计算机网络课程设计说明书

摘 要

当今的世界正从工业化社会向信息化社会转变, 快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。

目前国内一些重事业高校的网站已经开展这方面的应用。但现在中小学的校园网正在建设阶段。中小学建设校园计算机网络的根本动机，就是提高学校的管理效益和教学质量。而并非只有大量的资金投入，建设具有规模的计算机网络，才能开展学校的教育手段。架设满足学校应用需求的小的局域网络、教学网络同样也能发挥大的教育效益。

关键词： 计算机网络 网络规划 网络设计 校园网

前 言

Internet 及WWW 应用的迅猛发展，极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域和时间的界限，为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。学校作为信息化进程中极其重要的基础环节，如何通过网络充分发挥其教育功能，已成为当今的热门话题。

为了提高教育和学习的质量，所有师生对网络办公和学习的需求是迫在眉睫，所有人都希望在校园里的都能上网络。正所谓大有大的难处，校园网一般具有较大的规模，它不是网络设备的简单组合，而是一种整体的校园系统。校园网必须满足校园扩展需要，确保高吞吐量、安全性。在很多时候，由于校园网络的种种问题的产生，以及学校对网络的需求随着学校的扩招却迅速增大。因此迫切需要在保障学生的学习和生活不受到影响的前提下，通过引进先进的组网模式，改造或者重新规划建设校园网络，以满足学校对网络的需求，保障学校的正常运转，同时实现教育信息化的目标。要求全新设计的校园网络能够最大限度的保护现有网络投资，以最低的造价实现信息化校园网络的标准，以满足日益增长的校园建设需求；建成后的网络应易于应用、管理和维护；施工过程中不能影响学校的正常运转，所提供的方案最好具有推广的价值，或者能够有效的降低网络接入与运行费用，保障大多数学生、教职员工都能够有条件接入、使用网络，提高学习与工作效率，实现教育的信息化。

第2章 需求分析

计算机网络在当今的信息时代扮演越来越重要的角色，在校园网络中，视频、音频、数据集于一身，如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输，就没法对流做出最高优先级和次高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟、服务不可用。所以要想真正改变网络的效率，更有效的保证应用服务的运营，需要通过端到端的QOS ，智能到边缘的方式来保证。通过智能到边缘，端到端的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。可以对园区网应用中的，多媒体视频点播服务、数据备份服务、文献传递服务、E-mail 服务、数据库服务器等服务。对不同服务流进行详细的分类，划分优先级，以及尽可能地避免发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。校园网组建是一项系统工程，其总体设计的确定，不仅要考虑到近期目标，还要为系统的进一步发展和维护留有余地。设计中需求要考虑个阶段的情况，为适应长远稳定使用，进行统一规划和设计。尽可能采用成熟先进且稳定的技术，使用先进技术的计算机系统和网络设备，并有相当长时间的可用性。

2.1 带宽

带宽新的校园主干采用具有第三层交换功能的千兆位以太网（Gigabit Ethernet ）以满足广大用户的各种要求。新的主干设备应能满足4000用户接入访问的要求。

2.2 子网与VLAN 规划

学校目前为止拥有IP 段为：192.168.0.0—192.168.8.255, 共有IP 地址2286个, 共有房间1512间, 在此基础上, 进行IP 地址划分, 为了保证扩展性和安全性, 对每栋楼的每层划分一个子网, 为节省IP 资源, 每二栋楼共用三个IP 地址段, 进行详细的子网划分. 保证每个宿舍接入一个信息点, 剩余IP 资源留做扩展用途。

2.3 实现的信息服务

支持IP 多目广播（Multicast ）与服务质量（Qos ）或服务类型(CoS)，满足远程教育的需求。

2.4 应用程序

1.DNS 服务,2.FTP 服务,3.WWW 服务,4. 在线交互,5.E-mail 服务

2.5 存储系统分析

由于学校传统的网络应用中所有教育资源都存放在一台服务器上，具有高性能与高扩展能力的服务器成本较高; 教学资源的访问服务会与应用服务争夺系统资源，造成网络服务效率的大幅下降; 应用服务器的系统故障将直接影响资源数据的安全性和可用性，给学校的教学工作带来不便。

针对这些问题，可以利用Vicount 网络存储来实现集中存储与分散存储。

2.6 系统及数据安全分析

当整个网络开始运作时，其安全防范问题就越显重要。如何快速防范网络病毒和网络黑客，已成为网络安全最主要的任务之一。

病毒作为一种特殊的程序，具有传染性、流行性、繁殖性、表现性和针对性等特征，网络病毒不仅可以对单独的计算机造成损坏，还会对校园网造成严重的损坏.

2.7 QoS

为确保用户各种关键业务的正常开展，必须采取全面而系统的QoS 设计(提供端到端QoS 服务) ，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时；为了保证端到端用户的服务质量，因此要求端到端数据流经的所有网络设备都支持实施的QoS 策略，核心设备是多个服务器接入的设备，并且担负着全网数据的交换，QoS 的能力影响着全网的服务质量保障能力。

锐捷各款交换机都支持丰富的QoS 功能，能确保重要业务量不受延迟或丢

弃，同时又充分利用现有的带宽以保证网络的高效运行。

例如，将下载一个大型文件的任务设置到交换机一个端口，而在该交换机的另外一个端口进行语音通信，为减少语音通信时延，保证通话质量，可在整个网络中对各种业务进行分类和优先级划分。例如Web 浏览，可以作为低优先级对待，或者“尽力而为”地进行处理。

如图所示：QoS 工作原理

在骨干网络网络中，由于信息资源集中于骨干网络网络中心，为保证全网的QoS ，要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS 标注方案，而二层的802.1P 标记对于骨干网络这样的网络并没有实际意义，因为802.1P 的标记不能在交换机之间传递，只能在本机上有用。

锐捷网络的RG-S6810E 多业务万兆核心路由交换机支持基于基于DiffServ 标准为核心的QoS 保障系统，支持IP TOS、SP 、WRR 等完整的QoS 策略，实现基于全网系统多业务的QoS 逻辑，另外提供灵活的端口队列管理机制，端口多级拥塞设置; 具备MAC 流、IP 流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。

通过从核心到接入设备全程对QoS 的良好支持，全部硬件提供二到四层数据流交换，实现应用感知的功能，给予多媒体办公应用提供透明的QoS 保障，确保真正的端到端的QoS 的实现。

第3章 拓扑图及方案整体描述

3.1 主干网传输方案设计

考虑到在目前通信条件的成熟和对性能要求的提高，采用ATM 技术和快速以太网技术相结合，网络的主干建议采用锐捷网络的RG-S6810E 中心交换机通过155M 光纤连接，锐捷RG-S6810E 交换机提供多个多模光纤端口及多个10/100MUTP端口。锐捷RG-S6810E 是业界领先的多LAN/ATM交换机, 提供了超过10Gbps 的总体交换功能，RG-S6810E 是模块化的，它以集成的帧和信元交换来完成以太网、高速以太网、令牌网和ATM 交换。也可以选用Cisco 相应的产品。数据库服务器、Internet 服务器等服务器均接在ATM 交换机上这样可以提供足够的带宽，减少由于用户对服务的集中要求所产生的瓶颈。

3.2 Internet接入方案

关于Internet 的介入方式大致可以分为5种：

1.Modem 。大多数用户平常上网都是通过电话线拨号上网。常用的画集一般是双音频和脉冲两种，主要功能是创送音频话因信号。

2.ADSL 。ADSL 为人们提供了一种长距离的网络接入方式，他试运行在原有普通电话线上介入互联网的一种新的宽带技术。

3.ISDN 。ISDN 解决了用户上网后不能接听电话的烦恼，ISDN 比专线接入方式价格便宜，目前也首选ISDN 作为成熟和使用的技术来应用。

4.DDN 数字数据网作为数据通信网的基础，提供点对点、一点对多点的大容量信息传送通道，它是数万、数十万条以光缆为主体的数字电路，通过数字电路管理设备。他是传输速率高、质量好、网络延时小、全透明、高质量的数据传输基础网络。唯一的缺陷就是费用昂贵。

5.LAN 。为了使多台电脑都能连接Internet ，即经济有使用的办法就是共享上网，即LAN 。

康县第一中学校园网网络拓扑图如图3.1所示：

图3.1 康县第一中学校园网拓扑结构图

3.3 远程访问支持

为了满足教师在自己家里进行科研与办公的需要，采用远程拨号把教师家中的计算机和校园网通过公共电话网连起来，充分利用现代通信手段和校园网资源。学生也可以通过电话拨号访问校园网上的资源。

