校园网建设方案.doc

1、妖怪联盟-校园网建设方案1校园网建设方案目录第一章、校园网需求分析 .1一需求分析及需求调查 .1二. 网络建设要求 2三.校园网对主机系统的主要要求： 2四.校园网络系统设计方案应满足如下要求： 2五.校园网对网络设备的要求： 2六.系统集成所共同遵循的设计原则： 2七.系统集成所共同追求的设计目标： 3第二章、网络方案设计 .3一、设计原则 3二、网络拓扑 4第三章、网络设备选型 .4A.防火墙 .4B.核心路由器 .5C.核心交换机 .6D.分布层交换机 .7E.访问层交换机 9F.服务器 10E.价格统计 .12第四章、VLAN 划分与 IP 规划 .13妖怪联盟-校园网建设方案2一、

2、VLAN 的优势 .13二、网络 VLAN 的设计 13三、规划网络子网（VLAN） 13四、校园网无线覆盖 .14第五章、网络安全与管理 .16一、设计要求 16二、锐捷 StarView 网络管理系统 .16三、网络安全 17第六章、改进和扩展 17第一章、校园网需求分析一需求分析及需求调查1.1 项目背景妖怪联盟-校园网建设方案31. 教学楼:共 5 层,每层 8 个教室，每个教室要求一个接入口，共 40 个接口。2.体育馆,共两层： 1 层为游泳馆，5 台主机；2 层为健身房、乒乓球室等，2 台主机，共 7 个信息点，内设无线网络。3.行政楼： 1、3、4、5 每层 11 个房间，共

3、44 个端口； 2 层图书馆，5 个信息点，内设无线网络4.实验楼，共五层，155 台主机： 1、2 层为化学生物实验室：每层 10 间，每间一个接入点，共 20 个信息点。3 、4 层为物理实验室：光学实验室 5 间，每间 1 个接入点；电学实验室 3 间，每间 10 个接入点，共 35 个信息点；5 层为计算机房：4 个教室，共 100台主机5.学生公寓：共 2 栋楼，每栋 6 层，每层 40 个宿舍，每个宿舍 1 个接入点，240 个信息点/ 栋。二. 网络建设要求1. 学校采用 1000M 做骨干，10M 到桌面。2. 校园网内具有 WWW 服务器、 FTP 服务器、DNS 服务器网络

4、管理等。学校采用基于SQL server2000 数据库做开发平台。3. VLAN 划分：各组办公室、财务部、教务处、学生处各为一个 VLAN；所有教室、图书馆各为一个 VLAN；同类实验室、计算机房各自划分 VLAN；体育馆为一个VLAN；服务器组为一个 VLAN。各 VLAN 之间不能互访，只能上网；教务处可以访问教室的 VLAN。4. 考虑冗余设计、扩展需求和网络升级。三.校园网对主机系统的主要要求：1.主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力；2.主机系统应具有高的可靠性，能长时间连续工作，并有容错措施；3.支持通用大型数据库，如 SQL、Oracle 等；4.具有

5、广泛的软件支持，软件兼容性好，并支持多种传输协议；5.能与 Internet 互联，可提供互联网的应用，如 WWW 浏览服务、FTP 文件传输服务、E-mail 电子邮件服务、NEWS 新闻组讨论等服务；妖怪联盟-校园网建设方案46.支持 SNMP 网络管理协议，具有良好的可管理性和可维护性；四.校园网络系统设计方案应满足如下要求：1.网络方案应采用成熟的技术，并尽可能采用先进的技术；2.采用国际统一标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品；3.方案应合理分配带宽，使用户不受网上“塞车”的影响；4.应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力；5.该

6、网络方案要具有高扩展性。能为用户未来数目的扩展具有调整、扩充的手段和方法；6.该网络应是面向连接的，能够实现虚拟网（VLAN）连接；7.考虑对用户现有网络的平滑过度，使学校现有陈旧设备尽量保持较好的利用价值；五.校园网对网络设备的要求：1.高性能；所有网络设备都应足够的吞吐量；2.高可靠性和高可用性；应考虑多种容错技术；3.可管理性；所有网络设备均可用适当的网管软件进行监控、管理和设置；4.采用国际统一的标准；六.系统集成所共同遵循的设计原则：1.本着实用的原则，尽量使用成熟先进的平台软件，以缩短教学课件的开发周期；2.采用分布式的结构，以便于开发和维护；3.采用集群解决方案，以保证连续工作；

