校园网络系统的设计与规划.doc

天津电子信息职业技术学院（软件学院）毕业论文 题目 校园网络系统设计及规划 姓 名 专业班级 指导教师 完成时间 天津电子信息职业技术学院（软件学院）制摘要：在知识经济与数字化生存时代，校园网在资源共享、知识传播、育人管理等方面发挥越来越重要作用，因此其设计建设要本着高起点而又经济实用标准。具体来说，应是一个以宽带IP网为目标建立数据、语音、视频三网合一一体化网络；为提高网络可靠性及安全性,需要在主干网采用光纤布线，校园网应实现虚拟局域网（VLAN）功能，以保证全网良好性能及网络安全性；主干网交换机应具有很高包交换速度，整个网络应具有高速三层交换功能；主干网络应该采 用成熟、可靠快速以太网与千兆位以太网技术作为校园网主干；校园网应选用先进网管软 件，建立完善网络管理体系；在设备方面，应选择有校园网成功案例网络厂商设备，同时 为Internet、拨号用户与移动用户提供接口；网络还应具有良好扩展性。关键词：校园网 管理 服务器 安全性 设备目录引言3一校园网络系统设计需求分析4（一）计算机网络系统现状4（二）校园网需求分析4（三）校园网目标功能和设计原则5二.系统设计方案6（一）系统综合布线组建方案6（二）网络拓扑设计9（三）网络配置及管理9（四）Vlan划分及子网配置10（五）IP地址分配11三.校园网管理设计12（一）用户管理12（二）服务器管理12四校园网安全及防范13（一）根据用户特性和需求划分 VLAN13（二）防火墙设置13（三）合理运用入侵检测技术14（四）设置访问控制管理系统和智能信息过滤系统15（五）加强防范，防止病毒泛滥15五设备选型16六性能测试及风险分析16（一）性能测试16（二）风险分析17七结束语17八后记致谢17九参考文献18引言：在网络信息时代今天，面向新需求与挑战，为了学校科研、教学、管理技术水平，为研究开发与培养高层次人才建立现代化平。Intranet/Internet技术高速多媒体校园网。整个高速多媒体校园网建设原则是"经济高效、领先实惠"，既要领先一步，具有发展余地，又要比较实惠。 校园网是集计算机技术、网络技术、多媒体技术于一体系统，能够最大限度地调动学生对教学内容参及性以及积极性。校园网建设目标主要是建立以校园网络为基础行政、教学及师生之间交互式管理系统，逐步建立学校信息管理网络，实现办公自动化；为开展网上远程教学、多媒体交互式立体教学模式探索提供高速、稳定支持平台；逐步建立计算机辅助教学、计算机辅助考试等系统，为实现多媒体课件制作网络化，教师备课电子化、多媒体化打好基础；保证网络系统开放性、可持续发展性，便于以后集成视频会议、视频点播等高层次教学功能。筹划校园网要讨论三个要素，无论是校外连网还是校内连网，要较好地发挥校园网作用都要涉及三个要素：运载基础设施、运载设施与运载信息。一校园网络系统设计需求分析（一）计算机网络系统现状高校校园网发展可分为三个阶段：第一个阶段是大部分学校没有网络设备阶段，我国已经基本渡过这个阶段，据不完全统计，我国现在大学校园网覆盖率已经达到100%。第二个阶段是学校网络设备处于比较杂乱阶段，我国现有高校大部分校园网都处在这个阶段。第三个阶段是学校校园网可以提供一个高效、安全平台，为高校教育事业发展提供良好条件。这个阶段也是我们校园网发展更高目标。（二）校园网需求分析校园网一般为大中等规模组网，节点数一般300到500个，网络应用也较中型校园网复杂，对通信要求也较高，因此已经要求百兆交换到桌面，并要求支持多媒体应用。所以该校园网网络中心采用FlexHammer24交换机进行堆叠，提供高密度10/100M自适应端口，二级节点交换机根据具体情况选择Hammer2或Hammer24交换机，对多媒体教室、电子阅览室等需要多媒体应用、要求较大带宽二级节点则选用Hammer24交换机，提供10/100M兆端口接入用户桌面。普通教室选用Hammer2交换机，提供10M/100m端口接入用户桌面。