校园网络安全规划设计
1校园网的建设目标
校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园区内部的Intranet系统,对外通过路由设备接入广域网。具体而言这样的设计目标应该是:
1、信息资源共享
通过校园网,实现学校内部,学校与国内、国际信息的快速交流,达到资源共享,使广大师生及时了解国内外科学技术和高等教育发展的最新动态,促进教学、科研、管理事业的发展。
2、学校管理系统的信息化、自动化
依托校园网,构建相应的交互式应用软件平台,实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化,实现统计监测网络化,提高管理效率和水平。实现网上招生、网上人才招聘、学生网上求职等。
3、建立计算机网络辅助教学系统
建立基于网络的电子教学CAI课件开发网上题库、答疑与作业批改等计算机辅助教学系统,实现教学手段的现代化。
4、校园网和广域网结合
依托校园网、广域网开展远程教学,使广大的学生和老师能更好的交流学习和获取学校网络的资源。
5、人性化
为广大师生提供宽松,开放、易用的网络环境,使网络触入日常工作和生活中,发挥网络的最大效用。
6、方便教学
网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的。校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境。
7、系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及经济性。
校园网网络的建设目标是,建立一套完整的校园信息系统,将学院校园网建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络。 3系统安全目标
基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标: 建立一套完整可行的网络安全与网络管理策略
将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信 建立网站各主机和服务器的安全保护措施,保证他们的系统安全
对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝
加强合法用户的访问认证,同时将用户的访问权限控制在最低限度
全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为
加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完 整的系统日志
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
网络需求分析
1用户需求分析
一、中层管理需求:
1)主要相关人员:处、部主任。
2)调查内容:
1、办公需求:办公自动化,文档电子化。
2、管理需求:会议管理,个人信息管理,公共信息管理,公文管理,教务综合管理。
3、E-mail 服务:需要。
4、远程访问:需要。
A:办公自动化系统结构图:
B:综合教务管理系统:
二、教师需求:
1)相关人员:各系部教师
2)调查内容:
1、教学要求:电子备课,资料查阅,文档打印,文档、课件上传/下载,在线答疑
2、教学活动:VOD(或将来需要),学生成绩登入、公布
3、远程访问:需要
4、E-mail 服务:需要
三、学生需求:
1)相关人员:学生。
2)调查内容:
1、学习需求:电子文档下载,文档打印,资料查询。
2、E-mail 服务:需要
3、远程访问:需要
4、学业管理:成绩查询。
制应提供地址转换、被动监厅、端口扫描和否认服务等机制、,同时划分不同级别的安全区域;远程访问的安全控制应提供访问服务器的用户身份认证、用户授权及用 户记账/审计等功能;应提供对整个网络和工作站进行侦独、解毒和清毒等工作,防范计算机病毒。内部网络实用VLAN分段,隔离广播域,防止网络窃听和非法访问,使用防火墙分割内部网和外部网,限制级别访问内部WEB服务器,财务数据,以及OA系统各分区校园用户使用VPN方式访问主教学总部网络,并限制同时的访问量。
2安全需求分析
通过前面我们对这个学校局域网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个学校局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分布实施。
3网络系统安全风险分析
针对这个学校局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与这个学校局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:
网络安全可以从以下三个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合这个学校局域网的实际情况,我们将具体的分析网络的安全风险。
4物理安全风险分析
网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错
误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个学校区局域网内,由于网络的物理跨度不大,,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
校园网的基本功能
连接校内所有教学楼、实验室、办公楼中的PC。同时支持大约500用户浏览Internet。提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:提供基本的Internet网络服务功能:如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌等。提供校内各个管理机构的办公自动化。提供图书,文献查询与检索服务,增强校图书馆信息自动化能力。全校共享软件库服务,避免重复投资,发挥最大效益。提供CAI教学和科研的便利条件。经广域网接口,提供国内外计算机系统的互连,为国际间的信息交流和科研合作,为学校快速获得最新教学成果及技术合作等创造良好的信息通路。
网络设计原则
我国各校校园网的建设,主要是借助国家现成的传输系统(中国公众多媒体网、教育与科研 网、中国科技网、有线电视网等),利用现代传输媒介和通讯技术,因地制宜地组建自己的 校园网络,并开发了数量众多、形式各异的校园网络系统。主要有闭路电视网、计算机网、 二合一网络、一线通网等等。然而,这些校园网往往投资很大,但由于没有用 到教育主业上,仅用在办公自动化中,其利用率就显得很低,十分可惜,因此,我们在建设 校园网时一定要把握以下几个原则:
1、系统性
校园网是一个复杂的系统,校园网建设无疑是一个复杂的系统工程。网络的规划、设计、硬件建设、软件建设以及网络的使用、扩充等均以系统的眼光来看等。任何一项工作都从全局、长远的角度出发,体现整体最优性。
2、先进性、实用性
校园网规划、设计尽可能地采用先进技术,同时也要兼顾技术的成熟性和实用性。计算机网络技术的发展一日千里,不考虑技术的先进性,无疑会形成建成不久即面临淘汰的局面。而一味追求先进,不考虑技术的成熟性,将存在巨大的风险。因为先进性是以大量的资金投入为代价的。另一方面,一味追求先进,以至脱离自己的实际需求,也是没有实际意义的。
3、开放性、发展性
系统的规划、设计应采用开放技术、开放结构、开放系统组件和开放用户接口,有良好的兼容性,以利于网络的维护、扩展、升级及与外界的沟通。既要满足现在和未来五年的用户需求,又要考虑将来向更为先进的技术实现低成本平滑地升级过渡。
4、安全性
系统具有多层次的安全控制手段,完善的安全管理体系,防止受到黑客攻击和破坏。
5、易用性、可靠性
系统要求设计简单,层次清晰,软、硬件设备性能优良,功能完善,运行稳定、可靠,易于维护。
6、经济性
系统设计和资金投向合理,体现良好的性能价格比。力争少花钱,多办事。
7、强调培训
老师和学生是校园网的使用者,他们的计算机应用水平直接决定了校园网使用情况的好坏。因此,学校要加强对应用人员的培训
8、采用开放产品,遵循国际标准
只有采用开放的和符合国际标准的产品,校园网络才能确保适应将来网络技术发展的需要。
9、可兼容及可扩展性
在进行方案建设时,力求做到网络结构清晰、合理并具有扩展能力;硬件配置先进、可靠,能够满足网络及软件运行的需要;系统软件安全、可靠,界面友好,易于操作和维护。
10、统筹规划,分步实施的原则
学校经费十分有限,一次性拿出大笔资金使网络建设一步到位是不现实的,也没有这个必要。因为网络建设本身不仅是硬件建设,更重要的是软件建设和实际应用,而软件建设和实际应用需要逐步地依据需求的增长来完成。另一方面,整个网络系统也必须随着网络技术的发展不断地扩展和升级,需要连续的资金投入。但有些关键性的基础设施必须一步到位,如主要网络设备、服务器及操作系统软件等。我们要认真地进行科学的论证,制定整体方案,确保网络的整体性和实用性。
设备选型
主机系统负责整个网络的数据存储和数据处理,因此必须选择处理能力强、可伸缩性强、优良的TCP/IP网络性能、先进的数据库产品、高可靠解决方案、功能强大的应用开发工具以及客户机/服务器应用解决方案包的服务器系统。如PC服务器基于Intel的体系结构(IA),采用Windows NT、NetWare等通用网络操作系统,与传统的RISC UNIX服务器相比,具有开放性、标准化、性价比高等特点。Unix服务器主要是以Sun、Siemens、SGI学校为代表厂商,提供完整系列的Unix服务器,从针对中、小型校园网或学校网的小型Unix服务器,到大型Unix服务器均可提供,并且配以大量应用软件。校园网Intranet主要是以Web服务器为中心,WEB服务器提供基本的HTTP功能,从通用数据库(URL)中得到所需页的路径,并传送回浏览器,它改变了传统的Client/Server的结构。
