校園網(wǎng) 設(shè)計(jì)方案

校園網(wǎng)設(shè)計(jì)方案學(xué)院：xxxxxx班級(jí)：xxxxxxx指導(dǎo)老師：xxxxxxx學(xué)號(hào)：xxxxxxxxx姓名：xxxxxx目錄【摘要】 -1-1. 校園網(wǎng)設(shè)計(jì)目的 -2-2. 校園網(wǎng)設(shè)計(jì)原則 -2-2.1統(tǒng)一規(guī)劃,分步實(shí)施 -3-2.2先進(jìn)性、原則性與合用性相結(jié)合 -3-2.3可擴(kuò)展性 -3-2.4安全性和可靠性 -3-2.5易管理性 -4-3. 校園網(wǎng)需求分析 -4-3.1校園網(wǎng)功效 -4-3.2主機(jī)系統(tǒng)的規(guī)定 -5-3.3網(wǎng)絡(luò)拓?fù)涞倪x用 -5-3.4校園網(wǎng)的技術(shù)方案設(shè)計(jì) -5-4. 校園網(wǎng)設(shè)計(jì)方案 -6-4.1總體架構(gòu)設(shè)計(jì) -6-4.2網(wǎng)絡(luò)體系構(gòu)造的選擇 -6-4.3主干網(wǎng)設(shè)計(jì) -7-4.4架構(gòu)設(shè)計(jì)闡明 -8-4.6IP地址的規(guī)劃 -10-4.7設(shè)備的選型 -11-5.校園網(wǎng)安全管理 -12-5.1安全技術(shù)的應(yīng)用 -12-5.2VLAN的劃分 -12-5.3防火墻的使用 -13-5.4管理員安全管理與服務(wù)支持 -14-5.5完善的制度 -14-6.學(xué)習(xí)心得 -15-參考文獻(xiàn) -15-

校園網(wǎng)設(shè)計(jì)【摘要】：基于校園網(wǎng)的學(xué)習(xí)平臺(tái)開(kāi)發(fā)設(shè)計(jì)重要是為教師和學(xué)習(xí)者提供一種網(wǎng)絡(luò)化的教學(xué)和學(xué)習(xí)環(huán)境,使學(xué)生理解、熟悉網(wǎng)絡(luò)化的學(xué)習(xí)方式,并為之提供體驗(yàn)知識(shí)、技能應(yīng)用的場(chǎng)合.而隨著全球信息化進(jìn)程的快速發(fā)展，高等學(xué)校的教育網(wǎng)絡(luò)的快速擴(kuò)張和各類(lèi)應(yīng)用的大量投入，造成校園內(nèi)部在信息資源共享度、高效率工作流程上都產(chǎn)生了極大的變化。但在享有網(wǎng)上辦公便捷的同時(shí)，校園網(wǎng)絡(luò)中的各類(lèi)問(wèn)題相繼出現(xiàn)。隨著教育信息化程度的不停進(jìn)一步，在提高教學(xué)質(zhì)量與效率，實(shí)現(xiàn)教育資源共享與網(wǎng)絡(luò)化管理的同時(shí)，也給校園網(wǎng)的優(yōu)化與升級(jí)提出更高規(guī)定。新興的在線教學(xué)手段、教務(wù)管理系統(tǒng)和視頻點(diǎn)播等廣泛應(yīng)用使得校園網(wǎng)絡(luò)的流量與日俱增，給學(xué)校有網(wǎng)絡(luò)系統(tǒng)帶來(lái)了巨大的壓力。同時(shí)，高校逐年擴(kuò)招致使學(xué)校規(guī)模不停擴(kuò)大，原有網(wǎng)絡(luò)端口數(shù)量缺少的問(wèn)題日漸突出。另外，由于校園網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，校園網(wǎng)絡(luò)通信將面臨嚴(yán)峻的安全挑戰(zhàn)，同時(shí)也給網(wǎng)絡(luò)管理帶來(lái)系列難題?！竞诵脑~】校園網(wǎng)；網(wǎng)絡(luò)設(shè)計(jì)；網(wǎng)絡(luò)安全校園網(wǎng)是校園信息資源建設(shè)的基礎(chǔ)設(shè)施.校園網(wǎng)建設(shè)的根本目的是為學(xué)校的教學(xué)科研和管理提供一種先進(jìn)實(shí)用的信息網(wǎng)絡(luò)環(huán)境.基于網(wǎng)絡(luò)的合作學(xué)習(xí)是運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)以及多媒體等有關(guān)技術(shù),使多個(gè)學(xué)習(xí)者針對(duì)同一學(xué)習(xí)內(nèi)容彼此交互和合作,以達(dá)成對(duì)教學(xué)內(nèi)容比較深刻理解與掌握的過(guò)程，運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)建立協(xié)作學(xué)習(xí)的環(huán)境,使教師與學(xué)生、學(xué)生與學(xué)生以討論、協(xié)作和交流的方式進(jìn)行學(xué)習(xí),能夠充足發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)的優(yōu)勢(shì),強(qiáng)化學(xué)習(xí)者的學(xué)習(xí)動(dòng)機(jī),使學(xué)習(xí)者更加好地建構(gòu)有關(guān)所學(xué)知識(shí)的意義,從而培養(yǎng)學(xué)習(xí)者的信息能力、學(xué)習(xí)方略及社會(huì)交往技能.