1、摘 要学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设,旨在推动学校信息化建设,其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络,最终完成统一软件资源平台的构建,实现统一网络管理、统一软件资源系统,为用户提供高速接入网络,并实现网络远程教学、在线服务、教育资源共享等各种应用;利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面,更好的对众多网络使用及数据资源的安全控制,同时具有高性能,高效率,不间断的服务,方便的对网络中所有设备和应用进行有效的时事控制和管理。我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快实行湖南文理
2、学院简单模型设计规划势在必行。信息技术将彻底的改变我们的学习、生活和工作方式,现行教育体制面临着严重挑战。本设计围绕湖南文理学院校园网建设的规划和设计多方面展开论述,包括校园网络现状描述,校园网建设需求分析,校园网网络结构整体规划与详细设计等关键环节,并将结合实际情况对本校给出具体方案,并给出方案实施过程,对于加快学校的信息化建设有一定的借鉴作用。关键词:数字化校园;连网技术;网络安全前 言当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。其背景是:半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛,并迅速广泛应用于社会各领域,产生和激发出新的生产
3、力,正引起社会经济乃至人们工作、生活方式的深刻变革。自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。建设校园网络信息系统,在校园内部实现资源高度共享,为教学、科研、管理提供服务,为计划、组织、管理与决策提供基础信息和科学手段;支持教育教学改革,提高教育技术的现代化水平和教育信息化程度,为学校教师的备课、课件制作、教学演示提供网络环境;通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料,实现素材收集、电子备课功能。培
4、养创新人才,提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力,使学生能自主学习、协商学习、发现探究式学习以及自我评价,为学生的全面发展创造相应的条件。实现办公自动化,提供与上级教育部门、社会、家庭之间通讯的出入口,提供电子函件、公告牌和教育教学信息查询等服务,提高工作效率和管理水平。及时、准确、可靠地收集、处理、存储、传输学校的教育教学信息,完成与因特网的通讯和资源共享实现社会教育、学校教育、家庭教育的有机结合。实现课堂多媒体电化教学。具备适用于双向课堂语音教学及语音室功能学习。以代替手提录音机,实现音频数字化资源共享、集中管理。
5、电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。建立校园网管理应用系统。以顺应无纸教学,无纸办公的发展趋势,充分利用现代化技术来进一步提高教学质量和办公效率,为向各高校输送优秀学生提供一个优良的硬件教学环境。目 录1案例描述11.1概述11.2学校简介11.3网络系统现状22需求分析32.1带宽32.1.1网上数据流特点32.1.2网络流量情况32.1.3校园网主干需要的数据流量32.1.4需求的流量类型42.1.5性能与要求42.1.6接入层需求分析52.2子网与VLAN规划62.3实现的信息服务72.4应用程序82.5存储系统分析82.5.1性能需求82.5.2功能需求92.5
6、.3应用需求分析92.6系统及数据安全分析102.7网间隔离103拓扑图及方案整体描述133.1主干网传输方案设计143.2Internet接入方案153.3远程访问支持163.4子网划分与VLAN设定163.5存储方案183.5.1服务器系统部分183.5.2存储备份系统部分193.6设备选型193.7软件194设备报价21设计总结22参考文献24致 谢251案例描述1.1概述随着经济的发展和国家科教兴国战略的实施,校园网络建设已逐步成为学校的基础建设项目,更成为衡量一个学校教育信息化、现代化的重要标志。目前,大多数有条件的学校已完成了校园网硬件工程建设。然而,多年来都对校园网的认识不够全面
