昆明学院校园网设计参考方案Word文档格式.doc
《昆明学院校园网设计参考方案Word文档格式.doc》由会员分享,可在线阅读,更多相关《昆明学院校园网设计参考方案Word文档格式.doc(14页珍藏版)》请在冰点文库上搜索。
学生注册网络用户达14000人,校园网日在线主机峰值达7000多台。
学校建筑分布如图1所示
图1
2.项目目标
校园网建成以后要能够满足学校现代化教学及管理需要,实现教育现代、提高教学水平,通过计算机信息管理系统提高学校日常管理的效率,通过计算机网络价加强学校与学校之间的资源共享,所以校园网应达到的目标为:
①实现学校教学管理的网络化,完成学习教学管理信息的采集、处理、查询、头统计以及分析,而且,实现学校各部门办公的自动化,提高学校管理工作效率。
②发挥网络在教学中的应用,实现多媒体课件制作网络化,逐步实现教师上课、备课电子化、多媒体化。
③保证网络系统的开放性、可持续发展性,以便于同学能够上网浏览网络资源。
④网络系统必须安全可靠,保证教学数据的安全运行,满足学校不断发展的需求
3.设计标准、规范
1) 国际布线标准ISO/IECIS11801
2) EIA/TIA568A/59/606(美标)
3) EN5016,50168,50169(欧标)
4) 中国工程建设标准化协会标准CECS72:
97CECS89:
97
5) YD/T926.1-1997《中华人民共和国通信行业标准》
6) 《工业企业通信设计规范》
7) 《民用建筑电气设计规范》
8) CCITTISDN
9) IEEE10Base-T/100Base-T/1000Base-T
10)ATM155/622Mbps
11)ANSIFDDI/TPDDI100Mbps
12)IEEE802.5TokenRing
13)EIA/TIATSB-6现场测试非屏蔽双绞线布线系统传输性能规范
第二章用户需求
1.设计原则
校园网络建设应遵循以下基本原则:
①稳定性和开放性原则:
校园网络设计时应尽量采用结构化、模块化、标准化的设计。
在选择技术时必须符合相关国际标准及国内标准,从而避免个别设备厂家的私有标准或内部协议,以确保校园网络的开放性和互通性,同时满足信息准确、安全、可靠、优良交换传送的需求;
开放的接口.支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
满足校园网络各种不同用户需求、达到校园网络系统稳定、保证总体方案的设计合理、便于校园网络使用过程中的管理与维护,同时也应采用开放性的网络体系,方便网络的升级、扩展,在选择服务器等网络产品时,使用支持的多种不同网络协议的国际标准化产品.在保证校园网络稳定性的同时具备开放性。
②先进性与实用性原则:
网络技术发展快,设备更新淘汰也很快。
在设计校园网络时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。
采用符合国际标准的成熟、先进的技术和设备,确保校园网络能够适应将来校园网络发展需要,保证在未来若干年内占主导地位。
由于学校资金并不充足,部分先进设备不可能一步到位。
另外,学校的应用水平也有限,某些过于先进系统和设备即使安装了也会存在利用不起来的现象.因此,在设计校园网络时应在先进性的指导下面向实用,注重实效的方针,坚持应用、经济的原则。
③安全性与可靠性原则:
校园网络的安全与可靠包括设备、系统、应用等多个方面的因素,在设计校园网络时,在结构、设备、系统、应用、性能等方面所面临的威胁以及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确保校园网络具有良好的安全性和可靠性。
校园网络安全是整体的、动态的.校园网络安全既包括采用相应的安全设备,还包括相应的管理手段。
网络安全随着环境、时间的变化也会发生变化。
在设计校园网络时应充分考虑系统安全的整体性和动态性。
校园网络为多种不同需求的用户提供互联并提供不同目的的服务,要求不仅能进行灵活有效的安全控制,同时还应支持虚拟局域网、虚拟专用网.以提供多层次的安全选择。
在设计校园网络时,既要考虑信息资源的充分共享,更要注意信息的保护和隔离,针对不同的应用和不同的网络通信环境、采取不同的措施,包括系统的安全机制、数据存取的权限控制等,保证网络可靠性,包括网络物理级的可靠性以及网络逻辑的可靠性。
④可扩展性原则:
在设计校园网络时,要具有可扩展性和可升级性的思想,随着学校不断的扩招,业务的增长和应用水平的提高。
网络中的数据和信息流会按指数级增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级,把校园网络建设成完整统一、组网灵活、易扩充的弹性网络平台。
设备应选用符合国际标准的系统和产品,保证系统具有较长的生命力和扩展力,满足将来
系统升级的要求。
⑤可维护性原则:
校园网络系统规模宠大,应用丰富而复杂,需要校园网络具有良好的可管理性,校园网络管理系统具有监测、故障诊断、故障隔熟、过滤设置等功能,设计时,应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。
2.网络建设需求
昆明学院洋浦校区网络信息点总数为28000多个,地理分布范围在一个区域内,即一个校区,主要用于学校内部网络通信,也会利用因特网进行外部上网活动,但是,网络流量主要集中于校园网内部,因此对网络交换能力要求较高,校园网上网会有多媒体教学,视频点播等多种带宽应用。
信息交流功能主要有两个方面的服务功能:
互联网信息服务和校内信息服务。
互联网信息服务可以使任何一个办公室的计算机都能实现网上浏览、查询信息的功能,使教师能够拓宽视野,充分利用互联网上的资源辅助教学,提升教学理念,提高教师的教学能力、教学水平和科研能力。
可以充分利用互联网资源来宣传学校,展示学校的办学能力与办学水平,展示教师的教学能力与科研能力,提升学校的办学形象。
校内信息服务能为教育教学和管理决策提供各项信息服务,能为全校师生提供相互交流、相互学习的平台。
3.系统集成要求
建成一个具有高可靠性和开放性的校园网络,它应支持流行的SNMP等网络管理协议;
采用Internet上的标准协议--TCP/IP协议,提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务,实现与国际互联网的完全接轨;
同时它还应具有支持通用大型数据库的功能,支持多种协议,具有良好的软件支持;
采用模块化结构设计,容易升级;
最后,它还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。
第三章综合布线设计
1.采用综合布线方案概述
根据学院洋浦校区的建筑分布图,设计出整个网络的拓扑结构图。
在整个综合布线中分为建筑群子系统、设备间子系统、垂直干线子系统、水平子系统、工作区子系统。
2.工作区子系统设计介绍
工作区子系统是一个从信息插座延伸至终端设备的区域。
工作区布线要求相对该子系统包括水平配线系统的信息插座、连接信息插座和终端设备的跳线以及适配器。
3.水平区子系统设计介绍
从楼层配线间到工作区用户信息插座称为水平子系统,它是由用户信息插座、水平电缆以及配线设备组成。
水平子系统在综合布线系统中网络信息传输有重要作用,这里采用星型的拓扑结构,每一个信息点均需连接到管理子系统,同时注意UTP线缆最大的水平距离不应超过90m。
4.垂直主干线子系统设计介绍
垂直干线子系统是连接设备间与各层管理间的干线构成。
其作用是将各楼层管理间的信息,传递到设备间并送到最终接口,为了满足需求,同时又能适应以后的发展,采用超5类UTP电缆,支持数据信息100/1Gbit/s的传输,采用超5类25对非屏蔽电缆,支持语音信息的传输。
5.设备间子系统设计介绍
设备间子系统是校园中数据、语音垂直主干线缆终接的场所,是建筑群来的线缆接入建筑物终接的场所,同时还是各种数据语音主机设备及保护设施的安装场所,我校的设备间子系统设置在惟实楼3栋2楼中现教中心机房里,机房面积满足要求同时还有一定冗余。
设备间是整个网络的数据交换中心,它的正常与否直接影响着学校的办公,所以配线间须进行严格的设计:
①设备间应尽量保持干燥、无尘土、通风良好,应符合有关消防规范,配置有关消防系统。
②应安装空调以保证环境温度满足设备要求。
③数据系统的光纤盒、配线架和设备均放于机柜中,配线架、线管理面板和交换机交替放置,方便跳线和增加美观。
网络服务器与主交换机的连接应尽量避免一切不必要的中间连接,直接用专线联入主交换机,将可能故障率降至最低点。
④主机房用玻璃与其它的办公室隔离出来,主机房地板铺上防静电地板。
6.建筑群子系统设计介绍
学校的教学楼、图书馆、办公楼和学生宿舍等建筑物之间有大量的语音、数据、图像等传输的需要,所以学校建筑之间选择光纤连接。
我校的建筑群系统的中心位于惟实楼,网络中心设置在3号楼的2层中,网络中心为校园网的主设备间和主配线间,本楼与其他楼宇间的光缆架空(4m以上,设置光缆标志)的距离在100m~800m之间,在选择光纤时选择9/125um的单模光纤和62.5/125um的多模光纤以及1000Base-SX的模块。
建筑群骨干光缆敷设结构如图2所示,从惟实楼主配线间到各栋教学楼、图书馆、行政楼以及学生生活区都为1Gbit/s连接。
根据惟实楼到各个区之间距离的不同所以用红蓝线条分别表示单模光纤和多模光纤。
图2
7.配线间子系统设计介绍
配线间子系统又称为管理子系统,配线间子系统在每栋楼层的中部,是整个配线系统的中心单元。
以学生宿舍楼为例,宿舍楼中的配线间在宿舍楼三楼中部,同时靠近弱电竖井,这样方便布线同时节省投资。
学生宿舍楼布线系统如图3
8.产品选型说明
本设计中选择的选择交换机为cisco的设备,主要依照的原则为:
适用性与先进性的相结合的原则;
