某中学校园网络系统集成技术方案书

某中学校园网络系统集成

技术方案书

组别：第五组

组长：喻刚

成员：雷婷婷李玉娇丁月波

侯翠丽曹嫂徐晨王听

2012年10月22日

目录

第一章前言.............................................4

1.1校园网络系统建设目标..............................4

1.2校园具体需求......................................4

1.3校园网系统总体建设原则............................6

第二章综合布线方案.....................................7

2.1需求分析..........................................7

2.2综合布线系统的结构................................8

2.3系统的总体设计...................................10

2.4系统结构设计描述.................................11

第三章网络搭建方案......................................15

3.1网络需求分析.....................................15

3.2网络改造原则.....................................16

3.3网络拓扑图说明...................................16

3.4网络设备选择.....................................19

3.5无线网络.........................................21

3.6网络安全设计.....................................24

第四章视频监控方案....................................27

4.1需求分析.........................................27

4.2视频监控总体设计方案.............................27

4.3系统详细设计.....................................28

第五章Windows服务器解决方案............................34

5.1DHCP月及务器......................................34

5.2.DNS月艮务器.......................................33

5.3FTP服务器.......................................40

5.4WEB月反务器.......................................43

第六章技术支持与服务...................................46

6.1技术支持体系....................................46

6.2质保计划书......................................46

6.3施工过程的控制...................................47

6.4工程管理质量控制.................................47

6.5技术培训........................................48

6.6售后服务........................................48

第七章项目总结.........................................49

参考文献................................................49

第一章前言

1.1校园网络系统建设目标

网络系统总体设计目标是最大限度的满足应用系统的需求，与计算机及网络技

术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作，即通

过网络设备将信息点与中心网络系统可靠地连接起来，为当前的各种应用环境

系统和应用软件系统提供运行环境支持。

校园网内建设目标应该既能满足学生即将进入社会、面临网络信息时代激烈的

知识竞争的需要，又能满足教师教学活动和研究人员迅速吸收最新知识。进行

学术交流和创造需要，同时达到行政、生活、教务管理以及开展多种业务活动

的目的。网络设计要尽量简单化、模块化，即可节省资金投入，又便于网络管

理和升级。

1.2校园具体需求

1.2.1校园网总体需求:

