網絡實習網絡工程實習報告

PAGE3計算機工程學院網絡工程實習報告設計題目：淮陰工學院局域網的規(guī)劃與建設系別：計算機工程專業(yè)：軟件工程班級：軟件1082學生姓名:學號: 起止日期:2011年12月19日~2011年12月23日 指導教師：TOC\o"1-2"\h\u一，校園網絡的總體規(guī)劃 41.1建網背景 41.2建網目標 41.3建網需求 51.4設計原則 6二，需求分析 62.1目標需求 62.2功能需求 62.3應用需求 72.4業(yè)務需求 72.5外部需求 82.6用戶需求調查(如下) 8三，總體設計 93.1系統(tǒng)拓撲結構 93.2IP規(guī)劃與VLAN 103.3核心層設計及設備選型 113.4匯聚層設計 133.5接入層設計 133.6服務器選型 133.7系統(tǒng)安全體系設計 14四，校園網內部實習 17五.價格一覽表 29總結 30參考文獻: 31摘要： 在當今信息產業(yè)迅速發(fā)展的今天，信息已經成為一種關鍵性的戰(zhàn)略資源，校園作為知識基地和人才基地，它理應成為代表信息產業(yè)應用最成功的典范。一所成功的學校不僅在學術上、教育上要力爭上游，更應在管理上上一個臺階。利用各種成熟的技術帶動學校各單位、各部門的電腦化管理，通過校園信息網，將各處的電腦聯(lián)成一個數據網，實現各類數據的統(tǒng)一性和規(guī)范性；教職員工和學生可共享各種信息，極易進行各種信息的教流、經驗的分享、討論、消息的發(fā)布、工作流的自動實現和協(xié)同工作等，從而有效地提高學校的現代化管理水平和教學質量，增強學生學習的積極性、主動性，為信息時代培育出高素質的人才。在校園內組建計算機網絡，在服務教學、科研的同時，也可以大大提高管理水平和效率。雖然在組建時需要花費一些費用，但與節(jié)省的費用相比，依然可以接受。隨著計算機技術、網絡技術的發(fā)展，網絡設備的價格不斷下降；同時國家各級政府對于教育的投入不斷增加，大量計算機進入了校園，組建校園網不僅是十分迫切的工作，可行性也非常高。隨著寬帶城域網的建設，校園網的業(yè)務也進一步向公眾網擴展，其中遠程教育就成為一項極富發(fā)展?jié)摿Φ某怯蚓W寬帶業(yè)務。關鍵字：局域網，傳遞存儲，路由器，網絡一，校園網絡的總體規(guī)劃1.1建網背景1、當前校園網信息系統(tǒng),已經發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學和協(xié)作工作的階段,同時也對學校教育現代化的建設提出了越來越高的要求。

2、教育信息量的不斷增多,使各級各類學校、家庭和教育管理部門對教育信息計算機管理和教育信息服務要求越來越強烈。

3、我國各級教育研究部門、軟件開發(fā)單位、教學設備供應商和各級學校不斷開發(fā)了在網絡上運行的軟件及多媒體系統(tǒng),并且越來越形象化、實用化,迫切需要網絡環(huán)境。

4、現代教育改革的需要。在校園網中將計算機引入教學各個環(huán)節(jié),引起了教學方法,教學手段,教學工具的重大革新,對提高教學質量,推動我國教育現代化的發(fā)展起著不可估量的作用。1.2建網目標校園網的總體設計,首先要進行對象的研究和需求的調查,弄清學校的性質、任務和改革發(fā)展的特點,對學校的信息化環(huán)境進行準確的描述,明確系統(tǒng)建設的需求和條件;其次,在應用需求分析的基礎上,確定Intranet服務類型,進而確定系統(tǒng)建設的具體目標,包括網絡設施、站點設置、開發(fā)應用和管理等方面的目標;第三,是確定網絡拓樸結構和功能,根據應用需求、學校建設目標和學校主要建筑分布特點,進行系統(tǒng)分析和設計;第四,確定技術設計的原則要求,如在技術選型、布線設計、設備選擇、軟件配置等方面的標準和要求;第五,規(guī)劃安排校園網建設的實施步驟。校園網總體設計方案是否科學,主要從以下性能指標來考慮:

1、整體規(guī)劃合理。要從學校建設的全局和全面工作的需要出發(fā),考慮部門的地理分布和通信條件。整體規(guī)劃網絡建設方案,應對網絡系統(tǒng)的目標、總體結構、服務功能、經費預算、建設步驟等重大問題作出規(guī)定。

2、先進性、開放性和標準化相結合。應采用符合國際工業(yè)標準的、比較成熟的技術,兼顧網絡技術的發(fā)展方向,選擇結構化、可擴充、多用途的網絡產品,保證網絡在較長時間內不落后。

3、結構合理。在通信網絡、資源配置、系統(tǒng)服務和網絡管理上有良好的分層設計,使網絡結構清晰,便于使用、管理和維護。

4、高效實用。著眼于教學、科研和管理的實際需要,用有限的資金優(yōu)先解決工作急需的問題。

5、支持寬帶多媒體業(yè)務。如遠程教學、多媒體網絡教室等。

6、為學術交流提供良好的環(huán)境。應與CERNET、CHINANET等進行高速互連,能快速訪問Internet,與國內外同行交流信息,也能展示學校的形象。1.3建網需求高校校園寬帶網用戶集中且網絡流量大，關注網絡的可運營和可管理特性，校園網建網需求如下：(1)教學區(qū)、宿舍區(qū)用戶對校園網、教育網、INTERNET的訪問有相應的路由策略和相應的計費策略。(2)校園網存在多個出口需求，校園網至少要提供中國教育科研網（CERNET）和INTERNET兩個出口。(3)校園網安全性要求較高，要求設備能夠實現用戶識別和動態(tài)綁定功能如通過“IP+MAC+端口”三元組的動態(tài)綁定來識別用戶。(4)校園網WEB頁面可實現以下功能：用戶Web自助服務功能，用戶可通過Web自助服務頁面，進行個人資料的查詢、密碼修改、上網明細查詢、繳費記錄查詢以及在線預注冊和在線帳號充值。(5)校園網要求實現多種支持普通包月、包月限時長、包月限流量、計天、計時長和計量等多種計費策略。支持用戶卡和充值卡，沖值卡配合用戶卡以及提供的公用服務功能可以實現用戶的完全自助管理。(6)校園網要求實現組播業(yè)務。(7)校園網要求在學校規(guī)模不斷擴大中，用戶數在持續(xù)增加，要求網絡具有很好的擴展性，能夠根據需要逐步平滑升級到萬兆的骨干連接。(8)采用流行的、支持設備面廣、有良好圖形界面的網管平臺。網管系統(tǒng)能夠管理到網絡中的每一個智能設備及有關設備的每一個端口，即能夠遠程對設備進行設置、調試、網絡流量監(jiān)測和必要的重置。