浙江省镇海中学校园网建设成功案例.docx
《浙江省镇海中学校园网建设成功案例.docx》由会员分享,可在线阅读,更多相关《浙江省镇海中学校园网建设成功案例.docx(10页珍藏版)》请在冰豆网上搜索。
浙江省镇海中学校园网建设成功案例
浙江省镇海中学校园网建设成功案例
【校园网简介】
浙江省镇海中学作为浙江省第一所合格一级重点中学,市现代教育技术示范性学校,在教育改革方面一直保持前沿。
为了加快教育信息化的发展步伐,于1993年7月开始建立校园网,到1999年,已初具规模,信息化教学、自动化办公已经成为师生日常学与教必不可缺的组成部分。
为适应时代发展的需要,经过认真细致的规划、可行性分析和考察后,我校于1999年底开始计划升级已有校园网规模,构建千兆校园网,并于次年4月开始动工。
至2000年8月,整个千兆校园网工程全部按设计计划完成,并投入试运行。
整个校园网工程首期投资约800万。
2002年6月,我校与电信合作,实现宽带接入。
之后于宁波网通合作,用网通的技术加上我们的教师录象,开设名师网上课堂。
校园网以网络信息中心为核心,为用户提供多种服务。
每位老师拥有一个节点,每个普通教室两个节点,理科创新实验班每人一台计算机+一个节点,实现全校所有计算机全部联入Internet。
教师能自觉熟练地应用网络备课授课,计算机及网络利用率极大,教育手段和效果朝最优化方向发展。
一.可行性及需求分析
(一)网络规划
设计网络,不仅要建成今天的优良网络,更重要的是要有能力适应将来的不断改进,不能成为名噪一时的空架子;而且要让所花的每一分钱花得其所,用到实处,网络的成败的关键因素在于网络是否在实际工作中得到广泛应用。
因此镇海中学校园网的设计着眼于未来的可持续发展,立足应用,把随时间推移,校园网应用的普及程度及普及效果作为评判成败的标准。
镇海中学校园网的主干网采用千兆位以太网技术,星型拓扑结构(如图一所示)。
选用CISCOCatalyst6506作为主交换机,服务器组以1000Mbps光纤与主交换机直接相连,主交换机通过光缆和UTP连接各二级交换机。
二级交换机以CISCOCatalyst2900和CISCOCatalyst3500系列为主,子网采用10Mbps的交换以太网和10/100Mbps的交换型快速以太网。
当二级交换机端口不够时,采用交换机或集线器(Hub)形成下一级子网。
图一镇海中学校园网拓扑图
内部网络通过路由器、防火墙、对外服务器与Internet建立连接。
网内用户IP地址采用私用地址,建立DHCP服务器,提供内部地址池。
教师办公楼、教学楼和理科创新实验班计算机教室采用千兆光纤直接接入CISCOCatalyst6506交换机,其他线路采用百兆光纤。
(二)镇海中学建筑布局
图二是镇海中学主要入网建筑的布局。
整个校园地势平稳,建筑物间无明显阻挡物,无电缆禁区,已有可利用的介质系统,电缆光纤铺设难度不大。
其中图书电教楼入网点最多,包括网络信息中心、三个计算机教室、电子阅览室、图书馆等;其次是教师办公楼、四号教学楼,接入点也相对较多,包括各教研组、理科创新实验班;其它教学楼每间教室两个接入点。
图二镇海中学主要入网建筑的布局
从地理布局上看,似乎把网络中心建立在实验楼更为妥当,因为它相对其他入网点的距离比较平均;但实际上网络中心最科学的位置是在图书电教楼,理由是图书电教楼的入网点占了全校1/3以上,而且图书电教楼的建筑结构更为合理,便于结构化布线,扩展接入点可能性更大。
(三)用户设备类型
镇海中学为每位老师、每间教室配备PIII以上计算机一台,每台计算机均有10M/100M网卡,保证每间办公室每位老师有一个网络接入点,这就为无本地处理能力的终端提供了入网的机会。
网络终端比较集中,利于布线。
(四)网络服务需求
镇海中学校园网建设的目的和最终意义在于应用。
建立一个高效率、低成本的网络以满足教学工作日益增长的需求是设计这个网络的目标,为此必须对用户的需求做详细的调查。
教师和社会对镇海中学网络的需求主要是:
1.网页浏览
