中原工學(xué)院網(wǎng)絡(luò)設(shè)計規(guī)劃書.doc

校園網(wǎng)絡(luò)設(shè)計規(guī)劃圖課題：中原工學(xué)院網(wǎng)絡(luò)規(guī)劃設(shè)計圖成員：網(wǎng)絡(luò)101班 宋宏闖 201000824114網(wǎng)絡(luò)102班 劉意周 201000824網(wǎng)絡(luò)102班 秦 川 201000824目錄1. 校園網(wǎng)現(xiàn)狀 32. 網(wǎng)絡(luò)系統(tǒng)的需求分析 42.1 校園網(wǎng)建網(wǎng)需求42.2 學(xué)校各部門的應(yīng)用需求42.3 網(wǎng)絡(luò)系統(tǒng)性能需求42.4 網(wǎng)絡(luò)安全需求53. 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則和實現(xiàn)目標(biāo) 53.1 網(wǎng)絡(luò)系統(tǒng)的設(shè)計原則53. 2 網(wǎng)絡(luò)系統(tǒng)的實現(xiàn)目標(biāo)54. 網(wǎng)絡(luò)系統(tǒng)邏輯設(shè)計(圖) 54.1 拓?fù)鋱D設(shè)計54.2 I P地址方案和VLAN的劃分64.2.1 VLAN的劃分及子網(wǎng)配置64.2.2 IP地址的分配74.3 互聯(lián)網(wǎng)接入方案 84.4 安全方案 84.5 管理方案84.5.1 MRTG84.5.2 銳捷網(wǎng)絡(luò)RG-SAM系統(tǒng)95. 系統(tǒng)的綜合布線設(shè)計(圖)106. 系統(tǒng)產(chǎn)品的清單和預(yù)算清單 127 .網(wǎng)絡(luò)系統(tǒng)的實施計劃 137.1 網(wǎng)絡(luò)設(shè)備的選擇 137.1.1 核心層交換機選擇137.1.2 樓宇匯聚層交換機選擇147.1.3 路由器的選擇147.1.4 防火墻的選擇147.1.5 服務(wù)器的選擇147.2 典型配置與實施147.2.1 核心層配置147.2.2 樓宇匯聚層配置167.2.3 DHCP 服務(wù)器的配置167.3 NAT 轉(zhuǎn)換的配置178. 網(wǎng)絡(luò)系統(tǒng)的測試計劃 189. 心得體會 18 1. 校園網(wǎng)現(xiàn)狀 學(xué)校的具體情況如下：我校有三個校區(qū)，分南、北、西校區(qū)。我校是1995年第一批接入CERNET的高校之一。經(jīng)過10幾年的建設(shè)，校園網(wǎng)基礎(chǔ)設(shè)施已經(jīng)覆蓋了所有校區(qū)，其中包括學(xué)生宿舍、教學(xué)辦公樓及教工家屬區(qū)。校園網(wǎng)擁有中國教育科研網(wǎng)和中國網(wǎng)通兩個千兆出口，實現(xiàn)鏈路冗余，保證了校園網(wǎng)骨干網(wǎng)的良好可靠運行。南北校區(qū)采用萬兆網(wǎng)通區(qū)間光纖互聯(lián)。全校注冊上網(wǎng)計算機共14188臺（截止到當(dāng)日），再加上各院系實驗室計算機以及一些無需認(rèn)證上網(wǎng)的辦公用機總數(shù)超過17000臺。學(xué)校目前擁有相當(dāng)于64個C類的IP地址數(shù)的公網(wǎng)地址用于校內(nèi)計算機與外網(wǎng)的互聯(lián)。隨著網(wǎng)絡(luò)規(guī)模的日益擴大，校網(wǎng)絡(luò)中心對校園網(wǎng)絡(luò)管理工作進行了業(yè)務(wù)流程重組，采用RG-SAM系統(tǒng)注冊、報修故障和維修記錄全部在網(wǎng)上登記，起到用戶檔案完善、故障跟蹤的關(guān)鍵作用，保證了網(wǎng)絡(luò)的可靠運行。 學(xué)校網(wǎng)絡(luò)拓?fù)鋱D如下圖所示：圖2.1 監(jiān)控軟件種描述的學(xué)校網(wǎng)絡(luò)拓?fù)鋱D表2.1 聯(lián)網(wǎng)計算機分布表用戶組別計算機數(shù)辦公免費用戶806學(xué)生包月計費用戶北區(qū)16樓2987西區(qū)12樓883南區(qū)北苑17樓5642南區(qū)南苑18樓3796學(xué)生免費綁定MAC用戶69學(xué)生免費不綁定MAC用戶5合計14188 2. 