大学校园网络系统集成功能描述书
一、整体描述.... - 2 -
1、校园计算机局域网... - 2 -
2、交互式多媒体教学系统... - 2 -
3、学校自动化办公系统... - 2 -
4、学校教学和管理综合信息系统。... - 3 -
二、功能描述.... - 4 -
1、网络功能需求分析... - 4 -
2、网络功能划分... - 5 -
3、管理描述... - 6 -
4、网络的管理... - 7 -
三、网络描述.... - 9 -
1、网络分层设计原则... - 9 -
2、网络层次表示... - 9 -
3、网络拓扑结构... - 10 -
4、网络的总体设计... - 10 -
四、网络安全需求分析.... - 12 -
五、系统安全性分析.... - 13 -
六、可靠的网络安全设计分析.... - 13 -
一、整体描述
此课程设计拟建覆盖全校的校园网,包括局域网和接入网,能支持办公自动
化、信息管理、科研与教学工作,能接入中国教育和科研计算机网CERNET(The China Education and Research Network),与Internet相联。将实现网络主干1000M,桌面100M,端口应为独占100M。而且从目前应用水平考虑,端口独占100M的交换式网络,在相当一段时间内也能支持应用。同时并不影响将来网络的各方面扩展。系统最终将由以下几个子系统构成:
1、校园计算机局域网
这点是校园网建设的基础,也是本次校园网组建规划的主要工作,其他所有的建设都是建立在此部分之上的。建设覆盖全校的局域网包括网络技术选型,拓扑结构设计,布线系统设计和网络方案的具体设计。在这之中,网络方案设计中网络的核心、汇聚、接入层三层是重点。其次进行VLAN划分、子网配置和IP地址的分配,最后进行服务器、交换机和路由器的配置。
2、交互式多媒体教学系统
交互式多媒体教学系统运行于加载TCP/IP协议的Windows 2000/2003网络,主要在局域网上实现多媒体信息的广播,并同时实现网络屏幕监视和远程控制等网络管理的目的。它专门针对象监视、远程控制、网上语音广播、两人对讲和多方讨论、VOD等视频流的网络广播、同步文件传输、联机讨论、远程命令、获取远端信息、电子黑板与白板、自由的交互式短信息发送。
该系统软件包括服务器端软件和客户端软件。服务器端软件驻留在教师机上,客户端软件驻留在学生机上。两者在局域网内进行基于TCP/IP协议的Socket传输,协同以达到实现语音交互,视频交互,屏幕图像交互,动态管理以及远程控制功能(教师机对学生机发警告,强制学生关机,注销以及用鼠标对学生机屏幕进行控制)。
3、学校自动化办公系统
基于校园网络环境,在Internet上构建办公自动化系统时有两个问题须加以考虑:其一,充分利用现有网络资源,使得Internet上得原有用户可以以最小代价加入办公自动化系统;其二,办公室与其他管理信息系统之间的联接,使办公用户可以在一定的权限控制下访问其他信息系统的资源。基于以上考虑,办公系统的总体结构适合采用B/S与C/S相结合的模式,通过客户端使用Domino资源,构成C/S结构,以便充分利用Notes的安全技术保障办公信息的安全。同时,利用Notes Web Publish能力,Internet上得非办公用户可以通过浏览器浏览公开的办公信息,对这类用户可以通过浏览器公开的办公信息的权限。这种混合模型适合基于Internet结构的办公自动化系统。
随着学校网络信息化网络化进程的推进,已经开发了一系列的有关教育教学、学校管理的系统、平台。Portal提供的公共服务功能中的单点登录技术为我们提供了解决方案。我们只需登录Portal提供的公共服务器一次就可以访问所有其它的应用,无需再分别登录每一个应用。一旦登录了学校的门户网站,就能访问mail应用以及其它的教学教育管理平台,Portal服务器会分配一个通行证库,只需要在mail应用里设定一次性的用户名和密码,这些信息就会以加密的方式存储在通行证库中。在已登录到学校门户网站并要访问mail应用的时候,Portal服务器会从通行证库中读取你的通行证帮助你登录到mail服务器上。
