计算机网络课程设计说明书兰州市第九中学校园网组建方案Word文件下载.docx
《计算机网络课程设计说明书兰州市第九中学校园网组建方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《计算机网络课程设计说明书兰州市第九中学校园网组建方案Word文件下载.docx(31页珍藏版)》请在冰点文库上搜索。
校园网;
IP地址划分;
网络拓扑图;
网络测试及协议数据包分析
前言
当今的世界正从工业化社会向信息化社会转变。
快速、高效的传播和利用信息资源是21世纪的基本特征。
掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。
因此,学校校园网的有无及水平的高低,也将成为评价学校及学生选择学校的新的标准之一。
Internet及WWW应用的迅猛发展,极大的改变着我们的生活方式。
信息通过网络,以不可逆转之势,迅速打破了地域和时间的界限,为更多的人共享。
而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。
学校作为信息化进程中极其重要的基础环节,如何通过网络充分发挥其教育功能,已成为当今的热门话题。
随着学校教育手段的现代化,很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展,校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一,此时,校园网上的应用系统就显得尤为重要。
一方面,学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识,毫无疑问,这是学生综合素质中极为重要的一部分;
另一方面,基于先进的网络平台和其上的应用系统,将极大的促进学校教育的现代化进程,实现高水平的教学和管理。
学校目前正加紧对信息化教育的规划和建设。
开展的校园网络建设,旨在推动学校信息化建设,其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络,最终完成统一软件资源平台的构建,实现统一网络管理、统一软件资源系统,并保证将来可扩展骨干网络节点互联带宽为10G,为用户提供高速接入网络,并实现网络远程教学、在线服务、教育资源共享等各种应用;
利用现代信息技术从事管理、教学和科学研究等工作。
最终达到在网络方面,更好的对众多网络使用及数据资源的安全控制,同时具有高性能,高效率,不间断的服务,方便的对网络中所有设备和应用进行有效的时事控制和
第1章学校描述
兰州市第九中学始建于1954年,是一所市属示范性中学,位于兰州市七里河区龚家坪东路52号,学校现有教职工110人,学生1800余人。
学校现有10438平方米的教学实验综合大楼,内设图书馆、理化生实验室、微机室、语音教室、学生生公寓以及42个普通教室。
学校植草坪建花园,绿化面积达7000平方米,是一所园林化单位,也是七里河区首批文明单位之一,有5500平方米的塑胶操场。
大楼之间距离为50~500m,各个大楼的计算机大约有770台。
总的信息点将达到3000个左右。
信息节点的分布比较分散,将涉及到图书馆、实验楼、教学楼、宿舍楼、公寓楼等。
其中分别是:
一号楼和二号楼为教学楼,三号楼是实验楼与办公楼,四号楼和五号楼是学生宿舍楼,六号楼是公寓楼,七号楼是图书馆。
主控室可设在实验楼的五层,图书馆、教学楼和宿舍楼为信息点密集区。
兰州市第九中学建筑分布图如图1-1所示
图1.1兰州市第九中学建筑分布图
第2章需求分析
校园网网络整体分为三个层次:
核心层、汇聚层、接入层。
为实现小区内的高速互联,核心层由一个节点组成,包括教学区区域、服务群。
汇聚层设在每层楼上,每栋楼设置一个汇聚点,汇聚层位高性能交换机,根据各个楼的配线间的数量不同,可以分别采用一台或两台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层,楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性。
接入层为每个楼的接入交换机,是直接与用户相连的设备。
本实施方案从网络运行的稳定性、安全性、及易于维护性出发进行设计,已满足用户需求。
该学校校园网的总体建设目标是:
利用先进实用的计算机技术和网络通信技术,建成覆盖全校、高速、高性能的计算机网络,实现网络在教学、管理、科研、通信等方面的作用。
具体包括以下几个方面:
1.建立一个以光纤为主干、覆盖全校的宽带网,主干1000M,100M至桌面。
