网络工程设计
天津青年职业学院
校园网络设计方案
年 级: 09级
学 号: 0926203
姓 名: 李叶
专 业: 计算机网络技术
指导老师: 刘卫东
二零一一年 11 月
目 录
前言
1. 项目需求以及分析„„„„„„„„„„„„„„„„„„„„„„„...
1.1 用户需求
1.2用户需求分析
2.网络总体设计
2.1 总体设计思想
2.1局域网络技术选型
2.1.1局域网络技术
2.1.2. 局域网络技术选型
2.2网络结构及拓扑图
3.网络设计方案
3.1综合布线
3.1.1 综合布线设计依据
3.1.2 工作区子系统设计
3.1.3 水平子系统设计
3.1.4 垂直子系统设计
3.1.5 设备间子系统设计
3.1.6 管理子系统设计
3.1.7 建筑群子系统设计
3.1.8 综合布线的测试
3.2网络骨干交换机选型
3.2.1选型原则
3.2.2 选型设备说明
3.3 桌面交换机选型
3.3.1选型原则
3.3.2选型设备说明
3.4 广域网络连接设备
3.4.1 选型原则
3.4.2选型设备说明
3.5 服务器系统解决方案
3.5.1 服务器选择型原则
3.5.2选型设备说明
3.6 网络系统平台
3.6.1 WINDOWS2003 平台
3.6.2 LINUX 平台
3.7 应用平台
3.7.1应用平台的选型原则
3.7.2 INTERNET接入功能
3.7.3 办公系统
4.功能实现
4.1 IP地址分配
4.2 服务器功能的实现
4.2.1 DNS 服务器的实现
4.2.2 WWW 服务器的实现
4.2.3 FTP 服务器的实现
4.2.4 邮件服务器的实现
4.3网络操作系统的设置
4.3.1用户与组的规划
4.3.2权限的划分
4.4 网络设备的配置
4.4.1 交换机的配置
4.4.2 路由器的配置
5. 网络安全解决方案
5.1 安全解决方案设计目标
5.2 安全解决方案设计原则
5.3 安全技术解决方案
5.3.1 安全区域划分
5.3.2 防火墙方案
5.3.3 网络安全漏洞扫描
5.3.4 入侵检测
5.3.5 防病毒系统
5.3.6 备份机制
5.3.7 防雷工程
结束语
致谢
参考文献
前言
当今的世界已经砖表面为信息化社会。人们,恩对信息的需求越来越迫切,信息在经济的发展
中起着越来越重要的作用。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求,而且也是学生掌握现代化学习与工作手段的要求。因此,学校校园网的有无及水平的高斯低,也将成为评价学校及学生选择学校的新的标准之一。此时,校园网上的应用系统显得尤为重要。一方面,学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识;另一方面,基于先进的网络平台和其上的应用系统,将极大地促进教育的现代化进程,实现高水平的教学和管理。学校开展校园网络建设,将建设成为一个高水平的智能化、数字化的教学园区网络,最终完成统一软件资源平台的构建,实现统一网络管理、统一软件资源系统。
1.项目需求以及分析
1.1 用户需求
校园网是为学校师生提供教学、科研和综合信息服务的宽带媒体网络。首先,学校网络应为学校教
学、科研提供先进的信息化教学环境;其次,校园应具有教务、行政和总务管理功能;最后,校园网还应满足校内外的通讯要求。
1.2用户需求分析
一是网络性能 :学生对网络的需求主要是利用因特网进行网页浏览、邮件收发、文件下载、
网络聊天、远程教育等业务,出视频、语音对实时性要求较高,用户对带宽的要求不是很高。 二是网络可靠性:是否需要数据自动备份,是否需要数据远程备份,是否需要双机热备系统,网络出现故障时,是否能快速恢复网络系统的监控功能,网络不能出现因单点故障而引起全网瘫痪。三是网络管理:性能管理、配置管理、安全管理、故障管理、计费管理等。
2.网络总体设计
2.1 总体设计思想
校园网不只是涉及技术方面,而是包括 网络设施、应用平台、信息资源、专业应、人员素质等众多成分的综合化以及信息化教学环境系统。因此在总体上如何筹划、组织网络建设和开发应用的涉及思想是校园网建设中的最重要的问题。,进行校园网总体设计,首先是进行对象研究和需求调查,对学校的信息化教学环境进行准确的描述,明确系统设计的需求和条件;其次,在应用需求分析的基础上,确定Internet 服务类型进而确定系统建设的具体目标。第三是确定网络拓扑结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计,第四是确定技术设计的原则要求。,第五,规划安排下缘网建设的实施步骤。
2.2局域网络技术选型
2.2.1局域网络技术
局域网是局部地区网络的简称,此时联网计算机的距离常应小于10km 。网络为一个单位所拥有,分布范围小。投资少,配置简单等,具有如下特征:
● 传输速率高:一般为1Mbps —20 Mbps ,光纤告诉王可达100 Mbps,1000 Mbps。
● 支持传输介质种类多。
● 通信处理一般由网卡完成。
● 传输质量好,误码率低。
● 有规则的拓扑结构。
2.2.2. 局域网络技术选型
(1)对于普通的桌面用户,10M 的以太网就可以满足要求了
(2)对于工作组联网情况,如办公室之间,汇聚层与核心层之间的连网,则需要选择100M 的 快
速以太网。
(3)对于骨干网则需要选择千兆以太网。如果校园以太网有多个园区组成,园区艰巨较大,千兆以太网设备的互联可以考虑使用公共传输技术。二针对校园网络应用的数据宽带和突发性要求,也可以采用ATM 技术。
2.3网络结构及拓扑图
3. 网络设计方案
3.1综合布线
3.1.1 综合布线设计依据
(1)实用性:能支持多种数据通信、多媒体技术已信息管理系统等,能够实现现在和
未来技术的发展。
(2)灵活性: 任意信息点能够连接不同类型的设备,如打印机、终端等。
(3)开放性:能支持任何厂家的任意网络产品,支持任意网络结构。
(4)模块化:所有的接插件都是积木式的标准件,方便实用、管理与扩充。
(5)扩展性:实施后的综合布线系统是可扩充的,以便将来有更大的需求,能够容易
将设备安装接入。
(6)经济型:一次性投资长期受益,维护费用低,使整体投资达到最少。
3.1.2 工作区子系统设计
对于设计的校园网络来说,中心机房位于教学楼的四层,并且每栋楼都必须与中心机房相连接。各层信息点分布如下:
教学楼:一层 10,二层 10 三层 80 四层 80;综合楼:一层 20,二层 10,三层 10;男/女生宿
舍楼:1层- 5层: 20;图书馆:一层 2,三层 10;(楼层高三米,楼长60米,最短10米,最长30米),要求主干1000米,100M 交换到桌面
指从设备出线到信息插座的整个区域,即一个独立的需要设置终端的区域划分为一个工作区,提供用户终端设备到信息插座的连接。各个工作区根据信息点的集中程度,可以利用弹孔或多空插座。一般每个工作站区由多个墙盒式或买入式RJ45插座构成墙盒式安装,信息插座距地面高度应为30厘米,埋入式安装,应在腔内装一个锅边86暗埋盒。根据现场情况,也可以采用地面式安装或桌面式安装,墙盒式安装适用于多种场合。
3.1.3 水平子系统设计
