1、*實(shí)踐教學(xué)*蘭州理工大學(xué)計(jì)算機(jī)與通信學(xué)院2008年春季學(xué)期計(jì)算機(jī)網(wǎng)絡(luò) 課程設(shè)計(jì)題 目：鄭州航空工業(yè)管理學(xué)院校園網(wǎng)絡(luò)建 專業(yè)班級(jí)：信息管理與信息系統(tǒng)（1）班 姓 名： 黃金平 學(xué) 號(hào)： 05360128 指導(dǎo)教師： 曹來(lái)成 成 績(jī)： 摘 要為了更好地發(fā)揮計(jì)算機(jī)及其網(wǎng)絡(luò)在教學(xué)、管理等方面發(fā)揮應(yīng)有的作用，為全校教師、科研人員、管理人員、學(xué)生提供一個(gè)先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，引入教學(xué)、科研、管理和學(xué)習(xí)等各個(gè)領(lǐng)域，培養(yǎng)熟悉現(xiàn)代化的工作環(huán)境和掌握先進(jìn)的教學(xué)、科研、管理和學(xué)習(xí)手段的高層次人才。把學(xué)校的教學(xué)樓、行政樓、圖書館、實(shí)驗(yàn)樓、宿舍樓、食堂等連接起來(lái)組成一個(gè)相互連接可以資源共享的網(wǎng)絡(luò)。并且每一個(gè)網(wǎng)絡(luò)有各自的

2、功能，實(shí)現(xiàn)自己的任務(wù)，互不影響。真正實(shí)現(xiàn)校園一體化，共享化，便捷化，資源化。使所有人感受的網(wǎng)絡(luò)的益處。并且還要注意網(wǎng)絡(luò)的安全性和成熟性。同時(shí)在連接時(shí)還要使連接利于以后的功能擴(kuò)充和技術(shù)升級(jí)。關(guān)鍵詞：校園網(wǎng),網(wǎng)絡(luò)安全,信息服務(wù),網(wǎng)絡(luò)規(guī)劃。目錄摘 要I第1章 前言1第2章 企業(yè)描述2第3章 需求分析33.1 帶寬（核心層、（部門層、）桌面）53.2 子網(wǎng)與VLAN規(guī)劃73.3 實(shí)現(xiàn)的信息服務(wù)73.4 應(yīng)用程序83.5 存儲(chǔ)系統(tǒng)分析83.6 系統(tǒng)及數(shù)據(jù)安全分析83.7 QoS93.8 網(wǎng)間隔離11第4章 拓?fù)鋱D及方案整體描述124.1 主干網(wǎng)傳輸方案設(shè)計(jì)124.11 垂直布線方式124.12 水平布線

3、124.13 設(shè)備間134.2 Internet接入方案及網(wǎng)絡(luò)拓?fù)鋱D；134.3 遠(yuǎn)程訪問(wèn)支持144.4 子網(wǎng)劃分與VLAN設(shè)定144.5 網(wǎng)間隔離方案設(shè)計(jì)154.6 存儲(chǔ)方案164.7 設(shè)備選型174.8 軟件194.9 信息服務(wù)方案194.10 綜合布線方案20第5章 網(wǎng)絡(luò)管理21第6章 系統(tǒng)主要設(shè)備報(bào)價(jià)22第7章 網(wǎng)絡(luò)測(cè)試及協(xié)議數(shù)據(jù)包分析23第8章 課程設(shè)計(jì)總結(jié)25參考資料26致謝27第1章 前言科技發(fā)展日新月異，以多媒體技術(shù)和網(wǎng)絡(luò)技術(shù)為核心的信息技術(shù)正在以驚人的速度進(jìn)入到教育的各個(gè)領(lǐng)域和環(huán)節(jié)，信息化大潮正沖擊著我們這個(gè)時(shí)代。Internet技術(shù)和現(xiàn)代教育理念的緊密結(jié)合使校園網(wǎng)在高校中發(fā)

4、揮著越來(lái)越重要的作用。建設(shè)一個(gè)以辦公自動(dòng)化、計(jì)算機(jī)輔助教學(xué)、現(xiàn)代計(jì)算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托、技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、覆蓋全校主要樓宇的校園主干網(wǎng)絡(luò)，將學(xué)校的各種PC機(jī)工作站、終端設(shè)備和局域網(wǎng)連接起來(lái)，并與有關(guān)廣域網(wǎng)相連；在網(wǎng)上宣傳和獲取教育資源；在此基礎(chǔ)上建立能滿足教學(xué)、科研和管理工作需要的軟、硬件環(huán)境；開(kāi)發(fā)各類信息庫(kù)和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)；系統(tǒng)總體設(shè)計(jì)本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性、良好的開(kāi)放性、可擴(kuò)展性，以及建設(shè)經(jīng)濟(jì)性。第2章 企業(yè)描述鄭州航空工業(yè)管理學(xué)院：占地面積265746 平方米。校區(qū)總建筑面積29490

5、8 平方米，其中，教室面積43919平方米，實(shí)驗(yàn)室面積7356平方米,圖書館面積7900 平方米 。把該校建設(shè)成為一個(gè)完備的校園網(wǎng)，應(yīng)在教師備課教學(xué)、學(xué)生學(xué)習(xí)、教務(wù)管理、行政管理、圖書資料管理、資源信息、對(duì)外交流等方面發(fā)揮輔助、支持功能，并通過(guò)與廣域網(wǎng)的互聯(lián)，實(shí)現(xiàn)校際間的信息共享及與因特網(wǎng)(INTERNET)的連接，通過(guò)與寬帶數(shù)字衛(wèi)星相聯(lián)，實(shí)現(xiàn)遠(yuǎn)程教育，為學(xué)校的教學(xué)、管理、日常辦公、內(nèi)外交流等各方面提供全面、切實(shí)的支持。校區(qū)校園規(guī)劃科學(xué)滿足高等教育現(xiàn)代化、信息化、智能化的要求。第3章 需求分析網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)目標(biāo)是最大限度的滿足應(yīng)用系統(tǒng)的需求，與計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)發(fā)展水平相適應(yīng)。建立網(wǎng)絡(luò)系統(tǒng)主要

6、是完成將所有網(wǎng)絡(luò)設(shè)備連網(wǎng)工作，即通過(guò)網(wǎng)絡(luò)設(shè)備將信息點(diǎn)與中心網(wǎng)絡(luò)系統(tǒng)可靠地連接起來(lái)，為當(dāng)前的各種應(yīng)用環(huán)境系統(tǒng)和應(yīng)用軟件系統(tǒng)提供運(yùn)行環(huán)境支持。由于網(wǎng)絡(luò)系統(tǒng)對(duì)工作的運(yùn)作與發(fā)展具有非常重要的作用，因此網(wǎng)絡(luò)改造系統(tǒng)的先進(jìn)性、可靠性、安全性、易維護(hù)、易升級(jí)等方面均有一定的要求，網(wǎng)絡(luò)系統(tǒng)對(duì)先進(jìn)性的要求是在計(jì)算機(jī)技術(shù)突飛猛進(jìn)的今天，提供達(dá)幾年甚至更長(zhǎng)時(shí)間的可用性。網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)必須滿足其應(yīng)用的要求，網(wǎng)絡(luò)總體設(shè)計(jì)、建設(shè)的原則如下：（1） 開(kāi)放性采用開(kāi)放性的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級(jí)、擴(kuò)展和互聯(lián)；同時(shí)在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時(shí)，強(qiáng)調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國(guó)際標(biāo)準(zhǔn)化；（2） 標(biāo)準(zhǔn)化在方案設(shè)計(jì)中，所有計(jì)算機(jī)網(wǎng)絡(luò)軟硬件產(chǎn)品必

