组网方案设计

校园网组网技术摘要：随着网络的逐步普及，校园网络的建设是学校向信息化发展的必然选择，校园网网络系统是一种非常庞大而复杂的系统，它不仅为当代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台，并且能提供多个应用服务，使信息能及时、精确地传送给各个系统。而校园网工程建设中重要应用了网络技术中的重要分支局域网技术来建设与管理的，本文着重叙述了校园网设计与建设过程中确立建设校园网的目的，校园网的组网方案设计原则和所需的网络技术选型，网络设备选择以及网络安全设计等核心问题。一、网络规划原则1.1校园网实用的投资保护对于投资的保护，是每个顾客都关心的问题。每个设备都进行严格的选型，在满足设计原则的功效前提下，提供最具性价比的设备配备方案。对不同技术和设备的兼容在很大程度上保护了顾客的投资。1.2校园网的先进性当今世界，通信和计算机技术发展日新月异。我们的方案要适应新技术发展的潮流。既要确保校园网的先进性，同时也要兼顾技术的成熟性。1.3打造网络高的可用性和可靠性我们的方案对于网络的重要应用完全支持采用冗余的设计，整网含有良好的强健性，支持对于重要交换机之间的连接支持采用多条物理链路交换机之间做原则的802.1ad的捆绑，进行逻辑Trunk的链接，既能充足运用网络端口实现成倍的带宽，同时也达成了一种负载均衡和链路备份的目的。对于服务器的可用性实现，我们的基本思想是服务器群连接到原有设备cisco4006，然后通过双链路分别连接到2台万兆核心，确保了高可用性。1.4构筑高安全性网络对于安全性我们将通过对顾客的区域划分，和对应用层的划分来逐级实现网络的安全性。对内的安全实施涉及用交换机进行VLAN的划分，在路由中创立访问控制列表，如此可对某些网络顾客实施可控的安全级别。对于业务主机，例如服务器将通过顾客权限的认证，实现顾客与业务的隔离，避免非法顾客的侵入。对重要数据库采用安全备份的机制，避免突发事件造成重要数据的丢失。支持通过防火墙对外部网络的非法访问进行过滤，防备于未然。1.5含有后续可扩展性由于计算机通讯和多媒体应用的不停发展，网络系统必然随之不停扩大。因此，现在的网络设计必须为此后的扩充留有足够的余地，以保护顾客的投资，确保顾客此后三到五年的网络扩充升级能力。二、网络需求分析校园网工程是一项高科技的综合性建设项目，它不仅涉及了许多方面的技术，同时也设计到学校的各个部门。校园网建设的总体目的是建成一种主干网，其上连接多个子网，使全校的教学、科研、管理等项目工作都能在网上进行，充足运用这个速度高、功效强的信息传输和解决媒介，共享网上的软、硬件资源。校园网建设是一项长久的工程，除建设和实施工程外，尚有运行管理、维护和发展的任务。因此，就规定所建的校园网即建即能使用，且好用实用。技术上采用现在先进的软件、硬件技术，且含有良好的升级、扩展功效，以满足此后大容量、超高速、多媒体数据传输的需要，提供全时的服务，另外，网络还应含有良好的兼容性，以确保有好的互连性。为建立一种适合于本学校的校园网，结合学校的实际状况，我进行了下列几点需求分析。2.1校园网功效需求（1）连接校内全部教学楼、实验室、办公楼等各建筑物中的计算机．（2）同肘支持约顾客浏览Internet。（3）提供丰富的网络服务，实现广泛的软件，硬件资源共享，涉及：a.提供基本的Interent网络服务功效：如电子邮件、文献传输、远程登录、新闻组讨论，电子公示牌、域名服务等。b.提供校内各个管理机构的办公自动化。提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。c.全校共享软件库服务，避免重复投资，发挥最大效益。d.提供良好的教学和科研条件。e.经广域网接口，提供国内外计算机系统的互连，为国际间的信息交流和科研合作，为学校快速获得最新教学成果及技术合作等发明良好的信息通路。2.2对主机系统的规定（1）主机系统应采用国际上较新的主流技术，并含有良好的向后扩展能力；（2）主机系统应含有高的可靠性，能长时间持续工作，并有容错方法；（3）支持通用大型数据库，如SLQ，Oracel等；（4）含有广泛的软件支持，软件兼容性好，并支持多个传输合同；某学校校园网的研究与设计；（5）能与Internet互联，可提供互联网的应用，如WWW浏览服务、FTP文献传输服务、E-mail电予邮件服务、News新闻组讨论等服务；（6）支持SNMP网络管理合同，含有良好的可管理性和可维护性。