校園網(wǎng)規(guī)劃與設計 畢業(yè)論文

1、<p>　　韓 山 師 范 學 院</p><p>　　學 生 畢 業(yè) 論 文</p><p><b>　?。?2011 屆）</b></p><p>　　韓山師范學院教務處制</p><p><b>　　誠 信 聲 明</b></p><p>　　我聲明，所呈交的

2、畢業(yè)論文是本人在老師指導下進行的研究工作及取得的研究成果。據(jù)我查證，除了文中特別加以標注和致謝的地方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，我承諾，論文中的所有內容均真實、可信。</p><p>　　畢業(yè)論文作者簽名： 簽名日期： 年 月 日</p><p>　　摘要：隨著IT的迅猛發(fā)展，校園局域網(wǎng)已經(jīng)成為現(xiàn)代教育下的必要基礎設施，成為學校提高教學

3、水平、科研和管理水平的重要途徑。</p><p>　　本設計根據(jù)當前校園網(wǎng)的發(fā)展狀況及趨勢，結合學院的實際情況，為滿足不同需求而設計的校園局域網(wǎng)。具體包括校園主干網(wǎng)的改造，圖書館局域網(wǎng)的架設與互連，校園網(wǎng)的接入和中國電信寬帶網(wǎng)的接入等。</p><p>　　本設計主要從實際需求出發(fā)，針對現(xiàn)有的網(wǎng)絡狀況，作出合理有效的分析，介紹了此次設計的背景、最新的網(wǎng)絡技術、校園網(wǎng)的需求分析和規(guī)劃過程。其

4、主要包括各種局域網(wǎng)的技術思想、網(wǎng)絡設計方案、網(wǎng)絡拓撲結構、布線系統(tǒng)、Intranet/Internet的應用、網(wǎng)絡安全等內容。</p><p>　　關鍵詞：校園網(wǎng)；規(guī)劃；設計；網(wǎng)絡</p><p>　　Abstract：Along with the IT fast fierce development, area net in the campus bureau has already u

5、nder modern education become of necessary infrastructure, become college exaltation teaching level,research and manage the important path of the level.</p><p>　　This design according to the development condi

6、tion and trend of the current campus net, combine the actual circumstance of Colleges, for satisfy the different need but design of campus bureau area net.Concretely include campus main stem net of reformation, the mount

7、ing of area net in the library bureau with connect with each other,the campus net of area net in the apartment bureau connect to go in to take a net to connect into with Chinese Telecom breadth etc..</p><p>

8、　　This design mainly sets out from the actual need, aiming at existing network condition, making reasonable valid analysis, introducing the need analysis and the programming process of this time background,the latest net

9、work technique of design,the campus net.The point explained this time thought of design, the key technique and solutions. The main local area network, including a variety of technical ideas, network design, network topol

10、ogy, cabling system, Intranet / Internet applications, network</p><p>　　Keywords: Campus Network; the planning; design; networking</p><p><b>　　目錄</b></p><p>　　1 校園網(wǎng)應用需求分

11、析1</p><p>　　1.1規(guī)劃背景問題描述1</p><p>　　1.2校園網(wǎng)主要解決的問題1</p><p>　　1.3預期建設目標及分析1</p><p><b>　　1.4需求分析2</b></p><p>　　2 校園網(wǎng)絡系統(tǒng)設計5</p><p>

12、;　　2.1 設計思想及原則5</p><p>　　2.2 校園網(wǎng)采用的通信協(xié)議標準和操作系統(tǒng)5</p><p>　　2.3 校園網(wǎng)系統(tǒng)設計方案總體要求6</p><p>　　2.4 網(wǎng)絡系統(tǒng)設計的技術分析與要求6</p><p>　　2.5 網(wǎng)絡系統(tǒng)的規(guī)劃7</p><p>　　2.6 校園網(wǎng)拓撲結構設計

13、9</p><p>　　2.7傳輸及布線設計10</p><p>　　2.8 網(wǎng)絡地址規(guī)劃及方案實施12</p><p>　　2.9 VLAN技術應用14</p><p>　　2.10 網(wǎng)絡管理系統(tǒng)設計15</p><p>　　3 網(wǎng)絡架構中的設備選型18</p><p>　　3.1網(wǎng)

14、絡傳輸介質的選擇18</p><p>　　3.2網(wǎng)卡的選型及設置18</p><p>　　3.3核心層設備選型19</p><p>　　3.4匯聚層及接入層設備的選取20</p><p>　　3.5 主機服務器的選取22</p><p>　　3.6邊界型路由器的選取23</p><p&g

15、t;　　3.7 機柜的選取24</p><p>　　3.8 PIX防火墻的選取24</p><p>　　3.9 無線接入設備的選取25</p><p>　　4 網(wǎng)絡系統(tǒng)接入設計與安全設計26</p><p>　　4.1 網(wǎng)絡系統(tǒng)接入26</p><p>　　4.2 網(wǎng)絡安全問題綜述26</p>

16、<p>　　4.3 網(wǎng)絡安全的威脅分析26</p><p>　　4.4 網(wǎng)絡安全的目的和策略28</p><p>　　4.5 網(wǎng)絡的安全防范措施28</p><p><b>　　5 實施計劃31</b></p><p>　　5.1 第一期工程31</p><p>　　5.2

17、第二期工程31</p><p>　　5.3 工程的具體實施步驟31</p><p><b>　　6 設計總結32</b></p><p><b>　　參考文獻33</b></p><p><b>　　致謝34</b></p><p><b

18、>　　校園網(wǎng)規(guī)劃與設計</b></p><p>　　1 校園網(wǎng)應用需求分析</p><p>　　1.1規(guī)劃背景問題描述</p><p>　　某大學有師生一萬多人，主要的建筑物位于以圖書館為中心的從60 米到500 米的狹長地理范圍內。擬建覆蓋全校（或分校、學院）的校園網(wǎng)，包括局域網(wǎng)和接入網(wǎng)，能支持辦公自動化、信息管理、科研與教學工作，能接入CE

19、RNET（中國教育和科研計算機網(wǎng)），與INTERNET 相聯(lián)。</p><p>　　1.2校園網(wǎng)主要解決的問題</p><p>　　鑒于學院目前狀況，校園網(wǎng)建設過程中，主要需要解決的問題如下：</p><p>　　建立校園網(wǎng)的主干網(wǎng)絡，實現(xiàn)千兆主干，百兆到桌面,通過以上實現(xiàn)整個校園全網(wǎng)覆蓋；</p><p>　　在校園內部實現(xiàn)資源高度共享，為

20、教學、科研、管理提供校園網(wǎng)應用服務，為計劃、組織、管理與決策提供基礎信息和科學手段，提高教育技術的現(xiàn)代水平和教育信息化程度；</p><p>　　實現(xiàn)辦公自動化，提供與上級教育部門、社會之間通訊的出入口，提供電子函件、公告牌和教育教學信息查詢等服務，提高工作效率和管理水平；</p><p>　　完善和強化用戶訪問校內校外資源的權限和策略管理，并進行流量、帶寬和日志管理，提高校園網(wǎng)的可管理性

21、；</p><p>　　強化校園網(wǎng)的安全策略，有效地提高校園網(wǎng)的安全性；</p><p><b>　　實現(xiàn)無線上網(wǎng)功能。</b></p><p>　　1.3預期建設目標及分析</p><p>　　建設一個以校園辦公自動化、計算機輔助教學和現(xiàn)代化計算機校園文化為核心，覆蓋校園各樓宇的校園主干網(wǎng)絡，將現(xiàn)有的各計算機系統(tǒng)聯(lián)系起

