组网方案设计说明

1、校园网组网技术C而校园网匸程建设中主要应用了网络 技术中的重雯分支局域网技术來建设与管理的，木文看重论述了校园网设讣与建设过程中确立建设校园网 的目标，校园网的组网方案设讣原则和所需的网络技术选型.网络设备选择以及网络安全设汁等关惟问题。一. 网络规划原则1.1校园网实用的投资保护对于投资的保护.是每个用户都关心的问題。每个设备都进行严格的选型，在满足设计原则的功能前 提下.提供最具性价比的设备配宜方案。对不同技术和设备的兼容在很大程度上保护了用户的投资。1.2校园网的先进性、”I今世界，通信和汁算机技术发展日新丿J界。我们的方案要适应新技术发展的潮流。疏要保证校园网 的先进性同时也要兼顾技术

2、的成熟性。1.3打造网络高的可用性和可靠性我们的方案对于网络的重婆应用完全支持采用冗余的设m整网具备良好的健壮性.支持对于重要交换 机之间的连接支持采用女条物理链路交换机之间做标准的802. lad的捆绑进行逻辑Trunk的，既能充分 利用网络端口实现成倍的带宽，同时也达到了一个员载均衡和链路备份的目的°对于服务器的可用性实现. 我们的基木思想是服务器群连接到原有设备cisco4006,然后通过双链路分别连接到2台万兆核心，保证f 商可用性。1.4构筑高安全性网络对于安全性我们将通过对用户的区域划分.和对应用层的划分來逐级实现网络的安全性。对的安全实施 包括用交换机进行VLAN的划分

3、，在路由中创建访问控制列拓如此可对一些网络用户实行可控的安全级别。 对于业务主机.例如服务器将通过用户权限的认证，实现用户与业务的隔离，避免非法用户的侵入。对重 要数据库采取安全备份的机制.避免突发爭件造成重要数据的丢失。支持通过防火增对外部网络的非法访 问进行过滤.防于未然。1.5具备后续可扩展性由于计算机通讯和蚩媒体应用的不断发展网络系统必然随之不断扩大。因此，目前的网络设汁必须为 今后的扩充留有足够的余地.以保护用户的投资，保证用户今后三到五年的网络扩充升级能力C二、网络需求分析校园网工程是一项高科技的综合性建设项目.它不仅涉及J'许女方面的技术同时也设计到学校的各个 部门。校园

4、网建设的总体目标是建成一个主干网，其上连接女个子网.使全校的教学、科研、管理等项目 工作都能在网上进行，充分利用这个速度高.功能强的信息传输和处理媒介，共享网上的软、硕件资源。校园网建设是一项长期的匸程，除建设和实施:程外.还有运行管理、维护和发展的任务。因此.就要 求所建的校园网即建即能使用，且好用实用。技术上采用半前先进的软件、硕件技术，且具有良好的升级. 扩展功能，以满足今后大容虽.超舟速、女媒体数据传输的需要.提供全时的服务此外.网络还应具有 良好的兼容性C2.1校园网功能需求（1）（2）同肘支持约2000用户浏览Interneto（3）提供丰富的网络服务，实现广泛的软件，唤件资源共孚

5、，包括：久提供基木的Interentb.提供校各个管理机构的办公自动化。提供图书，文献査询与检索服务，増强校图书馆信息自动化能力。c全校共孚软件库服务，避免重复投资发挥最大效益。d.提供良好的教学和科研条件。e经广域网接口，提供国外il算机系统的互连，为国际间的信息交流和科研合作，为学校快速获得垠新 教学成果及技术合作等创造良好的信息通路°2.2对主机系统的要求（1）主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力：（2）主机系统应具有高的可靠性，能长时间连续匸作，并有容错措施：（3）支持通用大型数据库,如SLQ, Or ace 1等;（4）具有广泛的软件支持，软件兼容性

