1、n背景背景计算机技术在人们的生活中已经起到了越来越计算机技术在人们的生活中已经起到了越来越重要的作用,校园作为知识基地和人才基地,它理重要的作用,校园作为知识基地和人才基地,它理应成为代表信息产业应用最成功的典范。应成为代表信息产业应用最成功的典范。校园网建设的目标简而言之是将校园内各种不校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接同应用的信息资源通过高性能的网络设备相互连接起来,形成校园园区内部的起来,形成校园园区内部的IntranetIntranet系统,对外通系统,对外通过路由设备接入广域网。过路由设备接入广域网。n意义意义通过校园信息网,将各处的
2、电脑联成一个数据通过校园信息网,将各处的电脑联成一个数据网,实现各类数据的统一性和规范性;教职员工和网,实现各类数据的统一性和规范性;教职员工和学生可共享各种信息,极易进行各种信息的教流、学生可共享各种信息,极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等,从而有效地提高学校的现代化管现和协同工作等,从而有效地提高学校的现代化管理水平和教学质量,增强学生学习的积极性、主动理水平和教学质量,增强学生学习的积极性、主动性,为信息时代培育出高素质的人才。性,为信息时代培育出高素质的人才。校园网背景及意义校园网背景及意义校园
3、网建设方案校园网建设方案1.设计标准2.校园需求分析3.综合布线的设计4.网络拓扑设计5.设备选型6.校园安全机制设计标准:设计标准:u IEEE802.310BasE-T;u IEEE802.3uEthernet(100BasE-T);u EIA/TIA568,EIA/TIA569;uTSB36/40工业标准及国际商务建筑布线标准;工业标准及国际商务建筑布线标准;uISO/IECIS11801;uISO/IECJTC1/SC25/WG3;uANSIFDDI/TPDDI100Mb/s;uATMForum2。校园需求分析校园需求分析u建立一个基于校园建立一个基于校园Intranet的信息管理和应
4、用的网络系统,并提供相应的各的信息管理和应用的网络系统,并提供相应的各种服务。种服务。u共享网络上各种软、硬件资源,快速、稳定地传输各种信息,并提供有效的共享网络上各种软、硬件资源,快速、稳定地传输各种信息,并提供有效的网络信息管理手段。网络信息管理手段。u采用开放式、标准化的系统结构,以利于功能扩充和技术升级。采用开放式、标准化的系统结构,以利于功能扩充和技术升级。u能够与外界进行广域网的连接,提供、享用各种信息服务(与各级教育信息能够与外界进行广域网的连接,提供、享用各种信息服务(与各级教育信息中心相连、与国内外著名站点相连中心相连、与国内外著名站点相连)。)。u具有完善的网络安全机制。具
5、有完善的网络安全机制。u能够与原有的计算机局域网络和应用系统平滑地连接,调用原有各种计算机能够与原有的计算机局域网络和应用系统平滑地连接,调用原有各种计算机系统的信息。系统的信息。u作为信息传输基础的综合布线系统,必须支持现在以及未来语音、数据、视作为信息传输基础的综合布线系统,必须支持现在以及未来语音、数据、视频会议、控制等信息高速传输的要求,为新闻采集、编辑、传送、出版等系频会议、控制等信息高速传输的要求,为新闻采集、编辑、传送、出版等系列工作走向信息化、网络化奠定基础。列工作走向信息化、网络化奠定基础。综合布线系统的特性综合布线系统的特性u1.开放性开放性u采用开放性的网络体系,以方便网
6、络的升级、扩展和互联;同时在选择服务器、网络产品时,强采用开放性的网络体系,以方便网络的升级、扩展和互联;同时在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化;调产品支持的网络协议的国际标准化;u2.可扩充性可扩充性u从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构,以及技术的开放性和从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的可扩充性;对相关协议的支持等方面,来保证网络系统的可扩充性;u3可管理性可管理性u利用图形化的管理界面和简洁的操作方式,合理地网络规划策略,提供强大的网络管理功能;使
