1、任務1、寫出網(wǎng)絡安全設計方案根據(jù)網(wǎng)絡應用，設計網(wǎng)絡安全方案。2、形成網(wǎng)絡邏輯設計文檔。根據(jù)需求分析，設計網(wǎng)絡邏輯設計文檔并說明網(wǎng)絡設計特點。3、匯總?cè)蝿铡⑿纬删W(wǎng)絡設計方案。主要包括：校園平面圖需求分析網(wǎng)絡設計目標網(wǎng)絡應用約束網(wǎng)絡拓撲圖IP地址分配方案網(wǎng)絡邏輯設計方案安全設計方案可以參照教材269頁“校園網(wǎng)方案標書”設計自己具體的格式12月25日前發(fā)至郵箱1網(wǎng)絡工程2第一章 網(wǎng)絡工程設計基礎(chǔ)第二章 網(wǎng)絡工程系統(tǒng)集成第三章 網(wǎng)絡工程的規(guī)劃與需求分析第四章 網(wǎng)絡設計第五章 網(wǎng)絡設備及系統(tǒng)選型第六章 網(wǎng)絡工程實施第七章 網(wǎng)絡測試、運行維護和管理第八章 網(wǎng)絡系統(tǒng)集成工程的招標投標3第一章 網(wǎng)絡工程設計基

2、礎(chǔ)41.4 網(wǎng)絡應用模式一、網(wǎng)絡應用模式的發(fā)展 經(jīng)歷了5個階段1、以大型機為中心的集中式應用模式 即主機/終端模式。 主要特點：一切處理均依賴于主機。2、以服務器為中心的計算模式 即文件服務器時代的共享數(shù)據(jù)模式。 特點：PC機獨立運行，在需要的時候可以訪問服務器獲取共享資源。 缺點：不提供多用戶要求的數(shù)據(jù)并發(fā)性；當許多工作站請求和傳送很多文件時，網(wǎng)絡很快就達到信息飽和狀態(tài)并造成瓶頸。3、客戶機/服務器應用模式 C/S模式 特點： 客戶端通過客戶端應用程序向服務器發(fā)出請求，服務器進行處理并返回結(jié)果。并可以建立一個中間件來保證服務器的安全。 缺點：安裝、升級程序較麻煩。4、基于Web的客戶機/服務

3、器應用模式 B/S模式 特點：兼顧主機集中式和客戶機/服務器這兩種模式的優(yōu)點，只要客戶端安裝了Web瀏覽器，就可以訪問服務器，而不用理會服務器在哪里，可以使信息高度分散，實現(xiàn)資源共享，又能使管理高度集中而降低成本。5、實際存在的C/S和B/S混合應用模式51.4 網(wǎng)絡應用模式二、網(wǎng)絡應用模式的開發(fā)環(huán)境及其特點 開發(fā)環(huán)境一般由4個平臺組成 1、網(wǎng)絡服務器操作平臺 Netware 、Windows、UNIX、Linux等。 2、數(shù)據(jù)庫服務器平臺 SQL Server、 DB2、 Oracle、Access、MySQL 3、客戶操作系統(tǒng)平臺 Windows 系列 、OS/2 4、客戶應用開發(fā)工具 V

4、B、VC、VJ、Delphi、PowerBuilder 等 課本第9頁圖1.7 Internet應用開發(fā)環(huán)境 網(wǎng)絡應用的特點 （B/S） 1、應用以Web形式發(fā)布，用戶在瀏覽器上使用應用程序。 2、應用程序的用戶界面是網(wǎng)頁格式。 3、數(shù)據(jù)庫服務器在后臺運行。61.4 網(wǎng)絡應用模式三、網(wǎng)絡應用模式的開發(fā)技術(shù) 1、靜態(tài)網(wǎng)頁開發(fā)技術(shù) 主要是HTML編程。 2、動態(tài)網(wǎng)頁開發(fā)技術(shù) 有多種動態(tài)網(wǎng)頁開發(fā)技術(shù)，采用時需考慮如下因素：實現(xiàn)程序的難度；穩(wěn)定性和安全性；移植性和可重用性。 動態(tài)網(wǎng)頁開發(fā)技術(shù)又分為傳統(tǒng)動態(tài)網(wǎng)頁開發(fā)技術(shù)和流行動態(tài)網(wǎng)頁開發(fā)技術(shù)。 傳統(tǒng)動態(tài)網(wǎng)頁開發(fā)技術(shù) CGI、IDC、ISAPI 流行動態(tài)網(wǎng)

5、頁開發(fā)技術(shù) ASP、JSP、PHP71.5 Intranet/Extranet 技術(shù)一、企業(yè)網(wǎng) 1、定義：企業(yè)網(wǎng)是一個連接企業(yè)通信、處理和存儲資源的企業(yè)范圍的網(wǎng)絡，它使得這些資源對分布于企業(yè)范圍內(nèi)的所有用戶都可用。 2、Intranet（內(nèi)聯(lián)網(wǎng)） 可以看作是一種專用的Internet。一般稱為內(nèi)聯(lián)網(wǎng)或企業(yè)內(nèi)部網(wǎng)絡。它是在統(tǒng)一行政管理和安全控制之下，采用Internet的標準技術(shù)和應用系統(tǒng)建設成的網(wǎng)絡，并使用與Internet相協(xié)調(diào)的技術(shù)開發(fā)企業(yè)內(nèi)部的各種應用系統(tǒng)。 3、Extranet（外聯(lián)網(wǎng)） Extranet 是將Intranet的構(gòu)建技術(shù)應用于企業(yè)間系統(tǒng)，它是企業(yè)與其客戶或其他企業(yè)相連來

