1、校園網(wǎng)絡(luò)設(shè)計(jì)方案 設(shè)計(jì)者：王帆2017年11月 目 錄1 校園網(wǎng)需求分析31.1 網(wǎng)絡(luò)基本情況31.2網(wǎng)絡(luò)需求分析32 網(wǎng)絡(luò)總體設(shè)計(jì)32.1網(wǎng)絡(luò)架構(gòu)分析32.2 設(shè)計(jì)思路42.3 校園網(wǎng)的設(shè)計(jì)原則42.4 網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計(jì)52.4.1 主干網(wǎng)核心層設(shè)計(jì)52.4.2 園區(qū)內(nèi)匯聚層設(shè)計(jì)52.5 IP規(guī)劃與VLAN62.5.1 IP地址的分配原則63.5.2 公網(wǎng)地址分配72.5.3專用網(wǎng)的IP地址規(guī)劃72.5.4專用網(wǎng)中vlan劃分82.6 設(shè)備選型82.6.1 核心交換機(jī)設(shè)備選型82.6.2匯聚層設(shè)備選型82.6.3 接入層設(shè)備選型82.7物理/鏈路層配置原則93 網(wǎng)絡(luò)安全與管理93.1 網(wǎng)絡(luò)安

2、全93.1.1 威脅網(wǎng)絡(luò)安全因素分析93.1.2 網(wǎng)絡(luò)安全防范措施93.2 網(wǎng)絡(luò)管理93.3 網(wǎng)絡(luò)安全策略配置103.3.1安全接入和配置103.3.2 拒絕服務(wù)的防止103.4電源系統(tǒng)114 綜合布線設(shè)計(jì)114.1 綜合布線的設(shè)計(jì)原則114.2 結(jié)構(gòu)化綜合布線系統(tǒng)的組成及設(shè)計(jì)114.2.1工作區(qū)子系統(tǒng)（Work Area）及其網(wǎng)絡(luò)設(shè)計(jì)114.2.2 配線子系統(tǒng)（Horizontal）及其網(wǎng)絡(luò)設(shè)計(jì)114.2.3干線子系統(tǒng)（Backbone）及其網(wǎng)絡(luò)設(shè)計(jì)124.2.4 設(shè)備間子系統(tǒng)（Equipment Room）及其網(wǎng)絡(luò)設(shè)計(jì)124.2.5 管理子系統(tǒng)（Administration）及其網(wǎng)絡(luò)設(shè)計(jì)1

3、24.2.6 建筑群子系統(tǒng)（Campus Subsystem）及其網(wǎng)絡(luò)設(shè)計(jì)124.2.7 進(jìn)線間子系統(tǒng)及其網(wǎng)絡(luò)設(shè)計(jì)134.3防雷系統(tǒng)134.4在施工中注意事項(xiàng)134.4.1 工程施工前準(zhǔn)備134.4.2現(xiàn)場施工144.4.3 現(xiàn)場測試145 硬件設(shè)備預(yù)算141 校園網(wǎng)需求分析1.1 網(wǎng)絡(luò)基本情況某大學(xué)具有6個二級學(xué)院，分別位于同一個城市的4個園區(qū)中，其中大學(xué)與兩個二級學(xué)院在一個園區(qū)（園區(qū)1），另外兩個二級學(xué)院位于一個園區(qū)（園區(qū)2），而其他兩個學(xué)院分別位于園區(qū)3和園區(qū)4。大學(xué)已從中國教育科研網(wǎng)（CERNET）有關(guān)機(jī)構(gòu)申請了IPV4地址塊58.193.152.0/21。因特網(wǎng)具有統(tǒng)一接口，即通過百

4、兆以太網(wǎng)接入中國教育科研網(wǎng)（CERNET）。大學(xué)向因特網(wǎng)發(fā)布信息并為全校提供有關(guān)的信息服務(wù)， 每個二級學(xué)院都包含網(wǎng)管中心、院辦公樓、教學(xué)樓、實(shí)驗(yàn)樓、干部培訓(xùn)樓、學(xué)生公寓樓等。每個學(xué)院也自行向因特網(wǎng)發(fā)布學(xué)院信息并負(fù)責(zé)學(xué)院自己的信息服務(wù)，每個學(xué)院都擁有約1500臺PC。1.2網(wǎng)絡(luò)需求分析為提高網(wǎng)絡(luò)可靠性及安全性，需要在主干網(wǎng)采用光纖布線。校園網(wǎng)應(yīng)實(shí)現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機(jī)應(yīng)具有很高的包交換速度，整個網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。主干網(wǎng)絡(luò)應(yīng)該采用成熟的、可靠的快速以太網(wǎng)和千兆位以太網(wǎng)技術(shù)作為校園網(wǎng)主干。校園網(wǎng)應(yīng)選用先進(jìn)的網(wǎng)管軟件，建立完善的網(wǎng)絡(luò)管