7、4.为保证网络速度而采用高的带宽；5.追求最高的性能价格比。妖怪联盟-校园网建设方案5七.系统集成所共同追求的设计目标：1.建成一个具有高可靠性和开放性的校园网络，它应支持流行的 SNMP 等网络管理协议；2.采用 Internet 上的标准协议-TCP/IP 协议，提供校园内部及面向全球的 WWW 服务、FTP 服务、NEWS 服务、电子邮件服务，实现与国际互联网的完全接轨；3.同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；4.采用模块化结构设计，容易升级；5.最后，它还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。第二章、网络方案设计一

8、、设计原则1. 可靠性、稳定性 :持续非故障时间、千兆备份线路、物理链路冗余备份、可热插拔的模块、快速的恢复机制、冗余及负载均衡的电源系统2. 安全性、保密性：端口隔离、路由过滤、防 DDoS 拒绝服务攻击、防 IP 扫描、系统安全机制、多种数据访问权限控制等、划分 VLAN、IP/MAC 地址绑定3. 扩展性、可管理性： 为网络扩展留有足够的空间、对整个网络提供实时端口级的管理、拓扑管理、LAN 的配置和管理,、并提供各种管理策略、有效地对整个网络进行管理、控制和维护。妖怪联盟-校园网建设方案6二、网络拓扑第三章、网络设备选型A.防火墙主要参数设备类型 网关用户数限制 2000-4000 人

9、网络端口 固化 8 个千兆电口；固化 4 个千兆光口管理中文 WEB 配置管理和监控；支持 SNMP；支持 TR069；CLI(Telnet/Console)；TFTP 升级和配置文件管理；支持异步文件传输协议 X-MODEM 升级方式安全标准彻底 ARP 防攻击；防内网攻击/外网攻击；支持安全地址绑定；防止 WAN 口 Ping；防端口扫描攻击；防止分片报文攻击；防止 ICMP flood 攻击；防止 TearDrop 攻击；防止 Ping of Death；防止 Land 攻击；防止 Smurf/Fraggled 攻击；防止 Syn Flood一般参数妖怪联盟-校园网建设方案7电源 50W

10、外形设计 1U产品尺寸 44043.6200mm适用环境工作温度：0-40工作湿度：0%-80%存储温度：-40-80存储湿度：0%-95%其他性能深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能流量控制：基于应用/用户/时段的流量控制；基于应用/用户/时段的阻断；Auto-PIR 动态压制功能URL 过滤：支持 41 类/2600 万个 URL 规则库；支持自定义 URL；支持远程 HTPP 自动升级URL 库；本地化日志存储（NAT 日志、流日志、URL 日志等）；日志服务器存储内容审计：支持邮件内容审计；支持 IM 审计；支持微博、论坛内容审计；支持搜

11、索引擎审计支持 WEB 认证；支持广告页面推送；支持 IPSec VPN；支持 SSL VPN；支持智能 DNS；支持多链路负载均衡；支持 Any IP 功能；支持 HTTP 在线远程升级特征库、主机软件版本等B.核心路由器基本参数路由器类型 多业务路由器传输速率 10000Mbps端口结构 模块化其它端口 2 个 USB2.0 接口，1 个 SD 卡插槽扩展模块 2 路由引擎插槽+2 个业务载板插槽+4 个业务子卡插槽功能参数妖怪联盟-校园网建设方案8防火墙 内置防火墙Qos 支持 支持VPN 支持 支持其他参数电源电压 AC 100-240V，50-60Hz产品尺寸 440480221mm

12、产品重量 50kg环境标准工作温度：0-45工作湿度：10%-90%RH存储温度：-40-70存储湿度：5%-90%RH其它性能 1 个 10M/100M/1000M 电口保修信息保修政策 主机保修 1 年质保时间 一年客服电话 4008-111-000详细内容硬件主机（含模块）保修一年。在产品使用说明书规定环境及状态下，排除其它相关设备及网络故障等引发因素后的产品缺陷或功能异常，可判定为硬件故障。软件保修一年。保证光盘无缺陷，否则由锐捷网络更换；保证软件基本符合公开发布的软件功能标准。C.核心交换机主要参数妖怪联盟-校园网建设方案9产品类型 路由交换机应用层级 三层交换方式 存储-转发背板带

