永德一中校园网建设方案.doc

永德县第一完全中学校园网建设方案背景分析网络需求分析网络组网技术选型网络拓扑结构图按网络物理结构分层设计设备选型及设备清单网络PDS系统设计网络存储设计网络安全设计一 背景分析永德县第一完全中学创办于1937年8月，初名镇康县立中学。新中国建立后，称云南省镇康县第一中学，196年永德、镇康分县，改名为云南省永德中学。先后曾阶段性用过永德县第一完全中学、永德县德党中学、云南省永德县完全中学等名称。现名永德县第一完全中学，简称永德一中。1978年学校占地面积仅43亩，教师41人，学生724人，教学班14个，初中6个班，高中8个班。高中规模从1978年的9个班，在校生492人，发展到2005年的28个班，在校生达1483人。1996年2000年，有三名高中毕业生相继考入清华大学，学生杨文广1996年考入清华大学，是临沧市第一个考入清华大学的学生。由于办学质量的逐年提高，邻近县、市学生慕名而来。高考录取由1978年的11人，发展到2005年上本科录取分数线119人，专科录取分数线194人，总上线率达54%，创历史新高。随着信息技术的飞速发展和国家经济快速稳步的发展，国家从1994年正式启动中国教育科研计算机网(CERNET)以来，实践证明全国的学校教学与网络的关系越来越密切。Internet和Intranet代表着全新的信息时代的到来。Intranet使实现学校内部的信息化成为可能。学校工作人员和在校学生面对的信息资源已不仅仅来自于一个部门、一个学校或者是一个行业，而是所有Internet世界上的资源，使得学校教学、科研、管理和决策更为有效。目前学校办公、教职工和学生家庭都已经基本普及信息通讯工具如手机、电脑等，丰富的网络教学信息资源逐步充实着我们的生活方方面面，如何合理有效利用网络资源是当前工作重点。永德县教育局相关领导受到全国家教育信息化建设浪潮的影响，经过长期的调研、探讨和研究发现网络教学信息化是当代教育方式的主题，永德县的本土教育坚决不能脱离信息化道路。由教育局此及时与永德县第一完全中学相关领导沟通和深入调研分析，最终确认永德县第一完全中学开展校园网建设，这是永德县实现满足本土教育网络化和系统化的第一步。 二 网络需求分析永德一中毕竟是一所坐落在西南边陲小镇的完中。网络技术不论是开发还是使用都赶不上城市里的中学。即便如此，也不能放弃建设校园网项目。这是一个信息爆炸的时代，单靠老师在黑板上讲课，学生在课堂上学时远远不够的。再穷不能穷教育，所以根据校园网络项目，我们应该充分考虑学校的实际情况，注重设备选型的性能价格比，采用成熟可靠的技术，为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划，在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展，最大程度地保护学校的投资。学校借助校园网的建设，可充分利用丰富的网上应用系统及教学资源，发挥网络资源共享、信息快捷、无地理限制等优势，真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。校园网总体设计的原则是：一 开放性。采用开放性的网络体系，以方便网络的升级、扩展和互联；同时在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。二 经济实惠性。选用性能价格比高的网络设备和服务器；采用的网络架构和设备充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资，减少平时的维护成本。三 易于管理性。利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能。使日常的维护和操作变得直观，便捷和高效，方便各个年龄段的老师使用。应用软件系统必须强调易用性，用户界友好，带有帮助和查询功能，用户可以通过Web查询。四 安全实用性。校园网要有一定抵御黑客入侵的能力，系统要稳定，不能随时崩溃，内部网络之间、内部网络与外部公共网之间的互联，利用VLAN/ELAN、防火墙等对访问进行控制，确保网络的安全。