計算機網(wǎng)絡組網(wǎng)畢業(yè)設計(校園局域網(wǎng)設計畢業(yè)論文)

1、摘 要現(xiàn)代辦學條件的學校必須建立完善的服務于教育教學的計算機校園網(wǎng)、信息庫。校園網(wǎng)為學校的教學、管理、辦公、信息交流和通訊等提供綜合的網(wǎng)絡環(huán)境。校園網(wǎng)的使用，使學校的教育、教學研究和管理工作跨上一個新臺階，我們可以充分利用現(xiàn)有計算機資源，實現(xiàn)信息交流和軟硬件資源的共享，實現(xiàn)學校辦公、管理、教學的現(xiàn)代化。校園網(wǎng)是當今信息社會發(fā)展的必然趨勢。它是以現(xiàn)代網(wǎng)絡技術、多媒體技術及internet技術等為基礎建立起來的計算機網(wǎng)絡，一方面連接學校內部子網(wǎng)和分散于校園各處的計算機，另一方面作為溝通校園內外部網(wǎng)絡的橋梁。校園網(wǎng)為學校的教學、管理、辦公、信息交流和通信等提供綜合的網(wǎng)絡應用環(huán)境。要特別強調的是，不能

2、把校園網(wǎng)簡單的理解為一個物理意義上的由一大堆設備組成的計算機硬件網(wǎng)絡，而應該把校園網(wǎng)理解為學校信息化、現(xiàn)代化的基礎設施和教育生產(chǎn)力的勞動工具，是為學校的教學、管理、辦公、信息交流和通信等服務的。要實現(xiàn)這一點，校園網(wǎng)必須有大量先進實用的應用軟件來支撐，軟硬件的充分結合是校園網(wǎng)發(fā)揮作用的前提。一個好的校園網(wǎng)，安全問題是至關重要的。隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程

3、服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。 目 錄第一章、 前言5第二章、 需求分析62.1 概括62.2目的及要求72.3 功能82.4 預期目標11第三章、 綜合布線123.1 規(guī)范和標準123.1.1 設計規(guī)范和標準123.1.2 工業(yè)企業(yè)通信設計規(guī)范133.2 設計范圍及要求133.2.1 設計范圍133.2.2 設計規(guī)范的確定13 3.2.3 布線要求143.3 系統(tǒng)設計143.3.1 工作區(qū)子系統(tǒng)的設計143.3.2 水平子系統(tǒng)的設計143.3.3 管理子系統(tǒng)的設計153.3.4 干線子系統(tǒng)的設計153.3.5 設備間子系統(tǒng)的設計153

4、.3.6 建筑群子系統(tǒng)的設計16第四章、 校園網(wǎng)絡總體規(guī)劃設計184.1 項目設計原則184.2 主干網(wǎng)設計194.3 圖書館網(wǎng)絡設計194.4 宿舍局域網(wǎng)設計204.5 教學樓區(qū)網(wǎng)絡設計204.6 學院禮堂網(wǎng)絡214.7 ip地址的分配21第五章、 設備選型235.1 服務器235.2 防火墻245.3 機柜245.4 路由器245.5 交換機255.6 pc機26第六章、 網(wǎng)絡安全與防護技術276.1 計算機網(wǎng)絡安全276.1.1 計算機網(wǎng)絡安全的目的和功能276.1.2 網(wǎng)絡安全的潛在威脅286.1.3 網(wǎng)絡安全的策略6.2 防火墻技術6.2.1 防火墻的概念6.2.2 防火墻的作用和特

5、性6.2.3 實現(xiàn)防火墻的主要技術6.2.4 防火墻的體系結構6.2.5 防火墻選擇原則6.2.6 防火墻的配置第七章、 工期及費用第八章、 代碼第九章、 鳴謝第十章、 參考文獻 第一章、 前 言隨著學校教育手段的現(xiàn)代化，很多學校已經(jīng)逐漸開始將學校的管理和教學過程向電子化方向發(fā)展，校園網(wǎng)的有無以及水平的高低也將成為評價學校及學生選擇學校的新的標準之一，此時，校園網(wǎng)的應用系統(tǒng)就顯得尤為重要。一方面，學生可以通過它在促進學習的同時掌握豐富的計算機及網(wǎng)絡信息知識，毫無疑問，這是學生綜合素質中極為重要的一部分；另一方面，基于先進的網(wǎng)絡平臺和其上的應用系統(tǒng)，將極大的促進學校教育的現(xiàn)代化進程，實現(xiàn)高水平的

