校園網設計方案學院：xxxxxx班級：xxxxxxx指導教師：xxxxxxx學號：xxxxxxxxxXX：xxxxxx目錄【摘要】-1-1.校園網設計目的-1-2.校園網設計原那么-1-2.1統一規劃,分步實施-1-2.2先進性、原則性與合用性相結合-1-2.3可擴展性-1-2.4平安性和可靠性-1-2.5易管理性-1-3.校園網需求分析-1-3.1校園網功效-1-3.2主機系統的規定-1-3.3網絡拓撲的選用-1-3.4校園網的技術方案設計-1-4.校園網設計方案-1-4.1總體架構設計-1-4.2網絡體系構造的選擇-1-4.3主干網設計-1-4.4架構設計闡明-1-4.6IP地址的規劃-1-4.7設備的選型-1-5.校園網平安管理-1-5.1平安技術的應用-1-5.2VLAN的劃分-1-5.3防火墻的使用-1-5.4管理員平安管理與效勞支持-1-5.5完善的制度-1-6.學習心得-1-參考文獻-1-校園網設計【摘要】：基于校園網的學習平臺開發設計重要是為教師和學習者提供一種網絡化的教學和學習環境,使學生理解、熟悉網絡化的學習方式,并為之提供體驗知識、技能應用的場合.而隨著全球信息化進程的快速開展，高等學校的教育網絡的快速擴張和各類應用的大量投入，造成校園內部在信息資源共享度、高效率工作流程上都產生了極大的變化。但在享有網上辦公便捷的同時，校園網絡中的各類問題相繼出現。隨著教育信息化程度的不停進一步，在提高教學質量與效率，實現教育資源共享與網絡化管理的同時，也給校園網的優化與升級提出更高規定。新興的在線教學手段、教務管理系統和視頻點播等廣泛應用使得校園網絡的流量與日俱增，給學校有網絡系統帶來了巨大的壓力。同時，高校逐年擴招致使學校規模不停擴大，原有網絡端口數量缺少的問題日漸突出。另外，由于校園網絡環境的日益復雜，校園網絡通信將面臨嚴峻的平安挑戰，同時也給網絡管理帶來系列難題。【核心詞】校園網；網絡設計；網絡平安校園網是校園信息資源建立的根底設施.校園網建立的根本目的是為學校的教學科研和管理提供一種先進實用的信息網絡環境.基于網絡的合作學習是運用計算機網絡以及多媒體等有關技術,使多個學習者針對同一學習內容彼此交互和合作,以達成對教學內容比擬深刻理解與掌握的過程，運用計算機網絡建立協作學習的環境,使教師與學生、學生與學生以討論、協作和交流的方式進展學習,能夠充足發揮計算機網絡的優勢,強化學習者的學習動機,使學習者更加好地建構有關所學知識的意義,從而培養學習者的信息能力、學習方略及社會交往技能.校園網設計目的確立校園網建立的目的，不僅要考慮技術方面，并且還要考慮環境、應用和管理等方面，必須與學校各方面改革、建立久遠開展相結合，科學論證和決策。根據這一規定：建立一種技術先進、擴展性強、能覆蓋全校重要樓宇的校園主干網絡，將學校的多個PC機、工作站、終端設備和局域網連接起來，并與有關廣域網相連，形成構造合理、內外溝通的校園計算機網絡系統。在此根底上建立的校園網應含有下列3點：1〕學校的目的是通過教學過程來培養人才，因此對教學過程提供直接支持應是校園的根本功效；2〕校園網必須支持學校的日常辦公和管理；3〕與Interent的連接也是校園網的根本功效之一，這樣大大擴展了師生獲取知識的途徑，增強校內外的溝通及自由地公布教育信息。校園網設計原那么根據計算機及網絡技術的開展趨勢,校園網的設計應采用開放性的國際通用的TCP/IP合同,本著總體規劃、分步實施的總體原那么,并遵照先進原則性與合用性相結合、系統可擴展性及平安可靠性原那么來加以建立。2.1統一規劃,分步實施校園網的建立應在統一的總體規劃的前提下進展,這樣整個系統才干統一原則,才不會出現系統互不兼容的現象。同時,由于計算機網絡技術的更新換代、設備價格的減少和設備性能提高的速度很快,而各學校在校園網建立早期網絡的使用率不高,因此,校園網普通要分步實施,避免一步到位,堅持“邊投資,邊使用〞的原那么,確保以最小的投資得到最快、最佳的收益。