學校學生宿舍組網設計方案

1、目錄前言4第1章 學?，F(xiàn)狀51.1湖南科技學院平面示意圖51.2 學校南區(qū)學生宿舍概況5第2章 相關技術簡介62. 1 internet62.1.1 internet的概念62.1.2 internet提供的服務62.2 pppoe72.2.1 什么是pppoe72.2.2 pppoe相關技術概要82.3 dhcp82.4 ftp82.4.1 ftp協(xié)議簡介82.4.2 ftp服務器系統(tǒng)92.4.3 匿名ftp92.5 dns9第3章 網絡設計原則10第4章 需求分析124.1 項目介紹124.2 項目方組網需求124.3 服務器需求分析124.4 接入點統(tǒng)計134.5 安全需求13第5章 i

2、p地址以及vlan規(guī)劃145.1 ip地址規(guī)劃原則145.2 具體設計155.2.1 終端設備ip地址規(guī)劃155.2.2 設備管理ip地址規(guī)劃165.2.3 設備互聯(lián)ip地址規(guī)劃18第6章 網絡設計186.1 網絡拓撲圖186.2 網絡設計描述206.3 區(qū)域設計206.4 網絡安全206.4.1 網絡物理是否安全206.4.2 網絡平臺是否安全216.4.3 系統(tǒng)是否安全216.4.4 應用是否安全226.4.5 管理是否安全226.4.6 人為惡意攻擊手段226.4.7 數(shù)據(jù)備份與恢復23第7章 設備選型247.1 核心交換機選型說明247.1.1 設備類型類型247.1.2產品特色247

3、.2 匯聚交換機選型說明297.2.1 設備類型297.2.2 產品特性297.2.3 產品參數(shù)317.3 接入交換機選型說明337.3.1 設備類型337.4.1 防火墻選型說明34第8章 網絡管理和安全358.1 網絡管理358.2 網絡安全368.2.1 病毒防范策略368.2.2 網絡攻擊及防范策略388.3 網絡管理功能418.3.1 認證計費管理軟件選型說明418.3.2 網絡管理軟件選型說明448.4 故障管理478.4.1 用戶上網故障分析478.4.2 ip沖突解決方案48第9章 方案預算539.1 接入層設備預算539.2 匯聚層設備預算539.3 核心層設備預算539.4

4、 線纜預算539.5 其他設備預算539.6 總計53第10章 參考文獻54前言從1959年arpa建立了arpanet網開始，互聯(lián)網只經過短短四十多年的發(fā)展，今天，網絡已經開始對整個經濟體系產生影響。網絡將像電話、汽車等的發(fā)明一樣產生深刻影響，并比他們的影響更深遠。許多發(fā)達國家和一些發(fā)展中國家也相繼提出了本國或本地區(qū)的信息基礎設施計劃?？梢哉f，信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合國力強弱的重要標志。隨著網絡的普及，學生上網問題已經成為學?；A設施建設中的重點。事實上，internet的時代早已經來臨，只是限于連接速率和費用的問題，很多人并沒有真正能夠好好地利用、享受它。如今，各種各樣

5、的連接方式和越來越快的連接速率使得人們能夠很好地享受寬帶網（broadband networking）所帶來的沖擊和給我們生活、學習、工作方式的沖擊，讓我們生活真正地生活、工作、享受在一個寬帶的時代！如果網絡沒有被有效被學生利用，那么中國教育的信息化建設將普遍滯后，未能從戰(zhàn)略的高度把信息化作為企業(yè)自我發(fā)展的內在需求，未能把網絡提供的市場機會作為提高人才競爭力的有效途徑和企業(yè)可持續(xù)發(fā)展的新的增長點。對大多數(shù)學生而言，網絡成為了他們了解市場，把握機會的一個重要途徑，學校宿舍聯(lián)網都沒有建立，遠不能適應網絡經濟發(fā)展對學生的需要和要求。學生信息化程度不高將會成為未來中國社會發(fā)展的一個重大阻力?；谏厦嬉?/p>

6、系列信息化問題，學生宿舍能否實現(xiàn)信息化已經成為學生能否順利發(fā)展的重要條件。一個好的學生宿舍網絡有利于學生了解社會發(fā)展需求，一便于將能更好的適應社會，因此學生宿舍區(qū)網絡建設在這種社會環(huán)境下已尤為必要。第1章 學校現(xiàn)狀1.1湖南科技學院平面示意圖1.2 學校南區(qū)學生宿舍概況南校區(qū)共有七棟學生宿舍樓，每棟宿舍樓六層分a 、b兩個區(qū)域，宿舍樓中除了原有的pstn線路和插座，沒有任何網絡設備和機房。宿舍樓a座宿舍樓b座 學生宿舍樓切面圖大門第2章 相關技術簡介2. 1 internet隨著社會的發(fā)展internet(互聯(lián)網)技術在信息社會中的作用越來越重要，接下來我們認識下internet.2.1.1

