信息职业技术学院校园网络设计方案报告

北京信息职业技术学院校园网络布线设计
方案报告
目录
第一章项目背景及需求分析2
1.1项目背景2
1.2项目目标2
1.2.1 网络系统建设目标3
1.2.2校园网系统高可靠性3
1.2.3校园网系统可维护性4
1.3项目需求4
1.3.1.网络互联需求分析4
1.3.
2. 用户需求5
1.3.3网络安全要求分析5
1.3.8存储备份需求6
1.4方案设计原则及特点6
1.5编制依据7
第二章网络逻辑结构设计7
2.1网络拓扑结构设计7
2.1.1拓扑结构分类7
2.2 VLAN规划和IP规划8
第三章网络系统设计10
3.1网络逻辑结构10
第四章主要设备介绍11
4.1 核心路由器11
4.2 第一层交换机11
4.3 第二层、第三层交换机12
第五章工程造价14
第六章网络安全策略14
5.1 网络安全设计的原则14
5.2网络安全系统架构15
5.3整体网络安全解决方案16
第七章项目培训与售后服务17
8. 1技能培训17
8. 2售后服务18
8.2.1、免费质保期内承诺18
8.2.2、免费质保期满后承诺19
8.2.3 支持方式19
第一章项目背景及需求分析
1.1项目背景
北京信息职业技术学院建筑分布主要有教学楼、办公楼、实训楼、图书馆、学生公寓等组成，学院经过近年来的扩建现有三个校区，现有在籍学生 7000多人，在校班级 70个，教职员工800人，学院新建了新教学楼、办公楼和学生公寓。

通过建设一个高速、安全、可靠、可扩充的网络系统，实现校内信息的高度共享、传递，教学及管理信息化，校领导能及时、全面、准确地掌握全校的教学、科研、生产、管理、财务、人事等各方面情况，建立出口信道，实现与Internet 互联，实现学生公寓能在公寓中无线上网，教职工通过VPN连接实现家庭办公，数字化校园进行网络学习和获取相关教学资源。

由于网络环境复杂，用户角色较多，各类网络权限使用权限不同，需合理规划，同时来自外网和内网的网络安全及网络攻击威胁越来越严重，应建立一套性价比较高的网络安全防护体系。

校园网络平台不仅要能够满足学校目前的应用需求，而且应能适应今后若干年内应用提升的要求。

1.2项目目标
校园网是要实现将三个校区之间有连通性，之间能通信。

实现资源共享，提高通信速率，从万兆核心到百兆桌面的一个高标准目标。

建立网络辅助教学系统，实现教学手段的现代化。

1.2.1 网络系统建设目标
网络覆盖东校区，学院本部和南校区分支机构，根据目前校园的实际情况和环境，本方案首先需要建立基础的网络平台，只有在网络互联互通的基础上，才能承载用户的访问，应用的扩展等技术。

整体网络的建设目标如下：
1.信息资源共享：通过校园网，实现校园内部，学校与国内、国际教育的快速交流，达到资源共享，是广大师生及时了解国内外的科学技术和高等教育发展的最新动态，促进教学、科学和管理的发展
2.网络结构清晰：中心机房接入点→各楼层管理间→各层设备间→工作区。

3.百兆到桌面：所有用户的以太网有线接入带宽能够保证提供百兆或以上的带宽，提高工作效率。

4.核心千兆：对于汇聚层到核心层的网络带宽至少要保证提供千兆支持，对于特别重要的互联互通的环境，还需要能够提供千兆端口的绑定功能，以提供更高的网络带宽保障。

5.网络辅助教学：建立基于网络的电子教学CAL课件开发、视频点播（VOD）、网上题库、答疑与作业批改等网络教学系统，实现教学手段的现代化。

6.网络管理与监控系统：屏蔽无关的游戏、社交网站，对教职工和学生分别赋予不同权限，在保证通信的前提下实现隔离保护。

7.网真会议：通过网真实现三校区即时同步展开会议，提高办公、行政效率1.2.2校园网系统高可靠性
在考虑现有网络的基础上,整个业务网网络结构的拓扑结构尽量采用稳定可靠的结构形式,以保证整个网络的高可靠性。

