完整的网络方案

成都市方联高级中学校园网

组号:A3组

队长:张亚利

成员:刘帆、李再涛

联系电话:138********

日期:2010年11月24日

前言 (2)

第一章项目概述 (3)

1.1 项目描述 (3)

1.2 项目目标 (3)

1.3 项目建设原则 (3)

第二章用户需求分析 (3)

2.1 基本需求描述 (3)

2.2学校对网络的期望: (4)

第三部分网络设计方案 (4)

3.1学校系统设计原则: (4)

3.2层次化模型的好处: (4)

3.3网络拓扑结构说明 (5)

3.4冗余/负载均衡设计 (7)

3.6 IP地址规划 (12)

3.7 VLAN规划 (14)

3.8 校园网络平台功能 (14)

第四部分核心技术 (18)

4.1、VRRP简介 (18)

4.2、ACLS简介 (18)

4.3、OSPF概述和数据包格式 (19)

4.4、GVRP (19)

4.5、DHCP-Relay (19)

4.6、MSTP (20)

第五部分网络安全设计 (20)

5.1网络安全防范体系层次 (20)

5.2 H3C解决方案 (22)

5.3完善的网络管理机制 (22)

5.4 VLAN (虚拟局域网) (23)

5.5 ACL (访问控制列表) (24)

第六章设备配置清单 (25)

6.1 线缆设备清单 (25)

6.2设备清单 (26)

6.3布线工程报价: (26)

6.4 线槽管路施工报价 (27)

第七部分工程实施计划 (27)

7.1 工程实施组织 (27)

7.2 工程实施步骤 (27)

7.3 工程进度和周期 (28)

7.4 工程验收项目和内容 (28)

前言

成都市方联高级中学作为作为一所市级重点高级中学,近年来教育教学质量稳步提高,备受广大人民群众的关爱和支持。多年来在不断发展中为社会培养了大量的人才,为成都市的基础教育事业作出了实质性的贡献,其教学水平得到了很大的提高,取得了来自各方面的荣誉和社会各界的好评,作为省级百强示范中学,在学校信息化建设方面也取得了长足的发展,荣获“中小学现代化教学手段示范学校”等称号;但随着学校规模的不断发展,目前的电教设备已不能完全满足学校日常教学、办公、管理等方面的要求,所以学校决定全面建设一套先进的综合性校园网。

本设计方案不仅在技术上体现出符合校园网发展方向的先进性,更重要的是突出体现了面向应用、以应用为核心的设计理念。建设校园网的核心目标就是应用。中小学校园网应用的关键就是多媒体技术在基础网上的应用。在这方面,我公司经过长年在教育行业里技术的积累和对校园网的深入认识,特向成都市方联高级中学配置了一套非常先进的多媒体综合校园网系统,该网络首先是建立一个高速、先进的以太网平台,将多媒体教学网、智能有线广播网、数字化电子监考系统等多网合为一体,很好地解决了校园网在教学、备课、课件制作、资源共享等应用问题。

系统采用模块化的结构设计,各子系统结构相对独立、功能充分互补。系统建设既可全面上马、一步到位,亦可根据学校的资金及需求情况分阶段建设或选建部分子系统。无论是一步到位还是分步实施,整个系统都能有机配合、功能互补,协调一致。不会造成重复建设或系统冲突,非常适用于从全局出发、从长远规划角度出发进行校园信息化建设的学校用户。

本方案以“建网、建库、建队、建制”为主导思想,吸取了普教行业多所重点中小学成功校园网的优点,给成都市方联高级中学提供了一个整体的校园网规划和解决方案,根据成都市方联高级中学的具体需求,我们对每一部分都做了特别设计,最大限度地贴近学校日常的应用需求,虽然我们尽量考虑了其中的每一个细节,但疏漏之处仍会在所难免,敬请有关领导和专家审阅,并提出宝贵意见和建议;服务于教育事业是我们的立身之本,我们真诚希望成都市方联高级中学的校园网建设取得圆满成功!

