牛栏山校园网

一、牛栏山一中网络需求分析

    牛栏山一中有很多教研室和音像教室，形成自己完整的、具有特色的人才培养和教学体系，并且和国内外建立了广泛的学术交流和合作关系，是向高校输送优秀基础人才的中学之一。为了适应当前和今后教育和教学的需要，加强校内外各部门之间的信息交流与合作，为全体师生提供一个实用、高效和便捷的计算及通信环境，有必要建立一个覆盖全校的高性能计算机网络系统，即牛栏山一中校园网。通过该网络，把学校内各教研室、多媒体音像阅览室、多媒体计算机网络教室、理化生实验室、多媒体课件开发室、校长办公室、图书馆、教师办公机房及各行政单位的众多的计算机系统互联起来，形成一个以资源共享和信息交流、处理和存储为核心的有机整体。
    外部环境的发展也对牛栏山一中校园网的建设提出了相应的要求。随着教育改革的不断深入，目前迫切需要现代化教学的改造。国内外学校和科研单位都纷纷投资研究和建设各自的信息高速公路，普遍采用计算机网络技术进行学术和信息交流，并且已经取得相当大的成效和收益，很多极具参考价值的信息都能方便地从Internet上免费获得。因此，建设牛栏山一中自己的Internet校园网是提高教学水平不可缺少的支持环境，是与国内外同行进行学术交流和信息交换的必要条件，是学校在国内外同行中所处地位的重要标志。

牛栏山一中校园网要实现下列主要目标：

    * 牛栏山一中校园网负责本学校内计算机的互联，向上连接到北京市教委直至教育部，横向连接到全国各中学，且连入Internet。
    * 满足教学需要，支持多媒体教学的应用。
    * 满足图书资料的检索和阅读需要，方便全校师生对各种图书资料的检索和查阅。
    * 满足学校管理的需要，包括行政管理、教学管理和科研管理，以加强各级行政管理部门之间的联系。
    * 满足校内外信息交流的需要，提供电子邮件、FTP和WWW功能。
    * 满足公用数据库查询、使用的需要，能查询、浏览、统计和使用各种校内外公用数据库。
    * 整个网络应覆盖全校范围，为校内各级单位提供足够的入网接口，能方便地将各种型号的计算机、局域网联接入网，实现各系统之间的互操作和资源共享；能支撑数据、文字、图形、图像等多媒体信息高速传输和处理。
    * 整个网络要保证实用和技术先进，满足学校建设和发展的需要。
    * 整个网络必须安全、可靠，具有一定的冗余、容错能力。

    为了实现这些目标，要求校园网主干必须高速通畅、拓扑结构合理、互联能力强、扩充性好，并且充满弹性和便于管理和维护。

二、校园网方案概述：

根据牛栏山一中网络的需求分析，结合计算机网络技术的发展，我们对一期工程提出下述解决方案：

1、校园网主干线及主节点
（1）主干线
主干线采用100Mbps传输速率的快速以太网作为交换主干。网络主节点设在学校科技楼。在科技楼、办公楼、图书馆、教学楼等4个建筑中建立主干网络节点。采用星型拓扑结构，传输介质为普通多模光纤。
（2）主节点
主节点设备包括网络设备和服务器等。

①网络设备
  I、网络交换机?? Intel 550系列交换机
网络主节点的核心设备是一台Intel 550F高速网络交换机。该交换机支持所有网络技术的高性能交换机，它采用多插槽模块化机箱，支持快速以太网、以太网、FDDI和ATM等网络的多层快速交换，方便未来升级成千兆网。

  主节点现有的各种计算机和网络都能直接或间接通过Intel 550T交换机入网。

②服务器配置
   按照校园网的用户规模，主节点的服务器应采用多台服务器配置，最好每台服务器能各司其职。考虑到一期工程资金比较紧张，而且初期上网的用户并不饱和，同时还要兼顾安全性和高可靠性，我们建议先采用功能比较集中的服务器配置。

