某市高中校園網(wǎng)系統(tǒng)設(shè)計方案

1、湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 1 頁 共 141 頁目目 錄錄1.序 言.72.某市高中數(shù)字化校園網(wǎng)要求和需求分析.92.1、某市高中校園網(wǎng)現(xiàn)狀.92.2、某市高中校園網(wǎng)建設(shè)目標和功能.92.2.1 某市高中校園網(wǎng)建設(shè)主要目標.92.2.2 某市高中校園將實現(xiàn)的基本功能.93.某市高中校園計算機網(wǎng)絡(luò)設(shè)計方案.113.1、網(wǎng)絡(luò)拓撲結(jié)構(gòu)選擇.123.2、網(wǎng)絡(luò)系統(tǒng)軟件選型.123.3、網(wǎng)絡(luò)總體結(jié)構(gòu)設(shè)計思路.133.4、網(wǎng)絡(luò)具體設(shè)計及設(shè)備選型.153.4.1、網(wǎng)絡(luò)中心建設(shè)方案.153.4.2、各節(jié)點網(wǎng)絡(luò)方案.、節(jié)點交換機.、節(jié)點方案.273.5、網(wǎng)絡(luò)安全

2、和管理措施.283.5.1、網(wǎng)絡(luò)安全.2、虛擬網(wǎng)技術(shù).2、防火墻技術(shù).2、病毒防護.30、安全備份.313.5.2、網(wǎng)絡(luò)管理措施.313.6、網(wǎng)絡(luò)系統(tǒng)拓展設(shè)計.323.7 結(jié)構(gòu)化布線系統(tǒng)設(shè)計.323.7.1 布線概述.323.7.2 布線設(shè)計遵循的標準、規(guī)范.333.7.3 綜合布線系統(tǒng)的組成.343.7.4 某市高中布線系統(tǒng)總體設(shè)計.343.7.4 布線系統(tǒng)設(shè)計.3 工作子系統(tǒng)(WORKAREASUBSYSTEM).3 水平子系統(tǒng)(HORIZONTALSUBSYSTEM) .3 垂直

3、干線子系統(tǒng)(RISERBACKBONESUBSYSTEM) .40 管理子系統(tǒng)(ADMINSTRATIONSUBSYSTEM) .4 設(shè)備間子系統(tǒng)(EQUIPMENTSUBSYSTEM) .4 建筑群子系統(tǒng)(CAMPUSSUBSYSTEM) .4 通信管道及綜合布線管槽系統(tǒng) .433.8 網(wǎng)絡(luò)中心機房裝修設(shè)計與防雷系統(tǒng).443.8.1 機房環(huán)境條件.443.8.2 機房裝修設(shè)計.45湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 2 頁 共 141 頁3.8.3 機房配電系統(tǒng).453.8.4 防雷系統(tǒng).463.8.4.某市高中防雷系統(tǒng)解決

4、方案.4 安裝等電位防雷接地系統(tǒng) .4 安裝第三級防雷系統(tǒng)設(shè)備 .493.8.5 門禁系統(tǒng) .493.9、校園網(wǎng)應用系統(tǒng)的軟硬件建設(shè).493.9.1 硬件平臺選擇.50、網(wǎng)絡(luò)中心-服務(wù)器選型：.50、用戶終端選型：.5.1 選擇聯(lián)想啟天 2200 6C/1G 作為計算機教室終端 .543.9.2 軟件平臺選擇： .5 鵬博士時代校園中小學教學及管理平臺 .5.1、系統(tǒng)簡介及功能特點.5.2 系統(tǒng)特色.6 鵬博士校園資源庫 .6.1 鵬博士校

5、園資源庫簡介 .6.1 鵬博士校園資源庫功能特點 .663923 鵬博士多媒體教室 .6.1 系統(tǒng)功能 .6 校園 IC 卡系統(tǒng).704.某市高中校園電視網(wǎng)絡(luò)設(shè)計方案.714.1 校園電視臺系統(tǒng) .714.1.1 演播室 .71從混響時間上考慮.71從室內(nèi)噪聲上考慮.72從通風降溫上考慮.724.1.2 編輯控制室 .734.2 校園電視傳輸網(wǎng)絡(luò)建設(shè) .744.2.1 概述 .7 電視網(wǎng)絡(luò)傳輸設(shè)計依據(jù) .7 CATV 系統(tǒng)設(shè)計 .7.1 一號教學樓設(shè)計 .7.2 二號教學樓(東)設(shè)計

6、 .7.3 二號教學樓(西)設(shè)計 .7.4 實驗綜合樓設(shè)計 .80.5 行政辦公樓設(shè)計: .8.6 三號教學樓設(shè)計: .8.7 某市高中校園廣播系統(tǒng)工程材料統(tǒng)計明細 .835、多媒體電教系統(tǒng).845.1 多媒體教室設(shè)計原則 .845.2 系統(tǒng)特點 .855.3 系統(tǒng)主要組成： .86湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 3 頁 共 141 頁5.4 系統(tǒng)描述和技術(shù)指標 .865.4.1 大屏幕投影顯示系統(tǒng) .8 系統(tǒng)組成； .8 系統(tǒng)功能概述 .8 大屏幕投影系統(tǒng)技

7、術(shù)指標 .8 投影屏幕 .885.4.2 CREATOR 智能中央控制系統(tǒng)： .8 系統(tǒng)的組成： .8.1、TOUCH 4000 多媒體中央控制主機 .8.2 64 鍵多媒體控制面板； .8.3 “花王”視頻捕捉卡；.90.4 隨機控制軟件。.90 系統(tǒng)功能： .90 系統(tǒng)概述: .905.5、多媒體教室結(jié)構(gòu)示意圖.915.6、多媒體教室設(shè)備清單.936、多功能學術(shù)報告廳.946.1 客戶要求.946.2 設(shè)計思路 .946.3 系統(tǒng)將此多功能學術(shù)報告廳的設(shè)計分為 .946

8、.4 多功能學術(shù)報告廳設(shè)備清單.956.5 總體功能描述：.966.6 各子系統(tǒng)功能描述：.966.6.1 AMX 智能中央控制系統(tǒng) .9 系統(tǒng)概述 .9 系統(tǒng)設(shè)計 .976.6.2、大屏幕投影顯示系統(tǒng).100 SONY VPL-PX32 投影機技術(shù)指標 .100 投影屏幕 .1016.6.3 擴充模塊的說明及連接 .10AMX 燈光調(diào)光器.101附錄:某市高中 IC 卡系統(tǒng)建設(shè)規(guī)劃.103IC 卡技術(shù)的發(fā)展概述、應用特點 .103IC 卡技術(shù)的發(fā)展 .103非接觸式 IC 卡的工作原理及其使用特點.104非接觸式校園

9、 IC 卡的選擇.105校園 IC 卡應用工程的目標、特點、應用范圍與組織措施.106目標.106系統(tǒng)設(shè)計原則.106可靠性和穩(wěn)定性.106易管理性.106易維護性.107湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 4 頁 共 141 頁先進性.107可擴充性.107整體性.107應用性.107開放性.107可擴充性.108規(guī)范性.108校園 IC 卡應用系統(tǒng)的特點.108一卡多用.108全面使用.108網(wǎng)絡(luò)安全.108兼容性強.108校園卡系統(tǒng)結(jié)構(gòu).1091、概述.109跨平臺網(wǎng)絡(luò)操作.110支持各種大型數(shù)據(jù)庫.110全面可靠的安全機制.110使用、安裝、維護方便.111校園 IC 卡應用范圍

