校園網(wǎng)設(shè)計方案

文檔下載站更多資源下載文檔下載站更多資源下載本站所有資源均來自互聯(lián)網(wǎng)或本站會員提供，如有侵犯您的版權(quán)或其他問題，請通知管理員，我們會在最短的時間回復(fù)您!本站所有資源均來自互聯(lián)網(wǎng)或本站會員提供，如有侵犯您的版權(quán)或其他問題，請通知管理員，我們會在最短的時間回復(fù)您!文檔下載站更多資源下載本站所有資源均來自互聯(lián)網(wǎng)或本站會員提供，如有侵犯您的版權(quán)或其他問題，請通知管理員，我們會在最短的時間回復(fù)您!校園網(wǎng)設(shè)計方案一、CHINANET網(wǎng)絡(luò)概況中國寬帶互聯(lián)網(wǎng)（CHINANET）是由中國電信獨家投資建設(shè)的國家Internet主干網(wǎng)絡(luò)，擁有獨立的國際出口，并與國內(nèi)其他骨干網(wǎng)進行高速互聯(lián)。到目前，全國上網(wǎng)用戶總數(shù)接近3000萬，其中中國電信用戶近2000萬。為了服務(wù)廣大用戶，推動互聯(lián)網(wǎng)的發(fā)展，中國電信在拓寬骨干網(wǎng)絡(luò)上不斷加大力度。截止2000年底，全國互聯(lián)網(wǎng)骨干網(wǎng)速率提高了16倍以上，寬帶增加了100多倍，基本互聯(lián)帶寬達(dá)到2。5G，大規(guī)模擴容的骨干網(wǎng)網(wǎng)絡(luò)帶寬達(dá)到800G，中國電信寬帶互聯(lián)網(wǎng)國際出口總帶寬為4642M，超過總帶寬的60%江西電信在163高速互聯(lián)網(wǎng)建設(shè)基礎(chǔ)上，依托江西電信豐富的光纖傳輸資源，正同步開展全省寬帶IP城域網(wǎng)的建設(shè)，大力開發(fā)豐富多彩的寬帶應(yīng)用業(yè)務(wù)，全面解決，信息高速公路，最后一公里的接入問題，實現(xiàn)，千兆到下區(qū)，百兆到摟層，十兆到家庭的寬帶化接入目標(biāo)。二、校園組網(wǎng)方案2.1.網(wǎng)絡(luò)結(jié)構(gòu)總體設(shè)計 2.1.1建設(shè)背景 Internet和IP網(wǎng)的發(fā)展豐富了網(wǎng)絡(luò)資源，特別在中國電信公司提出實現(xiàn)，千兆到小區(qū)，百兆到樓層，十兆到家庭的寬帶化接入目標(biāo)。如何實現(xiàn)網(wǎng)絡(luò)資源和信息資源的高度共享，更好的利用網(wǎng)絡(luò)拓展業(yè)務(wù)深度，實現(xiàn)網(wǎng)絡(luò)一體化，Internet和IP技術(shù)的發(fā)展使得高校利用公共網(wǎng)絡(luò)構(gòu)建高校專網(wǎng)成為可能，為建設(shè)全新的校園網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)資源和信息資源的高度共享，更好的利用網(wǎng)絡(luò)拓展高校品牌，隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展和學(xué)校計算機設(shè)施的不斷增長，現(xiàn)有網(wǎng)絡(luò)的Internet接入速度已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足需要，并且網(wǎng)上教學(xué)，遠(yuǎn)程教育是以太網(wǎng)為網(wǎng)絡(luò)平臺，同時，廣大的學(xué)生宿舍區(qū)，教職工宿舍區(qū)的高速上網(wǎng)需求無法得到滿足。因此，建設(shè)寬帶IP校園網(wǎng)的構(gòu)想，其目標(biāo)是，通過建設(shè)一個高速。安全，可靠及可擴充的寬帶IP校園網(wǎng)絡(luò)系統(tǒng)，旨在實現(xiàn)校內(nèi)信息的高度共享和傳遞，高起點。