网络设计校园网设计(精选8篇)
篇1:网络设计校园网设计
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。
[关键词] 网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,行整合,建立一个完整的、立体的、解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,这样可以提高办公的效率,动办公的情况更是如此。件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光信息安全保护系统”的商品名称。紫光算协处理器(CAU)、只读存储器(储器(E2PROM)等,以及固化在tem)、硬件ID号、各种密钥和加密算法等。紫光artCOS,其安全模块可防止非法数据的侵入和数据的篡改,2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装必须结合网络的具体需求,将多种安全措施进多层次的网络安全防御体系,SS锁的内部集成了包括中央处理器(ROM),随机存储器(ROM内部的芯片操作系统这样一个全面的网络安全使用户可以方便地存取、修改、分发。造成泄密。特别是对于移防止文“紫光S锁”是清华紫光“桌面计算机CPU)、加密运RAM)、电可擦除可编程只读存COS(Chip Operating SysS锁采用了通过中国人民银行认证的Sm防止非法软件对S锁进行操作。IMSS。
保护网络安全的技术、手段也很多。一般来说,保护网络安但同时也造成用户的信息易受到攻击,因此,需要对移动用户的文件及文件夹进行本地安全管理,锁产品,(1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。(3)客户端防毒。采用趋势科技的使管理者通过单点控制所有客户机上的防毒模块,更新。其最大特点是拥有灵活的产品集中部署方式,不受支持SMS,登录域脚本,共享安装以外,还支持纯(4)集中控管TVCS。管理员可以通过此工具在整个趋势科技的防病毒软件,支持跨域和跨网段的管理,无论运行于何种平台和位置,装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。3.动态口令身份认证系统动态口令系统在国际公开的密码算法基础上,通过十次以上的非线性迭代运算,先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,访问、辨别身份伪装等方面存在着很大的缺陷,方案选用四台网御防火墙,这些重要部门的访问控制。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,保护了单位网络服务器,使其不受来自内部的攻击,来自单位网内部其他部门的网络的攻击。一方面减少了整个防毒系统对原系统的影响,另
OfficeScan。该产品作为网络版的客户端防毒系统,并可以自动对所有客户端的防毒模块进行Windows域管理模式的约束,除Web的部署方式。
企业范围内进行配置、监视和维护并能显示基于服务器的防病毒产品状态。TVCS在整个网络中总起一个单一管理控制台作用。简便的安
结合生成动态口令的特点,加以精心修改,完成时间参数与密钥充分的混合扩散。在此基础上,采用在控制不可信连接、分辨非法从而构成了对网络安全的重要隐患。本设计实现通彼此隔离。这样不仅也保护了各部门网络和数据服务器不受如果有人闯进您的一个部门,或者如果病毒开始蔓
分别配置在高性能服务器和三个重要部门的局域网出入口,延,网段能够限制造成的损坏进一步扩大。5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。SJW-22网络密码机系统组成网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。本地管理器(软件)络密码机本地管理系统软件。中心管理器(软件)机设备进行统一管理的系统软件。6.安全审计系统根据以上多层次安全防范的策略,安全网的安全建设可采取的方法,“内审息是否泄密,以解决内层安全。安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。本设计方案选用汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,人员而设计的一套网络安全产品,制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控及共享资源的使用情况。心为主机传感器设定监控规则,文件保护审计和主机信息审计。①文件保护审计::是一个安装于密码机本地管理平台上的基于网络或串口方式的网
:是一个安装于中心管理平台(忠实记录网络上发生的一切,”的安全审计系统作为安全审计工具。是一个分布在整个安全网范围内的网络安全监视监测、同时获得监控结果、Windows系统)上的对全网的密码“加密”、“外防”、“内审”相结合提供取证手段。作为网络安全十分安全审计数据生
面向企事业的网络管理控RAS连接、监控网络连接情况网络管理员通过安全监控中主要功能有
”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信安全审计自动响应、“汉邦软科安全监控中心是管理平台和监控平台,报警信息以及日志的审计。文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理
规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获户实时控制键盘截获的开始和结束。③监测监控RAS连接:在用户指定的时间段内,记录所有的时控制ass连接信息截获的开始和结束。当连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。单位内网中安全审计系统采集的数据来源于安全传感器,保证探头能够采集进出网络的所有数据。上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。内网中的安全计算机为600台,需要安装7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,实时保护,在网络系统受到危害之前拦截和响应入侵。的角度出发,入侵检测理应受到人们的高度重视,可以看出。
根据网络流量和保护数据的重要程度,选择的交换机处放置,核心交换机放置控制台,和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,他网络违规活动。8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,程较高的扫描速度的扫描,可以实现和策略。同时移动式扫描仪可以跨越网段、支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,高了工作效率。
联动扫描系统支持多线程扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Host Sensor Programgas连接非法时,系统将自动进行报警或挂断计算机,所以应在安全计算机安装主机安全监控中心安装在信息中心的一台主机600个传感器。提供了对内部攻击、从网络安全的立体纵深、这从国际入侵检测产品市场的蓬勃IDS探测器(百兆)配置在内部关键子网监控和管理所有的探测器因此提供了对内部攻击分析网络通讯会话轨迹,在内网高性能服务器处配置一台网络隐200信息点以上的多个网络进行多线IDS、防火墙联动,尤其适合于制定全网统一的安全穿透防火墙,实现分布式扫描,服务器和扫描仪都大大的减轻了工作负担,支持定时和多RAS连接信息。用户实(外部攻击和误操作的 寻找网络攻击模式和其I型联动型产品由手IP地址的自动扫描,Web,单位发展就用户的所有键盘输入,用
包括:TCP多层次防御 就可以很方便的对极大的提有较高的扫描速度,方式的远程
管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,有了更高的要求。一个特定系统的网络安全方案,系统的实际应用而做。由于各个系统的应用不同,化为一个模式,用这个模子去套所有的信息系统。本文根据网络安全系统设计的总体规划控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、防御体系。
论文参考
国家和企业都对建立一个安全的网络应建立在对网络风险分析的基础上,结合不能简单地把信息系统的网络安全方案固,从桌面系统安全、病毒防护、身份鉴别、访问立体的、多层次的网络安全
篇2:网络设计校园网设计
前言:
学校校园网建成后,将为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境,并将计算机引入教学、科研、管理和学习等各个领域。
改善学校教学科研、管理和学习环境,提高其水平。
熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段,有利于培养面向世界、面向未来的高层次人才。
一.用户需求分析
1.1 学校的背景:
大学是一所极具现代意识、以现代化教学为特色的地方。为了更好地使用电脑这一现代化的高科技产物,使其在教学、管理等方面发挥应有的作用,学校计划在校内建立校园网并与国际互连网(Internet)相连。
我们按照“统一规划、分布实施、讲究实效、安全可靠”的原则,进行大学校园网综合系统设计,以满足校园内计算机系统的需要。
1.2 系统应用分析:
1.2.1 校园网用提供功能:
连接校内所有教学楼、实验室、宿舍楼中的PC。
同时支持约600用户浏览Internet。
提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:提供基本的Internet网络服务功能:如电子邮件、对外个人主页服务、ftp服务、域名服务等。提供校内各个管理机构的办公自动化:
1.2.2校园网对主机系统的主要要求:
主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力;
