大型校园网络设计案例

网络现状

建设学院千兆校园网，完成一个整体规划、分步实施、充分考虑现有设备与实际资金情况的方案，建立网络中心和主干网，然后建立学校的信息管理网络、教学网络、图书管理网络和电子阅览室各应用子系统，并进行教学楼、办公楼、图书馆和结构化布线，将网络扩展到整个校园，实现校园网的全部功能，最后可通过路由器与CERNET和Internet接入。该方案应充分考虑到学校的应用和资金情况，建立一个普通高校千兆校园网，具有一定的科学性和参考价值。要求投资总额在150万元左右。

网络要求

校园网建设应该以应用为核心，在设计中充分考虑到教育管理和多媒体教学的要求，并且网络技术应该具有一定的先进性，同时还要为以后的扩展留有一定的空间。为此，该校校园网应达到以下要求：

1)网络具有传递语音、图形、图像等多种信息功能，具备性能优越的资源共享功能；

2) 校园网中各终端间具有快速交换功能；

3) 中心系统交换机采用虚拟网技术，对网络用户分类控制功能；

4) 对网络资源的访问提供完善的权限控制；

5) 网络具有防止及便于捕杀病毒功能，以保证网络使用安全；

6) 校园网与Internet相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统；

7) 可对接入因特网的各网络用户进行权限控制。

项目分析

建设学院千兆校园网，完成一个整体规划、分步实施、充分考虑现有设备与实际资金情况的方案，建立网络中心和主干网，然后建立学校的信息管理网络、教学网络、图书管理网络和电子阅览室各应用子系统，并进行教学楼、办公楼、图书馆和结构化布线，将网络扩展到整个校园，实现校园网的全部功能，最后可通过路由器与CERNET和Internet接入。充分考虑到学校的应用和资金情况，建立一个普通高校千兆校园网，具有一定的科学性和参考价值。

校园网建设应该以应用为核心，在设计中充分考虑到教育管理和多媒体教学的要求，并且网络技术应该具有一定的先进性，同时还要为以后的扩展留有一定的空间。为此，校园网应达到以下要求：

校园网功能

1）网络具有传递语音、图形、图像等多种信息功能，具备性能优越的资源共享功能；

2）校园网中各终端间具有快速交换功能；

3）中心系统交换机采用虚拟网技术，对网络用户分类控制功能。

权限与安全

1）对网络资源的访问提供完善的权限控制；

2）网络具有防止及便于捕杀病毒功能，以保证网络使用安全；

3）校园网与Internet相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统；

4）可对接入因特网的各网络用户进行权限控制。

环境需求

根据吉林建筑大学实际情况粗略计算出各个大楼节点数以及与校园网信息中心的距离如下表所示：

功能需求

1）连接校内所有教学楼、实验室、办公楼中的PC；

2）支持大量同时用户浏览Internet；

3）对于多媒体形式的数据如语音、图象、动画演示、视频点播等，网络应该及时、高效地完成数据传输，确保电子教学的正常运做。满足学生上机要求；

4）提供丰富的网络服务，实现广泛的软件，硬件资源共享。

性能需求

1）校园网应能促进教师和学生尽快提高应用信息技术的水平；

2）校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库，所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具；

3）校园网是学校现代化管理的基础，深入、全面的学校信息管理系统必须建立在校园网上；

4）校园网提供了学校与外界交流的窗口，学校应将校园网与互联网联接，这也是学校信息化的要求，做到了这一步，通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。

网络规模需求

网络应该支持大规模的数据库应用。随着我国基础教育水平的提高，通过网络运行基于服务器/客户机的数据库查询检索是日常教学中教师和学生经常要进行的活动。如何确保数据库查询迅速及时地得到反馈是网络应该注意的问题。

网络拓扑结构需求

随着校园网对因特网接入需求的增加，应该考虑校园网能够顺利实现与外部网络和Internet的连接。校园网应该具备使用灵活，管理简单的特性。由于校园网不可能投入太多的专业人员从事系统维护，因此在设计时就应该考虑网络使用和维护应该尽量简单。考虑到未来校园的扩建，教学发展的需要，校园网应该具备很好的扩展能力，能够保证在需要时校园网能够实现向未来网络的平滑升级。另外校园网应该能够保证新的应用形顺利开发实现。

