網(wǎng)絡(luò)規(guī)劃畢業(yè)設(shè)計(jì)說(shuō)明書

藏］浙r規(guī)宙瞬亍H詒序償I ZHEJIANGINSTATEOFMECHANICAL&ELECTRICALE^GI^EERhG畢業(yè)設(shè)計(jì)說(shuō)明書課題名稱： 志成中學(xué)校園網(wǎng)設(shè)計(jì)方案學(xué)生姓名 葉軍營(yíng) 學(xué)號(hào) 所在學(xué)院 計(jì)算機(jī)工程學(xué)院專 業(yè) 網(wǎng)絡(luò)技術(shù) 班 級(jí) 網(wǎng)絡(luò)0811 指導(dǎo)教師 朱景營(yíng)劉杰起始時(shí)間：2010年12月27日?2011年4月8日（共10周）志成中學(xué)校園網(wǎng)設(shè)計(jì)方案摘要網(wǎng)絡(luò)技術(shù)和信息技術(shù)，影響到社會(huì)和生活的每一個(gè)角落，同時(shí)也對(duì)教育界造成了巨大的沖擊。教育的功能和目標(biāo)、教學(xué)的方法和模式也跟著在發(fā)生深刻的變化。本文根據(jù)金華市志成中學(xué)對(duì)校園網(wǎng)絡(luò)的需求，遵循局域網(wǎng)的設(shè)計(jì)原則，對(duì)志成中學(xué)的校園網(wǎng)進(jìn)行了規(guī)劃設(shè)計(jì)，提出了基于三層結(jié)構(gòu)的網(wǎng)絡(luò)方案，并根據(jù)方案及需求進(jìn)行了設(shè)備選型。同時(shí)對(duì)綜合布線系統(tǒng)進(jìn)行了設(shè)計(jì)，對(duì)網(wǎng)絡(luò)安全與管理提出了相應(yīng)方案。關(guān)鍵詞：網(wǎng)絡(luò)方案設(shè)備選型綜合布線網(wǎng)絡(luò)安全目錄TOC\o"1-5"\h\z摘要 1\o"CurrentDocument"第1章網(wǎng)絡(luò)需求分析 1\o"CurrentDocument"概況 1\o"CurrentDocument"1.2網(wǎng)絡(luò)功能需求分析 1\o"CurrentDocument"1.3網(wǎng)絡(luò)安全需求分析 1\o"CurrentDocument"第2章網(wǎng)絡(luò)設(shè)計(jì)原則和目標(biāo) 2\o"CurrentDocument"設(shè)計(jì)原則 2\o"CurrentDocument"設(shè)計(jì)目標(biāo) 2\o"CurrentDocument"第3章網(wǎng)絡(luò)總體規(guī)劃 3\o"CurrentDocument"3.1網(wǎng)絡(luò)拓?fù)鋱D 3\o"CurrentDocument"3.3網(wǎng)絡(luò)層次設(shè)計(jì)與設(shè)備選擇 3\o"CurrentDocument"3.3.1路由器選擇 4\o"CurrentDocument"3.3.2匯聚層交換機(jī)選擇 4\o"CurrentDocument"3.3.3樓宇接入層設(shè)備選擇 5\o"CurrentDocument"3.3.4樓層接入層設(shè)備選擇 5\o"CurrentDocument"3.3.5網(wǎng)路設(shè)備價(jià)格清單 7\o"CurrentDocument"第4章網(wǎng)絡(luò)布線系統(tǒng)設(shè)計(jì) 8\o"CurrentDocument"4.1布線系統(tǒng)分析 8\o"CurrentDocument"4.2布線系統(tǒng)方案描述 8\o"CurrentDocument"4.2.1校園主干網(wǎng)系統(tǒng) 8\o"CurrentDocument"4.2.2大樓結(jié)構(gòu)化布線系統(tǒng) 9\o"CurrentDocument"第5章網(wǎng)絡(luò)安全與管理 11\o"CurrentDocument"5.1網(wǎng)絡(luò)安全問(wèn)題 11\o"CurrentDocument"網(wǎng)絡(luò)安全策略配置 11\o"CurrentDocument"5.2.1安全接入和配置 11\o"CurrentDocument"拒絕服務(wù)的防止 12\o"CurrentDocument"5.2.3訪問(wèn)控制 12\o"CurrentDocument"結(jié)論 13\o"CurrentDocument"參考文獻(xiàn) 14\o"CurrentDocument"致謝 15第1章網(wǎng)絡(luò)需求分析概況金華市志成中學(xué)是婺城區(qū)一所公辦完全中學(xué)。