校园网络解决方案
1. 校园网络设计方案
目录
2
1
绪论
3
2
安阳实验中学校园网需求分析版
4
2.1
环境分析
4
2.2
业务需求分析
4
2.3
网络安全分析
5
2.4
网络增长预权测
5
2.5
管理需求分析
5
3
建设方案
6
3.1
校园网拓扑结构
6
3.2
校园网综合布系统
7
3.3
VLAN、IP规划
13
3.4
VPN接入
14
3.5
校园网风险和解决方案
16
3.4
方案特点概述
17
4
主要设备选型
18
4.1
核心交换机选型
18
4.2
汇聚层交换机选型
20
4.3
边缘交换机选型
22
4.4
路由器选型
24
4.5
火墙选型
25
4.6
服务器选型
25
4.7
网管软件选型
26
5
总结
28
参考文献
29
致谢
30
2. 校园网的实施方案
前言:
近年来,随着网络技术、INTERNET的发展和CERNET(中国教育科研网)的迅速壮大,全国已有四百多所高校建成校园网并接入CERNET。校园网的建设已成为高校实力与发展水平的标志。我院办学的规模、层次正在迅速地扩大和提高,建设一个先进、实用的校园网,实现校内外信息的快速传递,使教学、科研、管理步入信息化、网络化,从而提高办学水平和办学效益已成为必然选择。为此,学院决定投资建设校园网。
一:设计分析
二:设计原则
1、系统性。
校园网是一个复杂的系统,校园网建设无疑是一个复杂的系统工程。网络的规划、设计、硬件建设、软件建设以及网络的使用、扩充等均以系统的眼光来看等。任何一项工作都从全局、长远的角度出发,体现整体最优性。
2、先进性、实用性。
校园网规划、设计尽可能地采用先进技术,同时也要兼顾技术的成熟性和实用性。计算机网络技术的发展一日千里,不考虑技术的先进性,无疑会形成建成不久即面临淘汰的局面。而一味追求先进,不考虑技术的成熟性,将存在巨大的风险。因为先进性是以大量的资金投入为代价的。另一方面,一味追求先进,以至脱离自己的实际需求,也是没有实际意义的。
3、开放性、发展性。
系统的规划、设计应采用开放技术、开放结构、开放系统组件和开放用户接口,有良好的兼容性,以利于网络的维护、扩展、升级及与外界的沟通。既要满足现在和未来五年的用户需求,又要考虑将来向更为先进的技术实现低成本平滑地升级过渡。
4、安全性。
系统具有多层次的安全控制手段,完善的安全管理体系,防止受到黑客攻击和破坏。
5、易用性、可靠性。
系统要求设计简单,层次清晰,软、硬件设备性能优良,功能完善,运行稳定、可靠,易于维护。
6、经济性。
系统设计和资金投向合理,体现良好的性能价格比。力争少花钱,多办事。
7、统一规划,分步实施。
学校经费十分有限,一次性拿出大笔资金使网络建设一步到位是不 现实的,也没有这个必要。因为网络建设本身不仅是硬件建设,更重要的是软件建设和实际应用,而软件建设和实际应用需要逐步地依据需求的增长来完成。另一方面,整个网络系统也必须随着网络技术的发展不断地扩展和升级,需要连续的资金投入。但有些关键性的基础设施必须一步到位,如综合布线系统、主要网络设备、服务器及操作系统软件等。
三:方案
校园网网络主要包括校园办公系统、校园内部主页、内部电子邮件、多媒体教室、电子图书馆系统、内部信息服务系统等;
1、概述
上图是联想校园网的拓扑图,在系统中,整个网络由网络中心、办公子网、多媒体教室、图书馆子网等组成,其中网络中心是整个网络的主干系统,是网络的总节点,其余各子网是功能子网,建立相应的网络环境,适应多种应用。
网络中心构成总节点,各个子网的中心作为二级节点。网络中心使用联想智能型模块化交换机,为了满足高速度、高性能的要求,二级节点采用交换结构,二级交换机再连接到下级交换机或集线器,子网中的工作站、服务器就连接到这些交换机或集线器上。