6、好并支持笫种传输协议：某学校校园网的研尤与设计：（5）能与Internet互联.可提供互联网的应用，如WW浏览服务、FTP文件传输服务.E-mai 1电予服务、Nes新闻组讨论等服务：（6）支持SNMP网络管埋协议.具有良好的可管理性和可维护性。2.3网络管理需求（1）（2）虚拟网管理：对虚拟网的配辻可以进行集中的控制管理，以便随时进行扩充、迁移等调整。（3）设备及端口管理：对主干网上所有网络设备及连接局域网的所有端口可以进行集中的控制管理。（4）网络检测：对主干网的运行状态和故障进行集中检测、报警.统汁。2.4网络安全需求（1）划分部网和外部网：所有向Internet提供的信息发布服务放在外

7、部网上.所有校应用放在部网上. 部网与外部网之间设置防火墙以保证部网的安全。（2）部网的备个子网之间的互访可以控制杜绝非授权的访问.2.5广域网连接需求能够与国际互联网连接：能够Internet、Chmanet连接，与国备个单位交流信息。三、网络方案设计3.1网络架构网络设讣的主要目标是实现Internet互联网的岛速宽带接入同时适应未來校园网Internet核心层核心层网络组成舟速互联的主干，由于核心层对网络互联是至关重要的.因此必须采用冗余组件來设汁 核心层。核心层应具有商可靠性并且应能快速适应网络的变化。分布层分布层是网络核心层与接入层的分界点.分布层扮演许女角色，包括由干安全性原因控制

8、对资源的访问. 分布层可以配宜为VLAN之间连接的路由汇总接入层的路由。设il时考虑分布层与孩心层有兀余的链路。接入层接入层为用户提供在局部网段访问互联网的能力，直接与桌面讣算机接入实现VLAN划分与安全控 制。3.2网络拓扑结构设计现代网络结构化布线匚程中女采用星型结构，主要用于同一楼层.由各个房间的计算机间用集线器或 者交换机连接产生的，它具有施匸简笊，扩展性岛成木低和可管理性好等优点：而校园网在分层布线主 要采用树型结构：每个房间的讣算机连接到木层的集线器或交换机.然后每层的集线器或交换机在连接到 木楼出口的交换机或路由器.各个楼的交换机或路由器再连接到校园网的通信网中，由此构成校园网的

9、 拓补结构。校园网采用星形的网络拓扑结构.骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未來 发展和新技术的应用.另外作为整个网络的交换中心，在保证岛性能、无阻塞交换的同时，还必须保证稳 定可靠的运行。因此在网络中心的设备选型和结构设讣上必须考世整体网络的商性能和商可靠性，我们选择热路由备份 可以有效地提商核心交换的可靠性。传输介质也耍适合建网需要。在楼宇之间采用1000IV1光纤，保证了骨干网络的稳定可釜，不受外界电磁 环境的干扰，覆盖距离大.能够覆盖全部校园。在楼宇部采用超5类双绞线.其连接状态100m的传递距 离能够满足室布线的长度雯求。四、网络总体目标4.1实现校园部资源

10、共享4.2完备的数据库管理系统和资源库能够支持大虽的图文声像素材、多媒体课件片段成百个教学光盘总址达几百兆以上数据文件的收 集、管理.存储的提取。检索方便，容错性强。4.3以教学资源库为核心的教学自学环境为学校教师提供制作环境、备课工具.良好的教学演播环境以及教学评估机制。为学生提供自主学习、 交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制C利用现代教育技术，提商学生的 素质.改革课堂教学模式。4.4现代化管理方法和管理手段4.5实现校园网与互联网的连接建立学校主贞、教师主页、学生个人主贞、电子、电子公告牌等信息发布窗口，发布有关教育教学信息. 建立起学校、教师、家长、学生之间

11、的信息交流平台，并逐步发展建设成为一个面向全省、全国的教育教 学信息C4.6提供有关教育教学信息的连接，增强教学交流能力建立起各学校之间的教学信息资源库的共享使不同学校的学生可以实现网上听课、辅导.交互协作式 学习。五、IP地址规划根据我校校园网的覆盖隔广.节点数较笫等持性，木方案IP地址采用公网保留的C类地址.除J'几个关 键讯位，如网管中心.招毕办等使用公网地址之外，部使用私网网段的IP地址整个校区出口利用商性能的 GSR路由器作NAT转换.根据网络现有结构设讣比较适合的路由协议。能够实现优化的网络路径选择, 在网络结构发生变化时路由能够快速收敛.保证网络的畅通。IP地址的分配采用

