广州城市职业学院校园网络设计方案(最终版).doc 70页

'广州城市职业学院校园网络设计方案 第1章前言Internet，即国际互联网，是现在网络应用的主流，从它最初在美国诞生至今已经经历了三十多年。这个以TCP/IP协议为主体的国际互联网络已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。最初的Internet是由科研网络形成的，主要是由一些大学和研究所等科研教育单位连接而成，逐渐发展到今天的规模。而进入九十年代后，由于各种商业信息进入了Internet，使得Internet得到了极大地发展，其拥有的主机数，连接的网络数以及覆盖面一直呈指数形式上升。现在在Internet上可以提供或者获得各种各样的服务，比如通过电子邮件进行合同的起草和签订，或利用Internet直接挑选商品和购物。Internet是一个资源的网络，其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会，世界上数以亿计的人们利用它进行通信和信息共享，通过发送和接收电子邮件，或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。Internet也是一个服务的网络。在Internet上，许多单位、公司和组织提供了各种各样的服务。比如WWW（WorldWideWeb全球信息网）服务、信息查询服务等，向网络上的其他用户展示自己各方面的情况，并帮助这些用户找到需要的信息。将来的网络在Internet基础上进一步发展，其功能、速度、适用范围等必将全面超过现有的Internet。广州城市职业学院对计算机网络的建设投入了大量的人力和物力，在短短的几年中，通过网络为广大师生提供有价值、有吸引力的信息，对一个单位或学校树立自己的形象，提高自己的知名度，以及开拓和其他学校、组织的联系和往来能够起到很显著的作用。广州城市职业学院校园网将实现与校内各部门进行通信。广州城市职业学院校园网将为学校的科研、教学、管理提供必要的技术手段，为研究开发和培养人才建立平台，借此加快学校的发展，以此加快学校的发展，成为一个具有示范性的学校。第2章需求分析2.1实施背景广州城市职业学院作为广州市内的一所综合性职业高校，为了加快校园信息化建设，需要建设一个高性能的、安全可靠的校园网络，校园网建成后，要求能够实现校园内部各种信息服务功能，实现与教育网的无阻碍连通，同时提供宽带接入功能，以备主连接失效情况下的被用连接要求，能够实现校园办公自动化需求。2.2网络应用需求69 这方面的需求不同学校有着明显不同，大体都可以分为，教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题；办公、服务等带宽是要着重考虑的方面，所以学校应该根据自己的实际情况来考虑网络的结构，及安全问题。校园网在信息服务与应用方面应满足以下几个方面的需求：1.学校主页。学校应建立独立的WWW服务器，在网上提高学校主页等服务，包括校情简介、学校新闻、校报（电子报）、招生信息以及校内电话号码和电子邮件地址查询等。2.文件传输服务。考虑到师生之间共享软件，校园网应提供文件传输服务（ftp）。文件传输服务器上存放各种各样自由软件和驱动程序，师生可以根据自己需要随时下载并把它们安装在本机上。3.校园网站建设（WWW、FTP、E-mail、DNS、PROXY代理、拨入访问、流量计费等）；4.多媒体辅助点播教学兼远程教学：校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。5.校园办公管理；6.学校教务管理；7.校园通卡应用；8.网络安全FIREWALL；9.图书管理、电子阅览室；10.系统应提供基本的Web开发和信息制作的平台。2.3网络性能需求性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等；根据本工程的特殊性，语音点和数据点使用相同的传输介质，即统一使用超5类4对双绞电缆，以实现语音、数据相互备份的需要；对于网络主干，数据通信介质全部使用光纤，语音通信主干使用大对数电缆；光缆和大对数电缆均留有余量；对于其他系统数据传输，可采用超5类双绞线或专用线缆。2.4安全与管理需求网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。由于校园网与外部网进行互联特别是和Internet的互联，Internet是一个开放式网络系统，它的安全性是很差的。因此安全问题更加重要。应该采用一定的技术来控制网络的安全性，从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术有，用户身份验证，VLAN划分，防火墙等技术。网络系统还就具备高度的数据安全性和保密性。 2.5技术需求分析 1 .路由技术：路由协议工作在OSI参考模型的第3层，因此它的作用主要是通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Control 69 List，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。 2. 交换技术：现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率，更大大增强了校园网数据交换服务质量，满足了不同类型网络应用程序的需要。     3. Vlan技术： 即虚拟局域网（Virtual LAN，VLAN），VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议（Vlan Trunking Protocol，VTP）简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。  4. 远程访问技术：远程访问也是校园网络必须提供的服务之一。它可以为教学办公用户和学生远程访问学校网站获取信息服务。远程访问有三种可选的服务类型：专线连接、电路交换和包交换。在本工程案例设计中，采用专线连接（到因特网）和电路交换（到校园网）两种方式实现远程访问需求。 5.防火墙技术与DMZ ：学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高，如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。防火墙作为网络的第一道防线，应放置在外网和需要保护的校园内网之间。这样，所有流入校园网络的数据流量都将通过防火墙，使校园内的所有客户机及服务器都处于防火墙的保护下。     针对不同资源提供不同安全级别的保护, 还应构建一个“Demilitarized Zone”(DMZ)的区域，放置一些不含机密信息的公用服务器，比如Web、 Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。     6. 链路聚合（PortTrunking）技术: 链路聚合（Port Trunking）技术，支持IEEE802.3协议，是一种用在交换机与交换机之间扩大通信吞吐量、提高可靠性的技术，也称为骨干连接。 当两台核心层交换机采用聚合链路Port Trunking技术后，该技术可以使交换机之间连接最多4条负载均衡的冗余连接。当某一台核心交换机出现故障或核心交换机与接入层/汇聚层交换机的某一条互联线路出现故障时，系统将通信业务快速自动切换到另一台正常工作的核心层交换机上，以使整个网络具备高容量、无阻塞、高可靠的能力。 第3章网络总体设计69 3.1网络架构分析现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构校园网采用星形的网络拓扑结构，骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份可以有效地提高核心交换的可靠性。传输介质也要适合建网需要。在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度要求。3.2设计思路进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划校园网建设的实施步骤。校园网总体设计方案的科学性，应该体现在能否满足以下基本要求方面：（1）整体规划安排；（2）先进性、开放性和标准化相结合；（3）结构合理，便于维护；（4）高效实用；（5）支持宽带多媒体业务；（6）能够实现快速信息交流、协同工作和形象展示。3.3校园网的设计原则（1）先进性原则以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。（2）开放性原则校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口，从而为异种机、异种操作系统的互连提供便利和可能。（3）可管理性原则69 网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。（4）安全性原则信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。（5）灵活性和可扩充性选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。（6）稳定性和可靠性可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。3.4详细网络设计方案校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。广州城市职业学院坐落于广州市白云区广园中路，南北校区通过一条天桥相连，北校区主要为建筑学院教学区和宿舍区；除公共管理系外的所有院系教学工作均在南校区开展，南校区还建有多栋学生宿舍楼，南校区作为学院本部，是学院管理和教学信息的汇聚中枢，所以本次校园网网络设计方案对象为南校区。南校区校园平面图如下图69 图3-169 3.4.1接入层设计1、接入层设计目标接入层主要为最终用户提供访问网络的能力。接入层负责将用户主机连接到网络中，提供最靠近用户的服务。接入层设计应避免重复建设，重复投资，考虑网络后期的可拓展性需求。同时接入层是设备最多，情况最复杂的网络，为了降低网络成本和提高网络效率，应遵循尽量简化的设计原则。应当根据需要隔离各个用户之间的相互访问，能有效控制内部用户与外部用户之间的安全问题。2、接入层详细设计接入层作为网络设计三层架构中最底层，主要实现终端设备的接入，提供访问网络的功能。由于接入层接入设备类型较多，地点也比较分散，网络管理比较困难，所以在接入层设计中需着重考虑实际需求。在本校园网设计中，接入层设备指各个教室、图书馆、办公楼、停车场、学生食堂等所有场所需要接入校园网络的设备。接入层设备种类多样，品牌不一，而且数量繁多，如图3-2所示，包括固话、PC、停车场刷卡机、图书馆借阅机、食堂刷卡终端、学生卡充值机等设备。故在接入层设计中必须充分考虑到接入层设备的端口密集性，在价格和性能相近的情况下优先选择端口较密集的接入设备。在可拓展性方面，接入层交换机应支持堆叠，预留足够的冗余端口，校园网后期网络规模的扩容需求；在性能方面，接入层交换机可应用VLAN划分技术隔离学校行政管理敏感部门之间的网络，如财务部与其他部门之间，防止敏感部门重要信息的泄露，同时vlan还能隔离由于网络结构设计不合理造成的广播风暴影响；在安全方面，接入层交换机应配置端口MAC地址绑定、端口静态MAC地址过滤、任意端口屏蔽等功能，防止未经允许的非法终端随意接入，扰乱整体网络；另外接入层设备主要是一些终端设备，网络流量不高，对接入层交换机负载和性能无太大要求。