XX校园网络设计方案书

第四组：

组员：厉健、 杨锋、 刘永海、 吴霞、 陈伟狄 、朱刚、何臻伟

汇报人：朱刚

翔宇实验中学网络建设方案

【摘要】科学技术的发展日新月异，在计算机技术和通信技术结合下，网络技术得到了飞速的发展。如今，不仅计算机已经和网络紧密结合，整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来，网络必将成为和电话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。

翔宇实验中学校园网一期、二期建设基本完成了校园网的框架，主要用于连接各实验室、教研室和各部处通过网络中心与Internet连接。但是随着学校的发展，广大师生对校园网的覆盖率、稳定性、管理及业务提出了更高的要求，而原有的校园网在以上几方面均暴露出一系列不足。

在本方案中，我将详细阐述翔宇实验中学校园网的建设方案，内容大致分为搭建网络、网络安全、系统应用、网络管理、综合布线等几部分。

【关键字】局域网、Internet、计算机网络、网络协议、服务器、防火墙

第一章 建设目标与原则

1.1 翔宇实验中学网络建设目标

学校共有员工和学生9000 人,院区内共有12 栋建筑,包括教学楼、实验楼、现教楼、图书馆、宿舍楼等。上网的人员主要是学生、教师和科研人员。

学校的网络同时承载着多样的网络应用：网络下载、视频点播、网络聊天、专项课题研究、网络化教学，学校要求网络具有高性能、高可用性和高安全性。

学校规模在不断扩大中，用户数在持续增加，要求网络具有很好的扩展性，能够根据需要逐步平滑升级到千兆的骨干连接。

学生拥有笔记本电脑的人数越来越多，他们想在校园的各个地方都可以上网，甚至包括操场。要求网络具有移动和无线集成。

学校要求能对每个用户的使用情况能进行事后审计，能够定位到IP 地址以及用户所连接的端口和登录的用户名。

由于校园网络的开放性和流量的多样性，学校要求能及时发现网络异常流量并做出响应。同时要求基于每用户的速率限制。

另外在设备支持上要求：在10/100 或10/100/1000BaseT 上支持802.3af PoE；网络设备集成的安全性；要求第2 层和第3 层的QoS；要求增强的802.1x 功能；支持10GE 或将来平滑过渡到10GE。

当前万兆以太网将成为园区骨干网的主流技术。但根据翔宇实验中学目前的实际情况，可先采用千兆位以太网作为园区骨干，以后再根据需要升级；另外交换机及路由器本身的性能对整个网络的性能也有影响，诸如线速转发、QoS、STP、可支持的路由协议的收敛特性等等都将影响网络的性能。

高可用性：网络的高可用性必须依靠冗余来实现，网络级冗余性可以利用双宿主设计自动绕过故障链路或设备，能够使用智能协议保持网络可靠性。设备级冗余性可以利用设备内部部件（如管理引擎、电源、风扇等）的冗余来提供不间断服务。线路级冗余可通过敷设物理走向不同的线缆的方式来实现线路的畅通。对于翔宇实验中学来说，以上所说在不同的场合中都有可能用到；另外，降低网络的复杂性、提供备用互联网出口、强大的网络监控功能及良好的用户培训也可增加园区网的可用性。

高安全性：现阶段网络建设主要面临以下几方面的问题：网络流量增长得很快，与此同时网络运营商的接入费用不降反升；管理人员对校园网的运行情况缺乏基本的分析和管理工具；网络安全事件时有发生，重要服务器和核心网络设备被攻击；网络病毒泛滥，得不到控制；有线用户和无线用户的接入控制、定位缺乏手段等；针对以上问题，将安全连接、威胁防御、信用和身份管理系统集成到单个解决方案中，并提供病毒感染限制、染毒设备隔离功能可有效的解决校园网建设中的安全问题。

高可扩展性：在设计园区网时，通过层次化的设计可保证网络的扩展性。层次化结构包括三个功能部分：即接入层、分布层和核心层，层次化的设计除了能带来便于扩展的优势以外，还可节约成本和加强故障隔离能力；

移动性：可通过实施Wireless LAN 实现无线上网。

1.2 校园网设计原则

采用先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、实用、开放、安全、使用方便和易于操作为原则，突出系统功能的实用性，尽快投入使用，发挥较好的效能。

计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络设计要考虑通信发展要求，因此，主要、关键设备需要具有很高的性价比。

