XX校園網(wǎng)絡(luò)設(shè)計(jì)方案書

1、第一章建設(shè)目標(biāo)與原則21.1 XX學(xué)院網(wǎng)絡(luò)建設(shè)目標(biāo)21.2校園網(wǎng)設(shè)計(jì)原則3第二章校園網(wǎng)建設(shè)方案52. 1搭建校園網(wǎng)絡(luò)系統(tǒng)52. 2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)62.3 IP地址規(guī)劃72.4設(shè)備選型92.5網(wǎng)絡(luò)安全設(shè)計(jì)112.6網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)16第三章網(wǎng)絡(luò)應(yīng)用解決方案203.1綜合辦公自動(dòng)化系統(tǒng)203. 2網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)21第四章網(wǎng)絡(luò)的綜合布線系統(tǒng)234. 1綜合布線標(biāo)準(zhǔn)234. 2設(shè)計(jì)范圍及要求234.3布線的實(shí)施244. 4測試及驗(yàn)收27參考文獻(xiàn)30XX學(xué)院校園網(wǎng)建設(shè)方案【摘要】科學(xué)技術(shù)的發(fā)展日新月異，在計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合下，網(wǎng)絡(luò) 技術(shù)得到了飛速的發(fā)展。如今，不僅計(jì)算機(jī)已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合，整個(gè)社會(huì)都不

2、 可能脫離網(wǎng)絡(luò)而存在。網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流，人們對網(wǎng)絡(luò)的認(rèn) 識也隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及而迅速改變。在不久的將來，網(wǎng)絡(luò)必將成為和電話 一樣通用的工具，成為人們生活、工作、學(xué)習(xí)中必不可少的一部分。XX學(xué)院校園網(wǎng)一期、二期建設(shè)基本完成了校園網(wǎng)的框架，主要用于連接各實(shí) 驗(yàn)室、教研室和各部處通過網(wǎng)絡(luò)中心與Internet連接。但是隨著學(xué)校的發(fā)展，廣 大師生對校園網(wǎng)的覆蓋率、穩(wěn)定性、管理及業(yè)務(wù)提出了更高的要求，而原有的校 園網(wǎng)在以上幾方面均暴露出一系列不足。在本方案中，我們將詳細(xì)闡述XX學(xué)院校園網(wǎng)的建設(shè)方案，內(nèi)容大致分為搭建 網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用、網(wǎng)絡(luò)管理、綜合布線等幾部分?！娟P(guān)鍵字】局

3、域網(wǎng)、Internet、計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)協(xié)議' 服務(wù)器' 防火墻第一章建設(shè)目標(biāo)與原則1.1 XX學(xué)院網(wǎng)絡(luò)建設(shè)目標(biāo)學(xué)校共有員工和學(xué)生9000人，院區(qū)內(nèi)共有12棟建筑，包括教學(xué)樓、實(shí)驗(yàn)樓、 現(xiàn)教樓、圖書館、宿舍樓等。上網(wǎng)的人員主要是學(xué)生、教師和科研人員。學(xué)校的網(wǎng)絡(luò)同時(shí)承載著多樣的網(wǎng)絡(luò)應(yīng)用：網(wǎng)絡(luò)下載、視頻點(diǎn)播、網(wǎng)絡(luò)聊天、 專項(xiàng)課題研究、網(wǎng)絡(luò)化教學(xué)，學(xué)校要求網(wǎng)絡(luò)具有高性能、高可用性和高安全性。學(xué)校規(guī)模在不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性， 能夠根據(jù)需要逐步平滑升級到千兆的骨干連接。學(xué)生擁有筆記本電腦的人數(shù)越來越多，他們想在校園的各個(gè)地方都可以上 網(wǎng)，甚至包括操場。要

4、求網(wǎng)絡(luò)具有移動(dòng)和無線集成。學(xué)校要求能對每個(gè)用戶的使用情況能進(jìn)行事后審計(jì)，能夠定位到IP地址以 及用戶所連接的端口和登錄的用戶名。由于校園網(wǎng)絡(luò)的開放性和流量的多樣性，學(xué)校要求能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常流量 并做出響應(yīng)。同時(shí)要求基于每用戶的速率限制。另外在設(shè)備支持上要求：在10/100或10/100/1 OOOBaseT上支持802. 3af PoE；網(wǎng)絡(luò)設(shè)備集成的安全性；要求第2層和第3層的QoS；要求增強(qiáng)的802. 1x 功能；支持10GE或?qū)砥交^渡到10GEo當(dāng)前萬兆以太網(wǎng)將成為園區(qū)骨干網(wǎng)的主流技術(shù)。但根據(jù)XX學(xué)院目前的實(shí)際 情況，可先采用千兆位以太網(wǎng)作為園區(qū)骨干，以后再根據(jù)需要升級；另外交換機(jī)

5、 及路由器本身的性能對整個(gè)網(wǎng)絡(luò)的性能也有影響，諸如線速轉(zhuǎn)發(fā)、QoS、STP、可 支持的路由協(xié)議的收斂特性等等都將影響網(wǎng)絡(luò)的性能。高可用性：網(wǎng)絡(luò)的高可用性必須依靠冗余來實(shí)現(xiàn)，網(wǎng)絡(luò)級冗余性可以利用雙 宿主設(shè)計(jì)自動(dòng)繞過故障鏈路或設(shè)備，能夠使用智能協(xié)議保持網(wǎng)絡(luò)可靠性。設(shè)備級 冗余性可以利用設(shè)備內(nèi)部部件（如管理引擎、電源、風(fēng)扇等）的冗余來提供不間 斷服務(wù)。線路級冗余可通過敷設(shè)物理走向不同的線纜的方式來實(shí)現(xiàn)線路的暢通。 對于XX學(xué)院來說，以上所說在不同的場合中都有可能用到；另外，降低網(wǎng)絡(luò)的 復(fù)雜性、提供備用互聯(lián)網(wǎng)出口、強(qiáng)大的網(wǎng)絡(luò)監(jiān)控功能及良好的用戶培訓(xùn)也可增加 園區(qū)網(wǎng)的可用性。高安全性：現(xiàn)階段網(wǎng)絡(luò)建設(shè)主要

6、面臨以下幾方面的問題：網(wǎng)絡(luò)流量增長得很 快，與此同時(shí)網(wǎng)絡(luò)運(yùn)營商的接入費(fèi)用不降反升；管理人員對校園網(wǎng)的運(yùn)行情況缺 乏基本的分析和管理工具；網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，重要服務(wù)器和核心網(wǎng)絡(luò)設(shè)備 被攻擊；網(wǎng)絡(luò)病毒泛濫，得不到控制；有線用戶和無線用戶的接入控制、定位缺 乏手段等；針對以上問題，將安全連接、威脅防御、信用和身份管理系統(tǒng)集成到 單個(gè)解決方案中，并提供病毒感染限制、染毒設(shè)備隔離功能可有效的解決校園網(wǎng) 建設(shè)中的安全問題。高可擴(kuò)展性：在設(shè)計(jì)園區(qū)網(wǎng)時(shí)，通過層次化的設(shè)計(jì)可保證網(wǎng)絡(luò)的擴(kuò)展性。層 次化結(jié)構(gòu)包括三個(gè)功能部分：即接入層、分布層和核心層，層次化的設(shè)計(jì)除了能 帶來便于擴(kuò)展的優(yōu)勢以外，還可節(jié)約成本和加強(qiáng)

