遼東學(xué)院圖書(shū)館網(wǎng)絡(luò)規(guī)劃

1、遼東學(xué)院圖書(shū)館網(wǎng)絡(luò)規(guī)劃方案摘要本文以遼東學(xué)院圖書(shū)館網(wǎng)絡(luò)建設(shè)為背景，介紹圖書(shū)館網(wǎng)絡(luò)項(xiàng)目基礎(chǔ)建設(shè)的總體設(shè)計(jì)、實(shí)現(xiàn)及一些關(guān)鍵技術(shù)。 首先簡(jiǎn)要介紹圖書(shū)館網(wǎng)絡(luò)的定義，圖書(shū)館網(wǎng)絡(luò)建設(shè)中網(wǎng)絡(luò)硬件為基礎(chǔ)的建設(shè)階段、以信息系統(tǒng)為主的建設(shè)階段的情況，提出數(shù)字化圖書(shū)館概念、結(jié)構(gòu)和建設(shè)目標(biāo)。 然后以遼東學(xué)院圖書(shū)館的實(shí)際建設(shè)情況為背景，介紹了圖書(shū)館網(wǎng)絡(luò)的需求，建設(shè)原則，討論了具體的網(wǎng)絡(luò)通訊平臺(tái)，網(wǎng)絡(luò)管理平臺(tái)，網(wǎng)絡(luò)安全平臺(tái)的設(shè)計(jì)實(shí)例。網(wǎng)絡(luò)通訊平臺(tái)設(shè)計(jì)中，對(duì)網(wǎng)絡(luò)的三層結(jié)構(gòu)，ip地址的規(guī)劃，vlan(virtual local area network)的劃分，主干網(wǎng)技術(shù)的選擇進(jìn)行了詳細(xì)的規(guī)劃和設(shè)計(jì)。本文將從系統(tǒng)設(shè)計(jì)、綜合布

2、線系統(tǒng)構(gòu)成及設(shè)計(jì)、機(jī)房設(shè)計(jì)、等幾個(gè)環(huán)節(jié)來(lái)探討圖書(shū)館網(wǎng)絡(luò)規(guī)劃及建設(shè)的相關(guān)問(wèn)題。 本文介紹了高性能圖書(shū)館網(wǎng)絡(luò)建設(shè)需考慮的網(wǎng)絡(luò)選型、綜合布線、硬件需求、技術(shù)實(shí)現(xiàn)等方面的問(wèn)題。關(guān)鍵詞：拓?fù)浣Y(jié)構(gòu)；冗余；路由；交換 目 錄一、設(shè)計(jì)背景- 1 -（一） 圖書(shū)館網(wǎng)絡(luò)建設(shè)目標(biāo)- 1 -（二） 圖書(shū)館網(wǎng)絡(luò)需求分析- 1 -1. 組網(wǎng)需求- 1 -2. 設(shè)備需求- 1 -3. 網(wǎng)絡(luò)安全需求- 1 -4. 網(wǎng)絡(luò)管理需求- 2 -（三） 圖書(shū)館網(wǎng)絡(luò)建設(shè)原則- 2 -1. 先進(jìn)性- 2 -2. 標(biāo)準(zhǔn)性- 2 -3. 兼容性- 2 -4. 可升級(jí)和可擴(kuò)展性- 2 -5. 安全性- 3 -6. 可靠性- 3 -7. 可管理性

3、- 3 -二、綜合布線方案- 4 -（一） 需求分析- 4 -1. 開(kāi)放性- 4 -2. 靈活性- 4 -3. 可靠性- 4 -（二）系統(tǒng)拓?fù)浣Y(jié)構(gòu)選擇- 4 -1. 星型拓?fù)浣Y(jié)構(gòu)- 4 -2. 星型拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)- 4 -3. 星型拓?fù)浣Y(jié)構(gòu)的缺點(diǎn)- 5 -（三） 系統(tǒng)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)- 5 -（四） 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)描述- 5 -1. 核心層設(shè)計(jì)- 5 -2. 匯聚層設(shè)計(jì)- 6 -三、網(wǎng)絡(luò)設(shè)計(jì)方案- 7 -（一） 主要技術(shù)選擇- 7 -1. acl- 7 -2. nat- 7 -（二） 網(wǎng)絡(luò)設(shè)備選型- 8 -1. 選型原則- 8 -2. 核心層交換機(jī)- 8 -3. 接入層交換機(jī)- 8 -（三）ip劃分