校園網(wǎng)設(shè)計(jì)目的確立校園網(wǎng)建設(shè)的目的，不僅要考慮技術(shù)方面，并且還要考慮環(huán)境、應(yīng)用和管理等方面，必須與學(xué)校各方面改革、建設(shè)久遠(yuǎn)發(fā)展相結(jié)合，科學(xué)論證和決策。根據(jù)這一規(guī)定：建設(shè)一種技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校重要樓宇的校園主干網(wǎng)絡(luò)，將學(xué)校的多個(gè)PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來(lái)，并與有關(guān)廣域網(wǎng)相連，形成構(gòu)造合理、內(nèi)外溝通的校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。在此基礎(chǔ)上建立的校園網(wǎng)應(yīng)含有下列3點(diǎn)：1）學(xué)校的目的是通過(guò)教學(xué)過(guò)程來(lái)培養(yǎng)人才，因此對(duì)教學(xué)過(guò)程提供直接支持應(yīng)是校園的基本功效；2）校園網(wǎng)必須支持學(xué)校的日常辦公和管理；3）與Interent的連接也是校園網(wǎng)的基本功效之一，這樣大大擴(kuò)展了師生獲取知識(shí)的途徑，增強(qiáng)校內(nèi)外的溝通及自由地公布教育信息。校園網(wǎng)設(shè)計(jì)原則根據(jù)計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì),校園網(wǎng)的設(shè)計(jì)應(yīng)采用開(kāi)放性的國(guó)際通用的TCP/IP合同,本著總體規(guī)劃、分步實(shí)施的總體原則,并遵照先進(jìn)原則性與合用性相結(jié)合、系統(tǒng)可擴(kuò)展性及安全可靠性原則來(lái)加以建設(shè)。2.1統(tǒng)一規(guī)劃,分步實(shí)施校園網(wǎng)的建設(shè)應(yīng)在統(tǒng)一的總體規(guī)劃的前提下進(jìn)行,這樣整個(gè)系統(tǒng)才干統(tǒng)一原則,才不會(huì)出現(xiàn)系統(tǒng)互不兼容的現(xiàn)象。同時(shí),由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的更新?lián)Q代、設(shè)備價(jià)格的減少和設(shè)備性能提高的速度很快,而各學(xué)校在校園網(wǎng)建設(shè)早期網(wǎng)絡(luò)的使用率不高,因此,校園網(wǎng)普通要分步實(shí)施,避免一步到位,堅(jiān)持“邊投資,邊使用”的原則,確保以最小的投資得到最快、最佳的收益。2.2先進(jìn)性、原則性與合用性相結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展及設(shè)備更新裁減速度很快,因此,在設(shè)計(jì)校園網(wǎng)絡(luò)系統(tǒng)時(shí),應(yīng)符合國(guó)際規(guī)范原則,并采用市場(chǎng)占有率高、符合國(guó)際原則和技術(shù)成熟的新型軟硬件產(chǎn)品。這里應(yīng)注意的是,在校園網(wǎng)建設(shè)時(shí),應(yīng)充足考慮本學(xué)校實(shí)際應(yīng)用的需要和現(xiàn)有設(shè)備狀況,充足發(fā)揮設(shè)備效益,充足運(yùn)用現(xiàn)有資源,不超前投資硬件設(shè)備,更不做新產(chǎn)品2.3可擴(kuò)展性校園網(wǎng)的建設(shè)是一種長(zhǎng)久的系統(tǒng)工程,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和學(xué)校應(yīng)用需求的擴(kuò)展,校園網(wǎng)也需要擴(kuò)展和升級(jí)。因此,在進(jìn)行校園網(wǎng)規(guī)劃設(shè)計(jì)時(shí),既要有顧客發(fā)展的配備預(yù)留,又要滿足系統(tǒng)升級(jí)的需要。