7、須堅(jiān)持標(biāo)準(zhǔn)化原則，遵從國(guó)際標(biāo)準(zhǔn)化組織所制訂的各種國(guó)際標(biāo)準(zhǔn)及各種工業(yè)標(biāo)準(zhǔn)。（3） 簡(jiǎn)潔性對(duì)于網(wǎng)絡(luò)系統(tǒng)，在設(shè)計(jì)過(guò)程中要考慮系統(tǒng)的能夠適應(yīng)不斷的新的發(fā)展需要，并使系統(tǒng)能適應(yīng)多種硬件平臺(tái)和多種網(wǎng)絡(luò)結(jié)構(gòu)，而且網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡(jiǎn)潔，硬件和軟件按需要能進(jìn)行靈活的配置。（4）可擴(kuò)展性 目前設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)不僅僅用于當(dāng)前，同時(shí)在今后的一段時(shí)間內(nèi)，將是校園電子化的主要系統(tǒng)。因此，設(shè)計(jì)時(shí)一定得考慮將來(lái)的發(fā)展，除了當(dāng)前設(shè)計(jì)得有一定的超前外，還需要考慮系統(tǒng)的可擴(kuò)充性，易于系統(tǒng)以后的發(fā)展。網(wǎng)絡(luò)系統(tǒng)必須有足夠的擴(kuò)展性，使得將來(lái)增加信息點(diǎn)時(shí)，只需很少變動(dòng)。如當(dāng)網(wǎng)絡(luò)設(shè)備增加、通信網(wǎng)絡(luò)升級(jí)時(shí)，所有設(shè)備要保證仍能繼續(xù)使用，而不能以棄掉已

8、有設(shè)備為升級(jí)的代價(jià)。采用的產(chǎn)品具有充分的可擴(kuò)充性及升級(jí)能力，具有足夠的先進(jìn)網(wǎng)絡(luò)技術(shù)過(guò)渡的能力。（5）安全性安全性是指可靠性、保密性和數(shù)據(jù)一致性。校園網(wǎng)對(duì)安全性的要求較高，計(jì)算機(jī)系統(tǒng)的安全性主要包括以下幾個(gè)方面:硬件平臺(tái)安全性：當(dāng)計(jì)算機(jī)的元器件突然發(fā)生故障，或計(jì)算機(jī)系統(tǒng)工作環(huán)境設(shè)備突然發(fā)生故障時(shí)，計(jì)算機(jī)系統(tǒng)能繼續(xù)工作或迅速恢復(fù)。 網(wǎng)絡(luò)通迅系統(tǒng)安全性：網(wǎng)絡(luò)的安全性主要包括采取以下安全措施：認(rèn)證措施，包括網(wǎng)點(diǎn)認(rèn)證和人員認(rèn)證；數(shù)據(jù)保密措施如傳輸加密；存取控制措施如防止非法操作。 操作系統(tǒng)安全性：操作系統(tǒng)安全性要達(dá)到C2級(jí)，即通過(guò)注冊(cè)、安全事件審計(jì)、資源隔離等方式使用戶的行為具有個(gè)體可查性，實(shí)施存取限制

9、，保護(hù)數(shù)據(jù)防止被別的用戶讀取或破壞。 數(shù)據(jù)庫(kù)安全性：數(shù)據(jù)庫(kù)要有以下安全機(jī)制：磁盤鏡像、數(shù)據(jù)備份、恢復(fù)機(jī)制、事務(wù)日志、內(nèi)部一致性檢查、鎖機(jī)制以及審計(jì)機(jī)制等安全保障體制，確保數(shù)據(jù)庫(kù)的安全。 應(yīng)用軟件系統(tǒng)的安全性： 認(rèn)同用戶和鑒別，確認(rèn)用戶的真實(shí)身份，防止非法用戶進(jìn)入系統(tǒng)。 存取控制，當(dāng)用戶已注冊(cè)登錄后，核對(duì)用戶權(quán)限，根據(jù)用戶對(duì)該項(xiàng)資源被授予的權(quán)限對(duì)其進(jìn)行存取控制。 審計(jì)，系統(tǒng)能記錄用戶所進(jìn)行的操作及其相關(guān)數(shù)據(jù)，能記錄操作結(jié)果，能判斷違反安全的事件是否發(fā)生，如果發(fā)生則能記錄備查。 保障數(shù)據(jù)完整性，對(duì)數(shù)據(jù)庫(kù)操作保證數(shù)據(jù)的一致性和數(shù)據(jù)的完整性。 （6）技術(shù)先進(jìn)性網(wǎng)絡(luò)系統(tǒng)不能夠一經(jīng)實(shí)現(xiàn)即落后，應(yīng)當(dāng)至少處于

10、現(xiàn)今先進(jìn)水平，只有這樣才能在計(jì)算機(jī)技術(shù)迅速發(fā)展的今天不落伍，不會(huì)在競(jìng)爭(zhēng)激烈的今天，因計(jì)算機(jī)技術(shù)的不足而影響工作的進(jìn)行開(kāi)展。應(yīng)至少保持系統(tǒng)具備幾年的領(lǐng)先性。采用先進(jìn)而成熟的網(wǎng)絡(luò)技術(shù)和產(chǎn)品，適應(yīng)大量數(shù)據(jù)和多媒體信息傳輸、處理、交換的需要，使網(wǎng)絡(luò)系統(tǒng)具有較強(qiáng)的生命力。（7）實(shí)用性網(wǎng)絡(luò)的建設(shè)要強(qiáng)調(diào)網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)應(yīng)用并重，以應(yīng)用推動(dòng)建設(shè)，信息資源的開(kāi)發(fā)、利用和效果。產(chǎn)品應(yīng)選擇主流產(chǎn)品，并且具有成熟、穩(wěn)定、實(shí)用的特點(diǎn)。能充分滿足日常使用、科學(xué)決策、對(duì)外交流、以及信息自動(dòng)化管理等各方面的需要。（8）網(wǎng)絡(luò)可靠性網(wǎng)絡(luò)可靠性需要從以下方面來(lái)保證：設(shè)備的硬件制造品質(zhì)與運(yùn)行軟件的成熟性。網(wǎng)絡(luò)設(shè)備必須選用已經(jīng)證實(shí)，并在

11、實(shí)際應(yīng)用中得到普遍應(yīng)用的產(chǎn)品，只有這樣，才可能提供不間斷運(yùn)行的能力。網(wǎng)絡(luò)產(chǎn)品應(yīng)具備在線熱更換的能力，當(dāng)某一板卡出現(xiàn)故障時(shí)，應(yīng)能帶電更換，而不需進(jìn)行停機(jī)操作。（9）易維護(hù)管理性網(wǎng)絡(luò)管理應(yīng)走向科學(xué)化，采用先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)“在網(wǎng)絡(luò)中心即能實(shí)時(shí)控制、監(jiān)測(cè)整個(gè)系統(tǒng)的運(yùn)行狀況，能夠自動(dòng)發(fā)現(xiàn)故障點(diǎn)”的目標(biāo)，并具有良好的人-機(jī)操作界面。（10）保護(hù)投資在網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)充分考慮現(xiàn)有的硬件和軟件資源，盡量把各期投資和未來(lái)發(fā)展的兼容性容于系統(tǒng)方案中。保護(hù)投資從如下幾個(gè)方面考慮：直接的硬件設(shè)備、軟件系統(tǒng)的投資 應(yīng)用系統(tǒng)開(kāi)發(fā)的人力、物力、財(cái)力和時(shí)間上的投資 人員培訓(xùn)投資 原有運(yùn)行系統(tǒng)和業(yè)務(wù)數(shù)據(jù)的有效兼容。3.1

