校园网或企业网网络安全方案设计和实现

校园网或企业网网络安全方案

设计和实现

2016年10月18日

目录

前言 .................................................................... 1 第1章 需求分析 ......................................................... 1

1.1 实施背景 ........................................................ 1 1.2 网络应用需求 .................................................... 2 1.3 网络性能需求 .................................................... 2 1.4 信息点统计 ...................................................... 3 第2章 网络总体设计 .................................................... 3

2.1 网络构架分析 .................................................... 3 2.2 设计思路 ........................................................ 3 2.3 校园网的设计原则 ................................................ 4 2.4 网络三层结构设计 ................................................ 4

2.4.1 核心层设备选型 ............................................ 5 2.4.2 汇聚层设备选型 ............................................ 6 2.4.3 接入层设备选型 ............................................ 7 2.4.4 防火墙设备选型 ............................................ 9 2.4.5 服务器设备选型 ........................................... 10 2.5 接入Internet设计 .............................................. 16 2.6 VLAN的划分及IP地址的分配 ...................................... 18

2.6.1 Vlan号(ID)的分配规划 ..................................... 18 2.6.2 具体VLAN详细表 ........................................... 18 2.7 IP地址的分配原则 ............................................... 19 2.8 物理/链路层配置原则 ............................................ 21 第3章 网络安全与管理 ................................................. 21

3.1 网络安全 ....................................................... 21

3.1.1 威胁网络安全因素分析 ...................................... 22 3.1.2 网络安全防范措施 .......................................... 22 3.2 网络管理 ...................................................... 23

3.2.1 网络管理的内容 ........................................... 23 3.2.2 网络管理的手段 ........................................... 23 3.3 网络安全策略配置 ............................................... 24

3.3.1安全接入和配置 ............................................ 24 3.3.2 拒绝服务的防止 ............................................ 24 3.3.3 访问控制 .................................................. 25 3.4 电源系统 ....................................................... 25 第4章 综合布线设计 ................................................... 25

4.1 综合布线的设计原则 ............................................. 25 4.2 信息点分布和环境分析 ........................................... 25 4.3 结构化综合布线系统的组成及设计 ................................. 27

4.3.1工作区子系统（Work Area）及其网络设计 ..................... 27 4.3.2 配线子系统（Horizontal）及其网络设计 ...................... 27 4.3.3干线子系统（Backbone）及其网络设计 ........................ 27 4.3.4 设备间子系统（Equipment Room）及其网络设计 ................ 28

4.3.5 管理子系统（Administration）及其网络设计 .................. 28 4.3.6 建筑群子系统（Campus Subsystem）及其网络设计 .............. 28 4.3.7 进线间子系统（Receive the space subsystem）及其网络设计 ... 28 4.4 防雷接地 ....................................................... 28 4.4.1 设计原则 .................................................. 29 4.4.2防雷防浪涌及接地系统 ...................................... 29 4.4.3 电源系统防雷 .............................................. 29 4.4.4通讯线路雷电防护 .......................................... 30 4.4.5 机房内部防雷辅助措施 ...................................... 30 4.5 接地系统 ....................................................... 30 4.5.1 机房独立接地系统 .......................................... 30 4.5.2 机房接地系统 .............................................. 30 4.6 在施工中注意事项 ............................................... 31 4.6.1 工程施工前准备 ............................................ 31 4.6.2 现场施工 .................................................. 31 4.6.3 现场测试 .................................................. 33 4.6.4 施工验收 .................................................. 33

第5章 扩展性考虑 ...................................................... 34

前言

科学技术的发展日新月异，九十年代，在计算机技术和通信技术结合下，网络技术得到了飞速的发展。如今，不仅计算机已经和网络紧密结合，整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来，网络必将成为和电话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。

Internet，即国际互联网，是现在网络应用的主流，从它最初在美国诞生至今已经经历了三十多年。这个以TCP/IP协议为主体的国际互联网络已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。最初的Internet是由科研网络形成的，主要是由一些大学和研究所等科研教育单位连接而成，逐渐发展到今天的规模。而进入九十年代后，由于各种商业信息进入了

Internet，使得Internet得到了极大地发展，其拥有的主机数，连接的网络数以及覆盖面一直呈指数形式上升。现在在Internet上可以提供或者获得各种各样的服务，比如通过电子邮件进行合同的起草和签订，或利用Internet直接挑选商品和购物。

Internet是一个资源的网络，其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会，世界上数以亿计的人们利用它进行通信和信息共享，通过发送和接收电子邮件，或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。

Internet也是一个服务的网络。在Internet上，许多单位、公司和组织提供了各种各样的服务。比如WWW（World Wide Web全球信息网）服务、信息查询服务等，向网络上的其他用户展示自己各方面的情况，并帮助这些用户找到需要的信息。

将来的网络在Internet基础上进一步发展，其功能、速度、适用范围等必将全面超过现有的Internet。

XX大学对计算机网络的建设投入了大量的人力和物力，在短短的几年中，已经从最初仅仅局限在教育科研单位的网络，迅速发展到今天遍及全国的包括教育、科研、商业、民用各个方面的数个大型网络，如Chinanet（中国邮电网）、Cernet（中国教育网）、Gbnet（金桥网络）等等。目前在网络上提供有价值、有吸引力的信息，对一个单位或学校树立自己的形象，提高自己的知名度，以及开拓和国际上其他学校、组织的联系和往来能够起到很显著的作用。

XX大学校园网将实现与校内各部门进行通信。XX大学校园网将为学校的科研、教学、管理提供必要的技术手段，为研究开发和培养人才建立平台，借此加快学校的发展，以此加快学校的发展，成为一个具有示范性的学校。

第1章 需求分析

1.1 实施背景

XX大学为了加快校园信息化建设，需要建设一个高性能的、安全可靠的校园网络，校园网建成后，要求能够实现校园内部各种信息服务功能，实现与教育网的无阻碍连通，同时提供宽带接入功能，以备主连接失效情况下的被用连接要求，能够实现校园办公自动化需求。

1.2 网络应用需求

这方面的需求不同学校有着明显不同，大体都可以分为，教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题；办公、服务等带宽是要着重考虑的方面，所以学校应该根据自己的实际情况来考虑网络的结构，及安全问题。

