校园网络规划与设计方案
班级:计算机网络工程
姓名: XXX
指导老师: XXX
目 录
摘 要 .................................................................................................................. 3 项目概况 .............................................................................................................. 4
一、用户需求分析 ................................................................................................ 5
二、网络拓扑设计及原则 ...................................................................................... 6
(一)拓扑设计 .......................................................... 6
(二)设计原则 .......................................................... 7
三、网络方案设计 ................................................................................................ 7
(一)网络结构分析 ...................................................... 7
1.骨干层 .................................................................................................................................. 7
2.接入层 .................................................................................................................................. 8
3.出口 ...................................................................................................................................... 8
(二)网络架构设计 ...................................................... 9
(三)扩展的考虑 ........................................................ 9
(四)网络VLAN的设计 ................................................... 9
(五)网络QoS设计 ..................................................... 10
(六)网络安全设计 ..................................................... 11
(七)服务器 ........................................................... 12
(八)机房建设 ......................................................... 12
四、网络设备选择 .............................................................................................. 13
(一)交换机的选择 ..................................................... 13
(二)路由器的选择 ..................................................... 14
(三)防火墙 ........................................................... 15
(四)服务器 ........................................................... 15
五、设备清单 ..................................................................................................... 16
六、总结 ............................................................................................................ 17
七、致谢 ............................................................................................................ 17 参考文献 ............................................................................................................ 18
摘 要
随着信息时代的来临,信息网络在我国正处于飞速发展的阶段。学校作为教育的前沿重地,为我国未来信息化人才提供重要的学习环境。因此,校园网络的规模和应用水平将是体现学校教学环境和科研力量的重要组成部分。
本课题首先就苏州高博软件技术职业学院校园网设计建设的相关知识技术要求作了必要的介绍,然后基于工程建设实际,重点对校园网建设的需求分析、设计策略、网络拓扑结构、方案总体设计等方面进行了比较详细的分析与描述,并给出具体的实施方案。
关键词
需求分析;校园网;规划;设计;网络安全
项目概况
本次项目为一个校园网,经过实际分析,以我院东校区为主体进行校园网络的搭建。学校建筑分布如图一。
图一
1. 校园网中每台计算机都能连接互联网,局域网资源共享。
2. 局域网内采用VLAN技术限制不同办公室的部分访问。
东校区具体环境如下:
教学楼:1幢,共6层,每层5间教室(PC机各1台)
实验楼:1幢,共6个机房,每个机房50台PC
办公楼:1幢,部门若干,共10间办公室(PC机各2台)
图书馆:1幢,电子阅览室一间,PC机共50台
学生宿舍:5幢,每幢4层
职工宿舍:2幢,每幢6层 行政楼
校园网建设的具体需求:
(1)为适应当前网络使用需求和今后网络规模的扩大,采用3层网络体系结构设计,主干网络采用10000Mb/s光纤技术,汇聚层采用1000Mb/s光纤技术,接入层采用100Mb/s电缆到桌面。
(2)为增强网络安全性,缩小网络广播域范围,按部门或组织机构划分VLAN,并合理分配IP地址段,通过三层交换技术实现各VLAN间的互访。
(3)分析各部门机构网络流量大小,合理选择网络连接设备,如:核心交换机、
汇聚层交换机、接入层交换机、路由器、防火墙、VPN等设备。
(4)选择中心机房安放位置,并按国家标准组织施工建设。
(5)网络访问需求:
1)校园内PC机均能访问校内信息资源;
2)校园内PC机均能访问Internet资源;
3)校外用户通过VPN访问校内资源;
4)校园内需实现无线网络覆盖。
(6)校园网络信息服务平台需实现以下功能:
1)Web信息服务
2)E-mail服务
3)NAT服务/代理服务
4)办公自动化OA系统
5)数据库服务
6)DNS服务
(7)、学校采用基于SQL server2000 数据库做开发平台。
(8)、校园网采用路由器+防火墙结构进行接入,网络互联设备(交换机、路由器、线缆、及其他设置)。
(9)、做好路由器与防火墙之间的安全通信工作,防止搭线窃听,IP盗用。
(10)、网络中心设在实训楼, 实训楼与学生宿舍楼相距50米,两楼用光纤连接。
