《校园网的规划与设计-推荐.doc》由会员分享,可在线阅读,更多相关《校园网的规划与设计-推荐.doc(33页珍藏版)》请在三一办公上搜索。
1、目录 前言4第一部分 校园网的需求分析41.1什么是校园网41.2校园网的需求分析51.3建设校园网的目标61.4建设校园网的必要性8第二部分 校园网设计方案92.1校园网的拓扑结构92.2网络体系结构的选择102.3具体事例122.4设备的选择152.5综合布线19第三部分 校园网的规划203.1可靠性设计213.2安全性设计223.3虚拟子网的划分223.4网络的冗余设计233.5方案设计特点及优势25第四部分 校园网网络安全27 4.1校园网的安全问题274.2校园网的安全解决方案29致谢30参考文献31校园网的规划与设计内容摘要:自1995年中国教育教研网(CERNET)建成后,校园网
2、的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全,网络系统的维护等内容。各高校及其中小学都在筹备建设校园网,希望通过校园网的建设,改善办学条件,提高教学、科研和管理水平。校园网的建设对于学校来说是一项大的工程,必须精心设计、精心施工,做到经济适用,技术先进、开放性能良好、投资强度合理、与国内外网络互联、能长期、稳定运行的高性
3、能的校园网络。关键字:校园网的需求,设计方案,综合布线,校园网安全前言近年来国家加快改革教育体系,以教育为立国之本,建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系。提供更为先进的教育手段,学校很有必要建设一个校园网络管理应用系统,这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的2。顺应无纸教学,无纸办公的发展趋势,充分利用现代化技术来进一步提高教学质量和办公效率,为培养二十一世纪人才提供一个优良的硬件教学环境。计算机网络的迅速发展和普及,改变了整个信息管理的面貌,使信息管理从以单个计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、
4、教学、科研、管理等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算、技术合作及有效管理等,进而推动了管理、科研及教学事业的发展。第一部分 校园网的需求分析1.1什么是校园网顾名思义,校园网是覆盖校园范围的计算机网络。校园网主要采用计算机局域网技术、互联网技术以及网络接入网技术,局域网技术用于校园建筑物内计算机的连网,互联网技术用于校园局域网这间的互联,接入网技术用于校园网与外部公共网络(如INTERNET)或专用网(如教育科研网)的互联。1.2校园网的需求分析根据教育部门有关文件精神,结合学院实际情况,学院信息化建设工作的核心目标在
5、于充分利用信息技术,建立多层次、高可靠、可管理、可运营的开放式的数字化校园,促使其提高办学质量和效益。重点体现在以下几个方面。教学方面,利用多媒体、网络技术实现高质量的教学资源、信息资源和智力资源的共享和传播,同时促进高水平的师生互动,促进主动式、协作式、研究型的学习,从而形成开放、高效的教学模式,更好地培养学生的信息素养、问题解决能量和创新能力。管理方面,利用信息技术实现职能信息管理的自动化,实现上下级部门之间更迅速、便捷的沟通,实现不同职能部门之间的数据共享与协调,提高决策的科学性和民主性,减员增效,形成充满活力的新型管理机制。科研方面,促进科研资源共享,加快科研信息传播,促进院内外学术交
6、流。公共服务体系方面,建设和维护好覆盖学院教学、科研、管理、生活等各个区域的宽带网络环境,提供面向全院师生的基本网络服务,建设高质量的数字化图书馆等应用信息资源库,以及服务于学院中心工作的基本信息资源库,实现身份认证等院内公共管理、服务功能。1.3建设校园网的目标现今的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软,硬件应用。它的开放式设计意味着更好的整体化及高品质应用的能力。提供的带宽可适合话音,图像,数据的传输,这种带宽结合设备厂商优秀网管模式,可以向用户提供面对面的通讯。在建设校园网时,要达到以下目标:(1) 在校园内部实现资源高度共享,为教学、科研、管理提供服务