远程访问提供电话拨号访问功能，使用户在家中、在外地都可以访问校园网。远程工作站通过拨号接入校园网，采用点对点的协议为PPP 。远程访问服务器RAS 与调制解调器Modem 组合实现远程访问功能。在访问服务器的远程访问端口提供访问控制(Access List) 。通过与拨号安全服务器配合，还能实现进一步的用户认证和授权控制。远程访问解决了远程工作站通过拨号线路对网络资源的访问。由于拨号网络是攻击网络的可能的主要入口，因而必须在技术和管理两个方面加强管理。远程访问服务应提供以下功能：

拨号访问（Telnet/Rlogin/PPP）支持；

静态/动态地址分配；

多协议（IP 和IPX ）透明访问支持；

用户访问和安全控制；

拨出（Dial-on-Demand, Dial-Out）功能；

自动协议检测和转换；

远程控制和维护；

网管支持；

拨号网络是可能的主要攻击入口，并且采用动态IP 分配策略，所以必须与其它网段隔离，直接连到网络中心路由器上，占用一个独立的网段，这样也有利于计费管理。访问服务器通过路由器与MODEM 池接入拨号线。访问服务器与拨号安全服务器配合，根据身份认证协议（TACACS/RADIUS/KEBEROS）实现拨号用户的认证和授权。

3.4 子网划分

学校目前为止拥有IP 段为：192.168.0.0—192.168.8.255, 共有IP 地址2286个, 共有宿舍1512间, 在此基础上, 进行IP 地址划分, 为了保证扩展性和安全性, 对每栋楼的每层划分一个子网, 为节省IP 资源, 每二栋楼共用三个IP 地址段, 进行详细的子网划分. 保证每个宿舍接入一个信息点, 剩余IP 资源留做扩展用途. 具体的IP 地址分配方案和子网划分方案如下:

综合楼楼共有房间270间, 至少需要IP270个, 因此我们用两个IP 段划分8个子网, 其中6个子网分别划分在该楼的每一层, 具体划分方案如下

IP 192.168.0.0/26

子网掩码:255.255.255.192 /0号子网 /1号子网 /2号子网 /3号子网 一层可分IP 为:192.168.0.1—192.168.0.63 二层可分IP 为:192.168.0.65—192.168.0.127 三层可分IP 为:192.168.0.129—192.168.0.191 四层可分IP 为:192.168.0.193—192.168.0.254

IP 192.168.1.0/26 子网掩码:255.255.255.192

五层可分IP 为:192.168.1.1—192.168.1.63 /0号子网

教学楼共有房间264间, 至少需要IP 264个, 因此我们用1个IP 段划分4个子网, 加上1号楼未分配的两个子网, 用以该楼的每层 ,具体划分方案如下:

IP 192.168.2.0/26

子网掩码:255.255.255.192 /0号子网 /1号子网 /2号子网 /3号子网 一层可分IP 为:192.168.2.1—192.168.2.63 二层可分IP 为:192.168.2.65—192.168.2.127 三层可分IP 为:192.168.2.129—192.168.2.191 四层可分IP 为:192.168.2.193—192.168.2.254

IP 192.168.1.0/26 子网掩码:255.255.255.192

五层可分IP 为:192.168.1.129—192.168.1.191 /2号子网

教职工楼楼共有学生宿舍132间, 到少需要IP 132个, 因此我们用一个IP 地址段划分6个子网对其进行划分, 具体分配方案如下:

IP 192.168.3.0/27 子网掩码:255.255.255.224

一层可分IP 为:192.168.2.1—192.168.2.31 /0号子网

二层可分IP 为:192.168.2.33—192.168.2.63 三层可分IP 为:192.168.2.65—192.168.2.95 四层可分IP 为:192.168.2.97—192.168.2.127

五层可分IP 为:192.168.1.129—192.168.1.159 /1号子网 /2号子网 /3号子网 /4号子网

学生宿舍A 楼共有276间，至少需要IP 276个，因此我们用两个IP 地址段划分8 个子网，其中6个子网用于每个楼层。具体划分方案如下：

IP 192.168.4.0/26

子网掩码:255.255.255.192 /0号子网 /1号子网 一层可分IP 为:192.168.4.1—192.168.4.63 二层可分IP 为:192.168.4.65—192.168.4.127

三层可分IP 为:192.168.4.129—192.168.4.191 /2号子网 /3号子网 四层可分IP 为:192.168.4.193—192.168.4.254

IP 192.168.8.0/26 子网掩码:255.255.255.192

五层可分IP 为:192.168.8.1—192.168.8.63 /0号子网

学生宿舍B 楼共有128间, 到少需要IP 128个, 因此我们用一个IP 地址段划分6个子网对其进行划分, 具体分配方案如下:

IP 192.168.5.0/27 子网掩码:255.255.255.224

一层可分IP 为:192.168.5.1—192.168.5.31

/0号子网 /1号子网 /2号子网 /3号子网

/4号子网 二层可分IP 为:192.168.5.33—192.168.5.63 三层可分IP 为:192.168.5.65—192.168.5.95 四层可分IP 为:192.168.5.97—192.168.5.127 五层可分IP 为:192.168.5.129—192.168.5.159

实验楼有172间, 到少需要IP 172个, 因此我们用一个IP 地址段划分6个子网对其进行划分, 具体分配方案如下:

IP 192.168.6.0/27 子网掩码:255.255.255.224

一层可分IP 为:192.168.6.1—192.168.6.31

二层可分IP 为:192.168.6.33—192.168.6.63 三层可分IP 为:192.168.6.65—192.168.6.95 四层可分IP 为:192.168.6.97—192.168.6.127

五层可分IP 为:192.168.6.129—192.168.6.159

未分配的IP 地址用以扩展用途。

3.5 网间隔离方案设计

根据中学校园网的结构特点及面临的安全隐患，我们将通过瑞星防火墙、入侵检测、网络杀毒软件，实现网络安全隔离、网络监控措施、网络病毒的防

/0号子网 /1号子网 /2号子网 /3号子网 /4号子网

范等安全需求，为校园构建统一、安全的网络。

防火墙的部署，在Internet 与校园网内网之间部署了一台瑞星防火墙，其中WWW 、E-mail 、FTP 、DNS 服务器连接在防火墙的DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。这样，通过 Internet 进来的外网用户只能访问到对外公开的一些服务（如WWW 、E-mail 、FTP 、DNS 等），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审计。

3.6存储方案

校园网建设过程中偏重于网络系统的建设，在网络上配备了大量先进设备，但网络上的教学应用资源却相对匮乏。原有的存储模式在增加教学资源时会显现很多弊病：由于学校传统的网络应用中所有教育资源都存放在一台服务器上，具有高性能与高扩展能力的服务器成本较高; 教学资源的访问服务会与应用服务争夺系统资源，造成网络服务效率的大幅下降; 应用服务器的系统故障将直接影响资源数据的安全性和可用性，给学校的教学工作带来不便。

针对这些问题，可以引入Vicount 网络存储来实现集中存储与分散存储。

1. Vicount网络存储提供了一个高效、低成本的资源应用系统。由于Vicount 网络存储本身就是一套独立的网络服务器，可以灵活地布置在校园网络的任意网段上，提高了资源信息服务的效率和安全性，同时具有良好的可扩展性，且成本低廉。

2. 提供灵活的个人磁盘空间服务。Vicount 网络存储可以为每个学生用户创建个人的磁盘使用空间，方便师生查找和修改自己创建的数据资料。

3. 提供数据在线备份的环境。网络管理员可以时时的在线将数据备份到Vicount 网络存储，保证数据安全、快捷备份。

3.7设备选型

本方案采用的是在业界处于领先地位，具有最高性能的锐捷产品。与其他同类产品（3Com , bays , Intel , Accton 等）比较，锐捷具有以下如下优势

