【正文】 ............................. 錯誤 !未定義書簽。 第二章 學校 需求分析及網(wǎng)絡整體設計方案 2． 1學校 需求分析 2． 2 系統(tǒng)設計原則 2． 3網(wǎng)絡整體設計方案 第 三 章 系統(tǒng)詳細設計 校園網(wǎng)物理設計 核心層的詳細設計 匯聚層的詳細設計 接入層詳細設計 校園網(wǎng)邏輯設計 擬局域網(wǎng) 的規(guī)劃與設計 VLAN的設計規(guī)劃 VLAN 劃分的方法 PVLAN技術 VLAN 的規(guī)劃 Inter出口的策略路由及設計 網(wǎng)絡安全 設計 網(wǎng)絡安全的需求 網(wǎng)絡安全設計目標 防火墻部署方案 第四章 應用系統(tǒng)的規(guī)劃與設計 信息標準系統(tǒng)建設 數(shù)據(jù)中心平臺 辦公系統(tǒng)建設 教務管理系統(tǒng) 統(tǒng)一門戶方案 第五章 應用系統(tǒng)配套硬件平臺規(guī)劃 存儲系統(tǒng)建設 服務器系統(tǒng)建設 第六章 數(shù)字化校園分期建設規(guī)劃建議 第一期建設 第二期建設 第三期建設 第一章 概述 學校簡介 鄂州經(jīng)貿學?，F(xiàn)有在校學生 300 人左右，教職工近 40 人 ，預計未來兩年內達到在校學生2020 左右 。在傳統(tǒng)校園的基礎上構建一個數(shù)字空間以拓展現(xiàn)實校園的時間和空間維度，從而提升了傳統(tǒng)校園的效率，擴展了傳統(tǒng)校園的功能，最終實現(xiàn)教育過程的全面信息化。學校的管理人員可方便地對教務、行政事務、學生學籍、財務、資產(chǎn)等進行綜合管理，同時可以實現(xiàn)各級管理層之間的信息數(shù)據(jù)交換，實現(xiàn)網(wǎng)上信息采集和處理的自動化，實現(xiàn)信息和設備資源的共享。 靈活性和可擴展性 校園網(wǎng)絡強調面向未來的廣泛的升級擴充能力，并能夠充分利用本次網(wǎng)絡設備的投資，在不影響網(wǎng)絡性能的前提下最大限度的簡化升級擴充后網(wǎng)絡的建立和管理。 基于上述設計思想，提出如下設計方案： 基于網(wǎng)絡分層設計： 校園網(wǎng)絡采用分層和模塊化的網(wǎng)絡設計方法，整個校園網(wǎng)的層次結構可以分為核心層、匯聚層、用戶接入層共三個層次。 用戶接入（包括教學、辦公和學生宿舍）交換機的網(wǎng)絡設計要求 用戶接入交換機都是 L2 交換機，學生宿舍 樓層接入交換機除支持常用的協(xié)議外，還需要支持 協(xié)議。 RGS3760 系列交換機在提供高性能、多業(yè)務的同時，其內在的安全防御機制和用戶管理能力，更可有效防止和控制病毒傳播和網(wǎng)絡攻擊，控制非法用戶接入和使用網(wǎng)絡，保證合法 用戶合理化使用網(wǎng)絡資源，充分保障網(wǎng)絡安全、網(wǎng)絡合理化使用和運營。 5．校園網(wǎng)出口 在防火墻上進行內網(wǎng) IP 地址的 NAT 轉換，使內網(wǎng)用戶能訪問互聯(lián)網(wǎng)。VLAN 架構幫助各機構大大降低了網(wǎng)絡移動與變更的高昂費用。其主要缺點在于不允許用戶移動，一旦用戶移動到一個新的位置，網(wǎng)絡管理員必須配置新的 VLAN。這種方式不足之處在于，可使廣播域跨越多個 VLAN 交換機，容易造成某些 VLAN站點數(shù)目較多，產(chǎn)生大量的廣播包，使 VLAN 交換機的效率降低?；诓呗越M成的 VLAN 能實現(xiàn)多種分配方法，包括 VLAN 交換機端口、 MAC地址、 IP 地址、網(wǎng)絡層協(xié)議等。 考慮到 VLAN之間的數(shù)據(jù)通訊，本網(wǎng)絡上 VLAN的劃分還必須結合 IP 子網(wǎng)的劃分，即一個 VLAN同 時就是一個 IP 子網(wǎng)的網(wǎng)段。 