校園網(wǎng)絡(luò)布線系統(tǒng)方案設(shè)計

1、 天津 xxxxx 學(xué)院 課程課程 設(shè)計設(shè)計(論文論文) 課題 ： 校園網(wǎng)絡(luò)布線系統(tǒng)方案設(shè)計 專業(yè) 計算機(jī)網(wǎng)絡(luò)技術(shù) 班級 10 網(wǎng)絡(luò) 學(xué)生姓名 學(xué)生學(xué)號 指導(dǎo)教師 提交日期 2011.12.2 成績 答辯日期 答辯教師 總評成績 課題設(shè)計要求 b32 1、熟悉網(wǎng)絡(luò)工程的過程模型、應(yīng)用系統(tǒng)集成 2、掌握信息集成項(xiàng)目團(tuán)隊(duì)的結(jié)構(gòu)特點(diǎn)及 project 和制定項(xiàng)目的基本步 驟 3、網(wǎng)絡(luò)工程設(shè)計的總體設(shè)計步驟、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計、地址的分配與 聚合設(shè)計 4、計算機(jī)系統(tǒng)集成預(yù)算的范圍、系統(tǒng)集成預(yù)算的標(biāo)準(zhǔn) 5、綜合布線系統(tǒng)的概念和綜合布線的工作區(qū)子系統(tǒng)、水平干線子系統(tǒng) 等幾個部分的設(shè)計、實(shí)施 6、機(jī)房功能規(guī)劃

2、、布線系統(tǒng)、布線方式 了解網(wǎng)絡(luò)方案規(guī)劃與實(shí)施的全過程，從網(wǎng)絡(luò)工程設(shè)計基本知識、 成熟主流產(chǎn)品技術(shù)、工程設(shè)計與安裝實(shí)踐等角度，掌握網(wǎng)絡(luò)工程設(shè)計與 安裝的原理、技術(shù)與方法。本課程的任務(wù)是讓學(xué)生全面系統(tǒng)的了解網(wǎng)絡(luò) 通信設(shè)備選型及安裝，網(wǎng)絡(luò)服務(wù)器技術(shù)及選型，綜合布線系統(tǒng)設(shè)計，網(wǎng) 絡(luò)需求分析與工程方案設(shè)計以及網(wǎng)絡(luò)工程項(xiàng)目管理與驗(yàn)收，熟練掌握課 程中提供的完整的校園網(wǎng)絡(luò)工程投標(biāo)書和一個企業(yè)網(wǎng)絡(luò)工程解決方案的 制作過程，充分理解課程中提供的大量的企業(yè)網(wǎng)絡(luò)建設(shè)實(shí)例的構(gòu)建過程。 設(shè)計題目校園網(wǎng)絡(luò)布線系統(tǒng)方案設(shè)計 指 導(dǎo) 教 師 綜 合 閱 評 意 見 指導(dǎo)教師評分 內(nèi)容摘要內(nèi)容摘要 當(dāng)今的世界正從工業(yè)化社會向信

3、息化社會轉(zhuǎn)變。快速、高效的傳播和利用信 息資源是 21 世紀(jì)的基本特征。掌握豐富的計算機(jī)及網(wǎng)絡(luò)信息知識不僅僅是素質(zhì)教 育的要求而且也是學(xué)生掌握現(xiàn)代化學(xué)習(xí)與工作手段的要求。因此，學(xué)校校園網(wǎng)的 有無及水平的高低，也將成為評價學(xué)校及學(xué)生選擇學(xué)校的新的標(biāo)準(zhǔn)之一。 隨著學(xué)校教育手段的現(xiàn)代化，很多學(xué)校已經(jīng)逐漸開始將學(xué)校的管理和教學(xué)過 程向電子化方向發(fā)展，校園網(wǎng)的有無以及水平的高低也將成為評價學(xué)校及學(xué)生選 擇學(xué)校的新的標(biāo)準(zhǔn)之一，此時，校園網(wǎng)上的應(yīng)用系統(tǒng)就顯得尤為重要。一方面， 學(xué)生可以通過它在促進(jìn)學(xué)習(xí)的同時掌握豐富的計算機(jī)及網(wǎng)絡(luò)信息知識，毫無疑問， 這是學(xué)生綜合素質(zhì)中極為重要的一部分；另一方面，基于先進(jìn)的網(wǎng)

4、絡(luò)平臺和其上 的應(yīng)用系統(tǒng)，將極大的促進(jìn)學(xué)校教育的現(xiàn)代化進(jìn)程，實(shí)現(xiàn)高水平的教學(xué)和管理。 關(guān)鍵字關(guān)鍵字：綜合布線、網(wǎng)絡(luò)安全、ip 地址、網(wǎng)路 vlan 目錄目錄 第一章需求分析第一章需求分析.1 1.1 概述.1 1.2 項(xiàng)目背景.1 1.3 用戶需求分析.2 1.4 校園設(shè)計目標(biāo).3 1.5 校園設(shè)計原則.3 1.5.1 實(shí)用性和經(jīng)濟(jì)性.4 1.5.2 先進(jìn)性和成熟性.4 1.5.3 可靠性和穩(wěn)定性.4 1.5.4 安全性和保密性.4 1.5.5 可擴(kuò)展性和可管理性.5 1.6 綜合布線系統(tǒng)標(biāo)準(zhǔn).5 第二章第二章網(wǎng)絡(luò)方案設(shè)計網(wǎng)絡(luò)方案設(shè)計.6 2.1 網(wǎng)絡(luò)結(jié)構(gòu)分析.6 2.2 總體方案設(shè)計.9 2

