計算機網(wǎng)絡(luò)課程設(shè)計——

1、計算機網(wǎng)絡(luò)課程設(shè)計題目：校園網(wǎng)絡(luò)規(guī)劃專業(yè)班級：26060801姓名：XX學(xué)號：26060801XX指導(dǎo)教師：吉偉勇目錄、八前言第1章學(xué)校描述.第2章需求分析.2.1 網(wǎng)絡(luò)現(xiàn)狀與需求22子網(wǎng)與VLAN規(guī)劃2.3 實現(xiàn)的信息服務(wù)2.4 存儲系統(tǒng)分析2.5 系統(tǒng)及數(shù)據(jù)安全分析2.6 QoS2.7 網(wǎng)間隔離第3章拓撲圖及方案整體描述3.1 主干網(wǎng)傳輸方案設(shè)計3.2 Internet接入方案3.3 遠程登錄協(xié)議3.4子網(wǎng)劃分與VLAN設(shè)定3.5 網(wǎng)間隔離方案設(shè)計3.6 存儲方案3.7 設(shè)備選型3.8 軟件3.9 信息服務(wù)方案3.10 綜合布線方案第4章網(wǎng)絡(luò)管理第5章系統(tǒng)主要設(shè)備報價課程設(shè)計總結(jié)、八前言隨

2、著網(wǎng)絡(luò)技術(shù)、INTERNET勺發(fā)展和CERNE的迅速壯大，很多學(xué)校建成校園網(wǎng)并接入CERNET校園網(wǎng)的建設(shè)已成為高校實力與發(fā)展水平的標(biāo)志。學(xué)校辦學(xué)勺規(guī)模、層次正在迅速地擴大和提高，建設(shè)一個先進、實用勺校園網(wǎng)，實現(xiàn)校內(nèi)外信息的快速傳遞，使教學(xué)、科研、管理步入信息化、網(wǎng)絡(luò)化，從而提高辦學(xué)水平和辦學(xué)效益已成為必然選擇。作為一個完善的現(xiàn)代化的學(xué)校，要想實現(xiàn)校園的信息化和辦公自動化，適應(yīng)未來發(fā)展的需要。一個穩(wěn)定快速的網(wǎng)絡(luò)系統(tǒng)是必須要建立的。在整個網(wǎng)絡(luò)建設(shè)中考慮到實際情況，應(yīng)該充分利用產(chǎn)品的高可靠性、低成本性等突出特點，構(gòu)建一個安全、可靠、高效的校園網(wǎng)絡(luò)平臺。校園網(wǎng)建設(shè)的目標(biāo)簡而言之是將校園內(nèi)各種不同應(yīng)用

3、的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成校園園區(qū)內(nèi)部的Intranet系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。在校園內(nèi)部實現(xiàn)資源高度共享，為教學(xué)、科研、管理提供服務(wù)。第1章學(xué)校描述本校占地300余畝，分為教室，辦公和生活三個區(qū)域外加一個遠程教學(xué)點（相距5KM。教學(xué)區(qū)有教學(xué)樓，實驗樓和圖書館各一棟，生活這有兩棟宿舍樓和食堂等機構(gòu)，但還沒有進行現(xiàn)代化管理。表2-1信息點分布表大樓樓層信息點信息點合計到網(wǎng)絡(luò)中心距離教學(xué)樓5:教室LAN11262200M5：教室LAN250實驗樓4：多媒體教室LAN115115200M4：網(wǎng)絡(luò)實驗室LAN2100圖書館5:網(wǎng)絡(luò)中心55330M辦公樓5:教學(xué)管理105

4、0220M15：辦公室40遠程教學(xué)點分校LAN1321825KM分校LAN2150宿舍樓A200200300M宿舍樓B200200300M合計814814第2章需求分析2.1 網(wǎng)絡(luò)現(xiàn)狀與需求有許多學(xué)校很早就開展了計算機輔助教學(xué)，并建立了大規(guī)模的計算機實驗室，學(xué)校擁有計算機上千臺，但由于目前各個系統(tǒng)都是自己組建自己的內(nèi)部網(wǎng)絡(luò)，采用的軟件平臺、硬件平臺和網(wǎng)絡(luò)結(jié)構(gòu)各不相同，因此隨著學(xué)校網(wǎng)絡(luò)發(fā)展和各個學(xué)校之間互聯(lián)網(wǎng)絡(luò)的建成，現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)與水平已經(jīng)不能適應(yīng)高速發(fā)展的信息網(wǎng)絡(luò)建設(shè)，主要表現(xiàn)在：1由于網(wǎng)絡(luò)應(yīng)用系統(tǒng)是各系根據(jù)本系自己的教學(xué)、實驗、工作的需求組建的，因而各種信息既有大量的冗余，又有相互沖突。同