第一章项目概述

1.1 项目描述

项目名称:成都市方联高级中学新校区校园网

方案设计:四川化工职业技术学院学生组网和设计大赛A03组

1.2 项目目标

成都市方联高级中学全数字多媒体校园网建设的目标是:在统筹规划的基础上,根据成都市方联高级中学的楼宇(层)分布情况和各种信息点的布局安排,设计和建设好综合布线系统;构建一个先进实用的计算机校园网络平台;建设一个多网合一、全数字多媒体教学综合应用系统。通过校园网与CERNET、Internet 联网,实现学校的对外信息交流。将现代教育技术综合应用于学校的教学和管理;加快学校信息化建设的步伐和北大附中远程教育技术的应用力度;实现学校跨越式发展,全面实施素质教育,提高学校的教育质量。

1.3 项目建设原则

学校的信息化建设是学校一项长期的、根本性的、战略性的建设,一般都包含多个系统。大多数学校都难以一次投资全部完成。各个系统(含子系统)又互相有联系、或可以公用线路、设备。如果各自独立设计、建设,没有整体规划,就很有可能造成重复投资、浪费设备。本方案所设计的系统(含子系统)都是相对独立的系统,可以一次全部上马,也可以根据学校投资能力,分期分批实施。(综合布线系统最好先上马,且一次布线完毕。)

因此,关于学校的信息化建设,我们建议采用以下建设原则:全面规划、统一设计、一次布线、分期实施、注重应用、速见效益。

第二章用户需求分析

2.1 基本需求描述

综合考虑成都市方联高级中学的近期规划和长远发展,经我们和学校的充分沟通,建议本设计方案应认真满足以下基本的功能需求。

(1)校园综合布线系统。对该系统应统筹规划,能容纳校园当前和今后信息化建设的各种应用,全面实施该系统,由于成都市方联高级中学大部分

楼宇属于新建,且校园绿化和路面硬化工程还未完全实施,所以为了

保持学校整体布局的美观,建议出楼光纤全部采用地埋方式。

(2)计算机网络平台建设。能实现与CERNET、Internet联网,提供WWW、FTP、E-mail、BBS等各种网络服务。网络平台应有足够的带宽和很高的速率,

为视频、音频等多媒体的应用提供一个良好的网络环境。

2.2学校对网络的期望:

学校校园网建成后,将发挥以下作用:

(1)为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境,并将计算机引入教学、科研、管理和学习等各个领域。改善学校教学科研、管理和学习环境,提高其水平。

(2)熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段,有利于培养面向世界、面向未来的高层次人才。

第三部分网络设计方案

3.1学校系统设计原则:

(1)可靠性:系统应保证长期安全地运行。系统中的硬软件及信息资源应满足可靠性设计要求。

(2)安全性:系统应具有必要的安全保护和保密措施,有很强的应对计算机犯罪和病毒的防范能力。

(3)容错性:系统应具有较高的容错能力,有较强的抗干扰性。对各类用户的误操作应有提示或自动消除的能力。

(4)适应性:系统应对不断发展和完善的统计核算方法、调查方法和指标体系具有广泛的适应性。

(5)可扩充性:系统的硬软件应具有扩充升级的余地,不可因硬软件扩充、升级或改型而使原有系统失去作用。

(6)实用性:注重采用成熟而实用的技术,使系统建设的投入产出比最高,能产生良好的社会效益和经济效益。

(7)先进性:在实用的前提下,应尽可能跟踪国内外最先进的计算机硬软件技术、信息技术及网络通信技术,使系统具有较高的性能指标。

(8)易操作性:贯彻面向最终用户的原则,建立友好的用户界面,使用户操作简单直观,易于学习掌握。

3.2层次化模型的好处:

在大型校园区网设计中,使用层次化模型有许多好处,列举如下:

1、节省成本

在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。

2、易于理解

层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。

3、易于扩展

在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。

4、易于排错

层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。

3.3网络拓扑结构说明

在网络结构设计上,采用主流的万兆骨干传输的以太网交换技术(第三层交换)作为核心层,呈Hub-Spoken的双核心冗余拓扑结构。以TCP/IP协议为主,采用标准的通讯规程,以有利于不同厂家之间的互连,使不同系统间易于集成,兼顾其他标准的网络体系结构,网络能实现协议之间无缝连接。而服务器机群与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠,高性价比的设备,这些设备是在传输网中广泛使用并在实践中部署的,容错能力的高性能和具有强大扩展性能的大型网络核心交换机,可实现冗余备份,从而提高全网的可靠性。

3.3.1 整体网络拓扑图:

网络拓扑图:

从图中可以看出,网络中心设立在西辅助办公大楼,通过6芯多模光纤连接到学生公寓一号楼,在由学生公寓一号楼通过三根6芯多模光纤分别连接,2号楼、3号楼、4号楼。东区教学区各栋建筑分别通过4芯多模光纤连接到网络中心,其中综合实验楼2号楼通过双绞线从1号实验楼进行跳接。西区教学区通过多根4芯多模光纤分别连接到个建筑物配线架。铺设方式是在预埋的管道中进行引导布放。

3.3.2核心层网络设计

大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于大型集团企业的用户数量众多,业务复杂,QOS要求较高的特点,在本方案中采用H3C网络的高密度多业务IPV6核心路由交换机组建高性能的核心网络平台。

在核心层中,考虑到企业原先已经在使用了一台核心交换机。对网络具备了一定的处理能力。为此,从为企业网络建设的拓展性能需求出发,我们将充分利用此核心交换机。为提高核心网络的健壮性,实现链路的安全保障,本方案核心层网络中可以采用VRRP(虚拟路由器冗余协议)。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作

角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠

同时强大的安全稳定保障:关键部件的安全稳定;采用硬件方式提供多种病毒和攻击防护。

3.3.3汇聚层网络设计

汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN中继,能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。3.3.4接入层网络设计

以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS服务质量保障。

此外,接入层应该能够实现对用户的访问控制,并具有较强的安全和QOS 控制功能,部分设备要求支持802.1x的认证计费,支持千兆光纤上联,并在教学楼使用EC(以太网快速信道)连接到汇聚设备,支持SMNP的网管。同时,为满足学生宿舍网的高端口密度接入的需求,接入层应考虑二层智能型可堆叠并支持802.1x协议的交换机。因此,在接入层要具备智能型/非智能,高密度,可堆叠等产品多样,满足不同需求的接入设备。

3.3.5广域网互联设计

针对于大型企业需要良好的出口网关设备,我们建议用户选用神舟DCR-3660高性能全模块化多业务路由器,对于需要高安全性、可靠、高速的 IP/MPLS 来支持 WAN 连接、互联网接入以及 IP 业务的公司总部、园区边缘以及企业骨干来说, 要作为高性能VPN 网关、高性能NAT网关、MPLS VPN网络中的PE、IP 语音GK,可以充分满足大型企业园区对网络出口的路由器具备较高的转发能力和很强的多业务支持能力的需求。

3.4冗余/负载均衡设计

冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提

供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双核心保护。

3.4.1线路冗余

在企业网核心层,企业网络边界拓扑结构由于采用了双机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GE线路对三台企业网骨干核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。

GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍1)链路聚合:

DEC链路聚合IEEE802.3ad示意如图:

图解:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高

2)冗余保证:

链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。

综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。

在企业网汇聚层及接入层出于成本及性价比的考虑,我们决定采用万兆核心,千兆汇聚,万兆拓展;百兆到桌面的链路选择。

3.4.2网络设备冗余/负载均衡设计

在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的核心层上。我们采用H3CDE 高密度多业务IPV6核心路由交换机和H3C核心交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的区块,我们采用的两台H3C网络的核心多业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块,我采用了两台H3C 交换机多层交换机做到冗余与负载均衡。

