A大学校园网设计方案.doc

A大学校园网设计方案第一章.学校需求分析21.1项目目标21.2用户需求31.3方案实现5第二章 网络总体设计72.1设计原则72.2设计思想82.3设计目标8第三章 网络安全与管理93.1 .网络安全概述93.2管理的安全风险分析103.3设计特点103.4工程概况113.5校园网布局结构153.6工程施工16第五章.系统验收19第一章.学校需求分析1.1项目目标 A大学校园网的建设目标是、采用10GB光线交换实现三小区告诉互联、光缆连接全校的主要楼宇、全面采用1000Mbps。交换技术、将学校的各种PC机 、服务器终端设备通过楼宇接入层的交换机和局域网连接起来、并与Interne r/CERNET互联、构建一个以计算机多媒体辅助教学、电子化图书馆、教学管理办公自动化平台的校园网、并逐步形成数字化校园网络。系统的设计要保证技术先进和运行安全可靠、同时具有良好的开放性和可扩展性、A大学的校园网示意如下图1.2用户需求项目功能（1）办公自动化基本web综合管理信息的信息系统、提示行政、人事、学籍、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等、使学校日常办公无纸化、加你少办公开支提高办公效率（2）网络多媒体教学将计算机多媒体视听引入课堂教学、声音、图像、动画的普遍采用可以大大提高教学效果（3）学生自主学习针对不同的学生、提供不同的教学内容、采取不同的教学手段、主要采用基于VOD、Web及ftp、光盘软件、Internet 资源、学生可以根据需要自由选择内容（4）电子读书馆基于web的图书音像自来哦供学生随时读、并于Ineternet连接、使图书馆得到进一步拓展、使学生能够得到近乎无限的网上资源（5）电子邮件电子邮件是Interenet上的最重要的应用、将为每一位教师和学生开设一个电子邮件账号、利用电子邮件、学生可以和同学、同学及家长交流、也可以和国内外各地学校的学生进行交流（6）远程教育实现校内互联、师生在线、交互式学习、辅导、测验等功能（7）校园一卡通工程利用IC卡易于管理的特性、结合校园网网络、轻松实现机房上机管理、食堂餐饮管理项目指导方针现代教育过程的四要素为教师、学生、教学内容及教育技术、以计算机、网络、多媒体集成的现代教育技术、对教育过程的支持、随着教育信息化的发展、显得越来越重要。因此、项目建设的指导方针为以下几个方面：1、以应用为主、为校领导决策、教学管理、教学保障和管理提供服务2、采用成熟先进的技术、实用、够用、又留有发展余地3、统一标准、逐步建设、充分考虑后期工程的规划及网络的扩展性4、充分重视网网络系统的信息的安全5、在限定时间和要求内、降低费用的支出、提高系统的性价格比6、组织各方面的力量、使网络通信系统和网络资源系统同步建设7、加强网络管理员队伍建设和培训、使他们的计算机网络管理水平跟得上校园网的应用和脚步项目技术要求:1采用先进承成熟的网络技术2统一技术规范、标准方案、统一设备选型、统一组织实施3网络系统采用三层架构、采用TCP/IP协议、采用统一的客户端应用软件4网络系统采用全交换网络、主干10gbps，1000mbps自适应到房间或桌面5网络系统按部门、业务规划、vlan网络多层交换采用802.1q协议6网络综合布线采用EIA/TIA568B、EIA/TIA569 TSB36、TSB40等施工标准7网络系统必须满足标准化的要求、以实现开放性、可扩展性8重要的数据文档要有备份、保证系统全天24小时工作运转9重视数据的安全和保密、建立完善的网络安全管理系统项目建设原则1 良好的开发性和可扩展性校园网应具有开发性、这种开放性依靠标准化实现、使符合计算机系统很容易进行网络互联、因此在网络建设中。、网络体系结构和通信协议应选择广泛使用的国际标准是得校园网为一个安全开放式的网络环境、在校园网络平台建设中、尽量采用成熟、先进的网络技术、统一的网络标准和主流的网络设备、使得网络结构更易于扩展、升级和维护2校园网软件平台的针对性 要求校园网软件平台建设应教学为核心、建立起一个在技术撒谎国内具有先进性、在教学过程的歌各阶段应用撒谎国内具有灵活性、多样性和针对性的数字化校园网3高度安全性和可兼容性对于网络系统、应确保系统运行可靠、对关键部位提供容错能力、同时建立完善的安全管理体系4经济实用性 投标分段能更好地与专项供应商合作、发挥专项技术的优势、节约投资成本、投标可分为四标。