這也是一所金華東部設(shè)施最好、規(guī)模最大的中學(xué)。學(xué)校占地面積43畝，建筑面積15166m2,除教學(xué)樓、綜合樓等建筑之外，另有兩幢住校生公寓，被列為市消防重點(diǎn)保護(hù)單位。校園綠化面積已超過(guò)四千平米,初具花園式學(xué)校規(guī)模。各種活動(dòng)場(chǎng)所齊全，有300M塑膠田徑場(chǎng)、球類運(yùn)動(dòng)場(chǎng)和器械活動(dòng)場(chǎng)，另有設(shè)計(jì)新穎、設(shè)施先進(jìn)的圖書館、體藝館。網(wǎng)絡(luò)功能需求分析、信息交流：提供Internet連接及校內(nèi)信息服務(wù)；2、 教學(xué)服務(wù)：多媒體教學(xué)資源、電子備課、電子閱覽、遠(yuǎn)程教學(xué)；3、 學(xué)生學(xué)習(xí)：網(wǎng)上學(xué)習(xí)、班級(jí)網(wǎng)頁(yè)、成績(jī)反饋；4、 學(xué)校管理：無(wú)紙化辦公、成績(jī)管理、學(xué)籍管理、財(cái)務(wù)管理、圖書館管理、后勤管理等。網(wǎng)絡(luò)安全需求分析網(wǎng)絡(luò)統(tǒng)對(duì)安全保密有著非常高的要求。雖然計(jì)算機(jī)系統(tǒng)本身或多或少地具有安全防范措施，網(wǎng)絡(luò)系統(tǒng)的安全防范卻是整個(gè)系統(tǒng)安全性的第一道防線。1、 網(wǎng)絡(luò)硬件安全：網(wǎng)絡(luò)系統(tǒng)中各通信計(jì)算機(jī)設(shè)備以及相關(guān)設(shè)備的物理保護(hù)、網(wǎng)絡(luò)配置安全：（1） 信息完整性：計(jì)算機(jī)系統(tǒng)能夠防止非法修改和刪除數(shù)據(jù)和程序；（2） 保密性：信息不泄漏給未經(jīng)授權(quán)的人；（3） 可用性：系統(tǒng)能夠防止非法防止非法獨(dú)占計(jì)算機(jī)資源和數(shù)據(jù)，合法用戶的正常請(qǐng)求能及時(shí)、正確、安全的得到服務(wù)或回應(yīng)。第2章網(wǎng)絡(luò)設(shè)計(jì)原則和目標(biāo)設(shè)計(jì)原則校園網(wǎng)必須具備教學(xué)、管理和通訊三大功能。教師可以方便地瀏覽和查詢網(wǎng)上資源，進(jìn)行教學(xué)和科研工作；學(xué)生可以方便地瀏覽和查詢網(wǎng)上資源實(shí)現(xiàn)遠(yuǎn)程學(xué)習(xí)。學(xué)校的管理人員可方便地對(duì)教務(wù)、行政事務(wù)、學(xué)生學(xué)籍、財(cái)務(wù)、資產(chǎn)等進(jìn)行綜合管理，同時(shí)可以實(shí)現(xiàn)各級(jí)管理層之間的信息數(shù)據(jù)交換，實(shí)現(xiàn)網(wǎng)上信息采集和處理的自動(dòng)化，實(shí)現(xiàn)信息和設(shè)備資源的共享，因此，校園網(wǎng)的建設(shè)必須有明確的建設(shè)目標(biāo)。校園網(wǎng)的總體設(shè)計(jì)原則是：1、開放性采用開放性的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級(jí)、擴(kuò)展和互聯(lián)；同時(shí)在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時(shí)，強(qiáng)調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國(guó)際標(biāo)準(zhǔn)化；2、可擴(kuò)充性從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、插槽個(gè)數(shù)、管理軟件和網(wǎng)絡(luò)整體結(jié)構(gòu)，以及技術(shù)的開放性和對(duì)相關(guān)協(xié)議的支持等方面，來(lái)保證網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)充性；3、可管理性利用圖形化的管理界面和簡(jiǎn)潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略，提供強(qiáng)大的網(wǎng)絡