2.3网络管理需求（1）虚拟网的划分：在内部主干网上规定作到能够划分跨越物理子网的虚拟网，方便使多个网段的划分不受地理区域的限制，并有效地限制网间广播，控制网问访问。（2）虚拟网管理：对虚拟网的配备能够进行集中的控制管理，方便随时进行扩充、迁移等调节。（3）设备及端口管理：对主干网上全部网络设备及连接局域网的全部端口能够进行集中的控制管理。（4）网络检测：对主干网的运行状态和故障进行集中检测、报警、统计。2.4网络安全需求（1）划分内部网和外部网：全部向Intemet提供的信息公布服务放在外部网上、全部校内应用放在内部网上，内部网与外部网之间设立防火墙以确保内部网的安全。（2）内部网的各个子网之间的互访能够控制，杜绝非授权的访问．2.5广域网连接需求能够与国际互联网连接：能够Internet、Chinanet连接，与国内各个单位交流信息。三、网络方案设计3.1网络架构网络设计的重要目的是实现Internet互联网的高速宽带接入，同时适应将来校园网Internet应用发展的需求。方案设计中校园网的构造是由核心层、分布层与接入层构成，其中由安装在中心机房的多层交换机构成校园网的核心层，由安装在教学楼、学生宿舍楼的交换机构成网络的分布层与接入层。这种层次型的构造，不仅提高了整个网络的可用性、可靠性，并且能够滤过网络主干上不必要的流量，并为网络管理与运行维护提供良好的基础。3.1.1核心层核心层网络构成高速互联的主干，由于核心层对网络互联是至关重要的，因此必须采用冗余组件来设计核心层。核心层应含有高可靠性，并且应能快速适应网络的变化。3.1.2分布层分布层是网络核心层与接入层的分界点，分布层扮演许多角色，涉及由于安全性因素控制对资源的访问，分布层能够配备为VLAN之间连接的路由，汇总接入层的路由。设计时考虑分布层与核心层有冗余的链路。3.1.3接入层接入层为顾客提供在局部网段访问互联网的能力，直接与桌面计算机接入。实现VLAN划分与安全控制。3.2网络拓扑构造设计当代网络构造化布线工程中多采用星型构造，重要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它含有施工简朴，扩展性高，成本低和可管理性好等优点；而校园网在分层布线重要采用树型构造；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补构造。校园网采用星形的网络拓扑构造，骨干网为1000M速率含有良好的可运行性、可管理性，能够满足将来发展和新技术的应用，另外作为整个网络的交换中心，在确保高性能、无阻塞交换的同时，还必须确保稳定可靠的运行。因此在网络中心的设备选型和构造设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份能够有效地提高核心交换的可靠性。传输介质也要适合建网需要。在楼宇之间采用1000M光纤，确保了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度规定。四、网络总体目的4.1实现校园内部资源共享学校领导和教师能通过及时、精确地查询教学活动中的信息，掌握现在教学状况。并通过对信息的统计、汇总及分析，为教学、科研管理提供服务，为学校领导计划、组织、管理和决策提供详实的信息资源服务和科学管理手段，能及时制订、修正教学工作计划。4.2完备的数据库管理系统和资源库能够支持大量的图文声像素材、多媒体课件片段，成百个教学光盘，总量达几百兆以上数据文献的收集、管理、存储的提取。检索方便，容错性强。4.3以教学资源库为核心的教学自学环境为学校教师提供制作环境、备课工具、良好的教学演播环境以及教学评定机制。为学生提供自主学习、交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制。运用当代教育技术，提高学生的素质，改革课堂教学模式。4.4当代化管理办法和管理手段加强对学校的财、物的管理，提高办公效率、减少成本消耗，逐步实现办公自动化、网络化。4.5实现校园网与互联网的连接建立学校主页、教师主页、学生个人主页、电子邮箱、电子公示牌等信息公布窗口，公布有关教育教学信息，建立起学校、教师、家长、学生之间的信息交流平台，并逐步发展建设成为一种面对全省、全国的教育教学信息网站。4.6提供有关教育教学信息网站的连接，增强教学交流能力建立起各学校之间的教学信息资源库的共享，使不同窗校的学生能够实现网上听课、辅导、交互协作式学习。