网络规划与系统集成课程设计-08539015陈健.docVIP

庐江第二中学校园网设计方案项目概述单位概述及网络现状庐江二中是安徽省示范高中，创办于1974年。校园占地120亩。现有95个教学班，在岗教职员工310人，学生7100余人，是巢湖市规模最大的学校。 庐江二中教育教学设施齐全。闭路电视、智能广播、计算机教室、语音教室、多媒体教室、理化生实验室、音乐室、美术室一应俱全，百兆宽带网200多个终端已进入教室和办公室。为了加快学校发展，丰富学校内涵，使更多的学生享受优质教育资源，近年来学校又投资3000万元，新征土地50亩，同时启动9000平方米综合教学楼、13000平方米学生公寓餐厅和400米标准田径运动场三项工程，现已陆续交付使用。学校拥有一支高素质的教师队伍。其中特级教师1人，高级教师77人，一级教师74人。省级教坛新星5人，市级教坛新星以上学科带头人、骨干教师和优秀教师28人。师德高尚、结构合理、业务精良的教师队伍为庐江二中实现跨越式发展奠定了坚实的基础。网络现状内网各部门间不能互通，外网连接良好，但尚需优化。建设意义随着当代信息技术的发展，随着多媒体计算机在教育教学过程中的应用越来越普遍，校园网络的建设提到了重要的议事日程。校园网建设是教育信息化建设的重要组成部分，是全面实现素质教育的重要手段，是实现教育现代化的重要标志，校园网是学校信息基础设施。校园网的规模、网络性能、应用水平和普及程度已成为衡量一所院校办学水平高低的重要标志之一。建设校园网络，创建丰富多彩的校园网络文化对于转变陈旧教育思想和观念，促进教学内容、教学方法、教学结构和教学模式的改革，加快建设教育手段和管理手段的现代化有决定性作用，尤其是对于深化基础教育改革，提高教育质量和效益，培养“面向现代化，面向世界，面向未来”的创新人才更具深远的意义。建设目标 实现学校主要的教学、教研、管理计算机联网； 为教职工对外联系交流、查询、网络教学创造条件，通过网络密切与国内外的学术联系，提高学校的教学、教研水平。为全体教师和学生提供足够数量的联网微机、在每间教室配备大屏幕； 完善计算机网络与信息中心建设，提供更新更全的Internet服务功能、文件服务、素材软件下载、VOD教学视频点播、网络视频会议、校园网站建设、校园BBS公告公用信息的发布等达到高水平服务； 建设校行政管理信息系统，实现管理现代化，增强教育管理的科学性。通过实现办公自动化，提高学校各级管理的效率和水平；建设网络计算环境，提供集成的计算资源，为提高学校的教研水平创造条件；需求调研与分析基础网络建设需求学校新建成的学生宿舍楼需纳入局域网，其中原有教学楼将并入整个校园网络。根据校方要求，总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、办公楼等。宿舍楼、实验楼和教学楼为信息点密集区。经过此次校园网络的建设工程，可以达到满足学生上网需求、资料查询的微机化、办公自动化、学校管理智能化等功能，同时为学校未来的网上教学、无纸化教学提供可靠的系统保证。网络应用需求网络用户需求调查表网络用户人数需要网络提供的服务教师230制作课件，查阅资料，录入成绩，邮件，资料下载，BBS，网络教学学生7100查阅资料，视频点播，邮件，BBS，资料下载教务处40学籍管理，成绩管理，视频会议财务部10财务管理后勤部20邮件，物品清单查询档案室10需要海量存储，需要高带宽。需要安全认证地理布局勘察用户数量及其位置楼宇层数信息点数教学楼6600实验楼3100师生公寓62000办公楼3100总计2800安全管理需求（1）防止校园网外部用户对校园网内的用户进行攻击（2）校园网外部用户只能访问WWW 服务、MAIL 服务，其他服务只对校园网内部用户开放，而学生不能访问财务部门，教学管理部门及后勤管理部门，教师不可访问财务部门。（3）需要防病毒系统（4）即要保障财务部门和教学管理部门信息的绝对安全；能对各个子网进行管理及流量统计能对用户进行认证。网络整体设计技术架构及整体设计思路采用千兆以太网技术，具有高带宽1000Mbps 速率的主干，100Mbps 到桌面，主干网采用光纤为传输介质，其他网采用超5类或6类线缆；采用统一的网络协议（TCP/IP），将新建成的学生宿舍楼加入到校园网中，并将各系、办公室、图书馆、宿舍通过网络连接起来，与相连，实现相互间的通信。形成的新的校园网将提供广泛的资源供校内校外使用。整体设计原则计算机信息网络关系到现在和将来用户单位网络信息化水平和网上应用系统的成败，在设计前对主要设计原则进行选择和平衡，并排定其在方案设计中的优先级，对网络的设计和工程实施将具有指导意义。