大學(xué)校園網(wǎng)設(shè)計實例課件

第7章大學(xué)校園網(wǎng)設(shè)計實例

第7章大學(xué)校園網(wǎng)設(shè)計實例1大學(xué)校園網(wǎng)設(shè)計實例

總體規(guī)劃詳細(xì)設(shè)計大學(xué)校園網(wǎng)設(shè)計實例總體規(guī)劃2某大學(xué)有兩個校區(qū)本部——外語學(xué)院、信息工程學(xué)院東校區(qū)——經(jīng)濟(jì)管理學(xué)院某大學(xué)有兩個校區(qū)31.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是決定網(wǎng)絡(luò)性能的主要技術(shù)之一，同時在很大程度是也決定了網(wǎng)絡(luò)系統(tǒng)的可靠性、傳輸速度和通信效率。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與網(wǎng)絡(luò)布線系統(tǒng)也有著密切的關(guān)系，將對整個網(wǎng)絡(luò)系統(tǒng)的工程投資產(chǎn)生重要的影響。校園網(wǎng)一般由匯聚主干層和用戶接入層兩部分組成。目前，網(wǎng)絡(luò)主干主要采用星型拓?fù)浣Y(jié)構(gòu)。1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是決定網(wǎng)絡(luò)性能的主要技術(shù)之一，4大學(xué)校園網(wǎng)設(shè)計實例ppt課件5在設(shè)計上，每個二級節(jié)點至少有兩條鏈路與中心節(jié)點相連，當(dāng)一條鏈路發(fā)生故障時，網(wǎng)絡(luò)信息可自動路由到另一條冗余鏈路上傳輸，提高網(wǎng)絡(luò)可靠性。接入層一般采用星型拓?fù)浣Y(jié)構(gòu)，因為星型拓?fù)浣Y(jié)易于管理維護(hù)和擴(kuò)展，可實現(xiàn)帶電接入與拆除，并且對整個網(wǎng)絡(luò)運(yùn)行無任何影響。因此，整個校園網(wǎng)是由多個星型組成的樹狀拓?fù)?，桌面計算機(jī)是葉子節(jié)點。在設(shè)計上，每個二級節(jié)點至少有兩條鏈路與中心節(jié)點相連，當(dāng)一條鏈6目前在企業(yè)或校園這樣的園區(qū)網(wǎng)中，普遍采用無可爭議的千兆以太網(wǎng)作為主干網(wǎng)技術(shù)。樓內(nèi)局域網(wǎng)采用快速以太網(wǎng)（10/100Mbps自適應(yīng)）。為了對操作平臺和應(yīng)用軟件有大量的支持，以及和Internet實現(xiàn)連接，應(yīng)選擇TCP/IP協(xié)議作為整個網(wǎng)絡(luò)的通信協(xié)議。目前在企業(yè)或校園這樣的園區(qū)網(wǎng)中，普遍采用無可爭議的千兆以太網(wǎng)72.綜合布線信息點分布到兩個校區(qū)所有辦公樓、實驗樓、圖書館以及多媒體教室等，本部學(xué)生樓和教師生活區(qū)樓要連入校園網(wǎng)。綜合布線系統(tǒng)為計算機(jī)聯(lián)網(wǎng)和話音通信提供必要的規(guī)范化的物質(zhì)基礎(chǔ)。布線系統(tǒng)設(shè)計應(yīng)按照“總體規(guī)劃、分布實施，水平布線盡量一步到位”的原則進(jìn)行。2.綜合布線信息點分布到兩個校區(qū)所有辦公樓、實驗樓、圖書館8園區(qū)大樓之間的光纖盡可能一次性鋪設(shè)，避免溝道的重新挖填，光纖在長度和芯數(shù)上都應(yīng)留有一定的余量和備份，以防大樓拆遷、線路故障和帶寬擴(kuò)容。同時，布線系統(tǒng)必須滿足靈活應(yīng)用和模塊化的要求，即任一信息點能夠連接不同類型的設(shè)備，如計算機(jī)、打印機(jī)、終端或電話、傳真機(jī)。對于會議室、報告廳以及布線不太方便只是臨時需要信息點的地方可以搭建無線局域網(wǎng)。對于教學(xué)樓、家屬樓等信息點非常少的地方，配線間的選擇非常重要。園區(qū)大樓之間的光纖盡可能一次性鋪設(shè)，避免溝道的重新挖填，光纖93.Internet連接所有校區(qū)都要能夠訪問Internet，并且保證本部Internet出口的魯棒性，保證24小時不間斷運(yùn)行。