校園網(wǎng)絡(luò)設(shè)計方案

1、校園網(wǎng)絡(luò)設(shè)計方案XX校園網(wǎng)絡(luò)設(shè)計方案書第四組：組員：厲健、楊鋒、劉永海、吳霞、陳偉狄、朱剛、何臻偉匯報人：朱剛目錄第一章建設(shè)目標(biāo)與原則31.1 翔宇實驗中學(xué)網(wǎng)絡(luò)建設(shè)目標(biāo)31.2 校園網(wǎng)設(shè)計原則4第二章校園網(wǎng)建設(shè)方案62.1 搭建校園網(wǎng)絡(luò)系統(tǒng)62.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)72.3 IP地址規(guī)劃82.4 設(shè)備選型92.5 網(wǎng)絡(luò)安全設(shè)計112.6 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計14第三章網(wǎng)絡(luò)應(yīng)用解決方案173.1綜合辦公自動化系統(tǒng)17第四章網(wǎng)絡(luò)的綜合布線系統(tǒng)184.1 綜合布線標(biāo)準(zhǔn)184.2 設(shè)計范圍及要求184.3 布線的實施184.4 測試及驗收21參考文獻(xiàn)23翔宇實驗中學(xué)網(wǎng)絡(luò)建設(shè)方案【摘要】科學(xué)技術(shù)的發(fā)展日新月異，

2、在計算機(jī)技術(shù)和通信技術(shù)結(jié)合下，網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。如今，不僅計算機(jī)已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合，整個社會都不可能脫離網(wǎng)絡(luò)而存在。網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流，人們對網(wǎng)絡(luò)的認(rèn)識也隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及而迅速改變。在不久的將來，網(wǎng)絡(luò)必將成為和電話一樣通用的工具，成為人們生活、工作、學(xué)習(xí)中必不可少的一部分。翔宇實驗中學(xué)校園網(wǎng)一期、二期建設(shè)基本完成了校園網(wǎng)的框架，主要用于連接各實驗室、教研室和各部處通過網(wǎng)絡(luò)中心與Internet連接。但是隨著學(xué)校的發(fā)展，廣大師生對校園網(wǎng)的覆蓋率、穩(wěn)定性、管理及業(yè)務(wù)提出了更高的要求，而原有的校園網(wǎng)在以上幾方面均暴露出一系列不足。在本方案中，我將詳細(xì)闡述翔宇實驗中學(xué)校園

3、網(wǎng)的建設(shè)方案，內(nèi)容大致分為搭建網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用、網(wǎng)絡(luò)管理、綜合布線等幾部分?！娟P(guān)鍵字】局域網(wǎng)、Internet、計算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)協(xié)議、服務(wù)器、防火墻24 / 24第一章建設(shè)目標(biāo)與原則1.1 翔宇實驗中學(xué)網(wǎng)絡(luò)建設(shè)目標(biāo)學(xué)校共有員工和學(xué)生9000人，院區(qū)內(nèi)共有12棟建筑，包括教學(xué)樓、實驗樓、現(xiàn)教樓、圖書館、宿舍樓等。上網(wǎng)的人員主要是學(xué)生、教師和科研人員。學(xué)校的網(wǎng)絡(luò)同時承載著多樣的網(wǎng)絡(luò)應(yīng)用：網(wǎng)絡(luò)下載、視頻點播、網(wǎng)絡(luò)聊天、專項課題研究、網(wǎng)絡(luò)化教學(xué)，學(xué)校要求網(wǎng)絡(luò)具有高性能、高可用性和高安全性。學(xué)校規(guī)模在不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性，能夠根據(jù)需要逐步平滑升級到千兆的骨干連接

4、。學(xué)生擁有筆記本電腦的人數(shù)越來越多，他們想在校園的各個地方都可以上網(wǎng)，甚至包括操場。要求網(wǎng)絡(luò)具有移動和無線集成。學(xué)校要求能對每個用戶的使用情況能進(jìn)行事后審計，能夠定位到IP地址以及用戶所連接的端口和登錄的用戶名。由于校園網(wǎng)絡(luò)的開放性和流量的多樣性，學(xué)校要求能及時發(fā)現(xiàn)網(wǎng)絡(luò)異常流量并做出響應(yīng)。同時要求基于每用戶的速率限制。另外在設(shè)備支持上要求：在10/100或10/100/1000BaseT上支持802.3afPoB網(wǎng)絡(luò)設(shè)備集成的安全性；要求第2層和第3層的QoS要求增強(qiáng)的802.1x功能；支持10GE或?qū)砥交^渡到10GE當(dāng)前萬兆以太網(wǎng)將成為園區(qū)骨干網(wǎng)的主流技術(shù)。但根據(jù)翔宇實驗中學(xué)目前的實際情

5、況，可先采用千兆位以太網(wǎng)作為園區(qū)骨干，以后再根據(jù)需要升級；另外交換機(jī)及路由器本身的性能對整個網(wǎng)絡(luò)的性能也有影響，諸如線速轉(zhuǎn)發(fā)、QoSSTP可支持的路由協(xié)議的收斂特性等等都將影響網(wǎng)絡(luò)的性能。高可用性：網(wǎng)絡(luò)的高可用性必須依靠冗余來實現(xiàn)，網(wǎng)絡(luò)級冗余性可以利用雙宿主設(shè)計自動繞過故障鏈路或設(shè)備，能夠使用智能協(xié)議保持網(wǎng)絡(luò)可靠性。設(shè)備級冗余性可以利用設(shè)備內(nèi)部部件（如管理引擎、電源、風(fēng)扇等）的冗余來提供不問斷服務(wù)。線路級冗余可通過敷設(shè)物理走向不同的線纜的方式來實現(xiàn)線路的暢通。對于翔宇實驗中學(xué)來說，以上所說在不同的場合中都有可能用到；另外，降低網(wǎng)絡(luò)的復(fù)雜性、提供備用互聯(lián)網(wǎng)出口、強(qiáng)大的網(wǎng)絡(luò)監(jiān)控功能及良好的用戶培訓(xùn)

