《中学校园网络规划设计方案(15页).doc》由会员分享,可在线阅读,更多相关《中学校园网络规划设计方案(15页).doc(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-摘 要随着计算机、网络应用的不断普及,学校管理也相应的发生着变化。如何能更加充分的利用学校现有的教学资源进行教学、管理,又能达到事半功倍的效果?校园网的实施为学校提供了很好的解决方法。校园网的建设是现代教育发展的必然趋势,建设校园网不仅能够更加合理有效地利用学校现有的各种资源,而且为学校未来的不断发展奠定了基础,使之能够适合信息时代的要求。校园网络的建设及其与Internet的互联,已经成为教育领域信息化建设的当务之急。校园网工程是一项技术性较强的综合工程,它涉及到网络交换设备、路由设备、服务器与工作站、校园网应用软件、传输介质等许多方面。本文简要地讨论了校园网络规划设计中涉及到的网络技术、
2、规划设计方法、网络性能及应用分析等问题,为校园网络的规划、设计和升级改造等方面在技术及应用上提供参考,以使在建或规划中的校园网络具备较高的整体性能。 关键词:校园网络;规划设计;无线网络局域网技术;-第 15 页-目 录摘 要I一、需求分析4(一)目的4(二)该校园网实现的主要功能41.共享国内外信息资源42.www浏览43.电子邮件系统(E-mail)44.匿名FTP服务45.电子公告牌BBS.46.网络考试47.CIMS、MIS等教学科研实验网48.建立电子图书馆,提供联网查询4(三)该校园网技术方案的特点51.先进性52.标准化53.实际性54.经济性55.易维护性5(四)网络接入技术和
3、网络访问策略51.建立虚拟网52.网络管理53.网络安全需求分析64.广域网连接6二、网络规划设计7(一)网络规划原则71.实用性与先进性72.开放性与标准化73.可靠性与安全性74.经济性与可扩充性7(二) 网络拓朴图8(三)网络技术的选择81.快速以太网82.千兆以太网93.网络传输电缆的选择94.组网技术的选择95.布线系统的选择9(四)硬件选择10(五)网络中的操作系统软件111.校园网络管理平台选型112.网上教育资源库11(六)校园网络的设计模式11三、校园网安全威胁分析13(一)来自校园网内部用户的威胁13(二)作为学校对外宣传的平台、办公的需要而与互联网连接13(三)黑客攻击1
4、3(四)网络应用层威胁13四、无线局域网技术14五、网络安全的设计目标及准则15(一)有效的访问控制15(二)集中安全漏洞检查和攻击监控15(三)多层防御和完善的认证体系15(四)数据备份和恢复15一、需求分析网络的规划设计是一个系统建立和优化的过程,建设网络的根本目的是在Internet上进行资源共享与通信。要充分发挥投资网络的效益,需求分析成了网络规划设计中的重要内容,它提供了网络设计应到达的目标,并有助于设计者更好地理解网络应该具有的性能;结合学校的办学规模、管理需求和师生对教学科研的需要,确立一个性能较高的网络计算平台。(一)目的概括的讲,校园网是为学校提供教学、科研和综合信息服务的宽
5、带媒体网络。校园网应为学校教学、科研提供先进的信息化教学环境,并具有教学教务、行政事务和总务后勤管理功能。教学教务管理包括:课程管理、学生成绩与学籍管理、图书资料管理,德育教育管理:行政事务管理包括:党务、行政管理(会议、文件、资料等),档案管理(人事、科研成果、固定资产、财务账本等):总务后勤管理包括:财务管理、设备、房产、食堂、招待所及办工厂管理。 (二)该校园网实现的主要功能1.共享国内外信息资源。2.www浏览。3.电子邮件系统(E-mail)。4.匿名FTP服务。5.电子公告牌BBS.。6.网络考试。7.CIMS、MIS等教学科研实验网。8.建立电子图书馆,提供联网查询。(三)该校园
6、网技术方案的特点1.先进性选择代表世界先进水平的技术和设备,不使校园网在短期内落伍。2.标准化采用成熟技术,符合国际标准。3.实际性紧密结合本校的实际情况。4.经济性选择性能价格比较高的设备、器件,经济配套,投资与维护费用低。5.易维护性系统质量稳定,容易维护与管理。(四)网络接入技术和网络访问策略我们可以对整个网络采用虚拟网技术和交换技术,以使整个网络具有更加灵活高效的网络系统。对外与CERNET 和Internet 互联,形成一个高速、高性能、开放的校园网系统,为全体师生提供一个先进、快捷的网络环境,分享国内外的计算机资源信息,促进学校的全面提高与发展。1.建立虚拟网虚拟网主要作用和目的是
