06240423 康文林 甘谷一中校园网设计方案.docx

1、06240423 康文林 甘谷一中校园网设计方案*实践教学*兰州理工大学计算机与通信学院2009年秋季学期计算机网络 课程设计题 目： 甘谷一中校园网设计方案 专业班级： 计算机科学与技术06级4班 姓 名： 康 文 林 学 号： 06240423 指导教师： 包广斌 成 绩： 摘 要通过对甘谷一中学校园网现状的分析，初步完成了甘谷一中学校园网络设计方案的选择、系统全面构架以及将各个子系统完全结合成一个整体的设计方案。这套方案结合该校的实际情况，以及对未来发展的要求，给出了校园网综合设计方案与建议，本方案主要涉及到网络结构的需求分析、网络拓扑结构的选择、广域网的接入、服务器硬件和软件的选购、系

2、统安全性分析、校园网络的维护以及网络管理的相关要求等。关键词：网络拓扑图；IP划分；主干网；网络管理；网络安全前 言随着经济与网络的不断发展、教育信息化，校园网络化作为网络时代的教育方式和环境， 已经成为各大院校教育发展的方向。 学校的网络化建设必然会对学校的信息化起到巨大的推动作用，为学校的办公提供简单、有效、便捷的理想环境，为学校的教育教学改革迅捷提供有效的数据信息。由于建立了校园网,一方面缩短了学校与外界的距离,利用电子邮件和Internet电话等服务 ,扩大了学校与外界的交流;另一方面,构建了以Intranet为基础的教学管理信息系统,推动了学校的信息化建设,为学校今后的快速发展准备了

3、条件。随着学校的校园网建设的普及化，学校将会进入一个科学管理和科学教学的新时代。校园网络建设作为一项重要的系统工程，它所用到的各种技术是多方面的，即有网络技术、其中还包括软件技术，工程施工技术，也有管理制度等各个方面的知识。因此，如何促使校园文化与网络信息融合，并促进校园文化的健康发展，各个教育工作者也在寻求新的思路和对策。目 录摘 要 I前 言 II第1章 企业描述 1第2章 需求分析 22.1 带宽（核心层、（部门层、）桌面） 22.2 子网与VLAN规划 22.3 实现的信息服务 32.4 应用程序 32.5 存储系统分析 32.6 系统及数据安全分析 42.7 QoS 42.8 网间隔

4、离 4第3章 拓扑图及方案整体描述 63.1 主干网传输方案设计 63.2 Internet接入方案 63.3 远程访问支持 73.4 子网划分与VLAN设定 83.5 网间隔离方案设计 103.6 存储方案 113.7 设备选型 113.8 软件 133.9 信息服务方案 143.10 综合布线方案 14第4章 网络管理 16第5章 系统主要设备报价 17第6章 网络测试及协议数据包分析 186.1 环境简介 186.2 找出产生网络流量最大的主机 186.3 分析这些主机的网络流量 20参考文献 24课程设计总结 25第1章 企业描述甘谷一中，在校生人数25003000，主要建筑有5栋，分

5、别为办公楼、教学楼、图书馆、实验楼、宿舍楼。网络建设是要为教学、管理提供服务，在校园内部实现资源高度共享，为学校提供基础信息和科学手段，为学生提供一个自由学习的环境，以提高其学习主动性，为教师建构一种新型的教学模式，为培养创新人才提供支持。教学活动和教学过程的大量视频和音频数据的传输是校园网络的关键问题，采用高速以太网、光纤建立校园网络，千兆为主干，百兆到桌面。网络总造价为20万30万元。适用对象：中等规模的大专院校基本数据：在校生人数8000；占地面积1000亩。主要建筑：图书馆、实验楼、教学楼、宿舍楼、办公楼等网络节点：总的信息点将达到3000个左右。信息节点的分布比较分散，将涉及到图书馆

