大学校园网建设项目实施方案

v1.0可编辑可修改v1.0可编辑可修改PAGEPAGE57v1.0可编辑可修改PAGE西部大学校园计算机网络建设工程重庆大学校园网建设项目实施方案重庆大学湖南计算机股份有限公司2002年10月

目录TOC\o"1-3"\h\z一、项目概要 1二、建设的意义和必要性 1三、校园网现状和存在问题 2校园网现状 3目前校园网存在问题 5四、建设目标和建设内容 6建设目标 74.1.2总体目标 74.1.3建设指导思想 84.1.4建设原则 8建设内容 94.2.1结构化布线 94.2.2网络通信系统 174.2.3主机系统 234.2.4网络安全与管理系统 264.2.5机房建设 304.2.6应用系统 34五、新建校园网拓扑结构 39六、设备配置与经费预算 43设备配置 43项目经费预算 44七、项目管理和组织实施 44项目管理 44项目的组织机构 447.2.1重庆大学项目组织机构设置 447.2.2湖南计算机股份有限公司项目组织机构设置 45项目进度安排 45八、预期效益 46九、重庆大学校园网建设汇总表 48一、项目概要重庆大学新校园网络工程是国家“西部大学校园计算机网络建设工程”之一，该工程需要对重庆大学的现有校园网进行全面改造和性能提升，其先进性、可扩展性、建设规模、包含内容等在重庆市高校，乃至西南地区高校中都属前列。本次网络建设目前需要覆盖该校的A、B、C三校区，同时要考虑以后的扩展需要，如新扩展的3000亩校区等。该项目建设总体目标是：在一年之内，建成该校校园网网络基础设施，实现校内用户的高速互联互通、资源共享，校外与中国教育科研计算机网高速接入，同时建设一系列基于校园网环境的教学、科研和管理的应用系统。该工程主要包括建设校园计算机光纤主干网、校园网网络中心、开放网络机房、多媒体网络教室、网络管理和运行系统、教学、科研、管理系统和网络安全保障体系等。要满足全校4万多学生、6千多教职员工的教学、科研、管理、生活、娱乐等的上网需要。该工程的实施，不仅能全面提高重庆大学校园网的水平和规模，扩大校园网的应用范围，为教师教学和科研以及学生进入网络平台提供了基本保证，而且将为重庆市、西部国民经济和社会信息化的发展提供人才和智力支持，直接关系到重庆市、西部“科教兴国”战略的实施和教育跨越式发展目标的实现。二、建设的意义和必要性二十世纪九十年代以来，中国政府以高瞻远瞩的眼光相继建成了国家级的教育和科研计算机网络，并相互连成覆盖全球的国际性学术计算机网络Internet。这种计算机信息网络的产生加快了信息传递速度，为广大教师学生，以及科研人员提供了一个全新的网络计算环境，从根本上改变并促进了他们之间的信息交流、资源共享、科学计算和科研合作，成为这些国家教育和科研工作最重要的基础设施，从而促进了这些国家教育和科研事业的迅速发展。近两年来，国家为进一步保持其在经济和技术领域的领先地位，又相继提出了以基于中国教育和科研计算机网络平台为基础，启动“西部大学校园计算机网络建设工程”项目计划，并紧锣密鼓地付诸实施。启动“重庆大学校园计算机网络建设工程”项目计划的建设，其重要意义在于：有利于教育科研事业的发展。建立重庆大学校园计算机网络建设工程，使重庆大学的教师、研究生和科研人员在全国和全世界的计算机网络环境下进行学习和开展科研工作，极大地提高教学质量和研究水平，成为中国高等学校进入世界科学技术领域的快捷方便的入口和科学研究的重要基础设施，培养出面向世界面向未来的高层次人才。有利于重庆地区经济的发展。适逢中国政府提出“开发西部，建设西部”的宏图规划下，致力于全力发展经济、建立完善的社会主义市场经济的特殊阶段，启动“重庆大学校园计算机网络建设工程”项目计划，有着重要的战略意义，“百年之计，科教为本”，科技生产力的提高才能真正的意味着推动和加速中国国民经济的发展，“重庆大学校园计算机网络建设工程”项目计划的启动，是国家经济信息化建设的高潮到来之时。使信息产业成为中国下世纪综合国力的重要组成部分。曾经中国的教育信息化之路存在的许多制约因素，特别是西部地区学校，存在着教育经费紧张、学校信息化起步水平较低、建设缺乏合理规划等。我们在同许多中小学校的校长、教师交流和调研时，都表达这样的意愿，那就是希望有一套稳定、安全、流畅的网络平台；针对适合教学需求的信息化教学系统，并能够在实际教学中不断得到培训和服务支持。只有这样，不同地区、不同层次的学校才能都切实获得教育信息化带来的好处。重庆大学校园计算机网络建设工程项目实施与建成，有利于重庆大学的发展，示范作用会越来越大，相信重庆大学校园计算机网络信息化的春天即将到来。三、校园网现状和存在问题重庆大学校园网目前采用1000兆三层以太交换技术，整个网络采用三层管理结构核心层、汇聚层和接入层。第一层采用1000兆光纤连接，形成网络骨干网。核心层由6个骨干节点组成，分布在A区：网络中心、传动实验室，B区：B区核心节点、图书馆，C区：核心节点。汇聚层上建立二级节点。A区：管理学院、校医院、青教楼、七大楼、理科楼、远程教育中心、综合大楼、行政楼，B区：学生活动中心、办公大楼。由一、二级节点分别连接16个片区网络。核心层采用光纤连接。汇聚层交换机采用100兆光纤上连到一级交换机，通过100兆光纤或双绞线下连到接入层交换机。接入层是各部、处、学院、系、实验室组成的局域网络系统。这些局域网络以交换机、HUB、路由器、PC桥、代理服务器通过100兆光纤或双绞线与校园网二级交换机连接，在一级骨干节点附近的直接通过双绞线与骨干交换机连接。校园网现状1、A区网络系统现状A区网络系统于己于1995年开始建设，采用了155M的ATM交换技术组网，整个网络采用了三层拓扑结构。校园内敷设了光缆9公里，连接了40多个二级网络。在网络中心的ATM交换机上安装了多协议路由模块，建立了解36个以太局域网（ELAN），实现了跨楼群的分布式虚拟局域网（VLAN）功能。2002年6月，学校更换了13台交换机设备。其中1台AVAYAP550（用于网络中心作为核心交换机），12台P330（用于各个汇聚层骨干节点）。B区网络系统现状B区网络系统于己于1996年建设，系统采用了快速三层交换机技术。以星型的拓扑结构，用Inter550T三层交换机作为B区网络的核心节点，其它节点采用二层交换机或HUB作为网络连接设备。3、C区网络系统现状C区网络系统采用快速以太网方式组组网，整个网络属于典型的星型托扑结构，校园内敷设了12条光缆，主干交换机采用了CISCO2924，二级交换机采用了CISCO1924和少量的HUB。4、三校区互连现状整个校园主干用了单模光纤和多模光纤布线，B区核心节点、C区核心节点通过100M连入A区网络中心的核心交换机上。校园网出口使用CISCO3640路由器一台以100M接入CERNET。5、光缆敷设重庆大学三校区原有光缆56条，其中A区41条，B区11条，C区12条，A区光缆主要产品采用AMP6芯125多模铠装光纤，光纤ST头、藕合器、跳线采用AMP产品，B区和C区主要采用一般的国产多模光纤，少量的单模光纤。图重庆大学校园网拓朴结构现状6、网络中心、机房建设现状重庆大学网络中心由网络运行室（NOC）、网络信息室（NIC）、办公室和接待中心组成。中心现有建筑面积320平方米，其中机房面积110平方米，工作用90平方米，培训机房50平方米，会议室30平方米。另外管理学院、逸夫楼、传动实验室、C区网络机房共五个；除网络中心符合机房建设的要求外，其它都需要改造。新教学楼、校医院、B区网络机房需要重新建设；但是现有的UPS电源配备已经基本接近额定值。7、校园网络应用现状重庆大学校园网应用经过多年的建设，基本完成了网络的基础系统建设；拥有一批部门级的信息系统，如财务系统、远程教育、电子图书管等；对视频服务系统，完成了视频点播系统的初步建设；拥有一定数量的以SUN为代表的服务器和PC计算机。