XX校园网络设计方案书
第四组:
组员:厉健、杨锋、刘永海、吴霞、陈伟狄、朱刚、何臻伟
汇报人:朱刚
目录
第一章建设目标与原则 (4)
1.1 XX学院网络建设目标 (4)
1.2 校园网设计原则 (5)
第二章校园网建设方案 (7)
2.1 搭建校园网络系统 (7)
2.2网络拓扑结构 (8)
2.3 IP地址规划 (9)
2.4 设备选型 (10)
2.5 网络安全设计 (12)
2.6 网络管理系统设计 (15)
第三章网络应用解决方案 (18)
3.1 综合办公自动化系统 (18)
3.2 网络计费系统 (18)
第四章网络的综合布线系统 (20)
4.1 综合布线标准 (20)
4.2设计范围及要求 (20)
4.3布线的实施 (20)
4.4测试及验收 (23)
参考文献 (25)
XX学院校园网建设方案
【摘要】科学技术的发展日新月异,在计算机技术和通信技术结合下,网络技术得到了飞速的发展。如今,不仅计算机已经和网络紧密结合,整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流,人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来,网络必将成为和电话一样通用的工具,成为人们生活、工作、学习中必不可少的一部分。
XX学院校园网一期、二期建设基本完成了校园网的框架,主要用于连接各实验室、教研室和各部处通过网络中心与Internet连接。但是随着学校的发展,广大师生对校园网的覆盖率、稳定性、管理及业务提出了更高的要求,而原有的校园网在以上几方面均暴露出一系列不足。
在本方案中,我们将详细阐述XX学院校园网的建设方案,内容大致分为搭建网络、网络安全、系统应用、网络管理、综合布线等几部分。
【关键字】局域网、Internet、计算机网络、网络协议、服务器、防火墙
第一章建设目标与原则
1.1 XX学院网络建设目标
学校共有员工和学生9000 人,院区内共有12 栋建筑,包括教学楼、实验楼、现教楼、图书馆、宿舍楼等。上网的人员主要是学生、教师和科研人员。
学校的网络同时承载着多样的网络应用:网络下载、视频点播、网络聊天、专项课题研究、网络化教学,学校要求网络具有高性能、高可用性和高安全性。
学校规模在不断扩大中,用户数在持续增加,要求网络具有很好的扩展性,能够根据需要逐步平滑升级到千兆的骨干连接。
学生拥有笔记本电脑的人数越来越多,他们想在校园的各个地方都可以上网,甚至包括操场。要求网络具有移动和无线集成。
学校要求能对每个用户的使用情况能进行事后审计,能够定位到IP 地址以及用户所连接的端口和登录的用户名。
由于校园网络的开放性和流量的多样性,学校要求能及时发现网络异常流量并做出响应。同时要求基于每用户的速率限制。
另外在设备支持上要求:在10/100 或10/100/1000BaseT 上支持802.3af PoE;网络设备集成的安全性;要求第2 层和第3 层的QoS;要求增强的802.1x 功能;支持10GE 或将来平滑过渡到10GE。
当前万兆以太网将成为园区骨干网的主流技术。但根据XX学院目前的实际情况,可先采用千兆位以太网作为园区骨干,以后再根据需要升级;另外交换机及路由器本身的性能对整个网络的性能也有影响,诸如线速转发、QoS、STP、可支持的路由协议的收敛特性等等都将影响网络的性能。
高可用性:网络的高可用性必须依靠冗余来实现,网络级冗余性可以利用双宿主设计自动绕过故障链路或设备,能够使用智能协议保持网络可靠性。设备级冗余性可以利用设备内部部件(如管理引擎、电源、风扇等)的冗余来提供不间断服务。线路级冗余可通过敷设物理走向不同的线缆的方式来实现线路的畅通。对于XX学院来说,以上所说在不同的场合中都有可能用到;另外,降低网络的复杂性、提供备用互联网出口、强大的网络监控功能及良好的用户培训也可增加
园区网的可用性。
高安全性:现阶段网络建设主要面临以下几方面的问题:网络流量增长得很快,与此同时网络运营商的接入费用不降反升;管理人员对校园网的运行情况缺乏基本的分析和管理工具;网络安全事件时有发生,重要服务器和核心网络设备被攻击;网络病毒泛滥,得不到控制;有线用户和无线用户的接入控制、定位缺乏手段等;针对以上问题,将安全连接、威胁防御、信用和身份管理系统集成到单个解决方案中,并提供病毒感染限制、染毒设备隔离功能可有效的解决校园网建设中的安全问题。
高可扩展性:在设计园区网时,通过层次化的设计可保证网络的扩展性。层次化结构包括三个功能部分:即接入层、分布层和核心层,层次化的设计除了能带来便于扩展的优势以外,还可节约成本和加强故障隔离能力;