分别是：第一标：综合布线系统 第一标：服务器 存储设备与网络设备、第三标：校园网即图书馆软件、第四标：微机与办公设备 3.需求的总目标： (1)先进性：-由于网络技术的日新月异，更高的带宽和更先进的应用层出不穷，本校园网将在未来几年的运行中能达到应用需求的先进性，能在较长时期内达到业界的先进水平，保护用户的投资。现阶段则是能实现数据，语音，多媒体通信，OA，MAIL，WEB服务。(2)可靠性：将要建设的校园网将是高可靠性，达到24小时不间断，无故障，稳定运行。网络的局部问题不能影响大网络的运行。 (3)可扩展性：骨干节点设备的性能具有向上扩展的能力，以备将来更高带宽和应用的需要。 (4)可管理性：整个校园网将采用集中式管理，能够监控网络的运行，并能找出网络节点的故障所在，迅速恢复用户的应用。 (5)安全性：由于整个大学的管理事务都将放在校园网上，不同部门的重要数据将要求绝对安全，可访问与不可访问将严格限制。校园网和互联网之间的数据流也将严格限制。1.3方案实现 要实现上述总目标，方案将采用星形全交换千兆以态园区网的千兆主干，百兆交换到桌面的大型校园网解决方案。1.方案特点： （1）高性能全交换，千兆骨干（多模光纤）、百兆交换到桌面（UTP双绞线）；（2）虚拟局域网（VLAN）策略，提高局域网络内部安全与性能； （3）多业务，多媒体教学、办公管理、远程通信一网实现； （4）IP/TV多媒体应用系统，广播需求，实现多媒体教学、及宽带视频节目点播（5）管理简单，基于浏览器和网络管理工具的图形化配置；（6）系统安全，集成路由器防火墙，提供互联网接入的安全保障； （7）高速缓存，提高广域网速度，降低网络费用； （8）经济实用，高性价比产品配置，支持系统平滑升级。2.网络互联设备：（1） Cisco 3640路由器 Cisco 3640服务器配有四个模块插槽, 假定购置了NM-4A/SF模块（四个同/异步串口），NM-2E2W模块（两口局域网口，两口广域网卡槽），NM-16AM模块（16口模拟MODEM网络模块），集成防火墙功能，位于网络中心），可作为远程访问路由器，3640共有四个接口插槽，可选配更多的拨号端口或将插槽空余留作以后网络扩充用；3640的局域网接口也为模块形式，用户可根据远程访问的数据量大小选择10M或10/100M端口；3640还具有较高的数据处理能力，使广域网的容量能随局域网的改进作相应提高。（2） Catalyst 4500交换机（48口）一台 （中心交换机，可兼容下一代（next generation）网络平台，位于网络中心），可作为网络中心交换机，它的以太网端口全为千兆。用Catalyst3524(24口)/3548(48口)作为工作组交换机连接到桌面， 3524/3548的千兆上联口连接到中心交换机的千兆口而形成了一个强有力的网络主干；3524/3548的10/100M端口为所有教学和办公用PC提供连接，这些端口自适应的特性使PC网卡不论是旧有的10M还是新配备的100M都能应用自如，便于网络的逐步升级。千兆主干、100M到桌面的连接方式能将多媒体教学的优越性发挥得淋漓尽致，即使有更多用户方便加入到视频点播服务，网络带宽在较长时间内不会成为瓶颈。（3） Catalyst 3524/3548交换机 多台 （工作组交换机，要接入校园网的各个学院建筑物,行政楼，学生公寓楼，住宅楼每栋一台，位于主配线间）（4） Catalyst 2924M-XL交换机 多台 （用于建筑物每一工作区楼层或每住宅单元,可通过堆叠以获得更多端口数目，位于中间配线间）（5） Cisco 2610路由器 多台 用于网络中心连接Internet,可以作为网关来用。（6） Cache Engine高速缓存 一台 CacheEngine又称高速缓存，是思科公司用于改善Internet访问性能的一项产品，它实际上是一个大容量存储设备，专门用来存储用户曾经访问过的Web页面，这样当其他用户要访问同一页面时，就不需要再到WWW服务器上去寻找，而直接从高速缓存中调用；这样即节省了链路带宽，也减轻了WWW服务器的负担，同时大大提高访问效率，对线路带宽宝贵的远程Web访问尤为适合。