4、與部分路由配置- 9 -四、網(wǎng)絡(luò)安全- 10 -（一）主要安全隱患分析- 10 -1黑客攻擊- 10 -2. 計(jì)算機(jī)病毒- 10 -3. 網(wǎng)絡(luò)物理設(shè)備安全隱患- 10 -4. 人員造成的安全隱患- 11 -（二） 防火墻- 11 -五、項(xiàng)目總結(jié)- 11 -致 謝- 13 -參考文獻(xiàn)- 14 - 15 -一、 設(shè)計(jì)背景（一） 圖書(shū)館網(wǎng)絡(luò)建設(shè)目標(biāo) 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，圖書(shū)館自動(dòng)化、數(shù)字化以及網(wǎng)絡(luò)化的發(fā)展也越來(lái)越快，圖書(shū)館工作的運(yùn)行模式、業(yè)務(wù)管理、文獻(xiàn)信息資源的服務(wù)對(duì)網(wǎng)絡(luò)的依賴程度也越來(lái)越大，特別是近年來(lái)隨著數(shù)字圖書(shū)館的誕生 ，對(duì)網(wǎng)絡(luò)的要求也越來(lái)越高。與其他網(wǎng)絡(luò)相比，圖書(shū)館網(wǎng)主要有這樣幾個(gè)特點(diǎn)：具有

5、極高的可靠穩(wěn)定性、可擴(kuò)展性、可管理性，具有高速度和高帶寬，滿足流介質(zhì)媒體、遠(yuǎn)程學(xué)習(xí)等對(duì)帶寬和數(shù)據(jù)敏感的實(shí)時(shí)應(yīng)用。新網(wǎng)絡(luò)應(yīng)該具有足夠的強(qiáng)壯性，應(yīng)該具有足夠的災(zāi)難恢復(fù)措施，包括電源冗余，設(shè)備冗余，主機(jī)冗余，數(shù)據(jù)庫(kù)冗余，線路冗余，撥號(hào)鏈路冗余。新網(wǎng)絡(luò)應(yīng)該具有足夠的安全性，采取路由器，以及防火墻以及設(shè)置dmz區(qū),防殺病毒、入侵檢測(cè)、和漏洞掃描與修補(bǔ)系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)完整、網(wǎng)絡(luò)安全保護(hù)保證內(nèi)網(wǎng)的絕對(duì)安全，將來(lái)數(shù)據(jù)在外網(wǎng)以及internet上傳輸應(yīng)該采取加密,并且數(shù)據(jù)傳輸線路應(yīng)該采取全屏蔽雙絞線,防止信息的流失和泄露。（二） 圖書(shū)館網(wǎng)絡(luò)需求分析1. 組網(wǎng)需求采用成熟的組網(wǎng)技術(shù)，保證最優(yōu)性價(jià)比。采用簡(jiǎn)單、清晰的

6、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，保證網(wǎng)絡(luò)的穩(wěn)定和高性能。2. 設(shè)備需求可擴(kuò)展性強(qiáng)，通過(guò)增加新的模塊和設(shè)備解決網(wǎng)絡(luò)需求的增長(zhǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)的平滑擴(kuò)容。設(shè)備穩(wěn)定可靠，性能高，能耐受一定程度的大數(shù)據(jù)量的沖擊和安全問(wèn)題干擾。設(shè)備具備多功能支持，要求能夠采用較少的投資實(shí)現(xiàn)較多的功能。3. 網(wǎng)絡(luò)安全需求針對(duì)校園網(wǎng)學(xué)生比較活躍，易發(fā)生ip地址盜用、賬號(hào)盜用、計(jì)算機(jī)入侵等安全問(wèn)題，要求能夠?qū)崿F(xiàn)端到端的網(wǎng)絡(luò)安全解決方案。4. 網(wǎng)絡(luò)管理需求采用方便、靈活的管理方式、支持分層次的ip管理。（三） 圖書(shū)館網(wǎng)絡(luò)建設(shè)原則 1. 先進(jìn)性隨著計(jì)算機(jī)應(yīng)用的不斷普及和發(fā)展，計(jì)算機(jī)系統(tǒng)對(duì)網(wǎng)絡(luò)性能的要求已經(jīng)并將繼續(xù)不斷提高，高帶寬、低延遲是對(duì)交換網(wǎng)絡(luò)設(shè)備