主服务器：
   主服务器是整个网络整体性能的重要决定因素之一，HPLH4服务器装备有新型的Intel500MHz处理器，使它有强大的功能，并且还拥有可扩展性和易管理性的特点，能稳定的运行关键应用软件，并为您提供HP的世界级服务与支持计划。

   我们推荐使用HP LH4服务器。

网关外部服务器：
    建议在科技楼，位于校园网网关的外部，设置一台外部服务器。这台服务器主要面对外部用户提供网络服务。包括WWW服务、DNS服务和E-Mail服务器，同时兼作Proxy服务。这样配置的好处是，当校园网外部的用户查看贵校的Home Page时，访问外部服务器即可，而不必进入到校园网的内部，这样能够通过防火墙网关阻止黑客的入侵。
Porxy服务器是提高远程访问速度和节省广域网通信费用的有效手段。Proxy服务器通过其地址代理、Cache代理和磁盘代理，能够避免校园网用户对远程相同内容的重复访问。

③防火墙
    基于Proxo的解决方案带来了防火墙极高的网络吞吐量，确保在网络流量很大的情况下，不会阻塞整个网络。内置的多种防护手段，可以抵御目前已知的非法入侵，并在国外多次专业放火墙测试中力拔头筹。提供的地址翻译功能可以有效的屏蔽内部网络地址，扩大内部地址空间，在增强信息隐蔽的同时，又解决了IP地址空间不够用的问题。另配置加密模块，提供对信道的加密功能。

2、网络一般用户节点
   网络一般用户节点是学校内所有允许上网的各计算机用户。包括管理用计算机，科研用计算机，以及教职工家庭的计算机等。
   校内外暂时无法直接联入的校园网的零散微机用户、个人用户等，可通过Modem连接电话线拨号入网。
用户节微机内要插Ethernet网卡，从其10Base-T口接出双绞线，用RJ-45头联到布线点墙壁的插座中，通过建筑物布线系统上网。

3、网络管理和安全措施
网络管理对于整个校园网安全可靠运行是很关键的。我们所提供校园网的一系列安全机制包括：网管软件SNMP全面管理、网络设备动态管理、路由器过滤、防火墙网关隔离、传输数据压缩加密、操作系统级的严格授权确认和VLAN等。

（1）全面网络管理
    网管平台使用INTEL公司网络管理软件，软件由内嵌的网络控制软件组成。它内嵌于Intel 550第三层交换机，包括：
   带宽预留和区分不同CoS与QoS流量的服务级别策略。
   为设置防火墙和过滤器的安全策略。
   为提供虚拟局域网设置工具，trunking与组播策略的网络操作。
   这个属于Intel 网络管理软件的网络控制软件提供了管理和全局策略能力。管理功能允许设备管理，传输报告，通过RMON的故障检测与修理与通过RAP的分析。全局策略，跨网络的网络操作策略，赋予用户前所未有的对网络的控制能力，使网络可以被作为一个单独的、内聚的系统来管理。因此，使用Intel 网络管理软件，您可以通过可以自动被遍布网络的内嵌软件所运行的集中的应用程序轻易地设置全局策略。

（2）路由器过滤
   整个校园网，无论上内部通信还是外部连接，都有功能强大的Cisco路由器通过过滤功能，通过地址过滤和端口设置，为校园网建立起第一道安全屏障。

①Cisco提供了一系列安全手段：
   以IP网络地址为定义的防火墙；
   UDP/TCP网络地址为定义的防火墙；
   PSTN拨号来源鉴别 (Challenge Handshake Authentication Protocol)
   MDS路径鉴别认可；
   TACACS+终端进入控制。

②Cisco的安全机制包括：
    验证、授权、记帐、加密、软硬件压缩等。

I、压缩功能：
    Cisco路由器可在网上进行数据压缩，包括 TCP头压缩、 DDN点对点链路压缩、帧中继数据压缩。

II、优先排除与带宽预定：
    为了保证优先级别较高的应用信息优先上网，Cisco路由器可提供两种排队手段。优先排除功能可以根据不同的网络协议，不同的 Source Address， 不同的 Destination Address，不同的 TCP Port# (如 E-mail、Telnet、FTP等)来随意定义数据包的优先级别。

