甘谷一中校園網(wǎng)設(shè)計(jì)方案

1、摘 要通過對甘谷一中學(xué)校園網(wǎng)現(xiàn)狀的分析，初步完成了甘谷一中學(xué)校園網(wǎng)絡(luò)設(shè)計(jì)方案的選擇、系統(tǒng)全面構(gòu)架以及將各個(gè)子系統(tǒng)完全結(jié)合成一個(gè)整體的設(shè)計(jì)方案。這套方案結(jié)合該校的實(shí)際情況，以及對未來發(fā)展的要求，給出了校園網(wǎng)綜合設(shè)計(jì)方案與建議，本方案主要涉及到網(wǎng)絡(luò)結(jié)構(gòu)的需求分析、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇、廣域網(wǎng)的接入、服務(wù)器硬件和軟件的選購、系統(tǒng)安全性分析、校園網(wǎng)絡(luò)的維護(hù)以及網(wǎng)絡(luò)管理的相關(guān)要求等。關(guān)鍵詞：網(wǎng)絡(luò)拓?fù)鋱D；IP劃分；主干網(wǎng)；網(wǎng)絡(luò)管理；網(wǎng)絡(luò)安全前 言隨著經(jīng)濟(jì)與網(wǎng)絡(luò)的不斷發(fā)展、教育信息化，校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時(shí)代的教育方式和環(huán)境， 已經(jīng)成為各大院校教育發(fā)展的方向。 學(xué)校的網(wǎng)絡(luò)化建設(shè)必然會對學(xué)校的信息化起到巨大的推動(dòng)

2、作用，為學(xué)校的辦公提供簡單、有效、便捷的理想環(huán)境，為學(xué)校的教育教學(xué)改革迅捷提供有效的數(shù)據(jù)信息。由于建立了校園網(wǎng),一方面縮短了學(xué)校與外界的距離,利用電子郵件和Internet電話等服務(wù) ,擴(kuò)大了學(xué)校與外界的交流;另一方面,構(gòu)建了以Intranet為基礎(chǔ)的教學(xué)管理信息系統(tǒng),推動(dòng)了學(xué)校的信息化建設(shè),為學(xué)校今后的快速發(fā)展準(zhǔn)備了條件。隨著學(xué)校的校園網(wǎng)建設(shè)的普及化，學(xué)校將會進(jìn)入一個(gè)科學(xué)管理和科學(xué)教學(xué)的新時(shí)代。校園網(wǎng)絡(luò)建設(shè)作為一項(xiàng)重要的系統(tǒng)工程，它所用到的各種技術(shù)是多方面的，即有網(wǎng)絡(luò)技術(shù)、其中還包括軟件技術(shù)，工程施工技術(shù)，也有管理制度等各個(gè)方面的知識。因此，如何促使校園文化與網(wǎng)絡(luò)信息融合，并促進(jìn)校園文化的健

3、康發(fā)展，各個(gè)教育工作者也在尋求新的思路和對策。請瀏覽后下載，資料供參考，期待您的好評與關(guān)注！目 錄摘 要I前 言II第1章 企業(yè)描述1第2章 需求分析22.1 帶寬（核心層、（部門層、）桌面）22.2 子網(wǎng)與VLAN規(guī)劃22.3 實(shí)現(xiàn)的信息服務(wù)32.4 應(yīng)用程序32.5 存儲系統(tǒng)分析32.6 系統(tǒng)及數(shù)據(jù)安全分析42.7 QoS42.8 網(wǎng)間隔離4第3章 拓?fù)鋱D及方案整體描述63.1 主干網(wǎng)傳輸方案設(shè)計(jì)63.2 Internet接入方案63.3 遠(yuǎn)程訪問支持73.4 子網(wǎng)劃分與VLAN設(shè)定83.5 網(wǎng)間隔離方案設(shè)計(jì)103.6 存儲方案113.7 設(shè)備選型113.8 軟件133.9 信息服務(wù)方案1

4、43.10 綜合布線方案14第4章 網(wǎng)絡(luò)管理16第5章 系統(tǒng)主要設(shè)備報(bào)價(jià)17第6章 網(wǎng)絡(luò)測試及協(xié)議數(shù)據(jù)包分析186.1 環(huán)境簡介186.2 找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)186.3 分析這些主機(jī)的網(wǎng)絡(luò)流量20參考文獻(xiàn)24課程設(shè)計(jì)總結(jié)25第1章 企業(yè)描述甘谷一中，在校生人數(shù)25003000，主要建筑有5棟，分別為辦公樓、教學(xué)樓、圖書館、實(shí)驗(yàn)樓、宿舍樓。網(wǎng)絡(luò)建設(shè)是要為教學(xué)、管理提供服務(wù)，在校園內(nèi)部實(shí)現(xiàn)資源高度共享，為學(xué)校提供基礎(chǔ)信息和科學(xué)手段，為學(xué)生提供一個(gè)自由學(xué)習(xí)的環(huán)境，以提高其學(xué)習(xí)主動(dòng)性，為教師建構(gòu)一種新型的教學(xué)模式，為培養(yǎng)創(chuàng)新人才提供支持。教學(xué)活動(dòng)和教學(xué)過程的大量視頻和音頻數(shù)據(jù)的傳輸是校園網(wǎng)絡(luò)的

5、關(guān)鍵問題，采用高速以太網(wǎng)、光纖建立校園網(wǎng)絡(luò)，千兆為主干，百兆到桌面。網(wǎng)絡(luò)總造價(jià)為20萬30萬元。適用對象：中等規(guī)模的大專院?；緮?shù)據(jù)：在校生人數(shù)8000；占地面積1000畝。主要建筑：圖書館、實(shí)驗(yàn)樓、教學(xué)樓、宿舍樓、辦公樓等網(wǎng)絡(luò)節(jié)點(diǎn)：總的信息點(diǎn)將達(dá)到3000個(gè)左右。信息節(jié)點(diǎn)的分布比較分散，將涉及到圖書館、實(shí)驗(yàn)樓、教學(xué)樓、宿舍樓、辦公樓等。主控室可設(shè)在實(shí)驗(yàn)樓的五層，圖書館、教學(xué)樓和宿舍樓為信息點(diǎn)密集區(qū)。網(wǎng)絡(luò)結(jié)構(gòu)：網(wǎng)絡(luò)分為三個(gè)層次，核心層、匯聚層、接入層。采用千兆以太網(wǎng)技術(shù)，具有高帶寬1000Mbps速率的主干，100Mbps到桌面，內(nèi)部網(wǎng)與外部網(wǎng)之間采用防火墻技術(shù)進(jìn)行網(wǎng)絡(luò)安全和網(wǎng)絡(luò)控制。第2章