系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方便的汉字、图形处理功能。

目前，计算机网络与外部网络互连互通日益增加，都直接或间接与国际互连网连接。因此，系统方案设计需考虑系统的可靠性、信息安全性和保密性的要求。

翔宇实验中学校园网设计方案设计原则和需求分析，可以方便地进行设备扩充和适应工程的变化，以及灵活地进行软件版本的更新和升级，保护用户的投资。

目前，网络向多平台、多协议、异种机、异构型网络共存方向发展，其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通迅协议要符合国际标准，为将来系统的升级、扩展打下良好的基础。

采用结构化、模块化的设计形式，满足系统及用户各种不同的应用要求，适应业务调整变化。

采用的技术标准必须按照国际标准和国家标准与规范，保证系统的延续性和可靠性。

满足系统目标与功能目标，总体方案设计合理，满足用户的应用要求，便于系统维护，以及系统二次开发与移植。

第二章 校园网建设方案

2.1 搭建校园网络系统

翔宇实验中学从地理上分为二大块：教学区和宿舍区。目前只在教学区部分大楼进行了联网，宿舍区没有联网。因此，我们需要做的工作是宿舍区和教学区的网络互联,以及教学区的网络扩展。

本方案采用成熟的千兆以太网技术，采用分层结构的解决方案。整个网络设计的原则为：

中心交换机为整个网络的核心，它对整个网络的性能、可靠性起决定作用，它连接各个物理子网，管理网络内信息交换（包括多媒体信息），控制VLAN 间访问，保证信息安全。因此，选用中心交换机除了提供高速的网络连接之外，还具有多种信息的管理控制能力。

全部的网络设备均支持高效的Intranet 多媒体和多点广播技术，为多媒体和多点广播应用等提供端到端的带宽保证。

网络采用层次结构，不仅逻辑结构清晰，管理方便；更重要的是大多数的数据流量（主要是同一部门或工作组内）的交换在分布层交换机上直接处理，不经中心设备，节省主干带宽，提高利用率。

有一定的前瞻性，不仅满足当前网上应用，也为向将来更高性能的升级作好了准备：网络具有的伸缩性，升级和扩展主要只集中在网络中心，添加新的接口模块，即可实现用户和信息点的扩充，升级模块即可大量提高主干带宽；中心配置两台多层交换机，网络结构就能连接成高可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统，在整个系统内消除单点故障，提供高可用性的应用服务系统。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

2.2网络拓扑结构

根据地理位置及信息点的数量和未来覆盖面扩充等多方面原因，将校园网为每个系划分若干个区域。划分区域主要考虑以下几个方面：可以减轻中央核心交换机的负担、管理上方便、便于未来的连接扩充。

翔宇实验中学校园网的拓朴如图2.1所示：

图2.1 翔宇实验中学校园网的拓朴图

整个校园网划分为三个层次：核心层、分布层和接入层。相应的交换机就是核心交换机、分布层交换机和接入层交换机。

核心层网络选择千兆以太网。校网络中心将放置两台高端三层千兆交换机和一台边界路由器。交换机间的连接要求是高带宽连接。分布层交换机要求至少两路上行链路连至两台核心层交换机上，采用快速收敛的路由协议实现故障切换和负载均衡，当某一链路出现意外，也可以从另外一路上连。

校内各系的汇聚交换机构成，各分布层交换机放置在各系的网络中心，要求至少两路上行链路连至两台核心层交换机上。

分布层交换的下连交换机都为接入层网络。

2.3 IP地址规划

本方案采用的地址分配方法利用VLSM技术,不仅有大量预留空间,而且本校园网使用OSPF路由协议,有层次的IP地址,易于管理,在边界路由器上可做汇聚(汇聚成10.1.0.0/17网段),减少路由更新大小,提高网络性能。如表2.1所示:

表2.1 翔宇实验中学校园网IP地址分配表

2.4 设备选型

本方案中校园网络核心层设备采用CISCO Catalyst 6509（Supervisor Engine 720*2/电源*2/FWSM*1/IPSec VPN 模块*1/IDSM*1/NAM*1/16 口千兆以太网光口板*1/若干5486/48 口千兆电口*1，符合IEEE802.3af&PoE） 数量：2 台。Cisco Catalyst 6509 的优点：

● 最长的网络正常运行时间--利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1～3 秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。