作为接入网络的一层，接入层交换机需满足端口密集的基本要求，同时还需具备基本网络管理功能。根据以上需求，在本校园网网络设计中，采用星型拓扑结构，各个终端设备通过综合布线线路接入到接入层交换机，终端设备与接入层交换机之间通过百兆以太网双绞线相连，接入层上联端口使用千兆链路与楼宇汇聚交换机相连，汇聚层交换机对终端设备流量进行汇聚，节省每个终端与核心交换机直接连接的链路与端口成本。这里所有终端设备通过百兆链路接入接入层交换机，接入层交换机通过千兆链路上联汇聚层交换，汇聚层交换通过万兆光纤上联核心层，详细拓扑如图3-3、3-4所示。1号楼网络信息点数量为28，主要分布在三四层楼，在三楼楼梯处配置一台48口接入层交换机以供设备接入。2号楼有10个接入信息点，都分布在二楼，在二楼楼梯处配置一台24口接入交换机供设备接入，其余接口关闭作为以后扩展需求。69 3号楼有94个网络信息点，信息点数量较多，主要分布在一、二、三层楼，根据信息点分布，在一楼配置一台24口接入层交换机、二、三楼各配置一台48口接入交换机。办公楼有60个信息点，分散分布在一、二、三、四层楼，校园网机房设在办公楼三楼，在机房各设置一台48口和24口接入层交换机用于终端接入。图书馆设备较少，信息点数量为25，在图书馆二楼配置一台48口接入层交换机用于终端接入，同时多余接口用于后续网络拓展。5号楼有31个信息点分布在四层楼，根据位置在二楼配置一台48口接入交换机，接入层交换机通过千兆链路上联教研楼汇聚层交换机。6号楼有48个信息点分散在四层楼，在二楼配置一台48口和1台24口接入交换机用于终端接入。7号楼有34个信息点分散各层，在二楼配置一台48口接入交换机用于终端设备接入。教研楼有90个信息点，分别在一楼和三楼配置两台48口接入交换机接入终端。电教楼有16个信息点，在二楼配置一台24口接入层交换机。公管楼61个信息点，分布在2~8楼，在二楼配置一台24口接入交换机，五楼配置一台48口接入层交换机。学生食堂和图书馆各配置一台48口接入交换机用于终端接入。接入层终端设备地址均为自动获取，通过核心层交换机上的DHCP地址池自动分配地址。另外接入层作为网络设计的最底层，为避免非法终端接入网络，扰乱校园网络正常，在接入层交换机所有端口上配置MAC地址绑定。接入层交换机分散分布在各个楼宇，与机房距离较远，为方便配置管理，为每台接入层交换机配置管理地址，并配置Telnet或ssh远程管理服务。校园网服务器集群提供对学校网站管理、OA系统管理、学生教务系统管理等服务，同时还提供外界对学校主页的访问，地址不能变动，所以所有服务器地址信息手工指定。69 图3-2图3-369 图3-43.4.2汇聚层设计汇聚层的主要功能是汇聚网络流量，屏蔽接入层变化对核心层的影响。汇聚层作为接入层与核心层之间的接口，汇聚层的设计与否很大程度上影响一个网络系统的性能。汇聚层必须包含以下功能：链路汇聚：减少接入层与核心层之间的链路数，当汇聚层与核心层有多条链路时，通过链路聚合实现链路上的负载均衡。流量聚合：将接入层的大量低速链路转发到核心层，实现通信流量的聚合。路由聚合：在汇聚层进行路由聚合可以减少核心层路由器中路由表的大小。主干带宽管理：对网络主干链路进行流量控制负载均衡和Qos保证。信号中继：对跨交换机划分的VLAN,进行信号中继。VLAN路由：不同VLAN之间的计算机需要通信时，应当在汇聚层进行路由管理。隔离变化：网络接入层经常处于变化之中，为了避免接入层变化对核心层的影响，可利用汇聚层隔离接入层拓扑结构的变化。69 广州城市职业学院作为一所高等职业院校，拥有南北两个分校区，中心机房设在南主楼。由于办公管理需要，需接入网络的终端设备众多，楼层接入交换机与中心机房之间距离较远，在进行网络设计时除需要考虑接入层交换机端口密度外，还需要对分散在不同楼宇、不同楼层之间接入层交换机汇聚，通过汇聚接入层设备，可大大节省接入层交换接入到核心设备的线缆成本和传输成本。1号楼、2号楼、3号楼和公共卫生楼、电教楼相隔较近，设计在3号楼设置一台汇聚层交换机汇聚这五栋楼的楼层交换机流量，楼层交换机通过千兆链路上联汇聚层交换机，汇聚层交换机再通过多条万兆光纤链路上联到办公楼机房核心层交换机；图书馆与办公楼相邻，各楼层设备通过楼层接入层交换机接入网络，接入交换机再通过千兆链路上联机房核心层交换机，多条链路保证链路冗余可靠；5号楼、6号楼、7号楼、教研楼这四栋楼之间相隔距离较近，在教研楼设置汇聚层交换机汇聚这四栋楼的楼层接入交换机流量，各楼层交换机通过千兆链路上联到教研楼汇聚交换机，汇聚交换机再用多条万兆光纤链路上联到办公楼机房核心交换机。机房应用服务器集群由一台接入层交换机汇聚后再上联到核心交换机，如图3-5所示。根据以上需求，汇聚层选用WS-C2960-G-48交换机，配置双交换引擎，两个以上电源，24个100/1000MB/sRJ-45接口，另外还需支持模块拓展。汇聚层分布在3号楼和教研楼，由两台WS-C2960-G-48交换机组成，各个接入层交换机通过两条千兆链路分别上联到两台汇聚交换机，实现链路冗余备份，保障可靠性。汇聚层交换机上联端口使用两条万兆单模光纤链路分别与核心层两台交换机通信，实现链路冗余备份，保障汇聚层与核心层通信可靠性，同时两台汇聚层交换机之间还用两条万兆光纤链路汇聚，实现结构上冗余备份。由于接入层、汇聚层、核心层之间均采用双链路冗余备份，还应在交换机相连的所有端口上启用生成树协议，防止广播环路影响。图3-53.4.3核心层设计69 核心层的主要功能是数据包的高速转发。核心层是所有流量的最终汇聚点和处理点，所有如果核心层结构和设备选型设计不合理，将会使网络性能存在瓶颈问题，所以核心层设计对于决定一个网络的整体性能优劣非常重要。核心层设计需要注意以下问题：1、核心层网络拓扑结构设计单中心星型拓扑结构厂用于小规模局域网设计，它的优点是结构简单网络工程投资少，适用于网络流量不大，可靠性要求不高的局域网。在这种结构中，往往将服务子网集中在核心层，这会导致核心层负载重，可靠性差，当核心层出现单点故障时，容易导致整个网络瘫痪。核心层双中心星型拓扑结构常用语园区网设计，它的优点是网络结构较为简单，实现了设备冗余和链路冗余，这也提高了网络的可靠性，可以很好地进行网络负载均衡，避免单点故障影响整个网络。当核心层设备为3个中心节点时，网络拓扑结构将连成环形；当核心层为4个节点时，一般将核心层连接成全网状形。这种拓扑结构较为复杂，主要用于大型园区网和城域网设计中。这种网络具有极好的可靠性，但是核心层构成了路由循环，因此网络传输的开销比较大，网络建设成本也非常高，一般仅用在国家级大型网络核心层。2、核心层性能设计策略（1）核心层通常采用高带宽网络技术，如1G或10G以太网技术。（2）核心交换机应当采用高速率的帧转发、（3）核心层禁止采用任何降低核心层设备处理能力，或者增加数据包交换延迟的方法。（4）任何形式的策略都必须在核心层外执行，如数据包过滤和较为复杂的QoS处理等。（5）核心层一般采用高性能的多层模块化交换机。3、核心层冗余设计策略网络中增加带宽最简单的方法是增加冗余链路，进行链路聚合，多层交换机和路由器能为多个链路和路径提供负载均衡功能，将信号流在各个链路之间进行均衡传输，从而提高数据的转发效率。一些企业的业务的重要性要求网络核心层不能出现单点故障，如银行、证券、电信等业务。对于这类网络，核心层一般采用设备冗余和链路冗余设计，以保证网络的QoS和可靠性。对于核心层出现的网络环路，可以利用路由技术或生成树协议（STP）进行处理。4、核心层路由设计策略策略是指一些设备支持的标准或网络管理员定制的一些配置规划。例如，路由器一般根据最终目的地址发送数据包。但在某些情况下，希望路由器基于源地址，流量类型或其他标准做出路由决策。核心层的任务是交换数据包，应尽量避免核心层网络配置的复杂程度，因为一旦核心层执行策略策略出错，将导致整个网络瘫痪。69 核心层设备应当具有足够的路由信息，将数据包发送到网络中任意目的主机；核心层交换机或路由器不应当使用默认路径到达内部网络的目的主机；核心层交换或路由器可采用默认路径来到达外部网络的目的主机；可以利用路由聚合来减少核心层路由表的大小。5、核心层详细设计广州城市职业学院校园网数据中心设置在南区主楼，也是南校区办公楼三楼。数据中心机房作为整个校园网数据交换枢纽，必须重点保证设备的可靠性和安全性。在可靠性方面，每台核心层交换机配置双交换引擎，两个以上电源、24个100、1000MB/sRJ-45接口，16个以上万兆光纤以太网接口，还需具备足够的拓充能力，满足后期网络规模的拓容。在安全性方面，严格控制人员进出机房，进出机房管理设备必须持有相关部门的证明；采购性能强劲的硬件防火墙，部署在设备前端，过滤外界非法流量，保护内网安全。机房设备包括网络设备和应用服务器集群。核心层网络设备由两台QuidwayS9303交换机组成，3号楼与教研楼的汇聚交换机通过千兆单模光纤上联到机房核心交换机，两台核心交换机之间采用2条万兆光纤相连，互为冗余备份。核心层拓扑如图3-6，核心层交换机之间冗余链路配置链路汇聚，提高链路带宽，另外，核心层交换机作为全网汇聚中心，还应具有虚拟局域网路由功能，能通过高速路由连接各个接入层子网，利用VLAN干道技术（VTP）对全网进行统一虚网划分及管理。核心层交换应保证高速转发效率，所有安全性能策略都在防火墙及路由器上实施。机房应用服务器集群包括web服务器、FTP服务器、数据库服务器、邮件服务器、认证服务器等设备。应用服务器集群数量较多，为节省核心交换端口，在核心交换与应用服务器集群间用一台接入层交换做汇聚。图3-669 3.4.4Internet接入设计Internet接入方式主要有以下六种:拨号上网方式,使用ISDN专线入网,使用ADSL宽带入网,使用DDN专线入网,使用帧中继方式入网,局域网接入。1．拨号上网方式拨号上网方式又称为拨号IP方式，因为采用拨号上网方式，在上网之后会被动态地分配一个合法的IP地址。用拨号方式上网的投资不大，但是能使用的功能比拨号仿真终端方法联入要强得多。拨号上网就是通过电话拨号的方式接入Internet的，但是用户的电脑与接入设备连接时，该接入设备不是一般的主机，而是称为接入服务（AccessServer）的设备，同时在用户电脑与接入设备之间的通信必须用专门的通信协议SLIP或PPP。拨号上网的特点：投资少，适合一般家庭及个人用户使用；速度慢，因为其受电话线及相关接入设备的硬件条件限制，一般在56K左右。2．ISDN专线接入ISDN专线接入又称为一线通、窄带综合业务数字网业务（N-ISDN）。它是在现有电话网上开发的一种集语音、数据和图像通信于一体的综合业务形式。一线通利用一对普通电话线即可得到综合电信服务：边上网边打电话、边上网边发传真、两部计算机同时上网、两部电话同时通话等。通过ISDN专线上网的特点：方便，速度快，最高上网速度可达到128K/S。3．ADSL宽带入网ADSL即不对称数字线路技术，是一种不对称数字用户线实现宽带接入互联网的技术，其作为一种传输层的技术，利用铜线资源，在一对双绞线上提供上行640kbps、下行8Mbps的宽带，从而实现了真正意义上的宽带接入。ADSL宽带入网特点：与拨号上网或ISDN相比，减轻了电话交换机的负载，不需要拨号，属于专线上网，不需另缴电话费。4．DDN专线入网DDN即数字数据网，是利用数字传输通道（光纤、数字微波、卫星）和数字交叉复用节点组成的数字数据传输网。