xx校园网规划与设计

1、*实践教学*兰州理工大学计算机与通信学院计算机网络 课程设计题 目： 白银一中校园网规划与设计专业班级： 姓 名： 学 号： 指导教师： 成 绩： I摘 要 本次校园网络建设，充分考虑了白银一中的实际情况和现状,尽可能从实用性和经济性等方面进行规划。依据现代教学需求提出了网络建设的基本要求，并对校园网的建设进行了详细的规划与设计。校园网的建设主要是局域网建设，利用当前先进的计算机网络技术将教学楼、办公室、实验楼、宿舍等通过网络连接起来，并与INTRENET相连，实现教学资源、信息资源、硬件资源和软件资源的共享，实施网上智能办公系统，充分体现计算机网络技术所带来的先进、高效、快捷的特性。在网络建

2、设中，根据校园网的使用需求分析，重点进行了主干网络设计、综合布线、产品选择及性能分析等的规划，然后对整个方案进行网络测试及协议数据包分析。建成以后的校园网，将为老师、学生提供可靠的、高速的和可管理的网络环境，从而为学校的教学和管理工作提供广泛的数据资源共享、丰富便捷的网络应用。 关键词：网络拓扑图；IP划分；主干网；网络管理；服务器；安全性前 言计算机科学技术与通信技术相结合的计算机网络技术的发展现在是日新月异，从各个方面为我们的生活提供便利，我们基本上离不开网络信息平台了，并且随着因特网的迅速普及，给我们的学习与生活条件带来更大的方便，使我们与外部世界的联系将更加的紧密。随着我们对信息资源共

3、享以及信息交流的迫切需求，促使网络技术的产生和快速发展，计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。伴随着企业级大中型网络的发展，校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用，对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程，开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、网络安全，网络系统的维护等内容。通过建设一个高速、安全、可靠、可扩充的校园网络系统，实现校内信息的高度共享、传递，推进教学及管理信息化。为了实现校园内外信息的交流，还需要建立

4、出口信道，实现与Internet互联，使教职员工和学生既可以上万维网，又可以访问校园网，从而进行更加有效的交流和学习。目 录摘 要I前 言II第1章 企业描述1第2章 需求分析22.1 带宽（核心层、（部门层、）桌面）22.2 子网与VLAN规划22.3 实现的信息服务32.4 应用程序42.5 存储系统分析42.5.1 数据量42.5.2 访问流量42.6 系统及数据安全分析52.7 QoS62.8 网间隔离7第3章 拓扑图及方案整体描述83.1 主干网传输方案设计83.2 Internet接入方案83.3 远程访问支持103.4 子网划分与VLAN设定103.5 网间隔离方案设计113.6

5、 存储方案123.7 设备选型123.8 软件153.9 信息服务方案173.10 综合布线方案19第4章 网络管理20第5章 系统主要设备报价23参考文献24课程设计总结25第1章 企业描述白银一中位于甘肃省白银市白银区，创办于1958年，具有深厚的文化底蕴和优良的教学传统，学校管理严格，具有优良的校风、教风和学风，校园环境优美。学校现有学生近四千人，教职工三百人左右。为了提高教学质量和教学管理以及方便同学们学习，学校准备组建校园网。学校现有实验大楼、学生宿舍楼及教学楼、教师办公楼。大楼之间距离为50500M，各个大楼的计算机大约有五百台。近年来，学校克服困难多方筹措资金，投入800万元兴建

6、维修了实验电教楼、学术报告厅、师生餐厅、2号学生宿舍楼，改善教学设施，促进学校教育教学质量的全面提升，使校园布局在规划发展中会更加合理。为了实现办公自动化及教学质量和效率的提高，组建校园局域网迫在眉睫。主要功能是学生能够利用网络实现在线视频学习；教师和学生还可以利用网络学习各种和课程相关的最新资料。另外，学校管理中心可以利用网络对学生的学习与其他方面的表现进行评价和监控，从而实现教学，管理和办公自动化。由于学校的规模比较小和学校的可用资金有限，所以组建校园网络的资金限制在30-40万元左右。白银一中的地域分布图（决定传输介质与走线），如图1.1所示：男生宿舍楼办公楼实验楼教工宿舍楼女生宿舍楼教

7、学楼 图1.1 白银一中地域分布图第2章 需求分析2.1 带宽（核心层、（部门层、）桌面） 白银一中共有六个建筑物需要联网，其中教学楼一栋，实验楼一栋，办公楼一栋，宿舍楼三栋，包括两栋学生宿舍楼和一栋教工宿舍楼。 校园内部网络中心设在独立的楼层中，教学楼，实验楼，办公楼，男女生宿舍楼和教工楼各设一个结点，这七个结点的交换机分别用光纤与网络中心的中心交换机相连接，构成校园网的千兆以太网的主干，各结点完成100M交换到桌面。 网络中心是内部网络管理中心、Internet接入点和学校资源管理共享的数据库中心。也为其他邻校提供共享数据服务的中心。2.2 子网与VLAN规划1.子网按照学校的地理分布和应