2.2先進性、原則性與合用性相結合計算機網絡技術開展及設備更新裁減速度很快,因此,在設計校園網絡系統時,應符合國際原則原則,并采用市場占有率高、符合國際原則和技術成熟的新型軟硬件產品。這里應注意的是,在校園網建立時,應充足考慮本學校實際應用的需要和現有設備狀況,充足發揮設備效益,充足運用現有資源,不超前投資硬件設備,更不做新產品2.3可擴展性校園網的建立是一種長久的系統工程,隨著網絡技術的開展和學校應用需求的擴展,校園網也需要擴展和升級。因此,在進展校園網規劃設計時,既要有顧客開展的配備預留,又要滿足系統升級的需要。2.4平安性和可靠性只有平安可靠的系統才干達成令人滿意的效勞效果。校園網一經使用,學校的多個管理都會逐步依賴于網絡系統來運轉,網絡一旦癱瘓,將會給學校各項工作帶來不便,甚至會為學校帶來巨大損失。因此,校園網的系統構造和軟硬件設備必須含有穩定可靠的性能,特別是網管中心的設備,大多需要持續運轉,面對全校效勞,其可靠性更為重要。校園網建成后,網絡平安問題就成了首要問題。為確保系統得以平安可靠運轉,普通網絡中心必須配有必要的用于平安防備的軟硬件設備,以避免內外非法和惡意攻打。同時,由于校園網遍及學校的各個地方,比擬分散,因此,網絡系統中的端口設備應含有良好的可管理性。2.5易管理性隨著網絡規模的不停擴大,校園網絡的管理越來越重要,管理的事務也越來越復雜。能夠通過圖形化的配備對網絡進展虛網劃分,設立各子網的權限,簡化網絡的管理。顧客應能在中心機房通過網管工作站上和諧的圖形界面,實施網絡的動態監測、配備、數據流量的分析等。校園網需求分析3.1校園網功效〔1〕支持約1000顧客瀏覽Internet。〔2〕連接校內全部教學樓、辦公樓、實驗室樓和學生宿舍中的計算機。〔3〕提供豐富的網絡效勞，涉及：①提供國際互聯網ISDN專線接入〔或DDN〕，實現與各公共網的連接。提供根本的Internet網絡效勞功效：如電子、文獻傳輸、遠程登錄等。②有綜合網絡辦公系統及各個應用管理系統，實現辦公自動化，管理信息化。③提供圖書，文獻查詢與檢索效勞，增強校圖書館信息自動化能力。④全校共享軟件庫效勞，避免重復投資，發揮最大效益。3.2主機系統的規定〔1〕主機系統應采用現在市場較新的主流技術，并有良好的擴展能力。〔2〕支持通用大型數據庫。〔3〕主機系統應有高的可靠性，能長時間持續工作，并有容錯方法。〔4〕含有廣泛的軟件支持，軟件兼容性好，并支持多個傳輸合同。〔5〕能與Internet互聯，可提供互聯網的應用，如WW－W瀏覽效勞、FTP文獻傳輸效勞、E－mail電子效勞3.3網絡拓撲的選用校園網絡拓撲圖當計算機的臺數較多或可靠性規定較高時，優先考慮采用星型或樹型連接；對于含有幾臺距離較遠或可靠性規定不高的以及共享任務不繁重的，可考慮采用總線型連接。而校園網中的計算機數量較多，所需的功效也不同，因此實際的拓撲構造常為以上兩種方式綜合。3.4校園網的技術方案設計校園網的設計應采用符合國際工業原則的、比擬成熟的技術，并能兼顧網絡技術的開展方向，可選擇構造化、可擴大、多用途的網絡產品。同時網絡設計應構造合理，在通信網絡、資源配備、系統效勞和網絡管理上要有良好的分層設計，使網絡構造更加清晰，便于使用、管理和維護。另外，網絡設計應堅持高效實用的原那么，著眼于教學、科研、管理的實際需要，用有限的資金優先解決工作急需的問題。校園網設計方案4.1總體架構設計針對校園網的特點，總體設計思路分為下列幾點：〔1〕全方面掌握校園網網絡構造，繪制具體的校園網網絡拓撲機構圖，并在圖中標重視點設備位置及用途。〔2〕梳理校園網網絡通信設備、平安設備、存儲設備、效勞器等信息信息。〔3〕根據業務或功效對校園網中的信息系統進展區域劃分，形成各自獨立的區域，這樣能夠最大程度的解決信息系統互相干擾問題。