网络系统的设计在性能价格比方面充分体现系统的实用性，既要采用先进的技术，又能在经费允许的条件下实现建网目标。为应对信息技术飞速发展变化和更新换代，保证学校规模和应用的持续扩大化。在现有的资金计划性，对永德一中校园网的长期使用和发展，特别是日后为实现实施山区教育网上多媒体及远程教育应用的展开，对永德一中校园网主干带宽一次性提出了较高的要求。所以校园主干网决定采用具有第三层交换功能的千兆位以太网（Gigabit Ethernet）以满足目前永德一中校园网应用需求的同时为未来全县建设网络教育系统打下坚实的基础。其次校园网的主干设备应能满足未来5000用户接入访问的要求。然后要支持IP多目广播（Multicast）与服务质量（Qos）或服务类型(CoS)，满足远程教育的需要。最后要支持虚拟网络（VLAN）。网管软件应具备对接入层交换设备进行远程可操作的能力。下面是永德县第一完全中学网络在目前和未来5年内的功能需求概括图。网络中心办公管理系统教学管理系统校园网站MISOA校长查询系统校长办公系统后勤管理系统网络会议系统财务管理系统帮贡审批系统图书管理系统教务管理系统学籍管理系统通知公告系统公文收发系统文档管理系统文件传输系统BBS公告系统电子邮件系统信息查询系统Web发布系统辅助教学系统网络教学系统素材管理系统试题管理系统课件点播系统电子备课系统视频教学系统多媒体课件制作远程教学系统教学管理系统答疑系统作业考证系统课件制作平台课件管理与浏览素材库 资源库 数据库三 网络组网技术选型 根据学校的实际情况和需求分析得出选择千兆以太网技术来构建永德县第一中完全中学校园网络。首先构建以Gigabit Ethernet核心为主干的千兆以太网架构。以太网从100Mbps升级到1Gbps，融合了两种技术，即 IFFF802.3以太网和ANSIX3T11光纤通道。 千兆以太网是在利用了光纤通道的高速物理接口同时，又保留了IEEE 802.3以太网帧格式，具备对已安装介质的向后兼容性，并利用了全、半双工载波侦听（CSMA/CD）传输机制。 传输介质与物理接采用目前千兆以太网的传输介质的两种标准：IEEE 802.3Z和IEEE 802.3AB。 IEEE 802.3Z：1000BASELX(单模或多模)、1000BASTSX（多模）、 1000BASE CX （屏蔽铜缆）；IEEE 802.3AB 1000BASET（非屏蔽两绞线）。Gigabit Ethernet 除了提供高带宽以外，千兆以太网也支持以太网的服务类型和服务质量保证相关协议，如IEEE 802.1P，IEEE 802.1Q，IEEE 802.3X，IEEE 802.3AB和资源预留协议（RSVP）等关键协议。 IEEE 802.1P使得以太网能够及时响应独立端站主机对网络发出的某个 QoS （服务质量）请求，该标准界定了组播（Multicast）分组管理。IEEE 802.1P还包括了最新定义的通用分配注册协议（GARP），它专用于GARP的特定应用，如GARP组播注册协议（GMRP），GARP WAN注册协议（GVRP），GMRP为组播MAC地址分组提供了注册服务。从而保证以太网上的多媒体应用需求。 IEEE 802.1Q已建立起了基于标准的VLANs，该标准以帧标签机制为基础，适合于以太网，快速以太网，令牌环和FDDI，也为交换机和路由器提供一种使V LAM标签化的方法。保证了多厂商的VLAN兼容性，GVRP已由IEEE 802.1 Q支持，它提供了VLAN成员的注册服务。四 网络拓扑结构图永德县第一完全中学网络拓扑结构图五 网络物理结构分层设计 永德一中作为一个教学质量较好却又位于边陲，信息匮乏，互联网技术不发达地区的完中。所以校园网的建设可以算是一个大型长期的工程。从实用性，易维护性，经济实惠性来考虑，网络的物理结构分层将分为三个层次，即核心层，汇聚层和接入层。分层设计的优点有：可扩展性，网络是可模块化增长。简单性，通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易。设计的灵活性，使网络容易升级到新的技术，升级任意层次的网络不会对其他层造成影响，不需要改变整个网络。可管理性，层次结构使单个设备更容易管理。但是分层设计也有缺点。