畢業(yè)設計----xxx校園網規(guī)劃與設計說明書

1、<p><b>　　校園網規(guī)劃與設計 </b></p><p>　　中原工學院南校區(qū)校園規(guī)劃</p><p><b>　　目錄</b></p><p>　　說明………………………………………………………………3 </p><p>　　一、前言…………………………………………………………4&

2、lt;/p><p>　　二、項目管理……………………………………………………4</p><p><b>　　(1) 項目概括</b></p><p>　　(2) 項目建設目標</p><p><b>　　1. 商業(yè)目標</b></p><p><b>　　2. 技術目標

3、</b></p><p><b>　　3. 項目指導原則</b></p><p><b>　　三、需求分析</b></p><p><b>　　四.網絡設計原則</b></p><p>　　(1) 方案設計原則</p><p>　　(2) 方

4、案設計思想</p><p><b>　　五、解決方案</b></p><p>　　說明：　　1.方案采用銳捷網絡提供的網絡設備進行設計，充分遵循：　　先進性：采用先進成熟的概念、技術和方法，能支撐各種現在與未來一段時期的主流網絡應用，又具有發(fā)展?jié)摿?，包括基礎方案、擴展方案和管理方案。 　　可行性：所設計的方案能夠充分考慮網絡教育的特點和應用對象的技術、資源、管理

5、等方面的約束，并能很好地結合銳捷網絡產品特點進行方案的設計。 　　靈活性：按照模塊化、層次化的原則設計網絡，網絡具有較好的伸縮性、可以根據網絡建設的不同階段靈活配置和擴展，具有能不斷吸收新技術、新方法的功能。 　　實用性：網絡易維護、易管理，可實施性好。 　　可靠性：能利用產品自身特色，保證網絡系統(tǒng)運行穩(wěn)定可靠、高效。充分顯示先進性等；</p><p>　　2.學校簡介：中原工學院始建于1955年，位于河南

6、省鄭州市，是一所以工為主，工、管、文、理、經、法多學科發(fā)展的大學，是教育部批準的具有高等學歷教育招生資格的公辦、全日制普通高等院校。學校面向全國招生，研究生學制兩～三年，符合條件者授予碩士學位；本科學制四年～五年，符合條件者授予學士學位。</p><p>　　學?，F有教職工1370人，其中專任教師870人，具有高級職稱的教師近400人，具有博士學位的教師150多人；各類在校生15000余人，校園占地1360畝，分

7、南區(qū)、西區(qū)和北區(qū)三個校區(qū)，校園環(huán)境幽雅，交通便利。</p><p>　　學校擁有完善的教學、生活設施，學習氛圍濃厚。多媒體教室、信息中心、計算中心、專業(yè)實驗室一應俱全，發(fā)達的計算機校園網將辦公樓、教學樓、實驗室、學生宿舍連為一體，可以便捷地開展網上教學、網上學習和網上科研活動。圖書館藏書145.2萬冊，建有電子閱覽室、超星數字圖書館、中國學術期刊鏡像站點等，形成了功能齊全、結構合理、設施完善的現代化圖書情報系統(tǒng)，

8、為師生汲取知識創(chuàng)造了便利條件。</p><p>　　學校下設18個教學部門，現有2個省級重點學科，開設有49個本科專業(yè)，有19個碩士點。學校出版有《中原工學院學報》、《成組技術與生產現代化》、《紡織服裝科技》及《空分技術》4種學術期刊，在專業(yè)領域享有一定聲譽。</p><p>　　我所在校區(qū)在南區(qū)，下面就南區(qū)的情況來簡單談談南區(qū)網絡布置的規(guī)劃。（新蓋圖書館一座，里面設置了無線網絡，方便了圖

9、書管理工作，也方便了有筆記本的同學可以隨時上網。）</p><p><b>　　一、前言</b></p><p>　　自從 1993 年美國政府公布實施“信息高速公路計劃”之后，在世界引起巨大反響，許多發(fā)達國家和一些發(fā)展中國家也相繼提出了本國或本地區(qū)的信息基礎設施計劃?？梢哉f，信息化程度已成為衡量一個國家現代化水平和綜合國力強弱的重要標志。在當今信息產業(yè)蓬勃發(fā)展的今天

10、，信息已經成為一種關鍵性的戰(zhàn)略資源，計算機技術在人們的生活中已經起到了越來越重要的作用。 我國的信息起步晚，本可以高起點，高標準的建設我國的信息高速公路，但由于我國經濟能力和幅員遼闊，建設成本壓力很大，因此發(fā)展較為緩慢。學校，尤其是各大高校，作為知識基地和人才基地，它理應成為代表信息產業(yè)技術發(fā)展的最前沿，然而現狀是工業(yè)水平高于學術水平。即使這樣，1994年中國教育科研網 (CERNET)正式啟動以來，已與國內幾百所學校相連，2

11、000年該網“二期工程”完成時，除達到連接1000所大學的目標外，對有條件的中小學也將提供上網接入服務。但實際情況是我國大多數校園網卻因應用水平的低下而造成資源的極大浪費。如何利用當前先進的計算機技術與校園網資源，實現學校各項業(yè)務系統(tǒng)的集成，提高應用水平成為學校校園網建設的工作重點。校園網在國內發(fā)展還不成熟</p><p><b>　　二、項目概述</b></p><p&

12、gt;<b>　　(1) 項目概括</b></p><p>　　為了推進教育學信息化和現代化，學校計劃在校內建立校園內部網并通過千兆位鏈路連接與國際互聯(lián)網相連。根據學校的要求，我們按照“統(tǒng)一規(guī)劃、講究實效、安全可靠”的原則，進行我學院校園網綜合系統(tǒng)設計，以滿足校園內計算機網絡系統(tǒng)的需要。對于我校來說，由于將有越來越多的資料信息和管理平臺放到校園網上，越來越多的用戶使用校園網，校園網的可擴展性

