《学校校园网的构建-毕业论文.docx》由会员分享,可在线阅读,更多相关《学校校园网的构建-毕业论文.docx(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、学校校园网的构建毕业设计学校校园网的构建内容摘要随着计算机应用的不断普及,学校的教学管理也相应的发生着变化。如何能更加充分的利用学校现有的教学资源进行教学、管理,又能达到事半功倍的效果?校园网的实施为学校提供了很好的解决方法。校园网的建设是现代教育发展的必然趋势,建设校园网不仅能够更加合理有效地利用学校现有的各种资源,为学生学习、教师备课、教学管理以及从外界获取信息,掌握先进的信息工具创造了环境,同时对学校的日常工作也将起到重要的促进作用,为学校未来的不断发展奠定了基础,使之能够适宜信息时代的要求。本论文以锡林浩特市第一中学为对象,对校园网络系统现状进行分析,根据校首先缩进2个字符园网络自身应
2、用特点,从整体网络架构、线路及设备选择、IP地址规划、VPN设计实施等方面,阐述如何为校园建设一个安全、稳定、先进、融合的网络互联系统。该系统具有综合布线部分、路由交换部分和无线网络部分组成,通过各部分的互联,形成统一局域网达到硬件和软件的整合和共享。关键词:校园网;网络建设;网络安全;路由交换;VLAN目 录内容摘要I引 言11 校园网概述31.1 项目概述31.2 需求调研和分析32 校园网络的总体设计方案52.1 网络系统的设计原则52.1.1 可运营、可管理52.1.2 可扩充52.1.3 开放性52.1.4 安全可靠52.1.5 灵活性52.2 网络系统的设计目标62.2.1 网络带
3、宽利用率62.2.2 校园无线网络接入62.2.3 网络访问控制62.2.4 网络安全防范62.2.5 建筑群网络的互联72.3 网络系统选型72.3.1 主干交换机72.3.2 楼层交换机72.3.3 接入交换机72.3.4 无线AP82.3.5 服务器网卡82.3.6 防火墙82.3.7 路由器83 校园网络整体建设方案93.1 网络拓扑图的确定与网络整体结构设计93.1.1校园网拓扑图93.1.2 校园网络分层方案的实施103.2 机房环境、电源及防雷接地的建设153.2.1 网络管理中心环境要求153.2.2 机房电源环境建设173.2.3 机房防雷及接地系统183.3 学校校园网络安
4、全体系设计203.3.1 方案考虑203.3.2IP地址分配规则203.3.3 VLAN(虚拟局域网)技术213.3.4 防火墙技术213.4 操作系统平台及服务器的分配224 网络管理244.1 网络管理建设目标244.2 网络管理软、硬件的选择244.3 网络管理建设245 校园网的实际建设使用效果276 结语29参考文献3034引 言随着互联网的不断发展,网络已经融入到我们的生活和学习当中,高校校园网做为一个成功应用的实例,给学校的教学及管理带来了新的方式,成为学校教育活动的发展平台,因此也成为教学和管理中不可或缺的一部分。校园网的发展带着高等教育走进了一个新的时代。因此,搞好校园网络建
5、设,对教学的改革及学习方法的改进十分重要,是教育现代化的重要内容。1 校园网的现状高校校园网的发展可分为三个阶段:第一个阶段是大部分学校没有网络设备阶段,我国已经基本渡过这个阶段,据不完全统计,我国现在大学校园网的覆盖率已经达到100%。第二个阶段是学校网络设备处于比较杂乱的阶段,我国现有高校的大部分校园网都处在这个阶段。第三个阶段是学校的校园网可以提供一个高效、安全的平台,为高校的教育事业发展提供良好的条件。这个阶段也是我们校园网发展的更高目标。2 校园网的重要性校园网是教育信息化、乃至教育现代化建设的重要内容,校园网在学校教育教学工作中其作用的发挥程度如何,反映出一所学校、一个地区的教育信
