一.背景介绍
浙江工业大学浙西分校坐落在浙江衢州、闻名风景区──烂柯山南麓,于1985年4月经省人民政府批准建立。根据省委省政府指示,浙西分校的办学宗旨是:为浙西南的经济建设和 发展作贡献,培养德、智、体全面发展的、专业知识扎实、动手能力强的应用型人才。
为适应教育现代化和学校信息化建设的需要,浙江工业大学浙西分校预备全面改造整个校园网,旨在为我校师生提供一个先进、可靠、安全的计算机网络教学和科研环境,促进学校与外界的信息交流、资源共享和科研合作,支持学校的教学、科研和学校各项治理工作。
整个校园网建设分两期进行,一期工程已经于2001年9月份实施完毕,主要包括网络中心以及小红楼、新教学楼、机械楼、办公楼等;二期工程方案已经确定,包括柯山单身公寓、女生三号公寓、新建二号公寓、新建一号公寓、党校楼等。
二.需求分析
1.校园网的应用特点
根据学校的要求,我们按照“统一规划、分步实施、讲究实效、安全可靠”的原则,进行校园网综合系统设计,以满足计算机系统的需要。
校园网络不同于目前一般的企业网络,相比之下有以下几个特点:
网络负荷大:由于要实现视频点播(Video On Demand)、光盘软件及资料阅读及利用纯软件实现媒体网络教学,致使多媒体信息量大大增加,对网络的带宽要求很高。
网络治理及维护工作量大:校园网络建成后,一个最主要的应用就是多媒体应用,计算机会经常性地在使用,而且也会利用计算机进行自我学习,计算机的利用率很高,所以治理和维护任务将十分艰巨。
利用率高:因为计算机将被应用到日常工作中去,所以网络设备及PC的利用率很高 。
2。数据类型分析
信息治理数据(MIS信息):数据通信量大,并且随时间增长幅度很高,要求一定的响应速度。
OA及E-MAIL信息:数据通信量大,并且随时间推移增长幅度很高,要求一定的响应速度;
桌面视频信息:通信时间预定,对传输延时和延时抖动非常敏感,要求网络提供很高的服务质量保证。
3。网络功能分析
针对浙江工业大学浙西分校的网络系统,我们认为应该具备以下典型的网络功能和服务:
网络的可靠性:网络必须能够保证长期连续的运行;
网络服务质量的保证(QoS):针对不同用户和不同应用可以提供不同的服务质量和传输和传输优先级,并可以在网络带宽紧张时,丢弃优先级的数据包;
网络的可扩展性服务:满足浙江工业大学浙西分校在将来3~5年的快速增长的需要,保护用户投资;
网络安全性服务:保证用户对网络资源访问的合法性;
网络多媒体服务:利用Multicast 技术,提高桌面视频系统的带宽利用率;
网络治理服务:配置、监视、统计、治理网络的有效运行。
三.网络系统解决方案
1. 网络设备
一期工程中网络中心采用一台神州数码DCRS-7504核心路由交换机作为中心交换机,采用千兆位路由交换技术构建校园网骨干,百兆交换到桌面。中心计算机房的Web服务器、E-mail服务器、文件服务器、影视服务器等设备直接与DCRS-7504 交换机的24口百兆以太网模块连接,使得新建网络可以全面支持多媒体网络应用如视频点播、网络实时教学等。
神州数码DCRS-7504具有4个插槽,在此需配置1个8口千兆治理模块MRS-7500-M8GS用以构建千兆骨干,1个24口10/100Base-TX模块MRS-7500-24TX用以连接网络中心工作站、路由器、防火墙及四周部分信息点。治理模块需安装LIC-7504-L3F全三层功能许可芯片。
二期工程中拟再增加一台DCRS-7504,这样两台DCRS-7504之间通过两条光纤作链路汇聚(LAG)可以达到4G的带宽,以增大两台交换机之间的带宽,同时还可以提供一定的冗余。
接入层交换机采用神州数码可网管交换机DCS-3624、DCS-3628S堆叠、DCS-3426独立式交换机。
