关于校园网的建设方案（二）

　　3　高校信息系统的安全策略

　　校园与管理信息系统建成后，任何人都可以通过机访问高校的校园网络，其中就可能有“黑客”试图攻击网络，破坏网络、传播计算机病毒，还有的可能窃取保密的技术资料及数据等等，这样安全管理显得尤为重要。网络与管理信息系统的安全主要包括物理安全与逻辑安全；物理安全主要指网络硬件的维护和使用以及管理等；逻辑安全是从软件的角度提出的，主要指数据的保密性、完整性、可用性等等。

　　由于高校信息系统支持全校各部门的办公活动，采取集中存放、统一管理数据的方式，因此这些信息的安全至关重要。为了保证共享信息的安全，从数据管理安全和系统管理安全两个方面加以保证。在数据管理安全方面，录入数据要进行有效性检验，建立完善的数据备份和归档制度、系统管理员责任制度、关键程序的管理制度和服务器机房的管理制度； 在系统管理安全方面采用多层安全机制，即信息服务器的网络安全，操作系统安全，数据库安全和应用程序安全的4层安全保证。在信息服务器的网络安全方面，为了保护服务器上的信息资源，在信息服务器与校园网的连接处设置了防火墙，使用防火墙用以防止非法用户的频繁登录、猜测系统密码，对服务器的开放端口进行限制，设置允许用户访问端口的时间，限制用户访问端口的IP地址等； 在操作系统安全方面，系统管理员对用户权限严格控制，有些用户必须在指定的机器上进行某种操作； 在数据库安全方面，对用户设定权限控制表，做好数据库审计记录的检查。校园网与管理信息系统的安全管理是一个大问题，只有很好的重视安全性管理，采取很好的管理措施，才能保证校园网与管理信息系统的正常运行。因此，基于以上各方面的考虑，我院网络平台的建设应遵循以下原则。

　　(1)  是一个满足数字、语音、图形图象等多媒体信息，以及综合教学、管理、科研信息传输和处理需要的综合数字网，并能符合TCP/IP网络协议。

　　(2) 先进性-技术上的先进性将保证处理数据的高效率、系统工作的灵活性、网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。

　　(3)　可靠性-网络骨干线路的冗余备份、网络核心设备的冗余备份和电源冗余备份等方面保证网络的可靠性。

　　(4)  开放性和可扩充性-主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的开放性和扩充性。

　　(5)  可管理性-网络管理应的信息服务系统迅速，由于采用WWW技术，打破了原有信息服务的范围，学校的信息除了面向校内服务，还可以面向全国乃至全世界。综合信息服务系统以校园网为物理环境，对外与Internet相连，提供的信息类型是多种多样的。在信息的类型上除了日常使用的文字信息之外，还可以提供以音频、视频形式出现的服务信息，比如学校领导的重要讲话录音，内容广泛的学术报告，可以陶冶学生情操的等，视频的信息内容也很丰富。综合信息服务系统以WWW方式提供各种多媒体信息服务之外，还实现了与部门级的管理信息系统（RDBMS）和学校办公自动化系统（NOTES）的有机结合。使信息服务的类型从文件系统扩展到SQL Server数据库和Notes数据库。

　　由于信息系统用户的广泛性，决定了客户端必须使用通用的跨平台软件，WWW浏览器为信息服务系统提供了良好条件，该系统采用B/S（Browser/Server）的体系结构，具有易于操作、客户机的软件安装简单以及便于维护等特点。

　　综合信息服务系统由分布在校园网上的多台信息服务器组成，其中一台是面向众多用户的信息主服务器，其他服务器用户可以用指定的专用端口直接访问，也可以从信息主服务器上建立连接，通过主服务器进行访问。

　　2.2采用Notes技术实现校园网办公自动化系统

　　在高校的管理部门中，办公信息以两种方式的流动，一个是上下级之间的信息流，如校长办公室给系办公室发通知，系办公室再给教师和学生发通知； 另一个是横向信息流，如教务处给人事处信息，人事处给科研处信息等。要提高办公效率，必须改变传统的手工办事方式，应用办公技术，建立全校的办公系统。办公系统是建立在校园网上的面向多类用户的信息系统。它采用Lotus Notes作为系统开发平台，Notes具有先进的文档数据库处理功能，不但能够处理结构化数据，还能够处理一般的文档数据、图形、图像、声音等非结构化数据，可以与用户熟悉的软件如MS Word、MS Excel进行集成，对办公系统的功能进一步扩展留有充分余地。现在已经开发出文档管理、邮件、会议管理、办公讨论区、公文运转和信息发布等通用办公功能。

