xx校園網規(guī)劃與設計

1、*實踐教學*蘭州理工大學計算機與通信學院計算機網絡 課程設計題 目： 白銀一中校園網規(guī)劃與設計專業(yè)班級： 姓 名： 學 號： 指導教師： 成 績： I摘 要 本次校園網絡建設，充分考慮了白銀一中的實際情況和現狀,盡可能從實用性和經濟性等方面進行規(guī)劃。依據現代教學需求提出了網絡建設的基本要求，并對校園網的建設進行了詳細的規(guī)劃與設計。校園網的建設主要是局域網建設，利用當前先進的計算機網絡技術將教學樓、辦公室、實驗樓、宿舍等通過網絡連接起來，并與INTRENET相連，實現教學資源、信息資源、硬件資源和軟件資源的共享，實施網上智能辦公系統(tǒng)，充分體現計算機網絡技術所帶來的先進、高效、快捷的特性。在網絡建

2、設中，根據校園網的使用需求分析，重點進行了主干網絡設計、綜合布線、產品選擇及性能分析等的規(guī)劃，然后對整個方案進行網絡測試及協議數據包分析。建成以后的校園網，將為老師、學生提供可靠的、高速的和可管理的網絡環(huán)境，從而為學校的教學和管理工作提供廣泛的數據資源共享、豐富便捷的網絡應用。 關鍵詞：網絡拓撲圖；IP劃分；主干網；網絡管理；服務器；安全性前 言計算機科學技術與通信技術相結合的計算機網絡技術的發(fā)展現在是日新月異，從各個方面為我們的生活提供便利，我們基本上離不開網絡信息平臺了，并且隨著因特網的迅速普及，給我們的學習與生活條件帶來更大的方便，使我們與外部世界的聯系將更加的緊密。隨著我們對信息資源共

3、享以及信息交流的迫切需求，促使網絡技術的產生和快速發(fā)展，計算機網絡的產生和使用為人類信息文明的發(fā)展帶來了革命性的變化。伴隨著企業(yè)級大中型網絡的發(fā)展，校園網的建設已經進入到一個蓬勃發(fā)展的階段。校園網的建成和使用，對于提高教學和科研的質量、改善教學和科研條件、加快學校的信息化進程，開展多媒體教學與研究以及使教學多出人才、科研多出成果有著十分重要而深遠的意義。其主要包括各種局域網的技術思想、網絡設計方案、網絡拓撲結構、布線系統(tǒng)、網絡安全，網絡系統(tǒng)的維護等內容。通過建設一個高速、安全、可靠、可擴充的校園網絡系統(tǒng)，實現校內信息的高度共享、傳遞，推進教學及管理信息化。為了實現校園內外信息的交流，還需要建立

4、出口信道，實現與Internet互聯，使教職員工和學生既可以上萬維網，又可以訪問校園網，從而進行更加有效的交流和學習。目 錄摘 要I前 言II第1章 企業(yè)描述1第2章 需求分析22.1 帶寬（核心層、（部門層、）桌面）22.2 子網與VLAN規(guī)劃22.3 實現的信息服務32.4 應用程序42.5 存儲系統(tǒng)分析42.5.1 數據量42.5.2 訪問流量42.6 系統(tǒng)及數據安全分析52.7 QoS62.8 網間隔離7第3章 拓撲圖及方案整體描述83.1 主干網傳輸方案設計83.2 Internet接入方案83.3 遠程訪問支持103.4 子網劃分與VLAN設定103.5 網間隔離方案設計113.6

5、 存儲方案123.7 設備選型123.8 軟件153.9 信息服務方案173.10 綜合布線方案19第4章 網絡管理20第5章 系統(tǒng)主要設備報價23參考文獻24課程設計總結25第1章 企業(yè)描述白銀一中位于甘肅省白銀市白銀區(qū)，創(chuàng)辦于1958年，具有深厚的文化底蘊和優(yōu)良的教學傳統(tǒng)，學校管理嚴格，具有優(yōu)良的校風、教風和學風，校園環(huán)境優(yōu)美。學?，F有學生近四千人，教職工三百人左右。為了提高教學質量和教學管理以及方便同學們學習，學校準備組建校園網。學?，F有實驗大樓、學生宿舍樓及教學樓、教師辦公樓。大樓之間距離為50500M，各個大樓的計算機大約有五百臺。近年來，學?？朔щy多方籌措資金，投入800萬元興建

6、維修了實驗電教樓、學術報告廳、師生餐廳、2號學生宿舍樓，改善教學設施，促進學校教育教學質量的全面提升，使校園布局在規(guī)劃發(fā)展中會更加合理。為了實現辦公自動化及教學質量和效率的提高，組建校園局域網迫在眉睫。主要功能是學生能夠利用網絡實現在線視頻學習；教師和學生還可以利用網絡學習各種和課程相關的最新資料。另外，學校管理中心可以利用網絡對學生的學習與其他方面的表現進行評價和監(jiān)控，從而實現教學，管理和辦公自動化。由于學校的規(guī)模比較小和學校的可用資金有限，所以組建校園網絡的資金限制在30-40萬元左右。白銀一中的地域分布圖（決定傳輸介質與走線），如圖1.1所示：男生宿舍樓辦公樓實驗樓教工宿舍樓女生宿舍樓教

7、學樓 圖1.1 白銀一中地域分布圖第2章 需求分析2.1 帶寬（核心層、（部門層、）桌面） 白銀一中共有六個建筑物需要聯網，其中教學樓一棟，實驗樓一棟，辦公樓一棟，宿舍樓三棟，包括兩棟學生宿舍樓和一棟教工宿舍樓。 校園內部網絡中心設在獨立的樓層中，教學樓，實驗樓，辦公樓，男女生宿舍樓和教工樓各設一個結點，這七個結點的交換機分別用光纖與網絡中心的中心交換機相連接，構成校園網的千兆以太網的主干，各結點完成100M交換到桌面。 網絡中心是內部網絡管理中心、Internet接入點和學校資源管理共享的數據庫中心。也為其他鄰校提供共享數據服務的中心。2.2 子網與VLAN規(guī)劃1.子網按照學校的地理分布和應

