校園網(wǎng)絡(luò)設(shè)計(jì)方案[共24頁]

上傳人:1528****253 文檔編號(hào):44116845 上傳時(shí)間:2021-12-05 格式:DOC 頁數(shù):25 大?。?55.50KB
收藏 版權(quán)申訴 舉報(bào) 下載
校園網(wǎng)絡(luò)設(shè)計(jì)方案[共24頁]_第1頁
第1頁 / 共25頁
校園網(wǎng)絡(luò)設(shè)計(jì)方案[共24頁]_第2頁
第2頁 / 共25頁
校園網(wǎng)絡(luò)設(shè)計(jì)方案[共24頁]_第3頁
第3頁 / 共25頁

下載文檔到電腦,查找使用更方便

12 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《校園網(wǎng)絡(luò)設(shè)計(jì)方案[共24頁]》由會(huì)員分享,可在線閱讀,更多相關(guān)《校園網(wǎng)絡(luò)設(shè)計(jì)方案[共24頁](25頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 XX校園網(wǎng)絡(luò)設(shè)計(jì)方案書 第四組: 組員:厲健、 楊鋒、 劉永海、 吳霞、 陳偉狄 、朱剛、何臻偉 匯報(bào)人:朱剛 目 錄 第一章 建設(shè)目標(biāo)與原則 3 1.1 翔宇實(shí)驗(yàn)中學(xué)網(wǎng)絡(luò)建設(shè)目標(biāo) 3 1.2 校園網(wǎng)設(shè)計(jì)原則 4 第二章 校園網(wǎng)建設(shè)方案 6 2.1 搭建校園網(wǎng)絡(luò)系統(tǒng) 6 2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 7 2.3 IP地址規(guī)劃 8 2.4 設(shè)備選型 9 2.5 網(wǎng)絡(luò)安全設(shè)計(jì) 11 2.6 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì) 14 第三章 網(wǎng)絡(luò)應(yīng)用解決方案 17 3.1 綜合辦公自動(dòng)化系統(tǒng) 17 第四章 網(wǎng)絡(luò)的綜合布線系統(tǒng) 19 4.1 綜合布線

2、標(biāo)準(zhǔn) 19 4.2設(shè)計(jì)范圍及要求 19 4.3布線的實(shí)施 19 4.4測試及驗(yàn)收 22 參考文獻(xiàn) 24 翔宇實(shí)驗(yàn)中學(xué)網(wǎng)絡(luò)建設(shè)方案 【摘要】科學(xué)技術(shù)的發(fā)展日新月異,在計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合下,網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。如今,不僅計(jì)算機(jī)已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合,整個(gè)社會(huì)都不可能脫離網(wǎng)絡(luò)而存在。網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流,人們對(duì)網(wǎng)絡(luò)的認(rèn)識(shí)也隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及而迅速改變。在不久的將來,網(wǎng)絡(luò)必將成為和電話一樣通用的工具,成為人們生活、工作、學(xué)習(xí)中必不可少的一部分。 翔宇實(shí)驗(yàn)中學(xué)校園網(wǎng)一期、二期建設(shè)基本完成了校園網(wǎng)的框架,主要用于連接各實(shí)驗(yàn)室、教研室和各部處通過網(wǎng)絡(luò)中心與Inte

3、rnet連接。但是隨著學(xué)校的發(fā)展,廣大師生對(duì)校園網(wǎng)的覆蓋率、穩(wěn)定性、管理及業(yè)務(wù)提出了更高的要求,而原有的校園網(wǎng)在以上幾方面均暴露出一系列不足。 在本方案中,我將詳細(xì)闡述翔宇實(shí)驗(yàn)中學(xué)校園網(wǎng)的建設(shè)方案,內(nèi)容大致分為搭建網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用、網(wǎng)絡(luò)管理、綜合布線等幾部分。 【關(guān)鍵字】局域網(wǎng)、Internet、計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)協(xié)議、服務(wù)器、防火墻 第一章 建設(shè)目標(biāo)與原則 1.1 翔宇實(shí)驗(yàn)中學(xué)網(wǎng)絡(luò)建設(shè)目標(biāo) 學(xué)校共有員工和學(xué)生9000 人,院區(qū)內(nèi)共有12 棟建筑,包括教學(xué)樓、實(shí)驗(yàn)樓、現(xiàn)教樓、圖書館、宿舍樓等。上網(wǎng)的人員主要是學(xué)生、教師和科研人員。 學(xué)校的網(wǎng)絡(luò)同時(shí)承載著多樣的網(wǎng)絡(luò)應(yīng)用:網(wǎng)

4、絡(luò)下載、視頻點(diǎn)播、網(wǎng)絡(luò)聊天、專項(xiàng)課題研究、網(wǎng)絡(luò)化教學(xué),學(xué)校要求網(wǎng)絡(luò)具有高性能、高可用性和高安全性。 學(xué)校規(guī)模在不斷擴(kuò)大中,用戶數(shù)在持續(xù)增加,要求網(wǎng)絡(luò)具有很好的擴(kuò)展性,能夠根據(jù)需要逐步平滑升級(jí)到千兆的骨干連接。 學(xué)生擁有筆記本電腦的人數(shù)越來越多,他們想在校園的各個(gè)地方都可以上網(wǎng),甚至包括操場。要求網(wǎng)絡(luò)具有移動(dòng)和無線集成。 學(xué)校要求能對(duì)每個(gè)用戶的使用情況能進(jìn)行事后審計(jì),能夠定位到IP 地址以及用戶所連接的端口和登錄的用戶名。 由于校園網(wǎng)絡(luò)的開放性和流量的多樣性,學(xué)校要求能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常流量并做出響應(yīng)。同時(shí)要求基于每用戶的速率限制。 另外在設(shè)備支持上要求:在10/100 或10/100/

5、1000BaseT 上支持802.3af PoE;網(wǎng)絡(luò)設(shè)備集成的安全性;要求第2 層和第3 層的QoS;要求增強(qiáng)的802.1x 功能;支持10GE 或?qū)砥交^渡到10GE。 當(dāng)前萬兆以太網(wǎng)將成為園區(qū)骨干網(wǎng)的主流技術(shù)。但根據(jù)翔宇實(shí)驗(yàn)中學(xué)目前的實(shí)際情況,可先采用千兆位以太網(wǎng)作為園區(qū)骨干,以后再根據(jù)需要升級(jí);另外交換機(jī)及路由器本身的性能對(duì)整個(gè)網(wǎng)絡(luò)的性能也有影響,諸如線速轉(zhuǎn)發(fā)、QoS、STP、可支持的路由協(xié)議的收斂特性等等都將影響網(wǎng)絡(luò)的性能。 高可用性:網(wǎng)絡(luò)的高可用性必須依靠冗余來實(shí)現(xiàn),網(wǎng)絡(luò)級(jí)冗余性可以利用雙宿主設(shè)計(jì)自動(dòng)繞過故障鏈路或設(shè)備,能夠使用智能協(xié)議保持網(wǎng)絡(luò)可靠性。設(shè)備級(jí)冗余性可以利用設(shè)備

6、內(nèi)部部件(如管理引擎、電源、風(fēng)扇等)的冗余來提供不間斷服務(wù)。線路級(jí)冗余可通過敷設(shè)物理走向不同的線纜的方式來實(shí)現(xiàn)線路的暢通。對(duì)于翔宇實(shí)驗(yàn)中學(xué)來說,以上所說在不同的場合中都有可能用到;另外,降低網(wǎng)絡(luò)的復(fù)雜性、提供備用互聯(lián)網(wǎng)出口、強(qiáng)大的網(wǎng)絡(luò)監(jiān)控功能及良好的用戶培訓(xùn)也可增加園區(qū)網(wǎng)的可用性。 高安全性:現(xiàn)階段網(wǎng)絡(luò)建設(shè)主要面臨以下幾方面的問題:網(wǎng)絡(luò)流量增長得很快,與此同時(shí)網(wǎng)絡(luò)運(yùn)營商的接入費(fèi)用不降反升;管理人員對(duì)校園網(wǎng)的運(yùn)行情況缺乏基本的分析和管理工具;網(wǎng)絡(luò)安全事件時(shí)有發(fā)生,重要服務(wù)器和核心網(wǎng)絡(luò)設(shè)備被攻擊;網(wǎng)絡(luò)病毒泛濫,得不到控制;有線用戶和無線用戶的接入控制、定位缺乏手段等;針對(duì)以上問題,將安全連接、威

