PAGEPAGE4第1章緒論2010年7月15日，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在京發(fā)布了《第26次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》（以下簡(jiǎn)稱(chēng)《報(bào)告》）?！秷?bào)告》顯示，截至2010年6月底，我國(guó)網(wǎng)民規(guī)模達(dá)4.2億人，互聯(lián)網(wǎng)普及率持續(xù)上升增至31.8%。手機(jī)網(wǎng)民成為拉動(dòng)中國(guó)總體網(wǎng)民規(guī)模攀升的主要?jiǎng)恿Γ肽陜?nèi)新增4334萬(wàn)，達(dá)到2.77億人，增幅為18.6%。值得關(guān)注的是，互聯(lián)網(wǎng)商務(wù)化程度迅速提高，全國(guó)網(wǎng)絡(luò)購(gòu)物用戶(hù)達(dá)到1.4億，網(wǎng)上支付、網(wǎng)絡(luò)購(gòu)物和網(wǎng)上銀行半年用戶(hù)增長(zhǎng)率均在30%左右，遠(yuǎn)遠(yuǎn)超過(guò)其他類(lèi)網(wǎng)絡(luò)應(yīng)用。CNNIC《報(bào)告》顯示，2010年上半年，網(wǎng)絡(luò)視頻用戶(hù)規(guī)模達(dá)到2.65億，使用率從2009年末的62.6%上升到63.2%。雖然增幅不大，但卻結(jié)束了去年用戶(hù)下滑的局面，使用率開(kāi)始緩慢上升。2010年上半年，網(wǎng)絡(luò)視頻新增用戶(hù)2500萬(wàn)，增幅達(dá)10.4%。報(bào)告認(rèn)為，隨著國(guó)家三網(wǎng)融合政策的部署和實(shí)施，中國(guó)網(wǎng)絡(luò)視頻也將迎來(lái)新的發(fā)展機(jī)遇：視頻傳輸速率的提高，接入渠道的增多，將使網(wǎng)絡(luò)視頻獲得更廣泛的用戶(hù)支持，成為大眾視頻消費(fèi)的重要方式，快速提升了網(wǎng)絡(luò)視頻的媒體價(jià)值和商業(yè)價(jià)值。同樣是網(wǎng)絡(luò)娛樂(lè)類(lèi)應(yīng)用，截至2010年6月，網(wǎng)絡(luò)文學(xué)使用率為44.8%，用戶(hù)規(guī)模達(dá)1.88億，較2009年底增長(zhǎng)15.7%，是互聯(lián)網(wǎng)娛樂(lè)類(lèi)應(yīng)用中，用戶(hù)規(guī)模增幅最大的一項(xiàng)。隨著3G時(shí)代手機(jī)網(wǎng)民的增長(zhǎng)，以及用戶(hù)對(duì)無(wú)線(xiàn)內(nèi)容的龐大需求，拉動(dòng)了手機(jī)網(wǎng)絡(luò)文學(xué)的使用率，對(duì)網(wǎng)絡(luò)文學(xué)用戶(hù)規(guī)模增長(zhǎng)起到推動(dòng)作用。報(bào)告中主要數(shù)據(jù)說(shuō)明，前十年的發(fā)展取得豐碩成果，我國(guó)互聯(lián)網(wǎng)事業(yè)正在持續(xù)快速的發(fā)展，并在普及應(yīng)用上進(jìn)入嶄新的多元化應(yīng)用階段！互聯(lián)網(wǎng)的影響正逐步滲透到人們生產(chǎn)、生活、工作、學(xué)習(xí)的各個(gè)角落。同時(shí)，隨著國(guó)家信息化工作的深入開(kāi)展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點(diǎn)。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤其是高校校園網(wǎng)建設(shè)。在信息化的建設(shè)過(guò)程中，它的作用體現(xiàn)在如下幾個(gè)方面：1、校園網(wǎng)能促進(jìn)教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平；信息技術(shù)學(xué)科的內(nèi)容是發(fā)展的，它是一門(mén)應(yīng)用型學(xué)科，因此，為了讓學(xué)生學(xué)到實(shí)用的知識(shí)，必須給他們提供一個(gè)實(shí)踐的環(huán)境，這個(gè)環(huán)境離不開(kāi)校園網(wǎng)。2、校園網(wǎng)為教師提供了一種先進(jìn)的輔助教學(xué)工具、提供了豐富的資源庫(kù)，所以校園網(wǎng)是學(xué)校進(jìn)行教學(xué)改革、推行素質(zhì)教育的一種必不可少的工具。3、校園網(wǎng)是學(xué)校現(xiàn)代化管理的基礎(chǔ)，深入、全面的學(xué)校信息管理系統(tǒng)必須建立在校園網(wǎng)上。4、校園網(wǎng)提供了學(xué)校與外界交流的窗口，學(xué)校應(yīng)將校園網(wǎng)與互聯(lián)網(wǎng)聯(lián)接，這也是學(xué)校信息化的要求，做到了這一步，通過(guò)校園網(wǎng)去了解世界、在互聯(lián)網(wǎng)上樹(shù)立學(xué)校的形象都是很容易的。教育即未來(lái)，作為國(guó)家最重要的戰(zhàn)略工程，如何應(yīng)用信息技術(shù)改造我們傳統(tǒng)的教學(xué)和管理手段；如何加深學(xué)生對(duì)于信息化和信息技術(shù)的理解與了解；如何造就同時(shí)具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當(dāng)前最為緊迫的任務(wù)之一。信息技術(shù)的應(yīng)用，勢(shì)必極大地推進(jìn)教育手段和教育內(nèi)容的革命性變革。我們對(duì)此深信不疑，并將全身心地為之努力。第2章校園網(wǎng)設(shè)計(jì)策略2.1網(wǎng)絡(luò)設(shè)計(jì)原則關(guān)于校園網(wǎng)的建設(shè)，我們需要考慮到以下一些因素：系統(tǒng)的先進(jìn)程度、系統(tǒng)的穩(wěn)定性、可擴(kuò)展性、網(wǎng)絡(luò)系統(tǒng)的維護(hù)成本、應(yīng)用系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)的配合度、與外界互聯(lián)網(wǎng)絡(luò)的連通、建設(shè)成本的可接受程度。為此，我們有以下建議：校園網(wǎng)絡(luò)的用戶(hù)數(shù)量，聯(lián)網(wǎng)的計(jì)算機(jī)或服務(wù)器的數(shù)量也是逐步增加的，網(wǎng)絡(luò)技術(shù)也是日新月異，新產(chǎn)品新技術(shù)不斷涌現(xiàn)。校園網(wǎng)絡(luò)建立在資金相對(duì)緊張的前提下，建議盡量采用當(dāng)今最新的網(wǎng)絡(luò)技術(shù)，并且要分步實(shí)施，校園網(wǎng)絡(luò)的建立應(yīng)該是一個(gè)循序漸進(jìn)的過(guò)程。這就要求要選擇具有良好擴(kuò)充性能的網(wǎng)絡(luò)互聯(lián)設(shè)備。這樣才能充分保護(hù)現(xiàn)有的投資。校園網(wǎng)絡(luò)應(yīng)用的具體要求決定了采取高帶寬網(wǎng)絡(luò)的必然性。由于多媒體教學(xué)課件包含了大量的聲音，圖像，動(dòng)畫(huà)信息，因此該校園網(wǎng)絡(luò)應(yīng)盡可能地采用最新的高帶寬網(wǎng)絡(luò)技術(shù)。對(duì)于臺(tái)式計(jì)算機(jī)建議采用10/100M自適應(yīng)的網(wǎng)卡，對(duì)于校園網(wǎng)絡(luò)的主服務(wù)器，比如數(shù)據(jù)庫(kù)服務(wù)器，文件服務(wù)器以及Web服務(wù)器等，也采用100M的網(wǎng)絡(luò)聯(lián)接，以為網(wǎng)絡(luò)的核心服務(wù)器提供更高的網(wǎng)絡(luò)帶寬。聯(lián)網(wǎng)的核心目的是共享計(jì)算機(jī)資源。通過(guò)網(wǎng)絡(luò)不僅僅可以實(shí)現(xiàn)文件共享、數(shù)據(jù)共享，還可通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)一些網(wǎng)絡(luò)外圍設(shè)備的共享，比如打印機(jī)共享、Internet訪(fǎng)問(wèn)共享、存儲(chǔ)設(shè)備共享等等。比如對(duì)于一個(gè)多媒體教室的網(wǎng)絡(luò)應(yīng)用，完全可以通過(guò)有關(guān)設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)打印資源共享、Internet訪(fǎng)問(wèn)和電子郵件共享以及網(wǎng)絡(luò)存儲(chǔ)資源共享。2.2網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)根據(jù)我校目前的條件和以后發(fā)展趨勢(shì)，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，建成技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇，以千兆網(wǎng)為主干、百兆交換到桌面的校園主干局域網(wǎng)，將學(xué)校的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來(lái)，并且用DDN專(zhuān)線(xiàn)與Internet相連。為建設(shè)一個(gè)高起點(diǎn)、高標(biāo)準(zhǔn)、高性能的校園網(wǎng)，應(yīng)遵循：1)標(biāo)準(zhǔn)化、規(guī)范化。采用開(kāi)放的標(biāo)準(zhǔn)網(wǎng)絡(luò)通信協(xié)議，選擇符合工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備，以利于其它網(wǎng)絡(luò)之間的平滑連接及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。2)先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。3)安全性、可靠性。采用先進(jìn)可靠的網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用軟件及網(wǎng)關(guān)設(shè)備，制定統(tǒng)一的網(wǎng)絡(luò)安全策略。4)可管理性和可維護(hù)性。