5、時由于各套網(wǎng)絡(luò)系統(tǒng)的開發(fā)單位不同，技術(shù)水平參差不齊，因此信息的規(guī)范化程度低，各部門信息無法共享，交互操作的難度很大。2各辦公室、各工作終端有自己的傳輸線路，傳輸速率不等，速率低且安全性、可靠性差，不利于統(tǒng)一管理，隨著工作終端的增多，此問題將日益突出。3由于當(dāng)時組建網(wǎng)絡(luò)時都是由本專業(yè)自己開發(fā)，因此存在多種機型，多種操作系統(tǒng)，多種協(xié)議，網(wǎng)絡(luò)異構(gòu)等情況。所以很難實現(xiàn)資源共享、系統(tǒng)互訪、統(tǒng)一管理，對于后期的開發(fā)難度很大，這將影響實現(xiàn)辦公自動化。4由于大部分系統(tǒng)沒有實現(xiàn)客戶機/服務(wù)器模式。因此系統(tǒng)遠程互訪時，需要較大的帶寬。5由于校園內(nèi)計算機之間對Internet都只能通過自己使用撥號網(wǎng)絡(luò)方式連接，盡管

6、目前學(xué)校已經(jīng)擁有了自己的Internet網(wǎng)絡(luò)出口于自己的IP地址，這些優(yōu)勢資源大家還是不能實現(xiàn)共享。6隨著多媒體教學(xué)、遠程教育、圖像監(jiān)控等業(yè)務(wù)的開展，校園網(wǎng)本身的業(yè)務(wù)范圍不斷擴大，對學(xué)校的網(wǎng)絡(luò)性能提出了新的要求。由于現(xiàn)有應(yīng)用系統(tǒng)存在上述缺陷，而實際發(fā)展需求不可能在短時間內(nèi)對所有網(wǎng)絡(luò)系統(tǒng)進行更換，因此必須對目前的現(xiàn)狀和需求進行科學(xué)分析，制定出全局網(wǎng)絡(luò)的規(guī)劃，既能滿足發(fā)展，又要容納現(xiàn)有系統(tǒng)，具體要求如下：1提供各種靈活多變的聯(lián)網(wǎng)方式，系統(tǒng)要有一定的殼擴容性和可擴展性。2. 提供高速平臺與足夠的帶寬，為將來的OA系統(tǒng)、圖像系統(tǒng)、Internet/lntranet、遠程教學(xué)、多媒體教學(xué)應(yīng)用等系統(tǒng)提供一

7、條可靠、健壯的信息高速公路.3. 必須對整個校園網(wǎng)進行有效地集中資源管理和網(wǎng)絡(luò)管理。4. 可以為校園內(nèi)各個系統(tǒng)之間提供郵件服務(wù)、BBS服務(wù)、文件服務(wù)、WEB服務(wù)等各種服務(wù)。2.2子網(wǎng)與VLAN規(guī)戈U1. 基于端口的VLAN戈分這種戈分是把一個或多個交換機上的幾個端口戈分一個邏輯組，這是最簡單、最有效的戈分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可，不用考慮該端口所連接的設(shè)備。2. 基于MAC地址的VLAN戈分MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC地址由12位16進制數(shù)表示，前8位為廠商標(biāo)識，后4位為網(wǎng)卡標(biāo)識。網(wǎng)絡(luò)管理員可按M

8、AC地址把一些站點戈分為一個邏輯子網(wǎng)。3. 基于路由的VLAN戈分路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。就目前來說，對于VLAN的劃分主要采取上述第1、3種方式，第2種方式為輔助性的方案。2.3 實現(xiàn)的信息服務(wù)能夠利用FTP實現(xiàn)教學(xué)資料的共享，利用Internet實現(xiàn)對最新教學(xué)、科研資料的獲得與學(xué)習(xí)。利用網(wǎng)絡(luò)實現(xiàn)對學(xué)生的學(xué)習(xí)和自動管理，實現(xiàn)辦公自動化。提高教學(xué)質(zhì)量和辦事效率。另外，在學(xué)習(xí)之余利用Internet實現(xiàn)娛樂，以及其它的基本服務(wù)，例如wwWR務(wù)、e-mail服務(wù)等。2.4 存儲系統(tǒng)

