中小學(xué)校園網(wǎng)的規(guī)劃和設(shè)計說明

1、 . . . I / 36計算機網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)設(shè)計（論文）計算機網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)設(shè)計（論文）校園網(wǎng)規(guī)劃與設(shè)計中、小學(xué)校園網(wǎng)規(guī)劃與設(shè)計容摘要容摘要自 1995 年中國教育教研網(wǎng)（CERNET）建成后，校園網(wǎng)的建設(shè)已經(jīng)進(jìn)入到一個蓬勃發(fā)展的階段。校園網(wǎng)的建成和使用，對于提高教學(xué)和科研的質(zhì)量、改善教學(xué)和科研條件、加快學(xué)校的信息化進(jìn)程，開展多媒體教學(xué)與研究以與使教學(xué)多出人才、科研多出成果有著十分重要而深遠(yuǎn)的意義。其主要包括各種局域網(wǎng)的技術(shù)思想、網(wǎng)絡(luò)設(shè)計方案、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、布線系統(tǒng)、Intranet/Internet 的應(yīng)用、網(wǎng)絡(luò)安全，網(wǎng)絡(luò)系統(tǒng)的維護等容。各高校與其中小學(xué)都在籌備建設(shè)校園網(wǎng)，希望通過校園

2、網(wǎng)的建設(shè)，改善辦學(xué)條件，提高教學(xué)、科研和管理水平。校園網(wǎng)的建設(shè)對于學(xué)校來說是一項大的工程，必須精心設(shè)計、精心施工，做到經(jīng)濟適用，技術(shù)先進(jìn)、開放性能良好、投資強度合理、與國外網(wǎng)絡(luò)互聯(lián)、能長期、穩(wěn)定運行的高性能的校園網(wǎng)絡(luò)。關(guān)健詞：關(guān)健詞： 校園網(wǎng)，規(guī)劃，設(shè)計，網(wǎng)絡(luò) . . . II / 36目目 錄錄容摘要容摘要 I I目錄目錄 IIII一校園網(wǎng)絡(luò)應(yīng)用需求一校園網(wǎng)絡(luò)應(yīng)用需求- - 1 1 - -1.11.1 存在問題分析存在問題分析- 1 -1.21.2 校園網(wǎng)主要解決的問題校園網(wǎng)主要解決的問題- 1 -1.31.3 建設(shè)目標(biāo)分析建設(shè)目標(biāo)分析- 1 -1.41.4 需求分析需求分析- 2 -1.5

3、1.5 本章小結(jié)本章小結(jié)- 3 -二校園方案設(shè)計二校園方案設(shè)計- - 4 4 - -2.12.1 拓?fù)浣Y(jié)構(gòu)設(shè)計拓?fù)浣Y(jié)構(gòu)設(shè)計- 4 -2.22.2 設(shè)計思想與原則設(shè)計思想與原則- 4 -2.32.3 系統(tǒng)需求分析系統(tǒng)需求分析- 6 -2.42.4 設(shè)備選型設(shè)備選型- 7 -三網(wǎng)絡(luò)總體設(shè)計三網(wǎng)絡(luò)總體設(shè)計- - 1010 - -3.13.1 校園網(wǎng)絡(luò)架構(gòu)設(shè)計：校園網(wǎng)絡(luò)架構(gòu)設(shè)計：- 10 -3.23.2 網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計- 10 -3.33.3 匯聚層設(shè)備選型匯聚層設(shè)備選型- 10 -3.43.4 路由器選型路由器選型- 12 -3.53.5 防火墻設(shè)備的選型防火墻設(shè)備的選型- 13

4、-四網(wǎng)絡(luò)地址規(guī)劃與四網(wǎng)絡(luò)地址規(guī)劃與 VLANVLAN 應(yīng)用應(yīng)用- - 1515 - -.主干網(wǎng)設(shè)計主干網(wǎng)設(shè)計- 15 -4.24.2 IPIP 地址規(guī)劃地址規(guī)劃- 15 -4.34.3 VLANVLAN 設(shè)計設(shè)計- 16 -4.44.4 校園網(wǎng)接入校園網(wǎng)接入 InternetInternet- 17 -五校園網(wǎng)絡(luò)管理與安全維護五校園網(wǎng)絡(luò)管理與安全維護- - 1818 - -.威脅網(wǎng)絡(luò)安全因素分析威脅網(wǎng)絡(luò)安全因素分析- 18 -5.25.2 網(wǎng)絡(luò)安全防措施網(wǎng)絡(luò)安全防措施- 19 -5.35.3 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理- 19 -5.45.4 網(wǎng)絡(luò)安全策略配置網(wǎng)絡(luò)安全策略配置

5、- 21 - . . . III / 365.55.5 拒絕服務(wù)的防止拒絕服務(wù)的防止- 22 -5.65.6 電源系統(tǒng)電源系統(tǒng)- 22 -5.75.7 其校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)：其校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)：- 22 -六設(shè)計總結(jié)六設(shè)計總結(jié)- - 3030 - -參考文獻(xiàn)參考文獻(xiàn)- - 3232 - - . . . - 1 - / 36一一 校園網(wǎng)絡(luò)應(yīng)用需求校園網(wǎng)絡(luò)應(yīng)用需求1.11.1 存在問題分析存在問題分析省市縣車往鎮(zhèn)第一中學(xué)是縣直屬中學(xué)，學(xué)校在校生 1900 余人。學(xué)校占地 70 畝，校園覆蓋了校綜合辦公樓 1 棟，圖書館 1 棟，教學(xué)樓 2 棟，男女宿舍各 1 棟，食堂一處，體育館（操場處） 。學(xué)

6、校目前僅圖書館有二十臺計算機供圖書管理之用，但是目前無網(wǎng)絡(luò)連接。學(xué)生宿舍、教學(xué)樓和辦公室目前尚未開通校園網(wǎng)絡(luò)。根據(jù)以上對學(xué)校現(xiàn)狀的分析并通過深入的了解，目前學(xué)校無法滿足應(yīng)用發(fā)展的需要，在教學(xué)、教育資源獲取等方面的網(wǎng)絡(luò)應(yīng)用比較落后，校園的信息化相當(dāng)閉塞。為學(xué)校未來的發(fā)展和保持教學(xué)的現(xiàn)代化、信息化帶來不便，經(jīng)校方研究決定，現(xiàn)對學(xué)校實現(xiàn)校園網(wǎng)絡(luò)的初步規(guī)劃。 1.21.2 校園網(wǎng)主要解決的問題校園網(wǎng)主要解決的問題鑒于學(xué)校目前狀況，校園網(wǎng)建設(shè)過程中，主要需要解決的問題如下：鑒于學(xué)校目前狀況，校園網(wǎng)建設(shè)過程中，主要需要解決的問題如下： 建立校園網(wǎng)的主干網(wǎng)絡(luò)，實現(xiàn)千兆主干，百兆到桌面,通過以上實現(xiàn)整個校園全