對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口的管理和流量統(tǒng)計(jì)分析等5)擴(kuò)充性。根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑擴(kuò)充和升極，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整，為網(wǎng)絡(luò)擴(kuò)充留有余地。6)性?xún)r(jià)比合理。由于我校資金有限，在選擇網(wǎng)絡(luò)設(shè)備時(shí)，性能價(jià)格比也是考慮的主要因素之一。PAGEPAGE28第3章需求分析3.1工程概況校園網(wǎng)是各種類(lèi)型網(wǎng)絡(luò)中的一大分支，有著非常廣泛的應(yīng)用。隨著信息技術(shù)的飛速發(fā)展，校園網(wǎng)的建設(shè)已經(jīng)逐漸提到議事日程上來(lái)。對(duì)比國(guó)外校園網(wǎng)的建設(shè)和使用情況，我國(guó)目前的大多數(shù)校園網(wǎng)的結(jié)構(gòu)、規(guī)模和應(yīng)用都不是很完整，網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備的功能沒(méi)有得到充分地挖掘和發(fā)揮。建設(shè)校園網(wǎng)對(duì)每個(gè)學(xué)校來(lái)說(shuō)都不是一件容易的事情，都要經(jīng)過(guò)周密的論證、謹(jǐn)慎的決策和緊張的施工。作為校園網(wǎng)，需要連接多少個(gè)節(jié)點(diǎn)，怎樣利用網(wǎng)絡(luò)設(shè)備使得分布在不同地理位置的節(jié)點(diǎn)連接到一個(gè)統(tǒng)一的網(wǎng)絡(luò)中來(lái)，怎樣使得整個(gè)網(wǎng)絡(luò)中的節(jié)點(diǎn)相互連通，這些問(wèn)題僅僅是校園網(wǎng)需要解決問(wèn)題中的一部分。河南工院是以培養(yǎng)高級(jí)技術(shù)人才為主的軍工類(lèi)院校，學(xué)?，F(xiàn)在設(shè)有15個(gè)教學(xué)系部及繼續(xù)教育學(xué)院、軟件職業(yè)技術(shù)學(xué)院，開(kāi)設(shè)40個(gè)高職專(zhuān)業(yè)，其中4個(gè)軍工專(zhuān)業(yè)、4個(gè)省級(jí)特色專(zhuān)業(yè)、3個(gè)省級(jí)教改專(zhuān)業(yè)。為加快該新校區(qū)的網(wǎng)絡(luò)信息化建設(shè)，滿(mǎn)足該校信息化需求，新校區(qū)網(wǎng)絡(luò)主要實(shí)現(xiàn)新區(qū)網(wǎng)絡(luò)中心到辦公區(qū)、教學(xué)區(qū)、學(xué)生生活區(qū)以及教師生活區(qū)、實(shí)驗(yàn)場(chǎng)館等地光纖高速接入校園網(wǎng)，實(shí)現(xiàn)了千兆到樓、百兆到桌面、連接校內(nèi)所有建筑物的快速校園網(wǎng)絡(luò)。3.2應(yīng)用需求表3-2序號(hào)應(yīng)用需求數(shù)量需求描述1網(wǎng)站服務(wù)1用于運(yùn)行校園Web網(wǎng)站2DNSServer13DHCPServer14WINSServer1放在主基礎(chǔ)結(jié)構(gòu)服務(wù)器上實(shí)現(xiàn)冗余能力5ISAServer1軟件防火墻及應(yīng)用軟件篩選6MailServer1提供學(xué)院內(nèi)部電子郵件服務(wù)7FTPServer18ExchangeServer1電子郵件、日程表、任務(wù)管理、公共文件9ActiveDirectory1組策略：為管理員提供一種配置和管理用戶(hù)及計(jì)算機(jī)設(shè)置的方法。10ExtranetWeb1文檔共享、聯(lián)機(jī)討論和調(diào)查等。IntranetWeb承載各種功能的Web站點(diǎn)，如：通告、活動(dòng)、幫助臺(tái)、休假日歷、聯(lián)系人列表等11StorageServer1用于存放或備份管理文件12VPN1使遠(yuǎn)程用戶(hù)安全的聯(lián)接到學(xué)院LAN13SUS1服務(wù)器和客戶(hù)端都安裝最新補(bǔ)丁14教學(xué)管理系統(tǒng)1用于管理學(xué)籍、排課、成績(jī)、檔案等15一卡通系統(tǒng)1用于管理學(xué)生水電、消費(fèi)、上網(wǎng)等費(fèi)用16后臺(tái)數(shù)據(jù)庫(kù)1根據(jù)運(yùn)行的系統(tǒng)對(duì)后臺(tái)的需求制定17防毒服務(wù)器1制定病毒碼升級(jí)方案及殺毒策略實(shí)行統(tǒng)一管理18網(wǎng)絡(luò)殺毒軟件1套包含服務(wù)器端和客戶(hù)端19備份和恢復(fù)1提高數(shù)據(jù)安全性20基礎(chǔ)服務(wù)冗余1DNS、WINS、DHCP、AD3.3設(shè)備需求表3-4序號(hào)設(shè)備名稱(chēng)數(shù)量設(shè)備描述1路由器1AR18-63-1千兆以太網(wǎng)路由器2防火墻1華為3ComEudemon1000，并發(fā)連接數(shù)：8000003機(jī)柜2800*950高2米4UPS1功率：20~40KW后備時(shí)間：2~4小時(shí)5KVM116口控制器6主基礎(chǔ)結(jié)構(gòu)服務(wù)器1DNS、DHCP、WINS、AD、防病毒、補(bǔ)丁管理服務(wù)、證書(shū)服務(wù)7輔助基礎(chǔ)結(jié)構(gòu)服務(wù)器1DNS、DHCP、WINS、AD服務(wù)冗余服務(wù)8防火墻、VPN1防火墻和代理、VPN、入侵檢測(cè)、Web緩存9StorageServer1文件存儲(chǔ)服務(wù)、備份和還原服務(wù)10Web服務(wù)器1學(xué)院網(wǎng)站11教學(xué)管理服務(wù)器2教學(xué)管理系統(tǒng)12財(cái)務(wù)專(zhuān)用2MS-SQL軟件1網(wǎng)絡(luò)管理軟件1H3CQuidview-網(wǎng)絡(luò)管理框架NMF(含50節(jié)點(diǎn))-forWindows-純軟件(CD)中文版，已包含設(shè)備管理系統(tǒng)。2殺毒軟件1可集中管理3.4網(wǎng)絡(luò)層次介紹根據(jù)網(wǎng)絡(luò)需求分析網(wǎng)絡(luò)應(yīng)包括核心層、匯聚層和接入層三個(gè)層次，其中核心層由大容量以太網(wǎng)交換機(jī)組成，匯聚層由三層交換設(shè)備組成，接入層由二層交換設(shè)備組成。3.4.1接入層接入層在整個(gè)校園網(wǎng)絡(luò)的邊緣，廣大師生通過(guò)接入設(shè)備接入校園網(wǎng)絡(luò)。根據(jù)目前的業(yè)務(wù)需求，安全和高效是必需的要求，需要交換機(jī)支持訪(fǎng)問(wèn)控制、傳輸質(zhì)量控制、數(shù)據(jù)過(guò)濾、網(wǎng)絡(luò)病毒防護(hù)等功能，即作為接入網(wǎng)絡(luò)的入口設(shè)備，智能識(shí)別是一項(xiàng)十分重要的功能。智能識(shí)別包括用戶(hù)識(shí)別和數(shù)據(jù)業(yè)務(wù)類(lèi)型識(shí)別。用戶(hù)識(shí)別是為了保證網(wǎng)絡(luò)的安全。業(yè)務(wù)類(lèi)型識(shí)別是保證業(yè)務(wù)數(shù)據(jù)的分類(lèi)，幫助網(wǎng)絡(luò)對(duì)業(yè)務(wù)數(shù)據(jù)的服務(wù)質(zhì)量。3.4.2匯聚層匯聚設(shè)備擔(dān)負(fù)著網(wǎng)絡(luò)接入和連接核心設(shè)備的重任，網(wǎng)絡(luò)匯聚層有著承上啟下的重要任務(wù)。匯聚設(shè)備不但要完成接入層的鏈路匯聚和流量匯聚還要完成本地?cái)?shù)據(jù)的交換以及接入和核心之間的數(shù)據(jù)轉(zhuǎn)發(fā)。作為核心層的入口和接入層的出口，匯聚層的身份如同關(guān)卡。為保證整個(gè)網(wǎng)絡(luò)良好運(yùn)行在匯聚層同樣需要高性能、關(guān)鍵部件冗余等特性。3.4.3核心層核心設(shè)備擔(dān)負(fù)著連接匯聚設(shè)備和部分接入的工作，是整個(gè)網(wǎng)絡(luò)的核心，同時(shí)通過(guò)核心設(shè)備與教育城域網(wǎng)、Internet進(jìn)行互聯(lián)。由于核心層設(shè)備擔(dān)負(fù)著整個(gè)網(wǎng)絡(luò)的流量。核心設(shè)備和鏈路的穩(wěn)定性將直接影響整個(gè)網(wǎng)絡(luò)的可靠運(yùn)行。由于核心設(shè)備在網(wǎng)絡(luò)中核心的位置需要高性能，所有的功能部件(電源、系統(tǒng)總線(xiàn)、處理器模塊、網(wǎng)絡(luò)接口模塊等)均可以熱插拔和冗余熱備份等特性。完成網(wǎng)絡(luò)核心層高速數(shù)據(jù)交換、轉(zhuǎn)發(fā)以及穩(wěn)定性的要求。核心網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種業(yè)務(wù)的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開(kāi)展的瓶頸。3.5網(wǎng)絡(luò)穩(wěn)定可靠性在校園網(wǎng)絡(luò)建設(shè)中存在多用戶(hù)、多服務(wù)的現(xiàn)狀。帶來(lái)了對(duì)網(wǎng)絡(luò)系統(tǒng)要求具有高效率等，以保證大數(shù)據(jù)量訪(fǎng)問(wèn)下有效的處理能力。針對(duì)需求設(shè)備要能對(duì)數(shù)據(jù)做到分布式處理，這樣的分布式處理可以節(jié)省主交換引擎的消耗。使數(shù)據(jù)在獨(dú)立的板卡上就能做出對(duì)數(shù)據(jù)的識(shí)別，這樣比在中央處理器識(shí)別要快的多。并在大量的數(shù)據(jù)應(yīng)用、數(shù)據(jù)傳輸過(guò)程中，要保證所有硬件設(shè)備都可以進(jìn)行快速的轉(zhuǎn)發(fā)，要具備高背板帶寬（交換容量），所有端口都能保證線(xiàn)速轉(zhuǎn)發(fā)。這種分布式處理可以極大地提高整體處理能力，保證了網(wǎng)絡(luò)暢通?，F(xiàn)在的網(wǎng)絡(luò)環(huán)境中穩(wěn)定可靠是爭(zhēng)相談?wù)摰脑?huà)題，因現(xiàn)在在網(wǎng)絡(luò)中運(yùn)行了眾多重要應(yīng)用及服務(wù)，是要保證7*24小時(shí)不間斷的服務(wù)。