7、internet的概念internet是全球計算機系統(tǒng)的集合，這些計算機通過主干系統(tǒng)互連在一起，在一套完整的編制和命令系統(tǒng)，它不獨立隸屬于某個人、單位、組織或國家，它是一個開發(fā)的世界性網絡。internet是在通信網絡基礎上，以tcp/ip協(xié)議為基標、以域名地址和ip地址為標識、以網關和路由為轉換協(xié)議的工具構成的網絡的集合。internet實質上是由遍布全球的各種計算機網路互連而成的網絡，而不論這些網絡類型的異同、規(guī)模大小和地址位置的遠近。圖2-1為internet的結構示意圖。 圖1-1 internet結構示意圖2.1.2 internet提供的服務1、 電子郵件服務（e_mail）電子郵

8、件服務是目前最常見、應用最廣泛的一種到聯(lián)網服務。通過電子郵件，可以與internet上的任何人交換信息。電子郵件的快速、高效、方便以及價廉，越來越得到了廣泛的應用，目前只要是上過網的網民就肯定用過電子郵件這種服務。目前，全球平均每天約有幾千萬份電子郵件在網上傳輸。2、 文件傳輸文件傳輸協(xié)議（file transfer protocol, ftp）是一個用于在兩臺裝有不同操作系統(tǒng)的機器中傳輸計算機文件的軟件標準。它屬于網絡協(xié)議組的應用層。3、 遠程登錄遠程登錄（telnet）,因特網上較早提供的服務。用戶通過該命令使自己的計算機暫時成為遠地計算機的終端，直接調用遠地計算機的資源和服務。2.2 p

9、ppoe2.2.1 什么是pppoeppp是為串行通信設計的，現(xiàn)在它與以太網（ethernet）相結合，成為在以太網絡中轉播ppp幀信息的技術。也稱ppp over ethernet，即pppoe協(xié)議。ppp協(xié)議與以太網并不是兼容的東西，因此用戶經常感到十分的迷惑，為什么要將以太網與ppp結合在一起呢？ 如果我們將tcp/ip通信與公路交通相比的話，那么基本的tcp/ip協(xié)議就是這個城市的街道網。街道上有許多的路口（或者停車點），人們在馬路上可以很容易地上車或者下車。但是人們不知道每條街上有多少輛車在跑，而且每新增加一個路口將帶來新的管理任務，因為你將更不清楚有多少人，有多少車在街道上跑了。p

10、pp就好比鐵路，人們只能在固定的站點上上車或者下車，因此對乘客的管理和控制也相對容易（比如上車必須買票。）因此不妨再打個比喻，pppoe就象是在街道上跑的火車，事實上這不是不可能的，比如電車軌道，地鐵。它帶來的好處是顯而易見的，首先它不影響城市里其它的交通，其次還給你帶來鐵路的優(yōu)點，比如流量的控制。 有些isp并不是通過串行鏈路與用戶相連的，這種情況下pppoe也可以帶來部分好處；使用串行鏈路的isp早已經在調制解調器通信上使用ppp了，另一方面，dsl提供商通過以太網，而不是串行鏈路通信，因此pppoe可以滿足許多人的需要。并且，許多人對于pppoe的付加能力感到特別滿意。因為pppoe允許

11、isp們對用戶的登錄安全進行控制和測量用戶流量。2.2.2 pppoe相關技術概要1通信過程概述建立pppoe通道（adsl撥號）分兩個階段：發(fā)現(xiàn)階段和ppp會話階段。 在發(fā)現(xiàn)階段，以太網上的客戶機要找到一個訪問集中器(ac，access concentrator)，就是adsl modem，在家用時一般就只有一個ac；但如果是一個以太網內可能會有多條adsl，就會有多個ac，這時客戶機就從中選擇一個。發(fā)現(xiàn)階段完成后，客戶機和ac都得到要在以太網上建立ppp通道的相關信息。 發(fā)現(xiàn)階段是無狀態(tài)的，也就是兩邊都不用保存以前的狀態(tài)信息；只有ppp會話開始后，雙方就要建立一個虛擬的ppp通信接口，具體

12、在linux下會有ppp0網卡，在windows下網絡連接中增加adsl的接口。 2協(xié)議頭格式 pppoe數(shù)據(jù)是直接在以太頭數(shù)據(jù)之上的，其等級和arp、ip等是相同的，在以太頭的類型字段中，用0x8863 表示是pppoe發(fā)現(xiàn)階段數(shù)據(jù)，用0x8864表示ppp會話階段數(shù)據(jù)，2.3 dhcp動態(tài)主機設置協(xié)議（dynamic host configuration protocol, dhcp）是一個局域網的網絡協(xié)議，使用udp協(xié)議工作，主要有兩個用途：給內部網絡或網絡服務供應商自動分配ip地址給用戶給內部網絡管理員作為對所有計算機作中央管理的手段。2.4 ftp2.4.1 ftp協(xié)議簡介ftp 是

13、file transfer protocol（文件傳輸協(xié)議）的英文簡稱，而中文簡稱為“文傳協(xié)議”。用于internet上的控制文件的雙向傳輸。同時，它也是一個應用程序（application）。用戶可以通過它把自己的pc機與世界各地所有運行ftp協(xié)議的服務器相連，訪問服務器上的大量程序和信息。ftp的主要作用，就是讓用戶連接上一個遠程計算機（這些計算機上運行著ftp服務器程序）察看遠程計算機有哪些文件，然后把文件從遠程計算機上拷到本地計算機，或把本地計算機的文件送到遠程計算機去。2.4.2 ftp服務器系統(tǒng)與大多數(shù)internet服務一樣，ftp也是一個客戶機/服務器系統(tǒng)。用戶通過一個支持ft