网络环境下学校自动化办公系统完全采用B/S结构,所有软件的安装只能在服务端进行,客服端实现“零”安装;所有的系统管理及升级都在服务器上进行,客服端不需做任何设定或改变。学校拥有自己的web网站,并通过高速的线路向internet发布,而且web服务器在本校机房,学校可以使用自有的web应用模式进行系统建设。所有移动办公用户或在家办公之类的异地办公方式可以直接通过internet与学校自动化办公系统进行连接,完成业务操作。
4、学校教学和管理综合信息系统。
在本网络中服务从类型上说既有简单的消息服务,又有资源共享服务;既有访问集中式的数据库,又有分布式事务处理;既有非实时性服务,又有实时性服务。主要支持教师教学和学生学习,提供共享接入Internet,E-mail,WWW,FTP,VOD点播等。
二、功能描述
1、网络功能需求分析
(1)办公自动化
基于web综合管理信息系统,提供行政、人事、学籍、教学、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等,使学校日常办公无纸化,减少办公开支,提高办公效率。
(2)网络多媒体教学
将计算机多媒体视听引入课堂教学,使声音、图像、动画的普遍采用可以大大提高教学效果,使每一节课都能够得到有效的作用。
(3)学生自主学习
针对不同的学生,提供不同的教学内容,采取不同的教学手段。主要采用基
于VOD、WEB及FTP的课件、光盘软件、Internet资源,学生可以根据自己的需要自由选择所需内容。
(4)电子图书馆
基于Web的图书音像资料提供学生随时阅读,并与Internet连接,使图书馆
得到进一步拓展,使学生能够得到近乎无限的网上资源。
(5)电子邮件
电子邮件是Internet上的一个最重要的应用,将为每一位教师和学生开设一
个电子邮件账号,利用电子邮件学生可以和学生、同学及家长进行交流,同时也可以和国内外等地学校进行交流。
(6)远程教育
实现校内外连通,师生在线、交互式学习、辅导、测验等功能。
(7)校园一卡通工程
利用RFSIM卡易于管理的特性,综合校园网络,轻松实现学期注册、考试、教务管理,机房上机管理,食堂餐饮管理,图书借阅管理等多种应用,从而为学校开源节流、降低管理费用。
(8)校园移动计算
采用有线和无线网络混合建构,方便学生、老师移动上网学习和办公。
2、网络功能划分
(1)教学区
教学区网络应用主要有远程教育、网络教育及电子教学。VOD视频点播进行自主学习是现代远程教育最基本、最核心的教育形式;网络教育是基于多媒体计算机和网络技术的现代远程教育,其最大特点是以学生为中心,学生使用校园网与教师在线讨论、登录聊天室与教师聊天、发E-mail、学校论坛等进行学习;电子教学主要体现在多媒体教学、VOD等,这部分业务流量较大,大量的数据、语音以及视频穿插在校园网内部。教学办公区网络的需求有:
①在保证校内资源信息共享的同时实现网络安全;
②内部网络高速交换;
③NAT地址转换;
④完善的Qos支持能力。
(2)学生宿舍区
学生宿舍区的用户群体网络应用为学生社区实现信息检索、资料查询、对外联网、丰富业余生活、资源共享、校园信息系统的访问。网络流量为校园网络内部以及Internet的访问。这部分的网络需求有:
①网络安全性要求较高,VLAN的划分;
②用户的管理性要求比较严格,对学生宿舍区上网的控制;
③NAT地址转化的需求;
④带宽的控制;
⑤计费需求;
⑥网络管理等。
(3)学院办公区
学院办公区主要为各学院的办公提供网络连接,这部分的网络对网络速率、网络流量的要求也相对的比较高,在这部分分区中,按照各学院的不同需求根据实际的需求接入Internet并进行局域网络的组建。学院办公区主要有现代教育中心、计算中心、信息技术学院等部分。这部分的网路需求有:
①网络性能要求要高,特别像计算中心等外网的接入点;
②对学院办公区需进行LAN局域网的划分;