8、用的數據流量進行劃分每個子網覆蓋一幢樓或樓的某些層。子網通過樓間的戶外光纜與網絡中心相連。子網是一個相對獨立的局域網，內部采用交換技術作為主要連接手段，通過VLAN形成邊界，并與主干網匯接。具體技術方案要點如下：各子網通過接入交換機接入主干網；各子網采用與主干網一致的通信協議；各子網通過網絡中心實行統(tǒng)一集中的管理；子網內的各工作組網的交換機接入子網交換機；子網內部采用交換技術組網。2.工作組網工作組網可以是一個教學組，也可以是一間辦公室，還可以是其它劃分。工作組網的連接設備是低端交換機，各桌面計算機連接到工作組網的交換機上，工作組網實現100M到桌面。具體的技術方案要點如下：各工作組網接入子網

9、交換機；各工作組網采用與主干網一致的通信協議；各工作組網通過網絡中心實行統(tǒng)一集中的管理；工作組網上可設置工作組內共享的服務器；工作組網內部采用共享或獨占10M端口的方式組網。3.子網劃分 校園網中所有的主機數不超過1000臺。計算機的基本地域分配是：教學樓有50臺、辦公樓有70臺、實驗樓有100臺、每個宿舍樓有250臺一共有90臺。而一個C類子網有254個可以讓用戶正常使用的IP地址，所以申請5個C類IP地址即可滿足這個校園網需求。具體地址分配如下：實驗樓（100臺），分配一個C類子網；教工宿舍樓（250臺），分配一個C類子網；男生宿舍樓（250臺），分配一個C類子網；女生宿舍樓（250臺），

10、分配一個C類子網；教學樓和辦公樓一共有120臺，因此兩棟樓可以共用一個C類IP網段，然后對其進行子網劃分。分割成兩個虛擬子網，由于教學樓和辦公樓主機都不超過126臺，因此圖書館和教學樓的子網掩碼定為：28。這樣實現圖書館和教學樓共用一個C類IP網段，從而提高了IP地址的利用率。2.3 實現的信息服務校園網的主要功能是為教育、教學服務，校園網正促進著教學內容與方式方法的變革，促進著學校教育與社會教育的發(fā)展，改變著學校與社會、理論與實踐、知識與技能的質量。本設計組建的校園網基本實現了這幾方面的需求。1WEB文件瀏覽服務2FTP文件傳輸服務3視頻點播服務4郵件收發(fā)服務5.數

11、據庫服務2.4 應用程序本校園網絡系統(tǒng)采用TCP/IP網絡，其網絡地址及主機標識使用TCP/IP建議的B類編碼格式；系統(tǒng)采用CLIENT/SERVER的結構體系；UNIX操作系統(tǒng)；SQL標準的關系數據庫SYBASE；C+及C語言。1系統(tǒng)服務器軟件 操作系統(tǒng)：Linux數據庫系統(tǒng)：SQL Server2工作站軟件 操作系統(tǒng)：SCOUNIX3操作終端軟件操作系統(tǒng)：WINXP或WIN72.5 存儲系統(tǒng)分析2.5.1 數據量存儲區(qū)域網絡(Storage Area Network，簡稱SAN)采用光纖通道(Fibre Channel)技術，通過光纖通道交換機連接存儲陣列和服務器主機，建立專用于數據存儲的

12、區(qū)域網絡。SAN結構中，文件管理系統(tǒng)(FS)還是分別在每一個應用服務器上;而NAS則是每個應用服務器通過網絡共享協議(如:NFS、CIFS)使用同一個文件管理系統(tǒng)。SAN存儲采用的帶寬從100MB/s、200MB/s，發(fā)展到目的1Gbps、2Gbps。2.5.2 訪問流量網絡接入存儲(Network-Attached Storage，簡稱NAS)采用網絡(TCP/IP、ATM、FDDI)技術，通過網絡交換機連接存儲系統(tǒng)和服務器主機，建立專用于數據存儲的存儲私網。由于網絡接入存儲采用TCP/IP網絡進行數據交換，TCP/IP是IT業(yè)界的標準協議，不同廠商的產品(服務器、交換機、NAS存儲)只要滿

13、足協議標準就能夠實現互連互通，無兼容性的要求；并且萬兆以太網(10000Mbps)的出現和投入商用，存儲網絡帶寬將大大提高NAS存儲的性能。 NAS需求旺盛已經成為事實。首先NAS幾乎繼承了磁盤列陣的所有優(yōu)點，可以將設備通過標準的網絡拓撲結構連接，擺脫了服務器和異構化構架的桎梏。其次，在企業(yè)數據量飛速膨脹中，SAN、大型磁帶庫、磁盤柜等產品雖然都是很好的存儲解決方案，但他們那高貴的身份和復雜的操作是資金和技術實力有限的中小企業(yè)無論如何也不能接受的。NAS正是滿足這種需求的產品，在解決足夠的存儲和擴展空間的同時，還提供極高的性價比。2.6 系統(tǒng)及數據安全分析計算機網絡經常會受到黑客或者病毒的攻擊