2、网络中心
网络中心形成了主干网,是整个校园网的总节点,并提供连接广域网和拨入服务。(实现校-校通的功能)在主干网系统采用以太网结构。
采用这一方式有如下几个主要优点:
•千兆交换式以太网可以为每个端口提供IG的带宽,完全可以满足用户对速度的需要;
•经济使用,具有较高的性价比;
•千兆以太网已经获得广泛支持;
•从现有的传统以太网可以平滑地过渡到千兆以太网,不需要掌握新的配置、管理等技术;
•千兆以太网技术具有良好的互操作性,并具有向后兼容性。
在方案中,中心机房放置着中心交换机、服务器群、路由器、机架MODEM等网络设备,这些设备以中心交换机作为中心,以星形拓朴结构通过双绞电缆线连接在一起。网络中心与子网的连接,是通过根据与子网的距离,通过光纤和双绞电缆线将中心交换机和子网的交换机或集线器连接起来。
3、外部连接接口
整个校园网与外部的连接接口可以分成两个:
•一个是连接到广域网Internet(国际互连网)。
•一个是作为服务中心,接收外部用户通过拨号接入校园网(实现校-校通)。
在连接到广域网时,可以采用联想路由器,联想路由器具有一到两个广域网接口、一个局域网接口、一具备份口、一个控制口,可以PPP、帧中继、X25、HCLC、拨号等协议。广域网接口可以使用DDN或帧中继连接到广域网,备份接口可以作为备份线路,当专线出现故障时,可以使用ISDN/MODEM拨号连接到广域网。备份接口也可以直接拨号连接到广域网,作为连接广域网的基本端口。
为了将校园网给远程用户,例如学生、教师在家里访问校园网,网络中心必须提供远程拨号服务。在这个服务中,可以使用联想远程访问路由器或者336NMS机架MODEM。联想路由器具有8个异步端口,可以连接多达8个ISDN或MODEM作为应答设备,远程用户通过MODEM/ISDN拨号连接这些设备,就可以登录、进入校园网。336NMS机架MODEM提供多达16路拨入端口,可以同时接收16个远程用户的拨号接入,与服务器配合提供远程拨号服务。
4、办公子网
学校管理机构作为学校的中枢管理系统,协调、组织整个学校工作的正常运行,为了能适应管理机构的功能,办公子网需要针对用户的权限,完成数据生成、修改、查询,进行办公自动化、人员资料管理、课程管理等方面的工作。
办公子网与网络中心的信息通信比较多、每天要访问大量的数据,还有音频、视频等方面的需求,可以采用联想带一个千兆光纤模块的交换机,在有网络中心的中心交换机通信时有IG的带宽,足以适应各种场合的应用。
联想集线器可以进行堆叠,增加用户数目,还可以使用光纤模块,适合用在距离子网中心比较远、需要使用光纤的科室。每个堆叠后的集线器构成子系统的节点,连接各PC、终端设备等,子系统内的设备可以直接进行通信,与其他部门的联系需要通过二级交换机。
5、多媒体教学子网
在多媒体教学活动中,需要有大量的视频、音频数据进行传输,而基于共享工作方式的集线器,其有限带宽、广播式工作模式不利于这些信号的传输。所以推荐采用交换机用为主要设备,只有在个别用户数目比较少、对信号质量要求不高时,采用集线器。
多媒体教室与网络中心的数据通信一般不多,但距离比较远,可以根据教室的多少,增加二级交换机,各个教室采用端口数比较多的交换机。
6、图书馆子网
图书馆子网主要功能是在图书馆范围内进行计算机文献检索、电子阅读、计算机借还系统以及在校园网上进行文献检索等。由于图书、文献等多以文本的形式出现,数据量不大,可以采用集线器作为节点。
图书馆子网中需要存储大量数据,所以要设置专用的数据库服务器作为数据存储、管理系统,数据存放在光盘塔、硬盘阵列等系统中,支持图书馆子网和校园网用户的访问和查询。图书馆子网与网络中心采用100M带宽的交换机。