能對網絡故障能及時發(fā)現并報警。1.4設計原則校園網連接了包括教學樓、辦公樓、實驗樓、圖書館、學生宿舍樓及教職工生活區(qū)等大量的信息點，并涉及學校管理、教育科研、電子教學、遠程教育和互聯(lián)網的引入以及對外技術交流與合作服務等大量的業(yè)務，這就要求校園網必須是一個實用的、高可靠、高效率、高擴展性及高安全性系統(tǒng)。為使校園網絡系統(tǒng)具有良好的擴展性和靈活的接入能力，并易于管理，易于維護，在網絡設計及構建中始終應遵循統(tǒng)一標準、統(tǒng)一平臺及網絡分層的原則，如統(tǒng)一采用IP技術，統(tǒng)一規(guī)劃IP地址及各種應用，采用開放的技術及國際標準，如路由協(xié)議、安全標準、接入標準和網絡管理平臺等，才能保證實現網絡的統(tǒng)一，并確保網絡的可擴展性。為了減少網絡中各部分的相關性，便于網絡的實施及管理，在網絡的構建中，從整體上可以將網絡劃分為核心層、匯聚層和接入層等3個層次。各層之間功能明確，各司其責。應能滿足校園網系統(tǒng)的要求，布線系統(tǒng)應能保證滿足網絡通信的各項指標要求。實用性和先進性。靈活性和適應性?？煽啃耘c安全性。經濟性。可維護性和可管理性可擴充性和兼容性二，需求分析2.1目標需求學校：優(yōu)化管理體制，實現資源合理配置，節(jié)約不必要開支，投入教學、科研及校園設施；加速科研成果轉化，開展對外合作、交流；承辦各種技能培訓、考核，擴大知名度；開辦遠程教育；加強師生素質培養(yǎng)；教師：獲取信息；提高業(yè)務水平及自身素質；進行科研及項目開發(fā)；對外學術交流；加強與學生的交流；便利的校園生活服務；學生：獲取信息，拓寬知識面；提高專業(yè)水平，隨時得到教師指導；廣泛的交流；學習與實踐相結合；豐富多彩的校園生活及發(fā)揮才能的機會；便利的校園生活服務；2.2功能需求建立校園網絡，連接每間教室、辦公室，實現資源共享；建立VOD（視頻點播）、COD（課件點播）系統(tǒng)，實現40個教學班能隨時進行多媒體教學；建立視頻廣播系統(tǒng)，實現校園閉路電視系統(tǒng)的功能；發(fā)揮計算機在教學中的作用，實現多媒體課件制作網絡化，逐步實現教師備課電子化、多媒體化。建立網絡化、自動辦公系統(tǒng)，實現教育教學管理自動化；建立通信系統(tǒng)，利用電子郵件、BBS等實現現代化通信；建立網絡安全系統(tǒng)，實現不同身份登陸獲得不同訪問權限。2.3應用需求作為校園網，需要連接多少個節(jié)點，怎樣使用各種網絡設備使分布在不同地理位置的節(jié)點連接到一個統(tǒng)一的網絡中，怎樣使整個網絡上的節(jié)點相互連通，這些問題僅僅是校園網需要解決問題中的一部分，更重要的問題如何將這些資源有序地組織起來，需要實現什么功能，以滿足現在和未來在教學、科研、管理、交流等方面的需求。形成在校園內部、校園與外部進行信息溝通的體系，建立滿足教學、科研和管理需求的計算機環(huán)境，為學校各種人員提供充分的網絡信息服務，在網絡環(huán)境中進行教學、研究、收集信息等工作。校園需要的基本功能有：計算機教學，包括多媒體教學和遠程教學；網絡下載、網絡聊天等；電子郵件系統(tǒng)：主要進行與同行交往、開展技術合作、學術交流等活動；文件傳輸FTP：主要利用FTP服務獲取重要的科技資料和技術文擋；INTERNET服務：學校可以建立自己的主頁，利用外部網頁進行學校宣傳，提供各類咨詢信息等，利用內部網頁進行管理，例如發(fā)布通知、收集學生意見等。圖書館的訪問系統(tǒng)，用于計算機查詢、計算機檢索、計算機閱讀等；2.4業(yè)務需求數據處理、通訊能力處理強,響應速度快;網絡運行安全、可靠性高;系統(tǒng)易擴充,易管理,便于用戶的增加;主干網支持多媒體、群體、圖象接口應用,支持高性能數據庫軟件包的持續(xù)增長;系統(tǒng)開放性、互連性好;局域網既能方便遠程用戶的撥號接入,又能滿足特殊用戶高效地連入廣域網,使用靈活;具有很強的分布式數據處理能力2.5外部需求外部需求應包括以下幾個：Internet、遠程訪問、電子郵件、以多媒體方式介紹學校、討論和交流、信息發(fā)布。各項均可通過相應的網絡信息平臺實現。學校的網絡化建設必然會對學校的信息化建設起到巨大的推動作用，同時提供簡單、有效、便捷的理想辦公、教學環(huán)境。2.6用戶需求調查(如下)表1：用戶需求調查表地址建筑物可靠性/可用性網絡需求安全性可擴展性樓層數信息點數主要應用辦公樓1棟2層/棟全日制不停機工作下載>400KB/s上傳>100KB/s高良好2120OA辦公、課件制作、資源共享、Internet服務等實驗樓1棟3層/棟白天工作狀態(tài)良好,網絡正常運行下載>300kB/s上傳>100KB/S中等好370微機網絡教室、課件制作、編程學習、應用軟件學習、Internet服務、生物化驗等教學樓1棟4層/棟白天工作狀態(tài)良好，網絡運行正常下載>300KB/s上傳>100KB/s一般好4100Internet服務、多媒體教學、語音教學等教師公寓1棟4層/棟全日制不停機工作下載>400KB/s上傳>100KB/s一般良好470課件制作、資源共享、OA辦公、Internet服務等學生公寓1~33棟6層/棟白天工作狀態(tài)良好,網絡正常運行下載>200KB/s上傳>50KB/s一般良好18130資源共享、編程學習、應用軟件學習、Internet服務、等學生公寓4~52棟6層/棟白天工作狀態(tài)良好,網絡正常運行下載>200KB/s上傳>50KB/s一般良好12450資源共享、編程學習、應用軟件學習、Internet服務、等三，總體設計校園網不只是涉及技術方面，而是包括網絡設施、應用平臺、信息資源、專業(yè)應用、人員素質等眾多成份的綜合化以及信息化教學環(huán)境系統(tǒng)。因此，在總體上如何籌劃、組織網絡建設和開發(fā)應用的設計思想是校園網建設中的最重要的問題。

