信息职业技术学院校园网络设计方案报告.docx
- 文档编号:11694258
- 上传时间:2023-03-30
- 格式:DOCX
- 页数:19
- 大小:138.60KB
信息职业技术学院校园网络设计方案报告.docx
《信息职业技术学院校园网络设计方案报告.docx》由会员分享,可在线阅读,更多相关《信息职业技术学院校园网络设计方案报告.docx(19页珍藏版)》请在冰豆网上搜索。
信息职业技术学院校园网络设计方案报告
北京信息职业技术学院校园网络布线设计方案报告
第一章项目背景及需求分析
1.1项目背景
北京信息职业技术学院建筑分布主要有教学楼、办公楼、实训楼、图书馆、学生公寓等组成,学院经过近年来的扩建现有三个校区,现有在籍学生7000多人,在校班级70个,教职员工800人,学院新建了新教学楼、办公楼和学生公寓。
通过建设一个高速、安全、可靠、可扩充的网络系统,实现校内信息的高度共享、传递,教学及管理信息化,校领导能及时、全面、准确地掌握全校的教学、科研、生产、管理、财务、人事等各方面情况,建立出口信道,实现与Internet互联,实现学生公寓能在公寓中无线上网,教职工通过VPN连接实现家庭办公,数字化校园进行网络学习和获取相关教学资源。
由于网络环境复杂,用户角色较多,各类网络权限使用权限不同,需合理规划,同时来自外网和内网的网络安全及网络攻击威胁越来越严重,应建立一套性价比较高的网络安全防护体系。
校园网络平台不仅要能够满足学校目前的应用需求,而且应能适应今后若干年内应用提升的要求。
1.2项目目标
校园网是要实现将三个校区之间有连通性,之间能通信。
实现资源共享,提高通信速率,从万兆核心到百兆桌面的一个高标准目标。
建立网络辅助教学系统,实现教学手段的现代化。
1.2.1网络系统建设目标
网络覆盖东校区,学院本部和南校区分支机构,根据目前校园的实际情况和环境,本方案首先需要建立基础的网络平台,只有在网络互联互通的基础上,才能承载用户的访问,应用的扩展等技术。
整体网络的建设目标如下:
1.信息资源共享:
通过校园网,实现校园内部,学校与国内、国际教育的快速交流,达到资源共享,是广大师生及时了解国内外的科学技术和高等教育发展的最新动态,促进教学、科学和管理的发展
2.网络结构清晰:
中心机房接入点→各楼层管理间→各层设备间→工作区。
3.百兆到桌面:
所有用户的以太网有线接入带宽能够保证提供百兆或以上的带宽,提高工作效率。
4.核心千兆:
对于汇聚层到核心层的网络带宽至少要保证提供千兆支持,对于特别重要的互联互通的环境,还需要能够提供千兆端口的绑定功能,以提供更高的网络带宽保障。
5.网络辅助教学:
建立基于网络的电子教学CAL课件开发、视频点播(VOD)、网上题库、答疑与作业批改等网络教学系统,实现教学手段的现代化。
6.网络管理与监控系统:
屏蔽无关的游戏、社交网站,对教职工和学生分别赋予不同权限,在保证通信的前提下实现隔离保护。
7.网真会议:
通过网真实现三校区即时同步展开会议,提高办公、行政效率
1.2.2校园网系统高可靠性
在考虑现有网络的基础上,整个业务网网络结构的拓扑结构尽量采用稳定可靠的结构形式,以保证整个网络的高可靠性。
网络设备和整个网络系统必须具备高可靠性特征。
主要网络设备必须具有热插拔功能,可带电修复故障而不影响网络系统的总体工作,并支持电信级的网络设备可靠性。
在基本需求上留出必要的冗余,最大程度上保证网络的全天通信。
1.2.3校园网系统可维护性
整个业务网必须具备良好的可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。
同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。
1.3项目需求
北京信息职业技术学院信息网络系统是使用高速光纤的,构建两套相互独立的、物理上隔离的网络系统,以提供安全的、可冗余的、IP交换的、可备份各教学系的办公局域网和可访问的INTERNET的网络系统,实现各教学系内部和各部门之间教学交换网络化,实现资源共享,为各教学系提高办事效率,提供办事透明度以及快速反应和决策可靠地保障。
在此网络平台上为学院三校区及其其他各教学系提供数据交换、文件传输等服务。
网络系统主要是以光纤作为传输媒介、以IP和Internet技术为技术主体、以核心交换机为交换中心、下属部门信息网络系统为分界点的多层结构。
