校園網建設摘 要隨著信息時代的來臨，信息網絡在我國正處于飛速發(fā)展的階段。學校作為教育的前沿重地，為我國未來信息化人才提供重要的學習環(huán)境。因此，校園網絡的規(guī)模和應用水平將是體現(xiàn)學校教案環(huán)境和科研力量的重要組成部分。本課題首先就蘇州高博軟件技術職業(yè)學院校園網設計建設的相關知識技術要求作了必要的介紹，然后基于工程建設實際，重點對校園網建設的需求分析、設計策略、網絡拓撲結構、方案總體設計等方面進行了比較詳細的分析與描述，并給出具體 的 實 施I/47II/47目錄第1章緒論.................................................................................................................1第2章校園網設計策略.............................................................................................32.1校園網設計宗旨...............................................................................................32.1.1選擇高帶寬的網絡設計...........................................................................32.1.2網絡站點規(guī)模設計....................................................................................32.1.3充分共享網絡資源...................................................................................32.2校園網設計目標...............................................................................................42.3校園網設計原則...............................................................................................4第3章需求分析.........................................................................................................53.1工程簡況...........................................................................................................53.2應用需求...........................................................................................................63.2.1工程就用需求...........................................................................................63.2.2中心機房應用需求...................................................................................73.3網絡設備需求....................................................................................................83.4中心機房設備需求............................................................................................93.5網絡層次分析.................................................................................................103.5.1核心層需求分析......................................................................................103.5.2匯聚層需求分析......................................................................................103.5.3接入層需求分析......................................................................................103.6網絡穩(wěn)定可靠分析..........................................................................................113.7網絡安全分析..................................................................................................113.7.1內部誤用和濫用......................................................................................113.7.2拒絕服務攻擊..........................................................................................123.7.3外部入侵..................................................................................................123.7.4病毒..........................................................................................................12第4章校園網設計方案...........................................................................................134.1基本網絡拓撲.................................................................................................134.1.1網絡拓撲結構設計.................................................................................134.1.2網絡整體設計.........................................................................................134.2網絡架構設計.................................................................................................144.3組網結構.........................................................................................................17I/474.4網絡IP地址規(guī)劃.........................................................................................184.5網絡VLAN設計................................................................................