建好一个校园网,规划设计非常重要。规划设计的好,不仅能节省大量资金,而且可充分发挥已建校园网的功效,方便以后应用系统的开发、应用管理与维护。而规划设计好一个校园网,不仅需要设计群体有很强的网络技术水平与较大规模同类工程的施工、调试经验,更需要对学校需求有较细的了解。我们在我们学校校园网建设实施过程中,成功地从多套备选方案中完成了最优化方案的实施过程,希望我们的构建与实施经验
能给你带来帮助。
一、 校园网整体建设方案的确定:
完整的校园网整体建设方案应包含布线工程与网络结构设计方案的实施;交换机、服务器等设备配置方案的实施;代理与软件防火墙方案的实施;网络安全与网络管理方案的实施;网络应用系统方案的实施;其它应用系统方案的实施等六大步骤。一般的学校考虑到经济承受能力或应标公司的实际施工能力,可以分两次或三次来完成,但一般实施周期较长,也较难协调好各部分之间的关系。我们学校考虑到我校多媒体终端教室、教师用笔记本电脑均已装备到位,校园网的整体构建已到了迫在眉睫的地步,且学校各方面已为校园网的建设做了大量的前期准备工作,已经有把握通过一次性的建设使我校的教育信息化踏上一个新台阶。为次学校决定把前五大部分放在一起一次性招标,第六部分则在前五大部分完成后同步实施,三个月的实施结果证明,我们达到了预期目标,并且超过了好多学校几年的实施进度,达到了我校跨越式发展教育信息化的设想。
二、 布线工程与网络结构设计方案的实施:
布线工程与网络结构设计之间的关系非常大,只有先确定各交换机房的位置,确定网络拓扑结构,才能根据现场确定布线工程的实施方案。我们学校在招标文件确定前就已经与许多公司探讨并确定了天一校园网的拓扑结构,并在招标文件中,明确规定了布线工程所用产品的型号与规格,如超五类双绞线, 信息插座、配线架全部用北电产品,线槽必须使用联塑PVC材料(纯塑料)产品等。考虑到布线工程所用材料数量预先很难估计正确,故材料核算采用实用实算的方法,中标单位购买的材料必须进入学校仓库,工程实施过程中实行当天领用制(多余材料退给中标公司)。为防止各公司投标时故意提高布线工程材料单价,我们还特意说明布线产品价格如高于无锡市教育技术装备站的以装备站价格计算。考虑到招标工作的可操作性,我们规定所有投标单位必须指派布线工程师在规定时间段内到天一中学统一集中,进行实地查看布线现场,投标时要求布线施工费、系统集成、培训费、税金必须一次性报定,中途不再另行改变。考虑到布线工程施工质量问题,我们在实际施工开始前还参照兄弟学校的施工情况,结合《无锡市中小学校园网建设规范和技术标准》与国家标准《建筑与建筑群综合布线系统工程验收规范》制订了江苏省天一中学《校园网布线部分物理特性验收记录表》,分13个方面对布线工程的施工要求作了描述,为布线工程的最终验收提供了很强的可操作性方法。实际施工过程中我们还注意把握好校园网信息点(需布线部分510个信息点,177个电源插座)施工图纸的确定 校园网信息点(需配交换机部分400个信息点)统计表 实施整个校园网工程(包括布线部分、交换机服务器部分)的施工计划 网络系统的规划方案(IP地址的规划、虚网的划分) 交换机端口号与信息点号对应表等一系列施工档案的编写、更新、保存工作,为以后校园网布线系统的维护、调整、扩充提供了可靠的保证。
三、 交换机、服务器等设备配置方案的实施:
交换机的选择主要考虑堆叠带宽、堆叠可扩展性、背板速度等,考虑是否具有数据优先级机制或带宽预留机制,是否支持跨交换机的VLAN划分,中心交换机是否支持跨VLAN、跨子网的第三层交换,是否能实现到所有端口网络管理等。
