高校數(shù)字化校園-網(wǎng)絡(luò)系統(tǒng)建設(shè)方案

1、PAGE PAGE 2高校數(shù)字化校園網(wǎng)絡(luò)系統(tǒng)建設(shè)方案(詳細(xì)規(guī)劃)目 錄 TOC o 1-3 h z u HYPERLINK l _Toc38645817 第1章網(wǎng)絡(luò)系統(tǒng)建設(shè) PAGEREF _Toc38645817 h 2 HYPERLINK l _Toc38645818 1.1校園網(wǎng)需求分析與設(shè)計(jì)規(guī)劃 PAGEREF _Toc38645818 h 2 HYPERLINK l _Toc38645819 1.1.1校園網(wǎng)設(shè)計(jì)需求 PAGEREF _Toc38645819 h 2 HYPERLINK l _Toc38645820 1.1.2網(wǎng)絡(luò)建設(shè)規(guī)劃及分析 PAGEREF _Toc3864582

2、0 h 4 HYPERLINK l _Toc38645821 1.2網(wǎng)絡(luò)方案總體設(shè)計(jì) PAGEREF _Toc38645821 h 9 HYPERLINK l _Toc38645822 1.2.1主干網(wǎng)絡(luò)技術(shù)選型 PAGEREF _Toc38645822 h 9 HYPERLINK l _Toc38645823 1.2.2核心網(wǎng)絡(luò)方案設(shè)計(jì) PAGEREF _Toc38645823 h 9 HYPERLINK l _Toc38645824 1.2.3匯聚交換機(jī)的建設(shè) PAGEREF _Toc38645824 h 12 HYPERLINK l _Toc38645825 1.2.4接入交換機(jī)的建設(shè)（

3、CISCO產(chǎn)品方案） PAGEREF _Toc38645825 h 12 HYPERLINK l _Toc38645826 1.2.5接入交換機(jī)的建設(shè)(華為產(chǎn)品方案) PAGEREF _Toc38645826 h 13 HYPERLINK l _Toc38645827 1.2.6主干網(wǎng)絡(luò)可靠性考慮 PAGEREF _Toc38645827 h 13 HYPERLINK l _Toc38645828 1.2.7INTERNET訪問設(shè)計(jì) PAGEREF _Toc38645828 h 13 HYPERLINK l _Toc38645829 1.2.8路由協(xié)議設(shè)計(jì) PAGEREF _Toc386458

4、29 h 14 HYPERLINK l _Toc38645830 1.2.9無線接入設(shè)計(jì) PAGEREF _Toc38645830 h 15 HYPERLINK l _Toc38645831 1.2.10網(wǎng)絡(luò)管理 PAGEREF _Toc38645831 h 17 HYPERLINK l _Toc38645832 1.3安全性設(shè)計(jì) PAGEREF _Toc38645832 h 19 HYPERLINK l _Toc38645833 1.3.1本地主機(jī)系統(tǒng)的安全考慮 PAGEREF _Toc38645833 h 20 HYPERLINK l _Toc38645834 1.3.2內(nèi)部網(wǎng)安全控制 P

5、AGEREF _Toc38645834 h 20 HYPERLINK l _Toc38645835 1.4網(wǎng)絡(luò)設(shè)計(jì)分析 PAGEREF _Toc38645835 h 21 HYPERLINK l _Toc38645836 1.4.1高性能、高帶寬的網(wǎng)絡(luò)主干 PAGEREF _Toc38645836 h 21 HYPERLINK l _Toc38645837 1.4.2可靠性設(shè)計(jì) PAGEREF _Toc38645837 h 22 HYPERLINK l _Toc38645838 1.4.3網(wǎng)絡(luò)的安全性設(shè)計(jì) PAGEREF _Toc38645838 h 23 網(wǎng)絡(luò)系統(tǒng)建設(shè)校園網(wǎng)需求分析與設(shè)計(jì)規(guī)劃

6、校園網(wǎng)設(shè)計(jì)需求通過對(duì)校園網(wǎng)需求的研究，結(jié)合對(duì)用戶網(wǎng)絡(luò)的考慮，我們認(rèn)為校園網(wǎng)應(yīng)具備以下特性才能夠滿足需求，并保證建成后的網(wǎng)絡(luò)在一個(gè)較長(zhǎng)的時(shí)間內(nèi)具有較強(qiáng)的可用性和一定的先進(jìn)性。高可用性與先進(jìn)性校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)要求組建萬兆主干網(wǎng)絡(luò)，具有極高的數(shù)據(jù)通信能力和足夠的帶寬；并在主干網(wǎng)上提供較強(qiáng)的可擴(kuò)展性。為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)應(yīng)有較高的網(wǎng)絡(luò)主干速度。網(wǎng)絡(luò)設(shè)備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡(luò)高吞吐能力，滿足各種應(yīng)用（如：視頻會(huì)議系統(tǒng)）對(duì)網(wǎng)絡(luò)帶寬的需求；在各部門的工作組中采用交換技術(shù)，以保證在工作中網(wǎng)絡(luò)的快速響應(yīng)速度，用于提供較高的工作效率。高可靠性網(wǎng)絡(luò)要求具有高可靠性，高穩(wěn)

7、定性和足夠的冗余，提供拓?fù)浣Y(jié)構(gòu)及核心設(shè)備的冗余和備份，為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由；在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，設(shè)備在發(fā)生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)進(jìn)行恢復(fù)，把故障對(duì)網(wǎng)絡(luò)系統(tǒng)的影響減少到最小，避免由于網(wǎng)絡(luò)故障造成用戶損失。網(wǎng)絡(luò)主干交換機(jī)等網(wǎng)絡(luò)結(jié)點(diǎn)關(guān)鍵設(shè)備必須具備一定的容錯(cuò)能力。關(guān)鍵結(jié)點(diǎn)設(shè)備運(yùn)行中出現(xiàn)故障后，能夠有效、及時(shí)地進(jìn)行故障恢復(fù)；要求結(jié)點(diǎn)設(shè)備的設(shè)置、恢復(fù)過程必須在短時(shí)間內(nèi)迅速完成。基本配置的終端方式操作要簡(jiǎn)單，結(jié)點(diǎn)內(nèi)部的配置內(nèi)容可以通過筆記本電腦采用TCP/IP協(xié)議下載保存、或是上載恢復(fù)。安全性校園網(wǎng)網(wǎng)絡(luò)

8、作為一個(gè)支持眾多用戶、并同時(shí)和INTERNET / CERNET存在連接的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全性在整個(gè)網(wǎng)絡(luò)中是個(gè)很重要的問題，我們應(yīng)該采用一定手段控制網(wǎng)絡(luò)的安全性，以保證網(wǎng)絡(luò)正常運(yùn)行。網(wǎng)絡(luò)中應(yīng)采取多種技術(shù)從內(nèi)部和外部同時(shí)控制用戶對(duì)網(wǎng)絡(luò)資源的訪問?？梢杂蒙矸菡J(rèn)驗(yàn)證、VLAN劃分等技術(shù)有效地控制內(nèi)部用戶的行為，比如杜絕對(duì)IP地址的盜用和偵聽用戶口令等，同時(shí)也能夠利用防火墻控制外部人員對(duì)網(wǎng)絡(luò)的訪問；網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保密性，能夠防止非法侵入和信息泄漏?？晒芾硇詮?qiáng)有力的網(wǎng)管軟件是有效地進(jìn)行網(wǎng)絡(luò)管理的助手，網(wǎng)管軟件應(yīng)能夠支持對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)備級(jí)和系統(tǒng)級(jí)的管理，并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備的管理及

9、配置。靈活的設(shè)置每個(gè)用戶對(duì)Internet訪問功能，能夠?qū)γ總€(gè)用戶實(shí)行管理；并且能夠?qū)崿F(xiàn)復(fù)雜的計(jì)費(fèi)管理。可擴(kuò)充性隨著用戶應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過渡到新的技術(shù)和設(shè)備，保證用戶現(xiàn)有的投資。某大學(xué)的主干設(shè)備全部采用機(jī)柜式主交換機(jī)，保障了網(wǎng)絡(luò)的可擴(kuò)充性。VLAN劃分根據(jù)校園網(wǎng)的實(shí)際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個(gè)邏輯子網(wǎng)內(nèi)。網(wǎng)絡(luò)站點(diǎn)的增減，人員的變動(dòng)，無論從網(wǎng)絡(luò)管理，還是用戶的角度來講，都需要虛擬網(wǎng)技術(shù)的支持。虛擬網(wǎng)可以建立不受物理區(qū)域限制的，覆蓋整個(gè)校園的相互具有一定獨(dú)立性的邏輯子