14、，這對網絡系統(tǒng)和數據安全造成了嚴重的威脅。針對黑客威脅，網絡安全管理員采取各種手段增強服務器的安全，確保網絡服務的正常運行。象在Internet上的Email、ftp等服務器一樣，可以用如下的方法來對系統(tǒng)數據進行保護： 1安全配置 關閉不必要的服務，安裝操作系統(tǒng)的最新補丁，將網絡服務升級到最新版本并安裝所有補丁，對根據網絡服務提供者的安全建議進行配置等，這些措施將極大提供網絡系統(tǒng)本身的安全。 2防火墻 安裝必要的防火墻，阻止各種掃描工具的試探和信息收集，甚至可以根據一些安全報告來阻止來自某些特定IP地址范圍的機器連接，給網絡服務器增加一個防護層，同時需要對防火墻內的網絡環(huán)境進行調整，消除內部網

15、絡的安全隱患。 3漏洞掃描 使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描，來發(fā)現潛在的安全問題，并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。 4入侵檢測系統(tǒng) 利用入侵檢測系統(tǒng)（IDS）的實時監(jiān)控能力，發(fā)現正在進行的攻擊行為及攻擊前的試探行為，記錄黑客的來源及攻擊步驟和方法。 這些安全措施都將極大提高網絡服務器的安全，減少被攻擊的可能性。 2.7 QoSQoS是網絡與用戶之間以及網絡上互相通信的用戶之間關于信息傳輸與共享的質的約定?，F階段Internet的狀況是比較復雜的，帶寬參差不齊、時延大、不穩(wěn)定。如何在IP網絡上保證用戶信息傳輸的質量就成為一個不容忽視的重要問題

16、，為解決這一問題，網絡服務質量（QoS，Quality of Service）便應運而生。隨著各種需要大量帶寬的新型網絡業(yè)務的出現，校園網內的業(yè)務流量不斷增加，對帶寬、延遲、抖動等指標提出了更高的要求。各學校開始考慮在自己的網絡中部署QoS，以保證語音、視頻等業(yè)務的正常運行。策略是指流量分類、定義的執(zhí)行，它們確定每個業(yè)務的優(yōu)先級、分配的帶寬等一些與QoS有關的內容。策略服務器是管理員在全網中集中統(tǒng)一定義策略的地方，通過指定的各種策略對園區(qū)網中的QoS服務進行控制和管理。網絡設備從策略服務器下載并執(zhí)行這些定義好的策略，所有支持QoS的設備都遵循策略中定義的規(guī)則來轉發(fā)數據，從而有效地對全網資源進行

17、統(tǒng)一分配與管理。同時，策略服務器能夠根據網絡的現狀與預先定義的策略調整，自動與網絡適應，網絡設備會根據策略自動完成相關配置，向不同的業(yè)務提供不同的QoS。部署實現 在校園網中實現基于策略服務器的QoS部署時，主要包括以下三個步驟：（1）在策略服務器上定義策略；（2）配置網絡設備接收策略；（3）在策略服務器上分發(fā)策略。策略服務器使用了Nortel OPS (Optivity Police Service)，同時使用Nortel iPlanet目錄服務器存儲策略信息。另外，在OPS中定義了網絡邊緣設備和網絡核心設備兩類設備。網絡核心設備只是簡單地執(zhí)行已定義的策略，保證全網的策略連續(xù)性。2.8 網間

18、隔離網絡隔離技術的目標是確保把有害的攻擊隔離，在可信網絡之外和保證可信網絡內部信息不外泄的前提下，完成網間數據的安全交換。網絡隔離技術是在原有安全技術的基礎上發(fā)展起來的，它彌補了原有安全技術的不足，突出了自己的優(yōu)勢。 網絡隔離的關鍵是在于系統(tǒng)對通信數據的控制，即通過不可路由的協議來完成網間的數據交換。由于通信硬件設備工作在網絡七層的最下層，并不能感知到交換數據的機密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現，而這些機制的實現都是通過軟件來實現的。因此，隔離的關鍵點就成了要盡量提高網間數據交換的速度，并且對應用能夠透明支持，以適應復雜和

19、高帶寬需求的網間數據交換。根據學校網絡的結構特點及面臨的安全隱患，通常通過防火墻、入侵檢測、網絡殺毒軟件，實現網絡病毒防范的安全需求，為學校構建統(tǒng)一、安全的網絡。 防火墻的布置，在Internet與學校網絡內之間布署了一臺防火墻，其中WWW、E-mail、FTP、DNS服務器連接在防火墻的DMZ區(qū)，與內、外網間進行隔離，內網口連接學校網絡內網交換機，外網口通過路由器與 Internet 連接。第3章 拓撲圖及方案整體描述3.1 主干網傳輸方案設計校園主干傳輸網的設計是校園網絡中心設計的核心，主要有兩個方面組成，包括主干傳輸網的方案選擇和主干傳輸網網絡拓撲圖，在本設計中，我們選擇千兆以太網作為主

20、要的校園主干傳輸網。1主干傳輸網設計方案千兆以太網是近幾年發(fā)展起來的技術，和快速以太網相比，提供更高更快的傳輸速度，還有更好的第三層交換能力，能管理更高的帶寬，更高的流量。其技術較ATM簡單，而且價格合理?？紤]到學校校園網的實際情況，我們推薦使用聯想新近推出的LS-5608G 智能型8口機箱式千兆以太網交換機作為校園網的中心交換機。它可適用于中小型主干網絡和高速率、高端口密度、多端口類型的復雜網絡。2主干傳輸網網絡拓撲圖 在本設計中我們選擇MS-5103 1口千兆位以太網模塊（SX/MM/850nm，0-350m）或MS-5104 1口千兆位以太網模塊（LX/SM/1310nm,0-6km）與