网络管理需求

网络系统应该能够支持 SNMP，这样便于计算机管理人员通过网管软件随时监视网络的运行状况，一旦出现故障，可以自动报告出错位置和出错原因，管理人员可以迅速发现故障并即时维护，同时 SNMP V2版本的协议还支持很多更高级的网络安全管理功能。

网络安全需求

配备的防火墙。防火墙的配备，极大的提高了我校校园网与外网之间的安全性，从根本上消除了多年以来存在的网络安全隐患。

校园网系统集成预算

通过咨询老师得知建设校园网所需的器材及数量，并且通过百度、京东等得知各设备价格入下表所示：

所用器材参数表

设计原则

校园网对主机系统的主要要求原则

1）主机系统应具有良好的向后扩展能力，能为用户未来数目的扩展具有调整、扩充的手段和方法；

2）主机系统应具有较高的可靠性，能长时间连续工作，并且有容错措施；

3）支持通用大型数据库，具有广泛的软件支持，软件兼容性好，并支持多种传输协议；

4）能与Internet互联，可提供互联网的应用；

5）支持SNMP网络管理协议，具有良好的可管理性和可维护性；

6）方案应合理分配带宽，使用户不受网上“塞车”的影响；

7）该网络应是面向连接的，能够实现虚拟网(VLAN) 连接。

网络设计原则

1）开放性：采用开放的网络体系以方便网络的升级、扩展和互联；

2）可管理性：利用合理的网络规划策略提供强大的网络管理功能；

3）可扩充性：从主干网络设备的选型及其模块、管理软件和网络整体机构以及技术的开放性来保证系统的可扩充性；

4）安全性：内部网络之间、内部网络与外部公网之间的互联，利用VLAN/ELAN以及防火墙等对访问进行控制，确保网络的安全。

子网设计原则

1）服务器区采用私IP地址，NAT后供人员远程访问；

2）与Internet 互联设备IP地址采用真实IP地址；

3）部分内部互连采用私有IP地址；

4）面向用户的私有IP地址，由统一出口的边缘设备（路由器、防火墙）进行地址翻译。

网络设备的选择原则

根据已制定的网络系统设计原则，我们所选择的网络设备必须具有以下一些特点：

1）网络设备应具备安全性、稳定性和可靠性的特点；

2）应选择具有一定扩展能力的设备；

3）先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。

校园网系统详细设计方案

逻辑结构设计

网络拓扑结构的分层设计

校园网分为3层结构，即核心层、汇聚层和接入层。主干网一般采用星型拓扑结构，主流技术是千兆以太网。校园网核心层一般采用双核心路由交换机，核心层到汇聚层具有冗余链路，以提高网络可靠性。为了便于校园网的管理，一般按部门划分子网和VLAN。网络分层设计示意图如下所示：

网络分层设计

网络拓扑结构各层设计

1）网络核心层设计；

2）网络接入层设计；

3）网络汇聚层设计；

4）网络拓扑各层的设计目标和策略。

网络安全和管理策略的设计

防火墙只允许内网访问外网https。

网络综合布线设计

结构化布线应该满足以下目标： 

1）满足学院各大楼主要需求，同时兼顾未来升级能更好的实施；

2）满足当前和长远的数据传输要求，兼顾质量；

3）布线系统遵循国际标准和国家建设部门和电信部门标准，根据逻辑设计中的拓扑星型结构采用国际标准施工；

4）布线设备的安装将支持语音、文本、视频等综合数据的高质量传输， 重点强调各设备的兼容问题；

5）布线系统信息出口主要才用现在流行的通用RJ45接口插座，按统一规格进行线路铺设和连接接口，使之数据畅通。

物理结构设计

组建所需设备的选择，包括硬件设备（服务器、路由器、交换机、网卡、传输介质、信息插座等等）、软件设备（操作系统软件、应用软件等）。在组建局域网选择网络设备的时候，需要从多方面去考虑。选择的设备要能满足学校的实际功能需求，设备的性能和费用等等这些都是设备选型时应该考虑的。选择的设备既能使网络运行达到高效率，又经济实惠关系到校方的利益。根据对本校园网的实际要求、信息点数量和建筑物布局的分析，得出了本校园组网所需的各类硬、软件设备。

