【項目案例】超詳細的大型校園網絡設計方案

時間：2023-09-16 13:06:01 | 來源：網站運營

時間：2023-09-16 13:06:01 來源：網站運營

【項目案例】超詳細的大型校園網絡設計方案：

網絡現(xiàn)狀

建設學院千兆校園網，完成一個整體規(guī)劃、分步實施、充分考慮現(xiàn)有設備與實際資金情況的方案，建立網絡中心和主干網，然后建立學校的信息管理網絡、教學網絡、圖書管理網絡和電子閱覽室各應用子系統(tǒng)，并進行教學樓、辦公樓、圖書館和結構化布線，將網絡擴展到整個校園，實現(xiàn)校園網的全部功能，最后可通過路由器與CERNET和Internet接入。該方案應充分考慮到學校的應用和資金情況，建立一個普通高校千兆校園網，具有一定的科學性和參考價值。要求投資總額在150萬元左右。

網絡要求

校園網建設應該以應用為核心，在設計中充分考慮到教育管理和多媒體教學的要求，并且網絡技術應該具有一定的先進性，同時還要為以后的擴展留有一定的空間。為此，該校校園網應達到以下要求：

1)網絡具有傳遞語音、圖形、圖像等多種信息功能，具備性能優(yōu)越的資源共享功能；

2) 校園網中各終端間具有快速交換功能；

3) 中心系統(tǒng)交換機采用虛擬網技術，對網絡用戶分類控制功能；

4) 對網絡資源的訪問提供完善的權限控制；

5) 網絡具有防止及便于捕殺病毒功能，以保證網絡使用安全；

6) 校園網與Internet相連后具有“防火墻”過濾功能，以防止網絡黑客入侵網絡系統(tǒng)；

7) 可對接入因特網的各網絡用戶進行權限控制。

項目分析

建設學院千兆校園網，完成一個整體規(guī)劃、分步實施、充分考慮現(xiàn)有設備與實際資金情況的方案，建立網絡中心和主干網，然后建立學校的信息管理網絡、教學網絡、圖書管理網絡和電子閱覽室各應用子系統(tǒng)，并進行教學樓、辦公樓、圖書館和結構化布線，將網絡擴展到整個校園，實現(xiàn)校園網的全部功能，最后可通過路由器與CERNET和Internet接入。充分考慮到學校的應用和資金情況，建立一個普通高校千兆校園網，具有一定的科學性和參考價值。

校園網建設應該以應用為核心，在設計中充分考慮到教育管理和多媒體教學的要求，并且網絡技術應該具有一定的先進性，同時還要為以后的擴展留有一定的空間。為此，校園網應達到以下要求：

校園網功能

1）網絡具有傳遞語音、圖形、圖像等多種信息功能，具備性能優(yōu)越的資源共享功能；

2）校園網中各終端間具有快速交換功能；

3）中心系統(tǒng)交換機采用虛擬網技術，對網絡用戶分類控制功能。

權限與安全

1）對網絡資源的訪問提供完善的權限控制；

2）網絡具有防止及便于捕殺病毒功能，以保證網絡使用安全；

3）校園網與Internet相連后具有“防火墻”過濾功能，以防止網絡黑客入侵網絡系統(tǒng)；

4）可對接入因特網的各網絡用戶進行權限控制。

環(huán)境需求

根據(jù)浙江建筑大學實際情況粗略計算出各個大樓節(jié)點數(shù)以及與校園網信息中心的距離如下表所示：

功能需求

1）連接校內所有教學樓、實驗室、辦公樓中的PC；

2）支持大量同時用戶瀏覽Internet；

3）對于多媒體形式的數(shù)據(jù)如語音、圖象、動畫演示、視頻點播等，網絡應該及時、高效地完成數(shù)據(jù)傳輸，確保電子教學的正常運做。滿足學生上機要求；

4）提供豐富的網絡服務，實現(xiàn)廣泛的軟件，硬件資源共享。

性能需求

1）校園網應能促進教師和學生盡快提高應用信息技術的水平；

2）校園網為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫，所以校園網是學校進行教學改革、推行素質教育的一種必不可少的工具；