水平布线为星形拓扑结构,即从配线室到每个信息孔位均应有一条通信线缆,所有用于数据的水平布线材料均为超五类AMP 非屏蔽双绞线,用于数据传输时最高速度达100M 。各楼层水平布线从个配线室出发,通过布线槽,穿墙线管,到达各工作区,从布线槽通过铁操或PVC 阻燃线槽等引出该工作区数据线,沿立柱、墙面或从地下延伸至个信息插座。
对于设计的校园网络来说,中心机房位于教学楼的四层,并且每栋楼都必须与中心机房相连接。 各层信息点分布如下:
教学楼:一层 10,二层 10 三层 80 四层 80;综合楼:一层 20,二层 10,三层 10;男/女生宿舍楼:1层- 5层: 20;图书馆:一层 2,三层 10;(楼层高三米,楼长60米,最短10米,最长30米),要求主干1000米,100M 交换到桌面
1、教学楼:一层:12口,二层:12口,三层:12+24+48口,四层:12+24+48口,按水平线平均长度24米(余量2米)计算,则一箱可以布放12根,因此一层:1箱,二层:1箱,三层:7箱,四层:7箱
2、综合楼:一层:24口,二层:12口,三层:12口,按水平线平均长度24米(余量2米)计算,
则一箱可以布放12根,因此一层:2箱,二层:1箱,三层:1箱
3、男/女生宿舍:一层:24口,二层:24口,三层:24口,四层:24口,五层:24口,按水平
线平均长度24米(余量2米)计算,则一箱可以布放12根,因此一层:2箱,
二层:2箱,三层:2箱,四层:2箱,五层:2箱
4、图书馆:1层:12口,3层:12口,按水平线平均长度24米(余量2米)计算,则一箱可以布
防12根,因此一层:1箱,二层:1箱
3.1.4 垂直子系统设计
垂直干线子系统由连接主设备间至个楼层配线间的线缆构成,提供高速数据通讯主干通道。主要由高性能室内光纤、双绞线、大对数通讯电缆组成。从主配线间发出至个子配线间,垂直干线材料根据通信要求我们对数据主干采用光纤光纤根数根据各子配线间中的网络设备的类型及数量配置并留有一定的备份。
3.1.5 设备间子系统设计
设备间管理通向各水平子系统主干电缆,从网络设备间出来的线路走向各个信息点,设备间通过光纤与网络连接(每幢楼只设一个设备间管理间)在设备上选择IBDN 公司高密度插接系统配线架,安装方式选用墙装式单通道方式。
3.1.6 管理子系统设计
根据学校的要求与实际情况,从配线箱出的双绞线,上下通向各楼层后沿过道通向各房间。安装方式为单通道墙装式。
3.1.7 建筑群子系统设计
光纤主干网采用部分网状拓扑结构,选用八芯冗余光纤为主干系统。
3.1.8 综合布线的测试
目前,网络建设使用的电缆主要有3种类型,即光纤、非屏蔽双绞线屏蔽双绞线报价、参数、图片、群乐和同轴电缆。光纤具有很高的传输速率、良好的抗干扰性能以及远距离传输等特点,主要用于主干线。非屏蔽双绞线是近几年来使用较广泛的通信介质,它的传输性能好,可用交换机或集线器来实现转接,常用于近距离传输。同轴电缆是早期网络广泛使用的传输介质,由于存在种种弊端,现在用得较少。
1. 非屏蔽双绞线测试
从工程的角度来讲,结构化布线非屏蔽双绞线测试可划分为2类,一类是导通测试,一类是认证测试。
为了确保线缆安装满足性能和质量的要求,在施工的过程中由施工人员边施工边测试,这种方法就是导通测试,它可以保证所完成的每一个连接都正确。导通测试注重结构化布线的连接性能,不关心结构化布线的电气特性。
认证测试是指对结构化布线系统依照标准进行测试,以确定结构化布线是否全部达到设计要求。通常结构化布线的通道性能不仅取决于布线的施工工艺,还取决于采用的线缆及相关连接硬件的质量,所以对结构化布线必须要做认证测试,也称5类测试认证。通过测试,我们可以确认所安装的线缆、相关连接硬件及其工艺能否达到设计要求,这种测试包括连接性能测试和电气性能测试。
(1)链路的验证测试
电缆安装是一个以安装工艺为主的工作,由于没有人能够完全无误地工作,为确保线缆安装满足性能和质量的要求,我们必须进行链路测试。在没有测试工具的情况下,连接工作可能出现一些错误。常见的连接错误有电缆标签错、连接开路和短路等。
①开路和短路 在施工中,由于工具、接线技巧或墙内穿线技术欠缺等问题,会产生开路或短路故障。
②反接 同一对线在两端针位接反,比如一端为1-2,另一端为2-1。
③错对 将一对线接到另一端的另一对线上,比如一端是1-2,另一端接在4-5上。
④串绕 所谓串绕是指将原来的两对线分别拆开后又重新组成新的线对。由于出现这种故障时端对端的连通性并未受影响,所以用普通的万用表不能检查出故障原因,只有通过使用专用的电缆测试仪才能检查出来。
(2)电缆传输通道的认证测试
认证测试并不能提高综合布线的通道性能,只是确认所安装的线缆、相关连接硬件及其工艺能否达到设计要求。只有使用能满足特定要求的测试仪器并按照相应的测试方法进行测试,所得结果才是有效的。
比如,采用微软公司Pent scanner 5类测试仪进行5类测试,方法是:先用测试仪连接跳线两端,再按Auto TEST进行测试,接着按F1显示测试结果,最后打印测试结果。
认证测试的内容包括Length 、Next(Near end crosstalk) 、Attenuation 、Acr(Attenuation to crosstalk) 、Wire Map 、Impedance 、Capacitance 、Loop Resistance 和Noise 共9项5类技术指
标。当所有测试结果均为“PASS” 如果在测试过程中出现一些问题,我们可以从以下几个方面着手分析,然后一一排除故障。
①近端串扰未通过 故障原因可能是近端连接点的问题,或者是因为串对、外部干扰、远端连接点短路、链路电缆和连接硬件性能问题、不是同一类产品以及电缆的端接质量问题等等。
②接线图未通过 故障原因可能是两端的接头有断路、短路、交叉或破裂,或是因为跨接错误等。
③衰减未通过 故障原因可能是线缆过长或温度过高,或是连接点问题,也可能是链路电缆和连接硬件的性能问题,或不是同一类产品,还有可能是电缆的端接质量问题等。
④长度未通过 故障原因可能是线缆过长、开路或短路,或者设备连线及跨接线的总长度过长等。
⑤测试仪故障 故障原因可能是测试仪不启动(可采用更换电池或充电的方法解决此问题) 、测试仪不能工作或不能进行远端校准、测试仪设置为不正确的电缆类型、测试仪设置为不正确的链路结构、测试仪不能存储自动测试结果以及测试仪不能打印存储的自动测试结果等。
2.光纤传输通道测试
虽然光纤的种类较多,但光纤及其传输系统的基本测试方法大体相同,所使用的测试仪器也基本相同。对磨接后的光纤或光纤传输系统,必须进行光纤特性测试,使之符合光纤传输通道测试标准。基本的测试内容包括连续性和衰减/损耗、光纤输入功率和输出功率、分析光纤的衰减/损耗及确定光纤连续性和发生光损耗的部位等。实际测试时还包括光缆长度和时延等内容。光纤测试指标主要是衰减,如果衰减在标准范围内为“PASS”,反之为“FALL”, 如果在测试光纤过程中出现一些问题,我们需要查看光纤磨接是否正确,光纤头是否一一对应。
3.2网络骨干交换机选型
3.2.1选型原则
(1)丰富的接口类型 目前,实现宽带IP 网络的主干技术主要包括千兆以太网、POS(Packet Over SONET/ SDH)和ATM 。在企业自身拥有光纤或SDH 传输设备的情况下,采用千兆以太网或POS 组网可以提供充足的带宽,而且传输效率高。如果企业已经建立了ATM 骨干网,采用ATM 接口上连骨干网,可以充分发挥ATM 骨干网的多业务优势。为了保证企业组网的灵活性,用户应当选择同时支持千兆以太网、POS 和ATM 宽带接口的骨干交换机。
