校园网分析
习题2
1、上网查找2-3骗企业或者校园的(方向不限)组网的解决案例。案例中最好要有拓扑结构图,IP 地址规划。
1.1用户业务类型需求分析
现今的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软,硬件应用。校园网建设期望能达到以下目标:
(1)在校园内部实现资源高度共享,为教学、科研、管理提供服务,为计划、组织、管理与决策提供基础信息和科学手段;
(2)支持教育教学改革、提高教育技术的现代水平和教育信息化进程,为学校教师的备课、课件制作、教学演示提供网络环境。
(3)实现办公自动化,提供与上级教育部门、社会、家庭之间通讯的出入口,提供电子函件、公告牌和教育教学信息查询等服务,提高工作效率和管理水平;
(4)及时、准备、可靠地收集、处理、存储、传输学校的教育教学信息完成与因特网的通讯和资源共享,实现社会教育、学校教育、家庭教育的有机整合;
(5)实现课堂多媒体电化教学,具备适用于双向课堂语音教学以及语音室功能学习,以代替手提录音机,实现音频数字化资源共享、集中管理。电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。
1.2网络功能需求分析
1.2.1信息交流功能
信息交流功能主要有两个方面服务功能:互联网信息服务和校内信息服务。 互联网信息服务可以使任何一个办公室的计算机都能实现网上浏览、查询信息的功能,使教师能够扩宽视野,充分利用互联网上的资源辅助教学,提升教学理念,提高教师的教学能力、教学水平和科研能力。
校内信息服务能为教育教学和管理决策提供各项信息服务,能为全校师生提供相互交流、相互学习的平台。
1.2.2教学服务功能
构建校园网的主要目标的就是提高教学质量,为学校的教育教学服务。校园
网将主要从以下几个方面为教学服务。
(1)建立课件(基件)、教学信息资源库,实现课件点播和辅助教学。将教学资源库建设成为包括各科的教材、教案、试题、录像、图片等对教师备课有参考价值的多媒体素材库。
(2)利用网络技术,实现多媒体信息交换、视频点播、远程教育等功能。
(3)建立电子备课室、光盘阅览室。电子备课室为教师提供优越的电脑制作条件、配备各种先进的备课设备,方便教师备课使用;光盘阅览室提供大量的电子读物,发挥电子媒体容量大、体积小、成本低、检索快、易于保存和复制、图文并茂等优点,使教师能够最短的时间获取最多的信息。
1.2.3学生学习功能
利用网络自主学习、可以提高学生的学习能力。学生可以利用校园网查阅资料,扩展视野;可以利用网络相互交流、相互学习;可以在网络上建立主页,宣传自己,宣传班级;可以利用网络与教师交流,实现无纸化作业等。
1.2.4学校管理功能
校园网使学校建立完善及时的信息发布体系,在此基础上可以实现学校管理的透明化、公平公正化。学校管理功能主要有以下几个方面。
(1)网上办公系统
(2)教务管理系统
(3)学生管理系统
(4)行政管理系统
(5)财务管理系统
(6)后勤管理系统
(7)图书管理系统
2 网络拓扑结构
2.1选择拓扑结构应考虑的主要因素
确立网络的拓扑结构是整个网络方案规划设计的基础,拓扑结构的选择往往和地理环境分布、传输介质、介质访问控制方法,甚至网络选型等因素紧密相关。选择拓扑结构时,应该考虑的主要因素有以下几点。
(1)费用。不同的拓扑结构所配置的网络设备不同,设计施工安装工程的费用也不同。要关注费用,就需要对拓扑结构、传输介质和传输距离等相关因素进行分析,选择合理的方案。例如,冗余环路可提高可靠性,但费用也高。
(2)灵活性。在设计网络时,考虑到设备和用户需求的变迁,拓扑结构必须具有一定的灵活性,能被容易地重新配置。此外,还要考虑信息点的增删等问题。
(3)可靠性。网络设备损坏、光缆被挖断和连接器松动等故障是有可能发生的。网络拓扑结构设计应避免因个别节点损坏而影响到整个网络的正常运行。
2.2建设校园网的关键因素
(1)安全的需求。越来越多的报道表明高校校园网已逐渐成为黑客的聚集地。如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。
(2)管理的需求。由于高校网络节点众多,因此无法一体化管理众多的设备和用户。出现网络故障无法快速定位,IP 地址被盗用和IP 地址冲突等问题日益严重,如何利用有限的人力物力对网络进行高效管理也成为校园网建设考虑的重点之一。
(3)性能的需求。高校校园网络应用人数很多,并且随着网络应用技术的不断丰富,高校校园网应用也愈发复杂。例如FTP 文件传输等大数据量的访问,产生了巨大的网络流量。如何高速进行网络传输,对网络设备提出来很高的要求。
(4)接入方式的考虑。高校校园网中不仅需要有线网络,在某些环境(如电子阅览室、体育馆等)中还需要无线的接入。
2.3网络拓扑结构的选择
