校园网的规划方案.docx
《校园网的规划方案.docx》由会员分享,可在线阅读,更多相关《校园网的规划方案.docx(20页珍藏版)》请在冰点文库上搜索。
校园网的规划方案
校园网设计
第一章.项目概述1
1.1.项目背景1
1.2.系统设计技术标准及规范1
第二章项目需求分析3
2.1.网络互连需求分析3
2.2.环境需求分析4
第三章.网络详细方案设计4
3.1.网络系统设计原则4
3.2.拓扑图5
3.3.Ip地址设计6
3.4.设备选型和价格6
3.5.网络安全方案设计8
第四章.综合布线的设计及施工11
4.1.网络布线施工11
4.2.信息点分布统计表13
4.3.工程实施方案13
第一章.项目概述
1.1.项目背景
北京信息职业技术学院网络改造工程是学院2008年市财政项目之一,本项目为了解决学校各校区网络设备老化、校园网多年累积建设发展过程中未能解决的问题进行整体改造,项目涉及网络设备、服务器、存储设备、视频会议、IP电话、门户办公平台、中心机房建设及部分线路改造,工程建设涉及新旧网络系统的建设与改造,复杂度较高,技术难度大。
学院为信息技术类职业学院,借网络改造工程的契机,精心设计实训项目,将网络改造与教学实训结合起来,可以为相关专业学生提供一个参与真实的工程实践机会,让学生把理论知识与实际应用结合起来,培养并提高学生实际动手能力。
1.2.系统设计技术标准及规范
(一)实用性和先进性
采用先进成熟的技术满足学校数据业务需求,兼顾未来八年发展要求,采用行业技术成熟、性能稳定的网络技术产品以适应更高的传输需要,确保整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。
(二)安全可靠性
网络必须具备高可靠性。
数据传输、存储及使用具有安全保护措施。
(三)灵活性和扩展性
本次校园网升级改造是对学校三校区网络功能的改进或提升,由于规模和多校区的特点,网络改造需要在今后的信息化建设工作中继续完善,因此产品解决方案要深入考虑方案的灵活性与可扩展性,能够适应学校未来组织变化及业务发展的需要,通过完善的方案规划和产品选型来保护项目投资不重复不浪费。
(四)开放性和互连性
校园网将要为学校职业教育提供虚拟校园环境,在结构上基于开放式标准,包括局域网、广域网组网技术及相关设备,坚持统一规范的原则。
产品选型保证与业界主流的网络设备厂家的设备互联、互通,功能实现上采用国际标准协议,坚决不用厂家私有议协或未国际标准化技术产品,以保证产品与其他产品良好的兼容性,满足开放性和互连性要求。
(五)投资保护
构建高性能计算机网络系统,与学校现在网络可用产品实现最大程度的兼容性,学校网络运维工作人员在不需要较多时间进行技术培训的前提下,快速地管理起网络,使网络产品性能充分地发挥出来。
所提供产品支持网络上常用的网络管理软件或工具软件。
同时,为了提高网络安全级别,方案提供的设备要与学校在用设备兼容,实现关键服务的冗余备份。
(六)可管理性
学校网络具有复杂性,随着业务的不断发展,网络管理的任务日益繁重。
在设计网络方案时,必须建立一套全面的网络管理解决方案,实现对网络的统一管理。
网络设备必须采用智能化、可管理的设备,通过网络管理软件实现集中式管理;通过集中监控,能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载,指导各校区网络管理工作;一旦发生网络故障,能够迅速诊断并隔离问题网络区域;通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,为办公、管理提供最有力的保障。
第二章项目需求分析
2.1.网络互连需求分析
1.13号楼网络基础
位于东区网络布线信息点基础设置已经布设,需要将各信息点通过网络互联设备接入;整个办公区的基础网络需要提供高可靠性,高稳定性,高可用性,同时对于安全性,访问的可控性也需要提供妥善的解决方案。
1)新办公大楼员工分布及办公信息点需求:
i.第5层教室
ii.第4层教室
iii.第3层教室
iv.第2层教室办公室
v.第1层教室
2)无线网络支持
对于办公区在提供有线接入方式基础上,还需要提供无线接入方式的支持,如位于1层的接待和会议室,以便于使用移动终端用户的使用。
部署的无线接入方式,在接入用户的控制,身份识别等方面需要着重考虑。
3)Internet接入方式选择
Internet接入方式本方案采用SingNetDSLStaticIPAccess。
SingNet静态IP上网的DSL是一种为企业使用互联网服务。
以最新的DSL技术为基础,使用电话接入实现宽带连接。
SingNetSDSL接入提供相同的上行和下行速度快,让客户能够更快地实现访问Internet网页。
SingNet静态IP的DSL互联网接入为企业提供了一个静态IP,能够解决为公司服务器托IP地址的需求。
这也符合基本的网络业务,如电子邮件,虚拟主机,虚拟专用网络设置和数据库服务器的需求。
●最经济实惠的静态Internet服务。
●静态IP地址能够实现公司服务器托管。
4)家庭办公网络需求
出于企业运行的需求,需要部分员工每周五在家通过网络办公,因此企业内网需要提供可靠的VPN接入,方便员工在家中进行远程办公。
2.2.环境需求分析
1.总体环境的调研和分析
设置三层为整栋楼的网络中心和主机房。
其余每层一个配线间。
网络中心用光纤与四号楼相连。
2.独立办公环境的分析
13号楼属于学校楼群中的教学及办公楼,整体结构简单,由25间教室喝5间办公室组成,规模不大,对于网络系统的构建也较为简单。
3.人员分布的分析
一层、二层、四层、五层为学生教室。
三层为老师办公室和网络中心。
4.应用需求的分析
根据实际需求,164个信息点的分布状况,需要网络设备1套,整个网络应满足网络数据传输、音、视频传输要求,具备将来的扩展和升级能力;
应具备Internet接入能力,整个办公区域采用统一出口连接至Internet,各单独计算机不再允许采用ADSL、Modem拨号等连接方式,Internet出口带宽要求1M以上;
应具备良好的安全防护能力,通过相应的安全设备、防病毒系统保证系统的整体安全;
需要在大开间地区布置无线上网设备1套,满足移动办公设备的需求。