10、.111組織措施.111校園 IC 卡內(nèi)設(shè)計及分類.1131）卡內(nèi)設(shè)計.1132）校園卡分類和主要應用設(shè)備.1133）發(fā)卡系統(tǒng).115校園卡（學生）管理系統(tǒng).1161 系統(tǒng)組成.1162 系統(tǒng)功能.11621 概述.11622 流程.1182.2.1 交費注冊發(fā)卡.1182.2.2 離校流程.1 退款.119離校.119教職工卡管理中心.1201.系統(tǒng)組成.1202.系統(tǒng)功能.120校園卡結(jié)算系統(tǒng).121系統(tǒng)組成.121系統(tǒng)功能.1222.1 概述 .122用戶管理系統(tǒng).123POS 機系統(tǒng) .123圈存系統(tǒng).123清算系統(tǒng).123湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 5

11、 頁 共 141 頁系統(tǒng)組成框圖.125（一）圖書館應用系統(tǒng).1251、系統(tǒng)結(jié)構(gòu)圖：.1252應用功能.126（二）注冊中心應用系統(tǒng).1271系統(tǒng)結(jié)構(gòu)：.1272 應用功能.127（三）計算中心應用系統(tǒng).1281系統(tǒng)結(jié)構(gòu)：.1282應用功能.128(四)學生宿舍門禁.1291、系統(tǒng)結(jié)構(gòu).1292應用功能.129(五)學籍管理及查詢系統(tǒng).1301、應用功能.1302、系統(tǒng)結(jié)構(gòu).131(六)總務(wù)系統(tǒng).1321系統(tǒng)功能：.1321.1 宿舍分配 .1321.2 物品租借服務(wù) .132(七)食堂管理子系統(tǒng).1331基本功能.1331.1 作信用卡： .1331.2 設(shè)置操作員級別 .1331.3 設(shè)置

12、參數(shù)： .1331.4 記錄信息： .1341.5 數(shù)據(jù)采集： .1341.6 數(shù)據(jù)結(jié)算： .1342系統(tǒng)結(jié)構(gòu)：.134(八)IC 卡飲水機和自動售賣機系統(tǒng) .1351基本功能：.135(九)校園信息系統(tǒng).1351基本功能.135校園 IC 卡數(shù)據(jù)通訊系統(tǒng).1361、通信方式.1361.1 實時通信 .1361.2 非實時通信 .1362、傳輸介質(zhì).1362.1 校園網(wǎng) .1362.2 軟盤 .1363、通信時的安全措施.1373.1、實時通信時的安全措施.1373.2 非實時通信的安全措施 .1374、管理中心與各個子系統(tǒng)的傳輸數(shù)據(jù).137湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 6 頁 共

13、 141 頁4.1 消費記錄 .1374.2 對帳單 .137校園 IC 卡安全機制.1381、卡的安全性.1382、收費 POS 及讀寫器的安全.1383、數(shù)據(jù)庫安全性.139湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 7 頁 共 141 頁1.1.序序 言言江澤民同志在第三次全國教育工作會議上指出：“面對世界科技飛速發(fā)展的挑戰(zhàn)，我們必須把增強民族創(chuàng)新能力提高到關(guān)系中華民族興衰存亡的高度來認識。教育在培育民族創(chuàng)新精神和培養(yǎng)創(chuàng)造人才方面，肩負著特殊的使命。”以多媒體計算機技術(shù)和網(wǎng)絡(luò)通信技術(shù)為主要標志的信息技術(shù)，作為現(xiàn)代科技革命的基礎(chǔ)核心，已經(jīng)滲透到社會的各個領(lǐng)域，對當代社會產(chǎn)生著重大的影響，最終

14、將可能影響和改變我們的工作方式、學習方式和生活方式乃至思維方式，從而將會大大促進人類社會的發(fā)展和進步。教育部部長陳至立提出：“教育技術(shù)的發(fā)展將對我國教育觀念和教育過程的改革產(chǎn)生深刻的影響，是教育教學改革的制高點”。加強中學尤其是重點中學的信息技術(shù)建設(shè)，在廣大教師和學生中開展信息技術(shù)教育，是現(xiàn)代信息社會對基礎(chǔ)教育的要求，是教育適應二十一世紀挑戰(zhàn)的需要，也是當前基礎(chǔ)教育改革與發(fā)展的一個重要制高點和突破口，對真正落實鄧小平同志“三個面向”的戰(zhàn)略方針具有特殊的意義。教育手段現(xiàn)代化的核心部分是現(xiàn)代信息技術(shù)，它既具有信息量大，交互性強，即時傳輸，遠程傳送的優(yōu)點，又具有聲音、圖像、文字同步傳輸，形象生動、存

15、儲方便和多次反復使用的特點。現(xiàn)代信息技術(shù)在基礎(chǔ)教育領(lǐng)域內(nèi)具有廣闊的應用前景，而教育資源的共享，也必須通過信息化、網(wǎng)絡(luò)化才能充分體現(xiàn)出來。快速、高效的傳播和利用信息資源是 21 世紀的基本特征。掌握豐富的計算機及網(wǎng)絡(luò)信息知識不僅僅是全面推進素質(zhì)教育的要求而且也是學校現(xiàn)代化管理的要求。學校校園網(wǎng)水平的高低，已成為評價學?，F(xiàn)代化辦學水平的重要標準之一。某市高中是某市建市后于 1985 年秋季創(chuàng)辦的，某市市政府于 1986 年 10 月正式命名為某市市高級中學。1987 年 12 月 28 日經(jīng)省教委批準為重點中學。建校十余年來，為高等院校輸送大學生 6000 多人，其中進入全國重點院校的就有2300

16、 人。為某市市各行各業(yè)輸送 1100 多名建設(shè)者。某市高中一直很重視現(xiàn)代湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 8 頁 共 141 頁信息技術(shù)在教育中的運用，有一支計算機應用水平很高的領(lǐng)導與教師隊伍。作為一所新世紀的現(xiàn)代學校，某市高中迫切需要建立一套完善的校園網(wǎng)絡(luò)及一系列建立在校園網(wǎng)絡(luò)架構(gòu)之上的各種應用系統(tǒng)，以滿足當前學校教學、管理的實際要求，使某市高中早日邁入現(xiàn)代教育技術(shù)裝備一級學校行列。湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 9 頁 共 141 頁2.2.某市高中數(shù)字化校園網(wǎng)要求和需求分析某市高中數(shù)字化校園網(wǎng)要求和需求分析2.12.1、某市高中校園網(wǎng)現(xiàn)狀、某市高中校園網(wǎng)現(xiàn)狀某市高中作為

17、湖北省多年的教育質(zhì)量先進學校，領(lǐng)導和教師對計算機使用比較熟練。目前學校新校址校舍已經(jīng)接近完工，按照規(guī)劃，在施工中各教室、辦公室等場所按照國家標準預埋主干網(wǎng)線和 CATV 光纜，并將在此基礎(chǔ)上建設(shè)一個全新的校園網(wǎng)絡(luò)。2.22.2、某市高中校園網(wǎng)建設(shè)目標和功能、某市高中校園網(wǎng)建設(shè)目標和功能某市高中校園網(wǎng)建設(shè)總體目標為:建立一個基于校園 Intranet 的信息管理和應用的網(wǎng)絡(luò)系統(tǒng)，在每一節(jié)點上，數(shù)字帶寬不小于 100Mbps，模擬帶寬不小于 10MHz，并提供相應常規(guī)管理和信息服務(wù)。為全面的數(shù)字化校園打下良好基礎(chǔ)。.1某市高中校園網(wǎng)建設(shè)主要目標某市高中校園網(wǎng)建設(shè)主要目標（1）共享網(wǎng)

