校园网设计方案研究(精选12篇)
校园网设计方案研究 篇1
摘要:为了利用计算机网络建设现代校园和现代教育, 校园网的概念就应运而生了, 校园网是一个典型的计算机局域网。为满足当前学校校园网的实际功能需求, 依据校园网的组建原理和技术特点, 来介绍校园网的总体设计方案, 其主要内容包括校园网的功能作用, 建设基础分析, 校园网建设规划及总体设计方案, 应用系统的设计等环节。
关键词:网络,局域网,校园网
1 什么是校园网
1.1 校园网的需求特点
目前, 在校园网中所传输的数据可分为普通文字数据、多媒体数据和局域网数据3种。从信息资源特点来看, 校园网功能需求具有如下特点: (1) 为实现网上多媒体信息的实时播放, 要求主干网具有100MB/S以上的网络传输带宽; (2) 为了让电化教学室实现多媒体教学, 信息需要100MB/S交换到桌面; (3) 从局域网的安全性和数据传输效率考虑, 要求系统能以多种方式实现虚网设置, 即有很强的虚网技术; (4) 能从100MB/S网络向ATM网或千兆网升级。
1.2 校园规划的建设原则
遵循实用性原则、开放性原则和先进性原则, 按照学校的教学和科研需求以及技术与经济实力, 在明确建网目标的基础上进行全面合理规划, 制订边投资、边建设、边出效益的建设方针和实施策略。
2 校园网的总体规划与设计方案
2.1 校园网的总体规划
总体规划是校园网建设的总体思路和工程蓝图, 是搞好校园网建设的核心任务。校园网总体规划:①要进行对象研究和需求调查, 弄清学校的性质、任务和改革发展的特点, 对学校的信息化环境进行准确的描述, 明确系统建设的需求和条件;②在应用需求分析的基础上, 确定学校Intranet服务类型, 进而确定系统建设的具体目标, 包括网络设施、站点设置、开发应用和管理等方面的目标;③确定网络拓朴结构和功能, 根据应用需求、建设目标和学校主要建筑分布特点, 进行系统分析和设计;④确定技术设计的原则要求, 如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;⑤规划安排校园网建设的实施步骤。
2.2 校园网设计方案
2.2.1 网络技术选型
随着计算机科技的不断进步, 现代计算机网络传输技术已取得突飞猛进的发展。在局域网和城域网中有多种可选的主流网络技术, 以下我们将针对不同技术类型, 简单阐明其特点, 为我们的技术选型提供科学的依据。
(1) 传统以太网络技术。
早期局域网技术的关键是如何解决连接在同一总线上的多个网络节点有秩序的共享一个信道的问题, 而以太网络正是利用载波监听多路访问/碰撞检测 (CSMA/CD) 技术成功地提高了局域网络共享信道的传输利用率, 从而得以发展和流行的。其中具有交换功能的快速以太网, 支持VLAN, 并容易升级到千兆以太网和ATM, 由于性能优越, 价格适中, 建议采用快速以太网作为校园网的主干技术。
(2) FDDI-光纤分布式数据接口。
FDDI的英文全称为“Fiber Distributed Data Interface”, 中文名为“光纤分布式数据接口”, FDDI是光纤数据在200公里内局域网内传输的标准。FDDI协议基于令牌环协议。它不但可以支持长距离传输, 而且还支持多用户。FDDI用于环型网, 以光缆作为传输介质, 数据传输速率可达到100Mbit/s。FDDI的技术规格有FDDI-I和FDDI-II。通常FDDI指的就是前者。采用五类双绞线作为传输介质的FDDI, 称为CDDI。FDDI使用双环令牌传递网络拓扑结构, 可以在100公里以上的距离支持500台计算机。FDDI通常用作骨干网, 用得最多的是用作校园环境的主干网。这种环境的特点是站点分布在多个建筑物中, 连接具有许多局域网段和大图形传输、语音和视频会议以及其他带宽要求大的应用产生的繁重流量的大型网络。
(3) ATM网络。
“ATM (异步传输模式) ”这一名词最早就为与电话中继通讯中常用的技术“STM (同步传输模式) ”相对应而产生的, 它既汲取了话务通讯中电路交换的“有连接”服务和服务质量保证, 又保持了以太、FDDI等传统网络中带宽可变、适于突发性传输的灵活性, 从而成为迄今为止适用范围最广、技术最先进、传输效果最理想的网络互连手段。
2.2.2 网络拓扑结构
(1) 星型拓扑结构。
星型结构是最古老的一种连接方式, 大家每天都使用的电话属于这种结构。星型结构是指各工作站以星型方式连接成网。网络有中央节点, 其他节点 (工作站、服务器) 都与中央节点直接相连, 这种结构以中央节点为中心, 因此又称为集中式网络。
这种结构便于集中控制, 因为端用户之间的通信必须经过中心站。由于这一特点, 也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其它端用户间的通信。同时它的网络延迟时间较小, 传输误差较低。但这种结构非常不利的一点是, 中心系统必须具有极高的可靠性, 因为中心系统一旦损坏, 整个系统便趋于瘫痪。对此中心系统通常采用双机热备份, 以提高系统的可靠性。
(2) 环型网络拓扑结构。
环型结构在LAN中使用较多。这种结构中的传输媒体从一个端用户到另一个端用户, 直到将所有的端用户连成环型。数据在环路中沿着一个方向在各个节点间传输, 信息从一个节点传到另一个节点。这种结构显而易见消除了端用户通信时对中心系统的依赖性。
环行结构的特点是:每个端用户都与两个相临的端用户相连, 因而存在着点到点链路, 但总是以单向方式操作, 于是便有上游端用户和下游端用户之称;信息流在网中是沿着固定方向流动的, 两个节点仅有一条道路, 故简化了路径选择的控制;环路上各节点都是自举控制, 故控制软件简单;由于信息源在环路中是串行地穿过各个节点, 当环中节点过多时, 势必影响信息传输速率, 使网络的响应时间延长;环路是封闭的, 不便于扩充;可靠性低, 一个节点故障, 将会造成全网瘫痪;维护难, 对分支节点故障定位较难。
(3) 总线型拓扑结构。
总线型结构是指各工作站和服务器均挂在一条总线上, 各工作站地位平等, 无中心节点控制, 公用总线上的信息多以基带形式串行传递, 其传递方向总是从发送信息的节点开始向两端扩散, 如同广播电台发射的信息一样, 因此又称广播式计算机网络。各节点在接受信息时都进行地址检查, 看是否与自己的工作站地址相符, 相符则接收网上的信息。
总线型结构的网络特点如下:结构简单, 可扩充性好。当需要增加节点时, 只需要在总线上增加一个分支接口便可与分支节点相连, 当总线负载不允许时还可以扩充总线;使用的电缆少, 且安装容易;使用的设备相对简单, 可靠性高;维护难, 分支节点故障查找难。
2.2.3 校园网设备选型
(1) 交换机设备的选择。
在选择交换机设备时, 用户一定要考虑管理的问题。尤其是针对规模较大的校园网络结构中, 管理型的交换机被普遍使用。如果建立的只是小型网络, 应购买普通无管理能力的交换机, 以节省投资。二级交换机起着“承上启下”的作用, 一端连接到中心交换机, 另一端连接到各网络节点, PC、终端用户设备连接到这些网络节点, 组成子系统。网络节点根据子系统的应用需求, 在数据量大、实时传输、多媒体设计等场合, 选择交换机作为网络节点。
(2) 服务器及PC的选择。
服务器和PC是实现网络操作, 网络应用的窗口和平台。针对学校校园网用户而言, 对此设备的选择应该充分考虑可管理性、稳定性、安全性、综合性能价格比等因素。
(3) 传输介质的选择。
在中心交换机到各子网的传输介质选择方面, 应以应用需求为主, 适当考虑成本。由于校园网分布范围较广, 在中心交换机到二级交换机之间, 线缆以多模光纤为主;如果距离超过多模光纤的极限, 需要采用单模光纤作为传输介质。
2.2.4 Internet接入设计
一般来说, 国内各高校有一个网络出口接入中国教育科研网 (CERNET) , CERNET的现行收费政策是按流量计费, 同时为了鼓励国内交流, 只对国际站点进行流量计费, 而国内流量是免费的。但有些学校基于带宽的考虑, 又另外申请一条接入电信公网的专线。这样, 校园网中就存在着两个网络出口, 访问不同资源的流量通过不同的出口, 这样不仅减少了整体投资成本, 而且保障了校园网运行的稳定性和可靠性。
2.2.5 综合布线系统
综合布线系统是为了顺应发展需求而特别设计的一套布线系统。对于现代化的大楼来说, 就如体内的神经, 它采用了一系列高质量的标准材料, 以模块化的组合方式, 把语音、数据、图像和部分控制信号系统用统一的传输媒介进行综合, 经过统一的规划设计, 综合在一套标准的布线系统中, 将现代建筑的三大子系统有机地连接起来, 为现代建筑的系统集成提供了物理介质。可以说结构化布线系统的成功与否直接关系到现代化的大楼的成败, 选择一套高品质的综合布线系统是至关重要的。
布线系统由不同系列的具体部件组成, 其中包括:传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电器保护设备和支持硬件。
3 校园网络应用系统设计
校园网络应用系统设计, 也就是将校内外信息资源通过网络平台进行系统集成应用, 即信息系统集成, 是指利用网络体系控制信息的有序流动, 实现信息资源的共享, 更有效地形成、整理、使用各类信息, 分成内部信息建设、外部信息建设。内部信息是指封闭在校园内部的各类信息资源, 对内部信息的建设包括校园办公系统、校园内部主页、内部电子邮件、多媒体教室、电子图书馆系统、校园IC卡管理系统、内部信息服务系统等;外部信息是指与校园外部相互交流的信息, 对于外部信息的建设包括外部主页、电子邮件、远程教学等等。
4 结论
一个校园网络系统的建设需要从多方面进行考虑, 不但涉及许多技术问题, 而且包括网络设施、信息资源、专业应用、等众多成份的综合化以及信息化教学环境系统的集成应用。本文正是从这些方面着手, 结合目前中小学和大专院校的实际情况, 通过图例深入浅出的描述了如何建设一个性能可靠技术先进、功能丰富的校园网系统。
参考文献
[1]廖常武, 汪刚.校园网组建[M].北京:清华大学出版社, 2005, (11) .
[2].刘永华.局域网组建、管理与维护[M].北京:清华大学出版社, 2006.
[3]尉红艳.校园网应用技术[M].北京:清华大学出版社, 2005.
