好网络规划与设计

1、广东松山职业技术学院 计算机系课程设计报告设计名称:广东松山职业技术学院校园网升级方案专业班级:09计算机网络技术 1班姓 名:曾金棠系（院）:计算机系设计地点:广东松山职业技术学院、目录第一章概述3一研究概况及发展趋势综述3二 研究校园网的目的和意义3三研究内容及实验方案4第二章 用户需求调查与分析5一、应用背景需求分析5二、业务需求分析5三、管理需求分析5四、网络安全需求分析6五、网络环境需求分析6第三章 网络拓扑结构规划与设计7一、 校园网设计原则71.实用性与先进性72.开放性与标准化73.可靠性与安全性74.经济性与可扩充性7二、网络协议选择7三、主干网络的选择7四、系统安全性的实现

2、8五、网络拓扑结构81、建筑内部拓扑图82、校园网拓扑图8第四章 综合布线系统规划与设计10一、综合布线的特点10二、综合布线设计10第五章 设备选型11一、设备选型分析111核心层设备选型112汇聚层设备选型113接入层设备选型11二、设备清单11第六章 安全子系统设计13一、网络系统安全需求： 二、网络系统安全风险分析：13三、网络系统安全设计：13第七章 小结16 第一章概述一研究概况及发展趋势综述在网络信息时代的今天，面向新的需求和挑战，为了提高学校的科研、教学、管理等各方面的技术水平，为研究开发和培养高层次人才建立现代化平台，建立Intranet技术的高速多媒体校园网是非常必要的。

3、校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统，逐步建立校园信息网络，实现办公自动化；为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台；逐步建立计算机辅助教学、计算机辅助考试等系统，为实现多媒体课件制作网络化，教师备课电子化、多媒体化打好基础；保证网络系统的开放性、可持续性发展，便于以后集成视频会议、视频点播等高层次教学功能。二 研究校园网的目的和意义校园网是各种类型网络中的一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网

4、中获得成功，进而才推向社会的。本课题的理论意义和实践意义：1.校园网的建设和发展是推进素质教育的需要互联网已成为学校培养学生道德品质、创新能力等方面的新环境，成为培养高素质人才的崭新的平台，是学校推进素质教育的需要。2.校园网的建设和发展是学校教育改革的战略制高点创建丰富多彩的校园网络文化对于转变陈旧的教育思想和观念，促进教学内容、教学方法、教学结构和教学模式的改革，对于深化基础教育改革，提高教育质量，培养高素质的创新人才具有深远意义。3.校园网的建设和发展是学校教育现代化的重点标志运用现代教育技术建设和发展校园网，营造清新的校园网络文化氛围，就是从根本上落实教育的战略地位，解放教师的生产力，

5、推动和发展教师、学生的创造力的一种创新优势的重要标志。三研究内容及实验方案研究内容： 建设一个高效安全的局域网并接入互联网，校园网对外提供Web、FTP等数据服务，每台电脑都能够访问互联网。采用锐捷的网络设备，把校园网内每个部门都设计成一个子网，规划每个部门的IP地址，设计网络拓扑图，配置网络的交换模块、广域网接入模块、服务器模块和远程访问模块。实验方案:目前一般将校园网划分为核心层、汇聚层和接入层，对于规模不大的校园网，核心层与汇聚层可以合在一起，以简化网络体系。但是，校园网的建设是一个渐进过程，网络的不同层次可能由不同的投资者分别建设，同一个层次也可能由多个投资者分别建设。本校园网采用这种

6、通用的分层方法，将校园网络分成三个层次。网络中心为核心层：核心层的功能主要实现骨干网络之间的优化传输，骨干层设计任务的重点是冗余能力、可靠性和高速的传输。汇聚层负责网段的逻辑分割，聚合路由路径，收敛数据流量。接入层是用户进入网络的入口，将流量馈入网络。第二章 用户需求调查与分析一、应用背景需求分析校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教学内容的积极性，但随着本校接入校园网的用户群不断扩大，原有的校园网已经不满足各方面需求，为了提高学校的管理效益和教学质量，开展学校现代化教育建设，建设更高层次的校园网络，因而需要在原有网络的基础上进行升级，本着“经济高效

