1、某高校畢業(yè)設(shè)計（論文）課 題 某教學樓計算機網(wǎng)絡(luò) 系統(tǒng)集成設(shè)計方案 所屬教學單位 信息工程系 專 業(yè) 計算機網(wǎng)絡(luò)安全與管理 年 級 學 號 姓 名 指導(dǎo)教師 2012年 12 月 3 日摘 要現(xiàn)代科技的進步使計算機及網(wǎng)絡(luò)技術(shù)飛速發(fā)展，提供越來越強大的計算機處理能力和網(wǎng)絡(luò)通信能力。計算機及網(wǎng)絡(luò)通信技術(shù)的應(yīng)用大大提高了現(xiàn)代企業(yè)的生產(chǎn)管理效率，降低運作成本，并使得現(xiàn)代企業(yè)能更快速有效地獲取市場信息，及時決策反應(yīng)，提供更快捷更滿意的客戶服務(wù)，在競爭中保持領(lǐng)先。計算機及網(wǎng)絡(luò)通信技術(shù)的應(yīng)用已經(jīng)成為企業(yè)成功的一個關(guān)鍵因素。某高校是一所極具現(xiàn)代意識、以現(xiàn)代化教學為特色的公辦高校。為了推進教學信息化和現(xiàn)代化，學

2、校計劃針對某教學樓施行計算機網(wǎng)絡(luò)系統(tǒng)集成設(shè)計。本次設(shè)計根據(jù)該校實際情況按照“統(tǒng)一規(guī)劃 講究實效 安全可靠”的原則，進行某教學樓計算機網(wǎng)絡(luò)系統(tǒng)集成設(shè)計，以滿足該樓內(nèi)計算機網(wǎng)絡(luò)系統(tǒng)的需要。設(shè)計處我們針對該教學樓進行了詳細的環(huán)境分析，并且對該教學樓的實際需求也做了調(diào)查與討論。對路由器等一系列網(wǎng)絡(luò)設(shè)備認真選定，并對所有設(shè)備的數(shù)量與性能進行了詳細分析。在網(wǎng)絡(luò)安全方面，為了防止如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等網(wǎng)絡(luò)安全隱患，和網(wǎng)絡(luò)實體經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的網(wǎng)絡(luò)實體隱患。我們也做了諸多防范措施。如Internet防火墻和安裝殺毒軟件、管理軟件一系列網(wǎng)絡(luò)安全隱患防范，并

3、且依據(jù)GB/T 9771.1-2000通信用單模光纖系列 第1部分:非色散位移單模光纖特性、YD/T1092-2001數(shù)字通信用實心聚烯烴絕緣水平對絞電纜、GB 12666-1990電線電纜燃燒試驗方法、GB/T 18380-2001電纜在火焰條件下的燃燒實驗.等國家標準進行了網(wǎng)絡(luò)實體安全隱患防范。關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng)集成，綜合布線，交換路由，網(wǎng)絡(luò)安全目錄摘 要I目錄II第一章 系統(tǒng)集成概論11.1需求分析11.2項目概述11.3建設(shè)意義11.4項目目標1第二章 網(wǎng)總設(shè)計絡(luò)系統(tǒng)集成22.1 網(wǎng)絡(luò)系統(tǒng)集成設(shè)計要點：22.2綜合布線設(shè)計依據(jù)22.3綜合布線遵循依據(jù)32.4本項目信息統(tǒng)計32.5構(gòu)化布線

4、系統(tǒng)32.6工作區(qū)子系統(tǒng)設(shè)計42.7水平子系統(tǒng)設(shè)計42.8管理間子系統(tǒng)設(shè)計52.9垂直子系統(tǒng)設(shè)計52.10設(shè)備間子系統(tǒng)設(shè)計52.11建筑群子系統(tǒng)設(shè)計6第三章 產(chǎn)品選擇73.1 Catalyst 2948G-L3 中心交換機73.2 CISCO Catalyst 2950 系列工作組交換機73.3 CISCO 2500系列路由器83.4交換機的數(shù)量和基本性能8第四章 交換路由配置104.1網(wǎng)絡(luò)設(shè)計原則104.2設(shè)計藍圖104.3代碼實現(xiàn)11第五章網(wǎng)絡(luò)安全設(shè)計145.1網(wǎng)絡(luò)安全概述145.2網(wǎng)絡(luò)安全的需求分析145.3網(wǎng)絡(luò)安全的具體實現(xiàn)14參考文獻16第一章 系統(tǒng)集成概論1.1需求分析組建一個校園