校园网设计方案研究 篇2
一、学校需求分析
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
调研情况
学校有几栋建筑需纳入局域网,其中原有计算机教室将并入整个校园网络。根据校方要求,总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。
需求功能
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
二.设计特点
根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下:
技术先进
· 采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资;
· 网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善的服务保证;
· 采用支持网络管理的交换设备,足不出户即可管理配置整个网络。
网络互联:
· 提供国际互联网ISDN 专线接入(或DDN),实现与各公共网的连接;
· 可扩容的远程拨号接入/拨出,共享资源、发布信息等。应用系统及教学资源丰富;
· 有综合网络办公系统及各个应用管理系统,实现办公自动化,管理信息化;
· 有以WEB数据库为中心的综合信息平台,可进行消息发布,招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。
三.校园网布局结构
校园比较大,建筑楼群多、布局比较分散。因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重,又要兼顾未来的发展需求。主干网以中控室为中心,设几个主干交换节点,包括中控室、实验楼、图书馆、教学楼、宿舍楼。中心交换机和主干交换机采用千兆光纤交换机。中控室至图书馆、校园网的主干即中控室与教学楼、实验楼、图书馆、宿舍楼之间全部采用8芯室外光缆;楼内选用进口6芯室内光缆和5类线。
根据学校的实际应用,配服务器7台,用途如下:
① 主服务器2台:装有Solaris操作系统,负责整个校园网的管理,教育资源管理等。其中一台服务器装有DNS服务,负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统,负责整个校园网中各个用户的邮件管理。
②ntrol Protocol(TCP)传输控制协议 Network File System(NFS)网络文件系统 File Transfer Protocol(FTP)文件传输协议 Messge Handing System(MHS)电子函件协议
其中,IP是整个网络互联的平台,TCP是端到端可靠传输的保证。FTP协议是TCP/IP协议中主要的文件传输协议,它采用面向连接的方式,向上网用户提供文件级的传输、访问、拷贝等服务。NFS是SUN公司开发的文件访问协议,用于解决网络环境下远地文件的透明访问。MHS为上网用户交互信件提供服务,并可以进行一对多的邮件传递。网络整体框架结构:
楼宇交换机
桌面交换机
楼宇交换机
网 管 交换机
桌面交换机
DNS
(四)网络主干设计:
从近期和远期带宽需求和拓扑结构考虑,在核心骨干交换机之间、骨干交换机和端口密度较大、信息量较大的工作组交换机之间采用千兆位;端口密度小、信息量较小的工作组交换机则以快速以太网或快速以太网通道连接到骨干交换机上;工作组交换机提供10M/100Mbps到桌面计算机。
(五)虚网方案设计: 基于端口的虚网划分;
利用VIAN国际标准802.1Q,实现跨交换机的VLAN,通过IEEE802.1d协议所支持的生成树技术(Spanning Tree),实现各中继之间的负载均衡;
采用VLANPruning技术来优化交换网络中广播对网络性能的影响;
(六)网络管理方案设计:
根据学校和服务器应用模式及全网范围资源集中管理的原则,建立网管中心(中心机房),统一网络中的交换设备的管理配置,虚网设计和配置,各种服务建立等。
网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护;进行故障隔离、分析、统计、报警、设置;网管软件采用图形化界面,支持广泛的网管平台。
(七)网络安全方案设计: 对内安全: a)利用VLAN的安全特性,按照学校各部分的基本工作性质结合楼宇的分布划分子网网段:192.168.10段,办公楼;192.168.20段,教师周转房(1,2);192.168.30段,为临江园2幢教师住宿楼,192.168.40段为硅步楼,192.168.50段为2号教师住宿楼,192.168.60段为1号教师住宿楼。192.168.70段为3幢教学楼。一方面对子网内信息点设置访问控制,另一方面对不同子网的访问进行控制。
b)服务器访问控制:通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、教务管理平台的访问和管理
对外安全:
安装软件、硬件防火墙,网络防病毒软件,客户端防病毒软件;利用代理服务器提供Internet与Intranet之间的防火墙功能;通过网管实时记录网络的运行状态。
(八)网络可靠性设计:
网络主干采用基于树型的多星型结构,使之具有链路冗余特性,能使树型中有一线路出现故障时,只有本线路出故障,其它网络部分仍然能正常运行。
(九)接入Internet:
采用DDN接入。DDN是英文Digital Data Network的缩写,这是随着数据通信业务发展而迅速发展起来的一种新型网络。
五、网络拓扑结构
1、网络建设结构:星型结构是目前局域网建设的典型结构,也是校园网的主流结构。结合学校楼宇较多分布范围较广的特点方案拟定星型拓扑结构。以根结点(核心交换机)为核心,下连楼宇交换机、桌面交换机。如图
楼宇交换机
桌面交换机
楼宇交换机
网 管 交换机
桌面交换机
DNS 优点:简单、易于维护和管理,建设费用相对较低。
2、网络设备连接:
(1)核心交换机连接:www服务器、各网段交换机(另安光转换器)。(2)各网段交换机连接:本幢楼的信息结点和本网段其他楼宇的桌面交换机。
(3)桌面交换机连接:各自楼宇内部的信息结点。
六、网络软硬件设备规划
(一)设备选择考虑的因素:设备性能、性能价格比、设备的可扩展性、生产厂商的技术支持,还有要从本校的实际情况出发。
(二)设备选择:
1、交换设备
(1)核心交换机:选择带路由功能的可通过千兆上连至主干的可网管交换机。
(2)网段交换机(楼宇交换机):可选择神州数码类型带1000M光接口的;(3)桌面交换机:普通交换机。可选择TCL,清华同方D-LINK等类型。
2、服务器
服务器的应用:www服务,FTP服务,数据库服务,办公自动化管理服务等。
WWW用一台服务器; FTP和主DNS合用一台服务器; 数据库和辅DNS合用一台服务器;
3、硬件防火墙:使用“远教”配置的“易尚”ES800A。
4、光收发设备:楼宇间的光缆,需要在交换机上配置光收发器。光收发设备有光模块和光收发器两种选择。光模块一般只能配置在相应厂商生产的模块化交换机上,一般认为其性能要好一些,但缺点是价格昂贵,且维护周期长。光收发器则可以配置在任何专门生产光设备生产厂商生产的交换机上,价格便宜,维护周期短。所以本方案除各子网千兆模块本身是光模块外,其余设备的光缆连接均采用光收发器。
5、网络传输介质:传输介质决定了网络的传输速度、网络段的最大长度、传输可靠性、网络接口卡的复杂程度,直接影响网络的建设成本,也影响今后网络的发展。
根据网络拓扑,选择双绞线和光缆作为学校网络的传输介质。(1)双绞线:采用符合国际标准的IBDN超5类非屏蔽双绞线。
(2)光缆:光缆一旦铺设以后,需要长时间的质量保证,因此选择高质量、高可靠的产品。
(3)跳线:成品跳线与自制跳线按1:5的比例配置。
6、电源及保护:网管中心是整个网络的核心,长延时电源及相关电源保护是必不可少的。要求:突然停电后,维持网管中心设备几个小时的供电;在电池用完之前能 自动关闭被保护的服务器,供电后能自动启动服务器;防止公用电源线上的浪涌、脉冲、闪电损害重要设备;电能要求在10000VA上。推荐使用APC公司的智能UPS电源。
(三)软件选择
1、系统软件
操作系统:win2003 server:用户界面友好,支持多任务窗口;是高性能的应用平台;内置WEB/SERVER服务功能;易于配置、使用湖维护;性能价格比好;软件容易升级。
2、应用软件:采用“校校通”校园网平台软件,“远志”多媒体教学网络系统;
3、防病毒软件:采用世界反病毒行业领先厂商Norton公司的诺顿防病毒企业版。结合其他专杀工具和正版个人版杀毒软件。必要时配置其他网络杀毒软件。
七、布线系统
1、需求说明:学校网络拓扑结构设计为星型结构的快速以太,信息点数量约358个。
2、布线方案——IBDN开放布线设计:不但满足当前网络通讯对布线的需要,更要向未来高速网络技术的发展对布线系统的严格要求,具有很强的适应性、扩展性、可靠性、长远效益;符合最新国际布线标准。
(1)校园布局图与楼宇间光纤布线:其中100M光纤到教学楼、跬步楼、教师楼、周转房;100M光纤到其余信息点分布的楼宇。
(2)水平、垂直子系统全部采用超5类双绞线,可支持高达155Mbps的数据传输速率,具有很强的互补性、扩展性、灵活性、高可靠性;采用标准的RJ45 8信息位标准接口;可以把不同厂家的网络设备和终端设备连接到网络中。
3、标准与设计目标:(1)设计依据和遵循标准:
EIA/TIA 568商业建筑布线标准 ISO/EIC II801国际综合布线标准
中国工程建设标准化协会标准CECS 72:97/CECS89:97 中国民用建筑电气设计规范 IBDN开饭法式布线系统设计总则(2)设计目标:
具有高速和高带宽传输能力;
具备运行的高可靠性,重要网络部分,采用冗余备份来保证万无一失;
采用标准的RJ45 8信息位标准接口;
除线缆外,其余所有接插件都采用模块化,以便管理和使用; 能适应未来发展的需要,系统的扩充容易升级。
4、综合布线子系统设计: 1)工作区子系统:由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简
易、防尘等特点;信息插座的模块采用IBDN五类或AMP五类RJ-45模块;线缆采用IBDN超五类双绞线或者采用AMP产品;水晶头采用AMP RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式,中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线,其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准,以使系统具有更好的兼容性。信息插座安装位置图示:
2)水平子系统:水平子系统主要是实现信息插座和管理子系统,即中间配线架(IDF)间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中,水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线在整个校园网建设中均采用同一品牌的正品线。
3)管理子系统:管理子系统由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。
4)垂直干线子系统:连接主设备间至各配线间的线缆构成,提供高速数据通讯主干通道。主要由高性能室内光纤、双绞线缆、大对数通讯电缆组成。
5)设备间子系统:是每一幢大楼在适当位置设置进出线设备、网络互连设备的场所。为了便于布线、管理、节约投资,墙柜设置在每一幢大楼顶楼气棚处,以及220V的交流电接入。本校园网设计的管理子系统、垂直子系统和设备间子系统结合实际设计在各个楼宇顶楼气棚的墙柜内。6)建筑群子系统:是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上,采用光缆布线是目前主要的楼宇间布线方式。其中主干光缆采用4芯单模(各网段交换机与桌面交换机间),其余楼宇间的主干光缆采用4芯多模。如图描述子系统间关系:
5、布线系统的管理:
信息点编号方法:3个字符编号。第一个是楼层号,从下到上,从数字1开始;第二、三个为信息点统一顺序编号,从左到右,从数字01开始。如408表示第4层楼第8个计算机信息结点。
6、布线系统的施工:
(1)
水平管线(2)垂直管线(3)光纤
八、结束语:
无线校园网建设方案的研究 篇3
1.规划
首先是网络架构。目前无线局域网有胖AP(FAT AP)和瘦AP(FIT AP)两种方案,瘦AP架构由无线控制器实现对无线AP的管理和控制,由无线AP实现对无线信号的加密解密。这种方式具有组网灵活、业务开展能力强等特点,更适合大规模部署。胖AP在小规模部署的时候具有成本低、部署简单的优势。由于无线校园网AP总数一般都比较多,所以在无线校园网中,一般采用瘦AP架构。
通过以上分析结合网络现状与需求可以看出,FAT AP是适合甘肃交通职业技术学院的一种低成本、高性能的技术方案。
其次是无线(WLAN)覆盖方案规划。WLAN覆盖规划需要考虑建筑结构、用户密度等因素,一般有软件模拟、现场实测、现场人工勘察几种方式。具体步骤如下:
第一步,根据用户提供的平面图或者CAD图,使用专业的WLAN网络规划软件,模拟目标区域覆盖的效果。
第二步,典型区域现场测试。对于比较典型同时又可能出问题的区域,需要带设备进行实测,根据测试结果,调整覆盖方案。
第三步,对于条件受限不能进行实测的区域,由专业的WLAN规划团队现场勘测,结合现场测试和规划软件结果,制定最终的WLAN覆盖规划方案。
2.部署
WLAN的部署需要根据目标区域的不同制定最佳的WLAN覆盖方案,根据覆盖区域和用户要求不同,可以采用室内直接覆盖、室内分布式覆盖、室外覆盖、室外覆盖室内等多种覆盖方案。
(1)室内直接覆盖
适用于用户密度高、信号衰减小的区域,如图书馆、合班教室、阶梯教室、礼堂等。这种情况下,AP可以采用壁挂式或者吸顶式安装。此时优先考虑的因素是用户数量而不是信号质量。通常,每个AP支持用户数量的合理值在15个~20个,根据用户总数和使用无线局域网的比例来合理规划每个区域部署AP的位置和数量。
