1、前 言科學(xué)技術(shù)的發(fā)展日新月異，九十年代，在計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合下，網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。如今，不僅計(jì)算機(jī)已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合，整個(gè)社會(huì)都不可能脫離網(wǎng)絡(luò)而存在。網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流，人們對網(wǎng)絡(luò)的認(rèn)識(shí)也隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及而迅速改變。在不久的將來，網(wǎng)絡(luò)必將成為和電話一樣通用的工具，成為人們生活、工作、學(xué)習(xí)中必不可少的一部分。Internet，即國際互聯(lián)網(wǎng)，是現(xiàn)在網(wǎng)絡(luò)應(yīng)用的主流，從它最初在美國誕生至今已經(jīng)經(jīng)歷了三十多年。這個(gè)以TCP/IP協(xié)議為主體的國際互聯(lián)網(wǎng)絡(luò)已經(jīng)成為覆蓋全世界一百五十多個(gè)國家和地區(qū)的大型數(shù)據(jù)通信網(wǎng)絡(luò)。最初的Internet是由科研網(wǎng)絡(luò)形成的，主要是由一些大學(xué)

2、和研究所等科研教育單位連接而成，逐漸發(fā)展到今天的規(guī)模。而進(jìn)入九十年代后，由于各種商業(yè)信息進(jìn)入了Internet，使得Internet得到了極大地發(fā)展，其擁有的主機(jī)數(shù)，連接的網(wǎng)絡(luò)數(shù)以及覆蓋面一直呈指數(shù)形式上升。現(xiàn)在在Internet上可以提供或者獲得各種各樣的服務(wù)，比如通過電子郵件進(jìn)行合同的起草和簽訂，或利用Internet直接挑選商品和購物。Internet是一個(gè)資源的網(wǎng)絡(luò)，其中擁有的信息資源幾乎覆蓋所有的領(lǐng)域。Internet面向人類的社會(huì)，世界上數(shù)以億計(jì)的人們利用它進(jìn)行通信和信息共享，通過發(fā)送和接收電子郵件，或和其他人的計(jì)算機(jī)建立連接、參加各種討論組并免費(fèi)使用各種信息資源實(shí)現(xiàn)信息共享。In

3、ternet也是一個(gè)服務(wù)的網(wǎng)絡(luò)。在Internet上，許多單位、公司和組織提供了各種各樣的服務(wù)。比如WWW（World Wide Web全球信息網(wǎng)）服務(wù)、信息查詢服務(wù)等，向網(wǎng)絡(luò)上的其他用戶展示自己各方面的情況，并幫助這些用戶找到需要的信息。我國對計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)投入了大量的人力和物力，在短短的幾年中，已經(jīng)從最初僅僅局限在教育科研單位的網(wǎng)絡(luò)，迅速發(fā)展到今天遍及全國的包括教育、科研、商業(yè)、民用各個(gè)方面的數(shù)個(gè)大型網(wǎng)絡(luò)，如Chinanet（中國郵電網(wǎng)）、Cernet（中國教育網(wǎng)）、Gbnet（金橋網(wǎng)絡(luò)）等等。目前在網(wǎng)絡(luò)上提供有價(jià)值、有吸引力的信息，對一個(gè)單位或?qū)W校樹立自己的形象，提高自己的知名度，以及

4、開拓和國際上其他學(xué)校、組織的聯(lián)系和往來能夠起到很顯著的作用。Internet的發(fā)展帶動(dòng)了全世界的信息產(chǎn)業(yè)的發(fā)展，也為現(xiàn)代學(xué)校應(yīng)用程序結(jié)構(gòu)提供了一個(gè)新的計(jì)算模式，這種計(jì)算模式能真正適應(yīng)學(xué)校發(fā)展的需要，使學(xué)校的計(jì)算機(jī)應(yīng)用提高到一個(gè)新的水平。將Internet技術(shù)應(yīng)用到學(xué)校內(nèi)部，并建立基于這種開放技術(shù)的學(xué)校應(yīng)用程序，使學(xué)校本身具有了Internet的特性，這種應(yīng)用體系結(jié)構(gòu)就是Intranet 學(xué)校內(nèi)部網(wǎng)。Internet和Intranet代表著全新的信息時(shí)代的到來。Intranet使實(shí)現(xiàn)學(xué)校內(nèi)部的信息化成為可能。學(xué)校工作人員和在校學(xué)生面對的信息資源已不僅僅來自于一個(gè)部門、一個(gè)學(xué)校或者是一個(gè)行業(yè)，而是

5、所有Internet世界上的資源，使得學(xué)校教學(xué)、科研、管理和決策更為有效。當(dāng)今世界隨著計(jì)算機(jī)、網(wǎng)絡(luò)通信等現(xiàn)代科學(xué)技術(shù)的發(fā)展，人類正邁入信息時(shí)代，在峨山一中建立覆蓋全校，并可以與國內(nèi)外著名網(wǎng)絡(luò)互聯(lián)的校園網(wǎng)已成為必然。峨山一中校園網(wǎng)對外將實(shí)現(xiàn)與玉溪市區(qū)教育信息中心、玉溪市教委信息中心中小學(xué)信息部、玉溪市教委信息中心相連；對內(nèi)實(shí)現(xiàn)與校內(nèi)各部門進(jìn)行通信。峨山一中校園網(wǎng)將為學(xué)校的科研、教學(xué)、管理提供必要的技術(shù)手段，為研究開發(fā)和培養(yǎng)人才建立平臺(tái)，借此加快學(xué)校的發(fā)展，以此加快學(xué)校的發(fā)展，成為一個(gè)具有示范性的學(xué)校。第一章校園網(wǎng)需求分析1.1峨山一中網(wǎng)絡(luò)背景學(xué)校占地一百五十余畝，校園寬闊、環(huán)境優(yōu)美，目前，峨山一

6、中已有部分建筑內(nèi)部單獨(dú)組建了網(wǎng)絡(luò)，但樓與樓之間并沒有相互連接。它們主要分布在辦公大樓（145個(gè)信息點(diǎn)）、教學(xué)樓（32個(gè)信息點(diǎn)）、圖書館（90個(gè)信息點(diǎn)）、信息樓（共四間，分別62個(gè)、64個(gè)、68個(gè)和80個(gè)點(diǎn)）。另外，有部分樓宇需要建立網(wǎng)絡(luò)，它們分別是教師宿舍（70個(gè)信息點(diǎn)），教學(xué)樓部分教室（35個(gè)信息點(diǎn)），男女學(xué)生宿舍（四幢樓，共約384個(gè)信息點(diǎn)），藝術(shù)樓（23個(gè)信息點(diǎn)），食堂和禮堂（6個(gè)信息點(diǎn)），實(shí)驗(yàn)樓理、化、生實(shí)驗(yàn)室（10個(gè)信息點(diǎn)），圖書館、閱覽室（6個(gè)信息點(diǎn)），語音教室、多媒體教室、微機(jī)教室（7個(gè)信息點(diǎn)），還有就是新建的機(jī)房（300個(gè)信息點(diǎn)）。上述計(jì)算機(jī)房主要是根據(jù)不同的配置情況用于辦公、

7、教學(xué)、實(shí)驗(yàn)之用。雖然有些已單獨(dú)組網(wǎng)，但仍相互獨(dú)立沒有互連。圖書館資料信息未采用開放的服務(wù)方式，圖書信息查詢?nèi)孕璧綀D書館。各科室基本上都以單機(jī)方式工作，計(jì)算機(jī)上網(wǎng)比率仍然較低。目前配置的計(jì)算機(jī)也僅用作一般計(jì)算機(jī)教學(xué)之用。綜上所述，峨山一中計(jì)算機(jī)應(yīng)用水平和使用效率還有待于改進(jìn)和提高。1.2 用戶網(wǎng)絡(luò)需求分析設(shè)計(jì)一個(gè)網(wǎng)絡(luò)，首先要為用戶分析目前面臨的主要問題，確定用戶對網(wǎng)絡(luò)的真正需求，并在結(jié)合未來可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計(jì)合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶滿意的高質(zhì)服務(wù)。網(wǎng)絡(luò)在峨山一中日常教學(xué)辦公環(huán)境中起著至關(guān)重要的作用，校園網(wǎng)的運(yùn)作模式會(huì)帶來大量動(dòng)態(tài)的www應(yīng)用數(shù)據(jù)傳輸，會(huì)有相當(dāng)一部分應(yīng)用的主