7、故障隔離能力；移動(dòng)性：可通過實(shí)施Wireless LAN實(shí)現(xiàn)無線上網(wǎng)。1.2校園網(wǎng)設(shè)計(jì)原則采用先進(jìn)成熟的技術(shù)和設(shè)計(jì)思想，運(yùn)用先進(jìn)的集成技術(shù)路線，以先進(jìn)、實(shí)用、 開放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實(shí)用性，盡快投入使 用，發(fā)揮較好的效能。計(jì)算機(jī)技術(shù)的發(fā)展十分迅速，更新?lián)Q代周期越來越短。所以，選購設(shè)備要充 分注意先進(jìn)性，選擇硬件要預(yù)測到未來發(fā)展方向，選擇軟件要考慮開放性，工具 性和軟件集成優(yōu)勢。網(wǎng)絡(luò)設(shè)計(jì)要考慮通信發(fā)展要求，因此，主要、關(guān)鍵設(shè)備需要 具有很高的性價(jià)比。系統(tǒng)的設(shè)計(jì)既要在相當(dāng)長的時(shí)間內(nèi)保證其先進(jìn)性，還應(yīng)本著實(shí)用的原則，在 實(shí)用的基礎(chǔ)上追求先進(jìn)性，使系統(tǒng)便于聯(lián)網(wǎng)，實(shí)現(xiàn)信息資

8、源共享。易于維護(hù)管理, 具有廣泛兼容性，同時(shí)為適應(yīng)我國實(shí)際情況，設(shè)備應(yīng)具有使用靈活、操作方便的 漢字、圖形處理功能。目前，計(jì)算機(jī)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互連互通日益增加，都直接或間接與國際互連 網(wǎng)連接。因此，系統(tǒng)方案設(shè)計(jì)需考慮系統(tǒng)的可靠性、信息安全性和保密性的要求。XX學(xué)院校園網(wǎng)設(shè)計(jì)方案設(shè)計(jì)原則和需求分析，可以方便地進(jìn)行設(shè)備擴(kuò)充和適 應(yīng)工程的變化，以及靈活地進(jìn)行軟件版本的更新和升級，保護(hù)用戶的投資。目前，網(wǎng)絡(luò)向多平臺(tái)、多協(xié)議、異種機(jī)、異構(gòu)型網(wǎng)絡(luò)共存方向發(fā)展，其目標(biāo) 是將不同機(jī)器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類型連成一個(gè)可協(xié)同工作的一個(gè)整體。 所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國際標(biāo)準(zhǔn)，為將來系統(tǒng)的升級、擴(kuò)展打下良

9、好的 基礎(chǔ)。采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，滿足系統(tǒng)及用戶各種不同的應(yīng)用要求，適 應(yīng)業(yè)務(wù)調(diào)整變化。采用的技術(shù)標(biāo)準(zhǔn)必須按照國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)與規(guī)范，保證系統(tǒng)的延續(xù)性和 可靠性。滿足系統(tǒng)目標(biāo)與功能目標(biāo)，總體方案設(shè)計(jì)合理，滿足用戶的應(yīng)用要求，便于 系統(tǒng)維護(hù)，以及系統(tǒng)二次開發(fā)與移植。第二章校園網(wǎng)建設(shè)方案2. 1搭建校園網(wǎng)絡(luò)系統(tǒng)XX學(xué)院從地理上分為二大塊：教學(xué)區(qū)和宿舍區(qū)。目前只在教學(xué)區(qū)部分大樓進(jìn) 行了聯(lián)網(wǎng)，宿舍區(qū)沒有聯(lián)網(wǎng)。因此，我們需要做的工作是宿舍區(qū)和教學(xué)區(qū)的網(wǎng)絡(luò) 互聯(lián)，以及教學(xué)區(qū)的網(wǎng)絡(luò)擴(kuò)展。本方案采用成熟的千兆以太網(wǎng)技術(shù)，采用分層結(jié)構(gòu)的解決方案。整個(gè)網(wǎng)絡(luò)設(shè) 計(jì)的原則為：中心交換機(jī)為整個(gè)網(wǎng)絡(luò)的核心，它對

10、整個(gè)網(wǎng)絡(luò)的性能、可靠性起決定作用， 它連接各個(gè)物理子網(wǎng)，管理網(wǎng)絡(luò)內(nèi)信息交換（包括多媒體信息），控制VLAN間 訪問，保證信息安全。因此，選用中心交換機(jī)除了提供高速的網(wǎng)絡(luò)連接之外，還 具有多種信息的管理控制能力。全部的網(wǎng)絡(luò)設(shè)備均支持高效的Intranet多媒體和多點(diǎn)廣播技術(shù)，為多媒體 和多點(diǎn)廣播應(yīng)用等提供端到端的帶寬保證。網(wǎng)絡(luò)采用層次結(jié)構(gòu)，不僅邏輯結(jié)構(gòu)清晰，管理方便；更重要的是大多數(shù)的數(shù) 據(jù)流量（主要是同一部門或工作組內(nèi)）的交換在分布層交換機(jī)上直接處理，不經(jīng) 中心設(shè)備，節(jié)省主干帶寬，提高利用率。有一定的前瞻性，不僅滿足當(dāng)前網(wǎng)上應(yīng)用，也為向?qū)砀咝阅艿纳壸骱?了準(zhǔn)備：網(wǎng)絡(luò)具有的伸縮性，升級和擴(kuò)

11、展主要只集中在網(wǎng)絡(luò)中心，添加新的接口 模塊，即可實(shí)現(xiàn)用戶和信息點(diǎn)的擴(kuò)充，升級模塊即可大量提高主干帶寬；中心配 置兩臺(tái)多層交換機(jī)，網(wǎng)絡(luò)結(jié)構(gòu)就能連接成高可靠性的、真正的中心交換機(jī)互備份 和上聯(lián)線路冗余。配合熱備份路由協(xié)議和熱備份雙服務(wù)器主機(jī)系統(tǒng)，在整個(gè)系統(tǒng) 內(nèi)消除單點(diǎn)故障，提供高可用性的應(yīng)用服務(wù)系統(tǒng)。虛擬專用網(wǎng)(VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè) 臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專 用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商 業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 虛擬專用網(wǎng)可用于

12、不斷増長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可 用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙 伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。2. 2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)地理位置及信息點(diǎn)的數(shù)量和未來覆蓋面擴(kuò)充等多方面原因，將校園網(wǎng)為 每個(gè)系劃分若干個(gè)區(qū)域。劃分區(qū)域主要考慮以下幾個(gè)方面：可以減輕中央核心交 換機(jī)的負(fù)擔(dān)、管理上方便、便于未來的連接擴(kuò)充。XX學(xué)院校園網(wǎng)的拓樸如圖2. 1所示:VPN檢入現(xiàn)教樓中心機(jī)房核心層交換機(jī)WEB7FTP 陽務(wù)器無線桂制器核心層交換機(jī)認(rèn)證眾務(wù)誌分布層交換機(jī)行政樓COOOOO圖2.1 XX學(xué)院校園網(wǎng)的拓樸圖DHCP/DNS 用務(wù)器整個(gè)校園網(wǎng)劃分為三個(gè)層

