上海知名大学校园网一期改造方案

1、PAGE PAGE 11上海外国语大学校园网一期改造方案目录TOC o 1-3柏1. 搬网络设计背景暗 GOTOBUTTON _Toc413486368 PAGEREF _Toc413486368 蔼2安1.1. 办背景跋 GOTOBUTTON _Toc413486369 PAGEREF _Toc413486369 白2蔼1.2. 邦现有网络概况摆 GOTOBUTTON _Toc413486370 PAGEREF _Toc413486370 癌2办1.3. 胺改造需求奥 GOTOBUTTON _Toc413486371 PAGEREF _Toc413486371 佰3摆2. 般网络设计百 GO

2、TOBUTTON _Toc413486372 PAGEREF _Toc413486372 霸3阿2.1. 敖总体设计哀 GOTOBUTTON _Toc413486373 PAGEREF _Toc413486373 盎3拌2.2. 案主干网络设计瓣 GOTOBUTTON _Toc413486374 PAGEREF _Toc413486374 版4拜2.3. 罢低端网络设计佰 GOTOBUTTON _Toc413486375 PAGEREF _Toc413486375 瓣5拌2.4. 柏应用系统拌 GOTOBUTTON _Toc413486376 PAGEREF _Toc413486376 拌5安

3、3. 百管理傲 GOTOBUTTON _Toc413486377 PAGEREF _Toc413486377 板6摆3.1. 邦安全机制伴 GOTOBUTTON _Toc413486378 PAGEREF _Toc413486378 巴6版3.2. 伴流量监控昂 GOTOBUTTON _Toc413486379 PAGEREF _Toc413486379 暗7傲4. 奥报价爸 GOTOBUTTON _Toc413486380 PAGEREF _Toc413486380 扒错误巴! 拔未定义书签。网络设计背景背景翱上海外国语大摆学的现有校园般网已初具规模安，由于中心位俺置搬迁，用户哎数目扩展和加

4、熬强管理等多方胺面的需求，在哎原有的网络基案础上进行改造败，进一步完善扳，加强安全管班理，用户通信扮监控，提供更埃多的应用服务挨。现有网络概况拜现有的网络拓坝扑结构如图所癌示。其主要交奥换设备均采用隘CISCO坝公司的产品，啊网络拓扑比较暗简单，应用服哀务相对集中。暗中央交换设备翱为凹Cataly奥st 500阿0拔配置情况？啊边缘交换机为罢两台颁Cataly吧st3000敖.背配置情况？按路由器和通信扒服务器是鞍CISCO 碍2511唉，皑8埃块罢modem把，剩余一个同坝步口，一个异吧步口，还可扩瓣展绊8跋路电话线路和唉一路外连专线坝主服务器为按SUN 4稗，设备陈旧，爸性能较低。岸无虚网

5、划分，伴无网管，百拨号用户有简板单的通讯量统佰计功能，校内暗专线用户无统挨计功能翱服务主要为哎Email背和百WWW版，提供与唉Intern癌et拌接入。改造需求暗服务多样性：办增加服务除现捌有服务外，可摆增加计费系统绊，图书检索，吧多媒体系统，稗BBS罢和百FTP挨，爸Proxy阿服务等功能。佰可管理性：包败括对拨号用户俺和校内专线用岸户的信息量的拔统计，对师生昂访问权限的控阿制机制和对国扮外出口的管理碍。哀安全性：加强翱对系统的管理碍，主机系统应靶有较强的抗攻叭击能力，在条摆件允许的情况斑下要有虚网划哎分机制，对网俺间的信息交换盎要有安全策略埃。案可扩充性：现奥有的网络应具颁有很强的扩展拔

6、能力，可以满唉足近期内可预坝见的用户接入拔需求，同时具捌有面向新技术班的平滑升级能癌力。网络设计总体设计皑主干设备：根啊据目前现有结巴构和主要设备把，在新的网络稗构架中可以有斑两种方案可供昂选择，拔仍采用以翱CISCO啊产品为主，在挨低端桌面型设版备可选用其他霸厂家的产品，搬因为在目前情凹况下，多数非邦同厂家产品还坝不可能做到无肮缝连接，在高拜端即主干网上芭采用异构互连肮的方式可能会败带来两个问题盎互连性问题，翱虽然连通是可白实现的，但由叭于协议标准的白实现方法不同芭，可能会损失懊一部分带宽，敖实际使用的带艾宽速率要低于版声明带宽速率哀。颁虚网划分：目颁前各厂家实现傲虚网协议方法摆大多不同，所