WWW、E-MAIL、域名服务、FTP视频服务等园区级的基础应用除了视频系统，其余基本在线使用；办公自动化一卡通系统等园区级的应用有待开发，部分部门级应用有待进一步完善。目前校园网存在问题重庆大学目前网络信息流量巨增，新型网络应用的开展，如：网上多媒体教学、校内IP电话、远程教育、网上联合工程研究、数字化图书馆、校园办公自动化系统等对网络主干和网络服务器设备提出了新的要求，原有设备已经很难适应新的需求、因此需要重新规划建设新的校园网络，将各个校区的网络系统连接起来，建设统一的、规模较大的、能适应学校教研发展的校园网络系统。针对以上情况我们就以下几个方面的问题进行了分析。1、网络性能及策略服务新组建的大学网络系统应实现高带宽、多路交换特性，为校园内外部信息交换提供流畅的信息通道。网络应具有高性能，可实现链路汇聚（LAG）特性提供更高带宽。低延时特性应满足网上视频点播、IP电话、时实远程教育、多媒体教学的基本需求。主干网络设备支持四层以上的交换特性，实现对不同IP业务的策略控制与管理，提高QoS服务质量，将IP组播技术应用在网络系统中，为实施远程教育打下坚实的基础。2、网络的可靠性由于重庆大学的校园网络支持的用户十分庞大，骨干网络应该具有很高的可靠性，最好能够提供电信级的可靠性。应该从网络设计上和产品设计上提供相应的可靠性保障。如网络设计时，骨干网络设计时应该考虑建立冗余连接，实现故障自动链路切换。产品选择上应提供具有容错设计、无单一故障点的产品。3、支持VLAN功能为了加强IP管理，原则上一个单位在一个IP子网内。由于校园各单位的分散性，会出现一个单位的站点分布在不同的楼群内，另一方面在校园网的同一个二级交换机上往往会连接多个IP子网，校园网分布式VLAN和集中式VLAN是当前和今后学校二级IP子网组网的基本特性。因此，在产品选择和网络设计时，应细致考虑VLAN可定义的类型，VLAN的中继能力，实现基于策略的VLAN。4、网络的安全要求网络安全是任何一个建网单位都十分关心的问题，网络设计必须能够提供一整套安全性策略、安全性机制和安全性解决方案。另外由于重庆大学的特殊情况应该特别注意IP地址防盗用问题。重庆大学校园网络与CERNET已连通，许多单位建立了自己的域名服务器、WWW服务器。网络中心为各单位分配了正规的IP地址，因此存在IP地址盗用问题；在划分了IP子网后，子网间的IP地址盗用问题解决了，但子网内部仍存在IP地址盗用。除了以路由器或PC桥方式与校园网连接的子网外，其它方式连接的子网应考虑防止IP盗用。在大学出口处设立防火墙，防止外部网络对校园内部网络的攻击，请详细叙述IP盗用和网络安全的策略、方法、措施。5、网络的管理要求构成重庆大学校园网络的产品众多，网络管理是一个十分艰巨而重要的问题。三校合并后，采用统一网管系统和网络计费系统。管理系统原则上采用与产品厂家一致的网管产品，网管除了能实现网管的基本功能外，最好能做到子网和站点控制、过滤，考虑提供网管二次开发包，对网络设备及其业务实施策略管理。网管除了管理校园网骨干交换机、二级交换机外，还要管理路由器、拨号服务器、各二级单位的具有网管功能的交换机、路由器。6、计费要求网络计费分局域网站用户计费和拨号用户计费。局域网用户计费按院、部、处、实验室为单位进行结算，要求计费系统基于IP地址的流量计费或基于用户的流量计费。家属区、学生区局域网络用户采用代理服务器上网，要求计费系统基于用户的流量计费。拨号用户计费要求采用计时、计量相结合的办法。局域网用户的流量要求区分国际、国内的流入、流出，拨号用户只要求区分流入、流出。网络安全计费、灵活的用户管理、方便的用户计费查询是计费软件应达到的基本要求。四、建设目标和建设内容建设目标在充分理解重庆大学校园网络系统在未来3-5年内的应用、数据流的分布基础上，我们规划设计重庆大学校园办公自动化系统、视频会议、视频点播和网络电视系统、远程教育系统、校园金融IC卡一卡通系统以及校园后勤保障系统、多媒体、教学和数字图书馆系统，并通过与CERNET的连接，使重庆大学校园网络系统成为一个集教学、科研、管理以及消费自动化管理系统。在网络体系的架构上，重庆大学校园网应是一个以宽带IP网为目标，建立数据、语音、视频三网合一的一体化网络的体系架构，同时提高网络可靠性、安全性和可管理性。在主干网采用以光纤布线为主，室内综合布线及无线接入为基础链路。主干网核心层交换设备具有千兆位或万兆位的以太网技术的包交换速度及高速的三层交换功能的。结合校园网主服务器集群的作用，以高速通讯线路与服务器连接，从而保证了服务器具有足够的带宽为网络上的用户提供良好的服务性能。汇集层网络交换设备以采用成熟的、可靠的快速以太网技术设备作为接入桥梁，实现虚拟局域网（VLAN）的功能及网间通讯，同时确保全网的良好性能及网络安全性。接入层交换设备为校园用户提供高速到桌面的接入体系。整个校园网采用先进的网管软件，建立完善的网络管理体系。同时为重庆地区其他城市高校提供接入CERNET的接口，为VPN、拨号用户和移动用户办公提供接口，网络还应具有良好的扩展性。在重庆校园网络规划中，以建设校园网网络中心、开放的网络机房、多媒体网络教室、远程网络教育及网络管理为综合性的网络基础平台。4.1.2总体目标基于以上需求，重庆大学校园网建设工程项目的总体目标是：通过有线、无线等方式组建一个高稳定性、强壮性、安全性、可管理性的计算机网络系统；多协议、多服务的计算机网络体系；实现现有三校区的高速互连互通，并覆盖校园内每个角落，同时考虑可扩展性，保证3～5年以内不落后，10年以内可用，能够轻松方便地支持校内办公自动化（OA）、教学管理、科研管理、数字图书馆、远程教育（网络教育）、校园一卡通及多媒体信息服务等应用的需求。4.1.3建设指导思想先进性：在保证系统能够稳定运行的基础上，以先进的设计思想，设计网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品。保证技术的前瞻性，延长系统的生命周期。可靠性：具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠，并具有良好的性能价格比。安全性：随着信息化的集中处理和基于Internet的访问激增，给校园网络带来的不利因素之一便是安全问题。从某种角度上来看，使校园内部科研信息及其它信息等暴露的可能性增大，信息一经暴露，给全系统带来的危害性加大。因此，方案设计时，充分考虑系统的抗外部攻击和内部攻击的能力。可扩展性：系统总体设计采用开放的结构，具有可扩展性，同时系统设计应经济实用。实用性：本着经济的原则，系统不追求大而全和设备先进，选用实用、够用的设计方案，更着眼于系统整个的灵活性和可扩充性，同时，考虑要利用和保护现有的资源、充分发挥设备效益。开放性：系统设计应采用开放的技术、开放的结构、开放的系统组建和开放的用户接口，以利于网络维护、扩展升级和与外界信息的沟通。灵活性：采用积木式模块组合和结构化设计，使系统配置灵活，满足学校分步实施的建网原则，使网络具有强大的可增长性。4.1.4建设原则统一规划、分步实施、近期目标明确统一设计，分布实施的原则基于系统的可用性、扩展性和先进性的统一的需要，即应用系统的设计、网络方案设计充分考虑网络系统建成后5－10年的发展需要，进行全方位整合；考虑校园园区网络系统的设备、物理链路、业务发展状况、技术力量等多方面的综合因素，为未来的发展留有余地。坚持先进性、开放性、标准化的原则建立一个大规模的综合性园区网络系统，应该尽可能采用先进成熟的技术。选购具有当今主流先进技术水平的计算机系统和网络设备，这些设备或系统应该在相当长的时间内保证其先进性。开发或选购的各种网络应用软件也尽可能先进，并有相当长时间的可用性。现代计算机网络的一个最显着特点是具有极好的开放性。这种开放性靠标准化实现，使得符合这些标准的计算机系统很容易进行网络互连。为此，应制定全网统一的网络体系结构，并遵循统一的通信协议标准。