13、次：核心層、分布層和接入層。相應(yīng)的交換機(jī)就是 核心交換機(jī)、分布層交換機(jī)和接入層交換機(jī)。核心層網(wǎng)絡(luò)選擇千兆以太網(wǎng)。校網(wǎng)絡(luò)中心將放置兩臺(tái)高端三層千兆交換機(jī)和 一臺(tái)邊界路由器。交換機(jī)間的連接要求是高帶寬連接。分布層交換機(jī)要求至少兩 路上行鏈路連至兩臺(tái)核心層交換機(jī)上，采用快速收斂的路由協(xié)議實(shí)現(xiàn)故障切換和 負(fù)載均衡，當(dāng)某一鏈路出現(xiàn)意外，也可以從另外一路上連。校內(nèi)各系的匯聚交換機(jī)構(gòu)成，各分布層交換機(jī)放置在各系的網(wǎng)絡(luò)中心，要求 至少兩路上行鏈路連至兩臺(tái)核心層交換機(jī)上。分布層交換的下連交換機(jī)都為接入層網(wǎng)絡(luò)。2.3 IP地址規(guī)劃本方案采用的地址分配方法利用VLSM技術(shù),不僅有大量預(yù)留空間，而且本校園網(wǎng)使用OSP

14、F路由協(xié)議有層次的IP地址易于管理在邊界路由器上可做匯聚（匯聚成10. 1.0. 0/17網(wǎng)段）,減少路由更新大小，提高網(wǎng)絡(luò)性能。如表2. 1所示:表2.1 XX學(xué)院校園網(wǎng)IP地址分配表建筑物設(shè)備IP地址子網(wǎng)掩碼現(xiàn)教樓中心機(jī)房VPN防火墻10. 1.0. 1255. 255. 255. 0邊界路由器10. 1.0. 2255. 255. 255. 0核心交換機(jī)255. 255. 255. 0核心交換機(jī)210. 1.0.4255. 255. 255. 0WEB/FTP服務(wù)器10.1.70. 1255. 255. 255. 0認(rèn)證服務(wù)器255. 255. 255

15、. 0DNS/DHCP服務(wù)器10.1.80. 1255. 255. 255. 0用戶255. 255. 255. 0教學(xué)樓分布層交換機(jī)255. 255. 255. 0接入層交換機(jī)10. 1.0.6255. 255. 255. 0AP255. 255. 255. 0用戶10. 1.20.0255. 255. 254. 0實(shí)驗(yàn)樓分布層交換機(jī)10. 1.0.8255. 255. 255. 0接入層交換機(jī)10. 1.0.9255. 255. 255. 0AP10. 1.63. 10255. 255. 255. 0用戶255. 255

16、. 248. 0圖書館分布層交換機(jī)1255. 255. 255. 0接入層交換機(jī)2255. 255. 255. 0AP10. 1.63. 13255. 255. 255. 0用戶10. 1.40. 0255. 255. 254. 0行政樓分布層交換機(jī)4255. 255. 255. 0接入層交換機(jī)10. 1.0. 15255. 255. 255. 0AP10. 1.63. 16255. 255. 255. 0用戶255. 255. 254. 0宿舍樓分布層交換機(jī)10. 1.0. 17255. 255. 255. 0接入層交換機(jī)10

17、. 1.0. 18255. 255. 255. 0AP10. 1.63. 19255. 255. 255. 0用戶10. 1.64. 0255. 255. 192. 02. 4設(shè)備選型本方案中校園網(wǎng)絡(luò)核心層設(shè)備采用Cl SCO Cata I yst 6509 （Superv i sor Engine 720*2/電源*2/FWSM*1/IPSec VPN 模塊*1/IDSM*1/NAM*1/16 口千兆以太網(wǎng)光口 板*1/若干5486/48 口千兆電口*1,符合IEEE802. 3af&PoE）數(shù)量：2 臺(tái)。Cisco Catalyst 6509 的優(yōu)點(diǎn)：最長的網(wǎng)絡(luò)正常運(yùn)行時(shí)間一利用平

18、臺(tái)、電源、控制引擎、交換矩陣和集 成網(wǎng)絡(luò)服務(wù)冗余性提供13秒的狀態(tài)故障切換，提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在 一起的融合網(wǎng)絡(luò)環(huán)境，減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷。全面的網(wǎng)絡(luò)安全性一將切實(shí)可行的數(shù)千兆位級思科安全解決方案集成到 現(xiàn)有網(wǎng)絡(luò)中，包括入侵檢測、防火墻、VPN和SSL。可擴(kuò)展性能一利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá)400Mpps的轉(zhuǎn)發(fā)性能。能夠適應(yīng)未來發(fā)展并保護(hù)投資的體系結(jié)構(gòu)一在同一種機(jī)箱中支持三代可 互換、可熱插拔的模塊，以提高IT基礎(chǔ)設(shè)施利用率，增大投資回報(bào)，并降低總 體擁有成本。卓越的服務(wù)集成和靈活性一將安全和內(nèi)容等高級服務(wù)與融合網(wǎng)絡(luò)集成在 一起，提供從10/100和10/100/1000以太

19、網(wǎng)到萬兆以太網(wǎng)，從DS0到0C-48的 各種接口和密度，并能夠在任何部署項(xiàng)目中端到端執(zhí)行。校園網(wǎng)絡(luò)分布層設(shè)備采用CISCO Catalyst 4507R （Supervisor Engine V-10GE*2/電源*2/若干千兆以太網(wǎng)光口板及GBIC/48 口千兆電口板料，符合 IEEE802. 3af&PoE）數(shù)量：7 臺(tái)。Cisco Catalyst 4506 （With Supervisor V-10GE） 的優(yōu)點(diǎn)是： 136Gbps交換矩陣； 102mpps第二層到第四層吞吐率；雙線速萬兆以太網(wǎng)上行鏈路；利用千兆以太網(wǎng)SFP上行鏈路順利移植到萬兆以太網(wǎng)；在交換管理引擎上提供集成

20、式NetFlow,通過基于用戶的速率限制實(shí)施精 確流量控制； 超快速800MHz CPU可實(shí)現(xiàn)更快的控制平面； 最多能夠在Catalyst 451 OR交換機(jī)中支持384個(gè)10/100/1000端口；提供所有Cisco Catalyst集成式安全特性；為提供更加靈活的策略，能夠?yàn)槊總€(gè)端口和VLAN實(shí)施不同的QoS；思科快速轉(zhuǎn)發(fā)能夠防止可變IP信息攻擊。端口安全、DHCP偵聽、ARP檢測和IP源防護(hù)能夠防止黑客從第二層及 以上發(fā)動(dòng)拒絕服務(wù)（DoS）攻擊或破壞網(wǎng)絡(luò)。速率限制以出口和入口限速器的方式出現(xiàn)，可以控制每個(gè)VLAN的流量， 防止DoS攻擊。Supervi sor Engine V-10GE

21、支持基于用戶的速率限制。 802. 1X及其擴(kuò)展性能防止非法用戶和設(shè)備接入網(wǎng)絡(luò)，例如惡意接入點(diǎn)。硬件Netflow可用于主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，并采取相應(yīng)措施。它使用 的訪問控制列表可在交換端口和路由端口上提供，以便進(jìn)行二到七層流量控制。校園網(wǎng)絡(luò)接入層設(shè)備采用CISCO Catalyst 3560(EMI)交換機(jī)，該系列交換機(jī) 是一個(gè)固定配置、企業(yè)級、IEEE 802. 3af和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電(PoE)交換 機(jī)系列，工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下。CISCO Catalyst 3560是一款理想的接入層交換機(jī)，適用于小型企業(yè)布線室 或分支機(jī)構(gòu)環(huán)境,結(jié)合了 10/100/1000和Po