9、分析中心交換機必須具有大型數(shù)據(jù)庫，各系分交換機具有中小型數(shù)據(jù)庫，用于存儲各教研室教學(xué)資料。中心交換機進行對各系的教學(xué)資料進行備份，以防發(fā)生意外。2.5 系統(tǒng)及數(shù)據(jù)安全分析校園網(wǎng)一旦建成，學(xué)校必須安排專業(yè)人員進行網(wǎng)絡(luò)維護，確保各種重要的教學(xué)資料的安全，確保網(wǎng)絡(luò)的暢通。防止各種惡意的黑客攻擊，保證教學(xué)秩序順利進行，從而保證教學(xué)質(zhì)量。2.6 QoSQoS是網(wǎng)絡(luò)的一種安全機制，是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。在正常情況下,如果網(wǎng)絡(luò)只用于特定的無時間限制的應(yīng)用系統(tǒng)，并不需要QoS比如Web應(yīng)用，或E-mail設(shè)置等。但是對關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過載或擁塞時，QoS能確保重要業(yè)務(wù)

10、量不受延遲或丟棄，同時保證網(wǎng)絡(luò)的高效運行。2.7 網(wǎng)間隔離網(wǎng)絡(luò)隔離，英文名為NetworkIsolation，主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如：TCP/IP）通過不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進行數(shù)據(jù)交換而達到隔離目的。網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層，并不能感知到交換數(shù)據(jù)的機密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認證、加

11、密簽名等安全機制來實現(xiàn)，而這些機制的實現(xiàn)都是通過軟件來實現(xiàn)的。因此，隔離的關(guān)鍵點就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。而由于設(shè)計原理問題使得第三代和第四代隔離產(chǎn)品在這方面很難突破，既便有所改進也必須付出巨大的成本，和“適度安全”理念相悖。第3章拓撲圖及方案整體描述3.1 主干網(wǎng)傳輸方案設(shè)計校園網(wǎng)建設(shè)擬采用千兆位以太網(wǎng)技術(shù)。在實際構(gòu)筑中采用三層結(jié)構(gòu)。最下層到桌面為10Mb/s以太網(wǎng)，部分可達到100Mb/s;第二層為樓內(nèi)各樓層到二級交換機，由100Mb/s的交換式快速以太網(wǎng)構(gòu)成；各樓到網(wǎng)絡(luò)中心（即主干）為以光纜為介質(zhì)的千兆位以太網(wǎng)。一級

12、交換設(shè)備具有ATM端口，二級交換設(shè)備支持ATM端口模塊，可以方便的向ATM網(wǎng)過度。按照校方提出的需求，作出相應(yīng)的解決方案：1. 目前學(xué)校已經(jīng)有100Mb/s光纖接入，可配備具有第三層交換功能的交換機，通過劃分VLAN提高網(wǎng)絡(luò)性能。2. 采用千兆主干，主干采用1000Base-SX千兆光纖。百兆交換機采用CiscoCatalyst3550系列和GES-1024系列。3. 防火墻，使用軟件（winroute）或者硬件防火墻（天網(wǎng)），推薦使用軟件防火墻。4. 在局域網(wǎng)內(nèi)使用私有IP，防火墻使用NAT或者Proxy方式連接Internet。5. 使用千兆光纖的主干使用多芯光纖，提供冗余。同時與服務(wù)器板

13、上百兆網(wǎng)卡配置為冗余方式，若千兆網(wǎng)卡故障了，自動切換到百兆網(wǎng)卡，保證網(wǎng)絡(luò)服務(wù)6. 利用MicrosoftSQLServer2000操作系統(tǒng)提供的IIS5.0構(gòu)件學(xué)校網(wǎng)站，并提供校園個人主頁服務(wù)。校園網(wǎng)在設(shè)計上應(yīng)具備以下特性才能夠滿足需求，并保證建成后的網(wǎng)絡(luò)在一個較長的時間內(nèi)具有較強的可用性和一定的先進性。1高性能與技術(shù)先進性校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)要求具有較高的數(shù)據(jù)通信能力和較大的帶寬;并在主干網(wǎng)上提供較強的可擴展性。為了及時、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)應(yīng)有較高的網(wǎng)絡(luò)主干速度。2高可靠性網(wǎng)絡(luò)要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓撲結(jié)構(gòu)及設(shè)備的冗余和備份，為了防止局部故障引起整個網(wǎng)絡(luò)系統(tǒng)的癱