在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。如下图,我们给出了从接入层到汇聚层再到核心层的双核心配置。

双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用,VRRP提供快速错误恢复。核心层不需要STP,因为在核心交换机间没有冗余的第2层连接。

3.4.3服务器冗余设计

企业网中服务器、大型机,如网络存储服务器,SQL Server服务器,其存储的数据对于企业来说致关重要,一些核心数据被视为企业的生命。一方面它对企业的重要性毋庸质疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障计算机系统的可靠性是重中之重。为此,我们采用的是双机热备技术,此技术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是比较有经济价成效的技术。

服务器双机热备技术具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例,DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。因此增加服务器的稳定性与高效性。

本网络中应具有多台服务器设备,包括DB SERVER数据库服务器,WEB,CATALOG等应用服务器,NEWS,MAIL等通讯服务器及多媒体服务器等。

在企业网络边界的拓扑结构设计上,我们以客户的可用性、性能和可购买性为设计目标,把此方案中企业边界网络设计在内联网设置冗余的广域网段,并在连接外联网和Internet的链路上实施多重路径。并且通过vpn方式来在公共的服务提供商网络或因特网上实现专有站点之间的连接。

3.4.4冗余广域网网段:

因为广域网链路是企业互连网络中非常关键的一部分,因此在企业边界网络拓扑结构中包括了冗余(备份)广域网链路。我们采取多宿主Internet连接作为广域网备份的首选方法。为企业网选择了两个电信服务商的线路连入网络。主服务商采用如业界流行Frame Relay作为主线路,第二服务商可采用ISDN网络作为辅助线路。

随着经济发展,大型企业分支机构原来越多,为便于企业的统一管理,本方案建议采用H3CDE 路由器,利用目前运营商提供的ADSL、DDN、以太网宽带接入等多种方式组建一个DVPN(动态虚拟专用网络)网络,实现企业总部与分支机构远程通讯的安全,同时也便于企业部署办公自动化及相应的业务应用软件系统。

从企业边界模块看,接入路由器后设置防火墙。采用合理的安全策略实现,外部网络对DMZ区的控制下访问,隔离企业内部网络防止来自外部的非法访问。

3.5设计编址和命名模型、IP地址规划遵循的原则、IP地址规划、IP划分原理、IP编制的原理

IP 编址是整个网络设计中的重要组成部分,地址规划的科学性和合理性将直接反应网络拓扑的设计思想,对网络的稳定起到至关重要的影响。好的地址规划同科学的分层网络拓扑设计相辅相承,共同形成整体的网络设计解决方案。

简单性:地址的分配应该简单,避免在主干上采用复杂的掩码方式;

连续性:为同一个网络区域分配连续的网络地址,便于采用路由收敛(Summarization)及 CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项,提高路由器的处理效率;

可扩展性:为一个区域分配的地址应有一定的容量,便于主机数量增加时仍然能够保持地址的够用;

灵活性:地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路由策略在该地址分配方案上实现优化;

可管理性:地址的分配应该有层次,某个局部的变动不能影响全局。

安全性:网络内应按工作内容划分成不同网段即子网以便进行管理。

在本方案中我们采用OSPF作为主干路由协议,该协议支持VLSM(可变长子网掩码),允许用户在粒度上分配所需要的IP数.并使用路由手动汇聚特性,向主类网络号宣告更简洁的网络号,优化路由表条目,提高寻址效率。

IP编制的优点

1.有效的利用可用寻址空间;

2.加强好分层设计,允许汇聚和文档管理.

3.汇聚的优点

4.最小化路由表条目

5.缩小了路由表条目,使的更新更小,占用更小带宽.那么查询速度更快,

更高效,对路由器内存需求更小,CPU的占用时间更短.

6.简单化

7.只维护小型路由表, 简化了网络寻址计算.