6、、实验楼、教学楼、宿舍楼、办公楼等。主控室可设在实验楼的五层，图书馆、教学楼和宿舍楼为信息点密集区。网络结构：网络分为三个层次，核心层、汇聚层、接入层。采用千兆以太网技术，具有高带宽1000Mbps速率的主干，100Mbps到桌面，内部网与外部网之间采用防火墙技术进行网络安全和网络控制。第2章 需求分析2.1 带宽（核心层、（部门层、）桌面）随着信息化建设,教学资源整合,加强本地院校,远程院校,后勤部门的管理,现代的高校需建设整个校园网络。 由于网络技术的日新月异，更高的带宽和更先进的应用层出不穷，校园网应能够具有更高的带宽，更强大的性能，以满足学校教学的需求。随着计算机技术的高速发展，基于网

7、络的各种应用日益增多，今天的校园网络已经发展成为一个多业务承载平台。不仅要继续承载办公自动化，Web浏览等简单的数据业务，还要承载涉及校园教学的各种业务应用系统数据，以及带宽和时延都要求很高的远程教学、视频会议等多媒体业务。因此，数据流量将大大增加，尤其是对核心网络的数据交换能力提出了前所未有的要求。但就目前来看，就一般的校园网规模还不是很大，百兆到桌面还是能满足要求的。因此，在此次设计中用百兆位到桌面千兆位骨干来作为建网的标准，核心层及骨干层具有千兆位级带宽和处理性能，尽管与万兆位网相比带宽不是很高，但仍然可以构筑一个畅通无阻的高品质校园网，从而适应教学需要。2.2 子网与VLAN规划1.

8、基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。2. 基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。3. 基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN

9、中。 就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案2.3 实现的信息服务第一点：建成一个具有高可靠性和开放性的校园网络，它应支持流行的SNMP等网络管理协议；采用Internet上的标准协议-TCP/IP协议，提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务，实现与国际互联网的完全接轨。第二点：同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；采用模块化结构设计，容易升级。第三点：从应用需求方面考虑，无线网络很适合学校的一些不易于网络布线的场所应用。对原有网络进一步扩充，使校园的每个角落都处在网络中，形成真

10、正意义上的校园网。第四点：还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。 第五点：采用千兆以太网技术，具有高带宽1000Mbps速率的主干，2Mbps到桌面，内部网与外部网之间采用防火墙技术进行网络安全和网络控制。2.4 应用程序1.游戏；2.上网软件；3.下载软件；4.其它常用软件。2.5 存储系统分析中心交换机必须具有大型数据库，各系分交换机具有中小型数据库，用于存储各教研室教学资料。中心交换机进行对各系的教学资料进行备份，以防发生意外。主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力；主机系统应具有高的可靠性，能长时间连续工作，并有容错措施；支持通

11、用大型数据库，如SQL、Oracle等；具有广泛的软件支持，软件兼容性好，并支持多种传输协议；能与Internet互联，可提供互联网的应用，如WWW浏览服务FTP文件传输服务、E-mail电子邮件服务、NEWS新闻组讨论等服务；支持SNMP网络管理协议，具有良好的可管理性和可维护性。2.6 系统及数据安全分析校园网一旦建成，学校必须安排专业人员进行网络维护，确保各种重要的教学资料的安全，确保网络的畅通。防止各种恶意的黑客攻击，保证教学秩序顺利进行，从而保证教学质量。2.7 QoSQoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制

12、的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。2.8 网间隔离网络隔离，英文名为Network Isolation，主要是指把两个或两个以上可路由的网络(如：TCP/IP)通过不可路由的协议(如：IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换

13、。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破，既便有所改进也必须付出巨大的成本，和“适度安全”理念相悖。第3章 拓扑图及方案整体描述3.1 主干网传输方案设计本校园网的主干网络设备的选择初步确定如下。网络建设将采用新型的背板堆叠技术，根据功能区划分由Inte

