校园局域网设计方案.docx
- 文档编号:23157904
- 上传时间:2023-05-08
- 格式:DOCX
- 页数:14
- 大小:980.35KB
校园局域网设计方案.docx
《校园局域网设计方案.docx》由会员分享,可在线阅读,更多相关《校园局域网设计方案.docx(14页珍藏版)》请在冰豆网上搜索。
校园局域网设计方案
xxxxx幼儿园
校园局域网
设
计
方
案
沧州市感知物联网络工程有限公司
2014年8月1日
一、前言3
二、学校需求分析
1、用户目标4
三、设计需求分析5
四、网络总体设计方案5
1、网路构架分析5
2、设计思路6
3、网络方案设计原则6
4、网路结构概述及拓扑结构图7
5、Vlan的划分及IP地址的规划8
五、设备选型
1、防火墙15
2、中心数据交换机15
3、接入交换机
4、无线AP
一、前言
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。
同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。
因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。
信息技术的普及教育已经越来越受到人们关注。
学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
城市职业学院网将实现与校内各部门进行通信,城市职业学院大学校园网将为学校的科研、教育、管理提供必要的技术手段,为研究开发和培养人才建立平台,以此加快学校的发展,成为一个具有示范性的学校。
二、学校需求分析
1、用户目标
校园网必须要具备教学、管理和通讯这几大必要的功能。
以便供应教师能够方便地浏览和查询网上资源,进行教学;学生可以方便地浏览和上网查询资料;还有学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层与层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和资源设备的共享,因此,校园网的建设必须有明确的建设目标和明确的构建思路。
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
三、设计需求分析
邮件服务器、WEB服务器、FTP服务器、数据库服务器、数据存储服务器。
千兆光纤系统(用于楼宇之间)、5类双绞线(用于楼宇内),路由器一台、防火墙一台、中心交换机两台、工作组交换机多台(要接入校园网的各个教室,学生休息室,位于分配线柜)。
四、网络总体设计方案
1、网络构架分析
采用千兆以太网技术,具有高带宽1000Mbps速率的主干,100Mbps到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资; 根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。
考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。
学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。
2、设计思路
在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发展需求。
中心交换机和主干交换机采用千兆交换机。
要有完善的安全机制,防止来自外部和内部的非法访问。
3、网络方案设计原则
(1)、先进性原则
(2)、开放性原则
(3)、可管理性原则
(4)、安全性原则
(5)、灵活性和可扩充性原则
(6)、稳定性和可靠性的原则
4、网路结构概述及拓扑结构
网络的拓扑结构是指网络中通信线路和站点(计算机或设备)的相互连接的几何形式。
按照拓扑结构的不同,常见的计算机网络拓扑结构有:
总线型拓扑结构、星型拓扑结构、环型拓扑结构等。
4.1总线型拓扑结构
总线型结构是指各工作站和服务器均连接在一条总线上,各工作站地位平等,无中心节点控制,公用总线上的信息多以基带形式串行传递,其传递方向总是从发送信息的节点开始向两端扩散,如同广播电台发射的信息一样,因此又称广播式计算机网络。
各节点在接收信息时都进行地址检查,看是否与自己的工作站地址相符,相符则接收网上的信息。
4.2星型拓扑结构
星型结构是指各工作站以星型方式连接成网。
网络有中央节点,其他节点(工作站、服务器)都与中央节点直接相连,这种结构以中央节点为中心,因此又称为集中式网络。
4.3环型拓扑结构
环型结构由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环,这种结构使公共传输电缆组成环型连接,数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。
信号通过每台计算机,计算机的作用就像一个中继器,增强该信号,并将该信号发到下一个计算机上。
4.4蜂窝拓扑结构
蜂窝拓扑结构是无线局域网中常用的结构。
