安吉厂子弟学校网络课程方案设计书NEWWord下载.docx

1、项目设计要求： （1）必须有完整的现场施工平面图，综合布线图，综合布线各种主要材料的详细需求及预算过程，详细的综合布线施工要求和测试方案，以及参考标准等。 （2）必须有完整的网络拓扑图，网络拓扑图标明设备功能、型号、IP地址，并说明分析各部分的功能和作用，有详细的 IP地址规划方案，出口IP网络地址前3位用当地邮编地址，网络通信设备的选型、接口、模块、参考价格和每一设备详细的配置命令文件。 （3）必须有安全设计与规划，网络安全架构、系统安全配置、安全策略应充分考虑信息系统的信息的机密性、可用性、完整性，详细说明安全策略；安全设备应当有详细的配置命令文件。（4） 应用服务系统设计必须有软件和硬件

2、设备的详细配置（类型、型号、配置、版本），及选型分析，必须考虑容错、备份。（5）必须有完整的网络服务设计，包括网络运行服务（DNS,DHCP），网络配置管理、计费管理、认证管理等；包括网络操作系统软件的选择、网络管理软件的选择、网络接入方式选择等。三、设计说明书格式要求 （章节条目仅参考，可自己扩展）封面任务书（正文）1 需求分析 1.1 建设目标 1.2 建设原则 1.3 功能需求 1.4 性能需求 1.5 服务管理需求 1.6 安全需求 1.7 组网技术分析 2.逻辑设计 2.1网络拓扑规划 2.1.1 物理分布图 2.1.2 网络拓扑 2.2 IP规划和命名模型设计 2.2.1 网络地址

3、分配 2.2.2 命名设计 2.3 交换和路由协议设计规划 2.3.1 交换协议的选择 2.3.2 路由协议选择 2.3.3 2.4 安全策略设计 2.4.1 通信网络安全 2.4.2 服务器安全 2.4.3 应用安全 2.4.4 接入安全 2.5 管理策略设计 2.5.1 配置管理 2.5.2 认证管理 2.5.3 计费管理 2.5.4 2.6 应用服务设计 2.6.1 Web服务 2.6.1 教务管理系统 2.6.3 图书管理系统 2.6.3 网络教学系统 2.6.4 3、物理设计 3.1 网络设备选型 3.2 网络设备配置（详细命令配置） 3.3 服务器选型 3.4 安全设备选型 3.5

4、 安全设备配置4. 综合布线设计 4.1 综合布线施工 4.1.1 参照标准 4.1.2 施工要求 4.1.3 4.2 综合布线预算 4.2.1 4.3 综合布线测试 4.3.1 验证测试 4.3.2 认证测试5.验收测试6、设计过程及心得 第一章 需求分析1.1 建设目标随着时代的进步，网络已成为人们日常生活必不可少的一部分。计算机网络被应用到人们学习、生活、工作的各个领域。根据安吉子校领导与工厂领导的意见，我们被要求为该中学规划一个小型的校园局域网，实现学校某些部门的Iternet接入服务、外网对安吉子校的Web访问、所有部门办公自动化、学生宿舍能上网，使校园整体实现信息化。实现各部门、各

5、楼层、各楼栋之间的网络连接。并在校内搭设一些服务器。使学生、老师可以访问外部Internet并可实现内部互联。1.2 调研情况安吉厂子弟学校作为中航集团旗下的安吉铸造厂的子弟学校，其学生人数和学校规模都是相当小的，这也使得建设安吉厂子弟学校的网络是一个完成核心降低成本的工作。目前，安吉厂子弟学校仅仅是从电信申请了一个企业账户，各个部门间通过路由交换上网，在同一个VLAN内部，各个部门间可以互相访问，无防火墙等安全措施。它们主要分布在初中部、高中部、教务处和财务处、计算机实验室。上述部门主要是根据不同的配置情况用于办公、教学、实验之用。所有科室使用同一个网络。各科室基本上都可以互相连接，没有安全

6、措施，并且可以随意上网，流量未得到限制。目前配置的计算机也仅用作一般文字办公之用。综上所述，广州市协和高级中学计算机应用水平和使用效率还有待于改进和提高。我们需要对该中学的网络进行重新设计建设，以实现各个科室的安全以及提高电脑的办公使用效率以及网络整体效率。1.3 建设原则对于校园网络的建设来说，我们需要根据校园网络的实际需求来进行设计。校园网最终是一个集计算机网络技术，多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理办法，提高用户办公质量和效率，同时也要在可持续性以及先进性方面进行相应的考虑，在技术以及系统总体处理能力上，需要保证在短期的几年内