6、也可增加園區(qū)網(wǎng)的可用性。高安全性：現(xiàn)階段網(wǎng)絡(luò)建設(shè)主要面臨以下幾方面的問題：網(wǎng)絡(luò)流量增長得很快，與此同時網(wǎng)絡(luò)運營商的接入費用不降反升；管理人員對校園網(wǎng)的運行情況缺乏基本的分析和管理工具；網(wǎng)絡(luò)安全事件時有發(fā)生，重要服務(wù)器和核心網(wǎng)絡(luò)設(shè)備被攻擊；網(wǎng)絡(luò)病毒泛濫，得不到控制；有線用戶和無線用戶的接入控制、定位缺乏手段等；針對以上問題，將安全連接、威脅防御、信用和身份管理系統(tǒng)集成到單個解決方案中，并提供病毒感染限制、染毒設(shè)備隔離功能可有效的解決校園網(wǎng)建設(shè)中的安全問題。高可擴(kuò)展性：在設(shè)計園區(qū)網(wǎng)時，通過層次化的設(shè)計可保證網(wǎng)絡(luò)的擴(kuò)展性。層次化結(jié)構(gòu)包括三個功能部分：即接入層、分布層和核心層，層次化的設(shè)計除了能帶來便

7、于擴(kuò)展的優(yōu)勢以外，還可節(jié)約成本和加強(qiáng)故障隔離能力；移動性：可通過實施WirelessLAN實現(xiàn)無線上網(wǎng)。1.2 校園網(wǎng)設(shè)計原則采用先進(jìn)成熟的技術(shù)和設(shè)計思想，運用先進(jìn)的集成技術(shù)路線，以先進(jìn)、實用、開放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實用性，盡快投入使用，發(fā)揮較好的效能。計算機(jī)技術(shù)的發(fā)展十分迅速，更新?lián)Q代周期越來越短。所以，選購設(shè)備要充分注意先進(jìn)性，選擇硬件要預(yù)測到未來發(fā)展方向，選擇軟件要考慮開放性，工具性和軟件集成優(yōu)勢。網(wǎng)絡(luò)設(shè)計要考慮通信發(fā)展要求，因此，主要、關(guān)鍵設(shè)備需要具有很高的性價比。系統(tǒng)的設(shè)計既要在相當(dāng)長的時間內(nèi)保證其先進(jìn)性，還應(yīng)本著實用的原則，在實用的基礎(chǔ)上追求先進(jìn)性，使

8、系統(tǒng)便于聯(lián)網(wǎng)，實現(xiàn)信息資源共享。易于維護(hù)管理，具有廣泛兼容性，同時為適應(yīng)我國實際情況，設(shè)備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。目前,計算機(jī)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互連互通日益增加,都直接或間接與國際互連網(wǎng)連接。因此，系統(tǒng)方案設(shè)計需考慮系統(tǒng)的可靠性、信息安全性和保密性的要求。翔宇實驗中學(xué)校園網(wǎng)設(shè)計方案設(shè)計原則和需求分析，可以方便地進(jìn)行設(shè)備擴(kuò)充和適應(yīng)工程的變化，以及靈活地進(jìn)行軟件版本的更新和升級，保護(hù)用戶的投資。目前，網(wǎng)絡(luò)向多平臺、多協(xié)議、異種機(jī)、異構(gòu)型網(wǎng)絡(luò)共存方向發(fā)展，其目標(biāo)是將不同機(jī)器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類型連成一個可協(xié)同工作的一個整體。所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國際標(biāo)準(zhǔn)，為將來系統(tǒng)的

9、升級、擴(kuò)展打下良好的基礎(chǔ)。采用結(jié)構(gòu)化、模塊化的設(shè)計形式，滿足系統(tǒng)及用戶各種不同的應(yīng)用要求，適應(yīng)業(yè)務(wù)調(diào)整變化。采用的技術(shù)標(biāo)準(zhǔn)必須按照國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)與規(guī)范，保證系統(tǒng)的延續(xù)性和可靠性。滿足系統(tǒng)目標(biāo)與功能目標(biāo)，總體方案設(shè)計合理，滿足用戶的應(yīng)用要求，便于系統(tǒng)維護(hù)，以及系統(tǒng)二次開發(fā)與移植。第二章校園網(wǎng)建設(shè)方案2.1 搭建校園網(wǎng)絡(luò)系統(tǒng)翔宇實驗中學(xué)從地理上分為二大塊：教學(xué)區(qū)和宿舍區(qū)。目前只在教學(xué)區(qū)部分大樓進(jìn)行了聯(lián)網(wǎng)，宿舍區(qū)沒有聯(lián)網(wǎng)。因此，我們需要做的工作是宿舍區(qū)和教學(xué)區(qū)的網(wǎng)絡(luò)互聯(lián)，以及教學(xué)區(qū)的網(wǎng)絡(luò)擴(kuò)展。本方案采用成熟的千兆以太網(wǎng)技術(shù)，采用分層結(jié)構(gòu)的解決方案。整個網(wǎng)絡(luò)設(shè)計的原則為：中心交換機(jī)為整個網(wǎng)絡(luò)的核心

10、，它對整個網(wǎng)絡(luò)的性能、可靠性起決定作用，它連接各個物理子網(wǎng)，管理網(wǎng)絡(luò)內(nèi)信息交換（包括多媒體信息），控制VLAN問訪問，保證信息安全。因此，選用中心交換機(jī)除了提供高速的網(wǎng)絡(luò)連接之外，還具有多種信息的管理控制能力。全部的網(wǎng)絡(luò)設(shè)備均支持高效的Intranet多媒體和多點廣播技術(shù)，為多媒體和多點廣播應(yīng)用等提供端到端的帶寬保證。網(wǎng)絡(luò)采用層次結(jié)構(gòu)，不僅邏輯結(jié)構(gòu)清晰，管理方便；更重要的是大多數(shù)的數(shù)據(jù)流量（主要是同一部門或工作組內(nèi)）的交換在分布層交換機(jī)上直接處理，不經(jīng)中心設(shè)備，節(jié)省主干帶寬，提高利用率。有一定的前瞻性，不僅滿足當(dāng)前網(wǎng)上應(yīng)用，也為向?qū)砀咝阅艿纳壸骱昧藴?zhǔn)備：網(wǎng)絡(luò)具有的伸縮性，升級和擴(kuò)展主要只

11、集中在網(wǎng)絡(luò)中心，添加新的接口模塊，即可實現(xiàn)用戶和信息點的擴(kuò)充，升級模塊即可大量提高主干帶寬；中心配置兩臺多層交換機(jī)，網(wǎng)絡(luò)結(jié)構(gòu)就能連接成高可靠性的、真正的中心交換機(jī)互備份和上聯(lián)線路冗余。配合熱備份路由協(xié)議和熱備份雙服務(wù)器主機(jī)系統(tǒng)，在整個系統(tǒng)內(nèi)消除單點故障，提供高可用性的應(yīng)用服務(wù)系統(tǒng)。虛擬專用網(wǎng)（VPN被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因

