xx中学校园网设计.docx
《xx中学校园网设计.docx》由会员分享,可在线阅读,更多相关《xx中学校园网设计.docx(25页珍藏版)》请在冰豆网上搜索。
xx中学校园网设计
网络工程课程设计报告
题目:
xxx中学校园网络系统设计
专业:
班级:
设计时间:
学号:
学生姓名:
指导教师:
学院
年月日
课程论文(设计)任务书
学生信息
学号
学院
班级
姓名
专业
教师信息
姓名
职称
学历
任务书发出时间
论文(设计)题目
论文(设计)起止时间
共需周数
主要内容
通过设计一个完整的校园网络,使学生掌握网络分析、网络设计、网络施工、网络测试方面的基本工程分析技能,学会网络工程方案书或工程标书的书写规范,培养学生综合运用计算机网络技术、组网技术、网络综合布线技术、网络管理技术、网络安全技术等方面的知识解决企业网络信息系统的构建的基本能力。
主要要求
1.项目概述:
XX中学要实施信息化,需要建设校园网络系统,网络要能提供功能有:
(1)Internet接入,学校各职能部门接入(教务处、政教处、后勤处、各教研室、计算机实验室等的接入),教师宿舍接入(视具体情况),学生宿舍的接入(视具体情况)。
教师宿舍和学生宿舍实施收费。
(2)Internet服务,学校建立web服务器,提供对外信息发布和学校基本情况的介绍等。
(3)办公系统:
学校的财务、教务、教学、图书阅览等办公系统,提供远程办公接入。
(4)网络服务:
提供校内外、地址解析服务,地址分配服务,安全保护服务,网络管理与运维服务等。
2.项目任务:
(1)完成项目的需求分析,包括:
功能需求、性能需求、服务管理需求、安全需求等。
(2)完成系统的的设计,包括:
网络系统的逻辑、网络系统的物理设计、网络应用系统设计,网络系统的安全设计、网络综合布线施工设计、系统测试方案设计等。
4.项目设计要求:
(1)必须有完整的现场施工平面图,综合布线图,综合布线各种主要材料的详细需求及预算过程,详细的综合布线施工要求和测试方案,以及参考标准等。
(2)必须有完整的网络拓扑图,网络拓扑图标明设备功能、型号、IP地址,并说明分析各部分的功能和作用,有详细的IP地址规划方案,出口IP网络地址前6位用当地邮编地址,网络通信设备的选型、接口、模块、参考价格和每一设备详细的配置命令文件(不做要求)。
(3)必须有安全设计与规划,网络安全架构、系统安全配置、安全策略应充分考虑信息系统的信息的机密性、可用性、完整性,详细说明安全策略;(可选)安全设备应当有详细的配置命令文件。
(4)应用服务系统设计必须有软件和硬件设备的详细配置(类型、型号、配置、版本),及选型分析,必须考虑容错、备份。
(5)必须有完整的网络服务设计,包括网络运行服务(DNS,DHCP),网络配置管理、计费管理、认证管理等;包括网络操作系统软件的选择、网络管理软件的选择、网络接入方式选择等。
预期目标
完整的中学校园网络系统设计和实施方案,包括.网络拓扑图、ip地址规划、子网设计、安全规划、综合布线设计、项目预算、测试方案设计等。
计划进程:
第1天,绘制自己所就读中学建筑结构平面图
第2天,分析学校的职能部门,业务应用,完成网络系统需求分析
第3天,网络架构设计,绘制网络拓扑图
第4天,IP地址规划,路由策略规划
第5天,网络数据中心、服务和管理子系统设计
第6天,网络安全规划
第7天,综合布线设计
第8天,网络设备选型
第9天,网络测试方案设计
第10天,撰写设计报告,考核
参考资料
[1]胡胜红编.网络工程原理与实践教程(第2版).2008年4月人民邮电出版社
[2]陈向阳等编著.网络工程规划与设计.清华大学出版社.2007.3
[3]白涛编著.网络工程实施技术与方案大全.电子工业出版社.2008年6月
[4]千家综合布线网:
http:
//www.cabling-
[5]h3c官方网站:
[6]cisco官方网站:
[7]
系主任意见:
签名:
注:
各项栏目空格不够,可自行扩大。
1需求分析
1.1建设目标
xxx中学要实施信息化,需要建设校园网络系统,网络要能提供功能有:
(1)Internet接入,学校各职能部门接入(教务处、政教处、后勤处、各教研室、计算机实验室等的接入),教师宿舍接入,学生宿舍的接入。
教师宿舍和学生宿舍实施收费。
(2)Internet服务,学校建立web服务器,提供对外信息发布和学校基本情况的介绍等。
(3)办公系统:
学校的财务、教务、教学、图书阅览等办公系统,提供远程办公接入。
(4)网络服务:
提供校内外、地址解析服务,地址分配服务,安全保护服务,网络管理与运维服务等。
1.2建设原则
校园网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。
并且从学校的利益出发,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据校园网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是:
高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。
我们遵循以下的原则进行网络设计:
1.实用性和经济性
网络建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设的万兆骨干网络平台,保护用户的投资。
2.先进性和成熟性
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证贵校网络建设的领先地位,采用万兆以太网技术来构建网络主干线路。
