校園網路解決方案
1. 校園網路設計方案
目錄
2
1
緒論
3
2
安陽實驗中學校園網需求分析版
4
2.1
環境分析
4
2.2
業務需求分析
4
2.3
網路安全分析
5
2.4
網路增長預權測
5
2.5
管理需求分析
5
3
建設方案
6
3.1
校園網拓撲結構
6
3.2
校園網綜合布系統
7
3.3
VLAN、IP規劃
13
3.4
VPN接入
14
3.5
校園網風險和解決方案
16
3.4
方案特點概述
17
4
主要設備選型
18
4.1
核心交換機選型
18
4.2
匯聚層交換機選型
20
4.3
邊緣交換機選型
22
4.4
路由器選型
24
4.5
火牆選型
25
4.6
伺服器選型
25
4.7
網管軟體選型
26
5
總結
28
參考文獻
29
致謝
30
2. 校園網的實施方案
前言:
近年來,隨著網路技術、INTERNET的發展和CERNET(中國教育科研網)的迅速壯大,全國已有四百多所高校建成校園網並接入CERNET。校園網的建設已成為高校實力與發展水平的標志。我院辦學的規模、層次正在迅速地擴大和提高,建設一個先進、實用的校園網,實現校內外信息的快速傳遞,使教學、科研、管理步入信息化、網路化,從而提高辦學水平和辦學效益已成為必然選擇。為此,學院決定投資建設校園網。
一:設計分析
二:設計原則
1、系統性。
校園網是一個復雜的系統,校園網建設無疑是一個復雜的系統工程。網路的規劃、設計、硬體建設、軟體建設以及網路的使用、擴充等均以系統的眼光來看等。任何一項工作都從全局、長遠的角度出發,體現整體最優性。
2、先進性、實用性。
校園網規劃、設計盡可能地採用先進技術,同時也要兼顧技術的成熟性和實用性。計算機網路技術的發展一日千里,不考慮技術的先進性,無疑會形成建成不久即面臨淘汰的局面。而一味追求先進,不考慮技術的成熟性,將存在巨大的風險。因為先進性是以大量的資金投入為代價的。另一方面,一味追求先進,以至脫離自己的實際需求,也是沒有實際意義的。
3、開放性、發展性。
系統的規劃、設計應採用開放技術、開放結構、開放系統組件和開放用戶介面,有良好的兼容性,以利於網路的維護、擴展、升級及與外界的溝通。既要滿足現在和未來五年的用戶需求,又要考慮將來向更為先進的技術實現低成本平滑地升級過渡。
4、安全性。
系統具有多層次的安全控制手段,完善的安全管理體系,防止受到黑客攻擊和破壞。
5、易用性、可靠性。
系統要求設計簡單,層次清晰,軟、硬體設備性能優良,功能完善,運行穩定、可靠,易於維護。
6、經濟性。
系統設計和資金投向合理,體現良好的性能價格比。力爭少花錢,多辦事。
7、統一規劃,分步實施。
學校經費十分有限,一次性拿出大筆資金使網路建設一步到位是不 現實的,也沒有這個必要。因為網路建設本身不僅是硬體建設,更重要的是軟體建設和實際應用,而軟體建設和實際應用需要逐步地依據需求的增長來完成。另一方面,整個網路系統也必須隨著網路技術的發展不斷地擴展和升級,需要連續的資金投入。但有些關鍵性的基礎設施必須一步到位,如綜合布線系統、主要網路設備、伺服器及操作系統軟體等。
三:方案
校園網網路主要包括校園辦公系統、校園內部主頁、內部電子郵件、多媒體教室、電子圖書館系統、內部信息服務系統等;
1、概述
上圖是聯想校園網的拓撲圖,在系統中,整個網路由網路中心、辦公子網、多媒體教室、圖書館子網等組成,其中網路中心是整個網路的主幹系統,是網路的總節點,其餘各子網是功能子網,建立相應的網路環境,適應多種應用。
網路中心構成總節點,各個子網的中心作為二級節點。網路中心使用聯想智能型模塊化交換機,為了滿足高速度、高性能的要求,二級節點採用交換結構,二級交換機再連接到下級交換機或集線器,子網中的工作站、伺服器就連接到這些交換機或集線器上。
