重庆大学校园网建设项目实施方案

西部大学校园计算机网络建设工程重庆大学校园网建设项目实施方案重 庆 大 学湖南计算机股份有限公司目 录一、项目概要1二、建设的意义和必要性1三、校园网现状和存在问题23.1 校园网现状23.2目前校园网存在问题4四、建设目标和建设内容54.1 建设目标54.1.2 总体目标64.1.3 建设指导思想64.1.4 建设原则74.2 建设内容74.2.1 结构化布线74.2.2 网络通信系统144.2.3 主机系统184.2.4 网络安全与管理系统214.2.5机房建设234.2.6应用系统27五、新建校园网拓扑结构30六、设备配置与经费预算336.1 设备配置336.2 项目经费预算34七、项目管理和组织实施347.1 项目管理347.2 项目的组织机构347.2.1 重庆大学项目组织机构设置347.2.2 湖南计算机股份有限公司项目组织机构设置357.3 项目进度安排35八、预期效益36九、校园网建设汇总表37一、项目概要重庆大学新校园网络工程是国家“西部大学校园计算机网络建设工程”之一，该工程需要对重庆大学的现有校园网进行全面改造和性能提升，其先进性、可扩展性、建设规模、包含内容等在重庆市高校，乃至西南地区高校中都属前列。本次网络建设目前需要覆盖该校的A、B、C三校区，同时要考虑以后的扩展需要，如新扩展的3000亩校区等。该项目建设总体目标是：在一年之内，建成该校校园网网络基础设施，实现校内用户的高速互联互通、资源共享，校外与中国教育科研计算机网高速接入，同时建设一系列基于校园网环境的教学、科研和管理的应用系统。该工程主要包括建设校园计算机光纤主干网、校园网网络中心、开放网络机房、多媒体网络教室、网络管理和运行系统、教学、科研、管理系统和网络安全保障体系等。要满足全校4万多学生、6千多教职员工的教学、科研、管理、生活、娱乐等的上网需要。该工程的实施，不仅能全面提高重庆大学校园网的水平和规模，扩大校园网的应用范围，为教师教学和科研以及学生进入网络平台提供了基本保证，而且将为重庆市、西部国民经济和社会信息化的发展提供人才和智力支持，直接关系到重庆市、西部“科教兴国”战略的实施和教育跨越式发展目标的实现。 二、建设的意义和必要性二十世纪九十年代以来，中国政府以高瞻远瞩的眼光相继建成了国家级的教育和科研计算机网络，并相互连成覆盖全球的国际性学术计算机网络Internet。这种计算机信息网络的产生加快了信息传递速度，为广大教师学生，以及科研人员提供了一个全新的网络计算环境，从根本上改变并促进了他们之间的信息交流、资源共享、科学计算和科研合作，成为这些国家教育和科研工作最重要的基础设施，从而促进了这些国家教育和科研事业的迅速发展。近两年来，国家为进一步保持其在经济和技术领域的领先地位，又相继提出了以基于中国教育和科研计算机网络平台为基础，启动“西部大学校园计算机网络建设工程”项目计划，并紧锣密鼓地付诸实施。 启动“重庆大学校园计算机网络建设工程”项目计划的建设，其重要意义在于：有利于教育科研事业的发展。建立重庆大学校园计算机网络建设工程，使重庆大学的教师、研究生和科研人员在全国和全世界的计算机网络环境下进行学习和开展科研工作，极大地提高教学质量和研究水平，成为中国高等学校进入世界科学技术领域的快捷方便的入口和科学研究的重要基础设施，培养出面向世界面向未来的高层次人才。有利于重庆地区经济的发展。适逢中国政府提出“开发西部，建设西部”的宏图规划下，致力于全力发展经济、建立完善的社会主义市场经济的特殊阶段，启动“重庆大学校园计算机网络建设工程”项目计划，有着重要的战略意义，“百年之计，科教为本”，科技生产力的提高才能真正的意味着推动和加速中国国民经济的发展，“重庆大学校园计算机网络建设工程”项目计划的启动，是国家经济信息化建设的高潮到来之时。使信息产业成为中国下世纪综合国力的重要组成部分。曾经中国的教育信息化之路存在的许多制约因素，特别是西部地区学校，存在着教育经费紧张、学校信息化起步水平较低、建设缺乏合理规划等。我们在同许多中小学校的校长、教师交流和调研时，都表达这样的意愿，那就是希望有一套稳定、安全、流畅的网络平台；针对适合教学需求的信息化教学系统，并能够在实际教学中不断得到培训和服务支持。只有这样，不同地区、不同层次的学校才能都切实获得教育信息化带来的好处。 重庆大学校园计算机网络建设工程项目实施与建成，有利于重庆大学的发展，示范作用会越来越大，相信重庆大学校园计算机网络信息化的春天即将到来。三、校园网现状和存在问题重庆大学校园网目前采用1000兆三层以太交换技术，整个网络采用三层管理结构-核心层、汇聚层和接入层。第一层采用1000兆光纤连接，形成网络骨干网。核心层由6个骨干节点组成，分布在A区：网络中心、传动实验室，B区：B区核心节点、图书馆，C区：核心节点。汇聚层上建立二级节点。A区：管理学院、校医院、青教楼、七大楼、理科楼、远程教育中心、综合大楼、行政楼，B区：学生活动中心、办公大楼。由一、二级节点分别连接16个片区网络。核心层采用光纤连接。汇聚层交换机采用100兆光纤上连到一级交换机，通过100兆光纤或双绞线下连到接入层交换机。接入层是各部、处、学院、系、实验室组成的局域网络系统。这些局域网络以交换机、HUB、路由器、PC桥、代理服务器通过100兆光纤或双绞线与校园网二级交换机连接，在一级骨干节点附近的直接通过双绞线与骨干交换机连接。3.1 校园网现状1、A区网络系统现状A区网络系统于己于1995年开始建设，采用了155M的ATM交换技术组网，整个网络采用了三层拓扑结构。校园内敷设了光缆9公里，连接了40多个二级网络。在网络中心的ATM交换机上安装了多协议路由模块，建立了解36个以太局域网（ELAN），实现了跨楼群的分布式虚拟局域网（VLAN）功能。