計算機-廣州大學(xué)校園網(wǎng)組建設(shè)計和實現(xiàn)論文設(shè)計

目錄TOC\o"1-3"\h\u22061目錄 118696一、諸論 211732（一）論文研究的背景 216199（二）論文研究的目的和意義 39111二、校園網(wǎng)的相關(guān)理論 325634（一）校園網(wǎng)的定義 329633（二）校園網(wǎng)的應(yīng)用 317428（三）構(gòu)建校園網(wǎng)的意義 415547（四）構(gòu)建校園網(wǎng)的原則 48277（五）本次構(gòu)建校園網(wǎng)的任務(wù) 511654三、廣州大學(xué)校園網(wǎng)需求分析 615336（一）學(xué)校描述 75397（二）網(wǎng)絡(luò)主干的需求分析 718944（三）服務(wù)器的需求分析 716794四、拓撲圖及方案整體描述 720655（一）拓撲圖及方案整體描述 722261（二）Internet接入方案 810754（三）遠程訪問支持 915851（四）子網(wǎng)劃分與VLAN設(shè)定 1024304（五）網(wǎng)間隔離方案設(shè)計 136611（六）存儲方案 1312997（七）設(shè)備選型 1424785（八）軟件 1610997（九）信息服務(wù)方案 1621218（十）綜合布線方案 1632380五．網(wǎng)絡(luò)管理 1711840（一）網(wǎng)絡(luò)行政管理 1728973（二）網(wǎng)絡(luò)軟件管理 1813287六．系統(tǒng)主要設(shè)備報價 19680結(jié)論 125923參考資料 121966謝辭 2一、諸論（一）論文研究的背景當今的世界正從工業(yè)化社會向信息化社會轉(zhuǎn)變。一方面，社會經(jīng)濟已由基于資源的經(jīng)濟逐漸轉(zhuǎn)向基于知識的經(jīng)濟，人們對信息的需求越來越迫切，信息在經(jīng)濟的發(fā)展中起著越來越重要的作用，信息的交流成為發(fā)展經(jīng)濟最重要的因素。另一方面，隨著計算機、網(wǎng)絡(luò)和多媒體等信息技術(shù)的飛速發(fā)展，信息的傳遞越來越快捷，信息的處理能力越來越強，信息的表現(xiàn)形式也越來越豐富，對社會經(jīng)濟和人們的生活產(chǎn)生了深刻的影響。這一切促使通信網(wǎng)絡(luò)由傳統(tǒng)的電話網(wǎng)絡(luò)向高速多媒體信息網(wǎng)發(fā)展。Internet及WWW應(yīng)用的迅猛發(fā)展，極大的改變著我們的生活方式。信息通過網(wǎng)絡(luò)，以不可逆轉(zhuǎn)之勢，迅速打破了地域和時間的界限，為更多的人共享。而快速、高效的傳播和利用信息資源正是二十一世紀的基本特征。學(xué)校作為信息化進程中極其重要的基礎(chǔ)環(huán)節(jié)，如何通過網(wǎng)絡(luò)充分發(fā)揮其教育功能，已成為當今的熱門話題。隨著學(xué)校教育手段的現(xiàn)代化，很多學(xué)校已經(jīng)逐漸開始將學(xué)校的管理和教學(xué)過程向電子化方向發(fā)展，校園網(wǎng)的有無以及水平的高低也將成為評價學(xué)校及學(xué)生選擇學(xué)校的新的標準之一，此時，校園網(wǎng)上的應(yīng)用系統(tǒng)就顯得尤為重要。一方面，學(xué)生可以通過它在促進學(xué)習(xí)的同時掌握豐富的計算機及網(wǎng)絡(luò)信息知識，毫無疑問，這是學(xué)生綜合素質(zhì)中極為重要的一部分；另一方面，基于先進的網(wǎng)絡(luò)平臺和其上的應(yīng)用系統(tǒng)，將極大的促進學(xué)校教育的現(xiàn)代化進程，實現(xiàn)高水平的教學(xué)和管理。（二）論文研究的目的和意義校園網(wǎng)絡(luò)建設(shè)，旨在推動學(xué)校信息化建設(shè)，其最終建設(shè)目標是將建設(shè)成為一個借助信息化教育和管理手段的高水平的智能化、數(shù)字化的教學(xué)園區(qū)網(wǎng)絡(luò)，最終完成統(tǒng)一軟件資源平臺的構(gòu)建，實現(xiàn)統(tǒng)一網(wǎng)絡(luò)管理、統(tǒng)一軟件資源系統(tǒng)，并實現(xiàn)網(wǎng)絡(luò)遠程教學(xué)、在線服務(wù)、教育資源共享等各種應(yīng)用；利用現(xiàn)代信息技術(shù)從事管理、教學(xué)和科學(xué)研究等工作。最終達到在網(wǎng)絡(luò)方面，更好的對眾多網(wǎng)絡(luò)使用及數(shù)據(jù)資源的安全控制，同時具有高性能，高效率，不間斷的服務(wù)，方便的對網(wǎng)絡(luò)中所有設(shè)備和應(yīng)用進行有效的時事控制和管理。二、校園網(wǎng)的相關(guān)理論（一）校園網(wǎng)的定義校園網(wǎng)是一種為學(xué)校學(xué)習(xí)活動、教學(xué)活動、科研活動和管理活動服務(wù)的校園內(nèi)部局域網(wǎng)絡(luò)環(huán)境，而且它是建構(gòu)在多媒體技術(shù)和現(xiàn)代網(wǎng)絡(luò)技術(shù)之上并與因特網(wǎng)連接的。（二）校園網(wǎng)的應(yīng)用校園網(wǎng)是為學(xué)生學(xué)習(xí)活動服務(wù)的。校園網(wǎng)是一種學(xué)習(xí)工具，它不但是學(xué)生與他人之間的交流工具，同時也是學(xué)習(xí)資源的提供者，有利于學(xué)生進行探索學(xué)習(xí)和協(xié)作學(xué)習(xí)。校園網(wǎng)是為教師的教學(xué)和科研活動服務(wù)的。如提供教學(xué)資源、輔助教師備課、參與課堂教學(xué)活動和支持教師再學(xué)習(xí)活動等。校園網(wǎng)是為學(xué)校教育教學(xué)管理服務(wù)的。如輔助學(xué)校的學(xué)生學(xué)籍管理、人事管理、財務(wù)管理、成績管理等。校園網(wǎng)是溝通學(xué)校與外界的窗口。利用它既可以從校外獲取各種信息，也可以向外發(fā)布各種信息。