14、瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，設(shè)備在發(fā)生故障時能以熱插拔的方式在最短時間內(nèi)進行恢復(fù)，把故障對網(wǎng)絡(luò)系統(tǒng)的影響減少到最小。3安全性校園網(wǎng)作為一個支持眾多用戶、同時和INTERNET/CERN存在連接的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全性在整個網(wǎng)絡(luò)中是個很重要的問題，應(yīng)該采用一定手段控制網(wǎng)絡(luò)的安全性，以保證網(wǎng)絡(luò)正常運行。網(wǎng)絡(luò)中應(yīng)采取多種技術(shù)從內(nèi)部和外部同時控制用戶對網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保密性，能夠防止非法侵入和信息泄漏。4、可管理性強有力的網(wǎng)管軟件是有效地進行網(wǎng)絡(luò)管理的助手，網(wǎng)管軟件應(yīng)能夠支持對網(wǎng)絡(luò)進行設(shè)備級和系統(tǒng)級的管理

15、，并能支持通用瀏覽器進行網(wǎng)絡(luò)設(shè)備的管理及配置。靈活的設(shè)置每個用戶對Internet訪問功能，能夠?qū)γ總€用戶實行管理；并且能夠?qū)崿F(xiàn)計費管理。5、可擴充性隨著應(yīng)用規(guī)模的不斷擴大，要求網(wǎng)絡(luò)可以方便地擴充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過渡到新的技術(shù)和設(shè)備，保證現(xiàn)有的投資。6、VLAN劃分根據(jù)校園網(wǎng)的實際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個邏輯子網(wǎng)內(nèi)。網(wǎng)絡(luò)站點的增減，人員的變動，無論從網(wǎng)絡(luò)管理，還是用戶的角度來講，都需要虛擬網(wǎng)技術(shù)的支持。因此在網(wǎng)絡(luò)主干中要支持三層交換及VLAN劃分。在整個網(wǎng)絡(luò)中使用虛擬網(wǎng)技術(shù)，以提高網(wǎng)絡(luò)的安全性和靈活性。

16、7、多層交換技術(shù)通過三層交換技術(shù)，特別是基于硬件的第三層交換，可以充分地利用交換機的包處理能力，實現(xiàn)真正的線速交換。8、對多媒體應(yīng)用的支持校園網(wǎng)要求具有數(shù)據(jù)、圖像、語音等多媒體實時通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。整個網(wǎng)絡(luò)在服務(wù)質(zhì)量、預(yù)留寬帶設(shè)置、合理進行帶寬管理方面應(yīng)提供優(yōu)良的品質(zhì)。Qos的選擇為RSVP-資源預(yù)留，RSVP是一個信令協(xié)議，它提供建立連接的資源預(yù)留，控制綜合業(yè)務(wù)，往往在IP網(wǎng)絡(luò)上提供仿真電路。RSVP是所有QoS技術(shù)中最復(fù)雜的一種，與盡力而為的IP服務(wù)標(biāo)準(zhǔn)差

17、別最大，它能提供最高的QoS等級，使得服務(wù)得到保障、資源分配量化，服務(wù)質(zhì)量的細微變化能反饋給支持QoS的應(yīng)用和用戶。協(xié)議的工作情況如下：發(fā)送端依據(jù)高、低帶寬的范圍、傳輸遲延，以及抖動來表征發(fā)送業(yè)務(wù)。RSVP從含有業(yè)務(wù)類別（TSpec）信息的發(fā)送端發(fā)送一個路徑信息給目的地址（單點廣播或多點廣播的接收端）。每一個支持RSVP勺路由器沿著下行路由建立一個路徑狀態(tài)表，其中包括路徑信息里先前的源地址（例如，朝著發(fā)送端的上行的下一跳）為了獲得資源預(yù)留，接收端發(fā)送一個上行的RESV預(yù)留請求）消息。除了TSpecRESV肖息里有請求類別（RSpec），表明所要求的綜合服務(wù)類型，還有一個過濾器類別，表征正在為分

18、組預(yù)留資源（如傳輸協(xié)議和端口號）。RSpec和過濾器類別合起來代表一個流的描述符，路由器就是靠它來識別每一個預(yù)留資源的當(dāng)每個支持RSVP勺路由器沿著上行路徑接收RESV勺消息時，它采用輸入控制過程證實請求，并且配置所需的資源。如果這個請求得不到滿足（可能由于資源短缺或未通過認證），路由器向接收端返回一個錯誤消息。如果這個消息被接受，路由器就發(fā)送上行RES到下一個路由器當(dāng)最后一個路由器接收RESV同時接受請求的時候，它再發(fā)送一個證實消息給接收端當(dāng)發(fā)送端或接收端結(jié)束了一個RSVP會話時，有一個明顯的斷開連接的過程。3.2 Internet接入方案校園網(wǎng)絡(luò)拓撲圖如圖4-1所示:CERNET鬲Mt-1

