组网方案设计Word下载.docx
《组网方案设计Word下载.docx》由会员分享,可在线阅读,更多相关《组网方案设计Word下载.docx(10页珍藏版)》请在冰点文库上搜索。
二、网络需求分析
校园网工程是一项高科技的综合性建设项目,它不仅涉与了许多方面的技术,同时也设计到学校的各个部门。
校园网建设的总体目标是建成一个主干网,其上连接多个子网,使全校的教学、科研、管理等项目工作都能在网上进行,充分利用这个速度高、功能强的信息传输和处理媒介,共享网上的软、硬件资源。
校园网建设是一项长期的工程,除建设和实施工程外,还有运行管理、维护和发展的任务。
因此,就要求所建的校园网即建即能使用,且好用实用。
技术上采用当前先进的软件、硬件技术,且具有良好的升级、扩展功能,以满足今后大容量、超高速、多媒体数据传输的需要,提供全时的服务,此外,网络还应具有良好的兼容性,以保证有好的互连性。
为建立一个适合于本学校的校园网,结合学校的实际情况,我进行了以下几点需求分析。
2.1校园网功能需求
〔1〕连接校内所有教学楼、实验室、办公楼等各建筑物中的计算机.
〔2〕同肘支持约2000用户浏览Internet。
〔3〕提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:
a.提供基本的Interent网络服务功能:
如电子、文件传输、远程登录、新闻组讨论,电子公告牌、域名服务等。
b.提供校内各个管理机构的办公自动化。
提供图书,文献查询与检索服务,增强校图书馆信息自动化能力。
c.全校共享软件库服务,避免重复投资,发挥最大效益。
d.提供良好的教学和科研条件。
e.经广域网接口,提供国内外计算机系统的互连,为国际间的信息交流和科研合作,为学校快速获得最新教学成果与技术合作等创造良好的信息通路。
2.2对主机系统的要求
〔1〕主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力;
〔2〕主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;
〔3〕支持通用大型数据库,如SLQ,Oracel等;
〔4〕具有广泛的软件支持,软件兼容性好,并支持多种传输协议;
某学校校园网的研究与设计;
〔5〕能与Internet互联,可提供互联网的应用,如WWW浏览服务、FTP文件传输服务、E-mail电予服务、News新闻组讨论等服务;
〔6〕支持SNMP网络管理协议,具有良好的可管理性和可维护性。
2.3网络管理需求
〔1〕虚拟网的划分:
在内部主干网上要求作到能够划分跨越物理子网的虚拟网,以便使各种网段的划分不受地理区域的限制,并有效地限制网间广播,控制网问访问。
〔2〕虚拟网管理:
对虚拟网的配置可以进行集中的控制管理,以便随时进行扩充、迁
移等调整。
〔3〕设备与端口管理:
对主干网上所有网络设备与连接局域网的所有端口可以进行集
中的控制管理。
〔4〕网络检测:
对主干网的运行状态和故障进行集中检测、报警、统计。
2.4网络安全需求
〔1〕划分内部网和外部网:
所有向Intemet提供的信息发布服务放在外部网上、所有校内应用放在内部网上,内部网与外部网之间设置防火墙以保证内部网的安全。
〔2〕内部网的各个子网之间的互访可以控制,杜绝非授权的访问.