和特点：

锐捷提供端到端高可用性的网络，该网络可提供关键任务应用所需的稳定性。我们设计的整个系统能应付各种意外干扰，能迅速排除误操作或系统软硬件故障带来的影响，甚至有部份部件损坏时亦能进行正常的数据处理。最后在网络配置时，适当地采用冗余备份、迂回路由等技术手段可提高整个系统的容错能力和故障恢复能力。锐捷特有的IOS 软件能够有效地实施QoS 、多媒体、多点传送应用支持, 加上CiscoAssure 策略连网功能提供专用带宽、控制抖动和时延、改善信息包丢失等特性，还有锐捷专有的技术CGMP ，使远程学习、虚拟工作场所、可视会议和流式传输受益于IP 多目传送，使多媒体数据流能在有限的带宽中得到最好的传输效果。

3.8 软件

Internet 技术采用B/S结构, 所以其软件可以分为服务器软件和客户端软件。客户端软件主要为浏览器，Microsoft Windows98/XP+Microsoft Internet Explorer 是目前最为常见的搭配；而服务器软件则较为复杂，涉及网络造作系统、Web 服务器软件、E-mail 服务器软件等。结合网络的功能特点，服务器端采用以下软件方案:

网络操作系统:Microsoft Windows 2000 Server ，它提供较强的网络功能，并集成DNS 、DHCP 等服务。

Web 服务器软件:IIS5.0，这实在Windows 2000 Server上实现Web 服务的最理想的方案，利用它可以实现WWW 、FTP 等服务，并支持ASP 。

E-mail 服务器软件:Winmai server4.0, 它支持POP3、SMTP ，使用及维护非常方便。

3.9 信息服务方案

表4.1

1. 主页。实现功能模块整合。

2. 教学资源。教师可以将所受课程相关的课件、电子教案、辅助教学软件、学习参考资源等信息资源提供给学生下载。

3. 在线教育。将教师上课时的录像上传至往上，学生可以实时点播。

3.10 综合布线方案

3.10.1 结构化布线设计

结构化布线设计应该满足以下目：

1. 满足大楼各项主要业务的需求，且兼顾未来长远发展。

2. 符合当前和长远的信息传输要求。

3. 布线系统设计遵从国际（ISO/IEC 11801） 标准和邮电部和建设部标准, 布线系统采用国际标准建议的星型拓扑结构。

4. 布线系统将支持语音、数据等综合信息（如 ISDN 、B －ISDN 、ATM 等）的高质量传输，并适应各种不同类型不同厂商的电脑及网络产品。

5. 布线系统的信息出口采用国际标准的RJ45插座，以同一的线路规格和设备接口，使任意信息点都能接插不同类型的终端设备，如电脑、打印机、网络终端、电话机、传真机等，以支持话音、数据、图象等数据信息和多媒体信息的传输。

6. 布线系统符合综合业务数据网ISDN 的要求，以便与国内国际其它网络互连。

综合布线系统支持的设备品种繁多，包括传输介质、配线箱（电缆配电箱、光缆配线箱、连接器）、标准信息插座、RJ45插头、适配器、电子保护器装置

以及专用手工艺安装工具、检测工具等等。综合布线系统采用的传输介质通常包括双绞线（非屏蔽双绞线UTP 踏它屏蔽双绞线FTP ）踏它光纤。

3.10.2 综合布线系统

综合布线系统由六个子系统构成并联分别定义：

通信踏它数据处理系统的各种需求确定了所需的子系统。从理论上讲, 大型通信系统可能需要用铜介质和光纤介质部件把全部上述子系统集成在一起。

工作区子系统(WORK AREA)：

工作区子系统由终端设备连接到信息插座的连线(或软线) 组成, 它包括装配软线、适配器和连接所需的扩展软线，并在终端设备和I/O之间搭桥。

水平布线子系统（HORJZONTAL ）：

水平布线子系统是将干线系统线路延伸到用户工作区，实现信息插座和管理子系统系统（配线架）间的连接，常用1010或1061型8芯双绞线实现这种连接。

管理子系统(ADMINISTRATION)：

管理子系统由交连、互连配线架和信息插座式配线架以及相关跳线组成。管理点为连接其它子系统提供连接手段。交连和互连允许你将通讯线路定位或重定位到建筑物的不同部分，以便能更容易地管理通信线路。

主干线子系统（BACKBONE ）：

实现计算机设备，程控交换机（PBX ），控制中心与各管理子系统间的连接，常用介质是大对数双绞线电缆、光缆，它的一端端接于设备机房的主配线架上，另一端通常端接在楼层接线间的各个管理分配线架上。

设备室子系统（EQUIPMENT ）：

设备子系统由设备间中的跳线电缆、适配器组成，它把中央主配线架与各种不同设备互连起来、如PBX ，网络设备和监控设备等与主配线架之间的连接。

6. 建筑群子系统（CAMPUS ）：

建筑群子系统将一个建筑物中的电缆延伸到建筑群的另一些建筑物中的通信设备和装置上，常用通信介质是光缆。

需要指出的是，对数据通讯而言，主干线和建筑群间使用光缆，并使用FDDI 或ATM 技术，可使系统间的传输率达1000Mbps 。对工作区而言，使用CAT3 UTP 电缆，则目前技术可达100Mbps(100Base-T)；而对CAT5 UTP电缆，对目前设备而言，可达155Mbps 。

3.10.3设计目标

实用性：实施后的布线系统，将能够在现在和将来适应技术的发展，并且实现数据通信、语音通信、图像通信。

灵活性：布线系统能够满足灵活应用的要求，即任一信息点能够连接不同类型的设计，如计算机、打印机、终端或电话、传真机。

模块化：布线系统中，除去敷设在建筑内的缆线外，其余所有的接插件都应是积木式的标准件，以方便管理和使用。

扩充性：由于所有基础设施（材料、部件、通信设备）都采用国际标准，无论计算机设备、通信设备、控制设备随技术如何发展，将来都可很方便地将这些设备扩充到系统中去。

经济性：在满足应用要求的基础上，尽可能和低造价。

3.10.4工作区设计

工作区布线子系统由终端设备连接到信息插座的连线组成。

信息点数量的确定：

根据PDS 设计规范和我们的工程经验，及天水市中级法院办公楼的实际建筑情况和用户要求，我们考虑：办公区每标准开间设置二个单孔信息出口，可用于一部计算机和一部电话或同时用于计算机或同时用于电话。这种信息点密度的配置情况，满足了大楼在今后10年内的使用要求，不致很快以进行大的系统改造。

信息点产品型号的造型：

信息插座采用LUCENT 的单孔模块插座MPS100B （CAT.5），该插座具有性能高、尺寸小、拆装简便等特点，其输入、输出线的线规均符合HEIA/TIA568B标准。信息点的引出由RJ45信息插头完成，在MPS100BH 插座内既可以插入数据通讯用的RJ45接头又可以插入音频信号用的RJ11接头。因此通过MPS100BH 插座既可以引出电话也可以连接数据终端及其他传感器和弱电设备。

3.10.5水平区设计

水平布线子系统是将干线子系统线路延伸到用户工作区。该系统是从各个子配线间出发连向各个工作区的信息插座。

水平线缆路由设计：

走廊两边墙壁应安装有线槽，进入房间时，从线槽引出管槽以明装线槽方式由下到各个信息点。

综合楼沿各层走廊墙壁安装宽线槽，宽线槽引出点为各层子配线间，到各房间用细线槽穿过墙壁引入房间内部，在房间内线线槽管以沿墙壁而下到各个信息点。

信息插座只需要安装于墙上，采有国标120型暗盒和面板，可以在其旁边20CM 处设一个三线单相电源插座；信息插座和电源插座的底边距地面30CM 。

水平线缆的选型与计算：

数据系统线路的水平部分，采用LUCENT 超五类的水平线1061+004CSL。传输数据、语音，系统有很好的灵活性，而且对未来数字电话，可视电话和速度高于100Mbps 的多媒体高速数据应用均有很好的支持。

1061+004CSL是符合EIA/TIA568标准的超五类线，它在传输数据时可以在150米范围内保证10Mbps 的传输速率，在100米范围内保证155Mbps 的传输速率。此外它也可以传输各种70V 直流电压及在相应的距离下传输10MHZ 及100MHZ 频率以内的弱电信号。

3.10.6主干线区设计

主干线子系统部分提供了建筑物中主配线架与分配线架的路由。

垂直干缆路由设计：

由于楼内无弱电竖井，选一垂直房间兼作竖井，垂直穿过各层楼板安装一宽线槽，且每隔两米焊一根粗钢筋，以安装和固定垂直子系统的电缆。

垂直干缆的选型与计算：

实现计算机设备，主配线间与各管理子系统间的连接，常用介质是大对数双绞线电缆、光缆。常采用1010型、1061型大对数 铜缆中62.5\125多模光纤来实现这种连接。