8、用的数据流量进行划分每个子网覆盖一幢楼或楼的某些层。子网通过楼间的户外光缆与网络中心相连。子网是一个相对独立的局域网，内部采用交换技术作为主要连接手段，通过VLAN形成边界，并与主干网汇接。具体技术方案要点如下：各子网通过接入交换机接入主干网；各子网采用与主干网一致的通信协议；各子网通过网络中心实行统一集中的管理；子网内的各工作组网的交换机接入子网交换机；子网内部采用交换技术组网。2.工作组网工作组网可以是一个教学组，也可以是一间办公室，还可以是其它划分。工作组网的连接设备是低端交换机，各桌面计算机连接到工作组网的交换机上，工作组网实现100M到桌面。具体的技术方案要点如下：各工作组网接入子网

9、交换机；各工作组网采用与主干网一致的通信协议；各工作组网通过网络中心实行统一集中的管理；工作组网上可设置工作组内共享的服务器；工作组网内部采用共享或独占10M端口的方式组网。3.子网划分 校园网中所有的主机数不超过1000台。计算机的基本地域分配是：教学楼有50台、办公楼有70台、实验楼有100台、每个宿舍楼有250台一共有90台。而一个C类子网有254个可以让用户正常使用的IP地址，所以申请5个C类IP地址即可满足这个校园网需求。具体地址分配如下：实验楼（100台），分配一个C类子网；教工宿舍楼（250台），分配一个C类子网；男生宿舍楼（250台），分配一个C类子网；女生宿舍楼（250台），

10、分配一个C类子网；教学楼和办公楼一共有120台，因此两栋楼可以共用一个C类IP网段，然后对其进行子网划分。分割成两个虚拟子网，由于教学楼和办公楼主机都不超过126台，因此图书馆和教学楼的子网掩码定为：28。这样实现图书馆和教学楼共用一个C类IP网段，从而提高了IP地址的利用率。2.3 实现的信息服务校园网的主要功能是为教育、教学服务，校园网正促进着教学内容与方式方法的变革，促进着学校教育与社会教育的发展，改变着学校与社会、理论与实践、知识与技能的质量。本设计组建的校园网基本实现了这几方面的需求。1WEB文件浏览服务2FTP文件传输服务3视频点播服务4邮件收发服务5.数

11、据库服务2.4 应用程序本校园网络系统采用TCP/IP网络，其网络地址及主机标识使用TCP/IP建议的B类编码格式；系统采用CLIENT/SERVER的结构体系；UNIX操作系统；SQL标准的关系数据库SYBASE；C+及C语言。1系统服务器软件 操作系统：Linux数据库系统：SQL Server2工作站软件 操作系统：SCOUNIX3操作终端软件操作系统：WINXP或WIN72.5 存储系统分析2.5.1 数据量存储区域网络(Storage Area Network，简称SAN)采用光纤通道(Fibre Channel)技术，通过光纤通道交换机连接存储阵列和服务器主机，建立专用于数据存储的

12、区域网络。SAN结构中，文件管理系统(FS)还是分别在每一个应用服务器上;而NAS则是每个应用服务器通过网络共享协议(如:NFS、CIFS)使用同一个文件管理系统。SAN存储采用的带宽从100MB/s、200MB/s，发展到目的1Gbps、2Gbps。2.5.2 访问流量网络接入存储(Network-Attached Storage，简称NAS)采用网络(TCP/IP、ATM、FDDI)技术，通过网络交换机连接存储系统和服务器主机，建立专用于数据存储的存储私网。由于网络接入存储采用TCP/IP网络进行数据交换，TCP/IP是IT业界的标准协议，不同厂商的产品(服务器、交换机、NAS存储)只要满

13、足协议标准就能够实现互连互通，无兼容性的要求；并且万兆以太网(10000Mbps)的出现和投入商用，存储网络带宽将大大提高NAS存储的性能。 NAS需求旺盛已经成为事实。首先NAS几乎继承了磁盘列阵的所有优点，可以将设备通过标准的网络拓扑结构连接，摆脱了服务器和异构化构架的桎梏。其次，在企业数据量飞速膨胀中，SAN、大型磁带库、磁盘柜等产品虽然都是很好的存储解决方案，但他们那高贵的身份和复杂的操作是资金和技术实力有限的中小企业无论如何也不能接受的。NAS正是满足这种需求的产品，在解决足够的存储和扩展空间的同时，还提供极高的性价比。2.6 系统及数据安全分析计算机网络经常会受到黑客或者病毒的攻击