總體設計是校園網建設的總體思路和工程藍圖，是搞好校園網建設的核心任務。進行校園網總體設計，首先，進行對象研究和需求調查，弄清學校的性質、任務和改革發(fā)展的特點，對學校的信息化環(huán)境進行準確的描述，明確系統(tǒng)建設的需求和條件；其次，在應用需求分析的基礎上，確定學校Intranet服務類型，進而確定系統(tǒng)建設的具體目標，包括網絡設施、站點設置、開發(fā)應用和管理等方面的目標；第三，確定網絡拓樸結構和功能，根據應用需求、建設目標和學校主要建筑分布特點，進行系統(tǒng)分析和設計；第四，確定技術設計的原則要求，如在技術選型、布線設計、設備選擇、軟件配置等方面的標準和要求；第五，規(guī)劃安排校園網建設的實施步驟。3.1系統(tǒng)拓撲結構工學院校園網拓撲圖3.2IP規(guī)劃與VLAN淮陰工學院網絡IP地址分配總則IP地址規(guī)劃根據所分配的公網IP地址和內部私網IP地址分配，地址可分為三大塊，一塊是Cernet分配多個C類公網IP地址，作為和國際互聯(lián)網互連的地址，域名就解析在這片地址上，主要供網絡中心和圖書館電腦部、部分實驗室專用；校園網的普通用戶,使用內部地址192.168.xxx.xxx，，不能和國際互聯(lián)網直接發(fā)生聯(lián)系，不能避開代理和計費系統(tǒng)；學校同時還可以申請一塊ChinaNet的公網IP地址，作為接入電信公網和部分關鍵的服務器出口備份,關鍵服務器擁有兩個公網IP，分別跨接在Cernet和ChinaNet上。VLAN的劃分當前交換技術的迅速發(fā)展，也加快了虛擬子網技術(VLAN—VirtualLocalAreaNetwork)的應用速度，特別是在當前校園網上的應用更廣泛。通過將校園網絡劃分為虛擬子網（VLAN），可以強化網絡管理和網絡安全，控制不必要的數據廣播。數據廣播在網絡中起著非常重要的作用，隨著校園網內的計算機數量的增加，VOD視頻點播在課堂教學上的大量應用，廣播包的數量也會急劇增加，當廣播包的數量占到總量的30%時，網絡的傳輸效率將會明顯下降。特別是當某網絡設備出現故障后，會不停地向網絡發(fā)送廣播，從而導致網絡風暴，使網絡通信陷于癱瘓。當校園網絡內計算機數超過200臺后，就必須采取措施將網絡分隔開來，將一個大的廣播域劃分成若干個小的廣播域。分隔廣播域的方式有兩種，一是物理分隔，即將一個完整網絡物理地一分為二或一分為多，然后通過一個能夠隔離廣播的網絡設備將彼此連接起來。二是邏輯分隔，即將一個大的網絡劃分為若干個小的虛擬子網，也就是VLAN，各虛擬子網間通過路由設備連接實現通訊。學校內部對于靈活、動態(tài)地組建VLAN網段的要求也越來越多，客觀上要求VLAN本身的結構可以實現動態(tài)組建、調整和管理。為了有效地提高網絡管理的靈活性，提高網絡效率和網絡安全性，充分合理地進行VLAN劃分，是必需的。該方案的VLAN劃分如下：表2：VLAN劃分表VLAN號VLAN名稱IP網段默認網關說明VLAN1-192．168．0．0/24192．168．0．254管理VLANVLAN10JWC192．168．1．0/24192．168．1．254教務處VLANVLAN20XSSS192．168．2．0/24192．168．2．254男生公寓VLANVLAN30CWC192．168．3．0/24192．168．3．254財務處VLANVLAN50JZX192．168．5．0/24192．168．5．254醫(yī)務室VLANVLAN60GLX192．168．6．0/24192．168．6．254女生公寓VLANVLAN70JSJX192．168．7．0/24192．168．7．254教學樓VLANVLAN100WQQ192．168．100．0/24192．168．100．254圖書館VLAN3.3核心層設計及設備選型校園網是各種應用的統(tǒng)一通信平臺，平均無故障時間以及故障恢復時間要保持在一個可容忍的許可范圍之內。在這種前提下，主干設備應有一定的冗余度，這種冗余度不單只是設備級的，也應該考慮物理線路，數據鏈路層、網絡層以及應用層的容錯能力。主干網以校園網絡中心的主機房為中心節(jié)點向外輻射，通過各部門（院、系、所）所在的建筑樓節(jié)點構成主干網。校園網物理結構分為三層：核心層、匯聚層、接入層。主干網中心節(jié)點配置核心路由交換機，該交換機上配置第三層交換模塊和網絡監(jiān)控模塊，以實現網絡動態(tài)管理和虛擬局域網。校園網的信息資源分中心，可采用三層交換機與校園網中心的核心路由交換機連接，以實現主干通道信息傳輸的負載均衡。教學樓、科學樓、公寓等樓宇采用高性能匯聚層交換機，以保證建筑樓信息點對交換機端口密度的要求和網絡性能與可靠性的要求。主干網核心層交換機和匯聚層交換機采用1000Mbps（單模1000BASE-LX、多模1000BASE-SX）連接，服務器采用1000Mbps(1000BASE-TX)連接。1．主干交換機主干交換機是指連接服務器及樓與樓之間、層與層之間的數據交換設備。本校園網工程將分為三期，根據工程三個階段中網絡點成批增加其間伴隨著的使用需求增長，對主干交換機基本設備的選型及其階段性的擴展需求進行總體的合理規(guī)劃。采用交換機而不使用共享式集線器到桌面是由于學校實際使用情況是主要表現在集中突發(fā)性，即學生同時使用同一軟件的情況比較多，如果使用共享到桌面，網絡就會產生擁阻而影響速度，因此在校園網中應使用百兆交換到桌面。在十兆與百兆交換機中應選擇百兆交換，因為10兆雖然在目前校園網絡使用中剛剛能達到要求，但是已經不適應功能越來越強的計算機與新的應用軟件的發(fā)展，更不適應更快的計算機通訊產品的要求，將成為它們之間最大的瓶頸。因此采用銳捷STAR-S3550-12G全千兆智能多層交換機作為校園網工作組級接入交換機，直接連接學生站點。通過Intel先進的、獨特的堆疊背板技術（SST）將第一期的600個站點分成若干個網段，即3-6個510T交換機堆疊在一起的獨立組群，這樣就在每個交換組中最多144個站點提供高達15Gb的帶寬，因此形成的交換網絡就能夠滿足不斷增長的流量需求。另外還通過虛網技術，使每個教室或每個年級之間的互訪得到有效的管理和控制，提高網絡的安全性。以合理價格實現工作組與終端設備的100Mbps連接的可擴展交換器，銳捷是將專用快速以太網式的性能擴展到整個網絡的理想選擇，它可使用戶的終端設備服務器及其它網絡設施享受這種高性能的解決方案。這種高性能的解決方案可隨網絡的成長而自由地擴展。2．服務器服務器是網絡服務器用量最大的地方。服務器的選擇標準很大程度上取決于中心客戶的類型和應用種類。就學校情況而言，Web應用和數據庫應用仍然占整個數據中心的各類應用的主要部分。