5、理體系。在設(shè)備方面，應(yīng)選擇有校園網(wǎng)成功案例的網(wǎng)絡(luò)廠商的設(shè)備，同時為Internet、撥號用戶和移動用戶提供接口，網(wǎng)絡(luò)還應(yīng)具有良好的擴(kuò)展性。整個業(yè)務(wù)網(wǎng)必須具備良好的可管理性,網(wǎng)管系統(tǒng)應(yīng)具有監(jiān)測、故障診斷、故障隔離、過濾設(shè)置等功能,以便于系統(tǒng)的管理和維護(hù)。同時應(yīng)盡可能選取集成度高、模塊2 網(wǎng)絡(luò)總體設(shè)計(jì)2.1網(wǎng)絡(luò)架構(gòu)分析現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)化布線工程中多采用星型結(jié)構(gòu)，主要用于同一樓層，由各個房間的計(jì)算機(jī)間用集線器或者交換機(jī)連接產(chǎn)生的，它具有施工簡單，擴(kuò)展性高，成本低和可管理性好等優(yōu)點(diǎn)；而校園網(wǎng)在分層布線主要采用樹型結(jié)構(gòu)；每層的集線器或交換機(jī)在連接到本樓出口的交換機(jī)，各個樓的交換機(jī)再連接到園區(qū)通信網(wǎng)中。為了增

6、加網(wǎng)絡(luò)的可靠性，四個園區(qū)通信網(wǎng)連成一個環(huán)構(gòu)成校園網(wǎng)的核心區(qū)域，從而構(gòu)成了大學(xué)校園網(wǎng)的拓補(bǔ)結(jié)構(gòu)。采用三層結(jié)構(gòu)為該大學(xué)設(shè)計(jì)校園網(wǎng)。選用萬兆以太網(wǎng)作為連接大學(xué)4個校區(qū)的高速主干；選用千兆以太網(wǎng)作為各個校區(qū)內(nèi)樓層之間的主干，形成大學(xué)校園網(wǎng)的匯聚層；選用百兆以太LAN作為基本的接入形式，在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。2.2 設(shè)計(jì)思路 進(jìn)行校園網(wǎng)總體設(shè)計(jì)，首先要進(jìn)行對象研究和需求調(diào)查，明確學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)及系統(tǒng)建設(shè)的需求和條件，對學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述；在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校Intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，根據(jù)應(yīng)

7、用需求建設(shè)目標(biāo)和學(xué)校主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)。 1 、萬兆交換機(jī)互聯(lián)各個園區(qū)網(wǎng)選用萬兆交換機(jī)互聯(lián)各個園區(qū)網(wǎng)，而不選用高速路由器是因?yàn)椋焊鲌@區(qū)網(wǎng)均采用的以太網(wǎng)技術(shù)體系，兼容性好。大學(xué)將在校園網(wǎng)上開展教學(xué)視頻觀摩、遠(yuǎn)程聽課等多媒體應(yīng)用，提供高速率信息通道是必要的。萬兆交換機(jī)為三層交換機(jī)，是具有選路功能的交換機(jī)，在校園網(wǎng)環(huán)境下能夠具有更好的性能。價格因素。若在覆蓋幾十千米范圍采用高速路由器的話，底層通常要采用SDH技術(shù)，這使有關(guān)設(shè)備的價格要增加23倍。盡管高速路由器帶來的對各個園區(qū)有更好的隔離性，在該校園網(wǎng)中用處不大。2、主干網(wǎng)采用公用IP地址相連該校園網(wǎng)從CERNET獲得了IP地址的數(shù)

8、量是無法滿足需求的，只能供向因特網(wǎng)發(fā)布信息和聯(lián)系或進(jìn)行網(wǎng)絡(luò)科學(xué)研究之用，因此構(gòu)成校園網(wǎng)IP地址的主體是經(jīng)過NAT轉(zhuǎn)換的專用網(wǎng)地址。使用專用網(wǎng)地址不利于與其他大學(xué)的學(xué)術(shù)交流，但也是不得已而為之的方法；另一方面，可能使得校園網(wǎng)受到網(wǎng)絡(luò)黑客侵?jǐn)_會少些。2.3 校園網(wǎng)的設(shè)計(jì)原則（1）先進(jìn)性原則以先進(jìn)、成熟的網(wǎng)絡(luò)通信技術(shù)進(jìn)行組網(wǎng)，支持?jǐn)?shù)據(jù)、語音和視頻圖像等多媒體應(yīng)用，采用基于交換的技術(shù)代替?zhèn)鹘y(tǒng)的基于路由的技術(shù)，并且能確保網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)產(chǎn)品在幾年內(nèi)基本滿足需求。（2）開放性原則校園網(wǎng)的建設(shè)應(yīng)遵循國際標(biāo)準(zhǔn)，采用大多數(shù)廠家支持的標(biāo)準(zhǔn)協(xié)議及標(biāo)準(zhǔn)接口，從而為異種機(jī)、異種操作系統(tǒng)的互連提供便利和可能。（3）可管理性