6、需求分析2.1 帶寬（核心層、（部門層、）桌面）隨著信息化建設(shè),教學(xué)資源整合,加強(qiáng)本地院校,遠(yuǎn)程院校,后勤部門的管理,現(xiàn)代的高校需建設(shè)整個(gè)校園網(wǎng)絡(luò)。 由于網(wǎng)絡(luò)技術(shù)的日新月異，更高的帶寬和更先進(jìn)的應(yīng)用層出不窮，校園網(wǎng)應(yīng)能夠具有更高的帶寬，更強(qiáng)大的性能，以滿足學(xué)校教學(xué)的需求。隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的校園網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺。不僅要繼續(xù)承載辦公自動(dòng)化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及校園教學(xué)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時(shí)延都要求很高的遠(yuǎn)程教學(xué)、視頻會議等多媒體業(yè)務(wù)。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的

7、要求。但就目前來看，就一般的校園網(wǎng)規(guī)模還不是很大，百兆到桌面還是能滿足要求的。因此，在此次設(shè)計(jì)中用百兆位到桌面千兆位骨干來作為建網(wǎng)的標(biāo)準(zhǔn)，核心層及骨干層具有千兆位級帶寬和處理性能，盡管與萬兆位網(wǎng)相比帶寬不是很高，但仍然可以構(gòu)筑一個(gè)暢通無阻的高品質(zhì)校園網(wǎng)，從而適應(yīng)教學(xué)需要。2.2 子網(wǎng)與VLAN規(guī)劃1. 基于端口的VLAN劃分這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。2. 基于MAC地址的VLAN劃分MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是惟一且固

8、化在網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前8位為廠商標(biāo)識，后4位為網(wǎng)卡標(biāo)識。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。3. 基于路由的VLAN劃分路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。 就目前來說，對于VLAN的劃分主要采取上述第1、3種方式，第2種方式為輔助性的方案2.3 實(shí)現(xiàn)的信息服務(wù)第一點(diǎn)：建成一個(gè)具有高可靠性和開放性的校園網(wǎng)絡(luò)，它應(yīng)支持流行的SNMP等網(wǎng)絡(luò)管理協(xié)議；采用Internet上的標(biāo)準(zhǔn)協(xié)議-TCP/IP協(xié)議，提供校園內(nèi)部及面向全球的WWW服務(wù)、FTP服務(wù)、

9、NEWS服務(wù)、電子郵件服務(wù)，實(shí)現(xiàn)與國際互聯(lián)網(wǎng)的完全接軌。第二點(diǎn)：同時(shí)它還應(yīng)具有支持通用大型數(shù)據(jù)庫的功能，支持多種協(xié)議，具有良好的軟件支持；采用模塊化結(jié)構(gòu)設(shè)計(jì)，容易升級。第三點(diǎn)：從應(yīng)用需求方面考慮，無線網(wǎng)絡(luò)很適合學(xué)校的一些不易于網(wǎng)絡(luò)布線的場所應(yīng)用。對原有網(wǎng)絡(luò)進(jìn)一步擴(kuò)充，使校園的每個(gè)角落都處在網(wǎng)絡(luò)中，形成真正意義上的校園網(wǎng)。第四點(diǎn)：還應(yīng)針對學(xué)校的教學(xué)特點(diǎn)，具有一些基本的教學(xué)功能，以完成學(xué)校的基本教學(xué)任務(wù)。 第五點(diǎn)：采用千兆以太網(wǎng)技術(shù)，具有高帶寬1000Mbps速率的主干，2Mbps到桌面，內(nèi)部網(wǎng)與外部網(wǎng)之間采用防火墻技術(shù)進(jìn)行網(wǎng)絡(luò)安全和網(wǎng)絡(luò)控制。2.4 應(yīng)用程序1.游戲；2.上網(wǎng)軟件；3.下載軟件；

10、4.其它常用軟件。2.5 存儲系統(tǒng)分析中心交換機(jī)必須具有大型數(shù)據(jù)庫，各系分交換機(jī)具有中小型數(shù)據(jù)庫，用于存儲各教研室教學(xué)資料。中心交換機(jī)進(jìn)行對各系的教學(xué)資料進(jìn)行備份，以防發(fā)生意外。主機(jī)系統(tǒng)應(yīng)采用國際上較新的主流技術(shù)，并具有良好的向后擴(kuò)展能力；主機(jī)系統(tǒng)應(yīng)具有高的可靠性，能長時(shí)間連續(xù)工作，并有容錯(cuò)措施；支持通用大型數(shù)據(jù)庫，如SQL、Oracle等；具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議；能與Internet互聯(lián)，可提供互聯(lián)網(wǎng)的應(yīng)用，如WWW瀏覽服務(wù)FTP文件傳輸服務(wù)、E-mail電子郵件服務(wù)、NEWS新聞組討論等服務(wù)；支持SNMP網(wǎng)絡(luò)管理協(xié)議，具有良好的可管理性和可維護(hù)性。2.6 系統(tǒng)