1、锐捷 STAR-R2624
锐捷 R2624 模块化路由器1台,路由器价格21000,STAR-R2624路由器提供丰富的网络安全特性,支持哑终端接入服务器功能;提供完备的冗余备份解决方案。STAR- R2624路由器支持VoIP特性、IP组播协议,有丰富的QoS特性,为中小型学校提供高性价比的三网合一解决方案。
2、锐捷 STAR-S3550
STAR-S3550千兆智能多层交换机6台,每台价格39000,STAR-S3550-24带有24个10/100自适应以太网端口,2个千兆扩展插槽,可扩展1个或者是2个千兆/百兆模块,有12.8Gbps背板带宽和6.6Mpps二三层转发能力;而STAR-S3550-48具有48个10/100自适应端口,2个千兆扩展插槽,可扩展1至2个千兆/百兆模块;背板带宽18.5Gbps,二三层转发能力达到10.1Mpps。STAR-S3550-12G/S3550-24G产品则是两款全千兆的智能多层交换机,STAR-S3550-12G具有12个基于GBIC的千兆位以太网端口,48Gbps的背板带宽,18Mpps的二三层转发能力;STAR-S3550-24G的GBIC千兆位以太网端口有24个,背板带宽为72Gbps,二三层转发能力达到36Mpps。STAR-S3550系列智能多层交换机凭借丰富的产品系列、齐全的端口、高性能配置,能够为各种网络应用提供个性化选择。而STAR-S3550系列交换机之所以受到广大用户的欢迎,还在于其为用户所提供的丰富地网络智能服务:硬件实现多种功能,增强数据处理能力。STAR-S3550系列多层交换机独创性采用了硬件方式实现交换和路由,并且ACL和QOS功能也是通过硬件实现,这意味着,即使在大量数据处理情况下,系统所有端口仍能保持线速转发。
3、锐捷 RG-S2126交换机
S2126交换机55台,每台价格5600,S2126交换机支持512个802.1Q VLAN,支持端口
和MAC地址绑定,支持广播风暴抑制,还可以对属于同一个802.1Q VLAN的端口之间设置隔离或互通。 S2126灵活的扩展能力和远程维护,S2126提供百兆光接口扩展能力,允许交换机通过光纤上联网络。 支持HGMP集群管理系统并能实现设备管理和故障诊断,实现了设备的集中管理和维护。S2126 多样的管理方式,S2126交换机支持SNMP V1/V2,支持Open View等通用网管平台以及iMC网管系统配置和管理。支持CLI命令行,Web网管,TELNET,HGMP集群管理等多种方式,便于设备维护。
vlan划分及子网配置
实现校园网络设计,完成VLAN 划分可以避免广播风暴,在骨干网络中尤为突出,在多媒体、视频点播等很容易引起广播信息;划分之后,VLAN 是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件;可以增加网络的安全性,在不同的VLAN之间不能随意通讯,只限与本子网间通讯,不会对其他的子网产生干扰。要进行访问,需要通过三层交换,这样信息流就得到相当好的控制;网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系;提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。VLAN 间的子网访问,在三层交换机上实现,子网间的通讯在汇聚设备上实行,分流核心交换机的三层交换,优化组网。根据骨干网络网络建设的实际情况,方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则,以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有:方便管理。为了更好的进行VLAN规划的实施,因此在网络实施前期,要对网络中不同区域的VLAN设置进行详细的规划,细化到接入层网络,这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话,避免由于前期配置设备时复杂烦琐,而且由于相同的用户群体可能在不同的物理位置,导致造成整个校园网络中VLAN划分复杂,减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划,这样既可以减少广播域,又达到划分VLAN,方便管理的效果,对于后期网络维护和升级具有十分现实的意义。易于实施。按群体划分VLAN在工程实施中就十分的方便,不会造成VLAN划分复杂失误而使得网络出现不通的现象,便于工程快速实施和网络中心整体规划。VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问,对于学校重要网络资源,需要进行权限访问的时候,建议采用专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL)来进行访问权限设定,保障重要资料不被非法访问
