文理学院校园网的规划与设计(编辑修改稿)

文理学院校园网的规划与设计(编辑修改稿)内容摘要：

能汇聚的需要。 子网与 VLAN 规划 用快速以太网拓扑街头，将校园网的网络结构分为三层，校园信息中心：信息网络的核心部分。 由中心交换机、 UPS 等电源系统、服务器、广域网连接设备、网络管理系统组成。 功能是实现高性能的交换和传输，也能够有效地对网络流量进行控制和进行VLAN 划分。 校园主干网：连接校园内各楼宇的主干网络。 校园内楼房处设备通过网络线路连接到交换机处，实现校园网络信息交换。 各中心节点的主干交换机要支持千兆以太网，具有 10/100Mbps 以太网端口。 网络结构采用环状结构，核心主干交换机与主干交换机互联成环形结构。 二级交换机再以星形结构接入对应的中心节点，并以 100M 直接到桌面，确保信息流畅，这样就构成了能满足教学和管理要求的主干网络。 楼内接入网：楼宇内部的星型局域网络，是校园网络的接入层。 计算机信息点到楼房间通过双绞线连接，实现楼内网络通讯网络的安全控制也主要由分布层设备来实现。 网络中心的路由器选择合适的链路接入方式连接 Inter。 (1)VLAN 划分方案 VLAN，再将一栋宿舍楼划为一个大 VLAN。 VLAN。 VLAN。 VLAN，再将每个实验室划为一个小 VLAN。 VLAN，再将每个部门划为一个小 VLAN。 (2)IP 地址规划 根据学校网络目前真实 IP 地址的现实情况， IP 地址规划遵循如下原则来设计： IP 地址， NAT 后供人员远程访问； inter 互联设备 IP 地址采用真实 IP 地址； IP 地址； IP 地址，由统一出口的边缘设备（路由器、防火墙）进行地址翻译，即出口路由器（ 防火墙）互联采用合法 IP 地址；公共服务器如 WWW/FTP/DNS/资源服务器等均采用合法地址（或从安全角度考虑采用私有 IP）；部分接入用户采用私有保留 IP 地址相连。 实现的信息服务 一般情况下，校园网络应能为用户提供如下服务： (1)电子邮件系统：主要进行与同行交往、开展技术合作和学术交流等活动。 (2)文件传输 FTP：以获取重要的科技资料和技术文档。 (3)通过 Inter 服务，学校可建立自己的主页，利用外部网页来进行学校宣传、提供各类咨询信息等，利用内部网页进行管理（如收发通知、收集学生意见等 ）。 (4)计算机教学：包括多媒体教学和远程教学。 (5)图书馆访问系统：用于计算机查询、检索、阅读等；其他应用，如大型分布式数据库系统、超性能计算机资源共享 /管理系统等。 (6)教务办公：使校领导能及时、全面、准确地掌握全校的教学、科研、学籍考绩、一般管理、财务和人事等方面的情况。 (7)Inter 接入：通过实现与 CERNTE、 Inter 的互联，使教职员工和学生在宿舍上网，重事家庭办公、课外学习和资料查询等。 (8)应用成本：在保证系统功能实现的同时也需要考虑成本的问题。 (9)网络安全：现在 网络运用的扩展使越来越多的业务在网络上完成，因此，网络的安全性能在网络设计中已经占有非常重要的地位。 (10)远程访问：自己的电脑不能随时带在身边，通过网络对自己电脑资料的访问也将是组网时考虑的范围。 本校园网的信息服务 特点： (1)采用 双核心技术，不但可以起到让设备进行冗余备份，而且还可以进行中心数据通信负载均衡，有效减轻中心设备减清负荷，保证核心层的稳定性和可靠性 ； (2)四个汇聚层到核心采用链路全冗余，汇聚层之间单独再加一条链路，使得各个汇聚层之间的访问在汇聚层终结； (3)网络核心、楼宇 汇 聚和接入产 品都具 有病毒防范、拒绝 DDOS 攻击和防扫描等安全功能，不但在不同的网络环境下都能做到快速有效的控制，而且也可以应对突发性的安全的事件，确保了网络的稳定运行 ； (4)校园网的信息点覆盖整个校园，教室、办公室和宿舍等地方都是十分开放的，很多人都可以自由出入这些地方，任何一个人都可以利用这些地方的信息点，通过便携连接到学校办公内部网，这将对校园网造成巨大安全隐患。 