四:设备选择
综合布线系统:选择AVAYA品牌,非屏蔽产品。超五类双绞线、室外六芯多模光纤、高带宽、稳定、扩展性好。优秀的传输性能指标,以及非常少的误码率,非常好的性价比。
计算机网络系统:选择国产港湾网络产品产品,具有业界领先的、卓越的产品性能。
公共广播系统:选用我公司专门为学校用户设计的中央控制主机,系统价格和性能适合本工程应用。其中背景音响系统部分装置可以和消防报警系统合用,消防报警可以强切广播。
安防监控系统:选用杭州锡安数码科技有限公司开发的数码影像网络监视系统。
有线电视接收系统:卫星前端设备选择美国PBI的先进产品和高性价比的国产工业级产品,具备很好的稳定性。对于闭路电视双向控制系统,我们建议采用更先进的、性价比更高的基于IP网络技术的Cisco IP/TV来代替原先传统的主控器/分控器模式。
大屏显示系统: 在不同的区域选择不同规格的LED双基色大屏系统。
有些没的自己加下。。。。。。
3. 求解决校园网络布局建设方案
双绞线的传输距离是100米
有一个路由器就可以实现上网(根据用户数量,选择合适的路由器)
每个楼均需要交换机
路由器后面接交换机,后面接每栋楼的交换机,后面接电脑
交换机的数量根据用户数量来决定
4. 校园网解决方案
教育型局域网系统组建方案
摘要:本文主要介绍校园机房系统组建步骤及组建过程中的注意事项。最终通过网络应用软件的设置,使客户端计算机和远程服务器相互配合,尽可能地满足教育的需求。
一、模本系统制作
模本系统是机房系统的根本,它的好坏直接影响整个机房的服务运行。所以制作模本系统除了要求制作者具备良好的技术、优秀的软件,还需要有安装完美系统的信念。
模本系统制作过程中的注意点:(以Windows XP为例)
1.格式化 为了保证集群系统克隆后的稳定性,在安装系统前格式化驱动器命令切忌使用format c:/q;
2.升级补丁 系统完成安装后首先有选择地更新当前系统补丁,但是关键补丁一定要全部升级;
3.驱动 为了避免集群系统克隆后有部分计算机跳出“新硬件安装向导”,所以在安装驱动之前,需要将某些计算机特有的硬件转移到模本计算机当中,例如USB键盘、摄象头等等;
4.软件认证 在安装认证系统比较复杂的软件后,不要急于对其进行认证。建议将其认证工具放到系统桌面或相关开始菜单。否则集群系统克隆后,这些软件会因为硬件系统的稍变而再次提示认证;
5.权限设置 组策略和注册表设置过程中, 管理员应该准确记住它们之间锁与被锁的顺序,并于设置之后利用管理软件的客户端设置权限禁用。也就是说,在不抛弃管理员权限的同时还要保证其安全性。而这个权限禁用的解除方法,只有管理员具有;
6.网络设置 填写IP后,设置网络共享的同时切记添加IPX协议;`
7.系统优化及美化 开机速度优化、进程优化、服务优化、内存优化、功能优化、界面美化、添加OEM信息。最后清理系统临时文件和cookies,即执行以下批处理命令:
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
del /f /q %userprofile%\recent\*.*
del /f /q %userprofile%\cookies\*.*
8.BIOS设置及优化 为计算机系统安全,切记关闭光驱启动和从其他设备启动,最后设置BIOS Admin密码并对BIOS进行优化。
二、集群系统克隆(以还原卡小哨兵为例)
系统克隆需要注意以下几点:
1.软件频道 小哨兵软件安装需要指定服务器与客户端连接频道,软件频道近似密码,管理员应该妥善保管和使用;