7、,为计划、组织、管理与决策提供基础信息和科学手段。(2) 支持教育教学改革,提高教育技术的现代水平和教育信息化程度、为学校教师的备课、课件制作、教学演示提供网络环境。(3) 通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料,实现素材收集、电子备课功能。培养创新人才,提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力,使学生能自主学习、协商学习、发现探究式学习以及自我评价,为学生的全面发展创造相应的条件。(4) 实现办公自动化,提供与上级教育部门、社会、家庭之间通讯的出入口,提供电子函件、公告牌和教育教学信息查询等服务,提
8、高工作效率和管理水平。(5) 及时、准备、可靠地收集、处理、存储、传输学校的教育教学信息完成与因特网的通讯和资源共享,实现社会教育、学校教育、家庭教育的有机整合。(6) 实现课堂多媒体电化教学,具备适用于双向课堂语音教学及语音功能学习。以代替手提录音机,实现音频数字化资源共享、集中管理。电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。总之,校园网的建设能促进教师和学生尽快提高应用信息技术的水平,为学生提供了一个实践的环境,为教师提供了一种先进的辅助教学工具、提供了丰富的资源库。校园网是学校进行教学改革、推行素质教育的一种必不可少的工具,是学校现代化信息管理的基础,也提供了学校与外界
9、交流的窗口。然而,校园网络管理应用系统支持的是一个不断多元化的网络应用系统设备组合,用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的,自觉而透明的,从而具备较强的扩展性。所以,这需要学校和我们共同设计建成一个先进的多媒体校园网络系统而努力。1.4建设校园网的必要性二十一世纪是信息时代,在信息社会里首先要求教育信息化,教育现代化,教育网络化。现在许多学校在建网工作中做了不少探索。我们在长期的实践与管理中得出:首先要建设好校园网,同时也要努力用好校园网,充分发挥校园网络资源在计算机辅助管理中的作用。 是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题
10、,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。随着计算机多媒体和网络技术的不断发展与普及,校园网信息系统的建设,是非常必要的,也是可行的。主要表现在:(1)当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。(2)教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方
11、面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。(3)我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。(4)现代教育改革的需要。在校园网中将计算机引入教学各个环节,从而引起了教学方法,教学手段,教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源