12、特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)2.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)地理位置及信息點的數(shù)量和未來覆蓋面擴(kuò)充等多方面原因，將校園網(wǎng)為每個系劃分若干個區(qū)域。劃分區(qū)域主要考慮以下幾個方面：可以減輕中央核心交換機(jī)的負(fù)擔(dān)、管理上方便、便于未來的連接擴(kuò)充。翔宇實驗中學(xué)校園網(wǎng)的拓樸如圖2.1所示：B WE & RTF審 并香甘布三勢即Inreinet現(xiàn)敕幡交圖2.1翔宇實驗中學(xué)校園網(wǎng)的拓樸圖方布展三神機(jī)整個校園網(wǎng)劃分為三個層次：核心層、分布層和接入層。相應(yīng)的交換機(jī)就是核心交換機(jī)、分布層交換機(jī)和接入層交換機(jī)。核心層網(wǎng)絡(luò)選擇千兆

13、以太網(wǎng)。校網(wǎng)絡(luò)中心將放置兩臺高端三層千兆交換機(jī)和一臺邊界路由器。交換機(jī)間的連接要求是高帶寬連接。分布層交換機(jī)要求至少兩路上行鏈路連至兩臺核心層交換機(jī)上，采用快速收斂的路由協(xié)議實現(xiàn)故障切換和負(fù)載均衡，當(dāng)某一鏈路出現(xiàn)意外，也可以從另外一路上連。校內(nèi)各系的匯聚交換機(jī)構(gòu)成，各分布層交換機(jī)放置在各系的網(wǎng)絡(luò)中心，要求至少兩路上行鏈路連至兩臺核心層交換機(jī)上。分布層交換的下連交換機(jī)都為接入層網(wǎng)絡(luò)。2.3 IP地址規(guī)劃本方案采用的地址分配方法利用VLS眼術(shù)，不僅有大量預(yù)留空間，而且本校園網(wǎng)使用OSP路由協(xié)議,有層次的IP地址，易于管理,在邊界路由器上可做匯聚（匯聚成/17網(wǎng)段），減少路由更新大小

14、，提高網(wǎng)絡(luò)性能。如表2.1所示：表2.1翔宇實驗中學(xué)校園網(wǎng)IP地址分配表建筑物設(shè)備IP地址子網(wǎng)掩碼現(xiàn)教樓中心機(jī)房VPNW火墻邊界路由器核心交換機(jī)核心交換機(jī)WEB/FTP艮務(wù)器認(rèn)證服務(wù)器DNS/DHC服務(wù)器用戶教學(xué)樓分布層交換機(jī)255.2

15、55.255.0接入層交換機(jī)AP用戶實驗樓分布層交換機(jī)接入層交換機(jī)AP0用戶圖書館分布層交換機(jī)1接入層交換機(jī)2AP3用戶行政樓

16、分布層交換機(jī)4接入層交換機(jī)一5AP6用戶佰舍樓分布層交換機(jī)7接入層交換機(jī)8AP9用戶2.4 設(shè)備選型本方案中校園網(wǎng)絡(luò)核心層設(shè)備采用CISCOCatalyst6509（SupervisorEngine720*2/電源*2/FWSM*1/IPSecVPN模塊*

17、1/IDSM*1/NAM*1/16口千兆以太網(wǎng)光口板*1/若干5486/48口千兆電口*1,符合IEEE802.3af&PoE）數(shù)量：2臺。CiscoCatalyst6509的優(yōu)點：最長的網(wǎng)絡(luò)正常運行時間-利用平臺、電源、控制引擎、交換矩陣和集成網(wǎng)絡(luò)服務(wù)冗余性提供13秒的狀態(tài)故障切換，提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境，減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷。全面的網(wǎng)絡(luò)安全性-將切實可行的數(shù)千兆位級思科安全解決方案集成到現(xiàn)有網(wǎng)絡(luò)中，包括入侵檢測、防火墻、VPN和SSL可擴(kuò)展性能-利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá)400Mpps的轉(zhuǎn)發(fā)性能。能夠適應(yīng)未來發(fā)展并保護(hù)投資的體系結(jié)構(gòu)-在同一種機(jī)箱中支持三代

18、可互換、可熱插拔的模塊，以提高IT基礎(chǔ)設(shè)施利用率，增大投資回報，并降低總體擁有成本。卓越的服務(wù)集成和靈活性-將安全和內(nèi)容等高級服務(wù)與融合網(wǎng)絡(luò)集成在一起，提供從10/100和10/100/1000以太網(wǎng)到萬兆以太網(wǎng)，從DS0到OC-48的各種接口和密度，并能夠在任何部署項目中端到端執(zhí)行。校園網(wǎng)絡(luò)分布層設(shè)備采用CISCOCatalyst4507R（SupervisorEngineV-10GE*2/電源*2/若干千兆以太網(wǎng)光口板及GBIC/48口千兆電口板*1,符合IEEE802.3af&PoE）數(shù)量：7臺。CiscoCatalyst4506（WithSupervisorV-10GE的優(yōu)點是：136

19、Gbps交換矩陣；102mpps第二層到第四層吞吐率；雙線速萬兆以太網(wǎng)上行鏈路；利用千兆以太網(wǎng)SFP上行鏈路順利移植到萬兆以太網(wǎng)；在交換管理引擎上提供集成式NetFlow,通過基于用戶的速率限制實施精確流量控制；超快速800MHzCPK實現(xiàn)更快的控制平面；最多能夠在Catalyst4510R交換機(jī)中支持384個10/100/1000端口；提供所有CiscoCatalyst集成式安全特性；為提供更加靈活的策略，能夠為每個端口和VLAN實施不同的QoS思科快速轉(zhuǎn)發(fā)能夠防止可變IP信息攻擊。端口安全、DHCP偵聽、ARP檢測和IP源防護(hù)能夠防止黑客從第二層及以上發(fā)動拒絕服務(wù)(DoS攻擊或破壞網(wǎng)絡(luò)。速

20、率限制以出口和入口限速器的方式出現(xiàn)，可以控制每個VLAN的流量，防止DoSC擊。SupervisorEngineV-10GE支持基于用戶的速率限制。802.1 X及其擴(kuò)展性能防止非法用戶和設(shè)備接入網(wǎng)絡(luò)，例如惡意接入點。硬件Netflow可用于主動發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，并采取相應(yīng)措施。它使用的訪問控制列表可在交換端口和路由端口上提供，以便進(jìn)行二到七層流量控制。校園網(wǎng)絡(luò)接入層設(shè)備采用CISCOCatalyst3560(EMI)交換機(jī)，該系列交換機(jī)是一個固定配置、企業(yè)級、IEEE802.3af和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電(PoE)交換機(jī)系列，工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下。CISCOCatalyst35