14、，这对网络系统和数据安全造成了严重的威胁。针对黑客威胁，网络安全管理员采取各种手段增强服务器的安全，确保网络服务的正常运行。象在Internet上的Email、ftp等服务器一样，可以用如下的方法来对系统数据进行保护： 1安全配置 关闭不必要的服务，安装操作系统的最新补丁，将网络服务升级到最新版本并安装所有补丁，对根据网络服务提供者的安全建议进行配置等，这些措施将极大提供网络系统本身的安全。 2防火墙 安装必要的防火墙，阻止各种扫描工具的试探和信息收集，甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接，给网络服务器增加一个防护层，同时需要对防火墙内的网络环境进行调整，消除内部网

15、络的安全隐患。 3漏洞扫描 使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描，来发现潜在的安全问题，并确保由于升级或修改配置等正常的维护工作不会带来安全问题。 4入侵检测系统 利用入侵检测系统（IDS）的实时监控能力，发现正在进行的攻击行为及攻击前的试探行为，记录黑客的来源及攻击步骤和方法。 这些安全措施都将极大提高网络服务器的安全，减少被攻击的可能性。 2.7 QoSQoS是网络与用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定。现阶段Internet的状况是比较复杂的，带宽参差不齐、时延大、不稳定。如何在IP网络上保证用户信息传输的质量就成为一个不容忽视的重要问题

16、，为解决这一问题，网络服务质量（QoS，Quality of Service）便应运而生。随着各种需要大量带宽的新型网络业务的出现，校园网内的业务流量不断增加，对带宽、延迟、抖动等指标提出了更高的要求。各学校开始考虑在自己的网络中部署QoS，以保证语音、视频等业务的正常运行。策略是指流量分类、定义的执行，它们确定每个业务的优先级、分配的带宽等一些与QoS有关的内容。策略服务器是管理员在全网中集中统一定义策略的地方，通过指定的各种策略对园区网中的QoS服务进行控制和管理。网络设备从策略服务器下载并执行这些定义好的策略，所有支持QoS的设备都遵循策略中定义的规则来转发数据，从而有效地对全网资源进行

17、统一分配与管理。同时，策略服务器能够根据网络的现状与预先定义的策略调整，自动与网络适应，网络设备会根据策略自动完成相关配置，向不同的业务提供不同的QoS。部署实现 在校园网中实现基于策略服务器的QoS部署时，主要包括以下三个步骤：（1）在策略服务器上定义策略；（2）配置网络设备接收策略；（3）在策略服务器上分发策略。策略服务器使用了Nortel OPS (Optivity Police Service)，同时使用Nortel iPlanet目录服务器存储策略信息。另外，在OPS中定义了网络边缘设备和网络核心设备两类设备。网络核心设备只是简单地执行已定义的策略，保证全网的策略连续性。2.8 网间

18、隔离网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。 网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和

19、高带宽需求的网间数据交换。根据学校网络的结构特点及面临的安全隐患，通常通过防火墙、入侵检测、网络杀毒软件，实现网络病毒防范的安全需求，为学校构建统一、安全的网络。 防火墙的布置，在Internet与学校网络内之间布署了一台防火墙，其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接学校网络内网交换机，外网口通过路由器与 Internet 连接。第3章 拓扑图及方案整体描述3.1 主干网传输方案设计校园主干传输网的设计是校园网络中心设计的核心，主要有两个方面组成，包括主干传输网的方案选择和主干传输网网络拓扑图，在本设计中，我们选择千兆以太网作为主

20、要的校园主干传输网。1主干传输网设计方案千兆以太网是近几年发展起来的技术，和快速以太网相比，提供更高更快的传输速度，还有更好的第三层交换能力，能管理更高的带宽，更高的流量。其技术较ATM简单，而且价格合理。考虑到学校校园网的实际情况，我们推荐使用联想新近推出的LS-5608G 智能型8口机箱式千兆以太网交换机作为校园网的中心交换机。它可适用于中小型主干网络和高速率、高端口密度、多端口类型的复杂网络。2主干传输网网络拓扑图 在本设计中我们选择MS-5103 1口千兆位以太网模块（SX/MM/850nm，0-350m）或MS-5104 1口千兆位以太网模块（LX/SM/1310nm,0-6km）与

21、下面的各个子网通过千兆位的链路相连。3.2 Internet接入方案对于校园网，可以采用路由器实现接入Internet。在局域网上通过代理服务器软件或者路由器，都可以解决多用户共享访问Internet问题，实质上是一个介于用户群体和Internet之间的桥梁，用以实现其网络用户对Internet的访问。在使用路由器接入Internet时，dh|I3-EclJd对于缺少合法IP地址情况下，可以使用（NAT）地址转换技术实现内部网络对外部网络的访问。路由器在收到内部网络中的计算机访问外部网络的IP数据包时，将这些非法的IP地址转换成合法的IP地址， 作为IP数据包的源地址访问外部网络，当回来的数据