网络体系结构和通信协议应选择广泛使用的国际工业标准，使得设计网络系统成为一个完全开放式的网络计算环境。强调应用和服务网络应用和服务在整个网络建设中应置于非常重要的地位。建设好一个，投入使用一个，使网络的建设、应用及服务同步进行。应用和服务才是用户可直接受益的部分。同时，提供网络系统强有力的售后保障体系，也是应用和服务延伸的保证。建设内容4.2.1结构化布线当今世界已经进入了信息网络时代。结构化布线系统是信息网络时代的必然产物，是智能建筑的中枢。它采用高质量的国际标准线缆和相关连接件，在建筑物内组成标准、灵活、开放的传输系统，解决了过去建筑物各种布线系统互不兼容的问题。它既可以传输语音、数据、图象和离散信号，也可以与建筑物外部的通信网络相连接，因而它是一种适应信息网络时代的建筑物“信息高速公路”，是信息网络技术的一个重要分支，是建筑智能化必备的基础设施。为了更好的落实国务院、省、市关于高校后勤社会化改革的要求，达到高校管理现代化、智能化、数字化和网络化，根据重庆大学校园网建设要求，通过结构化的综合布线，在校园内建设一条“信息高速公路”，实现信息资源的共享。1、综合布线方案设计重庆大学综合布线系统物理拓扑结构为分层星型拓扑结构，该结构下的每个分支子系统都是相对独立的单元，对每个分支子系统的改动都不影响其他子系统，只要改变接点连接方式就可使综合布线在星型、总线型、环型、树型等结构之间进行转换，既支持集中网络，又能支持分布式网络系统。通过统一规划和模块化设计，满足语音和数据信息点的即插即用和随时互换，建立的系统能够支持ISDN传输，并方便地与Internet或数据专网互联。根据重庆大学的规划，A区公寓区结构化布线系统设计为二级管理结构，一级设备间位于网络中心，其余每栋公寓楼设计一个二级设备间；A区办公区结构化布线系统设计基本为三级管理结构，一级设备间位于网络中心、逸夫楼中心、传动实验室，二级设备间位于六大楼、管理学院、校医院、学生十二舍，其余每栋办公楼设计若干个三级设备间。根据重庆大学的规划，B区公寓区结构化布线系统设计为二级管理结构，一级设备间位于二综合楼，其余每栋公寓楼设计一个二级设备间；B区办公区结构化布线系统设计基本为二级管理结构，一级设备间位于二综合楼，二级设备间位于每栋办公楼。根据重庆大学的规划，C区结构化布线系统设计为二级管理结构，一级设备间位于行政楼网络中心，其余每楼栋设计一个二级设备间。2、综合布线系统的结构根据重庆大学校园网建设要求，结构化布线系统体系统结构如下图所示：图结构化布线系统体系统结构（1）工作区子系统一个独立的需要设置语音/数据终端的区域宜划分为一个工作区，工作区子系统由办公区域的信息插座、延伸到终端设备处的连接电缆和适配器组成。工作区适配器的选用宜符合下列要求：采用不同信息插座的连接器时，可以用专用电缆或适配器；开通ISDN业务时，宜采用网络终端适配器；水平子系统与终端设备传输介质不同时，宜采用适配器；需要进行数模转换或数据速率转换时，宜采用适配器；对于网络规程的兼容性，可用配合适配器。本设计中，公寓楼四人房每个房间设计4个数据信息点；其它每个房间设计2个数据信息点。布线材料全部采用M10L-262单口空面板(带防尘盖)和MPS100E-262超五类简装模块。（2）水平子系统水平子系统由各设备间到各个工作区之间的线缆组成。水平子系统通常采用4对非屏蔽双绞线，电缆长度不超过90米（3）干线子系统干线子系统由MDF和IDF之间的连接线缆组成。线缆一般为大对数双绞线电缆或光缆。数据主干采用国产9/125m室外单模光纤、9/125m室外多模光纤，光纤具有低传输损耗值和高带宽传输能力，是传输高速数据的最佳传输介质。它能最大程度的提供数据的保密性和完整性，且不受电磁、雷电干扰，并支持未来的高速数据传输和多媒体技术。（4）管理区子系统管理区是配线间或设备间的配线区域，它采用交连或互连等方式，管理干子系统和水平子系统的线缆。重庆大学办公区三级分配线架中连接所有水平双绞线的铜缆配线架采用PM2150-2424口超五类配线架，1U的结构，既精致，又便于安装，可安装于标准的机柜里面。重庆大学公寓区各三级配线间采用楼道专用宽带机箱和墙柜，不使用超五类配线架。（5）设备间子系统设备间子系统设于大楼的信息中心，由设备间中的数据主配线设备（光纤终接箱）及相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。该子系统连接局域网络系统设备（如主干交换机、HUB、服务器、路由器、防火墙等），通过从水平子系统中发送过来的水平电缆分别对大楼各信息点进行跳线管理。设备间子系统所有设备均安装在19”标准落地机柜中。机柜上安装着若干配线架，以方便线路的跳接，并留有足够的空间，可以安装用户网络集线器设备。该机柜正面安装玻璃门，使管理人员能够在不打开机柜的时候就可以看清面板上的跳线情况，看到网络设备的工作状态。由于机柜为全封闭型，使所有线缆（大对数双绞线和跳线）均被封闭在机柜内，无关人员不可能接触到布线系统，使系统的可靠性得到了极大的提高。设备间是整个配线系统的中心单元，它的环境条件的考虑是否恰当都直接影响到将来信息系统的正常运行及维护使用的灵活性。建议其室内照明不低于150Lux，并应提供UPS电源配电盘以保证网络设备运行及维护的供电。如数据布线采用屏蔽布线系统时，应备有合适的接地线。设备间的环境条件要求如下：将服务电梯安排在设备间附近，以便装笨重的设备。室温应保持在18℃至27℃之间，相对温度保持在30％保持室内无尘或少尘，通风良好，亮度至少达30英尺安装合适的消防系统(如采用湿型系统，不要把喷头直接对准电气设备)。使用防火门，至少能耐火1小时的防火墙和阻燃漆。提供合适的门锁，至少要有一扇窗口留作安全出口。分配线间应注意避免电磁干扰和雷击，安装小于1Ω的接地装置；尽量远离存放危险物品的场所、强电和电磁干扰源(如发射机和电动机)。设备间的地板负重能力至少应为500KG/平方米。根据结构化布线系统的要求，在配线间安装布线硬件的墙壁上须覆盖涂有阻燃漆的3/4英寸(合1.9CM)厚的木板。结构化布线系统中典型的配线间，其可以走进人的最小安全尺寸是120×150CM，标准的天花板高度为240CM，门的大小至少为高宽1M，外开。在配线间内应至少留有二个为本系统专用的，符合和办公照明要求的220V电压，电流10A单相三级电源插座。如果需要在配线间内放置网络设备，则还应根据接线间内放置设备的供电需求，配有另外的带4个AC双排插座的20A专用线路。此线路不应与其他大型设备并联，并且最好先连接到UPS，以确保对设备的供电及电源的质量。3、综合布线内容重庆大学A区、B区、C区结构化布线系统共包含3200个信息点以上。重庆大学大学生公寓A区、B区、C区，4人间每间布4个信息点，其它每间布2个信息点。重庆大学教学办公A区、B区、C区，根据实际需求，每户内设置1个数据点。图4.2A区光缆结构图图B区光缆结构图图4.4C区光缆结构图4.2.2网络通信系统1、网络系统总体结构重庆大学校园网是一个较复杂的网络系统。简化复杂系统的典型策略是采用分层的方法。本方案中，我们将整个校园计算机网络系统作如下划分。整个系统简化为分层结构，分为水平层面上的核心层（网络主干）、汇聚层、接入层，其信息流动模式是逐渐汇集于主干。在垂直层面上分为管理层和安全层。其中网络的核心层（或称主干）部分是整个网络的信息汇集处，拥有足够的带宽和良好的升级能力；具有足够的网络智能和承载多种服务类型的能力；同时具有很高可靠性。而网络的汇聚层部分起着承上启下的作用，是网络核心服务功能在更大范围的延伸和扩展。它汇集下层网络的流动信息，并将其进一步汇集于主干。与核心层类似，它也拥有足够的带宽和良好的升级能力；具有承载多种服务类型的能力；具有高可靠性。网络的接入层（或称接入层）作为网络的底层，直接面对用户，具有极大的灵活性、易用性；多种服务接入能力。