計算機(jī)網(wǎng)絡(luò)課程設(shè)計說明書--蘭州市第九中學(xué)校園網(wǎng)組建方案

1、*實踐教學(xué)實踐教學(xué)*蘭州理工大學(xué)蘭州理工大學(xué)計算機(jī)與通信學(xué)院2011 年秋季學(xué)期計算機(jī)網(wǎng)絡(luò)計算機(jī)網(wǎng)絡(luò) 課程設(shè)計課程設(shè)計題 目： 蘭州九中校園網(wǎng)規(guī)劃設(shè)置蘭州九中校園網(wǎng)規(guī)劃設(shè)置 專業(yè)班級： 通信工程通信工程 姓 名： 學(xué) 號： 指導(dǎo)教師： 朱紅蕾朱紅蕾 成 績： 摘要摘要通過對蘭州市第九中學(xué)校園網(wǎng)現(xiàn)狀的分析，初步完成了蘭州市第九中學(xué)校園網(wǎng)絡(luò)設(shè)計方案的選擇、系統(tǒng)全面構(gòu)架以及各個子系統(tǒng)的完全結(jié)合成一個整體的設(shè)計方案。該校園網(wǎng)包括多媒體教學(xué)網(wǎng)、圖書館多媒體網(wǎng)以及校園基本信息服務(wù)網(wǎng)和互聯(lián)網(wǎng)接入，由先進(jìn)的軟硬件系統(tǒng)組成，通過高速的結(jié)構(gòu)化綜合布線系統(tǒng)有機(jī)結(jié)合在一起，具有高速、安全、標(biāo)準(zhǔn)、可管理的特征，技術(shù)先進(jìn)

2、、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇的校園主干網(wǎng)絡(luò)。在組建校園局域網(wǎng)時所需要的硬件設(shè)備是要用到網(wǎng)卡、網(wǎng)線和集線器(HUB)與交換機(jī)。使用 NAT 實現(xiàn) Internet 接入時網(wǎng)絡(luò)地址的轉(zhuǎn)換，再使用交換機(jī)將各個子網(wǎng)連接起來，并對每個子網(wǎng)進(jìn)行 IP 地址劃分，最后畫出本網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)鋱D，并用 Sniffer 軟件進(jìn)行網(wǎng)絡(luò)測試及協(xié)議數(shù)據(jù)包分析。整個校園網(wǎng)的布線按照符合國際標(biāo)準(zhǔn)的結(jié)構(gòu)化布線技術(shù)進(jìn)行設(shè)計和施工。結(jié)合目前網(wǎng)絡(luò)技術(shù)發(fā)展趨勢，決定該校園局域網(wǎng)系統(tǒng)采用成熟的千兆以太網(wǎng)技術(shù)。關(guān)鍵詞：校園網(wǎng)；IP 地址劃分；網(wǎng)絡(luò)拓?fù)鋱D；網(wǎng)絡(luò)測試及協(xié)議數(shù)據(jù)包分析前言前言當(dāng)今的世界正從工業(yè)化社會向信息化社會轉(zhuǎn)變?？焖?、高效

3、的傳播和利用信息資源是21 世紀(jì)的基本特征。掌握豐富的計算機(jī)及網(wǎng)絡(luò)信息知識不僅僅是素質(zhì)教育的要求而且也是學(xué)生掌握現(xiàn)代化學(xué)習(xí)與工作手段的要求。因此，學(xué)校校園網(wǎng)的有無及水平的高低，也將成為評價學(xué)校及學(xué)生選擇學(xué)校的新的標(biāo)準(zhǔn)之一。Internet 及 WWW 應(yīng)用的迅猛發(fā)展，極大的改變著我們的生活方式。信息通過網(wǎng)絡(luò)，以不可逆轉(zhuǎn)之勢，迅速打破了地域和時間的界限，為更多的人共享。而快速、高效的傳播和利用信息資源正是二十一世紀(jì)的基本特征。學(xué)校作為信息化進(jìn)程中極其重要的基礎(chǔ)環(huán)節(jié)，如何通過網(wǎng)絡(luò)充分發(fā)揮其教育功能，已成為當(dāng)今的熱門話題。隨著學(xué)校教育手段的現(xiàn)代化，很多學(xué)校已經(jīng)逐漸開始將學(xué)校的管理和教學(xué)過程向電子化方

4、向發(fā)展，校園網(wǎng)的有無以及水平的高低也將成為評價學(xué)校及學(xué)生選擇學(xué)校的新的標(biāo)準(zhǔn)之一，此時，校園網(wǎng)上的應(yīng)用系統(tǒng)就顯得尤為重要。一方面，學(xué)生可以通過它在促進(jìn)學(xué)習(xí)的同時掌握豐富的計算機(jī)及網(wǎng)絡(luò)信息知識，毫無疑問，這是學(xué)生綜合素質(zhì)中極為重要的一部分；另一方面，基于先進(jìn)的網(wǎng)絡(luò)平臺和其上的應(yīng)用系統(tǒng)，將極大的促進(jìn)學(xué)校教育的現(xiàn)代化進(jìn)程，實現(xiàn)高水平的教學(xué)和管理。學(xué)校目前正加緊對信息化教育的規(guī)劃和建設(shè)。開展的校園網(wǎng)絡(luò)建設(shè)，旨在推動學(xué)校信息化建設(shè)，其最終建設(shè)目標(biāo)是將建設(shè)成為一個借助信息化教育和管理手段的高水平的智能化、數(shù)字化的教學(xué)園區(qū)網(wǎng)絡(luò)，最終完成統(tǒng)一軟件資源平臺的構(gòu)建，實現(xiàn)統(tǒng)一網(wǎng)絡(luò)管理、統(tǒng)一軟件資源系統(tǒng)，并保證將來可擴(kuò)

5、展骨干網(wǎng)絡(luò)節(jié)點互聯(lián)帶寬為 10G，為用戶提供高速接入網(wǎng)絡(luò)，并實現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程教學(xué)、在線服務(wù)、教育資源共享等各種應(yīng)用；利用現(xiàn)代信息技術(shù)從事管理、教學(xué)和科學(xué)研究等工作。最終達(dá)到在網(wǎng)絡(luò)方面，更好的對眾多網(wǎng)絡(luò)使用及數(shù)據(jù)資源的安全控制，同時具有高性能，高效率，不間斷的服務(wù)，方便的對網(wǎng)絡(luò)中所有設(shè)備和應(yīng)用進(jìn)行有效的時事控制和目錄目錄第第 1 1 章章 學(xué)校描述學(xué)校描述.1第第 2 2 章章 需求分析需求分析.22.1 帶寬.22.2 子網(wǎng)與 VLAN 規(guī)劃.32.3 實現(xiàn)的信息服務(wù).42.4 應(yīng)用程序.42.5 存儲系統(tǒng)分析 .52.6 系統(tǒng)及數(shù)據(jù)安全分析 .52.7 QOS.62.8 網(wǎng)間隔離.7第第 3 章

6、章 拓?fù)鋱D及方案整體描述拓?fù)鋱D及方案整體描述.83.13.1 拓?fù)鋱D及方案整體描述拓?fù)鋱D及方案整體描述.83.2 INTERNET接入方案.93.3 遠(yuǎn)程訪問支持.93.4 子網(wǎng)劃分與 VLAN 設(shè)定.113.4.1 VLAN 設(shè)定.113.4.2 子網(wǎng)劃分.123.5 網(wǎng)間隔離方案設(shè)計.133.6 存儲方案.143.7 設(shè)備選型.143.8 軟件.163.9 信息服務(wù)方案.163.10 綜合布線方案.16第第 4 章章 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理.184.14.1 網(wǎng)絡(luò)行政管理網(wǎng)絡(luò)行政管理 .184.24.2 網(wǎng)絡(luò)軟件管理網(wǎng)絡(luò)軟件管理.18第第 5 章章 系統(tǒng)主要設(shè)備報價系統(tǒng)主要設(shè)備報價.20參考資料