7、按以在做虚网划澳分时会带来很澳多困难，甚至疤在某些情况下摆是不可实现的澳。捌采用其他厂商拌的低端产品（柏如佰3COM伴，傲Intel班等），好处是柏价格便宜，且懊在目前低通讯扳量和负载情况俺下可以满足需扒要，在以后的隘网络升级过程班中，可以替换昂向更低端的用瓣户推跋路由交换与外安部互连：摆外部网络目前笆仍采用把DDN盎连接方式通过霸交大与教育网安实现连接，暂熬时还无提高出班口带宽的要求岸，目前所用路鞍由器，有邦5kpps袄的包交换能力拜和一空闲同步搬口，可以满足哎近期的扩展要霸求。拔如采用虚网技背术就需要一个唉内部虚网间的板信息交换的路按由器，至少支办持鞍4敖个虚网即巴4艾个以太端口主机系统斑

8、可根据应用系拜统选择矮SUN+So阿laris邦，疤PC+NT般和邦PC+Lin笆ux瓣的结构，坝SUN+So阿laris蔼是一种比较安凹全和稳健的网疤络服务器结构阿，而且由于管傲理员对斑SUN捌系统较为熟悉挨，在管理上有俺经验，所以在芭UNIX奥主机系统中仍俺采用这种结构邦。但由于价格扳较为昂贵，在伴目前情况下不隘宜大范围采用挨。扳PC+NT绊：管理简单方胺便，价格适中罢，但安全性较哎差，同时还有扳缺陷，同一网拜段数目过多的败情况下可能会氨出现广播风暴傲。摆PC+Lin安ux八：价格最为便霸宜，安全性上邦没有很大的把白握，另外无生佰产厂家提供可颁靠的技术支持鞍，在出现问题耙时是没有保障按的。

9、远程访问啊远程拨号网络板的扩展较为简氨单，目前现有肮的通信服务器办还可支持蔼8矮路线路的扩展皑，只要购置相办应的颁modem傲和申请电话线扳路即可。主干网络设计案Cataly靶st 500敖0吧：半中央交换设备案采用原有的奥Cataly邦st 500坝0澳，利用其半100M B昂ase-T稗端口加转换器哀连接外部新增奥设备。跋Cataly拌st 300搬0靶柏WS-C30拔16B凹配置情况：（爸原行政楼）班10Base拌T RJ-4斑5AUI耙2翱扩展槽（坝WS-X30爸01昂上行疤100BSA伴E-TX佰）袄EIA/TI矮A 232 吧consol爸e扮AUI DB败15 Swi巴tchPr

10、o拔be八路由交换设备板（稗option翱al稗）班四拜10M Ba把seT鞍端口路由，转岸发能力在叭50kpps摆以上，稳定性耙好，可靠性高芭，有一定的鞍filter搬功能。啊可采用专用路稗由器，可选品坝牌设备：稗CISCO颁，敖Bay把，袄Intel矮或用啊PC办路由，在低负八荷情况下是可懊行的，但有技把术难点，需要班测试其转发能把力和可靠性。低端网络设计参见布线方案应用系统澳现有服务器为癌1矮台半SUN 4柏性能较低，所哀有应用集中在摆此机上，一是伴负载过重，另胺外给系统安全挨运行带来了很阿多不利因素。安所以对改造后蔼的网络应用系伴统提出了如下般构想：瓣DNS+Pr挨oxy+WW办W鞍：

11、柏PC Sev八er +NT熬 +IIS,吧根据目前校内板用户数目和上般网信息资源量瓣，白PC+NT蔼是一种比较经澳济，有效的结盎构。而且微软敖的稗NT巴系统将所有上扒面提到了应用岸集成在懊NT敖系统里给管理摆带来了很大方罢便。但另一方瓣面需要指出的败是安NT佰在安全性和管暗理角方面有很拜大不足靶,艾需要管理员有蔼较为丰富的经拌验和完善的监氨控手段和防范办机制，可以在背突发事件产生凹时能够迅速恢佰复和防止再一唉次入侵澳FTP+ E斑mail+拜拨号认证：耙SUN+So霸laris|巴+Tacac隘sd跋，这一组服务隘主要是对内服爸务，拨号认证稗服务需要运行安在埃Unix艾系统上，所以绊建议采用

12、如上百的结构，根据疤目前用户情况斑，暗FTP把服务可综合在邦一起，如今后斑负载过重时再瓣分离。捌网管吧(o)奥：白NT+百网管软件，此佰项为可选，因哎为以太网的网爸管虽然不是必翱须的，但他可佰以监视网络设拌备的异常，负拜载情况和流量安。拌BBS(o)八：艾SUN4摆，原有的服务斑器过于老旧，巴如有需求可做八为办BBS吧电子公告牌敖图书检索颁(o)拜：可建立一个敖富士通系统的艾前端机，提供隘友好的奥WEB肮用户界面可以坝随时检索馆藏笆书籍的出借和半库存情况，目鞍前采用般PC+Lin哀ux坝的方式比较好柏（注：隘o熬表示笆option昂al,奥是可选的如此伴次改造不能实埃现，可在今后隘的升级中加以

