校园网方案doc.docx

网络工程设计校园网设计班级：0805101专业：网络工程学号：080510108姓名： 陈剑指导老师：桂兵祥一 校园网建设原则1. 合理利用有限资金。2. 统一规划，软硬兼顾，分期实施，明确近期目标。3. 技术先进成熟，总体性能价格比高。4. 实用、易用，便于维护、管理。5. 保护以往投资，兼容已有系统。6. 支持灵活的扩展性和可重组性，考虑未来需求。7. 采用开发产品，遵循国际标准。8. 主干系统除遵循上述原则外，必须具有高可靠性、高安全性、高效性及可管理性。9. 信息到科及主要组，主要建筑间光缆连接，建筑物内双绞线布线。10. 系统应用以Intranet技术为优。二 校园网建设目标l 辅助教师教学，提高教学手段l 提供信息服务，方便师生教研l 改善办公条件，提高工作效率l 开发宣传窗口，树立学校现象三需求分析1系统总体需求随着计算机应用成本的迅速降低，计算机用于办公辅助管理已越来越普及。单机用户由于协作工作关系，数据交换和信息查询的需求迅猛增长，办公自动化和无纸化的呼声日益强烈。信息化时代的到来，使以获取并传授知识信息为主体的学校，感受到了莫大的发展和生存的压力。建设能覆盖全校主要建筑的校园网络，更好地疏通教与学的授、受渠道则是解决这些问题的最佳途径。因此XX五中校园网建设的总需求是：1) 建设一个能将散布在学校各处的各种服务器、PC机、终端设备、各类网络设备以及局域网、有线电视广播网、电话通讯网等信息连接起来，形成结构合理并与有关广域网相连的校园计算机网络系统。2) 在上述基础上以现代教育技术为指导，建立满足学校员工教学、科研、管理工作和学生自主学习所需要的软硬件环境和各类信息资源库和应用系统，使其成为内接外连的教育信息服务体。3) 培训校园网管理人员，建立校园网信息资源开发、收集、整理队伍，培训员工校园网的使用技能。促进教学、管理改革。4) 建立、健全校园网维护、使用和信息资源开发、收集的奖励等管理制度。2 系统功能需求根据当今技术发展的现状，结合XX五中实际情况提出以下校园网主要功能：l 建立课件、教学信息资料库及相关系统。实现授课点播、辅助教学和电子设备等。l 建立多媒体课堂教学室、多媒体多功能课堂教学示范电教室（可用于网络远程、异地教学和网络会议等）和多媒体多功能实验教室。改革传统的课堂教学手段和实践教学手段。l 建立学生电子阅览室（厅）。培养和倡导学生自主学习、协商学习、信息求索的探究精神。l 建立多功能多媒体课件、教案制作中心。为学校探索新模式教学，为教师钻研新的教学方法，为学校教学信息资料库和系统的进一步完善提供相应的条件。（未来教师将逐渐转变为电子教学读物、课件的研究制作者和学生自主学习、协商学习的指导者与答疑者。教师的作用交通过网络使所有自学者受益，促使终身教育社会化。）l 建立校园MIS和OA系统，实现全校计算机辅助管理和办公自动化。l 建立图书馆计算机管理系统和电子阅览系统，实现图书馆信息自动化管理、快速检索、电子图书阅览。l 建立远程访问（RAS），利用校园网实时在家备课、办公和接入Internet。l 通过建立对外信息站点，实现学校信息上Internet和对外信息服务。l 提供内外E-MAIL等Internet技术支持下的信息交流服务，方便联络及合作。l 通过校园网实现全校上Internet和校内Intranet互访。l 利用网络技术，实现多媒体信息交换、视频点播、网络会议、网络电话、远程教育（如与校外班通过网络远程教学）等等功能。l 兼容校内有线电视网、广播网、监控等网络系统，实现信息互传，达到多网合一，拓展校园网络功能。l 建立IC卡管理系统，实现校内一卡通l 建立电子门禁系统和安全监控系统，实现全校远程巡视监控。3 系统性能需求根据XX五中校园网建设原则和功能需求，对校园网性能提出以下需求：l 主干带宽为1000M，考虑到成本问题，前期规划主干设计为100M，但在设计中要考虑到100M升级到1000M的问题。l 对部分应用要求高带宽的二级节点设计为1000M。l 主干和带宽为1000M的二级节点传输介质采用光纤。l 带宽为100M节点传输介质采用超五类双绞线，音频点采用五类双绞线，视频点采用同轴电缆。l 电话、传真、电子邮件和基本公众服务应用基本带宽为64K。l 高质量可视电话、视频会议、数字音频基本带宽为384K。l 文件传输、WWW应用、图象传输、网络游戏和网上购物基本带宽为1M。l MPEG1/VCD视频点播、交互式电视、广播电视基本带宽为1.2M-1.5M。l MPEG2/DVD视频点播、高清晰度电视基本带宽为3M-8M。l 3D应用、VRML虚拟现实、计算机网络实时多媒体应用基本带宽为6M以上。