就要完全能保證網(wǎng)絡(luò)設(shè)備全天后的可用性。即使在設(shè)備出現(xiàn)問(wèn)題時(shí)切換到備用設(shè)備的過(guò)程中，也要保證較小的延遲，以滿(mǎn)足網(wǎng)絡(luò)應(yīng)用中的有效暢通的需要。在這樣的需求中利用，冗余的管理交換引擎、冗余的電源等關(guān)鍵部件的冗余，支持（802.1D、802.1W）802.1S多Vlan生成樹(shù)協(xié)議保證鏈路級(jí)的冗余和負(fù)載均衡，支持VRRP、OSPF等三層路由協(xié)議保證路由級(jí)的冗余，支持loadbalancing技術(shù)實(shí)現(xiàn)了應(yīng)用級(jí)的冗余備份和負(fù)載均衡。全方位的完全保證了設(shè)備、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的可靠性。3.6網(wǎng)絡(luò)安全3.6.1外部入侵這里是通常所說(shuō)的黑客威脅。從前面幾年時(shí)間的網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)和滲透測(cè)試結(jié)果來(lái)看，當(dāng)前大多數(shù)的網(wǎng)絡(luò)設(shè)備和服務(wù)都存在著被入侵的痕跡，甚至各種后門(mén)。這些是對(duì)網(wǎng)絡(luò)自主運(yùn)行的控制權(quán)的巨大威脅，使得客戶(hù)在重要和關(guān)鍵應(yīng)用場(chǎng)合沒(méi)有信心，損失業(yè)務(wù)，甚至造成災(zāi)難性后果。3.6.2病毒病毒時(shí)時(shí)刻刻威脅著整個(gè)互聯(lián)網(wǎng)。前段時(shí)間美國(guó)國(guó)防部遭受的大規(guī)模病毒爆發(fā)都使得整個(gè)網(wǎng)絡(luò)癱瘓了數(shù)個(gè)小時(shí)，而MSBlaster及Nimda和CodeRed的爆發(fā)更是具有深遠(yuǎn)的影響，促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對(duì)于各種病毒的檢測(cè)防治。對(duì)病毒的徹底防御重要性毋庸置疑。針對(duì)上面這些問(wèn)題，通過(guò)將用戶(hù)強(qiáng)制安全、統(tǒng)一策略管理、動(dòng)態(tài)帶寬分配、嵌入式安全機(jī)制集成到一個(gè)網(wǎng)絡(luò)安全解決方案中，達(dá)到對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御，網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)，同時(shí)針對(duì)網(wǎng)絡(luò)環(huán)境的變換進(jìn)行網(wǎng)絡(luò)環(huán)境自動(dòng)學(xué)習(xí)，從而達(dá)到對(duì)未知網(wǎng)絡(luò)安全事件、以及DDos等攻擊手段的防范。3.6.1拒絕服務(wù)攻擊值得注意的是，當(dāng)前網(wǎng)絡(luò)受到的拒絕服務(wù)攻擊的威脅正在變得越來(lái)越緊迫。對(duì)拒絕服務(wù)攻擊的解決方案也越來(lái)越受到大家的關(guān)注。對(duì)大規(guī)模拒絕服務(wù)攻擊能夠阻止、減輕、躲避的能力是標(biāo)志著一個(gè)學(xué)校網(wǎng)絡(luò)能否向用戶(hù)承諾更為健壯、具有更高可用性的服務(wù)，也是一個(gè)學(xué)校的網(wǎng)絡(luò)安全水平進(jìn)入一個(gè)新境界的重要標(biāo)志。第4章校園網(wǎng)設(shè)計(jì)方案4.1基本網(wǎng)絡(luò)拓?fù)?.1.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)方案設(shè)計(jì)以千兆以太網(wǎng)技術(shù)為基礎(chǔ)，萬(wàn)兆以太網(wǎng)為目標(biāo)，采用主干萬(wàn)兆，支干千兆，百兆交換桌面的三層設(shè)計(jì)思路，分為核心層、匯聚層、接入層．核心層設(shè)計(jì)2臺(tái)高性能萬(wàn)兆核心路由交換機(jī)，和分中心的萬(wàn)兆高性能交換機(jī)組成全冗余的萬(wàn)兆雙鏈路，保證了校園網(wǎng)的高速數(shù)據(jù)路由交換，并且具有很好的可擴(kuò)展性。圖4-1拓?fù)鋱D4.1.2網(wǎng)絡(luò)整體設(shè)計(jì)1）核心層設(shè)計(jì)網(wǎng)絡(luò)中心節(jié)點(diǎn)作為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線(xiàn)速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時(shí)，對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個(gè)網(wǎng)絡(luò)的交換中心，在保證高性能、無(wú)阻塞交換的同時(shí)，還必須保證穩(wěn)定可靠的運(yùn)行。因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。具體來(lái)說(shuō)核心節(jié)點(diǎn)的交換機(jī)有兩個(gè)基本要求：1）高密度端口情況下，還能保持各端口的線(xiàn)速轉(zhuǎn)發(fā)；2）關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇。由于校園網(wǎng)建設(shè)最終必將采用萬(wàn)兆技術(shù)，因此需要考慮到核心設(shè)備對(duì)萬(wàn)兆的支持能力。綜上所述，主干核心交換機(jī)屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機(jī)采用多業(yè)務(wù)萬(wàn)兆交換機(jī)?？梢愿鶕?jù)用戶(hù)的需求靈活配置，靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。多業(yè)務(wù)萬(wàn)兆交換機(jī)高背板帶寬和二/三層包轉(zhuǎn)發(fā)速率可為用戶(hù)提供高速無(wú)阻塞的交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可為用戶(hù)提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機(jī)的理想選擇。2）匯聚層設(shè)計(jì)根據(jù)河南工院的實(shí)際情況，我們把匯聚層設(shè)備分成了兩種：區(qū)域型匯聚和小型匯聚。區(qū)域型匯聚負(fù)責(zé)各個(gè)大型區(qū)域的數(shù)據(jù)鏈路匯聚，小型匯聚負(fù)責(zé)各個(gè)樓層設(shè)備的上連匯聚工作。從整體而言匯聚層是校區(qū)的數(shù)據(jù)匯聚平臺(tái)，為全網(wǎng)提供了快速交換支持，是各區(qū)域數(shù)據(jù)、媒體流會(huì)聚主節(jié)點(diǎn)。匯聚路由交換機(jī)需要具備高可靠性、高性能、高端口密度、高安全性、可管理性等要求，并具有網(wǎng)絡(luò)可擴(kuò)容升級(jí)能力和多種業(yè)務(wù)支持能力。在完成高速交換的基礎(chǔ)上，能夠提供穩(wěn)定可靠的網(wǎng)絡(luò)基礎(chǔ)服務(wù)功能并能夠支持下層的基礎(chǔ)功能、分布服務(wù)以及QoS保證。3）接入層設(shè)計(jì)接入層網(wǎng)絡(luò)是純二層交換網(wǎng)絡(luò)，提供用戶(hù)的網(wǎng)絡(luò)接入。由于接入層設(shè)備需要部署在樓層，因此要求這些設(shè)備容易管理并且投資成本少。樓層交換機(jī)組均通過(guò)雙千兆光纖上聯(lián)到核心層的中心主交換機(jī)，同時(shí)所有接入層交換機(jī)組以百兆雙絞線(xiàn)交換到桌面，保證了巨大的帶寬應(yīng)用。學(xué)院采用了支持SNMP、RNOM和RMONⅡ網(wǎng)管協(xié)議，基于WEB網(wǎng)絡(luò)管理功能的網(wǎng)管型交換機(jī)，支持冗余鏈路，能實(shí)現(xiàn)接入控制，對(duì)廣播風(fēng)暴起到限制作用，且交換機(jī)易于管理。校區(qū)部署管理平臺(tái)和認(rèn)證計(jì)費(fèi)平臺(tái)，從而完成全網(wǎng)的用戶(hù)管理、設(shè)備管理和日志管理等．上述高速網(wǎng)絡(luò)配置的部分功能特性，為新校區(qū)高帶寬應(yīng)用(如視頻流和IP組播)提供了高可用性和高性能的理想解決方案．4.2網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)整個(gè)新校區(qū)網(wǎng)絡(luò)分成校園辦公網(wǎng)和宿舍網(wǎng)兩個(gè)部分，宿舍網(wǎng)有自己獨(dú)立的出口，另外還接入校園網(wǎng)，以便訪(fǎng)問(wèn)校內(nèi)資源和接受學(xué)校的監(jiān)督管理。校園網(wǎng)骨干網(wǎng)絡(luò)采用雙核心拓?fù)浣Y(jié)構(gòu)，下屬匯聚節(jié)點(diǎn)以以千兆雙鏈路接入校園網(wǎng)核心設(shè)備。各接入點(diǎn)的用戶(hù)根據(jù)情況分別以百兆速率接入校區(qū)網(wǎng)絡(luò)。圖4-2網(wǎng)絡(luò)架構(gòu)在該方案中，網(wǎng)絡(luò)整體架構(gòu)分為：網(wǎng)絡(luò)核心設(shè)備（校園網(wǎng)雙核心）、區(qū)域匯聚設(shè)備（宿舍樓等）、直接接入設(shè)備（圖文中心，實(shí)訓(xùn)中心、教學(xué)區(qū)等）。網(wǎng)絡(luò)中心節(jié)點(diǎn)采用二臺(tái)RG-S8606多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)作為核心交換機(jī)，雙機(jī)熱備，核心通過(guò)多條千兆鏈路和下連的區(qū)域匯聚設(shè)備RG－S3760、STAR-S2128G等交換機(jī)進(jìn)行連接，接入層設(shè)備通過(guò)千兆鏈路和匯聚或者核心連接，實(shí)現(xiàn)千兆上聯(lián)百兆接入。