網(wǎng)絡(luò)系統(tǒng)的需求分析2.1 校園網(wǎng)建網(wǎng)需求在知識經(jīng)濟和數(shù)字化生存時代，校園網(wǎng)在資源共享、知識傳播、育人管理等方面發(fā)揮越來越重要的作用，校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的建設(shè)，是非常必要的，也是可行的。主要表現(xiàn)在：第一，當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段，發(fā)展對學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。第二，教育信息量的不斷增多,使各級各類學(xué)校、家庭和教育管理部門對教育信息計算機管理和教育信息服務(wù)的要求越來越強烈。個人是否具有獲得信息和處理信息的能力對于能否成功進入職業(yè)界和融入社會及文化環(huán)境都是個決定性的因素,因此學(xué)校應(yīng)該培養(yǎng)所有學(xué)生具有駕馭和掌握這種技術(shù)的能力。另一方面, 信息技術(shù)在作為青少年教育工具的同時也向青少年提供了前所未有的機會。新技術(shù)提供的機會以及它們在教學(xué)方面具有的優(yōu)勢都是很多的,特別是計算機和多媒體系統(tǒng)的使用有助于個人化的道路,每個學(xué)生在個人的學(xué)習(xí)道路上都可以按照自己的速度發(fā)展。第三，我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡(luò)環(huán)境。2.2 學(xué)校各部門的應(yīng)用需求網(wǎng)絡(luò)中心：管理校園網(wǎng)整個網(wǎng)絡(luò)，必須確保網(wǎng)絡(luò)中心的正常運行。教學(xué)樓：方便教師進行多媒體教學(xué)和遠(yuǎn)程視頻教育。圖書館：電子閱覽室，方便同學(xué)從校內(nèi)或者校外查閱各種網(wǎng)上的書籍和資料。允許校校之間的互聯(lián)，實現(xiàn)教育圖書的資源共享。行政樓：辦公網(wǎng)絡(luò)、特別是行政辦公網(wǎng)絡(luò)的數(shù)據(jù)傳輸量不大，但非常注重安全性。而在網(wǎng)絡(luò)中傳輸?shù)氖谴罅繑?shù)據(jù)文件，視頻會議系統(tǒng)大多采用組播方式實現(xiàn)，因此，對帶寬的要求不高。學(xué)生宿舍：節(jié)點密集，課余時間網(wǎng)絡(luò)流量較大，且多數(shù)為多媒體數(shù)據(jù)流，對網(wǎng)絡(luò)帶寬的需求較大。2.3 網(wǎng)絡(luò)系統(tǒng)性能需求接入速率需求：接入速率最基本的是由端口速率決定的。對于骨干層、核心層的端口速率需要支持雙絞線、光纖的千兆位，甚至萬兆位速率，接入層需要百兆位到桌面。擴展性需求：在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計上要求所采用的技術(shù)必須是主流的，且具有一定的超前性，這里所說的超前是指適當(dāng)超出校園網(wǎng)當(dāng)前應(yīng)用的需求，以便日后在技術(shù)上平滑升級。擴展性需求方面還體現(xiàn)在網(wǎng)絡(luò)結(jié)構(gòu)中不同速率端口的配置上，一定要留有適當(dāng)?shù)娜哂?，一方面為日后的網(wǎng)絡(luò)規(guī)模擴展留下空間，另一方面也是為網(wǎng)絡(luò)維護考慮的，當(dāng)一些端口失效后，就可以用冗余的端口替代。所預(yù)留的端口類型一定要齊全，包括端口速率和端口介質(zhì)類型，高速率端口用于連接擴展交換機、服務(wù)器等關(guān)鍵節(jié)點設(shè)備，低速率接口用于連接普通用戶。響應(yīng)時間：指從用戶發(fā)出指令到網(wǎng)絡(luò)響應(yīng)并開始執(zhí)行用戶指令所需的時間，響應(yīng)時間越短，性能就越好，效率越高。局域網(wǎng)的響應(yīng)時間通常為1ms2ms，要求越高，所對應(yīng)的網(wǎng)絡(luò)設(shè)備配置就越高檔，成本也就越高。對于一般的文字工作，通常的響應(yīng)標(biāo)準(zhǔn)是可以滿足的，但對于大容量的多媒體文件傳輸，如視頻點播、遠(yuǎn)程視頻教學(xué)等，響應(yīng)時間就不能按正常標(biāo)準(zhǔn)要求那么高了，因為這樣會對整個網(wǎng)絡(luò)硬件，特別是服務(wù)器配置要求相當(dāng)高，會大大增加成本?？