(11)选择客户机TCP/IP配置的最佳方案,以最大限度的减少IP地址的冲突和管理员的工作量,采用192.168.0.0的内部IP地址分配。
一、用户需求分析
在校园网络中,视频、音频、数据集于一身,如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输,就没法对流做出最高优先级和次高优先级及底优先级的分类,这样就不能保证重要业务的畅通,造成网络延迟、服务不可用。所以要想真正改变网络的效率,更有效的保证应用服务的运营,需要通过端到端的QOS,智能到边缘的方式来保证。通过智能到边缘,端到端的应用方式,可以减少对网络核心设备的消耗,这样保证了网络的有效畅通。可以对园区网应用中的,多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。对不同服务流进行详细的分类,划分优先级,以及尽可能地避免发生拥塞。同时保证网络的高效运行,充分利用现有的带宽。
在园区网络中,存在多样的网络设备及系统应用环境,并且要考虑在用户迅速增长的今天,考虑到网络设备的可扩展性。保证在多样网络设备,用户不断增加的环境中,仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的兼容性和可扩展性,能与当前校园网络无缝衔接,同时预留空间符合当前和以后的信息建设需要和足够的升级空间。
在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有高效
率等,以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别,这样比在中央处理器识别要快的多。并在大量的数据应用,数据传输的过程中,要保证所有硬件设备都可以进行快速的转发,要具备高背板带宽(交换容量),所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。
现在的网络环境中稳定可靠是争相谈论的话题,因现在在网络中运行了众多重要应用及服务,是要保证7*24小时不间断的服务。就要完全能保证网络设备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中,也要保证较小的延迟,以满足网络应用中的有效畅通的需要。在这样的需求中利用,冗余的管理交换引擎、冗余的电源等关键部件的冗余,支持(802.1D、802.1W)802.1S多Vlan生成树协议保证链路级的冗余和负载均衡,支持VRRP、OSPF等三层路由协议保证路由级的冗余,支持load balancing技术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备、网络、应用系统的可靠性。
在校园网络中,对于校园网的安全保障十分重要:校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞
二、网络拓扑设计及原则
(一)拓扑设计
局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。
星型结构便于集中控制,因为端用户之间的通信必须经过中心站。由于这一特点,也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其它端用户间的通信但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统一旦损坏,整个系统便趋于瘫痪。对此中心系统通常采用双机热备份,以提高系统的可靠性。
网络拓扑结构如下:
(二)设计原则
在设计方案时,无论是系统或网络都严格遵循以下原则,以保障方案能充分满足集团的需求。
(1)实用性原则
(2)经济性原则
(3)易管理性原则
(4)可靠性原则
(5)安全性原则
(6)可扩展性原则
(7)标准化原则
(8)高性能原则
(一)网络结构分析
1.骨干层
网络规划是一个网络是否稳定可靠运行的关键,如何合理配置IP地址;选择何种路由协议;在接入层如何有效划分VLAN,减小广播的范围;如何设计满足基于声音、图像、数据综合的局域网INTERNET应用的需要;满足不同的应用服务质量,将是网络规划的一个重要内容。下面,本节将逐项详细的设计。
路有协议选择
因为内部网络是作为一个局域网存在,所有核心,汇聚及接入层都以VLAN的方式来划分子网,因此只需在三层交换机上启用IP ROUTING功能既能满足子网间的
三、网络方案设计
通信需求。对于出口的访问则可采用在出口交换机以静态路由的方式将内部网络的网络流量指向出口防火墙即可。
IP地址规划
网络系统的地址规划是网络设计的一个重要环节,根据我们已有项目实施的成功经验,规划IP地址应充分考虑未来发展的需要,统一规划、长远考虑、分片分块分配的原则。
根据内部网络的规模,子网根据部门及科室划分清晰的特性,以及未来地址扩展的趋势,建议IP地址应采用公网保留的C类地址中的私有地址192.168.0.0到192.168.255.255,在网络出口采用NAT地址转换,实现与Internet合法地址互连,并采用相应的合法地址用于公网访问内部网络的各种授权开放信息。
网络系统IP地址的划分原则如下:
(1)唯一性:IP地址必须唯一,一个IP地址对应一台数据通信设备;
(2)连续性:为同一网络区域分配连续的网络地址,原则上一个VLAN一个C类网段,这样便于规划,同时提高路由器寻径效率;
(3)可扩充性:分配地址应预留一定量的备用地址块,以便网络节点增加后能保持地址的连续性;
(4)可管理性:地址的分配应该有层次性,某个局部的变动不影响网络的其他部分;
(5)高效性:综合网采用可变长子网掩码技术,要求采用支持可变长子网掩码技术的TCP/IP协议族;
(6)合法IP地址段由客户从互联网运营商申请;
(7)内部网络使用私有保留,考虑到将来网络的规模不断扩大,建议采用192.168.X.X的私有保留地址块,可按VLAN子网来划分,并遵循IP地址规划原则,进行统一分配。
2.接入层
接入层网络由楼栋交换节点和楼层交换节点组成,接入层网络应该可以满足各种客户的接入需要,而且能够实现客户化的接入策略,业务QOS保证,用户接入访问控制等等。
楼层交换节点采用千兆智能堆叠交换机,提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管,最大化满足高速、融合、安全的园区网新需求;本方案中各接入层交换机通过千兆链路上联到各汇聚层设备,对下联的桌面设备提供全双工的百兆连接,为各类用户提供无阻塞的交换性能。
3.出口
因为校园网出口采用以太网,所以采用路由器 + 防火墙的方式,起到如下作用: 防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性;路由器提供出口路由功能,数据处理能力强,具有强大的NAT功能。
(二)网络架构设计
基于目前学校规模及发展的角度考虑,骨干网络采用单核心双引擎或双核心单引擎的拓扑结构,保证核心的稳定;在行政楼采用万兆的三层汇聚设备,千兆连接接入交换机;服务器千兆接入到核心交换机上;百兆到桌面;
为了以后扩展的需要,所以采用RG-WALL 1000防火墙,并将校内的对外服务器与防火墙的DMZ区相连,保证良好的安全性;同时双核心时做VRRP,防火墙双百兆连接核心,单百兆连接Internet;
出于管理和安全方面角度考虑,在全网可采用IP+MAC绑定方式,全网分布式采用ACL,并按照部门划分VLAN,划分相应的权限,保证学生机房用机对教学办公网没有访问权限,只能访问校内服务器及外网;
IP分配:在办公区采用静态IP划分,在学生区及移动性较大的办公区可补充性采用DHCP动态获得IP地址。
(三)扩展的考虑
备份线路带宽扩展:在未来升级考虑中,可将核心与汇聚间千兆备份线路带宽升级至10G带宽,以提高备份线路的连接带宽。
实训楼交换机可扩充为96个千兆口,拥有很强的接入扩展功能。
(四)网络VLAN的设计
具体划分如下:
在校园网络的整个网络规划当中,VLAN 的划分是非常重要的部分,很好的利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的。主要突出为以下几点:
VLAN 划分,可以避免广播风暴,在骨干网络中尤为突出,在多媒体、视频点播
等很容易引起广播信息;划分之后,VLAN 是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件。