全网接入采用统一认证技术，保证了只有合法授权的用户才能使用内部或外部网络，而且还能对网络的使用情况进行了审计 ； 应用程序 应用程序主要有客户程序和 服务器程序： 客户程序：它主要实现消息的发送，在客户机上运行的客户程序把请求发送给服务器进程。 服务器程序：它主要负责消息的接收和发送，接收客户进程的请求，作出响应。 存储系统分析 性能需求 (1)高性能。 数据中心应用业务系统，如 ERP、办公自动化、文件服务器、 Web 和数据库应用等常常要大量地对存储系统进行写入、读取操作，使得存储系统的压力随着业务的扩大而变大，因此，对存储系统的性能将提出更高、更苛刻的要求。 (2)高安全。 数据中心的数据安全性要求非常高，一旦数据发生问题，会导致业务连续性受 到影响，甚至影响到数据中心正常运行，因此，对存储系统数据的安全性提出了更高、更严的要求。 (3)高可靠性。 数据中心提供的服务要求信息能够在 24 7h 的条件下保持在线状态，系统故障会引起应用服务中断，将给用户造成损失，尤其是在重要的部门和行业，如能源、交通、金融等。 (4)易管理。 信息系统由多个业务系统组成，由于业务系统建设时期不同，导致会出现多个存储系统共存的情况，如何在日常工作中对存储系统进行管理，简化工作，降低TCO，是保证存储系统稳定运行的重要因素。 (5)可扩展。 存储系统要建设成标准、集中、易扩展的 系统，能够在容量、性能需求不断增加的情况下，横向或纵向进行存储空间的平滑扩展。 (6)整合。 对关键数据的存储和备份也已成为数据中心运营发展的关键。 其数据环境是呈多样性：一是应用类型的多样性，如 Web、 Email；二是数据类型的多样性，在应用业务中包括数据库数据、普通文本、各种格式的图形、表格、多媒体以及其他各种文件格式；三是系统平台的多样性， UNIX、 Windows 等多种平台的使用方法都不尽相同；四是存储结构的多样性，因为数据中心自身的发展历程和时间的延续，在不同时期的不尽相同的应用导致了多种存储方式并存 的现象，规模较大的数据中心可能同时具有从DAS、 NAS 到 SAN 的多种存储结构。 以成熟技术为核心建设存储系统，有利于存储系统进行整合，整合不同应用的存储系统实现统一管理，也利于灾难备份中心的建设。 功能需求 网络存储系统规划应该满足以下目标：集中式管理、整合型存储、高性能、高安全、高效率，满足系统不断扩展的需求。 (1)数据中心要建设一个设备集中、集中管理、满足应用、方便扩展、安全稳定、共享统一的数据存储系统。 (2)要优化整合现有数据资源，对数据资源进行统一管理和维护，为数据库和应用系统建设提供统 一的运行支撑环境。 (3)运用各种先进的技术，对数据中心运行中所产生的大量数据，能高效、安全地存储，又易于访问、检索、处理和利用。 应用需求分析 SAN（ Storage Area Network，存储域网络）与 NAS 则是完全不同，它不是把所有的存储设备集中安装在一个专门的 NAS 服务器中，而是将这些存储设备单独通过光纤交换机 连接起来，形成一个光纤通道的网络，然后这个网络再与网络系统现有局域网进行连接，在这种方案中，起着核心作用的当然就是光纤交换机了，它的支撑技术就是 Fibre Channel（ FC，光纤通道）协议，这是 ANSI 为网络和通道 I/O 接口建立的一个标准集成，支持 HIPPI、 IPI、 SCSI、 IP、 ATM 等多种 高级协议。 