(2)室内分布式覆盖
适用于用户密度不高、信号衰减大的区域,如办公楼、实训车间等。每个AP通过室内分布式系统带多个天线来达到扩大覆盖区域、提高信号质量的目的。此时AP一般部署于楼道天花板上或者弱电间中,天线则部署于楼道内。在使用室内分布式覆盖的情况下,AP的数量主要在施工难度和信号质量之间取得平衡。
(3)室外覆盖
适合于操场、篮球场、迎新大道等室外开阔区域。在这些区域中,需要覆盖的区域范围广,并且通常会有比较多的树木等影响无线信号。同时设备部署到室外,必须考虑防水、防尘、防雷、防高温、防低温等因素,因此对无线设备要求非常高,一般必须使用专业室外型产品。在距离超过以太网作用范围的情况下,要求AP必须支持光纤接口。室外覆盖方案首要考虑的是信号质量,一般情况下,普通100mw的室外型产品能够覆盖100米~200米,大功率室外型AP可以覆盖超过300米。
(4)室外覆盖室内
适合学生宿舍、家属楼等区域的补点方案。AP部署在目标区域的两侧,在两侧安装室外型AP加定向天线的方式完成对目标区域的覆盖。在这种情况下,每个AP能够覆盖的区域很广,信号通过窗户进入房间,因此窗口附近的信号质量高,远离窗口的区域信号质量稍差。对于家属楼,如果要求不高,可以只覆盖书房所在的一面,而对于学生宿舍楼,必须采用双面覆盖。室外覆盖室内的方案只能解决信号覆盖问题,如果使用无线网络的用户比例增加,上网速度则会下降。这种情况下,建议更换为室内覆盖方案。
3.安全
无线局域网由于其物理介质的开放性,会面临更多的安全性问题。WLAN安全解决方案,涵盖从链路层到应用层,能够发现和防护常见的无线攻击,确保无线信号传输过程中的安全。
在链路层,需要考虑结合802.1x认证,防范针对802.11报文的Flood、Null Data、Weak IV等常见攻击,使二者都能满足无线校园网对数据传输安全性的要求。此外,瘦AP架构能够很好地发现和防范非法AP,确保用户不会因连接到非法AP上而导致泄密。
4.业务和扩展性
简单的Internet接入已经不能满足学校教学和科研的多种需求,需要WLAN提供更多的业务,发挥WLAN移动性的优势,提供更多的服务。
首先,无线校园网需要全面支持802.11e协议,提供端到端的QoS保障,为WLAN承载语音、视频等多媒体业务打下良好的基础。同时,AP之间要求实现快速漫游,确保漫游过程中对业务的影响降到最低。其次还需要考虑无线校园网对组播有良好的支持,以便开展多媒体教学。
目前除支持Internet接入之外,无线校园网可以开展的业务还包括:(1)多媒体教学和网络电视:学生可以随时随地通过网络开展学习,提高学习效率;(2)基于位置的页面推送:用户在不同位置接入无线网络时能够提供不同的提示信息,用于学校内部信息的及时传播;(3)VoWiFi:校内无线IP电话,方便广大教职员工内部通信;(4)即拍即传:校园网编辑人员随时把最新活动照片上传至学校网页,师生随时把最新照片上传到个人博客;(5)另外由于很多学校需要在最新网络技术的基础上开展科研工作,因此要求无线网络能够支持最新的技术,包括无线Mesh、IPV6、802.11n等多种业务。
5.管理
设备管理:目前很多已建成的无线校园网都是有线设备一套管理系统、无线设备一套管理系统。很多时候,无线网络出现问题后必须由有线网管系统配合才能最终找到问题的原因,给系统维护带来极大的工作量。因此,无线校园网的管理系统必须能够实现对无线校园网建设所需的所有设备,包括AC、FIT AP、FAT AP,PoE交换机、汇聚交换机、核心交换机在内的有线和无线设备的统一管理,使无线校园网能够作为一个完整的系统,实现单独的管理和运营。
用户管理:对于无线校园网来说,无线管理系统必须能够实现对用户IP、MAC地址、用户名、所在AP、安全策略等动态的管理,能够在系统中实时查询到每个用户的相关信息并记录成日志,以备审计,实现对用户的良好管理。
6.运营和优化
WLAN的运营,既有WLAN自身的特点,又需要和现有的有线网络尽可能保持一致,因此需要全面统一考虑。
认证方面,对于无线校园网来说,由于用户的终端类型多种多样,802.1x认证的终端兼容性问题很难解决,所以在无线校园网中不推荐使用802.1x认证,而推荐使用Web Portal方式认证。在和运营商联合建设的情况下,可以使用PPPoE认证。
计费方面,大多数学校的有线网络都是采用校园网包月、外网按流量计费的模式。此模式包括两个认证过程:第一个过程是用户接入无线网络时检查用户是否存在以及是否缴纳包月费用;第二个过程是用户访问外网时启动流量计费认证。由于用户需要输入两次同样的用户名密码,很不方便,因此无线校园网在计费策略和有线网络保持一致的情况下,可以通过实现一次认证,简化用户认证流程。
网络优化是一个持续的过程。无线局域网容易受到外界干扰,对于短期的干扰,无线控制器自动信道调整和自动功率控制能够把干扰的影响降到最低;而对于长期的干扰,必须根据用户长期使用效果进行人工调节或者调整。
无线校园网是一个系统工程,只有充分考虑到校园网建设的规划、部署、安全、业务和扩展性、管理、运营和优化等各个环节,才能建成既满足实际需求又能节约成本并且是可运营、可管理的运营级无线校园网。
校园网设计方案的研究与应用 篇4
近年来, 校园网络的建设在学校掀起一股热潮, 许多学校都建起了自己的校园网, 形成了一个覆盖全国的计算机网并通过专线与Internet连通。校园网建设的目标应该是:建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心, 以现代网络技术为依托, 技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络, 将学校的各种PC机、工作站、终端设备和局域网连接起来, 并与有关广域网相连, 在网上宣传自己和获取Internet网上的教育资源。系统总体设计将本着总体规划、分步实施的原则, 充分体现系统的技术先进性、高度的安全可靠性, 同时具有良好的开放性、可扩展性。
1.1 校园网的现状
校园网在高等院校得到了不同角度的应用, 我们的教育主管部门和学校不仅享受到教育信息化带来的好处, 同时也得到了很多建设的经验与教训。校园网建设的现状主要可以归纳为以下几点。
(1) 缺乏好的应用软件和教学资源, 校园网的基础优势无法体现; (2) 各办公信息管理系统各自为政, 无法发挥整合优势; (3) 学校之间, 学校与外界互相孤立, 成为“封闭型”的网络校园; (4) 学校缺乏专业性的师资力量。
1.2 校园网的建设中面临的问题
建立校园网不是那么轻而易举的, 其中会面临着很多问题。为了适应校园网应用系统和信息资源建设的需要, 校园网络需要建设成为一个宽带的多媒体网络。目前校园网的建设中面临以下几个问题。
(1) 观念滞后, 制约发展; (2) 缺乏规划, 亟待规范; (3) 重硬轻软, 资源匮乏; (4) 培训不足, 阻碍应用; (5) 网络教学, 温而不火。
1.3 校园网建设应遵循的原则
可行性:从实际出发, 建设自我开发、自行应用的网络信息平台和信息资源。
先进性:网络系统技术既要先进又能方便教师和学生在网络平台上操作和应用。
兼容性:应具有大众化、多样化的特点且兼容性强, 主要配件与软件要符合国际通用标准。
可扩充性:当今信息技术发展日新月异, 在设计上必须留足发展扩充的“接口”, 使校园网配置的资源得到有效利用。
实用性:学校校园网重在应用, 这是网络建设的出发点又是归宿点。
自主性:学校要提出自己的校园网设计思想, 提出标准和要求, 与专家、厂家共同研究建设方案。
开放性:在当今以开放为本色的信息时代, 数字化校园。
2. 校园网的设计方案
2.1 建设任务
光纤主干网覆盖整个教科院、并将光纤连接到有条件的部分大学生宿舍, 从而将校园网建成一个具有一定规模容量、技术先进、功能齐全、优良实用、安全可靠, 并具有可扩充性的现代化网络系统, 通过CERNET与国际网络互联, 根据CERNET总体规划和目标, 结合我校具体情况和特点, 全面规划建设我院校园网。在具体实施过程中, 对原规划和设计进行了部分调整, 采用了当前先进的千兆以太网网络技术, 并将主节点在原计划的基础上增加了5个, 出口速率也从原计划512K~2Mbps的基础上提高到1000Mbps。
2.2 校园网建设指标
校园网的建设已成为高校实力与发展水平的标志。我系办学的规模、层次正在迅速地扩大和提高, 建设一个先进、实用的校园网, 实现校内外信息的快速传递, 使教学、科研、管理步入信息化、网络化, 从而提高办学水平和办学效益已成为必然选择。因此我系校园网建设指标有以下几点。
(1) 光纤主干网最终使本院光纤主节点扩展到35个, 从而使校园网主干网覆盖全院所有部门单位。 (2) 全院主干网上的数据速率均在100Mbps以上, 向广大网络用户提供100Mps的高速网络服务, 主干网的数据速率均为10Mbps到100Mbps。 (3) 充分利用校园网培养跨世纪人才, 将校园网光纤主干网辅设到有条件的大学生宿舍, 提供部分大学生直接入网服务, 使每个在校学生均拥有自己的E-mail地址, 并建立建好大学生上网实习的良好环境。 (4) 针对现代化图书馆向网络化、电子化和虚拟化方向发展的趋势, 结合我院具体实际, 建立文献信息管理和服务系统, 其包括图书馆的书籍、期刊和有关资料的检索查询, 从而建立虚拟图书馆, 向广大用户提供共享的资源环境。
3. 校园网的软硬件配置
3.1 校园网络服务功能
在通常的校园网中, 服务功能包括域名服务DNS、电子邮件服务E-mail、远程登录服务、电话拨号服务、WWW、FTP、News、WAIS等。
3.2 计算机的选型
网络服务器一般选择基于UNIX的中档工作站, 如SUN、HP、IBM等工作站或服务器。操作系统可选Solaris、HP-UNIX、AIX。这些服务器内存至少64MB, 硬盘容量超过2GB以上, 根据需要划分为若干卷, 匿名FTP服务器、WWW服务器及BBS服务器应具有较大的硬盘容量。一般应使用486以上机型。
参考文献
[1]王移芝, 罗四维.大学计算机基础教程[M].北京:高等教育出版社, 2004.3
[2]冯博琴.大学计算机基础[M].北京:高等教育出版社, 2004.4
4-校园网设计方案 篇5
根据我校的实际情况分析,扩建后网络设计应满足以下几点需求:
1. 由一个主干网和多个子网组成校园局域网(Intranet)。2. 主干网接入晋中教育城域网后代理接入全球互联信息网外接(Internet),各子网再接入主干通信网。
3. 主干网接入采用光纤接入宽带网,速率可在1000M以上 4. 主干为千兆线路,其它线路为超五类双绞线。每个楼中都有局域网,终端PC机都能接入主干网,通过楼内的交换机接入。网络中心和各分区都用千兆线路连接。
5、各应用平台的建设均可接入骨干网,构成子网应用平台。
一、方案设计的指导思想
就目前对部分需求和网络应用的需求考察结果,并尊重“长远考虑、就地起步”的规划,提出了在技术上遵循开放、标准、成熟、安全、可靠和可扩展的思想,追求技术上的先进性与成熟性、实用性相结合,追求整个系统性能的最佳化、理优化、节省费用等原则原则。1. 基于路由器和交换机的局部网间的互联是最好的解决方案。因此,网络协议方面,以网际协议(IP)作为校园网网络系统的公用网络协议实行标准化。因为IP是Internet的母语,并作为网络通信的通用语言而在世界范围内广泛使用。由于使用IP作为标准传输协议,在以后对网络进行扩充以与其它的网络互连时,可以跨越多个平台自然而然地提供互操作能力和无缝连接功能。所以,IP优化网络允许用户访问电子邮件、校园内部网和利益复杂的Internet应用。
2. 网络服务器要更换为世界知名品牌,可提供最优良的系统设备和优质的售后服务。
3. 在主干网建设时,我们选择极具竞争力的价格提供所有技术,还拥有明确的技术方向,有助于未来应用的发展。为我们提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。
4. 在局部网建设方面,选择可伸缩的结构和高性能的设备,能够高速传输数据,同时通过技术保证,安全地接入Internet和一体化的网络解决方案。
5. 在选择最合适的产品提供解决方案的过程中,计算机终端设备的选型既考虑性能、价格比、设备的运行维护费用,不贪图眼前的利益,也考虑设备的可扩充性,今天的投入是今后发展积累的基础,确保系统主要设备的投入在整个系统的生命周期内能得到充分利用并具有强健灵活的体系结构。同时,也考虑局部子网对硬件和信息流量的要求,必须能够提供专用的高速带宽,以处理日常数据信息和峰值操作,并能够支持各种新技术和新增用户。
6. 安全性是另一个关键要求,以晋中教育城域网代理接入Internet能够保证安全地接入Internet。
二、系统总体设计目标
综合以上的各种信息,结合当前的国外各类计算机系统应用情况,本网要实现的目标是:
满足日常工作的处理电子化、日常办公自动化、领导决策科学化,和信息交流快捷方便化。即实现业务系统处理、日常办公、领导决策计算机化、信息交流国际化的先进系统。即:以先进的计算机及通讯为手段建立内部网络,纵向向上与Internet互联网相连,向下与各管理子网点相连接,横向与其它单位相连接的计算机综合网络系统。在统一思想、统一信息交换标准、统一技术规范的原则下,系统达到以下目标:
◆ 为各办公室提供宽带网络支持 ◆ 提供公用信息交换平台
◆提供Web发布信息等Internet的信息服务;◆ 提供日常工作的处理网络化、电子化的日常办公自动化环境 ◆ 电子档案的信息查询,提供先进和更多的服务手段, 提高效率
和质量;
◆为调控、科学决策提供有力的支持;◆为内部网提供有力的技术保障,增加内部系统的安全性 ◆ 增强校园的教学信息的领先优势。
三、系统总体设计原则
网络系统总体设计目标是最大限度的满足应用系统的需求,与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作,即通过网络设备将信息点与中心网络系统可靠地连接起来,为当前的各种应用环境系统和应用软件系统提供运行环境支持。