它以无线传输介质(微波、a卫星、红外线、无线发射台等)点到点和点到多点传输为特征,是一种无线网,适用于城市网、校园网、企业网,更适合于移动通信。
5、Vlan的划分及IP地址的规划
Vlan划分的原则:
便于管理
Vlan划分理念:
将几个楼划分在同一个Vlan,便于管理。
Vlan具体划分:
如将梅园、桔园、竹园、桂园、桃园这几个宿舍楼划分在同一个Vlan下。
再将博学馆、图书馆划分在同一个Vlan下。
文化楼、实训楼、光华楼划分在同一个Vlan下。
6、IP划分、分配
假设学校的公网IP为200.1.1.0-200.1.1.32
1、教室:
将连到教师办公室的交换机端口划分为VLAN2,将连到教室的交换机端口划分为VLAN3,每台计算机手工设置静态IP地址,DNS为202.96.128.166202.96.18.86,网关192.168.1.1,子网掩码为255.255.255.0,在网络中心的路由器上设置动态NAT共享上网,公网的IP段为200.1.1.1-200.1.1.5。
教室IP范围为:
192.168.1.2-192.168.1.120
教师办公室IP范围为:
192.168.1.120-192.168.1.254
2、学生宿舍区:
将VLAN68到VLAN73分别划分给学生宿舍楼A的1-6层,
VLAN74到VLAN79分别加划分给学生宿舍楼B的1-6层。
其IP地址由网络中心的将路由器设为DHCP服务器,设其IP段为172.18.2.0-172.118.255.255子网掩码为255.255.240.0自动分配给学生宿舍区。
在网络中心的路由器上设置动态NAT上网,公网的IP段为200.1.1.11-200.1.1.20。
五、设备选型
1、防火墙
H3CSecPathF100-M-G防火墙
市场领先的基础安全防护
全面的基础安全防护:
提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。
能够防御ARP欺骗、TCP报文标志位不合法、LargeICMP报文、SYNflood、地址扫描和端口扫描等多种恶意攻击
丰富的VPN特性:
支持L2TPVPN、GREVPN、IPSecVPN及SSLVPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理
专业的NAT应用:
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能
灵活可扩展的深度安全防护
与基础安全防护高度集成的一体化安全业务处理平台
全面的应用层流量识别与管理:
通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/WebThunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制
高精度、高效率的入侵检测引擎。
采用H3C公司自主知识产权的FIRST(FullInspectionwithRigorousStateTest,基于精确状态的全面检测)引擎。
FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率
实时的病毒防护:
采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码
全面、及时的安全特征库。
通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新
技术领先的IPv6
国内率先支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,满足迫在眉睫的IPv6应用需求
支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能
支持IPv6各种过渡技术,包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等
支持IPv6ACL、Radius等安全技术
电信级设备的高可靠性
采用H3C公司拥有自主知识产权的软、硬件平台。
产品应用从电信运营商到中小企业用户,经历了多年的市场考验
支持双机状态热备功能,支持配置同步与IPSecVPN的状态备份,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份
简单易用的智能管理
简单易用的WebUI管理
适合专业用户的全命令行管理
支持基于SNMP和TR-069协议的管理
通过H3CSecCenter安全管理中心实现统一管理
中小企业Internet出口安全
H3CSecPathF100-M-G支持完整的基础安全防护和深度安全防御功能,为企业提供专业的安全防护;F100-M-G能够支持完整的IPv6状态防火墙,满足马上到来的IPv6时代的安全防护需求;同时F100-M-G还内置了链路负载均衡、SSLVPN等丰富特性,能够满足当前互联网出口多ISP链路和移动办公的业务需求。
2、中心数据交换机
H3CS5800PV2-EI千兆交换机
千兆接入方案
