中学校园网络规划方案设计专项方案.doc

摘 要伴随计算机、网络应用不停普及，学校管理也对应发生着改变。怎样能愈加充足利用学校现有教学资源进行教学、管理，又能达成事半功倍效果？校园网实施为学校提供了很好处理方法。校园网建设是现代教育发展肯定趋势，建设校园网不仅能够愈加合理有效地利用学校现有多种资源，而且为学校未来不停发展奠定了基础，使之能够适合信息时代要求。校园网络建设及其和Internet互联，已经成为教育领域信息化建设当务之急。校园网工程是一项技术性较强综合工程，它包含到网络交换设备、路由设备、服务器和工作站、校园网应用软件、传输介质等很多方面。本文简明地讨论了校园网络计划设计中包含到网络技术、计划设计方法、网络性能及应用分析等问题，为校园网络计划、设计和升级改造等方面在技术及应用上提供参考，以使在建或计划中校园网络含有较高整体性能。 关键词：校园网络；计划设计；无线网络局域网技术；目 录摘 要I一、需求分析4（一）目标4（二）该校园网实现关键功效41.共享中国外信息资源42.www浏览43.电子邮件系统（E-mail）44.匿名FTP服务45.电子公告牌BBS.46.网络考试47.CIMS、MIS等教学科研试验网48.建立电子图书馆，提供联网查询4（三）该校园网技术方案特点51.优异性52.标准化53.实际性54.经济性55.易维护性5（四）网络接入技术和网络访问策略51.建立虚拟网52.网络管理53.网络安全需求分析64.广域网连接6二、网络计划设计7（一）网络计划标准71.实用性和优异性72.开放性和标准化73.可靠性和安全性74.经济性和可扩充性7(二) 网络拓朴图8（三）网络技术选择81.快速以太网82.千兆以太网93.网络传输电缆选择94.组网技术选择95.布线系统选择9（四）硬件选择10（五）网络中操作系统软件111.校园网络管理平台选型112.网上教育资源库11（六）校园网络设计模式11三、校园网安全威胁分析13（一）来自校园网内部用户威胁13（二）作为学校对外宣传平台、办公需要而和互联网连接13（三）黑客攻击13（四）网络应用层威胁13四、无线局域网技术14五、网络安全设计目标及准则15（一）有效访问控制15（二）集中安全漏洞检验和攻击监控15（三）多层防御和完善认证体系15（四）数据备份和恢复15一、需求分析网络计划设计是一个系统建立和优化过程，建设网络根本目标是在Internet上进行资源共享和通信。要充足发挥投资网络效益，需求分析成了网络计划设计中关键内容，它提供了网络设计应抵达目标，并有利于设计者愈加好地了解网络应该含有性能；结合学校办学规模、管理需求和师生对教学科研需要，确立一个性能较高网络计算平台。（一）目标概括讲，校园网是为学校提供教学、科研和综合信息服务宽带媒体网络。校园网应为学校教学、科研提供优异信息化教学环境，并含有教学教务、行政事务和总务后勤管理功效。教学教务管理包含：课程管理、学生成绩和学籍管理、图书资料管理，德育教育管理：行政事务管理包含：党务、行政管理（会议、文件、资料等），档案管理（人事、科研结果、固定资产、财务账本等）：总务后勤管理包含：财务管理、设备、房产、食堂、招待所及办工厂管理。 （二）该校园网实现关键功效1.共享中国外信息资源。2.www浏览。3.电子邮件系统（E-mail）。4.匿名FTP服务。5.电子公告牌BBS.。6.网络考试。7.CIMS、MIS等教学科研试验网。8.建立电子图书馆，提供联网查询。（三）该校园网技术方案特点1.优异性选择代表世界优异水平技术和设备，不使校园网在短期内落伍。2.标准化采取成熟技术，符合国际标准。3.实际性紧密结合本校实际情况。4.经济性选择性能价格比较高设备、器件，经济配套，投资和维护费用低。5.易维护性系统质量稳定，轻易维护和管理。（四）网络接入技术和网络访问策略我们能够对整个网络采取虚拟网技术和交换技术，以使整个网络含有愈加灵活高效网络系统。对外和CERNET 和Internet 互联，形成一个高速、高性能、开放校园网系统，为全体师生提供一个优异、快捷网络环境，分享中国外计算机资源信息，促进学校全方面提升和发展。