7、利用图形化的管理界面和简洁的操作方式,合理地网络规划策略,提供强大的网络管理功能;使日常的维护和操作变得直观,便捷和高效;日常的维护和操作变得直观,便捷和高效;u4.安全性安全性u内部网络之间、内部网络与外部公共网之间的互联,利用内部网络之间、内部网络与外部公共网之间的互联,利用VLAN/ELAN、防火墙等对访问进、防火墙等对访问进行控制,确保网络的安全;行控制,确保网络的安全;u5.投资保护投资保护u选用性能价格比高的网络设备和服务器;采用的网络架设备充分考虑到易升级换代,并且在升选用性能价格比高的网络设备和服务器;采用的网络架设备充分考虑到易升级换代,并且在升级时可以最大限度地保护原有的硬
8、件设备和软件投资;级时可以最大限度地保护原有的硬件设备和软件投资;u6.易用性易用性u应用软件系统必须强调易用性,用户界友好,带有帮助和查询功能,用户可以通过应用软件系统必须强调易用性,用户界友好,带有帮助和查询功能,用户可以通过Web查询。查询。u7.兼容性兼容性u综合布线系统的首要特性是它的兼容性,所谓兼容性是指其它设备或程序可以用于多种系统中的综合布线系统的首要特性是它的兼容性,所谓兼容性是指其它设备或程序可以用于多种系统中的性能。性能。LOGO信息点的分布:信息点的分布:u它们主要分布在综合大楼(它们主要分布在综合大楼(200个信息点)、教学楼(个信息点)、教学楼(96个信息点)、图书
9、馆(个信息点)、图书馆(36个信息点)、有部分楼宇需要建个信息点)、有部分楼宇需要建立网络,它们分别是教师宿舍(立网络,它们分别是教师宿舍(70个信息点),学生宿舍个信息点),学生宿舍(两幢楼,共约(两幢楼,共约480个信息点),饭堂(个信息点),饭堂(4个信息点)。办个信息点)。办公楼(公楼(50个信息点)。个信息点)。u综合布线系统的的组成:综合布线系统的的组成:u工作区子系统工作区子系统,水平子系统,管理子系统,垂直主干,水平子系统,管理子系统,垂直主干子系统,设备间子系统,建筑群子系统等六大子系统。子系统,设备间子系统,建筑群子系统等六大子系统。双绞线的需求量:双绞线的需求量:u水平区
10、电缆长度的计算水平区电缆长度的计算u合计信息点:合计信息点:936(个)(个)u通过计算(每点平均距离按通过计算(每点平均距离按50米算,具体长度需以实际测米算,具体长度需以实际测量值为准),总计信息点数量值为准),总计信息点数936个,共约需要双绞线个,共约需要双绞线936*50=46800米。米。u由于由于FRE双绞线每箱均为双绞线每箱均为1000FT即即305米,米,u则所需超五类双绞线为:则所需超五类双绞线为:46800/305154箱箱u光纤:中心到图书馆按光纤:中心到图书馆按200M,到教学楼按,到教学楼按200M,到办,到办公楼按公楼按100M。到宿舍楼。到宿舍楼200M,到综合
11、大楼,到综合大楼200M.,到到饭堂饭堂100,到教师宿舍,到教师宿舍100,共计光纤:,共计光纤:4芯多模室外光芯多模室外光纤纤1100M。综合布线的设计综合布线的设计系统设计系统设计1.工作区子系统工作区子系统2.水平干线子系统水平干线子系统3.管理子系统管理子系统4.垂直干线子系统垂直干线子系统5.设备间子系统设备间子系统6.楼宇(建筑群)子系统楼宇(建筑群)子系统综合布线组成系统:综合布线组成系统:u工作区子系统工作区子系统u工作区子系统由终端设备连接到信息插座的连线工作区子系统由终端设备连接到信息插座的连线(或软线或软线)组组成,它包括装配软线、连接器和连接所需的扩展软线,并成,它包