6、完成其共同目標和交互合作的網(wǎng)絡。81.6 虛擬專用網(wǎng) VPN1、VPN （Virtual private network） 虛擬專用網(wǎng) VPN 是一種基于不安全的Internet 公共數(shù)據(jù)網(wǎng)直接連接到私人局域網(wǎng)的安全連接服務技術(shù)。VPN 定義為“采用加密和認證技術(shù),在公共網(wǎng)絡上建立安全專用隧道的網(wǎng)絡”。VPN 極大地降低了用戶的費用,而且提供了比傳統(tǒng)方法更強的安全性和可靠性。2、VPN 可分為三大類 a) 遠程訪問VPN (Access VPN) ,是客戶端到網(wǎng)關(guān)的連接。主要用于流動人 員遠程辦公,遠程用戶撥號接入到本地的ISP 后進入本地局域網(wǎng), 可以大大減少 費開支。 b) 企業(yè)內(nèi)部VPN

7、 ( Intranet VPN) ,是網(wǎng)關(guān)到網(wǎng)關(guān)的連接。主要用Internet 上組建世界范圍內(nèi)的企業(yè)網(wǎng),主要考慮隧道、加密等特性。 c) 擴展的企業(yè)內(nèi)部VPN ( Extranet VPN) ,同樣是網(wǎng)關(guān)到網(wǎng)關(guān)的連接,主要 用于不同公司的網(wǎng)絡相互通信,除要考慮隧道,加密等特性外,更多要考慮的是 設備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問題。3、 VPN 的核心技術(shù) a）隧道技術(shù) b）加密技術(shù) c）身份驗證技術(shù)91.6 虛擬專用網(wǎng) VPN4、 VPN 的隧道協(xié)議點對點隧道協(xié)議PPTP PPTP（Point to Point Tunneling Protocol）協(xié)議將控制包與數(shù)據(jù)包分開?？刂瓢?/p>

8、采用TCP控制，用于嚴格的狀態(tài)查詢及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GRE（通用路由協(xié)議封裝） V2協(xié)議中。目前，PPTP協(xié)議基本已被淘汰，不再使用在VPN產(chǎn)品中。 第二層隧道協(xié)議L2TP L2TP（Layer 2 Tunneling Protocol）協(xié)議是國際標準隧道協(xié)議。它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議）協(xié)議的優(yōu)點，能以隧道方式使PPP包通過各種網(wǎng)絡協(xié)議，包括ATM、SONET和幀中繼。但是，L2TP沒有任何加密措施，更多的是和IPSec協(xié)議結(jié)合使用，提供隧道驗證。 IPSec協(xié)議 IPSec（網(wǎng)絡協(xié)議安全）

9、協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。它包括網(wǎng)絡安全協(xié)議AH (Authentication Header)協(xié)議和ESP (Encapsulating Security Payload)協(xié)議、密鑰管理協(xié)議IKE (Internet Key Exchange)協(xié)議和用于網(wǎng)絡驗證及加密的一些算法等。IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡安全服務。 101.6 虛擬專用網(wǎng) VPN 現(xiàn)在一種發(fā)展趨勢，是將L2TP和IPSec結(jié)合起來，即用L2TP作為隧道協(xié)議，用IPSec協(xié)議保護數(shù)據(jù)。

10、目前，市場上大部分VPN都采用這類技術(shù)。 它的優(yōu)點是定義了一套用于保護私有性和完整性的標準協(xié)議，可確保運行在TCP/IP協(xié)議上VPN之間的互操作性；不足之處在于，除了包過濾外，它沒有指定其他訪問控制方法，對于采用NAT（網(wǎng)絡地址翻譯）方式訪問公共網(wǎng)絡的情況難以處理，為此最適合于可信LAN到LAN之間VPN的場合應用。 SOCKS v5協(xié)議 SOCKS v5工作在OSI（Open System Internet）模型中的第五層會話層，可作為建立高度安全的VPN基礎(chǔ)。SOCKS v5 協(xié)議的優(yōu)勢在于訪問控制，因此適用于安全性較高的VPN。 SOCKS v5現(xiàn) 在被IETF（互聯(lián)網(wǎng)工程任務組），建議

11、作為建立VPN的標準。 它的優(yōu)點是 能夠非常詳細地進行訪問控制，即在網(wǎng)絡層只能根據(jù)源目的的IP地址允許或拒絕被通過，在會話層控制手段更多一些；由于工作在會話層，能同低層協(xié) 議如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服務器可隱藏網(wǎng)絡地址結(jié)構(gòu)；能為認證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技術(shù)；SOCKS v5可根據(jù)規(guī)則過濾數(shù)據(jù)流，包括Java Applet和Actives控制。但是，它也有不少令人遺憾之處：性能比低層次協(xié)議差，必須制定更復雜的安全管理策略。這樣，它最適合用于客戶機到服務器的連接模式，適用于外部網(wǎng)VPN和遠程訪問VPN。11網(wǎng)