1.建立虚拟网虚拟网关键作用和目标是：处理主干网内网络站点增加、删除、移动等操作，方便网络维护和管理；能够建立不受物理区域限制，覆盖整个校园相互含有一定独立性网络或逻辑子网，即虚拟网。校园网应能够有效管理和限制虚拟网之间访问，各部门能够各自占用一个独立虚拟网，整个虚拟网是可升级、可扩展。而且，依据校园网实际需求，有共同研究项目或爱好科研人员需要在一个逻辑子网内。所以，不管从网络管理，还是用户角度来讲，校园网络全部需要虚拟网技术支持。2.网络管理校园主干网是覆盖多幢大楼园区网络，组成了一个相当复杂计算机网络。伴随网络复杂度增加，给网络管理带来成级数增加管理工作量。网络管理要求处理问题包含以下两点。（1）虚拟网管理、分配现在虚拟网关键基于局域网交换端口，假如一个部门扩展新入网地点，以后扩展将改变交换机端口设置。管理软件应该提供远地虚拟网修改功效。（2）对全部网络设备端口监视和管理对全部网络设备远地配置和控制，包含网络设备端口开放和关闭、整个网络故障检测、故障自动报警功效、整个网络性能统计和分析汇报，甚至收费项目，等等。根据这些网络管理需求，应采取基于GUI 界面网络管理软件。3.网络安全需求分析校园网络安全关键考虑以下几方面要求：各个部门、系所访问网络控制，各单位之间在未经授权情况下，不能相互访问。内部网中要建立防火墙，即严禁外部用户未经许可访问内部数据，或内部用户未经许可访问外部数据。对安全问题考虑关键是两个方面：一是校园网应该是一个开放系统，它不需要和政府或商业企业一样网络安全保密性；二是校园网应该是安全，它不应该受到恶意攻击而无法运行，部分科研结果也不应该对任何人全部开放。我们关键利用虚拟网技术和防火墙技术来合了处理安全和开放问题。4.广域网连接校园网对广域网连接需求关键表现在：能够和国际互联网连接，和国际交流信息；能够和CERNET 中国各个单位交流信息。满足出差在外校领导及其它公务人员立即和学校保持联络。为此，应经过DDN、无线网等公用或专用数据网络和CERNET 连接，再连到Internet。另外，必需提供经过电话拨号连接上网访问接口，为移动用户和家庭用户提供入网服务。二、网络计划设计（一）网络计划标准1.实用性和优异性依据学校实际情况和特点，在设计中应尤其强调实用性和优异性结合，采取成熟网络技术，确保校园网实用；跟踪国际网络技术新发展，设计技术优异网络。在确保校园网可靠、实用、优异基础上，能够提供研究优异网络技术科研环境，方便学校科研和开发。2.开放性和标准化整个校园网设计采取开放性网络体系，以方便网络升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持网络协议国际标准化。3.可靠性和安全性在校园网设计中，关键考虑两个层次：一是整个网络可靠性和安全性，采取高可靠性高安全性网络体系结构，包含合理设计广域网访问控制和内部虚拟网访问控制、对外部网络访问链路备份等；二是网络设备安全性和可靠性，关键依靠采取可带电插拔模块、配置双电源、端口冗余、设置网络设备用户表及口令限制等手段实现。4.经济性和可扩充性在满足学校需求前提下，选择性价比高网络设备和服务器。采取网络架构和设备应充足考虑到易升级换代，而且在升级时能够最大程度地保护原有硬件设备和软件投资。 (二)网络拓朴图图2.1 网络拓扑图（三）网络技术选择现在比较常见主干网技术有FDDI、ATM、快速以太网和千兆以太网等。前二种技术，因为缺点众多，已经退出了主流市场；后二种以太网技术因为有很多技术优势，已经成为现今网络主流，其中含有交换功效快速以太网，支持VLAN，并轻易升级到千兆以太网，性能优越，价格适中，通常提议采取快速以太网作为校园网主干技术。快速以太网，以上已经提到关键应用在校园接入层，如楼层，楼间；千兆以太网关键应用在关键设备之间，主校园和分校之间及上连广域网设备上。1.