6、息化水平。现在的校园网可以为师生提供教学、科研和综合信息服务的宽带多媒体网络,校园网内各计算机通过局域网进行连接,实现网络信息管理、资源共享和信息交流等,并能通过广域网实现校园内外和国内外的教育资源共享与交流等。高等院校的对外宣传也是发展学校建设学校的一个重要手段,有再好的教学资源和师资力量但社会大众不了解,人们也不会认可和信赖这所学校的。现在社会各界了解学校几乎都是通过网络来完成的,网络中又以校园网为主,所以建设一个快速、稳定、方便的校园网是高等院校对外宣传的重要保障。3 现有的校园网暴露出的问题(1)网络速度慢,稳定性差,制约了社会对学校的关注度网络中经常会出现网络速度慢的情况,由于引起网
7、络速慢的原因复杂多变,使得网络速度成了网络管理中最常见也最头疼的问题之一。因网络速度与硬件设施有着密切的关系,硬件的建设资金投入是比较大的,所以现在一些高校还没有充足的资金来建设硬件设施,保障不了通信线路的承载能力,网络的速度也跟不上。而且现在高校的网络设备的生产厂家和品牌五花八门,网络设备不能实现最优结合,也造成了校园网的稳定性差。速度慢,稳定性差,这两方面对于用户来说是非常忌讳的,没有人愿意花太多的时间去等待网页的打开,这也就导致了人们不得不放弃或用其它渠道来了解学校,这样严重影响了学校被关注的程度。(2)校园网的建设不能充分的为教学改革提供良好的帮助很多学校在校园网的建设的同时,对于多媒
8、体教学的资金投入也很多。但是在使用这两个先进的教学手段的时候却是各行其政,并没有在必要的时候将两种技术结合起来以带来更大的教学效果的发挥。校园网的普及给教育教学增添了便利和新的手段。但它并没有把师生之间的传统关系信息化,只是单纯的把老师的工作简单化、方便化,但并没有对学生的学习方式产生必要的影响。4 总结校园网建设是各个高校建设的重要组成部分,它是一项基本的、长期性的工作,它的建设水平是学校整体办学水平的一个重要标志。校园网在教育教学中的有效应用,不仅可以改革传统的教学模式、教学方法,而且将促进教育观念、教学思想的转变,是推进课程改革的基础平台,是实施素质教育的重要手段,也是教育现代化的重要标
9、志之一,只有建设合理的、符合学校发展和师生员工需求的信息化校园,才能充分发挥校园网的重要功能。本论文以锡林浩特第一中学为对象,目的是为该校建成一个具有高可靠性和开放性的校园网络,主干网络提供1000M带宽,到桌面提供100M带宽,连接教学楼2座、图书馆1座、计算机教学楼1座,约200个信息点,实现校内互联,为学校各部门子系统提供校园主干网的接口,实现各网段内、各网段之间计算机互访和校内资源共享,并支持室内WLAN实现移动接入。核心内部网络建设,包括EMAIL服务器、WWW服务器、FTP服务器、BBS服务器、数据库服务器等,对外能与Internet互联,对内提供校内各种局域网的接口,提供Inte
10、rnet服务,如电子邮件、远程登陆、文件传输、信息查询等,采用Internet上的标准协议-TCP/IP协议,实现与国际互联网的完全接轨;同时它还应具有支持通用大型数据库的功能,支持多种协议,具有良好的软件支持;采用模块化结构设计,容易升级;还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。1 校园网概述1.1 项目概述随着计算机应用的不断普及,学校的教学管理也相应的发生着变化。如何能更加充分的利用学校现有的教学资源进行教学、管理,又能达到事半功倍的效果?校园网的实施为学校提供了很好的解决方法。校园网的建设是现代教育发展的必然趋势,建设校园网不仅能够更加合理有效地利用学
11、校现有的各种资源,为学生学习、教师备课、教学管理以及从外界获取信息,掌握先进的信息工具创造了环境,同时对学校的日常工作也将起到重要的促进作用,为学校未来的不断发展奠定了基础,使之能够适宜信息时代的要求。 该校园网布线系统设计,将采用综合业务数字网(ISDN)系统技术,来为计算机网络、语音通讯、图像传输、会议电视等提供一条实用的和可扩展的模块化介质通路,适应新技术的发展和应用。整个学校的布线系统采用光纤、双绞线、无线接入混合方案。考虑到楼群的结构及多模光缆、双绞线支持的最远距离,计算机中心机房设在科技大楼,在其它大楼各设 1 个楼宇配线间。楼群配线间与楼宇配线间的数据主干系统采用六芯室外多模光缆