21、60是一款理想的接入層交換機(jī)，適用于小型企業(yè)布線室或分支機(jī)構(gòu)環(huán)境，結(jié)合了10/100/1000和PoE配置，實現(xiàn)最高生產(chǎn)率和投資保護(hù)，并可部署新應(yīng)用，如IP電話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視頻訪問等?？蛻艨稍谡麄€網(wǎng)絡(luò)范圍中部署智能服務(wù)，如高級QoS、速率限制、訪問控制列表、組播管理和高性能IP路由等，且同時保持傳統(tǒng)LAN交換的簡潔性。思科網(wǎng)絡(luò)助理(networkassistant)在Catalyst3560系列中免費提供，是一個集中管理應(yīng)用，可簡化思科交換機(jī)、路由器和無線接入點的管理任務(wù)。思科網(wǎng)絡(luò)助理提供了配置向?qū)В蟠蠛喕巳诤暇W(wǎng)絡(luò)和智能網(wǎng)絡(luò)服務(wù)的實施；支持增強(qiáng)的802.1x(

22、IBNS)。2.5 網(wǎng)絡(luò)安全設(shè)計翔宇實驗中學(xué)網(wǎng)絡(luò)安全性方案設(shè)計原則是：整個翔宇實驗中學(xué)網(wǎng)絡(luò)必須是一個嚴(yán)密的安全保密體系。采取的安全措施不能影響整個網(wǎng)絡(luò)運行效率。保密設(shè)備要做到管理方便，完善可靠。加密系統(tǒng)具有良好的網(wǎng)絡(luò)兼容性和可擴(kuò)展性，實現(xiàn)防竊取、防篡改、防破壞三大功能。按照國家主管部門對政府辦公網(wǎng)絡(luò)安全保密性的相應(yīng)法規(guī)和規(guī)定，要保障系統(tǒng)內(nèi)部信息的安全，我們主要應(yīng)該做到處理秘密級、機(jī)密級信息的系統(tǒng)與不涉及保密信息的系統(tǒng)實行物理隔離，秘密級、機(jī)密級信息在網(wǎng)絡(luò)上采取加密傳輸。防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與Internet之間的一個或一組系統(tǒng)，用以實施兩個網(wǎng)絡(luò)間的訪問控制和安全策略。狹義上防火墻指安裝了防火

23、墻軟件的主機(jī)或和路由系統(tǒng)；廣義上還包括整個網(wǎng)絡(luò)的安全策略和安全行為。防火墻技術(shù)屬于被動防衛(wèi)型，它通過在網(wǎng)絡(luò)邊界上建立一個網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的，其功能是按照設(shè)定的條件對通過的信息進(jìn)行檢查和過濾。防火墻是實施組織的網(wǎng)絡(luò)安全策略、保護(hù)內(nèi)部信息的第一道屏障，其作用主要有：保護(hù)功能拒絕非授權(quán)訪問、保護(hù)網(wǎng)絡(luò)系統(tǒng)和私人及敏感信息不受侵害。連接功能作為內(nèi)部網(wǎng)絡(luò)與Internet之間的單一連接點。管理功能實施統(tǒng)一的安全策略，檢查網(wǎng)絡(luò)使用情況，進(jìn)行流量控制等。防火墻有三個屬性：所有進(jìn)出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過它；僅被本地安全策略所授權(quán)的數(shù)據(jù)包才能通過它；防火墻本身對攻擊必須具有免疫能力。在翔宇實

24、驗中學(xué)和外網(wǎng)的連接中，我們推薦使用硬件防火墻。比如CISCOASA5510-BUN-K9系列：并發(fā)連接數(shù)130000網(wǎng)絡(luò)吞吐量(Mbps)300安全過濾帶寬170Mbps網(wǎng)絡(luò)端口3+1個管理快速以太網(wǎng)端口、可升級到5個快速以太網(wǎng)端口、1個SSM擴(kuò)展插槽用戶數(shù)限制無用戶數(shù)限制入侵檢測DoS安全標(biāo)準(zhǔn)UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS001控制端口console管理思科安全管理器（CS-Manager）VPNK持選擇該型號是因為價格適中，且功能齊全，較適合本校園網(wǎng)建設(shè)。在內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間之間通過防火墻，建立起一個DMZ區(qū)。與外網(wǎng)關(guān)

25、聯(lián)業(yè)務(wù)的服務(wù)器都可以放在DMZ區(qū)，Internet上的用戶只能到達(dá)DM區(qū)相應(yīng)的服務(wù)器。并且內(nèi)部網(wǎng)絡(luò)到Internet的連接，是通過NAT地址翻譯的方式進(jìn)行，可以充分隱藏和保護(hù)內(nèi)部網(wǎng)絡(luò)和DM區(qū)設(shè)備。防火墻在內(nèi)外網(wǎng)絡(luò)連接中起兩個作用：利用訪問控制列表（AccessControlList,ACD實安全防護(hù)防火墻操作系統(tǒng)IOS通過訪問控制列表（ACL技術(shù)支持包過濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪問列表，可以對數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類型、TCP端口號進(jìn)行控制。這樣，我們就可以在Extranet上建立第一道安全防護(hù)墻，屏蔽對內(nèi)部網(wǎng)Intranet的非法訪

26、問。例如，我們可以通過ACL限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺或幾臺主機(jī)；限制可以被訪問的內(nèi)部主機(jī)的地址；為保證主機(jī)的安全，可以限制外部用戶對主機(jī)的一些危險應(yīng)用如TELNET等。利用地址轉(zhuǎn)換（NetworkAddressTranslation,NAT實現(xiàn)安全保護(hù)防火墻另外一個強(qiáng)大功能就是內(nèi)外地址轉(zhuǎn)換。進(jìn)行IP地址轉(zhuǎn)換由兩個好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP地址，這可以使黑客（hacker）無法直接攻擊內(nèi)部網(wǎng)絡(luò)，因為它不知道內(nèi)部網(wǎng)絡(luò)的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。地址轉(zhuǎn)換（NAT技術(shù)運用在內(nèi)部主機(jī)與外部主機(jī)之