2.4安全性和可靠性只有安全可靠的系統(tǒng)才干達(dá)成令人滿意的服務(wù)效果。校園網(wǎng)一經(jīng)使用,學(xué)校的多個(gè)管理都會(huì)逐步依賴于網(wǎng)絡(luò)系統(tǒng)來(lái)運(yùn)轉(zhuǎn),網(wǎng)絡(luò)一旦癱瘓,將會(huì)給學(xué)校各項(xiàng)工作帶來(lái)不便,甚至?xí)閷W(xué)校帶來(lái)巨大損失。因此,校園網(wǎng)的系統(tǒng)構(gòu)造和軟硬件設(shè)備必須含有穩(wěn)定可靠的性能,特別是網(wǎng)管中心的設(shè)備,大多需要持續(xù)運(yùn)轉(zhuǎn),面對(duì)全校服務(wù),其可靠性更為重要。校園網(wǎng)建成后,網(wǎng)絡(luò)安全問(wèn)題就成了首要問(wèn)題。為確保系統(tǒng)得以安全可靠運(yùn)轉(zhuǎn),普通網(wǎng)絡(luò)中心必須配有必要的用于安全防備的軟硬件設(shè)備,以避免內(nèi)外非法訪問(wèn)和惡意攻打。同時(shí),由于校園網(wǎng)遍及學(xué)校的各個(gè)地方,比較分散,因此,網(wǎng)絡(luò)系統(tǒng)中的端口設(shè)備應(yīng)含有良好的可管理性。2.5易管理性隨著網(wǎng)絡(luò)規(guī)模的不停擴(kuò)大,校園網(wǎng)絡(luò)的管理越來(lái)越重要,管理的事務(wù)也越來(lái)越復(fù)雜。能夠通過(guò)圖形化的配備對(duì)網(wǎng)絡(luò)進(jìn)行虛網(wǎng)劃分,設(shè)立各子網(wǎng)的訪問(wèn)權(quán)限,簡(jiǎn)化網(wǎng)絡(luò)的管理。顧客應(yīng)能在中心機(jī)房通過(guò)網(wǎng)管工作站上和諧的圖形界面,實(shí)施網(wǎng)絡(luò)的動(dòng)態(tài)監(jiān)測(cè)、配備、數(shù)據(jù)流量的分析等。校園網(wǎng)需求分析3.1校園網(wǎng)功效（1）支持約1000顧客瀏覽Internet。（2）連接校內(nèi)全部教學(xué)樓、辦公樓、實(shí)驗(yàn)室樓和學(xué)生宿舍中的計(jì)算機(jī)。（3）提供豐富的網(wǎng)絡(luò)服務(wù)，涉及：①提供國(guó)際互聯(lián)網(wǎng)ISDN專線接入（或DDN），實(shí)現(xiàn)與各公共網(wǎng)的連接。提供基本的Internet網(wǎng)絡(luò)服務(wù)功效：如電子郵件、文獻(xiàn)傳輸、遠(yuǎn)程登錄等。②有綜合網(wǎng)絡(luò)辦公系統(tǒng)及各個(gè)應(yīng)用管理系統(tǒng)，實(shí)現(xiàn)辦公自動(dòng)化，管理信息化。③提供圖書(shū)，文獻(xiàn)查詢與檢索服務(wù)，增強(qiáng)校圖書(shū)館信息自動(dòng)化能力。④全校共享軟件庫(kù)服務(wù)，避免重復(fù)投資，發(fā)揮最大效益。3.2主機(jī)系統(tǒng)的規(guī)定（1）主機(jī)系統(tǒng)應(yīng)采用現(xiàn)在市場(chǎng)較新的主流技術(shù)，并有良好的擴(kuò)展能力。（2）支持通用大型數(shù)據(jù)庫(kù)。（3）主機(jī)系統(tǒng)應(yīng)有高的可靠性，能長(zhǎng)時(shí)間持續(xù)工作，并有容錯(cuò)方法。（4）含有廣泛的軟件支持，軟件兼容性好，并支持多個(gè)傳輸合同。（5）能與Internet互聯(lián)，可提供互聯(lián)網(wǎng)的應(yīng)用，如WW－W瀏覽服務(wù)、FTP文獻(xiàn)傳輸服務(wù)、E－mail電子郵件服務(wù)3.3網(wǎng)絡(luò)拓?fù)涞倪x用校園網(wǎng)絡(luò)拓?fù)鋱D當(dāng)計(jì)算機(jī)的臺(tái)數(shù)較多或可靠性規(guī)定較高時(shí)，優(yōu)先考慮采用星型或樹(shù)型連接；對(duì)于含有幾臺(tái)距離較遠(yuǎn)或可靠性規(guī)定不高的以及共享任務(wù)不繁重的，可考慮采用總線型連接。而校園網(wǎng)中的計(jì)算機(jī)數(shù)量較多，所需的功效也不同，因此實(shí)際的拓?fù)錁?gòu)造常為以上兩種方式綜合。3.4校園網(wǎng)的技術(shù)方案設(shè)計(jì)校園網(wǎng)的設(shè)計(jì)應(yīng)采用符合國(guó)際工業(yè)原則的、比較成熟的技術(shù)，并能兼顧網(wǎng)絡(luò)技術(shù)的發(fā)展方向，可選擇構(gòu)造化、可擴(kuò)充、多用途的網(wǎng)絡(luò)產(chǎn)品。