校园网-设计方案

校内网设计方案学院：xxxxxx班级：xxxxxxx指导老师：xxxxxxx学号：xxxxxxxxx姓名：xxxxxx书目【摘要】 -1-1. 校内网设计目标 -2-2. 校内网设计原则 -2-2.1统一规划,分步实施 -3-2.2先进性、标准性与适用性相结合 -3-2.3可扩展性 -3-2.4平安性和牢靠性 -3-2.5易管理性 -4-3. 校内网需求分析 -4-3.1校内网功能 -4-3.2主机系统的要求 -5-3.3网络拓扑的选取 -5-3.4校内网的技术方案设计 -5-4. 校内网设计方案 -6-4.1总体架构设计 -6-4.2网络体系结构的选择 -6-4.3主干网设计 -7-4.4架构设计说明 -8-4.6IP地址的规划 -10-4.7设备的选型 -11-5.校内网平安管理 -12-5.1平安技术的应用 -12-5.2VLAN的划分 -12-5.3防火墙的运用 -13-5.4管理员平安管理与服务支持 -14-5.5完善的制度 -14-6.学习心得 -15-参考文献 -15-

校内网设计【摘要】：基于校内网的学习平台开发设计主要是为老师和学习者供应一个网络化的教学和学习环境,使学生了解、熟识网络化的学习方式,并为之供应体验学问、技能应用的场所.而随着全球信息化进程的快速发展，高等学校的教化网络的快速扩张和各类应用的大量投入，导致校内内部在信息资源共享度、高效率工作流程上都产生了极大的变更。但在享受网上办公便捷的同时，校内网络中的各类问题相继出现。随着教化信息化程度的不断深化，在提高教学质量与效率，实现教化资源共享与网络化管理的同时，也给校内网的优化与升级提出更高要求。新兴的在线教学手段、教务管理系统和视频点播等广泛应用使得校内网络的流量与日俱增，给学校有网络系统带来了巨大的压力。同时，高校逐年扩招致使学校规模不断扩大，原有网络端口数量缺乏的问题日渐突出。另外，由于校内网络环境的日益困难，校内网络通信将面临严峻的平安挑战，同时也给网络管理带来系列难题。【关键词】校内网；网络设计；网络平安校内网是校内信息资源建设的基础设施.校内网建设的根本目的是为学校的教学科研和管理供应一个先进好用的信息网络环境.基于网络的合作学习是利用计算机网络以及多媒体等相关技术,使多个学习者针对同一学习内容彼此交互和合作,以达到对教学内容比较深刻理解与驾驭的过程，利用计算机网络建立协作学习的环境,使老师与学生、学生与学生以探讨、协作和沟通的方式进行学习,可以充分发挥计算机网络的优势,强化学习者的学习动机,使学习者更好地建构关于所学学问的意义,从而培育学习者的信息实力、学习策略及社会交往技能.校内网设计目标确立校内网建设的目标，不仅要考虑技术方面，而且还要考虑环境、应用和管理等方面，必需与学校各方面改革、建设长远发展相结合，科学论证和决策。依据这一要求：建设一个技术先进、扩展性强、能覆盖全校主要楼宇的校内主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，形成结构合理、内外沟通的校内计算机网络系统。在此基础上建立的校内网应具备以下3点：1）学校的目的是通过教学过程来培育人才，因此对教学过程供应干脆支持应是校内的基本功能；2）校内网必需支持学校的日常办公和管理；3）与Interent的连接也是校内网的基本功能之一，这样大大扩展了师生获得学问的途径，增加校内外的沟通及自由地发布教化信息。校内网设计原则依据计算机及网络技术的发展趋势,校内网的设计应采纳开放性的国际通用的TCP/IP协议,本着总体规划、分步实施的总体原则,并遵循先进标准性与适用性相结合、系统可扩展性及平安牢靠性原则来加以建设。2.1统一规划,分步实施校内网的建设应在统一的总体规划的前提下进行,这样整个系统才能统一标准,才不会出现系统互不兼容的现象。