信息职业技术学院校园网络设计方案报告

北京信息职业技术学院校园网络布线设计方案汇报目录第一章项目背景及需求分析31.1项目背景31.2项目目31.2.1网络系统建设目41.2.2校园网系统高可靠性41.2.3校园网系统可维护性51.3项目需求51.3.1.网络互联需求分析51.3.2.顾客需求61.3.3网络安全规定分析61.3.8存储备份需求71.4方案设计原则及特点71.5编制根据8第二章网络逻辑构造设计92.1网络拓扑构造设计92.1.1拓扑构造分类92.2VLAN规划和IP规划10第三章网络系统设计113.1网络逻辑构造11第四章重要设备简介124.1关键路由器124.2第一层互换机134.3第二层、第三层互换机14第五章工程造价15第六章网络安全方略165.1网络安全设计原则165.2网络安全系统架构175.3整体网络安全处理方案17第七章项目培训与售后服务198.1技能培训198.2售后服务198.2.1、免费质保期内承诺208.2.2、免费质保期满后承诺208.2.3支持方式21第一章项目背景及需求分析1.1项目背景北京信息职业技术学院建筑分布重要有教学楼、办公楼、实训楼、图书馆、学生公寓等构成，学院通过近年来扩建既有三个校区，既有在籍学生7000多人，在校班级70个，教职工工800人，学院新建了新教学楼、办公楼和学生公寓。通过建设一种高速、安全、可靠、可扩充网络系统，实现校内信息高度共享、传递，教学及管理信息化，校领导能及时、全面、精确地掌握全校教学、科研、生产、管理、财务、人事等各方面状况，建立出口信道，实现与Internet互联，实现学生公寓能在公寓中无线上网，教职工通过VPN连接实现家庭办公，数字化校园进行网络学习和获取有关教学资源。由于网络环境复杂，顾客角色较多，各类网络权限使用权限不一样，需合理规划，同步来自外网和内网网络安全及网络袭击威胁越来越严重，应建立一套性价比较高网络安全防护体系。校园网络平台不仅要可以满足学校目前应用需求，并且应能适应此后若干年内应用提高规定。1.2项目目校园网是要实现将三个校区之间有连通性，之间能通信。实现资源共享，提高通信速率，从万兆关键到百兆桌面一种高原则目。建立网络辅助教学系统，实现教学手段现代化。1.2.1网络系统建设目网络覆盖东校区，学院本部和南校辨别支机构，根据目前校园实际状况和环境，本方案首先需要建立基础网络平台，只有在网络互联互通基础上，才能承载顾客访问，应用扩展等技术。整体网络建设目如下：1.信息资源共享：通过校园网，实现校园内部，学校与国内、国际教育迅速交流，到达资源共享，是广大师生及时理解国内外科学技术和高等教育发展最新动态，增进教学、科学和管理发展2.网络构造清晰：中心机房接入点→各楼层管理间→各层设备间→工作区。3.百兆到桌面：所有顾客以太网有线接入带宽可以保证提供百兆或以上带宽，提高工作效率。4.关键千兆：对于汇聚层到关键层网络带宽至少要保证提供千兆支持，对于尤其重要互联互通环境，还需要可以提供千兆端口绑定功能，以提供更高网络带宽保障。5.网络辅助教学：建立基于网络电子教学CAL课件开发、视频点播（VOD）、网上题库、答疑与作业批改等网络教学系统，实现教学手段现代化。6.网络管理与监控系统：屏蔽无关游戏、社交网站，对教职工和学生分别赋予不一样权限，在保证通信前提下实现隔离保护。7.网真会议：通过网真实现三校区即时同步展开会议，提高办公、行政效率1.2.2校园网系统高可靠性在考虑既有网络基础上,整个业务网网络构造拓扑构造尽量采用稳定可靠构造形式,以保证整个网络高可靠性。网络设备和整个网络系统必须具有高可靠性特性。重要网络设备必须具有热插拔功能,可带电修复故障而不影响网络系统总体工作,并支持电信级网络设备可靠性。在基本需求上留出必要冗余，最大程度上保证网络全天通信。1.2.3校园网系统可维护性整个业务网必须具有良好可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统管理和维护。同步应尽量选用集成度高、模块化、可通用产品,以便于管理和维护。1.3项目需求北京信息职业技术学院信息网络系统是使用高速光纤，构建两套互相独立、物理上隔离网络系统，以提供安全、可冗余、IP互换、可备份各教学系办公局域网和可访问INTERNET网络系统，实现各教学系内部和各部门之间教学互换网络化，实现资源共享，为各教学系提高办事效率，提供办事透明度以及迅速反应和决策可靠地保障。在此网络平台上为学院三校区及其其他各教学系提供数据互换、文献传播等服务。网络系统重要是以光纤作为传播媒介、以IP和Internet技术为技术主体、以关键互换机为互换中心、下属部门信息网络系统为分界点多层构造。客户对网络系统建设详细规定如下：（1）校园网系统可扩展性（2）校园网系统可维护性总体目是建设信息化办公网络互换平台，集成基层各教学系信息网络系统，功能齐全、技术先进，集成化网络系统1.3.1.网络互联需求分析位于北京旭日东校区教学办公所在网络布线信息点通过网络互联设备接入；整个校区基本网络将实现高可用性，高可靠性，高稳定性。同步也要实现网络安全性以及可控性。北京信息职业技术学院教职工工分布及办公和教学信息点需求：序号地点/部门信息点数备注教师员工11号楼130教学楼行政楼7022号楼124行政楼4733号楼54办公楼医务室1044号楼154教学楼行政楼11455号楼30教室楼066号楼137行政楼图书馆2488号楼696男生公寓5910号楼160培训中心251011号楼320男生公寓51112号楼640女生公寓101213号楼128行政楼教学楼281314号楼803行政楼教学楼2114数字实训基地25教学楼515保卫处8行政楼12合计3409376二层互换机56三层互换机3891.3.2.顾客需求根据教师和学生上课和教师研究等需求，实现校园内部资源共享。通过建立学校主页、电子邮箱、FTP资源、办公系统以及视频点播等服务器，公布有关新闻，、教学信息、教师与学生之间交流平台。除上述考虑外，还要注意到由于逻辑上业务网和管理网必须分开，因此建成后校园网应能提供多种网段划分和隔离，并能做到灵活变化配置，以适应教学办公环境调整和变化。