2.5广域网连接需求
能够与国际互联网连接:
能够Internet、Chinanet连接,与国内各个单位交流信息。
三、网络方案设计
3.1网络架构
网络设计的主要目标是实现Internet互联网的高速宽带接入,同时适应未来校园网Internet应用发展的需求。
方案设计中校园网的结构是由核心层、分布层与接入层组成,其中由安装在中心机房的多层交换机组成校园网的核心层,由安装在教学楼、学生宿舍楼的交换机组成网络的分布层与接入层。
这种层次型的结构,不仅提高了整个网络的可用性、可靠性,而且可以滤过网络主干上不必要的流量,并为网络管理与运行维护提供良好的基础。
核心层
核心层网络组成高速互联的主干,由于核心层对网络互联是至关重要的,因此必须采用冗余组件来设计核心层。
核心层应具有高可靠性,并且应能快速适应网络的变化。
分布层
分布层是网络核心层与接入层的分界点,分布层扮演许多角色,包括由于安全性原因控制对资源的访问,分布层可以配置为VLAN之间连接的路由,汇总接入层的路由。
设计时考虑分布层与核心层有冗余的链路。
接入层
接入层为用户提供在局部网段访问互联网的能力,直接与桌面计算机接入。
实现VLAN划分与安全控制。
3.2网络拓扑结构设计
现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;
而校园网在分层布线主要采用树型结构;
每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构。
校园网采用星形的网络拓扑结构,骨干网为1000M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性,我们选择热路由备份可以有效地提高核心交换的可靠性。
传输介质也要适合建网需要。
在楼宇之间采用1000M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。
在楼宇内部采用超5类双绞线,其连接状态100m的传递距离能够满足室内布线的长度要求。
四、网络总体目标
4.1实现校园内部资源共享
学校领导和教师能通过与时、准确地查询教学活动中的信息,掌握当前教学情况。
并通过对信息的统计、汇总与分析,为教学、科研管理提供服务,为学校领导计划、组织、管理和决策提供详实的信息资源服务和科学管理手段,能与时制定、修正教学工作计划。
4.2完备的数据库管理系统和资源库
能够支持大量的图文声像素材、多媒体课件片段,成百个教学光盘,总量达几百兆以上数据文件的收集、管理、存储的提取。
检索方便,容错性强。
4.3以教学资源库为核心的教学自学环境
为学校教师提供制作环境、备课工具、良好的教学演播环境以与教学评估机制。
为学生提供自主学习、交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制。
利用现代教育技术,提高学生的素质,改革课堂教学模式。
4.4现代化管理方法和管理手段
加强对学校的财、物的管理,提高办公效率、降低成本消耗,逐步实现办公自动化、网络化。
4.5实现校园网与互联网的连接
建立学校主页、教师主页、学生个人主页、电子、电子公告牌等信息发布窗口,发布有关教育教学信息,建立起学校、教师、家长、学生之间的信息交流平台,并逐步发展建设成为一个面向全省、全国的教育教学信息。
4.6提供有关教育教学信息的连接,增强教学交流能力
建立起各学校之间的教学信息资源库的共享,使不同学校的学生可以实现网上听课、辅导、交互协作式学习。
五、IP地址规划
根据我校校园网的覆盖X围广、节点数较多等特性,本方案IP地址采用公网保留的C类地址,除了几个关键单位,如网管中心,招毕办等使用公网地址之外,内部使用私网网段的IP地址,整个校区出口利用高性能的GSR路由器作NAT转换,根据网络现有结构,设计比较适合的路由协议。
能够实现优化的网络路径选择,在网络结构发生变化时路由能够快速收敛,保证网络的畅通。
IP地址的分配采用动态分配的方式:
学校拥有的公网地址为:
168.192.165.0-168.192.176.0,一共11个C类地址;
网络中心、办公室、图书馆、招毕办等使用公网地址,一共4个C类〔168.192.165.0-168.192.169.0〕;
出口使用一个C类地址,剩下的地址做为保留。
下表为IP地址分配表
类别
地址段
数量
备注
网络中心
168.192.165.0
1个C
可以调整
办公室
168.192.166.0
图书馆
168.192.168.0
招毕办
168.192.169.0
六、网络设备选型
6.1网络技术标准选择
本方案选择快速以太网技术,该技术成熟,有完善的国际标准,系统易于升级,其布线系统和网络结构易于升级,网络传输速率支持10M/100M/1G。
6.2通信介质的选择
目前,快速以太网通信介质一般选择光纤和五类双绞线。
通信骨干尽可能选用光纤,如楼宇之间、楼层垂直布线〔若不太考虑投资问题〕尽可能选用光纤,在短距离如几百米半径内,可以选择50um多模光纤,且应该为多芯。