構(gòu)建校園網(wǎng)的意義校園網(wǎng)指校園內(nèi)計算機及附屬設(shè)備互聯(lián)運行的網(wǎng)絡(luò)，是由計算機、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)軟件構(gòu)成的為學(xué)校教育、科研、管理、辦公和交流等活動服務(wù)的大型集成應(yīng)用系統(tǒng)，并能接入因特網(wǎng)實現(xiàn)與國內(nèi)國際網(wǎng)站進行信息交流、資源共享。校園網(wǎng)建設(shè)是教育信息化建設(shè)的重要組成部分，是全面實現(xiàn)素質(zhì)教育的重要手段，是實現(xiàn)教育現(xiàn)代化的重要標志，校園網(wǎng)是學(xué)校信息基礎(chǔ)設(shè)施。校園網(wǎng)的規(guī)模、網(wǎng)絡(luò)性能、應(yīng)用水平和普及程度已成為衡量一所院校辦學(xué)水平高低的重要標志之一。從長遠來看，校園網(wǎng)的建設(shè)，其主要意義是有利于學(xué)校教學(xué)、科研的快速發(fā)展，它能使廣大教師利用計算機網(wǎng)絡(luò)環(huán)境進行教學(xué)，開展科研活動，進而提高學(xué)校的教學(xué)質(zhì)量和科研水平，為培養(yǎng)面向世界，面向未來的高素質(zhì)人才提供有力的保障。構(gòu)建校園網(wǎng)的原則校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實用的前提下，應(yīng)當在投資保護及長遠性方面做適當考慮，在技術(shù)上、系統(tǒng)能力上要保持五年左右的先進性。并且從學(xué)校的利益出發(fā)，從技術(shù)上講應(yīng)該采用標準、開放、可擴充的、能與其它廠商產(chǎn)品配套使用的設(shè)計。根據(jù)校園網(wǎng)的總體需求，結(jié)合對應(yīng)用系統(tǒng)的考慮，本次網(wǎng)絡(luò)建設(shè)的設(shè)計目標是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬兆骨干網(wǎng)絡(luò)平臺。我們遵循以下的原則進行網(wǎng)絡(luò)設(shè)計：1.實用性和經(jīng)濟性網(wǎng)絡(luò)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實效的方針，堅持實用、經(jīng)濟的原則，建設(shè)的萬兆骨干網(wǎng)絡(luò)平臺，保護用戶的投資。2.先進性和成熟性網(wǎng)絡(luò)建設(shè)設(shè)計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。不但能反映當今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地位，保證貴校網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用萬兆以太網(wǎng)技術(shù)來構(gòu)建網(wǎng)絡(luò)主干線路。3.可靠性和穩(wěn)定性在考慮技術(shù)先進性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間，銳捷網(wǎng)絡(luò)做為國內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。為了保證骨干網(wǎng)絡(luò)平臺的健壯性和鏈路冗余性，建議網(wǎng)絡(luò)實施時在學(xué)校啟用千兆備份線路。在學(xué)校啟用物理鏈路冗余機制，保證任何一條線路出現(xiàn)故障后骨干網(wǎng)絡(luò)平臺的可用性。4.安全性和保密性在網(wǎng)絡(luò)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防DDoS拒絕服務(wù)攻擊、防IP掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權(quán)限控制等，銳捷網(wǎng)絡(luò)充分考慮安全性，針對的各種應(yīng)用，有多種的保護機制，如劃分VLAN、IP/MAC地址綁定(過濾)、ACL、路由過濾、防DDoS拒絕服務(wù)攻擊、防IP掃描、802.1x認證機制、SSH加密連接等具體技術(shù)提升整個網(wǎng)絡(luò)的安全性。5.可擴展性和可管理性由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，我們必須選擇具有一定擴展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴大的時候，不需要增加新的設(shè)備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡(luò)技術(shù)進一步發(fā)展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng)模塊，而不需要更換整個設(shè)備。為了適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴展和維護。為了便于擴展，對于核心設(shè)備必須采用模塊化高密度端口的設(shè)備，便于將來升級和擴展。先進的設(shè)備必須配合先進的管理和維護方法，才能夠發(fā)揮最大的作用。全線采用基于SNMP標準的可網(wǎng)管產(chǎn)品，達到全程網(wǎng)管，降低了人力資源的費用，提高網(wǎng)絡(luò)的易用性、可管理性，同時又具有很好的可擴充性。本次構(gòu)建校園網(wǎng)的任務(wù)(1)要進行對象研究和需求調(diào)查，明確學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的主系統(tǒng)建設(shè)的需求和條件，對學(xué)校的信息化環(huán)境進行準確的描述。(2)在應(yīng)用需求分析的基礎(chǔ)上，確定系統(tǒng)建設(shè)的目標，包括網(wǎng)絡(luò)設(shè)施、站點設(shè)置、開發(fā)應(yīng)用和管理等的目標。