(luò)管理功能；使日常的維護(hù)和操作變得直觀，便捷和高效；4、安全性內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，利用VLAN/ELAN、防火墻等對(duì)訪問(wèn)進(jìn)行控制，確保網(wǎng)絡(luò)的安全；5、投資保護(hù)選用性能價(jià)格比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器；采用的網(wǎng)絡(luò)架構(gòu)和設(shè)備充分考慮到易升級(jí)換代，并且在升級(jí)時(shí)可以最大限度地保護(hù)原有的硬件設(shè)備和軟件投資；設(shè)計(jì)目標(biāo)1、 校園內(nèi)部實(shí)現(xiàn)信息資源共享。如教務(wù)信息共享、教研成果共享、教學(xué)資料共享、圖書資料共享等。2、 校園內(nèi)信息傳遞暢通無(wú)阻，能準(zhǔn)確、可靠地傳輸學(xué)校的教育教學(xué)信息；努力創(chuàng)造與上級(jí)教育部門、社會(huì)、家庭之間通訊接口，實(shí)現(xiàn)社會(huì)教育、學(xué)校教育、家庭教育的有機(jī)整合。3、 完成與Internet的常規(guī)接軌，使教師、學(xué)生能利用因特網(wǎng)的信息優(yōu)勢(shì)為教育教學(xué)與學(xué)習(xí)提供良好幫助；為教師校外辦公、學(xué)生遠(yuǎn)程學(xué)習(xí)、教師與學(xué)生家長(zhǎng)間通訊提供通訊手段。

第3章網(wǎng)絡(luò)總體規(guī)劃3.1網(wǎng)絡(luò)拓?fù)鋱D主5?農(nóng)禹XftSE行畋樓工a?站陽(yáng)teSftHlI■用達(dá)宿舍摟釈射圖主5?農(nóng)禹XftSE行畋樓工a?站陽(yáng)teSftHlI■用達(dá)宿舍摟釈射圖3-1志成中學(xué)網(wǎng)絡(luò)拓?fù)鋱D志成中學(xué)校園網(wǎng)建設(shè)采用星型網(wǎng)拓?fù)浣Y(jié)構(gòu)，采用星型結(jié)構(gòu)的以太網(wǎng)是目前最為安全成熟的技術(shù)，并且，從應(yīng)用角度講，星形結(jié)構(gòu)是綜合布線系統(tǒng)的推薦網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可以與綜合布線系統(tǒng)緊密結(jié)合，得整個(gè)網(wǎng)絡(luò)系統(tǒng)的通信瓶頸從以往的網(wǎng)絡(luò)電纜轉(zhuǎn)移至中央網(wǎng)絡(luò)設(shè)備上。在中央設(shè)備之間，而采用交換以太網(wǎng)絡(luò)設(shè)備配合星形結(jié)構(gòu)來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)絡(luò)的需求，使得中央結(jié)點(diǎn)與衛(wèi)星結(jié)點(diǎn)的網(wǎng)絡(luò)吞吐能力大大加強(qiáng)，對(duì)多媒體的支持也更加完美，既而提高整個(gè)系統(tǒng)的吞吐能力。3.3網(wǎng)絡(luò)層次設(shè)計(jì)與設(shè)備選擇從邏輯上，大型網(wǎng)絡(luò)可分為核心層、分布層和接入層，每層都有其特點(diǎn)。網(wǎng)絡(luò)層次如圖3-2所示#接入層Z分布層「核心層"本地/遠(yuǎn)程工作組接入■高速交換技術(shù)*

基于策略的操作"本地/遠(yuǎn)程工作組接入圖3-2網(wǎng)絡(luò)層次圖本方案主要是采用了上圖中的分布層與接入層。層次化設(shè)計(jì)的優(yōu)點(diǎn)可以總結(jié)為如下幾點(diǎn)：1、可擴(kuò)展性：因?yàn)榫W(wǎng)絡(luò)可模塊化增長(zhǎng)而不會(huì)遇到問(wèn)題；2、簡(jiǎn)單性：通過(guò)將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的問(wèn)題；3、設(shè)計(jì)的靈活性：使網(wǎng)絡(luò)容易升級(jí)到最新的技術(shù)，升級(jí)任意層次的網(wǎng)絡(luò)不會(huì)對(duì)其他層次造成影響，無(wú)需改變整個(gè)環(huán)境；4、可管理性：層次結(jié)構(gòu)使單個(gè)設(shè)備的配置的復(fù)雜性大大降低，更易管理。