学校数字化校园网设计方案.doc

鄂州经贸学校数字化校园方案设计书二零一一年七月 鄂州经贸学校 雷文金目 录第一章 概述11.1 学校简介11.2 数字化校园概述11.2.1 概念21.2.2 数字校园的功能21.2.3 数字化校园的结构2第二章 学校需求分析及网络整体设计方案21学校需求分析22 系统设计原则23网络整体设计方案第三章 系统详细设计3.1 校园网物理设计3.1.1 核心层的详细设计3.1.2 汇聚层的详细设计3.1.3 接入层详细设计3.2 校园网逻辑设计3.2.1虚拟局域网的规划与设计 vlan的设计规划 vlan划分的方法 pvlan技术 vlan的规划3.2.2地址规划与路由设计地址规划方案多internet出口的策略路由及设计3.3 网络安全设计3.3.1 网络安全的需求3.3.2 网络安全设计目标3.3.3 防火墙部署方案第四章 应用系统的规划与设计4.1 信息标准系统建设4.2 数据中心平台4.3 办公系统建设4.4 教务管理系统4.5 统一门户方案第五章 应用系统配套硬件平台规划5.1 存储系统建设5.2服务器系统建设第六章 数字化校园分期建设规划建议6.1 第一期建设6.2 第二期建设6.3 第三期建设第一章 概述1.1 学校简介 鄂州经贸学校现有在校学生300人左右，教职工近40人，预计未来两年内达到在校学生2000左右。学校目前已经将教学、办公等场所的计算机进行了联网，但目前网络不能进行有效的管理与控制，出现网络速度慢、故障多、网络资源少、后期缺少维护，缺少有效管理等，未能实现学校的管理与教学的信息化，学校竞争力不足。随着信息时代的发展，学校需要改变这一局面，以提高学校竞争力，实现学校管理与教学的信息化，提高管理水平、促进教学建设，学校需要进行新一轮的数字化校园建设。1.2 数字化校园概述步入信息技术高速发展的网络时代，教育系统也发生了翻天覆地的变化。对于我国教育事业而言，教育信息化、现代化是时代的需要，我国将从三方面推进教育的信息化：一是在学校中普及和运用以多媒体计算机技术为核心的教育技术；二是推进网络的普及和运用；三是发展现代远程教育，建设并提供大量的网上资源，以此为平台构建终身学习体系。“数字校园”这一概念也是应任而生。1.2.1 概念“数字校园” 是在校园网的基础上，利用先进的信息化手段和工具，将现实校园的各项资源数字化，形成的一个数字空间，它使得现实校园在时间和空间上延伸开来。校园数字化包括从环境（如设备、教室等）、资源（如图书、讲义、课件等）、到活动（如教、学、管理、服务、办公等）的全部数字化。在传统校园的基础上构建一个数字空间以拓展现实校园的时间和空间维度，从而提升了传统校园的效率，扩展了传统校园的功能，最终实现教育过程的全面信息化。校园网络及其应用系统构成了整个校园的神经系统，完成校园的信息传递和服务。“数字校园”是一个范围很广的概念，没有地域和时间的限制，它包括现实校园及其数字化空间，也包含了实施远程教育和终身教育的虚拟大学。1.2.2 数字校园的功能用户管理： 用户注册、电子身份、身份认证信息管理：教学资源、办公信息、管理信息、图书资源、档案信息、科研数据信息服务：个性化、主动信息服务，目录服务办公自动化：网上办公、无纸办公管理信息系统：教务、设备资产、人事、财务、后勤、决策支持：教学评估、招生评估、毕业评估、.远程教育：虚拟实验室、网络辅助教学电子商务：在线注册、社区服务.协同工作：教学研讨、科研攻关、在线讨论.网上交流：电子邮件、资料交换、主页发布、学术沙、1.2.3 数字化校园的结构数字化校园的结构如下图所示：最内圆是“网络基础”：网络是数字校园的最基础的设施，没有相应的网络基础设施，数字不能流动，就不可能形成数字的空间；次内圆是“网络基本服务”：网络基本服务是数字流动的软件基础，包括电子邮件、文件传输、信息发布、身份认证、目录服务等；其次是“应用支撑系统”：包括办公自动化系统、数字图书馆、管理信息系统和网络教学系统，它们是数字校园的核心支持系统；再往外是“信息服务系统”：它是校内用户的主要使用界面，为用户提供各种服务，如后勤服务、信息查询、信息流通、电子商务等；最外层是“虚拟校园”：它是校园数字化后功能的自然扩展，将校园的功能突破围墙的限制，成为一个可以覆盖网络可达范围的无疆域的大学。数字化校园结构图数字化校园的组成如下图所示：数字化校园的组成第二章 学校需求分析及网络整体设计方案21需求分析我校校园网应该是一个先进、高效、统一联动的网络平台。它的建成，应实现学校办公和教学业务的规范化、程序化，管理的自动化，进而推进远程教育。它将成为学校内公文运转、信息交流、数据共享的平台，成为各年级、各部门领导和工作人员掌握情况及信息的窗口、辅助决策的工具，成为学生、教师与外界相互沟通的桥梁。教师可以方便地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享。由于在网络上传输的信息不只是数字、文字和图形，还会随应用水平的提高，逐步增加语音、活动图像及视频图像等高带宽的应用。