● 全面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测、防火墙、VPN 和SSL。

● 可扩展性能--利用分布式转发体系结构提供高达400Mpps 的转发性能。

● 能够适应未来发展并保护投资的体系结构--在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT 基础设施利用率，增大投资回报，并降低总体拥有成本。

● 卓越的服务集成和灵活性--将安全和内容等高级服务与融合网络集成在一起，提供从10/100 和10/100/1000 以太网到万兆以太网，从DS0 到OC-48 的各种接口和密度，并能够在任何部署项目中端到端执行。

校园网络分布层设备采用CISCO Catalyst 4507R（Supervisor Engine V-10GE*2/电源*2/若干千兆以太网光口板及GBIC/48 口千兆电口板*1，符合IEEE802.3af&PoE）数量：7 台。Cisco Catalyst 4506（With Supervisor V-10GE）的优点是：

● 136Gbps 交换矩阵；

● 102mpps 第二层到第四层吞吐率；

● 双线速万兆以太网上行链路；

● 利用千兆以太网SFP 上行链路顺利移植到万兆以太网；

● 在交换管理引擎上提供集成式NetFlow，通过基于用户的速率限制实施精确流量控制；

● 超快速800MHz CPU 可实现更快的控制平面；

● 最多能够在Catalyst 4510R 交换机中支持384 个10/100/1000 端口；

● 提供所有Cisco Catalyst 集成式安全特性；

● 为提供更加灵活的策略，能够为每个端口和VLAN 实施不同的QoS；

● 思科快速转发能够防止可变IP 信息攻击。

● 端口安全、DHCP 侦听、ARP 检测和IP 源防护能够防止黑客从第二层及以上发动拒绝服务（DoS）攻击或破坏网络。

● 速率限制以出口和入口限速器的方式出现，可以控制每个VLAN 的流量，防止DoS攻击。Supervisor Engine V-10GE 支持基于用户的速率限制。

● 802.1X 及其扩展性能防止非法用户和设备接入网络，例如恶意接入点。

● 硬件Netflow 可用于主动发现网络流量异常，并采取相应措施。它使用的访问控制列表可在交换端口和路由端口上提供，以便进行二到七层流量控制。

校园网络接入层设备采用CISCO Catalyst 3560(EMI)交换机，该系列交换机是一个固定配置、企业级、IEEE 802.3af 和思科预标准以太网供电(PoE) 交换机系列，工作在快速以太网和千兆位以太网配置下。

CISCO Catalyst 3560 是一款理想的接入层交换机，适用于小型企业布线室或分支机构环境，结合了10/100/1000 和PoE 配置，实现最高生产率和投资保护，并可部署新应用，如IP 电话、无线接入、视频监视、建筑物管理系统和远程视频访问等。

客户可在整个网络范围中部署智能服务，如高级QoS 、速率限制、访问控制列表、组播管理和高性能IP 路由等，且同时保持传统LAN 交换的简洁性。

思科网络助理(network assistant)在Catalyst 3560 系列中免费提供，是一个集中管理应用，可简化思科交换机、路由器和无线接入点的管理任务。思科网络助理提供了配置向导，大大简化了融合网络和智能网络服务的实施；支持增强的802.1x(IBNS)。

2.5 网络安全设计

翔宇实验中学网络安全性方案设计原则是：整个翔宇实验中学网络必须是一个严密的安全保密体系。采取的安全措施不能影响整个网络运行效率。保密设备要做到管理方便，完善可靠。加密系统具有良好的网络兼容性和可扩展性，实现防窃取、防篡改、防破坏三大功能。按照国家主管部门对政府办公网络安全保密性的相应法规和规定，要保障系统内部信息的安全，我们主要应该做到处理秘密级、机密级信息的系统与不涉及保密信息的系统实行物理隔离，秘密级、机密级信息在网络上采取加密传输。

防火墙是设置在内部网络与Internet 之间的一个或一组系统，用以实施两个网络间的访问控制和安全策略。狭义上防火墙指安装了防火墙软件的主机或和路由系统；广义上还包括整个网络的安全策略和安全行为。防火墙技术属于被动防卫型，它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的，其功能是按照设定的条件对通过的信息进行检查和过滤。防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障，其作用主要有：保护功能拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。连接功能作为内部网络与Internet 之间的单一连接点。管理功能实施统一的安全策略，检查网络使用情况，进行流量控制等。