5、網(wǎng)之前，需要考慮用戶的網(wǎng)絡(luò)需求，包括（1）用戶所屬行業(yè)。用戶所屬行業(yè)是制定網(wǎng)絡(luò)建設(shè)方案的參考，不同行業(yè)有不同的要求。（2）用戶所在單位的布局。（3）用戶的員工人數(shù)。使用網(wǎng)絡(luò)的人數(shù)將對基礎(chǔ)網(wǎng)絡(luò)的建設(shè)帶來影響，例如，網(wǎng)絡(luò)互連線路和交換設(shè)備的選擇。（4）數(shù)據(jù)存儲和備份。用戶建立網(wǎng)絡(luò)后，網(wǎng)絡(luò)上運行的應(yīng)用系統(tǒng)以及數(shù)據(jù)庫類型，如何實現(xiàn)異構(gòu)數(shù)據(jù)的統(tǒng)一存儲，存儲中心的結(jié)構(gòu)應(yīng)用系統(tǒng)是否需要單點登錄等。（5）用戶的投資預(yù)算。不同的投資對于網(wǎng)絡(luò)的組建有很大的影響，包括機房裝修、選購網(wǎng)絡(luò)設(shè)備、選擇應(yīng)用系統(tǒng)等環(huán)節(jié)。（6）網(wǎng)絡(luò)安全級別的定位。根據(jù)需求確定組建對等網(wǎng)還是域模式的網(wǎng)絡(luò)。1.2項目概述該項目是某學校教學樓的網(wǎng)絡(luò)

6、系統(tǒng)集成方案的設(shè)計，教學樓總共4層，布局為L型，每層的房間數(shù)為10間左右，在這次項目中我們將在這幢教學樓上完成系統(tǒng)集成，讓教學樓與其他教學樓連接到學?？偩W(wǎng)絡(luò)中，使得學校網(wǎng)絡(luò)更加完善。項目工程人員分工說明：李義杰負責本次項目整體網(wǎng)絡(luò)的結(jié)構(gòu)的設(shè)計、網(wǎng)絡(luò)服務(wù)設(shè)計、交換路由設(shè)計及仿真測試工作；雷金娃負責綜合布線系統(tǒng)的設(shè)計和圖形繪制，設(shè)備、材料預(yù)算工作；張福泉負責產(chǎn)品選型、材料匯總整合及畢業(yè)論文的撰寫和排版工作。1.3建設(shè)意義建設(shè)校園網(wǎng)，構(gòu)建現(xiàn)代化教育環(huán)境，是教育現(xiàn)代化的重要組成部分。二十一世紀是全球信息化、網(wǎng)絡(luò)化的時代，以現(xiàn)代化的教育技術(shù)手段取代舊有的落后教學手段，實現(xiàn)網(wǎng)絡(luò)教學、遠程教學、教育資源共享

7、是時代的需要。1.4項目目標為了全校教師、科研人員、管理人員、學生提供一個先進的計算機網(wǎng)絡(luò)環(huán)境， 并將計算機引入教學、科研、管理和學習等各個領(lǐng)域；改善學校教學科研、管理和學習環(huán)境，提高其水平；熟悉現(xiàn)代化的工作環(huán)境和掌握先進的教學、科研、管理和學習手段，有利于培養(yǎng)面向世界、面向未來的高層次人才。某高校著重進行了校園網(wǎng)的接入，并與電化教室相結(jié)合，配合多媒體設(shè)備，使該校的信息化建設(shè)跨上了一個新臺階。第二章 網(wǎng)總設(shè)計絡(luò)系統(tǒng)集成2.1 網(wǎng)絡(luò)系統(tǒng)集成設(shè)計要點：（1） 實用性：能支持多種數(shù)據(jù)通信、多媒體技術(shù)及信息管理系統(tǒng)等，能夠?qū)崿F(xiàn)現(xiàn)在和未來技術(shù)的發(fā)展。（2） 靈活性：任意信息點能夠連接不同類型的設(shè)備，如微