7、,甚至存在很大的误区。例如:认为网络建设越高档越好,在建设中盲目追求高投入,对校园网络建设的建设缺乏综合规划及开发应用;认为建好了校园网络,连接了Internet,就等于实现了教学和办公的自动化和信息化,而缺乏对校园网络的综合管理、技术人员和教师的应用培训,缺乏对教学资源的开发与积累等等。所有这些,都极大地阻碍了校园网络在学校管理、教育教学中所应发挥的实际效益。概括地讲,校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带 、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、
8、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。其次,校园网应具有教务、行政和总务管理功能。1.2学校简介湖南文理学院是一所多学科全日制普通本科院校,至今已有五十多年的办学历史。学校占地面积1791亩,校舍建筑总面积45万平米,教学科研仪器设备总值12528万元。学校学科结构合理,设有文史、法学、外国语、数学与计算科学、经济与管理、资源环境与旅游、物理与电子科学、化学化工、生命科学、机械工程、电气与信息工程、计算机科学与技术、土木建筑工程、音乐、美术、体育、继续教育等17个学院
9、和一个独立学院芙蓉学院;学校是国家高等学校大学生文化素质教育基地、国家Linux技术培训与推广中心、教育部大学英语教学改革试点高校。湖南文理学院现代教育技术中心是为了适应学院发展的需要,于2008年2月,由原计算机基础教学部的多媒体教学服务中心、网络中心以及大学英语教学部的语音室等整合组建而成。图1.1是学校地域分布图教学楼学生公寓教师公寓实验楼办公楼图1.1 学校地域分布图1.3网络系统现状现代教育技术中心是集教学实验、技术开发、信息资源建设为一体的教学服务部门。承担了全院的外语视听教学系统,多媒体教学系统,校园网和校园“一卡通”系统的建设、管理及维护。多媒体教学服务部主要为全院的多媒体教学
10、,大学英语语音教学,多媒体课件制作和教师的现代教育技术培训提供服务。现有多媒体教室,教室内配有广播系统及先进的计算机多媒体可视化教学设备,平时也可作为学院学术报告、大型会议、讲座、学生活动举办地点。校园网采用千兆到楼,百兆到桌面的全交换网络系统,覆盖东西两院、艺术楼以及各个家属区,共计光纤链路40余条,交换机130余台,网络信息点3500多个。整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证计费管理软件、网络版杀毒软件。核心采用锐捷RG-6810E高性能三层管理交换机,汇聚采用锐捷三层交换机,接入桌面采用锐捷21系列。现有的WEB服务器,“一卡通”数字系统,OA
11、办公管理系统,教务管理系统,图书管理系统,流媒体服务器,网络杀毒服务器,为全院教学科研、管理和生活等方面提供了良好的Internet应用服务。2需求分析设计校园网的目标是:不仅要建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络,将学校的各种PC机工作站、终端设备和局域网连接起来,并与有关广域网相连;在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先
12、进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。而且还要依据学校规模大小,结合学校教学科研的内容及其发展的需要,制定一个在未来十年中的近期、中期及长期的建设规划,以保持网络建设的延续性,并保护先前的投资(含各种硬件、软件及信息资源),能融入不断涌现的新技术和新应用。下面我们具体分析一下校园网各个方面的需求。2.1带宽2.1.1网上数据流特点大学校园网具有网络互联的广泛性和使用多样性等特点,广播包将对数据流产生较大的影响,校园网的数据并发性,一般是呈现波峰波谷的,绝大多数情况下,存在高并发性访问的因素,除了周末或者夜间学生晚自修之后的时间,某些特殊的应用也有可能对负荷有突发要求,