VLAN 划分,可以增加网络的安全性,在不同的VLAN之间不能随意通讯,只限
与本子网间通讯,不会对其他的子网产生干扰。要进行访问,需要通过三层交换,
这样信息流就得到相当好的控制。
网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备
进行管理。建立VLAN 和IP 子网的对应关系。
提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。
VLAN 间的子网访问,可以在三层交换机上实现,子网间的通讯也可以在汇聚设
备上实行,分流核心交换机的三层交换,优化了组网。
根据以往网络管理经验和骨干网络网络建设的实际情况,方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则,以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有:
1、方便管理。为了更好的进行VLAN规划的实施,因此在网络实施前期,要对网络中不同区域的VLAN设置进行详细的规划,细化到接入层网络,这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话,避免由于前期配置设备时复杂烦琐,而且由于相同的用户群体可能在不同的物理位置,导致造成整个校园网络中VLAN划分复杂,减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划,这样既可以减少广播域,又达到划分VLAN,方便管理的效果,对于后期网络维护和升级具有十分现实的意义。
2、易于实施。按群体划分VLAN在工程实施中就十分的方便,不会造成VLAN划分复杂失误而使得网络出现不通的现象,便于工程快速实施和网络中心整体规划。
3、VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问,对于学校重要网络资源,需要进行权限访问的时候,建议采用专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL)来进行访问权限设定,保障重要资料不被非法访问。
(五)网络QoS设计
为确保用户各种关键业务的正常开展,必须采取全面而系统的QoS设计(提供端到端QoS服务),以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时;为了保证端到端用户的服务质量,因此要求端到端数据流经的所有网络设备都支持实施的QoS策略,核心设备是多个服务器接入的设备,并且担负着全网数据的交换,QoS的能力影响着全网的服务质量保障能力。
锐捷各款交换机都支持丰富的QoS功能,能确保重要业务量不受延迟或丢弃,同时又充分利用现有的带宽以保证网络的高效运行。
例如,将下载一个大型文件的任务设置到交换机一个端口,而在该交换机的另外一个端口进行语音通信,为减少语音通信时延,保证通话质量,可在整个网络中对各种业务进行分类和优先级划分。例如Web浏览,可以作为低优先级对待,或者“尽力而为”地进行处理。
在骨干网络网络中,由于信息资源集中于骨干网络网络中心,为保证全网的QoS,要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS标注方案,而二层的802.1P标记对于骨干网络这样的网络并没有实际意义,因为802.1P的标记不能在交换机之间传递,只能在本机上有用。
锐捷网络的RG-S6810E多业务万兆核心路由交换机支持基于基于DiffServ标准为核心的QoS保障系统,支持IP TOS、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑,另外提供灵活的端口队列管理机制,端口多级拥塞设置;具备MAC流、IP流、应用流、时间流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。
通过从核心到接入设备全程对QoS的良好支持,全部硬件提供二到四层数据流交换,实现应用感知的功能,给予多媒体办公应用提供透明的QoS保障,确保真正的端到端的QoS的实现。
(六)网络安全设计
构建全程全网的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。
1.接入安全
RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机,在提供高性能、高带宽的同时,提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性,并可以根据网络的实际使用环境,实施灵活多样的安全控制策略,有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理化使用网络资源,充分保障了网络高效安全、网络合理化使用和运营。
2.访问安全
锐捷RG-S6800E多业务万兆核心路由交换机支持802.1Q VLAN,可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术,可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒(如冲击波)的传播和危害。
ACLs的全称为接入控制列表(Access Control Lists),可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤,并对从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。
锐捷RG-S6800E多业务万兆核心路由交换机支持以下几种类型的ACLs:
IP ACLs用于过滤IP报文,包括TCP和UDP。
1. Standard IP access lists (标准IP接入控制列表)使用源IP地址作为匹配的
条件
2. Extended IP access lists(扩展IP接入控制列表)使用源IP地址、目的IP地
址及可选的协议类型信息作为匹配的条件
Ethernet ACLs用于过滤二层数据流:
1. MAC Extended access lists(MAC扩展控制列表)使用源MAC地址、
目的MAC地址及可选的以太网类型作为匹配的条件
Expert ACLS用于过滤二层和三层、二层和四层、二层和三层、四层数据流:
Expert Extended access lists(专家扩展控制列表)使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。
对于不同访问权限的区域采用ACL访问控制来对不同访问资源进行权限控制。 应用ACL可以有效的防范“冲击波”等蠕虫病毒;支持802.1X技术,满足6元素绑定接入限制;支持IGMP源端口检查及源IP检查,可有效控制非法组播源,提高网络安全;IGMP V3支持通告主机希望接收的多播源的地址,避免非法的组播数据流占用网络带宽;
通过PVLAN(保护端口)隔离用户之间信息互通,不必占用VLAN资源;提供SSH的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁;
Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理;
SNMPV3提供加密和鉴别功能:确保数据从合法的数据源发出(引擎ID);确保数据在传输过程中不被篡改(采用MD5和SHA认证协议);加密报文,确保数据的机密性(采用DES56加密协议)。
3.病毒防御
锐捷网络设备,能够提供病毒防御功能,使得某些特定病毒不能任意传播。主要提供以下几个功能:1)预防PC感染类似“冲击波、震荡波”的病毒;2)如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。3)支持防止DDoS攻击,防止IP段恶意扫描等抗攻击特性。
(七)服务器
根据校园网的实际需求:数据计算量大;实现多种服务如:WEB服务,OA应用平台,FTP服务,防病毒等等。应用服务器和数据库分离,防止应用服务器被攻击后,影响数据库安全。