Vlan的划分
办公楼——VLAN1,PC机IP范围:192.168.1.2/24—192.168.1.254/24
1号教学楼——VLAN2,PC机IP范围:192.168.2.2/24—192.168.2.254/24
2号教学楼——VLAN3,PC机IP范围:192.168.3.2/24—192.168.3.254/24
3号教学楼——VLAN4, PC机IP范围:192.168.4.2/24—192.168.4.254/24
教师公寓——VLAN5,PC机IP范围:192.168.5.2/24—192.168.5.254/24
网络拓扑结构设计
星状拓扑图结构是一种以中央为中心,把若干外围节点连接起来的辐射式互联结构。这种结构适用于局域网,特别是近年来连接的局域网大都采用这种连接方式。这种连接方式以双绞线或同轴电缆作连接线路,其优点是结构简单、容易实现、便于管理,通常以集线器(HUB)作为中央节点,便于维护和管理。其缺点是中心节点是全网络的可靠瓶颈,中心节点出现故障会导致网络的瘫痪。
首先,对校园网络的功能以及主机系统的要求进行详细描述,完成需求分析,包括主干网,各个部门层以及交换到桌面所需带宽,选择确定局域网网络技术,以单模与多模光纤以及双绞线等为传输介质。
其次,就是划分子网,根据学校要求将网络划分为六个子网,即办公区子网,教师公寓子网,教学楼子网,然后确定Internet接入方案以及中心机房设计,确定实现的信息服务,应用程序及系统及数据安全分析等。
再次,就是网络拓扑图及方案整体描述与实现,确定主干网传输方案,详细描述Internet接入方案,远程访问支持等,根据对网络的需求设计出包括网络拓扑结构图、IP分配及规划、特殊网络应用技术和网络测试及协议分析。完成设备选型,确定存储方案,然后进行综合布线分析
最后,对网络进行管理,包括网络的功能分析,网络管理方式描述以及校园网的安全性设计等。
校园网络安全规划设计
1校园网的建设目标
校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园区内部的Intranet系统,对外通过路由设备接入广域网。具体而言这样的设计目标应该是:
1、信息资源共享
通过校园网,实现学校内部,学校与国内、国际信息的快速交流,达到资源共享,使广大师生及时了解国内外科学技术和高等教育发展的最新动态,促进教学、科研、管理事业的发展。
2、学校管理系统的信息化、自动化
依托校园网,构建相应的交互式应用软件平台,实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化,实现统计监测网络化,提高管理效率和水平。实现网上招生、网上人才招聘、学生网上求职等。
3、建立计算机网络辅助教学系统
建立基于网络的电子教学CAI课件开发网上题库、答疑与作业批改等计算机辅助教学系统,实现教学手段的现代化。
4、校园网和广域网结合
依托校园网、广域网开展远程教学,使广大的学生和老师能更好的交流学习和获取学校网络的资源。
5、人性化
为广大师生提供宽松,开放、易用的网络环境,使网络触入日常工作和生活中,发挥网络的最大效用。
6、方便教学
网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的。校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境。
7、系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及经济性。
校园网网络的建设目标是,建立一套完整的校园信息系统,将学院校园网建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络。 3系统安全目标
基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标: 建立一套完整可行的网络安全与网络管理策略
将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信 建立网站各主机和服务器的安全保护措施,保证他们的系统安全
对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝
加强合法用户的访问认证,同时将用户的访问权限控制在最低限度
全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为
加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完 整的系统日志
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
网络需求分析
1用户需求分析
一、中层管理需求:
1)主要相关人员:处、部主任。
2)调查内容:
1、办公需求:办公自动化,文档电子化。
2、管理需求:会议管理,个人信息管理,公共信息管理,公文管理,教务综合管理。
3、E-mail 服务:需要。
4、远程访问:需要。
A:办公自动化系统结构图:
B:综合教务管理系统:
二、教师需求:
1)相关人员:各系部教师
2)调查内容:
1、教学要求:电子备课,资料查阅,文档打印,文档、课件上传/下载,在线答疑
2、教学活动:VOD(或将来需要),学生成绩登入、公布
3、远程访问:需要
4、E-mail 服务:需要
三、学生需求:
1)相关人员:学生。
2)调查内容:
1、学习需求:电子文档下载,文档打印,资料查询。
2、E-mail 服务:需要
3、远程访问:需要
4、学业管理:成绩查询。
制应提供地址转换、被动监厅、端口扫描和否认服务等机制、,同时划分不同级别的安全区域;远程访问的安全控制应提供访问服务器的用户身份认证、用户授权及用 户记账/审计等功能;应提供对整个网络和工作站进行侦独、解毒和清毒等工作,防范计算机病毒。内部网络实用VLAN分段,隔离广播域,防止网络窃听和非法访问,使用防火墙分割内部网和外部网,限制级别访问内部WEB服务器,财务数据,以及OA系统各分区校园用户使用VPN方式访问主教学总部网络,并限制同时的访问量。
2安全需求分析
通过前面我们对这个学校局域网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个学校局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分布实施。
3网络系统安全风险分析
针对这个学校局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与这个学校局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:
网络安全可以从以下三个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合这个学校局域网的实际情况,我们将具体的分析网络的安全风险。
4物理安全风险分析
网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错
误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个学校区局域网内,由于网络的物理跨度不大,,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
校园网的基本功能
连接校内所有教学楼、实验室、办公楼中的PC。同时支持大约500用户浏览Internet。提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:提供基本的Internet网络服务功能:如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌等。提供校内各个管理机构的办公自动化。提供图书,文献查询与检索服务,增强校图书馆信息自动化能力。全校共享软件库服务,避免重复投资,发挥最大效益。提供CAI教学和科研的便利条件。经广域网接口,提供国内外计算机系统的互连,为国际间的信息交流和科研合作,为学校快速获得最新教学成果及技术合作等创造良好的信息通路。
网络设计原则
我国各校校园网的建设,主要是借助国家现成的传输系统(中国公众多媒体网、教育与科研 网、中国科技网、有线电视网等),利用现代传输媒介和通讯技术,因地制宜地组建自己的 校园网络,并开发了数量众多、形式各异的校园网络系统。主要有闭路电视网、计算机网、 二合一网络、一线通网等等。然而,这些校园网往往投资很大,但由于没有用 到教育主业上,仅用在办公自动化中,其利用率就显得很低,十分可惜,因此,我们在建设 校园网时一定要把握以下几个原则:
1、系统性
校园网是一个复杂的系统,校园网建设无疑是一个复杂的系统工程。网络的规划、设计、硬件建设、软件建设以及网络的使用、扩充等均以系统的眼光来看等。任何一项工作都从全局、长远的角度出发,体现整体最优性。
2、先进性、实用性