五、IP地址规划根据我校校园网的覆盖范畴广、节点数较多等特性，本方案IP地址采用公网保存的C类地址，除了几个核心单位，如网管中心，招毕办等使用公网地址之外，内部使用私网网段的IP地址,整个校区出口运用高性能的GSR路由器作NAT转换，根据网络现有构造，设计比较适合的路由合同。能够实现优化的网络途径选择，在网络构造发生变化时路由能够快速收敛，确保网络的畅通。IP地址的分派采用动态分派的方式：学校拥有的公网地址为：-，一共11个C类地址；网络中心、办公室、图书馆、招毕办等使用公网地址，一共4个C类（-）；出口使用一种C类地址，剩余的地址做为保存。下表为IP地址分派表类别地址段数量备注网络中心1个C能够调节办公室1个C能够调节图书馆1个C能够调节招毕办1个C能够调节六、网络设备选型6.1网络技术原则选择本方案选择快速以太网技术，该技术成熟，有完善的国际原则，系统易于升级，其布线系统和网络构造易于升级，网络传输速率支持10M/100M/1G。6.2通信介质的选择现在，快速以太网通信介质普通选择光纤和五类双绞线。通信骨干尽量选用光纤，如楼宇之间、楼层垂直布线（若不太考虑投资问题）尽量选用光纤，在短距离如几百米半径内，能够选择50um多模光纤，且应当为多芯。多模光纤的交换机接口卡比较便宜，50um支持1Gbit/s传输速率且传输距离可达500m，多芯光纤既能够确保链路冗余，提高链路容错，又能够支持多链路隧道技术，提高链路带宽。距离较远的楼宇之间的链接能够选用单模光纤。楼内水平布线，即各个楼层内端顾客计算机连接楼层交换机，采用五类或超五类双绞线，这样，既能够满足100M传输速率，又能够满足双绞线连接100m的距离限制，成本也较低。6.3交换机交换机是网络通信的基本构成设备，它提供了网络连接，是数据转发的中间介质。（1）核心交换机核心交换机是网络的核心交换设备，提供与支干交换机的互联，其性能直接影响整个网络的性能，因此选择含有较高性能的交换机，普通应在千兆级或以上。由于校园网内地顾客较多，普通达成千数量级，在组织上需要规划多个子网，因此核心交换机需要支持三层交换，以实现不同子网之间计算机的互访。核心交换机一定要支持可管理，并有良好的扩充性能、容错性能等。核心交换机的RJ45以太网端口普通支持10M/100M自适应连接，用于连接为校园网提供多个应用服务的服务器，同时应含有足够的光纤接口，提供光纤连接。核心交换机还应当有足够的扩展槽，在必要的时候增加光纤或RJ45扩展接口卡。网络方案根据综合平衡分析，核心交换机选用实达STAR-S6808，采用全光纤接口模块。（2）支干（楼宇）交换机支干交换机提供楼宇间互联设备，上连核心交换机，向下连接节点交换机。为了上连核心交换机，应含有光纤接口，最少提供向上100M全双工连接速率。为了下连节点交换机应含有一定数量的RJ-45接口，提供100M全双工模式连接节点交换机，普通交换机之间支持100M全双工连接方式。接入层交换机选用实达锐捷的STAR-3550。（3）节点交换机直接连接端顾客计算机的交换机，普通采用端口支持10M/100M自适应的以太网交换机，交换机应含有一定的端口密度，如采用24口或更多端口的交换机。当顾客设备密度较大时，若资金允许，能够选择可堆叠交换机。6.4路由器路由器是校园网接入Internet的必备产品，它提供学校内部网络Internet的连接。产品选择上重要考虑性能和配备，它必须含有连接内网和外网两个接口。本方案设计选用Cisco2600路由器，通过中国移动通信接入Internet。Cisco2600提供了灵活、可扩展的集成解决方案，可简化管理分支机构网络解决方案的流程。Cisco2600提供了全方面的特性集，合用于：(1)多服务语音／数据集成(2)带防火墙和加密选项的VPN接入(3)模拟拨号接入服务(4)带宽管理的路由(5)VLAN问路由(6)高速公司级DsL接入的提供(7)经济有效的ATM接入(8)灵活路由和低密交换的集成6.5服务器服务器是提供网络应用的核心产品，规定性能可靠、稳定、高效，能够提供大存储容量、高I/O吞吐率、一定的硬件冗余、良好的容错能力。服务器是全部C/S模式网络中最核心的网络设备，在相称大程度上决定了整个网络的性能。它既是网络的文献中心，同时又是网络的数据中心。在选择服务器之前，同样需要全方面分析网络的应用内容，方便合理规划服务器的数量及配备。普通校园网需要提供DNS、WWW、数据库、E-mail、办公自动化等网络应用。服务器能够根据具体应用规划其配备，没有必要过分追求高配备，在校园网中根据提供的服务，找出核心任务，划分不同应用层次，选择不同档次的服务器。