1010型大对数电缆属于第三类的传输介质，它被用作电话及广播信号等低速率的主干传输线缆。1061型大对数电缆属于超五类的传输介质，被用作电脑、视频图像等用的主干传输线缆。

为了提高办公楼综合布线系统的性能，同时又充分考虑到投资的回报率，我认为以下配置的性能价格比较合适。数据干缆采用25对1061+025CSL超五类大对数电缆。由子配线间与主配线间相连接。

电话干缆采用100对1010型大对数电缆，由交换机房到每个子配线间各连接若干根100对电缆。

监控和广播干缆采用25对1061型大对数电缆，由监控广播机房到每个子配线间各连接一根25对电缆。

3.10.7子配线间设计

子配线室是各管理子系统的安装场所。

子配线间可位于大楼的某一层或以多层共用一个配线间的方式分布，用于将连接至工作区的水平线缆与主配线间引出的垂直线缆相连接。

对于信息点不是很多，使用功能又近似的楼层，为便于管理，可共用一个子配线间；对于信息点较多的楼层应在该层设立单独的配线间。配线间的位置

可选在距弱电竖井旁附近的房间内。配线间用于安装配线架和安装计算机网络通讯设备。

配线架的造型和安装：

计算机网络系统，可使用符合EIA/TIA568标准第五类的110PB 型或1100型配线架端接水平线。110PB 型配线架，其材料是高弹性、塑胶式端子板，上有水平线和五种不同的颜色标码，很容易迫踪和跳线。为了收容跳线还需装配188D3跳线线槽，在水平线缆全部为五类线时，为方便电话和电脑线路的互换，宜采用110P 型配线架。

子配线间的设计，我们采用了较为集中的管理方式，充分利用配线架的容量，以达到较好的性能价格比。

为能够方便地进行电话和电脑线路的互换，以达到能够灵活配置的目的，电脑，电话和监管理子系统设计全部采用超五类的110P 型配线架。这样，纯五类的水平线路，既可通过高速跳线方便地连接到计算机网络等高速系统，又可通过普通跳线连接到低速的普通话音垂直干缆。

3.10.8主配线间设计

电脑的主配线架设在主配线间，使用110PB 五类配线架端接五类主，并通过跳线和计算机网络中心交换机相连。

通信交换机房的主配线架使用110AB 三类配线架端接三类主干电缆，并通过跳线和交换机相连。

第4章 网络管理

网络管理是整个网络正常运行的核心。为了确保网络的正常运行，必须对平台的运行状况和网上的数据流量进行监控。一边分析网络的性能，从而优化网络结构，这必须依靠强有力的网络管理来支持。网络管理包括网络配置管理、故障管理、性能管理、安全管理和性能统计等。

4.1网络管理

内部局域网的所有的交换器、集线器、路由器和运程介入服务器上都配置了SNMP 代理模块，可以采用SNMP 兼容的网络管理系统进行管理。这里我们选用Intel 公司的LANDesk Network Manager 和LANDesk Management Suite对局域网网络设备和工作站及服务器进行管理。

LANDesk Network Manager 主要对HUB 和Switch 等网络设备进行监控和管理。LANDesk Network Manager能自动生成和维护整个网络的拓扑结构图，能见是每个网络端口的信息流量及配置，并且能将网络系统划分为虚拟网络段，优化网络的性能。他还能提供网络系统的故障检测和报警。

4.2远程监控

利用Windows 2000 Server的终端服务器实现对服务器的远程监控。

4.2.1 制作客户端安装盘

1.准备工作。需要Windows 2000 Server安装盘和两张3.5寸的空白软件盘并做好顺序编号。

2.添加中断服务组建。进入我的电脑，选择控制面板/添加或删除/添加或删除Windows 组件。选中终端服务和中断服务授权亮相，单击下一步按钮，再出现的对话框中选择远程管理模式，单击下一步按钮，按照屏幕提示进行安装。安装完成以后，重新启动计算机。单击开始/程序/管理工具，会比刚才多出了终端服务授权、终端服务管理器、终端服务客户生成器和终端服务配置4项。

3.制作客户端安装盘。为了对客户机进行配置，需要在服务器上制作客户端安装盘。单击开始/程序/管理工具/终端服务客户生成器，出现对话框。根据屏幕提示，先后把编号为1和2的空白软件插入服务器的软驱，完成客户端安装盘的制作。

4.2.2 配置客户机

客户机的操作系统可以使Windows9x/me/2000 Professional, 对客户机的配置如下：

1． 把编号为1的软件插入客户端的软驱，运行软盘中的setup.exe ，出现终端服务客户端中文版安装程序对话框，单击继续按钮，按屏幕提示即可完成安装。

2． 安装完成后，不需要重新启动计算机，单击开始/程序/终端服务客户端，可以看到相关的组件，包括客户端连接管理器、卸载、终端服务客户端3项。

3． 单击开始/程序/客户端连接管理器，再出现的窗口种选择菜单文件/新建连接，并单击下一步按钮，出现对话框。

4． 在对话框中输入连接名和服务器明或IP 地址，单击下一步按钮，出现客户端连接管理器向导，输入相关信息，单击下一步按钮。

5． 在出现的屏幕选项对话框中，选择800*600，并选中全屏，单击下一步按钮，这样就完成了一个名为服务器的连接。

4.2.3远程控制

一般情况下，是在客户机上实现对服务器的远程管理和控制的，方法如下：

1单击开始/程序/客户端连接管理器，出现窗口，双击刚才建立的名为服务器的连接，这是服务器的桌面就显示在客户机的桌面下，输入用户名和密码，这样就可以在客户机上时下对服务器的远程管理和控制。

2按Ctrl+Alt+Break组合键，可以在窗口和全屏之间进行切换。

4.3网络安全

当整个网络开始运作时，其安全防范问题就越显重要。如何快速防范网络

病毒和网络黑客，已成为网络安全最主要的任务之一。

病毒作为一种特殊的程序，具有传染性、流行性、繁殖性、表现性和针对性等特征，网络病毒不仅可以对单独的计算机造成损坏，还会对局域网造成严重的损坏。而网络黑客则利用网络和系统本身存在的或设置的错误引起的薄弱环节和安全漏洞实施攻击，破坏网络或施放病毒是系统瘫痪。

对于网络来说，保护主机及校园网的安全刻不容缓。对此，分两步来提高网络安全系数。

1. 解决局域网的安全性

在校园网与Internet 进行连接处，外加一个硬件防火墙，从而有效来自外

部网络的入侵。结构图如图所示。

图4.1 校园网安全解决方案

2. 解决网内主机的安全性

在网内部的各主机上加装网络版病毒软件，如瑞星杀毒软件、KILL 杀毒软件等，各工作站上也可以加装同系列的网络版防病毒软件。为更进一步防治网络黑客，也可以在网内部主机上加装软件防火墙，如天网防火墙。

第5章 系统主要设备报价

本校园网络中所包含的网络设备有：路由器，核心交换机，交换机，服务器，双绞线，网络安全隔离卡等，其主要设备报价如下表：

表5.1 系统主要设备报价表

参考资料

[1]吴功宜 计算机网络（第2版） 北京：清华大学出版社 2007

[2]邱晓理 计算机世界. 技术于应用 北京：清华大学出版社 2007

[3]谢希仁 计算机网络教程 北京：人民邮电出版社 2002

[4]李涛 网络安全概论 北京:电子工业出版社 2004

[5]冯登国 网络安全原理与技术 北京：科学出版社 2003

[6]刘小辉 网络硬件完全手册 重庆：重庆大学出版社 2002

[7]张公忠 现代网络技术教程 北京：电子工业出版社 2000

[8]徐锋 杨锦川 攻克网络 重庆：重庆出版社 2000

[9]谭珂 全惠民 局域网组建与管理实手册 北京：中国青年出版社 2003

[9]刘成新 刘 伟 中小学校园网的应用模式 北京：清华大学出版社 2001

[10] www.yizhong.xm.fj.cn 厦门一中主页

[11] www.pcworld.com.cn/98/9816/1610.htm 校园网的规划与管理

[12] www.pcm.com.cn 浅谈中小学校园网的建设

摘 要

当今的世界正从工业化社会向信息化社会转变, 快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。

目前国内一些重事业高校的网站已经开展这方面的应用。但现在中小学的校园网正在建设阶段。中小学建设校园计算机网络的根本动机，就是提高学校的管理效益和教学质量。而并非只有大量的资金投入，建设具有规模的计算机网络，才能开展学校的教育手段。架设满足学校应用需求的小的局域网络、教学网络同样也能发挥大的教育效益。

