網(wǎng)絡(luò)工程課程設(shè)計--中學(xué)校園網(wǎng)絡(luò)建設(shè)規(guī)劃與設(shè)計

1、<p>　　************************</p><p><b>　　課程設(shè)計報告</b></p><p>　　************************</p><p><b>　　計算機(jī)與通信學(xué)院</b></p><p><b>　　2010年第二學(xué)

2、期</b></p><p>　　計算機(jī)網(wǎng)絡(luò) 課程設(shè)計</p><p>　　題 目：中學(xué)校園網(wǎng)絡(luò)建設(shè)規(guī)劃 </p><p>　　專業(yè)班級： </p><p>　　姓 名： </p><p>　　

3、學(xué) 號： </p><p>　　指導(dǎo)教師： </p><p>　　成 績： </p><p><b>　　摘要</b></p><p>　　計算機(jī)教育在世界各國備受

4、重視，計算機(jī)知識與能力已成為21世紀(jì)人才素質(zhì)的基本要素之一。計算機(jī)教育也被其所在的專業(yè)，文化和社會范圍改變影響著。計算機(jī)教育也變得更寬廣，內(nèi)容更豐富，其應(yīng)用領(lǐng)域不斷飛速增長，因此，無論在教學(xué)體系，教學(xué)內(nèi)容還是在教學(xué)方法，教學(xué)手段上都必須進(jìn)行深化改革，與時俱進(jìn)。</p><p>　　校園網(wǎng)是利用現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)及Internet技術(shù)等建立起來的學(xué)校內(nèi)部管理和通信應(yīng)用網(wǎng)絡(luò)。信息化校園就是以校園網(wǎng)和必要的信息服

5、務(wù)設(shè)備為載體，有豐富的共享軟件和方便的工具支持，并包含有相當(dāng)數(shù)量的教育信息資源，集教、學(xué)、管理、娛樂為一體的新型信息化的工作、學(xué)習(xí)、生活的網(wǎng)絡(luò)環(huán)境。本設(shè)計重點(diǎn)闡述了校園計算機(jī)網(wǎng)絡(luò)系統(tǒng)的設(shè)計和實(shí)現(xiàn)方法，包括系統(tǒng)設(shè)計原則、網(wǎng)絡(luò)技術(shù)選擇、綜合布線系統(tǒng)、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及設(shè)備選型，本設(shè)計可以實(shí)現(xiàn)各個模塊的基本功能，滿足校園內(nèi)部各部門的需求，最終設(shè)計成一個簡潔、花費(fèi)少、效果好的實(shí)用型校園網(wǎng)。</p><p>　　關(guān)鍵詞：校園網(wǎng)

6、；IP劃分；信息服務(wù)；網(wǎng)絡(luò)規(guī)劃</p><p><b>　　目錄</b></p><p><b>　　摘要II</b></p><p><b>　　目錄III</b></p><p><b>　　前言1</b></p><p>

7、;　　第1章 企業(yè)描述2</p><p>　　第2章 需求分析3</p><p>　　2.1 帶寬（核心層、（部門層、）桌面）5</p><p>　　2.2 子網(wǎng)與VLAN規(guī)劃7</p><p>　　2.3 實(shí)現(xiàn)的信息服務(wù)7</p><p>　　2.4 應(yīng)用程序8</p><p

8、>　　2.5 存儲系統(tǒng)分析8</p><p>　　2.6 系統(tǒng)及數(shù)據(jù)安全分析8</p><p>　　2.7 QoS9</p><p>　　2.8 網(wǎng)間隔離11</p><p>　　第3章 拓?fù)鋱D及方案整體描述13</p><p>　　3.1 主干網(wǎng)傳輸方案設(shè)計13</p><

9、;p>　　3.11 垂直布線方式13</p><p>　　3.12 水平布線13</p><p>　　3.13 設(shè)備間14</p><p>　　3.2 Internet接入方案及網(wǎng)絡(luò)拓?fù)鋱D14</p><p>　　3.3 遠(yuǎn)程訪問支持15</p><p>　　3.4 子網(wǎng)劃分與VLAN設(shè)定15&

10、lt;/p><p>　　3.5 網(wǎng)間隔離方案設(shè)計16</p><p>　　3.6 存儲方案17</p><p>　　3.7 設(shè)備選型18</p><p>　　3.8 軟件20</p><p>　　3.9 信息服務(wù)方案20</p><p>　　3.10 綜合布線方案21<

11、/p><p>　　第4章 網(wǎng)絡(luò)管理22</p><p>　　第5章 系統(tǒng)主要設(shè)備報價23</p><p><b>　　參考資料24</b></p><p>　　課程設(shè)計總結(jié)與致謝25</p><p><b>　　前言</b></p><p>　　校

12、園網(wǎng)絡(luò)建設(shè)是學(xué)校事業(yè)發(fā)展的重要組成部分，是學(xué)校發(fā)展的重要基礎(chǔ)設(shè)施，是提高學(xué)校教學(xué)和科研水平必不可少的支撐環(huán)境。建設(shè)一個綜合性的校園網(wǎng)，除主干網(wǎng)的建設(shè)應(yīng)該符合時代的發(fā)展要求，還應(yīng)建立健全主干網(wǎng)上各項服務(wù)系統(tǒng)。</p><p>　　建設(shè)一個以辦公自動化、計算機(jī)輔助教學(xué)、現(xiàn)代計算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托、技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、覆蓋全校主要樓宇的校園主干網(wǎng)絡(luò)，將學(xué)校的各種PC機(jī)工作站、終端設(shè)備和局域網(wǎng)連接起來

13、，并與有關(guān)廣域網(wǎng)相連；在網(wǎng)上宣傳和獲取教育資源；在此基礎(chǔ)上建立能滿足教學(xué)、科研和管理工作需要的軟、硬件環(huán)境；開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)；系統(tǒng)總體設(shè)計本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性、良好的開放性、可擴(kuò)展性，以及建設(shè)經(jīng)濟(jì)性。</p><p><b>　　第1章 企業(yè)描述</b></p><p>

14、　　定西一中：占地面積203畝，校區(qū)總建筑面積5.8萬平方米，是省內(nèi)校園面積的中學(xué)。學(xué)校教學(xué)設(shè)備齊備，理化生實(shí)驗室，微機(jī)室，電子備課室，語音室，舞蹈室等。下設(shè)辦公室，教務(wù)處，教研處，總務(wù)處，政教處，保衛(wèi)處等管理機(jī)構(gòu)，而各機(jī)構(gòu)都下設(shè)其他結(jié)構(gòu)。</p><p>　　把該校建設(shè)成為一個完備的校園網(wǎng)，應(yīng)在教師備課教學(xué)、學(xué)生學(xué)習(xí)、教務(wù)管理、行政管理、圖書資料管理、資源信息、對外交流等方面發(fā)揮輔助、支持功能，并通過與廣域網(wǎng)的

15、互聯(lián)，實(shí)現(xiàn)校際間的信息共享及與因特網(wǎng)(INTERNET)的連接，通過與寬帶數(shù)字衛(wèi)星相聯(lián)，實(shí)現(xiàn)遠(yuǎn)程教育，為學(xué)校的教學(xué)、管理、日常辦公、內(nèi)外交流等各方面提供全面、切實(shí)的支持。校區(qū)校園規(guī)劃科學(xué)滿足高等教育現(xiàn)代化、信息化、智能化的要求。</p><p><b>　　第2章 需求分析</b></p><p>　　中學(xué)建設(shè)校園計算機(jī)網(wǎng)絡(luò)的根本動機(jī)，就是提高學(xué)校的管理效益和教學(xué)質(zhì)

16、量。但并非只有用大量的資金投入，建設(shè)具有規(guī)模的計算機(jī)網(wǎng)絡(luò)，才能開展學(xué)校的教育手段現(xiàn)代化的建設(shè)。架設(shè)滿足學(xué)校應(yīng)用需求的小的局域網(wǎng)絡(luò)、教學(xué)網(wǎng)絡(luò)同樣也能夠發(fā)揮大的教育效益。不同的學(xué)?？梢愿鶕?jù)自己的特點(diǎn)和實(shí)際情況，在實(shí)際的中小學(xué)校計算機(jī)網(wǎng)絡(luò)的建設(shè)中，建立不同層次的計算機(jī)網(wǎng)絡(luò)，換個角度說，就是有條件的學(xué)校，可以一次性投入，建設(shè)一個比較完善的校園計算機(jī)網(wǎng)絡(luò)，而其他學(xué)?？梢愿鶕?jù)實(shí)際情況，先建一些小型的局域網(wǎng)絡(luò)，以后逐步互連形成較為完善的校園網(wǎng)絡(luò)。這里