FlexHammer与Hammer交换机还具有划分VLAN功能，使各部门局域网可自成体系，隔离了广播风暴，同时FlexHammer第三层交换功能又使不同用户群之间必要限制性访问得到实现，从而使得应用网络设计更加自由，更加灵活。·用务器可选择接入100M、1000M-TX、1000M-SX·堆叠可以灵活扩展端口数量·提供三层交换·扩展模块可支持1000M上联模块，以后可以使网络主干平衡升级到1000M·10/100M接入用户桌面· 网络设备选型为国际知名产品，性能稳定可靠、技术先进、产品系列全及完善 服务保证；采用支持网络管理交换设备，足不出户即可管理配置整个网络。·网络互联· 提供国际互联网ISDN 专线接入（或DDN），实现及各公共网连接；· 可扩容远程拨号接入/拨出，共享资源、发布信息等。应用系统及教学资源丰富；· 有综合网络办公系统及各个应用管理系统，实现办公自动化，管理信息化； · 有以WEB数据库为中心综合信息平台，可进行消息发布，招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。（三）校园网目标功能与设计原则在知识经济与数字化生存时代，校园网在资源共享、知识传播、育人管理等方面发挥越来越重要作用，因此其设计建设要本着高起点而又经济实用标准。具体来说，应是一个以宽带IP网为目标建立数据、语音、视频三网合一一体化网络；为提高网络可靠性及安全性,需要在主干网采用光纤布线，校园网应实现虚拟局域网（VLAN）功能，以保证全网良好性能及网络安全性；主干网交换机应具有很高包交换速度，整个网络应具有高速三层交换功能；主干网络应该采 用成熟、可靠快速以太网与千兆位以太网技术作为校园网主干；校园网应选用先进网管软 件，建立完善网络管理体系；在设备方面，应选择有校园网成功案例网络厂商设备，同时 为Internet、拨号用户与移动用户提供接口；网络还应具有良好扩展性。网上资源，进行教学与科研工作；学生可以方便地浏览与查询网上资源实现远程学习；通过网上学习学会信息处理能力。学校管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间信息数据交换，实现网上信息采集与处理自动化，实现信息与设备资源共享，因此，校园网建设必须有明确建设目标。校园网总体设计原则是：开放性采用开放性网络体系，以方便网络升级、扩展与互联；同时在选择服务器、网络产品时，强调产品支持网络协议国际标准化；可扩充性从主干网络设备选型及其模块、插槽个数、管理软件与网络整体结构，以及技术开放性与对相关协议支持等方面，来保证网络系统可扩充性；可管理性利用图形化管理界面与简洁操作方式，合理地网络规划策略，提供强大网络管理功能；使日常维护与操作变得直观，便捷与高效；安全性内部网络之间、内部网络及外部公共网之间互联，利用VLAN/ ELAN 、防火墙等对访问进行控制，确保网络安全；投资保护选用性能价格比高网络设备与服务器；采用网络架构与设备充分考虑到易升级换代，并且在升级时可以最大限度地保护原有硬件设备与软件投资；易用性应用软件系统必须强调易用性，用户界友好，带有帮助与查询功能，用户可以通过Web查询。（一）系统综合布线组建方案1工作间准备工作（1）设备间土建工程已全部竣工，室内墙壁已充分干燥。设备间门高度与宽度应不妨碍设备搬运，房门锁与钥匙齐全；（2）设备间地面应平整光洁，预留暗管、地槽与孔洞数量、位置、尺寸均应符合工艺设计要求；（3）电源已经接入设备间，应满足施工需要；（4）设备间通风管道应清扫干净，空气调节设备应安装完毕，性能良好；（5）在铺设活动地板设备间内，应对活动地板进行专门检查，地板板块铺设严密坚固，符合安装要求，每平米水平误差应不大于2mm，地板应接地良好，接地电阻与防静电措施应符合要求。2交接间环境要求（1）根据设计规范与工程要求，对建筑物垂直通道楼层及交接间应做好安排，并应检查其建筑与环境条件是否具备。（2）应留好交接间垂直通道电缆孔孔洞，并应检查水平通道管道或电缆桥架与环境条件是否具备。（3）器材检验要求(略)（4）全要求(略)（5）技术准备（略）3水平线缆布线管道布线是在浇筑混凝土时已把管道预埋在地板中，管道内由牵引电缆线钢丝或铁丝，施工时只需通过管道图纸了解地板管道，就可做出施工方案。