③NAT地址转化的需求;
④完善的Qos支持能力;
⑤网络管理等。
(4)图书馆
校区图书馆在网络接入中要有Internet以及内部网络的接入,这部分网络主要为在校学生提供数据查找、电子图书系统网络应用、用户信息管理等。这部分网络数据流量大,而且应方便管理人员的工作。对网络的需求有:
①完善的Qos支持能力;
②带宽的控制;
③保证校内资源信息共享的同时实现网络安全;
④网络管理等。
(5)信息网络中心
中心机房到汇聚层节点采用4M光纤(多模)连接,汇聚层到接入层采用百兆的五类线(或者超五类)连接。通常考虑,建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入,以便能比较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。
3、管理描述
(1)管理需求
①虚拟网的划分:在内部主干网上要求做到能够划分跨越子网的虚拟网,以便使各种网段(尤其是办公网)的划分不受地理区域的限制,并有效地限制网间广播,控制网间访问。
②虚拟网管理:对虚拟网的配置可以进行集中的控制管理,以便随时进行扩充、迁移等调整。
③设备及端口管理:对主干网的所有网络设备及连接局域网的所有端口可以进行集中控制管理。
④网络检测:对主干网的运行状态和故障进行集中监测、报警、统计。
(2)网络安全需求
①划分内部网和外部网:所有向Internet提供的信息发布服务放在外部网上、所有校内应用放在内部网上,内部网与外部网之间设置防火墙以保证内部网的安全。
②内部网的各个子网之间的互访可以控制,杜绝非授权的访问。
(3)广域网连接需求
能够与国际互联网连接:能够与CERNET连接,与国内各个学校交流信息。
4、网络的管理
网络管理是整个网络正常运行的核心。为了确保网络的正常运行,必须对平台的运行状况和网上的数据流量进行监控。以便分析网络的性能,从此优化网络结构,这必须依靠强有力的网络管理来支持。网络管理包括网络配置管理、故障管理、性能管理、安全管理和性能统计等。
网络的管理主要要达到以下目的:
网络监控: 监视网络的运行状态,控制网络路由和流量,分析运行记录和报警信息。
性能控制: 根据网络应用状态、负荷状态、网络利用率,合理调整网络性能。
故障管理: 为确保网络系统的高稳定性,在网络出现问题时,必须及时察觉问题的所在。它包含所有节点运作状态,故障记录的追踪与检查及平常可对各种通讯协议的测试。
效率管理: 效率管理在于评估网络系统的运作,统计网络资源的运用及各种通讯协议的传输量等,更可提供未来网络提升或更新规划的依据。
网络安全管理: 用户身份确认,访问控制,对用户权限以及用户帐户进 行维护和管理,设置相应口令与更。.加密和密钥管理。监视和控制网上的破坏安全系统的行为。
运行管理: 制定网络运行的技术标准,可靠性、安全性方案和运行制度。
(1)远程监控
利用windows 20## R2 server的终端服务器实现对服务器的远程监控。
(2)远程访问支持
校园网内网访问Internet或者Cernet时端口全开放;
允许从公网到非军事区的访问请求。Web服务器只开放80端口,Mail服务器只开放25和110端口;
禁止从公网到内部网络的访问请求,端口全关闭;
允许从内部网络访问非军事区,端口全开放;
允许从非军事区访问Internet或者Cernei时端口全开发;
禁止从非军事区访问内网,端口全关闭。
(3)远程控制
在客户机上实现对服务器的远程管理和控制,方法如下:
单击开始/程序/客户端连接管理器,出现窗口,双击刚才建立的名为服务器的连接,这时服务器的桌面就显示在客户机的桌面上,输入用户名和密码,这样就可以在客户机上对服务器进行远程管理和控制。
按Ctrl+Alt+Break组合键,可以在窗口和全屏之间进行切换。
(4)网络安全
当整个网络开始运作时,其安全防范问题就越是重要。如何快速防范网络病毒和网络黑客,已成为网络安全最主要的任务之一。