8、機、打印機、終端、服務(wù)器、監(jiān)視器等。（3） 開放性：能支持任何廠家的任意網(wǎng)絡(luò)產(chǎn)品，支持任意網(wǎng)絡(luò)結(jié)構(gòu)，如總線型、星型、環(huán)形等。（4) 模塊化：所有的接插件都是積木式的標準件，方便使用、管理和擴充。（5) 擴展性：實施后的綜合布線系統(tǒng)是可擴充的，以便將來有更大需求時，能夠容易將設(shè)備安裝接入。（6） 經(jīng)濟性：一次性投資長期受益，維護費用低，是整體投資達到最少。依據(jù)這些原則，可以確定該學校的綜合布線拓撲結(jié)構(gòu)應(yīng)該為星型，保證綜合布線系統(tǒng)的靈活性和擴展性。2.2綜合布線設(shè)計依據(jù)本項目在4樓設(shè)置一個管理間，管理教學樓的進出口，在每層上還有設(shè)備間分別管理每層的用戶和故障的診斷等問題，下面是本項目的平面圖：圖2

9、-12.3綜合布線遵循依據(jù)綜合布線系統(tǒng)標準是指布線技術(shù)法規(guī)，它不但限定了產(chǎn)品的規(guī)格、型號和質(zhì)量，也為用戶提供了一套明確的判斷標準和質(zhì)量檢測方法以確保技術(shù)的兼容性。本次設(shè)計所遵循的標準為。表2.1綜合布線系統(tǒng)性能、系統(tǒng)設(shè)計GB/T 50311-2000建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范 YD/T 926.1-2001大樓通信綜合布線系統(tǒng) 第1部分:總規(guī)范 YD/T 926.2-2001大樓通信綜合布線系統(tǒng)第2部分：綜合布線用電纜、光纜技術(shù)要求 YD/T 926.3-2001大樓通信綜合布線系統(tǒng) 第3部分:綜合布線用連接硬件技術(shù)要求安裝、測試和管理GB/T 50312-2000建筑與建筑群綜合布

10、線系統(tǒng)工程驗收規(guī)范 YD/T 1013-1999綜合布線系統(tǒng)電氣特性通用測試方法 部件GB/T 9771.1-2000通信用單模光纖系列 第1部分:非色散位移單模光纖特性YD/T1092-2001數(shù)字通信用實心聚烯烴絕緣水平對絞電纜防火測試GB 12666-1990電線電纜燃燒試驗方法GB/T 18380-2001電纜在火焰條件下的燃燒實驗.GB/T 50311-20002.4本項目信息統(tǒng)計教學樓分為四層，總房間數(shù)為33間，總信息點為110個，在這里面還有信息點里面有設(shè)計了預(yù)留信息點，為了以后擴展使用。表2.2信息統(tǒng)計表建筑物名稱每層房間數(shù)房間信息點數(shù)總信息點數(shù)教學樓一層10220教學樓二層1

11、04（2），6（4）32教學樓三層74（2），4（5）28教學樓四層65（2），2030總計331102.5構(gòu)化布線系統(tǒng)結(jié)構(gòu)化布線劃成6個部分：工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直子系統(tǒng)、設(shè)備間子系統(tǒng)、建筑群子系統(tǒng)。圖2-22.6工作區(qū)子系統(tǒng)設(shè)計工作區(qū)子系統(tǒng)又稱為服務(wù)區(qū)子系統(tǒng)，它是由RJ-45跳線與信息插座所連接的設(shè)備（終端或工作站）組成。其中信息插座有墻上型、地面型、桌面型等多種類型。工作區(qū)子系統(tǒng)所使用的連接器必須具備標準的8位接口，這種接口能接受樓宇自動化系統(tǒng)所有低壓信號以及高速數(shù)據(jù)網(wǎng)絡(luò)信息和數(shù)碼聲頻信號。工作區(qū)由信息插座延伸至設(shè)備。工作區(qū)要求布線要求相對簡單，這樣就很容易移動、添加和變更設(shè)備。

