版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、<p><b> 校園網(wǎng)規(guī)劃與設(shè)計 </b></p><p> 中原工學(xué)院南校區(qū)校園規(guī)劃</p><p><b> 目錄</b></p><p> 說明………………………………………………………………3 </p><p> 一、前言…………………………………………………………4&
2、lt;/p><p> 二、項(xiàng)目管理……………………………………………………4</p><p><b> (1) 項(xiàng)目概括</b></p><p> (2) 項(xiàng)目建設(shè)目標(biāo)</p><p><b> 1. 商業(yè)目標(biāo)</b></p><p><b> 2. 技術(shù)目標(biāo)
3、</b></p><p><b> 3. 項(xiàng)目指導(dǎo)原則</b></p><p><b> 三、需求分析</b></p><p><b> 四.網(wǎng)絡(luò)設(shè)計原則</b></p><p> (1) 方案設(shè)計原則</p><p> (2) 方
4、案設(shè)計思想</p><p><b> 五、解決方案</b></p><p> 說明: 1.方案采用銳捷網(wǎng)絡(luò)提供的網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)計,充分遵循: 先進(jìn)性:采用先進(jìn)成熟的概念、技術(shù)和方法,能支撐各種現(xiàn)在與未來一段時期的主流網(wǎng)絡(luò)應(yīng)用,又具有發(fā)展?jié)摿?,包括基礎(chǔ)方案、擴(kuò)展方案和管理方案。 可行性:所設(shè)計的方案能夠充分考慮網(wǎng)絡(luò)教育的特點(diǎn)和應(yīng)用對象的技術(shù)、資源、管理
5、等方面的約束,并能很好地結(jié)合銳捷網(wǎng)絡(luò)產(chǎn)品特點(diǎn)進(jìn)行方案的設(shè)計。 靈活性:按照模塊化、層次化的原則設(shè)計網(wǎng)絡(luò),網(wǎng)絡(luò)具有較好的伸縮性、可以根據(jù)網(wǎng)絡(luò)建設(shè)的不同階段靈活配置和擴(kuò)展,具有能不斷吸收新技術(shù)、新方法的功能。 實(shí)用性:網(wǎng)絡(luò)易維護(hù)、易管理,可實(shí)施性好。 可靠性:能利用產(chǎn)品自身特色,保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行穩(wěn)定可靠、高效。充分顯示先進(jìn)性等;</p><p> 2.學(xué)校簡介:中原工學(xué)院始建于1955年,位于河南
6、省鄭州市,是一所以工為主,工、管、文、理、經(jīng)、法多學(xué)科發(fā)展的大學(xué),是教育部批準(zhǔn)的具有高等學(xué)歷教育招生資格的公辦、全日制普通高等院校。學(xué)校面向全國招生,研究生學(xué)制兩~三年,符合條件者授予碩士學(xué)位;本科學(xué)制四年~五年,符合條件者授予學(xué)士學(xué)位。</p><p> 學(xué)校現(xiàn)有教職工1370人,其中專任教師870人,具有高級職稱的教師近400人,具有博士學(xué)位的教師150多人;各類在校生15000余人,校園占地1360畝,分
7、南區(qū)、西區(qū)和北區(qū)三個校區(qū),校園環(huán)境幽雅,交通便利。</p><p> 學(xué)校擁有完善的教學(xué)、生活設(shè)施,學(xué)習(xí)氛圍濃厚。多媒體教室、信息中心、計算中心、專業(yè)實(shí)驗(yàn)室一應(yīng)俱全,發(fā)達(dá)的計算機(jī)校園網(wǎng)將辦公樓、教學(xué)樓、實(shí)驗(yàn)室、學(xué)生宿舍連為一體,可以便捷地開展網(wǎng)上教學(xué)、網(wǎng)上學(xué)習(xí)和網(wǎng)上科研活動。圖書館藏書145.2萬冊,建有電子閱覽室、超星數(shù)字圖書館、中國學(xué)術(shù)期刊鏡像站點(diǎn)等,形成了功能齊全、結(jié)構(gòu)合理、設(shè)施完善的現(xiàn)代化圖書情報系統(tǒng),
8、為師生汲取知識創(chuàng)造了便利條件。</p><p> 學(xué)校下設(shè)18個教學(xué)部門,現(xiàn)有2個省級重點(diǎn)學(xué)科,開設(shè)有49個本科專業(yè),有19個碩士點(diǎn)。學(xué)校出版有《中原工學(xué)院學(xué)報》、《成組技術(shù)與生產(chǎn)現(xiàn)代化》、《紡織服裝科技》及《空分技術(shù)》4種學(xué)術(shù)期刊,在專業(yè)領(lǐng)域享有一定聲譽(yù)。</p><p> 我所在校區(qū)在南區(qū),下面就南區(qū)的情況來簡單談?wù)勀蠀^(qū)網(wǎng)絡(luò)布置的規(guī)劃。(新蓋圖書館一座,里面設(shè)置了無線網(wǎng)絡(luò),方便了圖
9、書管理工作,也方便了有筆記本的同學(xué)可以隨時上網(wǎng)。)</p><p><b> 一、前言</b></p><p> 自從 1993 年美國政府公布實(shí)施“信息高速公路計劃”之后,在世界引起巨大反響,許多發(fā)達(dá)國家和一些發(fā)展中國家也相繼提出了本國或本地區(qū)的信息基礎(chǔ)設(shè)施計劃??梢哉f,信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合國力強(qiáng)弱的重要標(biāo)志。在當(dāng)今信息產(chǎn)業(yè)蓬勃發(fā)展的今天
10、,信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源,計算機(jī)技術(shù)在人們的生活中已經(jīng)起到了越來越重要的作用。 我國的信息起步晚,本可以高起點(diǎn),高標(biāo)準(zhǔn)的建設(shè)我國的信息高速公路,但由于我國經(jīng)濟(jì)能力和幅員遼闊,建設(shè)成本壓力很大,因此發(fā)展較為緩慢。學(xué)校,尤其是各大高校,作為知識基地和人才基地,它理應(yīng)成為代表信息產(chǎn)業(yè)技術(shù)發(fā)展的最前沿,然而現(xiàn)狀是工業(yè)水平高于學(xué)術(shù)水平。即使這樣,1994年中國教育科研網(wǎng) (CERNET)正式啟動以來,已與國內(nèi)幾百所學(xué)校相連,2
11、000年該網(wǎng)“二期工程”完成時,除達(dá)到連接1000所大學(xué)的目標(biāo)外,對有條件的中小學(xué)也將提供上網(wǎng)接入服務(wù)。但實(shí)際情況是我國大多數(shù)校園網(wǎng)卻因應(yīng)用水平的低下而造成資源的極大浪費(fèi)。如何利用當(dāng)前先進(jìn)的計算機(jī)技術(shù)與校園網(wǎng)資源,實(shí)現(xiàn)學(xué)校各項(xiàng)業(yè)務(wù)系統(tǒng)的集成,提高應(yīng)用水平成為學(xué)校校園網(wǎng)建設(shè)的工作重點(diǎn)。校園網(wǎng)在國內(nèi)發(fā)展還不成熟</p><p><b> 二、項(xiàng)目概述</b></p><p&
12、gt;<b> (1) 項(xiàng)目概括</b></p><p> 為了推進(jìn)教育學(xué)信息化和現(xiàn)代化,學(xué)校計劃在校內(nèi)建立校園內(nèi)部網(wǎng)并通過千兆位鏈路連接與國際互聯(lián)網(wǎng)相連。根據(jù)學(xué)校的要求,我們按照“統(tǒng)一規(guī)劃、講究實(shí)效、安全可靠”的原則,進(jìn)行我學(xué)院校園網(wǎng)綜合系統(tǒng)設(shè)計,以滿足校園內(nèi)計算機(jī)網(wǎng)絡(luò)系統(tǒng)的需要。對于我校來說,由于將有越來越多的資料信息和管理平臺放到校園網(wǎng)上,越來越多的用戶使用校園網(wǎng),校園網(wǎng)的可擴(kuò)展性