8、服務(wù)器有高速接入網(wǎng)絡(luò)的需求（目前為100/1000Mbps，今后可會(huì)更高）。這就要求網(wǎng)絡(luò)有足夠的主干帶寬和擴(kuò)展能力。同時(shí)，一些新的應(yīng)用類型，如網(wǎng)絡(luò)教學(xué)、視頻直播/廣播等，也對網(wǎng)絡(luò)提出了支持多點(diǎn)廣播和寬帶高速接入的要求。除上述考慮外，還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開，所以建成后校園網(wǎng)應(yīng)能提供多個(gè)網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應(yīng)教學(xué)辦公環(huán)境的調(diào)整和變化，及實(shí)現(xiàn)移動(dòng)教學(xué)辦公的要求。按目前通常的考慮，建議數(shù)據(jù)信息點(diǎn)的接入以交換10/100Mbps自適應(yīng)以太網(wǎng)端口接入為主，以供帶寬需求較高用戶或應(yīng)用使用。整個(gè)方案設(shè)計(jì)的目的是建設(shè)一個(gè)集數(shù)據(jù)傳輸和備份、多媒體應(yīng)用、語音傳輸、OA應(yīng)用

9、和Internet訪問等于一體的高可靠、高性能的寬帶多媒體校園網(wǎng)。1.3 功能需求（1）建立一個(gè)基于校園Intranet的信息管理和應(yīng)用的網(wǎng)絡(luò)系統(tǒng)，并提供相應(yīng)的各種服務(wù)。（2）共享網(wǎng)絡(luò)上各種軟、硬件資源，快速、穩(wěn)定地傳輸各種信息，并提供有效的網(wǎng)絡(luò)信息管理手段。（3）采用開放式、標(biāo)準(zhǔn)化的系統(tǒng)結(jié)構(gòu)，以利于功能擴(kuò)充和技術(shù)升級。（4）能夠與外界進(jìn)行廣域網(wǎng)的連接，提供、享用各種信息服務(wù)（與各級教育信息中心相連、與國內(nèi)外著名站點(diǎn)相連）。（5）具有完善的網(wǎng)絡(luò)安全機(jī)制。（6）能夠與原有的計(jì)算機(jī)局域網(wǎng)絡(luò)和應(yīng)用系統(tǒng)平滑地連接，調(diào)用原有各種計(jì)算機(jī)系統(tǒng)的信息。第二章網(wǎng)絡(luò)設(shè)計(jì)原則2.1 校園網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的原則* 先進(jìn)性

10、與現(xiàn)實(shí)性作為中國教育科研網(wǎng)的一部分、峨山一中的核心計(jì)算機(jī)網(wǎng)絡(luò)，“峨山一中校園網(wǎng)”系統(tǒng)處理的信息量是十分龐大的，要求計(jì)算機(jī)網(wǎng)絡(luò)有很高的工作效率。而且隨著教學(xué)科研任務(wù)工作的迅速系統(tǒng)面臨的任務(wù)也愈來愈艱巨，所以，我們設(shè)計(jì)的網(wǎng)絡(luò)在技術(shù)上必須體現(xiàn)高度的先進(jìn)性。技術(shù)上的先進(jìn)性將保證處理數(shù)據(jù)的高效率，技術(shù)上的先進(jìn)性將保證系統(tǒng)工作的靈活性，技術(shù)上的先進(jìn)性將保證網(wǎng)絡(luò)的可靠性，技術(shù)上的先進(jìn)性也使系統(tǒng)的擴(kuò)展和維護(hù)變得簡單。我們將在網(wǎng)絡(luò)構(gòu)架，硬件設(shè)備，傳輸速率，協(xié)議選擇，安全控制和虛擬網(wǎng)劃分等各個(gè)方面充分體現(xiàn)“峨山一中”系統(tǒng)的先進(jìn)性。在考慮系統(tǒng)先進(jìn)性的同時(shí)我們也會(huì)考慮實(shí)效、兼顧現(xiàn)實(shí)，建設(shè)不僅先進(jìn)而且合適的系統(tǒng)。在系統(tǒng)

11、建設(shè)中堅(jiān)持“邊實(shí)施，邊發(fā)展，高起點(diǎn)，早收益”的原則。* 系統(tǒng)與軟件的可靠性 在“峨山一中校園網(wǎng)”系統(tǒng)設(shè)計(jì)中，很重要的一點(diǎn)就是網(wǎng)絡(luò)的可靠性，即堅(jiān)固性。在外界環(huán)境或內(nèi)部條件發(fā)生突變時(shí)，怎樣使系統(tǒng)保持正常工作，或者在盡量短的時(shí)間內(nèi)恢復(fù)正常工作，是“峨山一中校園網(wǎng)”系統(tǒng)這樣的重點(diǎn)工程所必須考慮的。在設(shè)計(jì)時(shí)對可靠性的考慮，可以充分減少或消除因意外或事故造成的損失。我們將從網(wǎng)絡(luò)線路的冗余備份及信息數(shù)據(jù)的多種備份等方面保證“峨山一中校園網(wǎng)”系統(tǒng)的可靠性。在應(yīng)用系統(tǒng)開發(fā)過程中不斷進(jìn)行調(diào)研與反饋，開發(fā)出用戶真正需要并且可靠的系統(tǒng)。* 系統(tǒng)安全性與保密性隨著計(jì)算機(jī)技術(shù)的發(fā)展，尤其是網(wǎng)絡(luò)和網(wǎng)絡(luò)間互聯(lián)的規(guī)模的擴(kuò)大，信

12、息和網(wǎng)絡(luò)的安全性日益受到重視。面臨十分嚴(yán)肅的安全性挑戰(zhàn)。我們在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，將從內(nèi)部訪問控制和外部防火墻兩方面保證“峨山一中學(xué)校園網(wǎng)”系統(tǒng)的安全。本系統(tǒng)還將按照國家相關(guān)的規(guī)定進(jìn)行相應(yīng)的系統(tǒng)保密性建設(shè)。* 易管理與維護(hù)“峨山一中校園網(wǎng)”系統(tǒng)的節(jié)點(diǎn)數(shù)目大，分布范圍廣，采用的網(wǎng)絡(luò)技術(shù)也較先進(jìn)，尤其引入交換式網(wǎng)絡(luò)和虛擬網(wǎng)之后，網(wǎng)絡(luò)的管理任務(wù)加重了，如何有效地管理好網(wǎng)絡(luò)關(guān)系,是否充分有效地利用網(wǎng)絡(luò)的系統(tǒng)資源等問題就擺在我們面前。我們用圖形化的管理界面和簡潔的操作方式，提供強(qiáng)大的網(wǎng)絡(luò)管理功能。使網(wǎng)絡(luò)日常的維護(hù)和操作變得直觀，簡便和高效。而且我們將在系統(tǒng)的分析及建設(shè)過程中考慮系統(tǒng)將來的維護(hù)* 易擴(kuò)充性隨著教學(xué)

13、科研的快速發(fā)展，中學(xué)校園網(wǎng)系統(tǒng)面臨的任務(wù)將愈來愈艱巨，愈來愈復(fù)雜。為了適應(yīng)這個(gè)變化和日新月異的計(jì)算機(jī)技術(shù)的發(fā)展，我們網(wǎng)絡(luò)十分注重?cái)U(kuò)充性。無論是網(wǎng)絡(luò)硬件還是系統(tǒng)軟件，都可以方便的擴(kuò)充和升級。上述系統(tǒng)設(shè)計(jì)的原則將自始自終貫穿整個(gè)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)。2.2 系統(tǒng)方案設(shè)計(jì)的總體思路基本構(gòu)架采用國際上目前流行的INTRANET網(wǎng)絡(luò)技術(shù)，以TCP/IP為基本傳輸協(xié)議；主干網(wǎng)采用155M ATM技術(shù)（將來可升級為622M甚至更高），以便滿足以后對多媒體技術(shù)的要求；分支網(wǎng)絡(luò)采用Fast Ethernet和10M 以太網(wǎng)技術(shù)以滿足普通應(yīng)用需求；采用先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù)，將網(wǎng)絡(luò)按功能模塊劃分成不同子網(wǎng)，增強(qiáng)網(wǎng)絡(luò)的安全