12、絡工程相關(guān)標準化組織及其標準一、國際標準化組織 1、國際標準化組織（ISO） 國際標準化組織（ISO）是目前世界上最大、最有權(quán)威性的國際標準化專門機構(gòu)。1946年10月14日至26日，中、英、美、法、蘇的二十五個國家的六十四名代表集會于倫敦，正式表決通過建立國際標準化組織。 國際標準化組織的目的和宗旨是：“在全世界范圍內(nèi)促進標準化工作的發(fā)展，以便于國際物資交流和服務，并擴大在知識、科學、技術(shù)和經(jīng)濟方面的合作”。 2、國際電工委員會（IEC）國際電工委員會（IEC）成立于1906年，至今已有90多年的歷史。它是世界上成立最早的國際性電工標準化機構(gòu)，負責有關(guān)電氣工程和電子工程領(lǐng)域中的國際標準化工作

13、。12網(wǎng)絡工程相關(guān)標準化組織及其標準3、國際電信聯(lián)盟（ITU） 國際電信聯(lián)盟（ITU）是聯(lián)合國的一個專門機構(gòu)，也是聯(lián)合國機構(gòu)中歷史最長的一個國際組織，簡稱“國際電聯(lián)”或“電聯(lián)”。主要職責是完成國際電信聯(lián)盟有關(guān)電信標準化的目標、使全世界的電信標準化。ITU目前已制定了2024項國際標準。4、電子工業(yè)協(xié)會（EIA）5、因特網(wǎng)工程特別任務組（IETF）6、電氣和電子工程師協(xié)會（IEEE）7、美國國家標準協(xié)會（ANSI）8、歐洲電工標準化委員會（CENELEC）與歐洲標準化委員會（CEN） 13網(wǎng)絡工程相關(guān)標準化組織及其標準二、國內(nèi)標準化組織 a）國家標準：基礎(chǔ)技術(shù)標準由國家技術(shù)監(jiān)督局審批頒發(fā)；工程建

14、設標準由建設部和國家技術(shù)監(jiān)督局聯(lián)合頒布。編號以GB開頭。 b）行業(yè)標準：基礎(chǔ)技術(shù)標準由主管部門頒發(fā)，報國家技術(shù)監(jiān)督局備案；工程建設標準由主管部門頒發(fā)，報建設部備案。編號以YD開頭。 c）地方標準：由地方政府審批頒發(fā)。編號以DB開頭。 d）企業(yè)標準：由企業(yè)主管部門審批頒發(fā)。編號以Q開頭。 e）各種協(xié)會發(fā)布的標準。 1、中國工程建設標準化協(xié)會 2、中國通信標準化協(xié)會14網(wǎng)絡工程相關(guān)標準化組織及其標準中華人民共和國電信條例互聯(lián)網(wǎng)信息服務管理辦法中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定計算機病毒防治辦法中華人民共和國計算機信息系統(tǒng)安全保護條例電子計算機房設計規(guī)范計算機場地安全要求中國公用計算機

15、互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法15第二章 網(wǎng)絡工程系統(tǒng)集成16第二章 網(wǎng)絡工程系統(tǒng)集成網(wǎng)絡工程系統(tǒng)集成的概念網(wǎng)絡信息集成的層次系統(tǒng)集成的實現(xiàn)系統(tǒng)集成的原則系統(tǒng)集成的具體工作系統(tǒng)集成設計的標準系統(tǒng)集成的優(yōu)點172.1 網(wǎng)絡工程系統(tǒng)集成的概念美國信息技術(shù)協(xié)會（ITAA） 根據(jù)一個復雜的信息系統(tǒng)或子系統(tǒng)的要求驗明多種產(chǎn)品和技術(shù)，并接入一個完整的解決方案的過程。 網(wǎng)絡信息系統(tǒng)集成的過程，是為實現(xiàn)某一應用目標而進行的基于計算機、網(wǎng)絡、服務器、操作系統(tǒng)和數(shù)據(jù)庫等的大中型應用信息系統(tǒng)的過程，是針對某種應用目標而提出的全面解決方案的實施過程，是各種產(chǎn)品設備進行有機組合的過程。該過程可以包括技術(shù)咨詢、方案設計、設備選型

16、、網(wǎng)絡建設、軟硬件系統(tǒng)配置、應用軟件開發(fā)以及售后服務、維護支持和培訓等一系列活動。182.2 網(wǎng)絡信息集成的層次應用系統(tǒng)層 安信息平臺層 全網(wǎng)絡平臺層 體環(huán)境平臺層 系19 系統(tǒng)集成的實現(xiàn)1、充分關(guān)注接口規(guī)范2、協(xié)調(diào)和優(yōu)化系統(tǒng)3、重視工程規(guī)范和質(zhì)量管理4、建立良好的客戶關(guān)系202.4 系統(tǒng)集成的原則1、實用性原則2、先進性原則3、可擴充、可維護性原則4、可靠性原則5、安全性原則6、經(jīng)濟性原則212.5 系統(tǒng)集成的具體工作1、系統(tǒng)邏輯結(jié)構(gòu)圖的設計2、項目及分包商的管理3、硬件和軟件產(chǎn)品的采購4、應用軟件的開發(fā)5、培訓222.6 系統(tǒng)集成設計的標準1、中國工程建設標準化協(xié)會標準建筑與建筑群網(wǎng)絡集成

17、系統(tǒng)工程設計規(guī)范2、IEEE 802 標準 （教材34頁）3、系統(tǒng)集成設計過程中應注意以下事項： a、客戶通信要求的評估； b、一定要進行實地考察，以便對設施的安裝進行評估； c、確定通信網(wǎng)絡及需要的介質(zhì)； d、系統(tǒng)初步設計成本估算； e、系統(tǒng)配置的最終布局及記錄藍圖、包括電纜走向文檔、光纖分配和管道布局與接合細節(jié)、光纖鏈路、損耗預算、訂貨信息； 232.7 系統(tǒng)集成的優(yōu)點1、責任單一。系統(tǒng)集成商負有全部責任。2、能最大限度地滿足用戶的需求。3、最大限度地滿足系統(tǒng)內(nèi)部的一致性。4、保證用戶能得到最好的解決方案。24第三章 網(wǎng)絡工程的規(guī)劃與需求分析25第三章 網(wǎng)絡工程的規(guī)劃與需求分析網(wǎng)絡工程的規(guī)

