网络建设计划书V.1.5

校园网络升级项目文档

(之解决方案)

2009年3月目录

1.项目背景情况.................................................. - 3 -

1.1网络改造的目的 (3)

1.2现有项目的背景 (3)

1.3实施范围 (3)

2.网络现状分析.................................................. - 3 -

2.1网络改造项目建设目标 (4)

2.2设计原则 (5)

3．网络建设总体设计方案......................................... - 5 -

3.1网络总体方案设计 (5)

3.2二层链路设计要点 (6)

3.3三层链路设计要点的 (6)

3.4网络安全设计 (7)

卡巴斯基反病毒6.0 WINDOWS 工作站的新特性........................... - 8 - 3.5实施建议........................................................... - 9 -

3.6现有网络架构调整 (9)

4.工程界面、工程进度安排、施工办法及质量保证措施................ - 9 -4.1 分工界面........................................................... - 9 -4.2 工程进度安排...................................................... - 10 -4.3项目实施过程及质量保证............................................ - 11 -4.4 项目启动.......................................................... - 12 -4.5 设计联络会........................................................ - 12 -4.6 验货.............................................................. - 13 -4.7工程实施.......................................................... - 13 -4.8 测试.............................................................. - 14 -4.9验收.............................................................. - 14 -

4.10 割接............................................................. - 14 -

5.测试及验收................................................... - 15 -5.1 测试与验收流程.................................................... - 15 -5.1.1 初验测试........................................................ - 15 -5.1.2最终验收........................................................ - 15 -5.2 测试计划.......................................................... - 15 -5.2.1 设备测试........................................................ - 15 -5.3管理性测试........................................................ - 16 -5.4 安全性测试........................................................ - 16 -5.5路由协议测试...................................................... - 16 -1.项目背景情况

1.1网络改造的目的

为了能够充分发挥江苏省如东第一职业教育中心校的职业教育、成人教育、技能培训等专业教育资源优势，充分利用网络资源平台，发挥各个学校的师资力量，努力将江苏省如东第一职业教育中心校建成一所面向全省、服务全县的具有专业特色的高质量的专业学校。

1.2现有项目的背景

现有的各个学校的网络设备及网络资源参差不齐，各分校之间没有实现互连互通，某种意义上犹如信息孤岛，不能充分发挥施展各个校区的教育教学、师资力量。

1.3实施范围

根据现有网络状况，将江苏省第一职业高中作为中心，与其他三所学校组成一级局域网，第一职业高中作为汇聚点。为了保护原有投资设备，只升级或更换原有的骨干交换机（路由器），并通过光纤与其他三所校区互连。其他三所校区内组成二级局域网。各局域网内通过ACL控制内网的安全，并在汇聚点的路由器上部署QOS，来解决带宽应用问题。

2.网络现状分析

江苏省如东第一职业教育中心校是由4个学校组成，其中江苏省第一职业高中网络比较建全，但网络设备也已不能否满足网络发展的需求；如东电大和如东进修学校的网络规模相对第一职业高中较小，网络设备容量及数据吞吐能力都比较弱，且网络设备也已不能满足组网需求；如东建筑学校几乎无校园网络。

这四个学校目前的网络虽然可以基本满足当前各学校的应用需求，但难以满足系统及数据集中的需求，主要有以下几个方面：

网络可用性较低

目前虽然四个学校都有各自的网络设备，但每个学校的硬件条件和管理水平不一，路由器、交换机等关键设备均只有一台，并且均较陈旧，并且交换设备时延比较大，这些设备已经进入故障高发时期，存在较大单点故障风险。目前各学校之间没有专线连接，如果租用电信带宽无法满足学校之间应用系统的数据需求。

网络安全性不足

原有网络中几乎没有考虑网络的安全控制，实现四个学校互连以后，他们以专线线路实现连接，承载部分各种教务教学应用、财物业务、预算业务，视频业务及少部分人力资源业务，一定要有相应的安全防护机制。

服务策略不一致：

原有的设备无法真正从整个系统角度制订统一的服务策略，比如安全策略、高可用性策略、业务优化策略等等，造成前后策略的不一致性，从而难以真正为系统业务提供强大的服务支撑。