22、E配置，實(shí)現(xiàn)最高生產(chǎn)率和投資保護(hù), 并可部署新應(yīng)用，如IP電話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視 頻訪問等?？蛻艨稍谡麄€(gè)網(wǎng)絡(luò)范圍中部署智能服務(wù)，如高級QoS、速率限制、訪問控制 列表、組播管理和高性能IP路由等，且同時(shí)保持傳統(tǒng)LAN交換的簡潔性。思科網(wǎng)絡(luò)助理(network assistant)在Catalyst 3560系列中免費(fèi)提供，是 一個(gè)集中管理應(yīng)用，可簡化思科交換機(jī)、路由器和無線接入點(diǎn)的管理任務(wù)。思科 網(wǎng)絡(luò)助理提供了配置向?qū)?，大大簡化了融合網(wǎng)絡(luò)和智能網(wǎng)絡(luò)服務(wù)的實(shí)施；支持增 強(qiáng)的802. 1x(IBNS)o2. 5網(wǎng)絡(luò)安全設(shè)計(jì)XX學(xué)院網(wǎng)絡(luò)安全性方案設(shè)計(jì)原則是：整個(gè)XX學(xué)院網(wǎng)絡(luò)

23、必須是一個(gè)嚴(yán)密的安全 保密體系。采取的安全措施不能影響整個(gè)網(wǎng)絡(luò)運(yùn)行效率。保密設(shè)備要做到管理方 便，完善可靠。加密系統(tǒng)具有良好的網(wǎng)絡(luò)兼容性和可擴(kuò)展性，實(shí)現(xiàn)防竊取、防篡 改、防破壞三大功能。按照國家主管部門對政府辦公網(wǎng)絡(luò)安全保密性的相應(yīng)法規(guī) 和規(guī)定，要保障系統(tǒng)內(nèi)部信息的安全，我們主要應(yīng)該做到處理秘密級、機(jī)密級信 息的系統(tǒng)與不涉及保密信息的系統(tǒng)實(shí)行物理隔離，秘密級、機(jī)密級信息在網(wǎng)絡(luò)上 采取加密傳輸。防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與Internet之間的一個(gè)或一組系統(tǒng)，用以實(shí)施兩 個(gè)網(wǎng)絡(luò)間的訪問控制和安全策略。狹義上防火墻指安裝了防火墻軟件的主機(jī)或和 路由系統(tǒng)；廣義上還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻

24、技術(shù)屬于被動(dòng) 防衛(wèi)型，它通過在網(wǎng)絡(luò)邊界上建立一個(gè)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來保護(hù)內(nèi)部網(wǎng)絡(luò)安全的 目的，其功能是按照設(shè)定的條件對通過的信息進(jìn)行檢查和過濾。防火墻是實(shí)施組 織的網(wǎng)絡(luò)安全策略、保護(hù)內(nèi)部信息的第一道屏障，其作用主要有：保護(hù)功能拒絕 非授權(quán)訪問、保護(hù)網(wǎng)絡(luò)系統(tǒng)和私人及敏感信息不受侵害。連接功能作為內(nèi)部網(wǎng)絡(luò) 與Internet之間的單一連接點(diǎn)。管理功能實(shí)施統(tǒng)一的安全策略，檢查網(wǎng)絡(luò)使用 情況，進(jìn)行流量控制等。防火墻有三個(gè)屬性：所有進(jìn)出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過它；僅被本地安全策 略所授權(quán)的數(shù)據(jù)包才能通過它；防火墻本身對攻擊必須具有免疫能力。在XX學(xué)院 和外網(wǎng)的連接中，我們推薦使用硬件防火墻。比如CISCO

25、ASA5510-BUN-K9系列：并發(fā)連接數(shù)130000網(wǎng)絡(luò)吞吐量(Mbps) 300安全過濾帶寬170Mbps 網(wǎng)絡(luò)端口 3+1個(gè)管理快速以太網(wǎng)端口、可升級到5個(gè)快速以太網(wǎng)端口、1 個(gè)SSM擴(kuò)展插槽用戶數(shù)限制無用戶數(shù)限制入侵檢測DoS 安全標(biāo)準(zhǔn)UL 1950, CSA C22. 2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001 控制端口 console管理思科安全管理器(CS-Manager) VPN支持選擇該型號是因?yàn)閮r(jià)格適中，且功能齊全，較適合本校園網(wǎng)建設(shè)。在內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間之間通過防火墻，建立起一個(gè)DMZ區(qū)。與外網(wǎng)關(guān)聯(lián)業(yè) 務(wù)的服務(wù)器都可

26、以放在DMZ區(qū)，Internet上的用戶只能到達(dá)DMZ區(qū)相應(yīng)的服務(wù) 器。并且內(nèi)部網(wǎng)絡(luò)到Internet的連接，是通過NAT地址翻譯的方式進(jìn)行，可以 充分隱藏和保護(hù)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)設(shè)備。防火墻在內(nèi)外網(wǎng)絡(luò)連接中起兩個(gè)作用：利用訪問控制列表(Access Control List , ACL)實(shí)安全防護(hù)防火墻操 作系統(tǒng)I0S通過訪問控制列表(ACL)技術(shù)支持包過濾防火墻技術(shù)，根據(jù)事先確 定的安全策略建立相應(yīng)的訪問列表，可以對數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制, 可以根據(jù)源/目的地址、協(xié)議類型、TCP端口號進(jìn)行控制。這樣，我們就可以在 Extranet上建立第一道安全防護(hù)墻，屏蔽對內(nèi)部網(wǎng)Intrane

27、t的非法訪問。例如，我們可以通過ACL限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺(tái)或 幾臺(tái)主機(jī)；限制可以被訪問的內(nèi)部主機(jī)的地址；為保證主機(jī)的安全，可以限制外 部用戶對主機(jī)的一些危險(xiǎn)應(yīng)用如TELNET等。 利用地址轉(zhuǎn)換(Network Address Trans I at i on, NAT)實(shí)現(xiàn)安全保護(hù)防 火墻另外一個(gè)強(qiáng)大功能就是內(nèi)外地址轉(zhuǎn)換。進(jìn)行IP地址轉(zhuǎn)換由兩個(gè)好處：其一 是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP地址，這可以使黑客(hacker)無法直接攻擊內(nèi)部網(wǎng) 絡(luò)，因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個(gè)好處是可以讓內(nèi) 部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。地址

28、轉(zhuǎn)換（NAT）技術(shù)運(yùn)用在內(nèi)部主機(jī)與外部主機(jī)之間的互相訪問的時(shí)候，當(dāng)內(nèi)部訪 問者想通過路由器外出時(shí)，路由器首先對其進(jìn)行身份認(rèn)證一-通過訪問列表（ACL）核對其權(quán)限，如果通過，則對其進(jìn)行地址轉(zhuǎn)換，使其以一個(gè)對外公開的 地址訪問外部網(wǎng)絡(luò)；當(dāng)外部訪問者想進(jìn)入內(nèi)部網(wǎng)時(shí)，路由器同樣首先核對其訪問 權(quán)限，然后根據(jù)其目的地址（外部公開的地址），將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換 的相應(yīng)的內(nèi)部主機(jī)。在XX學(xué)院網(wǎng)絡(luò)工程和今后各種應(yīng)用系統(tǒng)的建設(shè)過程中，在局域網(wǎng)上我們可以 根據(jù)不同部門、不同業(yè)務(wù)類別劃分VLAN （虛網(wǎng)）,通過把不同系統(tǒng)劃分在不同VLAN 的方式，將各系統(tǒng)完全隔離，實(shí)現(xiàn)對跨系統(tǒng)訪問的控制，既保證了安全性，也提