13、和可靠性成為選擇合作伙伴的重要標準。</p><p>　　(2) 項目建設目標</p><p>　　通過建設一個高速、安全、可靠、可擴充的網絡系統(tǒng)，實現校內信息的高度共享、傳遞，教學及管理信息化，并通過與廣域網的互聯(lián)，實現校際間的信息共享及與INTERNET的連接，實現遠程教育，為學校的教學、管理、日常辦公、內外交流等各方面提供全面、切實的支持。</p><p>　

14、　1、商業(yè)目標學院想吸引和保留更多的學生，同時減少損耗，管理層和理事會確定了如下商業(yè)目標： a.在未來的三年中，將損耗從30%降低到50%； b.提高教員的效率，允許教員和其他學院的同仁一起參與更多的項目研究 c. 提高學生的效率，消除交作業(yè)難的問題 d. 允許學生使用他們的無線筆記本電腦訪問園區(qū)網絡和因特網 e. 允許訪問者使用他們的無線筆記本電腦從園區(qū)網絡訪問互連網絡 f. 保護網絡防止入侵

15、 g. 使用政府提供的園區(qū)網絡升級資金，資金必須在本財年之前使用</p><p>　　2、技術目標a. 重新設計IP地址規(guī)劃b. 增加因特網接入帶寬，以支持新的應用和現有應用的擴展c. 為學生提供一個安全、私密的無線網絡用于訪問園區(qū)網絡和因特網e. 提供一個響應時間大約為1/10秒的網絡f. 網絡的可靠性大約為99.90%，MTBF為3000個小時，MTTR為3個小時g. 提高安全性，保護因特網連接

16、和內部網絡，防止入侵h. 使用網絡管理工具，提高IT部門的效率和效果I. 網絡具有良好的可擴展性，可以在將來支持多媒體應用</p><p>　　(3) 項目指導原則</p><p>　　校園網建設，要為教育教學服務，為促進學校教育現代化服務。本著少花錢辦大事的原則，充分利用有限的投資，在保證網絡先進性的前提下，選用性能價格比最好的設備的原則，有計劃、有重點，分層次，積極穩(wěn)妥地推進校園網

17、建設。要嚴格規(guī)范校園網建設及相應的軟件開發(fā)標準，確保信息化校園的整體建設規(guī)劃和管理要求的落實。</p><p><b>　　三、需求分析</b></p><p>　　信息化建設目標的建設不但應考慮現有的硬件、軟件，同時還應考慮學校教師的信息化教育能力；不但網絡要建起來，軟件也要貼近應用，同時還應加強教師培訓，才能逐步實現教育由應試教育轉向素質教育轉化。</p&g

18、t;<p><b>　　(1)用戶需求</b></p><p>　　學校決定對計算機網絡進行全面建設，以實現校園內部資源共享。通過建立學校主頁、電子郵箱、精品課程、FTP資源、辦公系統(tǒng)以及視頻點播等服務器，發(fā)布有關新聞、教學信息、建立學校、教師、家長和學生之間的交流平臺。網絡改造后，學院主干10G，樓宇主干1000M，100M到桌面，每間辦公室、每間教室、每間宿舍擁有一個可以隨

19、時接入Internet的網絡系統(tǒng)，并且這些網絡連成統(tǒng)一的校園網。通過校園網，全校教師可以將教學資料和學習課件進行廣泛交流。另外，網絡中心應配備UPS，即使出現市電中斷也可以保證網絡服務不受到干擾。 </p><p>　　學校擬申請兩個接入Internet的出口，一個接入中國網通，另外一個接入中國教育科研網。</p><p><b>　　(2)應用需求</b></

20、p><p>　　整個網絡采用主干10G、百兆到桌面的連接方式，可以很好地發(fā)揮各方面的應用，網絡帶寬也不會成為瓶頸。樓層之間的數據流量采用千兆主干，樓內用戶之間的通信采用百兆帶寬。</p><p>　　一個學校內用戶眾多，對信息的安全有一定的要求，各樓層的分布情況如下：</p><p>　　其中主要應用有：(1) 電子郵件功能及OA： 校園網信息平臺應有功能強大

21、的郵件系統(tǒng)和OA系統(tǒng)，可以為每個使用者建立自己的信箱，和OA賬號，安全保密又極大地方便了通信。許多事務處理均可以通過郵件和OA提醒，高效便利。 (2)討論和交流功能： 校園網信息平臺具有討論的功能，可以允許所有人就一個問題發(fā)表自己的意見，而這種討論的好處在于它可以保留討論的過程，并且不受時間和空間的限制，如教學研討、經驗交流等均是以討論的形式出現。(3) 學校網站： 學校有許多信息需要向老師、學生或社會公布，如學校的

22、規(guī)章制度、招生信息、教學信息等，它們共同的特點是只許看不能改，校園網信息平臺的安全體系應保證這一點。(4) 科研環(huán)境應用系統(tǒng)： 科研環(huán)境應用系統(tǒng)多集中在各實驗室和多功能競賽及多功能報告廳，主要是實驗的環(huán)境和課外學習的環(huán)境，這類網絡應用可能需要較高的帶寬以滿足多媒體實驗環(huán)境。 (5) 電子教學： 電子教學是搭建校園網的首要目標，這部分應用復雜多樣，且有很大一部分多媒體數據的傳遞，因此對網絡性能和傳輸質量有較高的要求，

23、可以用高速以太網連接來實現。電子教學的</p><p>　　電子圖書館 傳統(tǒng)圖書館的資料管理通常是一項很繁瑣的工作，圖書管理員不僅要隨時整理和更新庫中資料，而且每本資料只能由一人借閱。有了電子圖書館以后，所有資料可以以電子文檔形式存入大容量服務器中，通過網絡向圖書館內、甚至教室、辦公室或宿舍內的客戶機開放，這樣師生們可以不受時間、空間限制隨時查閱所需資料，同時實現了同一資源的多人共享；資料包含的內容不僅

24、為文字，還可以是圖像、聲音等多媒體信息，甚至還能是一段電影，可謂豐富多彩；當然這樣的開放也不是無條件的，每人都有的"電子借書證"（網絡帳號），憑此在許可范圍內借閱；同時，圖書管理工作也由機器來完成，除了提供方便快捷的檢索工具外，還可以跟蹤每人的借閱記錄，了解各類信息的受關注程度。</p><p><b>　　多媒體教育資源庫</b></p><p>

