畢業(yè)設(shè)計(jì)（論文）校園網(wǎng)絡(luò)設(shè)計(jì)方案

1、新 鄉(xiāng) 學(xué) 院 畢 業(yè) 論 文論文題目校園網(wǎng)絡(luò)設(shè)計(jì)方案院（系）名稱國(guó)際教育交流中心專業(yè)名稱計(jì)算機(jī)網(wǎng)絡(luò)班 級(jí)計(jì)算機(jī)網(wǎng)絡(luò)班學(xué)生姓名學(xué) 號(hào)指導(dǎo)教師姓名2010年4月完成目錄內(nèi)容摘要.4關(guān) 鍵 詞.4前言.5第1章 需求分析.51.1 總體需求.51.2 網(wǎng)絡(luò)應(yīng)用需求.61.3 網(wǎng)絡(luò)性能需求.6第2章 網(wǎng)絡(luò)總體設(shè)計(jì).72.1 系統(tǒng)設(shè)計(jì)原則.72.2 設(shè)計(jì)思路.72.3核心設(shè)計(jì).82.3.1核心冗余方案.82.3.2鏈路冗余方案.82.3.3簡(jiǎn)單鏈路方案.102.3.4接入設(shè)計(jì).102.3.5接入internet設(shè)計(jì).122.3.6 vlan的劃分及ip地址的分配.142.3.7物理/鏈路層配置原則.1

2、5第3章 網(wǎng)絡(luò)安全與管理.163.1 網(wǎng)絡(luò)安全.163.1.1 威脅網(wǎng)絡(luò)安全因素分析.163.1.2 網(wǎng)絡(luò)安全防范措施.173.2 網(wǎng)絡(luò)管理.183.2.1 網(wǎng)絡(luò)管理的內(nèi)容.183.2.2 網(wǎng)絡(luò)管理的手段.183.3 網(wǎng)絡(luò)安全策略配置.203.3.1安全接入和配置.203.3.2 拒絕服務(wù)的防止.203.3.3 訪問(wèn)控制.21第4章 綜合布線設(shè)計(jì).214.1 綜合布線的設(shè)計(jì)原則.214.2各系統(tǒng)及網(wǎng)絡(luò)的設(shè)計(jì).224.2.1工作區(qū)子系統(tǒng)及其網(wǎng)絡(luò)設(shè)計(jì).224.2.2 配線子系統(tǒng)及其網(wǎng)絡(luò)設(shè)計(jì).224.2.3干線子系統(tǒng)及其網(wǎng)絡(luò)設(shè)計(jì).234.2.4 設(shè)備間子系統(tǒng)及其網(wǎng)絡(luò)設(shè)計(jì).234.2.5 管理子系統(tǒng)及

3、其網(wǎng)絡(luò)設(shè)計(jì).234.2.6 建筑群子系統(tǒng)及其網(wǎng)絡(luò)設(shè)計(jì).24第5章 防雷接地.245.1 設(shè)計(jì)原則.245.2 防雷防浪涌及接地系統(tǒng).255.2.1 電源系統(tǒng)防雷.255.2.2 通訊線路雷電防護(hù).255.2.3 機(jī)房?jī)?nèi)部防雷輔助措施.265.3 接地系統(tǒng).265.3.機(jī)房接地系統(tǒng).26第6章 結(jié)論.27參考文獻(xiàn).27校園網(wǎng)絡(luò)設(shè)計(jì)方案摘要：近年來(lái)，教學(xué)和管理工作不斷向著信息處理計(jì)算機(jī)化、信息交流網(wǎng)絡(luò)化、信息管理數(shù)據(jù)庫(kù)化信息服務(wù)電子化方向發(fā)展。為了進(jìn)一步提高網(wǎng)絡(luò)教學(xué)的教學(xué)效果和效率以及保障校園網(wǎng)絡(luò)的安全。一套完備的校園網(wǎng)絡(luò)，將學(xué)校的各主要部門，如圖書館、實(shí)訓(xùn)樓、信息中心、校辦、教務(wù)處用計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)

4、結(jié)起來(lái)，形成信息發(fā)布、處理、資源共享、覆蓋面廣的網(wǎng)絡(luò)。abstract: in recent years, teaching and management continue to work toward computerized information processing, information exchange, networking, information management database of electronic information services direction. to further enhance the network of teaching effect

5、iveness and efficiency as well as to protect the safety of the campus network. a comprehensive network of campus, the school will be the major departments, such as libraries, training house, the key laboratory of information center, run, academic computer network linking together to form a release o

6、f information, treatment, a total of resources enjoy, the wide coverage of the network.關(guān)鍵詞：需求分析 校園網(wǎng)絡(luò)設(shè)計(jì) 綜合布線設(shè)計(jì)key words: needs analysis campus network design pds design前言當(dāng)今時(shí)代，隨著信息技術(shù)的迅猛發(fā)展， internet的不斷延伸，計(jì)算機(jī)應(yīng)用成為一個(gè)現(xiàn)代人所必須具備的一項(xiàng)生存技能?！鞍倌甏笥?jì)，教育為本”，隨著我國(guó)教育改革，特別是課程改革的逐步深入，校園現(xiàn)代化和信息化的建設(shè)，已經(jīng)成為培養(yǎng)二十一世紀(jì)全面發(fā)展的綜合人才的必備條件。為

7、了迎頭趕上這一發(fā)展機(jī)遇，跟上信息時(shí)代的腳步，許多單位都開始著手進(jìn)行信息化建設(shè)。作為高新技術(shù)試驗(yàn)基地和人才培養(yǎng)搖籃的學(xué)校，更是掀起了一股校園網(wǎng)建設(shè)的熱潮。教學(xué)電子化，學(xué)習(xí)網(wǎng)絡(luò)化，科研協(xié)作化，管理信息化，將是學(xué)校教育由傳統(tǒng)教育向現(xiàn)代化教育過(guò)渡的一次重大飛躍，中小學(xué)校園網(wǎng)的建設(shè)就是建立在校園內(nèi)的一個(gè)模擬的internet環(huán)境及建立在網(wǎng)上的多媒體網(wǎng)絡(luò)應(yīng)用，現(xiàn)就我校校園網(wǎng)建設(shè)實(shí)踐談?wù)勑@骨干網(wǎng)絡(luò)建設(shè)和實(shí)施方案。新鄉(xiāng)學(xué)院，占地面積1708畝，建筑面積近80萬(wàn)平方米，校園環(huán)境優(yōu)美，木秀花馨，景色宜人，是市級(jí)園林式單位。近年來(lái)，共完成省部級(jí)以上科研課題49項(xiàng)，8項(xiàng)科研成果獲國(guó)家專利，獲得地廳級(jí)以上各項(xiàng)科研獎(jiǎng)勵(lì)