2、網路中心
網路中心形成了主幹網,是整個校園網的總節點,並提供連接廣域網和撥入服務。(實現校-校通的功能)在主幹網系統採用乙太網結構。
採用這一方式有如下幾個主要優點:
•千兆交換式乙太網可以為每個埠提供IG的帶寬,完全可以滿足用戶對速度的需要;
•經濟使用,具有較高的性價比;
•千兆乙太網已經獲得廣泛支持;
•從現有的傳統乙太網可以平滑地過渡到千兆乙太網,不需要掌握新的配置、管理等技術;
•千兆乙太網技術具有良好的互操作性,並具有向後兼容性。
在方案中,中心機房放置著中心交換機、伺服器群、路由器、機架MODEM等網路設備,這些設備以中心交換機作為中心,以星形拓樸結構通過雙絞電纜線連接在一起。網路中心與子網的連接,是通過根據與子網的距離,通過光纖和雙絞電纜線將中心交換機和子網的交換機或集線器連接起來。
3、外部連接介面
整個校園網與外部的連接介面可以分成兩個:
•一個是連接到廣域網Internet(國際互連網)。
•一個是作為服務中心,接收外部用戶通過撥號接入校園網(實現校-校通)。
在連接到廣域網時,可以採用聯想路由器,聯想路由器具有一到兩個廣域網介面、一個區域網介面、一具備份口、一個控制口,可以PPP、幀中繼、X25、HCLC、撥號等協議。廣域網介面可以使用DDN或幀中繼連接到廣域網,備份介面可以作為備份線路,當專線出現故障時,可以使用ISDN/MODEM撥號連接到廣域網。備份介面也可以直接撥號連接到廣域網,作為連接廣域網的基本埠。
為了將校園網給遠程用戶,例如學生、教師在家裡訪問校園網,網路中心必須提供遠程撥號服務。在這個服務中,可以使用聯想遠程訪問路由器或者336NMS機架MODEM。聯想路由器具有8個非同步埠,可以連接多達8個ISDN或MODEM作為應答設備,遠程用戶通過MODEM/ISDN撥號連接這些設備,就可以登錄、進入校園網。336NMS機架MODEM提供多達16路撥入埠,可以同時接收16個遠程用戶的撥號接入,與伺服器配合提供遠程撥號服務。
4、辦公子網
學校管理機構作為學校的中樞管理系統,協調、組織整個學校工作的正常運行,為了能適應管理機構的功能,辦公子網需要針對用戶的許可權,完成數據生成、修改、查詢,進行辦公自動化、人員資料管理、課程管理等方面的工作。
辦公子網與網路中心的信息通信比較多、每天要訪問大量的數據,還有音頻、視頻等方面的需求,可以採用聯想帶一個千兆光纖模塊的交換機,在有網路中心的中心交換機通信時有IG的帶寬,足以適應各種場合的應用。
聯想集線器可以進行堆疊,增加用戶數目,還可以使用光纖模塊,適合用在距離子網中心比較遠、需要使用光纖的科室。每個堆疊後的集線器構成子系統的節點,連接各PC、終端設備等,子系統內的設備可以直接進行通信,與其他部門的聯系需要通過二級交換機。
5、多媒體教學子網
在多媒體教學活動中,需要有大量的視頻、音頻數據進行傳輸,而基於共享工作方式的集線器,其有限帶寬、廣播式工作模式不利於這些信號的傳輸。所以推薦採用交換機用為主要設備,只有在個別用戶數目比較少、對信號質量要求不高時,採用集線器。
多媒體教室與網路中心的數據通信一般不多,但距離比較遠,可以根據教室的多少,增加二級交換機,各個教室採用埠數比較多的交換機。
6、圖書館子網
圖書館子網主要功能是在圖書館范圍內進行計算機文獻檢索、電子閱讀、計算機借還系統以及在校園網上進行文獻檢索等。由於圖書、文獻等多以文本的形式出現,數據量不大,可以採用集線器作為節點。
圖書館子網中需要存儲大量數據,所以要設置專用的資料庫伺服器作為數據存儲、管理系統,數據存放在光碟塔、硬碟陣列等系統中,支持圖書館子網和校園網用戶的訪問和查詢。圖書館子網與網路中心採用100M帶寬的交換機。