10、網(wǎng)，各邏輯子網(wǎng)間廣播報(bào)文相互隔離并通過第三層的訪問控制設(shè)置實(shí)現(xiàn)可管理的子網(wǎng)間的互相訪問。因此在網(wǎng)絡(luò)主干中要支持三層交換及VLAN劃分。根據(jù)管理以及各部門智能的分配或用戶定義的其它策略進(jìn)行相應(yīng)的VLAN的靈活劃分，在整個(gè)網(wǎng)絡(luò)中使用虛擬網(wǎng)技術(shù)，以提高網(wǎng)絡(luò)的安全性和靈活性。網(wǎng)絡(luò)中心設(shè)備和骨干設(shè)備能夠提供線速的VLAN之間的路由和高性能的第三層的數(shù)據(jù)包的處理。多層交換技術(shù)通過三層交換技術(shù)，特別是基于硬件的第三層交換，可以避免不同的網(wǎng)段或VLAN之間訪問時(shí)，由于路由效率的影響而產(chǎn)生的傳輸效率影響。對(duì)于一個(gè)應(yīng)用，當(dāng)?shù)谝粋€(gè)數(shù)據(jù)包發(fā)送到交換機(jī)時(shí)，通過路由設(shè)備進(jìn)行轉(zhuǎn)發(fā)，同時(shí)在專用芯片中存入有關(guān)的信息，使得后來的

11、所有數(shù)據(jù)包均無需通過路由設(shè)備再次處理，而直接由交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。這樣就可以充分的利用交換機(jī)的包處理能力，實(shí)現(xiàn)真正的線速交換。同時(shí)，由于三層交換技術(shù)的引進(jìn)，大大減輕了中心路由設(shè)備的工作壓力，使之不再需要將大量的CPU處理能力花在重復(fù)性的數(shù)據(jù)轉(zhuǎn)發(fā)工作上，從而可以承擔(dān)更為復(fù)雜且重要的工作。多播技術(shù)和多媒體支持校園網(wǎng)要求具有數(shù)據(jù)，圖像，話音等多媒體實(shí)時(shí)通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對(duì)帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。整個(gè)網(wǎng)絡(luò)在服務(wù)質(zhì)量(QoS)、預(yù)留寬帶設(shè)置、合理進(jìn)行帶寬管理方面應(yīng)提供優(yōu)良的品質(zhì)。IP組播技術(shù)有其獨(dú)特

12、的優(yōu)越性在組播網(wǎng)絡(luò)中，即使用戶數(shù)量成倍增長(zhǎng)，主干帶寬不需要隨之增加。網(wǎng)絡(luò)建設(shè)規(guī)劃及分析網(wǎng)絡(luò)系統(tǒng)整體規(guī)劃在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)中，為建設(shè)“數(shù)字化校園”，必須貫徹“整體規(guī)劃、分布實(shí)施、逐步升級(jí)”的思路，對(duì)校園網(wǎng)逐步進(jìn)行逐步完善。在校園網(wǎng)的規(guī)劃中，整個(gè)系統(tǒng)將來要達(dá)到1500020000信息點(diǎn)的規(guī)模。這就要求在進(jìn)行校園網(wǎng)初期網(wǎng)絡(luò)建設(shè)中，校園網(wǎng)的主干節(jié)點(diǎn)必須要考慮足夠的余量，以保障將來網(wǎng)絡(luò)的擴(kuò)展。在校園網(wǎng)的對(duì)外接入方面，可以考慮配置高性能路由器以接入CERNET和INTERNET，并配置高性能防火墻以保障校園網(wǎng)的安全。同時(shí)，需要建立撥號(hào)訪問服務(wù)器以提供對(duì)在校園網(wǎng)外部用戶對(duì)內(nèi)網(wǎng)的訪問功能。網(wǎng)絡(luò)規(guī)劃分析在計(jì)算

13、機(jī)網(wǎng)絡(luò)系統(tǒng)的總體建設(shè)中，我們可以將分為三個(gè)層次。1）在圖文信息中心建設(shè)的雙核心網(wǎng)絡(luò)，兩太主交換機(jī)分別以單模千兆方式連接二級(jí)交換中心，并建立校區(qū)的數(shù)據(jù)中心和各類應(yīng)用軟件服務(wù)系統(tǒng)；2）在校園網(wǎng)中設(shè)立四個(gè)匯聚中心，通過單模光纖以萬兆速率接入到信息中心主交換機(jī)并通過環(huán)網(wǎng)結(jié)構(gòu)將4個(gè)二級(jí)核心交換機(jī)互聯(lián)；向下以千兆方式接入到各個(gè)接入樓宇；2）在各樓層內(nèi)部通過對(duì)接入交換機(jī)進(jìn)行堆疊或千兆級(jí)連，實(shí)現(xiàn)所有接入交換機(jī)千兆上連，百兆接入桌面信息點(diǎn)。主干設(shè)備負(fù)責(zé)對(duì)園區(qū)網(wǎng)內(nèi)的所有數(shù)據(jù)進(jìn)行高速轉(zhuǎn)發(fā)，為數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器群之間大容量信息交換提供有效的高速通道，主干網(wǎng)絡(luò)如果出現(xiàn)故障，整個(gè)校園網(wǎng)就會(huì)全部癱瘓。因此，在主干交換

14、機(jī)選性方面，對(duì)交換機(jī)的安全性、可靠性、穩(wěn)定性、可擴(kuò)展型等方面都有相當(dāng)高的要求。為保證網(wǎng)絡(luò)中心節(jié)點(diǎn)的高可靠性和可用性，可以考慮采用兩臺(tái)主交換機(jī)分別作為主備方式接入網(wǎng)絡(luò)，將核心網(wǎng)絡(luò)的平均無故障時(shí)間提高到99.999%以上，基本可以保障網(wǎng)絡(luò)實(shí)現(xiàn)全年不間斷的順暢連通。核心網(wǎng)絡(luò)產(chǎn)品分析目前主流的高端網(wǎng)絡(luò)設(shè)備廠商包括Cisco、Extreme、Cabletron、Nortel等，各個(gè)廠家均有一定的市場(chǎng)份額，而且各家的產(chǎn)品也有各自優(yōu)勢(shì)所在。CISCO公司是目前世界上排名第一的網(wǎng)絡(luò)設(shè)備和解決方案供應(yīng)商，生產(chǎn)的三大系列產(chǎn)品：ATM交換機(jī)、多協(xié)議路由器和LAN交換機(jī)產(chǎn)品，掌握著計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)系統(tǒng)全球市場(chǎng)的50以上，

15、CISCO在行業(yè)中的領(lǐng)袖地位越來越明顯。它具有強(qiáng)大的技術(shù)開發(fā)隊(duì)伍和網(wǎng)絡(luò)專家共同為網(wǎng)絡(luò)產(chǎn)品的走向把脈，并實(shí)時(shí)地提出具有世界領(lǐng)先的技術(shù)，領(lǐng)導(dǎo)網(wǎng)絡(luò)新潮流。例如CISCO的DPT技術(shù)將被采納為新一代的網(wǎng)絡(luò)技術(shù)，并且已經(jīng)得到了較好的應(yīng)用。 CISCO公司的獨(dú)特優(yōu)勢(shì)在于其創(chuàng)造的網(wǎng)際網(wǎng)互聯(lián)操作系統(tǒng)(IOS)，它可以將所有CISCO產(chǎn)品平滑地聯(lián)接成一體，同時(shí)給用戶提供一個(gè)可支持任意硬件界面、任意鏈路層、網(wǎng)絡(luò)層協(xié)議的可擴(kuò)展的開放型網(wǎng)絡(luò)。目前，不僅所有CISCO公司的產(chǎn)品都融入了IOS技術(shù)，許多第三方合作伙伴也在其產(chǎn)品中使用了 IOS技術(shù)，因此， IOS己成為工業(yè)界網(wǎng)際網(wǎng)互連的事實(shí)標(biāo)準(zhǔn)，選擇CISCO公司產(chǎn)品，可

16、以充分利用其先進(jìn)的軟硬件網(wǎng)絡(luò)技術(shù)，更好地滿足網(wǎng)絡(luò)設(shè)計(jì)要求。同時(shí)Cisco公司在產(chǎn)品的返修服務(wù)方面有許多的便利條件，也積累了許多大型園區(qū)網(wǎng)絡(luò)建設(shè)的經(jīng)驗(yàn)。Cisco公司的網(wǎng)絡(luò)產(chǎn)品是國(guó)際知名的主流產(chǎn)品，選擇Cisco網(wǎng)絡(luò)產(chǎn)品具有廣闊的發(fā)展前進(jìn)和良好的技術(shù)保障，同時(shí)還有良好的服務(wù)體系支持。CISCO提供多種技術(shù)來保障設(shè)備的高可靠性和可用性：1針對(duì)VLAN的生成樹 (PVST) 用于 Cisco Interswitch Link (ISL) 和 802.1Q VLAN Trunking；2Cisco 增強(qiáng)型的生成樹, 包括 Uplink Fast and Port Fast；3Cisco Hot Sta