22、包经过路由器时，在把该数据包的目标地址转换为相应的局域网内的主机IP地址，并把该数据包传送到相应主机，SB网TDe_4jzv软s从而达到访问Internet的目的。这些功能其实是NAT（网络地址转换）的一部分。 除了NAT之外，路由器接入Internet还采用了防火墙技术，主要是基于源和目标IP地址以及端口过滤的防火墙技术。通过防火墙技术，可以在一定程度上使内部局域网免受外面的攻击，起到一定的安全作用。目前国内常见的有以下的几种接入方式可选择：1、TN公共电话网: 这是最容易实施的方法，费用低廉。只要一条可以连接ISP的电话线和一个账号就可以。但缺点是传输速度低，线路可靠性差。如果用户多，可以

23、多条电话线共同工作，提高访问速度。2、DN :目前在国内迅速普及，价格大幅度下降，有的地方甚至是免初装费用。两个信道128kbit/s的速率，快速的连接以及比较可靠的线路，可以满足校园网浏览以及收发电子邮件的需求。而且还可以通过ISDN和Internet组建VPN。这种方法的性能价格比很高，在国内大多数的城市都有ISDN接入服务。 3、ADSL :非对称数字用户环路，可以在普通的电话铜缆上提供158Mbit/s的下行和1064kbit/s的上行传输，可进行视频会议和影视节目传输。可是有一个致命的弱点：用户距离电信的交换机房的线路距离不能超过46km，限制了它的应用范围。武山二种内部网络拓扑结构

24、图如图3.1所示。图3.1 白银一中内部网络拓扑结构图 3.3 远程访问支持局域网建立远程访问网络有两种方案:第一种是使用软件型的远程访问服务器(例如WindowsNTServer的RAS)来构造远程访问网络，此方案的优点是价格便宜,缺点是性能较低,可靠性也较差;第二种是使用硬件型的远程访问服务器(例如3Com公司的SuperStackIIRAS1500、Cisco2501、BayRAS4000等)来建立远程访问网络，此方案可靠性较高,运行稳定,虽比第一种方案造价较高，但对于需要高质量连接的网络用户，仍不失为一种好方法。经过以上两种方案的分与比较，再根据我们校园网络的要求，最后还是选择了第一种

25、方案软件型的远程访问服务器Windows NT Server 的RAS。这样可以节省资金来更好建设校园网的其他更重要部分。3.4 子网划分与VLAN设定由于校园网总的主机数不超过1000台，所以申请4个C类IP地址即可，具体地址分配如下：需要申请4个C类地址，子网号分别是：实验楼(100台)，分配一个C类子网，子网号定为。教工宿舍楼(250台)，分配一个C类子网，子网号定为。男生宿舍楼(250台)，分配一个C类子网，子网号定为1

26、。女生宿舍楼（250台），分配一个C类子网，子网号定为。教学楼和办公楼一共有120台，因此两栋楼共用一个IP网段，然后对其进行虚拟子网划分。由于图书馆和教学楼的主机都不超过126台，因此教学楼和办公楼的子网掩码为：28。教学楼IP地址范围定为-27；办公楼的IP地址范围定为28-54。根据以上对校园网中子网划分和虚拟子网设定的分析后，具体的IP地址分配表设计如下：表3.2 IP地址分配表地点子网号子网掩码实验楼192.168.1

27、1.0教工宿舍楼男生宿舍楼女生宿舍楼教学楼(VLAN)28办公楼（VLAN）2828 3.5 网间隔离方案设计此次设计采用双网隔离方案。这种方案适合大、中型机构的局域网布局。在这样的机构中，必须分杵独立的内部安全网和外部公共网，内外网之间完全隔离。公共网通过网关和路由器连接INTERNET（视需要也要考虑安装防火墙、入侵检

28、测及防病毒等安全防护措施），而部分计算机则需要连接两个网络工作，这些连接了内外双网的工作站计算机需要安装网络安全隔离卡。还有一些机构的网络由于内部功能的划分，本身就有几个分离的网络，采用我们的物理隔离方案将更好的把这些网络整和在一起，变为一个全范围公共网加上几个内部安全子网的多网互通的有效网络格局。1. 防火墙的部署在Internet与校园网内网之间部署了一台瑞星防火墙，其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。这样，通过 Internet 进来的外网用户只能访问到对外公开

29、的一些服务（如WWW、E-mail、FTP、DNS等），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审计。2. 入侵检测系统的部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素，根据校园网络的特点，我们采用瑞星入侵检测系统 RIDS-100 。将 RIDS-100 入侵检测引擎接入 Cisco 中心交换机上，对来自外部网和校园网内部的各种行为进行实时检测。3. 瑞星网络版杀毒产品的部署为了实现在整个局域网内病毒的防护，我们在可能感染和传播病毒的地方采取相应的防病毒手段。实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等

