校园网络技术标书

 

背景描述】X校目前基于学院发展需求将在城郊划分一块新地作为新校区校址,新校区总面 500亩,一期工程已建成,计划9月份入住新生,共计容纳5900人住宿和教学。一期校园网总投资150万左右,要求网络具有安全、可靠、稳定、适用等效果。              [ 需求分析 ]

  综合分析,该校园有如下特点:

1、              学生多,计算机多,网络依赖性强,网络流量大;

2、    学生人员复杂,不乏技术较好而又有***欲望者,故网络安全威协大;

3、    基于教学、学生管理、员工管理等需要,服务要求多;

[ 设备清单 ]

Cisco 2600 路由器一台

Cisco 2900XL 交换机若干台

Cisco PIX 防火墙一台

网线:若干箱

制线嵌:若干个

正版软件: Microsoft ISA

[ 方案设计 ]

设计拓扑图:略!

 

一、         使用一台路由器实现内网与外网的连接

其功能实现:

1、              实现内网与外网的连接

2、              实现内网中不同 VLAN 的通信

3、              实现 NAT 代理内网计算机连接 Internet

4、              实现 ACL 提供内外网的通信的安全

 

二、         使用多台交换机实现 VLAN 的规划

1 、按部门或场所划分 vlan

1) vlan2 :教学楼,主要分屏室、投影室等多媒体教室;

2)vlan3 :教学综合楼,主要为各教学部门、学生管理部门办公室;

3)vlan4 :学生宿舍,学生生活区;

4 vlan5 :机房,学生实践场所

 

2 vlan 之间的通信

  1 )实现有通信需要的 vlan 之间的通信,如 vlan2 vlan3 vlan5 等;

2 )使用上述路由器实现 vlan 之间的通信;

  3 )使用 ACL 提供 valn 间通信的安全;

 

三、         IP 地址规划:

1、              考虑内网中机器较多,使用 10.0.0 .0/8 私有地址并将其进行子网划为 /24

2、              不同 vlan 给予不同子网 ip ,如 vlan2 可为 10.31.0 .0/24 子网 ;

3、              通过 DHCP 服务器动态分配所有 ip;

 

四、         win2003 域规划:

为方便管理和提高网络安全性,将内网中部分计算机实现 win2003 域结构网络:

1 、创建一个 win2003 域,如: ahxh­zjc.edu

2 、将各领导办公用机,专职教师用机,机房教师用机,专职班主任用机等所有员工用机加入所建域;

3 、创建额外域 DC 提供 AD 容错功能和相互减轻负担功能;

 

五、         服务器规划

1、              文件打印服务器( win2003 系统):用于连接多台打印设备,并将这些打印机发布到活动目录

1)          实现域中所有计算机都可方便查找和使用打印机;

2)          实现打印优先级,使得重要用户,如部门领导可优先使用打印机;

3)          实现打印池功能,使得用户可优先自动使用当前空闲打印机;

4)          实现重定向功能,使得当一打印设备故障,如缺墨缺纸,可自动被重定向到其它打印设备打印;

5)          实现打印机使用时间限制:如管理人员可 24 小时使用,普通员工只可上班时间使用;

 

2、              DHCP 服务器( linux AS4.0 系统):用于为内网客户机分配 ip ,考虑到效率和可靠性

1)      根据所需使用子网,实现多个作用域,并将这些作用域加入进一个超级作用域,为不同子网内的客户机分配相应;

2)      实现为客户机分配除 ip 之外的其它设置,如网关 IP DNS IP ,等等;

3)      实现地址排除:将各服务器所使用地址在作用域内排除;

4)      实现保留:为需要的用户,如网络系做网络相关实验的老师,保留特定的 IP, 使其可长期使用该 IP 而不与其他人冲突;

5)      实现 DDNS 的支持,能够自动更新 DNS 数据库。

 