对于没有预埋管道新建筑物，布线施工可以及建筑物装潢同步进行，这样便于布线，又不影响建筑美观。管道一般从配线间埋到信息插座安装孔，施工时只要将双绞线固定在信息插座接线端，从管道另一端牵引拉线就可将线缆引到配线间。4建筑物垂直干线线缆布线本系统采用室内多模光纤做为垂直干线主要载体，光纤垂直干线布放可参考“光纤传输管道敷设”。5管理子系统管理子系统由楼层配线架组成。其主要功能是将垂直干缆线及各楼层水平布线子系统相连接。布线系统优势与灵活性主要表达在管理子系统上，只要简单地跳一下线就可完成任何一个结构化布线系统信息插座以对任何一类智能系统连接，极大地方便了线路重新布局与网络终端调整。光纤连接时，要用光纤接续箱(LIU)，箱内可有多个ST连接器安装孔,箱体箱内线路弯曲设计应符合625125微米多模光纤弯曲度要求，光纤接头用STII，由陶瓷材料制成，最大信号衰减小于02dB，光耦合器可作为多模光纤及网络设备或光纤接续装置上连接，配线架与光纤接续箱通常设在弱电井或设备间内，用来连接其它子系统，并对它们通过跳线进行管理。6设备间子系统设备间子系统由主配线架与各公共设备组成。它主要功能是将各种公共设备(如计算机主机、数字程控交换机、各种控制系统、网络互连设备)等及主配线架连接起来。该子系统还包括电气保护装置等。7建筑群向连接子系统该子系统是指主建筑物中主配线架延伸到另外一些建筑物主配线架连接系统。及垂直子系统类似，通常采用光缆或大对数铜缆连接。它是整个布线系统一部分(包括传输介质)并支持提供楼群之间通信所需硬件，其中有电缆、光缆与防止电缆浪涌电压进入建筑物电气保护设备。（二）网络拓扑设计图（1）（三）网络配置及管理构建大中型局域网络常用设备包括交换机、路由器、安全设备与无线设备，它们可以称得上是网络构建四大支柱，或者称为网络世界四大金刚。只要掌握了这四类设备功能、选择、连接、配置、管理与排障，也就等于掌握了全面网络构建技术，同时，就可以称得上是一位名副其实网络管理员。交换机负责连接各种网络设备（如交换机、路由器、无线AP与网络防火墙等）与网络终端（如计算机、服务器、网络摄像头与网络打印机等），用于构建各种类型与规模局域网络。若没有交换机，则计算机及网络设备之间就无法通信，也就不能搭建局域网络，因此，交换机是网络构建基础，没有交换机就没有局域网。同时，交换机性能还从根本上决定着整个局域网连接带宽与传输效率。路由器则是不同网络之间桥梁，用于实现局域网之间以及局域网及Internet之间互联。若没有路由器，则局域网就会及外部网络完全隔离，即成为一座信息孤岛，因此可以形象地认为，网络对路由器渴望不亚于岛民对跨海大桥期盼。安全设备通过一定规则与限制来保证网络安全，是实现局域网内部安全重要保障。没有安全设备保护局域网，将时刻面临来自整个虚拟世界攻击威胁，个人隐私与商业机密都将荡然无存。无线网络用于实现移动用户灵活接入，在无线信号覆盖区域内，无论用户位于何处，都可以实现类似手机无线漫游，只要笔记本电脑在手就可以随时随地上网，从而摆脱了网络线缆束缚与羁绊。可见，交换机、路由器、安全设备与无线设备各司其职、相互结合、彼此补充、缺一不可。（四）Vlan划分及子网配置VLAN（Virtual Local Area Network）又称虚拟局域网，一方面，VLAN建立在局域网交换机基础之上， 采用网络管理软件构建可跨越不同网段、不同网络端到端逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置网络用户加入到一个逻辑子网中，在功能与操作上及传统LAN基本相同，可以提供一定范围内终端系统互联。另一方面，VLAN是局域交换网灵魂。这是因为通过VLAN用户能方便地在网络中移动与快捷地组建宽带网络，而无需改变任何硬件与通信线路。这样，网络管理员就能从逻辑上对用户与网络资源进行分配，而无需考虑物理连接方式。VLAN充分表达了现代网络技术重要特征：高速、灵活、管理简便与扩展容易。