8、350余項(xiàng)，省部級(jí)教學(xué)科研成果獎(jiǎng)24項(xiàng)。出版專著、教材、譯著235部，發(fā)表論文近4000篇。 教育即未來(lái)，如何應(yīng)用信息技術(shù)改造我們傳統(tǒng)的教學(xué)和管理手段；如何加深學(xué)生對(duì)于信息化和信息技術(shù)的理解與了解；如何造就同時(shí)具備傳統(tǒng)和信息雙重文化的一代新人，已成為當(dāng)前最為緊迫的任務(wù)之一。第1章 需求分析1. 1總體需求我校校園網(wǎng)工程范圍主要為包括辦公樓、教學(xué)樓、圖書室、教師住宿樓及實(shí)驗(yàn)樓在內(nèi)的局域網(wǎng)（lan）部分。內(nèi)部局域網(wǎng)的建設(shè)包括硬件網(wǎng)絡(luò)平臺(tái)的建設(shè)、相應(yīng)軟件系統(tǒng)的應(yīng)用。校園網(wǎng)內(nèi)部主要按intranet模式建網(wǎng)，校園內(nèi)部各部門及家庭均能訪問(wèn)校園網(wǎng)內(nèi)部信息，同時(shí)對(duì)外也提供www信息訪問(wèn)。要求能夠根據(jù)應(yīng)用或按

9、部門劃分成若干虛擬子網(wǎng)（vlan），同時(shí)，網(wǎng)絡(luò)應(yīng)具有較好的實(shí)時(shí)性。在網(wǎng)絡(luò)設(shè)計(jì)中，校園網(wǎng)到桌面的計(jì)算機(jī)數(shù)據(jù)端口工程設(shè)計(jì)總量為150個(gè)。這些網(wǎng)絡(luò)端口均要求10/100m到桌面。校園網(wǎng)的體系結(jié)構(gòu)要能支持以intranet web的訪問(wèn)與應(yīng)用，要能支持e-mail、ftp的應(yīng)用，包括有條件、有管理地訪問(wèn)internet，同時(shí)要使校園網(wǎng)的通訊和共享資源能夠建立在方便、安全的基礎(chǔ)上。1.2 網(wǎng)絡(luò)應(yīng)用需求 這方面的需求不同學(xué)校有著明顯不同，大體都可以分為，教學(xué)、辦公、服務(wù)這四方面應(yīng)用。如對(duì)教學(xué)、科研方面的網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮穩(wěn)定、擴(kuò)展、安全等問(wèn)題；辦公、服務(wù)等帶寬是要著重考慮的方面，所以學(xué)校應(yīng)該根據(jù)自己的實(shí)際情況

10、來(lái)考慮網(wǎng)絡(luò)的結(jié)構(gòu)，及安全問(wèn)題。校園網(wǎng)在信息服務(wù)與應(yīng)用方面應(yīng)滿足以下幾個(gè)方面的需求：1. 學(xué)校主頁(yè)。學(xué)校應(yīng)建立獨(dú)立的www服務(wù)器，在網(wǎng)上提高學(xué)校主頁(yè)等服務(wù)，包括校情簡(jiǎn)介、學(xué)校新聞、校報(bào)（電子報(bào)）、招生信息以及校內(nèi)電話號(hào)碼和電子郵件地址查詢等。2. 文件傳輸服務(wù)。考慮到師生之間共享軟件，校園網(wǎng)應(yīng)提供文件傳輸服務(wù)（ftp）。文件傳輸服務(wù)器上存放各種各樣自由軟件和驅(qū)動(dòng)程序，師生可以根據(jù)自己需要隨時(shí)下載并把它們安裝在本機(jī)上。3. 校園網(wǎng)站建設(shè)（www、ftp、e-mail、dns、proxy代理、撥入訪問(wèn)、流量計(jì)費(fèi)等）；4. 多媒體輔助點(diǎn)播教學(xué)兼遠(yuǎn)程教學(xué)：校園網(wǎng)要求具有數(shù)據(jù)、圖像、語(yǔ)音等多媒體實(shí)時(shí)通訊能

11、力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對(duì)帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。5. 校園辦公管理；6. 學(xué)校教務(wù)管理；7. 校園通卡應(yīng)用；8. 網(wǎng)絡(luò)安全firewall；9. 圖書管理、電子閱覽室；10. 系統(tǒng)應(yīng)提供基本的web開發(fā)和信息制作的平臺(tái)。1.3 網(wǎng)絡(luò)性能需求性能需求：有服務(wù)效率、服務(wù)質(zhì)量、網(wǎng)絡(luò)吞吐率、網(wǎng)絡(luò)響應(yīng)時(shí)間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能/價(jià)格比等；根據(jù)本工程的特殊性，語(yǔ)音點(diǎn)和數(shù)據(jù)點(diǎn)使用相同的傳輸介質(zhì)，即統(tǒng)一使用超5類4對(duì)雙絞電纜，以實(shí)現(xiàn)語(yǔ)音、數(shù)據(jù)相互備份的需要；對(duì)于網(wǎng)絡(luò)主干，數(shù)據(jù)通信介質(zhì)全部使用光

12、纖，語(yǔ)音通信主干使用大對(duì)數(shù)電纜；光纜和大對(duì)數(shù)電纜均留有余量；對(duì)于其他系統(tǒng)數(shù)據(jù)傳輸，可采用超5類雙絞線或?qū)Ｓ镁€纜。第2章 網(wǎng)絡(luò)總體設(shè)計(jì)2.1系統(tǒng)設(shè)計(jì)原則在本系統(tǒng)設(shè)計(jì)中采用以下原則：1、實(shí)用性從保護(hù)各系原用的設(shè)備投資和能夠完全滿足現(xiàn)實(shí)需求的角度出發(fā)，充分集成現(xiàn)有的各種計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備，使建設(shè)的系統(tǒng)適用、安全、可靠且易管理、維護(hù)和擴(kuò)展，具有最高的性價(jià)比。2、開放性構(gòu)造一個(gè)開放的網(wǎng)絡(luò)系統(tǒng)，是當(dāng)前世界計(jì)算機(jī)技術(shù)發(fā)展的潮流，因此我們?cè)谡麄€(gè)系統(tǒng)的設(shè)計(jì)中采用的規(guī)范、設(shè)備與廠商無(wú)關(guān)，具有較強(qiáng)的兼容性，便于與外界異種機(jī)平滑互聯(lián)。3、先進(jìn)性當(dāng)今的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展日新月異，把握不準(zhǔn)的方向則可能導(dǎo)致在很短的時(shí)間內(nèi)技術(shù)