l 网络系统可以从100M平滑升级到1000M或未来对ATM 的支持。l 网络支持VLAN。l 网络系统可以支持第三层交换。l 网络系统中服务质量支持802.1p。l 网络协议支持TCP/IP为主的多协议。l 系统必须具有安全性和管理性。l 系统中关键应用的服务器必须具有较高的性能。l 系统必须具有接入广域网的能力四 总体设计 校园网是结合了学校实际的教学、科研、办公、管理，考虑了网络技术的应用和发展的情况下组建起来的，它基于：l 开放性的网络协议的标准以及技术成熟、商品化了的硬件和软件。l 网络带宽可满足当前业务需求，并支持不断发展的业务需要。l 网络的互连性、可操作性和可扩充性好。l 安全、可靠，网络管理方便有效。校园网是一个具有两层拓扑结构的局域网，总体布局如下：五 IP地址规划1 校园网IP地址规划 校园网是由位于不同地理位置的多个子网组成。在进行这个广域网的IP地址规划时, 主要考虑了以下几个方面: 确定广域网IP地址的类型， IP地址由32位二进制数码组成,8位为一组,分为4组,中间用.隔开。每个IP地址有两部分,即网络标识和主机标识,这两种标识长度的不同,使IP地址分为五类,常用的有A、B、C三类，相应地址范围为: A类1.X.X.X126.X.X.X B类122.X.X.X191.X.X.X C类:192.X.X.X223.X.X.X D类:目前为实验性多点投射(multicast)位址E类:保留作为未来发展之用2 规划路由器到交换机各端口的IP地址 校园网以每个不同地方计算机网络为不同子网，整个网的中心节点为3COM SuperStack II交换机,它支持最新一代可堆叠交换技术，同一堆栈中的交换机可作为一个实体进行运行和管理，它提供多个交换口,网络中的服务器、客户机都直接或间接地连接到这些端口。 每个子网中，路由器到交换机各端口起到网关的作用，为了让网关IP地址有规律，路由器到以太网端口IP地址的主机标识都取1。 3 规划Ethernet端口IP地址 客户机通过交换机分别接在交换机多个Ethernet端口上，每一个交换机上的客户机独占100M 带宽。哪些客户机使用100M带宽，应根据内部网的具体应用来决定。假如客户机没有特殊的带宽要求，可按客户机所属的行政单位或所在的建筑分配带宽。XX五中校园网中，由于行业的特殊性，客户机较均匀地分布在各楼内，取后一种方式，把同一楼内的客户机接在一个交换机上。Ethernet端口IP地址的第三段取客户机分布的建筑代号，则主干交换器的 Ethernet端口的IP地址的子网号分别设为，二级交换机Ethernet端口的IP地址分别为4，4。 4规划服务器IP地址服务器可以接在主干网上,独占或共享100M带宽,也可以接在交换器的Internet端口上,独占100M带宽。具体接在哪个端口,占用多大带宽,是由该服务器在内部网中所承担的任务决定的。但不管接在哪个端口上,服务器都是与所接的交换器端口处于同一网络,即服务器IP地址的网络标识与所接端口的网络标识是相同的,因此服务器IP地址的规划只需对主机标识规划就可以了。我们依据XX五中校园网中服务器的类型对主机标识做了不同规划,数据库服务器的主机标识为20,WEB服务器为30,邮件服务器为40,打印服务器为50。如甲地接在ETHERNET端口上的数据库服务器,IP地址为0;接在第一、二个Ethernet端口的邮件服务器、打印服务器,IP地址分别为0、0。 5 规划客户机IP地址 客户机与所接的交换器的端口处于同一网络,其IP地址的规划也只需对其主机标识进行规划即可。在具体规划时,应尽量考虑使主机标识体现内部网中客户机的某些特征,如所属的行政单位或所在具体物理位置等。本例取后一种方式,主机标识直接引用其所在的房间号,因为大多数客户机与房间号具有一一对应关系。如甲地某台客户机位于3楼的30号房间,其IP地址设为0。选用这种方式,有两点需要注意一是当房间号大于255时,主机标识不能直接引用,应再考虑其他对应关系。二是客户机的IP地址不具有连续性,因为有些房间可能无客户机,而另一些房间可能有不只一台客户机,为方便今后新的客户机IP地址的分配,应做好现有客户机IP地址的整理记录工作。 另外,如果XX五中校园网要与互联网Internet相连, 在规划内部网IP地址之前,应到有关部门办理申请Internet网的IP地址。由于Internet上的IP地址比较紧张,申请到的IP地址可能不够分配给XX五中校园网的每一个设备,这时仍需对广域网的IP地址进行规划。所以XX五中校园网与Internet的连接,可通过代理服务器使本地广域网与INTERNET连接，避免受INTERNET网的IP地址不够分配影响本地广域网IP地址的规划。