2002年6月，学校更换了13台交换机设备。其中1台AVAYA P550（用于网络中心作为核心交换机），12台P330（用于各个汇聚层骨干节点）。2、 B区网络系统现状B区网络系统于己于1996年建设，系统采用了快速三层交换机技术。以星型的拓扑结构，用Inter 550T三层交换机作为B区网络的核心节点，其它节点采用二层交换机或HUB作为网络连接设备。3、C区网络系统现状C区网络系统采用快速以太网方式组组网，整个网络属于典型的星型托扑结构，校园内敷设了12条光缆，主干交换机采用了CISCO 2924，二级交换机采用了CISCO 1924 和少量的HUB。4、三校区互连现状整个校园主干用了单模光纤和多模光纤布线，B区核心节点、C区核心节点通过100M连入A区网络中心的核心交换机上。校园网出口使用CISCO 3640路由器一台以100M接入CERNET。5、光缆敷设 重庆大学三校区原有光缆56条，其中A区41条，B区11条，C区12条，A区光缆主要产品采用AMP 6芯62.5/125多模铠装光纤，光纤ST头、藕合器、跳线采用AMP产品，B区和C区主要采用一般的国产多模光纤，少量的单模光纤。图3.1 重庆大学校园网拓朴结构现状6、网络中心、机房建设现状重庆大学网络中心由网络运行室（NOC）、网络信息室（NIC）、办公室和接待中心组成。中心现有建筑面积320平方米，其中机房面积110平方米，工作用90平方米，培训机房50平方米，会议室30平方米。另外管理学院、逸夫楼、传动实验室、C区网络机房共五个；除网络中心符合机房建设的要求外，其它都需要改造。新教学楼、校医院、B区网络机房需要重新建设；但是现有的UPS电源配备已经基本接近额定值。7、校园网络应用现状重庆大学校园网应用经过多年的建设，基本完成了网络的基础系统建设；拥有一批部门级的信息系统，如财务系统、远程教育、电子图书管等；对视频服务系统，完成了视频点播系统的初步建设；拥有一定数量的以SUN为代表的服务器和PC计算机。WWW、E-MAIL、域名服务、 FTP 视频服务等园区级的基础应用除了视频系统，其余基本在线使用；办公自动化 一卡通系统等园区级的应用有待开发，部分部门级应用有待进一步完善。3.2目前校园网存在问题重庆大学目前网络信息流量巨增，新型网络应用的开展，如：网上多媒体教学、校内IP电话、远程教育、网上联合工程研究、数字化图书馆、校园办公自动化系统等对网络主干和网络服务器设备提出了新的要求，原有设备已经很难适应新的需求、因此需要重新规划建设新的校园网络，将各个校区的网络系统连接起来，建设统一的、规模较大的、能适应学校教研发展的校园网络系统。针对以上情况我们就以下几个方面的问题进行了分析。1、网络性能及策略服务新组建的大学网络系统应实现高带宽、多路交换特性，为校园内外部信息交换提供流畅的信息通道。网络应具有高性能，可实现链路汇聚（LAG）特性提供更高带宽。低延时特性应满足网上视频点播、IP电话、时实远程教育、多媒体教学的基本需求。主干网络设备支持四层以上的交换特性，实现对不同IP业务的策略控制与管理，提高QoS服务质量，将IP组播技术应用在网络系统中，为实施远程教育打下坚实的基础。2、网络的可靠性由于重庆大学的校园网络支持的用户十分庞大，骨干网络应该具有很高的可靠性，最好能够提供电信级的可靠性。应该从网络设计上和产品设计上提供相应的可靠性保障。如网络设计时，骨干网络设计时应该考虑建立冗余连接，实现故障自动链路切换。产品选择上应提供具有容错设计、无单一故障点的产品。3、支持VLAN功能为了加强IP管理，原则上一个单位在一个IP子网内。由于校园各单位的分散性，会出现一个单位的站点分布在不同的楼群内，另一方面在校园网的同一个二级交换机上往往会连接多个IP子网，校园网分布式VLAN和集中式VLAN是当前和今后学校二级IP子网组网的基本特性。因此，在产品选择和网络设计时，应细致考虑VLAN可定义的类型，VLAN的中继能力，实现基于策略的VLAN。4、网络的安全要求网络安全是任何一个建网单位都十分关心的问题，网络设计必须能够提供一整套安全性策略、安全性机制和安全性解决方案。另外由于重庆大学的特殊情况应该特别注意IP地址防盗用问题。重庆大学校园网络与CERNET已连通，许多单位建立了自己的域名服务器、WWW服务器。网络中心为各单位分配了正规的IP地址，因此存在IP地址盗用问题；在划分了IP子网后，子网间的IP地址盗用问题解决了，但子网内部仍存在IP地址盗用。除了以路由器或PC桥方式与校园网连接的子网外，其它方式连接的子网应考虑防止IP盗用。在大学出口处设立防火墙，防止外部网络对校园内部网络的攻击，请详细叙述IP盗用和网络安全的策略、方法、措施。5、网络的管理要求构成重庆大学校园网络的产品众多，网络管理是一个十分艰巨而重要的问题。三校合并后，采用统一网管系统和网络计费系统。管理系统原则上采用与产品厂家一致的网管产品，网管除了能实现网管的基本功能外，最好能做到子网和站点控制、过滤，考虑提供网管二次开发包，对网络设备及其业务实施策略管理。网管除了管理校园网骨干交换机、二级交换机外，还要管理路由器、拨号服务器、各二级单位的具有网管功能的交换机、路由器。6、计费要求网络计费分局域网站用户计费和拨号用户计费。局域网用户计费按院、部、处、实验室为单位进行结算，要求计费系统基于IP地址的流量计费或基于用户的流量计费。家属区、学生区局域网络用户采用代理服务器上网，要求计费系统基于用户的流量计费。拨号用户计费要求采用计时、计量相结合的办法。局域网用户的流量要求区分国际、国内的流入、流出，拨号用户只要求区分流入、流出。网络安全计费、灵活的用户管理、方便的用户计费查询是计费软件应达到的基本要求。