13、和可靠性成為選擇合作伙伴的重要標(biāo)準(zhǔn)。</p><p> (2) 項(xiàng)目建設(shè)目標(biāo)</p><p> 通過建設(shè)一個高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng),實(shí)現(xiàn)校內(nèi)信息的高度共享、傳遞,教學(xué)及管理信息化,并通過與廣域網(wǎng)的互聯(lián),實(shí)現(xiàn)校際間的信息共享及與INTERNET的連接,實(shí)現(xiàn)遠(yuǎn)程教育,為學(xué)校的教學(xué)、管理、日常辦公、內(nèi)外交流等各方面提供全面、切實(shí)的支持。</p><p>
14、 1、商業(yè)目標(biāo)學(xué)院想吸引和保留更多的學(xué)生,同時減少損耗,管理層和理事會確定了如下商業(yè)目標(biāo): a.在未來的三年中,將損耗從30%降低到50%; b.提高教員的效率,允許教員和其他學(xué)院的同仁一起參與更多的項(xiàng)目研究 c. 提高學(xué)生的效率,消除交作業(yè)難的問題 d. 允許學(xué)生使用他們的無線筆記本電腦訪問園區(qū)網(wǎng)絡(luò)和因特網(wǎng) e. 允許訪問者使用他們的無線筆記本電腦從園區(qū)網(wǎng)絡(luò)訪問互連網(wǎng)絡(luò) f. 保護(hù)網(wǎng)絡(luò)防止入侵
15、 g. 使用政府提供的園區(qū)網(wǎng)絡(luò)升級資金,資金必須在本財年之前使用</p><p> 2、技術(shù)目標(biāo)a. 重新設(shè)計IP地址規(guī)劃b. 增加因特網(wǎng)接入帶寬,以支持新的應(yīng)用和現(xiàn)有應(yīng)用的擴(kuò)展c. 為學(xué)生提供一個安全、私密的無線網(wǎng)絡(luò)用于訪問園區(qū)網(wǎng)絡(luò)和因特網(wǎng)e. 提供一個響應(yīng)時間大約為1/10秒的網(wǎng)絡(luò)f. 網(wǎng)絡(luò)的可靠性大約為99.90%,MTBF為3000個小時,MTTR為3個小時g. 提高安全性,保護(hù)因特網(wǎng)連接
16、和內(nèi)部網(wǎng)絡(luò),防止入侵h. 使用網(wǎng)絡(luò)管理工具,提高IT部門的效率和效果I. 網(wǎng)絡(luò)具有良好的可擴(kuò)展性,可以在將來支持多媒體應(yīng)用</p><p> (3) 項(xiàng)目指導(dǎo)原則</p><p> 校園網(wǎng)建設(shè),要為教育教學(xué)服務(wù),為促進(jìn)學(xué)校教育現(xiàn)代化服務(wù)。本著少花錢辦大事的原則,充分利用有限的投資,在保證網(wǎng)絡(luò)先進(jìn)性的前提下,選用性能價格比最好的設(shè)備的原則,有計劃、有重點(diǎn),分層次,積極穩(wěn)妥地推進(jìn)校園網(wǎng)
17、建設(shè)。要嚴(yán)格規(guī)范校園網(wǎng)建設(shè)及相應(yīng)的軟件開發(fā)標(biāo)準(zhǔn),確保信息化校園的整體建設(shè)規(guī)劃和管理要求的落實(shí)。</p><p><b> 三、需求分析</b></p><p> 信息化建設(shè)目標(biāo)的建設(shè)不但應(yīng)考慮現(xiàn)有的硬件、軟件,同時還應(yīng)考慮學(xué)校教師的信息化教育能力;不但網(wǎng)絡(luò)要建起來,軟件也要貼近應(yīng)用,同時還應(yīng)加強(qiáng)教師培訓(xùn),才能逐步實(shí)現(xiàn)教育由應(yīng)試教育轉(zhuǎn)向素質(zhì)教育轉(zhuǎn)化。</p&g
18、t;<p><b> (1)用戶需求</b></p><p> 學(xué)校決定對計算機(jī)網(wǎng)絡(luò)進(jìn)行全面建設(shè),以實(shí)現(xiàn)校園內(nèi)部資源共享。通過建立學(xué)校主頁、電子郵箱、精品課程、FTP資源、辦公系統(tǒng)以及視頻點(diǎn)播等服務(wù)器,發(fā)布有關(guān)新聞、教學(xué)信息、建立學(xué)校、教師、家長和學(xué)生之間的交流平臺。網(wǎng)絡(luò)改造后,學(xué)院主干10G,樓宇主干1000M,100M到桌面,每間辦公室、每間教室、每間宿舍擁有一個可以隨
19、時接入Internet的網(wǎng)絡(luò)系統(tǒng),并且這些網(wǎng)絡(luò)連成統(tǒng)一的校園網(wǎng)。通過校園網(wǎng),全校教師可以將教學(xué)資料和學(xué)習(xí)課件進(jìn)行廣泛交流。另外,網(wǎng)絡(luò)中心應(yīng)配備UPS,即使出現(xiàn)市電中斷也可以保證網(wǎng)絡(luò)服務(wù)不受到干擾。 </p><p> 學(xué)校擬申請兩個接入Internet的出口,一個接入中國網(wǎng)通,另外一個接入中國教育科研網(wǎng)。</p><p><b> (2)應(yīng)用需求</b></
20、p><p> 整個網(wǎng)絡(luò)采用主干10G、百兆到桌面的連接方式,可以很好地發(fā)揮各方面的應(yīng)用,網(wǎng)絡(luò)帶寬也不會成為瓶頸。樓層之間的數(shù)據(jù)流量采用千兆主干,樓內(nèi)用戶之間的通信采用百兆帶寬。</p><p> 一個學(xué)校內(nèi)用戶眾多,對信息的安全有一定的要求,各樓層的分布情況如下:</p><p> 其中主要應(yīng)用有:(1) 電子郵件功能及OA: 校園網(wǎng)信息平臺應(yīng)有功能強(qiáng)大
21、的郵件系統(tǒng)和OA系統(tǒng),可以為每個使用者建立自己的信箱,和OA賬號,安全保密又極大地方便了通信。許多事務(wù)處理均可以通過郵件和OA提醒,高效便利。 (2)討論和交流功能: 校園網(wǎng)信息平臺具有討論的功能,可以允許所有人就一個問題發(fā)表自己的意見,而這種討論的好處在于它可以保留討論的過程,并且不受時間和空間的限制,如教學(xué)研討、經(jīng)驗(yàn)交流等均是以討論的形式出現(xiàn)。(3) 學(xué)校網(wǎng)站: 學(xué)校有許多信息需要向老師、學(xué)生或社會公布,如學(xué)校的
22、規(guī)章制度、招生信息、教學(xué)信息等,它們共同的特點(diǎn)是只許看不能改,校園網(wǎng)信息平臺的安全體系應(yīng)保證這一點(diǎn)。(4) 科研環(huán)境應(yīng)用系統(tǒng): 科研環(huán)境應(yīng)用系統(tǒng)多集中在各實(shí)驗(yàn)室和多功能競賽及多功能報告廳,主要是實(shí)驗(yàn)的環(huán)境和課外學(xué)習(xí)的環(huán)境,這類網(wǎng)絡(luò)應(yīng)用可能需要較高的帶寬以滿足多媒體實(shí)驗(yàn)環(huán)境。 (5) 電子教學(xué): 電子教學(xué)是搭建校園網(wǎng)的首要目標(biāo),這部分應(yīng)用復(fù)雜多樣,且有很大一部分多媒體數(shù)據(jù)的傳遞,因此對網(wǎng)絡(luò)性能和傳輸質(zhì)量有較高的要求,
23、可以用高速以太網(wǎng)連接來實(shí)現(xiàn)。電子教學(xué)的</p><p> 電子圖書館 傳統(tǒng)圖書館的資料管理通常是一項(xiàng)很繁瑣的工作,圖書管理員不僅要隨時整理和更新庫中資料,而且每本資料只能由一人借閱。有了電子圖書館以后,所有資料可以以電子文檔形式存入大容量服務(wù)器中,通過網(wǎng)絡(luò)向圖書館內(nèi)、甚至教室、辦公室或宿舍內(nèi)的客戶機(jī)開放,這樣師生們可以不受時間、空間限制隨時查閱所需資料,同時實(shí)現(xiàn)了同一資源的多人共享;資料包含的內(nèi)容不僅
24、為文字,還可以是圖像、聲音等多媒體信息,甚至還能是一段電影,可謂豐富多彩;當(dāng)然這樣的開放也不是無條件的,每人都有的"電子借書證"(網(wǎng)絡(luò)帳號),憑此在許可范圍內(nèi)借閱;同時,圖書管理工作也由機(jī)器來完成,除了提供方便快捷的檢索工具外,還可以跟蹤每人的借閱記錄,了解各類信息的受關(guān)注程度。</p><p><b> 多媒體教育資源庫</b></p><p>