21、下面的各個子網通過千兆位的鏈路相連。3.2 Internet接入方案對于校園網，可以采用路由器實現接入Internet。在局域網上通過代理服務器軟件或者路由器，都可以解決多用戶共享訪問Internet問題，實質上是一個介于用戶群體和Internet之間的橋梁，用以實現其網絡用戶對Internet的訪問。在使用路由器接入Internet時，dh|I3-EclJd對于缺少合法IP地址情況下，可以使用（NAT）地址轉換技術實現內部網絡對外部網絡的訪問。路由器在收到內部網絡中的計算機訪問外部網絡的IP數據包時，將這些非法的IP地址轉換成合法的IP地址， 作為IP數據包的源地址訪問外部網絡，當回來的數據

22、包經過路由器時，在把該數據包的目標地址轉換為相應的局域網內的主機IP地址，并把該數據包傳送到相應主機，SB網TDe_4jzv軟s從而達到訪問Internet的目的。這些功能其實是NAT（網絡地址轉換）的一部分。 除了NAT之外，路由器接入Internet還采用了防火墻技術，主要是基于源和目標IP地址以及端口過濾的防火墻技術。通過防火墻技術，可以在一定程度上使內部局域網免受外面的攻擊，起到一定的安全作用。目前國內常見的有以下的幾種接入方式可選擇：1、TN公共電話網: 這是最容易實施的方法，費用低廉。只要一條可以連接ISP的電話線和一個賬號就可以。但缺點是傳輸速度低，線路可靠性差。如果用戶多，可以

23、多條電話線共同工作，提高訪問速度。2、DN :目前在國內迅速普及，價格大幅度下降，有的地方甚至是免初裝費用。兩個信道128kbit/s的速率，快速的連接以及比較可靠的線路，可以滿足校園網瀏覽以及收發(fā)電子郵件的需求。而且還可以通過ISDN和Internet組建VPN。這種方法的性能價格比很高，在國內大多數的城市都有ISDN接入服務。 3、ADSL :非對稱數字用戶環(huán)路，可以在普通的電話銅纜上提供158Mbit/s的下行和1064kbit/s的上行傳輸，可進行視頻會議和影視節(jié)目傳輸。可是有一個致命的弱點：用戶距離電信的交換機房的線路距離不能超過46km，限制了它的應用范圍。武山二種內部網絡拓撲結構

24、圖如圖3.1所示。圖3.1 白銀一中內部網絡拓撲結構圖 3.3 遠程訪問支持局域網建立遠程訪問網絡有兩種方案:第一種是使用軟件型的遠程訪問服務器(例如WindowsNTServer的RAS)來構造遠程訪問網絡，此方案的優(yōu)點是價格便宜,缺點是性能較低,可靠性也較差;第二種是使用硬件型的遠程訪問服務器(例如3Com公司的SuperStackIIRAS1500、Cisco2501、BayRAS4000等)來建立遠程訪問網絡，此方案可靠性較高,運行穩(wěn)定,雖比第一種方案造價較高，但對于需要高質量連接的網絡用戶，仍不失為一種好方法。經過以上兩種方案的分與比較，再根據我們校園網絡的要求，最后還是選擇了第一種

25、方案軟件型的遠程訪問服務器Windows NT Server 的RAS。這樣可以節(jié)省資金來更好建設校園網的其他更重要部分。3.4 子網劃分與VLAN設定由于校園網總的主機數不超過1000臺，所以申請4個C類IP地址即可，具體地址分配如下：需要申請4個C類地址，子網號分別是：實驗樓(100臺)，分配一個C類子網，子網號定為。教工宿舍樓(250臺)，分配一個C類子網，子網號定為。男生宿舍樓(250臺)，分配一個C類子網，子網號定為1

26、。女生宿舍樓（250臺），分配一個C類子網，子網號定為。教學樓和辦公樓一共有120臺，因此兩棟樓共用一個IP網段，然后對其進行虛擬子網劃分。由于圖書館和教學樓的主機都不超過126臺，因此教學樓和辦公樓的子網掩碼為：28。教學樓IP地址范圍定為-27；辦公樓的IP地址范圍定為28-54。根據以上對校園網中子網劃分和虛擬子網設定的分析后，具體的IP地址分配表設計如下：表3.2 IP地址分配表地點子網號子網掩碼實驗樓192.168.1

27、1.0教工宿舍樓男生宿舍樓女生宿舍樓教學樓(VLAN)28辦公樓（VLAN）2828 3.5 網間隔離方案設計此次設計采用雙網隔離方案。這種方案適合大、中型機構的局域網布局。在這樣的機構中，必須分杵獨立的內部安全網和外部公共網，內外網之間完全隔離。公共網通過網關和路由器連接INTERNET（視需要也要考慮安裝防火墻、入侵檢

28、測及防病毒等安全防護措施），而部分計算機則需要連接兩個網絡工作，這些連接了內外雙網的工作站計算機需要安裝網絡安全隔離卡。還有一些機構的網絡由于內部功能的劃分，本身就有幾個分離的網絡，采用我們的物理隔離方案將更好的把這些網絡整和在一起，變?yōu)橐粋€全范圍公共網加上幾個內部安全子網的多網互通的有效網絡格局。1. 防火墻的部署在Internet與校園網內網之間部署了一臺瑞星防火墻，其中WWW、E-mail、FTP、DNS服務器連接在防火墻的DMZ區(qū)，與內、外網間進行隔離，內網口連接校園網內網交換機，外網口通過路由器與 Internet 連接。這樣，通過 Internet 進來的外網用戶只能訪問到對外公開

29、的一些服務（如WWW、E-mail、FTP、DNS等），既保護內網資源不被非法訪問或破壞，也阻止了內部用戶對外部不良資源的使用，并能夠對發(fā)生的安全事件進行跟蹤和審計。2. 入侵檢測系統(tǒng)的部署入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，根據校園網絡的特點，我們采用瑞星入侵檢測系統(tǒng) RIDS-100 。將 RIDS-100 入侵檢測引擎接入 Cisco 中心交換機上，對來自外部網和校園網內部的各種行為進行實時檢測。3. 瑞星網絡版殺毒產品的部署為了實現在整個局域網內病毒的防護，我們在可能感染和傳播病毒的地方采取相應的防病毒手段。實現了遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒等