四、建设目标和建设内容4.1 建设目标在充分理解重庆大学校园网络系统在未来3-5年内的应用、数据流的分布基础上，我们规划设计重庆大学校园办公自动化系统、视频会议、视频点播和网络电视系统、远程教育系统、校园金融IC卡一卡通系统以及校园后勤保障系统、多媒体、教学和数字图书馆系统，并通过与CERNET的连接，使重庆大学校园网络系统成为一个集教学、科研、管理以及消费自动化管理系统。在网络体系的架构上，重庆大学校园网应是一个以宽带IP网为目标，建立数据、语音、视频三网合一的一体化网络的体系架构，同时提高网络可靠性、安全性和可管理性。在主干网采用以光纤布线为主，室内综合布线及无线接入为基础链路。主干网核心层交换设备具有千兆位或万兆位的以太网技术的包交换速度及高速的三层交换功能的。结合校园网主服务器集群的作用，以高速通讯线路与服务器连接，从而保证了服务器具有足够的带宽为网络上的用户提供良好的服务性能。汇集层网络交换设备以采用成熟的、可靠的快速以太网技术设备作为接入桥梁，实现虚拟局域网（VLAN）的功能及网间通讯，同时确保全网的良好性能及网络安全性。接入层交换设备为校园用户提供高速到桌面的接入体系。整个校园网采用先进的网管软件，建立完善的网络管理体系。同时为重庆地区其他城市高校提供接入CERNET的接口，为VPN、拨号用户和移动用户办公提供接口，网络还应具有良好的扩展性。在重庆校园网络规划中，以建设校园网网络中心、开放的网络机房、多媒体网络教室、远程网络教育及网络管理为综合性的网络基础平台。4.1.2 总体目标基于以上需求，重庆大学校园网建设工程项目的总体目标是：通过有线、无线等方式组建一个高稳定性、强壮性、安全性、可管理性的计算机网络系统；多协议、多服务的计算机网络体系；实现现有三校区的高速互连互通，并覆盖校园内每个角落，同时考虑可扩展性，保证35年以内不落后，10年以内可用，能够轻松方便地支持校内办公自动化（OA）、教学管理、科研管理、数字图书馆、远程教育（网络教育）、校园一卡通及多媒体信息服务等应用的需求。4.1.3 建设指导思想先进性：在保证系统能够稳定运行的基础上，以先进的设计思想，设计网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品。保证技术的前瞻性，延长系统的生命周期。可靠性：具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠，并具有良好的性能价格比。安全性：随着信息化的集中处理和基于Internet的访问激增，给校园网络带来的不利因素之一便是安全问题。从某种角度上来看，使校园内部科研信息及其它信息等暴露的可能性增大，信息一经暴露，给全系统带来的危害性加大。因此，方案设计时，充分考虑系统的抗外部攻击和内部攻击的能力。可扩展性：系统总体设计采用开放的结构，具有可扩展性，同时系统设计应经济实用。实用性：本着经济的原则，系统不追求大而全和设备先进，选用实用、够用的设计方案，更着眼于系统整个的灵活性和可扩充性，同时，考虑要利用和保护现有的资源、充分发挥设备效益。开放性：系统设计应采用开放的技术、开放的结构、开放的系统组建和开放的用户接口，以利于网络维护、扩展升级和与外界信息的沟通。灵活性：采用积木式模块组合和结构化设计，使系统配置灵活，满足学校分步实施的建网原则，使网络具有强大的可增长性。4.1.4 建设原则统一规划、分步实施、近期目标明确统一设计，分布实施的原则基于系统的可用性、扩展性和先进性的统一的需要，即应用系统的设计、网络方案设计充分考虑网络系统建成后510年的发展需要，进行全方位整合；考虑校园园区网络系统的设备、物理链路、业务发展状况、技术力量等多方面的综合因素，为未来的发展留有余地。坚持先进性、开放性、标准化的原则建立一个大规模的综合性园区网络系统，应该尽可能采用先进成熟的技术。选购具有当今主流先进技术水平的计算机系统和网络设备，这些设备或系统应该在相当长的时间内保证其先进性。开发或选购的各种网络应用软件也尽可能先进，并有相当长时间的可用性。现代计算机网络的一个最显著特点是具有极好的开放性。这种开放性靠标准化实现，使得符合这些标准的计算机系统很容易进行网络互连。为此，应制定全网统一的网络体系结构，并遵循统一的通信协议标准。网络体系结构和通信协议应选择广泛使用的国际工业标准，使得设计网络系统成为一个完全开放式的网络计算环境。 强调应用和服务网络应用和服务在整个网络建设中应置于非常重要的地位。建设好一个，投入使用一个，使网络的建设、应用及服务同步进行。应用和服务才是用户可直接受益的部分。同时，提供网络系统强有力的售后保障体系，也是应用和服务延伸的保证。4.2 建设内容4.2.1 结构化布线当今世界已经进入了信息网络时代。结构化布线系统是信息网络时代的必然产物，是智能建筑的中枢。它采用高质量的国际标准线缆和相关连接件，在建筑物内组成标准、灵活、开放的传输系统，解决了过去建筑物各种布线系统互不兼容的问题。它既可以传输语音、数据、图象和离散信号，也可以与建筑物外部的通信网络相连接，因而它是一种适应信息网络时代的建筑物“信息高速公路”，是信息网络技术的一个重要分支，是建筑智能化必备的基础设施。为了更好的落实国务院、省、市关于高校后勤社会化改革的要求，达到高校管理现代化、智能化、数字化和网络化，根据重庆大学校园网建设要求，通过结构化的综合布线，在校园内建设一条“信息高速公路”，实现信息资源的共享。1、综合布线方案设计重庆大学综合布线系统物理拓扑结构为分层星型拓扑结构，该结构下的每个分支子系统都是相对独立的单元，对每个分支子系统的改动都不影响其他子系统，只要改变接点连接方式就可使综合布线在星型、总线型、环型、树型等结构之间进行转换，既支持集中网络，又能支持分布式网络系统。