某大学校园网络需求规格说明书

1、某大学校园网络需求规格说明 书大学校园网络系统集成功能描述书一、 整体描述-2 -1、 校园计算机局域网 -2 -2、 交互式多媒体教学系统 -2 -3、 学校自动化办公系统 -2 -4、 学校教学和管理综合信息系统。 -3 -二、 功能描述-4-1、 网络功能需求分析 -4 -2、 网络功能划分 -5 -3、 管理描述 -6 -4、 网络的管理 -7 -三、 网络描述-9-1、 网络分层设计原则 -9 -2、 网络层次表示 -9 -3、 网络拓扑结构 -10 -4、 网络的总体设计 -11-四、 网络安全需求分析 -12 -五、 系统安全性分析-13 -六、 可靠的网络安全设计分析 -13

2、-、整体描述此课程设计拟建覆盖全校的校园网， 包括局域网和接入网， 能支持办公自动 化、信息管理、科研与教学工作， 能接入中国教育和科研计算机网 CERNET(The China Education and Research Network),与 Internet 相联。将实现网络主干 1000M，桌面100M，端口应为独占100M。而且从目前应用水平考虑，端口独 占 100M 的交换式网络， 在相当一段时间内也能支持应用。 同时并不影响将来网 络的各方面扩展。系统最终将由以下几个子系统构成：1、校园计算机局域网 这点是校园网建设的基础，也是本次校园网组建规划的主要工作，其他所有的建设都是建立

3、在此部分之上的。建设覆盖全校的局域网包括网络技术选型， 拓扑结构设计，布线系统设计和网络方案的具体设计。在这之中，网络方案设 计中网络的核心、汇聚、接入层三层是重点。其次进行 VLAN 划分、子网配置 和IP地址的分配，最后进行服务器、交换机和路由器的配置。2、交互式多媒体教学系统交互式多媒体教学系统运行于加载 TCP/IP 协议的 Windows 2000/2003 网 络，主要在局域网上实现多媒体信息的广播，并同时实现网络屏幕监视和远程 控制等网络管理的目的。它专门针对象监视、远程控制、网上语音广播、两人 对讲和多方讨论、VOD等视频流的网络广播、同步文件传输、联机讨论、远程命 令、获取远

4、端信息、电子黑板与白板、自由的交互式短信息发送。该系统软件包括服务器端软件和客户端软件。服务器端软件驻留在教师机 上，客户端软件驻留在学生机上。 两者在局域网内进行基于 TCP/IP 协议的 Socket 传输，协同以达到实现语音交互，视频交互，屏幕图像交互，动态管理以及远 程控制功能(教师机对学生机发警告，强制学生关机，注销以及用鼠标对学生 机屏幕进行控制) 。3、学校自动化办公系统基于校园网络环境，在 Internet 上构建办公自动化系统时有两个问题须加 以考虑：其一，充分利用现有网络资源，使得 Internet 上得原有用户可以以最 小代价加入办公自动化系统；其二，办公室与其他管理信息

5、系统之间的联接， 使办公用户可以在一定的权限控制下访问其他信息系统的资源。基于以上考虑， 办公系统的总体结构适合采用 B/S 与 C/S 相结合的模式，通过客户端使用 Domino资源，构成C/S结构，以便充分利用Notes的安全技术保障办公信息的 安全。同时，利用 Notes Web Publish能力，Internet上得非办公用户可以通过 浏览器浏览公开的办公信息，对这类用户可以通过浏览器公开的办公信息的权 限。这种混合模型适合基于 Internet 结构的办公自动化系统。随着学校网络信息化网络化进程的推进，已经开发了一系列的有关教育教 学、学校管理的系统、 平台。 Portal 提供的

6、公共服务功能中的单点登录技术为我 们提供了解决方案。我们只需登录 Portal 提供的公共服务器一次就可以访问所 有其它的应用，无需再分别登录每一个应用。一旦登录了学校的门户网站，就 能访问 mail 应用以及其它的教学教育管理平台， Portal 服务器会分配一个通行 证库，只需要在 mail 应用里设定一次性的用户名和密码，这些信息就会以加密 的方式存储在通行证库中。在已登录到学校门户网站并要访问 mail应用的时候， Portal 服务器会从通行证库中读取你的通行证帮助你登录到 mail 服务器上。 网络环境下学校自动化办公系统完全采用 B/S 结构，所有软件的安装只能在服 务端进行，客