快速以太网 传统以太网用是10Mb/s技术，快速以太网是以太网升级，速度可提升到100Mb/s，现在网卡和集线器等网络终端设备全部支持这种技术，是当今网络技术主流，应用很广泛。不仅应用于校园，快速以太网也很好应用在政府、企业网络中。快速以太网设计很灵活，几乎对网络结构没有限制，能够是交换式、共享式或基于路由器。现在正在应用网络互联技术，比如，特定IP交换技术和第三层交换技术，全部和快速以太网完全兼容，而且能够经过价格廉价共享集线器、交换机或路由器来实现。2.千兆以太网千兆位以太网是相当成功10Mb/s以太网和100Mb/s快速以太网连接标准扩展，而且继承了快速以太网全部优点。现在千兆位以太网成熟标准为IEEE802.3z。千兆位以太网技术以简单以太网技术为基础，为网络主干提供1Gb/s带宽。千兆位以太网使用传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。现在，千兆以太网支持单模光纤、多模光纤和同轴电缆，支持5类非屏蔽双绞线标准正在制订中。3.网络传输电缆选择相关网络传输电缆选择可分成室外电缆和室内电缆两个部分。室外电缆能够采取电话线和光缆。假如是以网络互联方法连接电缆，含有较大带宽，提议采取光缆；假如是以单个计算机（尤其是微机）相连，而且以后不会有大量传输视频或图像信息应用连接方法，能够采取电话线。这么，在学校科技楼、试验楼、教学楼可经过多模光缆相连。室内电缆现在通常选择双绞线，办公大楼内要采取结构化布线，内部基础上采取双绞线。4.组网技术选择对于共享10M 通常以太网，假如用户不超出20 个，而且网络应用数据量较小时，网络性能还能够满足通常需求。对于静态图像等数据量较大网络应用，共享10M 以太网因网络碰撞次数不停增加造成网络延时增加而难以满足性能要求。在这种情况下，交换10M 交换以太网技术能够满足大量数据应用需求。采取交接以太网技术，假如主干网仍然为10M 速率，多个用户同时使用网络时，主干网会成为整个网络瓶颈，这就需要提升主干网带宽，快速以太网技术是一个选择。ATM 技术是很适于多媒体实时信息网络应用技术，尤其是对于视频会议、视频点播等大量数据实时传输，ATM 技术是首选。采取IBM 网络设备，从18M 网络技术发展策略来看，构建ATM 网络是较为合理。5.布线系统选择布线系统通常采取综合布线系统或结构化布线系统。结构化布线系统是一套符合国际标准、完整、开放布线系统。结构化布线系统符合商用建设布线系统标准EIA71A568，不管各楼层布线，还是主干线均采取量形结构。这种布线结构能够实现多种网络拓扑结构，包含总线型、量型、环型或若干种形式组合。所以，不管以后网络怎样发展，结构化布线系统总能够适应。学校校园网布线系统能够组合为两个部分，楼内布线和楼间光缆。为了确保UTP100 米要求，布线沟最好选择在楼中心位置。信息插座分布是布线系统设计一个关键问题。信息插座布在哪里，计算机网络有可能延伸到哪里。因为计算机网络将在现代化校园中起着很关键作用，所以信息插座要尽可能分布面广，各个房间全部要安装有信息插座，包含教室、试验室、办公室、会议室和娱乐场所等等，较大房间和需求高房间应分布多个信息插座。要选择地理位置适中一个楼建立网络中心，网络中心最少需要20 平米机房一个。网络中心机房该楼布线间，位置最好在该楼中心，其它两楼配线间经过光缆和网络中心机房连接。（四）硬件选择校园网是由主干网络和子网络两个层次组成综合体系，二者组成了校园网物质基础。校园网中主干网络是由交换机、路由器等设备连接组成网络部分，用于实现子网络连接及因特网网络资源访问。校园网硬件系统结构由网络中计算机、网络设备组成。从服务器提供网络功效角度，能够将网络服务器划分为文件服务器和特殊应用服务器两种。除网络上工作站使用一般PC机外，主机选择应使用专业高性能服务器。连接介质选择分两部分，第一部分为各交换机（switch）之间（楼和楼之间，楼层之间）及网络出口干线选择光纤，第二部分为从访问层交换机到用户PC桌面选择超五类双绞线。路由器性能较为关键，选择Cisco企业和3Com企业产品，就能表现出极高性能。