捎眯裕褐饕ǚ€(wěn)定性、可靠性這兩個方面。穩(wěn)定性通常是指服務(wù)器和其他關(guān)鍵網(wǎng)絡(luò)設(shè)備連續(xù)工作時間的長短?？煽啃酝ǔＥc穩(wěn)定性相關(guān)聯(lián)，穩(wěn)定性越好的網(wǎng)絡(luò)系統(tǒng)，可靠性也越好。為了確保整個網(wǎng)絡(luò)長期保持通暢，為骨干層配置了冗余鏈路，關(guān)鍵節(jié)點，如匯聚層與核心層交換機之間，服務(wù)器與核心交換機之間的連接都采取冗余的雙鏈路連接。一旦某一條鏈路出現(xiàn)故障，另一條鏈路可隨時接替原鏈路的工作，繼續(xù)為用戶服務(wù)。2.4 網(wǎng)絡(luò)安全需求在鏈路層，通過“交換機”這一互聯(lián)設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對物理和邏輯網(wǎng)段進行有效的分割和隔離，消除不同安全級別邏輯網(wǎng)段間的竊聽可能。在網(wǎng)絡(luò)層，可通過對不同子網(wǎng)的定義和對路由器的路由表控制來限制子網(wǎng)間的接點通信，通過對主機路由表的控制來控制與之直接通信的節(jié)點。同時，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點的通信、應(yīng)用服務(wù)，并加強外部用戶識別和驗證能力。 3. 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則和實現(xiàn)目標(biāo)3.1 網(wǎng)絡(luò)系統(tǒng)的設(shè)計原則 先進性：校園網(wǎng)建設(shè)要具有超前意識，具有先進的設(shè)計思想、網(wǎng)絡(luò)結(jié)構(gòu)和開發(fā)工具，采用市場使用率高、標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品。實用性：建設(shè)校園網(wǎng)時應(yīng)充分考慮校園網(wǎng)現(xiàn)有資源的實用，充分發(fā)揮現(xiàn)有設(shè)備的效益，保證系統(tǒng)和應(yīng)用軟件功能完善，界面友好以及兼容性強。開放性：校園網(wǎng)設(shè)計應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放用戶接口，能兼容各種不同的拓?fù)浣Y(jié)構(gòu)，具有良好的網(wǎng)絡(luò)互聯(lián)性，要有良好的升級能力以適應(yīng)今后大容量帶寬的需求，利用網(wǎng)絡(luò)的維護、擴展升級和與外界信息的溝通。靈活性：采用模塊化組合和結(jié)構(gòu)化設(shè)計，使系統(tǒng)配置靈活，滿足學(xué)校逐步到位的校園網(wǎng)建設(shè)需要，使網(wǎng)絡(luò)具有強大的可增長性，方便管理和維護。擴展性：網(wǎng)絡(luò)規(guī)劃設(shè)計既要滿足校園網(wǎng)不斷發(fā)展的要求，還要滿足未來主流技術(shù)和升級的需求。安全性：提供多層次安全手段，建立完善的安全管理體系，防止數(shù)據(jù)受到攻擊和破壞，有可靠的防病毒措施。可靠性：具有容錯能力，管理、維護方便，對網(wǎng)絡(luò)的設(shè)計、選型、安裝、調(diào)試等各個環(huán)節(jié)進行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運行可靠。經(jīng)濟性：投資合理，有良好的性能價格比。3.2 網(wǎng)絡(luò)系統(tǒng)的實現(xiàn)目標(biāo)（1）高速上網(wǎng)，查找信息 （2）計算機教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)； （3）網(wǎng)絡(luò)下載、網(wǎng)絡(luò)聊天等； （4）電子郵件系統(tǒng)：主要進行與同行交往、開展技術(shù)合作、學(xué)術(shù)交流等活動； （5）文件傳輸FTP：主要利用FTP服務(wù)獲取重要的科技資料和技術(shù)文擋； （6）INTERNET服務(wù)：學(xué)?？梢越⒆约旱闹黜?，利用外部網(wǎng)頁進行學(xué)校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁進行管理，例如發(fā)布通知、收集學(xué)生意見等 4. 