網(wǎng)絡系統(tǒng)集成PPT課件.ppt

1、校園信息化建設總體規(guī)劃校園信息化建設的理想目標網(wǎng)上辦公網(wǎng)上管理網(wǎng)上教學網(wǎng)上服務 網(wǎng)絡基礎網(wǎng)絡基本服務管理信息系統(tǒng)辦 公自動化網(wǎng)絡教學系統(tǒng)數(shù) 字圖書館信息服務系統(tǒng)決策支持系統(tǒng)社區(qū)服務系統(tǒng)電子商務系統(tǒng)數(shù)字化校園校園信息化建設概念模型信息化建設的目的實現(xiàn)校園內教學、科研、服務的數(shù)字化、信息化、網(wǎng)絡化、電子化實現(xiàn)信息資源和信息服務的合理規(guī)劃，合理分配，合理利用保證資源和服務的可靠性，安全性，科學性提高大學管理過程和管理系統(tǒng)上的質量，效率和效益信息化建設規(guī)劃 (一)身份認證系統(tǒng)及用戶信息數(shù)據(jù)庫通用信息集中平臺與信息發(fā)布平臺南京大學辦公自動化工具網(wǎng)上遠程教學平臺計算機網(wǎng)絡輔助教學教務管理系統(tǒng)信息化建設規(guī)劃

2、(二）校園一卡通網(wǎng)絡校園服務信息查詢終端數(shù)字化圖書館智能教學大廈，辦公大廈，實驗室大廈無線網(wǎng)絡接入設備發(fā)展計劃:身份認證系統(tǒng)及用戶數(shù)據(jù)庫通用信息集中平臺 及發(fā)布平臺各部門辦公自動化系統(tǒng)網(wǎng)上教育平臺教務教學管理系統(tǒng)校園一卡通系統(tǒng)校園社區(qū)服務查詢終端數(shù)字化圖書館智能大廈(教學，管理，實驗)無線網(wǎng)絡接入設備項目主要工作建立訪問用戶數(shù)據(jù)信息中心的個性界面和自定義接口建立數(shù)字校園中通用數(shù)據(jù)交換格式規(guī)范項目應用范圍為學校、政府等企事業(yè)單位搭建網(wǎng)上“信息門戶”實現(xiàn)各部門信息的采集、管理、發(fā)布和服務用于學校、政府或企業(yè)Web站點及其它Web信息系統(tǒng)的快速開發(fā)和升級，同時支持靜態(tài)和動態(tài)網(wǎng)頁的開發(fā)和管理具體實施并

3、行主干,雙網(wǎng)絡中心.多數(shù)據(jù)鏈路,多路由的廣域網(wǎng)互聯(lián)采用具有模塊化結構,熱插拔功能的網(wǎng)絡設備網(wǎng)絡服務器采用新技術.提供中文方式的圖形用戶界面，簡單易學，方便實用。優(yōu)良的性能價格比。系統(tǒng)應著重考慮和滿足以上的設計要求所采用技術的標準化，可以保證網(wǎng)絡發(fā)展的一致性，增強網(wǎng)絡的兼容性，以達到網(wǎng)絡的互連與開放。為確保將來不同廠家設備、不同應用、不同協(xié)議連接，整個網(wǎng)絡從設計、技術和設備的選擇，必須支持國際標準的網(wǎng)絡接口和協(xié)議，以提供高度的開放性。布線工作區(qū)子系統(tǒng)水平區(qū)子系統(tǒng)垂直子系統(tǒng)建筑群子系統(tǒng)管理子系統(tǒng)設備間子系統(tǒng)系統(tǒng)總體設計為了滿足學校將來靈活組網(wǎng)的需要，在學校辦公區(qū)、教學區(qū)等建筑物內各設有配線間將科技