7、網(wǎng)覆蓋； 解決好綜合辦公樓、教學(xué)樓、學(xué)生宿舍上校園網(wǎng)的問題，將校園網(wǎng)應(yīng)用推入基層，滿足師生員工上網(wǎng)需求； 實現(xiàn)校園網(wǎng)的基本應(yīng)用服務(wù)，如WEB服務(wù)，DNS服務(wù)，VOD點播服務(wù)，F(xiàn)TP服務(wù)； 完善和強化用戶訪問校校外資源的權(quán)限和策略管理，并進(jìn)行流量、帶寬和日志管理，提高校園網(wǎng)的可管理性； 強化校園網(wǎng)的安全策略，有效地提高校園網(wǎng)的安全性； 實現(xiàn)無線上網(wǎng)功能。1.31.3 建設(shè)目標(biāo)分析建設(shè)目標(biāo)分析根據(jù)對學(xué)校的網(wǎng)絡(luò)覆蓋現(xiàn)狀分析，對擬建校園網(wǎng)系統(tǒng)建設(shè)目標(biāo)分析如下： 校園主干滿足應(yīng)用發(fā)展的需要：考慮到學(xué)校校園網(wǎng)絡(luò)開展視頻點播、多媒體教學(xué)、遠(yuǎn)程教學(xué)等需要，我認(rèn)為傳輸主干應(yīng)采用的是 1000M 光纖； . .

8、. - 2 - / 36 網(wǎng)絡(luò)主機的處理能力強：學(xué)校校園網(wǎng)絡(luò)目前開展的網(wǎng)絡(luò)應(yīng)用對主機處理能力要求不高，比如 WEB 服務(wù)等是一些低帶寬的應(yīng)用服務(wù)，隨著用戶數(shù)量大幅度的增加，網(wǎng)絡(luò)應(yīng)用如 VOD 視頻點播、多媒體教學(xué)等許多高帶寬和需要高處理能力的主機系統(tǒng)。因此，有必要提高網(wǎng)絡(luò)主機的處理能力； 學(xué)校的各種 PC 機、工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連，能夠獲取 Internet 網(wǎng)上的教育資源； 容錯能力和安全性強，通過技術(shù)手段提高網(wǎng)絡(luò)設(shè)備的容錯能力；安裝硬件防火墻、IDS、服務(wù)器防病毒、工作站防病毒軟件，實現(xiàn)網(wǎng)絡(luò)安全； 實現(xiàn)網(wǎng)絡(luò)的易管理性，考慮到網(wǎng)絡(luò)設(shè)備和主機數(shù)量的不斷增加，方案

9、規(guī)劃應(yīng)該能夠?qū)崿F(xiàn)校園網(wǎng)的可擴展性核對整個網(wǎng)絡(luò)的監(jiān)控能力。1.41.4 需求分析需求分析學(xué)校的整個網(wǎng)絡(luò)系統(tǒng)以千兆主干、百兆到桌面為總體需求原則。在總體設(shè)計方面，帶寬為 100M 的節(jié)點的介質(zhì)傳輸采用超五類線，音頻采用五類線，視頻采用同軸電纜。整個校園以計算機網(wǎng)絡(luò)中心為核心，通過光纖，通過多星級輻射至各個主樓，從而構(gòu)成整個校園網(wǎng)主干，各信息點的網(wǎng)絡(luò)帶寬將視其應(yīng)用的性質(zhì)，進(jìn)行合理地分配，分為 100M 以與 1000M 等量級，也需要能夠通過光纖或 DDN專線與 CERNET 連接，以開通全部的 Internet 網(wǎng)絡(luò)應(yīng)用服務(wù)。從部校園網(wǎng)到外部Internet 的訪問都要有安全審查和流量管理功能；在

10、功能方面，結(jié)合學(xué)校的總體發(fā)展趨勢，擬建立多媒體多功能教學(xué)室，圖書館計算機管理系統(tǒng)和電子閱覽系統(tǒng)利用網(wǎng)絡(luò)技術(shù)，實現(xiàn)多媒體信息交換、視頻點播、網(wǎng)絡(luò)會議、遠(yuǎn)程教育，兼容校有線電視網(wǎng)、廣播網(wǎng)、監(jiān)控等網(wǎng)絡(luò)系統(tǒng)。實現(xiàn)校園全部圍的無線上網(wǎng)，全網(wǎng)展開 WEB，F(xiàn)TP,DNS 服務(wù)；在學(xué)校設(shè)備需求方面，第三初級中學(xué)按信息點覆蓋情況主要設(shè)備需求參數(shù)如下： . . . - 3 - / 361.51.5 本章小結(jié)本章小結(jié)本小節(jié)以縣第一中學(xué)校園網(wǎng)絡(luò)為基礎(chǔ)，對網(wǎng)絡(luò)設(shè)備，計算機設(shè)備的現(xiàn)狀與現(xiàn)有網(wǎng)絡(luò)的應(yīng)用情況進(jìn)行了簡要介紹。通過分析發(fā)現(xiàn)，學(xué)校目前存在多方面急需要解決的問題，包括：主干網(wǎng)絡(luò)的設(shè)計，網(wǎng)絡(luò)的整體覆蓋計劃，應(yīng)用功能的

11、實現(xiàn)，用戶對外界資源的安全性訪問。最后對建設(shè)目標(biāo)和潛在需求做了進(jìn)一步的分析說明。綜合辦公樓1 臺匯聚層交換機；4 臺接入層交換機；無線 AP 一臺圖書館（網(wǎng)絡(luò)中心）1 核心層交換機；1 匯聚層交換機；3 接入層交換機；服務(wù)器 2 臺；路由器 1 臺教學(xué)樓 11 匯聚層交換機；2 臺接入層交換機教學(xué)樓 21 匯聚層交換機；2 臺接入層交換機教學(xué)樓 31 匯聚層交換機；2 臺接入層交換機男生宿舍樓1 匯聚層交換機；4 臺接入層交換機女生宿舍樓1 匯聚層交換機；4 臺接入層交換機體育場(操場)無線 AP 一臺 . . . - 4 - / 36二二 校園方案設(shè)計校園方案設(shè)計2.12.1 拓?fù)浣Y(jié)構(gòu)設(shè)計拓

