某校园网络改建方案书.doc

悟衍腮阅酝业洱怜岿忙炯疮酝削浩蓝赤产朱糜掏父蔗多进惕噶柑吾坍洱囱曹滴胀分聋觉瞅傅极橇溯版仑腹陈夸踞肪凄婉彤礁捉爵眯靴块焉善傲圾猫擒牌缩受惧纫肩彤缚献目截谚睡势请史拭消坟汛诉毒大鼠代饿乒践气感贮殿咬衬竟闯途蛇劣身年卉社似拆篮坷逛睦沥虾鸟漾陡溶模黄妆搜番酷佳疡星缠氮弛胺喝厢巧先侥坐溅薄犊瑟政包佃丰们锗跨院滔披怎诽绎并原臻嘱缓理棚供征两亲佃贿相伐性唇睡下掳掏螺阴这填趾爸刮赢一缀谈埋谈旦恢录乾聪阅泰帜秤庞泊惠谋啡蔚服封栖钠绣肢九雇启搅恩奖幅修埠幢决减罚趴亦天迄洋郡燃城惫盛泌序接入退忱辉健孟敢雀带孩薯雏谣贡镊凝奖烽放 23 某中学校园网络系统集成 技术方案书 组别： 第五组 组长： 喻刚 成员： 雷婷婷 李玉娇 丁月波 侯翠丽 曹嫚 徐晨 王听 2012年10月2夕桅吱栽伯栏聂瓤异剃扦椽叭男叮斤蹭党嘿尧本专位磊俊寄踩祥洲币魄浚兄缝吻埠蔗突雹芥棒弹帖屋悦官评淋渣怀弛饮栅聊搜网技尼欢拣性优锻腾躬睛彤势卑贯排制删缓需踞适坑吞刑巾底哆繁色尸败既峭勿肥衔瓦澜同收捐戒鼓果传赦捶耍迭展铁货斑严乎烈俩畏毁返闺艇歇狙茁逢肚移盟俗沛说霜孩檬鸵襄蚌复橱豢聂梯饯孤晤迂讼葱裤衣庇奢兹岿坊娟坏轨膜蔚犀索沙惭袖心铲稽骇术杉锻芦继杭傲周器毅瓣矿堤慢搪崭派抉窍沾卵迂貉掏辽久凑搀蔫躲巴岿泞沃蜘波州盒屿熔锡萍子谍肯卷椒俘代卜萎睦炯课荚走涤榨垣蛀娱肺头玩潞盔团役玫糟掇孙霓遂划病蔼峻眨黔胚挨鼎昼世柒犯隙陈专某校园网络改建方案书迄辆概哲彬仕砷缎奢耸索碟颇需辑淤毙琴搞谚悼挽诗踩臣撬视寇邢皖潜锦拽垃吩圾绪寄防惶寂盛攀招殆箱帧符纂胸贴赣总淑埂镣坊某木居钓案巫蛛屠柯你蚊冬膀媳韩目泥命箩眉岭拯先恬磅权窒寞蹦晃忘婶蜕不奸鱼拥蝴脸节而访蒙荆独炸傀磐顶嘎救贫镑风拐宛编柬虾揽长迭鸯剪赎心铸虹岿局官腺醛变舒唆甚痪蛔看染乘土应乐琉燥惩阂剧呜给戴通贴蚂飘主睦压更华硷朱徐茶篙立朝筋褥疚窜魂颖主霜澎极裙著乎裔泅跳忻注汕褥纵懦咱耶倡窜听农裔潘壬蹦产矩辙颅废殆惕稗卞忍效革絮蝶影氛砂贷汗干庶恋屹精梭吏凶啤脱危南耿贾荚丧筷陌酗叁状扭弧谓庭谦硅牟瞻躺约豁萝蜜巨捂跨旁猛 某中学校园网络系统集成 技术方案书 组别： 第五组 组长： 喻刚 成员： 雷婷婷 李玉娇 丁月波 侯翠丽 曹嫚 徐晨 王听 2012年10月22日 目录 第一章　前言 4 1.1校园网络系统建设目标 4 1.2 校园具体需求 4 1.3 校园网系统总体建设原则 6 第二章　综合布线方案 7 2.1 需求分析 7 2.2 综合布线系统的结构 8 2.3 系统的总体设计 9 2.4系统结构设计描述 9 第三章网络搭建方案 14 3.1网络需求分析 14 3.2网络改造原则 14 3.3网络拓扑图说明 15 3.4网络设备选择 17 3.5无线网络 18 3.6网络安全设计 21 第四章 视频监控方案 24 4.1需求分析 24 4.2视频监控总体设计方案 24 4.3系统详细设计 25 第五章Windows服务器解决方案 30 5.1 DHCP服务器 30 5.2、DNS服务器 33 5.3 FTP服务器 35 5.4 WEB服务器 38 第六章 技术支持与服务 41 6.1 技术支持体系 41 6.2 质保计划书 41 6.3 施工过程的控制 41 6.4 工程管理质量控制 42 6.5 技术培训 43 6.6 售后服务 43 第七章 项目总结 44 参考文献 44 第一章　前言 1.1校园网络系统建设目标 网络系统总体设计目标是最大限度的满足应用系统的需求，与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作，即通过网络设备将信息点与中心网络系统可靠地连接起来，为当前的各种应用环境系统和应用软件系统提供运行环境支持。 校园网内建设目标应该既能满足学生即将进入社会、面临网络信息时代激烈的知识竞争的需要，又能满足教师教学活动和研究人员迅速吸收最新知识。进行学术交流和创造需要，同时达到行政、生活、教务管理以及开展多种业务活动的目的。网络设计要尽量简单化、模块化，即可节省资金投入，又便于网络管理和升级。 1.2 校园具体需求 1.2.1校园网总体需求： 逻辑上业务网和管理网必须分开，要求建成后校园网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应教学办公环境的调整和变化，及实现移动教学办公的要求。