2.1 网络改造项目建设目标

通过对四个学校目前网络的分析，以及对未来应用系统发展的预测，为了适应应用系统对网络基础设施的要求，计划进行网络系统优化改造。

对于改造后的网络系统，应满足以下方面的要求：

1、设备技术先进性方面：本次选用的核心设备应具有技术先进性，并充分考虑到项目的近远期规划和实施步骤，考虑到未来用户需求的变化和发展要求等。

2、扩展性方面：随着需求的不断变化，设备容量应具有良好的可扩展。

3、安全性方面：系统应能支持或兼容原有的安全控制策略并具有较高安全性。

4、可靠稳定方面：设备应充分考虑系统的可用性、稳定性和可靠性。

5、设备应易于管理，便于维护。

6、设备应具备大流量处理能力。

针对以上需求，本次网络改造项目的重点是网络核心的改造、优化、完善，目标是建立起一套技术先进、扩展性强、冗余度高、易于实现和管理的网络。改造后的网络将完全是一个高效，稳定，可扩展，具有强大功能的业务综合承载传输平台。改造后的网络络应能达到如下要求：

●网络具有高度的可靠性，不存在单点故障，并有较强防备灾难的能力。

●创造一个开放的网络平台，支持多种业务的同时传输。

●网络带宽具有很好的可管理性，网络延时小，要保证数据流端到端的及时传输。

●网络要具有良好的扩展性、可升级性，包括业务量和业务种类的扩展，以及与其

它机构或部门的连接等；网络带宽可以平滑的进行升级不必更换网络设备，网络设备接口统一，尽量避免投资浪费。

网络架构同时应充分考虑安全的整体架构，建立一个全方位的自防御网络

（Self-Defending Network）体系。

2.2设计原则

为满足网络升级的需求，并达到目标要求，在网络设计构建中，应始终坚持以下建网原则：

●高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中

选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网

络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。

●技术先进性和实用性--保证满足应用系统业务的同时，又要体现出网络系统的先

进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考

虑到网络应用的现状和未来发展趋势。

●高性能--骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备

的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络

不成为未来网络应用的瓶颈。

●高兼容性--支持国际上通用标准的网络协议（如IP、OSPF）、国际标准的大型的动

态路由协议等开放协议，有利于以保证与其它网络(如公共数据网)之间的平滑连

接互通，以及将来网络的扩展。

●灵活性及可扩展性--根据未来业务的增长和变化，网络可以平滑地扩充和升级，

减少最大程度的减少对网络架构和现有设备的调整。

●可管理性--对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的

网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动

报警。

●安全性--制订统一的骨干网安全策略，整体考虑网络平台的安全性。

3．网络建设总体设计方案

3.1网络总体方案设计

本次网络设计在链路上采用光缆宽带传输网络相结合，以如东电大校区为中心，通过光缆与第一职业高中、如东电大和如东建筑学校互联。

3.2二层链路设计要点

本次改造主要希望实现在园区网中多种业务的高速访问。在简单、可靠的物理网络结构下通过精细的网络协议的规划体现多种业务（包括数据、语音、视频）支持的能力。

为了在单一硬件平台上实现这些业务，必须有针对性地在网络上进行相应的规划和逻辑结构的设计。

该设计中，对于二层以太网业务，以接入交换机作为二层网络的边缘，核心交换机作为二层网络的核心节点。接入交换机提供10/100M的网络接入，并按照部门进行VLAN（虚拟局域网）的划分，所有接入终端按VLAN接入。核心交换机提供VLAN内数据的快速交换以及VLAN间数据跨VLAN的快速路由。

VLAN将统一在VTP Server进行统一配置，所有园区网内交换机将作为同一VTP域内的交换机，成为VTP Client。通过在VTP Server增加、修改、删除VLAN，所有VTP Client 交换机将获得相同的VLAN信息。

3.3三层链路设计要点的

IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由有非常密切的关系，将对整个网络的可用性、可靠性与有效性产生显著影响。因此在对IP地址进行规划建设的同时，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。

IP地址规划遵循以下原则：

★IP地址的规划与划分应该考虑到园区网的发展，能够满足未来发展的需要；

★IP地址的分配需要有足够的灵活性，能够满足各种用户接入如宽带接入、专线用户等的需要；

★专线子网中专线用户的IP地址由本网统一分配。

★分配地址块时遵循从大到小的原则：

再根据分校内内的各个VLAN进行IP地址的细分。

★整网IP地址分配和路由协议支持VLSM，以充分利用地址空间。支持CIDR，以利于减少路由表大小，提高路由效率。整网网段掩码如下：

广域网点到点使用30位掩码；

LOOPBACK使用32位掩码；

专线和宽带接入用户，视情况而定使用28、27或更小的掩码；

3.4网络安全设计

网络安全是企业网络建设中要考虑的一个关键因素，拥有一个健全的安全策略应该是所有企业网的要求。这个策略是对风险进行了分析，列出关键的资产和可能的威胁后制定出来的。网络安全主要应考虑以下5个方面：