本设计的网络服务器的选择选用了SunEnterpfisel服务器。SunEnterprisel服务器采用功效强大的UltraSPARC解决器，可为工作组和PC-LAN提供快捷而有效的应用性能。另外，该系统还可支持诸多高级联网服务，涉及电子邮件，Interact和LotusNotes，以满足工作组需要。Enterprisel非常适合用作中小工作组的应用软件或高性能文献服务器，能够用来连接顾客的PC网络。它采用143MHz或者167MHzultraSPARC解决器，含有很大的外部高速缓存，可提供快速吞吐量、高级网络和FO以及供存储器和扩展使用的充裕空间。Enterprisel集能力、吞吐量、软件和网络于一身，适合于校园网应用，且价格较低。6.7防火墙防火墙技术的核心思想是在不安全的网络环境中构造一种相对安全的子网环境，它已成为实现Internet网络安全的重要保障之一。在校园网中对的选择安装防火墙，能够保障校园网的安全，避免外部的非法侵入。防火墙从产品角度分为软件防火墙、硬件防火墙，普通选择硬件防火墙。防火墙普通含有包过滤访问控制、双向NAT网络地址转换、RADIUS口令验证、网络实时监控、优先级控制、流量统计等功效。本方案中选用实达-龙马卫士硬件防火墙，作为阻隔内外网的安全屏障。并且，为了减轻路由的负担，确保其高速的数据转发性能，NAT做在了防火墙上。七、网络操作系统与服务器资源设备7.1系统软件平台选用Microsoft公司的中文NTServer4.0、SQLServer7.0（可在中文平台上使用）或Sybase11、中文ExchangeServer5.5作为应用软件平台。在此系统平台上，实现全校的Web服务、FTP服务、电子邮件服务，构建教师、学生沟通的桥梁，使教师、学生在校园网上进行交流成为可能。WindowsNTServer采用微内核设计，将与平台有关的代码封闭在一种称为硬件抽象底层的动态链接库中，使用一种底层软件抽象出硬件，因此能够在不同的平台上安装NT，含有较好的移植性。另外，WindowsNTServer提供了支持多CPU的能力，最多可支持32个CPU并行工作。7.2数据库系统一种安全、稳固、功效强大的数据库系统是当今校园网必不可少的构成部分。首先它能够提供对校园网上多个管理应用的支持，另首先它也是Internet网络数据仓库的基础。本方案选用SQLServer数据库系统。7.3E-Mail服务器1.允许设立多个邮件解决规则，根据邮件主题、发件人等信息将邮件直接寄存到指定文献夹中档多个方式的自动解决。2.配合顾客邮件过滤功效，提供邮件自动回复、拒收或分检服务。3.修改顾客的个性化设立，如个人签名档、个人资料、界面显示风格等修改邮箱的配备参数：每页显示的邮件数、与否将原信加入到回复的信件中、自动转发后与否在本地保存副本、设定邮件最大字节数、设定邮件显示的排序方式。4.POP邮件功效，允许设立多个电子邮件POP帐号，将邮件采集到本系统中。5.顾客能够将某些惯用的地址加入到地址簿，方便管理，将地址按照指定的规律进行分组，实现邮件的群发；同时能够自行添加、修改、删除个人、团体地址本中的统计，也能够在阅读邮件时由系统自动加入到地址簿。系统支持虚拟域名、多域名。能够在同一邮件系统内包含多个域的地址。轻松地容纳多个地址格式和/或主持多个域需求的系统。7.4FTP服务器集成了Internet/Intranet服务器软件MicrosoftInternetInformationServer（IIS）2.0。IIS包含了一种高性能的HTTP引擎，它构成Web服务器的核心；IIS还包含Internet原则的FTP服务器。7.5WEB服务器WEB服务器也称为WWW(WORLDWIDEWEB)服务器，重要功效是提供网上信息浏览服务。采用的是客户/服务器构造，其作用是整顿和储存多个WWW资源，并响应客户端软件的请求，把客户所需的资源传送到WindowsServer、WindowsXP、WindowsNT、UNIX或Linux等平台上。八、系统安全体系设计安全体系是安全工程实施的指导方针和必要根据，它的质量也决定了安全工程的质量。因此，应把安全体系的设计提高到一定的高度，确保安全体系的可靠性、可行性、完备性和可扩展性。8.1物理层安全物理层的安全重要涉及环境、设备及线路的安全。在设备集中的管理间安装干扰器避免由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，避免顾客的