校園網(wǎng)絡(luò)設(shè)計方案(畢業(yè)設(shè)計)

1、云南愛因森軟件學(xué)院課程設(shè)計網(wǎng)絡(luò)規(guī)劃與設(shè)計題 目： 愛大附中的局域網(wǎng)組建設(shè)計 學(xué) 院： 信息工程學(xué)院 專 業(yè)： 網(wǎng)絡(luò)技術(shù) 學(xué)生姓名： 蔣瀟 指導(dǎo)教師： 楊林海 日 期： 2010-10-16 成 績： 前言科學(xué)技術(shù)的發(fā)展日新月異，九十年代，在計算機技術(shù)和通信技術(shù)結(jié)合下，網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。如今，不僅計算機已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合，整個社會都不可能脫離網(wǎng)絡(luò)而存在。網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流，人們對網(wǎng)絡(luò)的認識也隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及而迅速改變。在不久的將來，網(wǎng)絡(luò)必將成為和 一樣通用的工具，成為人們生活、工作、學(xué)習(xí)中必不可少的一部分。Internet，即國際互聯(lián)網(wǎng)，是現(xiàn)在網(wǎng)絡(luò)應(yīng)用的主流，從它最

2、初在美國誕生至今已經(jīng)經(jīng)歷了三十多年。這個以TCP/IP協(xié)議為主體的國際互聯(lián)網(wǎng)絡(luò)已經(jīng)成為覆蓋全世界一百五十多個國家和地區(qū)的大型數(shù)據(jù)通信網(wǎng)絡(luò)。最初的Internet是由科研網(wǎng)絡(luò)形成的，主要是由一些大學(xué)和研究所等科研教育單位連接而成，逐漸發(fā)展到今天的規(guī)模。而進入九十年代后，由于各種商業(yè)信息進入了Internet，使得Internet得到了極大地發(fā)展，其擁有的主機數(shù)，連接的網(wǎng)絡(luò)數(shù)以及覆蓋面一直呈指數(shù)形式上升?，F(xiàn)在在Internet上可以提供或者獲得各種各樣的服務(wù)，比如通過電子郵件進行合同的起草和簽訂，或利用Internet直接挑選商品和購物。Internet是一個資源的網(wǎng)絡(luò)，其中擁有的信息資源幾乎覆蓋

3、所有的領(lǐng)域。Internet面向人類的社會，世界上數(shù)以億計的人們利用它進行通信和信息共享，通過發(fā)送和接收電子郵件，或和其他人的計算機建立連接、參加各種討論組并免費使用各種信息資源實現(xiàn)信息共享。Internet也是一個服務(wù)的網(wǎng)絡(luò)。在Internet上，許多單位、公司和組織提供了各種各樣的服務(wù)。比如WWW（World Wide Web全球信息網(wǎng)）服務(wù)、信息查詢服務(wù)等，向網(wǎng)絡(luò)上的其他用戶展示自己各方面的情況，并幫助這些用戶找到需要的信息。將來的網(wǎng)絡(luò)在Internet基礎(chǔ)上進一步發(fā)展，其功能、速度、適用范圍等必將全面超過現(xiàn)有的Internet。愛大附中對計算機網(wǎng)絡(luò)的建設(shè)投入了大量的人力和物力，在短短的

4、幾年中，已經(jīng)從最初僅僅局限在教育科研單位的網(wǎng)絡(luò)，迅速發(fā)展到今天遍及全國的包括教育、科研、商業(yè)、民用各個方面的數(shù)個大型網(wǎng)絡(luò)，如Chinanet（中國郵電網(wǎng)）、Cernet（中國教育網(wǎng)）、Gbnet（金橋網(wǎng)絡(luò)）等等。目前在網(wǎng)絡(luò)上提供有價值、有吸引力的信息，對一個單位或?qū)W校樹立自己的形象，提高自己的知名度，以及開拓和國際上其他學(xué)校、組織的聯(lián)系和往來能夠起到很顯著的作用。愛大附中校園網(wǎng)將實現(xiàn)與校內(nèi)各部門進行通信。XX大學(xué)校園網(wǎng)將為學(xué)校的科研、教學(xué)、管理提供必要的技術(shù)手段，為研究開發(fā)和培養(yǎng)人才建立平臺，借此加快學(xué)校的發(fā)展，以此加快學(xué)校的發(fā)展，成為一個具有示范性的學(xué)校。目 錄 TOC o 1-3 h z

5、u HYPERLINK l _Toc280877025 第1章 需求分析 PAGEREF _Toc280877025 h 5 HYPERLINK l _Toc280877026 1.1 實施背景 PAGEREF _Toc280877026 h 5 HYPERLINK l _Toc280877027 1.2 網(wǎng)絡(luò)應(yīng)用需求 PAGEREF _Toc280877027 h 5 HYPERLINK l _Toc280877028 1.3 網(wǎng)絡(luò)性能需求 PAGEREF _Toc280877028 h 5 HYPERLINK l _Toc280877029 1.4 信息點統(tǒng)計 PAGEREF _Toc28

6、0877029 h 6 HYPERLINK l _Toc280877030 校園鏈接 PAGEREF _Toc280877030 h 6 HYPERLINK l _Toc280877031 第2章 網(wǎng)絡(luò)總體設(shè)計 PAGEREF _Toc280877031 h 9 HYPERLINK l _Toc280877032 網(wǎng)絡(luò)架構(gòu)分析 PAGEREF _Toc280877032 h 9 HYPERLINK l _Toc280877033 2.2 設(shè)計思路 PAGEREF _Toc280877033 h 9 HYPERLINK l _Toc280877034 2.3 校園網(wǎng)的設(shè)計原則 PAGEREF _

7、Toc280877034 h 9 HYPERLINK l _Toc280877035 2.4 網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計 PAGEREF _Toc280877035 h 10 HYPERLINK l _Toc280877036 核心交換機設(shè)備選型（見附表） PAGEREF _Toc280877036 h 10 HYPERLINK l _Toc280877037 匯聚層設(shè)備選型（見附表1） PAGEREF _Toc280877037 h 10 HYPERLINK l _Toc280877038 接入層設(shè)備選型（見附表2） PAGEREF _Toc280877038 h 10 HYPERLINK l _To

8、c280877039 防火墻選型（見附表3） PAGEREF _Toc280877039 h 11 HYPERLINK l _Toc280877040 服務(wù)器選型（見附表4） PAGEREF _Toc280877040 h 11 HYPERLINK l _Toc280877041 2.5 接入Internet設(shè)計 PAGEREF _Toc280877041 h 11 HYPERLINK l _Toc280877042 2.6 物理/鏈路層配置原則 PAGEREF _Toc280877042 h 12 HYPERLINK l _Toc280877043 第3章 網(wǎng)絡(luò)安全與管理 PAGEREF _