网络设备和整个网络系统必须具备高可靠性特征。

主要网络设备必须具有热插拔功能,可带电修复故障而不影响网络系统的总体工作,并支持电信级的网络设备可靠性。

在基本需求上留出必要的冗余，最大程度上保证网络的全天通信。

1.2.3校园网系统可维护性
整个业务网必须具备良好的可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。

同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。

1.3项目需求
北京信息职业技术学院信息网络系统是使用高速光纤的，构建两套相互独立的、物理上隔离的网络系统，以提供安全的、可冗余的、IP交换的、可备份各教学系的办公局域网和可访问的INTERNET的网络系统，实现各教学系内部和各部门之间教学交换网络化，实现资源共享，为各教学系提高办事效率，提供办事透明度以及快速反应和决策可靠地保障。

在此网络平台上为学院三校区及其其他各教学系提供数据交换、文件传输等服务。

网络系统主要是以光纤作为传输媒介、以IP和Internet技术为技术主体、以核心交换机为交换中心、下属部门信息网络系统为分界点的多层结构。

客户对网络系统建设的具体要求如下：
（1）校园网系统可扩展性
（2）校园网系统可维护性
总体目标是建设信息化的办公网络交换平台，集成基层各教学系信息网络系统，功能齐全、技术先进，集成化的网络系统
1.3.1.网络互联需求分析
位于北京旭日东校区的教学办公所在的网络布线信息点通过网络互联设备接入；整个校区的基本网络将实现高可用性，高可靠性，高稳定性。

同时也要实现网络的安全性以及可控性。

北京信息职业技术学院教职员工分布及办公和教学的信息点需求：
1.3.
2. 用户需求
根据教师和学生上课和教师研究等的需求，实现校园内部资源共享。

通过建立学校主页、电子邮箱、FTP资源、办公系统以及视频点播等服务器，发布有关的新闻，、教学信息、教师与学生之间的交流平台。

除上述考虑外，还要注意到由于逻辑上业务网和管理网必须分开，所以建成后校园网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应教学办公环境的调整和变化。