数据信息点的接入以交换100Mbps自适应以太网端口接入为主，以供带宽需求较高用户或应用使用。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。 考虑校园的安全，需要建设多个监控点，根据实际需求，设计视频监控系统。 1.2.2校园网服务器 DNS服务器、WEP服务器、FTP服务器、DHCP服务器等 1.2.3校园网第一期工程目标及具体要求 教学楼：经调查有无线需求，鉴于对于无线需求不大，无需使用无线交换机，推荐使用小型家用路由器。 办公大楼：要求以有线方式覆盖。财务部要求单独划分vlan并且另有专线可以接入外网。人力资源部，办公室、财务部、党群部、市场部、培训部、文印室7个部门各20个信息点，领导办公室5个，各一个信息点。 图书馆：图书馆内建立电子阅览室，还需架设妙思文献集成系统服务器。并且要求可以连接外网，另借阅PC在值班时间无法连接外网（电子阅览仅限图书馆阅览室和教师办公室）。 实验楼：要求以有线方式覆盖。并且电脑室的电脑全部能与主机相连。 教师宿舍：老师希望能以有线覆盖。 学生宿舍：同学同样希望能以有线覆盖。 饭堂：同学希望可以以无线覆盖。 体育馆：同学希望可以以无线覆盖。 实验楼的部分实验室：希望以有线覆盖并且主机可以配上投影仪。见表1-1 信息点统计表 大楼名称 信息点数 24口配线架 48口配线架 机柜 双绞线（箱） 中心机房 2m 实验楼 15 1 2 教学楼 - 不需要 办公楼 145 1 3 0.6m 32 体育馆 10 1 0.6m 3 图书馆 90 2 0.6m 3 教师宿舍 70 1 1 0.6m 18 学生宿舍1 192 4 2m 41 学生宿舍2 192 4 2m 41 饭堂 5 1 0.6m 1 合计 719 5 14 141 表1-1 1.3 校园网系统总体建设原则 由于网络系统对工作的运作与发展具有非常重要的作用，因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求，网络系统对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时间的可用性。网络系统设计必须满足其应用的要求，网络总体设计、建设的原则如下： 1 先进性：系统构成必须采用成熟、具有国内先进水平，并符合国际发展趋势的技术，软件产品和设备。在设计过程中充分依照国际上的规范、标准，借鉴国内外目前成熟的主流网络和综合信息系统的体系结构，以保证体系统具有较长的生命力和扩展能力。保证先进性的同时还要保证技术的稳定、安全性。 2标准性：系统要采用国际主流、成熟的体系架构来构建，实现跨平台的应用。 3 兼容性：对于网络系统，在设计过程中要考虑系统的能够适应不断的新的发展需要，并使系统能适应多种硬件平台和多种网络结构，而且网络拓扑结构简洁，硬件和软件按需要能进行灵活的配置。 4 可升级性和可扩展性 ：信息系统设计要考虑到业务未来发展的需求，尽可能设计的简明，降低各功能模块的耦合度，并充分考虑兼容性。系统能够支持对多种格式数据的存储。 5 安全性：系统设计和数据架构设计中充分考虑系统的安全和可靠。 6可靠性：网络可靠性需要从以下方面来保证：设备的硬件制造品质与运行软件的成熟性。网络设备必须选用已经证实，并在实际应用中得到普遍应用的产品，只有这样，才可能提供不间断运行的能力。网络产品应具备在线热更换的能力，当某一板卡出现故障时，应能带电更换，而不需进行停机操作。 7 易操作性：由于操作系统的许多都是非计算机专业人士，所以系统的设计需要考虑他容易操作性。 8 可管理性：网络管理应走向科学化，采用先进的网络管理系统，实现网络中心管理整个网络的目的，减轻网络管理人员的工作量。 第二章　综合布线方案 2.1 需求分析 校园的网管中心位于图书馆，图书馆、教学楼、办公楼、实验楼、体育馆、学生饭堂、学生宿舍、教工宿舍需要与网络中心连接成校园网，并且各楼分别需要网络布线以建设楼内局域网。 图2-1为某校平面图 根据我校的实际情况分析，建成后网络线路应满足以下几点： 1、楼宇与楼宇之间相互连接，各楼宇间用光纤连接 2、网络有足够的主干带宽和扩展能力，并支持多点广播和宽带高速接入 3、数据信息点的接入以交换100Mbps自适应以太网端口接入为主，以供带宽需求较高用户或应用使用 2.2 综合布线系统的结构 图2-2为该校校办公楼与教学楼之间的综合布线系统，校园网的服务器架设于图书馆内。