7、的基本要求。網(wǎng)絡(luò)交換設(shè)備應(yīng)該提供從數(shù)據(jù)中心到樓層配線間直至桌面的高速網(wǎng)絡(luò)連接，交換機(jī)必須具備無(wú)阻塞交換能力。綜合考慮先進(jìn)性和成熟性，結(jié)合實(shí)際應(yīng)用需求，市教育城域網(wǎng)可采用千兆以太網(wǎng)、快速以太網(wǎng)作為主干技術(shù)連接數(shù)據(jù)中心和各學(xué)校交換機(jī)，采用千兆以太網(wǎng)、快速以太網(wǎng)或以太網(wǎng)接口連接服務(wù)器和客戶機(jī)。2. 標(biāo)準(zhǔn)性在當(dāng)今流行的internet / intranet 計(jì)算方式下，應(yīng)用系統(tǒng)將以大量客戶機(jī)同時(shí)訪問(wèn)少量服務(wù)器為特征，要求網(wǎng)絡(luò)交換機(jī)必須具有有效的主動(dòng)式擁塞管理功能，以避免通常出現(xiàn)在服務(wù)器網(wǎng)絡(luò)接口處的擁塞現(xiàn)象，杜絕數(shù)據(jù)包的丟失。以硬件交換為特征的多層交換技術(shù)已經(jīng)在越來(lái)越多的局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)中取代傳統(tǒng)路由器成

8、為網(wǎng)絡(luò)的主干技術(shù)，作為一種成熟的先進(jìn)技術(shù)應(yīng)在市教育城域網(wǎng)網(wǎng)絡(luò)中得到應(yīng)用。3. 兼容性不同廠商的網(wǎng)絡(luò)設(shè)備應(yīng)能彼此兼容，以保證企業(yè)網(wǎng)絡(luò)的正常、高效地運(yùn)行。為保證網(wǎng)絡(luò)系統(tǒng)的開(kāi)放性，網(wǎng)絡(luò)中的主干交換設(shè)備應(yīng)該能夠支持基于國(guó)際標(biāo)準(zhǔn)或工業(yè)界事實(shí)標(biāo)準(zhǔn)的atm、fddi、快速以太網(wǎng)、千兆以太網(wǎng)等各種鏈路接口技術(shù)，能夠在必要的時(shí)候與外部開(kāi)放系統(tǒng)順利實(shí)現(xiàn)互聯(lián)。4. 可升級(jí)和可擴(kuò)展性為了將來(lái)能順利實(shí)現(xiàn)技術(shù)升級(jí)，選用的設(shè)備應(yīng)有支持千兆以太網(wǎng)、atm oc12等前沿技術(shù)的能力，以便技術(shù)成熟時(shí)配備。由于計(jì)算機(jī)技術(shù)和應(yīng)用范圍的不斷進(jìn)步和發(fā)展，而網(wǎng)絡(luò)技術(shù)又是其中進(jìn)步最快的一個(gè)分支，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的建設(shè)不僅要考慮當(dāng)前的網(wǎng)絡(luò)連接需