此学校具有千人的规模,所以在园区网内的信息点数量庞大,应接近于学生和教职工人数,即千多个接入信息点。本次设计共涉及20座楼宇:4栋宿办楼、1栋综合办公楼、东西2栋辅助办公楼、1栋教工食堂、东西4栋主教学楼主教学楼、1号综合实验楼、2号综合实验楼、1栋图书馆、1栋学生食堂洗浴中心、4栋学生公寓楼。

所以,本次总计布线信息点为:1196个。各个楼的信息点统计及初步规划见以下各表。

信息点分布统计总表

场合或楼名详细信息信息点数量配线间位置

教工宿办楼1 号宿办楼34 该楼2楼

2 号宿办楼30 该楼2楼

3号宿办楼39 该楼2楼

4号宿办楼48 该楼2楼

共计:151

办公楼宇

综合办公楼103 该楼2楼

东辅助办公楼45 东辅助办公楼2楼东辅助办公接待中心 4 东辅助办公楼2楼东辅助办公服务室 6 东辅助办公楼2楼东辅助办公房间18 东辅助办公楼2楼教工食堂18 东辅助办公楼2楼网管4 台,预留5 个9 西辅助办公3楼校园监控系统9 西辅助办公3楼

1 台WEB 服务器 1 西辅助办公3楼

西辅助办公楼45 西辅助办公3楼

共计:258

教学区楼宇东主教学1 号楼15 该楼2楼

东主教学2 号楼19 该楼2楼

西主教学1 号楼15 该楼2楼

西主教学2 号楼11 该楼2楼

综合实验1 号楼12 该楼2楼

综合实验2 号楼18 该楼2楼

共计:90

图书馆

图书馆主体楼40 图书馆2楼

图书馆借阅台10 图书馆2楼

图书信息查询8 图书馆2楼

图书馆还书台 5 图书馆2楼

图书馆多媒体查询 2 图书馆2楼

图书馆导向查询 1 图书馆2楼

电子图书阅览室 2 图书馆2楼

共计:78 (图书馆10个预留)

学生生活区学生公寓楼1-4号楼600 每栋学生公寓2楼学生食堂、洗浴中心20 该楼2楼

共计:620

总计:1196

3.6 IP地址规划

3.6.1 IP地址规划原则

IP协议作为基本网络通信协议,为网络的互连互通提供了基本载体,是保证网络安全、正常运行的基础,因此必须对网络中的IP地址的使用进行科学的规划。有关IP地址划分的原则如下:

1)IP地址的划分便于地址分类管理;

如园区间骨干网络、园区内网络设备均应该划分划分独立的IP子网,数据中心划分独立的IP子网等;

2)地址划分与网络的层次结构相适应,便于形成简单高效的路由、有利于形成路由聚;

对于网络IP地址的划分,为便于形成简单高效率的路由,便于路由维护、网络故障诊断,以及提高路由转发匹配效率等目的,IP地址的划分,必须与网络的层次结构向适应,有利于路由汇聚、便于形成简单高效率路由。如,校区内每栋大楼的IP地址应该可以汇聚成一个较大的IP地址,软件园区内网络的IP地址应该可以汇聚到一个更大的IP地址,已形成汇聚路由,同时增加路由的稳定性。地址划分便于诊断网络故障,方便网络维护;

3)对于大规模的网络来说,网络维护关系网络的运行的正常与否,因此,网络维护对于IP地址规划来说,尤其重要。IP地址的划分,有利于诊断网络故障,有利于路由维护,同时,也应该有利于网络路由的自愈等。

4)地址划分有利于网络安全策略的实施;

对于基础支撑平台网络来说,网络上承载有5大业务支撑,包括网上教育、信息交流与共享、综合服务管理、研发支持、软件测试平台等,每个平台对安全的要求是有很大的不同,因此,为区别实施各业务的安全策略,在IP地址的划分上,应该有利于实现网络安全策略。

