1、第1章設(shè)計概述現(xiàn)狀分析校園網(wǎng)絡建設(shè)的目的在于提供信息的傳遞速率和效率，在于使教師 能更有效，更方便地教，學生能更主動，更積極地學，從而提升整個學 校的現(xiàn)代化教育，教學水平。校園網(wǎng)是“數(shù)字化校園”的傳輸平臺，一 個可靠，高效，安全的網(wǎng)絡是建設(shè)數(shù)字化校園的堅實基礎(chǔ)。隨著高校信 息化的深度發(fā)展，學校的教學辦公和管理等活動將越來越依賴校園網(wǎng)絡。 因此構(gòu)建一個高效，實用，穩(wěn)定可靠，安全的網(wǎng)絡平臺，是高校網(wǎng)絡建 設(shè)考慮的重點。網(wǎng)絡需求分析校園網(wǎng)是學校進行教育教學、科研、各項管理工作和各類信息交流 溝通的應用平臺，是一個集成相關(guān)軟件系統(tǒng)和硬件設(shè)備于一體的具有綜 合功能的寬帶計算機局域網(wǎng)，為學校提供了一個日常

2、教學、科研、管理 和通訊的綜合性網(wǎng)絡應用環(huán)境。進入信息時代需要培養(yǎng)學生的一種重要 能力就是獲取信息和處理信息的能力，網(wǎng)絡正是架起了一座交流和獲取 信息的橋梁。毋庸置疑，在21世紀，中國每一所學校都應該建立起自己 的校園網(wǎng)。通過校園網(wǎng)將計算機應用于教學的各個環(huán)節(jié)，從而師生可以 通過校園網(wǎng)絡進行備課、教學、查閱資料、多媒體教學軟件開發(fā)與演示、 師生之間互相通信、瀏覽因特網(wǎng)等，所以它對于提高教學質(zhì)量，推動教 育現(xiàn)代化起著不可估量的作用。毫無疑問，校園網(wǎng)是學校提高管理水平、 工作效率、改善教學質(zhì)量的有力手段，是實現(xiàn)教育現(xiàn)代化的基本工具。信息點統(tǒng)計表1-1建筑物名稱樓層信息點(個)總計(個)第2章網(wǎng)絡系

3、統(tǒng)設(shè)計設(shè)計思想校園網(wǎng)總體設(shè)計方案的科學性，應該體現(xiàn)在能否滿足以下基本要求 方面：(1)整體規(guī)劃安排；(2)先進性、開放性和標準化相結(jié)合；(3)結(jié)構(gòu)合理，便于維護；(4)高效實用；(5)能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。設(shè)計目標具體的設(shè)計目標是：建設(shè)一個以辦公自動化、計算機輔助教學、現(xiàn) 代計算機校園文化為核心，以現(xiàn)代網(wǎng)絡技術(shù)為依托、技術(shù)先進、擴展性 強、覆蓋全校主要樓宇的校園主干網(wǎng)絡，將學校的各種 PC機工作站、終 端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連；系統(tǒng)總體設(shè)計本著總 體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進性、高度的安全可 靠性、良好的開放性、可擴展性，以及建設(shè)經(jīng)濟性。

4、網(wǎng)絡三層架構(gòu)設(shè)計校園網(wǎng)網(wǎng)絡整體分為三個層次：核心層、匯聚層、接入層。為實現(xiàn) 校區(qū)內(nèi)的高速互聯(lián)，核心層由1個核心節(jié)點組成，包括教學區(qū)區(qū)域、服 務器群；匯聚層設(shè)在每棟樓上，每棟樓設(shè)置一個匯聚節(jié)點，匯聚層為高 性能“小核心”型交換機，根據(jù)各個樓的配線間的數(shù)量不同，可以分別 采用1臺或是2臺匯聚層交換機進行匯聚，為了保證數(shù)據(jù)傳輸和交換的 效率，現(xiàn)在各個樓內(nèi)設(shè)置三層樓內(nèi)匯聚層，樓內(nèi)匯聚層設(shè)備不但分擔了 核心設(shè)備的部分壓力，同時提高了網(wǎng)絡的安全性；接入層為每個樓的接 入交換機，是直接與用戶相連的設(shè)備。本實施方案從網(wǎng)絡運行的穩(wěn)定性、 安全性及易于維護性出發(fā)進行設(shè)計，以滿足客戶需求。核心設(shè)備選型通常將網(wǎng)絡主干