7、參考資料.21課程設(shè)計總結(jié)課程設(shè)計總結(jié).221第第 1 1 章章 學(xué)校描述學(xué)校描述蘭州市第九中學(xué)始建于 1954 年，是一所市屬示范性中學(xué) , 位于蘭州市七里河區(qū)龔家坪東路 52 號，學(xué)?，F(xiàn)有教職工 110 人，學(xué)生 1800 余人。學(xué)?，F(xiàn)有 10438 平方米的教學(xué)實驗綜合大樓，內(nèi)設(shè)圖書館、理化生實驗室、微機(jī)室、語音教室、學(xué)生生公寓以及 42 個普通教室。學(xué)校植草坪建花園，綠化面積達(dá) 7000 平方米，是一所園林化單位，也是七里河區(qū)首批文明單位之一，有 5500 平方米的塑膠操場。 大樓之間距離為 50500m，各個大樓的計算機(jī)大約有 770 臺?？偟男畔Ⅻc將達(dá)到 3000 個左右。信息節(jié)點

8、的分布比較分散，將涉及到圖書館、實驗樓、教學(xué)樓、宿舍樓、公寓樓等。其中分別是:一號樓和二號樓為教學(xué)樓,三號樓是實驗樓與辦公樓,四號樓和五號樓是學(xué)生宿舍樓,六號樓是公寓樓,七號樓是圖書館。主控室可設(shè)在實驗樓的五層，圖書館、教學(xué)樓和宿舍樓為信息點密集區(qū)。蘭州市第九中學(xué)建筑分布圖如圖 1-1 所示圖書館辦公樓宿舍樓實驗樓教學(xué)樓宿舍樓教學(xué)樓圖 1.1 蘭州市第九中學(xué)建筑分布圖2第第 2 2 章章 需求分析需求分析校園網(wǎng)網(wǎng)絡(luò)整體分為三個層次：核心層、匯聚層、接入層。為實現(xiàn)小區(qū)內(nèi)的高速互聯(lián)，核心層由一個節(jié)點組成，包括教學(xué)區(qū)區(qū)域、服務(wù)群。匯聚層設(shè)在每層樓上，每棟樓設(shè)置一個匯聚點，匯聚層位高性能交換機(jī)，根據(jù)各

9、個樓的配線間的數(shù)量不同，可以分別采用一臺或兩臺匯聚層交換機(jī)進(jìn)行匯聚， 為了保證數(shù)據(jù)傳輸和交換的效率，現(xiàn)在各個樓內(nèi)設(shè)置三層樓內(nèi)匯聚層，樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時提高了網(wǎng)絡(luò)的安全性。接入層為每個樓的接入交換機(jī)，是直接與用戶相連的設(shè)備。本實施方案從網(wǎng)絡(luò)運行的穩(wěn)定性、安全性、及易于維護(hù)性出發(fā)進(jìn)行設(shè)計，已滿足用戶需求。該學(xué)校校園網(wǎng)的總體建設(shè)目標(biāo)是：利用先進(jìn)實用的計算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)，建成覆蓋全校、高速、高性能的計算機(jī)網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)在教學(xué)、管理、科研、通信等方面的作用。具體包括以下幾個方面：1.建立一個以光纖為主干、覆蓋全校的寬帶網(wǎng)，主干 1000M，100M 至桌面。需要考慮網(wǎng)

10、絡(luò)運行的高效、可靠、安全以及管理的方便。2.實現(xiàn)校園 Intranet 的互聯(lián)互通，校本部、各大學(xué)院以及醫(yī)學(xué)院之間可以方便快捷地訪問國內(nèi)外消息，以滿足信息查詢、通信、資源共享、遠(yuǎn)程教學(xué)等需要。3.建立網(wǎng)絡(luò)教學(xué)系統(tǒng)，提供教師電子備課、課件制作、多媒體演示，學(xué)生多媒體交互式學(xué)習(xí)、網(wǎng)絡(luò)考試、自動教學(xué)評估、視頻電話等功能。4.建立基于網(wǎng)絡(luò)的教育管理及自動化辦公系統(tǒng)，包括行政、教學(xué)教務(wù)、科研、后勤、財務(wù)等系統(tǒng)，以滿足學(xué)院管理現(xiàn)代化的需要。2.12.1 帶寬帶寬蘭州市第九中學(xué)對計算機(jī)網(wǎng)絡(luò)的應(yīng)用主要是多媒體教學(xué)和辦公自動化，通過計算機(jī)網(wǎng)絡(luò)這種先進(jìn)的技術(shù)手段，實施多媒體、交互式、內(nèi)容豐富、形象生動的教學(xué)，以培

11、養(yǎng)出能適應(yīng)社會需求的具有專業(yè)技能的人才。根據(jù)這一實際應(yīng)用情況，我們分析在網(wǎng)絡(luò)上傳輸?shù)男畔⑹且纛l、視頻、數(shù)據(jù)相結(jié)合的信號，這樣對網(wǎng)絡(luò)的帶寬需求就較高，因此，必須對網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)的使用性能進(jìn)行分析，以保證網(wǎng)絡(luò)滿足用戶應(yīng)用的需求。音頻信號所需的帶寬。模擬的音頻信號必須轉(zhuǎn)換成二進(jìn)制數(shù)據(jù)后才能被計算機(jī)存儲和處理。對音頻信號用等于信號最高頻率兩倍的速率進(jìn)行采樣，然后對采樣值按一定的量化等級進(jìn)行量化和編碼，就可以將音頻信號轉(zhuǎn)化成數(shù)字?jǐn)?shù)據(jù)，并且基本保留原來的信息。采樣頻率和編碼位數(shù)的選取視使用場合而定。在電話系統(tǒng)中，一路電話所需的帶寬只有 56Kbps 或64Kbps，而傳送立體聲唱片則需要 1.411Mbp

12、s。3視頻信號所需的帶寬。在計算機(jī)中，一幅圖像是由一個個的像素組成的，對每個比特進(jìn)行編碼?；叶葓D像中，每個像素編碼成一個 8 比特的數(shù)，在彩色圖像中，每個像素記錄了它的顏色，因此每個像素用 24 比特來表示，而為了獲得平穩(wěn)的運動畫面，每秒鐘又必須顯示25 幀的圖像，這樣一幅分辨率為 800600 的圖像所需的帶寬為2480060025288Mbps，通過壓縮，帶寬可達(dá) 810Mbps。以上兩種信號是網(wǎng)絡(luò)中對帶寬要求最嚴(yán)的數(shù)據(jù)信號，而且音頻信號和視頻信號突發(fā)性很大，在網(wǎng)絡(luò)中要求實時的和高質(zhì)量的傳輸。當(dāng)網(wǎng)絡(luò)規(guī)模比較大，網(wǎng)絡(luò)用戶比較多，網(wǎng)絡(luò)中的多個用戶同時發(fā)起音頻、視頻信號和其它各種數(shù)據(jù)信號的傳輸時

13、，往往會對網(wǎng)絡(luò)帶寬帶來壓力，令網(wǎng)絡(luò)帶寬不堪負(fù)荷，造成網(wǎng)絡(luò)擁塞，嚴(yán)重時會導(dǎo)致阻塞，使網(wǎng)絡(luò)通信停頓。為了解決網(wǎng)絡(luò)擁塞問題，必須對各種網(wǎng)絡(luò)技術(shù)進(jìn)行選擇，以符合用戶對網(wǎng)絡(luò)實際應(yīng)用所提出的各項要求，以最高的性價比，實現(xiàn)網(wǎng)絡(luò)功能。2.22.2 子網(wǎng)與子網(wǎng)與 VLANVLAN 規(guī)劃規(guī)劃校園網(wǎng)中所有的主機(jī)數(shù)不超過 1000 臺。計算機(jī)的基本地域分配是：教師辦公樓有 210臺、實驗樓有 220 臺、學(xué)生宿舍有 250 臺、還有圖書館和教學(xué)樓一共有 90 臺。而一個 C 類子網(wǎng)有 254 個可以讓用戶正常使用的 IP 地址，所以申請 4 個 C 類 IP 地址即可滿足這個校園網(wǎng)需求。具體地址分配如下：教師辦公樓(