12、连接,可支持从传统以太网、令牌环网、100Mb/s 快速以太网、FDDI,622Mb/s ATM、千兆位高速以太网等多种应用,水平子系统布线采用超五类非屏蔽双绞线,可支持高达 622Mbps ATM 和550MHz 带宽图像应用,能更有效地减低串音干扰,使语音、数据及图像传输更清晰、更有效。 1.2 需求调研和分析(1)布线系统需求分析:锡林浩特市第一中学面积约2000平米,教学楼2座、图书馆1座、计算机教学楼1座,共设计信息点200个,网线全部采用超五类产品,在整个布线系统中,选用星型物理结构,从而达到通过该系统,可随意组成任何结构的网络,同时任意的信息点组合,还可自成小的工作组局域网。(2
13、)设计目标:根据校园的建筑分布、环境要求,“定制性”设计本综合布线系统,系统设计贴切配合用户特点,旨在建立高技术起点、高品质、开放性的建筑群综合布线系统,集成视频、话音和计算机网络数据通信功能;此外,本系统设计中应结合用户提出的性能价格比、安全性、扩展性的选择考虑。(3)高速的传输速率建立起1000MBps的计算机主干高速网络,提供10/100M端口接入用户桌面,以满足未来网络技术及业务发展的需求。(4)网络安全l 整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求;l 整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻,该网系统还具有
14、VLAN的功能,使各部门的局域网可自成体系,隔离了广播风暴,同时又使不同用户群之间必要的限制性访问得到实现,从而使得应用网络的设计更加自由、灵活。l 非法站点访问过滤;l 恶意攻击的实时处理;2 校园网络的总体设计方案2.1 网络系统的设计原则2.1.1 可运营、可管理传统的专业布线方式需要使用不同的电缆、电线、接续设备和其它器材,技术性能差别极大,难以互相通用,彼此不能兼容。综合布线系统具有综合所有系统和互相兼容的特点,采用光缆和双绞线连接硬件,能满足不同生产厂家终端设备传输信号的需要。综合布线系统各个部分都采用高质量材料和标准化部件, 并按照标准施工和严格检测,保证系统技术性能优良可靠,满
15、足目前和今后通信需要,且在维护管理中减少维修工作。2.1.2 可扩充支持多种网络协议、多种高层协议和多媒体应用。网络的构造设计应具有良好的可扩展性和升级能力,以备将来进行网络升级和扩展时,能保护现有的投资。2.1.3 开放性网络协议符合ISO或IEEE、ITUT、ANSI等制定的标准,并采用符合国际和国家标准的网络设备。2.1.4 安全可靠在内外网之间加企业级防火墙,保护内网计算机安全。并按照标准施工和严格检测,保证系统技术性能优良可靠。2.1.5 灵活性采用传统的专业布线系统时,如需改变终端设备的位置和数量,必须敷设新的缆线和安装新的设备,且在施工中有可能发生传送信号中断或质量下降,增加工程
16、投资和施工时间,因此,传统的专业布线系统的灵活性和适应性差。在综合布线系统中任何信息点都能连接不同类型的终端设备,当设备数量和位置发生变化时,只需采用简单的插接工序,实用方便,其灵活性和适应性都强、且节省工程投资。便于今后扩建和维护管理综合布线系统的网络结构一般采用星型结构,各条线路自成独立系统,在改建或扩建时互相不会影响。综合布线系统的所有布线部件采用积木式的标准件和模块化设计。因此,部件容易更换,便于排除障碍,且采用集中管理方式,有利于分析、检查、测试和维修,提高工作效率。2.2 网络系统的设计目标2.2.1 网络带宽利用率本千兆位以太网设计方案,采用最新的1000M交换机作为全网的核心,
17、在此基础上建立起以1000M为主干校园网络。然后根据不同的应用,将校园网分割为几个以100M交换机为核心的子网。2.2.2 校园无线网络接入利用无线网络实现校内信息的发布、共享、传递,推进教学及管理信息化,拓展学生的知识面。而有线网络只能提供师生们固定的、有限的网络信息点,随着时代的进步,笔记本电脑的普及,师生们希望不仅仅是在计算机室才能将他们的计算机连上网络,而在校园教室里、图书馆的任何一个角落都能将他们的笔记本电脑随时随地、随心所欲的联入校园网或Internet、不愿再受有线的束缚。2.2.3 网络访问控制由中心机房统一控制访问权限,如未授权的计算机不允许进入网络、某些计算机不可以访问In
