校园网 网络系统

校园网 网络系统的体系结构包括功能的分层及各层功能通信所遵守的协议

　　一、体系结构

　　网络系统的体系结构包括功能的分层及各层功能通信所遵守的协议。网络系统的体系结构也称为“层次与协议的集合”。网络系统设计的第一步就是选择网络体系结构，核心内容是决策应当采用的协议集合。

　　选择目前应用范围最为广泛，并且是事实上的Internet/Intranet标准的通信协议族TCP/IP，作为架构整个网络体系结构的核心协议。为了支持远程访问功能，还使用了异步通信协议PPP。

　　下图说明了我们所选定的整个网络体系结构：

　　校园网的网络总体结构如图所示：

　　二、系统设计

　　2.1 校园网特点

　　校园网已超出了传统局域网能覆盖的范围，涉及到局域网互连技术，网络层次较多。职能不同的部门分布在不同的地理位置上，需要进行子网划分，以便于管理。校园网采用星型拓扑结构。核心是主干网，周围是各个子网，子网向下连接工作组网，工作组网向下再连接基层网段。计算机根据功能和配置的情况，可以连接到不同的网络层次。主干网必需有大的带宽和很强的中心交换处理能力。子网相对独立，在主干汇接处形成子网边界。支持远程访问。

　　2.3 系统设计

　　从上面看出，校园网事实上为园区级网络，拓扑结构为分层的集中式结构或称星型分级拓扑。针对这种结构，做出如下设计：

　　主干网汇接各子网，形成中心交换；子网通过路由器连接到主干网；主干网上不直接接入用户网络；网络中心的网络构成一个单独的子网，汇接到主干网；在网络中心进行集中控制和管理；每个子网按部门划分成多个工作组网；每个工作组网划分成多个基层网段；桌面机连接到基层网段上，服务器、工作站连接到高层网络；流量划分层次，跨越基层网段的流量汇接到工作组网，跨越工作组网的流量汇接到子网，跨越子网的流量汇接到主干；水平结构对称，子网、工作组网、基层网段具有一致的流量水准；拨号访问形成独立子网，通过路由器接入主干；设立非军事区，隔离内外部网络，实现INTERNET互联；在关键子网设立防火墙，防止来自内部或外部的恶意攻击；在完善的网络基础之上，提供基本的INTERNET服务。

　　2.4网络技术设计

　　2.4.1网络总体结构

　　从上图可以看出，校园网网络系统的总体结构包括如下的部分：

　　2.4.2 主干网

　　校园网主干网是数据信息流动的动脉，同时担负着信息流动的总调度任务。主干网从功能上来看包括几个方面：

　　为子网间互联提供高速路由，实现核心高速交换；连接校园网共享的高性能服务器；实现全网的系统管理和安全管理；实现国际互联网络的连接实现拨号接入。

　　主干网采用核心交换、划分虚网的设计方案。交换核心使用一台高性能、高可靠性的交换机，实现冗余备份和负载平衡。这种方案最大的特点是可管理性好、可维护性好。

　　这种方案通常在广域网中采用。由于路由器的包转发速率已达到线速，并且价格大幅度下降，因而在保证性能的前提下，使用路由器作为局域网的互联方案是合理和可行的。采用路由器组网使网络的可管理性、可维护性大幅度提高。路由器互联的网络系统，有三个网络层次，因而非常便于管理，这对于大型网络，特别是需要进行集中控制和维护的网络来说，尤其重要。

　　VLAN作为局域网的解决方案，如在桌面的移动管理方面具有一定优势，但作为大型网络的整体解决方案，还需要与路由技术配合，所以需要支持虚拟网路由的产品，即具有第三层交换于一体的高性能交换机。
2.4.3 远程访问

　　远程访问提供电话拨号访问功能，使用户在家中、在外地都可以访问校园网。远程工作站通过拨号接入校园网，采用点对点的协议为PPP。远程访问服务器RAS与调制解调器Modem组合实现远程访问功能。在访问服务器的远程访问端口提供访问控制(Access List)。通过与拨号安全服务器配合，还能实现进一步的用户认证和授权控制。远程访问解决了远程工作站通过拨号线路对网络资源的访问。由于拨号网络是攻击网络的可能的主要入口，因而必须在技术和管理两个方面加强管理。远程访问服务应提供以下功能：

　　拨号访问(Telnet/Rlogin/PPP)支持；静态/动态地址分配；多协议(IP和IPX)透明访问支持； 用户访问和安全控制；拨出(Dial-on-Demand, Dial-Out)功能；自动协议检测和转换；远程控制和维护；网管支持。

