校园网设计方案
一、 CHINANET网络概况
中国宽带互联网(CHINANET)是由中国电信独家投资建设的国家Internet主干网络,拥有独立的国际出口,并与国内其他骨干网进行高速互联。
到目前,全国上网用户总数接近3000万,其中中国电信用户近2000万。为了服务广大用户,推动互联网的发展,中国电信在拓宽骨干网络上不断加大力度。 截止20##年底,全国互联网骨干网速率提高了16倍以上,宽带增加了100多倍,基本互联带宽达到2。5G,大规模扩容的骨干网网络带宽达到800G,中国电信宽带互联网国际出口总带宽为4642M,超过总带宽的60%
江西电信在163高速互联网建设基础上,依托江西电信丰富的光纤传输资源,正同步开展全省宽带IP城域网的建设,大力开发丰富多彩的宽带应用业务,全面解决,信息高速公路,最后一公里的接入问题,实现,千兆到下区,百兆到搂层,十兆到家庭的宽带化接入目标。
二、校园组网方案
2.1. 网络结构总体设计
2.1.1 建设背景
Internet和IP网的发展丰富了网络资源,特别在中国电信公司提出实现,千兆到小区,百兆到楼层,十兆到家庭的宽带化接入目标。
如何实现网络资源和信息资源的高度共享,更好的利用网络拓展业务深度,实现网络一体化,Internet和IP技术的发展使得高校利用公共网络构建高校专网成为可能,为建设全新的校园网络,实现网络资源和信息资源的高度共享,更好的利用网络拓展高校品牌,随着互联网络的发展和学校计算机设施的不断增长,现有网络的Internet接入速度已经远远不能满足需要,并且网上教学,远程教育是以太网为网络平台,同时,广大的学生宿舍区,教职工宿舍区的高速上网需求无法得到满足。
因此,建设宽带IP校园网的构想,其目标是,通过建设一个高速。安全,可靠及可扩充的宽带IP校园网络系统,旨在实现校内信息的高度共享和传递,高起点。高质量地全面实现学校教学,科研及管理的信息化,同时,通过中国宽带互联网在高等专科学校的延伸,实现高等专科学校校园网络体系内部教学区、学生宿舍区、教职工宿舍区三大有机组成部分的高速网络互联。并在此基础上,建立对外信息交流的高速通道,实现与中国宽带互联网(CHINANET)的高速互联。
2.1.2 建设原则
宽带IP校园网的基本建设定位为电信级的宽带IP网络,是中国电信163高速互联网及景德镇电信宽带IP城域网在学校的自然延伸和有机组成,并共同融合为高速宽带IP信息服务平台。
首先,宽带IP校园网是一个IP技术为主的网络系统,顺应数据网络的发展趋势,提供对绝大部分数据业务即IP业务的直接支持。
其次,宽带IP校园是一个宽带IP网络,以满足网络数据流量的迅速增长,提供大容量高速传输的能力,符合其高速信息服务平台的角色。
同时,宽带IP校园网是一个电信级网络,与纯粹的企业自用为主的企业级网络相比,在可靠性`服务质量QOS`业务类别方面有高保障。
总之,宽带IP校园网是以TCP/IP协议为基础。具有大容量高速度传输能力的。可靠稳定保证服务质量的电信级宽带IP网络,是中国电信163高速互联网及景德镇电信宽带IP城域网在高等专科学校的自然延伸和有机组成。
2.1.3网络总体规划
由于宽带网的特性要求,建议宽带IP校园网整个网络的建设和 实现选用基于FTTx-LAN的组网技术。同时根据实际的需要,考虑最终节点的容量,交换节点的性能,路由拓扑的余度,骨干路由节点的性能,交换接点的端口密度等等,建议整个网络规划 参照Internet骨干路由的方法进行设计,再层次上采用3层构架;即校园网主干层,分布层。访问层。并分别有校园网主干带3层路由功能的交换机`校园网二层汇集交换机及终端用户等主要设备构成。
