校园网建设现状

校园网建设现状自古以来，教育就是个永恒的话题。教育信息化建设的成功与否将被赋予新的内涵。教育部去年提出“校校通”工程的核心就是校园网的建设问题。只有学校实现了真正意义上的数字校园，才能实现教育信息化的建设。校园网建设的内容：四大元素“校园网”的概念是指大、中、小学教育单位的网络，它以应用为目的，基于Internet/Intranet技术的计算机网络和它的使用者以及相关规章制度的集合。一个完整的校园网建设要紧紧围绕“路、车、货、驾驶员培训”四大元素来进行。在这四大元素中，“货”是重点，它是校园网建设的核心。这里，“路”是指物理网络的搭建，包括四个方面：结构化布线、网络连通（网络设备的选择）、服务器的选择、终端的选择；“车”是指系统平台的建设，如教育行政管理平台、教学管理平台、资源库管理平台和校园网通信平台，其中，行政管理和教学平台主要针对教育工作，资源库平台将为这两个平台提供详尽的资料；“货”是指软件（具体是指应用系统）的建设，它根据学校的需求选择一些应用软件和硬件，一般学校常用的应用系统有多媒体网络教室、多媒体电子阅览室、网络多媒体课件制作系统、校园信息管理系统、视频点播、学校主页等；而“驾驶员培训”是指为适应现代网络教学的要求而对相关人员进行的培训。这是一个伸缩性比较大的工作，从人员角度，培训可分为四级：校长的培训、校园管理员的培训、青年骨干教师的培训、全体教师的培训，这些人员在培训之后能够针对学校的具体、特殊的需求或是未来需求而提出切实可行的建议，以便能够更好地进行系统的二次开发。目前校园网建设存在的问题目前校园网建设存在很多的问题，大多数校园网还只停留在“高速路上，车少货更少”的阶段。据有关统计数据表明，国内在目前已建成的校园网中，有50%左右的网络连通存在问题，有80%以上的校园网在管理和应用中存在问题。其一，缺少关于校园网建设的理论与实践的科学认识。其二，缺乏系统思考和统一规划，盲目地追求硬件建设与一次到位。其三，对教师进行计算机基础应用及网络培训的意义，没有意识或力度不够。其四，对校园网的关键部分资源库的建设相对滞后。中国电子信息产业发展研究院（CCID）在对上万名用户进行调查后发现，目前校园网建设的不完善主要表现在硬件、软件及其功能三个方面，其中，在软件的教学资源方面，尤以教育资源库表现得最为显著，占据了所调查学校的55.5%的比例。教学资源建设可以包含四个层次的含义：一是素材类教学资源建设，主要分题库、素材库、课件库和案例库四大类；二是网络课程库建设；三是教育资源管理系统的开发；四是通用远程教学系统支持平台的开发。在这四个层次中，网络课程和素材类教学资源建设是重点和核心，第三和第四个层次是工具层次的建设。网络课程和素材类资源的具体内容千变万化，形式多，各具特色，对应的管理系统和教学系统必须适应这种形式的变化，充分利用它们的各自特点。所有素材建设都必须围绕课程这个核心来进行组织，它是以课程为基本单位组织实施的，统一服从网络课程建设的要求，在网络课程建设中所用到的媒体素材库、题库、多媒体课件、案例等，都将纳入到基础教育资源库中统一管理。此外，CCID在调查时发现，经常使用教学软件的学校仅占31.6%,而只有在观摩课上使用的则有46.5%，其余21.9%的学校基本不用。这表明，研发适合学校的教学软件质量还亟待改进。同时，教学资源建设也是教育信息化的基础，是需要长期建设与维护的系统工程。由于教学资源的复杂性和多样性，使得人们对它的理解各不相同，便会出现大量不同层次、不同属性的教学资源，因而不易管理和利用。这样，学校在选择资源库的问题上也出现了困惑。北京师范大学信息科学学院孙波博士特别提醒应把握三点：是否符合标准、质量如何以及合法性。1.1.1校园网建设目标校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是：建设一个以办公自动化、计算机辅助教学、现代数字化校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与广域网相连；在网上宣传和获取教育资源；在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境；开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务；系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及经济性。1.1.1.1千兆以太网技术千兆以太网技术作为最新的高速以太网技术，给用户带来了提高核心网络性能的有效解决方案。千兆技术仍然是一种以太技术，它采用了与10M以太网和快速以太网相同的帧格式、帧结构、网络协议、全/半双工工作方式、流控模式以及布线系统。其技术特点如下： 允许以1Gbps的速率进行半双工、2Gbps的速率进行全双工操作。 使用IEEE802.3以太网帧格式。 使用CSMA/CD访问方式。 与10BASE-T、100BASE-T相兼容由于该技术不改变传统以太网的桌面应用、操作系统，因此可与10M或100M的以太网很好地配合工作。