9、Toc280877043 h 13 HYPERLINK l _Toc280877044 3.1 網(wǎng)絡(luò)安全 PAGEREF _Toc280877044 h 13 HYPERLINK l _Toc280877045 3.1.1 威脅網(wǎng)絡(luò)安全因素分析 PAGEREF _Toc280877045 h 13 HYPERLINK l _Toc280877046 3.1.2 網(wǎng)絡(luò)安全防范措施 PAGEREF _Toc280877046 h 14 HYPERLINK l _Toc280877047 3.2 網(wǎng)絡(luò)管理 PAGEREF _Toc280877047 h 14 HYPERLINK l _Toc2808

10、77048 3.2.1 網(wǎng)絡(luò)管理的內(nèi)容 PAGEREF _Toc280877048 h 14 HYPERLINK l _Toc280877049 3.2.2 網(wǎng)絡(luò)管理的手段 PAGEREF _Toc280877049 h 14 HYPERLINK l _Toc280877050 3.3 網(wǎng)絡(luò)安全策略配置 PAGEREF _Toc280877050 h 16 HYPERLINK l _Toc280877051 安全接入和配置 PAGEREF _Toc280877051 h 16 HYPERLINK l _Toc280877052 3.3.2 拒絕服務(wù)的防止 PAGEREF _Toc2808770

11、52 h 16 HYPERLINK l _Toc280877053 3.3.3 訪問控制 PAGEREF _Toc280877053 h 16 HYPERLINK l _Toc280877054 1 允許從內(nèi)網(wǎng)訪問internet，端口全開放。 PAGEREF _Toc280877054 h 16 HYPERLINK l _Toc280877055 電源系統(tǒng) PAGEREF _Toc280877055 h 16 HYPERLINK l _Toc280877056 第4章 綜合布線設(shè)計 PAGEREF _Toc280877056 h 17 HYPERLINK l _Toc280877057 4.

12、1 綜合布線的設(shè)計原則 PAGEREF _Toc280877057 h 17 HYPERLINK l _Toc280877058 4.2 信息點分布和環(huán)境分析 PAGEREF _Toc280877058 h 18 HYPERLINK l _Toc280877059 4.3 結(jié)構(gòu)化綜合布線系統(tǒng)的組成及設(shè)計 PAGEREF _Toc280877059 h 18 HYPERLINK l _Toc280877060 工作區(qū)子系統(tǒng)（Work Area）及其網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc280877060 h 18 HYPERLINK l _Toc280877061 4.3.2 配線子系統(tǒng)（Horiz

13、ontal）及其網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc280877061 h 19 HYPERLINK l _Toc280877062 干線子系統(tǒng)（Backbone）及其網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc280877062 h 19 HYPERLINK l _Toc280877063 4.3.4 設(shè)備間子系統(tǒng)（Equipment Room）及其網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc280877063 h 19 HYPERLINK l _Toc280877064 4.3.5 管理子系統(tǒng)（Administration）及其網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc280877064 h 19 HYPERLINK

14、l _Toc280877065 4.3.6 建筑群子系統(tǒng)（Campus Subsystem）及其網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc280877065 h 19 HYPERLINK l _Toc280877066 4.3.7 進線間子系統(tǒng)及其網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc280877066 h 20 HYPERLINK l _Toc280877067 防雷系統(tǒng) PAGEREF _Toc280877067 h 20 HYPERLINK l _Toc280877068 4.4.1 設(shè)計原則 PAGEREF _Toc280877068 h 20 HYPERLINK l _Toc280877069

15、4.4.2 防雷防浪涌 PAGEREF _Toc280877069 h 21 HYPERLINK l _Toc280877070 電源系統(tǒng)防雷 PAGEREF _Toc280877070 h 21 HYPERLINK l _Toc280877071 4.4.4 通訊線路雷電防護 PAGEREF _Toc280877071 h 21 HYPERLINK l _Toc280877072 4.4.5 機房內(nèi)部防雷輔助措施 PAGEREF _Toc280877072 h 22 HYPERLINK l _Toc280877073 4.5 接地系統(tǒng) PAGEREF _Toc280877073 h 22 H

16、YPERLINK l _Toc280877074 機房獨立接地要求 PAGEREF _Toc280877074 h 22 HYPERLINK l _Toc280877075 機房接地系統(tǒng) PAGEREF _Toc280877075 h 22 HYPERLINK l _Toc280877076 在施工中注意事項 PAGEREF _Toc280877076 h 22 HYPERLINK l _Toc280877077 4.6.1 工程施工前準備 PAGEREF _Toc280877077 h 22 HYPERLINK l _Toc280877078 現(xiàn)場施工 PAGEREF _Toc2808770

17、78 h 23 HYPERLINK l _Toc280877079 4.6.3 現(xiàn)場測試 PAGEREF _Toc280877079 h 24 HYPERLINK l _Toc280877080 4.6.4 施工驗收 PAGEREF _Toc280877080 h 25 HYPERLINK l _Toc280877081 第5章 IP地址劃分 PAGEREF _Toc280877081 h 26 HYPERLINK l _Toc280877082 5.1 IP 地址規(guī)劃 PAGEREF _Toc280877082 h 26 HYPERLINK l _Toc280877083 5.2 IP地址規(guī)

18、劃目標 PAGEREF _Toc280877083 h 26 HYPERLINK l _Toc280877084 5.3 IP地址規(guī)劃原則 PAGEREF _Toc280877084 h 26 HYPERLINK l _Toc280877085 5.4 校園網(wǎng)IP地址分配總則 PAGEREF _Toc280877085 h 26 HYPERLINK l _Toc280877086 5.5 VLAN需求 PAGEREF _Toc280877086 h 27 HYPERLINK l _Toc280877087 5.6 VLAN劃分設(shè)計 PAGEREF _Toc280877087 h 27 HYPE

19、RLINK l _Toc280877088 第6章 結(jié)論 PAGEREF _Toc280877088 h 28 HYPERLINK l _Toc280877089 致謝 PAGEREF _Toc280877089 h 28 HYPERLINK l _Toc280877090 附表 PAGEREF _Toc280877090 h 28 HYPERLINK l _Toc280877091 附表1 PAGEREF _Toc280877091 h 29 HYPERLINK l _Toc280877092 附表2 PAGEREF _Toc280877092 h 31 HYPERLINK l _Toc28