服务器主要用于帮助学校对校务、学籍、人事、政教等方面进行管理,实现学校的办公自动化,各系统之间实现充分的资源共享,提高办公及管理效率。还可以提供资料库管理,所有相关资料都可通过网络系统被检索和使用。通过Internet/LAN向教师及学生、学生家长提供尽可能多的信息。信息服务不仅是提供E-mail、FTP、Telnet、WWW等简单服务,还应包括如教学资料、教学课件、图书馆图书资料的远程查询,远程视频点播、远程电子阅览室、教育论坛、网上教学以及学生的网上交流、网上聊天等。对于这些网络服务,可以根据各部门需求,选择或组织编写一些应用系统软件。
(八)机房建设
按照国家计算机机房建设标准进行建设。环境要求如下:
机房环境
1.空调
机房环境温湿度: 温度: 冬季:20±2℃ 夏季:23±2℃
温度变化率≤5℃/h 相对湿度: 50%±5%
洁 净 度: 符合标准ASHRAE52-76,粒度≥0.5mm,个数≤10000粒/dm
噪 声: 关闭主设备的条件下,在工作人员正常办公位置处测量不高于68dB(A).(GB)
机房单位面积的冷负荷为:257w/m2h 系统控制室单位时间换气数:≥23次/h 数据中心机房单位时间换气数:≥22次/h
2.防火
防火系统基于以下原则建设: - 采用高灵敏度火灾自动报警系统; -采用环保型FM200气体灭火系统;FM-200气体火火系统保护区及存储环境温度为0~54℃,存储压力25kg/cm2 -本气体灭火系统能以自动、机械手动和远程启动三种方式启动;设有备用电源,操作时间为24小时。 -所有气体灭火保护区的维护构件满足一定的抗压要求,其允许压强差不低于1.2kPa。防护区的隔墙和门的耐火极限均不低于0.6h;吊顶的耐火极限不低于0.25h -灭火系统在启动前能自动检测被保护区区是否有人员存在; - 火灾发生时,自动声光报警,警示相应区域人员撤离。
防火动作原理: 当防护区火灾发生,感烟探测器报警时:火灾自动报警系统报警,闪灯、警铃动作,提示工作人员撤离火灾发生区域;当感烟探测器报警和感温探测器同时报警时:火灾自动报警系统报警,防护区外闪灯、蜂鸣器动作,控制联动系统切除非消防电源、关闭相应区域防火阀等联动设备,同时启动红外探测系统;当红外探测系统确认相应保护区无人员存在时,启动气体灭火系统进行灭火。 防火系统建设的标准和规范: 建筑设计防火规范 GBJ16-87 火灾自动报警系统设计规范 GB50116-98 电子计算机房设计规范 GB50174-93
3.门禁
系统选用系列感应卡式门禁设备,并具有联机管理功能
4.防雷
满足执行10/350us坡形,可防护雷电流150kA对建筑物的破坏。建筑物内部的计算机机房用电器可承受 10/350us 75kA的雷电流的冲击[IEC1312的标准]
四、网络设备选择
(一)交换机的选择
RG-S6506是锐捷网络推出的万兆骨干路由交换机,拥有6个模块扩展槽,提供管理模块冗余,支持万兆、千兆和百兆模块线速转发,可以根据用户的需求灵活配置,构建弹性可扩展的现代IP网络。”
RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是小型网络核心和大型网络骨干交换机的理想选择。
参考报价:10.6万元。
参数:
(二)路由器的选择
锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网,速率高达OC- 48。部署在各种应用中,RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络,为用户提供综合的、高性能、功能强大的服务, 并提供高可用性网络所需的冗余支持。
参考价格:48万
参数:
(三)防火墙
思科PIX-525-UR-GE-BUN是一款面向企业的防火墙,同时也满足一些中小型的校园网络。这款硬件防火墙采用了IntelPentiumIII处理器,主频达到600MHZ,并且配备了256MB随机内存和16MB闪存,最大支持28万个并发连接数,具有370Mpps的网络数据吞吐量和100MB的安全过滤带宽,无用户限制数,整体性能比较强劲,非常适合于中小型校园网络。
这款硬件防火墙提供面向静态连接的自适应安全算法(ASA),可以实现包过滤,并且可以跟踪数据传输中的源地址和目的地址,TCP序列号,端口号和每个数据包附加的TCP标志,从而保证校园内部网络不会受到非法用户的攻击。思科PIX-525-UR-GE-BUN支持VPN功能,并且可以将校园网络中传输的数据进行加密,防止其他用户窃取。思科PIX-525-UR-GE-BUN提供了()功能,可以节省IP地址资源,并且可将IP地址隐藏,防止外部网络获取,为校园内部提供了有力的保障。思科PIX-525-UR-GE-BUN具有防止拒绝攻击功能,防止校园网络内部计算机不受黑客的攻击。Applet过滤功能则可终止校园网内部用户使用Java所带的潜在危险。邮件保护功能和URL过滤功能让校园网用户基本上不会受到邮件攻击和不能访问非法站点。
思科PIX-525-UR-GE-BUN的操作也十分简单,只需要6条命令就能完成基本的,对于校园网来说,就十分的方便了。
参考价格: 5.6万
(四)服务器
联想万全T260 G3 S5606 2G/2*500SNR1
参考价格:1.29万
六、总结
短短的四周毕业设计是我们对大学四年的计算机知识的整体总结,也是理论与实践的结合。我是电子商务和计算机应用专业的,所以在设计的时候遇到很多的困难,但其中让我学习到的是整个校园网的设计、规划、布线的全过程。在进行毕业设计中,我学到了许多新的知识。
我深刻的认识到,想要独立的合格完成网络的设计规划只掌握现在的专业知识是远远不够的,我们应该具有更全面的知识,不断的去学习新的知识。
校园网要具有先进的应用系统。例如,面向学校、教师、学生、家长之间的信息交换系统;面向全体师生员工的通讯信息服务系统,如E-mail和信息检索等;面向管理者的网络办公管理系统,包括校长、行政、党政办公管理系统,师生员工档案管理系统,教学、科研、设备、财务管理系统等;面向教师的网络多媒体教学系统、考试与评价系统;
校园网要能很好地应用与发展,很大程度上取决于设计方案(包括组网技术、拓扑结构、综合布线、IP及路由规划、设备选型、安全防范等)的设计实施合理与否。 我在设计本校园网的时候,遇到了许许多多的困难,比如说网络的技术选型,网络软件的选择,网络的安全及管理等等设备的比较,以前都没接触过,有的只是从书本上看看,也没有具体的了解,经常会有无从下手的感觉,碰到问题只有去问老师和看相关书籍,确实虽然完成了大概模型,有许多地方还是不是完全理解的,这需要在以后的工作学习中再研究。
七、致谢
首先,我感谢XXX老师。本设计文是在XXX老师精心指导和大力支持下完成的。他平日里工作繁多,但在我做毕业设计的每个阶段,从确定命题查阅资料,设计草案的确定和修改,中期检查,后期详细设计,论文写作等整个过程中都给予了我悉心的指导。我对XX老师的感激之情是无法用言语表达的。
本课题在选题及研究过程中熊老师多次询问研究进程,并为我指点迷津,帮助我开拓研究思路,精心点拨、热忱鼓励。熊老师一丝不苟的作风,严谨求实的态度,踏踏实实的精神,不仅授我以文,而且教我做人,给以终生受益无穷之道。
熊老师以其严谨求实的治学态度、高度的敬业精神、兢兢业业、孜孜以求的工作作风和大胆创新的进取精神对我产生重要影响。他渊博的知识、开阔的视野和敏锐的思维给了我深深的启迪。在他的引导下,我认识了有了设计的思路,极大的开拓了我的学术视野,也为本篇论文打下了理论基础。
在这次设计中熊老师又给我提出了许多宝贵的意见。虽然我遇到了许多困难,但是我及时的和熊老师讨论这些问题,最终问题都迎刃而解了。减少了我在这次设计中的困惑和完成时间。在论文撰写方面更是给予了方向性的指导和建设性的意见和建议。
最后感谢在大学三年期间,传授我知识的老师们,感谢在学习和生活上给予我帮助的同学们,没有他们的帮助就没有我今天的成绩。经过三个月的忙碌和工作,本次毕业设计已经接近尾声,作为一个专科生的毕业设计,由于经验的匮乏,难免有许多考虑不周全的地方,毕竟这次设计是我第一次进行全面和系统的设计,疏漏和不足之处在所难免,可能存在许多细节未做到及时处理,请教员指正,以帮助我不断提高,不断进步。我相信通过这次全面系统的设计以及在这个过程中各位老师的不断点拨,在今后的工作中我一定会做到更好。
参考文献
[1]单颖.新建企业的计算机网络规划.数码世界,2008(8)
[2]《重庆科技学院学报:自然科学版》2007年 第2期
[3] 吴怡,《计算机网络配置、管理与应用—Windows Server 2003》,高等教育出版社,北京,2004年
[4] 石硕,林莉,卓志宏,李洛,《交换机/路由器及其配置(第2版)》,电子工业出版社,北京,2007年
