第二中学校园网组建方案.docx

第二中学校园网组建方案.docx

《第二中学校园网组建方案.docx》由会员分享，可在线阅读，更多相关《第二中学校园网组建方案.docx（27页珍藏版）》请在冰豆网上搜索。

第二中学校园网组建方案

第二中学校园网组建方案

*******************

实践教学

*******************

兰州理工大学

计算机与通信学院

2010年春季学期

计算机网络课程设计

题目：

白银一中校园网规划与设计

专业班级：

姓名：

学号：

指导教师：

成绩：

第1章企业描述

白银一中位于甘肃省白银市白银区，创办于1958年，具有深厚的文化底蕴和优良的教学传统，学校管理严格，具有优良的校风、教风和学风，校园环境优美。

学校现有学生近四千人，教职工三百人左右。

为了提高教学质量和教学管理以及方便同学们学习，学校准备组建校园网。

学校现有实验大楼、学生宿舍楼及教学楼、教师办公楼。

大楼之间距离为50～500M，各个大楼的计算机大约有五百台。

近年来，学校克服困难多方筹措资金，投入800万元兴建维修了实验电教楼、学术报告厅、师生餐厅、2号学生宿舍楼，改善教学设施，促进学校教育教学质量的全面提升，使校园布局在规划发展中会更加合理。

为了实现办公自动化及教学质量和效率的提高，组建校园局域网迫在眉睫。

主要功能是学生能够利用网络实现在线视频学习；教师和学生还可以利用网络学习各种和课程相关的最新资料。

另外，学校管理中心可以利用网络对学生的学习与其他方面的表现进行评价和监控，从而实现教学，管理和办公自动化。

由于学校的规模比较小和学校的可用资金有限，所以组建校园网络的资金限制在30-40万元左右。

白银一中的地域分布图（决定传输介质与走线），如图1.1所示：

图1.1白银一中地域分布图

第2章需求分析

2.1带宽（核心层、（部门层、）桌面）

白银一中共有六个建筑物需要联网，其中教学楼一栋，实验楼一栋，办公楼一栋，宿舍楼三栋，包括两栋学生宿舍楼和一栋教工宿舍楼。

校园内部网络中心设在独立的楼层中，教学楼，实验楼，办公楼，男女生宿舍楼和教工楼各设一个结点，这七个结点的交换机分别用光纤与网络中心的中心交换机相连接，构成校园网的千兆以太网的主干，各结点完成100M交换到桌面。