20、0877093 附表3 PAGEREF _Toc280877093 h 34 HYPERLINK l _Toc280877094 附表4服務(wù)器選型 PAGEREF _Toc280877094 h 34 HYPERLINK l _Toc280877095 附表5 PAGEREF _Toc280877095 h 37 HYPERLINK l _Toc280877096 附表6 PAGEREF _Toc280877096 h 37 HYPERLINK l _Toc280877097 附表7線纜類 PAGEREF _Toc280877097 h 38 第1章 需求分析1.1 實施背景愛大附中為了加快校

21、園信息化建設(shè)，需要建設(shè)一個高性能的、安全可靠的校園網(wǎng)絡(luò)，校園網(wǎng)建成后，要求能夠?qū)崿F(xiàn)校園內(nèi)部各種信息服務(wù)功能，實現(xiàn)與教育網(wǎng)的無阻礙連通，同時提供寬帶接入功能，以備主連接失效情況下的被用連接要求，能夠?qū)崿F(xiàn)校園辦公自動化需求。1.2 網(wǎng)絡(luò)應(yīng)用需求 這方面的需求不同學(xué)校有著明顯不同，大體都可以分為，教學(xué)、辦公、服務(wù)這四方面應(yīng)用。如對教學(xué)、科研方面的網(wǎng)絡(luò)設(shè)計應(yīng)考慮穩(wěn)定、擴展、安全等問題；辦公、服務(wù)等帶寬是要著重考慮的方面，所以學(xué)校應(yīng)該根據(jù)自己的實際情況來考慮網(wǎng)絡(luò)的結(jié)構(gòu)，及安全問題。校園網(wǎng)在信息服務(wù)與應(yīng)用方面應(yīng)滿足以下幾個方面的需求：1. 學(xué)校主頁。學(xué)校應(yīng)建立獨立的WWW服務(wù)器，在網(wǎng)上提高學(xué)校主頁等服務(wù)，

22、包括校情簡介、學(xué)校新聞、校報（電子報）、招生信息以及校內(nèi) 號碼和電子郵件地址查詢等。2. 文件傳輸服務(wù)?？紤]到師生之間共享軟件，校園網(wǎng)應(yīng)提供文件傳輸服務(wù)（ftp）。文件傳輸服務(wù)器上存放各種各樣自由軟件和驅(qū)動程序，師生可以根據(jù)自己需要隨時下載并把它們安裝在本機上。3. 校園網(wǎng)站建設(shè)（WWW、FTP、E-mail、DNS、PROXY代理、撥入訪問、流量計費等）；4. 多媒體輔助點播教學(xué)兼遠程教學(xué)：校園網(wǎng)要求具有數(shù)據(jù)、圖像、語音等多媒體實時通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。5. 校

23、園辦公管理；6. 學(xué)校教務(wù)管理；7. 校園通卡應(yīng)用；8. 網(wǎng)絡(luò)安全FIREWALL；9. 圖書管理、電子閱覽室；10. 系統(tǒng)應(yīng)提供基本的Web開發(fā)和信息制作的平臺。1.3 網(wǎng)絡(luò)性能需求性能需求：有服務(wù)效率、服務(wù)質(zhì)量、網(wǎng)絡(luò)吞吐率、網(wǎng)絡(luò)響應(yīng)時間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能/價格比等；根據(jù)本工程的特殊性，語音點和數(shù)據(jù)點使用相同的傳輸介質(zhì)，即統(tǒng)一使用超5類4對雙絞電纜，以實現(xiàn)語音、數(shù)據(jù)相互備份的需要；對于網(wǎng)絡(luò)主干，數(shù)據(jù)通信介質(zhì)全部使用光纖，語音通信主干使用大對數(shù)電纜；光纜和大對數(shù)電纜均留有余量；對于其他系統(tǒng)數(shù)據(jù)傳輸，可采用超5類雙絞線或?qū)Ｓ镁€纜。 信息點統(tǒng)計愛大附中聯(lián)網(wǎng)各樓所在位置及信息點

24、分布情況如下。1層2層3層4層5層6層1號宿宿宿宿宿舍1314141414辦公樓15171717圖書館4101313教學(xué)綜合樓621212121校醫(yī)室766合計698校園平面圖如下圖愛大附中網(wǎng)絡(luò)主干圖愛大附中網(wǎng)絡(luò)拓撲圖 邏輯圖如下系統(tǒng)圖第2章 網(wǎng)絡(luò)總體設(shè)計現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)化布線工程中多采用星型結(jié)構(gòu)，主要用于同一樓層，由各個房間的計算機間用集線器或者交換機連接產(chǎn)生的，它具有施工簡單，擴展性高，成本低和可管理性好等優(yōu)點；而校園網(wǎng)在分層布線主要采用樹型結(jié)構(gòu)；每個房間的計算機連接到本層的集線器或交換機，

25、然后每層的集線器或交換機在連接到本樓出口的交換機或路由器，各個樓的交換機或路由器再連接到校園網(wǎng)的通信網(wǎng)中，由此構(gòu)成了校園網(wǎng)的拓補結(jié)構(gòu)校園網(wǎng)采用星形的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，骨干網(wǎng)為1000M速率具有良好的可運行性、可管理性，能夠滿足未來發(fā)展和新技術(shù)的應(yīng)用，另外作為整個網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性，我們選擇熱路由備份可以有效地提高核心交換的可靠性。傳輸介質(zhì)也要適合建網(wǎng)需要。在樓宇之間采用1000M光纖，保證了骨干網(wǎng)絡(luò)的穩(wěn)定可靠，不受外界電磁環(huán)境的干擾，覆蓋距離大，能夠覆蓋全部校園。在樓宇內(nèi)部

26、采用超5類雙絞線，其連接狀態(tài)100m的傳遞距離能夠滿足室內(nèi)布線的長度要求。2.2 設(shè)計思路 進行校園網(wǎng)總體設(shè)計，首先要進行對象研究和需求調(diào)查，明確學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點及系統(tǒng)建設(shè)的需求和條件，對學(xué)校的信息化環(huán)境進行準確的描述；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校Intranet服務(wù)類型，進而確定系統(tǒng)建設(shè)的具體目標，包括網(wǎng)絡(luò)設(shè)施、站點設(shè)置、開發(fā)應(yīng)用和管理等方面的目標；第三是確定 HYPERLINK :/ qqread /tag/2017/index.html t _blank 網(wǎng)絡(luò)拓撲結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標和學(xué)校主要建筑分布特點，進行系統(tǒng)分析和設(shè)計；第四，確定技術(shù)設(shè)計的原則

