广州城市职业学院校园网络设计方案(最终版).doc

广州城市职业学院校园网络设计方案1第1章 前言Internet，即国际互联网，是现在网络应用的主流，从它最初在美国诞生至今已经经历了三十多年。这个以TCP/IP协议为主体的国际互联网络已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。最初的Internet是由科研网络形成的，主要是由一些大学和研究所等科研教育单位连接而成，逐渐发展到今天的规模。而进入九十年代后，由于各种商业信息进入了Internet，使得Internet得到了极大地发展，其拥有的主机数，连接的网络数以及覆盖面一直呈指数形式上升。现在在Internet上可以提供或者获得各种各样的服务，比如通过电子邮件进行合同的起草和签订，或利用Internet直接挑选商品和购物。Internet是一个资源的网络，其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会，世界上数以亿计的人们利用它进行通信和信息共享，通过发送和接收电子邮件，或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。Internet也是一个服务的网络。在Internet上，许多单位、公司和组织提供了各种各样的服务。比如WWW（World Wide Web全球信息网）服务、信息查询服务等，向网络上的其他用户展示自己各方面的情况，并帮助这些用户找到需要的信息。将来的网络在Internet基础上进一步发展，其功能、速度、适用范围等必将全面超过现有的Internet。广州城市职业学院对计算机网络的建设投入了大量的人力和物力，在短短的几年中，通过网络为广大师生提供有价值、有吸引力的信息，对一个单位或学校树立自己的形象，提高自己的知名度，以及开拓和其他学校、组织的联系和往来能够起到很显著的作用。广州城市职业学院校园网将实现与校内各部门进行通信。广州城市职业学院校园网将为学校的科研、教学、管理提供必要的技术手段，为研究开发和培养人才建立平台，借此加快学校的发展，以此加快学校的发展，成为一个具有示范性的学校。第2章 需求分析2.1 实施背景 广州城市职业学院作为广州市内的一所综合性职业高校，为了加快校园信息化建设，需要建设一个高性能的、安全可靠的校园网络，校园网建成后，要求能够实现校园内部各种信息服务功能，实现与教育网的无阻碍连通，同时提供宽带接入功能，以备主连接失效情况下的被用连接要求，能够实现校园办公自动化需求。2.2 网络应用需求 这方面的需求不同学校有着明显不同，大体都可以分为，教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题；办公、服务等带宽是要着重考虑的方面，所以学校应该根据自己的实际情况来考虑网络的结构，及安全问题。 校园网在信息服务与应用方面应满足以下几个方面的需求：1. 学校主页。学校应建立独立的WWW服务器，在网上提高学校主页等服务，包括校情简介、学校新闻、校报（电子报）、招生信息以及校内电话号码和电子邮件地址查询等。2. 文件传输服务。考虑到师生之间共享软件，校园网应提供文件传输服务（ftp）。文件传输服务器上存放各种各样自由软件和驱动程序，师生可以根据自己需要随时下载并把它们安装在本机上。3. 校园网站建设（WWW、FTP、E-mail、DNS、PROXY代理、拨入访问、流量计费等）；4. 多媒体辅助点播教学兼远程教学：校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。5. 校园办公管理；6. 学校教务管理；7. 校园通卡应用；8. 网络安全FIREWALL；9. 图书管理、电子阅览室；10. 系统应提供基本的Web开发和信息制作的平台。2.3 网络性能需求性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等；根据本工程的特殊性，语音点和数据点使用相同的传输介质，即统一使用超5类4对双绞电缆，以实现语音、数据相互备份的需要；对于网络主干，数据通信介质全部使用光纤，语音通信主干使用大对数电缆；光缆和大对数电缆均留有余量；对于其他系统数据传输，可采用超5类双绞线或专用线缆。2.4 安全与管理需求网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。由于校园网与外部网进行互联特别是和Internet的互联，Internet是一个开放式网络系统，它的安全性是很差的。因此安全问题更加重要。应该采用一定的技术来控制网络的安全性，从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术有，用户身份验证，VLAN划分，防火墙等技术。