高質(zhì)量地全面實現(xiàn)學(xué)校教學(xué)，科研及管理的信息化，同時，通過中國寬帶互聯(lián)網(wǎng)在高等專科學(xué)校的延伸，實現(xiàn)高等專科學(xué)校校園網(wǎng)絡(luò)體系內(nèi)部教學(xué)區(qū)、學(xué)生宿舍區(qū)、教職工宿舍區(qū)三大有機組成部分的高速網(wǎng)絡(luò)互聯(lián)。并在此基礎(chǔ)上，建立對外信息交流的高速通道，實現(xiàn)與中國寬帶互聯(lián)網(wǎng)（CHINANET）的高速互聯(lián)。2.1.2建設(shè)原則寬帶IP校園網(wǎng)的基本建設(shè)定位為電信級的寬帶IP網(wǎng)絡(luò)，是中國電信163高速互聯(lián)網(wǎng)及景德鎮(zhèn)電信寬帶IP城域網(wǎng)在學(xué)校的自然延伸和有機組成，并共同融合為高速寬帶IP信息服務(wù)平臺。首先，寬帶IP校園網(wǎng)是一個IP技術(shù)為主的網(wǎng)絡(luò)系統(tǒng)，順應(yīng)數(shù)據(jù)網(wǎng)絡(luò)的發(fā)展趨勢，提供對絕大部分?jǐn)?shù)據(jù)業(yè)務(wù)即IP業(yè)務(wù)的直接支持。其次，寬帶IP校園是一個寬帶IP網(wǎng)絡(luò)，以滿足網(wǎng)絡(luò)數(shù)據(jù)流量的迅速增長，提供大容量高速傳輸?shù)哪芰Γ掀涓咚傩畔⒎?wù)平臺的角色。同時，寬帶IP校園網(wǎng)是一個電信級網(wǎng)絡(luò)，與純粹的企業(yè)自用為主的企業(yè)級網(wǎng)絡(luò)相比，在可靠性`服務(wù)質(zhì)量QOS`業(yè)務(wù)類別方面有高保障。總之，寬帶IP校園網(wǎng)是以TCP/IP協(xié)議為基礎(chǔ)。具有大容量高速度傳輸能力的。可靠穩(wěn)定保證服務(wù)質(zhì)量的電信級寬帶IP網(wǎng)絡(luò)，是中國電信163高速互聯(lián)網(wǎng)及景德鎮(zhèn)電信寬帶IP城域網(wǎng)在高等專科學(xué)校的自然延伸和有機組成。2.1.3網(wǎng)絡(luò)總體規(guī)劃由于寬帶網(wǎng)的特性要求，建議寬帶IP校園網(wǎng)整個網(wǎng)絡(luò)的建設(shè)和實現(xiàn)選用基于FTTx-LAN的組網(wǎng)技術(shù)。同時根據(jù)實際的需要，考慮最終節(jié)點的容量，交換節(jié)點的性能，路由拓?fù)涞挠喽?，骨干路由?jié)點的性能，交換接點的端口密度等等，建議整個網(wǎng)絡(luò)規(guī)劃參照Internet骨干路由的方法進行設(shè)計，再層次上采用3層構(gòu)架；即校園網(wǎng)主干層，分布層。訪問層。并分別有校園網(wǎng)主干帶3層路由功能的交換機`校園網(wǎng)二層匯集交換機及終端用戶等主要設(shè)備構(gòu)成。這種層次性結(jié)構(gòu)一方面保證了IP架構(gòu)的完整和其它網(wǎng)絡(luò)的對接性（實現(xiàn)寬帶IP網(wǎng)，保證將來的擴容能力，和異種網(wǎng)的對接能力等等）。另一方面保證了整個系統(tǒng)的控制能力：如路由的控制、各種數(shù)據(jù)流的Qos/Cos、系統(tǒng)的冗余，等等。各層次的基本規(guī)劃原則為：*校園網(wǎng)主干層高速轉(zhuǎn)發(fā)數(shù)據(jù)，實現(xiàn)策略由及管理控制流量，其設(shè)備的主要工作是交換、轉(zhuǎn)發(fā)數(shù)據(jù)包。*校園網(wǎng)分布層負(fù)責(zé)聚和校園內(nèi)容教學(xué)區(qū)`學(xué)生宿舍區(qū)教職工宿舍區(qū)三大區(qū)域的路由路徑，并且收斂數(shù)據(jù)流量后向校園網(wǎng)主干層匯集。校園網(wǎng)訪問層將流量饋入分布層網(wǎng)絡(luò)，并且提供其他的邊緣服務(wù)2.1.4網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計FTTX-LAN方式是采用千兆以太網(wǎng)交換技術(shù),利用光纖+超5類線方式實現(xiàn)“千兆到校園、百兆到大樓、十兆到機房/宿舍”的寬帶信息化校園建設(shè)方案，使用FTTX+LAN方式,主要解解決用戶接入Internet速度太低的問題，在提供告高速上網(wǎng)的同時,也能夠提供基于IP技術(shù)的所有業(yè)務(wù).