校园网络子系统方案.docx

一教校园子系统方案毕业设计组长：卢大庆 副组长：何龙组员：蔡金成、郑清、谷志刚、罗超 班级：11级网络工程班指导教师：杨震、鲜敏、黄景广汤京弋、杨建、王仁明目录第一章综合布线系统设计分析31.1需求分析31.2 布线系统总体结构3第二章网络拓扑结构图与信息点32.1 网络拓扑结构图32.2信息点分布表格3第三章网络系统设计方案33.1网络系统方案设计33.2网络的分层设计原则33.2.1核心层33.2.2分布层（汇聚层）33.2.3接入层33.3 分层设备的选择及设计33.3.1 核心层设备选型及设计33.3.2汇聚层设备选型及设计33.3.3接入层设备选型及设计33.3.4防火墙设备选型33.3.5服务器选型3第四章综合布线系统设计方案34.1工作区子系统设计34.2垂直干线子系统设计34.3 管理子系统设计34.4 水平布线子系统设计34.5 进线间子系统设计34.6 建筑群子系统设计34.7 线缆布设3第五章各种设备清单3第六章成果的验收3第七章：方案小结3第一章综合布线系统设计分析引言科学技术的发展日新月异，九十年代，在计算机技术和通信技术结合下，网络技术得到了飞速的发展。如今，不仅计算机已经和网络紧密结合，整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来，网络必将成为和电话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。我学院校园网将实现与校内各部门进行通信。我学院校园网将为学校的科研、教学、管理提供必要的技术手段，为研究开发和培养人才建立平台，以此加快学校的发展，成为一个具有示范性的学校。1.1 需求分析近年来，学校的教学和管理工作不断向着信息处理计算机化、信息交流网络化、信息管理数据库化、信息服务电子化方向发展。形象化、交互性的教学以及海量的教学资源，使计算机网络技术在学校管理和辅助教学、科研活动中显示出其独特的优势，同时学校网络承载着多样的网络应用：网络下载、视频监控、视频会议、网络聊天、专项课题研究、网络化教学。校园网络的建设势在必得。校园网络的建设是利用各种先进、成熟的网络技术和通信技术，采用统一的网络协议（TCP/IP），建设一个可实现各种综合网络应用的高速计算机网络系统，将各系、办公室、图书馆、教学楼、宿舍通过网络连接起来，与Internet相连。校园网络必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，因此，校园网络的建设必须有明确的建设目标：能够充分利用校园网，扩充各种网络应用，如多媒体课件系统、多媒体教学系统、网络教学系统、监控系统、语音系统等，使其为学院的教学和实验服务。我们的方案模拟的是一教的网络系统。根据学校一教的需求，总的信息点大概在65个左右。需要连接网络的有每个多媒体教室，每一个办公室及网管中心和信息中心。网络控制室可设在第三层即办公楼层，此为信息点密集区。根据标准设计的布线方案，能适应和支持现有的或将来的通信及计算机网络需求，能适合语音、数据计算机局域网、光纤分布数据接口、图像和其它连接的需要。智能化楼宇的结构化布线系统不仅为现代化的信息通讯铺设了信息高速公路，而且也为楼宇的智能管理提供了集中的控制通路。结构化布线系统为用户创造了舒适、快捷的环境，节约了发展商与经营者的人力和财力开支，极大地提高了对建筑物的综合管理水平，满足学校各部门对通讯和网络的需求。根据对结构化布线系统的要求, 本大楼布线系统的设计主要满足通信和计算机网络以及视频监控和语音四部分。该系统将为用户提供集语音、数据、文字、图像于一体的多媒体信息网络，帮助用户实现多功能网络互联互通等应用。1.2 布线系统总体结构根据一教的项目要求及有关标准，本方案为一个较典型的树状拓扑结构系统，现将设计方案概述如下：（1）根据用户要求，构建千兆校园网主干线路，实现多媒体教室，各办公教室的互联。（2）一教综合布线系统CD（建筑群子系统）从信息中心引线缆至一教。BD（垂直干线子系统）通过弱电井将各个楼层布线接在一起并在3楼作为管理子系统。