数据存放设备，除可选择大容量硬盘外，还可选磁带机、磁盘阵列、光盘阵列，这些外存设备，均可用于储存海量网络数据，图书资料，多媒体素材及课件学生学籍和成绩校园网络中心和各分校区均经过2ME1光纤或DDN专线或ADSL接入Internet。对于我们画定区域图书馆、宿舍等，全部能够经过100M交换口连入校园网，而各个终端能够采取10/100M共享式端口。现在校园网大多数是纯三层交换网络。因为交换机全部含有三层功效，汇聚层通常已经能够和接入层归纳为一个层次。各楼层和各楼之间交换设备全部直接上连到关键设备上。关键层是校园网络最关键部分，在这里一定要选择性能稳定，安全设备。学校网络中心关键交换机能够选择H3Com Switch 7500系列局域网络关键交换机、SuperStack 3 系列局域网络交换机或思科Catalyst 6000、5000、4000系列交换机。这些设备全部是各大厂商主流设备，而且广泛应用和网络结构关键，含有管理方便、性能稳定、安全（可增加安全模块）和高扩展性。 汇聚层则能够选择3Com SuperStack 3 系列局域网络交换机或思科Catalyst 4000系列、3500系列等设备，这些设备性能稳定，管理方便，扩展性强。接入层能够采取思科Catalyst 2900、3500系列交换机，也能够采取华为28系列。这些设备性能稳定，价格廉价，功效强大。（五）网络中操作系统软件现在最常见网络操作系统关键有Windows Server 、UNIX、Linux。网络应用系统平台关键包含：网络基础服务(Internet、WWW、DNS、E-mail、FTP)网络教育资源库，网络教学系统，网络信息管理系统等应用平台。1.校园网络管理平台选型校园网络管理平台操作系统提议采取Windows Advanced Server。整个系统提供默认设置，对于绝大多数学校，依据自己实际情况，简单地进行修改和配置后即可使用。各类信息经过电子方法存放，可随时查询，对对应信息还可进行实时评定，为学校领导进行管理和决议提供依据。管理平台利用在日常管理中将起到巨大作用。2.网上教育资源库高性能Web集成应用系统。资源库管理基于Windows 平台，采取ASP结合SQL Server 数据库BrowserServer方法。应用系统采取网络服务器、数据库服务器和前端Web开发形式，提供稳定可靠资源使用和管理功效，确保了系统完整性和一致性。（六）校园网络设计模式 一个良好设计方案除表现出网络优越性能之外，还表现在应用实用性、网络安全性、易于管理性和未来可扩展性。适应未来网络扩展和拓扑结构改变，能为特定师生用户或用户组提供访问路径，确保网络能不间断地运行，当网络扩大和应用增加时，改变网络结构要能应付对应带宽要求。使用频率较高应用能够支持网上大多数师生用户，能合理地分配用户对网内、网外信息流量，能支持较多网络协议，扩大网络应用范围，支持IP单点传送和多点广播数据流。要达成以上这些设计要求，分层设计功效及星型、树型和交叉型拓扑结构应给足够重视。图2.2 校园网分层设计及拓扑结构三、校园网安全威胁分析校园网从威胁角度来看, 和大多数和互联网相连网络一样, 内部用户需要流出, 外部用户需要接入。有多个常见威90胁会引发黑客经过探索深入网络破坏:（一）来自校园网内部用户威胁尽管多种数据统计结果百分比数有一定出入, 但大多数攻击来自于内部网络已是不争事实。设计网络安全系统时, 关键是要了解潜在内部威胁。（二）作为学校对外宣传平台、办公需要而和互联网连接校园网中可公开定址主机随时全部面临着来自外网多种威胁。运行在这些主机上系统很可能会遭受比如应用层漏洞攻击和DOS攻击。（三）黑客攻击经过“war- dialer”试图确定您数据电话号码并试图进入网络。War- dialer1是可拨打多个电话号码以确定连接另一端系统类型软件或硬件。带用户安装远程控制软件个人系统是最易遭受攻击, 它们通常全部不是很安全。因为这些设备在防火墙后, 一旦黑客经过她们拨号进入主机接入网络, 她们就可假冒网络用户。