14、p協(xié)議的客戶機程序，連接到在遠程主機上的ftp服務器程序。用戶通過客戶機程序向服務器程序發(fā)出命令，服務器程序執(zhí)行用戶所發(fā)出的命令，并將執(zhí)行的結果返回到客戶機。比如說，用戶發(fā)出一條命令，要求服務器向用戶傳送某一個文件的一份拷貝，服務器會響應這條命令，將指定文件送至用戶的機器上?？蛻魴C程序代表用戶接收到這個文件，將其存放在用戶目錄中。 2.4.3 匿名ftp匿名ftp是這樣一種機制，用戶可通過它連接到遠程主機上，并從其下載文件，而無需成為其注冊用戶。系統(tǒng)管理員建立了一個特殊的用戶id，名為anonymous, internet上的任何人在任何地方都可使用該用戶id。 2.5 dnsdns 是域名系

15、統(tǒng) (domain name system) 的縮寫，它是由解析器和域名服務器組成的。域名服務器是指保存有該網絡中所有主機的域名和對應ip地址，并具有將域名轉換為ip地址功能的服務器。其中域名必須對應一個ip地址，而ip地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級結構。域名服務器為客戶機/服務器模式中的服務器方，它主要有兩種形式：主服務器和轉發(fā)服務器。將域名映射為ip地址的過程就稱為“域名解析”。在internet上域名與ip地址之間是一對一（或者多對一）的，域名雖然便于人們記憶，但機器之間只能互相認識ip地址，它們之間的轉換工作稱為域名解析，域名解析需要由專門的域名解析服務器來完成，dns

16、就是進行域名解析的服務器。 dns 命名用于 internet 等 tcp/ip 網絡中，通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入 dns 名稱時，dns 服務可以將此名稱解析為與之相關的其他信息，如 ip 地址。因為，你在上網時輸入的網址，是通過域名解析系統(tǒng)解析找到了相對應的ip地址，這樣才能上網。其實，域名的最終指向是ip。2.6 vod1 vod的相關概念和應用vod（video on demand）即視頻點播技術的簡稱，也稱為交互式電視點播系統(tǒng)。vod出現(xiàn)的最初動力是人們對廣播電視的不滿，在現(xiàn)行的電視節(jié)目中，收看者完全是被動的。節(jié)目提供者放什么節(jié)目，觀眾就只能看什么節(jié)

17、目，節(jié)目時間也是固定不變的。盡管電視臺可以提供很多的節(jié)目，但要想真正完整地收看到一個自己滿意的節(jié)目，對于許多人來講也是不太容易作到的，因為在快節(jié)奏的現(xiàn)代社會中，許多人不可能為了看某一個電視節(jié)目而預先安排自己的時間。被迫習慣了這種被動收看方式的人們，對于有朝一日能夠按照自己的需要自由地點播，充滿了美好而迫切的憧憬。 為了使人們擺脫這種被動地位，有人想到能不能像點播廣播節(jié)目那樣點播電視節(jié)目呢？最初的解決方法有兩種形式，一種是延時廣播（delayed broadcast），即人們通過電話或其它信息方式通知服務臺自己想在哪個時間段收看什么節(jié)目。到那時，對方就按您的要求播放您點播的節(jié)目，還有一種方式是服

18、務臺每隔一段時間就從頭廣播一套節(jié)目，這樣你總能看到節(jié)目的開頭，這兩種方式雖然可以給用戶一定的主動權，但從本質上講，它們還是廣播業(yè)務，因為用戶還是無法隨時控制節(jié)目進行暫停、重放、快放、慢放等操作。于是，人們開始研究交互式電視系統(tǒng)，計算機技術的發(fā)展及數(shù)字通訊技術的長足進步使得視頻點播成為現(xiàn)實，使得人們的憧憬變成了現(xiàn)實。點播用戶只要操作遙控器，主動點播，即刻就可心想事成，收看和欣賞節(jié)目庫中自己喜愛的任意節(jié)目，并可進行快慢等自由的控制，節(jié)目內容除了多媒體軟件、教學信息、電影音樂外，還包括提供查詢、瀏覽、指南、交易、廣告、新聞等各類節(jié)目。世界上許多國家都在試驗和發(fā)展vod它的出現(xiàn)使得pc變成了一種可以隨

19、機獲取的媒體，更像是一本書或是一張報紙，可以瀏覽，可以調整，不再局限于某一時間或日期也不受傳送耗時的限制。第3章 網絡設計原則運用國內外的成熟、先進技術，把握計算機網絡發(fā)展的大趨勢， 結合實際情況、特點、使用需求及未來發(fā)展，提出以下建設原則：1經濟使用性 升級擴容信息網絡必須經濟實用且具有很高的性能價格比。2系統(tǒng)可靠性和穩(wěn)定性系統(tǒng)的高可靠性和穩(wěn)定性是網絡系統(tǒng)應用環(huán)境正常運行的首要條件。在保證系統(tǒng)可靠性的基礎上，進一步提高系統(tǒng)的可用性。網絡的高可靠性、穩(wěn)定性就是保證網絡可以在任何時間、任何地點提供信息訪問服務。設備要有可靠的質量，并支持熱插拔特性及線路、電源備份，以保持一個穩(wěn)定的運行環(huán)境。3系統(tǒng)