18、ternet等。2.2.4 网络安全防范为满足学校与Internet的连接,另设一子网,将Web服务器,路由器等Web应用设备用防火墙将它们与内部网隔离开来。以达到保护校内数据的目的。2.2.5 建筑群网络的互联校园比较大,建筑楼群多、布局比较分散。因此建筑楼之间全部采用8芯室外光缆,1000M速率互联。2.3 网络系统选型2.3.1 主干交换机主干交换机是指连接服务器及建筑楼群之间的数据交换设备,根据网络点成批增加其间伴随着的使用需求增长,对主干交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。要求连接就达200个网络站点,应用对主干服务器的访问及其数据流量对主干带宽要求很高,因此
19、采用华为S5700-24TP-PWR-SI千兆交换机实现和服务器及建筑楼群之间千兆带宽的主干连接。2.3.2 楼层交换机楼层交换机是指层与层之间的数据交换设备,通过千兆交换机实现和主交换机千兆带宽的主干连接,因此采用华为S3928P-PWR-EI千兆交换机实现和主干交换机及接入交换机的连接。2.3.3 接入交换机采用交换机而不使用共享式集线器到桌面是由于学校实际使用情况是主要表现在集中突发性,即学生同时使用同一软件的情况比较多,如果使用共享到桌面,网络就会产生拥阻而影响速度,因此在校园网中应使用百兆交换到桌面。在10M与100M交换机中应选择百兆交换,因为10M虽然在目前校园网络使用中刚刚能达
20、到要求,但是已经不适应功能越来越强的计算机与新的应用软件的发展,更不适应更快的计算机通讯产品的要求,将成为它们之间最大的瓶颈。因此采用华为Quidway S3928TP-SI作为校园网工作组级接入交换机,直接连接学生站点。通过堆叠背板技术将200个站点分成若干个网段,即3-6个交换机堆叠在一起的独立组群,这样就在每个交换组中最多144个站点提供高达15Gb的带宽,因此形成的交换网络就能够满足不断增长的流量需求。另外还通过虚网技术,使每个教室或每个年级之间的互访得到有效的管理和控制,提高网络的安全性。2.3.4 无线AP采用CISCO Aironet 1040无线网桥,支持IEEE 802.11
21、a/b/g、IEEE 802.11n、IEEE 802.11h、IEEE 802.11d网络标准,传输速率最高可达300Mbps。2.3.5 服务器网卡学校在Internet应用教学中,采用定期下载,内部浏览的原则,因此WEB服务器是学校内部Intranet浏览和连接Internet服务器,学生站点对其访问在相应教学时段对的数据流量相对来说比较大。要求园区级服务器能够提供足够的连接带宽。Intel Express PRO/100服务器网卡是唯一一种支持标准10BASE-T、100BASE-TX、和100BASE-FX以太网的千兆服务器专用网卡,这是一种智能的网卡,它能够利用其内置的Intel
22、i960 RP处理器最大限度地优化服务器资源。2.3.6 防火墙目前设计的局域网都要考虑对广域网络的连接,更广的资源和更多的应用将是在各种广域连接中发现,所以采用华为Eudemon100电信级防火墙,保护网络安全。2.3.7 路由器在此方案中,考虑Internet出口路由器的配置一台华为3Com Quidway AR28-11路由器,它是学校的校园网对外的出口,也可以作为保护校园网的一道防火墙。3 校园网络整体建设方案3.1 网络拓扑图的确定与网络整体结构设计3.1.1 校园网拓扑图校园比较大,建筑楼群多、布局比较分散。因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发
23、展需求。主干网以中控室为中心,设主干交换节点,包括中控室、图书馆、行政楼、计算机教室。主交换机和楼层交换机采用千兆光纤连接,楼层交换机和交换机采用千兆双绞线连接。建筑楼之间全部采用8芯室外光缆;楼内垂直干线采用6类屏蔽双绞线;水平干线采用超5类双绞线。图3.1校园网拓扑图3.1.2 校园网络分层方案的实施3.1.2.1 骨干层骨干层网络主要完成校园内各汇聚层设备之间的数据交换,以及与核心层网络之间的路由转发。选择“骨干路由器核心交换机”方案方案。“骨干路由器核心交换机”方案采用高性能三层交换机作为核心设备,实现汇聚层交换机、网络服务器、核心路由器之间的高速连接。“骨干路由器核心交换机”方案的拓