　　拨号网络是可能的主要攻击入口，并且采用动态IP分配策略，所以必须与其它网段隔离，直接连到网络中心路由器上，占用一个独立的网段，这样也有利于计费管理。访问服务器通过路由器与MODEM池接入拨号线。访问服务器与拨号安全服务器配合，根据身份认证协议(TACACS/RADIUS/KEBEROS)实现拨号用户的认证和授权。

　　2.4.4 网间互联

　　根据校校通的精神，校园网需要与其它网络互联，使信息交换的范围扩展到整个INTERNET上。目前Internet/Intranet事实上的网间互联标准是TCP/IP协议。校园网既可以通过边界路由器和DDN线路，连接到Internet，也可以通过城域网联到Internet。

　　如果学校要对外发布信息，应增加对外的信息服务器。对外的Internet服务器由于完成多种服务，所以不但速度要快，I/O能力也必须很强，选择1台或多台高性能服务器作为外部Internet服务器。

　　外部网段服务器中的配置信息和数据在内部网段做备份，万一这些服务器受到攻击或故障，系统和数据能够快速恢复，不影响对外宣传。

　　2.4.5 子网

　　子网按照学校的地理分布和应用的数据流量进行划分。每个子网覆盖一幢楼或楼的某些层。子网通过楼间的户外光缆与网络中心相连。子网是一个相对独立的局域网，内部采用交换技术作为主要连接手段，通过VLAN形成边界，并与主干网汇接。具体技术方案要点如下：

　　各子网通过接入交换机接入主干网；各子网采用与主干网一致的通信协议；各子网通过网络中心实行统一集中的管理；子网内的各工作组网的交换机接入子网交换机；子网内部采用交换技术组网。

　　2.4.6 工作组网

　　工作组网可以是一个教学组，也可以是一间办公室，还可以是其它划分。??连接到工作组网的交换机上，工作组网实现100M到桌面。具体的技术方案要点如下：

　　各工作组网接入子网交换机。

　　各工作组网采用与主干网一致的通信协议。

　　各工作组网通过网络中心实行统一集中的管理。

　　工作组网上可设置工作组内共享的服务器。

　　工作组网内部采用共享或独占10M端口的方式组网。

　　三、　校园网网络拓扑

　　网络安全

　　1 .网络安全概述

　　随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。

　　因此计算机安全问题，应该象每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。

　　2 .物理安全分析

　　网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。
3 .网络结构的安全分析

　　网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intrant的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。

　　4 .系统的安全分析

　　所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统，其开发厂商必然有其Back-Door。因此，我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证(特别是在到达服务器主机之前的认证)，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

　　5 .应用系统的安全分析

　　应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。

　　--应用系统的安全是动态的、不断变化的。

　　应用的安全涉及方面很多，以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。

　　--应用的安全性涉及到信息、数据的安全性。

　　信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。

6 .管理的安全风险分析

　　管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

　　建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安全建设是校园网建设过程中重要的一环。

　　7 .网络安全措施

　　--物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源(UPS)等措施。

　　--访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。

　　--数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。

　　防止计算机网络病毒，安装网络防病毒系统。

　　--其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限，从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。

　　网络管理设计

　　1.网络管理概述

　　网络是否能真正发挥效益还要看网络的管理。学校必须有网络管理员。网络管理与单机管理有重要区别，其中有大量的网络软件要维护，除了保证网内电话、电子公告牌，电子邮件实现报告、论文的无纸化传递等网络联系畅通，更重要的是保证网络提供的数据共享能力，网络管理在数据保密性上也要有保证。且网络面广、涉及人员多，免不了有纰漏，要出错，因此必须设立网管，并且结合制订一定的管理制度，保证网络安全、可靠运行。

　　在校园网络中，网络硬件设备、各终端数量较大，都有可能损坏。且随着师生应用学校计算机网络频度增大、水平提高，对网络的依赖性也越大，因网络故障而产生影响面也越大，因此维护设备，保证网络正常运行的管理员的地位相当重要。

　　为保证学校网络的正常运行，学校必须制订网络公约，大家来遵守，人人有责任来维持学校计算机网运作。各网络终端都要建立奖罚制度，落实责任人，建立各教研组管理制度、各班级管理制度，让一系列行之有效的制度来保证网络的运行。

　　2.如何有效地管理校园网

　　校园网管理的主要目的是保障网络运行的品质，如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理，内容可分为下列几项：

　　系统管理随时掌握网络内任何设备的增减与变动，管理所有网络设备的设置参数。当故障发生时，管理人员得以重设或改变网络设备的参数，维持网络的正常运作。

　　故障管理为确保网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。

　　效率管理在于评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，更可提供未来网络提升或更新规户擅自使用网络资源，以及用户蓄意破坏网络系统的安全，要随时做好安全措施，如合法的设备存取控制与加密等。