3.6.2 IP地址规划方案

由于此次为规划阶段的建议书,不对IP划规划进行具体配置,该任务将在项目正式实施的需求分析阶段进行具体配置。

大致情况如下:

核心层网络使用一个IP段172.16.1.0/24 ~172.16.8.0/24

教师公寓使用一个IP段172.16.14.0/24~172.16.15.0/24

学校后勤使用一个IP段172.16.16.0/24~172.16.17.0/24

教学区使用一个IP段172.16.34.0/24~172.16.40.0/24

学生宿舍区使用一个IP段172.16.64.0/24~172.16.80.0/24

以下是本项目IP地址的具体规划表。当然,具体的配置还要结合VLAN规划方案进行调整。

IP 地址划分表

核心层网络

地址

172.16.2.0/24网络中心172.16.3.0/24VPN 172.16.4.0/24学校财务172.16.8.0/24行政楼172.16.14.0/24教师宿舍172.16.16.0/24食堂

教学区网络

地址172.16.34.0/24实验楼172.16.36.0/24教学楼

学生区网络

地址172.16.64.0/24学生宿舍1 172.16.65.0/24学生宿舍2

172.16.66.0/24学生宿舍3

172.16.67.0/24学生宿舍4

3.7 VLAN规划

3.7.1 VLAN划分策略

学校核心网络划分独立的VLAN

VLAN的划分与部门对应;

学校敏感信息(如:财务部门)划分一个VLAN;

资源中心的服务器功能群划分不同的VLAN,便于实现不同的安全策略和措施;

网络设备管理划分独立的VLAN;

学校科研部门划分独立VLAN;

3.7.2 VLAN划分方案

核心层网络使用一个IP段V ALN 1 ~ VLAN 8

教师公寓使用一个IP段V ALN 14 ~ VLAN 15

学校后勤使用一个IP段V ALN 16 ~ VLAN 17

教学区使用一个IP段V ALN 34 ~ VLAN 40

学生宿舍区使用一个IP段VLAN 65 ~ VLAN 80

以下是本项目IP地址的具体规划表。当然,具体的配置还要结合VLAN规划方案进行调整。

VLAN 地址划分表

核心层网络地址

VLAN2网络中心VLAN3VPN VLAN4学校财务VLAN8行政楼VLAN14教师宿舍VLAN16食堂

教学区网络地址VLAN34实验楼VLAN36教学楼

学生宿舍区网络地址VLAN64学生宿舍1 VLAN65学生宿舍2 VLAN66学生宿舍3 VLAN67学生宿舍4

3.8 校园网络平台功能

在这个校园网平台上,一般的网络功能,如网上浏览、文件传输、电子邮件、电子公告、网上聊天、访问互联网等功能,毫无问题都可以实现。全数字网络系统全中的多媒体教学子网、数字监控子网、智能广播子网所有功能实现均建立在

此校园网络平台之上。通过网络平台我们还可以实现电子图书馆系统、电子阅览室系统、课件制作中心、校园一卡通系统、多媒体电子教室系统、VOD视频点播系统等子系统的建设。

网络安全

本节虽然列在网络平台一章中,但所述内容部不局限于网络平台。安全问题贯穿在校园网的整个层次结构中。在本设计方案中处处体现网络安全第一的思想。这里集中说明校园网安全要点,可以有一个整体概念。

3.8.1 网络安全概念

系统安全的定义:国际标准化组织(ISO)将“计算机安全(Computer Security)”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。”此定义偏重于静态信息保护。国内有人将“计算机安全”定义为:“计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄漏,系统连续正常运行。”该定义着重于动态意义的描述。

网络安全应该包含以下几个方面:

·网络设备电气技术安全

·网络平台物理安全

·网络平台技术安全

·网络服务信息安全

·网络应用信息安全(数据安全)

