网络规划与集成

《网络规划与集成》由会员分享，可在线阅读，更多相关《网络规划与集成（13页珍藏版）》请在装配图网上搜索。

1、某小学校园网设计方案一、项目概述网络现状一幢教学楼：20个教室，每个教室连一台计算机；一个电教中心，10 个信息教室，每个教室一台计算机；两栋实验楼，每个实验楼有约200 台计算机；一幢办公楼：10个办公室（或教研室），每个办公室连5 台计算机.两幢楼之间相距105米。每幢楼内有一个设备间，所有房间 到设备间的距离均小于90米.随着远程教育、辅助教学等基于网络的多种教学方式的快速发展， 小学校园网的建设也就成为了大势所趋。如今很多学校都在着手建设 自己的校园网，搞好校园网建设，构建现代化教育环境，是教育现代 化的重要组成部分。二十一世纪是全球信息化、网络化的时代，以现 代化的教育技术手段取代旧

2、有的落后教学手段，实现网络教学、远程 教学、教育资源共享是时代的需要。也只有建设有规模的计算机网络， 才能提高学校的管理效益和教学质量，才能开展好学校教育手段现代 化的建设。建设目标为各办公室提供宽带网络支持提供公用信息交换平台提供WEB发布信息等Internet的信息服务;提供日常工作的处理网络化、电子化的日常办公自动化环境电子档案的信息查询，提供先进和更多的服务手段，提高效率和质量;为内部网提供有力的技术保障，增加内部系统的安全性二、需求调研与分析网络应用需求（1）教学环境应用系统，主要集中于校园教学区内，主要满足教学的需求，多数网络应用会限制在校园网之内或某个子网之内；（2）科研环境应用

3、系统，多集中在各实验室和多功能竞赛及多功能 报告厅，主要是实验的环境和课外学习的环境，这类网络应用可能需 要较高的带宽以满足多媒体实验环境。（3）办公环境应用系统是办公自动化的需要，主要是学校行政日常的 办公自动化和教务系统的信息网络化等应用，可以提高学校的办公工 作效率；（4）服务应用系统指校内的信息服务系统，一方面它要为校园网内 用户提供必要的信息服务，如 Email 等服务；另一方面还要为校园网 外的用户提供一定权限的访问，如远程的信息查询、信息咨询等，以 加强与其它县市兄弟学校之间信息交流和对社会提供远程多媒体网 上教育服务。安全管理需求校园网络中不安全的主要问题：IP盗用问题、防火墙

4、攻击、病毒邮 件问题、各种服务器和网络设备的扫描和攻击、非法URL的访问问题、 病毒防护等等。这些问题都亟待我们去解决，比如安装过滤软件，使 信息更加安全;安装防毒杀毒软件预防病毒入侵。三、网络整体设计整体思路根据校园网络项目，我们应该充分考虑学校的实际情况，注重设备选 型的性能价格比,采用成熟可靠的技术，为学校设计成一个技术先进、 灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期 发展规划，在网络结构、网络应用、网络管理、系统性能以及远程教 学等各个方面能够适应未来的发展，最大程度地保护学校的投资。学 校借助校园网的建设，可充分利用丰富的网上应用系统及教学资源， 发挥网络资源共享

5、、信息快捷、无地理限制等优势，真正把现代化管 理、教育技术融入学校的日常教育与办公管理当中。技术架构1、采用千兆以太网技术，具有高带宽1000Mbps速率的主干，100Mbps 到桌面。2、网络设备选型为国际知名产品，性能稳定可靠、技术先进、产品 系列全及完善的服务保证；3、采用支持网络管理的交换设备，足不出户即可管理配置整个网络。 网络互联：1、提供国际互联网ISDN专线接入，实现与各公共网的连接；2、可扩容的远程拨号接入/拨出，共享资源、发布信息等。应用系统 及教学资源丰富；3、有综合网络办公系统及各个应用管理系统，实现办公自动化，管 理信息化；4、有以WEB数据库为中心的综合信息平台，可

6、进行消息发布，招生广 告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远 程教学等。设计原则1. 学校需求为前提原则：坚持以学校具体需求为校园网信息系统方 案设计的根本和前提，同时，也要注重源于需求又高于需求的原则， 注意用专业化的技术思想来进行校园网的规划与设计，确保校园网的 实用性、先进性和便于扩展性.2. 设备选型兼顾原则：满足学校对现代化教学手段的要求；满足校园 网建设及互联网的要求；所选设备在国际上保持技术先进性；供应商 有良好的商业信誉和优质的售后服务.3. 坚持标准原则：一切校园网设计和施工，均要严格遵循国际和国家 标准。统一规划，分步实施.校园网的实现要求通讯协议、网

7、络平台 等应具有世界性的开放性和标准化的特点，并且应采用统一的网络体 系结构。4. 坚持先进的成熟的技术原则:采用通用的、成熟的技术方案可以 降低建设成本、减小设计、施工和使用难度、缩短建设周期.有利于 保护投资，并且有利于校园网的维护和升级。选择品质最好的设备不 一定是最佳选择，成本因素也是一个不容忽视的问题，将品质与成本 实现最佳匹配。5。坚持规范布线，考虑长远发展原则：布线系统使网络的重要基础，布线系统的好坏是衡量一个网络好坏的 非常重要的标志。布线系统不合理将降低网络的可靠性，使网络难以 管理和维护，所以必须采用标准的综合布线系统。6。坚持易于使用和管理原则：校园网的各种软件应用项目必