13、宽 960Gbps-1.2Tbps包转发率 720Mpps-900Mpps端口参数端口结构 模块化扩展模块 4 个模块插槽功能特性网络协议 DHCP Client，DHCP Relay，DHCP Server，DNS Client，UDP relay，ARP Proxy，SyslogVLAN 4K 802.1q VLAN网络管理SNMP v1/v2/v3TelnetConsoleWEBRMONSSHv1/v2FTP/TFTP 文件上下载管理支持 NTP 时钟支持 Syslog安全管理NFPP（基础安全保护策略）CPP（CPU 保护）防 DDOS 攻击非法数据包检测数据加密防源 IP 欺骗妖怪联

14、盟-校园网建设方案10防 IP 扫描支持 Radius/TACACS支持基于标准、扩展、VLAN 的 IPv4/v6ACL 报文过滤支持 OSPF、RIPv2 及 BGPv4 报文的明文及 MD5 密文认证支持受限的 IP 地址的 Telnet 的登录和口令机制、uRPF支持广播报文抑制、DHCP Snooping其它参数其它参数 交换容量：900Gbps保修信息保修政策 主机保修 1 年质保时间 1 年客服电话 400-811-1000详细内容硬件主机（含模块）保修一年。在产品使用说明书规定环境及状态下，排除其它相关设备及网络故障等引发因素后的产品缺陷或功能异常，可判定为硬件故障。软件保修一

15、年。保证光盘无缺陷，否则由锐捷网络更换；保证软件基本符合公开发布的软件功能标准。D.分布层交换机主要参数产品类型 智能交换机应用层级 二层传输速率 10/100Mbps交换方式 存储-转发背板带宽 32Gbps包转发率 9.5Mpps妖怪联盟-校园网建设方案11MAC 地址表 16K端口参数端口结构 非模块化端口数量 28 个端口描述 24 个 10/100M 自适应电口，2 个 10/100/1000M 电口和 2 个 1000M SFP 光口（非复用）功能特性VLAN支持 4K 个 802.1Q VLAN支持 Private VLAN支持 protocol based VLAN支持 GVR

16、PQOS支持端口流量识别支持 802.1p/DSCP/TOS 流量分类每端口 8 个优先级队列支持 SP、WRR、SP+WRR 队列调度组播管理 支持 IGMP Snooping v1/v2/v3网络管理SNMPv1/v2c/v3CLI（Telnet/Console）RMON（1，2，3，9）SSHSyslogNTP/SNTP安全管理支持 IP、MAC、端口三元素绑定限制端口学习 MAC 地址数量过滤非法的 MAC 地址支持 802.1x支持 ARP-Check支持 ARP 报文限速支持广播风暴抑制妖怪联盟-校园网建设方案12管理员分级管理和口令保护设备登陆管理的 AAA 安全认证（IPv4）

17、支持 SSH支持 BPDU Guard其它参数电源电压 AC 100-240V，50-60Hz，2A环境标准工作温度：0-50工作湿度：10%-90%RH存储温度：-40-70存储湿度：5%-90%RH保修信息保修政策 主机保修 1 年质保时间 1 年客服电话 400-811-1000详细内容硬件主机（含模块）保修一年。在产品使用说明书规定环境及状态下，排除其它相关设备及网络故障等引发因素后的产品缺陷或功能异常，可判定为硬件故障。软件保修一年。保证光盘无缺陷，否则由锐捷网络更换；保证软件基本符合公开发布的软件功能标准。E.访问层交换机主要参数产品类型 智能交换机应用层级 二层传输速率 10/1

18、00Mbps交换方式 存储-转发妖怪联盟-校园网建设方案13背板带宽 32Gbps包转发率 17.6MppsMAC 地址表 16K端口参数端口结构 非模块化端口数量 52 个端口描述 48 个 10/100M 自适应电口，2 个 10/100/1000M 电口，2 个 1000M SFP 光口功能特性VLAN支持 4K 个 802.1Q VLAN支持 Private VLAN支持 4K 个 802.1Q VLAN支持 Private VLAN支持 Protocol Based VLAN支持 GVRP支持 Voice VLANQOS支持端口流量识别支持 802.1p/DSCP/TOS 流量分类每

19、端口 8 个优先级队列支持 SP、WRR、SP+WRR 队列调度组播管理 支持 IGMP Snooping v1/v2/v3网络管理SNMPv1/v2c/v3CLI（Telnet/Console）RMON（1，2，3，9）SSHSyslogNTP/SNTP妖怪联盟-校园网建设方案14安全管理支持 IP、MAC、端口三元素绑定限制端口学习 MAC 地址数量过滤非法的 MAC 地址支持 802.1x支持 ARP-Check支持 ARP 报文限速支持广播风暴抑制管理员分级管理和口令保护设备登陆管理的 AAA 安全认证（IPv4）支持 SSH支持 BPDU Guard其它参数电源电压 AC 100-2