Internet访问主要通过租用电信运营商的ip宽带网,百兆光纤接入用户端以后直接连接防火墙外网口,然后接入核心交换机DCRS-7504;另外配置一台1700系列路由器添加MODEM模块作为RAS以供出差在外的教职员工远程拨入校园网访问所需资源。
具体网络拓扑图如下:
2. 网络策略
VLAN及三层交换策略
通过VLAN的划分,老师被答应访问某些文件服务器和应用,而学生则不答应。一个基于端口VLAN标记的跨交换机VLAN可以由导师或网络治理员规定,做到对诸如治理文件服务器进行有限的访问。这种基于端口的VLAN比较适合于台式机等固定用户,而对于使用笔记本电脑的移动用户(如教师),基于IP子网的VLAN则具备更好的应用灵活性和简便性,无论用户在校园网的哪个区域,核心路由交换机DCRS-7504均可根据其IP地址确定其所属的VLAN和访问网络资源的权限。DCRS-7504基于ASIC技术的硬件路由交换功能可以实现线速跨VLAN的三层交换。
网络治理
为了准确的监测设置治理整个网络设备的运行,我们采用神州数码 LinkManager网管软件,对神州数码的网管交换机产品进行全面的网络治理,包括:对设备的实时监测、交换端口的实时数据流的监测和分析,虚拟网的划分和治理,第三层交换的治理等。
神州数码LinkManager网管系统是一套基于Windows NT平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络治理软件。它是神州数码网络根据中国用户的实际需求,遵循ISO网络治理模型的五大功能域(性能治理、配置治理、故障治理、计费治理及安全治理)的架构,自行研发的一套具有自有知识产权的网管系统软件。
一、强劲的网络拓扑识别能力
无论对于单个局域网还是较大型的TCP/IP互联网,本系统都有较强的网络拓扑发现能力,并且对于网络互连逻辑有较好的识别能力,给治理员提供了全局、 立体化的治理视角:
l. 提供两套视图-物理视图及逻辑视图,可满足操作员的不同需求:
对于希望了解当前网络拓扑逻辑结构的操作员,系统采用傻瓜方式,以默认形式为用户自动绘制出整个网络的逻辑视图,不需用户干预。
对于只想掌控自己关心的网络设备的操作员,系统采用DIY 方式,支持操作员按物理连接或自己随意的自组物理视图;
自动绘制出的网络拓扑图还可以通过另存为的方式供操作员修改;
2. 提供两种设备添加方式,增强操作员在自组物理视图时的DIY手段:
强大的自动发现功能,具有对第二层、第三层及应用层设备的自动识别能力,能准确定位神州数码品牌的网络设备;
按操作员爱好手动添加连入网络的设备,支持操作员选择不同的设备类型;
3 提供两种视图的层次结构组织,纹理清楚:
在自动方式中,逻辑视图的层次结构由各层子网、网络设备及其设备特性构成;
在 DIY方式中,物理视图的层次结构由子图、网络设备及其设备特性构成;
4. 提供网络设备的图形标记,用作设备的属性、特征、状态标识:
各被管设备类型在视图中都拥有自己的属性标志图符;
各被管设备在视图中都拥有自己的三色状态标识;
各神州数码品牌的网络设备都拥有逼真的面板图,真实反映接口状况及实际连接;
在两个视图中,各设备的图形标识具有一致性;
5. 提供两种的刷新方式,均衡网络与治理员间的负担:
手工刷新在轮询间隙太大的情况下,既可以减轻网络负担,又可以进行实时监控;
动态轮询可以在无需治理员干预的情况下提供网络的活动状况。
二、全面的性能治理能力
l. 能为操作员提供被管设备的各种信息,如系统信息、网络接口信息、接口利用率、ARP表信息等;
2. 为操作员提供的线图与直方图可直观地监测被管设备的网络活动;
3. 功能全面的MIB浏览器可满足操作员自组获取网络设备信息的需求;
4. 支持Spanning Tree信息展现;
5. 支持VLAN信息展现;