25、; 教育部的多次會議強(qiáng)調(diào)學(xué)校要建立內(nèi)容豐富的教育資源庫,包括電子圖書、教育論文、教案、課件、圖片、視頻、音效、電影等學(xué)校日常教學(xué)、教師進(jìn)修、學(xué)生自學(xué)的教育資源,教師可以備課、制作課件,學(xué)生可以自主學(xué)習(xí)、探索式學(xué)習(xí)。 內(nèi)部信息共享 內(nèi)部信息共享是指比多媒體教室和電子圖書館更為靈活的教學(xué)應(yīng)用:它既不局限于單一的教室,但也不一定面向全校,而是可以在或大或小的范圍內(nèi)進(jìn)行。例如教師可以把作業(yè)、試題庫或一些輔導(dǎo)材料留在特定的計算機(jī)中由本
26、班學(xué)生下載,教師之間也可以通過網(wǎng)絡(luò)相互交流經(jīng)驗(yàn),共同設(shè)計最佳的教學(xué)方案……內(nèi)部信息共享的程度取決于校園網(wǎng)的覆蓋范圍和應(yīng)用軟件的功能。 (6) 職能管理: 除電子教學(xué)外,學(xué)校的各項(xiàng)管理工作的現(xiàn)代化也勢必要通過網(wǎng)絡(luò)來實(shí)現(xiàn)。相對教學(xué)而言,這部分?jǐn)?shù)據(jù)較為簡單,以文字、圖形為主,因此對網(wǎng)絡(luò)性能要求不高,卻將系統(tǒng)的安全、可靠、經(jīng)濟(jì)等特性列為考察重點(diǎn)。學(xué)校的管理工作包括:校長決策、總務(wù)管理、教務(wù)管理、財務(wù)管理、檔案管理、圖書管理、體衛(wèi)管理
27、、校產(chǎn)管理、辦公管理等,各學(xué)??筛鶕?jù)機(jī)構(gòu)設(shè)置和實(shí)際需要作相應(yīng)取舍。各項(xiàng)管理的結(jié)果不僅是將各部分?jǐn)?shù)據(jù)作電子存檔,更應(yīng)在全校范圍內(nèi)</p><p> 安全接入和靈活計費(fèi) 對于高校園區(qū)網(wǎng)絡(luò),安全性問題不僅來自外部網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò)中的地址盜用、網(wǎng)絡(luò)攻擊等也是網(wǎng)絡(luò)系統(tǒng)中的一個隱患,如何有效的設(shè)計安全接入和靈活計費(fèi)方案是一個很重要的問題。采用銳捷網(wǎng)絡(luò)RADIUS系統(tǒng)和基于802.1X的網(wǎng)絡(luò)邊緣認(rèn)證計費(fèi),可以根據(jù)端口,MA
28、C 地址、VLAN、ID作為認(rèn)證的顆粒,實(shí)現(xiàn)一次同時認(rèn)證用戶名、IP、MAC。系統(tǒng)采用三次握手計費(fèi),在三次握手不成功后,就會中止計費(fèi)信息。同時,由于用戶名/密碼跟特定用戶的IP、MAC捆綁,用戶無需擔(dān)心用戶名/密碼泄露引起不必要的麻煩。網(wǎng)絡(luò)管理與防病毒系統(tǒng) 網(wǎng)絡(luò)管理采用StarView1.0系統(tǒng)。StarView系統(tǒng)能提供整個網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),能對以太網(wǎng)絡(luò)中的任何通用IP設(shè)備、SNMP管理型設(shè)備進(jìn)行管理,結(jié)合管理設(shè)備所支持的SNMP
29、管理、Telnet管理、Web管理、RMON管理等構(gòu)成一個功能齊全的網(wǎng)絡(luò)管理解決方案,實(shí)現(xiàn)從網(wǎng)絡(luò)級到設(shè)備級的全方位的網(wǎng)絡(luò)管理?! 【W(wǎng)絡(luò)防病毒系統(tǒng)采用瑞星網(wǎng)絡(luò)版的防殺毒系統(tǒng)。</p><p><b> 安全隱患匯總:</b></p><p><b> 四.網(wǎng)絡(luò)設(shè)計原則</b></p><p> ?。ㄒ唬┓桨冈O(shè)計原則
30、 1. 系統(tǒng)的建設(shè)必須符合教育部和河南省教育廳有關(guān)教育科研網(wǎng)建設(shè)和“校校通”工程的要求,全區(qū)教育信息網(wǎng)應(yīng)成為一個整體,統(tǒng)一出口,實(shí)現(xiàn)教育資源最大限度的共享,以信息化促進(jìn)教育現(xiàn)代化。 2. 系統(tǒng)應(yīng)采用目前的主流技術(shù)(如教育信息數(shù)據(jù)中心、教育信息應(yīng)用服務(wù)中心等)來構(gòu)造,具有一定的先進(jìn)性。系統(tǒng)技術(shù)上具有開放性和可擴(kuò)充性,易于升級。1萬多學(xué)生和教師的上網(wǎng)需求。 3. 系統(tǒng)必須是經(jīng)濟(jì)實(shí)用的,以較少的投入,實(shí)現(xiàn)最大的效益。系統(tǒng)的運(yùn)行不能給教
31、育行政管理部門、學(xué)校以及學(xué)生家庭增加太大的負(fù)擔(dān)?! ?. 系統(tǒng)在應(yīng)用上應(yīng)該是廣泛的,面向教育管理、學(xué)校教學(xué)、家庭、社區(qū)教育等各個層次的應(yīng)用?! ?. 系統(tǒng)應(yīng)該具備較強(qiáng)的安全措施,保證網(wǎng)絡(luò)的安全、數(shù)據(jù)的安全和系統(tǒng)的穩(wěn)定可靠運(yùn)行。 (二) 方案設(shè)計思想 集中管理:鑒于區(qū)教育網(wǎng)信息中心的功能和地位,對于網(wǎng)絡(luò)系統(tǒng),大量的共享信息和數(shù)據(jù),一些集中的應(yīng)用系統(tǒng)等都應(yīng)進(jìn)行集中管理; 專網(wǎng)專用:與河南寬帶主干網(wǎng)絡(luò)公司合作,專門為中原區(qū)教育局
32、打造一個區(qū)教育專網(wǎng),為區(qū)內(nèi)高等學(xué)校提供教學(xué)信息資源和信息傳送的專用網(wǎng)絡(luò),根據(jù)學(xué)校地理位置和學(xué)校分布</p><p><b> 五、解決方案</b></p><p><b> 邏輯結(jié)構(gòu)</b></p><p> 每個子網(wǎng)地位相同,各自獨(dú)立</p><p> 每個子網(wǎng)有各自網(wǎng)絡(luò)號、網(wǎng)關(guān)地址、子網(wǎng)
33、掩碼、可用地址范圍、廣播 地址</p><p> 可用地址數(shù)=256 - 子網(wǎng)掩碼最后一位 - 3</p><p> 子網(wǎng)內(nèi)每一臺計算機(jī)有各自不同的ip地址</p><p> 學(xué)校開放機(jī)房(計算機(jī)機(jī)房及辦公室布線設(shè)置)</p><p> **建筑物內(nèi)各樓層交換機(jī)采用Catalyst 2924 XL(24口10/100M),與本樓主交
34、換機(jī)Catalyst 3524 XL通過100Base-TX連接,再以10M或100M連接到用戶桌面,必要時還可再下聯(lián)低端交換機(jī)擴(kuò)展用戶數(shù)。以綜合樓為例,樓內(nèi)共 56個主節(jié)點(diǎn),采用Catalyst 3524 XL和2924 XL、2912 XL(12口10/100M交換機(jī))級聯(lián)能夠滿足端口數(shù)量需求;樓內(nèi)各辦公區(qū)則采用Catalyst 1924(2口100M,24口10M),提供到桌面的10M交換帶寬;考慮到各交換機(jī)都有多個100M端口,
35、級聯(lián)時可采用Fast Etherchannel(快速以太網(wǎng)通道)技術(shù),將兩交換機(jī)的2-4對100M或10/100M端口并行連接起來,使級聯(lián)帶寬成倍增加,同時提供線路冗余,其中任一條鏈路的斷線不會妨礙其它鏈路繼續(xù)傳輸數(shù)據(jù),從而保障運(yùn)行的可靠性。 </p><p> 在整體拓?fù)鋱D中還可看到,為實(shí)現(xiàn)Internet接入和為在家辦公、學(xué)習(xí)的遠(yuǎn)程用戶提供撥號上網(wǎng)服務(wù),校園網(wǎng)中還設(shè)立了位于網(wǎng)控中心內(nèi)的 Internet服務(wù)