6、教學和管理。網(wǎng)絡是信息高速發(fā)展的紐帶，它不但可以帶給我們信息發(fā)展的前沿，還能夠幫助我們查閱大量的信息，它所提供的信息資源幾乎是無窮無盡的。網(wǎng)絡作為一種研究工具的出現(xiàn)，極大的拓展了知識的獲取范圍，大大地降低了我們在每一項工作上所消耗的時間。校園網(wǎng)是網(wǎng)絡技術應用于教育事業(yè)的一種體現(xiàn)，改善校園網(wǎng)不僅可以充分的提高教學質量，更能夠讓學生對學習產(chǎn)生興趣，而且它也是管理、辦公、信息交流和通信等現(xiàn)代化的標志。因此，對于一個學院來說，擴大校園網(wǎng)的規(guī)模，提高信息傳輸質量，增添新的設備，采用最新的技術，是事在必行的。 第二章、需求分析2.1 概括一期工程包括：三棟教學樓，一棟實驗樓，七棟宿舍樓，一棟行政樓，大禮堂

7、及小賣部。由于學校剛剛建設，還沒有校園網(wǎng)絡，資源不能共享，相互間及與外界不能進行信息交流，亟待建設校園網(wǎng)。學院已具備校園數(shù)字化建設和管理的基本條件。大學是一個小社會，網(wǎng)絡應用類型非常復雜，信息媒體類型較多，且具有信息流猝發(fā)特點。在我院校園網(wǎng)建設中，應充分兼顧信息資源共享與服務、多媒體教學和教務管理等因素對網(wǎng)絡的需求。 2.2 目的及要求建網(wǎng)的目的：實現(xiàn)大學的校園網(wǎng)絡化，校園的教學樓、宿舍、圖書館等各個部分都能實現(xiàn)計算機聯(lián)網(wǎng)，并且整個校園接入互聯(lián)網(wǎng)，以及校園的數(shù)字化建設。建網(wǎng)的要求：（1）實用性和經(jīng)濟性充分集成現(xiàn)有的各種計算機和網(wǎng)絡設備，使建設的系統(tǒng)適用、安全、可靠且易管理、維護和擴展，具有最高

8、的性價比。（2）開放性構造一個開放的網(wǎng)絡系統(tǒng)，是當前世界計算機技術發(fā)展的潮流。在整個系統(tǒng)設計中采用的規(guī)范和設備與廠商無關，具有較強的兼容性，便于與外界異種機平滑互聯(lián)。（3） 先進性當今計算機網(wǎng)絡技術發(fā)展日新月異，把握不準方向則可能導致在很短的時間內技術落伍，從而面臨被淘汰的危險。因此在堅持實用性的前提下盡量采用國際先進成熟的網(wǎng)絡技術和設備，以適于未來的發(fā)展和需要，做到一次規(guī)劃長期受益。（4） 可擴充性所選擇的聯(lián)網(wǎng)方案及設備要能適應網(wǎng)絡規(guī)劃不斷擴大的要求，以便于將來設備的擴充；要能適應信息技術不斷發(fā)展的要求，平穩(wěn)地向未來新技術過渡。（5） 可靠性系統(tǒng)設計除采用信譽好、質量高的設備外，還采用一系列

9、容錯、冗余技術，提高整個系統(tǒng)的可靠性。為了保證骨干網(wǎng)絡平臺的健壯性和鏈路冗余性，建議網(wǎng)絡實施時在學校啟用千兆備份線路。在學校啟用物理鏈路冗余機制，保證任何一條線路出現(xiàn)故障后骨干網(wǎng)絡平臺的可用性。（6） 安全性包括兩個方面：網(wǎng)絡用戶級的安全性，數(shù)據(jù)傳輸級的安全性。網(wǎng)絡用戶級的安全性應在網(wǎng)絡的操作系統(tǒng)中予以考慮，而數(shù)據(jù)傳輸?shù)陌踩詣t必須在網(wǎng)絡傳輸時解決。在網(wǎng)絡設計中，既要考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防ddos拒絕服務攻擊、防ip掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權限控制等，有多種的保護機制

10、，如劃分vlan、ip/mac地址綁定（過濾）、acl、路由過濾、防ddos拒絕服務攻擊、防ip掃描、802.1x認證機制、ssh加密連接等具體技術提升整個網(wǎng)絡的安全性。 2.3 功能建網(wǎng)的功能：（1）辦公自動化（2）網(wǎng)絡多媒體教學（3）學生自主學習（4）電子圖書館（5）電子郵件（6）遠程教育（7）校園一卡通工程（8）校園移動計算（9）流量計費 校園網(wǎng)設計應該從以下幾個方面來考慮：第一章、 調查內容：1.決策層需求： 第二章、 第三章、 i 學院建設規(guī)模：約1500畝第四章、 ii 計算機數(shù)量：1000余臺第五章、 iii 建筑物：行政樓1棟，實驗樓1棟，圖書館1棟，教學樓3棟，學生宿舍7棟，

