舍区。
在网络中心的路由器上设置动态NAT上网,公网的IP段为200.1.1.11-200.1.1.20。
五、设备选型
1、防火墙
H3CSecPathF100-M-G防火墙
市场领先的基础安全防护
全面的基础安全防护:
提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。
能够防御ARP欺骗、TCP报文标志位不合法、LargeICMP报文、SYNflood、地址扫描和端口扫描等多种恶意攻击
丰富的VPN特性:
支持L2TPVPN、GREVPN、IPSecVPN及SSLVPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理
专业的NAT应用:
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能
灵活可扩展的深度安全防护
与基础安全防护高度集成的一体化安全业务处理平台
全面的应用层流量识别与管理:
通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/WebThunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制
高精度、高效率的入侵检测引擎。
采用H3C公司自主知识产权的FIRST(FullInspectionwithRigorousStateTest,基于精确状态的全面检测)引擎。
FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率
实时的病毒防护:
采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码
全面、及时的安全特征库。
通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新
技术领先的IPv6
国内率先支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,满足迫在眉睫的IPv6应用需求
支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能
支持IPv6各种过渡技术,包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等
支持IPv6ACL、Radius等安全技术
电信级设备的高可靠性
采用H3C公司拥有自主知识产权的软、硬件平台。
产品应用从电信运营商到中小企业用户,经历了多年的市场考验
支持双机状态热备功能,支持配置同步与IPSecVPN的状态备份,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份
简单易用的智能管理
简单易用的WebUI管理
适合专业用户的全命令行管理
支持基于SNMP和TR-069协议的管理
通过H3CSecCenter安全管理中心实现统一管理
中小企业Internet出口安全
H3CSecPathF100-M-G支持完整的基础安全防护和深度安全防御功能,为企业提供专业的安全防护;F100-M-G能够支持完整的IPv6状态防火墙,满足马上到来的IPv6时代的安全防护需求;同时F100-M-G还内置了链路负载均衡、SSLVPN等丰富特性,能够满足当前互联网出口多ISP链路和移动办公的业务需求。
2、中心数据交换机
H3CS5800PV2-EI千兆交换机
千兆接入方案
在企业网络或园区网络中,S5800PV2-EI系列丰富完善的安全特性能最大程度地降低非法用户和病毒入侵对网络安全带来的危害,同时S5000PV2-EI对SNMP网管特性的支持使其在面对大中型网络的统一管理方面也能应对游刃有余,可广泛使用在企业、学校、酒店等网络搭建。
3、接入交换机
H3CS1600系列安全智能交换机
产品特点
全线速的二层交换:
S1626/S1626-PWR/S1650交换机提供所有端口二层线速交换能力,保证所有
升级会员 