高校校园网规划与实施方案设计.doc

高校校园网规划与实施方案设计由于计算机及网络技术的不断发展，极大地推动了校园网的建设，各高校都在筹备建设校园网，希望通过校园网的建设，增加硬件的投入，改善办学条件，提高教学、科研和管理水平，提高办学质量。校园网的建设对于学校来说是一项大的工程，必须精心设计、精心施工，做到经济适用，技术先进、开放性能良好、投资强度合理、与国内外网络互联、能长期、稳定运行的高性能的校园网络。 一、需求分析校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，因此，校园网的建设必须有明确的建设目标。校园网的总体设计原则是：开放性采用开放性的网络体系，以方便网络的升级、扩展和互联；同时在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化； 可扩充性从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的可扩充性； 可管理性利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能；使日常的维护和操作变得直观，便捷和高效； 安全性内部网络之间、内部网络与外部公共网之间的互联，利用VLAN/ELAN、防火墙等对访问进行控制，确保网络的安全； 投资保护选用性能价格比高的网络设备和服务器；采用的网络架构和设备充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资； 易用性应用软件系统必须强调易用性，用户界友好，带有帮助和查询功能，用户可以通过Web查询。 校园网的组网技术一般有以下选择： 主干网技术的选择 主要选择千兆（适合于高校）或百兆以太网技术来构建校园网络，对两层结点和桌面微机的接入也采用快速以太网，建立一个基于多层、全交换的虚拟园区网。 校园网在设计上应具备以下特性才能够满足需求，并保证建成后的网络在一个较长的时间内具有较强的可用性和一定的先进性。 （一）高性能与技术先进性校园网网络系统要求具有较高的数据通信能力和较大的带宽；并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据，网络应有较高的网络主干速度。 （二）高可靠性网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，设备在发生故障时能以热插拔的方式在最短时间内进行恢复，把故障对网络系统的影响减少到最小，避免由于网络故障造成用户损失； （三）安全性校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络，网络安全性在整个网络中是个很重要的问题，应该采用一定手段控制网络的安全性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性，能够防止非法侵入和信息泄漏。4、可管理性 强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能，能够对每个用户实行管理；并且能够实现计费管理。 （四）可扩充性随着应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证现有的投资。 （五）VLAN划分 根据校园网的实际需求，属于同一部门的工作人员可能在不同的建筑物中，但需要在一个逻辑子网内。网络站点的增减，人员的变动，无论从网络管理，还是用户的角度来讲，都需要虚拟网技术的支持。因此在网络主干中要支持三层交换及VLAN划分。在整个网络中使用虚拟网技术，以提高网络的安全性和灵活性。 （六）多层交换技术 通过三层交换技术，特别是基于硬件的第三层交换，可以充分地利用交换机的包处理能力，实现真正的线速交换。 （七）对多媒体应用的支持 校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。整个网络在服务质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。 二、方案整体设计校园网设计主要包括以下部分：校园内部主干网设计、广域网互联设计、拨号网络设计、服务器系统设计、校园网应用系统设计。 设备选型主要从以下几方面考虑： （一）网络设备选型 在网络设计时应选用扩充能力和升级能力比较强的网络设备，如Cisco、3COM和INTEL公司的网络设备，国产的交换机、路由器等网络设备有较高的性价比，应该也在选择之列。