【正文】 將分散在各部門業(yè)務系統(tǒng)的數(shù)據(jù)集中到數(shù)據(jù)中心平臺統(tǒng)一存放，以師、生角色為主線，提供跨部門的人事、教學、科研、公共資產(chǎn)、財務、信息服務等綜合數(shù)據(jù)從而為教職工、學生提供全方位的信息服務，并實現(xiàn)“誰產(chǎn)生、誰維護、誰負責”的權威數(shù)據(jù)源。 ? 如果 國家標準代碼 不能覆蓋 ， 遵循教育部相關標準 ? 如果教育部標準不能覆蓋或規(guī)定不詳，則 遵循 相關 行業(yè)標準代碼。 建立映射關系來描述原標準和新標準之間的關聯(lián)關系，并提供給 數(shù)據(jù)集成平臺所 使 用 ，以便數(shù)據(jù)集成平臺能夠 快速實現(xiàn)標準代碼的數(shù)據(jù)交換 。 防火墻部署方案 根據(jù)學校的具體情況，選用一臺 CISCO的 企業(yè)級 防火墻： CISCO ASA 5520。這種方式安全性高，但管理復雜。此外，還可根據(jù)應用的類型進行出口路由選擇。到 190。 在 Private VLAN的概念中，交換機端口有三種類型： Promiscuous port（混雜端口） ， Isolated port（隔離端口） ， Community port（共有端口） ；它們分別對應不同的 VLAN 類型： Isolated port屬于 Secondary VLAN， Community port 屬于 Additional Secondary VLAN，而代表一個Private VLAN 整體的是 Primary VLAN，前面兩類 VLAN 需要和它綁定在一起，同時它 還包括Promiscuous port。基于策略組成的 VLAN 能實現(xiàn)多種分配方法，包括 VLAN 交換機端口、 MAC地址、 IP 地址、網(wǎng)絡層協(xié)議等。其主要缺點在于不允許用戶移動，一旦用戶移動到一個新的位置，網(wǎng)絡管理員必須配置新的 VLAN。 5．校園網(wǎng)出口 在防火墻上進行內(nèi)網(wǎng) IP 地址的 NAT 轉換，使內(nèi)網(wǎng)用戶能訪問互聯(lián)網(wǎng)。 用戶接入（包括教學、辦公和學生宿舍）交換機的網(wǎng)絡設計要求 用戶接入交換機都是 L2 交換機，學生宿舍 樓層接入交換機除支持常用的協(xié)議外，還需要支持 協(xié)議。 靈活性和可擴展性 校園網(wǎng)絡強調(diào)面向未來的廣泛的升級擴充能力，并能夠充分利用本次網(wǎng)絡設備的投資，在不影響網(wǎng)絡性能的前提下最大限度的簡化升級擴充后網(wǎng)絡的建立和管理。在傳統(tǒng)校園的基礎上構建一個數(shù)字空間以拓展現(xiàn)實校園的時間和空間維度，從而提升了傳統(tǒng)校園的效率，擴展了傳統(tǒng)校園的功能，最終實現(xiàn)教育過程的全面信息化。 學校簡介 ....................................................................................... 錯誤 !未定義書簽。 數(shù)字校園的功能 用戶管理： 用戶注冊、電子身份、身份認證 信息管理：教學資源、辦公信息、管理信息、圖書資源、檔案信息、科研數(shù)據(jù) 信息服務：個性化、主動信息服務，目錄服務 辦公自動化：網(wǎng)上辦公、無紙辦公 管理信息系統(tǒng)：教務、設備資產(chǎn)、人事、財務、后勤、 …… 決策支持：教學評估、招生評估、畢業(yè)評估、 ... 遠程教育：虛擬實驗室、網(wǎng)絡輔助教學 電子商務：在線注冊、社區(qū)服務 ... 協(xié)同工作：教學研討 、科研攻關、在線討論 ... 網(wǎng)上交流：電子郵件、資料交換、主頁發(fā)布、學術沙、? 