-東源東江中學校園網(wǎng)規(guī)劃和設計-1

HEYUANPOLYTECHNIC設計（論文）題東源東江中學校園網(wǎng)規(guī)劃與設計院（系）：電子與信息工程學院院（系）：電子與信息工程學院學生姓名:陳乃敬學生姓名:陳乃敬專業(yè)班級:10專業(yè)班級:10計算機網(wǎng)絡技術（1）班李錦智學號:李錦智指導教師:2013年5月1日 畢業(yè)設計（論文） 畢業(yè)設計（論文）頁共23頁第四章網(wǎng)絡安全及其他方面的管理4.1網(wǎng)絡的規(guī)劃4.1.1可靠性設計在網(wǎng)絡可靠性設計中，核心層設備之間采用 1000兆光纖連接，采用鏈路聚合技術,允許每條冗余連接鏈路實現(xiàn)浮在分擔，設置熱備份路由協(xié)議（HSRP來保證核心交換機冗余，在網(wǎng)絡出現(xiàn)問題時，能迅速啟動備用路徑。采用CiscoVLANPriority 技術實現(xiàn)多練路之間的負載均衡，針對不同出口鏈路,將局域網(wǎng)內(nèi)多個VLAN分別設置不同優(yōu)先級實現(xiàn)出口流量的負載均衡。使用帶有冗余電源Cisco交換機作為核心層和分布層的設備，在電源失靈的情況下,提供電源的冗余。服務器冗余：采用全冗余的服務器方式和服務器的硬盤進行鏡像相結(jié)合，數(shù)據(jù)在兩個或多個服務器上進行復制和自己硬盤進行復制相結(jié)合。4.1.2安全性設計在網(wǎng)絡安全中，主要考慮內(nèi)網(wǎng)與外網(wǎng)和鏈接，采用 CiscoSecurePIX525防火墻和Cisco3600路由器。作為全網(wǎng)安全核心CiscoSecurePIX525防火墻不但具有防火墻功能而且還具有IP（Ipsec）虛擬專用網(wǎng)（VPN能力，可以在兩個PIX.、一個PIX和任意CiscoVPN路由器、一個PIX和Cisco安全VPN客戶機之間創(chuàng)建和端接VPN隧道。服務器對外部訪問者指提供有限的訪問，它有外部訪問的重要的數(shù)據(jù)（比如說網(wǎng)頁），不過這些數(shù)據(jù)在堅固的保護之下，外部訪問者只能訪問這些服務，提供的服務包括：匿名FTP服務，WE服務，DNS,TELNET終端訪問控制器訪問控制系統(tǒng)。

4.1.3動態(tài)路由協(xié)議本方案設計采用CISCO三層交換設備，建議采用OSPFl勺等值路由平衡技術來保障匯聚層和核心層設備之間數(shù)據(jù)的可靠傳送，為兩層之間數(shù)據(jù)流量提供合理、安全的負載均衡機制，以提高網(wǎng)絡性能。虛擬子網(wǎng)的劃分均衡機制，以提高網(wǎng)絡性能。虛擬子網(wǎng)的劃分根據(jù)校園地理環(huán)境、管理要求我們采用劃分虛擬子網(wǎng)（VLAN，保證校園網(wǎng)絡的安全性，VLAN之間的訪問必須通過三層功能來實現(xiàn)。CISCO交換機支持VLAN的多種劃分,目前VLAN劃分主要方式有基于端口的VLAN劃分、基于MAC地址的VLAN劃分、基于網(wǎng)絡層的VLAN劃分等方式以及這三種方式的混合使用。方式一是根據(jù)用戶接入的交換機端口來劃分其所屬的VLAN這種方式的優(yōu)點是配置簡單方便，但用戶移動時需要換其接MAC入端口，管理員需對交換機進行重新配置；第二種方式是根據(jù)計算機的MAC地址來劃分,MAC其特點是不必重新對交換機進行配置，但需在交換機上創(chuàng)建并維護一個較大的用戶地址列表；第三種方式通常利用IP子網(wǎng)以及IP地址來劃分VLAN其優(yōu)點是配置簡單,但安全性較差。本方案設備從核心層交換機CiscoCatalyst6500 、接入層交換機CiscoCatalyst2950-24，到接入層交換機設備支持IEEE802.1Q標準，保證了該項技術的順利實施。