多模光纤的交换机接口卡比较便宜,50um支持1Gbit/s传输速率且传输距离可达500m,多芯光纤既能够保证链路冗余,提高链路容错,又可以支持多链路隧道技术,提高链路带宽。
距离较远的楼宇之间的可以选用单模光纤。
楼内水平布线,即各个楼层内端用户计算机连接楼层交换机,采用五类或超五类双绞线,这样,既能够满足100M传输速率,又可以满足双绞线连接100m的距离限制,成本也较低。
6.3交换机
交换机是网络通信的基本组成设备,它提供了网络连接,是数据转发的中间介质。
〔1〕核心交换机
核心交换机是网络的核心交换设备,提供与支干交换机的互联,其性能直接影响整个网络的性能,所以选择具有较高性能的交换机,一般应在千兆级或以上。
由于校园网内地用户较多,一般达到千数量级,在组织上需要规划多个子网,所以核心交换机需要支持三层交换,以实现不同子网之间计算机的互访。
核心交换机一定要支持可管理,并有良好的扩充性能、容错性能等。
核心交换机的RJ45以太网端口一般支持10M/100M自适应连接,用于连接为校园网提供各种应用服务的服务器,同时应具有足够的光纤接口,提供光纤连接。
核心交换机还应该有足够的扩展槽,在必要的时候增加光纤或RJ45扩展接口卡。
网络方案根据综合平衡分析,核心交换机选用实达STAR-S6808,采用全光纤接口模块。
〔2〕支干〔楼宇〕交换机
支干交换机提供楼宇间互联设备,上连核心交换机,向下连接节点交换机。
为了上连核心交换机,应具有光纤接口,至少提供向上100M全双工连接速率。
为了下连节点交换机应具有一定数量的RJ-45接口,提供100M全双工模式连接节点交换机,一般交换机之间支持100M全双工连接方式。
接入层交换机选用实达锐捷的STAR-3550。
〔3〕节点交换机
直接连接端用户计算机的交换机,一般采用端口支持10M/100M自适应的以太网交换机,交换机应具有一定的端口密度,如采用24口或更多端口的交换机。
当用户设备密度较大时,若资金允许,可以选择可堆叠交换机。
6.4路由器
路由器是校园网接入Internet的必备产品,它提供学校内部网络Internet的连接。
产品选择上主要考虑性能和配置,它必须具备连接内网和外网两个接口。
本方案设计选用Cisco2600路由器,通过中国移动通信接入Internet。
Cisco2600提供了灵活、可扩展的集成解决方案,可简化管理分支机构网络解决方案的流程。
Cisco2600提供了全面的特性集,适用于:
(1)多服务语音/数据集成
(2)带防火墙和加密选项的VPN接入
(3)模拟拨号接入服务
(4)带宽管理的路由
(5)VLAN问路由
(6)高速企业级DsL接入的提供
(7)经济有效的ATM接入
(8)灵活路由和低密交换的集成
6.5服务器
服务器是提供网络应用的核心产品,要求性能可靠、稳定、高效,能够提供大存储容量、高I/O吞吐率、一定的硬件冗余、良好的容错能力。
服务器是所有C/S模式网络中最核心的网络设备,在相当大程度上决定了整个网络的性能。
它既是网络的文件中心,同时又是网络的数据中心。
在选择服务器之前,同样需要全面分析网络的应用内容,以便合理规划服务器的数量与配置。
一般校园网需要提供DNS、WWW、数据库、E-mail、办公自动化等网络应用。
服务器可以根据具体应用规划其配置,没有必要过分追求高配置,在校园网中根据提供的服务,找出关键任务,划分不同应用层次,选择不同档次的服务器。
本设计的网络服务器的选择选用了SunEnterpfisel服务器。
SunEnterprisel服务器采用功能强大的UltraSPARC处理器,可为工作组和PC-LAN提供快捷而有效的应用性能。
此外,该系统还可支持很多高级联网服务,包括电子,Interact和LotusNotes,以满足工作组需要。
Enterprisel非常适合用作中小工作组的应用软件或高性能文件服务器,可以用来连接用户的PC网络。
它采用143MHz或者167MHzultraSPARC处理器,具有很大的外部高速缓存,可提供快速吞吐量、高级网络和FO以与供存储器和扩展使用的充裕空间。
Enterprisel集能力、吞吐量、软件和网络于一身,适合于校园网应用,且价格较低。
6.7防火墙
防火墙技术的核心思想是在不安全的网络环境中构造一个相对安全的子网环境,它已成为实现Internet网络安全的重要保障之一。
在校园网中正确选择安装防火墙,可以保障校园网的安全,防止外部的非法侵入。
防火墙从产品角度分为软件防火墙、硬件防火墙,一般选择硬件防火墙。
防火墙一般具有包过滤访问控制、双向NAT网络地址转换、RADIUS口令验证、网络实时监控、优先级控制、流量统计等功能。
本方案中选用实达-龙马卫士硬件防火墙,作为阻隔内外网的安全屏障。
并且,为了减轻路由的负担,保证其高速的数据转发性能,NAT做在了防火墙上。
七、网络操作系统与服务器资源设备
7.1系统软件平台
选用Microsoft公司的中文NTServer4.0、SQLServer7.0〔可在中文平台上使用〕或Sybase11、中文ExchangeServer5.5作为应用软件平台。