主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;
支持通用大型数据库,如SQL、Oracle等;
具有广泛的软件支持,软件兼容性好,并支持多种传输协议;
能与Internet互联,可提供互联网的应用,如TL/Z.!配置全局地址池:
Router(config)#ip nat pool internet 172.16.0.0 172.16.25.255 netmask 255.255.0.0
!配置允许地址转换的内部地址范围:
Router(config)#access-list 1 permit 172.16.1.0 0.0.255.255
!配置允许地址转换的内部全局地址映射关系:
Router(config)#ip nat inside source list 1 pool internet
!配置端口E0:
Router(config)#interface FastEthernet0/0
!配置端口IP地址
Router(config-if)#ip address 172.16.1.1 255.255.0.0
!配置为内部接口
Router(config-if)#ip nat inside
!启用接口
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router(config-if)#exit
!配置端口S0
Router(config)#interface Serial2/0
!配置IP地址
Router(config-if)#ip address 123.15.36.22 255.255.0.0
!配置为外部接口
Router(config-if)#ip nat outside
!启用接口
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
将其他的PC机和服务器按照IP地址的划分分配完成。
4.4 线路选择:
主干网络使用千兆链路,连接到办公或教学楼时使用千兆链路,连接到宿舍楼使用百兆链路,连学生机使用十兆链路,教师机和教学机使用十兆链路。
4.5 网络设计总报价:
此次校园网设计总报价:
25~55万元
4.6 方案设计特点以及未来的考虑:
篇3:职业学院校园网的网络设计
1 网络现状分析
某职业学院已有部分楼宇内部单独组建了网络, 但楼宇与楼宇之间并没有相互连接。它们主要分布在办公大楼、教学楼、图书馆、实验楼电脑室。另外, 有部分楼宇需要建立网络, 它们分别是教师宿舍, 学生宿舍, 饭堂, 体育馆, 实验楼的部分实验室。此职业学院校全院的信息点大概在900个左右。
2 校园网络系统组成
校园网络系统由软件、硬件两个部分组成。
软件部分包括应用软件和系统软件。硬件部分主要由网络布线系统、网络设备、主机 (服务器) 系统以及各种外设 (UPS、投影机、打印机、磁带备份设备等) 组成。下面着重谈谈校园网络系统中网络设备的设计方案。
3 网络结构设计方案
根据这次校园网的需求分析, 网络应包括核心层、汇聚层、网络接入层三个层次, 网络设备推荐配置如下:核心层由智能万兆以太网路由交换设备组成, 汇聚层采用智能三层交换机, 接入层都使用智能快速以太网交换设备。
核心层推荐使用万兆骨干智能路由交换机来完成职业技术学院校园网的各种业务的转发及全网的路由与交换。该核心交换机应支持10G以太网和10G广域网接口, 采用分布式体系结构, 可以提供高达1.6T背板带宽、768Gbps交换容量。并可提供高密度接口板, 支持线速转发。为保证核心层的安全性、稳定性、高带宽, 建议使用2台核心层交换机来实现校园网内部的流量分摊, 设备间采用千兆以太网链路作为主用连接, 采用千兆以太网链路作为备用链接, 两台核心交换机通过千兆链路连接防火墙的千兆端口, 实现整个校园网的地址翻译、VPN、ACL等功能。
汇聚层设备推荐选择可扩千兆多层路由交换机, 在保证网络的安全性和稳定性的前提下, 可以支持将汇聚节点分别以双归属性上联到核心设备, 设备互联采用1000M以太网接口。根据地理位置和信息点密集程度, 办公大楼、教学楼、图书馆、实验楼、教师宿舍, 学生宿舍, 饭堂, 体育馆各布置一台汇聚交换机, 用于汇聚附近用户的接入。
楼宇接入设备推荐选择智能快速以太网交换机, 支持良好的带宽限速, 代理防范、广播风暴抑制等功能。本方案接入设备的布置灵活多变, 只要根据用户数量配置接入设备即可。
4 IP地址规划
根据业界目前的情况和建设网络的经验, 建议职业技术学院校园网保留类地址, 如10.0.0.0~11.255.255.255, 内部使用私网网段的IP地址, 出口利用高性能的路由器/防火墙作NAT转换。
根据网络现有结构, 设计比较适合的路由协议。能够实现优化的网络路径选择, 在网络结构发生变化时路由能够快速收敛, 保证网络的畅通。
IP地址的分配采用动态分配的方式。两种分配方案:
1) 粗线条分配法:所有的用户都从地址池里面随即动态获取IP地址;
2) 精细控制法:可以按照不同楼宇、或者不同院系学生的帐号 (通过帐号后缀来区分) 从不同的地址池里面获取IP地址。例如建议整网采用2个B类私有地址。
5 VLAN规划
5.1 VLAN的优点
校园网络不同于运营商网络, 也不同于一般企事单位的内部办公网, 而是二者的结合。可以划分为运营 (学生宿舍区) 和非运营 (办公区) 两个不同性质的网络。因此业务网及管理网通过VLAN在逻辑上分开, 建成后校园网应能提供多个网段的划分和隔离, 并能做到灵活改变配置, 以适应教学办公环境的调整和变化, 及实现移动教学办公的要求。
使用VLAN的优点如下:
1) VLAN能帮助控制流量, 在传统网络中, 不管是否必要, 大量广播数据被直接送往所有网络设备, 从而导致网络堵塞。而VLAN的设置能够使每个VLAN只包含那些必须相互通信的设备, 从而减少广播、提高网络效率。
2) VLAN提供更高的安全性, 每个VLAN中的设备只能与本VLAN中的设备通信。例如, 如果VLAN Market的设备要和VLAN Sales的设备通信, 则只有通过路由器才能进行, 在没有三层路由设备的情况下两个部门不能直接通信, 从而提高了网络安全性能。
3) VLAN使网络设备的变更和移动更加方便, 在传统网络中, 网络管理员不得不在网络设备的变更和移动上花费大量的时间和精力。如果用户移动到另一个不同的子网, 那么每个终端的地址都得重新设置。而使用VLAN则不需要这些复杂繁琐的设置。
5.2 学校校园网VLAN规划建议
为了保证以后的管理方便, 设备命名需有一定的规范性。
根据全网的命名规则, 采用以下命名方法:AA-BBxyyyy-zz。
其中AA表示院系名全拼的第一个字母,
BB表班机名全拼的第一个字母,
x表示交换机 (s) 或路由器 (r) ,
yyyy表示设备型号, 如使用了CISCO CATALYST6509交换机则使用CT6509,
zz表示设备序号, 用01, 02等表示。
例如:计算机系1班所在接入的交换机命名JSJ-1BSUH-01。
6 路由规划
路由是三层交换机区别于二层交换机的重要概念。三层交换机实现了IP协议及相关的整个TCP/IP协议栈, 可以提供三层路由转发功能, 即跨越不同IP网段的IP报文转发。在这个意义上说, 三层交换机的功能与IP路由器是类似的。
针对校园网络状态, 建议采用单播路由。在IP设备中, 单播路由的获得通常有两种途径, 一种是静态配置, 由网络管理员通过命令行等手段明确定义, 称为静态路由。在较复杂的网络上, 静态配置负担太大, 而且难以及时反映网络拓扑的动态变化, 而且尤其针对校园网络这样超大型, 这时可以使用动态路由协议, 建议采用采用OSPF路由协议。动态路由协议通过网络设备之间的报文交互, 动态地学习网络拓扑信息, 自动生成路由信息。并且能够在网络拓扑变化时比较迅速地传播变动信息, 更新每个设备上的路由表。
随着计算机多媒体和网络技术的不断发展与普及, 校园网的建设是非常必要的, 而采用先进的网络设备和网络技术是实现校园网络的基础, 是现今和未来计算机网络和通信系统的有力支撑环境。所以在设计校园网系统的时候必须充分考虑所使用的网络设备和网络技术, 才能为学校提供一个高性能、高可靠性、高稳定性、高安全性、易管理的骨干网络平台。
摘要:通过对职业学院校园网的现状分析, 介绍了校园网的网络结构的设计方案、IP地址规划、VLAN规划和路由规划方案。
关键词:校园网,网络结构,IP地址,VLAN,路由
参考文献
[1]廖常武, 汪刚.校园网组建[M].北京:清华大学出版社, 2007.
篇4:网络设计校园网设计
关键词 校园网 基本网络搭建 网络安全设计
中图分类号:TP393 文献标识码:A
以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
1基本网络的搭建
由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:
(1)网络拓扑结构选择:网络采用星型拓扑结构。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。
(2)组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
2网络安全设计
(1)物理安全设计
为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
(2)网络共享资源和数据信息安全设计
针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
(3)计算机病毒、黑客以及电子邮件应用风险防控设计
我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。
内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现内部子网的安全。共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。
参考文献
[1] Andrew S. Tanenbaum. 计算机网络(第4版)[M].北京:清华大学出版社,2008.8.
[2] 袁津生,吴砚农.计算机网络安全基础[M]. 北京:人民邮电出版社,2006.7.
[3] 中国IT实验室.VLAN及VPN技术[J/OL]. 2009.