选择市场主流产品的原则;
安全可靠的原则;
产品与服务的原则。
依照实用性、可靠性、标准性、开放性、安全性、安全性和扩展性的原则路由器同样选择的是cisco的设备。
第四章 网络拓扑结构设计
1.拓扑结构图
2.设计说明
本次设计中网络结构采用三层网络结构,包括核心层、汇聚层、接入层。
核心层由两台cisco4506交换机组成,布置在现教中心惟实楼的机房内。
核心层交换机中配置VTP协议以及HSRP协议,VTP协议的配置减少了各个交换机之间vlan的划分,HSRP协议的运用可以使两台路由设备之间实现冗余,同时增加了网络的可靠性。
核心层到汇聚层之间用单模和多模光纤连接,满足网络数据的传输,汇聚层交换机同时连接到两台核心交换机,保证传输线路的安全可靠。
接入层交换机分别在学校中的各个教学楼宿舍楼。
宿舍楼由于信息点较多,所交换机之间使用堆叠模块。
网络结构中配置了网络管理平台、应用服务器、DHCP、DNS、FTP等服务来满足基本的网络应用,同时还配置了E-mail、web服务来提供给大家浏览网络资源。
由于学院还与分校区连接所以通过DDN专线连接到分校区满足办公需求。
为了保证网络的安全在网络外围使用路由器连接外网,同时在路由器之间加入防火墙以及DMZ区。
3.主要设备选型说明(交换机、路由器、防火墙、入侵检测、服务器等)
在本网络组建中交换机选择的均是CISCO的设备,核心交换机选择CISCO4500系列中的CISCOWS-C4506,其具有较高的可用性,配备的冗余控制引擎能在50ms内完成故障切换;
而且还具有全面安全性,具有访问控制列表和SSH以及802.1x、NetFlow。
它的模块化架构、介质灵活性和可扩展性延长了部署寿命,同时通过减少重复运营开支和提高投资回报而降低了拥有成本。
在选择核心交换机是cisco的设备能够配置HSRP,是网络具有更高的可靠性和稳定性。
汇聚交换机选择的是CISCOWS-C3750G-24TS-S,CiscoCatalyst3750系列支持用于连接和接入控制的全面安全特性集,包括ACL、身份验证、端口级安全性,以及带802.1x和扩展、基于身份的网络服务。
接入层交换机选择的是CISCOWS-C2950G-48-EI,该设备是快速以太网交换机,背板带宽达到13.6Gbps,而端口数具有48口这样减少了接入层交换机的用量,同时该交换机具有两个模块化插槽可以安装堆叠模块,堆叠功能的使用增加交换机的端口使得交换机的线速达到均衡同时提供简化的本地管理。
路由器选择的型号是Cisco3825,该型号具有更高的可用性和永续性,具有热插拔功能(OIR);
冗余系统和馈线电源选项,同时支持数据加密标准(DES)、三重DES(3DES)和高级加密标准(AES),对数据的安全起到更好的保护作用。
型号
介绍
核心交换机
CISCOWS-C4506
设备类型:
智能自适应交换机
交换方式:
存储-转发
背板带宽(Gbps):
100
端口数:
250
模块化插槽数:
6
网络标准:
IEEE802.3,IEEE802.3u,IEEE802.3,IEEE802.3z,IEEE802.3x,IEEE802.3ab
VLAN:
支持
QOS:
网络管理:
SNMP管理信息库(MIB)II,SNMPMIB扩展,桥接MIB(RFC1493)
汇聚交换机
CISCOWS-C3750G-24TS-S
千兆以太网交换机
32
24
4
接入交换机
CISCOWS-C2950G-48-EI
快速以太网交换机
13.6
48口10/100Base-T
2
传输模式:
支持全双工
IEEE802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE802.3x全双工操作,IEEE802.1D生成树协议,IEEE802.1pCoS,IEEE802.1QVLAN,IEEE802.3ab1000BaseTX规范,IEEE802.3u100BaseTx规范,IEEE802.310BaseTx规范
堆叠功能:
可堆叠
路由器
Cisco3825
路由器类型:
多业务路由器
传输速率:
10/100/1000Mbps
端口结构:
模块化
局域网接口:
2个
扩展模块:
6
包转发率:
10Mbps:
14800pps
防火墙:
内置防火墙纠错
Qos支持:
VPN支持:
CiscoClickStart,SNMP
第五章 VLAN、IP规划
1.VLAN、IP技术介绍
VLAN(VirtualLocalAreaNetwork)的中文名为"
虚拟局域网"
。
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
VLAN不仅能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,同时还可以用于控制网络中不同部门、不同站点之间的互相访问。
Vlan的划分方法有:
根据端口来划分VLAN;