　　计费管理了解网络使用时间，能针对各个局部网络做使用统计。一则可作为使用网络计费的依据，更可作为日后网络升级或更新规划的参考。

　　信息管理网络上的信息分成两部分，一是由管理员放置的信息，它们的品质一般较高；另一部分是由用户放置的，可能会有一些问题，要对这部分信息进行管理。

　　3.网络管理实施

　　3.1 网络管理员

　　网络管理员是网络管理的中坚，对于大型网络来说，要选派技术能力强的网络管理人员来专职网络。网络管理员除管理好网络外，还负责培训用户等工作。

　　3.2 实施网络管理

　　实施网络管理时，应抓住以下几个关键环节选好高素质的网络管理人员并明确责任：

　　--制定严格的网络管理规章制度和操作程序

　　--选择合适的网络管理系统

　　--认真抓好培训工作

　　--制定切实可行的网络管理计划和实施方案

　　--建立并维护好各种文档

　　3.3 布线系统的日常维护

　　做好布线系统的日常维护工作，确保底层网络连接完好，是计算机网络正常、高效运行的基础。目前，城域网和广域网之间的互连除了微波、卫星通道等无线连接方式外，室外光缆敷设仍然是唯一的有线连接途径。对布线系统的测试和维护一般借助于双绞线测试仪和规程分析仪、信道测试仪等，智能化分析仪器的使用提高了布线的管理水平和管理效率，可以更好地保证计算机网络的正常运行。

　　3.4 关键设备的管理

　　无论何种规模的计算机网络，关键设备的管理都是一项相当重要的工作。这是因为，网络中关键设备的任何故障都有可能造成网络瘫痪，给用户带来无法弥补的损失。校园网中的关键设备一般包括网络的主干交换机、中心路由器以及关键服务器。对这些关键网络设备的管理除了通过网管软件实时监测其工作状态外，更要做好它们的备份工作。对主干交换机的备份，目前似乎很少有厂商能提供比较系统的解决方案，因而只有靠网络管理员在日常管理中加强对主干交换机的性能和工作状态的监测，以维护网络主干交换机的正常工作。

　　3.5 IP地址的管理

　　在TCP/IP协议已经成为事实上的工业标准的今天，TCP/IP网络主的任何一台工作站都需要有一个合法的IP地址才能够正常工作。在构建:规划计算机网络时，应做好机构内部各部门对上网业务的需求调查和统计，确定计算机网络规模。IP地址管理得当与否，是计算机网络能否保持高效运行的关键。如果IP地址的管理手段不完善，网络很容易出现IP地址冲突，就会导致合法的IP地址用户不能正常享用网络资源，影响网络正常运行，甚至会对某些关键数据造成损坏。

　　3.6 其他管理工作

　　当然，对应于不同的网络环境，还有很多管理工作要做。随着内部网和Internet的相互连通，网络管理员除了要维护各种数据的可靠性外，还要保证机密数据的安全。因此，计算机网络的安全管理(如防火墙的设置)又成为网络管理中一个非常重要的方面。

　　应用系统规划

　　* 网络教学平台建设

　　* 卫星远程教育网建设>

　　* 校园视频点播系统建设

　　* 校园网信息平台

　　* 资源库建设
根据目前的市场需求情况，我们把学校的校园网的建设分为多媒体电子教室、电子备课室、数字化图书馆、电子办公室和校园信息中心等，其中每个模块下都对应了若干个应用功能，学校可根据不同的需求选择不同的应用模块。所有的这些应用都基于三大网络系统和四大资源库，大部分的应用都采用了B/S结构，使得管理集中，应用方便。

　　校园网项目管理

　　一、项目分工

　　校园网的建设是一项系统工程，为了保障工程的进度和质量，也为了使用户有效管理和维护软、硬件系统，应成立一个项目实施TEAM，TEAM包括系统集成小组、项目管理小组、施工管理小组、售后服务及培训小组以及校方负责人员，共同完成这一网络系统工程。项目管理领导工作由校方和实施公司分别委派一位负责人负责本工程项目总体规划，统筹制订工作计划、协调各小组之间的工作步骤和节奏及有关系统开发和实施过程中重大事件的决策。