17、ndby Router Protocol (HSRP) 和 HSRP Track；4Cisco IOS 基于地址的負(fù)載均衡，在相等的OSPF路徑開銷； 5Cisco IOS 針對(duì)OSPF的快速收斂；6Cisco IOS 針對(duì)Cisco路由器的專用IGRP/EIGRP快速路由協(xié)議因此，主要網(wǎng)絡(luò)設(shè)備（中心交換機(jī)、接入交換機(jī)和廣域網(wǎng)路由器等）采用Cisco的產(chǎn)品，搭建出一個(gè)高性能、高可靠性并具有強(qiáng)大收縮性的網(wǎng)絡(luò)平臺(tái)。整體系統(tǒng)具有標(biāo)準(zhǔn)化和開放性：符合國(guó)際標(biāo)準(zhǔn)，支持TCP/IP協(xié)議、標(biāo)準(zhǔn)路由協(xié)議；具有先進(jìn)性和成熟性選擇支持三層路由交換、二層交換、虛擬網(wǎng)（VLAN）劃分的成熟的國(guó)際先進(jìn)的網(wǎng)絡(luò)技術(shù)和設(shè)備；提

18、供了無阻塞的內(nèi)部交換能力，以及DDN、撥號(hào)/ISDN、寬帶IP等多種形式的終端接入方式。網(wǎng)絡(luò)安全的考慮在計(jì)算機(jī)網(wǎng)絡(luò)intranet建設(shè)過程中，網(wǎng)絡(luò)安全的重要性時(shí)無需質(zhì)疑的。在諸多安全因素中，防黑、防病毒及入侵監(jiān)測(cè)系統(tǒng)是在網(wǎng)絡(luò)應(yīng)用建設(shè)中需重點(diǎn)考慮的。其中，防火墻作為接入到外網(wǎng)的唯一屏障，是隔絕黑客的主要設(shè)備。提供internet安全接入,對(duì)網(wǎng)絡(luò)訪問用戶進(jìn)行安全監(jiān)測(cè)的最重要的設(shè)備就是防火墻。從防火墻產(chǎn)品和技術(shù)發(fā)展來看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻?，F(xiàn)有防火墻品種繁多，采用的安全方式各種各樣，針對(duì)基于代理服務(wù)器的防火墻、軟件防火墻，我

19、們作如下對(duì)比：防火墻類型問題運(yùn)行在應(yīng)用層的基于代理的防火墻（如市面的CHECKPOINT軟件防火墻）性能低需要昂貴的通用平臺(tái)使用開放系統(tǒng)如UNIX時(shí)本身具有安全風(fēng)險(xiǎn)運(yùn)行在網(wǎng)絡(luò)層的包過濾的防火墻（各軟件防火墻）采用不是禁止的就允許的算法，安全方法易存在漏洞；包處理速度較慢面向靜態(tài)連接防火墻功能的自適應(yīng)安全算法（Cisco PIX防火墻）ASA可以跟蹤源和目的地址、傳輸控制協(xié)議（TCP）序列號(hào)、端口號(hào)和每個(gè)數(shù)據(jù)包的附加TCP標(biāo)志。只有存在已確定連接關(guān)系的正確的連接時(shí)，訪問才被允許通過防火墻。這樣做，內(nèi)部和外部的授權(quán)用戶就可以透明地訪問企業(yè)資源，而同時(shí)保護(hù)了內(nèi)部網(wǎng)絡(luò)不會(huì)受到非授權(quán)訪問的侵襲與包過濾相

20、比，功能更強(qiáng)勁；速度更快與應(yīng)用層代理防火墻相比，其性能更高，擴(kuò)展性更強(qiáng)由以上表格可以看出，無論在安全還是速度方面，選用硬件防火墻都是軟件防火墻和基于代理的防火墻所不能比擬的。所以，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全設(shè)備選型，我們選用硬件防火墻作為校園網(wǎng)網(wǎng)絡(luò)安全屏障。在硬件防火墻中，評(píng)判器性能是否優(yōu)越的主要有如下指標(biāo)：吞吐量：防火墻串接在網(wǎng)絡(luò)出入口處，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查，如防火墻缺乏足夠的吞吐量，則可能對(duì)網(wǎng)絡(luò)性能影響極大，因此防火墻產(chǎn)品必須具有一定的吞吐量保證；管理的方便性與安全性：防火墻的設(shè)置是一項(xiàng)非常重要的工作，一個(gè)設(shè)置良好的包過濾防火墻就可以發(fā)揮很好的作用，但設(shè)置防火墻是一項(xiàng)非常復(fù)雜的工作，因此

21、應(yīng)該盡量選擇設(shè)置方便的防火墻，同時(shí)無論遠(yuǎn)程還是本地，都必須保證設(shè)置只能由管理員完成，并且防火墻的設(shè)置無法為人非法修改。審計(jì)和日志功能：防火墻的審計(jì)和日志信息往往是許多安全事件最好的證據(jù)之一，因此良好的審計(jì)和日志功能是優(yōu)秀防火墻的共同特征。好的審計(jì)和日志功能支持用戶進(jìn)行各個(gè)層次的審計(jì)，并提供工具進(jìn)行審計(jì)數(shù)據(jù)的轉(zhuǎn)儲(chǔ)、處理、查詢等。平臺(tái)自身安全性：防火墻自身往往成為很多網(wǎng)絡(luò)攻擊的對(duì)象，因此其自身應(yīng)該有足夠的強(qiáng)度保證自身平臺(tái)的安全。產(chǎn)品必須通過國(guó)家信息安全保密職能部門的認(rèn)可。根據(jù)上述原則和招標(biāo)文件要求，我們選擇具有高性價(jià)比的CISCO PIX 535系列防火墻。無線網(wǎng)規(guī)劃分析在計(jì)算機(jī)網(wǎng)絡(luò)具體的網(wǎng)絡(luò)環(huán)境

22、搭建中，某些場(chǎng)所由于其特有的原因，不適合進(jìn)行布線系統(tǒng)的搭建或布線系統(tǒng)不能滿足其要求，例如像圖書閱覽室、大規(guī)模會(huì)議室和休閑場(chǎng)所。在這些場(chǎng)合中，由于網(wǎng)絡(luò)應(yīng)用者使用網(wǎng)絡(luò)有著隨意和不固定的特點(diǎn)，布線系統(tǒng)無疑會(huì)限制使用者的應(yīng)用。這樣，無線網(wǎng)絡(luò)應(yīng)用就會(huì)作為布線系統(tǒng)和傳統(tǒng)網(wǎng)絡(luò)的必要補(bǔ)充，也會(huì)納入的應(yīng)用。無線網(wǎng)的應(yīng)用不像傳統(tǒng)布線那樣明確和直觀，由于無線網(wǎng)應(yīng)用中存在種種不確定性，在無線接入點(diǎn)（AP）的分布和無線信號(hào)的強(qiáng)弱方面，必須經(jīng)過實(shí)驗(yàn)才可以最終確定。而且在帶寬和網(wǎng)絡(luò)可用性方面，無線網(wǎng)也遠(yuǎn)不能和有線網(wǎng)相提并論；無線網(wǎng)的優(yōu)勢(shì)在于它的靈活性和方便性，無線局域網(wǎng)絡(luò)絕不是用來取代有線局域網(wǎng)絡(luò)，而是用來彌補(bǔ)有線局域網(wǎng)絡(luò)

23、之不足，以達(dá)到網(wǎng)絡(luò)延伸之目的，下列情形可能須要無線局域網(wǎng)絡(luò)。無固定工作場(chǎng)所的使用者追求靈活和方便的休閑場(chǎng)所有線局域網(wǎng)絡(luò)架設(shè)受環(huán)境限制的場(chǎng)所作為有線局域網(wǎng)絡(luò)的備用系統(tǒng)網(wǎng)絡(luò)方案總體設(shè)計(jì)本章主要針對(duì)校園網(wǎng)本期工程建設(shè)的具體需求，而提出校園網(wǎng)建造的網(wǎng)絡(luò)總體建議。校園網(wǎng)設(shè)計(jì)主要包括以下部分：校區(qū)高速主干設(shè)計(jì)路由協(xié)議設(shè)計(jì)無線網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)管理的設(shè)計(jì)下面，我們將針對(duì)校園網(wǎng)的需求分別介紹各邏輯部分的設(shè)計(jì)方案。主干網(wǎng)絡(luò)技術(shù)選型選擇好的網(wǎng)絡(luò)技術(shù)，構(gòu)建強(qiáng)健的網(wǎng)絡(luò)主干是系統(tǒng)的首要方面。在目前的校園網(wǎng)絡(luò)選型中，主要包括星型以太網(wǎng)絡(luò)和環(huán)形網(wǎng)絡(luò)兩種，在網(wǎng)絡(luò)傳速速度上，又以千兆網(wǎng)絡(luò)和萬兆網(wǎng)絡(luò)為主。為保障某大學(xué)網(wǎng)絡(luò)建設(shè)的健壯性和