因此對服務器的網絡響應能力在很大程度上體現了服務器的硬件體系結構設計的合理性、CPU或CPU組（SMP）對操作系統(tǒng)的進程或線程的分配能力以及磁盤I/O的性能。以及可行性與穩(wěn)定性，同時散熱、功耗和易安裝性也是重點考察和評價的對象?；谝陨峡紤]，所選的服務器必須具有高可靠性，I/O吞吐能力強，數據處理快，可擴展性和可管理性良好的特點3．路由器在此方案中，考慮Internet出口路由器的配置——一臺聯(lián)想天工R1760路由器。它是學校的校園網對外的出口，也可以作為保護校園網的第一道防火墻。因為使用聯(lián)想router在Internet上配置安全的VPN隧道極為簡單，聯(lián)想天工Router對通道傳輸提供強大的加密功能，確保您的私人通訊數據通過公用網域時的安全。但根據客戶和局域網配置的具體不同情況，也應該采取適當的步驟來確保來自Internet的局域安全。這至少要包括配置通過協(xié)議過濾器的訪問控制目錄。[6]采用DDN線路與Internet連接，以64KB~2MB帶寬支持校園的應用，而且性能非常穩(wěn)定。聯(lián)想Router有2個能與專用數字線路或FrameRelay及X.25網絡相連的WAN接口。3.4匯聚層設計采用千兆以太網技術，實現核心層與匯聚層的互連。核心網絡以星型結構連接各匯聚層節(jié)點。根據信息點分布情況，選用千兆可堆疊交換機作為用戶的鏈路匯聚。匯聚層交換機支持靈活的組網能力、強大的網絡適應能力豐富的QoS策略。靈活的組網能力:支持多種規(guī)格千兆接口模塊供選擇；并可提供堆疊接口模塊，可以和系列交換機堆疊，能夠提供更靈活的組網模式。強大的網絡適應能力:支持豐富的二層、三層協(xié)議：支持OSPF，RIPI/II，等路由協(xié)議，支持802.1q，GVRP等二層協(xié)議；提供RSTP，PIM協(xié)議，支持802.1x用戶認證功能，可勝任各種復雜網絡的組網需求。可控組播技術使得網絡的組播源和組播用戶可控，能夠對組播業(yè)務進行可靠的管理。豐富的QoS策略:支持對不同優(yōu)先級業(yè)務進行調度及良好的網絡擁塞控制策略，支持基于L2/3/4的流分類，豐富的Qos策略是構建高質量網絡的基礎。[7]3.5接入層設計接入層選用可堆疊交換機作為用戶的接入。采用10/100/1000M以太網交換機系列，該系列交換機使用可堆疊式機型。接入交換機要求支持全線速的二層交換；完備的安全智能控制策略：支持802.1x認證，，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網絡。支持多種ACL訪問控制策略，能夠對用戶訪問網絡資源的權限進行設置，保證網絡的受控訪問。高可靠性：支持STP/RSTP生成樹協(xié)議。豐富的QOS策略：支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復雜流分類，支持帶寬控制功能。好的擴展性：提供良好的堆疊功能，同時支持不同設備的混合堆疊，從而保證了網絡的平滑升級和降低了擴建成本。[8]3.6服務器選型在該方案中，校園網服務器選用清華同方的超強系列服務器產品。Web服務器選型分析根據校園網服務器的應用特點，Web服務器選型應該按照如下原則：要求反應時間短，能快速響應和處理用戶的訪問需求。具有強大的信息吞吐能力、多Web站點和內容緩存、能在一定投資下提供更多的訪問服務和提高用戶滿意度。易于發(fā)布和實現信息共享。易于建立和運行Web應用，簡化業(yè)務進程。具有可靠的品質，保證Web服務不間斷。易于設置和管理，使網絡管理變得更容易。易于擴展，滿足業(yè)務的擴大需求，保護用戶投資?；谝陨闲枨?，推薦選用清華同方超強2250L服務器。視頻點播服務器選型分析在一些校園網系統(tǒng)集成軟件里面帶有視頻點播的功能，這部分功能通常由一臺綜合性校園網服務器來完成。而要實現比較大型的視頻點播的功能，則需要單獨的一臺VOD服務器、單獨的視頻點播軟件來完成，并考慮外加擴展柜的方式，確保在高清晰度視頻圖像的情況下能支持更多的并發(fā)流量，以便在高峰點播時間不會出現系統(tǒng)瓶頸。因此對視頻點播服務器的選型和對服務器的磁盤子系統(tǒng)、內存子系統(tǒng)、網絡子系統(tǒng)、處理子系統(tǒng)都有不凡的要求。對于200個左右視頻并發(fā)用戶，推薦采用清華同方超強2250L服務器來承擔視頻點播服務；對于100個左右視頻并發(fā)用戶，推薦采用清華同方超強1580L服務器來承擔視頻點播服務。清華同方超強1580L服務器是一款采用英特爾Xeon處理器的塔式服務器，是定位于工作組級的服務器，它具備部門級服務器的穩(wěn)定可靠的特性。在視頻點播系統(tǒng)中服務器支持的并發(fā)用戶的數量基本上確定了服務器的檔次，而具體需要點播的內容的容量則要考慮服務器的擴展能力。清華同方超強1580L服務器適合于在100個左右的并發(fā)用戶數量，采用外加擴展柜的方式可以支持到800GB以上；對于再大容量的要求，為了提高對磁盤數據的管理，推薦使用清華同方超強2250L服務器且同樣外加擴展柜的方式。3．其他服務器在大型校園網中，還有E-mail、BBS、資源庫、遠程教育、電子預覽等應用，清華同方超強1580L服務器可以滿足上述應用要求。此外學校圖書館的圖書管理系統(tǒng)一般就建立在圖書館的內部，通常與校園網機房中心是分開的。圖書館的圖書管理系統(tǒng)一般采用服務器雙機的方式，以保證系統(tǒng)在工作時間不停機，確保操作中的圖書借還信息的不丟失；同時還要采用RAID方式保證數據的安全。在圖書館的應用當中，推薦采用超強TR200服務器作為圖書管理系統(tǒng)的硬件平臺。3.7系統(tǒng)安全體系設計校園網信息系統(tǒng)是校園網的數字神經中樞，合理的使用不僅能促進各院校的現代化教學改革、提高教學質量、改善教學環(huán)境，同時通過各院校之間的互聯(lián)互通，將會極大的提高教育行業(yè)整體的工作效率和教育質量。校園網總體上分為校園內網和校園外網。校園內網主要包括教學局域網、圖書館局域網、辦公自動化局域網等。校園外網主要指學校提供對外服務的服務器群、與CERNET的接入以及遠程移動辦公用戶的接入等。教學局域網是教學人員利用計算機開展教學和學生通過計算機來學習的網絡平臺；圖書館局域網實現了圖書館的網絡化管理以及圖書的網上檢索或瀏覽；辦公自動化局域網是教職員工自動化辦公的平臺，可以在此平臺上開展公文管理、會議管理、檔案管理以及個人辦公管理等。實現包括教學管理、科研管理、學員管理、資產管理、人事管理、黨務管理、財務管理、后勤管理等應用，形成院校的綜合管理信息系統(tǒng)；

