徽县一中校园网设计.docx
- 文档编号:10986833
- 上传时间:2023-02-24
- 格式:DOCX
- 页数:29
- 大小:559.71KB
徽县一中校园网设计.docx
《徽县一中校园网设计.docx》由会员分享,可在线阅读,更多相关《徽县一中校园网设计.docx(29页珍藏版)》请在冰豆网上搜索。
徽县一中校园网设计
摘要
此次课程设计的题目是徽县一中校园网的设计,它涉及到校园网的需求分析、网络规划设计、管理(包括安全)技术、设计原则以及设备性能介绍、选择的技术依据、解决方案等各个方面,对这次设计,还涉及到校园网建设中的基本知识和需求分析,校园网建设的方案,校园网应用服务系统的建设和校园网的安全等多方面问题,并严格结合徽县一中的实际情况,对校园网的建设作了深入浅出的分析和建议。
学校的系统主干及重要的支干链路应依据当前需求在100M和1000M以太网之间选择,网络系统可考虑采用虚拟组网技术(VLAN),以利于网络管理和提高网络效能,利用管理平台对校园网运行情况进行监视、分析和监控,迅速判断、查找、排除网络故障。
关键词:
带宽;虚拟组网技术;网间隔离;网络管理
前言
随着现代科学技术的飞速发展,世界范围内的信息化浪潮席卷了整个世界,迅速延伸到国防、科研、经济等各个领域,更加不可避免地改变着传统的教育模式--信息和教育相结合毫无疑问地成为了当今世界教育改革和发展的有机组成部分,而当前蓬勃发展的以计算机和网络为主导的现代信息技术是教育现代化必不可少的技术基础。
为了利用计算机构造现代校园和现代教育,要求学校要有科学的教育管理手段、先进的教学方法以及完备的教育基础设施。
只有满足这些条件,才能顺应发展潮流,满足教育现代化和信息化的需求,提高学生整体综合素质,为社会培养出高素质的现代化人才。
因此需要建立一个功能强大,能极大的满足学校的教学科研需求和信息交流的校园计算机网络将全校的信息资源利用计算机网络连接起来,形成一个流畅、合理、可靠、安全的校园网。
还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。
通过各校校园网络的连接,可以更便利地互相交换信息,促进各个学校间的学术交流。
目录
摘要I
前言II
第1章学校描述2
第2章需求分析3
2.1带宽3
2.2子网与VLAN规划4
2.3实现的信息服务4
2.4应用程序4
2.5存储系统分析5
2.6系统及数据安全分析6
2.7QoS6
2.8网间隔离7
第3章拓扑图及方案整体描述8
3.1主干网传输方案设计8
1.主干传输网设计方案8
2.主干传输网网络拓扑图8
3.2Internet接入方案8
3.3远程访问支持9
3.4子网划分与VLAN设定10
3.5网间隔离方案设计11
3.6存储方案12
3.7设备选型13
3.8软件14
3.9信息服务方案15
3.10综合布线方案16
第4章网络管理18
第5章系统主要设备报价19
第6章网络测试及协议数据包分析20
参考文献25
课程设计总结26
第1章学校描述
徽县一中是甘肃省一所知名中学,位于我省南部一个美丽的县城徽县。
现有在校生两千多人,100余名教职工。
网上业务主要有:
办公自动化系统综合多媒体教室;网上教学;优秀科目科件制作;光盘阅览室;图书馆管理等。
通过各校校园网络的连接,可以更便利地互相交换信息,促进各个学校间的学术交流,通过校园网络合作,促进教学和科研水平的提高。
校园网为园区网,楼群间子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地。
垂直子系统则位于高层建筑物的竖井内,可采用多模光缆或大对数双绞线。
在此设备间放置布线的线架和网络设备,端接楼内来自在各层的主干线缆,并端接连接网络中心的光纤。
把管理区子系统并入设备间子系统,集中管理。
在校园网中不仅有普通业务,还有校园网关键业务,如校务管理系统、数字化教学、高性能计算等,这是各个学校特有的应用。
徽县一中的地域分布图(决定传输介质与走线)如下图所示:
图1-1学校地域分布图
第2章需求分析
随着时代的发展,徽县一中为了进一步提升自身的教学实力,很多学校都开始组建自己的校园网,铺设线路方面我们了解到:
在新建成的的大楼中布有网络线,这给校园组网带来了一定的方便。
但是有一部分老式的建筑大楼并没有布网络线,如果我们在这里也使用有线网络,不但会带来布线的麻烦,还会影响建筑大楼的美观。
在一所校园内,总有一部分区域是有线网络不能涉及的范围,如果强行布置有线网,后果非常严重。
所以,在上面提到的这些地方需要布置无线局域网,才能让整个校园都被网络覆盖。
当然我们也不能在一所学校内全部布置无线局域网,毕竟无线局域网的数据传输速度较慢,并不适合一些高带宽业务的处理。
因此,一所校园的校园网应该是一个有线、无线网络的有机结合。
构建校园网的主要需求硬件有:
服务器、UPS、传输设备(光纤、双绞线等)、交换机、HUB以及终端工作站、网卡等。
校园网按照主干网的组网技术可分为:
交换式以太网、快速以太网、FDDI、ATM和千兆以太网。
此次设计要求100~1000个终端左右较好,可实现每个教室都有一个终端,如足够的校园图书馆终端、教师的备课终端、学校各种管理部门的终端。
如果终端数过少,校园网的资源利用率就太低;终端过多,信息的传输速度就会受到很大限制。
设计要注意以下几点:
先进性;可靠性;可扩展性;可管理性;安全性;开放性;可维护性;可操作性;经济性。
2.1带宽
千兆以太网是超高速主干网的一种选择方案,它在数据传输、语音、视频等实时业务方面表现优良。
千兆以太网的带频较宽,能克服以太网的弱点,提供服务保证。
从网络设备的投资成本与维护成本、技术的先进性与稳定性、应用系统的开发难易程度等诸多方面考虑,应选择基于1000Mb和100Mb相结合的高速以太网技术作为该中学校园网的设备、选型的主要依据之一。
2.2子网与VLAN规划
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
可以提高网络的安全性,控制网络广播,方便网络管理,VLAN可划分为基于端口的VLAN和基于MAC地址的VLAN。
通过将校园网络划分为虚拟子网(VLAN),可以强化网络管理和网络安全,控制不必要的数据广播。
当广播包的数量占到总量的30%时,网络的传输效率将会明显下降。
特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致网络风暴,使网络通信陷于瘫痪。
当校园网络内计算机数超过200台后,就必须采取措施将网络分隔开来,将一个大的广播域划分成若干个小的广播域。
_H分隔广播域的方式有两种,一是物理分隔,即将一个完整网络物理地一分为二或一分为多,然后通过一个能够隔离广播的网络设备将彼此连接起来。
二是逻辑分隔,即将一个大的网络划分为若干个小的虚拟子网,也就是VLAN,各虚拟子网间通过路由设备连接实现通讯。
E_)dF__7
_s,AhGJ
2.3实现的信息服务
◆多业务,多媒体教学、办公管理、远程通信一网实现;
◆IP/TV多媒体应用系统,广播需求,实现多媒体教学、及宽带视频节目点播;
◆管理简单,基于浏览器和网络管理工具的图形化配置;
系统安全,集成路由器防火墙,提供互联网接入的安全保障
2.4应用程序
局域网中的应用程序分为系统应用程序和用户应用程序:
根据学校建网的目的,该局域网应配备如下系统应用程序:
1.FTP服务器;
2.Web服务器;
3.E-Mail服务器;
4.数据库服务器;
5.DNS服务器;
6.应用程序服务器;
7.备份服务器
针对该局域网要实现信息交流、视频教学、办公自动化等功能,应配备如下用户程序:
1.实时聊天工具;
2.多媒体教学及课件制作软件;
3.多媒体视频点播软件;
4.Office软件;
5.在线杀毒软件套装。
2.5存储系统分析
该校园网的存储方案选择双机热备,所谓双机热备就是使用互为备份的两台服务器共同执行同一服务,其中一台主机为工作机(PrimaryServer),另一台主机为备份机(StandbyServer)。
在系统正常情况下,工作机为应用系统提供服务,备份机监视工作机的运行情况(工作机同时也在检测备份机是否正常),当工作机出现异常,不能支持应用系统运营时,备份机主动接管工作机的工作,继续支持关键应用服务,保证系统不间断的运行。
用户可以根据系统的重要性以及终端用户对服务中断的容忍程度决定是否使用双机热备。
比如网络中的用户最多能容忍多长时间恢复服务?