12、 帶寬（核心層、（部門層、）桌面）校園網(wǎng)主干網(wǎng)是數(shù)據(jù)信息流動(dòng)的主動(dòng)脈，同時(shí)擔(dān)負(fù)著信息流動(dòng)的總調(diào)度任務(wù)。主干網(wǎng)采用核心交換、劃分虛擬網(wǎng)的設(shè)計(jì)方案。交換核心使用一臺(tái)高性能、高可靠性的交換機(jī)，實(shí)現(xiàn)冗余備份和負(fù)載平衡。最好選擇光纖作為通信介質(zhì)。各樓干線光纜經(jīng)網(wǎng)絡(luò)中心機(jī)房星狀放射互聯(lián)。各樓內(nèi)垂直主干線采用五類雙絞線，主干支持或。因此作為主干網(wǎng)要遵循以下特點(diǎn)（1）高性能與技術(shù)先進(jìn)性校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)要求具有較高的數(shù)據(jù)通信能力和較大的帶寬；并在主干網(wǎng)上提供較強(qiáng)的可擴(kuò)展性。為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)應(yīng)有較高的網(wǎng)絡(luò)主干速度。（2）高可靠性網(wǎng)絡(luò)要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓?fù)浣Y(jié)構(gòu)及設(shè)備

13、的冗余和備份，為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，設(shè)備在發(fā)生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)進(jìn)行恢復(fù)，把故障對(duì)網(wǎng)絡(luò)系統(tǒng)的影響減少到最小，避免由于網(wǎng)絡(luò)故障造成用戶損失；（3）安全性校園網(wǎng)作為一個(gè)支持眾多用戶、同時(shí)和INTERNET/CERNET存在連接的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全性在整個(gè)網(wǎng)絡(luò)中是個(gè)很重要的問(wèn)題，應(yīng)該采用一定手段控制網(wǎng)絡(luò)的安全性，以保證網(wǎng)絡(luò)正常運(yùn)行。網(wǎng)絡(luò)中應(yīng)采取多種技術(shù)從內(nèi)部和外部同時(shí)控制用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保密性，能夠防止非法侵入和信息泄漏。（4）可管理性強(qiáng)

14、有力的網(wǎng)管軟件是有效地進(jìn)行網(wǎng)絡(luò)管理的助手，網(wǎng)管軟件應(yīng)能夠支持對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)備級(jí)和系統(tǒng)級(jí)的管理，并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備的管理及配置。靈活的設(shè)置每個(gè)用戶對(duì)Internet訪問(wèn)功能，能夠?qū)γ總€(gè)用戶實(shí)行管理；并且能夠?qū)崿F(xiàn)計(jì)費(fèi)管理。（5）可擴(kuò)充性隨著應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過(guò)渡到新的技術(shù)和設(shè)備，保證現(xiàn)有的投資。（6）VLAN劃分根據(jù)校園網(wǎng)的實(shí)際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個(gè)邏輯子網(wǎng)內(nèi)。網(wǎng)絡(luò)站點(diǎn)的增減，人員的變動(dòng)，無(wú)論從網(wǎng)絡(luò)管理，還是用戶的角度來(lái)講，都需要虛擬網(wǎng)技術(shù)的支持。因此在網(wǎng)

15、絡(luò)主干中要支持三層交換及VLAN劃分。在整個(gè)網(wǎng)絡(luò)中使用虛擬網(wǎng)技術(shù)，以提高網(wǎng)絡(luò)的安全性和靈活性。（7）多層交換技術(shù)通過(guò)三層交換技術(shù)，特別是基于硬件的第三層交換，可以充分地利用交換機(jī)的包處理能力，實(shí)現(xiàn)真正的線速交換。（8）對(duì)多媒體應(yīng)用的支持校園網(wǎng)要求具有數(shù)據(jù)、圖像、語(yǔ)音等多媒體實(shí)時(shí)通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對(duì)帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。整個(gè)網(wǎng)絡(luò)在服務(wù)質(zhì)量、預(yù)留寬帶設(shè)置、合理進(jìn)行帶寬管理方面應(yīng)提供優(yōu)良的品質(zhì)。3.2 子網(wǎng)與VLAN規(guī)劃根據(jù)需求的不同，將分成不同的子網(wǎng)。教學(xué)子網(wǎng)、 辦公子網(wǎng)、 圖書館子網(wǎng)、

16、宿舍區(qū)及后勤子網(wǎng)。局域網(wǎng)采用虛擬局域網(wǎng)，在交換式以太網(wǎng)中，各站點(diǎn)可以分別屬于不同的虛擬局域網(wǎng)。構(gòu)成虛擬局域網(wǎng)的站點(diǎn)不拘泥于所處的物理位置，它們既可以掛接在同一個(gè)交換機(jī)中，也可以掛接在不同的交換機(jī)中。虛擬局域網(wǎng)技術(shù)使得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活，使不同樓層的用戶或者不同部門的用戶可以根據(jù)需要加入不同的虛擬局域網(wǎng)。當(dāng)網(wǎng)絡(luò)規(guī)模很大時(shí)，網(wǎng)上的廣播信息會(huì)很多，能解決了網(wǎng)絡(luò)惡化、廣播風(fēng)暴、網(wǎng)絡(luò)堵塞。3.3 實(shí)現(xiàn)的信息服務(wù)需要的基本功能有：1、電子郵件系統(tǒng)：主要進(jìn)行與同行交往、開(kāi)展技術(shù)合作、學(xué)術(shù)交流等活動(dòng)； 2、文件傳輸FTP：主要利用FTP服務(wù)獲取重要的科技資料和技術(shù)文擋； 3、INTERNET服務(wù)：學(xué)校

17、可以建立自己的主頁(yè)，利用外部網(wǎng)頁(yè)進(jìn)行學(xué)校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁(yè)進(jìn)行管理，例如發(fā)布通知、收集學(xué)生意見(jiàn)等。4、計(jì)算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)；5、圖書館訪問(wèn)系統(tǒng)，用于計(jì)算機(jī)查詢、計(jì)算機(jī)檢索、計(jì)算機(jī)閱讀等；6、其他應(yīng)用，如大型分布式數(shù)據(jù)庫(kù)系統(tǒng)、超性能計(jì)算資源共享、管理系統(tǒng)、視頻會(huì)議等。3.4 應(yīng)用程序出于對(duì)校園網(wǎng)的功能分析，在校園網(wǎng)上運(yùn)行的應(yīng)用程序有如下幾種：文件傳輸系統(tǒng)、郵件系統(tǒng)、辦公自動(dòng)化系統(tǒng)、宿舍管理系統(tǒng)、學(xué)生檔案管理系統(tǒng)、教學(xué)系統(tǒng)等一系列網(wǎng)絡(luò)平臺(tái)。3.5 存儲(chǔ)系統(tǒng)分析根據(jù)我們選用的是開(kāi)放的Windows、UNIX、Linux等操作系統(tǒng)的服務(wù)器，開(kāi)放系統(tǒng)的網(wǎng)絡(luò)化存儲(chǔ)根據(jù)傳

18、輸協(xié)議又分為:網(wǎng)絡(luò)接入存儲(chǔ)(Network-Attached Storage，簡(jiǎn)稱NAS)和存儲(chǔ)區(qū)域網(wǎng)絡(luò)(Storage Area Network，簡(jiǎn)稱SAN)。3.6 系統(tǒng)及數(shù)據(jù)安全分析所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。目前恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒(méi)有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系

19、統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。應(yīng)用系統(tǒng)安全與具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用系統(tǒng)的安全性涉及到信息、數(shù)據(jù)的安全性。信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問(wèn)、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果一些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)、社會(huì)影響和政治影響將是很嚴(yán)重的。因此，對(duì)用戶使用計(jì)算機(jī)必須進(jìn)行身份認(rèn)證，對(duì)于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問(wèn)控制與權(quán)限