因此，网络的建设，尤其是主干网要求高带宽、高速度，并且网络将设置统一的出口，与cernet 和internet相连。整个校园网的建设应在满足骨干网高速传输的同时，具备高可靠性、高安全性和易扩展性、易升级性，使校园网高速、可靠、安全地运行。校园网作为一个校园范围内的计算机网络，应该为校园内的广大师生提供一个全新的网络环境，促进信息交流，资源共享和技术科研合作。22 系统设计原则鄂州经贸学校校园网络是一个要满足数字、语音、图形、图像等多媒体信息以及综合业务信息传输、处理和检索需要的综合数字网，并能支持多种网络协议，其体系结构应符合国际标准或事实上的国际工业标准（如tcp/ip），同时能兼容已有的网络环境。所以，在设计上要遵循下列原则：先进性选择当今先进的网络技术和网络设备，使建成的校园网络体现出领先行业的先进性，并在系统建成后较长的一段时间内，能满足需求增长的要求，今后在更新的技术开始应用的时候，能便利地进行升级。通用性系统设计要考虑到3-5年内的技术发展；应选择通用性高，兼容性强，能支持工作网段和节点扩充的网络设备；能支持新出现的网络协议和多媒体网络应用软件；能支持不同存储格式的各类软件；标准化和开放性所选用的网络产品应支持所有的网络标准与接口协议；新的网络还应与现有的网络实现无缝链接，并具有良好的兼容性。灵活性和可扩展性校园网络强调面向未来的广泛的升级扩充能力，并能够充分利用本次网络设备的投资，在不影响网络性能的前提下最大限度的简化升级扩充后网络的建立和管理。 还应通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。安全性和可靠性系统应性能稳定，容错能力强，操作、管理、维护简单并具有良好的安全性。符合国家安全保密要求；应采取系统工作环境与外界的隔离措施；应防止未经许可的用户非法进人访问网络，并读取、改写文件；应防止窃取和篡改数据；应防止ip盗用，加强网上跟踪与监测，杜绝网上不法行为；应防止恶意用户向网上或某一网上设备发送大量某种信息，使网络处于高负荷运转；应提供多种方式和层次的访问控制安全机制，可进行端到端的安全性控制，保护网络系统数据安全；应制定严密的数据备份方案和技术保障措施，确保系统的数据安全。当系统出现故障时，系统数据能得到及时恢复；可管理性和易维护性因为整个网络系统较为复杂、庞大，单靠人力来维护和管理显然不够，因此，应考虑所选产品的智能化，具有良好的可管理性、可维护性和易用性，并能合理规划网络资源、控制网络运行、监视网络状态。良好的性能/价格比性能/价格比是网络设备选型的重要标准，性能/价格比应着重考虑其综合的性能和总价格之比。23网络整体设计方案鄂州经贸学校校园网整体设计思想：校园网的主干采用星型的拓扑结构和先进成熟的千兆以太网技术来构建主干（并有升级到万兆网的能力），各个汇聚层交换机通过光纤千兆链路分别与核心交换机上联。校园网出口通过防火墙接入到isp，内网服务器群主要提供对内的教学及办公服务，外网服务器主要提供web服务及外网有需求的服务。基于上述设计思想，提出如下设计方案：1、基于网络分层设计：校园网络采用分层和模块化的网络设计方法，整个校园网的层次结构可以分为核心层、汇聚层、用户接入层共三个层次。网络中心到汇聚节点应用互联网技术，汇聚点到楼栋汇聚以及接入层之间都使用trunk+802.1q技术。其中核心层实现高效率的数据交换，汇聚层负责网络安全和qos服务质量策略的实现，而接入层则负责具体的用户接入以适应所要求的接入端口密度和接入方式。2、校园网络出口：作为教育单位，学校在未来可能会统一接入到教育网，为了保障校园网出口的可靠性及稳定性并实现流量的分类，校园网同时采用其它internet线路。校园网的出口的设计要求能够根据计费策略和访问速度优化出口流量的走向并在多出口上实现备份。网络出口结构如下图所示：3、核心主干网设计要求本次网络部分的建设采取星型的结构，校园网的主干采用星型的拓扑结构和先进成熟的千兆以太网技术来构建主干（并有升级到万兆网的能力），各个汇聚层交换机通过光纤千兆链路分别与核心交换机上联,确保性能及可靠性。同时考虑到网络的逐步建设及中长期发展的需要，对万兆、ipv6、无线接入、语音、视频会议、校园一卡通、视频监控等项目的发展提供无缝支持。校园网的主干网络是校园网应用正常运行的根本保证，应该采用先进成熟的网络技术和国际知名厂商的高质量的网络设备来构建，并利用设备冗余、链路冗余和stp、ecp的网络技术保证校园网骨干可以不间断地为教学、科研和办公服务。4、用户接入（包括教学、办公和学生宿舍）交换机的网络设计要求用户接入交换机都是l2交换机，学生宿舍楼层接入交换机除支持常用的协议外，还需要支持802.1x协议。支持10m/100m的用户接入。具体网络拓扑图如下：（修改）从图中可看出，在总体方案中采用了二层与三层的网络结构：教学、科研和办公区域为核心层、接入层的二层结构；学生宿舍区和教室等区域采用核心层、楼栋汇聚层和接入三层结构。