8、须易于使用，对最终用户的起点要求不 能太高，一般以熟练使用操作系统、办公软件系统、浏览器和电子邮 件系统为宜；系统的日常管理和维护工作要方便、简易.网络拓扑结 构一经配置确定，不应轻易更改。7。坚持可扩展性原则：考虑现有网络的平滑过度，使学校现有陈旧 设备尽量保持较好的利用价值；选用产品应具有最佳性价比，又要应 充分考虑未来可能的应用，具有高扩展性。主干拓扑设计内网架构出口设计注重解决以下问题：1、校园网络和外界的接口处的安全网络风险问题；2、在校园网络主校区和分校区以及办公区和生活区之间的互联，造 成区域的安全风险问题；3、在校园网络内部，各个行政区域之间以及信息中心的内部安全风险问题；4、

9、通过 WLAN、VPN 等多种非传统接入手段接入到校园网络中所带来 的安全风险问题.可采用双出口设计：通信设备选型核心交换机:用思科的65系列交换机，多层交换，IOS的模块化提高了运营效率， 最大限度地缩短了停机时间，提供了支持高密度PoE部署所需的电 源可扩展性，65的引擎面向企业核心、分布层和数据中心，可用带宽 最大可扩展至720 Gbps，吞吐率可扩展至387 Mpps，高速转发的概念 在这里呈现。板卡支持热插拔，保障用户在不断网的同时更换板卡模 块汇聚设备：可以选择思科的45系列交换机，多层交换，多模块插槽，最多支持到10 块，可以象打渔一样大面积撒网，把网洒向接入层多台接入设备，合理

10、 并高效的起到会聚的作用，背板容量最高136 Gbps,汇聚的最佳选择。 接入设备：思科的支持三层的3750，三层交换，支持高达12000个MAC地址和 11000条路由，转发带宽32个G,额外可选带POE功能，支持对IP电 话供电。五、资源子网设计基本服务主要提供WEB服务、FTP服务、EMAIL服务等服务。需要 WEB服务器、FTP服务器、EMAIL服务器、数据库服务器、 计费服务器.资源设备选型Web服务器选型：要求反应时间短，能快速响应和处理用户的访问需求。具有强大的信息吞吐能力、多Web站点和内容缓存、能在一定投 资下提供更多的访问服务和提高用户满意度。易于发布和实现信息共享。易于建

11、立和运行Web应用，简化业务进程。具有可靠的品质，保证Web服务不间断。易于设置和管理，使网络管理变得更容易。易于扩展,满足业务的扩大需求，保护用户投资。这里选择HP6 0 0 0作为www服务器.数据库服务器:数据库服务器通常要求具有高效的处理速度、较大的内存和磁盘空 间、快速的I/O系统和网络界面，较高的可靠性，完善的系统备份 功能和较好的可扩充性能.本次设计选用一台HP 6 0 0 0作为S QLServer6.5 服务器。其他服务器：其业务量不大，选择一台HP 6 0 0 0作为服务器完全可以。六、网络安全管理设计出口安全采用两层异构防火墙系统接口，外层防火墙为已经部署的安全设备，内层

12、防火墙系统采用美国Fortinet公司FortiGate防病毒安全网关. 所有安全网关均采用双机热备工作方式，即高可用性HA方式，任何 一台设备出现问题，备机均可以迅速替换工作，网络仍能正常运转。 在内层FortiGate防病毒安全网关上启用相应的安全策略，控制内部 用户的对外访问，并开启防病毒功能以保证内部用户的对外访问不受 病毒侵害。另外，启用反垃圾邮件技术，保护内部的邮件服务器免受 垃圾邮件的攻击，并根据网络的具体应用在防病毒安全网关上启用防 攻击IPS （入侵检测/阻挡）功能，保护互联网网关处系统免受来自 系统内外的攻击.通信子网安全通过VLAN的划分，控制访问权限。小学校园网内部使用

13、私有地址（192.168.0。0 192。168。255.255）安全管理对网络的安全问题进行管理，一般是使用防火墙和还原卡的策略，但 是这样远远不够，还要防止外网的计算机进行有目的的攻击，这就要 求在核心交换机上作ACL访问控制，即阻止一切来自外网段的计算机 进入内网，而内网的计算机可以登录外网。同时要对网络运行状态所 出现的异常进行报警，设立报警机制能够有效的保证网络的安全。七、综合布线系统设计综合布线系统是一套开放式的布线系统，可以支持几乎所有的数据、 话音设备及各种通信协议，同时，由于PDS充分考虑了通信技术的发 展，设计时有足够的技术储备，能充分满足用户长期的需求，应用范围十分广泛.