27、要求，如在技術(shù)選型、布線設(shè)計、設(shè)備選擇、軟件 HYPERLINK :/ qqread /z/sys/safe-seting/index.html t _blank 配置等方面的標準和要求；第五，規(guī)劃校園網(wǎng)建設(shè)的實施步驟。 校園網(wǎng)總體設(shè)計方案的科學(xué)性，應(yīng)該體現(xiàn)在能否滿足以下基本要求方面：（1）整體規(guī)劃安排；（2）先進性、開放性和標準化相結(jié)合；（3）結(jié)構(gòu)合理，便于維護；（4）高效實用；（5）支持寬帶 HYPERLINK :/ qqread /tag/1331/index.html t _blank 多媒體業(yè)務(wù)；（6）能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。2.3 校園網(wǎng)的設(shè)計原則（1）先進性原則

28、以先進、成熟的網(wǎng)絡(luò)通信技術(shù)進行組網(wǎng)，支持數(shù)據(jù)、語音和視頻圖像等多媒體應(yīng)用，采用基于交換的技術(shù)代替?zhèn)鹘y(tǒng)的基于路由的技術(shù)，并且能確保網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)產(chǎn)品在幾年內(nèi)基本滿足需求。（2）開放性原則校園網(wǎng)的建設(shè)應(yīng)遵循國際標準，采用大多數(shù)廠家支持的標準協(xié)議及標準接口，從而為異種機、異種操作系統(tǒng)的互連提供便利和可能。（3）可管理性原則網(wǎng)絡(luò)建設(shè)的一項重要內(nèi)容是網(wǎng)絡(luò)管理，網(wǎng)絡(luò)的建設(shè)必須保證網(wǎng)絡(luò)運行的可管理性。在優(yōu)秀的網(wǎng)絡(luò)管理之下，將大大提高網(wǎng)絡(luò)的運行速率，并可迅速簡便地進行網(wǎng)絡(luò)故障的診斷。（4）安全性原則信息系統(tǒng)安全問題的中心任務(wù)是保證信息網(wǎng)絡(luò)的暢通，確保授權(quán)實體經(jīng)過該網(wǎng)絡(luò)安全地獲取信息，并保證該信息的完整和可靠。

29、網(wǎng)絡(luò)系統(tǒng)的每一個環(huán)節(jié)都可能造成安全與可靠性問題。（5）靈活性和可擴充性選擇網(wǎng)絡(luò)拓撲結(jié)構(gòu)的同時還需要考慮將來的發(fā)展，由于網(wǎng)絡(luò)中的設(shè)備不是一成不變的，如需要添加或刪除一個工作站，對一些設(shè)備進行更新?lián)Q代，或變動設(shè)備的位置，因此所選取的網(wǎng)絡(luò)拓撲結(jié)構(gòu)應(yīng)該能夠容易的進行配置以滿足新的需要。（6）穩(wěn)定性和可靠性可靠性對于一個網(wǎng)絡(luò)拓撲結(jié)構(gòu)是至關(guān)重要的，在局域網(wǎng)中經(jīng)常發(fā)生節(jié)點故障或傳輸介質(zhì)故障，一個可靠性高的網(wǎng)絡(luò)拓撲結(jié)構(gòu)除了可以使這些故障對整個網(wǎng)絡(luò)的影響盡可能小以外，同時還應(yīng)具有良好的故障診斷和故障隔離功能。2.4 網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計校園網(wǎng)網(wǎng)絡(luò)整體分為三個層次：核心層、匯聚層、接入層。為實現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心

30、層由1個核心節(jié)點組成，包括教學(xué)區(qū)區(qū)域、服務(wù)器群；匯聚層設(shè)在每棟樓上，每棟樓設(shè)置一個匯聚節(jié)點，匯聚層為高性能“小核心”型交換機，根據(jù)各個樓的配線間的數(shù)量不同，可以分別采用1臺或是2臺匯聚層交換機進行匯聚，為了保證數(shù)據(jù)傳輸和交換的效率，現(xiàn)在各個樓內(nèi)設(shè)置三層樓內(nèi)匯聚層，樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時提高了網(wǎng)絡(luò)的安全性；接入層為每個樓的接入交換機，是直接與用戶相連的設(shè)備。本實施方案從網(wǎng)絡(luò)運行的穩(wěn)定性、安全性及易于維護性出發(fā)進行設(shè)計，以滿足客戶需求。2.4.1核心交換機設(shè)備選型（見附表）通常將網(wǎng)絡(luò)主干部分稱為核心層，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供油畫，可靠的骨干傳輸結(jié)構(gòu)，因

31、此核心層交換機應(yīng)擁有更高的可靠性，性能和吞吐量。核心層交換機選擇華為QuidwayS9303交換機，核心層交換機位于圖書館，配置一臺。安全特性的華為Quidway S9303交換機成為中小型網(wǎng)絡(luò)核心交換機的理想選擇。適用于為政府、學(xué)校、企業(yè)構(gòu)建高速、安全、可靠的千兆網(wǎng)絡(luò)。匯聚層設(shè)備選型（見附表1）通常將位于接入層和核心層之間的部分稱為分布層或匯聚層，匯聚層交換層是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。匯聚層交換機。接入層設(shè)備選型（見附表2）通常將網(wǎng)絡(luò)中直接面向

32、用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層，接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機具有低成本和高端口密度特性。接入層交換機選擇CISCO SRW2024和CISCO SRW2048愛大附中構(gòu)建該校園網(wǎng)絡(luò)對接入層交換機的需求量。防火墻選型（見附表3）愛大附中構(gòu)建該校園網(wǎng)絡(luò)選用的防火墻是華為賽門鐵克USG3030( USG3030)服務(wù)器選型（見附表4）愛大附中構(gòu)建該校園網(wǎng)絡(luò)選用的服務(wù)器如下電子郵件服務(wù)器（見附表4）eWorld 郵件服務(wù)器M參數(shù)（見附表4）文件傳輸服務(wù)器（見附表4）eWorld 寬帶主機S20參數(shù)（見附表4）計費服務(wù)器（見附表4）代理服務(wù)器（見附表4）Web服務(wù)器（見附表4