22、來，并與Internet廣域網(wǎng)相連，形成結構合理、內外溝通的新型校園計算機網(wǎng)絡教學系統(tǒng)。在此基礎上建設能滿足教學、科研和管理工作需要的軟硬件環(huán)境，開發(fā)建設各類教學資源庫與應用系統(tǒng)，為師生提供充分的網(wǎng)絡信息服務。</p><p>　　一期工程完成WWW、BBS、E-mail、FTP等Internet服務；</p><p>　　二期工程實現(xiàn)全文檢索、VOD視屏點播、網(wǎng)絡音視頻下載等視聽服務。&

23、lt;/p><p>　　校園主干滿足應用發(fā)展的需要：考慮到學校校園網(wǎng)絡開展視頻點播、多媒體教學等需要，傳輸主干應采用1000M光纖；</p><p>　　網(wǎng)絡主機的處理能力強：隨著用戶數(shù)量大幅度的增加，網(wǎng)絡應用如VOD視頻點播、多媒體教學等許多高帶寬和需要高處理能力的主機系統(tǒng)。</p><p>　　學校的各種PC機、工作站、終端設備和局域網(wǎng)連接起來，并與有關廣域網(wǎng)相連，

24、能夠獲取Internet網(wǎng)上的教育資源；</p><p>　　容錯能力和安全性強，通過技術手段提高網(wǎng)絡設備的容錯能力；安裝硬件防火墻、IDS、服務器防病毒、工作站防病毒軟件，實現(xiàn)網(wǎng)絡安全；</p><p>　　實現(xiàn)網(wǎng)絡的易管理性，考慮到網(wǎng)絡設備和主機數(shù)量的不斷增加，方案規(guī)劃應該能夠實現(xiàn)校園網(wǎng)的可擴展性核對整個網(wǎng)絡的監(jiān)控能力。</p><p><b>　　1

25、.4需求分析</b></p><p>　　通過計算機網(wǎng)絡這種先進的技術手段，實施多媒體、交互式、內容豐富、形象生動的教學，分析在網(wǎng)絡上傳輸?shù)男畔⑹且纛l、視頻、數(shù)據(jù)相結合的信號，這樣對網(wǎng)絡的帶寬需求就較高，因此，必須對網(wǎng)絡帶寬和網(wǎng)絡的使用性能進行分析，以保證網(wǎng)絡滿足用戶應用的需求。</p><p>　　1.4.1用戶需求分析 </p><p>　?。?）學

26、院建設規(guī)模：占地73.3萬平方米。其中，校本部56.1萬平方米，建筑面積34.4萬平方米，其中教學行政用房面積15.26萬平方米；</p><p>　?。?）多媒體教室、語音教室、微格教室等各類教室263間，教學科研用計算機近3000臺；</p><p>　?。?）學院現(xiàn)有教職工905人，其中專任教師近666人，院校區(qū)普通全日制在校本、?？粕?5000人；</p><

27、p>　?。?）預測增長率：全員師生員工規(guī)劃人數(shù)：20000人 ；</p><p>　　連接校內所有教學樓、實驗室、宿舍樓中的PC，同時支持約20000用戶瀏覽Internet。提供豐富的網(wǎng)絡服務，實現(xiàn)廣泛的軟件，硬件資源共享，包括：提供基本的Internet網(wǎng)絡服務功能：如電子郵件、對外個人主頁服務、ftp服務、域名服務等，提供校內各個管理機構的辦公自動化。</p><p><

28、b>　　表1</b></p><p>　　校園網(wǎng)功能需求清單表</p><p>　　1.4.2網(wǎng)絡設計需求分析</p><p>　　學校的整個網(wǎng)絡系統(tǒng)以千兆主干、百兆到桌面為總體需求原則。本校園網(wǎng)直接使用1000M單模光纖互聯(lián)，分為100M以及1000M等量級，校園內主干采用1000M多層交換以太網(wǎng)，100Mbps交換到終端。</p>

29、<p>　　在總體設計方面，以系統(tǒng)綜合處理能力和性能為核心，要求網(wǎng)絡帶寬（包括主干層、接入層和用戶層的帶寬）足夠高，網(wǎng)絡能快速有效地傳送IP數(shù)據(jù)包。帶寬為100M節(jié)點的介質傳輸采用超五類線，音頻采用五類線，視頻采用同軸電纜。整個校園以計算機網(wǎng)絡中心為核心，通過光纖，通過多星級輻射至各個主樓，從而構成整個校園網(wǎng)主干，各信息點的網(wǎng)絡帶寬將視其應用的性質，進行合理地分配，也需要能夠通過光纖或DDN專線與CERNET連接，以開通全部

30、的Internet網(wǎng)絡應用服務。從內部校園網(wǎng)到外部Internet的訪問都要有安全審查和流量管理功能。</p><p><b>　　表2</b></p><p>　　設備需求按信息點覆蓋情況主要設備需求參數(shù)表</p><p>　　整個校園通訊網(wǎng)絡功能相對復雜，不同應用對服務器要求不同，為此，將各個不相關應用服務分開部署，以獲得較好的性能和管理、

31、維護的方便。而校園管理應用的數(shù)據(jù)對學校的整體教學與運營來說至關重要，對存儲系統(tǒng)的高可用性、可管理性以及數(shù)據(jù)安全都提出了較高的要求。</p><p>　　（1）校園網(wǎng)對主機系統(tǒng)的主要要求 </p><p>　?、?主機系統(tǒng)應采用國際上較新的主流技術，并具有良好的向后擴展能力。</p><p>　?、?主機系統(tǒng)應具有高的可靠性，能長時間連續(xù)工作，并有容錯措施。</

32、p><p>　　③ 支持通用大型數(shù)據(jù)庫，如：SQL、Oracle 等。</p><p>　　④ 具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議。</p><p>　　⑤ 能與 Internet 互聯(lián)，可提供互聯(lián)網(wǎng)的應用，如：WWW 瀏覽服務、FTP 文件傳輸服務、E-mail 電子郵件服務等服務。</p><p>　?、?支持SNMP 網(wǎng)絡

33、管理協(xié)議，具有良好的可管理性和可維護性。</p><p>　?。?）校園網(wǎng)對網(wǎng)絡設備的要求</p><p>　　安全、穩(wěn)定、可靠，作為整個校園網(wǎng)絡系統(tǒng)的硬件基礎，網(wǎng)絡設備必須是具備安全性、穩(wěn)定性和可靠性的特點。這是網(wǎng)絡系統(tǒng)穩(wěn)定運行的最基本條件。</p><p>　　① 高性能；所有網(wǎng)絡設備都應足夠的吞吐量；</p><p>　?、?高可靠性和

34、高可用性；應考慮多種容錯技術；</p><p>　　③ 可管理性；所有網(wǎng)絡設備均可用適當?shù)木W(wǎng)管軟件進行監(jiān)控、管理和設置；</p><p>　?、?采用國際統(tǒng)一的標準；</p><p>　?、?高性價比：盡最大可能提高設備的性價比。</p><p>　　1.4.3網(wǎng)絡管理需求分析</p><p>　　虛擬網(wǎng)的劃分：在內部