27、間的互相訪問的時候，當(dāng)內(nèi)部訪問者想通過路由器外出時，路由器首先對其進(jìn)行身份認(rèn)證-通過訪問列表（ACL核對其權(quán)限，如果通過，則對其進(jìn)行地址轉(zhuǎn)換，使其以一個對外公開的地址訪問外部網(wǎng)絡(luò)；當(dāng)外部訪問者想進(jìn)入內(nèi)部網(wǎng)時，路由器同樣首先核對其訪問權(quán)限，然后根據(jù)其目的地址（外部公開的地址），將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應(yīng)的內(nèi)部主機(jī)。在翔宇實驗中學(xué)網(wǎng)絡(luò)工程和今后各種應(yīng)用系統(tǒng)的建設(shè)過程中，在局域網(wǎng)上我們可以根據(jù)不同部門、不同業(yè)務(wù)類別劃分VLAN（虛網(wǎng)），通過把不同系統(tǒng)劃分在不同VLAN的方式，將各系統(tǒng)完全隔離，實現(xiàn)對跨系統(tǒng)訪問的控制，既保證了安全性，也提高了可管理性。VLAN（虛網(wǎng)）技術(shù)和VLAN路由技術(shù)VLA

28、N技術(shù)用以實現(xiàn)對整個局域網(wǎng)的集中管理和安全控制。CISCO局域網(wǎng)交換機(jī)的一大優(yōu)勢是具備跨交換機(jī)的VLAN（虛網(wǎng)）劃分和VLAN路由功能。虛網(wǎng)是將一個物理上連接的網(wǎng)絡(luò)在邏輯上完全分開，這種隔離不僅是數(shù)據(jù)訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡(luò)一樣，是一種安全的防護(hù)。通過VLAN路由實現(xiàn)對跨部門訪問的控制，既保證了安全性，也提高了可管理性。Inter-VLANRouting原理每一個VLAN都具有一個標(biāo)識，不同的VLAN標(biāo)識亦不相同，交換機(jī)在數(shù)據(jù)鏈路層上可以識別不同的VLAN標(biāo)識，但不能修改該VLAN標(biāo)識，只有VLANS識相同的端口才能形成橋接，數(shù)據(jù)鏈路層的連接才能建立，因而不同

29、VLAN勺設(shè)備在數(shù)據(jù)鏈路層上是無法連通的。Inter-VLANRouting技術(shù)是在網(wǎng)絡(luò)層將VLANS識進(jìn)行轉(zhuǎn)換，使得不同的VLAN間可以溝通，而此時基于網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層的安全控制手段都可運用，諸如Access-list（訪問列表限制）、FireWall（防火墻）、TACAC阱，Inter-VLANRouting技術(shù)使我們獲得了對不同VLAN間數(shù)據(jù)流動的強(qiáng)有力控制。MAC地址過濾策略在內(nèi)部網(wǎng)中還可以利用Cisco交換機(jī)的MAC地址過濾功能對局域網(wǎng)的訪問提供鏈路層的安全控制。MAC地址過濾能進(jìn)一步實現(xiàn)對局域網(wǎng)的安全控制。CISCO局域網(wǎng)交換機(jī)具有MAC地址過濾功能，通過在交換機(jī)上對每個端

30、口進(jìn)行配置，可以禁止或允許特定MAC地址的源站點或目的站點，從而實現(xiàn)各站點之間的訪問控制。由于每塊網(wǎng)卡有唯一的MAC地址，是固定不變的，只允許特定MAC地址的工作站通過特定的端口進(jìn)行訪問，所以對MAC地址的訪問控制實際上就是對指定工作站這一物理設(shè)備的訪問控制，由于MAC地址的不可改變，與對IP地址的過濾相比，具有更高的安全性。訪問安全控制從確保網(wǎng)絡(luò)訪問的安全出發(fā)，路由器對所有遠(yuǎn)程撥號訪問連接都由Radius設(shè)置AAA（AuthenticationAuthorizationAccount,即認(rèn)證、授權(quán)、記帳）級安全控制，防止非法用戶的訪問。同時，在計費服務(wù)器上，也提供Radius認(rèn)證方式，兩者可

31、以配合使用。（也可以只采用計費服務(wù)器上的Radius認(rèn)證）。具體的實現(xiàn)細(xì)節(jié)如下：在網(wǎng)絡(luò)中配置一臺安裝CiscoSecure軟件的服務(wù)器，CiscoSecure軟件使用Radius（RemoteAuthenticationDial-inUserService）協(xié)議提供對網(wǎng)絡(luò)的安全控制，并對成功連接到網(wǎng)絡(luò)的用戶的操作進(jìn)行記錄。對于遠(yuǎn)程撥號訪問，配置PPP協(xié)議提供的CHAP（ChallengeHandshakeAuthorizationProtocol）認(rèn)證協(xié)議，該協(xié)議是一個基于標(biāo)準(zhǔn)的認(rèn)證服務(wù)，而且在傳輸過程中使用加密保護(hù)，與在傳輸用戶ID和口令時不使用加密的PAP協(xié)議相比，具有更大的安全性，可提供

32、用戶ID和口令在傳輸線上的安全保護(hù)。RADIUS提供的AAA級安全控制首先根據(jù)用戶名和口令識別在本網(wǎng)絡(luò)中是否允許該用戶訪問，從而決定是否建立連接；其次對經(jīng)過認(rèn)證連接到網(wǎng)絡(luò)的用戶授予相應(yīng)的網(wǎng)絡(luò)服務(wù)級別，提供訪問的限制；最后保留用戶在本網(wǎng)絡(luò)中的所有操作記錄（日志），這些記錄的內(nèi)容包括用戶網(wǎng)絡(luò)地址、用戶名、所使用的服務(wù)、日期和時間以及用于計帳的連接時間、連接位置、數(shù)據(jù)傳輸量、開始時間和停止時問等。AAA在Client/Server體系中允許在一個中心數(shù)據(jù)庫中存儲所有的安全息，在一臺裝有CiscoSecure軟件的安全服務(wù)器上通過對數(shù)據(jù)庫的修改和維護(hù)就可方便地對整個系統(tǒng)進(jìn)行很好的安全控制。CiscoS