在物理层内隐含单个故障点，某个设备或某个失败的链接会导致网络遭受严重的破坏。克服单个故障点的方法师采用冗余手段，但这会导致网络的复杂性的增加。核心层设计：核心层采用两台带有第三层交换机模块的千兆以太网交换机。核心交换机之间可采用集合链路，当两个交换机之间的一条线路出现故障时，传输的数据会快速自动切换到另外一条线路上进行传输，使网络具备高容量、无阻塞、可靠的传输。核心层位下两层提供优化的数据转移功能，是一个高速的交换骨干，其作用是尽可能快的交换数据包。核心层还包括IP路由配置管理、IP组播、静态VLAN、生成树、设置陷阱和警报等。汇聚层设计：在校园园区内建筑间连接时，主要建筑科放置二级交换机，如教学楼、办公室等建筑。汇聚层交换机和核心层交换机之间均采用全双工模式，保证分支主干的交换。汇聚层连接核心层和接入层，对数据包进行复杂的运算。汇聚层主要的工作是：地址的聚集、部门和工作组的接入、广播域、介质转换盒安全控制等。接入层设计：接入层交换机放置与每幢楼的楼层内可用于直接接入信息点。应采用可堆叠的高性能交换机，以便于扩展，交换机应具备扩展槽。接入层的主要功能是为用户提供对网络访问的途径，如带宽共享、交换带宽、MAC层过滤等。在接入Internet设计时，推荐采用局域网光纤专线接入方式，此方式通过配备路由器设备，租用电信部门的专线，并通过路由器计费代理进行校园网内学生上网的计费。六 设备选型及设备清单根据网路拓扑图及考虑到学校的实际情况，作为整个校园网络系统的硬件基础，网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。而网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品，还应该具有的特点就是技术的先进性。同时，在网络规模进一步扩大，该设备不能承担繁重的负荷时，能够降级使用。由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。所以，我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。管理维护的成本不能过高，且技术要一般的管理人员能够掌握。设备清单：学生用户，楼层局域网接入层交换机：华为S5700-24TP-SI(AC) 【20台】【单价：4400】 产品名称：华为S5700-24TP-SI(AC)产品类型：千兆以太网交换机应用层级：三层传输速率：10/100/1000Mbps交换方式：存储-转发背板带宽：256Gbps包转发率：36MppsMAC地址表：16K网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.3z，IEEE 802.3x，IEEE 802.1Q，IEEE 802.1d，IEEE 802.1X堆叠功能：可堆叠VLAN：支持4K个VLAN支持Guest VLAN、Voice VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN交换功能QOS：支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRR+SP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2（Layer 2）-L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能千兆骨干网交换机：锐捷网络RG-S7804 【1台】【单价：68000】产品类型：路由交换机应用层级：三层背板带宽：1.2TbpsVLAN：4K 802.1q VLAN网络管理：SNMP v1/v2/v3 Telnet Console.