11、及數(shù)據(jù)安全分析校園網(wǎng)一旦建成，學(xué)校必須安排專業(yè)人員進(jìn)行網(wǎng)絡(luò)維護(hù)，確保各種重要的教學(xué)資料的安全，確保網(wǎng)絡(luò)的暢通。防止各種惡意的黑客攻擊，保證教學(xué)秩序順利進(jìn)行，從而保證教學(xué)質(zhì)量。2.7 QoSQoS是網(wǎng)絡(luò)的一種安全機(jī)制, 是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。在正常情況下，如果網(wǎng)絡(luò)只用于特定的無時(shí)間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如Web應(yīng)用，或E-mail設(shè)置等。但是對關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過載或擁塞時(shí)，QoS 能確保重要業(yè)務(wù)量不受延遲或丟棄，同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行。2.8 網(wǎng)間隔離網(wǎng)絡(luò)隔離，英文名為Network Isolation，主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)(

12、如：TCP/IP)通過不可路由的協(xié)議(如：IPX/SPX、NetBEUI等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層，并不能感知到交換數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認(rèn)證、加密簽名等安全機(jī)制來實(shí)現(xiàn)，而這些機(jī)制的實(shí)現(xiàn)都是通過軟件來實(shí)現(xiàn)的。因此，隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對應(yīng)用能夠透明支持，以適應(yīng)復(fù)

13、雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。而由于設(shè)計(jì)原理問題使得第三代和第四代隔離產(chǎn)品在這方面很難突破，既便有所改進(jìn)也必須付出巨大的成本，和“適度安全”理念相悖。第3章 拓?fù)鋱D及方案整體描述3.1 主干網(wǎng)傳輸方案設(shè)計(jì)本校園網(wǎng)的主干網(wǎng)絡(luò)設(shè)備的選擇初步確定如下。網(wǎng)絡(luò)建設(shè)將采用新型的背板堆疊技術(shù)，根據(jù)功能區(qū)劃分由Intel Express 510T交換機(jī)組成4-6個(gè)交換機(jī)組。適當(dāng)?shù)姆峙涠询B數(shù)量，提供600個(gè)100M交換端口，所有工作站都通過100M網(wǎng)卡連接到交換機(jī)組上，使100M交換到桌面。交換機(jī)組采用GB2模塊與Intel Express Gigabit Switch 千兆交換機(jī)相連。這樣，在交換機(jī)組之間可達(dá)

14、到1000M的帶寬，而同一交換機(jī)組內(nèi)部可達(dá)到最高15Gbps的帶寬。中心計(jì)算機(jī)房的Web服務(wù)器、E-mail服務(wù)器、文件服務(wù)器、影視服務(wù)器等設(shè)備直接與1000M交換機(jī)上的100M以太網(wǎng)模塊連接。與Internet的連接采用一臺Intel Express 9100 Routers路由器，通過DDN線路與Internet相連。在不改變網(wǎng)絡(luò)技術(shù)情況下的擴(kuò)展方式：隨著網(wǎng)絡(luò)流量的增加，主干網(wǎng)上1000M交換機(jī)的帶寬壓力不斷提高。這時(shí)我們可以采用Intel Express Gigabit Switch交換機(jī)特有的冗余連接特性，增加一臺1000M交換機(jī)。并在這兩個(gè)1000M交換機(jī)之間建立多條連接。這樣不僅提

15、供了更大的帶寬（最高可達(dá)32Gbps），同時(shí)又增強(qiáng)了主干網(wǎng)段的連接剛性，還增加了更多的1000M交換端口，為以后增加更多的服務(wù)設(shè)備提供了良好的擴(kuò)充余地。3.2 Internet接入方案本校園網(wǎng)以TCP/IP 為主要協(xié)議，它是一種事實(shí)上的工業(yè)標(biāo)準(zhǔn)協(xié)議，采用TCP/IP為網(wǎng)絡(luò)主要協(xié)議，可保證與ChinaNET和Internet保持一致，還可支持IPX，DECNET等其它協(xié)議。真正實(shí)現(xiàn)于國際互聯(lián)網(wǎng)的無縫連接。從計(jì)算機(jī)網(wǎng)絡(luò)通訊的觀點(diǎn)來看，TCP/IP網(wǎng)絡(luò)實(shí)質(zhì)上可稱為IP網(wǎng)絡(luò)，它是由許多IP網(wǎng)關(guān)（或稱為IP路由器）通過若干直接連通的通信線路（點(diǎn)到點(diǎn)通信）形成一個(gè)計(jì)算機(jī)通信網(wǎng)絡(luò)。在IP網(wǎng)點(diǎn)上再接入主機(jī)，子

16、網(wǎng)便構(gòu)成一個(gè)互聯(lián)的計(jì)算機(jī)網(wǎng)絡(luò)，這些安裝了TCP/IP的各類計(jì)算機(jī)間需要通信時(shí)，它就不再要求設(shè)置協(xié)議轉(zhuǎn)換開關(guān)，而且主要的網(wǎng)絡(luò)服務(wù)都可建立在TCP/IP服務(wù)器上。Internet接入網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D如圖3.1所示圖3.1 甘谷一中Internet接入網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D3.3 遠(yuǎn)程訪問支持1. 使用Vitato室外交換機(jī)覆蓋大片的室外場地(如體育場等)，然后Vivato室外交換機(jī)通過與機(jī)房無線設(shè)備(Vivato室外交換機(jī)或Vivato無線網(wǎng)橋)進(jìn)行中繼無線連接，使用戶接入校園主干網(wǎng)。2. 使用一個(gè)或幾個(gè)Vitato室內(nèi)交換機(jī)覆蓋未布線或不方便布線的建筑物內(nèi)部。如圖書館、綜合樓、階梯教室及學(xué)生宿舍等，然后Viv

17、ato室內(nèi)交換機(jī)通過與機(jī)房無線設(shè)備(Vivato室外交換機(jī)或Vivato無線網(wǎng)橋)進(jìn)行中繼無線連接，使用戶接入校園主干網(wǎng)。3. 對于已有內(nèi)部布線的建筑物，無須鋪設(shè)光纖，通過Vivato無線網(wǎng)橋與機(jī)房無線設(shè)備(Vivato室外交換機(jī)或Vivato無線網(wǎng)橋)進(jìn)行中繼無線連接，就可方便、高性價(jià)比的將建筑物內(nèi)網(wǎng)絡(luò)接入校園主干網(wǎng)。4. 用VP1210室外基站,為一幢教學(xué)樓提供室內(nèi)覆蓋應(yīng)用.在相鄰的樓上安裝一臺VP1210室外基站,從外面發(fā)射信號給樓內(nèi),%20VP1210的信號可以穿過樓墻,基本上可以滿足整個(gè)教學(xué)樓全部的無線上網(wǎng)要。Vivato主要使用一個(gè)Vivato VP1210 802.11b室外Wi