7、:解决主干网内网络站点的增加、删除、移动等操作,方便网络的维护和管理;可以建立不受物理区域限制的,覆盖整个校园的相互具有一定独立性的网络或者逻辑子网,即虚拟网。校园网应可以有效管理和限制虚拟网之间的访问,各部门可以各自占用一个独立的虚拟网,整个虚拟网是可升级的、可扩展的。并且,根据校园网的实际需求,有共同研究项目或兴趣的科研人员需要在一个逻辑子网内。因此,无论从网络管理,还是用户的角度来讲,校园网络都需要虚拟网技术的支持。2.网络管理校园主干网是覆盖多幢大楼的园区网络,组成了一个相当复杂的计算机网络。随着网络复杂度的增加,给网络管理带来成级数增加的管理工作量。网络管理要求解决的问题包括以下两点
8、。(1)虚拟网管理、分配目前的虚拟网主要基于局域网交换端口,如果一个部门扩展新的入网地点,今后的扩展将改变交换机端口设置。管理软件应该提供远地虚拟网的修改功能。(2)对所有网络设备端口的监视和管理对所有网络设备的远地配置和控制,包括网络设备端口的开放和关闭、整个网络的故障检测、故障自动报警功能、整个网络性能的统计和分析报告,甚至收费项目,等等。按照这些网络管理的需求,应采用基于GUI 界面的网络管理软件。3.网络安全需求分析校园网络安全主要考虑以下几方面要求:各个部门、系所访问网络的控制,各单位之间在未经授权的情况下,不能相互访问。内部网中要建立防火墙,即禁止外部用户未经许可访问内部的数据,或
9、者内部用户未经许可访问外部数据。对安全问题的考虑主要是两个方面:一是校园网应该是一个开放的系统,它不需要与政府或商业公司的一样的网络安全保密性;二是校园网应该是安全的,它不应该受到恶意的攻击而无法运行,一些科研成果也不应该对任何人都开放。我们主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。4.广域网连接校园网对广域网的连接需求主要表现在:能够与国际互联网连接,与国际交流信息;能够与CERNET 国内各个单位交流信息。满足出差在外的校领导及其他公务人员及时与学校保持联络。为此,应通过DDN、无线网等公用或者专用数据网络与CERNET 连接,再连到Internet。此外,必须提供通过电话
10、拨号连接上网的访问接口,为移动用户和家庭用户提供入网服务。二、网络规划设计(一)网络规划原则1.实用性与先进性根据学校的实际情况和特点,在设计中应特别强调实用性与先进性的结合,采用成熟的网络技术,保证校园网实用;跟踪国际网络技术的新发展,设计技术先进的网络。在保证校园网可靠、实用、先进的基础上,可以提供研究先进网络技术的科研环境,方便学校的科研与开发。2.开放性与标准化整个校园网的设计采用开放性的网络体系,以方便网络的升级、扩展和互联。同时,在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化。3.可靠性与安全性在校园网的设计中,主要考虑两个层次:一是整个网络的可靠性与安全性,采用高可
11、靠性高安全性的网络体系结构,包括合理设计广域网的访问控制和内部虚拟网的访问控制、对外部网络访问链路的备份等;二是网络设备的安全性和可靠性,主要依靠采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段实现。4.经济性与可扩充性在满足学校需求的前提下,选用性价比高的网络设备和服务器。采用的网络架构和设备应充分考虑到易升级换代,并且在升级时可以最大限度地保护原有的硬件设备和软件投资。 (二)网络拓朴图图2.1 网络拓扑图(三)网络技术的选择目前比较常见的主干网技术有FDDI、ATM、快速以太网和千兆以太网等。前二种技术,由于缺点众多,已经退出了主流市场;后二种以太网技术由