................19第5章結構化布線系統(tǒng)概述...................................................................................215.1結構化布線包括的方面.................................................................................215.1.1工作區(qū)子系統(tǒng).........................................................................................215.1.2水平布線子系統(tǒng).....................................................................................215.1.3干線子系統(tǒng).............................................................................................225.1.4管理子系統(tǒng).............................................................................................225.1.5設備間子系統(tǒng).........................................................................................225.1.6建筑群子系統(tǒng).........................................................................................225.2結構化布線系統(tǒng)方案設計.............................................................................22第6章校園網網絡安全...........................................................................................246.1典型網絡方案..................................................................................................246.2主要功能特點.................................................................................................256.3通過代理服務器可實現(xiàn)的功能.....................................................................276.3.1用戶管理模式..........................................................................................276.3.2信息過濾模式.........................................................................................276.3.3訪問費用管理模式.................................................................................276.3.4提高瀏覽速度.........................................................................................286.4功能模塊.........................................................................................................286.4.1智能防御模塊.........................................................................................286.4.2自動反掃描模塊.....................................................................................286.4.3雙向網絡地址轉換模塊.........................................................................286.4.4WWW端口控制模塊................................................................................29結論.........................................................................................................................31II/47第1章緒論2004年7月20日，中國互聯(lián)網絡信息中心(CNNIC)在京發(fā)布“第十四次中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告”。報告顯示，截止到2004年6月30日，我國上網用戶總數(shù)為8700萬，比去年同期增長27.9%，上網計算機達到3630萬臺。網絡國際出口帶寬增長飛速，總數(shù)達到 53.9G，比去年同期增長 190.3%。CN下注冊的域名數(shù)、網站數(shù)分別達到 38萬和62.7萬。8700萬網民當中，教育的用戶占有 12.5%，教育用戶當中絕大部分的網民主體是來自于學生用戶，報告中主要數(shù)據(jù)說明，前十年的發(fā)展取得豐碩成果，我國互聯(lián)網事業(yè)正在持續(xù)快速的發(fā)展，并在普及應用上進入嶄新的多元化應用階段！互聯(lián)網的影響正逐步滲透到人們生產、生活、工作、學習的各個角落。 同時，隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當前工作的重點。而校園網建設則是教育系統(tǒng)信息化建設的關鍵，尤其是高校校園網建設。在信息化的建設過程中，它的作用體現(xiàn)在如下幾個方面：1、校園網能促進教師和學生盡快提高應用信息技術的水平；信息技術學科的內容是發(fā)展的，它是一門應用型學科，因此，為了讓學生學到實用的知識，必須給他們提供一個實踐的環(huán)境，這個環(huán)境離不開校園網。2、校園網為教師提供了一種先進的輔助教案工具、提供了豐富的資源庫，所以校園網是學校進行教案改革、推行素質教育的一種必不可少的工具。3、校園網是學?，F(xiàn)代化管理的基礎，深入、全面的學校信息管理系統(tǒng)必須建立在校園網上。4、校園網提供了學校與外界交流的窗口，學校應將校園網與互聯(lián)網聯(lián)接，這也是學校信息化的要求，做到了這一步，通過校園網去了解世界、在互聯(lián)網上樹立學校的形象都是很容易的。教育即未來，作為國家最重要的戰(zhàn)略工程，如何應用信息技術改造我們傳統(tǒng)的教案和管理手段；如何加深學生對于信息化和信息技術的理解與了解；如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當前最為緊迫的任務之一。信息技術的應用，勢必極大地推進教育手段和教育內容的革命性變革。我們對此深信不疑，并將全身心地為之努力。高博軟件技術職業(yè)學院正在加緊對新校區(qū)的規(guī)劃建設，學校正爭取早日改建校1/47園網網絡的互聯(lián)。開展校園網絡互聯(lián)建設，旨在推動學校信息化建設，其最終建設目標是將建設成為一個借助信息化教育和管理手段的高水平的智能化、數(shù)字化的教案園區(qū)網絡，使校園內所有人員能夠方便地得到所需要的信息 (包括文本、語音、圖像等)，最終完成網絡和統(tǒng)一軟件資源平臺的構建，實現(xiàn)統(tǒng)一網絡管理、統(tǒng)一軟件資源系統(tǒng)，為用戶提供高速接入網絡，并實現(xiàn)網絡遠程教案、在線服務、教育資源共享等各種應用；利用現(xiàn)代信息技術從事管理、教案和科學研究等工作。