30、多种安全防护功能。3.6 存储方案目前局域网的存储方案主要有：双机（热）备份、RAID、磁盘阵列、存储局域网（SAN）。广西浦中校园网采用浪潮光纤存储阵列NS8800D，双机热备份方案，作为该校网络存储SAN结构里的一个核心部分，在整个校园网的存储方面起到了决定性的作用。NS8800D是双控制器光纤磁盘阵列，内部采用无线缆连接设计，无单点故障，具有较高的可用性。通过交换机可以实现前端服务器对存储设备的共享，完全实现了存储集中和灵活应用，节省了存储空间。整个存储系统基于2Gb的带宽设计，在性能上完全可以满足当前系统的存储需求。NS8800具有多主机接入能力，可以支持4台服务器的多主机共享，并且扩

31、容能力突出，最多可扩展7个JBOD从而达到16TB的存储容量。保证了系统的可扩展性，为今后数据的增长提供了稳定可靠的平台。通过该系统，图书馆的资源、信息可以方便的被不同的网络教学教室调用，满足电子化教学的需求；同时网络用户还可以通过服务器到英特网上寻求更多的图书信息、学习资料等。3.7 设备选型1网络操作系统。本校园网的网络操作系统以微软的WIN7为主，它是发展速度最快的集成了Web应用的最新的网络操作系统。具有界面友好、系统强壮、稳定可靠、与桌面主流操作系统相容性好等优点。并拥有大量的服务器端软件，是Intranet网络中最佳的网络操作系统平台。2.路由器选型。本校园网采用CISCO 281

32、1 路由器出口路由器接入Internet，由于采用了基于高性能的RISC技术，CISCO 2811 路由器成为高吞吐量、快速响应应用的选择。CISCO 2811 支持两个内置10/100Mbps 快速以太网端口之间的高速路由，可以处理数据最为密集的高端应用。基于硬件的STAC/HiFn 压缩和DES加密最大程度地提高了数据吞吐量，同时不会影响路由性能。CISCO 2811 支持多达6个端口的接口卡(PIC)，可以进行灵活的配置。根据校园网应用需要的变化，可以简便快速地对LAN和WAN端口进行现场升级。连接选件包括E1/T1、帧中继、ISDN PRI / BRI、速率达2Mbps的专用线路、X.

33、25、多以太网和异步串行口（外接调制解调器拨号上网）。 3主干交换机。主干交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备。本校园网工程将分为三期，根据工程三个阶段中网络点成批增加其间伴随着的使用需求增长，对主干交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。第一期要求连接就达600个网络站点，应用对主干服务器的访问及其数据流量对主干带宽要求很高，通过以上分析，思科CISCO WS-C3750-48TS-E交换机实现和WEB服务器千兆带宽的主干连接。在第二期中，将面临着对主干带宽的更高要求，将使用2台千兆交换机通过4GB高速通道来实现千兆交换机冗余连接，使网络主干带宽比第

34、一期增长一倍。4接入交换机。采用交换机而不使用共享式集线器到桌面是由于学校实际使用情况是主要表现在集中突发性，即学生同时使用同一软件的情况比较多，如果使用共享到桌面，网络就会产生拥阻而影响速度，因此在校园网中应使用百兆交换到桌面。在十兆与百兆交换机中应选择百兆交换，因为10兆虽然在目前校园网络使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求，将成为它们之间最大的瓶颈。因此采用思科CISCO WS-C2960G-24TC-L作为校园网工作组级接入交换机，直接连接学生站点。5.服务器网卡。在一期工程中，建议学校在Internet应用教

35、学中，采用定期下载，内部浏览的原则，因此WEB服务器是学校内部Intranet浏览和连接Internet服务器，学生站点对其访问在相应教学时段对的数据流量相对来说比较大。要求园区级服务器能够提供足够的连接带宽。Intel Express PRO/100服务器网卡是唯一一种支持标准10BASE-T、100BASE-TX和100BASE-FX以太网的千兆服务器专用网卡。这是一种智能的网卡，它能够利用其内置的Intel i960 RP处理器最大限度地优化服务器资源。考虑到Internet和其他网络的连接(如CHINANET等)，目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各

36、种广域连接中发现。目前，越来越多的学校还开展了网络教学和建立自己的WEB。因此，能否有效地连接Internet是校园网建立的一个重要的目标。在此方案中，考虑Internet出口路由器的配置一台CISCO 2811 CISCO 2811 路由器。它是学校的校园网对外的出口，也可以作为保护校园网的第一道防火墙。因为使用CISCO 2811 在Internet上配置安全的VPN隧道极为简单，CISCO 2811 对通道传输提供强大的加密功能，确保您的私人通讯数据通过公用网域时的安全。但根据客户和局域网配置的具体不同情况，也应该采取适当的步骤来确保来自Internet的局域安全。这至少要包括配置通过协