升级到千兆以太网不必改变网络应用程序、网管部件和网络操作系统，能够最大程度地保护用户以往的投资。千兆以太网技术有两个标准：IEEE802.3Z和IEEE802.3ab。IEEE802.3z制定了光纤和短程铜线连接方案的标准。IEEE802.3ab制定了五类双绞线上较长距离连接方案的标准。千兆以太网的主要特点：1. 简易性：千兆以太网继承了以太网、快速以太网的简易性，因此其技术原理、安装实施和管理维护都非常简单、方便。2. 扩展性：千兆以太网采用了以太网、快速以太网的基本技术，因此由10Base-T、100Base-T升级到千兆以太网非常容易。3. 可靠性：千兆以太网保持了以太网、快速以太网的安装维护方法，采用星型网络结构，因此网络具有很高的可靠性。4. 经济性：千兆以太网是10Base-T和lOOBase-T的继承和发展，一方面它降低了研究成本，另一方面由于1OBase-T和1OOBase-T的广泛应用，作为其升级产品，千兆以太网的大量应用只是时间问题，为了争夺千兆以太网这个巨大的市场，几乎所有著名网络公司都生产千兆以太网产品，因此其价格将会逐月下降。千兆以太网与ATM等宽带网络技术相比，其价格优势非常明显。5. 可管理维护性：千兆以太网采用基于简单网络管理协议（SNMP）和远程网络监视（RMON）等网络管理技术，许多厂商都已经开发了大量的网络管理软件，使千兆以太网的集中管理和维护非常简便。6. 广泛应用性：千兆以太网为局域主干网和城域主干网（借助单模光纤和光收发器或者是POS模块）提供了一种高性能价格比的宽带传输平台，使得许多宽带应用能施展其魅力。例如在千兆以太网上开展视频点播业务和虚拟电子商务等。基于以上千兆以太网技术的种种有点，同时考虑到XX大学现阶段网络设备的状况以及将来的发展，我们考虑在XX大学的主干网建设中采用该技术。由于万兆以太网将是未来的技术发展方向，综合考虑现有的投资和未来的需要，我们建议在XX大学校园网的光纤布线系统中，采用朗讯科技推出的符合将下一代万兆以太网性能要求的并且向下兼容的多模光纤综合布线解决方案SYSTIMAXLazrSPEED,以便将来网络主干向万兆以太网的升级。关于朗讯SYSTIMAXLazrSPEED系统的我们在综合布线系统设计中进行分析。1.1.1.2无线局域网无线局域网是指以无线信道作为传输媒介的计算机局域网(WirelessLocalAreaNetwork简称WLAN)。无线网络产品一般包括了无线网卡和无线接入访问点(AccessPoint，简称AP)，其中AP是作为无线网络和有线网络沟通的桥梁,用户则通过无线网卡即可实现局域网的内部互连和Internet的上网功能。无线网卡适用于笔记本电脑，如果需要台式机也能通过无线网卡上网的话，需要一个USB适配器或者是AT转接卡进行转换。无线网络适用于以下几种情况：1、在不能使用传统布线方式的地方、传统布线方式困难、布线破坏性很强或因历史等原因不能布线的地方；2、有水域或不易跨过的区域；3、临时建立设置和安排通讯的地方；4、无权铺设线路或线路铺设环境可能导致线路损坏的地方；5、时间紧急，需要迅速建立通讯，而使用有线不便、成本高或耗时长；6、局域网的用户需要大范围移动计算的地方。无线网络现在虽然不能完全替代有线网络，但是它作为有线网络的有效补充，却能够带来极大的方便。其灵活性、可移动性和极强的可扩性，使局域网的组建更加地方便、快捷；只要在无线网络覆盖的区域，都可以随时随地地享用网络提供的丰富资源；增加用户不需任何布线，仅仅需要一个无线网卡即可。在XX大学地校园网建设中，我们对于XXXXXX等不便进行传统布线的地方，建议使用无限网络。并且由于笔记本电脑的普及，许多学生老师都选择了笔记本作为私人电脑，所以为了方便大家接入Internet查询资料等，我们将在学生老师经常活动的区域进行无线网络覆盖，如学生宿舍、教师公寓、教学楼，及图书馆。1.1.2校园网一期工程技术及性能分析XX大学一期校园网概况(必须根据实际空旷情况进行修改)校园网包括主干网络、各系及各部门局域网、校园网与中国教育和科研网(CERNET)互连。校园网覆盖了校园区内的网络中心、主楼、一号至七号教学楼等20栋建筑物，采用综合布线方式安装了1200多个信息点，各楼之间通过铺设近10,000米的光缆互连，校园网通过以太光纤网与CERNET实现连接。结构特点校园网为星形树状拓扑结构，采用交换式快速以太网。网络主干线为一级节点、各楼接入校园网的交换机和和集线器为二级结点、各楼内的局域网用户和单机用户以及楼层间的集线器为三级节点。校园网划分为26个虚拟子网，通过路由器实现子网间的信息交换。各楼中的用户通过局域网连接所在楼的二级结点，直接接入校园网；暂时无法接入校园主干网的分散用户和个人用户通过电话拨号方式接入校园网。软件、硬件配置校园网的主要网络设备采用Cisco公司的产品：包括一台7507路由器、三台Catalyst5000交换机、十一台Catalyst3000交换机。网络服务器包括六台Sun公司的Ultra-1工作站和一台Enterprise3000服务器、一台SGI公司的Origin200服务器等。