(2)稳定的路由协议软件实现 对于构建大型企业网络的用户,交换机上实现的路由协议如BGP 、OSPF 的稳定性非常重要。路由协议的实现必须稳定可靠,能够处理网络中的各种异常情况,才能够保证整个网络的平滑运行。
(3)支持MPLS 采用MPLS 构建的骨干网络可以支持流量工程、VPN 等多种应用。目前通常采用边缘路由器来实现用户网络与MPLS 核心之间的连接。这些边缘路由器存在以下问题:高速端口(10M/100M/1000M)密度低、转发性能差、价格昂贵。现在,在骨干交换机上已经支持MPLS 。由于骨干交换机能够以低廉的价格提供大量的高速端口,而且具有极高的转发性能,因此是实现用户网络同MPLS 核心网络之间无缝连接的极好的解决方案。
3.2.2 选型设备说明
Catalyst 2916MXL10/100自检测快速以太网交换机
Cisco 的Catalyst 2916MXL 10/100自检测快速以太网交换机融突出的性能、通用的模块性和易于使用的管理于一身。有16个端口的Catalyst 2916MXL 是聚集以太网和快速以太网工作组并向单个用户和服务器提供专用10或100-Mbps 连通性的理想解决方案。Cisco 的先进体系结构采用了一个3.2Gbps 和前传速率每秒300万个信息元的交换结构,在所有端口上提供线速性能。Catalyst 2916MXL 的2个通用模块插槽具有扩展能力、更高速的连通性和对特性模块的未来支持,从而使用户可灵活地升级他们的网络和保护他们的初期投资Catalyst 2916MXL 的4端口10BaseT/100BaseTX和2端口100BaseFX 模块允许客户轻而易举地增加端口密度、通过带宽集中提供更高速的上行链路并提供远距离的光纤连通性。将来的千兆位以太网和异步传输模式(ATM)接口模块将提供更高速的链路。另外,未来的特性模块将提供额外的功能,如通过一个交换机间链路(ISL)特性模块来支持虚拟LAN(VLAN)等。
Catalyst 2916MXL交换机具有易于使用的、基于Web 的管理和先进的安全特性。用户前用一个基于Web 的接口通过标准的浏览器,如Microsoft Explorer或Netscape Navigator,在网络的任何地方管理交换机,针对控制台访问的多级安全性可防止未经授权的用户修改交换机的配置。通过在一个引导服务器上自动配置网络上的多个交换机,自动配置使部署变得更为简单。
Catalyst 2916MXL是Cisco 的全线端到端解决方案的不可分割的一部分。集成化Cisco IOS软件具有适用于端到端集成的卓越功能,包括带宽集中、网络多媒体支持和未来的VLAN 支持。Fast Ether Channel 技术在Catalyst 系列交换机与服务器之间提供高达800Mbps 的带宽,Cisco 的组管理协议(CGMP)支持功能降低了网络通信量,允许一台交换机向目标终端工作站有选择地动态前传IP 多点广播通信流量、提供多媒体网络支持并将网络通信量降到最低限度。将来对使用ISL 中继设备的VLAN 的支持提供了广播控制和安全性,简化了添加、移动和变更操作。
主要特性/优势
杰出的性能
16个10BaseT/100BaseTX自检测端口在保持传统的10BaseT 连通性的同时向要求
的工作组和服务器提供它们最需要的快速以太网性能。
一个3.2-Gbps 和前传速率为每秒300万个信息包的交换结构保证所有
10BaseT/100BaseTX端口都以线速运行。
交换100BaseT 端口上具有的全双工运行特性向终端工作站、服务器和交换机之间
提供高达200Mbps 的带宽。
一个4-MB 的共享存储器体系结构确保了最高的吞吐量,它消除了行首阻塞、把信
息包损失率降到最低限度并减少了多点广播和广播流量造成的拥挤现象。
通过Fast Ether Channel技术实现的带宽集中增强了容错特性并在交换机、路由
器和单个服务器之间提供高达800Mbps 的带宽。
Cisco 分组管理协议(CGMP)使交换机能够向目标多媒体终端工作站有选择地动态前
传被发送过来的IP 多点广播流量,从而降低了网络的总体通信流量。
针对每个端口的广播风暴控制可防止有故障的终端工作站因广播风暴而降低系统
的总体性能。
通用模块性
两个通用模块插槽提供扩展能力、更高速的连通性和将来对特性模块的支持,允许
用户灵活地升级他们的网络并保护他们最初的投资。
Catalyst 2916MXL的4端口10BaseT/100BaseTX和2端口100BaseFX 模块允许客
户轻而易举地增加端口密度、提供远距离的光纤连通性并通过Fast Ether Channel
带宽集中功能提供更高速的上行链路。
未来的千兆位以太网和ATM 接口模块将提供更高速的链路。
特性模块将提供增值功能,例如通过将来的一个ISL 特性模块支持虚拟LAN(VLAN)等。
使用和部署简单易行
一个基于Web 的接口允许用户借助Web 浏览器在Internet 上的任何地方管理交换
机。
每个端口上的自检测功能可检测所连接的设备的速度并自动把端口配置成10或
100Mbps ,从而减轻了在10和100BaseT 混合型环境中部署交换机的工作难度。
针对所有端口的自动协商功能可自动选择优化带宽的半双工或全双工传输模式。
被存储在快闪内存中的缺省配置保证在用户干预最少的情况下,交换机可以与网络
连接和传输通信流量,并在断电时保护配置。
全面的可管理性
简单网络管理协议(SNMP)和Telnet 接口支持提供了全面的带内管理,而基于Cisco
IOS 命令行界面(CLI)的管理控制台则提供了具体的带外管理。
内部超文本传输协议(HTTP)服务器通过一个标准浏览器,如Netscape Navigator
或Microsoft Explorer,提供使用方便、基于Web 的管理界面。
自动配置功能可通过一个引导服务器自动配置网络中的多个交换机,使网络中交换
机的部署更为容易。
Cisco 发现协议(CDP)使Cisco Works网络管理工作站能够自动发现网络拓扑结构
中的交换机。
通过Cisco Works Windows 网络管理软件可管理每个端口和每个交换机,获得一个
适用于Cisco 路由器、交换机和集线器的公共管理界面。
嵌入式远程监视(RMON)软件代理支持4个RMON 组(历史、统计数字、警报和事件) ,
从而增强了流量管理、监视和分析。
通过交换型端口分析器(SPAN)端口的使用,支持所有9个RMON 组,这个端口允许
一个网络分析器或RMON 探针高性能地监视一个端口、一组端口或整个交换机的通
信流量。
普通文件传输协议(TFTP)通过从中央网站下载软件来降低管理软件升级的成本。
在每个端口处用来表示端口状态、半双工/全双工和10/100BaseT的多功能发光二
极管(LED)以及表示系统、模块状态、备用电源(RPS)和带宽利用率的交换级状态
LED 形成了全面、方便的可视管理系统。
安全性和冗余性
支持冗余主干连接和无回路网络的IEEE 802.1d 生成树协议简化了网络配置,提高