在校园网建立自己的Web服务器,校内外均可通过浏览器访问到
教师需要通过自己PC上的浏览器方便地浏览网页,从而获取信息,这是校园网对终端用户最直接的作用;由于不可能有那么多的IP地址满足每个网络终端的需求,因此需要设立DHCP服务器,使用户自动获取内部IP地址,免去了许多不必要的操作,并通过建立虚网(VLAN),方便网管对内部用户的控制和管理,而且能起到网络安全控制的作用;另外通过应用层代理网关,使内外以防火墙为界,既可保证内部访问网站的健康性,有可以直接在服务器上过滤外来的侵入。
在网管中心利用SOCK安全服务,通过配置代理服务器的方法控制用户使用Proxy服务的权限,建立内部用户对外Web浏览的验证,普通老师必须通过用户标识和正确的口令才能浏览外部Web。
2.教学资源共享
教学资源共享指的是教师利用校园网提供的空间,交流各自的学科资源,这包括对内和对外交流的共享资源。
这就要求有对共享资源读、写、编、删的操作和与该用户相对应的验证机制,以便普通教师能在自己的PC上任意修改自己的教学相关资源,也可避免其他人的恶意篡改。
学校专门建立一个FTP站点,用户通过验证即可对自己的资源空间进行管理,此外网络中心还专门建立了一个光盘塔,供校内用户下载使用。
视频点播VOD系统里提供了名教师课堂录象,也成为教学资源共享的另一种重要形式。
3.电子公告栏BBS
设立电子公告栏,以动态交互的建立论坛。
在教学中,BBS可以方便地使人与人之间形成对话,共同探讨问题,发表见解。
镇海中学近年来尝试的场线结合教学模式研究便是基于BBS(镇中论坛)开展的,各方面反映良好。
论坛的用户注册非常严格,注册者必须绝对服从相关服务条款,且如实填写信息方可验证通过。
在论坛中分派用户权限,指派相关人员作为管理员,协助网管维护论坛秩序。
不良言论一经发现,管理员可直接查询发言者来源,并封杀其帐号,保证论坛健康性。
镇中论坛正在成长中,正在逐步规范和净化言论空间。
图三镇中论坛版块结构
4.稳定安全的电子邮件服务
电子邮件服务是交流信息的重要手段,但电子邮件往往不易于管理,存在的重要的安全性问题。
一方面要保证各邮箱使用者的验证和权限行使;另一方面要屏蔽不良信息的侵入,这包括带病毒邮件、反动邮件、成人邮件等;还要防止内部不良言论的散布。
在这方面,镇海中学针对邮件专门花大力研究邮件规则,已基本有效地解决了这些问题。
5.可靠的办公自动化软件
办公自动化是近年来比较普及的办公手段,帮助教师们快速建立起一个弹性、灵活、高效的电子化协同办公与知识管理环境。
当今办公自动化软件已进入到了第三代,即以知识管理为核心的办公自动化,其目的是有条不紊的协调工作,把学校长期保存下来的信息资源,连同教师积累的实践经验和创新思想进行有效地整理、挖掘、共享和利用,使学校了解如何利用这些知识来进一步发展、壮大。
实际上,应用好第三代办公自动化软件,将大大地提高学校内部信息化水平,促使学校内部信息资源重新整合、配置,以适应于信息化时代的要求,使学校在信息化大潮中始终游刃有余。
镇海中学采用基于B/S的求索软件,杭州求索公司根据我校的具体需要不断完善系统,目前该软件已经全面试用,运行良好。
图四镇海中学校园网平台软件
6.资源丰富的视频点播VOD系统
视频点播(VOD)系统的优点在于它建立在局域网平台上,采用全Web界面开发及国际先进的流媒体技术,实现边下载边播放,用户点播时无需等待;教师可以使用VOD里的视音频资源,在课堂上向学生更生动的展现教学内容,使教学更贴近实际,课堂上使用VOD起到很好的教学辅助效果,加大了计算机在教学过程中的利用。
镇海中学所使用的是求索VOD视频点播系统,使用中面临的问题就是资源的短缺和及时性,为此镇海中学一直不断地丰富VOD资源,VOD点击率上升趋势明显。
7.通信类型和通讯量
在学校,通信类型主要包括数据、视音频信号,网络设计时需要充分考虑这些因素,保证教师能在有余的带宽中顺利完成数据的传输,拓宽带宽是最有效的手段。
8.容量和性能