通过统一规划和模块化设计，满足语音和数据信息点的即插即用和随时互换，建立的系统能够支持ISDN传输，并方便地与Internet或数据专网互联。根据重庆大学的规划，A区公寓区结构化布线系统设计为二级管理结构，一级设备间位于网络中心，其余每栋公寓楼设计一个二级设备间；A区办公区结构化布线系统设计基本为三级管理结构，一级设备间位于网络中心、逸夫楼中心、传动实验室，二级设备间位于六大楼、管理学院、校医院、学生十二舍，其余每栋办公楼设计若干个三级设备间。根据重庆大学的规划，B区公寓区结构化布线系统设计为二级管理结构，一级设备间位于二综合楼，其余每栋公寓楼设计一个二级设备间；B区办公区结构化布线系统设计基本为二级管理结构，一级设备间位于二综合楼，二级设备间位于每栋办公楼。根据重庆大学的规划，C区结构化布线系统设计为二级管理结构，一级设备间位于行政楼网络中心，其余每楼栋设计一个二级设备间。2、综合布线系统的结构根据重庆大学校园网建设要求，结构化布线系统体系统结构如下图所示：图4.1 结构化布线系统体系统结构（1）工作区子系统一个独立的需要设置语音/数据终端的区域宜划分为一个工作区，工作区子系统由办公区域的信息插座、延伸到终端设备处的连接电缆和适配器组成。工作区适配器的选用宜符合下列要求：l 采用不同信息插座的连接器时，可以用专用电缆或适配器；l 开通ISDN业务时，宜采用网络终端适配器；l 水平子系统与终端设备传输介质不同时，宜采用适配器；l 需要进行数模转换或数据速率转换时，宜采用适配器；l 对于网络规程的兼容性，可用配合适配器。本设计中，公寓楼四人房每个房间设计4个数据信息点；其它每个房间设计2个数据信息点。布线材料全部采用M10L-262单口空面板(带防尘盖)和MPS100E-262超五类简装模块。（2）水平子系统水平子系统由各设备间到各个工作区之间的线缆组成。水平子系统通常采用4对非屏蔽双绞线，电缆长度不超过90米；在需要高速数据传输的场合，可考虑采用光缆。（3）干线子系统干线子系统由MDF和IDF之间的连接线缆组成。线缆一般为大对数双绞线电缆或光缆。数据主干采用国产9/125mm室外单模光纤、9/125mm室外多模光纤，光纤具有低传输损耗值和高带宽传输能力，是传输高速数据的最佳传输介质。它能最大程度的提供数据的保密性和完整性，且不受电磁、雷电干扰，并支持未来的高速数据传输和多媒体技术。（4）管理区子系统管理区是配线间或设备间的配线区域，它采用交连或互连等方式，管理干子系统和水平子系统的线缆。重庆大学办公区三级分配线架中连接所有水平双绞线的铜缆配线架采用PM2150-24 24口超五类配线架，1U的结构，既精致，又便于安装，可安装于标准的机柜里面。重庆大学公寓区各三级配线间采用楼道专用宽带机箱和墙柜，不使用超五类配线架。（5）设备间子系统设备间子系统设于大楼的信息中心，由设备间中的数据主配线设备（光纤终接箱）及相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。该子系统连接局域网络系统设备（如主干交换机、HUB、服务器、路由器、防火墙等），通过从水平子系统中发送过来的水平电缆分别对大楼各信息点进行跳线管理。设备间子系统所有设备均安装在19”标准落地机柜中。机柜上安装着若干配线架，以方便线路的跳接，并留有足够的空间，可以安装用户网络集线器设备。该机柜正面安装玻璃门，使管理人员能够在不打开机柜的时候就可以看清面板上的跳线情况，看到网络设备的工作状态。由于机柜为全封闭型，使所有线缆（大对数双绞线和跳线）均被封闭在机柜内，无关人员不可能接触到布线系统，使系统的可靠性得到了极大的提高。设备间是整个配线系统的中心单元，它的环境条件的考虑是否恰当都直接影响到将来信息系统的正常运行及维护使用的灵活性。建议其室内照明不低于150Lux，并应提供UPS电源配电盘以保证网络设备运行及维护的供电。如数据布线采用屏蔽布线系统时，应备有合适的接地线。设备间的环境条件要求如下：l 将服务电梯安排在设备间附近，以便装笨重的设备。l 室温应保持在18至27之间，相对温度保持在3055。l 保持室内无尘或少尘，通风良好，亮度至少达30英尺烛光。l 安装合适的消防系统(如采用湿型系统，不要把喷头直接对准电气设备)。l 使用防火门，至少能耐火1小时的防火墙和阻燃漆。l 提供合适的门锁，至少要有一扇窗口留作安全出口。l 分配线间应注意避免电磁干扰和雷击，安装小于1的接地装置；尽量远离存放危险物品的场所、强电和电磁干扰源(如发射机和电动机)。l 设备间的地板负重能力至少应为500KG/平方米。l 根据结构化布线系统的要求，在配线间安装布线硬件的墙壁上须覆盖涂有阻燃漆的3/4英寸(合1.9CM)厚的木板。l 结构化布线系统中典型的配线间，其可以走进人的最小安全尺寸是120150CM，标准的天花板高度为240CM，门的大小至少为高2.1宽1M，外开。在配线间内应至少留有二个为本系统专用的，符合和办公照明要求的220V电压，电流10A单相三级电源插座。如果需要在配线间内放置网络设备，则还应根据接线间内放置设备的供电需求，配有另外的带4个AC双排插座的20A专用线路。此线路不应与其他大型设备并联，并且最好先连接到UPS，以确保对设备的供电及电源的质量。3、综合布线内容重庆大学A区、B区、C区结构化布线系统共包含3200个信息点以上。 重庆大学大学生公寓A区、B区、C区，4人间每间布4个信息点，其它每间布2个信息点。重庆大学教学办公A区、B区、C区，根据实际需求，每户内设置1个数据点。 图4.2 A区光缆结构图图4.3 B区光缆结构图图4.4 C区光缆结构图4.2.2 网络通信系统1、网络系统总体结构重庆大学校园网是一个较复杂的网络系统。