y衡阳市教育城域网络建设工程投标书.doc

衡阳市教育城域网络 建设工程投标书 第二部分 技术文件 项目 衡阳市教育城域网 编号 HYJY2003 0109 副本 副本 湖南计算机股份有限公司 二 三年一月 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 2 目目 录录 第一部分 教育局中心网站及信息管理系统简介第一部分 教育局中心网站及信息管理系统简介 5 一 概一 概 述述 5 1 1 项目背景 5 1 2设计的原则 5 1 2 1高效实用性 5 1 2 2先进性 成熟性 5 1 2 3开放与标准化原则 6 1 2 4可扩展性及易升级性 6 1 2 5良好的可管理性和可维护性 6 1 2 6具有最佳的性能价格比 6 1 2 7具有高可靠性和安全性 6 1 3 教育局信息中心系统的整体目标 7 1 3 1网络运行及管理中心 8 1 3 2 广域网连接部分 8 1 3 3 网络中心局域网 8 1 4 可行性分析 8 1 4 1 技术方面的可行性 8 1 4 2 经济方面的可行性 9 1 4 3 社会方面的可行性 9 二 教育局信息中心系统解决方案二 教育局信息中心系统解决方案 10 2 1 教育局信息中心方案 10 2 1 1 网络系统方案 11 2 1 1 1 网络需求分析 12 2 1 1 2 教育局信息中心网络建设目标 12 2 1 1 3 设计的依据与原则 12 2 1 1 4 教育局信息中心网络设计方案 13 第二部分 校园网络建设方案第二部分 校园网络建设方案 24 一 用户需求分析一 用户需求分析 24 前言 校园网的发展基础 24 1 衡阳市各中小学校园网网络总体目标 26 2 校园网设计原则 27 3 校园网建设的整体内容 28 二 网络方案设计二 网络方案设计 29 1 选型原则 29 2 现有网络技术介绍 30 2 1以太网 Ethernet 30 2 2快速以太网 Fast Ethernet 30 2 3令牌网 Token Ring 31 2 4光纤分布式数据接口 FDDI 31 2 5异步传输模式 ATM 31 2 6千兆位以太网技术 Gigabit Ethernet 32 3 网络技术选型结论 33 4 综合布线系统方案 34 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 3 4 1结构化布线设计的要求 34 4 2结构化布线组成 35 4 3结构化布线方案设计 36 4 4工作区子系统 36 4 5水平布线子系统 37 4 6管理间子系统 38 4 7垂直子系统 38 4 8设备间子系统 38 4 9管线方案 39 5 本方案设计概述 40 三 校园网软件平台整体解决方案三 校园网软件平台整体解决方案 42 校园网软件综述 42 1 校务管理系统 42 2 VOD点播系统 46 3 多媒体网络教学系统 48 4 电子阅览系统 53 5 课件制作系统 56 第三部分 多媒体电脑教室解决方案第三部分 多媒体电脑教室解决方案 58 一 参考解决方案一 参考解决方案 58 方案一 58 方案二 58 方案三 58 二 多媒体网络教室解决方案二 多媒体网络教室解决方案 60 多媒体网络教室的设计方案 60 多媒体网络教室拓扑图 61 多媒体网络教室的特点 62 多媒体网络教室的功能 62 第四部分 学生教室解决方案第四部分 学生教室解决方案 64 一 系统概述一 系统概述 64 二 技术特点二 技术特点 66 三 网络结构及系统功能三 网络结构及系统功能 69 3 1 校园网网络平台 69 3 2 多媒体教学子网 69 3 3 数字视频监控 网络教学评估子网 73 3 4 校园数字广播子网 74 四 硬件构成四 硬件构成 76 4 1 服务器 76 4 2 视音频编码器 76 4 3 嵌入式多媒体教学终端 多媒体校园网专用计算机 78 4 4 一网通网管工作站 79 第五部分 主要产品技术规格说明第五部分 主要产品技术规格说明 81 一 交换机 81 1 校园网中心交换机 中学 81 2 校园网中心交换机 小学 83 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 4 二 校园网服务器 85 三 办公电脑 备课电脑 教师机及学生机 86 四 防火墙 87 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 5 第一部分 教育局中心网站及信息管理系统简介第一部分 教育局中心网站及信息管理系统简介 一 概一 概 述述 1 1 项目背景项目背景 人类文明迈进二十一世纪新纪元 我们迎来了数字化信息时代 它正在渐 渐地改变着人们的工作 学习以及生活的方式 计算机网络 互联网扮演着越 来越重要的角色 特别是教育领域 传统的教学模式正面临着重大变革 在当 今知识经济时代 竞争归根到底是科教兴国战略 将教育摆到了重中之重的位 置 国家在 关于深化教育改革全面推进素质教育的决定 中明确提出 要大 力提高教育技术手段的现代化水平和教育信息化程度 加强经济实用型平台系 统和校园网或局域网的建设 电脑教室 校园网 教育中心网站 网上学校的 出现 使得接受教育不再受时间 地域或是年龄的限制 边远地区的孩子因此 将能够得到与沿海地区的孩子同等的教育 所有人将因此得到受高等教育的机 