网络系统集成项目规划设计建议书

1、网络系统集成校园网项目规划设计建议书目 录第一章 网络总体设计11.1 我院校园网络建设的基础11.2 项目建设目标与内容11.2.1 项目建设目标11.2.2 项目建设内容2第二章 路由设计42.1 路由协议选择42.2 路由规划拓扑图42.3 IP地址规划4第三章 网络安全解决方案73.1 网络边界安全威胁分析73.2 网络内部安全威胁分析73.3 安全产品选型原则83.4 网络常用技术介绍8第四章 设备选型及产品简介104.1 网络设备概况104.2 设备选用114.3产品选型介绍12第一章 网络总体设计1.1 我院校园网络建设的基础 福建工程学院软件学院创办于2004年，是经福建省教育

2、厅批准、是福建工程学院的二级学院。 软件学院办学地点在福建工程学院铜盘校区，该校区位于风景秀丽、空气清新的国家级软件开发基地福州软件园内，距福建工程学院本部车程约8公里左右。学院占地面积4.3355万平方米，校舍总面积6.433万平方米，仪器设备总值2000万元。校区建有教学楼、行政办公楼、图书馆、学生活动中心、学生公寓、学生食堂、体育场。拥有先进的多功能教室，完备的多媒体语音及网络实验室等。学院馆藏图书42.5万册（含电子图书25万册）。学生公寓均安装有空调并配备了独立卫生间、洗漱间、阳台、电话、无线和有线网络，生活设施配套齐全。园内有专门公交线路，交通非常便利。现有全日制在校生3820人，

3、其中本科生732人。出于教学、科研、信息共享和办公的需要，学院于2004年就已经建设校园内部局域网系统。随着用户不断的增加和网络需求的提升，原有的校园网无论是规模、性能或功能都已经无法满足当今现代化教学和办公的需要了。因此必须重新设计一个新的校园网络系统。新的校园网建设不仅要考虑技术的成熟度，更须考虑网络的业务承载能力和扩展性，从而满足日益增加的网络需求。1.2 项目建设目标与内容1.2.1 项目建设目标 该项目建设实施后，完成教学大楼的网络信息点建设、楼内光纤工程、办公自动化系统及其配套工程、楼内有线电视系统、智能查询系统和监控系统等。以促进学院教学、科研、办公、管理的网络应用，提高工作效率

4、和办学能力与办学水平。1.2.2 项目建设内容1.2.2.1 网络总体拓扑图1.11.2.2.2 网络层次化设计对网络进行层次化设计，既保证了网络的安全，方便人们更好的地去管理网络，也使得对网络故障查找和排除的工作变得非常简单。多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。多层网络有很大的确定性，多层网络系统设计最有效利用多种第三层业务，包括分段，负载分担和故障恢复等。在分层网络中运用智能第三层业务可以大大减少因配置不当或故障设备引起的一般问题。针对实际情况我们可以采用三层结构模型。三层结构模型划分为三个层次，即核心层，分布层，接入层。每个层次完成不同的功能。如下图1.2。核

5、心层：核心层作为整个网络的系统的核心，其主要功能是高速，可靠的进行数据交换。分布层：分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表，vlan路由等等。接入层：接入层主要提供最终用户接入网络的途径。主要是进行vlan的划分与分布层的连接等等。图1.2第二章 路由设计2.1 路由协议选择 内部使用OSPF协议，用静态默认路由发布给边界路由器通过NAT转换与外网进行通信。 2.2 路由规划拓扑图图2.12.3 IP地址规划IP地址的规划在网络设计中的作用举足轻重，直接影响整个网络运行的效果，IP地址的设计的总原则是简单，易管理，易扩展。IP地址是TCP/IP协议族中的

6、网络层逻辑地址，它被用来唯一地标识网络中的一个节点，IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。如下表2.1，我们根据以下几个原则来分配IP地址：唯一性：一个IP网络中不能有两个主机采用相同的IP地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构中易于进行路由总结，大大缩减路由表，提高路由算法的效率。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。灵活性：地址分配应具有灵活性，可

7、借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。福建工程学院软件学院校园网IP地址划分及VLAN分布IP网段网关VLAN IDVLAN 说明10.10.0.0/2410.10.0.160综合楼40110.10.1.0/2410.10.1.160综合楼40310.10.2.0/2410.10.2.160综合楼40510.10.3.0/2410.10.3.160综合楼40710.10.4.0/2410.10.4.160综合楼各个教师机10.10.5.0/2410.10.5.160教务部10.10.6.0/2410.10.6.160后勤部10.10.7.0/2410.10.7.1