(3)確定網(wǎng)絡(luò)拓撲結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標和學(xué)校的主要建筑分布特點，進行系統(tǒng)分析和設(shè)計。(4)確定技術(shù)設(shè)計的原則要求，如在技術(shù)選型、布線設(shè)計、設(shè)備選擇、軟件配置等方面的標準和要求。(5)規(guī)劃校園網(wǎng)建設(shè)的實施步驟。(6)校園網(wǎng)總體設(shè)計方案的科學(xué)性。三、廣州大學(xué)校園網(wǎng)需求分析（一）學(xué)校描述廣州大學(xué)是以國家重要中心城市“廣州”命名的綜合性大學(xué)，于2000年合并組建，有著近90年的辦學(xué)傳統(tǒng)。學(xué)校立足珠三角區(qū)位優(yōu)勢，強化大學(xué)的使命與擔(dān)當，銳意改革，開拓進取，各項事業(yè)實現(xiàn)跨越式發(fā)展，成為一所快速發(fā)展、充滿活力的大學(xué)，是廣東省和廣州市高水平大學(xué)建設(shè)高校。廣州大學(xué)正在向國內(nèi)一流、國際知名的高水平大學(xué)邁進。位于廣州市番禺區(qū)大學(xué)城外環(huán)西路230號，現(xiàn)有在校全日制學(xué)生33833人，其中碩士研究生2798人，博士研究生122人，廣州大學(xué)由大學(xué)城和桂花崗2個主體校區(qū)組成，占地面積1880.23畝，建筑面積88萬平方米。綠化面積達7000平方米，是一所園林化單位，也是廣州市首批文明單位之一，有5500平方米的塑膠操場。大樓之間距離為50～500m，各個大樓的計算機大約有21770臺?？偟男畔Ⅻc將達到13000個左右。信息節(jié)點的分布比較分散，將涉及到圖書館、實驗樓、教學(xué)樓、宿舍樓、公寓樓等。（二）網(wǎng)絡(luò)主干的需求分析校園網(wǎng)的多媒體應(yīng)用目前已成為大家的共識，特別是在校園網(wǎng)內(nèi)實現(xiàn)VOD點播，大量的視頻數(shù)據(jù)流對帶寬要求很高，而且農(nóng)校教學(xué)樓、煤校教學(xué)樓、職大綜合實驗樓、教師家屬樓信息點都相對密集，相互之間的距離都比較遠，所以主干需采用千兆光纜技術(shù)，在未來一段時間內(nèi)滿足最多25500用戶對校園網(wǎng)主干的流量要求。（三）服務(wù)器的需求分析校園網(wǎng)服務(wù)器承擔(dān)著整個校園內(nèi)各種網(wǎng)絡(luò)服務(wù)、用戶賬號管理、共享資料的存儲、服務(wù)器端教學(xué)管理軟件的運行、安全管理、代理服務(wù)等應(yīng)用，因而服務(wù)器應(yīng)滿足以下要求：1、高可靠性，能夠適應(yīng)我校平均每周不少于5天的不間斷工作。2、高性能，能夠提供最大用戶量的常用服務(wù)請求。3、高冗余性，服務(wù)器出現(xiàn)故障時，仍能保證系統(tǒng)的安全性和數(shù)據(jù)的安全性。4、容易升級，提供更好的性能。四、拓撲圖及方案整體描述（一）拓撲圖及方案整體描述本方案主要選擇千兆以太網(wǎng)技術(shù)來構(gòu)建校園網(wǎng)絡(luò)，對兩層結(jié)點和桌面微機的接入也采用快速以太網(wǎng)，建立一個基于多層、全交換的虛擬校園網(wǎng)。在實際構(gòu)筑中采用三層結(jié)構(gòu)。最下層到桌面為100Mbps；第二層為樓內(nèi)各樓層到二級交換機，由100Mbps的交換式快速以太網(wǎng)構(gòu)成；各樓到網(wǎng)絡(luò)中心（即主干）為千兆位以太網(wǎng)。根據(jù)前面的分析，畫出蘭州市第九中學(xué)校園網(wǎng)拓撲結(jié)構(gòu)圖，如下圖所示：圖書館圖書館宿舍樓宿舍樓Interne接入入點口入點實驗樓辦公樓宿舍樓辦公樓實驗樓Catalyst3000Catalyst3000Catalyst3000Catalyst3000CatalystCatalyst5000CatalysCatalyst3000教學(xué)樓網(wǎng)管中心教學(xué)樓網(wǎng)管中心Catalyst3000Catalyst3000Catalyst3000千兆光纖百兆光纖雙絞線Internet接入方案對于校園網(wǎng)，可以采用路由器實現(xiàn)接入Internet。在局域網(wǎng)上通過代理服務(wù)器軟件或者路由器，都可以解決多用戶共享訪問Internet問題，實質(zhì)上是一個介于用戶群體和Internet之間的橋梁，用以實現(xiàn)其網(wǎng)絡(luò)用戶對Internet的訪問。在使用路由器接入Internet時，對于缺少合法IP地址情況下，可以使用（NAT）地址轉(zhuǎn)換技術(shù)實現(xiàn)內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。路由器在收到內(nèi)部網(wǎng)絡(luò)中的計算機訪問外部網(wǎng)絡(luò)的IP數(shù)據(jù)包時，將這些非法的IP地址轉(zhuǎn)換成合法的IP地址，作為IP數(shù)據(jù)包的源地址訪問外部網(wǎng)絡(luò)，當回來的數(shù)據(jù)包經(jīng)過路由器時，在把該數(shù)據(jù)包的目標地址轉(zhuǎn)換為相應(yīng)的局域網(wǎng)內(nèi)的主機IP地址，并把該數(shù)據(jù)包傳送到相應(yīng)主機，從而達到訪問Internet的目的。這些功能其實是NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）的一部分。除了NAT之外，路由器接入Internet還采用了防火墻技術(shù)，主要是基于源和目標IP地址以及端口過濾的防火墻技術(shù)。通過防火墻技術(shù)，可以在一定程度上使內(nèi)部局域網(wǎng)免受外面的攻擊，起到一定的安全作用。目前國內(nèi)常見的有以下的幾種接入方式可選擇：1.TN公共電話網(wǎng)這是最容易實施的方法，費用低廉。只要一條可以連接ISP的電話線和一個賬號就可以。但缺點是傳輸速度低，線路可靠性差。如果用戶多，可以多條電話線共同工作，提高訪問速度。2.DN目前在國內(nèi)迅速普及，價格大幅度下降，有的地方甚至是免初裝費用。