5、.21 網(wǎng)絡(luò)架構(gòu)設(shè)計.9 第三章第三章設(shè)備的選型設(shè)備的選型.12 3.1 路由器.12 3.2 防火墻.13 3.3 交換機(jī).14 3.4 服務(wù)器.16 第四章網(wǎng)絡(luò)的安全與維護(hù)第四章網(wǎng)絡(luò)的安全與維護(hù).17 4.1 ip 地址規(guī)劃設(shè)計.17 4.2 網(wǎng)絡(luò) vlan 的設(shè)計.18 4.3 網(wǎng)絡(luò)安全的概念.19 4.3 網(wǎng)絡(luò)安全的概念.20 4.3 校園網(wǎng)的特點(diǎn).20 4.4 當(dāng)前高校校園網(wǎng)面臨的主要網(wǎng)絡(luò)安全問題和威脅.21 4.5 校園網(wǎng)具體那些措施.21 第五章第五章. . 網(wǎng)絡(luò)設(shè)備清單及價格網(wǎng)絡(luò)設(shè)備清單及價格.22 致謝致謝.23 參考文獻(xiàn)參考文獻(xiàn).24 第一章需求分析第一章需求分析 1.11

6、.1 概述概述 隨著計算機(jī)技術(shù)的迅速發(fā)展，特別是隨著網(wǎng)絡(luò)技術(shù)的出現(xiàn)標(biāo)志著信息時代已 經(jīng)到來。信息化浪潮、網(wǎng)絡(luò)革命不斷沖擊著社會的發(fā)展，人們逐漸意識到信息的 重要性。計算機(jī)、通信和多媒體技術(shù)的發(fā)展，使得網(wǎng)絡(luò)上的應(yīng)用更加豐富。同時 在多媒體教育和管理等方面的需求，對校園網(wǎng)絡(luò)也提出進(jìn)一步的要求。因此需要 一個高速的、具有先進(jìn)性的、可擴(kuò)展的校園計算機(jī)網(wǎng)絡(luò)以適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展 的趨勢并滿足學(xué)校各方面應(yīng)用的需要。信息技術(shù)的普及教育已經(jīng)越來越受到人們 關(guān)注。 1.21.2 項(xiàng)目背景項(xiàng)目背景 天津輕工職業(yè)技術(shù)學(xué)院占地 800 畝，總建筑面積 20 萬平方米。校區(qū)建有校企 合作、教學(xué)實(shí)訓(xùn)、國際合作、社會培訓(xùn)、

7、生活服務(wù)、運(yùn)動等多個功能區(qū)，充分體 現(xiàn)了人性化、科學(xué)化、特色化的設(shè)計理念，為學(xué)生創(chuàng)造完善、優(yōu)越的學(xué)習(xí)、實(shí)踐、 運(yùn)動和生活環(huán)境。 校區(qū)分為南北兩部分，校際聯(lián)絡(luò)線北側(cè)為生活區(qū)，南側(cè)為教學(xué)實(shí)訓(xùn)區(qū)。學(xué)院 標(biāo)志性建筑“校企合作大廈” ，設(shè)有信息與技術(shù)交流中心、專業(yè)圖書館、行政辦公 區(qū)，為校企合作提供全方位服務(wù)，同時使其具有新產(chǎn)品研發(fā)孵化，產(chǎn)品展示、交 流等功能。以項(xiàng)目為載體的校企合作是學(xué)院的辦學(xué)特色之一。學(xué)院與濱海新區(qū)中 新天津生態(tài)城動漫園、大連機(jī)床集團(tuán)等國際國內(nèi)知名企業(yè)合作，創(chuàng)建了“以項(xiàng)目 為載體，服務(wù)共贏”的多種校企合作模式，實(shí)現(xiàn)行業(yè)企業(yè)、社會、學(xué)校與學(xué)生的 多方共贏。 學(xué)校領(lǐng)導(dǎo)、廣大師生們已經(jīng)充分

8、認(rèn)識到這一點(diǎn)，學(xué)校未來的教育方法和手段， 將是構(gòu)筑在教育信息化發(fā)展戰(zhàn)略之上，通過加大信息網(wǎng)絡(luò)教育的投入，開展網(wǎng)絡(luò) 化教學(xué)，開展教育信息服務(wù)和遠(yuǎn)程教育服務(wù)等將成為未來建設(shè)的具體內(nèi)容?？焖?、 高效的傳播和利用信息資源是 21 世紀(jì)的基本特征。掌握豐富的計算機(jī)及網(wǎng)絡(luò)信息 知識不僅僅是素質(zhì)教育的要求而且也是學(xué)生掌握現(xiàn)代化學(xué)習(xí)與工作手段的要求。 因此，學(xué)校校園網(wǎng)的有無及水平的高低，也將成為評價學(xué)校及學(xué)生選擇學(xué)校的新 的標(biāo)準(zhǔn)之一。此時，校園網(wǎng)上的應(yīng)用系統(tǒng)就顯得尤為重要。一方面，學(xué)生可以通 過它在促進(jìn)學(xué)習(xí)的同時掌握豐富的計算機(jī)及網(wǎng)絡(luò)信息知識，毫無疑問，這是學(xué)生 綜合素質(zhì)中極為重要的一部分；另一方面，基于先進(jìn)