7、脅防御、信用和身份管理系統(tǒng)集成到單個(gè)解決方案中,并提供病毒感染限制、染毒設(shè)備隔離功能可有效的解決校園網(wǎng)建設(shè)中的安全問題。 高可擴(kuò)展性:在設(shè)計(jì)園區(qū)網(wǎng)時(shí),通過層次化的設(shè)計(jì)可保證網(wǎng)絡(luò)的擴(kuò)展性。層次化結(jié)構(gòu)包括三個(gè)功能部分:即接入層、分布層和核心層,層次化的設(shè)計(jì)除了能帶來便于擴(kuò)展的優(yōu)勢(shì)以外,還可節(jié)約成本和加強(qiáng)故障隔離能力; 移動(dòng)性:可通過實(shí)施Wireless LAN 實(shí)現(xiàn)無線上網(wǎng)。 1.2 校園網(wǎng)設(shè)計(jì)原則 采用先進(jìn)成熟的技術(shù)和設(shè)計(jì)思想,運(yùn)用先進(jìn)的集成技術(shù)路線,以先進(jìn)、實(shí)用、開放、安全、使用方便和易于操作為原則,突出系統(tǒng)功能的實(shí)用性,盡快投入使用,發(fā)揮較好的效能。 計(jì)算機(jī)技術(shù)的發(fā)展十分迅速,更新

8、換代周期越來越短。所以,選購設(shè)備要充分注意先進(jìn)性,選擇硬件要預(yù)測到未來發(fā)展方向,選擇軟件要考慮開放性,工具性和軟件集成優(yōu)勢(shì)。網(wǎng)絡(luò)設(shè)計(jì)要考慮通信發(fā)展要求,因此,主要、關(guān)鍵設(shè)備需要具有很高的性價(jià)比。 系統(tǒng)的設(shè)計(jì)既要在相當(dāng)長的時(shí)間內(nèi)保證其先進(jìn)性,還應(yīng)本著實(shí)用的原則,在實(shí)用的基礎(chǔ)上追求先進(jìn)性,使系統(tǒng)便于聯(lián)網(wǎng),實(shí)現(xiàn)信息資源共享。易于維護(hù)管理,具有廣泛兼容性,同時(shí)為適應(yīng)我國實(shí)際情況,設(shè)備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。 目前,計(jì)算機(jī)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互連互通日益增加,都直接或間接與國際互連網(wǎng)連接。因此,系統(tǒng)方案設(shè)計(jì)需考慮系統(tǒng)的可靠性、信息安全性和保密性的要求。 翔宇實(shí)驗(yàn)中學(xué)校園網(wǎng)設(shè)計(jì)方案設(shè)

9、計(jì)原則和需求分析,可以方便地進(jìn)行設(shè)備擴(kuò)充和適應(yīng)工程的變化,以及靈活地進(jìn)行軟件版本的更新和升級(jí),保護(hù)用戶的投資。 目前,網(wǎng)絡(luò)向多平臺(tái)、多協(xié)議、異種機(jī)、異構(gòu)型網(wǎng)絡(luò)共存方向發(fā)展,其目標(biāo)是將不同機(jī)器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類型連成一個(gè)可協(xié)同工作的一個(gè)整體。所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國際標(biāo)準(zhǔn),為將來系統(tǒng)的升級(jí)、擴(kuò)展打下良好的基礎(chǔ)。 采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式,滿足系統(tǒng)及用戶各種不同的應(yīng)用要求,適應(yīng)業(yè)務(wù)調(diào)整變化。 采用的技術(shù)標(biāo)準(zhǔn)必須按照國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)與規(guī)范,保證系統(tǒng)的延續(xù)性和可靠性。 滿足系統(tǒng)目標(biāo)與功能目標(biāo),總體方案設(shè)計(jì)合理,滿足用戶的應(yīng)用要求,便于系統(tǒng)維護(hù),以及系統(tǒng)二次開發(fā)與移植。

10、 第二章 校園網(wǎng)建設(shè)方案 2.1 搭建校園網(wǎng)絡(luò)系統(tǒng) 翔宇實(shí)驗(yàn)中學(xué)從地理上分為二大塊:教學(xué)區(qū)和宿舍區(qū)。目前只在教學(xué)區(qū)部分大樓進(jìn)行了聯(lián)網(wǎng),宿舍區(qū)沒有聯(lián)網(wǎng)。因此,我們需要做的工作是宿舍區(qū)和教學(xué)區(qū)的網(wǎng)絡(luò)互聯(lián),以及教學(xué)區(qū)的網(wǎng)絡(luò)擴(kuò)展。 本方案采用成熟的千兆以太網(wǎng)技術(shù),采用分層結(jié)構(gòu)的解決方案。整個(gè)網(wǎng)絡(luò)設(shè)計(jì)的原則為: 中心交換機(jī)為整個(gè)網(wǎng)絡(luò)的核心,它對(duì)整個(gè)網(wǎng)絡(luò)的性能、可靠性起決定作用,它連接各個(gè)物理子網(wǎng),管理網(wǎng)絡(luò)內(nèi)信息交換(包括多媒體信息),控制VLAN 間訪問,保證信息安全。因此,選用中心交換機(jī)除了提供高速的網(wǎng)絡(luò)連接之外,還具有多種信息的管理控制能力。 全部的網(wǎng)絡(luò)設(shè)備均支持高效的Intranet

11、 多媒體和多點(diǎn)廣播技術(shù),為多媒體和多點(diǎn)廣播應(yīng)用等提供端到端的帶寬保證。 網(wǎng)絡(luò)采用層次結(jié)構(gòu),不僅邏輯結(jié)構(gòu)清晰,管理方便;更重要的是大多數(shù)的數(shù)據(jù)流量(主要是同一部門或工作組內(nèi))的交換在分布層交換機(jī)上直接處理,不經(jīng)中心設(shè)備,節(jié)省主干帶寬,提高利用率。 有一定的前瞻性,不僅滿足當(dāng)前網(wǎng)上應(yīng)用,也為向?qū)砀咝阅艿纳?jí)作好了準(zhǔn)備:網(wǎng)絡(luò)具有的伸縮性,升級(jí)和擴(kuò)展主要只集中在網(wǎng)絡(luò)中心,添加新的接口模塊,即可實(shí)現(xiàn)用戶和信息點(diǎn)的擴(kuò)充,升級(jí)模塊即可大量提高主干帶寬;中心配置兩臺(tái)多層交換機(jī),網(wǎng)絡(luò)結(jié)構(gòu)就能連接成高可靠性的、真正的中心交換機(jī)互備份和上聯(lián)線路冗余。配合熱備份路由協(xié)議和熱備份雙服務(wù)器主機(jī)系統(tǒng),在整個(gè)系統(tǒng)內(nèi)消

12、除單點(diǎn)故障,提供高可用性的應(yīng)用服務(wù)系統(tǒng)。 虛擬專用網(wǎng)(VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 根據(jù)地理位置及信息點(diǎn)的數(shù)量和未來覆蓋面擴(kuò)充等多方面原因,將校園網(wǎng)為每個(gè)系劃分若干

13、個(gè)區(qū)域。劃分區(qū)域主要考慮以下幾個(gè)方面:可以減輕中央核心交換機(jī)的負(fù)擔(dān)、管理上方便、便于未來的連接擴(kuò)充。 翔宇實(shí)驗(yàn)中學(xué)校園網(wǎng)的拓樸如圖2.1所示: 圖2.1 翔宇實(shí)驗(yàn)中學(xué)校園網(wǎng)的拓樸圖 整個(gè)校園網(wǎng)劃分為三個(gè)層次:核心層、分布層和接入層。相應(yīng)的交換機(jī)就是核心交換機(jī)、分布層交換機(jī)和接入層交換機(jī)。 核心層網(wǎng)絡(luò)選擇千兆以太網(wǎng)。校網(wǎng)絡(luò)中心將放置兩臺(tái)高端三層千兆交換機(jī)和一臺(tái)邊界路由器。交換機(jī)間的連接要求是高帶寬連接。分布層交換機(jī)要求至少兩路上行鏈路連至兩臺(tái)核心層交換機(jī)上,采用快速收斂的路由協(xié)議實(shí)現(xiàn)故障切換和負(fù)載均衡,當(dāng)某一鏈路出現(xiàn)意外,也可以從另外一路上連。 校內(nèi)各系的匯聚交換機(jī)構(gòu)成,各分布層交