网络中心是内部网络管理中心、Internet接入点和学校资源管理共享的数据库中心。

也为其他邻校提供共享数据服务的中心。

2.2子网与VLAN规划

1.子网按照学校的地理分布和应用的数据流量进行划分

每个子网覆盖一幢楼或楼的某些层。

子网通过楼间的户外光缆与网络中心相连。

子网是一个相对独立的局域网，内部采用交换技术作为主要连接手段，通过VLAN形成边界，并与主干网汇接。

具体技术方案要点如下：

各子网通过接入交换机接入主干网；

各子网采用与主干网一致的通信协议；

各子网通过网络中心实行统一集中的管理；

子网内的各工作组网的交换机接入子网交换机；

子网内部采用交换技术组网。

2.工作组网

工作组网可以是一个教学组，也可以是一间办公室，还可以是其它划分。

工作组网的连接设备是低端交换机，各桌面计算机连接到工作组网的交换机上，工作组网实现100M到桌面。

具体的技术方案要点如下：

各工作组网接入子网交换机；

各工作组网采用与主干网一致的通信协议；

各工作组网通过网络中心实行统一集中的管理；

工作组网上可设置工作组内共享的服务器；

工作组网内部采用共享或独占10M端口的方式组网。

3.子网划分

校园网中所有的主机数不超过1000台。

计算机的基本地域分配是：

教学楼有50台、办公楼有70台、实验楼有100台、每个宿舍楼有250台一共有90台。

而一个C类子网有254个可以让用户正常使用的IP地址，所以申请5个C类IP地址即可满足这个校园网需求。

具体地址分配如下：

实验楼（100台），分配一个C类子网；

教工宿舍楼（250台），分配一个C类子网；

男生宿舍楼（250台），分配一个C类子网；

女生宿舍楼（250台），分配一个C类子网；

教学楼和办公楼一共有120台，因此两栋楼可以共用一个C类IP网段，然后对其进行子网划分。

分割成两个虚拟子网，由于教学楼和办公楼主机都不超过126台，因此图书馆和教学楼的子网掩码定为：

255.255.255.128。

这样实现图书馆和教学楼共用一个C类IP网段，从而提高了IP地址的利用率。

2.3实现的信息服务

校园网的主要功能是为教育、教学服务，校园网正促进着教学内容与方式方法的变革，促进着学校教育与社会教育的发展，改变着学校与社会、理论与实践、知识与技能的质量。

本设计组建的校园网基本实现了这几方面的需求。

1．WEB文件浏览服务

2．FTP文件传输服务

3．视频点播服务

4．邮件收发服务

5.数据库服务

2.4应用程序

本校园网络系统采用TCP/IP网络，其网络地址及主机标识使用TCP/IP建议的B类编码格式；系统采用CLIENT/SERVER的结构体系；UNIX操作系统；SQL标准的关系数据库SYBASE；C++及C语言。

1．系统服务器软件

　　操作系统：

Linux

　数据库系统：

SQLServer

2．工作站软件

　　操作系统：

SCOUNIX

3．操作终端软件

　　操作系统：

WINXP或WIN7

2.5存储系统分析

2.5.1数据量

存储区域网络（StorageAreaNetwork，简称SAN）采用光纤通道（FibreChannel）技术，通过光纤通道交换机连接存储阵列和服务器主机，建立专用于数据存储的区域网络。

SAN结构中，文件管理系统（FS）还是分别在每一个应用服务器上;而NAS则是每个应用服务器通过网络共享协议（如:

NFS、CIFS）使用同一个文件管理系统。

SAN存储采用的带宽从100MB/s、200MB/s，发展到目的1Gbps、2Gbps。

2.5.2访问流量

网络接入存储（Network-AttachedStorage，简称NAS）采用网络（TCP/IP、ATM、FDDI）技术，通过网络交换机连接存储系统和服务器主机，建立专用于数据存储的存储私网。

由于网络接入存储采用TCP/IP网络进行数据交换，TCP/IP是IT业界的标准协议，不同厂商的产品（服务器、交换机、NAS存储）只要满足协议标准就能够实现互连互通，无兼容性的要求；并且万兆以太网（10000Mbps）的出现和投入商用，存储网络带宽将大大提高NAS存储的性能。

NAS需求旺盛已经成为事实。

首先NAS几乎继承了磁盘列阵的所有优点，可以将设备通过标准的网络拓扑结构连接，摆脱了服务器和异构化构架的桎梏。

其次，在企业数据量飞速膨胀中，SAN、大型磁带库、磁盘柜等产品虽然都是很好的存储解决方案，但他们那高贵的身份和复杂的操作是资金和技术实力有限的中小企业无论如何也不能接受的。

NAS正是满足这种需求的产品，在解决足够的存储和扩展空间的同时，还提供极高的性价比。

2.6系统及数据安全分析

计算机网络经常会受到黑客或者病毒的攻击，这对网络系统和数据安全造成了严重的威胁。

针对黑客威胁，网络安全管理员采取各种手段增强服务器的安全，确保网络服务的正常运行。

象在Internet上的Email、ftp等服务器一样，可以用如下的方法来对系统数据进行保护：

1．安全配置

关闭不必要的服务，，安装操作系统的最新补丁，将网络服务升级到最新版本并安装所有补丁，对根据网络服务提供者的安全建议进行配置等，这些措施将极大提供网络系统本身的安全。

2．防火墙

安装必要的防火墙，阻止各种扫描工具的试探和信息收集，甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接，给网络服务器增加一个防护层，同时需要对防火墙内的网络环境进行调整，消除内部网络的安全隐患。

3．漏洞扫描

使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描，来发现潜在的安全问题，并确保由于升级或修改配置等正常的维护工作不会带来安全问题。