校园网在信息服务与应用方面应满足以下几个方面的需求：

1. 学校主页。学校应建立独立的WWW服务器，在网上提高学校主页等服务，包括校情简介、学校新闻、校报（电子报）、招生信息以及校内电话号码和电子邮件地址查询等。 2. 文件传输服务。考虑到师生之间共享软件，校园网应提供文件传输服务（ftp）。文件传输服务器上存放各种各样自由软件和驱动程序，师生可以根据自己需要随时下载并把它们安装在本机上。

3. 校园网站建设（WWW、FTP、E-mail、DNS、PROXY代理、拨入访问、流量计费等）； 4. 多媒体辅助点播教学兼远程教学：校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。 5. 校园办公管理； 6. 学校教务管理； 7. 校园通卡应用；

8. 网络安全FIREWALL； 9. 图书管理、电子阅览室；

10. 系统应提供基本的Web开发和信息制作的平台。

1.3 网络性能需求

性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等；

根据本工程的特殊性，语音点和数据点使用相同的传输介质，即统一使用超5类4对双绞电缆，以实现语音、数据相互备份的需要；

对于网络主干，数据通信介质全部使用光纤，语音通信主干使用大对数电缆；光缆和大对数电缆均留有余量；对于其他系统数据传输，可采用超5类双绞线或专用线缆。

1.4 信息点统计

XX大学联网各楼所在位置及信息点分布情况如下。

2号楼

1 号 楼

3 号 楼

5 号 楼 6号楼

7 号 楼

第2章 网络总体设计

2.1网络架构分析

现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构

校园网采用星形的网络拓扑结构，骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。

因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份可以有效地提高核心交换的可靠性。

传输介质也要适合建网需要。在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度要求。

2.2 设计思路

进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划校园网建设的实施步骤。

校园网总体设计方案的科学性，应该体现在能否满足以下基本要求方面： （1）整体规划安排；

（2）先进性、开放性和标准化相结合； （3）结构合理，便于维护； （4）高效实用；

（5）支持宽带多媒体业务；

（6）能够实现快速信息交流、协同工作和形象展示。

2.3 校园网的设计原则

（1）先进性原则

以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。

（2）开放性原则

校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口，从而为异种机、异种操作系统的互连提供便利和可能。 （3）可管理性原则

网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。 （4）安全性原则

信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。 （5）灵活性和可扩充性

选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。 （6）稳定性和可靠性

可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。

2.4 网络三层结构设计

校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。

设备及线缆选型

2.4.1 核心交换机设备选型

通常将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供油画，可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。

核心层交换机选择华为QuidwayS9303交换机，核心层交换机位于办公楼，配置两台。

安全特性的华为Quidway S9303交换机成为中小型网络核心交换机的理想选择。适用于为政府、学校、企业构建高速、安全、可靠的千兆网络。

2.4.2 汇聚层设备选型

通常将位于接入层和核心层之间的部分称为分布层或汇聚层，汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。

汇聚层交换机选择华为CISCO WS-C2960G-48。整个校园共用4台汇聚层交换机，使用千兆光纤与核心交换机相连。

2.4.3 接入层设备选型

通常将网络中直接面向用户连接或访问网络的部分称为接入层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入层交换机选择华为S1048和华为S1216。XX大学构建该校园网络对接入层交换机的需求量。

接入层交换

路由器

CISCO 7206VXR参数

8

2.4.4 防火墙选型

XX大学构建该校园网络选用的防火墙是华为赛门铁克USG3030( USG3030)

9

2.4.5 服务器选型

XX大学构建该校园网络选用的服务器如下 电子邮件服务器

10

文件传输服务器

计费服务器

11

代理服务器

12

Ups

山特C3KVA/2100W（标参数数）

调制解调器

13

线缆类

14

XX大学网络拓扑图 物理图如下：

15

逻辑图如下：

2.5 接入Internet设计

16

Internet接入方式主要有以下六种:拨号上网方式,使用ISDN专线入网,使用ADSL宽带入网,使用DDN专线入网,使用帧中继方式入网,局域网接入。

1．拨号上网方式

拨号上网方式又称为拨号IP方式，因为采用拨号上网方式，在上网之后会被动态地分配一个合法的IP地址。用拨号方式上网的投资不大，但是能使用的功能比拨号仿真终端方法联入要强得多。拨号上网就是通过电话拨号的方式接入Internet的，但是用户的电脑与接入设备连接时，该接入设备不是一般的主机，而是称为接入服务（Access Server）的设备，同时在用户电脑与接入设备之间的通信必须用专门的通信协议SLIP或PPP。

拨号上网的特点：投资少，适合一般家庭及个人用户使用；速度慢，因为其受电话线及相关接入设备的硬件条件限制，一般在56K左右。

2．ISDN专线接入

ISDN专线接入又称为一线通、窄带综合业务数字网业务（N-ISDN）。它是在现有电话网上开发的一种集语音、数据和图像通信于一体的综合业务形式。

一线通利用一对普通电话线即可得到综合电信服务：边上网边打电话、边上网边发传真、两部计算机同时上网、两部电话同时通话等。

通过ISDN专线上网的特点：方便，速度快，最高上网速度可达到128K/S。 3．ADSL宽带入网

ADSL即不对称数字线路技术，是一种不对称数字用户线实现宽带接入互联网的技术，其作为一种传输层的技术，利用铜线资源，在一对双绞线上提供上行640kbps、下行8Mbps的宽带，从而实现了真正意义上的宽带接入。

ADSL宽带入网特点：与拨号上网或ISDN相比，减轻了电话交换机的负载，不需要拨号，属于专线上网，不需另缴电话费。

4．DDN专线入网

DDN即数字数据网，是利用数字传输通道（光纤、数字微波、卫星）和数字交叉复用节点组成的数字数据传输网。可以为用户提供各种速率的高质量数字专用电路和其它新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。

其主要特点：

传输质量高，信道利用率高；传输速率高，网络时延小；·数据信息传输透明度高，可支持任何规程，可传输语音、数据、传真、图象等多种业务；适用于数据信息流量大的校园；·网络运行管理简便，对数据终端的数据传输速率没有特殊要求。 其主要优点：