在 Private VLAN的概念中，交換機端口有三種類型： Promiscuous port（混雜端口） ， Isolated port（隔離端口） ， Community port（共有端口） ；它們分別對應不同的 VLAN 類型： Isolated port屬于 Secondary VLAN， Community port 屬于 Additional Secondary VLAN，而代表一個Private VLAN 整體的是 Primary VLAN，前面兩類 VLAN 需要和它綁定在一起，同時它 還包括Promiscuous port。其缺點是校園網(wǎng)內私有地址間互訪的流量均經(jīng)地址轉換，性能受到影響， NAT 設備的壓力較大。到 190。 第三個因素是是否考慮 NAT/PAT 對應用的影響。此外，還可根據(jù)應用的類型進行出口路由選擇。應采用防火墻、服務器入侵檢測軟件、服務器進程監(jiān)控軟件等，使服務器遭到攻擊或遇到故障之初就通過 Email、電話、手機等方式在第一時間通知系統(tǒng)管理員。這種方式安全性高，但管理復雜。這一新的 VLAN 特性就是專用 VLAN(private VLAN， pVLAN)。 防火墻部署方案 根據(jù)學校的具體情況，選用一臺 CISCO的 企業(yè)級 防火墻： CISCO ASA 5520。 在信息標準的建設過程中，我們應該考慮以下三個方面的標準： ? 國家標準 這是指由國家相關部門頒布的標準，如《教育管理信息化標準》，它對信息化標準建設起宏觀指導作用，信息標準的建設將以此為基本依據(jù)。 建立映射關系來描述原標準和新標準之間的關聯(lián)關系，并提供給 數(shù)據(jù)集成平臺所 使 用 ，以便數(shù)據(jù)集成平臺能夠 快速實現(xiàn)標準代碼的數(shù)據(jù)交換 。 可擴性 ：代碼結構必須能適應同類編碼對象不斷增加的需要，必須為新的編碼對象留有足夠的備用碼，以適應不斷擴充的需要。 ? 如果 國家標準代碼 不能覆蓋 ， 遵循教育部相關標準 ? 如果教育部標準不能覆蓋或規(guī)定不詳，則 遵循 相關 行業(yè)標準代碼。通過建設統(tǒng)一數(shù)據(jù)中心，可以實現(xiàn)校內數(shù)據(jù)共享、工作協(xié)作和全局服務。 ? 建成一個集成校內各權威數(shù)據(jù)的數(shù)據(jù)中心 將分散在各部門業(yè)務系統(tǒng)的數(shù)據(jù)集中到數(shù)據(jù)中心平臺統(tǒng)一存放，以師、生角色為主線，提供跨部門的人事、教學、科研、公共資產(chǎn)、財務、信息服務等綜合數(shù)據(jù)從而為教職工、學生提供全方位的信息服務，并實現(xiàn)“誰產(chǎn)生、誰維護、誰負責”的權威數(shù)據(jù)源。 3） 沒有行業(yè)標準代碼，遵循 學校 制定的代碼標準。 對于性能優(yōu)化、穩(wěn)定性設計必須冗余的數(shù)據(jù)，提供數(shù)據(jù)同步機制。 ? 保證可以提供為整個學校決策支持所需的數(shù)據(jù)信息，為學校將來的決策支持系統(tǒng)積累分析數(shù)據(jù) 每個 業(yè)務操作 、 信息采集 、報表分析和統(tǒng)計結果是 將來決策支 持 的重要數(shù)據(jù)來源。 ? 請示報告 請示報告實現(xiàn)各部門請示報告的生成、部門意見的簽署、辦公室擬辦意見的簽署和領導批示全過程，并實現(xiàn)流程的實時監(jiān)控。 ? 待辦事宜 集中管理所有人待處理的內容，可以是公文、也可以是通知等消息。本期教務管理系統(tǒng)的建設應結合學校學分制改革的現(xiàn)狀進行具體的設計規(guī)劃。排課系 統(tǒng)包括排課初始數(shù)據(jù)設定、板塊課程排課管理、自動排課、人機交互排課、調課管理、網(wǎng)上查課表等環(huán)節(jié)。 課酬管理 教師上課可以由教務管理子系統(tǒng)中實際開課數(shù)據(jù)自動生成，在此數(shù)據(jù)基本上可以根據(jù)用戶設定的計算公式對教學工作量自動計算。 