FD（配线子系统）实现楼层的水平布线。TO（设备间子系统）实现设备的安装与分布。本方案分为六大子系统，分别为工作区子系统、配线子系统、垂直干线子系统、管理子系统、设备间子系统以及建筑群子系统。（3）三楼为整个一教网络的主控制楼层，其它楼层为信息点楼层，每栋楼用 100兆光纤接入主控制室，实现校园内的局域网。第二章 网络拓扑结构图与信息点2.1 网络拓扑结构图 图（1）2.2信息点分布表格楼层每层楼房间数每个房间信息点信息点总数接入层交换机一楼12113一台24口的交换机二楼12多媒体：1机房：215三台24口的交换机三楼7办公室：3教休室：220一台24口的交换机四楼12多媒体：1机房：215三台24口的交换机五楼12113一台24口的交换机第三章 网络系统设计方案3.1网络系统方案设计网络在我们学校的日常办公、教学等环境中起着至关重要的作用，校园网络的运作模式会带来大量动态www应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求。这就要求网络有足够的主干带宽和扩展能力。设计原则计算机网络系统的建设既要立足于现在又要着眼于未来。它所采用的技术不仅要成熟稳定可靠，而且要具有相当的先进性和独到的优点。在对网络系统进行设计时，采用先进的网络技术和指导思想，建设一个开放的网络系统。根据建设目标，模拟我校一教的计算机网络系统总体设计原则如下：以学校计算机网络需求及信息流量、流向为依据，并紧密结合校园网的特点。兼顾学校教学管理和行政管理两大体系。主要要达到的要求就是通信保密和数据安全，建立完善的网络管理系统。为达到上述要求，在我校一教计算机网络系统设计中，将依据如下系统设计原则进行系统设计：（1）开放性原则： 校园网的建设应遵循国家标准，采用大多数厂家支持的协议及标准接口，为操作系统的互联提供便利。（2）先进性原则以先进成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用。（3）可管理性与维护原则网络建设的一项重点在于网络的管理，网络的建设必须保证网络运行的可管理性。在网络出故障时能迅速简便地进行网络故障的诊断。我院学校网络系统的节点数目大，分布范围广，通信介质多种多样，采用的网络技术也较先进，网络的管理任务加重了，如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式，合理地网络规划策略,可以提供强大的网络管理功能，使网络日常的维护和操作变得直观、简便和高效。（4）安全性与保密性原则 信息系统安全问题是信息中心的任务，保证网络的通畅。确保经过该网络安全地获取信息，并保证该信息的完整和可靠。保证系统可靠运行，在网络设计时，将从内部访问控制和外部防火墙两方面保证我院校园网网络系统的安全。（5）稳定性和可靠性可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。3.2网络的分层设计原则从逻辑上，校园网络可分为核心层、分布层(汇聚层)和接入层，每层都有其特点层次化设计的优点可以总结为如下几点：可扩展性：因为网络可模块化增长而不会遇到问题；简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。3.2.1核心层核心层为下两层提供优化的数据输运功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等)，否则会降低数据包的交换速度。主要功能有：Glbp网关冗余分区域的ospfEasy Vpn连接Web，ftp，dns，dhcp，电子邮件等服务器的接入数据的备份，nfs网络文件系统，SNMP。3.2.2分布层（汇聚层）分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，分布层主要提供如下功能：部门和工作组的接入分域的ospfQos控制链路聚合aaa认证接入Inter VLAN路由安全控制，Acl的控制3.2.3接入层接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整。