胶南高职校校园网建设方案.doc

胶南高职校校园网建设方案 一、总体方案描述 在本方案中采用了“自顶向下”的设计思想。自顶向下的设计方法适用于从OSI参考模型的高层开始再向较低的层次推进的网络设计，它着重于在选择运行于较低层次上的路由器、交换机和介质之前，将重点放在应用、会话、数据的传输上。 “好的网络设计必需清楚师生的需求，蕴涵着许多商业和技术的目标，包括可用性、可伸缩性、可购买性、安全性和可管理性等。”所以在设计网络系统的时候，站在师生的角度考虑问题，以满足学校的应用需求和技术需求为指南。 本网络系统是一个大端口密度网络系统，是一个要求带宽较高、要求很高的安全性、支持用户数和应用种类较多的网络。在网络设计中采用先进的万兆位以太网和模块化交换设备作为骨干网络，同时考虑网络核心设备支持IPv6，满足未来升级需求。其总体架构为10G以太网骨干，在网络的汇聚层节点核心节点，设计采用模块化结构万兆位以太网路由交换机，并使用千兆位以太网连接接入层交换机和应用服务器，网络用户使用10/100M交换到桌面的连接；在整个网络中可以根据实际需求划分VLAN，在网络中心的主干结点支持VLAN之间的线速路由。 （一）网络设计说明 根据学校网络状况，规划如下： 学校校园网网络如图所示。网络架构呈星型：网络出口区域放置一台高性能多核安全网关，替换原RG-NBR2500路由器，防火墙采用多核MIPS总线架构，不仅可提供整网NAT转换，而且还可支持AV、IPS、URL、APP特征库等功能，确保校园内部数据的安全，同时，经校区间互联专线实现校本部与西校区的互连。 数据核心区域，采用神州数码DCRS-6804E高性能核心交换机与原RG-7604交换机做双机热备，既保护了前期的投资，又提高了网络接入的安全性和稳定性，两台核心互为备份，有效保障内部数据业务7*24小时不间断工作，校区内各楼层接入交换机通过千兆多模光纤双线路上联至核心交换机，同样实现了链路的双规双活，使得内部网络架构更加健壮。接入交换机全部采用二层全千兆交换机，通过QOS、ACL等策略提升网络安全，千兆的用户接入速率，有效保障了数字化校园网业务的稳定运行。 考虑到数字化校园的特点，在教学楼和实训楼内部署无线AP设备，覆盖两座楼宇内的全部区域，方便教职工和校领导无线上网，使得网络接入方式更加灵活、方便。同时满足教职工移动办公的需求。 在数据中心机房内，同时配置一台无线控制器，对网内所有AP进行统一管理、统一策略下发，无线AC设备本身还具备对无线AP的自动调节功能，例如：AP信道自动调整、AP自身信号功率补偿等功能，在方便了管理人员对AP管理的同时，又充分提供了一个安全、稳定、便捷的无线办公环境。另外，考虑到对内部网络用户的上网行为管理的需求，配置一台上网行为管理系统，为网络管理人员提供网络纠察依据。 （二）网络数据交换区(核心层、接入层)说明 校园网中心新增一台性能稳定的4插槽万兆IPv6核心交换机DCRS-6804E，此设备可进行高性能数据交互作业，运行稳定，可达到电信级别的处理能力和运行能力，有效确保骨干系统的稳定可靠。 核心交换机DCRS-6804E配置双电源双引擎，保证网络主干的稳定和可靠性，并且配置千兆电口、光口实现接入交换机及其服务器等的互联。 DCRS-6804E系列路由交换机完善的IPv6特性、出色的安全体系设计、优良高效的网络管理、先进的万兆功能以及运营商级的可靠性，不仅保证了IPv6/v4复杂网络的安全和稳定， 接入交换机使用神州数码DCS-4500系列，实现用户计算机的接入，通过千兆多模光口模块与核心相连，该系列交换机集成堆叠模块，可方便扩展，满足未来网络需要。接入层交换机神州数码DCS-4500通过ACL、DHCP Snooping功能，保证在入网出即可防范蠕虫病毒、ARP主机欺骗、网关欺骗、DHCP Server攻击等病毒的发生。 （三）上网行为监控系统设计 随着信息技术和互联网的深入发展，互联网日益成为人们工作、学习和生活的一部分。在享受互联网带来的巨大便利的时候，由其带来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出，并由此产生法律、名誉、经济等各方面问题。特别是《互联网安全保护技术措施规定》（公安部第82号令）明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。这对于互联网管理，上网行为规范，提高网络利用率等方面提出了迫切的需要。 学校采用神州数码网络依托多年的研发经验，推出的DCBI-NetLog上网行为管理系统。作为完全拥有自主知识产权的网络行为分析管理系统，集成先进的软硬件体系构架，配以先进的行为分析引擎、灵活多样的管理控制策略，实时分析网络活动，并生成丰富的统计报表。上网行为管理系统是一款专业的互联网出口管理设备，在上