如果服务不能很快恢复会造成什么样的后果等。
对于承担企业关键业务应用的服务器需要极高的稳定性和可用性,需要7×24不间断服务,推荐使用双机热备。
RAID和数据备份都是很重要的。
但RAID技术只能解决硬盘的问题,备份只能解决系统出现问题后的恢复。
而一旦服务器本身出现问题,不论是设备的硬件问题还是软件系统的问题,都会造成服务的中断。
因此,RAID及数据备份技术不能避免服务中断出现,对于需要持续可靠地提供应用服务的系统,双机还是非常必要的。
数据备份是保障数据安全性的必不可少的措施。
因为不论RAID还是双机,都是一种实时的备份。
任何软件错误、病毒影响、误操作等等,都会同步地在多份数据中发生影响。
因此,对于关键业务即使采用了双机方案也还是一定要进行数据的备份,以便能在数据损坏、丢失时进行恢复。
2.6系统及数据安全分析
校园网已经在我国的教育系统广泛使用,在广大教育工作者和学生们享受它带来的方便的同时,校园网的信息安全问题,也日益突出。
在DDOS攻击在互联网上活动猖獗的时候,大部分攻击都是利用校园网的主机进行的。
黑客利用这些主机在管理上的松懈来达到发动攻击的目的,同时也隐藏了自己。
由此可见,校园网存在严重的安全隐患。
联想根据校园网系统的具体特点,建立一个防护--检测--响应的完整的安全防护体系,从而提高整个网络的安全,保证应用系统的安全性。
2.7QoS
随着各种需要大量带宽的新型网络业务的出现,校园网内的业务流量不断增加,对带宽、延迟、抖动等指标提出了更高的要求。
各学校开始考虑在自己的网络中部署QoS,以保证语音、视频等业务的正常运行。
策略是指流量分类、定义的执行,它们确定每个业务的优先级、分配的带宽等一些与QoS有关的内容。
策略服务器是管理员在全网中集中统一定义策略的地方,通过指定的各种策略对园区网中的QoS服务进行控制和管理。
网络设备从策略服务器下载并执行这些定义好的策略,所有支持QoS的设备都遵循策略中定义的规则来转发数据,从而有效地对全网资源进行统一分配与管理。
同时,策略服务器能够根据网络的现状与预先定义的策略调整,自动与网络适应,网络设备会根据策略自动完成相关配置,向不同的业务提供不同的QoS。
部署实现
在校园网中实现基于策略服务器的QoS部署时,主要包括以下三个步骤:
(1)在策略服务器上定义策略;
(2)配置网络设备接收策略;(3)在策略服务器上分发策略。
策略服务器使用了NortelOPS(OptivityPoliceService),同时使用NorteliPlanet目录服务器存储策略信息。
另外,在OPS中定义了网络边缘设备和网络核心设备两类设备。
网络核心设备只是简单地执行已定义的策略,保证全网的策略连续性。
2.8网间隔离
网络隔离:
实现内网和外网的网络隔离。
用户访问内网时,断开外网网络连接;访问外网时,断开内网网络连接。
用户不能同时连入内、外网,始终保持内网、外网网络隔离的状态。
根据中学校园网的结构特点及面临的安全隐患,通常通过瑞星防火墙、入侵检测、网络杀毒软件,实现网络病毒防范的安全需求,为大学校园构建统一、安全的网络。
防火墙的布置,在Internet与校园网内之间布署了一台瑞星防火墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星入侵检测系统RIPS-100。
将RIPS-100入侵检测引擎接入Cisco中心交换机上,对来自外部网和校园网内部的各种行为进行实时监测。
第3章拓扑图及方案整体描述
千兆以太网是超高速主干网的一种选择方案,它在数据传输、语音、视频等实时业务方面表现优良。
千兆以太网的频带较宽,能克服以太网的弱点,提供服务保证。