以上设备在配置了相应的软件后分别作为DNS服务器、邮件服务器、Web服务器、FTP服务器、网络管理服务器及BBS系统来使用，从而提供正确、可靠的网络信息服务。网络拓扑图如下：Cisco?507PSTNCisco2511CaSOOOStandbQUCAO-MlI10MbpsOOBaseFX/ISLIDOBaseFXJSLCERNETCadOOOCA3OOODB/WEB/FTP/EmaiKf/Proiv/Dial/VodSenjerVBBSC85505Ca500IIII-点起楼CA300030m毯1务-校国网体系结构图从学校现有的教学规模和发展需要上，现有校园网存在以下问题：1、校园网整体规模小。只覆盖部分教学和办公区域，无法满足学校发展的需要和广大师生对网络的需求。2、校园网主干带宽小。无法满足目前教学和科研应用的需要，同时也无法满足新型宽带服务的需求。3、网络设备陈旧。现有的网络设备只具备很小的性能提升空间，同时对新型网络协议组的支持不足，而且网络通信的服务质量很低。现有的校园网已经不能适应应用的增长，同时也已经无法满足用户的增加所带来的对网络带宽和服务质量的需求。因此，我们必须对校园网进行升级改造，建设覆盖整个校园区的新一代校园网，以满足教学和科研不断发展的需要，以及新一代校园网应用的需要。1.1.2.1朗讯SYSTIMAXLazrSPEED方案简介朗讯科技的多模光纤综合布线解决方案SYSTIMAXLazrSPEED把下一代的性能和向下兼容性结合起来。LazrSPEED解决方案包含了一系列由贝尔实验室的科学家和工程师们设计的新产品。由于数据信号在普通多模光纤上以10Gb的速度传输时性能会急剧退化，所以朗讯设计了一种新型光纤，它完全不需要使用价格昂贵的光电设备。为了简化管理，朗讯还改进了所有的连接设备。根据贝尔实验室预测部门的测试，基于LazrSPEED的系统不仅适用于目前的千兆位应用，将来还可以升级到10Gb应用，这是因为朗讯成功地开发了超级高性能的光纤。新的LazrSPEED多模光纤只使用单一VCSEL收发器就能在传输10Gb信号时达到令人满意的效果，无需再购买多个激光源、合光器、分光器、滤波器和探测器等昂贵的光电器件。LazrSPEED解决方案具有如下特性： 确保兼容性：LazrSPEED解决方案具有向下兼容性。它的50口m直径可以使LazrSPEED系统在接通之后，能够继续运行现有的应用：以太网、快速以太网、千兆以太网、FDDI、ATM或者令牌环。安装快速：LazrSPEED布线与其他布线系统使用同样的端扫描和测试工具，不需要新工具。升级简易：新的10Gb电子设备到货之后，只需要简单地插上就行，不需要重新布线或者布线工具。而且它的自适应性可使得新的10Gbps端口和现有的1Gbps端口无缝地工作在一起，从而减小中断和停机时间。 管理简便：LazrSPEED配线设备已被重新设计。新型19英寸分布机架能同时处理铜介质和光纤介质，而且独具特色的LazrSPEED颜色编码进一步简化了安装和管理。朗讯甚至可以提供定制的管理软件。1.1.2.2二期校园网布线点数统计根据统计，XX大学校园网二期工程需要布线的信息点总数为4958个，计算方法如下：信息点总数=学生宿舍房间数*2每个房间两个信息点）楼号房间数信息点数1号宿舍楼1162323号宿舍楼2004005号宿舍楼1983966号宿舍楼1983967号宿舍楼1172348号宿舍楼8216411号宿舍楼34268412号宿舍楼30160213号宿舍楼26953814号宿舍楼22545015号宿舍楼15831616号宿舍楼182364留学生楼70140红楼2142合计247949581.1.2.3工作区子系统工作区子系统提供从水平子系统的信息插座到用户工作站设备之间的连接。它包括工作站连线(stationmountingcord)、适配器和扩展线等。本方案考虑到系统的稳定性和可靠性，选用了AVAYARJ45-RJ45成品跳线，用于工作区子系统的联接。1.1.2.4水平子系统水平子系统的作用是将垂直干线子系统从配线间延伸到用户工作区，包括双绞线电缆、信息插座等。本方案考虑到将来的应用扩展，所有的水平线缆和插座一律选用超五类。信息插座由面板、非屏蔽的连接模块、紧绳等组成。从每个信息插孔都有一条超五类8芯非屏蔽双绞线电缆连接到所属的配线架。这种电缆是超五类、8芯、非屏蔽双绞线，支持100MHz（也可以支持lOOOMhz）带宽的传输。1.1.2.5垂直干线子系统本方案中绝大多数楼宇只设有一个配线间，集中式管理，故没有此部分设计。部分结构布局复杂的建筑设一个主配线间和一个子配线间，两配线间用4-6根双绞线互联（子配线间的各网络设备均能直接上联到主配线间），并混布1条八芯多模光缆。1.1.2.6管理子系统管理子系统就是配线间，它把水平子系统和垂直干线子系统连接在一起或把垂直干线子系统和设备子系统连接在一起。通过它可以改变布线各子系统之间的连接关系，从而管理网络的通信线路。配线间管理子系统是整个网络布线系统的灵魂所在，开放式布线系统所体现出的快捷性和灵活性也是由此表现出来的。