18、劃網(wǎng)絡工程的需求分析接入網(wǎng)與接入技術(shù)網(wǎng)絡工程的規(guī)劃與需求分析實例難點263.1 網(wǎng)絡工程的規(guī)劃構(gòu)建一個網(wǎng)絡的過程可歸納為3個階段：規(guī)劃設計、安裝調(diào)試和運行維護。網(wǎng)絡規(guī)劃的基本原理: 就是為將要建立實施的網(wǎng)絡系統(tǒng)提出一套完整的設計和方案，滿足用戶提出的建網(wǎng)目的。在規(guī)劃時，對建立一個什么形式、多大規(guī)模、具有哪些功能的網(wǎng)絡等問題做出全面的論證，并對建網(wǎng)所需的人力、物力和財力投入等做出總體的規(guī)劃。273.1 網(wǎng)絡工程的規(guī)劃網(wǎng)絡規(guī)劃的內(nèi)容：可行性研究與計劃：包括技術(shù)的可行性和經(jīng)費預算的可行性。需求分析方案設計設備選型投資預算：包括網(wǎng)絡硬件設備、網(wǎng)絡工程施工、軟件購置、安裝調(diào)試、人員培訓、售后服務、運行維

19、護以及應用軟件的開發(fā)等費用。編寫技術(shù)文檔：包括網(wǎng)絡總體規(guī)劃、可行性論證報告、用戶需求、技術(shù)分析、網(wǎng)絡基本體系結(jié)構(gòu)和選型、網(wǎng)絡建設應達到的目的及費用預算等。283.2 網(wǎng)絡工程的需求分析網(wǎng)絡需求分析是在網(wǎng)絡設計過程中的第一步。工作步驟 1、收集商業(yè)需求 2、收集客戶群體需求 3、收集支持客戶和客戶應用的網(wǎng)絡需求293.2 網(wǎng)絡工程的需求分析明確網(wǎng)絡設計目標：增加收入和利潤增強合作和交流，共享數(shù)據(jù)資源加強對分支機構(gòu)或部屬的調(diào)控能力縮短產(chǎn)品開發(fā)周期，提高雇員生產(chǎn)力與其他公司建立伙伴關(guān)系擴展進入世界市場轉(zhuǎn)變?yōu)閲H網(wǎng)絡產(chǎn)業(yè)模式使落后的技術(shù)現(xiàn)代化降低電信及網(wǎng)絡成本，包括與語音、數(shù)據(jù)、視頻等獨立網(wǎng)絡有關(guān)的開

20、銷將數(shù)據(jù)提供給所有雇員及所屬部門，以使其做出更全面的決定提高關(guān)鍵任務應用程序和數(shù)據(jù)的安全性和可靠性提供更好的客戶支持和新型的客戶服務。303.2 網(wǎng)絡工程的需求分析明確客戶的網(wǎng)絡應用 應用名稱應用類型是否為新應用重要性備注Sql Server2000數(shù)據(jù)庫是非常重要06年11月20日開始使用網(wǎng)絡應用統(tǒng)計表313.2 網(wǎng)絡工程的需求分析分析網(wǎng)絡應用約束政策約束預算約束時間約束應用目標檢查323.2 網(wǎng)絡工程的需求分析分析技術(shù)指標一、影響網(wǎng)絡性能的主要因素距離時效擁塞服務類型可靠性信息冗余一點決定整體333.2 網(wǎng)絡工程的需求分析二、網(wǎng)絡性能參數(shù)時延吞吐量丟包率時延抖動路由器帶寬響應時間利用率效率

21、343.2 網(wǎng)絡工程的需求分析三、可用性四、可擴展性五、安全性六、可管理性七、適應性八、可購買性353.2 網(wǎng)絡工程的需求分析確定網(wǎng)絡的規(guī)模工作組或小型辦公室局域網(wǎng)部門局域網(wǎng)骨干網(wǎng)絡企業(yè)級網(wǎng)絡須確定：哪些部門需要進入網(wǎng)絡哪些資源需要上網(wǎng)有多少網(wǎng)絡用戶采用什么檔次的設備網(wǎng)絡及終端設備的數(shù)量363.2 網(wǎng)絡工程的需求分析網(wǎng)絡拓撲結(jié)構(gòu)分析明確以下指標：網(wǎng)絡的接入點的數(shù)量網(wǎng)絡接入點的分布位置網(wǎng)絡連接的轉(zhuǎn)接點的分布位置。網(wǎng)絡設備間的位置網(wǎng)絡中各種連接的距離參數(shù)其他結(jié)構(gòu)化綜合布線系統(tǒng)中的基本指標373.2 網(wǎng)絡工程的需求分析分析網(wǎng)絡的通信特征用Visio繪制網(wǎng)絡拓撲結(jié)構(gòu)圖，確定網(wǎng)絡的子網(wǎng)邊界，把網(wǎng)絡分成幾