需要考虑网络运行的高效、可靠、安全以及管理的方便。
2.实现校园Intranet的互联互通,校本部、各大学院以及医学院之间可以方便快捷地访问国内外消息,以满足信息查询、通信、资源共享、远程教学等需要。
3.建立网络教学系统,提供教师电子备课、课件制作、多媒体演示,学生多媒体交互式学习、网络考试、自动教学评估、视频电话等功能。
4.建立基于网络的教育管理及自动化办公系统,包括行政、教学教务、科研、后勤、财务等系统,以满足学院管理现代化的需要。
2.1带宽
兰州市第九中学对计算机网络的应用主要是多媒体教学和办公自动化,通过计算机网络这种先进的技术手段,实施多媒体、交互式、内容丰富、形象生动的教学,以培养出能适应社会需求的具有专业技能的人才。
根据这一实际应用情况,我们分析在网络上传输的信息是音频、视频、数据相结合的信号,这样对网络的带宽需求就较高,因此,必须对网络带宽和网络的使用性能进行分析,以保证网络满足用户应用的需求。
音频信号所需的带宽。
模拟的音频信号必须转换成二进制数据后才能被计算机存储和处理。
对音频信号用等于信号最高频率两倍的速率进行采样,然后对采样值按一定的量化等级进行量化和编码,就可以将音频信号转化成数字数据,并且基本保留原来的信息。
采样频率和编码位数的选取视使用场合而定。
在电话系统中,一路电话所需的带宽只有56Kbps或64Kbps,而传送立体声唱片则需要1.411Mbps。
视频信号所需的带宽。
在计算机中,一幅图像是由一个个的像素组成的,对每个比特进行编码。
灰度图像中,每个像素编码成一个8比特的数,在彩色图像中,每个像素记录了它的颜色,因此每个像素用24比特来表示,而为了获得平稳的运动画面,每秒钟又必须显示25帧的图像,这样一幅分辨率为800×
600的图像所需的带宽为24×
800×
600×
25=288Mbps,通过压缩,带宽可达8-10Mbps。
以上两种信号是网络中对带宽要求最严的数据信号,而且音频信号和视频信号突发性很大,在网络中要求实时的和高质量的传输。
当网络规模比较大,网络用户比较多,网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时,往往会对网络带宽带来压力,令网络带宽不堪负荷,造成网络拥塞,严重时会导致阻塞,使网络通信停顿。
为了解决网络拥塞问题,必须对各种网络技术进行选择,以符合用户对网络实际应用所提出的各项要求,以最高的性价比,实现网络功能。
2.2子网与VLAN规划
校园网中所有的主机数不超过1000台。
计算机的基本地域分配是:
教师办公楼有210台、实验楼有220台、学生宿舍有250台、还有图书馆和教学楼一共有90台。
而一个C类子网有254个可以让用户正常使用的IP地址,所以申请4个C类IP地址即可满足这个校园网需求。
具体地址分配如下:
教师办公楼(210台),分配一个C类子网。
实验楼(220台),分配一个C类子网。
学生宿舍(250台),分配一个C类子网。
图书馆和教学楼一共有90台,因此两栋楼可以共用一个C类IP网段,然后对其进行子网划分。
分割成两个虚拟子网,由于图书馆和教学楼的主机都不超过126台,因此图书馆和教学楼的子网掩码定为:
255.255.255.128。
这样实现图书馆和教学楼共用一个C类IP网段,从而提高了IP地址的利用率。
在校园网络的整个网络规划当中,VLAN的划分是非常重要的部分,很好的利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的。
根据以往网络管理经验和骨干网络网络建设的实际情况,方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则,以不同的使用群体为VLAN范围划分。
这样划分
VLAN的好处有:
1.方便管理。
为了更好的进行VLAN规划的实施,因此在网络实施前期,要对网络中不同区域的VLAN设置进行详细的规划,细化到接入层网络,这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话,避免由于前期配置设备时复杂烦琐,而且由于相同的用户群体可能在不同的物理位置,导致造成整个校园网络中VLAN划分复杂,减轻管理和后期维护。
所以方案建议骨干网络划分VLAN方式前进行详尽规划,这样既可以减少广播域,又达到划分VLAN,方便管理的效果,对于后期网络维护和升级具有十分现实的意义。
2.易于实施。
按群体划分VLAN在工程实施中就十分的方便,不会造成VLAN划分复杂失误而使得网络出现不通的现象,便于工程快速实施和网络中心整体规划。