从网络的管理层和安全层面讲，网络应具有极强的贯穿3个水平层面的控制能力和网络安全能力。包括灵活的计帐方式；基于策略的网络管理和基于物理层、链路层和网络层的性能测量和故障监控，并提供远程配置和故障排除能力。2、网络主干核心节点核心层是网络高速交换的骨干，尽可能高速交换包，具有高可靠性、提供冗余、容错、低延时和良好的可管理性、避免使用减慢包处理的进程（如访问控制列表、包过滤等）、具有界定一致的网络路径。重庆大学网络核心层由5个核心节点组成，其中包括:网络中心、A区逸夫楼、A区传动实验室、B区网络核心节点（二综合楼）、C区核心节点(C区行政楼)。这5个核心节点主要包括两个主要功能：连接骨干网络，构成骨干网络通道；连接各种汇聚节点，包括高速接入和信息源接入(主机)。网络中心核心交换机主要是实现骨干网络之间的优化传输,同时承担与校外Internet,Cernet的路由传输，我们在网络中心采用交换能力大于90Mpps多层交换机2台；交换机之间实现全冗余连接和链路汇聚（LAG）保证网络链路的可靠性和高达4G以上的性能，并通过路由冗余协议VRRP，两台核心交换机互为备份、负载均衡。考虑到B区的数据流量较大，因此在B区网络核心节点也放置一台交换能力大于90Mpps的多层交换机，根据我们的调查分析在C区网络中心、传动实验室、逸夫楼分布放置一台冗余配置的交换能力大于40Mpps多层交换机可以满足各自片区网络的需求。B区、C区、传动、逸夫楼的核心交换机通过冗余链路连接到中心两台核心交换机上，使整个核心层为网状网络拓朴结构，以保证重庆大学校园网核心骨干网的高性能，高可靠，高扩展性以及线速无阻塞的L2/L3/L4层交换。重庆大学校园网络核心节点都具有如下的特点：都具有电信级的全系统冗余，时钟，电源，风扇等的冗余；从根本上保证了节点的安全可靠性。都具有良好的性能价格比。都具有良好的系统扩充性。3、汇聚层节点汇聚层是接入层和核心层的分界点，并且用来分辩和区别骨干。提供基于策略的连接，具有安全服务等各项策略的实现、地址和区域的聚合、部门和工作组的访问、广播域、组播域的建立、VLAN之间的路由、介质转换、路由域之间的分布等功能。重大校园网络汇聚层（二级骨干）的要求：提供较高的可靠性和高速上行网络连接，部署网络的控制能力（如分布式三层交换和QoS等策略）。对于流量较大的汇聚层交换机建议采用交换能力大于40Mpps的三层交换机，其它数据流量较小的汇聚节点则选用交换能力在10Mpps左右的三层或二层交换机通过千兆光纤与核心层交换机连接。汇聚层交换机的上行链路1000M光纤模块也可根据距离长短选择长波或短波千兆模块。具体为：A区的综合楼、七大楼、行政楼、校医院、理科楼、学生宿舍区通过1000M光纤接入到A区网络中心；B区的八教学楼、设计院、学生宿舍通过1000M光纤接入到B区网络核心节点；C区下属各二级节点全部通过星型方式接到C区网络核心节点。4、接入层节点接入层节点主要由桌面交换机组成，被部署在各大楼内楼层配线间或机房，我们选择具有高性价比的二层交换机作为接入层节点，向下提供PC10/100M上连带宽，向上通过5类UTP或光纤以100M、1000M带宽接入汇聚节点，接入节点根据流量分布、地理分布和应用要求等，尤其是考虑重庆地区对接入层交换机防雷特性有较强要求，应采用具有防雷性好、性价比高的二层简单网管交换机。5、边界路由边界路由包含校园网络对外、对内的关口,承担了连至CERNET的网关业务。在本次方案设计中，在边界路由部署路由器一台用于外部连接，配置100MR-J45模块用于连接CERNET，通过硬件防火墙交换信息。对于内部拨号访问用户我们使用已有的一台路由器作为内部拨号访问服务器。6、无线网络根据重庆大学要在办公区域内实现计算机无线联网的实际要求，拟在国际会议中心及体育大楼通过无线局域网（WLAN）形式，把区域内的固定和移动工作站连结起来组成一个内部无线局域网络系统，并通过特定出口访问Internet。图会议室无线拓朴图说明：移动用户通过笔记本电脑或手持终端上的无线网卡，随时随地与有线网络保持通讯，可漫游。图体育场无线拓朴图7、需解决的关键技术（1）新旧网络设备的互连通性根据重庆大学校园网络建设要求，把原有网络设备和新增网络设备分为两部分。原有主干网络设备和新增网络设备之间的连接采用千兆光纤。千兆位以太网使用了与其前代技术相同的CSMA/CD协议，相同的帧结构帧长，其国际标准是及；而生成树协议保证了网络的任意节点之间不存在逻辑上的环路。（2）虚拟网（VLAN）划分针对重庆大学校园网络的实际情况，VLAN划分法采用基于端口的方法和标准国际标准进行VLAN的划分，并结合物理位置和部门功能做为进行VLAN划分的原则。通过LAN方法接入网络中心的VLAN划分由网络中心统一指定VLAN的范围和VLAN采用的协议。不通过LAN方法接入网控中心的VLAN划分不受约束。VLAN之间只允许必要的通讯，其余的通讯将被阻止。公用的服务器可以单独在一个VLAN中。我们以学生区为例：我们按照VLAN划分原则，在学生区接入层采用基于端口的划分方法，以学生宿舍为单位，结合IP地址的规划，将一个C类地址划在一个VLAN里面。在汇聚层采用基于的划分方法,将汇聚层每十台划在一个VLAN里面,同时将VLAN终止在汇聚层,来配合我们分布式的路由设计，从而减轻核心交换机的工作压力。图VLAN划分（3）IP规划三个校区的IP由网络中心统一规划。IP地址规划拟以各个单位、各个部门的职能为单位，学生以宿舍楼（公寓）的楼层或者单元为单位，结合虚拟网的使用情况进行划分。重庆大学校园网建成后，应使新旧系统平稳过渡。建议IP地址分配、管理基本不变。同时考虑到公有的IP地址数目有限和内外网的安全，故在公有地址不够时内网采用私有IP地址。由网络中心分别对二级节点进行地址划分，再将二级节点细分到不同三级节点上。考虑到重大目前的状况和将来五年的发展，以及学生使用网络的特点，故将学生区单独考虑。对学生采用以网络中心对各个学生宿舍（公寓）划分IP段，再以学生宿舍（公寓）的单元或楼层为单位，细分IP段。最后对合法用户采用动态分配IP和身份验证相结合。这样，既保护了合法用户，又使其他的用户可以在内部网互相交流。私有IP在访问Internet或CERNET网络时，通过NAT服务器，来实现私有IP到公用IP的转换。需要提供外部访问的服务器地址使用公用IP地址。（4）路由方式采用核心层和汇聚层路由分担的设计，使核心层交换机和汇聚层三层交换机都承担路由的功能。整个网络按照网络的层次和组织机构划分为不同的路由区域，各汇聚层的交换机负责各自区域的路由，只有跨区域的路由才会通过骨干路由器实现。核心层路由采用OSPF路由协议，汇聚层路由可采用OSPF和静态路由相结合的方式实现，边界路由采用静态路由。针对重庆大学校园网络，路由策略也主要是基于路由表的信息来决定数量包转发的目的地。根据用户访问信息源的方式，以及是访问Internet或CERNET网络和局域网内的用户需访问国外信息流还是国内网络信息资源的不同，来实现不同的管理和计费。（5）负载均衡内部流量的负载均衡：核心交换机之间采用第三层路径选择，可在并行的链路之间进行负载均衡。通过合理划分VLAN，把不同的链路划分到不同的VLAN中去，可以充分利用核心层的网络带宽。当工作在全双工模式时，本次方案中新增加的路由设备和原有设备具有4Gbps的带宽，实现了环状的拓扑中动态的负载均衡和动态的数据包路由。路由的负载均衡：在重庆大学现有的校园网中，核心交换机承担了绝大多数路由的工作。随着校园网规模的扩大，核心交换机已经不堪重负。因此，采用分布式的路由设计，网络集中式管理改变为分级管理。这样不仅减轻了核心交换机的负担，更重要的是，分级管理的思想为以后网络区域式分块管理提供了可能，大大提高了网络的可管理性和健壮性。（6）校园网出口设计为了降低出口防火墙的负担，提高校园网的运行效率，应采取适当的措施，合理设计网络结构，合理规划路由，实现一定程度上的负载均衡。