整个方案设计目是建设一种集数据传播和备份、多媒体应用、语音传播、OA应用和Internet访问等于一体高可靠、高性能宽带多媒体校园网。1.3.3网络安全规定分析校园网络安全重要考虑如下几方面规定：各个部门、教学系所访问网络控制,各单位之间在未经授权状况下,不能互相访问。内、外网通过防火墙连接，实现数据安全保护。校园方安全防护重要在如下几种方面：一、限制外网访问。假如网关、服务器暴露在复杂互联网下很轻易受到袭击。教职工使用电脑较为安全，因此一定要隔离出内、外网。只有通过安全验证顾客才能登录访问内网。二、外网建设。将外网网站有关数据和内网数据放置在同一服务器上是非常危险行为。外网网站数据应当单独放置，应当制作静态网页，不使用存回和取出功能，购置单独域名。三、物理袭击。中心机房应当符合《机房管理规范》中A级机房原则。严禁学生进入。并且将重要数据备份服务器单独设置一种机房，不与中心机房在同一建筑。1.3.8存储备份需求对于学院来说，某些科研成果是最为重要信息，其中也许波及国家机密。在防止信息被盗同步，也要对重要信息进行备份。对于存储备份系统，提议使用最低级、最原始方式：用大容量移动硬盘直接拷贝，之后对拷贝移动硬盘进行封存。1.4方案设计原则及特点先进性：采用先进技术、措施、设备，使系统既成熟可靠又能反应当今应用水平，并具发展潜力。开放性：整个系统应具有开放性，符合对应国际原则和协议。提供开放网络接口和数据接口，使不一样产品可以协同运行，以便数据互换、信息共享。扩充性：系统应易于升级和功能扩充。在系统容量、能力、处理能力等方面具有可扩充性，可以以便地进行产品升级换代，不仅可以保护学校投资，并且具有较高综合性能价格比。可靠性：应当在系统构造、设计方案、设备选择、技术服务等方面综合考虑，保证系统可以无端障运行。同步系统必须具有出错处理、容错能力、冗余备份功能。实用性：整个网络功能应完全立足于学校管理和教学需求，保证系统信息处理和传递安全、可靠、及时、精确。安全性：网络系统必须具有高度安全性和保密性，通过设置分级保护、控制数据存取权限，防止对系统非法侵入。可维护性：提供有效网络管理和系统监控、调试、诊断技术，保证系统维护管理简要、以便、有效。可操作性：必须提供友好中文界面，采用基于WindowsGUI界面，操作简便，容错性强，易于管理和维护。以上几点概述为本方案中心设计思想，到达为信息化构建一种高性能、高可靠性、高安全、灵活性与可扩充性高IT基础系统。1.5编制根据《计算机信息系统保密管理暂行规定》（国家保密局1988年2月26日印发）《计算机信息国际联网保密管理暂行规定》（国家保密局1999年12月29日印发）《中国公众多媒体通信网技术体制》《计算机中心机房管理规范》《综合布线管理规范》《中国公众多媒体通信网工程实行技术规定》《建筑制图原则》（GBJ104-7）IEEE工业原则：802.1d、802.1p、802.1q、802.3、802.3u、802.3z支持路由协议：IPRIPv1/2、OSPF第二章网络逻辑构造设计2.1网络拓扑构造设计2.1.1拓扑构造分类计算机网络拓扑构造包括逻辑拓扑构造和物理拓扑构造两种。逻辑拓扑构造是指计算机网络中信息流动逻辑关系，而物理拓扑构造是指计算机网络各个构成部分之间物理连接关系。网络中常常用到物理拓扑构造有总线型、星型和环型等1)总线型拓扑构造总线型拓扑构造也称为线性总线，在这种构造中使用一根线缆来连接所有设备，线缆相继地连接各台计算机。一条传播总线上连接了多种节点，在节点之间按广播方式进行通信，即每个节点都能收到在总线上传播信息，但每次只容许一种节点发送信息。2)星型拓扑构造星型拓扑构造是以中央结点为中心，经传播线路分别同外围节点连接而成。星型拓扑是目前局域网中应用最为普遍一种拓扑构造。在这种构造中，中央结点一般采用集线器或者互换机，外围节点常使用个人计算机。网络中每个终端都通过独立线缆连接到中心设备因此本方案采用星型网络拓朴构造，星型拓朴构造为目前较为流行一种网络构造，它是以一台中心处理机（通信设备）为主而构成网络，其他入网机器仅与该中心处理机之间有直接物理链路，中心处理机采用分时或轮询措施为入网机器服务，所有数据必须通过中心处理机。由于所有节点往外传播都必须通过中央节点来处理，因此，对中央节点规定比较高。