7、，领先实用”的原则，升级成一个既要领先一步，具有发展余地，又要比较实用的校园网。二、业务需求分析本校园网为大型规模的组网，节点9000个，因而对网络的运行提出了比较高的要求，不但要求每一个接入点的网络的稳定性，还要求支持多媒体的应用。本校园网需要实现的业务有：Web服务：所有合法用户可以通过Web浏览的方式获得校园网络中的信息，学生可以通过Web浏览的方式在线学习；FTP服务：师生可通过FTP服务器下载或上传课件资料；DNS、目录服务器：提供域名解析以及目录服务；邮件服务器：提供邮件收发服务；数据库服务器：提供各种数据库服务；网管服务器：对校园网网络设备进行综合管理。校园视频监控三、管理需求分

8、析随着网络复杂度的增加，给网络管理带来成级数增加的工作量。网络管理要求解决的问题包括： 虚拟局域网管理、分配。目前的虚拟局域网主要基于交换机端口划分，如果一个部门扩展新的入网点，扩展将改变交换机端口设置。管理软件需提供远地虚拟网的修改功能。对所有网络设备端口的监视和管理。对所有网络设备的远程配置和控制，包括网络设备端口的开启和关闭，整个网络的故障检测，故障自动报警功能，整个网络性能的统计和分析报告，甚至收费。按照这些网络管理的需求，应采用基于GUI界面的网络管理软件。（3）对学生基于接入网络帐号的管理，通过帐号限制同合理分配带宽。四、网络安全需求分析 校园网络安全主要考虑以下几方面要求：各个部

9、门、系所访问网络的控制，各单位之间在未经授权的情况下，不能相互访问。网络需要建立防火墙，禁止外部用户未经许可访问内部的数据，或者内部用户未经许可访问外部数据。 对安全问题的考虑主要是两个方面：校园网应该是一个开放的系统，它不需要与政府或商业公司那样的网络安全保密性；另外，校园网应该是安全的，它不应该受到恶意的攻击而无法运行，一些科研成果也不应该对任何人都开放。主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。 五、网络环境需求分析 该学校占地43.7万平方米，现有在校生6000多名，教职员工200多名。学校有教学楼，办公楼，师生宿舍20多栋，围绕网络中心离散分布。第三章 网络拓扑结构规

10、划与设计一、 校园网设计原则1.实用性与先进性 根据学校实际情况和特点，在设计中特别强调实用性与先进性的结合，应采用成熟的网络技术，保证校园网实用；跟踪国际网络技术的新发展，设计技术先进的网络。在保证校园网可靠、实用、先进的基础上，可以提供研究先进网络技术的科研环境，方便学校的科研与开发。 2.开放性与标准化 整个校园网的设计采用开放的网络体系，以方便网络的升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。 3.可靠性与安全性 在校园网的设计中，主要考虑两个层次：一是整个网络的可靠性与安全性，采用高可靠性、高安全性的网络体系结构，包括合理设计广域网的访问控制

11、和内部局域网的访问控制、对外部网络访问链路的备份等；二是网络设备的可靠性与安全性，主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。 4.经济性与可扩充性 在满足学校需求的前提下，选用性价比高的网络设备和服务器。不但最大限度的利用原有符合要求的网络设备，避免不必要的浪费，而且采用的网络架构和设备，应充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资。二、网络协议选择在此校园网的设计中主要采用了以下标准：l IEEE802.3u三、主干网络的选择校园网络主干采用千兆以太网交换技术，各大楼内采用以太网、快速以太网技术。四、系统安全性的

12、实现在方案中,我们根据用户网络安全需求,在与外部网连接时采用防火墙软件及路由器内部NAT 地址转换, 保证了内部网络的安全,并根据用户需要在网络中设置必要的访问控制，做到网络安全的全面控制； 并采用VLAN等技术进一步控制内部网络安全， 采用身份验证控制拨号用户的安全性， 采用双机备份和冗余连接、网卡容错、数据库容错、定期备份等实现安全可靠性。五、网络拓扑结构1、建筑内部拓扑图2、校园网拓扑图第四章 综合布线系统规划与设计一、综合布线的特点1.综合布线是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输系统。2.灵活性，适应性以及兼容性 ：将语音、数据信号的配线统一设计规划，采用统一的传

13、输线、信息插接件等，把不同信号综合到一套标准布线系统中。3.具有开放特性 ：开放式体系结构，符合国际标准，对不同企业的信息系统设备是开放的，对通信协议也同样是开放的。 4.可靠性高 ：所有线缆与器件均满足国际标准，保证综合布线的电气性能。 5.经济性 ：综合布线比传统布线的性能价格比为优。二、综合布线设计1. 建立办公自动化系统办公楼共有40个信息点。要求通过校园网连至INTERNET，并对财务科，人事科等科室进行单独子网管理。2. 建立考试监控系统共有教学楼四座，820个信息点。（1） 计算机楼一座，660个信息点。其中有6个实验室，每个实验室配置90台PC和1个投影仪（此处无须上网）；8个