整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。

1.3.3网络安全要求分析
校园网络安全主要考虑以下几方面要求：各个部门、教学系所访问网络的控制,各单位之间在未经授权的情况下,不能相互访问。

内、外网通过防火墙连接，实现数据安全的保护。

校园方安全防护主要在以下几个方面：
一、限制外网的访问。

如果网关、服务器暴露在复杂的互联网下很容易受到
攻击。

教职工使用的电脑较为安全，所以一定要隔离出内、外网。

只有经过安全验证的用户才能登录访问内网。

二、外网建设。

将外网网站的相关数据和内网数据放置在同一服务器上是非常危险的行为。

外网网站数据应该单独放置，应该制作静态网页，不使用存回和取出功能，购买单独域名。

三、物理攻击。

中心机房应当符合《机房管理规范》中的A级机房标准。

禁止学生进入。

并且将重要数据备份的服务器单独设立一个机房，不与中心机房在同一建筑。

1.3.8存储备份需求
对于学院来说，一些科研成果是最为重要的信息，其中可能涉及国家机密。

在防止信息被盗的同时，也要对重要信息进行备份。

对于存储备份系统，建议使用最低级、最原始的方式：用大容量移动硬盘直接拷贝，之后对拷贝的移动硬盘进行封存。

1.4方案设计原则及特点
先进性：采用先进的技术、方法、设备，使系统既成熟可靠又能反映当今应用水平，并具发展潜力。

开放性：整个系统应具有开放性，符合相应的国际标准和协议。

提供开放的网络接口和数据接口，使不同的产品能够协同运行，方便数据交换、信息共享。

扩充性：系统应易于升级和功能扩充。

在系统容量、能力、处理能力等方面具有可扩充性，可以方便地进行产品的升级换代，不仅能够保护学校的投资，而且具有较高的综合性能价格比。

可靠性：应该在系统结构、设计方案、设备选择、技术服务等方面综合考虑，保证系统能够无故障运行。

同时系统必须具有出错处理、容错能力、冗余备份功能。

实用性：整个网络的功能应完全立足于学校管理和教学的需求，保证系统信息处理和传递的安全、可靠、及时、准确。

安全性：网络系统必须具有高度的安全性和保密性，通过设置分级保护、控
制数据存取的权限，防止对系统的非法侵入。

可维护性：提供有效的网络管理和系统监控、调试、诊断技术，保证系统维护管理简明、方便、有效。

可操作性：必须提供友好的中文界面，采用基于Windows的GUI界面，操作简便，容错性强，易于管理和维护。

以上几点概述为本方案的中心设计思想，达到为信息化构建一个高性能、高可靠性、高安全、灵活性与可扩充性高的IT基础系统。

1.5编制依据
《计算机信息系统保密管理暂行规定》（国家保密局1988年2月26日印发）《计算机信息国际联网保密管理暂行规定》（国家保密局1999年12月29日印发）
《中国公众多媒体通信网技术体制》
《计算机中心机房管理规范》
《综合布线管理规范》
《中国公众多媒体通信网工程实施技术要求》
《建筑制图标准》（GBJ104-7）
IEEE工业标准：802.1d、802.1p、802.1q、802.3、802.3u、802.3z
支持路由协议：IP的RIPv1/2、OSPF
第二章网络逻辑结构设计
2.1网络拓扑结构设计
2.1.1拓扑结构分类
计算机网络拓扑结构包括逻辑拓扑结构和物理拓扑结构两种。

逻辑拓扑结构是指计算机网络中信息流动的逻辑关系，而物理拓扑结构是指计算机网络各个组成部分之间的物理连接关系。

网络中经常用到的物理拓扑结构有总线型、星型和环型
等
1)总线型拓扑结构
总线型拓扑结构也称为线性总线，在这种结构中使用一根线缆来连接所有的设备，线缆相继地连接各台计算机。

一条传输总线上连接了多个节点，在节点之间按广播方式进行通信，即每个节点都能收到在总线上传播的信息，但每次只允许一个节点发送信息。

2)星型拓扑结构
星型拓扑结构是以中央结点为中心，经传输线路分别同外围节点连接而成。

星型拓扑是目前局域网中应用最为普遍的一种拓扑结构。

在这种结构中，中央结点一般采用集线器或者交换机，外围节点常使用个人计算机。

网络中每个终端都通过独立的线缆连接到中心设备
所以本方案采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。

由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。

优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。

对该网络支持的设备生产厂商有较好的技术支持。

局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。

办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。

2.2 VLAN规划和IP规划
学院本部有电子工程系（5个专业），机电工程系（3个专业）；东校区有计算机工程系（4个专业），软件工程系（3个专业），信息工程系（2个专业），数字媒体与艺术系（4个专业），财经管理系（5个专业），外语系（2个专业）；南校
区有汽车工程系（3个专业）
VLAN划分及IP地址规划的原则：
●每一个教学系划分成一个单独的VLAN；
●每一个VLAN划分单独的网段，具有独立的地址空间
●各VLAN之间不能直接互通，通过三层交换机(VTP)实现互联
●此外，对会议室、校长室，主任室，及就业办公室单独创建1个VLAN ●对无线网段单独创建1个VLAN
●地址分配按每一个网段1个B类的原则划分
●每一个网段的第一个地址为该网段的网关地址
下表是为学院划分的的VLAN、IP划分列表：
公室
9
教室172.16.1.0/27 172.16.1.186---172.16.1.248/26172.16.1.249255.255.255.172Vlan90
10 服务
器
172.16.2.0/28 172.16.2.1---172.16.2.5 172.16.2.16 255.255.255.240
Vlan100 第三章网络系统设计
3.1网络逻辑结构
下图便是本次校园网设计的逻辑结构示意图。