　　2.3采用数据库技术开发行政管理信息系统
    以校园网为物理环境建立各职能部门的管理信息系统，用以支持各行政部门的具体业务工作，学校的基本数据有教师、学生、科研、财务和设备资产信息，这些信息原来都分散在各部门的微机或部门局域网的服务器上，在校园网建立起来以后，为了实现学校基础信息为全校共享，必须将数据集中存放，统一管理。

　　3　高校教育信息系统的安全策略

　　校园网络与管理信息系统建成后，任何人都可以通过计算机访问高校的校园网络，其中就可能有“黑客”试图攻击网络，破坏网络、传播计算机病毒，还有的可能窃取保密的技术资料及数据等等，这样安全管理显得尤为重要。网络与管理信息系统的安全主要包括物理安全与逻辑安全；物理安全主要指网络硬件的维护和使用以及管理等；逻辑安全是从软件的角度提出的，主要指数据的保密性、完整性、可用性等等。

　　由于高校信息系统支持全校各部门的办公活动，采取集中存放、统一管理数据的方式，因此这些信息的安全至关重要。为了保证共享信息的安全，从数据管理安全和系统管理安全两个方面加以保证。在数据管理安全方面，录入数据要进行有效性检验，建立完善的数据备份和归档制度、系统管理员责任制度、关键程序的管理制度和服务器机房的管理制度； 在系统管理安全方面采用多层安全机制，即信息服务器的网络安全，操作系统安全，数据库安全和应用程序安全的4层安全保证。在信息服务器的网络安全方面，为了保护服务器上的信息资源，在信息服务器与校园网的连接处设置了防火墙，使用防火墙用以防止非法用户的频繁登录、猜测系统密码，对服务器的开放端口进行限制，设置允许用户访问端口的时间，限制用户访问端口的IP地址等； 在操作系统安全方面，系统管理员对用户权限严格控制，有些用户必须在指定的机器上进行某种操作； 在数据库安全方面，对用户设定权限控制表，做好数据库审计记录的检查。校园网与管理信息系统的安全管理是一个大问题，只有很好的重视安全性管理，采取很好的管理措施，才能保证校园网与管理信息系统的正常运行。因此，基于以上各方面的考虑，我院网络平台的建设应遵循以下原则。

　　(1)  是一个满足数字、语音、图形图象等多媒体信息，以及综合教学、管理、科研信息传输和处理需要的综合数字网，并能符合TCP/IP网络协议。

　　(2) 先进性-技术上的先进性将保证处理数据的高效率、系统工作的灵活性、网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。

　　(3)　可靠性-网络骨干线路的冗余备份、网络核心设备的冗余备份和电源冗余备份等方面保证网络的可靠性。

　　(4)  开放性和可扩充性-主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的开放性和扩充性。

　　(5)  可管理性-网络管理应支持RMON和RMON2，以及标准的 MIB。利用图形化的管理界面和简洁的操作方式，合理的网络规划策略，提供强大的网络管理功能。一体化的网络管理使网络日常的维护和操作变得直观，便捷和高效。

　　(6)  安全性-内部网络之间、内部网络与外部公共网之间的互联，利用防火墙、杀毒软件等对访问进行控制，确保网络的安全。

　　(7)  实用性-网络系统的设计在性能价格比方面充分体现系统的实用性，既要采用先进的技术，又能在经费允许的条件下实现建网目标。

　　第三章 着重需要解决的问题

　　进入21世纪，社会的高度国际化、信息化使现代教育面临着深刻改变，传统的教育模式也因此受到冲击。以计算机为核心的信息技术必将导致教育教学领域的深刻改变，网络教学、远程教学、教育资源共享的教育新时代正向我们走来，校园网络的建设，为建构现代教育新型教学教育模式提供了最理想的教学环境。如何充分发挥校园网的作用，成为摆在我们面前的一个新课题，也是我们着重需要解决的问题。