篇5:校园网络设计方案
一、课程设计(论文)题目 Internet应用服务器构建方案设计
二、课程设计(论文)工作自
2015 年 12 月 29 日起至
2020 年 月
日止。
三、课程设计(论文)地点:
创新综合楼01有线网络实验室
四、课程设计(论文)内容要求: 1.本课程设计的目的
通过课程设计,使学生理论联系实际,在实践中进一步了解计算机网络体系结构,深入理解 TCP/IP参考模型,掌握各种网络规划与设计,初步掌握综合应用技术、高速局域网技术、,初步掌握网络应用技术以及互联网的应用技术。培养学生分析、解决问题的能力,提高学生教师的科技论文写作能力。2.课程设计的任务及要求 1)基本要求:
(1)熟悉交换机、路由器等网络设备的功能和使用;(2)掌握网络规划与设计,掌握网络安全 与管理技术;(3)初步掌握网络应用程序设计技术和互联网应用技术。3)选择课程设计题目具体要求: 1.分析校园网信息服务现状和要求
2.给出校园网设计拓扑结构和网络接入方案
3.为学校校园网各类型的信息服务器构建设计软、硬件方案4.做了测试。以前是用的是edong网络的dns解析服务器。而现在把dns解析服务器指向我自己的dns.cert.ecjtu.jx.cn来解决了这个问题。[现代教育中心老师给我做的cert.ecjtu.jx.cn地址块用我们响应组的dns.cert.ecjtu.jx.cn DNS服务器来做解析]不过过程中出现了无法解析的问题。其实是现代教育中心端口没有开的问题。所以只给我们服务器202.101.208.44开放了6100(替换3389),80,21,三个,后来开了25,53用作mail,和DNS服务器解析。所以就问题得到完美解决。可以收到信件了,之前一直是本地域可以收到邮件,可以发送给QQ邮箱邮件却收不到邮件。7.3 在配置mail服务器的时候。采用了winmail邮件服务系统。其中遇见了telnet 202.101.208.44 25端口没有开放问题。跟上面问题一样。现在教育中心在202.101.208.3 DNS服务器上做了ACL。还有一些配置的细节问题。都全部解决了。Ftp服务器就比较熟悉了,配置过不知道有多少次了。采用的是比较好用的SERV-u 6.0版本。之前也用过7.0版本的,不过不是很好用。那种效果很卡。所以还是选择了6版本。
其实DHCP服务器是没有配置完成,因为在配置的时候考虑到导致校园网自动获取瘫痪状态,所以没有启动,不过在内部的网络做了一个虚拟机 DHCP服务器,还可以模拟互联星空的拨号上网,这里就不阐述了。
篇6:校园网络设计思路
进行对象研究和需求调查,弄清学校的性质、任务、网络建设的目的和发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求和条件;
在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;
确定网络拓朴结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;
确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;
确定好以上四点包含的所有具体细节内容后,基本上我们就可以为用户量身定做适合他们的解决方案了,不过一个完整的网络建设工程,有过项目经验的人都知道,当然以下三点也是必不可少的步骤。
贴近网络现状的测试方案;
规划安排校园网建设的实施步骤(项目管理);
内容完善的验收文档。
校园网建设的原则:
先进性,先进的设计思想、网络结构、开发工具,采用市场覆盖率高、标准化和技术成熟的软硬件产品;实用性,建网时应考虑利用和保护现有的资源、充分发挥设备效益;灵活性,采用积木式模块组合和结构化设计,使系统配置灵活,满足学校逐步到位的建网原则,使网络具有强大的可扩展性;可靠性,具有容错功能,管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析,确保系统运行可靠,经济性,投资合理,有良好的性能价格比。
校园网是建构在多媒体技术和现代网络技术之上的为教学、科研、管理服务并与因特网连接的校园内局域网络环境,是一种教育科研网络。计算机网络毕竟是个新生事物,在各方面还不尽人所知,不顾自身需求和经济实力而一掷千金的事例层出不穷。究其原因,多数为对校园网工程的具体事项了解不够,作为一项庞大的系统工程,校园网工程事关学校的发展大计,必须慎重考虑。
网络建设需求汇总:
对校园网建设进行各步骤全面的需求分析,是成功校园网建设的必要条件,下面就从以上方面,结合目前校园网络建设,根据学校实际情况对学校网络建设的需求分析做一下汇总,主要是网络方面,对于终端、服务器等不做过多介绍。
软、硬件需求:
硬件是架构校园网的基础,选择硬件产品时,需要选择兼容性好、扩展性强的设备,并且在选择过程中综合设备的性能价格等多方面的因素,而且该设备厂家必须能够提供良好的售前及售后服务,解除用户的后顾之忧。比如对中心设备一定要采用性能稳定、功能强大、安全的网络设备,服务器等存储设备也要采用高性能设备;还有在特定区域,如象图书馆等可能有大文件、图片等数据需要传输的地方也要应用性能较好的设备。
软件包括系统和管理两种,学校应根据自身考虑来选择适合自己的软件。
资源需求
校园网资源建设是校园网最重要的组成部分,它的类型与功能是校园网区别于其他企业网 的重要特征,对校园资源的分析是我们建设校园网的出发点,也是一个校园真正的需求所在,应用策略也要根据这方面的需求来选择。比如vlan的划分需要根据内部资源来定,安全问题则是外部资源需求要重点考虑的问题。
对于校园,主要应该考虑以下两个方面:
内部资源区域划分:对于一个有序、正规的网络,区域划分非常重要,我们需要把一个校园的各个部门进行合理的划分。比如图书馆、档案馆、宿舍等都要细划分出来。再细划分,还应该考虑学生的资料,如学生成绩、入学等;员工教师的资料等等等等。
外部资源划分:包括internet、学校网站、电子邮件、公共信息交流、内部信息资源共享等需求。
应用需求
这方面的需求不同学校有着明显不同,大体都可以分为,教学、科研、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题;办公、服务等带宽是要着重考虑的方面,所以学校应该根据自己的实际情况来考虑网络的结构,及安全问题。
网络需求
网络需求我们要遵循几大要点,一个成功、合理的网络一定要考虑资金、安全、管理、扩展性、实用、高性能这几大方面。
网络技术需求
网络技术需求就是要解决的网络问题。在一个网络中会存在许多网络自身的问题,如vlan的划分、ip地址冲突、mac地址冲突、数据安全、数据备份都是我们在设计网络时要考虑的问题。
结构化布线:
我们知道网络故障70%来自综合布线,合理的布线不但可以使网络更好的畅通而且可以减少网络故障的发生。
综合布线系统是建筑物或建筑群内的传输网络,它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接,也能使这些设备与外部通信网络相互连接,包括建筑物到外部网络或电话局线路上的连线点,与工作区的话音或数据终端之间的所有电缆,以及相关联的布线部件。校园网为园区网,楼群间子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内,可采用多模光缆或大对数双绞线。楼内布线包括水平布线和主干布线。一般水平系统采用超五类双绞线,新的楼宇采用暗装墙内的方式,旧的楼宇采用PVC线槽明装的方式。
校园网络架构设计:
校园网的拓补结构基本上是混合型的,它是由星型、总线型等典型拓补结构组成,在现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构。当然这其中还有对网络整体结构的设计,如vlan的划分,各不同区域的细划分都需要根据学校情况来定。
校园网络中心以及各分校区均通过2M E1光纤或DDN专线或ADSL接入Internet。对于我们画定的区域如图书馆、宿舍等,都可以通过100M交换口连入校园网,而各个终端可以采用10/100M共享式端口。
目前的校园网大多数是纯三层的交换网络。由于交换机都具有三层功能,汇聚层一般已经可以与接入层归纳为一个层次。各楼层和各楼之间的交换设备都直接上连到核心设备上。
网络技术:
目前比较常见的主干网技术有FDDI、ATM、快速以太网和千兆以太网等。前二种技术,由于缺点众多,已经退出了主流市场;后二种以太网技术由于有很多技术优势,已经成为现今网络的主流,其中具有交换功能的快速以太网,支持VLAN,并容易升级到千兆以太网,性能优越,价格适中,一般建议采用快速以太网作为校园网的主干技术。快速以太网,以上已经提到主要应用在校园的接入层,如楼层,楼间;千兆以太网主要应用在核心设备之间,主校园与分校之间及上连广域网设备上。
快速以太网
传统以太网用的是10Mb/s技术,快速以太网是以太网的升级,速度可提升到100Mb/s,现在的网卡和集线器等网络终端设备都支持这种技术,是当今的网络技术的主流,应用非常广泛。不光是校园,快速以太网也很好的应用在政府、企业的网络中。快速以太网的设计非常灵活,几乎对网络结构没有限制,可以是交换式、共享式的或基于路由器的。现在正在应用的网络互联技术,例如,特定IP交换技术和第三层的交换技术,都与快速以太网完全兼容。并且可以通过价格便宜的共享集线器、交换机或路由器来实现。
千兆以太网
千兆位以太网是相当成功的10Mb/s以太网和100Mb/s快速以太网连接标准的扩展,并且继承了快速以太网的所有优点。现在千兆位以太网成熟的标准为IEEE802.3z。千兆位以太网技术以简单的以太网技术为基础,为网络主干提供1Gb/s的带宽。千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。目前,千兆以太网支持单模光纤、多模光纤和同轴电缆,支持5类非屏蔽双绞线的标准正在制定中。
设备选型:
目前的校园网络结构大多都采用交换设备搭建,我们针对学校校园网的结构及用户,对设备的选择应该充分考虑服务,管理性、稳定性、安全性、性能价格比等因素。
核心层是校园网络的最重要的部分,在这里一定要选用性能稳定,安全的设备。学校网络中心的核心交换机可以选择H3Com Switch 7500系列局域网络核心交换机、SuperStack 3 系列局域网络交换机或者思科Catalyst 6000、5000、4000系列交换机。这些设备都是各大厂商的主流设备,并且广泛应用与网络结构的核心,具有管理方便、性能稳定、安全(可增加安全模块)和高扩展性。