30、多種安全防護功能。3.6 存儲方案目前局域網的存儲方案主要有：雙機（熱）備份、RAID、磁盤陣列、存儲局域網（SAN）。廣西浦中校園網采用浪潮光纖存儲陣列NS8800D，雙機熱備份方案，作為該校網絡存儲SAN結構里的一個核心部分，在整個校園網的存儲方面起到了決定性的作用。NS8800D是雙控制器光纖磁盤陣列，內部采用無線纜連接設計，無單點故障，具有較高的可用性。通過交換機可以實現前端服務器對存儲設備的共享，完全實現了存儲集中和靈活應用，節(jié)省了存儲空間。整個存儲系統(tǒng)基于2Gb的帶寬設計，在性能上完全可以滿足當前系統(tǒng)的存儲需求。NS8800具有多主機接入能力，可以支持4臺服務器的多主機共享，并且擴

31、容能力突出，最多可擴展7個JBOD從而達到16TB的存儲容量。保證了系統(tǒng)的可擴展性，為今后數據的增長提供了穩(wěn)定可靠的平臺。通過該系統(tǒng)，圖書館的資源、信息可以方便的被不同的網絡教學教室調用，滿足電子化教學的需求；同時網絡用戶還可以通過服務器到英特網上尋求更多的圖書信息、學習資料等。3.7 設備選型1網絡操作系統(tǒng)。本校園網的網絡操作系統(tǒng)以微軟的WIN7為主，它是發(fā)展速度最快的集成了Web應用的最新的網絡操作系統(tǒng)。具有界面友好、系統(tǒng)強壯、穩(wěn)定可靠、與桌面主流操作系統(tǒng)相容性好等優(yōu)點。并擁有大量的服務器端軟件，是Intranet網絡中最佳的網絡操作系統(tǒng)平臺。2.路由器選型。本校園網采用CISCO 281

32、1 路由器出口路由器接入Internet，由于采用了基于高性能的RISC技術，CISCO 2811 路由器成為高吞吐量、快速響應應用的選擇。CISCO 2811 支持兩個內置10/100Mbps 快速以太網端口之間的高速路由，可以處理數據最為密集的高端應用。基于硬件的STAC/HiFn 壓縮和DES加密最大程度地提高了數據吞吐量，同時不會影響路由性能。CISCO 2811 支持多達6個端口的接口卡(PIC)，可以進行靈活的配置。根據校園網應用需要的變化，可以簡便快速地對LAN和WAN端口進行現場升級。連接選件包括E1/T1、幀中繼、ISDN PRI / BRI、速率達2Mbps的專用線路、X.

33、25、多以太網和異步串行口（外接調制解調器撥號上網）。 3主干交換機。主干交換機是指連接服務器及樓與樓之間、層與層之間的數據交換設備。本校園網工程將分為三期，根據工程三個階段中網絡點成批增加其間伴隨著的使用需求增長，對主干交換機基本設備的選型及其階段性的擴展需求進行總體的合理規(guī)劃。第一期要求連接就達600個網絡站點，應用對主干服務器的訪問及其數據流量對主干帶寬要求很高，通過以上分析，思科CISCO WS-C3750-48TS-E交換機實現和WEB服務器千兆帶寬的主干連接。在第二期中，將面臨著對主干帶寬的更高要求，將使用2臺千兆交換機通過4GB高速通道來實現千兆交換機冗余連接，使網絡主干帶寬比第

34、一期增長一倍。4接入交換機。采用交換機而不使用共享式集線器到桌面是由于學校實際使用情況是主要表現在集中突發(fā)性，即學生同時使用同一軟件的情況比較多，如果使用共享到桌面，網絡就會產生擁阻而影響速度，因此在校園網中應使用百兆交換到桌面。在十兆與百兆交換機中應選擇百兆交換，因為10兆雖然在目前校園網絡使用中剛剛能達到要求，但是已經不適應功能越來越強的計算機與新的應用軟件的發(fā)展，更不適應更快的計算機通訊產品的要求，將成為它們之間最大的瓶頸。因此采用思科CISCO WS-C2960G-24TC-L作為校園網工作組級接入交換機，直接連接學生站點。5.服務器網卡。在一期工程中，建議學校在Internet應用教

35、學中，采用定期下載，內部瀏覽的原則，因此WEB服務器是學校內部Intranet瀏覽和連接Internet服務器，學生站點對其訪問在相應教學時段對的數據流量相對來說比較大。要求園區(qū)級服務器能夠提供足夠的連接帶寬。Intel Express PRO/100服務器網卡是唯一一種支持標準10BASE-T、100BASE-TX和100BASE-FX以太網的千兆服務器專用網卡。這是一種智能的網卡，它能夠利用其內置的Intel i960 RP處理器最大限度地優(yōu)化服務器資源?？紤]到Internet和其他網絡的連接(如CHINANET等)，目前設計的局域網都要考慮對廣域網絡的連接，更廣的資源和更多的應用將是在各

36、種廣域連接中發(fā)現。目前，越來越多的學校還開展了網絡教學和建立自己的WEB。因此，能否有效地連接Internet是校園網建立的一個重要的目標。在此方案中，考慮Internet出口路由器的配置一臺CISCO 2811 CISCO 2811 路由器。它是學校的校園網對外的出口，也可以作為保護校園網的第一道防火墻。因為使用CISCO 2811 在Internet上配置安全的VPN隧道極為簡單，CISCO 2811 對通道傳輸提供強大的加密功能，確保您的私人通訊數據通過公用網域時的安全。但根據客戶和局域網配置的具體不同情況，也應該采取適當的步驟來確保來自Internet的局域安全。這至少要包括配置通過協

