组网方案设计.doc

组网方案设计 22 2020年4月19日 文档仅供参考 校园网组网技术 摘 要： 随着网络的逐步普及，校园网络的建设是学校向信息化发展的必然选择，校园网网络系统是一个非常庞大而复杂的系统，它不但为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，本文着重论述了校园网设计与建设过程中确立建设校园网的目标，校园网的组网方案设计原则和所需的网络技术选型，网络设备选择以及网络安全设计等关键问题。 一、网络规划原则 1.1 校园网实用的投资保护 对于投资的保护，是每个用户都关心的问题。每个设备都进行严格的选型，在满足设计原则的功能前提下，提供最具性价比的设备配置方案。对不同技术和设备的兼容在很大程度上保护了用户的投资。 1.2 校园网的先进性 当今世界，通信和计算机技术发展日新月异。我们的方案要适应新技术发展的潮流。既要保证校园网的先进性，同时也要兼顾技术的成熟性。 1.3 打造网络高的可用性和可靠性 我们的方案对于网络的重要应用完全支持采用冗余的设计，整网具备良好的健壮性，支持对于重要交换机之间的连接支持采用多条物理链路交换机之间做标准的802.1ad的捆绑，进行逻辑Trunk的链接，既能充分利用网络端口实现成倍的带宽，同时也达到了一个负载均衡和链路备份的目的。对于服务器的可用性实现，我们的基本思想是服务器群连接到原有设备cisco4006，然后经过双链路分别连接到2台万兆核心，保证了高可用性。 1.4 构筑高安全性网络 对于安全性我们将经过对用户的区域划分，和对应用层的划分来逐级实现网络的安全性。对内的安全实施包括用交换机进行VLAN的划分，在路由中创立访问控制列表，如此可对一些网络用户实行可控的安全级别。对于业务主机，例如服务器将经过用户权限的认证，实现用户与业务的隔离，避免非法用户的侵入。对重要数据库采取安全备份的机制，避免突发事件造成重要数据的丢失。支持经过防火墙对外部网络的非法访问进行过滤，防范于未然。 1.5 具备后续可扩展性 由于计算机通讯和多媒体应用的不断发展，网络系统必然随之不断扩大。因此，当前的网络设计必须为今后的扩充留有足够的余地，以保护用户的投资，保证用户今后三到五年的网络扩充升级能力。 二、网络需求分析 校园网工程是一项高科技的综合性建设项目，它不但涉及了许多方面的技术，同时也设计到学校的各个部门。校园网建设的总体目标是建成一个主干网，其上连接多个子网，使全校的教学、科研、管理等项目工作都能在网上进行，充分利用这个速度高、功能强的信息传输和处理媒介，共享网上的软、硬件资源。 校园网建设是一项长期的工程，除建设和实施工程外，还有运行管理、维护和发展的任务。因此，就要求所建的校园网即建即能使用，且好用实用。技术上采用当前先进的软件、硬件技术，且具有良好的升级、扩展功能，以满足今后大容量、超高速、多媒体数据传输的需要，提供全时的服务，另外，网络还应具有良好的兼容性，以保证有好的互连性。为建立一个适合于本学校的校园网，结合学校的实际情况，我进行了以下几点需求分析。 2.1 校园网功能需求 （1）连接校内所有教学楼、实验室、办公楼等各建筑物中的计算机． （2）同肘支持约 用户浏览Internet。 （3）提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括： a.提供基本的Interent网络服务功能：如电子邮件、文件传输、远程登录、新闻组讨论，电子公告牌、域名服务等。 b.提供校内各个管理机构的办公自动化。 提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。 c.全校共享软件库服务，避免重复投资，发挥最大效益。 d.提供良好的教学和科研条件。 e.经广域网接口，提供国内外计算机系统的互连，为国际间的信息交流和科研合作，为学校快速获得最新教学成果及技术合作等创造良好的信息通路。 2.2 对主机系统的要求 （1）主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力； （2）主机系统应具有高的可靠性，能长时间连续工作，并有容错措施； （3）支持通用大型数据库，如SLQ，Oracel等； （4）具有广泛的软件支持，软件兼容性好，并支持多种传输协议； 某学校校园网的研究与设计； （5）能与Internet互联，可提供互联网的应用，如WWW浏览服务、FTP文件传输服务、E-mail电予邮件服务、News新闻组讨论等服务； （6）支持SNMP网络管理协议，具有良好的可管理性和可维护性。 2.3 网络管理需求 （1）虚拟网的划分：在内部主干网上要求作到能够划分跨越物理子网的虚拟网，以便使各种网段的划分不受地理区域的限制，并有效地限制网间广播，控制网问访问。 （2）虚拟网管理：对虚拟网的配置能够进行集中的控制管理，以便随时进行扩充、迁 移等调整。 （3）设备及端口管理：对主干网上所有网络设备及连接局域网的所有端口能够进行集 中的控制管理。 （4）网络检测：对主干网的运行状态和故障进行集中检测、报警、统计。 