20、實用性和可管理性當今世界，通信技術和計算機技術的發(fā)展日新月異，網絡設計既要適應新技術發(fā)展的潮流，保證系統(tǒng)的先進性，選擇代表世界先進水平的技術和設備，不使投資的設備在短時間內落伍。但也要兼顧技術的成熟性、標準性、實用性考慮，不采用還未成為標準的技術及設備接口，也要兼顧技術的成熟性、實用性降低由于新技術和新產品不成熟等因素給用戶帶來的風險。網絡設計中，選擇先進的網絡管理軟件是必不可少的。通過這個管理平臺的控制，監(jiān)控主機、網絡設備狀態(tài)，故障報警，從而簡化了管理工作，提高了主機系統(tǒng)和網絡系統(tǒng)的利用效率。4系統(tǒng)可擴展性和開放性在網絡設計時，首先要滿足現(xiàn)有規(guī)模網絡用戶和應用的需求，同時考慮未來業(yè)務發(fā)展、規(guī)

21、模的擴大，應該設計關鍵網絡設備具備擴展能力以及網絡實施新應用的能力。同時，設備應采用開放技術、支持標準協(xié)議，具有良好的互連互通性，能夠支持同一廠家的不同系列的產品以及不同廠家的產品之間的無縫連接與通信。靈活擴充性：靈活的端口擴充能力，模塊擴充能力，滿足網絡規(guī)模的擴充。支持新應用的能力：產品具有支持新應用的技術準備，能夠符合實際要求的，方便快捷地實施新應用。在公司內采用統(tǒng)一的網絡體系結構，統(tǒng)一網絡協(xié)議。圍繞著統(tǒng)一網絡體系結構，確定網絡互連結構，網絡操作系統(tǒng)和網絡應用。5系統(tǒng)安全性和保密性安全性是網絡運行的生命線。對人員、設備的安全有所考慮；對網絡系統(tǒng)安全的考慮。硬件設備采用具有自主知識產權的設備

22、，支持多種數(shù)字認證和加密方法，嗎組電子政務網絡安全性需求。網絡架構方面，根據(jù)國家對電子政務網絡的要求，實現(xiàn)內外網隔離。合理的網絡安全控制，可以使應用環(huán)境中的信息資源得到有效的保護。網絡可以阻止任何非法的操作；網絡設備可進行基于協(xié)議、基于ip地址的包過濾控制功能，不同的業(yè)務，劃分到不同的虛網中。第4章 需求分析4.1 項目介紹湖南科技學院南宿舍區(qū)位了適應現(xiàn)代化宿舍的需求，決定在湖南科技學院南宿舍區(qū)組建網絡。該區(qū)共有學生宿舍樓七棟，分別是學生十舍、學生十一舍、學生十二舍、學生十三舍、學生十四舍、學生十五舍、學生十六舍，其中十、十一舍、十二舍。4.2 項目方組網需求1要求學生宿舍能夠通過pppoe撥

23、號上網；2 公網不能訪問學生宿舍網絡；3 學生宿舍能夠訪問校園ftp；4 同一宿舍樓內的用戶在一個局域網段內。5 學生宿舍網絡能夠訪問圖書館網絡4.3 服務器需求分析服務器在學生宿舍網絡建設中充當著不可或缺的角色，根據(jù)項目方要求，學生區(qū)核心交換機至少要連接7太服務器服務器名數(shù)量dns1www1email1ftp1數(shù)據(jù)庫服務器1vod點播服務器1dhcp1為了確保資源的安全以及數(shù)據(jù)信息不易丟失，在各服務器上均采用冗余技術，并在服務器上裝載cmis系統(tǒng)以方便信息管理。4.4 接入點統(tǒng)計南校區(qū)共有七棟學生宿舍樓，每座宿舍樓分a 、b兩個區(qū)域，每個區(qū)域都有6層。除第一層42間寢室外其余各層48間寢室，

24、共282間寢室，每個寢室4個用戶。統(tǒng)計表格如下：加入點統(tǒng)計區(qū)域十舍十一舍十二舍十三舍十四舍十五舍十六舍總計加入點（個）2822822822822822822821974流量（m）42342342342342342342329614.5 安全需求1 內部網絡正常運轉2 內部網絡數(shù)據(jù)安全3 網絡數(shù)據(jù)恢復3 內部網絡設備安全4 內部用戶接入安全5 內部網絡訪問控制6 外部網絡訪問控制7 公開服務器的安全保護8 防止黑客從外部攻擊9 入侵檢測與監(jiān)控10 信息審計與記錄11 病毒防護第5章 ip地址以及vlan規(guī)劃5.1 ip地址規(guī)劃原則學生宿舍區(qū)使用私有b類ip地址來規(guī)劃內網ip地址，選擇172.16