25、;　　教育部的多次會議強調學校要建立內容豐富的教育資源庫，包括電子圖書、教育論文、教案、課件、圖片、視頻、音效、電影等學校日常教學、教師進修、學生自學的教育資源，教師可以備課、制作課件，學生可以自主學習、探索式學習。 內部信息共享 內部信息共享是指比多媒體教室和電子圖書館更為靈活的教學應用：它既不局限于單一的教室，但也不一定面向全校，而是可以在或大或小的范圍內進行。例如教師可以把作業(yè)、試題庫或一些輔導材料留在特定的計算機中由本

26、班學生下載，教師之間也可以通過網絡相互交流經驗，共同設計最佳的教學方案……內部信息共享的程度取決于校園網的覆蓋范圍和應用軟件的功能。 (6) 職能管理： 除電子教學外，學校的各項管理工作的現代化也勢必要通過網絡來實現。相對教學而言，這部分數據較為簡單，以文字、圖形為主，因此對網絡性能要求不高，卻將系統(tǒng)的安全、可靠、經濟等特性列為考察重點。學校的管理工作包括：校長決策、總務管理、教務管理、財務管理、檔案管理、圖書管理、體衛(wèi)管理

27、、校產管理、辦公管理等，各學?？筛鶕C構設置和實際需要作相應取舍。各項管理的結果不僅是將各部分數據作電子存檔，更應在全校范圍內</p><p>　　安全接入和靈活計費　　對于高校園區(qū)網絡，安全性問題不僅來自外部網絡，內部網絡中的地址盜用、網絡攻擊等也是網絡系統(tǒng)中的一個隱患，如何有效的設計安全接入和靈活計費方案是一個很重要的問題。采用銳捷網絡RADIUS系統(tǒng)和基于802.1X的網絡邊緣認證計費，可以根據端口，MA

28、C 地址、VLAN、ID作為認證的顆粒，實現一次同時認證用戶名、IP、MAC。系統(tǒng)采用三次握手計費，在三次握手不成功后，就會中止計費信息。同時，由于用戶名/密碼跟特定用戶的IP、MAC捆綁，用戶無需擔心用戶名/密碼泄露引起不必要的麻煩。網絡管理與防病毒系統(tǒng)　　網絡管理采用StarView1.0系統(tǒng)。StarView系統(tǒng)能提供整個網絡的拓撲結構，能對以太網絡中的任何通用IP設備、SNMP管理型設備進行管理，結合管理設備所支持的SNMP

29、管理、Telnet管理、Web管理、RMON管理等構成一個功能齊全的網絡管理解決方案，實現從網絡級到設備級的全方位的網絡管理?！　【W絡防病毒系統(tǒng)采用瑞星網絡版的防殺毒系統(tǒng)。</p><p><b>　　安全隱患匯總：</b></p><p><b>　　四.網絡設計原則</b></p><p>　　（一）方案設計原則　

30、　1. 系統(tǒng)的建設必須符合教育部和河南省教育廳有關教育科研網建設和“校校通”工程的要求，全區(qū)教育信息網應成為一個整體，統(tǒng)一出口，實現教育資源最大限度的共享，以信息化促進教育現代化?！?2. 系統(tǒng)應采用目前的主流技術（如教育信息數據中心、教育信息應用服務中心等）來構造，具有一定的先進性。系統(tǒng)技術上具有開放性和可擴充性，易于升級。1萬多學生和教師的上網需求。　　3. 系統(tǒng)必須是經濟實用的，以較少的投入，實現最大的效益。系統(tǒng)的運行不能給教

31、育行政管理部門、學校以及學生家庭增加太大的負擔。　　4. 系統(tǒng)在應用上應該是廣泛的，面向教育管理、學校教學、家庭、社區(qū)教育等各個層次的應用?！　?. 系統(tǒng)應該具備較強的安全措施，保證網絡的安全、數據的安全和系統(tǒng)的穩(wěn)定可靠運行。 （二） 方案設計思想　　集中管理：鑒于區(qū)教育網信息中心的功能和地位，對于網絡系統(tǒng)，大量的共享信息和數據，一些集中的應用系統(tǒng)等都應進行集中管理；　　專網專用：與河南寬帶主干網絡公司合作，專門為中原區(qū)教育局

32、打造一個區(qū)教育專網，為區(qū)內高等學校提供教學信息資源和信息傳送的專用網絡，根據學校地理位置和學校分布</p><p><b>　　五、解決方案</b></p><p><b>　　邏輯結構</b></p><p>　　每個子網地位相同，各自獨立</p><p>　　每個子網有各自網絡號、網關地址、子網

33、掩碼、可用地址范圍、廣播 地址</p><p>　　可用地址數=256 － 子網掩碼最后一位 － 3</p><p>　　子網內每一臺計算機有各自不同的ip地址</p><p>　　學校開放機房（計算機機房及辦公室布線設置）</p><p>　　**建筑物內各樓層交換機采用Catalyst 2924 XL（24口10/100M），與本樓主交

34、換機Catalyst 3524 XL通過100Base-TX連接，再以10M或100M連接到用戶桌面，必要時還可再下聯(lián)低端交換機擴展用戶數。以綜合樓為例，樓內共 56個主節(jié)點，采用Catalyst 3524 XL和2924 XL、2912 XL（12口10/100M交換機）級聯(lián)能夠滿足端口數量需求；樓內各辦公區(qū)則采用Catalyst 1924（2口100M，24口10M），提供到桌面的10M交換帶寬；考慮到各交換機都有多個100M端口，

35、級聯(lián)時可采用Fast Etherchannel（快速以太網通道）技術，將兩交換機的2-4對100M或10/100M端口并行連接起來，使級聯(lián)帶寬成倍增加，同時提供線路冗余，其中任一條鏈路的斷線不會妨礙其它鏈路繼續(xù)傳輸數據，從而保障運行的可靠性。 </p><p>　　在整體拓撲圖中還可看到，為實現Internet接入和為在家辦公、學習的遠程用戶提供撥號上網服務，校園網中還設立了位于網控中心內的 Internet服務