24、扑结构如下图所示。 图3.2“骨干路由器核心交换机”方案的拓扑图3.1.2.2 汇聚层汇聚层网络主要完成校园办公楼接入层交换机的汇聚,以及数据交换和VLAN终结。采用千兆位多层交换机作为汇聚层交换机,在提供高密度千兆位端口接入的同时,满足汇聚层智能高速处理的需要。同时,还应具备较强的多业务提供能力,支持包括智能的ACL、MPLS、组播在内的各种业务,为用户提供丰富、高性价比的组网选择。图3.3汇聚层拓扑图3.1.2.3 接入层用户接入层完成各种媒体终端的接入,终端类型包括:会议室视讯终端、可视电话、PC软件视频终端、PC软件电话终端、公网固定电话、公网手机、公网小灵通、流媒体终端用户接入层。3
25、.2 系统描述及安装规范综合布线分6大区域:干线(垂直)子系统、配线(水平)子系统、设备子系统、管理子系统、无线子系统和工作区子系统。图3.4六大子系统拓扑图3.2.1 工作区子系统图3.5工作区子系统拓扑图 连接水平子系统的插座(TO)和语音或数据终端设备 目的:方便连接设备的变动的重新安排 组成:连接跳线和适配器图3.6超五类双孔信息插座3.2.2 水平子系统图3.7水平子系统拓扑图 水平子系统包括从工作区到接线间(TC)这段距离。 组成:包括TO和把插座延伸到TC所使用的传输介质。 应采用星形拓扑结构,所有工作区TO都连接到一个TC或一个设备间(ER)上。 水平电缆的最大长度是295英尺
26、(90米)。3.2.3 垂直子系统图3.8垂直子系统拓扑图 连接接线间和设备区域,实现大楼内部通信。提供大楼的干线(馈电线)电缆的路由部份。组成:超五类双绞线以及将此线缆连接到其它地方的相关支撑硬件。 距离:电缆的最大长度是295英尺(90米)。3.2.4 管理子系统图3.9管理子系统拓扑图 管理子系统:包括把两个子系统连接起来或为一个子系统分配共用设备线路的交连和互连、端接硬件、彩色编码、编号方案及记录保存装置。3.2.5 设备间子系统 图3.10设备间子系统拓扑图 设备间子系统包括共享的公用设备,及把这些设备端接到连接硬件上要求的传输介质。 组成:设备间中的电缆、连接器和相关支撑硬件。3.
27、2.6无线子系统图3.11无线子系统拓扑图满足IEEE 802.11b/g标准的WLAN接入点设备,主要用于与无线室内分布系统合路,作为WLAN系统的信号源,实现WLAN信号的室内普遍覆盖。充分利用已有资源,实现无线网络的快速部署和管理。3.2 机房环境、电源及防雷接地的建设3.2.1 网络管理中心环境要求(1)设计目标:根据电子计算机机房设计规范(GB5014-1993)中关于机房室内装饰的要求对本次机房装修提出的具体要求,本次机房装修必须实现以下目标:结合机房的物理结构和布局进行科学、合理的进行区域划分。色调:主色为淡色,给人以淡雅、柔和的视觉感受。机房装饰风格特点:简单、明快、舒适、宁静
28、、安全、高效率。(2)地面:活动地板在计算机房中是必不可少的。机房敷设活动地板主要有三个作用:首先,在活动地板下形成隐蔽空间,可以在地板下隐蔽敷设电源线管、线槽、综合布线、消防管线等以及一些电气设施(插座、插座箱等),使机房不致显得非常零乱;其次,由于敷设了活动地板可以在活动地板下形成空调送风静压箱,使送风均匀。此外,活动地板的抗静电功能也为计算机及网络设备的安全运行提供了保证。地面进行防尘处理,在地板下的墙面、柱面、地面均刷涂防尘漆两遍,达到不起尘,从而保证空调送风系统的空气洁净。抗静电活动地板安装时,同时要求安装静电泄漏系统。铺设静电泄漏地网,通过静电泄漏干线和机房安全保护地的接地端子封在