9、求，還必須考慮到計(jì)算機(jī)系統(tǒng)不斷擴(kuò)大而提出的網(wǎng)絡(luò)系統(tǒng)擴(kuò)展和升級(jí)的需求和網(wǎng)絡(luò)通信技術(shù)本身的快速進(jìn)步所提供的提升網(wǎng)絡(luò)系統(tǒng)容量和性能的可能性。為了使網(wǎng)絡(luò)系統(tǒng)能夠在盡可能的保護(hù)現(xiàn)有投資的前提下不斷滾動(dòng)發(fā)展以適應(yīng)應(yīng)用需求發(fā)展的需要，選用設(shè)備時(shí)應(yīng)該盡可能預(yù)見(jiàn)到網(wǎng)絡(luò)系統(tǒng)近期、中期和遠(yuǎn)期的擴(kuò)展、升級(jí)的可能性并預(yù)留擴(kuò)展、升級(jí)的能力。5. 安全性在局域網(wǎng)上的所有交換機(jī)應(yīng)能靈活地、跨越全網(wǎng)地進(jìn)行虛擬網(wǎng)劃分和管理，將物理上分散而邏輯上緊密相關(guān)的各站點(diǎn)劃入獨(dú)立的虛擬網(wǎng)，實(shí)現(xiàn)無(wú)關(guān)系統(tǒng)的邏輯隔離是網(wǎng)絡(luò)安全性的基本保障。在此基礎(chǔ)上，我們選用的網(wǎng)絡(luò)產(chǎn)品應(yīng)該具備包括mac級(jí)、ip層、應(yīng)用層等多個(gè)層次實(shí)現(xiàn)安全管理的能力，作為交換網(wǎng)絡(luò)

10、核心的多層主干交換機(jī)應(yīng)該具備防火墻功能，防止發(fā)生在同一虛擬網(wǎng)內(nèi)或虛擬網(wǎng)之間互聯(lián)點(diǎn)上的非法侵犯。6. 可靠性為保證網(wǎng)絡(luò)系統(tǒng)的不間斷連續(xù)運(yùn)行，應(yīng)該選用經(jīng)過(guò)實(shí)踐檢驗(yàn)證明成熟可靠的產(chǎn)品。數(shù)據(jù)中心交換機(jī)應(yīng)采用模塊化分布式處理技術(shù)實(shí)現(xiàn)，避免采用一損俱損的中央交換模塊方式。各主要部件都應(yīng)有冗余，所有部件應(yīng)支持熱插拔，主干端口應(yīng)支持熱備份，特別是作為整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)核心的多層交換單元更要具備冗余備份的容錯(cuò)能力。7. 可管理性計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)作為市教育城域網(wǎng)智能系統(tǒng)的神經(jīng)中樞，其運(yùn)行狀況應(yīng)該得到全面的監(jiān)控和管理。osi對(duì)網(wǎng)絡(luò)管理提出了配置管理、性能管理、錯(cuò)誤管理、安全管理、記帳管理等五大要求，以此為指導(dǎo)，該網(wǎng)絡(luò)

11、管理系統(tǒng)應(yīng)選用基于工業(yè)標(biāo)準(zhǔn)的snmp（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）的開(kāi)放式管理平臺(tái)，配合專(zhuān)用的網(wǎng)絡(luò)管理應(yīng)用作為網(wǎng)管系統(tǒng)的設(shè)計(jì)框架。網(wǎng)管系統(tǒng)應(yīng)支持網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)、設(shè)備的配置和監(jiān)視、網(wǎng)絡(luò)故障的監(jiān)測(cè)和報(bào)告等功能，并提供簡(jiǎn)單易用的圖形用戶接口。二、 綜合布線方案（一） 需求分析1. 開(kāi)放性結(jié)構(gòu)化布線系統(tǒng)由于采用開(kāi)放式體系結(jié)構(gòu)，符合各種國(guó)際上主流的標(biāo)準(zhǔn)，對(duì)所有符合通信標(biāo)準(zhǔn)的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)交換設(shè)備廠商是開(kāi)放的，也就是說(shuō)，結(jié)構(gòu)化布線系統(tǒng)的應(yīng)用與所用設(shè)備的廠商無(wú)關(guān)。而且對(duì)所有通信協(xié)議也是開(kāi)放的。2. 靈活性物理上為星型拓?fù)浣Y(jié)構(gòu)。因此所有設(shè)備的開(kāi)通、增加或更改無(wú)需改變布線系統(tǒng)，只需變動(dòng)相應(yīng)的網(wǎng)絡(luò)設(shè)備以及必要的跳線管理