這樣，通過在接入層交換機為用戶配置不同的 VLAN進行端口隔離，所有的用戶端口只能通過接入層交換機或核心交換機來實現(xiàn)互連。 在核心層交換機通過訪問控制列表進行相應的控制，使得用戶的訪問得到完全的控制。4.2網(wǎng)絡的冗余設計 網(wǎng)絡設備的冗余設計采用冗余配置的單機或多臺設備互為熱備。當然最好的方式是多臺設備互為熱備。但是這種方案一般情況下比較昂貴。 網(wǎng)絡鏈路的冗余設計往往鏈路的冗余設計是最易被實現(xiàn)和被用戶接受的冗余方式。 只要原因是這種冗余設計構(gòu)思簡單而且便宜。鏈路的冗余實現(xiàn)可以通過多種方式，目前比較流行的是鏈路聚合技術（802.3ad）和生成樹技術（802.1D）。這兩種技術可用于不同的環(huán)境和需求,也各有優(yōu)勢。當然鏈路聚合技術可與生成樹技術配合使用。鏈路聚合技術針對點對點的應用，常用在核心多機熱備和二級交換機與核心的單機連接。生成樹技術常用于二級交換機與核心交換機連接的鏈路上。鏈路聚合技術提供了寬展帶寬、鏈路熱備、均衡負載和快速切換（一般小于4秒）的特征。生成樹技術是一個純備份的技術，在應用的時候有一條或多條鏈路處在阻塞（blocking）狀態(tài)，只有在主鏈路斷掉之后，備份鏈路才會啟動。這個過程大概需要45秒鐘（收斂時間）。鏈路聚合技術相對投資較大（端口、路線），但是可靠性好。生成樹協(xié)議早就成為工業(yè)標準，兼容性非常好，而且比較便宜，但是浪費鏈路帶寬。很多廠商也開發(fā)了代替生成樹協(xié)議的廠商標準，只要是減少收斂時間。目前IEEE802.1W被成為第二代生成樹技術，可以代替?zhèn)鹘y(tǒng)的 802.1D。802.1W將收斂時間縮短為4秒之內(nèi)。4.3服務器的冗余設計服務器的冗余設計包括了很對方面：鏈路、硬件和軟件等。鏈路的冗余可采用雙網(wǎng)卡方式或在單片機多口網(wǎng)卡上使用鏈路聚合技術；硬件的冗余可以采用雙服務器熱備的方法；軟件的冗余可以采用雙服務器軟件鏡像的方法。冗余設計是網(wǎng)絡設計的重要部分,是保證網(wǎng)絡整體可靠性能的重要手段。但是投資也將增加。當然， 3個層次的設計可以貫穿于整個網(wǎng)絡，每個冗余設計都有針對性。我們也可以選擇其中一部分或幾部分應用到網(wǎng)絡中以針對重要的采用。匯聚層在這里考慮了兩種情況:（1）對于突發(fā)流量大、控制要求高、需要對QoS有良好支持的應用（多媒體流-語音、視頻和數(shù)據(jù)的融合應用，比如多媒體教室和教學），選擇高性能但是性價比高的DCRS-6512多層交換機;（2）對于沒有特殊需求（多媒體傳輸、安全、控制等）的子網(wǎng)，比如后勤子網(wǎng)。一般情況河北科技大學理工學院使用性能中等的二層交換機設備。接入層針對不同的接入密度可采用DCS-3726S24口可堆疊交換機或DCS-375048口交換機。通常多媒體教室人數(shù)都在50人左右，采用神州數(shù)碼為教育城域網(wǎng)“客制化”的DCS-1064DCS-1064可以提供64個10/100M以太網(wǎng)接口，完全適應校園網(wǎng)多媒體教師的需求。如果接入點數(shù)量在24口以下，如學生宿舍樓等，也可以選擇24口獨立交換DCS-3726S還可實現(xiàn)堆疊組機DCS-3526這三款交換機均可支持百兆光纖和千兆上聯(lián),內(nèi)跨交換機的千兆聚合，能夠有效提高上聯(lián)鏈路的帶寬和可靠性，消除網(wǎng)絡瓶頸，達到DCS-3726S還可實現(xiàn)堆疊組教師端配置多媒體教學終端，完成VOD/AOD課件點播、只能教學廣播、數(shù)字監(jiān)控、網(wǎng)絡中控等多媒體教學功能。在主控室配置相應的硬件和軟件完成全網(wǎng)的應用功能及管理。