由于网络系统对工作的运作与发展具有非常重要的作用,因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求,网络系统对先进性的要求是在计算机技术突飞猛进的今天,提供达几年甚至更长时间的可用性。网络系统设计必须满足其应用的要求,网络总体设计、建设的原则如下:
1、开放性:
当前计算机技术的发展日新月异,各种硬件和软件产品层出不穷。但总体上看,整个计算机仍然在开放式系统的概念下不断趋于统一,新模式主要有如下特点:
开放式系统越来越为广大用户所接受,传统的封闭式厂商也开始
走向开放式道路,开放式体系结构已经发展成为计算机技术的主流。网络互联技术成熟,推动了分布式运算环境的建立,如TCP/IP的迅速发展,已成为异种机型互联的标准。
关系型数据库发展已非常成熟,已成为数据库管理的主流工具。在开放系统环境OSE(Open System Environment)中有两个最基本的特点:
一是开放系统所采用的规范是厂家中立的,或者说是与厂家无关的; 二是开放系统允许不同厂家的计算机系统和软件系统可以互换,并可组成一个集成的操作环境。OSE包括了多种功能,它能在不同厂家的网络上实现计算机应用的互操作性、可移植性和集成性。对于用户来说,选择开放系统的意义深远,它包括: 应用系统独立于平台外部环境,不受厂家的约束。可以在不同厂家的产品中随意地选用最佳产品。
能较快地获得新技术。因为对厂家来说,在一个标准平台上开发产品成本较底。减少了购置新计算机及网络设备的投资,因为系统和应用软件可以从原有计算机上移植。
2、标准化
在方案设计中,所有计算机网络软硬件产品必须坚持标准化原则,遵从国际标准化组织所制订的各种国际标准及各种工业标准。
3、简洁性
对于网络系统,在设计过程中要考虑系统的能够适应不断的新的发展需要,并使系统能适应多种硬件平台和多种网络结构,而且网络拓扑结构简洁,硬件和软件按需要能进行灵活的配置。
4、可扩展性
目前设计的网络系统不仅仅用于当前,同时在今后的一段时间内,将是校园电子化的主要系统。因此,设计时一定得考虑将来的发展,除了当前设计得有一定的超前外,还需要考虑系统的可扩充性,易于系统以后的发展。
网络系统必须有足够的扩展性,使得将来增加信息点时,只需很少变动。如当网络设备增加、通信网络升级时,所有设备要保证仍能继续使用,而不能以弃掉已有设备为升级的代价。采用的产品具有充分的可扩充性及升级能力,具有足够的先进网络技术过渡的能力。
5、安全性
安全性是指可靠性、保密性和数据一致性。校园网对安全性的要求较高,计算机系统的安全性主要包括以下几个方面: 硬件平台安全性:当计算机的元器件突然发生故障,或计算机系统工作环境设备突然发生故障时,计算机系统能继续工作或迅速恢复。
网络通迅系统安全性:网络的安全性主要包括采取以下安全措施:认证措施,包括网点认证和人员认证;数据保密措施如传输加密;存取控制措施如防止非法操作。
操作系统安全性:操作系统选用正版的可升级维护的WINDOWS系统。
数据库安全性:数据库要有以下安全机制:磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制,确保数据库的安全。应用软件系统的安全性:
认同用户和鉴别,确认用户的真实身份,防止非法用户进入系统。存取控制,当用户已注册登录后,核对用户权限,根据用户对该项资源被授予的权限对其进行存取控制。
审计,系统能记录用户所进行的操作及其相关数据,能记录操作结果,能判断违反安全的事件是否发生,如果发生则能记录备查。保障数据完整性,对数据库操作保证数据的一致性和数据的完整性。
6、技术先进性
网络系统不能够一经实现即落后,应当至少处于现今先进水平,只有这样才能在计算机技术迅速发展的今天不落伍,不会在竞争激烈的今天,因计算机技术的不足而影响工作的进行开展。应至少保持系统具备几年的领先性。
采用先进而成熟的网络技术和产品,适应大量数据和多媒体信息传输、处理、交换的需要,使网络系统具有较强的生命力。
7、实用性
网络的建设要强调网络系统与网络应用并重,以应用推动建设,信息资源的开发、利用和效果。
产品应选择主流产品,并且具有成熟、稳定、实用的特点。能充
分满足日常使用、科学决策、对外交流、以及信息自动化管理等各方面的需要。
8、网络可靠性
网络可靠性需要从以下方面来保证:设备的硬件制造品质与运行软件的成熟性。网络设备必须选用已经证实,并在实际应用中得到普遍应用的产品,只有这样,才可能提供不间断运行的能力。网络产品应具备在线热更换的能力,当某一板卡出现故障时,应能带电更换,而不需进行停机操作。
9、易维护管理性
网络管理应走向科学化,采用先进的网络管理系统,实现“在网络中心即能实时控制、监测整个系统的运行状况,能够自动发现故障点”的目标,并具有良好的人-机操作界面。
10、保护投资
在网络方案设计时充分考虑现有的硬件和软件资源,尽量把各期投资和未来发展的兼容性容于系统方案中。保护投资从如下几个方面考虑:
直接的硬件设备、软件系统的投资
应用系统开发的人力、物力、财力和时间上的投资 人员培训投资
原有运行系统和业务数据的有效兼容。
网络详细设计方案
一、主干网络技术选择
在网络工程中,主要考虑的是该网络在完成日常办公和现代化管理及对外交流中充分的功能,应用现有的、先进的网络技术,利用最新的交换式网络设备,充分拓展带宽,以满足日益增长的需求。同时,该网络是建立在综合布线基础上的,采用了世界上最流行的 PDS 综合布线系统,为网络的架设提供良好的平台。网络拓扑结构
计算机网络技术种类很多,采用星型结构的以太网是目前最为安全成熟的技术,并且,从应用角度讲,星形结构是综合布线系统的推荐网络拓扑结构,可以与综合布线系统紧密结合,得整个网络系统的通信瓶颈从以往的网络电缆转移至中央网络设备上。在中央设备之间,而采用交换以太网络设备配合星形结构来实现对局域网络的需求,使得中央结点与卫星结点的网络吞吐能力大大加强,对多媒体的支持也更加完美,既而提高整个系统的吞吐能力。
所以在网络方案中,整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。
这种拓扑结构与以往的总线结构相比具有以下特点:
1. 网络的可靠性增强,如果在网络中的一个站点或一条线路的发生故障时,不会影响到其它接点的正常工作;
2. 网络的可扩展性强,如要扩充网络结点,则只要有一条线即可将扩充结点联接到网络上,且不影响其它结点的工作。3. 网络便于日常的管理和维护。
4. 网络便于维护,可远程管理和配置网络。
5. 网络带宽容易扩展,配备光纤接口和千兆位接口扩展口。6. 与公网连接链路的网络安全考虑。
为此,在分析了网络工程需求和实地考察的基础上,结合综合布线系统,我们将利用先进的快速以太网交换机产品,组建一个多级星型结构的交换以太网,来构成整个网络系统。具体结构可参看后面的网络拓扑结构图。快速交换以太网络技术
主干1000M骨干采用100M的交换式以太网做为一种融合技术具有许多优点,可以兼容现在及以后网络技术,大幅度提高网络的通信性能。因此我们选用交换式以太网技术,做为改造网络的主干技术主体,在源端口与目标端之间提供直接的连接,它提供给每个端口用户独享的按需带宽。
交换式以太网具有以下优点:
1. 可以提供从原有以太网的平滑过渡功能。即可以利用目前市场上的现有网卡、电缆、软件,现有的所有网络操作系统及主机
系统均可得到支持。
2. 低时延特性。数据包在通过交换机时,数据得以快速的转发,从而可以避免可能的数据包延时过大或应用程序执行缓慢。
3. 交换机可以提供给每一端口独占的带宽避免了碰撞及数据包丢失的发生。
4. 可以融合原有的以太网、快速以太网、令牌网、FDDI 以及ATM 于一体。任何一种协议如100Base-T、100VG-AnyLAN、FDDI/CDDI、TOKENING、ATM 等都可以实现交换技术。
5. 智能过滤及虚拟网络(VLAN)支持、可以防止网络无用信息的传播及支持将实际地理位置不同的用户组织在一个虚网内。
“网络就是计算机”意味着计算机网络流量模式的重大改变。从集中式处理到客户机/服务器,从单一文字应用到多媒体应用,这些都促使网络建设的不断发展,现代化的信息通信对网络的基础建设提出了越来越高的要求。
随着发展,信息流量也可能会越来越大,而源于高通信带宽、低时间延迟、高升级能力及完整网络管理这四个因素而产生的交换式网络技术是适应局域网络发展的优选技术,因此,选择交换式网络作为网络的主干网络。其它注意要点
当然,除上所述外,我们还要考虑,以下几点细节要点: 网络的协议采用TCP/IP:为使网络系统的互联、管理、应用
软件开发等工作简单化,维持一致性,本方案中,网络通信协议采用最为广泛的TCP/IP。TCP/IP协议已成为异型机、异型网络互连的公认标准,并在国内外得以广泛的应用,国际上几乎所有的软硬件厂商均支持TCP/IP协议。采用此种协议,也便于使网络系统在将来与Internet实现连接。
网络设备必须能够支持各类标准网络协议。网络设备必须遵守各类标准网络协议,如IEEE802.3u、IEEE802.3、10BaseT、10BaseFL、802.1d、SNMP V1等,这样才可能较好地实现与其他厂家的网络设备连通。
网络设备可考虑采用全面支持虚拟网络的设备。网络设备如能够全面支持虚拟网络,虚拟网络的划分简单可靠。虚拟网络的划分必须真正支持跨交换机虚拟网络划分。虚拟网络的划分必须真正支持到所有交换机端口。
为支持虚拟网络,交换机需支持第三层交换。这样可以不用路由器,就可以实现各虚拟网络之间的互相访问,且应选择性能优越的产品。虚拟网络的通信由其完成,为避免由于虚拟网络的划分所产生的网络瓶颈。故与交换机的连接应尽量高速,且应选择性能优越的产品,以避免网络瓶颈的产生。
主干采用光纤,全双工运作方式;服务器连接采用100Mbps或1000Mbps。对于位于网络中心的服务器,可采用1000M连接。整个网络可由许多子网组成,对于性能要求较高的子网,也可以选择1000M以高速率连接子网服务器。
对于带宽要求较高的工作站给予10/100M。性能较高的工作站,我们将采用独享100M速率连接;
中心交换机应具有良好的可扩充性。随需求的增长,楼内工作站必将增长,因此,我们将采用的中心交换机应具有良好的可扩充性。例如模块化中心交换机;端口多MAC地址支持,以支持设备级连等。
选用先进的网管软件来解决网络管理。选用基于SNMP的网络管理平台的网络管理软件,各个厂家提供的MIB则可使网络管理进一步图形化,网络管理将变得非常简单。
二、网络设备的选型
网络设备的选型是网络运行性能和售后服务的关键,根据我的实践经验,对于设备选型基于以下几点考虑:
1.网络中心的中心设备,承担着整个网络性能好坏的关键,我建议选用比较高档的中心设备,既能保证满足服务的需要,不会出现广播风暴或通信瓶颈问题;又能保证几年之内设备不会过时; 2.选择品牌时考虑比较多的是:生产厂商的可靠性和稳定性、技术领先性和成熟性、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来支持用户的应用、是否为主流产品(这将决定用户接收产品熟悉产品的成本和产品的通用性)、在国内是否有比较完备的备件库和维护维修能力、其安全性是否适合用户的要求。
在本方案中,网络结构采用星型,主干速率采用1000M,所以我们选用国际上著名的3com或arlotto网络产品作为网络的中心交换、路由和分支交换设备:
主交换机设备选用锐捷的高端千兆三层中心交换机;
网络中心下连的其它子系统,配置的边缘100M交换机边缘交换机与主中心交换机的连接速率为1000M。
我们将把全校的所有网络设备和计算机设备(其中包括服务器、工作站、外设等)有机地连接在一起,使其发挥相应的作用,形成一个综合性的、统一的一体化现代园区高速网络系统。
这样就组建了目前技术先进的千兆以太网1000BASE-TX,速度1000M,各科室为快速以太网,速度为100M/200M。
各楼层之间网络连接的主干线采用千兆线路,主要考虑网络的速度、将来网络的扩容以及与有关网络连接,其它分支采用100M双绞线。采用AMP结构化布线系统(PDS)进行网络布线
中心交换机使用千兆机;连接边缘高速百兆交换机;整个网络以一级千兆为中心,组成一个星型网络;这样就组建了目前先进、流行的千兆以太网和以太网(Ethernet)、快速以太网(Fast Ethernet)网络的组合,主干是1000M网络。其它分支为快速以太网 100BASE-TX,速度 100M/200Mbps。
中心服务器:由于集中式的管理可能对中心网络造成的压力较大,有可能使服务器的访问速率下降,所以我们将主服务器直接与中
心交换机的高速模块相连,使用1000BASE-T的1000M速率(将交换机的全双工方式打开,速率为2000M);与中央交换机的直接相连,从而解决了的访问瓶颈问题,使各网络工作站可以快速访问服务器。
三、结构化布线系统工程情况
计算机网络综合布线要完成的系统功能包括: 1)在网络系统范围内实现信息资源共享 按照总体目标,系统将分级建设和逐步完善,最终实现网络系统的信息
共享和数据、文本、语音、图象等各类信息的传输。
2)实现网络系统内网点信息传输,保证其高清晰度的图象传输。4)满足各教室、办公室联网的需求 5)具有较强的安全性和稳定性 6)具有良好的可扩充性
系统研制开发采用模块化设计思想,在实际工作中,可以根据不同需要以及工作性质、工作方法的变化进行调整和补充。
综上所述,计算机综合布线系统应该是易使用、易维护、高速稳定可靠性强的实用管理系统。
局域网的综合布线系统由工作区子系统、水平子系统、管理子系统和设备间子系统构成,充分考虑了高度的可靠性、高速率传输特性、可扩充性和系统易升级性,其信息点的分布依建筑物内的布线设计。
四、建筑物内结构化布线设计
下面分别对整个布线系统的四个子系统进行逐一描述: 工作区子系统: 工作区子系统由终端设备连接到信息插座的连线组成,在工程中涉及到的工作区器件如下
信息插座:信息插座的选型采用AMP单孔面板。这种面板可以将语音和数据统一分配在同一个工作区域内,进行统一的管理。
水平子系统
水平子系统是从配线间或跳线面板到独立的工作站或工作组之间的连线。水平子系统在办公区通过线槽将线缆从分配线间引至房间附近,在穿管引至信息出口。工程中涉及到的水平子系统器件如下: 超五类双绞线:
所选的这种双绞线的传输要求已被EIA/TIA-568A标准所定义,这种双绞线适合那些传输频率可能达到100MHZ的应用,并且超过了EIA/TIA-568A规定的5类扩展频率值。
管理子系统: 管理子系统提供与其他子系统连接的手段,使整个综合布线系统及其连接的设备、器件等构成一个有机的整体。管理子系统通常设置在配线设备的房间内,通常由配线硬件、输入/输出(I/O)设备等构成。
设备间子系统
设备间子系统指设备间内与设备有关的系统。EIA/TIA569标准规定了设备间的设备布线,它是布线系统最主要的管理区域。设备间是在每一幢大楼的适当地点设置进出线设备、网络互联设备的场所。
五、网络中心综合布线
我们采用星形结构。网络设备交换机在管理设备间,从而实现多
点管理。
网络管理中心:
本系统中的所有配线间要求尽量保持室内无尘土、通风良好、室内照明不低于150Lx流明。应符合有关消防规范、配置有关消防系统。每个电源插座的容量不低于300W。弱电竖井原则上应位于配线室内。配线间不应小于6平方米。
配线间是管理子系统的安装场所。其位置最好选择在有弱电竖井通过的房间内。配线间用于安装配线架和计算机网络设备,配线间应做到如下几点要求:
·具有一定的亮度。
·防尘且具有良好的通风性。楼内水平布线子系统:
水平线缆将主干线线缆延伸到用户工作区。楼内水平布线子系统数据点传输线缆全部采用超五类的AMP双绞线。避免多种线缆的类型,以免造成综合布线系统灵活性的降低和管理上的困难。计算机信息点采用采用五类线,符合EIA/TIA568A标准的第五类线,可满足将来使用各种计算机网络的需要。水平线缆的长度根据图纸的估算(信息点数X平均线缆长度)并考虑了端接余量及富余量。
六、布线特点
(1)模块化
扩充的工作非常简单,因为在星形的结构中,工作站是由中心节点向外辐射,同时由于每一连线至节点的线路均与其他的线路相独
立,故在执行更改或重新配置时,仅会影响到实际进行修改的线路。另外,此种结构可以便故障分析的工作变成非常的简便,当有故障出现时,可以迅速的找出其位置并予排除。
星形结构具有多元化的功能,可以让您在网络中搭配其他种类的结构一起运用。例如:局域网络(LAN)通常使用总线结构(Bus Topology),在各设备之间的信号传输是经由单一的途径到各设备或是使用环状结构(Ring Topo1ogy)。您只要在适当的节点上进行一些配线上的更动,即可将电路信号带入至任一结构上,而不需要移动缆线及设备。
(2)灵活性
本布线系统有自己的特色,是一种灵活性的配线系统。
该系统可与其他厂商不同的产品一起结合使用。它不会使您局限于仅能使用唯一厂商的产品,还可以搭配其他厂商的产品而组成完整的网络系统。
该系统的灵活性组合提供服务与管理方面的最大方便性。由于其便于使用铜线,所以,可以便客产自行进行这布线系统上线路的更动及管理,并可减少办公室搬动时在线路的布放及管理上所耗费的金钱与时间。
(3)开放性
校园网设计方案研究 篇6
摘要:传统校园网都可以归结为三层星型或者网状模式,在校园网用户数量剧增和应用服务日益增多的情况下越来越暴露出缺点和不足,本文立足于解决这些缺点和不足,提出新型锥形校园网架构设计模式,该架构模式具有良好的网络带宽利用率和网络管理性能,极大程度上弥补了传统网络架构模式的缺点和不足。
关键词:校园网;架构;锥形;服务
中图分类号:TP393
文献标识码:A
1概述
校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园区内部的Intranet系统,对外通过路由设备接入广域网。建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络,将学校的各种PC机工作站、终端设备和局域网连接起来,并与有关广域网相连;在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则。充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。
校园网络系统基本可分为校园网络中心、教学子网、办公子网、图书馆子网、宿舍子网及后勤子网等。校园网络中心设计主要包括主干网络的设计、校园网与Internet的互联、远程访问服务等。外部信息资源建设应包括以下几个功能:Internet功能、远程访问功能、电子邮件功能、以多媒体方式介绍学校的功能、讨论和交流功能、信息发布功能。各项功能均可通过相应的网络信息平台实现。
2传统网络架构
校园网的拓扑结构基本上是混合型的。它是由星型、总线型等典型拓扑结构组成,在现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单。扩展性高,成本低和可管理性好等优点;而校园网的分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机再连接到本楼出口的交换机或路由器。各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓扑结构。当然这其中还有对网络整体结构的设计,如vlan的划分,各不同区域的细划分都需要根据学校情况来定。
校园网络中心以及各分校区均通过光纤接入中国教育科研网,也有的学校通过DDN专线或ADSL接入Internet。对于传统划定的区域如图书馆、宿舍等,都可以通过1000M交换口连入校园网,而各个终端可以采用1000M共享式端口。
目前的校园网大多数是纯三层的交换网络。由于交换机都具有三层功能,汇聚层一般已经可以与接八层归纳为一个层次。各楼层和各楼之间的交换设备都直接上连到核心设备上。
传统校园网架构模式具有明显的缺点,就是在网络用户急剧增长的时候,无法保障网络的正常安全运行,网络用户会感觉上网速度极其缓慢。就算网络用户数量不急剧增加,在用户开多个BT和迅雷等下载服务的时候,网络也会被极大地堵塞,导致广大用户无法正常有效地使用校园网。而为了解决网络带宽的问题,一味升级网络设备,采购性能更高更强的交换机、路由器等网络设备无疑只是头痛医头,脚痛医脚,无法从根本上解决校园网的网络使用性能问题,对校园网健康度的提升也是极其有限的,而且会极大增加学校的财务负担。因此着力于网络技术层面。对校园网架构进行重新设计和部署,是提升校园网综合性能的有效之道。
3新型架构设计
我们这里采用的新型网络架构是锥形架构。设计目的:
(1)快速访问校内资源;
(2)快速访问校外资源;
(3)结构简单清晰;
(4)易于管理。
网络拓扑图形如下:
该网络架构以6台核心三层交换机作为主干网的节点,一台思科路由器作为校园网到教育网和电信网的出口,它同时开通了到IPV4和IPV6的出口,6台核心交换机分别要么放置在相隔距离较远的不同校区。要么部署在学生宿舍密集用户众多的地方,核心交换机之间均通过光纤直接相连。服务器群直接连核心节点交换机,办公区网络和学生宿舍区网络也是直接连核心节点交换机,相互之间可以快速到达。6台核心节点交换机和出口思科路由器在空间架构上形成了一个立体三角锥体,因此我们将此架构命名为锥形架构,在图中也标注了交换机和路由器的型号。
在校内部署锥形架构后,学校内部骨干网升级为10G网络。完全满足校内教学、科研使用;学校任何重要区域到服务器群和出口路由器均为万兆链路,由于圆锥体的空间结构具有无比的优势,学校任何重要区域到服务器群和出口路由器均只有一跳路由,结构简单清晰,极大地提高了网络交换的效率和速率,比起传统网状架构有无比的优势。
此网络架构的独特之处在于在校园网内引入城域网的概念:
(1)多核心、圆锥形骨干网设计;
(2)骨干网启用动态路由协议;
(3)网络层次调整为三层架构;
(4)汇聚、骨干、出口支持IPv6;
(5)出口带宽增加;
(6)网络管理平台更加人性化。
4结束语
随着网络应用在高校中日益成熟,高校的网络已经从技术驱动转变为业务驱动,高校对于应用的实现越来越关注。校园网需要对学校内上万个端点进行管理,这其中存在的监控、管理、认证等各种问题十分复杂,而且学校的建网目标是连接校内的所有应用节点并实现与CERNET网的互联,建立信息资源服务体系,在满足学校信息化需求的同时,向教育单位和社会提供信息资源服务。因而在校园网络建设的主干技术和设备的选择方面适当地超前,以保持现代化教育技术的优势。
校园网设计方案研究 篇7
视频监控系统具备事前吓阻、现场监控、事后佐证等主要功能, 又由于平安城市、平安校园的需要, 正在高速发展中, 目前应用已经渗入到社会生活的各个领域。从发展的历程来看, 视频监控系统经历了三个阶段, 第一代视频监视系统指的是以VCR为代表的传统CCTV监控系统。但维护工作繁琐、无法进行远程访问、无法与其他安防系统 (如门禁、周界防护等) 有效集成、录像质量将会随着时间的推移下降, 存储和转存带不变等, 目前已经很少见。第二代以DVR为代表的视频监视系统出现在上世纪90年代中期视频监视市场上。虽然DVR可以将模拟的视频信号进行数字化, 并存储在电脑硬盘而不是盒式录像带上, 但DVR与模拟摄像机的连接仍是同轴线缆而非网络接口, 无法和成熟的以太网很好融合, 目前已建监控系统多为第二代, 或是在第一代的基础上的平滑升级到第二代。第三代系统指定就是目前正在蓬勃发展的智能网络视频监控, 有时也称为IP视频监控系统。针对在网络环境下使用而设计的, 可以通过网络中的任何一台电脑来观看、录制和管理实时的视频信息。第三代视频监控系统是完全数字化的系统, 它基于标准的TCP/IP协议, 能够通过以太网传输, 布控区域大大超过了前两代系统;它采用开放式架构, 可与门禁、报警、巡更、语音、MIS等系统无缝集成;它基于嵌入式技术, 性能稳定, 无需专人管理;它灵活性大大提高, 并且向前可以做到完全兼容, 可维护性大大增强, 管理成本大大降低, 目前新建视频监控系统多为第三代。
2. 校园视频监控系统的特点和我校监控系统选择
校园内楼宇众多, 人员密集, 需要大量的前端设备监控校内的楼宇、道路和公共场所, 校园安防系统监控点通常达到数百个, 特别是有不同校区的校园。校园内包含许多重要部门和财产高度集中的场所:财务处、一卡通服务中心、网络中心、图书馆、实训基地等, 这些场所都需要365天全天候不间断的安全保障。
由于工程费用总额较大, 因此在校园安防监控系统设计之初就需要考虑系统的“生命周期”的费用, 应降低长期运行成本。由于校园视频监控系统使用前端设备的数量大、线缆距离远, 故障点随之增加, 单靠人工管理大范围分布的大量视频前端设备, 维护难度较大, 且存在点数随时增加的可能性, 在选择设备时应尽量采用技术先进、应用广泛的知名品牌, 重视系统的兼容性和扩展性。
目前第三代智能网络视频监控技术比较成熟, 其存在的优点也为我校技术人员所认同, 经费也能得到有效保障。综合以上各种因素, 我校选择第三代智能网络视频监控技术。并为此成立了以技术、后勤、学工、保卫等人员为主的项目组, 专门负责设备招标、施工和监督。
3. 我校网络视频监控的设计与实施
3.1 学校特点
学校占地200余亩, 建筑面积10万平方米, 在校学生6000余人, 南北狭长, 有东门和南门两个入口, 南北一个主要通道。校园整体布局是在旧校舍的基础上, 功能重新分区, 其中, 校园东南部为教学区, 中部和中北部为实训基地和图书馆, 西北部为生活服务区, 东北部为体育活动区, 其中东部临山, 南面临路, 西部临路且有小区存在, 北面也是临路和小区。学校以高职为主, 兼招中职学生, 部分学生的自律能力较差。
3.2 需求分析
对于“平安校园”的创建, 一定要加强人防和技防。校园暴力和一些意外伤害事件的频繁发生让家长和学校防不胜防, 也为青少年的健康成长带来了不和谐音符。如何建立一套有效的安全防范系统, 杜绝校园内的安全隐患, 成为了家长和学校急待解决的问题。而且家长和学校之间的及时沟通和互动, 也是家校双方在处理突发事件, 以及对学生日常情况及时掌握的一项必备手段。
3.3 设计与实施
3.3.1 针对我校的情况, 采用的智能网络视频监控设计方案要注意以下设计原则
(1) 、南北狭长, 功能分区, 采取分片建网与集中管理相结合。
在我校安防监控系统中, 在财经商贸实训基地二楼设置主控中心, 按学校功能分区, 将学校划分五大区域, 每区域相当于建设一个局域网, 通过交换机集中后再通过光纤传输到主制中心, 从主控中心设置三个工作站, 分别放在校长办公室、保卫处办公室、学生工作处。在五大局域网中有网络摄像机和交换机, 而NAS存储服务器, 万兆核心交换机、解码器、电视墙等均在主控中心。前端设备出现故障时, 不会影响任何设备的正常运转, 各局域网及主控中心会正常运行, 同时CMS并对有问题的监控做出反应。分控中心可以独立工作, 也不影响整体监控系统的运行。
(2) 、重点区域以对射为主, 尤其宿舍走廊和围墙的重点。
对于学校来说, 有些区域属于打架滋事的易发场所, 有些属于盗窃的易发场所, 有些区域属于爬墙外出的易发地段。学校要保护学生的人身、财产安全, 在重点区域采取两个摄像机对射, 减少或消除盲点, 能够有效地进行事前吓阻、现场监控、事后佐证。
(3) 、线缆以地埋为主, 极少部分架空。
我校属于在老校区的基础上不断改造、扩建而形成的优美校园, 但没有做到整体划一、功能分区设置合理, 各种管道和沟渠不能完全形成连线, 这为智能网络视频的控的施工带来较大困难。即使如此, 也要求以地埋为主, 工程前商议多次确定了架空线路。
(4) 、面临山林的围墙较高, 周界防护的有效阻吓可能会摔伤学生。
周界防护目前多采用电子栅栏, 分为高压和低压。即使低压, 也为700V左右, 有较强烈的过电感, 但采用的是脉冲电压, 持续时间一般为0.1秒, 间隔时间为1秒。脉冲最大能量一般为5焦耳, 脉冲最大电量一般1库仑。由此可见, 其能量很小, 不会伤人, 仅给予入侵者较难受的警告, 动摇其攀越围栏的能力与动机, 达到了安全阻吓目的。另外报警可设置延时1-5秒, 会把大量误报过滤到, 不会产生误报。但我校的围墙过高, 电击有效阻吓后, 有可以导致摔伤, 因此不建议安装电子栅栏。
3.3.2 设计方案
依据以上四个原则, 通过保卫处、学工处、后勤处的联合需要分析后, 使用智能网络视频监控系统, 下面将讲述其工作原理、工程图和设备清单。
(1) 智能网络视频监控网络设计