病毒作为一种特殊的程序,具有传染性、流行性、繁殖性、表现性和针对性等特征,网路病毒不仅可以对单独的计算机造成损坏,还会对局域网造成严重的损坏。而网络黑客则利用网络和系统本身存在的或设置的错误引起的薄弱环节和安全漏洞实施攻击,破坏网络或施放病毒使系统瘫痪。
对于网路来说,保护主机及校园网的安全刻不容缓。对此,分两步来提高网络安全系数。
第一步:解决局域网的安全性
在校园网与Internet进行连接处,外加一个硬件防火墙,从而有效抵御来自外部网络的入侵。结构如图所示:
第二步:解决网内主机的安全性
在校园网内部的各主机上加装网络版病毒软件,如卡巴斯基病毒软件、360等,各工作站上也可以加装同系列的网络版防病毒软件。为更进一步防治网络黑客,也可以在校园网内部主机上加装软件防火墙,如瑞星防火墙。
三、网络描述
1、网络分层设计原则
从逻辑上,校园网络采用典型的三层结构:核心层+汇聚层+接入层。每层都有其特点,层次化设计的优点有:
可扩展性:因为网络可模块化增长而不会遇到问题;
简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;
设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;
可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。
2、网络层次表示
(1)核心层
核心层为下两层提供优化的数据运输功能,它是一个高速的交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。
(2)汇聚层
汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。在校园网络环境中,汇聚层主要提供如下功能:
①地址的聚集;
②部门和工作组的接入;
③广播域/多目传输域的定义;
④Internet VLAN路由;
⑤任何介质的转换;
⑥安全控制。
(3)接入层
接入层的主要功能是为最终端用户提供对校园网络访问的途径。本层也可以提供进一步的调整,如Access-list Filtering等。在校园网络环境中,接入层主要提供如下功能:
①带宽共享(Shared Bandwidth);
②交换带宽(Switched Bandwidth);
③MAC层过滤(MAC Layer Filtering);
④微分网段(Microsegmentation)。
在广域网环境中,接入层主要提供通过Frame Relay、ISDN、Leased line连入远程节点。
3、网络拓扑结构
4、网络的总体设计
(1)教学楼
核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。汇聚交换机分别连接到各栋楼的接入层交换机,通过双绞线连接到每间教室的信息面板上,具体分配如下:
教学楼A有2栋,每栋四层,每层10个信息点,共80个信息点。教学楼B有2栋,每栋四层,每层10个信息点,共80个信息点。教学楼C有5栋,每栋四层,每层10个信息点,共200个信息点。教学楼D有5栋,每栋四层,每层10个信息点,共200个信息点。教学楼E有6栋,每栋四层,每层10个信息点,共240个信息点。教学楼F有3栋,1栋有9层,每层10个信息点;2、3栋有4层,每层10个信息点,共100个信息点。
(2)学院办公楼
核心交换机通过室外光线连接到行政楼的汇聚交换机,汇聚交换机通过双绞线连接到行政楼各个办公室的信息面板上,行政楼2栋,每栋4层,每层30个信息点,共240个信息点。办公室使用24口交换机连接到信息面板。
(3)图书馆
中心机房放置在图书馆的第四层,连接到汇聚交换机,通过双绞线连接到图书馆的各个信息面板上,1楼:10个信息点;2楼:8个信息点;3楼:8个信息点。
(4)学生宿舍区
核心交换机通过光纤连接到学生公寓各个区的汇聚交换机,每个区域的交换机通过光纤连接到各自的区域楼,区域楼交换机再与楼层的交换机堆叠,通过双绞线连接到宿舍的信息面板上。