校园网光纤布线设计

骨干光纤布线采用星型结构，中心机房设在实验楼，考虑把图书馆、学生宿舍、食堂、公共馆、逸夫楼、体育馆、土木馆、全部光纤与位于网络信息联合中心相连。校园示意图如下所示：

校园示意图

网络拓扑结构概要设计

校园主干网采用一台千兆多层交换机作为中心交换机，配置多台二层换机为二级交换机；在网络中心配置多台工作站，一台主机工作站，一台连接外部网络的路由器和校内的两台FTP服务器供存储和访问校内资料。二级交换机通过千兆光纤连接到主干交换机上，构成星形的拓扑结构，使得主干网具有较好的可扩展性和可管理性。

网络拓扑示意图

VLAN划分

VLAN划分的意义

VLAN提供的安全机制，可以限制用户对安全设备的访问，例如，限制普通用户对计费服务器，安全交换机等的访问。VLAN控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用增强网络管理。

VLAN号(ID)的分配规划

1）VLAN划分原则：便于管理；

2）VLAN划分理念：将几个楼划分在同一VLAN，便于操作管理 VLAN的划分；

3）VLAN的分配根据每个区域内部所分配的IP地址在区域内部再划分,从而实现易管理和安全性。

IP地址

IP地址的规划

IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键，也是校园网网络设计中的重要一环。IP地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。

划分时注意使用VLAN，充分节约IP地址，使路由交换机上能够采用聚合进行路由的合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段，以便做路由汇聚。

IP地址的分配原则如下：

1）给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性；

2）考虑到以后的网络扩展规模，二层交换机设备的管理IP地址分配1个C类IP地址；

3）可以考虑为学校校园网分配若干个C类私有地址段。

为每个网段都分配一个C类IP地址段，建议使用192.168.2.0~192.168.254.0段IP地址。由于某些网络设备（如宽带路由器或无线路由器）或应用程序（如ICS）拥有自动分配IP地址功能，而且默认的IP地址往往位于192.168.0.0和192.168.255.0之间，因此，在采用该IP地址段时，往往会导致IP地址冲突或其他故障。

为同一网络的计算机分配不同IP地址并不能提高网络传输效率。因为同一网络内的计算机仍然处于同一广播域，仅仅是为计算机指定不同网段，是不能实现划分广播域的目的的。若想减少广播域，最根本的解决办法就是划分VLAN，然后，为每个VLAN分别指定不同的IP网段。

截止到：2020-01-06，教育网IP数是：16,830,976个。教育网分配的IP地址：68.1.1.1

防火墙设置

防火墙技术

防火墙是指设置在不同网络或网络安全域之间的一个或一组系统,它用来加强在不同网络或网络安全域之间的网络访问控制，能根据网络访问原则控制出入网络的信息流且本身具有较强的抗攻击能力。

校园网络是通过路由器相连接的，这个路由器称为边界路由器，为了保护校园网不被来自外界的攻击,防火墙必须安装在边界路由器上，达到控制保护全网的目的。

防火墙设计 

1）防火墙设计策略基于特定的Firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略： 

① 允许任何服务除非被明确禁止；

② 禁止任何服务除非被明确允许。

第一种的特点是安全但不好用， 第二种是好用但不安全，通常采用第二种类型的设计策略。 而多数防火墙都在两种之间采取折衷。

2）防火墙的安全策略：

① 所有从内到外和从外到内的数据包都必须经过防火墙；

② 只有被安全策略允许的数据包才能通过防火墙；

③ 防火墙本身要有预防入侵的功能；

④ 默认禁止所有服务，除非是必须的服务才被允许。

3）防火墙的设计：

① 保障校园内部网主机的安全，禁止外部网用户连接到内部网；

② 只向外部用户提供HTTP、SMTP和POP等有限的服务；

③ 向内部记账用户提供所有Internet服务，但--律通过代理服务器；

④ 要求具备防IP地址欺骗和IP地址盗用功能；

⑤ 要求具备记账和审计功能，能有效记录校园网的一切活动。