校园网的组建与实施方案
目录
1 前言 (2)
2 需求分析 (2)
2.1建网需求 (2)
2.2 网络环境 (3)
3 校园网结构的设计 (4)
3.1 总体设计原则 (4)
3.2 校园网设计的层次化模型 (5)
4 解决方案 (5)
4.1.网络拓扑结构 (5)
4.2方案说明 (7)
5.网络设备选型 (7)
5.1交换机 (7)
5.2服务器 (8)
5.3其他设备 (9)
6. 网络设备的配置 (9)
6.1交换机的配置 (9)
6.2配置防火墙............................................................................................ 错误!未定义书签。参考文献.. (10)
1 前言
在现在这个知识爆炸的社会中,对于合格人才的要求越来越多,需要他们掌握大量的各类知识,在教育中需要提高教学效率。现在出现了许多新的教学方法,以各种方式提高学生对知识的掌握速度,在与前人同样的时间内,掌握比前人更多的知识,而这些教学方法,需要利用计算机网络才能实现。
这就要求校园网是一个具有交互功能和专业性很强的局域网络。多媒体教学软件的开发平台,多媒体演示教室,教师备课系统,电子阅览室以及教学,考试资料库等,都可以通过网络运行工作。如果一所学校包括多个专业学科,也可以形成多个局域网络,并通过有线方式连接起来。
校园网是指利用网络设备,通信介质和组网技术和协议以及各类系统管理软件和各种终端有效地集成在一起,并用于教学,科研,学校管理,信息资源共享和远程教学等方面的计算机局域网系统。
校园网应具有教学,管理和通信三大功能。对于目前的校园网建设来说,主要侧重于教学和通信,难以实现以数字化校园为核心的管理领域。
2需求分析
2.1建网需求
西安航空职业技术学院,为了紧追时代步伐,发展与校际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设,决定建设自己的校园网,争取尽早实现教育信息化。校园网建成后,将计算机引入教学各个环节,从而可以引起教学方法、教学手段、教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。校园网将会是学校提高管理水平、工作效率、改善教学质量的有力手段,也就是解决信息时代教育问题的基本工具。
通过对学校信息化建设专业人员沟通,了解到校园宽带网用户集中且网络流量大,关注网络的可运营和可管理特性,校园网建网需求如下:
1、教学区、宿舍区用户对校园网、教育网、INTERNET的访问有相应的路由策略。
2、校园网存在多个出口需求,校园网至少要提供中国教育科研网(CERNET )和INTERNET两个出口。
3、校园网安全性要求较高,要求设备能够实现用户识别和动态绑定功能如通过“IP+MAC+端口”三元组的动态绑定来识别用户。
4、校园网WEB页面可实现以下功能:用户Web自助服务功能,用户可通过Web自助服务页面,进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册。
5、校园网要求能对每个用户的使用情况能进行事后审计,能够定位到IP地址以及用户所连接的端口和登录的用户名,限定帐号的使用端口。
6、校园网要求能实现对用户带宽的动态控制。
7、校园网要求实现组播业务。
8、校园网要求在学校规模不断扩大中,用户数在持续增加,要求网络具有很好的扩展性,能够根据需要逐步平滑升级到万兆的骨干连接。
9、网管平台实现网络资源的管理、网络安全访问的控制。并且在平台上能方便地开发所需网络应用。
10、校园网建成后将实现以下基本功能:
●计算机教学,包括多媒体教学和远程教学;
●网络下载、网络聊天等;
●电子邮件系统:主要进行与同行交往、开展技术合作、学术交流等活动;
●文件传输 FTP:主要利用 FTP 服务获取重要的科技资料和技术文挡;
●INTERNET 服务:学校可以建立自己的主页,利用外部网页进行学校宣传,提供各类咨询信息等,利用内部网页进行管理,例如发布通知、收集学生意见等。
●图书馆的访问系统,用于计算机查询、计算机检索、计算机阅读等;
2.2 网络环境
学校现有学生宿舍13幢,每幢楼5层,每层有学生寝室30间,每间寝室提供一个网络节点;教师宿舍2幢(216)户,共18层,每户提供1个网络节点;教学楼5幢,共5层,每层有10间教室,每间教室提供1个网络节点;图书馆和电子阅览室在同一幢楼,共有1间电子阅览室,每间电子阅览室需要 10个网络节点;实训楼共7层每层需要20个节点。要求校园网主干采用1000Mb/s光纤,100Mb/s交换到桌面。
2.3 设计目标
本项目的实施将会大大改善学校的教学和科研条件。系统完成后将达到以下目标:(1)建立一个连接多媒体教室,图书馆等地的校园网,该网的骨干速率为100Mb/s。(2)建立VPN服务器,以支持教师的移动办公。教师在任何地方,通过Modem拨号,在授权情况下都可以访问校内信息。(3)建立学校本身的WWW服务器,提供学校的主页。(4)提供学校图书馆数目的联机查询。(5)建立邮件服务器,为全校师生提供电子邮件服务。(6)提供文件传输服务。
3校园网结构的设计
根据学校实际情况和特点,进行校园网的建设。在设计过程中,注意校园网的实用性与先进性的结合,并且采用成熟的网络技术,保证校园网的实用性。
3.1 总体设计原则