在园区网络环境中，接入层主要提供如下功能：802.1x认证，aaa认证Qos控制链路聚合MAC层过滤（MAC Layer Filtering(possibly)）微分网段（Microsegmentation）3.3 分层设备的选择及设计3.3.1 核心层设备选型及设计通常将网络主干部分称为核心层，在此方案中，我们的核心层是我们的信息中心。见下图：核心层采用两个三层交换机链路聚合，降低冗余。具体技术：1. 采用OSPF动态路由协议,分区域的ospf。使用分区域的ospf的好处主要有：（1）可以在区域边界做汇总，减少了路由表的条目。（2）缩小网络的不稳定性，一个区域的路由问题不会影响到其他区域。2. 采用Ezvpn（隧道分离）实现远程办公。在防火墙上做主要的配置。提供远程VPN安全访问，方便远程用户通过VPN来访问网络安全较高的内网。这样既可以通过VPN隧道认证加密数据以进行安全访问，就好像内网用户一样。同时也可以通过推送的隧道分离策略来使必要进入内网访问的数据才经过VPN机密传输，而访问Internet的数据就直接走远程的网关经过NAT出去，减少中间不必要的网络流量与延时。3. 在防火墙方面，不仅需要硬件的防火墙（功能是定义内部访问策略和部分外部访问），还需要软件防火墙相配合，在软件防火墙方面，我们采用ZoneBase策略（做在路由器上）。软件防火墙的作用是分割校园内部网和外部网，不允许外部用户访问内部Web服务器、财务数据库和办公数据等。内部网的用户都必须经过网络管理中心转发数据包。4. 在供电方面，我们采用UPS供电，以保证断电以后数据不会丢失。5. GLBP（网关负载均衡协议）：GLBP是思科的专有协议，与VRRP相比，优势是-提供冗余网关；在各网关之间提供负载均衡。如下图：在传输流量时，两根线路都可以进行流量转发，从而提供负载均衡。6. 数据的备份：是采用远程备份，并使用Radius 5进行磁盘本地备份7. nfs网络文件系统: nfs的运作原理是远程装载，在每个主机上运行unix的portmapper和mountd（处理nfs装载请求的服务器）守护进程。/etc/exports控制对服务器的访问，它包含一个授权主机的清单，以及用户权限和允许的目录，用户不用通过ftp传输，直接放在本机的一个映射之后的目录下就自动上传到服务器映射的目录下，方便快捷，使用在办公室中。8. SNMP:使用它来监控流量，是网管人员能够实时监控网上产生的数据并对数据进行分析，使用它能对设备的各种指标进行监控。3.3.2汇聚层设备选型及设计通常将位于接入层和核心层之间的部分称为汇聚层或核心层，汇聚层交换机是多台接入交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，我们的方案中采用的是三层交换机，我们使用的是Cisco3560。一教大楼汇聚层的三层交换机由于是跨楼层的连接，距离远远大于100米，所以我们使用千兆光纤与信息中心核心层的两台三层交换机相连。见下图：汇聚层主要涉及到的知识有：1. 静态路由虚拟网关：采用手动添加静态路由的方式来实现两个网关的无缝切换。2. VLAN的创建及VLAN的划分方面见下图： 每个多媒体教室划分在同一个VLAN，四个机房划分在四个不同的VLAN方便管理，三楼的办公室属于同一个VLAN，管理VLAN我们设置的是VLAN99.上图详细地介绍了我们方案的VLAN的划分，IP地址的分段及接口的分配。划分了不同的VLAN以便于实行VLAN分段，隔离广播域，防止网络窃听及非授权的跨网段访问。4.安全控制，Acl的控制：在ACL方面是配合着VLAN隔离使用的，各个网段都划分在了不同的VLAN，通过限制各个VLAN之间的通信来限制网络的访问。在本方案中，我们需要做的是（1）禁止各个VLAN之间的通信从而限制网络之间的相互访问。（2）配置基于时间的ACL控制上网时段（我们设置的是晚上23：:008:00禁止上网）（3）在机房方面，通过开启关闭三层交换机的端口控制机房能否上网。