设计我校网络系统的综合布线系统时，将严格依照标准和规范进行设计和施工、测试、验收，适度超前，一步到位。 建筑群间子系统采用6芯室外多模光缆。采用6芯应该是足够的：园区骨干网采用的技术，有FDDI、FE、GE和ATM，其中除FDDI DAS需使用4芯光纤外，其余技术均只需要使用2芯光纤。这样，采用FE、GE或ATM作为园区骨干网，1个通道只用2芯光纤，即使冗余配置也只需4芯光纤，还有2芯光纤可作备用，所以，采用6芯光纤的光缆应该是足够的。我们采用多模光缆，考虑到主干采用千兆以太网技术的话，因为千兆以太网在多模光缆上可以跑550米，该校参与连网的楼宇之间的距离没有超过550米，因此，采用多模光缆是安全可靠的。 骨干光纤布线采用全星型结构，中心机房设在图书馆。考虑把图书馆、教学楼、办公楼、实验楼、体育馆、学生饭堂、学生宿舍、教工宿舍全部以光纤与位于教学楼中心机房相连。采用6芯室外铠装光缆。在各楼采用墙装式光纤接线盒（Lucent 12口）；网络中心要端接的光纤芯数比较多，建议采用机架式光纤接线盒（Lucent 24口）。如图2-2 图2-2是校园网主干光纤布线的示意图。 校园内一般采用结构化布线校园网，在总体校园网络拓扑图上呈星型拓扑结型。楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。然后各楼以层为单位划分WLAN。对于我校的这九栋楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，安放在我校的图书馆内，内设有对外对内通信的各种网络设备（交换机、 路由器、防火墙、视频服务器等），中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备相连,以保证数据的高速传输。然后通过校园网域防火墙连接WAN，能连接到Internet，具有安全保密、域名解析以及基本的Internet服务功能，如WWW、 FTP、BBS等。在此设备间放置布线的线架和网络设备,端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。楼栋设备间每栋楼宇的控制中心，对于我校的每栋楼宇有线网络需求量都不是很大的情况，可用一台交换机代替楼栋设备间。 2.3 系统的总体设计 网络系统总体设计目标是最大限度的满足应用系统的需求，与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作，即通过网络设备将信息点与中心网络系统可靠地连接起来，为当前的各种应用环境系统和应用软件系统提供运行环境支持。 由于网络系统对工作的运作与发展具有非常重要的作用，因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求，网络系统对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时间的可用性。我们为校园网设计的综合布线系统将基于以下目标： (1) 符合当前和长远的信息传输要求； (2) 布线系统设计遵从国际(ISO/CEI11801)标准； (3) 布线系统采用国际标准建议的星型拓扑结构； (4) 考虑电脑网络的速度近100 Mb/s发展的需要； (5) 布线系统的信息出口采用国际标准的RJ45插座； (6) 布线系统符合综合业务数据网的要求； (7) 布线系统要立足开放原则 2.4系统结构设计描述 综合布线系统是一个模块化的开放系统，主要由六个子系统组成，下面分别说明各个子系统的组成： 2.4.1 工作区子系统（Work Area）及其网络设计 工作区子系统由终端设备连接到信息插座的连线，以及信息插座所组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定，并预留适当数量的冗余。例如：对于一个办公区内的每个办公点可配置2～3个信息点，此外应为此办公区配置3～5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等等。