4．入侵检测系统

利用入侵检测系统（IDS）的实时监控能力，发现正在进行的攻击行为及攻击前的试探行为，记录黑客的来源及攻击步骤和方法。

这些安全措施都将极大提高网络服务器的安全，减少被攻击的可能性。

2.7QoS

QoS是网络与用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定。

现阶段Internet的状况是比较复杂的，带宽参差不齐、时延大、不稳定。

如何在IP网络上保证用户信息传输的质量就成为一个不容忽视的重要问题，为解决这一问题，网络服务质量（QoS，QualityofService）便应运而生。

随着各种需要大量带宽的新型网络业务的出现，校园网内的业务流量不断增加，对带宽、延迟、抖动等指标提出了更高的要求。

各学校开始考虑在自己的网络中部署QoS，以保证语音、视频等业务的正常运行。

　　策略是指流量分类、定义的执行，它们确定每个业务的优先级、分配的带宽等一些与QoS有关的内容。

策略服务器是管理员在全网中集中统一定义策略的地方，通过指定的各种策略对园区网中的QoS服务进行控制和管理。

网络设备从策略服务器下载并执行这些定义好的策略，所有支持QoS的设备都遵循策略中定义的规则来转发数据，从而有效地对全网资源进行统一分配与管理。

同时，策略服务器能够根据网络的现状与预先定义的策略调整，自动与网络适应，网络设备会根据策略自动完成相关配置，向不同的业务提供不同的QoS。

部署实现

在校园网中实现基于策略服务器的QoS部署时，主要包括以下三个步骤：

（1）在策略服务器上定义策略；

（2）配置网络设备接收策略；（3）在策略服务器上分发策略。

策略服务器使用了NortelOPS（OptivityPoliceService），同时使用NorteliPlanet目录服务器存储策略信息。

另外，在OPS中定义了网络边缘设备和网络核心设备两类设备。

网络核心设备只是简单地执行已定义的策略，保证全网的策略连续性。

2.8网间隔离

网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。

网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。

网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。

由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。

　　因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。

根据学校网络的结构特点及面临的安全隐患，通常通过防火墙、入侵检测、网络杀毒软件，实现网络病毒防范的安全需求，为学校构建统一、安全的网络。

防火墙的布置，在Internet与学校网络内之间布署了一台防火墙，其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接学校网络内网交换机，外网口通过路由器与Internet连接。

第3章拓扑图及方案整体描述

3.1主干网传输方案设计

校园主干传输网的设计是校园网络中心设计的核心，主要有两个方面组成，包括主干传输网的方案选择和主干传输网网络拓扑图，在本设计中，我们选择千兆以太网作为主要的校园主干传输网。

1．主干传输网设计方案

千兆以太网是近几年发展起来的技术，和快速以太网相比，提供更高更快的传输速度，还有更好的第三层交换能力，能管理更高的带宽，更高的流量。

其技术较ATM简单，而且价格合理。

考虑到学校校园网的实际情况，我们推荐使用联想新近推出的LS-5608G智能型8口机箱式千兆以太网交换机作为校园网的中心交换机。

它可适用于中小型主干网络和高速率、高端口密度、多端口类型的复杂网络。

2．主干传输网网络拓扑图

在本设计中我们选择MS-51031口千兆位以太网模块（SX/MM/850nm，0-350m）或MS-51041口千兆位以太网模块（LX/SM/1310nm,0-6km）与下面的各个子网通过千兆位的链路相连。

3.2Internet接入方案

对于校园网，可以采用路由器实现接入Internet。

在局域网上通过代理服务器软件或者路由器，都可以解决多用户共享访问Internet问题，实质上是一个介于用户群体和Internet之间的桥梁，用以实现其网络用户对Internet的访问。

在使用路由器接入Internet时，dh|I3-EclJd对于缺少合法IP地址情况下，可以使用（NAT）地址转换技术实现内部网络对外部网络的访问。

路由器在收到内部网络中的计算机访问外部网络的IP数据包时，将这些非法的IP地址转换成合法的IP地址，作为IP数据包的源地址访问外部网络，当回来的数据包经过路由器时，在把该数据包的目标地址转换为相应的局域网内的主机IP地址，并把该数据包传送到相应主机，SB网~TDe_4jzv软s从而达到访问Internet的目的。

这些功能其实是NAT（网络地址转换）的一部分。

除了NAT之外，路由器接入Internet还采用了防火墙技术，主要是基于源和目标IP地址以及端口过滤的防火墙技术。

通过防火墙技术，可以在一定程度上使内部局域网免受外面的攻击，起到一定的安全作用。

目前国内常见的有以下的几种接入方式可选择：

1、TN公共电话网:

这是最容易实施的方法，费用低廉。

只要一条可以连接ISP的电话线和一个账号就可以。

但缺点是传输速度低，线路可靠性差。

如果用户多，可以多条电话线共同工作，提高访问速度。

2、DN:

目前在国内迅速普及，价格大幅度下降，有的地方甚至是免初装费用。

两个信道128kbit/s的速率，快速的连接以及比较可靠的线路，可以满足校园网浏览以及收发电子邮件的需求。

而且还可以通过ISDN和Internet组建VPN。

这种方法的性能价格比很高，在国内大多数的城市都有ISDN接入服务。

3、ADSL:

非对称数字用户环路，可以在普通的电话铜缆上提供1．5～8Mbit/s的下行和10～64kbit/s的上行传输，可进行视频会议和影视节目传输。

可是有一个致命的弱点：

用户距离电信的交换机房的线路距离不能超过4～6km，限制了它的应用范围。

武山二种内部网络拓扑结构图如图3.1所示。

图3.1白银一中内部网络拓扑结构图

3.3远程访问支持

局域网建立远程访问网络有两种方案:

第一种是使用软件型的远程访问服务器（例如WindowsNTServer的RAS）来构造远程访问网络，此方案的优点是价格便宜,缺点是性能较低,可靠性也较差;第二种是使用硬件型的远程访问服务器（例如3Com公司的SuperStackIIRAS1500、Cisco2501、BayRAS4000等）来建立远程访问网络，此方案可靠性较高,运行稳定,虽比第一种方案造价较高，但对于需要高质量连接的网络用户，仍不失为一种好方法。

经过以上两种方案的分与比较，再根据我们校园网络的要求，最后还是选择了第一种方案－－软件型的远程访问服务器WindowsNTServer的RAS。

这样可以节省资金来更好建设校园网的其他更重要部分。

3.4子网划分与VLAN设定

由于校园网总的主机数不超过1000台，所以申请4个C类IP地址即可，具体地址分配如下：

需要申请4个C类地址，子网号分别是：

192.168.11.0

192.168.12.0

192.168.13.0

192.168.14.0

192.168.15.0

实验楼（100台），分配一个C类子网，子网号定为192.168.11.0。

教工宿舍楼（250台），分配一个C类子网，子网号定为192.168.12.0。

男生宿舍楼（250台），分配一个C类子网，子网号定为192.168.13.0。

女生宿舍楼（250台），分配一个C类子网，子网号定为192.168.14.0。

教学楼和办公楼一共有120台，因此两栋楼共用一个IP网段，然后对其进行虚拟子网划分。

由于图书馆和教学楼的主机都不超过126台，因此教学楼和办公楼的子网掩码为：

255.255.255.128。

教学楼IP地址范围定为192.168.15.0-192.168.15.127；办公楼的IP地址范围定为192.168.15.128-192.168.15.254。

根据以上对校园网中子网划分和虚拟子网设定的分析后，具体的IP地址分配表设计如下：

表3.2IP地址分配表

地点

子网号

子网掩码

实验楼

192.168.11.0

255.255.255.0

教工宿舍楼

192.168.12.0

255.255.255.0

男生宿舍楼

192.168.13.0

255.255.255.0

女生宿舍楼

192.168.14.0

255.255.255.0

教学楼（VLAN）

192.168.15.0

255.255.255.128

办公楼（VLAN）

192.168.15.128

255.255.255.128

3.5网间隔离方案设计

此次设计采用双网隔离方案。

这种方案适合大、中型机构的局域网布局。

在这样的机构中，必须分杵独立的内部安全网和外部公共网，内外网之间完全隔离。

公共网通过网关和路由器连接INTERNET（视需要也要考虑安装防火墙、入侵检测及防病毒等安全防护措施），而部分计算机则需要连接两个网络工作，这些连接了内外双网的工作站计算机需要安装网络安全隔离卡。

还有一些机构的网络由于内部功能的划分，本身就有几个分离的网络，采用我们的物理隔离方案将更好的把这些网络整和在一起，变为一个全范围公共网加上几个内部安全子网的多网互通的有效网络格局。

1.防火墙的部署

在Internet与校园网内网之间部署了一台瑞星防火墙，其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。

这样，通过Internet进来的外网用户只能访问到对外公开的一些服务（如WWW、E-mail、FTP、DNS等），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审计。

2.入侵检测系统的部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，根据校园网络的特点，我们采用瑞星入侵检测系统RIDS-100。