12、、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。(5)随着经济发展,我国各级政府对教育的投入不断加大;计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息服务是完全可行的。Internet在学校的应用越来越普遍,也越来越普及。据统计,美国的学校建设了校园内部信息网络并与Internet连通的比例高达90%,国内的主要大学也已经建成或正在建设自己学校的内部信息网络。广东省的绝大多数高校,包括中专学校,都建成了自己的内部网络。因此,
13、建设学校内部网,是一个高瞻远瞩的举措,也是一个迫在眉睫的事情。随着校园网络的成功建设,必将给学校的管理部门、各级行政部门、学校的教育科研带来积极的影响,提高学校的教学科研水平、管理水平和工作效率,极大地提高学校的知名度。第二部分 校园网设计方案2.1校园网的拓扑结构校园网的拓扑结构基本上是混合型的,它是星型,总线型,环型和树型等典型的结构组成。其中星型结构是同一楼层各个房间的计算机与本楼层的集线器或交换机连接产生的。在现代网络结构化布线工程中多采用星型结构,它具有施工简单,可靠性高,成本低和可管理性好等优点。早期建网时的网络拓扑结构是总线型结构,是采用粗/细缆以太网形成的。双绞线以太网的出现使
14、粗/细缆以太网的市场越来越小,所以目前网络工程方案基本上不再采用此种结构。环型结构是采用分布式光纤数据接口(FDDI)网络形成的。实际上现在的FDDI环已经集成到了MAU设备中,计算机与MAU连接的外观与星型结构非常相似,但习惯上还将FDDI称为环型。校园网分层布线采用树型结构。每个房间的计算机连接到本层楼的集线器或交换器,然后每层楼的集线器或交换机再连接到本楼出口的交换机或路由器。各个楼的交换机或路由器再连接到校园网的通信网中,或者直接连接到骨干交换机或路由器,由此构成了校园网的混合结构。网络拓扑结构如图1所示:图12.2网络体系结构的选择目前,可用于校园局域网的技术有以太网、快速以太网、千
15、兆位以太网、令牌环网、光纤分布式数据接口和异步传输模式。Ethernet(以太网)作为几年前主干网络组网的主要技术,现在主要被用于工作组级组网,使网络交换到桌面工作站。Fast Ethernet(快速以太网)是一种非常成熟的组网技术,造价很低,性能价格比很高,可作为资金不很充裕的中小型单位组建Intranet网的首选技术。快速以太网技术现在被广泛用于大型企业网的二级、三级网络组网或直接连至桌面工作站。FDDI(光纤分布式数据接口)也是一种成熟的组网技术,但技术复杂、造价高,FDDI网络难以向更先进的网络技术升级,现在用FDDI组建主干网的情况已非常少见。Gigabit Ethernet(千兆位
16、以太网)技术已成为大型Fast Ethernet的升级目标。虽然Fast Ethernet和Gigabit Ethernet因采用CSMA/CD的介质访问控制方式而广泛地存在着“广播风暴”的问题,但可以更好的传输介质和交换设备予于克服,其实出的优点是兼容先前的设备投资,师生的网络应用及培训更易进行,网络的可管理性和扩展性也很好。ATM(异步传输模式)是一种快速分组交换技术,它在WAN(广域网)上体现的强大功能和在LAN上的成功应用,是多媒体应用系统的理想网络平台,均以事实说明了它的技术的先进性。在ATM中,不同速率的各种数据,提升了网络的整体性能。但是ATM不兼容以往的以太网投资,其管理和操作
17、有异于传统的以太网平台,故不适用于以太网的升级改造。从网络应用、维护、安全和扩展方面而言,Gigabit Ethernet和ATM在实际应用中得到了广泛的采用。但在本方案中选择使用千兆位以太网技术,主干为千兆网,10M/100M自适应或10M交换到桌面。其理由是:(1) 以低廉的价格提供高带宽。千兆位以太网提供10倍于快速以太网的性能而价格远远低于其10倍,与ATM相比,其价格则远远低于622Mbps ATM。 (2) 良好的兼容性和管理的简单性。ATM必须使用局域网仿真才能与现有的网络设施兼容。在网络系统管理的技术要求上,千兆以太网比ATM要简单得多。 (3) 能保证服务质量。目前普遍认为:
18、合理组织的千兆位以太网永远不需要考虑OS管理,这也是千兆位以太网的宗旨;带宽本身比带宽管理更便宜。此外,千兆位以太网也可通过802.1P服务分级及预留带宽等技术来保证关键应用的服务质量。所有这些技术正促使校园网逐渐转向千兆位以太网。 (4) 支持千兆以太网的第3/4层交换机的出现。这大大地增强了千兆以太网在园区的地位,原来认为的以太网的一些不足,如对多媒体应用的支持、灵活的网络拓扑结构和多链路负载均衡、基于标准的虚拟网等,已被新的技术和标准所解决。2.3具体事例(1)网络总体规划设计网络规划设计是一个系统建立和优化的过程,建设网络的根本目的是在Internet上进行资源共享与通信。要充分发挥投
19、资网络的效益,需求设计成了网络规划设计中的重要内容,它提供了网络设计应到达的目标,并有助于设计者更好地理解网络应该具有的性能;结合学校的办学规模、管理需求和师生对教学科研的需要,学校的配套设施也应确定,确立一个性能较高的网络计算平台。网络平台中主要有针对学校建筑群而设计出拓扑图,有联网软件,还有互联设备。应用系统中包括硬件需求和系统需求。硬件需求主要是对多媒体教学提供,为了更好取得教学效果;系统需求主要是对网络操作系统的选择,目前优先选用Windows2000 Server 、Linux 、Unix等系列的主流操作系统产品。还要配备能基于浏览器模式操作的应用软件。如图2所示:网络平台中国科研教
20、育网 应用系统用户需求校园网络管理员、教职工和学生 拓扑图、联网软件、互联设备 服务器和工作站硬件需求和系统需求 图2 用户需求是校园网络管理员、教职工和学生等。(2)网络拓扑结构 校园网络由多种完成不同功能的网络设备组成,包括路由器、交换机、Internet接入设备、防火墙等以及各种服务器,如:远程教育服务器、网管服务器、主服务器。校园内部网络采用共享或交换式以太网,通过DDN、ASDL、ISDNPSTN等方式,选择中国科研教育网接入到Internet,校际之间通过国际互联网的方式互相联接。同时采取相应的措施,确保通讯数据的安全、保密。系统运行要安全、可靠、故障小。网络拓扑结构设计的要符合以
21、下几点要求:1要适应未来网络的扩展和拓扑结构的变化。2要能为特定的师生用户或用户组提供访问路径。3要保证网络能不间断地运行。4当网络扩大和应用增加时,要能满足相应的带宽要求。5使用频率较高的应用能够支持网上大多数的师生用户。6能合理地分配用户对网内、网外的信息流量。 7能支持较多的网络协议,扩大网络的应用范围。所以,要达到以上这些设计要求,分层的设计功能及星型、树型和交叉型的拓扑结构应给予足够的重视,做到应地而异。学校里分三个区:教学区、办公区、生活区。教学区主要有图书信息楼、综合楼、教学楼、体育馆等,办公区主要有行政楼,生活区主要有教师公寓、学生公寓、餐厅等。根据学校的建筑物的分布,把校园网
22、的主节点放置在图书馆的网络中心,教学区和办公区的使用量很大,但生活区的使用量相对比较小,所以目前的拓扑结构呈星形,即以图书馆为核心,向其他大楼辐射,建筑物之间使用多模光纤连接。同时,各建筑物都不大,所以建筑物内部也将采用星形布局,每幢建筑只需要一个设备间,统一放置设备。网络拓扑图(如图3所示):中国科研教育网主交换机网管服务器远程教育服务器主服务器 防火墙路由器学生公寓餐厅教师公寓接收器PC教学/办公室PC教师机PC教学/实验楼教师机教师机图书馆/电子阅览室学生机多媒体教室学生机学生机机房语音室高速缓存公共电话网远程教学演播厅电教馆拨号上网查阅资料/备课/视频点播师生家庭广域网链路千兆链路 光
23、缆1000M千兆光缆链路100M100M100M电路链路十兆链路百兆链路图32.4设备的选择(1)核心交换机的选择与介绍Cisco Catalyst 6500 交换机由于中心服务器的访问及数据流量对主干带宽要求很高,所以我们采用 Cisco Catalyst 6500 千兆模块把百兆交换机组通过光纤相连到Cisco Catalyst 6500 千兆交换机上,通过千兆交换机实现和 WEB 服务器千兆带宽的主干连接。并且我们将用2 台千兆交换机通过4GB 高速通道来实现千兆交换机冗余连接,使网络主干拥有很高的带宽。设备介绍如下:由 Cisco Catalyst 6500 家族为企业网络和服务供应商