19、接入層交換機存儲陣列核心層交換機100Mbps鏈路lOOOMbp鏈路lrTl亠r接入層交換機零啓、辦公樓/辦公室/圖書館接入Internet服務(wù)器群圖書館網(wǎng)絡(luò)中心圖4-1校園網(wǎng)絡(luò)拓撲圖3.3 遠程登錄協(xié)議遠程登錄協(xié)議的目的是提供一個全面的、雙向的、面向8個比特字節(jié)的通信工具，其主要目標(biāo)是提供終端設(shè)備與面向進程接口的標(biāo)準(zhǔn)方法，Telnet是應(yīng)用層的協(xié)議，采用客戶/服務(wù)器模式工作的，Telnet不僅允許用戶登錄到遠端主機上，還允許用執(zhí)行遠端主機的命令，這樣用戶就能以極小的網(wǎng)絡(luò)資源代價完成大型的網(wǎng)絡(luò)應(yīng)用。3.4子網(wǎng)劃分與VLAh設(shè)定子網(wǎng)劃分類別及其詳細信息如表4-1所示：表4-1子網(wǎng)劃分類別及其詳細

20、信息表序號子網(wǎng)名稱包含的信息點1服務(wù)器子網(wǎng)n連接Internet的所有服務(wù)器，為真實IP地址2網(wǎng)絡(luò)設(shè)備子網(wǎng)除路由器外所有的網(wǎng)絡(luò)設(shè)備3辦公室子網(wǎng)辦公樓、圖書館和實驗樓的辦公室計算機4多媒體子網(wǎng)多媒體教室計算機5教室子網(wǎng)所有教室計算機6圖書館子網(wǎng)學(xué)生閱覽室和借書室計算機7遠程教學(xué)1子網(wǎng)遠程教學(xué)1的計算機8遠程教學(xué)2子網(wǎng)遠程教學(xué)2的計算機9宿舍樓A子網(wǎng)學(xué)生宿舍A的200臺計算機10宿舍樓B子網(wǎng)學(xué)生宿舍B的200臺計算機學(xué)校校園網(wǎng)接入CERNET可以向CERNE申請IP地址和域名。在校園網(wǎng)系統(tǒng)集成之前需要對全校的IP地址分配作充分的規(guī)劃，對每臺服務(wù)器、PC機網(wǎng)絡(luò)設(shè)備的端口IP地址都要分配。學(xué)校申請的I

21、P地址為4個C類地址，為-55，域名為,主DNS服務(wù)器IP地址為0，輔DNS服務(wù)器IP地址為1。學(xué)校設(shè)備IP地址分配如表4-2所示：表4-2學(xué)校設(shè)備IP地址分配表主機名/類型設(shè)備名稱IP設(shè)置注釋CiscoCatalyst3550J教學(xué)樓CiscoCatalyst3550交換機IP:/24網(wǎng)關(guān)：54網(wǎng)管IPCiscoCatalyst3550S實驗樓CiscoCatalyst3550交換機IP:/24網(wǎng)關(guān)：54網(wǎng)管I

22、PCiscoCatalyst3550B辦公樓CiscoCatalyst3550交換機IP:/24網(wǎng)關(guān)：54網(wǎng)管IPA計費網(wǎng)關(guān)IP:/24網(wǎng)關(guān)：54D主DN&艮務(wù)器IP:0/24D輔DN&艮務(wù)器IP:1/24Web!務(wù)器lP:2/24Mail郵件服務(wù)器IP:3/24ftpFTP服務(wù)器IP:4/24認證管理服務(wù)器IP:5/24數(shù)據(jù)庫服務(wù)器IP:6

23、/243.5網(wǎng)間隔離方案設(shè)計1. 防火墻的部署在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署了一臺瑞星防火墻，其中WWWE-mail、FTPDN&艮務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與Internet連接。這樣，通過Internet進來的外網(wǎng)用戶只能訪問到對外公開的一些服務(wù)（如WWWE-mail、FTPDNS等），既保護內(nèi)網(wǎng)資源不被非法訪問或破壞，也阻止了內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生的安全事件進行跟蹤和審計。2. 入侵檢測系統(tǒng)的部署入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，根據(jù)校園網(wǎng)絡(luò)的特點，我們采用瑞星入侵檢測系統(tǒng)