5具体信息点分布接入楼宇所需光纤接入模式交换机安放位置所需交换机类型信息点数量网络中心网络中心机房核心教学楼6芯单模千兆机房区域汇聚160教师公寓6芯多模千兆机房楼栋汇聚50学生公寓12芯单模千兆机房楼栋汇聚480实训车间6芯多模10合计700第三章 系统详细设计3.1 校园网物理设计1核心层核心层骨干交换机采用rg-s6806ec交换机。rg-s6800系列是锐捷网络的全模块化、高密度端口万兆核心路由交换机。rg-s6800系列交换机高达512g/256g的背板带宽和286 mpps/143mpps的二/三层包转发速率可为用户提供高速无阻塞的交换；同时结合强大的交换路由功能、安全智能技术，可以为用户提供完整的端到端解决方案。2汇聚层汇聚层采用千兆三层交换机rg-s3760。rg-s3760系列交换机硬件支持ipv4/ipv6双协议栈多层线速交换和功能特性，为ipv6网络之间的通信提供了丰富的tunnel技术，并提供了丰富而完善的路由协议，以适合大型网络多种路由和多业务的需要。rg-s3760系列交换机在提供高性能、多业务的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障网络安全、网络合理化使用和运营。 rg-s3760系列为方便大型网络使用和不同管理员的管理习惯，提供了多种形式的管理工具如snmp、telnet、web和console口等。rg-s3760系列以高性能、高安全、多业务、易用性特性为大型网络汇聚和中型网络核心提供了ipv4/ipv6的多层交换、端到端的服务质量、灵活丰富的安全措施和基于策略的网管，最大化满足高速、安全、多业务的下一代企业网需求。3接入层接入层设备采用安全智能交换机star-s2126g或star-s2150g。star-s2126g /s2150g是两款全线速可堆叠的安全智能交换机，在提供智能的流分类、完善的服务质量（qos）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。star-s2126g/s2150g可通过snmp、telnet、web和console口等多种配置方式提供丰富的管理。s2126g/s2150g以极高的性价比为各类型网络提供完善的端到端的qos服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、安全、智能的网络新需求。4防火墙cisco asa 5520 系列在单一平台中提供了多种市场成熟技术的强大组合，提供成熟的安全和vpn 性能，支持ips、anti-x 以及ipsec 和ssl vpn 技术，提供了强大的应用安全、基于用户和应用的访问控制、蠕虫和病毒防御、恶意软件防御、防网络钓鱼和防垃圾邮件、url 阻拦和过滤，以及远程用户/ 地点连接, 支持高度可定制的安全策略及服务，有助于防御快速发展的威胁环境。5校园网出口在防火墙上进行内网ip地址的nat转换，使内网用户能访问互联网。同时，在防火墙上设置策略路由，负责根据校园网的计费策略和要求将出口流量分流到不同的isp出口上，以达到高速访问互联网的效果。3.2 校园网逻辑设计vlan是基于交换层（即数据链路层）划分的。为上层提供服务，但与上层的协议无关，vlan能制约数据帧在本vlan的一切活动，无需关心上层协议下传的分组类型，因此vlan在具体的应用上将具有优越的实用性。而更吸引人的特点是vlan的划分可以结合先进的网络管理平台来进行。各终端用户的变动，只需在网管工作站作相应的配置即可，使系统的可管理性、可维护性更好。我们亦可采用虚拟局域网技术将地理位置不同的、同属一个单位的几个局域网划分成一个虚拟网段，以便单位内部的数据共享和管理。vlan架构的目标是使联网更加容易，从而网络管理人员能够集中精力提供应用程序和服务。vlan架构帮助各机构大大降低了网络移动与变更的高昂费用。它还增强了对广播与组播通信的管理，提高了网络安全性，实现了网络管理中许多方面的自动化，并减少了局域网中对路由器的需要。最后，vlan架构使各机构能够在网络管理中实现极高程度的自动化。vlan架构全面应付解决了vlan实施的四个关键领域：vlan成员中如何定义的，vlan成员信息是如何在多台交换机上交流的，vlan配置的自动化程度如何，以及通信是如何在不同vlan之间传输的。1、定义vlan基本方法：通过交换端口组。2、实现vlan间通信的方式：采用虚网技术对鄂州经贸学校校园网络进行虚网划分后，可以达到以下目的：l 降低移动与变更的管理成本l 比路由器更具成本效益的广播控制l 支持多媒体应用程序与高效组播控制l 增强的安全性l 网络监督与管理的自动化l 减少路由需要l 更为有效的网络监控3.2.1虚拟局域网的规划与设计 vlan划分的方法1）按端口划分。将vlan交换机上的物理端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的vlan交换机。