在此系统平台上,实现全校的Web服务、FTP服务、电子服务,构建教师、学生沟通的桥梁,使教师、学生在校园网上进行交流成为可能。
WindowsNTServer采用微内核设计,将与平台有关的代码封闭在一个称为硬件抽象底层的动态库中,使用一个底层软件抽象出硬件,因此可以在不同的平台上安装NT,具有很好的移植性。
另外,WindowsNTServer提供了支持多CPU的能力,最多可支持32个CPU并行工作。
7.2数据库系统
一个安全、稳固、功能强大的数据库系统是当今校园网必不可少的组成部分。
一方面它可以提供对校园网上各种管理应用的支持,另一方面它也是Internet网络数据仓库的基础。
本方案选用SQLServer数据库系统。
7.3E-Mail服务器
1.允许设置多个处理规则,根据主题、发件人等信息将直接存放到指定文件夹中等多种方式的自动处理。
2.配合用户过滤功能,提供自动回复、拒收或分检服务。
3.修改用户的个性化设置,如个人签名档、个人资料、界面显示风格等修改的配置参数:
每页显示的数、是否将原信加入到回复的信件中、自动转发后是否在本地保存副本、设定最大字节数、设定显示的排序方式。
4.POP功能,允许设置多个电子POPXX,将采集到本系统中。
5.用户可以将一些常用的地址加入到地址簿,方便管理,将地址按照指定的规律进行分组,实现的群发;
同时可以自行添加、修改、删除个人、团体地址本中的记录,也可以在阅读时由系统自动加入到地址簿。
系统支持虚拟域名、多域名。
可以在同一系统内包含多个域的地址。
轻松地容纳多种地址格式和/或主持多个域需求的系统。
7.4FTP服务器
集成了Internet/Intranet服务器软件MicrosoftInternetInformationServer〔IIS〕2.0。
IIS包含了一个高性能的引擎,它构成Web服务器的核心;
IIS还包含Internet标准的FTP服务器。
7.5WEB服务器
WEB服务器也称为WWW(WORLDWIDEWEB)服务器,主要功能是提供网上信息浏览服务。
采用的是客户/服务器结构,其作用是整理和储存各种WWW资源,并响应客户端软件的请求,把客户所需的资源传送到Windows2003Server、WindowsXP、WindowsNT、UNIX或Linux等平台上。
八、系统安全体系设计
安全体系是安全工程实施的指导方针和必要依据,它的质量也决定了安全工程的质量。
所以,应把安全体系的设计提升到一定的高度,确保安全体系的可靠性、可行性、完备性和可扩展性。
8.1物理层安全
物理层的安全主要包括环境、设备与线路的安全。
在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。
同时,要注意保护线路的安全,防止用户的搭线窃听行为。
8.2系统安全
系统层主要解决的是由于各种操作系统、数据库、与相关产品的安全漏洞和病毒造成的威胁。
解决的技术手段主要有以下几种:
①采用主机加固手段对主机加固,如升级、打补丁、关闭不需要的端口等;
②采用主机访问控制手段加强对主机的访问控制;
8.3网络层安全
校园网中局域网数目较多,根据需要多个网络可能要互相联接。
正是这种多网的互联,使我们对网络层的安全要极度重视。
定义一个网络或各网络内不同安全等级的部分为不同的安全域。
安全域之间的连接处叫网络边界。
下面主要讨论以下几方面的网络层安全防护:
(1)划分安全子网。
如果同一局域网内有不同等级的安全域,可以通过划分子网与VLAN的方法加以访问控制。
如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制,不允许学生机房的机器访问多媒体机房的机器。
(2)加强网络边界的访问控制。
安全等级差别较大的边界需要采用防火墙来控制。
如校园内网、校园外网和Internet之间,利用防火墙进行访问控制和内容过滤。
可有效地解决需求中提到的多种威胁。
(3)防止内外的攻击威胁。
在每个安全域内或多个安全域之间安装入侵检测系统〔IDS〕,可有效地防止来自网络内外的攻击。
(4)定期的网络安全性检测实现持续安全。
利用漏洞扫描器〔Scanner〕,定期对系统进行安全性评估,与时发现安全隐患并实施修补,可达到网络的相对持续安全。
(5)建立网络防病毒系统。
在校园网中安装网络版的防毒系统,集中控制、管理查杀网络中服务器、终端的病毒,保护全网不被病毒侵害。
8.4应用层安全
应用层的安全措施主要有以下几点:
各应用系统自身的加固;
建立身份认证系统;
建立安全审计系统;
建立备份系统;
8.5管理层安全
实现管理层的安全主要注意以下几点:
建立安全管理平台。
主要是指将各种安全系统或设备集中控管、综合分析;
建立、健全安全管理体制。
校园网用户较多,一定要建立一套合理可行的安全管理制度。
只有制度和设备的完美结合才能真正提高校园网的安全水平;
提高全员的安全意识。
升级会员 