20、40V，50-60Hz，2A环境标准工作温度：0-50工作湿度：10%-90%RH存储温度：-40-70存储湿度：5%-90%RH保修信息保修政策 主机保修 1 年质保时间 1 年客服电话 400-811-1000详细内容硬件主机（含模块）保修一年。在产品使用说明书规定环境及状态下，排除其它相关设备及网络故障等引发因素后的产品缺陷或功能异常，可判定为硬件故障。软件保修一年。保证光盘无缺陷，否则由锐捷网络更换；保证软件基本符合公开发布的软件功能标准。F.服务器基本参数产品类别 机架式妖怪联盟-校园网建设方案15产品结构 2U处理器CPU 类型 Intel 至强 E5-2600CPU 型号 Xeo

21、n E5-2609CPU 频率 2.4GHz标配 CPU 数量1 颗最大 CPU 数量2 颗制程工艺 32nm三级缓存 10MB总线规格 QPI 6.4GT/sCPU 核心 四核CPU 线程数 四线程主板主板芯片组 Intel C600扩展槽1全高全长 PCI-E x16 插槽3半高全长 PCI-E x8 插槽3半高半长 PCI-E x8 插槽内存内存类型 ECC DDR3妖怪联盟-校园网建设方案16内存容量 2GB内存插槽数量 24最大内存容量 768GB存储硬盘接口类型 SAS标配硬盘容量 300GB最大硬盘容量 24TB内部硬盘架数最大支持 8 块 3.5 英寸硬盘/16 块 2.5 英

22、寸硬盘磁盘控制器 PERC H310光驱 DVD网络网络控制器 Intel 四端口千兆网卡/双端口万兆网卡管理及其它系统管理符合 IPMI 2.0 标准Dell OpenManage Essentials 和 Dell Management ConsoleDell OpenManage Power CenterDell OpenManage Connection：适用于 Microsoft System Center 的 Dell OpenManage Integration Suite适用于 VMware vCenter 的戴尔插件妖怪联盟-校园网建设方案17HP Operations Ma

23、nager、IBM Tivoli Netcool 和 CA Network and Systems Management系统支持Windows Server 2008 R2 SP1，x64（含 Hyper-V v2）Windows Small Business Server 2011SUSE Linux Enterprise ServerRed Hat Enterprise Linux电源性能电源数量 1 个保修信息保修政策 全国联保，享受三包服务质保时间 3 年质保备注 3 年面向 IT 和关键任务的专业技术支持客服电话 800-858-0960；400-884-5117电话备注 24 小时

24、电话服务详细内容售后服务由品牌厂商提供，支持全国联保，可享有三包服务。如出现产品质量问题或故障，您可查询最近的维修点，由厂商售后解决。通过电话诊断故障后，如有必要，戴尔将向客户现场派遣技术人员，或派送替换部件或整机（视服务合同条款而定）。服务根据部件供货情况、地域限制（某些地区不提供上门和/或下一工作日服务）和服务合同条款，可能有所不同。E.价格统计用途 型号 单价(元) 数量 总价(元)防火墙 RG-AG515 30000 1 30000核心路由器 RG-RSR20-14E 28180 1 28180妖怪联盟-校园网建设方案18核心交换机 RG-S7808C 11520 1 11520分布层

25、交换机 RG-S2628G-S 2200 4 2200RG-S2628G-S 2200 3 2200访问层交换机RG-S2652G-S 4758 16 4758服务器 PowerEdge R720 12000 4 48000合计: 209228(元)第四章、VLAN 划分与 IP 规划一、VLAN 的优势 可以便面广播风暴，划分 VLAN 后，广播只在子网中进行 增加网络的安全性，不同的 VLAN 不能随意通讯 提高管理效率，实现虚拟的工作组，减少物理开支 VLAN 的子网访问，可以在三层交换机上实现，分流核心交换机的三层交换，优化组网二、网络 VLAN 的设计VLAN 划分原则：灵活划分，方