这对充分利用网络资源、提高校园网的服务质量有着重要的意义。校园网内的用户缺省情况下是无法访问校园网以外的站点。只有经过用户认证才可以访问INTERNET。同时配置一台高速缓存服务器,解决INTERNET信息流量的存储和共享问题。（7）QOS服务质量保证由于重庆大学校园网络用户的剧增及语音、视频等新业务、新应用的出现，在网络中一个迫切需要解决的问题就是网络服务质量的保证。重庆大学校园网络采用硬件Qos队列处理、拥塞控制、带宽预留、过滤及多种策略实现Qos优先级等QoS处理技术。（8）核心交换机之间冗余备份在核心交换机之间，通过双链路连接，把两条光纤链路捆绑起来，在提高了网络骨干的带宽同时，实现了冗余备份。动态路由协议自动对链路进行选择，核心层链路故障并不影响网络的正常运行，所以切换对用户是透明的。4.2.3主机系统主机系统是实现校园网整个网络操作、网络应用的窗口和平台。因此，主机系统当仁不让得成为了整个校园网的核心设备。针对学校校园网用户而言，对主机系统的选择应该充分考虑可管理性、稳定性、安全性、综合性能价格比等因素。针对重庆大学校园网络建设的目标，校园网络的主机系统建设应遵循以下基本原则：具有优异的性能和高可靠性；具有冗余和高可用性，以保证关键应用的连续可服务性；开放性、兼容性和可互联性，节省投资，保护已有投资；能够横向、纵向扩展和升级以满足不断增加的需求；实现重庆大学校园网的建设目标，首先需要建设一个高品质、综合能力强大的IT支撑环境，将现有环境升级改造成一个符合当今趋势的适应现代教育的的IT支撑环境。校园网的实现，需要考虑开放式应用构架和网络环境，实现平滑过渡。（1）主机系统架构图主机系统架构主机系统集群的实现集群可以是两台或是多台服务器的连接。在集群技术中最常见的双机系统，该系统由两台服务器和一个外接磁盘阵列柜及相应的软件构成。用户的数据放在外接磁盘柜的存储盘里。操作系统和用户程序安装在两台服务器的内置系统盘上。它分为三种模式：被动式备份服务器（Standby）、主动式辅助服务器、互为备份(DualActive)。在网络中心使用集群软件和中间件以及中间件支持的负载均衡处理，应用服务器可以由群集的两台扩充到多台，系统自动完成流控等功能，如下图所示：图服务器集群扩充主机系统存储的实现在重庆大学的校园网络建成后，其系统必将肩负着非常大的使用效率，因此在针对它的系统实施设备应该注重以下的关键问题：传输速度、简便管理、数据安全、扩展升级、连接性和开放性、领先的技术等。主机系统存储的实现对于重庆大学校园网，访问时延和服务器的可靠性是非常重要的问题，采用多个服务器，以提高服务器的响应性能，减少服务器的单点故障。这样的设计使每台服务器的处理能力都得到了充分的发挥。而且同时也大大提高了网络服务的可用性。在信息数据已经成为计算机系统命脉的今天，如何随着存储数据量的增长，重庆大学校园网络对存储系统的要求也在不断提高，而且还面临着诸多挑战，主要体现在以下几个方面：更快的数据访问速度、更便捷地管理存储资源、高速备份、保证对大量突发性数据的准确存储等。（2）主机系统的选型Internet/Intranet服务器根据重庆大学校园网的建设目标，主要是为了实现与Cernet和Internet的互连，以提供Cernet和Internet上的各种服务，为用户提供丰富的网络资源，并提供对外的WWW信息服务，使校园网系统成为外界了解校园内部的一个重要窗口。邮件服务器邮件服务器的主要功能是为整个重庆大学校园网络用户的邮件服务。邮件服务对实时性要求不是很高，因此要求主机的计算能力不是很高，但对其存储能力要求要高于其他，作为邮件服务器，它至少要满足网络用户的邮件存储要求。Web、FTP、DNS、NAT代理、网管服务器提供Web、FTP、DNS、NAT代理服务的服务器，根据经验和成功案例，应选择成熟产品。数据库服务器对于重庆大学校园网工程建设项目，数据库服务器是必不可少的，但是由于它的初期应用比较少，业务不是特别繁忙，对计算、存储以及容错能力要求并不是特别高；随着整个校园网建设的深入进行，用户对数据库服务器的访问势必增加，数据库服务器上的应用处理负担势必加重，对计算、存储以及容错能力会有更高的要求。因此，对于数据库服务器的选择，要求首期投入不是太高，但应有良好的扩展性和技术上的先进性，能够支持RAID等功能，满足以后系统升级或做容错处理的要求。实时新闻视频播放服务器对于一个园区网的建设，视频点播服务也是重庆大学未来发展的内在需求。主要是在校园网内实现网上视、音频广播和点播。可分实时收看和节目点播两种方式。在网内还能够直播会议实况。因此系统必须满足大量并发流的需要，并且容易扩充。作为一个视频服务器，由于其实时性的内在要求，一般对存储I/O系统、扩展性存储系统、系统管理系统有较高的要求。计费服务器校园网内的用户通过网内的服务器代理后进入教育网和互联网，计费服务器根据预先设定的规则进行计费处理。计费服务的中断会直接导致网内用户与外界的连接中断或用户使用了网络而没有计费信息，因此，计费系统要求全天候不间断运行。校园网建设中计费服务器应选用具有好稳定性的主机。而且，考虑计费服务器需要处理大量用户认证和信息安全过滤，计费服务器还应有富余的处理能力。OA服务器重庆大学校园网建设的目的之一就是实现办公自动化，提高高校的办学质量。目前OA软件的发展情况来看，大部分校园网OA软件是基于WINDOWS系统开发的，因此，可选用一款基于X86开发的主机，用于运行OA应用的后台服务。4.2.4网络安全与管理系统从重庆大学网络系统的整体考虑，按照“大安全、方便管理”的概念进行设计，把重庆大学网络系统的安全与管理作为一个体系考虑。在国际互联网联通的情况下，重点保护网站和上网用户的安全，防止来自外部的攻击。强化用户管理，对联网的计算机用户进行有效的管理，用户访问国际互联网必须通过身份认证，对用户的网络访问行为记录详细日志，能够根据日志记录、IP地址、用户名等确定具体用户以及用户访问的信息。保障网络和系统的可靠性、稳定性。充分考虑到安全与应用的结合：考虑到当前的应用系统，同时考虑应用系统与安全系统的接口。全局考虑重庆大学的整体安全设计。保障系统易操作、易维护。安全易行的网管系统。1、网络安全由于重庆大学这样一个大型网络系统内运行多种网络协议(TCP/IP，IPX/SPX，NETBEUI)，而这些网络协议并非专为安全通讯而设计。所以，网络系统可能存在的安全威胁来自以下方面：操作系统的安全性、来自内部网用户的安全威胁、软件缺乏安全性、Internet的恶意攻击、应用服务的安全等。（1）防病毒根据重庆大学的需求与实际，实现全网络的病毒防护不可行，但必须在应用服务器和数据库服务器上进行病毒防范。一个好的防病毒系统，应该是一个多层次、全方位的防病毒体系，而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能。重庆大学网络采用配置20个用户的防病毒产品，主要保护网络中心服务器，其要求是：较强的病毒防护能力、具有网络易管理特性、灵活管理客户端、灵活的更新升级、产品的安全性高。（2）防火墙为了提高重庆大学出口CERNET的安全性和访问日志的可靠性，出口访问应通过防火墙，防火墙都应记录日志。同时考虑网络的发展及重庆大学出口访问量的因素，因此防火墙采用高可靠性的防火墙。考虑到学校财务部门的需求，建议在A区财务部门配置一台百兆防火墙，并在财务部门防火墙上配置VPN模块，保障该部门特殊的网络安全，防火墙要求：具有公安部销售许可证、高性能、网络地址转换技术、用户鉴别、用户认证、IP和MAC地址绑定、入侵检测、透明代理、日志审计、流量控制、强抗攻击能力、虚拟专用网（VPN）、非法网站内容过滤等。（3）入侵检测系统在重庆大学校园网络入口安装入侵检测系统，实时入侵检测系统可以通过网络流量检查保护网络免受来自内外的攻击，当网络安全受到非法入侵者威胁时发出报警。