《校园网网络系统集成方案.pdf》由会员分享,可在线阅读,更多相关《校园网网络系统集成方案.pdf(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 校园网设计方案项目概述随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。校园网建设的总体目标是:本着技术先进、投资合理、充分利用现有教学设备,在技术上和设备上适
2、当超前的原则,建立规范化、技术先进、扩展性能良好、性能价格比高的校园网络信息系统。建成以先进的网络技术、计算机技术和多媒体技术为主要手段的多层开放式、全方位信息通讯与信息管理系统。需求分析学校高要校区要建立校园局域网。根据校方要求,总的信息点将达到10000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、办公楼等。宿舍楼、实验楼和教学楼为信息点密集区。经过此次校园网络的建设工程,可以达到满足学生上网需求、资料查询的微机化、办公自动化、学校管理智能化等功能,同时为学校未来的网上教学、无纸化教学提供可靠的系统保证。网络设计1、设计原则校园网本着安全可靠、先进、标准而开放、便
3、于管理和扩展的网络设计基本原则。具体如下:A采用世界先进、成熟的技术组B 采用业界标准,支持开放性原则C强健的系统,安全的管理,可靠的性能D系统的良好的可扩展性E 良好的可管理性。2 2、设计思路 采用千兆以太网技术,具有高带宽 1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资;网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善的服务保证;采用支持网络管理的交换设备,足不出户即可管理配置整个网络。可扩容的远程拨号接入/拨出,共享资源、发布信息等。应用系统及教学资
4、源丰富;有综合网络办公系统及各个应用管理系统,实现办公自动化,管理信息化;有以 WEB 数据库为中心的综合信息平台,可进行消息发布,招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。3、技术架构A建设校园网的主干网络,网络设备主干带宽采用现在通用的千兆带宽,并在此基础上实现不同类别VLAN 的划分及第三层交换;B实现校园网络的全面安全保护机制,利用Cisco 交换机的第二、三层的安全特性以及主干防火墙、入侵检测系统,有效防止来自内外网络的恶意攻击;C实现针对校园用户的访问有效控制即仅当用户通过合法身份认证之后,才具备对网络的访问能力,并且由网络管理者指定其所属VLAN
5、,可访问权限等;DInternet 出口合理、有序使用。组建的整个学校的校园网,既能将整个学校计算机都纳入整个校园网中,实现统一规划、分块工作、异地互联、整体管理,并有可为将来的应用扩展和系统的升级预留接口。可以达到各系组建自己相对独立的本地局域网,既能满足各系自己的正常的教学计算机化的要求,又能通过广域网完成与其他系或学校之间的信息交流。网络结构与功能详解1 系统组成与拓扑结构如图是我校园网其中一个校区的拓扑结构图3 校园网总体拓扑结构图我校区现有 5栋楼大概 10000左右信息点要接入 Internet,其中服务器 8-10台,图书馆和实验楼的信息点各约1000个,学生宿舍有 5000个,
6、教学楼有 1000个,办公楼有信息点 500 个。学校申请了一条千兆光纤接入互联网,同时还申请了 1 个 C的 IP 地址。IP 地址段:220.18.80.0 220.18.80.254。为了实现网络设备的统一,本设计方案中完全采用同一厂家的网络产品,即Cisco 公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。校园网设计方案主要由以下三大部分构成:交换模块、广域网接入模块、服务器集群。校园网整体拓扑结构图如下:4 校园网整体拓扑结构图2 IP 地址的划分整个校园网 IP 地址的划分要本着合理利用IP 地址资源,对于用户信息点多的学生宿舍网和图书
7、馆、实验楼、教学楼,采用私有地址将会合理的利用IP地址资源,对于信息点较少的办公网和服务器集群则可以使用公网地址。具体地址分配及子网划分如下:VLAN 序号VLAN 名称IP 网段默认网关说明VLAN1 121.22.80.161/29 121.22.80.164 管理 VLAN VLAN10 TSG 121.22.1.0/24 121.22.1254 图书馆 VLAN VLAN20 SYL 121.22.2.0/24 121.22.2254 实验楼 VLAN VLAN30 JXL 121.22.3.0/24 121.22.3254 教学楼 VLAN VLAN40 XSSSL 121.22.0
8、.0/22 121.22.3254 宿舍楼 VLAN VLAN50 BGL 121.22.80.33/25 121.22.80.158 办公楼 VLAN VLAN111 FWQ 121.22.80.0/27 121.22.80.1 服务器 VLAN IP 地址的划分:VLAN 111:划分给服务器群,约8 台机器考虑到以后的扩充,分配32个地址,子5 网 IP 段:220.18.80.1-30 MASK:255.255.255.224 gateway 220.18.80.1;VLAN10:划分给图书馆,约1000台机器,子网 IP 段:192.168.1.0 254 MASK:255.255.