9、的網(wǎng)絡(luò)平臺和其上的應(yīng)用系 統(tǒng)，將極大的促進(jìn)學(xué)校教育的現(xiàn)代化進(jìn)程，實(shí)現(xiàn)高水平的教學(xué)和管理。 學(xué)校目前正加緊對信息化教育的規(guī)劃和建設(shè)。開展的校園網(wǎng)絡(luò)建設(shè)，旨在推 動學(xué)校信息化建設(shè)，其最終建設(shè)目標(biāo)是將建設(shè)成為一個借助信息化教育和管理手 段的高水平的智能化、數(shù)字化的教學(xué)園區(qū)網(wǎng)絡(luò)，最終完成統(tǒng)一軟件資源平臺的構(gòu) 建，實(shí)現(xiàn)統(tǒng)一網(wǎng)絡(luò)管理、統(tǒng)一軟件資源系統(tǒng)。利用現(xiàn)代信息技術(shù)從事管理、教學(xué) 和科學(xué)研究等工作。最終達(dá)到在網(wǎng)絡(luò)方面，更好的對眾多網(wǎng)絡(luò)使用及數(shù)據(jù)資源的 安全控制，同時具有高性能，高效率，不間斷的服務(wù)，方便的對網(wǎng)絡(luò)中所有設(shè)備 和應(yīng)用進(jìn)行有效的時事控制和管理。 1.31.3 用戶需求分析用戶需求分析 在校園網(wǎng)

10、絡(luò)中，視頻、音頻、數(shù)據(jù)集于一身，如果保證不了高帶寬、又多種 視頻、音頻、數(shù)據(jù)流混雜在一起進(jìn)行傳輸，就沒法對流做出最高優(yōu)先級和次高優(yōu) 先級及底優(yōu)先級的分類，這樣就不能保證重要業(yè)務(wù)的暢通，造成網(wǎng)絡(luò)延遲、服務(wù) 不可用。 在校園網(wǎng)絡(luò)中，存在多樣的網(wǎng)絡(luò)設(shè)備及系統(tǒng)應(yīng)用環(huán)境，并且要考慮在用戶迅 速增長的今天，考慮到網(wǎng)絡(luò)設(shè)備的可擴(kuò)展性。保證在多樣網(wǎng)絡(luò)設(shè)備，用戶不斷增 加的環(huán)境中，仍能保證網(wǎng)絡(luò)暢通。所以萬兆骨干網(wǎng)絡(luò)平臺就應(yīng)具有良好的兼容性 和可擴(kuò)展性，能與當(dāng)前校園網(wǎng)絡(luò)無縫銜接，同時預(yù)留空間符合當(dāng)前和以后的信息 建設(shè)需要和足夠的升級空間。 在校園網(wǎng)絡(luò)建設(shè)中存在多用戶,多服務(wù)的現(xiàn)狀。帶來了對網(wǎng)絡(luò)系統(tǒng)要求具有高 效率

11、等，以保證大數(shù)據(jù)量訪問下有效的處理能力。針對需求設(shè)備要能對數(shù)據(jù)做到 分布式處理，這樣的分布式處理可以節(jié)省主交換引擎的消耗。 1.41.4 校園設(shè)計目標(biāo)校園設(shè)計目標(biāo) 在原有的基礎(chǔ)上實(shí)現(xiàn)校園內(nèi)全面聯(lián)網(wǎng)，實(shí)現(xiàn)學(xué)生在宿舍內(nèi)能夠訪問學(xué)校教務(wù) 信息以及接入 internet。宿舍樓設(shè)計內(nèi)容包括： 1.構(gòu)架千兆校園網(wǎng)主干，實(shí)現(xiàn)新綜合教學(xué)樓、辦公樓、實(shí)驗(yàn)樓、餐廳、學(xué)生 學(xué)生樓、風(fēng)雨操場的互聯(lián)。 2.每個教室、實(shí)驗(yàn)室、辦公室、家宿舍均可實(shí)現(xiàn) 100m 的校園網(wǎng)接入，實(shí)現(xiàn)信 息資源的充分共享。 學(xué)校領(lǐng)導(dǎo)、老師、學(xué)生可以隨時隨地進(jìn)入校園網(wǎng)獲取校園網(wǎng) 信息。 3.校園網(wǎng)將采用 10m 光纖接入中國電信網(wǎng)絡(luò)。 4.校園