安全连接---VPN

边界安全---防火墙

入侵监视---入侵检测与防御（本次未配置）

身份识别---身份认证（本次未配置）

上网管理---网络哨兵

网络杀毒软件－卡巴斯基网络版杀毒软件

根据目前网络状况，在与Internet/Extranet等的接入、局域网接入控制等几个方面的安全问题是需要着重考虑的，此外在内部的局域网也应有一定的安全措施以保护某些关键的信息。下面将针对这几个方面做相应的设计：

Internet/Extranet接入的安全设计

防火墙

学校业务上需要与其它信息网络相连接，而且这一类互联的应用将会越来越多，因此对该内的安全访问控制和隔离是网络安全的一个重要的方面。

采用常用的设计方法，在网络边界上配置防火墙。通过防火墙这种安全隔离设备，将网络隔离为三个安全等级不同的区域，即安全级别最高的内部网络、安全级别最低的外部网络和非军事化区。

网罗哨兵

网络哨兵包括探测引擎、网络哨兵数据中心、网络哨兵控制管理中心在物理上部署在同一台专用服务器上。

网络哨兵探测引擎全面监听内部网络连接到互联网出口的数据流，根据配置的策略，实时监视所有数据包进行分析记录，并将审计结果保存在数据中心的相应数据库里；同时网络哨兵探测引擎接收并执行网络哨兵控制管理中心的各种命令和策略。

网络哨兵数据中心主要用于各种数据保存，并提供各种数据查询。

网络哨兵控制管理中心主要用于提供审计、管理等策略设置接口，如配置是否审计收发邮件的内容、是否记录聊天内容、定义内黑白名单等策略。配置网络哨兵探测引擎信息，如设置网络哨兵探测引擎IP地址，最大监控机器数等信息；程序升级等接口；网络哨兵控制管理中心采用B/S架构，通过提供浏览器服务端，使管理人员很方便的通过网页浏览器对网络哨兵控制管理中心进行操作管理。

网络哨兵数据精灵基于Windows系统，可选择安装在PC机上，为用户提供数据查询界面，用于用户对备份数据的查询等操作。

内部局域网的安全性保证

在局域网内部的安全性考虑，主要体现在对内部访问的权限控制上，如允许或禁止某些下端网点计算机，访问某些网上节点或某些应用等，这可以通过路由器或第三层交换机的访问控制功能实现。内部安全性还包括对路由器等网络设备的访问与配置修改。

一般来说，局域网中在安全方面的基本功能是进行VLAN的划分和子网之间的基于数据包的过滤、隔离，这种技术已经非常成熟，在实际环境中有大量的应用。可以根据交换机端口MAC地址进行VLAN的划分,并通过访问控制列表等技术对于VLAN之间的通讯进行基于IP 地址、网段、TCP/UDP端口号等方式的过滤。

网络杀毒软件

卡巴斯基反病毒6.0 Windows 服务器保护包括：

•“文件保护”，它能监测计算机的文件系统。

•“病毒扫描任务” ，它可以对计算机内存和单个文件、文件夹、磁盘或区域等文件系统进行病毒扫描。

•“支持工具”，它提供关于本程序的技术支持以及扩展其功能。

卡巴斯基反病毒6.0 WINDOWS 工作站的新特性

卡巴斯基反病毒6.0 Windows 工作站提供了对安全威胁进行防护的新功能。该程序的主要特性是在安全解决方案方面结合了本公司所有产品现有的特性并加以大幅改进。本程序提供反病毒保护、反垃圾邮件保护、反黑客保护，并且添加了可以检测未知威胁、防御网络钓鱼攻击以及rootkits 等方面新的程序模块。

不必为了实现计算机的整体安全而安装多款安全防护产品。事实上安装卡巴斯基反病毒6.0 Windows 工作站是非常简单方便的。

全面防护进出主机的数据。卡巴斯基反病毒工作站的所有组件可以灵活设置，从而使其能够适应每一用户的需要。

3.5实施建议

3.6现有网络架构调整

本阶段的建设目标：重点是保障四个校区之间网络的开通以及核心区域服务器的安全。

本阶段建议进行如下方面的建设：

1）使用新的核心交换机替换原有核心交换机：现有的核心交换机设备过于陈旧，性能、功能以及可靠性均不能满足运行要求，继续使用将导致网络的故障率大大增加。建议使用新的核心交换机替换原有核心交换机，将原有核心交换机作为后备继续使用。

2）增加新的分校接入交换机：给三个分校各配置1交换机，通过千兆电口经过光电转换后与中心交换机千兆端口连接，通过百兆电口与原来交换机连接。

3）解决四个校区网络互联的链路问题：将距离比较近的成人进修学校与如东电大、如东建筑学校之间的互连铺设光缆，同时向电信运营商申请成人进修学校与如东第一职业高中之间的VPN专线。