下面是校園網(wǎng)接入Internet的網(wǎng)絡(luò)示意圖：從上圖可以看出，寬帶IP校園網(wǎng)采用三級網(wǎng)絡(luò)結(jié)構(gòu)，其中主干網(wǎng)絡(luò)采用第三層千兆以太網(wǎng)交換機，采用光纖上聯(lián)，速度高達(dá)1G；下聯(lián)同樣采用光纖介質(zhì),速度達(dá)100M；樓宇接入網(wǎng)絡(luò)采用10M以太網(wǎng)二層交換機(100M上聯(lián)),可以保證每臺終端上下速率均達(dá)到10M。整網(wǎng)形成星型網(wǎng)絡(luò)結(jié)構(gòu).校園網(wǎng)可以分為三個子網(wǎng)：辦公區(qū)子網(wǎng)、學(xué)生區(qū)子網(wǎng)、教職工宿舍區(qū)子網(wǎng)。三個子網(wǎng)之間通過主干網(wǎng)核心三層交換機相連,內(nèi)部互聯(lián)速率為100M.*辦公區(qū)子網(wǎng):教學(xué)和辦公大樓內(nèi)，以100M光纖到達(dá)各樓層，終端與特網(wǎng)連接的速率初期限制在10M，以后可以根據(jù)實際需要進行提升?？紤]到網(wǎng)絡(luò)的安全性，可以采用100M中斷能力的硬件防火墻充當(dāng)百兆交換機.*學(xué)生區(qū)子網(wǎng):學(xué)生宿舍將以100M光纖到達(dá)各大樓。該子網(wǎng)將為每間宿舍提供一個10M寬帶接入點，并且備足夠的交換處理能力保證網(wǎng)絡(luò)性能。由于學(xué)生流動性大，針對這種情況，可以通過PPPOE虛擬撥號方式在千兆交換機于用戶之間建立點到點的連接,完成用戶的認(rèn)證.PPPOE方式提供基于帳號的用戶管理機制,適合于移動終端的接入.*教職工宿舍區(qū)子網(wǎng):該子網(wǎng)類似學(xué)生區(qū)子網(wǎng)，將為每套/間教職工宿舍提供一個10M帶寬的接入點.辦公區(qū)子網(wǎng)類似學(xué)生區(qū)子網(wǎng)將采用VLAN（虛擬局域網(wǎng)）用戶接入方式，千兆交換機通過VLAN的方式為每用戶端口固定分配VLAN-ID，通過動態(tài)地址分配獲得用戶的IP地址，并通過對用戶的VLAN-ID、MAC、IP地址三者的綁定關(guān)系確定用戶的合法性，適合與固定的終端的接入。由于教師的一些特殊要求和實際情況也可采用VLAN和PPPON并存的接入方式。假如上網(wǎng)時間長可采用包月的記費方式，則需要VLAN方式接入；上網(wǎng)時間短,可按時記費，則需用PPPOE方式接入。教師宿舍區(qū)子網(wǎng),具有靈活,機動,適應(yīng)性強，能夠滿足教師各方面的多種需求。工程網(wǎng)絡(luò)拓?fù)鋱D參見附件(一):2.2組網(wǎng)設(shè)備2.2.1設(shè)備選用原則針對以太網(wǎng)多元化,采用千兆以太網(wǎng)交換設(shè)備,千兆光口上行連接至電信ISP.并對IP報文的二層封裝處理,可對用戶進行二層的隔離和受控互訪,用戶間的互訪必須經(jīng)過系統(tǒng)配置,充分保證網(wǎng)絡(luò)的安全及用戶的安全.用戶認(rèn)證:VLAN方式上網(wǎng)的用戶,每個用戶斷口均需要進行開通配置,即VLAN-ID的設(shè)置.只有經(jīng)過配置的端口才能使用.用戶接在未開啟的端口時,任何數(shù)據(jù)報文均會被拋棄,用戶將無法申請到IP地址,也無法訪問任何網(wǎng)站.可以有效限制非法用戶的接入.3.2.2網(wǎng)絡(luò)系統(tǒng)可靠保證景德鎮(zhèn)寬帶IP城域網(wǎng)分別通過波分復(fù)用電路與南昌.九江相連,CHINANET國家級、省級.地區(qū)級網(wǎng)絡(luò)的中斷電路全部為雙向配置,是國內(nèi)可靠性最高的互聯(lián)網(wǎng)絡(luò).所有光纖.超五類等采用優(yōu)質(zhì)產(chǎn)品,景德鎮(zhèn)電信將按照最嚴(yán)格的標(biāo)準(zhǔn)進行施工,每一根線路都將經(jīng)過全面的測試,傳輸.