路由器選擇在本方案中，我們選用cisco系列的7200路由器Cisco7200路由器有以下優(yōu)點(diǎn)：Cisco7200系列在性能價(jià)格比方面實(shí)現(xiàn)了突破，以較低的價(jià)格滿足了高吞吐量要求。Cisco7200配有一個(gè)150MHzRISC處理器和SRAM，提供了600Mbps的帶寬容量和每秒150000個(gè)包(pps)的性能。它還帶有一個(gè)更經(jīng)濟(jì)有效的RISC處理器，帶寬為200Mbps、性能為100000pps，這個(gè)處理器使Cisco7200的性能價(jià)格比進(jìn)一步得到了優(yōu)化。NetFlow交換是CiscoIOS交換機(jī)制，它允許Cisco7200把高性能網(wǎng)絡(luò)層交換與網(wǎng)絡(luò)服務(wù)面向連接的應(yīng)用結(jié)合在一起，這些服務(wù)包括安全性、服務(wù)質(zhì)量和通信管理。它還可以用協(xié)議和IP地址進(jìn)行詳細(xì)的通信統(tǒng)計(jì)。Cisco7200系列由4插槽的7204和6插槽的7206組成，提供了適用于以太網(wǎng)、令牌環(huán)、串行、ISDN、HSSI、快速以太網(wǎng)、100VGAnyLAN、FDDI和ATM的可擴(kuò)展密度oCisco7200采用與Cisco7500通用接口處理器(VIP)相同的端口適配器，保護(hù)了客戶在接口上的投資和簡(jiǎn)化了備用措施。借助這些高密度的端口適配器，Cisco7206支持48個(gè)以太網(wǎng)或串行端口、24個(gè)令牌環(huán)網(wǎng)端口、24個(gè)串行端口，12個(gè)HSSI端口、7個(gè)快速以太網(wǎng)端口、6個(gè)FDDI或3個(gè)ATM端口。由于具有4插槽和6插槽的機(jī)箱，因此密度可以擴(kuò)展，能夠滿足大多數(shù)客戶的需要。匯聚層交換機(jī)選擇網(wǎng)絡(luò)中心節(jié)點(diǎn)及其它核心節(jié)點(diǎn)作為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時(shí)，對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個(gè)網(wǎng)絡(luò)的交換中心，在保證高性能、無(wú)阻塞交換的同時(shí)，還必須保證穩(wěn)定可靠的運(yùn)行。因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。具體來(lái)說(shuō)核心節(jié)點(diǎn)的交換機(jī)有兩個(gè)基本要求：1、 高密度端口情況下，還能保持各端口的線速轉(zhuǎn)發(fā)；2、 關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇。本方案我們選擇CiscoCatalyst4948作為校園網(wǎng)的匯聚層交換機(jī)CiscoCatalyst4948交換機(jī)的主要性能：CiscoCatalyst4948是一款線速、低延遲、第二到四層、1機(jī)架單元(1RU)固定配置交換機(jī)，可提供進(jìn)行了優(yōu)化設(shè)計(jì)的服務(wù)器集群機(jī)架的交換。CiscoCatalyst4948以成熟的CiscoCatalyst4500系列硬件和軟件架構(gòu)為基礎(chǔ)，為高性能服務(wù)器和工作站的低密度、多層匯聚提供了出色性能和可靠性。CiscoCatalyst4948擁有96Gbps的背板帶寬，72Mpps的包轉(zhuǎn)發(fā)率。CiscoCatalyst4948具有48個(gè)線速10/100/1000BASE-T端口，并另有4個(gè)線速端口，可容納可選1000BASE-X小型可插拔(SFP)光接口1?？蛇x的內(nèi)部AC或DC1+1熱插拔電源和帶冗余風(fēng)扇的一個(gè)熱插拔風(fēng)扇架提供了優(yōu)秀的可靠性和可維護(hù)性。CiscoCatalyst4948采用了一個(gè)96Gbps交換矩陣，在硬件中為第二到四層流量提供了72Mpps的轉(zhuǎn)發(fā)速率，從而為數(shù)據(jù)密集型應(yīng)用提供了線速吞吐率和低延遲。無(wú)論有多少路由條目或啟用了多少第三層和第四層服務(wù)，都能保證交換性能?；谟布乃伎瓶焖俎D(zhuǎn)發(fā)路由架構(gòu)提高了可擴(kuò)展性和性能。