服务器的选择主要考虑应用实际的需要:如代理+软件防火墙服务器主要考虑CPU、缓存、内存;DC域控制器考虑到域用户帐号与用户EMAIL帐号的集成,可以与EMAIL服务器共用,购买时主要考虑CPU、缓存、内存要达到一定要求;FTP服务器主要考虑CPU、硬盘,硬盘如考虑到价格因素可先用IDE(80G/7200转的,价格仅1000元),但对CPU的消耗较大;资源存储服务器同FTP服务器要求基本一致,考虑到我们学校资源库存储要求较高,容量要达到600G以上,并要支持RAID 5的容错,故用支持8个IDE硬盘的NAS存储系统较合适;WEB服务器主要考虑CPU、缓存、内存、硬盘,特别是硬盘考虑到要存放校园管理平台的重要数据,必须用2个以上的SISI硬盘,并作RAID 5或RAID1容错处理。
考虑到以上因素能选择的产品范围就缩小了,但如果只选择一种产品招标就有可能仅仅是经销商的让利行为,为了能争取到厂商的让利行为,我们在招标文件中准备了3C0M与AVAYA,浪潮与曙光两种产品方案,结果由于AVAYA与浪潮的产品价格最好而被采用。
在我们学校,中心交换机用AVAYAP5800R-SWC机箱式交换机, 背板带宽可达到55 Gbps,第二、三层包交换路由能力可达到40Mpps,配3个48口的 10/100模块计144个 端口用于博爱楼,配1 个4口千兆模块用于与各主要大楼之间的千兆连接,空余两个插槽用于以后千兆模块的扩展。勤业楼由于信息点较多,有106个,且以后可能会扩展,故二级交换机采用P330R与P334T、P333T组成堆叠组,由于P330堆叠式交换系统一个堆栈支持最多640个10/100Base-Tx端,支持第二层、第三层和第四层 ,且Cajun P330R可以作为主网络路由器,提供"本地"路由功能 不必使用主干连接和主干交换机资源 。其它大楼由于信息点不超过96个,故二级交换机均采用P133G2。对于原有的3COM交换机,均利用起来放在四个网络教室使用(作为独立的子网处理),由于网络教室可以采用第二级路由连接到一级交换机(服务器配双网卡,外网卡配校园网合法IP,上连一级交换机,内网卡用内部IP地址,下连3COM交换机),原网络教室的网络配置可保持不变。
服务器除WEB服务器要运行校园网络信息及多媒体资源库管理两个平台,新配了一个浪潮服务器(网通 NL200,CPU PIII XEON 1GHZ,256KB,1G ECC SDRRAM,18.2GB*3 SCSI 10000转(RAID5,50XCD,15"数控彩显,用千兆光纤网卡)外,其余均用原网络教室用的三台DELL1400服务器。另外为了让电教资料室的一千张光盘全部数字化到网络服务器上,方便教师的调用,我们买了一台光盘镜像服务器(紫光CDM 640,不含硬盘,自己加了8个80G的IDE 硬盘),使教师在办公室就可以跨子网段查看并下载光盘内容。
四、 校园网入口与出口问题的解决:
与无锡教育城域网的10兆接入有多种方法,我们经过综合测试与评估后认为应先向城域网中心申请16个网段的IP合法地址,然后在无锡教育城域网与学校校园网之间加一道软件防火墙,保护内部用户的安全,同时将需对外的部分(如FTP、WEB等)通过防火墙向外发布,等以后条件成熟再撤去这道防火墙,使学校校园网与无锡教育城域网成为无缝连接的一体,便于在城域网范围内实现一些特殊应用(如视频会议等)。
校园网的入口问题一直是众多校园网建设过程中最难解决的问题,无锡教育城域网的10兆接入既解决了校园网的出口问题,又解决了教育城域网范围内用户的访问入口问题,使得教育城域网范围内的用户可方便、快捷地访问兄弟学校的信息,也可方便地在兄弟学校调用自己学校FTP服务器上的资源,但要使INTERNET上的用户能访问到学校信息,还需采用其它的方法,为次我们与区教育局联系,采用服务器托管的方法,一下子解决了WWW、EMAIL、FTP等向INTERNET发布的难题,为学校今后开展远程教育铺平了道路。
五、 网络安全与网络管理方案的实施:
网络安全包括防网络攻击、防病毒、数据安全保护等,既有技术方面的问题,又有管理方面的问题。为此我们在校园网建设规划与实施过程中制订了一系列的技术与管理措施。如在物理层方面要做到网络关键设备须放置在网络管理中心的机房内,不得自行配置或更换,更不能挪作它用。所有重要数据均要保留在网管中心服务器上,并作RAID5以上的容错。严禁易燃易爆和强磁物品及其它与机房工作无关的人员、物品进入机房。要实现交换机端口或网卡MAC地址与IP的绑定,确保无非合法用户的网络接入。要禁止校园网用户在用校园网的同时用电话拨号等其它手段上广域网等。又如在应用层方面,要注意合理划分虚网,使学生区、教学区、管理区、财务区各部分的计算机分割,使区域内计算机从网上邻居上只能访问到本部门的计算机及指定的服务器,其它应用都必须用B/S或C/S方式来实现。购买正版的KILL6.0网络版杀毒软件,确保所有网络用户至少每周查毒一次。又如在管理层方面,要注意保持对最新技术的掌握,实时了解INTERNET的发展动向,做到预防为主。要做好服务器的各种帐号保密工作,并及时监控网络上的数据流,从中检测出恶意行为攻击,并给予相应的处罚。每台计算机接入校园网前必须先填写接入申请表,只有承诺履行申请表要求的用户才给予合法的帐号与密码,违反申请表要求的用户网管中心有权取消其接入身份(视改正情况恢复)。网管人员统一管理网管中心机房内计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。网管人员要对每个合法用户的网上活动进行记录,以便及时发现不良苗头,杜绝发表非法言论(如开设BBS论坛时,应该验证申请用户的身份后才能给予发表言论的权利,且所有发表言论必须有身份标志)。及时检查个人网站用户的内容,有违法内容应及时停止其运行,并给予内部行政处分。每一虚网段或每一部门确定一个信息资料员兼防病毒管理,分段负责各虚网区的电脑防病毒工作。制定数据管理制度,对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改并做好记录。
六、 网络应用系统方案的实施:
1.域控制器:
对于一个校园网来讲,安全是很重要的。为此我们为每一位合法用户设置了帐号,并在三层交换机和域控制器上分别加上了静态路由,使学校所有VLAN的电脑都可以登陆到域控制器。这样既保证了非法用户不能进入校园网内部,同时又使我们的好多安全策略和服务(与EMAIL、上网管理、FTP等都基于域帐号)得以实现。因此,域服务器是我们所有服务的基础。
2.EMAIL服务器:
EMAIL服务在因特网上的应用是非常广泛的,同样它也应该在校园网中发挥它的作用。我们采用MICROSOFT 的EXCHAGNE2000企业版,该软件与WIN2000 SERVER完全融为一体,它利用了WIN2000的活动目录,用户只需记住域帐号就可方便地使用EMAIL服务。
EXCAHGNE2000支持基于WEB页面的访问,也支持用OUTLOOK收发EMAIL,完全可以满足学校城域网范围内的邮件服务。
安装前确定服务器已经升级为Active Directory或将要升级为Active Directory,因为EXCHANGE只能装在Active Directory上。检查WIN2000的NNTP和SMTP两个组件有没有安装,如果没有请在控制面板中添加。根据提示进行安装,安装花费时间较长,大概要1-2小时。安装完成后,服务自动启动,域用户就可以收发EMAIL了。
管理员在创建帐号时就可以选择是否同时创建EMAIL帐号,当然,管理员也可以为原先创建过的帐号逐个添加信箱。另外,管理员还可以为用户限制信箱容量,单个邮件的大小,还可以通过EXCHANGE创建聊天室和论坛等。
3.FTP服务器:
校园网的作用是使教师更好地利用学校资源,为了使不同VLAN的用户甚至其它学校的老师也能够共享资源,我们建立了FTP服务,并进行了文件夹不同权限的分配,某些文件夹是只读的,某些文件夹只可以添加,某些文件夹可以完全控制,某些内容只能以某些帐号登陆等等,如我校"学校专题片"文件夹一般人只能读取,"常用装机软件"任何人都可以读取和添加,但不能删除、用指定帐号登陆就可以看见"学校课件"文件夹等。