17、所說的條件，不僅包括資金、學(xué)校規(guī)模，還包括學(xué)校計算機(jī)使用人員的計算機(jī)知識掌握程度，以及學(xué)校計算機(jī)專業(yè)人員的技術(shù)能力的強(qiáng)弱。只有當(dāng)應(yīng)用和開發(fā)計算機(jī)網(wǎng)絡(luò)人員的水平程度較好時，才能夠充分利用所使用的計算機(jī)網(wǎng)絡(luò)，否則，最好不要急于建設(shè)大規(guī)模的、復(fù)雜的計算機(jī)網(wǎng)絡(luò)。</p><p>　　由于網(wǎng)絡(luò)系統(tǒng)對工作的運(yùn)作與發(fā)展具有非常重要的作用，因此網(wǎng)絡(luò)改造系統(tǒng)的先進(jìn)性、可靠性、安全性、易維護(hù)、易升級等方面均有一定的要求，網(wǎng)絡(luò)系統(tǒng)對先

18、進(jìn)性的要求是在計算機(jī)技術(shù)突飛猛進(jìn)的今天，提供達(dá)幾年甚至更長時間的可用性。網(wǎng)絡(luò)系統(tǒng)設(shè)計必須滿足其應(yīng)用的要求，網(wǎng)絡(luò)總體設(shè)計、建設(shè)的原則如下：</p><p><b>　?。?） 開放性</b></p><p>　　采用開放性的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級、擴(kuò)展和互聯(lián)；同時在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時，強(qiáng)調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國際標(biāo)準(zhǔn)化；</p><p>

19、<b>　?。?） 標(biāo)準(zhǔn)化</b></p><p>　　在方案設(shè)計中，所有計算機(jī)網(wǎng)絡(luò)軟硬件產(chǎn)品必須堅持標(biāo)準(zhǔn)化原則，遵從國際標(biāo)準(zhǔn)化組織所制訂的各種國際標(biāo)準(zhǔn)及各種工業(yè)標(biāo)準(zhǔn)。</p><p><b>　?。?） 簡潔性</b></p><p>　　對于網(wǎng)絡(luò)系統(tǒng)，在設(shè)計過程中要考慮系統(tǒng)的能夠適應(yīng)不斷的新的發(fā)展需要，并使系統(tǒng)能適應(yīng)多

20、種硬件平臺和多種網(wǎng)絡(luò)結(jié)構(gòu)，而且網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡潔，硬件和軟件按需要能進(jìn)行靈活的配置。</p><p><b>　　（4）可擴(kuò)展性 </b></p><p>　　目前設(shè)計的網(wǎng)絡(luò)系統(tǒng)不僅僅用于當(dāng)前，同時在今后的一段時間內(nèi)，將是校園</p><p>　　電子化的主要系統(tǒng)。因此，設(shè)計時一定得考慮將來的發(fā)展，除了當(dāng)前設(shè)計得有一定的超前外，還需要考慮系統(tǒng)的可

21、擴(kuò)充性，易于系統(tǒng)以后的發(fā)展。</p><p>　　網(wǎng)絡(luò)系統(tǒng)必須有足夠的擴(kuò)展性，使得將來增加信息點(diǎn)時，只需很少變動。如當(dāng)網(wǎng)絡(luò)設(shè)備增加、通信網(wǎng)絡(luò)升級時，所有設(shè)備要保證仍能繼續(xù)使用，而不能以棄掉已有設(shè)備為升級的代價。采用的產(chǎn)品具有充分的可擴(kuò)充性及升級能力，具有足夠的先進(jìn)網(wǎng)絡(luò)技術(shù)過渡的能力。</p><p><b>　　（5）安全性</b></p><p&

22、gt;　　安全性是指可靠性、保密性和數(shù)據(jù)一致性。校園網(wǎng)對安全性的要求較高，計算機(jī)系統(tǒng)的安全性主要包括以下幾個方面:</p><p>　　硬件平臺安全性：當(dāng)計算機(jī)的元器件突然發(fā)生故障，或計算機(jī)系統(tǒng)工作環(huán)境設(shè)備突然發(fā)生故障時，計算機(jī)系統(tǒng)能繼續(xù)工作或迅速恢復(fù)。 </p><p>　　網(wǎng)絡(luò)通迅系統(tǒng)安全性：網(wǎng)絡(luò)的安全性主要包括采取以下安全措施：認(rèn)證措施，包括網(wǎng)點(diǎn)認(rèn)證和人員認(rèn)證；數(shù)據(jù)保密措施如傳輸加密

23、；存取控制措施如防止非法操作。 </p><p>　　操作系統(tǒng)安全性：操作系統(tǒng)安全性要達(dá)到C2級，即通過注冊、安全事件審計、資源隔離等方式使用戶的行為具有個體可查性，實(shí)施存取限制，保護(hù)數(shù)據(jù)防止被別的用戶讀取或破壞。 </p><p>　　數(shù)據(jù)庫安全性：數(shù)據(jù)庫要有以下安全機(jī)制：磁盤鏡像、數(shù)據(jù)備份、恢復(fù)機(jī)制、事務(wù)日志、內(nèi)部一致性檢查、鎖機(jī)制以及審計機(jī)制等安全保障體制，確保數(shù)據(jù)庫的安全。 <

24、;/p><p>　　應(yīng)用軟件系統(tǒng)的安全性： </p><p>　　認(rèn)同用戶和鑒別，確認(rèn)用戶的真實(shí)身份，防止非法用戶進(jìn)入系統(tǒng)。 </p><p>　　存取控制，當(dāng)用戶已注冊登錄后，核對用戶權(quán)限，根據(jù)用戶對該項資源被授予的權(quán)限對其進(jìn)行存取控制。 </p><p>　　審計，系統(tǒng)能記錄用戶所進(jìn)行的操作及其相關(guān)數(shù)據(jù)，能記錄操作結(jié)果，能判斷違反安全的事件是

25、否發(fā)生，如果發(fā)生則能記錄備查。 </p><p>　　保障數(shù)據(jù)完整性，對數(shù)據(jù)庫操作保證數(shù)據(jù)的一致性和數(shù)據(jù)的完整性。 </p><p><b>　　（6）技術(shù)先進(jìn)性</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)不能夠一經(jīng)實(shí)現(xiàn)即落后，應(yīng)當(dāng)至少處于現(xiàn)今先進(jìn)水平，只有這樣才能在計算機(jī)技術(shù)迅速發(fā)展的今天不落伍，不會在競爭激烈的今天，因計算機(jī)技術(shù)的不足而影響工作的

26、進(jìn)行開展。應(yīng)至少保持系統(tǒng)具備幾年的領(lǐng)先性。</p><p>　　采用先進(jìn)而成熟的網(wǎng)絡(luò)技術(shù)和產(chǎn)品，適應(yīng)大量數(shù)據(jù)和多媒體信息傳輸、處理、交換的需要，使網(wǎng)絡(luò)系統(tǒng)具有較強(qiáng)的生命力。</p><p><b>　?。?）實(shí)用性</b></p><p>　　網(wǎng)絡(luò)的建設(shè)要強(qiáng)調(diào)網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)應(yīng)用并重，以應(yīng)用推動建設(shè)，信息資源的開發(fā)、利用和效果。</p>

27、;<p>　　產(chǎn)品應(yīng)選擇主流產(chǎn)品，并且具有成熟、穩(wěn)定、實(shí)用的特點(diǎn)。能充分滿足日常使用、科學(xué)決策、對外交流、以及信息自動化管理等各方面的需要。</p><p><b>　?。?）網(wǎng)絡(luò)可靠性</b></p><p>　　網(wǎng)絡(luò)可靠性需要從以下方面來保證：設(shè)備的硬件制造品質(zhì)與運(yùn)行軟件的成熟性。網(wǎng)絡(luò)設(shè)備必須選用已經(jīng)證實(shí)，并在實(shí)際應(yīng)用中得到普遍應(yīng)用的產(chǎn)品，只有這樣，