3.可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,锐捷网络做为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。
为了保证骨干网络平台的健壮性和链路冗余性,建议网络实施时在学校启用千兆备份线路。
在学校启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
4.安全性和保密性
在网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等,锐捷网络充分考虑安全性,针对的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定(过滤)、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。
5.可扩展性和可管理性
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。
最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
为了适应网络结构变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。
为了便于扩展,对于核心设备必须采用模块化高密度端口的设备,便于将来升级和扩展。
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。
全线采用基于SNMP标准的可网管产品,达到全程网管,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性。
1.3功能需求
网络管理中心:
建立并维护学校校园网的运行管理系统,保证其正常工作,处理校园网络运行中出现的异常事件,并说明原因,负责与物理信道提供部门的工作联系,负责校园网及本中心的网络设备和校园网内网的信息安全,对网络进行远程管理。
政教处、教务处:
管理在校师生信息及进行教学安排。
财务处:
管理教师的工资信息,学校收入支出信息,信息的安全性要求较高。
图书馆:
对图书信息和读者借阅信息进行管理。
食堂:
对师生就餐的刷卡系统进行管理。
教师宿舍、学生宿舍:
学校师生需要通过校园网络访问图书借阅系统,以及连接Internet,以便和其他学校进行交流讨论,为远程教育的进一步推广提供必要条件。
教师还要求访问学校的财务系统,教务系统。
保卫处:
主要需要使用网络系统安装监控系统对学校的安全工作进行维护。
体育教学组、数学组、英语组、语文组、地理组、生物组、历史组、政治组、物理组、化学组、音乐组等教研组主要使用文件传输服务,邮件服务,浏览网页,查找资料。
1.4性能需求
在校园网络中,视频、音频、数据集于一身,如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输,就没法对流做出最高优先级和次高优先级及底优先级的分类,这样就不能保证重要业务的畅通,造成网络延迟、服务不可用。
所以要想真正改变网络的效率,更有效的保证应用服务的运营,需要通过端到端的QOS,智能到边缘的方式来保证。
通过智能到边缘,端到端的应用方式,可以减少对网络核心设备的消耗,这样保证了网络的有效畅通。
可以对园区网应用中的,多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。
对不同服务流进行详细的分类,划分优先级,以及尽可能地避免发生拥塞。
1.5服务管理需求
学校通过建立网络中心,对整个校园网络实施管理,其中包括了对教师宿舍,学生宿舍的网络流量控制,对外来访问者权限的管理,提供远程访问控制,还提供网络安全管理,网络故障恢复,数据库安全维护等。
1.6安全需求
在校园网络中,对于校园网的安全保障十分重要:
校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。
学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。
另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。
为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。
由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。
2逻辑设计
2.1网络拓扑规划
2.1.1物理分布图
为了便于设计及施工安排,为每栋建筑设置了编号。
具体情况如图1-1:
1保卫处2,3,9教师宿舍4食堂5主教学楼6,10旧教学楼7新教师宿舍8学生宿舍11图书馆12新教学楼站街中学建筑结构平面图(备注:
XX平面图原图见附件1)
图2.1
信息点分布表格:
表2-1
楼名
光纤配线架
铜缆配线架
图书馆
1
2
宿舍楼
0
1
教学楼
2
4
保卫处
0
1
合计
3
8
楼层信息点数分布表格:
表2-2
楼名
层数
信息点
图书馆
4
16
学生宿舍
3
12
教师宿舍(3栋)
3
36
新教学楼
4
32
旧教学楼(3栋)
2
24
主教学楼
6
70+60
食堂
2
2
保卫处
2
4
合计
26
256