前端设备网络摄像机 (简称IPC) 进行录相直接为数字信息, 通过传输设备进入主控室后, 直接存储在NAS服务器的同时通过解码器输出到电视墙。存储空间的计算公式为:存储空间=通道数*码流*保存日期 (要注意由秒转换成天) 。本工程中, 共有监控点225个, 智能网络视频系统码流最大为2M, 要求影像留存30天, 则:
存储空间为:225*2/8*60*60*24*30/1024/1024=140TB (2为IPC的码流约为2Mb/s) , 需24盘位NAS存储服务器 (每盘位为2T) :140T/2T/24=3个。
网络带宽的计算公式为:8口交换机最高为8*2=16, 100M交换机即可满足要求, 225个监控, 按分片集中, 最多的监控点为88个, 88*2=176, 千兆交换机即可满足要求, 主控中心存储225点, 回放按225路来计算, 所需带宽为 (225+225) *2=900, 按照冗余设计的原则, 千兆交换机已不成满足要求, 故主控中心需要1台万兆交换机。
智能网络视频监控示意图如图1所示:
(2) 我校智能网络监控的工程施工
根据我校楼宇分布和功能分区, 将校区分个五个片区分别独立组网, 摄像头独立供电, 监控点汇聚情况如图2所示:
4. 结束语:
本文在阐述视频监控技术的发展历程的同时扼要介绍模拟视频监控、数字视频监控、智能网络视频监控的主要特点。依据监控技术的发展趋势, 校园安防监控系统的需求特点、设计理念、方案筛选等方面进行了论述, 从而从应用和成本的角度出发帮助我校选择适合学校实际的校园监控建设方案。主要工程实例是以徐州财经高等职业技术学校为蓝本设计实用, 扩展、维护方便的的数字化网络监控校园方案, 希望对其他学校有所借鉴作用。
摘要:近年来, 危害校园安全、侵害学生、学校权益的案件时有发生, 职业学校的内部安全管理仅仅靠人防是远远不够的, 校园安全已经成为一个社会高度关注的热点话题。在过去的几年中, 安防技术不断发展, 尤其是校园安防的发展尤为迅速, 越来越多的学校从原始的人防、物防, 逐渐意识到技防的重要性和必要性。越来越多的学校开始采用视频监控校园, 保卫部门根据视频实时了解校园安全状况和事后调查取证, 极大了威慑了违反校纪以及犯罪活动分子, 保卫了一方校园安全。
关键词:安防网络视频监控,IPC,NVR,解码器
参考文献
[1]吴刚校园安防监控系统的构建与创新分析《中国高新技术企业》2009-11, 第12-13页
[2]吴卫吴琼基于校园网的数字视频监控系统《硅谷》2009-23, 第29和50页
校园网设计方案研究 篇8
目前,国内校园网建设如火如荼,各大高校、中小学校都建立起了自己的信息网络中心。校园网作为整个学校信息化建设的重要基础设施,它是一个高速、开放、智能的计算机信息网络平台,公共服务体系和各种基础设施建设的平台。随着校园网建设不断的发展,应用种类不断增长,应用的数据也在不断增长,校园网的数据中心的重要性日益凸显,数据存储的矛盾也日渐突出。如何保证数据中心的数据安全成为众多校园网建设中的一个严峻挑战。如何有效地存储、备份和管理这些业务系统的海量数据,并使管理达到功能完备和手段的自动化,减少人为的错误因素和设备故障所造成的业务损失。由于网络存储系统建设费用高,许多资金紧张的学校根本不想再这方面投入,也有许多学校在校园网存储系统建设中投入了大量资金,但由于技术力量不够实际效果不明显。因此本文提出设计一个符合本校校情,既实用又相对低廉的校园网数据存储方案,确保校园应用数据的安全性和可用性。
1 校园网络数据存储现状分析
多年建设的校园网络已经积累了大量的重要信息数据,已经建设完成的一些重要软件系统的数据和应用也急需备份服务的支持。安全的数据交换和共享平台的重要性凸显,它不仅要求有大容量的存储设备,而且要求数据的存储非常安全。而目前校园网的存储资源大多是各自分立的,实验室、机房有其独立的服务器和数据存储、各院系和部门也有其独立的服务器和数据存储。而他们由于不具备存储专业知识,他们对简易性的重视在高性能和高可用性之上,并对成本比较敏感,需要集成了文件服务、存储阵列功能和数据保护且需要成本低、实用的解决方案,因此大多采取手动、离线备份、服务器RAID技术以及数据容灾技术来保护数据的安全。
有些学校网络信息中心投入了大量资金建立了数据存储系统,并且具有远程容灾的功能,但这个数据存储系统基本只用来存储全校级的公共数据,未能把学校二级单位的数据整合到网络中心数据存储系统中,未真正实现全校数据存储的统一,采取单一备份策略,系统容灾多从系统运营的角度出发,企图构建支持运营系统自动切换的容灾系统,这往往需要大量的资金投入和漫长的建设周期,结果可控性差。致使投入大量资金建设的数据存储系统利用率低下,效果不理想。整个学校存在大量的服务器,各服务器利用率不到30%,造成大量资金的浪费。
由于资金比较短缺、存储专业知识的匮乏,很多学校则根本未建立数据存储,没有真正实施存储区域网络,因为存储区域网络虽然可以解决许多难题,但实施这样一个网络还涉及时间、资金和技术问题,因此许多学校主要是依靠RAID技术来保数据安全,但RAID技术是一种通用的在线存储技术。RAID能够恢复单个失败的介质,但不能保证恢复两个同时失败的介质,出现多个介质失败的情况,RAID本身也就失效了。仅采用磁盘阵列作为备份设备风险很大,依靠RAID保护全部数据,等于把鸡蛋放在一个篮子里,篮子烂掉了,鸡蛋就全碎了。
2 校园网络立体化数据存储方案设计
总体上看,目前校园网络存储方法和手段安全性低,存储策略单一,管理繁锁而且费时,可靠性低,可操作性不强,数据损坏后,恢复时间长,效果差,未能真正上的数据存储统一。针对此种现状我们将raid技术、虚拟存储技术和数据容灾技术有机融合,建立一个立体化的校园网络数据存储方案。该方案主要包括三个存储层,每个层又采取两种不同的存储方式,具体设计模型如图1所示。
该方案设计思想是构建三个层面的存储平台,为物理存储层、虚拟存储层、数据容灾备份层。在物理存储层利用raid技术实现磁盘冗余,保护硬件资源;在虚拟存储层利用虚拟化技术整个网络中的服务器磁盘聚集为一个虚拟的存储池,对磁盘统一分配、集中管理,利用虚拟平台备份技术对操作系统平台备份,利用批处理自动备份程序对应用系统关键数据进行备份;数据容灾备份层利用IP SAN存储技术实现本地存储与异地存储进行实时同步数据备份,当本地数据中心系统发生灾难时,可以使用备份容灾中心的备份数据进行恢复,确保关键数据备份的安全性。
2.1 物理存储层设计
对于学校各二级单位存储介质一般是服务器中的硬盘,服务器中的硬盘是数据的载体,但往往由于二级单位管理人员技术缺乏,常常因误删除、误格式化、误分区、误克隆、病毒破坏导致服务器中的数据丢失,甚至有时因硬盘损坏造成大面积数据丢失。因此大多数是采取离线手工备份的方式,但这种方式工作量大,而且恢复慢,并且随着数据呈跳跃性增长,备份磁盘越来越多。因此对于二级单位保护服务器数据最简单、效果又非常好的方法是采用raid技术来实现磁盘的冗余,当服务器磁盘中的数据丢失或者磁盘损坏可以快速的恢复,对于服务器中一些敏感、关键数据在实现raid技术后,再采用手工离线备份,而不是对整个磁盘中的数据进行备份,这样可以大大减少后备磁盘成本。
磁盘阵列有两种方式可以实现,那就是“软件阵列”与“硬件阵列”。软件阵列是指通过网络操作系统自身提供的磁盘管理功能将连接的普通SCSI卡上的多块硬盘配置成逻辑盘,组成阵列。
如微软的Windows NT/2000 Server/Server 2003和NetVoll的NetWare两种操作系统都可以提供软件阵列功能,其中Windows NT/2000 Server/Server2003可以提供RAID 0,RAID 1,RAID 5;NetWare操作系统可以实现RAID 1功能。软件阵列可以提供数据冗余功能,但是磁盘子系统的性能会有所降低。硬件阵列是使用专门的磁盘阵列卡来实现的,硬件阵列能够提供在线扩容、动态修改阵列级别、自动数据恢复、驱动器漫游、超高速缓冲等功能。它能提供性能、数据保护、可靠性、可用性和可管理性的解决方案。磁盘阵列卡拥有一个专门的处理器和专门的存储器,用于高速处理和高速缓冲数据。这样一来,服务器对磁盘的操作就直接通过磁盘阵列卡来进行,因此不需要大量的CPU及系统内存资源,不会降低磁盘子系统的性能。考虑到现在的非入门级服务器几乎都提供磁盘阵列卡,不管是集成在主板上或非集成的都能轻松实现阵列功能,因此在本方案中采用硬件阵列raid 5技术来实现物理层存储安全。
2.2 虚拟存储层设计
虚拟存储层的设计思想是把学校分散的服务器磁盘集中管理,统一使用。虚拟化技术是在实体主机的硬件系统和操作系统之间建立一个称为虚拟机监视器(Virtual Machine Monitor,VMM)的软件监控层,用来阻隔操作系统与硬件系统的直接通信。通过VMM的分析和转换后,再转向控制硬件系统。由于VMM对系统指令的拦截和转换的特殊作用,使得在VMM上可同时支持多个异构操作系统的运行。在此我们在每台服务器上安装VMware ESX Server,利用逻辑资源池技术,将全校所有服务器磁盘资源聚集为一个磁盘池,然后使用Virtual Center(虚拟中心)对ESX Server进行集中管理、合理分配,再将其按需动态分配到Guest OS上。使用Virtual Center(虚拟中心)创建虚拟机配置如www、FTP、Email等系统服务和分配应用软件,这些虚拟机资源随机存储到各磁盘,在物理环境不进行任何改变的情况下,完成对系统综合资料的重新部署和分配,甚至在无须中断服务的情况下,实现指定虚拟机到实体主机的安全迁移。同时,Virtual Center还可通过服务的迁移实现零中断的底层硬件和存储维护。虚拟化以较低成本让管理人员做更有效的资源调度,并获得更好且安全周密的防护。当系统发生灾难时,可以在最短的时间內迅速复原系统的运作。
为了进一步提高存储利用率,虚拟存储层设计时我们扩展了自动精减配置技术,采用了一个虚拟存储在虚拟机间按需动态流动方式。该方式将一台服务器拥有的所有存储资源都整合到一个统一的存储池中,从存储池中创建逻辑卷,作为每个虚拟化机所拥有的虚拟存储空间。基于此,虚拟存储空间可以根据需要动态地扩展;另一方面,当整体存储空间紧张时,为了响应其它虚拟化机的虚拟存储空间的扩展与创建需求,也可以收缩某一虚拟化机所拥有的虚拟存储空间,回收其一部分空闲空间;若回收了空闲空间后资源仍然紧张,则可以向网络中的邻居节点(服务器磁盘)请求共享邻居节点的空闲空间。即存储空间可以由一个空闲空间较多的虚拟化机“流”向空闲空间紧张的虚拟化机。由此,采用自动精简配置技术,更能有效地提高存储利用率,进而降低存储开支和能耗,也更有利于异地存储模式。
为了保护各虚拟机中的敏感、关键数据,本设计中我们还利用批处理制作自动复制程序,然后采用任务计划功能启动自动备份软件实现各虚拟机中敏感、关键数据自动备份到备份服务器中。
2.3 数据容灾备份设计
考虑目前大多数高校校园网业务数据增长特点以及存在多种异构操作系统,而且考虑到经费问题,IP SAN性价比更高,可节约设备成本。IP SAN基本上可以满足近期的需求,并且IP SAN基于以太网,数据的访问、备份和恢复不影响LAN的性能,在有大量数据访问时,不会大幅度降低网络性能,带宽不受数据访问的影响。鉴于IP SAN的优势,本方案数据容灾备份设计采用IP SAN网络存储技术实现数据容灾,通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地灾备存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统。
(1)本地备份系统确保数据安全
存储备份必须保证足够小的备份窗口,对系统运营的影响要减少到最小。恢复更需要以最快的速度完成。本地有足够的带宽和资源,能够实现高速网络备份、LANfree等快速备份恢复模式。安装在本地网络中的存储备份设备,能实现备份本地数据,以及各种备份各异构系统,确保本地网络数据的安全。
(2)异地备份系统实现数据容灾
运营数据和备份数据都在本地网络存放,显然是不够安全的,如果本地遭到灾害,所有数据都处在危险之中。关键数据必须复制到另外的备份存储器中,并且两个备份存储器分隔足够远的距离,通过充足带宽的IP网络相连。在本地介质失效后,及时从远端恢复失效的数据到本地存储器,就可实现异地数据容灾,解决介质安全问题,数据不再惧怕自然灾害。
目前,数据容灾系统建设的成本投入比较大,因此在选择容灾方案时一定要结合学校应用环境和预算等实际情况做出决定,选择适合本校的方案。
3 结束语
该立体化数据存储方案在作者学校实施以来,取得了很好的效果,主要表现在以下几个方面:
(1)本方案设计简单、可操作性强,甚至在资金比较紧张的情况下也可以实现。如raid技术一般在购买服务器可集成,虚拟技术利用VMware ESX软件价格低廉,数据容灾备份只需购买两台存储设备,甚至可以采用批处理自动复制软件实现异地备份。
(2)提高了服务器的稳定性与数据的安全性,实现了复杂的数据应用如多数据库、多用户管理、多部门关键数据的存储。
(3)基于虚拟化技术,通过整合众多异构、廉价的服务器和存储设备,构建众多的虚拟化的实例,为学校提供持续不断的应用和存储服务,不仅可以满足学校的存储需求,而且也有效地减少了学校的存储开支和能耗。
(4)存储、备份和容灾技术的充分结合,构成一体化的数据容灾备份存储系统,使用基于以太网的IP SAN技术,在不对校园网做任何改动的情况轻松架构数据容灾备份平台,能满足较长时间的在线容量增长和性能扩展,管理维护简单。
参考文献
[1]石方夏,岳凤芝.信息化建设中的RAID技术应用分析.现代电子技术.2010.
[2]张成峰,谢长生.网络存储的统一与虚拟化[J].计算机科学.2006.
[3]宋振华.虚拟化技术中的存储管理问题研究[D].中国优秀博硕士学位论文全文数据库(硕士).2010.
[4]Baird R.Mass Storage Systems,1995.Virtual storage architectureguide(VSAG).In:Proc.of the Fourteenth IEEE Symposium on11~14 Sept.1995.
[5][美]Farley M著,孙功星等译.SAN存储区域网络(第2版).机械工业出版社.2002.
