校园网络系统的设计与规划.docx
- 文档编号:8933173
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:13
- 大小:110.52KB
校园网络系统的设计与规划.docx
《校园网络系统的设计与规划.docx》由会员分享,可在线阅读,更多相关《校园网络系统的设计与规划.docx(13页珍藏版)》请在冰豆网上搜索。
校园网络系统的设计与规划
天津电子信息职业技术学院(软件学院)
毕业论文
题目校园网络系统设计及规划
姓名
专业班级
指导教师
完成时间
天津电子信息职业技术学院(软件学院)制
2009.6
摘要:
在知识经济和数字化生存时代,校园网在资源共享、知识传播、育人管理等方面发挥越来越重要作用,因此其设计建设要本着高起点而又经济实用标准。
具体来说,应是一个以宽带IP网为目标建立数据、语音、视频三网合一一体化网络;为提高网络可靠性及安全性,需要在主干网采用光纤布线,校园网应实现虚拟局域网(VLAN)功能,以保证全网良好性能及网络安全性;主干网交换机应具有很高包交换速度,整个网络应具有高速三层交换功能;主干网络应该采用成熟、可靠快速以太网和千兆位以太网技术作为校园网主干;校园网应选用先进网管软件,建立完善网络管理体系;在设备方面,应选择有校园网成功案例网络厂商设备,同时为Internet、拨号用户和移动用户提供接口;网络还应具有良好扩展性。
关键词:
校园网管理服务器安全性设备
引言:
在网络信息时代今天,面向新需求和挑战,为了学校科研、教学、管理技术水平,为研究开发和培养高层次人才建立现代化平。
Intranet/Internet技术高速多媒体校园网。
整个高速多媒体校园网建设原则是"经济高效、领先实惠",既要领先一步,具有发展余地,又要比较实惠。
校园网是集计算机技术、网络技术、多媒体技术于一体系统,能够最大限度地调动学生对教学内容参及性以及积极性。
校园网建设目标主要是建立以校园网络为基础行政、教学及师生之间交互式管理系统,逐步建立学校信息管理网络,实现办公自动化;为开展网上远程教学、多媒体交互式立体教学模式探索提供高速、稳定支持平台;逐步建立计算机辅助教学、计算机辅助考试等系统,为实现多媒体课件制作网络化,教师备课电子化、多媒体化打好基础;保证网络系统开放性、可持续发展性,便于以后集成视频会议、视频点播等高层次教学功能。
筹划校园网要讨论三个要素,无论是校外连网还是校内连网,要较好地发挥校园网作用都要涉及三个要素:
运载基础设施、运载设施和运载信息。
一.校园网络系统设计需求分析
(一)计算机网络系统现状
高校校园网发展可分为三个阶段:
第一个阶段是大部分学校没有网络设备阶段,我国已经基本渡过这个阶段,据不完全统计,我国现在大学校园网覆盖率已经达到100%。
第二个阶段是学校网络设备处于比较杂乱阶段,我国现有高校大部分校园网都处在这个阶段。
第三个阶段是学校校园网可以提供一个高效、安全平台,为高校教育事业发展提供良好条件。
这个阶段也是我们校园网发展更高目标。
(二)校园网需求分析
校园网一般为大中等规模组网,节点数一般300到500个,网络应用也较中型校园网复杂,对通信要求也较高,因此已经要求百兆交换到桌面,并要求支持多媒体应用。
所以该校园网网络中心采用FlexHammer24交换机进行堆叠,提供高密度10/100M自适应端口,二级节点交换机根据具体情况选择μHammer2或μHammer24交换机,对多媒体教室、电子阅览室等需要多媒体应用、要求较大带宽二级节点则选用μHammer24交换机,提供10/100M兆端口接入用户桌面。
普通教室选用μHammer2交换机,提供10M/100m端口接入用户桌面。
FlexHammer和μHammer交换机还具有划分VLAN功能,使各部门局域网可自成体系,隔离了广播风暴,同时FlexHammer第三层交换功能又使不同用户群之间必要限制性访问得到实现,从而使得应用网络设计更加自由,更加灵活。
·用务器可选择接入100M、1000M-TX、1000M-SX
·堆叠可以灵活扩展端口数量
·提供三层交换
·扩展模块可支持1000M上联模块,以后可以使网络主干平衡升级到1000M
·10/100M接入用户桌面
·网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善
服务保证;采用支持网络管理交换设备,足不出户即可管理配置整个网络。
·网络互联
·提供国际互联网ISDN专线接入(或DDN),实现及各公共网连接;
·可扩容远程拨号接入/拨出,共享资源、发布信息等。
应用系统及教学资源丰富;
·有综合网络办公系统及各个应用管理系统,实现办公自动化,管理信息化;