13、落伍，從而面臨被淘汰的危險(xiǎn)。因此在堅(jiān)持實(shí)用性的前提下盡量采用國(guó)際先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)和設(shè)備，適合未來(lái)的發(fā)展，做到一次規(guī)劃長(zhǎng)期受益。4、可擴(kuò)充性所選擇的聯(lián)網(wǎng)方案及設(shè)備要能適應(yīng)網(wǎng)絡(luò)規(guī)劃的不斷擴(kuò)大的要求，以便于將來(lái)設(shè)備的擴(kuò)充；要能適應(yīng)信息技術(shù)不斷發(fā)展的要求，平穩(wěn)地向未來(lái)新技術(shù)過(guò)渡。5、可靠性系統(tǒng)設(shè)計(jì)除采用信譽(yù)好，質(zhì)量高的設(shè)備外，還采用一系列容錯(cuò)、冗余技術(shù)、提高整個(gè)系統(tǒng)的可靠性。5、安全性安全性包括兩個(gè)方面，一、網(wǎng)絡(luò)用戶級(jí)的安全性；二、數(shù)據(jù)傳輸級(jí)的安全性。網(wǎng)絡(luò)用戶級(jí)的安全性應(yīng)在網(wǎng)絡(luò)的操作系統(tǒng)中予考慮，而數(shù)據(jù)傳輸?shù)陌踩詣t必須在網(wǎng)絡(luò)傳輸時(shí)解決。2.2 設(shè)計(jì)思路 進(jìn)行校園網(wǎng)總體設(shè)計(jì)，首先要進(jìn)行對(duì)象研究和需求

14、調(diào)查，明確學(xué)校的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)及系統(tǒng)建設(shè)的需求和條件，對(duì)學(xué)校的信息化環(huán)境進(jìn)行準(zhǔn)確的描述；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定學(xué)校intranet服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開發(fā)應(yīng)用和管理等方面的目標(biāo)；第三是確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標(biāo)和學(xué)校主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃校園網(wǎng)建設(shè)的實(shí)施步驟。 校園網(wǎng)總體設(shè)計(jì)方案的科學(xué)性，應(yīng)該體現(xiàn)在能否滿足以下基本要求方面：（1）整體規(guī)劃安排；（2）先進(jìn)性、開放性和標(biāo)準(zhǔn)化相結(jié)合；（3）結(jié)構(gòu)合理，

15、便于維護(hù)；（4）高效實(shí)用；（5）支持寬帶多媒體業(yè)務(wù)；（6）能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。2.3核心設(shè)計(jì)由于學(xué)院級(jí)校園網(wǎng)絡(luò)的計(jì)算機(jī)數(shù)量較少，所以大多采用單核心接入方式。即將所有的匯聚層交換機(jī)和網(wǎng)絡(luò)服務(wù)器都連接至核心交換機(jī)，實(shí)現(xiàn)所有設(shè)備和數(shù)據(jù)在核心交換機(jī)的匯聚和交換。同時(shí)，視投資額的數(shù)量設(shè)計(jì)適當(dāng)?shù)脑O(shè)備和鏈路冗余。2.3.1. 核心冗余方案校園網(wǎng)設(shè)置2臺(tái)核心交換機(jī)，借助2條10 gbps鏈路相互連接。所有的匯聚層交換機(jī)和堆疊交換機(jī)以1000 mbps鏈路，分別連接至2臺(tái)核心交換機(jī)。當(dāng)2臺(tái)核心交換機(jī)都能正常工作時(shí)，分擔(dān)所有匯聚設(shè)備的接入和數(shù)據(jù)通信，實(shí)現(xiàn)網(wǎng)絡(luò)接入的負(fù)載均衡。當(dāng)其中一臺(tái)核心設(shè)備

16、發(fā)生故障時(shí)，由另一臺(tái)核心設(shè)備迅速承擔(dān)全部交換任務(wù)，以保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。拓?fù)浣Y(jié)構(gòu)如圖3-37所示。采用核心冗余方案，任何一臺(tái)核心交換機(jī)、任何一條網(wǎng)絡(luò)鏈路故障，都不會(huì)影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)服務(wù)的提供，從而確保網(wǎng)絡(luò)的穩(wěn)定、高速和安全。當(dāng)然，由于需要購(gòu)置2臺(tái)核心交換機(jī)，因此該方案的投資額較大，適用于規(guī)模較大、且對(duì)穩(wěn)定性有較高要求的校園網(wǎng)絡(luò)。2.3.2. 鏈路冗余方案校園網(wǎng)只設(shè)置1臺(tái)核心交換機(jī)，所有的匯聚層交換機(jī)和堆疊交換機(jī)以2條1000 mbps鏈路，連接至核心交換機(jī)的不同業(yè)務(wù)插板，實(shí)現(xiàn)骨干鏈路的冗余備份。當(dāng)核心交換機(jī)的某個(gè)業(yè)務(wù)板、匯聚層交換機(jī)的某個(gè)模塊或某條骨干鏈路發(fā)生故障時(shí)，另一條骨干鏈路

17、及時(shí)由備份狀態(tài)改變?yōu)榧せ顮顟B(tài)，從而保證網(wǎng)絡(luò)骨干的穩(wěn)定連接。拓?fù)浣Y(jié)構(gòu)如圖3-38所示。采用鏈路冗余方案，任何一條網(wǎng)絡(luò)鏈路故障，都不會(huì)影響核心交換機(jī)與匯聚層交換機(jī)的連接，從而在很大程度上保證了網(wǎng)絡(luò)連接的穩(wěn)定性。然而，一旦核心交換機(jī)發(fā)生故障，將導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。不過(guò)，這個(gè)問(wèn)題可以通過(guò)采用核心交換機(jī)關(guān)鍵部件冗余，特別是交換引擎冗余而得以基本解決，從而最大限度地確保核心交換機(jī)的穩(wěn)定運(yùn)行。由于只需購(gòu)置1臺(tái)核心交換機(jī)，因此該方案的投資額相對(duì)較少，在投入資金和網(wǎng)絡(luò)穩(wěn)定性兩個(gè)方面取得了一個(gè)平衡。適用于規(guī)模較小、且對(duì)穩(wěn)定性沒有太高要求的校園網(wǎng)絡(luò)。2.3.3. 簡(jiǎn)單鏈路方案校園網(wǎng)只設(shè)置1臺(tái)核心交換機(jī)，所有的匯聚層