2.1.2网络拓扑
图2.2
2.2IP规划和命名模型设计
2.2.1网络地址分配
因本设计要求出口IP网络地址前6位用XX中学所在地邮政编码。
故连接到因特网的路由器地址可指定为:
55.14.3.1/24
接入路由器外口S055.14.3.1/24内口E055.14.3.2/24
表2-1
服务器
私网IP
NAT
电子邮件服务器
192.168.15.10/24
55.14.3.4/24
WEB服务器
192.168.15.20/24
55.14.3.5/24
DNS服务器
192.168.15.30/24
55.14.3.6/24
FTP服务器
192.168.15.40/24
55.14.3.7/24
数据库服务器
192.168.15.50/24
内网NAT地址池:
55.14.3.8/24--55.14.3.254/24
防火墙:
表2-1
IP地址
端口
对端设备
对端IP地址
对端端口
55.41.3.3/24
E0
接入路由器
56.45.0.2/24
E0
192.168.15.254/24
E1
DMZ交换机
192.168.15.253/24
电子邮件服务器
192.168.15.1/24
WEB服务器
192.168.15.2/24
DNS服务器
192.168.15.3/24
FTP服务器
192.168.15.4/24
2.2.2IP规划及VLAN划分
站街中学校VLAN与IP网段的划分
表2-2
VLAN地点
网段IP
网关
备注
主
教
学
楼
网络中心
192.168.1.0/24
192.168.1.254/24
VLAN1
教务处
192.168.2.0/24
192.168.2.254/24
VLAN2
处
192.168.3.0/24
192.168.3.254/24
VLAN3
各教研组
192.168.4.0/24
192.168.4.254/24
VLAN4
各教室
192.168.5.0/24
192.168.5.254/24
VLAN5
财务室
192.168.6.0/24
192.168.6.254/24
VLAN6
图书馆
192.168.7.0/24
192.168.7.254/24
VLAN7
食堂
192.168.8.0/24
192.168.8.254/24
VLAN8
学生宿舍
192.168.9.0/24
192.168.9.254/24
VLAN9
教师宿舍
新宿舍
192.168.10.0/24
192.168.10.254/24
VLAN10
旧宿舍
192.168.11.0/24
192.168.11.254/24
VLAN11
保卫处
192.168.12.0/24
192.168.12.254/24
VLAN12
教学楼
新教学楼
192.168.13.0/24
192.168.13.254/24
VLAN13
旧教学楼
192.168.14.0/24
192.168.14.254/24
VLAN14
DMZ服务器群
192.168.15.0/24
192.168.15.254/24
VLAN15
2.2.3命名设计
qzzjzx是xxx中学的汉语拼音首字母缩写,本方案采用CERNET接入Internet.
WEB服务器的域名为:
FTP服务器的域名为:
邮件服务器的域名为:
DNS服务器的域名为:
2.3交换和路由协议设计规划
2.3.1交换协议的选择
结合xx中学的网络需求分析和网络拓扑图设计,需要对校园网络进行VLAN的划分,在这里使用Vlan中继器协议即VTP来实现交换机之间交换信息。
采用VTP(VLANTrunkingProtocol)协议可以简化配置。
VTP有三种工作模式:
服务器模式、客户端模式和透明模式,默认是服务器模式。
2.3.2路由协议选择
1.外部网关协议选择
BGP是外部路由协议,用来在AS之间传递路由信息,是一种增强的距离矢量路由协议。
BGP的特点:
可靠的路由更新机制,丰富的Metric度量方法,从设计上避免了环路的发生,为路由附带属性信息,支持CIDR(无类别域间选路),丰富的路由过滤和路由策略。
2.内部网关协议选择
本方案采用OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。
在这里,路由域是指一个自治系统(AutonomousSystem),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。
在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。
运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
2.4安全策略设计
2.4.1网络安全规划
网络安全性包括信息安全性,网络本身的安全性,保证系统的安全性。
要从管理和技术角度制定不同的安全策略。
安全设备的技术性能和功能,必须满足行业系统管理体制的要求,即能基于网络实现安全管理,具有接受网络信息安全管理机构管理的能力,还要不影响原网络拓扑结构。
2.4.2网络安全规划原则
在对校园网局域网网络系统安全方案设计、规划时,也应遵循一定的原则。
1.需求、风险、代价平衡的原则:
对任一网络,绝对安全难以达到,也不一定是必要的。
对一个网络进行实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
2.一致性原则:
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