22、個易于管理的域。確定域內(nèi)設備（現(xiàn)有的和以后擴充的）。分析網(wǎng)絡流量特征，確定流量基線。38任務：1、上交作業(yè)2、根據(jù)各組平面圖綜合計算出：有多少網(wǎng)絡用戶網(wǎng)絡及終端設備的數(shù)量3、說明網(wǎng)絡設計目標4、明確網(wǎng)絡應用，建立網(wǎng)絡應用統(tǒng)計表5、分析網(wǎng)絡應用約束39第四章 網(wǎng)絡設計40第四章 網(wǎng)絡設計網(wǎng)絡總體設計邏輯網(wǎng)絡設計地址的分配與聚合設計冗余設計安全設計邏輯設計文檔編寫414.1 網(wǎng)絡總體設計網(wǎng)絡總體設計主要內(nèi)容包括：網(wǎng)絡采用的系統(tǒng)體系結(jié)構(gòu)網(wǎng)絡采用的拓撲結(jié)構(gòu)網(wǎng)絡設備的選型和技術(shù)參數(shù)服務器的類型及容量網(wǎng)絡操作系統(tǒng)及采用的協(xié)議網(wǎng)絡傳輸通道及詳細的技術(shù)指標網(wǎng)絡的安全、可靠性措施網(wǎng)絡管理應用系統(tǒng)的配置及開發(fā)等。

23、42需求分析現(xiàn)有的網(wǎng)絡體系結(jié)構(gòu)分析確定網(wǎng)絡邏輯結(jié)構(gòu)確定網(wǎng)絡物理結(jié)構(gòu)安裝和維護43現(xiàn)有的網(wǎng)絡體系分析文檔資料內(nèi)容：現(xiàn)有網(wǎng)絡的邏輯拓撲圖反應網(wǎng)絡容量的每個應用，網(wǎng)絡及網(wǎng)絡整體所需的通信容量和模式詳細的數(shù)據(jù)統(tǒng)計，基本的測量值和所有其他直接反映現(xiàn)有網(wǎng)絡的測量值。Internet接口和廣域網(wǎng)提供的服務質(zhì)量報告限制因素列表清單，例如：必須使用現(xiàn)有的線纜和設備等。44確定網(wǎng)絡邏輯設計邏輯網(wǎng)絡設計圖IP地址方案安全方案具體的軟件，硬件，廣域網(wǎng)連接設備和基本的服務雇傭和培訓新網(wǎng)絡員工的具體說明初步對軟硬件，服務，員工的培訓的費用估計45確定網(wǎng)絡物理結(jié)構(gòu)物理網(wǎng)絡圖和布線方案設備和部件的詳細列表清單安裝日程表，用以

24、詳細說明實際和服務中斷的時間以及期限安裝后的測試計劃用戶的培訓計劃46安裝和維護安裝最后更新的邏輯網(wǎng)絡圖和物理網(wǎng)絡圖對線纜、連接器和設備做了清晰的標識為以后的維護和糾錯帶來方便的記錄和文檔，包括測試結(jié)果和新的數(shù)據(jù)流量記錄。維護474.2 網(wǎng)絡邏輯設計計算機網(wǎng)絡邏輯設計的主要過程包括：確定邏輯設計目標網(wǎng)絡拓撲結(jié)構(gòu)設計地址的分配與聚合設計冗余設計安全設計48確定邏輯設計目標設計目標應滿足需求分析中提出的需求，以提供特定功能的服務。一般包括：最低的運作成本不斷提高網(wǎng)絡整體性能易于用戶級操作和使用增強安全性增強適應性和靈活性49網(wǎng)絡拓撲結(jié)構(gòu)設計網(wǎng)絡拓撲結(jié)構(gòu)設計是網(wǎng)絡穩(wěn)定可靠運行的基礎(chǔ)。通常網(wǎng)絡拓撲采用

25、分層結(jié)構(gòu)，可分為核心層、分布層和接入層。按照分層結(jié)構(gòu)規(guī)劃網(wǎng)絡拓撲時應遵循以下兩條基本原則網(wǎng)絡中因拓撲結(jié)構(gòu)改變而受影響的區(qū)域應被限制到最小程度。路由器（及其網(wǎng)絡設備）應傳輸盡量少的信息。核心層分布層接入層50分層拓撲設計要點 核心層 核心層的主要工作是交換數(shù)據(jù)包。不要在核心層執(zhí)行網(wǎng)絡策略。核心層的所有設備應具有充分的可到達性。 分布層 主要設計目標：隔離拓撲結(jié)構(gòu)的變化，控制路由表的大小，收斂網(wǎng)絡流量。 接入層 主要設計目標：將流量饋入網(wǎng)絡。控制訪問嚴禁直接的廣播51分層拓撲結(jié)構(gòu)的優(yōu)點把一個大問題分解成幾個小問題，從而容易解決。將局部拓撲結(jié)構(gòu)的改變所產(chǎn)生的影響降至最小。減少路由器必須存儲和處理的數(shù)

26、據(jù)量。提供良好的路由聚合數(shù)據(jù)流收斂。52地址的分配與聚合設計地址分配是網(wǎng)絡規(guī)劃設計中的要點之一，正確的地址分配方案要充分考慮對以下兩個指標的影響：路由表的大小。拓撲結(jié)構(gòu)變化后，相應信息所必須傳輸?shù)木嚯x。消除對上述指標影響的有效方法是聚合。53聚合舉例10.1.6.0./24接入層分布層核心層ABCDEFGH可以在分布層路由器G上把A、B、C、D聚合成一條路徑 54地址分配的原則分布層是分層網(wǎng)絡中最自然的聚合場所。如果拓撲結(jié)構(gòu)有變化，接入層的變化會被分布層路由器聚合，將受影響的區(qū)域縮小在本地分布層范圍之內(nèi)。在分配地址時要考慮聚合，使得核心路由表盡量地小，以便提高效率。一般地址分配可以按照以下四種