四:設備選擇
綜合布線系統:選擇AVAYA品牌,非屏蔽產品。超五類雙絞線、室外六芯多模光纖、高帶寬、穩定、擴展性好。優秀的傳輸性能指標,以及非常少的誤碼率,非常好的性價比。
計算機網路系統:選擇國產港灣網路產品產品,具有業界領先的、卓越的產品性能。
公共廣播系統:選用我公司專門為學校用戶設計的中央控制主機,系統價格和性能適合本工程應用。其中背景音響系統部分裝置可以和消防報警系統合用,消防報警可以強切廣播。
安防監控系統:選用杭州錫安數碼科技有限公司開發的數碼影像網路監視系統。
有線電視接收系統:衛星前端設備選擇美國PBI的先進產品和高性價比的國產工業級產品,具備很好的穩定性。對於閉路電視雙向控制系統,我們建議採用更先進的、性價比更高的基於IP網路技術的Cisco IP/TV來代替原先傳統的主控器/分控器模式。
大屏顯示系統: 在不同的區域選擇不同規格的LED雙基色大屏系統。
有些沒的自己加下。。。。。。
3. 求解決校園網路布局建設方案
雙絞線的傳輸距離是100米
有一個路由器就可以實現上網(根據用戶數量,選擇合適的路由器)
每個樓均需要交換機
路由器後面接交換機,後面接每棟樓的交換機,後面接電腦
交換機的數量根據用戶數量來決定
4. 校園網解決方案
教育型區域網系統組建方案
摘要:本文主要介紹校園機房系統組建步驟及組建過程中的注意事項。最終通過網路應用軟體的設置,使客戶端計算機和遠程伺服器相互配合,盡可能地滿足教育的需求。
一、模本系統製作
模本系統是機房系統的根本,它的好壞直接影響整個機房的服務運行。所以製作模本系統除了要求製作者具備良好的技術、優秀的軟體,還需要有安裝完美系統的信念。
模本系統製作過程中的注意點:(以Windows XP為例)
1.格式化 為了保證集群系統克隆後的穩定性,在安裝系統前格式化驅動器命令切忌使用format c:/q;
2.升級補丁 系統完成安裝後首先有選擇地更新當前系統補丁,但是關鍵補丁一定要全部升級;
3.驅動 為了避免集群系統克隆後有部分計算機跳出「新硬體安裝向導」,所以在安裝驅動之前,需要將某些計算機特有的硬體轉移到模本計算機當中,例如USB鍵盤、攝象頭等等;
4.軟體認證 在安裝認證系統比較復雜的軟體後,不要急於對其進行認證。建議將其認證工具放到系統桌面或相關開始菜單。否則集群系統克隆後,這些軟體會因為硬體系統的稍變而再次提示認證;
5.許可權設置 組策略和注冊表設置過程中, 管理員應該准確記住它們之間鎖與被鎖的順序,並於設置之後利用管理軟體的客戶端設置許可權禁用。也就是說,在不拋棄管理員許可權的同時還要保證其安全性。而這個許可權禁用的解除方法,只有管理員具有;
6.網路設置 填寫IP後,設置網路共享的同時切記添加IPX協議;`
7.系統優化及美化 開機速度優化、進程優化、服務優化、內存優化、功能優化、界面美化、添加OEM信息。最後清理系統臨時文件和cookies,即執行以下批處理命令:
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
del /f /q %userprofile%\recent\*.*
del /f /q %userprofile%\cookies\*.*
8.BIOS設置及優化 為計算機系統安全,切記關閉光碟機啟動和從其他設備啟動,最後設置BIOS Admin密碼並對BIOS進行優化。
二、集群系統克隆(以還原卡小哨兵為例)
系統克隆需要注意以下幾點:
1.軟體頻道 小哨兵軟體安裝需要指定伺服器與客戶端連接頻道,軟體頻道近似密碼,管理員應該妥善保管和使用;