校园网规划、设计尽可能地采用先进技术,同时也要兼顾技术的成熟性和实用性。计算机网络技术的发展一日千里,不考虑技术的先进性,无疑会形成建成不久即面临淘汰的局面。而一味追求先进,不考虑技术的成熟性,将存在巨大的风险。因为先进性是以大量的资金投入为代价的。另一方面,一味追求先进,以至脱离自己的实际需求,也是没有实际意义的。
3、开放性、发展性
系统的规划、设计应采用开放技术、开放结构、开放系统组件和开放用户接口,有良好的兼容性,以利于网络的维护、扩展、升级及与外界的沟通。既要满足现在和未来五年的用户需求,又要考虑将来向更为先进的技术实现低成本平滑地升级过渡。
4、安全性
系统具有多层次的安全控制手段,完善的安全管理体系,防止受到黑客攻击和破坏。
5、易用性、可靠性
系统要求设计简单,层次清晰,软、硬件设备性能优良,功能完善,运行稳定、可靠,易于维护。
6、经济性
系统设计和资金投向合理,体现良好的性能价格比。力争少花钱,多办事。
7、强调培训
老师和学生是校园网的使用者,他们的计算机应用水平直接决定了校园网使用情况的好坏。因此,学校要加强对应用人员的培训
8、采用开放产品,遵循国际标准
只有采用开放的和符合国际标准的产品,校园网络才能确保适应将来网络技术发展的需要。
9、可兼容及可扩展性
在进行方案建设时,力求做到网络结构清晰、合理并具有扩展能力;硬件配置先进、可靠,能够满足网络及软件运行的需要;系统软件安全、可靠,界面友好,易于操作和维护。
10、统筹规划,分步实施的原则
学校经费十分有限,一次性拿出大笔资金使网络建设一步到位是不现实的,也没有这个必要。因为网络建设本身不仅是硬件建设,更重要的是软件建设和实际应用,而软件建设和实际应用需要逐步地依据需求的增长来完成。另一方面,整个网络系统也必须随着网络技术的发展不断地扩展和升级,需要连续的资金投入。但有些关键性的基础设施必须一步到位,如主要网络设备、服务器及操作系统软件等。我们要认真地进行科学的论证,制定整体方案,确保网络的整体性和实用性。
设备选型
主机系统负责整个网络的数据存储和数据处理,因此必须选择处理能力强、可伸缩性强、优良的TCP/IP网络性能、先进的数据库产品、高可靠解决方案、功能强大的应用开发工具以及客户机/服务器应用解决方案包的服务器系统。如PC服务器基于Intel的体系结构(IA),采用Windows NT、NetWare等通用网络操作系统,与传统的RISC UNIX服务器相比,具有开放性、标准化、性价比高等特点。Unix服务器主要是以Sun、Siemens、SGI学校为代表厂商,提供完整系列的Unix服务器,从针对中、小型校园网或学校网的小型Unix服务器,到大型Unix服务器均可提供,并且配以大量应用软件。校园网Intranet主要是以Web服务器为中心,WEB服务器提供基本的HTTP功能,从通用数据库(URL)中得到所需页的路径,并传送回浏览器,它改变了传统的Client/Server的结构。
1、锐捷 STAR-R2624
锐捷 R2624 模块化路由器1台,路由器价格21000,STAR-R2624路由器提供丰富的网络安全特性,支持哑终端接入服务器功能;提供完备的冗余备份解决方案。STAR- R2624路由器支持VoIP特性、IP组播协议,有丰富的QoS特性,为中小型学校提供高性价比的三网合一解决方案。
2、锐捷 STAR-S3550
STAR-S3550千兆智能多层交换机6台,每台价格39000,STAR-S3550-24带有24个10/100自适应以太网端口,2个千兆扩展插槽,可扩展1个或者是2个千兆/百兆模块,有12.8Gbps背板带宽和6.6Mpps二三层转发能力;而STAR-S3550-48具有48个10/100自适应端口,2个千兆扩展插槽,可扩展1至2个千兆/百兆模块;背板带宽18.5Gbps,二三层转发能力达到10.1Mpps。STAR-S3550-12G/S3550-24G产品则是两款全千兆的智能多层交换机,STAR-S3550-12G具有12个基于GBIC的千兆位以太网端口,48Gbps的背板带宽,18Mpps的二三层转发能力;STAR-S3550-24G的GBIC千兆位以太网端口有24个,背板带宽为72Gbps,二三层转发能力达到36Mpps。STAR-S3550系列智能多层交换机凭借丰富的产品系列、齐全的端口、高性能配置,能够为各种网络应用提供个性化选择。而STAR-S3550系列交换机之所以受到广大用户的欢迎,还在于其为用户所提供的丰富地网络智能服务:硬件实现多种功能,增强数据处理能力。STAR-S3550系列多层交换机独创性采用了硬件方式实现交换和路由,并且ACL和QOS功能也是通过硬件实现,这意味着,即使在大量数据处理情况下,系统所有端口仍能保持线速转发。
3、锐捷 RG-S2126交换机
S2126交换机55台,每台价格5600,S2126交换机支持512个802.1Q VLAN,支持端口
