华池一中校园网设计方案Word下载.docx
- 文档编号:22826052
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:27
- 大小:305.78KB
华池一中校园网设计方案Word下载.docx
《华池一中校园网设计方案Word下载.docx》由会员分享,可在线阅读,更多相关《华池一中校园网设计方案Word下载.docx(27页珍藏版)》请在冰豆网上搜索。
3.1主干网传输方案设计4
3.2Internet接入方案4
3.3远程访问支持5
3.4子网划分与VLAN设定5
3.5网间隔离方案设计5
3.6存储方案5
3.7设备选型5
3.8软件5
3.9信息服务方案5
3.10综合布线方案5
第4章网络管理6
第5章系统主要设备报价7
第6章网络测试及协议数据包分析8
参考文献9
课程设计总结10
第1章学校描述
华池一中是甘肃省一所重点中学。
近年来,学校千方百计克服各种困难,全力以赴倾心倾力改善办学条件,先后建成多座高标准的教学楼,实验楼及学生微机室。
为了实现教育教学现代化,学校需要建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络,将学校的各种PC机、工作站、终端设备和局域网连接起来,并与有关广域网相连,在网上宣传自己和获取Internet网上的教育资源,形成结构合理、内外沟通的校园计算机网络系统,在此基础上建立能满足教学、科研和管理工作需要的软硬件环境,开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务,以适应新世纪素质教育的需要。
在学校中发生的信息流主要包括三个部分:
教学过程信息流,管理过程信息流和Internet信息流。
学校建筑比较复杂,建筑物布局相对分散(最远楼间距超过100米)。
布线环境为:
办公楼,两栋教学楼,图书馆楼,实验楼,男、女生宿舍楼,餐厅。
主干拓扑结构我们选择星型以太网,和总线拓扑结构相比,星型结构虽然布线较多,但整个系统具有较高的可靠性和灵活的扩展空间,是校园网比较理想的拓扑结构;
局部网段采用星型或总线型拓扑结构。
预计投资70万元左右。
第2章需求分析
根据我方所了解的学校总体目标,利用先进实用的计算机技术和网络通信技术,把学校内所有的局域网、网段和单机用户都连接起来,组成—个分布式网络系统。
同时通过校园网向上连通省、市教委信息中心及CERNET和Internet连接,向下覆盖全校,分享国内外的计算机资源信息,并建立基于校园网的应用系统,这是学院网络建设的总需求。
本次设计从如下几个方面进行需求分析。
2.1带宽(核心层、(部门层、)桌面)
从学校的实际情况出发,对现有情况进行分析,选择合适的网络速度方案。
1.10Mbit/s以太网:
基本满足现在需求。
2.100Mbit/s快速以太网:
满足当前需求,且有相当的余量——正选方案。
3.1000Mbit/s高速以太网:
远远超过了应用的需求,目前不经济,代以后升级方案。
对于组建一个中小企业局域网的方案有很多,网络建得好不好直接关系到企业的效益。
对于方案的选择与比较有多方面,主要有:
拓扑结构及相应的传输方式,网络协议,网络操作系统,及相对应的软件。
对于本公司,主要从拓扑结构,布线选择,网络操作系统几个方面来比较符合本公司的方案。
2.2子网与VLAN规划
1.所谓“子网”,就是把一个有类(A、B、C类)的网络地址,再划分成若干个小的网段,这些网段称为子网。
划分子网的方法是通过设定子网掩码不确定网络位、子网位和主机位的多少,从而确定子网的数量和每个子网中可以容纳的主机数量。
划分子网是解决IP地址空间不足的一个有效措施,同时把较大的网络划分成小的网段,以便管理和提高性能。
一个被子网化的IP地址由三部分构成:
网络号、子网号、主机号。
子网和主机地址是由原先IP地址的主机地址部分分割顾两部分得到。
因此,划分子网的能力依赖于被子网化的IP地址类型。
子网由子网掩码标识。
子网掩码是可用十进制数格式表示的32位二进制数,掩码告诉网络中的端系统(包括路由器和主机)IP地址的多少位用于识别网络和子网。
这些位被称为扩展的网络前缀。
余下的位用于标识子网内的主机,掩码中用于标识网络号的位置为1,主机位置为0
2.在局域网中,IP子网与VLAN一一对应。
给每一个VLAN分配一个相对应的IP子网网段。
尽管一个IP子网对应两个VLAN或一个VLAN对应两个IP子网也可以实施,但这样配置会给三层交换的设计带来很大不便。
因此,如果需要VLAN之间的路由设置,一定要使IP子网和VLAN一一对应。
VLAN和子网划分后,VLAN(IP子网)之间逻辑上是不连接的,这就需要VLAN之间的路由。
VLAN之间路由的实现通常是通过对三层交换机进行设置完成的。
在三层交换机上设置VLAN之间路由功能的具体方法是:
为每一个VLAN上的IP网段指定一个网关地址;
设定上述网关地址到交换机的对应此VLAN的逻辑接口上;
设定相应路由协议或静态路由;
设定必要的过滤功能;
把每个VLAN的每台端设备的缺省网关地址,设成第三层交换机上的相应IP网关地址。
通过配置,作为端节点的用户工作站就可以访问其所在VLAN之外的节点了。
2.3实现的信息服务
校园网上信息服务系统主要提供WWW服务、电子邮件服务、文件传输服务和域名服务等功能。