从网络设备的投资成本与维护成本、技术的先进性与稳定性、应用系统的开发难易程度等诸多方面考虑,应选择基于1000m和100m相结合的高速以太网技术作为徽县一中校园网的设备、选型的主要依据之一。
3.1主干网传输方案设计
校园主干传输网的设计是校园网络中心设计的核心,主要有两个方面组成,包括主干传输网的方案选择和主干传输网网络拓扑图,在本设计中,我们选择千兆以太网作为主要的主要的校园主干传输网。
1.主干传输网设计方案
千兆以太网是近几年发展起来的技术,和快速以太网相比,提供更高更快的传输速度,还有更好的第三层交换能力,能管理更高的带宽,更高的流量。
其技术较ATM简单,而且价格合理。
考虑到学校校园网的实际情况,我们推荐使用联想新近推出的LS-5608G智能型8口机箱式千兆以太网交换机作为校园网的中心交换机。
它可适用于中小型主干网络和高速率、高端口密度、多端口类型的复杂网络。
2.主干传输网网络拓扑图
在本设计中我们选择MS-51031口千兆位以太网模块(SX/MM/850nm,0-350m)或MS-51041口千兆位以太网模块(LX/SM/1310nm,0-6km)与下面的各个子网通过千兆位的链路相连。
3.2Internet接入方案
徽县一中校园网将综合实验楼机房作为学校的网络中心,按信息中心的规划,如果徽县一中作为教育信息网的一个光纤汇接点,可负责其它子网的接入,即保证了周边部分学校的光纤接入。
因此在设备选型时必须考虑具有光纤接入的能力以及支持VLAN划分。
综合实验楼作为网络中心,同时必须应对整个校园网络进行有效的全面的管理。
徽县一中内部网络拓扑结构图如图3.1所示。
图3.1徽县一中内部网络拓扑结构图
3.3远程访问支持
一般来说,建立远程访问网络有两种方案:
第一种是使用软件型的远程访问服务器(例如WindowsNTServer的RAS)来构造远程访问网络,此方案的优点是价格便宜,缺点是性能较低,可靠性也较差;第二种是使用硬件型的远程访问服务器(例如3Com公司的SuperStackIIRAS1500、Cisco2501、BayRAS4000等)来建立远程访问网络,此方案可靠性较高,运行稳定,虽比第一种方案造价较高,但对于需要高质量连接的网络用户,仍不失为一种好方法。
本设计选用第一方案。
RAS1500是支持多种不同应用的功能强大的数据通讯平台,它是多协议、拨号式的路由器和终端服务器,具有IP终端服务、网络拨入、网络拨出、LAN对LAN的路由和网桥等基本功能。
3.4子网划分与VLAN设定
1.VLAN的实现
要完成VLAN的网络配置,需要在4500路由器和5000交换机分别设置。
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
可以提高网络的安全性,控制网络广播,方便网络管理,VLAN可划分为基于端口的VLAN和基于MAC地址的VLAN。
2.IP划分
若不划分子网,就只能使用一个网络IP:
192.20.16.0,使用缺省子网掩码:
255.255.255.0.而且在这个子网中可以容纳的主机IP的范围192.20.16.1~192.20.16.254即可以有254台主机。
现在根据需要划分为两个子网,即借用主机IP中的两位用作网络IP,则子网掩码就应变为:
255.255.255.192(11000000)目的是将借用的用作网络IP的掩码看一看划分出来的子网的情况:
192.20.16.65~126
192.20.16.01000001~01111110
本网段(01网段)主机数:
2n-2=26-2=62或126-65+1=62
192.20.16.129~190
192.20.16.10000001~10111110
本网段(10网段)主机数:
2n-2=26-2=62或190-129+1=62
子网号00全0表示本网络,子网号11全1是子网屏蔽,均不可用.