7、不会落后于主流网络系统，最后在成本上要进行控制，不盲目追求高端设备，保证运行顺畅的情况下，尽量节约成本，因此，我们在网络建设中采用国内甚至是国际上通用的、开源的、常见的、可扩充的以及兼容性很好的设备，这样一来，有利于后期网络扩展；在网络系统发生物理性故障的时候，也能够很方便的采购相同零件进行更换。总之，我们对安吉厂子弟学校的网络建设需要根据一下几个原则：（1） 实用性和经济性：网络建设应该始终坚持面向应用，注重实效的方针，坚持实用、经济的原则，建设性价比较高的网络系统平台，以最大化的减轻校园财政支出。（2） 先进性和成熟性：网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的

8、相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位。（3）开放性：采用开放性的网络体系，以方便网络的升级、扩展和互联；同时在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。（4）可扩充性：从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的可扩充性； （5）可管理性：利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能；使日常的维护和操作变得直观，便捷和高效；（6） 可靠性和稳定性：在考虑技术先进性和开放性的同时，还应从系统

9、结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。 （7） 安全性和保密性：在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。

10、（8）投资保护：由于学校规模较小，选用性能价格比高的网络设备和服务器；采用的网络架构和设备充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资；1.4 功能需求 基本功能需求为如下四点：（1）网络接入：学校各职能部门接入（教务处、财富处、后勤处、各教研室、计算机实验室等的接入），满足学校各部门的教学，办公，信息发布等各项需求。（2）信息发布和维护：建立校园web服务器，提供对外信息发布和学校基本情况的介绍等。（3）OA办公系统：学校的财务、教务、教学、图书阅览等办公系统，提供内网的办公接入服务。网络中心信息管理系统办公自动化系统公文流转财务管理系统个人办公学籍管理系统信

11、息发布课程信息系统教师信息系统图1.1 安吉子校功能需求应用图1.5 性能需求 网络在安吉厂子弟学校日常教学办公环境中起着至关重要的作用，但是大量的使用都是基于内部网络以及基于HTTP的B/S架构，主流路由交换机和服务器皆能满足需求，只有WWW服务器有接入网络的需求。因此在带宽的选择上使用双线接入电信和联通网络，基本上可以满足要求。另一个部分就是建设多网段的划分和隔离，以及虚拟局域网的建立，来保证各个部门间的相互独立。所以建成后校园网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应教学办公环境的调整和变化，和实现无纸化教学管理的要求。整个方案设计的目的是建设一个信息管理，无纸化办公和

12、Internet访问等于一体的高可靠校园网。还有就是网络系统中的并发用户数量：因为学校规模较小，并发数量只有控制在1000以上 就可以完成需求，并发数量的计算公式如下：目标用户容量目标CPU容量每个用户Web CPU总成本（基础Web POEM ），这就是该系统在85CPU容量工作情况下可支持的最大并发用户数。1.6 服务管理需求在人员与部门上成立网络中心，负责常规的网络维护，以及网络管理，不只是硬件的管理，还有应用的初始化和维护，保证网络的通畅和运行效率，以及对各个用户的软件使用培训等业务。对于服务器管理者的要求，要求能够保证每天至少20个小时的管理网络畅通，在白天上班期间，尤其需要保证系统

13、网络的畅通。在非上班期间，管理服务出现故障，也需要能够尽快解决，以避免不必要的损失。这就需要整个校园网络系统中能够提供远程管理功能，并且在建设网络的过程中，要保证网络的畅通。网络管理能够支持SNMPv3（简单网络管理协议第三版），这样方便计算机管理人员通过网管软件随时监视网络的运行状况，一旦出现故障，可以自动的报告出出错位置和出错原因，管理人员可以迅速的发现故障并及时维护，同时，SNMPv3在网络安全性上有力极大的提升，这是完全不同于前两个版本的。1.7 安全需求学校作为一个中和信息平台，其中包含很多重要资料以及个人隐私，尤其是财务处以及学生的各类信息资料，因此，安全需求作为最为重要的部分。所

14、以，对于这两部分的安全设计尤为的重要，既要保证它们不被攻击，也需要保证信息的足够透明度。 1.7.1 网络体系的安全需求： （1）网络正常运行，在网络受到攻击的情况下，能够保证网络系统正常运行。 （2）网络管理/网络部署的资料不被窃取。 （3）具备先进的入侵检测及跟踪体系 （4）提供灵活而高效的内外通信服务1.7.2.应用系统的安全需求 与普通网络应用不同的是，应用系统是网络的核心，对于应用系统应该有最高的网络安全措施，应用系统的安全体系包括： （1. 访问控制 （2. 检测安全漏洞 （3. 攻击监控 （4. 加密通信（如财务部门） （5. 认证 （6. 备份和恢复 （7. 多层防御 （8.

