白银市一中校园网络设计方案说明书.docx
《白银市一中校园网络设计方案说明书.docx》由会员分享,可在线阅读,更多相关《白银市一中校园网络设计方案说明书.docx(20页珍藏版)》请在冰豆网上搜索。
白银市一中校园网络设计方案说明书
*******************
实践教学
*******************
兰州理工大学
计算机与通信学院
2011年秋季学期
计算机网络课程设计
题目:
白银市一中校园网络设计方案
专业班级:
姓名:
学号:
指导教师:
成绩:
摘要
在信息的调整膨胀下,全球信息已经进入以计算机网络为核心的时代。
作为科技先导的教育行业,计算机校园网已是教育进行科研和现代化管理的重要手段。
本次课程设计主要是根据白银市一中的建筑物分布情况和信息点分布情况对其进行了有线网络设计,制订了详细的网络拓扑图。
根据学校具体经济情况和发展前景,采用千兆以太网接入,校园主干利用光纤传输。
在设计中就衡阳一中网络规划与设计多方面展开论述,包括校园网建设需求分析、网络规划设计、网络管理与维护、设备选择等关键环节。
关键词:
网络拓扑图;IP划分;主干网;网络管理;交换机
前言
校园网是当今信息社会发展的必然趋势。
它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络,一方面连接学校内部子网和分散于校园各处的计算机,另一方面作为沟通校园内外部网络的桥梁。
校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。
现代办学条件的学校必须建立完善的服务于教育教学的计算机校园网、信息库。
校园网为学校的教学、管理、办公、信息交流和通讯等提供综合的网络环境。
校园网的使用,使学校的教育、教学研究和管理工作跨上一个新台阶,我们可以充分利用现有计算机资源,实现信息交流和软硬件资源的共享,实现学校办公、管理、教学的现代化。
校园网是网络技术应用于教育事业的一种体现,改善校园网不仅可以充分的提高教学质量,更能够让学生对学习产生兴趣,而且它也是管理、办公、信息交流和通信等现代化的标志。
因此,对于一个学校来说,扩大校园网的规模,提高信息传输质量,增添新的设备,采用最新的技术,是事在必行的。
目录
摘要I
前言II
第1章企业描述1
第2章需求分析2
2.1带宽(核心层、(部门层、)桌面)2
2.2子网与VLAN规划2
2.3实现的信息服务2
2.4应用程序3
2.5存储系统分析4
2.5.1数据量4
2.5.2访问流量5
2.6系统及数据安全分析5
2.7QoS6
2.8网间隔离7
第3章拓扑图及方案整体描述8
3.1主干网传输方案设计8
3.2Internet接入方案9
3.3远程访问支持9
3.4子网划分与VLAN设定10
3.5网间隔离方案设计11
3.6存储方案11
3.7设备选型12
3.8软件14
3.9信息服务方案16
3.10综合布线方案18
第4章网络管理20
第5章系统主要设备报价22
参考文献23
课程设计总结24
致谢25
第1章企业描述
白银市一中创办于1964年,系白银市重点中学,现位于白银市公园路的中心地带,占地302亩,总建筑面积已达10万平方米。
校园整体规划合理,功能分区科学,各类建筑物美观实用,主要包括办公楼,教学楼,实验楼,图书馆,宿舍楼。
网上业务主要有:
办公自动化系统综合多媒体教室;网上教学;优秀科目科件制作;光盘阅览室;图书馆管理等。
其中教学楼计划信息点160个;办公楼计划信息点58个;实验楼包括计算机实验室于此信息点设为180个;网络中心设在图书馆,是整个网络的信息交换和传输中心,信息点合计为130个;宿舍楼计划信息点为200个。
采用高速以太网、光纤建立校园网络,千兆为主干,百兆到桌面。
网络总造价为20万~30万元。
校园平面图如图1.1所示。
图1.1衡阳一中校园平面图
第2章需求分析
2.1带宽(核心层、(部门层、)桌面)
根据统计,教学楼需要信息点160个;办公楼计划信息点58个;实验楼包括计算机实验室于此信息点设为180个;图书馆信息点计划为130个;宿舍楼计划信息点为200个。
总共需要信息点728个。
采用加权算法,假定最忙的时候信息点平均需要带宽200KHZ,则需要总带宽146HZ。
此外,主干网负责学校各个局域网之间的数据传输、信息发布、资源共享、学校的BBS、学生信息管理系统、办公自动化系统、远程教学系统、Internet接口、与其他兄弟学校的数据交换都将运行在这个网络上。
由此,采用千兆以太网实现核心层与汇聚层的互连;采用百兆以太网实现汇聚层与接入层的互连,同样采用10/100MPS自适应交换到桌面。