8、60学工部10.10.8.0/2410.10.8.160辅导员办公室10.10.9.0/2410.10.9.160教师办公室10.10.10.0/2410.10.10.126财务部10.10.11.0/2410.10.11.140图书馆10.10.12.0/2410.10.12.160院长办公室10.10.13.0/2410.10.13.130宿舍楼31层南10.10.14.0/2410.10.14.130宿舍楼31层北10.10.15.0/2410.10.15.130宿舍楼32层南10.10.16.0/2410.10.16.130宿舍楼32层北10.10.17.0/2410.10.17.13

9、0宿舍楼33层南10.10.18.0/2410.10.18.130宿舍楼33层北10.10.19.0/2410.10.19.130宿舍楼34层南10.10.20.0/2410.10.20.130宿舍楼34层北10.10.21.0/2410.10.21.130宿舍楼35层南10.10.22.0/2410.10.22.130宿舍楼35层北10.10.23.0/2410.10.23.130宿舍楼36层南10.10.24.0/2410.10.24.130宿舍楼36层北10.10.13.0/2410.10.13.120宿舍楼21层南10.10.14.0/2410.10.14.120宿舍楼21层北10.1

10、0.15.0/2410.10.15.120宿舍楼22层南10.10.16.0/2410.10.16.120宿舍楼22层北10.10.17.0/2410.10.17.120宿舍楼23层南10.10.18.0/2410.10.18.120宿舍楼23层北10.10.19.0/2410.10.19.120宿舍楼24层南10.10.20.0/2410.10.20.120宿舍楼24层北10.10.21.0/2410.10.21.120宿舍楼25层南10.10.22.0/2410.10.22.120宿舍楼25层北10.10.23.0/2410.10.23.120宿舍楼26层南10.10.24.0/2410.

11、10.24.110宿舍楼26层北10.10.25.0/2410.10.25.110宿舍楼12层南10.10.26.0/2410.10.26.110宿舍楼12层北10.10.27.0/2410.10.27.110宿舍楼13层南10.10.28.0/2410.10.28.110宿舍楼13层北10.10.29.0/2410.10.29.110宿舍楼14层南10.10.30.0/2410.10.30.110宿舍楼14层北10.10.31.0/2410.10.31.110宿舍楼15层南10.10.32.0/2410.10.32.110宿舍楼15层北10.10.33.0/2410.10.33.110宿舍楼

12、16层南10.10.34.0/2410.10.34.110宿舍楼16层北表2.1第三章 网络安全解决方案 3.1 网络边界安全威胁分析网络的边界隔离者不同功能或地域的多个网络区域，由于职责和功能不同，相连网络的密级也不同。这样的网络直接相连，必然存在着安全风险，我们对ambow总部网络边界问题做脆弱性和风险的分析。Ambow总部网络主要=存在的边界安全风险包括：Ambow总部网络与各级单位的连接，可能遭到来自各地的越权访问，恶意攻击和计算机病毒的入侵：例如一个不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪。内部的各个功能网络通过骨干交换相

13、互连接，这样的话，重要的部门或者专网遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击，误操作等等，但是它们的后果都将导致重要信息的泄露或者是网络的瘫痪。3.2 网络内部安全威胁分析Ambow总部网络的风险分析主要针对ambow的整个内网的安全风险，主要表现为以下几个方面：内部用户的非授权访问：ambow内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄露。内部用户的误操作:由于内部用户的计算机造成的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。

14、内部用户的恶意攻击：就网络安全来说，据统计约有70%左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。设备的自身安全性也会直接关系到ambow网络系统和各种网络应用的正常运行。例如：路由设备存在路由信息泄露，交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的丢失，都将会造成ambow公司内部的业务无法正常运行。安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。3.3 安全产品

15、选型原则Ambow网络属于一个行业的专用网络，因此在安全产品的选型上，必须慎重，选型的原则包括：安全保密产品的接入应不明显影响系统运行效率，并且满足工作要求，不影响正常的业务。安全保密产品必须满足上面提出的安全需求，保证整个ambow网络的安全性。安全保密产品必须通过国家主管部门指定的测评机构的检测。安全保密产品必须具备自我保护能力。安全保密产品必须符合国家和国际上的相关标准。安全产品必须操作简单易用，便于简单部署和集中管理。3.4 网络常用技术介绍Vlan技术（Virtual local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而

16、实现虚拟工作组的新兴技术。IEEE于1999年颁布了用标准化Vlan实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理地LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包括一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播域个单播流量都不会转发到其他VLAN中，从而有助于控制流量，减少设备投资，简化网络管理，提高网络的安全性。Trunk 技术一般的交换机端口只能属于

17、一个VLAN，对于对个VLAN需要跨过多台交换机，就需要用到Trunk技术。Trunk是指交换机之间或交换机与路由器之间VLAN之间的连接，VLAN信息通过Trunk在交换机之间或路由器之间传递，从而可以将VLAN跨越整个网络，而不仅仅是局限在一台交换机上。Cisco支持802.1Q，ISL技术得到了Inrel等厂商的大力支持，Tag Switching被3Com及Lucent Ca jun支持。对于CISCO交换机的Trunk端口，既可以指定它的封装协议为802.1Q或TSL，也可以通过DTP协议自动协商。DTP协议主要用于处理Trunk端口的802.1Q和ISL封装协议的自动协商，对于不同