主要考虑网间网互联技术和产品供应商，能为客户提供可靠、可用、先进、安全而又易于管理的产品。所选用的交换机应支持设备管理、VLAN划分等。 （二）服务器平台选择 SUN服务器和HP服务器或者国产的联想、浪潮服务器都有很好的开放性和互连性，可以作为服务器硬件的选择。 在主机系统建设中，选用UNIX与WindowsNT相结合的方式：用UNIX服务器作为外部WWW服务器、FTP、PROXY、DNS服务器以及网管工作站；用NT服务器作为数据库服务器和应用服务器，为用户提供友好的界面。 校园网的网络拓扑结构：校园主干网采用一台千兆多层交换机作为中心交换机，配置多台二层交换机作为二级交换机； 在网络中心配置多台工作站，一台网管工作站，一台作为连入INTERNET/CERNET的路由器，同时在路由器上配置相应的拨号访问模块供拨号用户访问校园网； 二级交换机通过千兆光纤上连到主干交换机上，构成星形的拓扑结构，使得主干网具有较好的可扩展性和可管理性；下属站点采用10/100M接入方式，可以实现100M到桌面。 对所有系统内的用户，IP地址规划由网络中心统一规划；对于上公网的用户，需要进行IP地址转换（NAT），即将内部私有地址转换为公有IP地址。这样的好处是既节省了有限的公有IP地址资源，又对外屏蔽了内部的网络，有利于网络的安全管理。 校园网广域网的设计主要考虑如何实现和INTERNET、CERNET的互联。 校园网的拨号网络，主要目的是解决校内和校外零散用户以及出差在外的临时用户的接入服务。访问网中的技术关键是拨号访问服务器的选择和对拨号上网用户的安全控制。要求路由器有简单的防火墙功能，具有良好的扩展性，即以后拨号用户的扩展，其它公网的接入等。根据实际需要，能够不断增加拨号用户的数量。 校园网服务器的需求主要是基于以下几方面：Internet服务器；主要包括：DNS、MAIL、WWW、FTP、BBS、PROXY 网管工作站，校园网应用服务器，如数据库服务器，视频点播服务器等 网络中心管理、开发、调试平台(可以与网管工作站共用)。 在设计方面主要有以下考虑： （三）网管工作站设计 网络管理是校园网必须考虑的关键技术，这里的网络管理主要指网络设备及其系统的管理，它包括配置、性能、安全、故障管理等，网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的、驻留有网络管理协议的设备。 网络管理设计的另一方面，是配置一个网络管理中心，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。2、WWW服务器设计 WWW应用是Intranet的标志性应用，最核心的应用服务集中在WWW服务器上完成。因而对于WWW服务器的设计首要考虑的就是服务器性能问题，另外考虑到将来在Intranet平台上做应用开发的可能，对于WWW服务器同数据库互联的问题也应作为重点考虑。 因为WWW服务器是被大量实时访问的超文本服务器，它要求在支持大量网络实时访问、磁盘空间、I/O吞吐能力、快速处理能力等方面具有较高的要求。3、DNS服务器设计 建立Intranet，其中一个必不可少的组成部分就是DNS（域名系统）。IP地址和机器名称的统一管理由DNS（DomainNameSystem）来完成的。 （四）FTP服务器的设计 FTP是Internet中一种广泛使用的服务，主要用来在两台机器之间（甚至是一同系统）传输文件。FTP采用C/S模式，FTP客户软件必须与远程FTP服务器建立连接并登录后才能进行文件传输。为了实现有效的FTP连接和登录，用户必须在FTP服务器进行注册，建立帐号，拥有合法的用户名和口令。 （五）E-mail服务器设计 为了作到Intranet内部Mail系统同公共InternetMail系统的平滑对接，要求采用Internet公共标准的通用MAIL系统，在内部的MAIL系统同外部通信时需要一个Proxy应用作适当的转接服务，进行相应的地址转换工作。 （六）Proxy服务器的设计 代理服务器是作为内部私有网络和INTERNET之间的一个网关。 通过代理方式，首先可以大大降低网络使用费，另外代理可以保护局域网的安全，起到防火墙的作用。 （七）网络的安全性设计 网络的安全性是评价校园网的重要指标之一，对于校园网这样的大型园区网，网络的安全问题就越发重要。 本地主机系统的安全考虑： 计算机病毒是伴随着计算机而产生的，它同时随着计算机技术的发展而发展，在网络环境中，计算机病毒更易于传播，其对系统的危害也是明显的，在校园网工程中建议采用网络与单机相结合的方式来避免计算机病毒的危害。 内部网安全控制： 通过VLAN的划分，利用中心交换机上高性能路由模块的管理和控制，可以控制内部各VLAN间的访问。 