景泰二中校园网络规划与设计.docx
《景泰二中校园网络规划与设计.docx》由会员分享,可在线阅读,更多相关《景泰二中校园网络规划与设计.docx(31页珍藏版)》请在冰点文库上搜索。
景泰二中校园网络规划与设计
摘要
本方案是针对景泰二中校园网建设的具体需求,结合学校的未来发展需要,所作的校园网具体设计方案。
该校园网包括多媒体教学网、校园日常办公管理网络系统和互联网接入,由先进的软硬件系统组成,通过高速的结构化综合布线系统有机结合在一起,具有高速、安全、标准、可管理的特征,技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络。
在组建校园局域网时所需要的硬件设备是要用到网卡、网线和集线器(HUB)。
结合目前网络技术发展趋势,决定该校园局域网系统采用成熟的以太网技术。
关键字:
局域网;校园局域网;以太网;网络布线;布线技术
前言
当今的世界正从工业化社会向信息化社会转变。
一方面,社会经济已由基于资源的经济逐渐转向基于知识的经济,人们对信息的需求越来越迫切,信息在经济的发展中起着越来越重要的作用,信息的交流成为发展经济最重要的因素。
另一方面,随着计算机、网络和多媒体等信息技术的飞速发展,信息的传递越来越快捷,信息的处理能力越来越强,信息的表现形式也越来越丰富,对社会经济和人们的生活产生了深刻的影响。
这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。
由于Web技术和多媒体技术的出现,近几年来Internet得到了突飞猛进的发展,联入网络的节点和信息资源迅速增长。
随着学校信息化的深入和网络的日益普及,信息系统逐渐渗透到学校的各个环节,多媒体教学、数据安全与用户接入控制、高速网络交换及扩展性等功能日益成为用户对校园网的迫切需求。
校园网络系统在大大提高高校网络信息化建设的同时,其带来的管理、维护、升级等问题也日益成为高校必须面对的重要挑战,成为各级各类学校一致关注的问题.所以在这次课程设计中我为赤峰市一所中学设计了局域网的安装方案。
通过建设一个高速、安全、可靠、可扩充的网络系统,实现校内信息的高度共享、传递,推进教学及管理信息化;为了实现校园内外信息的交流,还需要建立出口信道,实现与CERNET、Internet互联,同时使教职员工和学生可以在家中拨号上网,访问校园网,进行资料查询。
目录
摘要I
前言Ⅱ
第1章学校描述1
第2章需求分析2
2.1带宽(核心层、(部门层、)桌面)2
2.2子网与VLAN规划3
2.3实现的信息服务5
2.4应用程序5
2.5存储系统分析6
2.5.1数据量6
2.5.2访问流量6
2.6系统及数据安全分析6
2.7QoS7
2.8网间隔离8
第3章拓扑图及方案整体描述9
3.1主干网传输方案设计9
3.2Internet接入方案9
3.3远程访问支持10
3.4子网划分与VLAN设定10
3.5网间隔离方案设计12
3.6存储方案12
3.7设备选型13
3.8软件17
3.9信息服务方案20
3.10综合布线方案21
第4章网络管理24
第5章系统主要设备报价25
参考文献26
课程设计总结27
第1章学校描述
景泰二中现有主要建筑如图1.1中所示。
其中1号楼是学校的教学楼,共6层,包括教室、办公室等共50个房间,计划信息点90个。
2号楼也是教学楼情况和1号楼相同。
3号楼是图书馆,计划信息点16个。
4号楼为会议办公用楼,包括会议室、办公室等,计划信息点26个。
5号楼是宿舍楼,计划信息点26个。
6号楼是试验楼,4层,包括两个已经建好的学生机房在内,计划信息点98个(每个机房40个信息点 )。
景泰二中已于近几年分期投资建成了学校内的一些局域网建设,但总体来说还没有达到与Internet的高速连接。
总结有以下特点:
(1)网络系统将分布在校园内6座建筑物内,规模较大。
(2)按需求信息服务有多种形式,即有数据传输,又有视频、音频的传输,多媒体信息流动大,对网络的带宽要求较高。
(3)信息点较多并分散。
(4)需要支持对Internet的高速访问,即与信息中心的高速连接。
(5)系统的安全性要求高。
景泰二中现有建筑布局示意图如图1所示。
第2章需求分析
利用现代化的技术设备和多媒体的教学手段形象直观地进行教学讲解,能增强学生的学习兴趣和理解水平,从而提高教学质量和学生品质,促进教育水平提高;提供高速、方便的信息交流和资源共享等手段;提供远比书本知识更为广泛的内容,扩大学生与外界的联系,开阔视野,增进交流;发展远程教育,克服地域和学校规模的限制,适宜于有分支的教育机构实现资源共享。
统一管理学校资源,如学生档案、教学资料、考试成绩、各种器材等;实现办公自动化,增强各部门协调能力,提高工作效率。
除上述两方面外,有条件的学校还可以开展其它多种类型的网络应用,如个人接入(通常用拨号上网)、互联网(Internet)连通等,更充分地发挥网络的优势。
校园网中有大量关于教学和档案管理的重要数据,应充分考虑安全性,选用能防止非法入侵和破坏的硬件设备,提供网络的冗余和容错能力,在出现局部故障时能不影响网络其他部分的正常运行。
2.1带宽(核心层、(部门层、)桌面)
1号楼是学校的教学楼,共6层,包括教室、办公室等共50个房间,计划信息点90个。
2号楼也是教学楼情况和1号楼相同。
3号楼是图书馆,计划信息点16个。
4号楼为会议办公用楼,包括会议室、办公室等,计划信息点26个。
5号楼是宿舍楼,计划信息点26个。
6号楼是试验楼,4层,包括两个已经建好的学生机房在内,计划信息点98个(每个机房40个信息点 )。
景泰二中已于近几年分期投资建成了学校内的一些局域网建设,但总体来说还没有达到与Internet的高速连接。
学校局域网的中心机房设在办公楼的三层西侧。
教学楼的配线间设在三楼东侧的北面。
为适应学校将来对各种网络应用的需求,另外随着技术和工艺的进步,考虑到目前各类布线材料在价格方面比较接近,因此拟对所有信息点都按超五类UTP标准布线,每个信息点可实现不低于100Mb的带宽,这样不仅可支持一般的学校信息管理应用对网络传输带宽的要求,而且完全支持MPEG-2等格式的多媒体信息传输。
2.2子网与VLAN规划
校园网建设的主要目的是利用计算机网络来实现现代化的多媒体教学,让有限的教学材料资源利用网络技术、多媒体技术来激发广大教职工、学生的学习兴趣,提高教学质量;另一个重要的作用是利用网络进行协同办公,不同的工作人员可以通过电子邮件或其他方式的协作来加速工作进程等,这就涉及到各种子网的构建。
在网络中,网络用户一般分布在不同的楼宇和组织中,甚至拥有自己的服务器和一个应用系统(多媒体教室、电子阅览室等),而这一切都由同一个数据通讯网络提供服务。
如何将一个组织在不同楼宇的用户群所构成的逻辑组与他们所在的物理位置关系上区分开,从而限定不同逻辑组间的通信流量以提高安全性和系统性能,是在网络集成和设计中必须考虑的问题。
解决的手段是在上成网络应用相结合的基础上充分利用网络设备的ELAN\VLAN划分功能,采用合理的划分策略,形成最佳的网络应用体系。
所谓虚拟网就是试图形成这样一种组网模式,即网络的成员所属的LAN与他们的实际物理位置并不相关,在一个大网中出与不同物理位置的各个成员可以不受位置的限制而构成“虚拟”LAN,即VLAN。
构成VLAN有两大好处:
可以使网络不会随着网络规划的膨胀而性能恶化。
因为IP子网的各种广播信息(如ARP)可以在一个LAN中(无论是共享还是交换)通行无阻,而VLAN之间的链路层是隔绝的,这就限定了子网在链路层的广播范围,提高网络带宽的利用率。
链路层的隔绝增加了网络安全性,使网络管理员可以化分各种工作组,而工作组间保持信息隔绝。