关键词： 计算机网络 网络规划 网络设计 校园网

前 言

Internet 及WWW 应用的迅猛发展，极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域和时间的界限，为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。学校作为信息化进程中极其重要的基础环节，如何通过网络充分发挥其教育功能，已成为当今的热门话题。

为了提高教育和学习的质量，所有师生对网络办公和学习的需求是迫在眉睫，所有人都希望在校园里的都能上网络。正所谓大有大的难处，校园网一般具有较大的规模，它不是网络设备的简单组合，而是一种整体的校园系统。校园网必须满足校园扩展需要，确保高吞吐量、安全性。在很多时候，由于校园网络的种种问题的产生，以及学校对网络的需求随着学校的扩招却迅速增大。因此迫切需要在保障学生的学习和生活不受到影响的前提下，通过引进先进的组网模式，改造或者重新规划建设校园网络，以满足学校对网络的需求，保障学校的正常运转，同时实现教育信息化的目标。要求全新设计的校园网络能够最大限度的保护现有网络投资，以最低的造价实现信息化校园网络的标准，以满足日益增长的校园建设需求；建成后的网络应易于应用、管理和维护；施工过程中不能影响学校的正常运转，所提供的方案最好具有推广的价值，或者能够有效的降低网络接入与运行费用，保障大多数学生、教职员工都能够有条件接入、使用网络，提高学习与工作效率，实现教育的信息化。

第2章 需求分析

计算机网络在当今的信息时代扮演越来越重要的角色，在校园网络中，视频、音频、数据集于一身，如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输，就没法对流做出最高优先级和次高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟、服务不可用。所以要想真正改变网络的效率，更有效的保证应用服务的运营，需要通过端到端的QOS ，智能到边缘的方式来保证。通过智能到边缘，端到端的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。可以对园区网应用中的，多媒体视频点播服务、数据备份服务、文献传递服务、E-mail 服务、数据库服务器等服务。对不同服务流进行详细的分类，划分优先级，以及尽可能地避免发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。校园网组建是一项系统工程，其总体设计的确定，不仅要考虑到近期目标，还要为系统的进一步发展和维护留有余地。设计中需求要考虑个阶段的情况，为适应长远稳定使用，进行统一规划和设计。尽可能采用成熟先进且稳定的技术，使用先进技术的计算机系统和网络设备，并有相当长时间的可用性。

2.1 带宽

带宽新的校园主干采用具有第三层交换功能的千兆位以太网（Gigabit Ethernet ）以满足广大用户的各种要求。新的主干设备应能满足4000用户接入访问的要求。

2.2 子网与VLAN 规划

学校目前为止拥有IP 段为：192.168.0.0—192.168.8.255, 共有IP 地址2286个, 共有房间1512间, 在此基础上, 进行IP 地址划分, 为了保证扩展性和安全性, 对每栋楼的每层划分一个子网, 为节省IP 资源, 每二栋楼共用三个IP 地址段, 进行详细的子网划分. 保证每个宿舍接入一个信息点, 剩余IP 资源留做扩展用途。

2.3 实现的信息服务

支持IP 多目广播（Multicast ）与服务质量（Qos ）或服务类型(CoS)，满足远程教育的需求。

2.4 应用程序

1.DNS 服务,2.FTP 服务,3.WWW 服务,4. 在线交互,5.E-mail 服务

2.5 存储系统分析

由于学校传统的网络应用中所有教育资源都存放在一台服务器上，具有高性能与高扩展能力的服务器成本较高; 教学资源的访问服务会与应用服务争夺系统资源，造成网络服务效率的大幅下降; 应用服务器的系统故障将直接影响资源数据的安全性和可用性，给学校的教学工作带来不便。

针对这些问题，可以利用Vicount 网络存储来实现集中存储与分散存储。

2.6 系统及数据安全分析

当整个网络开始运作时，其安全防范问题就越显重要。如何快速防范网络病毒和网络黑客，已成为网络安全最主要的任务之一。

病毒作为一种特殊的程序，具有传染性、流行性、繁殖性、表现性和针对性等特征，网络病毒不仅可以对单独的计算机造成损坏，还会对校园网造成严重的损坏.

2.7 QoS

为确保用户各种关键业务的正常开展，必须采取全面而系统的QoS 设计(提供端到端QoS 服务) ，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时；为了保证端到端用户的服务质量，因此要求端到端数据流经的所有网络设备都支持实施的QoS 策略，核心设备是多个服务器接入的设备，并且担负着全网数据的交换，QoS 的能力影响着全网的服务质量保障能力。

锐捷各款交换机都支持丰富的QoS 功能，能确保重要业务量不受延迟或丢

弃，同时又充分利用现有的带宽以保证网络的高效运行。

例如，将下载一个大型文件的任务设置到交换机一个端口，而在该交换机的另外一个端口进行语音通信，为减少语音通信时延，保证通话质量，可在整个网络中对各种业务进行分类和优先级划分。例如Web 浏览，可以作为低优先级对待，或者“尽力而为”地进行处理。

如图所示：QoS 工作原理

在骨干网络网络中，由于信息资源集中于骨干网络网络中心，为保证全网的QoS ，要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS 标注方案，而二层的802.1P 标记对于骨干网络这样的网络并没有实际意义，因为802.1P 的标记不能在交换机之间传递，只能在本机上有用。

锐捷网络的RG-S6810E 多业务万兆核心路由交换机支持基于基于DiffServ 标准为核心的QoS 保障系统，支持IP TOS、SP 、WRR 等完整的QoS 策略，实现基于全网系统多业务的QoS 逻辑，另外提供灵活的端口队列管理机制，端口多级拥塞设置; 具备MAC 流、IP 流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。

通过从核心到接入设备全程对QoS 的良好支持，全部硬件提供二到四层数据流交换，实现应用感知的功能，给予多媒体办公应用提供透明的QoS 保障，确保真正的端到端的QoS 的实现。

第3章 拓扑图及方案整体描述

3.1 主干网传输方案设计

考虑到在目前通信条件的成熟和对性能要求的提高，采用ATM 技术和快速以太网技术相结合，网络的主干建议采用锐捷网络的RG-S6810E 中心交换机通过155M 光纤连接，锐捷RG-S6810E 交换机提供多个多模光纤端口及多个10/100MUTP端口。锐捷RG-S6810E 是业界领先的多LAN/ATM交换机, 提供了超过10Gbps 的总体交换功能，RG-S6810E 是模块化的，它以集成的帧和信元交换来完成以太网、高速以太网、令牌网和ATM 交换。也可以选用Cisco 相应的产品。数据库服务器、Internet 服务器等服务器均接在ATM 交换机上这样可以提供足够的带宽，减少由于用户对服务的集中要求所产生的瓶颈。

3.2 Internet接入方案

关于Internet 的介入方式大致可以分为5种：

1.Modem 。大多数用户平常上网都是通过电话线拨号上网。常用的画集一般是双音频和脉冲两种，主要功能是创送音频话因信号。

2.ADSL 。ADSL 为人们提供了一种长距离的网络接入方式，他试运行在原有普通电话线上介入互联网的一种新的宽带技术。

3.ISDN 。ISDN 解决了用户上网后不能接听电话的烦恼，ISDN 比专线接入方式价格便宜，目前也首选ISDN 作为成熟和使用的技术来应用。

4.DDN 数字数据网作为数据通信网的基础，提供点对点、一点对多点的大容量信息传送通道，它是数万、数十万条以光缆为主体的数字电路，通过数字电路管理设备。他是传输速率高、质量好、网络延时小、全透明、高质量的数据传输基础网络。唯一的缺陷就是费用昂贵。

5.LAN 。为了使多台电脑都能连接Internet ，即经济有使用的办法就是共享上网，即LAN 。

康县第一中学校园网网络拓扑图如图3.1所示：

图3.1 康县第一中学校园网拓扑结构图

3.3 远程访问支持

为了满足教师在自己家里进行科研与办公的需要，采用远程拨号把教师家中的计算机和校园网通过公共电话网连起来，充分利用现代通信手段和校园网资源。学生也可以通过电话拨号访问校园网上的资源。