線路可靠性高.景德鎮(zhèn)電信擁有充分的實力和經(jīng)歷,承落提供7*24小時的電信級網(wǎng)絡(luò)管理.維護和服務(wù).2.3IP地址規(guī)劃和路由策略2.3.1IP地址分配對校園網(wǎng)IP地址分配建議采用如下規(guī)劃原則:*網(wǎng)絡(luò)系統(tǒng)的編址方案利用CIDR和可變長子網(wǎng)掩碼技術(shù),并支持IPv6;*在整個網(wǎng)絡(luò)環(huán)境中必須保持IP地址的唯一性;*為提高路由處理效率,實現(xiàn)理想的路由匯總,縮減路由表項數(shù),盡量為同一網(wǎng)絡(luò)分配連續(xù)地址;*地址分配具有層次性,便于管理,局部的變動不影響網(wǎng)絡(luò)的其他部分;*為了滿足不斷增長的IP地址需求,并實現(xiàn)與其他網(wǎng)絡(luò)互聯(lián)和內(nèi)部子網(wǎng)互聯(lián)的有效控制和管理,建議校園網(wǎng)采用內(nèi)部保留地址,給將來的網(wǎng)絡(luò)發(fā)展留下充分的余地;*采用DHCP-Relay協(xié)議獲得用戶的IP地址,辦公區(qū)子網(wǎng).教師區(qū)子網(wǎng)采用VLAN接入方式,學(xué)生區(qū)子網(wǎng)采用PPPoS接入方式,用戶全部由動態(tài)地址分配池獲得地址.大小為1/2個C類地址塊,其中將對學(xué)校的WEB,FTP等服務(wù)器分配靜態(tài)IP地址.PPPoS接入方式需單獨定義域和分配地址段,針對教師宿舍和學(xué)生宿舍的特點,分配多個不同的地址段,每段大小為1/4個C類地址塊.2.4網(wǎng)絡(luò)安全校園網(wǎng)將具有電信級的可靠性和安全性.針對網(wǎng)絡(luò)安全問題,采用三層分級防火墻,第一層防護,在服務(wù)器增加防火墻軟件或通過硬件進行安全過濾;第二層防護,千兆交換機提供了強大的防火墻功能,可通過增加防火墻列表;第三層防護,在匯聚層核心交換機增加防火墻,修改訪問列表.寬帶骨干網(wǎng)絡(luò)設(shè)備增加ACL訪問表根據(jù)擁護側(cè)和網(wǎng)絡(luò)側(cè)的業(yè)務(wù)流量訪問限制，按照用戶分別設(shè)置用戶訪問本地信息網(wǎng)或廣域網(wǎng)的權(quán)限。以保護重要的服務(wù)器地址。保護系統(tǒng)用戶。限制對外訪問。防止網(wǎng)絡(luò)攻擊,提供了一定程度的防火墻的功能并實時更新.2.4.1廣域網(wǎng)安全策略1)采用分層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)2)對網(wǎng)絡(luò)連接設(shè)備實行口令管理,并通過網(wǎng)管系統(tǒng)實時監(jiān)控其狀態(tài)；3)通過景德鎮(zhèn)城域網(wǎng)的網(wǎng)管平臺,系統(tǒng)負(fù)責(zé)全網(wǎng)骨干層的路由管理、網(wǎng)絡(luò)連接設(shè)備的管理、全網(wǎng)安全的管理；3.4.2校園網(wǎng)安全策略安全策略是校園網(wǎng)安全的重點,主要采用的技術(shù)有訪問控制、監(jiān)視、檢查、認(rèn)證、加密等，景德鎮(zhèn)電信公司認(rèn)為，保證網(wǎng)絡(luò)安全需要在管理方面:1)網(wǎng)絡(luò)中的關(guān)鍵設(shè)備應(yīng)放置于可靠的機房,并有健全的管理制度和措施;2)加強安全檢查,定期對網(wǎng)絡(luò)和系統(tǒng)進行掃描、檢查和巡視;3)培養(yǎng)師生的安全意識，加強口令管理，限制用戶采用容易破懌的口令；4)保持對國際上先進安全技術(shù)的跟蹤。學(xué)習(xí)和研究,及時進行技術(shù)升級.