主要遵循以下原则:(1) 实用性原则(2) 开放性原则(3) 高可用性/可靠性原则(4) 安全性原则(5) 易用性原则(6) 先进性原则(7) 可扩展性原则通信子网设计网络拓扑图内网三层/二层架构核心层采用两台三层交换机，各楼层三层交换机既作为汇聚层交换机，二层交换机充当接入层交换机；VLAN划分方式以各楼层配线间为单位进行VLAN划分，每个配线间一个VLAN，各VLAN的路由网关设置在该配线间对应的S7506上；楼层交换机双链路上联至核心交换机，之间通过OSPF非等值路由实现冗余备份。内网出口设计校园网络和外界的接口，如通过INTERNET互联，在接入处从外面引入的安全网络风险问题，需要在接入INTERNET处添加防火墙； 2在校园网络内部，各个行政区域之间以及信息中心的内部安全风险问题利用划分VLAN将各个部门区分开； 3园区网络中，通过WLAN、VPN等多种非传统接入手段接入到校园网络中所带来的安全风险问题，采用实名制监控网络用户的行为。 此外，校园网络中还有其他方面的安全接入，安全隔离，安全过滤及其安全管理的问题。所以，在关注校园网络的建设的同时更应该注意校园网络的安全建设。安全技术融于网络，安全技术必须和高速的网络设备相匹配，确保应用和互联的网络安全通信设备选型为了方便管理，通信设备都选用的产品（1）核心交换机采用Cisco Catalyst 6500 系列（2）汇聚交换机采用Cisco Catalyst 3560G系列（3）接入交换机采用思科WS-C2960-48TC-L系列资源子网设计基本服务主服务器2台：装有NT操作系统，负责整个校园网的管理，教育资源管理等。其中一台服务器装有DNS服务，负责整个校园网中域名的解析。另一台服务器装有电子邮件系统，负责整个校园网中用户的邮件管理。WWW服务器1台：装有Linux操作系统，负责远程服务管理及WEB站点的管理。WEB服务器采用现在比较流行的APACHE服务器，用ASP语言进行开发，连接MYSQL数据库，形成了完整的动态网站。数据库服务器2台：其中一台提供校园网数据的存储、查询。另一台则是做为备份服务器来使用。VOD服务器1台：装有NT操作系统，为校园网提供VOD数字点播影视的需要。DHCP服务器1台：装有NT操作系统，负责整个校园网IP地址的自动分配。FTP服务器一台：为校园网用户提供FTP服务。服务器选型CISCO UCS C460 M1服务器 网络安全管理设计接入路由器上的NAT设置由于公网IP短缺，不能给每个用户划分公网IP，只能分配私有IP，所以应当在接入路由器上配置NAT，将私有IP转换成共有IP。接入路由器上的ACL设置接入路由器是外网进入校园网内网的第一道关卡，是网络防御的前沿阵地。路由器上的访问控制列表ACL是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。对ACL的设置包括一下几个方面：对外屏蔽简单网管协议 SNMP对外屏蔽远程登录协议 Telnet对外屏蔽其他不安全的协议或服务针对DOS DDOS攻击保护路由器自身安全接入路由器防火墙的开启接入路由器上配备防火墙，为了保护整个校园网和路由器本身，路由器上的防火墙要开启。（最好在路由器外放一个专门的防火墙，安全性能更好。）通信子网安全1）VLAN划分(1)根据端口定义对于校方的网络我们主要采用这种方式进行VLAN 的划分。(2)根据MAC 地址定义对于校内讲课用的机动电脑，就可以采用这种方式进行VLAN 划分，终端不论走到任何信息点，同过判定移动终端的MAC 地址，都能使该机器进入相应的网络。(3)根据IP 广播组划分2）开启生成树协议当校园网内网络交换机数量的增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路的问题，这时就需要在各交换机上运行生成树协议来解决。3）管理VLAN配置通过设置管理VLAN，可以对整个校园网内的所有交换机进行管理。资源子网安全主要是服务器安全，开启服务器的防火墙。安全管理安装杀毒软件，定期对杀毒软件进行更新。综合布线系统设计本系统遵循ISO/IEC 11801:11801、GB/T 50312-2007 、GB/T 50311-2007、电子信息系统机房设计规范 （GB 50174-2008） 标准设计。综合布线系统由工作区子系统，水平干线子系统，管理间子系统，主干子系统，设备间子系统，建筑群子系统等六个子系统构成。工作区子系统工作区子系统主要由各个工作区域构成，主要包括终端连接跳线、信息插座和终端设备如计算机、电话等，以上均为超五类配置。信息座有墙上型、地面型、桌上型等多种。根据各工作区信息点位置的不同，应选择相应的信息插座。本方案采用墙面型插座，安装时根据装潢的具体情况，可安装在墙面上，也可安装在隔断上。