校園外網的服務器群構成了校園網的服務系統(tǒng)，一般包括DNS、WEB、FTP、PROXY以及MAIL服務等。外部網實現了校園網與CERNET及INTERNET的基礎接入，使院校教職工和學生能使用電子郵件和瀏覽器等應用方式，在教學、科研和管理工作中利用國內和國際網進行信息交流和共享。校園網內的用戶數量較大，局域網絡數目較多，認真分析可以總結出校園網面臨著如下的安全威脅：各種操作系統(tǒng)以及應用系統(tǒng)自身的漏洞帶來的安全威脅；Internet網絡用戶對校園網存在非法訪問或惡意入侵的威脅；來自校園網內外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸等將病毒帶入校園內網。內部教職工以及學生可能由于使用盜版介質將病毒帶入校園內內部用戶對Internet的非法訪問威脅，如瀏覽黃色、暴力、反動等網站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內網；內外網惡意用戶可能利用利用一些工具對網絡及服務器發(fā)起DOS/DDOS攻擊，導致網絡及服務不可用；校園網內的學生群體是主要的QQ用戶，目前針對QQ的黑客程序隨處可見；可能會因為校園網內管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網的威脅；基于上面的問題，我們將從物理、系統(tǒng)、網絡、應用及管理五個層次分析和設計適合于校園網的安全建議方案。1．物理層安全物理層的安全主要包括環(huán)境、設備及線路的安全。系統(tǒng)中心或機房的建設應遵照：GB50173-93《電子計算機機房設計規(guī)范》、GB2887-89《計算機站場地安全要求》及GB2887-89《計算機站場地技術條件》的要求。在設備集中的管理間安裝干擾器防止由于設備輻射造成的信息泄漏。同時，要注意保護線路的安全，防止用戶的搭線竊聽行為。2．系統(tǒng)安全系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數據庫、及相關產品的安全漏洞和病毒造成的威脅。解決的技術手段主要有以下幾種：加固手段對主機加固，如升級、打補丁、關閉不需要的端口等；訪問控制手段加強對主機的訪問控制；3．網絡層安全校園網中局域網數目較多，根據需要多個網絡可能要互相聯(lián)接。正是這種多網的互聯(lián)，使我們對網絡層的安全要極度重視。定義一個網絡或各網絡內不同安全等級的部分為不同的安全域。安全域之間的連接處叫網絡邊界。下面主要討論以下幾方面的網絡層安全防護：[10]1)劃分安全子網。如果同一局域網內有不同等級的安全域，可以通過劃分子網及VLAN的方法加以訪問控制。如在教學局域網中學生機房和多媒體機房之間可以通過劃分子網來控制，不允許學生機房的機器訪問多媒體機房的機器。2)加強網絡邊界的訪問控制。安全等級差別較大的邊界需要采用防火墻來控制。如校園內網、校園外網和Internet之間，利用防火墻進行訪問控制和內容過濾?？捎行У亟鉀Q需求中提到的多種威脅。3)防止內外的攻擊威脅。在每個安全域內或多個安全域之間安裝入侵檢測系統(tǒng)（IDS）,可有效地防止來自網絡內外的攻擊。4．應用層安全應用層的安全措施主要有以下幾點：各應用系統(tǒng)自身的加固；建立身份認證系統(tǒng)；建立安全審計系統(tǒng)；建立備份系統(tǒng)；5．管理層安全實現管理層的安全主要注意以下幾點：建立安全管理平臺。主要是指將各種安全系統(tǒng)或設備集中控管、綜合分析。2）建立、健全安全管理體制。校園網用戶較多，一定要建立一套合理可行的安全管理制度。只有制度和設備的完美結合才能真正提高校園網的安全水平。四，校園網內部實習交換機配置switch(Config-Vlan10)#switchportinterface?ethernet--ethernetinterfaceport-channel--Port-Channel<WORD>--Interfacelist(inputinterfaceand/ortheinterfacerangesdividedbysemicolon(;).suchase0/0/1;e0/0/3;e0/0/5-8)<1-100>characterswitch(Config-Vlan10)#switchportinterfacee0/0/6-12SettheportEthernet0/0/6accessvlan10successfullySettheportEthernet0/0/7accessvlan10successfullySettheportEthernet0/0/8accessvlan10successfullySettheportEthernet0/0/9accessvlan10successfullySettheportEthernet0/0/10accessvlan10successfullySettheportEthernet0/0/11accessvlan10successfullySettheportEthernet0/0/12accessvlan10successfullyswitch(Config-Vlan10)#exitswitch(Config)#vlan20switch(Config-Vlan20)#switchportinterfacee0/0/13-24SettheportEthernet0/0/13accessvlan20successfullySettheportEthernet0/0/14accessvlan20successfullySettheportEthernet0/0/15accessvlan20successfullySettheportEthernet0/0/16accessvlan20successfullySettheportEthernet0/0/17accessvlan20successfullySettheportEthernet0/0/18accessvlan20successfullySettheportEthernet0