同時(shí)網(wǎng)絡(luò)設(shè)計(jì)應(yīng)構(gòu)造合理，在通信網(wǎng)絡(luò)、資源配備、系統(tǒng)服務(wù)和網(wǎng)絡(luò)管理上要有良好的分層設(shè)計(jì)，使網(wǎng)絡(luò)構(gòu)造更加清晰，便于使用、管理和維護(hù)。另外，網(wǎng)絡(luò)設(shè)計(jì)應(yīng)堅(jiān)持高效實(shí)用的原則，著眼于教學(xué)、科研、管理的實(shí)際需要，用有限的資金優(yōu)先解決工作急需的問(wèn)題。校園網(wǎng)設(shè)計(jì)方案4.1總體架構(gòu)設(shè)計(jì)針對(duì)校園網(wǎng)的特點(diǎn)，總體設(shè)計(jì)思路分為下列幾點(diǎn)：（1）全方面掌握校園網(wǎng)網(wǎng)絡(luò)構(gòu)造，繪制具體的校園網(wǎng)網(wǎng)絡(luò)拓?fù)錂C(jī)構(gòu)圖，并在圖中標(biāo)重視點(diǎn)設(shè)備位置及用途。（2）梳理校園網(wǎng)網(wǎng)絡(luò)通信設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備、服務(wù)器等信息信息。（3）根據(jù)業(yè)務(wù)或功效對(duì)校園網(wǎng)中的信息系統(tǒng)進(jìn)行區(qū)域劃分，形成各自獨(dú)立的區(qū)域，這樣能夠最大程度的解決信息系統(tǒng)互相干擾問(wèn)題。（4）制訂外部訪問(wèn)規(guī)則，提供VPN服務(wù)供教職工訪問(wèn)校內(nèi)業(yè)務(wù)系統(tǒng)，嚴(yán)禁外部直接對(duì)校園網(wǎng)的訪問(wèn)。（5）制訂安全管理制度，完善各環(huán)節(jié)工作規(guī)程，減少由于工作失誤造成的故障。4.2網(wǎng)絡(luò)體系構(gòu)造的選擇網(wǎng)絡(luò)體系構(gòu)造是指計(jì)算機(jī)通訊系統(tǒng)的整體設(shè)計(jì)，它為網(wǎng)絡(luò)軟件、硬件及網(wǎng)絡(luò)通訊合同、數(shù)據(jù)存取控制和拓?fù)錁?gòu)造提供原則。因此，網(wǎng)絡(luò)體系構(gòu)造的選擇是實(shí)現(xiàn)校園網(wǎng)建設(shè)目的的核心環(huán)節(jié)。在充足理解網(wǎng)絡(luò)的特點(diǎn)、性能、價(jià)格的基礎(chǔ)上，根據(jù)學(xué)校的實(shí)際應(yīng)用，考慮學(xué)校能夠投入的資金及現(xiàn)有的設(shè)備、局域網(wǎng)和其它資源狀況，進(jìn)行綜合分析，并制訂有助于開(kāi)發(fā)運(yùn)用、發(fā)展擴(kuò)充，性能價(jià)格比高的網(wǎng)絡(luò)方案。現(xiàn)有的網(wǎng)絡(luò)技術(shù)重要有千兆以太交換網(wǎng)、ATM等。千兆以太網(wǎng)是快速以太網(wǎng)的延續(xù)，是性價(jià)比很高的一種主干網(wǎng)技術(shù)，但由于千兆以太網(wǎng)所涉及的原則還沒(méi)有完全擬定。在對(duì)傳送視頻應(yīng)用等響應(yīng)時(shí)間不可預(yù)測(cè)的網(wǎng)絡(luò)中，千兆以太網(wǎng)不是最佳選擇。ATM技術(shù)比千兆以太網(wǎng)早3年，ATM技術(shù)能提供較高的網(wǎng)絡(luò)帶寬和服務(wù)質(zhì)量控制，含有適合于語(yǔ)音、視頻、數(shù)據(jù)傳輸?shù)忍攸c(diǎn)。因此，考慮到多媒體技術(shù)的快速發(fā)展和當(dāng)代教學(xué)中大量多媒體課件的開(kāi)發(fā)應(yīng)用，能滿足網(wǎng)上大量多媒體信息傳遞的需要，比較先進(jìn)的方案還是建議采用ATM作主干，局域網(wǎng)和顧客端仍采用以太交換網(wǎng)。4.3主干網(wǎng)設(shè)計(jì)根據(jù)分層理念，主干網(wǎng)可采用三層網(wǎng)絡(luò)架構(gòu)，通過(guò)層次化模型設(shè)計(jì)，將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成３個(gè)層次：接入層、匯聚層和核心層。每個(gè)層次著重于某些特定的功效，這樣就能夠使一種復(fù)雜的大問(wèn)題變成許多簡(jiǎn)樸的小問(wèn)題，如圖所示。