12、網(wǎng)將設(shè)置 www 服務(wù)、ftp 服務(wù)、e-mail 服務(wù)、vod 服務(wù)。 5.校園網(wǎng)必須安裝內(nèi)容過濾器，以過濾網(wǎng)站不良信息。 6.校園網(wǎng)將建立一個 oa 系統(tǒng)，以便于學(xué)校無紙化辦公。 7.校園網(wǎng)將構(gòu)建一個完整的網(wǎng)絡(luò)防毒系統(tǒng)，以有效地杜絕病毒的傳播。 8.校園網(wǎng)必須能進(jìn)行全網(wǎng)的智能化管理，使系統(tǒng)管理員能夠方便、高效地實(shí) 現(xiàn)網(wǎng)絡(luò)管理。 9.校園網(wǎng)的建設(shè)必須為以后網(wǎng)絡(luò)建設(shè)預(yù)留發(fā)展和擴(kuò)容的空間。 10.要求全網(wǎng)的交換機(jī)設(shè)備必須采用同一廠家的產(chǎn)品，服務(wù)器也統(tǒng)一品牌。全 網(wǎng)綜合布線產(chǎn)品必須全部統(tǒng)一。 1.51.5 校園設(shè)計原則校園設(shè)計原則 校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實(shí)用的前提下，應(yīng)當(dāng)在投資保護(hù)及長遠(yuǎn)性方面做適當(dāng)

13、 考慮，在技術(shù)上、系統(tǒng)能力上要保持五年左右的先進(jìn)性。并且從學(xué)校的利益出發(fā)， 從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計。 根據(jù)校園網(wǎng)的總體需求，結(jié)合對應(yīng)用系統(tǒng)的考慮，本次網(wǎng)絡(luò)建設(shè)的設(shè)計目標(biāo) 是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬兆骨干網(wǎng)絡(luò)平臺。 我們遵循以下的原則進(jìn)行網(wǎng)絡(luò)設(shè)計： .1 實(shí)用性和經(jīng)濟(jì)性實(shí)用性和經(jīng)濟(jì)性 網(wǎng)絡(luò)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅持實(shí)用、經(jīng)濟(jì)的原則， 建設(shè)的萬兆骨干網(wǎng)絡(luò)平臺，保護(hù)用戶的投資。 .2 先進(jìn)性和成熟性先進(jìn)性和成熟性 網(wǎng)絡(luò)建設(shè)設(shè)計既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、

14、工 具的相對成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來 若干年內(nèi)占主導(dǎo)地位，保證貴校網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用萬兆以太網(wǎng)技術(shù)來構(gòu) 建網(wǎng)絡(luò)主干線路。 .3 可靠性和穩(wěn)定性可靠性和穩(wěn)定性 在考慮技術(shù)先進(jìn)性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、 系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定 性，達(dá)到最大的平均無故障時間，銳捷網(wǎng)絡(luò)做為國內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商， 其產(chǎn)品的可靠性和穩(wěn)定性是一流的。 為了保證骨干網(wǎng)絡(luò)平臺的健壯性和鏈路冗余性，建議網(wǎng)絡(luò)實(shí)施時在學(xué)校啟用 千兆備份線路。在學(xué)校啟用物理鏈路冗余機(jī)制，保證任何一條線路出現(xiàn)故障

15、后骨 干網(wǎng)絡(luò)平臺的可用性。 .4 安全性和保密性安全性和保密性 在網(wǎng)絡(luò)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離， 因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括 端口隔離、路由過濾、防 ddos 拒絕服務(wù)攻擊、防 ip 掃描、系統(tǒng)安全機(jī)制、多種 數(shù)據(jù)訪問權(quán)限控制等，銳捷網(wǎng)絡(luò)充分考慮安全性，針對的各種應(yīng)用，有多種的保 護(hù)機(jī)制，如劃分 vlan、ip/mac 地址綁定（過濾） 、acl、路由過濾、防 ddos 拒絕 服務(wù)攻擊、防 ip 掃描、802.1x 認(rèn)證機(jī)制、ssh 加密連接等具體技術(shù)提升整個網(wǎng)絡(luò) 的安全性。 .5 可

16、擴(kuò)展性和可管理性可擴(kuò)展性和可管理性 由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的 重復(fù)投資，我們必須選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò) 大的時候，不需要增加新的設(shè)備，而只需要增加一定數(shù)量的模塊就行。最好能夠 做到在網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng) 模塊，而不需要更換整個設(shè)備。 為了適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的要求，必須充分考慮以最簡便的方法、最低的投資， 實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)。為了便于擴(kuò)展，對于核心設(shè)備必須采用模塊化高密度端 口的設(shè)備，便于將來升級和擴(kuò)展。 先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)方法，才能夠發(fā)揮最大的作用。全線 采用基于

17、 snmp 標(biāo)準(zhǔn)的可網(wǎng)管產(chǎn)品，達(dá)到全程網(wǎng)管，降低了人力資源的費(fèi)用，提高 網(wǎng)絡(luò)的易用性、可管理性，同時又具有很好的可擴(kuò)充性。 1.61.6 綜合布線系統(tǒng)標(biāo)準(zhǔn)綜合布線系統(tǒng)標(biāo)準(zhǔn) 綜合布線系統(tǒng)的建設(shè)通常要遵守相應(yīng)的標(biāo)準(zhǔn)的規(guī)范。隨著綜合布線系統(tǒng)技術(shù) 的不斷發(fā)展，與之相關(guān)的綜合布線系統(tǒng)的國內(nèi)和國際標(biāo)準(zhǔn)也更加規(guī)范化、標(biāo)準(zhǔn)化 和開放化。國際和國內(nèi)的各標(biāo)準(zhǔn)化組織都在努力制訂新的布線標(biāo)準(zhǔn)，以滿足技術(shù) 和市場的需求，標(biāo)準(zhǔn)的完善又會使市場更加規(guī)范化。 第二章第二章網(wǎng)絡(luò)方案設(shè)計網(wǎng)絡(luò)方案設(shè)計 2.12.1 網(wǎng)絡(luò)結(jié)構(gòu)分析網(wǎng)絡(luò)結(jié)構(gòu)分析 （1）核心層 網(wǎng)絡(luò)中心節(jié)點(diǎn)及其它核心節(jié)點(diǎn)作為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線速的 數(shù)據(jù)交換