逻辑上业务网和管理网必须分开，要求建成后校园网应能提供多个网段的划分

和隔离，并能做到灵活改变配置，以适应教学办公环境的调整和变化，及实现

移动教学办公的要求。数据信息点的接入以交换100Mbps自适应以太网端口接

入为主，以供带宽需求较高用户或应用使用。整个方案设计的目的是建设一个

集数据传输和备份、多媒体应用、语音传输、0A应用和Internet访问等于一体

的高可靠、高性能的宽带多媒体校园网。

考虑校园的安全，需要建设多个监控点，根据实际需求，设计视频监控系统。

1.2.2校园网服务器

DNS服务器、WEP服务器、FTP服务器、DHCP服务器等

1.2.3校园网第一期工程目标及具体要求

教学楼：经调查有无线需求，鉴于对于无线需求不大，无需使用无线交换

机，推荐使用小型家用路由器。

办公大楼：要求以有线方式覆盖。财务部要求单独划分vlan并且另有专线

可以接入外网。人力资源部，办公室、财务部、党群部、市场部、培训部、文印

室7个部门各20个信息点，领导办公室5个，各一个信息点。

图书馆：图书馆内建立电子阅览室，还需架设妙思文献集成系统服务器。并

且要求可以连接外网，另借阅PC在值班时间无法连接外网（电子阅览仅限图书

馆阅览室和教师办公室）。

实验楼：要求以有线方式覆盖。并且电脑室的电脑全部能与主机相连。

教师宿舍：老师希望能以有线覆盖。

学生宿舍：同学同样希望能以有线覆盖。

饭堂：同学希望可以以无线覆盖。

体育馆：同学希望可以以无线覆盖。

实验楼的部分实验室：希望以有线覆盖并且主机可以配上投影仪。见表1-1

信息点统计表

大楼名称信息点数24口配线架48口配线架机柜双绞线（箱）

中心机房

2m

实验楼1512

教学楼一不需要

办公楼145130.6m32

体育馆1010.6m3

图书馆9020.6m3

教帅宿舍70110.6m18

学生宿舍119242m41

学生宿舍219242m41

饭堂510.6m1

合计719514141

表1-1

1.3校园网系统总体建设原则

由于网络系统对工作的运作与发展具有非常重要的作用，因此网络改造系

统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求，网络系

统对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时间

的可用性。网络系统设计必须满足其应用的要求，网络总体设计、建设的原则如

下：

1先进性：系统构成必须采用成熟、具有国内先进水平，并符合国际发展趋

势的技术，软件产品和设备。在设计过程中充分依照国际上的规范、标准，借鉴

国内外目前成熟的主流网络和综合信息系统的体系结构，以保证体系统具有较

长的生命力和扩展能力。保证先进性的同时还要保证技术的稳定、安全性。

2标准性：系统要采用国际主流、成熟的体系架构来构建，实现跨平台的应

用。

3兼容性：对于网络系统，在设计过程中要考虑系统的能够适应不断的新的

发展需要，并使系统能适应多种硬件平台和多种网络结构，而且网络拓扑结构

简洁，硬件和软件按需要能进行灵活的配置。

4可升级性和可扩展性：信息系统设计要考虑到业务未来发展的需求：尽

可能设计的简明，降低各功能模块的耦合度，并充分考虑兼容性。系统能够支持

对多种格式数据的存储。

5安全性：系统设计和数据架构设计中充分考虑系统的安全和可靠。

6可靠性：网络可靠性需要从以下方面来保证：设备的硬件制造品质与运

行软件的成熟性。网络设备必须选用已经证实，并在实际应用中得到普遍应用的

产品，只有这样，才可能提供不间断运行的能力。网络产品应具备在线热更换的

能力，当某一板卡出现故障时，应能带电更换，而不需进行停机操作。

7易操作性：由于操作系统的许多都是非计算机专业人士，所以系统的设计

需要考虑他容易操作性。

8可管理性：网络管理应走向科学化，采用先进的网络管理系统，实现网络

中心管理整个网络的目的，减轻网络管理人员的工作量。

第二章综合布线方案

2.1需求分析

校园的网管中心位于图书馆，图书馆、教学楼、办公楼、实验楼、体育馆、学生

饭堂、学生宿舍、教，宿舍需要与网络中心连接成校园网，并且各楼分别需要网

络布线以建设楼内局域网。

图2T为某校平面图

根据我校的实际情况分析，建成后网络线路应满足以下几点:

1.楼宇与楼宇之间相互连接，各楼宇间用光纤连接

2.网络有足够的主干带宽和扩展能力，并支持多点广播和宽带高速接入

3、数据信息点的接入以交换100Mbps自适应以太网端口接入为主，以供带宽需

求较高用户或应用使用

2.2综合布线系统的结构

图2-2为该校校办公楼与教学楼之间的综合布线系统，校园网的服务器架设于

图书馆内。设计我校网络系统的综合布线系统时，将严格依照标准和规范进行设

计和施工、测试、验收，适度超前，一步到位。

建筑群间子系统采用6芯室外多模光缆。采用6芯应该是足够的：园区骨干网采

用的技术，有FDDI、FE、用和ATM,其中除FDD二DAS需使用4芯光纤外,其余

技术均只需要使用2芯光纤。这样，采用FE、GE或ATM作为园区骨干网，1个

通道只用2芯光纤，即使冗余配置也只需4芯光纤，还有2芯光纤可作备用，所

以，采用6芯光纤的光缆应该是足够的。我们采用多模光缆，考虑到主干采用干

兆以太网技术的话，因为千兆以太网在多模光缆上可以跑550米，该校参与连

网的楼宇之间的距离没有超过550米，因此，采用多模光缆是安全可靠的。

骨干光纤布线采用全星型结构，中心机房设在图书馆。考虑把图书馆、教学楼、

办公楼、实验楼、体育馆、学生饭堂、学生宿舍、教工宿舍全部以光纤与位于教

学楼中心机房相连。采用6芯室外铠装光缆。在各楼采用墙装式光纤接线盒

(Lucent120)；网络中心要端接的光纤芯数比较多，建议采用机架式光纤接

线盒(Lucent24口)。如图2-2

图2-2是校园网主干光纤布线的示意图。

校园内一般采用结构化布线校园网，在总体校园网络拓扑图上呈星型拓扑结

型。楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。

然后各楼以层为单位划分WLANo对于我校的这九栋楼宇，可采用多设备间的方

法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心,

安放在我校的图书馆内，内设有对外对内通信的各种网络设备(交换机、路由

器、防火墙、视频服务器等)，中心交换机通过光缆(地下直埋)与楼栋设备

间的交换设备相连,以保证数据的高速传输。然后通过校园网域防火墙连接VAN,

能连接到Internet,具有安全保密、域名解析以及基本的Internet服务功能,

如WWW、FTP、BBS等。在此设备间放置布线的线架和网络设备,端接楼内来自

在各层的主干线缆，并端接连接网络中心的光纤。楼栋设备间每栋楼宇的控制

中心，对于我校的每栋楼宇有线网络需求量都不是很大的情况，可用一台交换

机代替楼栋设备间。

2.3系统的总体设计

网络系统总体设计目标是最大限度的满足应用系统的需求，与计算机及网

络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作，即

通过网络设备将信息点与中心网络系统可靠地连接起来，为当前的各种应用环

境系统和应用软件系统提供运行环境支持。

由于网络系统对工作的运作与发展具有非常重要的作用，因此网络改造

系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求，网络

系统对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时

问的可用性。我们为校园网设计的综合布线系统将基于以下目标：

(1)符合当前和长远的信息传输要求；

(2)布线系统设计遵从国际(1S0/CEI11801)标准；

(3)布线系统采用国际标准建议的星型拓扑结构；

(4)考虑电脑网络的速度近100Mb/s发展的需要；

(5)布线系统的信息出口采用国际标准的RJ45插座；

(6)布线系统符合综合业务数据网的要求；

(7)布线系统要立足开放原则

2.4系统结构设计描述

综合布线系统是一个模块化的开放系统，主要由六个子系统组成，下面分别说

明各个子系统的组成：

2.4.1工作区子系统(WorkArea)及其网络设计

工作区子系统由终端设备连接到信息插座的连线，以及信息插座所组成。信息

点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定，并

预留适当数量的冗余。例如：对于一个办公区内的每个办公点可配置2〜3个信

息点，此外应为此办公区配置3〜5个专用信息点用于工作组服务器、网络打印

机、传真机、视频会议等等。若此办公区为商务应用则信息点的带宽为100M可

满足要求；若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光

纤信息点。

工作区的终端设备(如：电话机、传真机)可用康宁公司FutureCom超五类双

绞线直接与工作区内的每一个信息插座相连接，或用适配器(如ISDN终端设

备)、平衡/非平衡转换器进行转换连接到信息插座上。

2.4.2水平子系统(Horizontal)及其网络设计

水平子系统主要是实现信息插座和管理子系统，即中间配线架(IDF)'可的

连接。水平子系统指定的拓扑结构为星形拓扑。水平干线的设计包括水平子系统

的传输介质与部件集成。选择水平子系统的线缆，要根据建筑物内具体信息点的

类型、容量、带宽和传输速率来确定。在水平子系统中推荐采用的双绞电缆及光

纤型号为：康宁公司FulureCom超五类非屏蔽双绞线，FulureLink室内单模

光纤。

线缆长度估算公式：