2.IP策略(假设为60台计算机)
网关:192.168.18.1(不可自主设置)
网关:192.168.18.250(可自主设置)
计算机名称: IP: # 计算机名称: IP: #
001
002
003
004
……
059
060 192.168.18.61(需重设)
192.168.18.2
192.168.18.3
192.168.18.4
……
192.168.18.59
192.168.18.60 001
002
003
004
……
059
060 192.168.18.1
192.168.18.2
192.168.18.3
192.168.18.4
……
192.168.18.59
192.168.18.60
这样做保证了绝大多数计算机名称和IP地址一致,不仅便于集群管理(例如远程开机),还大大减轻终端路由负担,因为计算机无需路由DHCP分配IP、无需路由MAC地址绑定IP。所以在集群系统克隆时,小哨兵网络拷贝发送端的设置就无需使用DHCP了;
3.硬件连接 为防止克隆完成后系统IP始终无法获取绑定等情况发生,请将网卡安装在与模本系统计算机网卡相同位置的PCI插槽。也就是说,计算机硬件与硬件的连接必须遵循模本系统计算机硬件的连接方法,否则还可能出现USB键鼠不能正常使用等等情况;
4.IP间断 如果需要在克隆过程中需要跳过某个IP或微量IP段,可以使用小哨兵网卡MAC地址登陆网络拷贝发送端,待计算机名称和IP生成后,强行将其断电。
三,服务器构建
1.硬件要求 因服务器的网络数据吞吐量大且频繁,所以服务器除了CPU、内存、硬盘的性能要要比一般客户端计算机卓越,还要配备专业网卡。一般网卡在使用中可能出现数据传输延缓或中断,严重的还会导致服务器死机;
2.FTP FTP作为服务器的基本服务,其搭建需要考虑文件夹目录,及每个目录的读写权限;
3.VOD 搭建VOD服务器要考虑用户的点击率,对于点击率高的媒体文件建议将其多复制几份并发放地址,否则多个访问同时集中在一个媒体文件上时,将出现特别严重的访问延时;
4.杀毒软件及防火墙 有条件使用网络版杀毒软件和防火墙不需要设置病毒库更新,使用单机版的杀毒软件和防火墙应该及时更新病毒库;
5.链接服务 对于考务、竞答、在线书库、网络检索以及其他服务器提供的一切有链接地址的服务,频繁使用的链接可以做成快捷方式放在客户端的桌面,对于偶尔使用的链接可以使用数据同步的方法,将新链接地址的快捷方式发送到客户端的桌面。
四,数据同步更新(脚本同步)
同步脚本包含两个文件:同步文件、 配制文件
在同步的过程中,同步脚本会对本地目录与远程目录下的文件属性进行比较,对于文件中任何一个有差别的属性,该文件将被替换。即本地目录下文件的MD5值①若与远程目录下的文件MD5值不一样, 本地目录下的异常文件将在同步过程中被替换。对于本地目录下MD5值相同的文件,同步过程不会对本地目录下已经有的文件进行任何操作。所以同步过程可以节省大量的文件复制时间
将同步脚本作为客户端的启动项目,而同步脚本的目录指向为服务器当中的的一个共享文件目录,这样就可以使客户端计算机在启动的时候就具有服务器共享文件目录下的文件。
五,集群监控
管理软件客户端与P2P②网络控制软件配合控制,不仅可以使客户端计算机不能运行指定程序,还可以对客户端的网络访问和网络下载进行限制。而这些控制既可以针对性的控制某个计算机,也可以批量控制多个计算机。
利用管理软件客户端不仅可以对用户进行进程监视、屏幕监视、远程关机等等操作,甚至可以实现远程开机。
