v1.0可編輯可修改v1.0可編輯可修改PAGEPAGE57v1.0可編輯可修改PAGE西部大學校園計算機網絡建設工程重慶大學校園網建設項目實施方案重慶大學湖南計算機股份有限公司2002年10月

目錄TOC\o"1-3"\h\z一、項目概要 1二、建設的意義和必要性 1三、校園網現狀和存在問題 2校園網現狀 3目前校園網存在問題 5四、建設目標和建設內容 6建設目標 74.1.2總體目標 74.1.3建設指導思想 84.1.4建設原則 8建設內容 94.2.1結構化布線 94.2.2網絡通信系統 174.2.3主機系統 234.2.4網絡安全與管理系統 264.2.5機房建設 304.2.6應用系統 34五、新建校園網拓撲結構 39六、設備配置與經費預算 43設備配置 43項目經費預算 44七、項目管理和組織實施 44項目管理 44項目的組織機構 447.2.1重慶大學項目組織機構設置 447.2.2湖南計算機股份有限公司項目組織機構設置 45項目進度安排 45八、預期效益 46九、重慶大學校園網建設匯總表 48一、項目概要重慶大學新校園網絡工程是國家“西部大學校園計算機網絡建設工程”之一，該工程需要對重慶大學的現有校園網進行全面改造和性能提升，其先進性、可擴展性、建設規模、包含內容等在重慶市高校，乃至西南地區高校中都屬前列。本次網絡建設目前需要覆蓋該校的A、B、C三校區，同時要考慮以后的擴展需要，如新擴展的3000畝校區等。該項目建設總體目標是：在一年之內，建成該校校園網網絡基礎設施，實現校內用戶的高速互聯互通、資源共享，校外與中國教育科研計算機網高速接入，同時建設一系列基于校園網環境的教學、科研和管理的應用系統。該工程主要包括建設校園計算機光纖主干網、校園網網絡中心、開放網絡機房、多媒體網絡教室、網絡管理和運行系統、教學、科研、管理系統和網絡安全保障體系等。要滿足全校4萬多學生、6千多教職員工的教學、科研、管理、生活、娛樂等的上網需要。該工程的實施，不僅能全面提高重慶大學校園網的水平和規模，擴大校園網的應用范圍，為教師教學和科研以及學生進入網絡平臺提供了基本保證，而且將為重慶市、西部國民經濟和社會信息化的發展提供人才和智力支持，直接關系到重慶市、西部“科教興國”戰略的實施和教育跨越式發展目標的實現。二、建設的意義和必要性二十世紀九十年代以來，中國政府以高瞻遠矚的眼光相繼建成了國家級的教育和科研計算機網絡，并相互連成覆蓋全球的國際性學術計算機網絡Internet。這種計算機信息網絡的產生加快了信息傳遞速度，為廣大教師學生，以及科研人員提供了一個全新的網絡計算環境，從根本上改變并促進了他們之間的信息交流、資源共享、科學計算和科研合作，成為這些國家教育和科研工作最重要的基礎設施，從而促進了這些國家教育和科研事業的迅速發展。近兩年來，國家為進一步保持其在經濟和技術領域的領先地位，又相繼提出了以基于中國教育和科研計算機網絡平臺為基礎，啟動“西部大學校園計算機網絡建設工程”項目計劃，并緊鑼密鼓地付諸實施。啟動“重慶大學校園計算機網絡建設工程”項目計劃的建設，其重要意義在于：有利于教育科研事業的發展。建立重慶大學校園計算機網絡建設工程，使重慶大學的教師、研究生和科研人員在全國和全世界的計算機網絡環境下進行學習和開展科研工作，極大地提高教學質量和研究水平，成為中國高等學校進入世界科學技術領域的快捷方便的入口和科學研究的重要基礎設施，培養出面向世界面向未來的高層次人才。有利于重慶地區經濟的發展。適逢中國政府提出“開發西部，建設西部”的宏圖規劃下，致力于全力發展經濟、建立完善的社會主義市場經濟的特殊階段，啟動“重慶大學校園計算機網絡建設工程”項目計劃，有著重要的戰略意義，“百年之計，科教為本”，科技生產力的提高才能真正的意味著推動和加速中國國民經濟的發展，“重慶大學校園計算機網絡建設工程”項目計劃的啟動，是國家經濟信息化建設的高潮到來之時。使信息產業成為中國下世紀綜合國力的重要組成部分。曾經中國的教育信息化之路存在的許多制約因素，特別是西部地區學校，存在著教育經費緊張、學校信息化起步水平較低、建設缺乏合理規劃等。我們在同許多中小學校的校長、教師交流和調研時，都表達這樣的意愿，那就是希望有一套穩定、安全、流暢的網絡平臺；針對適合教學需求的信息化教學系統，并能夠在實際教學中不斷得到培訓和服務支持。只有這樣，不同地區、不同層次的學校才能都切實獲得教育信息化帶來的好處。重慶大學校園計算機網絡建設工程項目實施與建成，有利于重慶大學的發展，示范作用會越來越大，相信重慶大學校園計算機網絡信息化的春天即將到來。三、校園網現狀和存在問題重慶大學校園網目前采用1000兆三層以太交換技術，整個網絡采用三層管理結構核心層、匯聚層和接入層。第一層采用1000兆光纖連接，形成網絡骨干網。核心層由6個骨干節點組成，分布在A區：網絡中心、傳動實驗室，B區：B區核心節點、圖書館，C區：核心節點。匯聚層上建立二級節點。A區：管理學院、校醫院、青教樓、七大樓、理科樓、遠程教育中心、綜合大樓、行政樓，B區：學生活動中心、辦公大樓。由一、二級節點分別連接16個片區網絡。核心層采用光纖連接。匯聚層交換機采用100兆光纖上連到一級交換機，通過100兆光纖或雙絞線下連到接入層交換機。接入層是各部、處、學院、系、實驗室組成的局域網絡系統。這些局域網絡以交換機、HUB、路由器、PC橋、代理服務器通過100兆光纖或雙絞線與校園網二級交換機連接，在一級骨干節點附近的直接通過雙絞線與骨干交換機連接。校園網現狀1、A區網絡系統現狀A區網絡系統于己于1995年開始建設，采用了155M的ATM交換技術組網，整個網絡采用了三層拓撲結構。校園內敷設了光纜9公里，連接了40多個二級網絡。在網絡中心的ATM交換機上安裝了多協議路由模塊，建立了解36個以太局域網（ELAN），實現了跨樓群的分布式虛擬局域網（VLAN）功能。2002年6月，學校更換了13臺交換機設備。其中1臺AVAYAP550（用于網絡中心作為核心交換機），12臺P330（用于各個匯聚層骨干節點）。B區網絡系統現狀B區網絡系統于己于1996年建設，系統采用了快速三層交換機技術。以星型的拓撲結構，用Inter550T三層交換機作為B區網絡的核心節點，其它節點采用二層交換機或HUB作為網絡連接設備。3、C區網絡系統現狀C區網絡系統采用快速以太網方式組組網，整個網絡屬于典型的星型托撲結構，校園內敷設了12條光纜，主干交換機采用了CISCO2924，二級交換機采用了CISCO1924和少量的HUB。4、三校區互連現狀整個校園主干用了單模光纖和多模光纖布線，B區核心節點、C區核心節點通過100M連入A區網絡中心的核心交換機上。校園網出口使用CISCO3640路由器一臺以100M接入CERNET。5、光纜敷設重慶大學三校區原有光纜56條，其中A區41條，B區11條，C區12條，A區光纜主要產品采用AMP6芯125多模鎧裝光纖，光纖ST頭、藕合器、跳線采用AMP產品，B區和C區主要采用一般的國產多模光纖，少量的單模光纖。圖重慶大學校園網拓樸結構現狀6、網絡中心、機房建設現狀重慶大學網絡中心由網絡運行室（NOC）、網絡信息室（NIC）、辦公室和接待中心組成。中心現有建筑面積320平方米，其中機房面積110平方米，工作用90平方米，培訓機房50平方米，會議室30平方米。另外管理學院、逸夫樓、傳動實驗室、C區網絡機房共五個；除網絡中心符合機房建設的要求外，其它都需要改造。新教學樓、校醫院、B區網絡機房需要重新建設；但是現有的UPS電源配備已經基本接近額定值。7、校園網絡應用現狀重慶大學校園網應用經過多年的建設，基本完成了網絡的基礎系統建設；擁有一批部門級的信息系統，如財務系統、遠程教育、電子圖書管等；對視頻服務系統，完成了視頻點播系統的初步建設；擁有一定數量的以SUN為代表的服務器和PC計算機。WWW、E-MAIL、域名服務、FTP視頻服務等園區級的基礎應用除了視頻系統，其余基本在線使用；辦公自動化一卡通系統等園區級的應用有待開發，部分部門級應用有待進一步完善。