12、圖2-3工作區(qū)設(shè)計要考慮以下幾點：（1） 工作區(qū)內(nèi)線槽要布的合力、美觀。（2） 信息插座與電源插座應(yīng)保持30cm的距離。（3） 信息插座要設(shè)計在距離地面30cm以上（與電源插座保持水平）。（4） 信息插座與計算機設(shè)備的距離保持在5M范圍之內(nèi)。（5） 購買的網(wǎng)卡類型接口要與線纜類型接口保持一致。（6） 所有工作區(qū)所需的信息模塊、底盒、面板的數(shù)量。（7） 所需RJ-45接頭的數(shù)量。2.7水平子系統(tǒng)設(shè)計水平子系統(tǒng)也稱為水平干線子系統(tǒng)，它是從工作區(qū)的信息插座開始到管理間子系統(tǒng)的配線架。結(jié)構(gòu)一般為星型結(jié)構(gòu)，它與垂直子系統(tǒng)的區(qū)別在于：水平子系統(tǒng)總是在一個樓層上，僅與信息插座、管理間連接。在綜合布線系統(tǒng)中，

13、水平子系統(tǒng)通常由4對UTP(非屏蔽雙絞線）組成。在高帶寬應(yīng)用時，可以采用光纜。水平子系統(tǒng)連接管理子系統(tǒng)至工作區(qū)，包括水平布線、信息插座、電纜終端及交換。水平干線子系統(tǒng)的設(shè)計涉及到水平子系統(tǒng)的傳送介質(zhì)和部件集成，主要有4點：（1） 確定線路走向。（2） 確定線纜、槽、管的數(shù)量和類型。（3） 確定線纜的類型和長度。（4） 訂購電纜和線纜。2.8管理間子系統(tǒng)設(shè)計管理子系統(tǒng)由交聯(lián)、互聯(lián)、和I/O組成。管理間是樓層的配線間，管理子系統(tǒng)為其他子系統(tǒng)互聯(lián)提供手段，他是連接垂直干線子系統(tǒng)和水平干線子系統(tǒng)的設(shè)備，其主要設(shè)備是配線架、交換機等網(wǎng)絡(luò)設(shè)備，以及機柜和電源等。交連和互連允許將通信線路定位和重定位在建筑物

14、的不同部分，以便能更容易的管理通信線路。I/O位于用戶工作區(qū)和其他房間或辦公室，使在移動終端設(shè)備時能夠方便的進行插拔。作為管理間一般有以下設(shè)備：（1） 機柜（2） 樓層交換機（3） 配線架（4） 電源配線架的選型和安裝:分配線間的設(shè)計，我們采用了較為集中、靈活的管理方式，充分利用配線架的容量，以達到較好的性能價格比。所有的水平及垂直UTP雙絞線均選用Lucent 48口和24口非屏蔽的配線架進行管理，使數(shù)據(jù)點可完全互補，且管理、維護靈活簡便。2.9垂直子系統(tǒng)設(shè)計垂直子系統(tǒng)也稱垂直干線子系統(tǒng)或骨干子系統(tǒng)，它提供建筑物的主干線纜，負責連接管理子系統(tǒng)到設(shè)備子系統(tǒng)的子系統(tǒng)，目前的設(shè)計中一般使用光纜。它