能提供高性能的点到点通信；通信保密性强，特别适合金融、保险等保密性要求高的客户需要；传输质量高，网络时延小，通信速率可根据用户需要选择；信道固定分配，充分保证了通信的可靠性，保证用户的带宽不会受其他用户的影响；用户通过这条高速的国际互联网通道，可构筑自己的Internet、E-mail等应用系统；用户网络的整体接入使局域网内的PC均可共享互联网资源；用户可免费得到多个Internet 合法IP地址及域名；用户可实现每天24小时全天候的信息发布，即用户可建立自己的Web站点，向国际互联网发布自己的信息或提供信息服务；·用户可通过防火墙等技术保护内部网络免受不良侵害；用户可通过VPN（Virtual Private Network）虚拟私用网络功能，利用首创网络综 合信息平台实惠安全、可靠的企业网的国际网络互联，从而构建起企业的国际专用互 联网络。

5．帧中继方式入网

帧中继是在OSI第二层上用简化的方法传送和交换数据单元的一种技术。通过帧中继入网需申请帧中继电路，配备支持TCP/IP协议的路由器，用户必须有LAN（局域网）或IP主机，同时需申请IP地址和域名。入网后用户网上的所有工作站均可享受Internet的所有服务。

17

帧中继上网特点：通信效率高，租费低，适用于LAN之间的远程互联，传输速率在9600bps~2048kbps之间。

6．局域网接入

局域网连接就是把用户的电脑连接到一个与Internet直接相连的局域网LAN上，并且获得一个永久属于用户电脑的IP地址。不需要Modem和电话线，但是需要有网卡才能与LAN通信。同时要求用户电脑软件的配置要求比较高，一般需要专业人员为用户的电脑进行配置，电脑中还应配有TCP/IP软件。

局域网接入的特点：传输速率高，对电脑配置要求高，需要有网卡，需要安装配有TCP/IP的软件。

通过对比选择使用DDN专线入网，DDN专线的特点：采用数字电路，传输质量高，信道利用率高，数据信息流量大，时延小，通信速率可根据需要选择；电路可以自动迂回，可靠性高，适用于校园网络。

校园网采用DDN专线接入的方式上网，校园内上网采用NAT的方式，保证师生上网方便。

2.6 VLAN的划分及IP地址的分配

VLAN技术在在网络领域等到了广泛应用， 尤其在网络管理和网络安全上方面起到了不可忽视的作用。采用VLAN技术对整个网络进行集中管理，能够更容易地实现网络的管理性。例如，在添加、删除和移动网络用户时，不用重新布线，也不用直接对成员进行配置。

VLAN提供的安全机制，可以限制用户对安全设备的访问，例如，限制普通用户对计费服务器，安全交换机等的访问。Vlan控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用增强网络管理。

2.6.1 Vlan号(ID)的分配规划

VLAN划分原则：便于管理。

VLAN划分理念：将几个楼划分在同一VLAN，便于操作管理。 VLAN详细划分：

1号楼、2号楼和3号楼，即北U字楼，在同一VLAN ，也就是VLAN10； 办公楼和图书馆在VLAN20；

5号楼、6号楼和7号楼，即南U字楼，在VLAN30； 研究生楼为VLAN 40; 公共卫生楼为VLAN 50; 电镜楼为VLAN 60;

服务器集群在vlan99中。

2.6.2 具体VLAN详细表

2.7IP地址的分配原则

IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键，也是某职业技术学院校园网网络设计中的重要一环。IP地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。

划分时注意使用VLAN，充分节约IP地址，使路由交换机上能够采用聚合进行路由的合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段，以便做路由汇聚。 IP地址的分配原则如下：

（1）给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性 （2）考虑到以后的网络扩展规模，二层交换机设备的管理IP地址分配1个C类IP地址； （3）可以考虑为学校校园网分配若干个C类私有地址段。

服务器集群和办公楼的IP获取方式为手动分配，其他的均为通过DHCP获取。上网方式均采用NAT方式。 IP地址分配表

连接点

2.8 物理/链路层配置原则

物理/链路层配置遵循下面的原则：

1. 网络设备互连的物理端口都应该绑定端口的速率和全双工模式；

2. 建议所有的Vlan都不要穿透核心层，所有的Vlan都将在汇聚层交换机上终结；

3. 本实施方案建议不要启用STP生成树协议，由于所有的Vlan都已在汇聚层交换机终结，在二

层上并没有环路存在，故无必要启用；如果开启基于每个Vlan的生成树协议，广播报文将会很多，影响核心交换机性能和网络收敛时间；

4. 所有核心层和汇聚层交换机之间的互连端口均设置为Trunk模式，但目前只容许互连Vlan通过，以应付将来有Vlan穿越核心层这种情况；

5. 汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。

第3章 网络安全与管理

3.1 网络安全

校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻击行为大概有40％左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。

3.1.1 威胁网络安全因素分析

计算机网络安全受到的威胁包括：

1.“黑客”的攻击； 2. 计算机病毒；

3. 拒绝服务攻击（Denial of Service Attack）。 安全威胁的类型：

1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。

2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。

3、破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。

4、干扰系统正常运行，破坏网络系统的可用性。指改变系统的正常运行方法，减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源，使有严格响应时间要求的服务不能及时得到响应。

5、病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等，其破坏性非常高，而且用户很难防范。

6、软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言。如Windows的安全漏洞便有很多。 7、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面，电磁辐射能够破坏网络中的数据和软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面，电磁泄漏可以导致信息泄露。

3.1.2 网络安全防范措施

在不改变原有网络结构的基础上实现多种信息安全，保障校园内部网络安全，我们选购了一套网络安全防范设备。 1 瑞星杀毒软件网络版

1. 超强病毒查杀 2. 智能主动防御

3. 增强型全网漏洞管理

4. 强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。 5. 兼容多种平台

6. 一体化智能服务体系 2 瑞星企业级防火墙

瑞星全功能NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙，它是瑞星公司针对中小企业级用户定制的一款高端防火墙，型号为：RFW-SME。

瑞星全功能NP防火墙整合了多种安全防护功能，是建构中小型企业网络的最佳选择。RFW-SME拥有通用防火墙功能、网络地址转换（NAT）、主动式入侵检测（IDS）、虚拟专网（VPN）、带宽管理、内容过滤、以及策略管理等功能。通过架设瑞星全功能NP防火墙，可以保护用户的网络免于黑客的攻击，同时也帮助用户利用因特网的资源建构网络安全机