第三章.网络详细方案设计
3.1.网络系统设计原则
先进性与现实性
作为中国教育科研网的一部分,我院的核心计算机网络系统处理的信息量将会十分庞大,要求计算机网络有很高的工作效率。
而且随着教学科研任务工作的迅速系统面临的任务也愈来愈艰巨,所以,我们设计的网络在技术上必须体现高度的先进性。
技术上的先进性将保证处理数据的高效率,保证系统工作的灵活性,保证网络的可靠性,也使系统的扩展和维护变得简单。
我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现我院校园网网络系统的先进性。
在考虑系统先进性的同时,我们也会考虑实效、兼顾现实,建设不仅先进而且合适的系统。
由于我学院大部分还处于规划阶段或基础建设阶段,因此我们建议实施分期建设的方法,先根据目前的需要建设第一期工程,但为以后的建设提供一定的可扩展空间。
系统与软件的可靠性
在我院校园网网络系统设计中,很重要的一点就是网络的可靠性和稳定性。
在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,是我院校园网网络系统所必须考虑的。
在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。
我们将从网络线路的冗余备份及信息数据的多种备份等方面保证我院校园网网络系统的可靠性。
系统安全性与保密性
保证系统可靠运行,在网络设计时,将从内部访问控制和外部防火墙两方面保证我院校园网网络系统的安全。
系统还将按照国家相关的规定进行相应的系统保密性建设。
易管理与维护
我院校园网网络系统的节点数目大,分布范围广,通信介质多种多样,采用的网络技术也较先进,尤其引入交换式网络和虚拟网之后,网络的管理任务加重了,如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。
用图形化的管理界面和简洁的操作方式,合理地网络规划策略,可以提供强大的网络管理功能,使网络日常的维护和操作变得直观、简便和高效。
易扩展性
随着教学科研的快速发展,我院校园网网络系统为了适应这个变化和日新月异的计算机技术的发展,考虑现有网络的平滑过度,使学校现有陈旧设备尽量保持较好的利用价值;选用产品应具有最佳性价比,又要应充分考虑未来可能的应用,我们网络十分注重扩充性。
同时学校规模在不断扩大,用户数在持续增加,要求网络具有很好的扩展性。
无论是网络硬件还是系统软件,都可以方便的扩充和升级。
上述系统设计的原则将自始自终贯穿整个系统的设计和实现。
3.2.拓扑图
3.3.Ip地址设计
●下表为本公司的IP划分列表:
序号
部门
VLAN
IP网络
掩码
网关
备注
1
教室
V0
192.168.0.0
255.255.255.0
192.168.0.1
每个教室2个信息点
2
老师办公室
V1
192.168.1.0
255.255.255.0
192.168.1.1
每个工位一个信息点
3.4.设备选型和价格
数量
价格
总价
教室交换机
WS-CE500-24TT
6
3500
21000
大楼交换机
WS-CE500G-12TC
2
10000
20000
核心交换机
WS-C2950T-48-SI
1
13000
13000
路由器
TP-LINKTL-WR340G+54M
2
50
100
服务器
戴尔(DELL)R410机架式服务器
1
17000
17000
配线架
5
100
500
网线
1000米
1/米
1000
全部总价
12
43550
72600
3.5.网络安全方案设计
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。
一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。
为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。
这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。
特别是对于移动办公的情况更是如此。
因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。
紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(ChipOperatingSystem)、硬件ID号、各种密钥和加密算法等。
紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。
采用趋势科技的ScanMailforNotes。
该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。
可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。
ScanMail是NotesDominoServer使用率最高的防病毒软件。
(2)服务器防毒。
采用趋势科技的ServerProtect。
该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。
一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。
采用趋势科技的OfficeScan。
该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。
其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。
管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。
无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。
简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。
在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。