12、括装配软线、连接器和连接所需的扩展软线,并在终端设备和在终端设备和I/O之间搭桥。信息输出口采用符合之间搭桥。信息输出口采用符合ISDN标准的标准的RJ458芯插口,根据用户的使用环境选用埋入型、芯插口,根据用户的使用环境选用埋入型、桌上型、地毯型或通用型插座,根据网络系统末端设备的桌上型、地毯型或通用型插座,根据网络系统末端设备的接口选用相应的适配器。接口选用相应的适配器。u水平子系统水平子系统u由各区的分线架由各区的分线架(IDF)到该区的各个信息输出口的连接。水到该区的各个信息输出口的连接。水平布线子系统是整个布线系统的一部分,它将干线子系统平布线子系统是整个布线系统的一部分,它将干线子
13、系统线路延伸到用户工作区。水平布线子系统与干线子系统的线路延伸到用户工作区。水平布线子系统与干线子系统的区别在于:水平布线子系统总是处在一个楼层上,并端接区别在于:水平布线子系统总是处在一个楼层上,并端接在信息插座上在信息插座上工作工作区区子系子系统示意示意图:综合布线的组成系统综合布线的组成系统u设备间子系统设备间子系统u设备间子系统即指总配线间(设备间子系统即指总配线间(BD),由设备间中的电缆、连接器),由设备间中的电缆、连接器和相关支撑硬件组成,和相关支撑硬件组成,它把公共系统设备的各种不同设备互连起它把公共系统设备的各种不同设备互连起来。该子系统将中继线交叉连接处和布线交叉连接处与公
14、共系统来。该子系统将中继线交叉连接处和布线交叉连接处与公共系统设备设备(如如PABX)连接起来。该子系统还包括设备间和邻近单元连接起来。该子系统还包括设备间和邻近单元(如如建筑物的入口区建筑物的入口区)中的导线。这些导线将设备或雷电保护装置连接中的导线。这些导线将设备或雷电保护装置连接到有效建筑物的接地点。主线架到有效建筑物的接地点。主线架(MDF)与主控室内各系统的连接部与主控室内各系统的连接部分,包括通讯系统、计算机系统、广播系统、闭路电视监视系统分,包括通讯系统、计算机系统、广播系统、闭路电视监视系统和消防报警系统和大厦设备自动化系统等。和消防报警系统和大厦设备自动化系统等。u建筑群子系
15、统建筑群子系统u建筑群子系统即指群楼布线系统(建筑群子系统即指群楼布线系统(CD),它将一个建筑物中的电),它将一个建筑物中的电缆延伸到建筑群的另外一些建筑物中的通信设备和装置上。它是缆延伸到建筑群的另外一些建筑物中的通信设备和装置上。它是整个布线系统中的一部分整个布线系统中的一部分(包括传输介质包括传输介质)并支持提供楼群之间通并支持提供楼群之间通信设施所需的硬件,信设施所需的硬件,其中有导线电缆、光缆和防止电缆的浪涌电其中有导线电缆、光缆和防止电缆的浪涌电压进入建筑物的电气保护设备。与外界公共交换网络的连接部分,压进入建筑物的电气保护设备。与外界公共交换网络的连接部分,包括与邮电局等通过光
16、缆或电缆的连接。包括与邮电局等通过光缆或电缆的连接。综合布线的组成子系统综合布线的组成子系统u管理子系统管理子系统u管理子系统即指楼层配线间(管理子系统即指楼层配线间(FD),由交连、互连和),由交连、互连和I/O组成。管理点组成。管理点为连接其它子系统提供连接手段。交连和互连允许你将通信线路定位或重为连接其它子系统提供连接手段。交连和互连允许你将通信线路定位或重定位到建筑物的不同部分,定位到建筑物的不同部分,以便能更容易地管理通信线路。以便能更容易地管理通信线路。I/O位在用户位在用户工作区和其它房间,工作区和其它房间,使你在移动终端设备时能方便地进行插拔。由电缆配使你在移动终端设备时能方便
17、地进行插拔。由电缆配线架线架(110型型)和光纤配线箱和光纤配线箱(LIU)组成。组成。110型配线架采用模块化的设计,型配线架采用模块化的设计,颜色编码,便于跳线,根据使用的不同情况采用打入式或插拔式跳线方法。颜色编码,便于跳线,根据使用的不同情况采用打入式或插拔式跳线方法。光纤配线箱采用易于扩充插接的光纤配线箱采用易于扩充插接的STII光纤插头,使光纤的连接非常简单。光纤插头,使光纤的连接非常简单。u垂直主干子系统垂直主干子系统u干线子系统是整个建筑物综合布线系统的一部分。它提供建筑物的干线电干线子系统是整个建筑物综合布线系统的一部分。它提供建筑物的干线电缆的路由。它通常是在两个单元之间,