制及虚拟专网服务，还提供了不同等级的网络带宽管理，让一些特殊的应用服务可以确保使用带宽。

3 瑞星入侵检测系统

作为一种防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。瑞星RIDS-100入侵检测系统能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，另外RIDS-100入侵检测系统可以与防火墙联动，自动配置防火墙策略，配合防火墙系统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。

为了加强对引擎进行访问的用户的管理，RIDS-100系统设计了一套完善的用户管理机制，每个管理用户配有一把电子钥匙（串口或USB接口），内装有该用户的密钥和加密算法。用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令。

检测引擎的接入对被保护网络是透明的，它对被保护网络的任何流量和请求均不做反应，不影响被保护网络的性能。

3.2 网络管理

网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。

3.2.1 网络管理的内容

(1）网络故障管理；(2) 网络配置管理；(3) 网络性能管理； (4) 网络计费管理；(5) 网络安全管理。

3.2.2 网络管理的手段

在校园网络管理方面，为了便于校园网络管理人员的管理及维护，我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。

Quidview网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。

1. 网络集中监视

Quidview网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。

2. 故障管理

故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。

3. 性能监控

Quidview网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。

3. 服务器监视管理

服务器是企业IP架构中的重要组成部分，通过Quidview，可实现服务器与设备的统一管理。 4. 设备配置文件管理

当网络规模较大时，网络管理员的配置文件管理工作将十分繁重，如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。

Quidview网络配置中心支持对设备配置文件的集中管理，包括配置文件的备份、恢复以及批量更新等操作，同时还实现了配置文件的基线化管理，可以对配置文件的变化进行比较跟踪。

6. 设备软件升级管理

Quidview提供完善的设备软件备份升级控制机制。使用Quidview，管理员可以方便地查询设备上运行的软件版本，并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时，可以利用Quidview集中备份设备运行软件，然后进行批量升级。升级之后，可以使用Quidview进行升级结果验证，确保升级操作万无一失。

7.集群管理

针对大量二层交换机设备的应用环境，Quidview网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。

8. 堆叠管理

Quidview网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。

9. 故障定位与地址反查

针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障。

10. RMON管理

RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。

3.3 网络安全策略配置

3.3.1安全接入和配置

安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供安全性。限制远程访问的安全设置方法如下表19

安全接入和配置方法

3.3.2 拒绝服务的防止

网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等；网络设备

的防TCP SYN的方法主要是配置网络设备TCP SYN临界值，若多于这个临界值，则丢弃多余的TCP SYN数据包；防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值，避免成为一个Smurf攻击的转发者、受害者。

3.3.3 访问控制

1 允许从内网访问internet，端口全开放。

2 允许从公网到DMZ（非军事）区的访问请求：WEB服务器只开放80端口，mail服务器只开放25和110端口。

3 禁止从公网到内部区的访问请求，端口全关闭。 4 允许从内网访问DMZ（非军事）区，端口全开放

5 允许从DMZ（非军事）区访问internet，端口全开放 6 禁止从DMZ（非军事）区访问内网，端口全关闭。

3.4电源系统

为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源。

第4章 综合布线设计

4.1 综合布线的设计原则

综合布线同传统的布线相比较，有着许多优越性，是传统布线所无法比及的。其特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期。而且在设计、施工和维护方面也给人们带来了许多方便。 （1）实用性

实施后的校园网控制系统，其所有的子系统，诸如综合布线系统，数据通讯，都满足国际标准，具有良好的用户使用界面。并且，网络管理功能完善且方便使用。 （2）功能性

为用户提供快捷、开放、易于管理的语音与数据信息基础传输平台。布线系统应能适应各种计算机网络体系结构的需要,并能支持语音或楼宇自控和保安监控等系统的应用。可为用户提供可视图文、电子信箱、中国公用分组交换数据网(CHINAPAC)接口,为用户提供电子数据交换(EDI)等各种服务的传输平台,为实现无纸办公创造条件。为用户及时传递可靠、准确的各类重要信息,最终实现办公自动化系统(OA)。 （3）先进性

布线系统应适应综合布线技术发展的潮流,能为数据及高清晰图像信息提供高速及宽带的传输能力,适应异步传输模式(ATM)。各性能指标满足支持高带宽的100 M、1000 M以太网和异步传输(ATM)应用,满足宽带综合业务数字网(B-ISDN)的要求，支持复杂的多任务的ISDN、DDN、xDSL、X.25 等分组交换接入应用,能实现大厦与Internet等全球信息高速公路接轨的需求。布线系统要既能满足现阶段技术水平应用的需要，也能满足未来多媒体大量的声音、图像、数据传输的需要。 （4）灵活性

系统中的任一部分的联接都应是灵活的，即从物理接线到数据通讯，自动控制设备的联接都不受或极少受物理位置和这些设备类型的限制。 （5）方便性

设备变迁时要有高度的灵活性、管理的方便性,能在设备布局和需要发生变化时实施灵活的线路管理,能够保证系统很容易扩充和升级而不必变动整体配线系统,能够提供有效的工具和手段，以

简单、方便地进行线路的分析、检测和故障隔离，当故障发生时，可迅速找到故障点并加以排除。 （6）可靠性

具有对环境的良好适应能力(如防尘、防火、防水)，对温度、湿度、电磁场以及建筑物的振动等的适应能力。系统可方便地设置雷电、异常电流和电压保护装置，使设备免受破坏。 （7）扩展性

适应未来网络发展的需要，系统的扩充升级容易。系统不仅能支持现有常规的计算机网络、电脑终端、电话、传真、摄像机、控制设备等通信需要，而且能支持未来的语音、视频、数据多网融合的局域网技术和接入网技术，具有适应未来需求，平稳过度到增强型分布技术的智能型布线系统。由于所有基础设施（材料、部件、通讯设备）都采用国际标准，因此，无论计算机设备、通讯设备、控制设备随技术如何发展，将来都可以很方便地将这些设备联到系统中去。 （8）开放性

结构化布线系统能满足任何特定建筑物及通信网络的布线要求,完全开放化,既支持集中式网络系统,又支持分布式网络系统,支持不同厂家、不同类别的网络产品；为用户提供统一的局域网和广域网接口,满足目前要求和未来发展的需要。 （9）标准化