长处是网络构造简朴，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路运用率低；处理机负载重（需处理所有服务），由于任何两台入网机之间互换信息，都必须通过中心处理机；入网主机故障不影响整个网络正常工作。对该网络支持设备生产厂商有很好技术支持。局域网内所有工作节点通过双绞线与互换机相连形成一种星型网络。办公电脑提议采用品牌商用机，商用机运行比较稳定，并且比较耐用，运算速度较快，较适于开发使用。2.2VLAN规划和IP规划学院本部有电子工程系（5个专业），机电工程系（3个专业）；东校区有计算机工程系（4个专业），软件工程系（3个专业），信息工程系（2个专业），数字媒体与艺术系（4个专业），财经管理系（5个专业），外语系（2个专业）；南校区有汽车工程系（3个专业）VLAN划分及IP地址规划原则：每一种教学系划提成一种单独VLAN；每一种VLAN划分单独网段，具有独立地址空间各VLAN之间不能直接互通，通过三层互换机(VTP)实现互联此外，对会议室、校长室，主任室，及就业办公室单独创立1个VLAN对无线网段单独创立1个VLAN地址分派按每一种网段1个B类原则划分每一种网段第一种地址为该网段网关地址下表是为学院划分VLAN、IP划分列表：序号部门(员工数)子网地址地址范围广播地址子网掩码VLAN1培训部/27/2946Vlan102就业办公室/275/29646Vlan203信息中心/2789/30050Vlan304办公室/2728/29946Vlan405学院办公室/2717/29846Vlan506院长办公室/2785/29646vlan607财务室/2784/29546Vlan708网络工程系办公室/27783/258428Vlan809教室/278648/264972Vlan9010服务器/28640Vlan100第三章网络系统设计3.1网络逻辑构造下图便是本次校园网设计逻辑构造示意图。左边互换机代表外网，右边三个互换机就是一种双机热备系统，之后通过第一层互换机组连接到用PC机代表二层、三层互换机。第四章重要设备简介4.1关键路由器关键路由器推荐使用——CISCO7304。这是一款电信级高端路由器，正是作为计算机专业学校最为适合种类。基本参数路由器类型：电信级高端路由器网络协议：IP，IPX，DLSW，AppleTalk传播速率：10/100/1000Mbps端口构造：模块化局域网接口：2个功能参数防火墙：内置防火墙Qos支持：支持VPN支持：支持其他参数处理器：RM7000MIPS处理器，PXF处理器产品内存：最大DRAM内存：512MB