15、也提供了建物垂直干線電纜的走線方式。垂直干線子系統(tǒng)主要用于連接一棟大樓內(nèi)部的各配線間，提供網(wǎng)絡(luò)主干連接。2.10設(shè)備間子系統(tǒng)設(shè)計設(shè)備間子系統(tǒng)也稱設(shè)備子系統(tǒng)。設(shè)備間子系統(tǒng)由電纜、連接器和相關(guān)支撐硬件組成。它把各種公共的多種不同設(shè)備互連起來，其中包括光纜、雙絞線電纜、同軸電纜、程控交換機等。在建設(shè)設(shè)備間時要注意以下幾點： （1） 室內(nèi)照明、通風良好。 （2） 要安裝符合機房規(guī)范的消防系統(tǒng)。 （3) 使用防火門，墻壁使用阻燃漆。 （4） 進行防靜電裝修。 （5) 防止電池場的干擾。 （6） 設(shè)備空間應(yīng)保持2.55M高度的無障礙空間，門高為2.1m，寬至少為90cm，地板承重能力不低于500KG/MM

16、。設(shè)備子系統(tǒng)是整個布線系統(tǒng)的管理中心，由設(shè)備間（主配線間）中的電纜、連接器和相關(guān)支撐硬件組成，它把公共系統(tǒng)設(shè)備的各種不同設(shè)備互連起來?？紤]到中心機房機柜中的美觀及便于管理，管理區(qū)跳線我們采用訂制的兩端帶RJ-45數(shù)據(jù)線用于連接配線架與網(wǎng)絡(luò)設(shè)備。需要：兩端帶RJ-45數(shù)據(jù)線 80根2.11建筑群子系統(tǒng)設(shè)計建筑群子系統(tǒng)又稱為園區(qū)子系統(tǒng)，它是將一個建筑物的電纜延伸到另一個建筑物的通信設(shè)備和裝置，通常是由光纜和相應(yīng)設(shè)備組成，提供外部建筑物與大樓內(nèi)布線的連接點。它支持樓宇間通信所需的硬件，其中包括電纜、光纜以及防止電纜上的脈沖電壓進入建筑物的電氣保護裝置。建筑群子系統(tǒng)用于連接各分散的建筑物，由于部分建筑

17、距信息中心的距離可能超過了100米（銅纜布線系統(tǒng)的最長距離為100米，粗纜可支持500米，但粗纜只能支持系統(tǒng)主干間的10M連接，五類雙絞線支持100M連接），另外考慮到現(xiàn)代網(wǎng)絡(luò)技術(shù)ATM、千兆以太網(wǎng)對網(wǎng)絡(luò)帶寬的要求（155M/622M/1000M），系統(tǒng)主干只能選擇多模光纜（多模光纜可在260米范圍內(nèi)支持1000M主干）。另外考慮到光纜主干的備份以及經(jīng)濟原因（四芯與六芯光纜價格相當），可以選擇國產(chǎn)長飛六芯多模光纜來構(gòu)建整個網(wǎng)絡(luò)系統(tǒng)主干。第三章 產(chǎn)品選擇3.1 Catalyst 2948G-L3 中心交換機Catalyst 2948G-L3交換機是為IP協(xié)議、互聯(lián)網(wǎng)包交換協(xié)議IPX和IP組播提供

18、線速交換的固定配置第三層L3以太網(wǎng)交換機交換機。這種新的Catalyst 交換機為擁有適當端口密度的中型園區(qū)主干網(wǎng)提供所需的高度性能。它非常適合集合多個配線間或工作組交換機（例如Catalyst 2900 、Catalyst 1900 、Catalyst 3500、Catalyst4000或Catalyst 5000交換機）的多協(xié)議流量）。Catalyst 2948G-L3交換機不僅為IP、IPX及IP組播提供無阻塞路由和交換，同時也為不可路由的協(xié)議提供線速第二層交換，例如NetBIOS和DECnet 局域傳輸（LAT）。這種功能允許網(wǎng)絡(luò)管理員通過Catalyst 2948G-L3，擴展它們的