网络系统还就具备高度的数据安全性和保密性。2.5技术需求分析 1.路由技术：路由协议工作在OSI参考模型的第3层，因此它的作用主要是通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（AccessControlList，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。 2.交换技术：现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率，更大大增强了校园网数据交换服务质量，满足了不同类型网络应用程序的需要。 3.Vlan技术：即虚拟局域网（VirtualLAN，VLAN），VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（VlanTrunkingProtocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。4.远程访问技术：远程访问也是校园网络必须提供的服务之一。它可以为教学办公用户和学生远程访问学校网站获取信息服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。在本工程案例设计中，采用专线连接（到因特网）和电路交换（到校园网）两种方式实现远程访问需求。5.防火墙技术与DMZ：学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高，如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。防火墙作为网络的第一道防线，应放置在外网和需要保护的校园内网之间。这样，所有流入校园网络的数据流量都将通过防火墙，使校园内的所有客户机及服务器都处于防火墙的保护下。 针对不同资源提供不同安全级别的保护,还应构建一个“DemilitarizedZone”(DMZ)的区域，放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。 6.链路聚合（PortTrunking）技术:链路聚合（PortTrunking）技术，支持IEEE802.3协议，是一种用在交换机与交换机之间扩大通信吞吐量、提高可靠性的技术，也称为骨干连接。当两台核心层交换机采用聚合链路PortTrunking技术后，该技术可以使交换机之间连接最多4条负载均衡的冗余连接。当某一台核心交换机出现故障或核心交换机与接入层/汇聚层交换机的某一条互联线路出现故障时，系统将通信业务快速自动切换到另一台正常工作的核心层交换机上，以使整个网络具备高容量、无阻塞、高可靠的能力。第3章 网络总体设计3.1网络架构分析现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构校园网采用星形的网络拓扑结构，骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份可以有效地提高核心交换的可靠性。传输介质也要适合建网需要。在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度要求。3.2 设计思路 进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划校园网建设的实施步骤。 校园网总体设计方案的科学性，应该体现在能否满足以下基本要求方面：（1）整体规划安排；（2）先进性、开放性和标准化相结合；（3）结构合理，便于维护；（4）高效实用；（5）支持宽带多媒体业务；（6）能够实现快速信息交流、协同工作和形象展示。3.3 校园网的设计原则（1）先进性原则以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。（2）开放性原则校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口，从而为异种机、异种操作系统的互连提供便利和可能。（3）可管理性原则网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。（4）安全性原则信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。（5）灵活性和可扩充性选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。（6）稳定性和可靠性可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。3.4 详细网络设计方案校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。