5分域的ospf：不仅核心层，汇聚层也需要做分区域的Ospf，作用与核心层一样。6.Qos：QoS服务质量，主要体现在语音和视频优先传输。7.链路聚合：链路聚合技术亦称主干技术（Trunking）或捆绑技术（Bonding），其实质是将两台设备间的数条物理链路组合成逻辑上的一条数据通路，称为一条聚合链路。我们的链路聚合是做在两台三层交换机之间。链路聚合的优点：提高链路可用性；增加链路容量。8aaa认证接入：AAA-身份验证 (Authentication)、授权 (Authorization)和统计(Accounting)。AAA服务器是一个能够提供这三项服务的程序。常用的AAA协议是Radius.当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。3.3.3接入层设备选型及设计通常将网络中直接面向用户连接或访问网络的部分称为接入层，接入层目的是允许终端用户连接到网络，接入层交换机我们使用的是Cisco2960。在接入层涉及的技术主要有：1. 用户接入网络的方式：客户端使用802.1x认证接入，无线客户端使用AAA认证接入；静态MAC地址我们采用无认证直接接入。其中，要实现802.1x协议认证，我们需要RADIUS服务器来实现用户的认证-交换机将用户名与密码发送到RADIUS服务器请求认证，服务器调用相关数据库内的用户表进入匹配，成功则认证成功，匹配失败则认证失败。2. DHCP授信设置：为防止非法的DHCP服务器为客户端计算机提供不正确的IP地址配置，只有在活动目录中进行过授信的DHCP服务器才能提供服务。3. 端口安全：我们对不同的用户采用不同的方式：部门人员通过MAC地址静态绑定；多媒体教室等采用动态绑定。4. 视频传输：我们采用的是数字信号传输方式，它将产生2M/s的流量，经过数据计算能放在数据传输链路上而不影响其他数据传输，所以在我们的系统中这些流量将通过交换机进入网管中心。5. 无线覆盖：在每层楼的尽头我们都将安放定向的无线，并使用信号增强工具，以达到无线覆盖的效果。6. Qos（作用是把视频语音数据流按优先级发送，降低优先级高的数据的延迟）与汇聚层一样，接入层也需要配置Qos控制。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。在我们方案设计里主要体现在视频和语音方面。3.3.4防火墙设备选型该方案使用的防火墙是Cisco ASA5505。防火墙的策略我们在核心层已做了介绍，这里就不再详细介绍了。3.3.5服务器选型该方案设计使用的服务器主要有电子邮件服务器，文件传输服务器，Web服务器，dns，dhcp。在服务器上还做了NAS，作用是在存储器上分一块区域出来当做用户登录上来的存储文件夹，这样当用户使用用户名和密码时就可以登录到我们的存储器的磁盘，用户上传数据非常方便，可以直接拖动要上传的文件到自己映射的那个文件夹下，就可以直接自动映射到服务器。不同的职员有不同的登录权限，比如主任可以登录到教师的上传目录下但是教师却没有相应的权限等一系列安全措施。下面是搭建服务器的一些截图：RAIDUS服务器的搭建：创建用户和组配置RAIDUUS服务器新建RADIUS客户端，输入一个名字和要认证的交换机的管理VLAN的IP地址。配置共享密钥新建远程访问策略，访问方式添加用户组选择身份验证方式启用802.1x客户端认证第四章 综合布线系统设计方案 综合布线主要表现在它的实用性，功能性，灵活性，扩展性等方面。除信息中心到汇聚层的连接采用光纤外，其他线路多采用六类双绞线。实用性：实施后的校园网络系统，其所有的子系统，都满足标准要求，并且，网络管理功能完善且方便使用。功能性：为用户提供快捷、开放、易于管理的语音和数据信息传输平台。布线系统能适应各种计算机网络体系结构的需要，并能支持语音、监控、视频等系统的应用。为用户及时传递可靠、准确的各类重要信息，最终实现自动化办公。灵活性：系统中的任一部分的联接都应是灵活的，从物理接线到数据传输与通信都应不受或少受物理位置的影响。扩展性：适应未来网络的发展需要，系统的扩充升级容易。