在技術(shù)方面:1)通過VLAN技術(shù),控制網(wǎng)絡(luò)流量,提供網(wǎng)絡(luò)效率,防止網(wǎng)絡(luò)偵聽(sniffer);2)不同的VLAN,可以根據(jù)功能區(qū)域的不同,設(shè)定不同的安全級別；對于重要網(wǎng)絡(luò)設(shè)備和管理系統(tǒng)，應(yīng)設(shè)置最高的安全級別；3)對于向外提供信息服務(wù)的重要服務(wù)器,關(guān)閉不需要開放的服務(wù)端口，限制用戶的操作權(quán)限，防止非法操作；4)采用訪問控制表進行訪問限制，過濾不正當(dāng)?shù)脑L問和惡意攻擊；5)通過防病毒軟件和適當(dāng)?shù)膫€人電腦網(wǎng)絡(luò)設(shè)置,建立桌面級的系統(tǒng)安全；6)校園網(wǎng)可以通過DHCP服務(wù)器,實現(xiàn)動態(tài)地址分配與認(rèn)證,實現(xiàn)對內(nèi)信息內(nèi)容的訪問控制。2.5網(wǎng)絡(luò)的先進性和擴展性2.5.1先進性*CHINANET是國內(nèi)目前技術(shù)最先進的互聯(lián)網(wǎng)絡(luò),校園網(wǎng)作為它的一個有機組成部分,直接繼承了CHINANET的先進性;*采用FTTx+LAN方式組網(wǎng),可以提供比現(xiàn)在快上百倍的Internet接入速率,足夠滿足近期.中期的網(wǎng)絡(luò)應(yīng)用需求;*校園骨干網(wǎng)絡(luò)采用三層交換,擁有強大的以太網(wǎng)交換能力和較強的路由處理能力;*樓宇接入網(wǎng)絡(luò)采用交換式以太網(wǎng),可以保證每臺終端的連接速度；*針對不同的用戶群體,辦公區(qū)和教師宿舍區(qū)采用VLAN技術(shù),可以有效避免廣播風(fēng)暴.學(xué)生區(qū)采用PPPOE技術(shù),可適用于流動的學(xué)生群體,于是也可有效避免廣播風(fēng)暴.2.5.2擴展性*根據(jù)用戶不同需求,提供多種多樣網(wǎng)絡(luò)接口,有ATM接口.以太網(wǎng)接口.POS接口等,而且根據(jù)業(yè)務(wù)寬帶的需要,接口速率也不相同,有100M.155M*樓宇內(nèi)使用超5類布線,可以支持100M的終端接入速率；*所選用的軟硬件設(shè)備均為模塊化結(jié)構(gòu)設(shè)計,可以通過軟件升級支持新的功能。2.6樓宇線路系統(tǒng)2.6.1電纜（線）*采用100Base-TX系列五類屏蔽電纜（FTP或S-FTP），阻抗為100兆，0.5~0.6mm線徑，標(biāo)準(zhǔn)接口RJ45為8芯。*采用100Base-TX系列五類非屏蔽電纜（UTP），阻抗為100兆，0.5--0.6mm線徑，標(biāo)準(zhǔn)接口RJ45為8芯。這種方式適用于周圍環(huán)境無較強干擾處。*綜合布線系統(tǒng)的電器距離限制在100米之內(nèi)。設(shè)計原則參見相關(guān)規(guī)范。為便于數(shù)據(jù)業(yè)務(wù)、話音業(yè)務(wù)的接入，以太網(wǎng)交換機與綜合布線系統(tǒng)單元配線箱盡可能鄰近放置，以便于跳接；如果不具備鄰近放置的條件，可設(shè)置電話配線箱，采用短段大對數(shù)的五類電纜作過渡連接，單元樓層或信息點較多處可考慮設(shè)分配線箱。數(shù)據(jù)接入建議，使用入戶超5類線的1、2、3、6芯。3.6.2戶內(nèi)布線系統(tǒng)戶內(nèi)布線系統(tǒng)原則上由電信公司和學(xué)院合作解決，并采用如下布線原則：*布線入戶后，宜在靠近入口處或室內(nèi)公共活動范圍適當(dāng)位置預(yù)留過渡盒或出線盒。室內(nèi)可利用標(biāo)準(zhǔn)連接器，經(jīng)過渡盒分接至各使用點出線盒。較大戶型的布線宜考慮增加入戶點，也可集中入戶，經(jīng)小型配線盒（插接式）分接至各出線點。*過度盒可用出線盒加光面板組成。有條件的地方建議設(shè)置家庭通信系統(tǒng)總配線箱，尺寸`結(jié)構(gòu)可根據(jù)所綜合的纜線種類和容量來確定，箱體宜采用金屬材料制作。設(shè)計方案超前的，可結(jié)合光纖到戶將此箱做成"通信系統(tǒng)接口箱"即光纖網(wǎng)絡(luò)單元。過度盒的安裝高度不宜過高；配線箱的高度宜根據(jù)室內(nèi)環(huán)境要