14、換機(jī)放置在各系的網(wǎng)絡(luò)中心,要求至少兩路上行鏈路連至兩臺(tái)核心層交換機(jī)上。 分布層交換的下連交換機(jī)都為接入層網(wǎng)絡(luò)。 2.3 IP地址規(guī)劃 本方案采用的地址分配方法利用VLSM技術(shù),不僅有大量預(yù)留空間,而且本校園網(wǎng)使用OSPF路由協(xié)議,有層次的IP地址,易于管理,在邊界路由器上可做匯聚(匯聚成10.1.0.0/17網(wǎng)段),減少路由更新大小,提高網(wǎng)絡(luò)性能。如表2.1所示: 表2.1 翔宇實(shí)驗(yàn)中學(xué)校園網(wǎng)IP地址分配表 建筑物 設(shè)備 IP地址 子網(wǎng)掩碼 現(xiàn)教樓中心機(jī)房 VPN防火墻 10.1.0.1 255.255.255.0 邊界路由器 10.1.0.2 255.255.2

15、55.0 核心交換機(jī)1 10.1.0.3 255.255.255.0 核心交換機(jī)2 10.1.0.4 255.255.255.0 WEB/FTP服務(wù)器 10.1.70.1 255.255.255.0 認(rèn)證服務(wù)器 10.1.70.2 255.255.255.0 DNS/DHCP服務(wù)器 10.1.80.1 255.255.255.0 用戶 10.1.10.0 255.255.255.0 教學(xué)樓 分布層交換機(jī) 10.1.0.5 255.255.255.0 接入層交換機(jī) 10.1.0.6 255.255.255.0 AP 10.1.63.7 25

16、5.255.255.0 用戶 10.1.20.0 255.255.254.0 實(shí)驗(yàn)樓 分布層交換機(jī) 10.1.0.8 255.255.255.0 接入層交換機(jī) 10.1.0.9 255.255.255.0 AP 10.1.63.10 255.255.255.0 用戶 10.1.30.0 255.255.248.0 圖書館 分布層交換機(jī) 10.1.0.11 255.255.255.0 接入層交換機(jī) 10.1.0.12 255.255.255.0 AP 10.1.63.13 255.255.255.0 用戶 10.1.40.0 255.25

17、5.254.0 行政樓 分布層交換機(jī) 10.1.0.14 255.255.255.0 接入層交換機(jī) 10.1.0.15 255.255.255.0 AP 10.1.63.16 255.255.255.0 用戶 10.1.50.0 255.255.254.0 宿舍樓 分布層交換機(jī) 10.1.0.17 255.255.255.0 接入層交換機(jī) 10.1.0.18 255.255.255.0 AP 10.1.63.19 255.255.255.0 用戶 10.1.64.0 255.255.192.0 2.4 設(shè)備選型 本方案中校園網(wǎng)絡(luò)核心層設(shè)備

18、采用CISCO Catalyst 6509(Supervisor Engine 720*2/電源*2/FWSM*1/IPSec VPN 模塊*1/IDSM*1/NAM*1/16 口千兆以太網(wǎng)光口板*1/若干5486/48 口千兆電口*1,符合IEEE802.3af&PoE) 數(shù)量:2 臺(tái)。Cisco Catalyst 6509 的優(yōu)點(diǎn): l 最長的網(wǎng)絡(luò)正常運(yùn)行時(shí)間--利用平臺(tái)、電源、控制引擎、交換矩陣和集成網(wǎng)絡(luò)服務(wù)冗余性提供1~3 秒的狀態(tài)故障切換,提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境,減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷。 l 全面的網(wǎng)絡(luò)安全性--將切實(shí)可行的數(shù)千兆位級(jí)思科安全解決方案集

19、成到現(xiàn)有網(wǎng)絡(luò)中,包括入侵檢測、防火墻、VPN 和SSL。 l 可擴(kuò)展性能--利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá)400Mpps 的轉(zhuǎn)發(fā)性能。 l 能夠適應(yīng)未來發(fā)展并保護(hù)投資的體系結(jié)構(gòu)--在同一種機(jī)箱中支持三代可互換、可熱插拔的模塊,以提高IT 基礎(chǔ)設(shè)施利用率,增大投資回報(bào),并降低總體擁有成本。 l 卓越的服務(wù)集成和靈活性--將安全和內(nèi)容等高級(jí)服務(wù)與融合網(wǎng)絡(luò)集成在一起,提供從10/100 和10/100/1000 以太網(wǎng)到萬兆以太網(wǎng),從DS0 到OC-48 的各種接口和密度,并能夠在任何部署項(xiàng)目中端到端執(zhí)行。 校園網(wǎng)絡(luò)分布層設(shè)備采用CISCO Catalyst 4507R(Supervisor

20、 Engine V-10GE*2/電源*2/若干千兆以太網(wǎng)光口板及GBIC/48 口千兆電口板*1,符合IEEE802.3af&PoE)數(shù)量:7 臺(tái)。Cisco Catalyst 4506(With Supervisor V-10GE)的優(yōu)點(diǎn)是: l 136Gbps 交換矩陣; l 102mpps 第二層到第四層吞吐率; l 雙線速萬兆以太網(wǎng)上行鏈路; l 利用千兆以太網(wǎng)SFP 上行鏈路順利移植到萬兆以太網(wǎng); l 在交換管理引擎上提供集成式NetFlow,通過基于用戶的速率限制實(shí)施精確流量控制; l 超快速800MHz CPU 可實(shí)現(xiàn)更快的控制平面; l 最多能夠在Catalys

21、t 4510R 交換機(jī)中支持384 個(gè)10/100/1000 端口; l 提供所有Cisco Catalyst 集成式安全特性; l 為提供更加靈活的策略,能夠?yàn)槊總€(gè)端口和VLAN 實(shí)施不同的QoS; l 思科快速轉(zhuǎn)發(fā)能夠防止可變IP 信息攻擊。 l 端口安全、DHCP 偵聽、ARP 檢測和IP 源防護(hù)能夠防止黑客從第二層及以上發(fā)動(dòng)拒絕服務(wù)(DoS)攻擊或破壞網(wǎng)絡(luò)。 l 速率限制以出口和入口限速器的方式出現(xiàn),可以控制每個(gè)VLAN 的流量,防止DoS攻擊。Supervisor Engine V-10GE 支持基于用戶的速率限制。 l 802.1X 及其擴(kuò)展性能防止非法用戶和設(shè)備接入網(wǎng)

22、絡(luò),例如惡意接入點(diǎn)。 l 硬件Netflow 可用于主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常,并采取相應(yīng)措施。它使用的訪問控制列表可在交換端口和路由端口上提供,以便進(jìn)行二到七層流量控制。 校園網(wǎng)絡(luò)接入層設(shè)備采用CISCO Catalyst 3560(EMI)交換機(jī),該系列交換機(jī)是一個(gè)固定配置、企業(yè)級(jí)、IEEE 802.3af 和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電(PoE) 交換機(jī)系列,工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下。 CISCO Catalyst 3560 是一款理想的接入層交換機(jī),適用于小型企業(yè)布線室或分支機(jī)構(gòu)環(huán)境,結(jié)合了10/100/1000 和PoE 配置,實(shí)現(xiàn)最高生產(chǎn)率和投資保護(hù),并可部署新應(yīng)用,如IP 電