可以为用户提供各种速率的高质量数字专用电路和其它新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。其主要特点：传输质量高，信道利用率高；传输速率高，网络时延小；·数据信息传输透明度高，可支持任何规程，可传输语音、数据、传真、图象等多种业务；适用于数据信息流量大的校园；·网络运行管理简便，对数据终端的数据传输速率没有特殊要求。其主要优点：能提供高性能的点到点通信；通信保密性强，特别适合金融、保险等保密性要求高的客户需要；传输质量高，网络时延小，通信速率可根据用户需要选择；信道固定分配，充分保证了通信的可靠性，保证用户的带宽不会受其他用户的影响；用户通过这条高速的国际互联网通道，可构筑自己的Internet、E-mail等应用系统；用户网络的整体接入使局域网内的PC均可共享互联网资源；用户可免费得到多个Internet合法IP地址及域名；用户可实现每天24小时全天候的信息发布，即用户可建立自己的Web站点，向国际互联网发布自己的信息或提供信息服务；·用户可通过防火墙等技术保护内部网络免受不良侵害；用户可通过VPN（VirtualPrivateNetwork）虚拟私用网络功能，利用首创网络综合信息平台实惠安全、可靠的企业网的国际网络互联，从而构建起企业的国际专用互联网络。69 5．局域网接入局域网连接就是把用户的电脑连接到一个与Internet直接相连的局域网LAN上，并且获得一个永久属于用户电脑的IP地址。不需要Modem和电话线，但是需要有网卡才能与LAN通信。同时要求用户电脑软件的配置要求比较高，一般需要专业人员为用户的电脑进行配置，电脑中还应配有TCP/IP软件。局域网接入的特点：传输速率高，对电脑配置要求高，需要有网卡，需要安装配有TCP/IP的软件。通过对比选择使用DDN专线入网，DDN专线的特点：采用数字电路，传输质量高，信道利用率高，数据信息流量大，时延小，通信速率可根据需要选择；电路可以自动迂回，可靠性高，适用于校园网络。广州城市职业学院校园网内部管理和办公采用专线接入的方式上网，校园内学生上网采用宽带拨号上网的方式，保证师生上网方便。3.4.5网络拓扑图（1）广州城市职业学院学院网络拓扑图物理拓扑如下：逻辑拓扑如下：69 3.4.6VLAN的划分VLAN技术在在网络领域等到了广泛应用，尤其在网络管理和网络安全上方面起到了不可忽视的作用。采用VLAN技术对整个网络进行集中管理，能够更容易地实现网络的管理性。例如，在添加、删除和移动网络用户时，不用重新布线，也不用直接对成员进行配置。VLAN提供的安全机制，可以限制用户对安全设备的访问，例如，限制普通用户对计费服务器，安全交换机等的访问。Vlan控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用增强网络管理。VLAN划分原则：便于管理。VLAN划分理念：将几个楼划分在同一VLAN，便于操作管理。VLAN详细划分：1号楼、2号楼和3号楼，即北U字楼，在同一VLAN，也就是VLAN10；办公楼和图书馆在VLAN20；5号楼、6号楼和7号楼，即南U字楼，在VLAN30；教研楼为VLAN40;公管楼为VLAN50;电教楼为VLAN60;服务器集群在VLAN99中。具体VLAN详细表69 楼ID及名称VLANID1号楼VLAN102号楼3号楼办公楼VLAN20图书馆5号楼VLAN306号楼7号楼教研楼VLAN40公管楼VLAN50电教楼VLAN60服务器集群VLAN993.4.7信息点统计广州城市职业学院联网各楼所在位置及信息点分布情况如下。1层2层3层4层5层6层7层8层1号楼2412102号楼103号楼1829425办公楼17131218图书馆210135号楼2181016号楼889237号楼41974教研楼621212121电教楼484公管楼96889138合计4973.4.8IP地址的分配原则IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键，也是职业技术学院校园网网络设计中的重要一环。IP地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。划分时注意使用VLAN，充分节约IP地址，使路由交换机上能够采用聚合进行路由的合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段，以便做路由汇聚。69 IP地址的分配原则如下：（1）给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性（2）考虑到以后的网络扩展规模，二层交换机设备的管理IP地址分配1个C类IP地址；（3）可以考虑为学校校园网分配若干个C类私有地址段。服务器集群和办公楼的IP获取方式为手动分配，其他的均为通过DHCP获取。上网方式均采用NAT方式。IP地址分配表网络单元地址段地址范围网关上网方式IP获取方式1号楼：共有28个信息点1号楼1层192.168.0.0/281～14192.168.0.1NATdhcp1号楼2层192.168.0.16/2817～30192.168.0.17NATdhcp1号楼3层192.168.0.32/2833～46192.168.0.33NATdhcp1号楼4层192.168.0.48/2849～62192.168.0.49NATdhcp2号楼：共有10个信息点2号楼2层192.168.1.0/281～14192.168.1.1NATdhcp3号楼：共有94个信息点3号楼1层192.168.2.0/271～30192.168.2.1NATdhcp3号楼2层192.168.2.32/2733～62192.168.2.33NATDhcp3号楼3层192.168.2.64/2665～126192.168.2.65NATDhcp3号楼4层192.168.2.128/29129～134192.168.2.129NATDhcp办公楼：共有60个信息点办公楼1层192.168.3.0/271～30192.168.3.1NAT手动分配办公楼2层192.168.3.32/2833～46192.168.3.33NAT手动分配69 办公楼3层192.168.3.48/2849～62192.168.3.49NAT手动分配办公楼4层192.168.3.64/2765～944192.168.3.65NAT手动分配图书馆：共有25个信息点图书馆1层192.168.4.0/291～6192.168.4.1NATdhcp图书馆2层192.168.4.8/289～22192.168.4.9NATDhcp图书馆3层192.168.4.24/2825～38192.168.4.25NATDhcp5号楼：共有31个信息点5号楼1层192.168.5.0/291～6192.168.5.1NATDhcp5号楼2层192.168.5.8/279～38192.168.5.9NATDhcp5号楼3层192.168.5.40/2841～54192.168.5.41NATDhcp5号楼4层192.168.5.56/3057～58192.168.5.57NATDhcp6号楼：共有48个信息点6号楼1层192.168.6.0/281～14192.168.6.1NATDhcp6号楼2层192.168.6.16/2817～30192.168.6.17NATDhcp6号楼3层192.168.6.32/2833～46192.168.6.33NATDhcp6号楼4层192.168.6.48/2749～78192.168.6.49NATDhcp7号楼：共有34个信息点7号楼1层192.168.7.0/291～6192.168.7.1NATDhcp7号楼2层192.168.7.8/279～38192.168.7.9NATdhcp69 7号楼3层192.168.7.40/2841～54192.168.7.41NATdhcp7号楼4层192.168.7.56/2957～62192.168.7.57NATdhcp教研楼：共有90个信息点教研楼1层192.168.8.0/291～6192.168.8.1NATdhcp教研楼2层192.168.8.8/279～38192.168.8.9NATdhcp教研楼3层192.168.8.40/2741～70192.168.8.41NATdhcp教研楼4层192.168.8.72/2773～102192.168.8.73NATdhcp教研楼5层192.168.8.104/2710～134192.168.8.105NATdhcp电教楼：共有16个信息点电教楼1层192.168.9.0/291～6192.168.9.1NATdhcp电教楼2层192.168.9.8/289～22192.168.9.9NATdhcp电教楼3层192.168.9.24/2925～30192.168.9.25NATdhcp电教楼4层192.168.9.32/2933～38192.168.9.33NATdhcp公共卫生楼：共有61个信息点公管楼2层192.168.10.0/281～14192.168.10.1NATdhcp公管楼3层192.168.10.16/2917～22192.168.10.17NATdhcp公管楼4层192.168.10.24/2825～38192.168.10.25NATdhcp公管楼5层192.168.10.40/2841～54192.168.10.41NATdhcp57～70NATdhcp69 公管楼6层192.168.10.56/28192.168.10.57公管楼7层192.168.10.72/2873～86192.168.10.73NATdhcp公管楼8层192.168.10.88/2889～102192.168.10.89NATdhcp服务器集群10.8.0.0/281～1410.8.0.1NAT手动分配3.4.9物理/链路层配置原则物理/链路层配置遵循下面的原则：1.网络设备互连的物理端口都应该绑定端口的速率和全双工模式；2.所有的Vlan都不要穿透核心层，所有的Vlan都将在汇聚层交换机上终结；3.本实施方案建议不要启用STP生成树协议，由于所有的Vlan都已在汇聚层交换机终结，在二层上并没有环路存在，故无必要启用；如果开启基于每个Vlan的生成树协议，广播报文将会很多，影响核心交换机性能和网络收敛时间；4.所有核心层和汇聚层交换机之间的互连端口均设置为Trunk模式，但目前只容许互连Vlan通过，以应付将来有Vlan穿越核心层这种情况；5.汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。第4章网络安全与管理4.1网络安全概述随着信息技术的不断发展和网络信息的海量增加，校园网的安全形势日益严峻，目前校园网安全防护体系还存在一些问题，主要体现在：网络的安全防御能力较低，受到病毒、黑客的影响较大，对移动存储介质的上网监测手段不足，缺少综合、高效的网络安全防护和监控手段，削弱了网络应用的可靠性。因此，急需建立一套多层次的安全管理体系，加强校园网的安全防护和监控能力，为校园信息化建设奠定更加良好的网络安全基础。校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻击行为大概有40％左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。4.2威胁网络安全因素分析由于校园网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，校园网络可能存在的安全威胁来自以下方面： 69 1. 