24、可靠性，建議某大學(xué)建立萬兆以太核心網(wǎng)絡(luò)，采用星型環(huán)形技術(shù)將某大學(xué)的網(wǎng)絡(luò)建設(shè)成為中國(guó)高校校園網(wǎng)絡(luò)建設(shè)的典范。目前，萬兆千兆網(wǎng)絡(luò)已經(jīng)成為交換網(wǎng)絡(luò)的成熟技術(shù)，并得到各大高校的認(rèn)可和應(yīng)用。建議在采用萬兆主干，千兆樓層、百兆接入方式為網(wǎng)絡(luò)系統(tǒng)中心局域網(wǎng)骨干來構(gòu)建核心匯聚接入三級(jí)系統(tǒng)。核心網(wǎng)絡(luò)方案設(shè)計(jì)從各家交換機(jī)廠商產(chǎn)品分析，在由千兆以太技術(shù)構(gòu)成城域網(wǎng)方案中，CISCO產(chǎn)品在技術(shù)先進(jìn)性方面具有較為明顯的優(yōu)勢(shì)，性價(jià)比較高。在全國(guó)高校校園網(wǎng)建設(shè)中，CISCO交換機(jī)產(chǎn)品占據(jù)了較大的份額，因此，建議采用CISCO公司交換機(jī)系列來構(gòu)建校園核心匯聚層交換機(jī)，在邊界接入設(shè)備、防火墻設(shè)備均選用CISCO公司產(chǎn)品，并可實(shí)現(xiàn)

25、所有網(wǎng)絡(luò)設(shè)備的集中管理，大大減輕了設(shè)備管理和維護(hù)的復(fù)雜度。在某大學(xué)校園網(wǎng)的規(guī)劃中，整個(gè)系統(tǒng)將來要達(dá)到1500020000信息點(diǎn)的規(guī)模。這就要求，在校園網(wǎng)初期網(wǎng)絡(luò)建設(shè)中校園網(wǎng)的主干節(jié)點(diǎn)必須要考慮足夠的余量，以保障將來網(wǎng)絡(luò)的擴(kuò)展。1）在圖文信息中心建設(shè)某大學(xué)的核心網(wǎng)絡(luò)，兩臺(tái)主核心交換機(jī)萬兆互聯(lián)，各自分別以萬兆方式連接各個(gè)主匯聚交換網(wǎng)點(diǎn)，并建立校區(qū)的數(shù)據(jù)中心和各類應(yīng)用軟件服務(wù)系統(tǒng)；2）在校園網(wǎng)中設(shè)立4個(gè)骨干匯聚節(jié)點(diǎn)，分別是公共教學(xué)樓、通用工程學(xué)科群院系統(tǒng)樓、商船類學(xué)科群院系統(tǒng)樓和學(xué)生宿舍樓。通過單模光纖以雙路千兆方式接入到網(wǎng)絡(luò)核心，并向下以千兆方式接入到樓層；同時(shí)，4個(gè)匯聚節(jié)點(diǎn)之間以千兆互連，形成校

26、區(qū)內(nèi)的星型環(huán)網(wǎng)，有效避免校園骨干的單點(diǎn)故障。3）在樓宇內(nèi)根據(jù)信息點(diǎn)分布特點(diǎn)合理設(shè)置配線間，每配線間配置適當(dāng)數(shù)量的接入交換機(jī)（或交換機(jī)堆疊）提供桌面信息的接入，并千兆連接至各區(qū)域匯聚交換機(jī)。實(shí)現(xiàn)所有接入交換機(jī)千兆上連，百兆接入信息點(diǎn)。某大學(xué)校園網(wǎng)建設(shè)總體結(jié)構(gòu)示意圖設(shè)計(jì)如下：上圖所示為某大學(xué)區(qū)網(wǎng)絡(luò)系統(tǒng)建設(shè)的總體規(guī)劃藍(lán)圖，采用核心、匯聚、接入三層網(wǎng)絡(luò)構(gòu)建架構(gòu)，核心設(shè)備放置在圖文信息中心大樓，根據(jù)地理位置和校園內(nèi)信息點(diǎn)分布情況，分別在公共教學(xué)樓、通用工程學(xué)科群院系統(tǒng)樓、商船類學(xué)科群院系統(tǒng)樓和學(xué)生宿舍樓設(shè)置4個(gè)主匯聚節(jié)點(diǎn)：學(xué)生宿舍區(qū)主節(jié)點(diǎn)負(fù)責(zé)各個(gè)學(xué)生宿舍、教師宿舍以及食堂的信息點(diǎn)匯聚。公共教學(xué)樓主節(jié)點(diǎn)負(fù)

27、責(zé)教學(xué)樓、文理科群院系樓、試驗(yàn)樓、實(shí)訓(xùn)樓、大禮堂和校醫(yī)院的信息點(diǎn)匯聚。商船類學(xué)科群院系統(tǒng)樓負(fù)責(zé)各個(gè)科研樓和相關(guān)食堂的信息點(diǎn)匯聚。通用工程學(xué)科群院系統(tǒng)樓負(fù)責(zé)兩個(gè)通用工程學(xué)科群院系樓、3個(gè)經(jīng)濟(jì)管理學(xué)科院系樓、行政樓和學(xué)術(shù)交樓中心等的信息點(diǎn)匯聚。圖文信息中心大樓網(wǎng)絡(luò)核心采用兩臺(tái)Catalyst6509，互為備份。二臺(tái)核心交換機(jī)之間通過運(yùn)行HSRP熱備份路由協(xié)議，實(shí)行故障的自動(dòng)診斷以及故障發(fā)生后的自動(dòng)切換功能。同時(shí)，兩臺(tái)Catalyst 6509之間采用用兩個(gè)萬兆端口進(jìn)行雙鏈路互聯(lián)，設(shè)備間的吞吐量可以達(dá)到20Gbps。在物理鏈路之間，通過采用端口聚合協(xié)議(PAgP)可以最有效地自動(dòng)平衡通信負(fù)載。至于局

28、域網(wǎng)的擴(kuò)展，對(duì)于接入信息點(diǎn)，可以很方便的在各分配線間根據(jù)需要增加接入交換機(jī)，與原有接入交換機(jī)堆疊。而核心配置的Catalyst6509更具有強(qiáng)大的擴(kuò)展性，它是插槽式交換機(jī)，以后可根據(jù)需要配置IO模塊，本次配置還余有5個(gè)空余插槽，能滿足未來一定時(shí)間內(nèi)的擴(kuò)展需要。兩臺(tái)Catalyst 6509上配置如下：各每臺(tái)都配置WS-SUP720-3B引擎（交換機(jī)背板720G）、雙電源、高速風(fēng)扇，提供冗余備份，增加交換機(jī)的整體可靠性，兩交換機(jī)運(yùn)行HSRP高性能路由協(xié)議，更增強(qiáng)系統(tǒng)可靠性；分別上配置一塊WS-X6704-10GE模塊，提供4個(gè)萬兆以太網(wǎng)接口，用于主核心交換機(jī)的兩條萬兆捆綁truck鏈路的連接以及

29、與相鄰主匯聚交換機(jī)的萬兆連接；各配置一塊WS-X6724-SFP千兆接口模塊，它能夠提供24個(gè)千兆光纖端口，主要提供信息點(diǎn)大樓樓層交換機(jī)的接入，以及其他千兆光纖設(shè)備的接入； 各配置WS-X6548-GE-TX模塊，提供48個(gè)10/100/1000M以太網(wǎng)接口，提供服務(wù)器等的千兆連接。匯聚交換機(jī)的建設(shè)匯聚交換機(jī)同樣采用CISCO CATALYST 6500系列交換機(jī)，跟核心交換機(jī)相同，匯聚交換機(jī)同樣配置720Gbps大容量背板，可擴(kuò)展至每秒數(shù)據(jù)包的轉(zhuǎn)發(fā)率為400MPPS。匯聚交換機(jī)采用CISCO CATALYST 6506系列插槽式交換機(jī)，以后可根據(jù)需要配置IO模塊，本次配置還余有3個(gè)空余插槽，

30、能滿足未來一定時(shí)間內(nèi)的擴(kuò)展需要。在公共教學(xué)樓、通用工程學(xué)科群院系統(tǒng)樓、商船類學(xué)科群院系統(tǒng)樓和學(xué)生宿舍樓4臺(tái)Catalyst 6509上配置如下：每臺(tái)都配置WS-SUP720-3B引擎（交換機(jī)背板720G）、雙電源、高速風(fēng)扇；分別配置一塊WS-X6704-10GE模塊，提供4個(gè)萬兆以太網(wǎng)接口，用于萬兆上聯(lián)核心交換機(jī)以及與相鄰主匯聚交換機(jī)的萬兆連接；各配置一塊WS-X6724-SFP千兆接口模塊，它能夠提供24個(gè)千兆光纖端口，主要提供各個(gè)潔如樓宇千兆節(jié)點(diǎn)的接入。接入交換機(jī)的建設(shè)（CISCO產(chǎn)品方案）在各個(gè)樓宇內(nèi)部的信息點(diǎn)建設(shè)中，根據(jù)信息點(diǎn)數(shù)量不同，各個(gè)樓宇設(shè)置若干個(gè)配線間，將樓內(nèi)的信息點(diǎn)全部集中到