18、-Fi基站。把性能穩(wěn)定的VP1210室外基站安到校園的建筑物頂上，就可以為整個(gè)校園(室內(nèi)和室外)提供無線接入，并且能覆蓋大面積的校園區(qū)域，同時(shí)也可以和相距幾十公里的分校區(qū)提供遠(yuǎn)程無線連接。Vivato Wi-Fi基站與有線網(wǎng)絡(luò)連接，覆蓋整個(gè)的校園和分校，加上很強(qiáng)的建筑物穿透能力。同時(shí)在一些信號不易達(dá)到的地方放置Vivato Wi-Fi 網(wǎng)橋/路由器，此網(wǎng)橋與基站之間使用WDS協(xié)議進(jìn)行無線背靠背中繼連接?；竞蜔o線網(wǎng)橋均可對無線Wi-Fi終端提供無線連接，而且移動(dòng)無線用戶可以在各個(gè)無線接入設(shè)備中平滑漫游。3.4 子網(wǎng)劃分與VLAN設(shè)定子網(wǎng)劃分類別及其詳細(xì)信息如表3.1所示：表3.1 子網(wǎng)劃分類別

19、及其詳細(xì)信息表序號子網(wǎng)名稱包含的信息點(diǎn)1服務(wù)器子網(wǎng)連接Internet的所有服務(wù)器，為真實(shí)IP地址2網(wǎng)絡(luò)設(shè)備子網(wǎng)除路由器外所有的網(wǎng)絡(luò)設(shè)備3辦公室子網(wǎng)辦公樓、圖書館和實(shí)驗(yàn)樓的辦公室計(jì)算機(jī)4多媒體子網(wǎng)多媒體教室計(jì)算機(jī)5教室子網(wǎng)所有教室計(jì)算機(jī)6電子閱覽室子網(wǎng)電子閱覽室計(jì)算機(jī)7圖書館子網(wǎng)學(xué)生閱覽室和借書室計(jì)算機(jī)8計(jì)算機(jī)實(shí)驗(yàn)室1子網(wǎng)計(jì)算機(jī)實(shí)驗(yàn)室1的計(jì)算機(jī)9計(jì)算機(jī)實(shí)驗(yàn)室2子網(wǎng)計(jì)算機(jī)實(shí)驗(yàn)室2的計(jì)算機(jī)10計(jì)算機(jī)實(shí)驗(yàn)室3子網(wǎng)計(jì)算機(jī)實(shí)驗(yàn)室3的計(jì)算機(jī)11計(jì)算機(jī)實(shí)驗(yàn)室4子網(wǎng)計(jì)算機(jī)實(shí)驗(yàn)室4的計(jì)算機(jī)12計(jì)算機(jī)實(shí)驗(yàn)室5子網(wǎng)計(jì)算機(jī)實(shí)驗(yàn)室5的計(jì)算機(jī)13學(xué)生宿舍A子網(wǎng)學(xué)生宿舍A的200臺計(jì)算機(jī)14學(xué)生宿舍B子網(wǎng)學(xué)生宿舍B的200

20、臺計(jì)算機(jī)15教工宿舍子網(wǎng)教工宿舍的130臺計(jì)算機(jī)學(xué)校子網(wǎng)劃分示意圖如圖3.3所示：第二層網(wǎng)段多媒體教室網(wǎng)段辦公室網(wǎng)段網(wǎng)絡(luò)設(shè)備網(wǎng)段圖書館網(wǎng)段電子閱覽室網(wǎng)段服務(wù)器網(wǎng)段教室網(wǎng)段學(xué)生宿舍B實(shí)驗(yàn)室1網(wǎng)段實(shí)驗(yàn)室5網(wǎng)段教工宿舍網(wǎng)段學(xué)生宿舍A圖3.3 學(xué)校子網(wǎng)劃分示意圖學(xué)校校園網(wǎng)接入CERNET,可以向CERNET申請IP地址和域名。在校園網(wǎng)系統(tǒng)集成之前需要對全校的IP 地址分配作充分的規(guī)劃，對每臺服務(wù)器、PC 機(jī)網(wǎng)絡(luò)設(shè)備的端口IP地址都要分配。學(xué)校申請的IP地址為4個(gè)C類地址，為-55，域名為,主 DNS服務(wù)器IP地址為202.28.10

21、0.10，輔DNS 服務(wù)器IP 地址為1。學(xué)校設(shè)備IP地址分配如表3.2所示：表3.2 學(xué)校設(shè)備IP地址分配主機(jī)名/類型設(shè)備名稱IP設(shè)置注釋DES-3624圖書館DES-3624交換機(jī)IP：/10網(wǎng)關(guān)：54網(wǎng)關(guān)IPDES-3226教學(xué)樓DES-3226交換機(jī)IP：/10網(wǎng)關(guān)：54網(wǎng)關(guān)IPDES-3226實(shí)驗(yàn)樓DES-3226交換機(jī)IP：/10網(wǎng)關(guān)：54網(wǎng)關(guān)IPDES-3226辦公樓DES-3226交換機(jī)IP：/10網(wǎng)關(guān)：180.10

22、.1.254網(wǎng)關(guān)IPDES-3226宿舍樓DES-3226交換機(jī)IP：/10網(wǎng)關(guān)：54網(wǎng)關(guān)IPA計(jì)費(fèi)網(wǎng)關(guān)IP：/10網(wǎng)關(guān)：54D主DNS服務(wù)器IP：0/24D輔DNS服務(wù)器IP：1/24Web服務(wù)器IP：2/24郵件服務(wù)器IP：3/24FTP服