14、性；融合WEB技術(shù)，PROXY技術(shù)等INTERNET綜合應(yīng)用；采用FIREWALL防火墻技術(shù)提高網(wǎng)絡(luò)安全性，可靠性；學(xué)校校園網(wǎng)通過上連到xx市教委信息中心實(shí)現(xiàn)與Internet相連，使全校師生可以享用國際互聯(lián)網(wǎng)上龐大的信息；為了滿足教師在家中進(jìn)行科研與辦公的需要，采用遠(yuǎn)程撥號(hào)把教師家中的計(jì)算機(jī)和校園網(wǎng)通過公共電話網(wǎng)連起來。學(xué)生也可在家中通過遠(yuǎn)程撥號(hào)訪問校園網(wǎng)的資源。教師也可以在網(wǎng)上家訪，并且可以與學(xué)生家長用Email進(jìn)行溝通。（三）網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案3.1 網(wǎng)絡(luò)的分層設(shè)計(jì)原則從邏輯上，大型網(wǎng)絡(luò)可分為核心層、分布層和接入層，每都有其特點(diǎn)。層次化設(shè)計(jì)的優(yōu)點(diǎn)可以總結(jié)為如下幾點(diǎn)：l 可擴(kuò)展性：因?yàn)榫W(wǎng)絡(luò)可

15、模塊化增長而不會(huì)遇到問題；l 簡單性：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的問題；l 設(shè)計(jì)的靈活性：使網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層次的網(wǎng)絡(luò)不會(huì)對其他層次造成影響，無需改變整個(gè)環(huán)境；l 可管理性：層次結(jié)構(gòu)使單個(gè)設(shè)備的配置的復(fù)雜性大大降低，更易管理。3.1.1核心層核心層是網(wǎng)絡(luò)互聯(lián)的最高層次，應(yīng)具有如下能力：l 核心設(shè)備之間應(yīng)該具有最高速的鏈路l 比較粗的QoS控制粒度l 最高的路由前綴l 為網(wǎng)絡(luò)其他模塊提供互聯(lián)在新行政中心內(nèi)部局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)中，核心層為各區(qū)域配線間匯聚層交換機(jī)以及服務(wù)器匯聚交換機(jī)之間提供互聯(lián)。3.1.

16、2匯聚層匯聚層是核心層和接入層的連接模塊，主要功能如下：l 細(xì)到粗QoS粒度的轉(zhuǎn)換l 提供到核心的路由合并l 提供到訪問層的路由過濾新行政中心內(nèi)部局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)的匯聚層，主要是為各個(gè)配線間以及服務(wù)器群的中心網(wǎng)絡(luò)設(shè)備提供接入層設(shè)備的集中和核心層鏈路的接入。3.1.3接入層接入層是面向最終用戶的設(shè)備，主要功能如下：l 提供高密度的用戶端口l 提供許可控制，包括：安全控制QoS控制3.2 網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)3.2.1 校園網(wǎng)的設(shè)計(jì)目標(biāo)建設(shè)一個(gè)以辦公自動(dòng)化、計(jì)算機(jī)輔助教學(xué)、現(xiàn)代計(jì)算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇的校園主干網(wǎng)絡(luò)，將學(xué)校的各種PC機(jī)、工作站、終

17、端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連，在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上的教育資源。形成結(jié)構(gòu)合理、內(nèi)外溝通的校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，在此基礎(chǔ)上建立能滿足教學(xué)、科研和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)。系統(tǒng)總體設(shè)計(jì)將本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性，同時(shí)具有良好的開放性、可擴(kuò)展性。我公司始終本著為學(xué)校著想，合理使用建設(shè)資金，使系統(tǒng)經(jīng)濟(jì)可行，功能強(qiáng)大。3.2.2 網(wǎng)絡(luò)骨干技術(shù)介紹選型1. 千兆以太網(wǎng)技術(shù) 千兆以太網(wǎng)于1998年6月達(dá)成標(biāo)準(zhǔn)，在高速局域網(wǎng)的主干連接方面已經(jīng)形成統(tǒng)治地位。從數(shù)據(jù)鏈路層上

18、講，千兆以太網(wǎng)與以太網(wǎng)是相同的；千兆以太網(wǎng)只是在物理層通過結(jié)合IEEE802.3以太網(wǎng)和ANSI X3T11光纖通道技術(shù)，來使速度達(dá)到1Gbps。IEEE802.3以太網(wǎng)幀格式向后兼容，并支持全雙工模式。目前千兆以太網(wǎng)的規(guī)范主要采用三種傳輸介質(zhì)：在單模和多模光纖上的長波激光（稱作1000 Base LX），在多模光纖上的短波激光 (1000Base SX)，1000Base CX在負(fù)載均衡屏蔽的150歐姆銅纜上的傳輸。IEEE802.3ab委員會(huì)測試了利用非屏蔽雙絞線傳輸千兆以太網(wǎng)，該標(biāo)準(zhǔn)已于1999年6月份出臺(tái)。千兆以太網(wǎng)標(biāo)準(zhǔn)的公布同樣也是給以太網(wǎng)誕生25周年最大的賀禮，讓這個(gè)技術(shù)最成熟、性

19、能價(jià)格比最好、用戶分布最廣的網(wǎng)絡(luò)技術(shù)又有了新的發(fā)展契機(jī)。這個(gè)曾經(jīng)被定義為只能用于低速桌面級應(yīng)用的網(wǎng)絡(luò)技術(shù)，如今也邁入高速局域網(wǎng)絡(luò)的領(lǐng)域。這也是眾多以太網(wǎng)用戶期盼的結(jié)果，它表明有的以太網(wǎng)絡(luò)無需作任何調(diào)整和改變，只是在關(guān)鍵應(yīng)用或網(wǎng)絡(luò)瓶頸處將原有的100兆傳輸速率增加到1000兆，同時(shí)提供網(wǎng)絡(luò)品質(zhì)服務(wù)（QoS）和級別服務(wù)（CoS）。而且操作非常簡單，無需專門的培訓(xùn)，更不要說會(huì)增加網(wǎng)絡(luò)管理的額外開銷。在當(dāng)今高速骨干網(wǎng)的選擇上，對于XX市行政中心網(wǎng)絡(luò)系統(tǒng)所采用的技術(shù)主要應(yīng)滿足兩個(gè)基本需要：高速帶寬和對QoS的支持能力。首先，主干帶寬和延遲性能對于現(xiàn)今和未來的應(yīng)用都是十分重要的。傳統(tǒng)的80/20原則的翻轉(zhuǎn)

20、，使得現(xiàn)在80的流量趨向于主干，新的主干設(shè)計(jì)要求有更高的帶寬和交換能力。其次，一個(gè)可擴(kuò)展的網(wǎng)絡(luò)結(jié)構(gòu)必須能夠處理現(xiàn)今的網(wǎng)絡(luò)和桌面協(xié)議。這樣的設(shè)想要求網(wǎng)絡(luò)必須兼容當(dāng)前的PC，服務(wù)器，主機(jī)和纜線設(shè)施。另外，為了保證平滑的遷移，現(xiàn)存的網(wǎng)絡(luò)協(xié)議必須以某種方式被新建網(wǎng)絡(luò)所支持。千兆以太網(wǎng)正如其名稱所指示的一樣，它是以太網(wǎng)在速率上的一種擴(kuò)展，它建立在以太網(wǎng)協(xié)議之上，可以保證網(wǎng)絡(luò)協(xié)議的兼容性。QoS能力支持顯著增長，作為網(wǎng)絡(luò)管理者要求某些流量相對于其他流量有更高的優(yōu)先級訪問網(wǎng)絡(luò)（特別在廣域網(wǎng)網(wǎng)絡(luò)）。對于QoS的選擇包括保證的品質(zhì)服務(wù)，在這種情況下，特殊用戶或數(shù)據(jù)流被保證有相應(yīng)的性能；類別服務(wù)（Cos）指提供最