会 国民的整体素质将极大的提高 而育人的单位 学校 隶属于各地 的教育机构 在管理和教学上与各地教育局和电教馆密不可分 因此在网络建 设时应当充分考虑和当地教育管理机构与各校园网之间的互连 实现教育管理 机构对各个学校信息管理和教学资源的上下交互 实现教育局和学校的信息交 流 教育局信息中心系统的建设将在这场变革中担当起一个重要的 不可替代 的作用 教育局信息中心化的建设将是推进教育事业迈向信息化的高速公路 教育局信息中心系统体现了在 21 世纪教育中以因特网为沟通媒介 以多媒 体教学为手段的计算机辅助教学的重要性 1 2 设计的原则设计的原则 教育局信息中心系统的建设将是一项关系到教育局运营的重大网络工程 它的设计必须遵循以下原则 1 2 1 高效实用性高效实用性 作为一个系统 实用性永远是放在第一位的 我们的根本原则就是能最大 限度地满足教育局信息中心系统建设实际的需要 方案所推荐的主要技术和产 品具有成熟 稳定 实用的特点 并充分满足教育局各个下属单位园区网接入 的需要 1 2 2 先进性 成熟性先进性 成熟性 作为一个系统 先进性是系统赖以生存发展的基础 只有先进的系统 才 能充分发挥计算机的能力 才能发展 才能体现良好的低投入高产出的投资收 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 6 益 方案所推荐的快速以太网技术及三层交换技术是目前世界上先进的网络技 术 1 2 3 开放与标准化原则开放与标准化原则 只有开放的系统 才能充分发挥计算机的能力 只有坚持标准化的系统 才能保护用户的投资 才能体现良好的可扩展性和互操作能力 从国内外的一些系统建设的实际经验和教训来看 开放性与标准化原则如 不能保证 则会在系统的使用阶段出现后期使用的维护困难 系统维护费用加 大 甚至必须重复投资等问题 为了与这些专用系统互联 所耗费的代价甚至 与新建系统不相上下 形成了一种 食之无味 弃之可惜 的 鸡肋 现象 本系统是一个开放的系统 网络产品具开放性 采用 TCP IP 协议作为主协 议 主要产品 如服务器 网络等都支持开放的 CLIENT SERVER 结构 并且 所选产品都遵循相应的标准 1 2 4 可扩展性及易升级性可扩展性及易升级性 面对中国 IT 的飞速发展 系统的计算机设备和网络设备必须有非常好的扩 充性 并且 随着世界网络技术的不断发展 主干网络设备应能平滑升级 因 此 在设计中 应当保证系统结构模块化 软硬件平台可以积木式拚装 如 服务器可通过添加系统板扩充 CPU MEMORY I O 硬盘等 网络中的设备也 应选用扩充性极强的设备 1 2 5 良好的可管理性和可维护性良好的可管理性和可维护性 教育局信息中心系统是由多种设备组成的较为复杂的系统 因此我们着重 考虑所选产品具有良好的可管理性和可维护性 所选产品具有良好的可管理性 和可维护性 1 2 6 具有最佳的性能价格比具有最佳的性能价格比 我们仔细分析讨论了教育局信息中心系统的需求 力求设计紧贴用户需求 在设计上寻求最佳的性能价格比 1 2 7 具有高可靠性和安全性具有高可靠性和安全性 本方案所采用的主要产品采用可靠性设计 服务器采用高可靠性技术 力 求系统安全 可靠 稳定的运行 系统的安全性是保证整个系统正常运转的前 提条件和基础 也是教育局信息中心系统的重要要求之一 1 系统安全 系统安全 用户口令 存取权限体系完善 系统具有基本的安全管理机制 如 用户 标识 口令检查 存取权限制度 为满足这一需求 选用 NT 操作系统 其多 用户 多任务 适于大系统的维护管理 并且提供了完备的权限管理功能 符 合 C2 安全级标准 此外 选用客户 服务器体系结构 数据可统一保存在服务 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 7 器上 有利于系统数据的安全保密和一致性 保证系统的正常运行 除操作系 统的安全性以外 大型关系数据库的权限管理和应用程序也为系统提供了相应 的安全机制 2 硬件设备安全分析 硬件设备安全分析 环境安全 运行环境中具有防静电 避雷 温度 湿度 防火等方面的安全措施 故 在整个系统设计中 要严格按照机房设计标准建造机房 并对计算机系统采用 不间断电源 UPS 保护 确保整个系统在运行过程中 造成不必要的系统损 坏 硬件设备安全性 在网络主设备及主服务器的选择上 考虑到其可靠性 如 网络接口冗余 支持热插拔 电源可实现均衡负载和冗余 热备份等 3 软件安全保密 软件安全保密 操作系统 系统程序 应用软件运行稳定 在应用软件开发中 遵循安全 可靠 实用的原则 在充分利用现有的系统支持软件基础上 进行应用软件的 设计 开发 权限控制体系完备 根据 NT 操作系统的权限管理体系 可建立完善的权限 管理机制 防病毒 防非法入侵 主机系统采用的是具有很强防病毒干扰能力的操作 系统 利用其严格权限管理机制 可以防止病毒 防非法入浸 4 数据安全 数据安全 备份策略 若有备份系统 可及时将数据从运行系统中传送到备份系统 另外 对关 键数据要定期作磁带备份 以保证数据的安全完整 防止传输 存取错误 选用具有可靠传输能力的网络结构 网络协议采用 TCP IP 协议 该协议支 持可靠的数据传输 可以在收到数据的同时 进行差错检测 并在发现错误时 建立重传过程 防止信息泄漏 由于采用符合国际标准的 C2 安全级操作系统和大型关系数据库 