12、即可。系統(tǒng)組網(wǎng)也可靈活多樣，各部門(mén)既可以獨(dú)立組網(wǎng)，又可以方便的互連，為合理的進(jìn)行信息共享和信息交流創(chuàng)造了必要的條件。3. 可靠性結(jié)構(gòu)化布線系統(tǒng)采用高品質(zhì)材料和組合壓接技術(shù)，構(gòu)成一個(gè)高標(biāo)準(zhǔn)的信息通道。所有器件經(jīng)過(guò)ul、cas、iso認(rèn)證。經(jīng)過(guò)專(zhuān)用儀器設(shè)備測(cè)試的每條信息通道可以保證其電氣性能?？梢灾С?00base-t及atm的應(yīng)用。星型拓?fù)浣Y(jié)構(gòu)實(shí)現(xiàn)了點(diǎn)到點(diǎn)端接，任何一條線路故障不會(huì)影響其它線路的運(yùn)行。從而保證了系統(tǒng)的可靠運(yùn)行。采用相同的傳輸介質(zhì)可互為備用，提高了系統(tǒng)的冗余。（二） 系統(tǒng)拓?fù)浣Y(jié)構(gòu)選擇1. 星型拓?fù)浣Y(jié)構(gòu)星型拓?fù)浣Y(jié)構(gòu)由一個(gè)中心主節(jié)點(diǎn)向外輻射延伸到各從節(jié)點(diǎn)。由于每一條鏈路從主節(jié)點(diǎn)到從節(jié)點(diǎn)

13、的線路均與其他線路相對(duì)獨(dú)立，所以布線系統(tǒng)設(shè)計(jì)是一種模塊化設(shè)計(jì)。主節(jié)點(diǎn)可與從節(jié)點(diǎn)直接相連，而從節(jié)點(diǎn)之間的通信只有經(jīng)過(guò)主節(jié)點(diǎn)的交換才能完成。智能大廈的計(jì)算機(jī)網(wǎng)絡(luò)在主節(jié)點(diǎn)配置一臺(tái)主交換機(jī)，在每個(gè)樓層配線間配置交換機(jī)或集線器，樓層配線間交換機(jī)或集線器與主交換機(jī)連接。2. 星型拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)星型拓?fù)浣Y(jié)構(gòu)的所有信息通信都要經(jīng)過(guò)中心節(jié)點(diǎn)，所以比較容易維護(hù)與管理。利用樓層配線間的配線架的跳線，可以移動(dòng)、增加或減少終端設(shè)備，操作容易、適應(yīng)性強(qiáng)。每一條鏈路的相對(duì)獨(dú)立性，使某一線路故障不影響其他工作站的運(yùn)行，并且有利于故障的排除。3. 星型拓?fù)浣Y(jié)構(gòu)的缺點(diǎn)布線工作量大，線纜長(zhǎng)度的增加使布線工程預(yù)算提高。（三） 系統(tǒng)拓

14、撲結(jié)構(gòu)設(shè)計(jì) 圖2.1 系統(tǒng)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)圖（四） 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)描述internet連接校園總部路由器，從路由器連接一條線路到pix防火墻，pix防火墻之后就是一個(gè)三層交換機(jī)。在三層交換機(jī)上連接有校園的服務(wù)器群，以及之后的匯聚層交換機(jī)。整個(gè)局域網(wǎng)絡(luò)采用多層數(shù)據(jù)交換原則設(shè)計(jì)，這樣的設(shè)計(jì)方案使得整個(gè)局域網(wǎng)的運(yùn)維管理，以及網(wǎng)絡(luò)故障排除變的更加簡(jiǎn)單，減少了網(wǎng)絡(luò)管理員的工作負(fù)責(zé)性，并且使未來(lái)的升級(jí)變的更簡(jiǎn)單且迅速。1. 核心層設(shè)計(jì)提供交換區(qū)塊間的連接；提供到其他區(qū)塊（比如廣域網(wǎng)區(qū)塊）的訪問(wèn)；盡可能快的交換數(shù)據(jù)楨或數(shù)據(jù)包；建議將主設(shè)備間設(shè)在主樓網(wǎng)絡(luò)中心。由于核心層設(shè)備處于整個(gè)網(wǎng)絡(luò)中是最關(guān)鍵的地位，任何故障都可