21、好效果的QoS，最終，帶寬的增加使得這種競爭不再成為問題。以太網(wǎng)技術(shù)，隨著技術(shù)的不斷進(jìn)步，也在不斷地為支持QoS而努力。最重要的就是802.1P/RSVP和交換機(jī)端口具有不同流量級別的多個(gè)隊(duì)列。它可以在傳統(tǒng)的“Best-Effort”網(wǎng)絡(luò)上提供一定的端到端類別服務(wù)能力。綜上所述，隨著千兆以太網(wǎng)以及相應(yīng)以太網(wǎng)和IP對QoS支持技術(shù)的出現(xiàn)、普及和不斷發(fā)展，以太網(wǎng)技術(shù)在局域網(wǎng)技術(shù)中已經(jīng)形成統(tǒng)治地位。用戶也逐漸知道了什么才是自己所最需要的。在XX市行政中心網(wǎng)絡(luò)技術(shù)的選擇方面，千兆以太網(wǎng)技術(shù)對于兩個(gè)關(guān)鍵因素帶寬和QoS有著自己的解決方案：帶寬：千兆提供高速帶寬，并且向更高速度發(fā)展。QoS：對于QoS來講

22、，千兆以太網(wǎng)交換設(shè)備和IP技術(shù)都逐漸在完善著對QoS的支持能力。所以，在XX市行政中心網(wǎng)絡(luò)技術(shù)的選擇上，使用千兆以太網(wǎng)技術(shù)有著更大的優(yōu)勢。這是因?yàn)榍д孜灰蕴W(wǎng)技術(shù)有著不可比擬的作為局域網(wǎng)成功關(guān)鍵的特點(diǎn)：帶寬和延遲性能現(xiàn)存和即將出現(xiàn)的應(yīng)用要求更高的帶寬和較低的延遲。千兆位以太網(wǎng)技術(shù)，提供相對廉價(jià)的帶寬和延遲保證。兼容現(xiàn)有服務(wù)器，計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備對于現(xiàn)今終端用戶使用的微機(jī)、服務(wù)器、以太網(wǎng)網(wǎng)絡(luò)設(shè)備，千兆以太網(wǎng)技術(shù)可以很好的兼容這些設(shè)備。對QoS需要的涌現(xiàn)XX市行政中心的多媒體數(shù)據(jù)對網(wǎng)絡(luò)的要求，以太網(wǎng)絡(luò)設(shè)備正在涌現(xiàn)的QoS標(biāo)準(zhǔn)，為用戶提供可選的QoS和Cos能力。產(chǎn)品的有效性和互操作性有效的產(chǎn)品是網(wǎng)絡(luò)

23、建設(shè)的關(guān)鍵因素，千兆以太網(wǎng)標(biāo)準(zhǔn)于1998年正式形成，相應(yīng)產(chǎn)品于草案標(biāo)準(zhǔn)時(shí)期就已在市場上露面?，F(xiàn)在基本上所有的網(wǎng)絡(luò)設(shè)備廠商都推出了成熟的符合標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備。目前，千兆以太網(wǎng)一般用在兩層結(jié)構(gòu)網(wǎng)絡(luò)的主干或三層結(jié)構(gòu)網(wǎng)絡(luò)的支干帶寬。2. 萬兆以太網(wǎng)技術(shù) 萬兆以太網(wǎng)技術(shù)始于2002年6月802.3ae10GE標(biāo)準(zhǔn)的正式發(fā)布。在物理層，802.3ae大體上可以分為兩種類型，一種為與傳統(tǒng)以太網(wǎng)連接速率為10Gbps的“LANPHY”，另一種為連接SDH/SONET速率為9.58464Gbps的“WANPHY”；WANPHY與SONETOC192幀結(jié)構(gòu)的融合，可以與OC192電路和SONET/SDH設(shè)備一起運(yùn)行

24、。在傳輸介質(zhì)方面，802.3ae目前可以支持9um單模、50um多模和62.5um多模光纖。在數(shù)據(jù)鏈路層，802.3ae繼承了802.3以太網(wǎng)的幀格式及最大/最小幀長度，支持多層星型連接、點(diǎn)到點(diǎn)連接及上述拓?fù)涞慕M合，充分保證對已有應(yīng)用的兼容性，對上層應(yīng)用沒有影響，使得升級風(fēng)險(xiǎn)極低。首先根據(jù)最先進(jìn)技術(shù)和最佳性能優(yōu)化的設(shè)計(jì)原則，技術(shù)已很久停滯不前、性能相對偏低FDDI已不適應(yīng)XX中學(xué)校園網(wǎng)的需求了。剩下可選的則是快速以太網(wǎng)、千兆以太網(wǎng)和ATM這兩種（共三個(gè)）當(dāng)今主流主干網(wǎng)絡(luò)技術(shù)。從前面需求分析我們可以看到用戶的網(wǎng)絡(luò)應(yīng)用可分為管理、教學(xué)、科研以及其它的Internet/Intranet應(yīng)用服務(wù)系統(tǒng)，

25、其中網(wǎng)絡(luò)教學(xué)應(yīng)用具有很強(qiáng)的實(shí)時(shí)性，要求有長時(shí)間穩(wěn)定的帶寬；而管理、科研和Internet/Intranet應(yīng)用則非常復(fù)雜，它們不僅具有傳統(tǒng)計(jì)算機(jī)通信的文件的傳輸、數(shù)據(jù)的查詢等等，還根據(jù)信息發(fā)展的需要加入了大量圖像、視頻、聲音等多媒體應(yīng)用，比如Web瀏覽、視頻會(huì)議、語音電子郵件等等，這就需要網(wǎng)絡(luò)不僅具有傳送大量突發(fā)性數(shù)據(jù)的充裕帶寬，還應(yīng)當(dāng)對實(shí)時(shí)性較強(qiáng)的多媒體信息的傳送保持均勻的低延遲傳輸特性，從這方面來看，具備對傳統(tǒng)數(shù)據(jù)服務(wù)和多媒體信息都有最佳傳輸效果的ATM交換技術(shù)和快速以太網(wǎng)和千兆以太網(wǎng)技術(shù)無疑都可作為理想的解決方案。從另一方面來講，我們還必須考慮到建設(shè)的成本、未來維護(hù)的能力和不同網(wǎng)絡(luò)應(yīng)用類

26、型的搭配等各種因素。端到端全ATM在國外的先進(jìn)地區(qū)雖有成功的案例，但對于900個(gè)點(diǎn)左右的Intranet而言需要更大的投資和較高水平的維護(hù)力量，我們的應(yīng)用仍是傳統(tǒng)應(yīng)用加新型多媒體應(yīng)用共存的模式，多媒體傳輸不可忽視但而且將來會(huì)占絕對的主體，因此我們從發(fā)展的眼光來看，雖然目前應(yīng)用還不是太多，快速以太網(wǎng)能夠滿足需要，但根據(jù)經(jīng)驗(yàn)，在基礎(chǔ)設(shè)施建立以后，帶寬的需求將飛速增長，所以我們建議采用千兆以太網(wǎng)技術(shù)，達(dá)到最近五年不過時(shí)的標(biāo)準(zhǔn)。從峨山一中的網(wǎng)絡(luò)建設(shè)資金以及網(wǎng)絡(luò)應(yīng)用信息流量的實(shí)際情況出發(fā)，我們設(shè)計(jì)了一套基于千兆以太網(wǎng)主干技術(shù)的校園網(wǎng)方案，它以1000Mbps以太網(wǎng)交換技術(shù)為主干，可以做到1000Mbps