汇聚层则可以选用3Com SuperStack 3 系列局域网络交换机或者思科Catalyst 4000系列、3500系列等设备,这些设备性能稳定,管理方便,扩展性强。
接入层可以采用思科Catalyst 2900、3500系列交换机,也可以采用华为的28系列。这些设备性能稳定,价格便宜,功能强大。
当然,汇聚层也可以与接入层规划为一层,设备也可以根据上面的设备再根据自己学校的需求与能力来自行选择,那么接入层就可以使用价格更加便宜的集线器。
篇7:计算机网络课程设计(校园网)
题 目:基于韶关学院为原型的校园网设计
学生姓名:曾得豪、谢小东
学 号:14115011035、14115011028 系(院):信息科学与工程学院 专 业:计算机科学与技术 班 级:1班
指导老师姓名及职称:刘永初 讲师
起止时间:2016年4月-2016年5月
绪论.................................................3 1.1校园网简介....................................3 1.2校园网功能....................................3 1.3校园网原则....................................3 需求分析.............................................5 2.1 校园网应用需求分析............................5 2.2 校园网技术分析................................7 2.3 校园网结构分析................................9 具体设计............................................10 3.1 网络设计简介.................................10 3.2 网络拓扑设计方案.............................11 3.3 设备选择.....................................12 3.4 设备配置.....................................13 3.5接入Internet设计............................15 3.6 VLAN及IP地址设计方案........................17 网络布线设计........................................18 4.1综合布线的设计原则...........................18 4.2结构化综合布线系统的组成及设计................19 扩展性考虑..........................................21 体会................................................22 参考文献............................................22
绪论
1.1校园网简介
校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。现代办学条件的学校必须建立完善的服务于教育教学的计算机校园网。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络环境。校园网的使用使学校的教育、教学研究和管理工作踏上一个新台阶。我们可以充分利用现有计算机资源,实现信息交流和软硬件资源的共享,实现学校办公、管理、教学现代化。校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的局域网,一方面连接学校内部子网和分散于校园各处的计算机,另一方面作为沟通校园内外部网络的桥梁。同时,一个好的校园网,安全问题也是至关重要的。1.2校园网功能
(1)信息资源共享和交流
通过组建一个覆盖校园的局域网,将学校内部的资源进行有效的整合,实现信息资源的共享和交流。例如,通过校园的宿舍网络查询到学校的共享资源,通过网络进行学生的数据库查询和处理学生的饿成绩,等等。(2)计算机辅助教学
现在学校的网络多媒体教室可以实现各种基于网络的电子教学,随着多媒体技术的发展,语音教学、电子视听教学等也在不断普及。学校的校园网中还可以通过论坛等形式帮助学生和老师进行沟通和交流,通过电子题库帮助学生学习。(3)方便图书资料检索和借阅
通过图书检索系统和建立电子图书馆,可以在校园网上实现远程计算机图书检索和借阅,这样不仅能做到资料的共享,而且简化了图书借阅的手续,提高图书利用率和图书的管理工作效率。(4)提供各种校园网络服务
通过在校园网上架设WWW服务器,可以让学生和教师方便地进行信息资源共享和交流,也可以架设FTP服务器共享学校的学习资源。学生不仅可以从中获取有用的资料,也可以将自己的资料上传给其他用户分享使用。1.3校园网原则(1)实用性 应当从实际出发,使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容,保持资源的连续性和可用性。系统是安全的,可靠的。使用相当方便,不需要太多的培训即可容易地使用和维护。(2)高性能
校园网作为现代大学信息运行的承载平台,涉及到众多不同的应用及众多用户。众多的用户、不同类型的应用,包括一些实时性强的交互业务应用(如语音、图像等),势必对校园网的性能提出更高的要求。(3)安全性
解决安全性问题,需制定统一的、有效的网络安全策略和过滤机制,充分使用各种不同的网络技术,保证网络系统和应用系统安全运行。安全包括四个层面,即网络安全、操作系统安全、数据库安全、应用系统安全。由于Internet的开放性,世界各地的Internet用户也可访问校园网,校园网将采用防火墙、数据加密、代理、虚拟局域网络(VLAN)等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。从数据安全的角度考虑,还应将重要的数据服务器集中放置,构成服务器群。(4)可扩充性
采用符合国际和国内工业标准的协议和接口,从而使校园网具有良好的开放性,实现与其他网络和信息资源的容易互连互通,并可以在网络的不同层次上增加节点和子网,一般包括开放标准、技术、结构、系统组件和用户接口等原则。在实用的基础上必须采用先进的成熟的技术,选购具有先进水平的计算机网络系统和设备,并保留向ATM过渡的自然性。由于计算机技术的飞速发展和计算机网络技术的日新月异,网络系统扩充能力的大小已变得非常重要,因此考虑网络系统的可扩充性是相当重要的。(5)高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证。在网络设计时,应选用高可靠性的网络产品、合理的网络构架,制定可靠的网络备份策略,保证网络具有良好的故障自愈能力,以减少网络中断时间。(6)可管理性
设计网络时充分考虑网络日后的管理和维护工作,并选用易于操作和维护的网络操作系统,大大减轻网络运行时的管理和维护负担。采用智能化网络管理,最大程度地降低网络的运行和维护成本。校园网作为一种地理范围分布较大的园区网(甚至是一种多个园区网连接而成的广域网),日常管理及维护的工作量较大。为了尽可能提高工作效率,减少网络停顿时间,同时为未来网络的发展打下基础,必须使校园网具有良好的可管理性。选择方案时应考虑以下几个方面: 对网络实行集中监测、分权管理、统一分配资源;
选用先进的网络管理平台,可以集中对全网设备(路由器、以太网交换机等)实施具体到端口的管理能力,并可提供及时的故障报警和日志;
选用的网络设备及其他连接在网络上的重要设备都应支持远程管理; 设计时需充分考虑运行维护的问题,特别是建设工程结束时,应要求建设方提供足够的设计及实施文档。(7)高性能价格比
结合日益进步的科技新技术和校园的具体情况,制定合乎经济效益的解决方案,在满足需求的基础上,充分保障学校的经济效益。坚持经济性原则力争用最少的钱办更多的事,以获得最大的效益。
需求分析
2.1 校园网应用需求分析
随着信息时代的到来,校园网已经成为现代教育背景下的必要基础设施,成为学校提高水平的重要途径。校园网络的主干所承担的信息流量很大,校园网络的建设目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播(VOD)等信息共享功能,能实现办公的自动化、无纸化。能通过与Internet的互联,为全校师生提供国际互联网上的各种服务。教师可以制作多媒体课件以及在网上保存和查询教学资源,能对学生进行多媒体教学和通过网络对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源,从而可以更好地进行学习。校园网能为学校的信息化建设打下基础。根据我校校园实际情况主要应用需求分析如下:(1)用户的应用需求
所有用户可以方便地浏览和查询局域网和互联网上的学习资源,通过WWW服务、电子邮件服务、文件传输服务、远程登录等多种Internet服务实现远程学习。教师需要校园网提供Internet/Intranet、远程教学、多媒体教学应用等系统,提供一条可靠、健壮的“信息高速公路”。(2)通信需求
千兆校园网的建设将使学校不在面临带宽匮乏,特别是核心网带宽匮乏的情况。尤其保证了那些不间断的FTP应用、科研活动、网上视讯等长期消耗大量网络带宽的网络服务质量。通过E-mail及网上BBS以及其他网络功能满足全院师生的通信与信息交换的要求,提供文件数据共享、电子邮箱服务等。(3)信息点和用户需求
校园网连接建筑物有作为网络信息中心的主楼和教学楼、行政楼、图书馆、实验楼、信工楼以及学生宿舍等6个主要集中接入点。按照要求校 园网内信息节点总数为830个,分布如下。
教学楼:200个信息节点。行政楼:90个信息节点。实验楼:120个信息节点。图书馆:100个信息节点。工科楼:120个信息节点。学生宿舍:200个信息节点。
校园网联网各楼所在位置及信息点分布情况如表2.1所示。
表2.1 信息点分布图
电子邮件服务器、文件服务器等为内部单位服务,WWW服务器、远程登录等实现远程学习,从外部网站获得资源。
以主楼的网络信息中心为中心,通过冗余的光纤链路上连到信息中心的核心层交换机上,构成校园网光纤主干。核心层交换机通过Cisco3640路由器接入教育科研网CERNET,即连入国际互联网。校园网络总体拓扑结构如图2.1所示