网络容量指在任何时间间隔网络能承担的通信量,网络性能一般用经过网络的响应时间或端-端延时表示,规划网络需要掌握了网络上将负担的通信量以及用户响应时间的要求后。
才能选择网络的类型及其配置,以便更好地满足需求。
二.网络设计原则
1.先进、成熟性原则
镇海中学校园网采用成熟且先进的千兆位以太网(GigabitEthernet)交换技术。
在原本已有的10Mbps以太网和100Mbps快速以太网的基础上升级为千兆位以太网是完全可行且实惠的,千兆网是成熟的10Mbps以太网和100Mbps快速以太网标准的自然扩展。
由于当前大部分局域网均采用以太网技术,而且使用的操作系统与上层协议均与以太网兼容,所以从原有10Mbps以太网和100Mbps快速以太网向千兆以太网的过渡可以做到无缝的升级,且成本相对不高,可以为校园网提供足够的带宽。
因此,镇海中学校园网采用基于第三层交换的千兆位以太网作为整个校园网主干,采用模块化设计和分层星型拓扑结构。
该结构下的每个分支子系统都是相对独立的单元,对于每个分支子系统的改动都不影响其他子系统,只要改变结点的连接方式就可以根据需要使综合布线在星形、总线形、环形、树状形等结构之间进行变换。
镇海中学入网节点800多个,主干网采用两块八口千兆模块的CiscoCatalyst6506作为主交换机,以提供分支交换机的上联端口,其背板带宽达到32Gbps,并可扩展到256Gbps。
网内运用多层交换技术和基于IP子网划分,方便了校园网的维护。
随着校园网用户数目与新的应用需求不断增加,特别是网上备课、教学资源共享、集体协作开发教学软件、基于网络的多媒体运用及远程教育应用的展开,对校园网主干带宽提出了更新更高的要求,因此希望:
新的校园主干采用具有第三层交换功能的千兆位以太网(GigabitEthernet)以满足广大校园网用户的各种要求。
新的主干建设应能保护校园网的已有可用资源,并与原有校园网实施最佳连接,提供新校园网的管理方案与管理策略。
新的主干设备应能够满足更多的用户需求。
镇海中学校园网服务器组由惠普HPLH6000、LH3000、浪潮英信NP70等组成,随着网络技术的发展,选用服务器群可以采用较为廉价的一组服务器提供原来只有昂贵的小型机或中型机才能提供的功能和性能,并且由于服务功能分别加载到多个服务器上,通过网络服务把提供各种服务的服务器群连接成为一个整体,增加了整个系统运行的可靠性。
服务器集群提高了系统的灵活性,而且可以互相备份各自任务,多个服务器处理可提供各自的服务又可缓解单个服务器提供多重服务的压力,系统的稳定性和可靠性大大提高了,群件结构增加了应用系统的可伸缩性,分离了独立事件,增强了网络中抗击不可预知事件的能力。
此外,在软件方面,镇海中学校园网采用比较安全稳定的MicrosoftWindows2000AdvanceServer为主的操作系统,和公认性能稳定可靠的应用软件,网管软件可对接入层交换设备进行远程可操作的能力(如在网络中心对接入交换机进行针对端口IP过滤条件的远程设置)。
2.开放性原则
镇海中学的校园网建设具有开放性原则。
当今网络技术发展速度惊人,如果没有技术前瞻性,采用过时的技术建立起来的网络结构很可能随着技术的发展被淘汰。
因此,为保证构建后的网络能适应未来若干年的网络发展趋势,系统中的硬件、软件、网络协议和数据库系统都应采用与国际标准兼容的开放协议。
这种开放性靠标准化实现,使用符合这些标准的计算机系统很容易进行网络互联。
为此,必须制定全网统一的网络体系结构,并遵循统一的通信协议标准。
网络体系结构和通信协议应选择广泛使用的国际工业标准,使得校园网络成为一个完全开放式的网络计算环境。
开放性原则包括采用开放标准、开放技术、开放结构、开放系统组件、开放用户接口。
其主要表现在以下几方面:
首先,要有开放式的网络环境,可与其它网络互联并实现信息的交换与共享,要遵循国际标准,包括网际互联协议标准,网管标准等;
其次,网络系统要具有实用性,针对性,并且可以满足今后网络技术的不断发展,使网络使用体现最优的性能价格比
所有设备都基于简便的管理、扩充及升级的可行性基础上。