兩個信道128kbit/s的速率，快速的連接以及比較可靠的線路，可以滿足校園網(wǎng)瀏覽以及收發(fā)電子郵件的需求。而且還可以通過ISDN和Internet組建VPN。這種方法的性能價格比很高，在國內(nèi)大多數(shù)的城市都有ISDN接入服務(wù)。3.ADSL非對稱數(shù)字用戶環(huán)路，可以在普通的電話銅纜上提供1．5～8Mbit/s的下行和10～64kbit/s的上行傳輸，可進行視頻會議和影視節(jié)目傳輸?？墒怯幸粋€致命的弱點：用戶距離電信的交換機房的線路距離不能超過4～6km，限制了它的應(yīng)用范圍。遠程訪問支持遠程訪問通常指遠程接入，即遠程計算機通過撥號線路連接到本地網(wǎng)絡(luò)。遠程訪問最主要的應(yīng)用有兩類，一是供遠程移動用戶接入校園網(wǎng)的本地網(wǎng)絡(luò)，二是供ISP(因特網(wǎng)服務(wù)提供商)提供Internet接入服務(wù)。在實際應(yīng)用中，主要通過專門的硬件設(shè)備來提供遠程訪問服務(wù)，如3COM的NETServer能夠提供16路電話線或ISDN撥號上網(wǎng)，使用于遠程用戶不同的校園網(wǎng)網(wǎng)絡(luò)的遠程接入，而TotalControl多服務(wù)平臺一般用作ISP的介入設(shè)備，能夠同時支持大量用戶通過電話線或ISDN上網(wǎng)。也可通過軟件來提供遠程訪問服務(wù)，如WindowsW和Windows2000網(wǎng)絡(luò)操作系統(tǒng)都集成了遠程訪問服務(wù)器。這種軟件方式，效率雖然不如專門的硬件設(shè)備，但是在有些場合下則是一種經(jīng)濟有效的解決方案，特別是對遠程接入用戶較少的網(wǎng)絡(luò)來說，非常適用。廣義的遠程訪問包括遠程控制和遠程客戶兩種方式。遠程控制主要用于從一臺計算機控制和操作另一臺計算機,一般通過遠程控制軟件來實現(xiàn)，如著名的PCAnywhere。遠程客戶即是本章主要介紹的遠程撥號接入，由遠程服器提供若干遠程計算機連接到網(wǎng)絡(luò)的服務(wù)，如無特別說明，一般就稱為遠程訪問，也有稱遠程接入的。Windows2000遠程訪問是整個路由和遠程訪問服務(wù)的一部分。路由和遠程訪問是互相關(guān)聯(lián)的，但路由和遠程訪問是兩個獨立的網(wǎng)絡(luò)功能。Windows2000服務(wù)器將虛擬專用網(wǎng)絡(luò)集成到路由和遠程訪問服務(wù)(RRAS)組件。運行Windows2000的遠程訪問服務(wù)器提供兩種不同的遠程訪問連接，即撥號網(wǎng)絡(luò)和虛擬專用網(wǎng)絡(luò)。1.撥號網(wǎng)絡(luò)通過使用遠程通信提供商(例如模擬電話、ISDN或X.25)提供的服務(wù)，遠程客戶機使用非永久的撥號連接到遠程訪問服務(wù)器的物理端口上，這時使用的網(wǎng)絡(luò)就是撥號網(wǎng)絡(luò)。最常見的使用方式是撥號網(wǎng)絡(luò)客戶機使用撥號網(wǎng)絡(luò)撥打遠程訪問服務(wù)器某個端口的電話號碼。撥號網(wǎng)絡(luò)客戶機和撥號網(wǎng)絡(luò)服務(wù)器之間通過撥號網(wǎng)絡(luò)(模擬電話或ISDN線路)建立直接的物理連接。如何組建撥號網(wǎng)絡(luò)是本章的中心內(nèi)容。2.虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)是在公共網(wǎng)絡(luò)(Internet)環(huán)境中建立的專用網(wǎng)絡(luò)。虛擬專用網(wǎng)絡(luò)客戶機使用特定的。稱為隧道協(xié)議的基于TCP/IP的協(xié)議，來對虛擬專用網(wǎng)絡(luò)服務(wù)器的虛擬端口(電話號碼)進行依次虛擬呼叫。最常見的使用方式是，虛擬網(wǎng)絡(luò)客戶機使用虛擬專用網(wǎng)絡(luò)連接連接到與Internet相連的遠程訪問服務(wù)器上。遠程訪問服務(wù)器應(yīng)答虛擬呼叫，驗證呼叫方身份，并在虛擬專用網(wǎng)絡(luò)客戶機和校園網(wǎng)網(wǎng)絡(luò)之間傳送數(shù)據(jù)。虛擬專用網(wǎng)絡(luò)客戶機和虛擬專用網(wǎng)絡(luò)服務(wù)器之間通過虛擬專用網(wǎng)絡(luò)建立邏輯的、非直接的連接。當Wimdows2000服務(wù)器用于撥號網(wǎng)絡(luò)時"常常稱為撥號網(wǎng)絡(luò)服務(wù)器;當Windows2000服務(wù)器用于虛擬專用網(wǎng)絡(luò)時，則稱為VPN服務(wù)器。兩者在Windows2000中統(tǒng)稱為遠程訪問服務(wù)器。子網(wǎng)劃分與VLAN設(shè)定3.4.1VLAN設(shè)定VLAN的劃分方法有：包括基于端口的VLAN、基于MAC地址的VLAN和基于協(xié)議的VLAN等。(1)基于端口劃分VLAN這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的端口來劃分的，把一個或多個交換機上的幾個端口劃分成一個邏輯組，并可以跨越多個交換機。根據(jù)端口劃分是目前定義VLAN的最廣泛的方法，IEEE802.1Q規(guī)定了依據(jù)以太網(wǎng)交換機的端口來劃分VLAN的國際標準。定義VLAN成員時非常簡單有效，只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可，不用考慮端口所連接的設(shè)備。但如果VLANA的用戶離開了原來的端口，到了一個新的交換機的某個端口，那么就必須重新定義。(2)基于MAC地址劃分VLAN這種方法是根據(jù)每個主機的MAC地址來劃分的。MAC地址其實就是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的。MAC地址由12位十六進制數(shù)表示，前8位為廠商標識。網(wǎng)絡(luò)管理員可按MAC地址把一些站點劃分為一個邏輯子網(wǎng)。當用戶物理位置移動時，即一個交換機寰島其他的交換機時，VLAN不用重新配置，所以可以認為這種根據(jù)MAC地址的劃分方法時基于用戶的。