大学校园网结构化布线方案样本.doc

1、目录1. 网络设计背景1.1. 背景1.2. 现有网络概况1.3. 改造需求2. 网络设计2.1. 总体设计2.2. 主干网络设计2.3. 低端网络设计2.4. 应用系统3. 管理3.1. 安全机制3.2. 流量监控4. 报价1. 网络设计背景1.1. 背景上海外国语大学现有校园网已初具规模，因为中心位置搬迁，用户数目扩展和加强管理等多方面需求，在原有网络基础上进行改造，深入完善，加强安全管理，用户通信监控，提供更多应用服务。1.2. 现有网络概况现有网络拓扑结构图所表示。其关键交换设备均采取CISCO企业产品，网络拓扑比较简单，应用服务相对集中。l 中央交换设备为Catalyst 5000配

2、置情况？l 边缘交换机为两台Catalyst3000.配置情况？l 路由器和通信服务器是CISCO 2511，8块modem，剩下一个同时口，一个异步口，还可扩展8路电话线路和一路外连专线l 主服务器为SUN 4，设备陈旧，性能较低。l 无虚网划分，无网管，l 拨号用户有简单通讯量统计功效，校内专线用户无统计功效l 服务关键为Email和WWW，提供和Internet接入。1.3. 改造需求l 服务多样性：增加服务除现有服务外，可增加计费系统，图书检索，多媒体系统，BBS和FTP，Proxy服务等功效。l 可管理性：包含对拨号用户和校内专线用户信息量统计，对师生访问权限控制机制和对国外出口管理

3、。l 安全性：加强对系统管理，主机系统应有较强抗攻击能力，在条件许可情况下要有虚网划分机制，对网间信息交换要有安全策略。l 可扩充性：现有网络应含有很强扩展能力，能够满足近期内可预见用户接入需求，同时含有面向新技术平滑升级能力。2. 网络设计2.1. 总体设计1. 主干设备：依据现在现有结构和关键设备，在新网络构架中能够有两种方案可供选择，l 仍采取以CISCO产品为主，在低端桌面型设备可选择其它厂家产品，因为在现在情况下，多数非同厂家产品还不可能做到无缝连接，在高端即主干网上采取异构互连方法可能会带来两个问题u 互连性问题，即使连通是可实现，但因为协议标准实现方法不一样，可能会损失一部分带宽

4、，实际使用带宽速率要低于申明带宽速率。u 虚网划分：现在各厂家实现虚网协议方法大多不一样，所以在做虚网划分时会带来很多困难，甚至在一些情况下是不可实现。l 采取其它厂商低端产品（如3COM，Intel等），好处是价格廉价，且在现在低通讯量和负载情况下能够满足需要，在以后网络升级过程中，能够替换向更低端用户推2. 路由交换和外部互连：l 外部网络现在仍采取DDN连接方法经过交大和教育网实现连接，临时还无提升出口带宽要求，现在所用路由器，有5kpps包交换能力和一空闲同时口，能够满足近期扩展要求。l 如采取虚网技术就需要一个内部虚网间信息交换路由器，最少支持4个虚网即4个以太端口3. 主机系统可依

5、据应用系统选择SUN+Solaris，PC+NT和PC+Linux结构，l SUN+Solaris是一个比较安全和稳健网络服务器结构，而且因为管理员对SUN系统较为熟悉，在管理上有经验，所以在UNIX主机系统中仍采取这种结构。但因为价格较为昂贵，在现在情况下不宜大范围采取。l PC+NT：管理简单方便，价格适中，但安全性较差，同时还有缺点，同一网段数目过多情况下可能会出现广播风暴。l PC+Linux：价格最为廉价，安全性上没有很大把握，另外无生产厂家提供可靠技术支持，在出现问题时是没有保障。4. 远程访问远程拨号网络扩展较为简单，现在现有通信服务器还可支持8路线路扩展，只要购置对应modem

6、和申请电话线路即可。2.2. 主干网络设计l Catalyst 5000：中央交换设备采取原有Catalyst 5000，利用其100M Base-T端口加转换器连接外部新增设备。l Catalyst 3000WS-C3016B配置情况：（原行政楼）1. 10BaseT RJ-452. AUI3. 2扩展槽（WS-X3001上行100BSAE-TX）4. EIA/TIA 232 console5. AUI DB15 SwitchProbe路由交换设备（optional）四10M BaseT端口路由，转发能力在50kpps以上，稳定性好，可靠性高，有一定filter功效。l 可采取专用路由器，可

7、选品牌设备：CISCO，Bay，Intell 或用PC路由，在低负荷情况下是可行，但有技术难点，需要测试其转发能力和可靠性。2.3. 低端网络设计参见布线方案2.4. 应用系统现有服务器为1台SUN 4性能较低，全部应用集中在此机上，一是负载过重，另外给系统安全运行带来了很多不利原因。所以对改造后网络应用系统提出了以下构想：l DNS+Proxy+WWW：PC Sever +NT +IIS,依据现在校内用户数目和上网信息资源量，PC+NT是一个比较经济，有效结构。而且微软NT系统将全部上面提到了应用集成在NT系统里给管理带来了很大方便。但其次需要指出是NT在安全性和管理角方面有很大不足,需要管