目前校園網存在問題重慶大學目前網絡信息流量巨增，新型網絡應用的開展，如：網上多媒體教學、校內IP電話、遠程教育、網上聯合工程研究、數字化圖書館、校園辦公自動化系統等對網絡主干和網絡服務器設備提出了新的要求，原有設備已經很難適應新的需求、因此需要重新規劃建設新的校園網絡，將各個校區的網絡系統連接起來，建設統一的、規模較大的、能適應學校教研發展的校園網絡系統。針對以上情況我們就以下幾個方面的問題進行了分析。1、網絡性能及策略服務新組建的大學網絡系統應實現高帶寬、多路交換特性，為校園內外部信息交換提供流暢的信息通道。網絡應具有高性能，可實現鏈路匯聚（LAG）特性提供更高帶寬。低延時特性應滿足網上視頻點播、IP電話、時實遠程教育、多媒體教學的基本需求。主干網絡設備支持四層以上的交換特性，實現對不同IP業務的策略控制與管理，提高QoS服務質量，將IP組播技術應用在網絡系統中，為實施遠程教育打下堅實的基礎。2、網絡的可靠性由于重慶大學的校園網絡支持的用戶十分龐大，骨干網絡應該具有很高的可靠性，最好能夠提供電信級的可靠性。應該從網絡設計上和產品設計上提供相應的可靠性保障。如網絡設計時，骨干網絡設計時應該考慮建立冗余連接，實現故障自動鏈路切換。產品選擇上應提供具有容錯設計、無單一故障點的產品。3、支持VLAN功能為了加強IP管理，原則上一個單位在一個IP子網內。由于校園各單位的分散性，會出現一個單位的站點分布在不同的樓群內，另一方面在校園網的同一個二級交換機上往往會連接多個IP子網，校園網分布式VLAN和集中式VLAN是當前和今后學校二級IP子網組網的基本特性。因此，在產品選擇和網絡設計時，應細致考慮VLAN可定義的類型，VLAN的中繼能力，實現基于策略的VLAN。4、網絡的安全要求網絡安全是任何一個建網單位都十分關心的問題，網絡設計必須能夠提供一整套安全性策略、安全性機制和安全性解決方案。另外由于重慶大學的特殊情況應該特別注意IP地址防盜用問題。重慶大學校園網絡與CERNET已連通，許多單位建立了自己的域名服務器、WWW服務器。網絡中心為各單位分配了正規的IP地址，因此存在IP地址盜用問題；在劃分了IP子網后，子網間的IP地址盜用問題解決了，但子網內部仍存在IP地址盜用。除了以路由器或PC橋方式與校園網連接的子網外，其它方式連接的子網應考慮防止IP盜用。在大學出口處設立防火墻，防止外部網絡對校園內部網絡的攻擊，請詳細敘述IP盜用和網絡安全的策略、方法、措施。5、網絡的管理要求構成重慶大學校園網絡的產品眾多，網絡管理是一個十分艱巨而重要的問題。三校合并后，采用統一網管系統和網絡計費系統。管理系統原則上采用與產品廠家一致的網管產品，網管除了能實現網管的基本功能外，最好能做到子網和站點控制、過濾，考慮提供網管二次開發包，對網絡設備及其業務實施策略管理。網管除了管理校園網骨干交換機、二級交換機外，還要管理路由器、撥號服務器、各二級單位的具有網管功能的交換機、路由器。6、計費要求網絡計費分局域網站用戶計費和撥號用戶計費。局域網用戶計費按院、部、處、實驗室為單位進行結算，要求計費系統基于IP地址的流量計費或基于用戶的流量計費。家屬區、學生區局域網絡用戶采用代理服務器上網，要求計費系統基于用戶的流量計費。撥號用戶計費要求采用計時、計量相結合的辦法。局域網用戶的流量要求區分國際、國內的流入、流出，撥號用戶只要求區分流入、流出。網絡安全計費、靈活的用戶管理、方便的用戶計費查詢是計費軟件應達到的基本要求。四、建設目標和建設內容建設目標在充分理解重慶大學校園網絡系統在未來3-5年內的應用、數據流的分布基礎上，我們規劃設計重慶大學校園辦公自動化系統、視頻會議、視頻點播和網絡電視系統、遠程教育系統、校園金融IC卡一卡通系統以及校園后勤保障系統、多媒體、教學和數字圖書館系統，并通過與CERNET的連接，使重慶大學校園網絡系統成為一個集教學、科研、管理以及消費自動化管理系統。在網絡體系的架構上，重慶大學校園網應是一個以寬帶IP網為目標，建立數據、語音、視頻三網合一的一體化網絡的體系架構，同時提高網絡可靠性、安全性和可管理性。在主干網采用以光纖布線為主，室內綜合布線及無線接入為基礎鏈路。主干網核心層交換設備具有千兆位或萬兆位的以太網技術的包交換速度及高速的三層交換功能的。結合校園網主服務器集群的作用，以高速通訊線路與服務器連接，從而保證了服務器具有足夠的帶寬為網絡上的用戶提供良好的服務性能。匯集層網絡交換設備以采用成熟的、可靠的快速以太網技術設備作為接入橋梁，實現虛擬局域網（VLAN）的功能及網間通訊，同時確保全網的良好性能及網絡安全性。接入層交換設備為校園用戶提供高速到桌面的接入體系。整個校園網采用先進的網管軟件，建立完善的網絡管理體系。同時為重慶地區其他城市高校提供接入CERNET的接口，為VPN、撥號用戶和移動用戶辦公提供接口，網絡還應具有良好的擴展性。在重慶校園網絡規劃中，以建設校園網網絡中心、開放的網絡機房、多媒體網絡教室、遠程網絡教育及網絡管理為綜合性的網絡基礎平臺。4.1.2總體目標基于以上需求，重慶大學校園網建設工程項目的總體目標是：通過有線、無線等方式組建一個高穩定性、強壯性、安全性、可管理性的計算機網絡系統；多協議、多服務的計算機網絡體系；實現現有三校區的高速互連互通，并覆蓋校園內每個角落，同時考慮可擴展性，保證3～5年以內不落后，10年以內可用，能夠輕松方便地支持校內辦公自動化（OA）、教學管理、科研管理、數字圖書館、遠程教育（網絡教育）、校園一卡通及多媒體信息服務等應用的需求。4.1.3建設指導思想先進性：在保證系統能夠穩定運行的基礎上，以先進的設計思想，設計網絡結構、開發工具，采用市場覆蓋率高、標準化和技術成熟的軟硬件產品。保證技術的前瞻性，延長系統的生命周期?？煽啃裕壕哂腥蒎e功能，管理、維護方便。對網絡的設計、選型、安裝、調試等各環節進行統一規劃和分析，確保系統運行可靠，并具有良好的性能價格比。安全性：隨著信息化的集中處理和基于Internet的訪問激增，給校園網絡帶來的不利因素之一便是安全問題。從某種角度上來看，使校園內部科研信息及其它信息等暴露的可能性增大，信息一經暴露，給全系統帶來的危害性加大。因此，方案設計時，充分考慮系統的抗外部攻擊和內部攻擊的能力。可擴展性：系統總體設計采用開放的結構，具有可擴展性，同時系統設計應經濟實用。實用性：本著經濟的原則，系統不追求大而全和設備先進，選用實用、夠用的設計方案，更著眼于系統整個的靈活性和可擴充性，同時，考慮要利用和保護現有的資源、充分發揮設備效益。開放性：系統設計應采用開放的技術、開放的結構、開放的系統組建和開放的用戶接口，以利于網絡維護、擴展升級和與外界信息的溝通。靈活性：采用積木式模塊組合和結構化設計，使系統配置靈活，滿足學校分步實施的建網原則，使網絡具有強大的可增長性。4.1.4建設原則統一規劃、分步實施、近期目標明確統一設計，分布實施的原則基于系統的可用性、擴展性和先進性的統一的需要，即應用系統的設計、網絡方案設計充分考慮網絡系統建成后5－10年的發展需要，進行全方位整合；考慮校園園區網絡系統的設備、物理鏈路、業務發展狀況、技術力量等多方面的綜合因素，為未來的發展留有余地。堅持先進性、開放性、標準化的原則建立一個大規模的綜合性園區網絡系統，應該盡可能采用先進成熟的技術。選購具有當今主流先進技術水平的計算機系統和網絡設備，這些設備或系統應該在相當長的時間內保證其先進性。開發或選購的各種網絡應用軟件也盡可能先進，并有相當長時間的可用性?，F代計算機網絡的一個最顯著特點是具有極好的開放性。這種開放性靠標準化實現，使得符合這些標準的計算機系統很容易進行網絡互連。為此，應制定全網統一的網絡體系結構，并遵循統一的通信協議標準。網絡體系結構和通信協議應選擇廣泛使用的國際工業標準，使得設計網絡系統成為一個完全開放式的網絡計算環境。