網(wǎng)絡(luò)系統(tǒng)邏輯設(shè)計(圖) 4.1 拓?fù)鋱D設(shè)計 根據(jù)當(dāng)前學(xué)校網(wǎng)絡(luò)的分布情況，可以將學(xué)校的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)大致畫成如下圖所示： 圖4.1 學(xué)校網(wǎng)絡(luò)拓?fù)鋱D4.2 I P 地址的分配和VLAN的劃分4.2.1 VLAN的劃分及子網(wǎng)配置我校的網(wǎng)絡(luò)設(shè)計也是在基于不同應(yīng)用需求劃分了許多不同的VLAN。下面是具體劃分的VLAN： 表4.1 VLAN分布詳情VLAN號子網(wǎng)配置描述2 48link-to-Ne40-13 48link-to-Ne40-247 48link-dmz-ip-171054 sam_bq154 sam_nq_ny154 sam_nq_by1354 sam_xq1554 28library1990 92nq_jx4#_dianjiao2054 quidview-cam2190 24nq_jx_zhb2526 92bq_wlzx_nw2758 48nq_server_math2954 92bq_server3454 ZhuJiaoLou-linshi390 48graduate-lab4726 2854 nq-jx2#512 92lab_pccenter544 245526 24bq_develop5858 24west_develop5954 92west_office610 24 4 40 bq_shiyanlou_702622 24bq_duomeiti630 48bq_lab_yatai6710 40bq_shiyanlou_720732 52tumu-lab742 24jx-4#-english750 48electric-lib768 48math-lab7758 40dinning-office7842 40bq_dinning_office7954 92nq_jx_1#4.2.2 I P地址的分配目前學(xué)校擁有教育網(wǎng)的64*256個IP地址，分別是 ； ； ； 255.255.240。學(xué)校內(nèi)部規(guī)劃使用的私有地址有 ， ， ，目前192段的地址尚未使用。目前的IP分配方式主要以動態(tài)分配為主，除了某些辦公用機采取靜態(tài)分配外。下面是具體的IP地址分配情況：部門名稱IP地址所屬網(wǎng)絡(luò)子網(wǎng)掩碼實驗樓202.*.32.0202.*.35.0202.*.55.0教學(xué)樓202.*.34.0學(xué)生宿舍樓（公有地址）222.*.81.*- 222.*.82.*222.*.83.*- 222.*.84.*學(xué)生宿舍樓（私有地址）172.16.0.*-172.16.7.*172.16.8.*-172.16.15.*Web服務(wù)器202.*.32.7/24WWW（命名）DNS服務(wù)器202.*.32.1/24dns（命名）E-mail服務(wù)器202.*.32.50/24mail（命名）NAT服務(wù)器202.*.32.110/24nat（命名）DHCP服務(wù)器52./24dhcp（命名）4.3 互聯(lián)網(wǎng)接入方案學(xué)校分別采用1000M教育科研網(wǎng)和網(wǎng)通雙接入，南北校區(qū)采用萬M以太網(wǎng)技術(shù)互聯(lián)，西區(qū)采用avaya 882與北區(qū)華為Quidway S8512 1000M互聯(lián)。各校區(qū)由各個網(wǎng)絡(luò)中心出發(fā)1000M到各樓宇，100M到桌面。4.4 安全方案 隨著學(xué)生宿舍、教職工家屬等接入校園網(wǎng)后，網(wǎng)絡(luò)規(guī)模急劇增大。同時，校園網(wǎng)絡(luò)的應(yīng)用水平也在不斷提高。規(guī)模的壯大和運用水平的提高就決定了校園網(wǎng)面臨的隱患也相應(yīng)加劇。校園網(wǎng)中局域網(wǎng)數(shù)目較多，根據(jù)需要多個網(wǎng)絡(luò)可能要互相聯(lián)接。正是這種多網(wǎng)的互聯(lián)，使我們對網(wǎng)絡(luò)層的安全要極度重視。定義一個網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò)邊界。