同时,由于计算机网络技术的更新换代、设备价格的降低和设备性能提高的速度很快,而各学校在校内网建设初期网络的运用率不高,因此,校内网通常要分步实施,避开一步到位,坚持“边投资,边运用”的原则,确保以最小的投资得到最快、最好的收益。2.2先进性、标准性与适用性相结合计算机网络技术发展及设备更新淘汰速度很快,因此,在设计校内网络系统时,应符合国际规范标准,并采纳市场占有率高、符合国际标准和技术成熟的新型软硬件产品。这里应留意的是,在校内网建设时,应充分考虑本学校实际应用的须要和现有设备状况,充分发挥设备效益,充分利用现有资源,不超前投资硬件设备,更不做新产品2.3可扩展性校内网的建设是一个长期的系统工程,随着网络技术的发展和学校应用需求的扩展,校内网也须要扩展和升级。因此,在进行校内网规划设计时,既要有用户发展的配置预留,又要满足系统升级的须要。2.4平安性和牢靠性只有平安牢靠的系统才能达到令人满足的服务效果。校内网一经运用,学校的各种管理都会渐渐依靠于网络系统来运转,网络一旦瘫痪,将会给学校各项工作带来不便,甚至会为学校带来巨大损失。因此,校内网的系统结构和软硬件设备必需具有稳定牢靠的性能,尤其是网管中心的设备,大多须要连续运转,面对全校服务,其牢靠性更为重要。校内网建成后,网络平安问题就成了首要问题。为保证系统得以平安牢靠运转,通常网络中心必需配有必要的用于平安防范的软硬件设备,以防止内外非法访问和恶意进攻。同时,由于校内网遍布学校的各个地方,比较分散,因此,网络系统中的端口设备应具有良好的可管理性。2.5易管理性随着网络规模的不断扩大,校内网络的管理越来越重要,管理的事务也越来越困难。可以通过图形化的配置对网络进行虚网划分,设置各子网的访问权限,简化网络的管理。用户应能在中心机房通过网管工作站上友好的图形界面,实施网络的动态监测、配置、数据流量的分析等。校内网需求分析3.1校内网功能（1）支持约1000用户阅读Internet。（2）连接校内全部教学楼、办公楼、试验室楼和学生宿舍中的计算机。（3）供应丰富的网络服务，包括：①供应国际互联网ISDN专线接入（或DDN），实现与各公共网的连接。供应基本的Internet网络服务功能：如电子邮件、文件传输、远程登录等。②有综合网络办公系统及各个应用管理系统，实现办公自动化，管理信息化。③供应图书，文献查询与检索服务，增加校图书馆信息自动化实力。④全校共享软件库服务，避开重复投资，发挥最大效益。3.2主机系统的要求（1）主机系统应采纳当前市场较新的主流技术，并有良好的扩展实力。（2）支持通用大型数据库。（3）主机系统应有高的牢靠性，能长时间连续工作，并有容错措施。（4）具有广泛的软件支持，软件兼容性好，并支持多种传输协议。（5）能与Internet互联，可供应互联网的应用，如WW－W阅读服务、FTP文件传输服务、E－mail电子邮件服务3.3网络拓扑的选取校内网络拓扑图当计算机的台数较多或牢靠性要求较高时，优先考虑采纳星型或树型连接；对于具有几台距离较远或牢靠性要求不高的以及共享任务不繁重的，可考虑采纳总线型连接。而校内网中的计算机数量较多，所需的功能也不一样，所以实际的拓扑结构常为以上两种方式综合。3.4校内网的技术方案设计校内网的设计应采纳符合国际工业标准的、比较成熟的技术，并能兼顾网络技术的发展方向，可选择结构化、可扩充、多用途的网络产品。同时网络设计应结构合理，在通信网络、资源配置、系统服务和网络管理上要有良好的分层设计，使网络结构更加清楚，便于运用、管理和维护。另外，网络设计应坚持高效好用的原则，着眼于教学、科研、管理的实际须要，用有限的资金优先解决工作急需的问题。校内网设计方案4.1总体架构设计针对校内网的特点，总体设计思路分为以下几点：（1）全面驾驭校内网网络结构，绘制具体的校内网网络拓扑机构图，并在图中标留意点设备位置及用途。