11、大禮堂、一期商業(yè)街第六章、 iv 預測增長率：全員師生員工規(guī)劃人數(shù)：20000人第七章、 v 所期望的校園網(wǎng)功能：能提供決策方面的主要數(shù)據(jù)第八章、 vi 對校園網(wǎng)的要求：性能價格比高，故障率低，盡量使用成熟、先進的技術。第九章、 vii 遠程訪問：需要2.中層管理需求： 第四十七章、 i、辦公需求：辦公自動化，文檔電子化，電子公告牌 第四十八章、 ii、管理需求：會議管理，個人信息管理，公共信息管理，公文管理，教務綜合管理，圖書館自動化管理第四十九章、 iii、遠程訪問：需要第五十章、 辦公自動化系統(tǒng)結構圖：綜合教務管理系統(tǒng)： 圖書館自動化管理系統(tǒng)： 3教師需求： 第五十一章、 調查第五十四章

12、、 iii、自學需求：電子圖書館，資料查詢 第五十五章、 iv、遠程訪問：需要 第五十六章、4學生需求： 第五十七章、 第五十八章、 調查第五十九章、i、學習需求：電子文檔下載，vod，文檔打印，資料查詢，電子圖書館，在線答疑 第六十章、 ii、e-mail服務:需要 第六十一章、 第六十二章、 第六十三章、 第六十四章、iii、web服務：需要 iv、ftp服務:需要 v、遠程訪問：不需要vi、學業(yè)管理：成績查詢，課程選擇/調整第六十五章、5. 用戶需求分析： 第百一章、 第百二章、 得到用戶認可的網(wǎng)絡，才是一個成功的網(wǎng)絡。為了能最大限度地讓用戶滿意，我們針對用戶關心的網(wǎng)絡問題進行了調查，得

13、到的用戶關心的服務和對用戶工作重要的功能有：第百三章、 1 是否能及時地從網(wǎng)絡上找到用戶需要的信息第百四章、 2 網(wǎng)絡是否有效，可靠第百五章、 3 網(wǎng)絡的適應性是否強第百六章、 4 網(wǎng)絡是不是可以升級第百七章、 5 網(wǎng)絡是否安全第百八章、 6 網(wǎng)絡是否可管理第百九章、 7 網(wǎng)絡性價比是否高第百十章、6. 計算機平臺需求分析： 第百十一章、 用戶的應用需求離不開軟件的支持，而計算機平臺的好壞直接關系到用戶的應用需求是否能較好實現(xiàn)。為了能更好地實現(xiàn)用戶的運用需求，我們針對用戶所關心的計算機平臺的相關問題作了調查，得出了用戶對所希望的計算機平臺的一些要求：速度快、容量大、外觀美觀、環(huán)保、可擴充性能和

14、可升級性高、故障率低、易于使用、便于維護。 2.4 預期目標安徽新華學院數(shù)字校園設計建設目標是，建設一個以校園辦公自動化、計算機輔助教學和現(xiàn)代化計算機校園文化為核心，以現(xiàn)代網(wǎng)絡技術為依托，技術先進，擴展性強，能覆蓋校園各樓宇的校園主干網(wǎng)絡，將學校現(xiàn)有的各種計算機系統(tǒng)聯(lián)系起來，并與internet廣域網(wǎng)相連，形成結構合理、內外溝通的新型校園計算機網(wǎng)絡教學系統(tǒng)。在此基礎上建設能滿足教學、科研和管理工作需要的軟硬件環(huán)境，開發(fā)建設各類教學資源庫與應用系統(tǒng)，為教師、學生及家長提供充分的網(wǎng)絡信息服務。第三章、綜合布線綜合布線是一種模塊化的、靈活性極高的建筑物內或建筑群之間的信息傳輸通道。通過它可使話音設備

15、、數(shù)據(jù)設備、圖像設備、交換設備及各種控制設備與其他信息管理系統(tǒng)連接起來，同時也使這些設備與外部通信網(wǎng)絡相連。與傳統(tǒng)的布線相比較，綜合布線有很多優(yōu)越性，主要表現(xiàn)在兼容性、開放性、靈活性、可靠性、先進性和經(jīng)濟性等方面。因此安徽新華學院一期網(wǎng)絡工程采用綜合布線系統(tǒng)。 圖3.1 綜合布線系統(tǒng)結構圖3.1 規(guī)范和標準3.1.1 設計規(guī)范和標準統(tǒng)一標準和規(guī)范：綜合布線工程要始終執(zhí)行國際、國家和行業(yè)制定的各項標準和規(guī)范，主要的標準和規(guī)范如下：（1）ansi eia/tia 568 商用建筑的電信路由和空間的規(guī)定。（2）ansi eia/tia 569 商用建筑標準中對電信路由和空間的規(guī)定。（3）eia/ti

16、a 570 家用和輕型商業(yè)通信布線標準。（4）ansi eia/tat 606 配線間的管理。（5）ansi eia/tat 607 屏蔽與接地。（6）iso/iec11801 商用建筑電信布線標準。（7）en/50173 歐洲商用建筑電信布線標準。（8）中華人民共和國建筑物綜合布線標準建筑與建筑群綜合布線系統(tǒng)設計規(guī)范。（9）ieee 802.3u100base-t網(wǎng)絡標準。（10）ieee 802.3z100base-t網(wǎng)絡標準。3.1.2 工業(yè)企業(yè)通信設計規(guī)范（1）中國工程建設標準化協(xié)會標準“建筑與建筑群綜合布線系統(tǒng)工程設計規(guī)范” 修訂本 cecs 72：97。（2）中國工程建設標準化協(xié)會