了容错性能。
用户可以选择的地址学习方式简化了配置,可防止未经授权的工作站访问交换机。 可选Cisco600瓦冗余交流电源系统支持提供了一个可供4台设备使用的备用电源,
从而提高了容错性能,延长了网络正常运行时间。
针对控制台访问的多级安全性可防止未经授权的用户修改交换机配置。
3.3 桌面交换机选型
3.3.1选型原则
桌面交换机,大都提供10/100Mbs自适应能力的端口一般都是二层交换机。
3.3.2选型设备说明
Catalyst 1924以太网交换机
Cisco Catalyst 1924系列以太网交换机是Cisco 提供的全套高性能交换和路由选择产品中桌面产品的一部分。它带来了更出色的网络性能和可管理性,价格也格外经济。具有标准版和企业版的Catalyst 1924交换机的与众不同之处在于它们的易用性、灵活的配置和可升级性。标准版交
换机的设计是在外部直接工作并将台式机与高速服务器或网络主干网相连。企业版软件增加了无与伦比的可扩展性和灵活的网络配置选项,包括虚拟LAN(VLAN)支持、带宽优化、强化安全性和全面的管理功能。无论是现在还是将来,您都可以获得企业版的丰富性能和管理特性;该软件预装于Catalyst 1924企业版交换机中,也可以在标准版交换机的升级中获得。
企业版(Cisco Catalyst 1924-EN 系列交换机)Cisco Catalyst 1924企业版交换机通过Fast Ether Channel技术提供了大容量的链路和可堆叠性。它们还通过ISL VLAN中继提供简化的管理、强化的安全性和广播控制能力。通过靠TACACS+实现的集中访问控制能力,Catalyst 1924企业版系列交换机增强了安全性。多级控制口令实现了面向交换机控制台的安全、灵活的访问控制政策。易于在大型网络中部署的企业版交换机通过一台启动服务器支持多台交换机的自动配置,并可以通过广泛使用的Cisco IOS命令行界面(CLI)进行管理。当与Cisco 路由器、机箱交换机和访问服务器共用时,企业版交换机可在Cisco 端到端网络中提供无与伦比的网络性能、管理控制能力和方便的使用。所有Catalyst 交换机都能获得Cisco Systems公司的服务和支持,并拥有全球越来越多网络采用的领先技术。
主要特性/优点
性能
12或24个10BaseT 端口向个人用户或工作组提供专用的10Mbps 带宽,以便支持
带宽密集型应用
2个100BaseT 端口(Catalyst 1924) 或1个100BaseT 端口+1个100FX 端口(Catalyst
1924C) 提供了最大的高速配置和主干网灵活性。
1个附属设备接口(AUI)端口实现了与光纤、传统10Base2或10Base5网络的连接
带3MB 信息包缓冲区的共享存储器体系结构实际上消除了包丢失现象
非阻塞的ClearChannel 体系结构在所有端口上支持线速桥接,提供最大为370Mbps
的传送带宽和550,000pps 的聚集吞吐量
在交换型10BaseT 和100BaseT 端口上进行的自动协商的半双工和全双工操作向终
端工作站、服务器以及交换机之间提供高达200Mbps 的带宽
拥塞挤控制选项支持要求无信息包丢失的应用:
在交换机缓冲区满时,强化拥塞控制功能加速了信息包的传送
半双工以太网端口上的背压采用IEEE802.3第二层补偿算法调节网络传输
100BaseTX 端口上的IEEE 802.3x信息流控制在交换机之间和交换机与服务器之间
提供智能流管理
每端口都有的广播风暴控制可防止有故障的终端工作站因广播风暴而降低总体系
统性能
开通式或存储转发式交换选择让管理员优化性能或故障检验能力
可扩展性
Cisco 分组管理协议(CGMP)使交换机能够有选择地动态过滤并向目标多媒体终端站
发送经过路由选择的IP 多点广播,从而为电视会议和IPTV 等应用优化了带宽
重叠的桥接组控制交换机内的广播,以便管理带宽和提供更高的安全性
安全性和冗余性
路由信息协议(RIP)允许交换机自动发现路由器网关地址,从而无需管理员人工重
新输入路由器的IP 地址
IEEE 802.1d生成树协议、RIP 和弹性链路支持可使交换机在中断后能够自动重新
恢复联机状态,改善了容错性能
用户可以选择的地址学习能力简化了配置,增强了安全性
可选的Cisco600瓦冗余交流电源系统具有一个供4个设备使用的备用电源,提高
了容错性能,延长了网络正常运行时间
灵活的网络配置
在Catalyst 1924交换机上分别支持1024个MAC 地址和8192个地址,允许交换机
随着网络的发展而扩展
可配置的网络端口支持用于主干网连接的无限MAC 地址
全面的管理
基于Web 的管理界面允许用户通过一个标准浏览器,如Netscape Navigator或
Microsoft Explorer等来配置和管理交换机。其它管理界面包括一个基于文字的
菜单、Telnet 和(企业版的)Cisco IOS CLI
简单网络管理协议(SNMP)、远程监视(RMON)MIB和Telnet 提供全面的频带内可管
理性,而且一个基于菜单的管理控制台提供深入的、频带外可管理性
域主机控制协议(DHCP)自动分配和重新定位IP 地址,而且域名服务(DNS)使本地名
称分配成为可能,从而简化了网络的管理
嵌入式RMON 软件代理支持4个适用于增强型通信管理、监视和分析的RMON 组(历
史、统计数字、警报和事件)
通过采用一个Switch Probe 分析仪,对所有9个RMON 组的支持允许采用一个网络
分析仪或RMON 探针监视一个端口、端口组或整个交换机上的通信
Cisco 发现协议(CDP)使一个Cisco Works网络管理站自动发现网络拓扑结构中的
交换机
在任何管理站上可以生成由一台交换机发射到任何目标设备上的" 脉冲信号" ,从而
帮助故障检修
企业版软件
在所有企业版机型上被预装。通过购买Catalyst 1900/2820企业版升级工具包,
可以火速升级标准版机型
通过在交换机之间实现并行带宽链路,Fast Ether Channel向交换机、路由器和
服务器提供高达400Mbps 的带宽
在100BaseT 端口上具有交换机间链路(ISL)中继功能的1024端口VLAN 提供广播控
制、防火墙保护和简化了添加、移动和变更操作
TACACS+鉴定支持能够集中控制交换机和限制未经授权的用户修改配置
通过分配读/写或只读特权,多级控制台访问允许管理员控制对网络管理特性的访
问
通过从一个引导服务器上自动下载配置文件,能够在网络上配置多个交换机
端口聚集协议(PAgP)自动创建Fast Ether Channel 组,从而能够连接其它交换机、
路由器或服务器
弹性链路支持提供快速从网络故障中恢复过来的能力,从而在3-5秒钟内使链路
再生
支持高达64个VLAN ,每个VLAN 有独立的生成树
嵌入式RMON 软件代理支持4个适用于增强型通信管理、监视和分析的RMON 组(历
史、统计数字、警报和事件)
3.4 广域网络连接设备
3.4.1 选型原则
根据校园网络与广域网之间的连接距离以及具体的实际情况,选择合适的连接设备,达到成功连接和合理的费用使用的程度。通常有集线器、网桥、交换机、路由器、网关几种连接设备。
3.4.2选型设备说明