左边的交换机代表外网，右边三个交换机就是一个双机热备的系统，之后通过第一层交换机组连接到用PC机代表的二层、三层交换
机。

第四章主要设备介绍
4.1 核心路由器
核心路由器推荐使用——CISCO 7304。

这是一款电信级高端路由器，正是作为计算机专业学校最为适合的种类。

4.2 第一层交换机
由于核心路由器使用了思科的设备，出于兼容性等方面的考虑，接下来的所有网络设备都应该该选用思科公司的产品。

于是第一层交换机组就选用了思科企业级交换机——CISCO WS-C3560E-12D-E
4.3 第二层、第三层交换机
综合各方面的考量第二层和第三层交换机使用性价比较高的千兆以太网交换机——
第五章工程造价
第六章网络安全策略
随着网络攻击方式的多样化，只针对网络层以下的安全解决方案已经不足以应付各种各样的攻击，校园网网络需要防范来自2-7层的攻击；还要随时关注操作系统、数据库、软硬件等等设备本身的安全性；防范可能来自内部的安全威胁等等。

因此校园必需采用立体的多层次的安全系统架构才能保障校园网络安全。

5.1 网络安全设计的原则
建设校园网的根本目的是为学校教学、科研和管理提供先进实用的硬件支撑环境。

为实现这一目的必须考虑采用先进实用的计算机技术和网络通信技术,把校园网建设成为具有高速、稳定、可靠、安全的校园财干兼顾应用服务系统,提供现场化教学、科研的办公及管理系统,同时拓展校园内多方面的应用。

为此提出一条总原则：“分期建设;逐步实施;先教学系统后扩展应用;精选设备;软
件配套。

”具体说来有以下几条原则必须考虑;
（1）实用性：校园网建设强网络系统与网络应用以应用推动建设,重视信息资源的开发、利用和效果。

（2）先进性：主干采用先进成熟的网络技术和产品,适应大量数据和多媒体信息传输、处理、交换的需要,使网络具有较强的生命力。

（3）开放性：网络系统支持有国际和国家标准,支持异构型边缘子网互联与集成,易于网络的扩充和升级,使有限的投资得到保护。

（4）安全性：对网上信息提供多层次的、基于策略的安全保护措施。

（5）可靠性：网络机构、网络设备、网络系统与应用系统间接口、供应商的产品与服务的信誉等,均具可靠性。

（6）简洁性：网络拓扑结构简洁,硬件和软件按需要进行灵活配置。

（7）可管理性：采用较先进的管理软件,实现全网的检测、资源分配、负荷调节、故障定位等功能,并具有良好的人-机操作界面。

5.2网络安全系统架构
随着计算机和网络技术的迅猛发展和广泛普及,校园网作为高校推进信息化、数字化建设的重要基础设施,近几年来,在国家、学校的大力支持下得到了飞速且迅猛的发展。

校园网已经在我国的教育系统得到了广泛地使用。

但是,Internet 本身所具有的开放性、自由性和国际性在增加了应用者自由度的同时,对安全也提出了更高的要求。

一旦网络安全系统受到了严重威胁,将给校园、社会、乃至整个国家都会带来巨大的经济损失。

如何使校园网络系统免受黑客和病毒的入侵,使校园网络正常、高效地为我国的高校事业发展服务,并且为当前高校信息化、数字化健康发展而服务,是各个高校普遍存在和面临的问题。

校园网络安全问题主要集中在以下几个方面：
1)网络安全方面的投入严重不足，没有系统的网络安全设施配备学校的上网场所管理较混乱
2)电子邮件系统极不完善，无任何安全管理和监控的手段网络病毒泛滥，造成网络性能急剧下降，很多重要数据丢失，损失不可估量。

3)网络安全意识淡薄，没有指定完善的网络安全管理制度。

5.3整体网络安全解决方案
通过如上的需求分析，我们建议采用如下的整体网络安全方案。

1、规范出口的管理
实施校园网的整体安全架构，必须对原有的网络架构进行改造，首先需要解决的就是多出口的问题。

因此，作为校园网络管理机构必须将所有的校园网络出口统一管理，严禁私自开后门的情况出现，为安全的实施提供最基础的保障。

2、配备完整的系统的网络安全设备
校园网络虽然比较复杂，但从整体技术架构来看，还是属于局域网范畴，因此，在局域网和外部网络接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。

另外需要注意的是，校园网络现在基本上都是高速网络，因此配置安全设备既要考虑到功能同时也必须考虑性能，将配置安全设备后对网络性能的影响尽可能的降到最低。

据此要求，校园网络需要配备以下安全设备：
1）高性能的硬件防火墙
2）旁路监听型的入侵检测系统
3）漏洞扫描系统
4）安全审计系统
5）旁路监听型不良内容过滤系统
6）覆盖全校范围的网络版防毒系统
7）网络故障检测以及网络故障诊断设备
通过配备以上安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。