23、話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視頻訪問等。 客戶可在整個(gè)網(wǎng)絡(luò)范圍中部署智能服務(wù),如高級(jí)QoS 、速率限制、訪問控制列表、組播管理和高性能IP 路由等,且同時(shí)保持傳統(tǒng)LAN 交換的簡潔性。 思科網(wǎng)絡(luò)助理(network assistant)在Catalyst 3560 系列中免費(fèi)提供,是一個(gè)集中管理應(yīng)用,可簡化思科交換機(jī)、路由器和無線接入點(diǎn)的管理任務(wù)。思科網(wǎng)絡(luò)助理提供了配置向?qū)В蟠蠛喕巳诤暇W(wǎng)絡(luò)和智能網(wǎng)絡(luò)服務(wù)的實(shí)施;支持增強(qiáng)的802.1x(IBNS)。 2.5 網(wǎng)絡(luò)安全設(shè)計(jì) 翔宇實(shí)驗(yàn)中學(xué)網(wǎng)絡(luò)安全性方案設(shè)計(jì)原則是:整個(gè)翔宇實(shí)驗(yàn)中學(xué)網(wǎng)絡(luò)必須是一個(gè)嚴(yán)密的安全保密體系。采取的安全

24、措施不能影響整個(gè)網(wǎng)絡(luò)運(yùn)行效率。保密設(shè)備要做到管理方便,完善可靠。加密系統(tǒng)具有良好的網(wǎng)絡(luò)兼容性和可擴(kuò)展性,實(shí)現(xiàn)防竊取、防篡改、防破壞三大功能。按照國家主管部門對(duì)政府辦公網(wǎng)絡(luò)安全保密性的相應(yīng)法規(guī)和規(guī)定,要保障系統(tǒng)內(nèi)部信息的安全,我們主要應(yīng)該做到處理秘密級(jí)、機(jī)密級(jí)信息的系統(tǒng)與不涉及保密信息的系統(tǒng)實(shí)行物理隔離,秘密級(jí)、機(jī)密級(jí)信息在網(wǎng)絡(luò)上采取加密傳輸。 防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與Internet 之間的一個(gè)或一組系統(tǒng),用以實(shí)施兩個(gè)網(wǎng)絡(luò)間的訪問控制和安全策略。狹義上防火墻指安裝了防火墻軟件的主機(jī)或和路由系統(tǒng);廣義上還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻技術(shù)屬于被動(dòng)防衛(wèi)型,它通過在網(wǎng)絡(luò)邊界上建立一個(gè)網(wǎng)絡(luò)

25、通信監(jiān)控系統(tǒng)來保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的,其功能是按照設(shè)定的條件對(duì)通過的信息進(jìn)行檢查和過濾。防火墻是實(shí)施組織的網(wǎng)絡(luò)安全策略、保護(hù)內(nèi)部信息的第一道屏障,其作用主要有:保護(hù)功能拒絕非授權(quán)訪問、保護(hù)網(wǎng)絡(luò)系統(tǒng)和私人及敏感信息不受侵害。連接功能作為內(nèi)部網(wǎng)絡(luò)與Internet 之間的單一連接點(diǎn)。管理功能實(shí)施統(tǒng)一的安全策略,檢查網(wǎng)絡(luò)使用情況,進(jìn)行流量控制等。 防火墻有三個(gè)屬性:所有進(jìn)出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過它;僅被本地安全策略所授權(quán)的數(shù)據(jù)包才能通過它;防火墻本身對(duì)攻擊必須具有免疫能力。在翔宇實(shí)驗(yàn)中學(xué)和外網(wǎng)的連接中,我們推薦使用硬件防火墻。比如CISCO ASA5510-BUN-K9系列: l 并發(fā)連接數(shù) 1

26、30000 l 網(wǎng)絡(luò)吞吐量(Mbps) 300 l 安全過濾帶寬 170Mbps l 網(wǎng)絡(luò)端口 3+1個(gè)管理快速以太網(wǎng)端口、可升級(jí)到5個(gè)快速以太網(wǎng)端口、1個(gè)SSM 擴(kuò)展插槽 l 用戶數(shù)限制無用戶數(shù)限制 l 入侵檢測 DoS l 安全標(biāo)準(zhǔn)UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001 l 控制端口console l 管理思科安全管理器 (CS-Manager) l VPN支持 選擇該型號(hào)是因?yàn)閮r(jià)格適中,且功能齊全,較適合本校園網(wǎng)建設(shè)。 在內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間之間通過防火墻,

27、建立起一個(gè)DMZ 區(qū)。與外網(wǎng)關(guān)聯(lián)業(yè)務(wù)的服務(wù)器都可以放在DMZ 區(qū),Internet 上的用戶只能到達(dá)DMZ區(qū)相應(yīng)的服務(wù)器。并且內(nèi)部網(wǎng)絡(luò)到Internet 的連接,是通過NAT 地址翻譯的方式進(jìn)行,可以充分隱藏和保護(hù)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)設(shè)備。防火墻在內(nèi)外網(wǎng)絡(luò)連接中起兩個(gè)作用: l 利用訪問控制列表(Access Control List ,ACL)實(shí)安全防護(hù)防火墻操作系統(tǒng)IOS 通過訪問控制列表(ACL)技術(shù)支持包過濾防火墻技術(shù),根據(jù)事先確定的安全策略建立相應(yīng)的訪問列表,可以對(duì)數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制,可以根據(jù)源/目的地址、協(xié)議類型、TCP 端口號(hào)進(jìn)行控制。這樣,我們就可以在Extran

28、et 上建立第一道安全防護(hù)墻,屏蔽對(duì)內(nèi)部網(wǎng)Intranet 的非法訪問。 例如,我們可以通過ACL 限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺(tái)或幾臺(tái)主機(jī);限制可以被訪問的內(nèi)部主機(jī)的地址;為保證主機(jī)的安全,可以限制外部用戶對(duì)主機(jī)的一些危險(xiǎn)應(yīng)用如TELNET 等。 l 利用地址轉(zhuǎn)換(Network Address Translation,NAT)實(shí)現(xiàn)安全保護(hù)防火墻另外一個(gè)強(qiáng)大功能就是內(nèi)外地址轉(zhuǎn)換。進(jìn)行IP 地址轉(zhuǎn)換由兩個(gè)好處:其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP 地址,這可以使黑客(hacker)無法直接攻擊內(nèi)部網(wǎng)絡(luò),因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP 地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);另一個(gè)好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定

29、義的網(wǎng)絡(luò)地址方案,而不必考慮與外界地址沖突的情況。地址轉(zhuǎn)換(NAT)技術(shù)運(yùn)用在內(nèi)部主機(jī)與外部主機(jī)之間的互相訪問的時(shí)候,當(dāng)內(nèi)部訪問者想通過路由器外出時(shí),路由器首先對(duì)其進(jìn)行身份認(rèn)證----通過訪問列表(ACL)核對(duì)其權(quán)限,如果通過,則對(duì)其進(jìn)行地址轉(zhuǎn)換,使其以一個(gè)對(duì)外公開的地址訪問外部網(wǎng)絡(luò);當(dāng)外部訪問者想進(jìn)入內(nèi)部網(wǎng)時(shí),路由器同樣首先核對(duì)其訪問權(quán)限,然后根據(jù)其目的地址(外部公開的地址),將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應(yīng)的內(nèi)部主機(jī)。 在翔宇實(shí)驗(yàn)中學(xué)網(wǎng)絡(luò)工程和今后各種應(yīng)用系統(tǒng)的建設(shè)過程中,在局域網(wǎng)上我們可以根據(jù)不同部門、不同業(yè)務(wù)類別劃分VLAN(虛網(wǎng)),通過把不同系統(tǒng)劃分在不同VLAN 的方式,將各系統(tǒng)

30、完全隔離,實(shí)現(xiàn)對(duì)跨系統(tǒng)訪問的控制,既保證了安全性,也提高了可管理性。 l VLAN(虛網(wǎng))技術(shù)和VLAN 路由技術(shù) VLAN 技術(shù)用以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的集中管理和安全控制。CISCO 局域網(wǎng)交換機(jī)的一大優(yōu)勢(shì)是具備跨交換機(jī)的VLAN(虛網(wǎng))劃分和VLAN 路由功能。虛網(wǎng)是將一個(gè)物理上連接的網(wǎng)絡(luò)在邏輯上完全分開,這種隔離不僅是數(shù)據(jù)訪問的隔離,也是廣播域的隔離,就如同是物理上完全分離的網(wǎng)絡(luò)一樣,是一種安全的防護(hù)。通過VLAN 路由實(shí)現(xiàn)對(duì)跨部門訪問的控制,既保證了安全性,也提高了可管理性。 l Inter-VLAN Routing 原理 每一個(gè)VLAN 都具有一個(gè)標(biāo)識(shí),不同的VLAN 標(biāo)識(shí)亦不