校本部給出兩路：Chinanet和Cernet到Chinanet的出口通過路由器采用ADSL專線實現(xiàn)與Internet連接，出口速率可達(dá)1Mbit/s，到Cernet的出口通過路由器的1000M以太網(wǎng)口采用光纖與Cernet地區(qū)級節(jié)點連接。分校通過當(dāng)?shù)仉娦挪块T通過10M的光纖專線連入Internet。3.Internet連接所有校區(qū)都要能夠訪問Interne104.校區(qū)互連為便于管理，實行集中式管理，在本部建立網(wǎng)絡(luò)中心，所有服務(wù)器放置本部。為了實現(xiàn)網(wǎng)上辦公和相關(guān)的信息處理和查詢，東區(qū)要能夠安全訪問到本部的教務(wù)、辦公等所有必要信息。校區(qū)之間的互連方式很多，如DDN、ISDN、FR等，但這些方式運(yùn)行費(fèi)用昂貴，考慮到兩個分校區(qū)與本部之間的流量不是很大，主要是一些辦公信息和教務(wù)信息等，目前采用VPN不失為一種安全可靠、價格低廉的互連方式。4.校區(qū)互連為便于管理，實行集中式管理，在本部建立網(wǎng)絡(luò)中心115.Internet服務(wù)申請域名以及合法IP地址塊，架設(shè)信息發(fā)布、郵件系統(tǒng)等常用服務(wù)器。申請到合法域名****.及合法IP地址塊/22，擬購買服務(wù)器架設(shè)WWW、DNS、Mail等服務(wù)器。5.Internet服務(wù)申請域名以及合法IP地址塊，架設(shè)信126.應(yīng)用系統(tǒng)能夠在網(wǎng)絡(luò)上運(yùn)行各種應(yīng)用系統(tǒng)：財務(wù)系統(tǒng)教務(wù)系統(tǒng)辦公系統(tǒng)網(wǎng)上視頻會議視頻點播6.應(yīng)用系統(tǒng)能夠在網(wǎng)絡(luò)上運(yùn)行各種應(yīng)用系統(tǒng)：137.網(wǎng)絡(luò)安全與管理保證校園網(wǎng)內(nèi)部系統(tǒng)的足夠安全，以及校區(qū)間信息傳輸?shù)陌踩?，保證主要服務(wù)器的系統(tǒng)安全，建立全校防病毒系統(tǒng)。提供完整和方便的網(wǎng)絡(luò)管理功能，主要包括網(wǎng)絡(luò)設(shè)備的安全管理以及計費(fèi)管理。7.網(wǎng)絡(luò)安全與管理保證校園網(wǎng)內(nèi)部系統(tǒng)的足夠安全，以及校區(qū)間147.網(wǎng)絡(luò)安全與管理網(wǎng)絡(luò)安全是一個體系結(jié)構(gòu)，涉及整個辦公環(huán)境的各個方面，包括人員和設(shè)備，包括信息的駐留點以及沿途經(jīng)過的各個中間環(huán)節(jié)，從物理層到應(yīng)用層都要小心對待。不僅要防止來自校園網(wǎng)外部的黑客入侵，還要防止來自校園網(wǎng)內(nèi)部的惡意破壞。既要保證信息的開放性，又要保證教務(wù)財務(wù)等信息的完整性。不僅要保證數(shù)據(jù)的存儲安全可靠。還要保證數(shù)據(jù)在傳輸過程中的安全保密。7.網(wǎng)絡(luò)安全與管理網(wǎng)絡(luò)安全是一個體系結(jié)構(gòu)，涉及整個辦公環(huán)境157.網(wǎng)絡(luò)安全與管理校園網(wǎng)是一個龐大的系統(tǒng)，信息點、網(wǎng)絡(luò)設(shè)備分布在校區(qū)的各個角落，校園網(wǎng)用戶也分很多種，有教師、學(xué)生、行政人員、普通職工，有辦公樓、教學(xué)樓、宿舍樓、家屬樓等，因此如何有效的管理也是園區(qū)網(wǎng)管理認(rèn)真思考的問題。7.網(wǎng)絡(luò)安全與管理校園網(wǎng)是一個龐大的系統(tǒng)，信息點、網(wǎng)絡(luò)設(shè)備16詳細(xì)設(shè)計1.設(shè)備選型2.Internet接入3.VLAN規(guī)劃4.IP地址規(guī)劃5.路由規(guī)劃6.對外發(fā)布站點7.開放機(jī)房8.無線接入9.安全及管理詳細(xì)設(shè)計1.設(shè)備選型171.設(shè)備選型一是滿足需求滿足需求不是指簡單地滿足用戶現(xiàn)有的需求，而應(yīng)該綜合考慮用戶在將來的一段比較長的時間內(nèi)的擴(kuò)展性。