由于学校资金并不是很充足,不可能一步到位。另一方面,学校的应用水平较参差不齐,某些系统即使安装了也利用不起来,因此,在校园网的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。
该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统,为广大教职工和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园,网络设计遵循下列5个基本原则:
可靠性和高性能网络必须是可靠的,包括网元级的可靠性,如引擎、风扇、单板、总计等;以及网络级的可靠性,如路由、交换的汇聚,链路冗余,负载均衡等。网络必须具有足够高的性能,满足业务的需要。
可扩展性和可升级性系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
易管理、易维护由于校园骨干网络系统规模庞大,应用丰富而复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维护。这里我们选用的设备是思科可网管的交换机,防火墙。
安全性、保密性网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。在次校园网假设中,通过划分子网,在交换机上实现Vlan达到网络安全性。
灵活性、综合性通过采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。以满足系统目标与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。
3.2 校园网设计的层次化模型
所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。
为了更加清楚地理解分层设计的重要性,最好能够理解OSI(开放系统互联)参考模型。OSI模型能够简化计算机之间通信的要求,同样,使用层次化模型设计网络也能够简化联网的要求。
3.3层次化网络设计
1、节省成本。在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。
2、易于理解。层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。
3、易于扩展。在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。
4、易于排错。层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。
4解决方案
根据学校各楼宇之间的平面分布,中心机房可设置在实训楼,由于该楼有7层,可设置在中间楼层部分,比如,4~6楼中的某一层。其余个幢楼的汇聚层交换机通过光纤与中心机房的核心交换机相连。
4.1.网络拓扑结构
根据网络环境,我们可以绘制校园网的拓扑结构。其中,我们使用路由器同Internet连接,并且选购了一台硬件防火墙来保护内网。在网络拓扑结构图中,可以看到讲多台服务器划分到一个VLAN中.校园网络拓扑见图4.1
4.1 校园网络拓扑图
4.2校区各栋楼信息需求
校园网主干采用光纤介质,这里选用1000 BASE-LX:1000 BASE-LX 通常采用支持长距离传输的多模光纤和单模光纤,光纤接至各楼层配线间汇聚层交换机。各楼层设计情况如下:
1 学生宿舍楼
学生宿舍楼共五层,每层30间寝室,每个寝室1个信息节点。按此可以在每层楼安装一台接入层交换机,各楼层选用悬空机架。选择思科接入层交换机 catalysit 2924。配线间设置在一楼,线缆选用超五类非屏蔽双绞线(UTP)。
2 教职工宿舍楼
教师宿舍2幢,18层,每层6户,共216户,每户提供1个网络节点。选择5台思科接入层交换机catalyst 2924.每3层一台交换机以达到节约线缆的目的。由于在住户楼层没有多余的房间用于设置配线间,配线间可设置在地下室。
3 图书馆及电子阅览室
图书馆和电子阅览室在同一幢楼,共有1间电子阅览室,每间电子阅览室需要 10个网络节点,同样使用一台接入层交换机。
4 教学楼
教学楼5幢,共5层,每层有10间教室,每间教室提供1个网络节点,共250个信息节点。每层配置一台接入层交换机,配线间设置在一楼,放置汇聚层交换机。线缆同样选择超五类非屏蔽双绞线。
5 实训楼
实训楼共7层每层需要20个节点,由于网络中心在实训楼,两台汇聚层交换机做级联,每层只需配置一台接入层交换机。线缆选择超五类UTP双绞线。
4.2方案说明
校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因学校存在大量的语音和视频传输。据此,考虑汇聚层对 QoS 有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。
5.网络设备选型
5.1交换机
校园网采用千兆以太交换网。配置1台中心交换机和7台二级交换机。各交换机均支持光纤扩充端口并带有扩充模块槽。校园网络主干为千兆网络,百兆交换到桌面,保障所有用户同时调用服务资源时都能快速、流畅,充分发挥多媒体课室教学的作用;同时保证所有用户同时上网顺畅,使校园网络的功能发挥得淋漓尽致。
本网络工程交换机的数量和基本性能要求如表5.1:
表5.1 交换机的数量和基本性能要求