27、全光纜到二級交換機(jī)，100Mbps到桌面。它能很好地支持峨山一中的校園內(nèi)部的網(wǎng)絡(luò)通信以及與CERNET其它節(jié)點(diǎn)的信息交互，而且在性能有很大的優(yōu)勢，而且價(jià)格上并不貴多少，是一種比較先進(jìn)的校園網(wǎng)絡(luò)解決方案。3.3網(wǎng)絡(luò)拓?fù)? 虛擬局域網(wǎng)劃分及地址分配方案 在學(xué)校內(nèi)部劃分虛擬局域網(wǎng)，實(shí)現(xiàn)邏輯隔離。為了便于配置和管理，采用按部門劃分虛擬局域網(wǎng)的方法，并給每一個(gè)虛擬網(wǎng)絡(luò)指定一個(gè)子網(wǎng)號(hào)。2 地址分配方案學(xué)校的IP地址是C類地址，只能滿足254臺(tái)主機(jī)接入Internet，對于學(xué)校那么多的節(jié)電而言，明顯不足，為了解決地址缺乏的問題同時(shí)機(jī)也是為了安全性的需要，采用NAT技術(shù)實(shí)現(xiàn)內(nèi)外地址結(jié)合使用。具體分配時(shí)要遵循以

28、下原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表項(xiàng)；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率；可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址的連續(xù)性；靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。當(dāng)網(wǎng)絡(luò)以私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時(shí)，網(wǎng)絡(luò)應(yīng)提供地址變換功能（NAT），過濾掉私網(wǎng)地址。3 路由規(guī)劃路由是網(wǎng)絡(luò)中數(shù)據(jù)從一個(gè)點(diǎn)到另一個(gè)點(diǎn)的數(shù)據(jù)流向。路由由

29、組成網(wǎng)絡(luò)設(shè)備的路由協(xié)議學(xué)習(xí)和產(chǎn)生。路由協(xié)議是通過提供共享路由選擇信息的機(jī)制來支持被動(dòng)路由協(xié)議。路由的產(chǎn)生可以由管理員指定，或者由路由器運(yùn)行動(dòng)態(tài)路由協(xié)議而產(chǎn)生。由管理員指定的路由稱為靜態(tài)路由，它是由管理員手工設(shè)置每一個(gè)路由器，它的優(yōu)點(diǎn)是不占用網(wǎng)絡(luò)的資源，沒有路由更新信息所占用的網(wǎng)絡(luò)開銷，缺點(diǎn)是網(wǎng)絡(luò)中的管理員要對每一條路由都非常清晰地了解，當(dāng)一個(gè)網(wǎng)絡(luò)變得規(guī)模很大時(shí)，系統(tǒng)設(shè)置很困難。由路由器動(dòng)態(tài)產(chǎn)生的路由叫動(dòng)態(tài)路由，它是由路由器動(dòng)行一定的動(dòng)態(tài)路由協(xié)議，彼此通告路由信息，然后在此信息的基礎(chǔ)上產(chǎn)生各個(gè)路由器的路由表，常見的動(dòng)態(tài)路由協(xié)議有RIP v1/v2、IGRP、EIGRP、OSPF等協(xié)議。3.4廠家

30、產(chǎn)品選擇提供網(wǎng)絡(luò)產(chǎn)品廠家實(shí)在是太多了。國外的有Cisco、NortelNetworks、3Com、Lucent（該公司提供網(wǎng)絡(luò)設(shè)備的部門現(xiàn)已獨(dú)立出來成為公司AVAYA）、Alcatel、Cabletron、Intel。國內(nèi)的有華為（華為的產(chǎn)品基本上全是OEM的，路由器是OEM Cisco的，交換設(shè)備是OEM Intel的）、聯(lián)想（Legend）、中興、D-link（目前已被聯(lián)想收購，成了聯(lián)想D-link）、Accton（D-link和Accton是臺(tái)灣出產(chǎn)）。各家有各家的優(yōu)勢和特色。Cisco在廣域網(wǎng)產(chǎn)品方面的地位是無人能及的，據(jù)稱在廣域網(wǎng)骨干路由器上Cisco產(chǎn)品占有80%的市場份額；Nor

31、tel Networks在語音交換方面有100多年的歷史；3Com盡管它的高端產(chǎn)品目前已經(jīng)被人收購，但它在園區(qū)網(wǎng)方面，特別是在中國市場上，占有很大的份額；各家的特點(diǎn)說來話長，不一而足。但總的一點(diǎn)，比較貴，且他們占據(jù)的是中高端市場。在中低端市場方面，是D-link和Accton有極大的優(yōu)勢。特別要強(qiáng)調(diào)的是3com公司。3com公司是校園網(wǎng)方面擁有很長的歷史，全國有相當(dāng)一部分大學(xué)均采用3com的網(wǎng)絡(luò)設(shè)備，她以質(zhì)量好、性能穩(wěn)定著稱，雖然目前因全球策略調(diào)整將高端出售，從而強(qiáng)化了她在中低端產(chǎn)品上的競爭力，作為峨山一中一個(gè)中小型的園區(qū)網(wǎng)，3com的系列產(chǎn)品必將能提供一個(gè)性能、穩(wěn)定雙佳的網(wǎng)絡(luò)。具體配備如下：

32、中心機(jī)房：選擇3com公司Switch 5500G作為中心交換機(jī)。根據(jù)用戶要求，加入兩塊9口千兆模塊，為整個(gè)校園網(wǎng)提供18個(gè)1000Base-SX接口。其中10個(gè)SX接口用來下連教學(xué)樓、圖書館、教師宿舍、學(xué)生宿舍、飯?zhí)谩⑥k公樓、體育館；另外三個(gè)分別可用于Web服務(wù)器、數(shù)據(jù)/數(shù)據(jù)庫服務(wù)器、視頻服務(wù)器；剩余的5個(gè)備用。教學(xué)樓：教學(xué)樓共有70個(gè)信息點(diǎn)，并且已經(jīng)聯(lián)網(wǎng)。教學(xué)樓的配線間在四樓。根據(jù)用戶要求，選擇28口的華為Quidway S3328TP-SI(AC)四臺(tái)來進(jìn)行連接各信息點(diǎn)。圖書館：圖書館共有96個(gè)信息點(diǎn)。其中二樓資料查詢室共有61個(gè)信息點(diǎn)（其中的一個(gè)點(diǎn)與一臺(tái)服務(wù)器相連），在一、二樓辦公室各

33、2個(gè)點(diǎn)。剩余的26個(gè)信息點(diǎn)在一樓的學(xué)生書庫。圖書館采用五臺(tái)28口華為Quidway S3328TP-SI(AC)交換機(jī)堆疊。教師宿舍：教師宿舍共有70個(gè)信息點(diǎn)。采用三臺(tái)華為Quidway S3328TP-SI(AC)交換機(jī)堆疊。學(xué)生宿舍：學(xué)生宿舍共有兩幢樓。每幢采用四組八臺(tái)28口華為Quidway S3328TP-SI(AC)交換機(jī)堆疊。每個(gè)學(xué)生宿舍安置兩個(gè)信息點(diǎn)，男生樓樓有384個(gè)信息點(diǎn)。兩幢樓有768個(gè)信息點(diǎn)。飯?zhí)煤投Y堂：飯?zhí)霉灿?個(gè)信息點(diǎn)，采用一臺(tái)28口的華為Quidway S3328TP-SI(AC)交換機(jī)來連接。辦公樓：辦公樓共有145個(gè)信息點(diǎn)，并且目前辦公樓已經(jīng)布線連網(wǎng)，根據(jù)用戶要