客户对网络系统建设的具体要求如下:
(1)校园网系统可扩展性
(2)校园网系统可维护性
总体目标是建设信息化的办公网络交换平台,集成基层各教学系信息网络系统,功能齐全、技术先进,集成化的网络系统
1.3.1.网络互联需求分析
位于北京旭日东校区的教学办公所在的网络布线信息点通过网络互联设备接入;整个校区的基本网络将实现高可用性,高可靠性,高稳定性。
同时也要实现网络的安全性以及可控性。
北京信息职业技术学院教职员工分布及办公和教学的信息点需求:
序号
地点/部门
信息点数
备注
教师员工
1
1号楼
130
教学楼行政楼
70
2
2号楼
124
行政楼
47
3
3号楼
54
办公楼医务室
10
4
4号楼
154
教学楼行政楼
114
5
5号楼
30
教室楼
0
6
6号楼
137
行政楼图书馆
24
8
8号楼
696
男生公寓
5
9
10号楼
160
培训中心
25
10
11号楼
320
男生公寓
5
11
12号楼
640
女生公寓
10
12
13号楼
128
行政楼教学楼
28
13
14号楼
803
行政楼教学楼
21
14
数字实训基地
25
教学楼
5
15
保卫处
8
行政楼
12
合计
3409
376
二层交换机
56
三层交换机
389
1.3.2.用户需求
根据教师和学生上课和教师研究等的需求,实现校园内部资源共享。
通过建立学校主页、电子邮箱、FTP资源、办公系统以及视频点播等服务器,发布有关的新闻,、教学信息、教师与学生之间的交流平台。
除上述考虑外,还要注意到由于逻辑上业务网和管理网必须分开,所以建成后校园网应能提供多个网段的划分和隔离,并能做到灵活改变配置,以适应教学办公环境的调整和变化。
整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。
1.3.3网络安全要求分析
校园网络安全主要考虑以下几方面要求:
各个部门、教学系所访问网络的控制,各单位之间在XX的情况下,不能相互访问。
内、外网通过防火墙连接,实现数据安全的保护。
校园方安全防护主要在以下几个方面:
一、限制外网的访问。
如果网关、服务器暴露在复杂的互联网下很容易受到攻击。
教职工使用的电脑较为安全,所以一定要隔离出内、外网。
只有经过安全验证的用户才能登录访问内网。
二、外网建设。
将外网网站的相关数据和内网数据放置在同一服务器上是非常危险的行为。
外网网站数据应该单独放置,应该制作静态网页,不使用存回和取出功能,购买单独域名。
三、物理攻击。
中心机房应当符合《机房管理规范》中的A级机房标准。
禁止学生进入。
并且将重要数据备份的服务器单独设立一个机房,不与中心机房在同一建筑。
1.3.8存储备份需求
对于学院来说,一些科研成果是最为重要的信息,其中可能涉及国家机密。
在防止信息被盗的同时,也要对重要信息进行备份。
对于存储备份系统,建议使用最低级、最原始的方式:
用大容量移动硬盘直接拷贝,之后对拷贝的移动硬盘进行封存。
1.4方案设计原则及特点
先进性:
采用先进的技术、方法、设备,使系统既成熟可靠又能反映当今应用水平,并具发展潜力。
开放性:
整个系统应具有开放性,符合相应的国际标准和协议。
提供开放的网络接口和数据接口,使不同的产品能够协同运行,方便数据交换、信息共享。
扩充性:
系统应易于升级和功能扩充。
在系统容量、能力、处理能力等方面具有可扩充性,可以方便地进行产品的升级换代,不仅能够保护学校的投资,而且具有较高的综合性能价格比。
可靠性:
应该在系统结构、设计方案、设备选择、技术服务等方面综合考虑,保证系统能够无故障运行。
同时系统必须具有出错处理、容错能力、冗余备份功能。
实用性:
整个网络的功能应完全立足于学校管理和教学的需求,保证系统信息处理和传递的安全、可靠、及时、准确。
安全性:
网络系统必须具有高度的安全性和保密性,通过设置分级保护、控制数据存取的权限,防止对系统的非法侵入。
可维护性:
提供有效的网络管理和系统监控、调试、诊断技术,保证系统维护管理简明、方便、有效。
可操作性:
必须提供友好的中文界面,采用基于Windows的GUI界面,操作简便,容错性强,易于管理和维护。
以上几点概述为本方案的中心设计思想,达到为信息化构建一个高性能、高可靠性、高安全、灵活性与可扩充性高的IT基础系统。
1.5编制依据
《计算机信息系统保密管理暂行规定》(国家保密局1988年2月26日印发)