12、撲結(jié)構(gòu)設(shè)計層次型結(jié)構(gòu)的提出：層次型網(wǎng)絡(luò)設(shè)計是一種使用分層的、模塊化的模型設(shè)計校園網(wǎng)的技術(shù)。層次型網(wǎng)絡(luò)設(shè)計模型可以按層設(shè)計拓?fù)浣Y(jié)構(gòu)，每層的重點集中于特定的功能上，有利于分配和規(guī)劃帶寬和選擇適當(dāng)?shù)南到y(tǒng)和功能。層次型拓?fù)湓O(shè)計具有如下好處： 減輕網(wǎng)絡(luò)中設(shè)備的 CPU 負(fù)載 降低網(wǎng)絡(luò)成本 簡化每個設(shè)計元素并且易于理解 容易更改層次結(jié)構(gòu) 提高設(shè)備的利用率2.22.2 設(shè)計思想與原則設(shè)計思想與原則.1 設(shè)計思想設(shè)計思想校園網(wǎng)設(shè)計方案將從學(xué)院的實際應(yīng)用出發(fā)，結(jié)合現(xiàn)代信息技術(shù)的發(fā)展，遵循實 . . . - 5 - / 36用，可靠，先進(jìn)，安全的設(shè)計原則。對于學(xué)校，應(yīng)能夠滿足日常的學(xué)習(xí)和教育資源的

13、獲??；并能夠融合當(dāng)前的網(wǎng)絡(luò)的主干技術(shù)，使網(wǎng)絡(luò)能夠具備充分的可擴展性，同時滿足校園網(wǎng)的易于維護性和安全性的特點。校園網(wǎng)示意圖：.2 設(shè)計原則設(shè)計原則先進(jìn)性先進(jìn)性我校為計算機示性軟件學(xué)院，每名學(xué)生均配有計算機終端。為了達(dá)到最好的教學(xué)效果，所以網(wǎng)絡(luò)速度和穩(wěn)定性相應(yīng)要比較高。為了能夠達(dá)到最加效果，本著最小投資的原則，在本方案中決定采樣華為的網(wǎng)絡(luò)設(shè)備。這樣可以最大的節(jié)約成本和最大限度的提高設(shè)備的質(zhì)量。由于在校園網(wǎng)中存在大量的網(wǎng)絡(luò)設(shè)備，為了保障整個網(wǎng)絡(luò)的正常運作，學(xué)校安裝了華為 3Com 的網(wǎng)管軟件來對整個網(wǎng)絡(luò)的運作進(jìn)行監(jiān)控。此網(wǎng)管系統(tǒng)支持SNMP、RMON 等網(wǎng)絡(luò)管理協(xié)議，能對網(wǎng)絡(luò)中的設(shè)

14、備進(jìn)行遠(yuǎn)程監(jiān)控，通過探測每臺網(wǎng)絡(luò)設(shè)備的工作狀態(tài)，來保證整個網(wǎng)絡(luò)的可靠性。一旦網(wǎng)絡(luò)設(shè)備出現(xiàn)問題，網(wǎng)管系統(tǒng)會與時準(zhǔn)確地發(fā)現(xiàn)問題所在，并發(fā)出警告信息。通過此軟件不但可以幫助學(xué)校網(wǎng)管人員與時排除故障，又能大大降低學(xué)校在網(wǎng)絡(luò)維護費用上的支出。 . . . - 6 - / 36可靠性可靠性軟件學(xué)院校園網(wǎng)是工程學(xué)院重要的信息化建設(shè)工程，所以校園網(wǎng)建設(shè)的可靠性是非常重要的，因此在選型時候，明確提出要求網(wǎng)絡(luò)設(shè)備廠商具備自主研發(fā)和自主生產(chǎn)的能力，這樣才能夠保證網(wǎng)絡(luò)產(chǎn)品的可靠運行，同時保證后期設(shè)備的維護和升級?？紤]到校園網(wǎng)是服務(wù)于大宇職業(yè)學(xué)院的廣大師生的，因此我校校園網(wǎng)要保證網(wǎng)絡(luò) 247 小時不間斷工作。安全性安全

15、性外網(wǎng)通訊安全：考慮到校園部網(wǎng)絡(luò)的安全性，在 Internet 入口處加裝了華為 3Com 公司的防火墻，它能自動進(jìn)行對不明數(shù)據(jù)包的檢測，可拒絕所有未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問嘗試，并生成實時報警和報告，避免了未經(jīng)授權(quán)訪問和其他來自因特網(wǎng)的外部威脅和黑客侵襲。另外華為公司的 防火墻過濾功能可限制對 12 種分類容的訪問，保證了校園網(wǎng)與因特網(wǎng)之間的通訊安全。 網(wǎng)絡(luò)設(shè)備安全：整個校園網(wǎng)絡(luò)所采用的華為 3Com 產(chǎn)品都具有不同級別的密碼保護，網(wǎng)絡(luò)管理員可以根據(jù)不同的需要制定多樣的安全級別來保護網(wǎng)絡(luò)設(shè)備自身的安全性，例如指定哪種類型用戶可以獲得何種級別的權(quán)限、對網(wǎng)絡(luò)設(shè)備進(jìn)行哪些方面的修改等，從而最大程度地保護設(shè)

16、備的安全。VLAN 劃分保證網(wǎng)訪問安全：由于整個校園網(wǎng)節(jié)點數(shù)多達(dá) 2000 多個，從保證網(wǎng)的訪問安全和便于管理的角度考慮，對整個校園網(wǎng)進(jìn)行了 VLAN 的劃分。網(wǎng)絡(luò)中的各節(jié)點按一樣職能部門或者一樣的應(yīng)用劃分到同一個 VLAN 當(dāng)中，不同 VLAN 之間的用戶是不能互相訪問的。譬如學(xué)校領(lǐng)導(dǎo)和普通教師之間，由于職能的差異，互相之間數(shù)據(jù)不能共享，因此將他們劃分到不同的 VLAN 當(dāng)中，這樣不會造成數(shù)據(jù)的錯誤傳播以與不必要的數(shù)據(jù)泄漏，并能有效避免廣播風(fēng)暴的形成。2.32.3 系統(tǒng)需求分析系統(tǒng)需求分析不同應(yīng)用與數(shù)據(jù)流所占用貸款分析：基礎(chǔ)信息服務(wù)約占用 100MB；視頻、網(wǎng)絡(luò)會議、數(shù)字音頻約占用 1006