万里学院校园网设计方案 篇9
关键词:校园网络,计算机网络,网络方案
1 概述
万里学院是一所新建的学院, 无任何网络设施, 校内建有学生公寓、教师宿舍、电教楼、行政大楼等建筑。现在要为该学院搭建第一期网络工程, 目的是为学院搭建一个基础网络。
1.1 学院概况
学生公寓:4座, 每栋6层, 每层6间宿舍, 总共144间宿舍。
教师宿舍:3座, 每栋6层, 每层4间宿舍, 总共72间。
电教楼:1座, 有3层, 每层4间, 二楼201是网络中心。除网络中心外每间课室有40台电脑, 总共有11间多媒体教室, 440台电脑。
行政大楼:1座, 有4层, 每层4间, 总共有16间。
1.2 需求
该校由于是第一期工程, 主要是建设基础网络, 其需要的主要功能有:
1) 学生宿舍和教学楼以及教师宿舍使用VLAN分开;
2) 有自己校内的FTP服务器;
3) 有自己校对外的WEB服务器;
4) 学内有IP自动分配功能;
5) 校内可以访问外网。
1.3 学校已经具备
该学校已经申请了一个公网IP:210.21.122.170, 并申请了学校网站的域名, 其为www.wanli.edu.cn电教楼的201室是网络中心, 用于放核心层、汇聚层、服务器等等的网络设备。
2 方案实现
2.1 综合布线
针对校园网络的具体性能要求及建网的经费支出, 我们使用基于交换技术的干网和二级局域网络方案。
2.1.1 网络拓扑结构
万里学院的网络结构为分层星型结构, 网络分为三级:
第一级是网络中心, 为中心节点。网络中心选址在学校地域的中心建筑 (电教楼) , 布置了校园网的核心设备, 如交换机、服务器 (WWW服务器、FTP服务器等) , 并预留了将来与本部以后的扩展空间。
第二级是建筑群的主干结点, 为二级节点。校园网按地域设置了几条干线光缆, 从网络中心辐射到几个主要建筑群 (学生公寓、教师宿舍、行政大楼、) , 并在二级主干节点处端接。在主干网节点上安装的交换机位于网络中心, 它与各楼层的集线器相连。学校校园网主干带宽全部为1000Mbps。
第三级是建筑物楼内的CISCO 2950, 为三级节点。三级节点主要是指直接与服务器和工作站连接的局域网设备, 即服务器和配线架的配线间。位于每栋楼的机柜里。
2.1.2 楼层结构化布线的设计与实施
万里学院的网络布线工程涉及9栋楼宇。它们是男女宿舍4栋楼、教工宿舍3栋楼、电教楼、行政大楼。
网络中心与楼宇连接介质使用五类非屏蔽双绞线。
2.1.3 设计要求
1) 网络的物理布线采用星型结构, 便于提高可靠性和传输效率。主干段相互独立, 便于网络维护和扩充建立一套基本的网络信息传输平台。
2) 建立以交换式快速以太网为基础的骨干通信网络平台, 中心主干通信速率为1000Mbps, 到桌面为交换100Mbps, 以保证多媒体信息的传输要求。
3) 光纤主干采用单模光缆, 有利于千兆网及今后更高速率的网络应用。而且通过跳线的不同跳接, 组网方式也十分灵活。可以实现:点对点。在两台计算机之间建立起高速通道。传输速率为几十个Mbps至几百个Mbps, 距离可达2km (多模) 至5km (单模) 。
4) 结构化布线的所有设备 (配线架、双绞线等) 均采用5类标准。性价比高, 施工方便, 且可以达到1000Mbps的数据传输速率。
2.1.4 网络拓扑图
核心层用一台Cisco Catalyst 3560交换器实现地址转换、vlan间路由等等的路由功能;汇聚层用5台Cisco Catalyst 3560交换器;接入层用Cisco Catalyst 2950交换机, 根据各楼层的需求安排数量。
网络布线共建立243个使用接入用户点, 具体如下表:
2.1.5 布线的质量与测试
1) 布线时依据方案确定的线路, 对于承重墙或难以实施的地方, 与学校领导及时沟通, 确定线路走向和安排。
2) 在穿线工序时, 做到穿线后, 由监工确定是否符合标准后, 再盖槽或者天花板, 保证质量达到设计要求。
2.1.6 万里学院结构化布线系统工程物品清单
全工程设备总价格合计:829, 937元
2.2 网络技术介绍
2.2.1 VLAN及IP划分规划
2.2.2 VLAN
万里学院使用的是基于端口的VLAN端口的方式划分VLAN。
2.2.3 VLAN间路由
VLAN由于能够使网络结构变得灵活、方便和安全而被广泛采用, 但是不同的VLAN之间是无法通讯的, 这就是VLAN的应用带来的问题。解决这个问题是在网络中使用VLAN间路由。使用Trunk封装将已划分的VLAN的交换机与路由器相连, 通过路由功能将不同的VLAN从逻辑上划分为不同的IP子网。这样当某个VLAN的设备需要访问其他VLAN的设备时, 路由功能可以将数据包转发到目的VLAN, 从而实现VLAN间的通信。
2.2.4 NAT
万里学院使用的NAT类型是静态NAT。
2.2.5 DHCP服务
学校内部分机器采用DHCP服务器进行IP配置。
3 网络设备配置
3.1 核心层 (CXC) 3560交换机配置
3.1.1 配置时间
Switch#config t
Switch (config) #clock set:mm:ss
3.1.2 设置主机和密码
3.1.3 VLAN (虚拟局域网)
3.1.4 中继模式
3.1.5 VLAN间路由
3.1.6 NAT
3.1.7 默认路由
CXC (config) #ip route 0.0.0.0 0.0.0.0 G0/1
3.1.8 DHCP和DNS
3.2 行政大楼 (HZDL) (3560交换机配置)
Switch (config) #hostname HZDL
3.2.1. 设置交换机为客户模式
HZDL (config) #vtp mode client
3.2.2 创建VTP的域
这个要和SERVER以及其它交换机一致, 不一致
则不能从SERVER上学习到VLAN信息
HZDL (config) #vtp domain cisco
3.2.3 设置中继链路, 中继链路就是你连接其它交换机或者是路由器的链路:
HZDL (config) #interface Fast Ethernet0/1
HZDL (config-if) #switchport mode trunk
3.2.4 划分端口到VLAN当中
HZDL (config) #interface Fast Ethernet0/1
HZDL (config-if) #switchport access vlan2
3.2.5 楼层CISCO2950
3.3 电教楼 (DJL)
3.4 学生宿舍 (XSSS)
3.5 教师宿舍 (JSSS)
3.6 网络中心 (WLZX)
3.7 配置FTP和WEB的端口
3.8 网络服务器配置
3.8.1 web服务器
3.8.2 FTP服务器
4 工程完成所需时间
1个月。
5 总结
万里学院方案采用当今业界较为先进的千兆以态园区网方案, 使该校有一个稳定网络, 而且彻底解决了因大数据流量而带来的带宽瓶颈, 改网络除了可以在一段长时间内满足各种新应用, 还为以后的升级打下了良好的基础, 可顺利扩展到下一代网络
参考文献
[1]吴建平, 李星, 李学弄.网络设备和企业网构建[M].万博天地网络技术股份有限公司.
[2] (美) 福罗赞.TCP/IP协议族[M].3版.谢希仁, 等, 译.北京:清华大学出版社, 2009.
校园网安全方案设计浅述 篇10
一、网络管理
应该看到,办公网络在硬件设备建设大步推进的同时,在IT系统运行管理工作中仍存在着一些长期没有解决好的问题。主要表现在:
一是缺乏统一的集中监控与管理平台;
二是缺乏对运行维护工作的规范性管理;
三是缺乏对日常运行维护工作的管理工具;
四是缺乏量化运行质量的工具,无法对下级单位有效考核。
二、物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
一是环境安全。对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。)
二是设备安全。主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
三是媒体安全。包括媒体数据的安全及媒体本身的安全
三、访问控制
一是制定严格的管理制度。可制定的相应:《用户授权实施细则》《口令字及账户管理规范》《权限管理制度》等来实现。
二是配备相应的安全设备。在网络的出口处或网络内部不同安全域之间安装防火墙设备。
三是通过交换机划分VLAN。除了在局域网的出口安装防火墙,通过访问控制来保护内部数据外,在各节点局域网内部可根据业务需要或安全级别的不同,使用三层交换机划分VLAN,从而对不同VLAN中的数据进行保护。在本系统中,通过主干ATM交换机划分VLAN,来实现局域网内不同部门和不同专业公司之间的隔离和访问控制。
四是使用应用代理。对于校园内部网络中的重要业务服务器和WWW、Mail和其他应用服务器,可以使用防火墙的应用代理功能。
五是需要身份认证。大量的日常业务信息的处理和传送发生在局域网内部。从保证信息安全角度来看,操作人员从接触计算机信息系统开始便应启动安全保障系统,信息系统安全的第一道防线便是要求用户出示足以表明其特权身份和资格的依据。用户进入信息系统后,当其需要进行操作和使用系统资源时,除需要进一步进行身份确认外,信息系统还应对用户的权限进行控制,做到用户只能获得或拥有完成其本职工作所需要的最小权力,即所谓最小授权原则。
四、数据保护
数据保护所包含的内容比较广,除了通信保密和访问控制外,还包括以下几个方面。
(一)制定明确的数据保护策略和管理制度
保护策略和管理制度有:《系统信息安全保密等级划分及保护规范》《数据安全管理办法》《上网数据的审批规定》。
(二)安全设备与机制
1.文件加密系统
目前,个人计算机的安全性非常差,文件对本机的所有用户都是开放的,既没有加密,也没有权限控制。因此,实现个人计算机上文档的安全保护是构建安全系统的一个重要部分。通过文件的加密存储,控制文件的访问者,增加文件的安全性,对文件进行保护。
2.数据库安全
数据库安全保密系统是在目前流行的通用数据库(如SYBASE)基础上增加控件,以实现对数据库的访问/存取控制及加密控制等。该系统可需要根据校园计算机网络的具体应用进行二次开发。
(三)服务器灾难恢复
为了保护重点服务器的完整性,防止其上的信息被非法篡改,保护系统运行安全,应使用服务器灾难恢复系统。其可以将服务器上的重要信息进行备份,并定期检测服务器上信息内容的完整性,一旦发现信息被非法篡改,就会使用原始数据对服务器进行灾难恢复。该系统尤其适合于校园计算机网络中对外发布信息的WWW服务器和内部重要的服务器系统。
五、安全审计
网络监视和审计系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方。在重点保护区域,可以单独部署一套网络监控系统(管理器+监控器),也可以在每个需要保护的地方部署一个监控器,在全网使用一个管理器,这种方式便于进行集中管理。在校园计算机网络中的重要网段,使用网络监视器,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,网络监视器还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。
六、病毒防护
防病毒措施主要包括技术和管理方面,技术上可在服务器中安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力。在客户端的主机也应安装单机防病毒软件,将病毒在本地清除而不致于扩散到其他主机或服务器。管理上应制定一整套有关的规章制度,如:不许使用来历不明的软件或盗版软件,软盘使用前要首先进行杀毒等。只有提高了工作人员的安全意识,并自觉遵守有关规定,才能从根本上防止病毒对网络信息系统的危害。为了使校园计算机网络免受病毒侵害,保证网络系统中信息的可用性,必须构建一个从主机到服务器的完善的防病毒体系。
七、备份恢复
一是制订完善的安全备份管理制度。管理制度有:《系统安全备份规范》《数据介质保存规定》等。
二是主要技术途径。对重要设备进行设备备份。数据备份则主要通过磁盘、磁带、光盘等介质来进行。备份系统的目的为:尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场点内高速度、大容量自动的数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
在进行备份的过程中,常使用备份软件,它一般应具有以下功能。保证备份数据的完整性,并具有对备份介质的管理能力;支持多种备份方式,可以定时自动备份,还可设置备份自动启动和停止日期;支持多种校验手段(如字节校验、CRC循环冗余校验、快速磁带扫描),以保证备份的正确性;提供联机数据备份功能;支持RAID容错技术和图像备份功能。
摘要:计算机技术、网络技术、信息处理技术以及多媒体技术的飞速发展,为高校信息化建设注入了新的活力。高校信息化建设必须依托校园网。只有建成高速、稳定、安全、可靠的校园网,高校的数字信息资源、网络服务、信息服务及MIS等应用系统,才能正常运行。
大学校园景观改造设计与研究 篇11
关键词:校园景观;圆形符号;活动空间;整体风格
第一章绪论
1.1校园景观改造的背景。校园寝室楼前的树林树木单一,进入秋天后便满是落叶,冬天便萧条一片,唯独夏天可以树下乘凉,下面是土地,只能站立休息。寝室区是校园中人口密度最大人口流动性较大的区域,周围却没有适合的活动空间,只能相约到别处去学习或聊天,因此对楼前树林的重新规划和改造是必要的。