18、絡(luò)上各種軟、硬件資源，快速、穩(wěn)定地傳輸各種信息，網(wǎng)上任意節(jié)點的數(shù)字模擬信號可同時、雙向、實時傳輸，并提供有效的網(wǎng)絡(luò)信息管理手段。（2）網(wǎng)絡(luò)中的任意節(jié)點同時具備計算機網(wǎng)絡(luò)系統(tǒng)、多媒體電視教學系統(tǒng)、多媒體機項盒電視上網(wǎng)系統(tǒng)、校園廣播系統(tǒng)等四大功能。四大系統(tǒng)功能信息同時傳輸、系統(tǒng)相互兼容、資源相互共享。各節(jié)點之間可進行交互式操作。（3）建立校園網(wǎng)絡(luò)的“網(wǎng)管中心”和“信息中心”，組織管理本校的教育信息資源和對外交流。（4）實現(xiàn)校園內(nèi)三網(wǎng)（廣播、電視、計算機）合一和 IC 卡“一卡通”。.2某市高中校園將實現(xiàn)的基本功能某市高中校園將實現(xiàn)的基本功能湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第

19、10 頁 共 141 頁校園網(wǎng)的基本功能包括學校管理系統(tǒng)計算機網(wǎng)絡(luò)化和教育教學手段網(wǎng)絡(luò)化、多媒體化兩大部分。具體包括:（1）學校常規(guī)管理系統(tǒng)：（2）網(wǎng)上教學系統(tǒng)（3）圖書館管理系統(tǒng)（4）多媒體教學系統(tǒng) （5）無紙化辦公及信息服務(wù)系統(tǒng) （6）網(wǎng)上通用查詢系統(tǒng)（7）校園 IC 卡“一卡通”系統(tǒng)由于某市高中已經(jīng)實施了樓宇內(nèi)和樓宇間的骨干線路的線管預埋，以基本由于某市高中已經(jīng)實施了樓宇內(nèi)和樓宇間的骨干線路的線管預埋，以基本形成了計算機網(wǎng)絡(luò)和形成了計算機網(wǎng)絡(luò)和 CATVCATV、FMFM 的骨干網(wǎng)的框架，本方案將著重于網(wǎng)絡(luò)綜合布線的骨干網(wǎng)的框架，本方案將著重于網(wǎng)絡(luò)綜合布線系統(tǒng)、網(wǎng)絡(luò)平臺系統(tǒng)和應用系統(tǒng)三個

20、系統(tǒng)的設(shè)計。我們下面將分別對校園網(wǎng)的系統(tǒng)、網(wǎng)絡(luò)平臺系統(tǒng)和應用系統(tǒng)三個系統(tǒng)的設(shè)計。我們下面將分別對校園網(wǎng)的計算機網(wǎng)絡(luò)、校園網(wǎng)綜合布線系統(tǒng)、計算機網(wǎng)絡(luò)、校園網(wǎng)綜合布線系統(tǒng)、CATVCATV 電視網(wǎng)絡(luò)和電視網(wǎng)絡(luò)和 ICIC 卡網(wǎng)絡(luò)建設(shè)進行說明?？ňW(wǎng)絡(luò)建設(shè)進行說明。（為敘述方便，我們把計算機網(wǎng)絡(luò)簡稱網(wǎng)絡(luò)，其他類型網(wǎng)絡(luò)我們將以全稱來描（為敘述方便，我們把計算機網(wǎng)絡(luò)簡稱網(wǎng)絡(luò)，其他類型網(wǎng)絡(luò)我們將以全稱來描述，如述，如 CATVCATV 網(wǎng)絡(luò)。網(wǎng)絡(luò)。 ） 湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 11 頁 共 141 頁3.3.某市高中校園計算機網(wǎng)絡(luò)設(shè)計方案某市高中校園計算機網(wǎng)絡(luò)設(shè)計方案總體設(shè)計原則總體設(shè)計原

21、則1、持開放性、兼容性和互聯(lián)性2、實用與可伸縮性3、接口盡量靈活、公開以便于將來進行系統(tǒng)擴充及二次開發(fā)4、能夠與原有的計算機應用系統(tǒng)平滑地連接，調(diào)用原有各種計算機系統(tǒng)的信息5、能夠與校外進行廣域網(wǎng)的安全、寬帶連接，提供享用各種信息資源和高速信息服務(wù)6、能通過持續(xù)開發(fā)與系統(tǒng)升級，最終將學校網(wǎng)絡(luò)綜合應用系統(tǒng)在 WEB 上無縫地統(tǒng)一起來，實現(xiàn)用統(tǒng)一的一體化標準界面。7、具有完善的網(wǎng)絡(luò)安全機制 湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 12 頁 共 141 頁3.1、網(wǎng)絡(luò)拓撲結(jié)構(gòu)選擇、網(wǎng)絡(luò)拓撲結(jié)構(gòu)選擇校園網(wǎng)絡(luò)的總體結(jié)構(gòu)一般包括綜合布線系統(tǒng)、網(wǎng)絡(luò)平臺系統(tǒng)和應用系統(tǒng)。網(wǎng)絡(luò)拓撲結(jié)構(gòu)是指網(wǎng)絡(luò)結(jié)點之間的結(jié)構(gòu)組成

22、。網(wǎng)絡(luò)拓撲結(jié)構(gòu)分總線、星型、環(huán)型和混合型幾種形式。網(wǎng)絡(luò)的故障和傳輸速率的瓶頸存在 70%以上是因為傳輸線路的影響，因此，網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計是關(guān)系到網(wǎng)絡(luò)性能好壞的關(guān)鍵之一。考慮到技術(shù)的適用性、擴展升級的方便性、系統(tǒng)的快速性、結(jié)構(gòu)的容錯性，以及投資的經(jīng)濟性，某市高中校園網(wǎng)設(shè)計采用 1000M 快速交換以太網(wǎng)混合型（如樹型、星環(huán)型等）拓撲結(jié)構(gòu)。3.2、網(wǎng)絡(luò)系統(tǒng)軟件選型、網(wǎng)絡(luò)系統(tǒng)軟件選型操作系統(tǒng)是計算機系統(tǒng)的重要組成部分，用戶通過操作系統(tǒng)管理控制網(wǎng)絡(luò)，能夠合理的組織系統(tǒng)工作流程，有效的管理資源，發(fā)揮資源的效能。目前占主導地位的網(wǎng)絡(luò)操作系統(tǒng)有 NOVELL,WINNT,WIN2000，UNIX，四種。根據(jù)

23、某市高中校園網(wǎng)應用軟件使用的特點，我們推薦選用微軟公司的網(wǎng)絡(luò)操作系統(tǒng) WINDOWS 2000 SERVER 中文標準版，能很好滿足用戶要求。Windows 2000 Server 產(chǎn)品家族建立于強大的 Windows NT 技術(shù)之上，集成了基于標準的目錄、Web、應用程序、通信、文件和打印服務(wù)。這些服務(wù)具備高可靠性和高效的管理，并且支持最新的網(wǎng)絡(luò)硬件技術(shù)，從而提供了實現(xiàn)商務(wù)應用和與 Internet 集成的最佳基礎(chǔ)。數(shù)據(jù)庫管理系統(tǒng)是整個系統(tǒng)的核心。目前國內(nèi)外普遍采用 SQL 系統(tǒng)數(shù)據(jù)庫產(chǎn)品。面對種類繁多的 SQL 數(shù)據(jù)庫產(chǎn)品(包括 Informix、SQL SERVER、Sybase等)，選