35、主干網(wǎng)上要求作到能夠劃分跨越物理子網(wǎng)的虛擬網(wǎng)，以便使各種網(wǎng)段（尤其是辦公網(wǎng)）的劃分不受地理區(qū)域的限制；基于端口的虛擬網(wǎng)的劃分，將不同的部門、樓宇劃分成不同的虛擬網(wǎng)（VLAN），如圖書館，辦公樓，實驗樓，學生公寓等，并有效地限制網(wǎng)間廣播，控制網(wǎng)間訪問；</p><p>　　虛擬網(wǎng)管理：對虛擬網(wǎng)的配置可以通過網(wǎng)絡中心“交換機管理服務器”進行集中的控制管理，以便隨時進行擴充、遷移等調整；設備及端口管理：對主干網(wǎng)上所有網(wǎng)

36、絡設備及連接局域網(wǎng)的所有端口可以進行集中的控制管理；</p><p>　　網(wǎng)絡檢測：對主干網(wǎng)的運行狀態(tài)和故障進行集中檢測、報警、統(tǒng)計。</p><p>　　1.4.4 網(wǎng)絡安全需求分析</p><p>　　劃分內部網(wǎng)和外部網(wǎng)：</p><p>　　所有向Internet提供的信息發(fā)布服務放在外部網(wǎng)上，如Web服務器、E－mail服務器，所有校

37、內應用放在內部網(wǎng)上，如VOD服務器、交換機管理服務器等，內部網(wǎng)與外部網(wǎng)之間設置防火墻以保證內部網(wǎng)的安全；內部網(wǎng)的各個子網(wǎng)之間的互訪可以控制，通過配置交換機端口訪問控制列表（Access-List）允許或阻斷某些網(wǎng)段和主機的訪問，杜絕非授權的訪問；</p><p>　　1.4.5廣域網(wǎng)連接需求分析</p><p>　　校園主干網(wǎng)廣域網(wǎng)的連接需求主要表現(xiàn)在：</p><p&

38、gt;　　能夠通過電信總代理服務器出口與國際互聯(lián)網(wǎng)連接，至少提供100Mbps的帶寬；滿足大量數(shù)據(jù)交換所需，能夠與Cernet連接，與國內各個重點中學，單位交流信息。</p><p>　　2 校園網(wǎng)絡系統(tǒng)設計</p><p>　　2.1 設計思想及原則</p><p>　　網(wǎng)絡設備具有國際標準性與開放性，實現(xiàn)網(wǎng)絡的易用性和實用性相結合，具有先進性、可擴充性和可升級性

39、，易管理，易維護等功能特點[1]。結合網(wǎng)絡環(huán)境建設、網(wǎng)絡暢通保障機制、網(wǎng)絡教學資源和網(wǎng)絡應用四個要素。采用先進成熟的技術和設計思想，運用先進的集成技術路線，以先進、實用、開放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實用性、開放性、先進性、安全可靠性、高效性、可擴展性、靈活性、系統(tǒng)性、綜合性、技術先進性、可管理性。</p><p>　　校園網(wǎng)的規(guī)劃和建設應遵照以下幾點原則：</p><p

40、>　　規(guī)劃應著眼長遠，綜合規(guī)劃；</p><p>　　建設應切合實際，立足當前；</p><p>　　組網(wǎng)應厲行節(jié)約，充分利用。</p><p>　　2.2 校園網(wǎng)采用的通信協(xié)議標準和操作系統(tǒng)</p><p>　　2.2.1 校園網(wǎng)采用的通信協(xié)議標準</p><p>　　校園網(wǎng)的通信協(xié)議有三種：TCP/IP、IP

41、X/SPX和NetBEUI,分別稱為傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議、互聯(lián)網(wǎng)信息交換包/順序信息交換包、網(wǎng)絡基本輸入/輸出情況，它們都是一些中級協(xié)議。其中TCP/IP常被用來聯(lián)系不同的局域網(wǎng)，IPX/SPX則是Novell網(wǎng)的兩個基本協(xié)議之一，用于網(wǎng)絡服務器和客戶機之間的數(shù)據(jù)傳輸。</p><p>　　本校園網(wǎng)以TCP/IP 為主要協(xié)議，因為TCP/IP協(xié)議簇是美國國防部門制定的一套計算機網(wǎng)絡協(xié)議，是目前眾多計算機網(wǎng)絡最

42、流行的協(xié)議，以它為基礎組建的Internet網(wǎng)是目前國際上規(guī)模最大的計算機網(wǎng)間網(wǎng)，它雖不是國際標準，但卻是一種事實上的工業(yè)標準協(xié)議，采用TCP/IP為網(wǎng)絡主要協(xié)議，可保證與ChinaNET和Internet保持一致，還可支持IPX，DECNET等其它協(xié)議。真正實現(xiàn)于國際互聯(lián)網(wǎng)的無縫連接。</p><p>　　從計算機網(wǎng)絡通訊的觀點來看，TCP/IP網(wǎng)絡實質上可稱為IP網(wǎng)絡，它是由許多IP網(wǎng)關（或稱為IP路由器）通

43、過若干直接連通的通信線路（點到點通信）形成一個計算機通信網(wǎng)絡。在IP網(wǎng)點上再接入主機，子網(wǎng)便構成一個互聯(lián)的計算機網(wǎng)絡，這些安裝了TCP/IP的各類計算機間需要通信時，它就不再要求設置協(xié)議轉換開關，而且主要的網(wǎng)絡服務都可建立在TCP/IP服務器上。</p><p>　　2.2.2 校園網(wǎng)采用的操作系統(tǒng)</p><p>　　Windows XP是基于Windows 2000代碼的產品，同時擁有

44、一個新的用戶圖形界面（叫做月神Luna），簡化了的Windows 2000的用戶安全特性，并整合了防火墻，以用來確保長期以來以著困擾微軟的安全問題，簡單實用。</p><p>　　Windows Server 2003 企業(yè)版 支持高性能服務器，并且可以群集服務器，以便處理更大的負荷。通過這些功能實現(xiàn)了可靠性，有助于確保系統(tǒng)即使在出現(xiàn)問題時仍可用。</p><p>　　2.3 校園網(wǎng)系統(tǒng)設

45、計方案總體要求</p><p>　?。?）校園網(wǎng)主干結構采用成熟的技術，并保證一定的技術先進性；</p><p>　?。?）組建專門的網(wǎng)絡中心，負責校園網(wǎng)運行和管理，合理分配帶寬，核心網(wǎng)絡設備應具備很強的交換能力，為將來網(wǎng)絡容量需求的成倍增長預留足夠的擴展空間；</p><p>　　（3）網(wǎng)絡應面向連接的，能夠實現(xiàn)虛擬網(wǎng)絡（VLAN）連接。各系級單位一般建成獨立的L

46、AN后，再接入校園網(wǎng)；暫不能建局域網(wǎng)的單位直接接入校園網(wǎng)；</p><p>　?。?）網(wǎng)管設備（軟、硬件）能實現(xiàn)對網(wǎng)絡設備的實時監(jiān)控；</p><p>　　（5）要有完善的安全機制，防止來自外部和內部的非法訪問；</p><p>　?。?）校園網(wǎng)應能夠為全校師生提供以下應用服務：</p><p>　?、? WWW、FTP、E－mail、VOD

47、服務；</p><p><b>　?、?電子圖書館；</b></p><p><b>　?、?網(wǎng)上多媒體教學</b></p><p>　?、?系統(tǒng)管理和維護；</p><p><b>　?、?校園一卡通工程</b></p><p>　　⑥?校內行政管理、