最終達到在網絡方面，更好的對眾多網絡使用及數(shù)據(jù)資源的安全控制，同時具有高性能，高效率，不間斷的服務，方便的對網絡中所有設備和應用進行有效的時事控制和管理。2/47第2章校園網設計策略2.1校園網設計宗旨關于校園網的建設，我們需要考慮到以下一些因素：系統(tǒng)的先進程度、系統(tǒng)的穩(wěn)定性、可擴展性、網絡系統(tǒng)的維護成本、應用系統(tǒng)與網絡系統(tǒng)的配合度、與外界互聯(lián)網絡的連通、建設成本的可接受程度。為此，我們有以下建議：2.1.1 選擇高帶寬的網絡設計校園網絡應用的具體要求決定了采取高帶寬網絡的必然性。由于多媒體教案課件包含了大量的聲音，圖像，動畫信息，因此該校園網絡應盡可能地采用最新的高帶寬網絡技術。對于臺式計算機建議采用 10/100M自適應的網卡，對于校園網絡的主服務器，比如數(shù)據(jù)庫服務器，文件服務器以及 Web服務器等，也采用100M的網絡聯(lián)接，以為網絡的核心服務器提供更高的網絡帶寬。由電信局提供網絡出口帶寬不低于2Mbps接入網絡中心。2.1.2網絡站點規(guī)模設計校園網絡的用戶數(shù)量，聯(lián)網的計算機或服務器的數(shù)量也是逐步增加的，網絡技術也是日新月異，新產品新技術不斷涌現(xiàn)。校園網絡建立在資金相對緊張的前提下，建議盡量采用當今最新的網絡技術，并且要分步實施，校園網絡的建立應該是一個循序漸進的過程。這就要求要選擇具有良好擴充性能的網絡互聯(lián)設備。這樣才能充分保護現(xiàn)有的投資。2.1.3 充分共享網絡資源聯(lián)網的核心目的是共享計算機資源。通過網絡不僅僅可以實現(xiàn)文件共享、數(shù)據(jù)共享，還可通過網絡實現(xiàn)對一些網絡外圍設備的共享，比如打印機共享、 Internet訪問共享、存儲設備共享等等。比如對于一個多媒體教室的網絡應用，完全可以通過有關設備實現(xiàn)網絡打印資源共享、 Internet訪問和電子郵件共享以及網絡存儲資源共享。3/472.2校園網設計目標根據(jù)我校目前的條件和以后發(fā)展趨勢，以現(xiàn)代網絡技術為依托，建成技術先進、擴展性強、能覆蓋全校主要樓宇，以千兆網為主干、百兆交換到桌面的校園主干局域網，將學校的各種 PC機、工作站、終端設備和局域網連接起來，并且用 DDN專線與Internet相連，形成結構合理、內外溝通的校園計算機網絡系統(tǒng)，在此基礎上建立建設一個集數(shù)據(jù)、語音、視頻服務于一體的高帶寬、多功能、多服務、開放的、多業(yè)務接入的IP多媒體交換網，以滿足教案、科研和管理的軟硬件平臺，為我校廣大師生以及科研人員利用網絡資源、從事教案、科研、管理和應用系統(tǒng)開發(fā)提供良好服務。2.3校園網設計原則為建設一個高起點、高標準、高性能的校園網，應遵循以下原則：標準化、規(guī)范化。采用開放的標準網絡通信協(xié)議，選擇符合工業(yè)標準的網絡設備，以利于其它網絡之間的平滑連接及將來網絡的擴展。先進性。在網絡設計中要把先進的技術與現(xiàn)有成熟技術和標準結合起來充分考慮網絡應用的現(xiàn)狀和未來發(fā)展趨勢。安全性、可靠性。采用先進可靠的網絡操作系統(tǒng)、應用軟件及網關設備，制定統(tǒng)一的網絡安全策略?？晒芾硇院涂删S護性。對網絡實行集中監(jiān)測、分權管理，統(tǒng)一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口的管理和流量統(tǒng)計分析等擴充性。根據(jù)未來業(yè)務的增長和變化，網絡可以平滑擴充和升極，最大程度的減少對網絡架構和現(xiàn)有設備的調整，為網絡擴充留有余地。性價比合理。由于我校資金有限，在選擇網絡設備時，性能價格比也是考慮的主要因素之一。4/47第3章需求分析3.1工程簡況校園網是各種類型網絡中的一大分支，有著非常廣泛的應用。隨著信息技術的飛速發(fā)展，校園網的建設已經逐漸提到議事日程上來。對比國外校園網的建設和使用情況，我國目前的大多數(shù)校園網的結構、規(guī)模和應用都不是很完整，網絡設備、計算機設備的功能沒有得到充分地挖掘和發(fā)揮。建設校園網對每個學校來說都不是一件容易的事情，都要經過周密的論證、謹慎的決策和緊張的施工。作為校園網，需要連接多少個節(jié)點，怎樣利用網絡設備使得分布在不同地理位置的節(jié)點連接到一個統(tǒng)一的網絡中來，怎樣使得整個網絡中的節(jié)點相互連通，這些問題僅僅是校園網需要解決問題中的一部分。高博軟件技術學院是以培養(yǎng)軟件人才為主的工科普通高等院校，校園分為教案、實驗、運動、辦公、生活等五大功能區(qū)域，設計和布局體現(xiàn)了現(xiàn)代科技和文化名城的美妙結合。學校開設了軟件技術、計算機信息管理、計算機網絡技術、網絡系統(tǒng)管理和計算機多媒體技術共5個專業(yè)，分為Web應用開發(fā)、桌面應用開發(fā)、嵌入式系統(tǒng)、信息工程監(jiān)理等12個專業(yè)方向。為加快該新校區(qū)的網絡信息化建設，滿足該校信息化需求，新校區(qū)網絡主要實現(xiàn)新區(qū)網絡中心到辦公區(qū)、教案區(qū)、學生生活區(qū)以及教師生活區(qū)、實驗場館等地光纖高速接入校園網，實現(xiàn)了千兆到樓、百兆到桌面、連接校內所有建筑物的快速校園網絡。5/473.2應用需求3.2.1 工程就用需求序號123456789

表3-1應用需求數(shù)量需求描述預計完成日期寬帶接入1條新區(qū)科技城接入電信光纖城域網Internet服務、院局域網1個三層架構，設備以華為品牌為主辦公室，教務管理采用100M無線AP主要用于行政Internet服務、電無線網1個樓，教師宿舍，食堂包間子教室Internet服務、機房6個獨墅湖校區(qū)WWW、FTP、E-mail機房8個新區(qū)科技城語音室2個新區(qū)科技城電子閱覽室1個新區(qū)科技城學生宿舍網絡1個按學院管理做計劃中心機房1個對光線、溫度、濕度的控制范圍6/473.2.2 中心機房應用需求序號12345678910111213141516171819202122

表3-2應用需求數(shù)量需求描述預計完成日期網站服務1用于運行校園Web網站DNSServer1DHCPServer1WINSServer1放在主基礎結構服務器上實現(xiàn)冗余能力ISAServer1軟件防火墻及應用軟件篩選MailServer1提供學院內部電子郵件服務FTPServer1ExchangeServer1電子郵件、日程表、任務管理、公共文件ActiveDirectory1組策略：為管理員提供一種配置和管理用戶及計算機設置的方法。文檔共享、聯(lián)機討論和調查等。ExtranetWeb1IntranetWeb承載各種功能的Web站點，如：通告、活動、幫助臺、休假日歷、聯(lián)系人列表等StorageServer1用于存放或備份管理文件VPN1使遠程用戶安全的聯(lián)接到學院LANSUS1服務器和客戶端都安裝最新補丁教案管理系統(tǒng)1用于管理學籍、排課、成績、檔案等一卡通系統(tǒng)1用于管理學生水電、消費、上網等費用日記管理1國家對信息管制要求保存3個月的上網信息后臺數(shù)據(jù)庫1根據(jù)運行的系統(tǒng)對后臺的需求制定防毒服務器1制定病毒碼升級方案及殺毒策略實行統(tǒng)一管理網絡殺毒軟件1套包含服務器端和客戶端備份和恢復1將數(shù)據(jù)備份到磁帶，提高數(shù)據(jù)安全性基礎服務冗余1DNS、WINS、DHCP、ADSAN1存儲區(qū)域網7/473.3網絡設備需求表3-3研發(fā)樓網絡點數(shù)統(tǒng)計研發(fā)樓教室階梯教室辦公室會議室消防中心接待大廳機房弱電間一層18221111網點數(shù)3668222二層182311網點數(shù)36682三層20212網點數(shù)406四層68（實11（培）1訓）網點數(shù)12光纖83光纖五層7451（培）1網點數(shù)148103光纖研發(fā)樓網點總數(shù)為：56+52+46+23+35=212接入層交換機數(shù)量：3+3+3+10+2=21個（24口交換機）序號設備名稱數(shù)量設備描述價格1光纖1條電信光纖接入送8個IP地址，初裝6,000/月費308元2核心層交換機2臺H3com75063匯聚層交換機1接入宿舍1、2、4，食堂1202宿舍1、2、4，食堂1，H3CS3100-646,400元26C以太網交換機主機，3,200元/臺4接入層交換機21教案樓67,200元202宿舍3、5、6、7，食堂2646,400元5無線AP8/473.4中心機房設備需求序號設備名稱數(shù)量1路由器12防火墻13機柜24UPS15KVM16主基礎結構服務器17輔助基礎結構服務器18防火墻、VPN19StorageServer110消息傳遞服務器111Web服務器112教案管理服務器213財務專用214磁盤柜1軟件1 網絡管理軟件 12殺毒軟件13TM1