19、多協(xié)議主干網(wǎng)，而無須像僅采用IP交換機那樣，通常需要建立并行網(wǎng)絡(luò)。其特性有；l48個專用10/100Mb/s以太網(wǎng)端口，以及兩個支持千兆位接口轉(zhuǎn)換器（CBIC）的1000Base-X千兆位以太網(wǎng)端口，所有端口都擁有第三層交換功能。l高性能：超過IP、IPX交換機及IP組播的10Mb/s第三層交換和路由。l24Gb/s無阻塞交換矩陣。l帶有CISCO IOS 系統(tǒng)軟件的高性能CPU。l服務(wù)質(zhì)量（QoS）：帶有加權(quán)輪詢（WRR）調(diào)度的多個陣列。l基于標準CISCO WORKS2000 應(yīng)用程序的全面管理工具。l可選的冗余外部電源。l線速第三層交換機。3.2 CISCO Catalyst 2950

20、系列工作組交換機Catalyst 2950系列交換機屬于快速以太網(wǎng)桌面交換機CISCO Catalyst 2900系列，可以為局域網(wǎng)（LAN）提供極佳的性能和功能。 些獨立的、10/100Mb/s自適應(yīng)交換機能夠提供增強的服務(wù)質(zhì)量（QoS）和組播管理特性，所有的這些都由易用、基于Web的CISCO集群管理套件（CMS）和集成CISCO IOS軟件來進行管理。帶有10/100/1000Mbase-T 上行鏈路的CISCO Catalyst 2950千兆位銅線，可為中等規(guī)模的公司和企業(yè)分支機構(gòu)辦公室提供理想的解決方案，以使他們能夠利用現(xiàn)有的5類銅線從快速以太網(wǎng)升級到更高性能的千兆位以太網(wǎng)主干。Ca

21、talyst 2900系列常見的產(chǎn)品包括：12個10/100M端口獨立式，24個10/100端口獨立式，24個10/100M端口加2個100Base-FX端口，12個端口加2個GBIC端口，24個10/100端口加2個10/100/1000Base-T端口。主要特性包括：l線速第二層交換功能。l帶GBIC口的2950系列可以通過在GBIC GigaStack模塊堆疊，每交換機組最多可堆疊16臺。l支持802.1p。l支持802.1Q VLAN、ISL VLAN。l支持EtherChannel（鏈路會聚）.l支持802.1P STP協(xié)議。l支持SNMP、Telnet、RMON、Web等方式進行網(wǎng)

22、管。1.2 Mb/s轉(zhuǎn)換器SMART BX06 E1轉(zhuǎn)V.35接口 SMART BX06是一種高性能、低價位2Mb/s轉(zhuǎn)換器，通過G.730 2Mb/s網(wǎng)或DD專用網(wǎng)實現(xiàn)兩個以太網(wǎng)的連接。 主要技術(shù)指標如下：lE1接口，符合ITU-T G.730相關(guān)建議。l接口速率：2048Kb/s+/-50ppm。l傳輸碼型：HDB3。l線路時鐘：內(nèi)時鐘/恢復(fù)時鐘可選。lV.35同步數(shù)據(jù)接口。l符合ITU-T V.35的相關(guān)建議 以太網(wǎng)接口具有以下特性：l符合IEEE802.3/10Base-T標準。l網(wǎng)口類型：10Base-T（UTP）。l最大過濾及轉(zhuǎn)發(fā)速率；15000pps。l幀緩沖器：256幀。l吞吐

23、時延：1幀。3.3 CISCO 2500系列路由器Cisco 2500系列路由器是固定接口的多協(xié)議路由器，它采用了可重寫Flash Memory技術(shù)來簡化軟件維護，支持Cisco IOS的全部功能組，特點如下： * 固定配置，種類齊全，支持各種類型接口的組合 * 采用Flash Memory技術(shù) * 20 Mhz 68030 Procelssor * DRAM配置與IOS功能組有關(guān)，可擴展的18MB * 4或8MB FIash Memory，與IOS功能組有關(guān)，可升級到8或16MBl支持所有Cisco IOS功能 綜合考慮用戶需求并符合經(jīng)濟性、適用性原則，交換機選擇cisco公司的入門級交換機