根据MAC地址划分VLAN;
根据网络层划分VLAN等。
IP地址规划原则
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址。
简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项。
连续性:
连续地址在层次结构网络中易于进行路由总结(RouteSummarization),大大缩减路由表,提高路由算法的效率。
可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性。
灵活性:
地址分配应具有灵活性,可借助可变长子网掩码技术(VLSM),以满足多种路由策略的优化,充分利用地址空间。
2.VLAN、IP划分方案(VLSM/CIDR)
部门
电脑数量
VLAN名
VLAN号
VLANIP
IP网段
可用范围
博文楼
200
Bowen
10
192.168.1.1
192.168.1.0/24
192.168.1.2
~254/24
博雅楼
Boya
20
192.168.2.1
192.168.2.0/24
192.168.2.2
博识楼
Boshi
30
192.168.3.1
192.168.3.0/24
192.168.3.2
惟实楼
Weishi
40
192.168.4.1
192.168.4.0/24
192.168.4.2
惟真楼
Weizhen
50
192.168.5.1
192.168.5.0/24
192.168.5.2
农学楼
Nongxue
60
192.168.6.1
192.168.6.0/25
~126/25
医学楼
Yixue
70
192.168.6.128
行政楼
Xingzheng
80
192.168.7.1
192.168.7.0/24
192.168.7.2
图书馆
Tushu
90
192.168.8.1
192.168.8.0/24
192.168.8.2
美术楼/青年中心
Meishu
192.168.9.1
192.168.9.0/24
192.168.9.2
音乐楼/学生会堂
Yinyue
110
192.168.10.1
192.168.10.0/24
192.168.10.2
澄明苑生活区
5520
Chengming
120
192.168.11.1
192.168.11.0/24~192.168.36.0/24
192.168.11.2~192.168.36.254/24
润泽苑生活区
8000
Runze
130
192.168.37.1
192.168.37.0/24~192.168.71.0/24
192.168.37.2~192.168.71.254/24
第六章网络管理与安全
网络的安全性是评价校园网的重要指标之一,对于校园网这样的大型园区网,网络的安全问题就越发重要。
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。
也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。
利用防火墙,可以实现内部网与外部网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
1.通过VLAN的划分,利用中心交换机上高性能路由模块的管理和控制,可以控制内部各VLAN间的访问;
2.通过PrivateVLAN可以在交换机的同一VLAN中提供端口之间的通讯或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因传统802.1QVLAN造成全网VID资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同;
组用户之间通讯的功能,充分保护用户隐私;
3.提供极为有效的PortBlocking功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户PC更高效安全地运行;
4.基于源IP地址控制的Telnet和Web设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;
提供加密传输SecureShell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;
5.计算机病毒是伴随着计算机而产生的,它同时随着计算机技术的发展而发展,在网络环境中,计算机病毒更易于传播,其对系统的危害也是明显的,在校园网工程中建议采用网络与单机相结合的方式来避免计算机病毒的危害。
校园网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证网络的稳定运行。
第七章项目预算
1.布线材料清单及报价
设备名称
单位
数量
小计