36、中心，采用Cisco 2610路由器（具1個10M以太網接口，2個WAN接口卡和1個支持多種模塊的網絡插槽）作遠程連接，其10M以太網端口與網控中心的局域網相連，另可選配一塊具備1個2M廣域網串口的接口卡通過DDN專線連接到Internet；再選配一塊NM-16AM網絡模塊，為遠程用戶提供16口撥號連接。 </p><p>　　校園網絡安全模型設計</p><p><b>　　綜

37、合布線：</b></p><p>　　信息點分布到校區(qū)所有辦公樓、實驗樓、圖書館以及多媒體教室等，本部學生樓和家屬樓要連入校園網。</p><p>　　綜合布線系統(tǒng)是當今現代化建筑普遍應具備的基礎性設施，它為計算機聯(lián)網和話音通信提供必要的規(guī)范化的物質基礎。結構化的綜合布線為用戶提供了最合理的布線方式。</p><p>　　布線系統(tǒng)設計應按照“總體規(guī)劃、分

38、布實施，水平布線盡量一步到位”的原則進行。綜合布線系統(tǒng)的主干線大多數都是設置在建筑物的弱電井中，更換和擴充比較省事，而水平布線是在建筑物的天花板內或PVC管槽內，如果要增加信息點數或更換水平布線，將重新?lián)p壞建筑結構，影響整體美觀。國內多家布線公司的實際工程經驗表明，重新增加信息點的造價，比設計時就已經納入的造價要高出3倍。因此布線系統(tǒng)設計必須深刻了解用戶現在和將來一段時間內在數量和質量上的可能要求。</p><p&g

39、t;　　園區(qū)大樓之間的光纖盡可能一次性鋪設，避免溝道的重新挖填，光纖在長度和芯數上都應留有一定的余量和備份，以防大樓拆遷、線路故障和帶寬擴容。同時，布線系統(tǒng)必須滿足靈活應用和模塊化的要求，即任一信息點能夠連接不同類型的設備，如計算機、打印機、終端或電話、傳真機。布線系統(tǒng)中，除去敷設在建筑內的纜線外，其余所有的接插件都應是積木式的標準件，以方便管理和使用。當然，在滿足應用要求的基礎上，應盡可能降低造價。</p><p&

40、gt;　　對于會議室、報告廳以及布線不太方便只是臨時需要信息點的地方可以搭建無線局域網。</p><p>　　對于教學樓、家屬樓等信息點非常少的地方，配線間的選擇非常重要。</p><p><b>　　網絡系統(tǒng)設計</b></p><p>　　(1) 網絡主干技術的選擇</p><p>　　主干網絡用于連接各工作組網絡和

41、全局的共享資源，其傳輸速度，工作效率及可靠性必須達到一個很高的水平。 主干網絡的互連結構是主干網絡設計的一個核心問題，路由(Routing)和交換(Switching)技術在互連結構中扮演著重要角色。</p><p>　　a.交換技術交換技術工作于OSI參考模型的第二層?，F在流行的交換機產品可以看作是一種簡單、 低成本、高性能、高端口密度的橋接設備。交換機根據每個數據包中的目標MAC地址作簡單的轉發(fā)， 轉發(fā)決策方

42、案不需要判斷數據包深層的其他信息。交換機能以非常低的延遲轉發(fā)數據包，比網絡提供更接近于單一局域網網段的性能。交換技術可以用來調整共享和分離的局域網網段帶寬， 從而消除局域網之間的傳輸瓶頸。交換技術主要包括幀交換和信元交換兩類。</p><p>　　b. 路由技術工作在ＯＳＩ參考模型的第三層，與交換機相比，它的工作更多地依賴于路由軟件。 由于可以得到更多的協(xié)議信息，路由器可以作出更加智能的轉發(fā)決策。和交換機相同的地

43、方是， 路由器為用戶提供了不同局域網網段的無縫連接。和交換機不同的地方在于路由器決定了網段分組的邏輯邊界。 路由器提供了防火墻的服務，它僅僅轉發(fā)特定地址的數據包，從而可以防止廣播風暴、 未支持協(xié)議數據包的傳送和未知目標網絡數據包的傳送。</p><p>　　(2) 網絡拓撲設計</p><p><b>　　a. 設計思想</b></p><p>

44、;　　采用層次體系，整個網絡通過主干網連接起來，各個子網通過接口與主干網連接，實現各自的功能，在子網內部及與主干網進行數據通信。</p><p><b>　　b. 拓撲圖分析 </b></p><p>　　根據學校的具體位置特點，學校分南、北苑，面積比較大，用的線也比較長，應該合理規(guī)劃網絡。學校的邊界路由器上接有網通的線和教育網的線，學校有中心交換機在網絡中心上，上面

45、接有來自學校北區(qū)的光纖，網絡總部在北區(qū)，拓撲圖中沒有標識。</p><p>　　邊界路由器后面設有防火墻，防火墻上的功能有可以限制未授權的用戶進入內部網絡，過濾不安全的服務和非法用戶；防止入侵者接近網絡防御設施；限制內部用戶就訪問特殊站點。</p><p>　　為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于學校內部網絡

46、和外部網絡之間的小網絡區(qū)域內，在這個小網絡區(qū)域內可以放置一些必須公開的服務器設施，如校內Web服務器、FTP服務器和論壇等，這些服務器本身為堡壘主機。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內部網絡，因為這種網絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。</p><p>　　防火墻后面也增加了一個路由器，主要功能是負責路由和轉發(fā)。</p><p>　　在內部網絡中，

47、根據樓宇的多少來規(guī)劃，中心交換機放在網絡中心，各個樓中都設有交換機與樓內的計算機相連。</p><p>　　學校內設有無線接入點，手提電腦在校內任何地點可無線上網。</p><p><b>　　對外發(fā)布站點</b></p><p>　　對于一些外部站點的問題，通常放置在DMZ區(qū)內，DMZ區(qū)的安全等級高于外網低于內網，防火墻的默認規(guī)則是允許安全等