操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC； 2. 防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验； 3. 来自内部网用户的安全威胁； 4. 缺乏有效的手段监视、评估网络系统的安全性； 5. 采用的TCP/IP协议族软件，本身缺乏安全性； 6. 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。4.3网络安全设计4.3.1安全需求1．构建涵盖广州城市职业学院校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2.建立广州城市职业学院校园网全天候的网络监控体系在校园网关键部位安装网络监控系统，实时对网络和信息系统访问的异常行为进行监测和报警。3.建立高效可靠的内网安全管理体系只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。4.建立虚拟专用网(VPN)和专用通道使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用网。4.3.2网络安全的设计原则(1).网络信息安全的木桶原则;网络信息安全的木桶原则是指对信息、全面的进行保护。(2).网络信息安全的整体性原则。指的是在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。(3).安全性评价与平衡原则69 对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。(4).标准化与一致性原则。(5).技术与管理相结合原则。(6).统筹规划，分步实施原则。(7).动态发展原则。要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。(8).易操作性原则首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。4.4详细设计过程4.4.1.物理层设计1．物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内；机房的承重要求应满足设计要求；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击的地区。2.物理访问控制有人值守机房出入口应有专人值守，鉴别进入的人员身份并登记在案；无人值守的机房门口应具备告警系统；应批准进入机房的来访人员，限制和监控其活动范围；应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。在自己的办工桌上安上笔记本电脑安全锁，以防止笔记本电脑的丢失。3．防盗窃和防破坏应将相关服务器放置在物理受限的范围内；应利用光、电等技术设置机房的防盗报警系统，以防进入机房的盗窃和破坏行为；应对机房设置监控报警系统。4.防雷击机房建筑应设置避雷装置；应设置防雷保安器，防止感应雷；应设置交流电源地线。5.防火应设置火灾自动消防系统，自动检测火情，自动报警，并自动灭火；机房及相关的工作房间和辅助房，其建筑材料应具有耐火等级。6.防水和防潮水管安装不得穿过屋顶和活动地板下；应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管；应采取措施防止雨水通过屋顶和墙壁渗透；应采取措施防止室内水蒸气结露和地下积水的转移与渗透。7.防静电应采用必要的接地等防静电措施；应采用防静电地板。69 8.温湿度控制应设置恒温恒湿系统，使机房温、湿度的变化在设备运行所允许的范围之内。防尘和有害气体控制；机房中应无爆炸、导电、导磁性及腐蚀性尘埃；机房中应无腐蚀金属的气体；机房中应无破坏绝缘的气体。9.电力供应机房供电应与其他市电供电分开；应设置稳压器和过电压防护设备；应提供短期的备用电力供应（如UPS设备）；应建立备用供电系统（如备用发电机），以备常用供电系统停电时启用。10.电磁防护要求应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰；电源线和通信线缆应隔离，避免互相干扰。4.4.2．网络层设计1．防火墙技术建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术．在逻辑上，它既是一个分离器也是一个限制器，同时它还是一个分析器，通过设置在异构网络(如可信的校园网与不可信的公共网)之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动，使得只有经过精心选择的应用协议才能通过，保证了内网环境的安全，如下图所示作为校园网安全的屏障，防火墙是连接内、外层网络之间信息的唯一出入口，根据具体的安全政策控制(允许、拒绝、监测)出入网络的信息流．校园网络管理员要将诸如口令、加密、身份认证、审计等的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审计．同时利用防火墙的日志记录功能做好备份，提供网络使用情况的统计数据。在这里我们将会采用瑞星企业级防火墙。69 瑞星全功能NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙，它是瑞星公司针对中小企业级用户定制的一款高端防火墙，型号为：RFW-SME。瑞星全功能NP防火墙整合了多种安全防护功能，是建构中小型企业网络的最佳选择。RFW-SME拥有通用防火墙功能、网络地址转换（NAT）、主动式入侵检测（IDS）、虚拟专网（VPN）、带宽管理、内容过滤、以及策略管理等功能。通过架设瑞星全功能NP防火墙，可以保护用户的网络免于黑客的攻击，同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务，还提供了不同等级的网络带宽管理，让一些特殊的应用服务可以确保使用带宽。2.虚拟专网(VPN)技术对于从专线连接的外部网络用户，采用虚拟专网(VPN)技术，它使架设于公众网络上的园区网使用信道协议及相关的安全程序进行保密，还可以采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专网更加可靠。3.身份认证技术对于拨号进入园区网的用户进行严格控制，在拨号线路上加装保密机，使无保密机的用户无法拨通；通过用户名和口令的认真检查用户身份；利用回拨技术再次确认和限制非法用户的入侵。4．加密技术在外部网络的数据传输过程中，采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法，两种方法结合使用，加上数字签名、数字时间戳、数字水印及数字证书等技术，可以使通信安全得到保证。为存放秘密信息的服务器加装密码机，对园区网上传输的秘密信息加密，以实现秘密数据的安全传输。5．物理隔离公共网络及因特网上黑客日益猖獗，加上我国使用的计算机及网络设备的软硬件产品大多数是进口的，安全上没有很好的保证，因而将外部网络中的因特网与专用网络如军用网实现物理隔离，使之没有任何连接，可以使园区网与外部专用网络连接时，园区网与Internet无物理联系在安全上较为稳妥。6．防毒网关防火墙无法防止病毒的传播，因而需要安装基于Internet网关的防毒软件，具体可以安装到代理服务器上，以防止Internet病毒及Java程序对系统的破坏。7.网络地址转换技术当园区网内部主机与外部相连时，使用同一IP地址；相反，外部网络与园区网主机连接时，必须通过网关映射到园区网主机上。它使外部看不到园区网，从而隐藏内部网络，达到保密作用，同时，它还可以解决IP地址的不足。8.代理服务及路由器可以根据设置地址、服务、内容等要素来控制用户的访问，代理服务器及路由器起访问的中介作用，使园区网和外部网络间不能直接访问，从而保证内部关键信息的安全。9.安全扫描可以通过各种安全扫描软件对系统进行检测与分析，迅速找到安全漏洞并加以修复。目前有多种软件可以对设备进行扫描，检查它们的弱点并生成报表。10.用户的身份认证69 用户入网访问控制分为三步，即用户名的验证；用户口令的验证；用户帐号的验证。用户口令是入网的关键，必须经过加密，用户还可采用一次一密的方法，或者使用智能卡来验证用户身份。同时，可将用户与所用的计算机联系起来，使用户用固定的计算机上网，以减少用户的流动性，加强管理。11.权限控制这是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源及用户可执行的操作。12.客户端安全防护首先，应切断病毒传播的途径，降低感染病毒的风险；其次，使用的浏览器必须确保符合安全标准，使客户端的工作站得到安全保证。13.安全检测使用安全检测和扫描软件对网络设备和客户端工作站进行检测和分析，查找安全漏洞并加以修复，使用防病毒软件进行病毒查找和杀毒工作。加密，访问控制，数字签名，入侵检测，扫描，物理隔离，安全协议4.4.3．传输层安全操作系统是整个园区网系统工作的基础，也是系统安全的基础，因而必须采取措施保证操作系统平台的安全。安全措施主要包括：采用安全性较高的系统，对系统文件加密，操作系统防病毒、系统漏洞及入侵检测等。1.采用安全性较高的系统美国国防部技术标准把操作系统安全等级分为D1、C1、C2、B1B2、B3、A级，安全等级由低到高，目前主要的操作系统等级为C2级。在使用C2级系统时，应尽量使用C2级的安全措施及功能，对操作系统进行安全配置。在极端重要的园区网系统中，应采用B级操作系统。2.加密技术对操作系统中某些重要的文件进行加密，防止非法出版的读取及修改。3.病毒的防范在园区网主机上安装防病毒软件，对病毒进行定时或实时的病毒扫描及检测，对防病毒软件进行及时升级以发现和杀灭新型的病毒。4.安全扫描通过对园区网主机进行一系列设置和扫描，对系统的各个环节提供可靠的分析结果，为系统管理员提供可靠性和安全性分析报告，对系统进行及时升级以弥补漏洞及关闭“后门”。4.4.4．应用层安全1.蠕虫过滤蠕虫可以利用电子邮件、文件传输等方式进行扩散，也可以利用系统的漏洞发起动态攻击。病毒防御体系可以根据蠕虫的特点实行多层次处理，在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP)传输的静态蠕虫代码。69 2.病毒过滤对于网页浏览(HTTP协议)、文件传输(FTP协议、邮件传输(SMTP、POP3协议)等病毒，基于专门的病毒引擎进行查杀。对于邮件病毒，可以定义对病毒的处理方式，决定清除病毒、删除附件、丢弃等操作，发现病毒时通知管理员、收件人、发件人等操作。3.垃圾邮件过滤垃圾邮件类型大致可以分为以下四种类型：邮件头部包含垃圾邮件特征的邮件;邮件内容包含垃圾邮件特征的邮件使用OpenRelay主机发送的垃圾邮件(OpenRelay方式的SMTP邮件服务器被利用向任何地址发送的垃圾邮件);邮件头部和内容都无法提取特征的垃圾邮件。病毒防御体系按照协议特征对数据包进行分析、重组及解码，按照安全规则通过智能分析对SMTP连接、IP地址、邮件地址、数据内容进行处理。可以限制IP地址、邮件地址、邮件数量、邮件大小;对邮件标题、正文、附件、包含特定关健字的邮件进行过滤;对特定邮件头信息、邮件发送者地址、邮件接收者地址、域名等进行过滤;支持对伪装邮件过滤。