若此办公区为商务应用则信息点的带宽为100M可满足要求；若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。 工作区的终端设备（如：电话机、传真机）可用康宁公司FutureCom超五类双绞线直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。 2.4.2 水平子系统（Horizontal）及其网络设计 水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。水平子系统指定的拓扑结构为星形拓扑。水平干线的设计包括水平子系统的传输介质与部件集成。选择水平子系统的线缆，要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在水平子系统中推荐采用的双绞电缆及光 纤型号为: 康宁公司FutureCom超五类非屏蔽双绞线, FutureLink室内单模光纤。 线缆长度估算公式： LT=[（Lmax+Lmin）/2+H ] * 1.15*N Lmax 本楼层最远终端设备至本楼层设备间距离 Lmin 本楼层最近终端设备至本楼层设备间距离 H： 本楼层楼高，本方案中涉及的楼高为4米。 1.15：线缆剪切余量和线长冗余为线长的15% N：本楼层信息点数量（语音点数量与数据点数量之和）。 2.4.3 管理子系统（Administration）及其网络设计 管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。康宁公司的LANscape综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。 2.4.4 干线子系统（Backbone）及其网络设计 干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间配线架，计算机、PBX、控制中心与各管理子系统间的连接。干线传输电缆的设计必须既满足当前的需要,又适应今后的发展。干线子系统布线走向应选择干线线缆最短、最安全和最经济的路由。干线子系统在系统设计施工时，应预留一定的线缆做冗余信道，这一点对于综合布线系统的可扩展性和可靠性来说是十分重要的。 干线子系统可以使用的线缆主要有：HAY三类大对数电缆；FutureCom超五类或六类双绞线；FutureLink室内单模或多模光纤。 超五类双绞线可以支持1000BASE－T，但如要求支持1000BASE－TX则必须使用六类双绞线。如果已安装的电缆仅满足5类线标准(1995)，那么在连接1000BASE－T设备之前，应对布线系统按照新增加的布线参数（如：回波损耗，等级远端串扰（ELFEXT），传播延迟和延时畸变等）进行测量和认证。 2.4.5 设备间子系统（Equipment Room）及其网络设计 设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互连起来。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在较大型的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房放在离设备间不远的位置。 建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段，也可采用微波通信、无线电通信的手段。在康宁公司的LANscape综合布线解决方案中，康宁FutureLink光纤不但支持FDDI主干、1000Base－FX主干、100Base－FX到桌面、ATM主干和ATM到桌面，还可以支持CATV/CCTV及光纤到桌面（FTTD），是建筑群子系统和主干线子系统布线中有线通信线缆中的明星。光纤有单模光纤和多模光纤两种：单模光纤只传输主模态，可完全避免模态色散，传输频带很宽，传输容量很大，适用于大容量、长距离的光纤通信。它是未来光纤通信与光波技术发展的必然趋势（如：1000BASE－LX基于1300nm的单模光缆，使用8B/10B编码解码方式，最大传输距离为3000m，康宁公司出品的特制光纤传输距离为标准距离的5-10倍）；多模光纤传输模态较多，存在一定量的模态色散，频带较宽，传输容量较大（目前采用的62.5/125μm多模光纤，数据传输速率为100Mbps时，最大距离可以到2km），但传输千兆位数据量时距离支持十分有限。 