《计算机信息国际联网保密管理暂行规定》(国家保密局1999年12月29日印发)
《中国公众多媒体通信网技术体制》
《计算机中心机房管理规范》
《综合布线管理规范》
《中国公众多媒体通信网工程实施技术要求》
《建筑制图标准》(GBJ104-7)
IEEE工业标准:
802.1d、802.1p、802.1q、802.3、802.3u、802.3z
支持路由协议:
IP的RIPv1/2、OSPF
第二章网络逻辑结构设计
2.1网络拓扑结构设计
2.1.1拓扑结构分类
计算机网络拓扑结构包括逻辑拓扑结构和物理拓扑结构两种。
逻辑拓扑结构是指计算机网络中信息流动的逻辑关系,而物理拓扑结构是指计算机网络各个组成部分之间的物理连接关系。
网络中经常用到的物理拓扑结构有总线型、星型和环型等
1)总线型拓扑结构
总线型拓扑结构也称为线性总线,在这种结构中使用一根线缆来连接所有的设备,线缆相继地连接各台计算机。
一条传输总线上连接了多个节点,在节点之间按广播方式进行通信,即每个节点都能收到在总线上传播的信息,但每次只允许一个节点发送信息。
2)星型拓扑结构
星型拓扑结构是以中央结点为中心,经传输线路分别同外围节点连接而成。
星型拓扑是目前局域网中应用最为普遍的一种拓扑结构。
在这种结构中,中央结点一般采用集线器或者交换机,外围节点常使用个人计算机。
网络中每个终端都通过独立的线缆连接到中心设备
所以本方案采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。
由于所有节点的往外传输都必须经过中央节点来处理,因此,对中央节点的要求比较高。
优点是网络结构简单,易于维护,便于管理(集中式);每台入网机均需物理线路与处理机互连,线路利用率低;处理机负载重(需处理所有的服务),因为任何两台入网机之间交换信息,都必须通过中心处理机;入网主机故障不影响整个网络的正常工作。
对该网络支持的设备生产厂商有较好的技术支持。
局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。
办公电脑建议采用品牌的商用机,商用机运行比较稳定,而且比较耐用,运算速度较快,较适于开发使用。
2.2VLAN规划和IP规划
学院本部有电子工程系(5个专业),机电工程系(3个专业);东校区有计算机工程系(4个专业),软件工程系(3个专业),信息工程系(2个专业),数字媒体与艺术系(4个专业),财经管理系(5个专业),外语系(2个专业);南校区有汽车工程系(3个专业)
VLAN划分及IP地址规划的原则:
●每一个教学系划分成一个单独的VLAN;
●每一个VLAN划分单独的网段,具有独立的地址空间
●各VLAN之间不能直接互通,通过三层交换机(VTP)实现互联
●此外,对会议室、校长室,主任室,及就业办公室单独创建1个VLAN
●对无线网段单独创建1个VLAN
●地址分配按每一个网段1个B类的原则划分
●每一个网段的第一个地址为该网段的网关地址
下表是为学院划分的的VLAN、IP划分列表:
序号
部门(员工数)
子网地址
地址范围
广播地址
子网掩码
VLAN
1
培训部
172.16.1.0/27
172.16.1.1---172.16.1.6/29
172.16.1.7
255.255.255.246
Vlan10
2
就业办公室
172.16.1.0/27
172.16.1.9---172.16.1.15/29
172.16.1.16
255.255.255.246
Vlan20
3
信息中心
172.16.1.0/27
172.16.1.18---172.16.1.19/30
172.16.1.20
255.255.255.250
Vlan30
4
办公室
172.16.1.0/27
172.16.1.22---172.16.1.28/29
172.16.1.29
255.255.255.246
Vlan40
5
学院办公室
172.16.1.0/27
172.16.1.31---172.16.1.37/29
172.16.13.6
172.16.1.38
255.255.255.246
Vlan50
6
院长办公室
172.16.1.0/27
172.16.1.38---172.16.1.45/29
172.16.1.46
255.255.255.246
vlan60
7
财务室