六 网络设备选型SuperStack II 3300交换机SuperStack II 3900交换机SuperStack II 9300交换机 七 网络管理3COM的Transcend结构使您今天能够建立完善的管理系统，又可保护原有资源，因而明天您可以经济有效地扩大服务范围。3Com管理优势的根基是牢靠、全面的三层Transcend结构。SmartAgent管理代理软件是这个结构的基础。这些代理软件嵌入于各种3Com产品中，从网卡到桥接器/路由器莫不是如此。它们自动搜集每个设备的信息并把这些信息有机联系起来，同时只占用最小的网络交通开销。中间层是针对Windows和Unix平台和基于开放式工业标准SNMP的各种管理平台，其中包括Sun Net Manager、HP OpenView和IBM Ne tviewRforAIX。这些管理平台强化了SmartAgent的管理智能，支持高层的Transcend应用软件。最上层是Transcend应用软件，它们通过易于使用的图形界面把各种管理功能集成于SmartAgent智能中。您可以选用Transcend Workgroup Manager或Transcend Enterprise Manager；无论是哪一种Transcend应用软件都可以最好地适用于您的环境。Transcend Workgroup Manager全面控制工作组的活动。Transcend Enterprise Manager全面控制企业的所有网络软件，其中包括互联网与骨干网设备以及远程办公室的设备。分布的SmartAgent智能为集成网络管理提供许多很强的功能。例如，SmartAgent能够处理远程的网络查询，限制查询交通流量的范围，减少对网络带宽和中央控制台时间的需求。与此相似，Transcend Actionon Events（事变应急反应）功能可以使您迅速确定应及时处理的工作或根据预定标准去自动处理相应的任务，这也节省了带宽和宝贵的管理时间。不管您采用哪一种管理环境，Transcend对所有应用软件和网络设备类型都提供同样的界面。这意味着管理信息的比较和分析大为简化，使您可以更有效地进行故障诊断和优化网络性能。为了保证您和管理环境可以平稳吸收各种新技术，3Com公司的各种管理软件均属于Transcend Networking框架的一部分。Transcend Networking是3Com公司为了经济、高效、分阶段管理网络发展而推出的全面长远的解决方案。八 综合布线系统设计校园所信息点分布表位置信息点电话点备注教学办公楼6*6+6*12+6=114 36共6层，每个课室1个，办公室2个，后备6个。 教学楼4*3+4*6+2+4=42 12共4层，每个课室1个，办公室2个，后备6个。校长楼36-2+10=44 36每层6室,每室1个点,10个后备点.图书馆(在校长楼内)30 2 生活区? ?TOTAL：200 管理区子系统管理区子系统是整个布线系统的管理环节。所有水平线、主干线、建筑群端接于此，用户可以很方便地根据需要跳通相应的信息口供增加设备终端的需求。结合XX五中校园的实际情况设计。因到每个分配线间距离超过90米，故到各分配线间要各用1条室外12芯多模光纤(3DSX-004-HXM)与培训中心3楼ODF连接。而桌面光纤信息点用室内12芯多模光纤(LGBC-004D-LRX)与配线间连接。此布线系统的管理区的光纤配线架采用广州光缆厂产品GYTY53 12芯光纤配线架及19” 12芯光纤配线架，铜缆配线架采用Lucent Technologies 产品PM2150B-24 24口模块式配线架，电话设备由于总配线可设在网管中心,相对独立,各配线架的配置如下表：配线间光纤材料铜缆材料MDF（培训中心3楼网管中心）19”光终端盒*212ST*21100PSCAT5E-24*4110DW2-100FT*4IDF1（教学办公楼）19”光终端盒*112ST*11100PSCAT5E-24*3110DW2-100FT*3IDF2（教学楼）19”光终端盒*112ST*11100PSCAT5E-24*3110DW2-100FT*2IDF3（图书馆）19”光终端盒*112ST*11100PSCAT5E-24*3110DW2100FT*4IDF11（生活区）19”光终端盒*112ST*11100PSCAT5E-24*3110DW2100FT*2此外，管理区根据光纤主干的条数及每条光纤芯数，需配置相应的光纤头及光纤跳线。考虑实用性、美观性，主配线间配置1个19” 42U国产的标准立式机柜，GYTY53安装在机柜里，另外一些网络设备(SWITCH、服务器等)可以安装在机柜里面；其它各分配线间各配置1个19” 42U国产的标准立式机柜，PM2150B-24配线架安装在机柜里面，另外一些网络设备(HUB)可以安装在机柜里面。