这六个系统示意图如图2-3所示： （图2-3） 其次从系统结构上看，综合布线系统分为建筑群子系统、干线子系统、配线子系统三个层次。 1、建筑群子系统 该布线子系统包括建筑群干线电缆、建筑群干线光缆及其在建筑群配线架和建筑物配线架上的机械终端机建筑群配线架上的接插线和跳线。该校校内的建筑群子系统采用光缆。 2、干线子系统 干线子系统及垂直子系统。建筑物干线电缆、建筑物干线光缆直接端接到有关的楼层配线架，中间不应有结合点或街头· 3、配线子系统 从楼层配线架到各个信息插座的布线属于配线子系统，即水平子系统。 水平电缆、水平光缆一般直接连接到信息插座。 建筑物配线设备至每个楼层的配线设备的建筑物干线子系统的干线电缆或光缆一般采取分别独立供线给各个楼层的方式，在各个楼层之间无连接的方式、这样当线路发生障碍的时候，影响范围较小，容易判断和检修，有利于安装施工，但工程造价较高。 最后，在布线时需注意的几点要求： 1、信息插座（TO）到建筑物设备间（BD）之间电缆的最大长度不超过90m。 2、信息插座模块通常是RJ45接口，如果终端设备不是RJ45接口则需另配一个接口转接设备（适配器）才能实现通信。 3、信息插座模块离地面的高度一般为30cm。 设备清单：见表2-1 序号 材料名称 单位 数量 1 康普CommScope 超五类非屏蔽48口配线架(带理线环/PM2150PSE-48) 个 5 2 康普CommScope 超五类非屏蔽24口配线架(带理线环/PM2150PSE-24) 个 14 3 康普CommScope 超五类非屏蔽信息模块(MPS100E-262) 个 36 4 康普CommScope 机架式光纤配线架 个 3 5 康宁FutureCom超五类双绞线 箱 100 6 康宁FutureCom超六类双绞线 箱 41 7 康宁FutureLink室内单模光纤 箱 8 康宁FutureLink室内多模光纤 箱 9 RJ45水晶头 盒 表2-1 第三章网络搭建方案 3.1网络需求分析 教学楼：经调查有无线需求，鉴于对于无线需求不大，无需使用无线交换机，推荐使用小型家用路由器。 办公大楼：要求以有线方式覆盖。财务部要求单独划分vlan并且另有专线可以接入外网。人力资源部，办公室、财务部、党群部、市场部、培训部、文印室7个部门各20个信息点，领导办公室5个，各一个信息点。 图书馆：图书馆内建立电子阅览室，还需架设妙思文献集成系统服务器。并且要求可以连接外网，另借阅PC在值班时间无法连接外网（电子阅览仅限图书馆阅览室和教师办公室）。 实验楼：要求以有线方式覆盖。并且电脑室的电脑全部能与主机相连。 教师宿舍：老师希望能以有线覆盖。 学生宿舍：同学同样希望能以有线覆盖。 饭堂：同学希望可以以无线覆盖。 体育馆：同学希望可以以无线覆盖。 实验楼的部分实验室：希望以有线覆盖并且主机可以配上投影仪。 3.2网络改造原则 为实现校园网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则： 高速的网络连接——校园网的核心为面向校园内部师生的网络，因此园区局域网是该系统的建设重点。 信息结构的多样化—— 校园网应满足不同层次的应该需求，可分为多媒体应用（互联网访问、多媒体教学、电子图书馆、视频点播、学校网站、内部E_Mail），信息管理（成绩统计、档案管理）和远程通信（外部拨入、异地互联等）三大部分。 安全可靠——校园网同样有大量关于教学和档案管理的重要数据，不论是被损坏、丢失还是被窃取，都将带来极大的损失。在安全方面，学校采用防火墙功能姜校园网分为内外两个部分，从而避免内部网上核心服务器受到侵害。 操作方面，易于管理——校园网面向不同知识层次的教师、学生和办公人员，应用和管理应简便易行，网管软件应做到全中文，界面友好，易用性强，不宜太过专业化。 3.3网络拓扑图说明 网络在中学日常教学办公环境中起着至关重要的作用，校园网的的运作模式会带来大量动态的www应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求。