24、网络提供了一系列高性能多层交换解决方案。Catalyst 6500 家族是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN 集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供应商环境中智能多层交换的不断增长的需求而设计的,是 Catalyst 4000 和5000 系列以及思科8500 系列交换机的补充和完善,这些产品将继续提供相应的主要配线柜和ATM 网络核心解决方案。这些Cisco 家族产品共同提供了广泛的智能交换解决方案,使公司内部网和 Internet 能够支持多媒体、关键任务数据和语音应用。 (2)接入交换机的选择与介绍Cisco Catalyst 2950 交
25、换机在接入层我们采用百兆交换机,因为 10 兆虽然在目前校园网使用中刚刚能达到要求,但是已经不适应功能越来越强的计算机与新的应用软件的发展,更不适应更快的计算机通讯产品的要求。因此我们将采用Cisco Catalyst 2950 交换机作为校园网工作组级接入交换机。并且我们通过 VLAN 技术,使每个教室或每个年级之间的互访得到有效的管理和控制,提高网络的安全性。设备介绍如下: Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco 交换产品系列,为中型网络和城域接入应用提供了智能服务。
26、作为思科最为廉价的交换产品系列,Cisco Catalyst 2950系列在网络或城域接入边缘实现了智能服务。 (3)路由器的选择与介绍Cisco 3600路由器首先考虑到Internet 和其他网络的连接,如ChinaNET 等,我们建议出口路由器采用 Cisco 3600 型号路由器。它是学校的校园网对外的出口,也可以作为保护校园网的第一道防火墙,但根据客户商务和局域网配置的具体不同情况,也应该采取适当的步骤来确保来自 Internet 的局域安全。这至少要包括配置通过协议过滤器的访问控制目录。设备介绍如下:Cisco 3600 系列是一个适合大中型企业Internet 服务供应商的模块化
27、、多功能访问平台家族。Cisco 3600 系列拥有70 多个模块化接口选项,提供语音/数据集成、虚拟专网(VPN)、拨号访问和多协议数据路由解决方案。通过利用CIsco 的语音/传真网络模块,Cisco 3600 系列允许客户在单个网络上合并语音、传真和数据 流量。高性能的模块化体系结构保护了客户的网络技术投资,并将多个设备的功能集成到一个可管理的解决方案之中。3600 捆绑还可用于抓住特定的 RAS 机遇。(4)路由器的选择与介绍Cisco Secure PIX 525防火墙随着 Internet 的迅速发展,如何保证信息和网络的自身安全性问题,尤其是在开发互联环境中进行商务等机密信息的交
28、换中,如何保证信息存取不被窃取篡改,已成为企业非常关注的问题。作为开放安全企业互联盟的组织和倡导者之一,CISCO 公司在企业级安全性产品开发方面占有世界市场的主导地位,其FIREWALL-1 防火墙产品在市场占有率上已超过44%,世界上许多著名的大公局都已成为企业互联盟的成员或分销其产品。 Cisco Secure PIX 525 防火墙是世界领先的Cisco Secure PIX 防火墙系列的组成部分,能够为当今的网络客户提供无与伦比的安全性、可靠性和灵活性。它所提供的完全防火墙保护以及IP 安全(IPsec)虚拟专网(VPN)能力特别适合于保护企业总部的边界。2.5综合布线 常用的传输介