29、 高了可管理性。 VLAN （虛網(wǎng)）技術(shù)和VLAN路由技術(shù)VLAN技術(shù)用以實(shí)現(xiàn)對整個(gè)局域網(wǎng)的集中管理和安全控制。CISCO局域網(wǎng)交 換機(jī)的一大優(yōu)勢是具備跨交換機(jī)的VLAN （虛網(wǎng)）劃分和VLAN路由功能。虛網(wǎng)是 將一個(gè)物理上連接的網(wǎng)絡(luò)在邏輯上完全分開，這種隔離不僅是數(shù)據(jù)訪問的隔離， 也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡(luò)一樣，是一種安全的防護(hù)。 通過VLAN路由實(shí)現(xiàn)對跨部門訪問的控制，既保證了安全性，也提高了可管理性。 I nter-VLAN Rout i ng 原理每一個(gè)VLAN都具有一個(gè)標(biāo)識，不同的VLAN標(biāo)識亦不相同，交換機(jī)在數(shù)據(jù)鏈 路層上可以識別不同的VLAN標(biāo)識，但不能修改該

30、VLAN標(biāo)識，只有VLAN標(biāo)識相同 的端口才能形成橋接，數(shù)據(jù)鏈路層的連接才能建立，因而不同VLAN的設(shè)備在數(shù)據(jù) 鏈路層上是無法連通的。Inter-VLAN Rout i ng技術(shù)是在網(wǎng)絡(luò)層將VLAN標(biāo)識進(jìn)行 轉(zhuǎn)換，使得不同的VLAN間可以溝通，而此時(shí)基于網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層的 安全控制手段都可運(yùn)用，諸如Access-list （訪問列表限制）、FireWall（防火 墻）、TACACS+等，Inter-VLAN Routing技術(shù)使我們獲得了對不同VLAN間數(shù)據(jù)流 動(dòng)的強(qiáng)有力控制。 MAC地址過濾策略在內(nèi)部網(wǎng)中還可以利用Cisco交換機(jī)的MAC地址過濾功能對局域網(wǎng)的訪問提供鏈路層的安全控制

31、。MAC地址過濾能進(jìn)一步實(shí)現(xiàn)對局域網(wǎng)的安全控制oCISCO 局域網(wǎng)交換機(jī)具有MAC地址過濾功能，通過在交換機(jī)上對每個(gè)端口進(jìn)行配置，可 以禁止或允許特定MAC地址的源站點(diǎn)或目的站點(diǎn)，從而實(shí)現(xiàn)各站點(diǎn)之間的訪問控 制。由于每塊網(wǎng)卡有唯一的MAC地址，是固定不變的，只允許特定MAC地址的工 作站通過特定的端口進(jìn)行訪問，所以對MAC地址的訪問控制實(shí)際上就是對指定工 作站這一物理設(shè)備的訪問控制，由于MAC地址的不可改變，與對IP地址的過濾 相比，具有更高的安全性。訪問安全控制從確保網(wǎng)絡(luò)訪問的安全出發(fā)，路由器對所有遠(yuǎn)程撥號訪問連接都由Radius設(shè) 置AAA （Authent i cat i on Auth

32、or i zat i on Account,即認(rèn)證、授權(quán)、記帳）級安全 控制，防止非法用戶的訪問。同時(shí)，在計(jì)費(fèi)服務(wù)器上，也提供Radius認(rèn)證方式, 兩者可以配合使用。（也可以只采用計(jì)費(fèi)服務(wù)器上的Radius認(rèn)證）。具體的實(shí)現(xiàn) 細(xì)節(jié)如下：在網(wǎng)絡(luò)中配置一臺(tái)安裝Cisco Secure軟件的服務(wù)器，Cisco Secure軟件使用Radius (Remote Authentication Dial-in User Service)協(xié)議提供對網(wǎng)絡(luò)的 安全控制，并對成功連接到網(wǎng)絡(luò)的用戶的操作進(jìn)行記錄。對于遠(yuǎn)程撥號訪問，配 置PPP 協(xié)議提供的CHAP (Cha I I enge Handshake A

33、uthor i zat i on Protoco I )認(rèn)證 協(xié)議，該協(xié)議是一個(gè)基于標(biāo)準(zhǔn)的認(rèn)證服務(wù)，而且在傳輸過程中使用加密保護(hù)，與 在傳輸用戶ID和口令時(shí)不使用加密的PAP協(xié)議相比，具有更大的安全性，可提供 用戶ID和口令在傳輸線上的安全保護(hù)。RADIUS提供的AAA級安全控制首先根據(jù)用戶名和口令識別在本網(wǎng)絡(luò)中是否 允許該用戶訪問，從而決定是否建立連接；其次對經(jīng)過認(rèn)證連接到網(wǎng)絡(luò)的用戶授 予相應(yīng)的網(wǎng)絡(luò)服務(wù)級別，提供訪問的限制；最后保留用戶在本網(wǎng)絡(luò)中的所有操作 記錄(日志)，這些記錄的內(nèi)容包括用戶網(wǎng)絡(luò)地址、用戶名、所使用的服務(wù)、日 期和時(shí)間以及用于計(jì)帳的連接時(shí)間、連接位置、數(shù)據(jù)傳輸量、開始時(shí)間和

34、停止時(shí) 間等。AAA在Client/Server體系中允許在一個(gè)中心數(shù)據(jù)庫中存儲(chǔ)所有的安全息， 在一臺(tái)裝有Cisco Secure軟件的安全服務(wù)器上通過對數(shù)據(jù)庫的修改和維護(hù)就可 方便地對整個(gè)系統(tǒng)進(jìn)行很好的安全控制。Cisco Secure軟件由一個(gè)Daemon和一個(gè)GUI兩部分組成。Daemon的操作 依賴于兩個(gè)文件，一個(gè)用于定義所有的系統(tǒng)參數(shù)的控制文件和一個(gè)包含了網(wǎng)絡(luò)用 戶所有認(rèn)證和授權(quán)信息的數(shù)據(jù)庫文件。GUI提供給系統(tǒng)管理員用于維護(hù)認(rèn)證和授 權(quán)信息等，網(wǎng)絡(luò)用戶可被分配到具有一系列相同參數(shù)的組，GUI使系統(tǒng)管理員能 夠修改網(wǎng)絡(luò)中任一組和任一用戶的認(rèn)證和授權(quán)參數(shù)。2. 6網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)管

35、理性能是衡量一個(gè)網(wǎng)絡(luò)系統(tǒng)性能高低的重要因素之一。網(wǎng)絡(luò)管理系統(tǒng) 完成設(shè)置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)運(yùn)行、保障網(wǎng)絡(luò)安全，查找并隔離網(wǎng)絡(luò)故障，記錄 網(wǎng)絡(luò)中的各種事件以及劃分虛擬網(wǎng)絡(luò)等功能?？傊?，對所有網(wǎng)絡(luò)上的信息進(jìn)行統(tǒng) 管理。網(wǎng)管通常結(jié)合硬件和軟件的手段來實(shí)施，對不同的拓?fù)浣Y(jié)構(gòu)及不同的物理和 邏輯部分進(jìn)行監(jiān)控和分析。OSI定義網(wǎng)管系統(tǒng)支持傳統(tǒng)五大網(wǎng)管功能：故障管理、 配置管理、計(jì)費(fèi)管理、安全管理以及性能管理。這些管理功能由網(wǎng)管系統(tǒng)和網(wǎng)絡(luò) 設(shè)備共同完成。結(jié)合校園網(wǎng)的實(shí)際情況，我們認(rèn)為，安全管理與計(jì)費(fèi)管理可以由 網(wǎng)絡(luò)管理模塊配合專用的軟（硬）件管理產(chǎn)品來共同實(shí)現(xiàn)，網(wǎng)絡(luò)管理的主要任務(wù) 應(yīng)落實(shí)在故障管理、配置管理和

