1、摘要在信息產(chǎn)業(yè)蓬勃發(fā)展的今天,信息成為社會經(jīng)濟發(fā)展的核心因素,信息化已經(jīng)成為當今世界的潮流。近年來國家加快改革教育體制,以教育為立國之本,建設一個高度發(fā)達的國家教育體系。校園網(wǎng)是Internet技術(shù)在教育機構(gòu)的一個應用。它是指在學校范圍內(nèi),在一定的教育思想和理論指導下,為學校教學,科研和管理等教育提供資源共享,信息交流和協(xié)同工作的計算機網(wǎng)絡。隨著網(wǎng)絡的逐步普及,校園網(wǎng)絡的建設是學校向信息化發(fā)展的必然選擇,校園網(wǎng)網(wǎng)絡系統(tǒng)不僅為現(xiàn)代化教學、綜合信息管理和辦公自動化等一系列應用提供基本操作平臺,而且能提供多種應用服務,使信息能及時、準確地傳送給各個系統(tǒng)。校園網(wǎng)、建設中主要應用了網(wǎng)絡技術(shù)中的重要分支局

2、域網(wǎng)技術(shù)來建設與管理的。校園作為一個特殊的網(wǎng)絡應用環(huán)境,它的建設與使用都有其自身的特點。在選擇局域網(wǎng)的網(wǎng)絡技術(shù)時要體現(xiàn)開放式、分布式、安全可靠,維護簡單的原則。校園網(wǎng)的建設主要應用局域網(wǎng)技術(shù)以及多媒體技術(shù)為主的各種網(wǎng)絡應用技術(shù)。校園網(wǎng)絡建設的重點在于加強教學科研的管理、輔助教師生動的教學、激發(fā)學生自主學習。從長遠來看,校園網(wǎng)的建設,其主要意義是有利于學校教學、科研的快速發(fā)展,它能使廣大教師利用計算機網(wǎng)絡環(huán)境進行教學,開展科研活動,進而提高學校的教學質(zhì)量和科研水平,為培養(yǎng)面向世界,面向未來的高素質(zhì)人才提供有力的保障。關(guān)鍵詞:校園網(wǎng)建設,綜合布線,VLAN劃分AbstractIn today

3、9;s information industry booming, information has become the core of social and economic development, information technology has become the trend of the world. In recent years, the country to speed up the reform of education system, education is the foundation of the country, the construction of a h

4、ighly developed national education system.The campus network is one of the applications of Internet technology in educational institutions. It refers to the computer network which provides resources sharing, information exchange and collaboration in the school teaching, scientific research and manag

5、ement education, under the guidance of certain educational ideas and theories. With the gradual popularization of the network, the construction of the campus network is the school to the inevitable choice of the development of information technology, campus network system not only for modern teachin

6、g, integrated information management and office automation and other a series of applications to provide basic operating platform, and can provide a variety of services, so that the information timely and accurately transmitted to the various systems. Campus network, the main application of the netw

7、ork technology in the construction and management of an important branch of LAN technology. As a special network application environment, the construction and use of the campus has its own characteristics. In the choice of local area network technology to reflect the open, distributed, safe and reli

8、able, and the principle of simple maintenance. The construction of the campus network is mainly applied to the local area network technology and multimedia technology based on a variety of network applications.The key of the construction of campus network is to strengthen the management of teaching

9、and scientific research, to help teachers' vivid teaching, and to stimulate students' autonomous learning. From a long-term point of view, the construction of the campus network, the main significance is conducive to the rapid development of school teaching, scientific research, it can make

10、the majority of teachers use computer network environment for teaching, research activities, and to improve the quality of teaching in schools and scientific research level, for training for the world, facing the future of high-quality talent to provide strong protection.Key words: campus network co

11、nstruction, integrated wiring, VLAN Division目錄一需求分析 (11.1設計目標和要求 (11.2網(wǎng)絡設計原則 (1二校園網(wǎng)設計方案 (22.1主要技術(shù)介紹 (22.2網(wǎng)絡拓撲設計 (32.3主干網(wǎng)絡 (42.4 VLAN和IP地址規(guī)劃 (5三設備選擇 (83.1交換機 (83.2服務器 (103.3 出口路由 (103.4 防火墻 (11四網(wǎng)絡安全 (114.1 網(wǎng)絡安全環(huán)境 (114.2 防范措施 (12五設計預算清單 (13一需求分析1.1設計目標和要求校園網(wǎng)建設應該以應用為核心,在設計中充分考慮到教育管理和多媒體教學的要求,并且網(wǎng)絡技術(shù)應該具有