24、擇時我們注意到所選擇的數(shù)據(jù)庫系統(tǒng)要與網(wǎng)絡(luò)操作系統(tǒng)相匹配。針對Windows 2000 SERVER 網(wǎng)絡(luò)操作系統(tǒng)，可選擇 Microsoft 的最新數(shù)據(jù)庫系統(tǒng) SQL SERVER 2000，SQL SERVER 2000 數(shù)據(jù)庫是一個高性能、多用戶、關(guān)系型數(shù)據(jù)庫管理模式，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫之間互聯(lián)、互操作，具有數(shù)據(jù)容錯、完整性檢查和安全保密等功能，使整個網(wǎng)絡(luò)數(shù)據(jù)庫的結(jié)構(gòu)更加合理。在網(wǎng)絡(luò)安全方面，我們選擇 MICROSOFT ISA SERVER 2000，該軟件是WINDOWS 2000 SERVER 平臺上唯一同時具有防火墻和 WEB 緩存的服務(wù)器軟件，湖北省某市市某市高中校園網(wǎng)系統(tǒng)

25、設(shè)計方案第 13 頁 共 141 頁與 WINDOWS 2000 SERVER 集成，提高基于策略的安全性，同時具備訪問速度快和易于管理的網(wǎng)絡(luò)功能，對可 INTERNET 資源進行管理。郵件服務(wù)軟件推薦選擇 MICROSOFT EXCHANGE 2000 SERVE，能完全滿足學校電子郵件服務(wù)的要求。3.3、網(wǎng)絡(luò)總體結(jié)構(gòu)、網(wǎng)絡(luò)總體結(jié)構(gòu)設(shè)計思路設(shè)計思路某市高中校園網(wǎng)絡(luò)拓撲采用兩級星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)，建立千兆光纖主干和超五類雙絞線百兆到桌面的高速以太網(wǎng)。千兆以太網(wǎng)除了提供高帶寬以外，也支持以太網(wǎng)的服務(wù)類型和服務(wù)質(zhì)量保證的相關(guān)協(xié)議，如 IEEE 802.1P、IEEE 802.1Q、IEEE 802.

26、3X、IEEE 802.3AB 和資源預留協(xié)議（RSVP）等關(guān)鍵協(xié)議。由于學校網(wǎng)絡(luò)應用需要大量的交互式的多媒體通信及與 Internet 的連接, 無疑應當采用 Internet/Intranet 技術(shù), 這也為客戶端界面的統(tǒng)一及應用平臺的建立提供了方便。也就是說, 校園的內(nèi)部網(wǎng)應當采用基于 Intranet 的網(wǎng)絡(luò)結(jié)構(gòu)?；?Intranet 的校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)包括： （一）建立在 TCP/IP 協(xié)議基礎(chǔ)上的計算機網(wǎng)絡(luò)； （二）一臺或多臺運行支持多進程、多線程、多處理器的操作系統(tǒng)的物理服務(wù)器； （三）著重于桌面的支持圖像顯示并可運行瀏覽器軟件的客戶機； （四）運行在物理服務(wù)器上的提供各種應用支

27、持的軟件服務(wù)器。根據(jù)網(wǎng)絡(luò)數(shù)據(jù)中心的設(shè)計原則，以提高核心設(shè)備的可靠性、可用性、可伸縮、可擴展為目標，結(jié)合某市高中的具體要求，整個校園網(wǎng)絡(luò)采用兩級星型拓撲結(jié)構(gòu)。某市高中千兆校園網(wǎng)里涵蓋了校園辦公系統(tǒng)、校園內(nèi)外部主頁、內(nèi)外部電子郵件、多媒體教室、電子閱覽室系統(tǒng)、校園 IC 卡管理系統(tǒng)、內(nèi)部信息服務(wù)系統(tǒng)、遠程訪問系統(tǒng)及 Internet 訪問系統(tǒng)等主要的應用子系統(tǒng)，可以實現(xiàn)校內(nèi)信息的共享和快速傳遞；實現(xiàn)教學及管理信息化；使校領(lǐng)導能及時、全面、準確地掌握全校的教學、科研、生產(chǎn)、管理、財務(wù)、人事等方面的情況；整個網(wǎng)絡(luò)由網(wǎng)絡(luò)中心、辦公子網(wǎng)、教學子網(wǎng)等組成，其中網(wǎng)絡(luò)中心是整個網(wǎng)絡(luò)的主干系統(tǒng)，是網(wǎng)絡(luò)的總節(jié)點，各

28、子網(wǎng)是功能子網(wǎng)，建立相應的網(wǎng)絡(luò)環(huán)境，來適應湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 14 頁 共 141 頁各種應用。二級節(jié)點交換機需要可網(wǎng)管、高端口密度、可實現(xiàn)劃分虛擬子網(wǎng)等功能。通過對某市高中校園網(wǎng)應用情況的分析，采用壓縮式核心層和接入層的兩層建設(shè)方案。考慮到地理位置、信息點數(shù)量及未來覆蓋面擴充等多方面因素，又將整個湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 15 頁 共 141 頁校園網(wǎng)劃分為五大區(qū)域網(wǎng)絡(luò)中心、實驗、教學、辦公、宿舍區(qū)域。網(wǎng)絡(luò)中心放置一臺支持三層交換的具有多種服務(wù)和接口的高端交換機，其他各區(qū)域放置一臺或幾臺可堆疊二層或三層交換機，他們之間采用 1000M 光纖寬帶連接技術(shù)。

29、網(wǎng)絡(luò)中心服務(wù)器直接連接骨干交換機的千兆端口，以保證有足夠的帶寬。網(wǎng)絡(luò)中心可以通過骨干交換機連接一臺防火墻，防火墻再連接一臺路由器接入Internet(或通過教育網(wǎng)與教育部門相連)。3.4、網(wǎng)絡(luò)具體設(shè)計及設(shè)備選型、網(wǎng)絡(luò)具體設(shè)計及設(shè)備選型某市高中目前新校區(qū)有三個教學樓、一個實驗和一個行政樓以及食堂和學生宿舍樓。其中網(wǎng)絡(luò)中心位于行政樓三樓網(wǎng)管中心，匯聚全校五個二級節(jié)點和作為校園網(wǎng)的數(shù)據(jù)中心以及城域網(wǎng)的出口。在一號教學樓、行政樓、實驗樓、二號教學樓和三號教學樓各建立一個二級節(jié)點，用于匯聚各服務(wù)區(qū)域的有源信息點，網(wǎng)絡(luò)中心交換機與二級節(jié)點交換機采用 1000M 連接。將來在圖書館建立一個三級節(jié)點，用于匯聚

30、有源信息點，并通過 UTP 電纜 100M 連接至二級節(jié)點交換機。.1、網(wǎng)絡(luò)中心建設(shè)方案、網(wǎng)絡(luò)中心建設(shè)方案網(wǎng)絡(luò)中心設(shè)計主要包括主干網(wǎng)絡(luò)的設(shè)計、校園網(wǎng)與 Internet 的互連、遠程訪問服務(wù)等。網(wǎng)絡(luò)主干我們選擇千兆以太網(wǎng)，千兆以太網(wǎng)和快速以太網(wǎng)相比，提供更高更快的傳輸速度，還有更好的第三層交換能力，能管理更高的帶寬，更高的流量。目前千兆以太網(wǎng)已是局域網(wǎng)發(fā)展的主要方向。如果未來拓展和外網(wǎng)連接如校園網(wǎng)和 Internet 的互連我們采用通過防火墻接電信城域網(wǎng)或教育城域網(wǎng)的方案。3 34 41 11 1、中心網(wǎng)絡(luò)交換機、中心網(wǎng)絡(luò)交換機考慮到網(wǎng)絡(luò)的可靠性和先進性，為便于網(wǎng)絡(luò)的擴 湖北省