1.2校园景观改造的目的和意义。校园寝室楼前树林改造的目的是:扩展校园活动空间,创建一个集学习、休闲、娱乐、绿化为一体的多功能为一体的活动空间,打造校园寝室区域标志性活动场地。寝室楼前树林改造的意义是:校园景观的好坏直接影响到一个校园的整体感觉,但在现实生活中校园景观不被大家重视。校园景观设计的好坏直接影响于校园环境素质,剑桥康河、北京大学未名湖畔、同济大学趣园、华东师范大学园林等老校园的景观至今都是我们心中所向往的学习环境,散发着独特的精神魅力。在树木葱郁的校园环境中,人们很容易忽略或原谅其他视觉效果差的建筑单体。因此,对寝室楼前树林的改造,是进一步加强了校园整体的景观设计,创造更好的校园环境,大幅度提高校园环境素质,打造寝室区域标志性符号。
第二章高校校园景观改造设计的手法
2.1点缀型改造。部分高校校园中的景观虽然绿量足够、植物效果优美,但缺乏统领空间环境的主体,这往往会导致景观缺乏主题性和可辨识性,校园精神和文化特色无处寄托。点缀性改造针对这一问题,在原有基础上增加些富有深刻涵义的雕塑、景石、树木等景观元素,使空间氛围主题丰满起来。
2.2修补性改造。大学校园老校区由于经年累月的使用和自然退化,部分小品和植物景观破败不堪,已经和初始時大相径庭,有的甚至已经失去使用功能:新校区由于建设工期短、设计不完善等原因,导致景观空间层次单调,使用频率低。修补性改造针对校园中这种类型的景观问题,在保留景观环境基底的前提下,对原有破损、老化或影响整体环境的景观小品和树木修理或移除,结合周边景观的氛围和肌理进行再设计,增加植物造景和具备视觉效果的景观小品重新布置空间。
2.3更新性改造。随着时代发展,大学校园老校区空间局促的问题日益严重,原有规划模式己不能承载现今校园使用者的需求,加上部分景观小品年久失修已不能再使用等因素,导致此类大学校园景观不得不进行更新改造。更新性改造指的是推翻原有景观环境,根据学生的要求和学校的整体环境对学校的某一区域进行再一次改造。改造中对仍具有使用功能的座椅、景石、雕塑等小品和表现良好的植物进行保留,在新方案中进行考虑或移至校园他处。
第三章校园景观改造概述
3.1对校园寝室区楼前树林问题的发现与思考。春天发芽、夏天葱茂、秋天落叶、冬天枯枝,这就是楼前小树林一年四季的景象,和校园外任何一片树林一样没有任何特点,树木种类的单一,让人感到无趣和视觉疲劳。在寝室区这种人口密度较大的区域,反而缩小了同学们的活动空间,所以我决定对这片区域从新进行规划和改造。
3.2校园景观改造概述。根据改造区域的面积大小和学校的整体建筑风格,结合校园文化和社会人文。淳朴的自然和学校的历史文化结合,使得该区域形成了良好的学习和休息的氛围,扩大了学生的活动场地,体现了现代校园中,良好、优质的校园生活!人文理念:校园的建设与改造应以学生为本,为学生提供良好的学习环境,便捷的生活设施,宽敞的自由活动空间,轻松的交流环境。绿色理念:建设花园式校园。使我们在紧张的学习中得到方式,在充满自然的环境中陶冶情操。改造建筑物需要有高有低,植物也是高低错落,我们把乔木灌木,彩叶常绿树,落叶树种,观花观果树木相结合,使其不论在春夏秋冬都有不一样的景象,丰富多彩摇曳多姿。(春天:香樟+玉兰、垂丝海棠+桂花、萱草+毛白杜鹃:夏天:水杉+广玉兰+合欢、石楠+阔叶+大功劳、长春花+鸢尾:秋天:南天竹+垂柳、鸡爪槭+茶梅+火棘、常春藤:冬天:雪松+五针松、腊梅+梅花、大吴风草)道路可沿线圆形链接,既不影响走向又更加美观。中国人讲究外圆内方,讲的是内心端正外表要有和顺的态度,彼此才好相处,圆还表示自然,是环境优美贴近自然的意思,圆还寓意团圆。广场中的雕塑的外形可设计成火炬整体可是成向上发展的趋势,寓意人们的生活质量有不断发展和提高的意思。同时又像是火焰的形状,象征人们的生活红红火火、蒸蒸日上。主要颜色采用绿色,正是大自然的颜色,说明这是绿色的健康生活环境。又像是一颗急切向上生长的嫩芽代表人们的美好生活将由此开始。
设计可以主要以简洁规整式为主,材料选用生活废弃品回收利用,体现生态环保的设计理念。在颜色上以采用大自然的绿色,做到规整与自然式相结合。主体建筑周围的绿化突出安静、清洁的特点,形成具有良好环境的活动空间。其布局形式与建筑相协调。在雕塑的四周又加上小喷泉闲的恬静舒适。
结语:校园环境质量的好坏很大程度上取决于校园中的景观的建设,校园景观的设计要从师生的心理、行为需要出发,为师生提供一个优美得教学环境,同时要注重校园景观文化性的建设,体现校园的历史文脉与精神风貌,让校园具有丰富的文化内涵和鲜明的文化特色。同时,还要关注校园生态景观的建设,赋予校园“生命力”。
校园网设计方案研究 篇12
随着网络技术的发展, 各高校都建立了校园网络并投入使用, 这无疑对加快信息处理, 提高工作效率, 减轻劳动强度, 实现资源共享起着无法估量的作用。但在积极发展办公自动化、实现资源共享的同时, 校园网络入侵事件也日渐频发, 如何保证校园网络安全运行, 成为迫切需要解决的课题。
1 校园网面临的主要问题
1.1 对信息化系统安全重视程度不足
由于校园教育机构的特殊性, 院校领导往往更加关注如何提高学校的办学质量等问题, 而很少关注IT安全可能会给学校的网络所带来的危害。学校的各级学院对计算机系统安全管理相对滞后, 计算机病毒、木马和系统蓝屏等一系列的计算机常见故障在一定程度上影响了日常教学工作的开展。如何规范计算机安全管理, 保障计算机安全稳定运行, 已经成为保障日常教学任务正常、高效运转的一项重要任务。
1.2 缺乏整体安全策略和组织保障
良好的安全防护水平离不开组织的保障, 而很多院校缺乏专业安全队伍, 即安全管理人员和技术维护人员。这种组织保障的缺失反映出院校对于整体安全策略的缺失, 体现在安全人才配备与实战技能方面均无法满足各级院校IT系统安全保障的需要。
1.3 安全制度和规范不健全
各级院校在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证, 由此带来的后果是诸如随意使用U盘导致整个院校的网络受到病毒感染。同时在发生网络安全问题的时候, 也因为缺乏预先设备的各种应急防护措施, 导致安全风险得不到有效控制。
1.4 应用系统和安全建设相分离
在各级院校IT应用系统的建设初期, 由于所属的建设职能部门的不同, 或者是因为投资预算的限制, 导致在应用系统建设阶段并没有充分考虑到安全防护的需要, 为后续的应用系统受到攻击瘫痪, 或者大流量负载情况下响应缓慢设置了伏笔。
2 校园网渗透
由于建站速度快, 高校多数会使用统一的网站管理系统, 仅仅是根据不同机构特点进行修改, 所以渗透时会产生连锁效应。
2.1 踩点
基于搜索引擎进行Web信息搜索, 利用http://www.yougetsignal.com/tools/web-sites-on-web-server查找托管在同一Web服务器的域名或IP地址, 定位目标网站详细信息。以某高校网站www.*****.com为例 (本文均以该站点进行说明) , 发现八个域名存在同一服务器上, 如图一所示, 可以通过旁注的手段得到目标站点的Webshell。
2.2 扫描
扫描目标网段, 找出其中活跃的主机;扫描目标站点的端口, 找出其所开放的网络服务;扫描系统内容, 确定目标站点使用语言、数据库类型以及web服务器操作系统等;扫描漏洞, 包括主机或者网络服务上的漏洞及网站所使用的管理系统漏洞。
通过端口扫描软件Nmap, 发现该站点开放3306、25、22、110、21、8888、80端口, 如图二所示。3306端口说明该站点的数据库为MYSQL, 可以根据数据库版本信息了解是否存在漏洞;21、22端口说明存在ftp服务, 可以尝试性使用ftp账户登录;110端口为POP3 (邮件协议3) 服务, 可以通过社会工程学来实现入侵;8888端口较为特殊, 可能为某系统管理的端口。
通过扫描软件Acunetix Web Vulnerability Scanner 9, 发现数据库存在威胁、j Query跨站脚本攻击、配置文件/phpinfo.php暴露等高风险漏洞, 还有其余中风险、低风险漏洞, 如图三所示。可以获得后台管理页面、与站点的绝对路径等, 可以考虑从数据库、跨站脚本攻击、后台暴力破解等方式对该站点继续渗透。
2.3 查点
通过踩点和扫描, 识别出主机的活动与运行的服务, 针对其软肋进行更充分的探查, 查出用户帐号 (可用于蛮力攻击) 、具有漏洞的旧版本环境、错误的配置信息 (敏感信息共享) 等。
从后台管理页面继续渗透, 可通过暴力破解, 得出管理员账号为admin, 密码为admin20120204。成功登陆, 发现是帝国网站管理系统6.6版本, 通过乌云网了解到该版本的漏洞, 系统设置—>管理数据表->导入数据表, 可上传文件, 可通过此位置上传小马, 如图四所示。使用菜刀连接小马后, 可以上传大马, 进而控制整台服务器。
从扫描的结果试出, www.*****.com:8888, 打开发现是Lu Manager管理页面 (Lu Manager是一种基于Linux/Unix系统的网站服务器管理软件, 账户默认为zijidelu) 。攻击者可以寻找该软件漏洞或猜测该账户密码等。
而www.*****.com/skin/*****/js/jquery.js页面存在j Query跨站脚本攻击。往Web页面里插入恶意html代码, 当用户浏览该页之时, 嵌入其中Web里面的html代码会被执行, 从而达到恶意用户的特殊目的。
3 校园网的评估
以量化的方式, 将威胁建模方法应用到评估Web应用程序中, 可以根据对应用程序缺陷的充分理解来识别和评价现存的威胁。依据这些信息, 可以按照一定的逻辑顺序, 利用适当的对策来处理现存的威胁, 并从具有最大风险的威胁开始加固。
使用DREAD模型来协助计算危险, 考虑五个因素, 即潜在损失 (如果缺陷被利用, 损失有多大) 、重现性 (重复产生攻击的难度有多大) 、可利用性 (发起攻击的难度有多大) 、受影响的用户 (用近似的百分数表示, 有多少用户受到影响) , 匹配以上的问题, 计算给定威胁的值, 根据其值来计算危险程度。总分12~15的威胁评价为高度危险, 8~11的威胁评价为中度危险, 5~7的威胁评价为低度危险。威胁评价表如表一所示。
根据渗透该高校网站的内容, D (潜在的损失) 符合高风险情况, 攻击者可以暗中破坏安全系统, 获取完全信任的授权, 以管理员的身份运行程序、上传内容, 评定为3分;R (重现性) 符合中风险情况, 系统管理可以根据文件产生时间和管理员账户或者登陆时间来做相应的调整, 评定为2分;E (可利用性) 符合中风险情况, 较为熟悉的编程人员可实现跨站脚本攻击, 评定为2分;A (受影响的用户) 符合高风险情况, 所有的用户都受到影响, 评定为3分;D (可发现性) 符合中风险情况, 应用程序中很少使用部分的缺陷, 只有少量的用户可能遇到, 评定为2分。综合五个因素, 该站点评定分数为12分, 威胁评价为高度危险。
4 校园网的安全加固方案
对于校园网的渗透, 发现默认配置、默认口令是学校存在的最大威胁, 其次就是跨站漏洞、明文传输, 旧版本软件漏洞没有及时更新而造成的威胁也不在少数, 针对这样的状况, 为校园网安全提出加固建议。
4.1 避免跨站脚本攻击
输入验证 (服务器端) , 如长数据、非合法字符、JAVASCRIPT关键标签符号等;输出转义 (服务器端) 将单引号’%、&等当成html文档内容处理。清除危险的输入位置 (服务器端) , 避免直接在现有的Java Script中插入用户可控制的数据;客户端防范措施 (客户端) , 提升浏览器的安全设置, 如提高浏览器访问非受信网时的安全等级, 关闭cookie功能或设置cookie只读。
4.2 升级网站管理系统版本
使用开源的网站管理系统建设校园网站十分常见, 在使用时应充分考虑该系统存在的威胁, 比如帝国CMS6.6的上传漏洞, 解决的办法是升级该管理系统的版本, 升级至7.0版本。
4.3 强化密码
通过渗透发现, 该高校网站后台管理员密码较简单, 应增加密码的复杂度, 如Ax CX@2¥47。
4.4 修改默认路径、配置
帝国管理系统的默认后台管理路径是e/admin, 可以修改为e/e1/admin或者ed/admin, 建站完成后, robots.txt、/phpinfo.php暴露网站配置文件应该删除, 以免暴露信息。
4.5 配置防火墙策略
在防火墙策略上, 应该设置白名单, 限制非管理员用户访问该网站除80端口外的端口, 限制主机Ping网站域名、服务器的IP。
6 结束语
本文就目前校园网络的安全状况进行了分析, 指出现今各级院校所面临的网络安全的主要问题, 以攻击者的角度分析了渗透校园网络的过程, 提供了校园网络安全评估的方法, 并给出相应的网络安全加固方案。目前该设计方案已运用到某高校, 并取得了一定效果。
参考文献
[1]Dafydd Stuttard Marcus Pinto, 著.黑客攻防技术宝典——Web实战篇 (第2版) [M].北京:人民邮电出版社, 2012.
[2]诸葛建伟.网络攻防技术与实践[M].北京:电子工业出版社, 2011.
[3]Shon Harris, 张胜生.CISSP认证考试指南 (第6版) [M].北京:清华大学出版社, 2011.
[4]麦克克鲁尔.黑客大曝光:网络安全机密与解决方案 (第6版) [M].北京:清华大学出版社, 2011.
【校园网设计方案研究】推荐阅读:
校园网安全设计与研究08-31
校园设计方案09-05
校园网网络安全设计方案06-06
中小型校园网设计方案实例08-30
校园网络安全设计方案11-13
数字化校园方案设计07-28
“美丽校园-文明你我”主题班会设计方案05-23
开展校园晚会的策划设计方案06-01
校园交响乐的教学方案设计11-11
《与校园不文明行为说不》主题班会设计方案10-18