3、              DNS 服务器( linux AS4.0 系统):提供域名解析

1)      实现主要名称服务器,并创建 AD 集成区域,如 ahxhzjc.com

2)      实现允许安全动态更新的 DDNS ,使得与 DHCP 服务器合作,动态更新 DNS 数据库;

3)      实现转发器功能,使得内网用户访问互联网时 DNS 可将解析请求转发给 ISP DNS ,如 202.102.192.68

4)      实现辅助名称服务器:提供容错和减轻负担的功能;

 

4、              FTP 服务器 (win2003 系统 +serv-u 软件 )

两种 FTP 服务器:

1、              员工使用,如教师资料存放,校区内公共文件存放

1)      允许所有域用户访问,禁用匿名用户访问;

2)      实现用户隔离功能,使得用户只可访问自己的根目录和公共文件夹;

3)      用户在自己的根目录可上传和下载,但对公共文件夹只能下载;

4)      实现用户磁盘配额,使得每位用户只能拥有一定量存储空间。

 

2、              每个机房一台,用于学生存储资料、素材;

1)              以班级为单位,每个班级一个用户;

2)              实现用户隔离功能,使得用户只可访问自己的根目录和公共文件夹;

3)              用户在自己的根目录可上传和下载,但对公共文件夹只能下载;

4)              实现用户磁盘配额,使得每位用户只能拥有一定量存储空间。

 

5、              WEB 服务器( LAMP linux+apache+mysql+php

1)    限制只可在本校园内访问;

2)    实现访问跟踪;

3)    实现为学生提供一平台,发布本校区内的新闻、课表、课件资料等;

4)    提供论坛、 blog 功能。

 

6、              VOD 服务器( LinuxAS4.0

1)    限制只可在本校园内访问;

2)    提供在线影视娱乐;

3)    提供在线观看名人讲座、教学视频、校区活动录像等。

 

7、              ××× 服务器( win2003 系统):

1)      实现 ××× ,使得在家中、其它校区、外地分校的员工远程访问本地局域网;

2)      提供仅对域用户的支持。

 

8、              数据库服务器( Linxu+mysql

1)    web 服务器相结合,存储本校区学生信息,内容涉及学生档案、成绩查询、管理加扣分等;

2)    设置学生只有查看自己个人信息及公共信息权;

3)    班主任、学生管理人员有不同权限。

 

六、         Internet 连接规划

1 、内网用户一级代理

1)              所有内网计算机均通过内外网连接的路由器利用 NAT 功能实现访问 Internet

2)              实现 ACL 初步提供内外网连接的网络安全性;

3)              实现硬件防火墙提供内外网连接的网络安全性;

4)              设置防火墙只有自动获得的 IP 才可连接 Internet

5)              设置禁止用户访问一些网站,如百度视频等;

6)              设置禁止用户使用一些 P2P 工具,如电驴等。

 

2、              二级代理

1)              各机房学生用机均使用软件防火墙,如 ISA ,二级代理功能;

2)              设置禁止用户访问一些网站,如百度视频等;

3)              设置禁止用户使用一些 P2P 工具,如电驴等。

 

七、         防火墙规划

1、              两台防火墙,一硬件防火墙主要实现对来自外网对内网访问的安全防护;另一软件防火墙主要实现对内网访问外网的限制;

2 、两台防火墙架构成背靠背模式,中间为 DMZ( 非军事区 ) ,用于存放各种服务器。

 

八、客户端部署

1、              员工用机部署

1)            原则上所有员工用机均使用 windows 系统;

2)            加入校园域中,如 ahxhzjc.com

3)            所有员工用机均需安装杀毒软件、个人防火墙等安全软件;

4)            其它软件可自行选择;

 

2、              学生机房用机部署

1)            所有机器均需安装杀毒软件、个人防火墙等安全软件;

2)            其它软件可根据机房实践内容选择;

3)            实现开机自动还原;

 

附注:三少原创并未作为实践出现过!本人还是个学生,写这篇方案完全是个人兴趣!