可以做到 操作系统 数据库 应用程序三级保护 保证数据完整性 系统结构选用 Client Server 体系结构 数据库选用大型关系数据库 系统 数据统一存放在主机数据库中 并配有数据库提供的数据恢复 错误处理功能 可充分保证数据的一致性和完整性 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 8 1 3 教育局信息中心系统的整体目标教育局信息中心系统的整体目标 整个系统的建设 应用是关键 通过建立信息系统的基础结构 进而全面实现办公自动化 网络化 电子 化 全面信息共享 信息系统的建设是教育局信息中心化进程中的一个里程碑 它提高了教育局在行政 教育和管理方面的效率 并且利用网络为学校提供优 质的多元化服务 因而推动和加速了整个教育局的信息化发展 众所周知 建 设教育局信息中心系统的根本目的是为学校的教学 教育局的教研和管理提供 先进实用的计算机网络环境 为教育局的发展 全球信息资源的共享而服务 作为教育局信息中心系统 我们建议应当由以下的几个部分组成 1 3 1 网络运行及管理中心网络运行及管理中心 网络运行及管理中心为教育局信息中心提供信息 管理与技术的支持 并 负责各个学校及有关单位的园区网的连入管理 包括 IP 地址的总体分配和域名 的申请等 同时 网络运行管理中心收集本地网络运行的状态信息 维护本地 网络的正常运行 并将必要的管理信息向上级传送汇报 主要功能将包括 监控本区域网络及网络设备和流量 发现并排除各种网络故障 维护网络的正常运转 收集 统计 保存和交换网络的状态参数 实施整个网络的计费功能 1 3 2 广域网连接部分广域网连接部分 广域网连接部分主要包括各个校园网的接入 各个学校的园区网可以根据 各地的实际情况通过公用数据网或公用电话网或无线接入 1 3 3 网络中心局域网网络中心局域网 教育局信息中心建设自己的局域网 并以此为平台组建教育局教育研究中 心及培训中心等 可以负责一定的教研开发工作 并可以向所属单位园区网提 供技术支持和咨询 指导各个园区网的建设和管理 定期对所属范围的网络管 理人员进行技术培训 举办各类培训班 同时 网络中心局域网将上述的各个 部分连接在一起 并根据实际的需要 兼顾速率 安全 开放性等方面的因素 1 4 可行性分析可行性分析 目标和方案的可行性 可从以下几个方面进行分析 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 9 1 4 1 技术方面的可行性技术方面的可行性 技术人员具有所需的技术水平 基础管理技术满足系统开发要求 组织系统可以合理组织人 财 物及提供售后服务支持 硬件可满足本系统需要 软件可满足本系统需要 1 4 2 经济方面的可行性经济方面的可行性 信息系统建设的投入是一项复杂的综合性工程 建设时间长 投资费用高 因此 必须做到项目的总体规划 分系统 分步骤进行 并考虑前后建设的连 续性 避免重复性投资和资源浪费 对于计划投入开展的项目 要预算充分 按期达标 1 4 3 社会方面的可行性社会方面的可行性 教育局信息中心系统的建设可提高教育局自身的现代化管理水平 提高各 科室的工作效率 及时掌握各种相关信息 提高处理各种教学与管理业务的能 力 提高管理质量和管理水平 通过现代化技术手段 利用计算机网络与通信 技术 为教育局的信息化管理提供服务 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 10 二 教育局信息中心系统解决方案二 教育局信息中心系统解决方案 2 1 教育局信息中心方案教育局信息中心方案 以下是教育局信息中心系统的总体结构拓扑图 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 11 2 1 1 网络系统方案网络系统方案 前前 言言 计算机发展的数据和质量以及应用的深度与广度 已成为衡量 一个国家和地区的科学技术和经济发展水平的重要标志 这种以计 算机技术为先导的现代化科学技术对人们的素质提出了更高的要求 为了适应这种时代的要求 必须发展教育信息化 以提高整个民族 的科学文化素质 而作为教育事业的领头羊 教育局信息中心 的建设 将成为教育信息的集散地和社会了解教育状况的重要渠道 成为各级教育行政部门领导辅助管理的手段 成为教科研人员的助 手和成果交流的园地 成为学校师生的良师益友 为实现办公自动 化 远程多媒体教学等打了良好基础 是向二十一世纪教育的改革 和发展 面向教育市场中站稳脚跟的根本性 关键性一步 随着数 字化网络大潮的冲击 如何在教育市场中站稳脚跟 乃至稳立潮头 如何在国家有要求 学生有需求 资金跟不上的情况下广开思路 多辟渠道 花最少的钱 在最短的时间内完成现代化行政管理和信 息处理技术教育 全面实施素质教育 成为摆在教育局面前一个重 要课题 作为实施行政管理职能的教育局 应该尽快完成信息处理 技术基础和行政管理技术平台 提高行政管理水平 成为现代化网 络教育的基础和前提 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 12 2 1 1 1 网络需求分析网络需求分析 教育主管部门网络管理系统的建设是为教育局办公 管理提供服务的 网 络系统建设主要目标是在教育局管辖范围内 采用国际标准网络协议 建立在 教育局内联网 BDFZ Intranet 并通过高速信道与教育科研网 Cernet 中 国互联网 China NET 相连 同时建设信息资源管理中心 为了提高教育局工作效率和管理水平 应在教育局信息中心联网并建立计 算机辅助办公支持系统 建立远程教学系统资源管理中心 建立能覆盖各学校 主要职能部门的综合管理信息网 能处理各学校的主要事务 并且信息中心要 具有信息共享 传递迅速 使用方便 高效率等特点 2 1 1 2 教育局信息中心网络建设目标教育局信息中心网络建设目标 教育局信息中心网络建设目标是将教育局的各种 PC 机 工作站等 通过 高性能的网络 连接到各种服务器上 组成分布式的计算环境 使其成为提高 办公 管理水平必不可少的网络支撑环境 教育局信息中心局域网是整个教育 局信息中心系统的一部分 通过专线或无线与下属学校相连 本着建设一流教育局信息中心的精神 我们提出了以下教育局网络建设目 标 1 内部信息发布 教育局向各学校发布规章制度 规划 计划 通知等公 开信息等 2 电子邮件 教育局内部的电子邮件的发送与接受 3 文件传输 教育局内部的文本文件 图象文件 语音文件等发送与接收 4 资源共享 文件共享 数据库共享 打印机共享 多媒体课件共享等 5 外部通信 通过广域网或专线或无线或卫星宽带连接 可与学校或国内 外的同行进行信息交流 6 接入因特网 通过 ISP ADSL 接入 ChinaNet Internet 对外发布信息 2 1 1 3 设计的依据与原则设计的依据与原则 2 1 1 3 1 设计依据 1 中国教学和科研计算机网络 CERNET 工程技术规范书 2 中华人民共和国计算机信息网络国际联网管理暂行规定 3 有关的网络技术国际标准 4 RFC 有关文件 2 1 1 3 2 设计原则设计原则 1 开放原则 采用开放标准 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 13 采用开放技术 采用开放结构 采用开放系统组件 2 可靠原则 设计结果稳定可靠 具有高 MIBF 平均无故障时间 和 MTBR 平均无故 障率 采用开放用户接口 3 实用原则 实用有效是最主要的设计目标 设计结果能满足需求行之有效 提供容错 设计 支持故障检测和恢复 可管理性强 4 安全原则 安全措施有效可信 能够在多个层次上实现安全控制 5 先进原则 设计思想先进 软硬件设备先进 网络结构先进 6 完整性原则 考虑到系统的各方面因素 实现优化的网络设计 安全的数据管理 高效 的信息处理 友好的用户界面 7 高效原则 性能指标高 软硬件性能充分发挥 8 灵活原则 系统配置灵活 备用和可选方案多 能够适应应用和技术发展需要 9 可扩展性 能够在规模和性能两个方向上进行扩展 扩展后的性能有大幅度提高 10 模块化 每种功能都由一定的模块来实现 方案只需要选择不同的模块 并将这些 模块组合即可 使系统集成的过程更加简单明了 2 1 1 4 教育局信息中心网络设计方案教育局信息中心网络设计方案 2 1 1 4 1 主干网络的选择主干网络的选择 2 1 1 4 1 1 网络通道技术选择网络通道技术选择 流量分析 主干网络作为教育局信息中心的运行核心 它决定整个教育局信息中心网 络的性能 根据统计 一个运行良好 提供服务齐全的网络中 各子网间的通 讯和子网内部通讯大约各占 50 而且随着多媒体技术的发展 多媒体主页 视频点播 多点广播 大量采用 这些都要占有大量主干带宽 以及虚拟网技 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 14 术的采用 传统子网概念已经变化 使得一个子网可以分布于整个网络 导致 子网内部通讯也要通过主干网络 因此经过主干网络的流量将占 80 以上 这 就要求主干网络必须具有极高的传输速率 最大限度的避免堵塞 作为主要的 数据通道 主干网络的瘫痪就意味着整个教育局网络的崩溃 因此主干网络必 须采用已经标准化的技术 有极高的稳定性和冗余度 网络技术分析 纵观目前计算机局域网技术 适合作为高速主干网结构的主要有 快速以太网 FDDI ATM ATM 采用基于信元异步传输模式和虚电路结构 根本上解决了多媒体传输 的实时性和带宽问题 实现面向虚链路的点到点传输 通常提供 155Mbps 的 带宽 ATM 有两个标准 NNI 与 UNI 目前 UNI 已制定出标准 而 NNI 还未 形成标准 这样不同厂家的 ATM 产品互连存在着问题 由于 ATM 技术不成熟 若过早的采用 ATM 产品 就不能有效地保护用户现有的投资 而且应用到桌 面情况下 ATM 价格还太贵 此外 ATM 与传统通讯协议如 SNA DECNet NETWARE 等的互操作还有限 但是 毫无疑问 ATM 将成为 工作组网 多媒体网和企业网发展的目标 将局域网与广域网最终隔合为一个 统一的 ATM 通讯世界 ATM 的优越性是如此明显 使人们迫不及待地将它推 向了市场 并以指数级的增长速度迅速普及 因此 当前方案应充分考虑的是 能否平滑过渡到 ATM FDDI 与快速以太网均属于成熟技术 而且 FDDI 的使用很普遍 但它的发 展已受很大的限制 而且成本一直属高不下 正逐渐被新兴的交换技术所替代 它与快速以太网相比有以下特点 1 目前的大多数 FDDI 产品 不能平滑过渡到 ATM 而现有厂家大都支持 快速以太网到 ATM 平滑过渡 2 FDDI 提供 100Mbps 