33、）Ups（見附表5）山特C3KVA/2100W（標參數(shù)數(shù)）調(diào)制解調(diào)器（見附表6）ATRIE WireSpan 300E(ATRIE WireSpan 300E)線纜類（見附表7）安普 超五類非屏蔽雙絞線/6-219507-4AMP 4芯室外鎧裝光纜(50/125)大唐電信12根鋼絲鎧裝8芯多模室外直埋光纜光纖線TCL 12芯室內(nèi)多模光纜TCL 12芯室內(nèi)單模光纜2.5 接入Internet設(shè)計Internet接入方式主要有以下六種:撥號上網(wǎng)方式,使用ISDN專線入網(wǎng),使用ADSL寬帶入網(wǎng),使用DDN專線入網(wǎng),使用幀中繼方式入網(wǎng),局域網(wǎng)接入。1撥號上網(wǎng)方式撥號上網(wǎng)方式又稱為撥號IP方式，因為采用

34、撥號上網(wǎng)方式，在上網(wǎng)之后會被動態(tài)地分配一個合法的IP地址。用撥號方式上網(wǎng)的投資不大，但是能使用的功能比撥號仿真終端方法聯(lián)入要強得多。撥號上網(wǎng)就是通過 撥號的方式接入Internet的，但是用戶的電腦與接入設(shè)備連接時，該接入設(shè)備不是一般的主機，而是稱為接入服務(wù)（Access Server）的設(shè)備，同時在用戶電腦與接入設(shè)備之間的通信必須用專門的通信協(xié)議SLIP或PPP。撥號上網(wǎng)的特點：投資少，適合一般家庭及個人用戶使用；速度慢，因為其受 線及相關(guān)接入設(shè)備的硬件條件限制，一般在56K左右。2ISDN專線接入ISDN專線接入又稱為一線通、窄帶綜合業(yè)務(wù)數(shù)字網(wǎng)業(yè)務(wù)（N-ISDN）。它是在現(xiàn)有 網(wǎng)上開發(fā)的一

35、種集語音、數(shù)據(jù)和圖像通信于一體的綜合業(yè)務(wù)形式。一線通利用一對普通 線即可得到綜合電信服務(wù)：邊上網(wǎng)邊打 、邊上網(wǎng)邊發(fā) 、兩部計算機同時上網(wǎng)、兩部 同時通話等。通過ISDN專線上網(wǎng)的特點：方便，速度快，最高上網(wǎng)速度可達到128K/S。3ADSL寬帶入網(wǎng)ADSL即不對稱數(shù)字線路技術(shù)，是一種不對稱數(shù)字用戶線實現(xiàn)寬帶接入互聯(lián)網(wǎng)的技術(shù)，其作為一種傳輸層的技術(shù)，利用銅線資源，在一對雙絞線上提供上行640kbps、下行8Mbps的寬帶，從而實現(xiàn)了真正意義上的寬帶接入。ADSL寬帶入網(wǎng)特點：與撥號上網(wǎng)或ISDN相比，減輕了 交換機的負載，不需要撥號，屬于專線上網(wǎng)，不需另繳 費。4DDN專線入網(wǎng) DDN即數(shù)字數(shù)據(jù)

36、網(wǎng)，是利用數(shù)字傳輸通道（光纖、數(shù)字微波、衛(wèi)星）和數(shù)字交叉復(fù)用節(jié)點組成的數(shù)字數(shù)據(jù)傳輸網(wǎng)。可以為用戶提供各種速率的高質(zhì)量數(shù)字專用電路和其它新業(yè)務(wù)，以滿足用戶多媒體通信和組建中高速計算機通信網(wǎng)的需要。其主要特點： 傳輸質(zhì)量高，信道利用率高；傳輸速率高，網(wǎng)絡(luò)時延??；數(shù)據(jù)信息傳輸透明度高，可支持任何規(guī)程，可傳輸語音、數(shù)據(jù)、 、圖象等多種業(yè)務(wù)；適用于數(shù)據(jù)信息流量大的校園；網(wǎng)絡(luò)運行管理簡便，對數(shù)據(jù)終端的數(shù)據(jù)傳輸速率沒有特殊要求。 其主要優(yōu)點：能提供高性能的點到點通信；通信保密性強，特別適合金融、保險等保密性要求高的客戶需要；傳輸質(zhì)量高，網(wǎng)絡(luò)時延小，通信速率可根據(jù)用戶需要選擇；信道固定分配，充分保證了通信的可

37、靠性，保證用戶的帶寬不會受其他用戶的影響；用戶通過這條高速的國際互聯(lián)網(wǎng)通道，可構(gòu)筑自己的Internet、E-mail等應(yīng)用系統(tǒng)；用戶網(wǎng)絡(luò)的整體接入使局域網(wǎng)內(nèi)的PC均可共享互聯(lián)網(wǎng)資源；用戶可免費得到多個Internet 合法IP地址及域名；用戶可實現(xiàn)每天24小時全天候的信息發(fā)布，即用戶可建立自己的Web站點，向國際互聯(lián)網(wǎng)發(fā)布自己的信息或提供信息服務(wù)；用戶可通過防火墻等技術(shù)保護內(nèi)部網(wǎng)絡(luò)免受不良侵害；用戶可通過VPN（Virtual Private Network）虛擬私用網(wǎng)絡(luò)功能，利用首創(chuàng)網(wǎng)絡(luò)綜 合信息平臺實惠安全、可靠的企業(yè)網(wǎng)的國際網(wǎng)絡(luò)互聯(lián)，從而構(gòu)建起企業(yè)的國際專用互 聯(lián)網(wǎng)絡(luò)。 5幀中繼方式入

38、網(wǎng)幀中繼是在OSI第二層上用簡化的方法傳送和交換數(shù)據(jù)單元的一種技術(shù)。通過幀中繼入網(wǎng)需申請幀中繼電路，配備支持TCP/IP協(xié)議的路由器，用戶必須有LAN（局域網(wǎng)）或IP主機，同時需申請IP地址和域名。入網(wǎng)后用戶網(wǎng)上的所有工作站均可享受Internet的所有服務(wù)。幀中繼上網(wǎng)特點：通信效率高，租費低，適用于LAN之間的遠程互聯(lián)，傳輸速率在9600bps2048kbps之間。6局域網(wǎng)接入局域網(wǎng)連接就是把用戶的電腦連接到一個與Internet直接相連的局域網(wǎng)LAN上，并且獲得一個永久屬于用戶電腦的IP地址。不需要Modem和 線，但是需要有網(wǎng)卡才能與LAN通信。同時要求用戶電腦軟件的配置要求比較高，一般