強調應用和服務網絡應用和服務在整個網絡建設中應置于非常重要的地位。建設好一個，投入使用一個，使網絡的建設、應用及服務同步進行。應用和服務才是用戶可直接受益的部分。同時，提供網絡系統強有力的售后保障體系，也是應用和服務延伸的保證。建設內容4.2.1結構化布線當今世界已經進入了信息網絡時代。結構化布線系統是信息網絡時代的必然產物，是智能建筑的中樞。它采用高質量的國際標準線纜和相關連接件，在建筑物內組成標準、靈活、開放的傳輸系統，解決了過去建筑物各種布線系統互不兼容的問題。它既可以傳輸語音、數據、圖象和離散信號，也可以與建筑物外部的通信網絡相連接，因而它是一種適應信息網絡時代的建筑物“信息高速公路”，是信息網絡技術的一個重要分支，是建筑智能化必備的基礎設施。為了更好的落實國務院、省、市關于高校后勤社會化改革的要求，達到高校管理現代化、智能化、數字化和網絡化，根據重慶大學校園網建設要求，通過結構化的綜合布線，在校園內建設一條“信息高速公路”，實現信息資源的共享。1、綜合布線方案設計重慶大學綜合布線系統物理拓撲結構為分層星型拓撲結構，該結構下的每個分支子系統都是相對獨立的單元，對每個分支子系統的改動都不影響其他子系統，只要改變接點連接方式就可使綜合布線在星型、總線型、環型、樹型等結構之間進行轉換，既支持集中網絡，又能支持分布式網絡系統。通過統一規劃和模塊化設計，滿足語音和數據信息點的即插即用和隨時互換，建立的系統能夠支持ISDN傳輸，并方便地與Internet或數據專網互聯。根據重慶大學的規劃，A區公寓區結構化布線系統設計為二級管理結構，一級設備間位于網絡中心，其余每棟公寓樓設計一個二級設備間；A區辦公區結構化布線系統設計基本為三級管理結構，一級設備間位于網絡中心、逸夫樓中心、傳動實驗室，二級設備間位于六大樓、管理學院、校醫院、學生十二舍，其余每棟辦公樓設計若干個三級設備間。根據重慶大學的規劃，B區公寓區結構化布線系統設計為二級管理結構，一級設備間位于二綜合樓，其余每棟公寓樓設計一個二級設備間；B區辦公區結構化布線系統設計基本為二級管理結構，一級設備間位于二綜合樓，二級設備間位于每棟辦公樓。根據重慶大學的規劃，C區結構化布線系統設計為二級管理結構，一級設備間位于行政樓網絡中心，其余每樓棟設計一個二級設備間。2、綜合布線系統的結構根據重慶大學校園網建設要求，結構化布線系統體系統結構如下圖所示：圖結構化布線系統體系統結構（1）工作區子系統一個獨立的需要設置語音/數據終端的區域宜劃分為一個工作區，工作區子系統由辦公區域的信息插座、延伸到終端設備處的連接電纜和適配器組成。工作區適配器的選用宜符合下列要求：采用不同信息插座的連接器時，可以用專用電纜或適配器；開通ISDN業務時，宜采用網絡終端適配器；水平子系統與終端設備傳輸介質不同時，宜采用適配器；需要進行數模轉換或數據速率轉換時，宜采用適配器；對于網絡規程的兼容性，可用配合適配器。本設計中，公寓樓四人房每個房間設計4個數據信息點；其它每個房間設計2個數據信息點。布線材料全部采用M10L-262單口空面板(帶防塵蓋)和MPS100E-262超五類簡裝模塊。（2）水平子系統水平子系統由各設備間到各個工作區之間的線纜組成。水平子系統通常采用4對非屏蔽雙絞線，電纜長度不超過90米（3）干線子系統干線子系統由MDF和IDF之間的連接線纜組成。線纜一般為大對數雙絞線電纜或光纜。數據主干采用國產9/125m室外單模光纖、9/125m室外多模光纖，光纖具有低傳輸損耗值和高帶寬傳輸能力，是傳輸高速數據的最佳傳輸介質。它能最大程度的提供數據的保密性和完整性，且不受電磁、雷電干擾，并支持未來的高速數據傳輸和多媒體技術。（4）管理區子系統管理區是配線間或設備間的配線區域，它采用交連或互連等方式，管理干子系統和水平子系統的線纜。重慶大學辦公區三級分配線架中連接所有水平雙絞線的銅纜配線架采用PM2150-2424口超五類配線架，1U的結構，既精致，又便于安裝，可安裝于標準的機柜里面。重慶大學公寓區各三級配線間采用樓道專用寬帶機箱和墻柜，不使用超五類配線架。（5）設備間子系統設備間子系統設于大樓的信息中心，由設備間中的數據主配線設備（光纖終接箱）及相關支撐硬件組成，它把公共系統設備的各種不同設備互連起來。該子系統連接局域網絡系統設備（如主干交換機、HUB、服務器、路由器、防火墻等），通過從水平子系統中發送過來的水平電纜分別對大樓各信息點進行跳線管理。設備間子系統所有設備均安裝在19”標準落地機柜中。機柜上安裝著若干配線架，以方便線路的跳接，并留有足夠的空間，可以安裝用戶網絡集線器設備。該機柜正面安裝玻璃門，使管理人員能夠在不打開機柜的時候就可以看清面板上的跳線情況，看到網絡設備的工作狀態。由于機柜為全封閉型，使所有線纜（大對數雙絞線和跳線）均被封閉在機柜內，無關人員不可能接觸到布線系統，使系統的可靠性得到了極大的提高。設備間是整個配線系統的中心單元，它的環境條件的考慮是否恰當都直接影響到將來信息系統的正常運行及維護使用的靈活性。建議其室內照明不低于150Lux，并應提供UPS電源配電盤以保證網絡設備運行及維護的供電。如數據布線采用屏蔽布線系統時，應備有合適的接地線。設備間的環境條件要求如下：將服務電梯安排在設備間附近，以便裝笨重的設備。室溫應保持在18℃至27℃之間，相對溫度保持在30％保持室內無塵或少塵，通風良好，亮度至少達30英尺安裝合適的消防系統(如采用濕型系統，不要把噴頭直接對準電氣設備)。使用防火門，至少能耐火1小時的防火墻和阻燃漆。提供合適的門鎖，至少要有一扇窗口留作安全出口。分配線間應注意避免電磁干擾和雷擊，安裝小于1Ω的接地裝置；盡量遠離存放危險物品的場所、強電和電磁干擾源(如發射機和電動機)。設備間的地板負重能力至少應為500KG/平方米。根據結構化布線系統的要求，在配線間安裝布線硬件的墻壁上須覆蓋涂有阻燃漆的3/4英寸(合1.9CM)厚的木板。結構化布線系統中典型的配線間，其可以走進人的最小安全尺寸是120×150CM，標準的天花板高度為240CM，門的大小至少為高寬1M，外開。在配線間內應至少留有二個為本系統專用的，符合和辦公照明要求的220V電壓，電流10A單相三級電源插座。如果需要在配線間內放置網絡設備，則還應根據接線間內放置設備的供電需求，配有另外的帶4個AC雙排插座的20A專用線路。此線路不應與其他大型設備并聯，并且最好先連接到UPS，以確保對設備的供電及電源的質量。3、綜合布線內容重慶大學A區、B區、C區結構化布線系統共包含3200個信息點以上。重慶大學大學生公寓A區、B區、C區，4人間每間布4個信息點，其它每間布2個信息點。重慶大學教學辦公A區、B區、C區，根據實際需求，每戶內設置1個數據點。圖4.2A區光纜結構圖圖B區光纜結構圖圖4.4C區光纜結構圖4.2.2網絡通信系統1、網絡系統總體結構重慶大學校園網是一個較復雜的網絡系統。簡化復雜系統的典型策略是采用分層的方法。本方案中，我們將整個校園計算機網絡系統作如下劃分。整個系統簡化為分層結構，分為水平層面上的核心層（網絡主干）、匯聚層、接入層，其信息流動模式是逐漸匯集于主干。在垂直層面上分為管理層和安全層。其中網絡的核心層（或稱主干）部分是整個網絡的信息匯集處，擁有足夠的帶寬和良好的升級能力；具有足夠的網絡智能和承載多種服務類型的能力；同時具有很高可靠性。而網絡的匯聚層部分起著承上啟下的作用，是網絡核心服務功能在更大范圍的延伸和擴展。它匯集下層網絡的流動信息，并將其進一步匯集于主干。與核心層類似，它也擁有足夠的帶寬和良好的升級能力；具有承載多種服務類型的能力；具有高可靠性。網絡的接入層（或稱接入層）作為網絡的底層，直接面對用戶，具有極大的靈活性、易用性；多種服務接入能力。從網絡的管理層和安全層面講，網絡應具有極強的貫穿3個水平層面的控制能力和網絡安全能力。包括靈活的計帳方式；基于策略的網絡管理和基于物理層、鏈路層和網絡層的性能測量和故障監控，并提供遠程配置和故障排除能力。