18、厂家的交换机互连时很有帮助。对Trunk的定义只能在快速以太网端口和千兆以太端口上进行，它既可以是单个的快速以太端口或千兆以太网端口，也可以是快速以太网通道（FEC）或千兆以太网通道（GEC）。虽然我们采用的是思科交换机，但是最为一个标准，开放。先进的网络系统，我们推荐的是用IEEE802.1Q标准协议。Spanning-Tree 协议在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的链接，这样就会引入环路。为了解决这个矛盾，推出了STP协议。STP算发会将网络网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络中任何时候都

19、不会出现环路。如果网络的连接状况发生了变化，STP算法会造成网络的暂时的不稳定状态，该转换时间在30秒之内，亦即在30秒之内会重新恢复到稳定状态。STP对于终端是透明的，终端感觉不到STP的操作过程。在交换机上可以通过修改端口的优先级来改变连接的优先权，使得STP算法将高优先权的连接作为活动的连接。Cisco交换机的一个非常有用的特征就是可以对每个VLAN设置Spanning-tree，而不是对整个网络只能属于一个Spanning-tree。这个特征是很多厂商的设备所不具有的。在交换机上对端口的优先权的设置可以基于VLAN进行，每个端口对于不同的VLAN设置不同的优先权。对于指定的VLAN，具

20、有该VLAN最高优先权的端口转发该VLAN的信息，其它VLAN的信息阻塞。通过这种方法，在具有冗余连接的交换机端口上分别针对不同的VLAN设置不同的优先权，既可以实现链路的冗余，又可以实现负载的均衡。Cisco交换机端口支持每VLAN的生成树协议，每个端口都可设置基于VLAN的cost或priority参数，从而实现在多条路径上的负载均衡能力。目前多数厂商都支持STP协议，但是不允许多个STP域。采用多个STP域显然可以获得比单个域高的网络可靠性。第四章 设备选型及产品简介4.1 网络设备概况网络共有四大部分，分别是财务部和图书馆，教学楼，公寓楼、信息管理中心。分为三层架构：核心层、汇聚层、接

21、入层。根据网络分步的重要作用配置设备如下表4.1：设备名称设备类型设备数量核心层设备DCRS-5650-28C 1台汇聚层设备DCS-3950-28C1台接入层设备2960-24TT11台无线设备ER-100-3G1台服务器设备SERVER-PT2台路由器DCR-26261台IP电话CP-39516部表4.1路由模块：模式分类和作用：单模单模光纤的尺寸为9-10/125microm，并且较之多模光纤具有无限量带宽和更低损耗的特性。而单模光端机多用于长距离传输，有时可达到150至200公里。采用LD或光谱线较窄的LED作为光源。拉环或者体外颜色为蓝色、黄色或者紫色。模块的选用和放置：SPACEC

22、OM SFP-FE-LX-SM1550-80光模块: SFP封装, 百兆155M, 单模 (1550nm)接口类型: LC传输距离:80km价格:RMB 8504.2 设备选用序号设备及工具规格说明数量备注1路由器DCR-2626（模块化路由器，2个10/100/1000M 广域网电口，1个高速同/异步串口， 1个网络模块插槽，1个配置口，1个备份口。）1台2路由器线缆CR-V35MT-V35FC。若干3二层交换机2960-24TT（10Mbps/100Mbps/1000Mbps，端口数量 24，10/100Base-T、10/100/1000Base-Tx，全双工/半双工自适应，带宽16Gb

23、ps，VLAN支持，模块化插槽数 2）114二层交换机DCS-3950-28C（可堆叠智能安全交换机，24口10/100Base-TX，固化4个千兆/百兆Combo(SFP/GT)接口）1台5三层交换机DCRS-5650-28C（可堆叠智能安全路由交换机，24口10/100Base-TX，固化4个千兆Combo(SFP/GT)接口）。1台6IP电话CP-3951（1个电源接口、适配器、连接网络通信）6部7服务器WEB服务器、主服务器（DHCP服务器、DNS服务器等）2台8耗材、工具网络串口线、排插、楼宇对话机、移动硬盘、工具箱等若干表4.24.3产品选型介绍序号产品描述数量报价1DCRS-5650-28规格：企业级,三层,可网管型交换机,可堆叠智能安全路由交换机带宽：10M/100M/1000Mbps接口类型：10/100BASE-TX端口，10/100/1000BASE-T端口，1000Base-X SFP端口，千兆SFP Combo口。双工支持：支持全双工1255602DCS-3950-28CT-POE产品类型：运营级接入交换机传输速率：10/100Mbps端口数量