5、部分稱為核心層，核心層的主要目的在于通過高速 轉(zhuǎn)發(fā)通信，提供可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機應擁有更高的 性能和吞吐量。匯聚設(shè)備選型通常將位于接入層和核心層之間的部分稱為分布層或匯聚層，匯聚 層交換層是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設(shè) 備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接 入層交換機比較，需要更高的性能和更高的交換速率。接入設(shè)備選型通常將網(wǎng)絡中直接面向用戶連接或訪問網(wǎng)絡的部分稱為接入層，接 入層目的是允許終端用戶連接到網(wǎng)絡，因此接入層交換機具有低成本和 高端口密度特性。網(wǎng)絡總體規(guī)劃XX拓撲圖圖2-1總體規(guī)劃表2-1總體規(guī)劃建筑物名稱樓層信息點具

6、體描述設(shè)備使用IP地址及VLAN劃分表2-2IP、VLAN規(guī)戈U建筑物名稱樓層VLANIP管理地址網(wǎng)絡安全管理校園網(wǎng)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來 自于網(wǎng)外。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng) 計，威脅校園網(wǎng)安全的攻擊行為大概有 40 %左右是來自于網(wǎng)絡內(nèi)部，如 何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡安全防護體系需要重點關(guān)注的地 方。威脅網(wǎng)絡安全因素分析計算機網(wǎng)絡安全受到的威脅包括：1 .“黑客”的攻擊；2 .計算機病毒；3 .拒絕服務攻擊(Denial of Service Attack )。安全威脅的類型：1、非授權(quán)訪問。指對網(wǎng)絡設(shè)備及信息資源進行非正常

7、使用或越權(quán)使 用等。如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用 戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法 用戶的使用權(quán)限，以達到占用合法用戶資源的目的。3、破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重 要信息，以干擾用戶的正常使用。4、干擾系統(tǒng)正常運行，破壞網(wǎng)絡系統(tǒng)的可用性。指改變系統(tǒng)的正常 運行方法，減慢系統(tǒng)的響應時間等手段。這會使合法用戶不能正常訪問 網(wǎng)絡資源，使有嚴格響應時間要求的服務不能及時得到響應。5、病毒與惡意攻擊。指通過網(wǎng)絡傳播病毒或惡意 Java、active X 等，其破壞

8、性非常高，而且用戶很難防范。6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計缺陷， 這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件 編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡信息將沒有什么安全可言如Windows的安全漏洞便有很多7、電磁輻射。電磁輻射對網(wǎng)絡信息安全有兩方面影響。一方面，電 磁輻射能夠破壞網(wǎng)絡中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡周圍 電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預謀的干擾輻射 源。另一方面，電磁泄漏可以導致信息泄露。網(wǎng)絡管理的內(nèi)容網(wǎng)絡管理的內(nèi)容有如下五個方面：(1 )網(wǎng)絡故障管理；(2)網(wǎng)絡配置管理；(3

9、)網(wǎng)絡性能管理；(4)網(wǎng)絡計費管理；(5)網(wǎng)絡安全管理。安全接入和配置安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網(wǎng)絡 基礎(chǔ)設(shè)施設(shè)備前必須通過認證和授權(quán)限制，從而為網(wǎng)絡基礎(chǔ)設(shè)施提供安 全性。限制遠程訪問的安全設(shè)置方法如表2-3訪問方式保證網(wǎng)絡設(shè)備安全的方法備注Console 控制接口的訪問設(shè)置密他和超時限制建議超時限制設(shè)成5分鐘telnet 訪問采用ACL限制，指定從特定的IP地址來進行telnet訪問；配置Radius安全紀錄方案；設(shè)置超時限制SSHW 問激ySSSHB問，從而允許操作員從網(wǎng)絡的外部環(huán)境進行設(shè)備安全登陸WEBT理訪問取消Webt理功能SNMM問常規(guī)的SNM