网络互联设备:集线器(物理层) 网桥 (数据链路层) 交换机(数据链路层) 路由器(网络层) 网关 (高层)。
交换机(Switch)是工作在第二层即数据链路层的一种设备, 它根据MAC 地址对数据帧进行转发。
集线器(HUB)是一种工作在物理层的设备, 它并不提供数据交换的功能。它相当于一根线缆, 把各个网络节点连接起来, 而交换机却能够为任意两个网络节点之间提供一条数据通道, 防止了冲突的产生, 能够满足目前用户对数据高速交换的需求。
网桥同路由器是不同的二种设备。网桥工作在数据链路层,将两个LAN 连起来,根据MAC 地址来转发帧,可以看作一个" 低层的路由器" (路由器工作在网络层,根据网络地址如IP 地址进行转发)。网桥并不了解其转发帧中高层协议的信息,这使它可以同时以同种凡是处理IP 、IPX 等协议,它还提供了将无路由协议的网络(如NetBEUI )分段的功能。网桥(Bridge )也称桥接器,是连接两个局域网的存储转发设备,用它可以完成具有相同或相似体系结构网络系统的连接。一般情况下,被连接的网络系统都具有相同的逻辑链路控制规程(LLC ),但媒体访问控制协议(MAC )可以不同。 网桥是数据链路层的连接设备,准确他说它工作在MAC 子层上。网桥在两个局域网的数据链路层(DDL )间接帧传送信息,在OSI /RM 中的位置如:网桥是为各种局域网存储转发数据而设计的,它对末端节点用户是透明的,末端节点在其报文通过网桥时,并不知道网桥的存在。网桥可以将相同或不相同的局域网连在一起,组成一个扩展的局域网络。
路由器router 处理网络层的数据,因此它们更容易互连不同的数据链路层,如令牌环网段和以太网段。网桥通常比路由器难控制。象IP 等协议有复杂的路由协议,使网管易于管理路由;IP 等协议还提供了较多的网络如何分段的信息(即使其地址也提供了此类信息)。而网桥则只用MAC 地址和物理拓扑进行工作。因此网桥一般适于小型较简单的网络。路由器同网桥相比:路由器具有更强网络互联能力,可用于异种网络互联与多个子网互联,并且路由器具有广播包抑制和子网隔离的功能。 路由器有较高的网络适应性,性价比高,现在广泛应用于局域网间,局域网与广域网的连接上,如:园区网接入Internet 。
3.5 服务器系统解决方案
3.5.1 服务器选型原则
服务器系统的设计需要考虑的因素很多,包括服务器结构是否适应现有的应用类型,选用适当的CPU (主频、个数、SMP 结构)、内存(虚拟内存的管理方式)、磁盘、网络(局域网的带宽机交换技术,广域网的路由机交换技术)。力求系统选型的合理性和先进性,追求最高的性价比。
3.5.2选型设备说明
DNS 、DHCP 服务器
由于DNS 服务器的负载较轻,可与DHCP 服务器合并,为实现荣誉和均衡负载科安装到两台服务器。配置一台HPrp2405作为DNS 、DHCP 服务器。HP9000RP2405服务器预先集成的HP Web Qos等软件可以优化系统性能,特别是在访问高峰期间均衡负载、保护重要客户优先获得对系统资源的访问权。Web Qos的作用是控制应有层德 服务质量,具体功能包括:
◆ Prioritize 分级服务:
根据前端用户、应用系统的重要程度,设置优先级,提供并保障不同级别的服务效果; ◆ Prioritize 过载保护:
在临界过载时,能有效的转移或及时的回绝服务请求,防止过载造成的系统效率下降,甚至系统瘫痪。
◆ Stabilize 稳定服务质量:
量化服务要求,预测资源需求量,保证资源的分配从而达到稳定服务质量的目的。
Rp2405 具体配置如下:
FTP 服务器
配置一台HP rp5405 作为FTP 服务器。HP 9000RP5405 服务器具有很大的系统总线带宽,独立的I/O通道和宽敞的I/O。非常适合作为FTP 服务器。配置一台光纤通道存储设备DS2405,作为外接存储设备,存放大容量的共享文件,2G/s的主机-存储连接光纤通道,保障文件的快速传输。
邮件服务器
配置一台HP rp5405 作为邮件服务器。HP9000RP5405 服务器具有很大的系统 HP 9000RP5405 服务器具有很大的系统总线带宽,独立的I/O通道和宽敞的I/O,非常适合作为邮件服务器。rp5405服务器预先集成的HP Web Qos等软件可以优化系统性能,特别是在访问高峰期间均衡负载、保护重要客户优先获得对系统资源的访问权。
配置一台光纤套用到存储设备DS2405 ,作为外接存储设备,2G/s的主机-存储连接光纤通道,保障用户访问速度。
3.6 网络系统平台 3.6.1 WINDOWS2003 平台
WINDOWS2003 功能是用于在网络上构建各种网络服务,它有四个版本
● Web 版 web 版是专为用作Web 服务器而构建的操作系统,主要目的是作为IIS6.0
服务器使用的。
● 标准版 标准版是为小型企业和部门使用而设计的。
● 企业版 企业版是满足中大型的企业而设计的
● 数据中心 是应企业需要运行大负载、关键性应用而设计的。
3.6.2 LINUX 平台
作为一种免费并开放源代码的网络操作系统,越来越受到广大网络爱好者的欢迎。严格来讲,Linux 这个词本身只表示Linux 内核,但在实际上人们已经习惯了用Linux 来形容整个基于Linux 内核,并且使用GNU 工程各种工具和数据库的操作系统(也被称为GNU/Linux)。基于这些组件的Linux 软件被称为Linux 发行版。一般来讲,一个Linux 发行套件包含大量的软件,比如软件开发工具,数据库,Web 服务器(例如Apache) ,X Window,桌面环境(比如GNOME 和KDE ),办公套件(比如OpenOffice.org )等等。Linux 内核最初是为英特尔386微处理器设计的。现在Linux 内核支持从个人电脑到大型主机甚至包括嵌入式系统在内的各种硬件设备。在开始的时候,Linux 只是个人狂热爱好的一种产物。但是现在,Linux 已经成为了一种受到广泛关注和支持的一种操作系统。包括IBM 和惠普在内的一些计算机业巨头也开始支持Linux 。很多人认为,和其他的商用Unix 系统以及微软Windows 相比,作为自由软件的Linux 具有低成本,安全性高,更加可信赖的优势。
3.7 应用平台
3.7.1应用平台的选型原则
校园网应用平台是指校园内的一个集公共信息交流平台、管理平台、资源平台和教学科研平台等多种功能为一体的综合性网络应用环境,实现信息交流和资源共享。在学校管理、教学、科研、交流等工作的发挥着重要的作用,在局域网实现学校教育及管理的数字化、信息化和智能化,增进交流、促进和改变老师的授课方式以及学生的学习方式。校园网管理应用平台,是学校信息交流、日常教学、自主学习、教学管理和个人信息管理的校园综合信息管理平台。完整解决了校园信息资源的高度共享,信息高速流动的问题,让学校领导、教师、学生有机地结合在一起。随着平台的建成,学校内部所有的计算机都能相互连通,每个人可以在任意时间、任意地点通过网络自由地学习、工作或娱乐,它在时间、地域、学习的内容、师生的交流方式、学习的方法和途径上都是开放性的。学校的围墙、教室的大小、时空的限制已成为不可制约的因素。应用平台建设以适应学校教育信息化的发展需要,从实际出发,积极稳妥发展。应用平台能适应学校的长远发展规划,根据学校的实际情况,充分考虑学校的硬件设施、人力资源和经济条件,总体规划,分阶段实施,逐步完善,避免投入后不能充分发挥校园网使用价值而造成巨大浪费。应用平台在功能上应能满足学校信息化管理、教师信息化教学和学生网络化学习的需要。学校信息化管理:OA 办公系统,帮助实现信息资源的共享;增强教师协同工作的能力;强化领导的监控管理;有效管理起有形(设备等)、无形(业务信息、知识) 资产,避免流失;实现公文流转、审核、签批等行政事务的自动处理,促进管理电子化、规范化,完美整合组织内部的信息流。教师教学信息化:教师可以方便地浏览和查询网上资源,进行教学设计,开展科研工作;可以实时地调用网上资源进行课堂教学;可以通过网络对学生的学习进行辅导和考查。学生学习网络化:学生可以方便地浏览和查询网上资源,进行“个体化学习”;可以从网上学会获取和处理信息的能力。