包转发率：447Mpps端口结构：模块化交换方式：存储-转发背板带宽：1.2Tbps包转发率：447Mpps端口结构：模块化扩展模块：4个模块插槽网络协议：DHCP Client，DHCP Relay，DHCP Server，DNS Client，UDP relay，ARP Proxy，SyslogVLAN：4K 802.1q VLAN网络管理：SNMP v1/v2/v3TelnetConsoleWEBRMONSSHv1/v2FTP/TFTP文件上下载管理支持NTP时钟支持Syslog安全管理：NFPP（基础安全保护策略）CPP（CPU保护）防DDOS攻击非法数据包检测数据加密防源IP欺骗防IP扫描支持Radius/TACACS1 支持基于标准、扩展、VLAN的IPv4/v6ACL报文过滤支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证支持受限的IP地址的Telnet的登录和口令机制、uRPF支持广播报文抑制、DHCP Snooping交换容量：900Gbps七 网络PDS系统设计网络PDS系统设计的依据包括：IEEE802.3u Ethernet(100BASE-T)，EIA/TIA568 EIA/TIA569EIA/TIA，TSB36/40工业标准及国际商务建筑布线标准，ISO/IEC IS 11801，ISO/IECJTC1/SC25/WG3，ANSI FDDI/TPDDI 100Mbps，ATM Forum。线路安装与设计规范依据工业企业通信设计规范，中国工程建设标准化协会标准“建筑与建筑群综合布线系统工程设计规范” 修订本 CECS 72：97。中国工程建设标准化协会标准“建筑与建筑群综合布线系统工程施工及验收规范”CECS 89：97。市内电话线路工程施工及验收技术规范。下面是布线系统的连接图：布线系统设计遵从国际（ISO/CEI11801）标准。布线系统采用国际标准建议的星形拓扑结构，考虑电脑网络的速度向1GB发展的需要。布线系统的信息出口采用国际标准的RJ45插座。布线系统符合综合业务数据网的要求。布线系统的器材选择：配线架：配线架选用AMP 超五类24口配线架406330-1。优点：质量好，做工精细，稳定性好。网络连接：水晶头统一采用TCL RJ45水晶头。工作区选择原则：全部选用五类MAX系列信息模块，性能全部超过国际标准ISOIS 11801 的指标。水平线缆选择：IBM 六类非屏蔽双绞线。主干线光缆选择：FIBRANET LC-FC多模光纤。布线系统的设计：根据学校的实际情况，办公楼，实验楼，图书馆，教学楼之间使用多模光纤连接。宿舍及教职工住宅区等用优质非屏蔽双绞线连接。楼间连接选用的多模光纤，可以从校园平面图大致估算出实际距离，部分可以利用原有的管道，其余采用架空方式或从新铺设地下管道。设备间应尽量保持室内无尘土、通风良好、室内照明不低于150Lx，载重量不小于100磅每平米。应符合有关消防规范、配置有关消防系统。室内应提供UPS电源配电盘以保证网络设备运行及维护的供电。每个电源插座的容量不小于300W。八 网络存储设计校园网络需要海量存储，如电子期刊数据库、多媒体数据资料、电子图书库、课件素材库、学生信息库、教师信息库等。可选的网络存储设备主要有两种类型，即磁盘阵列和NAS，这里我们采用磁盘阵列这一类型。磁盘阵列简称RAID，有“价格便宜且多余的磁盘阵列”之意。其原理是利用数组方式来作磁盘组，配合数据分散排列的设计，提升数据的安全性。磁盘阵列主要针对硬盘，在容量及速度上，无法跟上CPU及内存的发展，提出改善方法。磁盘阵列是由很多便宜、容量较小、稳定性较高、速度较慢磁盘，组合成一个大型的磁盘组，利用个别磁盘提供数据所产生的加成效果来提升整个磁盘系统的效能。同时，在储存数据时，利用这项技术，将数据切割成许多区段，分别存放在各个硬盘上。磁盘阵列还能利用同位检查的观念，在数组中任一颗硬盘故障时，仍可读出数据，在数据重构时，将故障硬盘内的数据，经计算后重新置入新硬盘中。它的优点是：RAID的采用为存储系统（或者服务器的内置存储）带来巨大利益，其中高传输速率和提供容错功能是最大的优点。RAID通过同时使用多个磁盘，提高了传输速率。RAID通过在多个磁盘上同时存储和读取数据来大幅提高存储系统的数据吞吐量（Throughput）。在RAID中，可以让很多磁盘驱动器同时传输数据，而这些磁盘驱动器在逻辑上又是一个磁盘驱动器，所以使用RAID可以达到单个磁盘驱动器几倍、几十倍甚至上百倍的速率。通过数据校验，RAID可以提供容错功能。