14、教室 （2） 普通教学楼1：40个信息点，共20个教室。（3） 普通教学楼2：40个信息点，共20个教室。（4）普通教学楼3：40个信息点，共20个教室。（5）普通教学楼4：40个信息点，共20个教室。3. 建立综合多媒体教室每个教室配置一台PC和投影机4. 为了满足教职工的需要，提高教职工教学条件和水平，大力发展网上教学，优秀科目科件制作等。将教职工宿舍区的PC通过校园网上连至INTERNET。5、为了满足学生宿舍娱乐学习的需求，采用光纤接入学生宿舍，百兆到桌面。学生宿舍共有九栋，每个宿舍一共六个信息点。6.分三层结构，分别为核心层，汇聚层，接入层。第五章 设备选型一、设备选型分析1核心层设

15、备选型根据核心层业务的特点，在选择设备时要注意以下几点：1、设备有良好的管理性，具有完善的安全控制；2、支持多种链路层协议和路由协议，以实现更多的应用；3、提供高密度端口，可进行端口扩展以适应今后越来越庞大的网络规模；4、具有高可靠性、高稳定性，以实现724小时不间断运行；5、设备应提供冗余设计，包括电源的冗余、端口的冗余等；6、考虑核心设备的交换能力、包的转发能力、接口的类型（E1、E3、FE、GE、ATM等）、路由表容量等，以确保网络内数据通信的延伸小。2汇聚层设备选型 根据汇聚层的特点，在选择设备时要注意以下几方面：1、设备有网络管理功能；2、支持多种路由协议（RIP、OSPF等），以实

16、现网络设备的冗余备份，当一个3、设备或者线路出现故障后，网络可以自动切换到它的备份设备上以实现网络的连接；4、支持不同VLAN之间的互通；5、设备应具有较大的背板带宽供今后扩展；6、具有可供扩展的端口和多种类型的接口以便不同类型连接方式的接入；设备的稳定性好。3接入层设备选型根据接入层的业务的特点，在选择设备时要注意以下几方面：1、设备能在较为恶劣的环境下工作（设备放置的位置不可能提供空调，不间断电源）；2、能对设备的端口进行简单的网络管理；3、设备上行端口的速度应该达到千兆。二、设备清单项目名称品牌型号规格设备 楼层接入交换机联想/锐捷RG-S2126S或联想天工iSpirit3528G24

17、口10/100M交换机，两个扩展槽，可上100M、1000M光纤/电口模块汇聚层交换机extreem/锐捷RG-S5750-24GT或EXTREEMX250E-24T增强型24端口10/100/1000M自适应电口，12个复用的SFP接口，2个扩展槽汇聚层交换机光纤模块extreem/锐捷RRG-S5750-24GT或EXTREEM X250E-24TMINI-GBIC 单模模块1000M定向天线锐捷RG-WGP5002.4GHz室外板状定向天线（14dBi，N型接口，抱杆安装）无线AP锐捷TDJ-2400I1 802.11g室外型500mW大功率无线接入点（N型天线接口，随机自带防水附件、P

18、oE适配器，如需外置天线需单独选购） VPN网关SONICWALLSONICWALL 4060PROVPN网关设备，用于企业中心级网关光纤布线布线机柜金盾/TCL6U服务器机柜金盾JA2000JA6942 黑色 理线架TCL/AMPRJ45六类网络配线架TCL/AMPRJ45-24号 六类网络超五类信息插座模块TCL/AMP1012免打线信息模块超五类信息插座面板TCL/AMP单口面板超五类信息插座底合国产底 盒超五类网络线TCL/AMP超五类超五类非屏蔽双绞线水晶头TCL/AMP超五类RJ45 接头六类网络线TCL/AMP六类非屏蔽双绞线水晶头TCL/AMP六类RJ45 接头跳线TCL/AM