远程访问提供电话拨号访问功能，使用户在家中、在外地都可以访问校园网。远程工作站通过拨号接入校园网，采用点对点的协议为PPP 。远程访问服务器RAS 与调制解调器Modem 组合实现远程访问功能。在访问服务器的远程访问端口提供访问控制(Access List) 。通过与拨号安全服务器配合，还能实现进一步的用户认证和授权控制。远程访问解决了远程工作站通过拨号线路对网络资源的访问。由于拨号网络是攻击网络的可能的主要入口，因而必须在技术和管理两个方面加强管理。远程访问服务应提供以下功能：

拨号访问（Telnet/Rlogin/PPP）支持；

静态/动态地址分配；

多协议（IP 和IPX ）透明访问支持；

用户访问和安全控制；

拨出（Dial-on-Demand, Dial-Out）功能；

自动协议检测和转换；

远程控制和维护；

网管支持；

拨号网络是可能的主要攻击入口，并且采用动态IP 分配策略，所以必须与其它网段隔离，直接连到网络中心路由器上，占用一个独立的网段，这样也有利于计费管理。访问服务器通过路由器与MODEM 池接入拨号线。访问服务器与拨号安全服务器配合，根据身份认证协议（TACACS/RADIUS/KEBEROS）实现拨号用户的认证和授权。

3.4 子网划分

学校目前为止拥有IP 段为：192.168.0.0—192.168.8.255, 共有IP 地址2286个, 共有宿舍1512间, 在此基础上, 进行IP 地址划分, 为了保证扩展性和安全性, 对每栋楼的每层划分一个子网, 为节省IP 资源, 每二栋楼共用三个IP 地址段, 进行详细的子网划分. 保证每个宿舍接入一个信息点, 剩余IP 资源留做扩展用途. 具体的IP 地址分配方案和子网划分方案如下:

综合楼楼共有房间270间, 至少需要IP270个, 因此我们用两个IP 段划分8个子网, 其中6个子网分别划分在该楼的每一层, 具体划分方案如下

IP 192.168.0.0/26

子网掩码:255.255.255.192 /0号子网 /1号子网 /2号子网 /3号子网 一层可分IP 为:192.168.0.1—192.168.0.63 二层可分IP 为:192.168.0.65—192.168.0.127 三层可分IP 为:192.168.0.129—192.168.0.191 四层可分IP 为:192.168.0.193—192.168.0.254

IP 192.168.1.0/26 子网掩码:255.255.255.192

五层可分IP 为:192.168.1.1—192.168.1.63 /0号子网

教学楼共有房间264间, 至少需要IP 264个, 因此我们用1个IP 段划分4个子网, 加上1号楼未分配的两个子网, 用以该楼的每层 ,具体划分方案如下:

IP 192.168.2.0/26

子网掩码:255.255.255.192 /0号子网 /1号子网 /2号子网 /3号子网 一层可分IP 为:192.168.2.1—192.168.2.63 二层可分IP 为:192.168.2.65—192.168.2.127 三层可分IP 为:192.168.2.129—192.168.2.191 四层可分IP 为:192.168.2.193—192.168.2.254

IP 192.168.1.0/26 子网掩码:255.255.255.192

五层可分IP 为:192.168.1.129—192.168.1.191 /2号子网

教职工楼楼共有学生宿舍132间, 到少需要IP 132个, 因此我们用一个IP 地址段划分6个子网对其进行划分, 具体分配方案如下:

IP 192.168.3.0/27 子网掩码:255.255.255.224

一层可分IP 为:192.168.2.1—192.168.2.31 /0号子网

二层可分IP 为:192.168.2.33—192.168.2.63 三层可分IP 为:192.168.2.65—192.168.2.95 四层可分IP 为:192.168.2.97—192.168.2.127

五层可分IP 为:192.168.1.129—192.168.1.159 /1号子网 /2号子网 /3号子网 /4号子网

学生宿舍A 楼共有276间，至少需要IP 276个，因此我们用两个IP 地址段划分8 个子网，其中6个子网用于每个楼层。具体划分方案如下：

IP 192.168.4.0/26

子网掩码:255.255.255.192 /0号子网 /1号子网 一层可分IP 为:192.168.4.1—192.168.4.63 二层可分IP 为:192.168.4.65—192.168.4.127

三层可分IP 为:192.168.4.129—192.168.4.191 /2号子网 /3号子网 四层可分IP 为:192.168.4.193—192.168.4.254

IP 192.168.8.0/26 子网掩码:255.255.255.192

五层可分IP 为:192.168.8.1—192.168.8.63 /0号子网

学生宿舍B 楼共有128间, 到少需要IP 128个, 因此我们用一个IP 地址段划分6个子网对其进行划分, 具体分配方案如下:

IP 192.168.5.0/27 子网掩码:255.255.255.224

一层可分IP 为:192.168.5.1—192.168.5.31

/0号子网 /1号子网 /2号子网 /3号子网

/4号子网 二层可分IP 为:192.168.5.33—192.168.5.63 三层可分IP 为:192.168.5.65—192.168.5.95 四层可分IP 为:192.168.5.97—192.168.5.127 五层可分IP 为:192.168.5.129—192.168.5.159

实验楼有172间, 到少需要IP 172个, 因此我们用一个IP 地址段划分6个子网对其进行划分, 具体分配方案如下:

IP 192.168.6.0/27 子网掩码:255.255.255.224

一层可分IP 为:192.168.6.1—192.168.6.31

二层可分IP 为:192.168.6.33—192.168.6.63 三层可分IP 为:192.168.6.65—192.168.6.95 四层可分IP 为:192.168.6.97—192.168.6.127

五层可分IP 为:192.168.6.129—192.168.6.159

未分配的IP 地址用以扩展用途。

3.5 网间隔离方案设计

根据中学校园网的结构特点及面临的安全隐患，我们将通过瑞星防火墙、入侵检测、网络杀毒软件，实现网络安全隔离、网络监控措施、网络病毒的防

/0号子网 /1号子网 /2号子网 /3号子网 /4号子网

范等安全需求，为校园构建统一、安全的网络。

防火墙的部署，在Internet 与校园网内网之间部署了一台瑞星防火墙，其中WWW 、E-mail 、FTP 、DNS 服务器连接在防火墙的DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。这样，通过 Internet 进来的外网用户只能访问到对外公开的一些服务（如WWW 、E-mail 、FTP 、DNS 等），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审计。

3.6存储方案

校园网建设过程中偏重于网络系统的建设，在网络上配备了大量先进设备，但网络上的教学应用资源却相对匮乏。原有的存储模式在增加教学资源时会显现很多弊病：由于学校传统的网络应用中所有教育资源都存放在一台服务器上，具有高性能与高扩展能力的服务器成本较高; 教学资源的访问服务会与应用服务争夺系统资源，造成网络服务效率的大幅下降; 应用服务器的系统故障将直接影响资源数据的安全性和可用性，给学校的教学工作带来不便。

针对这些问题，可以引入Vicount 网络存储来实现集中存储与分散存储。

1. Vicount网络存储提供了一个高效、低成本的资源应用系统。由于Vicount 网络存储本身就是一套独立的网络服务器，可以灵活地布置在校园网络的任意网段上，提高了资源信息服务的效率和安全性，同时具有良好的可扩展性，且成本低廉。

2. 提供灵活的个人磁盘空间服务。Vicount 网络存储可以为每个学生用户创建个人的磁盘使用空间，方便师生查找和修改自己创建的数据资料。

3. 提供数据在线备份的环境。网络管理员可以时时的在线将数据备份到Vicount 网络存储，保证数据安全、快捷备份。

3.7设备选型

本方案采用的是在业界处于领先地位，具有最高性能的锐捷产品。与其他同类产品（3Com , bays , Intel , Accton 等）比较，锐捷具有以下如下优势