36、中心,采用Cisco 2610路由器(具1個10M以太網(wǎng)接口,2個WAN接口卡和1個支持多種模塊的網(wǎng)絡(luò)插槽)作遠(yuǎn)程連接,其10M以太網(wǎng)端口與網(wǎng)控中心的局域網(wǎng)相連,另可選配一塊具備1個2M廣域網(wǎng)串口的接口卡通過DDN專線連接到Internet;再選配一塊NM-16AM網(wǎng)絡(luò)模塊,為遠(yuǎn)程用戶提供16口撥號連接。 </p><p> 校園網(wǎng)絡(luò)安全模型設(shè)計</p><p><b> 綜
37、合布線:</b></p><p> 信息點(diǎn)分布到校區(qū)所有辦公樓、實(shí)驗(yàn)樓、圖書館以及多媒體教室等,本部學(xué)生樓和家屬樓要連入校園網(wǎng)。</p><p> 綜合布線系統(tǒng)是當(dāng)今現(xiàn)代化建筑普遍應(yīng)具備的基礎(chǔ)性設(shè)施,它為計算機(jī)聯(lián)網(wǎng)和話音通信提供必要的規(guī)范化的物質(zhì)基礎(chǔ)。結(jié)構(gòu)化的綜合布線為用戶提供了最合理的布線方式。</p><p> 布線系統(tǒng)設(shè)計應(yīng)按照“總體規(guī)劃、分
38、布實(shí)施,水平布線盡量一步到位”的原則進(jìn)行。綜合布線系統(tǒng)的主干線大多數(shù)都是設(shè)置在建筑物的弱電井中,更換和擴(kuò)充比較省事,而水平布線是在建筑物的天花板內(nèi)或PVC管槽內(nèi),如果要增加信息點(diǎn)數(shù)或更換水平布線,將重新?lián)p壞建筑結(jié)構(gòu),影響整體美觀。國內(nèi)多家布線公司的實(shí)際工程經(jīng)驗(yàn)表明,重新增加信息點(diǎn)的造價,比設(shè)計時就已經(jīng)納入的造價要高出3倍。因此布線系統(tǒng)設(shè)計必須深刻了解用戶現(xiàn)在和將來一段時間內(nèi)在數(shù)量和質(zhì)量上的可能要求。</p><p&g
39、t; 園區(qū)大樓之間的光纖盡可能一次性鋪設(shè),避免溝道的重新挖填,光纖在長度和芯數(shù)上都應(yīng)留有一定的余量和備份,以防大樓拆遷、線路故障和帶寬擴(kuò)容。同時,布線系統(tǒng)必須滿足靈活應(yīng)用和模塊化的要求,即任一信息點(diǎn)能夠連接不同類型的設(shè)備,如計算機(jī)、打印機(jī)、終端或電話、傳真機(jī)。布線系統(tǒng)中,除去敷設(shè)在建筑內(nèi)的纜線外,其余所有的接插件都應(yīng)是積木式的標(biāo)準(zhǔn)件,以方便管理和使用。當(dāng)然,在滿足應(yīng)用要求的基礎(chǔ)上,應(yīng)盡可能降低造價。</p><p&
40、gt; 對于會議室、報告廳以及布線不太方便只是臨時需要信息點(diǎn)的地方可以搭建無線局域網(wǎng)。</p><p> 對于教學(xué)樓、家屬樓等信息點(diǎn)非常少的地方,配線間的選擇非常重要。</p><p><b> 網(wǎng)絡(luò)系統(tǒng)設(shè)計</b></p><p> (1) 網(wǎng)絡(luò)主干技術(shù)的選擇</p><p> 主干網(wǎng)絡(luò)用于連接各工作組網(wǎng)絡(luò)和
41、全局的共享資源,其傳輸速度,工作效率及可靠性必須達(dá)到一個很高的水平。 主干網(wǎng)絡(luò)的互連結(jié)構(gòu)是主干網(wǎng)絡(luò)設(shè)計的一個核心問題,路由(Routing)和交換(Switching)技術(shù)在互連結(jié)構(gòu)中扮演著重要角色。</p><p> a.交換技術(shù)交換技術(shù)工作于OSI參考模型的第二層?,F(xiàn)在流行的交換機(jī)產(chǎn)品可以看作是一種簡單、 低成本、高性能、高端口密度的橋接設(shè)備。交換機(jī)根據(jù)每個數(shù)據(jù)包中的目標(biāo)MAC地址作簡單的轉(zhuǎn)發(fā), 轉(zhuǎn)發(fā)決策方
42、案不需要判斷數(shù)據(jù)包深層的其他信息。交換機(jī)能以非常低的延遲轉(zhuǎn)發(fā)數(shù)據(jù)包,比網(wǎng)絡(luò)提供更接近于單一局域網(wǎng)網(wǎng)段的性能。交換技術(shù)可以用來調(diào)整共享和分離的局域網(wǎng)網(wǎng)段帶寬, 從而消除局域網(wǎng)之間的傳輸瓶頸。交換技術(shù)主要包括幀交換和信元交換兩類。</p><p> b. 路由技術(shù)工作在OSI參考模型的第三層,與交換機(jī)相比,它的工作更多地依賴于路由軟件。 由于可以得到更多的協(xié)議信息,路由器可以作出更加智能的轉(zhuǎn)發(fā)決策。和交換機(jī)相同的地
43、方是, 路由器為用戶提供了不同局域網(wǎng)網(wǎng)段的無縫連接。和交換機(jī)不同的地方在于路由器決定了網(wǎng)段分組的邏輯邊界。 路由器提供了防火墻的服務(wù),它僅僅轉(zhuǎn)發(fā)特定地址的數(shù)據(jù)包,從而可以防止廣播風(fēng)暴、 未支持協(xié)議數(shù)據(jù)包的傳送和未知目標(biāo)網(wǎng)絡(luò)數(shù)據(jù)包的傳送。</p><p> (2) 網(wǎng)絡(luò)拓?fù)湓O(shè)計</p><p><b> a. 設(shè)計思想</b></p><p>
44、; 采用層次體系,整個網(wǎng)絡(luò)通過主干網(wǎng)連接起來,各個子網(wǎng)通過接口與主干網(wǎng)連接,實(shí)現(xiàn)各自的功能,在子網(wǎng)內(nèi)部及與主干網(wǎng)進(jìn)行數(shù)據(jù)通信。</p><p><b> b. 拓?fù)鋱D分析 </b></p><p> 根據(jù)學(xué)校的具體位置特點(diǎn),學(xué)校分南、北苑,面積比較大,用的線也比較長,應(yīng)該合理規(guī)劃網(wǎng)絡(luò)。學(xué)校的邊界路由器上接有網(wǎng)通的線和教育網(wǎng)的線,學(xué)校有中心交換機(jī)在網(wǎng)絡(luò)中心上,上面
45、接有來自學(xué)校北區(qū)的光纖,網(wǎng)絡(luò)總部在北區(qū),拓?fù)鋱D中沒有標(biāo)識。</p><p> 邊界路由器后面設(shè)有防火墻,防火墻上的功能有可以限制未授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò),過濾不安全的服務(wù)和非法用戶;防止入侵者接近網(wǎng)絡(luò)防御設(shè)施;限制內(nèi)部用戶就訪問特殊站點(diǎn)。</p><p> 為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題,而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個緩沖區(qū)位于學(xué)校內(nèi)部網(wǎng)絡(luò)
46、和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施,如校內(nèi)Web服務(wù)器、FTP服務(wù)器和論壇等,這些服務(wù)器本身為堡壘主機(jī)。另一方面,通過這樣一個DMZ區(qū)域,更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò),因?yàn)檫@種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對攻擊者來說又多了一道關(guān)卡。</p><p> 防火墻后面也增加了一個路由器,主要功能是負(fù)責(zé)路由和轉(zhuǎn)發(fā)。</p><p> 在內(nèi)部網(wǎng)絡(luò)中,