12、一定的先進性,同時還要為以后的擴展留有一定的空間。為此,該校校園網(wǎng)應達到以下要求:1網(wǎng)絡具有傳遞語音、圖形、圖像等多種信息功能,具備性能優(yōu)越的資源共享功能;2 校園網(wǎng)中各終端間具有快速交換功能;3 中心系統(tǒng)交換機采用虛擬網(wǎng)技術(shù),對網(wǎng)絡用戶分類控制功能;4 對網(wǎng)絡資源的訪問提供完善的權(quán)限控制;5 網(wǎng)絡具有防止及便于捕殺病毒功能,以保證網(wǎng)絡使用安全;6 校園網(wǎng)與Internet相連后具有“防火墻”過濾功能,以防止網(wǎng)絡黑客入侵網(wǎng)絡系統(tǒng);7 可對接入因特網(wǎng)的各網(wǎng)絡用戶進行權(quán)限控制。1.2網(wǎng)絡設計原則1 可靠性和穩(wěn)定性計算機網(wǎng)絡要求具有高度可靠性和穩(wěn)定性,能有效防止局部故障引起整個網(wǎng)絡系統(tǒng)的癱瘓。為實現(xiàn)

13、上述目的,應在網(wǎng)絡設計中提供拓撲和設備的冗余和備份,使故障能在最短的時間內(nèi)進行恢復,讓網(wǎng)絡故障的發(fā)生和損失降到最小。2 技術(shù)先進性學校有大量的數(shù)據(jù)信息需要處理,要求網(wǎng)絡有較高的數(shù)據(jù)通信能力和較大的數(shù)據(jù)帶寬,所以網(wǎng)絡設備必須具有高速處理數(shù)據(jù)的能力。在網(wǎng)絡結(jié)構(gòu)上使用技術(shù)先進的高速網(wǎng)絡,才能滿足大量數(shù)據(jù)傳輸與處理的需要。只有保持技術(shù)的先進性,才能使網(wǎng)絡系統(tǒng)適應不斷更新?lián)Q代的網(wǎng)絡技術(shù),才能延長網(wǎng)絡的使用期限,提高網(wǎng)絡用戶的投資效益。3 拓展性隨著網(wǎng)絡用戶的不斷增多,使得網(wǎng)絡規(guī)模不斷擴大,所以在網(wǎng)絡設計時要求網(wǎng)絡能方便的進行擴充容量,才能支持用戶的需求。網(wǎng)絡系統(tǒng)應用能隨不斷發(fā)展的網(wǎng)絡技術(shù)而能夠升級到新的

14、網(wǎng)絡技術(shù)和設備,從而延長網(wǎng)絡系統(tǒng)的使用期限。4 安全性網(wǎng)絡安全對于網(wǎng)絡系統(tǒng)來說是十分重要的,直接關(guān)系到網(wǎng)絡的正常使用。應該采用一定的技術(shù)來控制網(wǎng)絡的安全性,從內(nèi)部和外部同時對網(wǎng)絡資源的訪問進行控制。當前主要的網(wǎng)絡安全技術(shù)有,用戶身份驗證,VLAN劃分,防火墻技術(shù)等。網(wǎng)絡系統(tǒng)還需具備高度的數(shù)據(jù)安全性和保密性。5 實用與經(jīng)濟性校園網(wǎng)的特點決定了網(wǎng)絡系統(tǒng)需具備實用與經(jīng)濟性。實用性使得網(wǎng)絡便于管理、維護,以減少網(wǎng)絡使用人員運用網(wǎng)絡的難度,從而降低人為操作引起的網(wǎng)絡故障,并使更多人掌握網(wǎng)絡的使用。由于學校的建設資金有限,所以一般都要求網(wǎng)絡具有較高的性價比,所以在建設校園網(wǎng)時要使用性價比高的網(wǎng)絡技術(shù)和網(wǎng)絡

15、設備,以節(jié)約建設資金。二校園網(wǎng)設計方案2.1主要技術(shù)介紹以太網(wǎng)作為一種原理簡單,技術(shù)成熟、成本較低、互操作性強、易于使用和管理、可擴充性強的局域網(wǎng)技術(shù)已經(jīng)成為業(yè)界的主流。它由Xerox公司創(chuàng)建并由Xerox、Intel和DEC公司聯(lián)合開發(fā),是當今現(xiàn)有局域網(wǎng)采用的最通用的通信協(xié)議標準。以太網(wǎng)使用CSMA/CD技術(shù),并以10M/S的速率運行在多種類型的電纜上。路由協(xié)議工作在OSI模型的第三層,它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務,利用訪問控制列表,路由器還可以用來完成以路由器為中心的流量控制和過濾功能。交換技術(shù)主要分為:第