4.内容过滤支持对邮件关键字、附件文件类型进行过滤，通过定义可信或不可信的URL并进行过滤，可以选择对网页脚本进行过滤、对传输的信息进行智能识别过滤，防止敏感信息的侵扰和扩散。4.4.5.管理层安全1.制定一套严谨严格的操作守则。要求网管人员严格按照守则进行管理工作，2．加强网络管理人员的培训。定期对网管人员进行培训，并出外考察，多增长与时俱进的网管技术。4.4.6安全模块架设原理如下图所示：69 4.5病毒立体防御体系的构建与实施包括两个方面的内容：一是在内部网络设置防病毒管理与分发服务器，各终端计算机与服务器通过网络相连，形成内部网络的病毒防御系统。二是设置网关防病毒系统，对网络的出入口数据流量进行病毒扫描和过滤。1.设置防病毒管理与分发服务器校园网的防病毒管理与分发服务器与上级信息管理中心的防病毒控制中心服务器网络相连，直接接受上一级服务器提供的病毒库升级、客户端防病毒软件升级、广域网病毒扫描和过滤等服务。引导校园网用户自觉把个人用计算机及单位用计算机作为防病毒客户端与防病毒管理与分发服务器进行联接;二是对防病毒管理与分发服务器进行相关配置，使得服务器能够及时对客户端实施病毒自动更新，能够对客户端进行自动或手工方式的病毒扫描和查杀。2.网关防病毒系统网关防病毒系统部署在校园网的出入口处。系统能够实现：无人值守，自动操作，可实现自动发现、清除病毒，自动报警，时刻保护网络免受病毒和蠕虫侵害。3内网安全管理体系的构建与实施在指定服务器配置内网安全管理系统，校园网联网计算机下载客户端软件，与内网安全管理系统实现网络连接，接受内网安全管理系统提供的安全服务，形成内网安全管理体系。4.虚拟专用网(VPN)的构建与实施在校园网出入口处部署SSLVPN硬件网关，广域网用户利用SSL69 VPN网关访问校园网资源。实现校园网和广域网的虚拟专用网连接。这种部署方式具有以下特点：一是客户端内不用安装VPN客户端软件，易部署、管理和扩展;二是无须在防火墙上为SSLVPN设备做特定的设置。三是兼容B/S和C/S，能达到好管理、好维护、低成本、高利用率的效果。4.6网络管理网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。在校园网络管理方面，为了便于校园网络管理人员的管理及维护，我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。Quidview网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。管理功能模块：(1）网络故障管理；(2)网络配置管理；(3)网络性能管理；(4)网络计费管理；(5)网络安全管理。在此处不一一介绍各个功能模块的作用。4.7网络安全策略配置4.7.1安全接入和配置安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供安全性。限制远程访问的安全设置方法如下表安全接入和配置方法访问方式保证网络设备安全的方法备注Console控制接口的访问设置密码和超时限制建议超时限制设成5分钟进入特权exec和设备配置级别的命令行配置Radius来记录logon/logout时间和操作活动；配置至少一个本地账户作应急之用telnet访问采用ACL限制，指定从特定的IP地址来进行telnet访问；配置Radius安全纪录方案；设置超时限制SSH访问激活SSH访问，从而允许操作员从网络的外部环境进行设备安全登陆WEB管理访问取消Web管理功能SNMP访问常规的SNMP访问是用ACL限制从特定IP地址来进行SNMP访问；记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击为增加安全,建议更改缺省的SNMPCommutiy子串设置不同账号通过设置不同的账号的访问权限，提高安全性69 第5章设备选型5.1接入层设备选型建筑物名称接入层交换机建筑物名称接入层交换机1号楼用1台48口交换机办公楼用1台48口交换机、2台24口交换机2号楼用1台24口交换机图书馆用1台48口交换机3号楼用1台24口、2台48口交换机教研楼用2台48口交换机5号楼用1台48口交换机电教楼用一台24口交换机6号楼用1台48口交换机、1台24口交换机公管楼用1台24口交换机、1台48口交换机7号楼用1台48口交换机学生食堂1台48口交换机接入层交换H3CS1550（48口）参数H3CS1550主要参数产品外观交换机类型网管交换机应用层级接入层传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3x端口数量50接口介质10/100Base-TX:五类双绞线,传输距离100m、1000Base-LX-SFP:9/125μm单模光纤,传输距离10km、1000BASE-ZX-LR-SFP:9/125μm单模光纤,传输距离40km、1000BASE-ZX-VR-SFP:9/125μm单模光纤,传输距离70km、1000BASE-SX-SFP:50/125µm多模光纤,传输距离550m传输模式全双工/半双工自适应交换方式存储-转发背板带宽13.6Gbps包转发率10.1MppsVLAN支持支持QOS支持支持网管支持支持网管功能支持Web网管69 MAC地址表8K模块化插槽数1电源AC100-240V(50Hz-60Hz)环境标准工作温度:0℃-40℃、工作湿度:20%-85%无凝结尺寸(mm)440*230*44重量(Kg)<4价格￥2800H3CS1216（24口）参数H3CS1216主要参数产品外观交换机类型千兆以太网交换机应用层级接入层内存2MB传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3、IEEE802.3u、IEEE802.3ab端口结构非模块化端口数量24接口介质10Base-T:3/4/5类双绞线,支持最大传输距离200m、100Base-TX:5类双绞线,支持最大传输距离100m、1000Base-T:5类双绞线,支持最大传输距离100m传输模式全双工/半双工自适应交换方式存储-转发背板带宽32Gbps包转发率23.8MppsVLAN支持不支持QOS支持不支持网管支持不支持MAC地址表8K电源输入电压:220VAC尺寸(mm)330×230×44价格￥1300130069 5.2汇聚层设备选型通常将位于接入层和核心层之间的部分称为分布层或汇聚层，汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。汇聚层交换机选择华为CISCOWS-C2960G-48。整个校园共用2台汇聚层交换机，使用千兆光纤与核心交换机相连。CISCOWS-C2960G-48参数CISCOWS-C2960G-48主要参数产品外观交换机类型智能交换机应用层级三层内存64MB传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3、IEEE802.3u、IEEE802.1x、IEEE802.1Q、IEEE802.1p、IEEE802.1D、IEEE802.1s、IEEE802.1w、IEEE802.3ad、IEEE802.3z、IEEE802.3端口结构非模块化端口数量44接口介质10/100Base-T,10/100/1000Base-Tx/SFP传输模式全双工/半双工自适应交换方式存储-转发背板带宽32Gbps包转发率39MppsVLAN支持支持QOS支持支持网管支持支持网管功能Web浏览器,SNMP,CLIMAC地址表8K模块化插槽数469 指示面板每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度电源100VAC-240VAC、50Hz/60Hz,1.3-0.8A环境标准工作温度:0℃-45℃、工作湿度:10%-85%(非冷凝)、存储温度:-25℃-70℃、存储湿度:10%-85%(非冷凝)尺寸(mm)328*445*44重量(Kg)5.4价格￥2.2万5.3核心层设备选型核心层交换机选择华为QuidwayS9303交换机，核心层交换机位于办公楼，配置两台。华为QuidwayS9303主要参数产品外观交换机类型路由交换机应用层级三层传输速率10Mbps/100Mbps/1000Mbps端口结构模块化交换方式存储-转发背板带宽1.2Tbps包转发率540MPPSVLAN支持支持QOS支持支持网管支持支持MAC地址表16K模块化插槽数3电源DC:–38.4V～–72V;AC:90V～264V;典型功耗:<180W;整机供电能力:350W69 尺寸(mm)442*476*175重量(Kg)15价格￥0.82万路由器CISCO7206VXR参数CISCO7206VXR基本参数路由器外观路由器类型模块化接入路由器端口结构模块化网络协议IEEE802.3,SDN;密标准AH(MD5),ESP(Null,DES,3DES,ARC4,proprietaryfastencoding,+MD5/HMAC,-MD5);PPP(PAP,CHAP,LCP,IPCP,MLPPP)固定的广域网接口可选广域接口WIC卡固定的局域网接口10/100Base-T/TX其他端口控制端口RS-232内置防火墙是Qos支持支持支持VPN支持扩展模块6处理器225、263或350MHz(MIPSRISC)内存最大512MB网络管理CiscoClickStart，SNMP适用环境工作温度:0℃-40℃、工作湿度:10%-90%、存储温度:-20℃-65℃电源电源电压:1认证100-240V尺寸431*426*133重量22.7Kg价格￥2.01万构建该校园网络选用的防火墙是华为赛门铁克USG3030(USG3030)华为赛门铁克USG3030(USG3030)华为赛门铁克USG3030(USG3030)主要参数69 设备外观类型企业级防火墙品牌华为赛门铁克并发连接1000000网络端口3个GE光电互斥接口,1个Con网络吞吐量1000安全过滤400Mbps用户数限无用户数限制入侵检测Dos,DDoS适用环境工作温度:0℃～40℃;工作湿控制端口Console口其他性能高性能高可靠性,功能全面的VPN网关,优异的DoS/DDoS攻击防范能力,对多种协议流量控制,丰富的NAT业务能力,灵活便捷安全的维护管理,高速日志收集功能防火墙尺寸420*436*44.4mm电源AC:100～240V,DC:-48V～-6安全标准FCC,CE管理SNMPv1/v2/v3,SSH、RADIUS重量(Kg)6参考价格/商家报价￥3万广州城市职业学院构建该校园网络选用的服务器如下电子邮件服务器华为FusionServerRH2288HV2-8邮件服务器M参数eWorld邮件服务器参数设备外观设备类型邮件服务器功能新一代全程服务的高可用性硬件邮件服务器;国内首创“邮件中继”系统可保障邮件不丢失,国内外收发邮件顺畅;嵌入式linux架构,稳定性极高;主要功能:邮件发送中继、邮件接受中继、垃圾邮件过滤、病毒过滤、邮件监控、限制本地域、Webmail、网络磁盘、防火墙等WAN连接10/100/1000Mbps*1(可扩展2个WAN)LAN连接10/100/1000Mbps*1管理web远程管理平台Linux等操作系统接口RJ-45,RS23269 其他特性250G*2SATA其他参数电源220V外观半长2U机架式认证CE,FCC价格￥1.15万FTP服务器联想服务器ThinkServerTS240参数联想服务器ThinkServerTS240参数设备外观设备类型FTP服务器功能提供大容量文件存储WAN连接10/100/1000Mbps*1LAN连接10/100/1000Mbps*1管理web远程管理平台嵌入式linux系统接口10/100Mbps,RS232其他参数电源220V外观PC服务器认证CE,FCC价格￥0.49万计费服务器计费服务器参数产品外观小区宽带宽带计费软件蓝海卓越Radius认证计费服务器认证计费管理服务器:NS-G50-200069 产品名称设备类型计费服务器功能用户管理功能；网络管理功能 ；网络记录功能；计费及统计管理帐务管理功能；针对用户的帐务管理和针对管理员的营帐管理，提供日、月、年营业报表生成和打印功能；提供适合运营的收费和帐单处理界面；统计每小时平均在线用户数，以便发现繁忙时段；统计每天（月）的上网流量和时长，掌握网络使用情况；统计用户每月的消费情况；统计系统每月注册用户和新注册用户数，掌握业务发展状况；统计操作员收费情况，了解网络的运营收益。