防火墙有三个属性：所有进出内部网的数据包必须经过它；仅被本地安全策略所授权的数据包才能通过它；防火墙本身对攻击必须具有免疫能力。在翔宇实验中学和外网的连接中，我们推荐使用硬件防火墙。比如CISCO ASA5510-BUN-K9系列：

● 并发连接数 130000

● 网络吞吐量(Mbps) 300

● 安全过滤带宽 170Mbps

● 网络端口 3+1个管理快速以太网端口、可升级到5个快速以太网端口、1个SSM 扩展插槽

● 用户数限制无用户数限制

● 入侵检测 DoS

● 安全标准UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001

● 控制端口console

● 管理思科安全管理器 (CS-Manager)

● VPN支持

选择该型号是因为价格适中,且功能齐全,较适合本校园网建设。

在内部网络和外网之间之间通过防火墙，建立起一个DMZ 区。与外网关联业务的服务器都可以放在DMZ 区，Internet 上的用户只能到达DMZ区相应的服务器。并且内部网络到Internet 的连接，是通过NAT 地址翻译的方式进行，可以充分隐藏和保护内部网络和DMZ区设备。防火墙在内外网络连接中起两个作用：

● 利用访问控制列表（Access Control List ，ACL）实安全防护防火墙操作系统IOS 通过访问控制列表（ACL）技术支持包过滤防火墙技术，根据事先确定的安全策略建立相应的访问列表，可以对数据包、路由信息包进行拦截与控制，可以根据源/目的地址、协议类型、TCP 端口号进行控制。这样，我们就可以在Extranet 上建立第一道安全防护墙，屏蔽对内部网Intranet 的非法访问。

例如，我们可以通过ACL 限制可以进入内部网络的外部网络甚至是某一台或几台主机；限制可以被访问的内部主机的地址；为保证主机的安全，可以限制外部用户对主机的一些危险应用如TELNET 等。

● 利用地址转换（Network Address Translation，NAT）实现安全保护防火墙另外一个强大功能就是内外地址转换。进行IP 地址转换由两个好处：其一是隐藏内部网络真正的IP 地址，这可以使黑客（hacker）无法直接攻击内部网络，因为它不知道内部网络的IP 地址及网络拓扑结构；另一个好处是可以让内部网络使用自己定义的网络地址方案，而不必考虑与外界地址冲突的情况。地址转换（NAT）技术运用在内部主机与外部主机之间的互相访问的时候，当内部访问者想通过路由器外出时，路由器首先对其进行身份认证----通过访问列表（ACL）核对其权限，如果通过，则对其进行地址转换，使其以一个对外公开的地址访问外部网络；当外部访问者想进入内部网时，路由器同样首先核对其访问权限，然后根据其目的地址（外部公开的地址），将其数据包送到经过地址转换的相应的内部主机。

在翔宇实验中学网络工程和今后各种应用系统的建设过程中，在局域网上我们可以根据不同部门、不同业务类别划分VLAN（虚网），通过把不同系统划分在不同VLAN 的方式，将各系统完全隔离，实现对跨系统访问的控制，既保证了安全性，也提高了可管理性。

● VLAN（虚网）技术和VLAN 路由技术

VLAN 技术用以实现对整个局域网的集中管理和安全控制。CISCO 局域网交换机的一大优势是具备跨交换机的VLAN（虚网）划分和VLAN 路由功能。虚网是将一个物理上连接的网络在逻辑上完全分开，这种隔离不仅是数据访问的隔离，也是广播域的隔离，就如同是物理上完全分离的网络一样，是一种安全的防护。通过VLAN 路由实现对跨部门访问的控制，既保证了安全性，也提高了可管理性。

● Inter-VLAN Routing 原理

每一个VLAN 都具有一个标识，不同的VLAN 标识亦不相同，交换机在数据链路层上可以识别不同的VLAN 标识，但不能修改该VLAN 标识，只有VLAN标识相同的端口才能形成桥接，数据链路层的连接才能建立，因而不同VLAN的设备在数据链路层上是无法连通的。Inter-VLAN Routing 技术是在网络层将VLAN标识进行转换，使得不同的VLAN 间可以沟通，而此时基于网络层、传输层甚至应用层的安全控制手段都可运用，诸如Access-list （访问列表限制）、FireWall(防火墙)、TACACS+等，Inter-VLAN Routing 技术使我们获得了对不同VLAN 间数据流动的强有力控制。