24、2950系列。3.4交換機的數(shù)量和基本性能表3.1項目技術(shù)要求中心交換機1臺48個100Mb/s端口，支持3層交換，可堆疊。交換機間提供1Gb/s鏈路帶擴充模塊槽，支持大批擴充模塊，如千兆位以太網(wǎng)、ATM、第三層交換等；支持多媒體，支持802.1p，內(nèi)有PACE技術(shù)和多址聯(lián)播過濾器；支持RMON（9類），包括基于Web的監(jiān)視和控制界面；支持VLAN，支持的MAC地址數(shù)大于10000個；支持光纖擴充端口，擁塞控制采用基于流控制的IFM和802.3x標準二層交換機8臺48個100Mb/s端口帶擴充模塊槽，支持第二層交換支持RMON（9類），包括基于Web的監(jiān)視和控制界面；支持多媒體，支持802.1

25、Q，內(nèi)有PACE技術(shù)和多址聯(lián)播過濾器支持VLAN，支持的MAC地址數(shù)大于6000個；支持光纖擴充端口，擁塞控制采用基于流控制的IFM和802.3x標準三層交換機24臺48個100Mb/s端口帶擴充模塊槽，支持第三層交換支持RMON（9類），包括基于Web的監(jiān)視和控制界面；支持多媒體，支持802.1Q，內(nèi)有PACE技術(shù)和多址聯(lián)播過濾器支持VLAN，支持的MAC地址數(shù)大于6000個；支持光纖擴充端口，擁塞控制采用基于流控制的IFM和802.3x標準第四章 交換路由配置4.1網(wǎng)絡(luò)設(shè)計原則校園網(wǎng)的總體設(shè)計原則是：開放性采用開放性的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級、擴展和互聯(lián)；同時在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時，強

26、調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國際標準化；可擴充性從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、插槽個數(shù)、管理軟件和網(wǎng)絡(luò)整體結(jié)構(gòu)，以及技術(shù)的開放性和對相關(guān)協(xié)議的支持等方面，來保證網(wǎng)絡(luò)系統(tǒng)的可擴充性；可管理性利用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略，提供強大的網(wǎng)絡(luò)管理功能；使日常的維護和操作變得直觀，便捷和高效；安全性內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，利用VLAN/ ELAN 、防火墻等對訪問進行控制，確保網(wǎng)絡(luò)的安全；投資保護選用性能價格比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器；采用的網(wǎng)絡(luò)架構(gòu)和設(shè)備充分考慮到易升級換代，并且在升級時可以最大限度地保護原有的硬件設(shè)備和軟件投資；易用性應(yīng)用軟件系統(tǒng)必須強調(diào)易用性，

27、用戶界友好，帶有幫助和查詢功能，用戶可以通過Web查詢。4.2設(shè)計藍圖1、對于教學樓，在樓層交換機與建筑物設(shè)備問交換機之間，以及相應(yīng)建筑物設(shè)備問交換機與總機房核心交換機之間采用多鏈路聚合，確保所需的高帶寬。2、在四樓設(shè)中心機房，這是整個校園網(wǎng)的中心，其中放置服務(wù)器組、核心交換機和路由器，外部網(wǎng)絡(luò)由大容量光纖接入，連接路由器。3、設(shè)備問均設(shè)在各層，子網(wǎng)設(shè)備選擇該位置相對中央的一層，與該建筑物的設(shè)備問共處一室。圖4-14.3代碼實現(xiàn)vlan設(shè)計表4.1VLAN名稱IP地址網(wǎng)絡(luò)號：子網(wǎng)淹碼1辦公室：/242教室：/243機房：/242因機房可能更實際需求可手動添加(1) 核心交換配置：Switch&

28、gt;enable Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#vlan 10Switch(config-vlan)#vlan 20Switch(config-vlan)#vlan 30Switch(config-vlan)#vlan 100Switch(config-vlan)#exit Switch(config)#int fa0/5Switch(config-if)#swi a vlan 100Switch(config)#int vlan 10Switch

29、(config)#int vlan 20Switch(config)#int vlan 30Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#int vlan 100Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#ip routing(2) 匯聚交換配置：Switch(config)#vlan 10Switch(config)#int fa0/1Switch(config-if)#swi a vlan 10Switch(c