樓宇接入層設(shè)備選擇志成中學(xué)校園網(wǎng)絡(luò)樓宇接入層(二級(jí)骨干)的要求：提供較高的可靠性和高速上行網(wǎng)絡(luò)連接，部署網(wǎng)絡(luò)的控制能力。對(duì)于流量較大的匯聚層交換機(jī)建議采用交換能力大于20Mpps的三層交換機(jī)，其它數(shù)據(jù)流量較小的匯聚節(jié)點(diǎn)則選用交換能力在10Mpps左右的二層交換機(jī)通過(guò)千兆光纖與匯聚層交換機(jī)連接。綜上所述，在各子網(wǎng)用戶接入方面，我們使用了CISCOWS-C2960G-24TC-L交換機(jī)，該交換機(jī)支持GigaStack技術(shù)，能以1000/100M的速率上連到匯聚交換機(jī)上。另外，當(dāng)用戶增多的時(shí)候，我們可以直接增加交換機(jī)，并以堆疊的方式連接上網(wǎng)絡(luò)，從而為系統(tǒng)各子網(wǎng)的擴(kuò)充帶來(lái)極大的靈活性。CISCOWS-C2960G-24TC-L的專有技術(shù)及優(yōu)勢(shì)24Gbps的底板帶寬；35.7Mpps的多層交換；4個(gè)插槽。支持24端口10/100Base-T、10/100/1000Base-Tx/SFP。固定端口內(nèi)存64MB，擁有8KMAC地址表網(wǎng)絡(luò)參數(shù)網(wǎng)絡(luò)標(biāo)準(zhǔn)EEE802.3,IEEE802.3u,IEEE802.1x,IEEE802.1Q,IEEE802.1p,IEEE802.1D,IEEE802.1s,IEEE802.1w,IEEE802.3ad,IEEE802.3z,IEEE802.3樓層接入層設(shè)備選擇樓層接入設(shè)備的主要功能是為最終用戶提供對(duì)校園網(wǎng)絡(luò)訪問(wèn)的途徑。本層也可以提供進(jìn)一步的調(diào)整，如Access-listFiltering等。在校園網(wǎng)絡(luò)環(huán)境中，接入層主要提供如下功能：帶寬共享、交換帶寬、MAC層過(guò)濾、微分網(wǎng)段等。在局域網(wǎng)環(huán)境中，接入層主要提供通過(guò)FrameRelay、ISDN、LeasedLine連入遠(yuǎn)程節(jié)點(diǎn)。樓層接入網(wǎng)絡(luò)由樓棟交換節(jié)點(diǎn)和樓層交換節(jié)點(diǎn)組成，接入層網(wǎng)絡(luò)應(yīng)該可以滿足各種客戶的接入需要，而且能夠?qū)崿F(xiàn)客戶化的接入策略，業(yè)務(wù)QOS保證，用戶接入訪問(wèn)控制等等。樓層接入交換機(jī)亦稱外圍交換機(jī)或邊緣交換機(jī)，一般都屬于可堆疊/可擴(kuò)充式固定端口交換機(jī)，應(yīng)具備下列要求：1、端口選擇：對(duì)端口的選擇包括兩個(gè)方面，一個(gè)是端口數(shù)量，一個(gè)是端口類型。而且可以堆疊、易擴(kuò)展，以便由于信息點(diǎn)的增加而從容地進(jìn)行擴(kuò)容。2、 高性能。作為大型網(wǎng)絡(luò)的二級(jí)交換設(shè)備，應(yīng)支持千兆/百兆高速上連以及同級(jí)設(shè)備堆疊，當(dāng)然還要注意與核心交換機(jī)品牌的一致性；如果用作小型網(wǎng)絡(luò)的中央交換機(jī)，要求具有較高的背板帶寬和三層交換能力。3、 性價(jià)比高。在滿足網(wǎng)絡(luò)性能要求的同時(shí)，達(dá)到最高的性價(jià)比，使用方便簡(jiǎn)單。4、 支持多級(jí)別網(wǎng)絡(luò)管理。樓層交換節(jié)點(diǎn)采用千兆智能堆疊交換機(jī)，提供智能的流分類和完善的QoS特征。為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、融合、安全的園區(qū)網(wǎng)新需求；本方案中各接入層交換機(jī)通過(guò)千兆鏈路上聯(lián)到各匯聚層設(shè)備，對(duì)下聯(lián)的桌面設(shè)備提供全雙工的百兆連接，為各類用戶提供無(wú)阻塞的交換性能。支持生成樹協(xié)議802.1D、802.1w、802.1s，完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率。綜上所述，接入層交換機(jī)采用CISCOSR2024。CISCOSR2024以太網(wǎng)交換機(jī)提供24個(gè)無(wú)阻塞10/100/1000Mbps千兆交換機(jī)端口，可為網(wǎng)絡(luò)客戶端提供10，100，1000兆字節(jié)速率的數(shù)據(jù)交換。