/0/19accessvlan20successfullySettheportEthernet0/0/20accessvlan20successfullySettheportEthernet0/0/21accessvlan20successfullySettheportEthernet0/0/22accessvlan20successfullySettheportEthernet0/0/23accessvlan20successfullySettheportEthernet0/0/24accessvlan20successfullyswitch(Config-Vlan20)#exitswitch(Config)#vlan1switch(Config-Vlan1)#switchportinterfacee0/0/1-5SettheportEthernet0/0/1accessvlan1successfullySettheportEthernet0/0/2accessvlan1successfullySettheportEthernet0/0/3accessvlan1successfullySettheportEthernet0/0/4accessvlan1successfullySettheportEthernet0/0/5accessvlan1successfullyswitch(Config-Vlan1)#ipaddress>Unrecognizedcommandorillegalparameter!switch(Config-Vlan1)#interfacevlan1switch(Config-If-Vlan1)#ipaddressswitch(Config-If-Vlan1)#exitswitch(Config)#vlan10switch(Config-Vlan10)#interfacevlan1002:10:45:%LINK-5-CHANGED:InterfaceVlan10,changedstatetoUPswitch(Config-If-Vlan10)#ipaddressswitch(Config-If-Vlan10)#exitswitch(Config)#vlan20switch(Config-Vlan20)#interfacevlan2002:11:34:%LINK-5-CHANGED:InterfaceVlan20,changedstatetoUPswitch(Config-If-Vlan20)#ipaddressswitch(Config-If-Vlan20)#exitswitch(Config)#showrunning>Unrecognizedcommandorillegalparameter!switch(Config)#exitswitch#showrunningCurrentconfiguration:!hostnameswitch!!Vlan1vlan1!Vlan10vlan10!Vlan20vlan20!!InterfaceEthernet0/0/1!InterfaceEthernet0/0/2!InterfaceEthernet0/0/3!InterfaceEthernet0/0/4!InterfaceEthernet0/0/5!InterfaceEthernet0/0/6switchportaccessvlan10!InterfaceEthernet0/0/7switchportaccessvlan10!InterfaceEthernet0/0/8switchportaccessvlan10!InterfaceEthernet0/0/9switchportaccessvlan10!InterfaceEthernet0/0/10switchportaccessvlan10!InterfaceEthernet0/0/11switchportaccessvlan10!InterfaceEthernet0/0/12switchportaccessvlan10!InterfaceEthernet0/0/13switchportaccessvlan20!InterfaceEthernet0/0/14switchportaccessvlan20!InterfaceEthernet0/0/15switchportaccessvlan20!InterfaceEthernet0/0/16switchportaccessvlan20!InterfaceEthernet0/0/17switchportaccessvlan20!InterfaceEthernet0/0/18switchportaccessvlan20!InterfaceEthernet0/0/19switchportaccessvlan20!InterfaceEthernet0/0/20switchportaccessvlan20!InterfaceEthernet0/0/21switchportaccessvlan20!InterfaceEthernet0/0/22switchportaccessvlan20!InterfaceEthernet0/0/23switchportaccessvlan20!InterfaceEthernet0/0/24switchportaccessvlan20!InterfaceEthernet0/1/1!!interfaceVlan1interfacevlan1ipaddress!!interfaceVlan10interfacevlan10ipaddress!!interfaceVlan20interfacevlan20ipaddress!!switch#switch>switch>switch>switch>switch>switch>switch>switch>switch>switch>switch>switch>enableswitch#router?