17、標準“建筑與建筑群綜合布線系統(tǒng)工程施工及驗收規(guī)范”cecs 89：97。（3）市內電話線路工程施工及驗收技術規(guī)范。 3.2 設計范圍及要求3.2.1 設計范圍安徽新華學院一期工程的網(wǎng)絡管理中心機房位于行政樓2樓,預計一期工程包括:教學樓4棟(a,b,c,d樓)其中b樓為實驗室學生宿舍7棟(其中7號宿舍樓分為男女兩部分)行政樓一棟大禮堂及小賣部綜合建筑體一棟一期工程校園網(wǎng)由以上樓宇連接成校園網(wǎng),各棟樓間使用光纖連接，樓內千兆到樓層，百兆到桌面，并且各樓分別需要網(wǎng)絡布線以建設樓內局域網(wǎng)。3.2.2 設計規(guī)范的確定我們?yōu)楸拘５男@網(wǎng)設計的綜合布線系統(tǒng)將基于以下目標：（1）符合當前和長遠的信息傳輸要求

18、。（2）布線系統(tǒng)設計遵從國際（iso/cei11801）標準。（3）布線系統(tǒng)采用國際標準建議的星形拓撲結構。（4）基于100mbps應用需要。（5）布線系統(tǒng)的信息出口采用國際標準的rj45插座。（6）布線系統(tǒng)符合綜合業(yè)務數(shù)據(jù)網(wǎng)的要求。（7）布線系統(tǒng)要立足開放原則。3.2.3 布線要求校園網(wǎng)絡計算機主機房位于位于行政樓二層。然后通過光纜分別連至校內的其他建筑，在各建筑內部采用五類4對5類utp電纜連接到設備間的配線架。3.3 系統(tǒng)設計3.3.1 工作區(qū)子系統(tǒng)的設計工作區(qū)系統(tǒng)又稱為服務區(qū)子系統(tǒng),它是由rj-45插座和所連接的設備組成,對于校園網(wǎng)的用戶,基本上需求不是很大,故基本型即可?；拘?用銅

19、芯電纜組網(wǎng)，每個工作區(qū)的配線電纜為一條4對雙絞線,引至樓層配線架。學生宿舍信息插座安裝在進房間門框附近，采用明裝方式，墻面型信息插座，并選用白色，與墻體顏色相同，更加美觀。插座距地面高度為35cm，根據(jù)建筑物的不同，每個房間需安裝的信息插座數(shù)量也不盡相同，四人間需要一個信息插座和兩個雙孔面板，六人間需要一個信息插座和三個雙孔面板。選用五類max系列信息模塊，性能全部超過國際標準isois 11801 的指標。系統(tǒng)支持語音、數(shù)據(jù)、圖像等功能，能隨應用的需要轉向更高功能的布線系統(tǒng)。 3.3.2 水平子系統(tǒng)的設計水平子系統(tǒng)也稱為水平布線系統(tǒng)。水平布線子系統(tǒng)是從rj-45插座開始到布線主干的子系統(tǒng)。由

20、4對5類utp組成，能支持大多數(shù)現(xiàn)代化通信設備。（1） 用線采用utp雙絞線。（2） 長度不超過90米。（3） utp雙絞線布線方式采用線槽管道布線方式。3.3.3 管理子系統(tǒng)的設計為了管理方便，各層的交換機統(tǒng)一安放在設備間的配線架，故各層交換機只需一條光纜連接即可。管理間的設計及建設應考慮一下因素：（1） 管理間位置各樓層管理間一般設置在弱電豎井內，本系統(tǒng)學生宿舍管理間統(tǒng)一設置在設備間內。（2） 管理間環(huán)境要求管理配線間要盡量保持無塵，注意防火，散熱良好，每個電源插座容量不小于300w，并根據(jù)設備的要求及有關規(guī)定保證一定的溫度和濕度。建議的最佳溫度和濕度：溫度 1626，濕度 45%65%。

21、（3） 配線架排列管理間的配線間排列應遵守原則：進出線方便，跳線方便、盡量短，墻面布局合理、占用空間小。（4）跳線管理采用eia/tia 568b 接線方式，級聯(lián)時若交換機無級聯(lián)口，可用交叉線連接。（5）系統(tǒng)接地確保穿線金屬管、金屬線槽與橋梁之間及各配線架的金屬外殼具有良好的電氣連接特性，所有設備間ingredients提供接地端接子。3.3.4 干線子系統(tǒng)的設計干線子系統(tǒng)是結構化布線系統(tǒng)的骨干，包括：（1） 供干線走纜走線用的垂直通道；（2） 設備間與網(wǎng)絡接口之間的連接電纜；（3） 設備間與建筑群子系統(tǒng)之間的連接電纜；（4） 主設備間與計算機中心間的電纜。干線子系統(tǒng)的設計必須能滿足當前的需求