由于VLAN的“虚拟”特性,使管理员在划分工作组时不必考虑地域因素,也不必作任何布线改变,只需要通过软件的简单设置,就可以把分散在不同位置的用户放在一个组中,而且属于同一个工作组的用户也不必一定坐在一起,非常方便。
因此,VLAN是一个现代化局域网先进行的重要体现,能否实现VLAN以及实现程度是在选择网络产品是所需考虑的重要因素之一。
在VLAN技术支持下,可以根据用户工作站的MAC地址来划分VLAN。
这样用户可以自由的在校园内移动办公,无论在何处接入交换网络,都可以实现与VLAN内的其他用户自如的通信。
因此,选择的网络交换设备是充分考虑到第三层的交换能力的,甚至第四层交换,保证今后的应用,增加对应流的控制。
景泰二中的校园网根据具体的教学、管理等要求,基于TCP/IP协议进行子网的划分。
将网络分为教学子网、教务子网、试验子网、图书馆子网和宿舍子网。
景泰二中的虚拟网划分情况如下:
将教学一楼、教学二楼(即1号楼和2号楼)的各间教室以及办公室的工作站都划分到教学子网。
以便于无论教师在哪间办公室备课,资料都可以快速的传送到要讲课的教室,在教师的课堂纪录也可以快捷方便的传送到办公室。
将实验楼(即6号楼)的两个计算机实验室以及物理、会计实验室的工作站划分到试验子网中。
便于实验室资源的共享和实验数据的传输。
将办公楼中的会议办公室、财务办公室、会计办公室、招生办公室、教务处、后勤以及保卫处和教学一楼的校长办公室中的工作站划分到教务子网中。
这样可以方便各个科室的资料传输、资料共享,可以避免数据的重复录入节省大量的资源。
图书馆中的工作站作为图书馆子网,图书检索、查询、备份等工作不用在同一台机器上操作,可以大大的提高了图书馆人员的工作效率。
宿舍楼中的工作站作为宿舍子网,可以方便同学们的交互式学习。
由于中学的校园网是接入兰州市教育信息网,所以要采用内部地址和合法IP地址,就需要向上级信息中心申请统一的内部IP地址和合法的IP地址,需要的IP地址数量大约要3段B类内部地址10.89.0.0-10.91.255.255。
景泰二中与区教育信息网光纤接入,合法的IP地址由区教育信息中心统一分配2个C类地址
该中学一期建设中与上及教育信息网专线接入,将分配2个C类,子网掩码为255.255.254.0,网关为10.X.X.254。
共有2*254个IP地址可供使用
此次组网选用的是支持第三层交换的中心交换机,按照虚拟网的子网划分情况IP地址的具体分配是灵活的,但是要遵循易于管理、易于使用、易于技艺、不可重复的原则。
为了便于管理,配所有的工作站通过DHCP自动获取动态IP地址。
交还机的三层模块上采用了IP-UDP-Helper技术,来协助DHCP跨VLAN进行IP地址的分配。
2.3实现的信息服务
校园网中的应用服务多采用基于HTTP(HyperTextTransferProtocol超文本传输协议)的WWW应用服务模式。
HTTP协议采用了请求/响应模型,通常HTTP消息包括客户机向服务器的请求消息和服务器向客户机的响应消息。
客户端向服务器发送一个请求,请求头包含请求的方法、URI、协议版本、以及包含请求修饰符、客户信息和内容的类似于MIME的消息结构。
服务器以一个状态行作为响应,响应的内容包括消息协议的版本,成功或者错误编码加上包含服务器信息、实体元信息以及可能的实体内容。
我们常见的是基于NT架构B/S三层体系结构,采用B/S模式可以大大提高计算机和网络的使用率,B/S三层体系结构中的B是指Brower(浏览器),S是指Server(服务器),B/S三层体系结构由数据显示层、数据逻辑处理层、数据存储层组成。
B/S模式是把所有的开发与计算工作转移到了服务器端,客户端是支持解析HTML的浏览器,工作原理。