16、二層交換,第三層交換,第四層交換,多層交換第二層交換:第二層交換是基于硬件設備的橋接,數(shù)據(jù)幀的發(fā)送是由專門的硬件來解決,通常是使用ASIC芯片。第三層交換:第三層交換的實質(zhì)是基于硬件的路由,數(shù)據(jù)包的發(fā)送也是通過ASIC芯片來完成的。第四層交換:第四層交換指的是在硬件路由的基礎(chǔ)上再加上應用程序的功能。在TCP或UDP數(shù)據(jù)流中,應用請求被編碼成端口號放在數(shù)據(jù)報的頭部。路由器可以用擴展訪問列表來控制數(shù)據(jù)傳輸。多層交換:多層交換指的是“一次路由,然后交換”,他可以根據(jù)MAC 地址,IP地址、協(xié)議和端口號進行交換。在高性能網(wǎng)絡中,這種技術(shù)被廣泛采用。VLAN技術(shù)的出現(xiàn),主要為了解決交換機在進行局域網(wǎng)互連

17、時無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的LAN-VLAN,每個VLAN 是一個廣播域,VLAN內(nèi)的主機間通信就和在一個LAN內(nèi)。使用VLAN可以控制廣播風暴、提高網(wǎng)絡整體安全性、網(wǎng)絡管理簡單、提高性能等。3 2. 1. 4 遠程訪問技術(shù)遠程訪問也是園區(qū)網(wǎng)絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。 遠程訪問有三種可選的服務類型:專線連接、 電路交換和包交換。 不同的廣域網(wǎng)連接類型提供的服務質(zhì)量不同, 花費也不相同。 企業(yè)用戶可以根據(jù)所需帶寬、 本地服務可用性、 花費等因素綜合考慮, 選擇一種 適合企業(yè)自身需要的廣域網(wǎng)接入方案。 在本工程案例

18、設計中,分別采用專線連 接(到因特網(wǎng)和電路交換(到校園網(wǎng)兩種方式實現(xiàn)遠程訪問需求。2. 2網(wǎng)絡拓撲設計2. 2. 1總體拓撲結(jié)構(gòu) 2. 2. 2局部公寓網(wǎng)絡拓撲示意2. 3主干網(wǎng)絡校園主干網(wǎng)是覆蓋多幢大樓的園區(qū)網(wǎng)絡, 組成了一個具有相當復雜的計算機 網(wǎng)絡。千兆以太網(wǎng)是目前最常用的主干網(wǎng)技術(shù),傳輸速率可達到 1Gbps ,具有流 量控制、服務優(yōu)先控制、防止擁塞與溢出等功能,性價比最高。在網(wǎng)絡方案的選 擇上, 采用千兆以太網(wǎng)做為校園網(wǎng)的網(wǎng)絡總體結(jié)構(gòu)無論在高帶寬、 可適應性、 可 擴展性、 高性價比、 良好的管理性和維護性等各方面都是最明智的選擇, 成為學 校校園網(wǎng)完整的、 經(jīng)濟的解決方案。 本千兆

19、位以太網(wǎng)設計方案, 采用最新的 1000M 交換機作為全網(wǎng)的核心, 在此基礎(chǔ)上建立起以 1000M 為主干校園網(wǎng)絡。 然后根據(jù) 不同的應用,將校園網(wǎng)分割為幾個以 100M 交換機為核心的子網(wǎng)。為滿足學校與 Internet 的連接,另設一子網(wǎng),將 Web 服務器,路由器等 Web 應用設備用防火 墻將它們與內(nèi)部網(wǎng)隔離開來。以達到保護校內(nèi)數(shù)據(jù)的目的。42. 4 VLAN和 IP 地址規(guī)劃 56 7 三設備選擇3.1交換機1匯聚交換機H3C S5500-28CH3C S5100-16P-SIH3C S5800-32C 2邊緣交換機TP-LINK TL-SG1048 3核心交換機H3C S9512E

20、 3.2服務器城市熱點2133 B-RAS寬帶接入服務器3.3 出口路由華為AR1220 3.4 防火墻華為USG6370 四網(wǎng)絡安全4.1 網(wǎng)絡安全環(huán)境校園網(wǎng)整體上是由多個局域網(wǎng)組成的,在局域網(wǎng)中由于通過交換機和服務器連接網(wǎng)內(nèi)每一臺電腦,因此局域網(wǎng)內(nèi)信息的傳輸速率比較高,同事局域網(wǎng)采用的技術(shù)比較簡單,安全措施較少,也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。校園網(wǎng)絡存在的安全隱患和漏洞主要有以下幾方面:1 各種服務器和網(wǎng)絡設備被掃描或攻擊2 校園網(wǎng)內(nèi)部安全隱患3 操作系統(tǒng)存在的安全漏洞4 IP地址盜用問題5 師生安全意識薄弱4.2 防范措施目前,比較成熟的網(wǎng)絡安全技術(shù)產(chǎn)品有:防火