这种按网络端口来划分vlan网络成员的配置过程简单明了，因此，它是最常用的一种方式。其主要缺点在于不允许用户移动，一旦用户移动到一个新的位置，网络管理员必须配置新的vlan。（2）按mac地址划分。vlan工作基于工作站的mac地址，vlan交换机跟踪属于vlan mac的地址，从某种意义上说，这是一种基于用户的网络划分手段，因为mac在工作站的网卡（nic）上。这种方式的vlan允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属vlan的成员身份，但这种方式要求网络管理员将每个用户都一一划分在某个vlan中，在一个大规模的vlan中，这就有些困难。（3）按网络协议划分。vlan按网络层协议来划分，可分为ip、ipx、decnet、appletalk、banyan等vlan网络。这种按网络层协议来组成的vlan，可使广播域跨越多个vlan交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的，而且，用户可以在网络内部自由移动，但其vlan成员身份仍然保留不变。这种方式不足之处在于，可使广播域跨越多个vlan交换机，容易造成某些vlan站点数目较多，产生大量的广播包，使vlan交换机的效率降低。（4）按ipipx划分。基于ip子网的vlan，可按照ipv4和ipv6方式来划分vlan。其每个vlan都是和一段独立的ip网段相对应的，将ip的广播组和vlan的碰撞域一对一地结合起来。这种方式有利于在vlan交换机内部实现路由，也有利于将动态主机配置（dhcp）技术结合起来，而且，用户可以移动工作站而不需要重新配置网络地址，便于网络管理。其主要缺点在于效率要比第二层差，因为查看三层ip地址比查看mac地址所消耗的时间多。基于ipx的vlan，也是按照osi（开放系统互连）模型的第三层地址来设计的。（5）按策略划分。基于策略组成的vlan能实现多种分配方法，包括vlan交换机端口、mac地址、ip地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的vlan。（6）按用户定义、非用户授权划分。基于用户定义、非用户授权来划分vlan，是指为了适应特别的vlan网络，特别的网络用户的特别要求来定义和设计vlan，而且可以让非vlan群体用户访问vlan，但是需要提供用户密码，得到vlan管理的认证后才可以加入一个vlan。在学校的校园网网络中，校园的主干部分（及核心层与汇聚层之间）运行动态路由协议，每个汇聚层交换机作为第三层设备将会成为广播流量的边界，从而也中断了vlan跨过主干网络，可以说每个汇聚点都是一个vlan管理的域，不同的vlan 管理域之间的vlan从命名上或vlan id号的分配上都没有任何关系。而在每个vtp域中，vlan1专门用于交换机之间控制面板流量的传输，而不承载用户数据，也不作为管理vlan，并在trunk上清除了vlan1的用户流量以减小vlan1生成树的直径。vlan 2为各个vtp域的管理vlan，专用于校园网所有交换机的telnet和snmp远程管理。vlan的划分有许多的方法，考虑到终端用户位置的相对固定性，全网vlan的划分的方法采用按网络端口来划分vlan的方法，这样的方法使得配置过程简单明了，而且这也是最常用的一种方式。考虑到vlan之间的数据通讯，本网络上vlan的划分还必须结合ip子网的划分，即一个vlan同时就是一个ip子网的网段。vlan的划分从理论上来说是可以跨地域范围的，但还是建议基于一定的地理位置来划分vlan，这不仅可以把广播限制在一定的区域，而且为vlan到网络中心的访问提供了确定的访问路径，便于troubleshooting，也为交换机式网络升级到路由网络提供了便利。 pvlan技术当接入用户比较多时而又要保证相互之间的安全，一般所采用的方法就是采用vlan进行共同工作组的划分。可以将每个以太网接入的客户放置于独立的vlan中，这样客户彼此之间是完全从l2层隔离的。但当接入的用户数量多时，如果为每一个需要隔离的用户都分配一个vlan，则网络设备所能够支持的最大vlan（通常为256 4096个）的数量就会不够用，同时ip地址网段的需求量也会非常大，因此，传统的做法实现很困难甚至不能使用。因此针对该问题，提出了private vlan技术，正好可以解决这些问题。 private vlan能够提供端口之间的第二层的隔绝，同时又使这些端口具有标准vlan的特性。private vlan可以把一个大的ip地址域划分成多个地址组，各个地址组之间不能互访，既实现了安全隔离又省却了地址划分及重规划的复杂，节约了ip地址。 