25、.0.0/16地址。ip地址規(guī)劃分為四塊：用戶地址、設備互聯(lián)地址、設備管理地址以及服務器地址。用戶ip地址：/24/24設備管理ip地址：/24設備互聯(lián)ip地址：/24服務器ip地址：/245.2 具體設計5.2.1 終端設備ip地址規(guī)劃終端設備ip以及vlan規(guī)劃區(qū)域網段默認網關vlan號vlan名十舍a/2410area-10十舍b/2411area-11十一舍a/24172.1

26、6.12.112area-12十一舍b/2413area-13十二舍a/2414area-14十二舍b/2415area-15十三舍a/2416area-16十三舍b/2417area-17十四舍a/2418area-18十四舍b/2419area-19十五舍a/241

27、20area-20十五舍b/2421area-21十六舍a/2422area-22十六舍b/2423area-235.2.2 設備管理ip地址規(guī)劃設備管理ip地址規(guī)劃區(qū)域管理ip/32設備名十舍aswitch-a1swithc-a2十舍bswitch-a3switch-a4十一舍aswitch-b1swtich-b2十一舍b1

28、switch-b3switch-b4十二舍aswitch-c10switch-c2十二舍b1switch-c32switch-c4十三舍a3switch-d14switch-d2十三舍b5switch-d36switch-d4十四舍a7switch-e18switch-e2十四舍b9switch-e30switch-e4

29、十五舍a1switch-f12switch-f2十五舍b3switch-f34switch-f4十六舍a5switch-g16switch-g2十六舍b7switch-g38switch-g45.2.3 設備互聯(lián)ip地址規(guī)劃設備互聯(lián)ip規(guī)劃使用位置ip網段備注核心交換機防火墻/30/24網段用作設備ip第6章 網絡設計6.1 網絡拓撲圖學生宿舍10棟學生宿舍11棟學生宿舍12棟學生宿舍13棟學生宿

30、舍14棟學生宿舍15棟學生宿舍16棟南區(qū)匯聚機房千兆多模光纖千兆單模光纖e座中心機房服務器群三教網管工作站千兆雙絞線電信internet防火墻路由器接入層交換機核心交換機匯聚層交換機防火墻隔離區(qū)計費系統(tǒng)6.2 網絡設計描述根據(jù)湖南科技學院南區(qū)學生宿舍實際情況，將學生宿舍10、11、12通過千兆多模光纖接入同一匯聚交換機，學生宿舍13、14通過千兆多模光纖接入同一匯聚交換機，學生宿舍15、16通過多模光纖接入同一匯聚交換機。核心交換機設在e座網絡中心機房中，中心機房中還放置著服務器群、路由器、機架等網絡設備，學生區(qū)核心交換機通過雙絞線與他們相連，并且三教網絡中心能夠通過遠程登錄控制各個交換機。為

31、了保證整個學生宿舍網絡與校網絡中心連接線路的穩(wěn)定與冗余，學生宿舍區(qū)核心交換機和匯聚交換機之間的連接采用雙線千兆光纖鏈路，接入交換機和匯聚交換機之間使用單線千兆光纖鏈路。6.3 區(qū)域設計學生十宿舍共有282個接入點，需要使用6臺交換機，設計時該棟樓的總流量為423m，接入層交換機通過千兆多模光纖連接匯聚層交換機。6.4 網絡安全該宿舍區(qū)局域網是一個信息點較為密集的萬兆局域網絡系統(tǒng)，它所聯(lián)接的現(xiàn)有上千個信息點為在整個學生宿舍區(qū)內的用戶提供了一個快速、方便的信息交流平臺。用戶可以通過pppoe認證與internet的連接，打通了一扇通向外部世界的窗戶，各個部門可以直接與互聯(lián)網用戶進行交流、查詢資料等

32、。高速交換技術的采用、靈活的網絡互連方案設計為用戶提供快速、方便、靈活通信平臺的同時，也為網絡的安全帶來了更大的風險。因此，實施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。網絡安全可以從以下幾個方面來理解：6.4.1 網絡物理是否安全網絡的物理安全主要指地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲等。它是整個網絡系統(tǒng)安全的前提。在這個學生宿舍區(qū)局域網內，由于網絡的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強網絡設備和機房的管理，這些風險是可以避免的。保證網絡的物理安全主要包括三個方面：環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保

33、護，如區(qū)域保護和災難保護；（參見國家標準gb5017393電子計算機機房設計規(guī)范、國標gb288789計算站場地技術條件、gb936188計算站場地安全要求） 設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等； 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。 6.4.2 網絡平臺是否安全網絡結構的安全涉及到網絡拓撲結構、網絡路由狀況及網絡的環(huán)境等。我們在允許用戶訪問外部互聯(lián)網的同時還要對外網的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應主機，其他的請求服務在到達主機之前就應該遭到拒絕。 安全的應用往往是建立在網絡系統(tǒng)之上的。網絡系統(tǒng)的成熟與否直接

34、影響安全系統(tǒng)成功的建設。該學生區(qū)局域網絡系統(tǒng)中，使用了一臺路由器和一個防火墻，用作與internet連結的邊界路由器，網絡結構相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網絡結構和網絡路由造成的安全風險。防火墻具有以下五大基本功能：過濾進、出網絡的數(shù)據(jù)；管理進、出網絡的訪問行為；封堵某些禁止的業(yè)務；記錄通過防火墻的信息內容和活動；對網絡攻擊的檢測和告警。6.4.3 系統(tǒng)是否安全系統(tǒng)的安全是指整個局域網網絡操作系統(tǒng)、網絡硬件平臺是否可靠且值得信任。沒有完全安全的操作系統(tǒng)。但我們可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權限進行嚴格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可