LT=[(Lmax+Lmin)/2+H]*1.15*N

Lmax本楼层最远终端设备至本楼层设备间距离

Lmin本楼层最近终端设备至本楼层设备间距离

H:本楼层楼高，本方案中涉及的楼高为4米。

1.15:线缆剪切余量和线长冗余为线长的15%

N:本楼层信息点数・(语音点数■与数据点数■之和)。

2.4.3管理子系统(Administration)及其网络设计

管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统

提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,

必需了解线路的基本设计原理,合理配置各子系统的部件。康宁公司的LANscape

综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。

2.4.4干线子系统(Backbone)及其网络设计

干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间配线

架，计算机、PBX、控制中心与各管理子系统间的连接。干线传输电缆的设计必

须既满足当前的需要,又适应今后的发展。干线子系统布线走向应选择干线线缆

最短、最安全和最经济的路由。干线子系统在系统设计施工时，应预留一定的线

缆做冗余信道，这一点对于综合布线系统的可扩展性和可靠性来说是十分重要

的。

干线子系统可以使用的线缆主要有：HAY三类大对数电缆；FutureCom超五类或

六类双绞线；FutureLink室内单模或多模光纤。

超五类双绞线可以支持1000BASE-T,但如要求支持1000BASE-TX则必须使用

六类双绞线。如果已安装的电缆仅满足5类线标准（1995）,那么在连接1000BASE

-T设备之前，应对布线系统按照新增加的布线参数（如:回波损耗，等级远端

串扰（ELFEXT）,传播延迟和延时畸变等）进行测量和认证。

2.4.5设备间子系统（EquipmentRoom）及其网络设计

设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系

统设备互连起来。设备间的主要设备有数字程控交换机、计算机网络设备、服务

器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在较大型的综

合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机

房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房

放在离设备间不远的位置。

建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的

硬件。建筑群之间可以采用有线通信的手段，也可采用微波通信、无线电通信的

手段。在康宁公司的LANscape综合布线解决方案中，康宁FutureLink光纤不但

支持FDDI主干、1000Base-FX主干、100Base-FX到桌面、ATM主干和ATM到

桌面，还可以支持CATV/CCTV及光纤到桌面（FTTD）,是建筑群子系统和主干线

子系统布线中有线通信线缆中的明星。光纤有单模光纤和多模光纤两种：单模光

纤只传输主模态，可完全避免模态色散，传输频带很宽，传输容量很大，适用

于大容量、长距离的光纤通信。它是未来光纤通信与光波技术发展的必然趋势

（如：1OOOBASE-LX基于1300nm的单模光缆，使用8B/10B编码解码方式：最

大传输距离为3000m,康宁公司出品的特制光纤传输距离为标准距离的5-10

倍）；多模光纤传输模态较多，存在一定量的模态色散，频带较宽，传输容量较

大（目前采用的62.5/125um多模光纤，数据传输速率为100Mbps时，最大距离

可以到2km），但传输千兆位数据量时距离支持十分有限。

这六个系统示意图如图2-3所示：

（图2-3）

其次从系统结构上看，综合布线系统分为建筑群子系统、干线子系统、配线

子系统三个层次。

1.建筑群子系统

该布线子系统包括建筑群干线电缆、建筑群干线光缆及其在建筑群配线架和

建筑物配线架上的机械终端机建筑群配线架上的接插线和跳线。该校校内的建筑

群子系统采用光缆。

2.干线子系统

干线子系统及垂直子系统。建筑物干线电缆、建筑物干线光缆直接端接到有

关的楼层配线架，中间不应有结合点或街头・

3.配线子系统

从楼层配线架到各个信息插座的布线属于配线子系统，即水平子系统。水

平电缆、水平光缆一般直接连接到信息插座。

建筑物配线设备至每个楼层的配线设备的建筑物干线子系统的干线电缆或九缆般采

取分别独立供线给各个楼层的方式，在各个楼层之间无连接的方式、这样当线路发生障碍的

时候，影响范围较小，容易判断和检修，有利于安装施工，但工程造价较高。

最后，在布线时需注意的几点要求：

1.信息插座(TO)到建筑物设备间(BD)之间电缆的最大长度不超过90m。

2、信息插座模块通常是RJ45接口，如果终端设备不是RJ45接口则需另配一个

接口转接设备（适配器）才能实现通信。

3.信息插座模块离地面的高度一般为30cm。

设备材料名称单位数量

见表

2-1

序号

1康普CommScope超五类非屏蔽48口配线架个5

（带理线环/PM2150PSE-48）

2康普CommScope超五类非屏蔽24口配线架个14

（带理线环/PM2150PSE-24）