● MAC 地址过滤策略

在内部网中还可以利用Cisco 交换机的MAC 地址过滤功能对局域网的访问提供链路层的安全控制。MAC 地址过滤能进一步实现对局域网的安全控制。CISCO局域网交换机具有MAC 地址过滤功能，通过在交换机上对每个端口进行配置，可以禁止或允许特定MAC 地址的源站点或目的站点，从而实现各站点之间的访问控制。由于每块网卡有唯一的MAC 地址，是固定不变的，只允许特定MAC 地址的工作站通过特定的端口进行访问，所以对MAC 地址的访问控制实际上就是对指定工作站这一物理设备的访问控制，由于MAC 地址的不可改变，与对IP 地址的过滤相比，具有更高的安全性。

● 访问安全控制

从确保网络访问的安全出发，路由器对所有远程拨号访问连接都由Radius设置AAA(Authentication Authorization Account，即认证、授权、记帐)级安全控制，防止非法用户的访问。同时，在计费服务器上，也提供Radius 认证方式，两者可以配合使用。（也可以只采用计费服务器上的Radius认证）。具体的实现细节如下：

在网络中配置一台安装Cisco Secure 软件的服务器，Cisco Secure 软件使用Radius（Remote Authentication Dial-in User Service）协议提供对网络的安全控制，并对成功连接到网络的用户的操作进行记录。对于远程拨号访问，配置PPP 协议提供的CHAP（Challenge Handshake Authorization Protocol）认证协议，该协议是一个基于标准的认证服务，而且在传输过程中使用加密保护，与在传输用户ID和口令时不使用加密的PAP 协议相比，具有更大的安全性，可提供用户ID 和口令在传输线上的安全保护。

RADIUS 提供的AAA 级安全控制首先根据用户名和口令识别在本网络中是否允许该用户访问，从而决定是否建立连接；其次对经过认证连接到网络的用户授予相应的网络服务级别，提供访问的限制；最后保留用户在本网络中的所有操作记录（日志），这些记录的内容包括用户网络地址、用户名、所使用的服务、日期和时间以及用于计帐的连接时间、连接位置、数据传输量、开始时间和停止时间等。

AAA 在Client/Server 体系中允许在一个中心数据库中存储所有的安全息，在一台装有Cisco Secure 软件的安全服务器上通过对数据库的修改和维护就可方便地对整个系统进行很好的安全控制。

Cisco Secure 软件由一个Daemon 和一个GUI 两部分组成。Daemon 的操作依赖于两个文件，一个用于定义所有的系统参数的控制文件和一个包含了网络用户所有认证和授权信息的数据库文件。GUI 提供给系统管理员用于维护认证和授权信息等，网络用户可被分配到具有一系列相同参数的组，GUI 使系统管理员能够修改网络中任一组和任一用户的认证和授权参数。

2.6 网络管理系统设计

网络管理性能是衡量一个网络系统性能高低的重要因素之一。网络管理系统完成设置网络设备、监控网络运行、保障网络安全，查找并隔离网络故障，记录网络中的各种事件以及划分虚拟网络等功能。总之，对所有网络上的信息进行统一管理。

网管通常结合硬件和软件的手段来实施，对不同的拓扑结构及不同的物理和逻辑部分进行监控和分析。OSI 定义网管系统支持传统五大网管功能：故障管理、配置管理、计费管理、安全管理以及性能管理。这些管理功能由网管系统和网络设备共同完成。结合校园网的实际情况，我们认为，安全管理与计费管理可以由网络管理模块配合专用的软（硬）件管理产品来共同实现，网络管理的主要任务应落实在故障管理、配置管理和性能管理这三个方面。

1、配置管理

● 网络节点插板、端口和冗余结构的配置和管理；

● 网络节点访问口令的设置和更改。

2、性能管理

● 可以实时连续地收集网络运行的相关数据，可用数字和图形的方式显示网络运行的各种情况以及重要程度，需要时可发布指令到各节点，进行网络控制；

● 可从相关节点收集业务量数据，进行统计、分类、记录归挡。使用这些信息为网络建设提供规划设计依据。

3、故障管理

● 能实时监视故障信息，并对其统计分析；

● 可形成节点、中继线及用户端口的告警产生、告警内容和告警清除的统计报告。可实时修改状态图以反映此故障。

校园网网络设备较多但网络结构简单，管理人员不多，比较适合采用集中的管理模式，即由一台网管主机（或者备份主机）对整个网络环境进行综合管理，不需要添加二级管理设备，管理结构简单，已于维护管理。通过仔细分析校园网网络系统结构，在主要管理产品选型上我们建议采用Cisco 公司基于WINDOWS 2000 的CiscoWorks2000网管软件实现对整个网络设备的管理。