其他特性基于标准的RADIUS协议开发的宽带计费管理服务器；它不仅支持PPPOE和SCG的认证计费方式，还支持最新的802.1X接入控制技术，与其他厂商支持相应标准的产品兼容，结合蓝海卓越电信级PPPOE网关，可提供更加丰富的功能。其他参数发布时间2009年09月19日更新时间2010年01月19日有效期限1年数量8价格￥39600代理服务器代理服务器参数产品外观产品名称联想服务器ThinkServerTS240设备类型代理服务器功能共享网络；访问代理；防止攻击；突破限制；隐藏身份；提高速度其他参数CPUDualXeon2.8G内存1GB69 硬盘160GB流量4000GB/月IP数5价格￥0.49Web服务器Web服务器参数产品外观产品类型WEB服务器功能提供网上信息浏览服务处理器Intel至强双核心E3120光驱ComboLan管理PXE其他参数外观PC服务器价格￥12000Ups山特C3KVA/2100W（标参数数）山特C3KVA/2100W主要参数产品外观设备类型在线式额定输出容量3kva69 输入电压范围115-300V输入频率范围40-60Hz输出电压范围220*（1±2%）V输出频率范围电池模式：50±0.2%Hz输出电压波形正弦波电池阀控式免维护铅酸蓄电池备用时间半载>11分钟波长433mm宽*高145mm*318mm重量28kg价格￥2250调制解调器ATRIEWireSpan300E(ATRIEWireSpan300E)ATRIEWireSpan300E(ATRIEWireSpan300E)主要参数产品外观设备类型SHDSL调制解调器设备品牌ATRIE（雅企）网络端口RJ-45，RJ-11支持操作Windows95/98/2000/ME/NT电源电压5VDC±5%工作温度0℃～50℃工作湿度0～95%非凝结存储温度-10℃～70℃存储湿度0～95%非凝结安全特性高的华为QuidwayS9303交换机69 成为中小型网络核心交换机的理想选择。适用于为政府、学校、企业构建高速、安全、可靠的千兆网络。5.4设备采购汇总名称型号单价数量合计路由器7206VXR2.01万1台2.01万核心层交换机QuidwayS93030.822台1.64万汇聚层交换机WS-C2960-G-482.2万2台4.4万接入层交换机（24口）H3CS121613007台0.91万接入层交换机（48口）H3CS1550280012台3.36万防火墙USG30303万1台3万服务器电子邮件服务器华为FusionServerRH2288HV2-81.15万1台1.15万FTP服务器联想服务器ThinkServerTS2400.49万1台0.49万计费服务器蓝海卓越NS-G50-20003.96万1台3.96万代理服务器联想服务器ThinkServerTS2400.49万1台0.49万EEB服务器联想服务器ThinkServerTS2400.49万1台0.49万WEB服务器联想PC服务器ThinkServerRD4401.2万1台1.2万数据库服务器华为FusionServerRH2288HV2-81.15万1台1.15万UPSC3KVA/2100W225010.225万调制解调器ATRIEWireSpan300E100010.1万第6章综合布线设计69 6.1综合布线的设计原则综合布线同传统的布线相比较，有着许多优越性，是传统布线所无法比及的。其特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期。而且在设计、施工和维护方面也给人们带来了许多方便。（1）实用性实施后的校园网控制系统，其所有的子系统，诸如综合布线系统，数据通讯，都满足国际标准，具有良好的用户使用界面。并且，网络管理功能完善且方便使用。（2）功能性为用户提供快捷、开放、易于管理的语音与数据信息基础传输平台。布线系统应能适应各种计算机网络体系结构的需要,并能支持语音或楼宇自控和保安监控等系统的应用。可为用户提供可视图文、电子信箱、中国公用分组交换数据网(CHINAPAC)接口,为用户提供电子数据交换(EDI)等各种服务的传输平台,为实现无纸办公创造条件。为用户及时传递可靠、准确的各类重要信息,最终实现办公自动化系统(OA)。（3）先进性布线系统应适应综合布线技术发展的潮流,能为数据及高清晰图像信息提供高速及宽带的传输能力,适应异步传输模式(ATM)。各性能指标满足支持高带宽的100M、1000M以太网和异步传输(ATM)应用,满足宽带综合业务数字网(B-ISDN)的要求，支持复杂的多任务的ISDN、DDN、xDSL、X.25等分组交换接入应用,能实现大厦与Internet等全球信息高速公路接轨的需求。布线系统要既能满足现阶段技术水平应用的需要，也能满足未来多媒体大量的声音、图像、数据传输的需要。（4）灵活性系统中的任一部分的联接都应是灵活的，即从物理接线到数据通讯，自动控制设备的联接都不受或极少受物理位置和这些设备类型的限制。（5）方便性设备变迁时要有高度的灵活性、管理的方便性,能在设备布局和需要发生变化时实施灵活的线路管理,能够保证系统很容易扩充和升级而不必变动整体配线系统,能够提供有效的工具和手段，以简单、方便地进行线路的分析、检测和故障隔离，当故障发生时，可迅速找到故障点并加以排除。（6）可靠性69 具有对环境的良好适应能力(如防尘、防火、防水)，对温度、湿度、电磁场以及建筑物的振动等的适应能力。系统可方便地设置雷电、异常电流和电压保护装置，使设备免受破坏。（7）扩展性适应未来网络发展的需要，系统的扩充升级容易。系统不仅能支持现有常规的计算机网络、电脑终端、电话、传真、摄像机、控制设备等通信需要，而且能支持未来的语音、视频、数据多网融合的局域网技术和接入网技术，具有适应未来需求，平稳过度到增强型分布技术的智能型布线系统。由于所有基础设施（材料、部件、通讯设备）都采用国际标准，因此，无论计算机设备、通讯设备、控制设备随技术如何发展，将来都可以很方便地将这些设备联到系统中去。（8）开放性结构化布线系统能满足任何特定建筑物及通信网络的布线要求,完全开放化,既支持集中式网络系统,又支持分布式网络系统,支持不同厂家、不同类别的网络产品；为用户提供统一的局域网和广域网接口,满足目前要求和未来发展的需要。（9）标准化综合布线工程所有网络通道、信息端口系统应遵循统一的标准和规范,性能指标应保证达到《建筑与建筑群综合布线工程设计、施工与验收规范标准》(CECS-2000)的要求,并高于ISO/IEC11801的CLASSD和OPTICALCLASS的应用标准。（10）经济性经济性即系统经济、使用简单、维护方便、管理成本低，布线出口方式美观、耐用、防尘。（11）生命周期本项目系统设计能满足现在和未来的通信网络应用需要,具有20年使用生命周期。6.2信息点分布和环境分析广州城市职业学院的信息点分布如下：联网各楼所在位置及信息点分布情况1层2层3层4层5层6层7层8层1号楼2412102号楼103号楼1829425办公楼17131218图书馆210135号楼2181016号楼8892369 7号楼41974教研楼621212121电教楼484公管楼96889138合计4971号楼、2号楼和3号楼距离较近，成U字型，即北U字型，5号楼、6号楼和7号楼距离较近，也成U字型，即南U字型，教研楼在南U字型附近，办公楼和图书馆楼处于校园网的中心位置，所以考虑将核心交换机放置在办公楼或图书馆楼，公共卫生楼和电镜楼距离较近，距离北U字楼也相对较近，所以考虑选择采用光纤连接。6.3结构化综合布线系统的组成及设计综合布线系统（PDS，PremisesDistributionSystem）是一套开放式的布线系统，可以支持几乎所有的数据、语音设备及各种通信协议，同时，由于PDS充分考虑了通信技术的发展，设计时有足够的技术储备，能充分满足用户长期的需求，应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性，各种设备位置的改变，局域网的变化，不需重新布线，只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。如图3：6.3.1工作区子系统及其网络设计工作区子系统，是由RJ-45跳线与信息插座所连接的设备组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定，并预留适当数量的冗余。例如：对于一个办公区内的每个办公点可配置2～3个信息点，此外应为此办公区配置3～5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议69 等。若此办公区为商务应用则信息点的带宽为100M可满足要求；若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。工作区的终端设备（如：电话机、传真机）选用安普公司的超五类双绞线直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。6.3.2配线子系统及其网络设计配线子系统，是从工作区的信息插座开始到管理间子系统的配线架。选择配线子系统的线缆，要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推荐采用的双绞电缆及光纤型号为:安普公司的超五类或六类非屏蔽双绞线,TCL室内单模或多模光纤。　　双绞线水平布线链路中，水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为配线子系统的线缆，可根据信息点类型的不同采用不同类型的电缆。该方案选择安普公司的超五类非屏蔽双绞线缆。69 6.3.3干线子系统及其网络设计干线子系统，负责连接管理子系统到设备间子系统的子系统。干线子系统可以使用的线缆主要有：HAY三类大对数电缆；安普公司的超五类或六类双绞线；TCL室内单模或多模光纤。该方案选择安普公司的超六类双绞线缆。垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道，使整个布线系统组成一个有机的整体。垂直干线子系统Topology结构采用分层星型拓扑结构，每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时，每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。6.3.4设备间子系统及其网络设计设备间子系统，由电缆、连接器和相关支撑硬件组成。采用BIX跳接式配线架，连接交换机；采用光纤终结架连接主机及网络设备。