12、于有很多技术优势,已经成为现今网络的主流,其中具有交换功能的快速以太网,支持VLAN,并容易升级到千兆以太网,性能优越,价格适中,一般建议采用快速以太网作为校园网的主干技术。快速以太网,以上已经提到主要应用在校园的接入层,如楼层,楼间;千兆以太网主要应用在核心设备之间,主校园与分校之间及上连广域网设备上。1.快速以太网 传统以太网用的是10Mb/s技术,快速以太网是以太网的升级,速度可提升到100Mb/s,现在的网卡和集线器等网络终端设备都支持这种技术,是当今的网络技术的主流,应用非常广泛。不仅应用于校园,快速以太网也很好的应用在政府、企业的网络中。快速以太网的设计非常灵活,几乎对网络结构没有
13、限制,可以是交换式、共享式的或基于路由器的。现在正在应用的网络互联技术,例如,特定IP交换技术和第三层的交换技术,都与快速以太网完全兼容,并且可以通过价格便宜的共享集线器、交换机或路由器来实现。2.千兆以太网千兆位以太网是相当成功的10Mb/s以太网和100Mb/s快速以太网连接标准的扩展,并且继承了快速以太网的所有优点。现在千兆位以太网成熟的标准为IEEE802.3z。千兆位以太网技术以简单的以太网技术为基础,为网络主干提供1Gb/s的带宽。千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。目前,千兆以太网支持单模光纤、多模光纤和同轴电缆,支持5类非屏蔽双绞线的标准正在
14、制定中。3.网络传输电缆的选择关于网络传输电缆的选择可分成室外电缆和室内电缆两个部分。室外电缆可以采用电话线和光缆。如果是以网络互联方式连接的电缆,具有较大的带宽,建议采用光缆;如果是以单个计算机(特别是微机)相连,而且今后不会有大量传输视频或者图像信息应用的连接方式的,可以采用电话线。这样,在学校科技楼、实验楼、教学楼可通过多模光缆相连。室内电缆目前一般选择双绞线,办公大楼内要采用结构化布线,内部基本上采用双绞线。4.组网技术的选择对于共享10M 的一般以太网,如果用户不超过20 个,并且网络应用的数据量较小时,网络的性能还可以满足一般的需求。对于静态图像等数据量较大的网络应用,共享10M
15、的以太网因网络碰撞的次数不断增加导致网络延时的增加而难以满足性能的要求。在这种情况下,交换10M 的交换以太网技术可以满足大量数据应用的需求。采用交接以太网技术,如果主干网仍然为10M 的速率,多个用户同时使用网络时,主干网会成为整个网络的瓶颈,这就需要提高主干网的带宽,快速以太网技术是一种选择。ATM 技术是非常适于多媒体实时信息网络应用的技术,特别是对于视频会议、视频点播等大量数据的实时传输,ATM 技术是首选。采用IBM 的网络设备,从18M 网络技术发展的策略来看,构建ATM 网络是较为合理的。5.布线系统的选择布线系统通常采用综合布线系统或结构化布线系统。结构化布线系统是一套符合国际
16、标准的、完整的、开放的布线系统。结构化布线系统符合商用建设布线系统标准EIA71A568,无论各楼层布线,还是主干线均采用量形结构。这种布线结构可以实现各种网络拓扑结构,包括总线型、量型、环型或若干种形式的组合。因此,无论今后网络如何发展,结构化布线系统总可以适应。学校校园网布线系统可以组合为两个部分,楼内布线和楼间光缆。为了保证UTP100 米的要求,布线沟最好选择在楼的中心位置。信息插座分布是布线系统设计的一个关键问题。信息插座布在哪里,计算机网络有可能延伸到哪里。由于计算机网络将在现代化的校园中起着非常重要的作用,因此信息插座要尽可能分布面广,各个房间都要安装有信息插座,包括教室、实验室
17、、办公室、会议室和娱乐场所等等,较大房间和需求高的房间应分布几个信息插座。要选择地理位置适中的一个楼建立网络中心,网络中心至少需要20 平米的机房一个。网络中心机房该楼的布线间,位置最好在该楼的中心,其他两楼配线间通过光缆与网络中心机房连接。(四)硬件选择校园网是由主干网络和子网络两个层次组成的的综合体系,二者构成了校园网的物质基础。校园网中的主干网络是由交换机、路由器等设备连接构成的网络部分,用于实现子网络的连接及因特网网络资源的访问。校园网的硬件系统结构由网络中的计算机、网络设备组成。从服务器提供网络功能的角度,可以将网络服务器划分为文件服务器与特殊应用服务器两种。除网络上的工作站使用普通