24、RIDS-100。將RIDS-100入侵檢測引擎接入Cisco中心交換機上，對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測。3. 瑞星網(wǎng)絡(luò)版殺毒產(chǎn)品的部署為了實現(xiàn)在整個局域網(wǎng)內(nèi)病毒的防護，我們在可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。實現(xiàn)了遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒等多種安全防護功能。3.6存儲方案浪潮光纖存儲陣列NS8800D采用雙機熱備份方案，作為該校網(wǎng)絡(luò)存儲SAN結(jié)構(gòu)里的一個核心部分，在整個校園網(wǎng)的存儲方面起到了決定性的作用。NS8800D是雙控制器光纖磁盤陣列，內(nèi)部采用無線纜連接設(shè)計，無單點故障，具有較高的可用性。通過交換機可以實現(xiàn)前端服務(wù)器對存儲設(shè)備的

25、共享，完全實現(xiàn)了存儲集中和靈活應(yīng)用，節(jié)省了存儲空間。整個存儲系統(tǒng)基于2Gb的帶寬設(shè)計，在性能上完全可以滿足當(dāng)前系統(tǒng)的存儲需求。NS8800具有多主機接入能力，可以支持4臺服務(wù)器的多主機共享，并且擴容能力突出，最多可擴展7個JBOD從而達到16TB的存儲容量。保證了系統(tǒng)的可擴展性，為今后數(shù)據(jù)的增長提供了穩(wěn)定可靠的平臺。通過該系統(tǒng)，圖書館的資源、信息可以方便的被不同的網(wǎng)絡(luò)教學(xué)教室調(diào)用，滿足電子化教學(xué)的需求；同時網(wǎng)絡(luò)用戶還可以通過服務(wù)器到英特網(wǎng)上尋求更多的圖書信息、學(xué)習(xí)資料等。3.7設(shè)備選型1確定交換機數(shù)量由于學(xué)校為中等規(guī)模，采用三層結(jié)構(gòu)設(shè)計，各層交換機數(shù)量如下：核心交換機，只需要一臺。匯聚層交換機

26、，由于網(wǎng)絡(luò)中心位于實驗樓，因此實驗樓不需要匯聚層交換機，其余兩棟樓各一臺，共二臺。接入層交換機，選擇24口100Base-T交換機設(shè)綜合布線交換機柜中信息點數(shù)為N則該柜中所需交換機的數(shù)量為N/24的整數(shù)加一。由于多媒體教室和計算機實驗室內(nèi)部的局域網(wǎng)已建成因此不需要再增加交換機。每個房間按一個信息點算。網(wǎng)絡(luò)中心的十個信息點接入點直接連接到核心交換機上，實驗樓上還有5個實驗室每個實驗室用2個信息點，共需10個上連信息點，加上其他信息點共20個信息點。因此實驗樓需要連接到接入層交換機的信息點數(shù)為20，直接連接到匯聚層交換機上。教學(xué)樓的多媒體教室直接連接教學(xué)樓的匯聚層交換機，所以，連接接入層交換機的信

27、息點是44個，需要2臺接入層交換機。辦公樓有40個信息點，可將24個信息點連接接入層交換機，將重要部門信息點連接匯聚層交換機。全校所需交換機數(shù)量如表4-3所示表4-3學(xué)校交換機數(shù)量及分布表大樓核心層交換機匯聚層交換機接入層交換機備注教學(xué)樓11存放在多媒體教室試驗樓11存放在網(wǎng)絡(luò)中心辦公樓11存放在3層宿舍樓A1存放在1層控制室宿舍樓B1存放在1層控制室2核心交換機選型由于學(xué)校的規(guī)模和應(yīng)用需求，主干為千兆、百兆到桌面，所以選用核心交換機使用CiscoCatalyst4507R.。學(xué)校核心層交換機的配制如表3-4所示。表4-4學(xué)校核心層交換機的配制序號產(chǎn)品數(shù)量描述1WS-4507R1Catalys

28、t4500Chassis(7-slot),fan,nop/s,RedSupCapable2PWR-C45-1000AC1Catalyst45001000WACPowerSupply(DataOnly)3PWR-C45-1000AC/2!1Catalyst45001000WACPowerSupplyRedundant4CAB-7KACA1ACPowerCord(Australia)5CAB-7KACE1Cisco4500SeriesACPowerCord,Europe6WS-X45151Catalyst4507SupervisorIV,Console(RJ-45),Mgt(RJ-45)(Spar