15、隐藏内部信息 （9. 建立安全监控中心一些特殊部门 如财务部，教务处是此次网络设计安全环节的重要点。1.8 组网技术分析组网技术就是网络组建技术，分为以太网组网技术和ATM局域网组网技术。以太网组网非常灵活和简便，可使用多种物理介质，以不同拓扑结构组网，是目前国内外应用最为广泛的一种网络，已成为网络技术的主流。以太网按其传输速率又分成10Mb/s、100Mb/s、1000Mb/s。细缆以太网10 BASE-2 10 BASE-2以太网是采用IEEE802.3标准，它是一种典型的总线型结构。采用细缆为传输介质，通过T型接头与网卡上的BNC接口相连的总线型网络。不同的组网技术有着不同的优缺点和不同

16、的适应地方，并不是说最先进的组网技术就一定最适应与对校园网络的建设，也并不表示，最传统的组网技术就一定不适合校园网的建设。我们需要对不同的组网技术进行横向纵向的比较，通过对比，并且结合校园网的实际需求来决定选择何种组网技术。下面将针对不同的组网技术类型，进行简单的描述，为最终的技术选型提供有力的科学依据。目前市面上有多种组网技术，下面介绍几种主流的组网技术1.8.1 ATM局域网组网技术以ATM交换机为中心连接计算机所构成的局域网络叫ATM局域网。ATM换 机和ATM网卡支持的速率一般为 155Mb/s24Gb/s，满足不同用户的需要，标准ATM的组网速率是622 Mb/s。ATM是将分组交换

17、与电路交换优点相结合的网络技术，可以工作在任何一种不同的速度、不同的介质和使用不同的传送技术，适用于广域网、局域网场合，可在局域网/广域网中提供一种单一的网络技术，实现完美的网络集成。ATM组网技术的不足之处是协议过于复杂和设备昂贵带来的相对较高的建网成本。 图1.2 ATM协议结构1.8.2 以太网组网技术因为网络规模小，以太网简单易用，用来组建内部局域网十分合适。综合以上，我们选用以太网组网技术。第二章 逻辑设计2.1 网络拓扑规划 结合安吉厂子弟学校的物理结构平面图和预算经费，根据需求分析。我们设计出一套网络拓扑方案。2.1.1 物理分布图图2.1 安吉子校平面图根据实地考察，并结合卫星

18、图像，大体得到了学校的平面结构分布，如图2.1由图可以看出，校园面积较小，总共有两栋教学楼，教学楼前楼和教学楼后楼，一间体育室，一间音乐教室。其中财务处，政教处，计算机实验室以及小学部和初中部在教学楼楼前楼的二楼，其余的均为教室，包括有化学实验室，物理实验室，生物实验室。2.1.2 网络拓扑接入层汇聚层核心层图2.2 安吉子校网络拓扑结构以及各部门IP划分根据该图可以看出，整个校园网络是通过一个路由器接入互联网的，同时，路由器也可以改为三层交换机，因为三层交换机也具有基本的路由功能。在路由器之后，接入防火墙，同时防火墙上有一个IPS，进行入侵防卫，这两个设备是对整个校园网进行安全防护。防火墙之

19、下的核心交换机是整个校园网络的重要节点，保证了整个校园网络内部能够正常通信，也保证了内部主机能够访问互联网。Web服务器直接接在防火墙上，通过端口映射来访问。同时，在核心交换机上接3个二层交换机，二层交换机分别接入不同楼层的主机和主机房的服务器等设备。在对安吉子校的逻辑设计上采用三层架构，即接入层，汇聚层和核心层，每一层都有它自身的特点。可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改

20、变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。（1） 核心层核心层为下两层提供优化的数据输运功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中（ACL，过滤等），否则会降低数据包的交换速度。（2） 分布层分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，分布层主要提供如下功能： 地址的聚集 部门和工作组的接入 广播域/多目传输域的定义 Inter VLAN路由 介质的转换 安全控制（3） 接入层接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以

21、提供进一步的调整，如Access-list Filtering等。在园区网络环境中，接入层主要提供如下功能： 共享带宽 交换带宽 MAC层过滤 微分段在广域网环境中，接入层主要提供通过Frame Relay、ISDN、Leased Line连入远程节点。2.2 IP规划和命名模型设计 IP地址的规范和命名模型的设计是在结合学校规模及主机分布和数量下设计完成，具有一定的可扩展性。2.2.1 网络地址分配如图2.2，给财务处，教务处和实验路由各分配一个网段，建立各自的VLAN,保证各个路由间不可互相访问，同时给内网服务器组分配了一个网段，并且重新给外部访问的WWW服务器一个网段IP。接入部门路由的