最大Flash内存：128MB产品尺寸：177.8×436×520mm产品重量：370g环境原则：工作温度：0-40℃

工作湿度：5%-85%

储存温度：-40-70℃

储存湿度：5%-95%4.2第一层互换机由于关键路由器使用了思科设备，出于兼容性等方面考虑，接下来所有网络设备都应当该选用思科企业产品。于是第一层互换机组就选用了思科企业级互换机——CISCOWS-C3560E-12D-E重要参数产品类型：企业级互换机应用层级：三层传播速率：10/100/1000/10000Mbps互换方式：存储-转发端口参数端口构造：非模块化端口数量：12个端口描述：12个基于X2万兆以太网端口传播模式：支持全双工功能特性网络原则：IEEE802.1s，IEEE802.1w，IEEE802.1x，IEEE802.3ad，IEEE802.3af，IEEE802.3x，IEEE802.1D，IEEE802.1p，IEEE802.1Q，IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z堆叠功能：可堆叠VLAN：支持QOS：支持其他参数状态指示灯：连接完整性，禁用，活动，速度和全双工指示器，系统，RPS和带宽运用率指示器电源功率：300W产品尺寸：44.5×445×495mm产品重量：10.7kg平均无端障时间：147，001小时环境原则：工作温度：0-45℃

工作湿度：0-95%（非冷凝）

存储温度：-25-70℃

存储湿度：10%-85%（非冷凝）4.3第二层、第三层互换机综合各方面考量第二层和第三层互换机使用性价比较高千兆以太网互换机——CISCOSR2024.重要参数产品类型：千兆以太网互换机应用层级：二层传播速率：10/100/1000Mbps互换方式：存储-转发背板带宽：4.8GbpsMAC地址表：32K纠错端口参数端口构造：非模块化端口数量：24个扩展模块：2传播模式：全双工/半双工自适应功能特性网络原则：IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3x堆叠功能：可堆叠VLAN：不支持QOS：不支持网络管理：无其他参数电源电压：AC110-120V电源功率：100W产品认证：FCCClassB，CE产品尺寸：432×349×45mm产品重量：3.62kg环境原则：工作温度：0-50℃