图2.1 校园网总体拓扑结构(4)性能需求
此校园网络支持学校的日常办公和管理,包括:办公自动化、图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等,支持网络多媒体学习的信息传输要求。
(5)安全与管理需求
学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高,如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相结合的方法进行管理。网络安全对于网络系统来说是十分重要的,它直接关系到网络的正常使用。由于校园网与外部网进行互联,特别是和Internet的互联。Internet是一个开放式网络系统,它的安全性是很差的。因此安全问题更加重要。应该采取一定的技术来控制网络的安全性,从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术主要有:用户身份验证、VLAN划分、防火墙等技术。网络系统具备高度的数据安全性和保密性。(6)实用与经济性
校园网的特点决定了网络系统必须是实用性与经济性。实用性使得网络便于管理、维护,以减少网络使用人员运用网络的难度,从而降低人为操作引起的网络故障,并使更多的人掌握网络的应用。由于学校的建设资金有限,所以根据学校的实际情况在建设校园网时一定要使用性价比高的网络技术和网络设备。2.2 校园网技术分析 2.2.1 校园网的结构
校园网一般选择星型的拓扑结构来实现校园网的组建方案。星型结构的校园网比总线型的网络具有更高的可靠性,网络中的任何一个节点都是直接和网络中心的交换机连接,因此单个节点的故障不会影响到其他节点,因此故障比较容易检测和隔离,而且网络的扩充也十分方便,用户只需要将自己的计算机连接到这个交换机上即可。
2.2.2 校园网的联网技术
在校园网的干路上往往需要更大的宽带和更高的传输速率,所以一般选择千兆以太网技术作为校园网的联网技术。可使用光纤、同轴电缆和双绞线作为传输介质。千兆以太网技术可以满足数据1000Mb/s的传输要求,它采用了与10Mb/s和100Mb/s以太网技术中同样的数据帧格式,也采用了CSMA/CD介质访问控制机制,因此它可以在原有的以太网基础上进行平滑网络升级,从而最大限度地保护了用户投资。2.2.3 校园网的硬件选择(1)网络服务器 由于校园网中的用户通常比较多,对服务器的访问量也会很大,应购置专用的服务器,专用的服务器比普通的台式机具有更高的可靠性。另外,路由器本身就集成了很多服务器,但还有很多功能不能完善或处理能力不强,需要外加服务器。
①华为CAMS服务器 学校上网不是免费的,为了更好的计费,就需要计费网关了,就要求服务器具有计费功能,要让统计更精准,还要防止别人盗用IP上网,华为CAMS服务器就实现了这些功能。它主要有卡号、账号用户,一个卡号(或账号)可以申请多个业务,包月用户,可以限时包月或包月暂停,接入时段限制,Web配置管理,用户Web自助,在线用户监控,黑名单管理,安全日志审计、分析,目录服务。
②FTP服务器 FTP(File Transfer Protocol,文件传输协议)是由支持Internet文件传输的各种规则所组成的集合。这些规则能使网络用户把文件从一个主机拷贝到另一个主机上,FTP是采用客户/服务器方式服务的。学校局域网的一个重要特点就是信息共享,因此FTP服务器是必不可少的。安装FTP服务器就是为了方便学生共享学习资料和文件的。
③Web服务器 在Internet时代,学生想要发布自己主页,首先应该把我们的机器配置成为一台强大的Web Server。IIS(Internet Information Server)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能。④DHCP服务器 DHCP服务器的主要作用是分配IP地址,用户可以自己设置IP,也可以动态IP。当DHCP服务器被授权后,还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后,当DHCP客户机在向DHCP服务器申请IP地址时,DHCP服务器就会从所设置的IP地址范围中选择一个还 没有被使用的IP地址进行动态分配。
E-mail服务器,DNS服务器,WINS服务器等等其他服务器。
(2)传输介质 采用普通的五类非屏蔽双绞线,这种网线的可靠性较好,价钱便宜,或使用超五类双绞线,这种双绞线将普通的五类非屏蔽双绞线的性能加以改善,主要用于传输速率低于千兆位每秒的以太网。在校园网的主干线上,为了保证数据的传输,可采用光纤作为传输介质。(3)网络互连设备
交换机 交换机通常会采用模块化的设计,它能够更快地转发大量的信息。如果校园网的规模不大,可以选择部门级的交换机。交换机主要用于局域网,首先是三层交换机的选择,三层交换机有一定的路由功能,三层交换机在局域网最顶端,它实现了各个楼层之间的通信,可以在整个楼里设置VLAN。每个楼层内部都有二层交换机。中继器,集线器,交换器,路由器,网关等等其他互联设备。(4)工作站
学校校园网工作站使用的计算机不同于校园网中的服务器和家庭使用的多媒体计算机,工作站只要能够满足学生或教师的学习和工作需要即可,我们可以在Intel、AMD、VIA这三个目前主流的PC CPU中进行选择。这三种CPU是三种不同的系统架构,它们各自的性能不同,价格也不同。我们可以通过它们的实用性、可靠性、经济性、应用性几方面来进行比较。2.2.4 综合布线
综合布线可以实现建筑物内或不同建筑物之间的信号传输,是一种模块化、灵活性极高的建筑物内或建筑物之间的信息传输通道。它既能使语音、数据、图像设备和交换设备与其他管理系统彼此连接,也能使这些设备与外部相连接。综合布线被划分为六个小的子系统,它们是工作区子系统、水平干线子系统、垂直干线总系统、管理间子系统设备间子系统、楼宇(建筑群)子系统。
2.3 校园网结构分析
一个好的校园网网络设计应该是一个分层的设计,设计模型一般分为三层。从功能上基本可以分为网络中心、教学子网、办公子网、图书馆子网、宿舍区子网以及后勤子网等。为了简化交换网络设计,提高交换网络的可扩展性,在校园内部数据交换模块的部署是分层进行的。
校园网数据交换设备可以划分为三个层次:核心层、汇聚层、接入层。传统意义上的数据交换发生在OSI模型的第二层。现代交换技术还实现了第三层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率,更大大加强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。
现代交换网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了个VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(VLAN Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。当校园网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性可能会造成交换环路问题,这需要通过在各交换机上运行生成树协议(Spanning Tree Protocol,STP)来解决。(1)核心层 功能主要是实现骨干网络之间的优化传输,负责整个校园网的网内数据交换。网络的功能控制最好尽量少在骨干层上实施。
中心交换机应是路由交换机,支持主流的园区骨干技术,如
1000Base-Sx/Lx/Zx/Tx等,同时计划支持未来的骨干技术,如10G等,提供端到端的MultiCast等协议。现在Internet/Intranet的数据流量分布已由过去的“内部80%,外部20%”变为“内部20%,外部80%”,因此,中心交换机需具备较高的路由转发速率,最好是线速的。中心交换机应具有很高的交换背板容量和包转发率,如背板容量在100Gbps以上。(2)汇聚层
汇聚层主要负责连接接入层接点和核心层中心,汇聚各区域数据流量,必要时,作为网络冗余连接使用。同时,汇聚层交换机还负责本区域内的数据交换。(3)接入层
接入层在整个网络中接入交换机的数量最多,具有即插即用的特性。对此类交换机的要求,一是价格合理;二是可管理性好,易于使用和维护;三是有足够的吞吐量;四是稳定性好,能够在比较恶劣的环境下稳定工作。
具体设计
3.1 网络设计简介
校园网系统应具有高可靠性,高稳定性、高扩展性等特点。本方案中选择使用千兆位以太网技术,主干为千兆网,实现各部门相连,100Mbps到部门,10Mbps到桌面,支持终端的移动。
网络主干由主干交换机和分布在各建筑中的主干节点及它们之间的光纤组成。需要选择适当的高速交换机作为网络的主干核心,这关系到网络的整体性能和系统的灵活性。主干网的选择要考虑带宽、可靠性、先进性等特点,要以当前及未来网络技术的发展和业务量的发展为基础,同时兼顾资金的承受能力。以太网机制的即插即用使网络扩充容易,而且扩充成本降低;星型拓扑结构使主干具有良好的可靠性;线路交换的高带宽低延迟更符合现代计算机技术的发展对网络主干的要求,为容量的扩充留有充分的余地。
联网技术包括主干网联网技术,楼宇局域网连接技术和广域网技术。(1)主干网连接技术
主干网采用交换式1000M以太网连接技术。100Mb/s的网卡能够自动检测所连接的端口是10Mb/s还是100Mb/s,并执行相应的操作。100Mb/s的交换式集线器,可以提供更高的性能。在该方案中,各主要楼之间采用光纤以全连接拓扑结构通过1000M交换技术进行连接,既保证了主干线的1000M带宽,又保证了主干线路冗余。
(2)楼宇局域网连接技术
校园网为园区网,楼群间子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内,可采用大对数双绞线。把管理区子系统并入设备间子系统,集中管理。对于多幢楼宇,可采用多设备间的方法,分为中心设备间和楼栋设备间部分,中心设备间是整个局域网的控制中心,内设有对外(Internet)对内通信的各种网络设备(交
换机、路由器、服务器等),中心交换机通过光缆与楼栋设备间的交换设备相连,以保证数据的高速传输。在此设备间放置布线的线架和网络设备,一端连接楼内来自在各层的主干线缆,一端连接网络中心的光纤。楼内布线包括水平布线和主干布线。(3)广域网技术
