校園網路安全系統設計

校園網路安全是指網路系統的硬體軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷

基本介紹

  • 中文名:校園網路安全系統設計
  • 外文名:Campus network security system design
  • 性質:電子科技
  • 類型:技術
  • 範圍:校園
引言,網路基礎知識,區域網路簡介,需求分析,技術方案,校園網的運行,

引言

當今世界,各種先進的科學技術飛速發展,給人們的生活帶來了深遠的影響,它極大的改善我們的生活方式。在以計算機技術為代表的信息科技的發展更是日新月異,從各個方面影響和改變著我們的生活,而其中的計算機網路技術的發展更為迅速,已經滲透到了我們生活的各個方面,人們已經離不開計算機網路,並且隨著網際網路的迅速普及,給我們的學習與生活條件帶來更大的方便,我們與外部世界的聯繫將更加的緊密和快速。
隨著人們對於信息資源共享以及信息交流的迫切需求,促使網路技術的產生和快速發展,而各高校及其中國小都在籌備建設校園網,希望通過校園網的建設,改善辦學條件,提高教學、科研和管理水平。校園網的建設對於學校來說是一項大的工程,必須精心設計、精心施工,做到經濟適用、技術先進、開放性能良好、投資強度合理、與國內外網路互聯、能長期、穩定運行的高性能的校園網路。

網路基礎知識

計算機網路是通過通信設施,將地理上分散的具有獨立功能的多個計算機系統互聯起來,進行信息交換,實現資源共享,互操作和協作處理的系統。計算機網路如按網路的組建規模和地域範圍來劃分的話,可分為區域網路(Local Area Network, LAN)、城域網(Metropolitan Area Network, MAN)、廣域網(Wide Area Network, WAN)。我們經常用到的網際網路(Internet)屬於廣域網,校園網屬區域網路。未來的網路技術將向著使用簡單、高速快捷、多網合一、安全保密的方向發展。
2.1 計算機網路的簡介
計算機網路是一種地理上分散的,具有獨立功能的計算機通過通信設備和線路連線起來,在配有相應的網路軟體的情況下使各個計算機系統能相互自由通信,實現資源共享的系統。從計算機單機本身來看,它雖然可以在很短的時間內處理大量的信息,但是單台的計算機只能在自己有限的範圍內工作,即使它的存儲容量再大也是極其有限的,因此,便產生了在計算機之間交換數據的需求,此外在如何節約使用外部設備等需求,也導致了計算機網路技術的產生,實質上計算機網路技術是信息傳播技術和信息處理技術結合的產物。計算機網路如按網路的組建規模和延伸範圍來劃分的話,可分為區域網路(Local Area Network,LAN)、城域網(Metropolitan Area Network,MAN)、廣域網(Wide Area Network,WAN)。
我們經常用到的網際網路(Internet)屬於廣域網,校園網屬區域網路。未來的網路技術將向著使用簡單、高速快捷、多網合一、安全保密方向發展。
2.2 校園網的建設思路
校園網的建設是一項非常複雜的系統工程,校園作為一個特殊的網路套用環境,它的建設與使用都有其自身的特點。在選擇區域網路的網路技術時要體現開放式、分散式、安全可靠、維護簡單的原則。區域網路技術是一項在20世紀70年代發展起來的計算機互聯技術,經過多年的發展,技術已經成熟,並得到了廣泛的套用,區域網路技術成為網路技術的重要組成部分。計算機多媒體技術是伴隨著多媒體信息的套用而得到迅速發展的計算機套用技術,在網路環境下,多媒體得到了更快更好的套用,使我們得到了更好更多的信息。校園網是使用了區域網路技術以及各種多媒體套用技術,並結合Internet套用等其它的技術來建設。使得校園網能滿足現代教學對信息處理的要求,使計算機的套用能對教學管理現代化起重要的促進作用,能實現信息查尋、教務管理,並與外部網路系統進行交流等多種需要。
2.3 校園網的建設原則及其目標
1.校園網的建設原則
校園網建設是一項綜合性非常強的系統工程,它包括了網路系統的總體規劃、硬體的選型配置、系統管理軟體的套用以及人員培訓等諸多方面。因此在校園網的建設工作中必須處理好實用與發展、建設與管理、使用與培訓等關係,從而使校園網的建設工作健康穩定地開展。首先,校園網的建設是一個為學校教育教學活動長期服務的工作,因此在校園網的規劃建設過程中,必須從學校長遠發展規劃出發,以服務於教育為基本點,結合學校當前教育教學的實際需要,做出科學的規劃部署。在校園網的規劃建設中,一般學校應遵循“統一規劃、整體設計、分步實施”的原則。其次在校園網的建設中必須堅持硬體建設與組織管理協調發展的原則,在重視硬體建設的同時,加強網路的組織管理水平,不斷開發網路的功能,從而充分發揮校園網路的功效,提高校園網對學校教育的服務水平。
2.校園網的建設目標
校園網路的建設的目標是在校園內實現多媒體教學、教務管理、通信、雙向視頻點播(VOD)等信息共享功能,能實現辦公的自動化、無紙化。能通過與Internet的互聯,為全校師生提供國際網際網路上的各種服務。教師可以製作多媒體課件以及在網上保存和查詢教學資源,能對學生進行多媒體教學和通過網路對學生進行指導與考查等。學生也可以通過在網上瀏覽和查詢網上學習資源,從而可以更好地進行學習,校園網能為學校的信息化建設打下基礎。

