昆明学院校园网设计方案

摘要
随着技术和市场的逐渐成熟，网络正以无处不在、无时不在的网络连接方式，改变者人们对“网络”和“信息化”的传统看法。

信息化技术在教育领域的推广和应用日新月异，学校信息化建设已成为未来学校教育发展战略的制高点。

校园网络的建设是学校向信息化建设的必然选择，校园网络系统不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务使信息能及时、准确地传播送给各个系统。

通过校园网的设计与建设，实现真正意义上的宽带多媒体网络，为师生提供教学、科研和综合信息服务。

关键词：校园网; 网络; 信息化; 综合布线
前言
随着计算机及网络技术的不断发展，互联网技术的普及使我们迎来一个全新的互联网时代。

网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。

在不久的将来，网络必将成为和电话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。

我国校园网的建设正在逐步升温，数字化校园建设的步伐也不断加快，许多地区和学校都把建设校园网视为学校办学条件现代化的标志。

信息高速公路的建设与计算机网络技术的飞速发展，为改革教育活动形式，提高教育决策的科学性和增加教育的宏观调控能力提供了重要的手段。

学校建立一个高效智能、协同办公与教学自动化的计算机校园网，是培养面向21世纪建设人才的迫切需要。

校园网是指校园内计算机及附属设备互联运行的网络，是由计算机、网络设备和网络软件构成的为学校教育、科研、管理、办公和交流等活动服务的大型集成应用系统，并能接入因特网（Internet）实现与国内国际网站进行信息交流、资源共享。

校园网建设是教育信息化建设的重要组成部分，是全面实现素质教育的重要手段，是实现教育现代化的重要标志，校园网是学校信息基础设施。

校园网的规模、网络性能、应用水平和普及程度已成为衡量一所院校办学水平高低的重要标志之一。

校园网是高等学校基础设施建设的重要组成部分，是提高学校管理水平、人员素质和办学质量的重要手段。

为了提高学校的教学、科研和管理水平，提高办学质量，同时满足平时办公和同学上网的要求，校园网已经是一个必不可少的部分，校园网的建设对于学校来说是一项大的工程，必须精心设计、精心施工，做到经济适用，技术先进、开放性能良好、投资强度合理、与国内外网络互联、能长期、稳定运行的高性能的校园网络。

第一章概述
1.项目背景
本文主要是对昆明学院洋浦校区中的网络情况进行介绍，同时规划出新的网络方案。

在
文章中包含了综合布线系统、网络主干的介绍、网络设备的选择以及相关的安全技术介绍。

昆明学院是2004年经过教育部批准建立的全日制大学，同时学院于2010年搬迁到洋浦新校区。

由于学院的不断发展学院在原来的基础上有进行了建设，现在学院有博雅楼、博文楼、惟实楼等10栋教学楼，同时还具有图书馆、学生活动中心,、学生会堂等教学辅助设施。

洋浦校区内为了满足学生的生活需求澄明苑和润泽苑都具有学生食堂，同时共有24栋学生公寓；为了满足学院的日常政务办公学院还建有行政楼。

学院现有网络覆盖了32000平米的实验楼区、7万多平米的教学楼区和学生宿舍区的校园主干网络基础设施建设。

校园网综合布线信息点约28000个，所有学生宿舍及办公教学区域均接入校园网。

校园网实现主干10 G，千兆到桌面。

为广大师生员工提供Internet接入、E-mail、DHCP、DNS、Web等网络服务。

学生注册网络用户达14000人，校园网日在线主机峰值达7000多台。

学校建筑分布如图1所示
图1
2.项目目标
校园网建成以后要能够满足学校现代化教学及管理需要，实现教育现代、提高教学水平，通过计算机信息管理系统提高学校日常管理的效率，通过计算机网络价加强学校与学校之间的资源共享，所以校园网应达到的目标为：
①实现学校教学管理的网络化，完成学习教学管理信息的采集、处理、查询、头统计以及分析，而且，实现学校各部门办公的自动化，提高学校管理工作效率。