28、才可能提供不間斷運(yùn)行的能力。網(wǎng)絡(luò)產(chǎn)品應(yīng)具備在線熱更換的能力，當(dāng)某一板卡出現(xiàn)故障時，應(yīng)能帶電更換，而不需進(jìn)行停機(jī)操作。</p><p><b>　?。?）易維護(hù)管理性</b></p><p>　　網(wǎng)絡(luò)管理應(yīng)走向科學(xué)化，采用先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)“在網(wǎng)絡(luò)中心即能實(shí)時控制、監(jiān)測整個系統(tǒng)的運(yùn)行狀況，能夠自動發(fā)現(xiàn)故障點(diǎn)”的目標(biāo)，并具有良好的人-機(jī)操作界面。</p>

29、<p><b>　　（10）保護(hù)投資</b></p><p>　　在網(wǎng)絡(luò)方案設(shè)計時充分考慮現(xiàn)有的硬件和軟件資源，盡量把各期投資和未來發(fā)展的兼容性容于系統(tǒng)方案中。保護(hù)投資從如下幾個方面考慮：</p><p>　　直接的硬件設(shè)備、軟件系統(tǒng)的投資 </p><p>　　應(yīng)用系統(tǒng)開發(fā)的人力、物力、財力和時間上的投資 </p>

30、<p><b>　　人員培訓(xùn)投資 </b></p><p>　　原有運(yùn)行系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的有效兼容。</p><p>　　2.1 帶寬（核心層、（部門層、）桌面）</p><p>　　校園網(wǎng)主干網(wǎng)是數(shù)據(jù)信息流動的主動脈，同時擔(dān)負(fù)著信息流動的總調(diào)度任務(wù)。</p><p>　　主干網(wǎng)采用核心交換、劃分虛擬網(wǎng)的設(shè)計

31、方案。交換核心使用一臺高性能、高可靠性的交換機(jī)，實(shí)現(xiàn)冗余備份和負(fù)載平衡。最好選擇光纖作為通信介質(zhì)。各樓干線光纜經(jīng)網(wǎng)絡(luò)中心機(jī)房星狀放射互聯(lián)。各樓內(nèi)垂直主干線采用五類雙絞線，主干支持ＦＤＤＩ或ＡＴＭ。因此作為主干網(wǎng)要遵循以下特點(diǎn)</p><p>　?。?）高性能與技術(shù)先進(jìn)性</p><p>　　校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)要求具有較高的數(shù)據(jù)通信能力和較大的帶寬；并在主干網(wǎng)上提供較強(qiáng)的可擴(kuò)展性。為了及時、迅速

32、地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)應(yīng)有較高的網(wǎng)絡(luò)主干速度。</p><p><b>　?。?）高可靠性</b></p><p>　　網(wǎng)絡(luò)要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓?fù)浣Y(jié)構(gòu)及設(shè)備的冗余和備份，為了防止局部故障引起整個網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，設(shè)備在發(fā)生故障時能以熱插拔的方式在

33、最短時間內(nèi)進(jìn)行恢復(fù)，把故障對網(wǎng)絡(luò)系統(tǒng)的影響減少到最小，避免由于網(wǎng)絡(luò)故障造成用戶損失；</p><p><b>　?。?）安全性</b></p><p>　　校園網(wǎng)作為一個支持眾多用戶、同時和INTERNET/CERNET存在連接的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全性在整個網(wǎng)絡(luò)中是個很重要的問題，應(yīng)該采用一定手段控制網(wǎng)絡(luò)的安全性，以保證網(wǎng)絡(luò)正常運(yùn)行。網(wǎng)絡(luò)中應(yīng)采取多種技術(shù)從內(nèi)部和外部同時控制

34、用戶對網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保密性，能夠防止非法侵入和信息泄漏。</p><p><b>　?。?）可管理性</b></p><p>　　強(qiáng)有力的網(wǎng)管軟件是有效地進(jìn)行網(wǎng)絡(luò)管理的助手，網(wǎng)管軟件應(yīng)能夠支持對網(wǎng)絡(luò)進(jìn)行設(shè)備級和系統(tǒng)級的管理，并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備的管理及配置。靈活的設(shè)置每個用戶對Internet訪問功能，能夠?qū)γ總€用戶實(shí)行管

35、理；并且能夠?qū)崿F(xiàn)計費(fèi)管理。</p><p><b>　?。?）可擴(kuò)充性</b></p><p>　　隨著應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地擴(kuò)充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過渡到新的技術(shù)和設(shè)備，保證現(xiàn)有的投資。</p><p><b>　?。?）VLAN劃分</b></p&

36、gt;<p>　　根據(jù)校園網(wǎng)的實(shí)際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個邏輯子網(wǎng)內(nèi)。網(wǎng)絡(luò)站點(diǎn)的增減，人員的變動，無論從網(wǎng)絡(luò)管理，還是用戶的角度來講，都需要虛擬網(wǎng)技術(shù)的支持。因此在網(wǎng)絡(luò)主干中要支持三層交換及VLAN劃分。在整個網(wǎng)絡(luò)中使用虛擬網(wǎng)技術(shù)，以提高網(wǎng)絡(luò)的安全性和靈活性。</p><p><b>　?。?）多層交換技術(shù)</b></p>&

37、lt;p>　　通過三層交換技術(shù)，特別是基于硬件的第三層交換，可以充分地利用交換機(jī)的包處理能力，實(shí)現(xiàn)真正的線速交換。</p><p>　?。?）對多媒體應(yīng)用的支持</p><p>　　校園網(wǎng)要求具有數(shù)據(jù)、圖像、語音等多媒體實(shí)時通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。整個網(wǎng)絡(luò)

38、在服務(wù)質(zhì)量、預(yù)留寬帶設(shè)置、合理進(jìn)行帶寬管理方面應(yīng)提供優(yōu)良的品質(zhì)。</p><p>　　2.2 子網(wǎng)與VLAN規(guī)劃</p><p>　　根據(jù)需求的不同，將分成不同的子網(wǎng)。教學(xué)子網(wǎng)、 辦公子網(wǎng)、 圖書館子網(wǎng)、宿舍區(qū)及后勤子網(wǎng)。局域網(wǎng)采用虛擬局域網(wǎng)，在交換式以太網(wǎng)中，各站點(diǎn)可以分別屬于不同的虛擬局域網(wǎng)。構(gòu)成虛擬局域網(wǎng)的站點(diǎn)不拘泥于所處的物理位置，它們既可以掛接在同一個交換機(jī)中，也可以掛接在不同

39、的交換機(jī)中。虛擬局域網(wǎng)技術(shù)使得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活，使不同樓層的用戶或者不同部門的用戶可以根據(jù)需要加入不同的虛擬局域網(wǎng)。當(dāng)網(wǎng)絡(luò)規(guī)模很大時，網(wǎng)上的廣播信息會很多，能解決了網(wǎng)絡(luò)惡化、廣播風(fēng)暴、網(wǎng)絡(luò)堵塞。</p><p>　　2.3 實(shí)現(xiàn)的信息服務(wù)</p><p>　　需要的基本功能有：1、電子郵件系統(tǒng)：主要進(jìn)行與同行交往、開展技術(shù)合作、學(xué)術(shù)交流等活動； 2、文件傳輸FTP：主要利用FT

40、P服務(wù)獲取重要的科技資</p><p>　　料和技術(shù)文擋； 3、INTERNET服務(wù)：學(xué)校可以建立自己的主頁，利用外部網(wǎng)頁進(jìn)行學(xué)校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁進(jìn)行管理，例如發(fā)布通知、收集學(xué)生意見等。4、計算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)；5、圖書館訪問系統(tǒng)，用于計算機(jī)查詢、計算機(jī)檢索、計算機(jī)閱讀等； 6、其他應(yīng)用，如大型分布式數(shù)據(jù)庫系統(tǒng)、超性能計算資源共享、管理系統(tǒng)、視頻會議等。</p