RG-S8600是銳捷網(wǎng)絡(luò)推出的面向十萬(wàn)兆平臺(tái)設(shè)計(jì)的下一代高密度多業(yè)務(wù)IPV6核心路由交換機(jī)，滿(mǎn)足未來(lái)以太網(wǎng)絡(luò)的應(yīng)用需求，支持下一代的以太網(wǎng)100G速率接口，RG-S8600系列高密度多業(yè)務(wù)IPV6核心路由交換機(jī)提供3.2T/1.6T背板帶寬，并支持將來(lái)更高帶寬的擴(kuò)展能力，高達(dá)1190Mpps/595Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶(hù)提供高密度端口的高速無(wú)阻塞數(shù)據(jù)交換。RG-S8600系列高密度多業(yè)務(wù)IPV6核心路由交換機(jī)提供全面的安全防護(hù)體系，提供分布式的業(yè)務(wù)融合平臺(tái)，滿(mǎn)足未來(lái)網(wǎng)絡(luò)對(duì)安全和業(yè)務(wù)的更高需求。出口采用1臺(tái)高性能的RG－WALL1600A防火墻，提高出口處理能力的同時(shí)保證出口的穩(wěn)定。防火墻在提供內(nèi)網(wǎng)用戶(hù)上網(wǎng)的同時(shí)，保護(hù)內(nèi)部用戶(hù)的安全。在網(wǎng)絡(luò)中使用雙核心，可以提供鏈路級(jí)的冗余和負(fù)載均衡。平時(shí)運(yùn)行的時(shí)候可以相互備份，同時(shí)又可以提供負(fù)載均衡，提高整網(wǎng)的容量。一旦核心發(fā)生單點(diǎn)故障的時(shí)候，事先配置的好的VRRP和802.1S/W可以實(shí)現(xiàn)網(wǎng)絡(luò)的秒級(jí)的透明切換，從而實(shí)現(xiàn)網(wǎng)絡(luò)的高保障性！宿舍區(qū)每個(gè)區(qū)域樓棟都放置一臺(tái)S3760-12SFP/GT，提供12個(gè)千兆可復(fù)用的光電口，光口通過(guò)光纖模塊上聯(lián)到核心，電口直接連接接入交換機(jī)。RG-S3760系列是銳捷網(wǎng)絡(luò)最新推出的業(yè)界第一款硬件全面支持IPv6的機(jī)架式多層交換機(jī)系列產(chǎn)品。該系列產(chǎn)品為IPv4向IPv6網(wǎng)絡(luò)過(guò)渡、現(xiàn)有的IPv4網(wǎng)絡(luò)間通信、以及IPv6網(wǎng)絡(luò)間的通信提供了最直接和最方便靈活的技術(shù)實(shí)現(xiàn)和方案保障。RG-S3760系列交換機(jī)硬件支持IPv4/IPv6雙協(xié)議棧多層線(xiàn)速交換和功能特性，為IPv6網(wǎng)絡(luò)之間的通信提供了豐富的Tunnel技術(shù)，并提供了豐富而完善的路由協(xié)議，以適合大型網(wǎng)絡(luò)多種路由和多業(yè)務(wù)的需要。RG-S3760系列以高性能、高安全、多業(yè)務(wù)、易用性特性為大型網(wǎng)絡(luò)匯聚和中型網(wǎng)絡(luò)核心提供了IPv4/IPv6的多層交換、端到端的服務(wù)質(zhì)量、靈活豐富的安全措施和基于策略的網(wǎng)管，最大化滿(mǎn)足高速、安全、多業(yè)務(wù)的下一代網(wǎng)絡(luò)需求。圖文中心，實(shí)訓(xùn)中心、教學(xué)區(qū)等信息點(diǎn)不是很多的區(qū)域，為了網(wǎng)絡(luò)簡(jiǎn)單易管理，建議直接二層網(wǎng)絡(luò)架構(gòu)，接入層直接雙路千兆上聯(lián)到核心交換機(jī)，主干線(xiàn)路帶寬擴(kuò)展：在未來(lái)升級(jí)考慮中，可將核心與核心之間或者核心與匯聚間千兆線(xiàn)路帶寬升級(jí)至10G帶寬。以提高整個(gè)校園網(wǎng)的骨干速度。為信息交互建設(shè)一個(gè)高速的通道。IPV4－>IPV6升級(jí)：銳捷網(wǎng)絡(luò)S8600系列和S3760系列交換機(jī)都硬件支持IPV6，且都通過(guò)IPV6READY認(rèn)證，在未來(lái)需要支持IPV6時(shí)，可以平滑升級(jí)過(guò)渡到IPV64.3組網(wǎng)結(jié)構(gòu)圖4-3校園網(wǎng)絡(luò)IP地址的規(guī)劃與分配：對(duì)于校園網(wǎng)，IP地址沖突、IP地址盜用等問(wèn)題經(jīng)常出現(xiàn)，隨著用戶(hù)規(guī)模越來(lái)越大，網(wǎng)絡(luò)管理工作越來(lái)越復(fù)雜。網(wǎng)絡(luò)中心采取靜態(tài)IP地址管理辦法，統(tǒng)一分配IP地址，且一律采用先申請(qǐng)、后分配、集中管理的辦法。在用戶(hù)連網(wǎng)的同時(shí)，建立IP地址和MAC地址的信息檔案，自始至終地對(duì)局域網(wǎng)執(zhí)行嚴(yán)格的管理、登記制度、將每個(gè)用戶(hù)的IP地址、MAC地址、上聯(lián)端口和用戶(hù)身份等信息記錄在網(wǎng)絡(luò)管理員的數(shù)據(jù)庫(kù)。虛擬局域網(wǎng)(VLAN)技術(shù)是為了解決局域網(wǎng)中存在的廣播風(fēng)暴，以及網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)展性、靈活性和易管理性方面的問(wèn)題。網(wǎng)絡(luò)中心按照學(xué)院各個(gè)職能部門(mén)多個(gè)VLAN，按照學(xué)生宿舍地理位置的不同劃分不同的VLAN，基于服務(wù)器各種不同的應(yīng)用劃分幾個(gè)不同的VLAN。4.4IP地址規(guī)劃在網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計(jì)至關(guān)重要，好的IP地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。IP地址的合理是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。校區(qū)IP地址的分配應(yīng)該盡可能地利用申請(qǐng)到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。具體地來(lái)說(shuō)IP地址的合理規(guī)劃有如下的意義：1）減少對(duì)各種資源（內(nèi)存、CPU的處理能力以及網(wǎng)絡(luò)帶寬等）的需求——IP地址；的合理規(guī)劃有利于網(wǎng)絡(luò)中路由的匯聚，因而可以使得路由器中的路由表數(shù)目以及鏈路狀態(tài)數(shù)據(jù)庫(kù)等占用的內(nèi)存減少，同時(shí)更新所占用的網(wǎng)絡(luò)帶寬也降低了；2）有利于IP地址空間的合理使用；3）優(yōu)化業(yè)務(wù)流量的分布；4）有利于故障診斷。IP地址空間的分配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將對(duì)校區(qū)網(wǎng)的可用性、可靠性與有效性產(chǎn)生顯著影響，應(yīng)充分考慮本地網(wǎng)對(duì)IP地址的需求，以滿(mǎn)足未來(lái)業(yè)務(wù)發(fā)展對(duì)IP地址的需求。根據(jù)互聯(lián)網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)，結(jié)合學(xué)校網(wǎng)絡(luò)目前真實(shí)IP地址的現(xiàn)實(shí)情況，我們建議IP地址規(guī)劃遵循如下原則來(lái)設(shè)計(jì)：給校區(qū)分配公網(wǎng)IP地址時(shí)盡量將連續(xù)的IP地址段分配到同一校區(qū)，這樣分配有助于管理和路由匯聚。預(yù)留2個(gè)C類(lèi)IP地址用于未來(lái)網(wǎng)絡(luò)擴(kuò)展使用和對(duì)私網(wǎng)地址進(jìn)行地址轉(zhuǎn)換的NATPool地址池。給校區(qū)分配私網(wǎng)IP地址時(shí)，不能出現(xiàn)沖突現(xiàn)象，根據(jù)不同校區(qū)接入點(diǎn)數(shù)的多少，分配連續(xù)的私網(wǎng)IP地址，并給每個(gè)校區(qū)預(yù)留足夠的私網(wǎng)IP地址，保證未來(lái)接入點(diǎn)數(shù)擴(kuò)展需求。服務(wù)器區(qū)采用真實(shí)IP地址，供人員遠(yuǎn)程訪(fǎng)問(wèn)；與internet互聯(lián)設(shè)備IP地址采用真實(shí)IP地址；部分用戶(hù)采用真實(shí)IP地址；部分內(nèi)部互連采用私有IP地址；面向用戶(hù)的私有IP地址，由統(tǒng)一出口的邊緣設(shè)備（路由器、防火墻）進(jìn)行地址翻譯。即出口路由器（防火墻）互聯(lián)采用合法IP地址；公共服務(wù)器如WWW/FTP/DNS/資源服務(wù)器等均采用合法地址；部分接入用戶(hù)采用私有保留IP地址相連。這樣設(shè)計(jì)，既可以充分利用已有的公網(wǎng)IP地址，同時(shí)也解決了IP地址空間不足的，既可以方便的實(shí)現(xiàn)互通互連，而且將地址翻譯（NAT）這種耗費(fèi)設(shè)備資源的工作由網(wǎng)絡(luò)邊緣設(shè)備分擔(dān)，提高網(wǎng)絡(luò)數(shù)據(jù)傳輸整體性能。4.5網(wǎng)絡(luò)VLAN設(shè)計(jì)在校園網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功能，能起到事半功倍的效果，對(duì)整個(gè)網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點(diǎn)：VLAN劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點(diǎn)播等很容易引起廣播信息；劃分之后，VLAN是廣播只在子網(wǎng)中進(jìn)行，不會(huì)做無(wú)意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。VLAN劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會(huì)對(duì)其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪(fǎng)問(wèn)，需要通過(guò)三層交換，這樣信息流就得到相當(dāng)好的控制。網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的IP子網(wǎng)和VLAN，實(shí)現(xiàn)更加安全的對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。