31、相同,交換機(jī)在數(shù)據(jù)鏈路層上可以識(shí)別不同的VLAN 標(biāo)識(shí),但不能修改該VLAN 標(biāo)識(shí),只有VLAN標(biāo)識(shí)相同的端口才能形成橋接,數(shù)據(jù)鏈路層的連接才能建立,因而不同VLAN的設(shè)備在數(shù)據(jù)鏈路層上是無法連通的。Inter-VLAN Routing 技術(shù)是在網(wǎng)絡(luò)層將VLAN標(biāo)識(shí)進(jìn)行轉(zhuǎn)換,使得不同的VLAN 間可以溝通,而此時(shí)基于網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層的安全控制手段都可運(yùn)用,諸如Access-list (訪問列表限制)、FireWall(防火墻)、TACACS+等,Inter-VLAN Routing 技術(shù)使我們獲得了對(duì)不同VLAN 間數(shù)據(jù)流動(dòng)的強(qiáng)有力控制。 l MAC 地址過濾策略 在內(nèi)部網(wǎng)中還可以

32、利用Cisco 交換機(jī)的MAC 地址過濾功能對(duì)局域網(wǎng)的訪問提供鏈路層的安全控制。MAC 地址過濾能進(jìn)一步實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。CISCO局域網(wǎng)交換機(jī)具有MAC 地址過濾功能,通過在交換機(jī)上對(duì)每個(gè)端口進(jìn)行配置,可以禁止或允許特定MAC 地址的源站點(diǎn)或目的站點(diǎn),從而實(shí)現(xiàn)各站點(diǎn)之間的訪問控制。由于每塊網(wǎng)卡有唯一的MAC 地址,是固定不變的,只允許特定MAC 地址的工作站通過特定的端口進(jìn)行訪問,所以對(duì)MAC 地址的訪問控制實(shí)際上就是對(duì)指定工作站這一物理設(shè)備的訪問控制,由于MAC 地址的不可改變,與對(duì)IP 地址的過濾相比,具有更高的安全性。 l 訪問安全控制 從確保網(wǎng)絡(luò)訪問的安全出發(fā),路由器對(duì)所有

33、遠(yuǎn)程撥號(hào)訪問連接都由Radius設(shè)置AAA(Authentication Authorization Account,即認(rèn)證、授權(quán)、記帳)級(jí)安全控制,防止非法用戶的訪問。同時(shí),在計(jì)費(fèi)服務(wù)器上,也提供Radius 認(rèn)證方式,兩者可以配合使用。(也可以只采用計(jì)費(fèi)服務(wù)器上的Radius認(rèn)證)。具體的實(shí)現(xiàn)細(xì)節(jié)如下: 在網(wǎng)絡(luò)中配置一臺(tái)安裝Cisco Secure 軟件的服務(wù)器,Cisco Secure 軟件使用Radius(Remote Authentication Dial-in User Service)協(xié)議提供對(duì)網(wǎng)絡(luò)的安全控制,并對(duì)成功連接到網(wǎng)絡(luò)的用戶的操作進(jìn)行記錄。對(duì)于遠(yuǎn)程撥號(hào)訪問,配置PPP

34、 協(xié)議提供的CHAP(Challenge Handshake Authorization Protocol)認(rèn)證協(xié)議,該協(xié)議是一個(gè)基于標(biāo)準(zhǔn)的認(rèn)證服務(wù),而且在傳輸過程中使用加密保護(hù),與在傳輸用戶ID和口令時(shí)不使用加密的PAP 協(xié)議相比,具有更大的安全性,可提供用戶ID 和口令在傳輸線上的安全保護(hù)。 RADIUS 提供的AAA 級(jí)安全控制首先根據(jù)用戶名和口令識(shí)別在本網(wǎng)絡(luò)中是否允許該用戶訪問,從而決定是否建立連接;其次對(duì)經(jīng)過認(rèn)證連接到網(wǎng)絡(luò)的用戶授予相應(yīng)的網(wǎng)絡(luò)服務(wù)級(jí)別,提供訪問的限制;最后保留用戶在本網(wǎng)絡(luò)中的所有操作記錄(日志),這些記錄的內(nèi)容包括用戶網(wǎng)絡(luò)地址、用戶名、所使用的服務(wù)、日期和時(shí)間以及用

35、于計(jì)帳的連接時(shí)間、連接位置、數(shù)據(jù)傳輸量、開始時(shí)間和停止時(shí)間等。 AAA 在Client/Server 體系中允許在一個(gè)中心數(shù)據(jù)庫中存儲(chǔ)所有的安全息,在一臺(tái)裝有Cisco Secure 軟件的安全服務(wù)器上通過對(duì)數(shù)據(jù)庫的修改和維護(hù)就可方便地對(duì)整個(gè)系統(tǒng)進(jìn)行很好的安全控制。 Cisco Secure 軟件由一個(gè)Daemon 和一個(gè)GUI 兩部分組成。Daemon 的操作依賴于兩個(gè)文件,一個(gè)用于定義所有的系統(tǒng)參數(shù)的控制文件和一個(gè)包含了網(wǎng)絡(luò)用戶所有認(rèn)證和授權(quán)信息的數(shù)據(jù)庫文件。GUI 提供給系統(tǒng)管理員用于維護(hù)認(rèn)證和授權(quán)信息等,網(wǎng)絡(luò)用戶可被分配到具有一系列相同參數(shù)的組,GUI 使系統(tǒng)管理員能夠修改網(wǎng)絡(luò)中任

36、一組和任一用戶的認(rèn)證和授權(quán)參數(shù)。 2.6 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì) 網(wǎng)絡(luò)管理性能是衡量一個(gè)網(wǎng)絡(luò)系統(tǒng)性能高低的重要因素之一。網(wǎng)絡(luò)管理系統(tǒng)完成設(shè)置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)運(yùn)行、保障網(wǎng)絡(luò)安全,查找并隔離網(wǎng)絡(luò)故障,記錄網(wǎng)絡(luò)中的各種事件以及劃分虛擬網(wǎng)絡(luò)等功能??傊瑢?duì)所有網(wǎng)絡(luò)上的信息進(jìn)行統(tǒng)一管理。 網(wǎng)管通常結(jié)合硬件和軟件的手段來實(shí)施,對(duì)不同的拓?fù)浣Y(jié)構(gòu)及不同的物理和邏輯部分進(jìn)行監(jiān)控和分析。OSI 定義網(wǎng)管系統(tǒng)支持傳統(tǒng)五大網(wǎng)管功能:故障管理、配置管理、計(jì)費(fèi)管理、安全管理以及性能管理。這些管理功能由網(wǎng)管系統(tǒng)和網(wǎng)絡(luò)設(shè)備共同完成。結(jié)合校園網(wǎng)的實(shí)際情況,我們認(rèn)為,安全管理與計(jì)費(fèi)管理可以由網(wǎng)絡(luò)管理模塊配合專用的軟(硬)件管理

37、產(chǎn)品來共同實(shí)現(xiàn),網(wǎng)絡(luò)管理的主要任務(wù)應(yīng)落實(shí)在故障管理、配置管理和性能管理這三個(gè)方面。 1、配置管理 l 網(wǎng)絡(luò)節(jié)點(diǎn)插板、端口和冗余結(jié)構(gòu)的配置和管理; l 網(wǎng)絡(luò)節(jié)點(diǎn)訪問口令的設(shè)置和更改。 2、性能管理 l 可以實(shí)時(shí)連續(xù)地收集網(wǎng)絡(luò)運(yùn)行的相關(guān)數(shù)據(jù),可用數(shù)字和圖形的方式顯示網(wǎng)絡(luò)運(yùn)行的各種情況以及重要程度,需要時(shí)可發(fā)布指令到各節(jié)點(diǎn),進(jìn)行網(wǎng)絡(luò)控制; l 可從相關(guān)節(jié)點(diǎn)收集業(yè)務(wù)量數(shù)據(jù),進(jìn)行統(tǒng)計(jì)、分類、記錄歸擋。使用這些信息為網(wǎng)絡(luò)建設(shè)提供規(guī)劃設(shè)計(jì)依據(jù)。 3、故障管理 l 能實(shí)時(shí)監(jiān)視故障信息,并對(duì)其統(tǒng)計(jì)分析; l 可形成節(jié)點(diǎn)、中繼線及用戶端口的告警產(chǎn)生、告警內(nèi)容和告警清除的統(tǒng)計(jì)報(bào)告??蓪?shí)時(shí)修改狀態(tài)圖