29、e)7SL3E-12119EW1CiscoIOSEnhaneedL3Cat4500SUP3/4(OSPF,IGRP,EIGRP,IS-IS)8WS-X4148-RJ1Catalyst400010/100AutoModule,48-Ports,6Ports(GBIC)9WS-G54844100Base-SXShortWavelenthGBIC(Multimodeonly)10WS-G548341000Base-TGBIC11CCW-6.11CiscoWorksforWindows6.198/NT/2000CISCOCatalyst4507R基本資料產(chǎn)品類型：快速交換機上市時間：產(chǎn)品型號：思科WS

30、-C4507R交換機CISCOCatalyst4507R硬件規(guī)格接口數(shù)目：24堆疊：可以接口類型：模塊化插槽數(shù)：6 CISCOCatalyst4507R網(wǎng)絡(luò)與軟件網(wǎng)管功能：VLAN支持：支持端口聚合數(shù)：24-50支持網(wǎng)絡(luò)標(biāo)準(zhǔn)： CISCOCatalyst4507R性能指標(biāo)傳輸速率：10Mbps/100Mbps/1000Mbps包轉(zhuǎn)發(fā)率(Mpps)：存儲轉(zhuǎn)發(fā)傳輸方式：是否支持全雙工：全雙工MAC地址表：其他性能：存儲高度(米)4500背板帶寬(Gbps)：100Gbps CISCOCatalyst4507R物理和環(huán)境參數(shù)電源電壓(V)：200-240V重量(Kg)：18.37LED指示器：存儲溫

31、度及濕度C):存儲溫度C)-20-65存儲濕度5%-90%認證標(biāo)準(zhǔn)：工作溫度及濕度(C):工作溫度(C)0-50工作濕度10%-85%外形尺寸(mm)：439.7*317*441.3最大功率(W)：165W3匯聚層交換機選型匯聚層交換機需要支持第三層交換，本方案選擇CiscoCatalyst3550-L3交換機。學(xué)校CiscoCatalyst3550設(shè)備清單如表3-5所示：表4-5學(xué)校CiscoCatalyst3550設(shè)備清單序號產(chǎn)口仃數(shù)量描述1WS-C3550-24-SMI12410/100and2GBICPorts:StdmultilayerSWImage2WS-G548411000Bas

32、e-SXShortWavelengthGBIC(Multimodeonl)4路由器選型接入Internet路由器選擇美國Enterasys公司生產(chǎn)的X-Pedition2400-256產(chǎn)品。Enterasys公司的X-Pedition2400-256代表著第2/3/4層工作組交換式路由器的繼續(xù)發(fā)展，可滿足客戶目前和未來的網(wǎng)絡(luò)需求。該產(chǎn)品包含256MB的交換機擴展系統(tǒng)內(nèi)存容量(此容量未來可進一步擴大)，支持兩個千兆以太網(wǎng)擴展模塊，且新增對ATM連通性的支持。對于X-Pedition工作組交換機系列而言，其新穎之處在于，可通過雙端口的ATM模塊(XP-2-ATM29-02)把XP-2400-256

33、連接到企業(yè)ATM網(wǎng)絡(luò)之中。X-Pedition2400-256作為一個服務(wù)器聚合產(chǎn)品，可配置于企業(yè)主干網(wǎng)上，提供支持第4層應(yīng)用的交換路由。5.服務(wù)器選型服務(wù)器是網(wǎng)絡(luò)中關(guān)鍵設(shè)備之一。服務(wù)器作為網(wǎng)絡(luò)的節(jié)點，存儲、處理網(wǎng)絡(luò)上80%的數(shù)據(jù)、信息，因此也被稱為網(wǎng)絡(luò)的靈魂。做一個形象的比喻：服務(wù)器就像是郵局的交換機，而微機、筆記本、PDA手機等固定或移動的網(wǎng)絡(luò)終端，就如散落在家庭、各種辦公場所、公共場所等處的電話機。我們與外界日常的生活、工作中的電話交流、溝通，必須經(jīng)過交換機，才能到達目標(biāo)電話；同樣如此，網(wǎng)絡(luò)終端設(shè)備如家庭、企業(yè)中的微機上網(wǎng)，獲取資訊，與外界溝通、娛樂等，也必須經(jīng)過服務(wù)器，因此也可以說是服