2.4 网络安全需求 （1）划分内部网和外部网：所有向Intemet提供的信息发布服务放在外部网上、所有校内应用放在内部网上，内部网与外部网之间设置防火墙以保证内部网的安全。 （2）内部网的各个子网之间的互访能够控制，杜绝非授权的访问． 2.5 广域网连接需求 能够与国际互联网连接：能够Internet、Chinanet连接，与国内各个单位交流信息。 三、网络方案设计 3.1 网络架构 网络设计的主要目标是实现Internet互联网的高速宽带接入，同时适应未来校园网Internet应用发展的需求。方案设计中校园网的结构是由核心层、分布层与接入层组成，其中由安装在中心机房的多层交换机组成校园网的核心层，由安装在教学楼、学生宿舍楼的交换机组成网络的分布层与接入层。这种层次型的结构，不但提高了整个网络的可用性、可靠性，而且能够滤过网络主干上不必要的流量，并为网络管理与运行维护提供良好的基础。 3.1.1 核心层 核心层网络组成高速互联的主干，由于核心层对网络互联是至关重要的，因此必须采用冗余组件来设计核心层。核心层应具有高可靠性，而且应能快速适应网络的变化。 3.1.2 分布层 分布层是网络核心层与接入层的分界点，分布层扮演许多角色，包括由于安全性原因控制对资源的访问，分布层能够配置为VLAN之间连接的路由，汇总接入层的路由。设计时考虑分布层与核心层有冗余的链路。 3.1.3 接入层 接入层为用户提供在局部网段访问互联网的能力，直接与桌面计算机接入。实现VLAN划分与安全控制。 3.2 网络拓扑结构设计 现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构。 校园网采用星形的网络拓扑结构，骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。 因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份能够有效地提高核心交换的可靠性。 传输介质也要适合建网需要。在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度要求。 四、网络总体目标 4.1 实现校园内部资源共享 学校领导和教师能经过及时、准确地查询教学活动中的信息，掌握当前教学情况。并经过对信息的统计、汇总及分析，为教学、科研管理提供服务，为学校领导计划、组织、管理和决策提供详实的信息资源服务和科学管理手段，能及时制定、修正教学工作计划。 4.2 完备的数据库管理系统和资源库 能够支持大量的图文声像素材、多媒体课件片段，成百个教学光盘，总量达几百兆以上数据文件的收集、管理、存储的提取。检索方便，容错性强。 4.3 以教学资源库为核心的教学自学环境 为学校教师提供制作环境、备课工具、良好的教学演播环境以及教学评估机制。为学生提供自主学习、交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制。利用现代教育技术，提高学生的素质，改革课堂教学模式。 4.4 现代化管理方法和管理手段 加强对学校的财、物的管理，提高办公效率、降低成本消耗，逐步实现办公自动化、网络化。 4.5 实现校园网与互联网的连接 建立学校主页、教师主页、学生个人主页、电子邮箱、电子公告牌等信息发布窗口，发布有关教育教学信息，建立起学校、教师、家长、学生之间的信息交流平台，并逐步发展建设成为一个面向全省、全国的教育教学信息网站。 4.6 提供有关教育教学信息网站的连接，增强教学交流能力 建立起各学校之间的教学信息资源库的共享，使不同学校的学生能够实现网上听课、辅导、交互协作式学习。 五、IP地址规划 根据我校校园网的覆盖范围广、节点数较多等特性，本方案IP地址采用公网保留的C类地址，除了几个关键单位，如网管中心，招毕办等使用公网地址之外，内部使用私网网段的IP地址,整个校区出口利用高性能的GSR路由器作NAT转换，根据网络现有结构，设计比较适合的路由协议。能够实现优化的网络路径选择，在网络结构发生变化时路由能够快速收敛，保证网络的畅通。 IP地址的分配采用动态分配的方式： 学校拥有的公网地址为：168.192.165.0-168.192.176.0，一共11个C类地址；网络中心、办公室、图书馆、招毕办等使用公网地址，一共4个C类（168.192.165.0-168.192.169.0）；出口使用一个C类地址，剩下的地址做为保留。 下表为IP地址分配表 类别 地址段 数量 备注 网络中心 168.192.165.0 1个C 能够调整 办公室 168.192.166.0 1个C 能够调整 图书馆 168.192.168.0 1个C 能够调整 招毕办 168.192.169.0 1个C 能够调整 六、网络设备选型 6.1 网络技术标准选择 本方案选择快速以太网技术，该技术成熟，有完善的国际标准，系统易于升级，其布线系统和网络结构易于升级，网络传输速率支持10M/100M/1G。 6.2 通信介质的选择 当前，快速以太网通信介质一般选择光纤和五类双绞线。