10、防問是用ACL限制從特定的IP地址來進行SNM防問；記錄非授權(quán)的SNMP訪問并禁止非授權(quán)的SNM隆圖和攻擊為增加安全，建議更改缺省的 SNMPCommutiy 子串設(shè)置不同通過設(shè)置不同的賬號的訪問權(quán)限，提高安全性拒絕服務的防止網(wǎng)絡設(shè)備拒絕服務攻擊的防止主要是防止出現(xiàn)TCP SYN乏濫攻擊、Smurf攻擊等；網(wǎng)絡設(shè)備的防TCPSYN勺方法主要是配置網(wǎng)絡設(shè)備 TCPSYN 臨界值，若多于這個臨界值，則丟棄多余的TCP SY蹶據(jù)包；防Smurf攻擊主要是配置網(wǎng)絡設(shè)備不轉(zhuǎn)發(fā) ICMP echo請求(directed broadcast) 和設(shè)置ICMP包臨界值，避免成為一個Smurf攻擊的轉(zhuǎn)發(fā)者、受害

11、者。訪問控制1允許從內(nèi)網(wǎng)訪問internet ,端口全開放。2允許從公網(wǎng)到DMZ(非軍事)區(qū)白訪問請求： WEB艮務器只開放80端口，mail服務器只開放25和110端口禁止從公網(wǎng)到內(nèi)部區(qū)的訪問請求，端口全關(guān)閉4允許從內(nèi)網(wǎng)訪問DMZ（非軍事）區(qū)，端口全開放5 允許從DMZ（非軍事）區(qū)訪問internet ,端口全開放6禁止從DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。第3章綜合布線方案設(shè)計綜合布線的設(shè)計原則綜合布線同傳統(tǒng)的布線相比較，有著許多優(yōu)越性，是傳統(tǒng)布線所無 法比及的。其特點主要表現(xiàn)為它的兼容性、開放性、靈活性、可靠性、 先進性和經(jīng)濟性。而且在設(shè)計、施工和維護方面也給人們帶來了許多方 便。兼

12、容性：綜合布線的首要特點是它的兼容性。所謂兼容性是指它自 身是完全獨立的而與應用系統(tǒng)相對無關(guān)，可以適用于多種應用系統(tǒng)。綜 合布線將語音、數(shù)據(jù)與監(jiān)控設(shè)備的信號線經(jīng)過統(tǒng)一規(guī)劃和設(shè)計，采用相 同的傳輸介質(zhì)、信息插座、交連設(shè)備、適配器等，把這些不同信號綜合 到一套標準的布線中。由此可見，這個布線比傳統(tǒng)布線大為簡化，節(jié)省 大量的物資、時間和空間。開放性：該系統(tǒng)采用開放式體系結(jié)構(gòu)，符合多種國際上現(xiàn)行的標準， 它幾乎對所有著名廠商的產(chǎn)品都是開放的，并支持所有通信協(xié)議。靈活性：該系統(tǒng)采用標準的傳輸線纜和相關(guān)連接硬件，模快化設(shè)計,所有通道都是通用的，而且每條通道可支持終端、以太網(wǎng)工作站及令牌 網(wǎng)工作站。所有設(shè)備