14、210 臺)，分配一個 C 類子網(wǎng)。實驗樓(220 臺)，分配一個 C 類子網(wǎng)。 學(xué)生宿舍(250 臺)，分配一個 C 類子網(wǎng)。圖書館和教學(xué)樓一共有 90 臺，因此兩棟樓可以共用一個 C 類 IP 網(wǎng)段，然后對其進(jìn)行子網(wǎng)劃分。分割成兩個虛擬子網(wǎng)，由于圖書館和教學(xué)樓的主機(jī)都不超過 126 臺，因此圖書館和教學(xué)樓的子網(wǎng)掩碼定為：28。這樣實現(xiàn)圖書館和教學(xué)樓共用一個 C 類 IP 網(wǎng)段，從而提高了 IP 地址的利用率。在校園網(wǎng)絡(luò)的整個網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN 的劃分是非常重要的部分，很好的利用 VLAN 技術(shù)的功能，能起到事半功倍的效果，對整個網(wǎng)絡(luò)的性能也是事關(guān)重要的。根據(jù)以

15、往網(wǎng)絡(luò)管理經(jīng)驗和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)的實際情況，方案建議在骨干網(wǎng)絡(luò) VLAN 劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為 VLAN 范圍劃分。這樣劃分VLAN 的好處有：41.方便管理。為了更好的進(jìn)行 VLAN 規(guī)劃的實施，因此在網(wǎng)絡(luò)實施前期，要對網(wǎng)絡(luò)中不同區(qū)域的 VLAN 設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在骨干網(wǎng)絡(luò)這樣大型的校園網(wǎng)絡(luò)中如果以用戶群體來劃分 VLAN 的話，避免由于前期配置設(shè)備時復(fù)雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置，導(dǎo)致造成整個校園網(wǎng)絡(luò)中 VLAN 劃分復(fù)雜，減輕管理和后期維護(hù)。所以方案建議骨干網(wǎng)絡(luò)劃分 VLAN 方式前進(jìn)行詳盡規(guī)劃，這

16、樣既可以減少廣播域，又達(dá)到劃分 VLAN，方便管理的效果，對于后期網(wǎng)絡(luò)維護(hù)和升級具有十分現(xiàn)實的意義。2.易于實施。按群體劃分 VLAN 在工程實施中就十分的方便，不會造成 VLAN 劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網(wǎng)絡(luò)中心整體規(guī)劃。3.VLAN 間路由采用三層交換設(shè)備進(jìn)行 VLAN 路由。以便不同 VLAN 間進(jìn)行訪問，對于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問的時候，建議采用專家級 ACL（可同時基于 VLAN 號、以太網(wǎng)類型、MAC 地址、IP 地址、TCP/UDP 端口號、時間靈活組合限定的硬件 ACL）來進(jìn)行訪問權(quán)。2.32.3 實現(xiàn)的信息服務(wù)實現(xiàn)的信息服務(wù)建成以后

17、能實現(xiàn)除現(xiàn)在網(wǎng)絡(luò)上的一般功能：如 E-mail、FTP、網(wǎng)絡(luò)論壇、網(wǎng)絡(luò)圖書館、搜索引擎、網(wǎng)上聊天、管理數(shù)據(jù)的傳輸、處理與查詢外，還應(yīng)包括視頻點播（VOD）、網(wǎng)絡(luò)電話（IP 電話）等功能，是一個高速多媒體互聯(lián)網(wǎng)，實現(xiàn)整個校園系統(tǒng)的資源共享。蘭州市第九中學(xué)校園網(wǎng)在信息服務(wù)和應(yīng)用方面應(yīng)滿足以下幾個方面的需求：用戶需求決定了該網(wǎng)絡(luò)系統(tǒng)的特殊性，按照用戶的要求，網(wǎng)絡(luò)系統(tǒng)須實現(xiàn)以下功能。信息共享。有關(guān)學(xué)校的各種資料，各種信息，如圖書資料，教學(xué)資料，一些最新的學(xué)校公告等可通過網(wǎng)絡(luò)進(jìn)行查詢。信息交流?？赏ㄟ^連接 Internet 實現(xiàn)與外部資訊的交流和溝通，從而獲取當(dāng)今世界的最新信息。通過計算機(jī)網(wǎng)絡(luò)實現(xiàn)多媒體

18、教學(xué)。如電子幻燈片、多媒體交互教學(xué)、電子白板等、辦公自動化。通過運用先進(jìn)的計算機(jī)技術(shù)實現(xiàn)辦公自動化，使學(xué)校的各種行政、財務(wù)、日常辦公等計算機(jī)化，提高學(xué)校的辦事效率。 同時，網(wǎng)絡(luò)必須具備較高的性能和高度的安全性、可靠性、容錯性。而且網(wǎng)絡(luò)系統(tǒng)能平滑地向未來新技術(shù)過渡，保護(hù)已有的投資。2.42.4 應(yīng)用程序應(yīng)用程序局域網(wǎng)中的應(yīng)用程序分為系統(tǒng)應(yīng)用程序和用戶應(yīng)用程序。1.系統(tǒng)程序根據(jù)學(xué)校建網(wǎng)的目的，該局域網(wǎng)應(yīng)配備如下系統(tǒng)應(yīng)用程序：1)FTP 服務(wù)器；52)Web 服務(wù)器；3)E-Mail 服務(wù)器；4)數(shù)據(jù)庫服務(wù)器；5)DNS 服務(wù)器；6)應(yīng)用程序服務(wù)器；7)備份服務(wù)器；2.用戶程序 針對該局域網(wǎng)要實現(xiàn)信

19、息交流、視頻教學(xué)、辦公自動化等功能，應(yīng)配備如下用戶程序：8)實時聊天工具9)多媒體教學(xué)及課件制作軟件10) 多媒體視頻點播軟件11) Office 軟件2.52.5 存儲系統(tǒng)分析存儲系統(tǒng)分析隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，校園網(wǎng)已經(jīng)成為學(xué)校行政、教學(xué)、辦公的一個基礎(chǔ)平臺，在學(xué)校的發(fā)展和建設(shè)當(dāng)中扮演著越來越重要的角色。當(dāng)前的中學(xué)校園網(wǎng)都是基于多種出口、多種操作平臺的服務(wù)器群，這給服務(wù)器的管理和安全防護(hù)帶來了一定的難度。我校的各類應(yīng)用服務(wù)器拓?fù)淙鐖D所示，校園網(wǎng)的各類網(wǎng)絡(luò)服務(wù)根據(jù)服務(wù)對象不同，把服務(wù)器分布在電信公網(wǎng)、教科網(wǎng)和局域網(wǎng)三個網(wǎng)段落中，三個網(wǎng)段落間互相隔離，從而起到安全控制的作用。主干采用千兆/百兆