网络管理是对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络管理系统的概念模型主要由管理者、管理代理和被管对象等实体及其相互作用组成。基于SNMP（Simple Network Management Protocol）的网络管理系统SNMP 由IETF 提出，主要是为基于TCP/IP 的互连网设计的，现在已经被其它协议实现，如IPX/SPX，DECNET 以及APPLETALK 等，它的主要标准由一系列RFC 组成，并得到了网络厂商的广泛支持，成为网络管理方面事实上的标准。目前基于SNMP 的网络管理系统已广泛应用于Internet。这里建议采用Cisco Works软件,因为该软件基于WEB页面管理，操作简便，功能齐全，而且是基于标准的多厂商管理软件。

在实际环境中，管理者的功能由安装在网络管理中心的网管工作站上的一系列网管软件完成，它负责管理主机、局域网的计算机网络系统与应用和与之相联的下级单位的广域网、局域网等设备，被管对象指网络设备等网络资源。管理者负责接收来自上述各级节点发送的网络管理信息，并对相关事件进行处理。

应用服务的管理可以采用专用的服务管理软件，针对不同的应用服务，进行专业的监控管理。目前，业界对各种应用服务的管理基本上都有成熟的解决方案。应用服务的状态监控主要体现在三个方面：

● 服务器状态的监控：主要包括服务器的各个性能参数。可以采用专用的系统管理模块对各个性能参数分别监控、统一管理。

● 应用程序状态的监控：包括各个关键服务的关键应用进程的健康情况。视需监控的程度和经费状况，可以选用专用的监控模块或统一的进程监控模块。

● 网络状态的监控：通过上面的网络管理模块即可实现对整个网络系统可用性的统一监控。考虑到校园网目前的管理人员比较少，管理任务相对较多的特点，对以上各个应用服务的管理及网络管理，我们可以采用统一的事件控制平台来汇总管理，实现集中化控制、单窗口管理。并且利用事件控制平台自身的特点，实现报警事件的集成、过滤、关联和自动化处理。事件管理平台收集并集成来自网络环境中任何重要的信息源的消息，通过内置的过滤关联机制，将有效的消息分组分级别的统一呈现在管理员面前。另外，应用监控系统能够利用保存的历史监控数据，生成各种可用性及趋势报表，为下一步的投资改造决策作参考。

第三章 网络应用解决方案

3.1 综合办公自动化系统

翔宇实验中学OA 系统整体设计目标是：利用现代网络技术、多媒体技术及Internet 技术等为基础建立起来的计算机网络，联接教学内部网络的教学楼子网及分散于各功能楼、宿舍楼的计算机，通过网络管理中心的服务器群组为所有计算机提供例如登录服务，文件/打印共享/Email 服务，及教学、科研、整体管理、校务服务、远程教学等传统应用服务，提供经济类文献的查询、地方经济信息的发布、经济类的网上咨询等。

根据教育部"统一规划，相互协调"的原则，实现学院行政部门和学院办公业务的电子化、自动化和网络化，使教育行政管理、应急指挥和快速反应的能力进一步提高，高效率、高质量地为学院教育行政部门和学院的管理和决策服务。实现学院内部资源高度共享；提高教育技术的现代化水平和教育信息化程度；为学院培养创新人才提供信息平台，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力。

在认真总结和分析了学校的校园网应用系统的需求，提供了极具特色的高校校园网应用解决方案，主要包括公文管理系统、信息发布系统、会议管理系统、信息交换系统、个人信息系统、信息资源库、档案管理子系统、公共信息管理子系统、电子论坛、日常事务管理、领导信息查询子系统、图书管理子系统、教学管理子系统、高考多功能查询系统、邮件系统等十几个模块。

操作简单；性能安全可靠；双向复制功能；综合查询功能；支持移动办公；灵活的伸缩性；支持多系统共存；动态权限配置；通用的公文审批流程、打印格式；工作流程灵活定制；强大的版本跟踪、痕迹保留技术。