37、议过滤器的访问控制目录。采用DDN线路与Internet连接，以64KB2MB带宽支持校园的应用，而且性能非常稳定。CISCO 2811 CISCO 2811 有2个能与专用数字线路或Frame Relay及X.25网络相连的WAN接口。6.外部网的安全。对于校园网来说，外部网主要是指INTERNET。因为外部网的用户非常复杂，有黑客进行恶性攻击的可能。所以我们设计在内部网和外部网之间用防火墙隔开，这可以利用瑞星防火墙实现。它集成了VPN的主要功能 - 隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。瑞星防

38、火墙是建立在专用实时多任务安全网络操作系统和专用硬件平台之上的网络安全设备。瑞星防火墙并非传统的简单包过滤防火墙，而是网络状态检测和代理技术相融合的网络安全设备。瑞星防火墙以卓越的安全性、强大的功能、方便灵活的管理机制为各行业提供了强有力的网络访问控制，可广泛应用于金融、教育、政府机关、军队和中小型企业等企事业单位。7.传输介质。校园网主干线采用光纤1000Base-FX，速率为1000Mbps。中心交换机到分交换机也采用光纤100Base-FX，速率为100Mbps。建筑物内部交换机到各个主机终端用户采用5类双胶线100Base-T，速率可达到100Mbps。3.8 软件网络操作系统。WIN

39、DOWS XP信息服务系统。IIS（Internet Information Server）。数据库系统。SQL Server 2000。其它应用软件及流行工具。远程访问（TELNET）用于让本地的计算机与远程的主机相连，让本地的计算机成为远程主机的一个虚拟终端。TELNET是一个通过注册让本地计算机进入远端计算机系统的工具，一旦相连，远端计算机可以为本地终端提供一切服务。利用TELNET可以跨越距离使用大型计算机和专用外围设备，还可检索INTERNET数据库中的数据，也可用于访问世界上众多图书馆目录库和其它信息资源库。 许多网络信息查询工具，如GOPHER、ARCHIE、WAIS等，都可通过

40、TELNET来调用。在调用时，需给出远程主机的名字或IP地址，然后根据系统的提示正确输入用户名和口令，有时还需输入终端仿真类型。 文件传送（FTP）用于来回传送文件，可把文件从一个计算机转移到另一个计算机，文件类型不限，可以是文本文件，也可以是二进制可执行文件、声音文件、图像文件等。两端计算机可以使用不同的操作系统，只要它们都能与FTP协议“对话”，并可进入INTERNET，便可以用FTP命令移动文件。在具体应用中，FTP功能随操作系统的不同而不同，但基本的命令结构对每种机器都是一样的。FTP已具备范围很广的数据库和服务功能。例如用户若要从INTERNET的公共文档系统里寻找并接收文件，可采用

41、一种特殊的服务功能匿名FTP，使用户能在无帐号的情况下进入公共数据库。FTP与TELNET一样，是一种实时的联机服务，在传送文件之前需要登录到远程主机上，与TELNET不同的是，FTP登录后只能进行与文件搜索和文件传送有关的操作，而TELNET登录后可使用远端主机允许的所有操作。电子邮件（Email）是一种利用计算机和通信网络传递信息的通信手段，具有快速、简便、高效、价廉等特点。电子邮件不是一种“终端到终端”的服务，其发送机器和接收机器不需要互相之间的直接联接就能工作，它是通过邮件服务器来传递信息的。因此，当你发送邮件时，即使对方不在，仍可将邮件送入对方的邮箱里。邮件大多是文本文件，但多媒体信

42、息也可在邮件中传送。电子邮件软件通常提供传送、浏览、存储、转发、删除、恢复邮件以及回信等功能。另外，应用电子邮件，很容易实现一点与整个群体的联络，这使得在群体中传播信息和征询问题时非常有用。USENET是世界上最大的网络新闻系统，INTERNET中大部分服务器上的新闻组是USENET的一部分。 IRC（INTERNET RELAY CHAT）是INTERNET上允许多个用户同时书面交谈的系统。通道是IRC的基本概念，每个通道是一个会话，通道的数目可以是无限的。当用户进入IRC系统后，可先列出所有交谈通道的名称，然后选择一个自己感兴趣的通道，就可以和来自全球各地的人交谈了。交谈的语言一般用英语，

43、也有用其他语言的。利用IRC可获得一些最新消息，也是练习英语的好机会，IRC可说是提高用户水平的好途径。 GOPHER 它是一种用菜单方式帮助用户查找所需资源的工具。如果用户要使用GOPHET提供的某种资源，它会帮助用户进行寻找，用户可不必知道远程主机的域名、IP地址，也不需改换程序，它会自动将用户选择的资料传送给用户。 本地GOPHER服务器只储存本地信息，通过一个指针可使本地GOPHER服务器与其它服务器相连，因此只要进入一个GOPHER服务器，即可访问世界各地的GOPHER服务器，把分散在各地的资源轻而易举地连接起来，但因每个GOPHER服务器所提供的服务不同必须进入后才知道它提供哪些服