20、以太網(wǎng)絡(luò)，存儲采用獨立的存儲區(qū)域網(wǎng)絡(luò)（SAN） ，實現(xiàn)數(shù)據(jù)的獨立存儲和管理。校園計算機(jī)網(wǎng)絡(luò)需要的服務(wù)器通過 SAN 交換機(jī)連接到光纖存儲系統(tǒng)上，圖書館系統(tǒng)服務(wù)器和一卡通系統(tǒng)的服務(wù)器也通過這個交換機(jī)連接到這個存儲系統(tǒng)上。每臺服務(wù)器通過兩條線路分別連接在兩臺 SAN 交換機(jī)上，浪潮英信 EMC CX500 存儲系統(tǒng)通過四條線路連接在兩臺交換機(jī)上，由于一卡通和部分學(xué)校信息管理系統(tǒng)的數(shù)據(jù)尤為重要，為了萬無一失，存儲建議通過一臺 ADIC 的 Scalar 24 LTO 磁帶庫，用于此類關(guān)鍵數(shù)據(jù)的離線備份，確保整個校園信息系統(tǒng)有一定的容災(zāi)能力。2.62.6 系統(tǒng)及數(shù)據(jù)安全分析系統(tǒng)及數(shù)據(jù)安全分析數(shù)據(jù)是網(wǎng)絡(luò)

21、的精神，數(shù)據(jù)的安全是網(wǎng)絡(luò)安全的關(guān)鍵。該系統(tǒng)以 NT 為平臺，以 DA 磁盤陣列及 HA 軟件為核心，SQL 庫及所有數(shù)據(jù)存放在 DA 磁盤陣列中，兩臺服務(wù)器上只安裝本地系統(tǒng)文件及 HA 軟件并構(gòu)成一主一從的熱備方式。當(dāng)系統(tǒng)啟動后，Rose HA 首先啟動 HA 6manager 管理程序，然后啟動必要的服務(wù)和代理程序來監(jiān)控和管理系統(tǒng)服務(wù)。HA 代理程序通過 RS232 或?qū)Ｓ镁W(wǎng)絡(luò)適配器來監(jiān)控、監(jiān)測、診斷和管理硬件、軟件服務(wù)。在校園網(wǎng)中服務(wù)器，為用戶提供著各種的服務(wù)，但是服務(wù)提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險。因些從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供了他們所需的基本

22、的服務(wù)。最典型的是，我們在校園網(wǎng)服務(wù)器中對公眾通常只提供 WEB 服務(wù)功能，而沒有必要向公眾提供 FTP 功能，這樣，在服務(wù)器的服務(wù)配置中，我們只開放 WEB 服務(wù)，而將 FTP 服務(wù)禁止。如果要開放 FTP 功能，就一定只能向可能信賴的用戶開放，因為通過 FTP 用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權(quán)限，那么，通過運行上傳某些程序，就可能使服務(wù)器受到攻擊。所以，信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個因素。在 WINDOWS NT 使用的 IIS，是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的 IIS 默認(rèn)安裝又實在不敢恭維，為了加大安全性，在安裝

23、配置時可以注意以下幾個方面：首先，不要將 IIS 安裝在默認(rèn)目錄里（默認(rèn)目錄為 C:Inetpub） ，可以在其它邏輯盤中重新建一個目錄，并在 IIS 管理器中將主目錄指向新建的目錄。其次，IIS 在安裝后，會在目錄中產(chǎn)生如 scripts 等默認(rèn)虛擬目錄，而該目錄有執(zhí)行程序的權(quán)限，這對系統(tǒng)的安全影響較大，許多漏洞的利用都是通過它進(jìn)行的。因此，在安裝后，應(yīng)將所有不用的虛擬目錄都刪除掉。第三，在安裝 IIS 后，要對應(yīng)用程序進(jìn)行配置，在 IIS 管理器中刪除必須之外的任何無用映射，只保留確實需要用到的文件類型。對于各目錄的權(quán)限設(shè)置一定要慎重，盡量不要給可執(zhí)行權(quán)限。 2.72.7 QoSQoS為確

24、保用戶各種關(guān)鍵業(yè)務(wù)的正常開展，必須采取全面而系統(tǒng)的 QoS 設(shè)計(提供端到端QoS 服務(wù))，以保證重要的數(shù)據(jù)流在網(wǎng)絡(luò)發(fā)生擁塞時獲得有保證的吞吐量和最低的延時；為了保證端到端用戶的服務(wù)質(zhì)量，因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡(luò)設(shè)備都支持實施的QoS 策略，核心設(shè)備是多個服務(wù)器接入的設(shè)備，并且擔(dān)負(fù)著全網(wǎng)數(shù)據(jù)的交換，QoS 的能力影響著全網(wǎng)的服務(wù)質(zhì)量保障能力。Qos 的選擇為 RSVP資源預(yù)留RSVP 是一個信令協(xié)議，它提供建立連接的資源預(yù)留，控制綜合業(yè)務(wù)，往往在 IP 網(wǎng)絡(luò)上提供仿真電路。RSVP 是所有 QoS 技術(shù)中最復(fù)雜的一種，與盡力而為的 IP 服務(wù)標(biāo)準(zhǔn)差別最7大，它能提供最高的 QoS 等級

25、，使得服務(wù)得到保障、資源分配量化，服務(wù)質(zhì)量的細(xì)微變化能反饋給支持 QoS 的應(yīng)用和用戶。協(xié)議的工作情況如下：發(fā)送端依據(jù)高、低帶寬的范圍、傳輸遲延，以及抖動來表征發(fā)送業(yè)務(wù)。RSVP 從含有業(yè)務(wù)類別(TSpec)信息的發(fā)送端發(fā)送一個路徑信息給目的地址(單點廣播或多點廣播的接收端)。每一個支持 RSVP 的路由器沿著下行路由建立一個路徑狀態(tài)表，其中包括路徑信息里先前的源地址(例如，朝著發(fā)送端的上行的下一跳)為了獲得資源預(yù)留，接收端發(fā)送一個上行的 RESV(預(yù)留請求)消息。除了 TSpec，RESV消息里有請求類別(RSpec)，表明所要求的綜合服務(wù)類型，還有一個過濾器類別，表征正在為分組預(yù)留資源(如

26、傳輸協(xié)議和端口號)。RSpec 和過濾器類別合起來代表一個流的描述符，路由器就是靠它來識別每一個預(yù)留資源的當(dāng)每個支持 RSVP 的路由器沿著上行路徑接收 RESV 的消息時，它采用輸入控制過程證實請求，并且配置所需的資源。如果這個請求得不到滿足(可能由于資源短缺或未通過認(rèn)證)，路由器向接收端返回一個錯誤消息。如果這個消息被接受，路由器就發(fā)送上行 RESV 到下一個路由器當(dāng)最后一個路由器接收 RESV，同時接受請求的時候，它再發(fā)送一個證實消息給接收端當(dāng)發(fā)送端或接收端結(jié)束了一個 RSVP 會話時，有一個明顯的斷開連接的過程。2.82.8 網(wǎng)間隔離網(wǎng)間隔離網(wǎng)絡(luò)隔離，英文名為 Network Isol

27、ation，主要是指把兩個或兩個以上不可路由的網(wǎng)絡(luò)(如：TCP/IP)通過不可路由的協(xié)議(如：IPX/SPX、NetBEUI 等)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離(Protocol Isolation)。協(xié)議隔離和防火墻不屬于同類產(chǎn)品。 網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層，并不能感知到交換數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認(rèn)證、加密簽名等安全機(jī)制來實現(xiàn)，而這些機(jī)制的實現(xiàn)都是通過軟件來實現(xiàn)的。因此，隔離的關(guān)鍵點就

28、成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。而由于設(shè)計原理問題使得第三代和第四代隔離產(chǎn)品在這方面很難突破，既便有所改進(jìn)也必須付出巨大的成本，和“適度安全”理念相悖。8第第 3 章章 拓?fù)鋱D及方案整體描述拓?fù)鋱D及方案整體描述3.13.1 拓?fù)鋱D及方案整體描述拓?fù)鋱D及方案整體描述本方案主要選擇千兆以太網(wǎng)技術(shù)來構(gòu)建校園網(wǎng)絡(luò)，對兩層結(jié)點和桌面微機(jī)的接入也采用快速以太網(wǎng)，建立一個基于多層、全交換的虛擬校園網(wǎng)。在實際構(gòu)筑中采用三層結(jié)構(gòu)。最下層到桌面為 100Mbps；第二層為樓內(nèi)各樓層到二級交換機(jī)，由 100M bps 的交換式快速以太網(wǎng)構(gòu)成；各樓到網(wǎng)絡(luò)