（2）梳理校内网网络通信设备、平安设备、存储设备、服务器等信息信息。（3）依据业务或功能对校内网中的信息系统进行区域划分，形成各自独立的区域，这样可以最大限度的解决信息系统相互干扰问题。（4）制定外部访问规则，供应VPN服务供教职工访问校内业务系统，禁止外部干脆对校内网的访问。（5）制定平安管理制度，完善各环节工作规程，削减由于工作失误造成的故障。4.2网络体系结构的选择网络体系结构是指计算机通讯系统的整体设计，它为网络软件、硬件及网络通讯协议、数据存取限制和拓扑结构供应标准。因此，网络体系结构的选择是实现校内网建设目标的核心环节。在充分了解网络的特点、性能、价格的基础上，依据学校的实际应用，考虑学校能够投入的资金及现有的设备、局域网和其他资源状况，进行综合分析，并制定有利于开发利用、发展扩充，性能价格比高的网络方案。现有的网络技术主要有千兆以太交换网、ATM等。千兆以太网是快速以太网的持续，是性价比很高的一种主干网技术，但由于千兆以太网所涉及的标准还没有完全确定。在对传送视频应用等响应时间不行预料的网络中，千兆以太网不是最佳选择。ATM技术比千兆以太网早3年，ATM技术能供应较高的网络带宽和服务质量限制，具有适合于语音、视频、数据传输等特点。因此，考虑到多媒体技术的快速发展和现代教学中大量多媒体课件的开发应用，能满足网上大量多媒体信息传递的须要，比较先进的方案还是建议采纳ATM作主干，局域网和用户端仍采纳以太交换网。4.3主干网设计依据分层理念，主干网可采纳三层网络架构，通过层次化模型设计，将困难的网络设计分成３个层次：接入层、汇聚层和核心层。每个层次着重于某些特定的功能，这样就能够使一个困难的大问题变成很多简洁的小问题，如图所示。核心层（实现高速交换）汇聚层（实现基于策略的连接）接入层（实现本地或远程工作组访问）层次化网络模型主干网采纳三层网络架构，可以从以下几个方面保证了校内网络的敏捷性、可扩充性、牢靠性和高效性：①利用分层结构将网络的功能区块化，使得网络的局部修改和扩充被隔离，使校内网络更具敏捷性；②利用区块的不对称特性优化网络的流量配置，提高校内网络的性能价格比；③利用网络整体的对称性供应负载均衡，最大限度地提高网络的性能；④利用网络整体的对称性供应校内网络的冗余，提高网络的牢靠性。局域网的类型有多种，但性价比占优势的还是1000M以太网，其优点就是组网技术简洁、廉价，即主干网组网技术应采纳千兆以太网技术。因为其技术具有高带宽1000Mbps速率的主干，其次就是做为校内网的结构无论在高带宽、可适应性、高性价比、良好的管理性和可维护性等各方面都是最明智的选择。用100Mbps交换机到桌面，这样的结构不但就目前的各种应用系统运行起来绰绰有余，而且还可以轻松地应付将来一段时间内的应用要求，且特别简洁升级和扩展，运用户投资得到最大限度地爱护。光纤主干网覆盖整个教科院、并将光纤连接到有条件的部分高校生宿舍，从而将校内网建成一个具有肯定规模容量、技术先进、功能齐全、优良好用、平安牢靠，并具有可扩充性的现代化网络系统以千兆交换机作为校内网的中心，在此基础上，依据不同功能的须要，把整个校内网分割为几个或者几十个以百兆交换机为核心的校内网中的子网。为满足学校能与其他网络的连接，可在百兆交换机中再布设一个子网，把服务器，路由器等与外部网相连接的应用设备用防火墙将它们与校内网隔离开来，以爱护校内网内部的数据。4.4架构设计说明互联网接入域方面：此区域主要负责学院ISP接入，目前我院共有联通、电信、教化信息网共三条线路，其中联通、电信主要负责教职工及学生的日常网络服务，由于这部分区域的特别性区域内设备均采纳主、备方式冗余部署，最大限度的解决了由于设备单点故障导致的网络中断。网络核心区：此区域主要为各教学楼及各校区链路的汇聚供应数据链路服务。