〔4〕制訂外部規那么，提供VPN效勞供教職工校內業務系統，制止外部直接對校園網的。〔5〕制訂平安管理制度，完善各環節工作規程，減少由于工作失誤造成的故障。4.2網絡體系構造的選擇網絡體系構造是指計算機通訊系統的整體設計，它為網絡軟件、硬件及網絡通訊合同、數據存取控制和拓撲構造提供原則。因此，網絡體系構造的選擇是實現校園網建立目的的核心環節。在充足理解網絡的特點、性能、價格的根底上，根據學校的實際應用，考慮學校能夠投入的資金及現有的設備、局域網和其它資源狀況，進展綜合分析，并制訂有助于開發運用、開展擴大，性能價格比高的網絡方案。現有的網絡技術重要有千兆以太交換網、ATM等。千兆以太網是快速以太網的延續，是性價比很高的一種主干網技術，但由于千兆以太網所涉及的原則還沒有完全擬定。在對傳送視頻應用等響應時間不可預測的網絡中，千兆以太網不是最對的選擇。ATM技術比千兆以太網早3年，ATM技術能提供較高的網絡帶寬和效勞質量控制，含有適合于語音、視頻、數據傳輸等特點。因此，考慮到多媒體技術的快速開展和當代教學中大量多媒體課件的開發應用，能滿足網上大量多媒體信息傳遞的需要，比擬先進的方案還是建議采用ATM作主干，局域網和顧客端仍采用以太交換網。4.3主干網設計根據分層理念，主干網可采用三層網絡架構，通過層次化模型設計，將復雜的網絡設計分成３個層次：接入層、會聚層和核心層。每個層次著重于某些特定的功效，這樣就能夠使一種復雜的大問題變成許多簡樸的小問題，以下圖。核心層〔實現高速交換〕會聚層〔實現基于方略的連接〕接入層〔實現本地或遠程工作組〕層次化網絡模型主干網采用三層網絡架構，能夠從下列幾個方面確保了校園網絡的靈活性、可擴大性、可靠性和高效性：①運用分層構造將網絡的功效區塊化，使得網絡的局部修改和擴大被隔離，使校園網絡更具靈活性；②運用區塊的不對稱特性優化網絡的流量配備，提高校園網絡的性能價格比；③運用網絡整體的對稱性提供負載均衡，最大程度地提高網絡的性能；④運用網絡整體的對稱性提供校園網絡的冗余，提高網絡的可靠性。局域網的類型有多個，但性價比占優勢的還是1000M以太網，其優點就是組網技術簡樸、便宜，即主干網組網技術應采用千兆以太網技術。由于其技術含有高帶寬1000Mbps速率的主干，另首先就是做為校園網的構造無論在高帶寬、可適應性、高性價比、良好的管理性和可維護性等各方面都是最明智的選擇。用100Mbps交換機到桌面，這樣的構造不僅就現在的多個應用系統運行起來綽綽有余，并且還能夠輕松地應付將來一段時間內的應用規定，且非常容易升級和擴展，使顧客投資得到最大程度地保護。光纖主干網覆蓋整個教科院、并將光纖連接到有條件的局部大學生宿舍，從而將校園網建成一種含有一定規模容量、技術先進、功效齊全、優良實用、平安可靠，并含有可擴大性的當代化網絡系統以千兆交換機作為校園網的中心，在此根底上，根據不同功效的需要，把整個校園網分割為幾個或者幾十個以百兆交換機為核心的校園網中的子網。為滿足學校能與其它網絡的連接，可在百兆交換機中再布設一種子網，把效勞器，路由器等與外部網相連接的應用設備用防火墻將它們與校園網隔離開來，以保護校園網內部的數據。4.4架構設計闡明互聯網接入域方面：此區域重要負責學院ISP接入，現在我院共有聯通、電信、教育信息網共三條線路，其中聯通、電信重要負責教職工及學生的日常網絡效勞，由于這局部區域的特殊性區域內設備均采用主、備方式冗余布署，最大程度的解決了由于設備單點故障造成的網絡中斷。網絡核心區：此區域重要為各教學樓及各校區鏈路的會聚提供數據鏈路效勞。除此之外最為校園網的核心局部，也是連接應用網路和外部網絡的橋梁，必須確保進入和輸出數據的平安性，因此平安審計、平安監測設備均布署在此區域內。通過這些設備對數據的過濾、篩選。