13、的開通及更改均不需改變布線線路，組網(wǎng)也可靈活 多變。可靠性：該系統(tǒng)采用高品質(zhì)的材料和組合壓接的方式構(gòu)成一套高標準的信息傳輸通道，所有線纜和相關(guān)連接件均通過 ISO認證，每條通道 都要采用專用儀器測試鏈路阻抗及衰減率，以保證其電氣性能。應用系 統(tǒng)全部采用點到點端接，任何一條鏈路故障均不影響其它鏈路的運行， 從而保證了整個系統(tǒng)的可靠運行。先進性：該系統(tǒng)采用光纖和雙絞線混合布線方式，極為合理地構(gòu)成 一套完整的布線。所有布線均采用世界上最新通信標準，鏈路均按8芯雙絞線配置。5類雙絞線的數(shù)據(jù)最大傳輸率可達到 155Mbps對于特殊用 戶的需求可把光纖引到桌面。干線語音部分采用電纜，數(shù)據(jù)部分采用光 纜，為

14、同時傳輸多路實時多媒體信息提供足夠的裕量。經(jīng)濟性：雖然綜合布線初期投資比較高，但由于綜合布線將原來相 互獨立、互不兼容的若干種布線集中成為一套完整的布線體系，統(tǒng)一設(shè) 計，統(tǒng)一施工，統(tǒng)一管理。這樣可省去大量的重復勞動和設(shè)備占用，使 布線周期大大縮短。另外，綜合布線系統(tǒng)使用簡單、方便，維護費用低， 可以滿足三維多媒體的傳輸和用戶對ISDN （綜合服務數(shù)字網(wǎng)）、ATM（異 步傳輸模式）的需求。可見綜合布線系統(tǒng)具有很高的性能價格比。結(jié)構(gòu)化綜合布線系統(tǒng)的組成及設(shè)計綜合布線系統(tǒng)是一套開放式的布線系統(tǒng)， 可以支持幾乎所有的數(shù)據(jù)、 話音設(shè)備及各種通信，同時，由于 PD睨分考慮了通信技術(shù)的發(fā)展，設(shè) 計時有足夠的

15、技術(shù)儲備，能充分滿足用戶長期的需求，應用范圍十分廣 泛。而且結(jié)構(gòu)化綜合布線系統(tǒng)具有高度的靈活性， 各種設(shè)備位置的改變， 的變化，不需重新布線，只要在配線間作適當布線調(diào)整即可滿足需求。 結(jié)構(gòu)化綜合布線一般劃分為六個子系統(tǒng)。（如圖 3-1 ）TO信息口墻座TC樓層配線間IC=#外設(shè)備連接室MC=配線間ER段備間干線子EF進線設(shè)備間管理 設(shè)備間子系統(tǒng).建筑群子系統(tǒng).腳弋1IC. Y配線子系統(tǒng)產(chǎn)：££T TOi:口fMoA 事c*O 十二EF - Lj ER 5 k工作區(qū)子系統(tǒng)網(wǎng)絡設(shè)計工作區(qū)子系統(tǒng)，是由RJ-45跳線與信息插座所連接的設(shè)備組成。信 息點由標準RJ45插座構(gòu)成。信息點

16、數(shù)量應根據(jù)工作區(qū)的實際功能及需求 確定，并預留適當數(shù)量的冗余。例如：對于一個辦公區(qū)內(nèi)的每個辦公點 可配置23個信息點，此外應為此辦公區(qū)配置 35個專用信息點用于 工作組、網(wǎng)絡打印機、傳真機、等。若此辦公區(qū)為商務應用則信息點的 帶寬為100M可滿足要求；若此辦公區(qū)為技術(shù)開發(fā)應用則每個信息點應為 交換式100M甚至是光纖信息點。工作區(qū)的終端設(shè)備（如：電話機、傳真機）選用康寧公司FutureCom超五類直接與工作區(qū)內(nèi)的每一個信息插座相連接，或用適配器（如ISDN 終端設(shè)備）、平衡/非平衡轉(zhuǎn)換器進行轉(zhuǎn)換連接到信息插座上。配線子系統(tǒng)網(wǎng)絡設(shè)計配線子系統(tǒng)，是從工作區(qū)的信息插座開始到管理間子系統(tǒng)的配線架。 選