除此之外最为校内网的核心部分，也是连接应用网路和外部网络的桥梁，必需确保进入和输出数据的平安性，因此平安审计、平安监测设备均部署在此区域内。通过这些设备对数据的过滤、筛选。网络管理区：网络关系信息系统是保障网络牢靠运行的重要手段，网络管理云可以通过网络关系系统对网络进行全面监控，对全部网络设备进行配置、运维管理，因此将这些系统放到独立的区域集中管理，通过特别的平安设备进行平安加固是保障校内网健康运行的前提。业务系统区：校内网全部服务器归属到该区域进行统一管理，通过边界防火墙对外供应服务，采纳基于TCP/IP的访问策略进行数据访问限制，供应对外单项服务，对内采纳特别授权方式解决。视频会议区：我院现共有三个校区，日常会议大都通过视频会议的方式来解决，由于视频会议对网络带宽的要求较高因此将视频会议区域单独通过校区自由光纤与其他校区连接，并通过带宽保障技术确保足够的带宽供应。校内卡区域：校内卡网络最为消费功能有它的特别性，必需独立于其余的网络独立出来，采纳专线网络管理从而从物理层面实现与校内网的隔离，随着学校发展的需求，给予了校内卡更多的身份不单单只应用于消费还有考勤、门禁等应用出现，此区域内应当包括全部与校内卡相关的硬件及软件。测试区域：测试区主要服务对象是一些处于测试阶段的软件系统，此区域的平安级别较低，软件管理人员可以随时操作服务器调试软件，为用户供应良好的测试环境4.5用户准入机制设计对于校内网的用户，最重要的是对用户准入准出进行限制，并满足计费管理功能。因此主要解决下面的问题：将网络平安接入限制、防代理、上网用户的多种IP限制和管理功能、非法DHCPserver限制、认证时的绑定平安限制功能、合法用户的授权功能、Mac地址防盗功能、主机与IP的绑定功能、多种计费限制功能、对特定用户的强制下线功能、黑名单用户禁止上网功能、支持用户上网的时段限制，还可以对学生的上网时间加以限制。这些是校内网通常认证计费软件须要实现的功能，这是一个较为困难的应用系统，须要由多方来实现。校内网另外一个问题是互联网带宽的滥用，不少学生在网络中运用BT等P2P软件，大量占用互联网出口带宽，使得全网访问互联网特别缓慢，有时也可能因为病毒的缘由，向外大量广播数据包，导致交换机端口堵塞，接入交换机可以通过限制接入速度来实现对这些问题的抑制。上述功能，可以在接入层或者汇聚层交换机上实现，这样可以将网络初始流量抑制在每台交换机上，不至于将异样流量引入核心层交换机，占用核心层交换机的处理实力，影响网络性能。4.6IP地址的规划在校内网的规划设计中,IP地址方案的设计至关重要,为了便于校内网的管理,可将校内网划分为若干网段,各部门各占一个网段,由IP地址和子网掩码来确定各子网中的主机地址。在信息访问时,各子网段是相对独立的,在肯定程度上爱护了该网段内的信息平安。为了保证网络的扩展性和平安性,我们一般在网络中设计运用C类IP地址,网络中的应用服务器也运用私网IP地址。IP地址的安排IP地址安排是优化路由处理的重要组成部分。在网络规划中,应尽量采纳保留地址,并且地址按区域进行划分。在地址安排过程中,各节点的保留IP地址应尽量保持连续性以便于内部路由管理,同样,整个网络内部也应尽量保持CIDR(无线域间路由)地址块的连续性,保留IP地址的运用应为将来网络发展留有余地,以便于网络的统一规划。4.7设备的选型网络服务器一般选择基于UNIX的中档工作站，如SUN、HP、IBM等工作站或服务器。操作系统可选Solaris、HP-UNIX、AIX。这些服务器内存至少64MB，硬盘容量超过2GB以上，依据须要划分为若干卷，匿名FTP服务器、WWW服务器及BBS服务器应具有较大的硬盘容量。一般应运用486以上机型。主干交换机是指连接服务器及楼（比如办公楼）与楼（宿舍）之间、层（比照试验楼一层与二层之间）与层之间的数据交换设备。校内网的主干交换机可选择的1000M交换机。这样可以为主干校内网之间供应1Gb／s的宽带。