41、><p><b>　　2.4 應(yīng)用程序</b></p><p>　　出于對校園網(wǎng)的功能分析，在校園網(wǎng)上運(yùn)行的應(yīng)用程序有如下幾種：文件傳輸系統(tǒng)、郵件系統(tǒng)、辦公自動化系統(tǒng)、宿舍管理系統(tǒng)、學(xué)生檔案管理系統(tǒng)、教學(xué)系統(tǒng)等一系列網(wǎng)絡(luò)平臺。</p><p>　　2.5 存儲系統(tǒng)分析</p><p>　　根據(jù)我們選用的是開放的Windo

42、ws、UNIX、Linux等操作系統(tǒng)的服務(wù)器，開放系統(tǒng)的網(wǎng)絡(luò)化存儲根據(jù)傳輸協(xié)議又分為:網(wǎng)絡(luò)接入存儲(Network-Attached Storage，簡稱NAS)和存儲區(qū)域網(wǎng)絡(luò)(Storage Area Network，簡稱SAN)。</p><p>　　2.6 系統(tǒng)及數(shù)據(jù)安全分析</p><p>　　所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安

43、全的操作系統(tǒng)可以選擇，無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限

44、制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。</p><p>　　應(yīng)用系統(tǒng)安全與具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用系統(tǒng)的安全性涉及到信息、數(shù)據(jù)的安全性。</p><p>　　信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果一</p><p&g

45、t;　　些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)、社會影響和政治影響將是很嚴(yán)重的。因此，對用戶使用計算機(jī)必須進(jìn)行身份認(rèn)證，對于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段，實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機(jī)密性與完整性。</p><p><b>　　2.7 QoS</b></p><p&g

46、t;　　QoS的英文全稱為"Quality of Service"，中文名為"服務(wù)質(zhì)量"。QoS是網(wǎng)絡(luò)的一種安全機(jī)制, 是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。 在正常情況下，如果網(wǎng)絡(luò)只用于特定的無時間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如Web應(yīng)用，或E-mail設(shè)置等。但是對關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過載或擁塞時，QoS 能確保重要業(yè)務(wù)量不受延遲或丟棄，同時保證網(wǎng)絡(luò)的高效

47、運(yùn)行。 QoS具有如下功能： （一）分類 分類是指具有QoS的網(wǎng)絡(luò)能夠識別哪種應(yīng)用產(chǎn)生哪種數(shù)據(jù)包。沒有分類，網(wǎng)絡(luò)就不能確定對特殊數(shù)據(jù)包要進(jìn)行的處理。所有應(yīng)用都會在數(shù)據(jù)包上留下可以用來識別源應(yīng)用的標(biāo)識。分類就是檢查這些標(biāo)識，識別數(shù)據(jù)包是由哪個應(yīng)用產(chǎn)生的。 以下是4種常見的分類方法。 (1)協(xié)議 有些協(xié)議非?！敖≌劇?，只要它們存在就會導(dǎo)致業(yè)務(wù)延遲，因此根據(jù)協(xié)議對數(shù)據(jù)包進(jìn)行識別和優(yōu)先級處理可以降低延遲。應(yīng)用

48、可以通過它們的EtherType進(jìn)行識別。譬如，AppleTalk協(xié)議采用0x809B，IPX使用0x8137。根據(jù)協(xié)議進(jìn)行優(yōu)先級處理是控制或阻止少數(shù)較老設(shè)備所使用的“</p><p>　　門針對單一應(yīng)用而配置的，如電子郵件服務(wù)器，所以分析數(shù)據(jù)包的源IP地址可以識別該數(shù)據(jù)包是由什么應(yīng)用產(chǎn)生的。當(dāng)識別交換機(jī)與應(yīng)用服務(wù)器不直接相連，而且許多不同服務(wù)器的數(shù)據(jù)流都到達(dá)該交換機(jī)時，這種方法就非常有用。 </p>

49、<p>　　(4)物理端口號碼 與源IP地址類似，物理端口號碼可以指示哪個服務(wù)器正在發(fā)送數(shù)據(jù)。這種方法取決于交換機(jī)物理端口和應(yīng)用服務(wù)器的映射關(guān)系。雖然這是最簡單的分類形式，但是它依賴于直接與該交換機(jī)連接的服務(wù)器。 （二）標(biāo)注 在識別數(shù)據(jù)包之后，要對它進(jìn)行標(biāo)注，這樣其他網(wǎng)絡(luò)設(shè)備才能方便地識別這種數(shù)據(jù)。由于分類可能非常復(fù)雜，因此最好只進(jìn)行一次。識別應(yīng)用之后就必須對其數(shù)據(jù)包進(jìn)行標(biāo)記處理，以便確保網(wǎng)絡(luò)上的交換機(jī)或路由器

50、可以對該應(yīng)用進(jìn)行優(yōu)先級處理。通過采納標(biāo)注數(shù)據(jù)的兩種行業(yè)標(biāo)準(zhǔn)，即IEEE 802.1p或差異化服務(wù)編碼點(diǎn)(DSCP)，就可以確保多廠商網(wǎng)絡(luò)設(shè)備能夠?qū)υ摌I(yè)務(wù)進(jìn)行優(yōu)先級處理。 在選擇交換機(jī)或路由器等產(chǎn)品時，一定要確保它可以識別兩種標(biāo)記方案。雖然DSCP可以替換在局域網(wǎng)環(huán)境下主導(dǎo)的標(biāo)注方案IEEE 802.1p，但是與IEEE 802.1p相比，實(shí)施DSCP有一定的局限性。在一定時期內(nèi)，與IEEE 802.1p 設(shè)備的兼容性將十分重要

51、。作為一種過渡機(jī)制，應(yīng)選擇可以從一種方案向另一種方案轉(zhuǎn)換的交換機(jī)。 （三）優(yōu)先級設(shè)置 一旦網(wǎng)絡(luò)可以區(qū)分電話通話和網(wǎng)上瀏覽，優(yōu)先級處理就</p><p>　　為了提供優(yōu)先級，交換機(jī)的每個端口必須有至少2個隊列。雖然每個端口有更多隊列可以提供更為精細(xì)的優(yōu)先級選擇，但是在局域網(wǎng)環(huán)境中，每個端口需要4個以上隊列的可能性不大。當(dāng)每個數(shù)據(jù)包到達(dá)交換機(jī)時，都要根據(jù)其優(yōu)先級別</p><p>

52、　　分配到適當(dāng)?shù)年犃?，然后該交換機(jī)再從每個隊列轉(zhuǎn)發(fā)數(shù)據(jù)包。該交換機(jī)通過其排隊機(jī)制確定下一步要服務(wù)的隊列。有以下2種排隊方式。 (1)嚴(yán)格優(yōu)先隊列(SPQ) 這是一種最簡單的排隊方式，它首先為最高優(yōu)先級的隊列進(jìn)行服務(wù)，直到該隊列為空，然后為下一個次高優(yōu)先級隊列服務(wù)，依此類推。這種方法的優(yōu)勢是高優(yōu)先級業(yè)務(wù)總是在低優(yōu)先級業(yè)務(wù)之前處理。但是，低優(yōu)先級業(yè)務(wù)有可能被高優(yōu)先級業(yè)務(wù)完全阻塞。 (2)加權(quán)循環(huán)(WRR) 這種方法為所有業(yè)務(wù)隊列服務(wù)，并

53、且將優(yōu)先權(quán)分配給較高優(yōu)先級隊列。在大多數(shù)情況下，相對低優(yōu)先級，WRR將首先處理高優(yōu)先級，但是當(dāng)高優(yōu)先級業(yè)務(wù)很多時，較低優(yōu)先級的業(yè)務(wù)并沒有被完全阻塞。</p><p><b>　　2.8 網(wǎng)間隔離</b></p><p>　　面對新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度對網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù)――“網(wǎng)絡(luò)隔離技術(shù)”應(yīng)運(yùn)而生。網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保隔

54、離有害的攻擊，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來的，它彌補(bǔ)了原有安全技術(shù)的不足，突出了自己的優(yōu)勢?！?#160; 網(wǎng)絡(luò)隔離，英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如：TCP/IP）通過不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議