數(shù)字化校園的結構 數(shù)字化校園的結構如下圖所示： 最內(nèi)圓是“網(wǎng)絡基礎”：網(wǎng)絡是數(shù)字校園的最基礎的設施，沒有相應的網(wǎng)絡基礎設施，數(shù)字不能流動，就不可能形成數(shù)字的空間； 次內(nèi)圓是“網(wǎng)絡基本服務”：網(wǎng)絡基本服務是數(shù)字流動的軟件基礎，包括電子郵件、文件傳輸、信息發(fā)布、身份認證、目錄服務等； 其次是“應用支撐系統(tǒng)”：包括辦公自動化系統(tǒng)、數(shù)字圖書館、管理信息系統(tǒng)和網(wǎng)絡教學系統(tǒng)，它們是數(shù)字校園的核心支持系統(tǒng)； 再往外是“信息服務系統(tǒng) ”：它是校內(nèi)用戶的主要使用界面，為用戶提供各種服務，如后勤服務、信息查詢、信息流通、電子商務等； 最外層是“虛擬校園”：它是校園數(shù)字化后功能的自然擴展，將校園的功能突破圍墻的限制，成為一個可以覆蓋網(wǎng)絡可達范圍的無疆域的大學。符合國家安全保密要求； 應采取系統(tǒng)工作環(huán)境與外界的隔離措施； 應防止未經(jīng)許可的用戶非法進人訪問網(wǎng)絡，并讀取、改寫文件； 應防止竊取和篡改數(shù)據(jù)； 應防止 IP 盜用，加強網(wǎng)上跟蹤與監(jiān)測，杜絕網(wǎng)上不法行為； 應防止惡意用戶向網(wǎng)上或某一網(wǎng)上設備發(fā)送大量某種信息，使網(wǎng)絡處于高負荷運轉； 應提供多種方式和層次的訪問控制安全機制，可進行端到端的安全性控制，保護網(wǎng)絡系統(tǒng)數(shù)據(jù)安全； 應制定嚴密的數(shù)據(jù)備份方案和技術保障措施，確保系統(tǒng)的數(shù)據(jù)安全。 5．具體信息點分布 接入樓宇 所需光纖 接入模式 交換機安放位置 所需交換機類型 信息點數(shù)量 網(wǎng)絡中心 網(wǎng)絡中心 機房 核心 教學樓 6 芯單模 千 兆 機房 區(qū)域匯聚 160 教師公寓 6 芯 多 模 千兆 機房 樓棟匯聚 50 學生公寓 12 芯單模 千兆 機房 樓棟匯聚 480 實訓車間 6 芯 多 模 10 合計 700 第三章 系統(tǒng)詳細設計 校園網(wǎng)物理設計 1．核心層 核心層骨干交換機采用 RGS6806EC 交換機 。為上層提供服務，但與上層的協(xié)議無關， VLAN能制約數(shù)據(jù)幀在本 VLAN 的一切活動，無需關心上層協(xié)議下傳的分組類型，因此 VLAN 在具體的應用上將具有優(yōu)越的實用性。這種方式的 VLAN 允許網(wǎng)絡用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN 的成員身份，但這種方式要求網(wǎng)絡管理員將每個用戶都一一劃分在某個 VLAN 中，在一個大規(guī)模的 VLAN 中，這就有些困難 ?；谟脩舳x、非用戶授權來劃分 VLAN，是指為了適應特別的 VLAN網(wǎng)絡，特別的網(wǎng)絡用戶的特別要求來定義和設計 VLAN，而且可以讓非 VLAN 群體用戶訪問 VLAN，但是需要提供用戶密碼，得到 VLAN 管理的認證后才可以加入一個 VLAN。無論網(wǎng)絡硬件平臺多么先進，沒有與之配套的先進應用系統(tǒng)，網(wǎng)絡的價值就無法得到真正的體現(xiàn)。但后一種方式的主要問題是 NAT/PAT 轉換的性能問題，第二個問題是可能會影 響某些應用。 基于策略的路由被應用于進入的數(shù)據(jù)包，啟用了基于策略的路由的接口所接收的所有數(shù)據(jù)包都被考慮執(zhí)行基于策略的路由。 對合法用戶的正常使用，我們建議采用以下技術： 3．流量 限制技術 通過對用戶接入端口進行速率限制，保證用戶不可以超越某個速率上限，一旦發(fā)覺某一端口流量異常，則可以認為有太多突發(fā)流量通過此端口進入業(yè)務網(wǎng)絡，由可能在進行黑客活動，也有可能在利用此端口進行帶寬批發(fā)活動或其他經(jīng)營活動，網(wǎng)絡管理人員可以馬上關閉此端口，并通知客戶。 此處可根據(jù)需要，在防火墻上設置如下安全策略： ? 解決內(nèi)外網(wǎng) 絡邊界安全，防止外部攻擊，保護內(nèi)部網(wǎng)絡（禁止外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡）； ? 根據(jù) IP 地址、協(xié)議類型、端口等進行數(shù)據(jù)包過濾； ? 