35、靠的操作系統(tǒng)和硬件平臺。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。 6.4.4 應用是否安全應用的安全性涉及到：機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個企業(yè)局域網跨度不大，絕大部分重要信息都在內部傳遞，因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內部進行保密的（比如財務系統(tǒng)傳遞的重要信息）可以考慮在應用級進行加密，針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。此外，進行訪問控制，內外網的隔離以及內部網不同網絡安全域的隔離，是必

36、須的。設置隔離區(qū)，把郵件等服務器放到該區(qū)，并把該區(qū)的服務器映射到外網的合法地址上以便internet網上用戶訪問。嚴禁internet網上用戶到企業(yè)內部網的訪問。6.4.5 管理是否安全管理是網絡中安全最最重要的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應制度來約束。當網絡出現(xiàn)攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤

37、線索及破案依據(jù)，即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。 建立全新網絡安全機制，必須深刻理解網絡并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結合。 6.4.6 人為惡意攻擊手段 人為惡意攻擊手段包括黑客攻擊，惡意代碼，病毒攻擊，不滿內部員工的破壞等。黑客們的攻擊行動是無時無刻不在進行的，而且會利用系統(tǒng)和管理上的一切可能利用的漏洞。為了防止黑客入侵，需要設置服務器權限，使得它不離開自己的空間而進入另外的目錄。另外，還應設置組特權，不允許任何使用服務器的人訪問www頁面文件以外的東西。在這個企業(yè)的局域網內我們可

38、以綜合采用防火墻技術、web頁面保護技術、入侵檢測技術、安全評估技術來保護網絡內的信息資源，防止黑客攻擊。 網絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術： 1.預防病毒技術：它通過自身常駐系統(tǒng)內存，優(yōu)先獲得系統(tǒng)的控制權，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術有，加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒軟件等）。 2.檢測病毒技術：它是通過對計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵字、文件長度的變化等。 3.清除病毒技術：它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復原文件的軟件。 6.4.7 數(shù)據(jù)備份與

39、恢復數(shù)據(jù)的安全對企業(yè)來說是至關重要的，但是沒有絕對的安全，因此對數(shù)據(jù)的備份是必不可少的。備份系統(tǒng)為一個目的而存在：盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機制有：場點內高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復；場點外的數(shù)據(jù)存儲、備份與恢復；對系統(tǒng)設備的備份。備份不僅在網絡系統(tǒng)硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網絡攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)災難恢復的前提之一。 在確定備份的指導思想和備份方案之后，就要選擇安全的存儲媒介和技術進行數(shù)據(jù)備份，有“冷備份”和“熱備份”兩種。熱備份是指“在線”的備份，即下載備份的數(shù)據(jù)

40、還在整個計算機系統(tǒng)和網絡中，只不過傳到令一個非工作的分區(qū)或是另一個非實時處理的業(yè)務系統(tǒng)中存放。“冷備份”是指“不在線”的備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網絡沒有直接聯(lián)系，在系統(tǒng)恢復時重新安裝，有一部分原始的數(shù)據(jù)長期保存并作為查詢使用。熱備份的優(yōu)點是投資大，但調用快，使用方便，在系統(tǒng)恢復中需要反復調試時更顯優(yōu)勢。熱備份的具體做法是：可以在主機系統(tǒng)開辟一塊非工作運行空間，專門存放備份數(shù)據(jù)，即分區(qū)備份；另一種方法是，將數(shù)據(jù)備份到另一個子系統(tǒng)中，通過主機系統(tǒng)與子系統(tǒng)之間的傳輸，同樣具有速度快和調用方便的特點，但投資比較昂貴。冷備份彌補了熱備份的一些不足

41、，二者優(yōu)勢互補，相輔相成，因為冷備份在回避風險中還具有便于保管的特殊優(yōu)點。第7章 設備選型7.1 核心交換機選型說明7.1.1 設備類型類型根據(jù)湖南科技學院的學生宿舍網絡建設的實際情況，需要在理工樓e座中心機房部署一臺高性能、易擴展的模塊化路由交換機作為南區(qū)學生宿舍的核心交換機，該交換機要求：支持真正意義上的萬兆交換，完善的三次協(xié)議支持、較高的背板帶寬和包轉發(fā)率、三種生成樹的支持、支持鏈路聚合技術、支持802.1x、支持各種qos等。根據(jù)具體情況，這里我們采用rg-s6506, rg-s6506是銳捷網絡推出的萬兆骨干路由交換機，擁有6個模塊擴展槽，提供管理模塊冗余，支持萬兆、千兆和百兆模塊線

42、速轉發(fā)，可以根據(jù)用戶的需求靈活配置，構建彈性可擴展的現(xiàn)代ip網絡?！?rg-s6506交換機高達768g的背板帶寬和286mpps的二/三層包轉發(fā)速率可為用戶提供高速無阻塞的線速交換，強大的交換路由功能、安全智能技術可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是小型網絡核心和大型網絡骨干交換機的理想選擇。湖南地區(qū)的參考報價為10.6萬。7.1.2產品特色* 高性能ipv4/ipv6雙協(xié)議棧多層交換 高背板帶寬為所有的端口提供非阻塞性能； 豐富完善的路由性能和超大容量路由表資源可滿足大型網絡動態(tài)路由的需要，特別是支持ecmp/wcmp（equal-cost multipath ro