下面主要討論以下幾方面的網(wǎng)絡(luò)安全防護： 1) 劃分安全子網(wǎng)。如果同一局域網(wǎng)內(nèi)有不同等級的安全域，可以通過劃分子網(wǎng)及VLAN的方法加以訪問控制。如在教學(xué)局域網(wǎng)中學(xué)生機房和多媒體機房之間可以通過劃分子網(wǎng)來控制，不允許學(xué)生機房的機器訪問多媒體機房的機器。 2) 加強網(wǎng)絡(luò)邊界的訪問控制。安全等級差別較大的邊界需要采用防火墻來控制。如校園內(nèi)網(wǎng)、校園外網(wǎng)和Internet之間，利用防火墻進行訪問控制和內(nèi)容過濾。在Internet 網(wǎng)絡(luò)出口配置病毒過濾網(wǎng)關(guān)，對外應(yīng)用服務(wù)器部署在防火墻的DMZ 區(qū)域，記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)，可有效地解決需求中提到的多種威脅。 3) 防止內(nèi)外的攻擊威脅。在每個安全域內(nèi)或多個安全域之間安裝入侵檢測系統(tǒng)（IDS）,可有效地防止來自網(wǎng)絡(luò)內(nèi)外的攻擊。 4) 定期的網(wǎng)絡(luò)安全性檢測實現(xiàn)持續(xù)安全。利用漏洞掃描器（Scanner）,定期對系統(tǒng)進行安全性評估，及時發(fā)現(xiàn)安全隱患并實施修補，可達(dá)到網(wǎng)絡(luò)的相對持續(xù)安全。 5) 建立網(wǎng)絡(luò)防病毒系統(tǒng)。在校園網(wǎng)中安裝網(wǎng)絡(luò)版的防毒系統(tǒng)，集中控制、管理查殺網(wǎng)絡(luò)中服務(wù)器、終端的病毒，保護全網(wǎng)不被病毒侵害。4.5 管理方案目前學(xué)校的網(wǎng)絡(luò)管理系統(tǒng)主要有MRTG流量管理系統(tǒng)、RG-SAM上網(wǎng)認(rèn)證計費管理系統(tǒng)、SolarWinds network management網(wǎng)絡(luò)監(jiān)控系統(tǒng)。4.5.1 MRTGMrtg(Multi Router Traffic Grapher,MRTG)是一個監(jiān)控網(wǎng)絡(luò)鏈路流量負(fù)載的工具軟件，它通過snmp協(xié)議從設(shè)備得到設(shè)備的流量信息，并將流量負(fù)載以包含PNG格式的圖形的HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負(fù)載。圖4.2和圖4.3是幾個主要設(shè)備的部分流量圖：NE40:圖4.2 NE40流量圖4.5.2 銳捷網(wǎng)絡(luò)RG-SAM系統(tǒng)銳捷網(wǎng)絡(luò)RG-SAM系統(tǒng)是一套以實現(xiàn)網(wǎng)絡(luò)運營為基礎(chǔ)，增強全局安全為中心，提高管理效率為準(zhǔn)則的可靈活擴展的安全計費管理系統(tǒng)。有以下特征與功能：1、基于標(biāo)準(zhǔn)協(xié)議開發(fā)，支持802.1x、PPPOE、WEB Portal等多種接入技術(shù)，可滿足VPN撥入、無線接入等多種應(yīng)用。2、支持DHCP Option82，配合交換機的DHCP Relay實現(xiàn)對用戶IP地址的靈活分配，同時實現(xiàn)用戶的權(quán)限控制，為不同用戶分配不同的訪問權(quán)限。3、強大而靈活的綁定設(shè)置，可以實現(xiàn)用戶帳號、用戶IP、用戶MAC、NAS IP、NAS Port的靜態(tài)綁定、動態(tài)綁定以及自動綁定，最大程度保證用戶入網(wǎng)身份唯一。 4、強大的IP地址復(fù)合控制技術(shù)，可限制用戶只能使用靜態(tài)IP、動態(tài)IP或任意類型等方式訪問網(wǎng)絡(luò)；并可限制用戶IP地址的獲取方式，包括客戶端模式、DHCP模式、Radius服務(wù)器模式等，防止IP地址沖突、盜用。5、強大的用戶漫游功能，可控制用戶接入?yún)^(qū)域，另外通過靈活的BACL功能還可實現(xiàn)安全綁定狀態(tài)下的多區(qū)域漫游功能。 6、強大的代理服務(wù)器屏蔽技術(shù)，可屏蔽http代理、網(wǎng)關(guān)代理、socks代理等多種代理方式，并可禁止撥號上網(wǎng)，保障運營。 