表3-4設備描述AR18-63-1千兆以太網路由器華為3ComEudemon1000，并發(fā)連接數(shù)：800000800*950高2M功率：20~40KW 后備時間：2~4小時口控制器DNS、DHCP、WINS、AD、防病毒、補丁管理服務、證書服務DNS、DHCP、WINS、AD服務冗余服務防火墻和代理、 VPN、入侵檢測、Web緩存文件存儲服務、備份和還原服務TM學院網站教案管理系統(tǒng)OracleandMS-SQL1T\2T方案比較H3CQuidview-網絡管理框架NMF(含50節(jié)點)-forWindows-純軟件(CD)中文版，已包含設備管理系統(tǒng)。要求贈送可集中管理即時消息傳送系統(tǒng)

價格11,50090,00025,7609/473.5網絡層次分析根據(jù)網絡需求分析網絡應包括核心層、匯聚層和接入層三個層次，其中核心層由大容量以太網交換機組成，匯聚層由三層交換設備組成，接入層由二層交換設備組成。3.5.1核心層需求分析核心設備擔負著連接匯聚設備和部分接入的工作，是整個網絡的核心，同時通過核心設備與教育城域網、Internet進行互聯(lián)。由于核心層設備擔負著整個網絡的流量。核心設備和鏈路的穩(wěn)定性將直接影響整個網絡的可靠運行。由于核心設備在網絡中核心的位置需要高性能，所有的功能部件(電源、系統(tǒng)總線、處理器模塊、網絡接口模塊等)均可以熱插拔和冗余熱備份等特性。完成網絡核心層高速數(shù)據(jù)交換、轉發(fā)以及穩(wěn)定性的要求。核心網絡性能是整個網絡良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保證各種業(yè)務的高質量傳輸，才能使網絡不成為業(yè)務開展的瓶頸。3.5.2匯聚層需求分析匯聚設備擔負著網絡接入和連接核心設備的重任，網絡匯聚層有著承上啟下的重要任務。匯聚設備不但要完成接入層的鏈路匯聚和流量匯聚還要完成本地數(shù)據(jù)的交換以及接入和核心之間的數(shù)據(jù)轉發(fā)。作為核心層的入口和接入層的出口，匯聚層的身份如同關卡。為保證整個網絡良好運行在匯聚層同樣需要高性能、關鍵部件冗余等特性。3.5.3接入層需求分析接入層在整個高博軟件技術校園網絡的邊緣，廣大師生通過接入設備接入校園網絡。根據(jù)目前的業(yè)務需求，安全和高效是必需的要求，需要交換機支持訪問控制、傳輸質量控制、數(shù)據(jù)過濾、網絡病毒防護等功能，即作為接入網絡的入口設10/47備，智能識別是一項十分重要的功能。智能識別包括用戶識別和數(shù)據(jù)業(yè)務類型識別。用戶識別是為了保證網絡的安全。業(yè)務類型識別是保證業(yè)務數(shù)據(jù)的分類，幫助網絡對業(yè)務數(shù)據(jù)的服務質量。3.6網絡穩(wěn)定可靠分析在校園網絡建設中存在多用戶、多服務的現(xiàn)狀。帶來了對網絡系統(tǒng)要求具有高效率等，以保證大數(shù)據(jù)量訪問下有效的處理能力。針對需求設備要能對數(shù)據(jù)做到分布式處理，這樣的分布式處理可以節(jié)省主交換引擎的消耗。使數(shù)據(jù)在獨立的板卡上就能做出對數(shù)據(jù)的識別，這樣比在中央處理器識別要快的多。并在大量的數(shù)據(jù)應用、數(shù)據(jù)傳輸過程中，要保證所有硬件設備都可以進行快速的轉發(fā)，要具備高背板帶寬（交換容量），所有端口都能保證線速轉發(fā)。這種分布式處理可以極大地提高整體處理能力，保證了網絡暢通?，F(xiàn)在的網絡環(huán)境中穩(wěn)定可靠是爭相談論的話題，因現(xiàn)在在網絡中運行了眾多重要應用及服務，是要保證7*24小時不間斷的服務。就要完全能保證網絡設備全天后的可用性。即使在設備出現(xiàn)問題時切換到備用設備的過程中，也要保證較小的延遲，以滿足網絡應用中的有效暢通的需要。在這樣的需求中利用，冗余的管理交換引擎、冗余的電源等關鍵部件的冗余，支持（ 802.1D、802.1W）802.1S多Vlan生成樹協(xié)議保證鏈路級的冗余和負載均衡，支持 VRRP、OSPF等三層路由協(xié)議保證路由級的冗余，支持loadbalancing技術實現(xiàn)了應用級的冗余備份和負載均衡。全方位的完全保證了設備、網絡、應用系統(tǒng)的可靠性。3.7網絡安全分析3.7.1內部誤用和濫用各種調查都顯示來自于內部的誤用 (操作)和濫用對學校網絡和業(yè)務的影響都是最為致命的，通常的比例高達 70%。這樣，如何高效地防止誤用損失、阻止濫用、監(jiān)測業(yè)務網絡的健康運行，并且在實際發(fā)生后能夠成功地進行定位和取證分析，這樣的能力對于一個學校顯得至關重要。11/473.7.2拒絕服務攻擊值得注意的是，當前網絡受到的拒絕服務攻擊的威脅正在變得越來越緊迫。對拒絕服務攻擊的解決方案也越來越受到大家的關注。對大規(guī)模拒絕服務攻擊能夠阻止、減輕、躲避的能力是標志著一個學校網絡能否向用戶承諾更為健壯、具有更高可用性的服務，也是一個學校的網絡安全水平進入一個新境界的重要標志。3.7.3外部入侵這里是通常所說的黑客威脅。從前面幾年時間的網絡安全管理經驗和滲透測試結果來看，當前大多數(shù)的網絡設備和服務都存在著被入侵的痕跡，甚至各種后門。這些是對網絡自主運行的控制權的巨大威脅，使得客戶在重要和關鍵應用場合沒有信心，損失業(yè)務，甚至造成災難性后果。3.7.4病毒病毒時時刻刻威脅著整個互聯(lián)網。前段時間美國國防部遭受的大規(guī)模病毒爆發(fā)都使得整個網絡癱瘓了數(shù)個小時，而 MSBlaster 及Nimda和CodeRed的爆發(fā)更是具有深遠的影響，促使人們不得不在網絡的各個環(huán)節(jié)考慮對于各種病毒的檢測防治。對病毒的徹底防御重要性毋庸置疑。針對上面這些問題，通過將用戶強制安全、統(tǒng)一策略管理、動態(tài)帶寬分配、嵌入式安全機制集成到一個網絡安全解決方案中，達到對網絡安全威脅的自動防御，網絡受損系統(tǒng)的自動修復，同時針對網絡環(huán)境的變換進行網絡環(huán)境自動學習，從而達到對未知網絡安全事件、以及 DDos等攻擊手段的防范。12/47第4章校園網設計方案4.1基本網絡拓撲4.1.1 網絡拓撲結構設計方案設計以千兆以太網技術為基礎，萬兆以太網為目標，采用主干萬兆，支干千兆，百兆交換桌面的三層設計思路，分為核心層、匯聚層、接入層．核心層設計 2臺高性能萬兆核心路由交換機，和分中心的萬兆高性能交換機組成全冗余的萬兆雙鏈路，保證了校園網的高速數(shù)據(jù)路由交換，并且具有很好的可擴展性。圖4-1校園網絡拓撲圖4.1.2 網絡整體設計1）核心層設計網絡中心節(jié)點作為校園網絡系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當網絡流量較大時，對關鍵業(yè)務的服務質量提供保障。另外作為整個網絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。因此在網絡中心的設備選型和結構設計上必須考慮整體網絡的高性能和高可靠性。具體來說核心節(jié)點的交換機有兩個基本要求：1）高密度端口情況下，還能保持各端口的線速轉發(fā)；2）關鍵模塊必須冗余，如管理引擎、電源、風扇。由于校園網建設最終必將采用萬兆技術，因此需要考慮到核心設備對萬兆的支持能力。13/47綜上所述，主干核心交換機屬于高端系列的產品，所以在本方案中，核心交換機采用多業(yè)務萬兆交換機?？梢愿鶕?jù)用戶的需求靈活配置，靈活構建彈性可擴展的網絡。