这种层次性结构一方面保证了IP架构的完整和其它网络的对接性(实现宽带IP网,保证将来的扩容能力,和异种网的对接能力等等)。另一方面保证了整个系统的控制能力:如路由的控制、各种数据流的Qos/Cos、系统的冗余,等等。
各层次的基本规划原则为:
* 校园网主干层高速转发数据,实现策略由及管理控制流量,其设备的主要工作是交换、转发数据包。
* 校园网分布层负责聚和校园内容教学区`学生宿舍区
教职工宿舍区三大区域的路由路径,并且收敛数据流量后向校园网主干层汇集。
校园网访问层将流量馈入分布层网络, 并且提供其他的边缘服务
2.1.4 网络结构设计
FTTX-LAN方式是采用千兆以太网交换技术,利用光纤+超5类线方式实现“千兆到校园、百兆到大楼、十兆到机房/宿舍” 的宽带信息化校园建设方案,使用FTTX+LAN方式,主要解解决用户接入Internet速度太低的问题,在提供告高速上网的同时,也能够提供基于IP技术的所有业务.下面是校园网接入Internet的网络示意图:
从上图可以看出,宽带IP校园网采用三级网络结构,其中主干网络采用第三层千兆以太网交换机,采用光纤上联,速度高达 1G;下联同样采用光纤介质,速度达100M;楼宇接入网络采用10M以太网二层交换机(100M上联),可以保证每台终端上下速率均达到10M。整网形成星型网络结构.
校园网可以分为三个子网:办公区子网、学生区子网、教职工宿舍区子网。三个子网之间通过主干网核心三层交换机相连,内部互联速率为100M.
* 办公区子网:
教学和办公大楼内,以100M光纤到达各楼层,终端与特网连接的速率初期限制在10M,以后可以根据实际需要进行提升。考虑到网络的安全性,可以采用100M中断能力的硬件防火墙充当百兆交换机.
* 学生区子网:
学生宿舍将以100M光纤到达各大楼。该子网将为每间宿舍提供一个10M宽带接入点,并且备足够的交换处理能力保证网络性能。由于学生流动性大,针对这种情况,可以通过PPPOE虚拟拨号方式在千兆交换机于用户之间建立点到点的连接,完成用户的认证.PPPOE方式提供基于帐号的用户管理机制,适合于移动终端的接入.
* 教职工宿舍区子网:
该子网类似学生区子网,将为每套/间教职工宿舍提供一个10M带宽的接入点.
办公区子网类似学生区子网将采用VLAN(虚拟局域网)用 户接入方式,千兆交换机通过VLAN的方式为每用户端口固定分 配VLAN-ID,通过动态地址分配获得用户的IP地址,并通过对用户的VLAN-ID、MAC、IP地址三者的绑定关系确定用户的合法性,适合与固定的终端的接入。由于教师的一些特殊要求和实际情况也可采用VLAN和PPPON 并存的接入 方式。假如上网时间长可采用包月的记费方式,则需要VLAN方式接入;上网时间短,可按时记费,则需用PPPOE方式接入。教师宿舍区子网,具有灵活,机动,适应性强,能够满足教师各方面的多种需求。
工程网络拓扑图参见附件(一):
2.2 组网设备
2.2.1 设备选用原则
针对以太网多元化,采用千兆以太网交换设备,千兆光口上行连接至电信ISP.并对IP报文的二层封装处理,可对用户进行二层的隔离和受控互访,用户间的互访必须经过系统配置,充分保证网络的安全及用户的安全.
用户认证:VLAN方式上网的用户,每个用户断口均需要进行开通配置,即VLAN-ID的设置.只有经过配置的端口才能使用.用户接在未开启的端口时,任何数据报文均会被抛弃,用户将无法申请到IP地址,也无法访问任何网站.可以有效限制非法用户的接入.
3.2.2 网络系统可靠保证
景德镇宽带IP城域网分别通过波分复用电路与南昌.九江相连,CHINANET国家级、省级.地区级网络的中断电路全部为双向配置,是国内可靠性最高的互联网络.