用這個(gè)交換機(jī)替換工作組中現(xiàn)有的集線器或交換機(jī)可以將你的高數(shù)據(jù)傳輸需求的工作站升級(jí)到千兆字節(jié)速率的帶寬，也可以適應(yīng)其他客戶端的網(wǎng)速。或重新建立一個(gè)滿足不同層次用戶要求的網(wǎng)絡(luò)。任何一個(gè)方法都可以滿足你的圖形，多媒體，和其他一些應(yīng)用在網(wǎng)絡(luò)上快速傳輸.現(xiàn)有的10/100以太網(wǎng)絡(luò)可以通過(guò)24口10/100/1000千兆交換機(jī)連接到千兆主干網(wǎng)服務(wù)器上而不需要另外購(gòu)買任何設(shè)備。所有端口都是MDI/MDI-X自調(diào)整端口，所以不需要為了電纜類型而擔(dān)心。每個(gè)端口都能自動(dòng)識(shí)別全雙工和半雙工模式.支持地址學(xué)習(xí)功能，802.3x流控功能可使高速客戶端在低速數(shù)據(jù)傳輸時(shí)保持穩(wěn)定.快速存儲(chǔ)轉(zhuǎn)發(fā)有效的防止網(wǎng)絡(luò)產(chǎn)生或擴(kuò)散壞的數(shù)據(jù)包.交換機(jī)本身具有的MAC地址學(xué)習(xí)引擎支持多達(dá)8000個(gè)MAC地址，可以高效的進(jìn)行轉(zhuǎn)發(fā)。此外，它還支持地址學(xué)習(xí)和老化功能，以及802.3x流控及隊(duì)頭阻塞預(yù)防功能，可以防止高速客戶端受困于低速流量。。值得一提的是，CISCOSR2024本身沒有任何配置軟件，開箱即用，這一點(diǎn)可以為學(xué)校管理員節(jié)省時(shí)間，同時(shí)也方便維護(hù)。網(wǎng)路設(shè)備價(jià)格清單表3-1設(shè)備價(jià)格清單設(shè)備名稱型號(hào)單價(jià)數(shù)量合計(jì)（RMB）路由器Cisco7200607816078匯聚層交換機(jī)CiscoCatalyst494875000175000樓宇接入交換機(jī)CISCOWS-C2960G-24TC-L7500752500樓層接入交換機(jī)CISCOSR202427002875600安裝費(fèi)10001000第4章網(wǎng)絡(luò)布線系統(tǒng)設(shè)計(jì)4.1布線系統(tǒng)分析學(xué)校有教學(xué)樓2幢，圖書館1幢，行政樓1幢，體育館1幢，學(xué)生宿舍樓2幢。網(wǎng)絡(luò)中心建在圖書館1樓，樓間主干采用LucentSYSTIMAXOptiSPEED光纖網(wǎng)絡(luò)解決方案，以圖書館為中心鋪設(shè)光纖到教學(xué)樓，綜合樓，體育館，宿舍樓，采用室外6芯多模光纖；樓內(nèi)布線采用LucentSYSTIMAXPowerSum超五類布線產(chǎn)品，以配線間為中心鋪設(shè)四對(duì)UTP電纜到各工作位。信息點(diǎn)的分布：初中部教學(xué)樓總共有100個(gè)信息點(diǎn)，高中部教學(xué)樓總共有100個(gè)信息點(diǎn)，行政樓總共有45個(gè)信息點(diǎn)，圖書館總共有100個(gè)信息點(diǎn)，體育館總共有20個(gè)信息點(diǎn)，宿舍區(qū)總共有200個(gè)信息點(diǎn)。4.2布線系統(tǒng)方案描述4.2.1校園主干網(wǎng)系統(tǒng)校園主干網(wǎng)是指連接校園各建筑物的主干通信線路，一般選用光纖作為傳輸材料。光纖具有通信容量大、通信距離長(zhǎng)、抗干擾、抗雷電等良好的性能，可采用架空或埋地等鋪設(shè)方式。此外也可以采用超五類雙絞線作為干線，但必須做好防雷措施。如：用鐵管保護(hù)埋地等。雙絞線的可靠通信距離為100米。校園主干網(wǎng)將采用LucentSYSTIMAXOptiSPEED室外光纖，校園主干網(wǎng)系統(tǒng)結(jié)構(gòu)圖如下所示：口口口U□口--■■』口I：口口口OHnoULCIZUULLIL口.tin

wi體口口口口口呂呂口D口呂口呂呂口呂呂口fl口口口U□口--■■』口I：口口口OHnoULCIZUULLIL口.tin

wi體口口口口口呂呂口D口呂口呂呂口呂呂口fl團(tuán)書館倆絡(luò)中心｝口m口EJU呂口口LJ口口口巳呂口口呂呂iInnninDDDilDDDilDDDIIDODO1CEZI0UEHUenou口口r=ii=ii=ir—ii=iE□口UD口初中樓校園±T網(wǎng)系總溜構(gòu)圖圖4-1主干網(wǎng)系統(tǒng)結(jié)構(gòu)圖