38、以反映此故障。 校園網(wǎng)網(wǎng)絡(luò)設(shè)備較多但網(wǎng)絡(luò)結(jié)構(gòu)簡單,管理人員不多,比較適合采用集中的管理模式,即由一臺(tái)網(wǎng)管主機(jī)(或者備份主機(jī))對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境進(jìn)行綜合管理,不需要添加二級(jí)管理設(shè)備,管理結(jié)構(gòu)簡單,已于維護(hù)管理。通過仔細(xì)分析校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu),在主要管理產(chǎn)品選型上我們建議采用Cisco 公司基于WINDOWS 2000 的CiscoWorks2000網(wǎng)管軟件實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的管理。 網(wǎng)絡(luò)管理是對(duì)網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進(jìn)行有效的監(jiān)視、控制、診斷和測試所采用的技術(shù)和方法。網(wǎng)絡(luò)管理系統(tǒng)的概念模型主要由管理者、管理代理和被管對(duì)象等實(shí)體及其相互作用組成?;赟NMP(Simple Network Ma

39、nagement Protocol)的網(wǎng)絡(luò)管理系統(tǒng)SNMP 由IETF 提出,主要是為基于TCP/IP 的互連網(wǎng)設(shè)計(jì)的,現(xiàn)在已經(jīng)被其它協(xié)議實(shí)現(xiàn),如IPX/SPX,DECNET 以及APPLETALK 等,它的主要標(biāo)準(zhǔn)由一系列RFC 組成,并得到了網(wǎng)絡(luò)廠商的廣泛支持,成為網(wǎng)絡(luò)管理方面事實(shí)上的標(biāo)準(zhǔn)。目前基于SNMP 的網(wǎng)絡(luò)管理系統(tǒng)已廣泛應(yīng)用于Internet。這里建議采用Cisco Works軟件,因?yàn)樵撥浖赪EB頁面管理,操作簡便,功能齊全,而且是基于標(biāo)準(zhǔn)的多廠商管理軟件。 在實(shí)際環(huán)境中,管理者的功能由安裝在網(wǎng)絡(luò)管理中心的網(wǎng)管工作站上的一系列網(wǎng)管軟件完成,它負(fù)責(zé)管理主機(jī)、局域網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)

40、系統(tǒng)與應(yīng)用和與之相聯(lián)的下級(jí)單位的廣域網(wǎng)、局域網(wǎng)等設(shè)備,被管對(duì)象指網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)資源。管理者負(fù)責(zé)接收來自上述各級(jí)節(jié)點(diǎn)發(fā)送的網(wǎng)絡(luò)管理信息,并對(duì)相關(guān)事件進(jìn)行處理。 應(yīng)用服務(wù)的管理可以采用專用的服務(wù)管理軟件,針對(duì)不同的應(yīng)用服務(wù),進(jìn)行專業(yè)的監(jiān)控管理。目前,業(yè)界對(duì)各種應(yīng)用服務(wù)的管理基本上都有成熟的解決方案。應(yīng)用服務(wù)的狀態(tài)監(jiān)控主要體現(xiàn)在三個(gè)方面: l 服務(wù)器狀態(tài)的監(jiān)控:主要包括服務(wù)器的各個(gè)性能參數(shù)??梢圆捎脤S玫南到y(tǒng)管理模塊對(duì)各個(gè)性能參數(shù)分別監(jiān)控、統(tǒng)一管理。 l 應(yīng)用程序狀態(tài)的監(jiān)控:包括各個(gè)關(guān)鍵服務(wù)的關(guān)鍵應(yīng)用進(jìn)程的健康情況。視需監(jiān)控的程度和經(jīng)費(fèi)狀況,可以選用專用的監(jiān)控模塊或統(tǒng)一的進(jìn)程監(jiān)控模塊。 l

41、網(wǎng)絡(luò)狀態(tài)的監(jiān)控:通過上面的網(wǎng)絡(luò)管理模塊即可實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)可用性的統(tǒng)一監(jiān)控。考慮到校園網(wǎng)目前的管理人員比較少,管理任務(wù)相對(duì)較多的特點(diǎn),對(duì)以上各個(gè)應(yīng)用服務(wù)的管理及網(wǎng)絡(luò)管理,我們可以采用統(tǒng)一的事件控制平臺(tái)來匯總管理,實(shí)現(xiàn)集中化控制、單窗口管理。并且利用事件控制平臺(tái)自身的特點(diǎn),實(shí)現(xiàn)報(bào)警事件的集成、過濾、關(guān)聯(lián)和自動(dòng)化處理。事件管理平臺(tái)收集并集成來自網(wǎng)絡(luò)環(huán)境中任何重要的信息源的消息,通過內(nèi)置的過濾關(guān)聯(lián)機(jī)制,將有效的消息分組分級(jí)別的統(tǒng)一呈現(xiàn)在管理員面前。另外,應(yīng)用監(jiān)控系統(tǒng)能夠利用保存的歷史監(jiān)控?cái)?shù)據(jù),生成各種可用性及趨勢(shì)報(bào)表,為下一步的投資改造決策作參考。 第三章 網(wǎng)絡(luò)應(yīng)用解決方案 3.1 綜合

42、辦公自動(dòng)化系統(tǒng) 翔宇實(shí)驗(yàn)中學(xué)OA 系統(tǒng)整體設(shè)計(jì)目標(biāo)是:利用現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)及Internet 技術(shù)等為基礎(chǔ)建立起來的計(jì)算機(jī)網(wǎng)絡(luò),聯(lián)接教學(xué)內(nèi)部網(wǎng)絡(luò)的教學(xué)樓子網(wǎng)及分散于各功能樓、宿舍樓的計(jì)算機(jī),通過網(wǎng)絡(luò)管理中心的服務(wù)器群組為所有計(jì)算機(jī)提供例如登錄服務(wù),文件/打印共享/Email 服務(wù),及教學(xué)、科研、整體管理、校務(wù)服務(wù)、遠(yuǎn)程教學(xué)等傳統(tǒng)應(yīng)用服務(wù),提供經(jīng)濟(jì)類文獻(xiàn)的查詢、地方經(jīng)濟(jì)信息的發(fā)布、經(jīng)濟(jì)類的網(wǎng)上咨詢等。 根據(jù)教育部"統(tǒng)一規(guī)劃,相互協(xié)調(diào)"的原則,實(shí)現(xiàn)學(xué)院行政部門和學(xué)院辦公業(yè)務(wù)的電子化、自動(dòng)化和網(wǎng)絡(luò)化,使教育行政管理、應(yīng)急指揮和快速反應(yīng)的能力進(jìn)一步提高,高效率、高質(zhì)量地為學(xué)院教育行政部門和

43、學(xué)院的管理和決策服務(wù)。實(shí)現(xiàn)學(xué)院內(nèi)部資源高度共享;提高教育技術(shù)的現(xiàn)代化水平和教育信息化程度;為學(xué)院培養(yǎng)創(chuàng)新人才提供信息平臺(tái),提高學(xué)生收集處理信息的能力、獲取新知識(shí)的能力、分析和解決問題的能力、語言文字表達(dá)能力以及團(tuán)結(jié)協(xié)作和社會(huì)活動(dòng)的能力。 在認(rèn)真總結(jié)和分析了學(xué)校的校園網(wǎng)應(yīng)用系統(tǒng)的需求,提供了極具特色的高校校園網(wǎng)應(yīng)用解決方案,主要包括公文管理系統(tǒng)、信息發(fā)布系統(tǒng)、會(huì)議管理系統(tǒng)、信息交換系統(tǒng)、個(gè)人信息系統(tǒng)、信息資源庫、檔案管理子系統(tǒng)、公共信息管理子系統(tǒng)、電子論壇、日常事務(wù)管理、領(lǐng)導(dǎo)信息查詢子系統(tǒng)、圖書管理子系統(tǒng)、教學(xué)管理子系統(tǒng)、高考多功能查詢系統(tǒng)、郵件系統(tǒng)等十幾個(gè)模塊。 操作簡單;性能安全可靠;雙