所有光纤.超五类等采用优质产品,景德镇电信将按照最严格的标准进行施工,每一根线路都将经过全面的测试,传输.线路可靠性高.
景德镇电信拥有充分的实力和经历,承落提供7*24小时的电信级网络管理.维护和服务.
2.3 IP地址规划和路由策略
2.3.1 IP地址分配
对校园网IP地址分配建议采用如下规划原则:
* 网络系统的编址方案利用CIDR和可变长子网掩码技术,并支持IPv6;
* 在整个网络环境中必须保持IP地址的唯一性;
* 为提高路由处理效率,实现理想的路由汇总,缩减路由表项数,尽量为同一网络分配连续地址;
* 地址分配具有层次性,便于管理,局部的变动不影响网络的其他部分;
* 为了满足不断增长的IP地址需求,并实现与其他网络互联和内部子网互联的有效控制和管理,建议校园网采用内部保留地址,给将来的网络发展留下充分的余地;
* 采用DHCP-Relay协议获得用户的IP地址,办公区子网.教师区子网采用VLAN接入方式,学生区子网采用PPPoS接入方式,用户全部由动态地址分配池获得地址.大小为1/2个C类地址块,其中将对学校的WEB,FTP等服务器分配静态IP地址.
PPPoS接入方式需单独定义域和分配地址段,针对教师宿舍和学生宿舍的特点,分配多个不同的地址段,每段大小为1/4个C类地址块.
2.4 网络安全
校园网将具有电信级的可靠性和安全性.针对网络安全问题,采用三层分级防火墙,第一层防护,在服务器增加防火墙软件或通过硬件进行安全过滤;第二层防护,千兆交换机提供了强大的防火墙功能,可通过增加防火墙列表;第三层防护,在汇聚层核心交换机增加防火墙,修改访问列表.
宽带骨干网络设备增加ACL访问表根据拥护侧和网络侧的业务流量访问限制,按照用户分别设置用户访问本地信息网或广域网的权限。以保护重要的服务器地址。保护系统用户。限制对外访问。防止网络攻击,提供了一定程度的防火墙的功能并实时更新.
2.4.1 广域网安全策略
1) 采用分层的网络拓扑结构
2) 对网络连接设备实行口令管理,并通过网管系统实时监控其状态;
3) 通过景德镇城域网的网管平台,系统负责全网骨干层的路由管理、网络连接设备的管理、全网安全的管理;
3.4.2 校园网安全策略
安全策略是校园网安全的重点,主要采用的技术有访问控制、监视、检查、认证、加密等,景德镇电信公司认为,保证网络安全需要
在管理方面:
1) 网络中的关键设备应放置于可靠的机房,并有健全的管理制度和措施;
2) 加强安全检查,定期对网络和系统进行扫描、检查和巡视;
3) 培养师生的安全意识,加强口令管理,限制用户采用容易破怿的口令;
4) 保持对国际上先进安全技术的跟踪。学习和研究,及时进行技术升级.
在技术方面:
1) 通过VLAN技术,控制网络流量,提供网络效率,防止网络侦听(sniffer);
2) 不同的VLAN,可以根据功能区域的不同,设定不同的安全级别;对于重要网络设备和管理系统,应设置最高的安全级别;
3) 对于向外提供信息服务的重要服务器,关闭不需要开放的服务端口,限制用户的操作权限,防止非法操作;
4) 采用访问控制表进行访问限制,过滤不正当的访问和恶意攻击;
5) 通过防病毒软件和适当的个人电脑网络设置,建立桌面级的系统安全;
6) 校园网可以通过DHCP服务器,实现动态地址分配与认证,实现对内信息内容的访问控制。
2.5 网络的先进性和扩展性
2.5.1 先进性
* CHINANET是国内目前技术最先进的互联网络,校园网作为它的一个有机组成部分,直接继承了CHINANET的先进性;
* 采用FTTx+LAN方式组网,可以提供比现在快上百倍的Internet接入速率,足够满足近期.中期的网络应用需求;
* 校园骨干网络采用三层交换,拥有强大的以太网交换能力和较强的路由处理能力;
* 楼宇接入网络采用交换式以太网,可以保证每台终端的连接速度;
* 针对不同的用户群体,办公区和教师宿舍区采用VLAN技术,可以有效避免广播风暴.学生区采用PPPOE技术,可适用于流动的学生群体,于是也可有效避免广播风暴.