內(nèi)外網(wǎng)絡采用兩套 IP 地址，實現(xiàn)雙向地址轉換功能； ? 支持安全服務器網(wǎng)絡（ DMZ 區(qū)），允許內(nèi)外網(wǎng)絡訪問 DMZ 區(qū)，但禁止 DMZ 區(qū)訪問內(nèi)部網(wǎng)絡； ? 通過 IP 與 MAC 地址綁定防止 IP 盜用，避免亂用網(wǎng)絡資源； ? 防止 IP 欺騙； ? 防 DDoS 攻擊； ? 開啟黑白名單功能，實現(xiàn) URL 過濾，過濾不健康網(wǎng)站； ? 提供應用代理服務，隔離內(nèi)外網(wǎng)絡； ? 具有自身保護能力，可防范對防火墻的常見攻擊； ? 啟動入侵檢測及告警功能； ? 學生訪 問不良信息網(wǎng)站后的日志記錄，做到有據(jù)可查； ? 多種應用協(xié)議的支持。 它適 用于現(xiàn)代化信息管理、對外信息服務與信息交流等各個方面。 ? 沒有約定俗成的規(guī)定代碼，按相應要求，設計滿足需要并保留擴充接口的代碼。 ? 建成一個為校內(nèi)應用提供數(shù)據(jù)交換和共享服務的數(shù)據(jù)中心 數(shù)據(jù)中心平臺平臺為將各業(yè)務系統(tǒng)提供數(shù)據(jù)交換的支撐，并按各業(yè)務系統(tǒng)的數(shù)據(jù)需求將數(shù)據(jù)集成中心庫的數(shù)據(jù)分發(fā)到各業(yè)務系統(tǒng)，從而實現(xiàn)數(shù)據(jù)的統(tǒng)一集成和標準化，為各業(yè)務管理系統(tǒng)之間的數(shù)據(jù)統(tǒng)一、避免數(shù)據(jù)不一致奠定數(shù)據(jù)基礎。 ? 保證任何業(yè)務系統(tǒng)的添加和修改不影響其它業(yè)務系統(tǒng)的正常運行 正確地抽象、定義業(yè)務系統(tǒng)的數(shù)據(jù)模型，不通過直接的數(shù)據(jù)庫訪問來實現(xiàn)不同業(yè)務之間數(shù)據(jù)共享，而是調(diào)用應用組件定義的服務接口， 從而 ，當某些提供服務的業(yè)務系統(tǒng)發(fā)生變 化時，不會影響到使用服務的其他業(yè)務系統(tǒng)的正確運行。 ? 會議管理 主要包括會議安排、會議表格生成、會議 室申請、會議室信息維護、會議室狀況查詢等。 教室管理 對學校教學資源進行規(guī)劃管理，包括教室安排、教室資源占用 情況等，并對校內(nèi)教室基本信息進行管理，如教師基本信息管理、教師分配管理、教師狀態(tài)查詢、教師借用申請審核、教師資源使用統(tǒng)計等。教材管理的主要功能包括教材管理信息設置、教材代碼維護、教材基本信息維護、教材計劃、教材征訂、教材入庫、教材出庫、教材回庫、教材報廢、統(tǒng)計報表。 ? 實時信息訪問 門戶平臺建立了對各類信息資源的可動態(tài)實時訪問的通道，而不需改變原來的資源結構和配置，所集成的各類互聯(lián)網(wǎng)資源、數(shù)據(jù)資源、各類業(yè)務系統(tǒng)能夠保持原地不動；也就是說，各類信息資源向不同用戶提供的是：符合各自工作要求和個人習慣的個性化輸出的訪問門戶通道，而非個性化內(nèi)容包括：實現(xiàn)對分散異構的圖文信息、音頻、視頻片段多媒體資料等非結構化數(shù)據(jù)的實時訪問；通過 URL 或網(wǎng)頁剪輯可實現(xiàn)對網(wǎng)頁或其中的某一個欄目而非欄目的內(nèi)容進行集成，從而實現(xiàn)對信息的動態(tài)實時訪問；提供對物理分散的異構數(shù)據(jù)的實時訪問，也就是說，門戶平臺獲得的是實時數(shù)據(jù)，被集成的數(shù)據(jù)對象不需做任何改動、保持原地不動； 實現(xiàn)對信息孤島式的不同業(yè)務應用的實時訪問，保護用戶在原有業(yè)務系統(tǒng)的投資。塔式服務器已經(jīng)得到廣泛應用，而機架式服務 器則為用戶提供了更多的選擇，并開始在各種企業(yè)系統(tǒng)中扮演重要角色。 建設重點 一期信息化建設重點 —— 定標準、建平臺、打基礎 后續(xù)的應用建設 都需要在整體基礎框架上進行。 NAS 通過數(shù)據(jù)網(wǎng)絡為系統(tǒng)中其它的服務器提供存儲服務，包括： WEB 服務、 FTP 服務、 EMAIL服務等等。 