大学校园网络解决方案

大学校园网解决方案创作：杨立波指导教师：李楠方案概述校园网的设计原则建立在充分考虑学校使用需要的基础上，力求满足整个校园网的可靠性、先进性、实用性、可兼容及可扩展性。（１）可靠性：保证系统可靠运行，关键设备应有冗余；（２）先进性：采用当今国内、国际上最先进和成熟的计算机软、硬件技术，使新建立的系统能够最大限度地适应今后技术和业务发展的需要；（３）实用性：能够最大限度地满足实际工作的要求，是每个信息系统在建设过程中所必须考虑的一种系统性能，它是自动化系统对用户最基本的承诺；（４）可兼容及可扩展性：在进行方案建设时，力求做到网络结构清晰、合理并具有扩展能力；硬件配置先进、可靠，能够满足网络及软件运行的需要；系统软件安全、可靠，界面友好，易于操作和维护。用户需求1、教学需求：通过教务管理系统、电子备课系统、辅助教学系统、考试系统、教学评估系统、远程教育等网上应用，提供对教学过程的支持。2、管理需求：包括档案管理、学籍管理（包括成绩管理和课表编排）、财务管理、教育资源管理、图书资料管理以及校内外各种公文发布与管理等方面的需求。3、INTERNETL连接需求：提供与校内外计算机系统的互联，扩展师生获取知识的途径，增强校内外的沟通以及自由地发布教育信息，使学生无论在校内还是在校外均可接受的学校的教育。加强对外交流，提高应用水平。在此基础上，建立能满足教研和管理工作的软硬件环境，开发各类信息库和应用系统4、其他需求：网络建设要带网管功能，有专门的网管软件，采用先进的网络软件，建立完善的网络管理体系。整个建成的校园网目前应当达到支持1000台PC的能力，并具有可扩展性。网络系统应具有多方面的冗余（包括网络级和平台级），智能化备份/恢复能力，提高网络的可靠性和安全性。解决方案

1.以千兆以太网（GigabitEthernet）主干，通过结构化布线连接办公子网、教学子网、图书馆子网、教学备课子网，形成以“千兆为主干，百兆交换到桌面”的高速校园骨干网。2.整个网络具有高性能的三层交换能力（L3-Switching），可以实现虚拟网（VLAN）功能。通过网络中心设备和骨干设备提供线速的VLAN之间的路由和高性能的第三层的数据包处理，提高网络的安全性和灵活性。3.采用开放性、互连性好、配置灵活、面向连接的的网络架构，以保证校园网既能方便远程普通用户的拨号接入，又能满足特殊用户高效地接入广域网。４.网络中心设在教学区的图书馆内，占地约２００平方米，内设配线室、配电室、中心机房、专用空调机房、网管中心等，中心交换机、服务器、电源、配线设备均放在网络中心内；在学生宿舍区的医疗中心内设网络分中心，用于汇接各学生公寓引出的光纤，与网络中心采用单模光纤连接；５.网络系统采用客户机／服务器网络体系，星形拓扑结构，１０００Ｍ高速以太网。整个网络快速、安全、可靠，并具有较好的运行性能、容错能力以及良好的扩充性和二次开发能力。核心交换机第一网络教室邮件服务器InternetFE路由器防火墙GEGE综合楼第二网络教室第一计算机室第二计算机室WEB服务器文件服务器数据库服务器计费服务器GEGEGEGEGEGE男宿舍楼女宿舍楼二级交换机组二级交换机组二级交换机组二级交换机组汇聚交换机汇聚交换机中国教育网网络拓扑图Ｃｉｓｃｏ６５０９

第一网络教室邮件服务器英信NF260InternetFEGEGE综合楼第二网络教室第一计算机室第二计算机室WEB服务器英信NF260文件服务器英信NF260GEGEGEGEGEGE男宿舍楼女宿舍楼二级交换机组二级交换机组二级交换机组汇聚交换机QuidwayS5012T中国教育网数据库服务器英信NF260计费服务器英信NF260RT-3640EＣｉｓｃｏＳｅｃｕｒｅ