172.16.1.0/27
172.16.1.48---172.16.1.54/29
172.16.1.55
255.255.255.246
Vlan70
8
网络工程系办公室
172.16.1.0/27
172.16.1.57---172.16.1.183/25
172.16.1.184
255.255.255.128
Vlan80
9
教室
172.16.1.0/27
172.16.1.186---172.16.1.248/26
172.16.1.249
255.255.255.172
Vlan90
10
服务器
172.16.2.0/28
172.16.2.1---172.16.2.5
172.16.2.16
255.255.255.240
Vlan100
第三章网络系统设计
3.1网络逻辑结构
下图便是本次校园网设计的逻辑结构示意图。
左边的交换机代表外网,右边三个交换机就是一个双机热备的系统,之后通过第一层交换机组连接到用PC机代表的二层、三层交换机。
第四章主要设备介绍
4.1核心路由器
核心路由器推荐使用——CISCO7304。
这是一款电信级高端路由器,正是作为计算机专业学校最为适合的种类。
基本参数
路由器类型
电信级高端路由器纠错
网络协议
IP,IPX,DLSW,AppleTalk纠错
传输速率
10/100/1000Mbps纠错
端口结构
模块化纠错
局域网接口
2个纠错
功能参数
防火墙
内置防火墙纠错
Qos支持
支持纠错
VPN支持
支持纠错
其他参数
处理器
RM7000MIPS处理器,PXF处理器纠错
产品内存
最大DRAM内存:
512MB
最大Flash内存:
128MB纠错
产品尺寸
177.8×436×520mm纠错
产品重量
370g纠错
环境标准
工作温度:
0-40℃
工作湿度:
5%-85%
储存温度:
-40-70℃
储存湿度:
5%-95%纠错
基本参数
∙路由器类型:
电信级高端路由器纠错
∙网络协议:
IP,IPX,DLSW,AppleTalk纠错
∙传输速率:
10/100/1000Mbps纠错
∙端口结构:
模块化纠错
∙局域网接口:
2个纠错
功能参数
∙防火墙:
内置防火墙纠错
∙Qos支持:
支持纠错
∙VPN支持:
支持纠错
其他参数
∙处理器:
RM7000MIPS处理器,PXF处理器纠错
∙产品内存:
最大DRAM内存:
512MB
最大Flash内存:
128MB纠错
∙产品尺寸:
177.8×436×520mm纠错
∙产品重量:
370g纠错
∙环境标准:
工作温度:
0-40℃
工作湿度:
5%-85%
储存温度:
-40-70℃
储存湿度:
5%-95%纠错
4.2第一层交换机
由于核心路由器使用了思科的设备,出于兼容性等方面的考虑,接下来的所有网络设备都应该该选用思科公司的产品。
于是第一层交换机组就选用了思科企业级交换机——CISCOWS-C3560E-12D-E
主要参数
∙产品类型:
企业级交换机纠错
∙应用层级:
三层纠错
∙传输速率:
10/100/1000/10000Mbps纠错
∙交换方式:
存储-转发纠错
端口参数
∙端口结构:
非模块化纠错
∙端口数量:
12个纠错
∙端口描述:
12个基于X2的万兆以太网端口纠错
∙传输模式:
支持全双工纠错
功能特性
∙网络标准:
IEEE802.1s,IEEE802.1w,IEEE802.1x,IEEE802.3ad,IEEE802.3af,IEEE802.3x,IEEE802.1D,IEEE802.1p,IEEE802.1Q,IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z纠错
∙堆叠功能:
可堆叠纠错
∙VLAN:
支持纠错
∙QOS:
支持纠错
其它参数
∙状态指示灯:
连接完整性,禁用,活动,速度和全双工指示器,系统,RPS和带宽利用率指示器纠错
∙电源功率:
300W纠错
∙产品尺寸:
44.5×445×495mm纠错
∙产品重量:
10.7kg纠错
∙平均无故障时间:
147,001小时纠错
∙环境标准:
工作温度:
0-45℃
工作湿度:
0-95%(非冷凝)
存储温度:
-25-70℃
存储湿度:
10%-85%(非冷凝)
4.3第二层、第三层交换机
综合各方面的考量第二层和第三层交换机使用性价比较高的千兆以太网交换机——CISCOSR2024.