1．建設目標 統(tǒng)一門戶平臺定位于對數(shù)字校園中的信息和應用系統(tǒng)進行整合，統(tǒng)一控制用戶對信息和應用系統(tǒng)的訪問，為用戶提供一個單一的訪問入口。 ? 與 B/S 應用系統(tǒng)進行整合 統(tǒng)一門戶平臺提供多種實用工具，可整合 B/S 應用系統(tǒng)、也可通過 URL 整合互聯(lián)網(wǎng)資源，或通過 網(wǎng)頁剪輯整合網(wǎng)頁的一個欄目或某個特定的部分，皆不需要修改應用系統(tǒng)或較少修改應用系統(tǒng)，即可實現(xiàn)統(tǒng)一訪問。 ? 新聞頻道 通過統(tǒng)一門戶平臺實現(xiàn)各類不同來源的新聞信息展現(xiàn)： ?辦公自動化系統(tǒng)中所發(fā)布的信息 ?學校網(wǎng)站、各部門學院主頁中的欄目新聞 ?學校各業(yè)務子系統(tǒng)單獨開發(fā)的 portlet 新聞 ?公共網(wǎng)站 RSS 聚合新聞 ? 其它門戶常用功能 在各頁面可以添加一些通用 portlet，以增加用戶體驗，如時鐘，天氣等。 NAS 系統(tǒng)采用 NAS ON SAN 的構架，即 NAS 系統(tǒng)采用 SAN 系統(tǒng)提供的存儲空間。所以這期數(shù)字化校園服務器系統(tǒng)的建設，設計采購一批刀片服務器系統(tǒng)來滿足信息平臺和各應用系統(tǒng)的部署需求，每刀片服務器根據(jù)軟件系統(tǒng)的不同需求選擇 CPU、內存、I/O 不同的配置。 學校已有系統(tǒng)不多，學生、教師、行政管理人員等對信息化的認識并不充分。根據(jù)一期軟件系。因此，在一期的建設過程中，必須讓學校的主要用戶（即學生、教師、行政管理人員及校領導）都能參與到學校信息化建設過程中，獲得一定的感性認識和良好的體驗，才能擁有不斷的熱情投入到更深一步的信息化建設中。 第六章 數(shù)字化校園分期建設規(guī)劃建議 從 信息化校園的建設的過程來說，這是一個長期過程，不可能一蹴而就。 目前， PC服務器一直在朝高密度方向發(fā)展，目標是體積更小、功耗更低、高可管理性和擴展性。 第五章 應用系統(tǒng)配套硬件平臺規(guī)劃 存儲系統(tǒng)建設 我校校園網(wǎng)數(shù)據(jù)存儲系統(tǒng)的建設必須要滿足數(shù)字化校園中每個應用系統(tǒng)和共享數(shù)據(jù)平臺等系統(tǒng)的高性能、高可靠、大容量的存儲需求。 ? 與其他支持 Portlet 標準的應用進行資源整合 統(tǒng)一門戶平臺應是一個開放的、基于標準的框架，支持 Portlet 國際標準，這樣，統(tǒng)一門戶平臺則可與其他主流門戶廠商所提供的 Portlet 應用相集成，如應支持 IBM WPS（ WebSphere Portal Server）和 Jet Speed 上的大部分校園應用 Portlets、以及其他主流門戶廠商的 Portlet 應用。 2． 系統(tǒng)應具備的特點 支持多種來源的內容聚合，包括校園網(wǎng)信息、因特網(wǎng)信息、各種應用系統(tǒng)發(fā)布信息等。 1教材管理 主要是實現(xiàn)教材管理的透明化，學生根據(jù)自己選用的教材或領用的課本實現(xiàn)跟蹤自己的教材使用情況。選課系統(tǒng)主要功能是根據(jù)學校的教學任務，控制選課，對選課的流程進行控制，并對選課的結果進行處理。系統(tǒng)能夠直接導入網(wǎng)上錄取信息，并通過批量處理方式快速完成新生入學注冊與分班、學生畢業(yè)審核等。 ? 工作授權 包含公務授權、授權收回、授權設定（人員、時間、事宜等）。實現(xiàn)任意發(fā)送、同時多人辦理、收回、指定辦理期限、反饋辦理結果等。 ? 保證可以成為后續(xù)開發(fā)各種應用系統(tǒng)的通用數(shù)據(jù)庫平臺，保證新的系統(tǒng)建立在公共數(shù)據(jù)庫平臺上時，不會產(chǎn)生新的分散數(shù)據(jù)。 