4、創(chuàng)業(yè)樓1樓106室建設成信息中心為充分滿足學校對高容量信息通信的需要，系統(tǒng)采用高速高容量的多模光纖作為園區(qū)的網(wǎng)絡主干中心接入500M光纖為校園網(wǎng)提供Internet出口，ISP提供/27網(wǎng)段，供學校使用。在施工中注意事項仔細查閱其它專業(yè)的施工圖紙建議在施工中應滿足設計裕量采用質量可靠的管路和線纜，以避免日后的麻煩嚴格遵守綜合布線系統(tǒng)規(guī)范選材標準必須一致網(wǎng)絡設備選型選型原則我們在網(wǎng)絡系統(tǒng)設計時考慮如下特點： 穩(wěn)定可靠的網(wǎng)絡 只有運行穩(wěn)定的網(wǎng)絡才是可靠的網(wǎng)絡，而網(wǎng)絡的可靠運行取決于諸多因素，如網(wǎng)絡的設計，產品的可靠，而選擇一個具有運營此類網(wǎng)絡規(guī)模經驗的網(wǎng)絡合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路

5、層和網(wǎng)絡層的備份技術。 高帶寬 為了支持數(shù)據(jù)、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用最先進的網(wǎng)絡技術，以適應大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮未來的發(fā)展。為此應選用高帶寬的先進技術。 核心層設備由于園區(qū)網(wǎng)網(wǎng)絡發(fā)展規(guī)模較大，未來需提供多媒體辦公、辦公自動化、圖書資料檢索、遠程互聯(lián)、視頻會議等復雜的網(wǎng)絡應用，為便于管理，我們建議選用的交換機作為網(wǎng)絡組建交換設備。選用1臺Cisco6509交換機作為主干交換機實現(xiàn)1000M做主干100M到桌面的需求。Cisco6509系列交換機支持堆疊技術，將來擴充端口極為靈活方便，不必改變原有網(wǎng)絡的任何配

6、置。通過增加堆疊交換機數(shù)量或做Port Trunking(端口干路)兩種辦法均可擴充網(wǎng)絡規(guī)模；并且實現(xiàn)了本地化交換，改善了整個網(wǎng)絡，使整個網(wǎng)絡的性能發(fā)生了質的變化。選用千兆光纖模塊，與主干上聯(lián)，實現(xiàn)主干的千兆傳輸。Cisco6509系列交換機支持網(wǎng)管和堆疊，可以很容易地根據(jù)需要，通過堆疊擴充端口數(shù)量。匯聚層設備匯聚層設備選擇CISCO公司的Catalyst3550系列的交換機，每個子公司的主交換機選擇WS-C3550-48-EMI交換機。Catalyst3550交換機智能以太網(wǎng)交換機是一個新型的可堆疊的，多層次級交換機系列，可以提高水平的可用性，可擴展性，服務質量（QoS）,安全性和可改進網(wǎng)絡

7、運營的管理能力，從而提高網(wǎng)絡的運行效率。接入層交換機帶有100BASE上行鏈路的Catalyst2950交換機，可為中等規(guī)模的公司和企業(yè)分支機構 辦公室提供理想的解決方案，以使他們能夠擁有更高性能的千兆以太網(wǎng)主干。主干網(wǎng)絡技術選型根據(jù)招用戶要求，我們主干網(wǎng)絡可選用千兆以太網(wǎng)技術目前流行的局域網(wǎng)、城域網(wǎng)技術主要包括以太網(wǎng)、快速以太網(wǎng)、ATM（異步傳輸模式）、FDDI、CDDI、千兆以太網(wǎng)等。在這些技術中，千兆以太網(wǎng)以其在局域網(wǎng)領域中支持高帶寬、多傳輸介質、多種服務、保證QoS等特點正逐漸占據(jù)主流位置。 現(xiàn)有網(wǎng)絡技術介紹以太網(wǎng)（Ethernet）提供專用的頻帶（即帶寬獨享）快速以太網(wǎng)(FastEt

8、hernet)千兆位以太網(wǎng)技術（Gigabit Ethernet）千兆以太網(wǎng)現(xiàn)在支持距離標準1000Base-SX波長850nm 62.5微米多模光纖50微米多模光纖 275米550米 1000Base-LX波長1300nm 62.5微米多模光纖50微米多模光纖9微米或10微米多模光纖 275米550米5公里 1000Base-CX 同軸電纜對 25米1000Base-T 4對5類雙絞線 100米網(wǎng)絡技術選型結論長遠來看如何保護現(xiàn)有投資性能價格比高售后服務好校園網(wǎng)安全方案校園網(wǎng)安全問題分析經過長期的使用和觀察，校園網(wǎng)存在以下問題：IP盜用的問題，校園網(wǎng)內部連接有幾千臺電腦，一部分電腦通過正常的