48、級高的訪問安全等級低的，禁止安全等級低的訪問安全等級高的。因此，防火墻不需要設置規(guī)則就可以實現內網訪問到DMZ區(qū)，但外網訪問到DMZ區(qū)。對于學校來講，WWW站點的主要目的就是對外發(fā)布信息，必須讓外網能夠訪問到，為了到達這個目的，可以在防火墻上添加一些規(guī)則，開放DMZ區(qū)所在服務器的IP以及相應的端口。</p><p>　　DMZ區(qū)通常放置的服務器有郵件服務器、WWW服務器以及解析本校域名的兩個DNS服務器等，當然也

49、可以放置一些其他有特殊用途、需要外網訪問的服務器。</p><p>　　對于某些信息化程度比較高的二級部門，如信息工程學院，為了教學和科研的需要，需要給全院教師一個獨立的域名，該域名可用于HTTP和FTP。為了管理方便，該學院網管員向學校網絡中心申請了獨立域名，即IE.xxu.edu.cn。</p><p>　　有了獨立域名，就可以按照自己的意愿隨意添加主機記錄，進而可以按照前面介紹的虛擬

50、主機技術和Serv-U每一位教師搭建獨立的Web站點和FTP站點。</p><p><b>　　開放機房</b></p><p>　　在大學校園里，存在大量的各種各樣的開放式機房，通常這些計算機連成一個局域網，除具備一般的互訪外，通常還要求這些計算機能夠訪問到Internet。</p><p>　　最簡單的方法是給這些計算機分配合法IP地址，通

51、過交換機連入到校園網內就可以了。但由于合法IP地址數量有限，根本無法滿足幾個甚至幾十個開放機房以及全校日益增多的計算機的需要，這種情況下，通常盡可能使用RFC1918定義的保留IP地址。</p><p>　　因此，要實現Internet訪問，實際上是一個局域網PC如何共享上網的問題。在每一個機房部署一個信息點，相當于Internet出口，該信息分配了合法IP以及必要的相關參數，利用前面“局域網PC共享上網”一章的

52、知識很容易對其進行改造，讓所有的計算機連入Internet。</p><p><b>　　無線接入</b></p><p>　?。ù瞬季€設置是為圖書館設置，作為剛蓋好的新圖書館，里面的設置還是很先進的，里面可以設置無線接入網絡。）</p><p>　　如圖： 無線接入示意圖</p><p>　　對于會議室或臨時需要搭建

53、網絡的地方，無線局域網不失為最經濟最快捷的解決方案。</p><p>　　常用的無線設備有兩種，一種是無線訪問點，即AP，另一種是無線路由器。</p><p>　　無線訪問點相當于Hub，只是將安裝有無線網卡的計算機互連起來，并連入到有線系統(tǒng)中，這些計算機可以按照實現規(guī)劃好的IP地址方案自己手工設置IP地址，也可以通過無線訪問點提供的DHCP服務動態(tài)IP地址，無論怎樣，必須要求有一個地址塊

54、可用。 </p><p><b>　?。o線接入示意圖）</b></p><p>　　通常情況下，無線互連實現計算機之間的互訪已經不是主要目的，取而代之的是實現Internet訪問。因此，實際上仍然是通過無線如何實現局域網PC共享上網的問題。</p><p>　　為解決上述問題，要求設備必須具有NAT地址轉換功能，當然路由也是必須的，默認路由就

55、可以了。</p><p><b>　　安全及管理</b></p><p>　　盡管網絡已經改變了我們的工作和生活方式，但網絡的深入應用仍然無法展開，原因之一就是用戶對網絡安全仍不放心，設計一個足夠安全的網絡是網絡設計人員追求的目標。</p><p>　　安全問題是一個系統(tǒng)工程，涉及到不同的層次。筆者將網絡的安全歸納為4個方面。</p>

56、;<p>　?。?）設備級安全，包括網絡中所有可管理的網絡設備、服務器以及網管工作站的安全。設備級安全是網絡的第一道屏障?，F在很多設備都提供了遠程Telnet或基于Web 的管理功能，無論黑客通過哪一種方式進入網絡設備，里面的配置文件，包括安全配置就一覽無余，黑客可能修改配置文件，使網絡癱瘓；也可能刪除安全配置，將網絡的大門打開。解決辦法是嚴格限制能夠遠程管理（包括Telnet方式和Web 方式）網絡設備的IP地址列表，必

57、要時關閉部分或全部遠程管理功能，對于核心網絡設備，如骨干交換機和路由器，建議不設遠程管理IP 地址。如果黑客進入了服務器，那么服務器中的數據資源甚至操作系統(tǒng)將面臨極大威脅，黑客可能進一步攻擊信息資源的安全關口從而獲取信息，也可能破壞操作系統(tǒng)使整個系統(tǒng)陷入癱瘓甚至導致數據資源無法恢復，解決辦法包括關閉服務器的遠程管理功能，尤其是類UNIX操作系統(tǒng)的Telnet功能，使用入侵檢測軟件掃描系統(tǒng)存在的漏洞，關閉所有未使用但可能有潛在危險的TCP

58、或UDP端口，增加管理員級密碼長度和復雜度，嚴格控制用戶組的用戶權限。網管工作站一般是用來管理和監(jiān)控整個網絡運行的專用PC ，權限較大，通常放在網絡</p><p>　　因此，務必做好網管工作站的安全工作，尤其注意把網管工作站作為跳板進行網絡攻擊的情況發(fā)生，這種方式是極其隱蔽的。數據庫服務器采用RAID 5或雙機熱備份、網絡存儲等方法保證數據的可靠性，一旦遭到破壞可立即恢復。</p><p&g

59、t;　　2）傳輸級安全，指敏感數據在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質，室內明線使用屏蔽雙絞線，中心機房加裝屏蔽網；對遠程傳輸的信息進行加密，加密強度和加密算法根據要求的安全級別確定，保證信息在傳輸過程中不可識別和破解。傳輸級安全的另一個重要方面是拒絕服務攻擊，防止黑客使用網絡上一臺并不存在或無法路由的IP 地址攻擊服務器，造成被攻擊的主機無法收到應答而導致連接超時，主機在