　　一、管好校园网，发挥校园网的作用

　　校园网概括地讲是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。也就是利用先进的综合布线技术构架安全、可靠、便捷的计算机信息传输网路；利用成熟、领先的计算机网络技术规划计算机综合管理系统的网络应用环境；利用全面的校园网络管理软件、网络教学软件为学校提供教学、管理和决策三个不同层次所需要的数据、信息和知识的一个覆盖全校管理机构和教学机构的基于Internet/Intranet技术的大型网络系统。
　　建设校园网，丰富多彩、健康清新的校园网络文化将成为学校培养学生思维方式、道德品质、创造能力的新环境，成为面向全体学生，培养全面发展的高素质人才的崭新平台。同时对于转变陈旧教育理念和手段，促进教学内容、方法、结构和教学模式的改革，加快建设现代化的教育手段和管理手段，提高教育质量和效率起着决定性作用，尤其是对于培养“面向现代化，面向世界，面向未来”的创新人才更具深远的意义。

　　1)莫使校园网成摆设

　　计算机硬件和软件的发展日新月异，特别是硬件，差不多每一年多、有的甚至几个月就降价５０％。有的学校资金短缺，建立一个校园网动辄投资上百万元，但使用率严重不高甚至闲置，眼看着教育资源在浪费。造成这种局面的关键可能还是在于管理者的观念。

　　一是没有建立一个校园网教学与管理的环境。信息时代的到来和计算机技术的发展应用，极大地丰富了教育资源，同时也使教育风格更加精细和个性化，更使教育格局打破时空的局限更具开放性，同样也丰富了教育手段，使教育更具高效率。因此，建立一个良好的校园网教学与管理的环境是发挥网络功能的基础。在一个好的校园网环境里人们用计算机和网络进行工作、交流和学习，计算机改变了人的教学方式，同时也改变了人的思维方式和学习方式，这是对教育的挑战，也是为教育的改革发展提供了千载难逢的机遇。

　　二是没有建立教师利用网络技术教学的评估机制和学生学习的评价机制，没有合理配置终端设备……。更新观念，管理者应充分认识教育现代化首先是教育观念现代化，通过各种手段，强化教师现代化教育意识，确立现代化教育新思路、新观念，应用现代教育技术深入教学改革。教师也要转变陈旧教育理念和手段，促进教学内容、方法、结构和教学模式的改革，加快建设现代化的教育手段和管理手段，提高教育质量和效率，利用网络技术的先进、快捷充分为教育服务。也鼓励、培养学生实现网上“个性化学习”，学会从网上获取知识和处理信息的能力，努力培养“面向现代化，面向世界，面向未来”的创新人才。因此，建立完善的教师利用网络技术教学的评估机制和学生学习的评价机制，为促进现代教育的发展、确保网络资源的开发利用，其有相当的重要性。转贴于下载中心

　　2)网管人员的网络技术管理水平

　　网络功能的强弱、使用效率的高低、作用发挥的大小很大程度上依赖管理人员和使用人员的水平。网络建成后，学校应及时设置网络管理中心，需要安排至少两个具有良好思想业务素质的网络管理人员来维护网络的正常运行，保证线路设备正常运转，制订校园网管理条例，负责网络的系统管理、信息管理、网页维护，确保网络的畅通和安全，开展各种网络应用的培训，推动各种管理软件的使用和数据维护。并不断对他们进行网络技术培训，使他们成为网络技术应用和开发的骨干。校园网络的管理涉及面大，范围广、技术要求高，需要学校各方面的配合和共同合作。

　　3)加强网络队伍建设

　　要发挥校园网络的巨大能力，培养和培训大批会使用计算机和网络的人才，加强网络队伍的建设是确保校园网的运作和教育科研顺利进行成败的关键。这些人才应包括：网络管理、软件技术、视音频多媒体制作、素材资料收集、培训维护等人员。要让每个教师和学生懂得在信息高速公路上驰骋，充分享受校园网带来的方便快捷。学校应为通过信息技术考核的教职工和学生班级优先配置网络电脑，提高教师、学生学习和使用校园网的积极性，并建立教师利用网络技术教学的评估机制和学生学习的评价机制。这样，才能充分体现校园网络的价值，提高网络的效价比。