3.7.2 INTERNET接入功能
目前校园网接入Internet 的方式主要有:光纤、DDN 、ISDN 、ADSL 等。
(1)、光纤
光纤是速度最快的Internet 接入方式,适用于对带宽要求较高的大型校园网Internet 接入,当然它的技术要求和成本也是最高的。
(2)、DDN
DDN 是目前校园网接入Internet 的主要方式,速度最高可达2Mbit/s。它性能稳定,成本适中,比较适合中型校园网。
(3)、ISDN
对于终端较少的小型校园网,可选用ISDN 接入Internet 。ISDN 接入Internet 的标准速度是64Kbit/s(1B+D)。ISDN 配置简单,虽然像Modem 一样利用电话线路,但可以在上网的同时打电话。
(4)、ADSL
ADSL 是Internet 接入方式的后起之秀。这正是笔者推荐和将要详细介绍的校园网Internet 接入方案。
ADSL 接入Internet
ADSL 是AsymmetricDigitalSubscriberLine 的缩写,中文意思是非对称数字用户线路,下行和上行最快速度分别是8Mbit/s和1Mbit/s。ADSL 上网也通过电话线路,但不需要拨号。ADSL 的使用费和维护费用远远低于DDN ,而速度却高于DDN ,是校园网接入Internet 的理想选择。
ADSL 设备和校园局域网连接如图所示,安装和设置过程如下。 在校园网中选择一台较高配置的PC 作为接入Internet 的代理服务器。该PC 安装两块快速以太网卡。一块通过RJ-45直连网线与外置ADSLModem 连接,另一块连接到校园网的交换设备。
外置ADSLModem 和滤波器用RJ-11铜制电话线连接,滤波器通过电话外线连接到电信局。滤波器用于将低频信号与ADSL 高频信号分离,如果在滤波器上接入电话机,则上网和打电话两不误,为学校节约了一条电话线路。采用G.Lite 标准的ADSLModem 由于降低了对输入信号的要求,就不需要安装滤波器了,这使得ADSLModem 的安装更加简单。
ADSL 设备和校园局域网连接示意图
国内电信局往往采用不同品牌的交换设备,这些局端设备与不同品牌的ADSLModem 之间极有可能不兼容。因此学校在选购ADSLModem 时应先向当地电信部门咨询。
代理服务器安装Windows2000Server 操作系统,其上运行Microsoft SAServer3.0实现
Internet 访问的管理与控制。教师机和学生机上安装相应的代理服务客户端软件。
几种ADSL Modem产品
神州数码DSL -300
神州数码的DSL-300是一款适合中小学校和小型办公室环境的以太网ADSLModem 。它配备1个RJ-11ADSL 端口和1个10Mbps 的以太网端口,可提供简易且有效的宽带接入,以满足交互式视频、高速数据传输和Internet 接入等功能。
全向QL1680
这款ADSL Modem的10/100M自适应以太网端口占用CPU 更少,Web 配置界面符合目前流行的Server/Browser模式,支持各种局端设备。
3.7.3 办公系统
校园网站是学校实现信息化的核心枢纽,是学校联系外界的桥梁,也是学校形象定位和对外宣传的窗口。学校网站的建设和应用的效果体现了学校管理的水平以及校园信息化建设程度,影响着学校教育现代化进程。校园网站如果没有网络办公系统的支持,其表现出来的效果是平面的呆板的 ,缺少实用性。随着互联网的不断发展,互联网应用模式也从Web1.0转变到了Web2.0,从基本构成单元上,是由“网页”向“发表/记录的信息”发展。运行机制上,由“Client Server”向“Web Server ”转变,网络办公系统的开发应用就是基于B/S结构的,这样,网络办公系统就具有了稳定的网络访问、便捷的数据传输、安全的在线交流、丰富的共享信息及课件、规范的信息化管理平台优势, 促进了校园网站在信息技术应用中的变革,实现学校办公管理的信息化。网络办公系统最主要就是实现学校部门与部门之间,教师与部门之间以及教师与教师之间的文件上传下载管理、电子档案上传归档、传递日志消息等。这种基于HTTP 的上传下载形式比起FTP 的上传下载形式来说,文件管理的控制、查找、统计、审核更加便捷,而且方便传输和管理。因为它是通过用户账户登陆,所以安全可靠。
4.功能实现
4.1 IP地址分配
4.2 服务器功能的实现
4.2.1 DNS 服务器的实现
DNS 服务器是域名系统或者域名服务, 域名系统为Internet 上的主机分配域名地址和IP 地址。用户使用域名地址,该系统就会自动把域名地址转为IP 地址。域名服务是运行域名系统的Internet 工具。执行域名服务的服务器称之为DNS 服务器,通过DNS 服务器来应答域名服务的查询。
DNS 分为Client 和Server ,Client 扮演发问的角色,也就是问Server 一个Domain Name,而Server 必须要回答此Domain Name 的真正IP 地址。而当地的DNS 先会查自己的资料库。如果自己的资料库没有,则会往该DNS 上所设的DNS 询问,依此得到答案之后,将收到的答案存起来,并回答客户。 DNS服务器会根据不同的授权区(Zone),记录所属该网域下的各名称资料,这个资料包括网域下的次网域名称及主机名称。在每一个名称服务器中都有一个快取缓存区(Cache),这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP 地址记录快取缓存区中,这样当下一次还有另外一个客户端到次服务器上去查询相同的名称 时,服务器就不用在到别台主机上去寻找,而直接可以从缓存区中找到该笔名称记录资料,传回给客户端,加速客户端对名称查询的速度。 DNS的实现,首先需要选用稳定性好的主机或者专用服务器,安装Windows 2003 Server 企业高级服务器版本,进行配置。Windows Server 2003系统的DNS 服务器实现,它允许使用“*”字符作为主机名称,只要在“rtj.net”区域中创建一个名称为“*”的主机记录即可,过程非常简单。右键单击“rtj .net”区域,在弹出的菜单中选择“新建主机” 在“新建主机”对话框的“名称”栏中输入“*”,“IP地址”栏中输入“192.168.0.1”,最后单击“添加主机”按钮即