　　二、项目实施

　　2.1 项目管理小组

　　建议由校方和实施人员共同组成，成员包括系统集成人员、技术人员、施工管理人员、质量监督人员、财务管理人员等，具体领导和协调以下事项：

　　方案审查：根据学校要求和实际情况随时修改调整工程方案；

　　工程进度：制订各阶段工程进度和监督进度完成情况；

　　质量监督：随时发现问题并建议返工；

　　协调配合：就工程有关事项双方协调工作，配合工程进度；

　　后勤保障：对施工人员的主要生活起居提供必要的保障和方便；

　　质量验收：根据国际国内有关标准，对本项目进行验收；

　　扫尾工作：解决本项目的有关遗留问题。

　　2.2 系统集成小组

　　由实施公司高级项目管理人员组成，进行学校整个系统的详细设计方案和系统实施方案，负责系统内各个部分的设备采购、测试、安装和调试；

　　2.3 施工管理小组

　　由实施公司认证工程师负责施工管理，具体领导和协调以下事项：

　　具体负责每天的工程进度；

　　质量监督和检查；

　　负责施工安全问题；

　　负责施工人员的工作纪律问题；

　　三、项目培训

　　处理好网络建设与人员培训的关系。人员培训与网络的建设应同步或超前进行，各校必需有一批懂技术、会使用的人员，才能真正发挥网络的功能，目前计算机教育和辅助教学发展较慢，缺少人才是一个最重要的原因之一，只有培养和培训一大批会使用计算机的人才，才能够发挥出校园网巨大潜能，使校园网的建设更具有更深远的实际意义。根据工程规模的大小，针对不同层次的用户培训应分为以下几种：

　　3.1 现场培训(初培)

　　现场培训分两个部分，一部分培训在安装现场，校方应指派日常网络维护人员参与，了解和掌握有关该网的基础信息和数据，实施方的安装工程师将在安装调试过程中进行相关的培训；另一部分培训在使用现场，实施方将于系统调试完毕投入使用后对校方使用人员进行使用培训，达到使用人员能够掌握设备性能，进行日常应用操作。

　　3.2 运行维护培训(中培)

　　运行维护培训着重于培养日常维护和管理人员，最终保证整个网络能够顺利运行，该部分培训分理论培训和现场培训，校方选派的培训人员应具有一定的计算机和网络操作水平，理论培训最终达到受训人员拿到结业证书或相关认证；现场培训将由实施公司资深工程师进行，主要培训网络运行和管理过程中问题的解决方案和技巧，目的是使校方网络降低维护风险和维护费用。

　　3.3 网络规划、设计、管理培训(高培)

　　该部分培训着重于该网络二期、三期的规划培训，目的是使校方具有高素质的网络规划、设计和管理人员，校方可选派具有相当计算机专业水平的专业人士参加，和中培类似，使参培人获得高级别的网络认证工程师资格，该部分培训对整个网络的顺利实施具有不可或缺的作用。

　　3.4合作培训

　　网络运行过程中将不断会有新技术的应用，建议校方组织终端用户进行多轮次的使用培训及网络基础知识培训，使更多的使用者能够熟练应用系统的各项功能，使校方的投资效益得到迅速回报。

　　网络教学平台建设

　　联想网络教学平台可对网络教学提供全面的支持。包括多媒体教学、考试与测评、师生交流、课件开发工具、教学资源管理等多种功能。其中测评系统、同步视频教鞭、支持学生自主学习和协作学习等功能很有特色，富有创新性。

　　一、教师功能模块

　　二、学生功能模块

　　三、教务管理员功能模块

　　四、主要特点

　　一体化解决方案

      联想网络教学平台由网上教学支持系统、网上教务管理系统、网络课件开发系统、网上资源管理系统等四个子系统组成，对网上教学进行全面支持，提供了网络教学的一体化解决方案。

　　教学多课件支持

      联想网络教学平台支持同步视频流技术，提高了同步视频的在线课件开发工具和电子教鞭支持功能，能够很好的支持网络多媒体实时教学。

      交互式教学策略

      联想网络教学平台在答疑系统中采用了词语知识库与汉语自动分词技术，建构了自我扩充的知识库系统，还提供了同步讨论、网上答辩、笔记记录等一系列进行协作学习或个别学习工具，实现了教师和学生之间、学生与学生之间的充分沟通和交流，给学生自主学习和网上交互创造了条件。

       完善的评价体系

       联想网络教学平台提供了成绩统计与分析等多种评价服务功能，同时基于教育评价的理论，提供了阅卷调查式的非量化评价模式，这两方面结合起来，为更加合理地评价教与学提供了基础。

       功能完善考试系统

       在国内首次实现了真正意义上的网络题库系统，该系统提供了试题管理、自动组卷、在线联机考试、定时交卷、在线联机阅卷、考试结果查询、成绩统计与分析等全面的服务功能。

       平台集成完整性

       完整集成的网络教学平台，集成了教务管理、网络教学、课程开发工具、教学资源管理四个方面的支持功能，可全面支持网上教学的各个环节；目前，联想网络教学平台是国内教学功能最全面的网络教学系统。