29、质分为同轴电缆和双绞线两种。同轴电缆又分为粗同轴电缆和细同轴电缆。粗同轴电缆主要用于基干线(Back-bone)的建设。细同轴电缆使用BNC接口,主要用于计算机间的网络连接,但因接头易松,可靠性差,将会逐渐被双绞线取代。双绞线又分屏蔽双绞线(STP)和非屏蔽又绞线(UTP或电话线)。目前常用的UTP双绞线分五类和三类两种规格,一般小型局域网(10M)用三类。可靠性,速度要求高的大局域网(100M网)用五类,使用RJ45接口。联网最好优先考虑采用双绞线连接各种设备,因其可靠性较好,价钱也便宜。网络布线系统设计应根据网络技术选型进行布线设计:第一,应符合国际开放式布线标准,并与学校现有楼宇改造布线
30、特点相结合;第二,应选择国际上可靠的PDS设备生产厂家的产品;第三,网络整体布线结构合理,有足够的冗余,便于以后的网络扩展,并有可靠的质量保证。综合布线是建筑物内或建筑群之间的一个模块化的、灵活性极高的信息传输通道,它既能使语音、 数据、 图像设备和交换设备与其他信息管理系统彼此相连,也能使这些设备与外部通信网相连接。综合布线由不同系列和规格的部件组成,其中包括传输介质 相关的连接硬件(如配线架 插座 插头 适配器)以及电气保护设备等。综合布线采用模块化的结构,按每个模块的作用,可把综合布线划分成6个部分,如图4所示:图4 1工作区子系统设计 指从设备出线到信息插座的整个区域,即一个独立的需要
31、设置终端的区域划分为一个工作区,提供用户终端设备到信息插座的连接。各个工作区根据信息点的集中程度,可以采用单孔或双孔插座。一般每个工作站区由多个墙盒式或埋入式RJ45插座构成.墙盒式安装,信息插座距地面高度应为30厘米,埋入式安装,应在墙内装一个国标86暗埋盒。根据现场情况,也可以采用地面式或桌面式安装,墙盒式安装可直接适用于各种场合。2水平布线子系统设计水平布线为星型拓扑结构,即从配线室到每个信息孔位均应有一条通信缆线,所有用于数据的水平布线材料均为超五类AMP非屏蔽双绞线,用于数据传输时最高速度达100M。各楼层水平布线从各配线室发出,通过布线槽,穿墙线管,到达各工作区,从布线槽通过铁槽或
32、PVC阻燃线槽(4010) ,PVC阻燃线管(G20,G25)等引出该工作区数据线,沿立柱,墙面或从地下伸延至各信息插座.。3垂直主干子系统垂直干线子系统由连接主设备间至各楼层配线间的线缆构成,提供高速数据通讯主干通道。主要由高性能室内光纤、双绞线缆、大对数通讯电缆组成。从主配线间发出至各子配线间,垂直干线材料根据通信要求我们对数据主干采用光纤,光纤根数根据各个子配线间中的网络设备的类型及数量配置并留有一定的备份。通向综合楼的语音主干采用2根50对的3类大对数电缆。其他楼宇数据主干采用2根12芯的光纤。4管理子系统根据学校的要求与实际情况,网管中心位于实验楼水平面积比较大,而其他各楼房的水平面
33、积不大,所以其他各楼在管理子系统的设置上配线间基本放在各幢楼宇的中间单元。在行政楼,中心楼,教学楼的管理子系统中,配线间放在三层楼,从配线箱出的双绞线,上下通向各楼层后沿过道通向各房间。安装方式为单通道墙装式。在网管中心的管理子系统中,从配线箱出的双绞线,上下通向各楼层后沿过道通向各房间。通向各幢楼的光纤也在网管中心汇总,进入配线箱。5设备间子系统设计设备间管理通向各水平子系统主干电缆:从网络设备间出来的线路走向各个信息点,设备间通过光纤与网络相连(每幢楼只设一个设备间管理间)。在设备上选择IBDN公司高密度插接系统配线架,安装方式选用墙装式单通道方式。6建筑群主干子系统设计光纤主干网采用部分
34、网状(星型+环型)拓扑结构,选用八芯冗余光纤为主干系统。第三部分 校园网的规划3.1可靠性设计 1、在网络可靠性设计中,核心层设备之间采用 1000兆光纤连接,采用链路聚合技术,允许每条冗余连接链路实现负载分担,设置热备份路由协议 (HSRP)来保证核心交换机冗余,在网络出现问题时,能迅速启用备用路径。 2、采用 Cisco VLAN Priority技术实现多链路之间的负载均衡,针对不同出口链路,将局域网内多个VLAN分别设置不同优先级实现出口流量的负载均衡。 3、使用带有冗余电源 Cisco 交换机作为核心层和分布层的设备,在电源失灵的情况下,提供电源的冗余。 4、服务器冗余:采用全冗余的