55、所以通常也叫協(xié)議隔離（Protocol Isolation）</p><p>　　網(wǎng)絡(luò)隔離是指在一個網(wǎng)絡(luò)系統(tǒng)中劃分邊界，分割不同安全域的技術(shù)。網(wǎng)絡(luò)安全的重點(diǎn)在于邊界保護(hù)，采用隔離技術(shù)明確邊界后，我們就能根據(jù)應(yīng)用環(huán)境的具體需求實(shí)施相應(yīng)的邊界控制策略。</p><p>　　具體而言，采用網(wǎng)絡(luò)隔離技術(shù)有以下優(yōu)點(diǎn)：</p><p>　　采用隔離技術(shù)劃分安全域后，一個區(qū)域內(nèi)的

56、安全問題可以被控制在本區(qū)域以內(nèi)，不會對其它區(qū)域造成影響，從而提高了系統(tǒng)整體的可控性和穩(wěn)定性。</p><p>　　采用隔離技術(shù)劃分安全域后，可以根據(jù)需求靈活制定訪問控制策略，便于在不同粒度上隔離攻擊。</p><p>　　安全是要考慮成本的。對于重要的資源，我們可以采取隔離技術(shù)對其進(jìn)行重點(diǎn)保護(hù)，使有限的投入獲得最佳的效果，這也符合國家分級保護(hù)的要求。</p><p>

57、;　　第3章 拓?fù)鋱D及方案整體描述</p><p>　　3.1 主干網(wǎng)傳輸方案設(shè)計</p><p>　　網(wǎng)絡(luò)中心設(shè)在實(shí)驗樓的一層，以實(shí)驗樓為中心，選擇星形拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)主干最好選用光纖，以便采用鏈路聚合技術(shù)及備份線路。光纖布線采用星型結(jié)構(gòu)，即由實(shí)驗樓網(wǎng)絡(luò)中心向其它建筑輻射。建筑內(nèi)部布線采用5類雙絞線進(jìn)行垂直和水平布線，如建筑物規(guī)模較大，也可部分采用室內(nèi)多模光纖。雙絞線的接法采用EIA/TI

58、A568B標(biāo)準(zhǔn)。設(shè)計時要依據(jù)EIA/TIA568工業(yè)標(biāo)準(zhǔn)及國商務(wù)布線標(biāo)準(zhǔn)。</p><p>　?。?）主干網(wǎng)匯接各子網(wǎng)，形成中心交換。</p><p>　?。?）子網(wǎng)通過交換機(jī)連接到主干網(wǎng)。</p><p>　?。?）網(wǎng)絡(luò)中心的網(wǎng)絡(luò)構(gòu)成一個單獨(dú)的子網(wǎng)，匯接到主干網(wǎng)。</p><p>　　（4）在網(wǎng)絡(luò)中心進(jìn)行集中控制和管理。</p>

59、<p>　?。?）每個子網(wǎng)按部門劃分成多個工作組網(wǎng)。</p><p>　?。?）每個工作網(wǎng)劃分成多個基層網(wǎng)段。</p><p>　　（7）在關(guān)鍵子網(wǎng)設(shè)立防火墻，防止來自內(nèi)部或外部的惡意攻擊。</p><p>　　（8）在完善的網(wǎng)絡(luò)基礎(chǔ)之上，提供基本的Internet服務(wù)。</p><p>　　3.11 垂直布線方式</p&

60、gt;<p>　　垂直干線在電纜橋加上加以固定，五類雙干線電纜走專門的弱電橋架，與專門的強(qiáng)電電纜分開。</p><p><b>　　3.12 水平布線</b></p><p>　　水平布線采用五類雙絞線，用于水平數(shù)據(jù)通信。從管理間到辦公樓部分的布線方式采用電纜橋架走吊頂，布線路由及進(jìn)房間后信息插座具體位置視具體布局確定。</p><p

61、><b>　　3.13 設(shè)備間</b></p><p>　　主設(shè)備間設(shè)在網(wǎng)絡(luò)中心，是整個信息系統(tǒng)的中心，它是安放由許多用戶共用的通信設(shè)備的空間，是整個樓群的主要布線區(qū)域所在地。它包括網(wǎng)絡(luò)接口、電話局電纜和用戶建筑物布線系統(tǒng)交匯點(diǎn)網(wǎng)絡(luò)系統(tǒng)的干線網(wǎng)絡(luò)互聯(lián)設(shè)備放置在此，外來的電話中繼線延伸至主設(shè)備間。其它各樓的設(shè)備間在各樓的頂層。主設(shè)備間對環(huán)境的要求較高，所以要注意環(huán)境的選擇與調(diào)節(jié)。<

62、/p><p>　　3.2 Internet接入方案及網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　本局域網(wǎng)通過路由器接入因特網(wǎng)，如圖所示：</p><p>　　圖4-1 網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　3.3 遠(yuǎn)程訪問支持</p><p>　　遠(yuǎn)程訪問提供電話撥號訪問功能，使用戶在家中、在外地都可以訪問校園網(wǎng)。遠(yuǎn)程工作站通過撥號接入

63、校園網(wǎng)，采用點(diǎn)對點(diǎn)的協(xié)議為PPP。遠(yuǎn)程訪問服務(wù)器RAS與調(diào)制解調(diào)器Modem組合實(shí)現(xiàn)遠(yuǎn)程訪問功能。在訪問服務(wù)器的遠(yuǎn)程訪問端口提供訪問控制(Access List)。通過與撥號安全服務(wù)器配合，還能實(shí)現(xiàn)進(jìn)一步的用戶認(rèn)證和授權(quán)控制。遠(yuǎn)程訪問解決了遠(yuǎn)程工作站通過撥號線路對網(wǎng)絡(luò)資源的訪問。由于撥號網(wǎng)絡(luò)是攻擊網(wǎng)絡(luò)的可能的主要入口，因而必須在技術(shù)和管理兩個方面加強(qiáng)管理。遠(yuǎn)程訪問服務(wù)應(yīng)提供以下功能：</p><p>　　撥號訪問

64、（Telnet/Rlogin/PPP）支持；</p><p>　　靜態(tài)/動態(tài)地址分配；</p><p>　　多協(xié)議（IP和IPX）透明訪問支持；</p><p>　　用戶訪問和安全控制；</p><p>　　撥出（Dial-on-Demand, Dial-Out）功能；</p><p>　　自動協(xié)議檢測和轉(zhuǎn)換；<

65、/p><p><b>　　遠(yuǎn)程控制和維護(hù)；</b></p><p><b>　　網(wǎng)管支持。</b></p><p>　　撥號網(wǎng)絡(luò)是可能的主要攻擊入口，并且采用動態(tài)IP分配策略，所以必須與其它網(wǎng)段隔離，直接連到網(wǎng)絡(luò)中心路由器上，占用一個獨(dú)立的網(wǎng)段，這樣也有利于計費(fèi)管理。訪問服務(wù)器通過路由器與MODEM池接入撥號線。訪問服務(wù)器與撥

66、號安全服務(wù)器配合，根據(jù)身份認(rèn)證協(xié)議（TACACS/RADIUS/KEBEROS）實(shí)現(xiàn)撥號用戶的認(rèn)證和授權(quán)。</p><p>　　3.4 子網(wǎng)劃分與VLAN設(shè)定</p><p>　　在充分考慮了網(wǎng)絡(luò)的高度的可靠性、高速率傳輸特性、可擴(kuò)充性和系統(tǒng)易升級性，以及信息點(diǎn)的分布依建筑物內(nèi)的布線設(shè)計等諸多因素的基礎(chǔ)上，將局域網(wǎng)分成以下幾個子網(wǎng)。</p><p>　?。?）教學(xué)

67、子網(wǎng)：校園網(wǎng)建網(wǎng)的目的之一是利用計算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)多媒體教學(xué)。在教學(xué)過程中，大量傳送的是文本、圖像和部分視頻等數(shù)據(jù)，對速度要求較高，</p><p>　　所以設(shè)計時推薦所有教學(xué)用端口全部采用交換式100Ｍ以太網(wǎng)口；</p><p>　　（2）辦公子網(wǎng)：辦公子網(wǎng)主要面向?qū)W校的各級領(lǐng)導(dǎo)以及各職能部門，辦公計算機(jī)所實(shí)現(xiàn)的功能主要是對網(wǎng)絡(luò)數(shù)據(jù)的查詢、修改、添加、刪除等操作。只有網(wǎng)絡(luò)數(shù)據(jù)傳輸快，才能更好