39、需要專業(yè)人員為用戶的電腦進行配置，電腦中還應(yīng)配有TCP/IP軟件。局域網(wǎng)接入的特點：傳輸速率高，對電腦配置要求高，需要有網(wǎng)卡，需要安裝配有TCP/IP的軟件。通過對比選擇使用DDN專線入網(wǎng)，DDN專線的特點：采用數(shù)字電路，傳輸質(zhì)量高，信道利用率高，數(shù)據(jù)信息流量大，時延小，通信速率可根據(jù)需要選擇；電路可以自動迂回，可靠性高，適用于校園網(wǎng)絡(luò)。校園網(wǎng)采用DDN專線接入的方式上網(wǎng)，校園內(nèi)上網(wǎng)采用NAT的方式，保證師生上網(wǎng)方便。 物理/鏈路層配置原則物理/鏈路層配置遵循下面的原則：1. 網(wǎng)絡(luò)設(shè)備互連的物理端口都應(yīng)該綁定端口的速率和全雙工模式；2. 建議所有的Vlan都不要穿透核心層，所有的Vlan都將在

40、匯聚層交換機上終結(jié)；3. 本實施方案建議不要啟用STP生成樹協(xié)議，由于所有的Vlan都已在匯聚層交換機終結(jié)，在二層上并沒有環(huán)路存在，故無必要啟用；如果開啟基于每個Vlan的生成樹協(xié)議，廣播報文將會很多，影響核心交換機性能和網(wǎng)絡(luò)收斂時間；4. 所有核心層和匯聚層交換機之間的互連端口均設(shè)置為Trunk模式，但目前只容許互連Vlan通過，以應(yīng)付將來有Vlan穿越核心層這種情況；5. 匯聚層交換機和接入交換機之間的互連端口設(shè)置為Trunk模式。 第3章 網(wǎng)絡(luò)安全與管理3.1 網(wǎng)絡(luò)安全校園網(wǎng)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來自于網(wǎng)外。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)

41、計，威脅校園網(wǎng)安全的攻擊行為大概有40左右是來自于網(wǎng)絡(luò)內(nèi)部，如何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護體系需要重點關(guān)注的地方。 威脅網(wǎng)絡(luò)安全因素分析計算機網(wǎng)絡(luò)安全受到的威脅包括：1.“黑客”的攻擊；2. 計算機病毒；3. 拒絕服務(wù)攻擊（Denial of Service Attack）。安全威脅的類型：1、非授權(quán)訪問。指對網(wǎng)絡(luò)設(shè)備及信息資源進行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達到占用合法用戶資源的目的。3、破壞

42、數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。4、干擾系統(tǒng)正常運行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運行方法，減慢系統(tǒng)的響應(yīng)時間等手段。這會使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴格響應(yīng)時間要求的服務(wù)不能及時得到響應(yīng)。5、病毒與惡意攻擊。指通過網(wǎng)絡(luò)傳播病毒或惡意Java、active X等，其破壞性非常高，而且用戶很難防范。6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如Windows

43、的安全漏洞便有很多。7、電磁輻射。電磁輻射對網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。另一方面，電磁泄漏可以導(dǎo)致信息泄露。 網(wǎng)絡(luò)安全防范措施在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實現(xiàn)多種信息安全，保障校園內(nèi)部網(wǎng)絡(luò)安全，我們選購了一套網(wǎng)絡(luò)安全防范設(shè)備。1 瑞星殺毒軟件網(wǎng)絡(luò)版1. 超強病毒查殺2. 智能主動防御3. 增強型全網(wǎng)漏洞管理4. 強大的網(wǎng)絡(luò)管理能力是網(wǎng)絡(luò)安全的基礎(chǔ)部署、控制、執(zhí)行、升級、報告和日志、二次開發(fā)。 5. 兼容多種平臺6. 一體化智能服務(wù)體系2 瑞星企業(yè)級防火墻瑞星全功

44、能NP防火墻是一款整合多種安全防護功能的智能網(wǎng)絡(luò)安全防火墻，它是瑞星公司針對中小企業(yè)級用戶定制的一款高端防火墻，型號為：RFW-SME。 瑞星全功能NP防火墻整合了多種安全防護功能，是建構(gòu)中小型企業(yè)網(wǎng)絡(luò)的最佳選擇。RFW-SME擁有通用防火墻功能、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、主動式入侵檢測（IDS）、虛擬專網(wǎng)（VPN）、帶寬管理、內(nèi)容過濾、以及策略管理等功能。通過架設(shè)瑞星全功能NP防火墻，可以保護用戶的網(wǎng)絡(luò)免于黑客的攻擊，同時也幫助用戶利用因特網(wǎng)的資源建構(gòu)網(wǎng)絡(luò)安全機制及虛擬專網(wǎng)服務(wù)，還提供了不同等級的網(wǎng)絡(luò)帶寬管理，讓一些特殊的應(yīng)用服務(wù)可以確保使用帶寬。 3 瑞星入侵檢測系統(tǒng)作為一種防火墻的合理補充

45、，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。瑞星RIDS-100入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，另外RIDS-100入侵檢測系統(tǒng)可以與防火墻聯(lián)動，自動配置防火墻策略，配合防火墻系統(tǒng)使用，可以全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。為了加強對引擎進行訪問的用戶的管理，RIDS-100系統(tǒng)設(shè)計了一套完善的用戶管理機制，每個管理用戶配有一把電子鑰匙（串口或USB接口）

46、，內(nèi)裝有該用戶的密鑰和加密算法。用戶在對系統(tǒng)進行管理時必須插入自己的鑰匙并輸入正確的口令。檢測引擎的接入對被保護網(wǎng)絡(luò)是透明的，它對被保護網(wǎng)絡(luò)的任何流量和請求均不做反應(yīng)，不影響被保護網(wǎng)絡(luò)的性能。 3.2 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱。 網(wǎng)絡(luò)管理的內(nèi)容(1）網(wǎng)絡(luò)故障管理；(2) 網(wǎng)絡(luò)配置管理；(3) 網(wǎng)絡(luò)性能管理；(4) 網(wǎng)絡(luò)計費管理；(5) 網(wǎng)絡(luò)安全管理。 網(wǎng)絡(luò)管理的手段在校園網(wǎng)絡(luò)管理方面，為了便于校園網(wǎng)絡(luò)管理人員的管理及維護，我們選購Quidview網(wǎng)絡(luò)管理軟件。Quidview網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，用戶可以根據(jù)自己的管理需要

47、和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實現(xiàn)“按需建構(gòu)”。Quidview網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計，通過安裝不同的業(yè)務(wù)組件實現(xiàn)了設(shè)備管理、VPN監(jiān)視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺，并能夠與多種通用網(wǎng)管平臺集成，實現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)集中監(jiān)視Quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓撲發(fā)現(xiàn)功能，實現(xiàn)全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設(shè)備的運行狀況，并根據(jù)網(wǎng)絡(luò)運行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運行。故障管理故障管理主要功能是對全網(wǎng)設(shè)備的告警信息和運行信息進行實時監(jiān)控，查詢和統(tǒng)計設(shè)備的告警信息。3. 性

