山西师范大学校园网三期工程解决方案文档格式.doc
《山西师范大学校园网三期工程解决方案文档格式.doc》由会员分享,可在线阅读,更多相关《山西师范大学校园网三期工程解决方案文档格式.doc(15页珍藏版)》请在冰点文库上搜索。
4.2项目实现功能
4.3项目指导方针
4
4.4项目技术要求
4.5网络总体方案设计
5
4.5.1主干网设计
4.5.2分校局域网设计
6
4.5.3三校区网络互联设计
4.5.4网络中心设计
4.5.5住宅楼局域网设计
7
4.5.6教学区无线上网设计
8
4.5.7图书馆网络设计
4.5.8逻辑拓扑结构设计
9
4.5.9安全接入和灵活计费
10
4.5.10网络管理与防病毒系统
4.6网络通信平台设备配置
12
5.方案特点
13
21世纪人类全面进入信息化时代,教育正在走向数字化、信息化。
计算机、网络、多媒体技术已被越来越多的学校采用,成为教育教学的支撑技术。
教育技术的现代化正在改变着教学手段、教学方法,必将带来教学内容、教学观念的更新,教育教学改革势在必行。
因此,越来越多的学校对校园网建设跃跃欲试,希望藉此一步跨入数字时代。
山西师大从1997年3月开始建设网络信息中心,到今日已建成连接学校三个校区教学楼、实验楼、办公楼、图书馆、教职工部分住宅楼的大中型园区网络。
光缆连接的教学楼、办公楼、实验楼和教工宿舍楼共22栋,敷设楼内信息点825个,连接入网的计算机超过1000台(含网络机房)。
校园主干网1Gbps到主结点楼,10/100Mbps到桌面,连接到CERNET山西主节点(太原)的速率为2Mbps。
目前校园网上有多种电子刊物,开设了20个栏目,教学管理软件、办公自动化及部分管理软件已在网上运行。
2001年3月学校与CISCO合作建立了CISCO网络技术学院,5月连接了中国教育宽带卫星网。
现有的16个多媒体视听教室,可以满足硕士生课程和本科生部分课程多媒体教学的需求。
虽说山西师大已具备了校园数字化教学与管理基本条件,但从网络基础平台和数字化学习平台的建设与应用方面还存在着以下一些问题与需求:
2.1网络通信平台
网络通信平台采用三层体系架构。
核心层设备只有一台Catalyst4006,20余个子网(VLAN)间信息通信在高峰期Catalyst4006第三层交换显得力不从心;
数据链路层采用非冗余设计,存在单点故障;
接入交换机带风扇,在家属楼接入点运行有噪音。
教工住宅楼网络覆盖还有60%的需求,学生宿舍楼网络连接仍为空白。
2.2网络资源平台
网络资源平台建设目前主要集中在网络信息中心、图书馆、教务处、教育技术学院等部门。
现存在网络化学习资源不够多、资源利用不足及如何正确、充分利用信息技术为教育教学改革服务等问题。
2.3网络管理平台
网络管理平台一般包括:
配置管理、安全管理、性能管理、故障管理、计费管理等内容。
由于财力状况,目前主要侧重网络的安全管理和计费管理。
随着网络规模的扩大和网络用户的增多,需要建构一个统一、安全、可靠、方便的网络管理平台,除了安全管理和计费管理外,配置管理、性能管理和故障管理也是亟待解决的问题。
本方案根据山西师大校园网的现状和进一步的需求目标、特点及实现的功能与技术要求,对总体方案的设计、锐捷网络设备选型、采用的技术路线及工程实施的过程,均充分考虑了项目方案的实用性、经济性、先进性及可扩展性(保护现有投资,可平滑升级)。
尤其注重了网络设备的安全可靠、易维护、易操作。
突出了计算机、网络及多媒体技术对教育过程的实用与好用,综合考虑了项目中各子系统相对独立性与关联性,方案设计能够体现出其1+1>
2的效果。
具体的实施原则如下:
3.1良好的开放性和可扩展性
校园网络应具有的开放性,这种开放性依靠标准化实现,使符合标准的计算机系统很容易进行网络的互连。
因此在网络建设中,网络体系结构和通信协议应选择广泛使用的国际标准,使得校园网成为一个完全开放式的网络环境。
在校园网络平台建设中,尽量采取成熟先进的网络技术,统一的网络标准和主流的网络设备,使得网络结构更易于扩展、升级和维护。
3.2校园网软件平台的针对性
校园网的应用和服务的对象是学校的教师、学生。
这就要求校园网软件平台的建设应以教学为核心,建立起一个在技术上具有先进性,在教学过程的各阶段应用上具有灵活性、多样性和针对性的数字化校园网。