區域網路簡介

3.1區域網路的特點
區域網路,是指範圍在幾百米到十幾公里內辦公樓群或校園內的計算機相互連線所構成的計算機網路。區域網路廣泛套用於連線校園、工廠以及機關的個人計算機或工作站,以共享軟、硬體資源和數據通信。美國電氣和電子工程師協會(IEEE)區域網路標準委員會員會曾提出區域網路的一些具體特徵:
1) 區域網路在通信距離有一定的限制,一般在1~2Km的地域範圍內。比如在一個辦公樓內、一個學校等。
2) 區域網路中經常使用共享信道,即所有的計算機都接在同一條電纜上。較高傳輸率的物理通信信道也是區域網路的一個主要特徵。
3) 因為連線線路都比較短,中間幾乎不會受任何干擾,所以區域網路還具有始終一致的低誤碼率。
4) 區域網路一般是一個單位或部門專用的,所以管理起很方便。另外區域網路的拓撲結構比較簡單,所支持連線的計算機數量也是有限的。組網時也就相對很容易連線。
3.2 網路的體系結構
網路通常按層或級的方式來組織,每一層都建立在它的下層之上。不同的網路,層的名字、數量、內容和功能都不盡相同。但是每一層的目的都是向它的上一層提供服務,這一點是相同的。層和協定的集合被稱為網路體系結構。作為具體的網路體系結構,當前重要的和使用廣泛的網路體結構有OSI體系結構和TCP/IP體系結構。
OSI——開放系統互連參考模型(Open System Interconnection Reference Model),它被分成7層,這7個層次分別定義了不同的功能。幾乎所有的網路都是基於這種體系結構的模型進行改進並定義的,這些層次從下到上分別是物理層、數據鏈路層、網路層、傳輸層、會話層、表示層、套用層,其中物理層是位於體系結構的最低層,它定義了OSI網路中的物理特性和電氣特性。
TCP/IP(Transmission Control Protocol/Internet Protocol,傳輸控制協定和互連網協定),TCP/IP體系結構是當前套用於Internet網路中的體系結構,它是由OSI結構演變來的,它沒有表示層,只有套用層、傳輸層,網際層和網路接口層。
伺服器設定:區域網路上共 2 台伺服器,其中 1 台用做內部檔案伺服器。另一台用做 Internet 伺服器。Internet 伺服器運行 Windows NT + IIS + Exchange Server,提供 WWW、FTP、Email 服務。
3.3 網路協定
網路協定是通信雙方共同遵守的約定和規範,網路設備必須安裝或設定各種網路協定之後才能完成數據的傳輸和傳送,在校園區域網路上用到的主要協定有TCP/IP協定、IPX/SPX協定等等。
TCP/IP協定是目前在網路中套用得最廣泛的協定,TCP/IP實際上是一個關於Internet的標準計算機網路標準模型,並隨著的Internet廣泛套用而風靡全球,它也成為區域網路的首選協定。TCP/IP是一種分層協定,它共被分為個4層次,大約包含近期100個非專有協定,通過這些協定,可以高效和可靠地實現計算機系統之間的互連。TCP/IP協定中的核心協定有TCP(傳輸控制協定)、UDP(用戶數據報協定)和IP(網際網路協定)。
TCP協定提供了可靠的報文流傳輸和對上層套用的連線服務,TCP協定使用順序的應答,能夠按需重傳報文.TCP協定將套用層的數據封裝成數據段,到達目的主機後重新組裝這些數據段.如果發現有沒有到達的數據段,將重新進行傳送。
UDP協定是傳輸層的另一個協定.UDP提供了一種基本的、低延時的稱為不面向連線的、不可靠的數據報的傳輸。UDP的簡單性使其不適合於一些網路套用,但對另一些更複雜的、自身提供面向連線功能的套用卻很適合。SNMP、NFS和DNS這樣的套用使用UDP協定。
IP協定工作在網路層,它不關心數據報的內容是什麼,只是尋找一條能夠把數據報送往目的主機的最優的路徑,即定址和路由功能。因為各個網路上的數據報大小可能不同,所以數據報的分段和重組也是IP協定的不可或缺的功能。