和特点：

锐捷提供端到端高可用性的网络，该网络可提供关键任务应用所需的稳定性。我们设计的整个系统能应付各种意外干扰，能迅速排除误操作或系统软硬件故障带来的影响，甚至有部份部件损坏时亦能进行正常的数据处理。最后在网络配置时，适当地采用冗余备份、迂回路由等技术手段可提高整个系统的容错能力和故障恢复能力。锐捷特有的IOS 软件能够有效地实施QoS 、多媒体、多点传送应用支持, 加上CiscoAssure 策略连网功能提供专用带宽、控制抖动和时延、改善信息包丢失等特性，还有锐捷专有的技术CGMP ，使远程学习、虚拟工作场所、可视会议和流式传输受益于IP 多目传送，使多媒体数据流能在有限的带宽中得到最好的传输效果。

3.8 软件

Internet 技术采用B/S结构, 所以其软件可以分为服务器软件和客户端软件。客户端软件主要为浏览器，Microsoft Windows98/XP+Microsoft Internet Explorer 是目前最为常见的搭配；而服务器软件则较为复杂，涉及网络造作系统、Web 服务器软件、E-mail 服务器软件等。结合网络的功能特点，服务器端采用以下软件方案:

网络操作系统:Microsoft Windows 2000 Server ，它提供较强的网络功能，并集成DNS 、DHCP 等服务。

Web 服务器软件:IIS5.0，这实在Windows 2000 Server上实现Web 服务的最理想的方案，利用它可以实现WWW 、FTP 等服务，并支持ASP 。

E-mail 服务器软件:Winmai server4.0, 它支持POP3、SMTP ，使用及维护非常方便。

3.9 信息服务方案

表4.1

1. 主页。实现功能模块整合。

2. 教学资源。教师可以将所受课程相关的课件、电子教案、辅助教学软件、学习参考资源等信息资源提供给学生下载。

3. 在线教育。将教师上课时的录像上传至往上，学生可以实时点播。

3.10 综合布线方案

3.10.1 结构化布线设计

结构化布线设计应该满足以下目：

1. 满足大楼各项主要业务的需求，且兼顾未来长远发展。

2. 符合当前和长远的信息传输要求。

3. 布线系统设计遵从国际（ISO/IEC 11801） 标准和邮电部和建设部标准, 布线系统采用国际标准建议的星型拓扑结构。

4. 布线系统将支持语音、数据等综合信息（如 ISDN 、B －ISDN 、ATM 等）的高质量传输，并适应各种不同类型不同厂商的电脑及网络产品。

5. 布线系统的信息出口采用国际标准的RJ45插座，以同一的线路规格和设备接口，使任意信息点都能接插不同类型的终端设备，如电脑、打印机、网络终端、电话机、传真机等，以支持话音、数据、图象等数据信息和多媒体信息的传输。

6. 布线系统符合综合业务数据网ISDN 的要求，以便与国内国际其它网络互连。

综合布线系统支持的设备品种繁多，包括传输介质、配线箱（电缆配电箱、光缆配线箱、连接器）、标准信息插座、RJ45插头、适配器、电子保护器装置

以及专用手工艺安装工具、检测工具等等。综合布线系统采用的传输介质通常包括双绞线（非屏蔽双绞线UTP 踏它屏蔽双绞线FTP ）踏它光纤。

3.10.2 综合布线系统

综合布线系统由六个子系统构成并联分别定义：

通信踏它数据处理系统的各种需求确定了所需的子系统。从理论上讲, 大型通信系统可能需要用铜介质和光纤介质部件把全部上述子系统集成在一起。

工作区子系统(WORK AREA)：

工作区子系统由终端设备连接到信息插座的连线(或软线) 组成, 它包括装配软线、适配器和连接所需的扩展软线，并在终端设备和I/O之间搭桥。

水平布线子系统（HORJZONTAL ）：

水平布线子系统是将干线系统线路延伸到用户工作区，实现信息插座和管理子系统系统（配线架）间的连接，常用1010或1061型8芯双绞线实现这种连接。

管理子系统(ADMINISTRATION)：

管理子系统由交连、互连配线架和信息插座式配线架以及相关跳线组成。管理点为连接其它子系统提供连接手段。交连和互连允许你将通讯线路定位或重定位到建筑物的不同部分，以便能更容易地管理通信线路。

主干线子系统（BACKBONE ）：

实现计算机设备，程控交换机（PBX ），控制中心与各管理子系统间的连接，常用介质是大对数双绞线电缆、光缆，它的一端端接于设备机房的主配线架上，另一端通常端接在楼层接线间的各个管理分配线架上。

设备室子系统（EQUIPMENT ）：

设备子系统由设备间中的跳线电缆、适配器组成，它把中央主配线架与各种不同设备互连起来、如PBX ，网络设备和监控设备等与主配线架之间的连接。

6. 建筑群子系统（CAMPUS ）：

建筑群子系统将一个建筑物中的电缆延伸到建筑群的另一些建筑物中的通信设备和装置上，常用通信介质是光缆。

需要指出的是，对数据通讯而言，主干线和建筑群间使用光缆，并使用FDDI 或ATM 技术，可使系统间的传输率达1000Mbps 。对工作区而言，使用CAT3 UTP 电缆，则目前技术可达100Mbps(100Base-T)；而对CAT5 UTP电缆，对目前设备而言，可达155Mbps 。

3.10.3设计目标

实用性：实施后的布线系统，将能够在现在和将来适应技术的发展，并且实现数据通信、语音通信、图像通信。

灵活性：布线系统能够满足灵活应用的要求，即任一信息点能够连接不同类型的设计，如计算机、打印机、终端或电话、传真机。

模块化：布线系统中，除去敷设在建筑内的缆线外，其余所有的接插件都应是积木式的标准件，以方便管理和使用。

扩充性：由于所有基础设施（材料、部件、通信设备）都采用国际标准，无论计算机设备、通信设备、控制设备随技术如何发展，将来都可很方便地将这些设备扩充到系统中去。

经济性：在满足应用要求的基础上，尽可能和低造价。

3.10.4工作区设计

工作区布线子系统由终端设备连接到信息插座的连线组成。

信息点数量的确定：

根据PDS 设计规范和我们的工程经验，及天水市中级法院办公楼的实际建筑情况和用户要求，我们考虑：办公区每标准开间设置二个单孔信息出口，可用于一部计算机和一部电话或同时用于计算机或同时用于电话。这种信息点密度的配置情况，满足了大楼在今后10年内的使用要求，不致很快以进行大的系统改造。

信息点产品型号的造型：

信息插座采用LUCENT 的单孔模块插座MPS100B （CAT.5），该插座具有性能高、尺寸小、拆装简便等特点，其输入、输出线的线规均符合HEIA/TIA568B标准。信息点的引出由RJ45信息插头完成，在MPS100BH 插座内既可以插入数据通讯用的RJ45接头又可以插入音频信号用的RJ11接头。因此通过MPS100BH 插座既可以引出电话也可以连接数据终端及其他传感器和弱电设备。

3.10.5水平区设计

水平布线子系统是将干线子系统线路延伸到用户工作区。该系统是从各个子配线间出发连向各个工作区的信息插座。

水平线缆路由设计：

走廊两边墙壁应安装有线槽，进入房间时，从线槽引出管槽以明装线槽方式由下到各个信息点。

综合楼沿各层走廊墙壁安装宽线槽，宽线槽引出点为各层子配线间，到各房间用细线槽穿过墙壁引入房间内部，在房间内线线槽管以沿墙壁而下到各个信息点。

信息插座只需要安装于墙上，采有国标120型暗盒和面板，可以在其旁边20CM 处设一个三线单相电源插座；信息插座和电源插座的底边距地面30CM 。

水平线缆的选型与计算：

数据系统线路的水平部分，采用LUCENT 超五类的水平线1061+004CSL。传输数据、语音，系统有很好的灵活性，而且对未来数字电话，可视电话和速度高于100Mbps 的多媒体高速数据应用均有很好的支持。

1061+004CSL是符合EIA/TIA568标准的超五类线，它在传输数据时可以在150米范围内保证10Mbps 的传输速率，在100米范围内保证155Mbps 的传输速率。此外它也可以传输各种70V 直流电压及在相应的距离下传输10MHZ 及100MHZ 频率以内的弱电信号。

3.10.6主干线区设计

主干线子系统部分提供了建筑物中主配线架与分配线架的路由。

垂直干缆路由设计：

由于楼内无弱电竖井，选一垂直房间兼作竖井，垂直穿过各层楼板安装一宽线槽，且每隔两米焊一根粗钢筋，以安装和固定垂直子系统的电缆。

垂直干缆的选型与计算：

实现计算机设备，主配线间与各管理子系统间的连接，常用介质是大对数双绞线电缆、光缆。常采用1010型、1061型大对数 铜缆中62.5\125多模光纤来实现这种连接。