通信骨干尽可能选用光纤，如楼宇之间、楼层垂直布线（若不太考虑投资问题）尽可能选用光纤，在短距离如几百米半径内，能够选择50um多模光纤，且应该为多芯。多模光纤的交换机接口卡比较便宜，50um支持1Gbit/s传输速率且传输距离可达500m，多芯光纤既能够保证链路冗余，提高链路容错，又能够支持多链路隧道技术，提高链路带宽。距离较远的楼宇之间的链接能够选用单模光纤。 楼内水平布线，即各个楼层内端用户计算机连接楼层交换机，采用五类或超五类双绞线，这样，既能够满足100M传输速率，又能够满足双绞线连接100m的距离限制，成本也较低。 6.3 交换机 交换机是网络通信的基本组成设备，它提供了网络连接，是数据转发的中间介质。 （1）核心交换机 核心交换机是网络的核心交换设备，提供与支干交换机的互联，其性能直接影响整个网络的性能，因此选择具有较高性能的交换机，一般应在千兆级或以上。由于校园网内地用户较多，一般达到千数量级，在组织上需要规划多个子网，因此核心交换机需要支持三层交换，以实现不同子网之间计算机的互访。核心交换机一定要支持可管理，并有良好的扩充性能、容错性能等。 核心交换机的 RJ45以太网端口一般支持10M/100M自适应连接，用于连接为校园网提供各种应用服务的服务器，同时应具有足够的光纤接口，提供光纤连接。核心交换机还应该有足够的扩展槽，在必要的时候增加光纤或RJ45扩展接口卡。 网络方案根据综合平衡分析，核心交换机选用实达STAR-S6808，采用全光纤接口模块。 （2）支干（楼宇）交换机 支干交换机提供楼宇间互联设备，上连核心交换机，向下连接节点交换机。为了上连核心交换机，应具有光纤接口，至少提供向上100M全双工连接速率。为了下连节点交换机应具有一定数量的RJ-45接口，提供100M全双工模式连接节点交换机，一般交换机之间支持100M全双工连接方式。 接入层交换机选用实达锐捷的STAR-3550。 （3）节点交换机 直接连接端用户计算机的交换机，一般采用端口支持10M/100M自适应的以太网交换机，交换机应具有一定的端口密度，如采用24口或更多端口的交换机。当用户设备密度较大时，若资金允许，能够选择可堆叠交换机。 6.4 路由器 路由器是校园网接入Internet的必备产品，它提供学校内部网络Internet的连接。产品选择上主要考虑性能和配置，它必须具备连接内网和外网两个接口。 本方案设计选用Cisco 2600路由器，经过中国移动通信接入Internet。 Cisco 2600提供了灵活、可扩展的集成解决方案，可简化管理分支机构网络解决方案的流程。Cisco 2600提供了全面的特性集，适用于： (1)多服务语音／数据集成 (2)带防火墙和加密选项的VPN接入 (3)模拟拨号接入服务 (4)带宽管理的路由 (5)VLAN问路由 (6)高速企业级DsL接入的提供 (7)经济有效的ATM接入 (8)灵活路由和低密交换的集成 6.5 服务器 服务器是提供网络应用的核心产品，要求性能可靠、稳定、高效，能够提供大存储容量、高I/O吞吐率、一定的硬件冗余、良好的容错能力。服务器是所有C/S模式网络中最核心的网络设备，在相当大程度上决定了整个网络的性能。它既是网络的文件中心，同时又是网络的数据中心。 在选择服务器之前，同样需要全面分析网络的应用内容，以便合理规划服务器的数量及配置。一般校园网需要提供DNS、WWW、数据库、E-mail、办公自动化等网络应用。服务器能够根据具体应用规划其配置，没有必要过分追求高配置，在校园网中根据提供的服务，找出关键任务，划分不同应用层次，选择不同档次的服务器。 本设计的网络服务器的选择选用了Sun Enterpfisel服务器。 Sun Enterprisel服务器采用功能强大的UltraSPARC处理器，可为工作组和PC-LAN提供快捷而有效的应用性能。另外，该系统还可支持很多高级联网服务，包括电子邮件，Interact和Lotus Notes，以满足工作组需要。 Enterprisel非常适合用作中小工作组的应用软件或高性能文件服务器，能够用来连接用户的PC网络。它采用143MHz或者167MHz ultra SPARC处理器，具有很大的外部高速缓存，可提供快速吞吐量、高级网络和FO以及供存储器和扩展使用的充裕空间。Enterprisel集能力、吞吐量、软件和网络于一身，适合于校园网应用，且价格较低。 6.7 防火墙 防火墙技术的核心思想是在不安全的网络环境中构造一个相对安全的子网环境，它已成为实现Internet网络安全的重要保障之一。在校园网中正确选择安装防火墙，能够保障校园网的安全，防止外部的非法侵入。防火墙从产品角度分为软件防火墙、硬件防火墙，一般选择硬件防火墙。防火墙一般具有包过滤访问控制、双向NAT网络地址转换、RADIUS口令验证、网络实时监控、优先级控制、流量统计等功能。 本方案中选用实达-龙马卫士硬件防火墙，作为阻隔内外网的安全屏障。而且，为了减轻路由的负担，保证其高速的数据转发性能，NAT做在了防火墙上。 七、网络操作系统与服务器资源设备 7.1 系统软件平台 选用Microsoft公司的中文NT Server 4.0、SQL Server 7.0（可在中文平台上使用）或Sybase 11、中文Exchange Server 5.5作为应用软件平台。