工作湿度：20%-95%（非冷凝）

寄存温度：-40-75℃

存储湿度：5%-90%（非冷凝）第五章工程造价序号名称单位价数量合计备注1CISCO7304680003204000关键路由器2CISCOWS-C3560E-12D-E8160010816000第一层互换机3CISCOSR20242700445100第二、三层互换机4WatchGuardXTM1050241804824836096防火墙5金盾GFW-770020024400000流量管理6A10EXSeries2200103000021060000负载均衡7神州数码DCNIDS-1800-G26021240000入侵检测8方正8000-X-SSL-T10000450000029000000SSLVPN9启明星辰USG-10000E208000024160000UTM10A10Idaccess50040000280000内网安全11浪潮天梭TS850635000010整机服务器机组12Eaton伊顿939560026500005UPS13思科网真CTS3000800000108000000网真会议摄像头14思科网真5320150000034500000网真会议工程总体造价：6大写：壹亿壹仟陆佰贰拾肆万柒仟伍佰玖拾陆元整第六章网络安全方略伴随网络袭击方式多样化，只针对网络层如下安全处理方案已经局限性以应付多种各样袭击，校园网网络需要防备来自2-7层袭击；还要随时关注操作系统、数据库、软硬件等等设备自身安全性；防备也许来自内部安全威胁等等。因此校园必需采用立体多层次安全系统架构才能保障校园网络安全。5.1网络安全设计原则建设校园网主线目是为学校教学、科研和管理提供先进实用硬件支撑环境。为实现这一目必须考虑采用先进实用计算机技术和网络通信技术,把校园网建设成为具有高速、稳定、可靠、安全校园财干兼顾应用服务系统,提供现场化教学、科研办公及管理系统,同步拓展校园内多方面应用。为此提出一条总原则：“分期建设;逐渐实行;先教学系统后扩展应用;精选设备;软件配套。”详细说来有如下几条原则必须考虑;（1）实用性：校园网建设强网络系统与网络应用以应用推进建设,重视信息资源开发、运用和效果。（2）先进性：主干采用先进成熟网络技术和产品,适应大量数据和多媒体信息传播、处理、互换需要,使网络具有较强生命力。（3）开放性：网络系统支持有国际和国标,支持异构型边缘子网互联与集成,易于网络扩充和升级,使有限投资得到保护。（4）安全性：对网上信息提供多层次、基于方略安全保护措施。（5）可靠性：网络机构、网络设备、网络系统与应用系统间接口、供应商产品与服务信誉等,均具可靠性。（6）简洁性：网络拓扑构造简洁,硬件和软件按需要进行灵活配置。（7）可管理性：采用较先进管理软件,实现全网检测、资源分派、负荷调整、故障定位等功能,并具有良好人-机操作界面。5.2网络安全系统架构伴随计算机和网络技术迅猛发展和广泛普及,校园网作为高校推进信息化、数字化建设重要基础设施,近几年来,在国家、学校大力支持下得到了飞速且迅猛发展。校园网已经在我国教育系统得到了广泛地使用。不过,Internet自身所具有开放性、自由性和国际性在增长了应用者自由度同步,对安全也提出了更高规定。一旦网络安全系统受到了严重威胁,将给校园、社会、乃至整个国家都会带来巨大经济损失。怎样使校园网络系统免受黑客和病毒入侵,使校园网络正常、高效地为我国高校事业发展服务,并且为目前高校信息化、数字化健康发展而服务,是各个高校普遍存在和面临问题。校园网络安全问题重要集中在如下几种方面：1)网络安全面投入严重局限性，没有系统网络安全设施配置学校上网场所管理较混乱2)电子邮件系统极不完善，无任何安全管理和监控手段网络病毒泛滥，导致网络性能急剧下降，诸多重要数据丢失，损失不可估计。3)网络安全意识淡薄，没有指定完善网络安全管理制度。5.3整体网络安全处理方案通过如上需求分析，我们提议采用如下整体网络安全方案。1、规范出口管理实行校园网整体安全架构，必须对原有网络架构进行改造，首先需要处理就是多出口问题。因此，作为校园网络管理机构必须将所有校园网络出口统一管理，严禁私自开后门状况出现，为安全实行提供最基础保障。2、配置完整系统网络安全设备校园网络虽然比较复杂，但从整体技术架构来看，还是属于局域网范围，因此，在局域网和外部网络接口处配置统一网络安全控制和监管设备即可将绝大多数外部袭击拒之门外。此外需要注意是，校园网络目前基本上都是高速网络，因此配置安全设备既要考虑到功能同步也必须考虑性能，将配置安全设备后对网络性能影响尽量降到最低。据此规定，校园网络需要配置如下安全设备：1）高性能硬件防火墙2）旁路监听型入侵检测系统3）漏洞扫描系统4）安全审计系统5）旁路监听型不良内容过滤系统6）覆盖全校范围网络版防毒系统7）网络故障检测以及网络故障诊断设备通过配置以上安全产品可以实现对校园网络进行系统防护、预警和监控，对大量非法访问和不健康信息起到有效阻断作用，对网络故障可以迅速定位并处理。处理顾客上网身份问题，建立全校统一身份认证系统建立基于校园网络全校统一身份证系统，才能彻底处理顾客上网身份问题，同步也为校园信息化各项应用系统提供了安全可靠地保证。严格规范上网场所管理，集中进行监控和管理顾客使用网络首先通过统一校级身份认证系统确认费合法顾客无法使用校园网络。合法顾客上网行为受到统一监控并且上网行为日志集中保留在中心服务器上。这样既可以不给机房管理增长承担，同步也可以提供至少三个月以上日志备查。此外，由于是将访问日志直接传送到中心监控服务器上，这保证了这个记录严厉性和精确性。改造电子邮件系统，提供多种安全监控和管理功能大多数校园网络使用免费电子邮件系统，由于功能和性能等多方面差距，已经明显不适应顾客使用和网络安全对邮件系统规定；此外，在安全管理方面，无法提供及时监控和日志，对某些有害信息无法进行过滤，也成为了校