21、墻、入侵檢測、身份認證、病毒防范、信息過濾、數(shù)據(jù)加密、VPN、VLAN、容錯、數(shù)據(jù)備份、地址綁定等。但網(wǎng)絡安全不只是這些技術(shù)產(chǎn)品的簡單堆砌,它是包括從系統(tǒng)到應用、從設備到服務的比較完整的、體系性的安全系列產(chǎn)品的有機結(jié)合。1.根據(jù)用戶的特性和需求劃分VLAN校園局域網(wǎng)與其他企事業(yè)單位的局域網(wǎng)相比,聯(lián)網(wǎng)計算機及網(wǎng)絡用戶的群體更為復雜。有教師備課機、學生機房、學生宿舍、圖書館、家屬區(qū)以及人事、財務、后勤等行政辦公計算機等。不同的用戶對于網(wǎng)絡有著不同的需求,對于自身信息的安全性要求也不同,據(jù)此可以將校園網(wǎng)劃分為多個VLAN。2.在校園網(wǎng)出口設置防火墻網(wǎng)關(guān)防火墻網(wǎng)關(guān)能有效隔離校園網(wǎng)和外部互聯(lián)網(wǎng),使校園網(wǎng)

22、與互聯(lián)網(wǎng)之間的訪問連接得到有效控制,阻止黑客對校園網(wǎng)的非法訪問和攻擊。針對校園網(wǎng)中部分重要的網(wǎng)段(如院長辦公室、教務、財務、人事、科研中心、重要實驗室等設置防火墻網(wǎng)關(guān),將他們和學生機房、學生宿舍及家屬區(qū)的網(wǎng)段隔離,提供最基本的網(wǎng)絡層的訪問控制,使之不會受到來自校內(nèi)其他網(wǎng)段的攻擊。3.合理運用入侵檢測技術(shù)入侵檢測技術(shù)是主動保護自己免受攻擊的一種網(wǎng)絡安全技術(shù)。作為防火墻的合理補充,入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性?？梢岳萌肭謾z測技術(shù)構(gòu)架校園網(wǎng)的主動防御體系,加強對校園網(wǎng)特別是行政、教研、服務器

23、等重點網(wǎng)段的保護。4.設置訪問控制管理系統(tǒng)和智能信息過濾系統(tǒng)在學生上網(wǎng)比較集中的網(wǎng)段(如學生機房、學生宿舍、圖書館等,設置Internet訪問控制管理系統(tǒng)和智能信息過濾系統(tǒng),從技術(shù)上對學生的上網(wǎng)行為進行管理和監(jiān)控,防止學生有意無意訪問含有黃、賭、毒、暴力、邪教等內(nèi)容的網(wǎng)站。另外,還要加強對學生的信息道德教育、法制教育及上網(wǎng)行為的管理,使他們不再主動上網(wǎng)瀏覽、下載、傳播這類信息。5.加強服務器安全設置服務器是校園網(wǎng)的核心設備,也是黑客們的主要攻擊對象,所以它們要有最高的安全性。網(wǎng)絡操作系統(tǒng)是校園網(wǎng)服務器系統(tǒng)中最重要的組成部分,用戶通過使用網(wǎng)絡操作系統(tǒng)來使用校園網(wǎng)絡資源,所以服務器安全的前提是網(wǎng)絡

24、操作系統(tǒng)的安全。6.加強防范,防止病毒泛濫要建立一個有效合理的病毒預防和查殺機制。通過在網(wǎng)絡中部署分布式、網(wǎng)絡化的防病毒系統(tǒng),不僅可以讓單機有效地防止病毒侵害,還可以使管理員從中央位置對整個網(wǎng)絡進行實時狀態(tài)下的病毒防護。及時有效對病毒進行查殺。保證所有計算機都安裝了網(wǎng)絡版殺毒軟件的客戶端,不能漏掉一個,否則就會出現(xiàn)“木桶效應”,使整個網(wǎng)絡重新被病毒感染。及時升級服務器端殺毒軟件的病毒庫,并要求客戶端也要及時升級病毒庫,并定期進行全網(wǎng)計算機病毒掃描。近年爆發(fā)的計算機病毒如沖擊波、震蕩波、QQ尾巴等都是利用操作系統(tǒng)或應用軟件本身的漏洞進行傳播,所以要及時安裝系統(tǒng)補丁,截斷病毒傳播的途徑,配合殺毒軟件起到雙重防范病毒的效果。要求校園網(wǎng)用戶在安裝了學校提供的網(wǎng)絡版殺毒軟件后,不得再私自安裝其他殺毒軟件,以免互相沖突。 7.在防火墻內(nèi)口上捆綁 IP 和 MAC 地址， 在匯聚交換機上捆綁 IP 和 MAC 地址， 在接入交換機上捆綁端口和 MAC 地址。通過 MAC 地址、