带宽 当帧从 FDDI 到以太网转发时 以太网 10Mbps 带宽将成为瓶颈 3 快速以太网可采用全双工 200Mbps 连接 FDDI 在某一时刻只能单方向 传输 半双工 4 快速以太网与以太网采用相同的帧格式 无需任何转变 大大提高了转 发速度 5 快速以太网通过生成树增加容错特性 FDDI 采用双环容错技术 但其 代价比快速以太网要高 而且在断环的情况下 严重影响通路情况 6 快速以太网交换机支持虚拟网 可有效地增加网络性能 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 15 7 交换式以太网具有倍增网络带宽 灵活地划分网段 实现虚似 LAN 的 特点 高速以太网联盟认为 千兆以太网是 100Base T 的真正继承者 千兆以太 网保留了大多数 100Base T 的布线规则和 CSMA CD 媒质访问方式 具有以下 特点 从传统 100Base T 以太网的升级较容易 投资少 与现有 100Base T 网的集成也很简单 工业支持较强 竞争激烈 使产品价格相对较低 安装和配置简单 现有的管理工具依然可用 支持交换方式 有全双工方式通讯的产品 建立教育局信息中心的网络系统应高起点 统一全面规划 并考虑到将来 的扩展与投资的保护 因此 为适应教育局的发展 以可延展的方式提供更多 的带宽 满足复杂的事务处理能力 教育局信息中心的主干采用领导高速网络 发展 先进交换技术的快速以太网为主干 并充分考虑将来到 ATM 的升级 2 1 1 4 1 2 信息中心路由分析信息中心路由分析 根据前面分析 一个多媒体网络 60 甚至 80 以上的流量要经过路由 采 用传统的路由方式连接各子网必须导致大量数据在路由器上汇集 发生堵塞 从而导致丢包 会大大限制多媒体应用 因此必须采用先进高效的路由技术 保证整个教育局网络在网络层畅通无阻 第三层交换技术分析 第三层网络路由交换机的出现为大型多媒体网络提供了新的解决方案 通 过使用第三层路由交换机 可以大大提高 IP 包的转发速度 第三层交换技术可以分为两类 基于包的交换和基于流的交换 基于包的交换 采用与传统路由器相近的交换方式 对每一个包进行检查 3COM 的第三 层交换机凭借 3COM 先进的 AISC 技术 对 IP 包直接进行芯片道路级处理 速度大大高于路由器采用的基于 CPU 的处理方式 能够提供全线速的转发 避免发生堵塞和丢包 同时完全兼容路由器的 RIP 1 和 RIP 2 协议 能够与传 统路由器进行相互的自学习 掌握整个网络的路由信息 采用基于包交换的第 三层交换机 网络的配置 设备和软件都不需要变动 能够实现基于包的安全 控制 基于流的交换 当需要进行跨路由数据传输时 第一个包进行常规路由处理 后续包直接 进行转发 在处理器性能不高时 基于流的交换是一种常用的提高路由的方法 但是有极大的缺陷 没有通用标准 与路由器技术不兼容 无法与路由器自动 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 16 交换器由信息 需要支持基于流交换的网卡和驱动程序 安全性能低 不支持 先进的网络安全控制 因此高性能网络不应该采用基于流的交换 2 1 1 4 2 网络产品选型网络产品选型 在教育局信息中心网络中 主干线采用的是千兆位 因此需要主干设备要 有较高的交换能力 拥有英特尔新一代高密度千兆位连接 满足教育局网络中 的高通信量工作站 工作组和服务器的需求 通过现有铜线线缆或光纤集合工 作站服务器群可以提高多媒体应用的运行速度 同时减少瓶颈并提供非堵塞性 能 提供第二 第三 第四层无堵塞性能 强大的带宽整形功能和八个 802 1 优先级排队 以实现完善的第二 第三 第四层通信控制 最大的介质灵活性 保护了超 5 类线基础设施投资 并以光纤 GBIC 突破了距离的限制 在教育局信息中心网络中 采用的第三层交换机是基于包进行交换的 能 够进行分布路由 为了避免发生堵塞 第三层交换机必须能够提供接近交换速 度的路由能力 另外为了在整个网络上实现虚拟网划分 第三层交换机还必须 支持分布式的虚拟网设置 在关键子网 保证与主干网络高速通道的足够带宽 以及冗余连接 根据以上分析 我们充分考虑了系统的性能价格比 采用了具有高可扩展 性和稳定性 最标准的英特尔公司的全套网络产品 考虑到主干网络设备具有 千兆以太的交换能力 同时支持链路汇聚功能 以保证网络的带宽 另外还要 支持 VLAN 划分 提供灵活活的网络配置 并且在教育局信息中心将要使用大 量的光缆布线 我们选择 3COM 的Super Stack 3 Switch 4400做为第三 层交换机 3Com SuperStack 3 Switch 4400 在一个简单经济的平台上提供了高性能的功 能丰富的 10 100 以太网交换 是新一代智能化局域网交换机 SuperStack 3 Switch 4400 对所有网络应用都是理想的选择 该 48 端口可堆叠交换机 在所有 10 100 端口上和两个上行线路模块上提 供全线速性能 可完全支持网络电话 弹性堆叠 基于硬件的数据包检查 识 别和分类 过滤不需要的通信流量 自动检查电缆类型和质量 可自动配置链 路聚合和弹性链路 这些增强的功能与 3Com Network Supervisor 3Com 的免 费网络管理软件 的组合使得 SuperStack 3 Switch 