（7） IP/TV视频软件 一套第二章 网络总体设计2.1设计原则1、 实用性原则。计算机设备、服务器设备和网络设备在技术性能逐步提升的的同时，其价格却在逐年下降。因此，不可能也没有必要实现所谓的“一步到位”。所以，网络方案设计中应把握“够用”和“实用”原则。网络系统应采用成熟可靠的技术和设备，达到实用、经济和有效的目的2、 开放性原则。网络系统应采用开放的标准和技术，如TCP/IP协议、 IEEE802系列标准等。其目标首先是要有利于未来网络系统扩充，其次还要有利于在需要时与外部网络互通。3、 高可用性/可靠性原则。对于像证券、金融、铁路和民航等行业的网络系统应确保很高的平均无故障时间和尽可能降低平均故障率。4、 安全性原则。对于企业网、政府行政办公网、国防军事部门内部网、电子商务网站以及VPN等网络方案设计中应重点体现安全性原则，确保网络系统和数据的安全运行。5、 先进性原则。建设一个现代化的网络系统，应尽可能采用先进而成熟的技术，应在一段时间内保证其主流地位。网络系统应采用当前较先进的技术和设备，符合网络未来发展的潮流。比如，目前较主流的千兆以太网和全交换以太网。但是太新的技术也有其不足之处：一是不成熟；二是标准还不完备、不统一；三是价格高；四是技术支持力量不够。6、 易用性原则。整个网络系统必须易于管理、安装和使用，网络系统必须具有良好的可管理性，并且在满足现有网络应用的同时，为以后的应用升级奠定基础。网络系统还应具有很高的资源利用率。7、 可扩展性原则。网络总体设计不仅要考虑到近期目标，也要为网络的进一步发展留有可扩展的余地。因此，需要同意的规划和设计。网络系统应在规模和性能两方面具有良好的可扩展性。2.2设计思想（1） 总体规划。分步实施，基础设施建设一步到位（2） 特别注重应用系统的建设（3） 把当前先进性、未来可拓展性和经济可行性结合起来（4） 特别注重人员的培训2.3设计目标（1）符合当前和长远的信息传输要求（2）布线系统的设计遵从ISO标准（3）布线系统采用国际建议的星型拓扑结构（4）考虑网络网速度向100Mbps发展的需求（5）布线系统的信息出口采用国际标准的RJ-45插座（6）布线系统符合综合业务的数据网的要求（7）布线系统要立足开发的原则第三章 网络安全与管理3.1 .网络安全概述 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互连网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 因此计算机安全问题，应该象每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失3.2管理的安全风险分析 管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。 建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安全建设是校园网建设过程中重要的一环网络安全措施-物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。 -访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。 -数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。3.3设计特点根据校园网络项目，我们应该充分考虑学校的实际情况，注重设备选型的性能价格比，采用成熟可靠的技术，为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划，在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展，最大程度地保护学校的投资。学校借助校园网的建设，可充分利用丰富的网上应用系统及教学资源，发挥网络资源共享、信息快捷、无地理限制等优势，真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下： 1.