23、務(wù)器IP：4/24認(rèn)證管理服務(wù)器IP：5/24數(shù)據(jù)庫服務(wù)器IP：6/243.5 網(wǎng)間隔離方案設(shè)計(jì)1. 防火墻的部署在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署了一臺瑞星防火墻，其中WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與 Internet 連接。這樣，通過 Internet 進(jìn)來的外網(wǎng)用戶只能訪問到對外公開的一些服務(wù)（如WWW、E-mail、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被非法訪問或破壞，也阻止了內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)

24、生的安全事件進(jìn)行跟蹤和審計(jì)。2. 入侵檢測系統(tǒng)的部署入侵檢測能力是衡量一個(gè)防御體系是否完整有效的重要因素，根據(jù)校園網(wǎng)絡(luò)的特點(diǎn)，我們采用瑞星入侵檢測系統(tǒng) RIDS-100 。將 RIDS-100 入侵檢測引擎接入 Cisco 中心交換機(jī)上，對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測。3. 瑞星網(wǎng)絡(luò)版殺毒產(chǎn)品的部署為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)病毒的防護(hù)，我們在可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。實(shí)現(xiàn)了遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒等多種安全防護(hù)功能。3.6 存儲方案浪潮光纖存儲陣列NS8800D，采用雙機(jī)熱備份方案，作為該校網(wǎng)絡(luò)存儲SAN結(jié)構(gòu)里的一個(gè)核心部分，在整個(gè)校

25、園網(wǎng)的存儲方面起到了決定性的作用。NS8800D是雙控制器光纖磁盤陣列，內(nèi)部采用無線纜連接設(shè)計(jì)，無單點(diǎn)故障，具有較高的可用性。通過交換機(jī)可以實(shí)現(xiàn)前端服務(wù)器對存儲設(shè)備的共享，完全實(shí)現(xiàn)了存儲集中和靈活應(yīng)用，節(jié)省了存儲空間。整個(gè)存儲系統(tǒng)基于2Gb的帶寬設(shè)計(jì)，在性能上完全可以滿足當(dāng)前系統(tǒng)的存儲需求。NS8800具有多主機(jī)接入能力，可以支持4臺服務(wù)器的多主機(jī)共享，并且擴(kuò)容能力突出，最多可擴(kuò)展7個(gè)JBOD從而達(dá)到16TB的存儲容量。保證了系統(tǒng)的可擴(kuò)展性，為今后數(shù)據(jù)的增長提供了穩(wěn)定可靠的平臺。通過該系統(tǒng)，圖書館的資源、信息可以方便的被不同的網(wǎng)絡(luò)教學(xué)教室調(diào)用，滿足電子化教學(xué)的需求；同時(shí)網(wǎng)絡(luò)用戶還可以通過服務(wù)器

26、到英特網(wǎng)上尋求更多的圖書信息、學(xué)習(xí)資料等。3.7 設(shè)備選型1網(wǎng)絡(luò)操作系統(tǒng)。本校園網(wǎng)的網(wǎng)絡(luò)操作系統(tǒng)以Microsoft Windows 2000為主，它是發(fā)展速度最快的集成了Web應(yīng)用的網(wǎng)絡(luò)操作系統(tǒng)。具有界面友好、系統(tǒng)強(qiáng)壯、穩(wěn)定可靠、與桌面主流操作系統(tǒng)相容性好等優(yōu)點(diǎn)。并擁有大量的服務(wù)器端軟件，是Intranet網(wǎng)絡(luò)中最佳的網(wǎng)絡(luò)操作系統(tǒng)平臺。2主干交換機(jī)。主干交換機(jī)是指連接服務(wù)器及樓與樓之間、層與層之間的數(shù)據(jù)交換設(shè)備。本校園網(wǎng)工程將分為三期，根據(jù)工程三個(gè)階段中網(wǎng)絡(luò)點(diǎn)成批增加其間伴隨著的使用需求增長，對主干交換機(jī)基本設(shè)備的選型及其階段性的擴(kuò)展需求進(jìn)行總體的合理規(guī)劃。第一期要求連接就達(dá)600個(gè)網(wǎng)絡(luò)站點(diǎn)

27、，應(yīng)用對主干服務(wù)器的訪問及其數(shù)據(jù)流量對主干帶寬要求很高，通過以上分析，在INTEL EXPRESS 500系列百兆堆疊交換機(jī)組的基礎(chǔ)上采用世界上目前第一個(gè)真正已經(jīng)投放市場的千兆模塊把百兆交換機(jī)組通過光纖相連到Intel Express Gigabit千兆交換機(jī)上，通過千兆交換機(jī)實(shí)現(xiàn)和WEB服務(wù)器千兆帶寬的主干連接。在第二期中，將面臨著對主干帶寬的更高要求，將使用2臺千兆交換機(jī)通過4GB高速通道來實(shí)現(xiàn)千兆交換機(jī)冗余連接，使網(wǎng)絡(luò)主干帶寬比第一期增長一倍。3接入交換機(jī)。采用交換機(jī)而不使用共享式集線器到桌面是由于學(xué)校實(shí)際使用情況是主要表現(xiàn)在集中突發(fā)性，即學(xué)生同時(shí)使用同一軟件的情況比較多，如果使用共享到

28、桌面，網(wǎng)絡(luò)就會產(chǎn)生擁阻而影響速度，因此在校園網(wǎng)中應(yīng)使用百兆交換到桌面。在十兆與百兆交換機(jī)中應(yīng)選擇百兆交換，因?yàn)?0兆雖然在目前校園網(wǎng)絡(luò)使用中剛剛能達(dá)到要求，但是已經(jīng)不適應(yīng)功能越來越強(qiáng)的計(jì)算機(jī)與新的應(yīng)用軟件的發(fā)展，更不適應(yīng)更快的計(jì)算機(jī)通訊產(chǎn)品的要求，將成為它們之間最大的瓶頸。因此采用Intel Express 510T Switches作為校園網(wǎng)工作組級接入交換機(jī)，直接連接學(xué)生站點(diǎn)。通過Intel先進(jìn)的、獨(dú)特的堆疊背板技術(shù)（SST）將第一期的600個(gè)站點(diǎn)分成若干個(gè)網(wǎng)段，即3-6個(gè)510T交換機(jī)堆疊在一起的獨(dú)立組群，這樣就在每個(gè)交換組中最多144個(gè)站點(diǎn)提供高達(dá)15Gb的帶寬，因此形成的交換網(wǎng)絡(luò)就能