2.2子网与VLAN规划
根据学校的具体情况,将学校划分为5个子网。
即教学子网、办公子网、实验楼子网、图书馆子网和宿舍子网。
其中每个部门分成一个小型局域网,对于不在同一个楼或不在相邻区域的同一个部门的所属结构,可以进行交换机端口配置使其构成虚拟局域网。
2.3实现的信息服务
校园网的主要功能是为教育、教学服务,校园网正促进着教学内容与方式方法的变革,促进着学校教育与社会教育的发展,改变着学校与社会、理论与实践、知识与技能的质量。
本设计组建的校园网基本实现了这几方面的需求。
1.WEB文件浏览服务
校园网的主要功能是WEB服务,也就是学校教育网站的服务。
我们学校的网站建设从4个方面发挥作用:
(1)把学校网站做成对外宣传的窗口。
(2)把学校网站建成为学校教学工作的平台,逐步实现无纸化办公。
(3)把学校网站建成教师和学生展示自己才华的平台。
(4)学校网站建设成多方沟通的平台。
2.FTP文件传输服务
FTP文件传输是学校校园网使用的一个重要服务,建立了FTP服务后,将大大方便教师文件的传输和管理,以及学校资源库的建立。
(1)教师个人资源库、学校资源库的建立。
(2)给各科室建立独立的帐户,像校长室、德育处、教导处、教科室、总务处等都有帐户,方便资料文件的上传。
(3)FTP文件传输服务与互联网开通,无论走到哪里,我们的教师只要能上网就能随时读取自己需要的文件,真正实现异地办公。
3.邮件收发服务
邮件收发是学校校园网中最普及的一种服务,建立此服务后,将极大的方便广大师生的邮件收发服务,更加有利于学校教学工作的开展,充分发挥校园网络的优势。
校园网的作用不仅仅这些,很多功能有待我们去研究,才能真正地发挥校园网的作用。
总而言之,学校的校园网站本着让全体师生共同参与的理念,让大家共同建设和维护更新网站,共同丰富学校网站内容,通过建立学校网站,充分发挥校园网的教育功能。
使这些昂贵的设施得到应用,不成为摆设真正有效地发挥校园网的作用。
2.4应用程序
局域网中的应用程序分为系统应用程序和用户应用程序:
根据学校建网的目的,该局域网应配备如下系统应用程序:
1.FTP服务器;
2.Web服务器;
3.E-Mail服务器;
4.数据库服务器;
5.DNS服务器;
6.应用程序服务器;
7.备份服务器
针对该局域网要实现信息交流、视频教学、办公自动化等功能,应配备如下用户程序:
1.实时聊天工具;
2.多媒体教学及课件制作软件;
3.多媒体视频点播软件;
4.Office软件;
5.在线杀毒软件套装。
2.5存储系统分析
2.5.1数据量
随着校园信息化建设的进展,信息化应用得到不断扩充和完善。
各种应用为数字校园的数据中心积累了大量的数据,这些数据是数字校园中最宝贵的资源,支撑着未来数字校园的持续发展。
因此,在校园信息化建设中构建以管理数字校园数据资源为目标的存储系统,集中解决数据存储、数据访问、数据保护是数字校园建设的重点。
在大力普及现代教育技术的前提下,各专业教师对利用多媒体手段辅助教学热情高涨,学院提供了众多的多媒体教室为老师提供教学服务;但是丰富的多媒体教学课必然涉及大量的图形、图像和音频视频数据。
而且,数据量不断增长,这就决定原先服务器的存储的存储容量是远远不够的。
同时,如果教师每次上课均携带大量的教学电子素材,将会导致本来方便优越的现代化教学手段,反而在实现方式上带来诸多不便,公共而且安全的数据交换和共享平台更加重要,它不仅要求有大容量的存储设备,而且要求数据的存储非常安全。
总体来看,一般高校的网络存储需求包括如下几个方面,首先,它需要大容量的网络存储器,存储教学科研过程中产生的大量数据;对存储平台要求可以多用户、多平台共享受数据和具有足够的安全管理模式;要求能够集中管理数据和有完善的数据保护措施;要求存储平台降低管理维护成本和使用费用,并具有良好的存储可扩展性。
2.5.2访问流量
目前在校园用户众多,访问量大,在校园网中不仅有普通业务,这个与一般的ISP网络差异不大,如传统的WEB、EMAIL、FTP等,还有新出现的P2P、VoIP、网络游戏、即时通信和流媒体等;还有校园网关键业务,如校务管理系统、数字化教学、高性能计算等,这是各个学校特有的应用,其应用水平的高低可以充分体现“数字化校园”建设的内涵。
此外,校园网中的异常流量(如扫描、蠕虫、病毒)也不可忽视。
存储市场主要有三种技术方式:
DAS(DirectAttachedStorage),NAS(NetworkAttachedStorage,网络附加存储)、SAN(存储区域网)。