广州城市职业学院坐落于广州市白云区广园中路，南北校区通过一条天桥相连，北校区主要为建筑学院教学区和宿舍区；除公共管理系外的所有院系教学工作均在南校区开展，南校区还建有多栋学生宿舍楼，南校区作为学院本部，是学院管理和教学信息的汇聚中枢，所以本次校园网网络设计方案对象为南校区。南校区校园平面图如下图 图3-13.4.1 接入层设计1、接入层设计目标 接入层主要为最终用户提供访问网络的能力。接入层负责将用户主机连接到网络中，提供最靠近用户的服务。接入层设计应避免重复建设，重复投资，考虑网络后期的可拓展性需求。同时接入层是设备最多，情况最复杂的网络，为了降低网络成本和提高网络效率，应遵循尽量简化的设计原则。应当根据需要隔离各个用户之间的相互访问，能有效控制内部用户与外部用户之间的安全问题。 2、接入层详细设计接入层作为网络设计三层架构中最底层，主要实现终端设备的接入，提供访问网络的功能。由于接入层接入设备类型较多，地点也比较分散，网络管理比较困难，所以在接入层设计中需着重考虑实际需求。 在本校园网设计中，接入层设备指各个教室、图书馆、办公楼、停车场、学生食堂等所有场所需要接入校园网络的设备。接入层设备种类多样，品牌不一，而且数量繁多，如图3-2所示，包括固话、PC、停车场刷卡机、图书馆借阅机、食堂刷卡终端、学生卡充值机等设备。故在接入层设计中必须充分考虑到接入层设备的端口密集性，在价格和性能相近的情况下优先选择端口较密集的接入设备。在可拓展性方面，接入层交换机应支持堆叠，预留足够的冗余端口，校园网后期网络规模的扩容需求；在性能方面，接入层交换机可应用VLAN划分技术隔离学校行政管理敏感部门之间的网络，如财务部与其他部门之间，防止敏感部门重要信息的泄露，同时vlan还能隔离由于网络结构设计不合理造成的广播风暴影响；在安全方面，接入层交换机应配置端口MAC地址绑定、端口静态MAC地址过滤、任意端口屏蔽等功能，防止未经允许的非法终端随意接入，扰乱整体网络； 另外接入层设备主要是一些终端设备，网络流量不高，对接入层交换机负载和性能无太大要求。作为接入网络的一层，接入层交换机需满足端口密集的基本要求，同时还需具备基本网络管理功能。根据以上需求，在本校园网网络设计中，采用星型拓扑结构，各个终端设备通过综合布线线路接入到接入层交换机，终端设备与接入层交换机之间通过百兆以太网双绞线相连，接入层上联端口使用千兆链路与楼宇汇聚交换机相连，汇聚层交换机对终端设备流量进行汇聚，节省每个终端与核心交换机直接连接的链路与端口成本。这里所有终端设备通过百兆链路接入接入层交换机，接入层交换机通过千兆链路上联汇聚层交换，汇聚层交换通过万兆光纤上联核心层，详细拓扑如图3-3、3-4所示。1号楼网络信息点数量为28，主要分布在三四层楼，在三楼楼梯处配置一台48口接入层交换机以供设备接入。2号楼有10个接入信息点，都分布在二楼，在二楼楼梯处配置一台24口接入交换机供设备接入，其余接口关闭作为以后扩展需求。3号楼有94个网络信息点，信息点数量较多，主要分布在一、二、三层楼，根据信息点分布，在一楼配置一台24口接入层交换机、二、三楼各配置一台48口接入交换机。办公楼有60个信息点， 分散分布在一、二、三、四层楼，校园网机房设在办公楼三楼，在机房各设置一台48口和24口接入层交换机用于终端接入。图书馆设备较少，信息点数量为25，在图书馆二楼配置一台48口接入层交换机用于终端接入，同时多余接口用于后续网络拓展。5号楼有31个信息点分布在四层楼，根据位置在二楼配置一台48口接入交换机，接入层交换机通过千兆链路上联教研楼汇聚层交换机。6号楼有48个信息点分散在四层楼，在二楼配置一台48口和1台24口接入交换机用于终端接入。7号楼有34个信息点分散各层，在二楼配置一台48口接入交换机用于终端设备接入。教研楼有90个信息点，分别在一楼和三楼配置两台48口接入交换机接入终端。 电教楼有16个信息点，在二楼配置一台24口接入层交换机。 公管楼61个信息点，分布在28楼，在二楼配置一台24口接入交换机，五楼配置一台48口接入层交换机。学生食堂和图书馆各配置一台48口接入交换机用于终端接入。接入层终端设备地址均为自动获取，通过核心层交换机上的DHCP地址池自动分配地址。另外接入层作为网络设计的最底层，为避免非法终端接入网络，扰乱校园网络正常，在接入层交换机所有端口上配置MAC地址绑定。接入层交换机分散分布在各个楼宇，与机房距离较远，为方便配置管理，为每台接入层交换机配置管理地址，并配置Telnet或ssh远程管理服务。校园网服务器集群提供对学校网站管理、OA系统管理、学生教务系统管理等服务，同时还提供外界对学校主页的访问，地址不能变动，所以所有服务器地址信息手工指定。 图3-2 图3-3 图3-43.4.2 汇聚层设计汇聚层的主要功能是汇聚网络流量，屏蔽接入层变化对核心层的影响。