3）校園網是學?，F(xiàn)代化管理的基礎，深入、全面的學校信息管理系統(tǒng)必須建立在校園網上；

4）校園網提供了學校與外界交流的窗口，學校應將校園網與互聯(lián)網聯(lián)接，這也是學校信息化的要求，做到了這一步，通過校園網去了解世界、在互聯(lián)網上樹立學校的形象都是很容易的。

網絡規(guī)模需求

網絡應該支持大規(guī)模的數(shù)據(jù)庫應用。隨著我國基礎教育水平的提高，通過網絡運行基于服務器/客戶機的數(shù)據(jù)庫查詢檢索是日常教學中教師和學生經常要進行的活動。如何確保數(shù)據(jù)庫查詢迅速及時地得到反饋是網絡應該注意的問題。

網絡拓撲結構需求

隨著校園網對因特網接入需求的增加，應該考慮校園網能夠順利實現(xiàn)與外部網絡和Internet的連接。校園網應該具備使用靈活，管理簡單的特性。由于校園網不可能投入太多的專業(yè)人員從事系統(tǒng)維護，因此在設計時就應該考慮網絡使用和維護應該盡量簡單。考慮到未來校園的擴建，教學發(fā)展的需要，校園網應該具備很好的擴展能力，能夠保證在需要時校園網能夠實現(xiàn)向未來網絡的平滑升級。另外校園網應該能夠保證新的應用形順利開發(fā)實現(xiàn)。

網絡管理需求

網絡系統(tǒng)應該能夠支持 SNMP，這樣便于計算機管理人員通過網管軟件隨時監(jiān)視網絡的運行狀況，一旦出現(xiàn)故障，可以自動報告出錯位置和出錯原因，管理人員可以迅速發(fā)現(xiàn)故障并即時維護，同時 SNMP V2版本的協(xié)議還支持很多更高級的網絡安全管理功能。