18、交換機(jī)和堆疊交換機(jī)以1條1000 mbps鏈路，連接至核心交換機(jī)，實(shí)現(xiàn)骨干鏈路的高速連接。當(dāng)某臺(tái)匯聚層交換機(jī)或某條骨干鏈路發(fā)生故障時(shí)，不會(huì)影響其他子網(wǎng)絡(luò)的正常運(yùn)行。但是，核心交換機(jī)一旦發(fā)生故障，將導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。拓?fù)浣Y(jié)構(gòu)如圖3-39所示。由于只需購(gòu)置1臺(tái)核心交換機(jī)，并且采購(gòu)的業(yè)務(wù)板數(shù)量和gbic或sfp模塊數(shù)量較鏈路冗余方案減少一倍。因此，該方案的投資額最低，但安全性最差，只適用于規(guī)模較小、且對(duì)穩(wěn)定性沒有太高要求的校園網(wǎng)絡(luò)。該方案對(duì)網(wǎng)絡(luò)穩(wěn)定的唯一保障，是選擇支持交換引擎和其他關(guān)鍵部件冗余的交換機(jī)，以保證核心交換機(jī)的穩(wěn)定。2.3.4接入層設(shè)計(jì)隨著校園網(wǎng)絡(luò)服務(wù)和應(yīng)用的不斷深入，在網(wǎng)絡(luò)邊緣出現(xiàn)了

19、以下4種新趨勢(shì)。桌面計(jì)算能力提高。帶寬密集型應(yīng)用出現(xiàn)。高敏感數(shù)據(jù)在網(wǎng)絡(luò)中擴(kuò)展。出現(xiàn)了多種設(shè)備類型，如ip電話、wlan接入點(diǎn)和ip視頻攝像頭。這些新需求正與許多已有關(guān)鍵任務(wù)的應(yīng)用爭(zhēng)奪資源。因此，必須將網(wǎng)絡(luò)邊緣看作有效管理信息和應(yīng)用的提供的關(guān)鍵。具體而言，在接入層面，除了應(yīng)當(dāng)提供高速的網(wǎng)絡(luò)連接外，還應(yīng)當(dāng)進(jìn)一步加強(qiáng)校園網(wǎng)絡(luò)對(duì)邊緣接入層面的安全控制能力。用戶可以根據(jù)需要來(lái)訂制自身的安全策略并部署在此交換機(jī)上。同時(shí)，接入層交換機(jī)還應(yīng)當(dāng)支持一些安全功能，如cpu防攻擊能力、防流量攻擊病毒的能力、防組播、廣播攻擊的能力；使交換機(jī)能夠智能地自動(dòng)阻斷或隔離內(nèi)外部的攻擊和網(wǎng)絡(luò)病毒。除此之外，交換機(jī)還應(yīng)具備多個(gè)專

20、用堆疊接口，可滿足樓層、樓宇內(nèi)多個(gè)交換機(jī)高性能匯聚的需要。對(duì)于計(jì)算機(jī)機(jī)房、電子閱覽室、學(xué)生公寓等接入計(jì)算機(jī)數(shù)量很大的接入場(chǎng)所，應(yīng)當(dāng)采用可堆疊交換機(jī)，以提供大量的100 mbps端口。接入交換機(jī)之間以高速堆疊模塊相互連接在一起，并借助1 000 mbps鏈路實(shí)現(xiàn)與匯聚層交換機(jī)之間的連接。為了提高網(wǎng)絡(luò)穩(wěn)定性和網(wǎng)絡(luò)帶寬，可以將24條千兆位鏈路綁定在一起（如圖3-49所示），借助鏈路匯聚技術(shù)實(shí)現(xiàn)鏈路冗余、負(fù)載均衡和帶寬倍增，以確保所有計(jì)算機(jī)都能夠無(wú)阻塞地實(shí)現(xiàn)與校園網(wǎng)絡(luò)的連接。如果所連接的計(jì)算機(jī)數(shù)量較多，且接入層交換機(jī)不支持堆疊，那么可以使用鏈路匯聚的方式實(shí)現(xiàn)接入層交換機(jī)之間的高速連接（如圖3-50所示

21、），既增加了接入層交換機(jī)之間的互聯(lián)帶寬，又提高了連接的穩(wěn)定性。特別是對(duì)于只擁有100 mbps端口的交換機(jī)而言，鏈路匯聚無(wú)疑是接入層交換機(jī)之間高速連接的最佳選擇，同時(shí)也是用于代替1 000 mbps連接的最廉價(jià)方案。鏈路匯聚必須在同一類型的端口之間才能實(shí)現(xiàn)。鏈路匯聚可以是100 mbps或1 000 mbps光纖端口或雙絞線端口，但必須都是固定端口，而不能是sfp端口或gbic端口。鏈路匯聚的鏈路可以是24對(duì)，容納48個(gè)端口。2.3.5. 接入internet設(shè)計(jì)internet接入方式主要有以下六種:撥號(hào)上網(wǎng)方式,使用isdn專線入網(wǎng),使用adsl寬帶入網(wǎng),使用ddn專線入網(wǎng),使用幀中繼方式

22、入網(wǎng),局域網(wǎng)接入。1撥號(hào)上網(wǎng)方式撥號(hào)上網(wǎng)方式又稱為撥號(hào)ip方式，因?yàn)椴捎脫芴?hào)上網(wǎng)方式，在上網(wǎng)之后會(huì)被動(dòng)態(tài)地分配一個(gè)合法的ip地址。用撥號(hào)方式上網(wǎng)的投資不大，但是能使用的功能比撥號(hào)仿真終端方法聯(lián)入要強(qiáng)得多。撥號(hào)上網(wǎng)就是通過(guò)電話撥號(hào)的方式接入internet的，但是用戶的電腦與接入設(shè)備連接時(shí)，該接入設(shè)備不是一般的主機(jī)，而是稱為接入服務(wù)（access server）的設(shè)備，同時(shí)在用戶電腦與接入設(shè)備之間的通信必須用專門的通信協(xié)議slip或ppp。撥號(hào)上網(wǎng)的特點(diǎn)：投資少，適合一般家庭及個(gè)人用戶使用；速度慢，因?yàn)槠涫茈娫捑€及相關(guān)接入設(shè)備的硬件條件限制，一般在56k左右。2isdn專線接入isdn專線接入又

23、稱為一線通、窄帶綜合業(yè)務(wù)數(shù)字網(wǎng)業(yè)務(wù)（n-isdn）。它是在現(xiàn)有電話網(wǎng)上開發(fā)的一種集語(yǔ)音、數(shù)據(jù)和圖像通信于一體的綜合業(yè)務(wù)形式。一線通利用一對(duì)普通電話線即可得到綜合電信服務(wù)：邊上網(wǎng)邊打電話、邊上網(wǎng)邊發(fā)傳真、兩部計(jì)算機(jī)同時(shí)上網(wǎng)、兩部電話同時(shí)通話等。通過(guò)isdn專線上網(wǎng)的特點(diǎn)：方便，速度快，最高上網(wǎng)速度可達(dá)到128k/s。3adsl寬帶入網(wǎng)adsl即不對(duì)稱數(shù)字線路技術(shù)，是一種不對(duì)稱數(shù)字用戶線實(shí)現(xiàn)寬帶接入互聯(lián)網(wǎng)的技術(shù)，其作為一種傳輸層的技術(shù)，利用銅線資源，在一對(duì)雙絞線上提供上行640kbps、下行8mbps的寬帶，從而實(shí)現(xiàn)了真正意義上的寬帶接入。adsl寬帶入網(wǎng)特點(diǎn)：與撥號(hào)上網(wǎng)或isdn相比，減輕了電話