60、等待響應的過程消耗了主機和網絡的資源，如果有成千上萬個連接超時，最終將導致被攻擊的主機資源耗盡甚至操作系統(tǒng)崩潰，這種攻擊方式也占用了大量的網絡帶寬，使傳輸鏈路阻塞，解決的辦法是啟用TCP攔截。</p><p>　　（3）網絡層安全，是網絡安全設計中的重要一環(huán)，網絡層攻擊是黑客最常用的攻擊方式，如外部入侵，對于這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進行內外隔離，同時內網采用保留IP 地址，訪問外網時進行

61、NAT轉換（網絡地址轉換）。</p><p>　　目前國內外軟硬件防火墻產品很多，功能基本類似，相差無幾，關鍵體現在性能上，顯然，硬件實現要好一些，不僅性能要好，而且硬件防火墻有自己專有的操作系統(tǒng)，防止了黑客借助操作系統(tǒng)進行間接攻擊的可能性，當然，價格上相對軟件防火墻也要高一些。網絡層安全除了防止外部入侵外，也要注意防止內部的越權訪問和故意破壞，一般在VLAN之間進行訪問控制，比如允許財務部門訪問其他部門的資源但

62、不允許任何其他部門訪問財務部門的資源。</p><p>　?。?）應用級安全，包括防病毒和認證體系。近年來先后出現CIH、Red Code 等傳播廣泛，破壞力強的病毒，主要表現為刪除系統(tǒng)文件使系統(tǒng)癱瘓或打開多個進程使系統(tǒng)資源耗盡。</p><p>　　因此，必須做好防病毒工作，及時更新病毒庫，修補系統(tǒng)漏洞。對于病毒問題，為有效進行管理，可安裝網絡防病毒軟件，客戶端自動到部署在校園網內的防病

63、毒服務器更新病毒庫。各種認證體系是網絡安全的最后一道屏障，必須做好私有密鑰的保密工作，防止泄露。應用軟件采取訪問權限、數據加密、口令密碼等各種手段保證應用軟件本身的安全可靠性。</p><p>　　大學校園網是一個比較大型的網絡，為了保證校園網更加有效地、可靠地運行，建議配置一臺網絡管理工作站，以便更有效地對校園網進行管理。</p><p>　　根據網絡設備選型，可以選擇相應廠商提供的網管

64、軟件，如Cisco works 2000，也可以選擇HP OpenView等第3方網管軟件。</p><p>　　校園網運行需要大量的運行費用，為在一定程度上減輕負擔，對宿舍樓、家屬樓等用戶可以實施部分象征性的收費，可以通過計費軟件實現。</p><p>　　對于家屬區(qū)和宿舍樓來講，可以采取私有保留地址，并通過DHCP動態(tài)分配。</p><p><b>　

65、　外部邊界防護建設</b></p><p>　　IDS和防火墻聯(lián)動示意圖</p><p>　　Internet邊界惡性數據防范</p><p>　　采用病毒網關在Internet邊界進行病毒、病毒郵件、垃圾郵件、非法郵件的過濾。</p><p><b>　　服務器群安全防護</b></p>&l

66、t;p>　　對核心服務器群部署一臺防火墻和一臺入侵檢測系統(tǒng)，按照以下規(guī)則配置：</p><p>　　.特定服務器（如學籍、學分管理系統(tǒng)）只允許特定IP段訪問</p><p>　　.WEB、Mail服務完全開放</p><p>　　.入侵檢測和防火墻聯(lián)動，發(fā)現對服務器的入侵行為立刻阻斷</p><p>　　Web服務器安全防護</p

67、><p>　　通過部署主頁防篡改軟件，能有效的監(jiān)控網站網頁是否被惡意修改、刪除，并能在最短的時間內采取恢復措施，有效的保證數據的完整性與真實性</p><p>　　對部門信息資源的保護</p><p>　　針對部門的信息系統(tǒng)防護，按照不同部門的安全級別及安全需求，可以考慮以下兩種方式：</p><p>　　VLAN、ACL，建立VLAN間訪問控制

68、規(guī)則</p><p>　　部門級防火墻、入侵檢測</p><p><b>　　系統(tǒng)漏洞檢測</b></p><p>　　部署一臺網絡漏洞掃描儀，對網絡各個部分進行漏洞掃描，以發(fā)現網絡漏洞</p><p><b>　　安全掃描的使用</b></p><p><b>　

69、　系統(tǒng)安全評估的途徑</b></p><p>　　為堵死安全策略和安全措施之間的缺口,必須從以下三方面對網絡安全狀況進行評估:</p><p>　　從學校外部進行評估:考察學校邊界防火墻</p><p>　　從學校內部進行評估:考察內部網絡系統(tǒng)中的計算機</p><p>　　從應用系統(tǒng)進行評估:考察每臺服務器上運行的應用系統(tǒng)<

70、;/p><p><b>　　系統(tǒng)漏洞修復</b></p><p>　　系統(tǒng)漏洞修復的目的是彌補系統(tǒng)漏洞，增強系統(tǒng)的的抗攻擊性，較大的提高系統(tǒng)本身安全。根據學校具體情況，可以考慮采用以下兩種模式：</p><p><b>　　部署請求式升級系統(tǒng)</b></p><p><b>　　部署中控式升級

71、系統(tǒng)</b></p><p><b>　　請求式升級系統(tǒng)</b></p><p><b>　　校園網病毒防護</b></p><p><b>　　應用系統(tǒng)安全建設</b></p><p>　　應用系統(tǒng)的安全部署建議如下：</p><p>&

72、lt;b>　　系統(tǒng)安全加固</b></p><p><b>　　數據庫安全審計</b></p><p><b>　　數據庫審計示意圖</b></p><p><b>　　數據存儲備份</b></p><p>　　對于各個學校的數據存儲備份建設，我們建議各個學校