9、原則網(wǎng)絡(luò)建設(shè)的一項(xiàng)重要內(nèi)容是網(wǎng)絡(luò)管理，網(wǎng)絡(luò)的建設(shè)必須保證網(wǎng)絡(luò)運(yùn)行的可管理性。在優(yōu)秀的網(wǎng)絡(luò)管理之下，將大大提高網(wǎng)絡(luò)的運(yùn)行速率，并可迅速簡便地進(jìn)行網(wǎng)絡(luò)故障的診斷。（4）安全性原則信息系統(tǒng)安全問題的中心任務(wù)是保證信息網(wǎng)絡(luò)的暢通，確保授權(quán)實(shí)體經(jīng)過該網(wǎng)絡(luò)安全地獲取信息，并保證該信息的完整和可靠。網(wǎng)絡(luò)系統(tǒng)的每一個環(huán)節(jié)都可能造成安全與可靠性問題。（5）靈活性和可擴(kuò)充性選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的同時還需要考慮將來的發(fā)展，由于網(wǎng)絡(luò)中的設(shè)備不是一成不變的，如需要添加或刪除一個工作站，對一些設(shè)備進(jìn)行更新?lián)Q代，或變動設(shè)備的位置，因此所選取的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)該能夠容易的進(jìn)行配置以滿足新的需要。（6）穩(wěn)定性和可靠性可靠性對于一個網(wǎng)

10、絡(luò)拓?fù)浣Y(jié)構(gòu)是至關(guān)重要的，在局域網(wǎng)中經(jīng)常發(fā)生節(jié)點(diǎn)故障或傳輸介質(zhì)故障，一個可靠性高的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)除了可以使這些故障對整個網(wǎng)絡(luò)的影響盡可能小以外，同時還應(yīng)具有良好的故障診斷和故障隔離功能。2.4 網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計(jì)2.4.1 主干網(wǎng)核心層設(shè)計(jì)校園網(wǎng)分為公網(wǎng)和專網(wǎng)。通過防火墻，連接放置各種應(yīng)用服務(wù)器的非軍事區(qū)部分，并經(jīng)路由器與CERNET相連。該三層校園網(wǎng)結(jié)構(gòu)中的核心層位于公網(wǎng)部分，可選用了Cisco公司的萬兆交換機(jī)Cat6509。租用電信公司的光纖裸芯，用萬兆速率將4個園區(qū)的4臺萬兆交換機(jī)連成一個環(huán)。為提高網(wǎng)絡(luò)可靠性，還在園區(qū)2和園區(qū)4之間用千兆光纜連接起來。校園網(wǎng)的核心層結(jié)構(gòu)如下圖所示：2.4.2

11、園區(qū)內(nèi)匯聚層設(shè)計(jì)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時提高了網(wǎng)絡(luò)的安全性。本實(shí)施方案從網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、安全性及易于維護(hù)性出發(fā)進(jìn)行設(shè)計(jì)，以滿足客戶需求。園區(qū)網(wǎng)可基本保持原有的二層網(wǎng)絡(luò)架構(gòu)，并在自己的園區(qū)網(wǎng)中使用專用IP地址塊，樓層之間采用千兆光纖相連，匯聚到千兆主交換機(jī)上與大學(xué)萬兆交換機(jī)通過防火墻相連。由于各二級學(xué)院的園區(qū)中具有的PC數(shù)量為1500臺左右，考慮到教學(xué)區(qū)域、管理區(qū)域和學(xué)院內(nèi)數(shù)據(jù)服務(wù)區(qū)域，建議劃分為若干個子網(wǎng)，也可以劃分為多個VLAN，以隔離廣播流量，提高網(wǎng)絡(luò)工作效率，并提高安全性。二級學(xué)院網(wǎng)絡(luò)的主干網(wǎng)可采用3COM公司的Switch 4007交換機(jī)與3C16980連接的千兆