9、255.0 gateway 192.168.1.254;VLAN20:划分给实验楼,约 1000 台机器,子网 IP 段:192.168.2.0 254 MASK:255.255.255.0 gateway 192.168.2.254;VLAN30:划分给教学楼,约 1000 台机器,子网 IP 段:192.168.3.0 254 MASK:255.255.255.0 gateway 192.168.3.254;VLAN40:划分给宿舍楼,约 5000台机器,子网 IP 段:172.168.0.0 172.16.3.254 MASK:255.255.252.0 gateway 172.16.3
10、.254;VLAN50:划分给办公楼,约500 台机器,分100 个 IP 地址,子网IP 段:220.18.80.33-158 MASK:255.255.255.192 gateway 220.18.80.158;VLAN1:划 分 给 管 理VLAN,子 网IP段:220.18.80.161 164 MASK:255.255.255.248 gateway 220.18.80.164。3 通信设备选型(1)核心交换机Cisco Catalyst 4500系列,为中端模块化智能冗余 交换机,能为客户提供冗余、增强网络控制、集成线上供电模块等功能,帮助企业和城域网用户构建高性能、可恢复、高安全
11、和可管理的网络,从而轻松实现IP 数据、视频流、电话基于互联网的商业应用的融合和控制,提高生产效率和经济效益。作为新一代 Cisco Catalyst 4000系列平台,Cisco Catalyst 4500系列包括三种新型Cisco Catalyst 机箱:Cisco Catalyst 4507R(七个插槽)、Cisco Catalyst 4506(六个插槽)和 Cisco Catalyst 4503(三个插槽)。Cisco Catalyst 4500 系列中提供的集成式冗余可靠性增强包括11 超级引擎冗余(仅限 Cisco Catalyst 4507R)、集成式 IP 电话电源、基于软件的
12、容错以及1+1 电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。其图片和主要参数:6 主要参数交换机类型企业级交换机传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3x、IEEE 802.3ab端口数量96接口介质10/100/1000Base-T、1000Base-FX交换方式存储-转发背板带宽64GbpsVLAN 支持支持MAC 地址表16k模块化插槽数3指示面板风扇制冷:包含在热插入/热取出单元中;良好:绿色(良好);故障:红色(错误);支持 S
13、NMP MIB尺寸(mm)439.7*317*311.2重量(Kg)14.1其他技术参数3 个总插槽数;1 个交换管理引擎插槽;支持的交换管理引擎Supervisor Engine II-Plus,IV,V;2 个线路卡插槽;2 个电源机架数量;支持交流输入电源;支持直流输入电源;集成PoE(IP 电话和无线接入点)支持;1个风扇机架;19 英寸机架安装位置特点Cisco Catalyst 4500 系列能够为无阻碍的第2/3/4 层交换提供集成式弹性,因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。450
14、0 系列中提供的集成式弹性增强包括11 超级引擎冗余(只对 Cisco Catalyst 4507R)、集成式 IP 电话电源、基于软件的容错以及1+1 电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。7(2)汇聚层交换机Cisco WS-C2918-24t,支持 802.1p CoS 每个端口的 4 个输出队列让用户能对四种流量类型进行不同的管理SRR 调度确保为数据包流量提供不同的优先级加权队尾丢弃(WTD)能在发生中断之前,为输入和输出队列提供避免拥塞功能严格优先级排序能确保优先级最高的分组先于所有其他流量获得服务。主要参数交换机类型快速以太网交