综合布线工程所有网络通道、信息端口系统应遵循统一的标准和规范,性能指标应保证达到《建筑与建筑群综合布线工程设计、施工与验收规范标准》(CECS-2000)的要求,并高于ISO/IEC11801的CLASS D和OPTICAL CLASS的应用标准。 （10）经济性

经济性即系统经济、使用简单、维护方便、管理成本低，布线出口方式美观、耐用、防尘。 （11）生命周期

本项目系统设计能满足现在和未来的通信网络应用需要,具有20年使用生命周期。

4.2 信息点分布和环境分析

XX大学的信息点分布如下：

联网各楼所在位置及信息点分布情况

1号楼、2号楼和3号楼距离较近，成U字型，即北U字型，5号楼、6号楼和7号楼距离较近，也成U字型，即南U字型，研究生楼在南U字型附近，办公楼和图书馆楼处于校园网的中心位置，所以考虑将核心交换机放置在办公楼或图书馆楼，公共卫生楼和电镜楼距离较近，距离北

U字楼也相对较近，所以考虑选择采用光纤连接。

4.3 结构化综合布线系统的组成及设计

综合布线系统（PDS，Premises Distribution System）是一套开放式的布线系统，可以支持几乎所有的数据、语音设备及各种通信协议，同时，由于PDS充分考虑了通信技术的发展，设计时有足够的技术储备，能充分满足用户长期的需求，应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性，各种设备位置的改变，局域网的变化，不需重新布线，只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。如图3：

区内的每个办公点可配置2～3个信息点，此外应为此办公区配置3～5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等。若此办公区为商务应用则信息点的带宽为100M可满足要求；若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。

工作区的终端设备（如：电话机、传真机）选用安普公司的超五类双绞线直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。

4.3.2 配线子系统（Horizontal）及其网络设计

配线子系统，是从工作区的信息插座开始到管理间子系统的配线架。选择配线子系统的线缆，要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推荐采用的双绞电缆及光纤型号为: 安普公司的超五类或六类非屏蔽双绞线, TCL室内单模或多模光纤。 双绞线水平布线链路中，水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为配线子系统的线缆，可根据信息点类型的不同采用不同类型的电缆。该方案选择安普公司的超五类非屏蔽双绞线缆。

4.3.3干线子系统（Backbone）及其网络设计

干线子系统，负责连接管理子系统到设备间子系统的子系统。干线子系统可以使用的线缆主要有：HAY三类大对数电缆；安普公司的超五类或六类双绞线；TCL室内单模或多模光纤。该方案选择安普公司的超六类双绞线缆。

垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道，使整个布线系统组成一个有机的整体。垂直干线子系统Topology结构采用分层星型拓扑结构，每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时，每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。

4.3.4 设备间子系统（Equipment Room）及其网络设计

设备间子系统，由电缆、连接器和相关支撑硬件组成。采用BIX跳接式配线架，连接交换机；采用光纤终结架连接主机及网络设备。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在较大型的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房放在距离设备间不远的位置。

设备间子系统是一个集中化设备区，连接系统公共设备，如局域网(LAN)、主机、建筑自动化和保安系统，及通过垂直干线子系统连接至管理子系统。

4.3.5 管理子系统（Administration）及其网络设计

管理子系统，由交连、互连和I/O组成。管理是针对设备间、电信间和工作区的配线设备、缆线等设施，按-定的模式进行标识和记录的规定。跳线采用超5类非屏蔽双绞线，RJ45接头。管理间是楼层的配线间，管理子系统为其他子系统互连提供手段，它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。安普公司的综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。

4.3.6 建筑群子系统（Campus Subsystem）及其网络设计

建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段，也可采用微波通信、无线电通信的手段。传输介质采用室外六芯多模光纤。

建筑群子系统介质选择原则： 楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点：包括路由起点、终点；线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。

建筑群子系统的设计：3号楼、5号楼与办公楼之间由于距离较远，采用单模光纤连接；3号楼使用多模光纤连至1号楼、2号楼、公共卫生学院、电镜楼和由5号楼使用多模光纤连至6号楼、7号楼和研究生楼；图书馆与办公楼距离较近，采用千兆以太网连接。考虑近期学校使用、设备投资、距离超长等各种因素，采用多模光纤和单模光纤混合的方式连接，并在每个建筑物内预留了多模光纤，以备将来整个网络系统的发展。

4.3.7 进线间子系统及其网络设计

进线间一个建筑物宜设置1个，一般位于地下层，外线宜从两个不同的路由引入进线间，有利于与外部管道沟通。进线间与建筑物红外线范围内的人孔或手孔采用管道或通道的方式互连。进线间因涉及因素较多，难以统-提出具体所需面积，可根据建筑物实际情况，并参照通信行业和国家的现行标准要求进行设计，本规范只提出原则要求。

1.进线间应设置管道入口。

2.进线间应满足缆线的敷设路由、成端位置及数量、光缆的盘长空间和缆线的弯曲半径、充气维护设备、配线设备安装所需要的场地空间和面积。

3.进线间的大小应按进线间的进局管道最终容量及入口设施的最终容量设计。同时应考虑满足多家电信业务经营者安装入口设施等设备的面积。

4.进线间宜靠近外墙和在地下设置，以便于缆线引入。进线间设计应符合下列规定： ①进线间应防止渗水，宜设有抽排水装置。

②进线间应与布线系统垂直竖井沟通。

③进线间应采用相应防火级别的防火门，门向外开，宽度不小于1000mm。

④进线间应设置防有害气体措施和通风装置，排风量按每小时不小于5次容积计算。

5. 与进线间无关的管道不宜通过。

6. 进线间入口管道口所有布放缆线和空闲的管孔应采取防火材料封堵，做好防水处理。

7. 进线间如安装配线设备和信息通信设施时，应符合设备安装设计的要求。

4.4防雷系统

4.4.1 设计原则

由于机房雷电防护系统对所保护系统的业务正常运行具有非常重要的作用,因此雷电防护系统应具备先进性、可靠性、易维护、易升级等方面的突出特性。防雷工程设计及设备的选择应遵从以下的原则：

1. 可靠性原则

设计系统雷电防护工程应最先考虑的问题就是可靠性。在工程的设计中不一定要求最先进，但一定要用最成熟可靠的产品和技术，有些新技术确实在某些方面有优势，但还需要更多的时间去考验，在网络系统的雷电防护中应选择被广泛应用和证实的可靠产品和技术。