多業(yè)務萬兆交換機高背板帶寬和二/三層包轉發(fā)速率可為用戶提供高速無阻塞的交換，強大的交換路由功能、安全智能技術可為用戶提供完整的端到端解決方案，是大型網絡核心骨干交換機的理想選擇。2）匯聚層設計根據(jù)高博軟件技術職業(yè)學院的實際情況，我們把匯聚層設備分成了兩種：區(qū)域型匯聚和小型匯聚。區(qū)域型匯聚負責各個大型區(qū)域的數(shù)據(jù)鏈路匯聚，小型匯聚負責各個樓層設備的上連匯聚工作。從整體而言匯聚層是校區(qū)的數(shù)據(jù)匯聚平臺，為全網提供了快速交換支持，是各區(qū)域數(shù)據(jù)、媒體流會聚主節(jié)點。匯聚路由交換機需要具備高可靠性、高性能、高端口密度、高安全性、可管理性等要求，并具有網絡可擴容升級能力和多種業(yè)務支持能力。在完成高速交換的基礎上，能夠提供穩(wěn)定可靠的網絡基礎服務功能并能夠支持下層的基礎功能、分布服務以及 QoS保證。3）接入層設計接入層網絡是純二層交換網絡，提供用戶的網絡接入。由于接入層設備需要部署在樓層，因此要求這些設備容易管理并且投資成本少。樓層交換機組均通過雙千兆光纖上聯(lián)到核心層的中心主交換機，同時所有接入層交換機組以百兆雙絞線交換到桌面，保證了巨大的帶寬應用。學院采用了支持 SNMP、RNOM和RMONⅡ網管協(xié)議，基于WEB網絡管理功能的網管型交換機，支持冗余鏈路，能實現(xiàn)接入控制，對廣播風暴起到限制作用，且交換機易于管理。校區(qū)部署管理平臺和認證計費平臺，從而完成全網的用戶管理、設備管理和日志管理等．上述高速網絡配置的部分功能特性，為新校區(qū)高帶寬應用 (如視頻流和IP組播)提供了高可用性和高性能的理想解決方案．4.2網絡架構設計整個新校區(qū)網絡分成校園辦公網和宿舍網兩個部分，宿舍網有自己獨立的出口，另外還接入校園網，以便訪問校內資源和接受學校的監(jiān)督管理。校園網骨干網絡采用雙核心拓撲結構，下屬匯聚節(jié)點以以千兆雙鏈路接入校14/47園網核心設備。各接入點的用戶根據(jù)情況分別以百兆速率接入校區(qū)網絡。圖4-2校園網絡架構在該方案中，網絡整體架構分為：網絡核心設備（校園網雙核心）、區(qū)域匯聚設備（宿舍樓等）、直接接入設備（圖文中心，實訓中心、教案區(qū)等）。網絡中心節(jié)點采用二臺 RG-S8606多業(yè)務萬兆核心路由交換機作為核心交換機，雙機熱備，核心通過多條千兆鏈路和下連的區(qū)域匯聚設備RG－S3760、STAR-S2128G等交換機進行連接，接入層設備通過千兆鏈路和匯聚或者核心連接，實現(xiàn)千兆上聯(lián)百兆接入。RG-S8600是銳捷網絡推出的面向十萬兆平臺設計的下一代高密度多業(yè)務IPV6核心路由交換機，滿足未來以太網絡的應用需求，支持下一代的以太網 100G速率接口，RG-S8600系列高密度多業(yè)務 IPV6核心路由交換機提供 3.2T/1.6T 背板帶寬，并支持將來更高帶寬的擴展能力，高達 1190Mpps/595Mpps的二/三層包轉發(fā)速率可為用戶提供高密度端口的高速無阻塞數(shù)據(jù)交換。RG-S8600系列高密度多業(yè)務 IPV6核心路由交換機提供全面的安全防護體15/47系，提供分布式的業(yè)務融合平臺，滿足未來網絡對安全和業(yè)務的更高需求。出口采用 1臺高性能的 RG－WALL1600A防火墻，提高出口處理能力的同時保證出口的穩(wěn)定。防火墻在提供內網用戶上網的同時，保護內部用戶的安全。在網絡中使用雙核心，可以提供鏈路級的冗余和負載均衡。平時運行的時候可以相互備份，同時又可以提供負載均衡，提高整網的容量。一旦核心發(fā)生單點故障的時候，事先配置的好的VRRP和802.1S/W可以實現(xiàn)網絡的秒級的透明切換，從而實現(xiàn)網絡的高保障性！宿舍區(qū)每個區(qū)域樓棟都放置一臺 S3760-12SFP/GT，提供12個千兆可復用的光電口，光口通過光纖模塊上聯(lián)到核心，電口直接連接接入交換機。RG-S3760系列是銳捷網絡最新推出的業(yè)界第一款硬件全面支持 IPv6的機架式多層交換機系列產品。該系列產品為 IPv4向IPv6網絡過渡、現(xiàn)有的 IPv4網絡間通信、以及IPv6網絡間的通信提供了最直接和最方便靈活的技術實現(xiàn)和方案保障。RG-S3760系列交換機硬件支持 IPv4/IPv6雙協(xié)議棧多層線速交換和功能特性，為IPv6網絡之間的通信提供了豐富的Tunnel技術，并提供了豐富而完善的路由協(xié)議，以適合大型網絡多種路由和多業(yè)務的需要。RG-S3760系列以高性能、高安全、多業(yè)務、易用性特性為大型網絡匯聚和中型網絡核心提供了IPv4/IPv6的多層交換、端到端的服務質量、靈活豐富的安全措施和基于策略的網管，最大化滿足高速、安全、多業(yè)務的下一代網絡需求。圖文中心，實訓中心、教案區(qū)等信息點不是很多的區(qū)域，為了網絡簡單易管理，建議直接二層網絡架構，接入層直接雙路千兆上聯(lián)到核心交換機，主干線路帶寬擴展：在未來升級考慮中，可將核心與核心之間或者核心與匯聚間千兆線路帶寬升級至 10G帶寬。以提高整個校園網的骨干速度。為信息交互建設一個高速的通道。IPV4－>IPV6升級：銳捷網絡 S8600系列和 S3760系列交換機都硬件支持IPV6，且都通過IPV6READY認證，在未來需要支持 IPV6時，可以平滑升級過渡到IPV6，節(jié)省用戶的投資。16/474.3組網結構InternetDELL1600SC升級型TP-LINKTL-R4000路由器D-LinkDGS-1224T中怡數(shù)寬SAFE 核心交換機CON10防火墻DELL160L升級型網管工作站TP-LINKTP-LINKTP-LINKTP-LINKTL-SL3226PTL-SL3226PTL-SL3226PTL-SL3226P交換機交換機交換機交換機TP-LINKTP-LINKTP-LINKTP-LINKTL-SL2226P+TL-SF1024TL-SF1024TL-SL2226P+交換機交換機交換機交換機工作站 工作站 工作站 工作站 工作站 工作站 工作站 工作站圖4-3校園網絡IP地址的規(guī)劃與分配：對于校園網，IP地址沖突、IP地址盜用等問題經常出現(xiàn)，隨著用戶規(guī)模越來越大，網絡管理工作越來越復雜。網絡中心采取靜態(tài) IP地址管理辦法，統(tǒng)一分配 IP地址，且一律采用先申請、后分配、集中管理的辦法。在用戶連網的同時，建立 IP地址和MAC地址的信息檔案，自始至終地對局域網執(zhí)行嚴格的管理、登記制度、將每個用戶的IP地址、MAC地址、上聯(lián)端口和用戶身份等信息記錄在網絡管理員的數(shù)據(jù)庫。虛擬局域網(VLAN)技術是為了解決局域網中存在的廣播風暴，以及網絡系統(tǒng)的可擴展性、靈活性和易管理性方面的問題。網絡中心按照學院各個職能部門多個VLAN，按照學生宿舍地理位置的不同劃分不同的 VLAN，基于服務器各種不同的應用17/47劃分幾個不同的VLAN。4.4 網絡IP地址規(guī)劃在網絡規(guī)劃中，IP地址方案的設計至關重要，好的 IP地址方案不僅可以減少網絡負荷，還能為以后的網絡擴展打下良好的基礎。IP地址的合理是保證網絡順利運行和網絡資源有效利用的關鍵。校區(qū) IP地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網絡內地址分配及業(yè)務流量的均勻分布。具體地來說 IP地址的合理規(guī)劃有如下的意義：1）減少對各種資源（內存、 CPU的處理能力以及網絡帶寬等）的需求—— IP地址；的合理規(guī)劃有利于網絡中路由的匯聚，因而可以使得路由器中的路由表數(shù)目以及鏈路狀態(tài)數(shù)據(jù)庫等占用的內存減少，同時更新所占用的網絡帶寬也降低了；2）有利于IP地址空間的合理使用；3）優(yōu)化業(yè)務流量的分布；4）有利于故障診斷。IP地址空間的分配與合理使用與網絡拓撲結構、網絡組織及路由政策有非常密切的關系，將對校區(qū)網的可用性、可靠性與有效性產生顯著影響，應充分考慮本地網對IP地址的需求，以滿足未來業(yè)務發(fā)展對 IP地址的需求。根據(jù)互聯(lián)網絡技術發(fā)展的趨勢，結合學校網絡目前真實 IP地址的現(xiàn)實情況，我們建議IP地址規(guī)劃遵循如下原則來設計：給校區(qū)分配公網IP地址時盡量將連續(xù)的IP地址段分配到同一校區(qū)，這樣分配有助于管理和路由匯聚。預留2個C類IP地址用于未來網絡擴展使用和對私網地址進行地址轉換的NATPool地址池。