校園網絡的規(guī)劃與設計摘要：本文主要從校園網建設的需求分析、校園網建設目標、組網技術要求、網絡設計要求、方案整體設計、網絡設備選型、設備配置、網絡規(guī)劃、網絡計費與服務系統到校園網應用系統等方面進行了比較詳細的分析與描述，對準備建設校園網和進行網絡升級的學校具有一定的參考價值。關鍵字：網絡設計、網絡設備、交換技術、校園網應用系統由于計算機及網絡技術的不斷發(fā)展，極大地推動了校園網的建設，各高校及其中小學都在籌備建設校園網，希望通過校園網的建設，增加硬件的投入，改善辦學條件，提高教學、科研和管理水平，提高辦學質量。校園網的建設對于學校來說是一項大的工程，必須精心設計、精心施工，做到經濟適用，技術先進、開放性能良好、投資強度合理、與國內外網絡互聯、能長期、穩(wěn)定運行的高性能的校園網絡。一、需求分析校園網必須具備教學、管理和通訊三大功能。教師可以方便地瀏覽和查詢網上資源，進行教學和科研工作；學生可以方便地瀏覽和查詢網上資源實現遠程學習；通過網上學習學會信息處理能力。學校的管理人員可方便地對教務、行政事務、學生學籍、財務、資產等進行綜合管理，同時可以實現各級管理層之間的信息數據交換，實現網上信息采集和處理的自動化，實現信息和設備資源的共享，因此，校園網的建擴展和互聯；同時在選擇服務器、網絡產品時，強調產品支持的網絡協議的國際標準化；可擴充性從主干網絡設備的選型及其模塊、插槽個數、管理軟件和網絡整體結構，以及技術的開放性和對相關協議的支持等方面，來保證網絡系統的可擴充性；可管理性利用圖形化的管理界面和簡潔的操作方式，合理地網絡規(guī)劃策略，提供強大的網絡管理功能；使日常的維護和操作變得直觀，便捷和高效；安全性內部網絡之間、內部網絡與外部公共網之間的互聯，利用VLAN/ELAN、防火墻等對訪問進行控制，確保網絡的安全；投資保護選用性能價格比高的網絡設備和服務器；采用的網絡架構和設備充分考慮到易升級換代，并且在升級時可以最大限度地保護原有的硬件設備和軟件投資；Web校園網的組網技術一般有以下選擇：主干網技術的選擇主要選擇千兆（適合于高校）或百兆以太網技術來構建校園網絡，對兩層結點和桌面微機的接入也采用快速以太網，建立一個基于多層、全交換的虛擬園區(qū)網。校園網在設計上應具備以下特性才能夠滿足需求，并保證建成后的網絡在一個較長的時間內具有較強的可用性和一定的先進性。1、高性能與技術先進性校園網網絡系統要求具有較高的數據通信能力和較大的帶寬；并在主干網上提供較強的可擴展性。為了及時、迅速地處理網絡上傳送的數據，網絡應有較高的網絡主干速度。2、高可靠性網絡要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓撲結構及設備的冗余和備份，為了防止局部故障引起整個網絡系統的癱瘓，要避免網絡出現單點失效。在網絡骨干上要提供備份鏈路，提供冗余路由。在網絡設備上要提供冗余配置，設備在發(fā)生故障時能以熱插拔的方式在最短時間內進行恢復，把故障對網絡系統的影響減少到最小，避免由于網絡故障造成用戶損失；3、安全性INTERNET/CERNET止非法侵入和信息泄漏。4、可管理性強有力的網管軟件是有效地進行網絡管理的助手，網管軟件應能夠支持對網絡進行設備級和系統級Internet夠對每個用戶實行管理；并且能夠實現計費管理。5、可擴充性隨著應用規(guī)模的不斷擴大，要求網絡可以方便地擴充容量，支持更多的用戶及應用；隨著網絡技術的不斷發(fā)展，網絡必須能夠平滑地過渡到新的技術和設備，保證現有的投資。6、VLAN劃分根據校園網的實際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個邏輯子網內。網絡站點的增減，人員的變動，無論從網絡管理，還是用戶的角度來講，都需要虛擬網技術的支持。VLAN活性。7、多層交換技術通過三層交換技術，特別是基于硬件的第三層交換，可以充分地利用交換機的包處理能力，實現真正的線速交換。