35、服务器方式和服务器的硬盘进行镜像相结合,数据在两个或多个服务器上进行复制和自己硬盘进行复制相结合。3.2安全性设计在网络安全中,主要考虑内网与外网的连接,采用 Cisco Secure PIX525 防火墙和 Cisco 3600路由器。作为全网安全核心的Cisco Secure PIX 525 防火墙不但具有防火墙功能而且还具有 IP 安全 (IPsec(虚拟专用网 (VPN(能力,可以在两个PIX、一个PIX和任意Cisco VPN路由器、一个PIX和 Cisco安全 VPN客户机之间创建和端接VPN 隧道。服务器对外部访问者只提供有限的访问,它有外部访问的重要的数据 (比如网页),不过这
36、些数据在坚固的保护之下,外部访问者只能访问这些服务,提供的服务包括:匿名 FTP服务,WEB服务,DNS,TELNET,终端访问控制器访问控制系统。3.3虚拟子网的划分根据校园地理位置、管理要求我们采用划分虚拟子网 (VLAN),保证校园网络的安全性,VLAN之间的访问必须通过三层功能来实现。 CISCO交换机支持VLAN的多种划分,目前VLAN划分主要方式有基于端口的VLAN划分、基于MAC地址的 VLAN划分、基于网络层的 VLAN划分等方式以及这三种方式的混合使用。方式一是根据用户接入的交换机端口来划分其所属的VLAN,这种方式的优点是配置简单方便,但用户移动时需更换其接入端口,管理员需
37、对交换机进行重新配置;第二种方式是根据计算机的MAC地址来划分,其特点是不必重新对交换机进行配置,但需在交换机上创建并维护一个较大的用户MAC地址列表;第三种方式通常利用 IP子网以及 IP地址来划分VLAN,其优点是配置简单,但安全性较差。 本方案设备从核心层交换机 Cisco Catalyst 6500、接入层交换机 CiscoCatalyst 2950-24,到接入层交换机设备都支持IEEE 802. IQ标准,保证了该项技术的顺利实施。这样,通过在接入层交换机为用户配置不同的 VLAN,进行端口隔离,所有的用户端口只能通过接入层交换机或核心交换机来实现互连。在核心层交换机通过访问控制列
38、表进行相应的控制,使得用户的访问得到完全的控制。3.4网络的冗余设计(1)网络设备的冗余设计 采用冗余配置的单机或多台设备互为热各。当然最好的方式是多台设备互为热各。但是这种方案一般情况下比较昂贵。(2)网络链路的冗余设计 往往链路的冗余设计是最易被实现和被用户接受的冗余方式。主要原因是这种冗余设计构思简单而且便宜。链路的冗余实现可以通过多种技术,目前最流行的是链路聚合技术(802. 3ad)和生成树技术(802. ID)。这两个技术可用于不同的环境和需求,也各有优劣。当然链路聚合技术可与生成树技术配合使用。链路聚合技术针对点对点的应用,常用在核心多机热各和二级交换机与核心的单机连接。生成树技
39、术常用于二级交换机与核心交换机连接的链路上。链路聚合技术提供了扩展带宽、链路热各、均衡负载和快速切换(一般小于 4 秒钟)的特性。生成树技术是一个纯备份的技术,在应用的时候有一条或多条链路处在阻塞(blocking)状态,只有在主链路断掉之后,备份链路才会启动。这个过程大概需要 45 秒钟(收敛时间)。链路聚合技术相对投资较大(端口、线路),但是可靠性极好;生成树协议早就成为工业标准,兼容性非常好,而且较便宜,但是浪费链路带宽。很多厂商也开发了替代生成树协议的厂商标准,主要是减少收敛时间。目前IEEE标准802. IW被称为第二代生成树技术,可以替代传统的 802. ID。802. IW将收敛