外联网的安全控制： 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网与外部网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。 拨号访问的安全设计： 对于从外部拨号访问中心内部局域网的用户，由于使用公用电话网进行数据传输所带来的风险，必须严格控制其安全性，主要措施如下： *通过在拨号访问服务器后设置防火墙来实现网络的安全性，以严格限制拨号上网用户所访问的系统信息和资源。 *使用专用身份验证服务器，以加强对拨号用户的身份认证。 *在数据传输过程中采用加密技术，防止数据被非法窃取。 数据的安全： 网络系统应能通过身份验证实现信息的鉴别，通过存取控制达到对信息的控制，通过数字签名或数据压缩等算法保证数据在传送过程中保持完整、保证信息的机密。在实现时重点考虑信息系统整体的安全控制策略和重要设备的安全控制。 网络管理系统： 要求校园网的网络管理软件应提供流量、错误、广播、利用率等性能分析的图表，要有支持基于WEB的网管并支持扩充性设计 根据信息点的需求情况，在网络的整体设计中要充分考虑到网络的扩展性。这包括：整个网络结构的扩展性和网络设备的扩展性。 三、校园网应用系统网络服务系统性能的优劣是影响整个网络发挥功效的关键，网络服务系统设计包括网络服务器的软硬件平台选择和基础服务功能的配置。 有了一个高性能的网络硬件平台，就象修好了一条高速公路，建设网络并且扩大网络性能的真正目的是面向应用；网络建成后，能对学校的教学和管理能起到多大的促进作用，则主要取决于网络管理软件和网络应用软件，特别是是否有和学校的教学和管理实际紧密结合的应用软件。应用软件的开发可以采取分两步走的方针，即网络开通就要运行的软件如网络计费软件等放在首位开发其余可以放在以后开发。1、网络计费与服务系统 基于校园网环境的网络服务与计费管理集成系统根据校园网管理员的管理实际，选择Internet高性能免费服务软件和数据库软件，对系统软件的核心加以改造完善，使之一方面保证满足向网络用户提供各种网络服务，另一方面又能够实时地对用户使用服务产生流量的计费和控制，计费管理软件必须在网络投入运行的同时投入使用。 （一）网络服务与计费管理集成系统应具有以下特点 向网络用户提供基于Internet网的Email、Proxy、电话拨号等服务，并能进行基于IP地址的流量统计等。 尽量选择因特网免费服务软件以及免费的数据库管理系统。 以数据库及用户为核心的用户服务管理、流量计费和实时控制的集成系统，为管理员提供基于Client/Server结构的管理系统； 用户身份认证，保证用户访问时的系统及网络安全性； 用户管理 用户管理是网络管理系统中的重要组成部分，其主要任务是对网络用户的基本信息及帐号信息等进行分类管理。 采用面向对象的技术进行设计、开发，系统界面要友好，使用方便，设计合理，层次清晰。系统采用基于计费策略的用户分组形式对用户进行分类管理，便于对用户信息进行分组查询、增加和统计等操作，从而可为用户提供方便、灵活的网络服务。主要功能包括：用户组管理和用户管理。系统管理员可对用户信息进行增加、删除、修改和查询操作，也可对其中的某类信息进行单独的查询或修改。此外，可自动统计不同组别的用户数目； 用户帐号管理：用户自行管理申请的帐号，修改帐号口令，取消该帐号等子功能。 计费管理 网络计费与服务系统计费管理模块是一个与用户管理完全集成的功能完善的计费管理子系统。应具有以下主要功能：支持多种计费政策，可以自定义多种用户组别，多种计费地址范围，如：国际，国内；支持多种折扣策略；对于Cernet用户提供真正的基于免费IP地址的计费方式；支持多种计费数据源：Email流量，代理服务器流量，拨号时间计费等；自动数据获取，处理及更新数据库，支持分布式数据获取；用户缴费的确认，审核，总计，计费日志的管理等。 （二）视频点播系统 高性能的校园网络应向用户提供实时活动图像和声音，VCD影像，多媒体文件等音视频源；用于用户从网络上收看和点播视频和电视节目； 通过网络可以进行电视会议，广播实况讲话，楼宇视频监控，远程网上教学，电视节目播放，现场实况播放，多媒体动态视频节目的检索、点播（VOD）等，使仅能传输数据表格的普通用途的计算机网络成为具有多种用途的多媒体网络。3、校园网办公管理系统 校园网办公管理系统是针对教学活动进行深入研究，在充分考虑先进性和实用性原则下，紧密结合校园网的实际情况而设计开发的，系统可以根据学校的具体情况做功能和界面上的修改，使之更适合学校的具体情况和老师的使用习惯，系统使用全中文操作界面，并配合大量的图表，一目了然，便于老师使用。