其中WWW服务的内容主要包括:
1、图书馆书目查询。
2、建立学校主页。
包括校情简介、学校新闻、校报(电子版)、招生信息以及校内电话号码和电子邮件地址查询等。
2.4应用程序
局域网中的应用程序分为系统应用程序和用户应用程序。
根据学校建网的目的,该局域网应配备如下系统应用程序:
1)FTP服务器应用程序及相关协议
2)Web服务器应用程序及相关协议
3)E-Mail服务器应用程序及相关协议
4)数据库服务器应用程序及相关协议
5)DNS服务器应用程序及相关协议
6)应用程序服务器应用程序及相关协议
7)备份服务器应用程序及相关协议
针对该局域网要实现信息交流、视频教学、办公自动化等功能,应配备如下用户程序:
1)制作软件
2)多媒体视频点播软件
3)Office软件实时聊天工具
4)多媒体教学及课件
2.5存储系统分析
存储系统是用来存储公司内部资料和一些数据的,在这次组网中我们采用SQLSerever2000软件,建立公司内部的数据库,以便更好的保证公司的数据不被丢失,同时也便于存储数据,便于数据共享。
2.6系统及数据安全分析
学校网络一般都最先应用最先进的网络技术,网络应用普及,用户群密集而且活跃。
然而学校网由于自身的特点也是安全问题比较突出的地方,安全管理也更为复杂、困难。
1.学校网的速度快和规模大;
2.学校网中的计算机安全管理比较复杂;
3.学校的计算机安全技术薄弱;
4.有限的投入。
以上各种原因导致学校网成为攻击者最容易攻破的目标。
因此导致当前学校网常见的风险如下:
1.
普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁;
2.
计算机蠕虫、病毒泛滥,影响用户的使用、信息安全、网络运行;
3.
外来的系统入侵、攻击等恶意破坏行为;
4.
垃圾邮件、不良信息的传播。
加强学校网络的安全管理工作需要从管理和技术两个方面综合考虑:
首先,加强学校网安全管理政策建设。
其次,加强安全组织建设。
2.7QoS
多年来,QoS一直是广域网络的关键需求,带宽、延迟和延迟变化的需求都是广域网络中优先考虑的内容。
对于宽带接入网络更是如此,能满足不同用户QoS的需求,由于内部网络和外部网络应用的快速发展对整个网络提出了更高要求,端到端QoS的重要性也在不断增长。
QoS可以保护关键任务应用免受多媒体、网络广播及实时视频服务等需要极大带宽的应用的干扰。
CiscoIOS软件中的QoS机制可以帮助网络对各种网络应用和信息类型进行控制和服务。
CiscoIOS软件的关键QoS功能包括:
1、加权随机早期检测(WRED):
避免网络流量的振荡。
网络管理员可根据信息流量类型的不同而制订不同的RED政策,WRED可以在网络发生拥挤时对重要的信息类型给予优先处理,而对低优先级的数据,在拥塞发生前就有意的有控制的丢弃一些包。
2、加权平衡排队(WFQ):
WFQ将信息包分成若干列或类别,然后对信息包的输出进行排程,以满足其带宽分配及延迟要求。
WEQ类可根据IP优先权、应用端口、IP协议或引入接口进行指定。
3、资源保留协议(RSVP):
应用可以使用RSVP对必需的网络资源进行动态的请求和保留,从而满足其特定的QoS要求。
通过代理RSVP功能,Cisco的路由器可使用RSVP代表那些无RSVP功能的应用对资源发出请求。
4、IP优先:
通过使用现有的IP优先排队机制(如WFQ,WRED等),IP优先信号在网络中区分QoS。
5、基于政策的路由选择(PBR):
PBR根据源地址和应用端口等标准为所选的信息包提供了定制的路由路径,并可经由IP优先权对信息包分类并作出标记,这使得主干网络路由器可以在拥挤时给予其优先权。
6、端口速率限止(CAR)在相应端口设置CAR,可以较好地限止接入端的访问速率,使得网络中心带宽合理分配。
CiscoGSR12000、Cisco7500、Cisco3600、Cisco2600、Catalyst8500、Catalyst6509、Catalyst4000等均支持WRED、WFQ、CAR、RSVP、PBR、IPPrecedence等的功能。
在公司网络上的所有网络交换设备均采用CiscoIOS软件,能获得较好的服务质量。
2.8网间隔离
网络隔离,英文名为NetworkIsolation,主要是指把两个或两个以上可路由的网络(如:
TCP/IP)通过不可路由的协议(如:
IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。
由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)。
1997年,信息安全专家MarkJosephEdwards在他编写的《UnderstandingNetworkSecurity》一书中,他就对协议隔离进行了归类。
在书中他明确地指出了协议隔离和防火墙不属于同类产品。
网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换。
由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。
因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。