22、各个电脑的IP又DHCP服务器来分配，内部地址解析又DNS服务器来完成。名称IP核心层路由公网IP：123.125.71.86私网IP：192.168.0.1财务处 192.168.1.1教务处192.168.2.1实验室192.168.3.1DHCP服务器192.168.4.1DNS服务器192.168.4.60OA服务器192.168.4.120WWW服务器192.168.5.1图2.3 网络地址分配2.2.2 设备命名规则 设备命名并没有绝对的标准，一般都是按照工程惯例进行命名，应本着明确、简洁无二义性的原则。一般采用英文加数字的形式。根据设备的种类，设备的用途和设备的序号，设备所在的房

23、间等进行命名。在一个项目中要采用同一的命名规则，要在开始施工前确定下来，这样才不会在项目实施中造成混乱。路由器命名规则如下： R-cwc-01R：代表路由器cwc:代表财务处，又部门拼音首字母代表，比如：jwc为教务处，依次类推01：代表路由器序号 01为第一台路由器，依次类推交换机命名规则如下：S-3-01S：代表交换机3：代表交换机层次，3代表三层交换代表交换机序号 01为第一台交换机，以此类推PC的命名规则如下：PC-sys-01PC：代表计算机sys:代表楼层，01表示一楼，以此类推代表PC机序号 01为第一台PC机，以此类推简写教室jssyscwcjwc服务器fwq图2.4 机构部门

24、简称2.3.1 交换协议的选择根据对安吉厂子弟学校的需求分析和网络拓扑设计，我们对校园网络进行Vlan的划分，并使用Vlan中继协议即VTP来实现交换机之间交换信息。采用VTP（VLAN Trunking Protocol）协议可以简化配置。VTP有三种工作模式：服务器模式、客户端模式和透明模式。（1）服务器模式（Server）提供VTP消息：包括VLAN ID和名字信息，学习相同域名的VTP消息，转发相同域名的VTP消息，可以添加、删除和更改VLAN VLAN信息写入NVRAM。（2）客户机模式（Client）请求VTP消息，学习相同域名的VTP消息，转发相同域名的VTP消息，不可以添加、删

25、除和更改VLAN VLAN信息不会写入NVRAM。（3）透明模式（Transparent）不提供VTP消息，不学习VTP消息，转发VTP消息，可以添加、删除和更改VLAN，只在本地有效 VLAN信息写入NVRAM。新交换机出厂时，默认的配置为VLAN1，VTP模式为服务器。2.3.2 路由协议选择常用的内部网关路由协议有RIP、IGRP、EIGRP和OSPF。由于安吉厂子弟学校学校规模很小以及需求较为简单，在路由协议上我们选择灵活小巧的路由协调RIP。以下是RIP的简介：RIP认为跳数少的路径为最优路径。路由器收集所有可达目的网络的路径，从中选择去往同一个网络所用跳数最少的路径信息，生成路由表

26、；然后把所能收集到的路由（路径）信息中的跳数加1后生成路由更新信息通告，发送给相邻路由器：最后依次逐渐扩散到全网。RIP每30s发送一次路由信息更新。RIP最多支持的跳数为15跳。在安吉厂子弟学校的网络建设中，我们选用RIP协议的第二版即RIPv2，RIPv2不同于RIP之处：支持可用可变长子网掩码、多播式更新路由。路由信息协议（RIP）是一种在网关与主机之间交换路由选择信息的标准。RIP 是一种内部网关协议。在国家性网络中如当前的因特网，拥有很多用于整个网络的路由选择协议。作为形成网络的每一个自治系统，都有属于自己的路由选择技术，不同的 AS 系统，路由选择技术也不同。 RIP协议目前有两个

27、版本RIPv1和RIPv2，我们在这里选择的RIPv2对比与RIPv1 RIPv2有如下优点：1.RIPv1是有类路由协议，RIPv2是无类路由协议2.RIPv1不能支持VLSM，RIPv2可以支持VLSM3.RIPv1没有认证的功能，RIPv2可以支持认证，并且有明文和MD5两种认证4.RIPv1没有手工汇总的功能，RIPv2可以在关闭自动汇总的前提下，进行手工汇总5.RIPv1是广播更新，RIPv2是组播更新，6.RIPv1对路由没有标记的功能，RIPv2可以对路由打标记（tag），用于过滤和做策略7.RIPv1发送的updata最多可以携带25条路由条目，RIPv2在有认证的情况下最多只能携带24条路由 在应对小型互联网上，RIPv2有着无以伦比的优势。他灵活方便是小型网络解决方案的首选。2.4 安全策略设计2.4.1 通信网络安全 在通信网络安全中我主要采用的是以入侵检测技术为主多种安全策略技术并存的防