13、挨实现。）管理皑管理模式上要埃加强安全方面俺考虑，和信息哀流量的控制，安全机制蔼加强主机系统昂的抗入侵能力拌，尤其对坝NT埃类型的服务器般系统。吧应用系统尽可鞍能分布在不同皑的主机上，关佰闭不必要的端蔼口，减少入侵敖途径，在当前暗情况下，应本胺着对内对外的傲服务应分开，癌关键和非关键八的应用分开的摆原则，将应用鞍系统合理的配拌置在主机系统搬上。扒加强对外部用爸户的访问控制摆，主要依靠防癌火墙机制，现跋在采用的手段蔼是在路由器上俺设置访问表，白和应用静态路耙由。跋按应用需求应安划分虚网，控把制校内用户，肮各部门之间的板访问权限。昂加强监督机制邦，重视线上用艾户行为的监视八和对系统日志摆的分析，能

14、够澳及时发现入侵澳行为，和找到吧遭入侵后的解矮决办法。皑恢复备份是系阿统遭受破坏一佰种有效的简洁斑的处理手段，傲所以对备份工凹作要重视起来安，要做到关键跋数据一天一次般，非变动信息蔼有永久备份，凹其他信息视情跋况而定。备份搬介质可采用硬癌盘和磁带。备暗份方式可以是伴更新备份，增肮量备份和永久袄性备份。流量监控翱对主干网络和坝个分支用户网熬络实施监控，霸可以发现网络翱瓶颈，得到用案户访问个信息爸点的量化数据颁，掌握用户的癌不安全行为，柏可以为网络性氨能分析和故障吧诊断提供丰富俺的事实依据，板给网络的综合百管理带来极大按的好处。拜网管系统：可鞍以在各主要网笆络交换设备上扮采集到当前设颁备的工作状态

15、耙，掌握各虚网板之间的数据流爸量，和交换设搬备的各端口的般负载情况。罢网络分析设备皑：可以在主干斑网上监视各网熬段上的包情况坝，其中包括：百通讯包总量，百丢包率澳包成分，及其胺所占比重，如拌IP,IPX澳.唉各应用包的分绊配情况：如拔Ip绊包中跋tcp安和鞍udp败包的百分比，挨tcp伴包中绊telnet背，疤ftp百，班http碍等包的比重。挨各凹IP搬发包的情况，翱可以判断网络捌负载和故障诊碍断。芭路由器上的流安量控制，限制爸某些网段或者跋IP啊地址的访问权败限，与盎PROXY凹结合统计用户巴的出口信息流佰量。扳Proxy斑服务，由于路奥由器的限制，拔可采用澳Proxy捌的办法满足用邦户对

16、校园网外扮甚至是国外的耙访问需求，而昂且这种访问是办受控的，可以阿根据用户的帐白号，清楚的了瓣解用户对外访熬问的信息量捌拨号用户可根笆据用户认证机绊制，掌握用户疤登录时间，从霸而估算大概信柏息及资源的耗八费情况。预算皑项目名称癌单价哎数量安价格爸(安人民币艾)拌说明邦Cisco 哀Cataly捌st3000版埃C3106B俺败$7178叭颁WS-X30颁01癌半$1943碍or Int把el 100版M Swit扳ch艾1疤50,000吧20,000昂接行政楼交换安设备接入半可选扮SUN Ul瓣tra 10暗蔼A22办A22-UE拔A1Y9J-般128cG班X7103A爸SOLD-2办.5.1

17、NO皑V97-47哀X6540A啊X6262A靶10,000熬.00罢1斑100,00拔0八Email败，拨号认证，霸计费霸Cisco 埃Works 蔼Window柏s碍CWPC-3罢.1-SNM啊 PC on拌 NT吧俺$3743跋SNM ON背 NT扳CWPC-3摆.1-OVW办八$2993邦HP - o昂penvie氨w On N盎T.昂4败50,000搬CISCO扮网管版大楼局域网布佰线拔配线架：暗50.00邦模块面板：扒100.00巴AT&T拔线：百150.00奥人工费：傲130.00拌其他材料：矮50.00暗500.00把180哎90,000哎新楼内布线懊180班信息点爸含斑HUB

18、傲Hayes 捌Modem吧板8般20,000靶远程拨号网络按扩展凹光缆铺设俺12半芯俺2,700/拜km岸4敖芯拌1,2000安/km懊人工芭+白材料八12,000盎/km八光端头：蔼200/阿个哀跳线：伴300/靶根跋30,000暗园区网连接盎NT4.0吧中文版瓣 癌2艾20.000般计费软件傲on Tac按acsd柏10,000坝1败10,000班100M t俺ransce蔼iver 拌 Bay 捌Networ鞍ks班 Mode岸l 514 凹100 MB白PX暗 Fibe凹r Opti败c Tran岸sceive摆r扒7,500敖4板30,000碍用于瓣100M岸接入般PC SER哀VER啊坝Compaq懊/Ps200半 PII/2爸33 32M唉 4