在企业网络或园区网络中,S5800PV2-EI系列丰富完善的安全特性能最大程度地降低非法用户和病毒入侵对网络安全带来的危害,同时S5000PV2-EI对SNMP网管特性的支持使其在面对大中型网络的统一管理方面也能应对游刃有余,可广泛使用在企业、学校、酒店等网络搭建。
3、接入交换机
H3CS1600系列安全智能交换机
产品特点
全线速的二层交换:
S1626/S1626-PWR/S1650交换机提供所有端口二层线速交换能力,保证所有端口无阻塞的进行报文转发。
优异的安全性能:
支持802.1x认证,安全专区提供多种丰富的安全功能,可以实现IP+MAC+端口+VLAN四元素绑定,并可通过DHCP-Snooping或者智能绑定自动获取绑定列表,有效防御ARP攻击、DOS攻击及蠕虫攻击,并可以方便的实现脚本配置文件的导入和导出。
支持基于MAC的GuestVLAN,配合动态VLAN下发功能可控制接入同一端口的不同用户访问不同的网络资源,增强了网络的安全性和易用性。
强大的链路扩展及备份能力:
提供LACP、STP/RSTP功能,可有效实现链路扩展及备份。
简单方便的管理方式:
可以通过Web可视化的界面,对交换机的各种功能进行简单方便的操作,同时提供Console口和Telnet的命令行配置。
多业务支持能力
支持PoE(PoweroverEthernet)技术,通过以太网对所连接的设备(如WirelessAP、IPCamera、IPPhone等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。
H3CS1600系列安全智能交换机具有丰富的安全特性,这使得在企业应用中可方便的做到接入认证和授权访问,丰富的防攻击特性让企业内部的网络更加健壮、安全。
S1600系列安全智能交换机在企业网的应用示意图
4、无线AP
H3CWA2610H-GN面板式无线接入设备
标准的86mm面板尺寸
WA2610H-GN采用标准的86*86mm面板尺寸,可以完全复用用户既有的86mm网口面板暗盒,安装实施时,无需专业人员,即可方便的将原有的网口面板替换为H3C的面板式AP——WA2610H-GN。
由于WA2610H-GN采用86*86mm标准面板尺寸,所以在安装之后,不会对原有周边可能存在的其他插座面板或装修事物造成影响,对客户原有装修的影响接近于零。
5步!
安装一个AP只需3~5分钟
WA2610H-GN采用国际标准的插座安装方法进行设计,和其他开关面板一样,更换一个面板式AP只需要简单的5个步骤,总耗时不超过5分钟,可以极大的加快客户部署无线网络的速度。
图2WA2610H-GN之5步安装方法
绿色低碳设计
WA2610H-GN采用专业绿色低碳设计,支持动态MIMO省电模式(DMPS)与增强型自动省电传送(E-APSD),智能辨识终端实际性能需求,合理化调配终端休眠队列,动态调整MIMO工作模式。
WA2610H-GN支持GreenAP模式,实现单天线待机,节能更精准。
WA2610H-GN通过创新性的逐包功率控制(PPC)技术,在确保报文能成功传输的前提下动态调节AP设备和客户端直接的双向功率,以达到减少设备能耗和延长移动终端待机时间的作用。
提供本地转发功能
当WA2610H-GN通过广域网方式转发时,无线接入设备部署在分支机构,而无线控制器部署在总部,所有用户数据由无线接入设备发送到无线控制器,再由无线控制器进行集中转发。
WA2610H-GN可将数据报文在无线接入设备上直接转化为有线格式的报文,使得数据报文不经过无线控制器,而是在本地进行转发,大大节约了有线带宽。
支持IPv4/IPv6双协议栈(NativeIPv6)
WA2610H-GN全面支持IPv6特性,设备实现了IPv4/IPv6双协议栈。
无论原有有线网络是IPv4还是IPv6,都可以自动地与WX系列控制器进行注册提供WLAN服务,不会成为网络中的信息孤岛。
提供EAD无线接入
终端准入控制(EAD,EnduserAdmissionDomination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,对接入网络的用户终端强制实施企业安全策略,通过与安全策略服务器的联动,可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理,只有无线客户端符合相应的安全策略之后才允许正常访问网络,从而提高了无线网络的整体安全性。
支持智能负载均衡
WA2610H-GN支持按接入用户数量和流量的复杂均衡方式,当无线控制器发现无线接入设备的负载超过设定的门限值以后,对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入,如果有则会拒绝用户的关联请求,用户会转而接入其他负载较轻的无线接入设备,但如果无线用户不在重叠覆盖区内,传统的负载均衡方式往往会导致连接不上网络,造成误均衡。
H3C公司创新性的支持智能负载均衡技术,保证只对处于覆盖重叠区的无线用户才启动负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园 局域网 设计方案