2、網絡主干核心節點核心層是網絡高速交換的骨干，盡可能高速交換包，具有高可靠性、提供冗余、容錯、低延時和良好的可管理性、避免使用減慢包處理的進程（如訪問控制列表、包過濾等）、具有界定一致的網絡路徑。重慶大學網絡核心層由5個核心節點組成，其中包括:網絡中心、A區逸夫樓、A區傳動實驗室、B區網絡核心節點（二綜合樓）、C區核心節點(C區行政樓)。這5個核心節點主要包括兩個主要功能：連接骨干網絡，構成骨干網絡通道；連接各種匯聚節點，包括高速接入和信息源接入(主機)。網絡中心核心交換機主要是實現骨干網絡之間的優化傳輸,同時承擔與校外Internet,Cernet的路由傳輸，我們在網絡中心采用交換能力大于90Mpps多層交換機2臺；交換機之間實現全冗余連接和鏈路匯聚（LAG）保證網絡鏈路的可靠性和高達4G以上的性能，并通過路由冗余協議VRRP，兩臺核心交換機互為備份、負載均衡?？紤]到B區的數據流量較大，因此在B區網絡核心節點也放置一臺交換能力大于90Mpps的多層交換機，根據我們的調查分析在C區網絡中心、傳動實驗室、逸夫樓分布放置一臺冗余配置的交換能力大于40Mpps多層交換機可以滿足各自片區網絡的需求。B區、C區、傳動、逸夫樓的核心交換機通過冗余鏈路連接到中心兩臺核心交換機上，使整個核心層為網狀網絡拓樸結構，以保證重慶大學校園網核心骨干網的高性能，高可靠，高擴展性以及線速無阻塞的L2/L3/L4層交換。重慶大學校園網絡核心節點都具有如下的特點：都具有電信級的全系統冗余，時鐘，電源，風扇等的冗余；從根本上保證了節點的安全可靠性。都具有良好的性能價格比。都具有良好的系統擴充性。3、匯聚層節點匯聚層是接入層和核心層的分界點，并且用來分辯和區別骨干。提供基于策略的連接，具有安全服務等各項策略的實現、地址和區域的聚合、部門和工作組的訪問、廣播域、組播域的建立、VLAN之間的路由、介質轉換、路由域之間的分布等功能。重大校園網絡匯聚層（二級骨干）的要求：提供較高的可靠性和高速上行網絡連接，部署網絡的控制能力（如分布式三層交換和QoS等策略）。對于流量較大的匯聚層交換機建議采用交換能力大于40Mpps的三層交換機，其它數據流量較小的匯聚節點則選用交換能力在10Mpps左右的三層或二層交換機通過千兆光纖與核心層交換機連接。匯聚層交換機的上行鏈路1000M光纖模塊也可根據距離長短選擇長波或短波千兆模塊。具體為：A區的綜合樓、七大樓、行政樓、校醫院、理科樓、學生宿舍區通過1000M光纖接入到A區網絡中心；B區的八教學樓、設計院、學生宿舍通過1000M光纖接入到B區網絡核心節點；C區下屬各二級節點全部通過星型方式接到C區網絡核心節點。4、接入層節點接入層節點主要由桌面交換機組成，被部署在各大樓內樓層配線間或機房，我們選擇具有高性價比的二層交換機作為接入層節點，向下提供PC10/100M上連帶寬，向上通過5類UTP或光纖以100M、1000M帶寬接入匯聚節點，接入節點根據流量分布、地理分布和應用要求等，尤其是考慮重慶地區對接入層交換機防雷特性有較強要求，應采用具有防雷性好、性價比高的二層簡單網管交換機。5、邊界路由邊界路由包含校園網絡對外、對內的關口,承擔了連至CERNET的網關業務。在本次方案設計中，在邊界路由部署路由器一臺用于外部連接，配置100MR-J45模塊用于連接CERNET，通過硬件防火墻交換信息。對于內部撥號訪問用戶我們使用已有的一臺路由器作為內部撥號訪問服務器。6、無線網絡根據重慶大學要在辦公區域內實現計算機無線聯網的實際要求，擬在國際會議中心及體育大樓通過無線局域網（WLAN）形式，把區域內的固定和移動工作站連結起來組成一個內部無線局域網絡系統，并通過特定出口訪問Internet。圖會議室無線拓樸圖說明：移動用戶通過筆記本電腦或手持終端上的無線網卡，隨時隨地與有線網絡保持通訊，可漫游。圖體育場無線拓樸圖7、需解決的關鍵技術（1）新舊網絡設備的互連通性根據重慶大學校園網絡建設要求，把原有網絡設備和新增網絡設備分為兩部分。原有主干網絡設備和新增網絡設備之間的連接采用千兆光纖。千兆位以太網使用了與其前代技術相同的CSMA/CD協議，相同的幀結構幀長，其國際標準是及；而生成樹協議保證了網絡的任意節點之間不存在邏輯上的環路。（2）虛擬網（VLAN）劃分針對重慶大學校園網絡的實際情況，VLAN劃分法采用基于端口的方法和標準國際標準進行VLAN的劃分，并結合物理位置和部門功能做為進行VLAN劃分的原則。通過LAN方法接入網絡中心的VLAN劃分由網絡中心統一指定VLAN的范圍和VLAN采用的協議。不通過LAN方法接入網控中心的VLAN劃分不受約束。VLAN之間只允許必要的通訊，其余的通訊將被阻止。公用的服務器可以單獨在一個VLAN中。我們以學生區為例：我們按照VLAN劃分原則，在學生區接入層采用基于端口的劃分方法，以學生宿舍為單位，結合IP地址的規劃，將一個C類地址劃在一個VLAN里面。在匯聚層采用基于的劃分方法,將匯聚層每十臺劃在一個VLAN里面,同時將VLAN終止在匯聚層,來配合我們分布式的路由設計，從而減輕核心交換機的工作壓力。圖VLAN劃分（3）IP規劃三個校區的IP由網絡中心統一規劃。IP地址規劃擬以各個單位、各個部門的職能為單位，學生以宿舍樓（公寓）的樓層或者單元為單位，結合虛擬網的使用情況進行劃分。重慶大學校園網建成后，應使新舊系統平穩過渡。建議IP地址分配、管理基本不變。同時考慮到公有的IP地址數目有限和內外網的安全，故在公有地址不夠時內網采用私有IP地址。由網絡中心分別對二級節點進行地址劃分，再將二級節點細分到不同三級節點上?？紤]到重大目前的狀況和將來五年的發展，以及學生使用網絡的特點，故將學生區單獨考慮。對學生采用以網絡中心對各個學生宿舍（公寓）劃分IP段，再以學生宿舍（公寓）的單元或樓層為單位，細分IP段。最后對合法用戶采用動態分配IP和身份驗證相結合。這樣，既保護了合法用戶，又使其他的用戶可以在內部網互相交流。私有IP在訪問Internet或CERNET網絡時，通過NAT服務器，來實現私有IP到公用IP的轉換。需要提供外部訪問的服務器地址使用公用IP地址。（4）路由方式采用核心層和匯聚層路由分擔的設計，使核心層交換機和匯聚層三層交換機都承擔路由的功能。整個網絡按照網絡的層次和組織機構劃分為不同的路由區域，各匯聚層的交換機負責各自區域的路由，只有跨區域的路由才會通過骨干路由器實現。核心層路由采用OSPF路由協議，匯聚層路由可采用OSPF和靜態路由相結合的方式實現，邊界路由采用靜態路由。針對重慶大學校園網絡，路由策略也主要是基于路由表的信息來決定數量包轉發的目的地。根據用戶訪問信息源的方式，以及是訪問Internet或CERNET網絡和局域網內的用戶需訪問國外信息流還是國內網絡信息資源的不同，來實現不同的管理和計費。（5）負載均衡內部流量的負載均衡：核心交換機之間采用第三層路徑選擇，可在并行的鏈路之間進行負載均衡。通過合理劃分VLAN，把不同的鏈路劃分到不同的VLAN中去，可以充分利用核心層的網絡帶寬。當工作在全雙工模式時，本次方案中新增加的路由設備和原有設備具有4Gbps的帶寬，實現了環狀的拓撲中動態的負載均衡和動態的數據包路由。路由的負載均衡：在重慶大學現有的校園網中，核心交換機承擔了絕大多數路由的工作。隨著校園網規模的擴大，核心交換機已經不堪重負。因此，采用分布式的路由設計，網絡集中式管理改變為分級管理。這樣不僅減輕了核心交換機的負擔，更重要的是，分級管理的思想為以后網絡區域式分塊管理提供了可能，大大提高了網絡的可管理性和健壯性。（6）校園網出口設計為了降低出口防火墻的負擔，提高校園網的運行效率，應采取適當的措施，合理設計網絡結構，合理規劃路由，實現一定程度上的負載均衡。這對充分利用網絡資源、提高校園網的服務質量有著重要的意義。校園網內的用戶缺省情況下是無法訪問校園網以外的站點。只有經過用戶認證才可以訪問INTERNET。