核心層（實(shí)現(xiàn)高速交換）匯聚層（實(shí)現(xiàn)基于方略的連接）接入層（實(shí)現(xiàn)本地或遠(yuǎn)程工作組訪問(wèn)）層次化網(wǎng)絡(luò)模型主干網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu)，能夠從下列幾個(gè)方面確保了校園網(wǎng)絡(luò)的靈活性、可擴(kuò)充性、可靠性和高效性：①運(yùn)用分層構(gòu)造將網(wǎng)絡(luò)的功效區(qū)塊化，使得網(wǎng)絡(luò)的局部修改和擴(kuò)充被隔離，使校園網(wǎng)絡(luò)更具靈活性；②運(yùn)用區(qū)塊的不對(duì)稱特性優(yōu)化網(wǎng)絡(luò)的流量配備，提高校園網(wǎng)絡(luò)的性能價(jià)格比；③運(yùn)用網(wǎng)絡(luò)整體的對(duì)稱性提供負(fù)載均衡，最大程度地提高網(wǎng)絡(luò)的性能；④運(yùn)用網(wǎng)絡(luò)整體的對(duì)稱性提供校園網(wǎng)絡(luò)的冗余，提高網(wǎng)絡(luò)的可靠性。局域網(wǎng)的類(lèi)型有多個(gè)，但性價(jià)比占優(yōu)勢(shì)的還是1000M以太網(wǎng)，其優(yōu)點(diǎn)就是組網(wǎng)技術(shù)簡(jiǎn)樸、便宜，即主干網(wǎng)組網(wǎng)技術(shù)應(yīng)采用千兆以太網(wǎng)技術(shù)。由于其技術(shù)含有高帶寬1000Mbps速率的主干，另首先就是做為校園網(wǎng)的構(gòu)造無(wú)論在高帶寬、可適應(yīng)性、高性價(jià)比、良好的管理性和可維護(hù)性等各方面都是最明智的選擇。用100Mbps交換機(jī)到桌面，這樣的構(gòu)造不僅就現(xiàn)在的多個(gè)應(yīng)用系統(tǒng)運(yùn)行起來(lái)綽綽有余，并且還能夠輕松地應(yīng)付將來(lái)一段時(shí)間內(nèi)的應(yīng)用規(guī)定，且非常容易升級(jí)和擴(kuò)展，使顧客投資得到最大程度地保護(hù)。光纖主干網(wǎng)覆蓋整個(gè)教科院、并將光纖連接到有條件的部分大學(xué)生宿舍，從而將校園網(wǎng)建成一種含有一定規(guī)模容量、技術(shù)先進(jìn)、功效齊全、優(yōu)良實(shí)用、安全可靠，并含有可擴(kuò)充性的當(dāng)代化網(wǎng)絡(luò)系統(tǒng)以千兆交換機(jī)作為校園網(wǎng)的中心，在此基礎(chǔ)上，根據(jù)不同功效的需要，把整個(gè)校園網(wǎng)分割為幾個(gè)或者幾十個(gè)以百兆交換機(jī)為核心的校園網(wǎng)中的子網(wǎng)。為滿足學(xué)校能與其它網(wǎng)絡(luò)的連接，可在百兆交換機(jī)中再布設(shè)一種子網(wǎng)，把服務(wù)器，路由器等與外部網(wǎng)相連接的應(yīng)用設(shè)備用防火墻將它們與校園網(wǎng)隔離開(kāi)來(lái)，以保護(hù)校園網(wǎng)內(nèi)部的數(shù)據(jù)。4.4架構(gòu)設(shè)計(jì)闡明互聯(lián)網(wǎng)接入域方面：此區(qū)域重要負(fù)責(zé)學(xué)院ISP接入，現(xiàn)在我院共有聯(lián)通、電信、教育信息網(wǎng)共三條線路，其中聯(lián)通、電信重要負(fù)責(zé)教職工及學(xué)生的日常網(wǎng)絡(luò)服務(wù)，由于這部分區(qū)域的特殊性區(qū)域內(nèi)設(shè)備均采用主、備方式冗余布署，最大程度的解決了由于設(shè)備單點(diǎn)故障造成的網(wǎng)絡(luò)中斷。網(wǎng)絡(luò)核心區(qū)：此區(qū)域重要為各教學(xué)樓及各校區(qū)鏈路的匯聚提供數(shù)據(jù)鏈路服務(wù)。除此之外最為校園網(wǎng)的核心部分，也是連接應(yīng)用網(wǎng)路和外部網(wǎng)絡(luò)的橋梁，必須確保進(jìn)入和輸出數(shù)據(jù)的安全性，因此安全審計(jì)、安全監(jiān)測(cè)設(shè)備均布署在此區(qū)域內(nèi)。通過(guò)這些設(shè)備對(duì)數(shù)據(jù)的過(guò)濾、篩選。網(wǎng)絡(luò)管理區(qū)：網(wǎng)絡(luò)關(guān)系信息系統(tǒng)是保障網(wǎng)絡(luò)可靠運(yùn)行的重要手段，網(wǎng)絡(luò)管理云能夠通過(guò)網(wǎng)絡(luò)關(guān)系系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行全方面監(jiān)控，對(duì)全部網(wǎng)絡(luò)設(shè)備進(jìn)行配備、運(yùn)維管理，因此將這些系統(tǒng)放到獨(dú)立的區(qū)域集中管理，通過(guò)特殊的安全設(shè)備進(jìn)行安全加固是保障校園網(wǎng)健康運(yùn)行的前提。