27、方法進行：按申請順序分配按行政劃分分配按地域劃分分配按拓撲方式劃分其中按拓撲方式劃分比較容易聚合。但在設計時要結(jié)合行政機構(gòu)的劃分的方法，以便易于管理。（具體實例見教材69頁）應該認識到，易于聚合的代價是地址的浪費。地址分配的一般原則：使用盡可能大的地址空間，如IPv6地址空間。留下空間以供將來擴展。55冗余設計為了防止網(wǎng)絡上的單點故障，就要考慮冗余。但如果缺乏缺乏恰當?shù)囊?guī)劃和實施，冗余的鏈接和連接點會削弱網(wǎng)絡的層次性和降低網(wǎng)絡的穩(wěn)定性。所以在設計冗余時要遵循以下兩個要求：只有在正常線路斷掉時，才使用冗余路徑，除非冗余路徑用作平衡負載只用。如果設備或鏈接不是為數(shù)據(jù)通信規(guī)劃的，就不要在其上傳輸數(shù)據(jù)

28、。56冗余設計要點一、核心層冗余目標：減少跳數(shù)；減少可用的路徑數(shù)量；增加核心層可承受的故障數(shù)量。方法：1、完全網(wǎng)狀 2、部分網(wǎng)狀 特點：1、多個到任意目的的可用路徑。 2、正常情況下到任意目的要兩跳。 3、最壞的情況，最大跳數(shù)為4。該方案是折中了跳數(shù)、冗余和網(wǎng)絡中路徑數(shù)量的好方法。57冗余設計要點二、分布層冗余方法：1、歸接入核心層（雙歸） 2、到其他分布層設備的冗余鏈接核心層分布層核心層分布層58冗余設計要點三、接入層冗余 和接入層類似，一般采用雙歸。核心層分布層接入層59任務一、繪制網(wǎng)絡拓撲圖 參考資料：理工學院平面圖理工學院拓撲圖二、分配IP地址 要考慮到便于識別、便于管理、便于擴充、便

29、于聚合。604.5 安全設計網(wǎng)絡安全的定義網(wǎng)絡安全實質(zhì)上指的就是網(wǎng)絡上的信息安全，是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，免受偶然的或者惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡安全涉及到技術(shù)和管理兩方面的問題。61網(wǎng)絡安全的目標：可靠性 網(wǎng)絡信息系統(tǒng)能夠在規(guī)定條件下和時間內(nèi)完成規(guī)定功能的特性。可靠性是信息系統(tǒng)安全的最基本要求之一?？捎眯?網(wǎng)絡信息可被授權(quán)實體訪問并按需求使用的特性。即網(wǎng)絡部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務的特性?？捎眯砸话阌孟到y(tǒng)正常使用時間和整個工作時間之比來度量。保密性完整性62網(wǎng)絡安全的層次結(jié)構(gòu)物理安全環(huán)境安全設備安全

30、媒體安全安全控制操作系統(tǒng)的安全控制網(wǎng)絡接口模塊的安全控制網(wǎng)絡互聯(lián)設備的安全控制安全服務安全機制安全連接安全協(xié)議安全策略63網(wǎng)絡安全所面臨的威脅解密特洛伊木馬病毒拒絕服務信息竊取數(shù)據(jù)破壞64總體安全解決方案的分層方法一般包括：安全措施、用戶的安全意識培訓、物理安全措施、加密技術(shù)、訪問控制、用戶驗證、防火墻、Internet協(xié)議安全（Ipsec）和安全管理65OSI安全服務OSI安全體系結(jié)構(gòu)要求的安全服務內(nèi)容有以下六個方面對等實體鑒別服務訪問控制服務數(shù)據(jù)保密服務數(shù)據(jù)完整性服務鑒別服務禁止否認服務66OSI安全機制加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制交換鑒別機制業(yè)務流量填充機制路由控制機制

31、公證機制67網(wǎng)絡信息安全體系的設計原則從工程技術(shù)角度出發(fā)，應遵守以下設計原則網(wǎng)絡信息系統(tǒng)安全與保密的“木桶”原則網(wǎng)絡信息安全系統(tǒng)的“整體性”原則信息安全系統(tǒng)的“有效性與使用性”原則信息安全系統(tǒng)的“安全性評價”原則信息安全系統(tǒng)的“等級性”原則信息安全系統(tǒng)的“動態(tài)化”原則信息安全系統(tǒng)的“設計為本”原則信息安全系統(tǒng)的權(quán)限分割、互相制約和最小化原則信息安全系統(tǒng)的有的放矢、各取所需原則68網(wǎng)絡信息安全系統(tǒng)的設計和實現(xiàn)步驟分為3個部分安全體制網(wǎng)絡安全連接網(wǎng)絡安全傳輸69加密技術(shù)數(shù)據(jù)加密使數(shù)據(jù)在一種強有力的安全措施下保證機密數(shù)據(jù)不被竊取或篡改。常用的加密算法有常規(guī)密碼算法（對稱加密法）公鑰密碼算法（非對稱加