在 SAN 中，数据以集中的方式进行存储，加强了数据的可管理性，同时适应于多操作系统下的数据共享同一存储池，降低了总拥有成本。 由于 SAN 是通过一个单独的通常是基于光纤通道的 SAN 网络把存储设备以及服务器相连，如此当有海量数据的存取需求时，数据完全可以通过 SAN 网络在相关服务器和后台的存储设备之间高速传输，对于 LAN 的带宽占用几乎为零，而且服务器可以访 问 SAN 上的任何一个存储 设备，提高了数据的可用性。 在对性能和可靠性要求较高的场合，采用先进的 SAN 数据存储网络，可以使数据的存储、备份等活动独立在原先的局域网之外，从而将减轻 LAN 的负载，保证原有网络应用的顺畅进 行。 同 时 SAN 网采用光纤传输通道，可以得到高速的数据传输率。 SAN 方案简化了管理和集中控制，这对于全部存储设备都集中在信息中心，是非常有现实意义的。 SAN 将网络系统的存储 和服务器平台分开，可以实现 24x7 不间断的系统可用性和集中管理，在这个平台的基础上，还可以应用一套统一的灾难恢复解决方案，同时可经济高效地扩展存储环境。 因此SAN 非常适用于非线性编辑、服务器集群、远程灾难恢复、因特网数据服务等多个领域。 系统及数据安全分析 保密性：采取有效措施保障数据保密性好 完整性：不经授权数据不得修改。 可靠性：数据或有关数据的信息不能有错。 保证网络管理系统正确运行，保护被管理的目标免遭破坏，包括身份鉴别、密钥管理、病毒预防和灾难恢复等 管理：具有数据备份和恢复的能力，定时更新等，各种服务的管理，如 HTTP、 FTP、SMTP、 POP DNS 服务管理等。 表 安全管理表 需求类型 要求 备注 保密性 高 防病毒、防攻击 完整性 高 不经授权数据不得修改 可靠性 高 信息正确的传输 数据备份与恢复 较高 暂无 服务管理 一般 HTTP、 FTP、 SMTP 管理等 网间隔离 国家保密局颁布的《计算机信息系统国际联网保密管理规定》 规定， “ 涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离 ”。 按照物理隔离的要求，相关用户连接互联网时，必须与涉密网络实行网络隔离和计算机信息隔离。 经调研，我们决定使用 京泰物理隔离系统 ，本系统方案符合保密管理规定要求，凭借安全的网络切换机制 ，用户可以在内外网物理隔离的条件 下，安全、方便地访问内网、外网网络资源。 可以使用一台计算机连接内部网或外部网 ,同时保护数据的安全，实现内部安全环境和外部不安全网络环境的绝对隔离，从而满足政府、国防、金融、保险、电信、邮政、税务及企业用户等对数据安全和获取信息的双重要求。 (1)本系统可实现的功能 网络隔离 : 实现内网和外网的网络隔离。 用户访问内网时，断开外网网络连接；访问外网时，断开内网网络连接。 用户不能同时连入内、外网，始终保持内网、外网网络隔离的状态； 信息隔离 : 实现内网信息和外网信息的隔离。 用户访问 内网时，使用内网硬盘；访问外网时，使用外网硬盘。 内网、外网存储介质不能同时使用，从而保证内、外网之间的信息隔离； 支持多种应用方案 : 本方案具有完整的物理隔离产品线，公司产品支持双网、三网乃至多网之间的隔离要求；可以根据用户的需要，实施单网线、双网线、单硬盘或双硬盘的方案组合，全方位满足用户的不同需求； PCI 接口，集成网卡 :物理隔离卡采用 PCI 接口，同时集成网卡的功能。 系统启动时通过接管启动控制流程，实现内外网之间的隔离和切换；集成的网卡最大限度地保障了系统的适配性和节省主板槽位资源。 (2)本系统的特点 ，不需要任何跳线和手动开关，外部接口与普通 PC 机相同； ，不需要任何对硬盘数据的整理和额外的硬件设置，同。