校园网络规划与设计方案
班级:计算机网络工程
姓名: XXX
指导老师: XXX
目 录
摘 要 .................................................................................................................. 3 项目概况 .............................................................................................................. 4
一、用户需求分析 ................................................................................................ 5
二、网络拓扑设计及原则 ...................................................................................... 6
(一)拓扑设计 .......................................................... 6
(二)设计原则 .......................................................... 7
三、网络方案设计 ................................................................................................ 7
(一)网络结构分析 ...................................................... 7
1.骨干层 .................................................................................................................................. 7
2.接入层 .................................................................................................................................. 8
3.出口 ...................................................................................................................................... 8
(二)网络架构设计 ...................................................... 9
(三)扩展的考虑 ........................................................ 9
(四)网络VLAN的设计 ................................................... 9
(五)网络QoS设计 ..................................................... 10
(六)网络安全设计 ..................................................... 11
(七)服务器 ........................................................... 12
(八)机房建设 ......................................................... 12
四、网络设备选择 .............................................................................................. 13
(一)交换机的选择 ..................................................... 13
(二)路由器的选择 ..................................................... 14
(三)防火墙 ........................................................... 15
(四)服务器 ........................................................... 15
五、设备清单 ..................................................................................................... 16
六、总结 ............................................................................................................ 17
七、致谢 ............................................................................................................ 17 参考文献 ............................................................................................................ 18
摘 要
随着信息时代的来临,信息网络在我国正处于飞速发展的阶段。学校作为教育的前沿重地,为我国未来信息化人才提供重要的学习环境。因此,校园网络的规模和应用水平将是体现学校教学环境和科研力量的重要组成部分。
本课题首先就苏州高博软件技术职业学院校园网设计建设的相关知识技术要求作了必要的介绍,然后基于工程建设实际,重点对校园网建设的需求分析、设计策略、网络拓扑结构、方案总体设计等方面进行了比较详细的分析与描述,并给出具体的实施方案。
关键词
需求分析;校园网;规划;设计;网络安全
项目概况
本次项目为一个校园网,经过实际分析,以我院东校区为主体进行校园网络的搭建。学校建筑分布如图一。
图一
1. 校园网中每台计算机都能连接互联网,局域网资源共享。
2. 局域网内采用VLAN技术限制不同办公室的部分访问。
东校区具体环境如下:
教学楼:1幢,共6层,每层5间教室(PC机各1台)
实验楼:1幢,共6个机房,每个机房50台PC
办公楼:1幢,部门若干,共10间办公室(PC机各2台)
图书馆:1幢,电子阅览室一间,PC机共50台
学生宿舍:5幢,每幢4层
职工宿舍:2幢,每幢6层 行政楼
校园网建设的具体需求:
(1)为适应当前网络使用需求和今后网络规模的扩大,采用3层网络体系结构设计,主干网络采用10000Mb/s光纤技术,汇聚层采用1000Mb/s光纤技术,接入层采用100Mb/s电缆到桌面。
(2)为增强网络安全性,缩小网络广播域范围,按部门或组织机构划分VLAN,并合理分配IP地址段,通过三层交换技术实现各VLAN间的互访。
(3)分析各部门机构网络流量大小,合理选择网络连接设备,如:核心交换机、
汇聚层交换机、接入层交换机、路由器、防火墙、VPN等设备。
(4)选择中心机房安放位置,并按国家标准组织施工建设。
(5)网络访问需求:
1)校园内PC机均能访问校内信息资源;
2)校园内PC机均能访问Internet资源;
3)校外用户通过VPN访问校内资源;
4)校园内需实现无线网络覆盖。
(6)校园网络信息服务平台需实现以下功能:
1)Web信息服务
2)E-mail服务
3)NAT服务/代理服务
4)办公自动化OA系统
5)数据库服务
6)DNS服务
(7)、学校采用基于SQL server2000 数据库做开发平台。
(8)、校园网采用路由器+防火墙结构进行接入,网络互联设备(交换机、路由器、线缆、及其他设置)。
(9)、做好路由器与防火墙之间的安全通信工作,防止搭线窃听,IP盗用。