存储区域网络(StorageAreaNetwork,简称SAN)采用光纤通道(FibreChannel)技术,通过光纤通道交换机连接存储阵列和服务器主机,建立专用于数据存储的区域网络。
SAN经过十多年历史的发展,已经相当成熟,成为业界的事实标准(但各个厂商的光纤交换技术不完全相同,其服务器和SAN存储有兼容性的要求)。
SAN存储采用的带宽从100MB/s、200MB/s,发展到目前的1Gbps、2Gbps
2.6系统及数据安全分析
计算机网络迅速发展的同时,安全问题也变得日益突出。
计算机网络经常会受到黑客或者病毒的攻击,这对网络系统和数据安全造成了严重的威胁。
针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保网络服务的正常运行。
象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对系统数据进行保护:
1、安全配置:
关闭不必要的服务,,安装操作系统的最新补丁,将网络服务升级到最新版本并安装所有补丁,对根据网络服务提供者的安全建议进行配置等,这些措施将极大提供网络系统本身的安全。
2、防火墙:
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给网络服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
3、漏洞扫描:
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
4、入侵检测系统:
利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
2.7QoS
QoS(QualityofService)服务质量,是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。
在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。
但是对关键应用和多媒体应用就十分必要。
当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
网络必须满足QoS要求才能确保数据传输的适当服务级别。
这些服务要求以QoS功能的行业标准为基础。
随着园区网的迅速发展,各种新业务,特别是需要大量带宽的新型网络业务(如视频多媒体业务)的大量涌现使得园区网内的业务流量不断增加,当这些业务量猛增的时候,拥塞是难以避免的。
这使得资源本来相对富裕的园区网不能适应网络不断发展的需要,难以提供满足多种业务要求的QoS保证。
在一个没有实施QoS机制的园区中,如果某个节点(比如交换机的一个端口)发生拥塞,它将会影响网上正在运行的所有业务。
例如,使得IP/TV视频图像速率变慢或静止;或者使话音通信的时延增大,甚至出现掉话现象。
针对以上的情况,园区网上也必须实施QoS机制来保证不同业务对服务质量的要求,但是它有许多不同与广域网的特点(如带宽相对较大、距离短、节点少等),所以我们必须采用具有针对性的QoS机制
QoS机制主要包括三个方面:
1)单独设备内的服务质量保证,主要通过排队机制、调度机制和流量整形机制相互协作来实现;2)用于协调端到端QoS保证的信令机制,如RSVP、IPPrecedence、ATM及帧中继等协议;3)用于实现端到端QoS管理的机制,如QoS策略管理器。
同时,端到端的流量管理可将用户流量分为3种不同的服务类别:
尽力而为服务(BestEffort),不具有QoS保证;区分服务类别(或称软QoS),能够保证某些流量具有较高的优先级;集成服务类别(也称为硬QoS),对某些特定流量提供绝对的带宽预留保证。
我们可以通过将以上三类技术进行有机的结合来实现园区网QoS控制机制。
具体实施控制时,应首先对网上的数据流的应用类别(如关键应用、话音、普通应用)进行判定,并在相应的数据包头设定优先级。
然后,系统在应用识别的基础上,对数据流量进行调度。
另外,数据应用的突发性使多数系统都会在某些特定情况下出现拥塞现象,而任一节点出现的拥塞都会造成网络运行效率的急剧下降。
因此,园区网上的QoS控制机制需要采用分布式模式,并且尽可能在产生拥塞时能够自动启动QoS控制机制,而不要等到出现拥塞后再进行处理,从而使得拥塞造成的影响降到最低程度。
2.8网间隔离
利用网络隔离技术确保把有害的攻击进行隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成校园网间与外部网络数据的安全交换传输。