14、l Express 510T交换机组成4-6个交换机组。适当的分配堆叠数量，提供600个100M交换端口，所有工作站都通过100M网卡连接到交换机组上，使100M交换到桌面。交换机组采用GB2模块与Intel Express Gigabit Switch 千兆交换机相连。这样，在交换机组之间可达到1000M的带宽，而同一交换机组内部可达到最高15Gbps的带宽。中心计算机房的Web服务器、E-mail服务器、文件服务器、影视服务器等设备直接与1000M交换机上的100M以太网模块连接。与Internet的连接采用一台Intel Express 9100 Routers路由器，通过DDN线路与I

15、nternet相连。在不改变网络技术情况下的扩展方式：随着网络流量的增加，主干网上1000M交换机的带宽压力不断提高。这时我们可以采用Intel Express Gigabit Switch交换机特有的冗余连接特性，增加一台1000M交换机。并在这两个1000M交换机之间建立多条连接。这样不仅提供了更大的带宽（最高可达32Gbps），同时又增强了主干网段的连接刚性，还增加了更多的1000M交换端口，为以后增加更多的服务设备提供了良好的扩充余地。3.2 Internet接入方案本校园网以TCP/IP 为主要协议，它是一种事实上的工业标准协议，采用TCP/IP为网络主要协议，可保证与ChinaNE

16、T和Internet保持一致，还可支持IPX，DECNET等其它协议。真正实现于国际互联网的无缝连接。从计算机网络通讯的观点来看，TCP/IP网络实质上可称为IP网络，它是由许多IP网关（或称为IP路由器）通过若干直接连通的通信线路（点到点通信）形成一个计算机通信网络。在IP网点上再接入主机，子网便构成一个互联的计算机网络，这些安装了TCP/IP的各类计算机间需要通信时，它就不再要求设置协议转换开关，而且主要的网络服务都可建立在TCP/IP服务器上。Internet接入网网络拓扑图如图3.1所示图3.1 甘谷一中Internet接入网网络拓扑图3.3 远程访问支持1. 使用Vitato室外交换

17、机覆盖大片的室外场地(如体育场等)，然后Vivato室外交换机通过与机房无线设备(Vivato室外交换机或Vivato无线网桥)进行中继无线连接，使用户接入校园主干网。2. 使用一个或几个Vitato室内交换机覆盖未布线或不方便布线的建筑物内部。如图书馆、综合楼、阶梯教室及学生宿舍等，然后Vivato室内交换机通过与机房无线设备(Vivato室外交换机或Vivato无线网桥)进行中继无线连接，使用户接入校园主干网。3. 对于已有内部布线的建筑物，无须铺设光纤，通过Vivato无线网桥与机房无线设备(Vivato室外交换机或Vivato无线网桥)进行中继无线连接，就可方便、高性价比的将建筑物内网

18、络接入校园主干网。4. 用VP1210室外基站,为一幢教学楼提供室内覆盖应用.在相邻的楼上安装一台VP1210室外基站,从外面发射信号给楼内,%20VP1210的信号可以穿过楼墙,基本上可以满足整个教学楼全部的无线上网要。Vivato主要使用一个Vivato VP1210 802.11b室外Wi-Fi基站。把性能稳定的VP1210室外基站安到校园的建筑物顶上，就可以为整个校园(室内和室外)提供无线接入，并且能覆盖大面积的校园区域，同时也可以和相距几十公里的分校区提供远程无线连接。Vivato Wi-Fi基站与有线网络连接，覆盖整个的校园和分校，加上很强的建筑物穿透能力。同时在一些信号不易达到的

19、地方放置Vivato Wi-Fi 网桥/路由器，此网桥与基站之间使用WDS协议进行无线背靠背中继连接。基站和无线网桥均可对无线Wi-Fi终端提供无线连接，而且移动无线用户可以在各个无线接入设备中平滑漫游。3.4 子网划分与VLAN设定子网划分类别及其详细信息如表3.1所示：表3.1 子网划分类别及其详细信息表序号子网名称包含的信息点1服务器子网连接Internet的所有服务器，为真实IP地址2网络设备子网除路由器外所有的网络设备3办公室子网办公楼、图书馆和实验楼的办公室计算机4多媒体子网多媒体教室计算机5教室子网所有教室计算机6电子阅览室子网电子阅览室计算机7图书馆子网学生阅览室和借书室计算机