44、向復(fù)制功能;綜合查詢功能;支持移動(dòng)辦公;靈活的伸縮性;支持多系統(tǒng)共存;動(dòng)態(tài)權(quán)限配置;通用的公文審批流程、打印格式;工作流程靈活定制;強(qiáng)大的版本跟蹤、痕跡保留技術(shù)。 第四章 網(wǎng)絡(luò)的綜合布線系統(tǒng) 4.1 綜合布線標(biāo)準(zhǔn) 所謂綜合布線系統(tǒng),是指按標(biāo)準(zhǔn)的、統(tǒng)一的和簡單的結(jié)構(gòu)化方式規(guī)劃和布置各種建筑物(或建筑群)內(nèi)各種系統(tǒng)的通信線咱,包括網(wǎng)絡(luò)系統(tǒng)、電話系統(tǒng)、監(jiān)控系統(tǒng)、電源系統(tǒng)和照明系統(tǒng)等。因此,綜合布線系統(tǒng)是一種標(biāo)準(zhǔn)通用的信息傳輸系統(tǒng)。 標(biāo)準(zhǔn)化組織: l 北美的標(biāo)準(zhǔn)EIA/TIA568A l 國際ISO標(biāo)準(zhǔn),即ISO/IEC11801 l IEEE802.3 100/1000Base-

45、T、100Base-F l IEEE802.5 TokenRing l 中國建筑電信設(shè)計(jì)規(guī)范 l 工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范 4.2設(shè)計(jì)范圍及要求 設(shè)計(jì)目標(biāo)的確定我們?yōu)樵撈髽I(yè)網(wǎng)絡(luò)設(shè)計(jì)的綜合布線系統(tǒng)將基于以下目標(biāo): 1.符合當(dāng)前和長遠(yuǎn)的信息傳輸要求。 2.布線系統(tǒng)設(shè)計(jì)遵從國際(ISO/CEI11801)標(biāo)準(zhǔn)。 3.布線系統(tǒng)采用國際標(biāo)準(zhǔn)建議的星形拓?fù)浣Y(jié)構(gòu)。 4.考慮網(wǎng)絡(luò)連接到桌面的速度100Mbps,網(wǎng)絡(luò)主干信息傳輸向1000兆發(fā)展的需要。 5.布線系統(tǒng)的信息出口采用國際標(biāo)準(zhǔn)的RJ45插座。 6.布線系統(tǒng)符合綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)的要求。 7.布線系統(tǒng)要立足開放原則。 4.3布線的實(shí)施

46、 系統(tǒng)結(jié)構(gòu),根據(jù)企業(yè)的具體情況,采用以下方案:采用集中結(jié)構(gòu),整個(gè)辦公區(qū)的所有雙絞線都拉到機(jī)房中。 雙絞線直接端接在機(jī)柜內(nèi)的模塊化配線架上。 材料選型,考慮到主干網(wǎng)絡(luò)采用千兆以太網(wǎng)的要求,所以,方案中網(wǎng)絡(luò)選用超5類雙絞線。 布線要求,布線標(biāo)準(zhǔn)選用超5類線產(chǎn)品,每個(gè)工作位是一個(gè)雙孔插座:一個(gè)電腦插座,一個(gè)電話插座(個(gè)別工作站設(shè)雙語音插口)。機(jī)柜端采用朗訊48口模塊式配線架。電話與電腦可任意互換。布線系統(tǒng)管槽設(shè)計(jì)管線鋪設(shè)建議: 1.由于安裝的是非屏蔽雙絞線,對(duì)接地要求不高,建議在與機(jī)柜相連的主線槽處接地。 2.本區(qū)域需要線槽的規(guī)格是這樣來確定的:線槽的橫截面積留40%的富余量以備擴(kuò)充,

47、超5類雙絞線的橫截面積為0.3平方厘米。 3.線槽安裝時(shí),應(yīng)注意與強(qiáng)電線槽的隔離。布線系統(tǒng)應(yīng)避免與強(qiáng)電線路在無屏蔽、距離小于20cm情況下平行走3米以上。如果無法避免,該段線槽需采取屏蔽隔離措施。 4.進(jìn)入家具的電纜管線由最近的吊頂線槽沿隔墻下到地面,并從地面鏜槽埋管到家具隔斷下。 5.管槽過渡、接口不應(yīng)該有毛刺,線槽過渡要平滑。 6.線管超過兩個(gè)彎頭必須留分線盒。 7.墻裝底盒安裝應(yīng)該距地面30厘米以上,并與其他底盒保持等高、平行。 8.線管采用鍍鋅薄壁鋼管或PVC管。 工作區(qū)子系統(tǒng)由終端設(shè)備連接到信息插座的連線,以及信息插座所組成。信息點(diǎn)由標(biāo)準(zhǔn)RJ45插座構(gòu)成。信息

48、點(diǎn)數(shù)量應(yīng)根據(jù)工作區(qū)的實(shí)際功能及需求確定,并預(yù)留適當(dāng)數(shù)量的冗余。例:對(duì)于一個(gè)辦公區(qū)內(nèi)的每個(gè)辦公點(diǎn)可配置2~3個(gè)信息點(diǎn),此外應(yīng)為此辦公區(qū)配置3~5個(gè)專用信息點(diǎn)用于工作組服務(wù)器、網(wǎng)絡(luò)打印機(jī)、傳真機(jī)、視頻會(huì)議等等。若此辦公區(qū)為商務(wù)應(yīng)用則信息點(diǎn)的帶寬為100M可滿足要求;若此辦公區(qū)為技術(shù)開發(fā)應(yīng)用則每個(gè)信息點(diǎn)應(yīng)為交換式100M甚至是光纖信息點(diǎn)。 工作區(qū)的終端設(shè)備(如:電話機(jī)、傳真機(jī))可用康寧公司FutureCom超五類或六類雙絞線直接與工作區(qū)內(nèi)的每一個(gè)信息插座相連接,或用適配器(如ISDN終端設(shè)備)、平衡/非平衡轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換連接到信息插座上。 水平子系統(tǒng)主要是實(shí)現(xiàn)信息插座和管理子系統(tǒng),即中間配線架(

49、IDF)間的連接。水平子系統(tǒng)指定的拓?fù)浣Y(jié)構(gòu)為星形拓?fù)?。水平干線的設(shè)計(jì)包括水平子系統(tǒng)的傳輸介質(zhì)與部件集成。選擇水平子系統(tǒng)的線纜,要根據(jù)建筑物內(nèi)具體信息點(diǎn)的類型、容量、帶寬和傳輸速率來確定。在水平子系統(tǒng)中推薦采用的雙絞電纜及光纖型號(hào)為: 康寧公司FutureCom超五類或六類非屏蔽雙絞線, FutureLink室內(nèi)單?;蚨嗄9饫w。 雙絞線水平布線鏈路中,水平電纜的最大長度為90m。若使用100ΩUTP雙絞線作為水平子系統(tǒng)的線纜,可根據(jù)信息點(diǎn)類型的不同采用不同類型的電纜,例如對(duì)于語音信息點(diǎn)和數(shù)據(jù)信息點(diǎn)可采用FutureCom超五類或六類雙絞線,甚至使用FutureLink光纜;對(duì)于電磁干擾嚴(yán)重的場

50、合應(yīng)盡量采用康寧公司FutureCom六類屏蔽雙絞線。但是從系統(tǒng)的兼容性和信息點(diǎn)的靈活互換性角度出發(fā),建議水平子系統(tǒng)采用同一種布線材料。 管理子系統(tǒng)由互連和輸入/輸出組成,實(shí)現(xiàn)配線管理,為連接其它子系統(tǒng)提供手段。包括配線架、跳線設(shè)備及光配線架等組成設(shè)備。設(shè)計(jì)管理子系統(tǒng)時(shí),必需了解線路的基本設(shè)計(jì)原理,合理配置各子系統(tǒng)的部件。康寧公司的LANscape綜合布線解決方案擁有搭配科學(xué)、管理簡便的成套產(chǎn)品用于管理子系統(tǒng)。 干線子系統(tǒng)指提供建筑物的主干電纜的路由,是實(shí)現(xiàn)主配線架與中間配線架,計(jì)算機(jī)、PBX、控制中心與各管理子系統(tǒng)間的連接。干線傳輸電纜的設(shè)計(jì)必須既滿足當(dāng)前的需要,又適應(yīng)今后的發(fā)展。干線子