　　二、用好校园网，应用才是它生存和发展的根本

　　硬件的建设可以在几个月内完成，但基于校园网的应用则可能需要几年甚至更长时间去精心组织和实现，这是一项工作量大、技术复杂的长期任务。

　　1) 应用方式和发展方向

　　校园网的应用主要体现在学校管理和教学应用两个方面：

　　学校管理是办好一个学校的重要环节。充分利用现代网络技术为学校管理服务，信息化办公、无纸化办公，让每个办公室通过校园网进行办公、管理和获取校内外的信息，同时能够通过网络进行即时通信和协同工作，加强对学校资源、教师和学生的充分调动和管理，可以提高学校管理效率和管理水平。

　　教学应用是校园网最主要应用。电子图书馆、电子阅览室、教师资源中心、多媒体教室、网上学校、网络教室、课件制作中心、家长访问系统、网上选课……。网络应用功能多种多样，有待于不断开发和完善，它的每一个功能都会使教育产生巨大的、多层次、多方面的变革，无论是教育思想、教育观念、人才观念、教育结构还是教育手段、教育方法、学习方法等等都会带来巨大的改革。社会在进步，教育同样在不断改革。

　　E-校园和现代远程教育是校园网应用发展的方向：

　　“数字教育”是世纪教育发展的基本方向，也是学校信息化教育的基本特征和长期任务。要实现教育信息化，必须先开展校园信息化，即数字化校园-E校园。数字化校园的营建将更充分体现“以教育教学为本，以教师学生为本”的思想。

　　现代远程网络教育的形式将促使人们的教育观念发生根本转变：学历教育不再是一劳永逸的了；终身学习是信息社会发展的必然趋势。为人类社会人员提供多层次、多类型的教育服务，开放教学资源，实现校园网与互联网、教育城域网互联，共享国内外教育资源，了解教育发展的新局势、新动态、新信息是校园网应用发展的另一个方向。

　　2) 教育教学资源和网站的建设

　　校园网络的建设，为现代教育新型教育模式的建构提供了最理想的教学环境。网络的开放性、交互性、共享性，使教育资源能够被充分共享和利用。然而，网络仅仅是信息化的形式，丰富的共享信息资源库才是信息化的实质内容。教育教学资源库包括教育管理资源和教学资源两大部分。在校园网平台上，建立教育教学资源库，确保学校行政和教学管理的网络化，提供学校教师制作课件的环境、备课工具和资讯，确保教学内容的不断更新和充实、提高教学质量，同时让计算机进课堂，为学生的交互式、自主探索学习提供充分的学习资源。

　　建立一个强大教育教学资源库是势在必行，否则，将不可避免地出现校园网使用上巨大的浪费。当然，资源库的建设也不是容易的，尤其要把所有教材的知识点、文字、图片、声音、图象等等都收集齐，又编辑入库，真是谈何容易，需要做长期的工作和全体师生的共同协作，更需领导的组织和支持。

　　学校网站建设是一个对内提供服务，对外展示学校形象的窗口，也是校园网应用集中表现的地方。校园新闻、教学科研、网上图书馆、视频点播、资源中心、家长访问、网上选课、聊天室等等栏目的建设，传递信息、了解教育发展动态、反映教学发展变化、为师生提供思想交流的空间和舞台。因此必须加强网站建设的技术力量、加强信息的收集和编辑工作，为网站的信息资源提供保障，并使网站能更好地为适应教育教学的实际需求服务。

第四章  网络平台的设计方案

一、系统拓扑结构图

　　系统拓扑结构图

　　网络拓扑结构是决定网络性能的主要技术之一，同时很大程度上也决定了网络系统的可靠性，传输速度，通信速率。网络拓扑结构与网络布线系统有着密切的关系，将对网络系统的工程投资产生重要影响。

　　     