18、，當(dāng)網(wǎng)絡(luò)流量較大時，對關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個 網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運(yùn) 行。 因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計上必須考慮整體網(wǎng)絡(luò)的高性能和高可 靠性。具體來說核心節(jié)點(diǎn)的交換機(jī)有兩個基本要求：1）高密度端口情況下，還能 保持各端口的線速轉(zhuǎn)發(fā)；2）關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇。 由于校園網(wǎng)建設(shè)最終必將采用萬兆技術(shù)，因此需要考慮到核心設(shè)備對萬兆的 支持能力。 綜上所述，主干核心交換機(jī)屬于高端系列的產(chǎn)品，所以在本方案中，核心交 換機(jī)建議采用多業(yè)務(wù)萬兆核心路由交換機(jī)?？梢愿鶕?jù)用戶的需求靈活配置，靈活 構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。多業(yè)

19、務(wù)萬兆核心路由交換機(jī)高背板帶寬和二/三層包轉(zhuǎn)發(fā) 速率可為用戶提供高速無阻塞的交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可為 用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機(jī)的理想選擇。 （2）接入層 接入層網(wǎng)絡(luò)由樓棟交換節(jié)點(diǎn)和樓層交換節(jié)點(diǎn)組成，接入層網(wǎng)絡(luò)應(yīng)該可以滿足 各種客戶的接入需要，而且能夠?qū)崿F(xiàn)客戶化的接入策略，業(yè)務(wù) qos 保證，用戶接 入訪問控制等等。 樓層交換節(jié)點(diǎn)采用千兆智能堆疊交換機(jī)，提供智能的流分類和完善的 qos 特 征。為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的 網(wǎng)管，最大化滿足高速、融合、安全的園區(qū)網(wǎng)新需求；本方案中各接入層交換機(jī) 通過千兆鏈路上聯(lián)

20、到各匯聚層設(shè)備，對下聯(lián)的桌面設(shè)備提供全雙工的百兆連接， 為各類用戶提供無阻塞的交換性能。 （3）出口 因?yàn)樾@網(wǎng)出口采用以太網(wǎng)，所以采用路由器 + 防火墻的方式，起到如下作 用： 防火墻提供強(qiáng)有力的服務(wù)器、內(nèi)網(wǎng)安全保護(hù)、提供 ids 等安全特性；路由器 提供出口路由功能，數(shù)據(jù)處理能力強(qiáng)，具有強(qiáng)大的 nat 功能。 如圖 2-1 校園網(wǎng)絡(luò)布線 2.22.2 總體方案設(shè)計總體方案設(shè)計 2.212.21 網(wǎng)絡(luò)架構(gòu)設(shè)計網(wǎng)絡(luò)架構(gòu)設(shè)計 基于目前學(xué)校規(guī)模及發(fā)展的角度考慮，核心網(wǎng)絡(luò)采用單核心雙引擎或雙核心 單引擎的拓?fù)浣Y(jié)構(gòu)，保證核心的穩(wěn)定；在兩棟實(shí)訓(xùn)樓采用萬兆的三層匯聚設(shè)備， 實(shí)訓(xùn)樓 6506 千兆連接接入交

21、換機(jī)；服務(wù)器千兆接入到核心交換機(jī)上；百兆到桌面； 為了以后擴(kuò)展的需要，所以采用 cisco asa5510-k8 防火墻，并將校內(nèi)的對外 服務(wù)器與防火墻的 dmz 區(qū)相連，保證良好的安全性；同時雙核心時做 vrrp，防火 墻雙百兆連接核心，單百兆連接 internet； 出于管理和安全方面角度考慮，在全網(wǎng)可采用 ip+mac 綁定方式，全網(wǎng)分布式 采用 acl，并按照部門劃分 vlan，劃分相應(yīng)的權(quán)限，保證學(xué)生機(jī)房用機(jī)對教學(xué)辦 公網(wǎng)沒有訪問權(quán)限，只能訪問校內(nèi)服務(wù)器及外網(wǎng)；ip 分配：在辦公區(qū)采用靜態(tài) ip 劃分，在學(xué)生區(qū)及移動性較大的辦公區(qū)可補(bǔ)充性采用 dhcp 動態(tài)獲得 ip 地址。 按照核