73、根據自己信息系統(tǒng)發(fā)展情況，部署不同的存儲備份系統(tǒng)。</p><p><b>　　DAS系統(tǒng)</b></p><p><b>　　NAS系統(tǒng)</b></p><p><b>　　SAN系統(tǒng)</b></p><p><b>　　DAS系統(tǒng)</b></p&

74、gt;<p>　　DAS完全以服務器為中心，寄生在相應服務器或客戶端上，其本身是硬件的堆疊，不帶有任何存儲操作系統(tǒng)</p><p><b>　　NAS系統(tǒng)</b></p><p>　　NAS是一種完全脫離服務器就可直接上網的存儲設備，因為它本身即具備操作系統(tǒng)</p><p><b>　　網絡認證</b><

75、;/p><p>　　建議通過網絡設備，實現用戶登錄網絡的身份認證，保證每個用戶名的唯一性和關聯(lián)性，　這是安全審計系統(tǒng)能得以運行的前提條件.</p><p><b>　　用戶行為審計</b></p><p><b>　　宿舍或辦公室用戶</b></p><p><b>　　網絡審計</b&

76、gt;</p><p><b>　　機房用戶</b></p><p><b>　　代理審計</b></p><p><b>　　網絡安全審計功能</b></p><p><b>　　HTTP審計</b></p><p>　　對敏感I

77、P進行HTTP審計</p><p>　　對敏感URL進行審計</p><p>　　對頁面關鍵字進行審計</p><p><b>　　FTP審計</b></p><p>　　對每次FTP協(xié)議的登錄行為進行記錄</p><p>　　對敏感IP使用FTP協(xié)議的審計</p><p>

78、;　　對FTP的命令行進行審計，包括對命令、參數以及反饋值的審計</p><p><b>　　SMB審計</b></p><p><b>　　POP3審計</b></p><p>　　對POP3協(xié)議的登錄進行記錄</p><p>　　對郵件源、目的地址進行記錄</p><p>

79、;　　對關鍵字（標題、信體）進行審計</p><p><b>　　TELNET審計</b></p><p>　　對Telnet中的命令進行審計</p><p><b>　　SMTP審計</b></p><p><b>　　QQ</b></p><p>&

80、lt;b>　　MSN</b></p><p><b>　　ICQ</b></p><p>　　六、方案特點分析：　?、傧冗M性：采用先進成熟的銳捷網絡多層交換網絡技術和方法，針對學校共享信息資源集中在網絡信息中心和圖書館的特征，網絡核心層采用雙主節(jié)點、匯聚層采用均衡負載、接入層采用高安全接入與靈活計費等策略設計，能支撐各種現在與未來一段時期的校園教學

81、、科研、行政管理的網絡應用。（本校又新蓋圖書館一座，里面均采用先進性設備進行設置里面設置無線網絡，可以給同學們提供方便的無線上網，有筆記本的同學就可以在圖書館附近方便的上網查資料等等）　?、诳尚行裕罕驹O計方案能夠充分考慮高校網絡教育的特點和應用對象的技術、資源、管理等方面的約束，并很好地結合銳捷網絡產品特點進行方案的設計。比如住宅樓要求的靜音設計，支持網絡用戶賬號、MAC地址與端口的捆綁實現高效的用戶控制能力，支持高密度端口的堆疊模式

82、，支持通信負載均衡、帶寬聚合、鏈路冗余的雙星型結構?！　、垤`活性：網絡核心層、匯聚層采用模塊化交換機，按照需求靈活配置各種模塊，做到既滿足需求，由留有余地。整個網絡架構采用三層結構，使網絡具有較好的伸縮性、可以根據網絡建設的不同階段靈活配置和擴展，具有能不斷吸收新技術、新方法的功能。 　?、軐嵱眯?lt;/p><p>　?。?）設備可靠　　銳捷網絡RG-S6800核心交換機提供管理引擎冗余和電源模塊冗余，490

83、9匯聚層交換機提供電源冗余功能。通過銳捷網絡自動保護系統(tǒng)RAPS、虛擬路由器冗余協(xié)議VRRP、虛擬狀態(tài)冗余協(xié)議VSRP、冗余模塊等，實現全冗余、失效切換，有效保障網絡核心不間斷工作。　?。?）網絡可靠 　　所有端口上都支持802.1Q的VLAN， MAC地址以及生成樹協(xié)議802.1D、802.1w、RRSTP、PVST、MVST。802.1W（快速生成樹協(xié)議）可以提供高速的鏈路冗余備份功能，保證快速收斂，提高容錯能力，保證網絡的穩(wěn)定

84、運行?！　、蘅蓴U展性：采用模塊化交換機、可堆疊交換機，使系統(tǒng)具有良好的可擴展性，又具有發(fā)展?jié)摿Α１热缃粨Q機增加模塊即可擴展網絡的規(guī)?；蛲卣谷哂噫溌?。</p><p>　　另外還有完善的音視頻支持　?。?）支持多層視頻組播　　傳遞語音、視頻等多媒體信號將是教育城域網應用主要功能之一。本方案中核心設備支持DVRMP、PIM、IGMP組播協(xié)議，匯聚層設備支持IGMP Snooping，計算機機房交換機支持在組播環(huán)

85、境中使用和流量控制、過濾廣播風暴功能，因此能很好的節(jié)省網絡帶寬和支持VOD等業(yè)務，從而保證語音、視頻等多媒體教學的應用。 　?。?）使用語音網關提供內部VOIP功能　　銳捷網絡語音網關基于成熟的H.323信令技術開發(fā)，可以實現通過教育城域網傳輸語音，在學校和教育機構內實現教育系統(tǒng)內部IP電話，從而充分提高線路的利用率。 　 綜上所述，本方案是一個依據用戶需求，充分利用銳捷網絡產品自身特色設計的校園網整體解決方案。該方案依

86、據高師院校網絡應用的特征，采用銳捷網絡成熟、適用、實用、好用、夠用的產品與技術，力爭以最小的投資得到最大的滿足。</p><p><b>　　七、結束語</b></p><p>　　該方案從需求和現狀分析出發(fā)，提出了網絡改造的基本思路，提供了完整的網絡拓撲體系設計。但是，從可操作的解決方案看，應該提出更加詳實具體的實現技術路線。由于學生知識水平有限，設計有不周密的，考