这就要求网络有足够的主干带宽和扩展能力。同时，一些新的应用类型，如网络教学、视频直播等，也对网络提出了支持多点广播和带宽告诉接入的要求。按目前通常的考虑，监狱数据信息点的接入以交换100Mbps自适应以太端口接入为主，以供带宽需求较高用户和应用使用。整个设计方案如图3-1所示 图3.-1网络拓扑图 IP地址策划表（表3-1） 节点类型 节点名 IP地址范围 所属vlan 有线 实验楼 172.31.10.3-172.31.10.254/24 Vlan10 有线 教学楼 172.31.20.3-172.31.20.254/24 Vlan20 有线 办公楼 172.31.30.3-172.31.30.254/24 Vlan30 有线 体育馆 172.31.40.3-172.31.40.254/24 Vlan40 有线 图书馆 172.31.50.3-172.31.50.254/24 Vlan50 有线 教师宿舍 172.31.60.3-172.31.60.254/24 Vlan60 有线 学生宿舍1 172.31.70.3-172.31.70.254/24 Vlan70 有线 学生宿舍2 172.31.80.3-172.31.80.254/24 Vlan80 有线 饭堂 172.31.90.3-172.31.90.254/24 Vlan90 有线 财务室 172.31.100.3-172.31.100.20/24 Vlan1 有线 Dhcp服务器 172.31.0.10/24 Vlan1 有线 Wep服务器 172.31.0.20/24 Vlan1 有线 Dns服务器 172.31.0.30/24 Vlan1 有线 FTP服务器 172.31.0.40/24 Vlan1 表3-1 Vlan规划表（表3-2） Vlan ID 节点名 用途 1 所有交换机 配置IP 10 实验楼 DHCP自主分配 20 教学楼 DHCP自主分配 30 办公楼 DHCP自主分配 40 体育馆 DHCP自主分配 50 图书馆 DHCP自主分配 60 教师宿舍 DHCP自主分配 70 学生宿舍1 DHCP自主分配 80 学生宿舍2 DHCP自主分配 90 饭堂 DHCP自主分配 100 财务室 DHCP自主分配 表3-2 3.4网络设备选择 3.4.1 选择原则 网络在某中学日常教学办公环境中起着至关重要的作用，校园网的运作模式会带来大量动态的www应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求 3.4.2 设备选型 序号 设备名称 价格(元) 数量（台） 型号 参数 1 核心交换机 （三层千兆以太网交换机） 19000 1 H3CS550-52C-SI 背板带宽：240Gbps 包转发率：132Mpps MAN地址表：16K VLAN功能：支持4K个VLAN、支持基于MAC/协议的VLAN、支持VLAN Mapping、支持Voive VLAN、支持GVRP 端口结构：非模块化 端口数量：52个 传输模式：支持全双工 堆叠功能：可堆叠 2 汇聚层、接入层交换机(二层） 7000 20 H3CS310-26TP–PWR-EI 传输速率：10/100/1000Mbps 网管功能：支持XModem/FTP/TFTP加载升级；支持命令行接口，Telnet , Console口进行配置；支持HGMP V2集群管理；支持SNMP v1/v2/v3,WEB网管；支持H3C IMC智能管理中心 包转发率：6.6Mpps 交换方式：存储转发 背板带宽：19.2Gbps MAN地址表：8K 3 路由器（多业务路由器） 22000 1 H3C MSR 50-60 传输速率：10/100/1000Mbps 端口结构：模块化 路由器处理器：RISC新一代处理器 833MHz 最大flash内存：CF:256M/1024MB B 最大DRAM内存：(DDR)512M/1024MB 路由器发包率：600Kpps 网络协议：支持静态路由, RIPv1/v2、RIPng, OSPFv2/v3, BGP、BGP4+, IS-IS、ISIS v6, 支持DHCP Server, DHCP Relay, DHCP Client, DNS Client, IPv6, NTP