19、PRJ45跳线1.5米机器压制光缆长飞/TCL16芯单模光纤终端盒TCL24口机架式光纤盒12/24口机架式光纤盒光纤跳线TCL/AMPSC/LC 2M单模单芯光纤跳线电源插座TCL/三社二三三三带浅底盒光纤SC适配器TCL/AMPPG5101-SCSC第六章 安全子系统设计一、网络系统安全需求：（1）网络可用性：网络是业务、办公系统的载体，安全防范措施必须保证内部网络持续有效的运行，防止对内部网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性。（2）系统可用性：运行于校园网内部网络上的各主机、数据库、应用服务器系统的安全运行同样十分关键，网络安全体系必须保证这些系统不会遭受来自网络

20、的非法访问、恶意入侵和破坏。（3）数据机密性：对于校园网内部网络，数据资料信息的泄密将直接给学校、学生带来损失，网络安全系统应保证内部网络机密信息在存储与传输时的保密性。（4）访问可控性：对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。（5）网络可管理性：网络安全系统应具备审计和日志功能，对相关重要操作提供可靠而方便的可管理和维护功能。二、网络系统安全风险分析：1、来自内部网风险：据调查统计，已发生的网络安全事件中，70%的攻击来自内部。对于校园网内部用户的违规操作和恶意侵入没有有效的监控机制，因此内部网的安全风险更严重。内部

21、用户对自身内部网络结构、应用比较熟悉，自己攻击、内外勾结泄露重要信息，都将可能成为导致系统受攻击的最致命安全威胁。校园网各系统的登录及远程操作目前的安全手段是用户的账号与密码，缺乏有效的安全认证手段，一旦密码被盗用，就可以轻而易举地进入校内网的敏感系统。校内网的各个功能系统虽然在逻辑上相互隔离，但一般是共用一个物理网络，存在安全隐患。2、来自互联网风险：校内网用户多数情况下联网都需要接触外界网络，因而校内网各系统都是通过Internet直接或间接地与外网进行数据传输，由于互联网自身的广泛性、自由性等特点，像校内网这样的文化系统自然会有可能成为恶意入侵者的攻击目标。 3、管理安全风险：网络管理员

22、的安全意识薄弱，校园网络的安全管理体制不健全也是网络存在安全风险的重要因素之一，健全的安全管理体制是一个网络安全得以保障及维系的关键因素。三、网络系统安全设计：1、网络结构安全：网络结构布局的合理与否，直接影响网络系统的安全。对校园网络系统的业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布，统一整合外联网络，在内外网的边界建立非军事化区（DMZ），以免局部安全性较低的网络系统造成的威胁，传播到整个网络系统。2、防病毒技术：为了使网络免受病毒侵害，保证网络系统中信息的可用性，必须构建多层次的病毒防护体系，以保证信息的安全和系统的正常运行。在系统的每个台式机

23、上安装台式机的防病毒软件，在服务器上安装基于服务器的防病毒软件，以提供对病毒的检测、清除、免疫和对抗能力。3、操作系统、应用系统的安全性：大多数操作系统都存在一些安全漏洞，这些因素往往被入侵者攻击所利用。因此，对操作系统必须进行安全配置、打上最新的补丁，还要利用相应的扫描软件对其进行安全性扫描评估、检测其存在的安全漏洞，分析系统的安全性，提出补救措施。应用系统一般都是针对某些应用而开发的，对应用系统的安全性，也应该进行安全配置，尽量做到只开放必须使用的服务，而关闭不经常用的协议及协议端口号。充分利用应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。使用应用系统时，要通过加强

24、用户登录的身份认证以确保用户使用的合法性，严格限制登录者的操作权限，将其完成的操作限制在权限范围内。4、防火墙技术：在内部网和外联网的边界部署防火墙，用于对所有进出边界的数据包进行检查、过滤，利用防火墙的访问控制，控制进出网络的信息流向和信息包，有效抵御常见黑客攻击，利用防火墙的地址转换功能隐藏内部地址及网络结构。5、入侵防御系统：传统的人侵检测系统（IDS）能检测到信息流中的恶意代码，但由于是被动处理通信，本身不能对数据流作任何处理。入侵防御系统（IPS）在应用层的内容检测基础上加上主动响应和过滤功能，通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。6、安全扫描系统：通过安全扫描系统能够测试和评价系统的安全性，并及时发现安全漏洞，是现阶段最先进的系统安全评估技术。安全扫描系统包括基于服务器的安全扫描系统和基于网络的安全扫描系统。布设基于网络的安全扫描系统，用于扫描设定网络内的服务器、路由器、交换机、防火墙等设备的安全漏洞，提供系统漏洞分析报告，并可设定模拟攻击，以测试系统的防御能力。7、加密技术：加密具有机密性、证实作用和访问控制功能。