網絡安全需求

配備的防火墻。防火墻的配備，極大的提高了我校校園網與外網之間的安全性，從根本上消除了多年以來存在的網絡安全隱患。

校園網系統(tǒng)集成預算

通過咨詢老師得知建設校園網所需的器材及數(shù)量，并且通過百度、京東等得知各設備價格入下表所示：

設計原則

校園網對主機系統(tǒng)的主要要求原則

1）主機系統(tǒng)應具有良好的向后擴展能力，能為用戶未來數(shù)目的擴展具有調整、擴充的手段和方法；

2）主機系統(tǒng)應具有較高的可靠性，能長時間連續(xù)工作，并且有容錯措施；

3）支持通用大型數(shù)據(jù)庫，具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議；

4）能與Internet互聯(lián)，可提供互聯(lián)網的應用；

5）支持SNMP網絡管理協(xié)議，具有良好的可管理性和可維護性；

6）方案應合理分配帶寬，使用戶不受網上“塞車”的影響；

7）該網絡應是面向連接的，能夠實現(xiàn)虛擬網(VLAN) 連接。

網絡設計原則

1）開放性：采用開放的網絡體系以方便網絡的升級、擴展和互聯(lián)；

2）可管理性：利用合理的網絡規(guī)劃策略提供強大的網絡管理功能；

3）可擴充性：從主干網絡設備的選型及其模塊、管理軟件和網絡整體機構以及技術的開放性來保證系統(tǒng)的可擴充性；

4）安全性：內部網絡之間、內部網絡與外部公網之間的互聯(lián)，利用VLAN/ELAN以及防火墻等對訪問進行控制，確保網絡的安全。

子網設計原則

1）服務器區(qū)采用私IP地址，NAT后供人員遠程訪問；

2）與Internet 互聯(lián)設備IP地址采用真實IP地址；

3）部分內部互連采用私有IP地址；

4）面向用戶的私有IP地址，由統(tǒng)一出口的邊緣設備（路由器、防火墻）進行地址翻譯。

網絡設備的選擇原則

根據(jù)已制定的網絡系統(tǒng)設計原則，我們所選擇的網絡設備必須具有以下一些特點：

1）網絡設備應具備安全性、穩(wěn)定性和可靠性的特點；

2）應選擇具有一定擴展能力的設備；

3）先進的設備必須配合先進的管理和維護方法，才能夠發(fā)揮最大的作用。

校園網系統(tǒng)詳細設計方案

邏輯結構設計

• 網絡拓撲結構的分層設計

校園網分為3層結構，即核心層、匯聚層和接入層。主干網一般采用星型拓撲結構，主流技術是千兆以太網。校園網核心層一般采用雙核心路由交換機，核心層到匯聚層具有冗余鏈路，以提高網絡可靠性。為了便于校園網的管理，一般按部門劃分子網和VLAN。網絡分層設計示意圖如下所示：

• 網絡分層設計

網絡拓撲結構各層設計

1）網絡核心層設計；

2）網絡接入層設計；

3）網絡匯聚層設計；

4）網絡拓撲各層的設計目標和策略。

• 網絡安全和管理策略的設計

防火墻只允許內網訪問外網https。

• 網絡綜合布線設計

結構化布線應該滿足以下目標：?

1）滿足學院各大樓主要需求，同時兼顧未來升級能更好的實施；

2）滿足當前和長遠的數(shù)據(jù)傳輸要求，兼顧質量；

3）布線系統(tǒng)遵循國際標準和國家建設部門和電信部門標準，根據(jù)邏輯設計中的拓撲星型結構采用國際標準施工；

4）布線設備的安裝將支持語音、文本、視頻等綜合數(shù)據(jù)的高質量傳輸， 重點強調各設備的兼容問題；

5）布線系統(tǒng)信息出口主要才用現(xiàn)在流行的通用RJ45接口插座，按統(tǒng)一規(guī)格進行線路鋪設和連接接口，使之數(shù)據(jù)暢通。

• 物理結構設計

組建所需設備的選擇，包括硬件設備（服務器、路由器、交換機、網卡、傳輸介質、信息插座等等）、軟件設備（操作系統(tǒng)軟件、應用軟件等）。在組建局域網選擇網絡設備的時候，需要從多方面去考慮。選擇的設備要能滿足學校的實際功能需求，設備的性能和費用等等這些都是設備選型時應該考慮的。選擇的設備既能使網絡運行達到高效率，又經濟實惠關系到校方的利益。根據(jù)對本校園網的實際要求、信息點數(shù)量和建筑物布局的分析，得出了本校園組網所需的各類硬、軟件設備。

• 校園網光纖布線設計

骨干光纖布線采用星型結構，中心機房設在實驗樓，考慮把圖書館、學生宿舍、食堂、公共館、逸夫樓、體育館、土木館、全部光纖與位于網絡信息聯(lián)合中心相連。校園示意圖如下所示：

• 網絡拓撲結構概要設計

校園主干網采用一臺千兆多層交換機作為中心交換機，配置多臺二層換機為二級交換機；在網絡中心配置多臺工作站，一臺主機工作站，一臺連接外部網絡的路由器和校內的兩臺FTP服務器供存儲和訪問校內資料。二級交換機通過千兆光纖連接到主干交換機上，構成星形的拓撲結構，使得主干網具有較好的可擴展性和可管理性。

VLAN劃分

VLAN劃分的意義

VLAN提供的安全機制，可以限制用戶對安全設備的訪問，例如，限制普通用戶對計費服務器，安全交換機等的訪問。VLAN控制廣播組的大小和位置，甚至鎖定網絡成員的MAC地址，這樣，就限制了未經安全許可的用戶和網絡成員對網絡的使用增強網絡管理。