·有以WEB数据库为中心综合信息平台,可进行消息发布,招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。
(三)校园网目标功能和设计原则
1.系统目标功能
在知识经济和数字化生存时代,校园网在资源共享、知识传播、育人管理等方面发挥越来越重要作用,因此其设计建设要本着高起点而又经济实用标准。
具体来说,应是一个以宽带IP网为目标建立数据、语音、视频三网合一一体化网络;为提高网络可靠性及安全性,需要在主干网采用光纤布线,校园网应实现虚拟局域网(VLAN)功能,以保证全网良好性能及网络安全性;主干网交换机应具有很高包交换速度,整个网络应具有高速三层交换功能;主干网络应该采用成熟、可靠快速以太网和千兆位以太网技术作为校园网主干;校园网应选用先进网管软件,建立完善网络管理体系;在设备方面,应选择有校园网成功案例网络厂商设备,同时为Internet、拨号用户和移动用户提供接口;网络还应具有良好扩展性。
2.设计原则
网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。
学校管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间信息数据交换,实现网上信息采集和处理自动化,实现信息和设备资源共享,因此,校园网建设必须有明确建设目标。
校园网总体设计原则是:
开放性——采用开放性网络体系,以方便网络升级、扩展和互联;同时在选择服务器、网络产品时,强调产品支持网络协议国际标准化;
可扩充性——从主干网络设备选型及其模块、插槽个数、管理软件和网络整体结构,以及技术开放性和对相关协议支持等方面,来保证网络系统可扩充性;
可管理性——利用图形化管理界面和简洁操作方式,合理地网络规划策略,提供强大网络管理功能;使日常维护和操作变得直观,便捷和高效;
安全性——内部网络之间、内部网络及外部公共网之间互联,利用VLAN/ELAN、防火墙等对访问进行控制,确保网络安全;
投资保护——选用性能价格比高网络设备和服务器;采用网络架构和设备充分考虑到易升级换代,并且在升级时可以最大限度地保护原有硬件设备和软件投资;
易用性——应用软件系统必须强调易用性,用户界友好,带有帮助和查询功能,用户可以通过Web查询。
二.系统设计方案
(一)系统综合布线组建方案
1.工作间准备工作
(1)设备间土建工程已全部竣工,室内墙壁已充分干燥。
设备间门高度和宽度应不妨碍设备搬运,房门锁和钥匙齐全;
(2)设备间地面应平整光洁,预留暗管、地槽和孔洞数量、位置、尺寸均应符合工艺设计要求;
(3)电源已经接入设备间,应满足施工需要;
(4)设备间通风管道应清扫干净,空气调节设备应安装完毕,性能良好;
(5)在铺设活动地板设备间内,应对活动地板进行专门检查,地板板块铺设严密坚固,符合安装要求,每平米水平误差应不大于2mm,地板应接地良好,接地电阻和防静电措施应符合要求。
2.交接间环境要求
(1)根据设计规范和工程要求,对建筑物垂直通道楼层及交接间应做好安排,并应检查其建筑和环境条件是否具备。
(2)应留好交接间垂直通道电缆孔孔洞,并应检查水平通道管道或电缆桥架和环境条件是否具备。
(3)器材检验要求(略)
(4)全要求(略)
(5)技术准备(略)
3.水平线缆布线
管道布线是在浇筑混凝土时已把管道预埋在地板中,管道内由牵引电缆线钢丝或铁丝,施工时只需通过管道图纸了解地板管道,就可做出施工方案。
对于没有预埋管道新建筑物,布线施工可以及建筑物装潢同步进行,这样便于布线,又不影响建筑美观。
管道一般从配线间埋到信息插座安装孔,施工时只要将双绞线固定在信息插座接线端,从管道另一端牵引拉线就可将线缆引到配线间。
4.建筑物垂直干线线缆布线
本系统采用室内多模光纤做为垂直干线主要载体,光纤垂直干线布放可参考“光纤传输管道敷设”。
5.管理子系统
管理子系统由楼层配线架组成。
其主要功能是将垂直干缆线及各楼层水平布线子系统相连接。
布线系统优势和灵活性主要体现在管理子系统上,只要简单地跳一下线就可完成任何一个结构化布线系统信息插座以对任何一类智能系统连接,极大地方便了线路重新布局和网络终端调整。
光纤连接时,要用光纤接续箱(LIU),箱内可有多个ST连接器安装孔,箱体箱内线路弯曲设计应符合62.5/125微米多模光纤弯曲度要求,光纤接头用STII,由陶瓷材料制成,最大信号衰减小于0.2dB,光耦合器可作为多模光纤及网络设备或光纤接续装置上连接,配线架和光纤接续箱通常设在弱电井或设备间内,用来连接其它子系统,并对它们通过跳线进行管理。
6.设备间子系统
设备间子系统由主配线架和各公共设备组成。
它主要功能是将各种公共设备(如计算机主机、数字程控交换机、各种控制系统、网络互连设备)等及主配线架连接起来。