8G-L3 中心交换机
Catalyst 2948G-L3交换机是为IP协议、互联网包交换协议IPX和IP组播提供线速交换的固定配置第三层L3以太网交换机交换机。这种新的Catalyst 交换机为拥有适当端口密度的中型园区主干网提供所需的高度性能。它非常适合集合多个配线间或工作组交换机(例如Catalyst 2900 、Catalyst 1900 、Catalyst 3500、Catalyst4000或Catalyst 5000交换机的多协议流量)。Catalyst 2948G-L3交换机不仅为IP、IPX及IP组播提供无阻塞路由和交换,同时也为不可路由的协议提供线速第二层交换,例如NetBIOS和DECnet 局域传输(LAT)。这
种功能允许网络管理员通过Catalyst 2948G-L3,扩展它们的多协议主干网,而无须像仅采用IP交换机那样,通常需要建立并行网络。
其特性有;
48个专用10/100Mb/s以太网端口,以及两个支持千兆位接口转换器(CBIC)的1000Base-X 千兆位以太网端口,所有端口都拥有第三层交换功能。高性能:超过IP、IPX交换机及IP组播的10Mb/s第三层交换和路由。24Gb/s无阻塞交换矩阵。带有CISCO IOS 系统软件的高性能CPU。
服务质量(QoS):带有加权轮询(WRR)调度的多个阵列。基于标准CISCO WORKS2000 应用程序的全面管理工具。可选的冗余外部电源。线速第三层交换机。
CISCO Catalyst 2950 系列工作组交换机
Catalyst 2950系列交换机属于快速以太网桌面交换机CISCO Catalyst 2900系列,可以为局域网(LAN)提供极佳的性能和功能。独立的、10/100Mb/s自适应交换机能够提供增强的服务质量(QoS)和组播管理特性,所有的这些都由易用、基于Web的CISCO集群管理套件(CMS)和集成CISCO IOS软件来进行管理。带有10/100/1000Mbase-T 上行链路的CISCO Catalyst 2950千兆位铜线,可为中等规模的公司和企业分支机构办公室提供理想的解决方案,以使他们能够利用现有的5类铜线从快速以太网升级到更高性能的千兆位以太网主干。
Catalyst 2900系列常见的产品包括:12个10/100M端口独立式,24个10/100端口独立式,24个10/100M端口加2个100Base-FX端口,12个端口加2个GBIC端口,24个10/100端口加2个10/100/1000Base-T端口。
支持所有Cisco IOS功能
5.2服务器
网络中心配置2台部门级服务器,分别做应用服务器和Web服务器。其配置和性能如下:(1)Web服务器1台配置单见表5.2:
(2) 应用服务器1台配置单见表5.3:
5.3其他设备
其他设备技术要求见表5.4
6.网络设备的配置
网络中心形成的主干网,是整个校园网的总结点,并提供连接广域网和拨入服务。在主干网系统采用以太网结构,采用这一方式的主要优点是:
千兆位交换式以太网可以为每个端口提供1Gb/s的带宽,完全可以满足用户对速度的需要;使用经济,具有较高的性价比;千兆位以太网已经获得广泛支持;从现有的传统以太网可以平滑地过渡到千兆位以太网,不需要掌握新的配置,管理等技术;千兆位以太网技术有良好的互操作性,并具有向后兼容性。
在方案中,中心机房防止着中心交换机,服务器群,路由器等网络设备,这些设备以中心交换机为中心,以星形拓扑结构通过无屏蔽双脚电缆连接在一起。网络中心与子网的连接,是根据与子网的距离,通过光纤盒无屏蔽双脚电缆线将中心交换机和子网的交换机连接起来。
6.1交换机的配置
VLNA分别在网管中心的Cisco2948G-L3核心交换机、学生宿舍的Cisco2950交换机、教学楼的Cisco2950交换机、实训楼教学楼的Cisco2950交换机、教职工宿舍楼的Cisco2950交换机、图书馆的Cisco2950交换机。
交换机都是通过超级终端进入配置状态的。名字的定义如下:
●1号学生宿舍:1xs
●2号学生宿舍:2xs
●3号学生宿舍:3xs
●综合教学楼:zhl
●图书馆:tsg
●教学楼:jxl
●教职工宿舍楼:jzg
其他学生宿舍楼交换机配置与1号学生宿舍楼相似
教学楼Cisco 2950交换机的配置
Pix是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX525是典型的设备。
PIX防火墙常见接口有:Console,Failover,Ethernet,USB.
网络区域:
内部网络:inside
外部网络:Outside
中间区域:称DMZ(停火区)。放置对外开放的服务器。
防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)。
Inside 可以访问任何Outside和DMZ区域。
Inside访问Dmz需要配合Static(静态地址转换)。
Outside访问Dmz需要配合ACL(访问控制列表)。
参考文献
[1] 王达 .《网管员必读——网络应用(第2版)》.北京:电子工业出版社,2006
[2] 王达 .《网络工程必读——网络工程基础》.北京:电子工业出版社,2006
[3] 王达 .《网络工程必读——网络系统设计》.北京:电子工业出版社,2006
[4] 赵江董欣.《网管员成长手记——网络组建、配置与应用》.北京:人民邮电出版社,2007