37、議過濾器的訪問控制目錄。采用DDN線路與Internet連接，以64KB2MB帶寬支持校園的應用，而且性能非常穩(wěn)定。CISCO 2811 CISCO 2811 有2個能與專用數字線路或Frame Relay及X.25網絡相連的WAN接口。6.外部網的安全。對于校園網來說，外部網主要是指INTERNET。因為外部網的用戶非常復雜，有黑客進行惡性攻擊的可能。所以我們設計在內部網和外部網之間用防火墻隔開，這可以利用瑞星防火墻實現。它集成了VPN的主要功能 - 隧道、數據加密、安全性和防火墻，能夠提供一種安全、可擴展的平臺來更好、更經濟高效地使用公共數據服務來實現遠程訪問、遠程辦公和外部網連接。瑞星防

38、火墻是建立在專用實時多任務安全網絡操作系統(tǒng)和專用硬件平臺之上的網絡安全設備。瑞星防火墻并非傳統(tǒng)的簡單包過濾防火墻，而是網絡狀態(tài)檢測和代理技術相融合的網絡安全設備。瑞星防火墻以卓越的安全性、強大的功能、方便靈活的管理機制為各行業(yè)提供了強有力的網絡訪問控制，可廣泛應用于金融、教育、政府機關、軍隊和中小型企業(yè)等企事業(yè)單位。7.傳輸介質。校園網主干線采用光纖1000Base-FX，速率為1000Mbps。中心交換機到分交換機也采用光纖100Base-FX，速率為100Mbps。建筑物內部交換機到各個主機終端用戶采用5類雙膠線100Base-T，速率可達到100Mbps。3.8 軟件網絡操作系統(tǒng)。WIN

39、DOWS XP信息服務系統(tǒng)。IIS（Internet Information Server）。數據庫系統(tǒng)。SQL Server 2000。其它應用軟件及流行工具。遠程訪問（TELNET）用于讓本地的計算機與遠程的主機相連，讓本地的計算機成為遠程主機的一個虛擬終端。TELNET是一個通過注冊讓本地計算機進入遠端計算機系統(tǒng)的工具，一旦相連，遠端計算機可以為本地終端提供一切服務。利用TELNET可以跨越距離使用大型計算機和專用外圍設備，還可檢索INTERNET數據庫中的數據，也可用于訪問世界上眾多圖書館目錄庫和其它信息資源庫。 許多網絡信息查詢工具，如GOPHER、ARCHIE、WAIS等，都可通過

40、TELNET來調用。在調用時，需給出遠程主機的名字或IP地址，然后根據系統(tǒng)的提示正確輸入用戶名和口令，有時還需輸入終端仿真類型。 文件傳送（FTP）用于來回傳送文件，可把文件從一個計算機轉移到另一個計算機，文件類型不限，可以是文本文件，也可以是二進制可執(zhí)行文件、聲音文件、圖像文件等。兩端計算機可以使用不同的操作系統(tǒng)，只要它們都能與FTP協議“對話”，并可進入INTERNET，便可以用FTP命令移動文件。在具體應用中，FTP功能隨操作系統(tǒng)的不同而不同，但基本的命令結構對每種機器都是一樣的。FTP已具備范圍很廣的數據庫和服務功能。例如用戶若要從INTERNET的公共文檔系統(tǒng)里尋找并接收文件，可采用

41、一種特殊的服務功能匿名FTP，使用戶能在無帳號的情況下進入公共數據庫。FTP與TELNET一樣，是一種實時的聯機服務，在傳送文件之前需要登錄到遠程主機上，與TELNET不同的是，FTP登錄后只能進行與文件搜索和文件傳送有關的操作，而TELNET登錄后可使用遠端主機允許的所有操作。電子郵件（Email）是一種利用計算機和通信網絡傳遞信息的通信手段，具有快速、簡便、高效、價廉等特點。電子郵件不是一種“終端到終端”的服務，其發(fā)送機器和接收機器不需要互相之間的直接聯接就能工作，它是通過郵件服務器來傳遞信息的。因此，當你發(fā)送郵件時，即使對方不在，仍可將郵件送入對方的郵箱里。郵件大多是文本文件，但多媒體信

42、息也可在郵件中傳送。電子郵件軟件通常提供傳送、瀏覽、存儲、轉發(fā)、刪除、恢復郵件以及回信等功能。另外，應用電子郵件，很容易實現一點與整個群體的聯絡，這使得在群體中傳播信息和征詢問題時非常有用。USENET是世界上最大的網絡新聞系統(tǒng)，INTERNET中大部分服務器上的新聞組是USENET的一部分。 IRC（INTERNET RELAY CHAT）是INTERNET上允許多個用戶同時書面交談的系統(tǒng)。通道是IRC的基本概念，每個通道是一個會話，通道的數目可以是無限的。當用戶進入IRC系統(tǒng)后，可先列出所有交談通道的名稱，然后選擇一個自己感興趣的通道，就可以和來自全球各地的人交談了。交談的語言一般用英語，

43、也有用其他語言的。利用IRC可獲得一些最新消息，也是練習英語的好機會，IRC可說是提高用戶水平的好途徑。 GOPHER 它是一種用菜單方式幫助用戶查找所需資源的工具。如果用戶要使用GOPHET提供的某種資源，它會幫助用戶進行尋找，用戶可不必知道遠程主機的域名、IP地址，也不需改換程序，它會自動將用戶選擇的資料傳送給用戶。 本地GOPHER服務器只儲存本地信息，通過一個指針可使本地GOPHER服務器與其它服務器相連，因此只要進入一個GOPHER服務器，即可訪問世界各地的GOPHER服務器，把分散在各地的資源輕而易舉地連接起來，但因每個GOPHER服務器所提供的服務不同必須進入后才知道它提供哪些服