47、根據(jù)樓宇的多少來規(guī)劃,中心交換機(jī)放在網(wǎng)絡(luò)中心,各個樓中都設(shè)有交換機(jī)與樓內(nèi)的計算機(jī)相連。</p><p> 學(xué)校內(nèi)設(shè)有無線接入點(diǎn),手提電腦在校內(nèi)任何地點(diǎn)可無線上網(wǎng)。</p><p><b> 對外發(fā)布站點(diǎn)</b></p><p> 對于一些外部站點(diǎn)的問題,通常放置在DMZ區(qū)內(nèi),DMZ區(qū)的安全等級高于外網(wǎng)低于內(nèi)網(wǎng),防火墻的默認(rèn)規(guī)則是允許安全等
48、級高的訪問安全等級低的,禁止安全等級低的訪問安全等級高的。因此,防火墻不需要設(shè)置規(guī)則就可以實(shí)現(xiàn)內(nèi)網(wǎng)訪問到DMZ區(qū),但外網(wǎng)訪問到DMZ區(qū)。對于學(xué)校來講,WWW站點(diǎn)的主要目的就是對外發(fā)布信息,必須讓外網(wǎng)能夠訪問到,為了到達(dá)這個目的,可以在防火墻上添加一些規(guī)則,開放DMZ區(qū)所在服務(wù)器的IP以及相應(yīng)的端口。</p><p> DMZ區(qū)通常放置的服務(wù)器有郵件服務(wù)器、WWW服務(wù)器以及解析本校域名的兩個DNS服務(wù)器等,當(dāng)然也
49、可以放置一些其他有特殊用途、需要外網(wǎng)訪問的服務(wù)器。</p><p> 對于某些信息化程度比較高的二級部門,如信息工程學(xué)院,為了教學(xué)和科研的需要,需要給全院教師一個獨(dú)立的域名,該域名可用于HTTP和FTP。為了管理方便,該學(xué)院網(wǎng)管員向?qū)W校網(wǎng)絡(luò)中心申請了獨(dú)立域名,即IE.xxu.edu.cn。</p><p> 有了獨(dú)立域名,就可以按照自己的意愿隨意添加主機(jī)記錄,進(jìn)而可以按照前面介紹的虛擬
50、主機(jī)技術(shù)和Serv-U每一位教師搭建獨(dú)立的Web站點(diǎn)和FTP站點(diǎn)。</p><p><b> 開放機(jī)房</b></p><p> 在大學(xué)校園里,存在大量的各種各樣的開放式機(jī)房,通常這些計算機(jī)連成一個局域網(wǎng),除具備一般的互訪外,通常還要求這些計算機(jī)能夠訪問到Internet。</p><p> 最簡單的方法是給這些計算機(jī)分配合法IP地址,通
51、過交換機(jī)連入到校園網(wǎng)內(nèi)就可以了。但由于合法IP地址數(shù)量有限,根本無法滿足幾個甚至幾十個開放機(jī)房以及全校日益增多的計算機(jī)的需要,這種情況下,通常盡可能使用RFC1918定義的保留IP地址。</p><p> 因此,要實(shí)現(xiàn)Internet訪問,實(shí)際上是一個局域網(wǎng)PC如何共享上網(wǎng)的問題。在每一個機(jī)房部署一個信息點(diǎn),相當(dāng)于Internet出口,該信息分配了合法IP以及必要的相關(guān)參數(shù),利用前面“局域網(wǎng)PC共享上網(wǎng)”一章的
52、知識很容易對其進(jìn)行改造,讓所有的計算機(jī)連入Internet。</p><p><b> 無線接入</b></p><p> (此布線設(shè)置是為圖書館設(shè)置,作為剛蓋好的新圖書館,里面的設(shè)置還是很先進(jìn)的,里面可以設(shè)置無線接入網(wǎng)絡(luò)。)</p><p> 如圖: 無線接入示意圖</p><p> 對于會議室或臨時需要搭建
53、網(wǎng)絡(luò)的地方,無線局域網(wǎng)不失為最經(jīng)濟(jì)最快捷的解決方案。</p><p> 常用的無線設(shè)備有兩種,一種是無線訪問點(diǎn),即AP,另一種是無線路由器。</p><p> 無線訪問點(diǎn)相當(dāng)于Hub,只是將安裝有無線網(wǎng)卡的計算機(jī)互連起來,并連入到有線系統(tǒng)中,這些計算機(jī)可以按照實(shí)現(xiàn)規(guī)劃好的IP地址方案自己手工設(shè)置IP地址,也可以通過無線訪問點(diǎn)提供的DHCP服務(wù)動態(tài)IP地址,無論怎樣,必須要求有一個地址塊
54、可用。 </p><p><b> (無線接入示意圖)</b></p><p> 通常情況下,無線互連實(shí)現(xiàn)計算機(jī)之間的互訪已經(jīng)不是主要目的,取而代之的是實(shí)現(xiàn)Internet訪問。因此,實(shí)際上仍然是通過無線如何實(shí)現(xiàn)局域網(wǎng)PC共享上網(wǎng)的問題。</p><p> 為解決上述問題,要求設(shè)備必須具有NAT地址轉(zhuǎn)換功能,當(dāng)然路由也是必須的,默認(rèn)路由就
55、可以了。</p><p><b> 安全及管理</b></p><p> 盡管網(wǎng)絡(luò)已經(jīng)改變了我們的工作和生活方式,但網(wǎng)絡(luò)的深入應(yīng)用仍然無法展開,原因之一就是用戶對網(wǎng)絡(luò)安全仍不放心,設(shè)計一個足夠安全的網(wǎng)絡(luò)是網(wǎng)絡(luò)設(shè)計人員追求的目標(biāo)。</p><p> 安全問題是一個系統(tǒng)工程,涉及到不同的層次。筆者將網(wǎng)絡(luò)的安全歸納為4個方面。</p>
56、;<p> ?。?)設(shè)備級安全,包括網(wǎng)絡(luò)中所有可管理的網(wǎng)絡(luò)設(shè)備、服務(wù)器以及網(wǎng)管工作站的安全。設(shè)備級安全是網(wǎng)絡(luò)的第一道屏障。現(xiàn)在很多設(shè)備都提供了遠(yuǎn)程Telnet或基于Web 的管理功能,無論黑客通過哪一種方式進(jìn)入網(wǎng)絡(luò)設(shè)備,里面的配置文件,包括安全配置就一覽無余,黑客可能修改配置文件,使網(wǎng)絡(luò)癱瘓;也可能刪除安全配置,將網(wǎng)絡(luò)的大門打開。解決辦法是嚴(yán)格限制能夠遠(yuǎn)程管理(包括Telnet方式和Web 方式)網(wǎng)絡(luò)設(shè)備的IP地址列表,必
57、要時關(guān)閉部分或全部遠(yuǎn)程管理功能,對于核心網(wǎng)絡(luò)設(shè)備,如骨干交換機(jī)和路由器,建議不設(shè)遠(yuǎn)程管理IP 地址。如果黑客進(jìn)入了服務(wù)器,那么服務(wù)器中的數(shù)據(jù)資源甚至操作系統(tǒng)將面臨極大威脅,黑客可能進(jìn)一步攻擊信息資源的安全關(guān)口從而獲取信息,也可能破壞操作系統(tǒng)使整個系統(tǒng)陷入癱瘓甚至導(dǎo)致數(shù)據(jù)資源無法恢復(fù),解決辦法包括關(guān)閉服務(wù)器的遠(yuǎn)程管理功能,尤其是類UNIX操作系統(tǒng)的Telnet功能,使用入侵檢測軟件掃描系統(tǒng)存在的漏洞,關(guān)閉所有未使用但可能有潛在危險的TCP
58、或UDP端口,增加管理員級密碼長度和復(fù)雜度,嚴(yán)格控制用戶組的用戶權(quán)限。網(wǎng)管工作站一般是用來管理和監(jiān)控整個網(wǎng)絡(luò)運(yùn)行的專用PC ,權(quán)限較大,通常放在網(wǎng)絡(luò)</p><p> 因此,務(wù)必做好網(wǎng)管工作站的安全工作,尤其注意把網(wǎng)管工作站作為跳板進(jìn)行網(wǎng)絡(luò)攻擊的情況發(fā)生,這種方式是極其隱蔽的。數(shù)據(jù)庫服務(wù)器采用RAID 5或雙機(jī)熱備份、網(wǎng)絡(luò)存儲等方法保證數(shù)據(jù)的可靠性,一旦遭到破壞可立即恢復(fù)。</p><p&g
59、t; 2)傳輸級安全,指敏感數(shù)據(jù)在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質(zhì),室內(nèi)明線使用屏蔽雙絞線,中心機(jī)房加裝屏蔽網(wǎng);對遠(yuǎn)程傳輸?shù)男畔⑦M(jìn)行加密,加密強(qiáng)度和加密算法根據(jù)要求的安全級別確定,保證信息在傳輸過程中不可識別和破解。傳輸級安全的另一個重要方面是拒絕服務(wù)攻擊,防止黑客使用網(wǎng)絡(luò)上一臺并不存在或無法路由的IP 地址攻擊服務(wù)器,造成被攻擊的主機(jī)無法收到應(yīng)答而導(dǎo)致連接超時,主機(jī)在