本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。
这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。
如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):
是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):
是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):
是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。
作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:
安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。
主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。
安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。
主要功能有文件保护审计和主机信息审计。
①文件保护审计:
文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。
以及对文件保护进行用户管理。
②主机信息审计:
对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。
①监视屏幕:
在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:
在用户指定的时间段内,截获HostSensorProgram用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控RAS连接:
在用户指定的时间段内,记录所有的RAS连接信息。
用户实时控制ass连接信息截获的开始和结束。
当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:
在用户指定的时间段内,记录所有的网络连接信息(包括:
TCP,UDP,NetBios)。
用户实时控制网络连接信息截获的开始和结束。
由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。
安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。
单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。
在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。
I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。
网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。
同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。
同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。
另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。
移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
第四章.综合布线的设计及施工
4.1.网络布线施工
中心机房改造说明:
机房选址位于4号楼1层南侧,建筑空间为8跨,总长度为40米,宽度为7米,总面积为280平方米。
层高3.35米,梁底至地面2.85米。
目前空间被分割为3间,1间2跨,2间3跨,结构如图XXX所示。
改造项目须完成机房综合布线、抗静电地板铺设、棚顶墙体装修、隔断装修、UPS电源、专用恒温恒湿空调、机房环境及动力设备监控系统、新风系统、漏水检测、地线系统、防雷系统、门禁、监控、消防、报警、屏蔽工程等建设内容。
改造后的机房北侧临过道的7跨围墙(图中点线部分)使用透明墙体。
图中东侧虚线部分目前无隔断,改造后应为不透明隔断。
内部现有两道隔断需要拆除,按照新的功能分区重新分割,新加隔断应采用透明墙体。
所有透明墙体均应满足防火要求。
新加隔断应充分考虑现有窗体位置,尽量避免隔断和窗体的冲突。
改造后的机房包含6个区域:
主机房,UPS间,主控/展示间,测试区,信息中心主任办公室和信息中心工作人员办公室。
主机房:
须符合国家标准GB50174-93中B类机房相关规定,可容纳标准机柜(60mm*120mm*200mm)30个,机柜边距、间距符合GB50174-93中相关规定。
配备恒温恒湿设备,采用下送风上回风方式。
配备机房自动气体灭火装置,覆盖范围应为整个机房。
地面铺设防静电地板,顶面布设活动线槽,分别进行强弱电布线。
主机房应具备至少两个出入口,分别位于主机房两侧,出入口尺寸应充分考虑到设备进出的需要。
主入口处应设计换鞋更衣柜位置。
UPS间:
须符合国家标准GB50174-93中B类机房相关规定,UPS设备应可为机房提供不低于30Kw的实际可用功率,断电后备时间不低于1小时,同时具备电池电量低于限定值时向不低于35台服务器发送关机信号的功能。
UPS间也应在机房整体防雷、防火、防静电、整体接地及恒温恒湿保护范围内。
主控/展示间:
配置控制台、大屏幕及网络拓扑图。
控制台配备不少于两套控制端,可远程操作至少35台服务器。
大屏幕提供的无缝拼接组合尺寸不小于3平方米。
测试区:
提供网络设备测试区和应用服务测试区两个测试区域,每个测试区应配置不少于1个标准机柜、可容纳至少2台计算机终端的工作台面及至少2个工作位。
信息中心办公室位于图中最东侧两跨。
4.2.信息点分布统计表
配线间配线架示意图
1
1
2
3
4
5
6
7
8
9
10
升级会员 