7、服端实现“零”安装；所有的系统管理及升级都在服务器上进行， 客服端不需做任何设定或改变。学校拥有自己的 web 网站，并通过高速的线路 向internet发布，而且web服务器在本校机房，学校可以使用自有的 web应用 模式进行系统建设。所有移动办公用户或在家办公之类的异地办公方式可以直 接通过internet与学校自动化办公系统进行连接，完成业务操作。4、学校教学和管理综合信息系统。 在本网络中服务从类型上说既有简单的消息服务，又有资源共享服务；既 有访问集中式的数据库，又有分布式事务处理；既有非实时性服务，又有实时 性服务。主要支持教师教学和学生学习， 提供共享接入 Internet， E

8、-mail， WWW， FTP， VOD 点播等。、功能描述1、网络功能需求分析（1）办公自动化基于 web 综合管理信息系统，提供行政、人事、学籍、教学、后勤、财务 管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等，使学 校日常办公无纸化，减少办公开支，提高办公效率。（2）网络多媒体教学将计算机多媒体视听引入课堂教学，使声音、图像、动画的普遍采用可以 大大提高教学效果，使每一节课都能够得到有效的作用。（3）学生自主学习针对不同的学生，提供不同的教学内容，采取不同的教学手段。主要采用基于 VOD 、 WEB 及 FTP 的课件、光盘软件、 Internet 资源，学生可以根据自己

9、 的需要自由选择所需内容。（4）电子图书馆基于Web的图书音像资料提供学生随时阅读，并与Internet连接，使图书馆得到进一步拓展，使学生能够得到近乎无限的网上资源。（5）电子邮件电子邮件是 Internet 上的一个最重要的应用，将为每一位教师和学生开设个电子邮件账号，利用电子邮件学生可以和学生、同学及家长进行交流，同时 也可以和国内外等地学校进行交流。（6）远程教育实现校内外连通，师生在线、交互式学习、辅导、测验等功能。（7）校园一卡通工程利用 RFSIM 卡易于管理的特性， 综合校园网络， 轻松实现学期注册、 考试、 教务管理，机房上机管理，食堂餐饮管理，图书借阅管理等多种应用，从而为

10、 学校开源节流、降低管理费用。8）校园移动计算采用有线和无线网络混合建构，方便学生、老师移动上网学习和办公。2、网络功能划分（1）教学区教学区网络应用主要有远程教育、网络教育及电子教学。 VOD 视频点播进 行自主学习是现代远程教育最基本、最核心的教育形式；网络教育是基于多媒 体计算机和网络技术的现代远程教育，其最大特点是以学生为中心，学生使用 校园网与教师在线讨论、登录聊天室与教师聊天、发 E-mail 、学校论坛等进行 学习；电子教学主要体现在多媒体教学、 VOD 等，这部分业务流量较大，大量 的数据、语音以及视频穿插在校园网内部。教学办公区网络的需求有： 在保证校内资源信息共享的同时实现

11、网络安全； 内部网络高速交换； NAT地址转换； 完善的Qos支持能力。（2）学生宿舍区 学生宿舍区的用户群体网络应用为学生社区实现信息检索、资料查询、对 外联网、丰富业余生活、资源共享、校园信息系统的访问。网络流量为校园网 络内部以及 Internet 的访问。这部分的网络需求有： 网络安全性要求较高， VLAN 的划分； 用户的管理性要求比较严格，对学生宿舍区上网的控制； NAT地址转化的需求； 带宽的控制； 计费需求； 网络管理等。（3）学院办公区 学院办公区主要为各学院的办公提供网络连接，这部分的网络对网络速率、 网络流量的要求也相对的比较高，在这部分分区中，按照各学院的不同需求根 据

12、实际的需求接入 Internet 并进行局域网络的组建。学院办公区主要有现代教 育中心、计算中心、信息技术学院等部分。这部分的网路需求有： 网络性能要求要高，特别像计算中心等外网的接入点； 对学院办公区需进行 LAN 局域网的划分； NAT地址转化的需求； 完善的Qos支持能力； 网络管理等。（4）图书馆校区图书馆在网络接入中要有 Internet 以及内部网络的接入，这部分网络 主要为在校学生提供数据查找、电子图书系统网络应用、用户信息管理等。这 部分网络数据流量大，而且应方便管理人员的工作。对网络的需求有： 完善的Qos支持能力； 带宽的控制； 保证校内资源信息共享的同时实现网络安全； 网

13、络管理等。（5）信息网络中心 中心机房到汇聚层节点采用 4M 光纤（多模） 连接，汇聚层到接入层采用百 兆的五类线（或者超五类）连接。通常考虑，建议数据信息点的接入用交换 10/100Mbps 自适应以太网端口接入，以便能比较经济的提供较高的带宽。整个 方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、0A应用和 Internet 访问等于一体的高可靠、高性能的宽带多媒体校园网。3、管理描述（1）管理需求 虚拟网的划分：在内部主干网上要求做到能够划分跨越子网的虚拟网， 以便使各种网段（尤其是办公网）的划分不受地理区域的限制，并有效地限制 网间广播，控制网间访问。 虚拟网管理：对虚