汇聚层作为接入层与核心层之间的接口，汇聚层的设计与否很大程度上影响一个网络系统的性能。汇聚层必须包含以下功能：链路汇聚：减少接入层与核心层之间的链路数，当汇聚层与核心层有多条链路时，通过链路聚合实现链路上的负载均衡。流量聚合：将接入层的大量低速链路转发到核心层，实现通信流量的聚合。路由聚合：在汇聚层进行路由聚合可以减少核心层路由器中路由表的大小。主干带宽管理：对网络主干链路进行流量控制负载均衡和Qos保证。信号中继：对跨交换机划分的VLAN,进行信号中继。VLAN路由：不同VLAN之间的计算机需要通信时，应当在汇聚层进行路由管理。隔离变化：网络接入层经常处于变化之中，为了避免接入层变化对核心层的影响，可利用汇聚层隔离接入层拓扑结构的变化。广州城市职业学院作为一所高等职业院校，拥有南北两个分校区，中心机房设在南主楼。由于办公管理需要，需接入网络的终端设备众多，楼层接入交换机与中心机房之间距离较远，在进行网络设计时除需要考虑接入层交换机端口密度外，还需要对分散在不同楼宇、不同楼层之间接入层交换机汇聚，通过汇聚接入层设备，可大大节省接入层交换接入到核心设备的线缆成本和传输成本。1号楼、2号楼、3号楼和公共卫生楼、电教楼相隔较近，设计在3号楼设置一台汇聚层交换机汇聚这五栋楼的楼层交换机流量，楼层交换机通过千兆链路上联汇聚层交换机，汇聚层交换机再通过多条万兆光纤链路上联到办公楼机房核心层交换机；图书馆与办公楼相邻，各楼层设备通过楼层接入层交换机接入网络，接入交换机再通过千兆链路上联机房核心层交换机，多条链路保证链路冗余可靠；5号楼、6号楼、7号楼、教研楼这四栋楼之间相隔距离较近，在教研楼设置汇聚层交换机汇聚这四栋楼的楼层接入交换机流量，各楼层交换机通过千兆链路上联到教研楼汇聚交换机，汇聚交换机再用多条万兆光纤链路上联到办公楼机房核心交换机。机房应用服务器集群由一台接入层交换机汇聚后再上联到核心交换机，如图3-5所示。根据以上需求，汇聚层选用WS-C2960-G-48交换机，配置双交换引擎，两个以上电源，24个100/1000 MB/s RJ-45接口，另外还需支持模块拓展。汇聚层分布在3号楼和教研楼，由两台WS-C2960-G-48交换机组成，各个接入层交换机通过两条千兆链路分别上联到两台汇聚交换机，实现链路冗余备份，保障可靠性。汇聚层交换机上联端口使用两条万兆单模光纤链路分别与核心层两台交换机通信，实现链路冗余备份，保障汇聚层与核心层通信可靠性，同时两台汇聚层交换机之间还用两条万兆光纤链路汇聚，实现结构上冗余备份。由于接入层、汇聚层、核心层之间均采用双链路冗余备份，还应在交换机相连的所有端口上启用生成树协议，防止广播环路影响。 图3-53.4.3 核心层设计核心层的主要功能是数据包的高速转发。核心层是所有流量的最终汇聚点和处理点，所有如果核心层结构和设备选型设计不合理，将会使网络性能存在瓶颈问题，所以核心层设计对于决定一个网络的整体性能优劣非常重要。核心层设计需要注意以下问题：1、核心层网络拓扑结构设计单中心星型拓扑结构厂用于小规模局域网设计，它的优点是结构简单网络工程投资少，适用于网络流量不大，可靠性要求不高的局域网。在这种结构中，往往将服务子网集中在核心层，这会导致核心层负载重，可靠性差，当核心层出现单点故障时，容易导致整个网络瘫痪。核心层双中心星型拓扑结构常用语园区网设计，它的优点是网络结构较为简单，实现了设备冗余和链路冗余，这也提高了网络的可靠性，可以很好地进行网络负载均衡，避免单点故障影响整个网络。当核心层设备为3个中心节点时，网络拓扑结构将连成环形；当核心层为4个节点时，一般将核心层连接成全网状形。这种拓扑结构较为复杂，主要用于大型园区网和城域网设计中。这种网络具有极好的可靠性，但是核心层构成了路由循环，因此网络传输的开销比较大，网络建设成本也非常高，一般仅用在国家级大型网络核心层。2、核心层性能设计策略（1）核心层通常采用高带宽网络技术，如1G或10G以太网技术。（2）核心交换机应当采用高速率的帧转发、（3）核心层禁止采用任何降低核心层设备处理能力，或者增加数据包交换延迟的方法。（4）任何形式的策略都必须在核心层外执行，如数据包过滤和较为复杂的QoS处理等。（5）核心层一般采用高性能的多层模块化交换机。3、核心层冗余设计策略网络中增加带宽最简单的方法是增加冗余链路，进行链路聚合，多层交换机和路由器能为多个链路和路径提供负载均衡功能，将信号流在各个链路之间进行均衡传输，从而提高数据的转发效率。一些企业的业务的重要性要求网络核心层不能出现单点故障，如银行、证券、电信等业务。对于这类网络，核心层一般采用设备冗余和链路冗余设计，以保证网络的QoS和可靠性。对于核心层出现的网络环路，可以利用路由技术或生成树协议（STP）进行处理。4、核心层路由设计策略策略是指一些设备支持的标准或网络管理员定制的一些配置规划。例如，路由器一般根据最终目的地址发送数据包。