12、光纜構(gòu)成了學(xué)院園區(qū)網(wǎng)的主干，向下以百兆以太網(wǎng)作為接入網(wǎng)與用戶PC相連。二級學(xué)院園區(qū)網(wǎng)的二層網(wǎng)絡(luò)拓?fù)浼軜?gòu)如下圖所示：2.5 IP規(guī)劃與VLAN 2.5.1 IP地址的分配原則IP地址規(guī)劃的好壞，不僅影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，更影響到網(wǎng)絡(luò)的性能和穩(wěn)定以及網(wǎng)絡(luò)的擴(kuò)展和管理，也必將直接影響到相關(guān)新業(yè)務(wù)的開拓和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步可持續(xù)性發(fā)展。該大學(xué)有六個二級學(xué)院,每個學(xué)院大約1500臺PC,而申請到的IP地址為8*256-2個=2022個,遠(yuǎn)小于6*1500臺，所以必須用到NAT技術(shù)。學(xué)校對外各種INTERNET服務(wù)，核心層設(shè)備都使用公網(wǎng)IP,普通終端PC使用私網(wǎng)IP，經(jīng)NAT技術(shù)上網(wǎng)。這樣既滿足普通

13、用戶上網(wǎng)需求又可以使服務(wù)器正常作用于互聯(lián)網(wǎng)。3.5.2 公網(wǎng)地址分配對IP地址塊58.193.152.0/21進(jìn)行子網(wǎng)劃分，劃分為8個子網(wǎng)，6個二級學(xué)院各分配254個IP地址，余下的254個IP地址用于大學(xué)校園網(wǎng)主干和科研。大學(xué)和同在一園區(qū)的一個二級學(xué)院的IP地址分配時應(yīng)連續(xù)。表1：學(xué)校公網(wǎng)IP地址分配表名稱公網(wǎng)IP段園區(qū)一大學(xué)本部58.193.152.0/24學(xué)院一58.193.153.0/24學(xué)院二58.193.154.0/24園區(qū)二學(xué)院三58.193.155.0/24學(xué)院四58.193.156.0/24園區(qū)三學(xué)院五58.193.157.0/24園區(qū)四學(xué)院六58.193.158.0/24學(xué)

14、校服務(wù)器58.193.159.0/242.5.3專用網(wǎng)的IP地址規(guī)劃由于分配給該大學(xué)校園網(wǎng)的IP地址遠(yuǎn)遠(yuǎn)不能滿足需求，因此這些IP地址主要用于向因特網(wǎng)發(fā)布信息和進(jìn)行科學(xué)研究之用。而大學(xué)內(nèi)部教學(xué)、科研、辦公用的校園網(wǎng)，就需要我們采用NAT技術(shù)。每個學(xué)院都有1500臺計(jì)算機(jī)，這里從專用的IP地址段中取出一個B類地址進(jìn)行規(guī)劃即可。本例我們可以取172.16.0.0/21，將其分配給大學(xué)和6個二級學(xué)院。每個單位都能夠分配一塊IP地址，其中具有30個子網(wǎng)，每個子網(wǎng)容納的主機(jī)數(shù)量達(dá)8*256-2=2046 臺，選用7個子網(wǎng)，分別給大學(xué)和二級學(xué)院各一個子網(wǎng)。事實(shí)上，由于各學(xué)院使用的專用IP地址互不相關(guān)，可以

15、由各個學(xué)院獨(dú)立進(jìn)行規(guī)劃也可。表2：學(xué)校專網(wǎng)公網(wǎng)IP地址分配表名稱專網(wǎng) IP段園區(qū)一大學(xué)本部172.16.8.0/21學(xué)院一172.16.16.0/21學(xué)院二172.16.24.0/21園區(qū)二學(xué)院三172.16.32.0/21學(xué)院四172.16.40.0/21園區(qū)三學(xué)院五172.16.48.0/21園區(qū)四學(xué)院六172.16.56.0/21學(xué)校服務(wù)器58.193.159.0/242.5.4專用網(wǎng)中vlan劃分VLAN技術(shù)允許將一個網(wǎng)絡(luò)的物理的LAN邏輯劃分成不同的廣播域。一個VLAN內(nèi)部的廣播和單播流量被限制在本VLAN之內(nèi)，不會轉(zhuǎn)發(fā)到其他VLAN中，這有助于控制流量、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全