8、對多媒體應用的支持校園網要求具有數據、圖像、語音等多媒體實時通訊能力；并在主干網上提供足夠的帶寬和可保證的服務質量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數據傳輸使用，最大可能地降低網絡傳輸的延遲。整個網絡在服務質量、預留寬帶設置、合理進行帶寬管理方面應提供優(yōu)良的品質。二、方案整體設計校園網設計主要包括以下部分：校園內部主干網設計、廣域網互聯設計、撥號網絡設計、服務器系統設計、校園網應用系統設計。設備選型主要從以下幾方面考慮：1、網絡設備選型Cisco、3COMINTEL管理、VLAN2、服務器平臺選擇SUNHP硬件的選擇。UNIXWindowsNTUNIXWWWPROXYDNSNT的界面。校園網的網絡拓撲結構：校園主干網采用一臺千兆多層交換機作為中心交換機，配置多臺二層交換機作為二級交換機；在網絡中心配置多臺工作站，一臺網管工作站，一臺作為連入INTERNET/CERNET的路由器，同時在路由器上配置相應的撥號訪問模塊供撥號用戶訪問校園網；二級交換機通過千兆光纖上連到主干交換機上，構成星形的拓撲結構，使得主干網具有較好的可擴展性和可管理性；下屬站點采用10/100M接入方式，可以實現100M到桌面。網絡中心的設備配置各高?？筛鶕桨傅摹靶枨蠓治觥辈糠?，本著實用、高效的原則進行選型、配置（含二級接點和其他接點交換設備的選擇）。對所有系統內的用戶，IP地址規(guī)劃由網絡中心統一規(guī)劃；對于上公網的用戶，需要進行IP地址轉換（NAT），即將內部私有地址轉換為公有IPIP屏蔽了內部的網絡，有利于網絡的安全管理。校園網廣域網的設計主要考慮如何實現和INTERNET、CERNET的互聯。校園網的撥號網絡，主要目的是解決校內和校外零散用戶以及出差在外的臨時用戶的接入服務。訪問網中的技術關鍵是撥號訪問服務器的選擇和對撥號上網用戶的安全控制。要求路由器有簡單的防火墻功能，具有良好的擴展性，即以后撥號用戶的擴展，其它公網的接入等。根據實際需要，能夠不斷增加撥號用戶的數量。校園網服務器的需求主要是基于以下幾方面：Internet服務器；主要包括：DNS、MAIL、WWW、FTP、BBS、PROXY網管工作站，校園網應用服務器，如數據庫服務器，視頻點播服務器等網絡中心管理、開發(fā)、調試平臺(可以與網管工作站共用)。在設計方面主要有以下考慮：1、網管工作站設計網絡管理是校園網必須考慮的關鍵技術，這里的網絡管理主要指網絡設備及其系統的管理，它包括駐留有網絡管理協議的設備。網絡管理設計的另一方面，是配置一個網絡管理中心，配置網絡管理平臺，在平臺上運行管理每個網絡設備的應用軟件。網管軟件應能夠支持對網絡進行設備級和系統級的管理，并能支持通用瀏覽器進行網絡設備的管理及配置。2、WWW服務器設計WWWIntranetWWWWWWIntranetWWWWWWI/O3、DNSIntranet，其中一個必不可少的組成部分就是DNS（域名系統）IPDNS（DomainNameSystem）來完成的。4、FTP服務器的設計FTPInternet（甚至是一同系統）傳輸文件。FTPC/SFTPFTPFTP5、E-mail服務器設計Intranet內部MailInternetMailInternetMAILMAILProxy應的地址轉換工作。6、Proxy服務器的設計代理服務器是作為內部私有網絡和INTERNET之間的一個網關。通過代理方式，首先可以大大降低網絡使用費，另外代理可以保護局域網的安全，起到防火墻的作用。7、網絡的安全性設計網絡的安全性是評價校園網的重要指標之一，對于校園網這樣的大型園區(qū)網，網絡的安全問題就越發(fā)重要。本地主機系統的安全考慮：計算機病毒是伴隨著計算機而產生的，它同時隨著計算機技術的發(fā)展而發(fā)展，在網絡環(huán)境中，計算機病毒更易于傳播，其對系統的危害也是明顯的，在校園網工程中建議采用網絡與單機相結合的方式來避免計算機病毒的危害。