12、动态分配的方式：学校拥有的公网地址为:共11个C类地址：网络中心、办公室.图书馆. 招毕办等使用公网地址，一共4个C类(168.19265.0-168.192690)：出口使用一个C类地址，剩下的地 址做为保留。下表为IP地址分配表类别地址段数fit备注网络中心1个C可以调整办公室16& 192.166.01个C可以调整图书馆1个C可以调整招毕办1个C可以调整六、网络设备选型6.1网络技术标准选择10M/100M/lGo6.2通信介质的选择目前.快速以太网通信介质一般选择光纤和五类双绞线。通信骨干尽可能选用光

13、纤.如楼宇之间、楼层 垂直布线(若不太考虑投资问题)尽可能选用光纤，在短距离如几百米半径，可以选择50um笋模光纤.且 应该为藝芯。多模光纤的交换机接口卡比较便宜，50um支持lGbit/s传输速率且传输距离可达500m,筝芯 光纤既能够保证链路兀氽，提高链路容错，又可以支持零链路隧道技术，提商链路带宽°距离较远的楼宇 之间的可以选用单模光纤。100M传输速率.又可以满足双绞线连接100m的距离限制成木也较低。6.3交换机交换机是网络通信的基木组成设备，它提供了网络连接.是数据转发的中间介质C(1) 孩心交换机核心交换机是网络的核心交换设备，提供与支T核心交换机的RJ45以太网端口一

14、般支持10W100M自适应连接.用于连接为校园网提供各种应用服务的 服务器，同时应具有足够的光纤接口.提供光纤连接。核心交换机还应该有足够的扩展槽，在必要的时候 増加光纤或RJ45扩展接口卡。网络方案根据综合平衡分析，核心交换机选用实达STAR-S6808,采用全光纤接口模块°（2）支干（楼宇）交换机支干交换机提供楼宇间互联设备.上连核心交换机，向下连接节点交换机。为了上连核心交换机.应具 有光纤接口，至少提供向上100M全双工连接速率。为r下连节点交换机应具有一定数址的RJ45接口.提 供100卜1全双工模式连接节点交换机.一般交换机之间支持100M全双工连接方式。接入层交换机选用

15、实达锐捷的STAR355（h（3）节点交换机直接连接端用户汁算机的交换机，一般采用端口支持10W100M自适应的以太网交换机.交换机应具有 一定的端口密度，如采用246.4路由器路由湍是校园网接入Internet的必备产品，它提供学校部网络Internet的连接。产品选择上主要考虑性 能和配迓.它必须具备连接网和外网两个接口。本方案设计选用Cisco 2600路由器通过中国移动通信接入InternetoCisco 2600提供了灵活.可扩展的集成解决方案，可简化管理分支机构网络解决方案的流程。Cisco 2600 提供全面的特性集.适用于：（D多服务语音/数据集成（2）带防火墙和加密选项的YP

16、N接入（3）模拟拨号接入服务（4）带宽管理的路由（5）VLAN问路由（6）商速企业级DsL接入的提供（7）经济有效的ATM接入（8）灵活路由和低密交换的集成6.5服务器服务器是提供网络应用的核心产品.要求性能可靠、稳定、商效，能够提供大存储容虽、拓I/O吞吐率. 一定的锁件兀余、良好的容错能力°服务湍是所有C/S模式网络中最核心的网络设备，在相、“I大程度上决 定了整个网络的性能C它既是网络的文件中心，同时又是网络的数据中心。在选择服务器之前，同样需要全面分析网络的应用容，以便合理规划服务器的数虽及配置。一般校园网 需要提供DNS. WWW、数据库、E-maiL办公自动化等网络应用。