P2P技术可以使网络用户不受任何限制地交换文件和意见,这是对传统大众传播方式的一种叛变。从用户的角度来说,这是一个非常优秀的网络传输技术,但是它如果出现在一个网络带宽相对狭窄的局域网下,它的使用势必对其他用户造成威胁,所以使用一款P2P控制软件就显得异常紧迫。目前流行的下载工具、网络电视等等软件基本都支持P2P协议,P2P控制可以把这些软件的网络数据访问限制在一个稳定的数据值内,这样也缓解了其他用户访问网络数据难的矛盾。
六,升级与维护
升级与维护不同于前期系统模本制作和集群克隆,这是一个漫长的临床实验期。伴随计算机使用过程中暴露出来的问题一个接一个的解决以及计算机软件和硬件的不断更新升级,局域网系统组建方案的变更必将促使更加完备、更加人性化的方案得以实施。但是新技术必将带来新的问题,我们不断的追求它有益的一面更锋利,同时也在不断的努力使它不利的一面朝着相反的方向转化。科学技术永远是一把双刃剑。
① MD5值
MD5的全称是Message-Digest Algorithm 5,在90年代初由MIT的计算机科学实验室和RSA Data Security Inc发明,经MD2、MD3和MD4发展而来。
Message-Digest泛指字节串(Message)的Hash变换,就是把一个任意长度的字节串变换成一定长的大整数。请注意这里使用了“字节串”而不是“字符串”这个词,是因为这种变换只与字节的值有关,与字符集或编码方式无关。
MD5将任意长度的“字节串”变换成一个128bit的大整数,并且它是一个不可逆的字符串变换算法,换句话说就是,即使你看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串,从数学原理上说,是因为原始的字符串有无穷多个,这有点象不存在反函数的数学函数。
MD5的典型应用是对一段Message(字节串)产生fingerprint(指纹),以防止被“篡改”。举个例子,你将一段话写在一个叫 readme.txt文件中,并对这个readme.txt产生一个MD5的值并记录在案,然后你可以传播这个文件给别人,别人如果修改了文件中的任何内容,你对这个文件重新计算MD5时就会发现(两个MD5值不相同)。如果再有一个第三方的认证机构,用MD5还可以防止文件作者的“抵赖”,这就是所谓的数字签名应用。
② P2P
P2P就是英文Peer to Peer的意思,中文叫"端到端"技术。应用该技术,个人电脑无须通过服务器就可以实现互相访问、交换文件资料等。联网计算机之间没有主次之分,各自具有独立的网络自主权,因此也称之为"对等式网络连接协议"。
5. 校园网的解决方案
中小型校园网络结构相对比较简单、用户数量从几百到几千、网络的通信系统以内网交换和Internet连接为主。对于这种网络,即要充分考虑网络建设成本,还要考虑网络的扩展性和网络的安全性。网络针对中小型校园网提出了如图2所示的解决方案。
在网络中心机房采用S4603或S3552,完成所有用户流量汇聚和数据转发。用户接入层采用M8000和S2000M/ S2205A组网,通过ESR环网可以把地理位置相对比较集中,用户接入量比较多的接入点如教学区、实验楼、行政楼组成一个环网。其它比较分散的节点通过光纤组成星型网络。S4603路由交换机在校园网核心层完成部分校园网内部Intranet访问和Internet访问路由转发、NAT地址转换和用户认证,以及外部用户访问校园网内部资源的路由转发。如果网络中数据流量比较大,接入用户比较多时,可以在核心设备S4603/ S3552下面通过S3101或S3528进行连接。用户的大量流量先汇聚到S3101/S3528上进行处理,然后需要上传的流量才转发到核心S4603/S3552上,通过两级处理有效的分担核心层设备的流量,避免所有用户的流量都经过核心层,减轻核心层设备的工作压力,提高网络的工作效率和性能。