同時配置一臺高速緩存服務器,解決INTERNET信息流量的存儲和共享問題。（7）QOS服務質量保證由于重慶大學校園網絡用戶的劇增及語音、視頻等新業務、新應用的出現，在網絡中一個迫切需要解決的問題就是網絡服務質量的保證。重慶大學校園網絡采用硬件Qos隊列處理、擁塞控制、帶寬預留、過濾及多種策略實現Qos優先級等QoS處理技術。（8）核心交換機之間冗余備份在核心交換機之間，通過雙鏈路連接，把兩條光纖鏈路捆綁起來，在提高了網絡骨干的帶寬同時，實現了冗余備份。動態路由協議自動對鏈路進行選擇，核心層鏈路故障并不影響網絡的正常運行，所以切換對用戶是透明的。4.2.3主機系統主機系統是實現校園網整個網絡操作、網絡應用的窗口和平臺。因此，主機系統當仁不讓得成為了整個校園網的核心設備。針對學校校園網用戶而言，對主機系統的選擇應該充分考慮可管理性、穩定性、安全性、綜合性能價格比等因素。針對重慶大學校園網絡建設的目標，校園網絡的主機系統建設應遵循以下基本原則：具有優異的性能和高可靠性；具有冗余和高可用性，以保證關鍵應用的連續可服務性；開放性、兼容性和可互聯性，節省投資，保護已有投資；能夠橫向、縱向擴展和升級以滿足不斷增加的需求；實現重慶大學校園網的建設目標，首先需要建設一個高品質、綜合能力強大的IT支撐環境，將現有環境升級改造成一個符合當今趨勢的適應現代教育的的IT支撐環境。校園網的實現，需要考慮開放式應用構架和網絡環境，實現平滑過渡。（1）主機系統架構圖主機系統架構主機系統集群的實現集群可以是兩臺或是多臺服務器的連接。在集群技術中最常見的雙機系統，該系統由兩臺服務器和一個外接磁盤陣列柜及相應的軟件構成。用戶的數據放在外接磁盤柜的存儲盤里。操作系統和用戶程序安裝在兩臺服務器的內置系統盤上。它分為三種模式：被動式備份服務器（Standby）、主動式輔助服務器、互為備份(DualActive)。在網絡中心使用集群軟件和中間件以及中間件支持的負載均衡處理，應用服務器可以由群集的兩臺擴充到多臺，系統自動完成流控等功能，如下圖所示：圖服務器集群擴充主機系統存儲的實現在重慶大學的校園網絡建成后，其系統必將肩負著非常大的使用效率，因此在針對它的系統實施設備應該注重以下的關鍵問題：傳輸速度、簡便管理、數據安全、擴展升級、連接性和開放性、領先的技術等。主機系統存儲的實現對于重慶大學校園網，訪問時延和服務器的可靠性是非常重要的問題，采用多個服務器，以提高服務器的響應性能，減少服務器的單點故障。這樣的設計使每臺服務器的處理能力都得到了充分的發揮。而且同時也大大提高了網絡服務的可用性。在信息數據已經成為計算機系統命脈的今天，如何隨著存儲數據量的增長，重慶大學校園網絡對存儲系統的要求也在不斷提高，而且還面臨著諸多挑戰，主要體現在以下幾個方面：更快的數據訪問速度、更便捷地管理存儲資源、高速備份、保證對大量突發性數據的準確存儲等。（2）主機系統的選型Internet/Intranet服務器根據重慶大學校園網的建設目標，主要是為了實現與Cernet和Internet的互連，以提供Cernet和Internet上的各種服務，為用戶提供豐富的網絡資源，并提供對外的WWW信息服務，使校園網系統成為外界了解校園內部的一個重要窗口。郵件服務器郵件服務器的主要功能是為整個重慶大學校園網絡用戶的郵件服務。郵件服務對實時性要求不是很高，因此要求主機的計算能力不是很高，但對其存儲能力要求要高于其他，作為郵件服務器，它至少要滿足網絡用戶的郵件存儲要求。Web、FTP、DNS、NAT代理、網管服務器提供Web、FTP、DNS、NAT代理服務的服務器，根據經驗和成功案例，應選擇成熟產品。數據庫服務器對于重慶大學校園網工程建設項目，數據庫服務器是必不可少的，但是由于它的初期應用比較少，業務不是特別繁忙，對計算、存儲以及容錯能力要求并不是特別高；隨著整個校園網建設的深入進行，用戶對數據庫服務器的訪問勢必增加，數據庫服務器上的應用處理負擔勢必加重，對計算、存儲以及容錯能力會有更高的要求。因此，對于數據庫服務器的選擇，要求首期投入不是太高，但應有良好的擴展性和技術上的先進性，能夠支持RAID等功能，滿足以后系統升級或做容錯處理的要求。實時新聞視頻播放服務器對于一個園區網的建設，視頻點播服務也是重慶大學未來發展的內在需求。主要是在校園網內實現網上視、音頻廣播和點播?？煞謱崟r收看和節目點播兩種方式。在網內還能夠直播會議實況。因此系統必須滿足大量并發流的需要，并且容易擴充。作為一個視頻服務器，由于其實時性的內在要求，一般對存儲I/O系統、擴展性存儲系統、系統管理系統有較高的要求。計費服務器校園網內的用戶通過網內的服務器代理后進入教育網和互聯網，計費服務器根據預先設定的規則進行計費處理。計費服務的中斷會直接導致網內用戶與外界的連接中斷或用戶使用了網絡而沒有計費信息，因此，計費系統要求全天候不間斷運行。校園網建設中計費服務器應選用具有好穩定性的主機。而且，考慮計費服務器需要處理大量用戶認證和信息安全過濾，計費服務器還應有富余的處理能力。OA服務器重慶大學校園網建設的目的之一就是實現辦公自動化，提高高校的辦學質量。目前OA軟件的發展情況來看，大部分校園網OA軟件是基于WINDOWS系統開發的，因此，可選用一款基于X86開發的主機，用于運行OA應用的后臺服務。4.2.4網絡安全與管理系統從重慶大學網絡系統的整體考慮，按照“大安全、方便管理”的概念進行設計，把重慶大學網絡系統的安全與管理作為一個體系考慮。在國際互聯網聯通的情況下，重點保護網站和上網用戶的安全，防止來自外部的攻擊。強化用戶管理，對聯網的計算機用戶進行有效的管理，用戶訪問國際互聯網必須通過身份認證，對用戶的網絡訪問行為記錄詳細日志，能夠根據日志記錄、IP地址、用戶名等確定具體用戶以及用戶訪問的信息。保障網絡和系統的可靠性、穩定性。充分考慮到安全與應用的結合：考慮到當前的應用系統，同時考慮應用系統與安全系統的接口。全局考慮重慶大學的整體安全設計。保障系統易操作、易維護。安全易行的網管系統。1、網絡安全由于重慶大學這樣一個大型網絡系統內運行多種網絡協議(TCP/IP，IPX/SPX，NETBEUI)，而這些網絡協議并非專為安全通訊而設計。所以，網絡系統可能存在的安全威脅來自以下方面：操作系統的安全性、來自內部網用戶的安全威脅、軟件缺乏安全性、Internet的惡意攻擊、應用服務的安全等。（1）防病毒根據重慶大學的需求與實際，實現全網絡的病毒防護不可行，但必須在應用服務器和數據庫服務器上進行病毒防范。一個好的防病毒系統，應該是一個多層次、全方位的防病毒體系，而不僅僅是幾套防病毒軟件，同時具有跨平臺的技術及強大功能。重慶大學網絡采用配置20個用戶的防病毒產品，主要保護網絡中心服務器，其要求是：較強的病毒防護能力、具有網絡易管理特性、靈活管理客戶端、靈活的更新升級、產品的安全性高。（2）防火墻為了提高重慶大學出口CERNET的安全性和訪問日志的可靠性，出口訪問應通過防火墻，防火墻都應記錄日志。同時考慮網絡的發展及重慶大學出口訪問量的因素，因此防火墻采用高可靠性的防火墻?？紤]到學校財務部門的需求，建議在A區財務部門配置一臺百兆防火墻，并在財務部門防火墻上配置VPN模塊，保障該部門特殊的網絡安全，防火墻要求：具有公安部銷售許可證、高性能、網絡地址轉換技術、用戶鑒別、用戶認證、IP和MAC地址綁定、入侵檢測、透明代理、日志審計、流量控制、強抗攻擊能力、虛擬專用網（VPN）、非法網站內容過濾等。（3）入侵檢測系統在重慶大學校園網絡入口安裝入侵檢測系統，實時入侵檢測系統可以通過網絡流量檢查保護網絡免受來自內外的攻擊，當網絡安全受到非法入侵者威脅時發出報警。利用網絡實時監控，對計算機系統進行安全檢測，在系統受到危害之前截取和響應黑客攻擊和內部網絡誤用，無妨礙地監控網絡傳輸并自動檢測和響應可疑的行為，從而最大程度的為重慶大學校園網提供安全。同時入侵檢測系統須與防火墻聯動，更加強了其安全保護。由于校園OA系統的重要性，建議在OA服務器上配置一套基于主機的入侵檢測系統。