Vlan划分方式主要分为六类：基于端口划分，基于MAC地址划分，基于网络层协议类型划分，基于网络层子网地址划分，基于网络层广播地址划分，基于网络层，基于网络层以上协议乃至应用程序类型划分。共划分为5个VLAN：VLAN 10:划分给中国电信VPN，IP固定，不占用学校IP，指定给Huawei3526:24口。VLAN20:综合楼（含两个电脑室、两个电子阅览室及若干电脑）约220台电脑，分配一个C地址；IP地址段：219.223.40.1-254；子网掩码：255.255.255.0；网关：219.223.40.1；指定给Huawei3526光纤1端口。VLAN 30:划分给服务器群，约8台，考虑以后扩充，分配32个地址；子网IP地址段：219.223.41.1-30；子网掩码：255.255.255.224；网关：219.223.41.1； 指定Huawei3526：1-12端口。VLAN 40:划分给教学楼电教平台，约50台电脑，分64个地址；子网IP地址段：219.223.41.65-126；子网掩码：255.255.255.192；网关：219.223.41.65；指定Huawei3526光纤2端口。VLAN 50: 划分给办公楼电脑，约100左右台电脑，分半个C个地址；子网IP地址段：219.223.41.129-254；子网掩码：255.255.255.128；网关：219.223.41.129；指定13-16端口属于VLAN50。预留17-23 端口、IP地址段：219.223.41.33-62，用于以后网络扩展使用（五）IP地址分配1校园网IP地址分配总则IP地址规划根据所分配公网IP地址与内部私网IP地址分配，地址可分为三大块，一块是Cernet分配多个C类公网IP地址，作为与国际互联网互连地址，域名xxx.edu就解析在这片地址上，主要供网络中心与图书馆电脑部、部分实验室专用；校园网普通用户,使用内部地址192.168.xxx.xxx，不能与国际互联网直接发生联系，不能避开代理与计费系统；学校同时还可以申请一块ChinaNet公网IP地址，作为接入电信公网与部分关键服务器出口备份,关键服务器拥有两个公网IP，分别跨接在Cernet与ChinaNet上。2.校园网内部私网IP地址分配内部地址分配原则是按建筑物进行，视用户数量，1/4、1/2、整个C划分。对于相对固定不变教学区采用静态分配IP地址，为防止地址盗用，采用IP地址及MAC地址绑定，对于流动性大、用户人数多、用户增长快学生区采用动态分配IP地址，采用By PortVlan，小范围地限制地址盗用问题。下面是该校IP地址分配表楼宇名称IP地址范围网关办公楼一楼办公楼二楼教学楼一楼192.168.10.31192.168.10.40教学楼二楼192.168.10.41192.168.10.50教学楼三楼192.168.10.51192.168.10.60教学楼四楼192.168.10.61192.168.10.70教学楼五楼192.168.10.71192.168.10.80教学楼六楼192.168.10.81192.168.10.90信息楼192.168.10.91192.168.10.130女生宿舍楼3192.168.10.160男生宿舍楼61192.168.10.190电子阅览室192.168.10.191192.168.10.240体育馆192.168.10.241192.168.10.245（一）用户管理内网中硬件设备、操作系统与应用系统等面向用户主要分为管理者与使用者两大类，各种权限设置成为用户管理主要内容。若从可信度角度去观察用户管理，则可以看到，用户及权限设置正是用户可信程度高低表达，用户所拥有管理或使用权限越高，则其被信任程度也越高，反之亦然。用户可信度在用户管理中是有层次关系，用户可信度越高则所处可信层次越高。 在通常用户管理概念中，一个用户能够同时被赋予多种角色，行使多种权力，且这种授权方式在实现上一般仅有管理约束而无技术约束，由此产生后果则是破坏了用户可信度层次关系，给安全管理带来了隐患。