15、能造成整個(gè)系統(tǒng)的癱瘓，因此設(shè)備的選型十分重要。從可靠性和安全性出發(fā)，結(jié)合價(jià)格因素的考慮。2. 2. 匯聚層設(shè)計(jì)匯聚層主要負(fù)責(zé)以下幾個(gè)工作：l 實(shí)現(xiàn)安全以及路由策略；l 實(shí)現(xiàn)核心層的流量重分布；l 實(shí)現(xiàn)qos服務(wù)質(zhì)量控制；處于在匯聚層需要實(shí)現(xiàn)諸多的策略控制，對(duì)于交換機(jī)的應(yīng)用要求較高。三、 網(wǎng)絡(luò)設(shè)計(jì)方案（一） 主要技術(shù)選擇1. acl訪問(wèn)控制列表（access control list，acl） 是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。acl適用于所有的被路由協(xié)議，如ip、ipx、appletalk等。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種

16、訪問(wèn)進(jìn)行控制。(1)acl可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，acl可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。(2)acl提供對(duì)通信流量的控制手段。例如，acl可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過(guò)路由器某一網(wǎng)段的通信流量。 (3)acl是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段。acl允許主機(jī)a訪問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī)b訪問(wèn)。 (4)acl可以在路由器端口處決定哪種類(lèi)型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許e-mail通信流量被路由，拒絕所有的telnet通信流量。2. nat網(wǎng)絡(luò)地址轉(zhuǎn)換(nat, network address translation)屬接入廣域網(wǎng)(wan)技術(shù)，是

17、一種將私有（保留）地址轉(zhuǎn)化為合法ip地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類(lèi)型internet接入方式和各種類(lèi)型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，nat不僅完美地解決了ip地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。在實(shí)際應(yīng)用中，nat 主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問(wèn)公共網(wǎng)絡(luò)的功能。這種通過(guò)使用少量的公有ip 地址代表較多的私有ip 地址的方式，將有助于減緩可用ip 地址空間的枯竭。 借助于nat，私有（保留）地址的內(nèi)部網(wǎng)絡(luò)通過(guò)路由器發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的ip地址，一個(gè)局域網(wǎng)只需使用少量ip地址（甚至是1個(gè)）即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與internet的通

18、信需求。nat將自動(dòng)修改ip報(bào)文的源ip地址和目的ip地址，ip地址校驗(yàn)則在nat處理過(guò)程中自動(dòng)完成。有些應(yīng)用程序?qū)⒃磇p地址嵌入到ip報(bào)文的數(shù)據(jù)部分中，所以還需要同時(shí)對(duì)報(bào)文的數(shù)據(jù)部分進(jìn)行修改，以匹配ip頭中已經(jīng)修改過(guò)的源ip地址。否則，在報(bào)文數(shù)據(jù)都分別嵌入ip地址的應(yīng)用程序就不能正常工作。（二） 網(wǎng)絡(luò)設(shè)備選型1. 選型原則圖書(shū)館網(wǎng)絡(luò)建設(shè)應(yīng)該以應(yīng)用為核心，在設(shè)計(jì)中充分考慮到教育管理和多媒體教學(xué)的要求，并且網(wǎng)絡(luò)技術(shù)上應(yīng)該具有一定的先進(jìn)性，同時(shí)還要為以后的擴(kuò)展留有一定的空間。2. 核心層交換機(jī)表格 3.2.1華為s5700-28c-ei-24s產(chǎn)品類(lèi)型千兆以太網(wǎng)交換機(jī)應(yīng)用層級(jí)三層傳輸速率10/10