但初始化時，所有的用戶都必須進行配置。如果有幾百個甚至上千個用戶的話，配置時非常累的。而且，導(dǎo)致了交換機執(zhí)行效率的降低。因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。對于經(jīng)常更換網(wǎng)卡的用戶，例如使用筆記本電腦的用戶來說，VLAN就必須經(jīng)常重新配置。(3)根據(jù)IP組播劃分VLANIP組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網(wǎng)，主要是效率不高。鑒于當前業(yè)界VLAN發(fā)展的趨勢，考慮到各種VLAN劃分方法的優(yōu)缺點，為了最大程度地滿足用戶在具體使用過程中的需求，減輕用戶在VLAN的具體使用和維護中的工作量，一般采用根據(jù)端口來劃分VLAN的方法。不同的VLAN數(shù)據(jù)包可以打上不同的VLAN標記，用于VLAN的識別。校園網(wǎng)VLAN劃分方法也就是按端口來劃分的。(4)基于協(xié)議（即網(wǎng)絡(luò)層）劃分VLAN路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型（如果支持多協(xié)議）劃分的。雖然這種劃分方法根據(jù)的是網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。它雖然查看每個數(shù)據(jù)包的IP地址，但由于不是路由，所以沒有RIP、OSPF等路由協(xié)議，而是根據(jù)生成樹算法進行橋交換。用戶的物理位置改變了，不需要重新配子所屬的VLAN。而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要。這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。但是整個交換效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址需要消耗處理時間的（相對于前面兩種方法）。一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時也更費時。當然，這與各個廠商的實現(xiàn)方法有關(guān)。校園網(wǎng)總共劃分成18個VLAN，每個VLAN中信息點的數(shù)量不是太多，而且至少都是100Mbps到桌面，防止了廣播風(fēng)暴的產(chǎn)生。其中網(wǎng)絡(luò)中心的所有路由器、交換機和服務(wù)器組，以及各棟樓的分布層交換機都劃分到了VLAN1，即網(wǎng)絡(luò)管理VLAN，便于網(wǎng)絡(luò)設(shè)備、服務(wù)器的配置和管理，也起到了一定的安全防護作用。其余的樓宇和部分樓層都被劃分到了不同的VLAN，如圖書館的電子閱覽室、機房，辦公樓，學(xué)生公寓等，其中實驗樓，學(xué)生公寓和教室公寓由于計算機數(shù)量更多，必須劃分為更細更多的VLAN。3.4.2子網(wǎng)劃分1.IP地址規(guī)劃原則IP地址規(guī)劃有以下原則。簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式；連續(xù)性：為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用Summarization及CIDR（ClasslessInterdomainRouting）技術(shù)縮減路由表的表項，加快路由器的收斂速度，也可以減少網(wǎng)絡(luò)中廣播的路由信息的大小，提高路由器的處理效率；可擴充性：考慮到信息網(wǎng)絡(luò)的飛速發(fā)展，為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機數(shù)量增加時仍然能夠保持地址的連續(xù)性，滿足網(wǎng)絡(luò)信息平臺未來發(fā)展的需要；靈活性：地址分配不應(yīng)該僅基于某個網(wǎng)絡(luò)路由策略的優(yōu)化方案，而應(yīng)該便于多數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化，滿足各種用戶接入的需要；可管理性：地址的分配應(yīng)該有層次，某個局部單位IP地址的變化不要影響全局網(wǎng)絡(luò)；安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)，以便進行管理；高利用率：合理使用地址塊，并且采用VLSM技術(shù)，提高IP地址利用效率。2.IP地址編碼結(jié)構(gòu)和分配本設(shè)計方案校園網(wǎng)使用1個C類的地址段：——55地址段，校園局域網(wǎng)需要規(guī)劃的IP地址包括：辦公區(qū)IP地址：——192.168.25；教學(xué)區(qū)IP地址：0——0；宿舍區(qū)IP地址：192.168.91——20。IP網(wǎng)段網(wǎng)關(guān)VLANID端口建筑物名稱/24541S37501-2宿舍樓1/24542S37503宿舍樓2/24543S37504教學(xué)樓1/24544S37505教學(xué)樓2/24545S37506實驗室/24546S37507行政樓/24547S37508圖書館圖3.2VLAN劃分與IP地址規(guī)網(wǎng)間隔離方案設(shè)計網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層，并不能感知到交換數(shù)據(jù)的機密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現(xiàn)，而這些機制的實現(xiàn)都是通過軟件來實現(xiàn)的。因此，隔離的關(guān)鍵點就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。而由于設(shè)計原理問題使得第三代和第四代隔離產(chǎn)品在這方面很難突破，既便有所改進也必須付出巨大的成本，和“適度安全”理念相悖。校園網(wǎng)網(wǎng)絡(luò)隔離圖如圖3-2所示。圖3.3網(wǎng)絡(luò)隔離圖存儲方案比較了各種存儲方案之后，在本組網(wǎng)方案中決定采用RAID方式。RAID，為Redundant