因为我校每个老师都有笔记本电脑,每个教室都是多媒体教室,如果FTP仅定位在以上几个功能,还不能满足学校教学的要求,于是我们为每个老师分配了500M的私有空间,这样,老师在自己的笔记本电脑或学校公用电脑上做的课件、下载的资料就可以很方便地上传到自己的FTP文件夹中,保证老师在无锡地区任何一个学校用自己的帐号和密码登陆FTP服务器都可以直接下载使用,大大方便了教师到教室或兄弟学校去上多媒体课。
具体实施方法:要达到以上功能,用MICROSOFT的IIS提供的FTP功能已经不行了,主要体现在对于设置每个用户的私人空间不方便,对每一用户设置上传、下载的速度、人数不易控制,经过分析比较,我们采用了目前使用广泛的SERV-U 4,它使用简单,并且具有很强的FTP管理功能,和MICROSOFT的IIS相比,具有如下优点:
能通过限制同一时间最大的用户访问人数确保服务器的正常运转。
能够为不同用户提供不同设置,支持分组管理数量众多的用户。
可以基于IP 对用户授予或拒绝访问权限,可以允许用户在客户端随时修改自己的密码,可以实时监测用户使用FTP情况,并可以踢除某些用户。
可以根据系统LOG分析FTP使用情况,调整FTP的运行状况。支持文件上传和下载过程中的断点续传。能够设置上传和下载的比率,网络使用带宽等,从而能够保证用户有限的资源不被大量的FTP 访问用户所消耗。可以为每个用户配备硬盘空间,可作为系统服务后台运行。
4.DNS服务:
为了使校内用户能够访问学校内部的信息平台,我们创建了内部的DNS解析服务,利用它解析了WWW、FTP、EMAIL,使用户不用去记复杂的IP地址。
为了与无锡城域教育网进行无缝连接,我们在DNS服务器上做了DNS转发,当用户输入内部网站以外的网址时,代理服务器自动寻找无锡城域教育网的DNS服务器(172.16.0.1),并通过它实现外部的DNS解析服务。
5.代理+防火墙服务器
因特网是一个不安全的网络,对于一个校园网来说,网络安全与速度也一直是校园网建设需要考虑的头等大事。
从学校内部网络安全管理和网络性能的要求考虑,我们为每个用户设置了域帐号、指定了固定的IP地址、划分了九个VLAN,并通过交换机的访问列表有效控制各VLAN之间的访问权限,对计算机采取IP地址与MAC地址或MAC地址与端口绑定的策略,使用户无法盗用别人的IP地址。
从对外连接的安全与上网管理要求考虑,我们设计在DELL1400服务器上装微软的最新版代理软件ISA2000,配两个网卡。由于ISA2000兼有软件防火墙功能,能实现访问权限与AD用户集成验证,能针对每一个帐号给出了具体的访问策略,并且屏蔽了一些非法网站和不健康网站,规定某些帐号某些时间只能上学校内部网站,某些时间段不能使用某些功能(如OICQ,网上看电影、听MP3、聊天室等),通过日志管理可以方便地查看用户浏览访问情况,通过报表管理程序可以清楚地分析网站的访问量、用户的上网时间等;为了保证城域网用户和校园内部用户的破坏,用ISA将内部和外部进行分割,使外部用户和内部用户都只能PING到防火墙各自的网卡IP;这样既保证了学校内部校园网络的安全又保证了内部用户不会对城域网进行攻击,另外,通过ISA的计划缓存和自动缓存功能,可以大大加快指定网站和访问过的网站的访问速度。
为了满足城域网对学校资源的访问,学校对外发布了WEB服务(http://www1.tyzx.com)、EMAIL服务(pop:mail.tyzx.com,smtp:mail.tyzx.com)和FTP服务(ftp://ftp.tyzx.com),使城域网内所有用户均能访问天一中学网站,所有有权限者均能使用学校FTP、EMAIL等资源。
6、光盘镜像服务器
建成校园网后,应用上首先遇到的问题是如何把先前积累的单机光盘资料在网络上共享,为此我们在建网的同时,采用了光盘镜像服务器,把原先电教资料室大量的光盘资料,导入服务器中,每个教师都通过访问网络镜像服务器来获取所有共享资料。