在private vlan的概念中，交换机端口有三种类型：promiscuous port（混杂端口），isolated port（隔离端口），community port（共有端口）；它们分别对应不同的vlan类型：isolated port属于secondary vlan，community port属于additional secondary vlan，而代表一个private vlan整体的是primary vlan，前面两类vlan需要和它绑定在一起，同时它还包括promiscuous port。在secondary vlan中，isolated port只能和promiscuous port通讯，彼此不能交换流量；在additional secondary vlan中，community port不仅可以和promiscuous port通信，而且彼此也可以交换流量。建设网络的目的是为了应用。无论网络硬件平台多么先进，没有与之配套的先进应用系统，网络的价值就无法得到真正的体现。 vlan的规划楼宇部门pc接口数量ip规划vlan_num网关教学楼一楼机房10010.1.1.x/100vlan54教学楼办公室6010.2.1.x/60vlan354学生宿舍1号东区24010.3.1.x/240vlan454学生宿舍1号西区24010.4.1.x/240vlan554教师公寓东区2510.5.1.x/25vlan654教师公寓西区2510.6.1.x/25vlan754实训车间二楼机房1010.7.1.x/10vlan8543.2.2地址规划与路由设计地址规划方案ip地址规划是要解决有效利用地址空间、有利于路由设计、解决公网地址严重不足等问题。首先是校园网骨干设备的地址，由于校园网地址空间实在紧张，所有设备的管理地址可以采用私网地址。校园网内地址规划的一种方式是将所有私有地址限制在各校园一定的区域内，无论私有地址用户访问的目的地是校园网外网络还是校园网内网络，其均要进行地址转换。在校园网内骨干网上将不存在私有ip子网的路由，各片区的私有地址可自行定义使用。其缺点是校园网内私有地址间互访的流量均经地址转换，性能受到影响，nat设备的压力较大。另一种方式是，无论采用公用还是私有ip地址的用户，可直接进行校园网内互访不需进行地址转换，各边界三层交换机有相应的路由信息，校园网的保留地址进行统一的规划，其路由信息可在全网络内传播。对于访问校园网外的用户，需区分其使用的是私有还是公有ip地址，对于公有ip地址用户也无需进行地址转换，使用私有ip地址用户为访问校园网外的网络时必须进行nat转换。在校园网出口处应采用源路由方式(策略路由)将流量导向nat设备。建议采用具有硬件处理能力的线速nat设备。校园网络中地址分配最主要的因素是公网地址空间的缺口：我们都知道ip网分配了公用ip地址。用户人数在不断增长，将远远超过可用地址数，这将成为一个非常严重的问题。由于大部分的个人用户不需要固定的ip地址，因此对个人用户采用动态的ip地址分配可以节省到的地址资源。而采用nat/pat的方式，可以将网络公用地址的需要节省到几十分之一甚至更多的程度。但后一种方式的主要问题是nat/pat转换的性能问题，第二个问题是可能会影响某些应用。而实际上，地址缺口的大小不仅取决于可用空间和用户数，并且与采用的用户安全技术和产品有关。如果采用以太网和per user pervlan的方式，地址消耗太大，使用私网地址+nat是合理的选择。第二个因素是采用的产品的特性。由于目前单台设备的nat/pat的性能不理想，解决的方法是由边缘层交换机分担完成该功能。第三个因素是是否考虑nat/pat对应用的影响。可能某个用户需要采用某种应用而该应用不能穿过nat/pat设备，如某些多媒体应用和vpn应用。第四个因素是是否考虑可能的政策调整。综合以上多种考虑，对于采用ip网作为校园网主要载体的学校，我们建议：对校园内学生宿舍或教工住宅用户采用地址静态分配、以私网地址为主。配置会聚层交换机，对于目标ip地址不是本校园网内部的会话流则采用nat/pat的方式，反之则不进行nat/pat。多internet出口的策略路由及设计鄂州经贸学校具有两个校园网广域出口，为充分利用这些网络资源，在路由策略上可以进行灵活地选择。例如，对于cernet所规定的freeip范围，可选择通过cernet出口。而非freeip范围的流量需要另外交纳流量费用，并且带宽受到影响，可以选择通过电信公众网出口。此外，还可根据应用的类型进行出口路由选择。在高性能的互联网络中，各个公司/组织机构都希望网络具有一定的灵活性，以便可以根据自己定义的、在传统路由选择协议考虑之外的策略来实施数据包的转发和路由。通过使用基于策略的路由可以实施有选择地让数据包采用不同的路径的策略。基于策略的路由被应用于进入的数据包，启用了基于策略的路由的接口所接收的所有数据包都被考虑执行基于策略的路由。路由器用路由映象过滤数据包，根据路由映象中所定义的规则，数据包被转发到适当的下一跳。路由器通常根据其路由表中的信息将数据包转发到目的地址，与根据目的地址进行的路由不同，基于策略的路由使网络管理员能够决定和实施路由策略3.3 网络安全设计3.3.1网络安全的需求（1）有效的访问控制通过特定的网段及服务建立访问控制体系，实现如下目标：允许网上用户访问时，正确、迅速可达；不允许时，用户根本查找不到网络目标，从而有效地阻止其访问或攻击。