1010型大对数电缆属于第三类的传输介质，它被用作电话及广播信号等低速率的主干传输线缆。1061型大对数电缆属于超五类的传输介质，被用作电脑、视频图像等用的主干传输线缆。

为了提高办公楼综合布线系统的性能，同时又充分考虑到投资的回报率，我认为以下配置的性能价格比较合适。数据干缆采用25对1061+025CSL超五类大对数电缆。由子配线间与主配线间相连接。

电话干缆采用100对1010型大对数电缆，由交换机房到每个子配线间各连接若干根100对电缆。

监控和广播干缆采用25对1061型大对数电缆，由监控广播机房到每个子配线间各连接一根25对电缆。

3.10.7子配线间设计

子配线室是各管理子系统的安装场所。

子配线间可位于大楼的某一层或以多层共用一个配线间的方式分布，用于将连接至工作区的水平线缆与主配线间引出的垂直线缆相连接。

对于信息点不是很多，使用功能又近似的楼层，为便于管理，可共用一个子配线间；对于信息点较多的楼层应在该层设立单独的配线间。配线间的位置

可选在距弱电竖井旁附近的房间内。配线间用于安装配线架和安装计算机网络通讯设备。

配线架的造型和安装：

计算机网络系统，可使用符合EIA/TIA568标准第五类的110PB 型或1100型配线架端接水平线。110PB 型配线架，其材料是高弹性、塑胶式端子板，上有水平线和五种不同的颜色标码，很容易迫踪和跳线。为了收容跳线还需装配188D3跳线线槽，在水平线缆全部为五类线时，为方便电话和电脑线路的互换，宜采用110P 型配线架。

子配线间的设计，我们采用了较为集中的管理方式，充分利用配线架的容量，以达到较好的性能价格比。

为能够方便地进行电话和电脑线路的互换，以达到能够灵活配置的目的，电脑，电话和监管理子系统设计全部采用超五类的110P 型配线架。这样，纯五类的水平线路，既可通过高速跳线方便地连接到计算机网络等高速系统，又可通过普通跳线连接到低速的普通话音垂直干缆。

3.10.8主配线间设计

电脑的主配线架设在主配线间，使用110PB 五类配线架端接五类主，并通过跳线和计算机网络中心交换机相连。

通信交换机房的主配线架使用110AB 三类配线架端接三类主干电缆，并通过跳线和交换机相连。

第4章 网络管理

网络管理是整个网络正常运行的核心。为了确保网络的正常运行，必须对平台的运行状况和网上的数据流量进行监控。一边分析网络的性能，从而优化网络结构，这必须依靠强有力的网络管理来支持。网络管理包括网络配置管理、故障管理、性能管理、安全管理和性能统计等。

4.1网络管理

内部局域网的所有的交换器、集线器、路由器和运程介入服务器上都配置了SNMP 代理模块，可以采用SNMP 兼容的网络管理系统进行管理。这里我们选用Intel 公司的LANDesk Network Manager 和LANDesk Management Suite对局域网网络设备和工作站及服务器进行管理。

LANDesk Network Manager 主要对HUB 和Switch 等网络设备进行监控和管理。LANDesk Network Manager能自动生成和维护整个网络的拓扑结构图，能见是每个网络端口的信息流量及配置，并且能将网络系统划分为虚拟网络段，优化网络的性能。他还能提供网络系统的故障检测和报警。

4.2远程监控

利用Windows 2000 Server的终端服务器实现对服务器的远程监控。

4.2.1 制作客户端安装盘

1.准备工作。需要Windows 2000 Server安装盘和两张3.5寸的空白软件盘并做好顺序编号。

2.添加中断服务组建。进入我的电脑，选择控制面板/添加或删除/添加或删除Windows 组件。选中终端服务和中断服务授权亮相，单击下一步按钮，再出现的对话框中选择远程管理模式，单击下一步按钮，按照屏幕提示进行安装。安装完成以后，重新启动计算机。单击开始/程序/管理工具，会比刚才多出了终端服务授权、终端服务管理器、终端服务客户生成器和终端服务配置4项。

3.制作客户端安装盘。为了对客户机进行配置，需要在服务器上制作客户端安装盘。单击开始/程序/管理工具/终端服务客户生成器，出现对话框。根据屏幕提示，先后把编号为1和2的空白软件插入服务器的软驱，完成客户端安装盘的制作。

4.2.2 配置客户机

客户机的操作系统可以使Windows9x/me/2000 Professional, 对客户机的配置如下：

1． 把编号为1的软件插入客户端的软驱，运行软盘中的setup.exe ，出现终端服务客户端中文版安装程序对话框，单击继续按钮，按屏幕提示即可完成安装。

2． 安装完成后，不需要重新启动计算机，单击开始/程序/终端服务客户端，可以看到相关的组件，包括客户端连接管理器、卸载、终端服务客户端3项。

3． 单击开始/程序/客户端连接管理器，再出现的窗口种选择菜单文件/新建连接，并单击下一步按钮，出现对话框。

4． 在对话框中输入连接名和服务器明或IP 地址，单击下一步按钮，出现客户端连接管理器向导，输入相关信息，单击下一步按钮。

5． 在出现的屏幕选项对话框中，选择800*600，并选中全屏，单击下一步按钮，这样就完成了一个名为服务器的连接。

4.2.3远程控制

一般情况下，是在客户机上实现对服务器的远程管理和控制的，方法如下：

1单击开始/程序/客户端连接管理器，出现窗口，双击刚才建立的名为服务器的连接，这是服务器的桌面就显示在客户机的桌面下，输入用户名和密码，这样就可以在客户机上时下对服务器的远程管理和控制。

2按Ctrl+Alt+Break组合键，可以在窗口和全屏之间进行切换。

4.3网络安全

当整个网络开始运作时，其安全防范问题就越显重要。如何快速防范网络

病毒和网络黑客，已成为网络安全最主要的任务之一。

病毒作为一种特殊的程序，具有传染性、流行性、繁殖性、表现性和针对性等特征，网络病毒不仅可以对单独的计算机造成损坏，还会对局域网造成严重的损坏。而网络黑客则利用网络和系统本身存在的或设置的错误引起的薄弱环节和安全漏洞实施攻击，破坏网络或施放病毒是系统瘫痪。

对于网络来说，保护主机及校园网的安全刻不容缓。对此，分两步来提高网络安全系数。

1. 解决局域网的安全性

在校园网与Internet 进行连接处，外加一个硬件防火墙，从而有效来自外

部网络的入侵。结构图如图所示。

图4.1 校园网安全解决方案

2. 解决网内主机的安全性

在网内部的各主机上加装网络版病毒软件，如瑞星杀毒软件、KILL 杀毒软件等，各工作站上也可以加装同系列的网络版防病毒软件。为更进一步防治网络黑客，也可以在网内部主机上加装软件防火墙，如天网防火墙。

第5章 系统主要设备报价

本校园网络中所包含的网络设备有：路由器，核心交换机，交换机，服务器，双绞线，网络安全隔离卡等，其主要设备报价如下表：

表5.1 系统主要设备报价表

参考资料

[1]吴功宜 计算机网络（第2版） 北京：清华大学出版社 2007

[2]邱晓理 计算机世界. 技术于应用 北京：清华大学出版社 2007

[3]谢希仁 计算机网络教程 北京：人民邮电出版社 2002

[4]李涛 网络安全概论 北京:电子工业出版社 2004

[5]冯登国 网络安全原理与技术 北京：科学出版社 2003

[6]刘小辉 网络硬件完全手册 重庆：重庆大学出版社 2002

[7]张公忠 现代网络技术教程 北京：电子工业出版社 2000

[8]徐锋 杨锦川 攻克网络 重庆：重庆出版社 2000

[9]谭珂 全惠民 局域网组建与管理实手册 北京：中国青年出版社 2003

[9]刘成新 刘 伟 中小学校园网的应用模式 北京：清华大学出版社 2001

[10] www.yizhong.xm.fj.cn 厦门一中主页

[11] www.pcworld.com.cn/98/9816/1610.htm 校园网的规划与管理

[12] www.pcm.com.cn 浅谈中小学校园网的建设