应用的主干技术可用堆叠交换技术。校内网服务对象最大的群体是学生，因此干脆运用100M交换机到桌面上，利于解决集中突发性所造成的堵塞。为了使每个教室之间互访得到有效的进行，提高平安性，可在校内网中另外实行虚网技术路由器选择的是一台IntelExpressRouter9100路由器。路由器是校内网对外的出口，也是为爱护校内网的第一道防火墙。中心机房到汇聚层节点采纳千兆光纤(多模)连接，汇聚层到接入层采纳百兆的五类线(或者超五类)连接。通常考虑，建议数据信息点的接入用交换100/10OOMbp自适应以太网端口接入，以便能较经济的供应较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高牢靠、高性能的宽带多媒体校内网。5.校内网平安管理5.1平安技术的应用(1)VLAN技术的应用。为了有效地管理网络，我们在校内网络中进行虚拟网的划分。虚拟网（VLAN）技术是目前局域网技术中发展快速的一种技术，它通过在现有物理网基础上，依据实际网络应用的须要敏捷配置，将网络各节点重新划分组网，形成一个逻辑网络。虚拟网技术的引入给现有网络的设计、管理和维护带来了某些根本性的变更。(2)ACL技术的应用。合理配置和运用交换机支持的访问限制列表（ACL）功能，能够合理地限制网络非法流量，其主要原理为：ACL运用包过滤技术，在路由器或者核心交换机上对ISO模型的第三层、第四层的包头信息读取，包括源地址与目的地址、源端口与目的端口，依据设定的规则对数据包进行过滤，从而实现访问限制。校内网节点主要由资源节点与用户节点构成，资源节点供应大量的应用服务与数据共享供用户节点访问。在这个过程中，ＡＣＬ技术一方面对资源节点供应爱护，阻挡非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。5.2VLAN的划分校内网内部已经具备了数个相对独立的办公或学习单元,假如全部独立单元的用户无差别地处于对等网中,不仅使很多敏感数据简洁被无关人员获得,而且独立单元内的大量通信也会占用很多的网络资源,使整个网络的效率变低,甚至引起崩溃。为此,须要将常常进行通信的计算机组成一个子网,使大量的内部数据局限在子网内传播,然后将各个子网连接在一起,形成校内局域网。VLAN又称虚拟网,从网络管理上被定义为一个位置无关的局域网广播域。VLAN技术是随着交换技术的出现而产生的,在一个校内网内划分若干虚拟子网有以下好处:(1)隔离广播。(2)便利的工作组划分和管理。(3)增加网络平安性。具体在校内网虚拟网的划分中有以下优点:(1)使得校内网的划分很简洁和校内各部门的划分一样起来,能使得同一部门在不同物理网段的结点可被设为同一逻辑子网,实现与物理位置的无关性。(2)对于网络中心,财务部门等要害部门可采纳基于传统的MAC地址的VLAN划分技术,以防止非授权结点在该子网中的出现。(3)对于比较分散、物理子网比较多,难以有效管理的地方可采纳混合策略,以尽量削减IP地址盗用和其它平安问题。5.3防火墙的运用防火墙是架构于两个不同网络之间，依据设定的平安规则，确定网络中传输的数据包是否允许通过，并监视网络运行状态，内部的结构以及运行状况均对外屏蔽，从而实现内部网络的平安防护。防火墙的主要作用为：①防火墙能够把内、外网络、对外服务器网络实行分区域隔离，从而杜绝它们与外网干脆通信；②防火墙能够将对外服务器、网络上的主机隔离在一个区域内，通过平安爱护措施，确保平安；③防火墙能够对用户的访问权限进行限制，在增加合法用户平安性的同时，也实现对非法用户的拒绝；④防火墙能够实现对访问服务器的恳求限制，发觉非法行为以及阻挡非法操作；⑤利用防火墙及各服务器上的审计记录，形成一个完善的审计体系，在策略之后建立其次条防线。出口防火墙主要是互联网出口平安规则的检查，由于是