移动性:可通过实施Wireless LAN 实现无线上网。
1.2 校园网设计原则
采用先进成熟的技术和设计思想,运用先进的集成技术路线,以先进、实用、开放、安全、使用方便和易于操作为原则,突出系统功能的实用性,尽快投入使用,发挥较好的效能。
计算机技术的发展十分迅速,更新换代周期越来越短。所以,选购设备要充分注意先进性,选择硬件要预测到未来发展方向,选择软件要考虑开放性,工具性和软件集成优势。网络设计要考虑通信发展要求,因此,主要、关键设备需要具有很高的性价比。
系统的设计既要在相当长的时间内保证其先进性,还应本着实用的原则,在实用的基础上追求先进性,使系统便于联网,实现信息资源共享。易于维护管理,具有广泛兼容性,同时为适应我国实际情况,设备应具有使用灵活、操作方便的汉字、图形处理功能。
目前,计算机网络与外部网络互连互通日益增加,都直接或间接与国际互连网连接。因此,系统方案设计需考虑系统的可靠性、信息安全性和保密性的要求。
XX学院校园网设计方案设计原则和需求分析,可以方便地进行设备扩充和适应工程的变化,以及灵活地进行软件版本的更新和升级,保护用户的投资。
目前,网络向多平台、多协议、异种机、异构型网络共存方向发展,其目标
是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通迅协议要符合国际标准,为将来系统的升级、扩展打下良好的基础。
采用结构化、模块化的设计形式,满足系统及用户各种不同的应用要求,适应业务调整变化。
采用的技术标准必须按照国际标准和国家标准与规范,保证系统的延续性和可靠性。
满足系统目标与功能目标,总体方案设计合理,满足用户的应用要求,便于系统维护,以及系统二次开发与移植。
第二章校园网建设方案
2.1 搭建校园网络系统
XX学院从地理上分为二大块:教学区和宿舍区。目前只在教学区部分大楼进行了联网,宿舍区没有联网。因此,我们需要做的工作是宿舍区和教学区的网络互联,以及教学区的网络扩展。
本方案采用成熟的千兆以太网技术,采用分层结构的解决方案。整个网络设计的原则为:
中心交换机为整个网络的核心,它对整个网络的性能、可靠性起决定作用,它连接各个物理子网,管理网络内信息交换(包括多媒体信息),控制VLAN 间访问,保证信息安全。因此,选用中心交换机除了提供高速的网络连接之外,还具有多种信息的管理控制能力。
全部的网络设备均支持高效的Intranet 多媒体和多点广播技术,为多媒体和多点广播应用等提供端到端的带宽保证。
网络采用层次结构,不仅逻辑结构清晰,管理方便;更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在分布层交换机上直接处理,不经中心设备,节省主干带宽,提高利用率。
有一定的前瞻性,不仅满足当前网上应用,也为向将来更高性能的升级作好了准备:网络具有的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩充,升级模块即可大量提高主干带宽;中心配置两台多层交换机,网络结构就能连接成高可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统,在整个系统内消除单点故障,提供高可用性的应用服务系统。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙
伴和用户的安全外联网虚拟专用网。
2.2网络拓扑结构
根据地理位置及信息点的数量和未来覆盖面扩充等多方面原因,将校园网为每个系划分若干个区域。划分区域主要考虑以下几个方面:可以减轻中央核心交换机的负担、管理上方便、便于未来的连接扩充。
XX学院校园网的拓朴如图2.1所示:
图2.1 XX学院校园网的拓朴图
整个校园网划分为三个层次:核心层、分布层和接入层。相应的交换机就是核心交换机、分布层交换机和接入层交换机。
核心层网络选择千兆以太网。校网络中心将放置两台高端三层千兆交换机和一台边界路由器。交换机间的连接要求是高带宽连接。分布层交换机要求至少两路上行链路连至两台核心层交换机上,采用快速收敛的路由协议实现故障切换和负载均衡,当某一链路出现意外,也可以从另外一路上连。
校内各系的汇聚交换机构成,各分布层交换机放置在各系的网络中心,要求至少两路上行链路连至两台核心层交换机上。
分布层交换的下连交换机都为接入层网络。
2.3 IP地址规划