清华紫光光盘镜像服务器采用了先进的总线结构及高速处理器,内置操作系统,易安装及管理--安全独立于文件服务器,只需直接连上网络和电源即可工作,不需要安装任何驱动程序和软件。紫光光盘镜像服务器内置完美的WEB管理界面,通过WEB浏览器来管理,对系统管理者来说非常方便。
作为光盘服务器管理者,利用随机远程镜像管理软件,直接把电脑硬盘(光盘)上的数据资料,以光盘形式即时镜像到紫光光盘镜像服务器,从而避免了烦琐工作过程。
通过比较,光盘镜像服务器性能比光盘塔更好,服务器中可挂接8个IDE高速硬盘,性价比高,在每台内置硬盘中均可存储多达80片光盘镜像文件,一台服务器最多可以存放640片光盘镜像,每片光盘镜像可以聚集最多4G容量的数据资料,总容量可达T级,是目前市场上网络光盘存储解决方案中容量最大的,支持多种协议,价廉物美,在使用中深受广大一线教师的喜爱。
每台镜像服务器最多具有8个IP地址,在浏览器中输入相应的地址即可浏览到光盘服务器中文件的镜像索引,同时在对应的VLAN网段中,还可在网上邻居中直接查找到光盘服务器,同时光盘服务器随机采用"电子书目"和"镜像CD"两个软件,使光盘服务器中的镜像影射到本地计算机上,客户端的教师可以象使用本地硬盘资料一样使用光盘镜像资料,同时也解决了部分光盘,必须在本地光盘上运行的问题,达到了单机版光盘资源的校园网络真正共享。
七、 其它应用系统方案的实施:
1、学校信息管理平台
校园网主要是用来信息交流的,而对于学校来讲,肯定应该有对外宣传的部分,也应该有自己内部管理的东西,而且,内部的东西对于不同身份的人应该有不同的权限,基于此,我们规划中的信息管理平台应该具有以下功能:
对外部分侧重于学校的宣传,主要可以包含以前学校所做的静态页面所有的内容,通过基于数据库的信息发布系统,能够动态更新。通过身份验证登录后可进入学校内部网,内部可以包含更加丰富的内容,如:教师信息管理平台、学生信息管理平台、校产管理平台、教务管理平台等。
目前无锡电教馆推荐的"浙大网络"已在我校试用,经过测试、定制后能基本满足我校需求,且如果能做到学校信息管理平台是城域网信息管理大平台的一个子系统,那么上下级系统数据交换会很方便,可为以后的信息化教学、教育管理的全面实施铺平道路。
2、资源库管理平台:
目前资源库产品数不胜数,我们已经试用过5种资源库,我们的观点是资源库肯定要建,但应侧重于资源库管理平台的构建而不是资源本身,具体的资源可以由学校老师自己逐步整理、上传、累积完成。
资源库管理平台要求能通过Web实现访问方式查询、存取、添加、修改、删除、统计文字、图片、声音、视频、动画、教案、试题、课件等资源。不同的用户应该具有不同的权限。资源库结构要有扩展性,支持大容量数据的上传,支持磁盘阵列,支持以后T数量级的扩展。所有上传的资源必须经过审核后,才能被普通用户浏览、下载。每个用户要能逐步完善、整理自己的收藏夹,方便个性化资源的累积。
目前电教馆推荐的"国之源"正在我校试用,如果学校能采用与城域网同一管理平台的资源库产品,就可为学校与城域网中心,学校与学校之间的资源交换提供可靠保证。
3、图书管理系统
图书管理系统在我校早就建成,经过软硬件升级,由原来的局域网通过光纤无缝连入校园网,每一位老师和学生都可以在学校的任何一个角落基于web浏览器完成以下内容的检索,包括:图书及音像资料目录信息查询、期刊目录信息查询、题录索引信息查询、读者借阅信息查询、网上流通统计,教师还可以进行图书网上预约,图书馆管理者还可进行教师参考资料推荐新书通报、网上信息发布(包括一些通知、表扬、催还)等,以后我们还将逐步完善电子图书库的建设工作。
以上是我们学校三个月的校园网建设实践经验所得,很显然这些经验只是针对我们学校的这种环境,是否适合于其他学校还有待于实践检验。况且新的网络技术在不断推出、新的应用需求还在不断产生,我们一定再接再厉,不断优化网络配置,不断完善现有的应用平台,不断加强与上级主管部门与兄弟学校的联系,继续我们的信息化建设探索,为推动无锡教育城域网的发展水平而作出贡献。