（四）网络应用层威胁常见威胁还包含计算机病毒、垃圾邮件、违反学校管理制度论坛和网站和网络管理人员误操作等。这些问题全部需要我们校园网网络安全系统能够防范、监视和纠正这些威胁。四、无线局域网技术伴随多媒体技术发展,和笔记本电脑、膝上型、掌上型电脑等便携式终端设备广泛使用,学校师生对无线上网需求越来越高. 大家期望能够利用移动式、便携式上网设备实现数据通信、信息资源检索、远程教学、移动办公、移动会议、移动学习等活动,无线局域网技术为之提供了可能. 所以,组建一个高效便捷校园无线局域网是对目前有线校园网必需补充.无限局域网含有灵活性、低成本、移动方便、易安装特点,但也存在可靠性、安全性、网络速度等问题,所以它不能用来替换有线校园网,而只能填补有线校园网络不足之处,用于扩展延伸校园网.现在高校依据应用环境不一样,校园无线局域网采取拓扑结构关键有网桥连接型、访问节点连接型、HUB 接入型三种类型. 无线网络常见设备包含无线网卡，无线基站AP(Access Point)，无线路由器(Wireless Router)。多年来,为了提升无线通信能力和效率,不少无线路由设备整合了交换机和防火墙功效.在考虑无线局域网接入方案时,选择用HUB (集线器) 互连方法,在每个楼宇汇聚交换机上接入Wireless AcessPoint作为有线网络和无线网络桥接器,将无线信号经过AP 自带以太网接口桥接到原有有线局域网中;同时,它也作为无线信号覆盖范围内终端信号汇聚设备,兼容802. 11g/ b 协议栈,提供无线信号覆盖区域内用户端接入. 无线AP 需提供多个认证和加密方法,以确保无线用户接入安全问题和无线数据加密问题.假如实现这一方案,只要配置无线网卡移动设备或PC 机,就能够实现网络资源快速连接,使数据传输速率最高达成54Mbp/s ,从而基础确保校园网无线用户数据通信需要. 无线网络一个关键特征就是移动性,经过校园无线网SSID 计划,无线AP 能够提供漫游功效,使无线网络能够直接从AP 上自动继承通道配置属性,确保其在无线局域网范围内自由移动时,能够不间断地使用网络.经过这种WLAN 网络互连方法,不仅可在网络中快速添加新用户,支持临时工作组,还能够在汇报厅、图书馆、体育馆、会议室、校园广场等区域提供灵活、方便无线网络接入服务.五、网络安全设计目标及准则（一）有效访问控制经过特定网段和服务建立访问控制体系, 在授权用户访问网络时, 资源能够被快速定位和获取; 在未授权用户访问网络时, 用户根本查找不到网络目标, 从而有效地阻止了非法用户访问或攻击。能够经过在接入层交换机上开启802.1x认证方法, 在用户开机时强制进行认证和授权。对于一些特殊用户和特殊资源, 我们也能够经过配置ACL ( 访问控制列表) 方法进行授权和保护资源。（二）集中安全漏洞检验和攻击监控经过特定网段及服务建立多个监控体系, 应可随时检测出绝大多数攻击, 并采取对应方法( 如断开连接、统计攻击过程及跟踪攻击等) , 并能周期性地检验安全漏洞, 做到立即发觉, 立即防范。将经过集成在关键交换机内IDSM ( 入侵检测系统模块) 来监视网络中非法或可疑行为, 并可由网络管理员依据需要自行定义处理方法。可选处理方法包含: 断开连接( TCP 复位) 、严禁访问、统计日志或不采取行动等。（三）多层防御和完善认证体系建立一个完善认证体系, 能够预防非法用户登录到网络, 或正当用户访问未授权资源攻击。经过采取防火墙、防病毒软件、入侵检测系统和服务器进程监控软件等构建一个多层防御系统, 使服务器在遭到攻击或碰到故障之初就能经过E-mail、电话、手机等方法在第一时间通知系统管理员。防火墙、防病毒软件和入侵检测系统全部在下文中有具体介绍, 服务器进程监控软件请参见投标文件服务器和存放部分。（四） 数据备份和恢复我们在网络设计之初就对备份和恢复系统给了充足重视, 设计了完善备份和恢复体系。一旦数据被破坏可立即得到恢复, 避免系统遭到攻击后全网瘫痪。具体设计方案和产品选型请参见投标文件服务器和存放部分。