解决用户上网身份问题，建立全校统一的身份认证系统建立基于校园网络的全校统一身份证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠地保证。

严格规范上网场所的管理，集中进行监控和管理
用户使用网络首先通过统一的校级身份认证系统确认费合法用户无法使用校园网络。

合法用户上网的行为受到统一的监控并且上网行为日志集中保存在中心服务器上。

这样既可以不给机房管理增加负担，同时也可以提供至少三个月以上的日志备查。

另外，由于是将访问日志直接传送到中心监控服务器上，这保证了这个记录的严肃性和准确性。

改造电子邮件系统，提供多种安全监控和管理功能大多数校园网络使用的免费电子邮件系统，由于功能和性能等多方面的差距，已经明显不适应用户使用和网络安全对邮件系统的要求；另外，在安全管理方面，无法提供及时的监控和日志，对一些有害信息无法进行过滤，也成为了校园网络安全管理的主要隐患。

从网络安全以及网络应用的要求来看，改造校园网络电子邮件系统是势在必行的。

根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度。

网络安全建设是“三分设备，七分管理”，没有切实可行的安全保障体系和制度，网络安全就办成了空谈。

必须要做到及时进行漏洞修补和定期询减，保证对网络的监控和管理。

另外，学校必须颁布网络行为规范和具体处罚条例，这样才能有效的控制和减少内部网络的隐患。

第七章项目培训与售后服务
8. 1技能培训
培训项目如下:
培训目的：
1、网络管理员。

熟悉网络管理软、硬件的使用、维护。

能实现日常管理工作；有能力解决初步的网络故障；了解工作即及事故处理流程；能撰写网络安全报告。

2、网真会议管理员。

熟悉网真会议所需软、硬件的使用、维护。

能实现日常管理工作；熟练做好会议的准备工作；有能力解决简单的问题；了解工作即及事故处理流程。

3、机房管理人员。

熟悉机房安全规章制度；有独立维护建房的能力；了解突发事件处理流程；确保备用系统能在紧急时刻正常使用；撰写故障报告。

培训资料：
所用硬件设备使用说明书，规章制度及突发事件处理流程，演示视频。

8. 2售后服务
优质完善的售后服务是任何一个系统安全、稳定、高效运行的最有利保障，同时又是一个系统集成商能否对网络集成项目特别是大型网络集成项目有效管理的具体体现，当今网络用户为确保系统安全高效运行，无法脱离专业集成商的售后服务。

公司在IT行业客户服务方面具有超前的意识，专门成立了客户服务部，培养了一批经过专业训练的技术服务工程师，考试上岗，三分之二的技术人员具有MCSE和CNE资格认证工程师，并在实际运作过程中总结形成了一套完整的客户服务体系，并通过了IS09001国际标准化质量体系认证。

8.2.1、免费质保期内承诺
1、我方保证合同项下所供货物是全新的、未使用过的，是目前的型号。

并进一步保证，合同项下提供的全部货物没有设计、材料或工艺上的缺陷（由于按买方的要求设计或按业主的规格提供的材料所产生的缺陷除外），或者没有因我方的行为或疏忽而产生的缺陷，这些缺陷是所供货物在我国现行条件下正常使用可能产生的。

2、在质量保证期内我方接到业主发现产品缺陷的书面形式通知后，3小时内抵达现场进行检查，抵达现场后30分钟内，告知使用方故障部位并告知解决对策和预计解决所须的时间。

修复费用完全免费。

如果产品是质量问题，8小时内免费完成更换。

如果更换的设备达不到招标文件质量标准，按照买方要求在12小时内完全办妥退货。

3、对质保期内的故障报修，如卖方未能做到上款的服务承诺，业主可采取必要的补救措施，但其风险和费用由我方承担，业主根据合同规定对卖方行使的其它权力不受影响。

由于我方的保证服务不到位，质保期的到期时间将顺延。

4、质保期内因用户使用、管理不当所造成的损失由买方承担，我方提供有偿服务。