20、控制手段，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機(jī)密性與完整性。3.7 QoSQoS的英文全稱為Quality of Service，中文名為服務(wù)質(zhì)量。QoS是網(wǎng)絡(luò)的一種安全機(jī)制, 是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題的一種技術(shù)。 在正常情況下，如果網(wǎng)絡(luò)只用于特定的無(wú)時(shí)間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如Web應(yīng)用，或E-mail設(shè)置等。但是對(duì)關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過(guò)載或擁塞時(shí)，QoS 能確保重要業(yè)務(wù)量不受延遲或丟棄，同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行。 QoS具有如下功能： （一）分類 分類是指具有QoS的網(wǎng)絡(luò)能夠識(shí)別哪種應(yīng)用產(chǎn)生哪種數(shù)據(jù)

21、包。沒(méi)有分類，網(wǎng)絡(luò)就不能確定對(duì)特殊數(shù)據(jù)包要進(jìn)行的處理。所有應(yīng)用都會(huì)在數(shù)據(jù)包上留下可以用來(lái)識(shí)別源應(yīng)用的標(biāo)識(shí)。分類就是檢查這些標(biāo)識(shí)，識(shí)別數(shù)據(jù)包是由哪個(gè)應(yīng)用產(chǎn)生的。以下是4種常見(jiàn)的分類方法。 (1)協(xié)議 有些協(xié)議非?！敖≌劇?，只要它們存在就會(huì)導(dǎo)致業(yè)務(wù)延遲，因此根據(jù)協(xié)議對(duì)數(shù)據(jù)包進(jìn)行識(shí)別和優(yōu)先級(jí)處理可以降低延遲。應(yīng)用可以通過(guò)它們的EtherType進(jìn)行識(shí)別。譬如，AppleTalk協(xié)議采用0x809B，IPX使用0x8137。根據(jù)協(xié)議進(jìn)行優(yōu)先級(jí)處理是控制或阻止少數(shù)較老設(shè)備所使用的“健談”協(xié)議的一種強(qiáng)有力方法。 (2)TCP和UDP端口號(hào)碼 許多應(yīng)用都采用一些TCP或UDP端口進(jìn)行通信，如 HTTP采用T

22、CP端口80。通過(guò)檢查IP數(shù)據(jù)包的端口號(hào)碼，智能網(wǎng)絡(luò)可以確定數(shù)據(jù)包是由哪類應(yīng)用產(chǎn)生的，這種方法也稱為第四層交換，因?yàn)門CP和UDP都位于OSI模型的第四層。 (3)源IP地址 許多應(yīng)用都是通過(guò)其源IP地址進(jìn)行識(shí)別的。由于服務(wù)器有時(shí)是專門針對(duì)單一應(yīng)用而配置的，如電子郵件服務(wù)器，所以分析數(shù)據(jù)包的源IP地址可以識(shí)別該數(shù)據(jù)包是由什么應(yīng)用產(chǎn)生的。當(dāng)識(shí)別交換機(jī)與應(yīng)用服務(wù)器不直接相連，而且許多不同服務(wù)器的數(shù)據(jù)流都到達(dá)該交換機(jī)時(shí)，這種方法就非常有用。 (4)物理端口號(hào)碼 與源IP地址類似，物理端口號(hào)碼可以指示哪個(gè)服務(wù)器正在發(fā)送數(shù)據(jù)。這種方法取決于交換機(jī)物理端口和應(yīng)用服務(wù)器的映射關(guān)系。雖然這是最簡(jiǎn)單的分類形式，

23、但是它依賴于直接與該交換機(jī)連接的服務(wù)器。 （二）標(biāo)注 在識(shí)別數(shù)據(jù)包之后，要對(duì)它進(jìn)行標(biāo)注，這樣其他網(wǎng)絡(luò)設(shè)備才能方便地識(shí)別這種數(shù)據(jù)。由于分類可能非常復(fù)雜，因此最好只進(jìn)行一次。識(shí)別應(yīng)用之后就必須對(duì)其數(shù)據(jù)包進(jìn)行標(biāo)記處理，以便確保網(wǎng)絡(luò)上的交換機(jī)或路由器可以對(duì)該應(yīng)用進(jìn)行優(yōu)先級(jí)處理。通過(guò)采納標(biāo)注數(shù)據(jù)的兩種行業(yè)標(biāo)準(zhǔn)，即IEEE 802.1p或差異化服務(wù)編碼點(diǎn)(DSCP)，就可以確保多廠商網(wǎng)絡(luò)設(shè)備能夠?qū)υ摌I(yè)務(wù)進(jìn)行優(yōu)先級(jí)處理。 在選擇交換機(jī)或路由器等產(chǎn)品時(shí)，一定要確保它可以識(shí)別兩種標(biāo)記方案。雖然DSCP可以替換在局域網(wǎng)環(huán)境下主導(dǎo)的標(biāo)注方案IEEE 802.1p，但是與IEEE 802.1p相比，實(shí)施DSCP有一定

24、的局限性。在一定時(shí)期內(nèi)，與IEEE 802.1p 設(shè)備的兼容性將十分重要。作為一種過(guò)渡機(jī)制，應(yīng)選擇可以從一種方案向另一種方案轉(zhuǎn)換的交換機(jī)。 （三）優(yōu)先級(jí)設(shè)置 一旦網(wǎng)絡(luò)可以區(qū)分電話通話和網(wǎng)上瀏覽，優(yōu)先級(jí)處理就可以確保進(jìn)行Internet上大型下載的同時(shí)不中斷電話通話。為了確保準(zhǔn)確的優(yōu)先級(jí)處理，所有業(yè)務(wù)量都必須在網(wǎng)絡(luò)骨干內(nèi)進(jìn)行識(shí)別。在工作站終端進(jìn)行的數(shù)據(jù)優(yōu)先級(jí)處理可能會(huì)因人為的差錯(cuò)或惡意的破壞而出現(xiàn)問(wèn)題。黑客可以有意地將普通數(shù)據(jù)標(biāo)注為高優(yōu)先級(jí)，竊取重要商業(yè)應(yīng)用的帶寬，導(dǎo)致商業(yè)應(yīng)用的失效。這種情況稱為拒絕服務(wù)攻擊。通過(guò)分析進(jìn)入網(wǎng)絡(luò)的所有業(yè)務(wù)量，可以檢查安全攻擊，并且在它們導(dǎo)致任何危害之前及時(shí)阻止。

25、在局域網(wǎng)交換機(jī)中，多種業(yè)務(wù)隊(duì)列允許數(shù)據(jù)包優(yōu)先級(jí)存在。較高優(yōu)先級(jí)的業(yè)務(wù)可以在不受較低優(yōu)先級(jí)業(yè)務(wù)的影響下通過(guò)交換機(jī)，減少對(duì)諸如話音或視頻等對(duì)時(shí)間敏感業(yè)務(wù)的延遲事故。 為了提供優(yōu)先級(jí)，交換機(jī)的每個(gè)端口必須有至少2個(gè)隊(duì)列。雖然每個(gè)端口有更多隊(duì)列可以提供更為精細(xì)的優(yōu)先級(jí)選擇，但是在局域網(wǎng)環(huán)境中，每個(gè)端口需要4個(gè)以上隊(duì)列的可能性不大。當(dāng)每個(gè)數(shù)據(jù)包到達(dá)交換機(jī)時(shí)，都要根據(jù)其優(yōu)先級(jí)別分配到適當(dāng)?shù)年?duì)列，然后該交換機(jī)再?gòu)拿總€(gè)隊(duì)列轉(zhuǎn)發(fā)數(shù)據(jù)包。該交換機(jī)通過(guò)其排隊(duì)機(jī)制確定下一步要服務(wù)的隊(duì)列。有以下2種排隊(duì)方式。 (1)嚴(yán)格優(yōu)先隊(duì)列(SPQ) 這是一種最簡(jiǎn)單的排隊(duì)方式，它首先為最高優(yōu)先級(jí)的隊(duì)列進(jìn)行服務(wù)，直到該隊(duì)列為空，然后