（2）集中安全漏洞检查和攻击监控通过特定网段及服务建立的多种监控体系，应可实时检测出绝大多数攻击并采取相应的措施(如断开连接、记录攻击过程及跟踪攻击等)，并能周期性地检查安全漏洞，做到及时发现，及时防范。（3）多层防御和完善的认证体系建立一个良好的认证体系，可防止非法用户的攻击。应采用防火墙、服务器入侵检测软件、服务器进程监控软件等，使服务器遭到攻击或遇到故障之初就通过e-mail、电话、手机等方式在第一时间通知系统管理员。（4）数据备份和恢复应设计良好的备份和恢复机制，一旦数据被破坏可及时得到恢复，避免系统遭到攻击后全网瘫痪。3.3.2 网络安全设计方法用户的地址更改/欺骗在以太网接入中也比较突出，尤其在用户内部，普通用户冒用特权用户的ip地址上网。另一种情况是，一个用户申请了一个端口访问internet，但他却为许多其它用户提供接入，进行第2级带宽批发或从事其它经营活动。这是必须有办法控制此类事件的发生。需要指出的是，如果用户使用代理上网，此时无法通过普通手法进行限制，因为网络管理根本无法发觉，要解决这个问题，必须通过限制访问速率进行，所以接入交换机支持速率限制在这种场合显得和重要。1端口与mac地址的绑定交换机的端口连接到用户的网卡，每一个网卡都有一个全球唯一的48位mac地址，任何用户申请开通上网业务时登记mac地址，网络管理员注入系统数据库，并起用端口的安全特性。所选交换机支持端口的安全特性，每个端口可静态设置多个mac地址，如果有非法mac地址入侵，交换机 会通过trap告警网络管理员。这种方式安全性高，但管理复杂。2限定端口的同时连接mac数此种方法不须要做mac地址和端口的静态绑定，只限制每端口同时连接的mac地址数量。如假定设定每端口同时连接的mac地址上限为2，则用户最多有两台电脑，如果超过两台，交换机可以自动关闭此端口或向系统管理员trap告警。对合法用户的正常使用，我们建议采用以下技术：3流量限制技术通过对用户接入端口进行速率限制，保证用户不可以超越某个速率上限，一旦发觉某一端口流量异常，则可以认为有太多突发流量通过此端口进入业务网络，由可能在进行黑客活动，也有可能在利用此端口进行带宽批发活动或其他经营活动，网络管理人员可以马上关闭此端口，并通知客户。 端口级速率限制比通过ip地址限速的好处是简单，不需要识别每个用户的ip地址，然后设定大量的针对每个ip地址的速率控制内容。当然，缺点是一个用户必须占用一个物理端口。而根据ip地址的限速就可以允许用户复用一个物理端口。4pvlan技术现在有了一种新的vlan机制，服务器同在一个子网中，但服务器只能与自己的缺省网关通信。这一新的vlan特性就是专用vlan(private vlan， pvlan)。专用vlan是第2层的机制，在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(private port)，一个专用端口限定在第2层，它只能发送流量到混杂端口，也只能检测从混杂端口来的流量。混杂端口(promioscuous port)没有专用端口的限定，它与路由器或第3层交换机接口相连。简单地说，在一个专用vlan内，专用端口收到的流量只能发往混杂端口，混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。下图示出了同一专用vlan中两类端口的关系：专用vlan 的应用对于保证城域接入网络的数据通讯的安全性是非常有效的用户只需与自己的缺省网关连接，一个专用vlan不需要多个vlan 和ip子 网就提供了具备第二层数据通讯安全性的连接，所有的用户都接入专用 vlan，从而实现了所有用户与缺省网关的连接，而与专用vlan内的其他用户没有任何访问。pvlan功能可以保证同一个vlan中的各个端口相互之间不能通讯，但可以穿过trunk端口。这样即使同一vlan中的用户，相互之间也不会受到广播的影响。3.3.3 防火墙部署方案根据学校的具体情况，选用一台cisco的企业级防火墙：cisco asa 5520。该产品具有4个千兆光纤端口，1个百兆端口。一个千兆光纤端口接对外提供服务的dmz区，该区是对外的服务区，提供www、dns、email、ftp、bbs等服务；一个千兆光纤端口接内部局域网，叫内网区端口；一个千兆以太网口和一个百兆网口，用于连接互联网。此处可根据需要，在防火墙上设置如下安全策略： 解决内外网络边界安全，防止外部攻击，保护内部网络（禁止外部网络访问内部网络）； 根据ip地址、协议类型、端口等进行数据包过滤； 内外网络采用两套ip地址，实现双向地址转换功能； 支持安全服务器网络（dmz区），允许内外网络访问dmz区，但禁止dmz区访问内部网络； 通过ip与mac地址绑定防止ip盗用，避免乱用网络资源； 防止ip欺骗； 防ddos攻击； 开启黑白名单功能，实现url过滤，过滤不健康网站； 提供应用代理服务，隔离内外网络； 具有自身保护能力，可防范对防火墙的常见攻击； 启动入侵检测及告警功能； 学生访问不良信息网站后的日志记录，做到有据可查； 多种应用协议的支持。