29、中心（即主干）為千兆位以太網(wǎng)。根據(jù)前面的分析，畫出蘭州市第九中學(xué)校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖，如圖 3-1 所示：網(wǎng)管中心Catalyst3000Catalyst3000Catalyst3000千兆光纖 百兆光纖雙絞線 圖 3.1 蘭州市第九中學(xué)校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖Catalyst3000Catalyst5000Catalys t3000Interne 接入入點 口入點宿舍樓 實驗樓辦公樓 宿舍樓辦公樓實驗樓U N I V E R S I T YU N I V E R S I T YU N I V E R S I T YU N I V E R S I T YU N I V E R S I T YU N I V

30、 E R S I T YU N I V E R S I T YU N I V E R S I T YCatalyst3000圖書館教學(xué)樓93.23.2 InternetInternet 接入方案接入方案對于校園網(wǎng)，可以采用路由器實現(xiàn)接入 Internet。在局域網(wǎng)上通過代理服務(wù)器軟件或者路由器，都可以解決多用戶共享訪問 Internet 問題，實質(zhì)上是一個介于用戶群體和Internet 之間的橋梁，用以實現(xiàn)其網(wǎng)絡(luò)用戶對 Internet 的訪問。在使用路由器接入 Internet 時，對于缺少合法 IP 地址情況下，可以使用（NAT）地址轉(zhuǎn)換技術(shù)實現(xiàn)內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。路由器在收到內(nèi)部網(wǎng)

31、絡(luò)中的計算機(jī)訪問外部網(wǎng)絡(luò)的 IP 數(shù)據(jù)包時，將這些非法的 IP 地址轉(zhuǎn)換成合法的 IP 地址， 作為 IP 數(shù)據(jù)包的源地址訪問外部網(wǎng)絡(luò)，當(dāng)回來的數(shù)據(jù)包經(jīng)過路由器時，在把該數(shù)據(jù)包的目標(biāo)地址轉(zhuǎn)換為相應(yīng)的局域網(wǎng)內(nèi)的主機(jī) IP 地址，并把該數(shù)據(jù)包傳送到相應(yīng)主機(jī)，從而達(dá)到訪問 Internet 的目的。這些功能其實是 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）的一部分。 除了 NAT 之外，路由器接入 Internet 還采用了防火墻技術(shù)，主要是基于源和目標(biāo) IP 地址以及端口過濾的防火墻技術(shù)。通過防火墻技術(shù)，可以在一定程度上使內(nèi)部局域網(wǎng)免受外面的攻擊，起到一定的安全作用。目前國內(nèi)常見的有以下的幾種接入方式可選擇：1.TN

32、 公共電話網(wǎng) 這是最容易實施的方法，費用低廉。只要一條可以連接 ISP 的電話線和一個賬號就可以。但缺點是傳輸速度低，線路可靠性差。如果用戶多，可以多條電話線共同工作，提高訪問速度。2.DN 目前在國內(nèi)迅速普及，價格大幅度下降，有的地方甚至是免初裝費用。兩個信道128kbit/s 的速率，快速的連接以及比較可靠的線路，可以滿足校園網(wǎng)瀏覽以及收發(fā)電子郵件的需求。而且還可以通過 ISDN 和 Internet 組建 VPN。這種方法的性能價格比很高，在國內(nèi)大多數(shù)的城市都有 ISDN 接入服務(wù)。 3.ADSL 非對稱數(shù)字用戶環(huán)路，可以在普通的電話銅纜上提供 158Mbit/s 的下行和1064kbi

33、t/s 的上行傳輸，可進(jìn)行視頻會議和影視節(jié)目傳輸。可是有一個致命的弱點：用戶距離電信的交換機(jī)房的線路距離不能超過 46km，限制了它的應(yīng)用范圍。3.33.3 遠(yuǎn)程訪問支持遠(yuǎn)程訪問支持遠(yuǎn)程訪問通常指遠(yuǎn)程接入，即遠(yuǎn)程計算機(jī)通過撥號線路連接到本地網(wǎng)絡(luò)。遠(yuǎn)程訪問最主要的應(yīng)用有兩類，一是供遠(yuǎn)程移動用戶接入校園網(wǎng)的本地網(wǎng)絡(luò)，二是供 ISP(因特網(wǎng)服務(wù)提10供商)提供 Internet 接入服務(wù)。在實際應(yīng)用中，主要通過專門的硬件設(shè)備來提供遠(yuǎn)程訪問服務(wù)，如 3COM 的 NETServer 能夠提供 16 路電話線或 ISDN 撥號上網(wǎng)，使用于遠(yuǎn)程用戶不同的校園網(wǎng)網(wǎng)絡(luò)的遠(yuǎn)程接入，而 TotalControl

34、多服務(wù)平臺一般用作 ISP 的介入設(shè)備，能夠同時支持大量用戶通過電話線或 ISDN 上網(wǎng)。也可通過軟件來提供遠(yuǎn)程訪問服務(wù)，如 WindowsW 和 Windows2000 網(wǎng)絡(luò)操作系統(tǒng)都集成了遠(yuǎn)程訪問服務(wù)器。這種軟件方式，效率雖然不如專門的硬件設(shè)備，但是在有些場合下則是一種經(jīng)濟(jì)有效的解決方案，特別是對遠(yuǎn)程接入用戶較少的網(wǎng)絡(luò)來說，非常適用。廣義的遠(yuǎn)程訪問包括遠(yuǎn)程控制和遠(yuǎn)程客戶兩種方式。遠(yuǎn)程控制主要用于從一臺計算機(jī)控制和操作另一臺計算機(jī),一般通過遠(yuǎn)程控制軟件來實現(xiàn)，如著名的 PC Anywhere。遠(yuǎn)程客戶即是本章主要介紹的遠(yuǎn)程撥號接入，由遠(yuǎn)程服器提供若干遠(yuǎn)程計算機(jī)連接到網(wǎng)絡(luò)的服務(wù)，如無特別說明，

35、一般就稱為遠(yuǎn)程訪問，也有稱遠(yuǎn)程接入的。Windows2000 遠(yuǎn)程訪問是整個路由和遠(yuǎn)程訪問服務(wù)的一部分。路由和遠(yuǎn)程訪問是互相關(guān)聯(lián)的，但路由和遠(yuǎn)程訪問是兩個獨立的網(wǎng)絡(luò)功能。Windows2000 服務(wù)器將虛擬專用網(wǎng)絡(luò)集成到路由和遠(yuǎn)程訪問服務(wù)(RRAS)組件。運行Windows2000 的遠(yuǎn)程訪問服務(wù)器提供兩種不同的遠(yuǎn)程訪問連接，即撥號網(wǎng)絡(luò)和虛擬專用網(wǎng)絡(luò)。1.撥號網(wǎng)絡(luò)通過使用遠(yuǎn)程通信提供商(例如模擬電話、ISDN 或 X.25)提供的服務(wù)，遠(yuǎn)程客戶機(jī)使用非永久的撥號連接到遠(yuǎn)程訪問服務(wù)器的物理端口上，這時使用的網(wǎng)絡(luò)就是撥號網(wǎng)絡(luò)。最常見的使用方式是撥號網(wǎng)絡(luò)客戶機(jī)使用撥號網(wǎng)絡(luò)撥打遠(yuǎn)程訪問服務(wù)器某個端口的