根据校园网用户的需求,结合学校的实际情况,商学院提出了高安全、易管理、可运营的校园网建设方案。网络拓扑如下图所示。
2.4网络结构的组成
商学院的网络结构,由5个部分组成。
● 网络出口,由边界路由器组成
● 核心层,由两台核心交换机SW1和SW2组成。
● 区域1是图书馆区,由一台汇聚交换机和若干接入交换机组成。
● 区域2是学生公寓区,由男生公寓汇聚交换机和女生公寓汇聚交换机及
若干接入交换机组成。
● 区域3是实验楼及教学楼,由3台汇集交换机及若干接入交换机组成。 为保证网络的稳定运行,一定的冗余是必不可少的,在设备级、核心路由交换机采用双主控板,双电源,保证核心的稳定;在汇集层和接入层,采用冗余链路,关键接入交换机采用双链路连接汇集,启用RSTP ,保证快速收敛。
3 硬件设备及软件系统的选择
3.1服务器设备的选型
本网络系统使用Windows 2003 Server 服务器软件系统平台,服务器要处理和存放大量的数据,对运行速度的要求较高,应选性能较高的PC SERVER 作为服务器,两外考虑到需要长时间不间断工作,服务器的可靠性、耐用性尤其重要,硬盘应为热插热拔硬盘,关键应用考虑采用RIAD 技术保证数据的可靠性,当其中一个硬盘有问题也不用停机便可更换,读写速度也要求高,应选用SCSI 硬盘接口,同时采用自适应10/100/1000M网卡。
综上所述,选用曙光天阔系类作为网络服务器,其性能优异,可满足网络工作组用户对文件服务,打印服务,数据库服务或WEB 应用服务的要求,是高处理速度与合理价格的组合。
3.2交换机设备选型
(1)核心层
选用国内知名品牌神码数码DCRS-7216核心路由器交换机来当该校园网的核心交换机。
设备介绍:DCRS7216采用业界先进的ASIC 芯片,保证了高性能,并且DCRS7216具有可冗余的电源、引擎设计,完全按照电信级的可靠性设计,是理想的网络核心选择。DCRS7216具有384G 高速背板,143M 三层包转发率,支持RIP 、OSPF 等路由协议,支持硬件NAT ,支持PPPOE 、802.1x 、DHCP+WEB认证方式,支持DHCP 中继站式。DCRS-7216提供了18哥插槽,其中16个业务接口模块插槽,2个管理模块插槽。
(2)汇聚层
采用神州数码DCRS-5512GC 来作为校园网部分区域的汇聚层交换机。
DCRS-5512GC 是神州数码网络有限公司推出的一款汇聚层千兆路由交换机,提供了12个千兆端口,交换能力高达36Gbps, 可全线速进行L2/L3数据转发,适合于作为校园网的汇聚层设备。
(3)接入层
在接入层选用神州数码DCS3926二层可网管交换机。在信息较多的地方,可将二台3926堆叠来满足用户需求。作为新一代的交换机,DCS-3926S 具有强大的安全特点。
3.3路由器选型
路由器飞分类标准
从档次上分,路由器可分高、中和低档路由器。
从性能山分,路由器可分为线速路由器以及非线速路由器。
从结构上分,路由器可分为模块化结构与非模块化结构。模块化结构可以灵活地配置路由器,以适应企业不断增加的业务需求,非模块化的就只能提供固定的端口。
从功能上划分,可将路由器分为核心层(骨干级)路由器,企业级路由器和访问层(接入层)路由器。
从应用划分,路由器可分为通用路由器与专用路由器。一般所说的路由器皆为通用路由器。专用路由器通常为实现某种特定功能对路由器接口、硬件等作专门优化。
基于以上这些因素的综合考虑,最终选用思科CISCO 2821路由器,它的各项参数性能符合本次的校园网建设。
3.4操作系统的选择
与网络设备选型不同,在同一个网络内不需要非用一致的操作系统,在选择时可结合Windows 、Linux 和UNIX 的特点,可在网络中使用混合平台。通常,在应用服务器上采用Windows XP/2003平台,在Mail 、Proxy 、Web 等Internet 应用中可使用Linux/UNIX。这样,即可以享受到Windows 应用丰富、界面直观、使用方便的优点,又可以享受到Linux/UNIX稳定、高效的好处。
当然,考虑到服务器的性能和兼容性,大家还是喜欢选择Windows XP操作
系统。
3.5文件传输系统软件选择
文件传输协议(FTP )是最早的Internet 协议之一。通过FTP 可以让用户向服务器上传文件或从服务器下载文件。
在Windows Server2003中,FTP 服务器是IIS 组件之一,默认情况下是不安装的。但很多人对Windows 自带的FTP 服务器不满意,认为其功能过于简单,无法满足要求。因此,可以选择功能强大的FTP 服务器软件Serv-U, 是目前Windows 平台上比较流行的FTP 服务器软件。
4 IP地址的分配及室内室外布线设计
4.1IP 地址规划
IP 地址规划分为4个部分:从ISP 申请到的地址;用户使用的地址;交换机管理及路由器地址;一卡通使用的地址。