29、夠滿足不斷增長的流量需求。另外還通過虛網(wǎng)技術(shù)，使每個(gè)教室或每個(gè)年級之間的互訪得到有效的管理和控制，提高網(wǎng)絡(luò)的安全性。以合理價(jià)格實(shí)現(xiàn)工作組與終端設(shè)備的100Mbps連接的可擴(kuò)展交換器，Intel Express 510T是將專用快速以太網(wǎng)式的性能擴(kuò)展到整個(gè)網(wǎng)絡(luò)的理想選擇，它可使用戶的終端設(shè)備服務(wù)器及其它網(wǎng)絡(luò)設(shè)施享受這種高性能的解決方案。這種高性能的解決方案可隨網(wǎng)絡(luò)的成長而自由地?cái)U(kuò)展。4.服務(wù)器網(wǎng)卡。在一期工程中，建議學(xué)校在Internet應(yīng)用教學(xué)中，采用定期下載，內(nèi)部瀏覽的原則，因此WEB服務(wù)器是學(xué)校內(nèi)部Intranet瀏覽和連接Internet服務(wù)器，學(xué)生站點(diǎn)對其訪問在相應(yīng)教學(xué)時(shí)段對的數(shù)據(jù)流量

30、相對來說比較大。要求園區(qū)級服務(wù)器能夠提供足夠的連接帶寬。Intel Express PRO/100服務(wù)器網(wǎng)卡是唯一一種支持標(biāo)準(zhǔn)10BASE-T、100BASE-TX和100BASE-FX以太網(wǎng)的千兆服務(wù)器專用網(wǎng)卡。這是一種智能的網(wǎng)卡，它能夠利用其內(nèi)置的Intel i960 RP處理器最大限度地優(yōu)化服務(wù)器資源?？紤]到Internet和其他網(wǎng)絡(luò)的連接(如CHINANET等)，目前設(shè)計(jì)的局域網(wǎng)都要考慮對廣域網(wǎng)絡(luò)的連接，更廣的資源和更多的應(yīng)用將是在各種廣域連接中發(fā)現(xiàn)。目前，越來越多的學(xué)校還開展了網(wǎng)絡(luò)教學(xué)和建立自己的WEB。因此，能否有效地連接Internet是校園網(wǎng)建立的一個(gè)重要的目標(biāo)。在此方案中，考

31、慮Internet出口路由器的配置一臺Intel Express Router 9100路由器。它是學(xué)校的校園網(wǎng)對外的出口，也可以作為保護(hù)校園網(wǎng)的第一道防火墻。因?yàn)槭褂肐ntel Express Routers在Internet上配置安全的VPN隧道極為簡單，Intel Express Router 9100對通道傳輸提供強(qiáng)大的加密功能，確保您的私人通訊數(shù)據(jù)通過公用網(wǎng)域時(shí)的安全。但根據(jù)客戶和局域網(wǎng)配置的具體不同情況，也應(yīng)該采取適當(dāng)?shù)牟襟E來確保來自Internet的局域安全。這至少要包括配置通過協(xié)議過濾器的訪問控制目錄。采用DDN線路與Internet連接，以64KB2MB帶寬支持校園的應(yīng)用，而

32、且性能非常穩(wěn)定。Intel Express Router 9100有2個(gè)能與專用數(shù)字線路或Frame Relay及X.25網(wǎng)絡(luò)相連的WAN接口。5.外部網(wǎng)的安全。對于校園網(wǎng)來說，外部網(wǎng)主要是指INTERNET。因?yàn)橥獠烤W(wǎng)的用戶非常復(fù)雜，有黑客進(jìn)行惡性攻擊的可能。所以我們設(shè)計(jì)在內(nèi)部網(wǎng)和外部網(wǎng)之間用防火墻隔開，這可以利用捷普J(rèn)ump F3000G防火墻實(shí)現(xiàn)。它集成了VPN的主要功能 - 隧道、數(shù)據(jù)加密、安全性和防火墻，能夠提供一種安全、可擴(kuò)展的平臺來更好、更經(jīng)濟(jì)高效地使用公共數(shù)據(jù)服務(wù)來實(shí)現(xiàn)遠(yuǎn)程訪問、遠(yuǎn)程辦公和外部網(wǎng)連接。Jump F3000G防火墻是建立在專用實(shí)時(shí)多任務(wù)安全網(wǎng)絡(luò)操作系統(tǒng)和專用硬件平

33、臺之上的網(wǎng)絡(luò)安全設(shè)備。F3000防火墻并非傳統(tǒng)的簡單包過濾防火墻，而是網(wǎng)絡(luò)狀態(tài)檢測和代理技術(shù)相融合的網(wǎng)絡(luò)安全設(shè)備。Jump F3000G防火墻以卓越的安全性、強(qiáng)大的功能、方便靈活的管理機(jī)制為各行業(yè)提供了強(qiáng)有力的網(wǎng)絡(luò)訪問控制，可廣泛應(yīng)用于金融、教育、政府機(jī)關(guān)、軍隊(duì)和中小型企業(yè)等企事業(yè)單位。3.8 軟件1. 網(wǎng)絡(luò)系統(tǒng)平臺。Windows 2000是目前適用的完善的服務(wù)器平臺，它提供了一個(gè)在建構(gòu)您的企業(yè)內(nèi)部網(wǎng)絡(luò)方面健全、可靠的基礎(chǔ)。除了集成的應(yīng)用程序、通訊處理和文件/打印支持以外，Windows 2000是唯一一個(gè)具有完善的、集成的內(nèi)置式企業(yè)內(nèi)部網(wǎng)絡(luò)服務(wù)集的服務(wù)器操作系統(tǒng)，使它成為在使用、管理方面最