建立VLAN和IP子網(wǎng)的對(duì)應(yīng)關(guān)系。提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少站點(diǎn)的移動(dòng)和改變的開(kāi)銷(xiāo)。VLAN間的子網(wǎng)訪(fǎng)問(wèn)，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實(shí)行，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和骨干網(wǎng)絡(luò)建設(shè)的實(shí)際情況，方案建議在骨干網(wǎng)絡(luò)VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：1、方便管理。為了更好的進(jìn)行VLAN規(guī)劃的實(shí)施，因此在網(wǎng)絡(luò)實(shí)施前期，要對(duì)網(wǎng)絡(luò)中不同區(qū)域的VLAN設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在骨干網(wǎng)絡(luò)這樣大型的校園網(wǎng)絡(luò)中如果以用戶(hù)群體來(lái)劃分VLAN的話(huà)，避免由于前期配置設(shè)備時(shí)復(fù)雜煩瑣，而且由于相同的用戶(hù)群體可能在不同的物理位置，導(dǎo)致造成整個(gè)校園網(wǎng)絡(luò)中VLAN劃分復(fù)雜，減輕管理和后期維護(hù)。所以方案建議骨干網(wǎng)絡(luò)劃分VLAN方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少?gòu)V播域，又達(dá)到劃分VLAN，方便管理的效果，對(duì)于后期網(wǎng)絡(luò)維護(hù)和升級(jí)具有十分現(xiàn)實(shí)的意義。2、易于實(shí)施。按群體劃分VLAN在工程實(shí)施中就十分的方便，不會(huì)造成VLAN劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。3、VLAN間路由采用三層交換設(shè)備進(jìn)行VLAN路由。以便不同VLAN間進(jìn)行訪(fǎng)問(wèn)，對(duì)于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪(fǎng)問(wèn)的時(shí)候，建議采用專(zhuān)家級(jí)ACL（可同時(shí)基于VLAN號(hào)、以太網(wǎng)類(lèi)型、MAC地址、IP地址、TCP/UDP端口號(hào)、時(shí)間靈活組合限定的硬件ACL）來(lái)進(jìn)行訪(fǎng)問(wèn)權(quán)限設(shè)定，保障重要資料不被非法訪(fǎng)問(wèn)。4.6以太網(wǎng)交換技術(shù)以太網(wǎng)交換技術(shù)具有許多類(lèi)型，各自宣傳其具有不同的優(yōu)點(diǎn)；通過(guò)簡(jiǎn)單的鼠標(biāo)即可增加、移動(dòng)和改變往來(lái)落的結(jié)構(gòu)；比網(wǎng)橋和路由器更為有效地進(jìn)行網(wǎng)絡(luò)分段；為高性能工作站或服務(wù)器提供高寬帶。網(wǎng)絡(luò)管理者渴望采用這些技術(shù)，但是首先他們想了解各種以太網(wǎng)交換技術(shù)。當(dāng)前有兩種以太網(wǎng)交換技術(shù)：靜態(tài)以太網(wǎng)交換和動(dòng)態(tài)以太網(wǎng)交換。一、靜態(tài)以太網(wǎng)交換靜態(tài)以太網(wǎng)交換是為網(wǎng)絡(luò)管理者通過(guò)軟件來(lái)完成網(wǎng)絡(luò)配置的增加、移動(dòng)及改變而設(shè)計(jì)的。靜態(tài)以太網(wǎng)交換工作與傳統(tǒng)的共享式網(wǎng)絡(luò)環(huán)境。所以稱(chēng)為“靜態(tài)”是由于需要網(wǎng)絡(luò)管理員的人工干預(yù)，既每次網(wǎng)絡(luò)節(jié)點(diǎn)的移動(dòng)和增加，網(wǎng)絡(luò)管理員必須通過(guò)網(wǎng)絡(luò)管理軟件進(jìn)行操作。一旦一次靜態(tài)交換操作完成，用戶(hù)或工作站將被移到一個(gè)新的共享網(wǎng)段，并且一直呆在那里直到另一次新的操作。靜態(tài)交換允許網(wǎng)絡(luò)管理員在一個(gè)ＨＵＢ內(nèi)將用戶(hù)容易地從一個(gè)共享局域網(wǎng)總線(xiàn)移到另外一個(gè)共享局域網(wǎng)總線(xiàn)。，集線(xiàn)器的以太網(wǎng)總線(xiàn)１是由工程部８臺(tái)工作站共享的以太網(wǎng)網(wǎng)段。而以太網(wǎng)總線(xiàn)４是由市場(chǎng)部的工作站所共享）的網(wǎng)段，以上兩個(gè)網(wǎng)段都是傳統(tǒng)的共享局域網(wǎng)。當(dāng)工程部某位工程師調(diào)至市場(chǎng)部，希望將其工作站連至市場(chǎng)部局域網(wǎng)段（以太網(wǎng)總線(xiàn)４）時(shí)，該如何操作？對(duì)靜態(tài)以太網(wǎng)交換，網(wǎng)絡(luò)管理員只需通過(guò)網(wǎng)絡(luò)管理工作站的集線(xiàn)器圖形界面，用鼠標(biāo)將調(diào)離的工程師工作站所對(duì)應(yīng)的端口從總線(xiàn)１拉至總線(xiàn)４即可。這種改變只需幾秒鐘的時(shí)間。而傳統(tǒng)的方法，則需網(wǎng)絡(luò)管理員通過(guò)查線(xiàn)、撥號(hào)、重新布線(xiàn)等一系列的工作才能完成。顯然，在網(wǎng)絡(luò)結(jié)構(gòu)需經(jīng)常改變的場(chǎng)合，靜態(tài)交換以太網(wǎng)極為適宜。靜態(tài)交換不能改變帶寬(性能),用戶(hù)唯一可以提高網(wǎng)絡(luò)性能的方法是將工作站從擁擠的網(wǎng)段移到空閑的網(wǎng)段。只有動(dòng)態(tài)以太網(wǎng)交換才可以增加標(biāo)準(zhǔn)以太網(wǎng)的帶寬(性能)。二、動(dòng)態(tài)以太網(wǎng)交換動(dòng)態(tài)以太網(wǎng)交換最初設(shè)計(jì)思路來(lái)源于電話(huà)網(wǎng),即在一個(gè)系統(tǒng)內(nèi)同時(shí)按需存在許多點(diǎn)-點(diǎn)會(huì)話(huà).動(dòng)態(tài)以太網(wǎng)交換可以在不改變標(biāo)準(zhǔn)以太網(wǎng)節(jié)點(diǎn)設(shè)備的同時(shí)(即工作站和服務(wù)器采用標(biāo)準(zhǔn)的以太網(wǎng)卡,驅(qū)動(dòng)程序,電纜和應(yīng)用程序),極大地提高網(wǎng)絡(luò)的帶寬.其工作過(guò)程如下:交換機(jī)檢查來(lái)自PC的數(shù)據(jù)包;交換機(jī)識(shí)別該數(shù)據(jù)包的源地址和目的地址;交換機(jī)動(dòng)態(tài)打開(kāi)一專(zhuān)用的10Mbps鏈路,將包由源地址端口傳送至目的地址端口。動(dòng)態(tài)交換檢查由A工作站發(fā)往B工作站的數(shù)據(jù)包,在A與B之間動(dòng)態(tài)建立一專(zhuān)用的10Mbps鏈路.顯然,不象傳統(tǒng)的共享以太網(wǎng),數(shù)據(jù)包不是發(fā)往網(wǎng)絡(luò)上的所有工作站,而是對(duì)每一數(shù)據(jù)傳輸產(chǎn)生專(zhuān)用的10Mbps鏈路.而連接到動(dòng)態(tài)交換上的工作站及服務(wù)器仍使用標(biāo)準(zhǔn)的以太網(wǎng)卡,驅(qū)動(dòng)程序,電纜及應(yīng)用程序。在動(dòng)態(tài)交換的內(nèi)部,標(biāo)準(zhǔn)以太網(wǎng)的沖突式網(wǎng)絡(luò)存取機(jī)制(CSMA/CD)不再存在,與以太網(wǎng)相依存的"沖突"顯著變小或不復(fù)存在,每一用戶(hù)昀可獨(dú)立享受局域網(wǎng)的全部帶寬(以太網(wǎng)10Mbps),所有的數(shù)據(jù)包都通過(guò)專(zhuān)用的點(diǎn)對(duì)點(diǎn)10Mbps鏈路進(jìn)行交換,因此以太網(wǎng)交換為諸如客戶(hù)機(jī)/服務(wù)器應(yīng)用,分布式數(shù)據(jù)庫(kù),圖像處理,CAD,甚至多媒體等數(shù)據(jù)密集型網(wǎng)絡(luò)應(yīng)用提供了足夠的帶寬。因?yàn)閿?shù)據(jù)不昌傳送到所有的端口,網(wǎng)絡(luò)也難以被竊聽(tīng),所以動(dòng)態(tài)交換環(huán)境比共享式以太網(wǎng)更加安全.動(dòng)態(tài)交換同時(shí)檢查所有數(shù)據(jù)包,同時(shí)開(kāi)辟許多的10Mbps專(zhuān)用鏈路以完成并行的數(shù)據(jù)通信。這樣在任何時(shí)間內(nèi)可以存在許多專(zhuān)用的源-目的以太網(wǎng)。動(dòng)態(tài)交換以太網(wǎng)的這種并行的,點(diǎn)對(duì)點(diǎn)特性與電話(huà)網(wǎng)相似,同時(shí)也與FTM相近。一旦一個(gè)獨(dú)立的端口通信完成,動(dòng)態(tài)交換釋放此鏈路。因此,動(dòng)態(tài)交換的帶寬流量是按需的,這種按需帶寬特性是ATM網(wǎng)的另一特性.但因動(dòng)態(tài)以太網(wǎng)交換是建立在標(biāo)準(zhǔn)以太網(wǎng)基礎(chǔ)上(標(biāo)準(zhǔn)接口卡,驅(qū)動(dòng),電纜和應(yīng)用),用戶(hù)可以保留其在原有以太網(wǎng)上的投資和基礎(chǔ)上,獲得像ATM一樣的專(zhuān)用帶寬及安全保密性。三、以太網(wǎng)交換技術(shù)分類(lèi)上面已討論了動(dòng)態(tài)交換和靜態(tài)交換在功能和應(yīng)用上的基本差異,下面將著重討論每種交換技術(shù)的兩種實(shí)現(xiàn)方式:動(dòng)態(tài)端口交換動(dòng)態(tài)段交換靜態(tài)端口交換靜態(tài)模塊交換對(duì)靜態(tài)交換而言,模塊交換和端口交換差別很小,它們可應(yīng)用于相同的場(chǎng)合,而對(duì)動(dòng)態(tài)交換,段交換與端口交換的應(yīng)用明顯不同.1.