給校區(qū)分配私網IP地址時，不能出現(xiàn)沖突現(xiàn)象，根據(jù)不同校區(qū)接入點數(shù)的多少，分配連續(xù)的私網 IP地址，并給每個校區(qū)預留足夠的私網 IP地址，保證未來接入點數(shù)擴展需求。服務器區(qū)采用真實IP地址，供人員遠程訪問；與internet互聯(lián)設備IP地址采用真實IP地址；18/47部分用戶采用真實IP地址；部分內部互連采用私有IP地址；面向用戶的私有IP地址，由統(tǒng)一出口的邊緣設備（路由器、防火墻）進行地址翻譯。即出口路由器（防火墻）互聯(lián)采用合法IP地址；公共服務器如WWW/FTP/DNS/資源服務器等均采用合法地址；部分接入用戶采用私有保留 IP地址相連。這樣設計，既可以充分利用已有的公網 IP地址，同時也解決了 IP地址空間不足的，既可以方便的實現(xiàn)互通互連，而且將地址翻譯（ NAT）這種耗費設備資源的工作由網絡邊緣設備分擔，提高網絡數(shù)據(jù)傳輸整體性能。4.5網絡VLAN設計在校園網絡的整個網絡規(guī)劃當中， VLAN 的劃分是非常重要的部分，很好的利用VLAN技術的功能，能起到事半功倍的效果，對整個網絡的性能也是事關重要的。主要突出為以下幾點：VLAN 劃分，可以避免廣播風暴，在骨干網絡中尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后， VLAN 是廣播只在子網中進行，不會做無意義的廣播，消除了廣播風暴產生的條件。VLAN劃分，可以增加網絡的安全性，在不同的 VLAN之間不能隨意通訊，只限與本子網間通訊，不會對其他的子網產生干擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當好的控制。網絡管理系統(tǒng)采用完全獨立的 IP子網和VLAN，實現(xiàn)更加安全的對所有網絡設備進行管理。建立VLAN和IP子網的對應關系。提高管理效率，實現(xiàn)虛擬的工作組，減少站點的移動和改變的開銷。VLAN 間的子網訪問，可以在三層交換機上實現(xiàn)，子網間的通訊也可以在匯聚設備上實行，分流核心交換機的三層交換，優(yōu)化了組網。根據(jù)以往網絡管理經驗和骨干網絡建設的實際情況，方案建議在骨干網絡19/47VLAN 劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分 VLAN的好處有：1、方便管理。為了更好的進行 VLAN規(guī)劃的實施，因此在網絡實施前期，要對網絡中不同區(qū)域的 VLAN 設置進行詳細的規(guī)劃，細化到接入層網絡，這樣在骨干網絡這樣大型的校園網絡中如果以用戶群體來劃分 VLAN 的話，避免由于前期配置設備時復雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置，導致造成整個校園網絡中 VLAN 劃分復雜，減輕管理和后期維護。所以方案建議骨干網絡劃分VLAN 方式前進行詳盡規(guī)劃，這樣既可以減少廣播域，又達到劃分 VLAN，方便管理的效果，對于后期網絡維護和升級具有十分現(xiàn)實的意義。2、易于實施。按群體劃分 VLAN 在工程實施中就十分的方便，不會造成VLAN劃分復雜失誤而使得網絡出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網絡中心整體規(guī)劃。3、VLAN間路由采用三層交換設備進行 VLAN路由。以便不同 VLAN間進行訪問，對于學校重要網絡資源，需要進行權限訪問的時候，建議采用專家級 ACL（可同時基于 VLAN 號、以太網類型、 MAC 地址、IP地址、TCP/UDP端口號、時間靈活組合限定的硬件 ACL）來進行訪問權限設定，保障重要資料不被非法訪問。20/47第5章結構化布線系統(tǒng)概述結構化布線系統(tǒng)是實現(xiàn)校園網絡的必不可少的技術手段和途徑，它綜合通訊技術、計算機技術、自動化控制技術為一體，利用雙絞線、光纖和其它器件，將校園各部門中語音、圖像、安全報警、監(jiān)控、自動化管理、通訊、計算機網絡等各種專用布線系統(tǒng)進行規(guī)劃、設計、施工，形成一套完整的、開放的和標準化的布線系統(tǒng)。系統(tǒng)設計遵循從國際（ ISO/IEC11801）標準和郵電部及建設部的標準布線系統(tǒng)采用國際標準建議的層層星型拓撲結構，提高系統(tǒng)容錯性考慮到計算機網絡的速度向為千兆以太網。布線系統(tǒng)的信息出口采用國際標準的 RJ45插座，以統(tǒng)一的線路規(guī)格和設備接口，使任意信息點都能插接不同類型的終端設備，如電腦、打印機、網絡終端、電話機、傳真機等，以支持語音、數(shù)據(jù)、圖形、圖像等數(shù)據(jù)信息和多媒體信息的傳輸。布線系統(tǒng)要立足開放原則，既支持集中式網絡，又支持 Client/Server分布式網絡系統(tǒng)綜合布線系統(tǒng)設計依據(jù)。5.1結構化布線包括的方面按照EIA/TIA-568A的標準，結構化布線系統(tǒng)包括以下方面：5.1.1工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)指終端設備和信息插座之間的連接部分，包括裝配軟線，連接器和連接所需要的擴展軟線，并在終端設備與 I/O之間搭橋。工作區(qū)子系統(tǒng)所使用的連接器必須是 ISDN標準的8位接口。這種接口能接受數(shù)據(jù)網絡信息以及數(shù)碼音頻信號。5.1.2水平布線子系統(tǒng)水平子系統(tǒng)是從用戶工作區(qū)連接到垂直主干線子系統(tǒng)的線。水平子系統(tǒng)是整個結構化布線系統(tǒng)的一部分，它與主干線子系統(tǒng)的區(qū)別在于：水平子系統(tǒng)總在同一樓層，并與信息插座相連。在結構化布線系統(tǒng)中，水平子系統(tǒng)由 4對UTP組成，能支持大多數(shù)的現(xiàn)代通訊設備。如果需要寬帶應用時，可以采用光纖。21/475.1.3干線子系統(tǒng)干線子系統(tǒng)又稱垂直主干線子系統(tǒng)，它提供建筑物干線電纜的路由。干線子系統(tǒng)通常是在兩個單元之間，特別是在位于中央點的公共系統(tǒng)設備處提供多個線路設施。該子系統(tǒng)由所有的布線電纜組成，或光纖以及將光纖連到其它專訪的相關支撐硬件組合而成。傳輸介質可能包括一棟多層建筑物之間垂直布線的內部電纜或從主要單元或其它干線間來的電纜。5.1.4管理子系統(tǒng)管理子系統(tǒng)由交連、互連以及 I/O組成。管理點是為了連接其它子系統(tǒng)提供連接的手段。交連和互連允許將通訊線路定位或重定位在建筑物的不同部分，以便能更容易的管理通訊線路。 I/O位于用戶工作區(qū)的其它房間或辦公室，使得移動終端設備時能方便的進行插拔。5.1.5設備間子系統(tǒng)設備間子系統(tǒng)由設備間的電纜，連接器和有關支撐硬件組成。它的作用是把公共系統(tǒng)設備的各種不同設備互連起來。該子系統(tǒng)將中繼線交叉連接處和布線交叉連接處與公共系統(tǒng)設備連接起來。該子系統(tǒng)還包括設備間和臨近單元中的導線。這些導線將設備或避雷裝置連接到有效建筑物接地點。5.1.6建筑群子系統(tǒng)建筑群子系統(tǒng)將一個建筑物中電纜延伸到建筑群的另一些建筑物中的通訊設備和裝置上，建筑群子系統(tǒng)是結構化布線系統(tǒng)的一部分，它支持提供樓群之間通訊所需的硬件，其中包括導線電纜，光纖以及有效防止高壓脈沖電壓進入建筑物的電氣保護裝置。5.2結構化布線系統(tǒng)方案設計本方案所設計的系統(tǒng)可支持任何廠家的網絡產品以及任何一種網絡結構，可在任意信息點連接不同類型的設備，所用的接插件是模塊化積木式結構，容易根據(jù)需要重新組合更換接插件，易于擴展并支持各種數(shù)據(jù)通訊，多媒體和未來的綜合業(yè)務數(shù)字網。整個系統(tǒng)的設計分為以下五個部分：1）水平子系統(tǒng)的設計22/47水平布線子系統(tǒng)是由建筑物各管理子系統(tǒng)至各個工作區(qū)子系統(tǒng)之間的電纜構成，也就是由各樓層的弱電間到各個信息點的水平電纜構成。為了滿足高速數(shù)據(jù)傳輸以及視頻運用的需求，選用 IBDN公司的5類4對非屏蔽雙絞線，該產品可支持 10Base-T，100Base-TX，F(xiàn)DDI以及155MATM。