36、性能管理這三個(gè)方面。1、配置管理網(wǎng)絡(luò)節(jié)點(diǎn)插板、端口和冗余結(jié)構(gòu)的配置和管理；網(wǎng)絡(luò)節(jié)點(diǎn)訪問口令的設(shè)置和更改。2、性能管理可以實(shí)時(shí)連續(xù)地收集網(wǎng)絡(luò)運(yùn)行的相關(guān)數(shù)據(jù)，可用數(shù)字和圖形的方式顯示 網(wǎng)絡(luò)運(yùn)行的各種情況以及重要程度，需要時(shí)可發(fā)布指令到各節(jié)點(diǎn)，進(jìn)行網(wǎng)絡(luò)控制;可從相關(guān)節(jié)點(diǎn)收集業(yè)務(wù)量數(shù)據(jù)，進(jìn)行統(tǒng)計(jì)、分類、記錄歸擋。使用這些 信息為網(wǎng)絡(luò)建設(shè)提供規(guī)劃設(shè)計(jì)依據(jù)。3、故障管理能實(shí)時(shí)監(jiān)視故障信息，并對其統(tǒng)計(jì)分析；可形成節(jié)點(diǎn)、中繼線及用戶端口的告警產(chǎn)生、告警內(nèi)容和告警清除的統(tǒng) 計(jì)報(bào)告?？蓪?shí)時(shí)修改狀態(tài)圖以反映此故障。校園網(wǎng)網(wǎng)絡(luò)設(shè)備較多但網(wǎng)絡(luò)結(jié)構(gòu)簡單，管理人員不多，比較適合采用集中的 管理模式，即由一臺(tái)網(wǎng)管主機(jī)（或者備

37、份主機(jī)）對整個(gè)網(wǎng)絡(luò)環(huán)境進(jìn)行綜合管理, 不需要添加二級管理設(shè)備，管理結(jié)構(gòu)簡單，已于維護(hù)管理。通過仔細(xì)分析校園網(wǎng) 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，在主要管理產(chǎn)品選型上我們建議采用Cisco公司基于WINDOWS 2000的Ci scoWorks2000網(wǎng)管軟件實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)設(shè)備的管理。網(wǎng)絡(luò)管理是對網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進(jìn)行有效的監(jiān)視、控制、診斷和 測試所采用的技術(shù)和方法。網(wǎng)絡(luò)管理系統(tǒng)的概念模型主要由管理者、管理代理和 被管對象等實(shí)體及其相互作用組成?；赟NMP (Simple Network Management Protocol)的網(wǎng)絡(luò)管理系統(tǒng)SNMP由IETF提出，主要是為基于TCP/IP的互連網(wǎng) 設(shè)計(jì)的

38、，現(xiàn)在已經(jīng)被其它協(xié)議實(shí)現(xiàn)，如IPX/SPX, DECNET以及APPLETALK等，它 的主要標(biāo)準(zhǔn)由一系列RFC組成，并得到了網(wǎng)絡(luò)廠商的廣泛支持，成為網(wǎng)絡(luò)管理方 面事實(shí)上的標(biāo)準(zhǔn)。目前基于SNMP的網(wǎng)絡(luò)管理系統(tǒng)已廣泛應(yīng)用于Interneto這里 建議采用Ci sco Works軟件，因?yàn)樵撥浖赪EB頁面管理，操作簡便，功能齊全, 而且是基于標(biāo)準(zhǔn)的多廠商管理軟件。在實(shí)際環(huán)境中，管理者的功能由安裝在網(wǎng)絡(luò)管理中心的網(wǎng)管工作站上的一系 列網(wǎng)管軟件完成，它負(fù)責(zé)管理主機(jī)、局域網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)與應(yīng)用和與之相聯(lián) 的下級單位的廣域網(wǎng)、局域網(wǎng)等設(shè)備，被管對象指網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)資源。管理者 負(fù)責(zé)接收來自上述各級節(jié)

39、點(diǎn)發(fā)送的網(wǎng)絡(luò)管理信息，并對相關(guān)事件進(jìn)行處理。應(yīng)用服務(wù)的管理可以采用專用的服務(wù)管理軟件，針對不同的應(yīng)用服務(wù)，進(jìn)行 專業(yè)的監(jiān)控管理。目前，業(yè)界對各種應(yīng)用服務(wù)的管理基本上都有成熟的解決方案。 應(yīng)用服務(wù)的狀態(tài)監(jiān)控主要體現(xiàn)在三個(gè)方面：服務(wù)器狀態(tài)的監(jiān)控：主要包括服務(wù)器的各個(gè)性能參數(shù)。可以采用專用的 系統(tǒng)管理模塊對各個(gè)性能參數(shù)分別監(jiān)控、統(tǒng)一管理。應(yīng)用程序狀態(tài)的監(jiān)控：包括各個(gè)關(guān)鍵服務(wù)的關(guān)鍵應(yīng)用進(jìn)程的健康情況。視需監(jiān)控的程度和經(jīng)費(fèi)狀況，可以選用專用的監(jiān)控模塊或統(tǒng)一的進(jìn)程監(jiān)控模塊。網(wǎng)絡(luò)狀態(tài)的監(jiān)控：通過上面的網(wǎng)絡(luò)管理模塊即可實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)系統(tǒng)可 用性的統(tǒng)一監(jiān)控。考慮到校園網(wǎng)目前的管理人員比較少，管理任務(wù)相對較多的特

40、 點(diǎn)，對以上各個(gè)應(yīng)用服務(wù)的管理及網(wǎng)絡(luò)管理，我們可以采用統(tǒng)一的事件控制平臺(tái) 來匯總管理，實(shí)現(xiàn)集中化控制、單窗口管理。并且利用事件控制平臺(tái)自身的特點(diǎn), 實(shí)現(xiàn)報(bào)警事件的集成、過濾、關(guān)聯(lián)和自動(dòng)化處理。事件管理平臺(tái)收集并集成來自 網(wǎng)絡(luò)環(huán)境中任何重要的信息源的消息，通過內(nèi)置的過濾關(guān)聯(lián)機(jī)制，將有效的消息 分組分級別的統(tǒng)一呈現(xiàn)在管理員面前。另外，應(yīng)用監(jiān)控系統(tǒng)能夠利用保存的歷史 監(jiān)控?cái)?shù)據(jù)，生成各種可用性及趨勢報(bào)表，為下一步的投資改造決策作參考。第三章網(wǎng)絡(luò)應(yīng)用解決方案3.1綜合辦公自動(dòng)化系統(tǒng)XX學(xué)院0A系統(tǒng)整體設(shè)計(jì)目標(biāo)是：利用現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)及Internet 技術(shù)等為基礎(chǔ)建立起來的計(jì)算機(jī)網(wǎng)絡(luò)，聯(lián)接教學(xué)內(nèi)

41、部網(wǎng)絡(luò)的教學(xué)樓子網(wǎng)及分散于 各功能樓、宿舍樓的計(jì)算機(jī)，通過網(wǎng)絡(luò)管理中心的服務(wù)器群組為所有計(jì)算機(jī)提供 例如登錄服務(wù)，文件/打印共享/Emai I服務(wù)，及教學(xué)、科研、整體管理、校務(wù)服 務(wù)、遠(yuǎn)程教學(xué)等傳統(tǒng)應(yīng)用服務(wù)，提供經(jīng)濟(jì)類文獻(xiàn)的查詢、地方經(jīng)濟(jì)信息的發(fā)布、 經(jīng)濟(jì)類的網(wǎng)上咨詢等。根據(jù)教育部“統(tǒng)一規(guī)劃，相互協(xié)調(diào)”的原則，實(shí)現(xiàn)學(xué)院行政部門和學(xué)院辦公業(yè) 務(wù)的電子化、自動(dòng)化和網(wǎng)絡(luò)化，使教育行政管理、應(yīng)急指揮和快速反應(yīng)的能力進(jìn) 一步提高，高效率、高質(zhì)量地為學(xué)院教育行政部門和學(xué)院的管理和決策服務(wù)。實(shí) 現(xiàn)學(xué)院內(nèi)部資源高度共享；提高教育技術(shù)的現(xiàn)代化水平和教育信息化程度；為學(xué) 院培養(yǎng)創(chuàng)新人才提供信息平臺(tái)，提高學(xué)生收集處