这是使用RAID的第二个原因，因为普通磁盘驱动器无法提供容错功能，如果不包括写在磁盘上的CRC（循环冗余校验）码的话。RAID容错是建立在每个磁盘驱动器的硬件容错功能之上的，所以它提供更高的安全性。在很多RAID模式中都有较为完备的相互校验/恢复的措施，甚至是直接相互的镜像备份，从而大大提高了RAID系统的容错度，提高了系统的稳定冗余性。据学校的实际情况，我们决定采用EMC VNXE3300【单价 200000】磁盘列阵来做校园网的网络储存。EMC VNXE3300详细参数：最大存储容量：240TB平均传输率：6GB/s硬盘转速：15000rpm系统支持：Windows 7 和 Vista Windows Se.RAID支持：RAID 5，6，10单机磁盘数量：6-120个内置硬盘接口：SAS/NL-SAS处理器：1Xeon 四核/12 GB风扇：最大8.46105焦耳/小时（800Btu.其它参数：支持的驱动器类型：3.5英寸SAS，.产品电源：每个电源10A保险，双相长度：355.6mmEMC VNXE3300详细参数主要性能最大存储容量：240TB平均传输率：6GB/s硬盘转速：15000rpm系统支持：Windows 7 和 VistaWindows Server 2008 R2+Windows Server 2008Windows Server 2003Hyper-VVMware ESXRedHat Enterprise LinuxNovell Suse Enterprise LinuxSolaris 10 x86RAID支持：RAID 5，6，10单机磁盘数量：6-120个内置硬盘接口：SAS/NL-SAS处理器：1Xeon 四核/12 GB风扇：最大8.46105焦耳/小时（800Btu/小时）其它参数：支持的驱动器类型：3.5英寸SAS，NL-SAS和闪存驱动器驱动器数量：15管理端口：双端口千兆以太网支持的LUN数：最多512个LUN大小上限：2TB重量：32.66kg一般性能产品电源：每个电源10A保险，双相长度：355.6mm宽度：445mm高度：133.4mm工作温度：10-40工作湿度：20%-80%磁盘阵列有两种类型，即SCSI磁盘阵列和SATA磁盘阵列，存储总容量均可达到几TB至几十TB。相比较而言，SCSI磁盘阵列更能适应多用户并发访问，而SATA磁盘阵列拥有更便宜的价格。因此，视频点播服务、数据查询服务之类的网络应用，应当选择SCSI磁盘阵列；而数据备份或数据存储，则应当选择SATA磁盘阵列。九 网络安全设计校园网络结构：校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNT的接入以及远程移动办公用户的接入等。教学局域网是教师人员利用计算机开展教学和学生通过计算机来学习的网络平台：图书馆局域网实现了图书馆的网络化管理以及图书的网上检索或浏览：办公自动化局域网是教职工自动化办公的平台上展开公文管理、会议管理等的应用，形成院校的综合管理信息系统。 校园外网的服务器群构成了校园网的服务系统，一般括DNS，WEB ，FTP，PROXY 以及MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入，使院校教职工和学生能使用电子邮件和浏览器等应用方式，在教学、科研和管理工作中利用网络进行交流和共享。校园网面临的安全威胁：校园网内的用户数量较大，局域网络数目较多，认真总结分析、查询资料得出校园网面临如下威胁：各种操作系统以及应用系统自身的漏洞带来的安全威胁。Internet网络用户对校园网存在非法访问或恶意入侵威胁。内部用户对Internet的非法访问威胁，如浏览黄色网页等不安全的网页，还有就是下载来自网络上的信息带来的的病毒、木马、蠕虫等恶意程序代码。外部用户可能通过邮件以及文件传输等将病毒带入校园网。内部教职工以及学生可能使用盗版介质或存储介质（如：U盘）将病毒带入校园网。校园网内管理人员以及全体师生网络完全意识薄弱、管理制度不健全等给校园网带来了安全隐患。网络安全应体现4个方面：信息保密，工程的实施重点主要体现在网络的以下方面，包括内部业务共享区与外部网之间、内部业务局域网与内网共享区之间、内网共享区与广域网之间信息