在此系统平台上，实现全校的Web服务、FTP服务、电子邮件服务，构建教师、学生沟通的桥梁，使教师、学生在校园网上进行交流成为可能。 Windows NT Server采用微内核设计，将与平台有关的代码封闭在一个称为硬件抽象底层的动态链接库中，使用一个底层软件抽象出硬件，因此能够在不同的平台上安装NT，具有很好的移植性。另外，Windows NT Server提供了支持多CPU的能力，最多可支持32个CPU并行工作。 7.2 数据库系统 一个安全、稳固、功能强大的数据库系统是当今校园网必不可少的组成部分。一方面它能够提供对校园网上各种管理应用的支持，另一方面它也是Internet网络数据仓库的基础。本方案选用SQLServer数据库系统。 7.3 E-Mail服务器 1.允许设置多个邮件处理规则，根据邮件主题、发件人等信息将邮件直接存放到指定文件夹中等多种方式的自动处理。 2.配合用户邮件过滤功能，提供邮件自动回复、拒收或分检服务。 3.修改用户的个性化设置，如个人签名档、个人资料、界面显示风格等修改邮箱的配置参数：每页显示的邮件数、是否将原信加入到回复的信件中、自动转发后是否在本地保存副本、设定邮件最大字节数、设定邮件显示的排序方式。 4.POP邮件功能，允许设置多个电子邮件POP 帐号，将邮件采集到本系统中。 5.用户能够将一些常见的地址加入到地址簿，方便管理，将地址按照指定的规律进行分组，实现邮件的群发；同时能够自行添加、修改、删除个人、团体地址本中的记录，也能够在阅读邮件时由系统自动加入到地址簿。系统支持虚拟域名、多域名。能够在同一邮件系统内包含多个域的地址。轻松地容纳多种地址格式和/或主持多个域 需求的系统。 7.4 FTP服务器 集成了Internet/Intranet服务器软件Microsoft Internet Information Server（IIS）2.0。IIS包含了一个高性能的HTTP引擎，它构成Web服务器的核心；IIS还包含Internet标准的FTP服务器。 7.5 WEB服务器 WEB服务器也称为WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服务。采用的是客户/服务器结构，其作用是整理和储存各种WWW资源，并响应客户端软件的请求，把客户所需的资源传送到 Windows Server、WindowsXP、Windows NT、UNIX 或 Linux 等平台上。 八、系统安全体系设计 安全体系是安全工程实施的指导方针和必要依据，它的质量也决定了安全工程的质量。因此，应把安全体系的设计提升到一定的高度，确保安全体系的可靠性、可行性、完备性和可扩展性。 8.1 物理层安全 物理层的安全主要包括环境、设备及线路的安全。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。 8.2 系统安全  系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种： ①采用主机加固手段对主机加固，如升级、打补丁、关闭不需要的端口等； ②采用主机访问控制手段加强对主机的访问控制； 8.3 网络层安全 校园网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护：  (1) 划分安全子网。如果同一局域网内有不同等级的安全域，能够经过划分子网及VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间能够经过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。 (2) 加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。 (3) 防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS）,可有效地防止来自网络内外的攻击。 (4) 定期的网络安全性检测实现持续安全。利用漏洞扫描器（Scanner）,定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。 (5) 建立网络防病毒系统。在校园网中安装网络版的防毒系统，集中控制、管理查杀网络中服务器、终端的病毒，保护全网不被病毒侵害。 8.4 应用层安全 应用层的安全措施主要有以下几点：各应用系统自身的加固；建立身份认证系统；建立安全审计系统；建立备份系统； 8.5 管理层安全 实现管理层的安全主要注意以下几点：建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析；建立、健全安全管理体制。校园网用户较多，一定要建立一套合理可行的安全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平；提高全员的安全意识。