34、務(wù)器在“組織”和“領(lǐng)導(dǎo)”這些設(shè)備。它是網(wǎng)絡(luò)上一種為客戶端計算機提供各種服務(wù)的高性能的計算機，它在網(wǎng)絡(luò)操作系統(tǒng)的控制下，將與其相連的硬盤、磁帶、打印機、Modem及各種專用通訊設(shè)備提供給網(wǎng)絡(luò)上的客戶站點共享，也能為網(wǎng)絡(luò)用戶提供集中計算、信息發(fā)表及數(shù)據(jù)管理等服務(wù)。它的高性能主要體現(xiàn)在高速度的運算能力、長時間的可靠運行、強大的外部數(shù)據(jù)吞吐能力等方面。服務(wù)器的構(gòu)成與微機基本相似，有處理器、硬盤、內(nèi)存、系統(tǒng)總線等，它們是針對具體的網(wǎng)絡(luò)應(yīng)用特別制定的，因而服務(wù)器與微機在處理能力、穩(wěn)定性、可靠性、安全性、可擴展性、可管理性等方面存在差異很大。尤其是隨著信息技術(shù)的進步，網(wǎng)絡(luò)的作用越來越明顯，對自己信息系統(tǒng)的數(shù)

35、據(jù)處理能力、安全性等的要求也越來越高，如果您在進行電子商務(wù)的過程中被黑客竊走密碼、損失關(guān)鍵商業(yè)數(shù)據(jù)。各服務(wù)器配制如表4-6所示：表4-6格服務(wù)器配置產(chǎn)品名稱數(shù)量描述DNS服務(wù)器2聯(lián)想萬全R5105112S2.4G*2512/36GB1000Mbps網(wǎng)卡E-mail服務(wù)器1聯(lián)想萬全R5105112S2.4G*2512/72GB*3100/1000Mbps雙網(wǎng)卡FTP服務(wù)器1聯(lián)想萬全萬全R5105112S2.4G*2512/36GB*31000Mbps網(wǎng)卡認證管理服務(wù)器1聯(lián)想萬全R5105112S2.4G*21G/72GB*2100/1000Mbps雙網(wǎng)卡數(shù)據(jù)庫服務(wù)器1聯(lián)想萬全R5105112S2

36、.4G*21G/72GB1000Mbps網(wǎng)卡服務(wù)器專用機柜及套件119英寸標(biāo)準(zhǔn)機柜，含專用鍵盤，折疊15寸LCD顯示器機架風(fēng)扇8口Kvm切換器及連接線纜，專業(yè)鍵盤托架，專用電源接口WW服務(wù)器1聯(lián)想萬全R5105112S2.4G*2512/36GB*2100/1000Mbps雙網(wǎng)卡不間斷電源2APCUPS5kV,2小時操作系統(tǒng)1WindowsServer20036防火墻，推薦使用瑞星防火墻系統(tǒng)3.8軟件網(wǎng)絡(luò)平臺：Windows2000Server中文版，工作站端用Win2000WinXP；因為windows操作系統(tǒng)比較普遍，而且容易操作。數(shù)據(jù)庫開發(fā)平臺：MicrosoftSQLServer200

37、0；現(xiàn)在市面流行的主要操作平臺，容易管理以及修改。辦公自動化軟件：MicrosoftOffice2000/2003;擁有多元化的辦公系統(tǒng)，可以適應(yīng)很多平3.9信息服務(wù)方案本方案中使用PortMaster2R,通過一條DDN專線，將校園網(wǎng)接入中國教育科研網(wǎng)CERNET從而進入國際互聯(lián)網(wǎng)Internet。為保證網(wǎng)絡(luò)安全，防止黑客非法侵入網(wǎng)絡(luò)，網(wǎng)絡(luò)必須提供IP防火墻，PortMaster2R內(nèi)置防火墻，可有效地保證網(wǎng)絡(luò)的安全。3.10綜合布線方案校園網(wǎng)的物理層應(yīng)按“綜合布線系統(tǒng)工程”有關(guān)規(guī)范和標(biāo)準(zhǔn)設(shè)計，主干線采用光纖，主干網(wǎng)采用了“1000M快速以太網(wǎng)”的水平。網(wǎng)絡(luò)管理中心建設(shè)在實驗樓，連接圖書館、教學(xué)樓、辦公樓、宿舍樓；網(wǎng)絡(luò)管理中心、各建筑物之間布線根據(jù)距離采用室外鎧裝4芯單模光纖，以便采用鏈路聚合技術(shù)及備份線路。光纖布線采用星型結(jié)構(gòu)，即由試驗樓網(wǎng)絡(luò)中心向其它建筑輻射。建筑內(nèi)部布線采用6類雙絞線進行垂直和水平布線，如建筑物規(guī)模較大，也可部分采用室內(nèi)多模光纖。布線是任何網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵部件之一，因此決策人員必須準(zhǔn)備將網(wǎng)絡(luò)總投資的10%用于這一領(lǐng)域。由于不良的設(shè)計和不合格的安裝而造成的網(wǎng)絡(luò)故障是最常見的，同時代價也