42、理信息的能力、獲取新知識的能 力、分析和解決問題的能力、語言文字表達(dá)能力以及團(tuán)結(jié)協(xié)作和社會(huì)活動(dòng)的能力。在認(rèn)真總結(jié)和分析了學(xué)校的校園網(wǎng)應(yīng)用系統(tǒng)的需求，提供了極具特色的高校 校園網(wǎng)應(yīng)用解決方案，主要包括公文管理系統(tǒng)、信息發(fā)布系統(tǒng)、會(huì)議管理系統(tǒng)、 信息交換系統(tǒng)、個(gè)人信息系統(tǒng)、信息資源庫、檔案管理子系統(tǒng)、公共信息管理子 系統(tǒng)、電子論壇、日常事務(wù)管理、領(lǐng)導(dǎo)信息查詢子系統(tǒng)、圖書管理子系統(tǒng)、教學(xué) 管理子系統(tǒng)、高考多功能查詢系統(tǒng)、郵件系統(tǒng)等十幾個(gè)模塊。操作簡單；性能安全可靠；雙向復(fù)制功能；綜合查詢功能；支持移動(dòng)辦公； 靈活的伸縮性；支持多系統(tǒng)共存；動(dòng)態(tài)權(quán)限配置；通用的公文審批流程、打印格 式；工作流程靈活定制

43、；強(qiáng)大的版本跟蹤、痕跡保留技術(shù)。3. 2網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)隨著網(wǎng)絡(luò)應(yīng)用越來越豐富，網(wǎng)絡(luò)服務(wù)計(jì)費(fèi)是網(wǎng)絡(luò)運(yùn)營的一個(gè)重要部分。采用 方便、靈活的計(jì)費(fèi)方式有利于減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)。隨著XX學(xué)院校園網(wǎng) 的建成和Internet帶寬的擴(kuò)容，將會(huì)吸引越來越多的用戶上網(wǎng)。因此，在XX學(xué) 院網(wǎng)絡(luò)建成后，需要建立一套功能強(qiáng)大的計(jì)費(fèi)系統(tǒng)。通過使用和調(diào)查，清華大學(xué) 通用網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)(CNGAS)是針對內(nèi)聯(lián)網(wǎng)用戶訪問Internet進(jìn)行監(jiān)控和管理而 設(shè)計(jì)的一整套完整的計(jì)費(fèi)解決方案，能提供基于用戶、IP、包月、限時(shí)、限流量 等計(jì)費(fèi)模式，非常適用于校園網(wǎng)、企業(yè)、政府機(jī)關(guān)、智能大廈和智能小區(qū)的計(jì)費(fèi)。 因此，我們建議XX學(xué)院

44、采用這套系統(tǒng)。計(jì)費(fèi)系統(tǒng)結(jié)構(gòu)從實(shí)現(xiàn)功能上系統(tǒng)可分為：流量計(jì)費(fèi)模塊、郵件計(jì)費(fèi)模塊、撥 號計(jì)費(fèi)模塊、代理計(jì)費(fèi)模塊四個(gè)模塊。各模塊相對獨(dú)立，可以適應(yīng)不同用戶對于 單項(xiàng)服務(wù)的需求?？梢詥为?dú)使用每個(gè)模塊，也可以組合使用。計(jì)費(fèi)系統(tǒng)開發(fā)基于因特網(wǎng)免費(fèi)服務(wù)軟件Sendmail、Squid、Apache+SSL、 Radius以及Oracle for Linux數(shù)據(jù)庫管理系統(tǒng)，對應(yīng)用系統(tǒng)內(nèi)核進(jìn)行了改造， 無版權(quán)爭議。系統(tǒng)采用統(tǒng)一的身份認(rèn)證與后臺(tái)數(shù)據(jù)庫，提供標(biāo)準(zhǔn)的web界面及前臺(tái)管理； 系統(tǒng)采用網(wǎng)絡(luò)用戶預(yù)繳費(fèi)、使用中實(shí)時(shí)自動(dòng)扣費(fèi)的方式；系統(tǒng)有詳細(xì)自動(dòng)日志備 份體系，可以保存全部用戶及主機(jī)信息以及全部用戶帳目及日志流

45、水帳；用戶具 有自我管理和自我服務(wù)功能通過網(wǎng)頁可以方便地修改自己的服務(wù)項(xiàng)目密碼，自行 查詢自己詳細(xì)的費(fèi)用。網(wǎng)絡(luò)計(jì)費(fèi)服務(wù)器、郵件服務(wù)器、撥入計(jì)費(fèi)服務(wù)器、代理服務(wù)器和數(shù)據(jù)庫服務(wù) 器都只是邏輯上的，在物理上，它們可以運(yùn)行在同一臺(tái)機(jī)器上，也可以運(yùn)行在不 同的機(jī)器上。對小規(guī)模網(wǎng)絡(luò)，只用一臺(tái)PC機(jī)即可實(shí)現(xiàn)全部功能。不同的用戶可 根據(jù)需求及網(wǎng)絡(luò)規(guī)模來決定相應(yīng)的配置。第四章網(wǎng)絡(luò)的綜合布線系統(tǒng)4.1綜合布線標(biāo)準(zhǔn)所謂綜合布線系統(tǒng)，是指按標(biāo)準(zhǔn)的、統(tǒng)一的和簡單的結(jié)構(gòu)化方式規(guī)劃和布置 各種建筑物(或建筑群)內(nèi)各種系統(tǒng)的通信線咱，包括網(wǎng)絡(luò)系統(tǒng)、電話系統(tǒng)、監(jiān) 控系統(tǒng)、電源系統(tǒng)和照明系統(tǒng)等。因此，綜合布線系統(tǒng)是一種標(biāo)準(zhǔn)通用的

46、信息傳 輸系統(tǒng)。標(biāo)準(zhǔn)化組織： 北美的標(biāo)準(zhǔn)EIA/TIA568A國際ISO標(biāo)準(zhǔn)，即IS0/IEC11801 IEEE802. 3 100/1000Base-Tv 100Base-F IEEE802.5 TokenRing中國建筑電信設(shè)計(jì)規(guī)范工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范4. 2設(shè)計(jì)范圍及要求設(shè)計(jì)目標(biāo)的確定我們?yōu)樵撈髽I(yè)網(wǎng)絡(luò)設(shè)計(jì)的綜合布線系統(tǒng)將基于以下目標(biāo):1符合當(dāng)前和長遠(yuǎn)的信息傳輸要求。2布線系統(tǒng)設(shè)計(jì)遵從國際(ISO/CE111801)標(biāo)準(zhǔn)。3. 布線系統(tǒng)采用國際標(biāo)準(zhǔn)建議的星形拓?fù)浣Y(jié)構(gòu)。4. 考慮網(wǎng)絡(luò)連接到桌面的速度100Mbps,網(wǎng)絡(luò)主干信息傳輸向1000兆發(fā)展的而 ZiCo5. 布線系統(tǒng)的信息出口采用國