将RIDS-100入侵检测引擎接入Cisco中心交换机上，对来自外部网和校园网内部的各种行为进行实时检测。

3.瑞星网络版杀毒产品的部署

为了实现在整个局域网内病毒的防护，我们在可能感染和传播病毒的地方采取相应的防病毒手段。

实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。

3.6存储方案

目前局域网的存储方案主要有：

双机（热）备份、RAID、磁盘阵列、存储局域网（SAN）。

广西浦中校园网采用浪潮光纤存储阵列NS8800D，双机热备份方案，作为该校网络存储SAN结构里的一个核心部分，在整个校园网的存储方面起到了决定性的作用。

NS8800D是双控制器光纤磁盘阵列，内部采用无线缆连接设计，无单点故障，具有较高的可用性。

通过交换机可以实现前端服务器对存储设备的共享，完全实现了存储集中和灵活应用，节省了存储空间。

整个存储系统基于2Gb的带宽设计，在性能上完全可以满足当前系统的存储需求。

NS8800具有多主机接入能力，可以支持4台服务器的多主机共享，并且扩容能力突出，最多可扩展7个JBOD从而达到16TB的存储容量。

保证了系统的可扩展性，为今后数据的增长提供了稳定可靠的平台。

通过该系统，图书馆的资源、信息可以方便的被不同的网络教学教室调用，满足电子化教学的需求；同时网络用户还可以通过服务器到英特网上寻求更多的图书信息、学习资料等。

3.7设备选型

1．网络操作系统。

本校园网的网络操作系统以微软的WIN7为主，它是发展速度最快的集成了Web应用的最新的网络操作系统。

具有界面友好、系统强壮、稳定可靠、与桌面主流操作系统相容性好等优点。

并拥有大量的服务器端软件，是Intranet网络中最佳的网络操作系统平台。

2.路由器选型。

本校园网采用CISCO2811路由器出口路由器接入Internet，由于采用了基于高性能的RISC技术，CISCO2811路由器成为高吞吐量、快速响应应用的选择。

CISCO2811支持两个内置10/100Mbps快速以太网端口之间的高速路由，可以处理数据最为密集的高端应用。

基于硬件的STAC/HiFn压缩和DES加密最大程度地提高了数据吞吐量，同时不会影响路由性能。

CISCO2811支持多达6个端口的接口卡（PIC），可以进行灵活的配置。

根据校园网应用需要的变化，可以简便快速地对LAN和WAN端口进行现场升级。

连接选件包括E1/T1、帧中继、ISDNPRI/BRI、速率达2Mbps的专用线路、X.25、多以太网和异步串行口（外接调制解调器拨号上网）。

3．主干交换机。

主干交换机是指连接服务器及楼与楼之间、层与层之间的数据交换设备。

本校园网工程将分为三期，根据工程三个阶段中网络点成批增加其间伴随着的使用需求增长，对主干交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。

第一期要求连接就达600个网络站点，应用对主干服务器的访问及其数据流量对主干带宽要求很高，通过以上分析，思科CISCOWS-C3750-48TS-E交换机实现和WEB服务器千兆带宽的主干连接。

在第二期中，将面临着对主干带宽的更高要求，将使用2台千兆交换机通过4GB高速通道来实现千兆交换机冗余连接，使网络主干带宽比第一期增长一倍。

4．接入交换机。

采用交换机而不使用共享式集线器到桌面是由于学校实际使用情况是主要表现在集中突发性，即学生同时使用同一软件的情况比较多，如果使用共享到桌面，网络就会产生拥阻而影响速度，因此在校园网中应使用百兆交换到桌面。

在十兆与百兆交换机中应选择百兆交换，因为10兆虽然在目前校园网络使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求，将成为它们之间最大的瓶颈。

因此采用思科CISCOWS-C2960G-24TC-L作为校园网工作组级接入交换机，直接连接学生站点。

5.服务器网卡。

在一期工程中，建议学校在Internet应用教学中，采用定期下载，内部浏览的原则，因此WEB服务器是学校内部Intranet浏览和连接Internet服务器，学生站点对其访问在相应教学时段对的数据流量相对来说比较大。

要求园区级服务器能够提供足够的连接带宽。

IntelExpressPRO/100服务器网卡是唯一一种支持标准10BASE-T、100BASE-TX和100BASE-FX以太网的千兆服务器专用网卡。

这是一种智能的网卡，它能够利用其内置的Inteli960RP处理器最大限度地优化服务器资源。

考虑到Internet和其他网络的连接（如CHINANET等），目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各种广域连接中发现。

目前，越来越多的学校还开展了网络教学和建立自己的WEB。

因此，能否有效地连接Internet是校园网建立的一个重要的目标。

在此方案中，考虑Internet出口路由器的配置——一台CISCO2811CISCO2811路由器。

它是学校的校园网对外的出口，也可以作为保护校园网的第一道防火墙。

因为使用CISCO2811在Internet上配置安全的VPN隧道极为简单，CISCO2811对通道传输提供强大的加密功能，确保您的私人通讯数据通过公用网域时的安全。

但根据客