16、性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪。虛擬局域網(wǎng)的好處是可以限制廣播范圍，是一種比較成熟企業(yè)組網(wǎng)規(guī)范，在本案例中我們可以利用它劃小網(wǎng)絡(luò)特點(diǎn)，我們可以進(jìn)一步監(jiān)控網(wǎng)絡(luò)，就算IP沖突產(chǎn)生，也輕易知道它發(fā)生在哪個部門（若VLAN劃分以部門為依據(jù)）2.6 設(shè)備選型2.6.1 核心交換機(jī)設(shè)備選型通常將網(wǎng)絡(luò)主干部分稱為核心層，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供油畫，可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機(jī)應(yīng)擁有更高的可靠性，性能和吞吐量。圖3.3銳捷網(wǎng)絡(luò)RG-S9620

17、如圖3.3所示，交換機(jī)成為企業(yè)網(wǎng)絡(luò)核心交換機(jī)的理想選擇，適用于為政府、學(xué)校、企業(yè)構(gòu)建高速、安全、可靠的萬兆網(wǎng)絡(luò)，它的背板帶寬為9.6T, 包轉(zhuǎn)發(fā)率：L2:3571Mpps,L3:3571Mpps, 擴(kuò)展插槽：20個(4個用于管理與交換距陣)2.6.2匯聚層設(shè)備選型圖3.4通常將位于接入層和核心層之間的部分稱為分布層或匯聚層，匯聚層交換層是多臺接入層交換機(jī)的匯聚點(diǎn)，它必須能夠處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機(jī)與接入層交換機(jī)比較，需要更高的性能，更少的接口和更高的交換速率。圖3.5各二級學(xué)院網(wǎng)管中心匯聚層交換機(jī)選擇,銳捷網(wǎng)絡(luò)RG-S8606為企業(yè)網(wǎng)絡(luò)核心交換

18、機(jī)的理想選擇，如圖4.4所示。適用于為政府、學(xué)校、企業(yè)構(gòu)建高速、安全、可靠的千兆背板帶寬為1.6T, 包轉(zhuǎn)發(fā)率：L2:595Mpps,595Mpps,擴(kuò)展插槽：6個(2個用于管理引擎模塊)。在二級學(xué)院各樓層的匯聚層交換機(jī)，我們采用銳捷網(wǎng)絡(luò)RG-S3760E-24，如圖3.5所示，屬于千兆交換機(jī)，背板帶寬：49.6G，包轉(zhuǎn)發(fā)率：12.8/16.4Mpps。2.6.3 接入層設(shè)備選型通常將網(wǎng)絡(luò)中直接面向用戶連接或訪問網(wǎng)絡(luò)的部分稱為接入層，接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，因此接入層交換機(jī)具有低成本和高端口密度特性。接入層交換機(jī)我們選擇可網(wǎng)管的交換機(jī)。2.7物理/鏈路層配置原則物理/鏈路層配置遵循

19、下面的原則：1.網(wǎng)絡(luò)設(shè)備互連的物理端口都應(yīng)該綁定端口的速率和全雙工模式；2.建議所有的Vlan都不要穿透核心層，所有的Vlan都將在匯聚層交換機(jī)上終結(jié)；3.本實(shí)施方案建議不要啟用STP生成樹協(xié)議，由于所有的Vlan都已在匯聚層交換機(jī)終結(jié)，在二層上并沒有環(huán)路存在，故無必要啟用；如果開啟基于每個Vlan的生成樹協(xié)議，廣播報文將會很多，影響核心交換機(jī)性能和網(wǎng)絡(luò)收斂時間；4.所有核心層和匯聚層交換機(jī)之間的互連端口均設(shè)置為Trunk模式，但目前只容許互連Vlan通過，以應(yīng)付將來有Vlan穿越核心層這種情況；5.匯聚層交換機(jī)和接入交換機(jī)之間的互連端口設(shè)置為Trunk模式。 3 網(wǎng)絡(luò)安全與管理3.1 網(wǎng)絡(luò)安

20、全校園網(wǎng)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來自于網(wǎng)外。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有40左右是來自于網(wǎng)絡(luò)內(nèi)部，如何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。3.1.1 威脅網(wǎng)絡(luò)安全因素分析計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：1.“黑客”的攻擊；2. 計(jì)算機(jī)病毒；3. 拒絕服務(wù)攻擊（Denial of Service Attack）。3.1.2 網(wǎng)絡(luò)安全防范措施在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障校園內(nèi)部網(wǎng)絡(luò)安全，我們選購了一套網(wǎng)絡(luò)安全防范設(shè)備。1 瑞星殺毒軟件網(wǎng)絡(luò)版1. 超強(qiáng)病毒查殺2. 智能