简化复杂系统的典型策略是采用分层的方法。本方案中，我们将整个校园计算机网络系统作如下划分。整个系统简化为分层结构，分为水平层面上的核心层（网络主干）、汇聚层、接入层，其信息流动模式是逐渐汇集于主干。在垂直层面上分为管理层和安全层。其中网络的核心层（或称主干）部分是整个网络的信息汇集处，拥有足够的带宽和良好的升级能力；具有足够的网络智能和承载多种服务类型的能力；同时具有很高可靠性。而网络的汇聚层部分起着承上启下的作用，是网络核心服务功能在更大范围的延伸和扩展。它汇集下层网络的流动信息，并将其进一步汇集于主干。与核心层类似，它也拥有足够的带宽和良好的升级能力；具有承载多种服务类型的能力；具有高可靠性。网络的接入层（或称接入层）作为网络的底层，直接面对用户，具有极大的灵活性、易用性；多种服务接入能力。从网络的管理层和安全层面讲，网络应具有极强的贯穿3个水平层面的控制能力和网络安全能力。包括灵活的计帐方式；基于策略的网络管理和基于物理层、链路层和网络层的性能测量和故障监控，并提供远程配置和故障排除能力。 2、网络主干核心节点核心层是网络高速交换的骨干，尽可能高速交换包，具有高可靠性、提供冗余、容错、低延时和良好的可管理性、避免使用减慢包处理的进程（如访问控制列表、包过滤等）、具有界定一致的网络路径。重庆大学网络核心层由5个核心节点组成，其中包括:网络中心、A区逸夫楼、A区传动实验室、B区网络核心节点（二综合楼）、C区核心节点(C区行政楼)。这5个核心节点主要包括两个主要功能： l 连接骨干网络，构成骨干网络通道； l 连接各种汇聚节点，包括高速接入和信息源接入(主机) 。网络中心核心交换机主要是实现骨干网络之间的优化传输, 同时承担与校外Internet,Cernet的路由传输，我们在网络中心采用交换能力大于90Mpps多层交换机2台；交换机之间实现全冗余连接和链路汇聚（LAG）保证网络链路的可靠性和高达4G以上的性能，并通过路由冗余协议VRRP，两台核心交换机互为备份、负载均衡。考虑到B区的数据流量较大，因此在B区网络核心节点也放置一台交换能力大于90Mpps的多层交换机，根据我们的调查分析在C区网络中心、传动实验室、逸夫楼分布放置一台冗余配置的交换能力大于40Mpps多层交换机可以满足各自片区网络的需求。B区、C区、传动、逸夫楼的核心交换机通过冗余链路连接到中心两台核心交换机上，使整个核心层为网状网络拓朴结构，以保证重庆大学校园网核心骨干网的高性能，高可靠，高扩展性以及线速无阻塞的L2/L3/L4层交换。重庆大学校园网络核心节点都具有如下的特点：l 都具有电信级的全系统冗余，时钟，电源，风扇等的冗余；从根本上保证了节点的安全可靠性。l 都具有良好的性能价格比。l 都具有良好的系统扩充性。3、汇聚层节点汇聚层是接入层和核心层的分界点，并且用来分辩和区别骨干。提供基于策略的连接，具有安全服务等各项策略的实现、地址和区域的聚合、部门和工作组的访问、广播域、组播域的建立、VLAN之间的路由、介质转换、路由域之间的分布等功能。重大校园网络汇聚层（二级骨干）的要求：提供较高的可靠性和高速上行网络连接，部署网络的控制能力（如分布式三层交换和QoS等策略）。对于流量较大的汇聚层交换机建议采用交换能力大于40Mpps的三层交换机，其它数据流量较小的汇聚节点则选用交换能力在10Mpps左右的三层或二层交换机通过千兆光纤与核心层交换机连接。汇聚层交换机的上行链路1000M光纤模块也可根据距离长短选择长波或短波千兆模块。具体为：A区的综合楼、七大楼、行政楼、校医院、理科楼、学生宿舍区通过1000M光纤接入到A区网络中心；B区的八教学楼、设计院、学生宿舍通过1000M光纤接入到B区网络核心节点；C区下属各二级节点全部通过星型方式接到C区网络核心节点。4、接入层节点接入层节点主要由桌面交换机组成，被部署在各大楼内楼层配线间或机房，我们选择具有高性价比的二层交换机作为接入层节点，向下提供PC 10/100M上连带宽，向上通过5类UTP或光纤以100M、1000M带宽接入汇聚节点，接入节点根据流量分布、地理分布和应用要求等，尤其是考虑重庆地区对接入层交换机防雷特性有较强要求，应采用具有防雷性好、性价比高的二层简单网管交换机。5、边界路由边界路由包含校园网络对外、对内的关口,承担了连至CERNET的网关业务。在本次方案设计中，在边界路由部署路由器一台用于外部连接，配置100M R-J45模块用于连接CERNET，通过硬件防火墙交换信息。对于内部拨号访问用户我们使用已有的一台路由器作为内部拨号访问服务器。6、无线网络根据重庆大学要在办公区域内实现计算机无线联网的实际要求，拟在国际会议中心及体育大楼通过无线局域网（WLAN）形式，把区域内的固定和移动工作站连结起来组成一个內部无线局域网络系统，并通过特定出口访问Internet。图4.5 会议室无线拓朴图说明：移动用户通过笔记本电脑或手持终端上的无线网卡，随时随地与有线网络保持通讯，可漫游。图4.6 体育场无线拓朴图7、需解决的关键技术（1）新旧网络设备的互连通性根据重庆大学校园网络建设要求，把原有网络设备和新增网络设备分为两部分。原有主干网络设备和新增网络设备之间的连接采用千兆光纤。千兆位以太网使用了与其前代技术相同的CSMA/CD协议，相同的帧结构帧长，其国际标准是IEEE802.3z及IEEE802.3ab；而 IEEE802.1D生成树协议保证了网络的任意节点之间不存在逻辑上的环路。（2）虚拟网（VLAN）划分针对重庆大学校园网络的实际情况，VLAN划分法采用基于端口的方法和标准802.1Q国际标准进行VLAN的划分，并结合物理位置和部门功能做为进行VLAN划分的原则。