29、一起,将静电泄漏掉。静电泄漏铜网采用30*0.4铜带,按600600 mm间距敷设成网格状,铜带交叉处用焊锡焊接,交叉处上置静电地板金属支架,支架高度应不小于150mm。静电泄漏铜网四周与均压环可靠连接。 (3)吊顶吊顶是机房中重要的组成部分。吊顶上部安装着强电、弱电线槽和管线,同时安装着消防灭火的气体管路及新风系统风管。在吊顶面层上安装着嵌入式灯具、消防报警探测器、气体灭火喷头等。机房吊顶必须防尘、防火、防潮、降低电磁干扰、美观和易于拆装,同时还必须考虑空调回风。因而在机房使用微孔金属吊顶。石膏微孔天花板用于装饰、吸音,吊顶上用于回风。机房采用方形吊顶,尺寸6006000.7mm 。吊顶线条
30、清新、自然,新潮又不凌乱,便于拆卸安装。方形吊顶配嵌入式格栅灯具,灯具与吊顶尺寸配套,考虑照度均匀,灯具采用均布。吊顶顶板上需要安装灯具、风口、烟感、温感探头、自动灭火喷头。吊顶上部空间则要安装各种强电、弱电管路线槽,灭火气体钢管,管线繁多,因此设计上要综合考虑,使各系统管路纵横交错,错落有致,排列有序。为保证吊顶上部防火、洁净无尘,需在结构真顶下面、微孔吊顶上方、墙侧面涂刷防火涂料三遍。吊顶吊杆均用胀栓固定于结构真顶上,吊杆表面均刷涂防锈漆。(4)墙面机房的墙面、柱面作防尘处理,贴10mm厚橡塑保温棉。板后作网格接地处理,板和墙面之间空层可敷设线管、填充橡塑保温棉,使其同时具有保温隔音的功能
31、。机房墙面刷乳胶漆,漆膜平滑,色调柔和,颜色丰富。漆膜具有优良的抗碱、防霉抗藻及耐擦洗性能,装饰效果持久;漆膜遮盖力好,经济耐用;无不良气味,符合环保要求。形成漆保护后的墙面可擦洗次数大于3000次,并具有优质的防火性能。3.2.2 机房电源环境建设(1)UPS及配电工程机房提供的电能质量的好坏,将直接影响到信息系统正常、可靠的运行;也影响机房内其他附属设备的正常运行。这种影响主要来自市电电网的电压、电流、频率的变化以及供电的质量。当电网处于过度状态时,计算机的运行就处于不正常的状态。由此可见,机房供配电系统提供电能的质量对计算机及其附属设备的正常运行是非常重要的。为了确保计算机安全可靠的运行
32、,机房必须建立良好的供配电系统。在GB 5014-93电子计算机机房设计规范中对电压变动、频率变化、波形失真率均有具体的分级要求。表3.1电子计算机机房设计规范中的分级要求级别项目A级B级C极电压波动范围5%7%-15%+10%频率波动范围0.2Hz0.5Hz1Hz波形失真率35%58%810%机房设备包括主机、服务器、网络设备、通讯设备等,由于这些设备进行数据的实时处理与实时传递,关系重大,所以对电源的质量与可靠性的要求最高。设计中计算机设备按一级负荷考虑,以保障电源可靠性的要求; (2)机房供配电设计要求本次机房工程,机房电气配电:包括机房内的低压配电柜、列头柜、针对各UPS系统的UPS配
33、电柜、空调机组配电柜、配电线材、插座等。 根据供电需求,本次设计两台DX-21配电柜,一台为市电配电柜,另一台为UPS输出配电柜。UPS输出配电柜到设备机柜中间用工业连接器对接到机柜PDU,按3台机柜考虑。负载不超过20KVA预算。设备间主要设备包括计算机主机、服务器、网络设备、通讯设备等,由于这些设备进行数据的实时处理与实时传递,关系重大,所以对电源的质量与可靠性的要求最高。各路单相负荷应均匀地分配在三相线路上,并应使三相负荷不平衡度小于20%。机房内应分别设置维修和设备专用电源插座,两者应有明显区别标志。机房内活动地板下部的低压配电线路宜采用铜芯导线或铜芯电缆。机房配电柜主要负责对UPS输
34、出、计算机设备、维护插座、消防柜,应急照明等供电。为防止感应雷、侧击雷沿电源线进入机房损坏机房内的重要设备,在电源进线处、UPS输出、柜安装三级浪涌防雷器,确保设备运行安全。 (3)线路的布线方式在防静电地板下敷设金属线槽,所有线缆线槽内敷设。从线槽出来到设备中间穿金属线管。为了满足计算机机房的防湿措施,除了在地面上作一些处理外,同时为防止漏电危及人身安全和防电磁干扰,所有金属线槽、金属线管必须全部可靠连成一体并可靠接地,接地共用大楼接地系统,接地电阻R1。3.2.3 机房防雷及接地系统(1)机房防雷系统机房电源系统的防雷须满足建筑防雷设计规范。根据机房大小及设备保护的重要程度,采用一级、二级