III、带宽预订：
    可以将带宽预先按适当比例分配给传递不同协议的数据包。

IV、内置管理功能：
    Cisco IOS提供的内置管理功能有助于在降低维护总成本的同时，最大限度地提高应用程序的可用性。例如，Cisco的AutoInstall可以把安装功能移到中心场地。因此，远程场地无需太多的专业知识就能开展工作，而各机构也能够迅速而经济的部署各种规模的网间网。管理员仅需物理的连接LAN/WAN接口电缆就可以将新设备联机，其余的工作可由中央网络操作中心直接、自动地控制。

    Cisco IOS内置的另一项管理功能是安全功能。这些功能可控制业务流，拨入访问和路由器访问。从而为网间网提供了安全保障。Cisco路由器可用来建立防止越权访问的"防火墙"。Cisco路由器和通信服务器能用Terminal Controller Access System (TACACS)协议鉴别用户，该协议可以确认用户标识和口令，把用户的帐号和密码先送到服务器上，决定该用户能否上网，并为路由器提供有关允许用户访问的服务的信息。
Cisco产品还提供无与伦比的内置流量管理．监控和诊断服务，用户可以轻而易举地将这些协议集成到他们现有的网间网中。

4、教学管理、办公环境应用软件
   学校教学管理和行政办公系统需要大量应用软件做支持，这些软件来自各种丰富的现成软件和专门的针对性开发软件两部分。
   文字处理、电子报表、图形设计、项目管理、日程安排、公文运转、电子邮件、文件管理、资料查询、信息索引、经济分析、统计预测、多媒体会晤、电子会议、交互电视等，都已经有大量现成的成熟软件供选用，能够实现高效、安全的无纸办公。再加上CERNET、国家有关部委等的各种专项软件，基本能够满足办公决策服务的需要。
服务器后台软件包括数据库软件和各种群件系统。
   数据库我们建议采用Oracle数据库或SQL Server数据库。
   群件系统软件近年非常流行，如Lotus Notes软件，能提供非结构化数据库功能，特别适合于公文管理，并具有全文信息检索功能。其Notes Mail系统能够提供红头文件和双向加密电子签名，是群件系统的佼佼者，可以在校园网办公系统中采用。

   教学管理办公系统在主节点服务器要安装数据库及群件系统服务器端软件模块，在客户端（微机）相应安装其Client端软件和通信软件。Microsoft Office软件等，也是办公环境较好的应用平台之一。

5、Web-Browser应用软件模式
    随着Internet和Intranet技术的发展，一种新的应用软件模式Web-Browser日益流行起来，这种模式的出现标志着网络体系结构从集中到分散，又从分散到集中的回归。
    这种应用模式，系统的复杂工作放在服务器一端，而在客户端则非常简单，任何一个通用浏览器都可以用作用户操作的界面，如目前流行的Netscape和Internet Explorer。这种模式，省去了客户端软件开发工作，也就省去了以前令人头疼的安装和升级工作，管理员只要在服务器端修改，就可达到'放之四海而皆准'的目标。
    在服务器端也有几种Web编程方式，一种是繁杂的公用网关接口，用户使用C语言直接处理客户端提交的操作请求，与服务器的数据源打交道，然后将结果返回客户端。这种方式需要的编程量较大，用户直接以字符方式生成HTML文本，日后修改也很麻烦。另一种是使用软件厂商提供的API函数库，这种方式减少了一定的工作量，但还不是最终用户的最佳选择。
    我们推荐的方式是采用大型关系数据库对数据进行组织与管理，同时利用其增强的Web服务器功能，编写服务器端Web处理程序。就Oracle而言，就是使用类SQL语言进行编程，数据库将自动处理用户请求，检索数据库，将数据动态转换成HTML文本，传回客户一侧。这样作，用户只需修改数据就可以将变化在客户一侧显示出来，而无需修改程序，同时，软件开发工作量也大大减少。