利用网络实时监控，对计算机系统进行安全检测，在系统受到危害之前截取和响应黑客攻击和内部网络误用，无妨碍地监控网络传输并自动检测和响应可疑的行为，从而最大程度的为重庆大学校园网提供安全。同时入侵检测系统须与防火墙联动，更加强了其安全保护。由于校园OA系统的重要性，建议在OA服务器上配置一套基于主机的入侵检测系统。入侵检测系统要求：具有公安部销售许可证、支持统一的管理平台、可实现集中式的安全监控管理、自动识别不小于1600种攻击、支持与防火墙联动、支持IP过滤等功能。（4）网络安全评估安全记录的统计和分析是一项非常重要的工作，通过定期进行全面的网络统计和安全评估、分析当前系统和网络环境，可以找出安全弱点，并作出正确的安全建议。安全评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。风险评估技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上面的风险漏洞，而后者则是通过网络远程探测其它主机的安全风险漏洞。由于网络采用的通信协议并不是为安全通信而设计的，这些协议和网络设备存在一些固有的安全隐患，入侵者可利用这些漏洞，通过网络实施攻击。基于网络的风险评估技术，主要是模拟黑客攻击的方法，检测网络协议、网络服务、网络设备等方面的漏洞。网络漏洞扫描器要求：能扫漏洞不小于900种、可生成详细报告、可动态分析目标系统的安全脆弱性、远程在线升级、灵活的策略配置、多种形式的报表、系统扩展性好等。重庆大学校园网络安全保护体系部署如下图所示：图重庆大学校园网络中心网络安全布署（5）网络安全管理体系由于重庆大学校园网络的复杂性，必然导致重庆大学校园网络安全防护的复杂性。“三分技术，七分管理”这句话是对网络安全非常客观的描述。任何网络仅在技术上是做不到完整的安全的，还需要建立一套科学、严密的网络安全管理体系，为重庆大学校园网络提供制度上的保证，将由于内、外部的非法访问或恶意攻击造成的损失减少到最小。图管理规范框架2、网络管理重庆大学校园网络系统是保证校园网络系统正常运行的前提。网络管理不但需要先进、实用的技术支持手段，对大中型网络而言，更需要合理、有效的组织体系和规章制度。网络管理是网络可用性的关键组成。网络管理包括故障管理、配置管理、网络性能管理、安全管理、系统资源管理、应用管理等功能。网络计费是网络管理系统的重要组成部分，网络计费可实现用户账号的授权、验证、管理和计费服务。网络管理系统要求：无缝集成管理任何大小、形状或结构的网络系统及环境、确保管理信息的安全可靠、高度可扩充的，能随计算机系统和企业业务的增长而增长、简单易用、友好的图形界面，进行直观的操作和管理、能够提供标准的和开放的应用接口及开发工具，符合IT技术未来的发展方向、能够将IT资源的管理与业务相结合。4.2.5机房建设对于重庆大学校园网络建设中，机房建设是一个核心部分，原因在于主要网络设备、主机设备基本上放置在机房，对于机房的安全要求也就更加重要了。为了保证重庆大学校园网络的平稳远行，保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，机房建设已成为整个项目工程中重要的环节之一。校园网机房建设包括建筑装饰、电气、空调、新风、门禁系统、保安监控、消防、防雷防静电、屏蔽等在内的综合性工程。对于门禁系统、空调和新风系统、机房设备及环境监控系统可根据实际情况来决定是否采用。根据重庆大学的要求，仅就电气、保安监控、防雷、防静电、屏蔽等方面建设。1、电气系统电气系统的作用就是给主机系统、工作站、网络关键部件等设备提供不间断运行的保障。重庆大学校园网建设工程机房建设包括5个二级机房和网络中心，考虑到各级机房的负荷大小不一，在A区的管理学院、校医院机房分别安装一台2KVA、3KVA的UPS；在网络中心和B区的机房分别安装一台30KVA和15KVA的UPS；在A区的新教学楼、传动实验室及C区机房各安装一台6KVA的UPS。图UPS系统图2、配电、防雷系统重庆大学校园网的中心机房所在的建筑物的直接雷击防护系统比较完善，但除了直击防雷还应对机房感应雷击进行防护，根据重庆大学对校园网机房防雷建设的要求，参照相关防雷规范作出如下防雷建设。（1）在二级机房所在的建筑物周围新建一个接地电阻小于4欧姆的专用地网；在B区机房所在的建筑物周围新建一个接地电阻小于1欧姆的专用地网（A区网络中心已有地网）。用32mm2多股铜线从机房地线汇流排引一根地线至机房地网的接地极上；对机房现有接地线进行整改（先除锈，再刷防锈漆、银粉漆）。将大楼地与机房专用防雷地通过地电位均衡器相连。（2）铺设全钢抗静电地板，铺设高度不低于20cm。抗静电地板在铺设过程中应先将地板下面地面用高标号水泥沙浆抹平并做表面压光，等地面完全干燥后，再刷地板封闭漆，达到不起尘，保证机房的洁净度；活动地板下空间作为网络线槽、散流网及敷设电气管线用；在活动地板上开一定量的孔，作为机房专用地板插座使用。（3）将机房的设备外壳、门窗、铝合金隔断及地板支架等接地，并在机房的防静电地板下离墙0.5米处用4×40mm2铜条增设均压带，均压带每隔1米设一个接地孔。（4）对于网络中心、B区机房，在其办公大楼总配电柜内的电源入线端并联安装Furse的ESP415电源防雷器一台，作为电源系统的一级防雷；在机房总配电柜内电源进线端安装Furse的ESP415电源防雷器一台，防止从市电过来的感应雷电，将雷电脉冲抑制在设备能承受的安全电压（600V）以内。在UPS的进线端安装Furse的ESP415电源防雷器一台，防止空调等其它设备起动时的操作过电压对UPS的影响。对于二级机房，在机房总配电柜内电源进线端安装Furse的ESP240电源防雷器一台，作为电源系统的一级防雷，将雷电脉冲抑制在设备能承受的安全电压（600V）以内。在UPS的进线端安装Furse的ESP240电源防雷器一台，防止空调等其它设备起动时的操作过电压对UPS的影响。图网络中心、B区机房配电与防雷示意图（1）用16mm2多股铜线从机房地引至机房总配电柜内，用作电源交流保护地（PE线）。（2）在计算机网络方面，由于机房全部采用光纤入户，而光纤对于电磁场的突变根本没有影响（对于铠装光纤，在机房端铠钾不应接地），所以，在网络线上无须安装信号防雷器。图二级机房配电与防雷示意图图机柜盘内配线图3、机房监控系统图机房监控系统机房设备及环境集中监控系统是采用先进的通信技术和采集控制技术，对机房的设备以及现场工作情况进行监控，并可通过局域网进行监控信号的实时传输，根据需要实现异地远程机房总部集中管理模式，多点同时监控分级管理模式等。重庆大学校园网拟设机房8个，如图示，在每一个二级机房各配置一台主机（486以上、20G、15′彩显、含网卡，视频采集卡；在Windows2000操作系统下运行），在每一个二级机房的适当位置各安装一台吸顶式摄像机，对机房的工作情况进行监控。通过对分控软件的设定，网络中心可以实时监控到任一机房的工作情况。4、空调部分（1）30m2（2）200m2机房采用16P海尔变频中央空调台。4.2.6应用系统在新的网络信息进代，高校迫切需要建立和完善网络应用系统，组成一个集基础网络应用、办公自动化、数字图书馆等应用于一体的完整的校园网应用解决方案。Internet/Intranet基础应用校园网Internet/Intranet应用是师生访问和使用校园网的出发点，它向其它高层应用提供基础网络服务，如域名解析、文件传输等。校园网Intranet基础提供的服务和功能一般包括以下几项：网页服务、邮件服务、文件传输服务、论坛服务、教育科研网接入服务。学校办公自动化（OA）系统学校办公自动化系统包括如下子系统：（1）行政管理系统覆盖学校管理工作，完成行政事务处理的各项功能，改善管理人员的工作环境，减轻工作负担，提高工作效率和管理水平；解决信息不一致问题；实现全校范围内的信息共享；解决信息采集的瓶颈，拓宽信息管理的宽度和深度。