ＰＩＸ

二级交换机组汇聚交换机QuidwayS5012T网络结构图服务器简介

WebServer、DNS服务器Ｗｅｂ服务器能把图文信息组织成分布式的超文本，并用信息指针指向存有相关信息的服务器，使用户可以方便地访问这些信息。当网上用户增多时，网络访问很频繁，通信量很大，随机性强。作为全校的通讯枢纽，需要配备高性能的服务器设备，主要的需求是高性能的ＣＰＵ、ＳＭＰ体系结构、高速Ｉ／Ｏ通道和网络通道。域名服务器ＤＮＳ是一个分布式系统，各地名字服务器管理下属主机和子域，并由高一级名字服务器监管，但每个域至少需要配备一台以上的名字服务器。ＤＮＳ数据量不大，但访问频繁。本次设计选用一台ＨＰ３０００作为ＷｅｂＳｅｒｖｅｒ、ＤＮＳ服务器。

E-mail服务器电子邮件服务器是校园网为用户提供的基本服务之一，主要用于与远地用户联系，包括邮件网关和邮件服务器。需要较大的硬盘，但对访问速度不敏感，而且，电子邮件服务对服务器工作的连续性要求很高，服务器一旦关机，用户则无法收发邮件。本次设计选用一台ＨＰ３０００作为Ｅ－ｍａｉｌ服务器。

SQLServer6.5服务器数据库服务器通常要求具有高效的处理速度、较大的内存和磁盘空间、快速的Ｉ／Ｏ系统和网络界面，较高的可靠性，完善的系统备份功能和较好的可扩充性能。本次设计选用一台ＨＰ６０００作为ＳＱＬＳｅｒｖｅｒ６．５服务器。

ProxyServer/计费服务器Ｐｒｏｘｙｓｅｒｖｅｒ是连接校园网和Ｉｎｔｅｒｎｅｔ之间的桥梁，对于来自Ｉｎｔｅｒｎｅｔ的访问者，它是一道防火墙，将提供基于ＩＰ地址、用户口令、服务端口等各种机制的访问限制。另外，ＰｒｏｘｙＳｅｒｖｅｒ对于内部经常访问的Ｉｎｔｅｒｎｅｔ资源，能够缓存而且能够自动更新，一则加快了访问速度，二则节约了对Ｉｎｔｅｒｎｅｔ的访问费用。学校能够利用计费功能对网络资源的使用者、使用时间进行有效地控制。本次设计选用一台ＨＰ３０００作为ＰｒｏｘｙＳｅｒｖｅｒ／计费服务器。设备选型设备的选择主要考虑品牌、产品型号、产品配置方式等方面的合理性。网络设备现阶段以国外品牌为主，分为ＣＩＳＣＯ、３ＣＯＭ、ＢＡＹ等，三家网络界巨头占据了大部分的网络设备市场份额，并且都具有很全面的产品线。ＣＩＳＣＯ的产品线很多，适合千兆网主干的产品有４０００系列、５０００系列、６０００系列、８０００系列等。该大学的网络系统需要在可靠性、扩充能力等方面具有很好的性能并且必须支持多层交换，４０００系列具有高端口密度和很好的网络交换性能，但不能支持多层交换，所以不能满足需要；５０００系列推出很早，是一个成熟稳定的产品，其交换性能和对新型技术的兼容能力要逊色一些，它也不是本次校园网设计首选；６０００系列从性能、技术都能满足校园网的需要，而８０００系列由于具有更高要求的关键企业的关键应用，对用户而言性能价格比不如６０００，因此本次设计选用６０００系列作为校园网的中心交换机。