8、理员有较为丰富经验和完善监控手段和防范机制，能够在突发事件产生时能够快速恢复和预防再一次入侵l FTP+ Email+拨号认证：SUN+Solaris|+Tacacsd，这一组服务关键是对内服务，拨号认证服务需要运行在Unix系统上，所以提议采取如上结构，依据现在用户情况，FTP服务可综合在一起，如以后负载过重时再分离。l 网管(o)：NT+网管软件，此项为可选，因为以太网网管即使不是必需，但她能够监视网络设备异常，负载情况和流量。l BBS(o)：SUN4，原有服务器过于破旧，如有需求可做为BBS电子公告牌l 图书检索(o)：可建立一个富士通系统前端机，提供友好WEB用户界面能够随时检索馆藏

9、书籍出借和库存情况，现在采取PC+Linux方法比很好（注：o表示optional,是可选如此次改造不能实现，可在以后升级中加以实现。）3. 管理管理模式上要加强安全方面考虑，和信息流量控制，3.1. 安全机制1 加强主机系统抗入侵能力，尤其对NT类型服务器系统。2 应用系统尽可能分布在不一样主机上，关闭无须要端口，降低入侵路径，在目前情况下，应本着对内对外服务应分开，关键和非关键应用分开标准，将应用系统合理配置在主机系统上。3 加强对外部用户访问控制，关键依靠防火墙机制，现在采取手段是在路由器上设置访问表，和应用静态路由。4 按应用需求应划分虚网，控制校内用户，各部门之间访问权限。5 加强监

10、督机制，重视线上用户行为监视和对系统日志分析，能够立即发觉入侵行为，和找到遭入侵后处理措施。6 恢复备份是系统遭受破坏一个有效简练处理手段，所以对备份工作要重视起来，要做到关键数据一天一次，非变动信息有永久备份，其它信息视情况而定。备份介质可采取硬盘和磁带。备份方法能够是更新备份，增量备份和永久性备份。3.2. 流量监控对主干网络和个分支用户网络实施监控，能够发觉网络瓶颈，得到用户访问个信息点量化数据，掌握用户不安全行为，能够为网络性能分析和故障诊疗提供丰富事实依据，给网络综合管理带来极大好处。1. 网管系统：能够在各关键网络交换设备上采集到目前设备工作状态，掌握各虚网之间数据流量，和交换设备

11、各端口负载情况。2. 网络分析设备：能够在主干网上监视各网段上包情况，其中包含：l 通讯包总量，丢包率l 包成份，及其所占比重，如IP,IPX.l 各应用包分配情况：如Ip包中tcp和udp包百分比，tcp包中telnet，ftp，http等包比重。l 各IP发包情况，能够判定网络负载和故障诊疗。3. 路由器上流量控制，限制一些网段或IP地址访问权限，和PROXY结合统计用户出口信息流量。4. Proxy服务，因为路由器限制，可采取Proxy措施满足用户对校园网外甚至是国外访问需求，而且这种访问是受控，能够依据用户帐号，清楚了解用户对外访问信息量5. 拨号用户可依据用户认证机制，掌握用户登录时

12、间，从而估算大约信息及资源花费情况。4. 预算项目名称单价数量价格(人民币)说明l Cisco Catalyst3000C3106B$7178WS-X3001$1943or Intel 100M Switch150,00020,000接行政楼交换设备接入可选l SUN Ultra 10A22A22-UEA1Y9J-128cGX7103ASOLD-2.5.1NOV97-47X6540AX6262A10,000.001100,000Email，拨号认证，计费l Cisco Works WindowsCWPC-3.1-SNM PC on NT$3743SNM ON NTCWPC-3.1-OVW$29

13、93HP - openview On NT.450,000CISCO网管l 大楼局域网布线配线架：50.00模块面板：100.00AT&T线：150.00人工费：130.00其它材料：50.00500.0018090,000新楼内布线180信息点含HUBHayes Modem820,000远程拨号网络扩展l 光缆铺设12芯2,700/km4芯1,/km人工+材料12,000/km光端头：200/个跳线：300/根30,000园区网连接NT4.0汉字版 220.000l 计费软件on Tacacsd10,000110,000l 100M transceiver Bay Networks Mode

14、l 514 100 MBPX Fiber Optic Transceiver7,500430,000用于100M接入l PC SERVERCompaq/Ps200 PII/233 32M 4,3G SCSI 20,000.0020,000360,000网管平台DNS+WWWProxyl PC WorkstationCompaq DP200MMX/32M/2.1G V40彩显12,000560,000开发 l PCWorkstation200MMX/32SDRAM/3.2G 14”彩显7,0007,00020140.000机房l Proxy Server10,000系统集成40,000不可预见费用20,000总计690,000以CISCO价格计算