7、支持基于用戶的帶寬控制技術(shù)，保障網(wǎng)絡(luò)資源合理使用。8、功能強大而靈活的接入時段控制，一天24小時獨立控制，對節(jié)假日、周末、平常三個層次分別區(qū)分控制，可以通過一次設(shè)置保證全年的時段控制。9、人性化的消息提示和記錄功能，包括系統(tǒng)廣告、個性信息、用戶下線原因記錄與提示、自動欠費預(yù)通知、系統(tǒng)維護通告等交互功能。 10、提供詳細(xì)的認(rèn)證失敗信息提示用戶、后臺記錄，方便用戶和管理員排除故障，提高網(wǎng)絡(luò)運營效率。11、可限制用戶認(rèn)證客戶端程序的類型和版本號，可自動升級認(rèn)證客戶端程序，防止客戶端被破解。 12、強大的黑名單管理功能，可將各種惡意用戶加入黑名單或強制用戶下線；并提供靈活的查詢功能，可根據(jù)帳號、IP地址、MAC地址和時間段等方式進行反向追蹤，合理保障網(wǎng)絡(luò)秩序。 13、支持公用服務(wù)的認(rèn)證，保證在用戶在帳號欠費的條件下可以實現(xiàn)自助服務(wù)，如沖值等。 14、支持普通包月、包月限時長、包月限流量、計天、計時長和計流量等多種計費策略，配合交換機的802.1x協(xié)議時，建議使用包月或計天的計費策略。 15、支持預(yù)付費和后付費等方式，并支持優(yōu)惠時段設(shè)置，如對周末、法定公休日等優(yōu)惠時段進行定制優(yōu)惠收費，提高收費策略靈活性。 16、支持用戶卡和充值卡，沖值卡配合用戶卡以及提供的公用服務(wù)功能可以實現(xiàn)用戶的完全自助管理。 17、安全嚴(yán)格的管理員和安全組管理，保證管理員權(quán)限的同時，提供了靈活的權(quán)限定制方式，可實現(xiàn)分級管理，權(quán)限細(xì)化到第三級菜單。 圖4.4 SAM系統(tǒng)首頁圖4.5 SAM系統(tǒng)在線用戶管理界面 5.系統(tǒng)的綜合布線設(shè)計a) 工作區(qū)子系統(tǒng)的設(shè)計學(xué)生宿舍一般通過小交換機接入校園網(wǎng)網(wǎng)絡(luò)，因此為了節(jié)省工程造價，每個宿舍只安裝一個單口信息插座。信息點密集的房間可以選用兩口或四口信息插座，如教學(xué)樓的多媒體教室、辦公室、計算中心機房等，信息插座的數(shù)量要根據(jù)用戶的需求而定。考慮到校園網(wǎng)中大多數(shù)信息點的接入要求達(dá)到100Mbps，因此建議校園網(wǎng)內(nèi)所有信息插座均選用IBDN Giga Flex PS5E 超5類模塊。IBDN 超五類模塊可以滿足未來155Mbps網(wǎng)絡(luò)接入的要求。為了方便用戶接入網(wǎng)絡(luò)，信息插座安裝的位置結(jié)合房間的布局及計算機安裝位置而定，原則上與強電插座相距一定的距離，安裝位置距地面30cm以上高度，信息插座與計算機之間的距離不應(yīng)超過5米。 b) 水平干線子系統(tǒng)的設(shè)計 因此經(jīng)過全面的考慮，該院的綜合布線系統(tǒng)的水平干線子系統(tǒng)全部采用非屏蔽雙絞線?？紤]以后的校園網(wǎng)網(wǎng)絡(luò)的應(yīng)用，建議整個校園網(wǎng)的樓內(nèi)水平布線全部采用IBDN 1200系列超5類非屏蔽雙絞線，以便滿足以后網(wǎng)絡(luò)的升級需要。考慮到該院實施布線的建筑物都沒有預(yù)埋管線，所以建筑物內(nèi)的水平干線子系統(tǒng)全部采用明敷PVC管槽，并在槽內(nèi)布設(shè)超5類非屏蔽雙絞線纜的布線方案。原則上PVC管槽的敷設(shè)應(yīng)與強電線路相距30cm，由于特殊情況PVC管槽與強電線路相距很近的情況下，可在PVC管槽內(nèi)安裝白鐵皮然后再安裝線纜，從而達(dá)到較好的屏蔽效果。c) 設(shè)備間子系統(tǒng)設(shè)計 設(shè)備間的設(shè)計 經(jīng)實地考察發(fā)現(xiàn)，每幢學(xué)生宿舍都有兩個樓道，而且在2層或3層樓道都已設(shè)置了配電房，可以利用現(xiàn)有的配電房作為設(shè)備間。對于宿舍樓層較長的，建議采用雙設(shè)備間的配置方案，例如主教樓。東教學(xué)樓信息點較少，沒有必要設(shè)立專門的設(shè)備間，可以在樓道內(nèi)安裝6U墻裝機柜，機柜內(nèi)只需容納1交換機和2個配線架即可。食堂、圖書館的信息點不多，而且以后的信息點擴展的數(shù)量不會太多，因此也沒有必要設(shè)立專門的設(shè)備間，可以在合適的樓層處安裝6U墻裝機柜即可，機柜內(nèi)應(yīng)配備足夠數(shù)量的配線架和理線架設(shè)備?