需求分析

4.1需求分析
大家知道區域網路最大的特點就是可以實現資源的最佳利用,如:共享磁碟設備、印表機等,從而可以在組建的區域網路內部互相調用檔案,並可在任何一台共享印表機上進行列印;當然我們也可以藉助Wingate或Sygate等軟體多機共享一台Modem上網;或者通過代理伺服器連上Internet,享受非一般的速度。其實如果只是組建一個小型的區域網路,我們只要添置幾塊網卡和一些數據線,就可以自己動手“豐衣足食”。 如果區域網路中沒有網卡,就如河流沒有橋樑架在兩岸一樣。網卡是網路接口卡NIC(NETWORK Interface Card)的簡稱,它是區域網路最基本的組件之一。網卡安裝在網路計算機和伺服器的擴展槽中,充當計算機和網路之間的物理接口,因此可以簡單地說網卡就是接收和傳送數據橋樑。網卡根據傳輸速率可分為:10Mbps網卡(ISA 插口或PCI插口)、100Mbps PCI插口網卡、10Mbps/100Mbps自適應網卡和千兆網卡。目前10Mbps ISA插口的網卡仍以其低廉的價格占有市場的一定份額,但由於10Mbps ISA插口網卡的網路傳輸速率低,且占用大量的CPU資源,只適應於那些對速度要求不高的區域網路,因此我推薦用100Mbps PCI插口的網卡或者10Mbps/100Mbps自適應網卡,價格不貴又能夠適應於用戶比較多,網上傳輸的數據量大和需要進行多媒體信息傳輸的套用環境。
在選擇網線時要先看你所購買的網卡的接口類型,網卡的接口有兩種類型:RJ45口和BNC口。
BNC口是用細同軸電纜作為傳輸媒介的一種網卡接口。RJ45是採用雙絞線作為傳輸媒介的一種網卡接口,RJ45的接口酷似電話線的接口,但網路線使用的是8芯的接頭,使用RJ45的缺點是架設成本高,但安裝和維護較為方便,因此我們一般使用RJ45接口。集線器 (HUB):根據微機的數量,利用 HUB構成星形結構 ,在工作站較多的情況下 ,會因 HUB的處理速率遠遠低於通信線路的傳輸速度 ,從而造成瓶頸問題。因此有條件的話可選用交換機。一個 Hub所組成的域稱為衝突域 ,也就是說 ,網路上任何一台計算機在收發數據時 ,其他所有計算機都能夠收到 ,且這些計算機不能同時進行數據的收發 ,否則會發生碰撞(CSMA/ CD協定會阻止碰撞 )。此外每台接入 Hub的計算機 ,都要檢測接收到的數據目的地址 ,以確認是否是收到自己的通信信息 ,因此計算機 CPU占用率高 ,全網通信效率低 ,只適用於小型工作組級別套用。
學校校園網是為學校師生提供教學、管理、科研和綜合信息服務的寬頻多媒體網路;是學校信息化教學環境的基礎設施和實現各項管理的物質基礎;是建立遠程教育體系的基本保證;是提高全民素質的重要手段;也是一項靈魂工程。其設計方案應注意以下原則:
實用性校園網設計應能滿足學校目前對網路套用的要求,充分實現學校內部管理、教學和科研的網路化、信息化的要求,使網路的整體性能儘快得到充分的發揮,並且便於掌握。
可靠性校園網的系統及網路結構較為複雜,同時在部分子系統中存在較高的技術性,因此必須保證系統的穩定、可靠和安全運行,具有很高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率),提高容錯設計,支持故障檢測和恢復,可管理性強。
統一性在系統的設計過程中,堅持"三統一",即統一規劃、統一標準、統一出口。
先進性在系統的開發過程中,既能滿足當前院校對網路的套用需求,又可以在將來需要擴展的時候,能方便地擴展,保護目前的所有投資;設計的配置可以靈活變通,以便適應客戶的其他要求。
節省性在充分滿足以上要求的前提下,應充分考慮到學校的經濟承受能力,儘可能地節約投資,利用好資源。
4.2關鍵設備
在產品選購之前一定要經過認真的分析,這次參與組網的機構選用美國Cisco公司的Catalyst 6506作為數據網路系統的內部核心交換機,Catalyst 6506是大容量的具有高交換能力的第三層模組化交換機,Catalyst 6506的交換容量以及連線埠數量等技術指標足以滿足網路目前的需求。選擇Catalyst 3548作為外網交換機。可以通過千兆的光纖鏈路連線到核心交換機,而所有的用戶終端可以通過10/100M自適應通道接入到Cisco Catalyst 3524和Catalyst 3548交換機上。選擇Catalyst 3524和Catalyst 3548作為計算機網路系統的二級匯聚交換機,為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計算機網路系統DDN、ISDN訪問路由器,既可以滿足上級單位Internet的DDN、ISDN接入的需求,又可以滿足繼續擴展的需求。同時Cisco 3662作為計算機網路系統的撥號伺服器,提供分支機構的撥號接入。
網路核心層:用一台Cisco的高端三層交換機Catalyst 6506作為整個交換系統的核心,由網路中心網路管理員統一調度,從而使計算機網路系統成為一個具有整合的千兆乙太網主幹並具備第三層交換功能的綜合網路通信平台。其中配置兩個電源同時供電,彼此分擔負荷並互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機的心臟,它控制交換機的定址、數據轉發、模組控制等。 Catalyst6506交換機引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強的三層交換能力,利用Cisco特有的Netflow技術,完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8連線埠千兆以太光纖模組將所有的匯聚層設備、接入層設備、網管工作站及網路套用伺服器都直接連入到核心層設備上去。
匯聚層:在分配線間分別設立Cisco Catalyst 3524和Catalyst 3548作為計算機網路系統匯聚層設備,匯聚層設備將通過光纜以千兆乙太網為主幹連線到核心層設備Catalyst 6506上去,終端用戶可以通過超5類UTP線纜連線到各層交換機中去,可以實現10/100M的自適應通道連線到區域網路中去。
接入層;在網路接入層中我們選用了一台Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網關,其中主要採用了兩種接入方式分別實現各自功能:
1. ADSL接入方式。
2. FTTX+LAN接入方式。
4.3校園網網路拓撲結構
根據校園網的需求分析及建設目標,本設計方案採用交換式千兆乙太網作為主幹,百兆交換到桌面。網路拓撲採用星型樹結構,網路中心的交換機使用堆疊方式連線。