2. 实用性原则

本着一切从用户实际角度出发，配置防雷保护系统不是给用户花钱，而是在保护用户的投资，保证网络系统的正确运行；实用性就是能够最大限度的满足实际工作要求，从实际应用的角度来看，这个性能更加重要。

3. 开放性、可扩充、可维护性原则

雷电防护技术是不断发展变化的，为了保证用户的投资，所选产品必须符合国际标准及流行的工业标准，这样才能对网络的未来发展提供保证。

4. 经济性原则

整个防雷保护的建设要坚持实用为主， 根据投资的强度选择有实用价值，在满足系统需求和前提下，应尽可能选用性能价格最好，可靠性高、可维护性好的产品，选用性能价格比高的设备，尽快投入使用，并使整个系统能安全可靠地运行，以便节省投资，以最低成本来完成计算机网络系统防护的建设。

4.4.2 防雷防浪涌

实施防雷工程主要就是要保证机房设备安全运行，保证计算机网络的传输质量，在各点进行不同等级的防雷保护。根据办公楼的实际情况，提出以下防雷措施：

1) 对信息中心机房进行全方位的防雷接地保护；

2) 对监控机房等进行全方位的防雷接地保护；

3) 对室外摄像头进行电源、视频、控制线路进行全面保护；

4) 对其它区域进行普通电源保护。

4.4.3电源系统防雷

我们将电源系统防雷分成三级来设计。三级防雷原理如下：

雷电流能量大一般在≈200KA、电压高达≈10000V、频率高≈800M-1G、通过时间短≈8/12μs一般的空气开关，保险丝、稳压设备等是无法防护的。所以必须加装避雷针、带、网防御直击雷，内部加装三级高反应速度的防止感应雷泻放设备。分流感应到线路的雷电流将雷电限制在1000V以下。具体三级电源防护措施如下：

第一级：作为主级电源防雷设备根据 IEC 61312-3《雷电电磁脉冲的防护 第三部分 过电压保护装置的要求》防雷设备泻放电流在150-100KA，限制电压在2800V-2500V以内。 具体措施：在大楼总配电柜处加装电源防雷模块做为大楼的第一级电源防雷。

第二级：次级电源防雷要求防雷设备泻放电流在70-40KA，限制电压在1800-1500V以内。 具体措施：在4楼信息中心机房配电箱的三项空开出线处加装V25-B/3+NPE电源防雷模块做为第二级电源防雷。

第三级：末级防雷要求防雷设备泻放电流在40-20KA，限制电压在1000-600V以内。

具体措施：在4楼信息中心机房配电箱的单相空开出线处加装V20-C/2电源防雷模块做为第三级电源防雷，另外在综合布线FD1配线间电源线路进入端串联加装抗浪涌电源插座。

4.4.4 通讯线路雷电防护

通讯、信号主要是通过电信部门通讯线路连接到设备端，进行网络通讯。通讯线路大多是挂空线缆，内部网络系统各通讯点的连接大多也是挂空双绞线线缆。根据IEC 61312-1《雷电电磁脉冲的防护 第一部分 通则》中提供的模拟公式可进行估算：高约4米长50米的挂空电缆在一公里雷击范围内线路感应电压约为800V。所以在通讯线路的入户端，出户端必须加装防雷设备。 主要保护对象为信息中心机房

具体措施:对于采用光纤通信的线路可以不另外加装防雷器,只需在光纤入户端将光纤内的钢筋做良好接地即可。但应考虑到做为备份通信的其它线路,如DDN等,因此对非光纤的通讯线路做防雷保护是有必要而且是必需的。可在专线通讯线路入户端加装RJ45-ISDN/4-F通讯专线防雷器一套。

4.4.5 机房内部防雷辅助措施

为了保证在机房内的工作人员不受静电及电磁脉冲的危害，需在静电地板下做均压网，且均压网与接地做良好的连接。使整个机房内地板的电位一致。

需将静电地板下方的支撑钢架与均压网做良好的电气连接，使静电地板上积累的电荷有良好的泻放通道。

将机房内所有需要接地的设备的金属表面与均压网汇流排做良好的电气连接。

4.5 接地系统

4.5.1机房独立接地要求

根据《电子计算机机房设计规范－GB 50174-2008》中对接地的要求：交流工作接地、安全保护接地、防雷接地的接地电阻应≤4欧，本设计的接地电阻≤2欧，以提高安全性和可靠性。机房设独立接地体接地网，要求接地桩距离大楼基础15-20米。

4.5.2机房接地系统

计算机接地系统是为了消除公共阻抗的合，防止寄生电容偶合的干扰，保护设备和人员的安全，保证计算机系统稳定可靠运行的重要措施。如果接地与屏蔽正确的结合起来，那么在抗干扰设计上最经济而且效果最显著的一种，因此，为了能保证计算机系统安全，稳定、可靠的运行，保证设备人身的安全， 针对不同类型计算机的不同要求，设计出相应的接地系统。 机房接地类型一般分为以下几种：

1． 交流工作接地 ；

2． 计算机系统的弱电接地；

3． 安全保护接地；

4． 防雷保护接地（处在有防雷设施的建筑群中可不设此地）。

对于本工程的接地，大楼有共用接地系统，机房交流工作接地和计算机系统的弱电接地设独立接地网，由机房接地网直接引线至机房，引线为大于95mm2铜芯绝缘导线，中间不能裸露，接地电阻小于1欧姆。

在计算机系统的弱电接地系统中，机房内部采用网格接地方式，就是把一定截面积的铜线或铜带在架空地板下交叉排成1800MM*1800MM的方格，交点处压接在一起。网格接地方式不仅有助于更好的保证逻辑电路电位参考点的一致性，而且大大提高了计算机系统的抑制内部噪声和外部干扰的能力。

4.6在施工中注意事项

4.6.1 工程施工前准备

工程施工前首先应进行充分的技术准备。熟悉图纸及与工程有关的规范、标准等技术资料。在施工前，必须仔细查阅其他专业的施工图纸，尤其是土建结构施工图、水、电、通风施工图。在审图时，笔者建议不妨用比例尺在图纸上认真测量，为布线系统找出最合理的路由走向，这样既节省线缆的长度，又避免与其他专业管路发生冲突，由于电气专业管线不可避免的要与其他各专业管路交叉重叠，发生矛盾的现象，给土建专业带来地面超高等问题，这时需要布线施工方和其它专业施工方、甲方及监理方进行积极协调，确定合理、经济的布线路由。