14、拟网的配置可以进行集中的控制管理，以便随时进行 扩充、迁移等调整。 设备及端口管理：对主干网的所有网络设备及连接局域网的所有端口可 以进行集中控制管理。 网络检测：对主干网的运行状态和故障进行集中监测、报警、统计。（2）网络安全需求 划分内部网和外部网：所有向 Internet提供的信息发布服务放在外部网 上、所有校内应用放在内部网上，内部网与外部网之间设置防火墙以保证内部 网的安全。 内部网的各个子网之间的互访可以控制，杜绝非授权的访问。（3）广域网连接需求能够与国际互联网连接： 能够与 CERNET 连接，与国内各个学校交流信息。4、网络的管理 网络管理是整个网络正常运行的核心。为了确保网

15、络的正常运行，必须对 平台的运行状况和网上的数据流量进行监控。以便分析网络的性能，从此优化 网络结构，这必须依靠强有力的网络管理来支持。网络管理包括网络配置管理、 故障管理、性能管理、安全管理和性能统计等。网络的管理主要要达到以下目的：网络监控： 监视网络的运行状态，控制网络路由和流量，分析运行记录 和报警信息。性能控制： 根据网络应用状态、负荷状态、网络利用率，合理调整网络 性能。故障管理： 为确保网络系统的高稳定性，在网络出现问题时，必须及时 察觉问题的所在。它包含所有节点运作状态，故障记录的追踪与检查及平常可 对各种通讯协议的测试。效率管理： 效率管理在于评估网络系统的运作，统计网络资源

16、的运用及 各种通讯协议的传输量等，更可提供未来网络提升或更新规划的依据。网络安全管理 : 用户身份确认，访问控制，对用户权限以及用户帐户进 行 维护和管理，设置相应口令与更。 . 加密和密钥管理。监视和控制网上的破坏安 全系统的行为。运行管理： 制定网络运行的技术标准，可靠性、安全性方案和运行制度。（1）远程监控利用 windows 2008 R2 server 的终端服务器实现对服务器的远程监控。（2）远程访问支持校园网内网访问 Internet 或者 Cernet 时端口全开放；允许从公网到非军事区的访问请求。 Web 服务器只开放 80 端口， Mail 服务 器只开放 25和 110端

17、口；禁止从公网到内部网络的访问请求，端口全关闭； 允许从内部网络访问非军事区，端口全开放； 允许从非军事区访问 Internet 或者 Cernei 时端口全开发； 禁止从非军事区访问内网，端口全关闭。（3）远程控制 在客户机上实现对服务器的远程管理和控制，方法如下： 单击开始 / 程序/ 客户端连接管理器，出现窗口，双击刚才建立的名为服务 器的连接，这时服务器的桌面就显示在客户机的桌面上，输入用户名和密码， 这样就可以在客户机上对服务器进行远程管理和控制。按 Ctrl+Alt+Break 组合键，可以在窗口和全屏之间进行切换。（4）网络安全 当整个网络开始运作时，其安全防范问题就越是重要。如

18、何快速防范网络 病毒和网络黑客，已成为网络安全最主要的任务之一。病毒作为一种特殊的程序，具有传染性、流行性、繁殖性、表现性和针对 性等特征，网路病毒不仅可以对单独的计算机造成损坏，还会对局域网造成严 重的损坏。而网络黑客则利用网络和系统本身存在的或设置的错误引起的薄弱 环节和安全漏洞实施攻击，破坏网络或施放病毒使系统瘫痪。对于网路来说，保护主机及校园网的安全刻不容缓。对此，分两步来提高 网络安全系数。第一步：解决局域网的安全性在校园网与 Internet 进行连接处，外加一个硬件防火墙，从而有效抵御来 自外部网络的入侵。结构如图所示：- 7 -第二步：解决网内主机的安全性在校园网内部的各主机上

19、加装网络版病毒软件，如卡巴斯基病毒软件、360等，各工作站上也可以加装同系列的网络版防病毒软件。为更进一步防治网络 黑客，也可以在校园网内部主机上加装软件防火墙，如瑞星防火墙。三、网络描述1、网络分层设计原则从逻辑上，校园网络采用典型的三层结构：核心层 +汇聚层+接入层。每层 都有其特点，层次化设计的优点有：可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障 排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会 对其他层次造成影响，无需改变整个环境；可管理性：层次