15、换机内存64MB传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.1D,IEEE 802.1p,IEEE 802.1Q,IEEE 802.1s,IEEE 802.1w,IEEE 802.1x,IEEE 802.3ad,IEEE 802.3ah,IEEE 802.3x,IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3z端口数量26传输模式支持全双工交换方式存储-转发背板带宽16GbpsVLAN 支持支持MAC 地址表8K指示面板每个端口的状态:连接完整性、禁用、活动、速度、全双工;系统状态:系统、链路状态、链路双工、链路速
16、度电源100-240 VAC(自 动 调 节),1.3-0.8A,50-60Hz;115V AC时 输 入 电 流30A,230V AC 时输入电流 60A环境标准工作温度:0-45、-25-70、10%-85%(非冷凝)尺寸(mm)44*445*23.6重量(Kg)3.6(3)接入层交换机8 CISCO WS-CE500-24TT交换机端口类型有20 个 10/100 端口,4 个 10/100以太网供电(PoE)端口。主要参数交换机类型部门级交换机传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3,IEEE 802.3U,IEEE 802.3z,IEEE 8
17、02.1Q,IEEE 802.3ab,IEEE 802.1p,IEEE 802.3x,IEEE 802.3ad(LACP),IEEE 802.11d,IEEE 802.1w,IEEE 802.1x端口数量26传输模式支持全双工交换方式存储-转发背板带宽8.8GbpsVLAN 支持支持MAC 地址表8K电源100-240Vac,1.3-0.8A,5060Hz环境标准工作温度:0-45、存储温度:-25-70、工作湿度:10-85%(非冷凝)尺寸(mm)43.9*444.5*251.5重量(Kg)3.7(4)路由器DI-1750 路由器为模块化设计,支持十多种网络/语音接口卡,应用组合种类丰富,实
18、现了数据/语音/传真集成。该路由器结构精致,与其它同类产品相比,性能更高、模块类型丰富、性价比更高。DI-1750 适合大中型企业的远程分支节点或中小型企业的中心接入,可以实现高速、稳定、安全、可靠的专线接入、Internet访问、拨号接入、VoIP、VPN 等网络应用。9 主要性能 具有完善的防火墙,安全特性高,充分保证数据传输的安全 支持 VPN 等技术 固定接口:1 个 10/100M 快速以太网端口、1 个 Console端口、1 个AUX 端口 2 个接口卡插槽(2 个 WIC/VIC)模块化结构设计,支持多种网络/语音接口卡,配置扩展灵活 采用高性能的 CPU 和先进的总线技术,具
19、有强大的数据处理能力,保证在高速环境下的网络应用 支持多种路由协议,保证各种路由协议之间路由信息的重分配 支持多种队列算法,保障关键业务对带宽的需求 提供多种管理的手段,管理和维护灵活,便于网络的管理和维护 具有优良的性能价格比,充分保护了用户的投资 支持中英文界面-支持中英文两种在线帮助界面,大大方便了国内外用户 支持交流、直流两种电源-DI-1750 支持交流电源,DI-1750/DC 支持直流电源资源应用设计1 服务基本应用主服务器 2 台:装有 NT 操作系统,负责整个校园网的管理,教育资源管理等。其中一台服务器装有DNS 服务,负责整个校园网中各个域名的解析。另一台服务器装有电子邮件
20、系统,负责整个校园网中各个用户的邮件管理。WWW 服务器 1 台:装有 Linux 操作系统,负责远程服务管理及WEB 站点的10 管理。WEB 服务器采用现在比较流行的APACHE 服务器,用 ASP 语言进行开发,连接 MYSQL 数据库,形成了完整的动态网站。DHCP 服务器 1 台:装有 NT 操作系统,负责整个校园网IP 地址的自动分配。数据库服务器 2 台:其中一台提供校园网数据的存储、查询。另一台则是做为备份服务器来使用。VOD 服务器 1 台:装有 NT 操作系统,为校园网提供VOD 数字点播影视的需要。2 服务器选型戴尔 PowerEdge 2650是价格适中,超薄(2U),