技术先进：(1)采用千兆以太网技术，具有高带宽1000Mbps 速率的主干，100Mbps 到桌面，运行目前的各种应用系统绰绰有余，还可轻松应付将来一段时间内的应用要求，且易于升级和扩展，最大限度的保护用户投资；(2)网络设备选型为国际知名产品，性能稳定可靠、技术先进、产品系列全及完善的服务保证；(3)采用支持网络管理的交换设备，足不出户即可管理配置整个网络。2.网络连接：(1)提供国际互联网ISDN 专线接入（或DDN），实现与各公共网的连接；(2)可扩容的远程拨号接入/拨出，共享资源、发布信息等。应用系统及教学资源丰富；(3)有综合网络办公系统及各个应用管理系统，实现办公自动化，管理信息化； (4)有以WEB数据库为中心的综合信息平台，可进行消息发布，招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。 3.4工程概况某大学新建的校园网包括教学楼、办公楼、图书馆、学生宿舍，学校食堂在内的很多信息点，主要解决整个学校的教师及学生的信息化管理和对教育网的访问，建成后的校园网将为一万多师生提供信息服务。校园网的建设包括4个区域的建设，分别是教学楼区，主楼区，计算机网络中心区和学生社区。其中计算机网络中心区位于图书馆中，网络拓扑如下：(1).教学楼区：学院教学楼区有A楼、B楼、C楼、还有主楼网络教学区。A楼主要是用于教学的楼宇，多用于多媒体教室教学，在走廊内可采用托盘式桥架进行布线，B楼属于综合教学楼，需要用到无线局域网，所以在布线时要考虑不同的网络终端。C楼与A楼市同一种情况，可做适当改变。主楼属于一座大型综合楼，集办公、实训、教学、管理于一体，另外也是信息工程系的驻地，相对于其他楼宇而言，网络布线的难度和复杂度都大大增加，所以把它单独的归于一个网络区域进行设计。(2).主楼区：上一段已经说明了主楼的在整个校园网络布线方面的重要性，所以把它单独的作为一个核心区域进行布线，它的主干线路必须是光纤来布线，在整个楼宇中要用到核心交换机或者路由器来接入到计算机网络中心，也就是所谓的建筑群间子系统采用光纤来连接，对于楼宇内部来说，就要设计它的分层子系统，它的大体子系统拓扑图如下：(a)工作区子系统本工程的工作区按照信息点进行划分，一个信息点为一个标准工作区，信息端口底盒安装在每个单元门口的天花板上并预留0.4m，在采用明敷PVC线槽的水平布放线缆时，线缆只布放到每个住户的单元处，加设底盒，只在前端做测试模块，便于线路测试。(b)水平子系统数据信息点的水平数据线缆采用Vcom室内超5类双绞线系列。水平线缆从IDF机柜引出后，通过水平线槽及连接到用户门口的指定位置。(c)管理子系统根据各个配线间管理的信息点数和网络的需求，选择不同的配线架。分配线间的数量决定了整个布线系统的成本。从设计上看要考虑到距离、管道等因素，按照“在不影响性能的基础上，最大限度的节省成本”的出发点设计。(d)垂直干线子系统 在主机房和配线间采用Vcom室内6芯、12芯多模光缆及室内超5类双绞线连接至各分配线间。其中从楼宇9层中心机房引一条6芯多模光缆至楼宇的各个配线间。(e)设备间子系统 主机房可采用Vcom标准19in42U规格落地式机柜，配标准电源插座。 分配线间可采用Vcom标准19in12U或定做机柜，并配有电源插座。(3).计算机网络中心区：学院的计算机网络中心位于图书馆内，是整个学院的网络管理中心和网络入口和出口点，是各种服务器的安置点，担负着学院网络能够稳定运行的重要角色。处于图书馆内的网络中心拓扑图如下：(4).学生社区：学生社区主要分住宿区和食堂，在这个区域内学院网络准备提供无线局域网服务接入点，使用无线局域网进行覆盖，允许师生在休闲时使用无线网络进行上网，为此，学院准备搭建一个无线网络平台，其拓扑图如下：搭建好无线局域网平台后，在学生社区里面再建几个无线访问点就可以提供校园无线局域网服务了。 3.5校园网布局结构校园比较大，建筑楼群多、布局比较分散。因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重，又要兼顾未来的发展需求。