43、uting/ weight-cost multipath routing），確保了各骨干網絡鏈路的充分使用，大大增加了網絡傳輸帶寬，而且可以無時延無丟包地備份失效鏈路的數(shù)據(jù)傳輸； 硬件支持ipv4/ipv6雙協(xié)議棧多層線速交換，硬件區(qū)分和處理ipv4、ipv6協(xié)議報文，支持多種tunnel隧道技術（如手工配置隧道、6to4隧道和 isatap隧道等，可根據(jù)ipv6網絡的需求規(guī)劃和網絡現(xiàn)狀，提供靈活的ipv6網絡間通信方案； 雙協(xié)議棧的支持和處理，使得無需改變網絡架構，即可將現(xiàn)有網絡無縫地升級為下一代ipv6方案； 基于lpm硬件路由轉發(fā)方式使得rg-s5750系列不僅適用于大型網絡環(huán)境，而且可

44、防御各種網絡病毒的侵襲，保障所有報文的線速轉發(fā)，有效保證了設備的安全性； 硬件支持多層線速交換，能夠識別二到七層的應用業(yè)務流，所有端口都具有單獨的數(shù)據(jù)包過濾、區(qū)分不同應用流，并根據(jù)不同的應用流進行不同的策略管理和控制。 * 靈活完備的安全控制 具有的多種內在機制可以有效防范和控制病毒傳播和黑客攻擊，如預防dos攻擊、防黑客ip掃描等，還網絡一片綠色； 業(yè)界領先的硬件cpu保護機制：特有的cpu保護策略（cpp技術），對發(fā)往cpu的數(shù)據(jù)流，進行流區(qū)分和優(yōu)先級隊列分級處理，并根據(jù)需要實施帶寬限速，充分保護cpu不被非法流量占用、惡意攻擊和資源消耗，保障了cpu安全，充分保護了交換機的安全； 硬件實

45、現(xiàn)端口或交換機整機與用戶ip地址和mac地址的靈活綁定，嚴格限定端口上的用戶接入或交換機整機上的用戶接入問題； 保護端口不必占用vlan資源，即可非常方便地隔離用戶之間信息互通，充分保護用戶信息的安全； 支持dhcp snooping，可只允許信任端口的dhcp響應，防止私設dhcp server的欺騙；并在dhcp監(jiān)聽的基礎上，通過動態(tài)監(jiān)測arp和檢查用戶的ip，直接丟棄不符合綁定表項的非法報文，有效防范arp欺騙和用戶源ip地址的欺騙問題； 基于源ip地址控制的telnet和web設備訪問控制，避免非法人員和黑客惡意攻擊和控制設備，增強了設備網管的安全性； ssh（secure shell

46、）和snmpv3確保在telnet和snmp進程中加密管理信息，保證交換機管理信息的安全性，防止黑客攻擊和控制設備； 控制非法用戶接入網絡，保證合法用戶合理化使用網絡，如端口安全、端口隔離、專家級acl、時間acl、基于應用數(shù)據(jù)流的帶寬限速、多元素綁定等等，滿足企業(yè)和校園網加強對訪問者進行控制、阻止非授權用戶通信的需求。 * 豐富的組播特性 支持各種單播和組播動態(tài)路由協(xié)議，可適應不同的網絡規(guī)模和需要進行大量組播服務的環(huán)境，實現(xiàn)網絡的可擴展和多業(yè)務應用； 支持igmp源端口和源ip檢查功能，有效地杜絕非法的組播源，提高網絡的安全性； 支持igmpv1/v2和igmpv3全部版本，適應不同組播環(huán)境

47、，避免非法的組播數(shù)據(jù)流占用網絡帶寬，滿足組播安全應用的需要。 * 完善的qos策略 以diffserv標準為核心的qos保障系統(tǒng)，支持802.1p、ip tos、二到七層流過濾、sp、wrr等完整的qos策略，實現(xiàn)基于全網系統(tǒng)多業(yè)務的qos邏輯； 具備mac流、ip流、應用流等多層的流分類和流控制能力，實現(xiàn)按照業(yè)務流進行帶寬控制、轉發(fā)優(yōu)先級等多種流策略，限速粒度精細，千兆端口粒度達64kbps，萬兆端口粒度達1mbps，支持網絡根據(jù)不同的應用、以及不同應用所需要的服務質量特性，提供服務。 * 高可靠性 支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證

48、網絡的穩(wěn)定運行和鏈路的負載均衡，合理使用網絡通道，提供冗余鏈路利用率； 支持vrrp虛擬路由器冗余協(xié)議，有效保障網絡穩(wěn)定； 支持rldp，可快速檢測鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測功能，防止端口下因私接hub等設備形成的環(huán)路而導致網絡故障的現(xiàn)象。 * 方便易用易管理 靈活復用的多種千兆接口形式，可靈活滿足需要多個千兆銅纜和多個千兆光纖鏈路的連接，方便用戶靈活選擇線纜； 為滿足網絡彈性擴展和高帶寬傳輸需要，簡單選配多種類型的萬兆模塊，網絡即可平滑升級到萬兆上鏈骨干； 為方便安裝地點或建筑物不適宜部署外部電源的環(huán)境，rg-s5750系列交換機特別提供支持poe功能的產品型號，即