數(shù)據(jù)傳輸速度可達155Mbps，既可滿足當前需求，又能適應未來發(fā)展需要。2）設備樓干線子系統(tǒng)的設計干線子系統(tǒng)由連接設備間子系統(tǒng)與各個樓層管理系統(tǒng)的垂直干線構成，其作用是將各樓層管理子系統(tǒng)的信息傳送到設備間子系統(tǒng)，同時連接外部網絡。3）管理子系統(tǒng)的設計管理子系統(tǒng)也稱為電信間子系統(tǒng)或弱電間子系統(tǒng)，它連接水平布線子系統(tǒng)和干線子系統(tǒng)，是布線環(huán)節(jié)中很關鍵的一環(huán)。管理子系統(tǒng)的常用設備包括 5類配線架、5類調線和機柜等。在信息樓各層管理子系統(tǒng)中，用 24口配線板連接垂直干線及水平布線系統(tǒng)的 25對UTP。4）信息樓設備間子系統(tǒng)的設計設備間子系統(tǒng)是整個校園網布線系統(tǒng)的中心單元，它實現(xiàn)對各個樓層匯總來的UTP和光纖的終接管理。5）建筑群子系統(tǒng)的設計建筑群子系統(tǒng)是連接各個建筑群的設備裝置，實現(xiàn)建筑群的通訊和設備管理。23/47第6章校園網網絡安全學校作為培養(yǎng)人才的基地，愈來愈多的校園網通過 DDN專線與互聯(lián)網接軌，讓學校中的老師和學生可以自由到互聯(lián)網上瀏覽、查找他們感興趣的內容和所渴求的知識，感受網絡所帶來的這些豐富的信息資源，提供得更廣闊的學習環(huán)境。與此同時，網上的“黑客”也很可能趁機攻入學校內網，破壞校內服務器上的數(shù)據(jù)，使校園網的安全受到威脅。并且，學校對學生的網上教育和上網管理也面臨著新的挑戰(zhàn)。依據(jù)實際情況并綜合考慮，問題主要表現(xiàn)如下：1．內部資料庫安全問題校園網與普通企業(yè)上網不同，因為一般企業(yè)上網主要是“防外”，防止互聯(lián)網上的黑客對內部網絡的攻擊，而安裝在校園網上的防火墻，既需要有“防外”的功能，又要有“防內”的功能。所謂的“防內”，是因為在學生中有不少是網絡愛好者，在好奇心的驅使下，可能會從互聯(lián)網上下載黑客工具，來對互聯(lián)網上、或者是校園網內部服務器進行攻擊，主要對學校內部的某些可能存放著重要資料的服務器，諸如，存放主要給教師使用的試卷庫，對于學生就有著極大的誘惑力，在好奇心或者是為了滿足某些單純的心理需要，而不顧后果的對校園內部服務器進行的攻擊，使學校的內部資料遭受到不必要的損失。2．對學生上網的管理學生上網的管理主要從三個方面進行管理：1）學生所瀏覽網站的限制。對學生無益，又很耗費網絡帶寬的網上訪問。2）學生上網費用統(tǒng)計的問題。學生上網時長，流量都必須有一統(tǒng)計報表，以便按一定的標準收費。3）學生上網對熱門網點的統(tǒng)計，及時了解學生的網上動向，有利于更一步引導學生過好網上生活。針對以上客觀存在的實際問題，我在指導老師的支持與配合下，初步列出解決方案以供學院參考。6.1典型網絡方案24/47圖6-16.2主要功能特點1．軟、硬件一體化的結構防火墻對于用戶來說，只是一個類似路由器的硬件設備，整體系統(tǒng)采用黑盒設計，防火墻系統(tǒng)與硬件緊密結合，發(fā)揮硬件最高效能，減少由于操作系統(tǒng)問題而產生網絡漏洞的可能，提高系統(tǒng)自身安全性。2．獨特的第四網絡接口（對內服務器群）防火墻的校園網專業(yè)版擁有四個網絡接口，專門開辟了第四區(qū)間——對內服務區(qū)，將原來安裝在校園內部網絡中一些重要的服務器集中聯(lián)入本區(qū)域，此區(qū)域與第三區(qū)域不同。對于第三區(qū)域，內網、外網都能訪問；對于第四區(qū)域，只開放給內網某一部分 IP訪問，外網無法訪問。這樣構成的系統(tǒng)，既可“防外”又可“防內”，徹底解決了一般防火墻只能“防外”不能“防內”的不足。3．NAT方式節(jié)省網絡地址資源對于一個小型網絡來說，申請的 IP地址不會太多，如果網絡中的每一臺設備都需要一個IP地址，會造成IP地址的嚴重不足。25/47防火墻的校園網專業(yè)版提供的網絡地址轉換（ NetworkAddressTranslation）功能不僅可以隱藏內部網絡地址信息，使外界無直接訪問內部網絡設備，同時，它還幫助網絡可以超越地址的限制，合理地安排網絡中上公用 Internet地址和私有地址的內部網用戶順利的訪問 Internet的信息資源，不但不會造成任何網絡應用的阻礙，同時還可以節(jié)省大量的網絡地址資源。4．高性能的系統(tǒng)核心現(xiàn)在商業(yè)操作平臺如 Win98、NT、UNIX、LINUX 存在著不少漏洞，不斷被黑客在互聯(lián)網上公開、傳播，作為攻擊的目標。安全小組從底層做起，自行開發(fā)出一套防火墻專用安全平臺，對與流量關系密切的模塊進行優(yōu)化處理，做到高安全性、高穩(wěn)定性和高效率。本系統(tǒng)核心專門為 TCP/IP及Firewall而設計，能大大提升系統(tǒng)性能。例如 IPChecksum部分由匯編語言編寫，比同類系統(tǒng)性能提高 20%-60%。5．靈活的WWW端口控制過系統(tǒng)的8887端口，可進入 WWW設置管理界面，進行安全規(guī)則和其它功能的設定。為了進一步加強防火墻自身的安全性，避免其它人員打開8887端口，猜測密碼，我們在系統(tǒng)內核中增加了一個端口控制層，通過 BDKEY控制軟件，可自由打開或關閉8887端口。6．提供第三區(qū)域除了內部網絡界面和外部網絡界面，系統(tǒng)還增加一個網絡界面，讓管理員靈活應用。如建立 DMZ（DemilitarizedZone），在其中放置代理服務器或公共應用服務器。7．支持多種標準服務目前，能夠支持哪些傳輸標準是評價一個防火墻系統(tǒng)的重要指標之一，防火墻系統(tǒng)支持95種通信協(xié)議和 730種應用服務，包括 WWW、FTP、POP3、數(shù)據(jù)庫服務、多媒體服務、Microsoft網絡服務等等。用戶不必擔心使用了防火墻后出現(xiàn)某些服務失效的副作用。8．美觀易用的界面26/47系統(tǒng)設有基于 WWW的管理界面，管理員可以通過由 HTML、Javaapplet組成的圖形界面對系統(tǒng)進行管理。把復雜繁多的系統(tǒng)功能設置變?yōu)橹庇^易用的界面，大大降低了對網絡管理員的高要求，提高了系統(tǒng)的易用性。9．物理斷開功能系統(tǒng)具有獨特的物理斷開功能，在每個網絡接口中都內置有物理開關模塊。在某些特殊情況下，網絡管理員可以通過網絡對其強行斷開，立即中止該接口數(shù)據(jù)傳輸。6.3通過代理服務器可實現(xiàn)的功能6.3.1用戶管理模式1.1授權用戶管理模式用戶在訪問 Internet時首先要進行登錄，在正確鍵入有效的用戶名和口令后，才可以使用代理服務器提供的代理服務。1.2默認用戶管理模式這種方式不但省卻了用戶每次登錄的麻煩，還為網絡管理中管理集體用戶提供了便利。網絡管理員可以將某個辦公室或某個部門的一臺或多臺計算機進行 IP綁定，只有這些由管理員限定的 IP地址的計算機才有通過代理服務器訪問 Internet的權限。6.3.2信息過濾模式信息過濾模式可分為全局信息過濾和局部信息過濾，以及指定用戶的信息過濾手段。網絡管理員不但可以針對用戶建立禁止訪問的網站列表，還可以自創(chuàng)標準，配置內容過濾器，限定允許用戶訪問的網站。例如禁止學校學生訪問某些成人站點，而教師及校內員工就不受此類限制等等。6.3.3訪問費用管理模式通過代理服務器方的管理程序，可很方便的得到有關內部網絡中用戶訪問Internet的信息流量統(tǒng)計。27/476.3.4提高瀏覽速度應用代理服務器端大容量代理緩存，對于經常訪問的站點，根據(jù)一定算法將其緩存，有些資料可以從共享緩存中提取，無須再到互聯(lián)網上下載，這樣不僅提高瀏覽速度，還可以減少上網費用。6.4功能模塊6.4.1智能防御模塊系統(tǒng)自動統(tǒng)計、分析通過防火墻的各種連接數(shù)據(jù)，探測出攻擊者，立即斷開與該主機的任何連接，并采取將其 IP地址列入黑名單等措施，保護內網所有主機的安全。6.4.2自動反掃描模塊掃描是黑客攻擊的前奏，攻擊前，黑客一般會先掃描一下目標主機打開的服務端口，然后再進行針對性攻擊。本系統(tǒng)在內核設計中引入自動反掃描機制，以最快的速度發(fā)現(xiàn)掃描器，即時斷開其連接，并將該 IP地址列入黑名單，在一定時間（約 10分鐘）內，該主機無法再對防火墻系統(tǒng)和防火墻保護的內網進行任何訪問。