業(yè)務(wù)系統(tǒng)區(qū)：校園網(wǎng)全部服務(wù)器歸屬到該區(qū)域進(jìn)行統(tǒng)一管理，通過(guò)邊界防火墻對(duì)外提供服務(wù)，采用基于TCP/IP的訪問(wèn)方略進(jìn)行數(shù)據(jù)訪問(wèn)限制，提供對(duì)外單項(xiàng)服務(wù)，對(duì)內(nèi)采用特殊授權(quán)方式解決。視頻會(huì)議區(qū)：我院現(xiàn)共有三個(gè)校區(qū)，日常會(huì)議大都通過(guò)視頻會(huì)議的方式來(lái)解決，由于視頻會(huì)議對(duì)網(wǎng)絡(luò)帶寬的規(guī)定較高因此將視頻會(huì)議區(qū)域單獨(dú)通過(guò)校區(qū)自由光纖與其它校區(qū)連接，并通過(guò)帶寬保障技術(shù)確保足夠的帶寬供應(yīng)。校園卡區(qū)域：校園卡網(wǎng)絡(luò)最為消費(fèi)功效有它的特殊性，必須獨(dú)立于其它的網(wǎng)絡(luò)獨(dú)立出來(lái)，采用專線網(wǎng)絡(luò)管理從而從物理層面實(shí)現(xiàn)與校園網(wǎng)的隔離，隨著學(xué)校發(fā)展的需求，賦予了校園卡更多的身份不單單只應(yīng)用于消費(fèi)尚有考勤、門(mén)禁等應(yīng)用出現(xiàn)，此區(qū)域內(nèi)應(yīng)當(dāng)涉及全部與校園卡有關(guān)的硬件及軟件。測(cè)試區(qū)域：測(cè)試區(qū)重要服務(wù)對(duì)象是某些處在測(cè)試階段的軟件系統(tǒng)，此區(qū)域的安全級(jí)別較低，軟件管理人員能夠隨時(shí)操作服務(wù)器調(diào)試軟件，為顧客提供良好的測(cè)試環(huán)境4.5顧客準(zhǔn)入機(jī)制設(shè)計(jì)對(duì)于校園網(wǎng)的顧客，最重要的是對(duì)顧客準(zhǔn)入準(zhǔn)出進(jìn)行控制，并滿足計(jì)費(fèi)管理功效。因此重要解決下面的問(wèn)題：將網(wǎng)絡(luò)安全接入控制、防代理、上網(wǎng)顧客的多個(gè)IP控制和管理功效、非法DHCPserver控制、認(rèn)證時(shí)的綁定安全控制功效、正當(dāng)顧客的授權(quán)功效、Mac地址防盜功效、主機(jī)與IP的綁定功效、多個(gè)計(jì)費(fèi)控制功效、對(duì)特定顧客的強(qiáng)制下線功效、黑名單顧客嚴(yán)禁上網(wǎng)功效、支持顧客上網(wǎng)的時(shí)段控制，還能夠?qū)W(xué)生的上網(wǎng)時(shí)間加以控制。這些是校園網(wǎng)普通認(rèn)證計(jì)費(fèi)軟件需要實(shí)現(xiàn)的功效，這是一種較為復(fù)雜的應(yīng)用系統(tǒng)，需要由多方來(lái)實(shí)現(xiàn)。校園網(wǎng)另外一種問(wèn)題是互聯(lián)網(wǎng)帶寬的濫用，不少學(xué)生在網(wǎng)絡(luò)中使用BT等P2P軟件，大量占用互聯(lián)網(wǎng)出口帶寬，使得全網(wǎng)訪問(wèn)互聯(lián)網(wǎng)非常緩慢，有時(shí)也可能由于病毒的因素，向外大量廣播數(shù)據(jù)包，造成交換機(jī)端口堵塞，接入交換機(jī)能夠通過(guò)限制接入速度來(lái)實(shí)現(xiàn)對(duì)這些問(wèn)題的克制。上述功效，能夠在接入層或者匯聚層交換機(jī)上實(shí)現(xiàn)，這樣能夠?qū)⒕W(wǎng)絡(luò)初始流量克制在每臺(tái)交換機(jī)上，不至于將異常流量引入核心層交換機(jī)，占用核心層交換機(jī)的解決能力，影響網(wǎng)絡(luò)性能。4.6IP地址的規(guī)劃在校園網(wǎng)的規(guī)劃設(shè)計(jì)中,IP地址方案的設(shè)計(jì)至關(guān)重要,為了便于校園網(wǎng)的管理,可將校園網(wǎng)劃分為若干網(wǎng)段,各部門(mén)各占一種網(wǎng)段,由IP地址和子網(wǎng)掩碼來(lái)擬定各子網(wǎng)中的主機(jī)地址。在信息訪問(wèn)時(shí),各子網(wǎng)段是相對(duì)獨(dú)立的,在一定程度上保護(hù)了該網(wǎng)段內(nèi)的信息安全。為了確保網(wǎng)絡(luò)的擴(kuò)展性和安全性,我們普通在網(wǎng)絡(luò)中設(shè)計(jì)使用C類(lèi)IP地址,網(wǎng)絡(luò)中的應(yīng)用服務(wù)器也使用私網(wǎng)IP地址。