工程施工前应仔细勘察现场，包括实际走线路由：需要考虑隐蔽性及对建筑物破坏（建筑结构特点）情况，在利用现有空间的同时，避开电源线与其它线路，特定的环境下是否对线缆进行必要的保护，施工的工作量和可行性（如打过墙眼、墙上开槽）等。还要明确各工作区内信息插座的具体位置和安装方式，要充分考虑到甲方在施工当中及将来的应用当中可能发生的变化情况（如位置变动、数量变动等），工程施工前应对安装现场的环境条件进行检查。不应在温度高，、灰尘多、存在有害气体、易爆等场所进行施工安装，还应避开有振动和强噪音、高低压变配电及强电干扰严重的场所。同时房屋的设计应符合环保、消防、人防等规定。

工程施工前应对布线的器材进行检验。各种管材的内壁应光滑、无毛刺、无裂缝，材质、规格、型号及孔径壁厚应符合设计文件的规定和质量标准。编制施工方案、工程预算及材料清单。根据实际勘查的情况确定路由并申请批准，如需要在承重梁上打过墙眼时需要向监理部门申请，否则违反施工法规等。整个规划及破坏程度说明最好经甲方及监理部门批准，修正规划。在正式

的有最终许可手续的规划基础上，计算用料和用工，综合考虑设计实施中的管理操作等的费用，提出预算和工期以及施工方案和安排。实施方案中需要考虑用户方的配合程度，实施方案需要与用户方协商认可签字，并指定协调负责人员，指定工程负责人和工程监理人员，负责规划备料，备工，用户方配合要求等方面事宜，提出各部门配合的时间表，负责内外协调和施工组织和管理。

准备好施工中可能用到的全部表格（如开工申请表、施工组织设计方案报审表、施工技术方案申报表、施工进度表、进场原材料报验单、进场设备报验单、人工、材料价格调整申报表、付款申请表、索赔申请书、工程质量月报表、工程进度月报表、复工申请、隐蔽工程验收申请表、工程验收申请单、工程竣工申请表等）；工程所用产品和施工材料的各类文件（如合格证、检测报告、技术说明书等）。

4.6.2现场施工

综合布线施工过程中，既要注意安全，又要保证质量。各工种之间的密切配合对综合布线工程进度、工程造价和工程质量等都有直接影响。综合布线工程应由专业公司负责安装调试，施工中的管线预埋、线缆敷设、缆线成端、设备安装、链路测试、调试等都应由一家公司统一负责实施，便于降低成本、提高效率、减少故障率，从而保证系统的整体性能。

2.1 线缆的敷设

电缆敷设时，应避开所有的EMI（电磁干扰）源及日光灯镇流器等，在无分隔时千万不要在一个通道内同时走电信和电源电缆。避开诸如加热管道和热水管这样的热源，在吊顶中安装电缆时要使用合适的支持方法。

布放线缆时应留有冗余。在交接间、设备间的电缆预留长度一般为3～6m，工作区为300～600mm。有特殊要求的应按设计要求预留长度。

线缆转弯时，应注意弯曲半径。在施工过程中4对非屏蔽双绞线的电缆弯曲半径应至少为其电缆外径的8倍，屏蔽双绞线电缆的弯曲半径应至少为其电缆外径的6～10倍，主干双绞线的电缆弯曲半径应至少为其电缆外径的10倍。光缆的静态弯曲半径应至少为光缆外径的15倍，光缆的动态弯曲半径应至少为光缆外径的30倍。处于静态的主干电缆，最小弯曲半径为缆线直径的10倍；有应力作用的缆线，最小弯曲半径为缆线直径的20倍。

布放电缆，在牵引过程中电缆的支点相隔间距不应大于1.5m。光缆的布放是将光缆系在管道或线槽内的牵引绳上，再牵引光缆，牵引的方式依赖于作业的类型、光缆的重量、布线通道的质量以及管道中其它线缆的数量。拉线的速度从理论上讲，线的直径越小，则拉的速度越快。但是，在实际施工安装中，拉线应采用慢速而又平稳的方式，而不是快速拉线。因为快速拉线会造成缆线的缠绕，拉线的速度应不大于15m/min，拉力不应过大。在电缆敷设施工时，电缆的拉力是有一定限制的。一般为9kg左右。请和电缆的供应商确认其拉力。过大的拉力会破坏电缆对绞的匀称性。拉力过大会引起线缆传输性能的下降。一次布放线缆数量不宜过多，不要“鲁莽的大块头”，对缆线不要生拉猛拽，每一进度最多2个90°角弯曲，在第二个90°弯曲之后安装拉力盒，每隔30m安装拉力盒，缆线安装后不受拉力。

1 千万不要扭曲电缆外套

2箍儿要松，间隔随意

3.电缆箍儿不要绑紧

4.将外套的扭曲数量减少到最低程度

5.不要过分扭电缆,否则会造成外套撕裂.在线缆布放时,特别要注意线缆两端的编号标示标签,标签要字迹清晰、粘贴牢固,避免放线后标签脱落。线缆布放到位后应将线缆头部剪去300～500mm

2.2 线缆的端接

电缆的端接采用卡接方式，施工中不宜用力过猛，以免造成接续模块受损，连接顺序应按缆线的统一色标排列，模块连接后的多余线头必须清除干净，以免留有后患。当电缆在两个终端有

多余的电缆时，应该按照需要的长度将其剪断，而不应将其卷起并捆绑起来。电缆的接头处反缠绕开的线段的距离不应超过2cm。过长会引起较大的近端串扰。在接头处，电缆的外保护层需要压在接头中而不能在接头外。因为当电缆受到外界的拉力时受力的是整个电缆，否则受力的是电缆和接头连接的金属部分。