·数据备份

·计算机病毒防护

·对网络安全问题的认知

在现代技术迅速发展的时代,没有绝对安全的网络,安全是一个相对的概念。网络安全不是一个一劳永逸而能解决的问题。安全问题是一个动态问题。网络安全不是一个单纯的技术问题,而是一个包含法制、思想教育、行政管理制度、体制、技术的综合系统工程。

网络工程实践表明:真实意义上的网络安全应包含以下四个要素:人员、技术(或称工具)、管理和资金。真正的安全性可以用一个数学格式来表示:安全性=人员+管理+技术+资金

3.8.2 安全系统设计原则

网络安全设计应当遵守以下几项基本原则:

·需求、风险、代价平衡分析的原则

·综合性、整体性原则

·有效性与实用性原则

·安全性评价原则

·等级性原则

·最小特权原则

·多重保护原则

·动态化原则

3.8.3 安全风险与防范

(1)网络物理环境的安全风险和防范

光缆架空或地埋遭到有意破坏的可能性比较小,受到无意损害的可能性比较大;

楼内的网络线路受到有意伤害的可能性虽然比较小,无意的伤害可能性比较大;布线在PVC线槽内,则基本上是安全的;

高温可能对环境要求比较高的设备或散热性能差的设备的安全运行带来风险;建议至少在中心机房安装空调。

出楼禁用双绞线而采用光缆,可以防止所连接的网络设备因雷电造成意外的损害;

(2)电气安全风险和防范

每一个楼只能有一个统一地线。浮动接地点和多点接地供电对网络设备构成极大的安全威胁;

提高供电网负载平衡能力。电压过低,某些设备工作不正常;电压过高,对设备的安全威胁最大;

突发停电不仅对某些网络设备的电气安全构成威胁,而且系统设置的丢失、破坏、重要数据信息的丢失,有可能带来比较大的损失。建议至少在中心机房采用UPS供电。

(3)网络平台安全风险和防范

网络平台采用单星型拓朴结构,中心交换机是整个网络的基石,对其安全性要求很高。适当备份,以避免自然损坏的风险是完全必要的。

多媒体园区网,信息流量很大。高速的、留有足够冗余带宽的主干网为信息包的传输提供了高速信息公路。如果投资条件允许,采用了三层交换,将路由功能和交换功能融为一体,这种由路由瓶颈引起的网络失效的风险很小。

网络布线采用进口结构化布线产品。本公司提供十五年的质量保障,由于网

络链路故障引起的网络失效的风险就可减少到最小。

网络平台安全的最大薄弱环节在主干服务器。外来“黑客”对网络层的攻击,将主要是针对主干服务器,但这不是网络平台设计和服务器本身所能完全解决的安全问题。如果安全性要求比较高,则应采取路由器、防火墙划分VLAN、加载安全软件等综合措施。

服务器和工作站主机操作系统的安全漏洞所带来的安全风险:市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。相比较而言,天酬公司提供的教室端的“嵌入式网络教学计算机”由于采用全硬件结构(软件嵌入固化)安全性要好得多。

(4)病毒防范方案

计算机病毒对网络的影响可以称得上是灾难性的。对单机使用者来说,软盘是传播病毒的唯一媒介。上网以后,网络就有可能成为传播病毒的最主要的途径。

防治计算机病毒是一项系统工程,不是一项单纯的技术工作,不是某一个人的责任,而是每一个上网操作者的责任。

为了校园网的案安全,我们应选择选择多层病毒防卫体系。所谓多层病毒防卫体系,是指在校园网的的每个台式机上要安装台式机的反病毒软件,在服务器上要安装基于服务器的反病毒软件。在代理服务器上安装正版网络防病毒软件,进行病毒检查扫描,检查电子邮件中的病毒。

管理措施:

·定期进行网上病毒检测,制定病毒报告制度。对重要信息定期备份,有价值的信息使用加密保护。定期进行用户安全防范意识的培训。用户一般不要将来历不明的软件装入PC机。要进行病毒检查。确认无病毒时,再将该软件作为网络资源备份在服务器中。