14、而且结构化综合布线系统具有高度的灵活性，各种设备位 置的改变，局域网的变化，不需重新布线，只要在配线间作适当布线 调整即可满足需求.结构化综合布线一般划分为六个子系统。六个子系统的设计1、工作区子系统（Work Area）及其网络设计工作区子系统由终端设备连接到信息插座的连线，以及信息插座所组 成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际 功能及需求确定，并预留适当数量的冗余。例如：对于一个办公区内 的每个办公点可配置23个信息点，此外应为此办公区配置35个专 用信息点用于工作组服务器、网络打印机、传真机、视频会议等等。 若此办公区为商务应用则信息点的带宽为100M可满足要求

15、；若此办 公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息 点。工作区的终端设备（如：电话机、传真机）可用超五类或六类双绞线 直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN终端 设备）平衡/非平衡转换器进行转换连接到信息插座上。2、水平子系统（Horizon tal）及其网络设计水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF） 间的连接。水平子系统指定的拓扑结构为星形拓扑。水平干线的设计 包括水平子系统的传输介质与部件集成.选择水平子系统的线缆，要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在 水平子系统中推荐采用的双绞电缆及光纤型号为

16、：超五类或六类非屏 蔽双绞线，室内单模或多模光纤.双绞线水平布线链路中，水平电缆的最大长度为90m。若使用100QUTP 双绞线作为水平子系统的线缆，可根据信息点类型的不同采用不同类 型的电缆，例如对于语音信息点和数据信息点可采用FutureCom超五 类或六类双绞线，甚至使用FutureLink光缆；对于电磁干扰严重的 场合应尽量采用康宁公司FutureCom六类屏蔽双绞线。但是从系统的 兼容性和信息点的灵活互换性角度出发，建议水平子系统采用同一种 布线材料.3、管理子系统(Administration)及其网络设计管理子系统由交连、互连和输入/输出组成,实现配线管理，为连接其 它子系统提供

17、手段。包括配线架、跳线设备及光配线架等组成设备。 设计管理子系统时，必需了解线路的基本设计原理，合理配置各子系 统的部件。4、干线子系统(Backbone)及其网络设计干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间 配线架，计算机、PBX、控制中心与各管理子系统间的连接干线传输 电缆的设计必须既满足当前的需要，又适应今后的发展。干线子系统 布线走向应选择干线线缆最短、最安全和最经济的路由。干线子系统 在系统设计施工时，应预留一定的线缆做冗余信道，这一点对于综合布线系统的可扩展性和可靠性来说是十分重要的。干线子系统可以使用的线缆主要有：HAY三类大对数电缆；超五类或 六类双绞线；室

18、内单模或多模光纤.超五类双绞线可以支持1000BASET,但如要求支持1000BASETX则 必须使用六类双绞线。如果已安装的电缆仅满足5类线标准（1995）, 那么在连接1000BASET设备之前，应对布线系统按照新增加的布线 参数（如：回波损耗，等级远端串扰（ELFEXT）,传播延迟和延时畸 变等）进行测量和认证。5、设备间子系统（Equipment Room）及其网络设计设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种 公用系统设备互连起来。设备间的主要设备有数字程控交换机、计算 机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起， 也可分别设置。在较大型的综合布线中

19、，可以将计算机设备、数字程 控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关 的硬件设备放置在设备间，计算机网络设备的机房放在离设备间不远 的位置。6、建筑群子系统（Campus Subsystem）及其网络设计建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所 需的硬件。建筑群之间可以采用有线通信的手段,也可采用微波通信、 无线电通信的手段。八、系统集成概要主干核心设备和出口设备配置：端口双工配置:int erface range fateet herne t 0/124;duplex full端口速度：int f0/1; speed 100设置访问层交换机的端口工作在

20、访问模式：in t f0/1;swictnport access vlan 10设置快速端口： int f0/1;spanningtree portfastNAT：int f1/1；ip nat inside;exit；int f1/0；ip nat outside;exit定义允许进行NAT的工作站的内部局域IP地址范围： accesslist 10 permit 172。16。0。0 0.0。255.255 为服务器定义静态地址转换:ip nat inside source static 192.168。1.0 220。18。80.252 对外屏蔽远程登录协议 Telnet：access-

21、list 100 deny tcp any any eq telnet； access-list 100 permit ip any anyint s1/0;ip access-group 100 in对外屏蔽其他不安全的协议或服务:accesslist 100 deny icmp any any eq echo-request; access-list 100 deny udp any any eq echo; int s1/0； ip access-group 100 in针对DOS DDOS攻击：line vty 0 4；access-class 2 in； exit； access-l

22、ist 2 permit 192.168。100.0 0。0。0。255子网的划分名称VLAN 号子网网络号子网掩码办公子网财务室11192.168。11.0255.255.255。248宣传部、招生部12192。 168。 11。32255。255.255。224学生部、教务处13192。 168。 11。64255.255.255.224会议室、校长室14192.168。11。96255.255。255.224教学子网教学楼（按楼层划分）2125192。168。20.0255。255.255。0电教中心（按信息教室划分）3139172.16.0。0255。255。248.0实验子网实验1号（按楼层划分）4146172.16.32。0255.255。224.0实验2号（按楼层划分）5156172。16.64。0255。255.224。0网络中心80公网IP