34、方便的企業(yè)內(nèi)部網(wǎng)絡(luò)服務(wù)器。Windows 2000提供了可利用的一種完善的企業(yè)內(nèi)部網(wǎng)絡(luò)服務(wù)器它是“插接和運(yùn)行”式企業(yè)內(nèi)部網(wǎng)絡(luò)服務(wù)器。2. 數(shù)據(jù)庫開發(fā)平臺。Microsoft SQL Server 2000；現(xiàn)在市面流行的主要操作平臺，容易管理以及修改。3. 辦公自動(dòng)化軟件。Microsoft Office 2000/2003；擁有多元化的辦公系統(tǒng)，可以適應(yīng)很多平臺。3.9 信息服務(wù)方案本方案中使用PortMaster2R，通過一條DDN專線，將校園網(wǎng)接入中國教育科研網(wǎng)CERNET，從而進(jìn)入國際互聯(lián)網(wǎng)Internet。 為保證網(wǎng)絡(luò)安全，防止黑客非法侵入網(wǎng)絡(luò)，網(wǎng)絡(luò)必須提供IP防火墻，PortMas

35、ter2R內(nèi)置防火墻，可有效地保證網(wǎng)絡(luò)的安全。3.10 綜合布線方案綜合布線系統(tǒng)是建筑物或建筑群內(nèi)的傳輸網(wǎng)絡(luò)，它既能使話音和數(shù)據(jù)通信設(shè)備、交換設(shè)備和其他信息管理系統(tǒng)彼此連接，也能使這些設(shè)備與外部通信網(wǎng)絡(luò)相互連接，包括建筑物到外部網(wǎng)絡(luò)或電話局線路上的連線點(diǎn)，與工作區(qū)的話音或數(shù)據(jù)終端之間的所有電纜，以及相關(guān)聯(lián)的布線部件。一個(gè)良好的綜合布線系統(tǒng)對其服務(wù)的設(shè)備有一定的獨(dú)立性，并能互連許多不同的通信設(shè)備如數(shù)據(jù)終端、模擬式或數(shù)字式電話、PC和主機(jī)以及公共系統(tǒng)裝置。一般布線系統(tǒng)有六個(gè)子系統(tǒng)組成：建筑群間子系統(tǒng)，設(shè)備間子系統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子系統(tǒng)，工作區(qū)子系統(tǒng)。校園網(wǎng)為園區(qū)網(wǎng)，樓群間子

36、系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴(kuò)展余地。垂直子系統(tǒng)則位于高層建筑物的豎井內(nèi)，可采用多模光纜或大對數(shù)雙絞線。把管理區(qū)子系統(tǒng)并入設(shè)備間子系統(tǒng)，集中管理。對于多幢樓宇，可采用多設(shè)備間的方法。分為中心設(shè)備間和樓棟設(shè)備間部分，中心設(shè)備間是整個(gè)局域網(wǎng)的控制中心，內(nèi)設(shè)有對外（Internet）對內(nèi)通信的各種網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器、視頻服務(wù)器等），中心交換機(jī)通過光纜（地下直埋）與樓棟設(shè)備間的交換設(shè)備相連，以保證數(shù)據(jù)的高速傳輸。在此設(shè)備間放置布線的線架和網(wǎng)絡(luò)設(shè)備，端接樓內(nèi)來自在各層的主干線纜，并端接連接網(wǎng)絡(luò)中心的光纖。樓內(nèi)布線包括水平布線和主干布線。水平系統(tǒng)采用超五類雙絞線，新的樓宇采用暗裝墻

37、內(nèi)的方式，舊的樓宇采用PVC線槽明裝的方式?？紤]到學(xué)校校園建設(shè)的實(shí)際需求，我們選用進(jìn)口8芯室外光纜、進(jìn)口6芯室內(nèi)光纜、AT&T的非屏蔽超五類雙絞線、信息插座、超五類信息模塊。校園網(wǎng)的主干即網(wǎng)絡(luò)中心與教學(xué)樓、實(shí)驗(yàn)樓、圖書館、宿舍樓之間全部采用8芯室外光纜；樓內(nèi)選用進(jìn)口6芯室內(nèi)光纜和5類線。這樣能保證網(wǎng)絡(luò)產(chǎn)品按照結(jié)構(gòu)化布線系統(tǒng)進(jìn)行布線。這樣的布線系統(tǒng)具有以下優(yōu)點(diǎn)：網(wǎng)絡(luò)易于管理、維護(hù)；網(wǎng)絡(luò)安全性好；網(wǎng)絡(luò)設(shè)備可實(shí)現(xiàn)零冗余；充分利用投資；擴(kuò)展性好。第4章 網(wǎng)絡(luò)管理Cisco 通過重點(diǎn)開發(fā)基于因特網(wǎng)的體系結(jié)構(gòu)的優(yōu)勢，可以向用戶提供更高的可訪問性而且可以簡化網(wǎng)絡(luò)管理任務(wù)的進(jìn)程，這種優(yōu)勢正在改變傳統(tǒng)的網(wǎng)絡(luò)管理

38、。Cisco 網(wǎng)絡(luò)管理策略-保證網(wǎng)絡(luò)服務(wù)（Assured Network Services）也正在引導(dǎo)著網(wǎng)絡(luò)管理從傳統(tǒng)應(yīng)用程序轉(zhuǎn)向具備下列特征的基于Web的模型：簡化工具、任務(wù)和進(jìn)程；與網(wǎng)絡(luò)管理系統(tǒng)（NMS）平臺和一般管理產(chǎn)品的Web級集成；能夠?yàn)楣芾砺酚善?、交換機(jī)和訪問服務(wù)器提供端到端解決方案。Cisco 的系列網(wǎng)絡(luò)管理產(chǎn)品包括了針對各種網(wǎng)絡(luò)設(shè)備性能的管理、集成化的網(wǎng)絡(luò)管理、遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控和管理等功能。目前，Cisco 的 網(wǎng)絡(luò)管理產(chǎn)品包括新的基于Web的產(chǎn)品和基于控制臺的應(yīng)用程序。新產(chǎn)品系列包括增強(qiáng)的工具以及基于標(biāo)準(zhǔn)的第三方集成工具于，功能上包括管理庫存、可用性、系統(tǒng)變化、配置、系統(tǒng)日志、連