30、onfig-if)#no shutdown Switch(config-if)#exit Switch(config)#int fa0/2Switch(config-if)#swi a vlan 20Switch(config)#int fa0/9Switch(config-if)#swi m access Switch(config-if)#swi m trunk(3) 接入服務(wù)器的交換機配置：Switch(config)#vlan 100Switch(config-vlan)#int fa0/1Switch(config-if)#sw a vlan 100Switch(config-if)

31、#no shSwitch(config-if)#eSwitch(config)#int fa0/5Switch(config-if)#sw a vlan 100Switch(config-if)#no sh第五章 網(wǎng)絡(luò)安全設(shè)計5.1網(wǎng)絡(luò)安全概述隨著計算機技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。有很多是敏感信息，甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等）。同時，網(wǎng)絡(luò)實體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗。5.2網(wǎng)絡(luò)安全的需求分析Internet防火墻是這樣的系統(tǒng)（或一組系統(tǒng)），它能增強機構(gòu)內(nèi)部網(wǎng)

32、絡(luò)的安全性。 防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。防火墻與安全策略防火墻不僅僅是路由器、堡壘主機、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，防火墻是安全策略的一個部分。Internet防火墻負責管理Internet和機構(gòu)內(nèi)部網(wǎng)絡(luò)之間的訪問。在沒有防火墻時，內(nèi)部網(wǎng)絡(luò)上的每個節(jié)點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個主機的堅固程

33、度來決定，并且安全性等同于其中最弱的系統(tǒng)。防火墻的作用在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。（注意：對一個與Internet相聯(lián)的內(nèi)部網(wǎng)絡(luò)來說，重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊，而是何時受到攻擊？誰在攻擊？）網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠不會知道防火墻是否受到攻擊。軟件包括網(wǎng)絡(luò)操作系統(tǒng)的選擇，殺毒軟件，防火墻軟件以及管理軟件等5.3網(wǎng)絡(luò)安全的具體實現(xiàn)本校園網(wǎng)根據(jù)具體需求選擇linux系統(tǒng)，linux具有以下特點：支持多種平臺Linux可以運行在多種硬件平臺上，如具有x

34、86、680x0、SPARC、Alpha等處理器的平臺。此外Linux還是一種嵌入式操作系統(tǒng)，可以運行在掌上電腦、機頂盒或游戲機上。2001年1月份發(fā)布的Linux 2.4版內(nèi)核已經(jīng)能夠完全支持Intel 64位芯片架構(gòu)。同時Linux也支持多處理器技術(shù)。多個處理器同時工作，使系統(tǒng)性能大大提高。多用戶、多任務(wù)Linux支持多用戶，各個用戶對于自己的文件設(shè)備有自己特殊的權(quán)利，保證了各用戶之間互不影響。多任務(wù)則是現(xiàn)在電腦最主要的一個特點，Linux可以使多個程序同時并獨立地運行。良好的界面Linux同時具有字符界面和圖形界面。在字符界面用戶可以通過鍵盤輸入相應(yīng)的指令來進行操作。它同時也提供了圖形界面的X-Window系統(tǒng)，用戶可以使用鼠標對其進行操作。豐富的網(wǎng)絡(luò)功能在Linux中，用戶可以輕松實現(xiàn)網(wǎng)頁瀏覽、文件傳輸、遠程登陸等網(wǎng)絡(luò)工作。并且可以作為服務(wù)器提供WWW、FTP、E-Mail等服務(wù)。可靠的安全、穩(wěn)定性能Linux采取了許多安全技術(shù)措施，其中有對讀、寫進行權(quán)限控制、審計跟蹤、核心授權(quán)等技術(shù)，這些都為安全提供了保障。Linux由于需要應(yīng)用到網(wǎng)絡(luò)服務(wù)器，這對穩(wěn)定性也有比較高的要求，實際上Linux在這方面也十分出色。本項目使用Netshine FW5x00系列防火墻和VPN是由朗