20、8计算机实验室1子网计算机实验室1的计算机9计算机实验室2子网计算机实验室2的计算机10计算机实验室3子网计算机实验室3的计算机11计算机实验室4子网计算机实验室4的计算机12计算机实验室5子网计算机实验室5的计算机13学生宿舍A子网学生宿舍A的200台计算机14学生宿舍B子网学生宿舍B的200台计算机15教工宿舍子网教工宿舍的130台计算机学校子网划分示意图如图3.3所示：图3.3 学校子网划分示意图学校校园网接入CERNET,可以向CERNET申请IP地址和域名。在校园网系统集成之前需要对全校的IP 地址分配作充分的规划，对每台服务器、PC 机网络设备的端口IP地址都要分配。学校申请的IP

21、地址为4个C类地址，为202.28.100.0-202.28.103.255，域名为,主 DNS服务器IP地址为202.28.100.10，辅DNS 服务器IP 地址为202.28.100.11。学校设备IP地址分配如表3.2所示：表3.2 学校设备IP地址分配主机名/类型设备名称IP设置注释DES-3624图书馆DES-3624交换机IP：180.10.1.1/10网关：180.10.1.254网关IPDES-3226教学楼DES-3226交换机IP：180.10.1.2/10网关：180.10.1.254网关IPDES-3226实验楼DES-3226交换机IP：180.10.1.3/10网

22、关：180.10.1.254网关IPDES-3226办公楼DES-3226交换机IP：180.10.1.4/10网关：180.10.1.254网关IPDES-3226宿舍楼DES-3226交换机IP：180.10.1.5/10网关：180.10.1.254网关IPA计费网关IP：180.10.1.6/10网关：180.10.1.254D主DNS服务器IP：211.20.22.10/24D辅DNS服务器IP：211.20.22.11/24Web服务器IP：211.20.22.12/24邮件服务器IP：211.20.22.13/24FTP服务器IP：211.20.22.14/24认证管理服务器IP

23、：211.20.22.15/24数据库服务器IP：211.20.22.16/243.5 网间隔离方案设计1. 防火墙的部署在Internet与校园网内网之间部署了一台瑞星防火墙，其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。这样，通过 Internet 进来的外网用户只能访问到对外公开的一些服务（如WWW、E-mail、FTP、DNS等），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审计。2. 入侵检测系统的部署入侵检

24、测能力是衡量一个防御体系是否完整有效的重要因素，根据校园网络的特点，我们采用瑞星入侵检测系统 RIDS-100 。将 RIDS-100 入侵检测引擎接入 Cisco 中心交换机上，对来自外部网和校园网内部的各种行为进行实时检测。3. 瑞星网络版杀毒产品的部署为了实现在整个局域网内病毒的防护，我们在可能感染和传播病毒的地方采取相应的防病毒手段。实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。3.6 存储方案浪潮光纤存储阵列NS8800D，采用双机热备份方案，作为该校网络存储SAN结构里的一个核心部分，在整个校园网的存储方面起到了决定性的作用。NS8800D是双控制器

25、光纤磁盘阵列，内部采用无线缆连接设计，无单点故障，具有较高的可用性。通过交换机可以实现前端服务器对存储设备的共享，完全实现了存储集中和灵活应用，节省了存储空间。整个存储系统基于2Gb的带宽设计，在性能上完全可以满足当前系统的存储需求。NS8800具有多主机接入能力，可以支持4台服务器的多主机共享，并且扩容能力突出，最多可扩展7个JBOD从而达到16TB的存储容量。保证了系统的可扩展性，为今后数据的增长提供了稳定可靠的平台。通过该系统，图书馆的资源、信息可以方便的被不同的网络教学教室调用，满足电子化教学的需求；同时网络用户还可以通过服务器到英特网上寻求更多的图书信息、学习资料等。3.7 设备选型