22、心的架構(gòu)，才用單引擎單核心，采用單核心單引擎，核心和引擎之間 做冗余備份。實(shí)訓(xùn)樓的匯聚設(shè)備可采用雙鏈路連接核心設(shè)備，作鏈路的冗余備份， 如果其中任何一條鏈路出現(xiàn)故障，所有數(shù)據(jù)會切換到另外的鏈路上，保證校園網(wǎng) 的暢通。 如圖 2-2 風(fēng)雨操場拓?fù)鋱D 表 2-1 樓層教室辦公室實(shí)訓(xùn)室總計 一層0606風(fēng) 雨 操 場 二層0606 圖 2-3 6 號樓 6 層設(shè)計圖 建筑物樓層宿舍水房（廁所）總計 6 號樓 （男） 五層 1286134 表 2-2 第三章第三章設(shè)備的選型設(shè)備的選型 3.13.1 路由器路由器 如圖 3-1 路由器 cisco 3825-hsec/k9 基本參數(shù) 路由器類型：路由器

23、傳輸速率： 10/100/1000mbps 端口結(jié)構(gòu)：模塊化糾錯 局域網(wǎng)接口：2 個 其它端口： console 擴(kuò)展模塊： 6 包轉(zhuǎn)發(fā)率： 10mbps:14800pps 100mbps:148800pps 1000mbps:1488000pps 防火墻：內(nèi)置防火墻 qos 支持：支持 vpn 支持：支持 網(wǎng)絡(luò)管理：cisco clickstart，snmp 產(chǎn)品內(nèi)存：最大 dram 內(nèi)存：1gb 最大 flash 內(nèi)存：256mb 電源電壓：ac 100-240v，47-63hz dc 24-60v 產(chǎn)品尺寸： 373.38434.3488.9mm 產(chǎn)品重量： 9.06kg 環(huán)境標(biāo)準(zhǔn)： 工

24、作溫度：0-40 工作濕度：5%-95%（非冷凝） 存儲溫度：-40- 85 存儲濕度：5%-95%（非冷凝） 表 3-1 3.23.2 防火墻防火墻 如圖 防火墻 3-2 cisco asa5510-k8 設(shè)備類型：vpn 防火墻 并發(fā)連接數(shù)： 130000 網(wǎng)絡(luò)吞吐量(mbps)： 最高 300 安全過濾帶寬： 170 網(wǎng)絡(luò)端口：3 個快速以太網(wǎng)端口 用戶數(shù)限制：無用戶數(shù)限制用戶 入侵檢測： dos 安全標(biāo)準(zhǔn)： ul 1950，csa c22.2 no. 950，en 60950 iec 60950，as/nzs3260，ts001 控制端口：console，2 個 rj-45 管理：思科

25、安全管理器 (cs-manager) ，web vpn 支持：支持 適用環(huán)境： 工作溫度：0-40 工作濕度：5%-95% (非冷凝) 存儲溫度：-25-70 存儲濕度：5%-95% (非冷凝) 電源： 100-240vac,50/60hz 防火墻尺寸： 174.5200.444.5 防火墻重量： 1.8 其他性能：為企業(yè)提供全面的服務(wù)，業(yè)內(nèi)領(lǐng)先的 anti-x 服務(wù)等 表 3-2 3.33.3 交換機(jī)交換機(jī) 如圖 3-3 銳捷 rg-s8606 產(chǎn)品型號 rg-s8606 產(chǎn)品類型 核心交換機(jī) 背板帶寬 1.6t 包轉(zhuǎn)發(fā)率 l2:595mpps,595mpps 外形尺寸 436.850864

26、7.4mm 重量 50kg 模塊化插槽數(shù) 6 個(2 個用于管理引擎模塊) mac 地址表 512k 其他性能 交換容量:0.8t 其它 工作溫度:0-40 攝氏度 存儲溫度：-4070 攝氏度 工作濕度:10-90% 存儲濕度:5 表 3-3 如圖 3-4 接入層交換機(jī) cisco ws-c3560e-24pd-e 產(chǎn)品類型：企業(yè)級交換機(jī) 應(yīng)用層級：二層 傳輸速率： 10/100/1000mbps 產(chǎn)品內(nèi)存：dram 內(nèi)存：128mb flash 內(nèi)存：64mb 交換方式：存儲-轉(zhuǎn)發(fā) 背板帶寬： 68gbps 包轉(zhuǎn)發(fā)率： 65.5mpps mac 地址表： 12k 端口結(jié)構(gòu)：非模塊化 端口數(shù)

27、量：26 個 端口描述：24 個 10/100/1000mbps poe 端口，2 個基于 x2 的萬兆以太網(wǎng)端口 傳輸模式：支持全雙工 表 3-4 3.43.4 服務(wù)器服務(wù)器 如圖 3-5 服務(wù)器 ibm xseries 255(8685crx) 產(chǎn)品類型：企業(yè)級 產(chǎn)品類別：機(jī)柜式 產(chǎn)品結(jié)構(gòu)： 7u cpu 型號： xeon mp cpu 頻率： 3.0ghz 標(biāo)配 cpu 數(shù)量：4mb 三級緩存 最大 cpu 數(shù)量：1 顆 總線規(guī)格： fsb 400mhz 擴(kuò)展槽：7 個 pci：6 個 64 位/100mhz active pci-x，1 個 32 位/33mhz 內(nèi)存類型： ddr 內(nèi)