6. 支持RMON 1、2、3、9组信息展现;
7. 嵌入的工具集可使操作员进行 MAC 别名治理、 节点信息获取、 Ping、
Telnet、TFTP等操作。
三、机智的事件治理策略
l. 提供三类事件治理及其配置策略:
系统事件:UP事件、DOWN事件、IP与MAC地址绑定事件。其中IP与MAC地址绑定事件是本系统所独有的功能,可作为某些重要设备的一个安全措施;
网络设备的SNMP Trap事件。操作员可以设置接收 Trap事件的类型、发生事件的设备、Trap事件的告警等级等;
网络设备的SNMP阈值Trap事件。按 RMON3,9组的实现方式,操作员可以设置收集数据的OID 及上下限阈值、发生事件的源设备、收集的方式及收集的时间间隙、阈值触发的动作等;
2. 提供与事件告警等级相关联的事件触发动作, 这些动作有:日志、提示音、消息框及电子邮件;
3. 提供事件存储、 事件分类、 事件查询及日志清除等事件日志治理功能,并可用颜色标明日志中的事件告警等级, 便于操作员把握事件的历史信息。
四、增强的设备治理能力
在对通用SNMP设备支持的基础上,本系统面向神州数码品牌的网络产品,提供了增强的设备级治理能力:
1. 为通用SNMP设备提供的LinkManager治理主窗口;
2. 为神州数码品牌的网络设备提供各自的治理窗口及其治理功能;
3. 为操作员提供酷似实物的神州数码品牌的网络设备的面板图,可在其上进行点击操作;
4. 可对神州数码品牌的网络设备的性能进行监测与配置。这些功能有:
Spanning Tree、VLAN、Trunk、转发表、流控、TFTP支持、QoS治理等;
5. 为上述设备提供了端口镜像、冷启、热启、面板操作等控制功能;
6. 集成设备自有的Console口或HTTP配置功能。
五、可靠的平台安全机制
操作员治理提供了如下平台安全保证:
l. 提供系统审计功能,可通过系统日志查看操作员行为;
2. 操作员级权限治理。将操作员分为两种角色: 一般操作员、 超级操作员,并为前者赋予读取网络设备性能参数的权限,后者赋予读写网络设备性能参数的权限;
4. 操作员口令加密保存。
六、友好的用户界面
l. 周到的拓扑图发现方式适合操作员的不同需求;
2. 采用操作员熟悉的Windows界面风格及操作方式;
3. 按照中国用户的思维习惯组织的治理内容;
4. 适合产品定位,高度集成,将功能统一在同一界面内,可使操作员免于因功能模块散乱而引起的无所适从。
网络安全
在越来越多的学校通过城域网连接实现互连,网络安全问题也就凸现出来了。校园网络不仅会面对病毒感染、非法侵入的外部威胁,还会碰到资料外流、网络窃听、伪装的内部威胁,以及不务正业、误用非法网址等治理问题。为保障学校的网络使用安全和治理,采用神州数码硬件防火墙 DCFW-2000。DCFW-2000防火墙专为校园网络应用而设计,独特的色情防堵功能可以防止用户访问色情和反动网站,还可防止对含有上述信息内容的搜索,能够净化网络内容;防病毒接口可使防火墙与外挂的网络防病毒产品InterScan密切配合,防止病毒的侵入。
四.网络应用简介
浙江工业大学浙西分校的网络应用主要包括:
网络多媒体:将计算机辅助工作手段引入,声音、图象、动画的普遍采用可以大大提高工作效果。
个性化:个性化是指针对不同的学生提供不同的内容,主要采用VOD、基于WWW、光盘软件来实现,学生可以根据自己的需要自由选择所需内容。
电子音像图书馆:基于Web的图书音像资料供学生随时阅读,并且由于与Internet的接轨,使图书馆得到进一步拓展,能够得到近乎无限的网上资源。
电子邮件:电子邮件是Internet上一个最重要的应用,将为每一位学生开设一个电子邮件帐号,利用电子邮件可以和外界进行交流。
新闻热点
疑难解答