21、特性丰富的机架式服务器,是多服务器机架环境的理想选择。其图片和主要参数如下:基本类别类型工作组级类别机架式结构2U处理器CPU 类型Xeon E5410CPU 频率(MHz)2330处理器描述标配 1 个 Xeon E5410 处理器最大处理器数量2制程工艺45 纳米CPU 二级缓存12MBCPU 核心四核(Harpertown)主板FSB(总线)1333MHz扩展槽总共 3 个 I/O 插槽内存内存类型FB-DIMM内存大小1GB11 最大内存容量32GB存储硬盘大小146GB硬盘类型SAS最大热插拔硬盘数支持热插拔磁盘阵列卡RAID 5光驱DVD软驱无软驱网络网络控制器集成双 Broadc
22、om 千兆网卡,支持 TOE 功能显示性能显示芯片集成 ATI ES1000 带 16MB 显存接口类型标准接口背面:2 个 RJ-45,1 个 9 针串口,2 个通用串行总线(USB)2.0,Video,带蓝色/黄色 LED 灯光的 ID 按键,用于可选DRAC 45/I 管理控制器的RJ-45;背面:2 个RJ-45,1 个 9 针串口,2 个通用串行总线(USB)2.0,Video,带蓝色/黄色 LED 灯光的 ID 按键,用于可选DRAC 45/I 管理控制器的RJ-45其他参数散热系统热插拔、冗余散热风扇咨询购买热线800-858-2339电源性能电源单电源,可选热插拔冗余电源电源数
23、量1电压110/220V功率(W)750外观特征尺寸86.4*444.3*712.3mm重量23.8Kg安全设计网络安全越来越成为企业网络成功运行的关键因素。特别是随着多协议新业务的发展、网上教学、远程教育等各种应用使教育网络不再是一个封闭的网络,网络设计中必须制定网络安全策略,保证内部网络的完整性和安全性。1 出口安全接入路由器上的NAT 设置由于目前 IP 地址资源非常短缺,不能给校园网的所以用户都分配一个公网IP 地址,为了解决这个问题,在接入路由器上启用NAT 功能将更好的解决这一12 问题。接入路由器上的ACL 设置路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。路由器
24、上的访问控制列表ACL 是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。对ACL 的设置包括一下几个方面:对外屏蔽简单网管协议SNMP 对外屏蔽远程登录协议Telnet 对外屏蔽其他不安全的协议或服务针对 DOS DDOS 攻击保护路由器自身安全接入路由器防火墙的开启接入路由器上配备防火墙,为了保护整个校园网和路由器本身,路由器上的防火墙要开启。2 通信子网安全VLAN 技术根据 VLAN 划分的手段与设备支持的功能,我们建议以国际标准的802.1Q 的通用标记来实现虚拟网络的
25、划分。至于网络划分的策略手段我们考虑以下几种划分方法:(1)根据端口定义对于校方的网络我们主要采用这种方式进行VLAN 的划分。(2)根据 MAC 地址定义对于校内讲课用的机动电脑,就可以采用这种方式进行VLAN 划分,终端不论走到任何信息点,同过判定移动终端的MAC 地址,都能使该机器进入相应的网络。(3)根据 IP 广播组划分以上说的每种划分方法的侧重点不同,所达到的效果也不近相同。根据校园网的实际应用情况,减少网络复杂性的考虑,我们采用基于端口大方式简单的划13 分 VLAN,所有的 VLAN 通过第三层交换机来共享网络中心的系统资源。对于不同级别的用户进行划分,对于内部的应用,根据安全
26、的级别与业务的种类进行端口划分。其它的划分方式根据具体的情况进行特殊的划分,比如我们可以部分采用广播组划分的方式,这种方法对校内来讲可以对于VOD 系统的应用来实现网络视频广播,对接受视频广播的终端加入到同一网络中,有效地抑制广播,也提高了网络的利用率。生成树协议(STP)的开启当校园网内网络交换机数量的增多、交换机间链路增加时,交换网络的复杂性可能会造成交换环路的问题,这时就需要在各交换机上运行生成树协议来解决。3 管理 VLAN 的配置通过设置管理 VLAN,可以对整个校园网内的所有交换机进行管理,不用亲自到每个交换机前去检查交换机的配置信息,这样即安全又方便。布线系统设计(1)介质选型企