3.VLAN间路由采用三层交换设备进行VLAN路由。
以便不同VLAN间进行访问,对于学校重要网络资源,需要进行权限访问的时候,建议采用专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL)来进行访问权。
2.3实现的信息服务
建成以后能实现除现在网络上的一般功能:
如E-mail、FTP、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询外,还应包括视频点播(VOD)、网络电话(IP电话)等功能,是一个高速多媒体互联网,实现整个校园系统的资源共享。
兰州市第九中学校园网在信息服务和应用方面应满足以下几个方面的需求:
用户需求决定了该网络系统的特殊性,按照用户的要求,网络系统须实现以下功能。
信息共享。
有关学校的各种资料,各种信息,如图书资料,教学资料,一些最新的学校公告等可通过网络进行查询。
信息交流。
可通过连接Internet实现与外部资讯的交流和沟通,从而获取当今世界的最新信息。
通过计算机网络实现多媒体教学。
如电子幻灯片、多媒体交互教学、电子白板等、办公自动化。
通过运用先进的计算机技术实现办公自动化,使学校的各种行政、财务、日常办公等计算机化,提高学校的办事效率。
同时,网络必须具备较高的性能和高度的安全性、可靠性、容错性。
而且网络系统能平滑地向未来新技术过渡,保护已有的投资。
2.4应用程序
局域网中的应用程序分为系统应用程序和用户应用程序。
1.系统程序
根据学校建网的目的,该局域网应配备如下系统应用程序:
1)FTP服务器;
2)Web服务器;
3)E-Mail服务器;
4)数据库服务器;
5)DNS服务器;
6)应用程序服务器;
7)备份服务器;
2.用户程序
针对该局域网要实现信息交流、视频教学、办公自动化等功能,应配备如下用户程序:
8)实时聊天工具
9)多媒体教学及课件制作软件
10)多媒体视频点播软件
11)Office软件
2.5存储系统分析
随着网络技术的不断发展,校园网已经成为学校行政、教学、办公的一个基础平台,在学校的发展和建设当中扮演着越来越重要的角色。
当前的中学校园网都是基于多种出口、多种操作平台的服务器群,这给服务器的管理和安全防护带来了一定的难度。
我校的各类应用服务器拓扑如图所示,校园网的各类网络服务根据服务对象不同,把服务器分布在电信公网、教科网和局域网三个网段落中,三个网段落间互相隔离,从而起到安全控制的作用。
主干采用千兆/百兆以太网络,存储采用独立的存储区域网络(SAN),实现数据的独立存储和管理。
校园计算机网络需要的服务器通过SAN交换机连接到光纤存储系统上,图书馆系统服务器和一卡通系统的服务器也通过这个交换机连接到这个存储系统上。
每台服务器通过两条线路分别连接在两台SAN交换机上,浪潮英信EMCCX500存储系统通过四条线路连接在两台交换机上,由于一卡通和部分学校信息管理系统的数据尤为重要,为了万无一失,存储建议通过一台ADIC的Scalar24LTO磁带库,用于此类关键数据的离线备份,确保整个校园信息系统有一定的容灾能力。
2.6系统及数据安全分析
数据是网络的精神,数据的安全是网络安全的关键。
该系统以NT为平台,以DA磁盘阵列及HA软件为核心,SQL库及所有数据存放在DA磁盘阵列中,两台服务器上只安装本地系统文件及HA软件并构成一主一从的热备方式。
当系统启动后,RoseHA首先启动HAmanager管理程序,然后启动必要的服务和代理程序来监控和管理系统服务。
HA代理程序通过RS232或专用网络适配器来监控、监测、诊断和管理硬件、软件服务。
在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。
因些从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。
最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。
如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。
所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
在WINDOWSNT使用的IIS,是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:
首先,不要将IIS安装在默认目录里(默认目录为C:
\\Inetpub),可以在其它逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。
其次,IIS在安装后,会在目录中产生如scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。
因此,在安装后,应将所有不用的虚拟目录都删除掉。
第三,在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。
对于各目录的权限设置一定要慎重,尽量不要给可执行权限。
2.7QoS
为确保用户各种关键业务的正常开展,必须采取全面而系统的QoS设计(提供端到端QoS服务),以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时;
为了保证端到端用户的服务质量,因此要求端到端数据流经的所有网络设备都支持实施的QoS策略,核心设备是多个服务器接入的设备,并且担负着全网数据的交换,QoS的能力影响着全网的服务质量保障能力。
Qos的选择为RSVP-资源预留
RSVP是一个信令协议,它提供建立连接的资源预留,控制综合业务,往往在IP网络上提供仿真电路。
RSVP是所有QoS技术中最复杂的一种,与尽力而为的IP服务标准差别最大,它能提供最高的QoS等级,使得服务得到保障、资源分配量化,服务质量的细微变化能反馈给支持QoS的应用和用户。
协议的工作情况如下:
发送端依据高、低带宽的范围、传输迟延,以及抖动来表征发送业务。
RSVP从含有'
业务类别(TSpec)'
信息的发送端发送一个路径信息给目的地址(单点广播或多点广播的接收端)。
每一个支持RSVP的路由器沿着下行路由建立一个'
路径状态表'
,其中包括路径信息里先前的源地址(例如,朝着发送端的上行的下一跳)
为了获得资源预留,接收端发送一个上行的RESV(预留请求)消息。
除了TSpec,RESV消息里有'
请求类别(RSpec)'
,表明所要求的综合服务类型,还有一个'
过滤器类别'
,表征正在为分组预留资源(如传输协议和端口号)。
RSpec和过滤器类别合起来代表一个'
流的描述符'
,路由器就是靠它来识别每一个预留资源的
当每个支持RSVP的路由器沿着上行路径接收RESV的消息时,它采用输入控制过程证实请求,并且配置所需的资源。
如果这个请求得不到满足(可能由于资源短缺或未通过认证),路由器向接收端返回一个错误消息。
如果这个消息被接受,路由器就发送上行RESV到下一个路由器
当最后一个路由器接收RESV,同时接受请求的时候,它再发送一个证实消息给接收端
当发送端或接收端结束了一个RSVP会话时,有一个明显的断开连接的过程。
2.8网间隔离
网络隔离,英文名为NetworkIsolation,主要是指把两个或两个以上不可路由的网络(如:
TCP/IP)通过不可路由的协议(如:
IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。
由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)。
协议隔离和防火墙不属于同类产品。
网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换。
由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。
因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。
而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破,既便有所改进也必须付出巨大的成本,和“适度安全”理念相悖。
第3章拓扑图及方案整体描述
3.1拓扑图及方案整体描述
本方案主要选择千兆以太网技术来构建校园网络,对两层结点和桌面微机的接入也采用快速以太网,建立一个基于多层、全交换的虚拟校园网。
在实际构筑中采用三层结构。
最下层到桌面为100Mbps;
第二层为楼内各楼层到二级交换机,由100Mbps的交换式快速以太网构成;
各楼到网络中心(即主干)为千兆位以太网。
根据前面的分析,画出兰州市第九中学校园网拓扑结构图,如图3-1所示:
图书馆
Catalyst3000
Catalyst5000
Catalyst3000
教学楼
图3.1兰州市第九中学校园网拓扑结构图
3.2Internet接入方案
对于校园网,可以采用路由器实现接入Internet。