2.5.2 扩展性
* 根据用户不同需求,提供多种多样网络接口,有ATM接口.以太网接口.POS接口等,而且根据业务宽带的需要,接口速率也不相同,有100M.155M.1000M等.MA5200针对各种网络接口,采用扣板方式,可以提供以太网.ATM.POS等各种速率的接口,并能提供电接口.单模光接口.多模光接口等,充分满足用户的各种需求。
* 楼宇内使用超5类布线,可以支持100M的终端接入速率;
* 所选用的软硬件设备均为模块化结构设计,可以通过软件升级支持新的功能。
2.6 楼宇线路系统
2.6.1 电缆(线)
* 采用100Base-TX系列五类屏蔽电缆(FTP或S-FTP),阻抗为100兆,0.5~0.6mm线径,标准接口RJ45为8芯。
* 采用100Base-TX系列五类非屏蔽电缆(UTP),阻抗为100兆,0.5--0.6mm线径,标准接口RJ45为8芯。这种方式适用于周围环境无较强干扰处。
* 综合布线系统的电器距离限制在100米之内。设计原则参见相关规范。
为便于数据业务、话音业务的接入,以太网交换机与综合布线系统单元配线箱尽可能邻近放置,以便于跳接;如果不具备邻近放置的条件,可设置电话配线箱,采用短段大对数的五类电缆作过渡连接,单元楼层或信息点较多处可考虑设分配线箱。
数据接入建议,使用入户超5类线的1、2、3、6芯。
3.6.2 户内布线系统
户内布线系统原则上由电信公司和学院合作解决,并采用如下布线原则:
* 布线入户后,宜在靠近入口处或室内公共活动范围适当位置预留过渡盒或出线盒。室内可利用标准连接器,经过渡盒分接至各使用点出线盒。较大户型的布线宜考虑增加入户点,也可集中入户,经小型配线盒(插接式)分接至各出线点。
* 过度盒可用出线盒加光面板组成。有条件的地方建议设置家庭通信系统总配线箱,尺寸`结构可根据所综合的缆线种类和容量来确定,箱体宜采用金属材料制作。设计方案超前的,可结合光纤到户将此箱做成"通信系统接口箱"即光纤网络单元。过度盒的安装高度不宜过高;配线箱的高度宜根据室内环境要求设计,宜低不宜高。
出线盒分墙面、地面、桌面等几种。墙面建议采用86标准暗盒,配组合面板(有单、双、四位几种,每个位置可选择RJ45和RJ11等插座模块)。地面建议采用单口和双口RJ45和RJ11地面型插座。桌面建议采用单口或双口RJ45或RJ11桌面型插座。出线盒安装高度结合家具布置考虑,同样宜低不宜高。
2.7 工程投资估算
* 预计主设备投资:
目录价$ ,按 %折扣率计算,实际价格$ ,折合人民币¥ ;
* 超五类线、光纤等布放费用:
个接入点,按综合平均造价¥ 元/点计算,共需¥ 元;
* 安装调试、系统集成等辅助费用:
预计工程总造价:
2.8 今后网络应用的一些建议
在校园网建立后,利用完整的网络资源,发挥我们的共同优势,建立我市首家网络教育平台。在这一平台的基础上利用先进的网络手段可以实现网上备课、批改作业、视频会议、网上教育、电子邮件、网页信息浏览、网上购物、影视点播、电子商务等INTERNET的各种应用。将大大提高信息的获取、传播、加工、应用的效率,为陶瓷的发展提供新的机遇,同时为员工和学生个人工作、娱乐、学习、发展新的手段。同时,电信与学院还在程控电话、系统开发、信息源建设等多方面领域有着长期的合作。
二零##年元月