本方案采用的地址分配方法利用VLSM技术,不仅有大量预留空间,而且本校园网使用OSPF路由协议,有层次的IP地址,易于管理,在边界路由器上可做汇聚(汇聚成10.1.0.0/17网段),减少路由更新大小,提高网络性能。如表2.1所示:
表2.1 XX学院校园网IP地址分配表
建筑物设备IP地址子网掩码
现教楼中心机房
VPN防火墙10.1.0.1 255.255.255.0 边界路由器10.1.0.2 255.255.255.0 核心交换机1 10.1.0.3 255.255.255.0 核心交换机2 10.1.0.4 255.255.255.0 WEB/FTP服务器10.1.70.1 255.255.255.0 认证服务器10.1.70.2 255.255.255.0 DNS/DHCP服务器10.1.80.1 255.255.255.0 用户10.1.10.0 255.255.255.0
教学楼分布层交换机10.1.0.5 255.255.255.0 接入层交换机10.1.0.6 255.255.255.0 AP 10.1.63.7 255.255.255.0 用户10.1.20.0 255.255.254.0
实验楼分布层交换机10.1.0.8 255.255.255.0 接入层交换机10.1.0.9 255.255.255.0 AP 10.1.63.10 255.255.255.0 用户10.1.30.0 255.255.248.0
图书馆分布层交换机10.1.0.11 255.255.255.0 接入层交换机10.1.0.12 255.255.255.0 AP 10.1.63.13 255.255.255.0 用户10.1.40.0 255.255.254.0
行政楼
分布层交换机10.1.0.14 255.255.255.0
接入层交换机10.1.0.15 255.255.255.0
AP 10.1.63.16 255.255.255.0 用户10.1.50.0 255.255.254.0
宿舍楼分布层交换机10.1.0.17 255.255.255.0 接入层交换机10.1.0.18 255.255.255.0 AP 10.1.63.19 255.255.255.0 用户10.1.64.0 255.255.192.0
2.4 设备选型
本方案中校园网络核心层设备采用CISCO Catalyst 6509(Supervisor Engine 720*2/电源*2/FWSM*1/IPSec VPN 模块*1/IDSM*1/NAM*1/16 口千兆以太网光口板*1/若干5486/48 口千兆电口*1,符合IEEE802.3af&PoE)数量:2 台。Cisco Catalyst 6509 的优点:
●最长的网络正常运行时间--利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1~3 秒的状态故障切换,提供应用和服务连续性统一在一起的融合网络环境,减少关键业务数据和服务的中断。
●全面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成到现有网络中,包括入侵检测、防火墙、VPN 和SSL。
●可扩展性能--利用分布式转发体系结构提供高达400Mpps 的转发性能。
●能够适应未来发展并保护投资的体系结构--在同一种机箱中支持三代可互换、可热插拔的模块,以提高IT 基础设施利用率,增大投资回报,并降低总体拥有成本。
●卓越的服务集成和灵活性--将安全和内容等高级服务与融合网络集成在一起,提供从10/100 和10/100/1000 以太网到万兆以太网,从DS0 到OC-48 的各种接口和密度,并能够在任何部署项目中端到端执行。
校园网络分布层设备采用CISCO Catalyst 4507R(Supervisor Engine
V-10GE*2/电源*2/若干千兆以太网光口板及GBIC/48 口千兆电口板*1,符合IEEE802.3af&PoE)数量:7 台。Cisco Catalyst 4506(With Supervisor V-10GE)的优点是:
●136Gbps 交换矩阵;
●102mpps 第二层到第四层吞吐率;
●双线速万兆以太网上行链路;
●利用千兆以太网SFP 上行链路顺利移植到万兆以太网;
●在交换管理引擎上提供集成式NetFlow,通过基于用户的速率限制实施精确流量控制;
●超快速800MHz CPU 可实现更快的控制平面;