系統(tǒng)提供安全審計功能，保證對業(yè)務操作的嚴格監(jiān)督。 5） 沒有約定俗成的規(guī)定代碼，按相應要求，設計滿足需要并保留擴充接口的代碼。通過數(shù)據(jù)中心平臺的權威數(shù)據(jù)為數(shù)據(jù)綜合查詢、統(tǒng) 計、分析、決策等應用提供權威數(shù)據(jù)支持。同時，也便于各級領導隨時了解教學情況，并基于數(shù)據(jù)中心對學校的核心數(shù)據(jù)進行分析、展現(xiàn)，掌握學校學科分布、資源投入比重、教學質量監(jiān)控等方面的重要信息，為學校各級管理和宏觀決策提供依據(jù)。 ? 學校 制定的標準中仍沒有包含的，遵循約定俗成的規(guī)定。 規(guī)范性 ：在一個信息編碼標準中，代碼的結構、類型以及編寫格式必須統(tǒng)一。 3． 信息編碼 信息編碼是將事物或概念（編碼對象）賦予有一定規(guī)律性的，易于計算機和人識別與處理的一個或一組有序的符號 ，其目的是 設定編碼對象的唯一標識，以提高信息處理的效率，便于信息的交流，實現(xiàn)信息資源的共享，促進信息的利用。 ? 自定義標準 這是指在日常工作中通過積累和總結，將會形成一些在工作中具有普遍適用性的信息，將這些信息進行整 理和匯總，并通過一定的方式加入信息標準，也可以成為信息標準的一部分。 一個千兆光纖端口接對外提供服務的 DMZ區(qū)，該區(qū)是對外的服務區(qū)，提供 WWW、 DNS、 Email、FTP、 BBS 等服務； 一個千兆光纖端口接內部局域網(wǎng)，叫內網(wǎng)區(qū)端口； 一個千兆以太網(wǎng)口和 一個百兆網(wǎng)口，用于連接 互聯(lián)網(wǎng) 。與服務器連接的端口稱作專用端口 (Private port)，一個專用端口限定在第 2 層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量。如假定設定每端口同時連接的 MAC 地址上限為 2， 則用戶最多有兩臺電腦，如果超過兩臺，交換機可以自動關閉此端口或向系統(tǒng)管理員 TRAP 告警。 網(wǎng)絡安全設計 方法 用戶的地址更改 /欺騙在以太網(wǎng)接入中也比較突出，尤其在用戶內部，普通用戶冒用特權用戶的IP 地址上網(wǎng)。通過使用基于策略的路由可以實施有選擇地讓數(shù)據(jù)包采用不同的路徑的策略。 第四個因素是是否考慮可能的政策調整 。而采用 NAT/PAT 的方式，可以將網(wǎng)絡公用地址的需要節(jié)省到幾十分之一甚至更多的程度。對于訪問校園網(wǎng)外的用戶，需區(qū)分其使用的是私有還是公有 IP 地址，對于公有 IP地址用戶也無需進行地址轉換，使用私有 IP地址用戶為訪問校園網(wǎng)外的網(wǎng)絡時必須進行 NAT轉換。 建設網(wǎng)絡的目的是為了應用。 PVLAN 技術 當接入用戶比較多時而又要保證相互之間的安全，一般所采用的方法就是采用 VLAN 進行共同工作組的劃分。 （ 6）按用戶定義、非用戶授權劃分?；?IP 子網(wǎng)的 VLAN，可按照 IPv4 和 IPv6 方式來劃分 VLAN。 VLAN工作基于工作站的 MAC 地址， VLAN交換機跟蹤屬于 VLAN MAC的地址，從某種意義上說，這是一種基于用戶的網(wǎng)絡劃分 手段，因為 MAC 在工作站的網(wǎng)卡（ NIC）上。最后， VLAN 架構使各機構能夠在網(wǎng)絡管理中實現(xiàn)極高程度的 自動化。 校園網(wǎng)邏輯設計 VLAN 是基于交換層（即數(shù)據(jù)鏈路層）劃分的。 RGS3760 系列以高性能、高安全、多業(yè)務、易用性特性為大型網(wǎng)絡匯聚和中型網(wǎng)絡核心提供了 IPv4/IPv6 的多層交換、端到端的服務質量、靈活豐富的安全措施和基于策略的網(wǎng)管，最大化滿足高速、安全、多業(yè)務的下一代企業(yè)網(wǎng)需求。 具體 網(wǎng)絡拓撲圖如下： （