Arrays

of

Independent

Disks的簡稱，中文為獨立磁盤冗余數(shù)組。RAID為使用者降低了成本、增加了執(zhí)行效率，并提供了系統(tǒng)運行的穩(wěn)定性。標準的RAID寫操作，包括如：RAID4或RAID5中所必需的校驗計算，需包括以下幾個步驟：以校驗盤中讀取數(shù)據(jù)；以目標數(shù)據(jù)盤中讀取數(shù)據(jù)；以舊校驗數(shù)據(jù)，新數(shù)據(jù)及已存在數(shù)據(jù)，生成新的校驗數(shù)據(jù)；將新校驗數(shù)據(jù)寫入校驗盤；將新數(shù)據(jù)寫入目標數(shù)據(jù)盤。當主機將一個待寫入陣列RAID組中的數(shù)據(jù)發(fā)送到陣列時，陣列控制器將該數(shù)據(jù)保存在緩存中并立即報告主機該數(shù)據(jù)的寫入工作已完成。該數(shù)據(jù)寫入到陣列硬盤的工作由陣列控制器完成，該數(shù)據(jù)可繼續(xù)存放在Cache中直到Cache滿，而且要為新數(shù)據(jù)騰出空間而必須刷新時或陣列需停機時，控制器會及時將該數(shù)據(jù)從Cache寫入陣列硬盤中。這種緩存回寫技術(shù)使得主機不必等待RAID校驗計算過程的完成，即可處理下一個讀寫任務(wù)，這樣，主機的讀寫效率大為增加。設(shè)備選型校園網(wǎng)硬件主要有以下部件組成：交換機、路由器、服務(wù)器、網(wǎng)卡、傳輸介質(zhì)。1.交換機的選擇交換機采用華為S1216，這款千兆交換機有16個10M/100M/1000M自適應(yīng)RJ45接口，可插入二對100M光纖模塊。為網(wǎng)絡(luò)設(shè)備的升級和網(wǎng)絡(luò)端口的擴充打下了良好的基礎(chǔ)。易于操作和管理以太網(wǎng)絡(luò)技術(shù)本身就具有極強的可管理性。BENQ-SS0224交換機的配置界面清晰明了，為網(wǎng)絡(luò)的安裝、設(shè)置和管理帶來的極大的便利。網(wǎng)管軟件使用圖形界面簡化了網(wǎng)絡(luò)的管理和維護使用標準協(xié)議使不同網(wǎng)絡(luò)設(shè)備的互連成為可能。以上這些都具有良好的擴展性。2.路由器的選擇路由器采用CISCO-7513，這是多協(xié)議高端路由器，最大DRAM內(nèi)存（MB）：32MB（缺?。?，128MB（RSP2最大），256MB（RSP2最大），最大Flash內(nèi)存（MB）：40。包轉(zhuǎn)發(fā)率（Mpps）:2.2。固定廣域網(wǎng)接口：可選用廣域接口WIC卡?？刂贫丝冢篟S-232.支持接口模塊局域網(wǎng)端口適配器：5端口以太網(wǎng)10BaseFL，2端口快速以太網(wǎng)/ISL100BaseFX，4端口令牌環(huán)網(wǎng)4/16Mbps，全雙工，1端口FDDI全雙工多模式或單模式；廣域網(wǎng)端口適配器：1端口多通道T3，帶有集成化CSU/DSU的8端口多通道T1。支持多協(xié)議如：IEEE802.3，ISDN；加密標準AH（MD5），ESP（Null，DES，3DES，ARC4，proprietaryfastencoding，+MD5/HMAC，-MD5）；PPP（PAP，CHAP，LCP，IPCP，MLPPP）。支持的網(wǎng)管協(xié)議：CiscoClickStart，SNMP。支持VPN、Qos、內(nèi)置防火墻、安全標準：CEFCC、電源電壓（V）：100-240，電源功率（W）150。防火墻采用CISCOPIX-50，CISCO設(shè)備類型，3500網(wǎng)絡(luò)吞吐，10Mpps安全過濾，3MB用戶數(shù)限，10設(shè)備類型，并發(fā)連接數(shù)3500，網(wǎng)絡(luò)吞吐量10Mpps，安全過濾帶寬3MB，用戶數(shù)限制10，入侵檢測DoS、IDS，安全標準UL1950,CAN/CSA-C22.2No.950，EN60950,IEC60825-1,IEC60825-2,EN60825-1,EN60825-2,21CFR1040，控制端口RS-232，管理CSPM,PDM,CLI,WEB,管理軟件：CISCOPIX-501--一般參數(shù)適用環(huán)境工作溫度（℃）0-40工作濕度5%-95%存儲溫度（℃）-20-65存儲濕度10%-90%，電源220V,5W，尺寸159*140*25mm，重量0.34kg，其他性能CPU;133MHzAMDSC520,閃存:8MB,隨機存儲內(nèi)存16MBSDRAM。3.服務(wù)器的選擇服務(wù)器采用華碩NCLV-DIntelE7520：CPU頻率(MHz)2200，處理器描述最大處理器數(shù)量4，支持CPU個數(shù)1，CPU二級緩存2048KBFSB（總線）100MHz，內(nèi)存類型DDR，內(nèi)存大小512MB，最大內(nèi)存容量24GB，硬盤大小（GB）73GB，硬盤類型/描述SCSIIDE控制器UltraATA33/66/100SCSI控制器Ultra160SCSI擴展槽7，光驅(qū)48X，電源：冗余雙熱插拔電源，電源數(shù)量2，電壓220，功率（W）370，工作溫度10–35，工作濕度8%-80%，儲存溫度-20–60，儲存濕度5%-95%，特點：網(wǎng)卡類型/數(shù)量10/100/1000M自適應(yīng)以太網(wǎng)卡。4.網(wǎng)卡的選擇網(wǎng)卡采用神州數(shù)碼DCN-550GT，傳輸速率：10/100/1000Mbps。總線類型：PCI。網(wǎng)線接口類型：RJ-45單口。傳輸介質(zhì)類型：5類或5類以上非屏蔽雙絞線（≤100米）。全雙工/半雙工：全雙工/半雙工自適應(yīng)。LED指示燈：5個（LINK、ACT、10M、100M和1000M）其他技術(shù)參數(shù)：32/64位PCI，物理尺寸:165mm×79mm，最大功耗:13.5W（2.7A/5V），工作溫度:0°C～60°C，存儲溫度:-40?/td>。特點：可通過雙絞線與千兆交換機連接，提供2000Mbps全雙工高速網(wǎng)絡(luò)連接。