31、某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 16 頁 共 141 頁展，網(wǎng)絡(luò)中心交換機采用 Cisco 公司 catalyst 4006 交換機，以用于匯聚四個節(jié)點交換機的光纖上聯(lián)鏈路、服務(wù)器、網(wǎng)管工作站和網(wǎng)絡(luò)中心其它工作站。Cisco Catalyst 4000 系列產(chǎn)品為布線室和數(shù)據(jù)中心提供高性能、中等密度的、10/100/1000M 以太網(wǎng)模塊交換平臺。利用業(yè)界領(lǐng)先的 5500/5000 系列的軟件代碼庫，提供客戶在布線室所需要的豐富的和經(jīng)實踐證明的特性，以獲得聯(lián)網(wǎng)的解決方案。新的 Catalyst 4006 系統(tǒng)-經(jīng)濟有效的模塊化 6 插槽機箱，為學?；蚍种C構(gòu)的每一個用戶提供匯合配線間的好處

32、。Catalyst 4000 系列為配線室提供了先進的高性能解決方案。主要優(yōu)點包括： 性能性能-提供了先進的交換解決方案，它能隨著您端口的添加而增大帶寬。領(lǐng)先的 ASIC 技術(shù)更是使 Catalyst 4000 系列解決方案如虎添翼，ASIC 技術(shù)提供了線速第 2 層和第 3 層 10/100 或千兆位交換。其中，第 2 層交換由 24 Gbps、18 Mpps 引擎驅(qū)動，第 3 層交換則由可伸縮的 8 Gbps、6 Mpps 引擎驅(qū)動。密度密度-能夠在一個機箱上滿足最多 240 個快速以太網(wǎng)端口和 92 個 1000M以太網(wǎng)端口的網(wǎng)絡(luò)單元連接要求。Catalyst 4000 系列的熱插拔模塊

33、即插即用交換解決方案降低了復雜性并能輕松地支持當前網(wǎng)絡(luò)中不斷變化的桌面環(huán)境。特別是，還提供了無線 PC 連接來支持未來的端口接口需要。 一致的軟件體系結(jié)構(gòu)一致的軟件體系結(jié)構(gòu)-因為 Catalyst 軟件和用戶界面的一致性，客戶能繼續(xù)利用他們的知識，并利用 Catalyst 1900、2900、3500、4000、5000、6000、8500 家族產(chǎn)品來繼續(xù)發(fā)展自己的基礎(chǔ)設(shè)施。 投資保護投資保護-靈活的模塊化體系結(jié)構(gòu)對配線室中的動態(tài)桌面連接提供了經(jīng)濟高效的管理。Catalyst 4006 背板進一步提供了網(wǎng)絡(luò)保護能力，因為它支持 60 Gbps 無阻塞容量，所以這種機箱更能適應未來需要。另外，C

34、atalyst 4003 和 4006 機箱之間的兼容備份，使它的電源和交換板卡之間的通用性更強，從而降低了總擁有成本。 湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 17 頁 共 141 頁功能透明板卡功能透明板卡-Catalyst 4000 的結(jié)構(gòu)優(yōu)勢擴大了 Catalyst 4000 系列板卡的部署壽命。只要簡單地添加其它引擎模塊，如新的第 3 層服務(wù)模塊，Catalyst 4000 系統(tǒng)就能方便地將所有系統(tǒng)端口升級到更高層的交換功能。不需要更換現(xiàn)有板卡就能在系統(tǒng)端口上實現(xiàn)高層功能增強，這在常規(guī)交換產(chǎn)品中是很常見的。這樣，新的 Catalyst 4006 端口可以隨時用于WAN、IP 電話、

35、第 4 層到第 7 層 Web 交換。 模塊化監(jiān)控器引擎保護模塊化監(jiān)控器引擎保護-Catalyst 4006 機箱背板和監(jiān)控器連接器可以支持未來的監(jiān)控器引擎升級。未來改進的可能性包括將可伸縮交換機結(jié)構(gòu)容量增加到 64 Gbps、使用線速第 3 層和第 4 層交換和基于未來技術(shù)的千兆位上行鏈路。 CiscoCisco IOSIOS 網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)服務(wù)-Catalyst 4000 系列交換機提供了成熟的企業(yè)第 2層和第 3 層特性，能夠有效地增強公司網(wǎng)絡(luò)的能力。這些特性滿足大中型企業(yè)的高級聯(lián)網(wǎng)要求。 基于硬件的組播基于硬件的組播-協(xié)議獨立組播（PIM）密集和稀疏模式、Internet 組群組播協(xié)議（

36、IGMP） 、以及 Cisco 組群組播協(xié)議（CGMP）支持基于標準的、Cisco 改進的高效多媒體聯(lián)網(wǎng)。 經(jīng)濟高效經(jīng)濟高效-結(jié)合先進的工程和制造工藝優(yōu)勢，Catalyst 4000 系列以高性能/價格比的價格提供了更加強大和更加可靠的企業(yè)交換解決方案，重新定義了新的價格/性能比。 共享內(nèi)存體系結(jié)構(gòu)，沒有線路頭阻塞共享內(nèi)存體系結(jié)構(gòu)，沒有線路頭阻塞-集中式低等待延遲（1.4 微秒） 、共享內(nèi)存交換結(jié)構(gòu)提供了領(lǐng)先的能力，消除了所有可能的線路頭部阻塞。 桌面能夠使用千兆位能力桌面能夠使用千兆位能力-Catalyst 4000 系列已經(jīng)提供了豐富的 1000 Mbps 千兆位和千兆位服務(wù)器交換解決方案

37、。Catalyst 4000 系統(tǒng)的千兆位解決方案的使用范圍可以方便地擴展到桌面。 可管理性可管理性-利用每一種 Catalyst 4000 系列交換解決方案提供的先進的管湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 18 頁 共 141 頁理能力以及每一個端口中內(nèi)置的基于業(yè)界標準的管理功能，Catalyst 4000 系列的控制能力和安全性都得到了加強。您可以靈活地選擇是使用基于 Web 的圖形用戶接口（GUI）還是命令行接口（CLI）來完成管理任務(wù)，從而增強了您的網(wǎng)絡(luò)操作能力。 降低網(wǎng)絡(luò)操作費用降低網(wǎng)絡(luò)操作費用-因為 Catalyst 平臺、體系結(jié)構(gòu)和軟件之間有更高的一致性，所以費用得到了很大

38、降低。另外，端到端的 Cisco 管理和服務(wù)也降低了網(wǎng)絡(luò)的總擁有成本。 保護關(guān)鍵任務(wù)應用的性能保護關(guān)鍵任務(wù)應用的性能-集中式企業(yè)策略創(chuàng)建加上 CiscoAssure 支持和針對第 2 層 CoS 和第 3 層 ToS 的網(wǎng)絡(luò)服務(wù)質(zhì)量，這些可共同保證您能夠從邊緣到核心得到一致的應用性能。 高可用性高可用性-Catalyst 4000 系列提供了自恢復網(wǎng)絡(luò)智能，它的速度足以從端口、設(shè)備、鏈路上發(fā)現(xiàn)故障而在桌面上沒有明顯延遲。 面向未來的網(wǎng)絡(luò)面向未來的網(wǎng)絡(luò)-Cisco 的繼續(xù)開發(fā)和投資使 Cisco Catalyst 4000 系列LAN 解決方案成為一個具有戰(zhàn)略意義的配線室和分支機構(gòu)平臺，它經(jīng)歷了