44、務。 ARchie系統(tǒng)可以搜索INTERNET的公共服務器中所有可獲得的文件的索引，幫助用戶搜尋程序、數據或文本文件。ARCHIE服務器會定期自動地去訪問眾多的FTP服務器，將這些服務器上的文件形成一個可檢索的數據庫，因此，ARCHIE服務器提供的是各FTP服務器最新的文件目錄。用戶可以用它找到包含特定搜索字串的文件名或指出其說明中包含特定單詞的文件，列出滿足搜索要求的實際文件名和提供這些文件的服務器名。一旦用戶找到了想要的文件，就可以用匿名FTP把它移到用戶的計算機中去。 使用ARCHIE服務器通常有三種方式：（1）一種是交互式使用，即用TELNET調用ARCHIE服務器的方式使用，這種方式

45、速度慢，占用線路時間長；（2）在本地裝一ARCHIE客戶軟件。上述這兩種方式都屬聯機查詢。（3）通過Email查詢。 WAIS是一個分布式信息檢索系統(tǒng)，通過普通語言而不是用一些特定的編程語言或數據庫語言去搜索信息源。WAIS特別適合檢索文本文件，使用WAIS，可以閱讀世界各地的報紙、掃描各種專業(yè)數據庫。用戶可以查找特定的詞或詞組，WAIS將查找信息按相關性從大到小的次序列出提示信息，相關性是以文件中出現關鍵字的次數來計算的。 WWW（WORLDWIDE WEB）是一個基于超文本的信息查詢系統(tǒng)，即是建立在靈活的超文本模式基礎上，允許相關聯的資源間有交叉或連接，提供用戶一種交叉式的查詢方式（而不僅

46、僅是傳統(tǒng)的線性方式），在一個超文本的文件中，一個關鍵字鏈接著另一個與該關鍵字有關的文件，該文件可以在同一主機上，也可以在INTERNET的另一主機上，同樣，該文件可以是另一個超文本文件，超文本文件可以把不同類型的文件，如文本、聲音、圖形、圖像等文件連接起來。因此，WWW將成為INTERNET中一個最具吸引力的新型工具。以上介紹的各類應用中,前五項是INTERNET基本的服務系統(tǒng)，是使用型工具。后四項是另一種不同的服務系統(tǒng)，即如何幫助用戶找到所需的資料，屬INTERNET中的發(fā)掘型工具。INTERNET中還有其他一些應用工具，在此不再詳列。3.9 信息服務方案1WEB文件瀏覽服務校園網的主要功能

47、是WEB服務，也就是學校教育網站的服務。我們學校的網站建設從4個方面發(fā)揮作用：（1）把學校網站做成對外宣傳的窗口。（2）把學校網站建成為學校教學工作的平臺，逐步實現無紙化辦公。（3）把學校網站建成教師和學生展示自己才華的平臺。（4）學校網站建設成多方溝通的平臺。2FTP文件傳輸服務FTP文件傳輸是學校校園網使用的一個重要服務，建立了FTP服務后，將大大方便教師文件的傳輸和管理，以及學校資源庫的建立。（1）教師個人資源庫、學校資源庫的建立。（2）給各科室建立獨立的帳戶，像校長室、教導處、教科室、教務處等都有帳戶，方便資料文件的上傳。（3）FTP文件傳輸服務與互聯網開通，無論走到哪里，我們的教師只

48、要能上網就能隨時讀取自己需要的文件，真正實現異地辦公。3視頻點播服務校園網的又一功能就是視頻點播服務。通過校園網將新課程教材中的所有視頻資料復制到服務器，教師可以通過校園網輕松觀看教學錄象、課堂實例、專家報告，在很大程度上方便了廣大教師和學生。4郵件收發(fā)服務郵件收發(fā)是學校校園網中最普及的一種服務，建立此服務后，將極大的方便廣大師生的郵件收發(fā)服務，更加有利于學校教學工作的開展，充分發(fā)揮校園網絡的優(yōu)勢。校園網的作用不僅僅這些，很多功能有待我們去研究，才能真正地發(fā)揮校園網的作用?？偠灾?，學校的校園網站本著讓全體師生共同參與的理念，讓大家共同建設和維護更新網站，共同豐富學校網站內容，通過建立學校網站

49、，充分發(fā)揮校園網的教育功能。使這些昂貴的設施得到應用，不成為擺設真正有效地發(fā)揮校園網的作用。 5.數據庫服務數據庫實現對學校師生信息、教務信息、財產信息的管理，和周邊學校的進行數據共享，為和其他學校之間的交流，共享數據提供服務，以促進學校更好的發(fā)展。3.10 綜合布線方案綜合布線系統(tǒng)是建筑物或建筑群內的傳輸網絡，它既能使話音和數據通信設備、交換設備和其他信息管理系統(tǒng)彼此連接，也能使這些設備與外部通信網絡相互連接，包括建筑物到外部網絡或電話局線路上的連線點，與工作區(qū)的話音或數據終端之間的所有電纜，以及相關聯的布線部件。一個良好的綜合布線系統(tǒng)對其服務的設備有一定的獨立性，并能互連許多不同的通信設備