44、务。 ARchie系统可以搜索INTERNET的公共服务器中所有可获得的文件的索引，帮助用户搜寻程序、数据或文本文件。ARCHIE服务器会定期自动地去访问众多的FTP服务器，将这些服务器上的文件形成一个可检索的数据库，因此，ARCHIE服务器提供的是各FTP服务器最新的文件目录。用户可以用它找到包含特定搜索字串的文件名或指出其说明中包含特定单词的文件，列出满足搜索要求的实际文件名和提供这些文件的服务器名。一旦用户找到了想要的文件，就可以用匿名FTP把它移到用户的计算机中去。 使用ARCHIE服务器通常有三种方式：（1）一种是交互式使用，即用TELNET调用ARCHIE服务器的方式使用，这种方式

45、速度慢，占用线路时间长；（2）在本地装一ARCHIE客户软件。上述这两种方式都属联机查询。（3）通过Email查询。 WAIS是一个分布式信息检索系统，通过普通语言而不是用一些特定的编程语言或数据库语言去搜索信息源。WAIS特别适合检索文本文件，使用WAIS，可以阅读世界各地的报纸、扫描各种专业数据库。用户可以查找特定的词或词组，WAIS将查找信息按相关性从大到小的次序列出提示信息，相关性是以文件中出现关键字的次数来计算的。 WWW（WORLDWIDE WEB）是一个基于超文本的信息查询系统，即是建立在灵活的超文本模式基础上，允许相关联的资源间有交叉或连接，提供用户一种交叉式的查询方式（而不仅

46、仅是传统的线性方式），在一个超文本的文件中，一个关键字链接着另一个与该关键字有关的文件，该文件可以在同一主机上，也可以在INTERNET的另一主机上，同样，该文件可以是另一个超文本文件，超文本文件可以把不同类型的文件，如文本、声音、图形、图像等文件连接起来。因此，WWW将成为INTERNET中一个最具吸引力的新型工具。以上介绍的各类应用中,前五项是INTERNET基本的服务系统，是使用型工具。后四项是另一种不同的服务系统，即如何帮助用户找到所需的资料，属INTERNET中的发掘型工具。INTERNET中还有其他一些应用工具，在此不再详列。3.9 信息服务方案1WEB文件浏览服务校园网的主要功能

47、是WEB服务，也就是学校教育网站的服务。我们学校的网站建设从4个方面发挥作用：（1）把学校网站做成对外宣传的窗口。（2）把学校网站建成为学校教学工作的平台，逐步实现无纸化办公。（3）把学校网站建成教师和学生展示自己才华的平台。（4）学校网站建设成多方沟通的平台。2FTP文件传输服务FTP文件传输是学校校园网使用的一个重要服务，建立了FTP服务后，将大大方便教师文件的传输和管理，以及学校资源库的建立。（1）教师个人资源库、学校资源库的建立。（2）给各科室建立独立的帐户，像校长室、教导处、教科室、教务处等都有帐户，方便资料文件的上传。（3）FTP文件传输服务与互联网开通，无论走到哪里，我们的教师只

48、要能上网就能随时读取自己需要的文件，真正实现异地办公。3视频点播服务校园网的又一功能就是视频点播服务。通过校园网将新课程教材中的所有视频资料复制到服务器，教师可以通过校园网轻松观看教学录象、课堂实例、专家报告，在很大程度上方便了广大教师和学生。4邮件收发服务邮件收发是学校校园网中最普及的一种服务，建立此服务后，将极大的方便广大师生的邮件收发服务，更加有利于学校教学工作的开展，充分发挥校园网络的优势。校园网的作用不仅仅这些，很多功能有待我们去研究，才能真正地发挥校园网的作用。总而言之，学校的校园网站本着让全体师生共同参与的理念，让大家共同建设和维护更新网站，共同丰富学校网站内容，通过建立学校网站

49、，充分发挥校园网的教育功能。使这些昂贵的设施得到应用，不成为摆设真正有效地发挥校园网的作用。 5.数据库服务数据库实现对学校师生信息、教务信息、财产信息的管理，和周边学校的进行数据共享，为和其他学校之间的交流，共享数据提供服务，以促进学校更好的发展。3.10 综合布线方案综合布线系统是建筑物或建筑群内的传输网络，它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接，也能使这些设备与外部通信网络相互连接，包括建筑物到外部网络或电话局线路上的连线点，与工作区的话音或数据终端之间的所有电缆，以及相关联的布线部件。一个良好的综合布线系统对其服务的设备有一定的独立性，并能互连许多不同的通信设备