3.3高度的安全性和可靠性
对于网络系统,应确保系统运行可靠,对关键部位提供容错能力,同时建立完善的安全管理体系。
3.4经济实用性
盲目地追求技术,会建成一个不稳定、不成熟产品的实验台。
单纯高性能,只会带来难以承受的高额投资。
所以,网络系统建设应采用成熟、适用、实用、好用的技术,力争以最小的投资得到最大的满足。
4.1项目建设目标
山西师大校园网第三期工程建设目标是:
采用100Mbps/1000Mbps光钎交换网络实现三个校区内部高速互联,光缆连接全校80%楼宇(教学区、住宅区),增加信息点1600个。
三个校区网络互连采用10Mbps单模光钎接口,三个校区内全面采用10/100/1000Mbps交换技术,将学校的各种PC机、服务器、终端设备和局域网连接起来,整合现有的网络资源,改善与Internet/Cernet相连的网络性能。
构建一个以计算机多层交换网络为框架,以网络基本应用、计算机多媒体辅助教学、电子化图书馆、教学管理办公自动化为平台的校园网,并逐步形成数字化校园网络。
4.2项目实现功能
(1)办公自动化
基于Web综合管理信息系统,提供行政、人事、学籍、教学、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等,使学校日常办公无纸化,减少办公开支,提高办公效率。
(2)网络多媒体教学
将计算机多媒体视听引入课堂教学,使声音、图像、动画的普遍采用可以大大提高教学效果,使每一节课都能够得到有效的作用。
(3)学生自主学习
针对不同的学生,提供不同的教学内容,采取不同的教学手段。
主要采用基于VOD、WEB及FTP的课件、光盘软件、Internet资源,学生可以根据自己的需要自由选择所需内容。
(4)电子图书馆
基于Web的图书音像资料供学生随时阅读,并与Internet连接,使图书馆得到进一步拓展,使学生能够得到近乎无限的网上资源。
(5)电子邮件
电子邮件是Internet上的一个最重要的应用,将为每一位教师和学生开设一个电子邮件账号,利用电子邮件学生可以和老师、同学及家长进行交流,同时也可以和国内外等地学校的学生进行交流。
(6)远程教育
实现校内外连通,师生在线、交互式学习、辅导、测验等功能。
(7)校园一卡通工程
利用IC卡易于管理的特性,结合校园网络,轻松实现学期注册、考试、教务管理,机房上机管理,食堂餐饮管理,图书借阅管理等多种IC卡应用,从而为学校开源节流、降低管理费用。
(8)校园移动计算
采用有线和无线网络混合建构,方便学生、老师移动上网学习和办公。
4.3项目指导方针
现代教育过程的四要素为:
教师、学生、教学内容及教育技术。
以计算机、网络、多媒体集成的现代教育技术,对教育过程的支持,随着教育信息化的发展,显得越来越重要。
因此,项目建设的指导方针为:
(1)以应用为主,为校领导决策、业务管理、教学保障和管理提供服务;
(2)采用成熟先进的技术,实用、够用,又留有发展余地;
(3)统一标准,逐步建设,充分考虑四期工程规划及网络的扩展性;
(4)充分重视网络系统和信息的安全;
(5)在限定的时间和要求内,降低费用的支出,提高系统的性能价格比;
(6)组织各方面的力量,网络通信系统、网络资源系统同步建设;
(7)络驾驶员队伍建设、加强培训,力争“路”、“车”、“货”的建设与“驾驶员”的培养同步发展。
4.4项目技术要求
(1)采用先进成熟的网络技术;
(2)统一技术规范、标准和方案,统一设备选性,统一组织实施;
(3)网络系统采用三层架构,采用TCP/IP协议栈,采用统一的客户端应用软件;
(4)网络系统采用全交换网络,主干1000Mbps,核心层、汇聚层采用冗余连接,10/100Mbps自适应到房间或桌面,住宅楼局域网采用静音设计;
(5)网络系统按部门、业务划分VLAN,网络多层交换采用802.1Q虚拟干道协议、802.1D生成树协议、802.1X认证协议和802.1P优先队列排序;
(6)网络综合布线采用EIA/TIA568B、EIA/TIA569、TSB36、TSB40等标准施工;
(7)网络系统必须满足标准化的要求,以实现开放性、可扩展性;
(8)重要部件、文挡要有备份,保证系统365天×
24小时运转;
(9)重视数据的安全与保密,建立完善的网络安全管理系统。