技術方案

5.1校園網的建設規劃
校園網建設作為一項複雜的系統工程,與任何一項工程建設一樣,在開始建設前都要根據工程的特點事先進行詳細的工程規化與技術需求分析,它的成功與否都直接影響到工程的建設質量以及今後網路能否可靠運行都有直接的關係,因此要特別認真地進行系統規劃。對於校園網來說,必須對技術和教育的發展前景有著清醒的認識,只有這樣,才能從很好地為校園網進行合理的規劃。
5.1.1校園網的套用特點
隨著現代化教學活動的開展和與國內外教學機構交往的增多,對通過Internet/Intranet網路進行信息交流的需求越來越迫切,為促進教學、方便管理和進一步發揮師生的創造力,校園網路建設成為現代教育機構的必然選擇。校園網大都屬於中小型系統,以園區區域網路為主,一個基本的校園網具有以下的特點:
高速的區域網路連線--校園網的核心為面向校園內部師生的網路,因此園區區域網路是該系統的建設重點,由於參與網路套用的師生數量眾多,而且信息中包含大量多媒體信息,故大容量、高速率的數據傳輸是網路的一項基本要求;
信息結構多樣化--校園網套用分為電子教學(多媒體教室、電子圖書館等)、學校管理和遠程通訊(遠程教學、網際網路接入)三大部分內容:電子教學包含大量多媒體信息,學校管理以資料庫為主,遠程通訊則多為WWW方式,因此數據成分複雜,不同類型數據對網路傳輸有不同的質量需求;
操作方便,易於管理--校園網面向不同知識層次的教師、學生和辦公人員,套用和管理應簡便易行,界面友好,不宜太過專業化;
經濟實用--學校對網路建設的投入有限,因此要求建成的網路應經濟實用,具備很高的性能價格比。
5.1.2 校園網的需求分析
我們在著手設計一個校園網或者計算機區域網路時,其主要依據就是網路用戶(學校)的需求及將要建設的網路系統的特點。通過對實際需要進行細緻的分析,才能確定系統的總體目標和近期目標。需求分析是如何設計、建設和套用校園網的關鍵。在完成校園網的需求分析之後,就要對整個校園進行物理結構和邏輯結構的設計,因為這是我們根據需求在具體設計校園網時首先要完成的工作。校園網具體的需求分析有如下幾點:
(1) 總體目標
對於一個校園網來說,系統的總體目標就是在一個時期內,當校園網完全建設好後所要達到的功能和具有的規模。一般來說,一個校園網系統總體目標是分步實施的,包括功能的分步實施和規模的分步實施。主要原因是受資金的限制(這是在建設校園網時普遍遇到的問題)和技術發展的影響(因為隨著計算機網路技術的飛速發展,校園網總會有進行升級的需求)。因此我們在設計一個校園網時,要充分考慮到對已有校園網資源的再次利用,又要考慮到將來對校園網進一步的升級改造。
(2)近期目標
近期目標就是根據實際需求來設計和建設校園網,使建設好後的校園網能滿足實際需求所應有的功能和規模,同時又要考慮將來能對校園網進一步的升級改造或者是後期工程的建設,系統近期目標是需求分析的重點。
5.1.3 網路結構設計
校園網路結構設計主要是進行網路的物理設計和邏輯設計,在完成結構設計後才能對網路設備進行選型。網路結構設計對於整個網路系統來說是十分重要的,它設計的成功與否都直接影響網路的使用功能的實現以及網路是否能滿足網路的需求。
(1)物理設計
根據需求分析,可以知道整個校園網信息點的數目,同時也知道這些信息點在整個校園內的分布情況。當我們確定網路控制中心的位置後,就應該考慮如何把校園內的信息點連到網路控制中心以及各種設備的連線速率和網路使用的拓撲結構等,網路系統所使用來連線各種網路設備的傳輸介質也是需要考慮的問題。
(2)邏輯設計
網路的邏輯設計主要考慮校園網的IP子網網段的劃分,通過實際的網路物理連線,依據實際需求來實現虛擬網路(VLAN)的設定。無論從網路的安全性和IP位址的可管理性來考慮,還是從有效利用IP位址資源的角度來考慮,將整個校園網劃分為多個子網網段並對IP位址資源進行有效管理都是十分必要的。
5.1.4 網路技術
學校建設校園網有許多需要考慮的問題,如網路技術的選擇、網路拓撲結構的選擇、網路產品的選擇、網路伺服器的選擇以及作業系統、網路套用服務、網路管理及網路安全等方面。下面根據前面介紹過的各種網路技術來進行校園網組建技術的選擇。
(1) 網路技術類型
網路系統的建設應遵循高可靠性、技術先進、開放性、成熟標準、易於擴展、可維護性好等原則,並充分考慮性能價格比和今後技術的發展。要求系統兼容性好,易於平滑連線,避免網路瓶頸。
當前達到或超過100Mbps的高速網路技術主要有:快速乙太網、FDDI、千兆乙太網、ATM交換網。FDDI是幾年前十分流行的高速網路技術,雖然技術十分成熟,但網路管理複雜且成本較高,現已被逐漸淘汰。ATM是比較先進的網路技術,它採用信元交換方式,以很高的速率在任意兩點間建立直接的虛擬通信鏈路,有較強的傳輸質量控制能力,特別適合於多媒體信息的傳輸。但在實際使用事因連線埠價格過高,難以大規模採用。乙太網是種成熟的、質優價廉的網路技術,其標準已制定完備。經過多年發展,形成了完善的10Mbps、100Mbps和千兆乙太網技術,同時還由共享式的網路發展成為交換式的乙太網,具備與FDDI、ATM網路融合的多種方法與規範。從技術上看,乙太網技術還有不斷發展的佘地,是一種能夠到長期使用和發展的技術,另外乙太網還可以在不同速率之間平滑升級,不會有網路協定和規範上的障礙。綜全以上對高速網路技術的分析,我認為在當前校園網的建設中應以建設和使用100Mbps快速乙太網為主,在局部主幹上使用千兆技術進行連線。
(2) 網路拓撲的選擇