60、等待響應(yīng)的過程消耗了主機(jī)和網(wǎng)絡(luò)的資源,如果有成千上萬個連接超時,最終將導(dǎo)致被攻擊的主機(jī)資源耗盡甚至操作系統(tǒng)崩潰,這種攻擊方式也占用了大量的網(wǎng)絡(luò)帶寬,使傳輸鏈路阻塞,解決的辦法是啟用TCP攔截。</p><p> ?。?)網(wǎng)絡(luò)層安全,是網(wǎng)絡(luò)安全設(shè)計中的重要一環(huán),網(wǎng)絡(luò)層攻擊是黑客最常用的攻擊方式,如外部入侵,對于這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進(jìn)行內(nèi)外隔離,同時內(nèi)網(wǎng)采用保留IP 地址,訪問外網(wǎng)時進(jìn)行
61、NAT轉(zhuǎn)換(網(wǎng)絡(luò)地址轉(zhuǎn)換)。</p><p> 目前國內(nèi)外軟硬件防火墻產(chǎn)品很多,功能基本類似,相差無幾,關(guān)鍵體現(xiàn)在性能上,顯然,硬件實(shí)現(xiàn)要好一些,不僅性能要好,而且硬件防火墻有自己專有的操作系統(tǒng),防止了黑客借助操作系統(tǒng)進(jìn)行間接攻擊的可能性,當(dāng)然,價格上相對軟件防火墻也要高一些。網(wǎng)絡(luò)層安全除了防止外部入侵外,也要注意防止內(nèi)部的越權(quán)訪問和故意破壞,一般在VLAN之間進(jìn)行訪問控制,比如允許財務(wù)部門訪問其他部門的資源但
62、不允許任何其他部門訪問財務(wù)部門的資源。</p><p> ?。?)應(yīng)用級安全,包括防病毒和認(rèn)證體系。近年來先后出現(xiàn)CIH、Red Code 等傳播廣泛,破壞力強(qiáng)的病毒,主要表現(xiàn)為刪除系統(tǒng)文件使系統(tǒng)癱瘓或打開多個進(jìn)程使系統(tǒng)資源耗盡。</p><p> 因此,必須做好防病毒工作,及時更新病毒庫,修補(bǔ)系統(tǒng)漏洞。對于病毒問題,為有效進(jìn)行管理,可安裝網(wǎng)絡(luò)防病毒軟件,客戶端自動到部署在校園網(wǎng)內(nèi)的防病
63、毒服務(wù)器更新病毒庫。各種認(rèn)證體系是網(wǎng)絡(luò)安全的最后一道屏障,必須做好私有密鑰的保密工作,防止泄露。應(yīng)用軟件采取訪問權(quán)限、數(shù)據(jù)加密、口令密碼等各種手段保證應(yīng)用軟件本身的安全可靠性。</p><p> 大學(xué)校園網(wǎng)是一個比較大型的網(wǎng)絡(luò),為了保證校園網(wǎng)更加有效地、可靠地運(yùn)行,建議配置一臺網(wǎng)絡(luò)管理工作站,以便更有效地對校園網(wǎng)進(jìn)行管理。</p><p> 根據(jù)網(wǎng)絡(luò)設(shè)備選型,可以選擇相應(yīng)廠商提供的網(wǎng)管
64、軟件,如Cisco works 2000,也可以選擇HP OpenView等第3方網(wǎng)管軟件。</p><p> 校園網(wǎng)運(yùn)行需要大量的運(yùn)行費(fèi)用,為在一定程度上減輕負(fù)擔(dān),對宿舍樓、家屬樓等用戶可以實(shí)施部分象征性的收費(fèi),可以通過計費(fèi)軟件實(shí)現(xiàn)。</p><p> 對于家屬區(qū)和宿舍樓來講,可以采取私有保留地址,并通過DHCP動態(tài)分配。</p><p><b>
65、 外部邊界防護(hù)建設(shè)</b></p><p> IDS和防火墻聯(lián)動示意圖</p><p> Internet邊界惡性數(shù)據(jù)防范</p><p> 采用病毒網(wǎng)關(guān)在Internet邊界進(jìn)行病毒、病毒郵件、垃圾郵件、非法郵件的過濾。</p><p><b> 服務(wù)器群安全防護(hù)</b></p>&l
66、t;p> 對核心服務(wù)器群部署一臺防火墻和一臺入侵檢測系統(tǒng),按照以下規(guī)則配置:</p><p> .特定服務(wù)器(如學(xué)籍、學(xué)分管理系統(tǒng))只允許特定IP段訪問</p><p> .WEB、Mail服務(wù)完全開放</p><p> .入侵檢測和防火墻聯(lián)動,發(fā)現(xiàn)對服務(wù)器的入侵行為立刻阻斷</p><p> Web服務(wù)器安全防護(hù)</p
67、><p> 通過部署主頁防篡改軟件,能有效的監(jiān)控網(wǎng)站網(wǎng)頁是否被惡意修改、刪除,并能在最短的時間內(nèi)采取恢復(fù)措施,有效的保證數(shù)據(jù)的完整性與真實(shí)性</p><p> 對部門信息資源的保護(hù)</p><p> 針對部門的信息系統(tǒng)防護(hù),按照不同部門的安全級別及安全需求,可以考慮以下兩種方式:</p><p> VLAN、ACL,建立VLAN間訪問控制
68、規(guī)則</p><p> 部門級防火墻、入侵檢測</p><p><b> 系統(tǒng)漏洞檢測</b></p><p> 部署一臺網(wǎng)絡(luò)漏洞掃描儀,對網(wǎng)絡(luò)各個部分進(jìn)行漏洞掃描,以發(fā)現(xiàn)網(wǎng)絡(luò)漏洞</p><p><b> 安全掃描的使用</b></p><p><b>
69、 系統(tǒng)安全評估的途徑</b></p><p> 為堵死安全策略和安全措施之間的缺口,必須從以下三方面對網(wǎng)絡(luò)安全狀況進(jìn)行評估:</p><p> 從學(xué)校外部進(jìn)行評估:考察學(xué)校邊界防火墻</p><p> 從學(xué)校內(nèi)部進(jìn)行評估:考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計算機(jī)</p><p> 從應(yīng)用系統(tǒng)進(jìn)行評估:考察每臺服務(wù)器上運(yùn)行的應(yīng)用系統(tǒng)<
70、;/p><p><b> 系統(tǒng)漏洞修復(fù)</b></p><p> 系統(tǒng)漏洞修復(fù)的目的是彌補(bǔ)系統(tǒng)漏洞,增強(qiáng)系統(tǒng)的的抗攻擊性,較大的提高系統(tǒng)本身安全。根據(jù)學(xué)校具體情況,可以考慮采用以下兩種模式:</p><p><b> 部署請求式升級系統(tǒng)</b></p><p><b> 部署中控式升級
71、系統(tǒng)</b></p><p><b> 請求式升級系統(tǒng)</b></p><p><b> 校園網(wǎng)病毒防護(hù)</b></p><p><b> 應(yīng)用系統(tǒng)安全建設(shè)</b></p><p> 應(yīng)用系統(tǒng)的安全部署建議如下:</p><p>&
72、lt;b> 系統(tǒng)安全加固</b></p><p><b> 數(shù)據(jù)庫安全審計</b></p><p><b> 數(shù)據(jù)庫審計示意圖</b></p><p><b> 數(shù)據(jù)存儲備份</b></p><p> 對于各個學(xué)校的數(shù)據(jù)存儲備份建設(shè),我們建議各個學(xué)校
73、根據(jù)自己信息系統(tǒng)發(fā)展情況,部署不同的存儲備份系統(tǒng)。</p><p><b> DAS系統(tǒng)</b></p><p><b> NAS系統(tǒng)</b></p><p><b> SAN系統(tǒng)</b></p><p><b> DAS系統(tǒng)</b></p&
74、gt;<p> DAS完全以服務(wù)器為中心,寄生在相應(yīng)服務(wù)器或客戶端上,其本身是硬件的堆疊,不帶有任何存儲操作系統(tǒng)</p><p><b> NAS系統(tǒng)</b></p><p> NAS是一種完全脫離服務(wù)器就可直接上網(wǎng)的存儲設(shè)備,因?yàn)樗旧砑淳邆洳僮飨到y(tǒng)</p><p><b> 網(wǎng)絡(luò)認(rèn)證</b><