但在某些情况下，希望路由器基于源地址，流量类型或其他标准做出路由决策。核心层的任务是交换数据包，应尽量避免核心层网络配置的复杂程度，因为一旦核心层执行策略策略出错，将导致整个网络瘫痪。核心层设备应当具有足够的路由信息，将数据包发送到网络中任意目的主机；核心层交换机或路由器不应当使用默认路径到达内部网络的目的主机；核心层交换或路由器可采用默认路径来到达外部网络的目的主机；可以利用路由聚合来减少核心层路由表的大小。5、 核心层详细设计 广州城市职业学院校园网数据中心设置在南区主楼，也是南校区办公楼三楼。数据中心机房作为整个校园网数据交换枢纽，必须重点保证设备的可靠性和安全性。在可靠性方面，每台核心层交换机配置双交换引擎，两个以上电源、24个100、1000 MB/s RJ-45接口，16个以上万兆光纤以太网接口，还需具备足够的拓充能力，满足后期网络规模的拓容。在安全性方面，严格控制人员进出机房，进出机房管理设备必须持有相关部门的证明；采购性能强劲的硬件防火墙，部署在设备前端，过滤外界非法流量，保护内网安全。 机房设备包括网络设备和应用服务器集群。核心层网络设备由两台Quidway S9303交换机组成，3号楼与教研楼的汇聚交换机通过千兆单模光纤上联到机房核心交换机，两台核心交换机之间采用2条万兆光纤相连，互为冗余备份。核心层拓扑如图3-6，核心层交换机之间冗余链路配置链路汇聚，提高链路带宽，另外，核心层交换机作为全网汇聚中心，还应具有虚拟局域网路由功能，能通过高速路由连接各个接入层子网，利用VLAN干道技术（VTP）对全网进行统一虚网划分及管理。核心层交换应保证高速转发效率，所有安全性能策略都在防火墙及路由器上实施。机房应用服务器集群包括web服务器、FTP服务器、数据库服务器、邮件服务器、认证服务器等设备。应用服务器集群数量较多，为节省核心交换端口，在核心交换与应用服务器集群间用一台接入层交换做汇聚。 图3-63.4.4 Internet接入设计Internet接入方式主要有以下六种:拨号上网方式,使用ISDN专线入网,使用ADSL宽带入网,使用DDN专线入网,使用帧中继方式入网,局域网接入。1拨号上网方式拨号上网方式又称为拨号IP方式，因为采用拨号上网方式，在上网之后会被动态地分配一个合法的IP地址。用拨号方式上网的投资不大，但是能使用的功能比拨号仿真终端方法联入要强得多。拨号上网就是通过电话拨号的方式接入Internet的，但是用户的电脑与接入设备连接时，该接入设备不是一般的主机，而是称为接入服务（Access Server）的设备，同时在用户电脑与接入设备之间的通信必须用专门的通信协议SLIP或PPP。拨号上网的特点：投资少，适合一般家庭及个人用户使用；速度慢，因为其受电话线及相关接入设备的硬件条件限制，一般在56K左右。2ISDN专线接入ISDN专线接入又称为一线通、窄带综合业务数字网业务（N-ISDN）。它是在现有电话网上开发的一种集语音、数据和图像通信于一体的综合业务形式。一线通利用一对普通电话线即可得到综合电信服务：边上网边打电话、边上网边发传真、两部计算机同时上网、两部电话同时通话等。通过ISDN专线上网的特点：方便，速度快，最高上网速度可达到128K/S。3ADSL宽带入网ADSL即不对称数字线路技术，是一种不对称数字用户线实现宽带接入互联网的技术，其作为一种传输层的技术，利用铜线资源，在一对双绞线上提供上行640kbps、下行8Mbps的宽带，从而实现了真正意义上的宽带接入。ADSL宽带入网特点：与拨号上网或ISDN相比，减轻了电话交换机的负载，不需要拨号，属于专线上网，不需另缴电话费。4DDN专线入网 DDN即数字数据网，是利用数字传输通道（光纤、数字微波、卫星）和数字交叉复用节点组成的数字数据传输网。可以为用户提供各种速率的高质量数字专用电路和其它新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。其主要特点： 传输质量高，信道利用率高；传输速率高，网络时延小；数据信息传输透明度高，可支持任何规程，可传输语音、数据、传真、图象等多种业务；适用于数据信息流量大的校园；网络运行管理简便，对数据终端的数据传输速率没有特殊要求。 其主要优点：能提供高性能的点到点通信；通信保密性强，特别适合金融、保险等保密性要求高的客户需要；传输质量高，网络时延小，通信速率可根据用户需要选择；信道固定分配，充分保证了通信的可靠性，保证用户的带宽不会受其他用户的影响；用户通过这条高速的国际互联网通道，可构筑自己的Internet、E-mail等应用系统；用户网络的整体接入使局域网内的PC均可共享互联网资源；用户可免费得到多个Internet 合法IP地址及域名；用户可实现每天24小时全天候的信息发布，即用户可建立自己的Web站点，向国际互联网发布自己的信息或提供信息服务；用户可通过防火墙等技术保护内部网络免受不良侵害；用户可通过VPN（Virtual Private Network）虚拟私用网络功能，利用首创网络综 合信息平台实惠安全、可靠的企业网的国际网络互联，从而构建起企业的国际专用互 联网络。 