當前在區域網路的建設中,主要套用的拓撲結構有匯流排型、環型和星型。在匯流排型網路中,由於各計算機共享一條通信電纜,而且不需要額外的通信設備,因此,可以節約組網費用。但是其缺點也是十分明顯的,網路中的任何一個節點出現故障,都將導致整個網路癱瘓,這與在網路建設要求網路具有高可靠性和沉佘性不相符,因此使用匯流排型拓撲結構建設的網路已趨於淘汰,在新的網路建設中不應再使用。環型拓撲結構是令牌環網路技術所常用的一種網路拓撲結構,環型結構的缺點與匯流排型的缺點是差不多的,也是一種不太常用的網路拓撲。當前在各種網路系統的建設中使用最多的是星型拓撲結構,雖然星型拓撲結構的網路在布線和網路設備的花費多一些,不過目前各種硬體設備已經非常便宜了,這種花費是可以承受的。因而它的優點也是十分突出的,主要是當網路中某個節點出現故障時不會影響整個網路的運行,這使得網路從總體上可以提供高度的可靠性和沉佘性,這個性能十分適合校園網這種套用環境,也是校園網的建設中必須要求做到的。
5.2 組網技術
組網技術就是在有了網路的設計方案和各種網路設備之後,怎樣把不同的網路設備按設計方案的要求連線起來所用到的各種技術。組網路技術在整個網路的建設過程中是最重要的階段之一,它直接關係到建設出來的網路系統能否達到設計要求,能不能投入使用這樣嚴重的問題,如在組網中有不按規範和標準來施工的話,建出的網路系統的質量是達不到設計要求,是不能滿足用戶需求的。組網技術主要包括:布線系統、Internet接入技術、防火牆等。
5.2.1布線系統設計
結構化布線系統的組成:網路系統的正常運行主要取決於網路設備和網路線路,對於網路系統來說,採用結構化布線系統能夠很好地滿足需求,特別是從計算機網路系統可靠運行的角度來說,布線系統的可靠性決定了網路系統通信信道的可靠性,它是計算機網路系統可靠運行的前提。整個布線系統主要包含光纖布線和室內綜合布線系統。
布線系統的主要是依據建築物的分布圖,國際商務建築線纜標準(TIA/ELA 586A)和《建築與建築物綜合布線系統工程設計規範》來設計的。使用結構化布線工程設計的布線系統具有實用性、靈活性、可擴充性以及真正的開放性。一次性布線,可保證在十五到二十年之內,其系統性能不會下降,功能也不會落後,真正達到一次投資,長期受益。建成後的結構化布線系統將具有滿足多種計算機網路系統(10/100/1000M Switch、FDDI、ATM)對線路的要求,不僅能實現計算機連線埠的靈活配置,而且方便計算機網路的平滑升級和擴充。
光纖布線主要是用在建築物之間或樓層之間,這些建築的距離一般都比較遠,超出了雙絞線的連線距離,具體情況要看信息點的分布和數量以及對網路頻寬的要求來決定。室內布線採用5類(超5類)非禁止雙絞線進行布線。整個布線工程分為工作區子系統、水平子系統、垂直子系統,建築子系統和管理子系統來施工的。
工作區子系統由終端設備連線到信息插座的連線和信息插座所組成,通過插座即可以引出電話也可以連線數據終端,在RJ-45插座內不僅可以插入數據通信通用的RJ-45接頭,也可以插入電話機專用的RJ-45插頭。
水平子系統是將樓層配線間路延伸到用戶工作區,並連向各個信息插座。線纜由配線間進入房間後,可走天花板或橋架,以走暗線的原則走線。電纜橋架應高出地面2.2米以上,橋架頂部距頂棚或其他障礙物不應小於0.3m。橋架寬度不宜小於0.10m,橋架內橫斷面的填充率應小於50%。結構化系統的布線是放射型的,線纜量較大,所以線槽量的計算是很重要的,按照標準的線槽設計方法,應根據水平線的外徑來確定線槽的容量,即:線槽的橫截面積=水平線截面積之和*3 。
垂直主幹子系統用於連線樓層配線室,垂直乾纜系統的安裝主要是由一連串通過地板對準配線間的垂直豎井組成的,可以連線摟層間的配線室。垂直子系統的連線可用多根雙絞線形成集束穿過豎井進入水平子系統,外用線槽以保護和固定。
建築子系統是在各棟建築物之間的相互連線,組成一個較大的建築群綜合布線系統。這一部分布線系統可以採用架空電纜、直埋電纜或地下管道內穿電纜,或者是這三者的任何組合,具體使用看施工現場而定。建築子系統一般都採用光纖進行連線。
管理子系統設定在配線設備和機房內,管理子系統由配線間、輸入/輸出(I/O)設備等組成。管理子系統提供了與其他子系統連線手段,整個綜合布線系統及其連線的設備、器件等構成一個有機的整體。管理子系統內有部分主幹布線和部分水平線的機械終端,為無源或有源或用於兩個系統連線的設備提供設施。
5.2.2布線系統的測試
在結構化布線完工後,必須對整個系統進行測試後才能投入使用,以保證系統能達到設計要求。測試主要依據TIA/EIA 568A以及《建築及建築群結構化布線系統工程驗收規範》來進行,測試內空包括線纜的長度、接線圖、信號衰減、近端串擾、信噪比等。其中最重要的技術指標是衰減端串擾,它直接影響著雙絞線的傳輸性能。
5.3網路作業系統
網路作業系統NOS(Network Operating System)是在計算機作業系統的基礎上,加上一些具有實現網路訪問和控制功能的模組以及相關的數據通信協定,是使網路上各計算機能夠方便有效地共享網路資源、為網路用戶提供所需的各種服務軟體和規程的集合。目前主要的網路作業系統有NetWare、Unix、Linix和Windows NT/2003。在校園網中一般情況下都用Windows NT/2003網路作業系統,因為它是圖形化的操作界面、使用簡單、安全可靠,以及和普及率很高Windows系列單機作業系統的兼容性很好。
5.4 Internet接入技術