13、如使用空间数据,大范围数据搜索,视频方面的应用等,这些突发的负荷有相当一部分转移到应用设备上。这些流量的转移对于网络设备提出了较高的要求,必须要求核心(汇聚)设备均支持万兆技术。2.1.2网络流量情况根据的业务,每位学生主要需求占用的带宽为:视频流,数据,语音(包括桌面会议),图形、空间数据,管理支撑等。考虑应用上某些并发的排斥特点,以及网络应用环境对通畅性的要求,一般每位学生占用的平均实际网络带宽约为1M左右即可以完全满足以上需求,在满足网络在有收敛比的情况下的带宽要求;这就要求汇聚、核心设备均具备万兆智能能力。2.1.3校园网主干需要的数据流量网络主干流量的是基于业务工作在网上展开的情况分
14、析,实际上对网络流量的需求是逐步提升的,特别是要协同体系出现后,干道的流量会大量的增加。我们初步选用1000M带宽以太网作为校园网的主干,考虑到信息点同时在线的收敛比,本网络已经具备极高的伸缩能力,以满足其很强的扩展性要求。2.1.4需求的流量类型(1)客户机/服务器数据(2)Web(3)Mail(4)多媒体教学,VOD,视频会议(5)语音/传真(6)网络管理千兆以太网作为校园网的主干,按10M/100M交换式子网方式接入。采用分散式三层交换体系,二级交换机具有第三级交换能力,主干线路压力小,而且全部实现百兆交换入室。三级交换机可以堆叠,能将一个主干和桌面交换机组成一个整体,提供足够的交换口,
15、可扩展性好。工作组子网可选用100M交换模式。使用户终端独占100M带宽的数据交换。在核心交换机与工作组交换机之间,采用100Mbps传输带宽,当使用全双工时,传输带宽为200Mbps。2.1.5性能与要求接入速率需求:接入速率最基本的是由端口速率决定的。在以太网终端用户中,接入速率通常是按10Mbps、100Mbps和1000Mbps 3个档次划分,不过目前通常是要求百兆位到桌面,支持10/100Mbps自适应速率即可。对于骨干层、核心层的端口速率通常需要支持双绞线、光纤到千兆位,甚至到万兆位速率。扩展性需求:网络系统的扩展性需求是通过在网络结构设计和网络设备选型方面来保证的。网络系统结构设
16、计要适当超出企业当前应用的需求,以便日后在技术上平滑升级。如当前的实际需求只是普通的百兆位,设计时就可以考虑核心双绞线千兆位。甚至是光纤千兆位。其次,网络结构中不同速率端口配置一定要留有适当的冗余,既有利于日后的网络规模扩展也有利于网络维护。另外,网络的扩展性还体现在服务器上,通常需要增加处理器的数量,提高处理器的性能,增加内存容量,提高内存性能,增加磁盘容量,提高磁盘性能等。吞吐速率:吞吐速率主要由各级交换机的背板交换矩阵的带宽决定的,吞吐速率一般可通过交换机堆叠来扩展交换机的背板带宽。选择百兆级的路由器和放火墙即可满足需要。响应时间:响应时间越短,性能就越好,效率就越高。局域网的响应时间通
17、常为1ms2ms,广域网的响应时间为60ms1000ms,越高越好。一般的文字工作可以用一般的响应标准,但大容量的多媒体文件传输,如视频点播、远程视频教学,响应时候就不能那么高了,那样会对整个网络硬件和服务器的配置要求相当高,会增加成本。并发用户数支持:并发用户数支持是指某一系统可以承载的同时访问的用户数,并发用户数越多,系统性能越好,配置也就越高档。具体的并发用户支持数需求要看同一时间系统的人数而定,并稍高于实际值。目标用户容量=目标CPU容量/每个用户Web CPU总成本,目标CPU容量=处理器的数量*CPU的频率定额。磁盘读写性能:终端用户只用于一个人的磁盘读写,一般的磁盘系统可以满足,
18、但在服务器那端,需要同时支持几百甚至是几千人的访问。目前最新的SCSI标准传输速率可达320Mbps,就需要特定的措施给磁盘系统加速,目前主要通过配制RAID,通过这种冗余阵列可以把数据同时写在多个磁盘上,来提高速度。误码率:在局域网中误码率较低(通常为10-810-10)基本可以满足用户的需要,但在广域网中,通过一般可采用ADSL、Cable MODEM甚至是光纤来满足用户的需要。可用性:可以通过提高系统的稳定性来达到,可采用一些具有自愈能力的设备,也可通过提高网络本身的可靠性,如利用冗余链路连接。网络系统的可扩展性最终体现在网络拓扑结构、网络设备,特别是硬件服务器的选型,以及网络应用系统的