2.IP策略(假設為60台計算機)
網關:192.168.18.1(不可自主設置)
網關:192.168.18.250(可自主設置)
計算機名稱: IP: # 計算機名稱: IP: #
001
002
003
004
……
059
060 192.168.18.61(需重設)
192.168.18.2
192.168.18.3
192.168.18.4
……
192.168.18.59
192.168.18.60 001
002
003
004
……
059
060 192.168.18.1
192.168.18.2
192.168.18.3
192.168.18.4
……
192.168.18.59
192.168.18.60
這樣做保證了絕大多數計算機名稱和IP地址一致,不僅便於集群管理(例如遠程開機),還大大減輕終端路由負擔,因為計算機無需路由DHCP分配IP、無需路由MAC地址綁定IP。所以在集群系統克隆時,小哨兵網路拷貝發送端的設置就無需使用DHCP了;
3.硬體連接 為防止克隆完成後系統IP始終無法獲取綁定等情況發生,請將網卡安裝在與模本系統計算機網卡相同位置的PCI插槽。也就是說,計算機硬體與硬體的連接必須遵循模本系統計算機硬體的連接方法,否則還可能出現USB鍵鼠不能正常使用等等情況;
4.IP間斷 如果需要在克隆過程中需要跳過某個IP或微量IP段,可以使用小哨兵網卡MAC地址登陸網路拷貝發送端,待計算機名稱和IP生成後,強行將其斷電。
三,伺服器構建
1.硬體要求 因伺服器的網路數據吞吐量大且頻繁,所以伺服器除了CPU、內存、硬碟的性能要要比一般客戶端計算機卓越,還要配備專業網卡。一般網卡在使用中可能出現數據傳輸延緩或中斷,嚴重的還會導致伺服器死機;
2.FTP FTP作為伺服器的基本服務,其搭建需要考慮文件夾目錄,及每個目錄的讀寫許可權;
3.VOD 搭建VOD伺服器要考慮用戶的點擊率,對於點擊率高的媒體文件建議將其多復制幾份並發放地址,否則多個訪問同時集中在一個媒體文件上時,將出現特別嚴重的訪問延時;
4.殺毒軟體及防火牆 有條件使用網路版殺毒軟體和防火牆不需要設置病毒庫更新,使用單機版的殺毒軟體和防火牆應該及時更新病毒庫;
5.鏈接服務 對於考務、競答、在線書庫、網路檢索以及其他伺服器提供的一切有鏈接地址的服務,頻繁使用的鏈接可以做成快捷方式放在客戶端的桌面,對於偶爾使用的鏈接可以使用數據同步的方法,將新鏈接地址的快捷方式發送到客戶端的桌面。
四,數據同步更新(腳本同步)
同步腳本包含兩個文件:同步文件、 配製文件
在同步的過程中,同步腳本會對本地目錄與遠程目錄下的文件屬性進行比較,對於文件中任何一個有差別的屬性,該文件將被替換。即本地目錄下文件的MD5值①若與遠程目錄下的文件MD5值不一樣, 本地目錄下的異常文件將在同步過程中被替換。對於本地目錄下MD5值相同的文件,同步過程不會對本地目錄下已經有的文件進行任何操作。所以同步過程可以節省大量的文件復制時間
將同步腳本作為客戶端的啟動項目,而同步腳本的目錄指向為伺服器當中的的一個共享文件目錄,這樣就可以使客戶端計算機在啟動的時候就具有伺服器共享文件目錄下的文件。
五,集群監控
管理軟體客戶端與P2P②網路控制軟體配合控制,不僅可以使客戶端計算機不能運行指定程序,還可以對客戶端的網路訪問和網路下載進行限制。而這些控制既可以針對性的控制某個計算機,也可以批量控制多個計算機。
利用管理軟體客戶端不僅可以對用戶進行進程監視、屏幕監視、遠程關機等等操作,甚至可以實現遠程開機。