當(dāng)然，設(shè)備的選型也不能超前太多，一定要經(jīng)濟(jì)實用。比如Cisco2600系列路由器就能夠滿足用戶現(xiàn)在以及將來的需求，如果上一個3600系列，盡管也滿足了要求，但畢竟存在太大的資源浪費(fèi)。二是經(jīng)濟(jì)實用。對于模塊化的網(wǎng)絡(luò)設(shè)備，要注意模塊的有效利用，同時建議模塊到要用的時候再購買，因為設(shè)備的價格一般是越來越便宜，同時也防止廠家推出價位相同但功能更強(qiáng)的換代產(chǎn)品。1.設(shè)備選型一是滿足需求181.設(shè)備選型用戶希望購買新的網(wǎng)絡(luò)設(shè)備能夠使已有的網(wǎng)絡(luò)設(shè)備得到最大程度的利用，注意：一是注意設(shè)備之間的連接模塊，連接方式是否經(jīng)濟(jì)有效；二是在技術(shù)上，要考慮不同廠家產(chǎn)品的兼容性問題1.設(shè)備選型用戶希望購買新的網(wǎng)絡(luò)設(shè)備能夠使已有的網(wǎng)絡(luò)設(shè)備得191.設(shè)備選型對于園區(qū)網(wǎng)來講，核心交換機(jī)必須具有3層交換功能，背板帶寬和包轉(zhuǎn)發(fā)速率是要考慮的兩個性能特征。接入層交換機(jī)沒有特殊要求，目前首選2950系列交換機(jī)或3550系列交換機(jī)。1.設(shè)備選型對于園區(qū)網(wǎng)來講，核心交換機(jī)必須具有3層交換功能202.Internet接入較大的高校校園網(wǎng)一般采取專線接入的方式，目前常用的是光纖以太網(wǎng)接入。為防止單條鏈路出現(xiàn)故障，還往往申請一條ADSL線路通過Chinanet連入Internet。2.Internet接入較大的高校校園網(wǎng)一般采取專線接入的213.VLAN規(guī)劃一個規(guī)模較大的園區(qū)網(wǎng)，下屬很多二級單位，一般采用VLAN技術(shù)，按照二級部門劃分成多個相對獨立的虛擬局域網(wǎng)。盡管VLAN允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中，共享一個廣播域，但絕大多數(shù)二級單位的用戶處在同一個地理位置（如一棟大樓等），因此VLAN中與地理位置無關(guān)的邏輯概念體現(xiàn)得不是太明顯。盡管這樣，為了安全起見，仍然劃分VLAN，這樣可以保證網(wǎng)段之間在數(shù)據(jù)鏈路層開始真正地相對獨立。3.VLAN規(guī)劃一個規(guī)模較大的園區(qū)網(wǎng)，下屬很多二級單位，一223.VLAN規(guī)劃VLAN標(biāo)識VLAN名稱所屬單位1manage網(wǎng)絡(luò)管理2foreign外國語學(xué)院3Economic經(jīng)濟(jì)管理學(xué)院4Information信息工程學(xué)院5Service其他處級單位3.VLAN規(guī)劃VLAN標(biāo)識VLAN名稱所屬單位1mana234.IP地址規(guī)劃當(dāng)申請的合法IP數(shù)量較多時，首先主要以合法IP進(jìn)行地址規(guī)劃，不夠時再考慮保留IP當(dāng)申請的合法IP數(shù)量很少時，用保留地址進(jìn)行規(guī)劃，少量的合法IP用于Internet服務(wù)器。4.IP地址規(guī)劃當(dāng)申請的合法IP數(shù)量較多時，首先主要以合法244.IP地址規(guī)劃該校申請到了/22地址塊，也就是4個C類地址，根據(jù)每個單位信息點的數(shù)量情況，IP大致分配如表所示。單位信息點數(shù)量信息工程學(xué)院約240經(jīng)濟(jì)管理學(xué)院約200外國語學(xué)院約120機(jī)關(guān)部處約110DMZ約20網(wǎng)絡(luò)設(shè)備約40預(yù)留未使用4.IP地址規(guī)劃該校申請到了/22地址254.IP地址規(guī)劃對于機(jī)房、家屬樓、宿舍樓等主要以訪問其他資源為主的主機(jī)來講，建議采用保留IP地址，在邊緣處啟用NAT轉(zhuǎn)換以節(jié)省合法IP的使用。另外，對于用戶比較集中，位置相對固定的信息點，如辦公室等，建議分配靜態(tài)IP，這對于故障管理很重要。4.IP地址規(guī)劃對于機(jī)房、家屬樓、宿舍樓等主要以訪問其他資265.路由規(guī)劃5.