《学院校园网项目设计方案》由会员分享,可在线阅读,更多相关《学院校园网项目设计方案(16页珍藏版)》请在金锄头文库上搜索。
1、学院校园网项目设计方案 用户环境分析2010年,学校提出“全面建设数字化校园”的目标,启动数字化校园建设的工作。同时建设并完成校园综合布线、校园网络系统、数字化校园信息平台统一身份认证系统、校园一卡通系统、双向多媒体教学系统、安全防范系统、厅堂扩声系统、LED大屏显示系统等。数字校园信息平台暨同意身份认证系统是数字化校园的信息存储、处理、认证中心,是整个数字化校园的核心部分。该系统将来自权威部门(如教务处、学工处、认识处等)信息系统的信息变化,通过接口程序发送到数据平台,由数据平台同步更新到校园一卡通系统、数字图书馆系统等,实现校内的数据同步和统一。一卡通系统中,信息亦可在此平台进行发布,包括
2、消费记录的查询,门禁系统进出记录的查询,图书馆借阅信息,考勤记录,充值记录等。目前在校园网上运行的信息系统主要有:校园一卡通系统;数字图书馆系统、学校招生、就业指导系统;学生信息管理系统;教务管理系统;网上选课系统;大学英语在线;科技信息发布系统;综合档案系统;学生机房管理系统;校园安防系统;精品课程建设;多媒体教学系统等。2.2 业务类型用户需求决定了校园网络系统的特性,按照用户的要求,校园网系统应该实现以下基本功能: 强大信息资源的共享。 电子邮件系统。 语音/传真服务。 图书馆查询系统。 文件传输服务。 办公自动化。 多媒体教学、远程教学、视频会议。 VOD视频点播系统。2.3 网络结构
3、需求核心层网络中心节点及其他核心节点作为校园网络系统的心脏,必须提供全线速的数据交换。当网络流量较大时,对关键业务的服务质量提供保障。另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时。还必须保证稳定可靠的运行。汇聚层汇聚层是各个校区的数据汇聚平台,为全网提供了快速交换支持,是各区域数据、媒体流汇聚主节点。汇聚路由交换机需要具备高可靠性、高性能、高端口密度、高安全性、可管理性等要求。并具有网络可扩容升级能力和多种业务支持能力。在完成高速交换机的基础上,能够提供稳定可靠的网络基础服务功能并能够支持下层的基础功能、分布服务以及QOS保证。接入层接入层网络由楼栋交换节点和楼层交换节点组成,接
4、入层网络应该可以满足各种客户的介入需要,而且能够实现客户化的介入策略,业务QOS保证,用户接入访问控制等等。出口因为校园网出口采用以太网,所以可以直接采用防火墙提供强有力的服务器、内网安全保护、同时提供出口路由功能;数据处理能力强;提供IDS等安全性。2.4 扩展性需求骨干节点设备的性能具有向上扩展的能力,以防备将来更高带宽和应用的需求。2.5 性能需求校园网对网络系统的性能需求,可归纳如下: 先进性和成熟性网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证学校网络建设的领先地位。 可
5、靠性和稳定性在考虑技术先进性和开放性的同时,还应该从技术措施、设备性能、系统管理、厂商技术支持以及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。 安全性由于整个学校的管理事物都将放在网上,不同部门的重要数据将要求绝对安全,可访问与不可访问将严格限制。校园网和互联网之间的数据流也将严格限制。 2.6 安全性需求安全性是指可靠性、保密性和数据的一致性。校园网对安全性的要求较高,计算机系统的安全性主要包括以下几个方面: 硬件平台安全性:当计算机的元器件突然发生故障,或计算机系统工作环境设备突然发生故障时,计算机系统能继续工作或迅速恢复。 网络通讯系统安全性:认证措施,包
6、括网点认证和人员认证;数据保密措施如传输加密;存取控制措施如防止非法操作。 操作系统安全性:操作系统安全性要打到C2级,即通过注册、安全事件审计、资源隔离等方式使用户的行为具有个体可查性,实施村区限制,保护数据防止被别的用户读取或破坏 。 数据库安全性:数据库要有以下安全机制:磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制,确保数据库的安全。 应用软件的安全性: 认同用户和鉴别,确认用户的真实身份,防止非法用户进入系统 存取控制,当用户已注册登录后,核对用户权限,根据用户对该项资源被授予的全线对其进行存取控制。 审计,系统能记录用户所进行的操作以及其相
7、关数据,能记录操作结果,能判断违反安全事件是否发生,如果发生则能记录备查。 保障数据完整性,对数据库操作保证数据的一致性和数据的完整性。2.7 可靠性需求 在考虑技术先进性和开放性的同时,还应从技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性,打到最大的平均无故障时间。2.8 管理需求先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。所以在选择设备时,必须支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。三.逻辑设计3.1 拓扑结构设计3.2 拓扑结构简介1、核心层放在图书馆,采用冗余结构,两个三层交换机介入。汇聚层也用三层交