·定期进行数据备份。当前,主要的数据备份技术有:双机热备份系统、RAID(廉价冗余磁盘阵列)系统、NAS网络存储器、可擦写光盘备份系统、磁带机及磁带库备份系统等。主域名系统DNS和副域名系统DNS应分别保存在两台服务器上,并且互为热备份。重要的数据备份在服务器的存储介质上。

3.8.4 安全管理的原则性建议

系统安全可以采用多种技术来增强和执行。但是,很多安全威胁来源于管理上的松懈及对安全威胁的认识。诸多不安全因素恰恰反映在组织管理和人员使用等方面。安全系统需要由人来计划和管理,任何系统安全措施都不能完全由计算机系统独立承担。各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。学校可委托网管中心具体组织实施。网管中心在安全管理方面的具体工作

是:

(1)确定校园网各子系统的安全等级,根据确定的安全等级,确定安全管理的范围。

(2)制定网上网用户管理制度。所有上网用户都要造册登记在案。

(3)制定信息安全管理制度。对内部关键信息要划分安全等级,实行分级管理。严禁越权访问。

(4)制订相应的机房出入管理制度。

(5)制订完备的系统维护制度。

(6)建立定期安全评估制度,由网管中心定期向领导提供安全分析评估报告。

(7)对各级用户定期进行安全培训。

第四部分核心技术

4.1、VRRP简介

随着Internet的迅猛发展,基于网络的应用逐渐增多。这就对网络的可靠性提出了越来越高的要求。斥资对所有网络设备进行更新当然是一种很好的可靠性解决方案;但本着保护现有投资的角度考虑,可以采用廉价冗余的思路,在可靠性和经济性方面找到平衡点。

虚拟路由冗余协议就是一种很好的解决方案。在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。

4.2、ACLS简介

ACLs的全称为接入控制列表(Access Control Lists),按照其使用的范围,可以分为安全ACLs和QoS ACLs。

对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。安全ACLs在数据流通过交换机时对其进行分类过滤,并对从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。

在安全ACLs允许数据流通过之后,您还可以通过QoS 策略对符合QoS ACLs匹配条件的数据流进行优先级策略处理。总的来说,安全ACLs用于控制哪些数据流允许从交换机通过,QoS策略在这些允许通过的数据流中再根据QoS

ACLs进行优先级分类和处理。

4.3、OSPF概述和数据包格式

随着Internet技术在全球范围的飞速发展,OSPF已成为目前Internet广域网和Intranet企业网采用最多、应用最广泛的路由协议之一。

OSPF(Open Shortest Path First)路由协议是由IETF(Internet Engineering Task Force)IGP工作小组提出的,是一种基于SPF算法的路由协议,目前使用的OSPF协议是其第二版,定义于RFC1247和RFC1583。

OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。

作为一种链路状态的路由协议,OSPF将链路状态广播数据包LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

4.4、GVRP

通用VLAN注册协议(GVRP)是通用属性注册协议(GARP)中的一个应用,在802.1QTrunk口上实现提供802.1Q兼容的VLAN修剪与动态VLAN创建。.

使用GVRP,交换机可以和其它使用GVRP的交换机交换VLAN配置信息,在802.1Q Trunk链路上修剪不需要的广播和未知的单僠流量,动态创建和管理VLAN。

GVRP硬件与软件需求

GVRP 需要以下硬件与软件版本:

交换机v2.4及以上软件版本

802.1Q兼容的交换机模块

4.5、DHCP-Relay

DHCP 协议被广泛的应用在局域网环境里来动态分配IP地址。

按照通常的 DHCP 应用模式(Client—Server 模式),由于 DHCP 请求报文的目的 IP 地址为 255.255.255.255,因此每个子网都要有一个DHCP Server 来管理这个子网内的IP 动态分配情况。这样会在无形中增加了网络的开销,降低网络性能。面对这样的问题,我们小组在此采用DHCP Relay来解决如上的问

相关文档
最新文档