31、各配線間內(nèi)，采用10/100M接入交換機(jī)提供各信息點(diǎn)接入的需要，通過千兆連接到相對(duì)應(yīng)的匯聚中心設(shè)備上，當(dāng)配線間信息點(diǎn)數(shù)量超過48個(gè)時(shí)，通過多臺(tái)接入交換機(jī)堆疊或千兆直連的方式滿足需求。根據(jù)部門及應(yīng)用劃分VLAN，以降低網(wǎng)絡(luò)廣播，提高網(wǎng)絡(luò)利用率，同時(shí)也可提高各部門的安全性。在本方案，我們選用全系列CISCO交換機(jī)組建某大學(xué)的網(wǎng)絡(luò)系統(tǒng)，接入交換型號(hào)的選用根據(jù)具體配線間的情況，可選用CISCO 2950G或者CISCO 2950T系列交換產(chǎn)品，分別以千兆光口或者電口接入?yún)R聚交換機(jī)。接入交換機(jī)的建設(shè)(華為產(chǎn)品方案)考慮到資金投入的問題，接入層交換機(jī)可選用價(jià)廉物美的國(guó)產(chǎn)接入級(jí)交換機(jī)，可采用華為 LS-S3

32、026C-SI系列交換機(jī)。華為 LS-S3026C-SI交換機(jī)可提供24個(gè)以太口，最多2個(gè)千兆口并可提供堆疊功能，可將多達(dá)13臺(tái)交換機(jī)進(jìn)行堆疊。我們可以采用S2026C堆疊的方式，可實(shí)現(xiàn)300點(diǎn)以上的信息點(diǎn)的接入。同時(shí)，為了加速與網(wǎng)絡(luò)核心層的業(yè)務(wù)傳輸，它利用其固有的服務(wù)質(zhì)量（QoS）管理功能、線速轉(zhuǎn)發(fā)功能和一致的網(wǎng)絡(luò)管理的簡(jiǎn)潔性，可在有限的預(yù)算范圍內(nèi)實(shí)現(xiàn)端到端的CISCO組網(wǎng)方案。 主干網(wǎng)絡(luò)可靠性考慮由于占地面積大，考慮到網(wǎng)絡(luò)設(shè)備日常的管理維護(hù)不方便，因此規(guī)劃需充分考慮網(wǎng)絡(luò)的可靠性，主要包括：在校區(qū)光纜布線時(shí)通過星型結(jié)構(gòu)環(huán)網(wǎng)結(jié)構(gòu)連接核心和匯聚節(jié)點(diǎn)，提供基于鏈路的可靠性；核心及主匯聚設(shè)備選用相同

33、品牌產(chǎn)品，核心層考慮配置兩臺(tái)核心交換機(jī)互為備份；核心主節(jié)點(diǎn)設(shè)備選擇可靠性較高的產(chǎn)品，同時(shí)考慮一定模塊的冗余，同時(shí)采用ESRP或VRRP協(xié)議在匯聚層交換機(jī)上將各子網(wǎng)網(wǎng)關(guān)相互備份；各樓宇配線間接入設(shè)備通過一路千兆上聯(lián)到匯聚點(diǎn)設(shè)備上。遠(yuǎn)期也可根據(jù)應(yīng)用情況，接入設(shè)備采用雙路千兆線路上聯(lián)到不同的兩個(gè)匯聚點(diǎn)設(shè)備上，提高可靠性，避免由于匯聚層設(shè)備發(fā)生問題影響整個(gè)區(qū)域內(nèi)樓宇網(wǎng)絡(luò)的癱瘓。INTERNET訪問設(shè)計(jì)隨著大學(xué)城的擴(kuò)建，網(wǎng)絡(luò)安全問題更顯得必要和突出。為保障新校區(qū)網(wǎng)絡(luò)建設(shè)的安全，建議在新校區(qū)INTRANET設(shè)備中增添防火墻設(shè)備，以免遭來自INTERNET和大學(xué)城內(nèi)部的黑客攻擊。INTRANET接入設(shè)備的選

34、型，建議統(tǒng)一采用CISCO設(shè)備，以提高可管理性并簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜度。在外部網(wǎng)出口的地方配置一臺(tái)Cisco 3825路由器，具有2個(gè)10/100/1000M以太網(wǎng)口，其中1口連接內(nèi)部網(wǎng)，另1口提供Internet的接入。Cisco 3825路由器具有2個(gè)網(wǎng)絡(luò)模塊插槽，將來出口增加時(shí)，可再配置合適的模塊，提供該出口的連接。Cisco 3825是新型的路由器，其性能達(dá)到350Kpps的包轉(zhuǎn)發(fā)率。約等于150Mbps的處理能力。所以對(duì)于百兆的出口而言，Cisco 3825的處理能力完全能夠滿足數(shù)據(jù)包處理的需要。而且，Cisco 3825集成了入侵防護(hù)系統(tǒng)（Intrusion Prevention Sy

35、stem，IPS）功能。相比傳統(tǒng)的入侵檢測(cè)系統(tǒng)IDS，絕大多數(shù) IDS 系統(tǒng)都是被動(dòng)的，而不是主動(dòng)性的，也就是說，在攻擊實(shí)際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報(bào)。入侵防護(hù)系統(tǒng)IPS則傾向于提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在 IPS 設(shè)備中被清除掉。在防

36、火墻的選擇上，選用CISCO PIX535系列防火墻，提供兩個(gè)千兆接口分別接入到邊緣路由器和內(nèi)部交換設(shè)備，除向校園內(nèi)部用戶提供防護(hù)功能外，還可提供NAT服務(wù)，提供內(nèi)外網(wǎng)地址轉(zhuǎn)換功能。路由協(xié)議設(shè)計(jì)作為大型園區(qū)網(wǎng)和大型廣域網(wǎng)的結(jié)合體，合理的選擇路由協(xié)議是網(wǎng)絡(luò)能否發(fā)揮最佳設(shè)計(jì)性能的關(guān)鍵。如果使用靜態(tài)路由，會(huì)帶來大量繁瑣的配置工作，且可能隨著網(wǎng)絡(luò)應(yīng)用情況的變化容易出現(xiàn)錯(cuò)誤卻不易查出，管理成本相對(duì)較高。因此考慮動(dòng)態(tài)路由協(xié)議，以方便網(wǎng)絡(luò)的管理，提高網(wǎng)管的綜合效率。動(dòng)態(tài)路由協(xié)議應(yīng)具備下面基本特點(diǎn)：1、應(yīng)為國(guó)際標(biāo)準(zhǔn)的路由協(xié)議，考慮不同廠商設(shè)備間的互通；2、路由協(xié)議本身不應(yīng)對(duì)網(wǎng)絡(luò)帶寬產(chǎn)生大的負(fù)載；3、支持負(fù)載均

37、衡，由于網(wǎng)絡(luò)拓?fù)淇紤]了多處的dual-homing，因此需要充分利用冗余的線路及端口；4、收斂時(shí)間短，在由于多種原因造成網(wǎng)絡(luò)實(shí)際連接拓?fù)浒l(fā)生變化時(shí)，在較短的時(shí)間里收斂生成穩(wěn)定的路由表；5、擴(kuò)展性強(qiáng)，可以適應(yīng)將來網(wǎng)絡(luò)的擴(kuò)展，做平滑的過渡。按照以上原則，我們使用國(guó)際標(biāo)準(zhǔn)OSPF路由協(xié)議，它具有以下特性：1通過維護(hù)一個(gè)鏈路狀態(tài)數(shù)據(jù)庫，使用基于Dijkstra的SPF路由算法，實(shí)現(xiàn)快速收斂；2使用Hello包來建立和維護(hù)路由器之間的鄰接關(guān)系；3使用域(area)來建立兩個(gè)層次的網(wǎng)絡(luò)拓?fù)?，使網(wǎng)絡(luò)結(jié)構(gòu)層次分明，易于擴(kuò)展；4具有域間路由聚合的能力，有效減少核心層路由設(shè)備的路由表項(xiàng)，提高工作效率；5都是無類(