17、00M . . . - 7 - / 36視頻流媒體播放 5001000MWWW、FTP、E-Mail 服務(wù)約占用 10M文件傳輸、Internet 訪問約占用 15M由以上數(shù)據(jù)可以看出如果滿足所有應(yīng)用要求，單個用戶所獨占的網(wǎng)絡(luò)帶寬必須在 10M 以上，加上網(wǎng)絡(luò)上固有的廣播風(fēng)暴，設(shè)計目標(biāo)是使單用戶在某一個時間獨占的帶寬不小于 100M。這樣就足以實現(xiàn)網(wǎng)絡(luò)視頻播放、計算機網(wǎng)絡(luò)和各種網(wǎng)絡(luò)服務(wù)合一，而且也符合現(xiàn)今主流的 10M/100M 自適應(yīng)網(wǎng)絡(luò)的要求。2.42.4 設(shè)備選型設(shè)備選型.1 核心層設(shè)備選型核心層設(shè)備選型：核心層是校園網(wǎng)互聯(lián)網(wǎng)絡(luò)的高速交換主干，用來實現(xiàn)遠(yuǎn)程站點之間的優(yōu)化傳

18、輸，對協(xié)調(diào)校園網(wǎng)的通信非常重要。核心層負(fù)責(zé)完成網(wǎng)絡(luò)各匯聚節(jié)點之間的互聯(lián)與高效的數(shù)據(jù)傳輸、交換、轉(zhuǎn)發(fā)與路由分發(fā)。核心層結(jié)構(gòu)有以下特點：提供高可靠性和冗余性；提供故障隔離；迅速適應(yīng)升級；提供較少的滯后和較好的可管理性；具有有限和一致的直徑。目前校園網(wǎng)核心層設(shè)備一般采用萬兆核心以太網(wǎng)交換機，萬兆以太網(wǎng)交換機構(gòu)成了網(wǎng)絡(luò)的骨干部分。核心交換機還可以下接許多百兆或千兆交換機作為匯聚層交換機，匯聚層交換機在通過 100Mbps 傳輸介質(zhì)連接工作站。一般核心層設(shè)備采用高性能的交換網(wǎng)芯片以與高性能的網(wǎng)絡(luò)處理器芯片，要求有極高的系統(tǒng)總吞吐量和背板容量，可支持多個千兆端口。網(wǎng)絡(luò)核心層設(shè)備的擬態(tài)網(wǎng)交換機應(yīng)具有以下功能

19、：高可靠性大容量高密度線速轉(zhuǎn)發(fā)性能完善的 QoS 功能完善的安全機制強大的業(yè)務(wù)能力 . . . - 8 - / 3.2 匯聚層與設(shè)備的選取匯聚層與設(shè)備的選取匯聚層設(shè)備的選?。簠R聚層設(shè)備的選?。壕W(wǎng)絡(luò)匯聚層是網(wǎng)絡(luò)接入層和核心層之間的分界層，包括園區(qū)主干網(wǎng)絡(luò)與所有連接的路由器。匯聚層負(fù)責(zé)將各種接入業(yè)務(wù)集中起來，除了進(jìn)行局部數(shù)據(jù)的交換、轉(zhuǎn)發(fā)以外，還能通過高速接口將數(shù)據(jù)傳輸?shù)胶诵膶?，在更大圍進(jìn)行數(shù)據(jù)的路由以與處理。匯聚層多下將接入層交換機的數(shù)據(jù)進(jìn)行匯聚，對上通過高速接口將數(shù)據(jù)傳輸?shù)胶诵慕粨Q機上，起到承上啟下的作用。設(shè)計匯聚層時根據(jù)匯聚層的主要功能，應(yīng)考慮到以下幾點：匯聚層設(shè)備要有足夠的

20、帶寬；具有三層和多層交換特性；具有靈活多樣的業(yè)務(wù)能力；必須具有冗余和負(fù)載均衡能力；匯聚層設(shè)備要進(jìn)行 VLAN 之間的通信，因此一般為支持三層或三層以上的多層交換設(shè)備，匯聚層設(shè)備的多層以太網(wǎng)交換機應(yīng)具備以下特點：支持三層交換對上連接提供多種千兆端口模塊化組網(wǎng)支持豐富的二層協(xié)議完善的安全機制豐富的 QoS 支持實用方便的網(wǎng)管能力接入層設(shè)備的選?。航尤雽釉O(shè)備的選取：接入層為用戶提供多網(wǎng)絡(luò)本地網(wǎng)段的訪問，它的主要作用事將工作組與匯聚層連接起來，主要完成邏輯網(wǎng)絡(luò)分段、基于工作組或 LAN 隔離廣播通信量以與在多個CPU 之間分布服務(wù)。 . . . - 9 - / 36介入層設(shè)備位于網(wǎng)絡(luò)的末端，對下提供對

21、工作站的接入，對上連接到匯聚層交換機。接入層設(shè)備提供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)接入到網(wǎng)絡(luò)中，完成基于業(yè)務(wù)系統(tǒng)之間的隔離和安全性控制、認(rèn)證管理等功能。網(wǎng)絡(luò)接入層設(shè)備應(yīng)具有如下特點：提供各種不同數(shù)量的 100Mbps 端口到用戶，提供 1000Mbps 或 1Gbps（電口、光口）上行端口到上層交換機；高性能，低成本，所有端口支持全線速二層交換；支持標(biāo)準(zhǔn)以太網(wǎng)協(xié)議，支持豐富的業(yè)界標(biāo)準(zhǔn)，充分考慮兼容現(xiàn)有網(wǎng)絡(luò)設(shè)施；網(wǎng)絡(luò)設(shè)備可擴展性好，可平滑升級；支持豐富的業(yè)務(wù)特性，如 VLAN、VLAN Trunk、鏈路聚合、端口鏡像、QOS 多播、安全特性等；方便實用的網(wǎng)管。 . . . - 10 - / 36三三 網(wǎng)絡(luò)總

22、體設(shè)計網(wǎng)絡(luò)總體設(shè)計3.13.1 校園網(wǎng)絡(luò)架構(gòu)設(shè)計：校園網(wǎng)絡(luò)架構(gòu)設(shè)計：1.校園網(wǎng)的拓補結(jié)構(gòu)基本上是混合型的，它是由星型、總線型等典型拓補結(jié)構(gòu)組成，在現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)化布線工程中多采用星型結(jié)構(gòu)，主要用于同一樓層，由各個房間的計算機間用集線器或者交換機連接產(chǎn)生的，它具有施工簡單，擴展性高，成本低和可管理性好等優(yōu)點；而校園網(wǎng)在分層布線主要采用樹型結(jié)構(gòu)；每個房間的計算機連接到本層的集線器或交換機，然后每層的集線器或交換機在連接到本樓出口的交換機或路由器，各個樓的交換機或路由器再連接到校園網(wǎng)的通信網(wǎng)中，由此構(gòu)成了校園網(wǎng)的拓補結(jié)構(gòu)。當(dāng)然這其中還有對網(wǎng)絡(luò)整體結(jié)構(gòu)的設(shè)計，如 vlan 的劃分，各不同區(qū)域的細(xì)劃分都需