36、電話號碼。撥號網(wǎng)絡(luò)客戶機(jī)和撥號網(wǎng)絡(luò)服務(wù)器之間通過撥號網(wǎng)絡(luò)(模擬電話或 ISDN 線路)建立直接的物理連接。如何組建撥號網(wǎng)絡(luò)是本章的中心內(nèi)容。2.虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)是在公共網(wǎng)絡(luò)(Internet)環(huán)境中建立的專用網(wǎng)絡(luò)。虛擬專用網(wǎng)絡(luò)客戶機(jī)使用特定的。稱為隧道協(xié)議的基于 TCP/IP 的協(xié)議，來對虛擬專用網(wǎng)絡(luò)服務(wù)器的虛擬端口(電話號碼)進(jìn)行依次虛擬呼叫。最常見的使用方式是，虛擬網(wǎng)絡(luò)客戶機(jī)使用虛擬專用網(wǎng)絡(luò)連接連接到與 Internet 相連的遠(yuǎn)程訪問服務(wù)器上。遠(yuǎn)程訪問服務(wù)器應(yīng)答虛擬呼叫，驗證呼叫方身份，并在虛擬專用網(wǎng)絡(luò)客戶機(jī)和校園網(wǎng)網(wǎng)絡(luò)之間傳送數(shù)據(jù)。虛擬專用網(wǎng)絡(luò)客戶機(jī)和虛擬專用網(wǎng)絡(luò)服務(wù)器之間通過

37、虛擬專用網(wǎng)絡(luò)建立邏輯的、非直接的連接。當(dāng) Wimdows2000 服務(wù)器用于撥號網(wǎng)絡(luò)時常常稱為撥號網(wǎng)絡(luò)服務(wù)器;當(dāng) Windows2000 服務(wù)11器用于虛擬專用網(wǎng)絡(luò)時，則稱為 VPN 服務(wù)器。兩者在 Windows2000 中統(tǒng)稱為遠(yuǎn)程訪問服務(wù)器。3.43.4 子網(wǎng)劃分子網(wǎng)劃分與與 VLANVLAN 設(shè)定設(shè)定3.4.1 VLAN 設(shè)定VLAN 的劃分方法有：包括基于端口的 VLAN、基于 MAC 地址的 VLAN 和基于協(xié)議的 VLAN等。(1)基于端口劃分 VLAN這種劃分 VLAN 的方法是根據(jù)以太網(wǎng)交換機(jī)的端口來劃分的，把一個或多個交換機(jī)上的幾個端口劃分成一個邏輯組，并可以跨越多個交換機(jī)

38、。根據(jù)端口劃分是目前定義 VLAN 的最廣泛的方法，IEEE802.1Q 規(guī)定了依據(jù)以太網(wǎng)交換機(jī)的端口來劃分 VLAN 的國際標(biāo)準(zhǔn)。定義VLAN 成員時非常簡單有效，只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮端口所連接的設(shè)備。但如果 VLAN A 的用戶離開了原來的端口，到了一個新的交換機(jī)的某個端口，那么就必須重新定義。(2)基于 MAC 地址劃分 VLAN這種方法是根據(jù)每個主機(jī)的 MAC 地址來劃分的。MAC 地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的 MAC 地址都是唯一且固化在網(wǎng)卡上的。MAC 地址由 12 位十六進(jìn)制數(shù)表示，前 8位為廠商標(biāo)識。網(wǎng)絡(luò)管理員可按 MAC 地

39、址把一些站點劃分為一個邏輯子網(wǎng)。當(dāng)用戶物理位置移動時，即一個交換機(jī)寰島其他的交換機(jī)時，VLAN 不用重新配置，所以可以認(rèn)為這種根據(jù)MAC 地址的劃分方法時基于用戶的。但初始化時，所有的用戶都必須進(jìn)行配置。如果有幾百個甚至上千個用戶的話，配置時非常累的。而且，導(dǎo)致了交換機(jī)執(zhí)行效率的降低。因為在每一個交換機(jī)的端口都可能存在很多個 VLAN 組的成員，這樣就無法限制廣播包了。對于經(jīng)常更換網(wǎng)卡的用戶，例如使用筆記本電腦的用戶來說，VLAN 就必須經(jīng)常重新配置。(3)根據(jù) IP 組播劃分 VLANIP 組播實際上也是一種 VLAN 的定義，即認(rèn)為一個組播組就是一個 VLAN，這種劃分的方法將 VLAN

40、擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。鑒于當(dāng)前業(yè)界 VLAN 發(fā)展的趨勢，考慮到各種 VLAN 劃分方法的優(yōu)缺點，為了最大程度地滿足用戶在具體使用過程中的需求，減輕用戶在 VLAN 的具體使用和維護(hù)中的工作量，一般采用根據(jù)端口來劃分 VLAN 的方法。不同的 VLAN 數(shù)據(jù)包可以打上不同的 VLAN 標(biāo)記，用于VLAN 的識別。校園網(wǎng) VLAN 劃分方法也就是按端口來劃分的。12(4)基于協(xié)議（即網(wǎng)絡(luò)層）劃分 VLAN路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)） 。該方式允許一個 VL

41、AN 跨越多個交換機(jī)，或一個端口位于多個 VLAN 中。這種劃分 VLAN 的方法是根據(jù)每個主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型（如果支持多協(xié)議）劃分的。雖然這種劃分方法根據(jù)的是網(wǎng)絡(luò)地址，比如 IP 地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。它雖然查看每個數(shù)據(jù)包的 IP 地址，但由于不是路由，所以沒有 RIP、OSPF 等路由協(xié)議，而是根據(jù)生成樹算法進(jìn)行橋交換。用戶的物理位置改變了，不需要重新配子所屬的 VLAN。而且可以根據(jù)協(xié)議類型來劃分 VLAN，這對網(wǎng)絡(luò)管理者來說很重要。這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。但是整個交換效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址需要消

42、耗處理時間的（相對于前面兩種方法） 。一般的交換機(jī)芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要要讓芯片能檢查 IP 幀頭，需要更高的技術(shù)，同時也更費時。當(dāng)然，這與各個廠商的實現(xiàn)方法有關(guān)。校園網(wǎng)總共劃分成 18 個 VLAN，每個 VLAN 中信息點的數(shù)量不是太多，而且至少都是 100Mbps 到桌面，防止了廣播風(fēng)暴的產(chǎn)生。其中網(wǎng)絡(luò)中心的所有路由器、交換機(jī)和服務(wù)器組，以及各棟樓的分布層交換機(jī)都劃分到了 VLAN 1，即網(wǎng)絡(luò)管理 VLAN，便于網(wǎng)絡(luò)設(shè)備、服務(wù)器的配置和管理，也起到了一定的安全防護(hù)作用。其余的樓宇和部分樓層都被劃分到了不同的 VLAN，如圖書館的電子閱覽室、機(jī)房，辦公樓，學(xué)生公寓

43、等，其中實驗樓，學(xué)生公寓和教室公寓由于計算機(jī)數(shù)量更多，必須劃分為更細(xì)更多的VLAN。3.4.2 子網(wǎng)劃分1.IP地址規(guī)劃原則IP地址規(guī)劃有以下原則。簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式；連續(xù)性：為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用Summarization及CIDR（ClasslessInterdomainRouting）技術(shù)縮減路由表的表項，加快路由器的收斂速度，也可以減少網(wǎng)絡(luò)中廣播的路由信息的大小，提高路由器的處理效率；可擴(kuò)充性：考慮到信息網(wǎng)絡(luò)的飛速發(fā)展，為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時仍然能夠保持地址的連續(xù)性，滿足網(wǎng)絡(luò)信息平

44、臺未來發(fā)展的需要；靈活性：地址分配不應(yīng)該僅基于某個網(wǎng)絡(luò)路由策略的優(yōu)化方案，而應(yīng)該便于多數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化，滿足各種用戶接入的需要；可管理性：地址的分配應(yīng)該有層次，某個局部單位IP地址的變化不要影響全局網(wǎng)絡(luò)；安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)，以便進(jìn)行管理；高利用率：合理使用地址塊，并且采用VLSM技術(shù)，提高IP地址利用效率。132.IP地址編碼結(jié)構(gòu)和分配本設(shè)計方案校園網(wǎng)使用1個C類的地址段：55地址段，校園局域網(wǎng)需要規(guī)劃的IP地址包括：辦公區(qū)IP地址：192.168.25；教學(xué)區(qū)IP地址：192.1