第四章 应用系统的规划与设计4.1 信息标准系统建设1建设目标信息标准的建设是校园信息化建设的重要内容。有了统一的信息标准，学校在数据建模、信息采集、加工处理、数据交换的过程中有统一的规范，最大限度地实现信息优化管理和资源共享，帮助使用者方便、快捷、规范地建立应用系统的数据结构，满足信息化建设需求。建设统一的信息标准不仅需要完整的设计思想，也需要具备完善管理能力的工具作支撑，为高校信息标准的建设提供管理保障。信息标准管理系统即用以帮助高校轻松实现对标准的制定、维护、理解、分享、集成，使得信息标准具备一定的可管理性。在信息标准的建设过程中，我们应该考虑以下三个方面的标准：l 国家标准这是指由国家相关部门颁布的标准，如教育管理信息化标准，它对信息化标准建设起宏观指导作用，信息标准的建设将以此为基本依据。l 学校标准这是指各学校在以往工作中，根据实际工作需要规范学校信息编码而设立的信息标准，它对统一信息标准建设起辅助和补充作用。l 自定义标准这是指在日常工作中通过积累和总结，将会形成一些在工作中具有普遍适用性的信息，将这些信息进行整理和汇总，并通过一定的方式加入信息标准，也可以成为信息标准的一部分。2功能规划信息标准管理系统功能主要覆盖到参照标准、执行标准的管理、代码标准映射、数据模式的浏览和维护等。提供提供可视化的工具，对标准的各类信息进行图表化展示。l 数据标准管理对学校数据标准的模式和样例数据进行展示；对数据模式进行初始化和日常维护。l 代码标准集管理参照代码标准包括国家标准、行业标准、教育部标准、建议学校标准等；通过初始化脚本的形式将参照标准模式和数据导入到参照标准集的数据库中。由参照标准引入执行标准，并由学校自行维护；提供对执行标准集模式和数据的浏览、维护功能，以及与参照标准的对比。建立映射关系来描述原标准和新标准之间的关联关系，并提供给数据集成平台所使用，以便数据集成平台能够快速实现标准代码的数据交换。l 初始化管理提供参照标准数据的初始化，代码标准模式、数据标准模式的初始化，自动创建表结构。3信息编码信息编码是将事物或概念（编码对象）赋予有一定规律性的，易于计算机和人识别与处理的一个或一组有序的符号，其目的是设定编码对象的唯一标识，以提高信息处理的效率，便于信息的交流，实现信息资源的共享，促进信息的利用。它适用于现代化信息管理、对外信息服务与信息交流等各个方面。l 信息编码工作调研：学校应该成立信息编码工作小组，并对相关人员进行培训；根据学校信息编码的范围，对全校的信息按照人、财、物、资金、工作和活动等进行数据集的分类，形成信息分类图表；由此，对学校所有涉及到信息编码的部门通过文档、表格等形式进行信息编码调研。l 信息编码的分析：对收集到的信息进行分类，有国标、行标（省市标准）的参照省市标准；对不符合学校的标准及其自己的信息进行归纳分析，编制信息编码规范标准及系统调用的信息编码对照表；对不同的信息编码进行数据处理的解决方案。l 信息编码的实施：将信息编码的规范及其信息编码处理的方法提交学校信息化部门审批，并在学校贯彻执行。l 信息编码的基本原则唯一性：虽然一个编码对象可有很多不同名称，也可按各种不同方式对其进行描述；但是，在一个分类编码标准中，每一编码对象仅有一个赋予它的代码，一个代码只唯一表示一个编码对象。 可扩性：代码结构必须能适应同类编码对象不断增加的需要，必须为新的编码对象留有足够的备用码，以适应不断扩充的需要。 简单性：代码结构应尽量简单，长度尽量短，以便节省机器存储空间和减少代码的差错率；同时，提高机器处理的效率。 规范性：在一个信息编码标准中，代码的结构、类型以及编写格式必须统一。 适用性：代码要尽可能的反映分类对象的特点，便于记忆，便于填写。 合理性：代码结构要与分类体系相适应。4代码标准代码标准原则：国家标准、教育部标准、相关行业标准、学校自定义标准的。为了保证系统的兼容性，代码必须有良好的风格和统一的代码标准。所有系统在代码标准的使用上，遵循以下原则：l 如果有国家标准代码，遵循国家标准代码。l 如果国家标准代码不能覆盖，遵循教育部相关标准l 如果教育部标准不能覆盖或规定不详，则遵循相关行业标准代码。l 如果相关行业标准代码不能覆盖，则遵循学校制定的代码标准。l 学校制定的标准中仍没有包含的，遵循约定俗成的规定。l 没有约定俗成的规定代码，按相应要求，设计满足需要并保留扩充接口的代码。4.2 数据中心平台目前学校各应用系统存在信息孤岛现象，本期建设的数据中心平台是指在校园内搭建一个面向应用、安全可靠、操作便捷、技术先进、规范统一、灵活可扩展的数据库平台，通过数据交换工具，进行数据过滤、清洗和双向传递，实现各业务系统、共享数据服务平台相互之间的数据交换和共享，为学校教学科研提供交流的服务平台，为学校的管理提供有效的管理平台，满足校内各类人员的查询要求。