（2）人事管理系统提供给人事处调配科工作人员使用的系统，可以进行新人员的录入、在职人员基本信息的变动管理、离退人员及减离人员的转出管理等。（3）财务管理系统提供一套完整的学校财务管理系统。包括：帐务处理系统、学生收费管理、助贷学金管理、工资结算管理等。（4）公文流转系统主要用于学校收、发文管理和学校自产文件的管理。具备收文管理、发文管理、自产文件管理、通知通告管理、公文借阅管理、公文档案管理等功能。教学管理系统（1）教务管理系统对招生计划及新生信息进行录入、维护，记录学生从入学到毕业的全过程；根据学校的系别、师资情况，分班情况以及课程设置情况进行教学计划并自动排课；提供从考度安排、试卷编排、试卷评测、试卷分析到成绩登记和统计管理功能；对教学和科研情况进行统计和查询；对教学任务进行统计，如实际开课统计表、教师工作情况表、教学情况统计表、教学计划要求表等，根据教学情况，对各科教师的教学情况做出科学的评估；（2）电子课件系统教师可以调用电子备课系统的教学素材，或其它已准备好的素材编排教案；学生可以通过多媒体课件点播系统取得教师的教学课件并主动开展学习，作为实时互交式网络教学的一种补充。数字化图书馆传统的图书馆管理系统只涉及到学校图书馆、资料室的采编、编目、检索、借阅记录、统计、电子图书、多媒体资料等功能。重庆大学的教学用到大量的图文、语音、视频、课件等多媒体资料，并且随时间的推移，积累的资料数量会越来越丰富。因此，在建设校园网时，必须建立一个多媒体资料库管理系统，对教学资源进行积累，才能有效地管理和使用这些资料；才可以通过网络实现学校的教学资源共享。数字图书馆管理系统由多媒体资料库和管理软件两部分构成。（1）多媒体资料库用于存储图文、语音、视频、课件等多媒体资料。其中，课件是指类似于CAI教程的软件程序。（2）资料库管理软件多媒体资料库管理软件是与多媒体资料库紧紧联系在一起的，它主要针对多媒体资料库的资料提供增加、修改、删除、检索、分类、统计等功能，并对多媒体资料库的用户进行管理，使资料库安全有效地为教学服务。（3）图书馆自动化系统与数字图书馆机制有机衔接数字图书馆的目标之一是实现电子化媒体共享，提高资源共享程度。这种联结可以保留原图书馆自动化系统的所有业务管理功能，便于数字图书馆的开展。（4）强化多媒体数字图书馆的建设数字图书馆的特点之一是存储的信息的广泛性，可以涵盖传统的网上图书馆业务，又可以提供图片、声音、动画、电影、图像等各种多媒体数据。校园网图书馆可以通过强化数字图书馆的发展，让数字图书馆逐步取代传统网上图书馆系统。（5）进一步建设数字图书馆通过与分布在校园网内外的其它数字图书馆互联，借助统一的检索入口，校园网内的数字图书馆能被读者随时随地获得，而读者无需关心资源存储的地理位置，这是数字图书馆的真正意义所在，也称为虚拟图书馆。远程（网络）教育系统（1）上课件系统包括教学课程并且支持新的课程加入，不断更新。（2）自动答疑系统在学习过程中遇到的问题应能在网上自动答疑系统中获得解答。用户只需要连接到Internet，通过浏览器就可以解答在学习过程中产生的问题。（3）考试系统远程考试系统是一个基于数据库和WWW的远程在线式实时的测试系统。支持多媒体考试形式。（4）管理系统远程管理系统的目的是为网上学习系统的学员提供一个集成的学习环境，使得学员们可以方便地利用网上学习系统的各种学习设施，如远程考试系统、远程讨论系统，多媒体作业系统等，同时，对学员的学习记录进行统计分析，并将结果反馈给学员和有关人员，以提高学习的效率。（5）远程讨论系统文本交谈系统提供给用户文本交谈的功能，用户可以和线上人员进行公开讨论和私下交流；共享白板共享白板提供给用户辅助交流的手段，通过共享白板，所有线上人员可以在一块白板上绘图，交流自己的想法；网络导游网络导游可以使用户共同浏览感兴趣的网页内容，并就网页上的内容进行交流；实时语音交流登录到系统的用户(学生、教师)可以通过Web进行实时的语音交谈。在一个教室中的任何学生可以申请发言，教师有权赋予特定学生发言的权力。在得到教师的授权后，学生可以用语音发表见解。在这个教室中的所有其他学生和教师，将实时地听到该学生的发言。（6）多媒体作业系统在学生的学习过程中，作业的布置、提交与批改是非常重要的一环，老师可以通过它得到教学效果的反馈，既可以不解不同学生的学习情况，以便因材施教，又可以发现教学过程或课件中存在的问题，并采取措施加以修改完善。（7）多媒体流点播/广播系统同时提供教师后台讲稿同步编辑工具，和学生前端浏览界面。同步编辑工具实时记录教师使用PowerPoint讲课的过程，教师讲课完毕，学生即可在系统Web点播界面上浏览到教师授课的全部过程，包括视频、音频和同步的PowerPoint讲稿。校园一卡通系统校园一卡通，是指充分利用IC卡的大存储容量的优势，在一张IC卡上实现学生证、出入证、阅览证、借书证、就餐卡、医疗卡、上机卡、储蓄卡等的功能，在校园管理方面，形成一种简捷、高效的现代化管理模式，减少人力物力的消耗，提高工作效益，提高学校的管理水平。IC卡具有信息加密、存储和处理能力。与条码卡和磁卡相比，IC卡具有许多不可比拟的优势，如存储容量大、保密性好、抗干扰能力强、数据可靠性高、系统要求低、扩展功能强等，因此，“一卡通”应用越来越得到众多学校的重视。校内实时新闻视频播放系统校内实时新闻视频播放系统是基于网页服务的，它给师生提供校内外新闻实时视频播放。科研管理系统科研管理系统实现对全校教职员工科研项目的管理与考核，提供科研成果的转化成生产力的工作。后勤管理系统学校后勤管理本质上是一种经济活动，具有产业的性质。随着社会主义市场经济体制的确立，学校后勤面临必须摆脱计划经济赋予的特别属性—"小而全"、封闭式自给自足，建立既适应社会主义市场经济要求又符合学校自身发展需要的一套体系的任务。建立适应市场经济发展的后勤服务配套过程就是学校后勤社会化的过程。学校后勤保障系统应协调和管理食堂、门房、保洁、维修、采购、养护、财务、文印、保管等工作。10、其它应用校园网应用还可针对重庆大学具体情况有计划分步实施其它应用，如视频会议、IP电话、移动校园信息系统等。五、新建校园网拓扑结构1、网络系统总体结构重庆大学校园网是一个较复杂的网络系统。简化复杂系统的典型策略是采用分层的方法。本方案中，我们将整个校园计算机网络系统作如下划分。图网络系统层次框架图整个系统简化为分层结构，分为水平层面上的核心层（网络主干）、汇聚层、接入层，其信息流动模式是逐渐汇集于主干。在垂直层面上分为管理层和安全层。其中网络的核心层（或称主干）部分是整个网络的信息汇集处，拥有足够的带宽和良好的升级能力；具有足够的网络智能和承载多种服务类型的能力；同时具有很高可靠性。图重庆大学校园网总体拓扑图而网络的汇聚层部分起着承上启下的作用，是网络核心服务功能在更大范围的延伸和扩展。它汇集下层网络的流动信息，并将其进一步汇集于主干。与核心层类似，它也拥有足够的带宽和良好的升级能力；具有承载多种服务类型的能力；具有高可靠性。网络的接入层（或称接入层）作为网络的底层，直接面对用户，具有极大的灵活性、易用性；多种服务接入能力。从网络的管理层和安全层面讲，网络应具有极强的贯穿3个水平层面的控制能力和网络安全能力。包括灵活的计帐方式；基于策略的网络管理和基于物理层、链路层和网络层的性能测量和故障监控，并提供远程配置和故障排除能力。2、网络主干核心节点核心层是网络高速交换的骨干，尽可能高速交换包，具有高可靠性、提供冗余、容错、低延时和良好的可管理性、避免使用减慢包处理的进程（如访问控制列表、包过滤等）、具有界定一致的网络路径。重庆大学网络核心层由5个核心节点组成，其中包括:网络中心、A区逸夫楼、A区传动实验室、B区网络核心节点（二综合楼）、C区核心节点(C区行政楼)。这5个核心节点主要包括两个主要功能：连接骨干网络，构成骨干网络通道；连接各种汇聚节点，包括高速接入和信息源接入(主机)。