9、申請途徑得到合法的IP地址，另一部分則不然。當某些沒有IP地址的用戶，冒用他人的合法IP地址時，就會造成網(wǎng)絡內部地址的沖突，嚴重阻礙了合法用戶的正常使用。防火墻攻擊，防火墻系統(tǒng)相關技術的發(fā)展已經比較成熟，防火墻系統(tǒng)很堅固，但這只是對外的防護而已，他對于內部的防護則幾乎不起什么作用。然而不幸的是，一般情況下大部分的攻擊是來自局域網(wǎng)的內部人員。所以怎么防止來自內部的攻擊是當前校園網(wǎng)建設中的一個非常重要的方面。Email問題，由于用戶安全觀念的淡薄以及網(wǎng)上某些人的別有用心，會給校園網(wǎng)的Email用戶發(fā)一些不良內容的信件，有時還會攜帶各種各樣的病毒。因此，怎樣防止有問題的信件進入校園網(wǎng)的Email系統(tǒng)

10、也是一個待解決的問題。各種服務器和網(wǎng)絡設備的掃描和攻擊，有時會有一些用戶對校園網(wǎng)的服務器和網(wǎng)絡設備進行掃描和攻擊，造成網(wǎng)絡負載過重，致使服務器拒絕提供服務，或造成校園網(wǎng)不能提供正常的服務。非法URL的訪問的問題，對于一些反動的或不健康的站點，應當禁止校園網(wǎng)用戶通過校園網(wǎng)去訪問。病毒防護的問題，互聯(lián)網(wǎng)迅猛發(fā)展使得網(wǎng)絡運營成為社會時尚，但同時也為病毒感染和快速傳播提供了途徑。病毒從網(wǎng)絡之間傳遞，并在計算機沒有任何防護措施的情況下運行，從而導致系統(tǒng)崩潰，網(wǎng)絡癱瘓，對網(wǎng)絡服務構成嚴重威脅，造成巨大損失。安全解決方案設計需求分析針對校園網(wǎng)長期以來校園網(wǎng)絡出現(xiàn)的各種問題，對校園網(wǎng)的需求提出了一下幾點：1、

11、防止校園網(wǎng)外部用戶對校園網(wǎng)內的用戶進行攻擊2、校園網(wǎng)外部用戶只能訪問WWW 服務、MAIL 服務，其他服務只對校園網(wǎng)內部用戶開放。3、考慮到易用性，所有服務器的操作系統(tǒng)采用Windows Server，WWW 服務使用IIS。 4、需要防病毒系統(tǒng)安全設計原則身份識別外圍安全/接入控制數(shù)據(jù)專用性安全監(jiān)控策略管理防火墻設置部署防火墻在需要隔離的網(wǎng)絡區(qū)域之間部署防火墻。典型地，在 Internet 與校園網(wǎng)之間部署一臺防火墻，成為內外網(wǎng)之間一道牢固的安全屏障。將WWW 、 MAIL 、 FTP 、 DNS 等服務器連接在防火墻的 DMZ 區(qū)，與內、外網(wǎng)間進行隔離，內網(wǎng)口連接校園網(wǎng)內網(wǎng)交換機，外網(wǎng)口通

12、過路由器與 Internet 連接。那么，通過 Internet 進來的公眾用戶只能訪問到對外公開的一些服務（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保護內網(wǎng)資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，并能夠對發(fā)生在網(wǎng)絡中的安全事件進行跟蹤和審計。建立入侵檢測系統(tǒng)防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻已經無法滿足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進一步完善傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個方面防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量