②发挥网络在教学中的应用，实现多媒体课件制作网络化，逐步实现教师上课、备课电子化、多媒体化。

③保证网络系统的开放性、可持续发展性，以便于同学能够上网浏览网络资源。

④网络系统必须安全可靠，保证教学数据的安全运行，满足学校不断发展的需求
3.设计标准、规范
1）国际布线标准ISO/IEC IS 11801
2） EIA/TIA 568A/59/606（美标）
3） EN5016，50168，50169（欧标）
4）中国工程建设标准化协会标准CECS 72:97 CECS 89:97
5） YD/T 926.1-1997《中华人民共和国通信行业标准》
6）《工业企业通信设计规范》
7）《民用建筑电气设计规范》
8） CCITT ISDN
9） IEEE 10Base-T/100 Base-T/1000Base-T
10）ATM155/622Mbps
11）ANSI FDDI / TPDDI 100Mbps
12）IEEE802.5 TokenRing
13）EIA/TIA TSB-6现场测试非屏蔽双绞线布线系统传输性能规范
第二章用户需求
1.设计原则
校园网络建设应遵循以下基本原则：
①稳定性和开放性原则：校园网络设计时应尽量采用结构化、模块化、标准化的设计。

在选择技术时必须符合相关国际标准及国内标准，从而避免个别设备厂家的私有标准或内部协议，以确保校园网络的开放性和互通性，同时满足信息准确、安全、可靠、优良交换传送的需求；开放的接口．支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。

满足校园网络各种不同用户需求、达到校园网络系统稳定、保证总体方案的设计合理、便于校园网络使用过程中的管理与维护，同时也应采用开放性的网络体系，方便网络的升级、扩展，在选择服务器等网络产品时，使用支持的多种不同网络协议的国际标准化产品．在保证校园网络稳定性的同时具备开放性。

②先进性与实用性原则：网络技术发展快，设备更新淘汰也很快。

在设计校园网络时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。

采用符合国际标准的成熟、先进的技术和设备，确保校园网络能够适应将来校园网络发展需要，保证在未来若干年内占主导地位。

由于学校资金并不充足，部分先进设备不可能一步到位。

另外，学校的应用水平也有限，某些过于先进系统和设备即使安装了也会存在利用不起来的现象．因此，在设计校园网络时应在先进性的指导下面向实用，注重实效的方针，坚持应用、经济的原则。

③安全性与可靠性原则：校园网络的安全与可靠包括设备、系统、应用等多个方面的因素，在设计校园网络时，在结构、设备、系统、应用、性能等方面所面临的威胁以及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确保校园网络具有良好的安全性和可靠性。

校园网络安全是整体的、动态的．校园网络安全既包括采用相应的安全设备，还包括相应的管理手段。

网络安全随着环境、时间的变化也会发生变化。

在设计校园网络时应充分考虑系统安全的整体性和动态性。

校园网络为多种不同需求的用户提供互联并提供不同目的的服务，要求不仅能进行灵活有效的安全控制，同时还应支持虚拟局域网、虚拟专用网．以提供多层次的安全选择。

在设计校园网络时，既要考虑信息资源的充分共享，更要注意信息的保护和隔离，针对不同的应用和不同的网络通信环境、采取不同的措施，包括系统的安全机制、数据存取的权限控制等，保证网络可靠性，包括网络物理级的可靠性以及网络
逻辑的可靠性。

④可扩展性原则：在设计校园网络时，要具有可扩展性和可升级性的思想，随着学校不断的扩招，业务的增长和应用水平的提高。

网络中的数据和信息流会按指数级增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级，把校园网络建设成完整统一、组网灵活、易扩充的弹性网络平台。

设备应选用符合国际标准的系统和产品，保证系统具有较长的生命力和扩展力，满足将来
系统升级的要求。

⑤可维护性原则：校园网络系统规模宠大，应用丰富而复杂，需要校园网络具有良好的可管理性，校园网络管理系统具有监测、故障诊断、故障隔熟、过滤设置等功能，设计时，应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。

2.网络建设需求
昆明学院洋浦校区网络信息点总数为28000多个，地理分布范围在一个区域内,即一个校区，主要用于学校内部网络通信，也会利用因特网进行外部上网活动，但是，网络流量主要集中于校园网内部，因此对网络交换能力要求较高，校园网上网会有多媒体教学，视频点播等多种带宽应用。

信息交流功能主要有两个方面的服务功能：互联网信息服务和校内信息服务。

互联网信息服务可以使任何一个办公室的计算机都能实现网上浏览、查询信息的功能，使教师能够拓宽视野，充分利用互联网上的资源辅助教学，提升教学理念，提高教师的教学能力、教学水平和科研能力。