网络中心核心交换机主要是实现骨干网络之间的优化传输,同时承担与校外Internet,Cernet的路由传输，我们在网络中心采用交换能力大于90Mpps多层交换机2台；交换机之间实现全冗余连接和链路汇聚（LAG）保证网络链路的可靠性和高达4G以上的性能，并通过路由冗余协议VRRP，两台核心交换机互为备份、负载均衡。考虑到B区的数据流量较大，因此在B区网络核心节点也放置一台交换能力大于90Mpps的多层交换机，根据我们的调查分析在C区网络中心、传动实验室、逸夫楼分布放置一台冗余配置的交换能力大于40Mpps多层交换机可以满足各自片区网络的需求。B区、C区、传动、逸夫楼的核心交换机通过冗余链路连接到中心两台核心交换机上，使整个核心层为网状网络拓朴结构，以保证重庆大学校园网核心骨干网的高性能，高可靠，高扩展性以及线速无阻塞的L2/L3/L4层交换。图核心层网络拓扑图重庆大学校园网络核心节点都具有如下的特点：都具有电信级的全系统冗余，时钟，电源，风扇等的冗余；从根本上保证了节点的安全可靠性。都具有良好的性能价格比。都具有良好的系统扩充性。3、汇聚层节点汇聚层是接入层和核心层的分界点，并且用来分辩和区别骨干。提供基于策略的连接，具有安全服务等各项策略的实现、地址和区域的聚合、部门和工作组的访问、广播域、组播域的建立、VLAN之间的路由、介质转换、路由域之间的分布等功能。重大校园网络汇聚层（二级骨干）的要求：提供较高的可靠性和高速上行网络连接，部署网络的控制能力（如分布式三层交换和Qos等策略）。对于流量较大的汇聚层交换机建议采用交换能力大于40Mpps的三层交换机，其它数据流量较小的汇聚节点则选用交换能力在10Mpps左右的三层或二层交换机通过千兆光纤与核心层交换机连接。汇聚层交换机的上行链路1000M光纤模块也可根据距离长短选择长波或短波千兆模块。具体为：A区的综合楼、七大楼、行政楼、校医院、理科楼、学生宿舍区通过1000M光纤接入到A区网络中心；B区的八教学楼、设计院、学生宿舍通过1000M光纤接入到B区网络核心节点；C区下属各二级节点全部通过星型方式接到C区网络核心节点。图重庆大学校园网汇聚层拓朴结构图4、接入层节点接入层节点主要由桌面交换机组成，被部署在各大楼内楼层配线间或机房，我们选择具有高性价比的二层交换机作为接入层节点，向下提供PC10/100M上连带宽，向上通过5类UTP或光纤以100M、1000M带宽接入汇聚节点，接入节点根据流量分布、地理分布和应用要求等，尤其是考虑重庆地区对接入层交换机防雷特性有较强要求，应采用具有防雷性好、性价比高的二层简单网管交换机。图重庆大学校园接入层结构图5、边界路由边界路由包含校园网络对外、对内的关口,承担了连至CERNET的网关业务。在本次方案设计中，在边界路由部署路由器一台用于外部连接，配置100MR-J45模块用于连接CERNET，通过硬件防火墙交换信息。对于内部拨号访问用户我们使用已有的一台路由器作为内部拨号访问服务器。图重庆大学校园网边界路由拓朴图六、设备配置与经费预算设备配置1、综合布线根据重庆大学校园网络建设工程项目总体规划与建设目标，按教育部要求，项目设计综合布线数据信息点数量3,200个，共铺设光纤50,881米2、网络设备根据重庆大学校园网络建设工程项目总体规划与建设目标，按教育部要求，项目系统设计边界路由器1台，网络核心层交换机6台，其中网络中心配置2台，A区逸夫楼、传动实验大楼各设1台核心交换机，B区核心节点与C区核心节点各设1台核心交换机。网络汇聚层52台高性能交换机分别配置在A、B、C三区各骨干节点，接入层共需160台二层可网管交换机分设在各楼宇用于用户接入，在国际会议厅部署无线网络。同时相应配置了网络管理软件一套。3、应用系统服务器根据重庆大学的应用需求，方案设计增加9台服务器与原有的6台服务器共同提供全新的校园应用服务。4、机房环境建设根据校园网的规划，方案设计包括5个二级机房和网络中心的机房环境建设与改造，考虑到各级机房的负荷大小不一，我们在网络中心安装一台30KVA，PC100台。项目经费预算根据重庆大学校园网络建设工程项目总体规划与建设目标，整个项目国家拨款部分预计费用为人民币捌佰万元（￥8,000,）。具体费用分布请见表校园网采购设备汇总表。七、项目管理和组织实施项目管理湖南计算机股份有限公司在该项目实施工程中，专门成立一个项目实施小组，与用户共同对项目进行管理，在用户的领导和监督下管理项目实施；该实施小组由湘计算机公司富有网络系统集成经验的秦拯博士负责由一支约三十名技术人员组成。项目的组织机构有效的组织机构是项目成功的有力保证。由于项目大小、范围等的不同，项目的组织机构亦会有所差异，以下是湖南计算机股份有限公司针对本项目组织的实施组织机构。7.2.1重庆大学项目组织机构设置校园网项目领导小组组长：吴中福副组长：李晓红、唐一科、曹振生校园网项目实施领导小组组长：王康副组长：陈蜀宇成员：唐学文、张洪武、张晓7.2.2湖南计算机股份有限公司项目组织机构设置1、校园网项目领导办公室主任：高雷，湘计算机公司公司执行副总裁副主任：秦拯，湘计算机公司公司副总工，兼事业部总经理成员：周晓峰、谢康、罗俊2.项目实施组组长：秦拯副组长：马范军、谢康、陈建国项目经理：席爱民子系统小组：总体设计：马范军综合布线与机房：杨光泉、赵文彬网络系统与网络管理：聂玉权网络安全：马范军应用系统：文勇防雷系统：杨光泉项目进度安排项目的进度应通过项目进度报告、项目进度会议等手段，切实了解项目进度，评估项目的进展情况及未按计划完成的原因，制订相应的行动方案。具体进度安排如下：方案设计：用户需求分析；调研、地形勘探等；总体设计；详细设计；施工安装；综合布线：现场勘察；布线工程的设计，计划与管理；电缆敷设，沟槽、墙面处理；安装配线架；安装分布的信息插座及其它附件；电缆标记、电缆端接和测试；光、线缆敷设；光缆熔接及线缆相关测试；提供布线工程文档；机房建设：机房环境建设；供电系统建设；防雷系统工程建设；温度、湿度计；设备安装调试：时间为设备到货后3个月内完成核心设备安装调试；硬件设备安装调试；软硬件配置与联调；项目验收：提交项目所有技术、施工、调测试文档。八、预期效益科教兴国和可持续发展是我们国家的长期战略。教育信息化是走向信息社会的必由之路，信息高速公路是信息社会基础设施。重庆大学校园网络建成，使现有三校区高速互连互通，高速接入CERNET。全校师生可以共享和利用校园网、CERNET和INTERNET资源，为远程管理、数字化图书馆、视频点播（VOD）、校园一卡通、办公自动化、教学和科研管理等应用系统提供有效支撑平台，提高办学效率，利于扩大办学规模，增强学校综合实力。实施重庆大学校园网建设工程项目，不仅能全面提高重庆大学校园网的水平和规模，扩大校园网的应用范围，为在校师生教学、学习和科研以及大学生进入网络平台提供了基本保证，而且将为重庆地区的国民经济和社会信息化的发展提供人才和智力支持，直接关系到重庆地区“科教兴国”战略的实施和教育跨越式发展目标的实现。九、重庆大学校园网建设汇总表表校园网采购设备汇总表设备名称设备名称规格、技术指标数量预算单价金额主要用途备注主干交换机模块化多层交换机三层包转发率>100Mpps、扩展槽>8、端口:9*1000BASESX+14*1000BASELX+48*100BASETX、可网管、0℃1￥430,000￥1,950,000核心层交换机模块化多层交换机三层包转发率>100Mpps、扩展槽>8、端口:2*1000BASESX+20*1000BASELX+24*100BASETX、可网管、0℃1￥430,000核心层交换机模块化多层交换机三层包转发率>100Mpps、扩展槽>8、端口:30*1000BASELX+48*100BASETX、可网管、0℃1￥540,000核心层交换机模块化多层交换机三层包转发率