如果校園網不能和Internet連線的話,就不能是一個完整的網路,也不能充分利用Internet網上的大量信息資源。因此校園網和Internet的連線技術就顯得十分重要了,它關係到校園網與外部網路能能否進行可靠的連線。當前適合校園網與Internet的寬頻連線方式主要有ADSL和光纖專線接入。
ADSL是一種非對稱的寬頻網路數據傳輸技術,它的一個明顯優勢是經濟上實用。ADSL寬頻線路通過ADSL Modem接入Internet代理伺服器的網卡上的,不過ADSL專線的接入是用傳統的模擬電話雙絞線線路布線不很規範,線路質量不夠好,達不到高速傳輸的要求,目前它只用在一些中小型網路。光纖接入是一種在校園網建設中普遍使用的一種技術,它是通過構建專用的Internet伺服器來實現的,在伺服器上運行各種網路服務軟體,為校園內部的用戶提供Internet的接入服務。光纖接入的優點是可提供比較高的網路頻寬和穩定性,但它的連線較為複雜。
5.5防火牆技術
防火牆是計算機網路上一類防範措施的總稱,它使得內部網路與Internet之間或其它外部網路互相隔離、限制網路互訪,用來保護內部網路。防火牆簡單的可以只用路由器實現,複雜的則可以用主機甚至一個子網來實現,設定防火牆的目的都是為了在內部網與外部網之間設立惟一的通道來自簡化網路的安全管理。防火牆的功能主要是過濾掉不安全服務和非法用戶與控制對特殊站點的訪問以及提供監視Internet安全和預警的方便端點。由於網路具有天生的開放性,所以有許多防範功能的防火牆也有一些防範不到的地方,如防火牆不能防範不經由防火牆的攻擊和感染了病毒的軟體或檔案的傳輸。因此,防火牆只能是一種整體安全防範政策的一部分。
實現防火牆技術從層次上大概可以分為報文過濾和套用層網關。報文過濾是在IP層實現的,它的原理是根據報文的源IP位址、目的IP位址、源連線埠、目的連線埠報文信息來判斷是否允許報文通過,因此它可以只用路由器完成。在用套用層網關實現的防火牆有多種方式,如套用代理報務器和網路地址轉換器等。
在校園網中大部分的套用都是內部網路用戶,而內部用戶通常具有較大的訪問許可權,因此區域網路系統的安全是整個網路系統安全中最重要的部分。但相對而言,內部的安全問題是可以預測的,並可據此制定相應的防範措施。
5.6建網方案
根據校園網路建設應遵循原則的介紹和各種網路技術的分析。總的來說,交換式快速乙太網是目前成熟技術中最先進、最實用的。所以決定選擇光纖交換式快速乙太網作為校園網主幹,系統總體上採用國際上流行的TCP/IP協定,併兼顧IPX協定,採用開放體系及在各種套用實踐中得到檢驗的快速乙太網技術和產品。
為了加強對分散式多媒體互動教學的探索,校園網可分為三個層次結構:主幹網、廣域網和內部區域網路。主幹網採用1000Mbps快速乙太網技術,內部區域網路與主幹網之間用乙太網交換機進行互聯,根據用戶的需求,網路建設目標,採用交換式千兆乙太網作為主幹網,網路拓撲結構為星型,這樣可有利於提高網路的高可靠性,便於維護和管理。採用交換式快速乙太網做主幹有以下原因:速度快,安裝、維護簡單。主幹速度為1000Mbit/s交換,能夠滿足網路套用層對主幹網寬要求;基於標準技術,使用了乙太網MAC層上定義的CSMA/CD協定,可迅速利用現有設備接入,網路升級方便,性能價格比高。
建設目標:構建普通學校校內Intranet環境,並通過代理伺服器接入Internet,實現與Internet 交流。建設校園網路中心,並通過一定的網路拓撲結構構建連線校園網路中心、計算機教室、教師備課機房、多媒體教學活動室、圖書館、校長室、教導處、財務處等的校園網,使之能通過一定的套用軟體完成行政辦公管理、教師備課授課、學生學習交流、校內信息公告、遠程電子通訊、Internet通訊瀏覽等基本功能。
5.6.1網路組成
(1) 網路主幹
基於當前信息技術發展形勢及經濟實用可持續發展原則,建議構建100M頻寬的快速乙太網,根據實際工作站信息點到網路中心的距離,選擇適當的傳輸媒介進行網路綜合布線。一般來講,在同一幢大樓內距離不超過100米均可鋪設超五類非禁止雙絞線,而樓與樓之間的連線主幹線原則上應架設光纜,以滿足今後發展的需要。
(2) 網路中心
也就是校園網中心機房,應配置有各種系統伺服器(如:Web伺服器、Email伺服器、代理伺服器)、檔案伺服器(資料庫伺服器)、中心交換機、配線機櫃等。如剛使用時數據流量不大,可只配置一台伺服器,視今後網路發展情況再作擴充。為保證網路運行穩定可靠,網路中心的設備選型應選擇信譽可靠、質量上等、性能穩定、擴充性優良的專業產品。伺服器選用IBM等品牌的專業伺服器,如X236 8841-ICC,另加配可讀寫光碟機,用作系統備份。交換器可選用、CISCO產品,如CISCO 6065等。伺服器網卡則可選配3COM 的 3C905B-TX 100MB網卡。為使校園網能訪問Internet,網路中心的代理伺服器可連線ASDL等通訊線路。
(3) 計算機教室
配置400台左右586以上微機,通過星型網路拓撲結構將所有微機連線到可堆疊交換機上,再通過交換機連線校園主幹網。為方便教學,可在以上網路教室的基礎上安裝多媒體教學平台,使之成為一個既能完成信息技術學科教學,又能進行多媒體輔助教學,還能開展基於Internet技術的網路活動的多媒體網路活動室。
(4) 教師備課機房