動(dòng)態(tài)端口交換動(dòng)態(tài)端口交換的功能已在前面講述過(guò),每一端口聯(lián)接到單一的工作站或服務(wù)器.因?yàn)槊恳欢丝诳杀话葱栀x予一個(gè)獨(dú)立的10Mbps專(zhuān)用以太網(wǎng)鏈路,這樣可以賦予每一工作站或服務(wù)器更高的網(wǎng)絡(luò)帶寬。2.動(dòng)態(tài)段交換動(dòng)態(tài)段交換與動(dòng)態(tài)端口交換的功能相似,通過(guò)交換結(jié)構(gòu),按需提供專(zhuān)用的端口間10Mbps專(zhuān)用鏈路.每一動(dòng)態(tài)段交換端口可以連接一個(gè)網(wǎng)段(即傳統(tǒng)的共享以太網(wǎng)),而不只是一個(gè)工作站或服務(wù)。動(dòng)態(tài)段交換通過(guò)對(duì)大量MAC地址的識(shí)別來(lái)完成此功能。用端口連結(jié)整個(gè)網(wǎng)段,可以使動(dòng)態(tài)段交換取代現(xiàn)今分段網(wǎng)絡(luò)中的路由器及網(wǎng)橋。如果網(wǎng)段A的用戶(hù)在網(wǎng)段內(nèi)發(fā)送數(shù)據(jù)包,交換識(shí)別數(shù)據(jù)為本網(wǎng)段數(shù)據(jù)包而不允許這些數(shù)據(jù)包進(jìn)入其它網(wǎng)段.但是如果網(wǎng)絡(luò)段A的用戶(hù)發(fā)送數(shù)據(jù)包到網(wǎng)絡(luò)段B,則交換機(jī)識(shí)別那些傳送至網(wǎng)段B的數(shù)據(jù)包,分配一專(zhuān)用的10Mbps鏈路，發(fā)送數(shù)據(jù)包到網(wǎng)段B的目的用戶(hù).網(wǎng)絡(luò)分段,即將一個(gè)大的擁擠的網(wǎng)絡(luò)分成一系列的小型網(wǎng)絡(luò),每一網(wǎng)絡(luò)具有小的用戶(hù)和小的流量。以前網(wǎng)絡(luò)分段一般是通過(guò)網(wǎng)橋和路由器來(lái)實(shí)現(xiàn)的,而采用動(dòng)態(tài)段交換對(duì)網(wǎng)絡(luò)分段比用網(wǎng)橋和路由器更優(yōu)越,理由如下:(1)價(jià)低.(2)易管理,而路由器需要QSI協(xié)議中網(wǎng)絡(luò)層的復(fù)雜網(wǎng)絡(luò)管理.(3)更快速,因?yàn)榻粨Q只檢測(cè)其數(shù)據(jù)包頭中的源及目的地址,而網(wǎng)橋及路由器則需檢測(cè)整個(gè)包,這樣交換所產(chǎn)生的時(shí)延比網(wǎng)橋及路由器小得多.3.靜態(tài)端口交換靜態(tài)端口交換允許網(wǎng)絡(luò)管理員通過(guò)軟件將用戶(hù)工作站從一條共享以太網(wǎng)總線(xiàn)移到另一條，靈活地對(duì)網(wǎng)絡(luò)進(jìn)行增加,減少所需的交換模塊訂貨量.例如,在網(wǎng)絡(luò)上增加8個(gè)用戶(hù),他們工作于4個(gè)不同的部門(mén),在4條不同的以太網(wǎng)總線(xiàn)上。所有這些用戶(hù)可以采用一塊單一的端口交換模塊來(lái)實(shí)現(xiàn).與此相比,以前則需購(gòu)4塊新的模塊并連到不同的總線(xiàn),但每個(gè)新的模塊的大部分端口是未用的,造成低效及浪費(fèi).4.靜態(tài)模塊交換靜態(tài)模塊交換也是由軟件來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的增加,移動(dòng)和改變.與靜態(tài)端口交換不同的是,靜態(tài)模塊交換是將整個(gè)模塊(包括模塊上的所有端口)從一條共享總線(xiàn)移至另一條共享總線(xiàn).第5章結(jié)構(gòu)化布線(xiàn)系統(tǒng)概述結(jié)構(gòu)化布線(xiàn)系統(tǒng)是實(shí)現(xiàn)校園網(wǎng)絡(luò)的必不可少的技術(shù)手段和途徑，它綜合通訊技術(shù)、計(jì)算機(jī)技術(shù)、自動(dòng)化控制技術(shù)為一體，利用雙絞線(xiàn)、光纖和其它器件，將校園各部門(mén)中語(yǔ)音、圖像、安全報(bào)警、監(jiān)控、自動(dòng)化管理、通訊、計(jì)算機(jī)網(wǎng)絡(luò)等各種專(zhuān)用布線(xiàn)系統(tǒng)進(jìn)行規(guī)劃、設(shè)計(jì)、施工，形成一套完整的、開(kāi)放的和標(biāo)準(zhǔn)化的布線(xiàn)系統(tǒng)。系統(tǒng)設(shè)計(jì)遵循從國(guó)際（ISO/IEC11801）標(biāo)準(zhǔn)和郵電部及建設(shè)部的標(biāo)準(zhǔn)布線(xiàn)系統(tǒng)采用國(guó)際標(biāo)準(zhǔn)建議的層層星型拓?fù)浣Y(jié)構(gòu)，提高系統(tǒng)容錯(cuò)性考慮到計(jì)算機(jī)網(wǎng)絡(luò)的速度向?yàn)榍д滓蕴W(wǎng)。布線(xiàn)系統(tǒng)的信息出口采用國(guó)際標(biāo)準(zhǔn)的RJ45插座，以統(tǒng)一的線(xiàn)路規(guī)格和設(shè)備接口，使任意信息點(diǎn)都能插接不同類(lèi)型的終端設(shè)備，如電腦、打印機(jī)、網(wǎng)絡(luò)終端、電話(huà)機(jī)、傳真機(jī)等，以支持語(yǔ)音、數(shù)據(jù)、圖形、圖像等數(shù)據(jù)信息和多媒體信息的傳輸。布線(xiàn)系統(tǒng)要立足開(kāi)放原則，既支持集中式網(wǎng)絡(luò)，又支持Client/Server分布式網(wǎng)絡(luò)系統(tǒng)綜合布線(xiàn)系統(tǒng)設(shè)計(jì)依據(jù)。5.1結(jié)構(gòu)化布線(xiàn)包括的方面按照EIA/TIA-568A的標(biāo)準(zhǔn)，結(jié)構(gòu)化布線(xiàn)系統(tǒng)包括以下方面：5.1.1工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)指終端設(shè)備和信息插座之間的連接部分，包括裝配軟線(xiàn)，連接器和連接所需要的擴(kuò)展軟線(xiàn)，并在終端設(shè)備與I/O之間搭橋。工作區(qū)子系統(tǒng)所使用的連接器必須是ISDN標(biāo)準(zhǔn)的8位接口。這種接口能接受數(shù)據(jù)網(wǎng)絡(luò)信息以及數(shù)碼音頻信號(hào)。5.1.2水平布線(xiàn)子系統(tǒng)水平子系統(tǒng)是從用戶(hù)工作區(qū)連接到垂直主干線(xiàn)子系統(tǒng)的線(xiàn)。水平子系統(tǒng)是整個(gè)結(jié)構(gòu)化布線(xiàn)系統(tǒng)的一部分，它與主干線(xiàn)子系統(tǒng)的區(qū)別在于：水平子系統(tǒng)總在同一樓層，并與信息插座相連。在結(jié)構(gòu)化布線(xiàn)系統(tǒng)中，水平子系統(tǒng)由4對(duì)UTP組成，能支持大多數(shù)的現(xiàn)代通訊設(shè)備。如果需要寬帶應(yīng)用時(shí)，可以采用光纖。5.1.3干線(xiàn)子系統(tǒng)干線(xiàn)子系統(tǒng)又稱(chēng)垂直主干線(xiàn)子系統(tǒng)，它提供建筑物干線(xiàn)電纜的路由。干線(xiàn)子系統(tǒng)通常是在兩個(gè)單元之間，特別是在位于中央點(diǎn)的公共系統(tǒng)設(shè)備處提供多個(gè)線(xiàn)路設(shè)施。該子系統(tǒng)由所有的布線(xiàn)電纜組成，或光纖以及將光纖連到其它專(zhuān)訪(fǎng)的相關(guān)支撐硬件組合而成。傳輸介質(zhì)可能包括一棟多層建筑物之間垂直布線(xiàn)的內(nèi)部電纜或從主要單元或其它干線(xiàn)間來(lái)的電纜。5.1.4管理子系統(tǒng)管理子系統(tǒng)由交連、互連以及I/O組成。管理點(diǎn)是為了連接其它子系統(tǒng)提供連接的手段。交連和互連允許將通訊線(xiàn)路定位或重定位在建筑物的不同部分，以便能更容易的管理通訊線(xiàn)路。I/O位于用戶(hù)工作區(qū)的其它房間或辦公室，使得移動(dòng)終端設(shè)備時(shí)能方便的進(jìn)行插拔。5.1.5設(shè)備間子系統(tǒng)設(shè)備間子系統(tǒng)由設(shè)備間的電纜，連接器和有關(guān)支撐硬件組成。它的作用是把公共系統(tǒng)設(shè)備的各種不同設(shè)備互連起來(lái)。該子系統(tǒng)將中繼線(xiàn)交叉連接處和布線(xiàn)交叉連接處與公共系統(tǒng)設(shè)備連接起來(lái)。該子系統(tǒng)還包括設(shè)備間和臨近單元中的導(dǎo)線(xiàn)。這些導(dǎo)線(xiàn)將設(shè)備或避雷裝置連接到有效建筑物接地點(diǎn)。5.1.6建筑群子系統(tǒng)建筑群子系統(tǒng)將一個(gè)建筑物中電纜延伸到建筑群的另一些建筑物中的通訊設(shè)備和裝置上，建筑群子系統(tǒng)是結(jié)構(gòu)化布線(xiàn)系統(tǒng)的一部分，它支持提供樓群之間通訊所需的硬件，其中包括導(dǎo)線(xiàn)電纜，光纖以及有效防止高壓脈沖電壓進(jìn)入建筑物的電氣保護(hù)裝置。5.2結(jié)構(gòu)化布線(xiàn)系統(tǒng)方案設(shè)計(jì)本方案所設(shè)計(jì)的系統(tǒng)可支持任何廠家的網(wǎng)絡(luò)產(chǎn)品以及任何一種網(wǎng)絡(luò)結(jié)構(gòu)，可在任意信息點(diǎn)連接不同類(lèi)型的設(shè)備，所用的接插件是模塊化積木式結(jié)構(gòu)，容易根據(jù)需要重新組合更換接插件，易于擴(kuò)展并支持各種數(shù)據(jù)通訊，多媒體和未來(lái)的綜合業(yè)務(wù)數(shù)字網(wǎng)。整個(gè)系統(tǒng)的設(shè)計(jì)分為以下五個(gè)部分：1）水平子系統(tǒng)的設(shè)計(jì)水平布線(xiàn)子系統(tǒng)是由建筑物各管理子系統(tǒng)至各個(gè)工作區(qū)子系統(tǒng)之間的電纜構(gòu)成，也就是由各樓層的弱電間到各個(gè)信息點(diǎn)的水平電纜構(gòu)成。為了滿(mǎn)足高速數(shù)據(jù)傳輸以及視頻運(yùn)用的需求，選用IBDN公司的5類(lèi)4對(duì)非屏蔽雙絞線(xiàn)，該產(chǎn)品可支持10Base-T，100Base-TX，F(xiàn)DDI以及155MATM。