这个方案可以满足目前需求,但以后如果需要加入新的网段则必须重新划分更多的子网,或如果以后需要每个子网中的主机数更多则必须借用网络IP位来保证更多的主机数.局域网需要规划的IP地址包括:
(1)地址:
192.20.16.65——192.20.16.86;
(2)地址:
192.20.16.87——192.20.16。
107;(3)地址:
192.20.16。
108——192.20.16.126;(4)地址:
192.20.16.129——192.20.16.160;(5)地址:
192.20.16.161——192.20.16.190。
若InterNIC分配给您的C类网络IP为192.20.0.0,那么在使用缺省的子网掩码255.255.0.0的情况下,您将只有一个网络IP和256-2台主机(范围是:
129.20.0.1~192.20.255.254).现在有划分4个子网的需求.
3.5网间隔离方案设计
采用松耦合结构的“内网数据交换平台+网闸+外网数据交换平台”数据安全交换系统,能够有效解决上述问题,满足内部网络隔离与数据交换的需求。
对此架构简单描述如下:
1.内外网数据交换平台通过专门的应用软件实现数据交换,可运行在各种开放的操作系统(如IBMRISC/6000或其他使用Unix操作系统)的服务器上。
它集成了大型数据库系统,采用消息队列中间件作为主要通信方式(BEAMessageQ,IBMMQ),同时支持BEATuxedo和IBMCICS中间件,支持TCP、SNA、X.25等通信协议,可为内外网交互的各个系统提供统一的格式转换、统一的交换路由、统一的事务管理。
交换平台通过Win98端进行管理,具有友好的用户界面。
2.交换平台采用J2EE架构,提供统一的报文、二进制文件、XML报文、邮件等多种通信接口,内置报文交换、文件交换、数据库交换等多种交换方式。
交换平台采用模块化设计,模块之间具有非常弱的偶合性,在功能、性能和安全等方面均具有良好的灵活性和扩展性,能够不断适应信息化发展过程中新的业务及其安全需求。
交换平台由业务接入模块、交换引擎模块、通信适配模块、监控管理模块和安全认证模块组成。
3.与一般常见的安全应用网关不同,本方案在安全隔离网闸的两端分别部署了配置基本一致的内网和外网数据交换平台。
不仅为网闸提供单一私有通信协议,并为内外网交互的系统提供统一模式的规范接口,而且分别在应用层负责本端数据外流的合法性检查,即在数据流出内网和外网安全域之前,进行数据外流的合法性检查,在体系结构上保证了数据交换的安全。
4.内外网数据交换平台基于可靠的消息传递机制,实现报文在各个应用系统之间可配置的格式转换,交换路由和事务完整性保证功能。
在提供用户可配置方式使用交换平台的同时,也允许用户扩展交换平台,实现客户化的工作。
整个交换平台架构从下到上分为四层:
●网络通信协议层:
提供系统最底层的通信保证。
●消息中间件层:
提供系统可靠的消息传递机制。
●交换中间件层:
提供格式转换、交换路由、事务完整性保证等功能。
●客户化层:
提供用户扩展接口,实现用户客户化要求。
5.交换平台应用系统可以分为三层体系,即平台核心层、前置与通信层和外部应用层。
平台核心层是指交换平台所提供的核心服务和核心API。
其中核心服务包括交换主控、格式转换、路由转发、事务管理、任务管理、系统监控、通信服务、系统管理等。
核心API是提供给平台使用者在对应用前置和通信服务进行客户化时调用核心服务的接口。