19、配置等方面。2.1.6接入层需求分析接入层在整个网络的边缘,学生通过接入设备接入网络。为保证整个网络安全高效的运行,作为网络的入口接入设备的智能识别是一项重要的功能。随着校园网络服务和应用的不断深入,在网络边缘出现了以下4种新趋势。(1)桌面计算能力提高。(2)带宽密集型应用出现。(3)高敏感数据在网络中扩展。(4)出现了多种设备类型,如IP电话、WLAN接入点和IP视频摄像头。这些新需求正与许多已有关键任务的应用争夺资源。因此,必须将网络边缘看作有效管理信息和应用的提供的关键。具体而言,在接入层面,除了应当提供高速的网络连接外,还应当进一步加强校园网络对边缘接入层面的安全控制能力。用户可以根
20、据需要来订制自身的安全策略并部署在此交换机上。同时,接入层交换机还应当支持一些安全功能,如CPU防攻击能力、防流量攻击病毒的能力、防组播、广播攻击的能力;使交换机能够智能地自动阻断或隔离内外部的攻击和网络病毒。除此之外,交换机还应具备多个专用堆叠接口,可满足楼层、楼宇内多个交换机高性能汇聚的需要。2.2子网与VLAN规划用快速以太网拓扑街头,将校园网的网络结构分为三层,校园信息中心:信息网络的核心部分。由中心交换机、UPS等电源系统、服务器、广域网连接设备、网络管理系统组成。功能是实现高性能的交换和传输,也能够有效地对网络流量进行控制和进行VLAN划分。校园主干网:连接校园内各楼宇的主干网络。
21、校园内楼房处设备通过网络线路连接到交换机处,实现校园网络信息交换。各中心节点的主干交换机要支持千兆以太网,具有10/100Mbps以太网端口。网络结构采用环状结构,核心主干交换机与主干交换机互联成环形结构。二级交换机再以星形结构接入对应的中心节点,并以100M直接到桌面,确保信息流畅,这样就构成了能满足教学和管理要求的主干网络。楼内接入网:楼宇内部的星型局域网络,是校园网络的接入层。计算机信息点到楼房间通过双绞线连接,实现楼内网络通讯网络的安全控制也主要由分布层设备来实现。网络中心的路由器选择合适的链路接入方式连接Internet。(1)VLAN划分方案1.将一个班同学的寝室划为同一个VLAN
22、,再将一栋宿舍楼划为一个大VLAN。2.将每个老师的寝室划为一个VLAN。3.将教学楼的所有教室划为一个VLAN。4.将实验楼划为一个大VLAN,再将每个实验室划为一个小VLAN。5.将办公楼划为一个大VLAN,再将每个部门划为一个小VLAN。6.划分方法采用基于端口的划分。(2)IP地址规划根据学校网络目前真实IP地址的现实情况,IP地址规划遵循如下原则来设计:1.服务器区采用私IP地址,NAT后供人员远程访问;2.与internet互联设备IP地址采用真实IP地址;3.部分内部互连采用私有IP地址;4.面向用户的私有IP地址,由统一出口的边缘设备(路由器、防火墙)进行地址翻译,即出口路由器
23、(防火墙)互联采用合法IP地址;公共服务器如WWW/FTP/DNS/资源服务器等均采用合法地址(或从安全角度考虑采用私有IP);部分接入用户采用私有保留IP地址相连。2.3实现的信息服务一般情况下,校园网络应能为用户提供如下服务:(1)电子邮件系统:主要进行与同行交往、开展技术合作和学术交流等活动。(2)文件传输FTP:以获取重要的科技资料和技术文档。(3)通过Internet服务,学校可建立自己的主页,利用外部网页来进行学校宣传、提供各类咨询信息等,利用内部网页进行管理(如收发通知、收集学生意见等)。(4)计算机教学:包括多媒体教学和远程教学。(5)图书馆访问系统:用于计算机查询、检索、阅读
24、等;其他应用,如大型分布式数据库系统、超性能计算机资源共享/管理系统等。(6)教务办公:使校领导能及时、全面、准确地掌握全校的教学、科研、学籍考绩、一般管理、财务和人事等方面的情况。(7)Internet接入:通过实现与CERNTE、Internet的互联,使教职员工和学生在宿舍上网,重事家庭办公、课外学习和资料查询等。(8)应用成本:在保证系统功能实现的同时也需要考虑成本的问题。(9)网络安全:现在网络运用的扩展使越来越多的业务在网络上完成,因此,网络的安全性能在网络设计中已经占有非常重要的地位。(10)远程访问:自己的电脑不能随时带在身边,通过网络对自己电脑资料的访问也将是组网时考虑的范围