13、中的惡意攻擊代碼，比如針對 WEB 服務的 Code Red 蠕蟲等；有些主動或被動的攻擊行為是來自防火墻內部的，防火墻無法發(fā)現(xiàn)內部網(wǎng)絡中的攻擊行為；作為網(wǎng)絡訪問控制設備，受限于功能設計，防火墻難以識別復雜的網(wǎng)絡攻擊并保存相關信息，以協(xié)助后續(xù)調查和取證工作的開展。入侵檢測系統(tǒng) IDS（ Intrusion Detection System）是繼防火墻之后迅猛發(fā)展起來的一類安全產品，它通過檢測、分析網(wǎng)絡中的數(shù)據(jù)流量，從中發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時識別入侵行為和未授權網(wǎng)絡流量并實時報警。 DS 彌補了防火墻的某些設計和功能缺陷，側重網(wǎng)絡監(jiān)控，注重安全審計，適合對網(wǎng)絡

14、安全狀態(tài)的了解，但隨著網(wǎng)絡攻擊技術的發(fā)展，IDS 也面臨著新的挑戰(zhàn)：IDS 旁路在網(wǎng)絡上，當它檢測出黑客入侵攻擊時，攻擊已到達目標造成損失。IDS 無法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡癱瘓，IDS 無能為力；蠕蟲、病毒、DDoS 攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應的時間越來越短，使用戶來不及對入侵做出響應，往往造成企業(yè)網(wǎng)絡癱瘓，IDS 無法把攻擊防御在企業(yè)網(wǎng)絡之外。辦公室樓層IP地址網(wǎng)關辦公區(qū)一號樓1層 /2454/24辦公區(qū)一號樓2層/2454/24辦公區(qū)一號樓3層/2454/24辦公區(qū)一號樓4層/2454/24辦公區(qū)一號樓5層/2454/24辦公區(qū)一號樓6層

15、/2454/24實訓樓樓層IP地址網(wǎng)關實訓區(qū)一號樓1層/2454/24實訓區(qū)一號樓2層/2454/24實訓區(qū)一號樓3層/2454/24實訓區(qū)一號樓4層/2454/24實訓區(qū)一號樓5層/2454/24宿舍樓層IP地址網(wǎng)關宿舍區(qū)一號樓1層/2454/24宿舍區(qū)一號樓2層/2454/24宿舍區(qū)一號樓3層/2454/24宿舍區(qū)一號樓4層/2454/24宿舍區(qū)一號樓5層/2454/24教學區(qū)樓層IP地址網(wǎng)關教學區(qū)一號樓1層/2454/24教學區(qū)一號樓2層/2454/24教學區(qū)一號樓3層/2454/24教學區(qū)一號樓4層/2454/24教學區(qū)一號樓5層/2454/24科技創(chuàng)新區(qū)樓層IP地址網(wǎng)關科技創(chuàng)新區(qū)一號

16、樓1層/2454/24科技創(chuàng)新區(qū)一號樓2層/2454/24科技創(chuàng)新區(qū)一號樓3層/2454/24106中心機房樓層IP地址網(wǎng)關106中心機房/2454/24管理地址VLAN 1000名稱IP地址辦公區(qū)接入層/24辦公區(qū)匯聚層/24教學區(qū)接入層/24教學區(qū)匯聚層/24實訓區(qū)接入層/24實訓區(qū)匯聚層/24宿舍區(qū)接入層/24宿舍區(qū)匯聚層/24科技區(qū)接入層/24科技區(qū)匯聚層0/24106機房接入層7/24106機房匯聚層6/24路由器4/24核心交換機2/24服務器接入層3/24遠程登錄Telnet登錄：用戶名：222密碼：222 描述可靠性與可伸縮性IIS 6.0提供了更智能的、更可靠的Web服務器環(huán)

17、境，新的環(huán)境包括應用程序健康監(jiān)測、應用程序自動地循環(huán)利用。其可靠的性能提高了網(wǎng)絡服務的可用性并且節(jié)省了管理員用于重新啟動網(wǎng)絡服務所花費的時間，IIS 6.0將提供最佳的擴展性和強大的性能從而充分發(fā)揮每一臺Web服務器的最大功效。更安全、易于管理IIS 6.0在安全與管理方面做出了重大的改進。安全性能的增強包括技術與需求處理變化兩方面。另外，增強了在安全方面的認證和授權。IIS 6.0的默認安裝是被全面鎖定的，這意味著默認系統(tǒng)的安全系數(shù)就被設為最大，它提供的增強的管理性能改善了XML metabase的管理及新的命令行工具。服務器合并IIS 6.0是一個具有高伸縮性的Web服務器，它為Web服務