4.5网络总体方案设计
4.5.1主干网设计
校园网是各种应用的统一通信平台,平均无故障时间以及故障恢复时间,要保持在一个可容忍的许可范围之内。
在这种前提下,主干设备应有一定的冗余度,这种冗余度不单只是设备级的,也应该考虑物理线路,数据链路层、网络层以及应用层的容错能力。
该主干网在方案上有二个重点:
主干网技术策略;
主干交换机的基本要求。
主干网技术的基本要求可概括为:
千兆传输距离550m以内采用50/125多模光缆;
千兆传输距离大于550m、小于5000m采用9/125单模光缆;
百兆传输距离2000m以内采用50/125多模光缆;
百兆传输距离大于2000m采用9/125单模光缆。
主干交换机的基本要求可概括为:
机箱式结构,便于扩展;
支持多种网络方式,如快速以太网、千兆以太网等;
高性能,高背板带宽及中心交换吞吐量;
支持第二/三层交换,支持各种IP应用;
高可靠性设计,如多电源/管理模块、热插拔;
丰富的可管理能力等。
一校区整个主干网以校园网络中心的主机房(主配线间1)、图书馆的主机房(主配线间2)为双中心节点,向外辐射。
通过各部门、单位等多个建主楼节点构成主干网。
中心节点机房配置锐捷S4900高档交换机可作为主干网的核心交换机。
为实现网络动态管理和虚拟局域网,在中心节点交换机上配置第三层交换模块和网络监控模块。
考虑到教务处(设置在办公楼)、现代教育技术中心(设置在4号教学楼)也是校园网的信息资源分中心,可采用锐捷S2024M(配置M2040三层交换引擎)交换机与校园网双中心的锐捷S4900连接,以实现主干通道信息传输的负载均衡。
教学楼、办公楼、科学楼采用堆叠式交换机S2024M和S2024,以保证建筑楼信息点对交换机端口密度的要求和网络性能与可靠性的要求。
成人教育学院、研究生公寓、教工住宅楼采用S2800模块化汇聚交换机,下连其他楼宇(网络接入层)。
主干各节点(核心层交换机和汇聚层交换机)采用1000Mbps(单模1000BASE-LX、多模1000BASE-SX)连接,服务器采用双网卡链路聚合200Mbps连接或1000Mbps(1000BASE-TX)连接。
如图1所示。
4.5.2分校局域网设计
山西师大二、三校园区内各单位/工作组的局域网的技术及产品选择,可依据各单位不同的规模与应用要求采用以下方式:
采用支持802.1Q、802.1D、802.1X和802.1P的10Mbps/100Mbps以太网交换机,交换机的数量依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps直接至桌面。
采用支持三层交换的交换机连接信息资源服务器,便于信息资源访问的本地化。
锐捷S2800-L3交换机、堆叠式交换机S2024和带宽交换机S1926G+(F+)可满足需求。
二、三校区的分支主干网络拓扑图如图2、图3所示。
4.5.3三校区网络互联设计
山西师大一校区和二校区(原山西职业师范技术学院)相距6.6Km,一校区和三校区(原山西师大体育学院)相距9.8Km,二、三校区相距2.8Km。
三校区网络互联,可采用微波,或租用广电(网通、铁通)光缆。
微波互联经济实惠,但通信带宽较低(距离较远约1-2Mbps)。
租用光缆(10Mbps或100Mbps),通信带宽较高,但运行费用较高(如10Mbps一条通道,年租金约2万元)。
三校互联可根据学校的财力采用微波,或采用租用光缆。
无论采用何种技术,均要实现三个校区VLAN子网的统一划分与管理。
位于一校区的锐捷S4900和位于二、三校区的锐捷S2800-L3均为第三层交换机,通过S4900、S2800-L3的交换引擎和路由模块,即可实现三个校区VLAN子网的统一划分与管理。
考虑到三校区网络连接的可靠性,采用微波,或采用租用光缆均要实现冗余连接。
采用802.1D生成树协议,可防止路由环路的形成。
4.5.4网络中心设计
校园网络中心位于科学楼A座四楼。
网络中心是校园网的信息资源中心和通信枢纽中心,其网络体系结构的建构直接关系到网络系统的安全、可靠、高效的运行。
因此,网络拓扑结构要严格按照内外网隔离的模式设计。
非军事区(DMZ)包括交换机、学校WWW服务器、E-Mail服务器、防火墙、路由器、Internet专线连接设施;