34、求，辦公樓要重新布線。辦公樓采用四臺(tái)28口的華為Quidway S3328TP-SI(AC)交換機(jī)堆疊來連接。藝術(shù)樓：藝術(shù)樓共有23個(gè)信息點(diǎn)，也是采用一臺(tái)28口的華為Quidway S3328TP-SI(AC)交換機(jī)來連接。實(shí)驗(yàn)樓：實(shí)驗(yàn)樓共有10個(gè)信息點(diǎn)，也是采用一臺(tái)28口的華為Quidway S3328TP-SI(AC)交換機(jī)來連接。信息樓：信息樓共有394個(gè)信息點(diǎn)，也是采用十七臺(tái)28口的華為Quidway S3328TP-SI(AC)交換機(jī)來連接。根據(jù)招標(biāo)文件所述，各幢樓需要交換機(jī)類別、模塊如圖所示：3C169873C16981辦公樓 145中心交換機(jī)學(xué)生宿舍7683C169883C169

35、853C169853C169873C169883C169873C16985教學(xué)樓 703C16987飯?zhí)?5實(shí)驗(yàn)樓10圖書館 90教師宿舍 703C169853C169853C169873C169883C169853C169853C169873C169883C168013CB9EP93CB9EME3CB9FG24T3CB9LG9MC3CB9LG9MC3CB9RF12R3C169873C169853C169813C169853C169853C169873C169883C16987藝術(shù)樓 23信息樓394六芯多模光纖超五類雙絞線3C16987（四）網(wǎng)絡(luò)安全設(shè)計(jì)4.1網(wǎng)絡(luò)安全基本要素機(jī)密性：確保信息

36、不暴露給未授權(quán)的實(shí)體或進(jìn)程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能判斷數(shù)據(jù)是否被修改?？捎眯裕旱玫皆试S的實(shí)體在需要時(shí)可訪問數(shù)據(jù)，即攻擊者不能占用所有資源而阻礙授權(quán)者的工作。可控性：可以控制范圍內(nèi)的信息流向及行為方式。可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。4.2網(wǎng)絡(luò)安全的實(shí)現(xiàn)4.2.1技術(shù)概述1身份驗(yàn)證技術(shù)2數(shù)據(jù)完整性技術(shù)3跟蹤審計(jì)技術(shù)4信息加密技術(shù)5防火墻技術(shù)4.2.2技術(shù)介紹劃分網(wǎng)段、局域網(wǎng)交換技術(shù)和VLAN實(shí)現(xiàn)： 劃分網(wǎng)段、局域網(wǎng)交換技術(shù)和VLAN實(shí)現(xiàn)主要解決局域網(wǎng)絡(luò)的安全問題。由于局域網(wǎng)是廣播型網(wǎng)絡(luò)，因此，若在廣播域中進(jìn)行監(jiān)聽，就可以對信息包進(jìn)行分析，那么本廣播域的信

37、息傳遞都會(huì)暴露無遺。 劃分網(wǎng)段，其本質(zhì)就是限制廣播域，將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。其方式可分為物理分段和邏輯分段兩種。物理分段通常是將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分開網(wǎng)段，各網(wǎng)段相互間無法進(jìn)行直接通訊；邏輯分段是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。 局域網(wǎng)交換和VLAN技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)，從廣播網(wǎng)絡(luò)轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)的通訊，除非設(shè)置監(jiān)聽口，信息交換也不會(huì)存在監(jiān)聽和篡改等問題。 但是，用了局域網(wǎng)交換和VLAN技術(shù)仍然有一定的安全問題：如局域網(wǎng)設(shè)備成為了新的攻擊對象、基于網(wǎng)絡(luò)廣播原理的入侵監(jiān)測技術(shù)在交換網(wǎng)絡(luò)中的運(yùn)用問題、基于MAC的VLAN不

38、能防止MAC欺騙攻擊等。加密技術(shù)、數(shù)字簽名和認(rèn)證、VPN技術(shù)： 加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)路徑的安全性來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，因而這一類安全保障技術(shù)的基石是適用的數(shù)據(jù)加密技術(shù)極其在分布式系統(tǒng)中的應(yīng)用。防火墻 防火墻通常是網(wǎng)絡(luò)互連中的第一道屏障。防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。如今的防火墻功能越來越強(qiáng)大，從應(yīng)用上分為包過濾和代理服務(wù)器兩類；從實(shí)現(xiàn)上分為軟件防火墻和硬件防火墻兩類，通過防火墻能解決如下問題：保護(hù)脆弱服務(wù)：通過

39、過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。如，防火墻可以禁止NIS、NFS、TELNET服務(wù)通過，同時(shí)可以拒絕源路由和ICMP重定向封包。控制對系統(tǒng)的訪問：防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)同時(shí)禁止訪問某些主機(jī)。集中的安全管理：防火墻對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)定安全策略。 增強(qiáng)的保密性：使用防火墻可以阻止攻擊者攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger、DNS等。 記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)：防火墻可以記錄和統(tǒng)計(jì)通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的

40、統(tǒng)計(jì)數(shù)據(jù)，并且，防火墻可以提供統(tǒng)計(jì)數(shù)據(jù)來判斷可能的攻擊和探測。策略執(zhí)行：防火墻提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段，未設(shè)置防火墻時(shí)，網(wǎng)絡(luò)安全僅取決于每臺(tái)主機(jī)的用戶。 防火墻還提供許多的流量控制、防攻擊檢測等手段，直接將攻擊擋在外面，充分的保障了網(wǎng)絡(luò)安全入侵檢測技術(shù) 利用防火墻技術(shù)，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。但是，僅僅利用防火墻，網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠：入侵者可尋找防火墻背后可能敞開的后門、入侵者可能就在防火墻內(nèi)等等。入侵檢測系統(tǒng)是新型的網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段，實(shí)時(shí)入侵檢測的能力重要點(diǎn)在于它能夠?qū)Ω秮碜詢?nèi)部的攻擊，能夠阻止hacke

41、r的入侵。入侵檢測系統(tǒng)常分為基于主機(jī)和網(wǎng)絡(luò)兩類。網(wǎng)絡(luò)安全掃描技術(shù) 網(wǎng)絡(luò)安全掃描技術(shù)可對網(wǎng)絡(luò)系統(tǒng)的安全作預(yù)先的檢測，查找安全漏洞，提供解決方案等。 除上述技術(shù)和方法外，對于網(wǎng)絡(luò)系統(tǒng)還需解決好病毒、系統(tǒng)軟件、應(yīng)用軟件方面的安全問題。 （五）網(wǎng)絡(luò)存儲(chǔ)設(shè)計(jì)現(xiàn)在存儲(chǔ)備份主要靠的是磁帶存儲(chǔ)磁帶存儲(chǔ)系統(tǒng)是一種安全、可靠、易用和成本低廉的數(shù)據(jù)備份系統(tǒng)，其中的磁帶如同錄音帶和錄像帶，可從驅(qū)動(dòng)器中取出，實(shí)現(xiàn)非現(xiàn)場方式保存。磁帶存儲(chǔ)系統(tǒng)采用的是一種離線硬拷貝存儲(chǔ)方式，除了具有紙張存儲(chǔ)和備份的優(yōu)點(diǎn)之外，還具有存儲(chǔ)多媒體內(nèi)容的功能。磁帶備份設(shè)備可靠性高（實(shí)踐證明，一盒磁帶上的數(shù)據(jù)可以保存30年以上），容量極大（現(xiàn)在的磁

42、帶存儲(chǔ)技術(shù)完全可以使一盒磁帶壓縮后的存儲(chǔ)容量達(dá)到70GB，有些甚至高達(dá)200GB，而磁帶庫則可擴(kuò)充到幾十到幾百個(gè)TB），能夠做到在無人值守時(shí)完成數(shù)據(jù)備份和磁帶管理。磁帶是磁帶存儲(chǔ)系統(tǒng)的重要部件，也是單位存儲(chǔ)成本最低、容量最大、標(biāo)準(zhǔn)化程度最高的存儲(chǔ)介質(zhì)之一。它互換性好且易于保存，近年來由于采用了具有高糾錯(cuò)能力的編碼技術(shù)和即寫即讀的通道技術(shù)，更是大大提高了其可靠性和讀寫速度。目前常用的磁帶主要有：QIC（Quarter Inch Cartridge）磁帶：也稱1/4英寸磁帶。它有兩種規(guī)格，即DC6000和DC2000。前者采用5.25英寸驅(qū)動(dòng)器，目前已經(jīng)淘汰；后者的驅(qū)動(dòng)器只有3.5英寸，價(jià)格較低，