24、交換機(jī)的負(fù)載，不需要撥號(hào)，屬于專線上網(wǎng)，不需另繳電話費(fèi)。4ddn專線入網(wǎng) ddn即數(shù)字?jǐn)?shù)據(jù)網(wǎng)，是利用數(shù)字傳輸通道（光纖、數(shù)字微波、衛(wèi)星）和數(shù)字交叉復(fù)用節(jié)點(diǎn)組成的數(shù)字?jǐn)?shù)據(jù)傳輸網(wǎng)。可以為用戶提供各種速率的高質(zhì)量數(shù)字專用電路和其它新業(yè)務(wù)，以滿足用戶多媒體通信和組建中高速計(jì)算機(jī)通信網(wǎng)的需要。其主要特點(diǎn)： 傳輸質(zhì)量高，信道利用率高；傳輸速率高，網(wǎng)絡(luò)時(shí)延??；數(shù)據(jù)信息傳輸透明度高，可支持任何規(guī)程，可傳輸語(yǔ)音、數(shù)據(jù)、傳真、圖象等多種業(yè)務(wù)；適用于數(shù)據(jù)信息流量大的校園；網(wǎng)絡(luò)運(yùn)行管理簡(jiǎn)便，對(duì)數(shù)據(jù)終端的數(shù)據(jù)傳輸速率沒有特殊要求。 其主要優(yōu)點(diǎn)：能提供高性能的點(diǎn)到點(diǎn)通信；通信保密性強(qiáng)，特別適合金融、保險(xiǎn)等保密性要求高的客

25、戶需要；傳輸質(zhì)量高，網(wǎng)絡(luò)時(shí)延小，通信速率可根據(jù)用戶需要選擇；信道固定分配，充分保證了通信的可靠性，保證用戶的帶寬不會(huì)受其他用戶的影響；用戶通過(guò)這條高速的國(guó)際互聯(lián)網(wǎng)通道，可構(gòu)筑自己的internet、e-mail等應(yīng)用系統(tǒng)；用戶網(wǎng)絡(luò)的整體接入使局域網(wǎng)內(nèi)的pc均可共享互聯(lián)網(wǎng)資源；用戶可免費(fèi)得到多個(gè)internet 合法ip地址及域名；用戶可實(shí)現(xiàn)每天24小時(shí)全天候的信息發(fā)布，即用戶可建立自己的web站點(diǎn)，向國(guó)際互聯(lián)網(wǎng)發(fā)布自己的信息或提供信息服務(wù)；用戶可通過(guò)防火墻等技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)免受不良侵害；用戶可通過(guò)vpn（virtual private network）虛擬私用網(wǎng)絡(luò)功能，利用首創(chuàng)網(wǎng)絡(luò)綜 合信息平

26、臺(tái)實(shí)惠安全、可靠的企業(yè)網(wǎng)的國(guó)際網(wǎng)絡(luò)互聯(lián)，從而構(gòu)建起企業(yè)的國(guó)際專用互 聯(lián)網(wǎng)絡(luò)。 5幀中繼方式入網(wǎng)幀中繼是在osi第二層上用簡(jiǎn)化的方法傳送和交換數(shù)據(jù)單元的一種技術(shù)。通過(guò)幀中繼入網(wǎng)需申請(qǐng)幀中繼電路，配備支持tcp/ip協(xié)議的路由器，用戶必須有l(wèi)an（局域網(wǎng)）或ip主機(jī)，同時(shí)需申請(qǐng)ip地址和域名。入網(wǎng)后用戶網(wǎng)上的所有工作站均可享受internet的所有服務(wù)。幀中繼上網(wǎng)特點(diǎn)：通信效率高，租費(fèi)低，適用于lan之間的遠(yuǎn)程互聯(lián)，傳輸速率在9600bps2048kbps之間。6局域網(wǎng)接入局域網(wǎng)連接就是把用戶的電腦連接到一個(gè)與internet直接相連的局域網(wǎng)lan上，并且獲得一個(gè)永久屬于用戶電腦的ip地址。不需要

27、modem和電話線，但是需要有網(wǎng)卡才能與lan通信。同時(shí)要求用戶電腦軟件的配置要求比較高，一般需要專業(yè)人員為用戶的電腦進(jìn)行配置，電腦中還應(yīng)配有tcp/ip軟件。局域網(wǎng)接入的特點(diǎn)：傳輸速率高，對(duì)電腦配置要求高，需要有網(wǎng)卡，需要安裝配有tcp/ip的軟件。通過(guò)對(duì)比選擇使用ddn專線入網(wǎng)，ddn專線的特點(diǎn)：采用數(shù)字電路，傳輸質(zhì)量高，信道利用率高，數(shù)據(jù)信息流量大，時(shí)延小，通信速率可根據(jù)需要選擇；電路可以自動(dòng)迂回，可靠性高，適用于校園網(wǎng)絡(luò)。2.3.6.vlan的劃分及ip地址的分配所謂vlan是指網(wǎng)絡(luò)中的站點(diǎn)不拘泥于所處的物理位置，可以根據(jù)需要靈活地加入到不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。例如位于不同樓層

28、的用戶或者不同教室的用戶可以根據(jù)需要加入不同的vlan。由于網(wǎng)絡(luò)中既有跨越全網(wǎng)的vlan(強(qiáng)烈建議不要這樣做)又有范圍較小的vlan，且普遍采用802.1q協(xié)議的上連方式，為避免混亂及出錯(cuò)，應(yīng)對(duì)網(wǎng)絡(luò)中的vlan id統(tǒng)一規(guī)劃，禁止出現(xiàn)網(wǎng)中的id相同而又不在同一個(gè)vlan中的情形。建議vlan id采用如下分配原則：（1）vlan1保留使用（2）vlan2vlan3分配給1、2號(hào)教學(xué)樓使用（3）vlan4 分配給教師辦公樓使用（4）vlan5vlan9分配給學(xué)生實(shí)訓(xùn)樓使用；vlan19分配給實(shí)訓(xùn)樓4樓機(jī)房pc使用；vlan100分配給實(shí)訓(xùn)樓4樓服務(wù)器使用。（5）vlan10vlan14分配給男女

29、生宿舍樓使用（6）vlan15vlan17 分配給1到3號(hào)教師宿舍樓使用（7）vlan18 分配給學(xué)生體育館、學(xué)生食堂及商店使用1#101-1#615c4101-c4615vlan1390190/241#701-1#715c4701-c4715vlan131591224/24ip地址的統(tǒng)一、合理規(guī)劃以及整個(gè)網(wǎng)絡(luò)向ipv6的演進(jìn)是關(guān)系到整體分層網(wǎng)絡(luò)穩(wěn)定、快速收斂的關(guān)鍵，也是某職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)。ip地址規(guī)劃的好壞，不僅影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，更影響到網(wǎng)絡(luò)的性能和穩(wěn)定以及網(wǎng)絡(luò)的