25、。本校园网的信息服务特点:(1)采用双核心技术,不但可以起到让设备进行冗余备份,而且还可以进行中心数据通信负载均衡,有效减轻中心设备减清负荷,保证核心层的稳定性和可靠性;(2)四个汇聚层到核心采用链路全冗余,汇聚层之间单独再加一条链路,使得各个汇聚层之间的访问在汇聚层终结;(3)网络核心、楼宇汇聚和接入产品都具有病毒防范、拒绝DDOS攻击和防扫描等安全功能,不但在不同的网络环境下都能做到快速有效的控制,而且也可以应对突发性的安全的事件,确保了网络的稳定运行;(4)校园网的信息点覆盖整个校园,教室、办公室和宿舍等地方都是十分开放的,很多人都可以自由出入这些地方,任何一个人都可以利用这些地方的信息
26、点,通过便携连接到学校办公内部网,这将对校园网造成巨大安全隐患。全网接入采用统一认证技术,保证了只有合法授权的用户才能使用内部或外部网络,而且还能对网络的使用情况进行了审计;2.4应用程序应用程序主要有客户程序和服务器程序:客户程序:它主要实现消息的发送,在客户机上运行的客户程序把请求发送给服务器进程。服务器程序:它主要负责消息的接收和发送,接收客户进程的请求,作出响应。2.5存储系统分析2.5.1性能需求(1)高性能。数据中心应用业务系统,如ERP、办公自动化、文件服务器、Web和数据库应用等常常要大量地对存储系统进行写入、读取操作,使得存储系统的压力随着业务的扩大而变大,因此,对存储系统的
27、性能将提出更高、更苛刻的要求。(2)高安全。数据中心的数据安全性要求非常高,一旦数据发生问题,会导致业务连续性受到影响,甚至影响到数据中心正常运行,因此,对存储系统数据的安全性提出了更高、更严的要求。(3)高可靠性。数据中心提供的服务要求信息能够在247h的条件下保持在线状态,系统故障会引起应用服务中断,将给用户造成损失,尤其是在重要的部门和行业,如能源、交通、金融等。(4)易管理。信息系统由多个业务系统组成,由于业务系统建设时期不同,导致会出现多个存储系统共存的情况,如何在日常工作中对存储系统进行管理,简化工作,降低TCO,是保证存储系统稳定运行的重要因素。(5)可扩展。存储系统要建设成标准
28、、集中、易扩展的系统,能够在容量、性能需求不断增加的情况下,横向或纵向进行存储空间的平滑扩展。(6)整合。对关键数据的存储和备份也已成为数据中心运营发展的关键。其数据环境是呈多样性:一是应用类型的多样性,如Web、E-mail;二是数据类型的多样性,在应用业务中包括数据库数据、普通文本、各种格式的图形、表格、多媒体以及其他各种文件格式;三是系统平台的多样性,UNIX、Windows等多种平台的使用方法都不尽相同;四是存储结构的多样性,因为数据中心自身的发展历程和时间的延续,在不同时期的不尽相同的应用导致了多种存储方式并存的现象,规模较大的数据中心可能同时具有从DAS、NAS到SAN的多种存储结
29、构。以成熟技术为核心建设存储系统,有利于存储系统进行整合,整合不同应用的存储系统实现统一管理,也利于灾难备份中心的建设。2.5.2功能需求网络存储系统规划应该满足以下目标:集中式管理、整合型存储、高性能、高安全、高效率,满足系统不断扩展的需求。(1)数据中心要建设一个设备集中、集中管理、满足应用、方便扩展、安全稳定、共享统一的数据存储系统。(2)要优化整合现有数据资源,对数据资源进行统一管理和维护,为数据库和应用系统建设提供统一的运行支撑环境。(3)运用各种先进的技术,对数据中心运行中所产生的大量数据,能高效、安全地存储,又易于访问、检索、处理和利用。2.5.3应用需求分析SAN(Storag
30、e Area Network,存储域网络)与NAS则是完全不同,它不是把所有的存储设备集中安装在一个专门的NAS服务器中,而是将这些存储设备单独通过光纤交换机连接起来,形成一个光纤通道的网络,然后这个网络再与网络系统现有局域网进行连接,在这种方案中,起着核心作用的当然就是光纤交换机了,它的支撑技术就是 Fibre Channel(FC,光纤通道)协议,这是ANSI为网络和通道I/O接口建立的一个标准集成,支持HIPPI、IPI、SCSI、IP、ATM等多种高级协议。在SAN中,数据以集中的方式进行存储,加强了数据的可管理性,同时适应于多操作系统下的数据共享同一存储池,降低了总拥有成本。由于SA