可。完成以上设置后,可在客户端使用Ping 命令测试任意二级域名解析是否成功。
4.2.2 WWW 服务器的实现
我们设计WWW 服务器采用Windows 2000 Advanced Server的Web 服务器IIS 5.0,该服务器具有很好的性能,支持根多的信息格式,并可以远程控制和维护。另外Windows 2000 Advanced Server 是一个很好的基于Web 的应用开发平台,它支持大多数开发方式和开发语言包括HTML 、ASP 、XMI 、JavaScript 、VC 、WAI 等。利用Windows 2000 Advanced Server的Web 服务,可以开发出基于Web 的各种应用。
4.2.3 FTP 服务器的实现
FTP 服务是网络上专门用来传输文件的一种服务协议,它提供了在不同类型计算机之间传输、共享文件的方法。通俗地讲,就是在网络中连接一台存储空间比较大的计算机,通过对这台机器进行一些特殊设置,即可把它做为FTP 服务器使用。FTP 服务器开启时,用户就可以连接到服务器上下载文件,也可以将自己的文件上传到FTP 服务器中。因此,极大满足了远程交换文件资料的需要,能够实现资源共享。
由此可见:FTP 服务器架构方便,对硬件要求比较低。我们学校就是利用一台教师机架设的FTP 服务器,额外做的就是将这台机器的存储空间增大了,现在配置的硬盘空间是 。硬件准备好后,剩下的就是软件的准备了。网络上关于架设FTP 的软件非常多,我们学校使用的是Serv —U 。这是一个免费的软件,下载安装之后可以根据学校管理需要进行用户的注册及权限的设置。通过应用FTP 服务器管理资源,我们感觉到这种管理办法更方便快捷,更有助于保护数据安全。使用FTP 服务器,就是将以往分散存放的资源集中保存到一台计算机中,便于学校日常文档的管理及信息资源的整合。架设FTP ,可以设置不同用户的权限,来保护服务器上的数据。比如,设置匿名用户只有读某些文件的权限;一般用户可以有自己的文件夹,用户对自己的文件夹具有读写的权限;管理员对所有的文件具有读写、删除的权限,通过权限的分配,方便资源的管理和保护。Serv-U 是一款功能强大且使用简单的FTP 服务器端软件。通过Serv-U 构建FTP 服务器,用户能够将任何一台PC 机设置成一个FTP 服务器,通过在网络上的任何一台PC 机与FTP 服务器连接,进行文件的复制、移动、创建和删除等.例如,它在学校的常规管理中,不仅能为教师提供在资源搜索、电子教案、课件等方面的共享、存储,还能建成较为完善、规范的教育资源库,实现对各部门收发的各类档案资料的分类备份。
4.2.4 邮件服务器的实现
邮件服务器是一种用来负责电子邮件收发管理的设备。它比网络上的免费邮箱更安全和高效,因此一直是企业公司的必备设备。邮件服务器构成了电子邮件系统的核心。每个收信人都有一个位于某个邮件服务器上的邮箱(mailbox)。Bob 的邮箱用于管理和维护已经发送给他的邮件消息。一个邮件消息的典型旅程是从发信人的用户代理开始,游经发信人的邮件服务器,中转到收信人的邮件服务器,然后投递到收信人的邮箱中。 简单邮件传送协议(SMTP)是因特网电子邮件系统首要的应用层协议。它使用由TCP 提供的可靠的数据传输服务把邮件消息从发信人的邮件服务器传送到收信人的邮件服务器。跟大多数应用层协议一样,SMTP 也存在两个端:在发信人的邮件服务器上执行的客户端和在收信人的邮件服务器上执行的服务器端。SMTP 的客户端和服务器端同时运行在每个邮件服务器上。当一个邮件服务器在向其他邮件服务器发送邮件消息时,它是作为SMTP 客户在运行。当一个邮件服务器从其他邮件服务器接收邮件消息时,它是作为SMTP 服务器在运行。
4.3网络操作系统的设置
4.3.1用户与组的规划
安全是网络服务的前提和保障,没有安全的网络服务也就失去了意义和存在的必要。事实上,
所谓安全就是对用户权限的限制和控制,当用户只拥有与其职位和职能相称的权限时,网络就是安全的。因此,为保障网络安全,就必须为不同的用户分别设置but9ong 的权限。为了简化对用户的管理,可以将拥有相同权限的用户指定同一组,然后在管理组。
(1)用户和计算机
在各种网络服务中,几乎所有的权限和安全都针对用户和组。无论在域控制器的Active Directory ,还是在独立服务器的计算机管理,都可以向其中添加用户,并为不同用户分别设置权限。
(2)组
当用户数量较多时,可以借助于组进行管理,即将拥有相同权限的用户添加到一个组,只需为该组设置权限,即可作用于族中的每一个成员,从而简化操作的复杂性,降低管理的难度。
4.3.2权限的划分
第一级是地址池的管理,即对校园网所有IP 地址的分配情况、使用状况、地址属性进行管理,管理单元是从上一级地址分配机构获得的地址段;
第二级是子网管理,即从第一级的地址池中作进一步划分,根据需要分给不同的部门和楼宇,管理单元是已经分配校内单位的地址子网;
第三级是单个IP 地址管理,即具体某台主机的IP 分配情况。根据实际IP 管理的需求,系统分别为地址池、子网、单个IP 地址管理提供操作。并给适当的地方分配出适当的权限。
4.4 网络设备的配置
4.4.1 交换机的配置
作为校园网络的主干设备, 交换机在整个网络中的作用不言而喻, 所以在选购过程中每个学校除了要考虑自身的具体情况外, 还要考虑产品的性能、可维护性、以及可扩展性。下面为大家介绍两款具有不错性能的交换机。
D-LINK
作为网络产品的巨头,D-LINK 总是不会让人失望。D-LINK 公司新推出的DES-6000是一款面向企业和学校的可网管箱式千兆以太网交换机。它将10/100/1000Mbps以太网交换技术融合在同一个大容量机箱设备中。DES-6000提供了9个扩展插槽, 其中1个用于安装管理模块, 另外8个插槽可选插10M 、100M 及1000M 等多种交换模块, 能
够适种不同带宽及介质需求。
*10/100/1000Mbps可升级性
DES-6000采用模块化设计, 具有8个可用插槽, 可选择高密度的10BASE-T 、100BASE-TX 、100BASE-FX 模块, 以及千兆光纤或双绞线模块, 因此易于扩展和升级, 提高了应用的灵活性, 并能够保护用户投资。
*128个10/100Mbps端口
DES-6000可选插16个10/100Mbps端口模块, 最多可配置128个10/100Mbps端口。在全双工模式下具有流量控制功能(Flow Control), 支持端口聚合(Port Trun-king),既可以用于建立百兆主干, 又可以直接用于百兆交换到桌面。
*96个100BASE-FX 光纤端口
DES-6000可选插12口100BASE-FX MT-RJ接口的光纤模块, 最多可配置96个100BASE-FX 端口, 对于园区网、智能社区、部队等远距离以及数据安全性要求较高的场所非常适用。
*16个千兆端口
DES-6000的8个插槽可以全部配置千兆模块, 每个模块提供2个千兆端口, 有4种类型的千兆模块可以选择:SC 接口的1000BASE-SX 模块、MT-RJ 接口的1000BASE-SX 模块、SC 接口的1000BASE-LX 模块(远距离的光纤传输)和RJ-45接口的1000BASE-T 模块。通过千兆端口可以将部门网络与高速千兆主干相连, 同时也可以连接高性能服务器, 从而消除网络瓶颈, 更好地支持大数据量及多媒体传输。