39、接和軟件部署以及用于創(chuàng)建內(nèi)部管理網(wǎng)的工具。另外，網(wǎng)絡(luò)管理工具還包括一些其他的獨(dú)立應(yīng)用程序本方案全部采用智能網(wǎng)絡(luò)設(shè)備，并通過網(wǎng)絡(luò)管理協(xié)議傳送給管理設(shè)備。本方案基于Windows平臺的Cajun View軟件，通過網(wǎng)絡(luò)管理工作站,對整個(gè)網(wǎng)絡(luò)的智能設(shè)備進(jìn)行有效的圖形管理。本校園局域網(wǎng)中使用3Com Transcend Enterprise Manager for Solaris 網(wǎng)管軟件對網(wǎng)絡(luò)進(jìn)行全面的管理。3Com Transcend Enterprise Manager for Solaris網(wǎng)管軟件通過圖形界面為用戶提供流量、錯(cuò)誤、廣播、利用率等信息的分析報(bào)告和圖表，操作簡單明了為網(wǎng)絡(luò)提供了便

40、捷的管理手段。第5章 系統(tǒng)主要設(shè)備報(bào)價(jià)通過對校園網(wǎng)絡(luò)的需求分析，網(wǎng)絡(luò)的規(guī)劃、劃分結(jié)合現(xiàn)在市場上各產(chǎn)品的價(jià)位及功能和企業(yè)的規(guī)模，統(tǒng)一給出了系統(tǒng)的主要設(shè)備及報(bào)價(jià)。甘谷一中校園網(wǎng)系統(tǒng)主要設(shè)備報(bào)價(jià)如表5.1所示。表5.1 甘谷一中系統(tǒng)主要設(shè)備報(bào)價(jià)表設(shè)備名稱型號單價(jià)數(shù)量金額交換機(jī)Intel Express 510T35006臺21000路由器Intel Express 9100 Routers135701臺13570室外基站Vivato VP1210 802.11b1680001臺168000防火墻Jump F3000G180001臺18000網(wǎng)橋/路由器Vivato Wi-Fi 8320臺1660第6

41、章 網(wǎng)絡(luò)測試及協(xié)議數(shù)據(jù)包分析對于網(wǎng)絡(luò)測試及協(xié)議數(shù)據(jù)包分析，我們采用Sniffer軟件。Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件。本文針對用Sniffer Pro網(wǎng)絡(luò)分析器進(jìn)行故障解決。利用Sniffer Pro 網(wǎng)絡(luò)分析器的強(qiáng)大功能和特征，解決網(wǎng)絡(luò)問題，將介紹一套合理的故障解決方法。 與Netxray比較，Sniffer支持的協(xié)議更豐富，例如PPPOE協(xié)議等在Netxray并不支持，在Sniffer上能夠進(jìn)行快速解碼分析。Netxray不能在Windows 2000和Windows XP上正常運(yùn)行，Sniffer Pro 4.6可以運(yùn)行在各種Windows平臺上。Sniffe

42、r軟件比較大，運(yùn)行時(shí)需要的計(jì)算機(jī)內(nèi)存比較大，否則運(yùn)行比較慢，這也是它與Netxray相比的一個(gè)缺點(diǎn)。Sniffer軟件的主要功能有：a) 捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析b) 利用專家分析系統(tǒng)診斷問題c) 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)d) 收集網(wǎng)絡(luò)利用率和錯(cuò)誤等6.1 環(huán)境簡介Sniffer軟件是一個(gè)對某網(wǎng)絡(luò)系統(tǒng)中廣域網(wǎng)部分的日常流量分析的很好的工具，為此我們在其廣域網(wǎng)鏈路上采用Sniffer進(jìn)行流量捕獲，并把產(chǎn)生流量最多的協(xié)議HTTP協(xié)議的網(wǎng)絡(luò)流量過濾出來加以分析，分析過程及結(jié)果見6.2、6.3節(jié)。6.2 找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)我們分析的第一步，找出產(chǎn)生網(wǎng)絡(luò)流量最大的主機(jī)，產(chǎn)生網(wǎng)絡(luò)流量越大，對網(wǎng)絡(luò)造成的影響

43、越重，我們一般進(jìn)行流量分析時(shí)，首先關(guān)注的是產(chǎn)生網(wǎng)絡(luò)流量最大的那些計(jì)算機(jī)。我們利用Sniffer的Host Table功能，將所有計(jì)算機(jī)按照發(fā)出數(shù)據(jù)包的包數(shù)多少進(jìn)行排序，網(wǎng)絡(luò)流量分析圖如圖6.1所示：圖6.1 網(wǎng)絡(luò)流量分析圖從圖6.1中我們可以清楚的看到網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)出數(shù)據(jù)包數(shù)量多少的統(tǒng)計(jì)列表，我們下面要做的是對列表中發(fā)出數(shù)據(jù)包數(shù)量多的計(jì)算機(jī)產(chǎn)生的流量進(jìn)行分析。通過Host Table，我們可以分析每臺計(jì)算機(jī)的流量情況，有些異常的網(wǎng)絡(luò)流量我們可以直接通過Host Table來發(fā)現(xiàn)，如排在發(fā)包數(shù)量前列的IP地址為的主機(jī)，其從網(wǎng)絡(luò)收到的數(shù)據(jù)包數(shù)是0，但其向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包是445個(gè)，這對HTTP協(xié)議來說顯然是不正常的，HTTP協(xié)議是基于TCP的協(xié)議，是有連接的，不可能是光發(fā)不收的，一般來說光發(fā)包不收包是種類似于廣播的應(yīng)用，UDP這種非連接的協(xié)議有可能。同樣，我們可以發(fā)現(xiàn)IP地址如表6.1所示：表6.1 IP地址分析IP地址發(fā)包數(shù)量收包數(shù)量553000502433052221019189021470012940210913210906.3 分析這些主機(jī)的網(wǎng)絡(luò)流量下面是我們對部