22、，同時又能適應今后的發(fā)展。3.3.5 設備間子系統(tǒng)的設計設備間子系統(tǒng)中的電話、數(shù)據(jù)、計算機主機設備及其保安配線設備宜設在一個房間內。設備間的位置及大小應根據(jù)設備的數(shù)量、規(guī)模、最佳網(wǎng)絡中心等內容綜合考慮確定，本方案中學生宿舍樓設備間放置在二樓。在設備間子系統(tǒng)的設計和安裝過程中還需要考慮配備不間斷電源ups和安全因素，本方案中學生宿舍無需配備ups。同時，建筑群的線纜進入建筑物時應有過流、過壓保護設施，設備間室溫保持在1027，相對濕度保持在30%80%。3.3.6 建筑群子系統(tǒng)的設計建筑群子系統(tǒng)又稱戶外子系統(tǒng)，傳輸介質除了各種有線設備外還包括其他無線通信手段，如微波、無線電通信等。戶外電纜在進入

23、大樓時通常在入口處經(jīng)過一次轉接接入戶內，為避免因雷擊或高壓線接觸給人類和設備安全帶來損失，通常在轉接處增加電器保護設備。本方案建筑群子系統(tǒng)布線方式采用地下管道敷設方式，這種方式提供了最佳的機械保護，且電纜的敷設和擴充都很容易，能保持道路和建筑物的外貌整齊。3.4 具體布線 圖3.4 校園平面圖圖3.4所示為平面圖，各棟建筑物使用光纜連接到網(wǎng)絡中心。 圖3為7號樓男生宿舍樓樓層平面圖，樓高6層，每層有27個房間， 其中北面13間，南面14間，共162個房間，女士宿舍共156個房間。7號樓為四人間，每個房間安裝一個進戶信息插座和 2 個雙孔信息面板，供學生連入網(wǎng)絡。3號樓舍，普通六宿舍 信息點 信

24、息插座 雙孔信息面板 7號樓（男） 162 162 324 7號樓（女） 156 156 312為女生宿人間，樓高6層，每層北面三間衛(wèi)生間，1樓北面樓梯占據(jù)兩間房間的位置，北面有16個房間，南面18個房間，一樓以上，南面北面都是18個房間。每個房間安裝一個進戶信息插座和 3 個雙孔信息面板，供學生連入網(wǎng)絡。樓層 1 2 3 4 5 6房間 34 36 36 36 36 36信息點 31 33 33 33 33 33信息插座31 33 33 33 33 33雙孔信息面板93 99 99 99 99 99 第四章、校園網(wǎng)絡總體規(guī)劃設計4.1 項目設計原則本系統(tǒng)需遵循以下原則。1 標準化：遵循eia

25、/tia 568要求，并符合國內現(xiàn)行通用的電氣標準。 2 開放性和兼容性：整個布線體系的接口要全部采用國際標準，能連接不同廠家不同型號的計算機、交換機、傳真機及其他電子設備終端，并且能支持不同的網(wǎng)絡結構及應用。3先進性：當今計算機網(wǎng)絡技術發(fā)展日新月異，把握不準方向則可能導致在很短的時間內技術落伍，從而面臨被淘汰的危險。因此在堅持實用性的前提下盡量采用國際先進成熟的網(wǎng)絡技術和設備，以適于未來的發(fā)展和需要，做到一次規(guī)劃長期受益。4可靠性：本設計中所應用的產(chǎn)品都要求是經(jīng)國際權威機構認證并經(jīng)過嚴格考驗的材料。5實用性和經(jīng)濟性：從保護原有的設備投資和能夠完全滿足現(xiàn)實需求的角度出發(fā)，充分集成現(xiàn)有的各種計算

26、機和網(wǎng)絡設備，使建設的系統(tǒng)適用、安全、可靠且易管理、維護和擴展，具有最高的性價比。6易用性：網(wǎng)絡系統(tǒng)的硬件設備和軟件程序易于安裝、管理和維護。各種主要網(wǎng)絡設備，比如核心交換機、匯聚交換機、接入交換機、服務器、大功率長延時ups等設備均支持流行的網(wǎng)管系統(tǒng)，以方便用戶管理、配置網(wǎng)絡系統(tǒng)。7可擴展性：本設計為網(wǎng)絡的進一步發(fā)展留有擴展的余地，因此我們選用主流產(chǎn)品和技術。我們選擇兼容性好的產(chǎn)品，以便后期擴展。8安全性：包括兩個方面：網(wǎng)絡用戶級的安全性，數(shù)據(jù)傳輸級的安全性。網(wǎng)絡用戶級的安全性應在網(wǎng)絡的操作系統(tǒng)中予以考慮，而數(shù)據(jù)傳輸?shù)陌踩詣t必須在網(wǎng)絡傳輸時解決。在網(wǎng)絡設計中，既要考慮信息資源的充分共享，更