可以充分利用互联网资源来宣传学校，展示学校的办学能力与办学水平，展示教师的教学能力与科研能力，提升学校的办学形象。

校内信息服务能为教育教学和管理决策提供各项信息服务，能为全校师生提供相互交流、相互学习的平台。

3.系统集成要求
建成一个具有高可靠性和开放性的校园网络，它应支持流行的SNMP等网络管理协议；采用Internet上的标准协议--TCP/IP协议，提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务，实现与国际互联网的完全接轨；同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；采用模块化结构设计，容易升级；最后，它还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。

第三章综合布线设计
1.采用综合布线方案概述
根据学院洋浦校区的建筑分布图，设计出整个网络的拓扑结构图。

在整个综合布线中分为建筑群子系统、设备间子系统、垂直干线子系统、水平子系统、工作区子系统。

2.工作区子系统设计介绍
工作区子系统是一个从信息插座延伸至终端设备的区域。

工作区布线要求相对该子系统包括水平配线系统的信息插座、连接信息插座和终端设备的跳线以及适配器。

3.水平区子系统设计介绍
从楼层配线间到工作区用户信息插座称为水平子系统，它是由用户信息插座、水平电缆以及配线设备组成。

水平子系统在综合布线系统中网络信息传输有重要作用，这里采用星型的拓扑结构，每一个信息点均需连接到管理子系统，同时注意UTP线缆最大的水平距离不应超过90m。

4.垂直主干线子系统设计介绍
垂直干线子系统是连接设备间与各层管理间的干线构成。

其作用是将各楼层管理间的信息，传递到设备间并送到最终接口，为了满足需求，同时又能适应以后的发展，采用超5类UTP电缆，支持数据信息100/1Gbit/s的传输，采用超5类25对非屏蔽电缆，支持语音信息的传输。

5.设备间子系统设计介绍
设备间子系统是校园中数据、语音垂直主干线缆终接的场所，是建筑群来的线缆接入建筑物终接的场所，同时还是各种数据语音主机设备及保护设施的安装场所，我校的设备间子系统设置在惟实楼3栋2楼中现教中心机房里，机房面积满足要求同时还有一定冗余。

设备间是整个网络的数据交换中心，它的正常与否直接影响着学校的办公，所以配线间须进行严格的设计：①设备间应尽量保持干燥、无尘土、通风良好，应符合有关消防规范，配置有关消防系统。

②应安装空调以保证环境温度满足设备要求。

③数据系统的光纤盒、配线架和设备均放于机柜中，配线架、线管理面板和交换机交替放置，方便跳线和增加美观。

网络服务器与主交换机的连接应尽量避免一切不必要的中间连接，直接用专线联入主交换机，将可能故障率降至最低点。

④主机房用玻璃与其它的办公室隔离出来，主机房地板铺上防静电地板。

6.建筑群子系统设计介绍
学校的教学楼、图书馆、办公楼和学生宿舍等建筑物之间有大量的语音、数据、图像等传输的需要，所以学校建筑之间选择光纤连接。

我校的建筑群系统的中心位于惟实楼，网络中心设置在3号楼的2层中，网络中心为校园网的主设备间和主配线间，本楼与其他楼宇间的光缆架空（4m以上，设置光缆标志）的距离在100m~800m之间，在选择光纤时选择9/125um的单模光纤和62.5/125um的多模光纤以及1000Base-SX的模块。

建筑群骨干光缆敷设结构如图2所示，从惟实楼主配线间到各栋教学楼、图书馆、行政楼以及学生生活区都为1Gbit/s连接。

根据惟实楼到各个区之间距离的不同所以用红蓝线条分别表示单模光纤和多模光纤。

图2
7.配线间子系统设计介绍
配线间子系统又称为管理子系统，配线间子系统在每栋楼层的中部，是整个配线系统的中心单元。

以学生宿舍楼为例，宿舍楼中的配线间在宿舍楼三楼中部，同时靠近弱电竖井，这样方便布线同时节省投资。

学生宿舍楼布线系统如图3
8.产品选型说明
本设计中选择的选择交换机为cisco的设备，主要依照的原则为：适用性与先进性的相结合的原则；选择市场主流产品的原则；安全可靠的原则；产品与服务的原则。

依照实用性、可靠性、标准性、开放性、安全性、安全性和扩展性的原则路由器同样选择的是cisco的设备。

第四章网络拓扑结构设计
1.拓扑结构图
2.设计说明
本次设计中网络结构采用三层网络结构，包括核心层、汇聚层、接入层。

核心层由两台cisco 4506交换机组成，布置在现教中心惟实楼的机房内。

核心层交换机中配置VTP协议以及HSRP协议，VTP协议的配置减少了各个交换机之间vlan的划分，HSRP 协议的运用可以使两台路由设备之间实现冗余，同时增加了网络的可靠性。