它不仅能反映出网络的结构体系，同时也标志着布线系统的整体水平。各楼配线间的位置和数量见后续的统计表和信息点平面图。管理子系统包括以下内容：国际标准机柜、配线架、双绞跳线及光纤跳线、光纤适配器等。在设备间放置HUB、SWITCH等网络设备、UPS供电系统、空调等等。1.1.2.7设备子系统设备子系统把管理子系统和网络设备联系起来。由设备间中的电缆、连接器和相关支撑硬件组成。出于工程的需要，目前，布线时光纤接续箱中的光纤通常为ST头，而网络设备的光纤接口多数是SC口，所以本工程选一端ST一端SC的跳线，将根据实际需要提供所需的光纤跳线，具体的规格和数量见产品价格清单。作为大楼计算机网络设备的双绞线互连跳线，我们选用了成品跳线，数量与信息点的数量相当。1.1.2.8建筑群主干子系统建筑群主干子系统将一个园区的各建筑物内的设备子系统联在一起。包括光缆、电缆和电气保护设备。本方案中光缆主干选用的是AVAYA光缆，在满足带宽的前提下，根据距离选择单模或多模光缆，既保证了传输性能，又可大大降低工程成本。本工程的上联节点分别为计算机中心、四教、学生文体活动中心。整个园区光纤连接可参见下图。24芯lucent单模光缆8芯lucent单模光缆mnn、七号宿舍楼8芯lucent50/125多模光缆口大学校园网络主干光缆路由示意图Hiii-实验室ifnT1.1.2.9千兆以太网主干设计（有些具体细节需要根据具体情况进行修改）分布层1000M接入层10/100MXX大学校园网二期网络系统采取三层星型结构设计。分为核心层，分布层和接入层。网络层次结构图如下：接入层10/100M分布层1000M核心层1000M分布层1000M接入层10/100M百兆多模光纤千兆多模光纤千兆单模光纤核心层采用千兆以太网骨干交换机，建设千兆光纤主干。分布层采用千兆光纤交换机或带有千兆上联模块的千兆以太网交换机，建设千兆光纤网。接入层采用10/100M快速以太网交换机，实现10/100M交换到桌面。核心层和分布层通过链路聚合实现链路冗余链接。在设计上，我们充分考虑到校园网接入节点密度高、接入节点分布不均匀、网络应用广泛、节点访问集中等的特点，综合现有网络产品的性能和成熟的技术（链路聚合技术、第三层交换技术、负载均衡技术等），采取以下的具体设计1. 整个校园网分为计算机中心区域、教学科研办公区、学生生活区三个服务区域，每个服务区域建立一个数据传输中心，在三个服务区域的传输中心之间构筑校园网骨干。2. 三个数据传输中心之中以计算机中心为核心，全部配置具备三层交换功能的千兆以太网核心交换机。采用链路聚合技术在三点之间构筑4GBps的主干带宽。3. 在三个服务区内，根据各个不同建筑内的信息点数量和分布情况采用一层或者两层的网络结构。对于信息点数较少的建筑，采用接入层交换机直接连入数据中心主干网交换机的方式接入主干网；对于信息点数多的建筑，采用配置千兆光纤交换机作为中间接入的方式，接入主干网交换机。4. 为提高系统的安全性和稳定性，以避免网络中，关键设备的单点故障造成整个网络失效，对以下网络部分做线路和设备的备份。网络应用服务集中的计算机中心的核心交换机做热备份。三个核心交换机之间的光纤线路做备份。通过三个数据中心的配线间对所有建筑与计算机中心之间做光纤线路备份。5. 在广域网设计方面，保留已有的与CERNET中心100M光纤连接。保留现有核心路由器XXXX，拨号访问路由器XXXX,Internet接入路由器XXXX。校园网网络拓扑图如下：1000M1000MCERNET中心1OOOM千兆骨干交换机千兆光纤主干千兆光纤交换机千兆光纤链路千兆工作组交换机千兆光纤冗余链路百兆链路1.1.3无线局域网设计1.1.3.1室内无线局域网室内无线局域网主要针对不方便进行大规模布线的建筑，包括无线网络教室解决方案和建筑内部无线联网解决方案。1、无线网络教室解决方案方案针对不便于进行全面布线的网络教室，实施前提是在教室内部有单一的局域网接口，同时又需要进行密集的联网服务。具体实施如下:图中采用四个无线接入点（AP）,每个AP理论上可以承担61个用户同时上网，但从实际考虑，我们推荐每个AP带15个左右的用户（建议不超过20个用户），这样在整个教室里布置四个AP,既可以使无线信号完全覆盖整个教室，也能承受较多用户同时上网的要求，而不至于使网络堵塞或者瘫痪。AP的安放位置我们建议放在天花板内，这样可以有效的保护设备，同时也不会干扰无线信号的传输。每个AP通过普通的超五类双绞线与交换机相连（采用8口交换机即可）,再将交换机的另一端与教室内已经布好的网络接口相连，就可以与校园网连通。每个AP都应该有一个固定的IP地址。校园网服务器端如果启用DHCP服务功能，那么用户的IP地址就可以通过自动获取选项获取IP地址，从而避免了繁琐的网络属性设置。用户端可以将无线网卡直接插到笔记本电脑的PCMCIA插槽，或者通过USB适配器转接插到台式机的USB接口上，只需简单的设置就可以连接到校园网上，从而实现上网功能。2、建筑内部无线网络解决方案方案针对由于老化和电力系统不足而无法进行全面综合布线的建筑。