VLAN號(ID)的分配規(guī)劃

1）VLAN劃分原則：便于管理；

2）VLAN劃分理念：將幾個樓劃分在同一VLAN，便于操作管理 VLAN的劃分；

3）VLAN的分配根據(jù)每個區(qū)域內部所分配的IP地址在區(qū)域內部再劃分,從而實現(xiàn)易管理和安全性。

IP地址

IP地址的規(guī)劃

IP地址的統(tǒng)一、合理規(guī)劃以及整個網絡向IPv6的演進是關系到整體分層網絡穩(wěn)定、快速收斂的關鍵，也是校園網網絡設計中的重要一環(huán)。IP地址規(guī)劃的好壞，不僅影響到網絡路由協(xié)議算法的效率，更影響到網絡的性能和穩(wěn)定以及網絡的擴展和管理，也必將直接影響到相關新業(yè)務的開拓和網絡應用的進一步可持續(xù)性發(fā)展。

劃分時注意使用VLAN，充分節(jié)約IP地址，使路由交換機上能夠采用聚合進行路由的合并，減少路由表的大小。出口到互聯(lián)網可以采用NAT防火墻上做地址轉換實現(xiàn)。校區(qū)內接入到同一匯聚層交換機的區(qū)域建議采用連續(xù)IP地址段，以便做路由匯聚。

IP地址的分配原則如下：

1）給三層交換機設備互連的點對點IP地址分配1個C類地址，提供足夠的擴展性；

2）考慮到以后的網絡擴展規(guī)模，二層交換機設備的管理IP地址分配1個C類IP地址；

3）可以考慮為學校校園網分配若干個C類私有地址段。

為每個網段都分配一個C類IP地址段，建議使用192.168.2.0~192.168.254.0段IP地址。由于某些網絡設備（如寬帶路由器或無線路由器）或應用程序（如ICS）擁有自動分配IP地址功能，而且默認的IP地址往往位于192.168.0.0和192.168.255.0之間，因此，在采用該IP地址段時，往往會導致IP地址沖突或其他故障。

為同一網絡的計算機分配不同IP地址并不能提高網絡傳輸效率。因為同一網絡內的計算機仍然處于同一廣播域，僅僅是為計算機指定不同網段，是不能實現(xiàn)劃分廣播域的目的的。若想減少廣播域，最根本的解決辦法就是劃分VLAN，然后，為每個VLAN分別指定不同的IP網段。

截止到：2020-01-06，教育網IP數(shù)是：16,830,976個。教育網分配的IP地址：68.1.1.1

防火墻設置

防火墻技術

防火墻是指設置在不同網絡或網絡安全域之間的一個或一組系統(tǒng),它用來加強在不同網絡或網絡安全域之間的網絡訪問控制，能根據(jù)網絡訪問原則控制出入網絡的信息流且本身具有較強的抗攻擊能力。

校園網絡是通過路由器相連接的，這個路由器稱為邊界路由器，為了保護校園網不被來自外界的攻擊,防火墻必須安裝在邊界路由器上，達到控制保護全網的目的。

防火墻設計?

1）防火墻設計策略基于特定的Firewall，定義完成服務訪問策略的規(guī)則。通常有兩種基本的設計策略：?

① 允許任何服務除非被明確禁止；

② 禁止任何服務除非被明確允許。

第一種的特點是安全但不好用，?第二種是好用但不安全，通常采用第二種類型的設計策略。?而多數(shù)防火墻都在兩種之間采取折衷。

2）防火墻的安全策略：

① 所有從內到外和從外到內的數(shù)據(jù)包都必須經過防火墻；

② 只有被安全策略允許的數(shù)據(jù)包才能通過防火墻；

③ 防火墻本身要有預防入侵的功能；

④ 默認禁止所有服務，除非是必須的服務才被允許。

3）防火墻的設計：

① 保障校園內部網主機的安全，禁止外部網用戶連接到內部網；

② 只向外部用戶提供HTTP、SMTP和POP等有限的服務；

③ 向內部記賬用戶提供所有Internet服務，但--律通過代理服務器；

④ 要求具備防IP地址欺騙和IP地址盜用功能；

⑤ 要求具備記賬和審計功能，能有效記錄校園網的一切活動。