每个信息插座旁边要求有1-2个单相电源插座以供计算机设备使用, 信息插座与电源插座间距不得小于20cm, 信息插座的位置一般放在离地30cm的地方,方便、美观且考虑防尘、防水。信息点数量应根据工作区的实际功能及需求确定，并预留适当数量的冗余。水平布线子系统水平布线子系统水平子系统是指从各配线架到工作站各信息插座的线路。采用普天的超五类四芯UTP(非屏蔽双绞线)这种配置现存的和已规划的系统，为将来网络重组也提供了最大的灵活性。它达到了国际EIA/TIA的五类标准。即满足现在的需要, 也满足不断发展变化的要求。为了设计出最短的电缆布线路由, 降低布线的费用, 同时也为了设计出满足用户要求的路由, 减少数据信息在传输中的损耗和干扰, 我们建议采用金属线槽, 尽量减少弯曲, 与强电等干扰源平行时保持20cm以上的距离。我们关注与水平布线相关的问题, 如吊顶金属线槽的走向及尺寸, 墙面金属管道的直径及走向, 地板下金属通道的大小及走向。为了抑制电缆中的EMI噪声,必须采用屏蔽法：金属管道接地。为了： 减少感应的电压和信号辐射； 保护在规定范围内的线路不受外界产生的EMI的干扰。管理子系统管理子系统由配线架、机柜所组成，在配线架上使用色标来区分水平线缆和连接在配线架上的设备端接线缆。本管理间语音、数据系统管理为互连管理方式，系统语音管理点设在设备间。在管理间采用标准19英寸标准机柜安装配线架，该种安装方式可便于系统的使用、维护、维修等，并且可保护系统的设备免受外界环境的影响延长系统的使用寿命。19英寸标准机柜在机柜箱体表面进行喷塑处理。按国家标准外表面达到2级，内表面达到4级。亚光喷塑表面，色泽均匀。机柜箱体表面平整度在1平方米面积内不超过1毫米。门与门框的缝隙不超过1.2毫米，且四周缝隙均保持一致。能够保证十年内在外观、性能等方面保持原有质量水平。机柜外壳颜色为灰色。由于管理间内要安装网络设备，因此管理间需进行必要的装修或同等条件的办公室内，并配备照明设备以便于设备维护，同时为保证网络的可靠运行，管理间内应配备三组独立供电的220V电源插座。主干子系统主干子系统是整个建筑物综合布线系统的一部分，它提供建筑物内综合布线系统的主干电缆，它必须能满足当前的系统需求，又能适应今后的发展。通常由大对数铜缆和光缆组成，它的一端接在设备机房的主配线架上，另一端接在分配线间的分配线架上。设备子系统设备子系统由主配线架、设备间中的跳线电缆、适配器组成，它把主配线架与各种不同设备互连起来，如网络设备、程控交换机等。建筑群子系统 各楼可采用光纤和主楼进行互连。建筑群数据主干建议采用八芯单光纤进行连接，具有冗余性和可扩充性。整个系统综合采用统一标准的配线组和模块化结构统一布线、一次完成。它的每一个子系统都是一个相互独立的单元组，改变任何一个子系统、不影响其他子系统的正常运作。线缆选型、信息点分布与统计信息点分布总体发布楼宇层数信息点数教学楼6600实验楼3100师生公寓62000办公楼3100总计2800布线硬件设备清单产品规格单位数量普天 24口快捷式配线架24口个100普天 48口快捷式配线架48口个20双口面板（含空白挡板）个2400普天超五类模块个2400普天超五类双绞线1箱=305米箱40普天六类双绞线1箱=305米箱4超五类跳线（配线架）条24主干光纤8芯1000米条12ST光纤头个80光纤收发器个40超五类跳线（工作区）3米条120普天 RJ-45水晶头1盒=100个盒30系统集成概要配置访问层交换机端口基本参数（1）端口双工配置 将1到24口全部配成全双工模式（注：用命令行interface range fateethernet 0/1-24;duplex full 不过上图是用模拟器演示，不支持int range 命令）（2）端口速度：可以设定某端口根据对端设备速度自动调整本端口速度，也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下，建议手动设置端口速度。 配置访问层交换机的访问端口访问层交换机为终端用户提供接入服务。（1）设置访问层交换机的端口1到端口10工作在访问模式。（2）设置快速端口默认情况下，交换机在刚加电启动时，每个端口都要经历生成树的四个阶段：阻塞、侦听、学习、转发。在能够转发用户的数据包之前，某个端口可能最多要等50秒钟的时间（20秒的阻塞时间15秒的侦听延迟时间15秒的学习延迟时间）对于直接接入终端工作站的端口来说，用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间，可以设置将某端口设置成为快速端口（Portfast）。设置为快速端口