39、多年的不斷改進。Catalyst 4000 系列能輕松地應對網(wǎng)絡(luò)發(fā)展，通過簡單地添加更多的端口，您可以有效地提高您網(wǎng)絡(luò)的帶寬。另外，功能上透明的體系結(jié)構(gòu)優(yōu)勢將擴大每個交換板卡的有效時間，允許您隨著您的需求而添加更高級的功能，而不需要進行徹底升級。 光纖延伸到桌面光纖延伸到桌面-Catalyst 4000 系列 24 端口和 48 端口 100 BASE-FX 板卡提供了光纜的保密性和復原能力，考慮到距離限制、入侵或射頻干擾等諸多因素，這使他們非常適合網(wǎng)絡(luò)使用。處理機密信息或提供電子交易的政府機構(gòu)和企業(yè)客戶是這種板卡的最佳客戶。 它可適用于大型主干網(wǎng)絡(luò)，高速率、高端口密度、多端口類型的復雜網(wǎng)絡(luò)，

40、需要千兆以太網(wǎng)的網(wǎng)絡(luò)環(huán)境等。在此方案中，我們選用 Catalyst 4000 系列的配置 WS-C4006-SIII 交換引擎的交換機，它不需要另外再配置三層交換模塊就可提供三層交換功能，并配置 WS-X4418-GB 千兆 18 端口交換模塊一塊和 WS-湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 19 頁 共 141 頁X4148-RJ 百兆 48 端口交換模塊一塊，通過以上配置提供三層交換功能和 48 個100M 交換端口和最多 18 個 1000M 光纖連接。這樣就可以連接 35 個行政樓有源信息點、資源服務(wù)器和五個二級配線間的 1000M 上聯(lián)光纖。3 34 41 12 2、接入路由器

41、、接入路由器對于某市高中的 INTERNET 接入功能，我們采用通過防火墻接路由器的方法設(shè)計，選用 cisco 2600 系列模塊化路由器實現(xiàn)。cisoc 2600 系列可使用 cisco 1600 和cisco 3600 系列的接口模塊，提供了高效率、低成本的解決方案，以滿足當今遠程分支機構(gòu)的需求，支持高密度串行口，撥號池以及多業(yè)務(wù)話音/數(shù)據(jù)集成等，可配置各種網(wǎng)絡(luò)模塊連接多種電信線路接口，提供多種上網(wǎng)方式。在這里我們選用 cisco 2621 接入路由器，它提供 2 個百兆以太網(wǎng)端口，配置 NM-1FE-FX 模塊一個，可以提供電信光纖線路接入。3 34 41 13 3、防火墻、防火墻由于防

42、火墻需要入侵檢測、病毒檢測及有害信息的攔截功能，所以我們選用聯(lián)想網(wǎng)御 2000 防火墻。聯(lián)想網(wǎng)御 2000 防火墻是聯(lián)想集團信息安全系列產(chǎn)品的拳頭產(chǎn)品，是聯(lián)想研究院利用自身強大的技術(shù)研發(fā)實力，結(jié)合國內(nèi)外信息安全的最新技術(shù)，針對我國的具體應用環(huán)境而開發(fā)出的。該產(chǎn)品采用軟硬件一體化設(shè)計，在硬件體系、操作系統(tǒng)、防火墻軟件方面擁有自主版權(quán)的產(chǎn)品，除了提供強大的多級包過濾功能外，DCFW-2000 還具備時間段控制訪問、應用代理、地址轉(zhuǎn)換、入侵檢測、完整的日志審計、實時聯(lián)機監(jiān)控等完備的功能，地址解析代理可以在不更改現(xiàn)有網(wǎng)絡(luò)配置的情況下安裝或卸載防火墻；Anti-X 色情防堵功能能夠凈化網(wǎng)絡(luò)內(nèi)容，尤其適合

43、校園網(wǎng)應用；防病毒接口可使防火墻與外掛的網(wǎng)絡(luò)防病毒產(chǎn)品 InterScan 密切配合，防止病毒的侵入。該產(chǎn)品全部設(shè)置基于 WEB 界面，可以為政府、軍隊、網(wǎng)站和企業(yè)級用戶提供方便、快速、靈活、安全的網(wǎng)絡(luò)安全解決方案，在保持原有的網(wǎng)絡(luò)架構(gòu)上輕松、快速地構(gòu)建自己的湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 20 頁 共 141 頁安全網(wǎng)絡(luò)或安全通道。系統(tǒng)特點如下：1、軟硬件一體化的硬件防火墻聯(lián)想網(wǎng)御 2000 防火墻是軟硬結(jié)合的硬件型防火墻，主要由三個部分組成：硬件平臺、操作系統(tǒng)、防火墻安全軟件。硬件平臺可分為：1U 與 2U 的企業(yè)級防火墻、3U 電信級防火墻。操作系統(tǒng)：專用實時安全操作系統(tǒng)。經(jīng)測

44、試，網(wǎng)御 2000 防火墻的操作系統(tǒng)網(wǎng)絡(luò)性能極高，體現(xiàn)了硬件防火墻的性能優(yōu)勢。軟件固化方案：DOM，無硬盤故障。系統(tǒng)軟件防拷貝：基于加密算法LDC，DOM 內(nèi)除操作系統(tǒng)外，全部軟件包加密處理。軟件模塊授權(quán)認證。軟件包在未授權(quán)使用時為禁用狀態(tài)，授權(quán)后為激活狀態(tài)。2、自主知識產(chǎn)權(quán)的安全操作系統(tǒng)，防火墻自身安全可靠 聯(lián)想網(wǎng)御 2000 防火墻采用聯(lián)想自主開發(fā)的嵌入式安全操作系統(tǒng)，無后門。保證了自身體系結(jié)構(gòu)的可靠性，消除了操作系統(tǒng)對防火墻的安全隱患。唯一做系統(tǒng)管理的服務(wù)是 HTTP，為保證身份認證，管理信息的完整性和機密性，聯(lián)想網(wǎng)御 2000 防火墻采用了基于 SSL 的 HTTP 協(xié)議。只有被PKI

45、-CA 認證過的管理員才能進入網(wǎng)御防火墻進行管理。網(wǎng)御防火墻操作系統(tǒng)的 TCP/IP 層進行了加固，使得網(wǎng)御防火墻加密防火墻能夠防止黑客常用的攻擊，如：TCP-SYN 等 DOS 攻擊。同時，由于防火墻集成了 IDS 功能和防病毒模塊，這些模塊在保護用戶數(shù)據(jù)的同時，也在保護防火墻的操作系統(tǒng)?？?DDOS 攻擊：防火墻的入侵檢測模塊可以對進入防火墻的所有網(wǎng)絡(luò)數(shù)據(jù)進行分析，采用模式匹配技術(shù)實時檢測進入防火墻的網(wǎng)絡(luò)數(shù)據(jù)是否有入侵行為，一旦發(fā)現(xiàn)入侵，則及時設(shè)置安全規(guī)則阻止入侵。入侵檢測模塊可以有效地檢測出 Trinno.等 DDOS 分布式拒絕服務(wù)攻擊。操作系統(tǒng)和防火墻軟件具有加密和抗復制特性，操作系