31、N是通过一个单独的通常是基于光纤通道的SAN网络把存储设备以及服务器相连,如此当有海量数据的存取需求时,数据完全可以通过SAN网络在相关服务器和后台的存储设备之间高速传输,对于LAN的带宽占用几乎为零,而且服务器可以访问SAN上的任何一个存储设备,提高了数据的可用性。在对性能和可靠性要求较高的场合,采用先进的SAN数据存储网络,可以使数据的存储、备份等活动独立在原先的局域网之外,从而将减轻LAN的负载,保证原有网络应用的顺畅进行;同时SAN网采用光纤传输通道,可以得到高速的数据传输率。SAN方案简化了管理和集中控制,这对于全部存储设备都集中在信息中心,是非常有现实意义的。SAN将网络系统的存储
32、和服务器平台分开,可以实现24x7不间断的系统可用性和集中管理,在这个平台的基础上,还可以应用一套统一的灾难恢复解决方案,同时可经济高效地扩展存储环境。因此SAN非常适用于非线性编辑、服务器集群、远程灾难恢复、因特网数据服务等多个领域。2.6系统及数据安全分析保密性:采取有效措施保障数据保密性好完整性:不经授权数据不得修改。可靠性:数据或有关数据的信息不能有错。保证网络管理系统正确运行,保护被管理的目标免遭破坏,包括身份鉴别、密钥管理、病毒预防和灾难恢复等管理:具有数据备份和恢复的能力,定时更新等,各种服务的管理,如HTTP、FTP、SMTP、POP3、DNS服务管理等。表2.1 安全管理表需
33、求类型要求备注保密性高防病毒、防攻击完整性高不经授权数据不得修改可靠性高信息正确的传输数据备份与恢复较高暂无服务管理一般HTTP、FTP、SMTP管理等2.7网间隔离国家保密局颁布的计算机信息系统国际联网保密管理规定规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离”。按照物理隔离的要求,相关用户连接互联网时,必须与涉密网络实行网络隔离和计算机信息隔离。经调研,我们决定使用京泰物理隔离系统,本系统方案符合保密管理规定要求,凭借安全的网络切换机制,用户可以在内外网物理隔离的条件下,安全、方便地访问内网、外网网络资源。可以使用一台计算机连接
34、内部网或外部网,同时保护数据的安全,实现内部安全环境和外部不安全网络环境的绝对隔离,从而满足政府、国防、金融、保险、电信、邮政、税务及企业用户等对数据安全和获取信息的双重要求。(1)本系统可实现的功能网络隔离: 实现内网和外网的网络隔离。用户访问内网时,断开外网网络连接;访问外网时,断开内网网络连接。用户不能同时连入内、外网,始终保持内网、外网网络隔离的状态;信息隔离: 实现内网信息和外网信息的隔离。用户访问内网时,使用内网硬盘;访问外网时,使用外网硬盘。内网、外网存储介质不能同时使用,从而保证内、外网之间的信息隔离;支持多种应用方案: 本方案具有完整的物理隔离产品线,公司产品支持双网、三网乃
35、至多网之间的隔离要求;可以根据用户的需要,实施单网线、双网线、单硬盘或双硬盘的方案组合,全方位满足用户的不同需求;PCI接口,集成网卡:物理隔离卡采用PCI接口,同时集成网卡的功能。系统启动时通过接管启动控制流程,实现内外网之间的隔离和切换;集成的网卡最大限度地保障了系统的适配性和节省主板槽位资源。(2)本系统的特点1.接口简单,不需要任何跳线和手动开关,外部接口与普通PC机相同;2.安装简单,不需要任何对硬盘数据的整理和额外的硬件设置,同安装网卡一样方便;3.高效切换,用户只需要通过键盘或者鼠标选择切换网络即可,操作高效而简洁。4.安全可靠,基于通信方式选择网络(而不是通过高低电平方式)更加
36、安全可靠;5.适应性强,采用标准PCI协议,兼容性好,支持各种主板,适用于各种PC和系统;6.扩展性强,控制逻辑固化、以通讯方式选择网络等技术,保证系统拥有强大的扩展能力7.使用方便,只需要在系统启动前,选择网络连接,用户使用直观、简便。(3)单内网解决方案适用范围:这种方案适合小型的单网结构的局域网。在一些规模较小的政府部门网络中,可能只有几台到十几台计算机机组成的局域网络,由于网络功能比较单一,没有必要划分几个网络,同时为节约成本,只有部分工作站节点需要单独通过Modem等拨号设备接入因特网,这样可以在需要接入因特网的工作站节点上安装网络安全隔离卡,让这些节点计算机能够在与局域网络隔离的状