51、系統(tǒng)布線走向應(yīng)選擇干線線纜最短、最安全和最經(jīng)濟(jì)的路由。干線子系統(tǒng)在系統(tǒng)設(shè)計(jì)施工時(shí),應(yīng)預(yù)留一定的線纜做冗余信道,這點(diǎn)對(duì)于綜合布線系統(tǒng)的可擴(kuò)展性和可靠性來說是十分重要的。 干線子系統(tǒng)可以使用的線纜主要有:HAY三類大對(duì)數(shù)電纜;FutureCom超五類或六類雙絞線;FutureLink室內(nèi)單?;蚨嗄9饫w。 超五類雙絞線可以支持1000BASE-T,但如要求支持1000BASE-TX則必須使用六類雙絞線。如果已安裝的電纜僅滿足5類線標(biāo)準(zhǔn)(1995),那么在連接1000BASE-T設(shè)備之前,應(yīng)對(duì)布線系統(tǒng)按照新增加的布線參數(shù)(如:回波損耗,等級(jí)遠(yuǎn)端串?dāng)_(ELFEXT),傳播延遲和延時(shí)畸變等)進(jìn)行測量和

52、認(rèn)證。 設(shè)備間子系統(tǒng)由設(shè)備室的電纜、連接器和相關(guān)支持硬件組成,把各種公用系統(tǒng)設(shè)備互連起來。設(shè)備間的主要設(shè)備有數(shù)字程控交換機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、服務(wù)器、樓宇自控設(shè)備主機(jī)等等。它們可以放在一起,也可分別設(shè)置。在較大型的綜合布線中,可以將計(jì)算機(jī)設(shè)備、數(shù)字程控交換機(jī)、樓宇自控設(shè)備主機(jī)分別設(shè)置機(jī)房,把與綜合布線密切相關(guān)的硬件設(shè)備放置在設(shè)備間,計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的機(jī)房放在離設(shè)備間不遠(yuǎn)的位置。 建筑群子系統(tǒng)是實(shí)現(xiàn)建筑之間的相互連接,提供樓群之間通信設(shè)施所需的硬件。建筑群之間可以采用有線通信的手段,也可采用微波通信、無線通信的手段。 在康寧公司的LANscape綜合布線解決方案中,康寧FutureLink光纖

53、不但支持FDDI主干、1000Base-FX主干、100Base-FX到桌面、ATM主干和ATM到桌面,還可以支持CATV/CCTV及光纖到桌面(FTTD),是建筑群子系統(tǒng)和主干線子系統(tǒng)布線中有線通信線纜中的明星。光纖有單模光纖和多模光纖兩種:單模光纖只傳輸主模態(tài),可完全避免模態(tài)色散,傳輸頻帶很寬,傳輸容量很大,適用于大容量、長距離的光纖通信。它是未來光纖通信與光波技術(shù)發(fā)展的必然趨勢(shì)(如:1000BASE-LX基于1300nm的單模光纜,使用8B/10B編碼解碼方式,最大傳輸距離為3000m,康寧公司出品的特制光纖傳輸距離為標(biāo)準(zhǔn)距離的5-10倍);多模光纖傳輸模態(tài)較多,存在一定量的模態(tài)色散,頻

54、帶較寬,傳輸容量較大(目前采用的62.5/125μm多模光纖,數(shù)據(jù)傳輸速率為100Mbps時(shí),最大距離可以到2km),但傳輸千兆位數(shù)據(jù)量時(shí)距離支持十分有限。 4.4測試及驗(yàn)收 布線的施工工藝質(zhì)量并不能完全決定整個(gè)網(wǎng)絡(luò)布線的質(zhì)量,所以對(duì)布線必須作認(rèn)證測試,以決定鏈路是否達(dá)到設(shè)計(jì)要求。 1.驗(yàn)證測試,通常是施工者在施工結(jié)束后自己檢查的過程,測試的主要參數(shù)是基本鏈路的連通性、接線圖及長度,獲取的數(shù)據(jù)用來判斷整個(gè)工程是否達(dá)到設(shè)計(jì)要求,并作為向甲方提出對(duì)該工程驗(yàn)收的依據(jù)。 2.認(rèn)證測試,它的結(jié)果直接反映了布線施工工藝質(zhì)量的好壞,并能判定基本鏈路的連通性測試和電氣性能測試是否全部達(dá)到規(guī)定的設(shè)計(jì)要

55、求;具體的施工質(zhì)量沒有經(jīng)過認(rèn)證測試這一重要環(huán)節(jié),系統(tǒng)的可靠性、穩(wěn)定性是很難保證的。 3.測試標(biāo)準(zhǔn),目前,認(rèn)證的標(biāo)準(zhǔn)一般采用TIA委員會(huì)制定的五類雙絞線系統(tǒng)測試標(biāo)準(zhǔn),即TSB-67《現(xiàn)場測試非屏蔽雙絞線布線系統(tǒng)的傳輸性能規(guī)范》或ISO11801為標(biāo)準(zhǔn)。 4.測試參數(shù),各種測試模式的測試參數(shù)至少應(yīng)包括下列內(nèi)容: l 接線圖(Wire Map)--這是確認(rèn)鏈路連接完整性的測試,主要檢查8芯雙絞線中每對(duì)線是否符合EIA/TIA-568規(guī)定的標(biāo)準(zhǔn); l 長度(Length(m))--主要檢查鏈路的物理長度,對(duì)通道最長為100M,對(duì)鏈路最長為94M,如考慮到測試儀器的校正誤差,最多可增加10

56、%,即對(duì)通道最長110M,對(duì)鏈路最長為104M; l 衰減(Attenuation)--主要檢查信號(hào)沿鏈路傳輸過程中損失的量度; l 近端串?dāng)_(NEXT(dB)) --主要檢查雙絞線鏈路中從一對(duì)線到另一對(duì)線的信號(hào)泄露。這個(gè)參數(shù)是決定鏈路傳輸性能的最重要的參數(shù),會(huì)隨著傳輸速率的增加而增大,它與布線的走向、線的端接、干擾源的隔離等諸多因素有關(guān); l 對(duì)于主干采用大對(duì)數(shù)光纜,則需要測試光傳輸過程中的連續(xù)性和衰減損耗。其中連通性是對(duì)光纖的基本要求,而衰減損耗是對(duì)光纖作為網(wǎng)絡(luò)介質(zhì)所表現(xiàn)的傳導(dǎo)性能否保證系統(tǒng)正常工作的前提。具體的說,就是要檢查每條光纖是否存在著斷裂或其它的不連續(xù)點(diǎn),光纖的接頭ST或SC頭的制作工藝以及每一條光纖的長度是否符合標(biāo)準(zhǔn)。 標(biāo)識(shí)清楚,標(biāo)識(shí)分為以下類別:通道標(biāo)識(shí)、空間標(biāo)識(shí)、電纜標(biāo)識(shí)、端接硬件標(biāo)識(shí)。 接地標(biāo)識(shí),對(duì)日常維護(hù)最重要的是電纜標(biāo)識(shí),根據(jù)我們的經(jīng)驗(yàn)是標(biāo)識(shí)的越細(xì)致,日常維護(hù)越簡單、方便,設(shè)備間的標(biāo)識(shí)尤為重要,垂直、水平、光纜,甚至房間的模塊面板都應(yīng)標(biāo)識(shí)清楚。 參考文獻(xiàn) 1.陳昇.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程(第一、二學(xué)期).人民郵電出版社.2005 2.陳昇.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程(第三、四學(xué)期).人民郵電出版社.2007 3.沈海娟.網(wǎng)絡(luò)互聯(lián)技術(shù)——路由與交換.浙江大學(xué)出版社.2009 24

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號(hào):ICP2024067431號(hào)-1 川公網(wǎng)安備51140202000466號(hào)


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺(tái),本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請(qǐng)立即通知裝配圖網(wǎng),我們立即給予刪除!

五月丁香婷婷狠狠色,亚洲日韩欧美精品久久久不卡,欧美日韩国产黄片三级,手机在线观看成人国产亚洲