48、網(wǎng)絡辦公管理</p><p><b>　　⑦?撥號上網(wǎng)服務</b></p><p>　?、?校園無線上網(wǎng)服務</p><p>　?。?）校園網(wǎng)以不低于1000Mbps 的帶寬接入CERNET 網(wǎng)絡中心。考慮對用戶現(xiàn)有網(wǎng)絡的平滑過渡，使學?，F(xiàn)有陳舊設備盡量保持較好的利用價值。</p><p>　　2.4 網(wǎng)絡系統(tǒng)設計的技術

49、分析與要求</p><p>　　2.4.1 網(wǎng)絡系統(tǒng)設計的技術分析</p><p>　　在校園設計中，以太網(wǎng)技術支持10M、100M至1000M的各種通信速率，并有向更高帶寬（10G及以上）發(fā)展的趨勢。當今正在發(fā)展的IP交換技術也是基于以太網(wǎng)的，結合第三層交換機的路由功能，構造幾個乃至幾十、幾百個G帶寬的網(wǎng)絡。另外，由于主要業(yè)務系統(tǒng)是建立在IP平臺上的，以太網(wǎng)技術是IP網(wǎng)絡最好的通信技術之

50、一。采用IEEE802.1q標準，以太網(wǎng)可以實現(xiàn)VLAN，而VLAN在很大程度上是保證網(wǎng)絡高效和安全的重要手段。</p><p>　　2.4.2 網(wǎng)絡系統(tǒng)設計的技術要求</p><p>　　根據(jù)上述總體要求，在技術上必須提供相應的支持和保證。整個網(wǎng)絡在技術上定位為千兆以太網(wǎng)主干網(wǎng)絡，以1000M多模光纖和100/1000M雙絞線為主要傳輸介質，因而對網(wǎng)絡協(xié)議透明，但可以配置成以IP協(xié)議為主

51、的高速IP網(wǎng)絡。</p><p>　　網(wǎng)絡優(yōu)化至少包括如下幾個要素：</p><p>　?。?）網(wǎng)絡結構的優(yōu)化：網(wǎng)絡體系結構要體現(xiàn)在網(wǎng)絡層的層次化體系結構，可以減少對傳統(tǒng)傳輸體系的依賴。</p><p>　　（2）包轉發(fā)的優(yōu)化：適合大型、高速寬帶網(wǎng)絡的特征，提供高速包轉發(fā)機制。</p><p>　?。?）帶寬優(yōu)化：在合理的QoS控制下，最大限

52、度的利用帶寬。</p><p>　　（4）穩(wěn)定性優(yōu)化：最大限度的利用故障恢復方面快速切換的能力，快速恢復網(wǎng)絡連接，提供符合高速寬帶網(wǎng)絡要求的可靠性和穩(wěn)定性。</p><p>　　（5）可擴展性：要求網(wǎng)絡能適應網(wǎng)絡技術的不斷發(fā)展，使網(wǎng)絡系統(tǒng)能夠順利、平滑地向更新的網(wǎng)絡技術過渡。</p><p>　　（6）通信協(xié)議的支持：可以支持TCP/IP、IPX、DECNET等協(xié)議

53、。以TCP/IP為主要通信協(xié)議。支持RIP，OSPF，BGP4，IGMP等多種國際標準的路由協(xié)議。</p><p>　　2.5 網(wǎng)絡系統(tǒng)的規(guī)劃</p><p>　　2.5.1可靠性設計</p><p>　?。?）鏈路聚合：核心層設備之間采用1000兆光纖連接，采用鏈路聚合技術，允許每條冗余連接鏈路實現(xiàn)浮在分擔，設置熱備份路由協(xié)議（HSRP）來保證核心交換機冗余，在網(wǎng)

54、絡出現(xiàn)問題時，能迅速啟動備用路徑；</p><p>　　（2）負載均衡：采用Cisco VLAN Priority技術實現(xiàn)多鏈路之間的負載均衡，針對不同出口鏈路，將局域網(wǎng)內多個VLAN分別設置不同優(yōu)先級實現(xiàn)出口流量的負載均衡；</p><p>　?。?）電源冗余：使用帶有冗余電源的核心層和分布層的設備，在電源失靈的情況下，提供電源的冗余；</p><p>　?。?）

55、服務器冗余：采用全冗余的服務器方式和服務器的硬盤進行鏡像相結合，數(shù)據(jù)在兩個或多個服務器上進行復制和自己硬盤進行復制相結合。</p><p>　　2.5.2 安全性設計</p><p><b>　　(1)密碼的安全</b></p><p>　　用密碼保護系統(tǒng)和數(shù)據(jù)的安全是最經(jīng)常采用也是最初采用的方法之一。目前大多數(shù)安全問題，是由于密碼管理不嚴，使

56、 “入侵者”得以趁虛而入。因此密碼口令的有效管理是非?；径匾?。在密碼的設置安全上，首先絕對杜絕不設口令的帳號存在，尤其是超級用戶帳號。其次，對于系統(tǒng)的一些權限，如果設置不當，對用戶不進行密碼驗證，也可能為“入侵者”留下后門。另外，在密碼口令的設置上要避免使用弱密碼。</p><p><b>　　(2)系統(tǒng)的安全</b></p><p>　　最近流行于網(wǎng)絡上的病毒

57、都利用系統(tǒng)的漏洞進行傳播，系統(tǒng)漏洞的存在就成網(wǎng)絡安全的首要問題。應該密切關注其程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。</p><p>　　在校園網(wǎng)中服務器，為用戶提供著各種的服務，但是服務提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險。因些從安全角度考慮，應將不必要的服務關閉。 </p><p>　　(3)目錄共享的安全</p

58、><p>　　在校園網(wǎng)絡中，利用在對等網(wǎng)中對計算機中的某個目錄設置共享進行資料的傳輸與共享是采用的方法。當一個目錄共享后，就不光是校園網(wǎng)內的用戶可以訪問到，而是連在網(wǎng)絡上的各臺計算機都能對它進行訪問。這也成了數(shù)據(jù)資料安全的一個隱患因而，為了防止資料的外泄，在設置共享時一定要設定訪問密碼。</p><p><b>　　(4)木馬的防范</b></p><

59、p>　　木馬的清除一般可以通過各種殺毒軟件來進行查殺。但對于新出現(xiàn)的木馬，我們的防治可以通過端口的掃描來進行，端口是計算機和外部網(wǎng)絡相連的邏輯接口，我們平時多注意一下服務器中開放的端口，如果有一些新端口的出現(xiàn)，就必須查看一下正在運行的程序，以及注冊表中自動加載運行的程序，來監(jiān)測是否有木馬存在。</p><p>　　在網(wǎng)絡安全中，主要考慮內網(wǎng)與外網(wǎng)和鏈接，作為全網(wǎng)安全核心的防火墻應該具有防火墻功能而且還具有I

60、P（Ipsec）虛擬專用網(wǎng)（VPN）能力，可以在兩個PIX、一個PIX和任意Cisco VPN路由器、一個PIX和Cisco安全VPN客戶機之間創(chuàng)建和端接VPN隧道。服務器對外部訪問者指提供有限的訪問，它有外部訪問的重要的數(shù)據(jù)，不過這些數(shù)據(jù)在堅固的保護之下，外部訪問者只能訪問這些服務，提供的服務包括：匿名FTP服務，WEB服務，DNS,TELNET,終端訪問控制器訪問控制系統(tǒng)。</p><p>　　2.5.3 動