本方案设计的校园网给出两路分别到CHINANET和CERNET的出口,到CHINANET的出口通过路由器采用ISDN专线实现于Internet连接,到CERNET的出口通过路由器的10M局域网口采用微波实现连接。
路由技术:路由协议工作在OSI参考模型的第三层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(Access Control List,ACL),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本方案中,内网用户不仅通过路由器接入因特网,内网用户之间也通过三层交换机上的路由功能进行数据包交换。
交换技术:现代交换技术还实现了第三层交换和多层交换。高层交换技术的引用不但提高了校园网数据交换的效率,更大大增强了校园网数据交换服务质量,满足了不同类型网络应用程序的需要。
VLAN技术:即虚拟局域网,VLAN将广播域限制在单个VLAN内部,减少了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现,当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。3.2 网络拓扑设计方案
本方案采用千兆以太网解决方案,考虑到地理位置和服务点等因素,将 网络中心设在主楼,以主楼为中心,通过光纤把整个校园连接到网络中心的CS1型核心交换机上,构成某大学校园网光纤主干。核心交换机通过Cisco3640路由器和DDN专线将整个校园网连入教育科研网CERNET,即连入国际互联网,同时接入电信网。网络结构分为三层:核心层、汇聚层、接入层。
考虑到传输高速率和扩展的需求,校园网整体采用光纤传输。网络主干采用六芯多模光纤。网络中心到主建筑物节点采用六芯多模光纤连接,在全双工条件下传输距离可达两公里。光纤布线采用星形拓扑结构,这样当过渡到ATM时,不需要重新布线可使整个网络保持原有的拓扑结构。
本校园网网络系统的设计采用层次化的设计模型,即核心层、汇聚层(分布层)、接入层(访问层)。
以上特点分层网络结构可以获得良好的扩展性。根据实际要求,整个校园网采用星型结构,并分为核心层(分布于网络中心内)和接入层(分布在教学楼、行政楼、图书馆、实验楼、工科楼以及学生宿舍各楼内,包括分布广泛的各种低端网络连接/交换设备及各种终端设备)两层。
对于整个网络的拓扑结构为混合型网络拓扑结构,以快速交换机为网络中心的星型结构,各部门以二级交换机为主节点的树形结构。
各主要楼节点的交换机分别用1000Base-SX型的多模光纤与网络中心的核心交换机相连,构成校园网千兆位以太网的主干网络,各节点交换机至桌面采用3/5型双绞线或超五类双绞线100Mbps连接。
因此本校园网络设计的拓扑结构图如图3.1所示。图3.1 校园网整体拓扑结构图 3.3 设备选择(1)路由器
Cisco3640型Internet接入路由器一个(2)交换机
Cisco Catalyst 4006型核心层交换机两个:CS1,CS2 Cisco Catalyst 3550型汇聚层交换机两个:DS1,DS2 Cisco Catalyst 2950型接入层交换机两个:AS1,AS2(3)服务器
FTP服务器,WWW服务器,E-mail服务器,代理服务器,CAMS服务器,DHCP服务器,DNS服务器,VLAN100服务器群(4)传输介质
在网络主干和各楼与楼之间采用1000Base-SX型的多模光纤,在PC与交换设备之间采用3/5型双绞线或超五类双绞线100Mbps。(5)PC机 若干台(6)防火墙
Cisco Secure PIX-535-R-BUN 价格:85999元(7)操作系统
系统软件在整个软件架构中处于最底层,直接与各种类型的硬件设备交 互,主要作用是有效的支配和管理系统中的各种硬件资源。系统的选择,从理论上说,可以采用Unix、Linux、Windows或NetWare,但是系统软件的选择又是跟硬件平台的选择紧密关联的。如果硬件平台采用的是IBM公司的小型机,则操作系统就采用IBM的AIX,如果硬件平台采用的是HP的Unix服务器,则一般采用HP-UIX.。对于PC服务器,操作系统可以采用微软的Windows2000 Professional,Windows NT Workstation,Windows XP或Windows7。此外,与微软操作系统平台配合,选用Microsoft SQL Server2000作为数据库软件平台。(8)网络协议 TCP/IP协议。(9)网络管理软件
开源软件 在校园网网管领域里,开源软件正悄然流行。校园网网络管理的变化多端需要网管工具的可扩展性,可修改性良好。开源正具备这个特点,可以一直修改,直到它符合当前网络的需求。同时,开源软件的成本低。3.4 设备配置 3.4.1 交换机配置(1)核心层交换机的配置
核心层将各汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换。本实例中的核心层交换机采用的是Cisco Catalyst 4006交换机,采用了Catalyst 4500 Supervisor II Plus(WS-X4013+)作为交换机引擎。运行的是Cisco的Integrated IOS操作系统,其镜像文件是CAT400.6-3-5.BIN。在作为核心层交换机的Cisco Catalyst 4006交换机中,安装了WS-X4306-GB(Catalyst 4000 Gigabit Ethernet Module,6-Ports(GBIC))模块,该模块提供了5个千兆光纤上连接口,可以用来接入WS-G5484(1000BASE-SX Short Wavelength GBIC(Multimode only))。以图3.2中的核心交换机CS1为例(CS2类似),核心交换机的配制方法和步骤如下。
①CS1基本参数的配置
②CS1的管理IP、默认网关配置 ③CS1的VLAN及VTP配置 ④CS1的端口参数配置 ⑤CS1的路由功能配置(2)汇聚层交换机的配置
汇聚层的功能是负责汇聚接入层交换机,并为整个交换网络提供VLAN间的路由选择。本例中汇聚层交换机采用Cisco Catalyst 3550交换机。作为3层交换机,Cisco Catalyst 3550交换机拥有24个10Mb/s/100Mb/s自适应快速以太网接口,同时还有2个1000Mb/s的GBIC端口供上连使用,其操作系统是Cisco的Integrated IOS操作系统。以图3.2中的DS1为例(DS2类似),汇聚层交换机配置步骤如下。①DS1基本参数的配置
②DS1的管理IP、默认网关配置 ③DS1的VTP配置 ④在DS1上定义VLAN ⑤DS1的端口基本参数配置 ⑥DS1的3层交换功能配置(3)接入层交换机的配置
接入层为所有的终端用户提供一个接入点。接入层交换机采用Cisco Catalyst 2950 24口交换机(WS-C2950-24)。该交换机拥有24个10Mb/s/100Mb/s自适应快速以太网接口,运行的是Cisco的Integrated IOS操作系统。以图3.2中的接入层交换机AS1为例(AS2类似),交换机的配置步骤如下。①设置交换机的名称和加密使能口令 ②设置登录虚拟终端口令 ③设置终端超时时间 ④设置禁用IP地址解析特性 ⑤设置启用消息同步特性 ⑥接入层交换机AS1的管理IP、默认网关配置 ⑦AS1的VLAN及VTP配置 ⑧AS1端口基本参数配置 ⑨AS1访问端口的配置 ⑩AS1的主干道端口配置 3.4.2 服务器配置(1)配置DNS服务器(2)配置WWW服务器(3)配置FTP服务器(4)配置E-mail服务器(5)配置代理服务器(6)配置CAMS服务器(7)配置DHCP服务器(8)配置VLAN100服务器群 3.5接入Internet设计
Internet接入方式主要有以下六种:拨号上网方式,使用ISDN专线入网,使用ADSL宽带入网,使用DDN专线入网,使用帧中继方式入网,局域网接入。(1)拨号上网方式
拨号上网方式又称为拨号IP方式,因为采用拨号上网方式,在上网之后会被动态地分配一个合法的IP地址。用拨号方式上网的投资不大,但是能使用的功能比拨号仿真终端方法联入要强得多。拨号上网就是通过电话拨号的方式接入Internet的,但是用户的电脑与接入设备连接时,该接入设备不是一般的主机,而是称为接入服务(Access Server)的设备,同时在用户电脑与接入设备之间的通信必须用专门的通信协议SLIP或PPP。
拨号上网的特点:投资少,适合一般家庭及个人用户使用;速度慢,因为其受电话线及相关接入设备的硬件条件限制,一般在56K左右。(2)ISDN专线接入
ISDN专线接入又称为一线通、窄带综合业务数字网业务(N-ISDN)。它是在现有电话网上开发的一种集语音、数据和图像通信于一体的综合业务形式。一线通利用一对普通电话线即可得到综合电信服务:边上网边打电话、边上网边发传真、两部计算机同时上网、两部电话同时通话等。
通过ISDN专线上网的特点:方便,速度快,最高上网速度可达到128K/S。(3)ADSL宽带入网
ADSL即不对称数字线路技术,是一种不对称数字用户线实现宽带接入互联网的技术,其作为一种传输层的技术,利用铜线资源,在一对双绞线上提供上行640kbps、下行8Mbps的宽带,从而实现了真正意义上的宽带接入。
ADSL宽带入网特点:与拨号上网或ISDN相比,减轻了电话交换机的负载,不需要拨号,属于专线上网,不需另缴电话费。(4)DDN专线入网
DDN即数字数据网,是利用数字传输通道(光纤、数字微波、卫星)和数字交叉复用节点组成的数字数据传输网。可以为用户提供各种速率的高质量数字专用电路和其它新业务,以满足用户多媒体通信和组建中高速计算机通信网的需要。其主要特点:
传输质量高,信道利用率高;传输速率高,网络时延小;·数据信息传输透明度高,可支持任何规程,可传输语音、数据、传真、图象等多种业务;适用于数据信息流量大的校园;·网络运行管理简便,对数据终端的数据传输速率没有特殊要求。
(5)帧中继方式入网
帧中继是在OSI第二层上用简化的方法传送和交换数据单元的一种技术。通过帧中继入网需申请帧中继电路,配备支持TCP/IP协议的路由器,用户必须有LAN(局域网)或IP主机,同时需申请IP地址和域名。入网后用户网上的所有工作站均可享受Internet的所有服务。
帧中继上网特点:通信效率高,租费低,适用于LAN之间的远程互联,传输速率在9600bps~2048kbps之间。(6)局域网接入