18、器的合并提供了新的機遇。通過將可靠的體系結構和內核模式驅動程序完美結合在一起，IIS 6.0允許您在單臺服務器上托管更多的應用程序。服務器合并還可以降低企業(yè)與人工、硬件以及站點管理相關的成本。增強的開發(fā)與國際化支持通過Windows Server 2003 與IIS 6.0支持的先進功能如內核模式緩存，應用程序開發(fā)人員將從Windows Server 2003 與IIS 6.0 單一的、完整的應用平臺環(huán)境中受益?；贗IS 6.0，Windows Server 2003為開發(fā)者提供高標準的附加功能，包括快速應用程序開發(fā)以及廣泛的語言選擇，同時也提供了國際化支持和支持最新的Web標準。更高的安全

19、性IIS 6.0顯著改進了Web服務器的安全性。IIS 6.0在默認情況下處于鎖定狀態(tài)，從而減少了暴露在攻擊者面前的攻擊表面積。此外，IIS 6.0的身份驗證和授權功能也得到了改進。IIS 6.0還提供了更多更強大的管理功能，改善了對XML元數(shù)據(jù)庫（metabase）的管理，并且提供了新的命令行工具。IIS 6.0在降低系統(tǒng)管理成本的同時，大大提高了信息系統(tǒng)的安全性。正確配置了操作系統(tǒng)。在 Windows Server 2003 家族產品中，文件服務依賴于操作系統(tǒng)及其服務的適當配置。如果您的 Windows Server 2003 操作系統(tǒng)采用的是全新安裝，則可以使用默認服務設置。沒有必要執(zhí)行

20、進一步的操作。如果您的 Windows Server 2003 操作系統(tǒng)采用的是升級安裝，或者如果您要確認是否已正確配置了服務以獲得最佳的性能與安全性，請使用服務的默認設置中的表來驗證您的服務設置。 計算機作為成員服務器加入 Active Directory 域中。如果您希望驗證客戶端的身份，或者將共享文件夾發(fā)布到 Active Directory，文件服務器就必須加入域中。如果您不需要執(zhí)行這兩個任務，文件服務器就不需要加入域中。 分配所有可用磁盤空間?？梢允褂谩按疟P管理”或 DiskPart.exe 從未分配的空間中創(chuàng)建新分區(qū)。詳細信息，請參閱創(chuàng)建分區(qū)或邏輯驅動器。 現(xiàn)有的所有磁盤卷都使用

21、NTFS 文件系統(tǒng)。FAT32 卷安全性不好，而且不支持文件和文件夾壓縮、磁盤配額、文件加密或單個文件權限。 Windows 防火墻已啟用。詳細信息，請參閱在不允許例外的情況下啟用 Windows 防火墻。 如果啟用了 Windows 防火墻，則必須選擇 Windows 防火墻中的“例外”選項卡上的“文件和打印機共享”，以便讓“文件服務器角色”正確地發(fā)揮作用?！鞍踩渲孟驅А币寻惭b和啟用。有關“安全配置向導”的信息，請參閱安全配置向導概述。 文件服務器磁盤配額在“文件服務器磁盤配額”頁面上，可以設置磁盤配額，來跟蹤和控制各個用戶在 NTFS 卷上以卷為單位的磁盤空間使用情況?！芭渲媚姆掌飨?/p>