75、;/p><p> 建議通過網(wǎng)絡(luò)設(shè)備,實(shí)現(xiàn)用戶登錄網(wǎng)絡(luò)的身份認(rèn)證,保證每個用戶名的唯一性和關(guān)聯(lián)性, 這是安全審計系統(tǒng)能得以運(yùn)行的前提條件.</p><p><b> 用戶行為審計</b></p><p><b> 宿舍或辦公室用戶</b></p><p><b> 網(wǎng)絡(luò)審計</b&
76、gt;</p><p><b> 機(jī)房用戶</b></p><p><b> 代理審計</b></p><p><b> 網(wǎng)絡(luò)安全審計功能</b></p><p><b> HTTP審計</b></p><p> 對敏感I
77、P進(jìn)行HTTP審計</p><p> 對敏感URL進(jìn)行審計</p><p> 對頁面關(guān)鍵字進(jìn)行審計</p><p><b> FTP審計</b></p><p> 對每次FTP協(xié)議的登錄行為進(jìn)行記錄</p><p> 對敏感IP使用FTP協(xié)議的審計</p><p>
78、; 對FTP的命令行進(jìn)行審計,包括對命令、參數(shù)以及反饋值的審計</p><p><b> SMB審計</b></p><p><b> POP3審計</b></p><p> 對POP3協(xié)議的登錄進(jìn)行記錄</p><p> 對郵件源、目的地址進(jìn)行記錄</p><p>
79、; 對關(guān)鍵字(標(biāo)題、信體)進(jìn)行審計</p><p><b> TELNET審計</b></p><p> 對Telnet中的命令進(jìn)行審計</p><p><b> SMTP審計</b></p><p><b> QQ</b></p><p>&
80、lt;b> MSN</b></p><p><b> ICQ</b></p><p> 六、方案特點(diǎn)分析: ?、傧冗M(jìn)性:采用先進(jìn)成熟的銳捷網(wǎng)絡(luò)多層交換網(wǎng)絡(luò)技術(shù)和方法,針對學(xué)校共享信息資源集中在網(wǎng)絡(luò)信息中心和圖書館的特征,網(wǎng)絡(luò)核心層采用雙主節(jié)點(diǎn)、匯聚層采用均衡負(fù)載、接入層采用高安全接入與靈活計費(fèi)等策略設(shè)計,能支撐各種現(xiàn)在與未來一段時期的校園教學(xué)
81、、科研、行政管理的網(wǎng)絡(luò)應(yīng)用。(本校又新蓋圖書館一座,里面均采用先進(jìn)性設(shè)備進(jìn)行設(shè)置里面設(shè)置無線網(wǎng)絡(luò),可以給同學(xué)們提供方便的無線上網(wǎng),有筆記本的同學(xué)就可以在圖書館附近方便的上網(wǎng)查資料等等) ②可行性:本設(shè)計方案能夠充分考慮高校網(wǎng)絡(luò)教育的特點(diǎn)和應(yīng)用對象的技術(shù)、資源、管理等方面的約束,并很好地結(jié)合銳捷網(wǎng)絡(luò)產(chǎn)品特點(diǎn)進(jìn)行方案的設(shè)計。比如住宅樓要求的靜音設(shè)計,支持網(wǎng)絡(luò)用戶賬號、MAC地址與端口的捆綁實(shí)現(xiàn)高效的用戶控制能力,支持高密度端口的堆疊模式
82、,支持通信負(fù)載均衡、帶寬聚合、鏈路冗余的雙星型結(jié)構(gòu)?! 、垤`活性:網(wǎng)絡(luò)核心層、匯聚層采用模塊化交換機(jī),按照需求靈活配置各種模塊,做到既滿足需求,由留有余地。整個網(wǎng)絡(luò)架構(gòu)采用三層結(jié)構(gòu),使網(wǎng)絡(luò)具有較好的伸縮性、可以根據(jù)網(wǎng)絡(luò)建設(shè)的不同階段靈活配置和擴(kuò)展,具有能不斷吸收新技術(shù)、新方法的功能。 ?、軐?shí)用性</p><p> (1)設(shè)備可靠 銳捷網(wǎng)絡(luò)RG-S6800核心交換機(jī)提供管理引擎冗余和電源模塊冗余,490
83、9匯聚層交換機(jī)提供電源冗余功能。通過銳捷網(wǎng)絡(luò)自動保護(hù)系統(tǒng)RAPS、虛擬路由器冗余協(xié)議VRRP、虛擬狀態(tài)冗余協(xié)議VSRP、冗余模塊等,實(shí)現(xiàn)全冗余、失效切換,有效保障網(wǎng)絡(luò)核心不間斷工作。 ?。?)網(wǎng)絡(luò)可靠 所有端口上都支持802.1Q的VLAN, MAC地址以及生成樹協(xié)議802.1D、802.1w、RRSTP、PVST、MVST。802.1W(快速生成樹協(xié)議)可以提供高速的鏈路冗余備份功能,保證快速收斂,提高容錯能力,保證網(wǎng)絡(luò)的穩(wěn)定
84、運(yùn)行?! 、蘅蓴U(kuò)展性:采用模塊化交換機(jī)、可堆疊交換機(jī),使系統(tǒng)具有良好的可擴(kuò)展性,又具有發(fā)展?jié)摿?。比如交換機(jī)增加模塊即可擴(kuò)展網(wǎng)絡(luò)的規(guī)?;蛲卣谷哂噫溌贰?lt;/p><p> 另外還有完善的音視頻支持 ?。?)支持多層視頻組播 傳遞語音、視頻等多媒體信號將是教育城域網(wǎng)應(yīng)用主要功能之一。本方案中核心設(shè)備支持DVRMP、PIM、IGMP組播協(xié)議,匯聚層設(shè)備支持IGMP Snooping,計算機(jī)機(jī)房交換機(jī)支持在組播環(huán)
85、境中使用和流量控制、過濾廣播風(fēng)暴功能,因此能很好的節(jié)省網(wǎng)絡(luò)帶寬和支持VOD等業(yè)務(wù),從而保證語音、視頻等多媒體教學(xué)的應(yīng)用。 ?。?)使用語音網(wǎng)關(guān)提供內(nèi)部VOIP功能 銳捷網(wǎng)絡(luò)語音網(wǎng)關(guān)基于成熟的H.323信令技術(shù)開發(fā),可以實(shí)現(xiàn)通過教育城域網(wǎng)傳輸語音,在學(xué)校和教育機(jī)構(gòu)內(nèi)實(shí)現(xiàn)教育系統(tǒng)內(nèi)部IP電話,從而充分提高線路的利用率。 綜上所述,本方案是一個依據(jù)用戶需求,充分利用銳捷網(wǎng)絡(luò)產(chǎn)品自身特色設(shè)計的校園網(wǎng)整體解決方案。該方案依
86、據(jù)高師院校網(wǎng)絡(luò)應(yīng)用的特征,采用銳捷網(wǎng)絡(luò)成熟、適用、實(shí)用、好用、夠用的產(chǎn)品與技術(shù),力爭以最小的投資得到最大的滿足。</p><p><b> 七、結(jié)束語</b></p><p> 該方案從需求和現(xiàn)狀分析出發(fā),提出了網(wǎng)絡(luò)改造的基本思路,提供了完整的網(wǎng)絡(luò)拓?fù)潴w系設(shè)計。但是,從可操作的解決方案看,應(yīng)該提出更加詳實(shí)具體的實(shí)現(xiàn)技術(shù)路線。由于學(xué)生知識水平有限,設(shè)計有不周密的,考
87、慮不全的地方還望老師見諒!</p><p><b> 八、致謝</b></p><p> 跟著潘磊老師學(xué)習(xí)了一學(xué)期的組網(wǎng)工程,根據(jù)我們的所學(xué)習(xí)知識設(shè)計了此方案,非常感謝潘磊老師!</p><p><b> 九、參考文獻(xiàn)</b></p><p> <<局域網(wǎng)技術(shù)和組網(wǎng)工程>&
88、gt;,網(wǎng)絡(luò)上的文獻(xiàn)</p><p><b> 附:分析設(shè)備需求</b></p><p><b> 1.交換機(jī)</b></p><p> a.全模塊化骨干多層交換機(jī):</p><p> 傳輸方式: 存儲轉(zhuǎn)發(fā)方式;</p><p> 傳輸速率: 10M/100M/10
89、00Mbps;</p><p> 支持網(wǎng)絡(luò)標(biāo)準(zhǔn): IEEE 802.3, IEEE 802.1x, EEE 802.1Q等;</p><p><b> 雙全工:支持;</b></p><p> VLAN支持: 支持; </p><p><b> 網(wǎng)管功能: 支持;</b></p>
90、<p><b> b.三層交換機(jī):</b></p><p> 傳輸方式: 存儲轉(zhuǎn)發(fā)方式;</p><p> 傳輸速率 10M/100M/1000Mbps;</p><p><b> 堆疊: 不可堆疊;</b></p><p><b> 雙全工:支持;</b&g