4400 适用于任何规模的网络 SuperStack 3 Switch 4400 支持固有的网络弹性功能 如生成树 弹性链 路 链接聚合和高级冗余电源 让您建造可靠的 具有容错能力的网络 每个 端口自动检查电缆连接 消除电缆交叉和单端口配置 您可以选用插入模块 提供节省成本的弹性高速连接 例如千兆以太网主干链路 保证最终用户能快 速访问重要的网络资源 服务器配置服务器配置 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 17 中心服务器需求 网络的中心服务器将使教育局服务中心能顺利为地为整个教育局的教职员 工提供 Internet 访问和各种教育信息等服务 系统需要包含以下服务功能 WWW World Wide Wed 服务 E mail 服务 BBS 服务 DNS 服务 网络管理 教育局信息中心管理 教育局信息中心需要配置若干台工作站 按照规划 这些工作站可用来作课件 制作资源共享 网管系统平台等 中心服务器和这几台工作站一起 初步完成 以上所有功能 根据目前情况和技术发展 建议采用 COMPAQ P5408A 服务器 使用该服务器实现以下功能 域名服务器 DNS DNS 用来在 Internet 通讯中把机器名解析成 IP 地址 这个服务器要求有较 大的内存来存放一些表示可以加速查找 DNS 消耗内存较多 对硬盘要求较少 因此 我们将配置较高的内存 Internet 信息服务器 Internet 信息服务器主要用来为本地提供各种 Internet 信息服务和存诸 Netnews 数据 寄存的 WWW Home Pages 数据 和 E mail 等 该服务器将 来也可提供 BBS 和 Internet Relay Chat 等服务 教育局综合信息管理服务 教育局信息中心的主要应用范围 主要应用于教育局的办公 教研管理等 用于管理 行政管理 教学管理 科研管理 用于内外信息交流 电子公告 电子新闻 访问各种公共网络 电子邮件 语音邮件服务 文件传输服务 数据库服务 多媒体信息服务 资料检查询服务 电子会议服务 根据网络服务性质的不同 对服务器的处理能力要求也不一样 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 18 Web 服务对数据库访问请求多 任务重 实时性要求高 必须使用高性能 的服务器 为了提供高质量的网络服务 必须使用拥有强大的处理能力和高度稳定性 的服务器系统 Mail 服务数据量比较大 但是实时性要求低 因此对处理器的性能没有太 高要求 而应该提供足够的硬盘空间 DNS 被访问的比较频繁 但是由于只是 负责解析本地域名下的 DNS 服务 数据最较小 占用系统资料很少 多媒体 服务数据量极大 要求网卡 硬盘和总线速度快 对 CPU 要求不高 为了完成上述大量的网络管理的网络服务工作 我们选用下面几台服务器 一台 MAIL VOD 服务器 一台主服务器 均采用 COMPAQ P5408A 服务器 举 例说明 2 1 1 4 3 网络具体设计方案网络具体设计方案 2 1 1 4 3 1 高速主干网络通道高速主干网络通道 根据前面分析 教育局信息中心主干网络采用千兆以太网 使用 3COM Super Stack 3 Switch 4400 与各节点相连 2 1 1 4 3 2 高速节点高速节点 高速节点使用3COM Super Stack 3 Switch 4400 负责本节点的交换 事务 4400 通过增加 100MFX 光纤模块 由光缆接入网络中心的 4400 为增 加交换能力 网络中心的 4400 实行堆叠 3COM Super Stack 3 Switch 4400 提供 48 个 10 100M 自适应以太端口 采用了基于端口的自适应交换方式 两个扩展插槽 扩展插槽能够使用单口 1000BaseSX 模块 双口 100BaseFX 模块 4 口 100 10BaseTX 自适应模块 和堆叠矩阵模块及堆叠接口模块 单台 4400 具有 8 8G 的交换带宽和 8MB 的 缓冲区 最短延迟为 6us 通过使用堆叠矩阵模块和堆叠接口模块 可以最多 堆叠七台 4400 在增加端口的同时 交换带宽同步增加 可以达到 61 6G 保 证了交换性能 支持 RMON1 3 9Groups 和 SNMP 提供了图形化的3Com Network Supervisor网络管理软件 可以通过 Web 管理 通过采用冗余电源和温 度传感器 提高了设备的可靠性 2 1 1 4 3 3 虚伪网划分虚伪网划分 虚拟网 VLAN 技术同传统的网络一样 也是由一个一个物理的网络组成 划分虚拟网以后 一是可以隔离广播 交换机只能隔离冲突 不能隔离广播 划分 VLAN 可台有效的防止广播风暴 同时也可以增加网络的安全性 二是可 以不依据地理位置来划分逻辑子网 同一虚网内的用户不一定都连接在同一物 理网段上 就是说同一虚网内的用户可以在同一座大楼内不同的办公室里 也 可以在不同的大楼甚至可以在不同的城市工作 他们是逻辑的连接在一起 而 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 19 不是物理的连接在一起 虚似网的划分和管理是利用软件来实现的 属于同一 虚拟网的用户 无论工作需要移动到哪一个网段上 都不必改变网络的物理连 接从而保证了用户移动的灵活性 