第四章 网络的综合布线系统

4.1 综合布线标准

所谓综合布线系统，是指按标准的、统一的和简单的结构化方式规划和布置各种建筑物（或建筑群）内各种系统的通信线咱，包括网络系统、电话系统、监控系统、电源系统和照明系统等。因此，综合布线系统是一种标准通用的信息传输系统。

标准化组织:

● 北美的标准EIA/TIA568A

● 国际ISO标准，即ISO/IEC11801

● IEEE802.3 100/1000Base-T、100Base-F

● IEEE802.5 TokenRing

● 中国建筑电信设计规范

● 工业企业通信设计规范

4.2设计范围及要求

设计目标的确定我们为该企业网络设计的综合布线系统将基于以下目标：

1.符合当前和长远的信息传输要求。

2.布线系统设计遵从国际（ISO/CEI11801）标准。

3.布线系统采用国际标准建议的星形拓扑结构。

4.考虑网络连接到桌面的速度100Mbps，网络主干信息传输向1000兆发展的需要。

5.布线系统的信息出口采用国际标准的RJ45插座。

6.布线系统符合综合业务数据网的要求。

7.布线系统要立足开放原则。

4.3布线的实施

系统结构,根据企业的具体情况，采用以下方案：采用集中结构，整个办公区的所有双绞线都拉到机房中。 双绞线直接端接在机柜内的模块化配线架上。

材料选型,考虑到主干网络采用千兆以太网的要求,所以,方案中网络选用超5类双绞线。

布线要求,布线标准选用超5类线产品，每个工作位是一个双孔插座：一个电脑插座，一个电话插座(个别工作站设双语音插口)。机柜端采用朗讯48口模块式配线架。电话与电脑可任意互换。布线系统管槽设计管线铺设建议：

1.由于安装的是非屏蔽双绞线，对接地要求不高，建议在与机柜相连的主线槽处接地。

2.本区域需要线槽的规格是这样来确定的：线槽的横截面积留40%的富余量以备扩充, 超5类双绞线的横截面积为0.3平方厘米。

3.线槽安装时,应注意与强电线槽的隔离。布线系统应避免与强电线路在无屏蔽、距离小于20cm情况下平行走3米以上。如果无法避免，该段线槽需采取屏蔽隔离措施。

4.进入家具的电缆管线由最近的吊顶线槽沿隔墙下到地面，并从地面镗槽埋管到家具隔断下。

5.管槽过渡、接口不应该有毛刺，线槽过渡要平滑。

6.线管超过两个弯头必须留分线盒。

7.墙装底盒安装应该距地面30厘米以上，并与其他底盒保持等高、平行。

8.线管采用镀锌薄壁钢管或PVC管。

工作区子系统由终端设备连接到信息插座的连线，以及信息插座所组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定，并预留适当数量的冗余。例：对于一个办公区内的每个办公点可配置2～3个信息点，此外应为此办公区配置3～5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等等。若此办公区为商务应用则信息点的带宽为100M可满足要求；若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。

工作区的终端设备（如：电话机、传真机）可用康宁公司FutureCom超五类或六类双绞线直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。

水平子系统主要是实现信息插座和管理子系统，即中间配线架（IDF）间的连接。水平子系统指定的拓扑结构为星形拓扑。水平干线的设计包括水平子系统的传输介质与部件集成。选择水平子系统的线缆，要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在水平子系统中推荐采用的双绞电缆及光纤型号为: 康宁公司FutureCom超五类或六类非屏蔽双绞线, FutureLink室内单模或多模光纤。

双绞线水平布线链路中，水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为水平子系统的线缆，可根据信息点类型的不同采用不同类型的电缆，例如对于语音信息点和数据信息点可采用FutureCom超五类或六类双绞线，甚至使用FutureLink光缆；对于电磁干扰严重的场合应尽量采用康宁公司FutureCom六类屏蔽双绞线。但是从系统的兼容性和信息点的灵活互换性角度出发，建议水平子系统采用同一种布线材料。

管理子系统由互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。康宁公司的LANscape综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。

干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间配线架，计算机、PBX、控制中心与各管理子系统间的连接。干线传输电缆的设计必须既满足当前的需要,又适应今后的发展。干线子系统布线走向应选择干线线缆最短、最安全和最经济的路由。干线子系统在系统设计施工时，应预留一定的线缆做冗余信道，这点对于综合布线系统的可扩展性和可靠性来说是十分重要的。