本校园网解决方案中采用了网络最先进的万兆核心路由交换设备和ESR环网技术,为各种校园网络提供了强大的业务支持能力和可靠的网络保障。本方案具有以下显著的特点:
1、智能业务感知和流量控制网络多业务分组平台和二三层交换机提供强大的业务感知和流量控制能力,能够实时收集网络流量和应用数据吞吐量等准确信息,并提供使用情况报告,从而了解学生上网的情况,并基于此对于相关上网应用进行有效控制。通过业务感知和控制功能,可主动实现对学生分配宽带线路的策略,专门限制某些流量的吞吐量,或者使用整形技术将其移动到高峰以外的时间处理,以提高高峰期的性能,防止网络瓶颈,提高网络利用率和可靠性。如跟踪用户数据,并按照使用的协议和处理的应用进行分类控制。2、学生上网认证和计费网络接入层交换机支持IEEE802.1X认证,通过IEEE802.1X认证可以对学生上网进行控制,避免非法用户接入。同时S4603和E300/E600支持Radius计费功能,能基于流量和时长对学生上网进行计费。3、完善的网络病毒及网络攻击防范策略由于校园网是一个比较复杂的独特的网络,内外网用户数量繁多、各种网络应用频繁发生,各种网络病毒和网络攻击时时刻刻都可能发生。针对此类情况,烽火网络从核心层到接入层实施各种防范措施。核心层E600主控制卡RPM提供流量控制、速率限制和包过滤功能,具有超强控制能力,可以过滤各种网络病毒、非法包和网络攻击。三层交换机能自动的抑制网络中的广播风暴;抗击TCP、UDP、ICMP等类型的DOS攻击;自动防止端口扫描;过滤冲击波、震荡波等致命的网络病毒。M8000和S2000M可通过分析网络流量、自动过滤非法数据,使得设备对大量扫描予以防护和拒绝。通过对网络流量的检查、管理和监控,有效管理网络安全,使整个网络拥有“自动免疫”的安全机能。烽火网络交换机和核心路由器还支持用户帐号、IP地址、MAC地址、接入端口等多元素进行灵活绑定,可限制接入用户接入的上下行速率和网络链接等,对用户访问进行的最大程度的严格控制。4、高智能,多业务接入的网络网络多业务分组平台可承载数据、TDM和视频业务的高可靠性传输。采用M8000可以实现校园网内部电话的连接,无需再铺设电话线;充分保护了网络资源和节约投资费用。同时烽火网络交换机支持IGMPv3,支持的组播条数可达500条,完全满足校园网今后对流媒体业务点播的需求。5、高性能、高可靠、高可扩展的网络核心设备E600提供了900Gbps无阻塞交换能力,在一个机框内它可以提供168个线速千兆接口或14个线速万兆接口。保障了网络的高性能和扩展性。所有关键部件(交换模块、路由模块,电源模块)做了冗余设计,支持在线热插拔,可以从性能、可靠性等方面为大型校园网提供了强有力的保障。6、ESR接入环网在校园网解决方案用户接入层采用基于ITU-T X.87标准的ESR技术组成环网结构,可实现50毫秒保护倒换,很好解决了环网广播风暴抑制和链路或设备故障快速倒换。同时环网还可以节约光纤资源,避免了星型光纤直驱方式下的大量光纤资源消耗。7、方便易行的网络管理网络所有IP数据设备支持多种方式网络管理功能,可通过Web浏览器、Telnet、SNMP、RMON等方式有效地对网络设备进行管理和配置。通过烽火网络WView网管平台可以对全网设备实现配置管理、故障管理、安全管理、性能管理等功能。通过网管系统可以实现远程线路故障诊断定位(精度1米),为庞大的校园网网管工作人员网络故障排除节约大量时间; 烽火网络二三层交换机还支持统一集群网管,一个IP地址可对500台交换机统一管理,为校园网节约宝贵的IP资源。