1、 金華市志成中學(xué)校園網(wǎng)的網(wǎng)絡(luò)中心設(shè)在圖書館一樓。以網(wǎng)絡(luò)中心為中心以星型的布線方法向各主要建筑物布放光纖，形成一個(gè)星型的光纖網(wǎng)絡(luò)，組成校園網(wǎng)的主干網(wǎng)系統(tǒng)。2、 在金華市志成中學(xué)校園主干網(wǎng)系統(tǒng)中，除以網(wǎng)絡(luò)中心為中心的光纖主干網(wǎng)之外，在初中樓與高中樓之間再多布放一條光纖，同樣是室外六芯多模光纖。這樣多布放一條光纖后，就組成了在行政樓、初中樓、高中樓之間的環(huán)型光纖網(wǎng)。在投資不大的情況下，這樣做有一定的好處：如果初中樓至圖書館或高中樓至圖書館其中一條鏈路發(fā)生故障，則可以通過(guò)初中樓至高中樓這條鏈路保證正常的通信連接。4.2.2大樓結(jié)構(gòu)化布線系統(tǒng)完成大樓內(nèi)各樓層和各課室、辦公室的物理線路連接和管理，并與校園干線系統(tǒng)互聯(lián)。通信線路一般采用雙絞線，特殊的大樓可能用光纖作為樓內(nèi)的主干通信線路。圖4-2大樓結(jié)構(gòu)化布線系統(tǒng)圖圖4-2大樓結(jié)構(gòu)化布線系統(tǒng)圖1、工作區(qū)子系統(tǒng)工作位連接標(biāo)準(zhǔn)RJ45信息插座模塊，采用標(biāo)準(zhǔn)86mm*86mm雙口面板，面板上有各工作位端口標(biāo)示，工作位插座口在墻面的位置要方便使用，若是辦公室則一般設(shè)在靠近辦公桌的墻面上，離地一般約30cm-lm左右。若是普通教室則一般設(shè)在靠近講臺(tái)的墻面上，因教室學(xué)生人員流動(dòng)較大，工作位插座口要設(shè)在離地面較高的位置且要暗埋，便于保護(hù)插座口不受損壞。若是多媒體教室，工作位插座口要設(shè)在多媒體教學(xué)講臺(tái)內(nèi)，方便使用又不影響美觀。2、水平子系統(tǒng)即大樓各層的水平布線區(qū)域,以本樓配線間為中心,采用標(biāo)準(zhǔn)星型結(jié)構(gòu)用線纜連接至各工作區(qū)。從各配線間引出超五類四對(duì)UTP電纜至各工作位，可滿足快速以太網(wǎng)、622MATM網(wǎng)等的應(yīng)用，用于數(shù)據(jù)、圖像、多媒體等信號(hào)的高速傳輸。工作位的信息出口采用兼容EIA、RJ45的5類8針插座模塊連接。在配線架端，可采用RJ45式端接模塊，方便滿足多系統(tǒng)并行使用。3、管理子系統(tǒng)電磁輻射是考慮管理區(qū)子系統(tǒng)安裝環(huán)境的主要因素。電磁輻射的影響主要來(lái)自兩個(gè)方面，一是環(huán)境對(duì)系統(tǒng)傳輸?shù)挠绊?，一是系統(tǒng)在信息傳輸過(guò)程中對(duì)環(huán)境設(shè)備的影響。在建筑物內(nèi)，環(huán)境對(duì)系統(tǒng)傳輸?shù)挠绊懼饕獊?lái)自強(qiáng)電磁輻射源，如電臺(tái)，建筑物內(nèi)的電梯，馬達(dá)，UPS電源等。如果環(huán)境中這些干擾源的影響較大，應(yīng)考慮采取屏蔽措施，或選擇距離較遠(yuǎn)的位置。布線系統(tǒng)的端接工藝是直接影響系統(tǒng)性能的重要因素。連接配件的安裝工藝主要影響布線系統(tǒng)的近端串?dāng)_和衰減，而這兩個(gè)參數(shù)是判斷系統(tǒng)性能的重要依據(jù)。在管理區(qū)子系統(tǒng)還要考慮環(huán)境的通風(fēng)，照明，酸堿度，濕度等條件，這些因素將對(duì)端接配件造成腐蝕和老化，日久之后會(huì)影響系統(tǒng)的性能。管理區(qū)子系統(tǒng)內(nèi)的安全性也要加以考慮，端接配件最好安裝在布線機(jī)柜或墻柜內(nèi)。4、垂直子系統(tǒng)電纜通道安置需看安裝所在環(huán)境的情況而定，為了能限制可能的電磁干擾，電纜通道、豎井和配線間都應(yīng)當(dāng)設(shè)在距離電梯和發(fā)電機(jī)盡可能遠(yuǎn)的地方。電纜通道也應(yīng)與多網(wǎng)格狀的接地系統(tǒng)相連接。強(qiáng)電和保護(hù)電纜可能會(huì)給話音/數(shù)據(jù)/圖象信號(hào)弱電電纜帶來(lái)干擾。因此必須采取一些必要措施，以便這些不同類型導(dǎo)體的通道能運(yùn)行正常：不同的電纜金屬通道之間相隔至少0.3米。