而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破,既便有所改进也必须付出巨大的成本,和“适度安全”理念相悖。
第3章拓扑图及方案整体描述
校园网为园区网,楼群间子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地。
垂直子系统则位于高层建筑物的竖井内,可采用多模光缆或大对数双绞线。
考虑到校园网上今后大量的应用是多媒体业务,对网络带宽的需求较高,而且网上连接的节点也较多,因此主干网络应采用高速局域网技术。
FastEthernet是在传统的10MbpsEthernet网络技术上发展起来的,速率可达到100Mbps,而且目前实现的产品大部分能实现10Mbps和100Mbps速率的自适应,与原有的网络存在较好的兼容性,价格也比较低廉。
因此,在本系统中我们主要采用了100Mbps快速以太网技术。
3.1主干网传输方案设计
校园网的网络主干采用1个IntelExpress10/100FastEthernetSwitch以太网交换器。
该交换器有8个自动识别速率的10Base-T/100BASE-TX双绞线端口,每个端口支持1个以太网段(10Mbps)或1个快速以太网段(100Mbps)。
它还有两个槽可用于功能扩展,扩展模块可选用2口的100BASE-TX双绞线适配器或100BASE-FX光纤适配器,因此交换器最大可扩到12个端口。
100BASE-FX光纤模块提供了62.5/125多模光纤的SC连接器,当它与其它交换器互连时,支持2KM的连接距离,适合于校园网上建筑物之间的互连。
该交换器还内嵌了一个SNMP代理,能通过SNMP兼容的网管系统进行监控。
它还具有以下特点:
1、IntelFastEthernetSwitch可以在保持现有网络结构不变的情况下将工作组网络向高速以太网转变。
交换器的每个端口能自动调整到最高可能的速率。
所有的端口都可设置为全双工或半双工。
当设置为全双工操作时,每个端口的有效通信速率将提升到200Mbps。
2、支持虚拟网络,提高网络的安全性,并减少网络中的广播信息。
3、支持端口级的全双工操作和流量控制的配置。
4、简单的基于软件的安装和升级。
由于图书馆和中心网络相距有300米以上,而双绞线只能支持100米,因此我们在中心交换器上还增加了一个100BASE-FX光纤模块。
华池一中校园网的网络拓扑图如图3.1所示:
图3.1华池一中校园网网络拓扑图
3.2Internet接入方案
具体网络连接为电信运营商到企业区域采用光纤接入,光纤接口经转换设备与防火墙的WAN网口相连。
FTTx是一种光纤和双绞线混合(也可以是纯光纤接入方式)的星型以太网接入方式,也是目前应用最广的一种因特网接入方式。
因为是以太网直接接入方式,所以这种接入方式的最大的特点就是用户端无须配置额外的任何网络设备(除网卡外),用户可以直接通过一条双绞线与外线连接。
这种接入方式较ADSL和CableMODEM接入方式都具有明显的优势,当然不仅体现在用户设备成本上,更体现在它的接入性能上,目前使用的基本上都是10Mbps,而它完全可以轻松地实现百兆位,甚至千兆位,而且这个速率还不是多用户共享的。
宽带路由器共享接入方式的网络结构如图:
图3.2宽带路由器共享接入方式的网络结构图
3.3远程访问支持
在Internet上申请虚拟主机,建立学校的宣传站点和学校内部管理系统
在Internet上申请虚拟主机,使用FTP上传文件,建立学校的宣传站点和学校内部管理系统。
同时,在各大网络搜索门户中注册网站,便于Internet用户访问查询。
在Internet上直接设置主机或用专线连接Internet,则学校需要投入专门的人才来管理维护,另一方面通信费用也不堪负担。
而申请一个虚拟主机,一年费用500元,硬件不需要任何投入,只要将制作好的网站内容通过FTP方式上传到虚拟主机所在的目录即可,免去了非常复杂的网络管理工作,而网站可以不受限制开放。
学校宣传站点可不定期更新。
3.4子网划分与VLAN设定
内部局域网分为核心层和接入层。
核心层由1台核心三层交换机组成;
接入层由两台分布层与接入(访问)层交换机组成,每台分布层与接入(访问)层通过千兆链路连接到核心交换机上。
防火墙LAN口接企业核心层交换机,核心层交换机为企业网络核心,连线时必须确保线路接口连接牢固。
并放置专业安全的机柜,提供UPS备用电源,保障企业网络核心的正常运作。
分布层与接入(访问)层采用千兆接口使用光纤上联企业核心交换机,百兆网线下联企业用户商用桌面电脑。
表3.1华池一中设备IP地址
主机名/类型
设备名称
IP地址
注释
CiscoCatalyst4507R
CiscoCatalyst4507R交换机(图书馆)
IP:
172.16.1.1/24
网关:
172.16.1.1/24
网关IP
CiscoCatalyst3550J
CiscoCatalyst3550J交换机(教学楼)
172.16.1.2/24
CiscoCatalyst3550S
CiscoCatalyst3550S交换机(实验楼)
172.16.1.3/24
CiscoCatalyst3550B
CiscoCatalyst3550B交换机(办公楼)
172.16.1.4/24
计费网关
172.16.1.5/24
dnsl1.