其基本思路是:用户使用10.0.0.0保留网段,根据每个不同职能部门的用户数量,合理划分虚拟局域网。交换机管理及路由器地址采用172.16.0.0保留网段,根据连接的路由网段,使用/30的子网掩码。一卡通使用192.168.0.0网段划分子网,启用ACL ,只允许本网段之间通行,阻止其余网段的访问。在边界路由器处启动NAT ,应用服务器采用直接映射的方式转换为公网IP 地址。
4.2室内室外布线设计
一般来说,校园网络布线系统大多采用结构化布线系统,包括楼内布线系统和楼宇互连主干布线系统。一般网络布线系统由以下子系统组成:
(1)建筑群主干子系统—提供不同楼宇之间连接的布线系统,一般作为校园网络的连接主干;
(2)设备间子系统—是整个楼宇内部的核心管理区域,该楼所有楼层都通过双绞线或光纤连接至此,通常,整个楼宇的汇聚层设备放置在设备间子系统内;
(3)管理区子系统—此系统放置同一楼层的线缆及接入设备,有时也可把管理区子系统并入设备间子系统,以便集中管理;
(4)垂直(主干)子系统—位于高层建筑物的竖井内,用于同一楼宇内不同楼层之间的连接,可采用多模光缆或大对数双绞线;
(5)水平支干线子系统—连接配线间子系统至工作区,包括水平布线、信息插座、电缆终端等,多采用超五类双绞线,对于新的楼宇采用暗装墙内的方式,而对于旧的楼宇则采用PVC 线槽明装的方式;
(6)工作区子系统—由信息插座延伸至终端设备。
5 网络安全设计
网络安全设计就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或恶意的原因而遭受到破坏、更改和泄露,系统连续可靠在正常运行,网络服务不中断。网络安全设计的内容既有技术方面的问题,也有管理方面的问题,两方面互相补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。
5.1校园网络安全现状分析
随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。
针对教育网络的安全隐患和漏洞,非法用户和黑客可以制造出各种安全风险,这些风险由多种因素引起,与教育网的系统结构和应用,教育网的服务器和终端的可靠性等因素息息相关。我们根据OSI 参考模型,将这些风险分为物理层面的安全风险,网络层面的安全风险、系统层面的安全风险、应用层面的安全风险和管理风险。
5.1.1物理层安全风险
网络的物理安全是整个教育网网络系统安全的前提。 物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。
5.1.2网络层安全风险
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等,除此之外还包括网络设备,如交换机、路由器本身是否存在安全隐患或错误的配置。
所谓系统的安全显而易见是指整个教育网网络操作系统、网络硬件平台、数据库系统是否可靠且值得信任。
5.1.4应用层安全风险
应用系统的安全跟具体的应用是有关的,它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面,如应用广泛的电子邮件服务、WWW 服务、DNS 服务等等。
5.1.5管理风险
管理是网络安全中最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
5.2校园网络安全解决方案
5.2.1防火墙的解决方案
防火墙主要用于对网络和系统的保护,它是通过允许或禁止数据包经过网络的不同层来实现的,而网络本身是一个层次结构,因此安全问题也是分层次的。完整的安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。神州数码防火墙可以在网络层、传输层和应用层上进行数据的安全保护和过滤。
DCFW-1800是典型的多功能防火墙,涵盖了防火墙的技术和特性,具有防止黑客攻击的能力。用户根据其网络应用的需求和安全级别的要求(如网络层安全或应用层安全,可以灵活选择包过滤或应用代理等)选择功能特性。
5.2.2防病毒解决方案
根据校园网的网络结构和计算机分布情况,病毒防范系统应该能够配置成分布式运行和集中管理,由防病毒代理和防病毒服务器端组成。
防病毒客户端安装在系统的关键主机中,如关键服务器、工作站和网管终端。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀,设定病毒防范策略。能够从多层次进行病毒防范,第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护。