和MAC地址绑定,支持广播风暴抑制,还可以对属于同一个802.1Q VLAN的端口之间设置隔离或互通。 S2126灵活的扩展能力和远程维护,S2126提供百兆光接口扩展能力,允许交换机通过光纤上联网络。 支持HGMP集群管理系统并能实现设备管理和故障诊断,实现了设备的集中管理和维护。S2126 多样的管理方式,S2126交换机支持SNMP V1/V2,支持Open View等通用网管平台以及iMC网管系统配置和管理。支持CLI命令行,Web网管,TELNET,HGMP集群管理等多种方式,便于设备维护。
vlan划分及子网配置
实现校园网络设计,完成VLAN 划分可以避免广播风暴,在骨干网络中尤为突出,在多媒体、视频点播等很容易引起广播信息;划分之后,VLAN 是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件;可以增加网络的安全性,在不同的VLAN之间不能随意通讯,只限与本子网间通讯,不会对其他的子网产生干扰。要进行访问,需要通过三层交换,这样信息流就得到相当好的控制;网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系;提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。VLAN 间的子网访问,在三层交换机上实现,子网间的通讯在汇聚设备上实行,分流核心交换机的三层交换,优化组网。根据骨干网络网络建设的实际情况,方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则,以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有:方便管理。为了更好的进行VLAN规划的实施,因此在网络实施前期,要对网络中不同区域的VLAN设置进行详细的规划,细化到接入层网络,这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话,避免由于前期配置设备时复杂烦琐,而且由于相同的用户群体可能在不同的物理位置,导致造成整个校园网络中VLAN划分复杂,减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划,这样既可以减少广播域,又达到划分VLAN,方便管理的效果,对于后期网络维护和升级具有十分现实的意义。易于实施。按群体划分VLAN在工程实施中就十分的方便,不会造成VLAN划分复杂失误而使得网络出现不通的现象,便于工程快速实施和网络中心整体规划。VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问,对于学校重要网络资源,需要进行权限访问的时候,建议采用专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL)来进行访问权限设定,保障重要资料不被非法访问
Vlan的划分
办公楼——VLAN1,PC机IP范围:192.168.1.2/24—192.168.1.254/24
1号教学楼——VLAN2,PC机IP范围:192.168.2.2/24—192.168.2.254/24
2号教学楼——VLAN3,PC机IP范围:192.168.3.2/24—192.168.3.254/24
3号教学楼——VLAN4, PC机IP范围:192.168.4.2/24—192.168.4.254/24
教师公寓——VLAN5,PC机IP范围:192.168.5.2/24—192.168.5.254/24
网络拓扑结构设计
星状拓扑图结构是一种以中央为中心,把若干外围节点连接起来的辐射式互联结构。这种结构适用于局域网,特别是近年来连接的局域网大都采用这种连接方式。这种连接方式以双绞线或同轴电缆作连接线路,其优点是结构简单、容易实现、便于管理,通常以集线器(HUB)作为中央节点,便于维护和管理。其缺点是中心节点是全网络的可靠瓶颈,中心节点出现故障会导致网络的瘫痪。
首先,对校园网络的功能以及主机系统的要求进行详细描述,完成需求分析,包括主干网,各个部门层以及交换到桌面所需带宽,选择确定局域网网络技术,以单模与多模光纤以及双绞线等为传输介质。
其次,就是划分子网,根据学校要求将网络划分为六个子网,即办公区子网,教师公寓子网,教学楼子网,然后确定Internet接入方案以及中心机房设计,确定实现的信息服务,应用程序及系统及数据安全分析等。
再次,就是网络拓扑图及方案整体描述与实现,确定主干网传输方案,详细描述Internet接入方案,远程访问支持等,根据对网络的需求设计出包括网络拓扑结构图、IP分配及规划、特殊网络应用技术和网络测试及协议分析。完成设备选型,确定存储方案,然后进行综合布线分析
最后,对网络进行管理,包括网络的功能分析,网络管理方式描述以及校园网的安全性设计等。