无论计算机设备、通讯设备、控制设备随技术如何发展，将来都可以很方便地将这些设备联到系统中去。以下是本方案中楼层的平面示意图，也是信息点的分布图：一楼和五楼都是多媒体教室，每个教室安装一个信息点，二楼和四楼变化不大，只是每层楼多了两个机房，每个机房两个信息点，三楼为办公楼层，每个办公室预设三个信息点，每个教休室是一个信息点。在平面图中，为了美观，信息点都画的是一个。综合布线系统是一个开放的布线系统，结构化综合布线一般划分为六个子系统。如图4：4.1工作区子系统设计工作区子系统在施工时要考虑的因素较多，因为不同的环境要求不同的信息墙座与其配合。在施工设计时，应尽可能考虑布局的需要，同时又要考虑从 信息墙座联接应用设备（如计算机，电话等）方便和安全。多媒体教室及办公室都是我们的工作区子系统，信息点由标准RJ45插座构成，我们采用的是标准的86型墙盒，该墙盒为正方形，规格80 X 80mm，螺丝孔间距60 mm。信息墙盒与电源墙座的间距应大于30cm。每个多媒体教室有一个信息点，机房有两个信息点，办公室有三个信息点。4.2垂直干线子系统设计垂直干线子系统用于跨越楼层的传输，其功能主要是把各分层配线架与主配线架相连，每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干线采用25对大对数线缆时，每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。4.3 管理子系统设计由于各个楼层的信息点数比较的多，故在每层楼都要设有管理区子系统，管理区子系统是由配线架、跳线以及相关的有源设备服务器及交换机等组成。4.4 水平布线子系统设计水平布线子系统是从工作区的信息插座开始到管理间系统的配线架。我们一般采用六类双绞线来进行布线。双绞线布线链路中，水平线缆的最大长度为80m。4.5 进线间子系统设计进线间一个建筑物设置一个，宜靠近外墙和在地下层设置。此方案中我们设置在大楼第一层，方便线缆的引入。进线间入口管道所有布放线缆和空闲的管孔等应采用防火材料封堵，做好防水防火处理。4.6 建筑群子系统设计建筑群子系统时实现建筑之间的相互连接，提供楼宇之间通信设施所需硬件。传输介质可以采用室外六芯多模光纤。4.7 线缆布设管道布设:管道可以明敷或预埋，在线路中间要注意管道的拐弯半径必须满足线缆最小半径要求。金属管道和强电系统保持足够距离，并且保护接地。金属桥架安装:金属桥架用于本设计实际施工中光纤的线缆敷设，要注意桥架的拐弯半径必须满足线缆最小半径要求。布线线缆：每个系统线缆在管道和桥架内要求分开布放、绑扎，在布线缆时，避免拉力过大和不匀，线缆头要有标签编号，方便识别。在此方案中，我们的线缆都走吊顶布设，需注意承重问题。第五章 各种设备清单序号设备名称规格型号单位数量124口交换机（二层）Cisco2960台14224口交换机（三层）Cisco3560 台33路由器Cisco2800 台24机柜个105信息插座个756信息模块个1507光纤线缆米5008插线板个1209机架个110防火墙Cisco ASA5505个111理线架个1412服务器台513语音电话台714报警器对415摄像头个1716定向无线个1017线槽40*10规格米20018线槽60*40规格米45019计算机台23620水晶头盒721投影仪个5122光纤米100023六类双绞线箱28第六章 成果的验收 我们的方案模拟的是一教的网络设计，在实际操作时，因设备有限，所有需要用最少的设备尽可能多地演示我们的方案及涉及到的技术。下面是我们的实际操作的网络拓扑图，和实际综合布线图。在实际的设计里，虽然设备较少，但是我们的实际设计在一定的程度上，对于方案里涉及到的技术大多都实现了。接入层：802.1x认证，aaa认证Qos控制链路聚合汇聚层：部门和工作组的接入分域的ospfQos控制链路聚合aaa认证接入Inter VLAN路由安全控制，Acl的控制核心层：Glbp网关冗余分区域的ospfEasy Vpn连接NAT地址转换Web，ftp，dns，dhcp，电子邮件等服务器的接入数据