具体实施如下:图中采用四个无线接入点（AP）,每个AP带10个左右的用户，根据各楼层的实际无线节点的数量和分布情况，在楼道中布置若干个AP,以使整个楼层的节点都可以被无线信号完全覆盖为准，能够承受较多用户同时上网的要求，而不至于使网络堵塞或者瘫痪。AP的安放位置我们建议放在天花板内，这样可以有效地保护设备，同时也不会干扰无线信号的传输。每个AP通过普通的超五类双绞线与Hub相连，再将Hub与楼内已经布好的信息口相连，就可以与校园网连通。每个AP都应该有一个固定的IP地址。校园网服务器端如果启用DHCP服务功能，那么用户的IP地址就可以通过自动获取选项获取IP地址，从而避免了繁琐的网络属性设置。1.1.3.2网管软件选型1.1.3.2.1网管软件选型原则目前市场上的网管软件较多，它们大多可以达到上面的要求。采用何种网管软件，不但要考察它们的性能、价格，还要考虑到所购买的具体网络设备厂家和现有网管平台的情况。在二期网络建设中，网络中心需要配置网管平台，实现集中管理。以提高网络管理的工作效率，以达到快速故障诊断、降低网络故障时间、提供网络性能的要求。网管软件的选择应遵循以下原则：网管产品性能优异兼容主流的网络产品网管方面的投资少功能强大1.1.3.2.2Ciscoworks2000网管软件（要根据实际情况进行修改）在XX大学校园网一期工程中，采用的是Cisco公司的局域网管理软件（在实际应用中，大多都是采用Hp的产品），综合比较现有的网络管理平台的性能和网络设备的情况，在网络管理软件的选择上，我们选择Ciscworks2000管理解决方案，以实现对校园网中网络设备的配置、监控和集中管理。CiscoWorks2000是一个全面的网络管理解决方案，用于管理CiscoCatalyst交换机。CiscoWorks2000应用程序套件根据设备和网络提供广泛的网络发现和显示、配置以及局域网/广域网的性能管理功能。CiscoWorks2000能使网络管理员将企业中的交换机作为一个系统来管理，将他们从耗时的单个设备配置、监控和故障解决任务中解脱出来。强大的网络发现和拓扑显示工具提供了一个将网络物理结构和逻辑链路配置相结合的快速、直观的视图。通过利用RMON/RMON2特性，实现实时数据采集、分析网络数据流量，可以从交换机、CiscoSwitchProbe系列装置或Catalyst网络分析模块轻而易举地分析网络性能。通过使用直观的图形工具，替代了冗长、费时的命令行设置程序，可以简化网络设备的配置。CiscoWorks2000网络管理组，资源管理器主要元件包括：库存管理器变化审查设备配置管理器软件版本管理器可用性管理器 Syslog分析器 Cisco管理连接CiscoWorks2000网络管理组，CWSI(CiscoWorksforSwitchedInternetworks)园区网包括：网络拓扑发现和显示业务 VLAN供应和逻辑显示再显业务监控和性能评估搜寻设施的终端站点跟踪 ATM和LANE业务配置和性能监控 CsicoView图形设备管理网络拓扑完整性核查 简单网络管理协议(SNMP)代理设备vl(RFCs1155-1157) Cisco工作组管理信息库(MIB) SNMPMIBII(RFC1213) 远程监控(RMON)(RFC1757) 远程监控(RMONII)(RFC2021) 接口表(RFC1573) 网桥MIB(RFC1493) 交换端口分析器(SPAN)增强的交换端口分析器(ESPAN)端口窃听和连接控制A基于文本的命令彳丁界面，以普通Catalyst5000系列接口为基础 标准的CiscoIOS，安全性功能：口令和TACACS+ Telnet,普通文件传送协议(TFTP)，用于管理访问的BOOTPY2K1.1.4网络系统安全平台设计1.1.4.1传输系统安全传输系统安全包括以下几个环节：广域连接信道：建议使用防火墙；在校园网内部的互联：网段必须隔离，在校园网内部关键区域建议使用防火墙；局域网传输：敏感信息使用密文发送。1.1.4.2关键网络设备的安全保障考虑以下因素：用户认证与授权；控制SNMP管理，限定指定的管理站用户才可以进行访问；关闭设备上的无关服务；路由信息的安全交换。1.1.4.3域名安全系统对DNS（域名到IP的转换）提供分布式网络数据库管理及服务。不得使用未经授权的DNS服务器。在DNS中减少不必要的记录。1.1.4.4网络病毒防护在网络病毒防护方面，首先要考虑到解决方案的整体性。企业级的防病毒解决方案针对的是一个特定的网络环境，涉及不同的软硬件设备。与此同时，病毒的来源也远比单机环境复杂得多。因此，所选择的企业杀毒软件不仅要能保护文件服务器，同时也要对邮件服务器、员工用PC、网关等所有网络设备进保护。而且，它必须能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截。具体来说，企业管理者对网络防毒方面应该重点考虑以下几个方面，这也是网络防病毒软件应该具有的功能：查、杀病毒的能力；对新病毒的反应能力；病毒实时监测能力；快速、方便的升级服务智能安装、远程识别能力；系统的兼容性问题；防病毒软件的价格；软件商的企业实力。