26、便管理。 本校园网设计中，以不同楼栋或部门来划分 VLAN 物理上 VLAN 基于端口或 IP 来进行划分2.1、网络 IP 地址数量规划私有 IP 类 IP 范围 数量A 10.0.0.0-10.255.255.255 224B 172.16.0.0-172.31.255.255 220妖怪联盟-校园网建设方案19C 192.168.0.0-192.168.255.255 216根据网络规模，选取常用的 C 类私有 IP 来规划 TCP/IP 设计三、规划网络子网（VLAN）3.1、核心层 VLAN 如图。中心路由交换机有 5 个分支网络，分别是行政楼，教学楼，实验楼，体育馆，宿舍，需要定义

27、 5 个 IP 子网和 VLAN IP 地址。3.2、根据个楼栋实际情况，进行如下 VLAN 划分。区域 所需端口数 所需 VLAN VLAN号IP 段 IP 地址 IP 地址数行政楼 44 XZL 10 192.168.10.0/24 10.2-10.254 254教学楼 40 JXL 20 192.168.20.0/24 20.2-20.254 254图书馆 10 XZL 10 192.168.10.0/24 10.2-10.254 254实验楼 155 XYL 40 192.168.40.0/24 40.2-40.254 254宿舍楼 480 SSL 50 172.16.0.0/20 0

28、.2-15.254 4093体育馆 7 TYG 60 192.168.60.0/24 60.2-60.254 254数据中心 30 SJZX 100 192.168.100.0/24 100.2-100.254 254妖怪联盟-校园网建设方案203.5、IP 规划的特点VLAN 可以通过端口划分，也可以通过 IP 划分。通过 IP 地址可以迅速的知道所属楼栋具有充分的灵活性和扩展性3.6、 VLAN 配置四、校园网无线覆盖覆盖范围1、有限网络无法接入的室外场所2、有线网络使用不便的室内空间3、重点是图书馆、体育馆具体实施目标 解决信息点流动的问题 解决难以布线的问题 有效降低网络建设成本4.1

29、、无线网覆盖方式：大型建筑无线网络（图书馆、体育馆）AP 通过普通的超五类双绞线与交换机相连，再将交换机的另一端与已经布好的网络接妖怪联盟-校园网建设方案21口相连与校园网连通。每个 AP 可以有一个固定的 IP 地址做网管应用，与用户的 IP 地址无关。该方案针对难以进行全面布线的礼堂、图书馆等，用户可以利用已经存在的有线网络接口，轻松解决无线局域网的安装布设。4.2、无线网覆盖方式：普通建筑无线网络的解决方案（教学楼、行政楼）校园中大多数场合如普通教室、宿舍、办公室、实验室等，可以直接将普通型 AP 接入校园网的以太网端口。4.3、无线网覆盖方式：普通建筑无线网络的解决方案（教学楼、行政楼

30、）宿舍和教室不同楼层的布线AP 的放置与无线客户端尽可能视线以内为原则，可以放在天花板、墙壁等地方，这样可以尽可能地覆盖其中所有无线用户区域。妖怪联盟-校园网建设方案22第五章、网络安全与管理一、设计要求 建立网关中心，统一网络中的交换设备的管理配置，虚网设计和配置 网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护。 进行故障隔离和分析、统计、报警和设置。 网管软件采用图形化用户界面，支持广泛的网管平台。二、锐捷 StarView 网络管理系统StarView 管理系统能提供整个网络的拓扑结构，能对以太网络中的任何通用 IP 设备、SNMP 管理型设备进行管理，结合管理设备所支持

31、的 SNMP 管理、Telnet 管理、Web 管理、RMON 管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。2.1、锐捷 StarView 网络管理系统操作界面妖怪联盟-校园网建设方案23三、网络安全3.1、对内安全：利用 VLAN 的安全特性。服务器访问控制。3.2、对外安全采用专用防火墙，提供企业网与 Internet 之间的高安全隔离保护。通过网管实时记录网络的运行状态。3.3、接入安全RG-S2652G-S 千兆智能接入交换机防止和控制病毒传播，组织网络攻击控制非法用户接入3.4、访问安全RG-S7808C 万兆核心路由交换机，支持 VLAN 划分隔离用户访问支持完善的 ACL 可以基于端口好进行流量控制，有效控制病毒传播，通过 IP 匹配 ，MAC 匹配等控制访问权限3.5、网络特点分析 高可靠性 高性能性 全网高速路由交换 高安全性第六章、改进和扩展核心路由交换机只有一台，一旦核心机出故障，整个网络将瘫痪；每个宿舍的端口只有一个。