49、通過雙絞線就可以向遠端下掛的pd設備供電，如無線ap、ip phone、視頻監(jiān)控等設備，方便了任何符合ieee 802.3af標準的終端設備的接入，實現(xiàn)以太網集中供電，以滿足金融、企業(yè)、學校、醫(yī)院、工廠等用戶實現(xiàn)voip、遠程監(jiān)控、無線ap等網絡應用的需要； sntp（簡單網絡時間協(xié)議）保證交換機時間的準確性，并與網絡中時間服務器的時間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理； syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員網絡維護和管理； 多端口同步監(jiān)控，通過一個端口即可同時監(jiān)控多個端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護

50、效率； cli界面，方便高級用戶配置和使用； java-based web管理方式，實現(xiàn)對交換機的可視化圖形界面管理，快速和高效地配置設備。7.1.3 技術參數(shù)基本規(guī)格交換機類型萬兆以太網交換機傳輸速率10/100/1000/10000mbps應用層級三層交換方式存儲-轉發(fā)背板帶寬240gbps包轉發(fā)率l2: 線速(66mpps)l3: 線速(66mpps)端口結構固定端口vlan功能支持網絡網絡標準ieee802.3、ieee802.3u、ieee802.3z 、ieee802.3x、ieee802.3ae、ieee802.3ak、ieee802.3ad、ieee802.3af、ieee80

51、2.1p、ieee802.1x、ieee802.3ab、eee802.1sieee802.1q (gvrp)、ieeee802.1dieee802.1wieee802.1s網絡協(xié)議igmp snooping v1/v2/v3、rldp、ieee 802.3af網管功能snmpv1/v2c/v3、web(java)、cli (telnet/ console)rmon(1,2,3,9)、ssh、sntp、ntp、syslog堆疊功能不可堆疊端口接口數(shù)量24個接口類型24端口10/100/1000m自適應端口, 12個復用的sfp接口, 2個擴展槽模塊化插槽數(shù)2個其它其他功能完善的qos策略:以di

52、ffserv標準為核心的qos保障系統(tǒng), 支持802.1pip tos、二到七層流過濾、sp、wrr等完整的qos策略, 實現(xiàn)基于全網系統(tǒng)多業(yè)務的qos邏輯是否支持全雙工全、半雙工網管支持可網管型電氣規(guī)格電源電壓176 - 264vac額定功率70w外觀參數(shù)長度440mm寬度435mm高度44mm環(huán)境參數(shù)工作溫度0 - 45工作濕度10% 到 90% rh工作高度3000m存儲溫度-4070存儲濕度5% - 90%rh存儲高度6000m7.2 匯聚交換機選型說明7.2.1 設備類型根據(jù)湖南科技學院學生宿舍建設的實際情況，需要在學生宿舍南區(qū)匯聚機房部署三臺匯聚交換機，該匯聚交換機要求：支持全千兆

53、端口、完善的三次協(xié)議、較高的背板帶寬和包轉發(fā)速率、三種生成樹的支持、支持鏈路聚合技術、支持802.1x、有對各種qos的支持等。根據(jù)實際情況，這里采用采用銳捷star-s3550-12g。star-s3550-12g是一款線速全千兆智能多層交換機，能提供12個gbic插槽，gbic插槽支持千兆銅纜、光纖擴展模塊，支持模塊熱插拔，極大方便用戶靈活配置網絡。7.2.2 產品特性硬件支持多層交換，所有端口都具有單獨的數(shù)據(jù)包過濾、區(qū)分不同應用流的功并根據(jù)不同的流進行不同的管理和控制。能在不同網絡層次上提供對網絡資源實施訪問控制的高級多隊列qos結構以diffserv標準為核心的qos保障系統(tǒng)，支持ip

54、 tos、sp、wrr等完整的qos策略，實現(xiàn)基于全網系統(tǒng)多業(yè)務的qos邏輯靈活的端口隊列管理機制，端口多級擁塞設置;具備mac流、ip流、應用流、時間流等多層流分類和流控制能力，實現(xiàn)帶寬控制、轉發(fā)優(yōu)先級等多種流策略，支持網絡根據(jù)不同的應用、以及不同應用所需要的服務質量特性，提供服務。支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網絡的穩(wěn)定運行高安全性，具有端口安全、acl控制等多種措施，滿足企業(yè)網加強對訪問者進行控制和管理。支持業(yè)界領先的eaps功能和冗余電源，實現(xiàn)網絡的高可用性；cli界面，方便高級用戶配置和使用 java-based web管理方式，可快速和高效地配置設備湖南地圖參考報價5.5萬7.2.3 產品參數(shù)基本規(guī)格交換機類型千兆以太網交換機傳輸速率10/100/1000mbps應用層級三層交換方式存儲-轉發(fā)背板帶寬48gbps包轉發(fā)率18 mpps端口結構模塊化mac地址表16384kvlan功能支