（二）服务器管理服务器是校园网核心设备，也是黑客们主要攻击对象，所以它们要有最高安全性。网络操作系统是校园网服务器系统中最重要组成部分，用户通过使用网络操作系统来使用校园网络资源，所以服务器安全前提是网络操作系统安全。 安装时选择定制安装，只安装需要服务组件，安装完 Windows 2003 后，要先升级、打补丁、安装应用程序，然后再联网调试；在服务器上只保留 TCP/IP 协议，删除 NETBEUI、IPX/SPX 协议，解除NetBIOS 与 TCP/IP 协议绑定；把共享文件授权用户从“Everyone”组改为具体授权用户；把权限从“完全控制”改为想给授权；关闭默认共享、远程管理与远程 IPC，防止 IPC 入侵；账户与密码位数要足够长、足够复杂、经常更改，不能用姓名、 、生日、学校名、科室名等简单单词当密码；开启账户策略中密码策略，启用密码复杂性要求，设置密码最长存活期；默认状态下所有端口都是开启，可以根据服务器所提供服务性质，关闭那些不需要开启服务与端口；安全审核是 Windows 2000自带入侵检测方法，应开启安全审核策略；服务器安装设置完好后为它创建一个紧急修复磁盘，防备系统一不小心被破坏而不能正常启动；对服务器进行漏洞扫描，利用优化系统配置与打补丁等各种方式 最大可能地弥补最新安全漏洞，消除安全隐患。四校园网安全及防范（一）根据用户特性与需求划分 VLAN 校园局域网及其他企事业单位局域网相比，联网计算机及网络用户群体更为复杂。有教师备课机、学生机房、学生宿舍、图书馆、家属区以及人事、财务、后勤等行政办公计算机等。不同用户对 于网络有着不同需求，对于自身信息安全性要求也不同，据此可以将校园网划分为多个 VLAN。（二）防火墙设置防火墙网关能有效隔离校园网与外部互联网，使校园网及互联网之间访问连接得到有效控制，阻止黑客对校园网非法访问与攻击。针对校园网中部分重要网段(如院长办公室、教务、财务、人事、科研中心、重要实验室等)设置防火墙网关，将他们与学生机房、学生宿舍及家属区网段隔离，提供最基本网络层访问控制，使之不会受到来自校内其他网段攻击。图（2）（三）合理运用入侵检测技术入侵检测技术是主动保护自己免受攻击一种网络安全技术。作为防火墙合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员安全管理能力（包括安全审计、监视、攻击识别与响应），提高了信息安全基础结构完整性。网络系统是应用系统基础,网络安全便成为首要问题。图（3）（四）设置访问控制管理系统与智能信息过滤系统 系统隔离分为物理隔离与逻辑隔离,主要从网络安全等级考虑划分合理网络安全边界,使不同安全级别网络或信息媒介不能相互访问,从而达到安全目。 身份鉴别是对网络访问者权限识别,一般通过三种方式验证主体身份,一是主体了解秘密,如用户名、口令、密钥;二是主体携带物品,如磁卡、IC卡、动态口令卡与令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。全。 安全监测采取信息侦听方式寻找未授权网络访问尝试与违规行为,包括网络系统扫描、预警、阻断、记录、跟踪等,从而发现系统遭受攻击伤害。（五）加强防范，防止病毒泛滥 要建立一个有效合理病毒预防与查杀机制。通过在网络中部署分布式、网络化防病毒系统，不仅可以让单机有效地防止病毒侵害，还可以使管理员从中央位置对整个网络进行实时状态下病毒防护。 及时有效对病毒进行查杀。 保证所有计算机都安装了网络版杀毒软件客户端，不能漏掉一个，否则就会出现“木桶效应”，使整个网络重新被病毒感染。 及时升级服务器端杀毒软件病毒库，并要求客户端也要及时升级病毒库，并定期进行全网计算机病毒扫描。 近年爆发计算机病毒如冲击波、震荡波、QQ 尾巴等都是利用操作系统或应用软件本身漏洞进行传播，所以要及时安装系统补丁，截断病毒传播途径，配合杀毒软件起到双重防范病毒效果。 要求校园网用户在安装了学校提供网络版杀毒软件后，不得再私自安装其他杀毒软件，以免互相冲突。 在防火墙内口上捆绑 IP 与 MAC 地址，在汇聚交换机上捆绑 IP 与 MAC 地址，在接入交换机上捆绑端口与 MAC 地址。 