21、主動防御3. 增強(qiáng)型全網(wǎng)漏洞管理4. 強(qiáng)大的網(wǎng)絡(luò)管理能力是網(wǎng)絡(luò)安全的基礎(chǔ)部署、控制、執(zhí)行、升級、報告和日志、二次開發(fā)。 5. 兼容多種平臺6. 一體化智能服務(wù)體系3.2 網(wǎng)絡(luò)管理在校園網(wǎng)絡(luò)管理方面，為了便于校園網(wǎng)絡(luò)管理人員的管理及維護(hù)，我們選購Quidview網(wǎng)絡(luò)管理軟件。Quidview網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)”。Quidview網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計(jì)，通過安裝不同的業(yè)務(wù)組件實(shí)現(xiàn)了設(shè)備管理、VPN監(jiān)視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺，并能夠與多種通用網(wǎng)

22、管平臺集成，實(shí)現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。3.3 網(wǎng)絡(luò)安全策略配置3.3.1安全接入和配置安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表19安全接入和配置方法訪問方式保證網(wǎng)絡(luò)設(shè)備安全的方法備注Console控制接口的訪問設(shè)置密碼和超時限制建議超時限制設(shè)成5分鐘進(jìn)入特權(quán)exec和設(shè)備配置級別的命令行配置Radius來記錄logon/logout時間和操作活動；配置至少一個本地賬戶作應(yīng)急之用telnet訪問采用ACL限制，指定從特定的IP地址來進(jìn)行telnet訪問；配置

23、Radius安全紀(jì)錄方案；設(shè)置超時限制SSH訪問激活SSH訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸WEB管理訪問取消Web管理功能SNMP訪問常規(guī)的SNMP訪問是用ACL限制從特定IP地址來進(jìn)行SNMP訪問；記錄非授權(quán)的SNMP訪問并禁止非授權(quán)的SNMP企圖和攻擊為增加安全,建議更改缺省的SNMP Commutiy子串設(shè)置不同賬號通過設(shè)置不同的賬號的訪問權(quán)限，提高安全性3.3.2 拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn)TCP SYN泛濫攻擊、Smurf攻擊等；網(wǎng)絡(luò)設(shè)備的防TCP SYN的方法主要是配置網(wǎng)絡(luò)設(shè)備TCP SYN臨界值，若多于這個臨界值，則丟棄多余的TCP

24、 SYN數(shù)據(jù)包；防Smurf攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā)ICMP echo請求(directed broadcast)和設(shè)置ICMP包臨界值，避免成為一個Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。3.3.3 訪問控制1 允許從內(nèi)網(wǎng)訪問internet，端口全開放。2 允許從公網(wǎng)到DMZ（非軍事）區(qū)的訪問請求：WEB服務(wù)器只開放80端口，mail服務(wù)器只開放25和110端口。禁止從公網(wǎng)到內(nèi)部區(qū)的訪問請求，端口全關(guān)閉。4 允許從內(nèi)網(wǎng)訪問DMZ（非軍事）區(qū)，端口全開放5 允許從DMZ（非軍事）區(qū)訪問internet，端口全開放6 禁止從DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。3.4電源系統(tǒng)為保證網(wǎng)絡(luò)系統(tǒng)的安全

25、運(yùn)轉(zhuǎn)及電源發(fā)生故障時重要數(shù)據(jù)的儲存,須配置具有高可靠性的UPS電源。為此,在網(wǎng)絡(luò)中心配置了一套山特C3KVA/2100W的UPS電源。4 綜合布線設(shè)計(jì)4.1 綜合布線的設(shè)計(jì)原則綜合布線同傳統(tǒng)的布線相比較，有著許多優(yōu)越性，是傳統(tǒng)布線所無法比及的。其特點(diǎn)主要表現(xiàn)為它的實(shí)用性、功能性、先進(jìn)性、靈活性、方便性、可靠性、擴(kuò)展性、開放性、標(biāo)準(zhǔn)化、經(jīng)濟(jì)性和生命周期。而且在設(shè)計(jì)、施工和維護(hù)方面也給人們帶來了許多方便。4.2 結(jié)構(gòu)化綜合布線系統(tǒng)的組成及設(shè)計(jì)綜合布線系統(tǒng)（PDS，Premises Distribution System）是一套開放式的布線系統(tǒng)，可以支持幾乎所有的數(shù)據(jù)、語音設(shè)備及各種通信協(xié)議，同時，

