校园网络设计方案 重要

校园网络设计方案信安111夏嫄前言随着信息化教育的发展，校园网的建设已经成为是学校的一项基础性建设。校园网为提高学校的教学水平、科研水平创造了一个良好的环境，为重点工程的建设提供了一个良好的应用、开发和研究平台。建设一个高速、安全、稳定的校园网对学校的发展起着相关重要的作用。校园网络设计方案书一、需求分析二、网络系统总体设计三、IP地址总体规划四、设备的配置一、需求分析1.环境需求：校园网是各种应用的统一通信平台，网络平均无故障时间和平均修复时间都要在一定的范围允许内，网络设备以及组网模式都需要一个相当高的可靠性。由于本方案中地理环境为山区，所以设备的防雷要求较高（外部线路尽量采用屏蔽双绞线或光纤）；同时对服务器等主要设备至少需要进行电源防雷（可以买一个电源防雷器）；山区电力情况表明可能供电电压不稳和可能会发生停电现象，需对主要设备配一个1KW的智能稳压源UPS。需求分析2.设备需求：由于学校有数据信息需要处理，因此要求网络有较高的数据通信能力和较好的数据带宽，所以网络设备必须具备高速处理数据的能力。根据学校的实际情况，除实验楼外，每座大楼暂时可以采用一个24口交换机。50台的计算机实验室可以采用室内级联交换机。电信部门提供的ADSL专线或光纤可以安装在学校中心位置或计算机实验室以便降低其他成本。1个IP地址表明，必须设置内部代理服务器（节省IP开销，同时也可以增加缓冲器，提高访问速度）。需求分析3.功能需求：访问互联网络远程教育电子邮件和电子公告计算机辅助教学教师备课功能对外交流从中可知要在一台主机上设置主页服务器，内部邮件服务器，内部ftp服务器。此服务器需要完成的任务较重，包括代理服务器，服务器，内部邮件服务器，内部ftp服务器等。此机器需24小时运行。性能参数要求高。采用双网卡、硬盘容量较大中档左右的服务器。需求分析4.安全性需求网络安全是一个十分重要的问题，校园网安全性问题不仅来自外部网络，更主要的威胁还是来自内部网络。通过判断IP源地址，拒绝未经授权的数据进入网络。防止病毒对网络系统的威胁和黑客对网络系统的破坏和侵入。针对安全性问题而进行的用户分组管理。首先是根据不同的安全级别将用户分为若干等级，并规定对应的系统资源和数据访问权限，其次是强有力的身份认证，确保用户密码的安全。解决是否只有合法的用户才能够对特定的数据进行合法操作的问题。这涉及两个问题，即应用程序对数据的合法权限和应用程序对用户的合法权限。在数据的保存过程中，机密的数据即使处于安全的空间，也要对其进行加密处理，以保证万一数据失窃，偷盗者也读不懂其中的内容。同时物理安全也是十分重要的。例如线路的选择和布局，设备的稳定性等。同时还要做好防盗措施。系统运行的安全与管理应从网络设备与链路的冗余设计、防病毒防攻击措施、上网行为管理措施、上网身份认证、访问权限设置以及网络运行实用技术配置等方面综合考虑。网络互连的安全与管理要考虑的问题是：内网与外网是否实行物理隔离，是否采用防火墙技术和入侵检测技术等。需求分析5.投资分析随着学校的发展，网络应用增多，因此，在完成初期的网络建设时，要充分考虑到网络今后的扩展需求。在此项目中所有设备和线路初期投入不超过7万元。可以在后期工程中有效扩充。后期使用费用应尽量减少。需遵守软件版权协议。二、网络系统总体设计1.拓扑图实验楼教学楼A办公楼教学楼B接入交换机宽带路由器（自带防火墙）服务器核心交换机Vlan2192.168.1.2-192.168.1.73Vlan3192.168.2.2-192.168.2.18Vlan4192.168.3.2-192.168.3.23Vlan3192.168.2.19-192.168.2.35网络系统总体设计2、信息点分布表实验楼计算机实验室70台PC机。70个信息点。办公楼每个办公室四台PC机，五个办公室，共计20台。20个信息点。教学楼A每个教室一台PC机，共计15个教室。15个信息点。教学楼B每个教室一台PC机，共计15个教室。15个信息点。网络系统总体设计3、设备选型表网络系统总体设计4、主要设备实图及方案说明方案说明：本方案以第三层交换的千兆以太网技术为基础，采用核心交换机、接入交换机的二层网络结构设计。UKR2250宽带路由器采用专用高速处理芯片研发，具有120Kpps性能，266Mhz主频。该产品提供了5个10/100M快速以太网端口，具有多线接入、负载均衡、线路备份、ARP欺骗防御、端口镜像、带宽控制等功能，支持L2TP、PPTP、Ipsec等多种VPN协议，并且内置丰富的防火墙功能，能够有效防止病毒攻击及非法入侵,非常适合200节点的校园网接入使用。核心交换机UKG2602GM是一款千兆管理型交换机。该产品基于VITESSE芯片低功耗设计，具有48Gbps的背板带宽，支持VLAN、STP、Qos、端口汇聚、IGMPSnooping、SNMP/RMON等功能，内置安全过滤模块，可以防御ARP攻击。接入交换机UKG2602GU基于VITESSE芯片低功耗设计，支持超长帧传输、流量控制、双向MAC地址学习等功能，可以实现全线速无阻塞交换。无线路由器核心交换机接入交换机服务器PC机三、IP地址总体规划1、网络结构概况网络系统是一个高带宽、高速率的内部信息传输网以及高速的互联网接入系统。它可为大厦物业管理和用户提供数据运载服务及信息服务，同时也为将来的智能化中心系统构架优良的系统平台。高速的内部网络，可以为用户提供各种各样的信息服务。网络设备分布情况如下：UKR2250宽带路由器一台UKG2602GM核心交换机一台UKG2602GU接入层交换机二台T168G7S3-12202G/500S服务器一台金武士ST1KS在线式UPS电源1台IP地址总体规划2、IP地址规划基本原则简单性：地址分配应清晰明了易于实施，降低网络扩展的复杂性，简化路由表的条目。连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。安全性：保证内部地址的不泄漏，外联业务的对外的地址与内部地址的网段不同。IP地址总体规划3、IP地址规划总思想私有IP的划分，根据学校的实际情况，将采用c类IP地址，地址网段为192.168.0.0~192.168.255.255，网络数为256，私用主机总量为25665024.互联网地址规划，用电信提供的一个正式公有IPIP地址总体规划4IP地址总体规划Vlan的划分:vlan1保留教学楼A：vlan2教学楼B：vlan2办公楼：vlan3实验楼：vlan4设备的配置1、Vlan配置实验划分Vlan并配置Trunk链路端口，使同一Vlan中的PC能够跨交换机访问。设备的配置对各交换机进行Vlan的划分设备的配置对各幢楼的PC机进行IP分配，通过ping命令检验使处在同一Vlan中的PC机能够互访。