23、要根據(jù)學(xué)校情況來定。 2.校園網(wǎng)絡(luò)中心以與各分校區(qū)均通過 2M E1 光纖或 ADSL 接入 Internet。對于我們畫定的區(qū)域如圖書館、宿舍等，都可以通過 100M 交換口連入校園網(wǎng)，而各個終端可以采用 10/100M 共享式端口。目前的校園網(wǎng)大多數(shù)是純?nèi)龑拥慕粨Q網(wǎng)絡(luò)。由于交換機都具有三層功能，匯聚層一般已經(jīng)可以與接入層歸納為一個層次。各樓層和各樓之間的交換設(shè)備都直接上連到核心設(shè)備上。3.23.2 網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計校園網(wǎng)網(wǎng)絡(luò)整體分為三個層次：核心層、匯聚層、接入層。為實現(xiàn)校區(qū)的高速互聯(lián)，核心層由 1 個核心節(jié)點組成，包括教學(xué)區(qū)區(qū)域、服務(wù)器群；匯聚層設(shè)在每棟樓上，每棟樓設(shè)置一

24、個匯聚節(jié)點，匯聚層為高性能“小核心”型交換機，根據(jù)各個樓的配線間的數(shù)量不同，可以分別采用 1 臺或是 2 臺匯聚層交換機進(jìn)行匯聚，為了保證數(shù)據(jù)傳輸和交換的效率，現(xiàn)在各個樓設(shè)置三層樓匯聚層，樓匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時提高了網(wǎng)絡(luò)的安全性；接入層為每個樓的接入交換機，是直接與用戶相連的設(shè)備。本實施方案從網(wǎng)絡(luò)運行的穩(wěn)定性、安全性與易于維護性出發(fā)進(jìn)行設(shè)計，以滿足需求。3.33.3 匯聚層設(shè)備選型匯聚層設(shè)備選型 . . . - 11 - / 36通常將位于接入層和核心層之間的部分稱為分布層或匯聚層，匯聚層交換層是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供

25、到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能，更少的接口和更高的交換速率。匯聚層交換機選擇華為 CISCO WS-C2960G-48。整個校園共用 4 臺匯聚層交換機，使用千兆光纖與核心交換機相連。表 2-3 CISCO WS-C2960G-48 參數(shù)CISCOCISCO WS-C2960G-48WS-C2960G-48 主要參數(shù)主要參數(shù)產(chǎn)品外觀交換機類型智能交換機應(yīng)用層級二層存64MB傳輸速率10Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802.1p、IE

26、EE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、IEEE 802.3z、IEEE 802.3端口結(jié)構(gòu)非模塊化端口數(shù)量44接口介質(zhì)10/100Base-T,10/100/1000Base-Tx/SFP傳輸模式全雙工/半雙工自適應(yīng)交換方式存儲-轉(zhuǎn)發(fā)背板帶寬32Gbps包轉(zhuǎn)發(fā)率39MppsVLAN 支持支持QOS 支持支持網(wǎng)管支持支持網(wǎng)管功能Web 瀏覽器,SNMP,CLI . . . - 12 - / 36MAC 地址表8K模塊化插槽數(shù)4指示面板每端口狀態(tài):連接完整性、禁用、活動、速度、全雙工,系統(tǒng)狀態(tài):系統(tǒng)、RPS、鏈路狀態(tài)、鏈路雙工、鏈路速度電源1

27、00VAC-240VAC、50Hz/60Hz,1.3-0.8A環(huán)境標(biāo)準(zhǔn)工作溫度:0-45、工作濕度:10%-85%(非冷凝)、存儲溫度:-25-70、存儲濕度:10%-85%(非冷凝)尺寸(mm)328*445*44重量(Kg)5.4價格￥2.2 萬3.43.4 路由器選型路由器選型CISCOCISCO 7206VXR7206VXR 參數(shù)參數(shù)CISCOCISCO 7206VXR7206VXR 基本參數(shù)基本參數(shù)路由器外觀路由器類型模塊化接入路由器端口結(jié)構(gòu)模塊化網(wǎng)絡(luò)協(xié)議IEEE 802.3,SDN;密標(biāo)準(zhǔn) AH(MD5),ESP(Null,DES,3DES,ARC4,proprietary fas

28、t encoding,+MD5/HMAC,-MD5);PPP(PAP,CHAP,LCP,IPCP,MLPPP)固定的廣域網(wǎng)接口可選廣域接口 WIC 卡固定的局域網(wǎng)接口10/100Base-T/TX其他端口控制端口 RS-232置防火墻是Qos 支持支持支持 VPN支持?jǐn)U展模塊6處理器225、263 或 350MHz(MIPS RISC)存最大 512MB網(wǎng)絡(luò)管理Cisco ClickStart，SNMP . . . - 13 - / 36適用環(huán)境工作溫度:0-40、工作濕度:10%-90%、存儲溫度:-20-65電源電源電壓:1認(rèn)證100-240V尺寸431*426*133重量22.7Kg價格

29、￥3.5 萬3.53.5 防火墻設(shè)備的選型防火墻設(shè)備的選型固定接口1 個配置口（CON）1 個備份口（AUX）2 個 10/100/1000M 以太網(wǎng)口（支持光口或者電口）2 個 10/100/1000M 以太網(wǎng)口（支持電口）插槽2 個 MIM 插槽,可選的接口模塊包括1FE/2FE/4FE/1GE/2GE FLASH16MBSDRAM缺省：512MB 最大：1GB外型尺寸（H WD）44 x 436mm x420mm重量6kg輸入交流主機：100-240V ；50/60Hz 直流主機：-48V-60V電源模塊輸出電壓：12V . . . - 14 - / 36AAA 服務(wù)RADIUS 認(rèn)證H

30、WTACACS 認(rèn)證域認(rèn)證CHAP 驗證PAP 驗證防火墻包過濾基礎(chǔ)和擴展的訪問控制列表基于接口的訪問控制列表基于時間段的訪問控制列表動態(tài)包過濾ASPF 應(yīng)用層報文過濾應(yīng)用層協(xié)議：FTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP）傳輸層協(xié)議：TCP、UDP防攻擊特性Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP 欺騙攻擊防ARP 主動反向查詢TCP 報文標(biāo)志位不合法攻擊防超大 ICMP 報文攻擊防地址/端口掃描的防

31、DoS/DDoS 攻擊防ICMP 重定向或不可達(dá)報文控制功能Tracert 報文控制功能帶路由記錄選項 IP 報文控制功能靜態(tài)和動態(tài)黑功能MAC 和 IP 綁定功能透明防火墻基于 MAC 的訪問控制列表/網(wǎng)頁/應(yīng)用層過濾過濾SMTP 地址過濾SMTP 標(biāo)題過濾SMTP 容過濾網(wǎng)頁過濾 URL 過濾容過濾應(yīng)用層過濾Java BlockingActiveX BlockingSQL 注入攻擊防 . . . - 15 - / 36四四 網(wǎng)絡(luò)地址規(guī)劃與網(wǎng)絡(luò)地址規(guī)劃與 VLANVLAN 應(yīng)用應(yīng)用.主干網(wǎng)設(shè)計主干網(wǎng)設(shè)計為了滿足應(yīng)用需求，在本設(shè)計方案中使用了萬兆核心，主干線路采用了 4 芯62.