根据需求，网络建设目标及设计思想，建议采用交换式千兆以太网做为主干，网络拓扑结构为星型。采用星型结构可以提高网络系统的可靠性，便于管理和维护。

　　采用交换式快速以太网作为主干是因为：

　　1）：速度方面，其主干速度为各端口速率*端口数，能够满足网络应用对主干网的带宽的要求。

　　2）：基于标准的技术，快速以太网使用了在以太网MAC层上定义的CSMA/CD的协议。

　　3）：技术成熟。

　　4）：性能价格比高。

　　5）：具有很好的拓展性，方便以后用户的增加。

　　6）：可靠性高，不会因为一个端口的故障而影响网络中其他的用户使用网络。

　　7）：使用交换式快速以太网作主干，是目前网络工程中典型的实现方法，其成功案例有案可查。

　　采用星型交换技术，采用相应的软件，通过划分VLAN，可以实现有效的流量控制和提供更好的安全性。

　　二、通信协议

　　1）高层协议，采用TCP/IP   协议。TCP/IP协议几乎包括了日常全部协议。

　　2）低层传输协议，采用IEEE802.3标准，该标准与802.3u（100M以太网）、802.3z（1000M以太网）都兼容，能够实现无缝连接，且绝大多数设备都支持。

　　3）主干使用多模光纤，遵从SONET/SOH的OC/STM标准。

　　4）路由器支持V.35,RS232等，支持PPP、Framerelay、X.25、ISDN等。

　　三、主干网的技术选型 - 千兆以太网（其特点和选择的理由）

　　主干网采用交换式1000M以太网技术，采用单模光纤连接（光纤的长度应大与实地测量的距离，保留一定冗余）

　　四、楼内局域网互联技术

　　楼内局域网采用快速交换式以太网（10/100M自适应式）通过超五类双绞线按照星状拓扑结构进行连接，保证用户100M到桌面的需求。

　　六、网络设备选型

　　骨干层网络采用CISCO WS-C3550-12G（配置1000M光电模块）

　　Cisco Catalyst 3550系列智能以太网交换机是一个可堆叠多层交换机系列，可通过高可用性、服务质量（QoS）和安全性来改进网络运行。凭借一系列快速以太网和千兆位以太网配置，Cisco Catalyst 3550系列堪称一款适用于接入应用的强大选择。

　　主要特性：

　　（1）使您能利用传统LAN交换的简洁性来部署网络智能服务

　　（2）将Cisco IOS软件中的一套第2-4层功能——IP路由、QoS、限速、访问控制列表（ACL）和多播服务扩展到边缘

　　（3）凭借内置Cisco集群管理套件来简化接入层和小型骨干网的部署

　　（4）用全套千兆位接口转换器（GBIC）设备提供强大的千兆位以太网连接

　　（5）通过生成树协议改进和ACL来提供服务可用性和安全性

  　（6）通过Cisco IE 2100系列智能引擎支持和简单网络管理协议（SNMP）来进行服务管理

　　接入层网络采用CISCO WS-C2950G-48-EI（配置1000M光电模块）

　　Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列，为中型和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列，Cisco Catalyst 2950系列在网络或城域接入边缘实现了智能服务。

　　主要的优势：

　　（1）在布线室配线间中实现了智能的服务质量（QoS）、限速、访问控制列表（ACL）和多播服务

    （2）在多种介质上提供了升级到千兆位以太网的强大路径

    （3）凭借内置Cisco集群管理套件可出色地管理并轻松地配置第2-4层服务

    （4）与Cisco Catalyst 3550系列集中汇聚交换机相结合，用于IP路由至网络核心

    （5）通过高级QoS、限速、语音及多播特性提供广泛的服务

    （6）通过生成树协议改进和访问控制参数（ACP）来提供服务可用性和安全性

    （7）通过Cisco IE 2100系列智能引擎支持和简单网络管理协议（SNMP）来实现服务管理

　　外部路由层接入设备

　　外部访问网络采用CISCO3600路由器和CISCO专用防火墙（配置1000M光电模块）路由器采用CISCO3600路由器，CISCO3600路由器包含两个同步Serial口与一个以太网接口，支持E1，DDN，X.25，PSTN等多种远程通信协议，同时还包括一个控制口和一个辅助端口，用于远程和本地管理、软件的安装等。另外CISCO3600路由器还包含16个ASYNC Serial口，可以提供远程用户拨号访问。