DCN-550GT還支持IEEE802.1qVLAN、IEEE802.1p優(yōu)先級和全雙工模式下的IEEE802.3x流量控制等增強網(wǎng)絡(luò)功能，能夠有效提高網(wǎng)絡(luò)性能和安全性，從而更好的支持多媒體、視頻播放等網(wǎng)絡(luò)應(yīng)用。5.網(wǎng)絡(luò)傳輸介質(zhì)的選擇在計算機之間連網(wǎng)時，首先遇到的是通信線路和通道傳輸問題。目前，計算機通信分為有線通信和無線通信兩種。有線通信是利用電纜或光纜或電話線來充當傳輸導(dǎo)體的，無線通信是利用衛(wèi)星、微波、紅外線來充當傳輸導(dǎo)體。對于有線通信線路，網(wǎng)絡(luò)通信線路的選擇必須考慮網(wǎng)絡(luò)的性能、價格、使用規(guī)則、安裝難易性、可擴展性及其他一些因素。目前，校園網(wǎng)通信線路上使用的傳輸介質(zhì)主要采用雙絞線。雙絞線（Twistedpair，TP）是一種綜合布線工程中最常用的傳輸介質(zhì)。雙絞線是由兩根具有絕緣保護層的銅導(dǎo)線組成。把兩根絕緣的銅導(dǎo)線按一定密度互相絞在一起，可降低信號干擾的程度，每一根導(dǎo)線在傳輸中輻射出來的電波會被另一根線上發(fā)出的電波抵消。雙絞線一般由兩根為2、2號或2、4號或2、6號絕緣銅導(dǎo)線相互纏繞而成。如果把一對或多對雙絞線放在一個絕緣套管中便成了雙絞線電纜。與其他傳輸介質(zhì)相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受一定限制，但價格較為低廉。軟件PentiumMMX350CPU；128MB內(nèi)存；SVGA(CirrusLogic5446PCI)（超級視頻圖形陣列）顯示卡；40GB和SCSI接口硬盤；一個CD-ROM驅(qū)動器；網(wǎng)卡，采用10/100M自適應(yīng)全雙工網(wǎng)卡；交換機，采用24口交換機，若日后擴展可加入集線器，增加的用戶通過集線器連接到交換機。網(wǎng)線使用超五類非屏蔽雙絞線；網(wǎng)絡(luò)接頭用RJ-45；信息插座，AMP雙口信息插座面板；服務(wù)器操作系統(tǒng)建議使用Windows2000Server，便于使用。信息服務(wù)方案校園網(wǎng)絡(luò)功能較為復(fù)雜，涉及各個領(lǐng)域，如科研、學(xué)術(shù)、軟件、經(jīng)濟、政治等的信息資源共享系統(tǒng)，人事管理、財務(wù)管理、教務(wù)管理、科研管理、檔案管理、后勤管理等學(xué)校信息管理系統(tǒng)和MAIL系統(tǒng)等。不同應(yīng)用對服務(wù)器要求不同，為此，建議將各個不相關(guān)應(yīng)用服務(wù)分開部署，以獲得較好的性能和管理、維護的方便。而校園管理應(yīng)用的數(shù)據(jù)對學(xué)校的整體教學(xué)與運營來說至關(guān)重要，對存儲系統(tǒng)的高可用性、可管理性以及數(shù)據(jù)安全都提出了較高的要求。綜合布線方案綜合布線同傳統(tǒng)的布線相比較，有著許多優(yōu)越性，是傳統(tǒng)布線所無法比及的。其特點主要表現(xiàn)為它的實用性、功能性、先進性、靈活性、方便性、可靠性、擴展性、開放性、標準化、經(jīng)濟性和生命周期。而且在設(shè)計、施工和維護方面也給人們帶來了許多方便。綜合布線系統(tǒng)是建筑物或建筑群內(nèi)的傳輸網(wǎng)絡(luò)，它既能使話音和數(shù)據(jù)通信設(shè)備、交換設(shè)備和其他信息管理系統(tǒng)彼此連接，也能使這些設(shè)備與外部通信網(wǎng)絡(luò)相互連接，包括建筑物到外部網(wǎng)絡(luò)或電話局線路上的連線點，與工作區(qū)的話音或數(shù)據(jù)終端之間的所有電纜，以及相關(guān)聯(lián)的布線部件。一個良好的綜合布線系統(tǒng)對其服務(wù)的設(shè)備有一定的獨立性，并能互連許多不同的通信設(shè)備如數(shù)據(jù)終端、模擬式或數(shù)字式電話、PC和主機以及公共系統(tǒng)裝置。一般布線系統(tǒng)有六個子系統(tǒng)組成：建筑群間子系統(tǒng)，設(shè)備間子系統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子系統(tǒng)，工作區(qū)子系統(tǒng)。校園網(wǎng)為園區(qū)網(wǎng)，樓群間子系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴展余地。垂直子系統(tǒng)則位于高層建筑物的豎井內(nèi)，可采用多模光纜或大對數(shù)雙絞線。把管理區(qū)子系統(tǒng)并入設(shè)備間子系統(tǒng)，集中管理。對于多幢樓宇，可采用多設(shè)備間的方法。分為中心設(shè)備間和樓棟設(shè)備間部分，中心設(shè)備間是整個局域網(wǎng)的控制中心，內(nèi)設(shè)有對外（Internet）對內(nèi)通信的各種網(wǎng)絡(luò)設(shè)備（交換機、路由器、視頻服務(wù)器等），中心交換機通過光纜（地下直埋）與樓棟設(shè)備間的交換設(shè)備相連，以保證數(shù)據(jù)的高速傳輸。在此設(shè)備間放置布線的線架和網(wǎng)絡(luò)設(shè)備，端接樓內(nèi)來自在各層的主干線纜，并端接連接網(wǎng)絡(luò)中心的光纖。樓內(nèi)布線包括水平布線和主干布線。水平系統(tǒng)采用超五類雙絞線，新的樓宇采用暗裝墻內(nèi)的方式，舊的樓宇采用PVC線槽明裝的方式?？紤]到學(xué)校校園建設(shè)的實際需求，我們選用進口8芯室外光纜、進口6芯室內(nèi)光纜、AT&T的非屏蔽超五類雙絞線、信息插座、超五類信息模塊。校園網(wǎng)的主干即網(wǎng)絡(luò)中心與教學(xué)樓、實驗樓、圖書館、宿舍樓之間全部采用8芯室外光纜；樓內(nèi)選用進口6芯室內(nèi)光纜和5類線。這樣能保證網(wǎng)絡(luò)產(chǎn)品按照結(jié)構(gòu)化布線系統(tǒng)進行布線。這樣的布線系統(tǒng)具有以下優(yōu)點：網(wǎng)絡(luò)易于管理、維護；網(wǎng)絡(luò)安全性好；網(wǎng)絡(luò)設(shè)備可實現(xiàn)零冗余；充分利用投資；擴展性好。