30、擴(kuò)展和管理，也必將直接影響到相關(guān)新業(yè)務(wù)的開拓和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步可持續(xù)性發(fā)展。劃分時(shí)注意使用vlan，充分節(jié)約ip地址，使路由交換機(jī)上能夠采用聚合進(jìn)行路由的合并，減少路由表的大小。出口到互聯(lián)網(wǎng)可以采用nat防火墻上做地址轉(zhuǎn)換實(shí)現(xiàn)。校區(qū)內(nèi)接入到同一匯聚層交換機(jī)的區(qū)域建議采用連續(xù)ip地址段，以便做路由匯聚。ip地址的分配原則如下：（1）每個(gè)vlan分配一個(gè)c類地址（2）給三層交換機(jī)設(shè)備互連的點(diǎn)對(duì)點(diǎn)ip地址分配1個(gè)c類地址，提供足夠的擴(kuò)展性（3）考慮到以后的網(wǎng)絡(luò)擴(kuò)展規(guī)模，二層交換機(jī)設(shè)備的管理ip地址分配1個(gè)c類ip地址；（4）可以考慮為學(xué)校校園網(wǎng)分配一個(gè)c類私有地址段，如192.168.19.x/24

31、,將/24的地址段分配給網(wǎng)絡(luò)設(shè)備使用，/24的地址段分配給服務(wù)器等設(shè)備使用，其它地址分配給各辦公室pc機(jī)以及其它信息點(diǎn)使用。 2.3.7.物理/鏈路層配置原則物理/鏈路層配置遵循下面的原則：1. 網(wǎng)絡(luò)設(shè)備互連的物理端口都應(yīng)該綁定端口的速率和全雙工模式；2. 建議所有的vlan都不要穿透核心層，所有的vlan都將在匯聚層交換機(jī)上終結(jié)；3. 本實(shí)施方案建議不要啟用stp生成樹協(xié)議，由于所有的vlan都已在匯聚層交換機(jī)終結(jié)，在二層上并沒有環(huán)路存在，故無(wú)必要啟用；如果開啟基于每個(gè)vlan的生成樹協(xié)議，廣播報(bào)文將會(huì)很多，影響核心交換機(jī)性能和網(wǎng)絡(luò)收斂時(shí)間；

32、4. 所有核心層和匯聚層交換機(jī)之間的互連端口均設(shè)置為trunk模式，但目前只容許互連vlan通過(guò)，以應(yīng)付將來(lái)有vlan穿越核心層這種情況；5. 匯聚層交換機(jī)和接入交換機(jī)之間的互連端口設(shè)置為trunk模式。 第3章 網(wǎng)絡(luò)安全與管理3.1 網(wǎng)絡(luò)安全校園網(wǎng)的安全威脅主要來(lái)源于兩大塊，一塊是來(lái)自于網(wǎng)內(nèi)，一塊來(lái)自于網(wǎng)外。來(lái)源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有40左右是來(lái)自于網(wǎng)絡(luò)內(nèi)部，如何防范來(lái)自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。3.1.1 威脅網(wǎng)絡(luò)安全因素分析計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：1.“黑客”的攻擊；2. 計(jì)算機(jī)病毒；3. 拒

33、絕服務(wù)攻擊（denial of service attack）。安全威脅的類型：1、非授權(quán)訪問(wèn)。指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享。2、冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。3、破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。4、干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時(shí)間等手段。這會(huì)使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)

34、時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。5、病毒與惡意攻擊。指通過(guò)網(wǎng)絡(luò)傳播病毒或惡意java、active x等，其破壞性非常高，而且用戶很難防范。6、軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計(jì)缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如windows的安全漏洞便有很多。7、電磁輻射。電磁輻射對(duì)網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來(lái)源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。另一方面，電磁泄漏可

35、以導(dǎo)致信息泄露。3.1.2 網(wǎng)絡(luò)安全防范措施在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障校園內(nèi)部網(wǎng)絡(luò)安全，我們選購(gòu)了一套網(wǎng)絡(luò)安全防范設(shè)備。1 瑞星殺毒軟件網(wǎng)絡(luò)版1. 超強(qiáng)病毒查殺2. 智能主動(dòng)防御3. 增強(qiáng)型全網(wǎng)漏洞管理4. 強(qiáng)大的網(wǎng)絡(luò)管理能力是網(wǎng)絡(luò)安全的基礎(chǔ)部署、 控制、 執(zhí)行、 升級(jí)、報(bào)告和日志、二次開發(fā)。 5. 兼容多種平臺(tái)6. 一體化智能服務(wù)體系2 瑞星企業(yè)級(jí)防火墻瑞星全功能np防火墻是一款整合多種安全防護(hù)功能的智能網(wǎng)絡(luò)安全防火墻，它是瑞星公司針對(duì)中小企業(yè)級(jí)用戶定制的一款高端防火墻，型號(hào)為：rfw-sme。 瑞星全功能np防火墻整合了多種安全防護(hù)功能，是建構(gòu)中小型企業(yè)網(wǎng)絡(luò)的最佳選

36、擇。rfw-sme擁有通用防火墻功能、網(wǎng)絡(luò)地址轉(zhuǎn)換（nat）、主動(dòng)式入侵檢測(cè)（ids）、虛擬專網(wǎng)（vpn）、帶寬管理、內(nèi)容過(guò)濾、以及策略管理等功能。通過(guò)架設(shè)瑞星全功能np防火墻，可以保護(hù)用戶的網(wǎng)絡(luò)免于黑客的攻擊，同時(shí)也幫助用戶利用因特網(wǎng)的資源建構(gòu)網(wǎng)絡(luò)安全機(jī)制及虛擬專網(wǎng)服務(wù)，還提供了不同等級(jí)的網(wǎng)絡(luò)帶寬管理，讓一些特殊的應(yīng)用服務(wù)可以確保使用帶寬。 3 瑞星入侵檢測(cè)系統(tǒng)作為一種防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。瑞星rids-100入侵檢測(cè)系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，

37、利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，另外rids-100入侵檢測(cè)系統(tǒng)可以與防火墻聯(lián)動(dòng)，自動(dòng)配置防火墻策略，配合防火墻系統(tǒng)使用，可以全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。為了加強(qiáng)對(duì)引擎進(jìn)行訪問(wèn)的用戶的管理，rids-100系統(tǒng)設(shè)計(jì)了一套完善的用戶管理機(jī)制，每個(gè)管理用戶配有一把電子鑰匙（串口或usb接口），內(nèi)裝有該用戶的密鑰和加密算法。用戶在對(duì)系統(tǒng)進(jìn)行管理時(shí)必須插入自己的鑰匙并輸入正確的口令。檢測(cè)引擎的接入對(duì)被保護(hù)網(wǎng)絡(luò)是透明的，它對(duì)被保護(hù)網(wǎng)絡(luò)的任何流量和請(qǐng)求均不做反應(yīng)，不影響被保護(hù)網(wǎng)絡(luò)的性能。 3.2 網(wǎng)絡(luò)管理