26、由于PDS充分考慮了通信技術(shù)的發(fā)展，設(shè)計(jì)時有足夠的技術(shù)儲備，能充分滿足用戶長期的需求，應(yīng)用范圍十分廣泛。而且結(jié)構(gòu)化綜合布線系統(tǒng)具有高度的靈活性，各種設(shè)備位置的改變，局域網(wǎng)的變化，不需重新布線，只要在配線間作適當(dāng)布線調(diào)整即可滿足需求。結(jié)構(gòu)化綜合布線一般劃分為六個子系統(tǒng)。4.2.1工作區(qū)子系統(tǒng)（Work Area）及其網(wǎng)絡(luò)設(shè)計(jì)工作區(qū)子系統(tǒng)，是由RJ-45跳線與信息插座所連接的設(shè)備組成。信息點(diǎn)由標(biāo)準(zhǔn)RJ45插座構(gòu)成。信息點(diǎn)數(shù)量應(yīng)根據(jù)工作區(qū)的實(shí)際功能及需求確定，并預(yù)留適當(dāng)數(shù)量的冗余。工作區(qū)的終端設(shè)備（如：電話機(jī)、傳真機(jī)）選用安普公司的超五類雙絞線直接與工作區(qū)內(nèi)的每一個信息插座相連接，或用適配器（如IS

27、DN終端設(shè)備）、平衡/非平衡轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換連接到信息插座上。4.2.2 配線子系統(tǒng)（Horizontal）及其網(wǎng)絡(luò)設(shè)計(jì)配線子系統(tǒng)，是從工作區(qū)的信息插座開始到管理間子系統(tǒng)的配線架。選擇配線子系統(tǒng)的線纜，要根據(jù)建筑物內(nèi)具體信息點(diǎn)的類型、容量、帶寬和傳輸速率來確定。在配線子系統(tǒng)中推薦采用的雙絞電纜及光纖型號為: 安普公司的超五類或六類非屏蔽雙絞線, TCL室內(nèi)單?；蚨嗄９饫w。雙絞線水平布線鏈路中，水平電纜的長度為90m。若使用100UTP雙絞線作為配線子系統(tǒng)的線纜，可根據(jù)信息點(diǎn)類型的不同采用不同類型的電纜。該方案選擇安普公司的超五類非屏蔽雙絞線纜。4.2.3干線子系統(tǒng)（Backbone）及其網(wǎng)絡(luò)設(shè)計(jì)

28、干線子系統(tǒng)，負(fù)責(zé)連接管理子系統(tǒng)到設(shè)備間子系統(tǒng)的子系統(tǒng)。干線子系統(tǒng)可以使用的線纜主要有：HAY三類大對數(shù)電纜；安普公司的超五類或六類雙絞線；TCL室內(nèi)單?；蚨嗄９饫w。該方案選擇安普公司的超六類雙絞線纜。垂直干線子系統(tǒng)由連接主設(shè)備間至各樓層配線間之間的線纜構(gòu)成。其功能主要是把各分層配線架與主配線架相連。用主干電纜提供樓層之間通信的通道，使整個布線系統(tǒng)組成一個有機(jī)的整體。垂直干線子系統(tǒng)Topology結(jié)構(gòu)采用分層星型拓?fù)浣Y(jié)構(gòu)，每個樓層配線間均需采用垂直主干線纜連接到大樓主設(shè)備間。垂直主干采用25對大對數(shù)線纜時，每條25對大對數(shù)線纜對于某個樓層而言是不可再分的單位。垂直主干線纜和水平系統(tǒng)線纜之間的連接

29、需要通過樓層管理間的跳線來實(shí)現(xiàn)。 4.2.4 設(shè)備間子系統(tǒng)（Equipment Room）及其網(wǎng)絡(luò)設(shè)計(jì)設(shè)備間子系統(tǒng)，由電纜、連接器和相關(guān)支撐硬件組成。采用BIX跳接式配線架，連接交換機(jī)；采用光纖終結(jié)架連接主機(jī)及網(wǎng)絡(luò)設(shè)備。設(shè)備間的主要設(shè)備有數(shù)字程控交換機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、服務(wù)器、樓宇自控設(shè)備主機(jī)等等。它們可以放在一起，也可分別設(shè)置。在較大型的綜合布線中，可以將計(jì)算機(jī)設(shè)備、數(shù)字程控交換機(jī)、樓宇自控設(shè)備主機(jī)分別設(shè)置機(jī)房，把與綜合布線密切相關(guān)的硬件設(shè)備放置在設(shè)備間，計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的機(jī)房放在距離設(shè)備間不遠(yuǎn)的位置。設(shè)備間子系統(tǒng)是一個集中化設(shè)備區(qū)，連接系統(tǒng)公共設(shè)備，如局域網(wǎng)(LAN)、主機(jī)、建筑自動化和保安