35、或三级防雷,设备末端需要有防浪涌插座。根据网络中心机房的实际情况,采用三级防雷方式(如图3.12所示),即在动力机房电源线进入UPS配电室前安装一级防雷模块,UPS进线前布置二级防雷模块,设备接线插排为防浪涌的三级防雷插排。图3.12 三级防雷图3.13 防雷模块图3.14 防雷插排图3.13所示为充当一、二级防雷的防雷模块,图3.14所示为充当三级防雷的防雷插排。防雷接地系统能够保证电气系统在遭到强电击时自动断电,从而达到保护用电器的安全及工作人员的生命和财产安全。3.3 学校校园网络安全体系设计3.3.1 方案考虑其于本设计特点和现有手段,已以下三种方案方法建立网络安全体系。3.3.2 I
36、P地址分配规则IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。合理的IP地址规划能够减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,将大大增强网络的可管理性和可维护性。IP地址规划遵循以下原则:(1)业务区分原则:学校将来有数据,语音和视频等多种业务。而各种业务之间可能会进行区分隔离,这就要求对数据流进行控制。因此,在进行IP地址规划时应充分考虑对各种业务
37、进行区分,以便于网络安全策略、QOS策略的部署。(2)唯一性原则:一个IP网络中不能有两个主机采用相同的IP地址。(3)简单性原则:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项。表3.2 IP地址表:用途IP地址段办公室10.0.1.0:255.255.255.0 10.0.9.0:255.255.255.0电子图书室10.0.10.0:255.255.255.0计算机教室10.0.11.0:255.255.255.0 10.0.19.0:255.255.255.03.3.3 VLAN(虚拟局域网)技术(1)VLAN(虚拟局域网)介绍:VLAN(虚拟局域网)是对连接到的第二层交换
38、机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 (2)采用VLAN方案的原因:传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。 VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小
39、,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。 另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。3.3.4 防火墙技术 Quidway Eudemon 100防火墙是新一代硬件
40、高速状态防火墙,不仅支持丰富的协议状态检测及地址转换功能,而且具备强大的攻击防范能力,提供静态和动态黑名单过滤等特性,可提供丰富的统计分析功能和日志。Eudemon还可支持QoS、VPN等特性,提供完善的组网应用解决方案。 Quidway Eudemon 100都是基于华为专业电信级硬件平台和VRP软件平台,在性能档次、接口规格方面有所不同,分别适用于为小型、中型网络提供安全保证。 (1)强大的安全特性 Quidway Eudemon100防火墙提供标准和扩展的ACL包过滤。支持状态检测、应用代理功能,华为ASPF(Application Specific Packet Filter)技术可实
41、现对每一个连接状态信息的维护监测并动态地过滤数据包,防止地址欺骗、身份伪造等恶意攻击行为;支持对SMTP、HTTP、FTP、RTSP、H.323(包括T.120、Q.931、RAS、H.245等)、SIP、MGCP以及通用的TCP、UDP应用进行状态监控。 防范多种DoS攻击:SYN Flood、ICMP Flood、UDP Flood、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位不合法、Ping of Death攻击、Tear Drop攻击、IP Spoofing 攻击等。 可防范扫描窥探,包括:地址扫描、端口扫描、IP源