20、结构使单个设备的配置的复杂性大大降低，更易管理。2、网络层次表示（1）核心层核心层为下两层提供优化的数据运输功能，它是一个高速的交换骨干，其 作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中（ACL，过滤等），否则会降低数据包的交换速度。(2) 汇聚层 汇聚层提供基于统一策略的互连性，它是核心层和接入层的分界点，定义 了网络的边界，对数据包进行复杂的运算。在校园网络环境中，汇聚层主要提 供如下功能： 地址的聚集； 部门和工作组的接入； 广播域 /多目传输域的定义； Internet VLAN 路由； 任何介质的转换； 安全控制。( 3)接入层 接入层的主要功能是为最终端用户提供对校园

21、网络访问的途径。本层也可以提供进一步的调整，如Access-list Filtering等。在校园网络环境中，接入层主 要提供如下功能： 带宽共享(Shared Bandwidth)； 交换带宽(Switched Bandwidth)； MAC 层过滤(MAC Layer Filtering )； 微分网段(Microsegmentatior)。在广域网环境中，接入层主要提供通过 Frame Relay、ISDN 、Leased line 连入远程节点。3、网络拓扑结构-11 -A海呈统H展幅?？怎眼常陆虫站世忖认计门熒熙舒宰学粧宿蔚K学抚办瓷M4、网络的总体设计（1）教学楼核心层交换机通过光

22、纤传输介质与教学楼的汇聚交换机相连。汇聚交换机分 别连接到各栋楼的接入层交换机，通过双绞线连接到每间教室的信息面板上， 具体分配如下：教学楼A有2栋，每栋四层，每层10个信息点，共80个信息点。教学楼B 有2栋，每栋四层，每层10个信息点，共80个信息点。教学楼C有5栋，每 栋四层，每层10个信息点，共200个信息点。教学楼D有5栋，每栋四层，每 层10个信息点，共200个信息点。教学楼E有6栋，每栋四层，每层10个信 息点，共240个信息点。教学楼F有3栋，1栋有9层，每层10个信息点；2、 3栋有4层，每层10个信息点，共100个信息点。（2）学院办公楼核心交换机通过室外光线连接到行政楼的

23、汇聚交换机，汇聚交换机通过双 绞线连接到行政楼各个办公室的信息面板上，行政楼2栋，每栋4层，每层30个信息点，共240个信息点。办公室使用24 口交换机连接到信息面板。（3）图书馆中心机房放置在图书馆的第四层，连接到汇聚交换机，通过双绞线连接到图书馆的各个信息面板上， 1楼： 10个信息点； 2楼： 8个信息点； 3楼： 8个 信息点。(4) 学生宿舍区 核心交换机通过光纤连接到学生公寓各个区的汇聚交换机，每个区域的交 换机通过光纤连接到各自的区域楼，区域楼交换机再与楼层的交换机堆叠，通 过双绞线连接到宿舍的信息面板上。(5) 信息网络中心通过光纤接入，连接 H3C SecPath F100-

24、S-AC 防火墙，再连接到一台“思 科WS-C4503的核心交换机和服务器群。服务器群组服务器统一采用 IBM System x3650 M3(7945I75) ，一台对外 Web 服务器，放的是学校的官方网站；一台内网 Web 服务器，是学校的内部网 站；一台 Ftp 服务器，由于 FTP 流量比较大，所以增加了一台 IBM TotalStorage DS3400(1726-42X) Raid 服务器。核心层交换机通过光纤连接到教学楼、图书馆、行政楼、学生公寓各个区的 汇聚层交换机。四、网络安全需求分析系统软件和硬件的安全需求，在操作系统方面，尽量采用安全性较高的网 络操作系统，并进行必要的

25、安全配置，关闭一些不常用却又存在安全隐患的系 统服务功能和端口。网络操作系统，服务器软件等可能存在一些安全漏洞，应 当对系统进行补丁程序升级，加固系统的安全性。采用各种杀毒软件。 (1)网络可靠性需求分析在一个大型网络系统中，系统每个时刻都要采集大量的数据并进行处理。 因此，网络系统的故障有可能给用户带来不可估量的损失，这就要求系统具有 高度的可靠性。提高系统可靠的方法有如下一些方面：部分用户网络系统采用 RAID 进行数据自动备份； 部分用户网络系统进行数据远程异地备份：部分网络系统要采用系统备份恢复功能；对重要服务器采用 双机热备功能；主要网络设需要考虑可离线应急操作，相同设备之间应当可相 互替代；进行网络可靠性设计时，关键在于网络不能因出现单点故障而引起全网瘫痪，所以要重点考虑到设备，软件，链路的冗余备份。(2)网络管理需求分析校园网大部分用户是学生机和教学用的服务设备，这些都不需要进行远程 管理。对性能管理要求比较高，因为目前的情况下，用户上网的总带宽是有限 制的，如果不加管理，就会造成大部分用户上不了网，不能做最基本的网络任 务。同时为了满足全部用户的上网需求，对网络故障处理也要一套很完善