4.4網(wǎng)絡業(yè)務441校園網(wǎng)管理信息系統(tǒng)教學管理部分：教學管理、師資管理、教材管理、設備管理 學生管理部分：學籍管理、考績管理、招生管理、分配管理行政管理部分：校情管理、校情查詢、綜合查詢、人事管理通用服務部分：通用查詢與報表系統(tǒng)、系統(tǒng)管理 5.2校園網(wǎng)計算機教學系統(tǒng)計算機教學系統(tǒng)主要包括多媒體網(wǎng)絡教室、多媒體視頻點播、多媒體視頻廣播系統(tǒng)。針對河北科技大學理工學院的具體情況，我們?yōu)閷W校設計了一個能夠充分實現(xiàn)學校先進教育思想的現(xiàn)代化的教學平臺。改方案實現(xiàn)了多媒體網(wǎng)絡教學功能，它采用自有的多媒體教學軟件，即多媒體視頻點播系統(tǒng)和多媒體視頻廣播系統(tǒng)，并充分利用校園網(wǎng)高帶寬的優(yōu)勢，在計算機數(shù)據(jù)網(wǎng)絡中實現(xiàn)了校園閉路電視的全部功能，可以對觀摩教室進行現(xiàn)場直播，為現(xiàn)代化教學提供了一個新的平臺。4.4.2校園網(wǎng)站校園網(wǎng)不是一個獨立的、封閉的體系，校園網(wǎng)與 Internet互連后，校園網(wǎng)用戶在權(quán)限允許的范圍內(nèi)可以使用Internet上的Web訪問、E-maiI收發(fā)、FTPTelnet、BBS新聞組、討論組、個人主頁等服務。校園網(wǎng)站Internet，用于宣傳學校形象、教學信息發(fā)布、提供信息查詢等，以后可成為網(wǎng)上教學的渠道。網(wǎng)站主頁的設計，主要由老師創(chuàng)意，學生制作，體現(xiàn)學生的創(chuàng)造性，培養(yǎng)學生的動手能力。

4.5方案設計特點及優(yōu)勢4.5.1高性能產(chǎn)品及優(yōu)秀的網(wǎng)管軟件CiscoCatalyst6500 交換機是具備先進擴展性能的交換機組，即使在重載數(shù)據(jù)流業(yè)務負荷下，其結(jié)構(gòu)也能保證極好的性能。并且它提供了目前最高的帶寬支持，可支持千兆的以太網(wǎng)連接，其可靠的交換模式為將來的多媒體通信業(yè)務做好準備。Cisco廠家的局域網(wǎng)交換產(chǎn)品在近幾年中幾個主要的交換集線器評測中，以其卓越的性能，名列前茅。多項測試結(jié)果證明， CiscoCatalyst6500交換機與其它產(chǎn)品相比,在通訊速度、帶寬、擁塞管理、網(wǎng)絡管理功能等數(shù)項指標，都具有明顯的先進性。CiscoWork網(wǎng)絡管理軟件是業(yè)界優(yōu)秀的網(wǎng)管平臺，除具有網(wǎng)絡管理的各項功能外,還具備清晰、易懂的圖形界面，用戶使用起來得心應手。并且還可以提供更高更廣泛的網(wǎng)絡管理，這是其他網(wǎng)絡廠家做不到的。并有選擇地應用可簡化管理模式，提供管理性能，提高網(wǎng)絡的安全性。4.5.2網(wǎng)絡安全性所選擇地Cisco產(chǎn)品提供多種網(wǎng)絡連接，如網(wǎng)段交換、以太網(wǎng)交換、高速以太網(wǎng)交換、千兆以太網(wǎng)主干、冗余主干。如要以后網(wǎng)絡擴展，只需要選擇所需的產(chǎn)品即可。Cisco作為網(wǎng)絡核心的CiscoCatalyst6500主干交換機選配備份電源，保障不會因電源故障致使整個網(wǎng)絡癱瘓，所有堆疊內(nèi)交換機都是相互獨立的，不會因某個設備或某個端口的故障影響其他設備和端口，也就是說主干交換機不存在單一故障點。另外，CiscoCatalyst6500交換機可以設計成具有冗余的主干連接方式， 保證主干線路的容錯能力。4.5.3高性價比、高擴展性CiscoCatalyst2950-24交換機是可堆疊交換機，可通過其高速的堆疊總線連接多個交換機，無阻賽地實現(xiàn)升級。