这样,不但系统升级维护容易,且应用系统在网络上分配进程和数据时有更大的灵活性,使系统获得更好的性能。
◆多业务,多媒体教学、办公管理、远程通信一网实现;
◆IP/TV多媒体应用系统,广播需求,实现多媒体教学、及宽带视频节目点播;
◆管理简单,基于浏览器和网络管理工具的图形化配置;
◆系统安全,集成路由器防火墙,提供互联网接入的安全保障;
2.4应用程序
应用程序主要有客户程序和服务器程序:
客户程序:
它主要实现消息的发送,在客户机上运行的客户程序把请求发送给服务器进程。
服务器程序:
它主要负责消息的接收和发送,接收客户进程的请求,作出响应。
2.5存储系统分析
2.5.1数据量
由此图可以看出该网络的数据量时刻在更新,从Sniffer的解码中我们可以看出,该主机发出的所有的数据包都是HTTP的SYN包,SYN包是主机要发起UDP连接时发出的数据包,也就是IP地址为192.168.6.33的主机试图同网络中非常多的主机建立HTTP连接,但没有得到任何回应,这些目标主机IP地址非常广泛(可以认为是随机产生的),且根本不是HTTP服务器,而且发出这些包的时间间隔非常短,为毫秒级,应该不是人为发出的。
2.5.2访问流量
我们可以分析每台计算机的流量情况,有些异常的网络流量我们可以直接通过HostTable来发现,如排在发包数量前列的IP地址为192.168.6.33的主机,其从网络收到的数据包数是0,但其向网络发出的数据包是445个,这对HTTP协议来说显然是不正常的,HTTP协议是基于TCP的协议,是有连接的,不可能是光发不收的,一般来说光发包不收包是种类似于广播的应用,UDP这种非连接的协议有可能。
2.6系统及数据安全分析
众所周知,计算机网络经常会受到黑客或者病毒的攻击,这对网络系统和数据安全造成了严重的威胁。
针对黑客威胁,网络安全管理员采取各种手段增强服务器的安全,确保网络服务的正常运行。
象在Internet上的Email、ftp等服务器一样,可以用如下的方法来对系统数据进行保护:
1.安全配置
关闭不必要的服务,,安装操作系统的最新补丁,将网络服务升级到最新版本并安装所有补丁,对根据网络服务提供者的安全建议进行配置等,这些措施将极大提供网络系统本身的安全。
2.防火墙
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给网络服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。
3.漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
4.入侵检测系统
利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提高网络服务器的安全,减少被攻击的可能性。
2.7QoS
随着各种需要大量带宽的新型网络业务的出现,校园网内的业务流量不断增加,对带宽、延迟、抖动等指标提出了更高的要求。
各学校开始考虑在自己的网络中部署QoS,以保证语音、视频等业务的正常运行。
策略是指流量分类、定义的执行,它们确定每个业务的优先级、分配的带宽等一些与QoS有关的内容。
策略服务器是管理员在全网中集中统一定义策略的地方,通过指定的各种策略对园区网中的QoS服务进行控制和管理。
网络设备从策略服务器下载并执行这些定义好的策略,所有支持QoS的设备都遵循策略中定义的规则来转发数据,从而有效地对全网资源进行统一分配与管理。
同时,策略服务器能够根据网络的现状与预先定义的策略调整,自动与网络适应,网络设备会根据策略自动完成相关配置,向不同的业务提供不同的QoS。
部署实现
在校园网中实现基于策略服务器的QoS部署时,主要包括以下三个步骤:
(1)在策略服务器上定义策略;
(2)配置网络设备接收策略;(3)在策略服务器上分发策略。