8、换机。接入层采用两层交换机,连接各个大楼。2、加上防火墙,在防火墙上做NAT转换,并且连接IDS和系统管理员,起到预防检测作用。3、在核心层两个交换机上介入DMZ,为外部提供网络访问功能。4、在汇聚层的一个交换机上利用专线连接东、西两个校区,把学校网络统一在一起。3.3 VLAN的划分方案当一个网桥或交换机接收到来自于某个计算机工作站的数据帧,它将给这个数据帧加上一个标签以标识这个数据帧来自于哪个CLAN。加标签的原则有多种:可以给予数据帧来自于网桥的哪个端口、可以基于数据帧的数据链路层协议源地址、可以基于数据帧的网络层协议源地址、也可以基于数据帧的其他字段或多个字段的综合。为了能够使用任意一
9、种方法给数据帧加标签,网桥必须有一个不断升级更新的数据库。这个数据库叫做过滤数据库,包含了本网络中全部VLAN之间的映射以及他们使用哪个字段作为标签。网桥必须能够维护这样的一个数据库并且应该保证所有在这个LAN中的网桥在他们的过滤数据库中有同样的信息。基于IEEE 802.1Q协议时,4个字节的VLAN标签加到传统的以太网帧的目的MAC地址字段和协议类型字段(在符合IEEE 802.3协议的帧中是长度字段)之间。其中包含有一个12比特大小的VLAN ID号以区别各个VLAN,由于802.1Q协议的标签头的4个字节是新增加的,故目前使用的计算机并不支持802.1Q,即计算机发送出去的数据包的以太
10、网帧头还不包含这4个字节,同时也无法识别这4个字节。对于交换机来说,如果它所连接的以太网的所有主机都能识别和发送带着种802.1Q标签头的数据包,该端口称为Tag Aware端口,需要给数据帧加标签。反之,如果该交换机端口所连接的以太网段里只有一台主机不支持这种带802.1Q标签头的数据包,该端口称为Access端口,则不能给数据帧加标签。对于每一个到来的VALN帧,网桥或将根据查找过滤数据库的结果决定该帧归属于哪一个VLAN、将从哪个接口被转发出去。一旦网桥或交换机决定了某个数据帧的下一步去向,它就得决定是否需要给这个数据帧加标签。具体实现包括以下三个过程:(1)接收过程:负责接收数据包,数
11、据包可以是带标签头的,也可以不带标签头。如果不带,交换机会根据该端口所属的VLAN添加上相应的标签头。(2)查找/路由过程:根据数据包的目的MAC地址、VLAN标识,查找过滤数据库中注册的信息,以决定把数据包发送到哪个端口。(3)发送过程:将数据包发送到以太网段上,如果该网段的主机不能识别802.1Q标签头,则在出端口前将该标签头去掉;如果是发送到互连的其他交换机端口,则标签头不去掉。2、校园网的IP地址分配与VLAN的规划随着校园网规模的不断扩大,用户不断增加,网络应用也不断增长,网络变得越来越拥挤。冲突不断产生,管理难度日益加大。为了有效的提高网络管理的灵活性,提高网络效率和网络安全性,一
12、个合理的VLAN规划使网络的管理更加有效。校园网的VLAN规划主要是根据网络拓扑图,首先基于核心交换机Quidway S8016上根据每分配一个C类的IP地址划分为一个VLAN,然后再基于Quidway S3026或 Hammer24E交换机根据网络管理员的要求和网络的安全需要进行VLAN划分。3.4 IP地址分配方案表3.1 各楼栋IP地址分配地点网络号IP地址子网掩码图书馆192.168.0/24192.168.0.1254255.255.255.0行政楼192.168.1/24192.168.1.1254255.255.255.0教学楼192.168.2/24192.168.2.1254
13、255.255.255.0宿舍楼192.168.3/24192.168.3.1254255.255.255.0理工楼192.168.4/24192.168.4.1254255.255.255.0体育馆192.168.5/24192.168.5.1254255.255.255.0学生服务中心192.168.6/24192.168.6.1254255.255.255.0超市192.168.7/24192.168.7.1254255.255.255.03.5 路由协议选择路由协议的选择对网络的可靠性和可扩展性等都有较大的影响。在选择校园网的路由珊议应充分考虑网络的规模和复杂性网络流量的大小路由协议的
14、可管理性技术的实现以及安全的需要等。1、核心层作为网络的枢纽,核心层应该尽可能快的交换数据包而减少具体的数据包的路由运算以避免降低数据包的交换速度,因此定义核心层为OSPF的骨干域Area0,以建立起OSPF自治系统的主干区域,负责OSPF区域路由信息的交换。2、汇聚层校园网的汇聚层包括理工楼的局域采用多台具有路由功能的CISCO4006CISCO3550-2G交换机,正是在汇聚层中。校园网根据覆盖的地理范围与所连接的节点数量被优化组成为若干个OSPF区域,从而构成一个具有核心层汇聚层和接入层的三级网络结构。3、接入层只有在地址连续情况下路由器能根据IP地址的前几位决定数据的转发和路由的处理过
15、程。为此只有在接入层中根据逻辑区域的划分与VLSM技术的使用,连续的划分IP地址,从而有效的支持汇聚层的路由汇总的需要。3.6流量分析1、连接性连接性也称为可用性、连通性或者可达性,学校需要高效率的带宽服务,更严格的说应该是网络服务的基本能力或属性。2、丢包率丢包率是指丢失的IP包与所有的IP包的比值。许多因素会导致数据包在网络上传输时被丢弃,例如数据包的大小以及数据发送时链路的拥塞状况等。不同业务对丢包的敏感性不同,在多媒体教学中,丢包是导致图像质量降低和断帧的根本原因。3、时延时延定义了一个IP包穿越一个或多个网段所经历的时间。时延由固定时延和可变时延两部分组成。固定时延基本不变,由传播时延和传输时延构成;可变时延由中间路由器处理时延和排队等待时延两本分构成。4、带宽分析带宽一般分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其他背景流量时,网络能够提供的最大吞吐量。可用带宽是