IP地址的分派IP地址分派是優(yōu)化路由解決的重要構(gòu)成部分。在網(wǎng)絡(luò)規(guī)劃中,應(yīng)盡量采用保存地址,并且地址按區(qū)域進(jìn)行劃分。在地址分派過(guò)程中,各節(jié)點(diǎn)的保存IP地址應(yīng)盡量保持持續(xù)性方便于內(nèi)部路由管理,同樣,整個(gè)網(wǎng)絡(luò)內(nèi)部也應(yīng)盡量保持CIDR(無(wú)線域間路由)地址塊的持續(xù)性,保存IP地址的使用應(yīng)為將來(lái)網(wǎng)絡(luò)發(fā)展留有余地,方便于網(wǎng)絡(luò)的統(tǒng)一規(guī)劃。4.7設(shè)備的選型網(wǎng)絡(luò)服務(wù)器普通選擇基于UNIX的中檔工作站，如SUN、HP、IBM等工作站或服務(wù)器。操作系統(tǒng)可選Solaris、HP-UNIX、AIX。這些服務(wù)器內(nèi)存最少64MB，硬盤(pán)容量超出2GB以上，根據(jù)需要?jiǎng)澐譃槿舾删?，匿名FTP服務(wù)器、WWW服務(wù)器及BBS服務(wù)器應(yīng)含有較大的硬盤(pán)容量。普通應(yīng)使用486以上機(jī)型。主干交換機(jī)是指連接服務(wù)器及樓（例如辦公樓）與樓（宿舍）之間、層（例如實(shí)驗(yàn)樓一層與二層之間）與層之間的數(shù)據(jù)交換設(shè)備。校園網(wǎng)的主干交換機(jī)可選擇的1000M交換機(jī)。這樣可覺(jué)得主干校園網(wǎng)之間提供1Gb／s的寬帶。應(yīng)用的主干技術(shù)可用堆疊交換技術(shù)。校園網(wǎng)服務(wù)對(duì)象最大的群體是學(xué)生，因此直接使用100M交換機(jī)到桌面上，利于解決集中突發(fā)性所造成的堵塞。為了使每個(gè)教室之間互訪得到有效的進(jìn)行，提高安全性，可在校園網(wǎng)中另外采用虛網(wǎng)技術(shù)路由器選擇的是一臺(tái)IntelExpressRouter9100路由器。路由器是校園網(wǎng)對(duì)外的出口，也是為保護(hù)校園網(wǎng)的第一道防火墻。中心機(jī)房到匯聚層節(jié)點(diǎn)采用千兆光纖(多模)連接，匯聚層到接入層采用百兆的五類(lèi)線(或者超五類(lèi))連接。普通考慮，建議數(shù)據(jù)信息點(diǎn)的接入用交換100/10OOMbp自適應(yīng)以太網(wǎng)端口接入，方便能較經(jīng)濟(jì)的提供較高的帶寬。整個(gè)方案設(shè)計(jì)的目的是建設(shè)一種集數(shù)據(jù)傳輸和備份、多媒體應(yīng)用、語(yǔ)音傳輸、OA應(yīng)用和Internet訪問(wèn)等于一體的高可靠、高性能的寬帶多媒體校園網(wǎng)。5.校園網(wǎng)安全管理5.1安全技術(shù)的應(yīng)用(1)VLAN技術(shù)的應(yīng)用。為了有效地管理網(wǎng)絡(luò)，我們?cè)谛@網(wǎng)絡(luò)中進(jìn)行虛擬網(wǎng)的劃分。虛擬網(wǎng)（VLAN）技術(shù)是現(xiàn)在局域網(wǎng)技術(shù)中發(fā)展快速的一種技術(shù)，它通過(guò)在現(xiàn)有物理網(wǎng)基礎(chǔ)上，根據(jù)實(shí)際網(wǎng)絡(luò)應(yīng)用的需要靈活配備，將網(wǎng)絡(luò)各節(jié)點(diǎn)重新劃分組網(wǎng)，形成一種邏輯網(wǎng)絡(luò)。虛擬網(wǎng)技術(shù)的引入給現(xiàn)有網(wǎng)絡(luò)的設(shè)計(jì)、管理和維護(hù)帶來(lái)了某些根本性的變化。(2)ACL技術(shù)的應(yīng)用。合理配備和使用交換機(jī)支持的訪問(wèn)控制列表（ACL）功效，能夠合理地限制網(wǎng)絡(luò)非法流量，其重要原理為：ACL使用包過(guò)濾技術(shù)，在路由器或者核心交換機(jī)上對(duì)ISO模型的第三層、第四層的包頭信息讀取，涉及源地址與目的地址、源端口與目的端口，根據(jù)設(shè)定的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，從而實(shí)現(xiàn)訪問(wèn)控制。校園網(wǎng)節(jié)點(diǎn)重要由資源節(jié)點(diǎn)與顧客節(jié)點(diǎn)構(gòu)成，資源節(jié)點(diǎn)提供大量的應(yīng)用服務(wù)與數(shù)據(jù)共享供顧客節(jié)點(diǎn)訪問(wèn)。