38、classless)協(xié)議，支持靈活高效的IP地址劃分；6通過選舉指派路由器（Designed Router）來代替網(wǎng)絡(luò)廣播，使路由協(xié)議本身對(duì)網(wǎng)絡(luò)帶寬的消耗很低；7具有認(rèn)證的能力，防止路由欺騙；8支持負(fù)載均衡路由的能力，充分利用冗余的帶寬。無線接入設(shè)計(jì)的網(wǎng)絡(luò)結(jié)構(gòu)中，在會(huì)議室，圖書館等場(chǎng)所網(wǎng)絡(luò)建設(shè)中，包含了無線網(wǎng)絡(luò)部分，提供了有線網(wǎng)絡(luò)良好的延伸和補(bǔ)充。一直在為教職工和學(xué)生提供完善的數(shù)據(jù)服務(wù)。為了能實(shí)現(xiàn)讓學(xué)生們?cè)谡n堂上和校園圖書館內(nèi)接入網(wǎng)絡(luò)的技術(shù)，我們的設(shè)計(jì)中采用了業(yè)界領(lǐng)先的Cisco Aironet系列無線設(shè)備。在具體的網(wǎng)絡(luò)環(huán)境搭建中，無線網(wǎng)的應(yīng)用不像傳統(tǒng)布線那樣明確和直觀，由于無線網(wǎng)應(yīng)用中存在種

39、種不確定性，在無線接入點(diǎn)（AP）的分布和無線信號(hào)的強(qiáng)弱方面，必須經(jīng)過實(shí)驗(yàn)才可以最終確定無線網(wǎng)的優(yōu)勢(shì)在于它的靈活性和方便性，可用來彌補(bǔ)有線局域網(wǎng)絡(luò)之不足，以達(dá)到網(wǎng)絡(luò)延伸之目的，下列情形可能須要無線局域網(wǎng)絡(luò)；無固定工作場(chǎng)所的使用者追求靈活和方便的休閑場(chǎng)所有線局域網(wǎng)絡(luò)架設(shè)受環(huán)境限制的場(chǎng)所作為有線局域網(wǎng)絡(luò)的備用系統(tǒng)無線數(shù)據(jù)解決方案通過接入設(shè)備體現(xiàn)其作用，接入設(shè)備通過以11Mbps的速度發(fā)送電磁波譜來傳送數(shù)據(jù)，覆蓋的范圍可達(dá)400-500米（距離越遠(yuǎn)速度越慢，視具體環(huán)境而定）。規(guī)劃采用無線網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)師生在校園內(nèi)隨時(shí)、隨地的接入需要，擴(kuò)展網(wǎng)絡(luò)的使用范圍，特別在露天廣場(chǎng)、湖邊等環(huán)境優(yōu)美的休閑場(chǎng)所提供無線接

40、入，同時(shí)可體現(xiàn)校區(qū)數(shù)字化校園網(wǎng)絡(luò)應(yīng)用的水平。組網(wǎng)拓?fù)鋱D如下所示：無線網(wǎng)絡(luò)拓?fù)鋱D有線網(wǎng)絡(luò)的規(guī)模較大、終端數(shù)量較多、對(duì)網(wǎng)絡(luò)傳輸要求高，如果將無線網(wǎng)絡(luò)加載在現(xiàn)有有線網(wǎng)絡(luò)之上會(huì)加重有線網(wǎng)絡(luò)負(fù)擔(dān)，因此綜合這些因素考慮，可以額外布一套有線網(wǎng)絡(luò)用以承載無線網(wǎng)絡(luò)，以緩解有線網(wǎng)絡(luò)的壓力。此外，考慮到本無線網(wǎng)絡(luò)規(guī)模大、覆蓋范圍廣、用戶數(shù)多的特點(diǎn)，對(duì)網(wǎng)絡(luò)性能和用戶認(rèn)證都提出了很高要求，如果將全無線網(wǎng)絡(luò)都劃到一個(gè)虛網(wǎng)內(nèi)，則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能，因此我司建議將全無線網(wǎng)絡(luò)根據(jù)無線網(wǎng)絡(luò)覆蓋的功能區(qū)域及用戶數(shù)劃分為幾個(gè)子網(wǎng)，每個(gè)無線子網(wǎng)分別由一臺(tái)無線網(wǎng)絡(luò)控制器AC2010（以下簡(jiǎn)稱WNC AC2010）進(jìn)行控制，而在中心有一臺(tái)

41、接入服務(wù)器OCAMAR Access Server（以下簡(jiǎn)稱OCAMAR AS），負(fù)責(zé)為各無線子網(wǎng)提供用戶賬號(hào)的集中統(tǒng)一管理和計(jì)費(fèi)。另外考慮某大學(xué)整個(gè)校園的基本無盲點(diǎn)的覆蓋，為保證信號(hào)覆蓋全面又無信號(hào)間的干擾情況產(chǎn)生，我們?cè)谠O(shè)計(jì)時(shí)采用了在室內(nèi)天饋系統(tǒng)，在室外才用大功率發(fā)射的方案，盡量減少AP的數(shù)量，增加天線擴(kuò)大無線接入點(diǎn)的覆蓋范圍。在無線接入點(diǎn)的選擇方面，我們?yōu)槟炒髮W(xué)選擇了國(guó)際知名品牌思科產(chǎn)品以及最新的802.11G技術(shù)，選用54M AP作為整個(gè)校區(qū)的覆蓋。采用天饋系統(tǒng)的AP，選用Aironet1231G-K9-A，可拆換天線的AP；未用天饋系統(tǒng)的AP，選用Aironet 1120G-K9-A

42、，來節(jié)省成本。設(shè)計(jì)指標(biāo)：各信號(hào)輸出點(diǎn)信號(hào)強(qiáng)度1620dbm；將按照2.4G工作頻段2.4122.462GHz（FCC）分為channel1、channel6、channel11三個(gè)完全不干擾頻段設(shè)計(jì)；目標(biāo)覆蓋區(qū)域信號(hào)強(qiáng)度-78dbm。網(wǎng)絡(luò)管理網(wǎng)絡(luò)的可管理性是網(wǎng)絡(luò)的一個(gè)重要組成部分，尤其在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中,網(wǎng)絡(luò)管理就顯的更加重要。網(wǎng)絡(luò)管理一般分為五大部分：故障管理、配置管理、性能管理、安全管理和帳號(hào)管理。故障管理 檢測(cè)、隔離和修正網(wǎng)絡(luò)故障。配置管理 根據(jù)基準(zhǔn)線修改和跟蹤網(wǎng)絡(luò)設(shè)備的配置變化。它也提供跟蹤網(wǎng)絡(luò)設(shè)備操作系統(tǒng)版本的功能。帳號(hào)管理 指跟蹤網(wǎng)絡(luò)資源使用，并據(jù)此提供帳單服務(wù)。性能管理 指測(cè)量網(wǎng)

43、絡(luò)行為和傳輸?shù)陌?、幀和網(wǎng)絡(luò)段的效率。性能管理包括協(xié)議、應(yīng)用服務(wù)和響應(yīng)時(shí)間等。安全管理 指保持和傳送論證、授權(quán)信息，如passpowrd和秘鑰等。通過使用審計(jì)、log等功能進(jìn)一步增加網(wǎng)絡(luò)的安全性。為了保證整個(gè)網(wǎng)絡(luò)安全、可靠、穩(wěn)定、高效的運(yùn)行，需要進(jìn)行嚴(yán)格、規(guī)范、科學(xué)的管理，主要需求如下：A、分布式監(jiān)控： 在網(wǎng)絡(luò)中心建立監(jiān)控中心，負(fù)責(zé)收集所有網(wǎng)絡(luò)的運(yùn)行狀況，主機(jī)的運(yùn)行信息，主要包括：軟硬件信息、系統(tǒng)資源（內(nèi)存、硬盤等）的使用情況等，各類信息視其重要程度，收集的頻率也不同，一般為5分鐘至1小時(shí)，收集的包大小從5K至100K不等，由監(jiān)控的對(duì)象和內(nèi)容所決定；B、安全管理：對(duì)所有主機(jī)的關(guān)鍵資源進(jìn)行安全性設(shè)

44、置，防止非法的訪問；C、用戶管理：對(duì)各主機(jī)上的用戶帳戶進(jìn)行統(tǒng)一管理；D、軟件分發(fā)：由分發(fā)服務(wù)器進(jìn)行系統(tǒng)軟件和應(yīng)用軟件的分發(fā)；E、遠(yuǎn)程控制：對(duì)上網(wǎng)終端進(jìn)行控制，要求可以監(jiān)控到各終端的屏幕狀況，但對(duì)網(wǎng)絡(luò)帶寬要求較高；F、網(wǎng)絡(luò)拓?fù)涔芾恚簩?duì)各單位的所有子網(wǎng)能夠進(jìn)行直觀的管理，按照設(shè)備連接的邏輯關(guān)系對(duì)拓?fù)浣Y(jié)構(gòu)能夠進(jìn)行層次劃分，在各層拓?fù)浣Y(jié)構(gòu)圖中實(shí)時(shí)反映各類設(shè)備的連接狀態(tài)，為故障定位等功能的實(shí)現(xiàn)提供基礎(chǔ)；各設(shè)備的狀態(tài)刷新實(shí)時(shí)性要求較高，每次刷新時(shí)對(duì)網(wǎng)絡(luò)流量有一定的影響；G、故障報(bào)警與定位：網(wǎng)絡(luò)發(fā)生故障后要能在管理員窗口彈出報(bào)警窗，指示所發(fā)生的事件，為故障處理提供參考和依據(jù)，以更快地定位故障，及時(shí)處理。同時(shí)