电缆在配线盘上的端接还应遵循厂家的要求，操作人员应经过专门培训。光缆光纤和电缆导线的接续方式不同。铜芯导线的连接技术比较简单，不需较高技术和相应设备，为电接触式的，各方面要求较低。光纤的连接就比较困难，它不仅要求连接处的接触面光滑平整，而且要求两端光纤的接触端中心完全对准，其偏差极小，因此技术要求较高，且要求有较高新技术的接续设备和相应的技术力量，否则将使光纤产生较大的衰减而影响通信质量。降低光纤熔接损耗的措施有：一条线路上采用同一批次的优质名牌裸纤；光缆架设按要求进行；选用经验丰富训练有素的光纤接续人员进行接续；接续光缆应在整洁的环境中进行；选用精度高的光纤端面切割器加工光纤端面；正确使用熔接机。缆线端接后，应进行测试。

2.3 信息插座的安装及端接

安装在地面上或活动地板上的地面信息插座，是由接线盒体和插座面板两部分组成。插座面板有直立式（面板与地面成45°，可以倒下成平面）和水平式等几种；缆线连接固定在接线盒体内的装置上，接线盒体均埋在地面下，其盒盖面与地面平齐，可以开启，要求必须有严密防水、防尘和抗压功能。在不使用时，插座面板与地面齐平，不得影响人们日常行动。

安装在墙上的信息插座，其位置宜高出地面300mm左右。如房间地面采用活动地板时，信息插座应离活动地板地面为300mm。信息插座底座的固定方法应以现场施工的具体条件来定，可用扩张螺钉，射钉或一般螺钉等方法安装，安装必须牢固可靠，不应有松动现象。信息插座应有明显的标志，可以采用颜色、图形和文字符号来表示所接终端设备的类型，以便使用时区别，不混淆。信息插座的接线因为有颜色标记，只需按照颜色用卡线钳将线顶入即可。信息插座电缆连接有两种方式：按照T568B标准布线的接线和按照T568A（ISDN）标准接线。在同一个工程中，只能有一种连接方式。信息插座在端接时，最多只剥掉端接所需要的电缆外套，电缆外套剥掉得越少越好够端接使用就行。建议在插座上端接时只剥掉1英寸（25mm）的电缆外套。在端接点13mm（0.5英寸）范围内保持线对的绞合。不要调整线对的绞合。

4.6.3 现场测试

现场测试工作是综合布线系统工程中重要的环节。应进行抽检器材、随工测试、认证测试。其中所有测试中最重要的环节是认证测试。认证测试又可以分为自我认证测试和第三方认证测试。

自我认证测试由施工方自己组织进行，按照设计施工方案对工程每一条链路进行测试，确保每一条链路都符合标准要求。第三方认证测试是业主委托第三方对系统进行验收测试，以确保布线施工的质量。

综合布线系统的测试一般分成三步。

（1）布线施工的人员随装随测，此时只测试电缆的通断，电缆的打线方法，长度以及电缆的走向。可以使用福禄克公司的F620进行这种测试。通常这是给布线施工的人员使用的一般性电缆检测工具。

（2）当电缆布线施工完毕后，需要对全部电缆系统进行认证测试，此时要根据具体的标准，对电缆系统进行全面的测试以保证所安装的电缆系统符合标准。此时需要测试各种电气参数，最后要出据每一条链路的测试报告。测试报告中包括了测试的时间，地点，操作人员姓名，使用的标准，测试的结果。当然测试的报告最好应有中文结果。福禄克公司的DSP100/2000/4000都可以进行不同级别电缆的认证测试。

（3）施工完毕，需要有第三方对电缆系统进行抽测。抽测是代表公正以及对施工的验收。电缆系统抽测的比例通常为10％～20％。系统测试后，要制作布线标记系统。布线的标记系统要遵

循TIA-606标准，标记要有10年以上的保用期。在上述各环节中必须建立完善的文档，作为验收的一部分。

对于布线来讲，布线产品厂商都提供15年以上的质保，质保的前提主要有两个：第一，工程需由有厂商认证的工程师参与设计、施工；第二，必须依照国际标准对每一条链路进行认证测试，每条链路必须有测试报告。所以对于网管人员最重要的就是测试报告，无论网管人员是否参与布线施工，只要拿到合格的测试报告即可认为布线合格，即可开展下一步的网络开通工作。

4.6.4 施工验收

工程的验收工作对于保证工程的质量起到重要的作用，也是工程质量的四大要素“产品、设计、施工、验收”的一个组成内容。工程的验收体现于新建、扩建和改建工程的全过程，就综合布线系统工程而言，又和土建工程密切相关，而且又涉及到与其他行业间的接口处理。验收阶段分随工验收、初步验收、竣工验收等几个阶段，每一阶段都有其特定的内容。

对综合布线系统工程而言，验收的内容为：环境检查、器材检验、设备安装检验、缆线敷设和保护方式检验、缆线终接和工程电气测试，验收标准为（GB/T 50312-2007）《建筑与建筑群综合布线系统工程验收规范》。

工程验收依据：可行性研究报告，计划任务书，初步设计，技术设计，施工图设计，设备技术说明书，设备修改变更单，现行的技术验收规范，主管部门有关的审批、修改、调整意见。

工程竣工以后，施工单位应在工程验收以前，将工程竣工技术资料交给建设单位。综合布线系统工程的竣工技术资料应包括以下内容：安装工程量；工程说明；设备、器材明细表；竣工图纸为施工中更改后的施工设计图；测试记录（宜采用中文表示）；工程变更、检查记录及施工过程中，需要改设计或采取相关措施，由建设、设计、施工等单位之间的双方洽商纪录；随工验收记录；隐蔽工程签证；工程决算。

总之，综合布线系统工程是一个综合性的工作。从工程的设计到施工都应遵循相应的标准和规范。只有科学、安全的施工才能满足综合布线系统工程的技术要求，才能真正地满足人们对信息资源共享的迫切需求，为未来的语音、数据、视频等多媒体信息的综合传输提供信息高速公路。

第5章 扩展性考虑

1、首先是网络设备扩展方面：

每个核心、汇聚设备都应该考虑端口的可扩展性，本方案对每个设备都有预留端口，以适应将来网络可能发生的变化；

2、其次是网络接入的可扩展性：

路由器支持VPN并且考虑到校区会更大地扩展，我们选择支持VPN的路由器；

3、IP地址的预留：

本方案在每间教室都有剩余的IP地址，以适应将来主机增多的需求，还有公有IP地址段的预留（扩展校区使用）