網絡管理區：網絡關系信息系統是保障網絡可靠運行的重要手段，網絡管理云能夠通過網絡關系系統對網絡進展全方面監控，對全部網絡設備進展配備、運維管理，因此將這些系統放到獨立的區域集中管理，通過特殊的平安設備進展平安加固是保障校園網安康運行的前提。業務系統區：校園網全部效勞器歸屬到該區域進展統一管理，通過邊界防火墻對外提供效勞，采用基于TCP/IP的方略進展數據限制，提供對外單項效勞，對內采用特殊授權方式解決。視頻會議區：我院現共有三個校區，日常會議大都通過視頻會議的方式來解決，由于視頻會議對網絡帶寬的規定較高因此將視頻會議區域單獨通過校區自由光纖與其它校區連接，并通過帶寬保障技術確保足夠的帶寬供應。校園卡區域：校園卡網絡最為消費功效有它的特殊性，必須獨立于其它的網絡獨立出來，采用專線網絡管理從而從物理層面實現與校園網的隔離，隨著學校開展的需求，賦予了校園卡更多的身份不單單只應用于消費尚有考勤、門禁等應用出現，此區域內應當涉及全部與校園卡有關的硬件及軟件。測試區域：測試區重要效勞對象是某些處在測試階段的軟件系統，此區域的平安級別較低，軟件管理人員能夠隨時操作效勞器調試軟件，為顧客提供良好的測試環境4.5顧客準入機制設計對于校園網的顧客，最重要的是對顧客準入準出進展控制，并滿足計費管理功效。因此重要解決下面的問題：將網絡平安接入控制、防代理、上網顧客的多個IP控制和管理功效、非法DHCPserver控制、認證時的綁定平安控制功效、正當顧客的授權功效、Mac地址防盜功效、主機與IP的綁定功效、多個計費控制功效、對特定顧客的強制下線功效、黑顧客制止上網功效、支持顧客上網的時段控制，還能夠對學生的上網時間加以控制。這些是校園網普通認證計費軟件需要實現的功效，這是一種較為復雜的應用系統，需要由多方來實現。校園網另外一種問題是互聯網帶寬的濫用，不少學生在網絡中使用BT等P2P軟件，大量占用互聯網出口帶寬，使得全網互聯網非常緩慢，有時也可能由于病毒的因素，向外大量播送數據包，造成交換機端口堵塞，接入交換機能夠通過限制接入速度來實現對這些問題的克制。上述功效，能夠在接入層或者會聚層交換機上實現，這樣能夠將網絡初始流量克制在每臺交換機上，不至于將異常流量引入核心層交換機，占用核心層交換機的解決能力，影響網絡性能。4.6IP地址的規劃在校園網的規劃設計中,IP地址方案的設計至關重要,為了便于校園網的管理,可將校園網劃分為假設干網段,各部門各占一種網段,由IP地址和子網掩碼來擬定各子網中的主機地址。在信息時,各子網段是相對獨立的,在一定程度上保護了該網段內的信息平安。為了確保網絡的擴展性和平安性,我們普通在網絡中設計使用C類IP地址,網絡中的應用效勞器也使用私網IP地址。IP地址的分派IP地址分派是優化路由解決的重要構成局部。在網絡規劃中,應盡量采用保存地址,并且地址按區域進展劃分。在地址分派過程中,各節點的保存IP地址應盡量保持持續性方便于內部路由管理,同樣,整個網絡內部也應盡量保持CIDR(無線域間路由)地址塊的持續性,保存IP地址的使用應為將來網絡開展留有余地,方便于網絡的統一規劃。4.7設備的選型網絡效勞器普通選擇基于UNIX的中檔工作站，如SUN、HP、IBM等工作站或效勞器。操作系統可選Solaris、HP-UNIX、AIX。這些效勞器內存最少64MB，硬盤容量超出2GB以上，根據需要劃分為假設干卷，匿名FTP效勞器、效勞器及BBS效勞器應含有較大的硬盤容量。普通應使用486以上機型。主干交換機是指連接效勞器及樓〔比方辦公樓〕與樓〔宿舍〕之間、層〔比方實驗樓一層與二層之間〕與層之間的數據交換設備。校園網的主干交換機可選擇的1000M交換機。這樣可覺得主干校園網之間提供1Gb／s的寬帶。應用的主干技術可用堆疊交換技術。校園網效勞對象最大的群體是學生，因此直接使用100M交換機到桌面上，利于解決集中突發性所造成的堵塞。為了使每個教室之間互訪得到有效的進展，提高平安性，可在校園網中另外采用虛網技術路由器選擇的是一臺IntelExpressRouter9100路由器。