17、服务湍可以根据具体应用规划其配置， 没有必婆过分追求商配宜，在校园网中根据提供的服务木设计的网络服务器的选择选用fSun Enterpfisel服务器。Sun Enterprisel服务器采用功能强大的UltraSPARC处理器，可为丄作组和PC-LAN提供快捷而有效的应用 性能。此外，该系统还可支持很女岛级联网服务.包括电子.InteractfllLotus Notes.以满足匸作组需要。Enterprisel非常适合用作中小工作组的应用软件或高性能文件服务器.可以用來连接用户的PC网络。它 采用143MHz或者167MHz ultra SPARC处理器具有很大的外部高速缓存，可提供快速吞吐

18、址.高级网络和 F0以及供存储器和扩展使用的充裕空间。Enterprisel集能力、吞吐氐软件和网络于一釦 适合于校园网 应用，且价格较低。6.7防火墙防火墙技术的核心思想是在不安全的网络坏境中构造一个相对安全的子网环境.它已成为实现Internet NAT网络地址转换.RADIUS 口令验证、网络实时监控、优先级控制、流量统讣等功能。木方案中选用实达龙马卫七唤件防火地作为阻隔外网的安全屏障。并且，为了减轻路由的负担.保 证其商速的数据转发性能，NAT做在了防火墻上。七、网络操作系统与服务器资源设备7.1系统软件平台选用Microsoft公司的中文NT Server 40、SQL Server

19、 7. 0 （可在中文平台上使用）或Sybase 11%中Exchange Server 55作为应用软件平台°在此系统平台上，实现全校的Web服务、FTP服务、电子服Windows NT Sener采用微核设汁将与平台有关的代码封闭在一个称为锁件抽象底层的动态库中，使用 一个底层软件抽奴出锁件 I大1此可以在不同的平台上安装NT,具有很好的移植性。另外.Windows NT Server 提供了支持多CPU的能力，最多可支持32个CPU并行工作。7.2数据库系统一个安全、稳固、功能强大的数据库系统是、y今校园网必不可少的组成部分。一方面它可以提供对校园 网上各种管理应用的支持.另一

20、方血它也是Internet网络数据仓库的基础。本方案选用SQLServer数据库系 统。7.3 E-Mail服务器1 允许设宜笫个处理规则根据主题、发件人等信息将直接存放到抬定文件夹中等多种方式的自动处 理。2配合用户过滤功能.提供自动回复、拒收或分检服务。3修改用户的个性化设宜.如个人签名档、个人资料.界【加显示风格等修改的配宜参数：每页显示的 数、是否将原信加入到回复的信件中、自动转发后是否在木地保存副木.设定最大字节数、设定显示的排 序方式。4. POP功能.允许设置多个电子POP ,将采集到木系统中。5用户可以将一些常用的地址加入到地址簿.方便管理，将地址按照指定的规律进行分组.实现的

21、群 发：同时可以自行添加.修改、删除个人、团体地址木中的记录.也可以在阅读时由系统自动加入到地址 簿。系统支持虚拟域名、女域名。可以在同一系统包含多个域的地址。轻松地容纳女种地址格式和/或主持 多个域需求的系统。7.4 FTP服务器集成了 Internet/Intranet 服务器软件 Microsoft Internet Information Server (IIS) 2.0。IIS 包 含了一个商性能的HTTP引翼 它构成艇b服务器的核心：IIS还包含Internet标准的FTP服务器。7.5 WEB服务器WEB服务器也称为m(WORLD WIDE WEB)服务器，主要功能是提供网上信息

22、浏览服务。采用的是客户/ 服务器结构，其作用是整理和储存各种WWWindows 2003 Server. WindowsXPx Windows NT. UNIX 或 Linux 等平台上。八、系统安全体系设计安全体系是安全工程实施的抬导方针和必嬰依据，它的质虽也决定了安全丄程的质址。所以.应把安全 体系的设汁提升到一定的商度确保安全体系的可靠性、可行性.完备性和可扩展性。8.1物理层安全物理层的安全主要包括环境.设备及线路的安全。在设备集中的管理间安装T扰器防止由于设备辐射 造成的信息泄漏。同时.雯注意保护线路的安全，防止用户的搭线窃听行为。8.2系统安全系统层主雯解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技 术手段