１.６０００系列中心交换机的主要性能：３２Ｇｂｐｓ的底板带宽；１５Ｍｐｐｓ的多层交换；６个插槽，但最多可有２４０个用户插槽；２.支持模板８端口千兆位以太网；２４端口１００ＦＸ以太网；４８端口１０／１００以太网ＲＪ－４５；４８端口１０／１００以太网ＲＪ－２１或ＴＥＬＣＯ；３.多层交换机模块设计在网络中心选用一台Ｃｉｓｃｏ６５０９中心交换机，配置一个热冗余电源、一块交换引擎、一块多层交换模块、两块８端口千兆网端口、由于交换引擎上还具有２个千兆口，因此设备具有１８个可用的千兆口，主干交换机上还配置一块４８端口１０／１００自适应端口，方便连接机房及本层的终端。４.服务器与主干交换机采用千兆网连接。５.网管工作站利用链路聚集技术采用４条１００Ｍ接入主干交换机的１００Ｍ端口，端口设置为全双工，实现全双工８００Ｍ连接主干。网络安全设计网络建成后，为保证整个网络正常地运行、防止计算机病毒对网络的侵害、防止“黑客”入侵就变得尤其重要。主要表现在以下几方面：身份认证、访问授权、数据保密、数据完整、审计记录、防病毒入侵。网络安全是有层次的，在不同层次，安全的着重点也不同，大致归纳起来可将网络安全划分成两个层次：网络层安全和应用层安全。因此，此次设计选用ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墙。ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墙是Ｃｉｓｃｏ防火墙家族中的专用防火墙设施，是防火墙市场中的领先产品，ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墙可提供强大的安全，且不影响网络性能。它可提供全面的防火墙保护，对外部世界完全隐藏了内部网体系结构。通过ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墙可以建立使用ＩＰＳｅｃ标准的虚拟专网ＶＰＮ连接。ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墙加强了内部网、外部网链路和Ｉｎｔｅｒｎｅｔ之间的安全访问。相关技术

仍然是以太网，也是总线或星型结构的网络，快速以太网仍支持共享模式，在共享模式下仍采用的是广播模式（CSMA/CD竞争方式访问，IEEE802.3），所以在共享模式下的快速以太网继承了传统共享以太网的所有特点，但是带宽增大了10倍。快速以太网的应用主要是基于它的交换模式。在交换模式下，快速以太网完全没有CSMA/CD这种机制的缺陷，除了上面谈到的交换以太网的优点以外，交换模式下的快速以太网可以工作在全双工的状态下，使得网络带宽可以达到200Mbps。因此快速以太网是一种在局域网技术中性能价格比非常好的网络技术，在支持多媒体技术的应用上可以提供很好的网络质量和服务

快速以太网技术

是基于快速以太网（100BASE-T）技术的网络产品的自然进化，它提供了比快速以太网高10倍的网络带宽，几乎可以满足现有的所有业务要求；加上千兆以太网基于信用和速率的流量控制策略，可以非常简单地在链路层解除拥塞，使得采用千兆的网络主干具有较高的可用性；对资源预约协议（RSVP）的支持，可以让某个端站点在网络中作出保证带宽的预约请求，使得千兆以太网可以提供ATM所具有的QoS保证，以及各种三层交换技术和高级协议的使用，千兆以太网技术完全能够满足高带宽网络主干的要求，已经成为成熟、稳定、易于管理和构建快速的主流网络技术。千兆以太网技术虚拟网VLAN技术

虚拟网技术是近年来在计算机网络领域兴起的一项新的技术。虚拟网在逻辑上等于OSI七层模型上第二层的广播域，它与具体的物理网及地理位置无关。在传统的共享局域网或者交换局域网环境中，整个网络处于同一个广播域中（即所谓的同一个LAN），这样当大量用户发送广播信息时容易形成广播风暴，使得整个网络瘫痪。虚拟网技术把传统的广播域按需要分割成各个独立的广播域（LAN），由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。在传统的网络技术中，网内用户的移动、删除或增加都需要在物理上对网络设备进行设置。而在虚拟网环境中，网络用户的变更不需要重新对网络设备进行设置，也就是说虚拟网技术具有自适应功能。我们可以利用虚拟网技术的这些特点将不同的部门或不同的应用系统分配于不同的VLAN之中，实现不同部门或不同应用系统的逻辑隔离。在传统的网络技术中，同一物理网段中的用户在网络层上很难实施安全措施，而在虚拟网络环境中，不同的虚拟网络间用户之间的通信控制则可以做到。虚拟网间的安全与虚拟网间的通信方式有关，由于虚拟网间通信是通过路由实现的，路由器使得通信双方不能直接连接，而路由器的包过滤或防火墙的功能可被用来对不同虚拟网络间的用户通信做逐项检查，通信可以按照网络管理人员的要求被允许或禁止，从而实现不同部门或不同应用系统间的访问控制，提高了网络的安全性。路由器上的访问控制由Accesslist（访问控制列表）功能实现。Accesslist选择路由器的端口做为控制点，检查每一个进出的数据包。Accesslist