17、擇配線子系統(tǒng)的線纜，要根據(jù)建筑物內(nèi)具體信息點的類型、容量、帶 寬和傳輸速率來確定。在配線子系統(tǒng)中推薦采用的雙絞電纜及光纖型號 為：康寧公司FutureCom超五類或六類非屏蔽雙絞線，F(xiàn)utureLink 室內(nèi) 單模或。雙絞線水平布線鏈路中，水平電纜的最大長度為90m若使用100Q UTP雙絞線作為配線子系統(tǒng)的線纜，可根據(jù)信息點類型的不同采用 不同類型的電纜。該方案選擇 FutureCom超五類非屏蔽雙絞線纜。干線子系統(tǒng)網(wǎng)絡設(shè)計干線子系統(tǒng)，負責連接管理子系統(tǒng)到設(shè)備間子系統(tǒng)的子系統(tǒng)。干線 子系統(tǒng)可以使用的線纜主要有：XXXX垂直干線子系統(tǒng)由連接主設(shè)備間至各樓層配線間之間的線纜構(gòu)成。 其功能主要是把

18、各分層配線架與主配線架相連。用主干電纜提供樓層之 間通信的通道，使整個布線系統(tǒng)組成一個有機的整體。垂直干線子系統(tǒng) Topology結(jié)構(gòu)采用分層星型拓撲結(jié)構(gòu)，每個樓層配線間均需采用垂直主 干線纜連接到大樓主設(shè)備間。垂直主干采用 25對大對數(shù)線纜時，每條 25對大對數(shù)線纜對于某個樓層而言是不可再分的單位。垂直主干線纜和 水平系統(tǒng)線纜之間的連接需要通過樓層管理間的跳線來實現(xiàn)。設(shè)備間子系統(tǒng)網(wǎng)絡設(shè)計設(shè)備間子系統(tǒng)，由電纜、連接器和相關(guān)支撐硬件組成。采用 BIX跳 接式配線架，連接交換機；采用光纖終結(jié)架連接主機及網(wǎng)絡設(shè)備。設(shè)備間的主要設(shè)備有數(shù)字程控、計算機、服務器、樓宇自控設(shè)備主機等等。它們可以放在一起，也

19、可分別設(shè)置。在較大型的綜合布線中，可以將計 算機設(shè)備、數(shù)字程控交換機、樓宇自控設(shè)備主機分別設(shè)置機房，把與綜 合布線密切相關(guān)的硬件設(shè)備放置在設(shè)備間，計算機網(wǎng)絡設(shè)備的機房放在 離設(shè)備間不遠的位置。設(shè)備間子系統(tǒng)是一個集中化設(shè)備區(qū)，連接系統(tǒng)公共設(shè)備，如局域網(wǎng) (LAN)、主機、建筑自動化和保安系統(tǒng)，及通過垂直干線子系統(tǒng)連接至管 理子系統(tǒng)。管理子系統(tǒng)網(wǎng)絡設(shè)計管理子系統(tǒng)，由交連、互連和I/O組成。管理是針對設(shè)備間、電信 間和工作區(qū)的配線設(shè)備、纜線等設(shè)施，按-定的模式進行標識和記錄的規(guī) 定。跳線采用超5類非屏蔽雙絞線，RJ45接頭。管理間是樓層的配線間， 管理子系統(tǒng)為其他子系統(tǒng)互連提供手段，它是連接垂直干線子系統(tǒng)和水 平干線子系統(tǒng)的設(shè)備。管理子系統(tǒng)由交連、互連和輸入 /輸出組成，實現(xiàn) 配線管理，為連接其它子系統(tǒng)提供手段。包括配線架、跳線設(shè)備及光配 線架等組成設(shè)備。設(shè)計管理子系統(tǒng)時,必需了解線路的基本設(shè)計原理，合 理配置各子系統(tǒng)的部件。康寧公司的 LANscap翁合布線擁有搭配科學、 管理簡便的成