91、t;</p><p><b> 網(wǎng)管功能: 支持;</b></p><p> c.二層交換機(jī)(快速以太網(wǎng)交換機(jī)):</p><p> 傳輸方式: 存儲轉(zhuǎn)發(fā)方式;</p><p> 傳輸速率: 10M/100Mbps;</p><p><b> 雙全工:支持;</b>
92、</p><p><b> 堆疊: 可堆疊;</b></p><p> VLAN: 支持VLAN;</p><p> 網(wǎng)管功能: 支持Telnet遠(yuǎn)程配置,支持通過Console口配置,支持SNMP管理;</p><p><b> 2.服務(wù)器</b></p><p>
93、 網(wǎng)絡(luò)中心配置5臺部門級服務(wù)器,分別是應(yīng)用服務(wù)器和Web服務(wù)器、FTP服務(wù)器、郵件服務(wù)器、DHCP服務(wù)器、DNS服務(wù)器。</p><p> 3.現(xiàn)行關(guān)鍵技術(shù)需求分析</p><p><b> 常用的網(wǎng)絡(luò)技術(shù)有:</b></p><p> 以太網(wǎng)技術(shù)(快速以太網(wǎng)、交換式以太網(wǎng)、千兆位以太網(wǎng))、ATM、FDDI等,其中以太網(wǎng)用途最為廣泛。&
94、lt;/p><p> a. 以太網(wǎng)技術(shù)的優(yōu)點(diǎn):</p><p> 由于以太網(wǎng)的技術(shù)成熟、成本較低、互操作性強(qiáng)、易于使用和管理、可擴(kuò)充性強(qiáng),因此,選用以太網(wǎng)技術(shù)。</p><p> b. 第三層交換技術(shù):</p><p> 一方面支持VLAN之間通信;另一方面交換技術(shù)減少了數(shù)據(jù)包的碰撞問題。支持VLAN的交換機(jī)配合第三層功能不但具有很高的性
95、能,而且具有充分的彈性,因此,是最好的選擇。</p><p> c.網(wǎng)絡(luò)的冗余技術(shù):</p><p> 提高網(wǎng)絡(luò)的可靠性;鏈路冗余既可提高可靠性,又能均衡負(fù)載;</p><p> 缺點(diǎn):不適應(yīng)重負(fù)荷應(yīng)用環(huán)境,實(shí)時性差,存在沖突域;</p><p><b> 常用LAN技術(shù)有:</b></p><
96、;p> 以太網(wǎng)技術(shù)是目前世界上運(yùn)用最廣泛的媒體訪問技術(shù)。以太網(wǎng)泛指所有采用CSMA/CD的局域網(wǎng),包括Ethernet II和IEEE 802.3。</p><p> 基本工作原理:以太網(wǎng)是一種廣播型網(wǎng)絡(luò),即網(wǎng)絡(luò)上的所有站點(diǎn)都能收到所有的幀。任一CSMA/CD站點(diǎn)在發(fā)送數(shù)據(jù)前,首先偵聽網(wǎng)絡(luò)上有無數(shù)據(jù)流,如果有就等待,否則立即將數(shù)據(jù)流送到網(wǎng)絡(luò)上。假設(shè)此時另一個站點(diǎn)也同時發(fā)送數(shù)據(jù),則產(chǎn)生沖突,數(shù)據(jù)被破壞。兩
97、個站點(diǎn)按一定的退避算法延時后,再將數(shù)據(jù)送入網(wǎng)絡(luò)。由于有隨機(jī)沖突,以太網(wǎng)的統(tǒng)計有效利用率僅為1/e即36.8%。</p><p> 以太網(wǎng)常用的介質(zhì)有雙絞線(10 Base-T),粗纜(10Base-2)、細(xì)纜(10Base-5)和光纖(10 Base FL )。</p><p><b> 常用WAN協(xié)議有:</b></p><p>
98、 a.HDLC是一種面向比特的傳輸控制規(guī)程。HDLC協(xié)議中有明確的主站和次站,主站負(fù)責(zé)數(shù)據(jù)傳送的組織和鏈路差錯控制,次站執(zhí)行主站所指示的操作。常用于專線和DDN。</p><p> b. PPP是一種廣泛用于點(diǎn)對點(diǎn)通信的協(xié)議, 常用于專線、DDN和異步線路。</p><p> 常用無線局域網(wǎng)技術(shù)有:</p><p> 無線局域網(wǎng)是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)
99、合的產(chǎn)物。具有以下優(yōu)點(diǎn):安裝便捷,使用靈活,經(jīng)濟(jì)節(jié)約,易于擴(kuò)展。常用的無線網(wǎng)絡(luò)設(shè)備有網(wǎng)卡、AP、無線網(wǎng)橋和無線路由器等?;贗EEE802.11標(biāo)準(zhǔn),無線接入技術(shù)目前比較流行的有802.11標(biāo)準(zhǔn)、藍(lán)牙(Bluetooth)、HomeRF(家庭網(wǎng)絡(luò))和IrDA(Infrared Data Association,紅外線數(shù)據(jù)標(biāo)準(zhǔn)協(xié)會)。</p><p><b> IP規(guī)劃</b></p&
100、gt;<p><b> a. IP需求</b></p><p> b.IP地址劃分原則</p><p> (1)IP地址的分配有足夠的靈活性,可滿足各種接入方式的需求; (3)IP地址的分配必須采用VLSM技術(shù),保證IP地址的利用效率; (4)采用CIRD技術(shù),以減少路由表
101、的大小,加快路由的收斂速度,減小網(wǎng)絡(luò)中廣播的路由信息的大小。</p><p> c.網(wǎng)段劃分設(shè)計與分析(考慮到可擴(kuò)展性)</p><p> 系統(tǒng)可擴(kuò)展性設(shè)計 為有效地保護(hù)投資方未來擴(kuò)展能力,本方案提供設(shè)備交換容量的擴(kuò)展能力、端口密度的擴(kuò)展能力、主干帶寬擴(kuò)展能力以及網(wǎng)絡(luò)規(guī)模的擴(kuò)展能力。網(wǎng)絡(luò)體系、路由協(xié)議的規(guī)劃和設(shè)備的CPU路由處理能力,能夠滿足網(wǎng)絡(luò)超過10000個節(jié)點(diǎn)規(guī)模的要求。&l
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 畢業(yè)設(shè)計---校園網(wǎng)規(guī)劃與設(shè)計
- 校園網(wǎng)設(shè)計與規(guī)劃畢業(yè)設(shè)計
- 畢業(yè)設(shè)計--校園網(wǎng)規(guī)劃與設(shè)計
- 畢業(yè)設(shè)計---校園網(wǎng)規(guī)劃設(shè)計
- 校園網(wǎng)規(guī)劃畢業(yè)設(shè)計
- 校園網(wǎng)規(guī)劃設(shè)計畢業(yè)設(shè)計論文
- 網(wǎng)絡(luò)設(shè)計和規(guī)劃畢業(yè)設(shè)計---校園網(wǎng)規(guī)劃與設(shè)計
- 畢業(yè)設(shè)計---校園網(wǎng)的構(gòu)建與規(guī)劃
- 校園網(wǎng)規(guī)劃設(shè)計方案畢業(yè)設(shè)計
- 畢業(yè)設(shè)計---校園網(wǎng)設(shè)計
- 校園網(wǎng)畢業(yè)設(shè)計
- 校園網(wǎng)畢業(yè)設(shè)計
- 校園網(wǎng)畢業(yè)設(shè)計---某學(xué)院校園網(wǎng)設(shè)計
- 畢業(yè)設(shè)計--校園網(wǎng)設(shè)計與建設(shè)
- 網(wǎng)絡(luò)畢業(yè)設(shè)計---校園網(wǎng)規(guī)劃設(shè)計方案
- 畢業(yè)設(shè)計--局域網(wǎng)(校園網(wǎng))的設(shè)計規(guī)劃
- 畢業(yè)設(shè)計---校園網(wǎng)絡(luò)規(guī)劃與設(shè)計
- 校園網(wǎng)畢業(yè)設(shè)計---校園網(wǎng)絡(luò)設(shè)計方案
- 校園網(wǎng)組建畢業(yè)設(shè)計
- 校園網(wǎng)建設(shè)畢業(yè)設(shè)計
評論
0/150
提交評論