XX大学校园网病毒防护体系的建设目标是建设多层次的病毒防护体系。多层次病毒防护体系是指在校内关键部门的PC机上安装反病毒软件，在服务器上安装基于服务器的反病毒软件，在Internet网关上安装基于Internet网关的反病毒软件。因为对于局域网来说，防止病毒的攻击并不是保护某一台服务器或台式机，而是从工作站到服务器、直到网关的全面保护，这样才能保证整个校园网的关键应用不受计算机病毒的侵害。1.1.4.5内部网络资源保护在内部网络中，资源主要体现在计算机资源及信息资源。计算机资源可以分为服务器及其它计算机（通常为微机），计算机资源的保护是通过安全保卫制度的可靠实施来完成的。信息资源的保护必须由应用系统来完成。具体措施如下：在资源子网与外部相连处使用防火墙。通过包过滤机制、网络地址转换等方式，在网络层及传输层阻断未经授权的信息。通常情况下，内部用户仅通过广域网访问某几个（甚至是由服务器在后台访问）地址，如果需要较高的安全等级，应对访问地址进行限制。在路由器上，设置端口访问列表，以防止源地址假冒，阻止黑客进入内部网络。根据全网的安全访问控制策略，配置防火墙的过滤规则。内部网络资源的保护和访问控制，首先依赖于合理的网络设计结构。例如，利用合理的网段设计、VLAN划分等手段实现广播域的划分，减少无用（合法用户无用）信息在网络中传播。在不能进行物理隔离的网段之间，建议使用防火墙进行过滤技术，以实现对主机和服务的访问控制。1.1.4.6安全管理体系安全管理体系包括以下几个方面的内容：安全管理：首先要完善管理制度并加强人员培训教育；A人员安全管理：包括安全审查、岗位安全制度、安全培训制度、安全保密契约管理、离岗人员的安全管理等；文档管理制度：各种文档（电子和书面）必须有清晰的密级划分；系统运行环境安全管理制度：包括机房出入管理、环境条件保障、自然灾害防护、防护设施管理、电磁与磁场防护等；设备选购、使用和维护制度：对于硬件设备，包括：设备的选型、购置、检测、安装、使用、保管、维护等环节必须有明确的规章制度。对软件，包括：选型与购置审查、安全检测与验收、安全跟踪与报告、版本管理、介质管理等；应急措施管理：制定紧急案例并制定应急实施计划。1.2网络设备选型1.2.1网络交换设备性能参数转发技术：交换机采用直通技术或存储转发技术；延时：交换机数据交换延时多少；管理功能：交换机提供给用户多少可管理的功能；单/多MAC地址类型：每个端口是单MAC地址，还是多MAC地址；监视支持：交换机是否支持端口镜像；生成树：交换机是否支持SpanningTree算法，以此避免闭合环路，并提供链路冗余；工作模式：交换机是否全双工工作模式；链路聚合：交换机是否支持链路聚合功能，以便扩展链路带宽，并提供链路冗余。1.2.2核心交换机选型根据校园网千兆主干的设计思想，在三个数据交换中心分别配置三台核心交换机，同时对学校信息中心的核心交换机实现热备。根据校园网一期工程所选设备的情况，充分考虑对现有网络的设备的再利用，节约网络建设投资；并考虑校园网二期工程的整体信息节点数、应用平台的数量，同时还要满足学校网络应用发展的需求。对于核心交换机，我们选择BitStream7304交换机做为核心交换机。我们在学校的信息中心配置两台BitStream7304交换机做为核心。产品性能简介如下：广泛的接口类型和密度支持高达32个千兆比特以太网端口，能够同时支持RJ45和GBIC端口，客户还可使用IEEE802.1ad进行链路聚合，提供更高带宽的逻辑链路。BitStream7000系列提供业界领先的千兆以太网骨干网解决方案，以满足当今要求最高的、快速增长的企业Intranet的需求。强大的多层交换能力专用的ASIC芯片 高达64G的背板带宽，48Mpps的包转发率 2-7层的线速转发高可靠性冗余电源和VRRP冗余路由协议，可组建高可靠性网络;采用BGP-4协议保证与多个ISP的连接;高安全性支持ACL访问控制列表完善的系统日志 MAC地址绑定高可管理性： 用户的接入可以通过使用VLAN和RADIUS进行管理和计费;具备基于策略（应用和端口）分配带宽的功能 支持SNMP、TELNET、WEB和CLI的管理支持多种路由协议完全支持RIPvl,RIPv2,OSPF,BGP41.2.3分布层交换机选型我们选择BitStream7208做为分布层交换机,在学校的教学科研办公区配置一台BitStream7208交换机；学生生活区配置一台BitStream7208交换机。其性能如下： BitStream7208是清华比威面向企业网中心LAN以及大型园区网络的分布层推出的高性能的机箱式交换机,和清华比威的其他产品配合使用,可构成一系列完备的园区网络解决方案。 BitStrem7208采用当今最先进的ASIC技术，使其具备非常高的性能，它能够提供高达20G的背板带宽，冗余的电源供应和热插拔I/O模块，以及弹性软件功能。如VRRP（虚拟路由冗余协议）和802.1ad链路聚合，这都为网络的不停顿的可用性提供了保障。 