网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换。
由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。
因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。
而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破,既便有所改进也必须付出巨大的成本,和“适度安全”理念相悖。
所以网间隔离要采用放火墙技术,通过配置硬件和软件来达到网间隔离的目标
第3章拓扑图及方案整体描述
3.1主干网传输方案设计
网络拓扑结构计算机网络技术种类很多,采用星型结构的以太网是目前最为安全成熟的技术,并且,从应用角度讲,星形结构是综合布线系统的推荐网络拓扑结构,可以与综合布线系统紧密结合,得整个网络系统的通信瓶颈从以往的网络电缆转移至中央网络设备上。
在中央设备之间,鄙弃传统的HUB争抢技术,而采用交换以太网络设备配合星形结构来实现对局域网络的需求,使得中央结点与卫星结点的网络吞吐能力大大加强,对多媒体的支持也更加完美,既而提高整个系统的吞吐能力。
所以在网络方案中,整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。
主干网负责学校各个局域网之间的数据传输、信息发布、资源共享、学校的BBS、学生信息管理系统、办公自动化系统、远程教学系统、Internet接口、与其他兄弟学校的数据交换都将运行在这个网络上。
因此,主干网的好坏直接影响到以后网络系统运行效率的高低、速度快慢、网络性能的好坏等参数。
快速交换以太网络技术选用何种网络技术构成主干网络总体是整个网络系统设计的关键,现在的主干网ATM和千兆以太网双星闪烁。
但是ATM可能会带来一下障碍:
费用—远高于千兆位以太网解决方案;风险—标准,产品和管理策略仍在变动;复杂性—新的技术,培训费用昂贵;维护费用—需要软件来作为一个路劲运行于以太网LAN和ATM网络之间。
千兆以太网是近几年发展起来的技术,和快速以太网相比,提供更高更快的传输速度,还有更好的第三层交换能力,能管理更高的带宽,更高的流量。
其技术较ATM简单,而且价格合理。
经综合考虑选用千兆以太网作为主要的校园主干传输网。
3.2Internet接入方案
校园网的主要功能之一就是能够访问Internet,与外界进行信息交流。
访问Internet是校园网设计过程中必须考虑的问题。
一般局域网连入Internet都是通过路由器实现的。
接入Internet需要解决一个非常重要的网络数据的安全问题,这就需要使用防火墙技术。
防火墙可以通过两种方式实现,一种是数据包过滤技术,另一种是代理服务器。
对于校园网的数据安全问题,在此使用两种方法组合使用。
且校园网的Internet接入采用千兆光纤。
衡阳一中校园网络拓扑结构图如图3.1所示。
图3.1白银市一中校园网络拓扑结构图
3.3远程访问支持
远程访问也是校园网提供的服务之一。
由于学校规模壮大和日益增长的远程用户需要,这些用户需要校园网提供远程服务。
远程访问有三种可选的服务类型:
专线连接,电路交换,和包交换。
不同的广域网连接类型提供的服务质量不同,花费不同。
在本设计中,由于面对的用户群规模业务量小,所以采用了异步拨号连接作为远程访问的技术手段。
3.4子网划分与VLAN设定
根据学校的应用类型划分子网,将具有相同应用的部门划分在同一个子网中,一中的校园网划分为5个子网。
即教学子网、办公子网、实验楼子网、图书馆子网和宿舍子网。
具体划分情况如下:
(1)将教学楼的各间教室以及办公室的工作站都划分到教学子网。
以便于无论教师在哪间办公室备课,资料都可以快速的传送到要讲课的教室,在教师的课堂纪录也可以快捷方便的传送到办公室。
(2)将实验楼的两个计算机实验室以及物理、会计实验室的工作站划分到实验楼子网中。
便于实验室资源的共享和实验数据的传输。
(3)将办公楼中的会议办公室、财务办公室、会计办公室、招生办公室、教务处、后勤以及保卫处和教学一楼的校长办公室中的工作站划分到办公子网中。
这样可以方便各个科室的资料传输、资料共享,可以避免数据的重复录入节省大量的资源。
(4)图书馆中的工作站作为图书馆子网,图书检索、查询、备份等工作不用在同一台机器上操作,可以大大的提高了图书馆人员的工作效率。
(5)宿舍楼中的工作站作为宿舍子网,可以方便同学们的交互式学习。
在此申请5个C类IP地址即可,具体的IP地址分配表设计如下:
表3.4IP地址分配表
地点
子网号
子网掩码
教学楼
202.201.10.0
255.255.255.0
实验楼
202.201.11.0
255.255.255.0
办公楼
202.201.12.0
255.255.255.0
宿舍楼
202.201.13.0
255.255.255.0
图书馆
202.201.14.0
255.255.255.0
3.5网间隔离方案设计
1.防火墙的部署
为了保证网络的安全,在连接Internet的路由器端口处安置了一台CISCOPIX-515E硬件防火墙,用以防止外界对内部系统的攻击。
其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
2.入侵检测系统的部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星入侵检测系统RIDS-100。
将RIDS-100入侵检测引擎接入Cisco中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
3.瑞星网络版杀毒产品的部署
为了实现在整个局域网内病毒的防护,我们在可能感染和传播病毒的地方采取相应的防病毒手段。
实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。
3.6存储方案
SAN是一种真正提供存储服务的架构或方法。
SAN集成多种存储设备及存储空间,它们比典型的NAS设备等级要高。
SAN通过光纤连接到服务器传输数据块,而不是直接向客户端传输文件。
当收到请求时,服务器就连接SAN,然后读取相应的数据块。
SAN的设计目的就是通过数据集中化管理而不是按工作组分割,提高数据吞吐量,改进文件共享能力。
在大型组织里,这种方式还能提高速度,简化关键备份工作。
简而言之,SAN是实现高效的信息生命周期管理战略的关键。
SAN还能使存储更为高效。
在通常的网络中,可能一个服务器可用空间已用完,而另一服务器却还有几个GB的可用空间。
SAN把所有存储空间有效的汇聚在一起,每一服务器都享有访问组织内部所有存储空间的同等权利。
它还提供集中式管理存储空间的能力。
这一方法能降低文件冗余度,因为某一文件只会存储在企业整个存储空间的一个地方,而不是各个服务器上。
在网络存储方案设计上,我们推荐采用StorlakeIPSAN它是基于Linux的IPSAN网络存储产品。
其存储原理如下图所示,它通过千兆以太网和服务器组成IPSAN,利用iSCSI协议,以块I/O方式向Windows、Linux和Solaris等服务器提供稳定、高效的存储服务。
StorlakeIPSAN适用于Oracle和SQLServer等大型数据库应用,以及其它不支持网络磁盘的应用场合;并为您提供大容量数据库高可用解决方案和量身定做系列增值服务。
它具有FCSAN在整合、可扩展性以及管理上的优势,同时避免了FCSAN内部互连所带来的陌生感、复杂性和费用。
3.7设备选型
1.交换机
(1)核心交换机
核心层为网络提供了骨干组件或高速交换组件,在网络中提供高可靠性,冗余链路以及迅速适应升级。
经综合考虑在核心层选用CISCOWS-C6509-E千兆以太网交换机,通过千兆光纤与汇聚层交换机或服务器实现千兆高速连接。
CISCOWS-C6509-E交换机的特点列举如下:
背板带宽达到720Gbps,内存为1GB;包转发率达到387MPPS;所有端口都是全交换的;支持三个用户可定义的优先级别队列;支持64K个有源MAC地址;网管功能:
CiscoWorks2000,RMON,增强交换端口分析器(ESPAN),SNMP,Telnet,BOOTP,TFTP;最多达1024个VLAN。
(2)汇聚层交换机
汇聚层是核心层和终端用户接入层的分界面。
汇聚层交换机完成了数据包处理、过滤、寻址、策略增强和其他数据处理的任务。
在此我们选用Catalyst3000交换机作为网络的汇聚层交换机。
(3)接入层交换机
接入层使终端用户能接入网络。
同时优先级设定和带宽交换、接入控制等优化网络资源的设置也在接入层完成。
由此用于和网络终端或计算机直接相连的接入层交换机,可以算得上校园网的基层设备。
在此,我们选用华为S2352P-EI(AC)交换机来构建一个可靠、高效、安全和智能的接入网。
2.路由器
本校园网选择CISCO2811路由器接入Internet,CISIO2811路由器属于CISIO2800系列,比以往产品性能提高了五倍,安全性和话音性能提高了十倍,具有全新内嵌服务选项,且大大提高了插槽性能和密
升级会员 