主要参数
∙产品类型:
千兆以太网交换机纠错
∙应用层级:
二层纠错
∙传输速率:
10/100/1000Mbps纠错
∙交换方式:
存储-转发纠错
∙背板带宽:
4.8Gbps纠错
∙MAC地址表:
32K纠错
端口参数
∙端口结构:
非模块化纠错
∙端口数量:
24个纠错
∙扩展模块:
2纠错
∙传输模式:
全双工/半双工自适应纠错
功能特性
∙网络标准:
IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3x纠错
∙堆叠功能:
可堆叠纠错
∙VLAN:
不支持纠错
∙QOS:
不支持纠错
∙网络管理:
无纠错
其它参数
∙电源电压:
AC110-120V纠错
∙电源功率:
100W纠错
∙产品认证:
FCCClassB,CE纠错
∙产品尺寸:
432×349×45mm纠错
∙产品重量:
3.62kg纠错
∙环境标准:
工作温度:
0-50℃
工作湿度:
20%-95%(非冷凝)
存放温度:
-40-75℃
存储湿度:
5%-90%(非冷凝)纠错
第五章工程造价
序号
名称
单位价
数量
合计
备注
1
CISCO7304
68000
3
204000
核心路由器
2
CISCOWS-C3560E-12D-E
81600
10
816000
第一层交换机
3
CISCOSR2024
2700
445
第二、三层交换机
4
WatchGuardXTM1050
2
防火墙
5
金盾GFW-7700
2
流量管理
6
A10EXSeries2200
2
负载均衡
7
神州数码DCNIDS-1800-G2
620000
2
入侵检测
8
方正8000-X-SSL-T10000
2
SSLVPN
9
启明星辰USG-10000E
2
UTM
10
A10Idaccess500
40000
2
80000
内网安全
11
浪潮天梭TS850
10
整机服务器机组
12
Eaton伊顿9395600
5
UPS
13
思科网真CTS3000
800000
10
网真会议摄像头
14
思科网真5320
3
网真会议
工程总体造价:
116247596
大写:
壹亿壹仟陆佰贰拾肆万柒仟伍佰玖拾陆元整
第六章网络安全策略
随着网络攻击方式的多样化,只针对网络层以下的安全解决方案已经不足以应付各种各样的攻击,校园网网络需要防范来自2-7层的攻击;还要随时关注操作系统、数据库、软硬件等等设备本身的安全性;防范可能来自内部的安全威胁等等。
因此校园必需采用立体的多层次的安全系统架构才能保障校园网络安全。
5.1网络安全设计的原则
建设校园网的根本目的是为学校教学、科研和管理提供先进实用的硬件支撑环境。
为实现这一目的必须考虑采用先进实用的计算机技术和网络通信技术,把校园网建设成为具有高速、稳定、可靠、安全的校园财干兼顾应用服务系统,提供现场化教学、科研的办公及管理系统,同时拓展校园内多方面的应用。
为此提出一条总原则:
“分期建设;逐步实施;先教学系统后扩展应用;精选设备;软件配套。
”具体说来有以下几条原则必须考虑;
(1)实用性:
校园网建设强网络系统与网络应用以应用推动建设,重视信息资源的开发、利用和效果。
(2)先进性:
主干采用先进成熟的网络技术和产品,适应大量数据和多媒体信息传输、处理、交换的需要,使网络具有较强的生命力。
(3)开放性:
网络系统支持有国际和国家标准,支持异构型边缘子网互联与集成,易于网络的扩充和升级,使有限的投资得到保护。
(4)安全性:
对网上信息提供多层次的、基于策略的安全保护措施。
(5)可靠性:
网络机构、网络设备、网络系统与应用系统间接口、供应商的产品与服务的信誉等,均具可靠性。
(6)简洁性:
网络拓扑结构简洁,硬件和软件按需要进行灵活配置。
(7)可管理性:
采用较先进的管理软件,实现全网的检测、资源分配、负荷调节、故障定位等功能,并具有良好的人-机操作界面。
5.2网络安全系统架构
随着计算机和网络技术的迅猛发展和广泛普及,校园网作为高校推进信息化、数字化建设的重要基础设施,近几年来,在国家、学校的大力支持下得到了飞速且迅猛的发展。
校园网已经在我国的教育系统得到了广泛地使用。
但是,Internet本身所具有的开放性、自由性和国际性在增加了应用者自由度的同时,对安全也提出了更高的要求。
一旦网络安全系统受到了严重威胁,将给校园、社会、乃至整个国家都会带来巨大的经济损失。
如何使校园网络系统免受黑客和病毒的入侵,使校园网络正常、高效地为我国的高校事业发展服务,并且为当前高校信息化、数字化健康发展而服务,是各个高校普遍存在和面临的问题。
校园网络安全问题主要集中在以下几个方面:
1)网络安全方面的投入严重不足,没有系统的网络安全设施配备学校的上网场所管理较混乱
2)电子邮件系统极不完善,无任何安全管理和监控的手段网络病毒泛滥,造成网络性能急剧下降,很多重要数据丢失,损失不可估量。
3)网络安全意识淡薄,没有指定完善的网络安全管理制度。
5.3整体网络安全解决方案
通过如上的需求
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 职业技术学院 校园 网络 设计方案 报告