虚拟局域网不再采用传统的路由集线器构造 而是采用交换机和高速主干 链路将不同类型的局域网段连接起来 这种方式不仅增加了网络带宽 而且降 低了时延和选路瓶颈以及管理开销 交换式虚拟网络是通过在不同的 LAN 网段上的节点之间建立高速的交换连 接 来消除 LAN 的物理拓扑结构所固有阻塞的一种技术 具体地讲是通过交换 技术使网络资源由共享变为独占方式 而且能提供所需要的高速度 虚拟拟网 则是用逻辑智能来构造网络 使处于不同网段的用户可以通过软件设置而处于 同一逻辑局域网内 形成逻辑工作组 而不必将其进行物理连接 并保证网络 的稳定性和安全性 交换式虚拟网络在带宽利用 组网费用和网络管理等方面都具有十分优越 的性能 本方案所采用的设备 3COM 快速以太网交换机可以提供强大的支持虚 假网的性能 利用网管软件可以方便地划分 VLAN 通过虚似子网划分 把网络分为几个逻辑区域 分别对应 IP 子网 相互之 间通过第三层网络交换通信 由于教育局各单位位置相对集中 因此子网划分 可以大体依据物理位置 然后为了管理方便 可以根据实际情况进行调整和分 割 中心子网 中心子网是处于整个教育局信息中心的拓扑中心位置 包含了整个教育局 网络系统的主干设备 位于网络中心的服务器系统和与 CERNET 连接的路由 器 网络中心位于中心子网 负责管理和维护整个教育局网络 中心子网负责 向整个教育局信息中心提供服务 其它子网 其它子网的划分先按照每个高速节点对应一个虚拟网的方式进行划分 并 且对应一个或者一部分 C 类 IP 网络地址 子网的分割 由于以节点为子网划分依据 每个子网范围较大 可能包括几个部门 不 利于管理 也容易发生 IP 地址盗用问题 不利于计费 因此应该根据具体情况 分割成为小子网 从而进行以小子网为单位的管理 分布路由设置 由于 3COM 的网络产品支持分布式的虚拟网设置 因此整个网络只需要维 护一套虚拟网列表 路由是基于虚拟网基础上进行的 每个虚拟网有一个缺省 网关 由于教育局信息中心网络中第三层网络拓扑结构比较简单 只有星形结构 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 20 不存在环路 配置都非常固定 因此不必使用 PIP 等路由协议 只需要设置简 单的静态路由表即可 当计算机与其它子网通信时 数据包发送到缺省网关 然后 4400 自动把信 息包发送到响应的子网 第三层交换 然后目的计算机所在的 4400 把数据转 发到目的计算机所在的端口 第三层交换 2 1 1 4 3 4 广域连接广域连接 广域网连接的设计直接影响到网络的访问速度 性能价格比 扩展性和安 全性 主干网连接 连接主干网的设备 通常有较多的网络接口 汇集了大量的数据流量 并 且往往要保存复杂而庞大的路由表 再加上有骨干网的高可靠性的需要 所以 对设备的要求比较高 网络中心的广域网连接采用一台 Intel 路由器 为各个园 区网连入提供连接 Intel 路由器支持目前所有的主要网络协议和路由协议 WAN 的接口支持 X 25 FrameRelay ISDN 等 并且它有扩展插槽 支持所 有的 LAN 接口 下属园区网的接入 网络中心使用上述的 CISCO 路由器 同时作为下属园区网通过专线或无线 的接入 同时 选用 CISCO 路由器作为所拨号访问的服务器 提供异步拨号 入网 这里的路由器既可以作为网络中心用户的拨号访问服务器 也可以作为 公用数据网的拨号备份使用 路由协议 网际的路由协议一般按照骨干网与园区网来划分 园区网在采用中心路由 的情况下 采用简单的静态路由即可 而骨干网的路由需要根据骨干网的具体 结构来定 一般来说 网状的骨干网结构使用 OSPF 协议 如 CERNET 即采 用此种协议 而树状结构的骨干网一般采用静态路由即可 而且速度较快 教育局信息中心的 WAN 连接的路由协议 可根据具体的骨干网结构来选择 相应的协议 2 1 1 4 3 5 网络管理网络管理 网络管理对于一个大型化的网络是至关重要的 同时也具有挑战性 对教 育局信息中心的管理主要采用基于 Intel Device View for Web 的管理方法 基 于 Intel Device View for Windows 的管理方法进行辅助管理 而基于 telnet 和 终端仿真的管理方法作为备用 通过 CISCO 提供的管理方法 可以设置完善 的管理员安全策略 能够有效地防止非法用户窃取管理员权限 对网络进行任 何改动 对于整个教育局信息中心网络的管理 我们采用3Com Network Supervisor作 为网络管理软件 它是世界上使用最为广泛最为成功的网管软件之一 能对多 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 21 个厂家提供的支持 SNMP 协议的交换机 集线器 路由器 打印机 PC 机与 工作站进行管理 这样我们可以查看网络上使用的硬件和软件的清单 诊断并 解决远程工作站的问题 给网络用户快速分发最新软件 检查用户软件的 License 检测客户机上的病毒 使用加密和解密保证网络的安全 监视服务器 的性能并能设定报警值 2 1 1 4 3 6 网络安全网络安全 Internet Intranet 为我们带来巨大收益的同时 也带来了令人头疼的安全问 题 因此 在教育局信息中心的网络组建过程中 必须从以下两个方面来慎重 