50、如数据终端、模拟式或数字式电话、PC和主机以及公共系统装置。一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统。校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统，集中管理。对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器、视频服务器等），中心交换机通过光缆（地下直埋）与楼栋设备间的

51、交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。楼内布线包括水平布线和主干布线。水平系统采用超五类双绞线，新的楼宇采用暗装墙内的方式，旧的楼宇采用PVC线槽明装的方式。考虑到学校校园建设的实际需求，我们选用进口8芯室外光缆、进口6芯室内光缆、AT&T的非屏蔽超五类双绞线、信息插座、超五类信息模块。校园网的主干即网络中心与教学楼、实验楼、办公楼、宿舍楼之间全部采用8芯室外光缆；楼内选用进口6芯室内光缆和5类线。这样能保证网络产品按照结构化布线系统进行布线。这样的布线系统具有以下优点：网络易于管理、维护；网络安全性好；

52、网络设备可实现零冗余；充分利用投资；扩展性好。第4章 网络管理1.WAN的配置 如果根据交换机端口定义VLAN，通常很容易用某种拖放软件把一个或多个用户分配到特定的VLAN。在非交换环境里，移动、 添加或更改操作很麻烦，有可能要改动接线板上的跳线充一个集线器端口移动到另一个端口。然而，改动VLAN分配仍然要靠人工进行： 在大型网络里，这样做很费时，因而很多联网供应商鼓吹采用VLAN可以简化移动、添加和更改操作。基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。 如果用户根据MAC地址被分配到一个VLAN或多个VLAN， 他们的计算机可以连接交换网络的任何一个端口，所有通信

53、量均能正确无误地到达目的地。显然，管理员要进行VLAN初始分配， 但用户移动到不同的物理连接不需要在管理控制台进行人工干预；例如有很多移动用户的站， 他们并非总是连接同一端口或许因为办公室都是临时性的，采用基于MAC地址的VLAN可避免很多麻烦。 这里离开VLAN最近的是IP子网：每个子网需要一个路由器端口， 因为通信量只能通过一个路由器从一个子网移动到另一个子网。由于IP32位地址提供的地址空间很有限，所以很难分配子网地址， 还有看你是否熟悉二进制算法。因此，在IP网络里执行移动、添加和更改操作很困难，速度慢，容易出错，而且费用大。另外， 在公司更换I 或者采用新安全策略时，可能有必要重新编

54、号网络，这对于大型网络来说是无法想像的。实际上，如果有人采用现有的有子网的路由IP网络，并根据IP地址访问任意VLAN成员，路由器就可能会被不必要的通信量淹没。如果很多子网里都有VALN成员，常用的VLAN广播必须通过路由器才能达到所有成员。此外， 糟糕的是广域链路会生成额外广播通信量；有WAN连接服务的VLAN成员数通常应该保持在最低水平。实际上， 基于Layer3地址的VLAN成员值有可能在增强和修改现有子网分布方面很有用，例如可通过一个全子网给VLAN添加两个新节点， 或者可用两个子网组成一个VLAN而无须重新编号。Cabletron的SecureFast Virtual Network

55、ing Layer3交换技术路由服务器模型而不是传统的路由选择模型。 第一个信息包传送到路由服务器进行常规路由计算，但交换机能记忆路径，因而后续信息包可在Layer2交换，而无须查对路由表。 由于有了基于纯Layer3地址的VLAN，所以IP地址可以作为通用网络ID，允许任何人连接任何数据链路，从而获得全网络访问， 大大简化移动、添加和更改任务。但是，还有其他方法解决IP子网引起的管理问题。DHCP（动态主机配置协议）已经在连接时给用户分配地址的其他技术， 都可用于解决上述问题。 2.WAN的接入管理在网络管理的解决方案中，我们知道一个大型网络，一般是WAN，是通过分层进行管理的。比如在一个全

56、国性的网络中心之下有许多地区性的网络中心，一般全国性的网络中心主要保证这个WAN的主干网正常运转，而地区性网络中心则主要负责各个网络用户的接入管理。 对于每个想入网的用户而言，首先要考虑在网络连接上怎么接人这个网络。一般用户需要找到主管自己这片地区的地区性网络中心，然后提出申请，最后该地区性网络中心再进行用户的接入操作。这些操作一般包括： (1)联网用户必须租用一条网络线路，连接用户与地区性网络中心。该线路可以是已经存在的，属于某个商业网络公司或电信公司，也可以是单独为该用户铺设的一条线路。 线路既可能是使用光纤的DDN专线，也可能是使用电话线的DDR线路。联网用户租用了网络线路就要向线路的经营者交纳租金，而线路的经营者可能不是提供接入服务的地 区性网络中心。 (2)联网用户需要向地区网络中心申请一段属于自己的IP地址，然后在全国网络中心注册域名。 (3)对于接入的联网用户，