BitStream7208具有8个插槽，最多可以提供8个千兆端口，或64个百兆端口，使组网更加灵活，并能够根据需要进行堆叠，满足企业网络的需求。 BitStream7208具备线速交换和线速路由。BitStream7208支持IP路由协议包括RIPvl/2,OSPF,BGP4、DVMRP（距离矢量组播路由协议）。 BitStream7208通过第四层的交换功能提供对多媒体的支持，第四层交换功能包括每个端口的基于802.1p分类的优先级队列，并通过使用TOS（服务类型）和DiffServ（区分服务），实现数据流的分类和拥塞控制，使网络成为一个可以同时承载数据、语音和视频业务的综合业务网络。 BitStream7208交换机支持基于端口的速率限制，能够更好地控制网络的流量，ACL访问列表控制和基于MAC地址的帧过滤，更好地保证了网络的安全性，并通过对Radius协议的支持，实现对用户的身份认证。 BitStream7208还具备强大的网络管理功能，除了Console和Telnet管理之外，还支持SNMP、CLI以及WEB管理，便于网络管理员进行维护。精良的设计，优异性能，使得BitStream7208具有很高的性价比，是企业网络分布层的最佳选择。1.2.4接入层交换机选型接入层交换机根据各个不同建筑内的信息点数量和分布情况采用一层或者两层的网络结构。对于信息点数较少的建筑，采用接入层交换机直接连入数据中心主干网交换机的方式接入主干网；对于信息点数多的建筑，采用配置千兆光纤交换机作为中间接入的方式，接入主干网交换机。根据对以上情况的分析在接入层交换机选型上，我们选择BitStream3224TM交换机，并在网络端口密集的区域考虑使用BitStream3024TM交换机。1、BitStream3024TM交换机BitStream3024TM是一款列可扩展、可堆叠的10/100和千兆以太网交换机,提供最佳的性能、可管理性和灵活性以及无与伦比的投资保护。该款交换机低成本、高性能的交换解决方案通过一个独立的高速堆叠总线保留珍贵的桌面端口。其关键特性如下： 遵循IEEE802.3lOBaseT、IEEE802.3ulOOBaseTX/FX、IEEE802.3zlOOOBaseSX/LX、IEEE802.3ablOOOBaseT标准 提供24个RJ-45端口，能够自动适应1O/1OOMbps工作速度和半/全双工模式 提供3个模块插槽，可选插100M/1000M光纤、铜缆千兆、管理及堆叠等多种模块 12.8G的背板带宽、8M的动态存储缓存区、12KMAC地址 可堆叠至4层，最多支持96个10/100MRJ45口，使用4G的堆叠带宽存储一转发模式，支持全双工模式下的IEEE802.3X流量控制及半双工模式下的背压流量控制 支持IEEE802.1qVLAN，最多支持256组虚拟网VLAN 支持IEEE802.1p优先级控制 支持IGMP组播协议 支持IEEE802.1d生成树 支持并行连接(PortTrunking)，可提供4端口并接，最大800M全双工通道A支持端口镜像 支持简单网络管理协议(SNMP) 支持4组RMON，包括统计、历史、警示和事件 可使用浏览器、Telnet、Console进行网络管理2、BitStream3224TM交换机BitStream3224TM交换机提供2个模块插槽，能够安装多种模块，具有很强的扩展性。同时BitStream3224TM可以通过Web、Console和Telnet进行管理，网管功能丰富。而且它还在各种评测活动中多次荣获大奖，这款交换机是比威公司向广大用户提供的应用广泛，高性价比的接入层交换机，其具体性能如下： 遵循IEEE802.3lOBaseT、IEEE802.3ulOOBaseTX/FX、IEEE802.3zlOOOBaseSX/LX、IEEE802.3ablOOOBaseT标准 提供24个RJ-45端口，能够自动适应1O/1OOMbps工作速度和半/全双工模式 提供2个模块插槽，可选插单口1000M多模/单模光纤，单口1000M铜缆等多种模块 9.6G的背板带宽、8M的动态存储缓存区、32KMAC地址存储一转发模式，支持全双工模式下的IEEE802.3X流量控制及半双工模式下的背压流量控制 支持IEEE802.1qVLAN，最多支持256组虚拟网VLAN 支持IEEE802.1p优先级控制 支持IGMP组播协议 支持IEEE802.1d生成树 支持并行连接(PortTrunking)，可提供8端口并接，最大1600兆全双工通道A支持端口镜像 支持自行设置静态MAC地址表支持简单网络管理协议(SNMP) 