內部網安全控制：通過VLAN的劃分，利用中心交換機上高性能路由模塊的管理和控制，可以控制內部各VLAN間的訪問。外聯網的安全控制：網絡的安全問題主要是由網絡的開放性、無邊界性、自由性造成的，所以考慮信息網絡的安全首先應該考慮把被保護的網絡由開放的、無邊界的網絡環(huán)境中獨立出來，成為可管理、可控制的安全的內部網絡。也只有做到這一點，實現信息網絡的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現內部網與外部網絡（如因特網）之間或是內部網不同網絡安全域的隔離與訪問控制，保證網絡系統及網絡服務的可用性。撥號訪問的安全設計：對于從外部撥號訪問中心內部局域網的用戶，由于使用公用電話網進行數據傳輸所帶來的風險，必須嚴格控制其安全性，主要措施如下：*通過在撥號訪問服務器后設置防火墻來實現網絡的安全性，以嚴格限制撥號上網用戶所訪問的系統信息和資源。*使用專用身份驗證服務器，以加強對撥號用戶的身份認證。*在數據傳輸過程中采用加密技術，防止數據被非法竊取。數據的安全：網絡系統應能通過身份驗證實現信息的鑒別，通過存取控制達到對信息的控制，通過數字簽名或數據壓縮等算法保證數據在傳送過程中保持完整、保證信息的機密。在實現時重點考慮信息系統整體的安全控制策略和重要設備的安全控制。網絡管理系統：要求校園網的網絡管理軟件應提供流量、錯誤、廣播、利用率等性能分析的圖表，要有支持基于WEB的網管并支持擴充性設計根據信息點的需求情況，在網絡的整體設計中要充分考慮到網絡的擴展性。這包括：整個網絡結構的擴展性和網絡設備的擴展性。三、校園網應用系統網絡服務系統性能的優(yōu)劣是影響整個網絡發(fā)揮功效的關鍵，網絡服務系統設計包括網絡服務器的軟硬件平臺選擇和基礎服務功能的配置。有了一個高性能的網絡硬件平臺，就象修好了一條高速公路，建設網絡并且擴大網絡性能的真正目的是面向應用；網絡建成后，能對學校的教學和管理能起到多大的促進作用，則主要取決于網絡管理軟件和網絡應用軟件，特別是是否有和學校的教學和管理實際緊密結合的應用軟件。應用軟件的開發(fā)可以采取分兩步走的方針，即網絡開通就要運行的軟件如網絡計費軟件等放在首位開發(fā)其余可以放在以后開發(fā)。1網絡計費與服務系統基于校園網環(huán)境的網絡服務與計費管理集成系統根據校園網管理員的管理實際，選擇Internet高性能免費服務軟件和數據庫軟件，對系統軟件的核心加以改造完善，使之一方面保證滿足向網絡用戶提供各種網絡服務，另一方面又能夠實時地對用戶使用服務產生流量的計費和控制，計費管理軟件必須在網絡投入運行的同時投入使用。網絡服務與計費管理集成系統應具有以下特點：InternetEmail、Proxy、電話撥號等服務，并能進行基于IP統計等。盡量選擇因特網免費服務軟件以及免費的數據庫管理系統。以數據庫及用戶為核心的用戶服務管理、流量計費和實時控制的集成系統，為管理員提供基于Client/Server結構的管理系統；用戶身份認證，保證用戶訪問時的系統及網絡安全性；用戶管理用戶管理是網絡管理系統中的重要組成部分，其主要任務是對網絡用戶的基本信息及帳號信息等進行分類管理。采用面向對象的技術進行設計、開發(fā)，系統界面要友好，使用方便，設計合理，層次清晰。系統采從而可為用戶提供方便、靈活的網絡服務。主要功能包括：用戶組管理和用戶管理。系統管理員可對用戶信息進行增加、刪除、修改和查詢操作，也可對其中的某類信息進行單獨的查詢或修改。此外，可自動統計不同組別的用戶數目；用戶帳號管理：用戶自行管理申請的帳號，修改帳號口令，取消該帳號等子功能。計費管理網絡計費與服務系統計費管理模塊是一個與用戶管理完全集成的功能完善的計費管理子系統。應具有以下主要功能：支持多種計費政策，可以自定義多種用戶組別，多種計費地址范圍，如：國際，國內；CernetIP流量，代理服務器流量，撥號時間計費等；自動數據獲取，處理及更新數據庫，支持分布式數據獲?。挥脩衾U費的確認，審核，總計，計費日