47、際標(biāo)準(zhǔn)的RJ45插座。6. 布線系統(tǒng)符合綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)的要求。7. 布線系統(tǒng)要立足開放原則。4. 3布線的實(shí)施系統(tǒng)結(jié)構(gòu)，根據(jù)企業(yè)的具體情況，采用以下方案：采用集中結(jié)構(gòu)，整個(gè)辦公 區(qū)的所有雙絞線都拉到機(jī)房中。雙絞線直接端接在機(jī)柜內(nèi)的模塊化配線架上。材料選型，考慮到主干網(wǎng)絡(luò)采用千兆以太網(wǎng)的要求，所以，方案中網(wǎng)絡(luò)選用超 5類雙絞線。布線要求，布線標(biāo)準(zhǔn)選用超5類線產(chǎn)品，每個(gè)工作位是一個(gè)雙孔插座：一個(gè)電 腦插座，一個(gè)電話插座（個(gè)別工作站設(shè)雙語音插口）。機(jī)柜端采用朗訊48口模塊式 配線架。電話與電腦可任意互換。布線系統(tǒng)管槽設(shè)計(jì)管線鋪設(shè)建議：1. 由于安裝的是非屏蔽雙絞線，對接地要求不高，建議在與機(jī)柜相連的

48、主線 槽處接地。2. 本區(qū)域需要線槽的規(guī)格是這樣來確定的：線槽的橫截面積留40%的富余量 以備擴(kuò)充.超5類雙絞線的橫截面積為0. 3平方厘米。3. 線槽安裝時(shí),應(yīng)注意與強(qiáng)電線槽的隔離。布線系統(tǒng)應(yīng)避免與強(qiáng)電線路在無 屏蔽、距離小于20cm情況下平行走3米以上。如果無法避免，該段線槽需采取屏 蔽隔離措施。4. 進(jìn)入家具的電纜管線由最近的吊頂線槽沿隔墻下到地面，并從地面鋰槽埋 管到家具隔斷下。5管槽過渡、接口不應(yīng)該有毛刺，線槽過渡要平滑。6.線管超過兩個(gè)彎頭必須留分線盒。7墻裝底盒安裝應(yīng)該距地面30厘米以上，并與其他底盒保持等高、平行。8. 線管采用鍍鋅薄壁鋼管或PVC管。工作區(qū)子系統(tǒng)由終端設(shè)備連接

49、到信息插座的連線，以及信息插座所組成。信 息點(diǎn)由標(biāo)準(zhǔn)RJ45插座構(gòu)成。信息點(diǎn)數(shù)量應(yīng)根據(jù)工作區(qū)的實(shí)際功能及需求確定，并 預(yù)留適當(dāng)數(shù)量的冗余。例：對于一個(gè)辦公區(qū)內(nèi)的每個(gè)辦公點(diǎn)可配置23個(gè)信息點(diǎn), 此外應(yīng)為此辦公區(qū)配置35個(gè)專用信息點(diǎn)用于工作組服務(wù)器、網(wǎng)絡(luò)打印機(jī)、傳真 機(jī)、視頻會(huì)議等等。若此辦公區(qū)為商務(wù)應(yīng)用則信息點(diǎn)的帶寬為100M可滿足要求； 若此辦公區(qū)為技術(shù)開發(fā)應(yīng)用則每個(gè)信息點(diǎn)應(yīng)為交換式100M甚至是光纖信息點(diǎn)。工作區(qū)的終端設(shè)備（如：電話機(jī)、傳真機(jī)）可用康寧公司FutureCom超五類 或六類雙絞線直接與工作區(qū)內(nèi)的每一個(gè)信息插座相連接，或用適配器（如ISDN 終端設(shè)備）、平衡/非平衡轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換

50、連接到信息插座上。水平子系統(tǒng)主要是實(shí)現(xiàn)信息插座和管理子系統(tǒng)，即中間配線架（IDF）間的 連接。水平子系統(tǒng)指定的拓?fù)浣Y(jié)構(gòu)為星形拓?fù)?。水平干線的設(shè)計(jì)包括水平子系統(tǒng) 的傳輸介質(zhì)與部件集成。選擇水平子系統(tǒng)的線纜，要根據(jù)建筑物內(nèi)具體信息點(diǎn)的 類型、容量、帶寬和傳輸速率來確定。在水平子系統(tǒng)中推薦采用的雙絞電纜及光 纖型號為：康寧公司FutureCom超五類或六類非屏蔽雙絞線，F(xiàn)utureLink室內(nèi)單 ?；蚨嗄９饫w。雙絞線水平布線鏈路中，水平電纜的最大長度為90m。若使用100QUTP雙絞 線作為水平子系統(tǒng)的線纜，可根據(jù)信息點(diǎn)類型的不同采用不同類型的電纜，例如 對于語音信息點(diǎn)和數(shù)據(jù)信息點(diǎn)可采用Future

51、Com超五類或六類雙絞線，甚至使用 FutureLink光纜；對于電磁干擾嚴(yán)重的場合應(yīng)盡量采用康寧公司FutureCom六類 屏蔽雙絞線。但是從系統(tǒng)的兼容性和信息點(diǎn)的靈活互換性角度出發(fā)，建議水平子 系統(tǒng)采用同一種布線材料。管理子系統(tǒng)由互連和輸入/輸出組成，實(shí)現(xiàn)配線管理，為連接其它子系統(tǒng)提 供手段。包括配線架、跳線設(shè)備及光配線架等組成設(shè)備。設(shè)計(jì)管理子系統(tǒng)時(shí).必 需了解線路的基本設(shè)計(jì)原理.合理配置各子系統(tǒng)的部件。康寧公司的LANscape綜 合布線解決方案擁有搭配科學(xué)、管理簡便的成套產(chǎn)品用于管理子系統(tǒng)。干線子系統(tǒng)指提供建筑物的主干電纜的路由，是實(shí)現(xiàn)主配線架與中間配線 架，計(jì)算機(jī)、PBX、控制中心與

52、各管理子系統(tǒng)間的連接。干線傳輸電纜的設(shè)計(jì)必 須既滿足當(dāng)前的需要，又適應(yīng)今后的發(fā)展。干線子系統(tǒng)布線走向應(yīng)選擇干線線纜 最短、最安全和最經(jīng)濟(jì)的路由。干線子系統(tǒng)在系統(tǒng)設(shè)計(jì)施工時(shí)，應(yīng)預(yù)留一定的線 纜做冗余信道，這點(diǎn)對于綜合布線系統(tǒng)的可擴(kuò)展性和可靠性來說是十分重要的。干線子系統(tǒng)可以使用的線纜主要有：HAY三類大對數(shù)電纜；FutureCom超五類 或六類雙絞線；FutureLink室內(nèi)單模或多模光纖。超五類雙絞線可以支持1000BASE-T,但如要求支持1000BASE-TX則必須使 用六類雙絞線。如果已安裝的電纜僅滿足5類線標(biāo)準(zhǔn)(1995),那么在連接1000BASE T設(shè)備之前，應(yīng)對布線系統(tǒng)按照新増加的布線參數(shù)(如：回波損耗，等級遠(yuǎn)端 串?dāng)_(ELFEXT),傳播延遲和延時(shí)畸變等)進(jìn)行測量和認(rèn)證。設(shè)備間子系統(tǒng)由設(shè)備室的電纜、連接器和相關(guān)支持硬件組成，把各種公用系 統(tǒng)設(shè)備互連起來。設(shè)備間的主要設(shè)備有數(shù)字程控交換機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、服務(wù) 器、樓宇自控設(shè)備主機(jī)等等。它們可以放在一起，也可