在局域网上通过代理服务器软件或者路由器,都可以解决多用户共享访问Internet问题,实质上是一个介于用户群体和Internet之间的桥梁,用以实现其网络用户对Internet的访问。
在使用路由器接入Internet时,dh|I3-EclJd对于缺少合法IP地址情况下,可以使用(NAT)地址转换技术实现内部网络对外部网络的访问。
路由器在收到内部网络中的计算机访问外部网络的IP数据包时,将这些非法的IP地址转换成合法的IP地址,作为IP数据包的源地址访问外部网络,当回来的数据包经过路由器时,在把该数据包的目标地址转换为相应的局域网内的主机IP地址,并把该数据包传送到相应主机,SB网~TDe_4jzv软s从而达到访问Internet的目的。
这些功能其实是NAT(网络地址转换)的一部分。
除了NAT之外,路由器接入Internet还采用了防火墙技术,主要是基于源和目标IP地址以及端口过滤的防火墙技术。
通过防火墙技术,可以在一定程度上使内部局域网免受外面的攻击,起到一定的安全作用。
目前国内常见的有以下的几种接入方式可选择:
1.TN公共电话网
这是最容易实施的方法,费用低廉。
只要一条可以连接ISP的电话线和一个账号就可以。
但缺点是传输速度低,线路可靠性差。
如果用户多,可以多条电话线共同工作,提高访问速度。
2.DN
目前在国内迅速普及,价格大幅度下降,有的地方甚至是免初装费用。
两个信道128kbit/s的速率,快速的连接以及比较可靠的线路,可以满足校园网浏览以及收发电子邮件的需求。
而且还可以通过ISDN和Internet组建VPN。
这种方法的性能价格比很高,在国内大多数的城市都有ISDN接入服务。
3.ADSL
非对称数字用户环路,可以在普通的电话铜缆上提供1.5~8Mbit/s的下行和10~64kbit/s的上行传输,可进行视频会议和影视节目传输。
可是有一个致命的弱点:
用户距离电信的交换机房的线路距离不能超过4~6km,限制了它的应用范围。
3.3远程访问支持
远程访问通常指远程接入,即远程计算机通过拨号线路连接到本地网络。
远程访问最主要的应用有两类,一是供远程移动用户接入校园网的本地网络,二是供ISP(因特网服务提供商)提供Internet接入服务。
在实际应用中,主要通过专门的硬件设备来提供远程访问服务,如3COM的NETServer能够提供16路电话线或ISDN拨号上网,使用于远程用户不同的校园网网络的远程接入,而TotalControl多服务平台一般用作ISP的介入设备,能够同时支持大量用户通过电话线或ISDN上网。
也可通过软件来提供远程访问服务,如WindowsW和Windows2000网络操作系统都集成了远程访问服务器。
这种软件方式,效率虽然不如专门的硬件设备,但是在有些场合下则是一种经济有效的解决方案,特别是对远程接入用户较少的网络来说,非常适用。
广义的远程访问包括远程控制和远程客户两种方式。
远程控制主要用于从一台计算机控制和操作另一台计算机,一般通过远程控制软件来实现,如著名的PCAnywhere。
远程客户即是本章主要介绍的远程拨号接入,由远程服器提供若干远程计算机连接到网络的服务,如无特别说明,一般就称为远程访问,也有称远程接入的。
Windows2000远程访问是整个路由和远程访问服务的一部分。
路由和远程访问是互相关联的,但路由和远程访问是两个独立的网络功能。
Windows2000服务器将虚拟专用网络集成到路由和远程访问服务(RRAS)组件。
运行Windows2000的远程访问服务器提供两种不同的远程访问连接,即拨号网络和虚拟专用网络。
1.拨号网络
通过使用远程通信提供商(例如模拟电话、ISDN或X.25)提供的服务,远程客户机使用非永久的拨号连接到远程访问服务器的物理端口上,这时使用的网络就是拨号网络。
最常见的使用方式是拨号网络客户机使用拨号网络拨打远程访问服务器某个端口的电话号码。
拨号网络客户机和拨号网络服务器之间通过拨号网络(模拟电话或ISDN线路)建立直接的物理连接。
如何组建拨号网络是本章的中心内容。
2.虚拟专用网络
虚拟专用网络是在公共网络(Internet)环境中建立的专用网络。
虚拟专用网络客户机使用特定的。
称为隧道协议的基于TCP/IP的协议,来对虚拟专用网络服务器的虚拟端口(电话号码)进行依次虚拟呼叫。
最常见的使用方式是,虚拟网络客户机使用虚拟专用网络连接连接到与Internet相连的远程访问服务器上。
远程访问服务器应答虚拟呼叫,验证呼叫方身份,并在虚拟专用网络客户机和校园网网络之间传送数据。
虚拟专用网络客户机和虚拟专用网络服务器之间通过虚拟专用网络建立逻辑的、非直接的连接。
当Wimdows2000
升级会员 