通过LAN方法接入网络中心的VLAN划分由网络中心统一指定VLAN的范围和VLAN采用的协议。不通过LAN方法接入网控中心的VLAN划分不受约束。VLAN之间只允许必要的通讯，其余的通讯将被阻止。公用的服务器可以单独在一个VLAN中。我们以学生区为例：我们按照VLAN划分原则，在学生区接入层采用基于端口的划分方法，以学生宿舍为单位，结合IP地址的规划，将一个C类地址划在一个VLAN里面。在汇聚层采用基于802.1Q的划分方法,将汇聚层每十台划在一个VLAN里面,同时将VLAN终止在汇聚层,来配合我们分布式的路由设计，从而减轻核心交换机的工作压力。图4.7 VLAN划分（3）IP规划三个校区的IP由网络中心统一规划。IP地址规划拟以各个单位、各个部门的职能为单位，学生以宿舍楼（公寓）的楼层或者单元为单位，结合虚拟网的使用情况进行划分。重庆大学校园网建成后，应使新旧系统平稳过渡。建议IP地址分配、管理基本不变。同时考虑到公有的IP地址数目有限和内外网的安全，故在公有地址不够时内网采用私有IP地址。由网络中心分别对二级节点进行地址划分，再将二级节点细分到不同三级节点上。考虑到重大目前的状况和将来五年的发展，以及学生使用网络的特点，故将学生区单独考虑。对学生采用以网络中心对各个学生宿舍（公寓）划分IP段，再以学生宿舍（公寓）的单元或楼层为单位，细分IP段。最后对合法用户采用动态分配IP和身份验证相结合。这样，既保护了合法用户，又使其他的用户可以在内部网互相交流。私有IP在访问Internet或CERNET网络时，通过NAT服务器，来实现私有IP到公用IP的转换。需要提供外部访问的服务器地址使用公用IP地址。（4）路由方式采用核心层和汇聚层路由分担的设计，使核心层交换机和汇聚层三层交换机都承担路由的功能。整个网络按照网络的层次和组织机构划分为不同的路由区域，各汇聚层的交换机负责各自区域的路由，只有跨区域的路由才会通过骨干路由器实现。核心层路由采用OSPF路由协议，汇聚层路由可采用OSPF和静态路由相结合的方式实现，边界路由采用静态路由。针对重庆大学校园网络，路由策略也主要是基于路由表的信息来决定数量包转发的目的地。根据用户访问信息源的方式，以及是访问Internet或CERNET网络和局域网内的用户需访问国外信息流还是国内网络信息资源的不同，来实现不同的管理和计费。（5）负载均衡内部流量的负载均衡：核心交换机之间采用第三层路径选择，可在并行的链路之间进行负载均衡。通过合理划分VLAN，把不同的链路划分到不同的VLAN中去，可以充分利用核心层的网络带宽。当工作在全双工模式时，本次方案中新增加的路由设备和原有设备具有4Gbps的带宽，实现了环状的拓扑中动态的负载均衡和动态的数据包路由。路由的负载均衡：在重庆大学现有的校园网中，核心交换机承担了绝大多数路由的工作。随着校园网规模的扩大，核心交换机已经不堪重负。因此，采用分布式的路由设计，网络集中式管理改变为分级管理。这样不仅减轻了核心交换机的负担，更重要的是，分级管理的思想为以后网络区域式分块管理提供了可能，大大提高了网络的可管理性和健壮性。（6）校园网出口设计为了降低出口防火墙的负担，提高校园网的运行效率，应采取适当的措施，合理设计网络结构，合理规划路由，实现一定程度上的负载均衡。这对充分利用网络资源、提高校园网的服务质量有着重要的意义。校园网内的用户缺省情况下是无法访问校园网以外的站点。只有经过用户认证才可以访问INTERNET。同时配置一台高速缓存服务器, 解决INTERNET信息流量的存储和共享问题。（7）QOS服务质量保证由于重庆大学校园网络用户的剧增及语音、视频等新业务、新应用的出现，在网络中一个迫切需要解决的问题就是网络服务质量的保证。重庆大学校园网络采用硬件Qos队列处理、拥塞控制、带宽预留、过滤及多种策略实现Qos优先级等QoS处理技术。（8）核心交换机之间冗余备份在核心交换机之间，通过双链路连接，把两条光纤链路捆绑起来，在提高了网络骨干的带宽同时，实现了冗余备份。动态路由协议自动对链路进行选择，核心层链路故障并不影响网络的正常运行，所以切换对用户是透明的。4.2.3 主机系统主机系统是实现校园网整个网络操作、网络应用的窗口和平台。因此，主机系统当仁不让得成为了整个校园网的核心设备。针对学校校园网用户而言，对主机系统的选择应该充分考虑可管理性、稳定性、安全性、综合性能价格比等因素。针对重庆大学校园网络建设的目标，校园网络的主机系统建设应遵循以下基本原则：l 具有优异的性能和高可靠性；l 具有冗余和高可用性，以保证关键应用的连续可服务性；l 开放性、兼容性和可互联性，节省投资，保护已有投资；l 能够横向、纵向扩展和升级以满足不断增加的需求；实现重庆大学校园网的建设目标，首先需要建设一个高品质、综合能力强大的IT支撑环境，将现有环境升级改造成一个符合当今趋势的适应现代教育的的IT支撑环境。校园网的实现，需要考虑开放式应用构架和网络环境，实现平滑过渡。（1）主机系统架构图4.8 主机系统架构主机系统集群的实现集群可以是两台或是多台服务器的连接。在集群技术中最常见的双机系统，该系统由两台服务器和一个外接磁盘阵列柜及相应的软件构成。用户的数据放在外接磁盘柜的存储盘里。操作系统和用户程序安装在两台服务器的内置系统盘上。它分为三种模式：被动式备份服务器（Standby）、主动式辅助服务器、互为备份(DualActive)。在网络中心使用集群软件和中间件以及中间件支持的负载均衡处理，应用服务器可以由群集的两台扩充到多台，系统自动完成流控等功能，如下图所示：图4.9 服务器集群扩充主机系统存储的实现在重庆大学的校园网络建成后，其系统必将肩负着非常大的使用效率，因此在针对它的系统实施设备应该注重以下的关键问题：传输速度、简便管理、数据安全、扩展升级、连接性和开放性、领先的技术等。