3.安全性可靠性原则
镇海中学校园网的安全可靠性主要体现在对内部用户管理的安全性和对外服务的安全可靠性上。
由于网络的开放性,校园网面临对内和对外两方面问题。
在一般的类似校园网规模的网络内,存在的问题主要有以下几种情况:
校园网内部用户拥有自己的上网帐号、校园网软件帐号、电子邮件帐号、BBS帐号等,根据各自不同情况,不同用户可能有不同权限,这就难以保证由于帐号密码遗失或他人非法窃取破解用户ID和密码做恶意攻击的可能性;
内部用户对服务器进行扫描加大服务器负荷,从而造成网络瘫痪;
内部用户浏览不健康网站或在内部发布不良信息;
由于未及时升级杀毒软件,致使计算机病毒在网内蔓延,造成他人计算机乃至服务器的破坏;
在对外方面,主要可能出现的情况是:
不健康信息的流入;
这类问题主要出现在BBS或电子邮件上。
在BBS用户如果利用BBS把色情、暴力、反动等信息发布出去,或者在电子邮件里包含了不健康的信息,那将对校园网内的用户尤其学生带来极为不良的影响。
来自外部的病毒传播;
由于浏览了带病毒的网站、接受了带病毒邮件、下载并运行了带病毒软件都可能带来网络的灾难性破坏。
恶意攻击服务器;
互联网可谓没有安全的地方,一旦和外部接轨,总会受到这样那样或轻或重的攻击,这些攻击包括窃取破译网管口令、篡改服务器内文件、非法侵入核心网络获取机密文件等等。
鉴于内部外部存在的问题都比较严重,镇海中学校园网采取了多种方式来保证网络的正常运转及网内用户数据的安全。
首先,在服务器上建立了一套严格的访问控制机制,对不同用户进行权限分配,网管员能方便的对内部用户的各种访问进程加以管理。
其次,建立完善的防火墙,通过入侵检测系统阻止网络不法分子的攻击。
通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下报警,尤其对于非常规的信息量通过时除进行检查外,应做日志记录;防火墙使校园网用户仅可以享用网管所给予的服务,而禁止对保护网络的不良系统的访问。
镇海中学的防火墙运用了应用层代理防火墙(Proxy)和包过滤防火墙(PachetFliter)。
其中,应用层代理防火墙通常由两部分构成,服务器端程序和客户端程序。
客户端程序与中间节点(ProxyServer)连接,中间节点再与提供服务的服务器实际连接。
内外网间不存在直接的连接,而且代理服务器提供日志(Log)和审计(Audit)服务。
包过滤(PacketFliter)通常安装在路由器上,我们使用的是Cisco2621路由器,提供了包过滤的功能。
包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。
镇海中学校园网使用著名的CheckPointFirewall-1防火墙。
CheckPointFirewall-1是基于Unix、WindowsNT平台上的软件防火墙,包含了管理模块、GUI客户端和强制模块,属状态检测型,综合性能较为优秀。
首先,其安全控制力度很高,尽管是状态检测型防火墙,但是它可以进行基于内容的安全检查,如对由内向外的URL进行控制;对某些应用,它甚至可以限制可使用的命令,如FTP、Telnet等。
其次,它基于地址、应用设置过滤规则,而且还提供了多种用户认证机制,如UserAuthentication、ClientAuthentication和SessionAuthentication,使安全控制方式更趋灵活。
再次,CheckPointFirewall-1是一个开放的安全系统,提供了API,用户可以根据需要配置安全检查模块,如病毒检查模块。
除此以外,CheckPointFirewall-1的用户管理方式也非常优秀。
它采用集中管理模式,即用户可以通过GUI用户界面同防火墙管理模块(CheckPointFirewallManagementModule)通信,维护安全规则;而防火墙管理模块则负责编译安全规则,并下载到各个防火墙模块中。
对于用户而言,管理线条十分清晰,不易疏漏,修改方便。