43、標(biāo)準(zhǔn)化程度高，生產(chǎn)廠家較多且產(chǎn)品相互兼容。一盒DC2000磁帶的存儲(chǔ)容量一般為400MB，是目前應(yīng)用較多的磁帶之一。DAT（Digital Audio Tape）磁帶：又稱4mm磁帶，帶寬為0.15英寸。DAT磁帶盒體積較小，但由于采用了螺旋掃描技術(shù)，使得該磁帶具有很高的存儲(chǔ)容量，目前一盒DAT磁帶可達(dá)到12GB的容量。而且DAT磁帶系統(tǒng)一般都引進(jìn)了即寫即讀和壓縮技術(shù)，提高了系統(tǒng)的可靠性和數(shù)據(jù)傳輸率。DAT磁帶和驅(qū)動(dòng)器的生產(chǎn)廠商較多，用戶的選擇余地較大。8mm磁帶：是一種由安百特公司開發(fā)、適合于大、中型網(wǎng)絡(luò)和多用戶系統(tǒng)的大容量磁帶。8mm磁帶及其驅(qū)動(dòng)器也采用了螺旋掃描技術(shù)，而且磁帶較寬，因而存

44、儲(chǔ)容量極高，一盒磁帶的最高容量可達(dá)14GB。1/2英寸磁帶：該類磁帶又分為DLT（Digital Linear Tape）磁帶和IBM 3480/3490/3590系列磁帶兩類。其中DLT磁帶由原DEC公司和昆騰公司共同推出，現(xiàn)已成為網(wǎng)絡(luò)備份磁帶機(jī)和磁帶庫系統(tǒng)的重要標(biāo)準(zhǔn)，又因?yàn)槿萘看螅亢写艓萘扛哌_(dá)35GB）、速度高，使其能夠在中、高端存儲(chǔ)備份市場獨(dú)占鰲頭。IBM 3480/3490/3590系列磁帶的存儲(chǔ)容量為10GB，所對應(yīng)的驅(qū)動(dòng)系統(tǒng)實(shí)際上是一個(gè)磁帶庫，可以存放多盒磁帶，并由機(jī)械手自動(dòng)選擇和加載磁帶。（六）網(wǎng)絡(luò)PDS系統(tǒng)設(shè)計(jì)結(jié)構(gòu)化綜合布線系統(tǒng)主要由六個(gè)子系統(tǒng)組成：1工作區(qū)子系統(tǒng)工作區(qū)子系

45、統(tǒng)設(shè)計(jì)要點(diǎn) 一個(gè)獨(dú)立的需要設(shè)置終端設(shè)備的區(qū)域宜劃分為一個(gè)工作區(qū)，工作區(qū)子系統(tǒng)應(yīng)由配線（水平）布線系統(tǒng)的信息插座延伸到工作站終端設(shè)備處的連接電纜及適配器組成，一個(gè)工作區(qū)的服務(wù)面積可按510m估算，每個(gè)工作區(qū)設(shè)置一個(gè)電話機(jī)或計(jì)算機(jī)終端設(shè)備，或按用戶要求設(shè)置。工作區(qū)的每一個(gè)信息插座均應(yīng)支持電話機(jī)、數(shù)據(jù)終端、計(jì)算機(jī)、電視機(jī)監(jiān)視器等終端設(shè)備的設(shè)置和安裝。工作區(qū)子系統(tǒng)包括辦公室、寫字間、作業(yè)間、技術(shù)室等需用電話。計(jì)算機(jī)終端、電視機(jī)等設(shè)施的區(qū)域和相應(yīng)設(shè)備的統(tǒng)稱。 工作區(qū)適配器的選用應(yīng)符合下列要求： 在設(shè)備連接器處采用不同信息插座的連接器時(shí)，可以用專用電纜或適配器 當(dāng)在單一信息插座上開通ISDN業(yè)務(wù)時(shí)，應(yīng)用網(wǎng)

46、絡(luò)終端適配器 在配線（水平）子系統(tǒng)中選用的電纜（介質(zhì)）不同于設(shè)備所需的電纜（介質(zhì)）時(shí)，宜采用適配器 在連接使用不同信號(hào)的數(shù)模轉(zhuǎn)換或數(shù)據(jù)速率轉(zhuǎn)換等相應(yīng)的裝置時(shí)，宜采用適配器 對于網(wǎng)絡(luò)規(guī)程的兼容性，可用配合適配器 根據(jù)工作區(qū)內(nèi)不同的電信終端設(shè)備可配備相應(yīng)的終端適配器 2水平子系統(tǒng) 水平子系統(tǒng)由工作區(qū)的信息插座、每層配線設(shè)備至信息插座的水平電纜等組成。 水平子系統(tǒng)應(yīng)按以下要求進(jìn)行設(shè)計(jì)： 根據(jù)工程提出近期和遠(yuǎn)期的終端設(shè)備要求 每層需要安裝的信息插座數(shù)量及其位置 終端將來可能產(chǎn)生移動(dòng)、修改和重新安排的詳細(xì)情況 一次性建設(shè)與分期建設(shè)的方案比較 水平子系統(tǒng)通常采用4對雙絞線，高速應(yīng)用場合可選用光纜 水平電纜

47、長度應(yīng)為90m以內(nèi) 綜合布線系統(tǒng)的信息插座應(yīng)按下列原則選用： 單個(gè)連接的8芯插座宜用于基本型系統(tǒng) 雙個(gè)連接的8芯插座宜用于增強(qiáng)型系統(tǒng) 綜合布線系統(tǒng)設(shè)計(jì)可采用多種類型的信息插座 3干線子系統(tǒng) 干線子系統(tǒng)應(yīng)由設(shè)備間的配線設(shè)備和跳線以及設(shè)備間至各樓層配線間的連接電纜組成。 干線子系統(tǒng)設(shè)計(jì)要點(diǎn) 在確定干線子系統(tǒng)所需要的電纜總對數(shù)之前，必須確定電纜中話音和數(shù)據(jù)信號(hào)的共享原則。對于基本型，每個(gè)工作區(qū)可選定2對雙絞線；對于增強(qiáng)型，每個(gè)工作區(qū)可選定3對雙絞線。對綜合型，每個(gè)工作區(qū)可在基本型或增強(qiáng)型的基礎(chǔ)上增設(shè)光纜系統(tǒng)。應(yīng)選擇干線電纜最短、最安全和最經(jīng)濟(jì)的路由。宜選擇帶門的封閉型通道敷設(shè)干線電纜。建筑物有兩大類

48、型的通道：封閉型和開放型。封閉型通道是指一連串上下對齊的交接間，每層樓都有一間，利用電纜豎井、電纜孔、管道電纜、電纜橋架等穿過這些房間的地板層。每個(gè)交接間通常還有一些便于固定電纜的設(shè)施和消防裝置。開放型通道是指從建筑物的地下室到樓頂?shù)囊粋€(gè)開放空間、中間沒有任何樓板隔開，例如，通風(fēng)通道或電梯通道，不能敷設(shè)干線子系統(tǒng)電纜。 干線電纜可采用點(diǎn)對點(diǎn)端接，也可采用分支遞減端接以及電纜直接連接方法。點(diǎn)對點(diǎn)端接是簡單、最直接的接合方法，干線子系統(tǒng)每根干線電纜直接延伸到指定的樓層和交接間。分支遞減端接是用1根大容量干線電纜足以支持若干個(gè)交接間或若干樓層的通信容量，經(jīng)過電纜接頭保護(hù)箱分出若干根小電纜，它們分別延