；A(chǔ)試驗樓和計算中心已組建了局域網(wǎng)，并已建好的設(shè)備間，因此該樓不再考慮設(shè)備間的設(shè)計問題。整個校園網(wǎng)的主設(shè)備間放置于基礎(chǔ)實驗樓的網(wǎng)絡(luò)中心。管理子系統(tǒng)的設(shè)計為了配合水平干線子系統(tǒng)選用的超五類非屏蔽雙絞線，每個設(shè)備間內(nèi)都應(yīng)配備IBDN PS5E超五類24口/1U模塊化數(shù)據(jù)配線架，配線架的數(shù)量要根據(jù)樓層信息點數(shù)量而定。為了方便設(shè)備間內(nèi)線纜管理，設(shè)備間內(nèi)安裝相應(yīng)規(guī)格的機柜，機柜內(nèi)的兩個配線架之間還安裝IBDN理線架，以進行線纜的整理和固定。為了便于光纜的連接，每幢樓內(nèi)的設(shè)備間內(nèi)應(yīng)配備光纜接線箱或機架式配線架，以便端接室外布設(shè)進入設(shè)備間的光纜。為了端接每個交換機的光纖模塊，還應(yīng)配備一定數(shù)量的光纖跳線，以端接交換機光纖模塊和配線架上的耦合器。 d) 干線子系統(tǒng)的設(shè)計 由于大多數(shù)建筑物都在6層以下，考慮到工程造價，決定采用4對UTP雙絞線作為主干線纜。對于樓層較長的學(xué)生宿舍，將采用雙主干設(shè)計方案，兩個主干通道分別連接兩個設(shè)備間。對于新建的學(xué)生宿舍及教學(xué)大樓都預(yù)留了電纜井，可以直接在電纜井中鋪設(shè)大對數(shù)雙絞線，為了支撐垂直主干電纜，在電纜井中固定了三角鋼架，可將電纜綁扎在三角鋼架上。對于舊的學(xué)生宿舍、辦公大樓、實驗大樓、圖書館，要開鑿直徑20cm的電纜井并安裝PVC管，然后再布設(shè)垂直主干電纜。 e) 建筑群子系統(tǒng)的設(shè)計 從校園建筑布局圖可以看出，整個校園比較分散，且相互距離較遠(yuǎn)，因此把校園劃分為3個片區(qū)，每個區(qū)的光纖匯集到該區(qū)設(shè)備間，再從各區(qū)設(shè)備間敷設(shè)光纖到主配線終端。校園內(nèi)建筑物之間的距離很近，只有網(wǎng)絡(luò)中心機房與教工區(qū)設(shè)備間之間的跨距、網(wǎng)絡(luò)中心機房與學(xué)生宿舍二區(qū)設(shè)備間之間的跨距較遠(yuǎn)，均已超過550米，其他建筑物之間的跨距不超過500米，因此除了網(wǎng)絡(luò)中心機房與教工區(qū)、學(xué)生宿舍二區(qū)設(shè)備間之間布設(shè)12芯單模光纖外，其他建筑物之間的光纜均選用6芯50m多模光纜進行布線。由于該學(xué)院原有的閉路電視線、電話線全部采用架空方式安裝，而且目前建筑物之間沒有現(xiàn)成的電纜溝，經(jīng)過與院方交流意見，決定所有光纖采用架空方式鋪設(shè)。鋪設(shè)光纖時，盡量沿著現(xiàn)有的閉路電視或電話線路的路由進行安裝，從而保持校園內(nèi)的環(huán)境美觀要求，也可以加快工程進度。 f) 校園網(wǎng)綜合布線系統(tǒng)結(jié)構(gòu) 該圖為該院校園網(wǎng)綜合布線系統(tǒng)結(jié)構(gòu)圖，由學(xué)生宿舍一區(qū)，學(xué)生宿舍二區(qū)，教工宿舍區(qū)三個部分組成。三個區(qū)域都通過室外多模光纜匯聚到網(wǎng)管中心。核心交換機采用模塊化三層交換機，配置1或2塊交換路由板，1個雙絞線業(yè)務(wù)板和若干塊光接口模塊業(yè)務(wù)板。對于模塊化三層交換機，用戶可任意選擇不同數(shù)量、不同速率和不同接口類型的模塊，以適應(yīng)千變?nèi)f化的網(wǎng)絡(luò)需求。而且模塊化交換機大都有很強的容錯能力，支持交換模塊的冗余備份，并且往往擁有可熱插拔的雙電源，以保證交換機的電力供應(yīng)。我們學(xué)校采用的是華為Quidway S 8512 。6. 系統(tǒng)產(chǎn)品的清單和預(yù)算清單 路由器配置清單 交換機配置清單 產(chǎn)品清單 7. 網(wǎng)絡(luò)系統(tǒng)的實施計劃7.1 網(wǎng)絡(luò)設(shè)備的選取 7.1.1 核心層交換機的選擇區(qū)域匯聚層交換機選擇具有安全控制能力和QoS保障能力，擁有較多GBIC或SFP端口的三層固定配置交換機。