工作区子系统此系统主要由计算机等设备终端到信息插座的连线组成。主要包括一些跳线、软线等非有源器件。在此系统中数据部分主要采用D8SA超五类跳线及二芯光纤跳线。针对XX五中校园的实际情况，每栋楼的信息点采用MPS100E-262超五类信息模块，采用D8SA-7B超五类高速跳线，配置相应的超五类模块及跳线。保证工作区子系统内实现语音系统和数据系统的转换可操作性和可维护性。水平区子系统水平区子系统主要是指由配线架到信息插座的连线，根据EIA/TIA-568标准规定，网络传输速率要达到100MHZ，从配线架到信息插座间距离应小于或等于90米。在XX五中校园设计中数据部分选用Lucent Technologies 1061C+004CSL 超五类非屏蔽双绞线（UTP）。电话信息点采用五类线，可灵活地实现语音系统和数据系统的转换，且能够保证整个会所布线系统大范围传输数据传送的完整性，适用于现时及日后信息通讯发展使用的要求，并保证投资不会浪费。铜缆信息插座采用Lucent Technologies MPS100E-262超五类模块，电脑信息点为200个，电话信息点68个. 建筑群子系统建筑群子系统主要是将各个建筑物内的各分配线架与主配线架通过光纤连接起来，超五类电缆为备份。此系统是指网管中心3楼至各分配线间的光纤的设计。 设备间子系统此系统主要由设备间的跳线电缆及相关硬件组成，它把各个公共系统的设备互连起来。如PABX、网络设备等与主配线架之间的连接。12九 网络结构1 快速以太网方案快速以太网方案主要采用3COM Superstack II 3300设计，3COM Superstack II 3300主要参数和性能如下：型号性能3C169803C169813C16982交换技术10/100Mbps 以太网/快速以太网/ATM/千兆网10/100Mbps 以太网/快速以太网/ATM/千兆网10/100Mbps 以太网/快速以太网/ATM/千兆网10/100M以太网端口（RJ45）24122100Base-FX端口1/ 21/ 28ATM 连接ATM OC-3ATM OC-12ATM OC-3ATM OC-12ATM OC-3ATM OC-12千兆位以太网1X 1000Base-SX1X 1000Base-SX1X 1000Base-SX第三层交换支持支持支持VLAN支持支持802.1Q/VLT支持802.1Q/VLT支持802.1Q/VLT支持的MAC地址数120001200012000堆叠数量444服务等级802.1p/PACE802.1p/PACE802.1p/PACE转发方法S&FS&FS&F支持RMON1-6，9组1-6，9组1-6，9组交换引擎BRASICA 2BRASICA 2BRASICA 2转发速率1200000pps1200000pps1200000pps数据包缓冲128K/端口128K/端口128K/端口十 安全系统1防火墙网络信息系统的安全应该是一个动态的发展过程，应该是一种检测监控安全响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上，通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录或执行用户自定义的安全策略等。（1） 系统组成l 网络卫士监控器：一台，硬件l 监控系统软件：一套l PC机（1台，用于运行监控系统软件）（2） 主要功能l 实时网络数据流跟踪、采集与还原网络监控系统运行于有敏感数据需要保护的网络之上，实时监视网络上的数据流，分析网络通讯会话轨迹。如：u EMAIL：监视特定用户或特定地址发出、收到的邮件；记录邮件的源及目的IP地址、邮件的发信人与收信人、邮件的收发时间等。u HTTP：监视和记录用户对基于Web方式提供的网络服务的访问操作过程（如用户名、口令等）。u FTP：监视和记录访问FTP服务器的过程（IP地址、文件名、口令等）。u TELNET：监视和记录对某特定地址主机进行远程登录操作的过程。u Rshu Rloginl 实时记录并回放进出网络各种操作的全过程l 网络安全违规活动捕获网络监控系统能够根据用户自定义的网络安全策略对网络活动进行检查，捕获网络安全违规活动。l 网络安全事件的响应网络监控系统能够记录网络安全事件的详细信息，并提示系统安全管理员采取相应的安全措施，如阻断连接等等。l 提供智能化网络安全审计方案网络监控系统能够对大量的网络数据进行分析处理和过滤，生成按用户策略筛选的网络日志，大大减少了需要人工处理的日志数据，使系统更有效。l 支持用户自定义网络安全策略和