　　CISCO专用防火墙PIX535

　　PIX防火墙的特点有：

　  配置、安装简单

　　执行速度快

　　先进的安全技术，核心是基于自适应安全算法（ASA）的防护方案，可以非常有效的防止黑客攻击。

　　使用了增强性能的新特性-------直通代理

　　简单性降低拥有成本

　　专用的全链路加密插件------使通过INTENET进行的安全通信更加可靠

　　PIX防火墙改善了IP地址不足的问题，PIX防火墙提供了一个可扩充的特性

　　另外配备服务器专用UPS不间断电源，保证服务器能在意外断电的情况下继续工作

　　七、网络设备管理

　　CISCO works 2000是一款基于WEB界面的网管

　　提供校园没CISCO交换机，路由器自动识别和自动拓扑结构图

　　提供系统级VLAN拓扑机构图

　　通过简单的单击鼠标提供链路信息

　　VLAN管理功能

　　性能管理（性能监视分析、性能趋势分析、报警等）

　　远程管理，配置功能。

　　网络设备管理（建立和维护网络设备数据库）

　　八、供电保障层设备

　　服务器采用APC SURT7500XLI  UPS不间断电源Smart-UPS RT系列，以其更高的性能，为高性能服务器、网络设备、电信系统、设备、和医疗器械、以及其它关键应用提供电源保护。秉承Smart-UPS的卓越品质和高可管理性，Smart-UPS RT系列采用双变换在线式结构，具有更高的电性能输出指标、零转换时间、输入功率因数校正等特色功能。 Smart-UPS RT系列配有SmartSlot附件卡插槽，随机赠送PowerChute电源管理软件，并可与APC的全线附件软件产品配合使用。 Smart-UPS RT的原装外接电池可轻松级联。 Smart-UPS RT，不论是UPS还是外接电池，都可以塔式形式安装；如加订机架式转换附件，更可轻松改装成19”机架式UPS

　　第五章  网络平台总体集成建设实施方案

　　一、网络结构设计

　　总体网络结构分为互联层、核心层和接入层。鉴于本校网络的特殊性我们得网络改造主要放在核心层和接入层的设计和实施上面。

　　互联层：主要通过路由器和兰大主干校园网的连接。主要设备由cisco2600路由器和cisco pix535防火墙（此部份可以设备省略，可根据需要作增加和删除）。

　　核心层：主要通过核心交换机cisco 3550互联三个教学大楼内的接入层交换机。在三座大楼交换机之间需架设单模光缆，已达到1000m互联的目的。同时需要将主要服务器接入核心交换机。在没有互联层的条件下，可以将cisco3550 作为互联设备与兰大校园网直接连接，起到三层互联和核心交换的作用。

　　接入层：主要用于电脑主机的接入。功能简单，只需做到满足用户需要即可。在该层的交换机采用cisco2950，每台可接入主机数量48个，可根据需要增加接入交换机，对于每个楼宇的交换机可采用堆叠方式或者直接介入核心层的方式接入核心交换机。在本次实施方案中我们在楼宇之间架设的光缆为24芯单模，即满足所有楼宇交换机直接接入核心交换机的条件。

　　二、各个教学楼网络信息点布置实施方案

　　学工组大楼

　　在大楼内需要专门的机房来架设网络核心设备cisco 3550，楼宇互联交换机cisco2950 和主要服务器（dns服务器、dhcp服务器、病毒服务器、works 000网络管理等）。计划布置网络教室两间，每间30个信息点。其余教职工接入主机约20个左右。因此架设接入层交换机cisco2950 2台（共计96个信息点）用来满足需要。在与核心层交换机的连接上可采用2m跳纤接入即可。

　　实验大楼

    大楼计划接入信息点30个，其中网络多媒体教室两个，10个/间，教职工信息点接入10个。故采用一台cisco2950 即可。无需专门机房。只需将交换机放置在电缆竖井用4u小机柜固定即可（需再机柜内放置48口配线架一个）。需要架设到学工组大楼的24芯单模光缆。