支持4组RMON，包括统计、历史、警示和事件可使用Web、Telnet、Console进行网络管理工程预算1.3工程总预算序号系统名称预算1应用软件系统2系统软件平台3网络系统4综合布线系统5主机系统合计1.4工程分项预算1.4.1应用软件系统序号系统名称工程量（人月）开发费用（万元）1Internet服务校园BBS校园聊天室校园大事记通知公告信息发布小计2校园管理信息系统后勤管理人事管理课程注册管理学籍管理成绩管理教务管理就业管理小计3校园办公自动化系统电子邮件讨论区公文管理个人信息管理小计4教-学资源库系统资料管理多媒体教学小计5鼎点天源VOD系统（200MPEG并发流）小计6总计1.4.2系统软件平台序号系统名称1LotusDominoEnterprise2Oracle9i(50UsersLicense,1CPU)3Oracle9iApplicationServer小计1.4.3网络系统1.4.3.1有线网络系统产品型号描述数量人民币单价人民币合计一、核心层交换机二、分布层交换机三、接入层交换机四、网络管理软件网络安全5年内投资1.4.3.2无线网络系统清华紫光比威产品产品名称型号数量单价小计备注1.4.4综合布线系统1.4.4.1楼宇主干光纤布线序号项目描述单价（人民币）数量单位价格（人民币）18芯多模光缆50/12528芯单模光缆89/125324芯单模光缆89/1254光纤配线架推拉式（国产）5光纤跳线ST-SC,多模，3米6光纤跳线ST-SC,单模，3米7光纤耦合器ST-ST8光纤尾纤多模9光纤尾纤单模10光纤连接费（含测试）熔接11光缆施工辅料12光缆敷设费13光缆土建施工费另算以上光纤材料合计12设计、文档合计1.4.4.2校园宿舍楼网络布线序号项目单价数量单位价格1AVAYA超五类双绞线2AVAYA86型双孔面板3AVAYA超五类信息模块4AVAYA超五类48口配线架5AVAYA超五类24口配线架7RJ45跳线（机柜端，自制）8RJ45跳线（7FT用户端）919标准机柜（2米）国产10AVAYA模块打接工具11AMPRJ45压接工具12PVC线槽13施工辅料14明装底盒材料价格总计：设计（材料费用*1.5%）：施工（材料费用*20%）：测试（材料费用*2%）：维护（材料费用*1%）：布线系统费用总计1.4.5主机系统一、视频服务器报价（SUNE450）序号产品号描述数量单价(RMB)总价(RMB)1A25-UJD1-1GFA1E450/400MHZ/1GB/18GB/10K/2PS2X2244AOPT400MHZCPUW/4MBFORE4503X1O34AOPTQFEPCICARDW/SW4X3668APGX32CARDW/VIDEOADAPTOR5X7143A17ENTRYCOLORMONITOR6X3528AAUSTRALIAN,CHINESECOUNTRYKIT7X6541AOPTINTPCIULTRASCSIDIFFCRDLegatoCLUSTER软件Item产品号描述Qty.161021YLegatoClusterEnterpriseLicenseTier1261151YLegatoClusterModuleforSybaseonSolaris,Tier1Part3,A1000磁盘阵列Item产品号描述数量1SG-XARY170A-145G145GBA1000TABLETOP二、WWW和Mail服务器报价(SUNE450)序号产品号描述数量.单价(RMB)总价(RMB)1A25-UJD1-1GFA1E450/400MHZ/1GB/18GB/10K/2PS2X2244AOPT400MHZCPUW/4MBFORE4503X1034AOPTQFEPCICARDW/SW4X3668APGX32CARDW/VIDEOADAPTOR5X7143A17ENTRYCOLORMONITOR6X3528AAUSTRALIAN,CHINESECOUNTRYKIT7X5242AOptintDisk36.4GB/10kUSCSI三、DNS、FTP、网管服务器报价(SUNE250)序号产品号描述数量单价(RMB)总价(RMB)2A26-UJC2-1GGB1E250/2X400MHZ/1GB/2X36GB/2PS4X3668APGX32CARDW/VIDEOADAPTOR5X7143A17ENTRYCOLORMONITOR7X1033AOPTINTPCI10/100BASETNIC210SOLZS-080B9AYDSol.8StdSimpChineseMedia服务概述无论什么样的用户，都将对设备和解决方案供应商的售后服务能力、售后服务质量及对用户的售后服务承诺进行严格的筛选和论证。在现在的网络界，服务越来越趋于商品化和规范化运作，但是在这种运作还没有成熟前，每个供应商都在寻求一种方式以适合用户对高质量服务的高涨热情和自己的发展道路。供应商的服务体系是否完善，供应商是否提供真正的高质量服务却没有一个标准，现在的唯一衡量标准是能否解决用户现在的问题和防范未来可能发生的问题。售后服务的提供一般分为两种方式：1、供应商有一套自己的售后服务模式和取费供用户选择。这种方式解决了供应商售后服务人力资源的投入问题，往往采用集中派发支持人员的方式，为中小型地域提供服务，对供应商来说是一种比较折衷的办法。但是这种支持方式将失去灵活性和服务范围的弹性，同时很少提供用户订制的服务内容，服务区域将缩小；2、供应商在完整的服务体系基础上，利用分布较广的办事处机构和强大的工程师力量为用户提供服务。这种供应商往往更关注用户的感受，努力做好销售后的工作