19、0/1000mbps端口數(shù)量28個(gè)背板帶寬256gbpsvlan支持4k個(gè)vlan支持guest vlan、voice vlan支持基于mac/協(xié)議/ip子網(wǎng)/策略/端口的vlan支持1:1和n:1 vlan交換功能包轉(zhuǎn)發(fā)率96mppsmac地址表32k交換方式存儲(chǔ)-轉(zhuǎn)發(fā)電源電壓ac 100-240v3. 接入層交換機(jī)表格 3.2.2 華為s2700-52p-ei(ac)產(chǎn)品類(lèi)型智能交換機(jī)應(yīng)用層級(jí)二層傳輸速率10/100mbps端口數(shù)量52個(gè)背板帶寬32gbpsvlan支持ieee 802.1q（vlan），整機(jī)支持4k個(gè)vlan支持基于端口的vlan支持基于mac地址的vlan包轉(zhuǎn)發(fā)率13.

20、2 mbpsmac地址表8 k交換方式存儲(chǔ)-轉(zhuǎn)發(fā)電源電壓ac 100-240v（三） ip劃分與部分路由配置表格3.3.1 vlan劃分vlan號(hào)ip網(wǎng)段默認(rèn)網(wǎng)關(guān)說(shuō)明vlan 6192.168.6.0192.168.6.1服務(wù)臺(tái)vlanvlan 7192.168.7.0192.168.7.1電子閱覽室vlanvlan 8192.168.8.0192.168.8.1機(jī)房vlanvlan 2192.168.1.0192.168.1.1學(xué)院vlan 四、 網(wǎng)絡(luò)安全（一） 主要安全隱患分析1. 黑客攻擊數(shù)字圖書(shū)館通常同時(shí)與教育網(wǎng)、因特網(wǎng)相連，有時(shí)也通過(guò)教育網(wǎng)與因特網(wǎng)相連，在享受因特網(wǎng)給我們帶來(lái)的方便快

21、捷的同時(shí)，也面臨著遭遇黑客攻擊的風(fēng)險(xiǎn)。黑客攻擊主要分為主動(dòng)攻擊和被動(dòng)攻擊兩類(lèi)。主動(dòng)攻擊是指以各種方式有選擇地破壞信息（如：修改、刪除、偽造、添加、重放、亂序、冒充、病毒等）。被動(dòng)攻擊是指在不干擾網(wǎng)絡(luò)信息系統(tǒng)正常工作的情況下，進(jìn)行偵收、截獲、竊取、破譯和業(yè)務(wù)流量分析及電磁泄露等。另外黑客攻擊不僅局限于從校園網(wǎng)外部發(fā)動(dòng)。還有相當(dāng)一部分攻擊的行為來(lái)自校園網(wǎng)內(nèi)部，由于內(nèi)部用戶對(duì)本校網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來(lái)自內(nèi)部的安全威脅會(huì)更大一些。2. 計(jì)算機(jī)病毒計(jì)算機(jī)病毒具有傳染性和潛伏性等特征，并且在網(wǎng)絡(luò)環(huán)境下傳播迅速。許多學(xué)校的圖書(shū)館系統(tǒng)受病毒感染，服務(wù)器癱瘓，使圖書(shū)館正常的網(wǎng)絡(luò)信息服務(wù)無(wú)法開(kāi)展。

22、有的圖書(shū)館甚至丟失了許多數(shù)據(jù)，損失巨大。因此病毒是危害高校數(shù)字圖書(shū)館安全的重要因素。校園網(wǎng)中計(jì)算機(jī)系統(tǒng)的購(gòu)置和管理情況非常復(fù)雜。這種情況下要求所有的終端系統(tǒng)實(shí)施統(tǒng)一的安全政策（比如安裝防病毒軟件、設(shè)置可靠的口令）是非常困難的。比較典型的現(xiàn)象是，用戶的計(jì)算機(jī)接入校園網(wǎng)后感染病毒，反過(guò)來(lái)這臺(tái)感染病毒的計(jì)算機(jī)又影響了校園網(wǎng)內(nèi)其他主機(jī)的運(yùn)行。3. 網(wǎng)絡(luò)物理設(shè)備安全隱患物理設(shè)備安全隱患主要是指網(wǎng)絡(luò)硬件設(shè)備遭到破壞或出現(xiàn)故障。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、路由器、工作站、電源等，它們分布在不同的地理位置，管理起來(lái)非常困難。個(gè)別人可能出于某種目的，有意或無(wú)意地?fù)p壞設(shè)備，這樣會(huì)造成數(shù)字圖書(shū)館網(wǎng)絡(luò)全部或部