45、還能夠根據(jù)各關(guān)鍵結(jié)點(diǎn)的工作情況提示，及早做好故障的預(yù)防和預(yù)處理；H、設(shè)備配置管理：將網(wǎng)絡(luò)設(shè)備的配置管理集成在統(tǒng)一的管理界面中，在全局網(wǎng)絡(luò)拓?fù)鋱D中點(diǎn)擊網(wǎng)絡(luò)設(shè)備，能夠出現(xiàn)相應(yīng)的管理界面，在此管理界面中能夠進(jìn)行設(shè)備全部功能的配置，彌補(bǔ)先前管理方式的不足；I、網(wǎng)絡(luò)流量監(jiān)測(cè)：能夠監(jiān)測(cè)網(wǎng)絡(luò)之間特別是廣域網(wǎng)之間的流量，監(jiān)控網(wǎng)絡(luò)的繁忙程度，對(duì)網(wǎng)絡(luò)帶寬的利用率進(jìn)行分析，能及時(shí)掌握網(wǎng)絡(luò)的瓶頸所在，為網(wǎng)絡(luò)通道的調(diào)整和擴(kuò)充提供可靠數(shù)據(jù)。網(wǎng)絡(luò)管理軟件采用Cisco Works2000網(wǎng)絡(luò)管理軟件來實(shí)現(xiàn)統(tǒng)一的管理。網(wǎng)管軟件CISCO WORKS 2000是一系列基于SNMP的互連網(wǎng)絡(luò)管理軟件應(yīng)用程序，能夠?yàn)榫W(wǎng)管員提供一系

46、列強(qiáng)大的功能，如清晰的了解網(wǎng)絡(luò)狀況、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障、方便的遠(yuǎn)程處理設(shè)備故障、遠(yuǎn)程設(shè)備版本升級(jí)等。CiscoWorks2000中包含Campus Manager3.0、 Cisco View5.1、 Content Flow Monitor 、Resoure Manager Essentials3.1、 TafficDierctor等五個(gè)應(yīng)用軟件包。整個(gè)網(wǎng)絡(luò)從網(wǎng)絡(luò)中心的核心交換機(jī)到主干節(jié)點(diǎn)交換機(jī)，到中心路由器、邊界路由器、訪問服務(wù)器，都是采用CISCO公司的配套產(chǎn)品，使整個(gè)網(wǎng)絡(luò)具有完整的一致性，統(tǒng)一的網(wǎng)絡(luò)管理和統(tǒng)一的流量控制。 安全性設(shè)計(jì)隨著網(wǎng)絡(luò)的應(yīng)用日益普及，網(wǎng)絡(luò)用戶越來越多，網(wǎng)絡(luò)的安全性成

47、為了所有網(wǎng)絡(luò)服務(wù)的提供者最關(guān)心的問題之一。網(wǎng)絡(luò)系統(tǒng)中的安全性問題包括網(wǎng)絡(luò)中信息系統(tǒng)的安全性和網(wǎng)絡(luò)本身固有的安全性。保證系統(tǒng)的安全性要從管理和技術(shù)角度同時(shí)考慮，通過制定不同的安全策略來達(dá)到特定的安全要求。網(wǎng)絡(luò)的安全策略在實(shí)現(xiàn)時(shí)主要針對(duì)兩種情況，一種是網(wǎng)絡(luò)系統(tǒng)自身的安全問題，如路由器的安全隱患、匿名FTP的安全隱患、TELNET的安全隱患等，可以通過對(duì)各種關(guān)鍵系統(tǒng)設(shè)備的加以控制來消除；另一種是給用戶提供的各種服務(wù)是否安全，主要體現(xiàn)在網(wǎng)絡(luò)應(yīng)用上，如用戶的數(shù)據(jù)或信息在網(wǎng)絡(luò)傳遞過程中的安全控制。其中網(wǎng)絡(luò)系統(tǒng)自身的安全程度將直接影響到整個(gè)系統(tǒng)的可用性和穩(wěn)定性，它是系統(tǒng)安全的基礎(chǔ)。一個(gè)系統(tǒng)存在的安全問題可能

48、主要來源于兩方面：或者是安全控制機(jī)構(gòu)有故障；或者是系統(tǒng)安全定義有缺陷。前者是一個(gè)軟件可靠性問題，可以用優(yōu)秀的軟件設(shè)計(jì)技術(shù)配合特殊的安全方針加以克服；而后者則需要精確描述安全系統(tǒng)。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系應(yīng)包含：訪問控制通過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前檢查安全漏洞通過對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效攻擊監(jiān)控通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取響應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）加密通訊主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息認(rèn)證良好的認(rèn)證體系可防止攻擊者假

49、冒合法用戶備份和恢復(fù)良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)多層防御攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)設(shè)立安全監(jiān)控中心為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)本地主機(jī)系統(tǒng)的安全考慮計(jì)算機(jī)病毒是伴隨著計(jì)算機(jī)而產(chǎn)生的，它同時(shí)隨著計(jì)算機(jī)技術(shù)的發(fā)展而發(fā)展，在網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)病毒更易于傳播，其對(duì)系統(tǒng)的危害也是明顯的，在實(shí)驗(yàn)室管理網(wǎng)建設(shè)中，由于該網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)完全隔離，而且主要運(yùn)行辦公網(wǎng)內(nèi)部的公文流轉(zhuǎn)、文件交換、信息共享，辦公自動(dòng)化等，其危害主要來源于內(nèi)部用戶。因此，在實(shí)驗(yàn)室管理網(wǎng)中對(duì)計(jì)算機(jī)的保護(hù)主要在于安全規(guī)范管理。比如，不允許使用外來

50、軟盤、U盤等移動(dòng)存儲(chǔ)介質(zhì)，防止受病毒感染的移動(dòng)介質(zhì)影響該終端，從而傳播給其他終端。我們建議采用網(wǎng)絡(luò)與單機(jī)相結(jié)合的方式來避免計(jì)算機(jī)病毒的危害。一方面采用網(wǎng)絡(luò)防病毒軟件保護(hù)服務(wù)器，同時(shí)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒的監(jiān)控、報(bào)警和實(shí)時(shí)清除；另一方面也要定期對(duì)工作站用單機(jī)的防病毒軟件進(jìn)行殺病毒。對(duì)防病毒軟件統(tǒng)一管理，及時(shí)升級(jí)，確保系統(tǒng)沒有病毒的危害。內(nèi)部網(wǎng)安全控制1、VLAN技術(shù)通過VLAN的劃分，利用中心交換機(jī)上高性能路由模塊的管理和控制，可以控制內(nèi)部各VLAN間的訪問，例如VLAN中的某個(gè)IP地址只允許訪問該VLAN內(nèi)部的資源，或某個(gè)VLAN只允許其它VLAN的用戶以HTTP或FTP等方式對(duì)它進(jìn)行訪問等，這樣就可

51、以有效的限制VLAN間訪問的范圍和權(quán)限。方案中所選交換機(jī)均支持虛網(wǎng)功能，可將相同職能的辦公室及信息點(diǎn)化并為同一個(gè)VLAN，通過IEEE 802.1Q協(xié)議，可以實(shí)現(xiàn)跨交換機(jī)的VLAN設(shè)置，因此VLAN的設(shè)置不會(huì)受到地理位置的限制。中心配置Catalyst6509以線速交換VLAN信息，消除以往在路由處理上的瓶頸，提高了網(wǎng)絡(luò)效率。2、MAC地址的過濾對(duì)于重要的網(wǎng)段何部門，其接入交換機(jī)上可以考慮通過MAC過濾方式對(duì)接入PC終端進(jìn)行限制，例如領(lǐng)導(dǎo)、財(cái)務(wù)等重要部門以及數(shù)據(jù)中心等。3、ACCESS LISTCISCO和華為公司在其核心軟件IOS中嵌套了Accesslist訪問控制列表功能，因此，Cisco

52、所有的路由產(chǎn)品均能夠?qū)M(jìn)出的數(shù)據(jù)進(jìn)行安全訪問控制。在內(nèi)部網(wǎng)上，可以通過Catalyst6509上的多層交換模塊的訪問控制功能對(duì)各個(gè)網(wǎng)段間的訪問進(jìn)行安全控制。限制網(wǎng)段間的訪問范圍、方式及應(yīng)用。同時(shí)本方案中接入產(chǎn)品交換機(jī)也具有相應(yīng)的ACL功能。4、AAA用戶驗(yàn)證功能Cisco和華為的的接入層交換機(jī)都具有802.1X身份認(rèn)證功能，通過各自相應(yīng)的AAA用戶身份認(rèn)證功能，對(duì)某些網(wǎng)絡(luò)登錄用戶進(jìn)行身份驗(yàn)證，有效的防止外界的惡意入侵。網(wǎng)絡(luò)設(shè)計(jì)分析根據(jù)用戶網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)特點(diǎn)，通過對(duì)用戶需求的研究和設(shè)計(jì)，以下特點(diǎn)貫穿在我們所設(shè)計(jì)的方案中，成為校園網(wǎng)改造工程設(shè)計(jì)與建設(shè)的特色；也是保證貴校在未來幾年內(nèi)不落后的有效保障。