4）配置路由器和防火墙，实现安全隔离和VPN互联：在成人进修学校配置1台防火墙，1台路由器，并在如东第一职业高中配置1台路由器，通过电信专线实现VPN互联。

5）更换目前工作不稳定的二层交换设备：通过对目前分校的现有的二层交换机的连通性数值和通过测试仪表进行交换机性能测试分析，将对通信延迟较高的交换机，并在处理性能和稳定性方面都已不能满足网络需求的进行更换或替换。

4.工程界面、工程进度安排、施工办法及质量保证措施

4.1 分工界面

4.2 工程进度安排

项目签订后提交具体施工进度安排。

4.3项目实施过程及质量保证

项目人员结构

在合同签订后，成立项目小组，包括用户方、集成商和供货厂商。下图是项目人员功能结构图：

人力资源：

4.4 项目启动

工作内容

a)从合同管理接收到《开工表》/《工作委托书》之日起标志项目开始，由PM负责发起后续的项目活动。

b)召开内部项目协调会；

c)提交《项目计划》；

d)发起第一次联络会。

4.5 设计联络会

任务与执行人

4.6 验货

工作内容：

检查箱子的外包装是否完好，记录签字。

清点箱中的货物，记录签字。

签收《验货单》。

4.7工程实施

工作内容：

现场工程师应严格按照相应设备专用安装规范进行设备安装。

现场工程师必须在现场签署安装报告。

现场工程师在单点安装过程中确定卡板、端口及其他任何设备故障时，必须立即通告项目经理请求处理办法，如果处于厂家保修期的，应在2天之内将该设备寄给委托方指定的人员/地点。

现场工程师在进行设备配置与调试时要依照《规划设计》的规定。

4.8 测试

工作内容

在工程安装结束前，测试工程师、支持工程师应与用户针对网络的实际情况和合同要求，形成最终的测试方案。

当设备依照设计规划安装、调试完毕，项目经理组织工程师根据测试方案对网络进行测试，并填写测试纪录。

当测试记录表明网络性能或功能未能达到预期目标时，项目组必须查明原因，执行整改措施，整改后再次进行测试，直到测试结果达到预期目标。

4.9验收

工作内容：

明确合同中的验收标准

形成《验收报告》

组织相关人员进行项目验收，签署《验收报告》

4.10 割接

工作内容

举行割接工作准备会议；会议内容包括但不限于以下内容：

1、整理出需要《割接涉及设备、业务清单》；

2、确认割接涉及人员的时间计划；

3、确认割接过程的业务中断时间；

4、与业务部门确认割接前、后需验证的内容，制定《割接前、后验证表》；

5、制定《割接升级前工作检查表》，该表中应包括但不限于如下内容：

A、相关设备的配置原始配知是否妥善保存B、割接前的网络状态是否验证并纪录

C、线缆是否布放到位

D、割接通知是否已下发，值守人员是否已通知到

E、相关第三方人员能否到位

6、制定初步的《割接升级计划》

5测试及验收

5.1 测试与验收流程

5.1.1 初验测试

在工程安装结束前，测试工程师、支持工程师应与用户针对网络的实际情况和合同要求，进行网络功能和性能的测试方案论证，形成最终的测试方案。

当设备依照设计规划安装、调试完毕，工程师根据测试方案对网络进行测试，并填写测试纪录。

当测试记录表明网络性能或功能未能达到预期目标时，项目组必须查明原因，执行整改措施，整改后再次进行测试，直到测试结果达到预期目标。

当测试结果表明网络的功能和性能已经达到预期目标后，初验通过，甲乙双方签订初验报告。

5.1.2最终验收

在系统通过试运行期后，校方项目负责人与集成商双方对试运行状况进行综合评估，评估合格后，双方签订最终验收报告。

5.2 测试计划

为了保证对整个网络的功能和性能有一个合理的评估，测试方案将针对网络的各方面，提出相应的测试方法。在整个工程完成后，可以对整个网络的状态实现一定的监控和评估。

5.2.1 设备测试

本测试项的主要目的是检验网络设备质量和配置是否正确，以及自身的可靠性和冗余能力，包括设备是否可以正常启动，设备状态是否正常，板卡的热插拔能力等。

5.3管理性测试

测试网络设备的可管理性，网络管理协议SNMP测试、网络设备的管理安全性、管理数据加密等，检验网络设备是否能够与原厂商网管平台通讯，以及在网管信息的安全传输。

5.4 安全性测试

根据环境状况进行安全性测试。

5.5路由协议测试

测试网络中相关路由协议的连通性和路由收敛的能力，保证网络设备在网络层上的互连互通性。测试将主要测试网络中运行的路由协议的连通性。