18、的PC机外,主机的选择应使用专业的高性能服务器。连接介质的选择分两部分,第一部分为各交换机(switch)之间(楼与楼之间,楼层之间)及网络出口干线选择光纤,第二部分为从访问层的交换机到用户的PC桌面选择超五类双绞线。路由器的性能较为重要,选择Cisco公司和3Com公司的产品,就能体现出极高的性能。数据存储设备,除可选择大容量硬盘外,还可选磁带机、磁盘阵列、光盘阵列,这些外存设备,均可用于储存海量网络数据,如图书资料,多媒体素材及课件学生学籍和成绩校园网络中心以及各分校区均通过2ME1光纤或DDN专线或ADSL接入Internet。对于我们画定的区域如图书馆、宿舍等,都可以通过100M交换口
19、连入校园网,而各个终端可以采用10/100M共享式端口。目前的校园网大多数是纯三层的交换网络。由于交换机都具有三层功能,汇聚层一般已经可以与接入层归纳为一个层次。各楼层和各楼之间的交换设备都直接上连到核心设备上。核心层是校园网络的最重要的部分,在这里一定要选用性能稳定,安全的设备。学校网络中心的核心交换机可以选择H3Com Switch 7500系列局域网络核心交换机、SuperStack 3 系列局域网络交换机或者思科Catalyst 6000、5000、4000系列交换机。这些设备都是各大厂商的主流设备,并且广泛应用与网络结构的核心,具有管理方便、性能稳定、安全(可增加安全模块)和高扩展性
20、。 汇聚层则可以选用3Com SuperStack 3 系列局域网络交换机或者思科Catalyst 4000系列、3500系列等设备,这些设备性能稳定,管理方便,扩展性强。接入层可以采用思科Catalyst 2900、3500系列交换机,也可以采用华为的28系列。这些设备性能稳定,价格便宜,功能强大。(五)网络中的操作系统软件目前最常用的网络操作系统主要有Windows Server 2003、UNIX、Linux。网络应用系统平台主要包括:网络基本服务(Internet、WWW、DNS、E-mail、FTP)网络教育资源库,网络教学系统,网络信息管理系统等应用平台。1.校园网络管理平台选型校
21、园网络管理平台操作系统建议采用Windows 2000 Advanced Server。整个系统提供默认设置,对于绝大多数学校,根据自己的实际情况,简单地进行修改和配置后即可使用。各类信息通过电子方式存储,可随时查询,对相应信息还可进行实时评估,为学校领导进行管理和决策提供依据。管理平台的运用在日常管理中将起到巨大的作用。2.网上教育资源库高性能的Web集成应用系统。资源库管理基于Windows 2000平台,采用ASP结合SQL Server 2000数据库BrowserServer方式。应用系统采用网络服务器、数据库服务器和前端Web开发形式,提供稳定可靠的资源使用与管理功能,保证了系统的
22、完整性和一致性。(六)校园网络的设计模式 一个良好的设计方案除体现出网络的优越性能之外,还体现在应用的实用性、网络的安全性、易于管理性和未来的可扩展性。适应未来网络的扩展和拓扑结构的变化,能为特定的师生用户或用户组提供访问路径,保证网络能不间断地运行,当网络扩大和应用增加时,变化的网络结构要能应付相应的带宽要求。使用频率较高的应用能够支持网上大多数的师生用户,能合理地分配用户对网内、网外的信息流量,能支持较多的网络协议,扩大网络的应用范围,支持IP的单点传送和多点广播数据流。要达到以上这些设计要求,分层的设计功能及星型、树型和交叉型的拓扑结构应给予足够的重视。图2.2 校园网的分层设计及拓扑结
23、构三、校园网安全威胁分析校园网从威胁的角度来看, 与大多数和互联网相连的网络一样, 内部用户需要流出, 外部用户需要接入。有几种常见威90胁会引发黑客通过探索深入网络破坏:(一)来自校园网内部用户的威胁尽管各种数据的统计结果百分比数有一定出入, 但大多数攻击来自于内部网络已是不争的事实。设计网络安全系统时, 重要的是要了解潜在的内部威胁。(二)作为学校对外宣传的平台、办公的需要而与互联网连接校园网中可公开定址的主机随时都面临着来自外网的各种威胁。运行在这些主机上的系统很可能会遭受例如应用层漏洞攻击和DOS攻击。(三)黑客攻击通过“war- dialer”试图确定您的数据电话号码并试图进入网络。