22、導”會自動將磁盤配額應用到所有 NTFS 文件系統(tǒng)的新用戶，使用的是磁盤空間配置已經應用的。只有在您想防止服務器占用的磁盤空間超過某一特定數(shù)量或者您的磁盤空間數(shù)量有限的情況下，才需要更改“文件服務器磁盤配額”頁面上的信息。大多數(shù)情況下，可以接受默認系統(tǒng)設置。工程實施與項目測試驗收基本說明驗收計劃雙方簽定合同后，簽定一項驗收計劃，作為驗收執(zhí)行的規(guī)范，合同雙方共同遵循，驗收計劃包括以下必備內容：驗收人員組成驗收場所和驗收時間驗收內容組成各項內容的驗收標準驗收方式 下面分別就驗收計劃中的要點進行說明。 驗收人員由業(yè)主方指定人員，工程實施方參加項目所有人員配合驗收。驗收人員要求：熟悉整個項目的物理設備

23、組成、技術組成和驗收標準，具有驗收完成之后的簽字權。 驗收場所和驗收時間設備到現(xiàn)場后3天之內進行相應的設備驗收，系統(tǒng)邏輯實現(xiàn)之后在公司提交工程測試資料并提出驗收要求后3天之內由業(yè)主方組織驗收，否則視為驗收通過。具體的時間和驗收場所由雙方共同確認的驗收計劃中指定。 驗收組成設備驗收對整個項目涉及的設備進行物理驗收，包括設備型號、設備數(shù)量、包裝要求等。 系統(tǒng)驗收對項目實施的目標進行相應的邏輯驗收，包括功能、性能、文檔等。 基本驗收標準物理驗收的標準以最終合同指定的設備廠家品牌、型號、數(shù)量為標準，設備的物理構成及包裝以設備廠家提供的標準為驗收標準；邏輯驗收按照最終合同要求進行的各項功能、性能設計相應

24、的可實施的測試方法進行設計驗收、測試驗收和文檔驗收。 驗收方式簽定合同的同時雙方共同確認并簽定驗收計劃；按照驗收計劃，以計劃規(guī)定的驗收時間內，由指定的雙方收驗人員按照驗收標準進行驗收，并填寫驗收報告；在所有驗收計劃中指定的驗收完成后，整個項目的驗收結束。 2.設備驗收（物理驗收）驗收標準根據(jù)雙方最終生成的合同，形成物理設備總清單是整個設備驗收的基礎，按照各個設備廠家對設備到場的驗收標準進行其它物理驗收。驗收格式設備驗收清單設備編號設備名稱設備型號數(shù)量配置明細驗收人驗收時間設備驗收總簽字簽字時間驗收格式邏輯驗收測試表描述測試方法結果驗收人時間綜合布線以及網(wǎng)絡所有網(wǎng)絡主節(jié)點的劃分網(wǎng)管軟件的調試遠程

25、訪問路由/連接INTERNET 網(wǎng)絡安全Intranet功能實現(xiàn)防火墻網(wǎng)關的實現(xiàn)網(wǎng)絡安全的實現(xiàn)服務器網(wǎng)管工作站配置服務器發(fā)布以及應用網(wǎng)絡監(jiān)視，管理驗收簽字網(wǎng)絡設計目標要求：記錄雙方共同確認后的整個園區(qū)網(wǎng)項目建設的功能、性能列表，在合同簽定之前由雙方共同商定，并作為驗收的標準項目建設要求列表項目名稱類別序號描述及測試指標標準功能要求1234性能要求1234用戶變更記錄用戶變更記錄表變更序號變更要求描述時間用戶簽字集成方簽字備注記錄測試路徑和測試結果，由集成方填寫，業(yè)主進行驗證性測試認可。驗收總清單工程驗收總清單項目序號驗收子項列表子項總簽人備注1用戶目標清單2用戶變更記錄3系統(tǒng)最終設計方案4配置參數(shù)列表5測試列表6設備總清單7工程總驗收簽字8工程總驗收時間文檔驗收清單序號文檔名稱文檔內容驗收結果驗收人驗收時間技術支持服務售后服務內容 售后服務包括技術培訓、技術咨詢、維修服務和用戶跟蹤等服務項目。 質量保證期為12個月，自雙方代表在驗收單上簽字之日起計算 我們承諾為系統(tǒng)集成項目提供的免費售后服務內容為： 保修：質量保證期內設備正常使用下發(fā)生的損壞，免費維修；非正常