3．功能描述 統(tǒng)一門戶平臺應具有的主要功能： ? 門戶整合 統(tǒng)一門戶平臺應能夠聯(lián)系整個學校內(nèi)外的異構系統(tǒng)、應用、數(shù)據(jù)源等，包括學校內(nèi)外的各種數(shù)據(jù)庫、數(shù)據(jù)倉庫、辦公自動化系統(tǒng)、電子郵件系統(tǒng)，以及其它重要的業(yè)務系統(tǒng)，統(tǒng)一門戶平臺均可以通過 Portlet 技術將其統(tǒng)一集成到門戶平臺中，實現(xiàn)統(tǒng)一的訪問入口和統(tǒng)一的信息展示出口。成績管理主要功能包括：成績錄入、成績統(tǒng)計分析、成績的綜合處理、等級考試成績管理、成績報表。 縱觀市場上較為成熟的業(yè)務系 統(tǒng)，大多具有明顯的學年制特征。 ? 督辦管理 督辦管理實現(xiàn)督辦單制作、通知、跟蹤、人工催辦、承辦人承辦、督辦結果反饋、形成督辦專報、督辦數(shù)據(jù)統(tǒng)計查詢功能。 ? 保證任何兩個業(yè)務系統(tǒng)之間沒有冗余業(yè)務數(shù)據(jù) 在設計中 ， 對有業(yè)務關系和數(shù)據(jù)關聯(lián)的業(yè)務系統(tǒng)，統(tǒng)一設計業(yè)務模塊的數(shù)據(jù)庫，不對業(yè)務系統(tǒng)做人為的切割， 盡量保證 業(yè)務系統(tǒng)之間沒有冗余業(yè)務數(shù)據(jù)，從而簡化數(shù)據(jù)一致性的實現(xiàn)。信息標準的建 設要充分考慮國家標準、教育部標準、教育信息化協(xié)會標準等標準的前提下，結合已建業(yè)務系統(tǒng)的信息標準特點逐步形成具有學校特點的信息標準體系。 所有 系統(tǒng)在代碼標準的使用上，遵循以下原則： ? 如果有國家標準代碼，遵循國家標準代碼。由參照標準引入執(zhí)行標準，并由學校自行維護； 提供對執(zhí)行標準集模式和數(shù)據(jù)的瀏覽、維護功能，以及與參照標準的對比。這樣即使同一 VLAN 中的用戶，相互之間也不會受到廣播的影響。 所選交換機支持端口的安全特性，每個端口可靜態(tài)設置多個 MAC 地址，如果有非法 MAC 地址入侵，交換機 會通過 TRAP 告警網(wǎng)絡管理員。而非 FreeIP范圍的流量需要另外交 納流量費用，并且?guī)捠艿接绊懀梢赃x擇通過電信公眾網(wǎng)出口。 由于大部分的個人用戶不需要固定的 IP 地址，因此對個人用戶采用動態(tài)的 IP 地址分配可以節(jié)省 189。Private VLAN 可以把一個大的 IP地址域劃分成多個地址組，各個地址組之間不能互訪，既實現(xiàn)了安全隔離又省卻了地址 劃分及重規(guī)劃的復雜，節(jié)約了 IP 地址。 （ 5）按策略劃分。這種按網(wǎng)絡端口來劃分 VLAN 網(wǎng)絡成員的配置過程簡單明了，因此，它是最常用的一種方式。 4．防火墻 Cisco ASA 5520 系列在單一平臺中提供了多種市場成熟技術的強大組合 ，提供 成熟的安全和 VPN 性能 ，支持 IPS、 AntiX 以及 IPSec 和 SSL VPN 技術，提供了強大的應用安全、基于用戶和應用的訪問控制、蠕蟲和病毒防御、惡意軟件防御、防網(wǎng)絡釣魚和防垃圾郵件、 URL 阻攔和過濾，以及遠程用戶 / 地點連接 , 支持高度可定制的安全策略及服務，有助于防御快速發(fā)展的威脅環(huán)境 。校園網(wǎng)的主干網(wǎng)絡是校園網(wǎng)應用正常運行的根本保證，應該采用先進成熟的網(wǎng)絡技術和國際知名廠商的高質量的網(wǎng)絡設備來構建，并利用設備冗余、鏈路冗余和 STP、 ECP的網(wǎng)絡技術保證校園網(wǎng)骨干可以不間斷地為教學、科研和辦公服務。 通用性 系統(tǒng)設計要考慮到 35 年內(nèi)的技術發(fā)展； 應選擇通用性高，兼容性強，能支持工作網(wǎng)段和節(jié)點擴充的網(wǎng)絡設備； 能支持新出現(xiàn)的網(wǎng)絡協(xié)議和多媒體網(wǎng)絡應用軟件； 能支持不同存儲格式的各類軟件