Cisco設備廠商作為IT業(yè)知名的公司，其擁有完整的產(chǎn)品系列，并且作為IT業(yè)中技術的先驅(qū)，其產(chǎn)品還在不斷地發(fā)展和擴大。作為校園網(wǎng)的設計，可提供完善的解決方案，作為學校模式的Internet，我們提供高性能的交換機和路由器，并且提供Server、網(wǎng)絡打印機和網(wǎng)絡視頻產(chǎn)品來完成一個全面的解決方案。4.5.4技術標準化、技術先進成熟交換技術是近幾年發(fā)展起來的先進的網(wǎng)絡技術，由于它具有高傳輸速率適合多媒體應用，并且有效解決了傳統(tǒng)網(wǎng)絡中帶寬有限等等諸多問題，因此具有廣闊的發(fā)展前景。此方案選擇交換技術和快速以太網(wǎng)作為網(wǎng)絡主干不但具有很高的網(wǎng)絡帶寬， 而且能有效保護用戶的投資。同樣，以太網(wǎng)和千兆以太網(wǎng)技術也已經(jīng)成為先進而成熟的技術，并且被廣泛地應用到很多先進的網(wǎng)絡中去，而交換技術和多種網(wǎng)絡技術的結(jié)合創(chuàng)造了目前最優(yōu)秀的局域網(wǎng)絡。4.6網(wǎng)絡的安全性管理東江校園網(wǎng)一方面面臨著來自互聯(lián)網(wǎng)的諸多威脅如：計算機病毒、黑客入侵等；另一方面高校有相當一部分學生計算機技術水平很高，對于這部分學生總會有極個別有惡作劇行為。相比來自外部的入侵，來自網(wǎng)內(nèi)的攻擊更可怕，危害也更大。同時互聯(lián)網(wǎng)上的大量不良信息如淫穢、反動、迷信等信息也在危害著校園這片凈土。因此，為了保障校園網(wǎng)正常運行并發(fā)揮其應有的作用，做好網(wǎng)絡安全與管理工作具有非常重要的意義。為保證東江校園網(wǎng)絡的安全性，主要從以下幾個方面入手:4.6.1規(guī)范出口管理實施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。對于出口進行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡安全體系能夠得以實施。為校園網(wǎng)的安全提供最基礎的保障。4.6.2配備網(wǎng)絡安全設備校園網(wǎng)通常作為局域網(wǎng)接入互聯(lián)網(wǎng)，因此在局域網(wǎng)和外部網(wǎng)絡接口處配置統(tǒng)一的網(wǎng)絡安全控制和監(jiān)管設備即可將絕大多數(shù)外部攻擊拒之門外。 另外為了不影響校園網(wǎng)的訪問速度，配置安全設備既要考慮到功能同時也必須考慮性能，將配置安全設備后對網(wǎng)絡性能的影響盡可能的降到最低。據(jù)此要求，校園網(wǎng)絡需要配備以下安全設備：硬件防火墻；入侵檢測系統(tǒng)；信息過濾系統(tǒng)；網(wǎng)絡版防病毒系統(tǒng)；網(wǎng)絡故障檢測及診斷設備等。通過配置以上安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡進行系統(tǒng)的防護，預警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡的故障可以迅速定位并解決。463解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認證系統(tǒng)校園網(wǎng)絡基礎安全設施配備后，必須要解決用戶上網(wǎng)身份問題，而身份認證系統(tǒng)是整個校園網(wǎng)絡安全體系的基礎，用戶身份如果得不到落實，即便發(fā)現(xiàn)了安全問題也無法有效的解決。同時全校的統(tǒng)一身份認證系統(tǒng)也是學校信息化建設中必須要考慮的一個非常重要建設內(nèi)容。因此建立基于校園網(wǎng)絡的全校統(tǒng)一身份認證系統(tǒng)，不僅能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。