P2P技術可以使網路用戶不受任何限制地交換文件和意見,這是對傳統大眾傳播方式的一種叛變。從用戶的角度來說,這是一個非常優秀的網路傳輸技術,但是它如果出現在一個網路帶寬相對狹窄的區域網下,它的使用勢必對其他用戶造成威脅,所以使用一款P2P控制軟體就顯得異常緊迫。目前流行的下載工具、網路電視等等軟體基本都支持P2P協議,P2P控制可以把這些軟體的網路數據訪問限制在一個穩定的數據值內,這樣也緩解了其他用戶訪問網路數據難的矛盾。
六,升級與維護
升級與維護不同於前期系統模本製作和集群克隆,這是一個漫長的臨床實驗期。伴隨計算機使用過程中暴露出來的問題一個接一個的解決以及計算機軟體和硬體的不斷更新升級,區域網系統組建方案的變更必將促使更加完備、更加人性化的方案得以實施。但是新技術必將帶來新的問題,我們不斷的追求它有益的一面更鋒利,同時也在不斷的努力使它不利的一面朝著相反的方向轉化。科學技術永遠是一把雙刃劍。
① MD5值
MD5的全稱是Message-Digest Algorithm 5,在90年代初由MIT的計算機科學實驗室和RSA Data Security Inc發明,經MD2、MD3和MD4發展而來。
Message-Digest泛指位元組串(Message)的Hash變換,就是把一個任意長度的位元組串變換成一定長的大整數。請注意這里使用了「位元組串」而不是「字元串」這個詞,是因為這種變換只與位元組的值有關,與字元集或編碼方式無關。
MD5將任意長度的「位元組串」變換成一個128bit的大整數,並且它是一個不可逆的字元串變換演算法,換句話說就是,即使你看到源程序和演算法描述,也無法將一個MD5的值變換回原始的字元串,從數學原理上說,是因為原始的字元串有無窮多個,這有點象不存在反函數的數學函數。
MD5的典型應用是對一段Message(位元組串)產生fingerprint(指紋),以防止被「篡改」。舉個例子,你將一段話寫在一個叫 readme.txt文件中,並對這個readme.txt產生一個MD5的值並記錄在案,然後你可以傳播這個文件給別人,別人如果修改了文件中的任何內容,你對這個文件重新計算MD5時就會發現(兩個MD5值不相同)。如果再有一個第三方的認證機構,用MD5還可以防止文件作者的「抵賴」,這就是所謂的數字簽名應用。
② P2P
P2P就是英文Peer to Peer的意思,中文叫"端到端"技術。應用該技術,個人電腦無須通過伺服器就可以實現互相訪問、交換文件資料等。聯網計算機之間沒有主次之分,各自具有獨立的網路自主權,因此也稱之為"對等式網路連接協議"。
5. 校園網的解決方案
中小型校園網路結構相對比較簡單、用戶數量從幾百到幾千、網路的通信系統以內網交換和Internet連接為主。對於這種網路,即要充分考慮網路建設成本,還要考慮網路的擴展性和網路的安全性。網路針對中小型校園網提出了如圖2所示的解決方案。
在網路中心機房採用S4603或S3552,完成所有用戶流量匯聚和數據轉發。用戶接入層採用M8000和S2000M/ S2205A組網,通過ESR環網可以把地理位置相對比較集中,用戶接入量比較多的接入點如教學區、實驗樓、行政樓組成一個環網。其它比較分散的節點通過光纖組成星型網路。S4603路由交換機在校園網核心層完成部分校園網內部Intranet訪問和Internet訪問路由轉發、NAT地址轉換和用戶認證,以及外部用戶訪問校園網內部資源的路由轉發。如果網路中數據流量比較大,接入用戶比較多時,可以在核心設備S4603/ S3552下面通過S3101或S3528進行連接。用戶的大量流量先匯聚到S3101/S3528上進行處理,然後需要上傳的流量才轉發到核心S4603/S3552上,通過兩級處理有效的分擔核心層設備的流量,避免所有用戶的流量都經過核心層,減輕核心層設備的工作壓力,提高網路的工作效率和性能。