*冗余备份
DES-6000提供热插拔冗余电源模块, 可以提高园区或企业级应用的可靠性。
*全面的网络管理
DES-6000支持Telnet 、SNMP 和RMON 网管。
5.网络安全解决方案
5.1 安全解决方案设计目标
为了更好的管理网络系统, 为管理员提供了方便, 防止黑客病毒的入侵
(1)大幅度地提高系统的安全性和保密性;
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;
(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
5.2 安全解决方案设计原则
为了达到网络安全的目的,综合综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下原则:需求、风险、代价平衡的原则,综合性、整体性原则、一致性原则,易操作性原则,适应性、灵活性原则,多重保护原则,可评价性原则。
5.3 安全技术解决方案
5.3.1 安全区域划分
系统层安全主要包括两个部分:操作系统安全技术以及数据库安全技术。
5.3.2 防火墙方案
(1)实现的功能:保护内部网络免于外部网络的攻击
(2)从防火墙的分类来看,我们可以从软件和硬件分别对网络进行加以防护
(3)防火墙NAT 的控制:
① 当禁用NAT 控制时,在没有配置NAT 规则的情况下,防火墙把所有分组从安全较高的借
口转发到安全较低的接口。从安全较低的接口到安全等级较高的接口需要经过访问列
表的许可。
② 当启用NAT 控制时,必须使用NAT ,接口流量必须和NAT 规则匹配,否则拒绝分组
(4)在不同的情况下使用防火墙的不同模式:
① 防火墙的路由模式:防火墙可以作为网络中路由器的下一跳,在单环境下可以启用OSPF
等动态路由协议,在路由模式下可以使用多个接口,每个接口位于不同的子网。
② 透明防火墙模式:防火墙处在桥接模式,工作在第二层,但支持路由协议的透传(ACL
许可)。一般情况下通过MAC 地址查询来确定分组离开的出接口,在透明模式下仍然可以
进行深度检测及其NAT 转换
③ 防火墙的环境模式:单环境模式(可以满足一种应用环境);多环境模式(可以满足不同
的应用环境)
④
5.3.3 网络安全漏洞扫描
校园网的广泛使用为教育信息化平铺了道路,但校园网的特点也使得本身的信息安全问题尤为突出。黑客们正不断推出躲避或者越过防火墙和入侵检测系统的新技术。安全扫描可作为防火墙和入侵检测系统的重要补充,可以加强网络安全。漏洞扫描系统是一种自动检测远程或本地主机、操作系统、应用服务的安全弱点的系统,根据不同的标准有不同的分类。
根据扫描策略的不同分为主动式漏洞扫描系统和被动式漏洞扫描系统。主动式漏洞扫描系统执行一些脚本文件模拟对系统进行攻击,通过分析系统的反应,从而发现漏洞。被动式漏洞扫描系统通过对系统中不合适的设置,弱口令以及其他同安全规则抵触的对象进行检查而发现漏洞,检测其间没有模拟攻击的行为。根据检测平台的不同分为基于网络的漏洞扫描系统和基于主机的漏洞扫描系
统。基于网络的漏洞扫描系统与待检查系统运行于不同的节点上,通过执行一整套综合的扫描方法集,发送精心构造的数据包来检测目标系统是否存在安全漏洞。基于主机的漏洞扫描系统与待检查系统运行于同一节点,执行对自身的检查,它的主要功能为分析各种系统文件内容,查找可能存在的对系统安全造成威胁的漏洞或配置错误。根据检测侧重点的不同分为系统级的漏洞扫描系统和Web 应用漏洞扫描系统。随着SQL 注入、跨站攻击、网站挂马、网络钓鱼等Web 应用安全问题逐渐成为最严重、最广泛、危害性最大的安全问题,传统的漏洞扫描系统并不能很好的检测这类漏洞,于是Web 应用漏洞扫描系统迅速发展起来。就目前的状况,还没有将系统级的漏洞扫描和Web 应用漏洞扫描结合地非常好的系统。
5.3.4 入侵检测
入侵检测系统通过寻找恶意行为的迹象来监控计算机网络。计算机网络是复杂的系统,而一个全面的入侵检测方案必须能够管理具有不同内容、速度、抽象级别以及可访问性的事件流。因此,有必要将入侵检测传感器分布于多个受保护的网络中,随着网络安全态势的变化管理它们的配置,并且处理它们分析的结果,以便为管理员提供高级别的网络安全状态图。本文介绍了一个针对高速广域网的网络监控、分析和响应的系统:Hi-DRA 。系统提供了一个在异构、高速环境下的入侵检测传感器的模块化开发框架。此外,系统还提供了一个支持传感器动态配置和对其结果进行收集和解释的基础设施。作为一个整体,该系统能够提供对广域网的细粒度监控,同时能够把不同传感器的分析结果与高级的安全违规表现说明相关联。
5.3.5 防病毒系统
(1)在校园网络的中心机房,安装较权威的企业版杀毒软件,对网络的终端进行维护
(2)在每台终端机器上,安装家庭版杀毒软件
(3)定期查杀病毒,并对杀毒软件进行升级
5.3.6 备份机制
安装相应的备份软件,对学院内重要的东西进行备份,以免丢失,造成不必要的麻烦与损失。
1.对重要设备进行设备备份。
2.数据备份则主要通过磁盘、磁带、光盘等介质来进行。
3.服务器灾难恢复(或称WEB 保护系统)
为了保护WWW 服务器的完整性防止其上的信息被非法篡改,保护系统运安全,应使用服务器灾难恢复系统。服务器灾难恢复系统可以将服务器上的重要信息进行备份,并定期检测服务器上的信息内容的完整性,一旦发现信息被非法篡改,就会使用原始数据对服务器进行灾难恢复。
5.3.7 防雷工程
1、 直击雷的防护做好直接雷击防护是做感应雷击防护的前提;直击雷防护按照国标
GB50057《建筑物防雷设计规范》设计和施工,主要使用避雷针、网、线、带及良好的接地系统,其目的是保护建筑短短的 不受雷击的破坏,给建筑物内的人或设备提供一个相对安全的环境。
2、 电源系统的防护
3、 信号系统的防护
4、 等电位连接集成网络系统主干交换机所在的中心机房应设置均压环,将机房内所有金属物体,包括电缆屏蔽层、金属管道、金属门窗、设备外壳以及所有进出大楼的金属管道等金属构件进行电气连接,并接至均压环上,以均衡电位。
5、 接地
防雷地网的制作,地网是避雷针、避雷带、避雷器等设施有效发挥作用的保障。
结束语
当今时代信息技术的发展及Internet 的全球普及化,都决定了网络将成为信息时代的主要工具。做好校园网络设计工作,是学校 内部之间。校内和校外之间便捷沟通的关键。校园网络的规模和应用水平将是体现学校教学环境和科研力量的重要组成部分,因此要依据校园学生和老师的需求,设计一个安全、统一的校园网络。从网络设计着手,分层考虑在不同网络层次中选择设备的要求。应堆在网络设计时的可能出现的问题,通过现有的网络技术和网络设备所支持的功能来解决。
致谢
此次,校园网络工程设计的过程中,得到了老师、同学、朋友的指导帮助。老师一直以来的辛勤工作和教会使我在综合素质提高、专业理论知识学习和时间工作能力等个方面受益匪浅。
参考文献
《网络工程师必读—网络系统设计》 王达 著 电子工业出版社
《计算机网络工程》 张卫 著清华大学出版社
《计算机网络工程典型案例分析》 孙江宏 著 清华大学出版社
《组网技术与配置》 王相林 著 清华大学出版社
《计算机网络》(第4版) 谢希仁 著 电子工业出版社