38、網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動(dòng)的總稱。3.2.1 網(wǎng)絡(luò)管理的內(nèi)容網(wǎng)絡(luò)管理的內(nèi)容有如下五個(gè)方面：(1）網(wǎng)絡(luò)故障管理；(2) 網(wǎng)絡(luò)配置管理；(3) 網(wǎng)絡(luò)性能管理；(4) 網(wǎng)絡(luò)計(jì)費(fèi)管理；(5) 網(wǎng)絡(luò)安全管理。3.2.2 網(wǎng)絡(luò)管理的手段在校園網(wǎng)絡(luò)管理方面，為了便于校園網(wǎng)絡(luò)管理人員的管理及維護(hù)，我們選購(gòu)quidview網(wǎng)絡(luò)管理軟件。quidview網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)”。quidview網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計(jì)，通過(guò)安裝不同的業(yè)務(wù)組件實(shí)現(xiàn)了設(shè)備管理、vpn監(jiān)視與部署、

39、軟件升級(jí)管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成，實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理。1. 網(wǎng)絡(luò)集中監(jiān)視quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。2. 故障管理故障管理主要功能是對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。3. 性能監(jiān)控quidview網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。通過(guò)性能任務(wù)的配置，可自動(dòng)獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性

40、能的門限，當(dāng)性能超過(guò)門限時(shí)，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過(guò)統(tǒng)計(jì)不同線路、不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。3. 服務(wù)器監(jiān)視管理服務(wù)器是企業(yè)ip架構(gòu)中的重要組成部分，通過(guò)quidview，可實(shí)現(xiàn)服務(wù)器與設(shè)備的統(tǒng)一管理。4. 設(shè)備配置文件管理當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，網(wǎng)絡(luò)管理員的配置文件管理工作將十分繁重，如果沒有好的配置文件維護(hù)工具，網(wǎng)絡(luò)管理員就只能手動(dòng)備份配置文件。這樣就給網(wǎng)絡(luò)管理員管理、維護(hù)網(wǎng)絡(luò)帶來(lái)一定的困難。quidview網(wǎng)絡(luò)配置中心支持對(duì)設(shè)備配置文件的集中管理，包括配置文件的備份、恢復(fù)以及批量更新等操作，同時(shí)還實(shí)現(xiàn)了配置文件的基線化管理，可以對(duì)配置文件的變化進(jìn)行比較跟蹤。6.

41、設(shè)備軟件升級(jí)管理quidview提供完善的設(shè)備軟件備份升級(jí)控制機(jī)制。使用quidview，管理員可以方便地查詢?cè)O(shè)備上運(yùn)行的軟件版本，并利用升級(jí)分析功能來(lái)確定設(shè)備運(yùn)行軟件是否需要升級(jí)。當(dāng)升級(jí)軟件版本時(shí)，可以利用quidview集中備份設(shè)備運(yùn)行軟件，然后進(jìn)行批量升級(jí)。升級(jí)之后，可以使用quidview進(jìn)行升級(jí)結(jié)果驗(yàn)證，確保升級(jí)操作萬(wàn)無(wú)一失。7.集群管理針對(duì)大量二層交換機(jī)設(shè)備的應(yīng)用環(huán)境，quidview網(wǎng)絡(luò)管理軟件提供集群管理功能，通過(guò)一個(gè)指定公網(wǎng)ip的設(shè)備（稱作命令交換機(jī)）對(duì)網(wǎng)絡(luò)進(jìn)行管理。8. 堆疊管理quidview網(wǎng)絡(luò)管理軟件通過(guò)堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管

42、界面，方便用戶對(duì)大量設(shè)備的統(tǒng)一管理維護(hù)。9. 故障定位與地址反查針對(duì)最為常見的端口故障，quidview網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測(cè)工具路徑跟蹤和端口環(huán)回測(cè)試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管對(duì)指定用戶端口做環(huán)回測(cè)試，直接定位端口故障。10. rmon管理rmon管理根據(jù)rfc1757定義的標(biāo)準(zhǔn)rmon-mib及華為3com自定義告警擴(kuò)展mib對(duì)主機(jī)設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視管理。3.3 網(wǎng)絡(luò)安全策略配置3.3.1安全接入和配置安全接入和配置是指在物理(控制臺(tái))或邏輯(telnet)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過(guò)認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠(yuǎn)程訪問(wèn)的安全

43、設(shè)置方法如下表19安全接入和配置方法訪問(wèn)方式保證網(wǎng)絡(luò)設(shè)備安全的方法備注console控制接口的訪問(wèn)設(shè)置密碼和超時(shí)限制建議超時(shí)限制設(shè)成5分鐘進(jìn)入特權(quán)exec和設(shè)備配置級(jí)別的命令行配置radius來(lái)記錄logon/logout時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用telnet訪問(wèn)采用acl限制，指定從特定的ip地址來(lái)進(jìn)行telnet訪問(wèn)；配置radius安全紀(jì)錄方案；設(shè)置超時(shí)限制ssh訪問(wèn)激活ssh訪問(wèn)，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸web管理訪問(wèn)取消web管理功能snmp訪問(wèn)常規(guī)的snmp訪問(wèn)是用acl限制從特定的ip地址來(lái)進(jìn)行snmp訪問(wèn)；記錄非授權(quán)的snmp訪問(wèn)并禁止

44、非授權(quán)的snmp企圖和攻擊為增加安全，建議更改缺省的snmp commutiy子串設(shè)置不同賬號(hào)通過(guò)設(shè)置不同的賬號(hào)的訪問(wèn)權(quán)限，提高安全性3.3.2 拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn)tcp syn泛濫攻擊、smurf攻擊等；網(wǎng)絡(luò)設(shè)備的防tcp syn的方法主要是配置網(wǎng)絡(luò)設(shè)備tcp syn臨界值，若多于這個(gè)臨界值，則丟棄多余的tcp syn數(shù)據(jù)包；防smurf攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā)icmp echo請(qǐng)求(directed broadcast)和設(shè)置icmp包臨界值，避免成為一個(gè)smurf攻擊的轉(zhuǎn)發(fā)者、受害者。3.3.3 訪問(wèn)控制1 允許從內(nèi)網(wǎng)訪問(wèn)internet，端口全開