局域网连接就是把用户的电脑连接到一个与Internet直接相连的局域网LAN上,并且获得一个永久属于用户电脑的IP地址。不需要Modem和电话线,但是需要有网卡才能与LAN通信。同时要求用户电脑软件的配置要求比较高,一般需要专业人员为用户的电脑进行配置,电脑中还应配有TCP/IP软件。
局域网接入的特点:传输速率高,对电脑配置要求高,需要有网卡,需要安装配有TCP/IP的软件。通过对比选择使用DDN专线入网,DDN专线的特点:采用数字电路,传输质量高,信道利用率高,数据信息流量大,时延小,通信速率可根据需要选择;电路可以自动迂回,可靠性高,适用于校园网络。
校园网采用DDN专线接入的方式上网,校园内上网采用NAT的方式,保证师生上网方便。
3.6 VLAN及IP地址设计方案 3.6.1 合理设计IP地址的意义
在网络建设中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。
IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。小区IP地址的分配应尽可能利用申请道德地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。具体的来说IP地址的合理规划有如下意义。
(1)减少对各种资源(内存、CPU的处理能力及网络带宽等)的需 求。IP地址的合理规划有利于网络中路由的汇聚,因而可以使 得路由器中的路由表数目以及链路状态数据库等占用的内存 减少,同时更新所占用的网络带宽也降低了。
(2)有利于IP地址空间的合理使用。优化业务流量的分布。有利于故障诊断。
IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将对校园网的可用性、可靠性与有效性产生显著影响,应充分考虑本地网对IP地址的需求,以满足未来业务发展对IP地址的需求。3.6.2 IP地址设计原则
根据互联网技术发展的趋势,结合校园网络IP地址的现实情况,IP地址规划应遵循如下原则。
(1)服务器区采用私有IP地址,NAT后供人员远程访问。(2)与Internet互连设备IP地址采用真实的IP地址。(3)部分内部互联采用似有IP地址。
(4)面向用户的私有IP地址,由统一出口的边缘设备(路由器、防火 墙)进行地址翻译。即出口路由器(防火墙)互联采用合法IP地址,公共服务器如WWW/FTP/DNS资源服务器等均采用合法地址(或从安全角度考虑采用私有IP),部分接入用户采用私有保留IP地址相连。
这样,既可以充分利用已有的公网IP地址,解决了IP地址空间的不足,又可以方便地实现互通互连,而且将地址翻译(NAT)这种耗费设备资源的工作由网络边缘设备分担,提高网络数据传输整体性能。3.6.3网络VLAN设计
在校园网络的整个网络建设当中,VLAN的划分是十分重要的部分,很好地利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的,主要突出为以下几点。
(1)VLAN划分,可以避免广播风暴,在骨干网络中尤为突出,在播媒体、视频点播等很容易引起广播信息。划分之后,VLAN是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件。
(2)VLAN划分,可以增加网络的安全性。在不同的VLAN之间不能随意通信,只限于本子网内通讯,不会对其他的子网产生干扰。要进行访问,需要通过三层交换,这样信息流就得到相当好的控制。
(3)网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备进行管理,建立VLAN和IP子网的对应关系。
(4)提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。(5)VLAN间的子网访问,可以在三层交换机上实现,子网间的通讯也可以在汇聚设备上实行,分流核心层交换机的三层交换,优化了组网。
在本校园网中,本地IP采用C类IP地址,子网掩码为255.255.255.0,VLAN及IP编址方案如表3.1所示。表3.1 VLAN及IP编址方案
为了简化起见,除了管理VLAN外,这里只规划了7个VLAN,同时为每个VLAN定义了一个由拼音缩写组成的VLAN名称。
网络布线设计
4.1综合布线的设计原则
综合布线同传统的布线相比较,有着许多优越性,是传统布线所无法比及的。其特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期。而且在设计、施工和维护方面也给人们带来了许多方便。
4.2结构化综合布线系统的组成及设计
综合布线系统(PDS,Premises Distribution System)是一套开放式的布线系统,可以支持几乎所有的数据、语音设备及各种通信协议,同时,由于PDS充分考虑了通信技术的发展,设计时有足够的技术储备,能充分满足用户长期的需求,应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性,各种设备位置的改变,局域网的变化,不需重新布线,只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。(1)工作区子系统(Work Area)及其网络设计
工作区子系统,是由RJ-45跳线与信息插座所连接的设备组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余。例如:对于一个办公区内的每个办公点可配置2~3个信息点,此外应为此办公区配置3~5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等。若此办公区为商务应用则信息点的带宽为100M可满足要求;若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。工作区的终端设备(如:电话机、传真机)选用安普公司的超五类双绞线直接与工作区内的每一个信息插座相连接,或用适配器(如ISDN终端设备)、平衡/非平衡转换器进行转换连接到信息插座上。(2)配线子系统(Horizontal)及其网络设计
配线子系统,是从工作区的信息插座开始到管理间子系统的配线架。选择配线子系统的线缆,要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推荐采用的双绞电缆及光纤型号为: 安普公司的超五类或六类非屏蔽双绞线, TCL室内单模或多模光纤。
双绞线水平布线链路中,水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为配线子系统的线缆,可根据信息点类型的不同采用不同类型的电缆。该方案选择安普公司的超五类非屏蔽双绞线缆。(3)干线子系统(Backbone)及其网络设计
干线子系统,负责连接管理子系统到设备间子系统的子系统。干线子系统可以使用的线缆主要有:HAY三类大对数电缆;安普公司的超五类或六类双绞线;TCL室内单模或多模光纤。该方案选择安普公司的超六类双绞线缆。
垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道,使整个布线系统组成一个有机的整体。垂直干线子系统Topology结构采用分层星型拓扑结构,每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时,每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。
(4)设备间子系统(Equipment Room)及其网络设计
设备间子系统,由电缆、连接器和相关支撑硬件组成。采用BIX跳接式配线架,连接交换机;采用光纤终结架连接主机及网络设备。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。
它们可以放在一起,也可分别设置。在较大型的综合布线中,可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房,把与综合布线密切相关的硬件设备放置在设备间,计算机网络设备的机房放在距离设备间不远的位置。设备间子系统是一个集中化设备区,连接系统公共设备,如局域网(LAN)、主机、建筑自动化和保安系统,及通过垂直干线子系统连接至管理子系统。(5)管理子系统(Administration)及其网络设计
管理子系统,由交连、互连和I/O组成。管理是针对设备间、电信间和工作区的配线设备、缆线等设施,按-定的模式进行标识和记录的规定。跳线采用超5类非屏蔽双绞线,RJ45接头。管理间是楼层的配线间,管理子系统为其他子系统互连提供手段,它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/输出组成,实现配线管理,为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。安普公司的综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。(6)建筑群子系统(Campus Subsystem)及其网络设计
建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段,也可采用微波通信、无线电通信的手段。传输介质采用室外六芯多模光纤。
建筑群子系统介质选择原则: 楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点:包括路由起点、终点;线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。
建筑群子系统的设计:学生宿舍、工科楼与主楼之间由于距离较远,采用单模光纤连接;主楼使用多模光纤连至教学楼、行政楼、实验楼和使用多 模光纤连接图书馆和学生宿舍楼;图书馆与实验楼距离较近,采用千兆以太网连接。考虑近期学校使用、设备投资、距离超长等各种因素,采用多模光纤和单模光纤混合的方式连接,并在每个建筑物内预留了多模光纤,以备将来整个网络系统的发展。
(7)进线间子系统及其网络设计
进线间一个建筑物宜设置1个,一般位于地下层,外线宜从两个不同的路由引入进线间,有利于与外部管道沟通。进线间与建筑物红外线范围内的人孔或手孔采用管道或通道的方式互连。进线间因涉及因素较多,难以统-提出具体所需面积,可根据建筑物实际情况,并参照通信行业和国家的现行标准要求进行设计,本规范只提出原则要求。1.进线间应设置管道入口。