37、态下拨号上网、浏览信息。这样确保了局域网络的内部安全不受一些节点计算机上因特网带来的威胁。(4)双网隔离方案这种方案适合大、中型机构的局域网布局。在这样的机构中,原有的网络布局,按国家保密局物理隔离要求,必须分杵独立的内部安全网和外部公共网,内外网之间完全隔离。公共网通过网关和路由器连接INTERNET(视需要也要考虑安装防火墙、入侵检测及防病毒等安全防护措施),而部分计算机则需要连接两个网络工作,这些连接了内外双网的工作站计算机需要安装网络安全隔离卡。还有一些机构的网络由于内部功能的划分,本身就有几个分离的网络,采用我们的物理隔离方案将更好的把这些网络整和在一起,变为一个全范围公共网加上几个
38、内部安全子网的多网互通的有效网络格局。(5)单布线接双、三网方案在一些已经运行的网络中,由于安全需要而其原有的单网改造成内外隔离的双网。但由于原有的节点单布线方式改为双网将必须再布第二条网络线缆,这将给现场施工带来极大的困难,也会增大投资预算。应用安全隔离集线器与安装了安全隔离卡的安全计算机配合使用,可让问题迎刃而解,不用再布第二条网线,只用原有的节点单布线,就可让工作站计算机连接内外两个网络,即桌面计算机只用一条网线就可连接到内外双网上,即安全、方便又节省投资,如果用户因某种原因无法使用双网布线时,更要采用此方案。3拓扑图及方案整体描述使用快速以太网拓扑,将校园网的网络结构分为三层。图3.1
39、 湖南文理学院校园网拓扑图校园信息中心:信息网络的核心部分。由中心交换机、UPS等电源系统、服务器、广域网连接设备、网络管理系统组成。功能是实现高性能的交换和传输,也能够有效地对网络流量进行控制和进行VLAN划分。校园主干网:连接校园内各楼宇的主干网络。校园内楼房处设备通过网络线路连接到交换机处,实现校园网络信息交换。各中心节点的主干交换机要支持千兆以太网,具有10/100Mbps以太网端口。网络结构采用环状结构,核心主干交换机与主干交换机互联成环形结构。二级交换机再以星形结构接入对应的中心节点,并以100M直接到桌面,确保信息流畅,这样就构成了能满足教学和管理要求的主干网络。楼内接入网:楼宇
40、内部的星型局域网络,是校园网络的接入层。计算机信息点到楼房间通过双绞线连接,实现楼内网络通讯网络的安全控制也主要由分布层设备来实现。网络中心的路由器选择合适的链路接入方式连接Internet。千兆以太网作为校园网的主干,按10M/100M交换式子网方式接入。采用分散式三层交换体系,二级交换机具有第三级交换能力,主干线路压力小,而且全部实现百兆交换入室。三级交换机可以堆叠,能将一个主干和桌面交换机组成一个整体,提供足够的交换口,可扩展性好。工作组子网可选用100M交换模式。使用户终端独占100M带宽的数据交换。在核心交换机与工作组交换机之间,采用100Mbps传输带宽,当使用全双工时,传输带宽为
41、200Mbps。3.1主干网传输方案设计(1)主干网连接技术:主干网采用交换式1000M以太网连接技术。在该方案中,网络中心、教学楼节点和图书馆节点之间采用多模光纤以太连接拓扑结构通过1000M交换机进行连接。即保证了主干线的1000M带宽,又保证了主干线的冗余。采用双核心网络以保证网络的稳定。(2)局域网连接技术:采用快速交换式以太网通过5类双绞线按照星型拓扑结构进行连接。我们设计的校园网将覆盖整个湖南文理学院(东院和西院)将包括:主楼、各行政楼、图书馆、教学楼、活动中心、各院系大楼和学生宿舍楼等。根据我们的设计标准,将校园网分成6个部分:网络管理中心、教学楼、学生宿舍区、教师公寓楼、办公楼
42、、实验楼。(3)校园信息中心:信息网络的核心部分。由中心交换机、UPS等电源系统、服务器、广域网连接设备、网络管理系统组成。功能是实现高性能的交换和传输,也能够有效地对网络流量进行控制和进行VLAN划分。(4)校园主干网:连接校园内各楼宇的主干网络。校园内楼房处设备通过网络线路连接到交换机处,实现校园网络信息交换。各中心节点的主干交换机要支持千兆以太网,具有10/100Mbps以太网端口。网络结构采用环状结构,核心主干交换机与主干交换机互联成环形结构。二级交换机再以星形结构接入对应的中心节点,并以100M直接到桌面,确保信息流畅,这样就构成了能满足教学和管理要求的主干网络。(5)楼内接入网:楼