27、要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防ddos拒絕服務攻擊、防ip掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權限控制等，有多種的保護機制，如劃分vlan、ip/mac地址綁定（過濾）、acl、路由過濾、防ddos拒絕服務攻擊、防ip掃描、802.1x認證機制、ssh加密連接等具體技術提升整個網(wǎng)絡的安全性。4.2 主干網(wǎng)設計 4.3 圖書館網(wǎng)絡設計 4.4 宿舍局域網(wǎng)設計 4.5 教學樓區(qū)網(wǎng)絡設計 4.6 學院禮堂網(wǎng)絡 4.7 ip地址的分配地點樓層號 vlan號 ip網(wǎng)段 1.2層行政樓3.4層 5.6層 1.2層行政樓無線網(wǎng)

28、3.4層 5.6層 1層 2層a樓3層 4層 5層 1層b樓2層 3層 4層2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ip首地址 10.10.0

29、.1 ip末地址 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 子網(wǎng)掩碼5層b樓15層 1層 2層c樓3層 4層 5層c樓（多媒體） 15層17 18 19

30、20 21 22 23 24 54 54 54 54 54 54 54 54 d樓d樓（多媒體）1號宿舍樓2號宿舍樓3號宿舍樓4號宿舍樓

31、5號宿舍樓1層25 2層 26 3層 27 4層28 14層29 1層 30 2層31 3層 32 4層 33 5層 34 6層 35 1層 36 2層37 3層 38 4層 39 5層 40 6層 41 1層 42 2層43 3層 44 4層 45 5層 46 6層 47 1層 48 2層49 3層 50 4層 51 5層 52 6層 53 1層 54 2層55 3層 56 4層 57 5層58

32、 1

33、 54 5

34、4 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 5

35、4 54 54 54 54 54 54 54 6層 1層 2層6號宿舍樓3層 4層 5層 6層 1層 2層7號宿舍樓3層 4層 5層 6層翰林、小賣部 鏈路vlan 管理vlan全網(wǎng) 全網(wǎng)59 60 61 62 63 64 65 66 67 68 69 70 71 73 10

36、.69.0.0 54 54 54 54 54 54 54

37、54 54 54 54 54 54 54 54 541、2層 72254 第五章、 設備選型5.1 服務器ibm服務器 x346-8840-i05服務器的組成：2路intel? xeon? 處理器(1mb l2 緩存)、em64t優(yōu)化、快速400mhz pc2-3200 ddr2 內存、集成雙10/100/1000 以太網(wǎng)、支持可選的ibm remote supervisor adapter ii slim line 卡。 服務

38、器的優(yōu)點：346 提供杰出的性能、可用性和可擴展性 - 采用空間緊湊的2u 機柜設計。它最適用于網(wǎng)絡環(huán)境或空間緊湊的數(shù)據(jù)中心中需要大量存儲的應用程序和數(shù)據(jù)。x346 采用最新的intel xeon 處理器技術，旨在為客戶提供滿足當前業(yè)務需求和今后增長需要的計算功能。新的ibm extended design architecture 計劃很明顯的集成在其2u機柜設計中， x346 提供令人印象深刻的可擴展性，包括雙處理器支持、高達16gb的內存和6個高性能、熱插拔硬盤驅動器托架、以及支持內置磁帶備份的能力。如果您需要在機柜密集的環(huán)境中實現(xiàn)高性能2路處理、大容量內置存儲和卓越的可管理性均衡， x

39、346 足以勝任。 5.2 防火墻為了保證網(wǎng)絡的安全，在連接internet的路由器端口處安置了一臺cisco pix-515e硬件防火墻，用以防止外界對內部系統(tǒng)的攻擊。在服務器內又安置了中國網(wǎng)軟件防火墻，對整個網(wǎng)絡系統(tǒng)安全進行監(jiān)控，并可有效地阻擋從局域網(wǎng)內部對系統(tǒng)的攻擊。 品名：cisco pix-515e設備類型：百兆級防火墻并發(fā)連接數(shù)：12000網(wǎng)絡吞吐量(mpps)：188安全過濾帶寬(mb)：100用戶數(shù)量限制：無用戶數(shù)量限制vpn支持：支持 5.3 機柜1） 歐美式的設計風格，精良品質，專業(yè)打造。2） 萬德機柜采用優(yōu)質冷軋鋼板材，嚴格的磷酸鹽防腐蝕處理，整體噴粉均采用韓國進口粉面。

40、各項指標均達到國際安全保護標準。3） 全柜采用拼裝式結構，整體承重500kg，前后側門均可拆卸，維護更加輕松，柜內通過四根可調承重立柆解決了各種設備因尺寸差異而產(chǎn)生的安裝問題，符合19英寸工業(yè)標準。4） 友好u值提示，寬敞的安裝空間，使您安裝各種網(wǎng)絡設備及布線時更加簡便。 5.4 路由器 產(chǎn) 品 參 數(shù) 詳 細 信 息基本規(guī)格dram flash 處理器：225、263或350mhz（mips risc） 固定的廣域網(wǎng)接口：可選廣域接口wic卡支持擴展模塊數(shù)：4 控制端口：rs-232支持網(wǎng)絡協(xié)議：ieee 802.3，isdn；加密標準ah（md5），esp（null，des，3des，ar

41、c4，proprietary fast encoding，+md5/hmac，-md5）；ppp （pap，chap，lcp，ipcp，mlppp）；支持的網(wǎng)管協(xié)議：cisco clickstart，snmp是否 是否支持vpn：是是否支持qos：是電源電壓 (v)：100-240 電源功率 (w)：150重量 (kg)：3.6 長度 (mm)：445寬度 (mm)：301 高度 (mm)：44工作溫度 ()：0 - 40 工作濕度：10% - 90%存儲溫度 ()：-20 - 65 存儲濕度：10% - 90% 5.5 交換機 產(chǎn) 品 性 能 指 標基本規(guī)格設備類型：快速以太網(wǎng)交換機 背板帶

42、寬（gbps）：8.8包轉發(fā)率：6.6mpps vlan支持：支持mac地址表：8000網(wǎng)絡標準：ieee 802.1x,10baset、100basetx、1000baset端口上的ieee 802.3x全雙工操作,ieee 802.1d生成樹協(xié)議,ieee 802.1p cos,ieee 802.1q vlan,ieee 802.3ab 1000basetx規(guī)范 ,ieee 802.3u 100basetx規(guī)范,ieee 802.3 10basetx規(guī)范傳輸速率(mbps)：10/100/1000端口類型：10/100base-t,10/100/1000base-t 端口數(shù)：24模塊化插槽

43、數(shù)：2是否支持全雙工：全雙工 堆疊：可堆疊網(wǎng)管功能：snmp管理信息庫(mib)ii，snmp mib擴展，橋接mib(rfc 1493)額定電壓（v）：100 to 127/200 to 240 vac 額定功率（w）：30重量(kg)：3.0 長度(mm)：445寬度(mm)：242 高度(mm)：44工作溫度（）：-5 45 工作濕度：10% - 95%工作高度（米）：3000 存儲溫度（）：-25 - 70存儲濕度：10% - 95% 存儲高度（米）：45005.6 pc機聯(lián)想 啟天m4280amd athlon 3800+處理器 正版windows xp home sp2512mb

44、ddrii533 160g sata(7200轉) 16x dvd揚天m系列機型是專為注重品質的商業(yè)企業(yè)用戶設計的一款主流商務數(shù)字辦公平臺電腦。擁有領先的結構設計、創(chuàng)新的應用功能，無論從人性化使用的角度，還是從安全防護、易用管理的方面都為用戶周到設想，安全密鑰讓您不再為數(shù)據(jù)信息的安全而擔心；獨有的一鍵徹底查殺病毒讓您從此遠離病毒侵擾；文件管理能夠及時拯救重要文件免除意外丟失的風險，這些業(yè)界獨創(chuàng)的領先功能和設計都致力于為用戶搭建一個穩(wěn)定、高效、安全的數(shù)字辦公平臺！ 第六章、 網(wǎng)絡安全與防護技術6.1 計算機網(wǎng)絡安全計算機網(wǎng)絡安全問題是一個錯綜復雜的問題，它涉及到系統(tǒng)故障以及有意無意的破壞等。為了

45、確保計算機網(wǎng)絡安全，需要采取物理措施、管理措施和技術等多方面措施。計算機網(wǎng)絡安全的保護對象主要是數(shù)據(jù)、資源（硬件資源和軟件資源）和聲譽（用戶形象）。從本質上來講，網(wǎng)絡安全就是網(wǎng)絡上的信息安全，是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術及理論都是網(wǎng)絡安全所要研究的領域。網(wǎng)絡安全涉及的內容既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。技術方面主要側重于防范外部非法用戶的攻擊，管理方面則側重于內部人為因素的

46、管理。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡應用必須考慮和必須解決的一個重要問題。6.1.1 計算機網(wǎng)絡安全的目的和功能1、網(wǎng)絡安全的目的計算機網(wǎng)絡安全就是研究如何保障計算機資源的安全，即計算機的系統(tǒng)資源和信息資源的安全。影響計算機網(wǎng)絡安全的因素主要有以下幾種：實體安全、運行安全、數(shù)據(jù)安全、軟件安全和通信安全。2、網(wǎng)絡安全的功能和措施計算機網(wǎng)絡安全問題是一個很復雜的問題，任何時候都不會有一勞永逸的解決措施。因為計算機的安全與反安全會一直地進行下去，故要使計算機網(wǎng)絡具有較高安全性，需要將計算機系統(tǒng)的各種安全防護技術（如實體安全防護技術、防電磁輻射泄露技術