26、為下一個(gè)次高優(yōu)先級(jí)隊(duì)列服務(wù)，依此類推。這種方法的優(yōu)勢(shì)是高優(yōu)先級(jí)業(yè)務(wù)總是在低優(yōu)先級(jí)業(yè)務(wù)之前處理。但是，低優(yōu)先級(jí)業(yè)務(wù)有可能被高優(yōu)先級(jí)業(yè)務(wù)完全阻塞。 (2)加權(quán)循環(huán)(WRR) 這種方法為所有業(yè)務(wù)隊(duì)列服務(wù)，并且將優(yōu)先權(quán)分配給較高優(yōu)先級(jí)隊(duì)列。在大多數(shù)情況下，相對(duì)低優(yōu)先級(jí)，WRR將首先處理高優(yōu)先級(jí)，但是當(dāng)高優(yōu)先級(jí)業(yè)務(wù)很多時(shí)，較低優(yōu)先級(jí)的業(yè)務(wù)并沒(méi)有被完全阻塞。3.8 網(wǎng)間隔離面對(duì)新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度對(duì)網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù)“網(wǎng)絡(luò)隔離技術(shù)”應(yīng)運(yùn)而生。網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保隔離有害的攻擊，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔

27、離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來(lái)的，它彌補(bǔ)了原有安全技術(shù)的不足，突出了自己的優(yōu)勢(shì)。網(wǎng)絡(luò)隔離，英文名為Network Isolation,主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如：TCP/IP）通過(guò)不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議所以通常也叫協(xié)議隔離（Protocol Isolation）網(wǎng)絡(luò)隔離是指在一個(gè)網(wǎng)絡(luò)系統(tǒng)中劃分邊界，分割不同安全域的技術(shù)。網(wǎng)絡(luò)安全的重點(diǎn)在于邊界保護(hù)，采用隔離技術(shù)明確邊界后，我們就能根據(jù)應(yīng)用環(huán)境的具體需求實(shí)施相應(yīng)的邊界控制策略。具體而言，采用網(wǎng)絡(luò)隔離技術(shù)有以下優(yōu)點(diǎn)：采用隔離技術(shù)劃分安全

28、域后，一個(gè)區(qū)域內(nèi)的安全問(wèn)題可以被控制在本區(qū)域以內(nèi)，不會(huì)對(duì)其它區(qū)域造成影響，從而提高了系統(tǒng)整體的可控性和穩(wěn)定性。采用隔離技術(shù)劃分安全域后，可以根據(jù)需求靈活制定訪問(wèn)控制策略，便于在不同粒度上隔離攻擊。安全是要考慮成本的。對(duì)于重要的資源，我們可以采取隔離技術(shù)對(duì)其進(jìn)行重點(diǎn)保護(hù)，使有限的投入獲得最佳的效果，這也符合國(guó)家分級(jí)保護(hù)的要求。第4章 拓?fù)鋱D及方案整體描述4.1 主干網(wǎng)傳輸方案設(shè)計(jì)網(wǎng)絡(luò)中心設(shè)在實(shí)驗(yàn)樓的一層，以實(shí)驗(yàn)樓為中心，選擇星形拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)主干最好選用光纖，以便采用鏈路聚合技術(shù)及備份線路。光纖布線采用星型結(jié)構(gòu)，即由實(shí)驗(yàn)樓網(wǎng)絡(luò)中心向其它建筑輻射。建筑內(nèi)部布線采用5類雙絞線進(jìn)行垂直和水平布線，如建

29、筑物規(guī)模較大，也可部分采用室內(nèi)多模光纖。雙絞線的接法采用EIA/TIA568B標(biāo)準(zhǔn)。設(shè)計(jì)時(shí)要依據(jù)EIA/TIA568工業(yè)標(biāo)準(zhǔn)及國(guó)商務(wù)布線標(biāo)準(zhǔn)。（1）主干網(wǎng)匯接各子網(wǎng)，形成中心交換。（2）子網(wǎng)通過(guò)交換機(jī)連接到主干網(wǎng)。（3）網(wǎng)絡(luò)中心的網(wǎng)絡(luò)構(gòu)成一個(gè)單獨(dú)的子網(wǎng)，匯接到主干網(wǎng)。（4）在網(wǎng)絡(luò)中心進(jìn)行集中控制和管理。（5）每個(gè)子網(wǎng)按部門劃分成多個(gè)工作組網(wǎng)。（6）每個(gè)工作網(wǎng)劃分成多個(gè)基層網(wǎng)段。（7）在關(guān)鍵子網(wǎng)設(shè)立防火墻，防止來(lái)自內(nèi)部或外部的惡意攻擊。（8）在完善的網(wǎng)絡(luò)基礎(chǔ)之上，提供基本的Internet服務(wù)。4.11 垂直布線方式垂直干線在電纜橋加上加以固定，五類雙干線電纜走專門的弱電橋架，與專門的強(qiáng)電電纜分

30、開(kāi)。4.12 水平布線水平布線采用五類雙絞線，用于水平數(shù)據(jù)通信。從管理間到辦公樓部分的布線方式采用電纜橋架走吊頂，布線路由及進(jìn)房間后信息插座具體位置視具體布局確定。4.13 設(shè)備間主設(shè)備間設(shè)在網(wǎng)絡(luò)中心，是整個(gè)信息系統(tǒng)的中心，它是安放由許多用戶共用的通信設(shè)備的空間，是整個(gè)樓群的主要布線區(qū)域所在地。它包括網(wǎng)絡(luò)接口、電話局電纜和用戶建筑物布線系統(tǒng)交匯點(diǎn)網(wǎng)絡(luò)系統(tǒng)的干線網(wǎng)絡(luò)互聯(lián)設(shè)備放置在此，外來(lái)的電話中繼線延伸至主設(shè)備間。其它各樓的設(shè)備間在各樓的頂層。主設(shè)備間對(duì)環(huán)境的要求較高，所以要注意環(huán)境的選擇與調(diào)節(jié)。4.2 Internet接入方案及網(wǎng)絡(luò)拓?fù)鋱D；本局域網(wǎng)通過(guò)路由器接入英特網(wǎng)，如圖4-1所示： 圖4-

31、1 網(wǎng)絡(luò)拓?fù)鋱D4.3 遠(yuǎn)程訪問(wèn)支持遠(yuǎn)程訪問(wèn)提供電話撥號(hào)訪問(wèn)功能，使用戶在家中、在外地都可以訪問(wèn)校園網(wǎng)。遠(yuǎn)程工作站通過(guò)撥號(hào)接入校園網(wǎng)，采用點(diǎn)對(duì)點(diǎn)的協(xié)議為PPP。遠(yuǎn)程訪問(wèn)服務(wù)器RAS與調(diào)制解調(diào)器Modem組合實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)功能。在訪問(wèn)服務(wù)器的遠(yuǎn)程訪問(wèn)端口提供訪問(wèn)控制(Access List)。通過(guò)與撥號(hào)安全服務(wù)器配合，還能實(shí)現(xiàn)進(jìn)一步的用戶認(rèn)證和授權(quán)控制。遠(yuǎn)程訪問(wèn)解決了遠(yuǎn)程工作站通過(guò)撥號(hào)線路對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。由于撥號(hào)網(wǎng)絡(luò)是攻擊網(wǎng)絡(luò)的可能的主要入口，因而必須在技術(shù)和管理兩個(gè)方面加強(qiáng)管理。遠(yuǎn)程訪問(wèn)服務(wù)應(yīng)提供以下功能：撥號(hào)訪問(wèn)（Telnet/Rlogin/PPP）支持；靜態(tài)/動(dòng)態(tài)地址分配；多協(xié)議（IP和IP