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在较大型的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房放在距离设备间不远的位置。设备间子系统是一个集中化设备区，连接系统公共设备，如局域网(LAN)、主机、建筑自动化和保安系统，及通过垂直干线子系统连接至管理子系统。6.3.5管理子系统及其网络设计管理子系统，69 由交连、互连和I/O组成。管理是针对设备间、电信间和工作区的配线设备、缆线等设施，按-定的模式进行标识和记录的规定。跳线采用超5类非屏蔽双绞线，RJ45接头。管理间是楼层的配线间，管理子系统为其他子系统互连提供手段，它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。安普公司的综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。6.3.6建筑群子系统及其网络设计建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段，也可采用微波通信、无线电通信的手段。传输介质采用室外六芯多模光纤。建筑群子系统介质选择原则：楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点：包括路由起点、终点；线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。建筑群子系统的设计：3号楼、5号楼与办公楼之间由于距离较远，采用单模光纤连接；3号楼使用多模光纤连至1号楼、2号楼、公共卫生学院、电镜楼和由5号楼使用多模光纤连至6号楼、7号楼和教研楼；图书馆与办公楼距离较近，采用千兆以太网连接。考虑近期学校使用、设备投资、距离超长等各种因素，采用多模光纤和单模光纤混合的方式连接，并在每个建筑物内预留了多模光纤，以备将来整个网络系统的发展。6.3.7进线间子系统及其网络设计进线间一个建筑物宜设置1个，一般位于地下层，外线宜从两个不同的路由引入进线间，有利于与外部管道沟通。进线间与建筑物红外线范围内的人孔或手孔采用管道或通道的方式互连。进线间因涉及因素较多，难以统-提出具体所需面积，可根据建筑物实际情况，并参照通信行业和国家的现行标准要求进行设计，本规范只提出原则要求。1.进线间应设置管道入口。2.进线间应满足缆线的敷设路由、成端位置及数量、光缆的盘长空间和缆线的弯曲半径、充气维护设备、配线设备安装所需要的场地空间和面积。3.进线间的大小应按进线间的进局管道最终容量及入口设施的最终容量设计。同时应考虑满足多家电信业务经营者安装入口设施等设备的面积。4.进线间宜靠近外墙和在地下设置，以便于缆线引入。进线间设计应符合下列规定：①进线间应防止渗水，宜设有抽排水装置。69 ②进线间应与布线系统垂直竖井沟通。③进线间应采用相应防火级别的防火门，门向外开，宽度不小于1000mm。④进线间应设置防有害气体措施和通风装置，排风量按每小时不小于5次容积计算。5.与进线间无关的管道不宜通过。6.进线间入口管道口所有布放缆线和空闲的管孔应采取防火材料封堵，做好防水处理。7.进线间如安装配线设备和信息通信设施时，应符合设备安装设计的要求。6.3.8教研楼综合布线整体设计由于整个校园里面楼层众多，故我们选取了比较典型的教研楼来做了下简单的综合布线，其中包括各楼层的布线、信息点分布、配线间位置、线类型等信息，给出了一个较为明朗的实例系统。1、教研楼垂直系统2、教研楼一楼水平管线与信息点分布69 3、教研楼二楼水平管线与信息点分布69 4、教研楼三楼水平管线与信息点分布69 5、教研楼四楼水平管线与信息点分布69 6、教研楼五楼水平管线与信息点分布69 6.4防雷系统6.4.1设计原则69 　　由于机房雷电防护系统对所保护系统的业务正常运行具有非常重要的作用,因此雷电防护系统应具备先进性、可靠性、易维护、易升级等方面的突出特性。防雷工程设计及设备的选择应遵从以下的原则：l1.可靠性原则　设计系统雷电防护工程应最先考虑的问题就是可靠性。在工程的设计中不一定要求最先进，但一定要用最成熟可靠的产品和技术，有些新技术确实在某些方面有优势，但还需要更多的时间去考验，在网络系统的雷电防护中应选择被广泛应用和证实的可靠产品和技术。l2.实用性原则　　本着一切从用户实际角度出发，配置防雷保护系统不是给用户花钱，而是在保护用户的投资，保证网络系统的正确运行；实用性就是能够最大限度的满足实际工作要求，从实际应用的角度来看，这个性能更加重要。l3.开放性、可扩充、可维护性原则　　雷电防护技术是不断发展变化的，为了保证用户的投资，所选产品必须符合国际标准及流行的工业标准，这样才能对网络的未来发展提供保证。l4.经济性原则　　整个防雷保护的建设要坚持实用为主，根据投资的强度选择有实用价值，在满足系统需求和前提下，应尽可能选用性能价格最好，可靠性高、可维护性好的产品，选用性能价格比高的设备，尽快投入使用，并使整个系统能安全可靠地运行，以便节省投资，以最低成本来完成计算机网络系统防护的建设。6.4.2防雷防浪涌　　实施防雷工程主要就是要保证机房设备安全运行，保证计算机网络的传输质量，在各点进行不同等级的防雷保护。根据办公楼的实际情况，提出以下防雷措施：　　1)对信息中心机房进行全方位的防雷接地保护；　　2)对监控机房等进行全方位的防雷接地保护；　　3)对室外摄像头进行电源、视频、控制线路进行全面保护；　　4)对其它区域进行普通电源保护。6.4.3电源系统防雷　　我们将电源系统防雷分成三级来设计。三级防雷原理如下：雷电流能量大一般在≈200KA、电压高达≈10000V、频率高≈800M-1G、通过时间短≈8/12μs一般的空气开关，保险丝、稳压设备等是无法防护的。所以必须加装避雷针、带、网防御直击雷，内部加装三级高反应速度的防止感应雷泻放设备。分流感应到线路的雷电流将雷电限制在1000V以下。具体三级电源防护措施如下：n第一级：作为主级电源防雷设备根据IEC61312-3《雷电电磁脉冲的防护第三部分过电压保护装置的要求》防雷设备泻放电流在150-100KA，限制电压在2800V-2500V以内。　　具体措施：在大楼总配电柜处加装电源防雷模块做为大楼的第一级电源防雷。n第二级：次级电源防雷要求防雷设备泻放电流在70-40KA，限制电压在1800-1500V以内。具体措施：在4楼信息中心机房配电箱的三项空开出线处加装V25-B/3+NPE电源防雷模块做为第二级电源防雷。69 n第三级：末级防雷要求防雷设备泻放电流在40-20KA，限制电压在1000-600V以内。具体措施：在4楼信息中心机房配电箱的单相空开出线处加装V20-C/2电源防雷模块做为第三级电源防雷，另外在综合布线FD1配线间电源线路进入端串联加装抗浪涌电源插座。6.4.4通讯线路雷电防护通讯、信号主要是通过电信部门通讯线路连接到设备端，进行网络通讯。通讯线路大多是挂空线缆，内部网络系统各通讯点的连接大多也是挂空双绞线线缆。根据IEC61312-1《雷电电磁脉冲的防护第一部分通则》中提供的模拟公式可进行估算：高约4米长50米的挂空电缆在一公里雷击范围内线路感应电压约为800V。所以在通讯线路的入户端，出户端必须加装防雷设备。主要保护对象为信息中心机房具体措施:对于采用光纤通信的线路可以不另外加装防雷器,只需在光纤入户端将光纤内的钢筋做良好接地即可。但应考虑到做为备份通信的其它线路,如DDN等,因此对非光纤的通讯线路做防雷保护是有必要而且是必需的。可在专线通讯线路入户端加装RJ45-ISDN/4-F通讯专线防雷器一套。6.4.5机房内部防雷辅助措施Ø为了保证在机房内的工作人员不受静电及电磁脉冲的危害，需在静电地板下做均压网，且均压网与接地做良好的连接。使整个机房内地板的电位一致。Ø需将静电地板下方的支撑钢架与均压网做良好的电气连接，使静电地板上积累的电荷有良好的泻放通道。将机房内所有需要接地的设备的金属表面与均压网汇流排做良好的电气连接。6.5接地系统6.5.1机房独立接地要求　　根据《电子计算机机房设计规范－GB50174-2008》中对接地的要求：交流工作接地、安全保护接地、防雷接地的接地电阻应≤4欧，本设计的接地电阻≤2欧，以提高安全性和可靠性。机房设独立接地体接地网，要求接地桩距离大楼基础15-20米。6.5.2机房接地系统　　计算机接地系统是为了消除公共阻抗的合，防止寄生电容偶合的干扰，保护设备和人员的安全，保证计算机系统稳定可靠运行的重要措施。如果接地与屏蔽正确的结合起来，那么在抗干扰设计上最经济而且效果最显著的一种，因此，为了能保证计算机系统安全，稳定、可靠的运行，保证设备人身的安全，针对不同类型计算机的不同要求，设计出相应的接地系统。　　机房接地类型一般分为以下几种：　　1．交流工作接地；　　2．计算机系统的弱电接地；　　3．安全保护接地；　　4．防雷保护接地（处在有防雷设施的建筑群中可不设此地）。69 　　对于本工程的接地，大楼有共用接地系统，机房交流工作接地和计算机系统的弱电接地设独立接地网，由机房接地网直接引线至机房，引线为大于95mm2铜芯绝缘导线，中间不能裸露，接地电阻小于1欧姆。在计算机系统的弱电接地系统中，机房内部采用网格接地方式，就是把一定截面积的铜线或铜带在架空地板下交叉排成1800MM*1800MM的方格，交点处压接在一起。网格接地方式不仅有助于更好的保证逻辑电路电位参考点的一致性，而且大大提高了计算机系统的抑制内部噪声和外部干扰的能力。综合布线材料选型及报价安普超五类非屏蔽双绞线/6-219507-4安普超五类非屏蔽双绞线/6-219507-4详细参数电缆/双绞线类型超五类双绞线适用范围1000Base-T传输速率1000Mbps单段长度100米包装长度305米性能概述此类产品是本行业的高性能5e系统,超过目前所有拟议中的5e类和1000BASE-T规范，满足综合布线系统设计要求的高速,高性能符合UL认证要求，具有优异的传输性能。