18、缆的路由。它通常是在两个单元之间,特别是在位于中央点的公共系统设特别是在位于中央点的公共系统设备处,备处,提供多个线路设施。该子系统由所有的布线电缆组成,提供多个线路设施。该子系统由所有的布线电缆组成,或者由导或者由导线和光缆以及将此光缆连到其它地方的相关支撑硬件组合而成。传输介质线和光缆以及将此光缆连到其它地方的相关支撑硬件组合而成。传输介质可能包括一幢多层建筑物的楼层之间垂直布线的内部电缆或从主要单元可能包括一幢多层建筑物的楼层之间垂直布线的内部电缆或从主要单元(如计算机机房或设备间和其它干线接线间如计算机机房或设备间和其它干线接线间)来的电缆。由主线架来的电缆。由主线架(MDF)到到各区
19、分线架各区分线架(IDF)的连接部分,根据传输信号的不同,分别采用的连接部分,根据传输信号的不同,分别采用UTP电缆电缆或或LucentTechnologies50/125多模光纤为传输介质,以满足现在多模光纤为传输介质,以满足现在和将来所有通讯网络的要求和将来所有通讯网络的要求六个子系统图:六个子系统图:综合布线的设计综合布线的设计 综合布线系统(Premises Distribution System,PDS)是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。它既能使语音、数据、图像设备和交换设备与其他信息管理系统彼此相连,也能使这些设备与外部相连接。它还包括建筑物外部网络或
20、电信线路的连接点与应用系统设备之间的所有线缆及相关的连接部件。u综合布线的特点u综合布线设计原则u设计标准及安装设计规范u综合布线系统图下图为综合布线系统图网络拓扑设计网络拓扑设计该校园网络拓扑图如下该校园网络拓扑图如下网络拓扑设计网络拓扑设计本章从校园网设计策略、网络核心技术设计及其安全本章从校园网设计策略、网络核心技术设计及其安全设计思路等方面对我院校园网的合理科学规划与设计进行设计思路等方面对我院校园网的合理科学规划与设计进行了研究。了研究。1.核心层设计核心层设计2.汇聚层设计汇聚层设计3.接入层设计接入层设计4.IP地址划分及分配地址划分及分配5.路由的设计路由的设计校园的主要建筑:
21、层次化设计模型层次化设计模型互联网组件的通信中引入了三个关键层的概念互联网组件的通信中引入了三个关键层的概念,这三这三个层次分别是个层次分别是:核心层核心层,汇聚层和接入层。,汇聚层和接入层。设备选型设备选型通过细致的规划,并根据学校的实际需要,本方案最通过细致的规划,并根据学校的实际需要,本方案最终确定了采用神州数码网络提供的网络设备。校园网网络终确定了采用神州数码网络提供的网络设备。校园网网络系统从结构上分为核心层、汇聚层和接入层。系统从结构上分为核心层、汇聚层和接入层。1.核心层设备核心层设备2.汇聚层设备汇聚层设备3.接入层设备接入层设备4.路由设备路由设备双绞线的选择:双绞线的选择:
22、产品类型:超五类双绞线产品类型:超五类双绞线适用范围:综合布线设备适用范围:综合布线设备传输速率:传输速率:100mbs单断长度:单断长度:100m包装长度:包装长度:305m性能概述:符合性能概述:符合EIA/TIA568-A标准标准最大直流电阻:最大直流电阻:9.38chms/100m路由器的选择:路由器的选择:u华为华为 SRG2200是一款集成多是一款集成多业务路由器,业务路由器,¥5800华为华为 SRG2200 u路由器类型:企业级路由器路由器类型:企业级路由器u防火墙功能:内置防火墙防火墙功能:内置防火墙u端口结构:模块化端口结构:模块化u安全标准:支持安全标准:支持802.1x
23、端口安端口安.uVPN功能:支持功能:支持uQos功能:支持综合二层、三层功能:支持综合二层、三层交换机的选择:交换机的选择:华三(华三(H3C)S1024,华,华三(三(H3C)S1016u应用层级:二层应用层级:二层u端口数:端口数:24/12u背板带宽:背板带宽:4.8Gbps/3.2GbpsuVLAN支持:不支持支持:不支持u包转发率:包转发率:3.57Mpps/2.38MppsuMAC地址:地址:8ku网络标准:网络标准:IEEE802.3IEEE802.3uIEEE802.3xu端口结构:非模块化端口结构:非模块化u交换方式:存储交换方式:存储转发转发u校园网安全机制校园网安全机制