6.4.3雙向網絡地址轉換模塊內部網絡用戶一般沒有合法的 InternetIP地址（RegisteredIPAddress），不能直接對外部網絡進行訪問，這可以通過網絡地址轉換系統(tǒng)得到完滿的解決。當用戶需要對外訪問時，藍盾防火墻系統(tǒng)將會從 IP池中的IP動態(tài)分配給用戶，使用戶得到合法的IP地址與外部訪問。端口地址轉換（PortAddressTranslation）可以擴展公司可使用的InternetIP，用戶的訪問將會映射到IP池中IP的一個端口上去，這使每個合法InternetIP可以映射六萬多個內部網主機，并發(fā)訪問為16384條。如果企業(yè)希望內部網絡中的服務器可以讓 Internet用戶訪問的話，可以利用反向NAT（R-NAT）或反向PAT（R-PAT）系統(tǒng)，為內部網絡服務器作靜態(tài)地址和端口映射，這樣Internet用戶就可以通過本防火墻系統(tǒng)直接訪問該服務器了。我們的網絡地址轉換系統(tǒng)支持九十多種通信協(xié)議（包括IGMP、ICMP、TCP、UDP等）和七百多種 TCP/UDP服務，其中主要包括：28/471、常用服務：HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP?br> OPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等。2、數(shù)據(jù)庫服務：OracleSQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等，用戶可以通過防火墻進行數(shù)據(jù)庫操作。3、多媒體流：ProgressiveNetworksRealAudio、XingTechnologiesStreamworks、WhitePinesCuSeeMe、VocalTecInternetPhone、VDOnetVDOLive、MicrosoftNetShow、VxtremeWebTheater2等。支持H.323應用，包括IntelInternetVideoPhone、MicrosoftNetmeeting等。4、NetBios、RPC：MicrosoftNetwork可以通過本防火墻系統(tǒng)進行通信。同時支持RemoteProcedureCall。使用Windows、WindowsNT的網絡系統(tǒng)也可以采用本系統(tǒng)作為保護企業(yè)數(shù)據(jù)的防火墻。如果用戶有需要，可以自己定義所需的服務。通過 NAT和PAT的結合，巧妙的建立了連接Intranet和Internet的橋梁，藍盾防火墻系統(tǒng)將守護著這棟橋梁。6.4.4WWW端口控制模塊通過防火墻的 8887端口，可進入防火墻的設置管理界面，進行安全規(guī)則和其它功能的設定。為了進一步加強防火墻自身的安全性，避免其它人員打開 8887端口，猜測密碼，我們在系統(tǒng)的內核中增加了一個端口控制層，通過 BDKEY控制軟件，可自由打開或關閉 8887端口，并達到如下目標：1、只有用戶名/密碼驗證正確的管理人員，才能使用 BDKEY軟件。2、通過 BDKEY向防火墻發(fā)送啟動端口（ 8887）控制命令后，防火墻會自動綁定管理員主機 IP，只有該IP才可以進入8887端口。3、防火墻會自動驗證管理員在 BDKEY中填寫的主機IP地址。29/474、管理人員設置完畢后，可關閉 8887端口。5．物理斷開模塊本系統(tǒng)的三個網絡硬件接口中，都內置一個物理開關模塊，通過設置，可斷開任一網絡接口的聯(lián)接，即時中止該網絡接口的任何通信，這樣，在某些特殊環(huán)境下，可進一步提高系統(tǒng)的安全性。MAC綁定模塊為了防止 IP欺騙、地址偽裝，本系統(tǒng)提供“ MAC綁定”功能。它可以將 IP地址和網卡的硬件地址綁定起來，主要用于綁定一些重要的管理員 IP和授權IP。7．實時報警和紀錄安全分析模塊本系統(tǒng)提供實時報警功能，對于端口掃描和其它網絡攻擊，紀錄系統(tǒng)會即時發(fā)出警報，提醒管理人員。30/47結 論一個校園網絡系統(tǒng)的組建需要從多方面進行考慮，不但涉及許多技術問題，而且包括網絡設施、信息資源、專業(yè)應用等眾多成份的綜合化以及信息化教案環(huán)境系統(tǒng)的建設。校園網要能很好地應用與發(fā)展，很大程度上取決于設計方案，包括組網技術、拓撲結構、IP及路由規(guī)劃、設備選型等的實施成功與否。本文從校園網工程的實際出發(fā)，從理論、設計、實現(xiàn)等多方面闡述了校園網設計實施方案，著重介紹了高博軟件技術學院校園網需求分析，并對該校園網絡進行了初步的規(guī)劃，用言簡意賅的語言描述了如何組建一個性能可靠、技術先進、功能豐富的校園網系統(tǒng)。31/47致 謝首先非常感謝學校給了我這次鍛煉的機會，使得我在校園網絡規(guī)劃和設計能力上有了很大的提高，同時還增強了我的實踐能力。其次我要感謝我的指導老師 ——趙銀玉和李瀚海，正是他們嚴謹細致、一絲不茍的作風一直作為我學習中的榜樣，而他們循循善誘的教導和不拘一格的思路給予我無盡的啟迪。感謝他們對我的支持和鼓勵，感謝他們給予我精心的指導，正是由于他們的幫助，我才能有信心順利完成畢業(yè)設計。同時我也感謝我大學以來所有的任課老師和班主任，正是他們平時對我的嚴格要求為我打下扎實的計算機專業(yè)基礎；也要感謝所有的同學們，正是因為有了他們的支持和幫助，此次畢業(yè)設計才會順利完成；還要感謝畢業(yè)小組同學在這次畢業(yè)設計過程中幫助我搜集資料，糾正錯誤。最后特別感謝蘇州科技學院對我的大力栽培。32/47參考文獻石碩.交換機/路由器及其配置.第2版.電子工業(yè)出版社，2007謝希仁.計算機網絡.第4版.電子工業(yè)出版社出版社，2004王群、李馥娟.局域網一點通.人民郵電出版社，2002微軟公司.網絡基本架構的實現(xiàn)和管理.高等教育出版社，2004微軟公司.網絡操作系統(tǒng)管理.高等教育出版社，2004石志國、薛為民、尹浩.計算機網絡安全教程.北京交通大學出版社，200433/47附錄A外文參考文獻（譯文）主流網絡模型1.概述這份報告提出了一種“主流網絡模型”，它的用意是在一個中型學院或大學由當?shù)匾?guī)劃時確定設計和考慮的問題，制定一個具體的網絡計劃。高級別模型包括以下基本目標：?可靠性-有能力提供堅實的基礎設施，以支持關鍵服務。?可擴展性-有能力擴大，以滿足增長的使用。?完整性-提供全面的補碼網絡基礎服務所需。?適應未來需求性-伸縮性在未來校園的潛力能增加重大新的作用。?不斷更新的能力-生命周期的維修網絡，以引進網絡的進步。?標準的指引-用來管理網絡，效率高。這種模式目前并不足夠詳細充當計劃。它提供了一個清單、要考慮的問題以及一套“經驗法則”，使發(fā)展中國家徹底了解校園網的設計，并把重點放在原則和詳細規(guī)格、規(guī)劃應用規(guī)模，這種模式能夠滿足任何校園系統(tǒng)。本文假設熟悉網絡的設計原則，概述了 “設計和日益增長的校園網 ”（校園季度，23（1），2000：40-45，52）的關鍵問題之一是為不斷更新的網絡確定需求分析。在此模型中具體的技術鑒定最初記錄（ 2000年秋季）時間超過不斷更新的原則，介紹了如何保持一個適當?shù)木W絡不斷演變，從而確定延長其技術是否切合時宜。因此，本報告并不針對某個特定時間的視野，雖然安全的說，如果不進行相符的修訂，很大程度上這將在 2005年就已過時。像這樣理想化的（例如，設計一個網絡安裝在一個新建設）一個模型，事實上大部分裝置是需要改造的。網絡設計師不得不確定導管或壁櫥的空間，或利用現(xiàn)有的布線可能不符合理想的標準。而這份文件的首要目標是要找出一個主流的設計點，它還將提供幾點意見：包括討論各種無線方案的潛力和挑戰(zhàn)，以應付特殊的需34/47要。無論任何的整體模型，每一個網絡安裝將需要詳細的一組合格的網絡設計團隊，以確定最佳設計條件下的制約，特別是設施。后一概述（第2條）詳細討論了一種簡化的全新的網絡層：如下從 “自下而上”（第3，4，5）。（請注意：層層討論的這份文件的簡化請參閱各種來源，如/networks/1994/osi/intro.htm，詳細討論了正式開放系統(tǒng)互連OSI的）層）的最后部分（第6和第7）討論的有關問題，包括規(guī)劃過程的網絡、需要最終用戶的支持和政策）。此外，該網絡模型相當詳細的設計和決定說明了一套雙向簡況機構網絡，包括各地不同大小的學校轉介到這里