4.6.4校園網(wǎng)絡安全重在管理要嚴格規(guī)范對上網(wǎng)場所的管理，不僅要求上網(wǎng)用戶通過統(tǒng)一的校級身份認證系統(tǒng)確認，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務器上。同時配備專門的安全管理人員，出臺網(wǎng)絡安全管理制度。網(wǎng)絡安全面臨的問題是多樣化的，解決這些問題的技術也是多樣化的，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時進行漏洞修補和定期檢查，保證對網(wǎng)絡的監(jiān)控和管理。除此以外，還要開展關于網(wǎng)絡知識的培訓工作，指導廣大師生正確使用校園網(wǎng)這一資源，引導大家養(yǎng)成良好的上網(wǎng)習慣，自覺做到文明上網(wǎng)共同營造一個健康積極的網(wǎng)絡氛圍。結(jié)論東江中學的網(wǎng)絡建設必然會對學校的信息化起到巨大的推動作用， 為學校的辦公提供簡單、有效、便捷的理想環(huán)境，為學校的教育教學改革提供迅速有效的途徑。由于建立了校園網(wǎng)，一方面縮短了學校與外界的距離，利用電子郵件和 Internet等，擴大了學校與外界的交流；另一方面，構(gòu)建了以Internet為基礎的管理信息系統(tǒng)，推動了學校的信息化建設，為學校今后的快速發(fā)展準備了條件。教育要面向現(xiàn)代化、面向世界、面向未來，首先要面向網(wǎng)絡，校園網(wǎng)的建設任重而道遠，它的功能有待于不斷的研究、開發(fā)、探索和創(chuàng)新。學校領導應以充分的支持和實踐，帶領廣大教師確立現(xiàn)代教育的新思想、新觀念，深入現(xiàn)代教育技術的研究和實踐，建好、管好、用好校園網(wǎng)，推動現(xiàn)代教育技術的不斷發(fā)展?，F(xiàn)今的網(wǎng)絡系統(tǒng)包括網(wǎng)絡交換機以及疊加其上的語音、數(shù)據(jù)、視頻裝置以及可變化的軟，硬件應用。它的開放式設計意味著更好的整體化及高品質(zhì)應用的能力。提供的帶寬可適合話音，圖像，數(shù)據(jù)的傳輸，這種帶寬結(jié)合設備廠商優(yōu)秀網(wǎng)管模式，可以向用戶提供面對面的通訊?？梢栽谛@內(nèi)部實現(xiàn)資源高度共享，為教學、科研、管理提供服務，為計劃、組織、管理與決策提供基礎信息和科學手段；支持教育教學改革，提高教育技術的現(xiàn)代水平和教育信息化程度、為學校教師的備課、課件制作、教學演示提供網(wǎng)絡環(huán)境；通過互聯(lián)網(wǎng)、錄像機、掃描儀、數(shù)碼相機等各種渠道獲得多媒體資料，實現(xiàn)素材收集、電子備課功能。培養(yǎng)創(chuàng)新人才，提高學生收集處理信息的能力、獲取新知識的能力、分析和解決問題的能力、語言文字表達能力以及團結(jié)協(xié)作和社會活動的能力，使學生能自主學習、協(xié)商學習、發(fā)現(xiàn)探究式學習以及自我評價，為學生的全面發(fā)展創(chuàng)造相應的條件；實現(xiàn)辦公自動化，提供與上級教育部門、社會、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學信息查詢等服務，提高工作效率和管理水平；總之，校園網(wǎng)的建設能促進教師和學生盡快提高應用信息技術的水平， 學生提供了一個實踐的環(huán)境，為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫。參考文獻[1][2][3][4]⑸⑹[7][8][9][10][11][12][13]電子工業(yè)出版社2009年