　　仪器分析组大楼

　　大楼计划接入信息点20个，主要满足教职工信息点的接入。交换设备采用一台cisco2950 即可，安装地点和方式如同2#大楼。同样需要架设到学工组大楼的24芯单模光缆。

　　三、核心网络应用服务器架设方案

　　服务器设备统一选用hp 380 机架式服务器（标配、要求双网卡），既便于安装，又便于售后服务。

　　DNS服务器的架设

　　DNS基本原理：

　　DNS是指：域名服务器(Domain Name Server)。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。域名解析就是域名到IP地址的转换过程。IP地址是网路上标识您站点的数字地址，为了简单好记，采用域名来代替ip地址标识站点地址。域名的解析工作由DNS服务器完成。

　　架设思想：

　　dns服务器可与dhcp服务器放置在同一台服务器上，之所以分开的主要原因在于要和dhcp服务器作为互为备用的服务器。在dns服务器上架设主dns服务，在dhcp服务器架设备用的dns服务。Dns服务器地址可在dhcp服务器分发地址时下发客户端。在架设完成后无须将备用dns停止，可直接作为dns备用地址分发。

　　DHCP服务器的架设

　　DHCP基本原理：

　　DHCP是Dynamic Host Configuration Protocol的缩写，它是TCP／IP协议簇中的一种，主要是用来给网络客户机分配动态的IP地址。这些被分配的IP地址都是DHCP服务器预先保留的一个由多个地址组成的地址集，并且它们一般是一段连续的地址。使用DHCP时必须在网络上有一台DHCP服务器，而其他机器执行DHCP客户端。当DHCP客户端程序发出一个信息，要求一个动态的IP地址时，DHCP服务器会根据目前已经配置的地址，提供一个可供使用的IP地址和子网掩码给客户端。

　　

　　DHCP服务器有3种为DHCP客户机分配TCP／IP地址的方式：

　　手工分配：在手工分配中，网络管理员在DHCP服务器通过手工方法配置DHCP客户机的IP地址。当DHCP客户机要求网络服务时，DHCP服务器把手工配置的IP地址传递给DHCP客户机。

　　自动分配：在自动分配中，不需要进行任何的IP地址手工分配。当DHCP客户机第一次向DHCP服务器租用到IP地址后，这个地址就永久地分配给了该DHCP客户机，而不会再分配给其他客户机。

　　动态分配：当DHCP客户机向DHCP服务器租用IP地址时，DHCP服务器只是暂时分配给客户机一个IP地址。只要租约到期，这个地址就会还给DHCP服务器，以供其他客户机使用。如果DHCP客户机仍需要一个IP地址来完成工作，则可以再要求另外一个IP地址。

　　动态分配方法是惟一能够自动重复使用IP地址的方法，它对于暂时连接到网上的DHCP客户机来说尤其方便，对于永久性与网络连接的新主机来说也是分配IP地址的好方法。DHCP客户机在不再需要时才放弃IP地址，如DHCP客户机要正常关闭时，它可以把IP地址释放给DHCP服务器，然后DHCP服务器就可以把该IP地址分配给申请IP地址的DHCP客户机。使用动态分配方法可以解决IP地址不够用的困扰，例如C类网络只能支持254台主机，而网络上的主机有三百多台，但如果网上同一时间最多有200个用户，此时如果使用手工分配或自动分配将不能解决这一问题
。而动态分配方式的IP地址并不固定分配给某一客户机，只要有空闲的IP地址，DHCP服务器就可以将它分配给要求地址的客户机；当客户机不再需要IP地址时，就由DHCP服务器重新收回。

　　架设思想：在dhcp服务器上架设主dhcp服务器，在dns服务器上架设备用dhcp服务器（配置测试完成后停止该服务）。并且在dns服务器第二块网卡上配置与dhcp服务器ip地址相同的地址并禁用。一旦主dhcp服务器出现故障。可立刻启用备用dhcp服务，不影响正常工作。