61、態(tài)路由協(xié)議</p><p>　　本方案設計采用OSPF的等值路由平衡技術來保障匯聚層和核心層設備之間數(shù)據(jù)的可靠傳送，為兩層之間數(shù)據(jù)流量提供合理、安全的負載均衡機制，以提高網(wǎng)絡性能[2]。</p><p>　　2.5.4 虛擬子網(wǎng)的劃分</p><p>　　根據(jù)校園地理環(huán)境、管理要求保證校園網(wǎng)絡的安全性，VLAN之間的訪問必須通過三層功能來實現(xiàn)。</p>

62、<p>　　目前VLAN劃分主要方式有基于端口的VLAN劃分、基于MAC地址的VLAN劃分、基于網(wǎng)絡層的VLAN劃分等方式以及這三種方式的混合使用。通過在接入層交換機為用戶配置不同的VLAN,進行端口隔離，所有的用戶端口只能通過接入層交換機或核心交換機來實現(xiàn)互連。在核心層交換機通過訪問控制列表進行相應的控制，使得用戶的訪問得到完全的控制。</p><p>　　2.5.5網(wǎng)絡的冗余設計</p>

63、;<p>　　（1）網(wǎng)絡設備的冗余設計：采用冗余配置的單機或多臺設備互為熱備。</p><p>　　（2）網(wǎng)絡鏈路的冗余設計</p><p>　　鏈路的冗余設計往往是最易實現(xiàn)和被用戶接受的冗余方式。鏈路的冗余實現(xiàn)可以通過多種方式，目前比較流行的是鏈路聚合技術（802.3ad）和生成樹技術（802.1D）。鏈路聚合技術針對點對點的應用，常用在核心多機熱備和二級交換機與核心的單機

64、連接。生成樹技術常用于二級交換機與核心交換機連接的鏈路上。鏈路聚合技術提供了寬展帶寬、鏈路熱備、均衡負載和快速切換（一般小于4秒）的特征。生成樹技術是一個純備份的技術，在應用的時候有一條或多條鏈路處在阻塞（blocking）狀態(tài)，只有在主鏈路斷掉之后，備份鏈路才會啟動。這個過程大概需要45秒鐘（收斂時間）。鏈路聚合技術相對投資較大（端口、路線），但是可靠性好。生成樹協(xié)議早就成為工業(yè)標準，兼容性非常好，而且比較便宜，但是浪費鏈路帶寬。&l

65、t;/p><p>　　2.5.6服務器的冗余設計</p><p>　　服務器的冗余設計包括了很對方面：鏈路、硬件和軟件等。鏈路的冗余可采用雙網(wǎng)卡方式或在單片機多口網(wǎng)卡上使用鏈路聚合技術；硬件的冗余可以采用雙服務器熱備的方法；軟件的冗余可以采用雙服務器軟件鏡像的方法。冗余設計是網(wǎng)絡設計的重要部分，是保證網(wǎng)絡整體可靠性能的重要手段。但是投資也將增加。當然，3個層次的設計可以貫穿于整個網(wǎng)絡，每個冗余

66、設計都有針對性。</p><p>　　2.6 校園網(wǎng)拓撲結構設計</p><p>　　局域網(wǎng)經(jīng)常采用總線型、環(huán)型、星型和樹型拓撲結構，因此可以把局域網(wǎng)分為總線型局域網(wǎng)、環(huán)型局域網(wǎng)、星型局域和樹局域網(wǎng)等類型[3]。</p><p>　　2.6.1主干網(wǎng)設計</p><p>　　2.6.2 圖書館網(wǎng)絡設計</p><p>

67、　　2.6.3 宿舍局域網(wǎng)設計</p><p>　　2.6.4 教學樓區(qū)網(wǎng)絡設計</p><p>　　2.7傳輸及布線設計</p><p>　　本方案的傳輸介質采用雙光纖光纖鏈路（提供鏈路冗余）；核心層交換機通過兩條1000Mbps光纖鏈路采用鏈路聚合技術相連，提供網(wǎng)絡負載均衡和彈性連接；匯聚層交換機與下行接入層交換機以及到用戶桌面都采用五類非屏蔽雙絞線，提供100

68、Mbps到桌面；所有服務器都采用兩塊1000Mbps以太網(wǎng)卡通過超五類非屏蔽雙絞線與核心層交換機相連（提供冗余鏈路），提高鏈路可靠性。</p><p>　　2.7.1 傳輸介質</p><p>　　核心交換機、服務器組和路由器都放置在網(wǎng)絡中心機房，核心交換機與所有服務器都通過超五類非屏蔽雙絞線相連，通過光纖與路由器相連，其下行到工作區(qū)匯聚層交換機的鏈路全部采用光纖作傳輸介質，并在工作區(qū)設置

69、設備間子系統(tǒng)。在工作區(qū)中都采用五類非屏蔽雙絞線提供100Mbps到用戶桌面。</p><p>　　2.7.2 布線設計</p><p>　　網(wǎng)絡布線應該采用結構化布線系統(tǒng)。它不僅可以將語言和數(shù)據(jù)通信設備、交換設備和其他信息管理系統(tǒng)彼此相連，同時還能夠連結樓宇自控、監(jiān)控系統(tǒng)。實際布線時用到的傳輸介質有同軸電纜、光纖和雙絞線。從傳輸?shù)乃俾省⒖煽啃?、成本等方面看，雙絞線適合在樓層內局域網(wǎng)適用。而

70、光纖具有傳輸距離長，帶寬高、支持的協(xié)議全面等優(yōu)點，適合作主干線路。</p><p>　　綜合布線要考慮施工的建筑物的結構、線槽鋪設、線纜牽引等，要反復進行實地勘查，根據(jù)實際情況與要求來規(guī)劃與施工。兩點間最短的距離室直線，但對于布線纜來說，它不一定就是最好、最佳的路由（管道）。在選擇最容易布線的路由時，要考慮便于施工，便于操作，即使花費更多的線纜也要這樣做。</p><p>　　2.7.3

71、明線與暗線</p><p>　　從是否能被看到分，有兩種布線方法，一種是明線，一種是暗線。明線就是從表面上能夠看到的線，比如通過線槽或直接才墻壁表面拉的線；暗線就是表面看不到的線，比如隱藏在天花板上、地板或墻壁里的線。一般來說，布暗線成本要高得多。在這次規(guī)劃與設計中，我們對舊建筑采用通過線槽布線；對新建的圖書館和四棟學生公寓采用暗線方式（在建筑設計中考慮綜合布線）。</p><p>　　2

72、.7.4 布線系統(tǒng)的安全性</p><p><b>　　(1)電器防護</b></p><p>　　綜合布線的標準規(guī)定：當布線區(qū)域內存在的電磁干擾場強大于3V/m時，應采取防護措施。電磁干擾一般來自于電磁場，這些干擾源會影響數(shù)據(jù)的傳輸。</p><p>　　為了減弱干擾的影響，最佳的解決辦法是將電纜遠離干擾源。</p><p

73、><b>　　表3</b></p><p>　　電纜防干擾鋪設參數(shù)表</p><p>　　在校園網(wǎng)綜合布線設計中,采用了屏蔽雙絞線穿金屬線槽、鋼管保護，可以有效的抑制電磁干擾對數(shù)據(jù)傳輸?shù)挠绊憽?lt;/p><p><b>　　(2)接地</b></p><p>　　大樓自裝備了金屬部件時起，就應當