该系统是一个面向内部网模式的办公管理系统。 四、高校校园网规划与实施 下面，我们以某高校校园网应用需求为例，以神州数码网络设备做为网络产品，详述校园网规划与实施。 （一）建网需求该高校基于目前需求，着眼未来，注重网络的可扩展性、可增值性以及可管理性。考虑总共信息点数目前为4000多，将来会增加到6000左右，核心交换机需要一台性能良好，具有强大扩展能力的高端交换机。各个楼层到新教学楼中心机房采用千兆骨干，新校区租用运营商百兆线路。在楼层内部采用交换机堆叠方式实现用户的接入。整个网络可实现师生高速上网，支持视频点播、远程教育（需要可控组播功能）、电子阅览室等，使该高校的校园信息化走在全省的前列。 （二）总体网络设计根据用户需求，网络系统从设计上分为核心层、汇聚层和接入层；从功能上基本可分为校园网络中心、教学子网、办公子网、宿舍区子网等。分层思想使网络有一个结构化的设计，针对每个层次进行模块化的分析，对统一管理网络和维护非常有帮助。目前，分层式的设计已经成为一个潮流。我们首先先对三个层次进行分析，然后简单介绍该校校园网的功能子网。核心层: 核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。汇聚层: 汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。接入层: 我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高，那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户(教师、学生) 与网络的接口，它应该提供即插即用的特性，同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。某高校校园网络结构图网络中心被认为是核心层交换机的最佳所在地。而供全校使用的服务器也将连接到核心层交换机上，充分利用核心层交换机的路由、控制和安全的功能，达到服务器资源的有效利用。而公网的出口一般会连接到核心层交换机，在公网和内网之间一定要有防火墙(软件的或硬件的) ，以确保安全和防止反动的、色情的内容入侵校园网络。汇聚层的交换机选择3层交换机，在全网络的设计上体现了分布式路由思想，可以大大减轻核心层交换机的路由压力，有效的进行路由流量的均衡。接入层交换机选用对环境的适应力强一点的，这是因为在每个建筑里都设置一个通风良好、防外界电磁干扰条件优良的设备间是不现实的，大多数楼层交换机被放置在楼道里，所以接入层的设备首先应该对恶劣环境有良好的“抵抗力”。接入层设备不用追求太多的功能，只要稳定就好。整体的设计应该对传输多媒体信息特别是语音和视频的支持有利，应该提供端到端Multicast支持。这主要取决于校园的应用需求。以下是高校采用神州数码产品为网络设备的建设的校园网网络拓扑。高校校园网网络拓扑图该大型校园网方案核心交换机采用DCRS-7504，具备4个插槽，最多支持32个千兆端口，可以提供极高的性能和可靠性。对于该大型校园网络来说，核心层的设计非常重要，要考虑其功能性、控制性、可靠性、稳定性和具体的性能。如果核心选择的是独立设备，我们应该做到尽可能的冗余性能，比如采用热备的管理模块、冗余的电源以及冗余的链路设计。双机热备将是最好的方案，汇聚层的设备与核心的设备最好有冗余的连接。而公用服务器与每一台应该都具备连接。关于网络设备的冗余需考虑下面两个方面：（1）网络设备的冗余设计采用冗余配置的单机或多台设备互为热备。当然最好的方式是多台设备互为热备。但是这种方案一般情况下比较昂贵。（2）网络链路的冗余设计往往链路的冗余设计是最易被实现和被用户接受的冗余方式。主要原因是这种冗余设计构思简单而且便宜。链路的冗余实现可以通过多种技术，目前最流行的是链路聚合技术(802.3ad) 和生成树技术(802.1D)。这两个技术可用于不同的环境和需求，也各有优劣。对于大型的校园网本文建议在核心使用链路聚合技术，而汇聚层与核心层的连接使用生成树技术。（三）详细网络设计3.1 IP地址规划和路由策略 IP地址的合理规划是校园网网络设计中的重要一环，大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。1）校园网IP地址分配总则 IP地址规划根据所分配的公网IP地址和内部私网IP地址分配，地址可分为两大块，一块是Cernet分配多个C类公网IP地址，作为和国际互联网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆电脑部、部分实验室专用；校园网的普通用户,使用内