68、地提高辦公效率。同時，辦公計算機(jī)應(yīng)該能夠達(dá)到支持視頻傳送的要求。鑒于辦公子網(wǎng)將支持視頻功能，設(shè)計推薦采用交換式100Ｍ端口；</p><p>　　（3）圖書館子網(wǎng)：圖書館從應(yīng)用來說是一個相對獨(dú)立的系統(tǒng)，因此設(shè)計時在圖書館設(shè)圖書館網(wǎng)絡(luò)分中心，配置了一臺Ｃｉｓｃｏ6006中心交換機(jī)、海量存儲器、所需的服務(wù)器以及若干查詢終端。這個系統(tǒng)主要用于教師及學(xué)生對圖書及目錄的查找以及圖書管理。圖書館的服務(wù)器和交換機(jī)通過１０００Ｍ

69、交換口連入校園網(wǎng)，圖書管理員辦公計算機(jī)和各個查詢終端采用１００Ｍ交換端口；</p><p>　?。?）宿舍區(qū)及后勤子網(wǎng)：宿舍區(qū)子網(wǎng)即在學(xué)生宿舍內(nèi)部聯(lián)網(wǎng)，學(xué)生可以直接瀏覽學(xué)校發(fā)布的信息及查閱一些電子文檔，也可以在宿舍接收老師的遠(yuǎn)程教學(xué)，后勤子網(wǎng)主要為食堂提供售飯卡通計費(fèi)系統(tǒng)等，由于宿舍區(qū)覆蓋范圍較廣，故在宿舍區(qū)設(shè)一個網(wǎng)絡(luò)分中心，以減少至網(wǎng)絡(luò)中心的光纖數(shù)量。在宿舍區(qū)的網(wǎng)絡(luò)分中心內(nèi)配置一臺Ｃｉｓｃｏ３５０８中心交換機(jī)，

70、并通過光纖與網(wǎng)絡(luò)中心直接相連。</p><p>　　在設(shè)計的各子網(wǎng)的交換機(jī)時，通過整個網(wǎng)管系統(tǒng)將各個子網(wǎng)劃分在不同的虛擬子網(wǎng)中，這樣既滿足了各子網(wǎng)與１０００Ｍ主干網(wǎng)的連接，又減少了投資、方便了管理。各子網(wǎng)的工作組交換機(jī)均選擇Ｃｉｓｃｏ的Ｃａｔａｌｙｓｔ３５００ＸＬ系列交換機(jī)中的３５４８ＸＬ和３５２４ＸＬ。</p><p>　　3.5 網(wǎng)間隔離方案設(shè)計</p><p&g

71、t;　　目前常用的網(wǎng)絡(luò)隔離技術(shù)有虛擬局域網(wǎng)（VLAN）、防火墻（Firewall）、物理隔離（GAP）等等。在具體環(huán)境中可根據(jù)需求選取相應(yīng)的隔離產(chǎn)品。</p><p>　　VLAN是一種控制粒度較粗的隔離技術(shù)，目前市場上很多交換機(jī)就支持VLAN劃分功能。VLAN配置簡單，價格便宜，適用于安全需求不高的網(wǎng)絡(luò)環(huán)境。</p><p>　　防火墻是目前廣泛使用的網(wǎng)絡(luò)隔離產(chǎn)品。最經(jīng)典的防火墻產(chǎn)品是包

72、過濾防火墻。這種防火墻對每個分組的報頭（包括IP頭和TCP頭）信息進(jìn)行合法性控制。</p><p>　　這種控制范圍小，因此性能高，但安全性差。后續(xù)產(chǎn)品的應(yīng)用代理防火墻則將對分組的控制范圍加大到應(yīng)用層：不但對每個分組報頭信息進(jìn)行過濾，同時要對每個包的應(yīng)用數(shù)據(jù)進(jìn)行檢查，最后還要將各個包的應(yīng)用數(shù)據(jù)整合到一起，看這些數(shù)據(jù)的上下文關(guān)系，以滿足應(yīng)用數(shù)據(jù)的安全需求。應(yīng)用代理還有一個好處是它將內(nèi)外網(wǎng)之間的直接TCP連接分割為兩

73、段連接的組合，因此使外部攻擊者無法直接訪問被攻擊資源，從而能屏蔽絕大多數(shù)基于存活連接的攻擊。</p><p>　　作為安全性最好的防火墻，應(yīng)用代理也存在性能和安全性上的問題。在性能上，由于工作在應(yīng)用層，而且掛接諸多安全處理功能，因此占用的系統(tǒng)資源巨大，影響了系統(tǒng)的吞吐能力；在安全性上，應(yīng)用代理為完成連接的斷開，啟動了一個虛擬的應(yīng)用服務(wù)器和一個虛擬的應(yīng)用客戶端，服務(wù)器和客戶端之間的應(yīng)用數(shù)據(jù)交換是通過單主機(jī)模式上的內(nèi)

74、存拷貝完成的，一旦攻擊者攻破應(yīng)用代理，則可以直接繞過代理的層層安全控制，形成邊界防護(hù)的安全短路。</p><p><b>　　3.6 存儲方案</b></p><p>　　磁盤陣列（Disk Array）是由一個硬盤控制器來控制多個硬盤的相互連接，使多個硬盤的讀寫同步，減少錯誤，增加效率和可靠度的技術(shù)。 RAID是Redundant Array of In

75、expensive Disk的縮寫，意為廉價冗余磁盤陣列，是磁盤陣列在技術(shù)上實(shí)現(xiàn)的理論標(biāo)準(zhǔn)，其目的在于減少錯誤、提高存儲系統(tǒng)的性能與可靠度。</p><p>　　磁盤陣列有許多優(yōu)點(diǎn)：首先，提高了存儲容量；其次，多臺磁盤驅(qū)動器可并行工作，提高了數(shù)據(jù)傳輸率；...RAID技術(shù)確實(shí)提供了比通常的磁盤存儲更高的性能指標(biāo)、數(shù)據(jù)完整性和數(shù)據(jù)可用性，尤其是在當(dāng)今面臨的I/O總是滯后于CPU性能的瓶頸問題越來越突出的情況下，RA

76、ID解決方案能夠有效地彌補(bǔ)這個缺口。</p><p>　　存儲區(qū)域網(wǎng)絡(luò)(Storage Area Network，簡稱SAN)采用光纖通道(Fibre Channel)技術(shù)，通過光纖通道交換機(jī)連接存儲陣列和服務(wù)器主機(jī)，建立專用于數(shù)據(jù)存儲的區(qū)域網(wǎng)絡(luò)。 網(wǎng)絡(luò)接入存儲(Network-Attached Storage，簡稱NAS)采用網(wǎng)絡(luò)(TCP/IP、ATM、FDDI)技術(shù)，通過網(wǎng)絡(luò)交換機(jī)連接存儲系統(tǒng)和服務(wù)器

77、主機(jī)，建立專用于數(shù)據(jù)存儲的存儲私網(wǎng)。</p><p>　　使用存儲網(wǎng)絡(luò)的好處:統(tǒng)一性:形散神不散，在邏輯上是完全一體的。實(shí)現(xiàn)數(shù)據(jù)集中管理，因為它們才是企業(yè)真正的命脈。容易擴(kuò)充，即收縮性很強(qiáng)。</p><p>　　具有容錯功能，整個網(wǎng)絡(luò)無單點(diǎn)故障。</p><p>　　由于網(wǎng)絡(luò)接入存儲采用TCP/IP網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換，TCP/IP是IT業(yè)界的標(biāo)準(zhǔn)協(xié)議，不同廠商的