74、加以保護防止所有的干擾，為防止干擾可能對系統(tǒng)產生破壞，建議大樓內用網(wǎng)絡型結構做成等電位金屬接地體，目的是減少布線和金屬導體之間產生的回路面積，并保證所有設備共同的參考等電位。針對布線系統(tǒng)，還將采取以下保護手段：</p><p>　?、?布線系統(tǒng)涉及的金屬部件可靠接地：由于采用了非屏蔽布線系統(tǒng)，涉及到的金屬部件為金屬線槽、鋼管以及配線間的金屬機柜。金屬線槽、鋼管應保持連續(xù)的電氣連接，并在兩端有良好的接地；配線柜內的

75、有洪都拉斯設備外殼應與布線機柜絕緣，并用單獨的導線引至接地匯流排。接地方式已采用聯(lián)合接地方式。</p><p>　?、?在進入各大樓的導線上進行過壓保護：由大樓外部接入的銅纜應加裝過壓保護裝置，鎧裝光纜外殼應有良好的境地。由于該校園網(wǎng)綜合布線系統(tǒng)不涉及建筑群系統(tǒng)，故銅纜的過壓保護裝置應由電信方提供。</p><p>　　2.8 網(wǎng)絡地址規(guī)劃及方案實施</p><p>

76、;　　2.8.1網(wǎng)絡地址規(guī)劃</p><p>　?。?） 校園網(wǎng)IP地址分配總則</p><p>　　IP地址規(guī)劃根據(jù)所分配的公網(wǎng)IP地址和內部私網(wǎng)IP地址分配，地址可分為三大塊，一塊是Cernet分配多個C類公網(wǎng)IP地址，作為和國際互聯(lián)網(wǎng)互連的地址，域名xxx.edu.cn就解析在這片地址上，主要供網(wǎng)絡中心和圖書館電腦部專用；校園網(wǎng)的普通用戶,使用內部地址192.168.xxx.xxx，

77、，不能和國際互聯(lián)網(wǎng)直接發(fā)生聯(lián)系，不能避開代理系統(tǒng)；學校同時還可以申請一塊ChinaNet的公網(wǎng)IP地址，作為接入電信公網(wǎng)和部分關鍵的服務器出口備份,關鍵服務器擁有兩個公網(wǎng)IP，分別跨接在Cernet和ChinaNet上。</p><p>　?。?）校園網(wǎng)內部私網(wǎng)IP地址的分配</p><p>　　內部地址的分配原則是按建筑物進行的，視用戶的數(shù)量，1/4、1/2、整個C的劃分。對于相對固定不

78、變的教學區(qū)采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址與MAC地址綁定，對于流動性大、用戶人數(shù)多、用戶增長快的學生區(qū)采用動態(tài)分配IP地址，采用By Port（基于端口）的Vlan，小范圍地限制地址盜用問題。對上網(wǎng)用戶的管理，是基于用戶名、密碼的代理認證WEB認證過程進行，校園網(wǎng)內的網(wǎng)絡資源不需認證就可訪問，但訪問校外的資源就必須經(jīng)過認證, 用戶開機時，從DHCP服務器獲得校園IP地址，并可以直接訪問校園網(wǎng)和教育網(wǎng) </p

79、><p>　?。?）中心交換機支持 </p><p>　　中心交換機支持靜態(tài)或動態(tài)的IP地址分配，DHCP SERVER可安放在園區(qū)內部。</p><p>　　（4）固定IP地址用戶</p><p>　　對于固定IP地址用戶，需要針對標識符（MAC地址）設定保留IP地址。</p><p><b>　　（5）認證計

80、費</b></p><p>　　如果學校以后使用h3c公司的寬帶接入設備進行認證計費，可以使用設備內置的DHCP Server或者網(wǎng)絡集中DHCP Server實現(xiàn)地址的分配。VLAN方式下每個VLAN可以只需要一個IP地址，可以采用ARP Proxy方式，大大節(jié)約了地址空間。</p><p>　　2.8.2地址方案實施</p><p>　　學院分配的I

81、P是C類公網(wǎng)地址。在以下IP地址分配的過程中，方案的實施視具體情況而定。網(wǎng)絡系統(tǒng)IP地址的劃分原則如下：</p><p>　?。?）唯一性：IP地址必須唯一，一個IP地址對應一臺數(shù)據(jù)通信設備；</p><p>　?。?）連續(xù)性：為同一網(wǎng)絡區(qū)域分配連續(xù)的網(wǎng)絡地址，原則上一個VLAN一個C類網(wǎng)段，這樣便于規(guī)劃，同時提高路由器尋徑效率；</p><p>　?。?）可擴充性

82、：分配地址應預留一定量的備用地址塊，以便網(wǎng)絡節(jié)點增加后能保持地址的連續(xù)性；</p><p>　?。?）可管理性：地址的分配應該有層次性，某個局部的變動不影響網(wǎng)絡的其他部分；</p><p>　?。?）高效性：綜合網(wǎng)采用可變長子網(wǎng)掩碼技術，要求采用支持可變長子網(wǎng)掩碼技術的TCP/IP協(xié)議族；</p><p>　?。?）合法IP地址段由客戶從互聯(lián)網(wǎng)運營商申請；</

83、p><p>　?。?）內部網(wǎng)絡使用私有保留，考慮到將來網(wǎng)絡的規(guī)模不斷擴大，建議采用192.168.X.X的私有保留地址塊，可按VLAN子網(wǎng)來劃分，并遵循IP地址規(guī)劃原則，進行統(tǒng)一分配。</p><p>　　通過以上原則，IP地址初步規(guī)劃如下：</p><p>　　2.9 VLAN技術應用</p><p>　　信息技術的發(fā)展必須具有前瞻性，如何更好

84、地滿足校園網(wǎng)規(guī)劃的整體性、先進性、開放性和標準化的需求，使之結構合理，便于維護，高效實用，這里可以應用VLAN技術很好地解決這一問題。</p><p>　　2.9.1 劃分VLAN的意義</p><p>　　VLAN(virtual local area network)即虛擬局域網(wǎng)，是一種將局域網(wǎng)內的設備邏輯地址劃分為不同網(wǎng)段的技術，VLAN可以將網(wǎng)絡劃分為不同功能相對獨立的工作組，VL

85、AN封裝的國際標準為IEEE802．1Q。同一個VLAN中的成員都共享廣播，而不同VLAN之間廣播信息是相互隔離的。這樣，將整個網(wǎng)絡邏輯的而不是物理的劃分為多個廣播域。隔離了廣播風暴有助于控制網(wǎng)絡流量、簡化網(wǎng)絡管理、可以隔離各個不同VLAN之間的通訊來提高網(wǎng)絡的安全性，如果要實現(xiàn)不同VLAN間的通訊則需要有支持三層的交換機或路由器來完成。</p><p>　　2.9.2 VLAN技術的實現(xiàn)</p>

86、<p>　　通過對VLAN技術的深入理解，經(jīng)過分析，進行詳細的VLAN規(guī)劃。將校園網(wǎng)總共劃分成14個VLAN，每個VLAN中信息點的數(shù)量不是太多，而且至少都是100Mbps到桌面，防止了廣播風暴的產生。其中網(wǎng)絡中心的所有路由器、交換機和服務器組，以及各棟樓的分布層交換機都劃分到了VLAN 1，即網(wǎng)絡管理VLAN，便于網(wǎng)絡設備、服務器的配置和管理，也起到了一定的安全防護作用。其余的樓宇和部分樓層都被劃分到了不同的VLAN，如圖書