33、ecure軟件由一個Daemon和一個GUI兩部分組成。Daemon的操作依賴于兩個文件，一個用于定義所有的系統(tǒng)參數(shù)的控制文件和一個包含了網(wǎng)絡(luò)用戶所有認(rèn)證和授權(quán)信息的數(shù)據(jù)庫文件。GUI提供給系統(tǒng)管理員用于維護(hù)認(rèn)證和授權(quán)信息等，網(wǎng)絡(luò)用戶可被分配到具有一系列相同參數(shù)的組，GUI使系統(tǒng)管理員能夠修改網(wǎng)絡(luò)中任一組和任一用戶的認(rèn)證和授權(quán)參數(shù)。2.6 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計網(wǎng)絡(luò)管理性能是衡量一個網(wǎng)絡(luò)系統(tǒng)性能高低的重要因素之一。網(wǎng)絡(luò)管理系統(tǒng)完成設(shè)置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)運行、保障網(wǎng)絡(luò)安全，查找并隔離網(wǎng)絡(luò)故障，記錄網(wǎng)絡(luò)中的各種事件以及劃分虛擬網(wǎng)絡(luò)等功能。總之，對所有網(wǎng)絡(luò)上的信息進(jìn)行統(tǒng)一管理。網(wǎng)管通常結(jié)合硬件和軟件的手段

34、來實施，對不同的拓?fù)浣Y(jié)構(gòu)及不同的物理和邏輯部分進(jìn)行監(jiān)控和分析。OSI定義網(wǎng)管系統(tǒng)支持傳統(tǒng)五大網(wǎng)管功能：故障管理、配置管理、計費管理、安全管理以及性能管理。這些管理功能由網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)設(shè)備共同完成。結(jié)合校園網(wǎng)的實際情況，我們認(rèn)為，安全管理與計費管理可以由網(wǎng)絡(luò)管理模塊配合專用的軟（硬）件管理產(chǎn)品來共同實現(xiàn)，網(wǎng)絡(luò)管理的主要任務(wù)應(yīng)落實在故障管理、配置管理和性能管理這三個方面。1、配置管理網(wǎng)絡(luò)節(jié)點插板、端口和冗余結(jié)構(gòu)的配置和管理；網(wǎng)絡(luò)節(jié)點訪問口令的設(shè)置和更改。2、性能管理可以實時連續(xù)地收集網(wǎng)絡(luò)運行的相關(guān)數(shù)據(jù)，可用數(shù)字和圖形的方式顯示網(wǎng)絡(luò)運行的各種情況以及重要程度，需要時可發(fā)布指令到各節(jié)點，進(jìn)行網(wǎng)絡(luò)控制；

35、可從相關(guān)節(jié)點收集業(yè)務(wù)量數(shù)據(jù)，進(jìn)行統(tǒng)計、分類、記錄歸擋。使用這些信息為網(wǎng)絡(luò)建設(shè)提供規(guī)劃設(shè)計依據(jù)。3、故障管理能實時監(jiān)視故障信息，并對其統(tǒng)計分析；可形成節(jié)點、中繼線及用戶端口的告警產(chǎn)生、告警內(nèi)容和告警消除的統(tǒng)計報告?？蓪崟r修改狀態(tài)圖以反映此故障。校園網(wǎng)網(wǎng)絡(luò)設(shè)備較多但網(wǎng)絡(luò)結(jié)構(gòu)簡單，管理人員不多，比較適合采用集中的管理模式，即由一臺網(wǎng)管主機(jī)（或者備份主機(jī)）對整個網(wǎng)絡(luò)環(huán)境進(jìn)行綜合管理，不需要添加二級管理設(shè)備，管理結(jié)構(gòu)簡單，已于維護(hù)管理。通過仔細(xì)分析校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，在主要管理產(chǎn)品選型上我們建議采用Cisco公司基于WINDOWS2000的CiscoWorks2000網(wǎng)管軟件實現(xiàn)對整個網(wǎng)絡(luò)設(shè)備的管理。網(wǎng)

36、絡(luò)管理是對網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進(jìn)行有效的監(jiān)視、控制、診斷和測試所采用的技術(shù)和方法。網(wǎng)絡(luò)管理系統(tǒng)的概念模型主要由管理者、管理代理和被管對象等實體及其相互作用組成?；赟NMPSimpleNetworkManagementProtocol）的網(wǎng)絡(luò)管理系統(tǒng)SNMP由IETF提出，主要是為基于TCP/IP的互連網(wǎng)設(shè)計的，現(xiàn)在已經(jīng)被其它協(xié)議實現(xiàn)，如IPX/SPX,DECNETZ及APPLETALK,它的主要標(biāo)準(zhǔn)由一系列RFC組成，并得到了網(wǎng)絡(luò)廠商的廣泛支持，成為網(wǎng)絡(luò)管理方面事實上的標(biāo)準(zhǔn)。目前基于SNMP勺網(wǎng)絡(luò)管理系統(tǒng)已廣泛應(yīng)用于Internet。這里建議采用CiscoWork能件，因為該軟件基于W

37、EB面管理，操作簡便，功能齊全，而且是基于標(biāo)準(zhǔn)的多廠商管理軟件。在實際環(huán)境中，管理者的功能由安裝在網(wǎng)絡(luò)管理中心的網(wǎng)管工作站上的一系列網(wǎng)管軟件完成，它負(fù)責(zé)管理主機(jī)、局域網(wǎng)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)與應(yīng)用和與之相聯(lián)的下級單位的廣域網(wǎng)、局域網(wǎng)等設(shè)備，被管對象指網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)資源。管理者負(fù)責(zé)接收來自上述各級節(jié)點發(fā)送的網(wǎng)絡(luò)管理信息，并對相關(guān)事件進(jìn)行處理。應(yīng)用服務(wù)的管理可以采用專用的服務(wù)管理軟件，針對不同的應(yīng)用服務(wù)，進(jìn)行專業(yè)的監(jiān)控管理。目前，業(yè)界對各種應(yīng)用服務(wù)的管理基本上都有成熟的解決方案。應(yīng)用服務(wù)的狀態(tài)監(jiān)控主要體現(xiàn)在三個方面：服務(wù)器狀態(tài)的監(jiān)控：主要包括服務(wù)器的各個性能參數(shù)。可以采用專用的系統(tǒng)管理模塊對各個性能參數(shù)

38、分別監(jiān)控、統(tǒng)一管理。應(yīng)用程序狀態(tài)的監(jiān)控：包括各個關(guān)鍵服務(wù)的關(guān)鍵應(yīng)用進(jìn)程的健康情況。視需監(jiān)控的程度和經(jīng)費狀況，可以選用專用的監(jiān)控模塊或統(tǒng)一的進(jìn)程監(jiān)控模塊。網(wǎng)絡(luò)狀態(tài)的監(jiān)控：通過上面的網(wǎng)絡(luò)管理模塊即可實現(xiàn)對整個網(wǎng)絡(luò)系統(tǒng)可用性的統(tǒng)一監(jiān)控。考慮到校園網(wǎng)目前的管理人員比較少，管理任務(wù)相對較多的特點，對以上各個應(yīng)用服務(wù)的管理及網(wǎng)絡(luò)管理，我們可以采用統(tǒng)一的事件控制平臺來匯總管理，實現(xiàn)集中化控制、單窗口管理。并且利用事件控制平臺自身的特點，實現(xiàn)報警事件的集成、過濾、關(guān)聯(lián)和自動化處理。事件管理平臺收集并集成來自網(wǎng)絡(luò)環(huán)境中任何重要的信息源的消息，通過內(nèi)置的過濾關(guān)聯(lián)機(jī)制，將有效的消息分組分級別的統(tǒng)一呈現(xiàn)在管理員面前。