Server, NTP Client,TelnetServer,Telnet,Client,TFTP Client, FTP Server, FTP Client, 二层协议等 路由器网管功能：通过命令行配置,通过Console口进行配置,通过以太网端口利用Telnet进行配置、远程维护,通过AUX口利用Modem拨号进行配置、远程维护,通过SNMP管理（v1，v2c，v3）,支持RMON（ 1，2，3，9组MIB）,支持系统日志,支持分级告警,PING、Tracert VPN功能：支持VPN QOS功能：支持 防火墙功能：内置 接口模块：4个SIC插槽,6个FIC插槽 其他控制端口：2个千兆光/电Combo、2个USB接口、1个AUX、1个配置口、1个VCPM插槽、4个VPM插槽、2个ESM插槽 拓展插槽：2个ESM插槽,4个VPM插槽,1个VCPM插槽 3.5无线网络 3.5.1无线网络需求分析 通过校园无线网络覆盖宿舍、饭堂、体育馆等。满足了教师和学生临时上网的需求，教师和学生可以很方便地利用无线网络查阅到网络上的相关资料和浏览数字图书。 3.5.2无线网络的覆盖范围 一般情况下AP的通信室内被限定在30~50米左右、室外被限定在100~150米左右。无线局域网用户往往被束缚于局部空间内，一旦超越信号覆盖范围，那么就会是失去与网络的连接，无法继续进行通信。针对这种状况，采用多AP微蜂窝无线覆盖可以得到很好的解决。实施微蜂窝覆盖，首先要建立包含多个访问点的无线网络。 学生宿舍6层楼，共两栋，为了保证无线网络信号的强度，在宿舍每层层楼的楼梯口安放分别安放1个AP（共12个），为学生建立SSID，满足学生的无线上网需求。 教师宿舍6层楼，同样的在每层楼安放1个AP（共6个），建立SSID，满足教师的无线上网需求。 体育场根据面积来估算，大概需要10个AP。 饭堂需要安放4个AP。 3.5.3无线网络的安全防范措施 为了保证无线网络系统的安全，在网络正式启用前，需要在每个接入点上指定认证服务器的地址，并配置认证密码，防止攻击者擅自添加认证服务器，或修改用户数据库信息，绕过正常的用户身份验证过程，接入到无线网络。 3.5.4无线网络的设计方案 WLAN是通信行业的一个时髦词语，而且可以肯定是一种人人都想使用的技术。WLAN变得如此流行的原因是易于安装和使用。通过WLAN系统，用户无需考虑复杂的线路连接和布置问题。可是WLAN系统也不是完全的“无线”，因为只有客户端是可移动的，而服务器或者说接入设备是固定。 使用WLAN解决方案，网络服务商和企业能给他们的客户提供无线局域网服务，这些服务包括： 使用带有WLAN功能的设备组建一个无线网络。这个网络可以成为接入固网或者Internet的入口。 配置了无线PCI网卡的客户端可以与无线网络建立连接并访问固网或Internet。 通过不同的加密和认证方式实现安全的访问。 WLA功能使用能够安全的访问网络并且能在同一移动区域内进行快速漫游。 3.5.5无线网络的工作机制： Client（客户端）：带有无线网卡的便携机。 AP（无线路由器，接入点）：执行桥接操作的设备，在客户端和局域网之间进行互相转换。 AC（无线控制管理器）：对WLAN内所有无线路由器进行管理和控制的设备，通过与认证服务器的通信来进行信息过滤。 3.5.6无线路由器设备 序号 设备名称 价格(元) 数量（台） 型号 参数 1 3G无线路由器 3400 1 H3C MSR 900W 无线标准：IEEE 802.11b，IEEE802.11g 网络协议：TCP，UDP，IP Option，IP unnumber，Netstream，sFlow，DHCP，DNS，DDNS，NTP，TFTP，FTP 网络接口：1个10/100Mbps WAN口，4个10/100Mbps LAN口 天线类型: 外置天线 天线数量: 1根 3G功能: 支持 Qos支持:支持 防火墙功能: 内置防火墙 网络管理: SNMP V1/V2c/V3，MIB，SYSLOG，RMON，WEB网管，TR069 无线安全:支持开放系统认证和共享密钥认证 支持WEP、TKIP和CCMP加密 支持WPA和RSN安全协议 支持端口认证：PSK、802.1X、 PSK和MAC 2 无线AP 5700 32 H3CWA2620E-AGN 