78、產(chǎn)品(服務(wù)器、交換機(jī)、NAS存儲)只要滿足協(xié)議標(biāo)準(zhǔn)就能夠?qū)崿F(xiàn)互連互通，無兼容性的要求;并且2002年萬兆以太網(wǎng)(10000Mbps)的出現(xiàn)和投入商用，存儲網(wǎng)絡(luò)帶寬將大大提高NAS存儲的性能。 NAS需求旺盛已經(jīng)成為事實(shí)。首先NAS幾乎繼承了磁盤列陣的所有優(yōu)點(diǎn)，可以將設(shè)備通過標(biāo)準(zhǔn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)連接，擺脫了服務(wù)器和異構(gòu)化構(gòu)架的桎梏;</p><p>　　其次，在企業(yè)數(shù)據(jù)量飛速膨脹中，SAN、大型磁帶庫、磁盤柜等產(chǎn)品雖

79、然都是很好的存儲解決方案，但他們那高貴的身份和復(fù)雜的操作是資金和技術(shù)實(shí)力有限的中小企業(yè)無論如何也不能接受的。NAS正是滿足這種需求的產(chǎn)品，在解決足夠的存儲和擴(kuò)展空間的同時，還提供極高的性價比。因此，無論是從適用性還是TCO的角度來說，NAS自然成為多數(shù)企業(yè)，尤其是大中小企業(yè)的最佳選擇。</p><p><b>　　3.7 設(shè)備選型</b></p><p>　　交換機(jī)

80、：可以認(rèn)為是一種高性能的 HUB，在選用硬件方面，由于交換機(jī)十分強(qiáng)調(diào)端口交換能力，內(nèi)置交換模塊，性能比集線器高出許多，采用交換機(jī)可以提高整個網(wǎng)絡(luò)的性能；所以這里可以使用10/100Mb/s以太網(wǎng)和快速以太網(wǎng)自適應(yīng)雙速交換機(jī)。它能自由地工作在10/100 Mb/s速率下，不需要配置特殊的管理軟件。另一方面現(xiàn)在低端桌面交換機(jī)價格比較便宜，與集線器相比價格已經(jīng)貴不了多少，所以可以采用桌面交換機(jī)。因為在設(shè)計網(wǎng)絡(luò)的時候采用了桌面交換機(jī)，所以網(wǎng)絡(luò)傳

81、輸速度比較快，能適應(yīng)高速網(wǎng)絡(luò)的發(fā)展，并且升級容易。交換機(jī)通常還帶有路由功能。 </p><p>　　硬件：應(yīng)配置有安全、穩(wěn)定、可靠的專用服務(wù)器。容量、I/O吞吐量應(yīng)根據(jù)需要確定。這里我們選擇思科的交換機(jī)和路由器。</p><p>　　軟件：全系統(tǒng)至少要配置下列功能的軟件：</p><p><b>　?。?）數(shù)據(jù)庫服務(wù)器</b></p>

82、;<p><b>　?。?）Web服務(wù)器</b></p><p>　　（3）Vedio服務(wù)器</p><p>　?。?）E-mail服務(wù)器</p><p><b>　?。?）網(wǎng)管服務(wù)器</b></p><p>　　根據(jù)實(shí)際情況和需求，我們選擇WINDOWS 2000作為文件服務(wù)器操作系

83、統(tǒng)平臺，采用隨PC機(jī)自帶的WIN98操作系統(tǒng)作為客戶端軟件。</p><p>　　操作系統(tǒng)是軟件平臺的核心，網(wǎng)絡(luò)操作系統(tǒng)所具備的功能和性能決定了網(wǎng)絡(luò)系統(tǒng)的整體水平，同時也決定了應(yīng)用及技術(shù)的發(fā)展方向。 Microsoft公司的WINDOWS 2000操作平臺是在PC和LAN（局域網(wǎng)）的基礎(chǔ)上發(fā)展起來的32位操作系統(tǒng)，由于功能強(qiáng)大且易于使用，市場占有份額不斷上升，這一產(chǎn)品與傳統(tǒng)的Office辦公系統(tǒng)如Word、Exc

84、el和PowerPoint一起，為信息發(fā)布，綜合信息查詢，信息交流提供了一個完整的解決方案。</p><p>　　WINDOWS 2000與UNIX和Novell相比， WINDOWS 2000有如下優(yōu)勢：</p><p>　　易于安裝、管理和維護(hù)：</p><p>　　考慮技術(shù)力量，網(wǎng)絡(luò)操作系統(tǒng)的易用性尤為重要。WINDOWS 2000提供了與Windows 98

85、外觀一致的用戶界面，內(nèi)置的管理向?qū)构芾韱T能夠簡單、迅速的完成日常管理工作，任務(wù)管理器和網(wǎng)絡(luò)監(jiān)視器能夠幫助管理員改善網(wǎng)絡(luò)性能，排除網(wǎng)絡(luò)故障。</p><p>　　靈活的網(wǎng)絡(luò)服務(wù)體系結(jié)構(gòu)：</p><p>　　WINDOWS 200支持當(dāng)前所有的網(wǎng)絡(luò)協(xié)議，包括TCP/IP、SPX/IPX、NetBUEI、AppleTalk、DLC、PPP、PPTP?？梢院蚇etWare、UNIX等系統(tǒng)協(xié)同工

86、作。對于客戶端的兼容性來說，Windows2000是目前最靈活的操作系統(tǒng)，可以連接DOS、Windows3.x 、Windows NT Workstation、Windows 95/98、OS/2、Macintosh等協(xié)同工作。</p><p>　　最完善的Internet/Intranet應(yīng)用平臺：</p><p>　　Windows 2000是唯一一個帶有內(nèi)置Internet服務(wù)器（I

87、IS）的網(wǎng)絡(luò)操作系統(tǒng)。Web、FTP和Gopher服務(wù)與操作系統(tǒng)一起安裝。IIS是Windows 2000系統(tǒng)下最快的Web服務(wù)器。通過Windows FrontPage(一個內(nèi)置的HTML頁面創(chuàng)作工具和</p><p>　　Web節(jié)點(diǎn)管理工具，即使沒有經(jīng)驗的用戶也能開發(fā)和管理專業(yè)水平的Web節(jié)點(diǎn)。通過數(shù)據(jù)庫聯(lián)結(jié)器（IDC）與數(shù)據(jù)庫系統(tǒng)集成，使用戶可以通過瀏覽器來訪問數(shù)據(jù)庫系統(tǒng)。</p><p

88、>　　當(dāng)前，Microsoft公司的Windows操作系統(tǒng)為世界PC機(jī)主流的產(chǎn)品，其優(yōu)越的可視化界面和強(qiáng)大的功能，使它成為絕大部分人的選擇。絕大部分人都熱衷于WIN98操作系統(tǒng)，WIN98提供了更好多線性支持、網(wǎng)絡(luò)支持、多媒體支持、更高的可靠性以及更易的客戶界面。的在我國，廣大計算機(jī)用戶最為熟悉的就是Microsoft公司的Windows操作系統(tǒng)了，其具體的特性和功能在這里就不再詳細(xì)闡述了?？傊?，現(xiàn)在會電腦操作的人都會WIN98操

89、作。為了滿足絕大部分人的需要，也方便多數(shù)人上機(jī)，我們選擇WIN98作為本局域網(wǎng)客戶端操作系統(tǒng)。</p><p><b>　　3.8 軟件</b></p><p>　　本校園網(wǎng)的網(wǎng)絡(luò)操作系統(tǒng)以Microsoft Windows 2000為主，它是發(fā)展速度最快的集成了Web應(yīng)用的網(wǎng)絡(luò)操作系統(tǒng)。具有界面友好、系統(tǒng)強(qiáng)壯、穩(wěn)定可靠、與桌面主流操作系統(tǒng)相容性好等優(yōu)點(diǎn)。并擁有大量

90、的服務(wù)器端軟件，是Intranet網(wǎng)絡(luò)中最佳的網(wǎng)絡(luò)操作系統(tǒng)平臺。</p><p>　　3.9 信息服務(wù)方案</p><p>　　SMTP稱為簡單Mail傳輸協(xié)議（Simple Mail Transfer Protocal）,目標(biāo)是向用戶提供高效、可靠的郵件傳輸。SMTP的一個重要特點(diǎn)是它能夠在傳送中接力傳送郵件，即郵 件可以通過不同網(wǎng)絡(luò)上的主機(jī)接力式傳送。工作在兩種情況下：一是電子郵件從