26、1网络操作系统。本校园网的网络操作系统以Microsoft Windows 2000为主，它是发展速度最快的集成了Web应用的网络操作系统。具有界面友好、系统强壮、稳定可靠、与桌面主流操作系统相容性好等优点。并拥有大量的服务器端软件，是Intranet网络中最佳的网络操作系统平台。2主干交换机。主干交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备。本校园网工程将分为三期，根据工程三个阶段中网络点成批增加其间伴随着的使用需求增长，对主干交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。第一期要求连接就达600个网络站点，应用对主干服务器的访问及其数据流量对主干带宽要求很高，通

27、过以上分析，在INTEL EXPRESS 500系列百兆堆叠交换机组的基础上采用世界上目前第一个真正已经投放市场的千兆模块把百兆交换机组通过光纤相连到Intel Express Gigabit千兆交换机上，通过千兆交换机实现和WEB服务器千兆带宽的主干连接。在第二期中，将面临着对主干带宽的更高要求，将使用2台千兆交换机通过4GB高速通道来实现千兆交换机冗余连接，使网络主干带宽比第一期增长一倍。3接入交换机。采用交换机而不使用共享式集线器到桌面是由于学校实际使用情况是主要表现在集中突发性，即学生同时使用同一软件的情况比较多，如果使用共享到桌面，网络就会产生拥阻而影响速度，因此在校园网中应使用百兆

28、交换到桌面。在十兆与百兆交换机中应选择百兆交换，因为10兆虽然在目前校园网络使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求，将成为它们之间最大的瓶颈。因此采用Intel Express 510T Switches作为校园网工作组级接入交换机，直接连接学生站点。通过Intel先进的、独特的堆叠背板技术（SST）将第一期的600个站点分成若干个网段，即3-6个510T交换机堆叠在一起的独立组群，这样就在每个交换组中最多144个站点提供高达15Gb的带宽，因此形成的交换网络就能够满足不断增长的流量需求。另外还通过虚网技术，使每个教室或

29、每个年级之间的互访得到有效的管理和控制，提高网络的安全性。以合理价格实现工作组与终端设备的100Mbps连接的可扩展交换器，Intel Express 510T是将专用快速以太网式的性能扩展到整个网络的理想选择，它可使用户的终端设备服务器及其它网络设施享受这种高性能的解决方案。这种高性能的解决方案可随网络的成长而自由地扩展。4.服务器网卡。在一期工程中，建议学校在Internet应用教学中，采用定期下载，内部浏览的原则，因此WEB服务器是学校内部Intranet浏览和连接Internet服务器，学生站点对其访问在相应教学时段对的数据流量相对来说比较大。要求园区级服务器能够提供足够的连接带宽。I

30、ntel Express PRO/100服务器网卡是唯一一种支持标准10BASE-T、100BASE-TX和100BASE-FX以太网的千兆服务器专用网卡。这是一种智能的网卡，它能够利用其内置的Intel i960 RP处理器最大限度地优化服务器资源。考虑到Internet和其他网络的连接(如CHINANET等)，目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各种广域连接中发现。目前，越来越多的学校还开展了网络教学和建立自己的WEB。因此，能否有效地连接Internet是校园网建立的一个重要的目标。在此方案中，考虑Internet出口路由器的配置一台Intel Expr

31、ess Router 9100路由器。它是学校的校园网对外的出口，也可以作为保护校园网的第一道防火墙。因为使用Intel Express Routers在Internet上配置安全的VPN隧道极为简单，Intel Express Router 9100对通道传输提供强大的加密功能，确保您的私人通讯数据通过公用网域时的安全。但根据客户和局域网配置的具体不同情况，也应该采取适当的步骤来确保来自Internet的局域安全。这至少要包括配置通过协议过滤器的访问控制目录。采用DDN线路与Internet连接，以64KB2MB带宽支持校园的应用，而且性能非常稳定。Intel Express Router 9