40、时间缩短为 4秒之内。(3)服务器的冗余设计 服务器的冗余设计包括了很多的方面:链路、硬件和软件等。链路的冗余可以采用双网卡方式或在单片多口网卡上使用链路聚合技术;硬件的冗余可以采用双服务器热各的方法;软件的冗余可以采用双服务器软件镜像的方法。冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。当然,3个层次的设计可以贯穿整个网络,每个冗余设计都有针对性。我们也可以选择其中一部分或几部分应用到网络中以针对重要的应用。 汇聚层在这里考虑了两种情况:1 对于突发流量大、控制要求高、需要对 QoS有良好支持的应用 (多媒体流-语音、视频和数据的融合应用,比如多媒体教室和
41、教学),选择高性能但是性价比高的DCRS-6512多层交换机;2 对于没有特殊需求(多媒体传输、安全、控制等)的子网,比如后勤子网。一般情况下,这类子网最常用的应用是数据。所以对负责这类子网的汇聚层设备要求并不高。可以考虑使用性能中等的二层交换机设备。教室端配置多媒体教学终端,完成VOD/AOD、课件点播、智能教学广播、数字监控、网络中控等多媒体教学功能。在主控室配置相应的硬件和软件完成全网的应用功能及管理。3.5方案设计特点及优势1高性能产品及优秀的管软件 CISCO CATALYST 6500交换机是具备先进搞扩展性能的交换机组,即使在重载数据流业务负荷下,其结构也能保证极好的性能。并且它
42、提供了目前最高的带宽支持,可支持千兆的以太网连接,其可靠的交换模式为未来的多媒体通信业务做好准备。CISCO厂家的局域网交换产品在近几年中几个主要的交换集线器评测中,以其卓越的性能,名列前茅。多项测试结果证明,CISCO CATALYST 6500交换机与其它产品相比,在通讯速度、带宽、拥塞管理、网络管理功能等项指标,都具有明显的先进性。 CISCO WORK 网络管理软件是业界优秀的网管平台,除具有网络管理的各项功能外,还具备清晰、易懂的图形界面,用户使用起来得心应手。并且还可以提供更高广泛的网络管理,这是其他网络厂家做不到的。并有选择地应用可简化管理模式,提供管理性能,提高网络的安全性。
43、2网络安全性 所选择的 CISCO产品提供多种网络连接,如网段交换、以太网交换、高速以太网交换、千兆以太网主干、冗余主干。如要以后网络扩展,只需选择所需的产品即可。 作为网络核心的 CISCO CATALYST 6500主干交换机选配备份电源,保障不会因电源故障致使整个网络瘫痪,所有堆叠内交换机都是相互独立的,不会因某个设备或某个端口的故障影响其他设备或端口,也就是说主干交换机不存在单一故障点;另外,CISCO CATALYST 6500交换机可以设计成具有冗余的主干连接方式,保证主干线路的容错能力。 3高性价比、高扩展性 CISCO CATALYST 2950-24 交换机是可堆叠交换机,可
44、通过其高速的堆叠总线连接多个交换机,无阻塞地实现升级。CISCO设备厂商作为 IT业知名的公司,其拥有完整的产品系列,并且作为 IT业中技术的先驱。其产品还在不断的发展扩大。作为校园网的设计,可提供完善的解决方案,作为学校模式的 Intranet和 Internet我们提供高效能的交换机和路由器,并且提供 Server、网络打印机和网络视频产品来完成一个全面的解决方案。4技术标准化、技术先进成熟 交换技术是近几年发展起来的先进的网络技术,由于它具有高传输速率适合多媒体应用,并且有效解决了传统网络中带宽有限等等诸多问题,因此具有广阔的发展前景。此方案选择交换技术和快速以太网作为网络主干不但具有很高的网络带宽,而且能有效保护用户的投资。同样,快速以太网和千兆以太网技术也已成为先进而成熟的技术,并且被广泛地应用到很多先进的网络中去,而交换技术和多种网络技术的结合创造了目前最优秀的局域网络。第四部分 校园网网络安全4.1校园网的安全问题计算机网络所面临的安全性威胁可以划分为两大类,即被动攻击和主动攻击。主动攻击是指攻击者对某个连接中通过的PDU(协议数据单元)进行各种处理,如有选择的更改、删除、延迟这些PDU。被动攻击中攻击者只是观察和分析某一个PDU而不干扰信息流,例如截获数据。根据以上分类,联系校园网的安全特点,可以总结出校园网面临的一些安全性威胁:1计算