48、能監(jiān)控Quidview網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。通過性能任務(wù)的配置，可自動獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性能的門限，當(dāng)性能超過門限時，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過統(tǒng)計不同線路、不同資源的利用情況，為優(yōu)化或擴充網(wǎng)絡(luò)提供依據(jù)。服務(wù)器監(jiān)視管理服務(wù)器是企業(yè)IP架構(gòu)中的重要組成部分，通過Quidview，可實現(xiàn)服務(wù)器與設(shè)備的統(tǒng)一管理。設(shè)備配置文件管理當(dāng)網(wǎng)絡(luò)規(guī)模較大時，網(wǎng)絡(luò)管理員的配置文件管理工作將十分繁重，如果沒有好的配置文件維護工具，網(wǎng)絡(luò)管理員就只能手動備份配置文件。這樣就給網(wǎng)絡(luò)管理員管理、維護網(wǎng)絡(luò)帶來一定的困難。Quidview網(wǎng)絡(luò)配置中心支持對設(shè)備配

49、置文件的集中管理，包括配置文件的備份、恢復(fù)以及批量更新等操作，同時還實現(xiàn)了配置文件的基線化管理，可以對配置文件的變化進行比較跟蹤。6. 設(shè)備軟件升級管理Quidview提供完善的設(shè)備軟件備份升級控制機制。使用Quidview，管理員可以方便地查詢設(shè)備上運行的軟件版本，并利用升級分析功能來確定設(shè)備運行軟件是否需要升級。當(dāng)升級軟件版本時，可以利用Quidview集中備份設(shè)備運行軟件，然后進行批量升級。升級之后，可以使用Quidview進行升級結(jié)果驗證，確保升級操作萬無一失。7.集群管理針對大量二層交換機設(shè)備的應(yīng)用環(huán)境，Quidview網(wǎng)絡(luò)管理軟件提供集群管理功能，通過一個指定公網(wǎng)IP的設(shè)備（稱作命

50、令交換機）對網(wǎng)絡(luò)進行管理。8. 堆疊管理Quidview網(wǎng)絡(luò)管理軟件通過堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對大量設(shè)備的統(tǒng)一管理維護。9. 故障定位與地址反查針對最為常見的端口故障，Quidview網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測工具路徑跟蹤和端口環(huán)回測試；當(dāng)用戶報告網(wǎng)絡(luò)端口使用異常時，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對指定用戶端口做環(huán)回測試，直接定位端口故障。10. RMON管理RMON管理根據(jù)RFC1757定義的標準RMON-MIB及華為3Com自定義告警擴展MIB對主機設(shè)備進行遠程監(jiān)視管理。3.3 網(wǎng)絡(luò)安全策略配置安全接入和配置安全接入和配置是指在物理(控

51、制臺)或邏輯(telnet)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過認證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠程訪問的安全設(shè)置方法如下表19安全接入和配置方法訪問方式保證網(wǎng)絡(luò)設(shè)備安全的方法備注Console控制接口的訪問設(shè)置密碼和超時限制建議超時限制設(shè)成5分鐘進入特權(quán)exec和設(shè)備配置級別的命令行配置Radius來記錄logon/logout時間和操作活動；配置至少一個本地賬戶作應(yīng)急之用telnet訪問采用ACL限制，指定從特定的IP地址來進行telnet訪問；配置Radius安全紀錄方案；設(shè)置超時限制SSH訪問激活SSH訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進行設(shè)備安全登陸WEB管理訪問取

52、消Web管理功能SNMP訪問常規(guī)的SNMP訪問是用ACL限制從特定IP地址來進行SNMP訪問；記錄非授權(quán)的SNMP訪問并禁止非授權(quán)的SNMP企圖和攻擊為增加安全,建議更改缺省的SNMP Commutiy子串設(shè)置不同賬號通過設(shè)置不同的賬號的訪問權(quán)限，提高安全性 拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn)TCP SYN泛濫攻擊、Smurf攻擊等；網(wǎng)絡(luò)設(shè)備的防TCP SYN的方法主要是配置網(wǎng)絡(luò)設(shè)備TCP SYN臨界值，若多于這個臨界值，則丟棄多余的TCP SYN數(shù)據(jù)包；防Smurf攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā)ICMP echo請求(directed broadcast)和設(shè)置ICMP包臨

53、界值，避免成為一個Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。 訪問控制1 允許從內(nèi)網(wǎng)訪問internet，端口全開放。2 允許從公網(wǎng)到DMZ（非軍事）區(qū)的訪問請求：WEB服務(wù)器只開放80端口，mail服務(wù)器只開放25和110端口。禁止從公網(wǎng)到內(nèi)部區(qū)的訪問請求，端口全關(guān)閉。4 允許從內(nèi)網(wǎng)訪問DMZ（非軍事）區(qū)，端口全開放5 允許從DMZ（非軍事）區(qū)訪問internet，端口全開放6 禁止從DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。電源系統(tǒng)為保證網(wǎng)絡(luò)系統(tǒng)的安全運轉(zhuǎn)及電源發(fā)生故障時重要數(shù)據(jù)的儲存,須配置具有高可靠性的UPS電源。為此,在網(wǎng)絡(luò)中心配置了一套山特C3KVA/2100W的UPS電源。第4章 綜合布線設(shè)

54、計4.1 綜合布線的設(shè)計原則 綜合布線同傳統(tǒng)的布線相比較，有著許多優(yōu)越性，是傳統(tǒng)布線所無法比及的。其特點主要表現(xiàn)為它的實用性、功能性、先進性、靈活性、方便性、可靠性、擴展性、開放性、標準化、經(jīng)濟性和生命周期。而且在設(shè)計、施工和維護方面也給人們帶來了許多方便。（1）實用性 實施后的校園網(wǎng)控制系統(tǒng)，其所有的子系統(tǒng)，諸如綜合布線系統(tǒng)，數(shù)據(jù)通訊，都滿足國際標準，具有良好的用戶使用界面。并且，網(wǎng)絡(luò)管理功能完善且方便使用。 （2）功能性 為用戶提供快捷、開放、易于管理的語音與數(shù)據(jù)信息基礎(chǔ)傳輸平臺。布線系統(tǒng)應(yīng)能適應(yīng)各種計算機網(wǎng)絡(luò)體系結(jié)構(gòu)的需要,并能支持語音或樓宇自控和保安監(jiān)控等系統(tǒng)的應(yīng)用。可為用戶提供可視圖