91、客戶機(jī)傳輸?shù)椒?wù)器；二是從某一個服務(wù)器傳輸?shù)搅硪粋€服務(wù)器。 .SMTP是個請求/響應(yīng)協(xié)議，它監(jiān)聽25號端口，用于接收用戶的Mail請求，并與遠(yuǎn)端Mail服務(wù)器建立SMTP連接。SMTP通常有兩種工作模式：發(fā)送SMTP和接收SMTP。具體工作方式為：發(fā)送SMTP在接到用戶的郵件請求后，判斷此郵件是否為本地郵件，若是直接投送到用戶的郵箱，否則向dns查詢遠(yuǎn)端郵件服務(wù)器的MX紀(jì)錄，并建立與遠(yuǎn)端接收SMTP之間的一個雙向傳送通道，此后SMTP命

92、令由發(fā)送SMTP發(fā)出，由接收SMTP接收，而應(yīng)答則反方面?zhèn)魉?。一旦傳送通道?lt;/p><p>　　件則返回OK應(yīng)答。SMTP發(fā)送者再發(fā)出RCPT命令確認(rèn)郵件是否接收到。如果SMTP接收者接收，則返回OK應(yīng)答；如果不能接收到，則發(fā)出拒絕接收應(yīng)答（但不中止整個郵件操作），雙方將如此重復(fù)多次。當(dāng)接收者收到全部郵件后會接收到特別的序列，如果接收者成功處理了郵件，則返回OK應(yīng)答。</p><p>　

93、　DHCP是Dynamic Host Configuration Protocol的縮寫，它是TCP／IP協(xié)議簇中的一種，主要是用來給網(wǎng)絡(luò)客戶機(jī)分配動態(tài)的IP地址。這些被分配的IP地址都是DHCP服務(wù)器預(yù)先保留的一個由多個地址組成的地址集，并且它們一般是一段連續(xù)的地址。</p><p>　　FTP 即“文件傳輸協(xié)議”。協(xié)議是使計算機(jī)與計算機(jī)之間能夠相互通訊的語言。FTP 使文件和文件夾能夠在 Internet 上

94、公開傳輸。在某些情況下，您需要從網(wǎng)絡(luò)計算機(jī)管理員處獲得許可才能登錄并訪問計算機(jī)上的文件。但是通常您會發(fā)現(xiàn)可以使用 FTP 訪問某個網(wǎng)絡(luò)或服務(wù)器，而不需要擁有該計算機(jī)的帳戶，也不必是授權(quán)的密碼持有人。</p><p>　　3.10 綜合布線方案</p><p>　　要想實(shí)現(xiàn)校園網(wǎng)絡(luò)，則需要一個網(wǎng)絡(luò)控制中心，而這個網(wǎng)絡(luò)控制中心需要在學(xué)校的中心，因此把網(wǎng)絡(luò)中心設(shè)在實(shí)驗樓的一層，以實(shí)驗樓為中心，

95、選擇星形拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)主干最好選用光纖，以便采用鏈路聚合技術(shù)及備份線路。光纖布線采用星型結(jié)構(gòu)，即由實(shí)驗樓的網(wǎng)絡(luò)中心向其它建筑輻射。建筑內(nèi)部布線采用5類雙絞線進(jìn)行垂直和水平布線，如建筑物規(guī)模較大，也可部分采用室內(nèi)多模光纖。雙絞線的接法采用EIA/TIA568B標(biāo)準(zhǔn)。設(shè)計時要依據(jù)EIA/TIA568工業(yè)標(biāo)準(zhǔn)及國商務(wù)布線標(biāo)準(zhǔn)。</p><p><b>　　第4章 網(wǎng)絡(luò)管理</b></p>

96、;<p>　　校園網(wǎng)管理的主要目的是保障網(wǎng)絡(luò)運(yùn)行的品質(zhì)，如維持網(wǎng)絡(luò)傳送速率、降低傳送錯誤率、確保網(wǎng)絡(luò)安全等。所以校園網(wǎng)系統(tǒng)管理的技術(shù)人員可借網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗實(shí)施網(wǎng)絡(luò)管理，內(nèi)容可分為下列幾項：</p><p>　　系統(tǒng)管理隨時掌握網(wǎng)絡(luò)內(nèi)任何設(shè)備的增減與變動，管理所有網(wǎng)絡(luò)設(shè)備的設(shè)置參數(shù)。當(dāng)故障發(fā)生時，管理人員得以重設(shè)或改變網(wǎng)絡(luò)設(shè)備的參數(shù)，維持網(wǎng)絡(luò)的正常運(yùn)作。</p><p

97、>　　故障管理為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時，必須及時察覺問題的所在。它包含所有節(jié)點(diǎn)動作狀態(tài)、故障記錄的追蹤與檢查及平常對各種通訊協(xié)議的測試。</p><p>　　效率管理在于評估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。</p><p>　　安全管理為防范不被授權(quán)的用戶擅自使用網(wǎng)絡(luò)資源，以及用戶蓄意破壞網(wǎng)絡(luò)系統(tǒng)的安

98、全，要隨時做好安全措施，如合法的設(shè)備存取控制與加密等。</p><p>　　計費(fèi)管理了解網(wǎng)絡(luò)使用時間，能針對各個局部網(wǎng)絡(luò)做使用統(tǒng)計。一則可作為使用網(wǎng)絡(luò)計費(fèi)的依據(jù)，更可作為日后網(wǎng)絡(luò)升級或更新規(guī)劃的參考。</p><p>　　第5章 系統(tǒng)主要設(shè)備報價</p><p>　　本主要設(shè)備報價表通過網(wǎng)上查詢，在考慮到綜合因素之后，如性價比，得出下表5.1所示：</p>

99、;<p>　　表5.1 系統(tǒng)主要設(shè)備報價表</p><p><b>　　參考資料</b></p><p>　　[1] 于 貴. 利用VPN技術(shù)實(shí)現(xiàn)局域網(wǎng)互聯(lián)[J]. 四川文理學(xué)院學(xué)報,2007,17(2): 50-53.</p><p>　　[2] 薛濤, 石美紅, 王會燃等. 應(yīng)用P2P網(wǎng)絡(luò)實(shí)現(xiàn)基于內(nèi)容的發(fā)布訂閱系統(tǒng)[J].

100、微電子學(xué)與計算機(jī), 2007, 24(9): 89-91.</p><p>　　[3] 吳功宜. 計算機(jī)網(wǎng)絡(luò)[M]. 北京: 清華大學(xué)出版社，2007: 89-123.</p><p>　　[4] 世紀(jì)計算機(jī)網(wǎng)絡(luò)工程叢書編寫委員會. 網(wǎng)絡(luò)典型案例精解 [M] 北京:北京希望電子出版社,2000年.</p><p>　　[5] (美)Matthew H.Birkner

101、 Cisco互連網(wǎng)絡(luò)設(shè)計 [M]北京:人民郵電出版社 2000.</p><p>　　[6]（美）Michael Salvagno 任崢 丁青 等譯 Cisco網(wǎng)絡(luò)設(shè)計手冊[M] 北京:電子工業(yè)出版社 2000.</p><p><b>　　課程設(shè)計總結(jié)與致謝</b></p><p>　　在這次校園網(wǎng)絡(luò)組建中，通過閱讀大量有關(guān)網(wǎng)絡(luò)規(guī)劃方面的資料

102、。了解了本方案的需求分析后，采用星星拓?fù)浣Y(jié)構(gòu)，考慮到經(jīng)濟(jì)性和網(wǎng)速，并采用快速以太網(wǎng)，然而在網(wǎng)絡(luò)發(fā)達(dá)的今天，網(wǎng)絡(luò)攻擊已成為重中之重，面對新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全對網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù)，鑒于此問題，運(yùn)用了網(wǎng)間隔離技術(shù)和防火墻技術(shù)。通過此次課設(shè)，我對光纖、雙絞線有了更深的認(rèn)識，更加明確了服務(wù)器、用戶終端、網(wǎng)卡、交換機(jī)的作用。對計算機(jī)的操作系統(tǒng)也有了更深刻的理解。有了一定的故障檢查和解決的能力。了解了更多的網(wǎng)