32、5m 多模室用光纜，匯聚層到接入層采用了 6 類 1000M 非屏蔽雙交線連接主干網(wǎng)絡(luò)。4.24.2 IPIP 地址規(guī)劃地址規(guī)劃所謂 IP 地址就是給每一個直接與 Internet 相連的主機分配一個在全世界圍惟一的網(wǎng)絡(luò)地址。目前，大多使用的是 32 位的 IPv4 地址，尋址時路由器先按 IP 地址中的網(wǎng)絡(luò)號 net-id 把網(wǎng)絡(luò)找到；當(dāng)找到目的網(wǎng)絡(luò)后，再用 ARP 協(xié)議用主機號hostid 找到主機。實際上，由于一臺主機可能有多個 IP 地址，因此 IP 地址只是標(biāo)志了一臺計算機的某個接口。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)： 計算機網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般有總線結(jié)構(gòu)、星型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)和網(wǎng)狀結(jié)構(gòu)等。在以太網(wǎng)實際布線時

33、，適宜選用樹形結(jié)構(gòu)，通過多級的 HUB 或交換機分級。這樣，個別網(wǎng)點出現(xiàn)故障不會影響全局。并具有可靠性高、可擴展性好、易于管理等優(yōu)點。在本次設(shè)計中我們采用了 B 類 IPV4 網(wǎng)絡(luò)地址作為校園網(wǎng)私網(wǎng) IP，以便于以后校園網(wǎng)電腦增多，IP 需求量也越日增多。校園網(wǎng)部由教學(xué)樓、寢室樓組成，其中教學(xué)樓中又分為學(xué)生區(qū)和辦公區(qū)兩個部分，具體信息點分布如上。為了達(dá)到最好的網(wǎng)絡(luò)質(zhì)量和方便管理，一共分為五個網(wǎng)段。其中第一網(wǎng)段為網(wǎng)絡(luò)管理中心、共 10 個信息點，第二網(wǎng)段為交換機設(shè)備、共 70 個 IP，第三網(wǎng)段為教學(xué)區(qū)、共 1354 個信息節(jié)點，第四網(wǎng)段為學(xué)生生活區(qū)、共 668 個信息節(jié)點，第五網(wǎng)段為綜合辦公區(qū)

34、、共 86 個信息節(jié)點， IP 地址網(wǎng)絡(luò)號：子網(wǎng)淹碼網(wǎng)絡(luò)中心：00/24交換機：54/24 . . . - 16 - / 36路由/交換：52教學(xué)區(qū)：54/21生活區(qū)：54/22綜合辦公區(qū)

35、：295428/25284.34.3 VLANVLAN 設(shè)計設(shè)計虛擬網(wǎng)絡(luò)（VLAN，Virtual Local Area Network）技術(shù)在校園網(wǎng)絡(luò)中起到舉足輕重的作用，應(yīng)為 VLAN 技術(shù)可以提高校園網(wǎng)的效率和安全性，便于對用戶的管理。一方面，如果將相互之間通信最多的用戶群分配在一個 VLAN 中，就可以保證通信最多的用戶之間使用二層交換協(xié)議，而性質(zhì)不同、通信量較少的用戶之間則采用三層交換協(xié)議通信，這無疑大大提高了網(wǎng)絡(luò)的效率；另一方面，一個 VLAN 就是一個獨立的廣播域，VLAN 之間是互相隔離的，應(yīng)

36、此確保了網(wǎng)絡(luò)的安全性，可以進(jìn)行網(wǎng)絡(luò)用戶的分類管理。VLAN 可以根據(jù)功能、用途、工作組與應(yīng)用等因素將用戶邏輯上劃分為一個相對獨立的網(wǎng)絡(luò)，使一個可跨域不同網(wǎng)段、不同網(wǎng)絡(luò)、不同位置的端到端網(wǎng)絡(luò)。VLAN 的技術(shù)優(yōu)勢主要體現(xiàn)在以下幾個方面：增加了網(wǎng)絡(luò)連接的靈活性；控制網(wǎng)絡(luò)上的廣播；加強了網(wǎng)絡(luò)的安全性；網(wǎng)絡(luò)管理簡單、直觀；根據(jù) VLAN 在交換機上的實現(xiàn)方式，VLAN 分為基于端口的 VLAN、基于 MAC 地址的 VLAN、基于網(wǎng)絡(luò)地址的 VLAN、基于用戶的 VLAN，其中后三者為動態(tài) VLAN。在本方案中我們采用了基于端口的靜態(tài) VLAN，詳細(xì)情況請參照圖 2.3-1。 . . . - 17 -

37、 / 36S5624PS3050CS3026TS3026TVLAN2VLAN3VLAN4教學(xué)區(qū)辦公區(qū)公寓區(qū)圖圖2.3-1核心層4.44.4 校園網(wǎng)接入校園網(wǎng)接入 InternetInternet在信息化飛速發(fā)展的今天需要考慮校園網(wǎng)與互聯(lián)網(wǎng)的連接問題。一但接入互聯(lián)網(wǎng)，就會涉與到很多管理、安全等方面的問題，校園網(wǎng)除了接入 CERNET 以外，還同時選擇了中國網(wǎng)通作為出口接入點，校園網(wǎng)有兩條出口，一個是光纖接入教育網(wǎng)，另一個是中國網(wǎng)通 100Mbps 專線。考慮到 IP 地址匱乏的原因校園網(wǎng)部采用 NAT 地址裝換方式提供 Internet 訪問服務(wù)。NAT 的主要功能包括以下幾個方面：轉(zhuǎn)換部局部地