24、War- dialer1是可拨打多个电话号码以确定连接另一端系统类型的软件或硬件。带用户安装的远程控制软件的个人系统是最易遭受攻击的, 它们一般都不是很安全。因为这些设备在防火墙后, 一旦黑客通过他们拨号进入主机接入网络, 他们就可假冒网络用户。(四)网络应用层威胁常见的威胁还包括计算机病毒、垃圾邮件、违反学校管理制度的论坛和网站以及网络管理人员的误操作等。这些问题都需要我们的校园网网络安全系统能够防范、监视和纠正这些威胁。四、无线局域网技术随着多媒体技术的发展,以及笔记本电脑、膝上型、掌上型电脑等便携式终端设备的广泛使用,学校师生对无线上网需求越来越高. 人们希望的能够利用移动式、便携式的上
25、网设备实现数据通信、信息资源检索、远程教学、移动办公、移动会议、移动学习等活动,无线局域网技术为之提供了可能. 因此,组建一个高效便捷的校园无线局域网是对当前有线校园网必要的补充.无限局域网具有灵活性、低成本、移动方便、易安装的特点,但也存在可靠性、安全性、网络速度等问题,因而它不能用来取代有线校园网,而只能弥补有线校园网络的不足之处,用于扩展延伸校园网.目前高校根据应用环境的不同,校园无线局域网采用的拓扑结构主要有网桥连接型、访问节点连接型、HUB 接入型三种类型. 无线网络常用的设备包括无线网卡,无线基站AP(Access Point),无线路由器(Wireless Router)。近年来
26、,为了提高无线通信的能力和效率,不少无线路由设备整合了交换机和防火墙的功能.在考虑无线局域网接入方案时,选择用HUB (集线器) 互连的方式,在每个楼宇汇聚交换机上接入Wireless AcessPoint作为有线网络与无线网络的桥接器,将无线信号通过AP 自带的以太网接口桥接到原有的有线局域网中;同时,它也作为无线信号覆盖范围内终端的信号汇聚设备,兼容802. 11g/ b 协议栈,提供无线信号覆盖区域内的客户端接入. 无线AP 需提供多种认证和加密方式,以保证无线用户接入的安全问题和无线数据的加密问题.如果实现这一方案,只要配备无线网卡的移动设备或PC 机,就可以实现网络资源的快速连接,使
27、数据传输速率最高达到54Mbp/s ,从而基本保证校园网无线用户的数据通信的需要. 无线网络一个重要的特性就是移动性,通过校园无线网SSID 的规划,无线AP 可以提供漫游功能,使无线网络能够直接从AP 上自动继承通道配置属性,保证其在无线局域网范围内自由移动时,可以不间断地使用网络.通过这种WLAN 网络互连方式,不但可在网络中快速添加新用户,支持临时工作组,还可以在报告厅、图书馆、体育馆、会议室、校园广场等区域提供灵活、方便的无线网络接入服务.五、网络安全的设计目标及准则(一)有效的访问控制通过特定的网段和服务建立访问控制体系, 在授权用户访问网络时, 资源可以被快速定位和获取; 在未授权
28、用户访问网络时, 用户根本查找不到网络目标, 从而有效地阻止了非法用户的访问或攻击。可以通过在接入层交换机上开启802.1x认证的方法, 在用户开机时强制进行认证和授权。对于某些特殊用户和特殊资源, 我们也可以通过配置ACL ( 访问控制列表) 的方法进行授权和保护资源。(二)集中安全漏洞检查和攻击监控通过特定网段及服务建立的多种监控体系, 应可随时检测出绝大多数攻击, 并采取相应的措施( 如断开连接、记录攻击过程及跟踪攻击等) , 并能周期性地检查安全漏洞, 做到及时发现, 及时防范。将通过集成在核心交换机内的IDSM ( 入侵检测系统模块) 来监视网络中的非法或可疑行为, 并可由网络管理员
29、根据需要自行定义处理方式。可选的处理方式包括: 断开连接( TCP 复位) 、禁止访问、记录日志或不采取行动等。(三)多层防御和完善的认证体系建立一个完善的认证体系, 可以防止非法用户登录到网络, 或者合法用户访问未授权资源的攻击。通过采用防火墙、防病毒软件、入侵检测系统和服务器进程监控软件等构建一个多层防御系统, 使服务器在遭到攻击或遇到故障之初就能通过E-mail、电话、手机等方式在第一时间通知系统管理员。防火墙、防病毒软件和入侵检测系统都在下文中有详细的介绍, 服务器进程监控软件请参见投标文件的服务器和存储部分。(四) 数据备份和恢复我们在网络设计之初就对备份和恢复系统给予了充分的重视, 设计了完善的备份和恢复体系。一旦数据被破坏可及时得到恢复, 避免系统遭到攻击后全网瘫痪。具体设计方案和产品选型请参见投标文件的服务器和存储部分。