入侵檢測系統要求：具有公安部銷售許可證、支持統一的管理平臺、可實現集中式的安全監控管理、自動識別不小于1600種攻擊、支持與防火墻聯動、支持IP過濾等功能。（4）網絡安全評估安全記錄的統計和分析是一項非常重要的工作，通過定期進行全面的網絡統計和安全評估、分析當前系統和網絡環境，可以找出安全弱點，并作出正確的安全建議。安全評估是網絡安全防御中的一項重要技術，其原理是根據已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。目標可以是工作站、服務器、交換機、數據庫應用等各種對象。然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告，為提高網絡安全整體水平產生重要依據。在網絡安全體系的建設中，安全掃描工具花費低、效果好、見效快、與網絡的運行相對對立、安裝運行簡單，可以大規模減少安全管理員的手工勞動，有利于保持全網安全政策的統一和穩定。風險評估技術基本上也可分為基于主機的和基于網絡的兩種，前者主要關注軟件所在主機上面的風險漏洞，而后者則是通過網絡遠程探測其它主機的安全風險漏洞。由于網絡采用的通信協議并不是為安全通信而設計的，這些協議和網絡設備存在一些固有的安全隱患，入侵者可利用這些漏洞，通過網絡實施攻擊。基于網絡的風險評估技術，主要是模擬黑客攻擊的方法，檢測網絡協議、網絡服務、網絡設備等方面的漏洞。網絡漏洞掃描器要求：能掃漏洞不小于900種、可生成詳細報告、可動態分析目標系統的安全脆弱性、遠程在線升級、靈活的策略配置、多種形式的報表、系統擴展性好等。重慶大學校園網絡安全保護體系部署如下圖所示：圖重慶大學校園網絡中心網絡安全布署（5）網絡安全管理體系由于重慶大學校園網絡的復雜性，必然導致重慶大學校園網絡安全防護的復雜性。“三分技術，七分管理”這句話是對網絡安全非?？陀^的描述。任何網絡僅在技術上是做不到完整的安全的，還需要建立一套科學、嚴密的網絡安全管理體系，為重慶大學校園網絡提供制度上的保證，將由于內、外部的非法訪問或惡意攻擊造成的損失減少到最小。圖管理規范框架2、網絡管理重慶大學校園網絡系統是保證校園網絡系統正常運行的前提。網絡管理不但需要先進、實用的技術支持手段，對大中型網絡而言，更需要合理、有效的組織體系和規章制度。網絡管理是網絡可用性的關鍵組成。網絡管理包括故障管理、配置管理、網絡性能管理、安全管理、系統資源管理、應用管理等功能。網絡計費是網絡管理系統的重要組成部分，網絡計費可實現用戶賬號的授權、驗證、管理和計費服務。網絡管理系統要求：無縫集成管理任何大小、形狀或結構的網絡系統及環境、確保管理信息的安全可靠、高度可擴充的，能隨計算機系統和企業業務的增長而增長、簡單易用、友好的圖形界面，進行直觀的操作和管理、能夠提供標準的和開放的應用接口及開發工具，符合IT技術未來的發展方向、能夠將IT資源的管理與業務相結合。4.2.5機房建設對于重慶大學校園網絡建設中，機房建設是一個核心部分，原因在于主要網絡設備、主機設備基本上放置在機房，對于機房的安全要求也就更加重要了。為了保證重慶大學校園網絡的平穩遠行，保障機房工作人員有良好的工作環境，做到技術先進、經濟合理、安全適用、確保質量，機房建設已成為整個項目工程中重要的環節之一。校園網機房建設包括建筑裝飾、電氣、空調、新風、門禁系統、保安監控、消防、防雷防靜電、屏蔽等在內的綜合性工程。對于門禁系統、空調和新風系統、機房設備及環境監控系統可根據實際情況來決定是否采用。根據重慶大學的要求，僅就電氣、保安監控、防雷、防靜電、屏蔽等方面建設。1、電氣系統電氣系統的作用就是給主機系統、工作站、網絡關鍵部件等設備提供不間斷運行的保障。重慶大學校園網建設工程機房建設包括5個二級機房和網絡中心，考慮到各級機房的負荷大小不一，在A區的管理學院、校醫院機房分別安裝一臺2KVA、3KVA的UPS；在網絡中心和B區的機房分別安裝一臺30KVA和15KVA的UPS；在A區的新教學樓、傳動實驗室及C區機房各安裝一臺6KVA的UPS。圖UPS系統圖2、配電、防雷系統重慶大學校園網的中心機房所在的建筑物的直接雷擊防護系統比較完善，但除了直擊防雷還應對機房感應雷擊進行防護，根據重慶大學對校園網機房防雷建設的要求，參照相關防雷規范作出如下防雷建設。（1）在二級機房所在的建筑物周圍新建一個接地電阻小于4歐姆的專用地網；在B區機房所在的建筑物周圍新建一個接地電阻小于1歐姆的專用地網（A區網絡中心已有地網）。用32mm2多股銅線從機房地線匯流排引一根地線至機房地網的接地極上；對機房現有接地線進行整改（先除銹，再刷防銹漆、銀粉漆）。將大樓地與機房專用防雷地通過地電位均衡器相連。（2）鋪設全鋼抗靜電地板，鋪設高度不低于20cm。抗靜電地板在鋪設過程中應先將地板下面地面用高標號水泥沙漿抹平并做表面壓光，等地面完全干燥后，再刷地板封閉漆，達到不起塵，保證機房的潔凈度；活動地板下空間作為網絡線槽、散流網及敷設電氣管線用；在活動地板上開一定量的孔，作為機房專用地板插座使用。（3）將機房的設備外殼、門窗、鋁合金隔斷及地板支架等接地，并在機房的防靜電地板下離墻0.5米處用4×40mm2銅條增設均壓帶，均壓帶每隔1米設一個接地孔。（4）對于網絡中心、B區機房，在其辦公大樓總配電柜內的電源入線端并聯安裝Furse的ESP415電源防雷器一臺，作為電源系統的一級防雷；在機房總配電柜內電源進線端安裝Furse的ESP415電源防雷器一臺，防止從市電過來的感應雷電，將雷電脈沖抑制在設備能承受的安全電壓（600V）以內。在UPS的進線端安裝Furse的ESP415電源防雷器一臺，防止空調等其它設備起動時的操作過電壓對UPS的影響。對于二級機房，在機房總配電柜內電源進線端安裝Furse的ESP240電源防雷器一臺，作為電源系統的一級防雷，將雷電脈沖抑制在設備能承受的安全電壓（600V）以內。在UPS的進線端安裝Furse的ESP240電源防雷器一臺，防止空調等其它設備起動時的操作過電壓對UPS的影響。圖網絡中心、B區機房配電與防雷示意圖（1）用16mm2多股銅線從機房地引至機房總配電柜內，用作電源交流保護地（PE線）。（2）在計算機網絡方面，由于機房全部采用光纖入戶，而光纖對于電磁場的突變根本沒有影響（對于鎧裝光纖，在機房端鎧鉀不應接地），所以，在網絡線上無須安裝信號防雷器。圖二級機房配電與防雷示意圖圖機柜盤內配線圖3、機房監控系統圖機房監控系統機房設備及環境集中監控系統是采用先進的通信技術和采集控制技術，對機房的設備以及現場工作情況進行監控，并可通過局域網進行監控信號的實時傳輸，根據需要實現異地遠程機房總部集中管理模式，多點同時監控分級管理模式等。重慶大學校園網擬設機房8個，如圖示，在每一個二級機房各配置一臺主機（486以上、20G、15′彩顯、含網卡，視頻采集卡；在Windows2000操作系統下運行），在每一個二級機房的適當位置各安裝一臺吸頂式攝像機，對機房的工作情況進行監控。通過對分控軟件的設定，網絡中心可以實時監控到任一機房的工作情況。4、空調部分（1）30m2（2）200m2機房采用16P海爾變頻中央空調臺。4.2.6應用系統在新的網絡信息進代，高校迫切需要建立和完善網絡應用系統，組成一個集基礎網絡應用、辦公自動化、數字圖書館等應用于一體的完整的校園網應用解決方案。Internet/Intranet基礎應用校園網Internet/Intranet應用是師生訪問和使用校園網的出發點，它向其它高層應用提供基礎網絡服務，如域名解析、文件傳輸等。校園網Intranet基礎提供的服務和功能一般包括以下幾項：網頁服務、郵件服務、文件傳輸服務、論壇服務、教育科研網接入服務。學校辦公自動化（OA）系統學校辦公自動化系統包括如下子系統：（1）行政管理系統覆蓋學校管理工作，完成行政事務處理的各項功能，改善管理人員的工作環境，減輕工作負擔，提高工作效率和管理水平；解決信息不一致問題；實現全校范圍內的信息共享；解決信息采集的瓶頸，拓寬信息管理的寬度和深度。