3康普CommScope超五类非屏蔽信息模块个36

（MPSI00E-262）

4康普CommScope机架式光纤配线架个3

5康宁FutureCom超五类双绞线箱100

6康宁FutureCom超六类双绞线箱41

7康宁FutureLink室内单模光纤箱

8康宁FutureLink室内多模光纤箱

9RJ45水晶头盒

表2-1

第三章网络搭建方案

3.1网络需求分析

教学楼：经调查有无线需求，鉴于对于无线需求不大，无需使用无线交换

机，推荐使用小型家用路由器。

办公大楼：要求以有线方式覆盖。财务部要求单独划分vlan并且另有专线

可以接入外网。人力资源部，办公室、财务部、党群部、市场部、培训部、文印

室7个部门各20个信息点，领导办公室5个，各一个信息点。

图书馆：图书馆内建立电子阅览室，还需架设妙思文献集成系统服务器。并

且要求可以连接外网，另借阅PC在值班时间无法连接外网（电子阅览仅限图书

馆阅览室和教师办公室）。

实验楼：要求以有线方式覆盖。并且电脑室的电脑全部能与主机相连。

教师宿舍：老师希望能以有线覆盖。

学生宿舍：同学同样希望能以有线覆盖。

饭堂：同学希望可以以无线覆盖。

体育馆：同学希望可以以无线覆盖。

实验楼的部分实验室：希望以有线覆盖并且主机可以配上投影仪。

3.2网络改造原则

为实现校园网络高质、高效互联的目标要求，在网络设计构建中，应始终坚

持以下建网原则：

高速的网络连接——校园网的核心为面向校园内部师生的网络，因此园区

局域网是该系统的建设重点。

信息结构的多样化一一校园网应满足不同层次的应该需求，可分为多媒体

应用（互联网访问、多媒体教学、电子图书馆、视频点播、学校网站、内部E_Mail）,

信息管理（成绩统计、档案管理）和远程通信（外部拨入、异地互联等）三大部

分。

安全可靠一一校园网同样有大量关于教学和档案管理的重要数据，不论是

被损坏、丢失还是被窃取，都将带来极大的损失。在安全方面，学校采用防火墙

功能姜校园网分为内外两个部分，从而避免内部网上核心服务器受到侵害。

操作方面，易于管理一一校园网面向不同知识层次的教师、学生和办公人员,

应用和管理应简便易行，网管软件应做到全中文，界面友好，易用性强，不宜

太过专业化。

3.3网络拓扑图说明

网络在中学日常教学办公环境中起着至关重要的作用，校园网的的运作模式会

带来大量动态的WWW应用数据传输，会有相当一部分应用的主服务器有高速接

入网络的需求。这就要求网络有足够的主干带宽和扩展能力。同时，一一些新的应

用类型，如网络教学、视频直播等，也对网络提出了支持多点广播和带宽告诉接

入的要求。按目前通常的考虑，监狱数据信息点的接入以交换100Mbps自适应以

太端口接入为主，以供带宽需求较高用户和应用使用。整个设计方案如图3T

所示

图3.-1网络拓扑图

IP地址策划表（表37）

节点类型节点名IP地址范围所属vlan

有线实验楼-54/24VlanlO

有线

教学楼-54/24Vlan20

有线

办公楼-54/24Vlan30

有线

体育馆-54/24Vlan40

有线

图书馆-54/24Vlan50

有线

教师宿舍-54/24Vlan60

有线

学生宿舍1-54/24Vlan70

有线

学生宿舍2-54/24Vlan80

有线

饭堂-54/24Vlan90

有线财务室-0/24Vlanl

有线Dhcp服务器0/24Vlanl

有线Wep服务器0/24Vlanl

有线Dns服务器0/24Vlanl

有线FTP服务器172.31.040/24Vlanl

表3-1

Vian规划表（表3-2）

VianID节点名用途

1所有交换机配置IP

10实验楼DHCP自主分配

20教学楼DHCP自主分配

30办公楼DHCP自主分配

40体育馆DHCP自主分配

50图书馆DHCP自主分配

60教师宿舍DHCP自主分配

70学生宿舍1DHCP自主分酉已

80学生宿舍2DHCP自主分配

90饭堂DHCP自主分配

100财务室DHCP自主分配

表3-2

3.4网络设备选择

3.4.1选择原则

网络在某中学日常教学办公环境中起着至关重要的作用，校园网的运作模式会

带来大量动态的www应用数据传输，会有相当一部分应用的主服务器有高速接

入网络的需求

3.4.2设备选型

序

设备名称价格数量型号参数

号

（元）（台）

1核心交换机190001H3CS550-背板带宽：240Gbps

（三层千兆以

52C-SI包转发率：132Mpps

太网交换机）

MAN地址表：16K

VLAN功能:支持4K个VLAN、支持基

于MAC/协议的VLAN、支持VLAN

Mapping、支持VoiveVLAN、支持GVRP

端口结构：非模块化

端口数量：52个

传输模式：支持全双工

堆叠功能：可堆叠

2汇聚层、接入700020II3CS310-传输速率：10/100/1000Mbps

层交换机（二26TP-PW网管功能:支持XModem/FTP/TFTP

层）R-EI加载升级；支持命令行接口，

Telnet,Console口进行配置；支

持HGMPV2集群管理；支持SNMP

vl/v2/v3,WEB网管；支持H3C1MC

智能管理中心

包转发率:6.6Mpps

交换方式：存储转发

背板带宽：19.2Gbps

MAN地址表:8K

3路由器(多业220001H3CMSR传输速率：10/100/1000Mbps

务路由器)