32、密法）70防火墻目前根據(jù)其實現(xiàn)方式，大致可分為兩種包過濾防火墻（工作在網(wǎng)絡層和傳輸層）應用層網(wǎng)關(guān)（工作在應用層、一般由代理服務器實現(xiàn)）71編寫邏輯設計文檔邏輯設計文檔是所有網(wǎng)絡設計文檔中技術(shù)要求最詳細的文檔之一。邏輯設計文檔的作用是完成制定解決方案，把網(wǎng)絡從通信說明書確定的階段轉(zhuǎn)向由需求說明書確定的期望階段。在該文檔中，網(wǎng)絡設計者針對通信規(guī)范說明書中所列出的設計目標，明確描述網(wǎng)絡設計的特點，所制定的每項決策都必須有通信規(guī)范說明書、需求說明書、產(chǎn)品說明書以及其他事實作為憑證。72編寫邏輯設計文檔邏輯設計文檔對網(wǎng)絡設計的特點及配置情況進行了描述，它由以下幾個主要部分組成：主管人員評價邏輯網(wǎng)絡設計討

33、論。新的邏輯設計圖表?？偝杀竟罍y審批部分73主管人員評價簡短描述項目。列出項目設計過程各階段的清單。項目各個階段目前的狀態(tài)，包括已完成的階段和正在進行的階段。74任務1、寫出網(wǎng)絡安全設計方案根據(jù)網(wǎng)絡應用，設計網(wǎng)絡安全方案。2、形成網(wǎng)絡邏輯設計文檔。根據(jù)需求分析，設計網(wǎng)絡邏輯設計文檔并說明網(wǎng)絡設計特點。3、匯總?cè)蝿铡⑿纬删W(wǎng)絡設計方案。主要包括：校園平面圖需求分析網(wǎng)絡設計目標網(wǎng)絡應用約束網(wǎng)絡拓撲圖IP地址分配方案網(wǎng)絡邏輯設計方案安全設計方案可以參照教材269頁“校園網(wǎng)方案標書”設計自己具體的格式75第五章 網(wǎng)絡設備及系統(tǒng)選型網(wǎng)絡技術(shù)選型網(wǎng)絡設備選型防火墻選型網(wǎng)絡操作系統(tǒng)、管理系統(tǒng)選型上網(wǎng)方式和服務

34、商的選擇76網(wǎng)絡技術(shù)選型以太網(wǎng)系列異步傳輸方式（ATM）多協(xié)議標簽交換（MPLS）光纖分布式數(shù)據(jù)接口（FDDI）77傳輸介質(zhì)選型雙絞線同軸電纜光纖無線電波選型注意事項：傳輸特性、連通性、地理范圍、安裝特性、防護特性、相對價格。78網(wǎng)卡的選型集線器的選型交換機的選型路由器的選型服務器的選型防火墻的選型79選擇上網(wǎng)方式PSTNDDNISDNADSL80選擇網(wǎng)絡服務提供商中國公用計算機互聯(lián)網(wǎng)（ChinaNET）中國科技網(wǎng)（CSTNet）中國教育和科研計算機網(wǎng)（CERNET）中國金橋信息網(wǎng)（CHINAGBN）聯(lián)通公用計算機互聯(lián)網(wǎng)（UNINET）81任務：1、上交作業(yè)2、根據(jù)各組平面圖綜合計算出：有多少

35、網(wǎng)絡用戶網(wǎng)絡及終端設備的數(shù)量3、說明網(wǎng)絡設計目標4、明確網(wǎng)絡應用，建立網(wǎng)絡應用統(tǒng)計表5、分析網(wǎng)絡應用約束82任務一、繪制網(wǎng)絡拓撲圖 參考資料：理工學院平面圖理工學院拓撲圖二、分配IP地址 要考慮到便于識別、便于管理、便于擴充、便于聚合。83任 務一、繪制網(wǎng)絡拓撲圖（結(jié)合信息點數(shù)量）二、分配IP地址三、地址設計聚合 參考資料： 1、理工學院平面圖2、理工學院網(wǎng)絡拓撲圖3、各組上交的平面圖要考慮到vlan設計、便于識別、便于管理、便于擴充、便于聚合。提示：用戶主要是訪問Internet，相互訪問較少，所以可以考慮設計vlan，以屏蔽廣播和提高安全性。注意： 課堂上完成任務，上交至 。參考資料：網(wǎng)絡

36、工程案例84第六章 網(wǎng)絡工程實施結(jié)構(gòu)化布線系統(tǒng)機房電源、防護、接地及相關(guān)標準工程建設和實施方案網(wǎng)絡工程監(jiān)理85結(jié)構(gòu)化布線系統(tǒng)結(jié)構(gòu)化布線是指按照標準的、統(tǒng)一的和簡單的結(jié)構(gòu)化方式編制和布置各建筑物（或建筑群）內(nèi)各種系統(tǒng)的通信線路、包括網(wǎng)絡系統(tǒng)、 系統(tǒng)、監(jiān)控系統(tǒng)、電力及照明系統(tǒng)等。86結(jié)構(gòu)化布線系統(tǒng)標準標準一般有：ISO/ICE11801 是建筑物通用布線的國際標準EIA/TIA-568 民用建筑線纜標準EIA/TIA-569 民用建筑通信通道和空間標準EIA/TIA-xxx 民用建筑中有關(guān)通信接地標準EIA/TIA-606 民用建筑通信管理標準CECS72:95 建筑與建筑群綜合布線系統(tǒng)工程設計規(guī)