主干网以网络中心为中心，设几个主干交换节点，包括网络中心、主楼、图书馆、教学楼、宿舍楼。中心交换机和主干交换机采用千兆光纤交换机。网络中心至图书馆、校园网的主干即网络中心控制室与教学楼、主楼、图书馆、宿舍楼之间全部采用8芯室外光缆；楼内选用进口6芯室内光缆和5类线。1.根据学校的实际应用，配服务器7台，用途如下：（1）主服务器2台：一台装有Solaris操作系统的SUN服务器，负责整个校园网的管理，教育资源管理等。并装有DNS服务，负责整个校园网中各个域名的解析。另一台装有UNIX操作系统的服务器装有电子邮件系统，负责整个校园网中各个用户的邮件管理。（2）WWW服务器1台：装有Linux操作系统，负责远程服务管理及WEB站点的管理。WEB服务器采用现在比较流行的APACHE服务器，用PHP语言进行开发，连接MYSQL数据库，形成了完整的动态网站。（3）电子阅览服务器1台：多媒体资料的阅览、查询及文件管理等； （4）教师备课服务器1台：教师备课、课件制作、资料查询等文件管理以及 Proxy服务等。（5）光盘服务器1台：负责多媒体光盘及视频点播服务。（6）图书管理服务器1台：负责图书资料管理。在充分考虑学校未来的应用，整个校园的信息节点设计为3000个左右。交换机总数约 50台左右，其中主干交换机5台，配有千兆光纤接口。原有计算机机房通过各自的交换机接入最近的主交换节点，并配成多媒体教学网。INTERNET接入采用路由器接ISDN方案，也可选用DDN专线。可保证多用户群的数据浏览和下载。 2.网络总体拓扑结构：3.6工程施工1.系统施工（1）概述本系统施工包括管线及桥架的安装、线缆的布放及面板、模块信息插座、主配线柜、配线架的安装和线缆的打线、光纤的熔接、跳线、线路测试等，最后进行系统调试。 （2）管道预埋 管道可以明敷或预埋，管道的大小要求：线缆占用40%的管道截面积，一般单信息点可以采用1根16PVC(金属)管，双信息点可以采用1根20PVC（金属）管，当线路过长、拐弯过多（2个）、线缆过多时，可以增大管径，在线路中间加金属过路盒或金属箱，要注意管道的拐弯半径必须满足线缆最小半径要求。金属管道和金属盒、箱要尽量和强电系统保持足够距离，并且保护接地。 （3）桥架安装 由于桥架用于本工程弱电系统的线缆敷设，所以其大小要求考虑所有弱电系统线缆的使用，桥架安装高度要求离天花板80cm，要注意桥架的拐弯半径必须满足线缆最小半径要求。金属桥架要尽量和强电系统的管线保持足够距离，并且保护接地。 （4）布线要求 每个系统线缆在桥架和竖井内要求分开布放、绑扎，在布线缆时，避免拉力过大和不匀，线缆头要有标签编号。 （5）信息点安装 所以信息点安装高度离地300mm，模块及水晶头按T568B标准打线。2.系统测试 很多用户在选布线系统时，通常都只着眼于该产品是否符合认可标准，质量及价钱等；虽然以上各点的确是重要的一环，但又可有想过在施工过程中，施工队伍没有足够的知识，作出了不符合标准的施工程序，但用户又不是一个专业布线人员，往往就会出现一种付出与收获不相等而用户本身却不知情的情况。将布线作为一个单独的实体来表征其特性，可以为今后应用设备的设计提供有用的数据。通过现场测试来验证电缆出厂的传输性能，可以使承包商将符合专业技术要求的布线交到设备供应商手中。这将提高建筑物网络方案的整体有效性，使用户更加满意。基于上述理由，测试工作以及测试报告是绝对不能忽视的一环。而EIA/TIA TSB 67亦是针对测试而制定的标准。（1）铜缆测试 对于每一个超五类信息端口都执行基本连接测试(Basic Link Test)，其测试项目包括：-工作区的信息口和连接器-工作区到电讯间的水平线-电讯间的配线架接口在测试过程之中，以下所有参数必需达到EIA/TIA 568A TSB 67所定之标准：-线路连接图(wiremap)正确-水平双绞线长度(length)90m-线路衰减(Attenuation)24dB（2）光缆测试 测试标准:光缆传输性能的测试可参照GB/T 8401执行。（a）光衰减 无论是水平布线子系统，建筑物主干布线子系统还是建筑群主干布线子系统，光缆中的每芯光纤的光衰减不应超过下表的规定值。光