主机系统存储的实现对于重庆大学校园网，访问时延和服务器的可靠性是非常重要的问题，采用多个服务器，以提高服务器的响应性能，减少服务器的单点故障。这样的设计使每台服务器的处理能力都得到了充分的发挥。而且同时也大大提高了网络服务的可用性。在信息数据已经成为计算机系统命脉的今天，如何随着存储数据量的增长，重庆大学校园网络对存储系统的要求也在不断提高，而且还面临着诸多挑战，主要体现在以下几个方面： 更快的数据访问速度、更便捷地管理存储资源、高速备份、保证对大量突发性数据的准确存储等。（2）主机系统的选型Internet/Intranet服务器根据重庆大学校园网的建设目标，主要是为了实现与Cernet和Internet的互连，以提供Cernet和Internet上的各种服务，为用户提供丰富的网络资源，并提供对外的WWW信息服务，使校园网系统成为外界了解校园内部的一个重要窗口。邮件服务器邮件服务器的主要功能是为整个重庆大学校园网络用户的邮件服务。邮件服务对实时性要求不是很高，因此要求主机的计算能力不是很高，但对其存储能力要求要高于其他，作为邮件服务器，它至少要满足网络用户的邮件存储要求。Web、FTP、DNS、NAT代理、网管服务器提供Web、FTP、DNS、NAT代理服务的服务器，根据经验和成功案例，应选择成熟产品。数据库服务器对于重庆大学校园网工程建设项目，数据库服务器是必不可少的，但是由于它的初期应用比较少，业务不是特别繁忙，对计算、存储以及容错能力要求并不是特别高；随着整个校园网建设的深入进行，用户对数据库服务器的访问势必增加，数据库服务器上的应用处理负担势必加重，对计算、存储以及容错能力会有更高的要求。因此，对于数据库服务器的选择，要求首期投入不是太高，但应有良好的扩展性和技术上的先进性，能够支持RAID等功能，满足以后系统升级或做容错处理的要求。实时新闻视频播放服务器对于一个园区网的建设，视频点播服务也是重庆大学未来发展的内在需求。主要是在校园网内实现网上视、音频广播和点播。可分实时收看和节目点播两种方式。在网内还能够直播会议实况。因此系统必须满足大量并发流的需要，并且容易扩充。作为一个视频服务器，由于其实时性的内在要求，一般对存储I/O系统、扩展性存储系统、系统管理系统有较高的要求。计费服务器校园网内的用户通过网内的服务器代理后进入教育网和互联网，计费服务器根据预先设定的规则进行计费处理。计费服务的中断会直接导致网内用户与外界的连接中断或用户使用了网络而没有计费信息，因此，计费系统要求全天候不间断运行。校园网建设中计费服务器应选用具有好稳定性的主机。而且，考虑计费服务器需要处理大量用户认证和信息安全过滤，计费服务器还应有富余的处理能力。OA服务器重庆大学校园网建设的目的之一就是实现办公自动化，提高高校的办学质量。目前OA软件的发展情况来看，大部分校园网OA软件是基于WINDOWS系统开发的，因此，可选用一款基于X86开发的主机，用于运行OA应用的后台服务。4.2.4 网络安全与管理系统从重庆大学网络系统的整体考虑，按照“大安全、方便管理”的概念进行设计，把重庆大学网络系统的安全与管理作为一个体系考虑。l 在国际互联网联通的情况下，重点保护网站和上网用户的安全，防止来自外部的攻击。l 强化用户管理，对联网的计算机用户进行有效的管理，用户访问国际互联网必须通过身份认证，对用户的网络访问行为记录详细日志，能够根据日志记录、IP地址、用户名等确定具体用户以及用户访问的信息。l 保障网络和系统的可靠性、稳定性。l 充分考虑到安全与应用的结合：考虑到当前的应用系统，同时考虑应用系统与安全系统的接口。l 全局考虑重庆大学的整体安全设计。l 保障系统易操作、易维护。l 安全易行的网管系统。1、网络安全由于重庆大学这样一个大型网络系统内运行多种网络协议(TCP/IP，IPX/SPX，NETBEUI)，而这些网络协议并非专为安全通讯而设计。所以，网络系统可能存在的安全威胁来自以下方面：操作系统的安全性、来自内部网用户的安全威胁、软件缺乏安全性、Internet的恶意攻击、应用服务的安全等。（1）防病毒根据重庆大学的需求与实际，实现全网络的病毒防护不可行，但必须在应用服务器和数据库服务器上进行病毒防范。一个好的防病毒系统，应该是一个多层次、全方位的防病毒体系，而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能。重庆大学网络采用配置20个用户的防病毒产品，主要保护网络中心服务器，其要求是：较强的病毒防护能力、具有网络易管理特性、灵活管理客户端、灵活的更新升级、产品的安全性高。（2）防火墙为了提高重庆大学出口CERNET的安全性和访问日志的可靠性，出口访问应通过防火墙，防火墙都应记录日志。同时考虑网络的发展及重庆大学出口访问量的因素，因此防火墙采用高可靠性的防火墙。考虑到学校财务部门的需求，建议在A区财务部门配置一台百兆防火墙，并在财务部门防火墙上配置VPN模块，保障该部门特殊的网络安全，防火墙要求：具有公安部销售许可证、高性能、网络地址转换技术、用户鉴别、用户认证、IP和MAC地址绑定、入侵检测、透明代理、日志审计、流量控制、强抗攻击能力、虚拟专用网（VPN）、非法网站内容过滤等。（3）入侵检测系统在重庆大学校园网络入口安装入侵检测系统，实时入侵检测系统可以通过网络流量检查保护网络免受来自内外的攻击，当网络安全受到非法入侵者威胁时发出报警。利用网络实时监控，对计算机系统进行安全检测，在系统受到危害之前截取和响应黑客攻击和内部网络误用，无妨碍地监控网络传输并自动检测和响应可疑的行为，从而最大程度的为重庆大学校园网提供安全。