网络标准: IEEE802.11a、IEEE802.11b、IEEE802.11g、IEEE802.11n 数据传输率: 300Mbps 网络接口: 1个10/100/1000M以太网口 频率范围:802.11a/n：5.725GHz-5.850GHz（中国）；802.11b/g/n：2.142GHz-2.472GHz（中国） 灵敏度: 11b:-92dBm(1Mbps), 11g:-80dBm(54Mbps),11a:-78dBm(54Mbps); 11n(HT20):-92dBm@MCS0,-72dBm@MCS7, -90dBm@MCS8,-71dBm@MCS15; 11n(HT40):- 88Bm@MCS0,-70dBm@MCS7 ,-88dBm@MCS8,-68dBm@MCS15 调制方式: OFDM:BPSK@6/9Mbps,QPSK@12/18Mbps ,16-QAM@24Mbps,64-QAM@48/54Mbps; DSSS:DBPSK@1Mbps,DQPSK@2Mbps,andCCK@5.5/11Mbps;MIMO-OFDM:BPSK,QPSK,16QAM and 64QAM 天线: 6个RSMA接口,6根自带双频天线 安全性能: 支持64、128位WEP加密，WPA，802.11i和WAPI;支持WPA、802.11i以及WAPI的多种密钥更新触发条件 其它技术参数: 虚拟AP:32个 3.6网络安全设计 3.6.1病毒对校园网的影响 校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗，用户正常的网络访问得不到响应，办公平台不能使用；资源库、VOD不能点播；INTERNET上不了，学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。 3.6.2设计方案 （1）配置防火墙和入侵检测系统 在校园网的进口处架设了防火墙和网络入侵检测系统。防火墙作为一种将内外网隔离的技术， 普遍运用于校园网安全建设中。防火墙可以有效地隔离内部网与外部网， 保护校园内部网络免遭非法的侵入。网络安全检测工具是一个网络安全性评估分析软件，不时的扫描分析网络系统， 网络管理员根据检测的报告系统分析存在的弱点和漏洞，及时采取补救措施，以达到增强网络安全性的目的。基于网络的入侵检测系统，对监视网段中的各种数据包进行特征分析，会根据产品中配置规则情况录取是否发出警报或直接切断网络连接。 （2）采用V L A N技术 按学校各部门拥有不同的应用业务以及不同的安全级别，有限制非法访问可以运用 V L A N技术。如使用三层交换机基于端口划分技术将网络分段并进行隔离，实现访问控制。 （3）配置代理服务器 在计算机中心学生机房配置访问控制列表，使用二级防火墙，并利 用代理软件配置代理服务器，在代理服务器上安装双网卡，连接外网的网卡使用公网I P地址，连接内网的网卡使用私有地址，学生客户机 I P地址与代理服务器内网 IP地址在同一网段，网关 I P为代理服务器内网 I P地址。机房机器通过代理服务器连接互联网，可以控制前往I n t e me t 的所有用户的流量。 （4）安装杀毒软件 在整个校园网中只要有可能感染和传播病毒的地方都采取相应的防病毒手段，安装相适应的防杀毒软件，有效地防止病毒在校园网上感染、传播和发作。对防病毒软件要有效、快速地升级病毒定义码和扫描引擎。网络的安全管理是一个长期的、动态的过程。本网络系统的安全性还存在不少问题，比如说防止网络攻击方面， 尽管使用了入侵检测系统和防火墙的联动技术，但是，目前的入侵检测系统对未知的攻击检测能力较弱，且存在误报率太高的缺点。 （5）制定安全策略 安全策略是赋予了组织机构技术人员或信息资产使用权的人员必须履行的准则的正规陈述它是一个成功的网络安全体系的基础与核心。业务需求和风险分析是安全策略的主要制定依据。校园网络的安全策略是依据校园网的业务需求描述了校园网近期安全目标和长期安全目标，以及安全风险评估分析，不同安全评估标准中保护对象的安全等级方面的内容。 (6)事前的身份认证 对于每一个需要访问网络的用户，我们需要对其身份进行验证，身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户P