该子系统还包括电气保护装置等。
7.建筑群向连接子系统
该子系统是指主建筑物中主配线架延伸到另外一些建筑物主配线架连接系统。
及垂直子系统类似,通常采用光缆或大对数铜缆连接。
它是整个布线系统一部分(包括传输介质)并支持提供楼群之间通信所需硬件,其中有电缆、光缆和防止电缆浪涌电压进入建筑物电气保护设备。
(二)网络拓扑设计
图
(1)
(三)网络配置及管理
构建大中型局域网络常用设备包括交换机、路由器、安全设备和无线设备,它们可以称得上是网络构建四大支柱,或者称为网络世界四大金刚。
只要掌握了这四类设备功能、选择、连接、配置、管理和排障,也就等于掌握了全面网络构建技术,同时,就可以称得上是一位名副其实网络管理员。
交换机负责连接各种网络设备(如交换机、路由器、无线AP和网络防火墙等)和网络终端(如计算机、服务器、网络摄像头和网络打印机等),用于构建各种类型和规模局域网络。
若没有交换机,则计算机及网络设备之间就无法通信,也就不能搭建局域网络,因此,交换机是网络构建基础,没有交换机就没有局域网。
同时,交换机性能还从根本上决定着整个局域网连接带宽和传输效率。
路由器则是不同网络之间桥梁,用于实现局域网之间以及局域网及Internet之间互联。
若没有路由器,则局域网就会及外部网络完全隔离,即成为一座信息孤岛,因此可以形象地认为,网络对路由器渴望不亚于岛民对跨海大桥期盼。
安全设备通过一定规则和限制来保证网络安全,是实现局域网内部安全重要保障。
没有安全设备保护局域网,将时刻面临来自整个虚拟世界攻击威胁,个人隐私和商业机密都将荡然无存。
无线网络用于实现移动用户灵活接入,在无线信号覆盖区域内,无论用户位于何处,都可以实现类似手机无线漫游,只要笔记本电脑在手就可以随时随地上网,从而摆脱了网络线缆束缚和羁绊。
可见,交换机、路由器、安全设备和无线设备各司其职、相互结合、彼此补充、缺一不可。
(四)Vlan划分及子网配置
1.Vlan简介
VLAN(VirtualLocalAreaNetwork)又称虚拟局域网,一方面,VLAN建立在局域网交换机基础之上,采用网络管理软件构建可跨越不同网段、不同网络端到端逻辑网络。
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置网络用户加入到一个逻辑子网中,在功能和操作上及传统LAN基本相同,可以提供一定范围内终端系统互联。
另一方面,VLAN是局域交换网灵魂。
这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。
这样,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。
VLAN充分体现了现代网络技术重要特征:
高速、灵活、管理简便和扩展容易。
Vlan划分方式主要分为六类:
基于端口划分,基于MAC地址划分,基于网络层协议类型划分,基于网络层子网地址划分,基于网络层广播地址划分,基于网络层,基于网络层以上协议乃至应用程序类型划分。
2.Vlan划分及配置
共划分为5个VLAN:
①VLAN10:
划分给中国电信VPN,IP固定,不占用学校IP,指定给Huawei3526:
24口。
②VLAN20:
综合楼(含两个电脑室、两个电子阅览室及若干电脑)约220台电脑,分配一个C地址;IP地址段:
219.223.40.1-254;子网掩码:
255.255.255.0;网关:
219.223.40.1;指定给Huawei3526光纤1端口。
③VLAN30:
划分给服务器群,约8台,考虑以后扩充,分配32个地址;子网IP地址段:
219.223.41.1-30;子网掩码:
255.255.255.224;网关:
219.223.41.1;指定Huawei3526:
1-12端口。
④VLAN40:
划分给教学楼电教平台,约50台电脑,分64个地址;子网IP地址段:
219.223.41.65-126;子网掩码:
255.255.255.192;网关:
219.223.41.65;指定Huawei3526光纤2端口。
⑤VLAN50:
划分给办公楼电脑,约100左右台电脑,分半个C个地址;子网IP地址段:
219.223.41.129-254;子网掩码:
255.255.255.128;网关:
219.223.41.129;指定13-16端口属于VLAN50。
⑥预留17-23端口、IP地址段:
219.223.41.33-62,用于以后网络扩展使用
(五)IP地址分配
1.校园网IP地址分配总则