本层的服务和API都由系统提供,用户无需开发即可直接调用。
前置通信层是指与外部应用进行通信,并调用核心服务或者核心API完成交换转发的中间层。
本层的应用需要客户根据不同的应用要求和通信协议进行配置和客户化开发,平台核心层提供了强大而完备的核心服务和API以支持并最大限度地减少前置通信层的客户化工作。
外部应用层是指独立于交换平台的客户应用系统,客户通过定义交换平台对这些外部应用调用的次序,实现报文在这些应用之间的流转,从而实现指定的交换流程。
本层的应用完全由客户提供,并通过前置通信层接入交换平台。
交换平台三层之间的关系是平台核心层提供核心服务和核心API以支持前置通信层的开发,前置通信层调用核心服务和核心API实现交换在各外部应用之间的转发,并负责和外部应用层之间的通信;外部应用层提供真正实现交换的客户应用系统,并通过前置通信层实现交换报文的转发。
外部应用层通过前置通信层接入核心,并不与平台核心层直接发生连接。
3.6存储方案
该校园网的存储方案选择双机(热)备份方法,所谓双机(热)备份就是使用互为备份的两台服务器共同执行同一服务,其中一台主机为工作机(PrimaryServer),另一台主机为备份机(StandbyServer)。
在系统正常情况下,工作机为应用系统提供服务,备份机监视工作机的运行情况(工作机同时也在检测备份机是否正常),当工作机出现异常,不能支持应用系统运营时,备份机主动接管工作机的工作,继续支持关键应用服务,保证系统不间断的运行。
RAID和数据备份都是很重要的。
但RAID技术只能解决硬盘的问题,备份只能解决系统出现问题后的恢复,而一旦服务器本身出现问题,不论是设备的硬件问题还是软件系统的问题,都会造成服务的中断。
因此,RAID及数据备份技术不能避免服务中断出现,对于需要持续可靠地提供应用服务的系统,双机还是非常必要的。
数据备份是保障数据安全性的必不可少的措施。
因为不论RAID还是双机,都是一种实时的备份。
任何软件错误、病毒影响、误操作等等,都会同步地在多份数据中发生影响。
因此,对于关键业务即使采用了双机方案也还是一定要进行数据的备份,以便能在数据损坏、丢失时进行恢复。
3.7设备选型
网络设备组成为:
(1)Cisco3640路由器一台(Cisco3640服务器配有四个模块插槽,假定购置了NM-4A/SF模块(四个同/异步串口),NM-2E2W模块(两口局域网口,两口广域网卡槽),NM-16AM模块(16口模拟MODEM网络模块),集成防火墙功能,位于网络中心)
(2)Catalyst4500交换机(48口)一台(中心交换机,可兼容下一代(nextgeneration)网络平台,位于网络中心)
(3)Catalyst3524/3548交换机多台(工作组交换机,要接入校园网的各个学校建筑物,综合实验楼,学生公寓楼,教学楼,住宅楼每栋一台,位于主配线间)
(4)Catalyst2924M-XL交换机多台(用于建筑物每一工作区楼层或每住宅单元,可通过堆叠以获得更多端口数目,位于中间配线间)
(5)Cisco2610路由器一台
(6)CacheEngine高速缓存一台
(7)IP/TV视频软件一套
这一方案的网络中心交换机设备为Catalyst4500,它的以太网端口全为千兆。
用Catalyst3524(24口)/3548(48口)作为工作组交换机连接
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 徽县 一中 校园网 设计