(10)、网络中心设在实训楼, 实训楼与学生宿舍楼相距50米,两楼用光纤连接。
(11)选择客户机TCP/IP配置的最佳方案,以最大限度的减少IP地址的冲突和管理员的工作量,采用192.168.0.0的内部IP地址分配。
一、用户需求分析
在校园网络中,视频、音频、数据集于一身,如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输,就没法对流做出最高优先级和次高优先级及底优先级的分类,这样就不能保证重要业务的畅通,造成网络延迟、服务不可用。所以要想真正改变网络的效率,更有效的保证应用服务的运营,需要通过端到端的QOS,智能到边缘的方式来保证。通过智能到边缘,端到端的应用方式,可以减少对网络核心设备的消耗,这样保证了网络的有效畅通。可以对园区网应用中的,多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。对不同服务流进行详细的分类,划分优先级,以及尽可能地避免发生拥塞。同时保证网络的高效运行,充分利用现有的带宽。
在园区网络中,存在多样的网络设备及系统应用环境,并且要考虑在用户迅速增长的今天,考虑到网络设备的可扩展性。保证在多样网络设备,用户不断增加的环境中,仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的兼容性和可扩展性,能与当前校园网络无缝衔接,同时预留空间符合当前和以后的信息建设需要和足够的升级空间。
在校园网络建设中存在多用户,多服务的现状。带来了对网络系统要求具有高效
率等,以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别,这样比在中央处理器识别要快的多。并在大量的数据应用,数据传输的过程中,要保证所有硬件设备都可以进行快速的转发,要具备高背板带宽(交换容量),所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。
现在的网络环境中稳定可靠是争相谈论的话题,因现在在网络中运行了众多重要应用及服务,是要保证7*24小时不间断的服务。就要完全能保证网络设备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中,也要保证较小的延迟,以满足网络应用中的有效畅通的需要。在这样的需求中利用,冗余的管理交换引擎、冗余的电源等关键部件的冗余,支持(802.1D、802.1W)802.1S多Vlan生成树协议保证链路级的冗余和负载均衡,支持VRRP、OSPF等三层路由协议保证路由级的冗余,支持load balancing技术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备、网络、应用系统的可靠性。
在校园网络中,对于校园网的安全保障十分重要:校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞
二、网络拓扑设计及原则
(一)拓扑设计
局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。
星型结构便于集中控制,因为端用户之间的通信必须经过中心站。由于这一特点,也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其它端用户间的通信但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统一旦损坏,整个系统便趋于瘫痪。对此中心系统通常采用双机热备份,以提高系统的可靠性。
网络拓扑结构如下:
(二)设计原则
在设计方案时,无论是系统或网络都严格遵循以下原则,以保障方案能充分满足集团的需求。
(1)实用性原则
(2)经济性原则
(3)易管理性原则
(4)可靠性原则
(5)安全性原则
(6)可扩展性原则
(7)标准化原则
(8)高性能原则
(一)网络结构分析
1.骨干层
网络规划是一个网络是否稳定可靠运行的关键,如何合理配置IP地址;选择何种路由协议;在接入层如何有效划分VLAN,减小广播的范围;如何设计满足基于声音、图像、数据综合的局域网INTERNET应用的需要;满足不同的应用服务质量,将是网络规划的一个重要内容。下面,本节将逐项详细的设计。
路有协议选择
因为内部网络是作为一个局域网存在,所有核心,汇聚及接入层都以VLAN的方式来划分子网,因此只需在三层交换机上启用IP ROUTING功能既能满足子网间的
三、网络方案设计
通信需求。对于出口的访问则可采用在出口交换机以静态路由的方式将内部网络的网络流量指向出口防火墙即可。
IP地址规划
网络系统的地址规划是网络设计的一个重要环节,根据我们已有项目实施的成功经验,规划IP地址应充分考虑未来发展的需要,统一规划、长远考虑、分片分块分配的原则。
根据内部网络的规模,子网根据部门及科室划分清晰的特性,以及未来地址扩展的趋势,建议IP地址应采用公网保留的C类地址中的私有地址192.168.0.0到192.168.255.255,在网络出口采用NAT地址转换,实现与Internet合法地址互连,并采用相应的合法地址用于公网访问内部网络的各种授权开放信息。
网络系统IP地址的划分原则如下:
(1)唯一性:IP地址必须唯一,一个IP地址对应一台数据通信设备;
(2)连续性:为同一网络区域分配连续的网络地址,原则上一个VLAN一个C类网段,这样便于规划,同时提高路由器寻径效率;
(3)可扩充性:分配地址应预留一定量的备用地址块,以便网络节点增加后能保持地址的连续性;
(4)可管理性:地址的分配应该有层次性,某个局部的变动不影响网络的其他部分;
(5)高效性:综合网采用可变长子网掩码技术,要求采用支持可变长子网掩码技术的TCP/IP协议族;
(6)合法IP地址段由客户从互联网运营商申请;
(7)内部网络使用私有保留,考虑到将来网络的规模不断扩大,建议采用192.168.X.X的私有保留地址块,可按VLAN子网来划分,并遵循IP地址规划原则,进行统一分配。
2.接入层
接入层网络由楼栋交换节点和楼层交换节点组成,接入层网络应该可以满足各种客户的接入需要,而且能够实现客户化的接入策略,业务QOS保证,用户接入访问控制等等。
楼层交换节点采用千兆智能堆叠交换机,提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管,最大化满足高速、融合、安全的园区网新需求;本方案中各接入层交换机通过千兆链路上联到各汇聚层设备,对下联的桌面设备提供全双工的百兆连接,为各类用户提供无阻塞的交换性能。
3.出口
因为校园网出口采用以太网,所以采用路由器 + 防火墙的方式,起到如下作用: 防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性;路由器提供出口路由功能,数据处理能力强,具有强大的NAT功能。
(二)网络架构设计
基于目前学校规模及发展的角度考虑,骨干网络采用单核心双引擎或双核心单引擎的拓扑结构,保证核心的稳定;在行政楼采用万兆的三层汇聚设备,千兆连接接入交换机;服务器千兆接入到核心交换机上;百兆到桌面;
为了以后扩展的需要,所以采用RG-WALL 1000防火墙,并将校内的对外服务器与防火墙的DMZ区相连,保证良好的安全性;同时双核心时做VRRP,防火墙双百兆连接核心,单百兆连接Internet;
出于管理和安全方面角度考虑,在全网可采用IP+MAC绑定方式,全网分布式采用ACL,并按照部门划分VLAN,划分相应的权限,保证学生机房用机对教学办公网没有访问权限,只能访问校内服务器及外网;
IP分配:在办公区采用静态IP划分,在学生区及移动性较大的办公区可补充性采用DHCP动态获得IP地址。
(三)扩展的考虑
备份线路带宽扩展:在未来升级考虑中,可将核心与汇聚间千兆备份线路带宽升级至10G带宽,以提高备份线路的连接带宽。
实训楼交换机可扩充为96个千兆口,拥有很强的接入扩展功能。
(四)网络VLAN的设计
具体划分如下:
在校园网络的整个网络规划当中,VLAN 的划分是非常重要的部分,很好的利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的。主要突出为以下几点:
VLAN 划分,可以避免广播风暴,在骨干网络中尤为突出,在多媒体、视频点播
等很容易引起广播信息;划分之后,VLAN 是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件。