价格￥720￥2.2万AMP4芯室外铠装光缆(50/125)AMP4芯室外铠装光缆(50/125)参数产品类型多模光纤波长1300nm、850nm纤芯数量4光特性损耗850/3.5dB/km、1300/1.0dB/km、1550/0.26dB/km其它规格50/125、62.5/125环境参数工作温度-30℃-60℃工作湿度0%-90%价格￥26大唐电信12根钢丝铠装8芯多模室外直埋光缆光纤线大唐电信12根钢丝铠装8芯多模室外直埋光缆参数产品类型多模光缆波长1300nm、850nm纤芯数量8光特性损耗850/3.5dB/km、1300/1.0dB/km、1550/0.26dB/km69 其它规格50/125、62.5/125μm产品描述光缆由多条光纤组成,适应目前网络对长距离传输大容量信息的要求环境参数工作温度-40-60℃工作湿度0-90%价格￥16TCL12芯室内多模光缆TCL12芯室内多模光缆基本规格产品类型多模光纤波长1300,850nm纤芯数量12光特性损耗850/3.5,1300/1.0,1550/0.26db/km其它规格50/125,62.5/125环境参数工作温度-30~60℃工作湿度0~90%价格￥40TCL12芯室内单模光缆TCL12芯室内单模光缆基本规格产品类型单模光纤波长1300,1550nm纤芯数量12光特性损耗850/3.5,1300/1.0,1550/0.26db/km其它规格9.3/125环境参数工作温度-30~60℃工作湿度0~90%价格￥33第7章网络模拟69 7.1模拟拓扑7.2接入层交换机配置interfaceVlan1ipaddress10.10.10.1255.255.255.0!!linecon0!linevty04exec-timeout00passwordciscologgingsynchronousloginlinevty515login!!end69 7.3汇聚层交换机配置L3-1(config-line)#doshrunBuildingconfiguration...Currentconfiguration:1385bytes!version12.2noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnameL3-1!noipdomain-lookup!interfaceFastEthernet0/1switchportaccessvlan10!interfaceFastEthernet0/2switchportaccessvlan10!interfaceFastEthernet0/3switchportaccessvlan10!interfaceFastEthernet0/4switchportaccessvlan50!interfaceFastEthernet0/5switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceFastEthernet0/6switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceFastEthernet0/7switchportaccessvlan6069 !interfaceVlan1ipaddress10.10.10.6255.255.255.0!ipclasslesslinecon0linevty04exec-timeout00passwordciscologgingsynchronouslogin!end7.3核心层设备配置1、核心交换机配置：core1(config-line)#doshrunBuildingconfiguration...Currentconfiguration:3366bytes!version12.2noservicetimestampslogdatetimemsecnoservicetimestampsdebugdatetimemsecnoservicepassword-encryption!hostnamecore1!ipdhcppoolto-vlan10network192.168.10.0255.255.255.0default-router192.168.10.254dns-server8.8.8.8ipdhcppoolto-vlan20network192.168.20.0255.255.255.0default-router192.168.20.254dns-server8.8.8.8ipdhcppoolto-vlan30network192.168.30.0255.255.255.0default-router192.168.30.25469 dns-server8.8.8.8ipdhcppoolto-vlan40network192.168.40.0255.255.255.0default-router192.168.40.254dns-server8.8.8.8ipdhcppoolto-vlan50network192.168.50.0255.255.255.0default-router192.168.50.254dns-server8.8.8.8ipdhcppoolto-vlan60network192.168.60.0255.255.255.0default-router192.168.60.254dns-server8.8.8.8interfaceFastEthernet0/1channel-group5modeactiveswitchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceFastEthernet0/2switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceFastEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceFastEthernet0/4channel-group10modeactiveswitchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceFastEthernet0/5channel-group10modeactiveswitchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceFastEthernet0/6switchportaccessvlan7069 !interfaceFastEthernet0/7switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceFastEthernet0/8channel-group5modeactiveswitchporttrunkencapsulationdot1qswitchportmodetrunkinterfacePort-channel5switchporttrunkencapsulationdot1qswitchportmodetrunk!interfacePort-channel10switchporttrunkencapsulationdot1qswitchportmodetrunk!interfaceVlan1ipaddress10.10.10.7255.255.255.0!interfaceVlan10ipaddress192.168.10.254255.255.255.0!interfaceVlan20ipaddress192.168.20.254255.255.255.0!interfaceVlan30ipaddress192.168.30.254255.255.255.0!interfaceVlan40ipaddress192.168.40.254255.255.255.0!interfaceVlan50ipaddress192.168.50.254255.255.255.0!interfaceVlan60ipaddress192.168.60.254255.255.255.0!69 interfaceVlan70ipaddress192.168.7.1255.255.255.0!interfaceVlan99ipaddress192.168.99.254255.255.255.0!routerospf110router-id1.1.1.1log-adjacency-changesnetwork192.168.10.00.0.0.255area0network192.168.20.00.0.0.255area0network192.168.30.00.0.0.255area0network192.168.40.00.0.0.255area0network192.168.50.00.0.0.255area0network192.168.60.00.0.0.255area0network192.168.7.00.0.0.255area0network192.168.99.00.0.0.255area0!ipclassless!linecon0linevty04exec-timeout04passwordciscologgingsynchronouslogin2、路由器1配置：noipdomain-lookup!interfaceFastEthernet0/0ipaddress192.168.7.2255.255.255.0duplexautospeedauto!interfaceFastEthernet0/1ipaddress192.168.8.2255.255.255.0duplexauto69 speedautointerfaceFastEthernet1/0ipaddress10.1.1.1255.255.255.0duplexautospeedauto!interfaceFastEthernet1/1noipaddressduplexautospeedautoshutdown!routerospf110router-id3.3.3.3log-adjacency-changesnetwork192.168.7.00.0.0.255area0network192.168.8.00.0.0.255area0network10.1.1.00.0.0.255area0!ipclasslessnocdprun!linecon0linevty04login!End3、路由器2配置：interfaceFastEthernet0/0ipaddress10.1.1.2255.255.255.0ipnatinsideduplexautospeedauto!interfaceFastEthernet0/1ipaddress219.222.224.1255.255.255.0ipnatoutside69 duplexautospeedauto!interfaceVlan1noipaddressshutdown!routerospf110router-id4.4.4.4log-adjacency-changesnetwork10.1.1.00.0.0.255area0network219.222.224.00.0.0.255area0!ipnatpoolto-internet219.222.223.2219.222.223.10netmask255.255.255.0ipnatinsidesourcelist10poolto-internetoverloadipclassless!access-list10permit192.168.0.00.0.255.255!nocdprun!linecon0linevty04login!endR1#7.4模拟测试1、终端自动获取地址69 2、终端访问Web服务器和FTP服务器69 69 3、终端访问Internet4、终端访问图书馆网络69 5、NAT地址转换第8章课程总结69 本次专业综合实践是对我们两年来学习的专业知识的一次总结和巩固，本次综合实践我们选取较有代表性并且环境比较熟悉的职业院校为设计对象，对广州城市职业学院南校区的校园网做了详细的规划和设计。在设计过程中，我们一切力求实用和成本最低化，从需求分析到详细设计，最后到设备采购、模拟器仿真配置一系列过程，项目组成员之间相互配合、协调，共同完成计划任务。在实地考察过程中，我们还数次亲临广州城市职业学院查看走线，并努力做好笔记，积累了许多实用数据和材料。整个设计过程中也遇到了不少的问题，也曾经发生过不少因意见不一的争执，但最后都经过交流沟通达成了一致，项目得以顺利进行。这次的网络设计我们采用了一些新工具，比如采用亿图画图软件替代传统的viso软件，亿图软件提供了更为丰富的工具和画图模板，甚至可以作为商业制图。通过这次的专业综合实践，我们深刻认识到了实际设计与理论知识之间的差距，深刻认识到理论知识需要与实践结合起来，同时这次的专业综合实践也极大提高了我们的工程设计素养，巩固了我们的理论知识，增强了我们的专业综合实践能力，为日后的工作打下了坚实基础。69'