45、68.5.300；宿舍區(qū)IP地址：192.168.9120。IP 網(wǎng)段網(wǎng)關(guān)VLAN ID端口建筑物名稱/24541S3750 1-2宿舍樓 1/24542S3750 3宿舍樓 2/24543S3750 4教學(xué)樓 1/24544S3750 5教學(xué)樓 2/24545S3750 6實驗室/2454

46、6S3750 7行政樓/24547S3750 8圖書館圖 3.2 VLAN 劃分與 IP 地址規(guī)3.53.5 網(wǎng)間隔離方案設(shè)計網(wǎng)間隔離方案設(shè)計網(wǎng)絡(luò)隔離的關(guān)鍵是在于系統(tǒng)對通信數(shù)據(jù)的控制，即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層，并不能感知到交換數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認(rèn)證、加密簽名等安全機(jī)制來實現(xiàn)，而這些機(jī)制的實現(xiàn)都是通過軟件來實現(xiàn)的。因此，隔離的關(guān)鍵點就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。而由于

47、設(shè)計原理問題使得第三代和第四代隔離產(chǎn)品在這方面很難突破，既便有所改進(jìn)也必須付出巨大的成本，和“適度安全”理念相悖。校園網(wǎng)網(wǎng)絡(luò)隔離圖如圖 3-2 所示。14圖 3.3 網(wǎng)絡(luò)隔離圖3.63.6 存儲方案存儲方案比較了各種存儲方案之后，在本組網(wǎng)方案中決定采用 RAID 方式。RAID，為 Redundant Arrays of Independent Disks 的簡稱，中文為獨立磁盤冗余數(shù)組。RAID 為使用者降低了成本、增加了執(zhí)行效率，并提供了系統(tǒng)運行的穩(wěn)定性。標(biāo)準(zhǔn)的 RAID 寫操作，包括如：RAID4 或 RAID5 中所必需的校驗計算，需包括以下幾個步驟：以校驗盤中讀取數(shù)據(jù)；以目標(biāo)數(shù)據(jù)盤中

48、讀取數(shù)據(jù)；以舊校驗數(shù)據(jù)，新數(shù)據(jù)及已存在數(shù)據(jù)，生成新的校驗數(shù)據(jù)；將新校驗數(shù)據(jù)寫入校驗盤；將新數(shù)據(jù)寫入目標(biāo)數(shù)據(jù)盤。 當(dāng)主機(jī)將一個待寫入陣列 RAID 組中的數(shù)據(jù)發(fā)送到陣列時，陣列控制器將該數(shù)據(jù)保存在緩存中并立即報告主機(jī)該數(shù)據(jù)的寫入工作已完成。該數(shù)據(jù)寫入到陣列硬盤的工作由陣列控制器完成，該數(shù)據(jù)可繼續(xù)存放在 Cache 中直到 Cache 滿，而且要為新數(shù)據(jù)騰出空間而必須刷新時或陣列需停機(jī)時，控制器會及時將該數(shù)據(jù)從 Cache 寫入陣列硬盤中。 這種緩存回寫技術(shù)使得主機(jī)不必等待 RAID 校驗計算過程的完成，即可處理下一個讀寫任務(wù)，這樣，主機(jī)的讀寫效率大為增加。3.73.7 設(shè)備選型設(shè)備選型校園網(wǎng)硬件

49、主要有以下部件組成：交換機(jī)、路由器、服務(wù)器、網(wǎng)卡、傳輸介質(zhì)。1.交換機(jī)的選擇交換機(jī)采用華為 S1216，這款千兆交換機(jī)有 16 個 10M/100M/1000M 自適應(yīng) RJ45 接口，可插入二對 100M 光纖模塊。為網(wǎng)絡(luò)設(shè)備的升級和網(wǎng)絡(luò)端口的擴(kuò)充打下了良好的基礎(chǔ)。易于操作和管理以太網(wǎng)絡(luò)技術(shù)本身就具有極強(qiáng)的可管理性。BENQ-SS0224 交換機(jī)的配置界面清晰明了，為網(wǎng)絡(luò)的安裝、設(shè)置和管理帶來的極大的便利。網(wǎng)管軟件使用圖形界面簡化了網(wǎng)絡(luò)的15管理和維護(hù)使用標(biāo)準(zhǔn)協(xié)議使不同網(wǎng)絡(luò)設(shè)備的互連成為可能。以上這些都具有良好的擴(kuò)展性。2.路由器的選擇路由器采用 CISCO-7513，這是多協(xié)議高端路由器，

50、最大 DRAM 內(nèi)存（MB）：32MB（缺?。?，128MB（RSP2 最大） ，256MB（RSP2 最大） ，最大 Flash 內(nèi)存（MB）：40。包轉(zhuǎn)發(fā)率（Mpps）:2.2。 固定廣域網(wǎng)接口：可選用廣域接口 WIC 卡?？刂贫丝冢篟S-232.支持接口模塊局域網(wǎng)端口適配器：5 端口以太網(wǎng) 10BaseFL，2 端口快速以太網(wǎng)/ISL 100BaseFX，4 端口令牌環(huán)網(wǎng) 4/16Mbps，全雙工，1 端口 FDDI 全雙工多模式或單模式 ；廣域網(wǎng)端口適配器：1端口多通道 T3，帶有集成化 CSU/DSU 的 8 端口多通道 T1。支持多協(xié)議如：IEEE 802.3，ISDN；加密標(biāo)準(zhǔn) A

51、H（MD5） ，ESP（Null，DES，3DES，ARC4，proprietary fast encoding，+MD5/HMAC，-MD5） ；PPP （PAP，CHAP，LCP，IPCP，MLPPP） 。支持的網(wǎng)管協(xié)議：Cisco ClickStart，SNMP。支持 VPN、Qos、內(nèi)置防火墻、安全標(biāo)準(zhǔn)：CE FCC、電源電壓（V）：100-240，電源功率（W）150。防火墻采用 CISCO PIX-50， CISCO 設(shè)備類型，3500 網(wǎng)絡(luò)吞吐，10Mpps 安全過濾，3MB用戶數(shù)限，10 設(shè)備類型，并發(fā)連接數(shù) 3500，網(wǎng)絡(luò)吞吐量 10Mpps，安全過濾帶寬 3MB，用戶數(shù)限制

52、 10，入侵檢測 DoS、IDS，安全標(biāo)準(zhǔn) UL1950, CAN/CSA-C22.2 No. 950，EN 60950, IEC60825-1, IEC60825-2, EN60825-1, EN60825-2, 21CFR 1040，控制端口 RS-232，管理 CSPM,PDM,CLI,WEB,管理軟件： CISCO PIX-501-一般參數(shù) 適用環(huán)境 工作溫度（） 0 - 40 工作濕度 5% - 95%存儲溫度（） -20 - 65 存儲濕度 10% - 90%，電源 220V,5W，尺寸 159*140*25mm，重量 0.34kg ，其他性能 CPU;133MHz AMD SC5

53、20,閃存: 8 MB,隨機(jī)存儲內(nèi)存 16 MB SDRAM。3.服務(wù)器的選擇服務(wù)器采用華碩 NCLV-D Intel E7520：CPU 頻率(MHz) 2200，處理器描述 最大處理器數(shù)量 4，支持 CPU 個數(shù) 1，CPU 二級緩存 2048KB FSB（總線） 100MHz，內(nèi)存類型 DDR， 內(nèi)存大小 512MB，最大內(nèi)存容量 24GB，硬盤大小（GB） 73GB，硬盤類型/描述 SCSI IDE控制器 Ultra ATA 33/66/100 SCSI 控制器 Ultra 160 SCSI 擴(kuò)展槽 7，光驅(qū) 48X，電源：冗余雙熱插拔電源，電源數(shù)量 2，電壓 220，功率（W） 37