47、、軟硬件防護技術、防火墻技術、數(shù)據(jù)保密變換以及安全管理與法律制裁等）結合使用，對計算機系統(tǒng)進行綜合分層防護，從而提高計算機網(wǎng)絡的整體防護水平。加強計算機安全管理的法規(guī)建設，建立和健全各項規(guī)章制度是保障計算機網(wǎng)絡安全的重要一環(huán)。利用制定人員的管理制度，加強人員審查，在組織管理上避免單獨操作，操作與設計分離等制度和措施降低了作案的可能性。6.1.2 網(wǎng)絡安全的潛在威脅安全威脅是指某個人、物、事件對某一資源的機密性、完整性、可用性或合法性使用所造成的危害。安全威脅可分為故意威脅和偶然威脅，所謂偶然威脅是指由偶然因素造成的威脅（如信息被發(fā)往錯誤的地址）。而故意威脅又可進一步分為被動威脅和主動威脅，被動

48、威脅是只對信息進行監(jiān)聽（如搭線竊聽），而不對其進行修改。主動威脅包括信息進行故意的修改（如改動某次金融會議中貨幣的數(shù)量）。1、基本威脅信息安全的基本目標是實現(xiàn)信息的機密性、機密性、完整性、可用性以及資源的合法性使用。常見的4種基本威脅是：信息泄露、完整性破壞、拒絕服務和非法使用。2、主要的可實現(xiàn)威脅主要的可實現(xiàn)威脅可以分為滲入威脅和植入威脅。主要的滲入威脅有：假冒、旁路控制和授權侵犯。主要的植入威脅有：特洛伊木馬（torjan horse）和陷門。3、潛在威脅通過對各種威脅進行分析，可以發(fā)現(xiàn)某些特定的威脅可以導致更基本的威脅發(fā)生，這些特定威脅稱為潛在威脅。例如對于信息泄露這樣的一種基本威脅，可

49、以找出以下幾種潛在的威脅：（1）竊聽；（2）業(yè)務流分析；（3）人員疏忽；（4）媒體清理。通過調查分析可知，下面幾種威脅是最主要的威脅：授權侵犯、假冒、旁路控制、特洛伊木馬、陷門和媒體清理等。6.1.3 網(wǎng)絡安全的策略當安全具體化時，它有一定范圍，這個范圍便是屬于某個組織的處理和通信資源的集合，稱為安全區(qū)域。在某一個安全區(qū)域內，應該有一個關于安全問題的總體目標和規(guī)劃，這就是安全策略。以下是幾種常見的網(wǎng)絡安全策略：（是抽象策略，不是具體策略）（1）最小特權原則。（2）多道防線。（3）阻塞點。（4）最薄弱環(huán)節(jié)。（5）失效保護機制。（6）普通參與。（7）防御多樣化。6.2 防火墻技術防火墻是設備在不同

50、網(wǎng)絡或網(wǎng)絡安全域之間一系列部件的組合。防火墻可以分為硬件防火墻和軟件防火墻兩類。6.2.1 防火墻的概念“防火墻”是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯(lián)網(wǎng)與內部網(wǎng)之間建立起一個安全網(wǎng)關( scurity gateway),從而保護內部網(wǎng)免受非法用戶的侵入。 所謂防火墻就是一個能把互聯(lián)網(wǎng)與內部網(wǎng)隔開的屏障。6.2.2 防火墻的作用和特性1、防火墻的作用（1）防火墻能強化安全策略（防火墻是阻塞點）。（2）防火墻能有效的記錄internet上的活動。如作日志記錄、有報警功能。（3）防火墻能限制暴露用戶點，隱藏內部信息。（4）防火墻是一個安全策略的檢查站。（5）防火墻有轉換

51、地址功能（ip地址）。2、防火墻的特性（1）所有內部對外部的通信都必須通過防火墻，反之亦然。（2）只有按安全策略所定義的授權，通信才允許通過。（3）防火墻本身是抗入侵的 。（4）防火墻是網(wǎng)絡的要塞點，是達到網(wǎng)絡安全目的的有效手段，因此，盡可能將安全措施都集中在這一點上。（5）防火墻可以強制安全策略的實施。（6）防火墻不能防范惡意的內部知情者。（7）防火墻不能防范不通過它的連接。（8）防火墻不能防御所有的威脅。（9）防火墻不能防范和消除網(wǎng)絡上的pc機的病毒。6.2.3 實現(xiàn)防火墻的主要技術1、數(shù)據(jù)包過濾技術數(shù)據(jù)包過濾(packet filtering)技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內設置的過濾邏輯， 被稱為訪問控制表(access control table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、 協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用， 網(wǎng)絡性能和透明性好，在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。它通常安裝在路由器上。路由器是內部網(wǎng)絡與internet連接必不可少的設備， 因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。數(shù)據(jù)包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊； 二是數(shù)據(jù)