在应用系统安全上,主要考虑通信的授权,传输的加密和审计记录。这必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。再需要加强主机的管理上,在加强主机的管理上,除了上面谈的访问控制外和系统漏洞检测外,还采用访问存取控制,对权限进行分割和管理。应用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。
为了保证系统的安全,一方面,我们应该对系统进行升级和安全增强配置,另一方面,我们应通过漏洞检测工具,定时对系统进行安全漏洞扫描,以便于及时发现安全隐患,并根据评估软件的安全补救建议修补我们的系统。
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。
5.2.4安全管理
安全管理的主要功能指对安全设备的管理;监视网络危险情况,对危险进行隔离,并把危险控制在最小范围内;身份认证,权限设置;对资源的存取权限的管理;对资源或用户动态的或静态的审计;对违规事件,自动生成报警或生成事件消息;口令管理(如操作员的口令鉴权),对无权操作人员进行控制;密钥管理:对于与密钥相关的服务器,应对其设置密钥生命期、密钥备份等管理功能;冗余备份:为增加网络的安全系数,对于关键的服务器应冗余备份。安全管理应该尽可能的支持统一的中心控制平台。
6 计算整个网络设计完毕的预算价格
6.1各种计算机的配备
每个部门的IT 设备如下:
● 管理员:装WIN XP系统的个人电脑;
● 财务部:装WIN XP系统的个人电脑,HP 2000C激光打印机;
● 校长室:装WIN XP系统的个人电脑;
● 教务处:装WIN XP系统的个人电脑,HP 2000C激光打印机;
● 政务处:装WIN XP系统的个人电脑,HP 2000C激光打印机; ● 教师办公室:五台拥有装WIN XP 系统的个人电脑; ● 教室:一台装WIN XP 系统的教学用计算机; ● 实验室:一台装WIN XP系统的计算机; ● 机房:配置50台计算机。 6.2每栋建筑的布局具体
如下表:
综上所述,共需250台装WIN XP 系统的教学用计算机,750台机房计算机。 6.3校园网络基本设备的预算编制
根据上述设备选型分析,特制定了如下基本设备预算编制表
1)实现校园内部资源共享
学校领导和教师能通过及时、准确地查询教学活动中的信息,掌握当前教学情况。并通过对信息的统计、汇总及分析,为教学、科研管理提供服务,为学校领导计划、组织、管理和决策提供详实的信息资源服务和科学管理手段,能及时制定、修正教学工作计划
2)完备的数据库管理系统和资源库
能够支持大量的图文声像素材、多媒体课件片段,成百个教学光盘,总量达几百兆以上数据文件的收集、管理、存储的提取。检索方便,容错性强。
3)以教学资源库为核心的教学自学环境
为学校教师提供制作环境、备课工具、良好的教学演播环境以及教学评估机制。为学生提供自主学习、交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制。利用现代教育技术,提高学生的素质,改革课堂教学模式。
4)现代化管理方法和管理手段
加强对学校的财、物的管理,提高办公效率、降低成本消耗,逐步实现办公自动化、网络化。
5)实现校园网与互联网的连接
建立学校主页、教师主页、学生个人主页、电子邮箱、电子公告牌等信息发布窗口,发布有关教育教学信息,建立起学校、教师、家长、学生之间的信息交流平台,并逐步发展建设成为一个面向全省、全国的教育教学信息网站。
6)提供有关教育教学信息网站的连接,增强教学交流能力 建立起各学校之间的教学信息资源库的共享,使不同学校的学生可以实现网上听课、辅导、交互协作式学习。
2、校园网总体需求分析
校园网是一个由硬件平台、操作系统、各种应用软件有机结合而组成的一个系统, 下面是一个校园网的整体结构图:
2、针对其中一篇分析你找资料中的拓扑结构图,说明其中的组成部分,什么样的线,带宽?什么互联设备,什么安全设备,哪些服务器等?
根据上述设备选型分析,特制定了如下基本设备预算编制表
3、分析其中的IP 地址规划。
IP 地址规划分为4个部分:从ISP 申请到的地址;用户使用的地址;交换机管理及路由器地址;一卡通使用的地址。
其基本思路是:用户使用10.0.0.0保留网段,根据每个不同职能部门的用户数量,合理划分虚拟局域网。交换机管理及路由器地址采用172.16.0.0保留网段,根据连接的路由网段,使用/30的子网掩码。一卡通使用192.168.0.0网段划分子网,启用ACL ,只允许本网段之间通行,阻止其余网段的访问。在边界路由器处启动NAT ,应用服务器采用直接映射的方式转换为公网IP 地址。
4、完成书上第三章习题 。
VRRP 协议
虚拟路由器冗余协议(VRRP )是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。