统一数据中心的建设是我校数字化校园建设的核心、重点，依托于这个统一的数据平台，对校内海量的教学资源、管理信息、信息资源等进行共享、整合，并基于学校范围内的全局数据共享、进行全校整体业务理念的规划、设计全校的信息应用；以统一数据资源为核心，通过统一身份认证及授权，开放的体系结构，将各应用系统中用户权限范围内的功能，以统一门户的方式集中提供个性化用户体验。在统一规划的前提下满足统一数据标准的应用需求，实现了应用集中、信息共享，彻底消除信息孤岛，提高学校信息化整体应用水平，真正发挥信息技术对学校竞争力的巨大提升作用。这也是未来建设中需要重点关注的内容。通过建设统一数据中心，可以实现校内数据共享、工作协作和全局服务。基于统一的数据中心，可以随时提供学生从入校到毕业离校的全面信息，在教学管理过程中，相关业务可以随时获得学生成绩、交费、奖惩、德育等各方面的实时准确的数据，大大提供管理部门的工作效率。同时，也便于各级领导随时了解教学情况，并基于数据中心对学校的核心数据进行分析、展现，掌握学校学科分布、资源投入比重、教学质量监控等方面的重要信息，为学校各级管理和宏观决策提供依据。统一的数据中心实现数据的集成性服务，可以随时提供教师相关的所有人事、科研、工资、经费、住房等全面信息，相关部门可以实时获得准确信息，提高工作效率，为广大教职工提供更为快捷、全面的服务。1建设目标l 建立一个全校统一标准的数据中心信息标准在信息化建设中是至关重要的。无论是业务系统还是数据中心平台的上层应用，在业务活动、数据上报、数据统计分析的过程中都需要统一的信息标准来支撑。信息标准在全校范围内为数据库设计提供了类似数据字典的作用，为信息交换、数据共享提供了基础性条件。信息标准的建设要充分考虑国家标准、教育部标准、教育信息化协会标准等标准的前提下，结合已建业务系统的信息标准特点逐步形成具有学校特点的信息标准体系。l 建成一个集成校内各权威数据的数据中心将分散在各部门业务系统的数据集中到数据中心平台统一存放，以师、生角色为主线，提供跨部门的人事、教学、科研、公共资产、财务、信息服务等综合数据从而为教职工、学生提供全方位的信息服务，并实现“谁产生、谁维护、谁负责”的权威数据源。同时数据中心平台可以成为后续开发各种应用系系统提供通用的数据库平台。通过数据中心平台的权威数据为数据综合查询、统计、分析、决策等应用提供权威数据支持。l 建成一个为校内应用提供数据交换和共享服务的数据中心数据中心平台平台为将各业务系统提供数据交换的支撑，并按各业务系统的数据需求将数据集成中心库的数据分发到各业务系统，从而实现数据的统一集成和标准化，为各业务管理系统之间的数据统一、避免数据不一致奠定数据基础。为各个业务系统提供便捷的数据访问服务。l 建成一个为领导提供决策支持数据的数据中心数据中心平台建立面对学校领导提供辅助决策支持服务，实现相关业务数据的多维分析、汇总，为校决策者可以清晰、直观地看到分析结果，提供综合信息查询、决策分析和预警预测功能。2.建设原则l 保证全校信息编码的统一和一致代码使用原则：1）如果有国家标准代码，遵循国家标准代码。2）没有国家标准代码，遵循教育行业标准代码。3）没有行业标准代码，遵循学校制定的代码标准。4）学校制定的标准中仍没有包含的，遵循约定俗成的规定。5）没有约定俗成的规定代码，按相应要求，设计满足需要并保留扩充接口的代码。l 保证任何两个异构业务系统之间的数据共享1）改变人和人的依赖，通过统一数据库平台，实现校园共享信息的实施共享。2）消除各系统之间的相互依赖.通过统一数据库平台,使系统间的共享数据的使用不再是各业务子系统间的调用，避免各业务系统之间的数据相互依赖。3）对数据项及其属性的定义尽可能兼容不同业务系统的数据定义。数据交换时，对无法兼容的数据，提供映射和转换机制，保证数据的共享。l 保证任何两个业务系统之间没有冗余业务数据在设计中，对有业务关系和数据关联的业务系统，统一设计业务模块的数据库，不对业务系统做人为的切割，尽量保证业务系统之间没有冗余业务数据，从而简化数据一致性的实现。对于性能优化、稳定性设计必须冗余的数据，提供数据同步机制。l 保证遵循“谁产生、谁维护”的原则，所有的数据都有特定的产生者和维护者在技术上，由授权体系控制数据维护的权限，使无权限的人员不能对数据进行生产和维护；同时，在管理上，通过制定相应的应用规范迫使数据生产者/维护者及时更新自己负责的数据，保证系统中数据的准确性和可跟踪性。系统提供安全审计功能，保证对业务操作的严格监督。l 保证任何业务系统的添加和修改不影响其它业务系统的正常运行正确地抽象、定义业务系统的数据模型，不通过直接的数据库访问来实现不同业务之间数据共享，而是调用应用组件定义的服务接口，从而，当某些提供服务的业务系统发生变化时，不会影响到使用服务的其他业务系统的正确运行。利用应用服务器的热部署可以做到增减功能模块时，不影响其他业务