87、慮不全的地方還望老師見諒!</p><p><b>　　八、致謝</b></p><p>　　跟著潘磊老師學習了一學期的組網工程，根據我們的所學習知識設計了此方案，非常感謝潘磊老師!</p><p><b>　　九、參考文獻</b></p><p>　　<<局域網技術和組網工程>&

88、gt;，網絡上的文獻</p><p><b>　　附：分析設備需求</b></p><p><b>　　1.交換機</b></p><p>　　a.全模塊化骨干多層交換機：</p><p>　　傳輸方式： 存儲轉發(fā)方式；</p><p>　　傳輸速率： 10M/100M/10

89、00Mbps；</p><p>　　支持網絡標準： IEEE 802.3, IEEE 802.1x, EEE 802.1Q等；</p><p><b>　　雙全工：支持；</b></p><p>　　VLAN支持： 支持； </p><p><b>　　網管功能： 支持；</b></p>

90、<p><b>　　b.三層交換機：</b></p><p>　　傳輸方式： 存儲轉發(fā)方式；</p><p>　　傳輸速率 10M/100M/1000Mbps；</p><p><b>　　堆疊： 不可堆疊；</b></p><p><b>　　雙全工：支持；</b&g

91、t;</p><p><b>　　網管功能： 支持；</b></p><p>　　c.二層交換機（快速以太網交換機）：</p><p>　　傳輸方式： 存儲轉發(fā)方式；</p><p>　　傳輸速率： 10M/100Mbps；</p><p><b>　　雙全工：支持；</b>

92、</p><p><b>　　堆疊： 可堆疊；</b></p><p>　　VLAN： 支持VLAN；</p><p>　　網管功能： 支持Telnet遠程配置,支持通過Console口配置,支持SNMP管理；</p><p><b>　　2.服務器</b></p><p>

93、　　網絡中心配置5臺部門級服務器，分別是應用服務器和Web服務器、FTP服務器、郵件服務器、DHCP服務器、DNS服務器。</p><p>　　3.現行關鍵技術需求分析</p><p><b>　　常用的網絡技術有：</b></p><p>　　以太網技術（快速以太網、交換式以太網、千兆位以太網）、ATM、FDDI等，其中以太網用途最為廣泛。&

94、lt;/p><p>　　a. 以太網技術的優(yōu)點：</p><p>　　由于以太網的技術成熟、成本較低、互操作性強、易于使用和管理、可擴充性強，因此，選用以太網技術。</p><p>　　b. 第三層交換技術：</p><p>　　一方面支持VLAN之間通信；另一方面交換技術減少了數據包的碰撞問題。支持VLAN的交換機配合第三層功能不但具有很高的性

95、能，而且具有充分的彈性，因此，是最好的選擇。</p><p>　　c.網絡的冗余技術：</p><p>　　提高網絡的可靠性；鏈路冗余既可提高可靠性，又能均衡負載；</p><p>　　缺點：不適應重負荷應用環(huán)境，實時性差，存在沖突域；</p><p><b>　　常用LAN技術有:</b></p><

96、;p>　　以太網技術是目前世界上運用最廣泛的媒體訪問技術。以太網泛指所有采用CSMA／CD的局域網，包括Ethernet II和IEEE 802．3。</p><p>　　基本工作原理：以太網是一種廣播型網絡，即網絡上的所有站點都能收到所有的幀。任一CSMA／CD站點在發(fā)送數據前，首先偵聽網絡上有無數據流，如果有就等待，否則立即將數據流送到網絡上。假設此時另一個站點也同時發(fā)送數據，則產生沖突，數據被破壞。兩

97、個站點按一定的退避算法延時后，再將數據送入網絡。由于有隨機沖突，以太網的統(tǒng)計有效利用率僅為1／e即36.8％。</p><p>　　以太網常用的介質有雙絞線（10 Base-T），粗纜(10Base-2)、細纜（10Base-5）和光纖(10 Base FL )。</p><p><b>　　常用WAN協(xié)議有：</b></p><p>

98、　　a.HDLC是一種面向比特的傳輸控制規(guī)程。HDLC協(xié)議中有明確的主站和次站，主站負責數據傳送的組織和鏈路差錯控制，次站執(zhí)行主站所指示的操作。常用于專線和DDN。</p><p>　　b. PPP是一種廣泛用于點對點通信的協(xié)議, 常用于專線、DDN和異步線路。</p><p>　　常用無線局域網技術有：</p><p>　　無線局域網是計算機網絡與無線通信技術相結

99、合的產物。具有以下優(yōu)點：安裝便捷，使用靈活，經濟節(jié)約，易于擴展。常用的無線網絡設備有網卡、AP、無線網橋和無線路由器等?；贗EEE802.11標準，無線接入技術目前比較流行的有802.11標準、藍牙（Bluetooth）、HomeRF（家庭網絡）和IrDA（Infrared Data Association，紅外線數據標準協(xié)會）。</p><p><b>　　IP規(guī)劃</b></p&

100、gt;<p><b>　　a. IP需求</b></p><p>　　b.IP地址劃分原則</p><p>　　(1)IP地址的分配有足夠的靈活性，可滿足各種接入方式的需求；    (3)IP地址的分配必須采用VLSM技術，保證IP地址的利用效率；    (4)采用CIRD技術，以減少路由表

101、的大小，加快路由的收斂速度，減小網絡中廣播的路由信息的大小。</p><p>　　c.網段劃分設計與分析（考慮到可擴展性）</p><p>　　系統(tǒng)可擴展性設計　　為有效地保護投資方未來擴展能力，本方案提供設備交換容量的擴展能力、端口密度的擴展能力、主干帶寬擴展能力以及網絡規(guī)模的擴展能力。網絡體系、路由協(xié)議的規(guī)劃和設備的CPU路由處理能力，能夠滿足網絡超過10000個節(jié)點規(guī)模的要求。&l