32、X）透明訪問(wèn)支持；用戶訪問(wèn)和安全控制；撥出（Dial-on-Demand, Dial-Out）功能；自動(dòng)協(xié)議檢測(cè)和轉(zhuǎn)換；遠(yuǎn)程控制和維護(hù)；網(wǎng)管支持。撥號(hào)網(wǎng)絡(luò)是可能的主要攻擊入口，并且采用動(dòng)態(tài)IP分配策略，所以必須與其它網(wǎng)段隔離，直接連到網(wǎng)絡(luò)中心路由器上，占用一個(gè)獨(dú)立的網(wǎng)段，這樣也有利于計(jì)費(fèi)管理。訪問(wèn)服務(wù)器通過(guò)路由器與MODEM池接入撥號(hào)線。訪問(wèn)服務(wù)器與撥號(hào)安全服務(wù)器配合，根據(jù)身份認(rèn)證協(xié)議（TACACS/RADIUS/KEBEROS）實(shí)現(xiàn)撥號(hào)用戶的認(rèn)證和授權(quán)。4.4 子網(wǎng)劃分與VLAN設(shè)定在充分考慮了網(wǎng)絡(luò)的高度的可靠性、高速率傳輸特性、可擴(kuò)充性和系統(tǒng)易升級(jí)性，以及信息點(diǎn)的分布依建筑物內(nèi)的布線設(shè)計(jì)等

33、諸多因素的基礎(chǔ)上，將局域網(wǎng)分成以下幾個(gè)子網(wǎng)。（1）教學(xué)子網(wǎng)：校園網(wǎng)建網(wǎng)的目的之一是利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)多媒體教學(xué)。在教學(xué)過(guò)程中，大量傳送的是文本、圖像和部分視頻等數(shù)據(jù)，對(duì)速度要求較高，所以設(shè)計(jì)時(shí)推薦所有教學(xué)用端口全部采用交換式100以太網(wǎng)口；（2）辦公子網(wǎng)：辦公子網(wǎng)主要面向?qū)W校的各級(jí)領(lǐng)導(dǎo)以及各職能部門，辦公計(jì)算機(jī)所實(shí)現(xiàn)的功能主要是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的查詢、修改、添加、刪除等操作。只有網(wǎng)絡(luò)數(shù)據(jù)傳輸快，才能更好地提高辦公效率。同時(shí)，辦公計(jì)算機(jī)應(yīng)該能夠達(dá)到支持視頻傳送的要求。鑒于辦公子網(wǎng)將支持視頻功能，設(shè)計(jì)推薦采用交換式100端口；（3）圖書館子網(wǎng)：圖書館從應(yīng)用來(lái)說(shuō)是一個(gè)相對(duì)獨(dú)立的系統(tǒng)，因此設(shè)計(jì)時(shí)在圖書館設(shè)圖

34、書館網(wǎng)絡(luò)分中心，配置了一臺(tái)6006中心交換機(jī)、海量存儲(chǔ)器、所需的服務(wù)器以及若干查詢終端。這個(gè)系統(tǒng)主要用于教師及學(xué)生對(duì)圖書及目錄的查找以及圖書管理。圖書館的服務(wù)器和交換機(jī)通過(guò)交換口連入校園網(wǎng)，圖書管理員辦公計(jì)算機(jī)和各個(gè)查詢終端采用交換端口；（4）宿舍區(qū)及后勤子網(wǎng)：宿舍區(qū)子網(wǎng)即在學(xué)生宿舍內(nèi)部聯(lián)網(wǎng)，學(xué)生可以直接瀏覽學(xué)校發(fā)布的信息及查閱一些電子文檔，也可以在宿舍接收老師的遠(yuǎn)程教學(xué)，后勤子網(wǎng)主要為食堂提供售飯卡通計(jì)費(fèi)系統(tǒng)等，由于宿舍區(qū)覆蓋范圍較廣，故在宿舍區(qū)設(shè)一個(gè)網(wǎng)絡(luò)分中心，以減少至網(wǎng)絡(luò)中心的光纖數(shù)量。在宿舍區(qū)的網(wǎng)絡(luò)分中心內(nèi)配置一臺(tái)中心交換機(jī)，并通過(guò)光纖與網(wǎng)絡(luò)中心直接相連。在設(shè)計(jì)的各子網(wǎng)的交換機(jī)時(shí)，通過(guò)

35、整個(gè)網(wǎng)管系統(tǒng)將各個(gè)子網(wǎng)劃分在不同的虛擬子網(wǎng)中，這樣既滿足了各子網(wǎng)與主干網(wǎng)的連接，又減少了投資、方便了管理。各子網(wǎng)的工作組交換機(jī)均選擇的系列交換機(jī)中的和。4.5 網(wǎng)間隔離方案設(shè)計(jì)目前常用的網(wǎng)絡(luò)隔離技術(shù)有虛擬局域網(wǎng)（VLAN）、防火墻（Firewall）、物理隔離（GAP）等等。在具體環(huán)境中可根據(jù)需求選取相應(yīng)的隔離產(chǎn)品。VLAN是一種控制粒度較粗的隔離技術(shù)，目前市場(chǎng)上很多交換機(jī)就支持VLAN劃分功能。VLAN配置簡(jiǎn)單，價(jià)格便宜，適用于安全需求不高的網(wǎng)絡(luò)環(huán)境。防火墻是目前廣泛使用的網(wǎng)絡(luò)隔離產(chǎn)品。最經(jīng)典的防火墻產(chǎn)品是包過(guò)濾防火墻。這種防火墻對(duì)每個(gè)分組的報(bào)頭（包括IP頭和TCP頭）信息進(jìn)行合法性控制。這

36、種控制范圍小，因此性能高，但安全性差。后續(xù)產(chǎn)品的應(yīng)用代理防火墻則將對(duì)分組的控制范圍加大到應(yīng)用層：不但對(duì)每個(gè)分組報(bào)頭信息進(jìn)行過(guò)濾，同時(shí)要對(duì)每個(gè)包的應(yīng)用數(shù)據(jù)進(jìn)行檢查，最后還要將各個(gè)包的應(yīng)用數(shù)據(jù)整合到一起，看這些數(shù)據(jù)的上下文關(guān)系，以滿足應(yīng)用數(shù)據(jù)的安全需求。應(yīng)用代理還有一個(gè)好處是它將內(nèi)外網(wǎng)之間的直接TCP連接分割為兩段連接的組合，因此使外部攻擊者無(wú)法直接訪問(wèn)被攻擊資源，從而能屏蔽絕大多數(shù)基于存活連接的攻擊。作為安全性最好的防火墻，應(yīng)用代理也存在性能和安全性上的問(wèn)題。在性能上，由于工作在應(yīng)用層，而且掛接諸多安全處理功能，因此占用的系統(tǒng)資源巨大，影響了系統(tǒng)的吞吐能力；在安全性上，應(yīng)用代理為完成連接的斷開(kāi)，

37、啟動(dòng)了一個(gè)虛擬的應(yīng)用服務(wù)器和一個(gè)虛擬的應(yīng)用客戶端，服務(wù)器和客戶端之間的應(yīng)用數(shù)據(jù)交換是通過(guò)單主機(jī)模式上的內(nèi)存拷貝完成的，一旦攻擊者攻破應(yīng)用代理，則可以直接繞過(guò)代理的層層安全控制，形成邊界防護(hù)的安全短路。4.6 存儲(chǔ)方案 磁盤陣列（Disk Array）是由一個(gè)硬盤控制器來(lái)控制多個(gè)硬盤的相互連接，使多個(gè)硬盤的讀寫同步，減少錯(cuò)誤，增加效率和可靠度的技術(shù)。 RAID是Redundant Array of Inexpensive Disk的縮寫，意為廉價(jià)冗余磁盤陣列，是磁盤陣列在技術(shù)上實(shí)現(xiàn)的理論標(biāo)準(zhǔn)，其目的在于減少錯(cuò)誤、提高存儲(chǔ)系統(tǒng)的性能與可靠度。磁盤陣列有許多優(yōu)點(diǎn)：首先，提高了存儲(chǔ)容量；其次，多臺(tái)磁盤