IP地址规划根据所分配公网IP地址和内部私网IP地址分配,地址可分为三大块,一块是Cernet分配多个C类公网IP地址,作为和国际互联网互连地址,域名就解析在这片地址上,主要供网络中心和图书馆电脑部、部分实验室专用;校园网普通用户,使用内部地址192.168.xxx.xxx,,不能和国际互联网直接发生联系,不能避开代理和计费系统;学校同时还可以申请一块ChinaNet公网IP地址,作为接入电信公网和部分关键服务器出口备份,关键服务器拥有两个公网IP,分别跨接在Cernet和ChinaNet上。
2.校园网内部私网IP地址分配
内部地址分配原则是按建筑物进行,视用户数量,1/4、1/2、整个C划分。
对于相对固定不变教学区采用静态分配IP地址,为防止地址盗用,采用IP地址及MAC地址绑定,对于流动性大、用户人数多、用户增长快学生区采用动态分配IP地址,采用ByPortVlan,小范围地限制地址盗用问题。
下面是该校IP地址分配表
楼宇名称
IP地址范围
网关
办公楼一楼
192.168.10.11——192.168.10.14
192..168.10.1
办公楼二楼
192.168.10.15—192.168.10.30
192..168.10.1
教学楼一楼
192.168.10.31—192.168.10.40
192..168.10.1
教学楼二楼
192.168.10.41—192.168.10.50
192..168.10.1
教学楼三楼
192.168.10.51—192.168.10.60
192..168.10.1
教学楼四楼
192.168.10.61—192.168.10.70
192..168.10.1
教学楼五楼
192.168.10.71—192.168.10..80
192..168.10.1
教学楼六楼
192.168.10.81—192.168.10.90
192..168.10.1
信息楼
192.168.10.91—192.168.10.130
192..168.10.1
女生宿舍楼
192.168.10.131—92.168.10.160
192..168.10.1
男生宿舍楼
192.168.10.161—192.168.10.190
192..168.10.1
电子阅览室
192.168.10.191—192.168.10.240
192..168.10.1
体育馆
192.168.10.241—192.168.10.245
192..168.10.1
三.校园网管理设计
(一)用户管理
内网中硬件设备、操作系统和应用系统等面向用户主要分为管理者和使用者两大类,各种权限设置成为用户管理主要内容。
若从可信度角度去观察用户管理,则可以看到,用户及权限设置正是用户可信程度高低体现,用户所拥有管理或使用权限越高,则其被信任程度也越高,反之亦然。
用户可信度在用户管理中是有层次关系,用户可信度越高则所处可信层次越高。
在通常用户管理概念中,一个用户能够同时被赋予多种角色,行使多种权力,且这种授权方式在实现上一般仅有管理约束而无技术约束,由此产生后果则是破坏了用户可信度层次关系,给安全管理带来了隐患。
(二)服务器管理
服务器是校园网核心设备,也是黑客们主要攻击对象,所以它们要有最高安全性。
网络操作系统是校园网服务器系统中最重要组成部分,用户通过使用网络操作系统来使用校园网络资源,所以服务器安全前提是网络操作系统安全。
安装时选择定制安装,只安装需要服务组件,安装完Windows2003后,要先升级、打补丁、安装应用程序,然后再联网调试;在服务器上只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议,解除NetBIOS和TCP/IP协议绑定;把共享文件授权用户从“Everyone”组改为具体授权用户;把权限从“完全控制”改为想给授权;关闭默认共享、远程管理和远程IPC,防止IPC入侵;账户和密码位数要足够长、足够复杂、经常更改,不能用姓名、电话、生日、学校名、科室名等简单单词当密码;开启账户策略中密码策略,启用密码复杂性要求,设置密码最长存活期;默认状态下所有端口都是开启,可以根据服务器所提供服务性质,关闭那些不需要开启服务和端口;安全审核是Windows2000自带入侵检测方法,应开启安全审核策略;服务器安装设置完好后为它创建一个紧急修复磁盘,防备系统一不小心被破坏而不能正常启动;对服务器进行漏洞扫描,利用优化系统配置和打补丁等各种方式最大可能地弥补最新安全漏洞,消除安全隐患。
四.校园网安全及防范
(一)根据用户特性和需求划分VLAN
校园局域网及其他企事业单位局域网相比,联网计算机及网络用户群体更为复杂。
有教师备课机、学生机房、学生宿舍、图书馆、家属区以及人事、财务、后勤等行政办公计算机等。
不同用户对于网络有着不同需求,对于自身信息安全性要求也不同,据此可以将校园网划分为多个VLAN。
(二)防火墙设置