5局域网接入局域网连接就是把用户的电脑连接到一个与Internet直接相连的局域网LAN上，并且获得一个永久属于用户电脑的IP地址。不需要Modem和电话线，但是需要有网卡才能与LAN通信。同时要求用户电脑软件的配置要求比较高，一般需要专业人员为用户的电脑进行配置，电脑中还应配有TCP/IP软件。局域网接入的特点：传输速率高，对电脑配置要求高，需要有网卡，需要安装配有TCP/IP的软件。通过对比选择使用DDN专线入网，DDN专线的特点：采用数字电路，传输质量高，信道利用率高，数据信息流量大，时延小，通信速率可根据需要选择；电路可以自动迂回，可靠性高，适用于校园网络。广州城市职业学院校园网内部管理和办公采用专线接入的方式上网，校园内学生上网采用宽带拨号上网的方式，保证师生上网方便。3.4.5 网络拓扑图（1）广州城市职业学院学院网络拓扑图 物理拓扑如下： 逻辑拓扑如下：3.4.6 VLAN的划分VLAN技术在在网络领域等到了广泛应用， 尤其在网络管理和网络安全上方面起到了不可忽视的作用。采用VLAN技术对整个网络进行集中管理，能够更容易地实现网络的管理性。例如，在添加、删除和移动网络用户时，不用重新布线，也不用直接对成员进行配置。VLAN提供的安全机制，可以限制用户对安全设备的访问，例如，限制普通用户对计费服务器，安全交换机等的访问。Vlan控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用增强网络管理。VLAN划分原则：便于管理。VLAN划分理念：将几个楼划分在同一VLAN，便于操作管理。VLAN详细划分：1号楼、2号楼和3号楼，即北U字楼，在同一VLAN ，也就是VLAN10；办公楼和图书馆在VLAN20；5号楼、6号楼和7号楼，即南U字楼，在VLAN30；教研楼为VLAN 40;公管楼为VLAN 50;电教楼为VLAN 60;服务器集群在VLAN99中。 具体VLAN详细表楼ID及名称VLAN ID1号楼VLAN 102号楼3号楼办公楼VLAN 20图书馆5号楼VLAN 306号楼7号楼教研楼VLAN 40公管楼VLAN 50电教楼VLAN 60服务器集群VLAN 993.4.7 信息点统计广州城市职业学院联网各楼所在位置及信息点分布情况如下。1层2层3层4层5层6层7层8层1号楼2412102号楼103号楼1829425办公楼17131218图书馆210135号楼2181016号楼889237号楼41974教研楼621212121电教楼484公管楼96889138合计4973.4.8 IP地址的分配原则IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键，也是职业技术学院校园网网络设计中的重要一环。IP地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。划分时注意使用VLAN，充分节约IP地址，使路由交换机上能够采用聚合进行路由的合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段，以便做路由汇聚。IP地址的分配原则如下：（1）给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性（2）考虑到以后的网络扩展规模，二层交换机设备的管理IP地址分配1个C类IP地址；（3）可以考虑为学校校园网分配若干个C类私有地址段。 服务器集群和办公楼的IP获取方式为手动分配，其他的均为通过DHCP获取。上网方式均采用NAT方式。IP地址分配表网络单元地址段地址范围网关上网方式IP获取方式1号楼 ：共有28个信息点1号楼1层/28114NATdhcp1号楼2层6/2817307NATdhcp1号楼3层2/2833463NATdhcp1号楼4层8/2849629NATdhcp2号楼：共有10个信息点2号楼2层/28114NATdhcp3号楼：共有94个信息点3号楼1层/27130NATdhcp3号楼2层2/2733623NATDhcp3号楼3层4/26651265NATDhcp3号楼4层28/2912913429NATDhcp办公楼：共有60个信息点办公楼1层/27130NAT手动分配办公楼2层2/2833463NAT手动分配办公楼3层8/2849629NAT手动分配办公楼4层4/27659445NAT手动分配图书馆：共有25个信息点图书馆1层/2916NATdhcp图书馆2层/28922NATDhcp图书馆3层4/2825385NATDhcp5号楼：共有31个信息点5号楼1层/2916NATDhcp5号楼2层/27938NATDhcp5号楼3层0/2841541NATDhcp5号楼4层6/3057587NATDhcp6号楼：共有48个信息点6号楼1层/28114NATDhcp6号楼2层6/2817307NATDhcp6号楼3层2/2833463NATDhcp6号楼4层8/2749789NATDhcp7号楼：共有34个信息点7号楼1层/2916NATDhcp7号楼2层/27938NATdhcp7号楼3层0/2841541NATdhcp7号楼4层6/2957627NATdhcp教研楼：共有90个信息点教研楼1层/2916NATdhcp教研楼2层/27938NATdhcp教研楼3层0/2741701NATdhcp教研楼4层2/27731023NATdhcp教研楼5层04/271013405NATdhcp电教楼：共有16个信息点电教楼1层/2916NATdhcp电教楼2层/28922NATdhcp电教楼3层4/2925305NATdhcp电教楼4层2/2933383NATdhcp公共卫生楼：共有61个信息点公管楼2层/28114NATdhcp公管楼3层6/2917227NATdhcp公管楼4层4/2825385NATdhcp公管楼5层0/2841541NATdhcp公管楼6层6/2857707NATdhcp公管楼7层2/2873863NATdhcp公管楼8层8/28891029NATdhcp服务器集群/28114NAT手动分配3.4.9 物理/链路层配置原则物理/链路层配置遵循下面的原则：1. 网络设备互连的物理端口都应该绑定端口的速率和全双工模式；2. 所有的Vlan都不要穿透核心层，所有的Vlan都将在汇聚层交换机上终结；3. 本实施方案建议不要启用STP生成树协议，由于所有的Vlan都已在汇聚层交换机终结，在二层上并没有环路存在，故无必要启用；如果开启基于每个Vlan的生成树协议，广播报文将会很多，影响核心交换机性能和网络收敛时间；4. 所有核心层和汇聚层交换机之间的互连端口均设置为Trunk模式，但目前只容许互连Vlan通过，以应付将来有Vlan穿越核心层这种情况；5. 汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。 第4章 网络安全与管理4.1 网络安全概述随着信息技术的不断发展和网络信息的海量增加，校园网的安全形势日益严峻，目前校园网安全防护体系还存在一些问题，主要体现在：网络的安全防御能力较低，受到病毒、黑客的影响较大，对移动存储介质的上网监测手段不足，缺少综合、高效的网络安全防护和监控手段，削弱了网络应用的可靠性。因此，急需建立一套多层次的安全管理体系，加强校园网的安全防护和监控能力，为校园信息化建设奠定更加良好的网络安全基础。 校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻击行为大概有40左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。4.2 威胁网络安全因素分析由于校园网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，校园网络可能存在的安全威胁来自以下方面：1.操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC；2.防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验；3.来自内部网用户的安全威胁；4.缺乏有效的手段监视、评估网络系统的安全性；5.采用的TCP/IP协议族软件，本身缺乏安全性；6.应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。 4.3 网络安全设计4.3.1安全需求 1构建涵盖广州城市职业学院校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。 2. 建立广州城市职业学院校园网全天候的网络监控体系 在校园网关键部位安装网络监控系统，实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用网。4.3.2网络安全的设计原则(1). 网络信息安全的木桶原则;网络信息安全的木桶原则是指对信息、全面的进行保护。(2).网络信息安全的整体性原则。指的是在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。(3).安全性评价与平衡原则对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。(4).标准化与一致性原则。(5).技术与管理相结合原则。(6).统筹规划，分步实施原则。(7).动态发展原则。要根据网络安全的变化不