>unrecognizedcommandswitch#configswitch(Config)#?aaa--ConfigureAAA(Authentication,Authorizationandpre-Accounting)aaa-accounting--Configureaccountingaccess-group--Applyaccess-listtointerfaceblockaccess-list--Addanaccesslistentryam--accessmanagementauthentication--Authenticationconfigurationcommandsbroadcast-suppression--broadcast-suppressionbt-guard--BT-Guardclass-map--ConfigureQoSClassMapcluster--Clusterconfigurationcommandsdir--showremoteserverfileinformationdot1x--Configure802.1Xenable--Modifyenablepasswordparametersexec--SetidletimeoutinPrivilegedmodeexit--Exitconfigmodefirewall--Configurefirewallstatusftp-server--FTPServerconfiggarp--setGARPparametergvrp--EnableGVRPhelp--helphostname--Modifyhostnameinterface--Selectaninterfacetoconfigureip--Globalipconfigurationsubcommandsisolate-port--Setisolate-portlogging--Loggingloghost--Setloghost'sIPaddressmac-access-list--GlobalMACconfigurationsubcommands_Namedaccess-listmac-address-table--MACaddresstablesettingmac-ip-access-list--GlobalMAC-IPconfigurationsubcommands_Namedaccess-listmls--ConfigureMultiLayerSwitchingcharacteristicsmonitor--ConfigureSPANmonitoringno--NegateaCommandorSetitsdefaulpolicy-map--ConfigureQoSPolicyMapport-group--Port-groupconfigurationpriority-queue--Configurepriorityschedulingradius-server--ConfigureRADIUSrmon--configrmonroute-map--Createroute-maporenterroute-mapcommandmoderouter--Enablearoutingprocessservice--Modifyuseofnetworkbasedservicessnmp-server--snmpagentserversntp--SimpleNetworkTimeprotocolspanning-tree--globalMSTPconfigssh-server--EnableSSHServicessh-user--Setssh-serveruserandpasswordstacking--Configstackingtelnet-server--Modifytelnetserverparameterstelnet-user--Settelnetuserandpasswordtftp-server--TFTPServerconfigtime-range--configureatimerangevlan--VlanCommandsweb-user--Setwebuserandpasswordwrr-queue--Configureweightedqueuesswitch(Config)#router?bgp--BorderGatewayProtocolid--Setuproutingprotocol'srouteridospf--Enable/disableOSPFprotocolrip--RoutingInformationProtocolswitch(Config)#routerripswitch(Config-Router-Rip)#version2switch(Config-Router-Rip)#exitswitch(Config)#show?>unrecognizedcommandswitch(Config)#exitswitch#show?aaa--AAAaccess-group--Specifiedaccesscontrolforpacketsaccess-lists--Displayaccess-liststructurearp--ARPtablechannel--Logouputchannelclass-map--DisplayQoSClassMapclock--Displaythesystemclockcluster--Displayclusterinformationcpu--CPUstatusandconfigurationdebugging--debugswitchdot1x--dot1xfirewall--Displayfirewallstatusflash--Flashfilesinformationftp--Ftpserverinfomationgarp--Displaythegarpinformationgvrp--Displaythegvrpinformationhardware-filter-table--ShowQoShardware-filter-tableinformationhistory--Displaythesessioncommandhistoryinterface--interfaceip--IPprotocolipmc-table--HardwareIPMULTICASTForwardingtablel3-table--HardwareIPForwardingtablelogging--Loggingmac-address-table--Macaddresstablecommandsmemory--memorystatisticsmls--DisplayMultiLayerSwitchinginformationmls-qos--DisplayMultiLayerSwitchinginformationmonitor--DisplayaSPANsessionpolicy-map--ShowQoSPolicyMapport-group--Port-groupconfigurationport-security--Securityrelatedcommandradius--AAArom--Romfilesinformationroute-map--Showroute-mapinformationrunning-config--Currentoperatingconfigurationsnmp--Displayinformationofsnmpssh-server--showsshserviceinfomationssh-user--sshuserstacking--Showstackinginformationstandby--HotStandbyRouterProtocol(HSRP)informationstartup-config--Showstart-upconfiginformationswitchport--switchportinformationtcp--tcptech-support--Tech-supportinformationtelnet--telnetinformationtftp--Tftpserverinfomationudp--udpversion--Systemhardwareandsoftwarestatusvlan--VLANinformationswitch#showip?bgp--BGPProtocolcache--Cacheinformationcommunity-list--Listcommunity-listdhcp--ShowitemsintheDHCPdatabasedvmrp--DVMRPprotocolInformationforward-protocol--ControlforwardingofphysicalanddirectedIPbroadcasthelper-address--SpecifyadestinationaddressforUDPbroadcastsigmp--showigmpmroute--IPmulticastroutingtableospf--OSPFprotocolInformationpim--PIMprotocolInformationprotocols--Routeprotocolsrip--Ripprotocolroute--Routeinformationtraffic--Statisticinformation<CR>switch#showiprouteTotalrouteitemsis1,thematchedrouteitemsis1Codes:C-connected,S-static,R-RIPderived,O-OSPFderivedA-OSPFASE,B-BGPderived,D-DVMRPderivedDestinationMaskNexthopInterfacePreferenceCVlan10switch#02:49:50:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceEthernet0/0/10,changedstatetoUP%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan10,changedstatetoUPPressENTERtogetstartedswitch>switch>switch>switch>switch>ean>Unrecognizedcommandorillegalparameter!switch>switch>switch>switch>eanble>Unrecognizedcommandorillegalparameter!switch>switch>switch>switch>enaswitch#switch#switch#showiproutTotalrouteitemsis2,thematchedrouteitemsis2Codes:C-connected,S-static,R-RIPderived,O-OSPFderivedA-OSPFASE,B-BGPderived,D-DVMRPderivedDestinationMaskNexthopInterfacePreferenceCVlan100CVlan10switch#switch#switch#switch#switch#switch#switch#PressENTERtogetstartedswitch>switch>switch>switch>switch>switch>ean>Unrecognizedcommandorillegalparameter!switch>switch>switch>switch>switch>enaswitch#switch#switch#switch#showrunCurrentconfiguration:!hostnameswitch!!routerriprouterrip!!Vlan1vlan1!Vlan10vlan10!Vlan20vlan20!!InterfaceEthernet0/0/1!InterfaceEthernet0/0/2!InterfaceEthernet0/0/3!InterfaceEthernet0/0/4!InterfaceEthernet0/0/5!InterfaceEthernet0/0/6switchportaccessvlan10!InterfaceEthernet0/0/7switchportaccessvlan10!InterfaceEthernet0/0/8switchportaccessvlan10!InterfaceEthernet0/0/9switchportaccessvlan10!InterfaceEthernet0/0/10switchportaccessvlan10!InterfaceEthernet0/0/11switchportaccessvlan10!InterfaceEthernet0/0/12switchportaccessvlan10!InterfaceEthernet0/0/13switchportaccessvlan20!Interface