54、0， 工作溫度 10 35，工作濕度 8% - 80%，儲存溫度 -20 60，儲存濕度 5% - 95%，特點：網(wǎng)卡類型/數(shù)量 10/100/1000M 自適應(yīng)以太網(wǎng)卡。4.網(wǎng)卡的選擇網(wǎng)卡采用神州數(shù)碼 DCN-550GT，傳輸速率：10/100/1000Mbps?？偩€類型：PCI。網(wǎng)線接16口類型：RJ-45 單口。傳輸介質(zhì)類型：5 類或 5 類以上非屏蔽雙絞線（100 米） 。全雙工/半雙工：全雙工/半雙工自適應(yīng)。LED 指示燈：5 個（LINK、ACT、10M、100M 和 1000M）其他技術(shù)參數(shù)：32/64 位 PCI，物理尺寸:165mm79mm，最大功耗:13.5W（2.7A /

55、 5V） ，工作溫度:0C60C，存儲溫度:-40?/td。特點：可通過雙絞線與千兆交換機(jī)連接，提供 2000Mbps 全雙工高速網(wǎng)絡(luò)連接。DCN-550GT 還支持 IEEE802.1q VLAN、IEEE802.1p 優(yōu)先級和全雙工模式下的 IEEE802.3x 流量控制等增強(qiáng)網(wǎng)絡(luò)功能，能夠有效提高網(wǎng)絡(luò)性能和安全性，從而更好的支持多媒體、視頻播放等網(wǎng)絡(luò)應(yīng)用。5.網(wǎng)絡(luò)傳輸介質(zhì)的選擇在計算機(jī)之間連網(wǎng)時，首先遇到的是通信線路和通道傳輸問題。目前，計算機(jī)通信分為有線通信和無線通信兩種。有線通信是利用電纜或光纜或電話線來充當(dāng)傳輸導(dǎo)體的，無線通信是利用衛(wèi)星、微波、紅外線來充當(dāng)傳輸導(dǎo)體。對于有線通信線路

56、，網(wǎng)絡(luò)通信線路的選擇必須考慮網(wǎng)絡(luò)的性能、價格、使用規(guī)則、安裝難易性、可擴(kuò)展性及其他一些因素。目前，校園網(wǎng)通信線路上使用的傳輸介質(zhì)主要采用雙絞線。雙絞線（ Twisted pair，T P）是一種綜合布線工程中最常用的傳輸介質(zhì)。雙絞線是由兩根具有絕緣保護(hù)層的銅導(dǎo)線組成。把兩根絕緣的銅導(dǎo)線按一定密度互相絞在一起，可降低信號干擾的程度，每一根導(dǎo)線在傳輸中輻射出來的電波會被另一根線上發(fā)出的電波抵消。雙絞線一般由兩根為 2、2 號或 2 、4 號或 2 、6 號絕緣銅導(dǎo)線相互纏繞而成。如果把一對或多對雙絞線放在一個絕緣套管中便成了雙絞線電纜。與其他傳輸介質(zhì)相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等

57、方面均受一定限制，但價格較為低廉。3.83.8 軟件軟件Pentium MMX350CPU；128MB 內(nèi)存；SVGA(Cirrus Logic 5446PCI)（超級視頻圖形陣列）顯示卡；40GB 和 SCSI 接口硬盤；一個 CD-ROM 驅(qū)動器；網(wǎng)卡，采用 10/100M 自適應(yīng)全雙工網(wǎng)卡；交換機(jī)，采用 24 口交換機(jī)，若日后擴(kuò)展可加入集線器，增加的用戶通過集線器連接到交換機(jī)。網(wǎng)線使用超五類非屏蔽雙絞線；網(wǎng)絡(luò)接頭用 RJ-45；信息插座，AMP 雙口信息插座面板；服務(wù)器操作系統(tǒng)建議使用 Windows2000 Server，便于使用。3.93.9 信息服務(wù)方案信息服務(wù)方案 校園網(wǎng)絡(luò)功能較

58、為復(fù)雜，涉及各個領(lǐng)域，如科研、學(xué)術(shù)、軟件、經(jīng)濟(jì)、政治等的信息資源共享系統(tǒng)，人事管理、財務(wù)管理、教務(wù)管理、科研管理、檔案管理、后勤管理等學(xué)校信17息管理系統(tǒng)和 MAIL 系統(tǒng)等。不同應(yīng)用對服務(wù)器要求不同，為此，建議將各個不相關(guān)應(yīng)用服務(wù)分開部署，以獲得較好的性能和管理、維護(hù)的方便。而校園管理應(yīng)用的數(shù)據(jù)對學(xué)校的整體教學(xué)與運營來說至關(guān)重要，對存儲系統(tǒng)的高可用性、可管理性以及數(shù)據(jù)安全都提出了較高的要求。3.103.10 綜合布線方案綜合布線方案綜合布線同傳統(tǒng)的布線相比較，有著許多優(yōu)越性，是傳統(tǒng)布線所無法比及的。其特點主要表現(xiàn)為它的實用性、功能性、先進(jìn)性、靈活性、方便性、可靠性、擴(kuò)展性、開放性、標(biāo)準(zhǔn)化、經(jīng)

59、濟(jì)性和生命周期。而且在設(shè)計、施工和維護(hù)方面也給人們帶來了許多方便。綜合布線系統(tǒng)是建筑物或建筑群內(nèi)的傳輸網(wǎng)絡(luò)，它既能使話音和數(shù)據(jù)通信設(shè)備、交換設(shè)備和其他信息管理系統(tǒng)彼此連接，也能使這些設(shè)備與外部通信網(wǎng)絡(luò)相互連接，包括建筑物到外部網(wǎng)絡(luò)或電話局線路上的連線點，與工作區(qū)的話音或數(shù)據(jù)終端之間的所有電纜，以及相關(guān)聯(lián)的布線部件。一個良好的綜合布線系統(tǒng)對其服務(wù)的設(shè)備有一定的獨立性，并能互連許多不同的通信設(shè)備如數(shù)據(jù)終端、模擬式或數(shù)字式電話、PC 和主機(jī)以及公共系統(tǒng)裝置。一般布線系統(tǒng)有六個子系統(tǒng)組成：建筑群間子系統(tǒng)，設(shè)備間子系統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子系統(tǒng)，工作區(qū)子系統(tǒng)。校園網(wǎng)為園區(qū)網(wǎng)，樓群間子

60、系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴(kuò)展余地。垂直子系統(tǒng)則位于高層建筑物的豎井內(nèi)，可采用多模光纜或大對數(shù)雙絞線。把管理區(qū)子系統(tǒng)并入設(shè)備間子系統(tǒng)，集中管理。對于多幢樓宇，可采用多設(shè)備間的方法。分為中心設(shè)備間和樓棟設(shè)備間部分，中心設(shè)備間是整個局域網(wǎng)的控制中心，內(nèi)設(shè)有對外（Internet）對內(nèi)通信的各種網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器、視頻服務(wù)器等） ，中心交換機(jī)通過光纜（地下直埋）與樓棟設(shè)備間的交換設(shè)備相連，以保證數(shù)據(jù)的高速傳輸。在此設(shè)備間放置布線的線架和網(wǎng)絡(luò)設(shè)備，端接樓內(nèi)來自在各層的主干線纜，并端接連接網(wǎng)絡(luò)中心的光纖。 樓內(nèi)布線包括水平布線和主干布線。水平系統(tǒng)采用超五類雙絞線，新的樓宇采用暗裝墻內(nèi)的方式，舊