地考虑与 Internet 互联的安全防范问题 一方面 Internet 的发展也使得 黑客 盛行 近来 黑客 非法攻击 企业网络的事件时有发生 如信息服务器站点的内容被恶意篡改 内部的机密 被非法地获得 这一切都带来了无法估量巨大损失 另一方面 Internet 网上各种站点多且杂 内容参差不齐 有良有莠 如果不加限制 会产生许多不良后果 为满足上述的安全要求 通常采用防火墙系统来加以限制 它能够很好地 把教育局网络与 Internet 隔离开 保护内部的信息资源 有效地防止来自 Internet 的攻击 防火墙安全保障体系常用的拓扑结构 对于组建 Internet 安全系统时 出于对更高的安全性的要求 通常把各种 安全技术 包括包过滤与应用网关的防火墙技术 数据加密技术 认证技术等 结合使用 形成所谓的复合型防火墙系统 通常 适用的安全保障结构有 多目主机 Dual homed Host 结构 屏蔽 主机 Screened Host 结构和屏蔽子网 Screened Subnet 结构 1 多目主机结构多目主机结构 多目主机结构型防火墙系统主要由一台多目主机构成 多目主机一般具有 两个以上网络接口 它的位置位于内部网络与 Internet 的连接处 运行软件包 的应用代理程序 充当内 外部网络之间的转发器 多目主机关闭了正常的 IP 路由功能 使来自一个网络接口的 IP 包不能直接到达另一个网络接口 内部网 络与外部的通信完 多目主机可以使用包过滤技术与应用网关技术 并且在网络结构上简单明 了 易于实现 成本低 能为内部网络与外部网络的通信提供较为完善的控制 机制 如监测 认证 日志文件等 多目主机对外屏蔽了内部网络的结构 使 内部网络对外部看来是 不可视 的 多目主机在配置原则上遵循 未被明确 允许的服务将被禁止 尽可能地为内部用户提供已知的必须的服务 如 WWW E mail FTP Telnet 与 NEWS 等 尽可能地减少多目主机的安全威 胁 另外 多目主机还作为向外部提供信息服务的服务器 如 WWW FTP 等 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 22 由于多目主机是内部网络与外网络互相通信的桥梁 因此当内外部网络之间的 通信量需求比较大时 多目主机本身将成为通信的瓶颈 因此 多目主机的硬 件平台应当尽可能地选用性能优良的工作站 多目主机结构把整个网络的安全性能全部寄托于其中的单个安全单元 而 单个网络安全单元的实际中往往是受攻击的首选目标 2 屏蔽主机结构屏蔽主机结构 屏蔽主机结构型防火墙系统由屏蔽路由器与壁垒主机构成 屏蔽路由器位 于内部网络与 Internet 之间的连接处 而壁垒于内部网络之上 这种结构中 屏蔽路由为系统提供主要的安全功能 壁垒主机则提供面向应用的服务 屏蔽路由器使用过滤技术 它只允许壁垒主机与外部网络的通信 使壁垒 主机成为 Internet 上其他节点所能到达的唯一节点 并同时根据设立的过滤规 则进行控制 对内部网络中其他主机对外的通信 屏蔽路由器将予以拒绝 而 这些主机的对外通信 必须通过壁垒主机来完成即 此外 为保证上述固定的数据路径不被更改 屏蔽路由器上应当采用静态 路由设置 并且路由器应当不接受 ICMP ARP MOP 等网络协议 也不接受 ICMP Redirect 的请求和 ICMP Unreachable 信息 对于路由器的远程登录也 应取消或使用访问控制表加以控制 与前面的多目主机类似 壁垒主机运行软 件包的应用网关程序 为内部的主机提供代理服务 壁垒主机还可以向内外部 网络用户提供面向应用的大多数服务 屏蔽路由器与它的包过滤功能 使得内外网段得到较好的隔离 但由于它 充分暴露在 Internet 上 因此不应被内部网络视为可靠的系统 3 屏蔽子网结构屏蔽子网结构 屏蔽子网结构型防火墙系统在屏蔽主机结构的基础上 增加了一个周边防 御网段 用以进一步隔离内部网络与外部网络 周边防御网段是位于内部网络与外部网络之间的另一层安全网段 分别由内 外两个屏蔽路由器与它们相连 周边防御网段所构成的安全子网又称为 非军 事区 Demilitarized Zone 或停火区 意即这一网段的所受到的安全威胁不 会影响到内部网络 跨越防火墙的数据流必须经过外部路由器 壁垒主机与内部路由器 在两 个路由器上都可以设置过滤规则 壁垒主机运行软件包 提供应用代理服务 同时 企业对外的信息服务器 如 WWW FTP 服务器等 可以放在周边防御 网段内 这种结构的优点在于 当壁垒主机或企业对外的服务器受到安全威胁时 由于周边防御网段与内部路由器的隔离作用 使得内部网络的安全威胁尽可能 地减少 对于教育局信息中心 开放性是它的特点和要求 因此不可能通过防火墙 衡阳市教育城域网建设工程 湖南计算机股份有限公司 中国最庞大的资料库下载 23 断开与外界的几乎所有的直接连接 并且一个网络安全更多的是 取决于制定 并严格执行一个安全策略 因此教育局信息中心网络的运行按照以下安全策略进行 减少网络管理员的数量 每个网络管理员拥有两个帐户 管理帐户和普通帐户 不是必要情况 不使用管理帐户登录 不使用缺省管理帐户名 更改为长而复杂 不容易猜到的名称 制定长而且复杂的管理员帐户口令 定期更换管理帐户口令 使用随机定义口令的机制 确保管理帐户口令的安全 不在服务器上安装盗版软件 除了网络服务的维护工作外 不用管理员帐户登录到服务器