路由器是校園網對外的出口，也是為保護校園網的第一道防火墻。中心機房到會聚層節點采用千兆光纖(多模)連接，會聚層到接入層采用百兆的五類線(或者超五類)連接。普通考慮，建議數據信息點的接入用交換100/10OOMbp自適應以太網端口接入，方便能較經濟的提供較高的帶寬。整個方案設計的目的是建立一種集數據傳輸和備份、多媒體應用、語音傳輸、OA應用和Internet等于一體的高可靠、高性能的寬帶多媒體校園網。5.校園網平安管理5.1平安技術的應用(1)VLAN技術的應用。為了有效地管理網絡，我們在校園網絡中進展虛擬網的劃分。虛擬網〔VLAN〕技術是現在局域網技術中開展快速的一種技術，它通過在現有物理網根底上，根據實際網絡應用的需要靈活配備，將網絡各節點重新劃分組網，形成一種邏輯網絡。虛擬網技術的引入給現有網絡的設計、管理和維護帶來了某些根本性的變化。(2)ACL技術的應用。合理配備和使用交換機支持的控制列表〔ACL〕功效，能夠合理地限制網絡非法流量，其重要原理為：ACL使用包過濾技術，在路由器或者核心交換機上對ISO模型的第三層、第四層的XX信息讀取，涉及源地址與目的地址、源端口與目的端口，根據設定的規那么對數據包進展過濾，從而實現控制。校園網節點重要由資源節點與顧客節點構成，資源節點提供大量的應用效勞與數據共享供顧客節點。在這個過程中，ＡＣＬ技術首先對資源節點提供保護，制止非法顧客對資源節點的，另首先限制特定的顧客節點所能含有的權限。5.2VLAN的劃分校園網內部已經含有了數個相對獨立的辦公或學習單元,如果全部獨立單元的顧客無差別地處在對等網中,不僅使許多敏感數據容易被無關人員獲取,并且獨立單元內的大量通信也會占用諸多的網絡資源,使整個網絡的效率變低,甚至引發崩潰。為此,需要將經常進展通信的計算機構成一種子網,使大量的內部數據局限在子網內傳輸,然后將各個子網連接在一起,形成校園局域網。VLAN又稱虛擬網,從網絡管理上被定義為一種位置無關的局域網播送域。VLAN技術是隨著交換技術的出現而產生的,在一種校園網內劃分假設干虛擬子網有下列好處:(1)隔離播送。(2)方便的工作組劃分和管理。(3)增強網絡平安性。具體在校園網虛擬網的劃分中有下列優點:(1)使得校園網的劃分很容易和校內各部門的劃分一致起來,能使得同一部門在不同物理網段的結點可被設為同一邏輯子網,實現與物理位置的無關性。(2)對于網絡中心,財務部門等要害部門可采用基于傳統的MAC地址的VLAN劃分技術,以避免非授權結點在該子網中的出現。(3)對于比擬分散、物理子網比擬多,難以有效管理的地方可采用混合方略,以盡量減少IP地址盜用和其它平安問題。5.3防火墻的使用防火墻是架構于兩個不同網絡之間，根據設定的平安規那么，決定網絡中傳輸的數據包與否允許通過，并監視網絡運行狀態，內部的構造以及運行狀況均對外屏蔽，從而實現內部網絡的平安防護。防火墻的重要作用為：①防火墻能夠把內、外網絡、對外效勞器網絡實施分區域隔離，從而杜絕它們與外網直接通信；②防火墻能夠將對外效勞器、網絡上的主機隔離在一種區域內，通過平安保護方法，確保平安；③防火墻能夠對顧客的權限進展限制，在增加正當顧客平安性的同時，也實現對非法顧客的回絕；④防火墻能夠實現對效勞器的請求控制，發現非法行為以及制止非法操作；⑤運用防火墻及各效勞器上的審計統計，形成一種完善的審計體系，在方略之后建立第二條防線。出口防火墻重要是互聯網出口平安規那么的檢查，由于是專用的平安設備，能夠定義許多平安規那么，能夠根據需要定義較為復雜的規那么，對互聯網外網效勞器和內部網絡的行為進展控制，檢測和切斷黑客的攻擊行為，從而確保網絡的平安運行。5.4管理員平安管理與效勞支持效勞器日常維護量較大，管理員需要在任何地點連接效勞器進展維護，管理員+地址映射的模式平安隱患極大，基于