38、驅(qū)動(dòng)器可并行工作，提高了數(shù)據(jù)傳輸率；.RAID技術(shù)確實(shí)提供了比通常的磁盤存儲(chǔ)更高的性能指標(biāo)、數(shù)據(jù)完整性和數(shù)據(jù)可用性，尤其是在當(dāng)今面臨的I/O總是滯后于CPU性能的瓶頸問(wèn)題越來(lái)越突出的情況下，RAID解決方案能夠有效地彌補(bǔ)這個(gè)缺口。存儲(chǔ)區(qū)域網(wǎng)絡(luò)(Storage Area Network，簡(jiǎn)稱SAN)采用光纖通道(Fibre Channel)技術(shù)，通過(guò)光纖通道交換機(jī)連接存儲(chǔ)陣列和服務(wù)器主機(jī)，建立專用于數(shù)據(jù)存儲(chǔ)的區(qū)域網(wǎng)絡(luò)。 網(wǎng)絡(luò)接入存儲(chǔ)(Network-Attached Storage，簡(jiǎn)稱NAS)采用網(wǎng)絡(luò)(TCP/IP、ATM、FDDI)技術(shù)，通過(guò)網(wǎng)絡(luò)交換機(jī)連接存儲(chǔ)系統(tǒng)和服務(wù)器主機(jī)，建立專用于數(shù)據(jù)

39、存儲(chǔ)的存儲(chǔ)私網(wǎng)。使用存儲(chǔ)網(wǎng)絡(luò)的好處:統(tǒng)一性:形散神不散，在邏輯上是完全一體的。實(shí)現(xiàn)數(shù)據(jù)集中管理，因?yàn)樗鼈儾攀瞧髽I(yè)真正的命脈。容易擴(kuò)充，即收縮性很強(qiáng)。具有容錯(cuò)功能，整個(gè)網(wǎng)絡(luò)無(wú)單點(diǎn)故障。由于網(wǎng)絡(luò)接入存儲(chǔ)采用TCP/IP網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換，TCP/IP是IT業(yè)界的標(biāo)準(zhǔn)協(xié)議，不同廠商的產(chǎn)品(服務(wù)器、交換機(jī)、NAS存儲(chǔ))只要滿足協(xié)議標(biāo)準(zhǔn)就能夠?qū)崿F(xiàn)互連互通，無(wú)兼容性的要求;并且2002年萬(wàn)兆以太網(wǎng)(10000Mbps)的出現(xiàn)和投入商用，存儲(chǔ)網(wǎng)絡(luò)帶寬將大大提高NAS存儲(chǔ)的性能。 NAS需求旺盛已經(jīng)成為事實(shí)。首先NAS幾乎繼承了磁盤列陣的所有優(yōu)點(diǎn)，可以將設(shè)備通過(guò)標(biāo)準(zhǔn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)連接，擺脫了服務(wù)器和異構(gòu)化構(gòu)架的

40、桎梏;其次，在企業(yè)數(shù)據(jù)量飛速膨脹中，SAN、大型磁帶庫(kù)、磁盤柜等產(chǎn)品雖然都是很好的存儲(chǔ)解決方案，但他們那高貴的身份和復(fù)雜的操作是資金和技術(shù)實(shí)力有限的中小企業(yè)無(wú)論如何也不能接受的。NAS正是滿足這種需求的產(chǎn)品，在解決足夠的存儲(chǔ)和擴(kuò)展空間的同時(shí)，還提供極高的性價(jià)比。因此，無(wú)論是從適用性還是TCO的角度來(lái)說(shuō)，NAS自然成為多數(shù)企業(yè)，尤其是大中小企業(yè)的最佳選擇。4.7 設(shè)備選型交換機(jī)：可以認(rèn)為是一種高性能的 HUB，在選用硬件方面，由于交換機(jī)十分強(qiáng)調(diào)端口交換能力，內(nèi)置交換模塊，性能比集線器高出許多，采用交換機(jī)可以提高整個(gè)網(wǎng)絡(luò)的性能；所以這里可以使用10/100Mb/s以太網(wǎng)和快速以太網(wǎng)自適應(yīng)雙速交換機(jī)

41、。它能自由地工作在10/100 Mb/s速率下，不需要配置特殊的管理軟件。另一方面現(xiàn)在低端桌面交換機(jī)價(jià)格比較便宜，與集線器相比價(jià)格已經(jīng)貴不了多少，所以可以采用桌面交換機(jī)。因?yàn)樵谠O(shè)計(jì)網(wǎng)絡(luò)的時(shí)候采用了桌面交換機(jī)，所以網(wǎng)絡(luò)傳輸速度比較快，能適應(yīng)高速網(wǎng)絡(luò)的發(fā)展，并且升級(jí)容易。交換機(jī)通常還帶有路由功能。 硬件：應(yīng)配置有安全、穩(wěn)定、可靠的專用服務(wù)器。容量、I/O吞吐量應(yīng)根據(jù)需要確定。這里我們選擇思科的交換機(jī)和路由器。軟件：全系統(tǒng)至少要配置下列功能的軟件：（1）數(shù)據(jù)庫(kù)服務(wù)器（2）Web服務(wù)器（3）Vedio服務(wù)器（4）E-mail服務(wù)器（5）網(wǎng)管服務(wù)器根據(jù)實(shí)際情況和需求，我們選擇WINDOWS 2000作為

42、文件服務(wù)器操作系統(tǒng)平臺(tái)，采用隨PC機(jī)自帶的WIN98操作系統(tǒng)作為客戶端軟件。操作系統(tǒng)是軟件平臺(tái)的核心，網(wǎng)絡(luò)操作系統(tǒng)所具備的功能和性能決定了網(wǎng)絡(luò)系統(tǒng)的整體水平，同時(shí)也決定了應(yīng)用及技術(shù)的發(fā)展方向。 Microsoft公司的WINDOWS 2000操作平臺(tái)是在PC和LAN（局域網(wǎng)）的基礎(chǔ)上發(fā)展起來(lái)的32位操作系統(tǒng)，由于功能強(qiáng)大且易于使用，市場(chǎng)占有份額不斷上升，這一產(chǎn)品與傳統(tǒng)的Office辦公系統(tǒng)如Word、Excel和PowerPoint一起，為信息發(fā)布，綜合信息查詢，信息交流提供了一個(gè)完整的解決方案。WINDOWS 2000與UNIX和Novell相比， WINDOWS 2000有如下優(yōu)勢(shì)：易于安

43、裝、管理和維護(hù)：考慮技術(shù)力量，網(wǎng)絡(luò)操作系統(tǒng)的易用性尤為重要。WINDOWS 2000提供了與Windows 98外觀一致的用戶界面，內(nèi)置的管理向?qū)构芾韱T能夠簡(jiǎn)單、迅速的完成日常管理工作，任務(wù)管理器和網(wǎng)絡(luò)監(jiān)視器能夠幫助管理員改善網(wǎng)絡(luò)性能，排除網(wǎng)絡(luò)故障。靈活的網(wǎng)絡(luò)服務(wù)體系結(jié)構(gòu)：WINDOWS 200支持當(dāng)前所有的網(wǎng)絡(luò)協(xié)議，包括TCP/IP、SPX/IPX、NetBUEI、AppleTalk、DLC、PPP、PPTP?？梢院蚇etWare、UNIX等系統(tǒng)協(xié)同工作。對(duì)于客戶端的兼容性來(lái)說(shuō)，Windows2000是目前最靈活的操作系統(tǒng)，可以連接DOS、Windows3.x 、Windows NT Wo