37、范ISO/ICE 國際標準化組織和國際電工委員會EIA/TIA 美國電子工業(yè)協(xié)會和美國電信工業(yè)協(xié)會87結(jié)構(gòu)化布線系統(tǒng)組成結(jié)構(gòu)化布線系統(tǒng)由以下六部分組成工作區(qū)子系統(tǒng)水平子系統(tǒng)干線子系統(tǒng)設備間子系統(tǒng)管理子系統(tǒng)建筑群子系統(tǒng)88工作區(qū)子系統(tǒng) 工作區(qū)布線系統(tǒng)由工作區(qū)內(nèi)的終端設備連接到信息插座的線纜（3m 左右）所組成。它包括帶有多芯插頭的連接線纜和連接器，如： Y 型連接器、無源或有源連接器等各種連接器，起到工作區(qū)的終端設備與信息插座插孔之間的連接。并根據(jù)不同的用戶的終端設備配置相應的連接設備。常用的終端設備是計算機、 、 機等設備。每一個信息插座均設計為 RJ-45 制式。 主要設備：模塊、面板、跳線

38、等89水平子系統(tǒng) 水平布線子系統(tǒng)是整個布線系統(tǒng)的一部分，它將干線子系統(tǒng)線路延伸到用戶工作區(qū)。水平布線子系統(tǒng)與干線子系統(tǒng)的區(qū)別在于：水平布線子系統(tǒng)總是處在一個樓層上，并端接在信息插座或區(qū)域布線的中轉(zhuǎn)點上。綜合布線系統(tǒng)將上述的電纜數(shù)限制為 4 對或大對數(shù)屏蔽或非屏蔽雙絞線，它們能支持大多數(shù)現(xiàn)代通信設備。在某些寬帶應用時，可以采用光纜。 水平布線子系統(tǒng)可以是一端端接于信息插座上，另一端端接在干線接線間、衛(wèi)星接線間或設備機房的管理配線架上。水平子系統(tǒng)由每一個工作區(qū)的信息插座開始，經(jīng)水平布置一直到管理區(qū)的內(nèi)側(cè)配線架的線纜所組成。水平布線線纜均沿大樓的地面或吊頂中布線，最大的水平線纜長度應不超過 90m

39、。 主要設備： 4 對雙絞線、室內(nèi)多模光纖等90垂直干線子系統(tǒng) 垂直干線子系統(tǒng)是整個建筑物綜合布線系統(tǒng)的一部分。它提供建筑物的干線電纜的路由。通常由垂直大對數(shù)銅纜組成，它的一端端接于設備機房的主配線架上，另一端通常端接在樓層接線間的各個管理分配線架上。 垂直干線子系統(tǒng)由建筑物內(nèi)所有的垂直干線多對數(shù)線纜所組成，即有多對數(shù)銅纜、同軸電纜和多模多芯光纖以及將此光纜連接到其他地方的相關(guān)支撐硬件所組成，以提供設備間總配線架與干線接線間樓層配線架之間的干線路由。按照 EIA/TIA568 標準和 ISO/IEC11801 國際布線標準，規(guī)定了設備間主交叉連接架與中間交接架以及與樓層管理區(qū)的樓層配線架 ID

40、F 之間各類主干線線纜布線的最長距離。 主要設備：大對數(shù)線纜、室內(nèi)多模光纖等91管理區(qū)子系統(tǒng) 管理區(qū)子系統(tǒng)又由交叉連接、直接連接配線的連接硬件等設備所組成。以提供干線接線間、中間接線間、主設備間中各個樓層配線架、總配線架上水平線纜與干線線纜之間通信、線路定位與移位的管理。系統(tǒng)中各樓層配線架 IDF 可根據(jù)不同的連接硬件分別安裝在各干線接線間墻面防火板上以及安裝在 19 英寸 墻面安裝鐵架或安置在 19 英寸 機柜中?？偱渚€架 MDF 可安裝在設備機房總配線間的墻面防火板上或安裝在專用配線架上。主要設備： 24 口配線架、 光纖配線架、跳線、機柜等92設備間子系統(tǒng) 設備間子系統(tǒng)由設備間中的跳線電

41、纜、適配器組成，它把中央主配線架與各種不同設備互連起來、如 PBX ，網(wǎng)絡設備和監(jiān)控設備等與主配線架之間的連接。通常該子系統(tǒng)設計與網(wǎng)絡具體應用有關(guān)，相對獨立于通用的結(jié)構(gòu)布線系統(tǒng)。 主要設備： 24 口配線架、 光纖配線架、跳線、機柜等93建筑群子系統(tǒng) 從系統(tǒng)劃分來說，建筑群子系統(tǒng)是結(jié)構(gòu)化綜合布線系統(tǒng)一個可能的組成部分，當布線系統(tǒng)覆蓋不止一個大廈時，建筑群子系統(tǒng)就是一個必不可少的子系統(tǒng)；如布線系統(tǒng)只覆蓋一幢大樓時，建筑群子系統(tǒng)就形同虛設，或者可以不設這個子系統(tǒng)。 準確地說，建筑群子系統(tǒng)是由兩個或兩個以上建筑物的 、數(shù)據(jù)、電視系統(tǒng)組成的一個建筑群綜合布線系統(tǒng)，其連接各建筑物之間的纜線和配線設備，組成建筑群子系統(tǒng)。 主要設備：室外大對數(shù)線纜，室外光纖 94設備間子系統(tǒng)建筑群子系統(tǒng)垂直干線子系統(tǒng)管理子系統(tǒng)水平子系統(tǒng)工作區(qū)子系統(tǒng)網(wǎng)管中心95