30、系統(tǒng)，及通過垂直干線子系統(tǒng)連接至管理子系統(tǒng)。 4.2.5 管理子系統(tǒng)（Administration）及其網(wǎng)絡(luò)設(shè)計(jì)管理子系統(tǒng)，由交連、互連和I/O組成。管理是針對設(shè)備間、電信間和工作區(qū)的配線設(shè)備、纜線等設(shè)施，按-定的模式進(jìn)行標(biāo)識和記錄的規(guī)定。跳線采用超5類非屏蔽雙絞線，RJ45接頭。管理間是樓層的配線間，管理子系統(tǒng)為其他子系統(tǒng)互連提供手段，它是連接垂直干線子系統(tǒng)和水平干線子系統(tǒng)的設(shè)備。管理子系統(tǒng)由交連、互連和輸入/輸出組成，實(shí)現(xiàn)配線管理，為連接其它子系統(tǒng)提供手段。包括配線架、跳線設(shè)備及光配線架等組成設(shè)備。設(shè)計(jì)管理子系統(tǒng)時,必需了解線路的基本設(shè)計(jì)原理,合理配置各子系統(tǒng)的部件。安普公司的綜合布線解決

31、方案擁有搭配科學(xué)、管理簡便的成套產(chǎn)品用于管理子系統(tǒng)。 4.2.6 建筑群子系統(tǒng)（Campus Subsystem）及其網(wǎng)絡(luò)設(shè)計(jì)建筑群子系統(tǒng)是實(shí)現(xiàn)建筑之間的相互連接，提供樓群之間通信設(shè)施所需的硬件。建筑群之間可以采用有線通信的手段，也可采用微波通信、無線電通信的手段。傳輸介質(zhì)采用室外六芯多模光纖。建筑群子系統(tǒng)介質(zhì)選擇原則： 樓和樓之間在二公里以內(nèi)、傳輸介質(zhì)為室外光纖、可采用埋入地下或架空(4M以上)方式、需要避開動力線、注意光纖彎曲半徑建筑群子系統(tǒng)施工要點(diǎn)：包括路由起點(diǎn)、終點(diǎn)；線纜長度、入口位置、媒介類型、所需勞動費(fèi)用以及材料成本計(jì)算。建筑群子系統(tǒng)所在的空間還有對門窗、天花板、電源、照明、接地的

32、要求。建筑群子系統(tǒng)的設(shè)計(jì)：3號樓、5號樓與辦公樓之間由于距離較遠(yuǎn)，采用單模光纖連接；3號樓使用多模光纖連至1號樓、2號樓、公共衛(wèi)生學(xué)院、電鏡樓和由5號樓使用多模光纖連至6號樓、7號樓和研究生樓；圖書館與辦公樓距離較近，采用千兆以太網(wǎng)連接?？紤]近期學(xué)校使用、設(shè)備投資、距離超長等各種因素，采用多模光纖和單模光纖混合的方式連接，并在每個建筑物內(nèi)預(yù)留了多模光纖，以備將來整個網(wǎng)絡(luò)系統(tǒng)的發(fā)展。4.2.7 進(jìn)線間子系統(tǒng)及其網(wǎng)絡(luò)設(shè)計(jì)進(jìn)線間一個建筑物宜設(shè)置1個，一般位于地下層，外線宜從兩個不同的路由引入進(jìn)線間，有利于與外部管道溝通。進(jìn)線間與建筑物紅外線范圍內(nèi)的人孔或手孔采用管道或通道的方式互連。進(jìn)線間因涉及因素較多，難以統(tǒng)-提出具體所需面積，可根據(jù)建筑物實(shí)際情況，并參照通信行業(yè)和國家的現(xiàn)行標(biāo)準(zhǔn)要求進(jìn)行設(shè)計(jì)，本規(guī)范只提出原則要求。4.3防雷系統(tǒng)由于機(jī)房雷電防護(hù)系統(tǒng)對所保護(hù)系統(tǒng)的業(yè)務(wù)正常運(yùn)行具有非常重要的作用,因此雷電防護(hù)系統(tǒng)應(yīng)具備先進(jìn)性、可靠性、易維護(hù)、易升級等方面的突出特性。主要保護(hù)對象為信息中心機(jī)房具體措施:對于采用光纖通信的線路可以不另外加裝防雷器,只需在光纖入戶端將光纖內(nèi)的鋼筋做良好接地即可。但應(yīng)考慮到做為備份通信的其它線路,如DDN等,因此對非光纖的通訊線路做防雷保護(hù)是有必要而且是必需的。可在專線通訊線路入戶端加裝RJ45-ISDN/4-F通訊專線防雷器一套。 4.4在施工中注