87、館的電子閱覽室、機房，辦公樓，學生公寓等，其中實驗樓，學生公寓和教室公寓由于計算機數(shù)量更多，必須劃分為更細更多的VLAN。</p><p>　　結合學校的應用情況，本方案采用基于端口的VLAN劃分方法，進行如下VLAN設計：</p><p><b>　　表4</b></p><p>　　校園網(wǎng)VLAN設計規(guī)劃表</p><p

88、>　　2.10 網(wǎng)絡管理系統(tǒng)設計</p><p>　　2.10.1 網(wǎng)絡管理的重要性</p><p>　　校園網(wǎng)一般要覆蓋學校宿舍區(qū)、教學區(qū)、網(wǎng)絡中心、辦公區(qū)等區(qū)域，這些區(qū)域面對不同用戶、不同應用需求，對網(wǎng)絡管理有不同的要求。同時，用戶使用網(wǎng)絡管理系統(tǒng)的目的是利用網(wǎng)絡管理系統(tǒng)維護網(wǎng)絡的正常運行，盡最大可能地提高網(wǎng)絡的可用性，減小網(wǎng)絡故障對于學校正常工作的影響，同時能夠利用網(wǎng)絡管理工具

89、最大限度地節(jié)省管理員的工作量，避免出現(xiàn)到處救火、疲于奔波的情況。網(wǎng)絡管理的重要性主要表現(xiàn)在以下幾個方面：</p><p>　?。?）網(wǎng)絡管理軟件：網(wǎng)絡管理軟件應是確保全網(wǎng)（包括網(wǎng)管中心、節(jié)點機）正常運行所需的管理、運行、維護等有關的全部軟件，并具有中文界面的軟件系統(tǒng)。</p><p>　　（2）軟件模塊化結構：網(wǎng)絡管理軟件為模塊化結構、安全可靠、具有容錯能力，任何軟件模塊的維護和更新都不影

90、響其它軟件模塊。</p><p>　　（3）故障監(jiān)視和診斷：軟件能及時發(fā)現(xiàn)故障并發(fā)出告警。</p><p>　　（4）兼容性及升級：軟件能相互兼容并能及時進行版本升級。</p><p>　　（5）網(wǎng)絡管理平臺：網(wǎng)絡管理平臺應當能夠對網(wǎng)絡的流量、性能等指標進行數(shù)據(jù)分析或圖形化顯示，得到網(wǎng)絡情況的分析報告。</p><p>　?。?）過濾分析：能

91、夠對底層報錯進行過濾分析，便于網(wǎng)絡管理人員發(fā)現(xiàn)真正問題所在。</p><p>　?。?）能夠根據(jù)報錯制定相應排錯策略，及時處理相關問題。能夠在通用的服務器（如Windows NT、HP-UX、Solaris等）平臺上運行。</p><p>　　2.10.2 網(wǎng)絡管理設計</p><p>　　2.10.2.1 校園網(wǎng)絡的功能域管理</p><p&g

92、t;　　校園網(wǎng)絡管理的主要目的是保證網(wǎng)絡安全和穩(wěn)定運行,如維持網(wǎng)絡傳輸速率、降低網(wǎng)絡傳輸誤碼、網(wǎng)絡流量異常監(jiān)控等。國際標準化組織ISO對網(wǎng)絡管理定義了五個功能域管理[4]。</p><p>　?。?）配置管理：配置管理是管理所有的網(wǎng)絡設備,隨時掌握網(wǎng)絡內的網(wǎng)絡設備的增減和變動,對所有的網(wǎng)絡設備進行參數(shù)配置,并對設備的數(shù)據(jù)參數(shù)要嚴格備份。當故障發(fā)生時,技術人員可以快速重設恢復,保障網(wǎng)絡的正常運行。</p>

93、;<p>　?。?）性能管理：性能管理主要用于評估網(wǎng)絡系統(tǒng)的運行性能,統(tǒng)計網(wǎng)絡資源的應用及各種通信協(xié)議的傳輸量等,通過對性能管理的評估,使我們了解對整個網(wǎng)絡的應用需求和存在的網(wǎng)絡制約瓶頸,為今后網(wǎng)絡升級或更新規(guī)劃的提供依據(jù)。</p><p>　?。?）故障管理：故障管理為保證網(wǎng)絡系統(tǒng)的高穩(wěn)定性在網(wǎng)絡出現(xiàn)問題時,必須及時判斷掌握故障所在并進行恢復。它包含所有節(jié)點運行狀態(tài)、故障記錄的追蹤與檢查及平常對各

94、種通信協(xié)議的測試。</p><p>　?。?）安全管理：為防范不被授權的用戶擅自使用網(wǎng)絡資源,非法登陸網(wǎng)絡核心設備對配置參數(shù)的刪改,以及用戶蓄意破壞網(wǎng)絡系統(tǒng),要做好嚴密、規(guī)范的安全措施,如合法設備存取訪問控制和防火墻的控制策略等。</p><p>　?。?）計費管理：測量網(wǎng)絡利用情況,這樣可以追蹤和調整網(wǎng)絡資源的個人或組使用。主要負責網(wǎng)絡使用規(guī)則和帳單等。</p><p

95、>　　2.10.2.2校園網(wǎng)絡的管理策略</p><p>　?。?）IP地址的規(guī)劃與管理（見上文分析）</p><p>　?。?）網(wǎng)絡交換機的信息管理</p><p>　　交換機是局域網(wǎng)中最重要的網(wǎng)絡連接設備,域網(wǎng)的管理中大多會涉及對交換機的管理,校絡的設計布局一般采用星型多級交換機結構。網(wǎng)絡管理員應對校園網(wǎng)絡布線結構網(wǎng)絡系構和參數(shù)配置要熟悉了解,對每個網(wǎng)管交

96、換機個端口要詳細對應配置,如端口對應的是哪一室、哪一間辦公室、哪一個用戶或是級聯(lián)到下交換機等,并嚴格做好系統(tǒng)參數(shù)備份,當交換交換機端口損壞需更換時,做好相對應的參數(shù)修改。</p><p>　　網(wǎng)管交換機可以通過以下幾種途徑進行管理[5]：</p><p>　　通過RS-232串行口(或并行口)管理,通過網(wǎng)絡瀏覽器管理,通過安全遠程登陸管理。網(wǎng)絡管理員可以隨時監(jiān)控交換機端口工作狀態(tài)和端口網(wǎng)絡

97、流量。下面以思科網(wǎng)管交換機通過安全遠程登陸管理監(jiān)控的常用方法。</p><p>　　①先用telnet XX.XX.XX.XX命令登陸到網(wǎng)管交換機。XX.XX.XX.XX為網(wǎng)管交換機的IP地址；</p><p>　?、谟胹how configuration命令查看交換機的參數(shù)配置,哪一個端口對應的是VLAN口、哪一個是trunk口或是哪一個用戶等,這也有助于我們了解網(wǎng)絡系統(tǒng)結構布局；<

98、;/p><p>　　③用show interface命令監(jiān)控交換機端口工作狀態(tài)。這一點很重要,因為當整個網(wǎng)絡系統(tǒng)出現(xiàn)故障或不順暢時,我們可依此知道哪一個端口工作(up),哪一個端口不工作(down)，工作端上發(fā)數(shù)據(jù)包是否正常。為我們快速修復處理提供了依據(jù)；</p><p>　?、苡胹hutdown命令關閉異常端口。對出現(xiàn)流量異常的端口暫時關閉,以免影響整個網(wǎng)絡的正常運行。</p>