内网包括用户管理和计费系统、网络教学平台、网络OA系统,核心交换机,远程访问服务器,防火墙和带宽增益服务器等设施。
路由器采用锐捷STAR-R2614通过2MDDN专线与CERNET相连。
防火墙采用实达-龙马WLMFirewall2.0A型,带宽增益服务器采用Star-CS2001高速缓存服务器,远程访问服务器采用锐捷STAR-R2614路由器,配置M2608A-8口异步串口模块,如图4所示。
4.5.5住宅楼局域网设计
住宅楼局域网连接两种计费用户,要求交换机静音、支持802.1QTagVLAN和802.1x安全接入控制策略。
STAR-S1926F+是一款线速交换增强网管型交换机,可以满足技术要求。
该交换机能够安全控制设置、监控设置、地址老化时间修改、静态地址管理、广播风暴控制、端口MAC地址锁、端口IGMP属性设置、802.1p优先级等各种管理。
还可针对用户的不同情况进行端口带宽分配,并采用业界先进的802.1x安全接入控制策略,简化认证的同时实现高效的用户控制能力。
因此,住宅楼局域网采用STAR-S1926F+交换机,配置M2101F(单口100BASE-FX)多模模块上连STAR-S2800交换机(汇聚层)。
STAR-S2800交换机可配置STAR-M2804F(4口100BASE-FX)多模模块下连STAR-S1926F+交换机,配置STAR-M2821S(单口1000BASE-SX)模块上连(50/125多模光缆,550米内)S4900(核心层);
配置STAR-M2821L(单口1000BASE-LX)模块上连(9/125单模光缆,大于550米)S4900(核心层)。
北区1-9号住宅楼网络拓扑结构如图5所示。
成人教育学院、研究生公寓、部分本科生公寓、教工其他住宅楼的局域网设计与图5类似。
4.5.6教学区无线上网设计
与有线局域网相比较,无线局域网具有开发运营成本低、时间短,投资回报快,易扩展,受自然环境、地形及灾害影响小,组网灵活快捷等优点。
可实现“任何人在任何时间,任何地点以任何方式与任何人通信”,弥补了传统有线局域网的不足。
RG-W1000是实达锐捷网络推出的一款小巧、美观、性价比极高的室内无线接入器,主要定位于小型办公区域、家庭、公众运营网络等场合。
即插即用,方便用户在最快的时间内迅速搭建无线局域网,并可以高速、简单、快捷地访问无线和有线网络。
RG-W100/200均是实达锐捷网络推出的无线局域网适配器,完全符合IEEE802.11b无线网络的国际标准。
RG-W1000与RG-W100无线局域网笔记本网卡,或与RG-W200无线局域网USB适配器,可组成覆盖距离室内35~100米、室外100~300米的移动计算网络。
山西师大现有多媒体视听会议报告厅3个,多媒体视听教室16个。
为了方便学术交流、知识学习,可在报告厅内、视听教室内安装RG-W1000(数量的多少,视会议厅、教室的大小确定),所有进入厅内或室内的人员,可携带笔记本电脑(配置RG-W100)。
移动上网的电脑可通过RG-W1000的DHCP功能,获得IP地址连接校园网。
2号报告厅可容纳300人,需要两个RG-W1000。
RG-W1000的安装采用中继方式,其中一个连接有线网络,另一个为中继方式,两个在空间呈对角,以覆盖整个报告厅。
图6是2号报告厅的网络拓扑图,其他报告厅和视听教室较小,安装一个RG-W1000即可。
4.5.7图书馆网络设计
图书馆子网主要功能是在图书馆范围内进行计算机文献检索、电子阅读、计算机借还系统以及在校园网上进行文献检索等。
图书馆子网中需要存储大量文本、图形、视像、流媒体数据,所以要设置企业级、部门级的数据库服务器作为数据存储、管理系统,数据存放在SAN(存储区域网络)、硬盘阵列等系统中,支持图书馆子网(180PC组成的电子阅览室)和校园网用户的访问和查询。
依据校园主干网的设计要求,一校区图书馆节点和二、三校区图书馆子节点均为园区网络的核心节点。
因此,应采用锐捷S4900高档三层交换机和S2800-L3中档三层交换机作为网络的核心节点。
这样可以是所有园区子网的用户,访问图书资源信息可在该节点完成;
同时也为主干网的负载均衡、链路连接的可靠性奠定了基础。
图书馆子网内部可按信息流量的大小,设计网络带宽。