本校園網解決方案中採用了網路最先進的萬兆核心路由交換設備和ESR環網技術,為各種校園網路提供了強大的業務支持能力和可靠的網路保障。本方案具有以下顯著的特點:
1、智能業務感知和流量控制網路多業務分組平台和二三層交換機提供強大的業務感知和流量控制能力,能夠實時收集網路流量和應用數據吞吐量等准確信息,並提供使用情況報告,從而了解學生上網的情況,並基於此對於相關上網應用進行有效控制。通過業務感知和控制功能,可主動實現對學生分配寬頻線路的策略,專門限制某些流量的吞吐量,或者使用整形技術將其移動到高峰以外的時間處理,以提高高峰期的性能,防止網路瓶頸,提高網路利用率和可靠性。如跟蹤用戶數據,並按照使用的協議和處理的應用進行分類控制。2、學生上網認證和計費網路接入層交換機支持IEEE802.1X認證,通過IEEE802.1X認證可以對學生上網進行控制,避免非法用戶接入。同時S4603和E300/E600支持Radius計費功能,能基於流量和時長對學生上網進行計費。3、完善的網路病毒及網路攻擊防範策略由於校園網是一個比較復雜的獨特的網路,內外網用戶數量繁多、各種網路應用頻繁發生,各種網路病毒和網路攻擊時時刻刻都可能發生。針對此類情況,烽火網路從核心層到接入層實施各種防範措施。核心層E600主控制卡RPM提供流量控制、速率限制和包過濾功能,具有超強控制能力,可以過濾各種網路病毒、非法包和網路攻擊。三層交換機能自動的抑制網路中的廣播風暴;抗擊TCP、UDP、ICMP等類型的DOS攻擊;自動防止埠掃描;過濾沖擊波、震盪波等致命的網路病毒。M8000和S2000M可通過分析網路流量、自動過濾非法數據,使得設備對大量掃描予以防護和拒絕。通過對網路流量的檢查、管理和監控,有效管理網路安全,使整個網路擁有「自動免疫」的安全機能。烽火網路交換機和核心路由器還支持用戶帳號、IP地址、MAC地址、接入埠等多元素進行靈活綁定,可限制接入用戶接入的上下行速率和網路鏈接等,對用戶訪問進行的最大程度的嚴格控制。4、高智能,多業務接入的網路網路多業務分組平台可承載數據、TDM和視頻業務的高可靠性傳輸。採用M8000可以實現校園網內部電話的連接,無需再鋪設電話線;充分保護了網路資源和節約投資費用。同時烽火網路交換機支持IGMPv3,支持的組播條數可達500條,完全滿足校園網今後對流媒體業務點播的需求。5、高性能、高可靠、高可擴展的網路核心設備E600提供了900Gbps無阻塞交換能力,在一個機框內它可以提供168個線速千兆介面或14個線速萬兆介面。保障了網路的高性能和擴展性。所有關鍵部件(交換模塊、路由模塊,電源模塊)做了冗餘設計,支持在線熱插拔,可以從性能、可靠性等方面為大型校園網提供了強有力的保障。6、ESR接入環網在校園網解決方案用戶接入層採用基於ITU-T X.87標準的ESR技術組成環網結構,可實現50毫秒保護倒換,很好解決了環網廣播風暴抑制和鏈路或設備故障快速倒換。同時環網還可以節約光纖資源,避免了星型光纖直驅方式下的大量光纖資源消耗。7、方便易行的網路管理網路所有IP數據設備支持多種方式網路管理功能,可通過Web瀏覽器、Telnet、SNMP、RMON等方式有效地對網路設備進行管理和配置。通過烽火網路WView網管平台可以對全網設備實現配置管理、故障管理、安全管理、性能管理等功能。通過網管系統可以實現遠程線路故障診斷定位(精度1米),為龐大的校園網網管工作人員網路故障排除節約大量時間; 烽火網路二三層交換機還支持統一集群網管,一個IP地址可對500台交換機統一管理,為校園網節約寶貴的IP資源。