(5)信息网络中心
通过光纤接入,连接H3C SecPath F100-S-AC防火墙,再连接到一台“思科 WS-C4503”的核心交换机和服务器群。
服务器群组服务器统一采用IBM System x3650 M3(7945I75),一台对外Web服务器,放的是学校的官方网站;一台内网Web服务器,是学校的内部网站;一台Ftp服务器,由于FTP流量比较大,所以增加了一台IBM TotalStorage DS3400(1726-42X) Raid服务器。
核心层交换机通过光纤连接到教学楼、图书馆、行政楼、学生公寓各个区的汇聚层交换机。
四、网络安全需求分析
系统软件和硬件的安全需求,在操作系统方面,尽量采用安全性较高的网络操作系统,并进行必要的安全配置,关闭一些不常用却又存在安全隐患的系统服务功能和端口。网络操作系统,服务器软件等可能存在一些安全漏洞,应当对系统进行补丁程序升级,加固系统的安全性。采用各种杀毒软件。
(1)网络可靠性需求分析
在一个大型网络系统中,系统每个时刻都要采集大量的数据并进行处理。因此,网络系统的故障有可能给用户带来不可估量的损失,这就要求系统具有高度的可靠性。提高系统可靠的方法有如下一些方面:
部分用户网络系统采用RAID 进行数据自动备份;部分用户网络系统进行数据远程异地备份:部分网络系统要采用系统备份恢复功能;对重要服务器采用双机热备功能;主要网络设需要考虑可离线应急操作,相同设备之间应当可相互替代;进行网络可靠性设计时,关键在于网络不能因出现单点故障而引起全网瘫痪,所以要重点考虑到设备,软件,链路的冗余备份。
(2)网络管理需求分析
校园网大部分用户是学生机和教学用的服务设备,这些都不需要进行远程管理。对性能管理要求比较高,因为目前的情况下,用户上网的总带宽是有限制的,如果不加管理,就会造成大部分用户上不了网,不能做最基本的网络任务。同时为了满足全部用户的上网需求,对网络故障处理也要一套很完善的机制来解决。选用锐揵公司提供的锐揵拨号软件,集上网拨号,用户计费于一体的多功能软件。该软件支持目前大部分的Etheral协议。像网络百警,以及LaneCat都是不错的网络管理软件,可以考虑采用。
五、系统安全性分析
网络系统应具有良好的安全性,由于网络连接园区内部所有用户,安全管理十分重要。网络具有防止及便于捕杀病毒功能。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。校区网络与校园网相连后具有“防火墙”过滤功能,以防止网络黑客入侵网络系统。可对接入因特网的各网络用户进行权限控制。
六、可靠的网络安全设计分析
安全性是网络设计要考虑的最重要的因素之一,设计中充分考虑了网络的安全性,具体体现在以下几个方面:
(1)通过VLAN的划分,限制了不同VLAN之间的互访,从而保证了不同网络之间不会发生未经授权的非法访问。
(2)在核心节点可提供基于地址的Access-list,以控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置VLAN路由以及访问过滤,保证了在VLAN之间只有被允许的访问才能发生,而未经授权的访问都会被禁止。
(3)通过对上网的安全教育,提高安全意识,特别是增强计算机操作人员的密码管理意识,以防止由于操作员密码有意无意泄露给他人而造成的损失。
(4)制定严格的安全制度,包括人员审查制度、岗位定职定责制度、使用计算机的权限制度以及防病毒制度,从制度上保证网络安全性得以实现。
(5)可以对所有的重要事件进行Log,这样方便网络管理员进行故障查找;
(6)可以对所有的Telnet以及SNMP的访问进行限制,从而最大程度地保证汇聚层系统地安全。
(7)可以在接入层中通过限制MAC地址的访问提高网络安全。
组员分工
张鑫:网络管理的需求分析
张婷婷:整体描述的校园计算机局域网、交互式多媒体及办公自动化。
杨丽:分析网络的功能描述
杨娟:分析网络拓扑及层次设计
毕海旭:分析网络的安全性及安全设计