23、分癱瘓。硬件出現(xiàn)故障一般有兩種情況：硬件故障和使用故障。硬件故障指的是由于設(shè)備自身的機(jī)械零件或電子器件損壞而引起的物理性故障。使用故障指的是由于誤操作或者病毒造成的設(shè)備無(wú)法正常使用。數(shù)字圖書(shū)館提供全天24小時(shí)服務(wù)，對(duì)于交換機(jī)、服務(wù)器、存儲(chǔ)設(shè)備來(lái)說(shuō)工作負(fù)荷過(guò)大，其使用壽命縮短，容易造成硬件故障，導(dǎo)致部分設(shè)備損壞。4. 人員造成的安全隱患網(wǎng)絡(luò)的整體安全不僅僅是依賴使用各種技術(shù)先進(jìn)的安全設(shè)備就可以實(shí)現(xiàn)的，在對(duì)內(nèi)部人員的管理上制定一套行之有效的安全管理制度并貫徹執(zhí)行也是必不可少的。正是由于內(nèi)部人員對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)、模式都比較了解，若不加強(qiáng)管理，一旦有人出于某種目的破壞網(wǎng)絡(luò)，后果將不堪設(shè)想。另外圖書(shū)館的主要

24、用戶是高校內(nèi)的學(xué)生，同時(shí)他們也被稱(chēng)為最活躍的網(wǎng)絡(luò)用戶，出于對(duì)網(wǎng)絡(luò)新技術(shù)的好奇，有些學(xué)生會(huì)嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù)，對(duì)網(wǎng)絡(luò)造成一定的影響和破壞。從而對(duì)數(shù)字圖書(shū)館的安全產(chǎn)生威脅。（二） 防火墻設(shè)備選型 根據(jù)我校圖書(shū)館網(wǎng)絡(luò)建設(shè)的實(shí)際情況，需要在圖書(shū)館網(wǎng)絡(luò)出口處部署一臺(tái)防火墻，為了滿足實(shí)際網(wǎng)絡(luò)的需要和未來(lái)的升級(jí)擴(kuò)展，該防火墻要求：高性能、提供入侵檢測(cè)功能、能夠防范攻擊和入侵等。根據(jù)具體情況，我們采用銳捷千兆防火墻rg-wall1200，該設(shè)備具體特點(diǎn)如下：rg-wall防火墻是銳捷網(wǎng)絡(luò)采用獨(dú)創(chuàng)的分類(lèi)算法（classification algorithm）設(shè)計(jì)的新一代安全產(chǎn)品，支持?jǐn)U展的狀態(tài)檢測(cè)（tasteful inspection）技術(shù)，具備高性能的數(shù)據(jù)過(guò)濾傳輸功能；同時(shí)在啟用動(dòng)態(tài)端口應(yīng)用程序（如voip, h323等）時(shí)，可提供強(qiáng)有力的安全通道。采用華為網(wǎng)絡(luò)獨(dú)創(chuàng)的分類(lèi)算法使得rg-wall產(chǎn)品的高速性能不受策略數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會(huì)影響網(wǎng)絡(luò)速度；同時(shí)，rg-wall在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類(lèi)、轉(zhuǎn)發(fā)工作，因此不會(huì)成為網(wǎng)絡(luò)流量的瓶頸。另外，rg-wall具有入侵監(jiān)測(cè)功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測(cè)功能不會(huì)影響防火墻的性能。rg-wall的主要功能包括：擴(kuò)展的狀態(tài)檢測(cè)功能、防范入侵及