28、存容量： 1gb 最大內(nèi)存容量： 24gb 硬盤接口類型：標(biāo)配 2 塊熱插拔硬盤/1.7tb 標(biāo)配硬盤容量： 36.4gb 光驅(qū)： 48xcd-rom 軟驅(qū)： 1.44mb scsi 控制器：雙通道 ultra160 scsi 控制器(可升級至 ultra320) 網(wǎng)絡(luò)控制器：集成 10/100/1000m 以太網(wǎng) 標(biāo)準(zhǔn)接口： 4 個 usb，1 個串口，1 個鍵盤接口，1 個鼠標(biāo)接口，vga，以太網(wǎng)端口， 2 個管理端口(rj-45) 散熱系統(tǒng)：9 個熱插拔變速風(fēng)扇 電源類型：370w 熱插拔 電源數(shù)量：標(biāo)配 2 個；最大 4 個 370w 熱插拔，冗余 表 3-5 第四章網(wǎng)絡(luò)的安全與維護(hù)第

29、四章網(wǎng)絡(luò)的安全與維護(hù) 4.14.1 ipip 地址規(guī)劃設(shè)計地址規(guī)劃設(shè)計 ip 地址的網(wǎng)絡(luò)部分是由 iana（internet 地址分配機(jī)構(gòu)）統(tǒng)一分配的，而主 機(jī)位 ip 地址是由得到網(wǎng)絡(luò)地址的機(jī)構(gòu)或組織自行分配。ip 地址的獲得：有兩種 方式，一種是靜態(tài)方式，一種是動態(tài)方式。學(xué)校從組建校園網(wǎng)以來一直采用用戶 靜態(tài) ip 地址分配。 在交換機(jī)上采用 vlan（virtuallan,虛擬局域網(wǎng)）技術(shù)解決廣播帶來的不良 影響。我們學(xué)校劃分 vlan 的方式是基于接口來劃分 vlan。交換機(jī)通過接口和客 戶端相接，只要通過配置命令將交換機(jī)的接口分給不同的 vlan，就相當(dāng)于把這些 客戶端劃分到了不同的

30、廣播域。無論是局域網(wǎng)，還是廣域網(wǎng)中的計算機(jī)之間的通 信，最終都表現(xiàn)為將數(shù)據(jù)包從某種形式的鏈路上的初始節(jié)點(diǎn)出發(fā)，從一個節(jié)點(diǎn)傳 遞到另一個節(jié)點(diǎn)，最終傳送到目的節(jié)點(diǎn)。數(shù)據(jù)包在這些節(jié)點(diǎn)之間的移動都是由 arp 負(fù)責(zé)將 ip 地址映射到 mac 地址上來完成的。數(shù)據(jù)包在傳送過程中會不斷詢問 相鄰節(jié)點(diǎn)的 mac 地址。 交換機(jī)、端口、ip 地址 三者的綁定。為了防止 ip 地址被盜用，就通過簡單 的交換機(jī)端口綁定（端口的 mac 表使用靜態(tài)表項(xiàng)） ，可以在每個交換機(jī)端口只連接 一臺主機(jī)的情況下防止修改 mac 地址的盜用。第一種方法：如果是可網(wǎng)管交換機(jī) 還可以提供：交換機(jī)、端口、ip 地址三者的綁定，一般

31、綁定 mac 地址都是在交換 機(jī)和路由器上配置的。 通過這些設(shè)置，可以將局域網(wǎng)中的 ip 地址和 mac 地址綁定，任何人在終端上 任意更改 ip 地址，都不能使其登陸互連網(wǎng)，這樣就便于網(wǎng)絡(luò)管理員更好的維護(hù)整 個網(wǎng)絡(luò)的正常、安全的運(yùn)行。 樓名ip 地址的劃分子網(wǎng)掩碼 經(jīng)濟(jì)管理54 藝術(shù)工程系54 系機(jī)械工程系54 電子信息與自動化系54

32、 國際合作交流中心54 風(fēng)雨操場54 行政樓54 表 4-1 ip 地址的劃分 4.24.2 網(wǎng)絡(luò)網(wǎng)絡(luò) vlanvlan 的設(shè)計的設(shè)計 在校園網(wǎng)絡(luò)的整個網(wǎng)絡(luò)規(guī)劃當(dāng)中，vlan 的劃分是非常重要的部分，很好的利 用 vlan 技術(shù)的功能，能起到事半功倍的效果，對整個網(wǎng)絡(luò)的性能也是事關(guān)重要的。 主要突出為以下幾點(diǎn)： vlan 劃分，可以避免廣播風(fēng)暴，在骨

33、干網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點(diǎn) 播等很容易引起廣播信息；劃分之后，vlan 是廣播只在子網(wǎng)中進(jìn)行，不會做無意 義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。 vlan 劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的vlan之間不能隨意通訊，只限 與本子網(wǎng)間通訊，不會對其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪問，需要通過三層交換， 這樣信息流就得到相當(dāng)好的控制。 網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的ip子網(wǎng)和vlan，實(shí)現(xiàn)更加安全的對所有網(wǎng)絡(luò)設(shè) 備進(jìn)行管理。建立vlan 和ip 子網(wǎng)的對應(yīng)關(guān)系。 提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少站點(diǎn)的移動和改變的開銷。 vlan 間的子網(wǎng)訪問，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚 設(shè)

