某校网络设计(编辑修改稿)

某校网络设计(编辑修改稿)内容摘要：

标 校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的 Intra系统，对外通过路由设备接入广域网。 具体而言这样的设计目标应该是： 信息资源共享 通过校园网，实现学校内部，学校与国内、国际信息的快速交流，达到资源共享，使广大师生及时了解国内外科学技术和高等教育发展的最新动态，促进教学、科研、管理事业的发展。 图书资料检索、借阅自动化 通过改造原有图书检索系统，建设电子图书馆，提高校内图书资料的利用率；充分利用校外图书资料，实现远程计算机图书检索和借阅。 学校管理系统的信息化、自动化 依托校园网，构建相应的交互式应用软件平台，实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化，实 现统计监测网络化，提高管理效率和水平。 实现网上招生、网上人才招聘、学生网上求职等。 建立计算机网络辅助教学系统 建立基于网络的电子教学 CAI课件开发网上题库、答疑与作业批改等计算机辅助教学系统，实现教学手段的现代化。 校园网和广域网结合 依托校园网、广域网开展远程教学，使广大的学生和老师能更好的交流学习和获取学校网络的资源。 创建网站 创建学院网站，使之成为对外宣传的重要窗口，让世界了解我们，提高学院的知名度。 人性化 为广大师生提供宽松，开放、易用的网络环境，使网络触入日常工作和生活中 ，发挥网络的最大效用。 方便教学 网络可以进行图、文、声并茂的多媒体教学，可以取代语言实验室进行更生动的语言教学，也可以利用大量现成的教学软件，提供一个良好的教学环境，这些都是以往任何教学手段所不能达到的。 校园网络不但可以在校内进行网络教学，还很容易同外界大型网络连结，形成更大范围的网络交互学习环境。 系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及经济性。 业务需求分析 作为本院校园网工程最终用户的学院领导、管理人员和专业 技术人员，是学校的专门管理人员，具有丰富的管理经验和专业知识，对数据信息的需求有所不同：院领导希望能提供决策方面的主要数据；中层干部既具有决策又有管理工作，希望能尽快收集信息，用以协调各部门工作；专业人员从事基础管理工作，希望通过计算机提高工作效率；教师希望能以更生动、形象的多媒体手段给学生授课，同时通过计算机网络查询资料、进行备课和与学生交流；学生也希望能够通过计算机网络快速、便捷地与老师沟通、下载课件和利用网络资源解决学习上的困难和自学。 安全性需求分析 在校园网络中，校园网络的安全保障十分的 重要：校园网用户的流动性大，信息点存在随意接入使用的问题。 学生及外来不明身份的用户，在校园网中找到任何一个信息点，就可以进入到校园网，可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。 另外校园网的网络安全，还需要考虑与外网及内网不同应用系统之间的安全访问控制。 为了发生安全事件后，能够有效、快捷地处理事故，采用上网审计手段是十分有必要的。 由于当前类似“冲击波、震荡波病毒”的肆虐，一个健壮的网络应该提供必要的手段，禁止特定病毒的传播以及由于病毒造成的流量拥塞。 因此，系统安全控制技术应遵守的要求为： Inter 的安全控制应提供地址转换、被动监厅、端口扫描和否认服务等机制、同时划分不同级别的安全区域；远程访问的安全控制应提供访问服务器的用户身份认证、用户授权及用 户记账 /审计等功能；应提供对整个网络和工作站进行侦独、解毒和清毒等工作，防范计算机病毒。 内部网络实用 VLAN分段，隔离广播域，防止网络窃听和非法访问 ,使用防火墙分割内部网和外部网，限制级别访问内部 WEB服务器，财务数据，以及 OA系统各分区校园用户使用 VPN方式访问主教学总部网络，并限制同时的访问量。 校园网功能 连接校内所有教学楼、实验室 、办公楼中、学生生活区、图书馆 PC。 同时支持大约 1200用户浏览 Inter。 提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：提供基本的 Inter网络服务功能：如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。 提供校内各个管理机构的办公自动化。 提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。 全校共享软件库服务，避免重复投资，发挥最大效益。 提供 CAI 教学和科研的便利条件。 经广域网接口，提供国内外计算机系统的互连，为国际间的信息交流和科研合作，为学校快速获得最新教 学成果及技术合作等创造良好的信息通路。 二、方案设计原则 本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该校园网的网络系统。 从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则： 实用性和集成性 系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应校园信息化的需求的基础上进而再来考虑其他的性能。 该系统所包含的内容很多，必须能将各种先进的软硬件设备 有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致的进行高效工作。 标准性和开放性 只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。 通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。 先进性和安全性 系统所有的组成要素均应充分地考虑其先进性。 不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合 ，才能获得最大的系统性能和效益。 网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。 成熟性和高可靠性 作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。 网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。 同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。 可靠性也是衡量一个计算机应用系统的重 要标准之一。 在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。 因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。 应急处理信息系统能够全天候工作，达到每周 7*24小时工作的要求。 一个高可用性的系统才能使用户的投资真正得到回报。 可维护性和可管理性 整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。 