強(qiáng)電/弱電電纜處于同一電纜通道里，強(qiáng)電與弱電電纜分開，并用金屬板隔離，而且導(dǎo)線之間的距離相隔0.3米。平行電纜管道必須遵守以上規(guī)定。當(dāng)遇到電纜交叉而過(guò)時(shí)，交叉必須成直角，以減弱回路影響。第5章網(wǎng)絡(luò)安全與管理網(wǎng)絡(luò)安全問(wèn)題校園網(wǎng)的安全威脅主要來(lái)源于兩大塊，一塊是來(lái)自于網(wǎng)內(nèi)，一塊來(lái)自于網(wǎng)外。來(lái)源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有60％左右是來(lái)自于網(wǎng)絡(luò)外部，如何防范來(lái)自于外部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：1、“黑客”的攻擊；2、 拒絕服務(wù)攻擊(DenialofServiceAttack)。安全威脅的類型：1、非授權(quán)訪問(wèn)。指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享。2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。3、 破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。4、干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時(shí)間等手段。這會(huì)使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。5、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計(jì)缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如Windows的安全漏洞便有很多。網(wǎng)絡(luò)安全策略配置安全接入和配置安全接入和配置是指在物理(控制臺(tái))或邏輯(telnet)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過(guò)認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠(yuǎn)程訪問(wèn)的安全設(shè)置方法如下表5-1:

表5-1安全接入和配置方法訪問(wèn)方式保證網(wǎng)絡(luò)設(shè)備安全的方法備注Console控制接口的訪問(wèn)設(shè)置密碼和超時(shí)限制建議超時(shí)限制設(shè)成5分鐘進(jìn)入特權(quán)exec和設(shè)備配置級(jí)別的命令行配置Radius來(lái)記錄logon/logout時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用telnet訪問(wèn)采用ACL限制，指定從特定的IP地址來(lái)進(jìn)行telnet訪問(wèn)；配置Radius安全紀(jì)錄方案；設(shè)置超時(shí)限制SSH訪問(wèn)激活SSH訪問(wèn)，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸WEB管理訪問(wèn)取消Web管理功能SNMP訪問(wèn)常規(guī)的SNMP訪問(wèn)是用ACL限制從特定的IP地址來(lái)進(jìn)行SNMP訪問(wèn)；記錄非授權(quán)的SNMP訪問(wèn)并禁止非授權(quán)的SNMP企圖和攻擊為增加安全，建議更改缺省的SNMPCommutiy子串設(shè)置不同賬號(hào)通過(guò)設(shè)置不同的賬號(hào)的訪問(wèn)權(quán)限，提高安全性拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn)TCPSYN泛濫攻擊、Smurf攻擊等；網(wǎng)絡(luò)設(shè)備的防TCPSYN的方法主要是配置網(wǎng)絡(luò)設(shè)備TCPSYN臨界值，若多于這個(gè)臨界值，則丟棄多余的TCPSYN數(shù)據(jù)包；防Smurf攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā)ICMPecho請(qǐng)求（directedbroadcast）和設(shè)置ICMP包臨界值，避免成為一個(gè)Smu