50-60端口结构：模块化

路由器处理器：RISC新一代处理器

833MHz

最大flash内存：CF:256M/1024MBB

最大DRAM内存:(DDR)512M/1024MB

路由器发包率:600Kpps

网络协议：支持静态路由，

RIPvl/v2、RIPng,OSPFv2/v3,BGP、

BGP4+,IS-IS、ISISv6,支持DHCP

Server,DHCPRelay,DHCPClient,

DNSClient,IPv6,NTPServer,NTP

Client,TelnetServer,Telnet.Clie

nt,TFTPClient,FTPServer,FTP

Client,二层协议等

路由器网管功能：通过命令行配置，

通过Console口进行配置，通过以太

网端口利用Telnet进行配置、远程

维护,通过AUX口利用Modem拨号进

行配置、远程维护，通过SNMP管理

(vl,v2c,v3),支持RMON(1,2,

3,9组MIB),支持系统日志，支持分

级告警,PING、Tracert

VPN功能:支持VPN

QQS功能:支持

防火堵功能：内置

接口模块：4个SIC插槽,6个FIC

插槽

其他控制端口：2个千兆光/电

Combo、2个USB接口、1个AUX、1

个配置口、1个VCPM插槽、4个VPM

插槽、2个ESM插槽

拓展插槽：2个ESM插槽,4个VPM

插槽,1个VCPM插槽

3.5无线网络

3.5.1无线网络需求分析

通过校园无线网络覆盖宿舍、饭堂、体育馆等。满足了教师和学生临时上网的

需求，教师和学生可以很方便地利用无线网络查阅到网络上的相关资料和浏览

数字图书。

3.5.2无线网络的覆盖范围

一般情况下AP的通信室内被限定在30~50米左右、室外被限定在100150

米左右。无线局域网用户往往被束缚于局部空间内，一旦超越信号覆盖范围，那

么就会是失去与网络的连接，无法继续进行通信。针对这种状况，采用多AP微

蜂窝无线覆盖可以得到很好的解决。实施微蜂窝覆盖，首先要建立包含多个访问

点的无线网络。

学生宿舍6层楼，共两栋，为了保证无线网络信号的强度，在宿舍每层层楼

的楼梯口安放分别安放1个AP（共12个），为学生建立SSID,满足学生的无线

上网需求。

教师宿舍6层楼，同样的在每层楼安放1个AP（共6个），建立SSID,满

足教师的无线上网需求。

体育场根据面积来估算，大概需要10个APo

饭堂需要安放4个AP。

3.5.3无线网络的安全防范措施

为了保证无线网络系统的安全，在网络正式启用前，需要在每个接入点上

指定认证服务器的地址，并配置认证密码，防止攻击者擅自添加认证服务器，

或修改用户数据库信息，绕过正常的用户身份验证过程，接入到无线网络。

3.5.4无线网络的设计方案

WLAN是通信行业的一个时髦词语，而且可以肯定是一种人人都想使用的技

术。WLAN变得如此流行的原因是易于安装和使用。通过WLAN系统，用户无需考

虑复杂的线路连接和布置问题。可是WLAN系统也不是完全的“无线”，因为只

有客户端是可移动的，而服务器或者说接入设备是固定。

使用WLAN解决方案，网络服务商和企业能给他们的客户提供无线局域网服

务，这些服务包括：

使用带有WLAN功能的设备组建一个无线网络。这个网络可以成为接入司网

或者Internet的入口。

配置了无线PCI网卡的客户端可以与无线网络建立连接并访问固网或

Tnterneto

通过不同的加密和认证方式实现安全的访问。

WLA功能使用能够安全的访问网络并且能在同一移动区域内进行快速漫游。

3.5.5无线网络的工作机制：

Client（客户端）：带有无线网卡的便携机。

AP（无线路由器，接入点）：执行桥接操作的设备，在客户端和局域网之间进行

互相转换。

AC（无线控制管理器）：对WLAN内所有无线路由器进行管理和控制的设备，通

过与认证服务器的通信来进行信息过滤。

3.5.6无线路由器设备

序

设备价格数量型号参数

号

名称（元）（台）

无线标准：IEEE802.11b,IEEE802.11g

网络协议：TCP,UDP,IPOption,IP

unnumber,Netstream,sFlow,DHCP,DNS,

DDNS,NTP,TFTP,FTP

网络接口：1个10/100MbpsWAN口，4个

10/100MbpsLAN口

天线类型：外置天线

3G无天线数量：1根

H3C

3G功能：支持

线路

134001MSRQos支持:支持

由器防火墙功能：内置防火墙

900W

网络管理：SNMPVl/V2c/V3,MIB,SYSLOG,

RMON,WEB网管,TR069

无线安全：支持开放系统认证和共享密钥认

证

支持WEP、TKIP和CCMP加密

支持WPA和RSN安全协议

支持端口认证:PSK、802.IX、PSK和MAC

支持端口认证：PSK、802.IX、PSK和MAC

无线网络标准:IEEE802.Ua、IEEE802.lib、

H3CWAIEEE802.11g.IEEE802.lln

2AP570032

2620E数据传输率:300Mbps

网络接口：1个10/100/1000M以太网口

-AGN频率范围：802.lla/n:5.725GHz-5.850GHz

(中国)；802.llb/g/n:2.142GHz-2.472GHz

(中国)

灵敏度：1lb：-92dBn】(1Mbps),

11g:-80dBm(54Mbps),1la:-78dBm(54Mbps);

lln(HT20)：-92dBm@MCS0,-72dBm@MCS7,

-90dBm@MCS8:-71dBm@MCS15;

Un(HT4O)88Bm@MCS0,-70dBm@MCS7

,-88dBm@MCS8,-68dBm@MCS15

调制方式：

Ol'DM:BPSK@6/9Mbps,QPSK@12/18Mbps

,16-QAM@24Mbps,64-QAM@48/54Mbps;

DSSS:DBPSK@lMbps,DQPSK@2Mbps,andCCK@5.