VLAN 划分,可以增加网络的安全性,在不同的VLAN之间不能随意通讯,只限
与本子网间通讯,不会对其他的子网产生干扰。要进行访问,需要通过三层交换,
这样信息流就得到相当好的控制。
网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备
进行管理。建立VLAN 和IP 子网的对应关系。
提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。
VLAN 间的子网访问,可以在三层交换机上实现,子网间的通讯也可以在汇聚设
备上实行,分流核心交换机的三层交换,优化了组网。
根据以往网络管理经验和骨干网络网络建设的实际情况,方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则,以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有:
1、方便管理。为了更好的进行VLAN规划的实施,因此在网络实施前期,要对网络中不同区域的VLAN设置进行详细的规划,细化到接入层网络,这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话,避免由于前期配置设备时复杂烦琐,而且由于相同的用户群体可能在不同的物理位置,导致造成整个校园网络中VLAN划分复杂,减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划,这样既可以减少广播域,又达到划分VLAN,方便管理的效果,对于后期网络维护和升级具有十分现实的意义。
2、易于实施。按群体划分VLAN在工程实施中就十分的方便,不会造成VLAN划分复杂失误而使得网络出现不通的现象,便于工程快速实施和网络中心整体规划。
3、VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问,对于学校重要网络资源,需要进行权限访问的时候,建议采用专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL)来进行访问权限设定,保障重要资料不被非法访问。
(五)网络QoS设计
为确保用户各种关键业务的正常开展,必须采取全面而系统的QoS设计(提供端到端QoS服务),以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时;为了保证端到端用户的服务质量,因此要求端到端数据流经的所有网络设备都支持实施的QoS策略,核心设备是多个服务器接入的设备,并且担负着全网数据的交换,QoS的能力影响着全网的服务质量保障能力。
锐捷各款交换机都支持丰富的QoS功能,能确保重要业务量不受延迟或丢弃,同时又充分利用现有的带宽以保证网络的高效运行。
例如,将下载一个大型文件的任务设置到交换机一个端口,而在该交换机的另外一个端口进行语音通信,为减少语音通信时延,保证通话质量,可在整个网络中对各种业务进行分类和优先级划分。例如Web浏览,可以作为低优先级对待,或者“尽力而为”地进行处理。
在骨干网络网络中,由于信息资源集中于骨干网络网络中心,为保证全网的QoS,要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS标注方案,而二层的802.1P标记对于骨干网络这样的网络并没有实际意义,因为802.1P的标记不能在交换机之间传递,只能在本机上有用。
锐捷网络的RG-S6810E多业务万兆核心路由交换机支持基于基于DiffServ标准为核心的QoS保障系统,支持IP TOS、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑,另外提供灵活的端口队列管理机制,端口多级拥塞设置;具备MAC流、IP流、应用流、时间流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。
通过从核心到接入设备全程对QoS的良好支持,全部硬件提供二到四层数据流交换,实现应用感知的功能,给予多媒体办公应用提供透明的QoS保障,确保真正的端到端的QoS的实现。
(六)网络安全设计
构建全程全网的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。
1.接入安全
RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机,在提供高性能、高带宽的同时,提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性,并可以根据网络的实际使用环境,实施灵活多样的安全控制策略,有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理化使用网络资源,充分保障了网络高效安全、网络合理化使用和运营。
2.访问安全
锐捷RG-S6800E多业务万兆核心路由交换机支持802.1Q VLAN,可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术,可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒(如冲击波)的传播和危害。
ACLs的全称为接入控制列表(Access Control Lists),可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤,并对从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。
锐捷RG-S6800E多业务万兆核心路由交换机支持以下几种类型的ACLs:
IP ACLs用于过滤IP报文,包括TCP和UDP。
1. Standard IP access lists (标准IP接入控制列表)使用源IP地址作为匹配的
条件
2. Extended IP access lists(扩展IP接入控制列表)使用源IP地址、目的IP地
址及可选的协议类型信息作为匹配的条件
Ethernet ACLs用于过滤二层数据流:
1. MAC Extended access lists(MAC扩展控制列表)使用源MAC地址、
目的MAC地址及可选的以太网类型作为匹配的条件
Expert ACLS用于过滤二层和三层、二层和四层、二层和三层、四层数据流:
Expert Extended access lists(专家扩展控制列表)使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。
对于不同访问权限的区域采用ACL访问控制来对不同访问资源进行权限控制。 应用ACL可以有效的防范“冲击波”等蠕虫病毒;支持802.1X技术,满足6元素绑定接入限制;支持IGMP源端口检查及源IP检查,可有效控制非法组播源,提高网络安全;IGMP V3支持通告主机希望接收的多播源的地址,避免非法的组播数据流占用网络带宽;
通过PVLAN(保护端口)隔离用户之间信息互通,不必占用VLAN资源;提供SSH的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁;
Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理;
SNMPV3提供加密和鉴别功能:确保数据从合法的数据源发出(引擎ID);确保数据在传输过程中不被篡改(采用MD5和SHA认证协议);加密报文,确保数据的机密性(采用DES56加密协议)。
3.病毒防御
锐捷网络设备,能够提供病毒防御功能,使得某些特定病毒不能任意传播。主要提供以下几个功能:1)预防PC感染类似“冲击波、震荡波”的病毒;2)如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。3)支持防止DDoS攻击,防止IP段恶意扫描等抗攻击特性。
(七)服务器
根据校园网的实际需求:数据计算量大;实现多种服务如:WEB服务,OA应用平台,FTP服务,防病毒等等。应用服务器和数据库分离,防止应用服务器被攻击后,影响数据库安全。
服务器主要用于帮助学校对校务、学籍、人事、政教等方面进行管理,实现学校的办公自动化,各系统之间实现充分的资源共享,提高办公及管理效率。还可以提供资料库管理,所有相关资料都可通过网络系统被检索和使用。通过Internet/LAN向教师及学生、学生家长提供尽可能多的信息。信息服务不仅是提供E-mail、FTP、Telnet、WWW等简单服务,还应包括如教学资料、教学课件、图书馆图书资料的远程查询,远程视频点播、远程电子阅览室、教育论坛、网上教学以及学生的网上交流、网上聊天等。对于这些网络服务,可以根据各部门需求,选择或组织编写一些应用系统软件。
(八)机房建设
按照国家计算机机房建设标准进行建设。环境要求如下:
机房环境
1.空调
机房环境温湿度: 温度: 冬季:20±2℃ 夏季:23±2℃
温度变化率≤5℃/h 相对湿度: 50%±5%
洁 净 度: 符合标准ASHRAE52-76,粒度≥0.5mm,个数≤10000粒/dm
噪 声: 关闭主设备的条件下,在工作人员正常办公位置处测量不高于68dB(A).(GB)
机房单位面积的冷负荷为:257w/m2h 系统控制室单位时间换气数:≥23次/h 数据中心机房单位时间换气数:≥22次/h
2.防火
防火系统基于以下原则建设: - 采用高灵敏度火灾自动报警系统; -采用环保型FM200气体灭火系统;FM-200气体火火系统保护区及存储环境温度为0~54℃,存储压力25kg/cm2 -本气体灭火系统能以自动、机械手动和远程启动三种方式启动;设有备用电源,操作时间为24小时。 -所有气体灭火保护区的维护构件满足一定的抗压要求,其允许压强差不低于1.2kPa。防护区的隔墙和门的耐火极限均不低于0.6h;吊顶的耐火极限不低于0.25h -灭火系统在启动前能自动检测被保护区区是否有人员存在; - 火灾发生时,自动声光报警,警示相应区域人员撤离。
防火动作原理: 当防护区火灾发生,感烟探测器报警时:火灾自动报警系统报警,闪灯、警铃动作,提示工作人员撤离火灾发生区域;当感烟探测器报警和感温探测器同时报警时:火灾自动报警系统报警,防护区外闪灯、蜂鸣器动作,控制联动系统切除非消防电源、关闭相应区域防火阀等联动设备,同时启动红外探测系统;当红外探测系统确认相应保护区无人员存在时,启动气体灭火系统进行灭火。 防火系统建设的标准和规范: 建筑设计防火规范 GBJ16-87 火灾自动报警系统设计规范 GB50116-98 电子计算机房设计规范 GB50174-93
3.门禁
系统选用系列感应卡式门禁设备,并具有联机管理功能
4.防雷
满足执行10/350us坡形,可防护雷电流150kA对建筑物的破坏。建筑物内部的计算机机房用电器可承受 10/350us 75kA的雷电流的冲击[IEC1312的标准]
四、网络设备选择
(一)交换机的选择
RG-S6506是锐捷网络推出的万兆骨干路由交换机,拥有6个模块扩展槽,提供管理模块冗余,支持万兆、千兆和百兆模块线速转发,可以根据用户的需求灵活配置,构建弹性可扩展的现代IP网络。”
RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是小型网络核心和大型网络骨干交换机的理想选择。
参考报价:10.6万元。
参数:
(二)路由器的选择
锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网,速率高达OC- 48。部署在各种应用中,RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络,为用户提供综合的、高性能、功能强大的服务, 并提供高可用性网络所需的冗余支持。
参考价格:48万
参数:
(三)防火墙
思科PIX-525-UR-GE-BUN是一款面向企业的防火墙,同时也满足一些中小型的校园网络。这款硬件防火墙采用了IntelPentiumIII处理器,主频达到600MHZ,并且配备了256MB随机内存和16MB闪存,最大支持28万个并发连接数,具有370Mpps的网络数据吞吐量和100MB的安全过滤带宽,无用户限制数,整体性能比较强劲,非常适合于中小型校园网络。
这款硬件防火墙提供面向静态连接的自适应安全算法(ASA),可以实现包过滤,并且可以跟踪数据传输中的源地址和目的地址,TCP序列号,端口号和每个数据包附加的TCP标志,从而保证校园内部网络不会受到非法用户的攻击。思科PIX-525-UR-GE-BUN支持VPN功能,并且可以将校园网络中传输的数据进行加密,防止其他用户窃取。思科PIX-525-UR-GE-BUN提供了()功能,可以节省IP地址资源,并且可将IP地址隐藏,防止外部网络获取,为校园内部提供了有力的保障。思科PIX-525-UR-GE-BUN具有防止拒绝攻击功能,防止校园网络内部计算机不受黑客的攻击。Applet过滤功能则可终止校园网内部用户使用Java所带的潜在危险。邮件保护功能和URL过滤功能让校园网用户基本上不会受到邮件攻击和不能访问非法站点。
思科PIX-525-UR-GE-BUN的操作也十分简单,只需要6条命令就能完成基本的,对于校园网来说,就十分的方便了。
参考价格: 5.6万
(四)服务器
联想万全T260 G3 S5606 2G/2*500SNR1
参考价格:1.29万
六、总结
短短的四周毕业设计是我们对大学四年的计算机知识的整体总结,也是理论与实践的结合。我是电子商务和计算机应用专业的,所以在设计的时候遇到很多的困难,但其中让我学习到的是整个校园网的设计、规划、布线的全过程。在进行毕业设计中,我学到了许多新的知识。
我深刻的认识到,想要独立的合格完成网络的设计规划只掌握现在的专业知识是远远不够的,我们应该具有更全面的知识,不断的去学习新的知识。
校园网要具有先进的应用系统。例如,面向学校、教师、学生、家长之间的信息交换系统;面向全体师生员工的通讯信息服务系统,如E-mail和信息检索等;面向管理者的网络办公管理系统,包括校长、行政、党政办公管理系统,师生员工档案管理系统,教学、科研、设备、财务管理系统等;面向教师的网络多媒体教学系统、考试与评价系统;
校园网要能很好地应用与发展,很大程度上取决于设计方案(包括组网技术、拓扑结构、综合布线、IP及路由规划、设备选型、安全防范等)的设计实施合理与否。 我在设计本校园网的时候,遇到了许许多多的困难,比如说网络的技术选型,网络软件的选择,网络的安全及管理等等设备的比较,以前都没接触过,有的只是从书本上看看,也没有具体的了解,经常会有无从下手的感觉,碰到问题只有去问老师和看相关书籍,确实虽然完成了大概模型,有许多地方还是不是完全理解的,这需要在以后的工作学习中再研究。
七、致谢
首先,我感谢XXX老师。本设计文是在XXX老师精心指导和大力支持下完成的。他平日里工作繁多,但在我做毕业设计的每个阶段,从确定命题查阅资料,设计草案的确定和修改,中期检查,后期详细设计,论文写作等整个过程中都给予了我悉心的指导。我对XX老师的感激之情是无法用言语表达的。
本课题在选题及研究过程中熊老师多次询问研究进程,并为我指点迷津,帮助我开拓研究思路,精心点拨、热忱鼓励。熊老师一丝不苟的作风,严谨求实的态度,踏踏实实的精神,不仅授我以文,而且教我做人,给以终生受益无穷之道。
熊老师以其严谨求实的治学态度、高度的敬业精神、兢兢业业、孜孜以求的工作作风和大胆创新的进取精神对我产生重要影响。他渊博的知识、开阔的视野和敏锐的思维给了我深深的启迪。在他的引导下,我认识了有了设计的思路,极大的开拓了我的学术视野,也为本篇论文打下了理论基础。
在这次设计中熊老师又给我提出了许多宝贵的意见。虽然我遇到了许多困难,但是我及时的和熊老师讨论这些问题,最终问题都迎刃而解了。减少了我在这次设计中的困惑和完成时间。在论文撰写方面更是给予了方向性的指导和建设性的意见和建议。
最后感谢在大学三年期间,传授我知识的老师们,感谢在学习和生活上给予我帮助的同学们,没有他们的帮助就没有我今天的成绩。经过三个月的忙碌和工作,本次毕业设计已经接近尾声,作为一个专科生的毕业设计,由于经验的匮乏,难免有许多考虑不周全的地方,毕竟这次设计是我第一次进行全面和系统的设计,疏漏和不足之处在所难免,可能存在许多细节未做到及时处理,请教员指正,以帮助我不断提高,不断进步。我相信通过这次全面系统的设计以及在这个过程中各位老师的不断点拨,在今后的工作中我一定会做到更好。
参考文献
[1]单颖.新建企业的计算机网络规划.数码世界,2008(8)
[2]《重庆科技学院学报:自然科学版》2007年 第2期
[3] 吴怡,《计算机网络配置、管理与应用—Windows Server 2003》,高等教育出版社,北京,2004年
[4] 石硕,林莉,卓志宏,李洛,《交换机/路由器及其配置(第2版)》,电子工业出版社,北京,2007年