　　病毒服务器架设（首推瑞星杀毒软件网络版）

　　软件介绍：

　　瑞星杀毒软件网络版是瑞星科技股份有限公司推出的级网络防病毒软件产品，它解决了以往网络防病毒软件在安装、设置、管理以及升级时遇到的不方便与不及时等问题，全新的查杀毒技术、直观友好的操作界面、强大的Internet与Intranet防病毒能力、及时周到的技术服务，使之成为各行业推行企业防病毒解决方案的首选。简单地讲，瑞星杀毒软件网络版企业防病毒解决方案是通过瑞星管理员控制台对网络内的机进行安装、设置、管理、维护及升级，从而实现企业网络防病毒的目的。

　　瑞星系统中心可以很容易地在整个网络内实现远程管理、智能升级、自动分发、远程报警等多种功能，有效的管理，严密的保护，杜绝病毒的入侵。
通过瑞星管理员控制台，管理员可以在网络中的任意一台计算机上对整个网络进行集中控制管理，清楚地掌握整个网络环境中各个节点的病毒监测状态，既方便了管理员，又最大程度的减少了整个网络中的安全漏洞，有效保障了整个网络的系统安全。

　　架设方法：安装和使用非常的方便和简单，且有中文说明和帮助，详细请安装手册。对于ip地址的规划，只要所有主机可达即可。

　　Works 2000 网络管理服务器的架设

　　软件介绍：

　　WORKS 2000是CISCO的连接设备的网络管理软件，主要管理CISCO的基于IOS操作系统的连接设备,他的突出特点是WEB管理方式，所以在安装完网管服务器后可以在任何的有网络连接的机器上进行网管监控。Cisco Works 2000是管理产品系列，它将最好的路由器和交换机管理功能与基于Web的最新技术结合在一起。这样，它不仅利用了现有工具和设备中内置的管理数据资源，同时为大型、快速变化的企业网络提供新的网络管理工具。CiscoWorks 2000产品在业内独树一帜，它引入了“建立管理内部网”链接多厂商管理应用的概念，和一个省时并降低错误率的任务范式。

　　架设方法：

　　具体安装方法及使用参见cisco works 2000安装指导手册。需要说明的是，对于服务器ip地址的分配最好使用对cisco设备的管理地址，这在最后的ip的地址规划中有所体现。对于web应用程序的地址可分配用户实际使用地址，以方便管理。

　　四、网络实施方案

　　1）Ip规划方案：

　　Ip地址的规划主要有两个方面：网络设备管理地址、用户信息点地址规划。在这里没有考虑网络设备的互联地址，一般情况下网络设备的互联地址由上级网络运营商提供，或者有兰大校园网络统一规划。

　　网络设备管理地址：192.168.0.1-192.168.0.254 255.255.255.0可以管理254台网络设备，该地址仅用于核心交换机、接入层交换机以及works 2000 管理地址。

　　用户信息地址规划：根据大校园网规划，地址范围为219.246.78.1-219.246.78.254 255.255.255.0 共计254个地址。具体规划如下：

　　服务器预留：219.246.78.1-219.246.78.31     预留31个地址。

　　教职工预留：219.246.78.32-219.246.78.130   预留个100地

　　网络及多媒体教室219.246.78.131-219.246.78.254  预留123个地址

　　在ip地址的分发策略如下：

　　对于服务器预留和教职工预留的ip地址，需手动指定。

　　对于网络及多媒体教室可采用动态dhcp获得。

　　2）vlan网络划分

　　为了便于管理我们计划划分四个vlan：

　　Vlan 2  服务器vlan

　　Vlan 3  教职工vlan

　　Vlan 4  网络及多媒体教室vlan

　　Vlan 100 管理vlan

　　

　　本毕业设计从校园网的建设思想、目标、应用、可以选用的网络技术以及对络设备的介绍和选择等多方面的论述，校园网络建设作为一项重要的系统工程，它的所用到的各种技术是多方面的，即有网络技术、工程施工技术，也有管理制度等各个方面的知识。网络技术的是永无止境的，在前进的过程中必将有更多的知识需要我们去学习与研究，并能将其应用到实际的网络工程建设之中。

　　由于校园网功能齐全，技术含量高，接触面广，在网络设计、规划和建设中都非常复杂，在论述中不可能面面具到，同时也由于本人的知识水平有限，文中的不足和错误在所难免，敬请各位老师多多指点和更正。