39、另外，應(yīng)用監(jiān)控系統(tǒng)能夠利用保存的歷史監(jiān)控數(shù)據(jù)，生成各種可用性及趨勢報表，為下一步的投資改造決策作參考。第三章網(wǎng)絡(luò)應(yīng)用解決方案3.1綜合辦公自動化系統(tǒng)翔宇實驗中學(xué)OA系統(tǒng)整體設(shè)計目標(biāo)是：利用現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)及Internet技術(shù)等為基礎(chǔ)建立起來的計算機(jī)網(wǎng)絡(luò)，聯(lián)接教學(xué)內(nèi)部網(wǎng)絡(luò)的教學(xué)樓子網(wǎng)及分散于各功能樓、宿舍樓的計算機(jī)，通過網(wǎng)絡(luò)管理中心的服務(wù)器群組為所有計算機(jī)提供例如登錄服務(wù)，文件/打印共享/Email服務(wù)，及教學(xué)、科研、整體管理、校務(wù)服務(wù)、遠(yuǎn)程教學(xué)等傳統(tǒng)應(yīng)用服務(wù)，提供經(jīng)濟(jì)類文獻(xiàn)的查詢、地方經(jīng)濟(jì)信息的發(fā)布、經(jīng)濟(jì)類的網(wǎng)上咨詢等。根據(jù)教育部“統(tǒng)一規(guī)劃，相互協(xié)調(diào)”的原則，實現(xiàn)學(xué)院行政部門和學(xué)院辦

40、公業(yè)務(wù)的電子化、自動化和網(wǎng)絡(luò)化，使教育行政管理、應(yīng)急指揮和快速反應(yīng)的能力進(jìn)一步提高，高效率、高質(zhì)量地為學(xué)院教育行政部門和學(xué)院的管理和決策服務(wù)。實現(xiàn)學(xué)院內(nèi)部資源高度共享；提高教育技術(shù)的現(xiàn)代化水平和教育信息化程度；為學(xué)院培養(yǎng)創(chuàng)新人才提供信息平臺，提高學(xué)生收集處理信息的能力、獲取新知識的能力、分析和解決問題的能力、語言文字表達(dá)能力以及團(tuán)結(jié)協(xié)作和社會活動的能力。在認(rèn)真總結(jié)和分析了學(xué)校的校園網(wǎng)應(yīng)用系統(tǒng)的需求，提供了極具特色的高校校園網(wǎng)應(yīng)用解決方案，主要包括公文管理系統(tǒng)、信息發(fā)布系統(tǒng)、會議管理系統(tǒng)、信息交換系統(tǒng)、個人信息系統(tǒng)、信息資源庫、檔案管理子系統(tǒng)、公共信息管理子系統(tǒng)、電子論壇、日常事務(wù)管理、領(lǐng)導(dǎo)信息

41、查詢子系統(tǒng)、圖書管理子系統(tǒng)、教學(xué)管理子系統(tǒng)、高考多功能查詢系統(tǒng)、郵件系統(tǒng)等十幾個模塊。操作簡單；性能安全可靠；雙向復(fù)制功能；綜合查詢功能；支持移動辦公；靈活的伸縮性；支持多系統(tǒng)共存；動態(tài)權(quán)限配置；通用的公文審批流程、打印格式；工作流程靈活定制；強(qiáng)大的版本跟蹤、痕跡保留技術(shù)。第四章網(wǎng)絡(luò)的綜合布線系統(tǒng)4.1 綜合布線標(biāo)準(zhǔn)所謂綜合布線系統(tǒng)，是指按標(biāo)準(zhǔn)的、統(tǒng)一的和簡單的結(jié)構(gòu)化方式規(guī)劃和布置各種建筑物(或建筑群)內(nèi)各種系統(tǒng)的通信線咱，包括網(wǎng)絡(luò)系統(tǒng)、電話系統(tǒng)、監(jiān)控系統(tǒng)、電源系統(tǒng)和照明系統(tǒng)等。因此，綜合布線系統(tǒng)是一種標(biāo)準(zhǔn)通用的信息傳輸系統(tǒng)。標(biāo)準(zhǔn)化組織：北美的標(biāo)準(zhǔn)EIA/TIA568A國際ISO標(biāo)準(zhǔn),即ISO

42、/IEC11801IEEE802.3100/1000Base-T、100Base-FIEEE802.5TokenRing中國建筑電信設(shè)計規(guī)范工業(yè)企業(yè)通信設(shè)計規(guī)范4.2 設(shè)計范圍及要求設(shè)計目標(biāo)的確定我們?yōu)樵撈髽I(yè)網(wǎng)絡(luò)設(shè)計的綜合布線系統(tǒng)將基于以下目標(biāo)：1 .符合當(dāng)前和長遠(yuǎn)的信息傳輸要求。2 .布線系統(tǒng)設(shè)計遵從國際(ISO/CEI11801)標(biāo)準(zhǔn)。3 .布線系統(tǒng)采用國際標(biāo)準(zhǔn)建議的星形拓?fù)浣Y(jié)構(gòu)。4 .考慮網(wǎng)絡(luò)連接到桌面的速度100Mbps網(wǎng)絡(luò)主干信息傳輸向100切K發(fā)展的1W-05 .布線系統(tǒng)的信息出口采用國際標(biāo)準(zhǔn)的RJ451座。6 .布線系統(tǒng)符合綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)的要求。7 .布線系統(tǒng)要立足開放原則。4.