為了能給廣大教師提供一個完備的多媒體網路備課環境,校園網應能為每位教師提供網路接入終端,即每位教師都配有一台連線校園網的多媒體計算機,這將是一項投資很大的綜合布線工程。為降低成本,一般中國小校可採用建設一個配置有10-20台酷睿2以上多媒體計算機的教師網路備課機房的方案。配有多媒體的連網計算機既能滿足廣大教師電子備課、電子閱覽的需要,同時也能滿足教師進行遠程通訊、網上檢索等基於Internet環境的教科研活動。
(5)圖書館系統
圖書館系統應該包括兩個方面,第一是圖書編目、借閱管理系統,它為圖書館管理提供了標準化、自動化、網路化的采編、流通、查詢、統計以及讀者管理等手段,如省教委推薦使用的共創圖書管理系統;第二是多媒體視聽閱覽室,滿足讀者使用越來越多的電子音像讀物的要求。多媒體視聽閱覽室從技術本質上來講就是一個多媒體計算機網路室,如果學校已建好前面所述的多媒體網路活動室或教師備課機房,只要在網路上連線有一套光碟鏡像伺服器,即可實現多媒體視聽閱覽的功能。
(6)多媒體綜合教室
信息化環境的構築其根本目的是為教學服務的,因此課堂信息化教學環境的建立應該是校園網建設的一個重要目標。針對課堂教學而言,計算機網路應能為師生合作教學模式提供支持。在合作教學模式下,教師通過網路安排教學計畫,指導學生學習,批改學生作業,實施網上教學;學生既可以在教師幫助下進行自主學習,也可通過小組討論等形式在同伴中開展合作學習。在當前情況下,在每個教室構建信息化教學環境還處在摸索探討階段,存在著投資大、可參考方案少等不利因素。有的學校採用在每個班級配置高亮度液晶投影儀、多媒體計算機、多功能視頻展示台等設備的方法來實施教學環境信息化,教學仍舊還是在一個典型的以教師為中心的教學模式下進行著,這與構建校園信息化教學環境的初衷相距尚遠。因此在當前形勢下,一般中國小可在具有多媒體網路環境的計算機教室內開展基於多媒體網路環境下的合作教學模式的實驗活動,而為開展多媒體輔助教學活動配設專用的多媒體綜合教室。多媒體綜合教室內配備有多媒體計算機、高亮度液晶投影儀、多功能視頻展示台各一台,功放音響一套,其中多媒體計算機通過網卡連入校園主幹網,從而方便調用網路內其它計算機上的教學資源,實現資源共享。多媒體綜合教室不僅可滿足正常的輔助教學活動,還可以用來舉辦講座、開展培訓,不失為當前形勢下一種經濟實惠的選擇。學校可根據教學實際需要配置一到二個多媒體綜合教室。
(7)校長辦公室及其它相關處室
配置相應數量的酷睿2以上多媒體計算機,通過網卡與校園主幹網相連,以實現學校信息管理的自動化、無紙化。
以上只是整個校園網中一些主要的網路組成部分,此外還有學生宿舍樓、教師宿舍樓、實驗室教學樓等。
虛擬網設計
由於整個網路較大,所以必須通過劃分VLAN來實現流量的合理分配、內部網路的安全。通常VLAN的實現有以下幾種方法:
●基於連線埠的虛擬工作組,
●基於MAC、協定、子網的虛擬工作組,
●Tagged VLAN:通過在數據幀中增加VLAN標記位來區分不同的工作組。
我選用的Catalyst 6506等交換機都支持以上各種VLAN的劃分方法。
雖然三種方式各有千秋,但是從實際出發,採用基於交換連線埠的VLAN劃分方式是一種理想的選擇,也是目前實際中普遍採用的劃分方式。
考慮到網路安全性的需要,還可以在路由交換機上進行相應的設定,實現網路訪問控制。比如我們可以限制哪些用戶擁有訪問中心伺服器的權利,哪些則沒有。
根據以上思想,我將計算機網路(根據不同的部門劃分)劃分成幾個不同的虛擬網,並賦予不同的IP子網地址。
由於系統的特殊性,可以配合虛擬網的劃分,給不同的虛擬網配置不同的子網段,整個網路可以非常方便地劃分為幾個子網,子網之間的通信由中心路由式交換機來實現,具體可以採用OSPF路由協定。
5.6.2 網路軟體運行平台
(1) 伺服器作業系統:由於美國Microsoft公司推出的網路作業系統Windows 2003具有與有著廣泛套用基礎的在Windows 2003伺服器上,對直接連線到 Internet 的計算機啟用防火牆功能,支持網路適配器、DSL 適配器或者撥號數據機連線到 Internet。Web服務系統:選用Windows NT下的IIS信息服務系統。另外也有許多免費的BBS電子公告、中文論壇、網路聊天軟體可以在NT下安全運行。
(3) 資料庫軟體:建議採用“甲骨文的”oracle資料庫軟體。
(4) 電子郵件系統:可採用Microsoft公司的Exchange Server,為簡便使用也可採用一些共享軟體如Sharemail、Imail等,這些軟體都是基於標準SMTP/POP3/IMAP4/LDAP協定的郵件伺服器軟體,用戶界面簡單直觀,非常易於管理。
(5) 網頁維護製作軟體:Macrosoft公司的FrontPage、Macromedia 公司的Dreamweaver、Flash都是很好選擇。
(6) 多媒體課件製作軟體:Macromedia 公司的Authorware、 Director,洪圖多媒體著作工作等都有著非常友好的界面,使用方便,擁有著大量的用戶,推薦使用。
(7) 代理服務軟體:可採用WinGate3.05 for NT,這是一個功能完善、性能穩定的代理服務軟體,非常好用。
(8)工作站作業系統: Windows XP Windows 2003
(9) 校園辦公管理用軟體:選用省教委統一推薦使用的“共創校園辦公管理信息系統”網路版。
(10) 工作站其它套用軟體:文字處理、數據表格、圖形處理、瀏覽器、電子郵件等都有許多大家熟悉並經常使用的軟體。
隨著網路使用的日益廣泛,今後校園網路在此基礎上還將不斷擴充,覆蓋面將越來越廣,如視頻點播系統、遠程登錄管理系統、各類收費服務IC卡系統等。