水平子系統(tǒng)：從各信息到主配線間的水平系統(tǒng)均選用AT&T的非屏蔽超五類雙絞線，按層配線架設(shè)在豎井距地面1.5米處，信息插座距地面0.5米處。管理子系統(tǒng)：管理子系統(tǒng)由交連、互連和I/O組成.管理點為連接其它子系統(tǒng)提供連接手段,一般包括主配線間和樓層配線間.交連和互連允許將通信線路定位或重定位到建筑物的不同部分,以便能更容易地管理通信線路.I/O位于用戶工作區(qū)和其它房間,使你在移動終端設(shè)備時能方便地進行插拔.設(shè)備布線子系統(tǒng)：設(shè)備布線系統(tǒng)由設(shè)備間的電纜、連接器和相關(guān)支撐硬件組成，它把公共系統(tǒng)設(shè)備的各種不同設(shè)備互連起來。該子系統(tǒng)將中繼線交叉連接處和布線交叉連接處與公共系統(tǒng)設(shè)備（如PBX）連接起來。該子系統(tǒng)還包括設(shè)備間和鄰近單元（如建筑物的入口區(qū)）中的導(dǎo)線。這些導(dǎo)線將設(shè)備或雷電護裝置連接到合適的建筑物接地點。五．網(wǎng)絡(luò)管理管理信息系統(tǒng)MIS包括人事管理、財務(wù)管理、學(xué)籍管理、后勤管理等多方面，基本覆蓋學(xué)校管理的方方面面。由于需要實現(xiàn)全校的MIS，上述提到的北大青島部分系統(tǒng)可以滿足部分要求，主要是校內(nèi)信息服務(wù)系統(tǒng)、儀器設(shè)備和實驗室管理系統(tǒng)。另外，推薦清華同方的科教2000校園通版也能滿足部分需求，主要是科研管理、校產(chǎn)管理、實驗室管理等模塊。其他系統(tǒng)，如成人教育、招生畢業(yè)生、黨務(wù)管理等系統(tǒng)，建議通過二次開發(fā)解決。憑借強大的開發(fā)實力、濃厚的學(xué)院北京加上學(xué)校的密切配合，必定能開發(fā)出滿足學(xué)校要求的應(yīng)用系統(tǒng)。（一）網(wǎng)絡(luò)行政管理網(wǎng)絡(luò)行政管理人員主要要求：1.熟悉網(wǎng)絡(luò)安全工作；2.熟悉常見操作系統(tǒng)的日常管理以及服務(wù)配置，安全配置（Windows系列，Linux系列）；3.具備不依靠殺毒軟件，發(fā)現(xiàn)清除windows系統(tǒng)下病毒以及惡意軟件的能力；4.熟悉常見掃描工具的使用，能夠發(fā)現(xiàn)網(wǎng)絡(luò)中或者系統(tǒng)存在的缺陷，并提出補救措施（如Nmap,Nessus等）；5.熟悉常見網(wǎng)絡(luò)協(xié)議，能熟練使用相關(guān)工具分析網(wǎng)絡(luò)問題（如TcpDump，WireShark，NetCat等）；6.了解常見的攻擊手法，了解常見漏洞產(chǎn)生的原因（如DDOS常見方法，如入侵常見方法等）。（二）網(wǎng)絡(luò)軟件管理網(wǎng)絡(luò)軟件管理是整個網(wǎng)絡(luò)的核心。為了確保網(wǎng)絡(luò)的正常運行，必須對網(wǎng)絡(luò)上各節(jié)點的運行狀況和網(wǎng)上的數(shù)據(jù)流量進行監(jiān)控，以便分析網(wǎng)絡(luò)的性能，從而優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。這必須依靠強有力的網(wǎng)絡(luò)管理系統(tǒng)來支持。網(wǎng)絡(luò)軟件管理包括網(wǎng)絡(luò)配置管理、故障管理、性能管理、安全管理和性能統(tǒng)計等。校園網(wǎng)的所有的交換器、集線器、路由器、和遠程接入服務(wù)器上都配置了SNMP代理模塊，可以采用SNMP兼容的網(wǎng)絡(luò)管理系統(tǒng)進行管理。這里我們選用Intel公司的LANDeskNetworkManager和LANDeskManagementSuite對網(wǎng)絡(luò)設(shè)備和網(wǎng)上工作站及服務(wù)器進行管理。LANDeskNetworkManager主要對HUB和Switch等網(wǎng)絡(luò)設(shè)備進行監(jiān)控和管理。LANDeskNetworkManager能自動生成和維護整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)圖，能監(jiān)視每個網(wǎng)絡(luò)端口的信息流量及配置，并且能將網(wǎng)絡(luò)系統(tǒng)劃分為虛擬網(wǎng)段，優(yōu)化網(wǎng)絡(luò)的性能，它還能提供網(wǎng)絡(luò)系統(tǒng)的故障檢測和報警。LANDeskManagementSuite主要對網(wǎng)上的服務(wù)器和工作站進行管理，包括工作站硬件配置的監(jiān)視，服務(wù)器狀態(tài)的監(jiān)控和告警事件的處理，軟件的分發(fā)，生成包括使用率、服務(wù)器統(tǒng)計情況和告警等的統(tǒng)計報告。在安全性方面，學(xué)校采用了典型的分區(qū)式的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，按照功能將校園網(wǎng)劃分為校園內(nèi)部網(wǎng)和校園外部網(wǎng)兩個部分：校園內(nèi)部網(wǎng)實現(xiàn)了校內(nèi)各類信息資源和應(yīng)用系統(tǒng)的共享和訪問；校園外部網(wǎng)實現(xiàn)了Internet網(wǎng)絡(luò)的互連和訪問，內(nèi)部用戶可以通過認證訪問外部網(wǎng)和Internet；而未經(jīng)授權(quán)的外部用戶將不能穿過防火墻進入內(nèi)部網(wǎng)，從而避免內(nèi)部網(wǎng)上核心應(yīng)用服務(wù)器受到侵害。

本校園網(wǎng)中，在校園內(nèi)外網(wǎng)絡(luò)之間采用了一臺高性能的防火墻構(gòu)成了內(nèi)外網(wǎng)絡(luò)隔離的系統(tǒng)，保證網(wǎng)絡(luò)系統(tǒng)的安全和訪問控制。

在與遠程用戶連接的接口用了一臺帶過濾包功能的路