策略服务器使用了NortelOPS(OptivityPoliceService),同时使用NorteliPlanet目录服务器存储策略信息。
另外,在OPS中定义了网络边缘设备和网络核心设备两类设备。
网络核心设备只是简单地执行已定义的策略,保证全网的策略连续性。
2.8网间隔离
网络隔离:
实现内网和外网的网络隔离。
用户访问内网时,断开外网网络连接;访问外网时,断开内网网络连接。
用户不能同时连入内、外网,始终保持内网、外网网络隔离的状态。
根据中学校园网的结构特点及面临的安全隐患,通常通过瑞星防火墙、入侵检测、网络杀毒软件,实现网络病毒防范的安全需求,为大学校园构建统一、安全的网络。
防火墙的布置,在Internet与校园网内之间布署了一台瑞星防火墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星入侵检测系统RIPS-100。
将RIPS-100入侵检测引擎接入Cisco中心交换机上,对来自外部网和校园网内部的各种行为进行实时监测。
第3章拓扑图及方案整体描述
3.1主干网传输方案设计
如图1所示为整个校园的建筑布局。
考虑到各个建筑物的布局、建筑物间的距离以及不同信息量的要求,拟定1号楼为网络中心,选择星型拓扑结构。
2号楼与1号楼、4号楼与1号楼、6号楼与1号楼、3号楼与1号楼之间使用两根单模光纤连接。
5号楼与1号楼之间较其他楼都远,而且学生宿舍对带宽的要求不是很高,所以5号楼与4号楼的从交换机相连,作为4号楼的子网。
用多模光纤相连达到各个建筑物之间可以相互通信,所有信息点可以上网,满足教学、办公和学生上网的需求。
3.2Internet接入方案
景泰二中校园网将1号楼机房作为学校的网络中心,按信息中心的规划,如果景泰二中作为教育信息网的一个光纤汇接点,可负责其它子网的接入,即保证了周边部分学校的光纤接入。
因此在设备选型时必须考虑具有光纤接入的能力以及支持VLAN划分。
1号楼作为网络中心,同时必须应对整个校园网络进行有效的全面的管理。
图3.1网络拓扑图
3.3远程访问支持
通过设计的Internet接入方案,我们可以为该校园网分配多个FTP站点,这样就可以十分便捷的进行远程访问。
例如,学校可以为每个老师申请一个FTP站点,这样学生们就可以在计算机上完成作业并通过远程访问,将作业上传到相应老师的FTP上,这样既快捷又方便。
3.4子网划分与VLAN设定
所谓虚拟网就是试图形成这样一种组网模式,即网络的成员所属的LAN与他们的实际物理位置并不相关,在一个大网中出与不同物理位置的各个成员可以不受位置的限制而构成“虚拟”LAN,即VLAN。
构成VLAN有两大好处:
可以使网络不会随着网络规划的膨胀而性能恶化。
因为IP子网的各种广播信息(如ARP)可以在一个LAN中(无论是共享还是交换)通行无阻,而VLAN之间的链路层是隔绝的,这就限定了子网在链路层的广播范围,提高网络带宽的利用率。
链路层的隔绝增加了网络安全性,使网络管理员可以化分各种工作组,而工作组间保持信息隔绝。
由于VLAN的“虚拟”特性,使管理员在划分工作组时不必考虑地域因素,也不必作任何布线改变,只需要通过软件的简单设置,就可以把分散在不同位置的用户放在一个组中,而且属于同一个工作组的用户也不必一定坐在一起,非常方便。
因此,VLAN是一个现代化局域网先进行的重要体现,能否实现VLAN以及实现程度是在选择网络产品是所需考虑的重要因素之一。
在VLAN技术支持下,可以根据用户工作站的MAC地址来划分VLAN。
这样用户可以自由的在校园内移动办公,无论在何处接入交换网络,都可以实现与VLAN内的其他用户自如的通信。
因此,选择的网络交换设备是充分考虑到第三层的交换能力的,甚至第四层交换,保证今后的应用,增加对应流的控制。
景泰二中的校园网根据具体的教学、管理等要求,基于TCP/IP协议进行子网的划分。