主DNS服务器
210.28.100.10/24
Dnsl2.
辅DNS服务器
210.28.100.11/24
WEB服务器
210.28.100.12/24
邮件服务器
210.28.100.13/24
FTP服务器
210.28.100.14/24
认证管理服务器
210.28.100.15/24
数据库服务器
210.28.100.16/24
共有12个子网,其VLAN功能描述如表3.2所示。
表3.2VLAN划分
ID
网段IP
描述
1
210.28.100.0/24
210.28.100.1
服务器子网
2
192.168.10.0/24
192.168.10.1
网络设备子网
3
210.28.101.0/24
210.28.101.1
办公室子网
4
192.168.12.0/24
192.168.12.1
多媒体教室子网
5
192.168.13.0/24
192.168.13.1
教室子网,所有教室计算机
6
192.168.14.0/24
192.168.14.1
电子阅览室子网
7
192.168.15.0/24
192.168.15.1
图书馆子网,借阅室和借书室子网
VLANID
8
192.168.16.0/24
192.168.16.1
计算机实验室1
9
192.168.17.0/24
192.168.17.1
计算机实验室2
10
192.168.18.0/24
192.168.18.1
计算机实验室3
11
192.168.19.0/24
192.168.19.1
计算机实验室4
12
192.168.20.0/24
192.168.20.1
计算机实验室5
13
192.168.21.0/24
192.168.21.1
学生宿舍1
14
192.168.22.0/24
192.168.22.1
学生宿舍2
3.5网间隔离方案设计
1.防火墙的部署
在Internet与校园网内网之间部署了一台瑞星防火墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
2.入侵检测系统的部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星入侵检测系统RIDS-100。
将RIDS-100入侵检测引擎接入Cisco中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
3.瑞星网络版杀毒产品的部署
为了实现在整个局域网内病毒的防护,我们在可能感染和传播病毒的地方采取相应的防病毒手段。
实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。
3.6存储方案
我们采取RAID(独立磁盘冗余阵列)保证用户数据的安全性。
磁盘阵列(DiskArray)是由一个硬盘控制器来控制多个硬盘的相互连接,使多个硬盘的读写同步,减少错误,增加效率和可靠度的技术。
而把这种技术加以实现的就是磁盘阵列产品,通常的物理形式就是一个长方体内容纳了若干个硬盘等设备,以一定的组织形式提供不同级别的服务。
采用RAID5,RAID5是一种存储性能、数据安全和存储成本兼顾的存储解决方案。
以四个硬盘组成的RAID5为例,其数据存储方式如图3.3所示。
由下图中可以看出,RAID5不对存储的数据进行备份,而是把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。
当RAID5的一个磁盘数据发生损坏后,利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。
图3.3RAID5数据存储方式
3.7设备选型
为了有效防备病毒的侵扰、须防火墙功能路由器一台(可选),
局域网方面要求能够尽量稳定运行与可扩充性、须选用高性能的交换机,HUB
根据办公室的间距情况而定,文件服务器一台。
公司网络管理平台对整个系统的稳健性与安全性有重大影响,因此建议主服务器和文件服务器采用有比较强大的数字处理能力和能实现Raid功能机器,这样系统的稳定性及安全性可以达到最佳状态。
需采购的软硬件:
文件服务器:
文件服务,公司信息的存储及备份等
DELLPowerEdge1950服务器类别:
机架式CPU类型:
XeonC
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华池 一中 校园网 设计方案