校園網的運行

6.1 校園網的套用
1.校園網管理信息系統
中國基礎教育校園網集成系統CFES面向全校,覆蓋教育行政管理、圖書館管理、後勤管理和網際網路連線等領域,分為教學管理、學生管理、行政管理、通用服務、網際網路和圖書館管理等分系統,以及教務管理、教師管理、教材管理、設備管理、學籍管理、考績管理、人事管理、文書管理、綜合查詢、通用查詢、電子郵件、遠程登錄、圖書編目、圖書流通、圖書檢索和館長查詢等近七十個管理子系統。
2.校園網計算機教學系統
計算機教學系統主要包括多媒體網路教室、多媒體視頻點播、多媒體視頻廣播系統。XX學校做為一所重點育人單位,在教學思想和教學手段上都有其獨到之處。針對其具體情況,華育為學校設計了一個能夠充分實現學校先進教育思想的一個現代化的教學平台,該方案實現了多媒體網路教學功能。它採用華育自有的多媒體教學軟體,即華育多媒體視頻點播系統和多媒體視頻廣播系統。充分利用校園網高頻寬的優勢,在計算機數據網路中實現了校園閉路電視的全部功能,可以對觀摩教室進行現場直播,為現代化教學提供了一個新的平台。
3.校園網站
校園網不是一個獨立的、封閉的體系,校園網與Internet互連後,校園網用戶在許可權允許的範圍內可以使用Internet上的Web訪問、Email收發、FTP、Telnet、BBS、新聞組、討論組、個人主頁等服務。
校園網站連線Internet,用於宣傳學校形象、教學信息發布、提供信息查詢等,以後可成為網上教學的渠道。網站主頁的設計,主要由老師創意,學生製作,體現學生的創造性,培養學生的動手能力。
6.2 校園網的管理
根據前面介紹的校園網設計方案建設而成的一個校園網路投入運行之後,它的穩定性及可靠性是很高,也就是說出現問題的機率是很小的。但不論多么穩定和可靠的網路系統都會有出現問題的一天,一般情況下出現的問題主要有人為操作失誤(包括計算機病毒引起的故障)和整個網路系統本身不可避免的故障。因此要想使計算機網路的各種故障減少到最低的話,網路管理員就要在平時做好網路的預防性維護以及重要數據的備份、計算機病毒的防護,記錄網路事件等工作。同時人為操作造成的故障在整個網路故障的絕大部分,因此要注意加強網路使用人員的套用技能和道德品質,可減少人員有意無意對網路造成的傷害。
預防性維護是非常重要的,但也是容易被管理員所忽視。事實上預防性維護可以為系統管理員減少很多的麻煩,因為一些問題引起故障之前可以被發現,這樣解決起來會容易得多,就可以減少故障發生的機會。日常維護的主要工作是:清理污垢和其他一些污染,如果灰塵等污垢太多的話就會造成設備散熱不良,嚴重的還會引起電子器件間的短路。還要檢查各種網路設備的連線情況,在一個計算機網路中各種連線是現容易出問題的,因此要安排一定的時間,每隔一段日期就檢查一下區域網路中所有計算機系統的連線是否鬆動,還要查看一下電源線、顯示器、網路,串列和並行電纜以及各種配件等。任何提供服務的網路都應該擁有備份系統,因為備份工作是必需的。在備份之後還要進行測試,以保證備份的系統能夠正常工作。要確保備份系統的完整性,在安裝了伺服器或備份設備之後,或者對系統進行了重大的修改之後(如升級),一定要把整個系統備份下來,再恢復其中的部分檔案進行測試。根據系統中的數據 情況,可能每一項都要進行完全備份,也可能只做增量備份就可以滿足需要了,具體需要備份的數量應由系統環境來決定

相關詞條

熱門詞條

聯絡我們