干线子系统可以使用的线缆主要有：HAY三类大对数电缆；FutureCom超五类或六类双绞线；FutureLink室内单模或多模光纤。

超五类双绞线可以支持1000BASE－T，但如要求支持1000BASE－TX则必须使用六类双绞线。如果已安装的电缆仅满足5类线标准(1995)，那么在连接1000BASE－T设备之前，应对布线系统按照新增加的布线参数（如：回波损耗，等级远端串扰（ELFEXT），传播延迟和延时畸变等）进行测量和认证。

设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互连起来。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在较大型的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房放在离设备间不远的位置。

建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段，也可采用微波通信、无线通信的手段。

在康宁公司的LANscape综合布线解决方案中，康宁FutureLink光纤不但支持FDDI主干、1000Base－FX主干、100Base－FX到桌面、ATM主干和ATM到桌面，还可以支持CATV/CCTV及光纤到桌面（FTTD），是建筑群子系统和主干线子系统布线中有线通信线缆中的明星。光纤有单模光纤和多模光纤两种：单模光纤只传输主模态，可完全避免模态色散，传输频带很宽，传输容量很大，适用于大容量、长距离的光纤通信。它是未来光纤通信与光波技术发展的必然趋势（如：1000BASE－LX基于1300nm的单模光缆，使用8B/10B编码解码方式，最大传输距离为3000m，康宁公司出品的特制光纤传输距离为标准距离的5-10倍）；多模光纤传输模态较多，存在一定量的模态色散，频带较宽，传输容量较大（目前采用的62.5/125μm多模光纤，数据传输速率为100Mbps时，最大距离可以到2km），但传输千兆位数据量时距离支持十分有限。

4.4测试及验收

布线的施工工艺质量并不能完全决定整个网络布线的质量，所以对布线必须作认证测试，以决定链路是否达到设计要求。

1．验证测试，通常是施工者在施工结束后自己检查的过程，测试的主要参数是基本链路的连通性、接线图及长度，获取的数据用来判断整个工程是否达到设计要求，并作为向甲方提出对该工程验收的依据。

2．认证测试，它的结果直接反映了布线施工工艺质量的好坏，并能判定基本链路的连通性测试和电气性能测试是否全部达到规定的设计要求；具体的施工质量没有经过认证测试这一重要环节，系统的可靠性、稳定性是很难保证的。

3．测试标准，目前，认证的标准一般采用TIA委员会制定的五类双绞线系统测试标准，即TSB-67《现场测试非屏蔽双绞线布线系统的传输性能规范》或ISO11801为标准。

4．测试参数，各种测试模式的测试参数至少应包括下列内容：

● 接线图（Wire Map）--这是确认链路连接完整性的测试，主要检查8芯双绞线中每对线是否符合EIA/TIA-568规定的标准；

● 长度（Length(m)）--主要检查链路的物理长度，对通道最长为100M，对链路最长为94M，如考虑到测试仪器的校正误差，最多可增加10%，即对通道最长110M，对链路最长为104M；

● 衰减（Attenuation）--主要检查信号沿链路传输过程中损失的量度；

● 近端串扰（NEXT（dB）） --主要检查双绞线链路中从一对线到另一对线的信号泄露。这个参数是决定链路传输性能的最重要的参数，会随着传输速率的增加而增大，它与布线的走向、线的端接、干扰源的隔离等诸多因素有关；

● 对于主干采用大对数光缆，则需要测试光传输过程中的连续性和衰减损耗。其中连通性是对光纤的基本要求，而衰减损耗是对光纤作为网络介质所表现的传导性能否保证系统正常工作的前提。具体的说，就是要检查每条光纤是否存在着断裂或其它的不连续点，光纤的接头ST或SC头的制作工艺以及每一条光纤的长度是否符合标准。

标识清楚，标识分为以下类别：通道标识、空间标识、电缆标识、端接硬件标识。

接地标识，对日常维护最重要的是电缆标识，根据我们的经验是标识的越细致，日常维护越简单、方便，设备间的标识尤为重要，垂直、水平、光缆，甚至房间的模块面板都应标识清楚。

参考文献

1.陈昇．思科网络技术学院教程（第一、二学期）．人民邮电出版社．2005

2.陈昇．思科网络技术学院教程（第三、四学期）．人民邮电出版社．2007

3.沈海娟．网络互联技术——路由与交换.浙江大学出版社．2009

校园网络设计方案