99、<p><b>　　（3）防火墻的管理</b></p><p>　　當一個網(wǎng)絡接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的穩(wěn)定之外，更主要的是防止非法用戶的入侵。而目前防止的措施主要是靠防火墻的技術完成。防火墻(firewall)是指一個由軟件或硬件設備組合而成，處于網(wǎng)絡群體計算機與外界通道(Internet)之間，限制外界用戶對內部網(wǎng)絡訪問及管理內部用戶訪問外

100、界網(wǎng)絡的權限。在構建安全網(wǎng)絡環(huán)境的過程中，防火墻是一個系統(tǒng),主要用來執(zhí)行兩個網(wǎng)絡之間的訪問控制策略，通常應用防火墻的目的有以下幾方面：</p><p>　?、傧拗扑诉M入內部網(wǎng)絡；</p><p>　?、谶^濾掉不安全的服務和請求；</p><p>　?、鄯乐谷肭终呓咏W(wǎng)絡系統(tǒng)；</p><p>　　④限定用戶訪問特殊站點；</p>

101、<p>　　⑤為監(jiān)視局域網(wǎng)安全提供方便。</p><p>　　防火墻總體安全框架為:物理地址→IP地址→身份認證→應用層過濾,分別采用用戶入侵檢測,狀態(tài)包過濾技術,身份認證,信息過濾等安全策略,通過這樣的數(shù)據(jù)流程對內部網(wǎng)絡進行保護。</p><p>　　3 網(wǎng)絡架構中的設備選型</p><p>　　3.1網(wǎng)絡傳輸介質的選擇</p><

102、;p>　　在計算機之間連網(wǎng)時，首先遇到的是通信線路和通道傳輸問題。目前，計算機通信分為有線通信和無線通信兩種。有線通信是利用電纜或光纜或電話線來充當傳輸導體的，無線通信是利用衛(wèi)星、微波、紅外線來充當傳輸導體。對于有線通信線路，網(wǎng)絡通信線路的選擇必須考慮網(wǎng)絡的性能、價格、使用規(guī)則、安裝難易性、可擴展性及其他一些因素。目前，校園網(wǎng)通信線路上使用的傳輸介質主要采用雙絞線。</p><p>　　雙絞線（ Twist

103、ed pair，T P）是一種綜合布線工程中最常用的傳輸介質。雙絞線是由兩根具有絕緣保護層的銅導線組成。把兩根絕緣的銅導線按一定密度互相絞在一起，可降低信號干擾的程度，每一根導線在傳輸中輻射出來的電波會被另一根線上發(fā)出的電波抵消。雙絞線一般由兩根為2、2號或2 、4號或2 、6號絕緣銅導線相互纏繞而成。如果把一對或多對雙絞線放在一個絕緣套管中便成了雙絞線電纜。與其他傳輸介質相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受一定限制

104、，但價格較為低廉。</p><p>　　STP： UTP: </p><p>　　雙絞線電纜（是否屏蔽）分為屏蔽雙絞線電纜（STP）與非屏蔽雙絞線電纜（UTP）。在主交換機與二級交換機，主交換機與各服務器之間選擇AMP六類線，作為網(wǎng)絡電纜的老大，AMP雙絞線具有最好的用料和做工，品質相當優(yōu)秀，配合AMP水晶頭，為網(wǎng)絡信號輸入建立了良好的平臺

105、。二級交換機與三級交換機，三級交換機與用戶終端則采用AMP五類線。</p><p>　　光纖僅用于與Internet的外部連接線路，這里不過多討論。</p><p>　　3.2網(wǎng)卡的選型及設置</p><p>　　網(wǎng)卡是O S I模型中數(shù)據(jù)鏈路層的設備，其主要功能是讀入由其他網(wǎng)絡設備傳輸過來的數(shù)據(jù)包，經(jīng)過拆包，將其變成客戶機或服務器可以識別的數(shù)據(jù)，通過主板上的總線將

106、數(shù)據(jù)傳輸?shù)剿柙O備中（CPU、RAM或Hard Driver）；將PC設備（CPU、RAM或Hard Driver）發(fā)送的數(shù)據(jù)，打包后輸送至其他網(wǎng)絡設備中。</p><p>　　3.2.1網(wǎng)卡的選擇</p><p>　　這里主要敘述服務器所應配備的網(wǎng)卡，本設計推薦選用Intel Pro 1000M原裝網(wǎng)卡，該網(wǎng)卡性能強勁，穩(wěn)定，實際使用中該網(wǎng)卡的表現(xiàn)最為優(yōu)秀。</p><

107、;p>　　3.2.2網(wǎng)卡的遠程開機</p><p>　　網(wǎng)卡的遠程開機就是說在無盤工作站上可以借助于遠程文件服務器來開啟工作站。若要執(zhí)行“遠程開機”功能，就必須在工作站的網(wǎng)絡卡上加裝一塊“Boot ROM”芯片，由于該芯片上固化有開機引導程序，故它具有開機功能。另外，你也必須將網(wǎng)卡上的Boot ROM Jumper調整為“Enabled”。若網(wǎng)卡無Jumper,則請使用網(wǎng)卡驅動盤上所附的Setup程序，將B

108、oot ROM設為“Enabled”。</p><p>　　下圖為網(wǎng)卡基本參數(shù)設置圖：</p><p>　　3.3核心層設備選型</p><p>　　校園網(wǎng)的建設中，核心層的設備的運行的效率直接影響著網(wǎng)絡的正常運行。網(wǎng)絡中心設備，承擔著整個網(wǎng)絡性能好壞的關鍵，我建議選用比較高檔的中心設備，既能保證滿足服務的需要，不會出現(xiàn)廣播風暴或通信瓶頸問題；又能保證幾年之內設備不

109、會過時；選擇品牌時考慮比較多的是：生產廠商的可靠性和穩(wěn)定性、技術領先性和成熟性、設備的完整系列性、設備的可升級性、是否具備完善的售后服務體系來支持用戶的應用、是否為主流產品（這將決定用戶接收產品熟悉產品的成本和產品的通用性）、其安全性是否適合用戶的要求。</p><p>　　本方案中，主干交換機選擇采用H3C的H3C S5800-32C交換機作為核心層設備，符合主流設備選取原則，其有24個10/100/1000B

110、ase-T以太網(wǎng)端口，4個1/10G SFP+端口，同時具備第三層交換特性和萬兆可擴展鏈路，既保留了傳統(tǒng)的第二層交換在各端口間傳遞數(shù)據(jù)時的高線速，又集成了原來在第三層路由中才有的完善的控制功能如審計、廣播隔離等，并能夠向IPV6平滑過渡。為局域網(wǎng)、廣域網(wǎng)提供了靈活的、經(jīng)濟有效的連接方案，從而大大提高了校園網(wǎng)的性能。</p><p><b>　　表5</b></p><p&

111、gt;　　H3C 5800-32C交換機的主要性能參數(shù)表</p><p>　　3.4匯聚層及接入層設備的選取</p><p>　　交換技術允許共享型和專用型的局域網(wǎng)段進行帶寬調整。交換機能經(jīng)濟地將網(wǎng)絡分成小的沖突網(wǎng)域，為每個工作站提供更高的帶寬。</p><p>　　主交換機設備選用高端千兆三層中心交換機；網(wǎng)絡中心下連的其它子系統(tǒng)，配置的邊緣100M交換機邊緣交換機