50、如數據終端、模擬式或數字式電話、PC和主機以及公共系統(tǒng)裝置。一般布線系統(tǒng)有六個子系統(tǒng)組成：建筑群間子系統(tǒng)，設備間子系統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子系統(tǒng)，工作區(qū)子系統(tǒng)。校園網為園區(qū)網，樓群間子系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴展余地。垂直子系統(tǒng)則位于高層建筑物的豎井內，可采用多模光纜或大對數雙絞線。把管理區(qū)子系統(tǒng)并入設備間子系統(tǒng)，集中管理。對于多幢樓宇，可采用多設備間的方法。分為中心設備間和樓棟設備間部分，中心設備間是整個局域網的控制中心，內設有對外（Internet）對內通信的各種網絡設備（交換機、路由器、視頻服務器等），中心交換機通過光纜（地下直埋）與樓棟設備間的

51、交換設備相連，以保證數據的高速傳輸。在此設備間放置布線的線架和網絡設備，端接樓內來自在各層的主干線纜，并端接連接網絡中心的光纖。樓內布線包括水平布線和主干布線。水平系統(tǒng)采用超五類雙絞線，新的樓宇采用暗裝墻內的方式，舊的樓宇采用PVC線槽明裝的方式。考慮到學校校園建設的實際需求，我們選用進口8芯室外光纜、進口6芯室內光纜、AT&T的非屏蔽超五類雙絞線、信息插座、超五類信息模塊。校園網的主干即網絡中心與教學樓、實驗樓、辦公樓、宿舍樓之間全部采用8芯室外光纜；樓內選用進口6芯室內光纜和5類線。這樣能保證網絡產品按照結構化布線系統(tǒng)進行布線。這樣的布線系統(tǒng)具有以下優(yōu)點：網絡易于管理、維護；網絡安全性好；

52、網絡設備可實現零冗余；充分利用投資；擴展性好。第4章 網絡管理1.WAN的配置 如果根據交換機端口定義VLAN，通常很容易用某種拖放軟件把一個或多個用戶分配到特定的VLAN。在非交換環(huán)境里，移動、 添加或更改操作很麻煩，有可能要改動接線板上的跳線充一個集線器端口移動到另一個端口。然而，改動VLAN分配仍然要靠人工進行： 在大型網絡里，這樣做很費時，因而很多聯網供應商鼓吹采用VLAN可以簡化移動、添加和更改操作?；贛AC地址的VLAN分配方案確實可使某些移動、添加和更改操作自動化。 如果用戶根據MAC地址被分配到一個VLAN或多個VLAN， 他們的計算機可以連接交換網絡的任何一個端口，所有通信

53、量均能正確無誤地到達目的地。顯然，管理員要進行VLAN初始分配， 但用戶移動到不同的物理連接不需要在管理控制臺進行人工干預；例如有很多移動用戶的站， 他們并非總是連接同一端口或許因為辦公室都是臨時性的，采用基于MAC地址的VLAN可避免很多麻煩。 這里離開VLAN最近的是IP子網：每個子網需要一個路由器端口， 因為通信量只能通過一個路由器從一個子網移動到另一個子網。由于IP32位地址提供的地址空間很有限，所以很難分配子網地址， 還有看你是否熟悉二進制算法。因此，在IP網絡里執(zhí)行移動、添加和更改操作很困難，速度慢，容易出錯，而且費用大。另外， 在公司更換I 或者采用新安全策略時，可能有必要重新編

54、號網絡，這對于大型網絡來說是無法想像的。實際上，如果有人采用現有的有子網的路由IP網絡，并根據IP地址訪問任意VLAN成員，路由器就可能會被不必要的通信量淹沒。如果很多子網里都有VALN成員，常用的VLAN廣播必須通過路由器才能達到所有成員。此外， 糟糕的是廣域鏈路會生成額外廣播通信量；有WAN連接服務的VLAN成員數通常應該保持在最低水平。實際上， 基于Layer3地址的VLAN成員值有可能在增強和修改現有子網分布方面很有用，例如可通過一個全子網給VLAN添加兩個新節(jié)點， 或者可用兩個子網組成一個VLAN而無須重新編號。Cabletron的SecureFast Virtual Network

55、ing Layer3交換技術路由服務器模型而不是傳統(tǒng)的路由選擇模型。 第一個信息包傳送到路由服務器進行常規(guī)路由計算，但交換機能記憶路徑，因而后續(xù)信息包可在Layer2交換，而無須查對路由表。 由于有了基于純Layer3地址的VLAN，所以IP地址可以作為通用網絡ID，允許任何人連接任何數據鏈路，從而獲得全網絡訪問， 大大簡化移動、添加和更改任務。但是，還有其他方法解決IP子網引起的管理問題。DHCP（動態(tài)主機配置協議）已經在連接時給用戶分配地址的其他技術， 都可用于解決上述問題。 2.WAN的接入管理在網絡管理的解決方案中，我們知道一個大型網絡，一般是WAN，是通過分層進行管理的。比如在一個全

56、國性的網絡中心之下有許多地區(qū)性的網絡中心，一般全國性的網絡中心主要保證這個WAN的主干網正常運轉，而地區(qū)性網絡中心則主要負責各個網絡用戶的接入管理。 對于每個想入網的用戶而言，首先要考慮在網絡連接上怎么接人這個網絡。一般用戶需要找到主管自己這片地區(qū)的地區(qū)性網絡中心，然后提出申請，最后該地區(qū)性網絡中心再進行用戶的接入操作。這些操作一般包括： (1)聯網用戶必須租用一條網絡線路，連接用戶與地區(qū)性網絡中心。該線路可以是已經存在的，屬于某個商業(yè)網絡公司或電信公司，也可以是單獨為該用戶鋪設的一條線路。 線路既可能是使用光纖的DDN專線，也可能是使用電話線的DDR線路。聯網用戶租用了網絡線路就要向線路的經營者交納租金，而線路的經營者可能不是提供接入服務的地 區(qū)性網絡中心。 (2)聯網用戶需要向地區(qū)網絡中心申請一段屬于自己的IP地址，然后在全國網絡中心注冊域名。 (3)對于接入的聯網用戶，