在這個(gè)過(guò)程中，ＡＣＬ技術(shù)首先對(duì)資源節(jié)點(diǎn)提供保護(hù)，制止非法顧客對(duì)資源節(jié)點(diǎn)的訪問(wèn)，另首先限制特定的顧客節(jié)點(diǎn)所能含有的訪問(wèn)權(quán)限。5.2VLAN的劃分校園網(wǎng)內(nèi)部已經(jīng)含有了數(shù)個(gè)相對(duì)獨(dú)立的辦公或?qū)W習(xí)單元,如果全部獨(dú)立單元的顧客無(wú)差別地處在對(duì)等網(wǎng)中,不僅使許多敏感數(shù)據(jù)容易被無(wú)關(guān)人員獲取,并且獨(dú)立單元內(nèi)的大量通信也會(huì)占用諸多的網(wǎng)絡(luò)資源,使整個(gè)網(wǎng)絡(luò)的效率變低,甚至引發(fā)崩潰。為此,需要將經(jīng)常進(jìn)行通信的計(jì)算機(jī)構(gòu)成一種子網(wǎng),使大量的內(nèi)部數(shù)據(jù)局限在子網(wǎng)內(nèi)傳輸,然后將各個(gè)子網(wǎng)連接在一起,形成校園局域網(wǎng)。VLAN又稱虛擬網(wǎng),從網(wǎng)絡(luò)管理上被定義為一種位置無(wú)關(guān)的局域網(wǎng)廣播域。VLAN技術(shù)是隨著交換技術(shù)的出現(xiàn)而產(chǎn)生的,在一種校園網(wǎng)內(nèi)劃分若干虛擬子網(wǎng)有下列好處:(1)隔離廣播。(2)方便的工作組劃分和管理。(3)增強(qiáng)網(wǎng)絡(luò)安全性。具體在校園網(wǎng)虛擬網(wǎng)的劃分中有下列優(yōu)點(diǎn):(1)使得校園網(wǎng)的劃分很容易和校內(nèi)各部門(mén)的劃分一致起來(lái),能使得同一部門(mén)在不同物理網(wǎng)段的結(jié)點(diǎn)可被設(shè)為同一邏輯子網(wǎng),實(shí)現(xiàn)與物理位置的無(wú)關(guān)性。(2)對(duì)于網(wǎng)絡(luò)中心,財(cái)務(wù)部門(mén)等要害部門(mén)可采用基于傳統(tǒng)的MAC地址的VLAN劃分技術(shù),以避免非授權(quán)結(jié)點(diǎn)在該子網(wǎng)中的出現(xiàn)。(3)對(duì)于比較分散、物理子網(wǎng)比較多,難以有效管理的地方可采用混合方略,以盡量減少I(mǎi)P地址盜用和其它安全問(wèn)題。5.3防火墻的使用防火墻是架構(gòu)于兩個(gè)不同網(wǎng)絡(luò)之間，根據(jù)設(shè)定的安全規(guī)則，決定網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包與否允許通過(guò)，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)，內(nèi)部的構(gòu)造以及運(yùn)行狀況均對(duì)外屏蔽，從而實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)。防火墻的重要作用為：①防火墻能夠把內(nèi)、外網(wǎng)絡(luò)、對(duì)外服務(wù)器網(wǎng)絡(luò)實(shí)施分區(qū)域隔離，從而杜絕它們與外網(wǎng)直接通信；②防火墻能夠?qū)?duì)外服務(wù)器、網(wǎng)絡(luò)上的主機(jī)隔離在一種區(qū)域內(nèi)，通過(guò)安全保護(hù)方法，確保安全；③防火墻能夠?qū)︻櫩偷脑L問(wèn)權(quán)限進(jìn)行限制，在增加正當(dāng)顧客安全性的同時(shí)，也實(shí)現(xiàn)對(duì)非法顧客的回絕；④防火墻能夠?qū)崿F(xiàn)對(duì)訪問(wèn)服務(wù)器的請(qǐng)求控制，發(fā)現(xiàn)非法行為以及制止非法操作；⑤運(yùn)用防火墻及各服務(wù)器上的審計(jì)統(tǒng)計(jì)，形成一種完善的審計(jì)體系，在方略之后建立第二條防線。出口防火墻重要是互聯(lián)網(wǎng)出口安全規(guī)則的檢查，由于是專用的安全設(shè)備，能夠定義許多安全規(guī)則，能夠根據(jù)需要定義較為復(fù)雜的規(guī)則，對(duì)互聯(lián)網(wǎng)訪問(wèn)外網(wǎng)服務(wù)器和內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行控制，檢測(cè)和切斷黑客的攻擊行為，從而確保網(wǎng)絡(luò)的安全運(yùn)行。5.4管理員安全管理與服務(wù)支持服務(wù)器日常維護(hù)量較大，管理員需要在任何地點(diǎn)連接服務(wù)器進(jìn)行維護(hù)，管理員+地址映射的模式安全隱患極大，基于整個(gè)