45、放。2 允許從公網(wǎng)到dmz（非軍事）區(qū)的訪問(wèn)請(qǐng)求：web服務(wù)器只開放80端口，mail服務(wù)器只開放25和110端口。3 禁止從公網(wǎng)到內(nèi)部區(qū)的訪問(wèn)請(qǐng)求，端口全關(guān)閉。4 允許從內(nèi)網(wǎng)訪問(wèn)dmz（非軍事）區(qū)，端口全開放5 允許從dmz（非軍事）區(qū)訪問(wèn)internet，端口全開放6 禁止從dmz（非軍事）區(qū)訪問(wèn)內(nèi)網(wǎng)，端口全關(guān)閉。第4章 綜合布線設(shè)計(jì)4.1 綜合布線的設(shè)計(jì)原則 綜合布線同傳統(tǒng)的布線相比較，有著許多優(yōu)越性，是傳統(tǒng)布線所無(wú)法比及的。其特點(diǎn)主要表現(xiàn)為它的兼容性、開放性、靈活性、可靠性、先進(jìn)性和經(jīng)濟(jì)性。而且在設(shè)計(jì)、施工和維護(hù)方面也給人們帶來(lái)了許多方便。h兼容性：綜合布線的首要特點(diǎn)是它的兼容性。所謂

46、兼容性是指它自身是完全獨(dú)立的而與應(yīng)用系統(tǒng)相對(duì)無(wú)關(guān)，可以適用于多種應(yīng)用系統(tǒng)。綜合布線將語(yǔ)音、數(shù)據(jù)與監(jiān)控設(shè)備的信號(hào)線經(jīng)過(guò)統(tǒng)一規(guī)劃和設(shè)計(jì)，采用相同的傳輸介質(zhì)、信息插座、交連設(shè)備、適配器等，把這些不同信號(hào)綜合到一套標(biāo)準(zhǔn)的布線中。由此可見，這個(gè)布線比傳統(tǒng)布線大為簡(jiǎn)化，節(jié)省大量的物資、時(shí)間和空間。h開放性：該系統(tǒng)采用開放式體系結(jié)構(gòu)，符合多種國(guó)際上現(xiàn)行的標(biāo)準(zhǔn)，它幾乎對(duì)所有著名廠商的產(chǎn)品都是開放的，并支持所有通信協(xié)議。h靈活性：該系統(tǒng)采用標(biāo)準(zhǔn)的傳輸線纜和相關(guān)連接硬件，模快化設(shè)計(jì)，所有通道都是通用的，而且每條通道可支持終端、以太網(wǎng)工作站及令牌網(wǎng)工作站。所有設(shè)備的開通及更改均不需改變布線線路，組網(wǎng)也可靈活多變。h

47、可靠性：該系統(tǒng)采用高品質(zhì)的材料和組合壓接的方式構(gòu)成一套高標(biāo)準(zhǔn)的信息傳輸通道，所有線纜和相關(guān)連接件均通過(guò)iso認(rèn)證，每條通道都要采用專用儀器測(cè)試鏈路阻抗及衰減率，以保證其電氣性能。應(yīng)用系統(tǒng)全部采用點(diǎn)到點(diǎn)端接，任何一條鏈路故障均不影響其它鏈路的運(yùn)行，從而保證了整個(gè)系統(tǒng)的可靠運(yùn)行。h先進(jìn)性：該系統(tǒng)采用光纖和雙絞線混合布線方式，極為合理地構(gòu)成一套完整的布線。所有布線均采用世界上最新通信標(biāo)準(zhǔn)，鏈路均按8芯雙絞線配置。5類雙絞線的數(shù)據(jù)最大傳輸率可達(dá)到155mbps，對(duì)于特殊用戶的需求可把光纖引到桌面。干線語(yǔ)音部分采用電纜，數(shù)據(jù)部分采用光纜，為同時(shí)傳輸多路實(shí)時(shí)多媒體信息提供足夠的裕量。h經(jīng)濟(jì)性：雖然綜合布線

48、初期投資比較高，但由于綜合布線將原來(lái)相互獨(dú)立、互不兼容的若干種布線集中成為一套完整的布線體系，統(tǒng)一設(shè)計(jì)，統(tǒng)一施工，統(tǒng)一管理。這樣可省去大量的重復(fù)勞動(dòng)和設(shè)備占用，使布線周期大大縮短。另外，綜合布線系統(tǒng)使用簡(jiǎn)單、方便，維護(hù)費(fèi)用低，可以滿足三維多媒體的傳輸和用戶對(duì)isdn（綜合服務(wù)數(shù)字網(wǎng)）、atm（異步傳輸模式）的需求?？梢娋C合布線系統(tǒng)具有很高的性能價(jià)格比。4.2各系統(tǒng)及網(wǎng)絡(luò)設(shè)計(jì)4.2.1工作區(qū)子系統(tǒng)（work area）及其網(wǎng)絡(luò)設(shè)計(jì)工作區(qū)子系統(tǒng)，是由rj-45跳線與信息插座所連接的設(shè)備組成。信息點(diǎn)由標(biāo)準(zhǔn)rj45插座構(gòu)成。信息點(diǎn)數(shù)量應(yīng)根據(jù)工作區(qū)的實(shí)際功能及需求確定，并預(yù)留適當(dāng)數(shù)量的冗余。例如：對(duì)于一

49、個(gè)辦公區(qū)內(nèi)的每個(gè)辦公點(diǎn)可配置23個(gè)信息點(diǎn)，此外應(yīng)為此辦公區(qū)配置35個(gè)專用信息點(diǎn)用于工作組服務(wù)器、網(wǎng)絡(luò)打印機(jī)、傳真機(jī)、視頻會(huì)議等。若此辦公區(qū)為商務(wù)應(yīng)用則信息點(diǎn)的帶寬為100m可滿足要求；若此辦公區(qū)為技術(shù)開發(fā)應(yīng)用則每個(gè)信息點(diǎn)應(yīng)為交換式100m甚至是光纖信息點(diǎn)。工作區(qū)的終端設(shè)備（如：電話機(jī)、傳真機(jī)）選用康寧公司futurecom超五類雙絞線直接與工作區(qū)內(nèi)的每一個(gè)信息插座相連接，或用適配器（如isdn終端設(shè)備）、平衡/非平衡轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換連接到信息插座上。4.2.2 配線子系統(tǒng)（horizontal）及其網(wǎng)絡(luò)設(shè)計(jì)配線子系統(tǒng)，是從工作區(qū)的信息插座開始到管理間子系統(tǒng)的配線架。選擇配線子系統(tǒng)的線纜，要根據(jù)建筑物內(nèi)具體信息點(diǎn)的類型、容量、帶寬和傳輸速率來(lái)確定。在配線子系統(tǒng)中推薦采用的雙絞電纜及光纖型號(hào)為: 康寧公司futurecom超五類或六類非屏蔽雙絞線, futurelink室