3.适度安全性原则:
系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性,在允许的风险范围内尽量减少安全服务的规模和复杂性,使之具有可操作性,避免超出用户所能理解的范围,变得很难执行或无法执行。
4.易操作性原则:
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,措施的采用不能影响系统的正常运行。
5.多重保护原则:
任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
2.4.3网络安全规划目标
局域网络系统建成之后,应该达到如下的目标:
建立一套完整可行的网络安全与网络管理策略;将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信;建立网站各主机和服务器的安全保护措施,保证他们的系统安全;对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;加强合法用户的访问认证,同时将用户的访问权限控制在最低限度;全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志;备份与灾难恢复——强化系统备份,实现系统快速恢复;加强网络安全管理,提高系统全体人员的网络安全意识和防范技术。
2.4.4xxx中学网络安全规划具体方案
建立安全的管理机制,非专业人士禁止操作管理系统,对管理人员进行身份验证。
构建全程全网的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
它是保证网络安全最重要的核心策略之一。
具体方案包括以下六个方面:
(1)物理安全:
物理安全保证计算机网络系统各种设备的物理安全是整个网络安全的前提。
物理安全是保护计算机网络设备、设备以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
其目的是保护计算机系统、web服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。
(2)链路安全:
链路安全主要解决网络系统中。
链路级点对点公用信道上的安全。
在网络系统中,采用专线或IP宽带异地局域网的连接。
因此在公共链路上采用一定的安全手段可以保证信怠传输的安全。
对抗通信链路上的窃听、篡改、重放、流量分析等攻击。
同时,还应对局域网内部进行相应的划分,以确保各子网的安全。
其主要手段是链路加密和VLAN。
(3)网络安全:
系统(主机、服务器)安全、反病毒、系统安全检测、人侵检测(监控)、审计分析、网络运行安全、局域网、子网安全访问控制(防火墙)网络安全检测。
(4)信息安全:
主要涉及到用户身份鉴别、信息传输的安全、信息存储的安全以及对网络传输信息内容的审计等几方面。
(5)信息审计:
针对网络系统.在系统内容纳了很多敏感或涉密信息。
如果这些信息被有意或无意中泄露出去,将会产生严重的后果。
为防止与追查网上机密信息的泄露行为,并防止不良信息的流入,可在网络接口连接处.对进出网络的信息流实施内容审计。
(6)安全管理:
管理性和技术性的安全措施是相辅相成的.在对技术性措施进行设计的同时.必须考虑安全管理措施。
因为诸多的不安全因素恰恰反映在组织管理和人员使用方面.而这又是计算机网络安全所必须考虑的基本问题.所以应引起各计算机网络应用部门领导的重视。
针对网络系统,随着安全工程的规划与实施。
必须逐渐建立健全一套自上而下的安全组织机构与有关管理的规章制度。
2.5管理策略设计
网络系统建设完成后,将会面临一个长期而艰巨的任务——网络管理与系统维护。
只有建立高效的网络管理团队,网络系统的内在潜力才会彻底释放出来,网络建设的预期目的才能最终实现。
因此,建立完善的管理策略是十分有必要的。
2.5.1配置管理
配置管理的目标是监视网络和系统的配置信息,以便跟踪和管理不同的软、硬部件对网络操作的作用。
1.配置管理的监控对象
该功能需要监视和控制的对象包括:
(1)网络资源及其活动状态;
(2)网络资源之间的关系;
(3)新资源的引入和旧资源的删除;
2.配置管理的操作
相关管理软件按照设备生产厂商的使用说明或厂商提供的培训服务进行配置。
千万不能违规操作,以免造成损失,为学校的信息安全带来严重的后果。
2.5.2认证管理
通过将学校师生信息录入数据库系统,实现对学校师生的访问进行身份认证。
为学校师生设立账号、密码以供访问校园网是进行认证,达到禁止非法用户的恶意访问的目的。
2.5.3计费管理
计费管理通过管理软件来进行网络流量的统计,并根据相关标准和方案对接入校园网的用户实施合理收费。
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。
它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。
网络管理者还可以规定用户可使用的最大费用和使用时段,从而控制用户过多地占用和使用网络资源。
目前我国的网络计费方式主要是针对Internet的使用进行计费。
2.5.4性能管理
性能管理主要是指调整和优化网络性能的管理活动,经常要考虑的性能变量有网络吞吐量、用户响应时间和线路利用率等。
典型的网络性能管理分成性能监测和网络控制两个部分。
2.6应用服务设计
应用