对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络 的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。 在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。 可扩充性和兼容性 网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。 为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系 统时，应将系统按功能做成模块化的，可根据需要增加和删除功能模块。 三、方案设计 在此校园网络设计中，我们采用层次结构化模型来设计网络拓扑结构。 所谓“层次结构化”模型，就是将复杂的网络设计分成几个层次，每个层次强化某些特定的功能，这样就能够使一个复杂的大问题变成多个简单的小问题。 层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。 层次结构化模型的好处： 在校园网网设计中，使用层次结构化模型有许多好处，列举如下： 节省成本 采用层次结构化模型之后，各层次各司其职，也不用再同一个平台上考虑所有的事情。 层次结构化模型模块化的特性使网络中的各个层都能够很好地利用带宽，减少了对系统资源的浪费。 易于理解 层次结构化设计使得网络结构清晰明了，可以在不同的层次实施不同的管理，降低了对网络设备的管理成本。 易于扩展 在网络设计中，模块化具有的特性使得网络增长时 ,网络的复杂性能够限制在各个子网中，而不会蔓延到网络的其它地方。 而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。 易于排错 层次结构化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范 围，从而简化了排错过程复杂度。 3. 网络拓扑图 教育网 广域网设计 在校园网中访问对向一般两种，一是对 Inter 网的访问需求，另一个是对教育网的访问。 如果，只通过 Inter访问教育网，这样，一是会造成出口访问流量大，二是，访问教育网时，会产生一定的延迟时间。 不利于提高网络的可靠性和访问速率。 采用高端路由器做路由表的更新及转发路由信息，提高内部对外部访问的速率。 防火墙放在路由器之外，采用两个出口，通过 IP策略路由技术来实现各自访问目的地，可以根据不同目的地址来判断选择走哪个出口去访问外网。 开启防火墙功能，对内外的数据进行相应的访问控制，对不必要的数据进行过滤，利用 Qos 服务质量来对内部网、外部网的访问信息量进行相应控制，使之保证出口通道不被非正常数据所占有。 在防火墙上做 NAT 地址转换技术、 NAT 地址映射技术后，将内部 IP 地址转换成外部可用 IP 及将内部某服务器 IP 映射成外部可用 IP 地址，这样实现对内外部网的访问。 相对外网来说，内部网是不可见的。 这样保证了内部网的安全性及节约对外网 IP的需求。 光发射机，将 CATV 信号转换为光信号，这样可以提高在内部的传输速度。 核心层设计 负载均衡： 冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。 但是投资也将增加。 部分校园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。 冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。 万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。 可采用 GEC链路聚合（ ）实现端口级冗余，以克服某个端口或线路引起的故障。 也可采用生成树协议（ ）或MSTP 提供设备级的冗余连接。 此外，我们在设计中提供不同物理方向的双归属、双路由保护。 线路冗余： 在校园网骨干核心层校园网络边界拓扑结构由于采用了多机热备份的核心交换机系统解决方案，所以在线路冗余方面的要求较高，对于线路的冗余要求，我们采用 10GE线路对二台校园网核心层设备进行环行双向备份，并使用业界领先的 VRRP（虚拟路由器冗余协议）来对其作为冗余线路的协议保障。 以 GEC 作为 N*1000M 主干链路，通过这个链路连接骨干网交换机，具备万兆扩展能力；接入交换机采用 10/100M 自适应端口连接桌面系统，多千兆链路连接到汇聚层。 链路聚合： 链路聚合中，成员互相动态备份。 当某一链路中断时，其它成员能够迅速接替其工作。 与生成树协议不同，链路聚合启用备份的过程对聚合之外是不可见的，而且启用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。 综合分析以上各主流方案的优缺点，从性能与成本及拓展性等方面的综合考虑出发，我们决定采用 GEC 骨干核心网络 10GE 拓展的方式作为其链路选择及备份选择。 校园网汇聚层及接入层出于成本及性价比的考虑，我们决定采用千兆交换，千兆汇聚，千兆路由 ,万 兆拓展 ,百兆到桌面的链路。 汇聚层设计 wlan 接入： 汇聚层针对于学院内的接入层与核心层的数据交换，实现学院各区域间网络之间的的汇聚。 有多个不同 VLAN，利用 STP或 RSTP生成树协议，会造成链路的浪费，不能达到链路的有效利用率，为实现汇聚层链路的负载分担及备份。 则我们采用 MSTP多生成树实例来实现，它可以将多个不同 VLAN 捆绑在一起，不同实例互相为备份，达到链路的备份及流量的分担。 交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处 理的需要 ,并能够加灵活的部署在网络边缘的各个位置。 能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。 这些交换机都具备较强的多业务提供能力，可支持包括智能的 CCL、 MPLS（多协议标签交换）、组播在内的各种业务。 为用户提供丰富、高性价比的组网选择。 接入层设计 以往传统校园网接入层的建设中并不关注于安全控制和 QOS 提供能力，而将网络的安全防御措施和 QOS 保障依赖于网络的汇聚层或骨干层设备，这给汇聚层和骨干层设备带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫机，使网络没有 QOS 服务质量 保障。 我们采用 H3C 360028P 的交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机，具备传统二层交换机大容量、高性能等优点，同时还具有领先的安全特性，进一步加强了企业网络对边缘接入层面的安全控制能力。 具备的端口带宽限制、端口镜像、 QoS、 、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。 方案特点 本方案采用层次结构化模型很好地解决了校园网内要求的几个问题，即带宽问题、安全问题、管理问题、维护问题、灵活扩展问题。 带宽问题：使用万兆互连双核心结。