數(shù)據(jù)傳輸速度可達(dá)155Mbps，既可滿(mǎn)足當(dāng)前需求，又能適應(yīng)未來(lái)發(fā)展需要。2）設(shè)備樓干線(xiàn)子系統(tǒng)的設(shè)計(jì)干線(xiàn)子系統(tǒng)由連接設(shè)備間子系統(tǒng)與各個(gè)樓層管理系統(tǒng)的垂直干線(xiàn)構(gòu)成，其作用是將各樓層管理子系統(tǒng)的信息傳送到設(shè)備間子系統(tǒng)，同時(shí)連接外部網(wǎng)絡(luò)。3）管理子系統(tǒng)的設(shè)計(jì)管理子系統(tǒng)也稱(chēng)為電信間子系統(tǒng)或弱電間子系統(tǒng)，它連接水平布線(xiàn)子系統(tǒng)和干線(xiàn)子系統(tǒng)，是布線(xiàn)環(huán)節(jié)中很關(guān)鍵的一環(huán)。管理子系統(tǒng)的常用設(shè)備包括5類(lèi)配線(xiàn)架、5類(lèi)調(diào)線(xiàn)和機(jī)柜等。在信息樓各層管理子系統(tǒng)中，用24口配線(xiàn)板連接垂直干線(xiàn)及水平布線(xiàn)系統(tǒng)的25對(duì)UTP。4）信息樓設(shè)備間子系統(tǒng)的設(shè)計(jì)設(shè)備間子系統(tǒng)是整個(gè)校園網(wǎng)布線(xiàn)系統(tǒng)的中心單元，它實(shí)現(xiàn)對(duì)各個(gè)樓層匯總來(lái)的UTP和光纖的終接管理。5）建筑群子系統(tǒng)的設(shè)計(jì)建筑群子系統(tǒng)是連接各個(gè)建筑群的設(shè)備裝置，實(shí)現(xiàn)建筑群的通訊和設(shè)備管理。PAGEPAGE35第6章校園網(wǎng)網(wǎng)絡(luò)安全學(xué)校作為培養(yǎng)人才的基地，愈來(lái)愈多的校園網(wǎng)通過(guò)DDN專(zhuān)線(xiàn)與互聯(lián)網(wǎng)接軌，讓學(xué)校中的老師和學(xué)生可以自由到互聯(lián)網(wǎng)上瀏覽、查找他們感興趣的內(nèi)容和所渴求的知識(shí)，感受網(wǎng)絡(luò)所帶來(lái)的這些豐富的信息資源，提供得更廣闊的學(xué)習(xí)環(huán)境。與此同時(shí)，網(wǎng)上的“黑客”也很可能趁機(jī)攻入學(xué)校內(nèi)網(wǎng)，破壞校內(nèi)服務(wù)器上的數(shù)據(jù)，使校園網(wǎng)的安全受到威脅。并且，學(xué)校對(duì)學(xué)生的網(wǎng)上教育和上網(wǎng)管理也面臨著新的挑戰(zhàn)。依據(jù)實(shí)際情況并綜合考慮，問(wèn)題主要表現(xiàn)如下：1．內(nèi)部資料庫(kù)安全問(wèn)題校園網(wǎng)與普通企業(yè)上網(wǎng)不同，因?yàn)橐话闫髽I(yè)上網(wǎng)主要是“防外”，防止互聯(lián)網(wǎng)上的黑客對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，而安裝在校園網(wǎng)上的防火墻，既需要有“防外”的功能，又要有“防內(nèi)”的功能。所謂的“防內(nèi)”，是因?yàn)樵趯W(xué)生中有不少是網(wǎng)絡(luò)愛(ài)好者，在好奇心的驅(qū)使下，可能會(huì)從互聯(lián)網(wǎng)上下載黑客工具，來(lái)對(duì)互聯(lián)網(wǎng)上、或者是校園網(wǎng)內(nèi)部服務(wù)器進(jìn)行攻擊，主要對(duì)學(xué)校內(nèi)部的某些可能存放著重要資料的服務(wù)器，諸如，存放主要給教師使用的試題庫(kù)，對(duì)于學(xué)生就有著極大的誘惑力，在好奇心或者是為了滿(mǎn)足某些單純的心理需要，而不顧后果的對(duì)校園內(nèi)部服務(wù)器進(jìn)行的攻擊，使學(xué)校的內(nèi)部資料遭受到不必要的損失。2．對(duì)學(xué)生上網(wǎng)的管理學(xué)生上網(wǎng)的管理主要從三個(gè)方面進(jìn)行管理：1）學(xué)生所瀏覽網(wǎng)站的限制。對(duì)學(xué)生無(wú)益，又很耗費(fèi)網(wǎng)絡(luò)帶寬的網(wǎng)上訪(fǎng)問(wèn)。2）學(xué)生上網(wǎng)費(fèi)用統(tǒng)計(jì)的問(wèn)題。學(xué)生上網(wǎng)時(shí)長(zhǎng)，流量都必須有一統(tǒng)計(jì)報(bào)表，以便按一定的標(biāo)準(zhǔn)收費(fèi)。3）學(xué)生上網(wǎng)對(duì)熱門(mén)網(wǎng)點(diǎn)的統(tǒng)計(jì)，及時(shí)了解學(xué)生的網(wǎng)上動(dòng)向，有利于更一步引導(dǎo)學(xué)生過(guò)好網(wǎng)上生活。針對(duì)以上客觀存在的實(shí)際問(wèn)題，也可以解決6.1例如以下方案圖6-16.2主要特點(diǎn)1．軟、硬件一體化的結(jié)構(gòu)防火墻對(duì)于用戶(hù)來(lái)說(shuō)，只是一個(gè)類(lèi)似路由器的硬件設(shè)備，整體系統(tǒng)采用黑盒設(shè)計(jì)，防火墻系統(tǒng)與硬件緊密結(jié)合，發(fā)揮硬件最高效能，減少由于操作系統(tǒng)問(wèn)題而產(chǎn)生網(wǎng)絡(luò)漏洞的可能，提高系統(tǒng)自身安全性。2．獨(dú)特的第四網(wǎng)絡(luò)接口（對(duì)內(nèi)服務(wù)器群）防火墻的校園網(wǎng)專(zhuān)業(yè)版擁有四個(gè)網(wǎng)絡(luò)接口，專(zhuān)門(mén)開(kāi)辟了第四區(qū)間——對(duì)內(nèi)服務(wù)區(qū)，將原來(lái)安裝在校園內(nèi)部網(wǎng)絡(luò)中一些重要的服務(wù)器集中聯(lián)入本區(qū)域，此區(qū)域與第三區(qū)域不同。對(duì)于第三區(qū)域，內(nèi)網(wǎng)、外網(wǎng)都能訪(fǎng)問(wèn)；對(duì)于第四區(qū)域，只開(kāi)放給內(nèi)網(wǎng)某一部分IP訪(fǎng)問(wèn)，外網(wǎng)無(wú)法訪(fǎng)問(wèn)。這樣構(gòu)成的系統(tǒng)，既可“防外”又可“防內(nèi)”，徹底解決了一般防火墻只能“防外”不能“防內(nèi)”的不足。3．NAT方式節(jié)省網(wǎng)絡(luò)地址資源對(duì)于一個(gè)小型網(wǎng)絡(luò)來(lái)說(shuō)，申請(qǐng)的IP地址不會(huì)太多，如果網(wǎng)絡(luò)中的每一臺(tái)設(shè)備都需要一個(gè)IP地址，會(huì)造成IP地址的嚴(yán)重不足。防火墻的校園網(wǎng)專(zhuān)業(yè)版提供的網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）功能不僅可以隱藏內(nèi)部網(wǎng)絡(luò)地址信息，使外界無(wú)直接訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備，同時(shí)，它還幫助網(wǎng)絡(luò)可以超越地址的限制，合理地安排網(wǎng)絡(luò)中上公用Internet地址和私有地址的內(nèi)部網(wǎng)用戶(hù)順利的訪(fǎng)問(wèn)Internet的信息資源，不但不會(huì)造成任何網(wǎng)絡(luò)應(yīng)用的阻礙，同時(shí)還可以節(jié)省大量的網(wǎng)絡(luò)地址資源。4．高性能的系統(tǒng)核心現(xiàn)在商業(yè)操作平臺(tái)如Win98、NT、UNIX、LINUX存在著不少漏洞，不斷被黑客在互聯(lián)網(wǎng)上公開(kāi)、傳播，作為攻擊的目標(biāo)。安全小組從底層做起，自行開(kāi)發(fā)出一套防火墻專(zhuān)用安全平臺(tái)，對(duì)與流量關(guān)系密切的模塊進(jìn)行優(yōu)化處理，做到高安全性、高穩(wěn)定性和高效率。5．支持多種標(biāo)準(zhǔn)服務(wù)目前，能夠支持哪些傳輸標(biāo)準(zhǔn)是評(píng)價(jià)一個(gè)防火墻系統(tǒng)的重要指標(biāo)之一，防火墻系統(tǒng)支持95種通信協(xié)議和730種應(yīng)用服務(wù)，包括WWW、FTP、POP3、數(shù)據(jù)庫(kù)服務(wù)、多媒體服務(wù)、Microsoft網(wǎng)絡(luò)服務(wù)等等。用戶(hù)不必?fù)?dān)心使用了防火墻后出現(xiàn)某些服務(wù)失效的副作用。6.3功能模塊6.3.1智能防御模塊系統(tǒng)自動(dòng)統(tǒng)計(jì)、分析通過(guò)防火墻的各種連接數(shù)據(jù)，探測(cè)出攻擊者，立即斷開(kāi)與該主機(jī)的任何連接，并采取將其IP地址列入黑名單等措施，保護(hù)內(nèi)網(wǎng)所有主機(jī)的安全。6.3.2自動(dòng)反掃描模塊掃描是黑客攻擊的前奏，攻擊前，黑客一般會(huì)先掃描一下目標(biāo)主機(jī)打開(kāi)的服務(wù)端口，然后再進(jìn)行針對(duì)性攻擊。本系統(tǒng)在內(nèi)核設(shè)計(jì)中引入自動(dòng)反掃描機(jī)制，以最快的速度發(fā)現(xiàn)掃描器，即時(shí)斷開(kāi)其連接，并將該IP地址列入黑名單，在一定時(shí)間（約10分鐘）內(nèi)，該主機(jī)無(wú)法再對(duì)防火墻系統(tǒng)和防火墻保護(hù)的內(nèi)網(wǎng)進(jìn)行任何訪(fǎng)問(wèn)。6.3.3雙向網(wǎng)絡(luò)地址轉(zhuǎn)換模塊內(nèi)部網(wǎng)絡(luò)用戶(hù)一般沒(méi)有合法的InternetIP地址（RegisteredIPAddress），不能直接對(duì)外部網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)，這可以通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)得到完滿(mǎn)的解決。當(dāng)用戶(hù)需要對(duì)外訪(fǎng)問(wèn)時(shí)，藍(lán)盾防火墻系統(tǒng)將會(huì)從IP池中的IP動(dòng)態(tài)分配給用戶(hù)，使用戶(hù)得到合法的IP地址與外部訪(fǎng)問(wèn)。