5/11Mbps;MTMO-OFDM:BPSK,QPSK,16QAMand

64QAM

天线：6个RSMA接口，6根自带双频天线

安全性能：支持64、128位WEP加密，WPA,

802.Hi和2API;支持WPA、802.Hi以及

WAPI的多种密钥更新触发条件

其它技术参数：虚拟AP:32个

3.6网络安全设计

3.6.1病毒对校园网的影响

校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗，用户正常

的网络访问得不到响应，办公平台不能使用；资源库、VOD不能点播；INTERNET

上不了，学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。

3.6.2设计方案

（1）配置防火墙和入侵检测系统

在校园网的进口处架设了防火墙和网络入侵检测系统。防火墙作为一种将内外网

隔离的技术，普遍运用于校园网安全建设中。防火墙可以有效地隔离内部网与

外部网，保护校园内部网络免遭非法的侵入。网络安全检测工具是一个网络安

全性评估分析软件，不时的扫描分析网络系统，网络管理员根据检测的报告系

统分析存在的弱点和漏洞，及时采取补救措施，以达到增强网络安全性的目的。

基于网络的入侵检测系统，对监视网段中的各种数据包进行特征分析，会根据

产品中配置规则情况录取是否发出警报或直接切断网络连接。

（2）采用VLAN技术

按学校各部门拥有不同的应用业务以及不同的安全级别，有限制非法访问可以

运用VLAN技术。如使用三层交换机基于端口划分技术将网络分段并进行隔

离，实现访问控制。

（3）配置代理服务器

在计算机中心学生机房配置访问控制列表，使用二级防火墙，并利用代理软件

配置代理服务器，在代理服务器上安装双网卡，连接外网的网卡使用公网IP

地址，连接内网的网卡使用私有地址，学生客户机IP地址与代理服务器内网

IP地址在同一网段，网关IP为代理服务器内网IP地址。机房机器通过代理

服务器连接互联网，可以控制前往Intemet的所有用户的流量。

（4）安装杀毒软件

在整个校园网中只要有可能感染和传播病毒的地方都采取相应的防病毒手段，

安装相适应的防杀毒软件，有效地防止病毒在校园网上感染、传播和发作。对防

病毒软件要有效、快速地升级病毒定义码和扫描引擎。网络的安仝管理是一个长

期的、动态的过程。本网络系统的安全性还存在不少问题，比如说防止网络攻击

方面，尽管使用了入侵检测系统和防火墙的联动技术，但是，目前的入侵检测

系统对未知的攻击检测能力较弱，且存在误报率太高的缺点。

（5）制定安全策略

安全策略是赋予了组织机构技术人员或信息资产使用权的人员必须履行的准则

的正规陈述它是一个成功的网络安全体系的基础与核心。业务需求和风险分析是

安全策略的主要制定依据。校园网络的安全策略是依据校园网的业务需求描述了

校园网近期安全目标和长期安全目标，以及安全风险评估分析，不同安全评估

标准中保护对象的安全等级方面的内容。

（6）事前的身份认证

对于每一个需要访问网络的用户，我们需要对其身份进行验证，身份验证

信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户

PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允

许访问网络的时间，通过以上信息的绑定，可以达到如下的效果：

每一个用户的身份在整个校园网中是唯一，避免了个人信息被盗用.