（2）人事管理系統提供給人事處調配科工作人員使用的系統，可以進行新人員的錄入、在職人員基本信息的變動管理、離退人員及減離人員的轉出管理等。（3）財務管理系統提供一套完整的學校財務管理系統。包括：帳務處理系統、學生收費管理、助貸學金管理、工資結算管理等。（4）公文流轉系統主要用于學校收、發文管理和學校自產文件的管理。具備收文管理、發文管理、自產文件管理、通知通告管理、公文借閱管理、公文檔案管理等功能。教學管理系統（1）教務管理系統對招生計劃及新生信息進行錄入、維護，記錄學生從入學到畢業的全過程；根據學校的系別、師資情況，分班情況以及課程設置情況進行教學計劃并自動排課；提供從考度安排、試卷編排、試卷評測、試卷分析到成績登記和統計管理功能；對教學和科研情況進行統計和查詢；對教學任務進行統計，如實際開課統計表、教師工作情況表、教學情況統計表、教學計劃要求表等，根據教學情況，對各科教師的教學情況做出科學的評估；（2）電子課件系統教師可以調用電子備課系統的教學素材，或其它已準備好的素材編排教案；學生可以通過多媒體課件點播系統取得教師的教學課件并主動開展學習，作為實時互交式網絡教學的一種補充。數字化圖書館傳統的圖書館管理系統只涉及到學校圖書館、資料室的采編、編目、檢索、借閱記錄、統計、電子圖書、多媒體資料等功能。重慶大學的教學用到大量的圖文、語音、視頻、課件等多媒體資料，并且隨時間的推移，積累的資料數量會越來越豐富。因此，在建設校園網時，必須建立一個多媒體資料庫管理系統，對教學資源進行積累，才能有效地管理和使用這些資料；才可以通過網絡實現學校的教學資源共享。數字圖書館管理系統由多媒體資料庫和管理軟件兩部分構成。（1）多媒體資料庫用于存儲圖文、語音、視頻、課件等多媒體資料。其中，課件是指類似于CAI教程的軟件程序。（2）資料庫管理軟件多媒體資料庫管理軟件是與多媒體資料庫緊緊聯系在一起的，它主要針對多媒體資料庫的資料提供增加、修改、刪除、檢索、分類、統計等功能，并對多媒體資料庫的用戶進行管理，使資料庫安全有效地為教學服務。（3）圖書館自動化系統與數字圖書館機制有機銜接數字圖書館的目標之一是實現電子化媒體共享，提高資源共享程度。這種聯結可以保留原圖書館自動化系統的所有業務管理功能，便于數字圖書館的開展。（4）強化多媒體數字圖書館的建設數字圖書館的特點之一是存儲的信息的廣泛性，可以涵蓋傳統的網上圖書館業務，又可以提供圖片、聲音、動畫、電影、圖像等各種多媒體數據。校園網圖書館可以通過強化數字圖書館的發展，讓數字圖書館逐步取代傳統網上圖書館系統。（5）進一步建設數字圖書館通過與分布在校園網內外的其它數字圖書館互聯，借助統一的檢索入口，校園網內的數字圖書館能被讀者隨時隨地獲得，而讀者無需關心資源存儲的地理位置，這是數字圖書館的真正意義所在，也稱為虛擬圖書館。遠程（網絡）教育系統（1）上課件系統包括教學課程并且支持新的課程加入，不斷更新。（2）自動答疑系統在學習過程中遇到的問題應能在網上自動答疑系統中獲得解答。用戶只需要連接到Internet，通過瀏覽器就可以解答在學習過程中產生的問題。（3）考試系統遠程考試系統是一個基于數據庫和WWW的遠程在線式實時的測試系統。支持多媒體考試形式。（4）管理系統遠程管理系統的目的是為網上學習系統的學員提供一個集成的學習環境，使得學員們可以方便地利用網上學習系統的各種學習設施，如遠程考試系統、遠程討論系統，多媒體作業系統等，同時，對學員的學習記錄進行統計分析，并將結果反饋給學員和有關人員，以提高學習的效率。（5）遠程討論系統文本交談系統提供給用戶文本交談的功能，用戶可以和線上人員進行公開討論和私下交流；共享白板共享白板提供給用戶輔助交流的手段，通過共享白板，所有線上人員可以在一塊白板上繪圖，交流自己的想法；網絡導游網絡導游可以使用戶共同瀏覽感興趣的網頁內容，并就網頁上的內容進行交流；實時語音交流登錄到系統的用戶(學生、教師)可以通過Web進行實時的語音交談。在一個教室中的任何學生可以申請發言，教師有權賦予特定學生發言的權力。在得到教師的授權后，學生可以用語音發表見解。在這個教室中的所有其他學生和教師，將實時地聽到該學生的發言。（6）多媒體作業系統在學生的學習過程中，作業的布置、提交與批改是非常重要的一環，老師可以通過它得到教學效果的反饋，既可以不解不同學生的學習情況，以便因材施教，又可以發現教學過程或課件中存在的問題，并采取措施加以修改完善。（7）多媒體流點播/廣播系統同時提供教師后臺講稿同步編輯工具，和學生前端瀏覽界面。同步編輯工具實時記錄教師使用PowerPoint講課的過程，教師講課完畢，學生即可在系統Web點播界面上瀏覽到教師授課的全部過程，包括視頻、音頻和同步的PowerPoint講稿。校園一卡通系統校園一卡通，是指充分利用IC卡的大存儲容量的優勢，在一張IC卡上實現學生證、出入證、閱覽證、借書證、就餐卡、醫療卡、上機卡、儲蓄卡等的功能，在校園管理方面，形成一種簡捷、高效的現代化管理模式，減少人力物力的消耗，提高工作效益，提高學校的管理水平。IC卡具有信息加密、存儲和處理能力。與條碼卡和磁卡相比，IC卡具有許多不可比擬的優勢，如存儲容量大、保密性好、抗干擾能力強、數據可靠性高、系統要求低、擴展功能強等，因此，“一卡通”應用越來越得到眾多學校的重視。校內實時新聞視頻播放系統校內實時新聞視頻播放系統是基于網頁服務的，它給師生提供校內外新聞實時視頻播放?？蒲泄芾硐到y科研管理系統實現對全校教職員工科研項目的管理與考核，提供科研成果的轉化成生產力的工作。后勤管理系統學校后勤管理本質上是一種經濟活動，具有產業的性質。隨著社會主義市場經濟體制的確立，學校后勤面臨必須擺脫計劃經濟賦予的特別屬性—"小而全"、封閉式自給自足，建立既適應社會主義市場經濟要求又符合學校自身發展需要的一套體系的任務。建立適應市場經濟發展的后勤服務配套過程就是學校后勤社會化的過程。學校后勤保障系統應協調和管理食堂、門房、保潔、維修、采購、養護、財務、文印、保管等工作。10、其它應用校園網應用還可針對重慶大學具體情況有計劃分步實施其它應用，如視頻會議、IP電話、移動校園信息系統等。五、新建校園網拓撲結構1、網絡系統總體結構重慶大學校園網是一個較復雜的網絡系統。簡化復雜系統的典型策略是采用分層的方法。本方案中，我們將整個校園計算機網絡系統作如下劃分。圖網絡系統層次框架圖整個系統簡化為分層結構，分為水平層面上的核心層（網絡主干）、匯聚層、接入層，其信息流動模式是逐漸匯集于主干。在垂直層面上分為管理層和安全層。其中網絡的核心層（或稱主干）部分是整個網絡的信息匯集處，擁有足夠的帶寬和良好的升級能力；具有足夠的網絡智能和承載多種服務類型的能力；同時具有很高可靠性。圖重慶大學校園網總體拓撲圖而網絡的匯聚層部分起著承上啟下的作用，是網絡核心服務功能在更大范圍的延伸和擴展。它匯集下層網絡的流動信息，并將其進一步匯集于主干。與核心層類似，它也擁有足夠的帶寬和良好的升級能力；具有承載多種服務類型的能力；具有高可靠性。網絡的接入層（或稱接入層）作為網絡的底層，直接面對用戶，具有極大的靈活性、易用性；多種服務接入能力。從網絡的管理層和安全層面講，網絡應具有極強的貫穿3個水平層面的控制能力和網絡安全能力。包括靈活的計帳方式；基于策略的網絡管理和基于物理層、鏈路層和網絡層的性能測量和故障監控，并提供遠程配置和故障排除能力。2、網絡主干核心節點核心層是網絡高速交換的骨干，盡可能高速交換包，具有高可靠性、提供冗余、容錯、低延時和良好的可管理性、避免使用減慢包處理的進程（如訪問控制列表、包過濾等）、具有界定一致的網絡路徑。重慶大學網絡核心層由5個核心節點組成，其中包括:網絡中心、A區逸夫樓、A區傳動實驗室、B區網絡核心節點（二綜合樓）、C區核心節點(C區行政樓)。