43、宇内部的星型局域网络,是校园网络的接入层。计算机信息点到楼房间通过双绞线连接,实现楼内网络通讯网络的安全控制也主要由分布层设备来实现。网络中心的路由器选择合适的链路接入方式连接Internet。千兆以太网作为校园网的主干,按10M/100M交换式子网方式接入。采用分散式三层交换体系,二级交换机具有第三级交换能力,主干线路压力小,而且全部实现百兆交换入室。三级交换机可以堆叠,能将一个主干和桌面交换机组成一个整体,提供足够的交换口,可扩展性好。工作组子网可选用100M交换模式。使用户终端独占100M带宽的数据交换。在核心交换机与工作组交换机之间,采用100Mbps传输带宽,当使用全双工时,传输带宽
44、为200Mbps。3.2Internet接入方案Internet接入方式主要有以下六种:拨号上网方式,使用ISDN专线入网,使用ADSL宽带入网,使用DDN专线入网,使用帧中继方式入网,局域网接入。(1)拨号上网方式(2)ISDN专线接入(3)ADSL宽带入网(4)DDN专线入网 (5)帧中继方式入网(6)局域网接入我们设计的校园网将覆盖整个湖南文理学院(东院和西院)将包括:主楼,各行政楼,图书馆,教学楼,活动中心,各院系大楼和学生宿舍楼等。根据我们的设计标准,办公楼为2层,1楼为办公室,2楼为网络中心;有3栋教学楼,每栋教学楼6层,第1层为普通教室,2、3、4层为多媒体教室,5、6层为学生机
45、房实验室;有14栋学生公寓,每栋学生公寓6层。(1)办公楼第1层共4个房间,每个房间内2个信息插座,通过校园网连至Internet,达到100M到桌面;(2)教学楼第2、3、4层每层6个多媒体教室,每个多媒体教室需要1个信息插座,要求只能访问校园网;5、6层为学生机房实验室,每个实验室40台电脑,因此每个实验室外有1个信息点,实验室内配有交换机,可以通过校园网连接到Internet,速度为100M;(3)每栋学生公寓的每一层都是相同的结构,每一层有40间寝室,可以通过校园网连至Internet,速度为100M;(4)办公楼2楼网络中心,分为服务器区域和工作人员区域,同时配有路由器和防火墙用于连
46、接Internet。3.3远程访问支持远程访问也是校园网络必须提供的服务之一。它可以为教学办公用户和学生远程访问学校网站获取信息服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。在本工程案例设计中,采用专线连接(到因特网)和电路交换(到校园网)两种方式实现远程访问需求。3.4子网划分与VLAN设定(1)IP地址合理规划的意义在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。校区IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证
47、实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义:1.减少对各种资源(内存、CPU的处理能力以及网络带宽等)的需求IP地址的合理规划有利于网络中路由的汇聚,因而可以使得路由器中的路由表数目以及链路状态数据库等占用的内存减少,同时更新所占用的网络带宽也降低了;2.有利于IP地址空间的合理使用;3.优化业务流量的分布;4.有利于故障诊断。(2)IP地址规划根据互联网络技术发展的趋势,结合学校网络目前真实IP地址的现实情况,我们建议IP地址规划遵循如下原则来设计:1.服务器区采用私IP地址,NAT后供人员远程访问;2.与internet互联设备IP地址采用真实IP地址;3.部分内部互连采用私有IP地址;4.面向用户的私有IP地址,由统一出口的边缘设备(路由器、防火墙)进行地址翻译,即出口路由器(防火墙)互联采用合法IP地址;公共服务器如WWW/FTP/DNS/资源服务器等均采用合法地址(或从安全角度考虑采用私有IP);部分接入用户采用私有保留IP地址相连。这样设计,既可以充分利用已有的公网IP地址,解决了IP地址空间不足的,既可以方便的实现互通互连,而且将地址翻译(NAT)这种耗费设备资源的工作由网络边缘设备分担,提高网络数据传输整体性能。(3) 子网划分方案表3.1 子网划分方案表序号子网名称包含的信息点1学生宿舍子网学生公寓区所有的计算机2
浙ICP备2021020529号-1 | 浙B2-20240490 