同时入侵检测系统须与防火墙联动，更加强了其安全保护。由于校园OA系统的重要性，建议在OA服务器上配置一套基于主机的入侵检测系统。入侵检测系统要求：具有公安部销售许可证、支持统一的管理平台、可实现集中式的安全监控管理、自动识别不小于1600种攻击、支持与防火墙联动、支持IP过滤等功能。 （4）网络安全评估安全记录的统计和分析是一项非常重要的工作，通过定期进行全面的网络统计和安全评估、分析当前系统和网络环境，可以找出安全弱点，并作出正确的安全建议。安全评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。风险评估技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上面的风险漏洞，而后者则是通过网络远程探测其它主机的安全风险漏洞。由于网络采用的通信协议并不是为安全通信而设计的，这些协议和网络设备存在一些固有的安全隐患，入侵者可利用这些漏洞，通过网络实施攻击。基于网络的风险评估技术，主要是模拟黑客攻击的方法，检测网络协议、网络服务、网络设备等方面的漏洞。网络漏洞扫描器要求：能扫漏洞不小于900种、可生成详细报告、可动态分析目标系统的安全脆弱性、远程在线升级、灵活的策略配置、多种形式的报表、系统扩展性好等。重庆大学校园网络安全保护体系部署如下图所示：图4.10 重庆大学校园网络中心网络安全布署（5）网络安全管理体系由于重庆大学校园网络的复杂性，必然导致重庆大学校园网络安全防护的复杂性。“三分技术，七分管理”这句话是对网络安全非常客观的描述。任何网络仅在技术上是做不到完整的安全的，还需要建立一套科学、严密的网络安全管理体系，为重庆大学校园网络提供制度上的保证，将由于内、外部的非法访问或恶意攻击造成的损失减少到最小。图4.11 管理规范框架2、网络管理重庆大学校园网络系统是保证校园网络系统正常运行的前提。网络管理不但需要先进、实用的技术支持手段，对大中型网络而言，更需要合理、有效的组织体系和规章制度。网络管理是网络可用性的关键组成。网络管理包括故障管理、配置管理、网络性能管理、安全管理、系统资源管理、应用管理等功能。网络计费是网络管理系统的重要组成部分，网络计费可实现用户账号的授权、验证、管理和计费服务。网络管理系统要求：无缝集成管理任何大小、形状或结构的网络系统及环境、确保管理信息的安全可靠、高度可扩充的，能随计算机系统和企业业务的增长而增长、简单易用、友好的图形界面，进行直观的操作和管理、能够提供标准的和开放的应用接口及开发工具，符合IT技术未来的发展方向、能够将IT资源的管理与业务相结合。4.2.5机房建设对于重庆大学校园网络建设中，机房建设是一个核心部分，原因在于主要网络设备、主机设备基本上放置在机房，对于机房的安全要求也就更加重要了。为了保证重庆大学校园网络的平稳远行，保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全适用、确保质量，机房建设已成为整个项目工程中重要的环节之一。校园网机房建设包括建筑装饰、电气、空调、新风、门禁系统、保安监控、消防、防雷防静电、屏蔽等在内的综合性工程。对于门禁系统、空调和新风系统、机房设备及环境监控系统可根据实际情况来决定是否采用。根据重庆大学的要求，仅就电气、保安监控、防雷、防静电、屏蔽等方面建设。1、电气系统电气系统的作用就是给主机系统、工作站、网络关键部件等设备提供不间断运行的保障。重庆大学校园网建设工程机房建设包括5个二级机房和网络中心，考虑到各级机房的负荷大小不一，在A区的管理学院、校医院机房分别安装一台2KVA、3KVA的UPS；在网络中心和B区的机房分别安装一台30KVA和15KVA的UPS；在A区的新教学楼、传动实验室及C区机房各安装一台6KVA的UPS。图4.12 UPS系统图2、配电、防雷系统重庆大学校园网的中心机房所在的建筑物的直接雷击防护系统比较完善，但除了直击防雷还应对机房感应雷击进行防护，根据重庆大学对校园网机房防雷建设的要求，参照相关防雷规范作出如下防雷建设。（1）在二级机房所在的建筑物周围新建一个接地电阻小于4欧姆的专用地网；在B区机房所在的建筑物周围新建一个接地电阻小于1欧姆的专用地网（A区网络中心已有地网）。用32mm2多股铜线从机房地线汇流排引一根地线至机房地网的接地极上；对机房现有接地线进行整改（先除锈，再刷防锈漆、银粉漆）。将大楼地与机房专用防雷地通过地电位均衡器相连。（2）铺设全钢抗静电地板，铺设高度不低于20cm。抗静电地板在铺设过程中应先将地板下面地面用高标号水泥沙浆抹平并做表面压光，等地面完全干燥后，再刷地板封闭漆，达到不起尘，保证机房的洁净度；活动地板下空间作为网络线槽、散流网及敷设电气管线用；在活动地板上开一定量的孔，作为机房专用地板插座使用。（3）将机房的设备外壳、门窗、铝合金隔断及地板支架等接地，并在机房的防静电地板下离墙0.5米处用440mm2铜条增设均压带，均压带每隔1米设一个接地孔。（4）对于网络中心、B区机房，在其办公大楼总配电柜内的电源入线端并联安装Furse的ESP415 电源防雷器一台，作为电源系统的一级防雷；在机房总配电柜内电源进线端安装Furse的ESP 415电源防雷器一台，防止从市电过来的感应雷电，将雷电脉冲抑制在设备能承受的安全电压（600V）以内。在UPS的进线端安装Furse的ESP 415电源防雷器一台，防止空调等其它设备起动时的操作过电压对UPS的影响。对于二级机房，在机房总配电柜内电源进线端安装Furse的ESP 240电源防雷器一台，作为电源系统的一级防雷，将雷电脉冲抑制在设备能承受的安全电压（600V）以内。在U