這5個核心節點主要包括兩個主要功能：連接骨干網絡，構成骨干網絡通道；連接各種匯聚節點，包括高速接入和信息源接入(主機)。網絡中心核心交換機主要是實現骨干網絡之間的優化傳輸,同時承擔與校外Internet,Cernet的路由傳輸，我們在網絡中心采用交換能力大于90Mpps多層交換機2臺；交換機之間實現全冗余連接和鏈路匯聚（LAG）保證網絡鏈路的可靠性和高達4G以上的性能，并通過路由冗余協議VRRP，兩臺核心交換機互為備份、負載均衡。考慮到B區的數據流量較大，因此在B區網絡核心節點也放置一臺交換能力大于90Mpps的多層交換機，根據我們的調查分析在C區網絡中心、傳動實驗室、逸夫樓分布放置一臺冗余配置的交換能力大于40Mpps多層交換機可以滿足各自片區網絡的需求。B區、C區、傳動、逸夫樓的核心交換機通過冗余鏈路連接到中心兩臺核心交換機上，使整個核心層為網狀網絡拓樸結構，以保證重慶大學校園網核心骨干網的高性能，高可靠，高擴展性以及線速無阻塞的L2/L3/L4層交換。圖核心層網絡拓撲圖重慶大學校園網絡核心節點都具有如下的特點：都具有電信級的全系統冗余，時鐘，電源，風扇等的冗余；從根本上保證了節點的安全可靠性。都具有良好的性能價格比。都具有良好的系統擴充性。3、匯聚層節點匯聚層是接入層和核心層的分界點，并且用來分辯和區別骨干。提供基于策略的連接，具有安全服務等各項策略的實現、地址和區域的聚合、部門和工作組的訪問、廣播域、組播域的建立、VLAN之間的路由、介質轉換、路由域之間的分布等功能。重大校園網絡匯聚層（二級骨干）的要求：提供較高的可靠性和高速上行網絡連接，部署網絡的控制能力（如分布式三層交換和Qos等策略）。對于流量較大的匯聚層交換機建議采用交換能力大于40Mpps的三層交換機，其它數據流量較小的匯聚節點則選用交換能力在10Mpps左右的三層或二層交換機通過千兆光纖與核心層交換機連接。匯聚層交換機的上行鏈路1000M光纖模塊也可根據距離長短選擇長波或短波千兆模塊。具體為：A區的綜合樓、七大樓、行政樓、校醫院、理科樓、學生宿舍區通過1000M光纖接入到A區網絡中心；B區的八教學樓、設計院、學生宿舍通過1000M光纖接入到B區網絡核心節點；C區下屬各二級節點全部通過星型方式接到C區網絡核心節點。圖重慶大學校園網匯聚層拓樸結構圖4、接入層節點接入層節點主要由桌面交換機組成，被部署在各大樓內樓層配線間或機房，我們選擇具有高性價比的二層交換機作為接入層節點，向下提供PC10/100M上連帶寬，向上通過5類UTP或光纖以100M、1000M帶寬接入匯聚節點，接入節點根據流量分布、地理分布和應用要求等，尤其是考慮重慶地區對接入層交換機防雷特性有較強要求，應采用具有防雷性好、性價比高的二層簡單網管交換機。圖重慶大學校園接入層結構圖5、邊界路由邊界路由包含校園網絡對外、對內的關口,承擔了連至CERNET的網關業務。在本次方案設計中，在邊界路由部署路由器一臺用于外部連接，配置100MR-J45模塊用于連接CERNET，通過硬件防火墻交換信息。對于內部撥號訪問用戶我們使用已有的一臺路由器作為內部撥號訪問服務器。圖重慶大學校園網邊界路由拓樸圖六、設備配置與經費預算設備配置1、綜合布線根據重慶大學校園網絡建設工程項目總體規劃與建設目標，按教育部要求，項目設計綜合布線數據信息點數量3,200個，共鋪設光纖50,881米2、網絡設備根據重慶大學校園網絡建設工程項目總體規劃與建設目標，按教育部要求，項目系統設計邊界路由器1臺，網絡核心層交換機6臺，其中網絡中心配置2臺，A區逸夫樓、傳動實驗大樓各設1臺核心交換機，B區核心節點與C區核心節點各設1臺核心交換機。網絡匯聚層52臺高性能交換機分別配置在A、B、C三區各骨干節點，接入層共需160臺二層可網管交換機分設在各樓宇用于用戶接入，在國際會議廳部署無線網絡。同時相應配置了網絡管理軟件一套。3、應用系統服務器根據重慶大學的應用需求，方案設計增加9臺服務器與原有的6臺服務器共同提供全新的校園應用服務。4、機房環境建設根據校園網的規劃，方案設計包括5個二級機房和網絡中心的機房環境建設與改造，考慮到各級機房的負荷大小不一，我們在網絡中心安裝一臺30KVA，PC100臺。項目經費預算根據重慶大學校園網絡建設工程項目總體規劃與建設目標，整個項目國家撥款部分預計費用為人民幣捌佰萬元（￥8,000,）。具體費用分布請見表校園網采購設備匯總表。七、項目管理和組織實施項目管理湖南計算機股份有限公司在該項目實施工程中，專門成立一個項目實施小組，與用戶共同對項目進行管理，在用戶的領導和監督下管理項目實施；該實施小組由湘計算機公司富有網絡系統集成經驗的秦拯博士負責由一支約三十名技術人員組成。項目的組織機構有效的組織機構是項目成功的有力保證。由于項目大小、范圍等的不同，項目的組織機構亦會有所差異，以下是湖南計算機股份有限公司針對本項目組織的實施組織機構。7.2.1重慶大學項目組織機構設置校園網項目領導小組組長：吳中福副組長：李曉紅、唐一科、曹振生校園網項目實施領導小組組長：王康副組長：陳蜀宇成員：唐學文、張洪武、張曉7.2.2湖南計算機股份有限公司項目組織機構設置1、校園網項目領導辦公室主任：高雷，湘計算機公司公司執行副總裁副主任：秦拯，湘計算機公司公司副總工，兼事業部總經理成員：周曉峰、謝康、羅俊2.項目實施組組長：秦拯副組長：馬范軍、謝康、陳建國項目經理：席愛民子系統小組：總體設計：馬范軍綜合布線與機房：楊光泉、趙文彬網絡系統與網絡管理：聶玉權網絡安全：馬范軍應用系統：文勇防雷系統：楊光泉項目進度安排項目的進度應通過項目進度報告、項目進度會議等手段，切實了解項目進度，評估項目的進展情況及未按計劃完成的原因，制訂相應的行動方案。具體進度安排如下：方案設計：用戶需求分析；調研、地形勘探等；總體設計；詳細設計；施工安裝；綜合布線：現場勘察；布線工程的設計，計劃與管理；電纜敷設，溝槽、墻面處理；安裝配線架；安裝分布的信息插座及其它附件；電纜標記、電纜端接和測試；光、線纜敷設；光纜熔接及線纜相關測試；提供布線工程文檔；機房建設：機房環境建設；供電系統建設；防雷系統工程建設；溫度、濕度計；設備安裝調試：時間為設備到貨后3個月內完成核心設備安裝調試；硬件設備安裝調試；軟硬件配置與聯調；項目驗收：提交項目所有技術、施工、調測試文檔。八、預期效益科教興國和可持續發展是我們國家的長期戰略。教育信息化是走向信息社會的必由之路，信息高速公路是信息社會基礎設施。重慶大學校園網絡建成，使現有三校區高速互連互通，高速接入CERNET。全校師生可以共享和利用校園網、CERNET和INTERNET資源，為遠程管理、數字化圖書館、視頻點播（VOD）、校園一卡通、辦公自動化、教學和科研管理等應用系統提供有效支撐平臺，提高辦學效率，利于擴大辦學規模，增強學校綜合實力。實施重慶大學校園網建設工程項目，不僅能全面提高重慶大學校園網的水平和規模，擴大校園網的應用范圍，為在校師生教學、學習和科研以及大學生進入網絡平臺提供了基本保證，而且將為重慶地區的國民經濟和社會信息化的發展提供人才和智力支持，直接關系到重慶地區“科教興國”戰略的實施和教育跨越式發展目標的實現。九、重慶大學校園網建設匯總表表校園網采購設備匯總表設備名稱設備名稱規格、技術指標數量預算單價金額主要用途備注主干交換機模塊化多層交換機三層包轉發率>100Mpps、擴展槽>8、端口:9*1000BASESX+14*1000BASELX+48*100BASETX、可網管、0℃1￥430,000￥1,950,000核心層交換機模塊化多層交換機三層包轉發率>100Mpps、擴展槽>8、端口:2*1000BASESX+20*1000BASELX+24*100BASETX、可網管、0℃1￥430,000核心層交換機模塊化多層交換機三層包轉發率>100Mpps、擴展槽>8、端口:30*1000BASELX+48*100BASETX、可網管、0℃1￥540,000核心層交換機模塊化多層交換機三層包轉發率