当安全事故发生的时候，只要能够发现肇事者的一项信息比如IP地址，就

可以准确定位到该用户，便于事情的处理。只有经过网络中心授权的用户才能够

访问校园网，防止非法用户的非法接入，这也切断了恶意用户企图向校园网中

传播网络病毒、黑客程序的通道。

防火墙设备

H3CSecPathU200-CS-AC

类型：企业级防火墙数量：一台参考价格：9000

参数:

防火墙类型企业级防火墙

网络端口1个配置口（C0N）;5GE;l个mini插槽,

可通过该插槽扩展网络接口；外置一个

CF扩展槽（选配）

入侵检测Dos,DDoS

管理支持标准网管SNMP\，3,并且兼容SNMP

v2c、SNMPvl,支持NTP时间同步，支持

Web方式进行远程配置管理，支持

SNMP/TR-069网管协议，支持H3C

SecCenter安全管理中心进行设备管理

VPN支持支持

安全标准FCC,CE

控制端口console

其他性能防火墙、VPN可同时扩展K巳斯基病毒

防护、URL过滤特征库升级服务、攻击

防护（IPS）服务以及特征库升级、垃

圾邮件特征库升级服务、P2P/IM/特游

等应用层流量控制和用户行为审计等

功能

第四章视频监控方案

4.1需求分析

随着国家对教育的重视,越来越多的学校在扩大化，因此跟随而来的就足安

全保卫管理难度问题了，教育设施和场所的安全防范要求也有所提高，因此通过

科技手段来提高管理学院问题也是一种很有效的手段。这样视频监控系统就成为

了这种手段的执行者首选了。

我们选择了以摄像设备、防暴快球、硬盘录像机、网络发送器、矩阵为主的前

端设备和控制设备，为校区设计了一套体现了目前国内最高水平的高智能化程

度的闭路电视监控系统，该套系统采用了多项高科技成果，可微机控制摄像枪

切换，具有多种群切、序切、多媒体控制技术和图像显示与记录等功能。

该中学安全监控摄像机主要安装在学校的几个大门口、各个教学楼的重要出入

口、办公楼的出入口和重要部位、图书馆的大门口及相关课室、宿舍区及饭堂

的重要出入口、学校周边的一些重要位置。通过闭路电视进行全天候电视监视,

能够加强对校区的安全监视，提高整个校园园区的安全防盗和保安管理的条理

性。

4.2视频监控总体设计方案

4.2.1系统总体架构及特点

该中学的监控系统应该具有数字化、网络化、集成化的特点。用硬盘主机进

行实时数字录像。图像信号通过硬盘录像主机上的多目地址，图像信号可以经过

压缩使用TCP/IP协议在局域网或在Internet上网络共享，可以在任何上网为地

方，方便授权用户的计算机通过网络进行监控及控制。数字监控网络系统具有较

高的可用性、可靠性和先进性。监控中心通过矩阵与监视墙及数字硬盘录像机的

良好配合，形成一个严密完善的监控体系。采用H3c的平台。

视频监控系统主要由前端监控摄像机、传输网络、存储设备、服务器、管理平

台等组成，这几个组成部分可以划分为4个系统层次结构一设备层、传输层、

管理层、业务层，系统设备是系统的基础，传输网络是系统联网的基本保障,

平台是系统联网集成和应用的核心，业务应用是系统建设的最终目标。见图

4-1

4.2.2系统拓扑图

图4-1视频监控系统拓扑图

4.3系统详细设计

4.3.1主要功能要求

1.系统应具有图像切换功能，根据系统的配置应能实现控制摄像机镜头、云

台等功能；

2.系统应具有时间、日期的字符叠加、记录和调整功能，字符叠加应不影响

对图像的监视和记录效果，字符时间与标准时间的误差应在±30s以内；

3.系统应具有视频联网接口，联网接口应符合DB33/T629的相关要求；

4.系统宜能够通过局域网或无线局域网相连，实现远程监视、录像回放、备

份及升级；

5.系统应具有视频移动侦测功能，宜具有行为识别、目标跟踪、车牌识别等

功能。

4.3.2前端子系统总体设计

整个学校校园监控系统可以分为三道防线：

第一道防线：校园周界、大门出入口，该部分主要采用周界监控।智能行为

分析的方式来实现。校园周界采用室外快球摄像机或红外枪型摄像机，大门出

入口及其他与外界相通的出入口应选用低照度带强光抑制功能的彩色固定摄像

机和自动光圈镜头，应能清楚的辨别出入人员的面部特征及机动车牌号。

第二道防线：校园内道路、主要路口，该部分主要采用自动跟踪快球摄像

机以及全景摄像机来实现，另外在教学楼顶安装制高点远景摄像机，配置自动

云台，可以监控校园的任何一个角落，基本上做到不留盲点。

第三道防线：各教学楼、办公楼、宿舍楼室内，安装在楼梯口、电梯口、走廊

等位置红外半球/枪型摄像机，安装在电梯轿厢的电梯专用摄像机，安装在室

内外光照反差较大的位置的宽动态摄像机等不同类型的摄像机来实现相应区域

内的监控。

根据该大学安全防范系统的要求，需要分部分对动态画面进行监控和录像。本系