子网内的接入交换机可采用采用堆叠式交换机S2024M和S2024,或采用具有1Gbps上连口的S1926G+,或S1926F+。
图7是一校区图书馆子网网络拓扑图,二、三校区图书馆子网简单,拓扑图略。
4.5.8逻辑拓扑结构设计
校园网的逻辑拓扑可划分为若干虚拟局域网(逻辑子网),虚拟局域网不受设备物理位置的限制,灵活性较大。
按照山西师大校园网各部分功能划分:
SERVERVLAN11为网络中心服务器群子网,将各种主要服务器(WEB、MAIL、FTP、OA、VOD、网络教学平台、协作学习平台、研究性学习平台、思科网络学习平台、信息技术学习平台以及数据服务器等)放在一个子网内便于管理、维护,同时也可以尽可能减少外部入侵及破坏系统的可能性。
SERVERVLAN12为图书馆服务器群子网,包括图书馆WWW服务器、图书管理服务器、电子期刊服务器、电子图书服务器(后两种服务由SAN组成)。
VLAN256为校园网的管理子网,包括全网核心层、汇聚层和接入层交换机。
VLAN20为多媒体教学系统(多媒体教室),方便教师进行管理和教学。
其余子网可按教师信息管理系统、网上协作科研管理系统、综合教务管理系统、财务系统、学生信息管理系统、多媒体网上教学系统、办公自动化系统、公共机房(二级学院学生上网机房,根据PC机的数量,可划分多个VLAN)等划分。
如图8所示。
4.5.9安全接入和灵活计费
对于高校园区网络,安全性问题不仅来自外部网络,更主要的威胁还是来自内部网络,很多来自学生出于好奇心或其它心理而采取的网络地址盗用、网络攻击等方式无疑是网络系统中的一个隐患,如何有效的设计安全接入和灵活计费方案是一个很重要的问题。
实达锐捷802.1X的优势:
①使用ASIC硬件芯片采集计费数据,计费准确;
②升级简单,容易;
③在网络边缘认证计费,不存在计费瓶颈,性能好;
④认证和计费设计使用模块化结构,扩展性好;
⑤可以根据端口,MAC地址,VLANID作为认证的颗粒;
⑥设备支持多层堆叠,降低维护成本;
⑦网络管理的参数多,满足最苛刻的网络需求;
⑧设备的外形尺寸、静音参数专门针对宿舍网做了优化。
采用实达锐捷安全接入和灵活计费(802.1X)方案具有以下优点:
(1)一次同时认证用户名、IP、MAC
在802.1X认证时,客户端同时提交用户名、IP、MAC,一次认证即同时完成用户名、IP、MAC三者的认证。
这样,其它用户盗取用户账号或IP或MAC或三者中任两者都无法假冒真正用户。
更重要的是,这些都只需简单地在RADIUS服务器上设置单一的表格即可实现基于全宿舍网甚至全校的接入控制认证;
(2)分布式认证方式,防止出现单一故障点
各接入交换机(如S2024堆叠系列交换机、S1924F+接入交换机等)直接完成接入认证,不容易单点故障;
同时,还可提高认证效率;
(3)认证流和业务流实现分离,实现高效的认证,防止出现用户无法认证的情况
802.1x认证协议的核心设计思想是交换和控制的分离,认证流和业务流的分离。
通过端口(可以是交换机的物理端口,用户PC的MAC地址,也可以是VLANID)的两个逻辑通道:
非受控端口和受控端口来实现对用户的控制。
非受控端口始终关闭,只允许认证流上来;
受控端口走业务流,始终打开,只有通过认证才能关闭,用户的业务才能上来。
当用户认证流上来后,通过非受控端口进入交换机,由交换机协议体系提取用户名和密码对用户身份进行认证;
当用户通过认证后,受控端口关闭,用户的业务流可以上行。
这一点很类似于窄带交换网的7号信令系统,控制信令和语音数据的分离。
基于交换与控制分离的设计思路,802.1x认证协议实现简单、高效,认证的容量很大,可以保证用户能及时通过认证,在网络流量大,认证用户数多时不会对设备的性能产生影响,保证整个网络高效、稳定的运行。
(4)灵活扩展计费功能
通过网络中心的RADIUS(软件)服务器,802.1X完全支持计费功能。
同时,支持易实现对用户离线信息的检测,对于后续开展基于按时计费的增值服务有利。
当用户因电脑死机或异常关闭造成非主动下线,如果没有一种定期检测用户是否在线的机制,则会造成按时计费信息的不准。
802.1x认证设置了对用户离线的检测机制,定期会由认证系统FlexHammer24对在线用户进行一次握手,如果用户仍在线,则其客户端会响应认证系统的检测请求;
如果用户不在线,则其客户端
升级会员 