路由規(guī)劃275.路由規(guī)劃核心3層交換機(jī)實現(xiàn)VLAN之間的相互訪問。由于所有用戶還需要訪問Internet，因此，在3層交換機(jī)、防火墻以及出口路由器上還要設(shè)置一條指向Internet的默認(rèn)路由。對于出口路由器來講，所有內(nèi)部網(wǎng)段，包括DMZ區(qū)都是非直連的，因此，需要設(shè)置靜態(tài)路由條目使它們指向這些網(wǎng)段。在設(shè)置防火墻的路由條目時，可以當(dāng)作路由器按照前面所講的非直連設(shè)置靜態(tài)路由的方法逐一設(shè)置。需要注意的是，東區(qū)和本部通過Internet實現(xiàn)VPN互連，為節(jié)省費(fèi)用，不使用專用VPN硬設(shè)備，而使用位于DMZ區(qū)的一臺性能較好的RRAS作為VPN接入服務(wù)器，因此，絲毫不影響其他設(shè)備的路由配置。5.路由規(guī)劃核心3層交換機(jī)實現(xiàn)VLAN之間的相互訪問。286.對外發(fā)布站點

DMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)。6.對外發(fā)布站點

DMZ是英文“demilitarized296.對外發(fā)布站點DMZ區(qū)的安全等級高于外網(wǎng)低于內(nèi)網(wǎng)，防火墻的默認(rèn)規(guī)則是允許安全等級高的訪問安全等級低的，禁止安全等級低的訪問安全等級高的。因此，防火墻不需要設(shè)置規(guī)則就可以實現(xiàn)內(nèi)網(wǎng)訪問到DMZ區(qū)，但外網(wǎng)訪問到DMZ區(qū)。對于學(xué)校來講，WWW站點的主要目的就是對外發(fā)布信息，必須讓外網(wǎng)能夠訪問到，為了到達(dá)這個目的，可以在防火墻上添加一些規(guī)則，開放DMZ區(qū)所在服務(wù)器的IP以及相應(yīng)的端口。6.對外發(fā)布站點DMZ區(qū)的安全等級高于外網(wǎng)低于內(nèi)網(wǎng)，防火墻306.對外發(fā)布站點DMZ區(qū)通常放置的服務(wù)器有郵件服務(wù)器、WWW服務(wù)器以及解析本校域名的兩個DNS服務(wù)器等，當(dāng)然也可以放置一些其他有特殊用途、需要外網(wǎng)訪問的服務(wù)器。對于某些信息化程度比較高的二級部門，如信息工程學(xué)院，為了教學(xué)和科研的需要，需要給全院教師一個獨立的域名，該域名可用于HTTP和FTP。為了管理方便，該學(xué)院網(wǎng)管員向?qū)W校網(wǎng)絡(luò)中心申請了獨立域名，即IE.。6.對外發(fā)布站點DMZ區(qū)通常放置的服務(wù)器有郵件服務(wù)器、WW317.開放機(jī)房在大學(xué)校園里，存在大量的各種各樣的開放式機(jī)房，通常這些計算機(jī)連成一個局域網(wǎng)，除具備一般的互訪外，通常還要求這些計算機(jī)能夠訪問到Internet。最簡單的方法是給這些計算機(jī)分配合法IP地址，通過交換機(jī)連入到校園網(wǎng)內(nèi)就可以了。但由于合法IP地址數(shù)量有限，根本無法滿足幾個甚至幾十個開放機(jī)房以及全校日益增多的計算機(jī)的需要，這種情況下，通常盡可能使用保留IP地址。7.開放機(jī)房在大學(xué)校園里，存在大量的各種各樣的開放式機(jī)房，328.無線接入對于會議室或臨時需要搭建網(wǎng)絡(luò)的地方，無線局域網(wǎng)不失為最經(jīng)濟(jì)最快捷的解決方案。常用的無線設(shè)備有兩種：無線訪問點AP無線路由器8.無線接入對于會議室或臨時需要搭建網(wǎng)絡(luò)的地方，無線局域網(wǎng)338.無線接入通常情況下，無線互連實現(xiàn)計算機(jī)之間的互訪已經(jīng)不是主要目的，取而代之的是實現(xiàn)Internet訪問。因此，實際上仍然是通過無線如何實現(xiàn)局域網(wǎng)PC共享上網(wǎng)的問題。為解決上述問題，要求設(shè)備必須具有NAT地址轉(zhuǎn)換功能，當(dāng)然路由也是必須的，默認(rèn)路由就可以了。8.無線接入通常情況下，無線互連實現(xiàn)計算機(jī)之間的互訪已經(jīng)不349.安全及管理盡管網(wǎng)絡(luò)已經(jīng)改變了我們的工