通过 MAC 地址、IP 地址、交换机端口双重捆绑，解决校园网中 IP 地址盗用问题与 IP 冲突问题。五设备选型核心交换机（数量为2）WS-C4507R-E Cat4500 E-Series 6-Slot Chassis, fan, no ps（机箱）WS-X45-SUP6L-E Catalyst 4500 E-Series Sup 6-E Lite, 2x10GE(X2) w/ Twin Gig（引擎）PWR-C45-1000AC Catalyst 4500 1000W AC Power Supply (Data Only) （电源）CAB-AC16A-CH 16A AC Power Cord For China（电源线）S45EIPBK9-12253SG Cisco CAT4500E IOS IP BASE SSH（IOS）WS-X4506-GB-T Catalyst 4500 6-Port 10/100/1000 PoE or SFP (Optional)（板卡）汇聚交换机WS-C3750G-48TS-S Catalyst 3750 48 10/100/1000T + 4 SFP + IPB Image接入层交换机WS-C2960-48TT-S Catalyst 2960 48 10/100 + 2 1000BT LAN Lite ImageWS-C2960-24TC-S Catalyst 2960 24 10/100 + 2 T/SFP   LAN Lite Image安全设备ASA5520-BUN-K9 ASA 5520 Appliance with SW, HA, 4GE+1FE, 3DES/AES六性能测试及风险分析（一）性能测试1、网线测试：网线布设完毕、水晶头安装在两端后，立即用网络测试仪测试线路是否可以正常工作。如果不行，则可以判定水晶头及网线连接不好，这就需要重做水晶头并测试，一直到网线可以正常工作为止。2、网络设备测试：网络设备安装完毕后，加电进行测试。先测试所有网络设备包括网线是否工作正常；然后测试点及点之间网络传输速度；最后测试一点对多点网络传输速度。3、综合测试：测试外部网络与内部网络互联互通性能，主要包括以下几点：下载速度测试、网络游戏顺畅程度、在线影院流畅度等。如在测试中发现问题，请仔细查找原因并排除。（二）风险分析网络安全系统必须包括技术与管理两方面，涵盖物理层、系统层、网络层、应用层与管理层各个层面上诸多风险类别。无论哪个层面上安全措施不到位，都会存在很大安全隐患，都有可能造成网络中断。根据国内网络系统网络结构与应用情况，应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。风险分析是网络安全技术需要提供一个重要功能。它要连续不断地对网络中消息与事件进行检测，对系统受到侵扰与破坏风险进行分析。七结束语校园网是一个复杂系统工程，构建高性能校园网需要及新网络设计理念紧密结合，以高性能、高可靠性、高安全性及先进服务质量（Qos）为核心，将高校教学、科研及管理在校园网平台支撑下更上一个台阶。八后记致谢非常感谢曲杰教师在我大学最后学习阶段毕业设计阶段给我指导，从最初定题，到资料收集，到写作、修改，到论文定稿，给了我耐心指导与无私帮助。为了指导我们毕业论文，放弃了自己休息时间，这种无私奉献敬业精神令人钦佩，在此我向他表示我诚挚谢意。同时，感谢所有任课教师与所有同学在这三年来给自己指导与帮助，是他们教会了我专业知识，教会了我如何学习，教会了我如何做人。正是由于他们，我才能在各方面取得显著进步我所做一切才更有意义；也正是因为有了他们，我才有了追求进步勇气与信心，在此向他们表示我由衷谢意。九参考文献【1】汪全莉.卢少锦 浅谈高校校园网建设 2007【2】许晨 新形势下校园网络建设探索及思考 2004【3】赵毅 高校校园计算机网络设计及实现 2006【4】王竹林 校园网组建及管理 2001【5】雷体南 浅析高校校园网信息安全现状及防范 2009第 22 页