34、備上實(shí)行，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。 根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)的實(shí)際情況，方案建議在骨干 網(wǎng)絡(luò) vlan 劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為 vlan 范圍劃分。這樣劃分 vlan 的好處有： 1、方便管理。為了更好的進(jìn)行 vlan 規(guī)劃的實(shí)施，因此在網(wǎng)絡(luò)實(shí)施前期，要 對網(wǎng)絡(luò)中不同區(qū)域的 vlan 設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在骨干 網(wǎng)絡(luò)這樣大型的校園網(wǎng)絡(luò)中如果以用戶群體來劃分 vlan 的話，避免由于前期配置 設(shè)備時復(fù)雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置，導(dǎo)致造成整 個校園網(wǎng)絡(luò)中 vlan 劃分復(fù)雜，減輕管理和

35、后期維護(hù)。所以方案建議骨干網(wǎng)絡(luò)劃分 vlan 方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少廣播域，又達(dá)到劃分 vlan，方便管理 的效果，對于后期網(wǎng)絡(luò)維護(hù)和升級具有十分現(xiàn)實(shí)的意義。 2、易于實(shí)施。按群體劃分 vlan 在工程實(shí)施中就十分的方便，不會造成 vlan 劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī) 劃。 3、vlan 間路由采用三層交換設(shè)備進(jìn)行 vlan 路由。以便不同 vlan 間進(jìn)行訪 問，對于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問的時候，建議采用專家級 acl（可同時基于 vlan 號、以太網(wǎng)類型、mac 地址、ip 地址、tcp/udp 端口號、 時間靈活組合限定

36、的硬件 acl）來進(jìn)行訪問權(quán)限設(shè)定，保障重要資料不被非法訪 問。 4.34.3 網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的概念 21 世紀(jì)全世界的計算機(jī)都將通過 internet 聯(lián)到一起，隨著 internet 的發(fā)展， 網(wǎng)絡(luò)豐富的信息資源給用戶帶來了極大的方便，但同時也給上網(wǎng)用戶帶來了安全 問題。由于 internet 的開放性和超越組織與國界等特點(diǎn)，使它在安全性上存在一 些隱患。而且信息安全的內(nèi)涵也發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成 了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。 國際標(biāo)準(zhǔn)化 組織（iso）對計算機(jī)系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管 理的安全保護(hù)，保

37、護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、 更改和泄露。由此可以將計算機(jī)網(wǎng)絡(luò)的安全理解為：通過采用各種技術(shù)和管理措 施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以， 建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、 修改、丟失和泄露等。 4.34.3 網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的概念 高校是計算機(jī)網(wǎng)絡(luò)誕生的搖籃,也是最早應(yīng)用網(wǎng)絡(luò)技術(shù)的地方。校園網(wǎng)是當(dāng)代 高校重要基礎(chǔ)設(shè)施之一,是促進(jìn)學(xué)校提升教學(xué)質(zhì)量、提高管理效率和加強(qiáng)對外交流 合作的重要平臺,校園網(wǎng)的安全狀況直接影響著學(xué)校的各項(xiàng)工作。在校園網(wǎng)建設(shè)初 期,網(wǎng)絡(luò)安全問題可能還不突出,但隨著應(yīng)用的

38、不斷深入和用戶的不斷增加,高校校 園網(wǎng)上的數(shù)據(jù)信息急劇增長,各種各樣的安全問題層出不窮。 “校園網(wǎng)既是大量攻 擊的發(fā)源地,也是攻擊者最容易攻破的目標(biāo)”,校園網(wǎng)絡(luò)安全已經(jīng)引起了各高校的 高度重視。本文對高校校園網(wǎng)的安全問題進(jìn)行了分析,并探討了加強(qiáng)高校校園網(wǎng)安 全管理的對策。 4.34.3 校園網(wǎng)的特點(diǎn)校園網(wǎng)的特點(diǎn) 與其它局域網(wǎng)相比,高校校園網(wǎng)自身的特點(diǎn)導(dǎo)致網(wǎng)絡(luò)安全問題嚴(yán)重、安全管理 復(fù)雜。其特點(diǎn)可以概括為兩個方面: (1)用戶群體的特點(diǎn)。 高校校園網(wǎng)用戶群體以高校學(xué)生為主。一方面,用戶數(shù)量大、網(wǎng)絡(luò)水平較高。 隨著高校的擴(kuò)招,現(xiàn)在各高校的在校學(xué)生規(guī)模越來越大,校園網(wǎng)用戶少則幾千,多則 幾萬,而且往往比較集中。高校學(xué)習(xí)以自主性學(xué)習(xí)為主,決定了高校學(xué)生可供自主 支配的時間寬裕。通過學(xué)習(xí),高校學(xué)生普遍掌握了一定的計算機(jī)基礎(chǔ)知識和網(wǎng)絡(luò)知 識,其計算機(jī)水平比普通商業(yè)用戶要高,而且他們對網(wǎng)絡(luò)新技術(shù)充滿好奇,勇于嘗試,通 常是最活躍的網(wǎng)絡(luò)用戶。 (2) 校園網(wǎng)建設(shè)和管理的特點(diǎn)。 一方面,校園網(wǎng)建設(shè)需要投入大量的