42、站选路选项、IP路由记录选项、tracert窥探网络等。支持黑名单过滤恶意主机、过滤假冒的IP地址。支持应用层过滤,提供Java Blocking和ActiveX Blocking保护,提供端口隐藏机制、端口到应用的映射。可按照RADIUS协议规范实现AAA,构建分布式客户/服务器安全访问应用控制。 智能的蠕虫病毒防范功能。蠕虫病毒发作的特点是:产生大量的连接去感染其他设备;蠕虫病毒将启动IP地址扫描/端口扫描以探测设备是否存在。Quidway Eudemon防火墙根据蠕虫病毒的特点,设计了增强的流量监控/检测功能、增强的用户连接数检测功能、增强的防IP地址扫描、防端口扫描功能及增强的黑名单功
43、能。可以设定是否允许染毒用户继续通过,还是封闭该用户一段时间。通过Eudemon防火墙的黑名单功能,可以提取出可疑的用户列表名单。通过该名单,可以提供下一步的服务(如公告、在线杀毒等)。 (2)多种VPN功能 支持L2TP、GRE协议,支持IPSec,提供DES、3DES、MD5的加密算法,遵照ISAKMP协议框架IKE协议实现密钥交换功能。可构建远程访问、网络到网络等多种VPN组网。 3.4 操作系统平台及服务器的分配根据学校的实际应用,配服务器7台,用途如下:(1) 主服务器2台:装有Solaris操作系统,负责整个校园网的管理,教育资源管理等。其中一台服务器装有DNS服务,负责整个校园网
44、中各个域名的解析。另一台服务器装有电子邮件系统,负责整个校园网中各个用户的邮件管理。(2) Web服务器1台:装有Linux操作系统,负责远程服务管理及WEB站点的管理。WEB服务器采用现在比较流行的APACHE服务器,用PHP语言进行开发,连接MYSQL数据库,形成了完整的动态网站。(3) 电子阅览服务器1台:多媒体资料的阅览、查询及文件管理等; (4) 教师备课服务器1台:教师备课、课件制作、资料查询等文件管理以及Proxy服务等。(5) 光盘服务器1台:负责多媒体光盘及视频点播服务。(6) 图书管理服务器1台:负责图书资料管理。4 网络管理4.1 网络管理建设目标l 方便的进行用户管理,
45、包括开户、销户、资料修改和查询;l 能够对网络设备进行集中的统一管理;l对网络故障进行快速高效的处理;4.2 网络管理软、硬件的选择Quidview网络治理软件使用灵活的组件技术,支持多种操作平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络治理。4.3 网络管理建设(1)网络集中监视Quidview网络治理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。l 全网设备的统一拓扑视图;l 拓扑自动发现,拓扑结构动态刷新;l 可视化操作方式:拓扑视图节点直接点击进入设备
46、操作面板;l 在网络、设备状态改变时,改变节点颜色,提示用户;l 对网络设备进行定时(轮询间隔时间可配置)的轮循监视和状态刷新并表现在网络视图上;l 支持拓扑过滤,让用户关注所关心的网络设备情况;l 支持快速查找拓扑对象,并在导航树和拓扑视图中定位该拓扑对象;(2)故障治理故障治理主要功能是对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。l 告警实时监视,提供告警声光提示,支持外接告警箱;l 支持告警转到Email、手机短信;l 支持告警过滤,让用户关注重要的告警,查询结果可生成报表;l 支持告警基级别重新定义,支持告警转存,保证系统的运行效率和稳定性;l 支持告警拓扑定位,将显示的焦点定位到产生选定告警的拓扑对象;l 支持告警相关性分析,包括屏蔽重复告警、屏蔽闪断告警、屏蔽root-cause告警等;(3)集群治理针对大量二层交换机等低端设备的应用环境,Quidview网络治理软件提供集群治理功能,通过一个指定公网ip的设备(称作命令交换机)对网络进行治理。l 实现对一组设备统一、集中、批量配置治理;l 实现设备的集中维护治理;l 网络拓扑信息自动收集、维护,动态更新;l 节省公网IP地址资源;l 实现方便的