端口地址轉(zhuǎn)換（PortAddressTranslation）可以擴(kuò)展公司可使用的InternetIP，用戶(hù)的訪(fǎng)問(wèn)將會(huì)映射到IP池中IP的一個(gè)端口上去，這使每個(gè)合法InternetIP可以映射六萬(wàn)多個(gè)內(nèi)部網(wǎng)主機(jī)，并發(fā)訪(fǎng)問(wèn)為16384條。如果企業(yè)希望內(nèi)部網(wǎng)絡(luò)中的服務(wù)器可以讓Internet用戶(hù)訪(fǎng)問(wèn)的話(huà)，可以利用反向NAT（R-NAT）或反向PAT（R-PAT）系統(tǒng)，為內(nèi)部網(wǎng)絡(luò)服務(wù)器作靜態(tài)地址和端口映射，這樣Internet用戶(hù)就可以通過(guò)本防火墻系統(tǒng)直接訪(fǎng)問(wèn)該服務(wù)器了。我們的網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)支持九十多種通信協(xié)議（包括IGMP、ICMP、TCP、UDP等）和七百多種TCP/UDP服務(wù)，其中主要包括：1、常用服務(wù)：HTTP、FTP、SMTP、NNTP、TELNET、ECHO、FINGER、SYSTAT、DYATIME、DNS、TFTP?br>OPHER、POP3、RTELNET、RLOGIN、CISCO-SYS、SNMP、IRC、IMAP4、UUCP等。2、數(shù)據(jù)庫(kù)服務(wù)：OracleSQL*NET、SQL-NET、ODBC、SQLSRV、SQLSERV等，用戶(hù)可以通過(guò)防火墻進(jìn)行數(shù)據(jù)庫(kù)操作。3、多媒體流：ProgressiveNetworksRealAudio、XingTechnologiesStreamworks、WhitePinesCuSeeMe、VocalTecInternetPhone、VDOnetVDOLive、MicrosoftNetShow、VxtremeWebTheater2等。支持H.323應(yīng)用，包括IntelInternetVideoPhone、MicrosoftNetmeeting等。4、NetBios、RPC：MicrosoftNetwork可以通過(guò)本防火墻系統(tǒng)進(jìn)行通信。同時(shí)支持RemoteProcedureCall。使用Windows、WindowsNT的網(wǎng)絡(luò)系統(tǒng)也可以采用本系統(tǒng)作為保護(hù)企業(yè)數(shù)據(jù)的防火墻。如果用戶(hù)有需要，可以自己定義所需的服務(wù)。通過(guò)NAT和PAT的結(jié)合，巧妙的建立了連接Intranet和Internet的橋梁，藍(lán)盾防火墻系統(tǒng)將守護(hù)著這棟橋梁。6.3.4WWW端口控制模塊通過(guò)防火墻的8887端口，可進(jìn)入防火墻的設(shè)置管理界面，進(jìn)行安全規(guī)則和其它功能的設(shè)定。為了進(jìn)一步加強(qiáng)防火墻自身的安全性，避免其它人員打開(kāi)8887端口，猜測(cè)密碼，我們?cè)谙到y(tǒng)的內(nèi)核中增加了一個(gè)端口控制層，通過(guò)BDKEY控制軟件，可自由打開(kāi)或關(guān)閉8887端口，并達(dá)到如下目標(biāo)：1、只有用戶(hù)名/密碼驗(yàn)證正確的管理人員，才能使用BDKEY軟件。2、通過(guò)BDKEY向防火墻發(fā)送啟動(dòng)端口（8887）控制命令后，防火墻會(huì)自動(dòng)綁定管理員主機(jī)IP，只有該IP才可以進(jìn)入8887端口。3、防火墻會(huì)自動(dòng)驗(yàn)證管理員在BDKEY中填寫(xiě)的主機(jī)IP地址。4、管理人員設(shè)置完畢后，可關(guān)閉8887端口。5．物理斷開(kāi)模塊本系統(tǒng)的三個(gè)網(wǎng)絡(luò)硬件接口中，都內(nèi)置一個(gè)物理開(kāi)關(guān)模塊，通過(guò)設(shè)置，可斷開(kāi)任一網(wǎng)絡(luò)接口的聯(lián)接，即時(shí)中止該網(wǎng)絡(luò)接口的任何通信，這樣，在某些特殊環(huán)境下，可進(jìn)一步提高系統(tǒng)的安全性。6.MAC綁定模塊為了防止IP欺騙、地址偽裝，本系統(tǒng)提供“MAC綁定”功能。它可以將IP地址和網(wǎng)卡的硬件地址綁定起來(lái)，主要用于綁定一些重要的管理員IP和授權(quán)IP。7．實(shí)時(shí)報(bào)警和紀(jì)錄安全分析模塊本系統(tǒng)提供實(shí)時(shí)報(bào)警功能，對(duì)于端口掃描和其它網(wǎng)絡(luò)攻擊，紀(jì)錄系統(tǒng)會(huì)即時(shí)發(fā)出警報(bào)，提醒管理人員。6.4通過(guò)代理可以解決6.4.1信息的過(guò)濾信息過(guò)濾模式可分為全局信息過(guò)濾和局部信息過(guò)濾，以及指定用戶(hù)的信息過(guò)濾手段。網(wǎng)絡(luò)管理員不但可以針對(duì)用戶(hù)建立禁止訪(fǎng)問(wèn)的網(wǎng)站列表，還可以自創(chuàng)標(biāo)準(zhǔn)，配置內(nèi)容過(guò)濾器，限定允許用戶(hù)訪(fǎng)問(wèn)的網(wǎng)站。例如禁止學(xué)校學(xué)生訪(fǎng)問(wèn)某些成人站點(diǎn)，而教師及校內(nèi)員工就不受此類(lèi)限制等等。6.4.2用戶(hù)管理1)授權(quán)管理模式用戶(hù)在訪(fǎng)問(wèn)Internet時(shí)首先要進(jìn)行登錄，在正確鍵入有效的用戶(hù)名和口令后，才可以使用代理服務(wù)器提供的代理服務(wù)。2)默認(rèn)管理模式這種方式不但省卻了用戶(hù)每次登錄的麻煩，還為網(wǎng)絡(luò)管理中管理集體用戶(hù)提供了便利。網(wǎng)絡(luò)管理員可以將某個(gè)辦公室或某個(gè)部門(mén)的一臺(tái)或多臺(tái)計(jì)算機(jī)進(jìn)行IP綁定，只有這些由管理員限定的IP地址的計(jì)算機(jī)才有通過(guò)代理服務(wù)器訪(fǎng)問(wèn)Internet的權(quán)限。6.4.3費(fèi)用的管理通過(guò)代理服務(wù)器方的管理程序，可很方便的得到有關(guān)內(nèi)部網(wǎng)絡(luò)中用戶(hù)訪(fǎng)問(wèn)Internet的信息流量統(tǒng)計(jì)。6.4.4提高速度應(yīng)用代理服務(wù)器端大容量代理緩存，對(duì)于經(jīng)常訪(fǎng)問(wèn)的站點(diǎn)，根據(jù)一定算法將其緩存，有些資料可以從共享緩存中提取，無(wú)須再到互聯(lián)網(wǎng)上下載，這樣不僅提高瀏覽速度，還可以減少上網(wǎng)費(fèi)用。PAGEPAGE36結(jié)論一個(gè)校園網(wǎng)絡(luò)系統(tǒng)的組建需要從多方面進(jìn)行考慮，不但涉及許多技術(shù)問(wèn)題，而且包括網(wǎng)絡(luò)設(shè)施、信息資源、專(zhuān)業(yè)應(yīng)用等眾多成份的綜合化以及信息化教學(xué)環(huán)境系統(tǒng)的建設(shè)。校園網(wǎng)要能很好地應(yīng)用與發(fā)展，很大程度上取決于設(shè)計(jì)方案，包括組網(wǎng)技術(shù)、拓?fù)浣Y(jié)構(gòu)、IP及路由規(guī)劃、設(shè)備選型等的實(shí)施成功與否。本文從校園網(wǎng)工程的實(shí)際出發(fā)，從理論、設(shè)計(jì)、實(shí)現(xiàn)等多方面闡述了校園網(wǎng)設(shè)計(jì)實(shí)施方案，著重介紹了校園網(wǎng)需求分析，并對(duì)該校園網(wǎng)絡(luò)進(jìn)行了初步的規(guī)劃，用言簡(jiǎn)意賅的語(yǔ)言描述了如何組建一個(gè)性能可靠、技術(shù)先進(jìn)、功能豐富的校園網(wǎng)系統(tǒng)。PAGEPAGE37致謝首先非常感謝學(xué)校給了我這次鍛煉的機(jī)會(huì)，使得我在校園網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)能力上有了很大的提高，同時(shí)還增強(qiáng)了我的實(shí)踐能力。其次我要感謝我的指導(dǎo)老師，正是他們嚴(yán)謹(jǐn)細(xì)致、一絲不茍的作風(fēng)一直作為我學(xué)習(xí)中的榜樣，而他們循循善誘的教導(dǎo)和不拘一格的思路給予我無(wú)盡的啟迪。感謝他們對(duì)我的支持和鼓勵(lì)，感謝他們給予我精心的指導(dǎo)，正是由于他們的幫助，我才能有信心順利完成畢業(yè)設(shè)計(jì)。同時(shí)我也感謝我大學(xué)以來(lái)所有的任課老師和班主任，正是他們平時(shí)對(duì)我的嚴(yán)格要求為我打下扎實(shí)的計(jì)算機(jī)專(zhuān)業(yè)基礎(chǔ)；也要感謝所有的同學(xué)們，正是因?yàn)橛辛怂麄兊闹С趾蛶椭?，此次畢業(yè)設(shè)計(jì)才會(huì)順利完成；還要感謝畢業(yè)指導(dǎo)老師在這次畢業(yè)設(shè)計(jì)過(guò)程中幫助我搜集資料，糾正錯(cuò)誤。最后特別感謝對(duì)我的大力栽培。PAGE參考文獻(xiàn)【1】石碩，《交換機(jī)/路由器及其配置》第2版，電子工業(yè)出版社，2007【2】謝希仁，《計(jì)算機(jī)網(wǎng)絡(luò)》第4版，電子工業(yè)出版社出版社，2004【3】王群、李馥娟，《局域網(wǎng)一點(diǎn)通》，人民郵電出版社，2002【4】微軟公司，《網(wǎng)絡(luò)基本架構(gòu)的實(shí)現(xiàn)和管理》，高等教育出版社，2004【5】微軟公司，《網(wǎng)絡(luò)操作系統(tǒng)管理》，高等教育出版社，2004【6】石志國(guó)、薛為民、尹浩，《計(jì)算機(jī)網(wǎng)絡(luò)安全教程》，北京交通大學(xué)出版社，2004

目錄第1章緒論 1第2章校園網(wǎng)設(shè)計(jì)策略 32.1網(wǎng)絡(luò)設(shè)計(jì)原則 32.2網(wǎng)絡(luò)設(shè)計(jì)目標(biāo) 3第3章需求分析 53.1工程概況 53.2應(yīng)用需求 63.3設(shè)備需求 73.4網(wǎng)絡(luò)層次介紹 73.4.1接入層 83.4.2匯聚層 83.4.3核心層 83.5網(wǎng)絡(luò)穩(wěn)定可靠性 93.6網(wǎng)絡(luò)安全 103.6.1外部入侵 103.6.2病毒 103.6.1拒絕服務(wù)攻擊 10HYPERLINK\l"_Toc27162