53、高性能、高帶寬的網(wǎng)絡(luò)主干網(wǎng)絡(luò)的高可靠性較高的安全性網(wǎng)絡(luò)的可擴(kuò)展性統(tǒng)一的網(wǎng)絡(luò)管理靈活的VLAN劃分支持多媒體應(yīng)用高性能、高帶寬的網(wǎng)絡(luò)主干方案中選用的設(shè)備都具有業(yè)界領(lǐng)先的性能，我們采用了CISCO公司高性能的千兆位以太網(wǎng)路由交換機(jī)Catalyst 6509作為中心交換機(jī)，利用它強(qiáng)大的交換能力構(gòu)造高帶寬的網(wǎng)絡(luò)骨干。并且能夠很方便地將主干網(wǎng)升級(jí)到萬兆以太網(wǎng)，網(wǎng)絡(luò)中心Catalyst 6509能夠提供高達(dá)720Gb的背板帶寬，這樣高的吞吐量可以毫不費(fèi)力地在網(wǎng)絡(luò)環(huán)境中支持高性能的IP網(wǎng)絡(luò)結(jié)構(gòu)。Catalyst 6509將路由的功能和交換的性能結(jié)合為一體，在支持千兆位以太網(wǎng)的同時(shí)還支持IP和IPX數(shù)據(jù)包的線

54、速路由，使得所有的功能(包括VLAN間的路由等)在很高的速度和帶寬下運(yùn)行?？煽啃栽O(shè)計(jì)校園網(wǎng)的可靠性是其賴以生存的關(guān)鍵因素之一。一個(gè)缺乏可靠性的網(wǎng)絡(luò)系統(tǒng)就象空中樓閣，隨時(shí)都有坍塌、瓦解的可能，是無法為用戶提供高質(zhì)量服務(wù)的。因此，在我們的方案中，充分考慮了網(wǎng)絡(luò)的冗余問題。網(wǎng)絡(luò)系統(tǒng)的冗余應(yīng)由兩個(gè)層次的冗余來實(shí)現(xiàn)：一是網(wǎng)絡(luò)級(jí)、二是平臺(tái)級(jí)。網(wǎng)絡(luò)級(jí)冗余對(duì)于網(wǎng)絡(luò)級(jí)冗余，我們的方案中可以提供兩個(gè)層次的冗余：物理層通過雙主干網(wǎng)各匯聚節(jié)點(diǎn)通過，雙星型環(huán)形網(wǎng)絡(luò)光纜連接，本方案在物理層為各個(gè)主交換設(shè)備提供了物理通道的冗余；鏈路層鏈路層的冗余是通過Spanning Tree算法獲得。我們的方案支持Spanning Tr

55、ee per VLAN，Port Fast，Uplink Fast，Backbone Fast等算法。這些算法可以明顯地提高網(wǎng)絡(luò)收斂時(shí)間，極大地提高了鏈路發(fā)生故障時(shí)切換至備份線路的時(shí)間。平臺(tái)級(jí)冗余我們的方案中中心交換機(jī)Catalyst6509本身具有很強(qiáng)的冗余、備份能力。這體現(xiàn)在引擎、接口卡、電源和風(fēng)扇、時(shí)鐘等方面。接 口 卡所有Catalyst6509系列交換機(jī)的接口卡都可以進(jìn)行熱插拔；引擎可配備雙引擎，支持熱備份電源/風(fēng)扇Catalyst6509交換機(jī)配有兩個(gè)電源和冗余風(fēng)扇，這樣，兩個(gè)電源模塊可以負(fù)載均衡的方式進(jìn)行工作；端 口提供的網(wǎng)絡(luò)設(shè)備均有冗余端口，方便用戶將來節(jié)點(diǎn)的擴(kuò)充 ；多 槽 位

56、中心交換機(jī)為多槽位交換機(jī)，方便用戶升級(jí)網(wǎng)絡(luò)主干，或提供節(jié)點(diǎn)的擴(kuò)充；冗余交換模塊可以配置冗余的交換模塊，保證網(wǎng)絡(luò)的性能其他可靠性設(shè)計(jì)網(wǎng)卡容錯(cuò)技術(shù)、網(wǎng)卡平衡負(fù)載技術(shù)和服務(wù)器負(fù)載均衡技術(shù)在服務(wù)器中安裝兩塊網(wǎng)卡，實(shí)現(xiàn)當(dāng)一塊網(wǎng)卡或網(wǎng)絡(luò)鏈路發(fā)生故障，另外一塊網(wǎng)卡立刻接管，工作站沒有影響，不用重新啟動(dòng)；數(shù)據(jù)中心的服務(wù)器采用負(fù)載均衡技術(shù)；Cisco GEC10GEC帶寬聚合技術(shù)交換機(jī)之間的連接采用萬兆光纖線路連接，若以后想提高帶寬，可以配置雙路萬兆M光纖上聯(lián)模式，可實(shí)現(xiàn)20G帶寬，當(dāng)某個(gè)端口或線路發(fā)生故障時(shí)，帶寬自動(dòng)降為10G，不影響整個(gè)網(wǎng)絡(luò)的連通；在spanning tree標(biāo)準(zhǔn)中用到Cisco的Uplin

57、k Fast技術(shù)實(shí)現(xiàn)在環(huán)型線路連接中，當(dāng)一條發(fā)生故障，迅速恢復(fù)網(wǎng)絡(luò)的連通性，恢復(fù)過程只有1秒鐘的延時(shí)。如果沒有Uplink Fast技術(shù)那么spanning tree的恢復(fù)過程需要40秒鐘的延時(shí)；采用Cisco的MAC地址限制技術(shù)在Cisco交換機(jī)的端口上設(shè)置工作站網(wǎng)卡的MAC地址，Cisco交換機(jī)可以最大每端口設(shè)置132個(gè)MAC地址，實(shí)現(xiàn)網(wǎng)絡(luò)用戶接入的安全保障，不良動(dòng)機(jī)的用戶攜帶筆記本電腦也不能連入校園網(wǎng)內(nèi)。網(wǎng)絡(luò)的安全性設(shè)計(jì)隨著網(wǎng)絡(luò)的應(yīng)用日益普及，網(wǎng)絡(luò)用戶越來越多，網(wǎng)絡(luò)的安全性成為了所有網(wǎng)絡(luò)服務(wù)的提供者最關(guān)心的問題之一。對(duì)于校園網(wǎng)這樣的大型園區(qū)網(wǎng)，網(wǎng)絡(luò)的安全問題就越發(fā)重要。網(wǎng)絡(luò)系統(tǒng)中的安全性

58、問題包括網(wǎng)絡(luò)中信息系統(tǒng)的安全性和網(wǎng)絡(luò)本身固有的安全性。保證系統(tǒng)的安全性要從管理和技術(shù)角度同時(shí)考慮，通過制定不同的安全策略來達(dá)到特定的安全要求。網(wǎng)絡(luò)的安全策略在實(shí)現(xiàn)時(shí)主要針對(duì)兩種情況，一種是網(wǎng)絡(luò)系統(tǒng)自身的安全問題，如路由器的安全隱患、匿名FTP的安全隱患、TELNET的安全隱患等，可以通過對(duì)各種關(guān)鍵系統(tǒng)設(shè)備的加以控制來消除；另一種是給用戶提供的各種服務(wù)是否安全，主要體現(xiàn)在網(wǎng)絡(luò)應(yīng)用上，如用戶的數(shù)據(jù)或信息在網(wǎng)絡(luò)傳遞過程中的安全控制。其中網(wǎng)絡(luò)系統(tǒng)自身的安全程度將直接影響到整個(gè)系統(tǒng)的可用性和穩(wěn)定性，它是系統(tǒng)安全的基礎(chǔ)。一個(gè)系統(tǒng)存在的安全問題可能主要來源于兩方面：或者是安全控制機(jī)構(gòu)有故障；或者是系統(tǒng)安全定

59、義有缺陷。前者是一個(gè)軟件可靠性問題，可以用優(yōu)秀的軟件設(shè)計(jì)技術(shù)配合特殊的安全方針加以克服；而后者則需要精確描述安全系統(tǒng)。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系應(yīng)包含：訪問控制通過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前檢查安全漏洞通過對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效攻擊監(jiān)控通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取響應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）加密通訊主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息認(rèn)證良好的認(rèn)證體系可防止攻擊者假冒合法用戶備份和恢復(fù)良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)