55、文、電子信箱、中國公用分組交換數(shù)據(jù)網(wǎng)(CHINAPAC)接口,為用戶提供電子數(shù)據(jù)交換(EDI)等各種服務(wù)的傳輸平臺,為實現(xiàn)無紙辦公創(chuàng)造條件。為用戶及時傳遞可靠、準確的各類重要信息,最終實現(xiàn)辦公自動化系統(tǒng)(OA)。（3）先進性 布線系統(tǒng)應(yīng)適應(yīng)綜合布線技術(shù)發(fā)展的潮流,能為數(shù)據(jù)及高清晰圖像信息提供高速及寬帶的傳輸能力,適應(yīng)異步傳輸模式(ATM)。各性能指標滿足支持高帶寬的100 M、1000 M以太網(wǎng)和異步傳輸(ATM)應(yīng)用,滿足寬帶綜合業(yè)務(wù)數(shù)字網(wǎng)(B-ISDN)的要求，支持復(fù)雜的多任務(wù)的ISDN、DDN、xDSL、X.25 等分組交換接入應(yīng)用,能實現(xiàn)大廈與Internet等全球信息高速公路接軌的需

56、求。布線系統(tǒng)要既能滿足現(xiàn)階段技術(shù)水平應(yīng)用的需要，也能滿足未來多媒體大量的聲音、圖像、數(shù)據(jù)傳輸?shù)男枰＃?）靈活性 系統(tǒng)中的任一部分的聯(lián)接都應(yīng)是靈活的，即從物理接線到數(shù)據(jù)通訊，自動控制設(shè)備的聯(lián)接都不受或極少受物理位置和這些設(shè)備類型的限制。（5）方便性 設(shè)備變遷時要有高度的靈活性、管理的方便性,能在設(shè)備布局和需要發(fā)生變化時實施靈活的線路管理,能夠保證系統(tǒng)很容易擴充和升級而不必變動整體配線系統(tǒng),能夠提供有效的工具和手段，以簡單、方便地進行線路的分析、檢測和故障隔離，當(dāng)故障發(fā)生時，可迅速找到故障點并加以排除。（6）可靠性 具有對環(huán)境的良好適應(yīng)能力(如防塵、防火、防水)，對溫度、濕度、電磁場以及建筑物的

57、振動等的適應(yīng)能力。系統(tǒng)可方便地設(shè)置雷電、異常電流和電壓保護裝置，使設(shè)備免受破壞。（7）擴展性 適應(yīng)未來網(wǎng)絡(luò)發(fā)展的需要，系統(tǒng)的擴充升級容易。系統(tǒng)不僅能支持現(xiàn)有常規(guī)的計算機網(wǎng)絡(luò)、電腦終端、 、 、攝像機、控制設(shè)備等通信需要，而且能支持未來的語音、視頻、數(shù)據(jù)多網(wǎng)融合的局域網(wǎng)技術(shù)和接入網(wǎng)技術(shù)，具有適應(yīng)未來需求，平穩(wěn)過度到增強型分布技術(shù)的智能型布線系統(tǒng)。由于所有基礎(chǔ)設(shè)施（材料、部件、通訊設(shè)備）都采用國際標準，因此，無論計算機設(shè)備、通訊設(shè)備、控制設(shè)備隨技術(shù)如何發(fā)展，將來都可以很方便地將這些設(shè)備聯(lián)到系統(tǒng)中去。（8）開放性 結(jié)構(gòu)化布線系統(tǒng)能滿足任何特定建筑物及通信網(wǎng)絡(luò)的布線要求,完全開放化,既支持集中式網(wǎng)絡(luò)系

58、統(tǒng),又支持分布式網(wǎng)絡(luò)系統(tǒng),支持不同廠家、不同類別的網(wǎng)絡(luò)產(chǎn)品；為用戶提供統(tǒng)一的局域網(wǎng)和廣域網(wǎng)接口,滿足目前要求和未來發(fā)展的需要。（9）標準化 綜合布線工程所有網(wǎng)絡(luò)通道、信息端口系統(tǒng)應(yīng)遵循統(tǒng)一的標準和規(guī)范,性能指標應(yīng)保證達到建筑與建筑群綜合布線工程設(shè)計、施工與驗收規(guī)范標準(CECS-2000)的要求,并高于ISO/IEC11801的CLASS D和OPTICAL CLASS的應(yīng)用標準。（10）經(jīng)濟性 經(jīng)濟性即系統(tǒng)經(jīng)濟、使用簡單、維護方便、管理成本低，布線出口方式美觀、耐用、防塵。（11）生命周期 本項目系統(tǒng)設(shè)計能滿足現(xiàn)在和未來的通信網(wǎng)絡(luò)應(yīng)用需要,具有20年使用生命周期。4.2 信息點分布和環(huán)境分析

59、愛大附中大學(xué)的信息點分布如下：聯(lián)網(wǎng)各樓所在位置及信息點分布情況1層2層3層4層5層6層1號宿宿宿宿宿舍1314141414辦公樓15171717圖書館4101313教學(xué)綜合樓621212121校醫(yī)室766合計698環(huán)境分析1宿舍樓、3宿舍樓和5號宿舍樓距離較近，成一字型，即西一字型， 2號宿舍樓、4號宿舍樓和6號宿舍樓距離較近，也成一字型，即東一字型，圖書館樓處于校園網(wǎng)的中心位置，所以考慮將核心交換機放置在圖書館樓， 4號宿舍樓為6棟宿舍樓的中心所有放置匯聚層交換機與圖書館鏈接。辦公樓、教學(xué)

60、綜合樓、校醫(yī)室各放一臺匯聚層交換機與圖書館用光纖鏈接。4.3 結(jié)構(gòu)化綜合布線系統(tǒng)的組成及設(shè)計綜合布線系統(tǒng)（PDS，Premises Distribution System）是一套開放式的布線系統(tǒng)，可以支持幾乎所有的數(shù)據(jù)、語音設(shè)備及各種通信 HYPERLINK :/ qqread /z/protocol/index.html t _blank 協(xié)議，同時，由于PDS充分考慮了通信技術(shù)的發(fā)展，設(shè)計時有足夠的技術(shù)儲備，能充分滿足用戶長期的需求，應(yīng)用范圍十分廣泛。而且結(jié)構(gòu)化綜合布線系統(tǒng)具有高度的靈活性，各種設(shè)備位置的改變，ww.qqread /z/network/29/index.html t _bl