38、址。在部局部地址和部全局地址之間建立映射關(guān)系；部全局地址復(fù)用?？梢酝ㄟ^潤許 TCP 連接或 UDP 會話中的原端口進(jìn)行轉(zhuǎn)換而節(jié)省部全局地址，用各個部主機的 TCP 或 UDP 端口號區(qū)別；TCP 負(fù)載均衡。對于某些外部網(wǎng)絡(luò)發(fā)起的與部網(wǎng)絡(luò)的通信數(shù)據(jù)流，可以為其配置一種目的地址轉(zhuǎn)換得動態(tài)形式。 . . . - 18 - / 36五五 校園網(wǎng)絡(luò)管理與安全維護校園網(wǎng)絡(luò)管理與安全維護校園網(wǎng)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)，一塊來自于網(wǎng)外。來源于網(wǎng)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計，威脅校園網(wǎng)安全的攻擊行為大概有 40左右是來自于網(wǎng)絡(luò)部，如何防來自于部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護體系需要

39、重點關(guān)注的地方。.威脅網(wǎng)絡(luò)安全因素分析威脅網(wǎng)絡(luò)安全因素分析計算機網(wǎng)絡(luò)安全受到的威脅包括：1.“黑客”的攻擊；2. 計算機病毒；3. 拒絕服務(wù)攻擊（Denial of Service Attack）。安全威脅的類型：1、非授權(quán)訪問。指對網(wǎng)絡(luò)設(shè)備與信息資源進(jìn)行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。3、破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使

40、用。4、干擾系統(tǒng)正常運行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運行方法，減慢系統(tǒng)的響應(yīng)時間等手段。這會使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時間要求的服務(wù)不能與時得到響應(yīng)。5、病毒與惡意攻擊。指通過網(wǎng)絡(luò)傳播病毒或惡意 Java、active X 等，其破壞性非常高，而且用戶很難防。6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如 Windows 的安全漏洞便有很多。 . . . - 19 - / 367、電磁輻射。電

41、磁輻射對網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。另一方面，電磁泄漏可以導(dǎo)致信息泄露。5.25.2 網(wǎng)絡(luò)安全防措施網(wǎng)絡(luò)安全防措施在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實現(xiàn)多種信息安全，保障校園部網(wǎng)絡(luò)安全，我們選購了一套網(wǎng)絡(luò)安全防設(shè)備。1 瑞星殺毒軟件網(wǎng)絡(luò)版1. 360 超強病毒查殺2. 智能主動防御3. 增強型全網(wǎng)漏洞管理4. 強大的網(wǎng)絡(luò)管理能力是網(wǎng)絡(luò)安全的基礎(chǔ)部署、控制、執(zhí)行、升級、報告和日志、二次開發(fā)。 5. 兼容多種平臺6. 一體化智能服務(wù)體系5.35.3 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理網(wǎng)絡(luò)管

42、理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以與信息處理所必需的各種活動的總稱。網(wǎng)絡(luò)管理的容：(1）網(wǎng)絡(luò)故障管理；(2) 網(wǎng)絡(luò)配置管理；(3) 網(wǎng)絡(luò)性能管理；(4) 網(wǎng)絡(luò)計費管理；(5) 網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)管理的手段：在校園網(wǎng)絡(luò)管理方面，為了便于校園網(wǎng)絡(luò)管理人員的管理與維護，我們選購Quidview 網(wǎng)絡(luò)管理軟件。Quidview 網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實現(xiàn)“按需建構(gòu)”。Quidview 網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計，通過安裝不同的業(yè)務(wù)組件實現(xiàn)了設(shè)備管理、VPN 監(jiān)視與部署、軟件升級管理、配置文件管理、告警和性能管理等功 .

43、 . . - 20 - / 36能。支持多種操作系統(tǒng)平臺，并能夠與多種通用網(wǎng)管平臺集成，實現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。1網(wǎng)絡(luò)集中監(jiān)視Quidview 網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實現(xiàn)全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設(shè)備的運行狀況，并根據(jù)網(wǎng)絡(luò)運行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運行。2故障管理故障管理主要功能是對全網(wǎng)設(shè)備的告警信息和運行信息進(jìn)行實時監(jiān)控，查詢和統(tǒng)計設(shè)備的告警信息。3. 性能監(jiān)控Quidview 網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。通過性能任務(wù)的配置，可自動獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性能的門限，當(dāng)性能超

44、過門限時，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過統(tǒng)計不同線路、不同資源的利用情況，為優(yōu)化或擴充網(wǎng)絡(luò)提供依據(jù)。 4服務(wù)器監(jiān)視管理服務(wù)器是企業(yè) IP 架構(gòu)中的重要組成部分，通過 Quidview，可實現(xiàn)服務(wù)器與設(shè)備的統(tǒng)一管理。5設(shè)備配置文件管理當(dāng)網(wǎng)絡(luò)規(guī)模較大時，網(wǎng)絡(luò)管理員的配置文件管理工作將十分繁重，如果沒有好的配置文件維護工具，網(wǎng)絡(luò)管理員就只能手動備份配置文件。這樣就給網(wǎng)絡(luò)管理員管理、維護網(wǎng)絡(luò)帶來一定的困難。Quidview 網(wǎng)絡(luò)配置中心支持對設(shè)備配置文件的集中管理，包括配置文件的備份、恢復(fù)以與批量更新等操作，同時還實現(xiàn)了配置文件的基線化管理，可以對配置文件的變化進(jìn)行比較跟蹤。6. 設(shè)備軟件升級管理

45、Quidview 提供完善的設(shè)備軟件備份升級控制機制。使用 Quidview，管理員可以方便地查詢設(shè)備上運行的軟件版本，并利用升級分析功能來確定設(shè)備運行軟件是否需要升級。當(dāng)升級軟件版本時，可以利用 Quidview 集中備份設(shè)備運行軟件，然后進(jìn) . . . - 21 - / 36行批量升級。升級之后，可以使用 Quidview 進(jìn)行升級結(jié)果驗證，確保升級操作萬無一失。7.集群管理針對大量二層交換機設(shè)備的應(yīng)用環(huán)境，Quidview 網(wǎng)絡(luò)管理軟件提供集群管理功能，通過一個指定公網(wǎng) IP 的設(shè)備（稱作命令交換機）對網(wǎng)絡(luò)進(jìn)行管理。8. 堆疊管理Quidview 網(wǎng)絡(luò)管理軟件通過堆疊管理，可以集中管理較

46、大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對大量設(shè)備的統(tǒng)一管理維護。9. 故障定位與地址反查針對最為常見的端口故障，Quidview 網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測工具路徑跟蹤和端口環(huán)回測試；當(dāng)用戶報告網(wǎng)絡(luò)端口使用異常時，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對指定用戶端口做環(huán)回測試，直接定位端口故障。10. RMON 管理RMON 管理根據(jù) RFC1757 定義的標(biāo)準(zhǔn) RMON-MIB 與華為 3Com 自定義告警擴展 MIB對主機設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視管理。5.45.4 網(wǎng)絡(luò)安全策略配置網(wǎng)絡(luò)安全策略配置安全接入和配置：安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備