46、統(tǒng)和應用程序存放于 DOC（Disk-On- Chip）。同時采用基于硬件信息的加密認證措施，使程序既不能拷貝。湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 21 頁 共 141 頁3、交換式透明網(wǎng)關(guān)和 4 層交換式應用透明代理網(wǎng)御 2000 防火墻是 4 層交換式防火墻，并在基礎(chǔ)上實現(xiàn)了無 IP 地址的透明代理網(wǎng)關(guān)，為用戶的應用帶來了方便。將防火墻接入原網(wǎng)絡(luò)時，不必改變網(wǎng)絡(luò)原有的結(jié)構(gòu)?？梢允狗阑饓υ诰W(wǎng)絡(luò)中不被探測及訪問，提高了防火墻自身的安全性，更有效保護受控網(wǎng)絡(luò)，降低了系統(tǒng)登錄的安全風險。（1）交換技術(shù)網(wǎng)關(guān)交換方式是防火墻可用性的重要技術(shù)，也是防火墻每個網(wǎng)口無 IP 的一個安全特征。在 2 層

47、交換方式下的只能實現(xiàn)包過濾功能，而對于防火墻，只有包過濾是無法保證用戶的各類服務(wù)的安全的，特別是內(nèi)容過濾，入侵檢測，代理等。目前的代理和內(nèi)容過濾防火墻都是基于路由方式。在 4 層交換方式下的防火墻實現(xiàn)技術(shù)難度大。目前在國內(nèi)同類技術(shù)很少，國外的防火墻產(chǎn)品也未能實現(xiàn) 4 層交換式防火墻，而聯(lián)想成功地實現(xiàn)了這一技術(shù)難點。（2）應用層透明代理提供透明的代理服務(wù)功能，受控網(wǎng)絡(luò)中的用戶感覺不到代理的存在。不必改變客戶端配置，就能在授權(quán)范圍內(nèi)與外網(wǎng)通信，減少了網(wǎng)絡(luò)管理員的工作量?？赏该鞯丶夁B原代理。4、網(wǎng)關(guān)級的病毒檢測及過濾功能網(wǎng)關(guān)級防病毒技術(shù)的發(fā)明填補了國內(nèi)在 Internet 網(wǎng)關(guān)級查殺病毒技術(shù)的空缺，

48、它可實時監(jiān)測流經(jīng) Internet 網(wǎng)關(guān)或防火墻的 HTTP、FTP 和 SMTP等數(shù)據(jù)流，使病毒還沒有進入 Internet 的服務(wù)器或企業(yè)內(nèi)部網(wǎng)之前就被檢測到、被清除或被處理，從而避免了與 Internet 連接的用戶和企業(yè)內(nèi)部網(wǎng)被病毒大范圍感染的危險，大大節(jié)省了企業(yè)的資源和用戶產(chǎn)品的升級、維護費用。同時，采用本項技術(shù)，也可以防止內(nèi)部網(wǎng)用戶主機上的病毒向Internet 和內(nèi)部服務(wù)器的傳播。采用本項技術(shù)的硬件防病毒網(wǎng)關(guān)與被保護的服務(wù)器和客戶機平臺（硬件和操作系統(tǒng)）無關(guān)。網(wǎng)關(guān)級防病毒技術(shù)將安全代理技術(shù)和病毒掃描技術(shù)結(jié)合，工作在應用層，可實時、快速的監(jiān)測流經(jīng)防病毒網(wǎng)關(guān)的任何一種方向的 HTTP

49、、FTP 和 SMTP等數(shù)據(jù)流，如果發(fā)現(xiàn)有病毒，則攔截并殺除，同時記錄病毒日志和向管理員湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 22 頁 共 141 頁報警，然后將無病毒的數(shù)據(jù)流通過代理轉(zhuǎn)發(fā)到目的地，這樣就極大地增強了Internet 網(wǎng)站和企業(yè)內(nèi)部網(wǎng)絡(luò)的實時病毒防范能力。當防火墻系統(tǒng)檢測到病毒時，系統(tǒng)會自動將檢測報告寄往報警郵箱，并可以在忽略、刪除、隔離、自動殺毒中選擇合適的操作，同時將事件記錄到日志中。多樣靈活的升級方式，到聯(lián)想網(wǎng)御的售后服務(wù)網(wǎng)站注冊后，用戶將享受到多樣靈活的升級方式：用戶可以到服務(wù)網(wǎng)站下載升級包，然后進行手動升級，也可以設(shè)置自動更新選項（需保證防火墻與 INTERNET

50、 相通），防火墻將自動更新病毒庫和掃描引擎，使企業(yè)不再為新病毒的發(fā)作而擔憂。5、實時入侵檢測提供實時檢測和自動響應功能，一旦發(fā)現(xiàn)有入侵行為，實時報警，并自動切斷該可疑連接。支持入侵檢測庫升級，為查出最新的攻擊手段提供保障。用戶可以定制入侵檢測策略，可以自定義檢測規(guī)則，建立自己的入侵檢測規(guī)則庫。入侵檢測的關(guān)鍵技術(shù)包括：網(wǎng)絡(luò)協(xié)議解碼技術(shù)。系統(tǒng)對捕獲的每一個數(shù)據(jù)包在不同的網(wǎng)絡(luò)層次進行協(xié)議解析，在數(shù)據(jù)鏈路層，系統(tǒng)可針對以太網(wǎng)、令牌環(huán)及 PPP 協(xié)議等進行解碼；在網(wǎng)絡(luò)層，系統(tǒng)可針對 IP、IPX、ARP 及 ICMP 等協(xié)議進行解碼；在傳輸層，系統(tǒng)可針對 TCP 和 UDP 協(xié)議進行解碼。規(guī)則模式匹配技

51、術(shù)。系統(tǒng)將大量規(guī)則以雙向鏈表形式讀入內(nèi)存，提高檢索速度。模式匹配算法采用改進的 Aho-Corasick Boyer-Moore（AC_BM）算法，有效地加快了匹配速度，減少了對防火墻整體性能的影響。自動響應技術(shù)。系統(tǒng)可自動對檢測到的可疑地址進行阻斷，封鎖可疑用戶的訪問，并在一定的時間間隔后解鎖。6、日志審計日志服務(wù)器軟件對日志進行審計，以科學的方法對日志進行分析，幫助網(wǎng)絡(luò)管理員及時發(fā)現(xiàn)危害企業(yè)內(nèi)部網(wǎng)的行為。入侵者無法涂抹日志服務(wù)器上的日志，因此入侵足跡將留了下來，為分析黑客入侵手段、追查黑客提供重要依據(jù)。湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 23 頁 共 141 頁7、內(nèi)容過濾根據(jù)郵件的

52、特征，如郵件主題、郵件內(nèi)容、收件人、發(fā)件人、附件名等對郵件進行內(nèi)容過濾。使企業(yè)免受垃圾郵件、反動郵件的困擾。電子郵件是病毒傳播的最主要的途徑之一，對郵件的過濾必然遏制病毒的傳播。為了對郵件內(nèi)容進行精確過濾，聯(lián)想集團對大量中文數(shù)據(jù)進行分析研究，提出了中文文本數(shù)據(jù)過濾方案，通過在訓練端（PC 機）做訓練，提取文本相似性特征及其在內(nèi)容上的相關(guān)性，形成過濾類特征，將此過濾類特征導入到防火墻上做過濾的依據(jù)，對中文內(nèi)容的郵件內(nèi)容和附件內(nèi)容過濾。內(nèi)容過濾的核心技術(shù)是對文本主要內(nèi)容的抽取，與自動文摘的技術(shù)是相通的。文本抽取的主要思路是：根據(jù)一些語言模型將文本內(nèi)容進行量化，找出文本內(nèi)容和一些關(guān)鍵概念的關(guān)聯(lián)程度，