43、3 布線的實施系統(tǒng)結(jié)構(gòu)，根據(jù)企業(yè)的具體情況，采用以下方案：采用集中結(jié)構(gòu)，整個辦公區(qū)的所有雙絞線都拉到機(jī)房中。雙絞線直接端接在機(jī)柜內(nèi)的模塊化配線架上。材料選型，考慮到主干網(wǎng)絡(luò)采用千兆以太網(wǎng)的要求，所以，方案中網(wǎng)絡(luò)選用超5類雙絞線。布線要求，布線標(biāo)準(zhǔn)選用超5類線產(chǎn)品，每個工作位是一個雙孔插座：一個電腦插座，一個電話插座（個別工作站設(shè)雙語音插口）。機(jī)柜端采用朗訊48口模塊式配線架。電話與電腦可任意互換。布線系統(tǒng)管槽設(shè)計管線鋪設(shè)建議：1 .由于安裝的是非屏蔽雙絞線，對接地要求不高，建議在與機(jī)柜相連的主線槽處接地。2 .本區(qū)域需要線槽的規(guī)格是這樣來確定的：線槽的橫截面積留40%勺富余量以備擴(kuò)充，超5類雙

44、絞線的橫截面積為0.3平方厘米。3 .線槽安裝時，應(yīng)注意與強(qiáng)電線槽的隔離。布線系統(tǒng)應(yīng)避免與強(qiáng)電線路在無屏蔽、距離小于20cm青況下平行走3米以上。如果無法避免，該段線槽需采取屏蔽隔離措施。4 .進(jìn)入家具的電纜管線由最近的吊頂線槽沿隔墻下到地面，并從地面鎮(zhèn)槽埋管到家具隔斷下。5 .管槽過渡、接口不應(yīng)該有毛刺，線槽過渡要平滑。6 .線管超過兩個彎頭必須留分線盒。7 .墻裝底盒安裝應(yīng)該距地面30厘米以上，并與其他底盒保持等高、平行。8 .線管采用鍍鋅薄壁鋼管或PVC%工作區(qū)子系統(tǒng)由終端設(shè)備連接到信息插座的連線，以及信息插座所組成。信息點由標(biāo)準(zhǔn)RJ451座構(gòu)成。信息點數(shù)量應(yīng)根據(jù)工作區(qū)的實際功能及需求確

45、定，并預(yù)留適當(dāng)數(shù)量的冗余。例：對于一個辦公區(qū)內(nèi)的每個辦公點可配置23個信息點，此外應(yīng)為此辦公區(qū)配置35個專用信息點用于工作組服務(wù)器、網(wǎng)絡(luò)打印機(jī)、傳真機(jī)、視頻會議等等。若此辦公區(qū)為商務(wù)應(yīng)用則信息點的帶寬為100皿滿足要求；若此辦公區(qū)為技術(shù)開發(fā)應(yīng)用則每個信息點應(yīng)為交換式100Mtt至是光纖信息點。工作區(qū)的終端設(shè)備（如：電話機(jī)、傳真機(jī)）可用康寧公司FutureCom超五類或六類雙絞線直接與工作區(qū)內(nèi)的每一個信息插座相連接，或用適配器（如ISDN終端設(shè)備）、平衡/非平衡轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換連接到信息插座上。水平子系統(tǒng)主要是實現(xiàn)信息插座和管理子系統(tǒng)，即中間配線架（IDF）間的連接。水平子系統(tǒng)指定的拓?fù)浣Y(jié)構(gòu)為星形

46、拓?fù)?。水平干線的設(shè)計包括水平子系統(tǒng)的傳輸介質(zhì)與部件集成。選擇水平子系統(tǒng)的線纜，要根據(jù)建筑物內(nèi)具體信息點的類型、容量、帶寬和傳輸速率來確定。在水平子系統(tǒng)中推薦采用的雙絞電纜及光纖型號為：康寧公司FutureCom超五類或六類非屏蔽雙絞線，F(xiàn)utureLink室內(nèi)單?；蚨嗄９饫w。雙絞線水平布線鏈路中，水平電纜的最大長度為90m若使用100QUT雙絞線作為水平子系統(tǒng)的線纜，可根據(jù)信息點類型的不同采用不同類型的電纜，例如對于語音信息點和數(shù)據(jù)信息點可采用FutureCom超五類或六類雙絞線，甚至使用FutureLink光纜；對于電磁干擾嚴(yán)重的場合應(yīng)盡量采用康寧公司FutureCom類屏蔽雙絞線。但是從系

47、統(tǒng)的兼容性和信息點的靈活互換性角度出發(fā)，建議水平子系統(tǒng)采用同一種布線材料。管理子系統(tǒng)由互連和輸入/輸出組成，實現(xiàn)配線管理，為連接其它子系統(tǒng)提供手段。包括配線架、跳線設(shè)備及光配線架等組成設(shè)備。設(shè)計管理子系統(tǒng)時，必需了解線路的基本設(shè)計原理，合理配置各子系統(tǒng)的部件。康寧公司的LANscap繪合布線解決方案擁有搭配科學(xué)、管理簡便的成套產(chǎn)品用于管理子系統(tǒng)。干線子系統(tǒng)指提供建筑物的主干電纜的路由，是實現(xiàn)主配線架與中間配線架，計算機(jī)、PBX控制中心與各管理子系統(tǒng)間的連接。干線傳輸電纜的設(shè)計必須既滿足當(dāng)前的需要，又適應(yīng)今后的發(fā)展。干線子系統(tǒng)布線走向應(yīng)選擇干線線纜最短、最安全和最經(jīng)濟(jì)的路由。干線子系統(tǒng)在系統(tǒng)設(shè)計

48、施工時，應(yīng)預(yù)留一定的線纜做冗余信道，這點對于綜合布線系統(tǒng)的可擴(kuò)展性和可靠性來說是十分重要的。干線子系統(tǒng)可以使用的線纜主要有：HAYE類大對數(shù)電纜；FutureCom超五類或六類雙絞線；FutureLink室內(nèi)單模或多模光纖。超五類雙絞線可以支持1000BASRT,但如要求支持1000BAS匚TXM必須使用六類雙絞線。如果已安裝的電纜僅滿足5類線標(biāo)準(zhǔn)（1995），那么在連接1000BASE-T設(shè)備之前，應(yīng)對布線系統(tǒng)按照新增加的布線參數(shù)（如：回波損耗，等級遠(yuǎn)端用擾（ELFEXT,傳播延遲和延時畸變等）進(jìn)行測量和認(rèn)證。設(shè)備間子系統(tǒng)由設(shè)備室的電纜、連接器和相關(guān)支持硬件組成，把各種公用系統(tǒng)設(shè)備互連起來。設(shè)備間的主要設(shè)備有數(shù)字程控交換機(jī)、計算機(jī)網(wǎng)絡(luò)設(shè)備、服務(wù)器、樓宇自控設(shè)備主機(jī)等等。它們可以放