49、伸到每個(gè)交接間或每個(gè)樓層，并端接于目的地的連接硬件。電纜直接連接方法是特殊情況使用的技術(shù)。一種情況是一個(gè)樓層的所有水平端接都集中在干線交換間，另一種情況是二級交接間太小，在干線交接間完成端接。 如果設(shè)備間與計(jì)算機(jī)機(jī)房處于不同的地點(diǎn)，而且需要把話音電纜連至設(shè)備間，把數(shù)據(jù)電纜連至計(jì)算機(jī)房，則宜在設(shè)計(jì)時(shí)選取不同的于線電纜或干線電纜的不同部分來分別滿足不同路由話音和數(shù)據(jù)的需要。當(dāng)需要時(shí)，也可采用光纜系統(tǒng)予以滿足。 4設(shè)備間子系統(tǒng) 設(shè)備間子系統(tǒng)組成 設(shè)備間是在每幢大樓的適當(dāng)?shù)攸c(diǎn)設(shè)置進(jìn)線設(shè)備，進(jìn)行網(wǎng)絡(luò)管理以及管理人員值班的場所。設(shè)備間子系統(tǒng)應(yīng)由綜合布線系統(tǒng)的建筑物進(jìn)線設(shè)備，電話、數(shù)據(jù)、計(jì)算機(jī)等各種主機(jī)設(shè)及

50、其保安配線設(shè)備等組成。設(shè)備間子系統(tǒng)的電話、數(shù)據(jù)、計(jì)算機(jī)主機(jī)設(shè)備及其保安配線設(shè)備宜集中設(shè)在一個(gè)房間內(nèi)。必要時(shí)，可以分別設(shè)置，但程控電話交換機(jī)及計(jì)算機(jī)主機(jī)房離設(shè)備間的距離不宜太遠(yuǎn)。 設(shè)備間子系統(tǒng)的設(shè)計(jì)要點(diǎn)如下： 設(shè)備間內(nèi)的所有進(jìn)線終端設(shè)備宜采用色標(biāo)區(qū)別各類用途的配線區(qū) 設(shè)備間位置及大小應(yīng)根據(jù)設(shè)備的數(shù)量、規(guī)模、最佳網(wǎng)絡(luò)中心等內(nèi)容，綜合考慮確定 5、管理子系統(tǒng) 管理子系統(tǒng)組成 管理子系統(tǒng)設(shè)置在每層配線設(shè)備的房間內(nèi)。管理子系統(tǒng)應(yīng)由交接間的配線設(shè)備，輸入輸出設(shè)備等組成。也可應(yīng)用于設(shè)備間子系統(tǒng)。管理子系統(tǒng)提供了與其他子系統(tǒng)連接的手段。交接使得有可能安排或重新安排路由，因而通信線路能夠延續(xù)到連接建筑物內(nèi)部的各

51、個(gè)倍息插座，從而實(shí)現(xiàn)綜合布線系統(tǒng)的管理。 管理子系統(tǒng)設(shè)計(jì)要點(diǎn) 管理子系統(tǒng)宜采用單點(diǎn)管理雙交接。交接場的結(jié)構(gòu)取決于工作區(qū)、綜合布線系統(tǒng)規(guī)模和選用的硬件。在管理規(guī)模大、復(fù)雜、有二級交接間時(shí)，才設(shè)置雙點(diǎn)管理雙交接。在管理點(diǎn)，宜根據(jù)應(yīng)用環(huán)境用標(biāo)記插入條來標(biāo)出各個(gè)端接場。單點(diǎn)管理位于設(shè)備間里面的交換機(jī)附近，通過線路不進(jìn)行跳線管理，直接連至用戶房間或服務(wù)接線間里面的第二個(gè)接線交接區(qū)。雙點(diǎn)管理除交接間外，還設(shè)置第二個(gè)可管理的交接。雙交接為經(jīng)過二級交接設(shè)備。在每個(gè)交接區(qū)實(shí)現(xiàn)線路管理的方式是在各色標(biāo)場之間接上跨接線或插接線，這些色標(biāo)用來分別標(biāo)明該場是干線電纜、配線電纜或設(shè)備端接點(diǎn)。這些場通常分別分配給指定的接線

52、塊，而接線塊則按垂直或水平結(jié)構(gòu)進(jìn)行排列。 交接區(qū)應(yīng)有良好的標(biāo)記系統(tǒng)，如建筑物名稱、建筑物位置、區(qū)號(hào)、起始點(diǎn)和功能等標(biāo)上。綜合布線系統(tǒng)使用了三種標(biāo)記：電纜標(biāo)記、場標(biāo)記和插入標(biāo)記。其中插入標(biāo)記最常用。這些標(biāo)記通常是硬紙片或其他方式，由安裝人員在需要時(shí)取下來使用。 交接間及二級交接間的本線設(shè)備宜采用色標(biāo)區(qū)別各類用途的配線區(qū)。 交接設(shè)備連接方式的選用宜符合下列規(guī)定： 對樓層上的線路較少進(jìn)行修改、移位或重新組合時(shí)，宜使用夾接線方式 在經(jīng)常需要重組線路時(shí)使用插接線方式 在交接場之間應(yīng)留出空間，以便容納未來擴(kuò)充的交接硬件。在交接場之間應(yīng)留出空間，以便容納未來擴(kuò)充的交接硬件。布線系統(tǒng)總體結(jié)構(gòu)設(shè)備間子系統(tǒng)建設(shè)群

53、子系統(tǒng)垂直干線子系統(tǒng)管理區(qū)子系統(tǒng)水平干線子系統(tǒng)工作區(qū)子系統(tǒng)光纖銅纜（七）設(shè)備選型7.1網(wǎng)絡(luò)通信傳輸介質(zhì)：1、 光纖采用AMP（安普）公司產(chǎn)品光纖類型特性參數(shù)單模（1310/1550nm）多模50/125(50/125nm)室內(nèi)光纖最大衰減值典型衰減值帶寬（MHZ/KM）07/0705/0。5-/-35/2026/11400/400室外光纖最大衰減值典型衰減值帶寬（MHZ/KM）05/0。404/0。3-/-35/2。02。6/1。1400/400附：直徑-m 重量：KG/KM，2、 光纜應(yīng)用：各個(gè)局域網(wǎng)內(nèi)骨干網(wǎng)絡(luò)（1）、室內(nèi)光纜：4、8芯；（2）、室外光纜：412芯3、 雙絞線：采用UTP 5

54、類4對雙絞線，用于設(shè)備間的連接，10BASE-TX，100BASE-TX；100m/4對；速率100Mbps。7.2、網(wǎng)絡(luò)設(shè)備主交換機(jī) Switch 5500G一臺(tái)3Com Switch 5500G(3CR17250-91)主要參數(shù)交換機(jī)類型千兆以太網(wǎng)交換機(jī)傳輸速率10Mbps/100Mbps/1000Mbps端口數(shù)量20傳輸模式全雙工/半雙工自適應(yīng)配置形式可堆疊交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬184GbpsVLAN支持支持MAC地址表16K模塊化插槽數(shù)4電源電壓90-240V環(huán)境標(biāo)準(zhǔn)工作溫度:0-40、存儲(chǔ)溫度:-40-70、工作濕度:10%-90%不結(jié)露產(chǎn)品尺寸(mm)44450440其它特點(diǎn)支

55、持XRNUpc一臺(tái)山特C6K主要參數(shù)類型在線式額定輸出容量6kva輸入電壓范圍176- 276V輸入頻率范圍46- 54Hz輸出電壓范圍220(11)V 輸出頻率范圍50(10.1%)Hz輸出電壓波形正弦波電池Panasonic閥控式鉛蓄電池噪音值（dBA）55充電時(shí)間滿載/半載：7min/20min小時(shí)長570mm 寬260mm高717mm重量90kg特點(diǎn)工作溫度: 0 - 40/工作濕度:20% - 90%/存儲(chǔ)溫度:-25 - 55/存儲(chǔ)濕度:0 - 95%華為Quidway S3328TP-SI(AC)40臺(tái)綜述 查看華為交換機(jī) 主要參數(shù)交換機(jī)類型糾錯(cuò)運(yùn)營級接入交換機(jī)應(yīng)用層級糾錯(cuò)三層傳輸速率糾錯(cuò)10Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)糾錯(cuò)IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3z,IEEE 802.3x,IEEE 802.1Q,IEEE 802.1d,IEEE 802