27、业网络主要用于网络自动化办公,考虑其网络带宽的需求,在综合布线设计时,主干线全部采用光纤接入,光纤路由到各楼层交换机上;遵循主干线传输速率要求不低于 1000M BPS,桌面 10/100M BPS 自适应,并考虑未来1-5 年发展需要,实现从现有基础向其平滑过渡。工作区信息插座主要采用单孔/双孔 RJ45信息插座。要充分考虑到办公应用的灵活性及布局重组的可能性;水平线缆采用超5 类非屏蔽 4 对 UTP 线缆。数据主干采用 4 芯单模光纤,保证主干线传输速率不低于1000MBPS。(2)铺设所有楼内水平布线采用超5 类 UTP 双绞线、水平干线采用4 芯室外铠装光纤敷设,并达到 ISO 11
28、801光纤连接(Optic Link)的技术要求。(3)连接a工作区子系统:提供符合高速数据传输的标准RJ45 信息插座。并具备永久、耐磨、明显的电脑标识和防尘、防潮及防插错功能;b水平子系统:由配线间(柜)至各个工作区之间的电缆构成,根据国际标准,14 水平布线距离应不超过90m,信息孔到终端设备连线不超过10m。为确保信息点可完全互换功能,楼内水平子系统均使用了IBDN 布线系统超 5 类非屏蔽阻燃型双绞线缆(UTP),可支持 155MHz 以上的传输带宽。支持当前及未来数据和图像传输要求,满足语音传输的需要。c垂直子系统:是指从设备间配线设备至楼层配线间的电缆。在布线系统设计垂直子系统中
29、,考虑到主干将进行高带宽应用,并且需适应今后向更高层次的应用升级,故采用 IBDN 布线系统超 5 类布线系统可支持 155MHz 高速信息传输),完全满足以后的带宽需要。d管理子系统:是放置布线设备,用来对线缆提供端接和跳接线管理,包括水平、主干布线系统的机械终端和建筑群主干的交换。管理子系统有光纤熔接盒、RJ45 配线面板、跳线管理器组成。其中光纤熔接盒连接光缆,RJ45 配线面板连接水平线缆和垂直线缆,跳线管理器用于理顺跳线的走向。光纤熔接盒用来连接 4 芯或 8 芯光缆。跳线选型:工作区子系统用的跳线主要是非屏蔽RJ45跳线。相关技术的配置命令配置访问层交换机端口基本参数(1)端口双工
30、配置将 1 到 24 口全部配成全双工模式(注:用命令行interface range fateethernet 0/1-24;duplex full 不过上图是用模拟器演示,不支持int range 命令)(2)端口速度:可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端口速度设为10Mpbs 或 100Mbps。在了解对端设备速度的情况下,建议手动设置端口速度。15 配置访问层交换机的访问端口访问层交换机为终端用户提供接入服务。(1)设 置 访 问 层 交 换 机 的 端 口1 到 端 口10 工 作 在 访 问 模 式。(2)设置快速端口默认情况下,交换机在刚加电启动时,每
31、个端口都要经历生成树的四个阶段:阻塞、侦听、学习、转发。在能够转发用户的数据包之前,某个端口可能最多要等50秒钟的时间(20秒的阻塞时间 15秒的侦听延迟时间 15秒的学习延迟时间)对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间,可以设置将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态。将 switch1 的端口 1 到端口 20 设为快速端口接入路由器上的NAT 设置将 IP 地址 121.22.80.252-220.18.80.254划分给做 NAT。1定义 NAT 的内部和外部接口16 2 定义允许进行 NAT 的工作站的内部局域IP 地址范围3.为服务器定义静态地址转换接入路由上的 ACL 设置1.对外屏蔽简单网管协议SNMP(模拟器不支持)2.对外屏蔽远程登录协议Telnet 3.对外屏蔽其他不安全的协议或服务4.针对 DOS DDOS 攻击结束语本设计方案充分考虑了我校的实际情况,从实际入手,提出了网络的主体设计和优化设计,其实一个更加完整的校园网还应包括计费系统、入侵检测系统等设计。