核心层到汇聚层之间用单模和多模光纤连接，满足网络数据的传输，汇聚层交换机同时连接到两台核心交换机，保证传输线路的安全可靠。

接入层交换机分别在学校中的各个教学楼宿舍楼。

宿舍楼由于信息点较多，所交换机之间使用堆叠模块。

网络结构中配置了网络管理平台、应用服务器、DHCP、DNS、FTP等服务来满足基本的网络应用，同时还配置了E-mail、web服务来提供
给大家浏览网络资源。

由于学院还与分校区连接所以通过DDN专线连接到分校区满足办公需求。

为了保证网络的安全在网络外围使用路由器连接外网，同时在路由器之间加入防火墙以及DMZ区。

3.主要设备选型说明（交换机、路由器、防火墙、入侵检测、服务器等）
在本网络组建中交换机选择的均是CISCO的设备，核心交换机选择CISCO 4500系列中的CISCO WS-C4506，其具有较高的可用性，配备的冗余控制引擎能在50ms内完成故障切换；而且还具有全面安全性，具有访问控制列表和SSH以及802.1x、NetFlow。

它的模块化架构、介质灵活性和可扩展性延长了部署寿命，同时通过减少重复运营开支和提高投资回报而降低了拥有成本。

在选择核心交换机是cisco的设备能够配置HSRP，是网络具有更高的可靠性和稳定性。

汇聚交换机选择的是CISCO WS-C3750G-24TS-S，Cisco Catalyst 3750系列支持用于连接和接入控制的全面安全特性集，包括ACL、身份验证、端口级安全性，以及带802.1x 和扩展、基于身份的网络服务。

接入层交换机选择的是CISCO WS-C2950G-48-EI，该设备是快速以太网交换机，背板带宽达到13.6 Gbps，而端口数具有48口这样减少了接入层交换机的用量，同时该交换机具有两个模块化插槽可以安装堆叠模块，堆叠功能的使用增加交换机的端口使得交换机的线速达到均衡同时提供简化的本地管理。

路由器选择的型号是Cisco 3825，该型号具有更高的可用性和永续性，具有热插拔功能（OIR）；冗余系统和馈线电源选项，同时支持数据加密标准（DES）、三重DES（3DES）和高级加密标准（AES），对数据的安全起到更好的保护作用。

第五章VLAN、IP规划
1.VLAN、IP技术介绍
VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。

VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。

VLAN不仅能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，同时还可以用于控制网络中不同部门、不同站点之间的互相访问。

Vlan 的划分方法有：根据端口来划分VLAN；根据MAC地址划分VLAN；根据网络层划分VLAN 等。

IP地址规划原则
唯一性：一个IP网络中不能有两个主机采用相同的IP地址。

简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。

连续性：连续地址在层次结构网络中易于进行路由总结（Route Summarization），大大缩减路由表，提高路由算法的效率。

可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。

灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术（VLSM），以满足多种路由
策略的优化，充分利用地址空间。

第六章网络管理与安全
网络的安全性是评价校园网的重要指标之一，对于校园网这样的大型园区网，网络的安全问题就越发重要。

网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。

也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。

利用防火墙，可以实现内部网与外部网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

1.通过VLAN的划分，利用中心交换机上高性能路由模块的管理和控制，可以控制内部各VLAN间的访问；
2．通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯或安全隔离，确保数据流进入有效端口，而不会被发送到其它端口，即解决了因传统 802.1QVLAN 造成全网 VID 资源不够的问题，同时又无需利用安全规则资源即能达到隔离不同用户以及不同；组用户之间通讯的功能，充分保护用户隐私；
3．提供极为有效的Port Blocking 功能，避免端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护用户 PC 更高效安全地运行；
4. 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；提供加密传输Secure Shell（SSH），保证管理设备信息的安全性，防止黑客攻击和控制设备；
5. 计算机病毒是伴随着计算机而产生的，它同时随着计算机技术的发展而发展，在网络环境中，计算机病毒更易于传播，其对系统的危害也是明显的，在校园网工程中建议采用网络与单机相结合的方式来避免计算机病毒的危害。

校园网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证网络的稳定运行。

第七章项目预算。