将网络分为教学子网、教务子网、试验子网、图书馆子网和宿舍子网。
景泰二中的虚拟网划分情况如下:
将教学一楼、教学二楼(即1号楼和2号楼)的各间教室以及办公室的工作站都划分到教学子网。
以便于无论教师在哪间办公室备课,资料都可以快速的传送到要讲课的教室,在教师的课堂纪录也可以快捷方便的传送到办公室。
将实验楼(即6号楼)的两个计算机实验室以及物理、会计实验室的工作站划分到试验子网中。
便于实验室资源的共享和实验数据的传输。
将办公楼中的会议办公室、财务办公室、会计办公室、招生办公室、教务处、后勤以及保卫处和教学一楼的校长办公室中的工作站划分到教务子网中。
这样可以方便各个科室的资料传输、资料共享,可以避免数据的重复录入节省大量的资源。
图书馆中的工作站作为图书馆子网,图书检索、查询、备份等工作不用在同一台机器上操作,可以大大的提高了图书馆人员的工作效率。
宿舍楼中的工作站作为宿舍子网,可以方便同学们的交互式学习。
由于中学的校园网是接入兰州市教育信息网,所以要采用内部地址和合法IP地址,就需要向上级信息中心申请统一的内部IP地址和合法的IP地址,需要的IP地址数量大约要3段B类内部地址10.89.0.0-10.91.255.255。
景泰二中与区教育信息网光纤接入,合法的IP地址由区教育信息中心统一分配2个C类地址
该中学一期建设中与上及教育信息网专线接入,将分配2个C类,子网掩码为255.255.254.0,网关为10.X.X.254。
共有2*254个IP地址可供使用
此次组网选用的是支持第三层交换的中心交换机,按照虚拟网的子网划分情况IP地址的具体分配是灵活的,但是要遵循易于管理、易于使用、易于技艺、不可重复的原则。
为了便于管理,配所有的工作站通过DHCP自动获取动态IP地址。
交还机的三层模块上采用了IP-UDP-Helper技术,来协助DHCP跨VLAN进行IP地址的分配。
3.5网间隔离方案设计
网络隔离技术是确保可信网络安全的重要手段。
但是,绝对的网络隔离又违背了网络互通的原则。
提出采用GAP技术,设计并实现了可信网络与不可信网络在隔离的情况下,数据的高速、安全传输。
实践证明,基于GAP技术开发的隔离网间安全数据传输系统能够在保证可信网络安全的前提下,实现数据的高速交换,具有隔离性、安全性、管理方便等优点。
3.6存储方案
该校园网的存储方案选择双机热备,所谓双机热备就是使用互为备份的两台服务器共同执行同一服务,其中一台主机为工作机(PrimaryServer),另一台主机为备份机(StandbyServer)。
在系统正常情况下,工作机为应用系统提供服务,备份机监视工作机的运行情况(工作机同时也在检测备份机是否正常),当工作机出现异常,不能支持应用系统运营时,备份机主动接管工作机的工作,继续支持关键应用服务,保证系统不间断的运行。
用户可以根据系统的重要性以及终端用户对服务中断的容忍程度决定是否使用双机热备。
比如网络中的用户最多能容忍多长时间恢复服务?
如果服务不能很快恢复会造成什么样的后果等。
对于承担企业关键业务应用的服务器需要极高的稳定性和可用性,需要7×24不间断服务,推荐使用双机热备。
RAID和数据备份都是很重要的。
但RAID技术只能解决硬盘的问题,备份只能解决系统出现问题后的恢复。
而一旦服务器本身出现问题,不论是设备的硬件问题还是软件系统的问题,都会造成服务的中断。
因此,RAID及数据备份技术不能避免服务中断出现,对于需要持续可靠地提供应用服务的系统,双机还是非常必要的。
数据备份是保障数据安全性的必不可少的措施。
因为不论RAID还是双机,都是一种实时的备份。
任何软件错误、病毒影响、误操作等等,都会同步地在多份数据中发生影响。
因此,对于关键业务即使采用了双机方案也还是一定要进行数据的备份,以便能在
升级会员 