24、1.校园网安全隐患分析校园网安全隐患分析2.网络安全体系网络安全体系校园网安全隐患分析校园网安全隐患分析建立校园网安全机制前,我们对校园网的安全威胁进建立校园网安全机制前,我们对校园网的安全威胁进行了详细的分析,校园网络存在的安全隐患和漏洞主要有行了详细的分析,校园网络存在的安全隐患和漏洞主要有以下几个方面以下几个方面1.校园网通过与校园网通过与Internet相连,面临着遭遇攻击的风险。相连,面临着遭遇攻击的风险。2.校园网内部也存在很大的安全隐患。校园网内部也存在很大的安全隐患。3.目前使用的操作系统存在安全漏洞,对网络安全构成了威目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。胁。
25、4.随着校园网的节点数日益增多,而这些节点大部分都没有随着校园网的节点数日益增多,而这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。数据损坏、网络被攻击、系统瘫痪等严重后果。5.内部用户对内部用户对Internet的非法访问威胁。的非法访问威胁。6.校园网内管理人员以及全体师生的安全意识不强、管理制校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。度不健全,带来校园网的威胁。网络安全体系网络安全体系根据校园网的结构特点及面临的安全隐患,我们在广根据校
26、园网的结构特点及面临的安全隐患,我们在广泛征集各方意见,细心比较的基础上,决定采用的校园网泛征集各方意见,细心比较的基础上,决定采用的校园网络安全体系方案如下络安全体系方案如下1.部署防火墙部署防火墙2.安全漏统扫描系统安全漏统扫描系统3.网络版杀毒产品网络版杀毒产品4.建立安全管理制度建立安全管理制度价格预算:相关技术概念(一)相关技术概念(一)u1OSPF(OpenShortestPathFirst)即开放式)即开放式最短路径优先最短路径优先一般在网络核心层以及汇聚层上,需要三层的网络设一般在网络核心层以及汇聚层上,需要三层的网络设备,采用备,采用OSPF协议作为路由,以此使网络内部不同的
27、网段协议作为路由,以此使网络内部不同的网段的数据和不同的数据和不同vlan间的数据转发间的数据转发。u2VRRP即虚拟路由冗余协议即虚拟路由冗余协议VRRP给路由组提供了一个冗余网关地址,它是一种给路由组提供了一个冗余网关地址,它是一种容错协议,通过定义不同的组,不同优先级的路由,它保容错协议,通过定义不同的组,不同优先级的路由,它保证网络的主路由失效时,可以及时的由备分来实现路由来证网络的主路由失效时,可以及时的由备分来实现路由来替代,从而保持通讯的连续性和可靠性。并可以在该协议替代,从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。上实现负载均衡等高级交换特性。相关
28、技术概念(二)相关技术概念(二)u3ACL即访问控制列表即访问控制列表访问列表为我们提供了一种对网络访问进行有效管理访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端口进行访问通过路由器,或者允许或者拒绝具体的某些端口进行访问和使用,从而达到设置网络安全策略,防止网络中的敏感和使用,从而达到设置网络安全策略,防止网络中的敏感设备受到非授权访问的情况。设备受到非授权访问的情况。u4NAT地址映射地址映射NAT是网络地址翻译技术,在路由器上起用是网络地址翻译技术,在路由器上起用NAT之之后,可以在部私有地址和外部公网地址之间做转换。比如后,可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的我们可以把网络内部使用的IP翻译成外部公网的翻译成外部公网的IP,这样,这样做的目的就是为了保护内部做的目的就是为了保护内部IP地址。地址。致谢致谢
浙ICP备2021020529号-1 | 浙B2-20240490 