44、rkstation、Windows 95/98、OS/2、Macintosh等協(xié)同工作。最完善的Internet/Intranet應(yīng)用平臺(tái)：Windows 2000是唯一一個(gè)帶有內(nèi)置Internet服務(wù)器（IIS）的網(wǎng)絡(luò)操作系統(tǒng)。Web、FTP和Gopher服務(wù)與操作系統(tǒng)一起安裝。IIS是Windows 2000系統(tǒng)下最快的Web服務(wù)器。通過(guò)Windows FrontPage(一個(gè)內(nèi)置的HTML頁(yè)面創(chuàng)作工具和Web節(jié)點(diǎn)管理工具，即使沒(méi)有經(jīng)驗(yàn)的用戶也能開(kāi)發(fā)和管理專業(yè)水平的Web節(jié)點(diǎn)。通過(guò)數(shù)據(jù)庫(kù)聯(lián)結(jié)器（IDC）與數(shù)據(jù)庫(kù)系統(tǒng)集成，使用戶可以通過(guò)瀏覽器來(lái)訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)。當(dāng)前，Microsoft公司的W

45、indows操作系統(tǒng)為世界PC機(jī)主流的產(chǎn)品，其優(yōu)越的可視化界面和強(qiáng)大的功能，使它成為絕大部分人的選擇。絕大部分人都熱衷于WIN98操作系統(tǒng)，WIN98提供了更好多線性支持、網(wǎng)絡(luò)支持、多媒體支持、更高的可靠性以及更易的客戶界面。的在我國(guó)，廣大計(jì)算機(jī)用戶最為熟悉的就是Microsoft公司的Windows操作系統(tǒng)了，其具體的特性和功能在這里就不再詳細(xì)闡述了?？傊F(xiàn)在會(huì)電腦操作的人都會(huì)WIN98操作。為了滿足絕大部分人的需要，也方便多數(shù)人上機(jī)，我們選擇WIN98作為本局域網(wǎng)客戶端操作系統(tǒng)。4.8 軟件本校園網(wǎng)的網(wǎng)絡(luò)操作系統(tǒng)以Microsoft Windows 2000為主，它是發(fā)展速度最快的集成了

46、Web應(yīng)用的網(wǎng)絡(luò)操作系統(tǒng)。具有界面友好、系統(tǒng)強(qiáng)壯、穩(wěn)定可靠、與桌面主流操作系統(tǒng)相容性好等優(yōu)點(diǎn)。并擁有大量的服務(wù)器端軟件，是Intranet網(wǎng)絡(luò)中最佳的網(wǎng)絡(luò)操作系統(tǒng)平臺(tái)。4.9 信息服務(wù)方案SMTP稱為簡(jiǎn)單Mail傳輸協(xié)議（Simple Mail Transfer Protocal）,目標(biāo)是向用戶提供高效、可靠的郵件傳輸。SMTP的一個(gè)重要特點(diǎn)是它能夠在傳送中接力傳送郵件，即郵 件可以通過(guò)不同網(wǎng)絡(luò)上的主機(jī)接力式傳送。工作在兩種情況下：一是電子郵件從客戶機(jī)傳輸?shù)椒?wù)器；二是從某一個(gè)服務(wù)器傳輸?shù)搅硪粋€(gè)服務(wù)器。 .SMTP是個(gè)請(qǐng)求/響應(yīng)協(xié)議，它監(jiān)聽(tīng)25號(hào)端口，用于接收用戶的Mail請(qǐng)求，并與遠(yuǎn)端Mai

47、l服務(wù)器建立SMTP連接。SMTP通常有兩種工作模式：發(fā)送SMTP和接收SMTP。具體工作方式為：發(fā)送SMTP在接到用戶的郵件請(qǐng)求后，判斷此郵件是否為本地郵件，若是直接投送到用戶的郵箱，否則向dns查詢遠(yuǎn)端郵件服務(wù)器的MX紀(jì)錄，并建立與遠(yuǎn)端接收SMTP之間的一個(gè)雙向傳送通道，此后SMTP命令由發(fā)送SMTP發(fā)出，由接收SMTP接收，而應(yīng)答則反方面?zhèn)魉汀Ｒ坏﹤魉屯ǖ澜?，SMTP發(fā)送者發(fā)送MAIL命令指明郵件發(fā)送者。如果SMTP接收者可以接收郵件則返回OK應(yīng)答。SMTP發(fā)送者再發(fā)出RCPT命令確認(rèn)郵件是否接收到。如果SMTP接收者接收，則返回OK應(yīng)答；如果不能接收到，則發(fā)出拒絕接收應(yīng)答（但不中止整

48、個(gè)郵件操作），雙方將如此重復(fù)多次。當(dāng)接收者收到全部郵件后會(huì)接收到特別的序列，如果接收者成功處理了郵件，則返回OK應(yīng)答。DHCP是Dynamic Host Configuration Protocol的縮寫，它是TCPIP協(xié)議簇中的一種，主要是用來(lái)給網(wǎng)絡(luò)客戶機(jī)分配動(dòng)態(tài)的IP地址。這些被分配的IP地址都是DHCP服務(wù)器預(yù)先保留的一個(gè)由多個(gè)地址組成的地址集，并且它們一般是一段連續(xù)的地址。FTP 即“文件傳輸協(xié)議”。協(xié)議是使計(jì)算機(jī)與計(jì)算機(jī)之間能夠相互通訊的語(yǔ)言。FTP 使文件和文件夾能夠在 Internet 上公開(kāi)傳輸。在某些情況下，您需要從網(wǎng)絡(luò)計(jì)算機(jī)管理員處獲得許可才能登錄并訪問(wèn)計(jì)算機(jī)上的文件。但是

49、通常您會(huì)發(fā)現(xiàn)可以使用 FTP 訪問(wèn)某個(gè)網(wǎng)絡(luò)或服務(wù)器，而不需要擁有該計(jì)算機(jī)的帳戶，也不必是授權(quán)的密碼持有人。4.10 綜合布線方案要想實(shí)現(xiàn)校園網(wǎng)絡(luò)，則需要一個(gè)網(wǎng)絡(luò)控制中心，而這個(gè)網(wǎng)絡(luò)控制中心需要在學(xué)校的中心，因此把網(wǎng)絡(luò)中心設(shè)在實(shí)驗(yàn)樓的一層，以實(shí)驗(yàn)樓為中心，選擇星形拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)主干最好選用光纖，以便采用鏈路聚合技術(shù)及備份線路。光纖布線采用星型結(jié)構(gòu)，即由實(shí)驗(yàn)樓的網(wǎng)絡(luò)中心向其它建筑輻射。建筑內(nèi)部布線采用5類雙絞線進(jìn)行垂直和水平布線，如建筑物規(guī)模較大，也可部分采用室內(nèi)多模光纖。雙絞線的接法采用EIA/TIA568B標(biāo)準(zhǔn)。設(shè)計(jì)時(shí)要依據(jù)EIA/TIA568工業(yè)標(biāo)準(zhǔn)及國(guó)商務(wù)布線標(biāo)準(zhǔn)。第5章 網(wǎng)絡(luò)管理校園網(wǎng)管理的主要目的是保障網(wǎng)絡(luò)運(yùn)行的品質(zhì)，如維持網(wǎng)絡(luò)傳送速率、降低傳送錯(cuò)誤率、確保網(wǎng)絡(luò)安全等。所以校園網(wǎng)系統(tǒng)管理的技術(shù)人員可借網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗(yàn)實(shí)施網(wǎng)絡(luò)管理，內(nèi)容可分為下列幾項(xiàng)：系統(tǒng)管理隨時(shí)掌握網(wǎng)絡(luò)內(nèi)任何設(shè)備的增減與變動(dòng)，管理所有網(wǎng)絡(luò)設(shè)備的設(shè)置參數(shù)。當(dāng)故障發(fā)生時(shí)，管理人員得以重設(shè)或改變網(wǎng)絡(luò)設(shè)備的參數(shù)，維持網(wǎng)絡(luò)的正常運(yùn)作。故障管理為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，必須及時(shí)察覺(jué)問(wèn)題的所在。它包含所有節(jié)點(diǎn)動(dòng)作狀態(tài)、故障記錄的追蹤與檢查及平常對(duì)各種通