●最多能够在Catalyst 4510R 交换机中支持384 个10/100/1000 端口;
●提供所有Cisco Catalyst 集成式安全特性;
●为提供更加灵活的策略,能够为每个端口和VLAN 实施不同的QoS;
●思科快速转发能够防止可变IP 信息攻击。
●端口安全、DHCP 侦听、ARP 检测和IP 源防护能够防止黑客从第二层及以上发动拒绝服务(DoS)攻击或破坏网络。
●速率限制以出口和入口限速器的方式出现,可以控制每个VLAN 的流量,防止DoS攻击。Supervisor Engine V-10GE 支持基于用户的速率限制。
●802.1X 及其扩展性能防止非法用户和设备接入网络,例如恶意接入点。
●硬件Netflow 可用于主动发现网络流量异常,并采取相应措施。它使用的访问控制列表可在交换端口和路由端口上提供,以便进行二到七层流量控制。
校园网络接入层设备采用CISCO Catalyst 3560(EMI)交换机,该系列交换机是一个固定配置、企业级、IEEE 802.3af 和思科预标准以太网供电(PoE) 交换机系列,工作在快速以太网和千兆位以太网配置下。
CISCO Catalyst 3560 是一款理想的接入层交换机,适用于小型企业布线室或分支机构环境,结合了10/100/1000 和PoE 配置,实现最高生产率和投资保护,并可部署新应用,如IP 电话、无线接入、视频监视、建筑物管理系统和远程视频访问等。
客户可在整个网络范围中部署智能服务,如高级QoS 、速率限制、访问控制列表、组播管理和高性能IP 路由等,且同时保持传统LAN 交换的简洁性。
思科网络助理(network assistant)在Catalyst 3560 系列中免费提供,是一个集中管理应用,可简化思科交换机、路由器和无线接入点的管理任务。思科网络助理提供了配置向导,大大简化了融合网络和智能网络服务的实施;支持增强的802.1x(IBNS)。
2.5 网络安全设计
XX学院网络安全性方案设计原则是:整个XX学院网络必须是一个严密的安全保密体系。采取的安全措施不能影响整个网络运行效率。保密设备要做到管理方便,完善可靠。加密系统具有良好的网络兼容性和可扩展性,实现防窃取、防篡改、防破坏三大功能。按照国家主管部门对政府办公网络安全保密性的相应法规和规定,要保障系统内部信息的安全,我们主要应该做到处理秘密级、机密级信息的系统与不涉及保密信息的系统实行物理隔离,秘密级、机密级信息在网络上采取加密传输。
防火墙是设置在内部网络与Internet 之间的一个或一组系统,用以实施两个网络间的访问控制和安全策略。狭义上防火墙指安装了防火墙软件的主机或和路由系统;广义上还包括整个网络的安全策略和安全行为。防火墙技术属于被动防卫型,它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的,其功能是按照设定的条件对通过的信息进行检查和过滤。防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障,其作用主要有:保护功能拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。连接功能作为内部网络与Internet 之间的单一连接点。管理功能实施统一的安全策略,检查网络使用情况,进行流量控制等。
防火墙有三个属性:所有进出内部网的数据包必须经过它;仅被本地安全策略所授权的数据包才能通过它;防火墙本身对攻击必须具有免疫能力。在XX学院和外网的连接中,我们推荐使用硬件防火墙。比如CISCO ASA5510-BUN-K9系列:
●并发连接数 130000
●网络吞吐量(Mbps) 300
●安全过滤带宽 170Mbps
●网络端口 3+1个管理快速以太网端口、可升级到5个快速以太网端口、1个SSM 扩展插槽
●用户数限制无用户数限制
●入侵检测 DoS
●安全标准UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001
●控制端口console
●管理思科安全管理器 (CS-Manager)
● VPN支持
选择该型号是因为价格适中,且功能齐全,较适合本校园网建设。
在内部网络和外网之间之间通过防火墙,建立起一个DMZ 区。与外网关联业务的服务器都可以放在DMZ 区,Internet 上的用户只能到达DMZ区相应的服务器。并且内部网络到Internet 的连接,是通过NAT 地址翻译的方式进行,可以充分隐藏和保护内部网络和DMZ区设备。防火墙在内外网络连接中起两个作用:
●利用访问控制列表(Access Control List ,ACL)实安全防护防火墙操作系统IOS 通过访问控制列表(ACL)技术支持包过滤防火墙技术,根据事先确定的安全策略建立相应的访问列表,可以对数据包、路由信息包进行拦截与控制,可以根据源/目的地址、协议类型、TCP 端口号进行控制。这样,我们就可以在Extranet 上建立第一道安全防护墙,屏蔽对内部网Intranet 的非法访问。
例如,我们可以通过ACL 限制可以进入内部网络的外部网络甚至是某一台或几台主机;限制可以被访问的内部主机的地址;为保证主机的安全,可以限制外部用户对主机的一些危险应用如TELNET 等。
●利用地址转换(Network Address Translation,NAT)实现安全保护防火墙另外一个强大功能就是内外地址转换。进行IP 地址转换由两个好处:其一是隐藏内部网络真正的IP 地址,这可以使黑客(hacker)无法直接攻击内部网络,因为它不知道内部网络的IP 地址及网络拓扑结构;另一个好处是可以让内部网络使用自己定义的网络地址方案,而不必考虑与外界地址冲突的情况。地址转换(NAT)技术运用在内部主机与外部主机之间的互相访问的时候,当内部访问者想通过路由器外出时,路由器首先对其进行身份认证----通过访问列表(ACL)核对其权限,如果通过,则对其进行地址转换,使其以一个对外公开的地址访问外部网络;当外部访问者想进入内部网时,路由器同样首先核对其访问权限,然后根据其目的地址(外部公开的地址),将其数据包送到经过地址转换的相应的内部主机。
在XX学院网络工程和今后各种应用系统的建设过程中,在局域网上我们可以根据不同部门、不同业务类别划分VLAN(虚网),通过把不同系统划分在不同VLAN
的方式,将各系统完全隔离,实现对跨系统访问的控制,既保证了安全性,也提高了可管理性。
●VLAN(虚网)技术和VLAN 路由技术
VLAN 技术用以实现对整个局域网的集中管理和安全控制。CISCO 局域网交换机的一大优势是具备跨交换机的VLAN(虚网)划分和VLAN 路由功能。虚网是将一个物理上连接的网络在逻辑上完全分开,这种隔离不仅是数据访问的隔离,也是广播域的隔离,就如同是物理上完全分离的网络一样,是一种安全的防护。通过VLAN 路由实现对跨部门访问的控制,既保证了安全性,也提高了可管理性。
●Inter-VLAN Routing 原理
每一个VLAN 都具有一个标识,不同的VLAN 标识亦不相同,交换机在数据链路层上可以识别不同的VLAN 标识,但不能修改该VLAN 标识,只有VLAN标识相同的端口才能形成桥接,数据链路层的连接才能建立,因而不同VLAN的设备在数据链路层上是无法连通的。Inter-VLAN Routing 技术是在网络层将VLAN标识进行转换,使得不同的VLAN 间可以沟通,而此时基于网络层、传输层甚至应用层的安全控制手段都可运用,诸如Access-list (访问列表限制)、FireWall(防火墙)、TACACS+等,Inter-VLAN Routing 技术使我们获得了对不同VLAN 间数据流动的强有力控制。
●MAC 地址过滤策略
在内部网中还可以利用Cisco 交换机的MAC 地址过滤功能对局域网的访问提供链路层的安全控制。MAC 地址过滤能进一步实现对局域网的安全控制。CISCO 局域网交换机具有MAC 地址过滤功能,通过在交换机上对每个端口进行配置,可以禁止或允许特定MAC 地址的源站点或目的站点,从而实现各站点之间的访问控制。由于每块网卡有唯一的MAC 地址,是固定不变的,只允许特定MAC 地址的工作站通过特定的端口进行访问,所以对MAC 地址的访问控制实际上就是对指定工作站这一物理设备的访问控制,由于MAC 地址的不可改变,与对IP 地址的过滤相比,具有更高的安全性。
●访问安全控制
从确保网络访问的安全出发,路由器对所有远程拨号访问连接都由Radius 设置AAA(Authentication Authorization Account,即认证、授权、记帐)级安
全控制,防止非法用户的访问。同时,在计费服务器上,也提供Radius 认证方式,两者可以配合使用。(也可以只采用计费服务器上的Radius认证)。具体的实现细节如下:
在网络中配置一台安装Cisco Secure 软件的服务器,Cisco Secure 软件使用Radius(Remote Authentication Dial-in User Service)协议提供对网络的安全控制,并对成功连接到网络的用户的操作进行记录。对于远程拨号访问,配置PPP 协议提供的CHAP(Challenge Handshake Authorization Protocol)认证协议,该协议是一个基于标准的认证服务,而且在传输过程中使用加密保护,与在传输用户ID和口令时不使用加密的PAP 协议相比,具有更大的安全性,可提供用户ID 和口令在传输线上的安全保护。
RADIUS 提供的AAA 级安全控制首先根据用户名和口令识别在本网络中是否允许该用户访问,从而决定是否建立连接;其次对经过认证连接到网络的用户授予相应的网络服务级别,提供访问的限制;最后保留用户在本网络中的所有操作记录(日志),这些记录的内容包括用户网络地址、用户名、所使用的服务、日期和时间以及用于计帐的连接时间、连接位置、数据传输量、开始时间和停止时间等。
AAA 在Client/Server 体系中允许在一个中心数据库中存储所有的安全息,在一台装有Cisco Secure 软件的安全服务器上通过对数据库的修改和维护就可方便地对整个系统进行很好的安全控制。
Cisco Secure 软件由一个Daemon 和一个GUI 两部分组成。Daemon 的操作依赖于两个文件,一个用于定义所有的系统参数的控制文件和一个包含了网络用户所有认证和授权信息的数据库文件。GUI 提供给系统管理员用于维护认证和授权信息等,网络用户可被分配到具有一系列相同参数的组,GUI 使系统管理员能够修改网络中任一组和任一用户的认证和授权参数。
2.6 网络管理系统设计
网络管理性能是衡量一个网络系统性能高低的重要因素之一。网络管理系统完成设置网络设备、监控网络运行、保障网络安全,查找并隔离网络故障,记录网络中的各种事件以及划分虚拟网络等功能。总之,对所有网络上的信息进行统一管理。
网管通常结合硬件和软件的手段来实施,对不同的拓扑结构及不同的物理和逻辑部分进行监控和分析。OSI 定义网管系统支持传统五大网管功能:故障管理、配置管理、计费管理、安全管理以及性能管理。这些管理功能由网管系统和网络设备共同完成。结合校园网的实际情况,我们认为,安全管理与计费管理可以由网络管理模块配合专用的软(硬)件管理产品来共同实现,网络管理的主要任务应落实在故障管理、配置管理和性能管理这三个方面。
1、配置管理
●网络节点插板、端口和冗余结构的配置和管理;
●网络节点访问口令的设置和更改。
2、性能管理
●可以实时连续地收集网络运行的相关数据,可用数字和图形的方式显示网络运行的各种情况以及重要程度,需要时可发布指令到各节点,进行网络控制;
●可从相关节点收集业务量数据,进行统计、分类、记录归挡。使用这些信息为网络建设提供规划设计依据。
3、故障管理
●能实时监视故障信息,并对其统计分析;
●可形成节点、中继线及用户端口的告警产生、告警内容和告警清除的统计报告。可实时修改状态图以反映此故障。
校园网网络设备较多但网络结构简单,管理人员不多,比较适合采用集中的管理模式,即由一台网管主机(或者备份主机)对整个网络环境进行综合管理,不需要添加二级管理设备,管理结构简单,已于维护管理。通过仔细分析校园网网络系统结构,在主要管理产品选型上我们建议采用Cisco 公司基于WINDOWS 2000 的CiscoWorks2000网管软件实现对整个网络设备的管理。
网络管理是对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络管理系统的概念模型主要由管理者、管理代理和被管对象等实体及其相互作用组成。基于SNMP(Simple Network Management Protocol)的网络管理系统SNMP 由IETF 提出,主要是为基于TCP/IP 的互连网设计的,现在已经被其它协议实现,如IPX/SPX,DECNET 以及APPLETALK 等,它的主要标准由一系列RFC 组成,并得到了网络厂商的广泛支持,成为网络管理方
面事实上的标准。目前基于SNMP 的网络管理系统已广泛应用于Internet。这里建议采用Cisco Works软件,因为该软件基于WEB页面管理,操作简便,功能齐全,而且是基于标准的多厂商管理软件。
在实际环境中,管理者的功能由安装在网络管理中心的网管工作站上的一系列网管软件完成,它负责管理主机、局域网的计算机网络系统与应用和与之相联的下级单位的广域网、局域网等设备,被管对象指网络设备等网络资源。管理者负责接收来自上述各级节点发送的网络管理信息,并对相关事件进行处理。