镇海中学校园网防火墙设置规则如下:
允许内部任何主机访问教科网61.153.*.*/27;
允许外部任何主机访问内部WWW服务器提供的HTTP、FTP服务;
允许外部任何主机访问内部Mail服务器提供的SMTP、POP3、POP2、IMAP4以及DNS服务;
允许内部服务器组(61.153.*.*/27)访问外部任何主机;
允许内部Proxy服务器访问外部任何主机;
禁止外部主机访问内部网络;
禁止内部主机(10.0.0.0)直接访问外部任何主机。
在防火墙上设置了地址转换功能。
禁止内部非网管用户用Telnet登录服务器及交换机
图六具有良好的GUI的CheckPoint管理界面
此外,镇海中学校园网还采用了三层交换技术。
交换在网络层完成,检查数据包信息,并根据网络层目标地址转发数据包。
与固定的第二层寻址系统不同,第三层地址由网络管理员安装的网络分层确定。
网络管理员可以创建地址组(子网)。
这些子网可使网络管理员以一个单元(子网)的形式轻松地管理子网成员,从而支持建立一个能够扩展的分层寻址系统。
这样提高了网络效率,也能够创建更加易于扩展和维护的更大规模的网络。
虚拟局域网(VLAN)的建立有效的抑制了广播风暴的发生,还可以由网管员控制和阻塞某些VLAN到VLAN通信,阻塞某些IP地址,甚至能防止某些子网访问特定的信息。
4、可维护性原则
镇海中学校园网需要良好的组织和管理,需要有助于网络的正常运转,网络提供了方便、灵活、有力的工具,使得无论是安装、操作还是使用对用户来说都轻而易举。
由于网络系统是运行在整个校园网的中心,因此需要对网络活动进行集中式的有效的控制与管理。
以全局的角度考虑网管,从而避免用户在网络安装后的管理成为负担。
方便的监控、有好的网管界面、完备的系统记录,都能够使系统维护人员在不改变系统运行的情况下对网络系统轻松自如地进行检测、修改及故障恢复等日常的管理维护工作。
在日常对网络的作整体维护时,我们使用CISCOWorks系列软件,图七是CISCOWorks的重要组成CWSI(CiscoWorkesforSwitchedInternetWork)界面,该软件基于SNMP,面向无连接管理,完全支持SNMP的get和set操作,对网络设备进行状态监控、故障诊断、数据流量分析等操作,而且可以无缝地集成常用的网络管理平台,如SunNetManager等。
此外它还具有可视界面,对于设计、配置、管理VLAN非常方便。
5、实用性完整性原则
建立镇海校园网的初衷即是立足应用,讲求实效性,避免不合理的技术(哪怕是很简短的技术)与我们实际应用及将来的发展造成的不适应。
所采用的技术及提供的服务都必须以是否具有实际意义实际功效作为评价其优劣的唯一标准。
校园网的建设虽说不需要面面俱到,但有一点是最重要的,那就是起码必须保证当前使用的需要和将来发展需要这两点。
如果片面的追求大而全忽视了实际应用中是否能派上用场,或者只注重眼前的需要不放眼未来的话,这个校园网的今天的成绩必将很快被时代所淘汰,这点从当今IT的发展速度便可知晓。
因此镇海中学校园网的建设没有坐井观天,而是把今后发展放在首要位置,着眼于今后的变化,以便到时升级系统时更容易更可靠。
6、可扩展性原则
因为目前的网络方案是基于满足当前需求的,随着用户应用规模的不断扩大,网络应可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,为了保护用户的投资,此方案中的网络设备在将来网络升级或者再投资的情况下,能够随时通过增加网络设备或模块来对现有设备进行升级和扩展,并能把替换下来的网络设备应用到分支或边缘网络上。
网络设计充分考虑到未来网络升级的平稳衔接,保证网络通讯介质、网络基本设计核心的向后兼容性。
同时保证原有设备的正常使用,保护已有投资的长期有效。
【结论】
校园网的建设必须把实际应用放在首位,杜绝脱离实际的"浮"思想,一味追求所谓高科技,同时又不能因循守旧,迈不开发展的步伐。
行政管理需要与时俱进的思想,网络管理也一样。
升级会员 