基于建網(wǎng)時采用千兆到樓的思想，這里采用H3C LS5516產(chǎn)品和RGS7606產(chǎn)品。H3C LS5516有24個10/100/1000Base-T以太網(wǎng)端口和4個1000Base-X SFP千兆以太網(wǎng)端口。支持IPv4/IPv6雙棧和IPv6 over IPv4隧道，三層線速轉(zhuǎn)發(fā)。支持豐富的IPv6路由協(xié)議，包括RIPng、OSPFv3、ISISv6、BGP4+ for IPv6。擁有完備的安全控制策略，豐富的QoS策略，高可靠性及靈活擴展能力，強大的多業(yè)務(wù)能力，出色的管理性。7.1.2 樓宇匯聚層交換機選擇在信息點密集的區(qū)域（如生活區(qū)），由于接入的計算機數(shù)量較大，而我們?yōu)榱吮苊鈴V播風(fēng)暴所造成的安全隱患，進行了VLAN的劃分。一旦接入不同VLAN的計算機之間要進行通信，所有的交換數(shù)據(jù)都必須通過區(qū)域?qū)拥娜龑咏粨Q機。這樣可能對區(qū)域交換機造成了不少的壓力，對于設(shè)備的性能會有更高的要求。于是在這樣的結(jié)點處，我們采用兩層匯聚的方法，即再加一層匯聚，我們稱為樓宇匯聚層。它把三層交換機負(fù)責(zé)的區(qū)域進一步縮小，使臨近的VLAN域之間，可以通過大樓匯聚層交換機完成數(shù)據(jù)交換。我們學(xué)?？梢赃x擇的是RG2126和RG2150。7.1.3 路由器的選擇隨著信息化水平的不斷提高，各個聯(lián)網(wǎng)單位已經(jīng)從“網(wǎng)絡(luò)互連”走向“整合優(yōu)化”的階段。其中最顯著的一個轉(zhuǎn)變就是，為了進一步提高效率或提升競爭優(yōu)勢，都廣泛開展各種網(wǎng)絡(luò)應(yīng)用、開始整合部分網(wǎng)絡(luò)業(yè)務(wù)。應(yīng)用的日趨廣泛，就必須確保主網(wǎng)絡(luò)的暢通和不間斷運行，以保證關(guān)鍵業(yè)務(wù)的正常運營。當(dāng)前，網(wǎng)絡(luò)的規(guī)模不斷擴大，復(fù)雜度隨之增加，數(shù)據(jù)轉(zhuǎn)發(fā)量也在急劇攀升，使得業(yè)務(wù)訪問中斷的不可控因素變多。內(nèi)網(wǎng)安全問題、ISP線路問題、遠(yuǎn)程訪問問題等等，都是業(yè)務(wù)順利開展的障礙。所以我們選擇了華為的NE40路由器。NE40作為第五代路由器采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)，充分繼承了第四代全分布式硬件處理的架構(gòu)，有機地結(jié)合了軟件的靈活性和硬件的高性能，既提供線速轉(zhuǎn)發(fā)性能，又具備快速良好的業(yè)務(wù)升級和擴展能力，最大限度地保證用戶投資。現(xiàn)網(wǎng)所有NE40都可以僅通過軟件升級方式提供硬件的IPv6轉(zhuǎn)發(fā)性能，不需重新購買IPv6硬件設(shè)備，為用戶節(jié)省了大量費用，充分保護用戶投資，體現(xiàn)出第五代路由器優(yōu)異的擴展能力。 7.1.4 防火墻的選擇互聯(lián)網(wǎng)的快速發(fā)展，給人們帶來方便的同時，遭受惡意攻擊和病毒侵害的事例也在增加，這對網(wǎng)絡(luò)的安全提出更高的要求。所以，必須選用網(wǎng)絡(luò)防火墻，關(guān)閉未被使用的TCP/UDP端口，以避免蠕蟲病毒和網(wǎng)絡(luò)木馬的入侵，保證網(wǎng)絡(luò)內(nèi)部計算機和網(wǎng)絡(luò)服務(wù)器的安全，防止重要和敏感數(shù)據(jù)的丟失。我們選擇了Topsec NG FW2000防火墻。安全方便； 支持用戶定制特殊功能。 7.1.5 服務(wù)器的選擇對于一個校園網(wǎng)而言，服務(wù)器是必不可少的。需要其用來提供各類網(wǎng)絡(luò)或應(yīng)用服務(wù)。目前我們學(xué)校的DNS服務(wù)器采用的SUN小型機配有其自主研發(fā)的操作系統(tǒng)Solaris 9，再利用Bind 9.0建立起DNS服務(wù)器，并提供雙向解析功能。DHCP服務(wù)器采用的是Deel 220，安裝有Redhat 9.0的操作系統(tǒng)，并實現(xiàn)DHCP功能。 7.2 典型配置與實施 7.2.1 核心層配置核心層交換機負(fù)責(zé)整個校園網(wǎng)的VLAN間的路由選擇。這里核心層交換機采用的是華為 8512 。下面以北區(qū)的8512為例：（1