53、以及這些概念在文本內(nèi)容中的重要程度，從而抽取出與文本主要內(nèi)容相關(guān)的概念和相應語句。如果對這些內(nèi)容和概念設(shè)置一定的過濾條件，則可以完成內(nèi)容過濾。 8、易用的圖形化管理界面，強大的管理能力（1）易用的圖形化管理界面基于 WEB 的圖形化中文配置管理界面。防火墻界面、用戶認證界面、日志審計界面用管理主機統(tǒng)一配置管理。通過防火墻配置管理界面可以進入認證服務(wù)器的配置管理界面，也可以進入日志服務(wù)器的配置管理界面。貼近用戶，簡明易懂。（2）安全管理基于硬件的一次性口令對管理員身份進行驗證，管理員還可以使用 SSL安全信道對防火墻進行遠程管理。管理員身份無法假冒。利用安全管理證書，集成策略集中管理多個防火墻。

54、本地管理：通過防火墻 Console 口進行命令行/ Web 圖形界面的配置管理。遠程安全管理：通過防火墻以太網(wǎng)進行基于 WEB 的配置管理，管理的通信協(xié)議為 HTTPS，基于 SSL 方式。（3）強大的管理功能湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 24 頁 共 141 頁升級：本地升級/網(wǎng)站升級。網(wǎng)站下載通過加密信道傳輸 防火墻處理完整日志的方法：日志可定期自動轉(zhuǎn)存、備份、導出，防火墻上保存 4K 大小的日志內(nèi)容，防火墻和日志服務(wù)器之間用安全專用信道。提供自動日志掃描/分析功能，提供自動報表及日志報告書寫器（syslog）警告通知機制：日志存儲溢出報警，syslog，E-mail，指示燈

55、按照用戶 ID 或 IP 地址提供簡要報表。3 34 41 14 4、服務(wù)器、服務(wù)器由于校園網(wǎng)的應用有大量的圖像等多媒體數(shù)據(jù)，要求網(wǎng)絡(luò)服務(wù)器有高的處理速度和網(wǎng)絡(luò)性能，因此數(shù)據(jù)庫服務(wù)器、WWW 服務(wù)器和 E_MAIL 服務(wù)器應直接與骨干交換機的千兆端口連接，保證有足夠的帶寬，其他服務(wù)器接百兆端口，提供各種網(wǎng)絡(luò)服務(wù)。根據(jù)某市高中的網(wǎng)絡(luò)需求，選擇惠普 Netserver/康柏 ProLiant 系列服務(wù)器,具體見 .1.1.1網(wǎng)絡(luò)中心服務(wù)器選型網(wǎng)絡(luò)中心服務(wù)器選型3 34 41 15 5、UPSUPS 不間斷電源不間斷電源為了保護數(shù)據(jù)的安全以及網(wǎng)絡(luò)設(shè)備的有效性，服務(wù)器、交換機和路由器都

56、需要連接 UPS 電源，由于中心機房的設(shè)備較多，我們選用 APC 10KVA 4 小時持續(xù)供電的職能型在線式 UPS 電源，它的特點是：雙向轉(zhuǎn)換 IGBT 模塊（基準）真在線。 單向控制板設(shè)計，不需調(diào)整，易于保養(yǎng)。獨一無二的液晶顯示功能，可顯示輸入輸出電壓。頻率電量負載量，甚至可顯示貴公司名稱。適用于惡劣環(huán)境中使用。獨特的超載容量設(shè)計，內(nèi)部裝有 220V/5A 的電池充電器，毋需額外的充電器。內(nèi)部裝有分離變壓器，確保輸入與輸出之間完全分離。獨特的氣流控制，有效 的陰擋灰塵。電線安裝及維修都位于前端易于操作。湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 25 頁 共 141 頁裝有載重輪和手提處便于

57、挪移與手提。 智能型交流軟件，顯示操作系統(tǒng)平臺，便于讀取信息。.2、各節(jié)點網(wǎng)絡(luò)方案、各節(jié)點網(wǎng)絡(luò)方案各節(jié)點包括一號教學樓、二號教學樓 1#、二號教學樓 2#、三號教學樓、行政樓、實驗樓、圖書館、食堂二級節(jié)點以及一號教學樓 4 樓電腦教室和 5 樓電腦教室三級節(jié)點。在各個節(jié)點放置一臺或幾臺交換機堆疊，匯聚本節(jié)點所管轄的所有信息點，再通過光纖上聯(lián)至上級骨干交換機，在各節(jié)點交換機上根據(jù)功能群的不同劃分 VLAN，以達到網(wǎng)絡(luò)的安全性和可管理性的要求。、節(jié)點交換機、節(jié)點交換機根據(jù)某市高中二級節(jié)點網(wǎng)絡(luò)的具體要求，我們選用 cisco catalyst 3550 系

58、列交換機，Cisco Catalyst 3550 系列智能化以太網(wǎng)交換機是一個新型的、可堆疊的、多層企業(yè)級交換機系列，可以提供高水平的可用性、可擴展性、安全性和控制能力，從而提高網(wǎng)絡(luò)的運行效率。因為具有多種快速以太網(wǎng)和千兆以太網(wǎng)配置，因此 Catalyst 3550 系列既可以作為一個功能強大的接入層交換機，用于中型企業(yè)的布線室；也可以作為一個骨干網(wǎng)交換機，用于中型網(wǎng)絡(luò)?？蛻粲惺芬詠淼谝淮慰梢栽谡麄€網(wǎng)絡(luò)中部署智能化的服務(wù)，例如先進的服務(wù)質(zhì)量（QoS） ，速度限制，Cisco 安全訪問控制列表，多播管理和高性能的 IP 路由同時保持了傳統(tǒng) LAN 交換的簡便性。Catalyst 3550 系列中

59、內(nèi)嵌了 Cisco 集群管理套件（CMS）軟件，該軟件使用戶可以利用一個標準的 Web 瀏覽器同時配置和診斷多個 Catalyst 桌面交換機并為其排除故障。Cisco CMS 軟件提供了新的配置向?qū)?，它可以大幅度簡化整合式應用和網(wǎng)絡(luò)級服務(wù)的部署。13.6Gbps 的交換矩陣（Catalyst 3550-48） ，8.8Gbps 的交換矩陣（Catalyst 3550-24） 湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 26 頁 共 141 頁第二層和第三層最大傳輸帶寬 6.8Gbps（Catalyst 3550-48） ，第二層和第三層最大傳輸帶寬 4.4Gbps（Catalyst 3550-

60、24） ， 64 字節(jié)的包傳輸速率可達 10.1Mbps（Catalyst 3550-48） ，64 字節(jié)的包傳輸速率可達 6.6Mbps（Catalyst 3550-24） 由所有端口共享的 2MB 內(nèi)存架構(gòu)（Catalyst 3550-48） ，由所有端口共享的 4 MB 內(nèi)存架構(gòu)（Catalyst 3550-24） 32MB DRAM 和 8MB 閃存 可以配置多達 8000 個 MAC 地址 可以配置多達 16000 條單播路徑 可以配置多達 2000 條多播路徑 可以配置的最大傳輸單元（MTU）高達 1590 字節(jié)，用于連接 MPLS 標記幀對于三級接入交換機，選用實達公司生產(chǎn)的 S