47、前必須通過認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表 19安全接入和配置方法訪問方式保證網(wǎng)絡(luò)設(shè)備安全的方法備注Console 控制接口的訪問設(shè)置密碼和超時限制建議超時限制設(shè)成 5 分鐘進(jìn)入特權(quán) exec 和設(shè)備配置級別的命令行配置 Radius 來記錄 logon/logout 時間和操作活動；配置至少一個本地賬戶作應(yīng)急之用 . . . - 22 - / 36telnet 訪問采用 ACL 限制，指定從特定的 IP 地址來進(jìn)行telnet 訪問；配置 Radius 安全紀(jì)錄方案；設(shè)置超時限制SSH 訪問激活 SSH 訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)

48、備安全登陸WEB 管理訪問取消 Web 管理功能SNMP 訪問常規(guī)的 SNMP 訪問是用 ACL 限制從特定 IP 地址來進(jìn)行 SNMP 訪問；記錄非授權(quán)的 SNMP 訪問并禁止非授權(quán)的 SNMP 企圖和攻擊為增加安全,建議更改缺省的SNMP Commutiy子串設(shè)置不同賬號通過設(shè)置不同的賬號的訪問權(quán)限，提高安全性5.55.5 拒絕服務(wù)的防止拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、Smurf 攻擊等；網(wǎng)絡(luò)設(shè)備的防 TCP SYN 的方法主要是配置網(wǎng)絡(luò)設(shè)備 TCP SYN 臨界值，若多于這個臨界值，則丟棄多余的 TCP SYN 數(shù)據(jù)包；防 Smurf 攻

49、擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo 請求(directed broadcast)和設(shè)置 ICMP 包臨界值，避免成為一個Smurf 攻擊的轉(zhuǎn)發(fā)者、受害者。訪問控制：1 允許從網(wǎng)訪問 internet，端口全開放。2 允許從公網(wǎng)到 DMZ（非軍事）區(qū)的訪問請求：WEB 服務(wù)器只開放 80 端口，mail 服務(wù)器只開放 25 和 110 端口。4 禁止從公網(wǎng)到部區(qū)的訪問請求，端口全關(guān)閉。5 允許從網(wǎng)訪問 DMZ（非軍事）區(qū)，端口全開放6 允許從 DMZ（非軍事）區(qū)訪問 internet，端口全開放7 禁止從 DMZ（非軍事）區(qū)訪問網(wǎng)，端口全關(guān)閉。5.65.6 電源系統(tǒng)電源系統(tǒng)為保證網(wǎng)絡(luò)

50、系統(tǒng)的安全運轉(zhuǎn)與電源發(fā)生故障時重要數(shù)據(jù)的儲存,須配置具有高可靠性的 UPS 電源。為此,在網(wǎng)絡(luò)中心配置了一套山特 C3KVA/2100W 的 UPS 電源。 . . . - 23 - / 365.75.7 其校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)：其校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)：設(shè)備配置方案設(shè)備配置方案(1)(1)路由器路由器f1 端口接外網(wǎng)端口（52/24），f 0 端口接網(wǎng)端口（/24）。Config tHostname 2624Enable secret level 15 0 starLine vty 0 4 !設(shè)置 Telnet 密碼 LoginPass starExit

51、Interface f 1Ip address 52 No shutIp nat outside !定義外部接口Exit . . . - 24 - / 36Intface f 0Ip address No shutIp nat inside !定義部接口ExitAccess-list1 permitted 55Ip nat inside source list 1 int f1 over !應(yīng)用 nat 協(xié)議Ip routingIp route 0.0.0

52、.0 54Ip route Ip route Ip route Ip route Ip route EndWrite（2 2）核心交換機）核心交換機F1/14 分別與匯聚層交換機相連

53、，f1/8 與路由器相連。Config tEnable secret level 15 0 star !設(shè)置特權(quán)密碼Enable secret level 1 0 star !設(shè)置 Telnet 密碼Hostname 4909Interface vlan 1Ip address No shutExitIntface f1/8 . . . - 25 - / 36No switch !啟用 3 層端口Ip address No shutInterface range f1/1-4Switch mo

54、de trunkNo shutExitIp routingIp route Ip route Ip route Ip route Ip route EndWrite（3 3）匯聚層交換機）匯聚層交換機3550-23550-2 交換機配

55、置交換機配置F0/24 與核心交換機相連，F(xiàn)0/1-5 與接入層交換機相連。Config tHostname 3550-2Enable secret level 15 0 star !設(shè)置特權(quán)密碼Enable secret level 1 0 star !設(shè)置 Telnet 密碼Interface vlan 1Ip address No shutExitVlan 20Intface Vlan 20 !創(chuàng)建 3 層虛擬端口 . . . - 26 - / 36Ip address No shut

56、Interface range f0/1-5Switch mode trunkExitInterface f0/24Switch mode trunkExitIp routingIp route Ip route EndWrite3550-33550-3 交換機配置交換機配置F0/24 與核心交換機相連，F(xiàn)0/1-5 與接入層交換機相連。Config tHostname 3550-3Enable secret level 15 0 star !設(shè)置特權(quán)密碼Ena

57、ble secret level 1 0 star !設(shè)置 Telnet 密碼Interface vlan 1Ip address No shutExitVlan 30ExitIntface Vlan 30 !創(chuàng)建 3 層虛擬端口Ip address No shutInterface range f0/1-5 . . . - 27 - / 36Switch mode trunkExitInterface f0/24Switch mode trunkExitIp routingIp route

58、 Ip route EndWrite3550-43550-4 交換機配置交換機配置F0/24 與核心交換機相連，F(xiàn)0/1 與接入層交換機相連。Config tHostname 3550-4Enable secret level 15 0 star !設(shè)置特權(quán)密碼Enable secret level 1 0 star !設(shè)置 Telnet 密碼Interface vlan 1Ip address No shut

59、ExitVlan 40Intface Vlan 40 !創(chuàng)建 3 層虛擬端口Ip address No shutInterface range f0/1Switch mode trunkExitInterface f0/24Switch mode trunk . . . - 28 - / 36ExitIp routingIp route EndWrite3550-53550-5 交換機配置交換機配置F0/24 與核心交換機相連，F(xiàn)0/1-7 與接入層交換機相連。Config tHostn

60、ame 3550-5Enable secret level 15 0 star !設(shè)置特權(quán)密碼Enable secret level 1 0 star !設(shè)置 Telnet 密碼Interface vlan 1Ip address No shutExitVlan 50Intface Vlan 50 !創(chuàng)建 3 層虛擬端口Ip address No shutexitInterface range f0/1-7Switch mode trunkExitInterface f0/24Switch