应用服务的管理可以采用专用的服务管理软件,针对不同的应用服务,进行专业的监控管理。目前,业界对各种应用服务的管理基本上都有成熟的解决方案。应用服务的状态监控主要体现在三个方面:
●服务器状态的监控:主要包括服务器的各个性能参数。可以采用专用的系统管理模块对各个性能参数分别监控、统一管理。
●应用程序状态的监控:包括各个关键服务的关键应用进程的健康情况。视需监控的程度和经费状况,可以选用专用的监控模块或统一的进程监控模块。
●网络状态的监控:通过上面的网络管理模块即可实现对整个网络系统可用性的统一监控。考虑到校园网目前的管理人员比较少,管理任务相对较多的特点,对以上各个应用服务的管理及网络管理,我们可以采用统一的事件控制平台来汇总管理,实现集中化控制、单窗口管理。并且利用事件控制平台自身的特点,实现报警事件的集成、过滤、关联和自动化处理。事件管理平台收集并集成来自网络环境中任何重要的信息源的消息,通过内置的过滤关联机制,将有效的消息分组分级别的统一呈现在管理员面前。另外,应用监控系统能够利用保存的历史监控数据,生成各种可用性及趋势报表,为下一步的投资改造决策作参考。
第三章网络应用解决方案
3.1 综合办公自动化系统
XX学院OA 系统整体设计目标是:利用现代网络技术、多媒体技术及Internet 技术等为基础建立起来的计算机网络,联接教学内部网络的教学楼子网及分散于各功能楼、宿舍楼的计算机,通过网络管理中心的服务器群组为所有计算机提供例如登录服务,文件/打印共享/Email 服务,及教学、科研、整体管理、校务服务、远程教学等传统应用服务,提供经济类文献的查询、地方经济信息的发布、经济类的网上咨询等。
根据教育部"统一规划,相互协调"的原则,实现学院行政部门和学院办公业务的电子化、自动化和网络化,使教育行政管理、应急指挥和快速反应的能力进一步提高,高效率、高质量地为学院教育行政部门和学院的管理和决策服务。实现学院内部资源高度共享;提高教育技术的现代化水平和教育信息化程度;为学院培养创新人才提供信息平台,提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力。
在认真总结和分析了学校的校园网应用系统的需求,提供了极具特色的高校校园网应用解决方案,主要包括公文管理系统、信息发布系统、会议管理系统、信息交换系统、个人信息系统、信息资源库、档案管理子系统、公共信息管理子系统、电子论坛、日常事务管理、领导信息查询子系统、图书管理子系统、教学管理子系统、高考多功能查询系统、邮件系统等十几个模块。
操作简单;性能安全可靠;双向复制功能;综合查询功能;支持移动办公;灵活的伸缩性;支持多系统共存;动态权限配置;通用的公文审批流程、打印格式;工作流程灵活定制;强大的版本跟踪、痕迹保留技术。
3.2 网络计费系统
随着网络应用越来越丰富,网络服务计费是网络运营的一个重要部分。采用方便、灵活的计费方式有利于减轻网络管理人员的工作负担。随着XX学院校园网的建成和Internet 带宽的扩容,将会吸引越来越多的用户上网。因此,在XX学院网络建成后,需要建立一套功能强大的计费系统。通过使用和调查,清华大学
通用网络计费系统(CNGAS)是针对内联网用户访问Internet 进行监控和管理而设计的一整套完整的计费解决方案,能提供基于用户、IP、包月、限时、限流量等计费模式,非常适用于校园网、企业、政府机关、智能大厦和智能小区的计费。因此,我们建议XX学院采用这套系统。
计费系统结构从实现功能上系统可分为:流量计费模块、邮件计费模块、拨号计费模块、代理计费模块四个模块。各模块相对独立,可以适应不同用户对于单项服务的需求。可以单独使用每个模块,也可以组合使用。
计费系统开发基于因特网免费服务软件Sendmail、Squid、Apache+SSL、Radius以及Oracle for Linux 数据库管理系统,对应用系统内核进行了改造,无版权争议。
系统采用统一的身份认证与后台数据库,提供标准的web 界面及前台管理;系统采用网络用户预缴费、使用中实时自动扣费的方式;系统有详细自动日志备份体系,可以保存全部用户及主机信息以及全部用户帐目及日志流水帐;用户具有自我管理和自我服务功能通过网页可以方便地修改自己的服务项目密码,自行查询自己详细的费用。
网络计费服务器、邮件服务器、拨入计费服务器、代理服务器和数据库服务器都只是逻辑上的,在物理上,它们可以运行在同一台机器上,也可以运行在不同的机器上。对小规模网络,只用一台PC 机即可实现全部功能。不同的用户可根据需求及网络规模来决定相应的配置。