2.进线间应满足缆线的敷设路由、成端位置及数量、光缆的盘长空间和缆线的弯曲半径、充气维护设备、配线设备安装所需要的场地空间和面积。
3.进线间的大小应按进线间的进局管道最终容量及入口设施的最终容量设计。同时应考虑满足多家电信业务经营者安装入口设施等设备的面积。
4.进线间宜靠近外墙和在地下设置,以便于缆线引入。进线间设计应符合下列规定:
①进线间应防止渗水,宜设有抽排水装置。②进线间应与布线系统垂直竖井沟通。
③进线间应采用相应防火级别的防火门,门向外开,宽度不小于1000mm。④进线间应设置防有害气体措施和通风装置,排风量按每小时不小于5次容积计算。5.与进线间无关的管道不宜通过。
6.进线间入口管道口所有布放缆线和空闲的管孔应采取防火材料封堵,做好防水处理。
7.进线间如安装配线设备和信息通信设施时,应符合设备安装设计的要 求。
扩展性考虑
(1)首先是网络设备扩展方面:
每个核心、汇聚设备都应该考虑端口的可扩展性,本方案对每个设备都有预留端口,以适应将来网络可能发生的变化;(2)其次是网络接入的可扩展性:
路由器支持VPN并且考虑到校区会更大地扩展,我们选择支持VPN的路由器;(3)IP地址的预留:
本方案在每间教室都有剩余的IP地址,以适应将来主机增多的需求,还有公有IP地址段的预留(扩展校区使用)。
体会
通过这次课程设计,参考了许多其他有关这门课程的相关书籍和资料,对局域网的作用和组建有了更深一层的认识,基本学会了如何组建、怎样组建一个校园局域网。此外,我们学会了举一反三,将不同类型的网络进行比较,找出其中的相同点和不同点,为以后组建更加完善的网络打下基础。
这次课程设计使我们受益匪浅。通过这次课程设计,我们懂得了理论与实践相结合,从理论中得出结论,才能学以致用,不仅,掌握了组建计算机网络的基本技术,而且提高了应用能力和动手实践能力。
课程设计是一次自我学习的过程。一开始会遇到困难,不知道如何下手,通过认真、耐心地分析和研究,终于有了思路,做起来也就容易了。
课程设计是培养我们综合运用所学知识,发现、提出、分析和解决实际问题的能力的重要环节,是对我们实际工作能力的训练和考察。随着科学技术发展的日新月异,网络已成为当今计算机发展中空前活跃的领域,在生活中无处不在。因此作为二十一世纪的计算机专业大学生的我们掌握网络组网技术是非常重要的。
参考文献
篇8:校园网搭建及网络安全设计
关键词:校园网,网络搭建,计算机,网络安全
随着网络技术的高速发展, 各种各样的安全问题也相继出现, 校园网被“黑”或被病毒破坏的事件屡有发生, 造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
一、基本网络的搭建
校园网网络具有数据流量大, 稳定性强, 经济性和扩充性的特性。为适应各个部门的交互访问控制, 可采用下列方案:
(一) 组网技术选择。
目前, 常用的主干网的组网技术有快速以太网 (100Mbps) 、FDDI、千兆以太网 (1000Mbps) 和ATM (155Mbps/622Mbps) 。快速以太网是一种非常成熟的组网技术, 它的造价很低, 性能价格比很高;FDDI也是一种成熟的组网技术, 但技术复杂、造价高, 难以升级;ATM技术成熟, 是多媒体应用系统的理想网络平台, 但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术, 造价低于ATM网, 它的有效带宽比622Mbps的ATM还高。因此, 个人推荐采用千兆以太网为骨干, 快速以太网交换到桌面组建计算机播控网络。
(二) 网络拓扑结构选择。
网络采用星型拓扑结构。它是目前使用最多, 最为普遍的局域网拓扑结构。节点具有高度的独立性, 并且适合在中央位置放置网络诊断设备。
二、网络安全设计
(一) 网络共享资源和数据信息安全设计。
针对这个问题, 我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN (Virtual Local Area Network) 即虚拟局域网, 是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域 (或称虚拟LAN, 即VLAN) , 每一个VLAN都包含一组有着相同需求的计算机工作站, 与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分, 所以同一个VLAN内的各个工作站无须放置在同一个物理空间里, 即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中, 即使是两台计算机有着同样的网段, 但是它们却没有相同的VLAN号, 它们各自的广播流也不会相互转发, 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的, 它在以太网帧的基础上增加了VLAN头, 用VLANID把用户划分为更小的工作组, 限制不同工作组间的用户二层互访, 每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围, 并能够形成虚拟工作组, 动态管理网络。从目前来看, 根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员, 被设定的端口都在同一个广播域中。例如, 一个交换机的1, 2, 3, 4, 5端口被定义为虚拟网AAA, 同一交换机的6, 7, 8端口组成虚拟网BBB。这样做允许各端口之间的通讯, 并允许共享型网络的升级。可是, 这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN, 不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员, 其配置过程简单明了。
(二) 物理安全设计。
为保证校园网信息网络系统的物理安全, 除在网络规划和场地、环境等要求之外, 还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多, 在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散, 通常是在物理上采取一定的防护措施, 来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理, 即建设一个具有高效屏蔽效能的屏蔽室, 用它来安装运行主要设备, 以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能, 在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计, 如信号线、电话线、空调、消防控制线, 以及通风、波导, 门的关起等。对本地网、局域网传输线路传导辐射的抑制, 由于电缆传输辐射信息的不可避免性, 现均采用光缆传输的方式, 大多数均在Modem出来的设备用光电转换接口, 用光缆接出屏蔽室外进行传输。
(三) 计算机病毒、黑客以及电子邮件应用风险防控设计。
我们采用防病毒技术, 防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
1.防病毒技术。
病毒伴随着计算机系统一起发展了十几年, 目前其形态和入侵途径已经发生了巨大的变化, 几乎每天都有新的病毒出现在INTERNET上, 并且借助INTER-NET上的信息往来, 尤其是EMAIL进行传播, 传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。为保护服务器和网络中的工作站免受到计算机病毒的侵害, 同时为了建立一个集中有效地病毒控制机制, 天下论文网需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如, 我们准备在主机上统一安装网络防病毒产品套间, 并在计算机信息网络中设置防病毒中央控制台, 从控制台给所有的网络用户进行防病毒软件的分发, 从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后, 不但可以做到主机防范病毒, 同时通过主机传递的文件也可以避免被病毒侵害, 这样就可以建立集中有效地防病毒控制系统, 从而保证计算机网络信息安全。形成的整体拓扑图。
2.防火墙技术。
企业防火墙一般是软硬件一体的网络安全专用设备, 专门用于TCP/IP体系的网络层提供鉴别, 访问控制, 安全审计, 网络地址转换 (NAT) , IDS, VPN, 应用代理等功能, 保护内部局域网安全接入INTERNET或者公共网络, 解决内部计算机信息网络出入口的安全问题。校园网的一些信息不能公布于众, 因此必须对这些信息进行严格的保护和保密, 所以要加强外部人员对校园网网络的访问管理, 杜绝敏感信息的泄漏。通过防火墙, 严格控制外来用户对校园网网络的访问, 对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护, 包括:过滤掉不安全的服务和非法访问, 控制对特殊站点的访问, 提供监视INTERNET安全和预警, 系统认证, 利用日志功能进行访问情况分析等。通过防火墙, 基本可以保证到达内部的访问都是安全的可以有效防止非法访问, 保护重要主机上的数据, 提高网络完全性。校园网网络结构分为各部门局域网 (内部安全子网) 和同时连接内部网络并向外提供各种网络服务的安全子网。
内部安全子网连接整个内部使用的计算机, 包括各个VLAN及内部服务器, 该网段对外部分开, 禁止外部非法入侵和攻击, 并控制合法的对外访问, 实现内部子网的安全。共享安全子网连接对外提供的WEB, EMAIL, FTP等服务的计算机和服务器, 通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器, 隐藏服务器的其它服务, 减少系统漏洞。
参考文献
[1].中国IT实验室.VLAN及VPN技术[J/OL], 2009
[2].张千里.网络安全新技术[M].北京:人民邮电出版社, 2003
相关文章:
校园网络化02-17
基于校园网网络规划设计02-17
校园网网络安全汇报02-17
书香校园评估小组02-17
智慧校园建设评估自评02-17
构建校园网网络安全方案探讨02-17
校园网络规划02-17
体外诊断试剂市场02-17
体外诊断试剂试题02-17
二类体外诊断试剂注册02-17