防火墙网关能有效隔离校园网和外部互联网,使校园网及互联网之间访问连接得到有效控制,阻止黑客对校园网非法访问和攻击。
针对校园网中部分重要网段(如院长办公室、教务、财务、人事、科研中心、重要实验室等)设置防火墙网关,将他们和学生机房、学生宿舍及家属区网段隔离,提供最基本网络层访问控制,使之不会受到来自校内其他网段攻击。
图
(2)
(三)合理运用入侵检测技术
入侵检测技术是主动保护自己免受攻击一种网络安全技术。
作为防火墙合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构完整性。
网络系统是应用系统基础,网络安全便成为首要问题。
图(3)
(四)设置访问控制管理系统和智能信息过滤系统
系统隔离——分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理网络安全边界,使不同安全级别网络或信息媒介不能相互访问,从而达到安全目。
身份鉴别——是对网络访问者权限识别,一般通过三种方式验证主体身份,一是主体了解秘密,如用户名、口令、密钥;二是主体携带物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。
全。
安全监测——采取信息侦听方式寻找未授权网络访问尝试和违规行为,包括网络系统扫描、预警、阻断、记录、跟踪等,从而发现系统遭受攻击伤害。
(五)加强防范,防止病毒泛滥
要建立一个有效合理病毒预防和查杀机制。
通过在网络中部署分布式、网络化防病毒系统,不仅可以让单机有效地防止病毒侵害,还可以使管理员从中央位置对整个网络进行实时状态下病毒防护。
◆及时有效对病毒进行查杀。
◆保证所有计算机都安装了网络版杀毒软件客户端,不能漏掉一个,否则就会出现“木桶效应”,使整个网络重新被病毒感染。
◆及时升级服务器端杀毒软件病毒库,并要求客户端也要及时升级病毒库,并定期进行全网计算机病毒扫描。
◆近年爆发计算机病毒如冲击波、震荡波、QQ尾巴等都是利用操作系统或应用软件本身漏洞进行传播,所以要及时安装系统补丁,截断病毒传播途径,配合杀毒软件起到双重防范病毒效果。
◆要求校园网用户在安装了学校提供网络版杀毒软件后,不得再私自安装其他杀毒软件,以免互相冲突。
在防火墙内口上捆绑IP和MAC地址,在汇聚交换机上捆绑IP和MAC地址,在接入交换机上捆绑端口和MAC地址。
通过MAC地址、IP地址、交换机端口双重捆绑,解决校园网中IP地址盗用问题和IP冲突问题。
五.设备选型
核心交换机(数量为2)
WS-C4507R-ECat4500E-Series6-SlotChassis,fan,nops(机箱)
WS-X45-SUP6L-ECatalyst4500E-SeriesSup6-ELite,2x10GE(X2)w/TwinGig(引擎)
PWR-C45-1000ACCatalyst45001000WACPowerSupply(DataOnly)(电源)
CAB-AC16A-CH16AACPowerCordForChina(电源线)
S45EIPBK9-12253SGCiscoCAT4500EIOSIPBASESSH(IOS)
WS-X4506-GB-TCatalyst45006-Port10/100/1000PoEorSFP(Optional)(板卡)
汇聚交换机
WS-C3750G-48TS-SCatalyst37504810/100/1000T+4SFP+IPBImage
接入层交换机
WS-C2960-48TT-SCatalyst29604810/100+21000BTLANLiteImage
WS-C2960-24TC-SCatalyst29602410/100+2T/SFP LANLiteImage
安全设备
ASA5520-BUN-K9ASA5520AppliancewithSW,HA,4GE+1FE,3DES/AES
六.性能测试及风险分析
(一)性能测试
1、网线测试:
网线布设完毕、水晶头安装在两端后,立即用网络测试仪测试线路是否可以正常工作。
如果不行,则可以判定水晶头及网线连接不好,这就需要重做水晶头并测试,一直到网线可以正常工作为止。
2、网络设备测试:
网络设备安装完毕后,加电进行测试。
先测试所有网络设备包括网线是否工作正常;然后测试点及点之间网络传输速度;最后测试一点对多点网络传输速度。
3、综合测试:
测试外部网络和内部网络互联互通性能,主要包括以下几点:
下载速度测试、网络游戏顺畅程度、在线影院流畅度等
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园 网络 系统 设计 规划
![提示](https://static.bdocx.com/images/bang_tan.gif)