網(wǎng)絡(luò)規(guī)劃畢業(yè)設(shè)計說明書

制|淅”援宙播直H市#濱I ZHEJIANGINSTITUTEOFMECHANICAL&ELECTRICALE%厚EERI'C畢業(yè)設(shè)計說明書課題名稱： 志成中學(xué)校園網(wǎng)設(shè)計方案學(xué)生姓名 葉軍營學(xué)號 所在學(xué)院 計算機(jī)工程學(xué)院專 業(yè) 網(wǎng)絡(luò)技術(shù)班 級 網(wǎng)絡(luò)0811指導(dǎo)教師朱景營劉杰起始時間：2010年12月27日?2011年4月8日（共10周）志成中學(xué)校園網(wǎng)設(shè)計方案摘要網(wǎng)絡(luò)技術(shù)和信息技術(shù)，影響到社會和生活的每一個角落，同時也對教育界造成了巨大的沖擊。教育的功能和目標(biāo)、教學(xué)的方法和模式也跟著在發(fā)生深刻的變化。本文根據(jù)金華市志成中學(xué)對校園網(wǎng)絡(luò)的需求，遵循局域網(wǎng)的設(shè)計原則，對志成中學(xué)的校園網(wǎng)進(jìn)行了規(guī)劃設(shè)計，提出了基于三層結(jié)構(gòu)的網(wǎng)絡(luò)方案，并根據(jù)方案及需求進(jìn)行了設(shè)備選型。同時對綜合布線系統(tǒng)進(jìn)行了設(shè)計，對網(wǎng)絡(luò)安全與管理提出了相應(yīng)方案。關(guān)鍵詞：網(wǎng)絡(luò)方案設(shè)備選型綜合布線網(wǎng)絡(luò)安全TOC\o"1-5"\h\z摘要 1\o"CurrentDocument"第1章網(wǎng)絡(luò)需求分析 1\o"CurrentDocument"1.1概況 1\o"CurrentDocument"1.2網(wǎng)絡(luò)功能需求分析 1\o"CurrentDocument"1.3網(wǎng)絡(luò)安全需求分析 1\o"CurrentDocument"第2章網(wǎng)絡(luò)設(shè)計原則和目標(biāo) 2\o"CurrentDocument"2.1設(shè)計原則 2\o"CurrentDocument"2.2設(shè)計目標(biāo) 2\o"CurrentDocument"第3章網(wǎng)絡(luò)總體規(guī)劃 3\o"CurrentDocument"3.1網(wǎng)絡(luò)拓?fù)鋱D 3\o"CurrentDocument"3.3網(wǎng)絡(luò)層次設(shè)計與設(shè)備選擇 3\o"CurrentDocument"3.3.1路由器選擇 4\o"CurrentDocument"3.3.2匯聚層交換機(jī)選擇 4\o"CurrentDocument"3.3.3樓宇接入層設(shè)備選擇 5\o"CurrentDocument"3.3.4樓層接入層設(shè)備選擇 5\o"CurrentDocument"3.3.5網(wǎng)路設(shè)備價格清單 7\o"CurrentDocument"第4章網(wǎng)絡(luò)布線系統(tǒng)設(shè)計 8\o"CurrentDocument"4.1布線系統(tǒng)分析 8\o"CurrentDocument"4.2布線系統(tǒng)方案描述 8\o"CurrentDocument"4.2.1校園主干網(wǎng)系統(tǒng) 8\o"CurrentDocument"4.2.2大樓結(jié)構(gòu)化布線系統(tǒng) 9\o"CurrentDocument"第5章網(wǎng)絡(luò)安全與管理 11\o"CurrentDocument"5.1網(wǎng)絡(luò)安全問題 11\o"CurrentDocument"5.2網(wǎng)絡(luò)安全策略配置 11\o"CurrentDocument"5.2.1安全接入和配置 11\o"CurrentDocument"5.2.2拒絕服務(wù)的防止 12\o"CurrentDocument"5.2.3訪問控制 12\o"CurrentDocument"結(jié)論 13\o"CurrentDocument"參考文獻(xiàn) 14\o"CurrentDocument"致謝 15第1章網(wǎng)絡(luò)需求分析1.1概況金華市志成中學(xué)是婺城區(qū)一所公辦完全中學(xué)。這也是一所金華東部設(shè)施最好、規(guī)模最大的中學(xué)。學(xué)校占地面積43畝，建筑面積15166皿，除教學(xué)樓、綜合樓等建筑之外，另有兩幢住校生公寓，被列為市消防重點保護(hù)單位。校園綠化面積已超過四千平米,初具花園式學(xué)校規(guī)模。各種活動場所齊全，有300M塑膠田徑場、球類運(yùn)動場和器械活動場，另有設(shè)計新穎、設(shè)施先進(jìn)的圖書館、體藝館。1.2網(wǎng)絡(luò)功能需求分析1、 信息交流：提供Internet連接及校內(nèi)信息服務(wù)；2、 教學(xué)服務(wù)：多媒體教學(xué)資源、電子備課、電子閱覽、遠(yuǎn)程教學(xué)；3、 學(xué)生學(xué)習(xí)：網(wǎng)上學(xué)習(xí)、班級網(wǎng)頁、成績反饋；4、 學(xué)校管理：無紙化辦公、成績管理、學(xué)籍管理、財務(wù)管理、圖書館管理、后勤管理等。1.3網(wǎng)絡(luò)安全需求分析網(wǎng)絡(luò)統(tǒng)對安全保密有著非常高的要求。雖然計算機(jī)系統(tǒng)本身或多或少地具有安全防范措施，網(wǎng)絡(luò)系統(tǒng)的安全防范卻是整個系統(tǒng)安全性的第一道防線。1、 網(wǎng)絡(luò)硬件安全：網(wǎng)絡(luò)系統(tǒng)中各通信計算機(jī)設(shè)備以及相關(guān)設(shè)備的物理保護(hù)2、 網(wǎng)絡(luò)配置安全：信息完整性：計算機(jī)系統(tǒng)能夠防止非法修改和刪除數(shù)據(jù)和程序；保密性：信息不泄漏給未經(jīng)授權(quán)的人；可用性：系統(tǒng)能夠防止非法防止非法獨(dú)占計算機(jī)資源和數(shù)據(jù)，合法用戶的正常請求能及時、正確、安全的得到服務(wù)或回應(yīng)。第2章網(wǎng)絡(luò)設(shè)計原則和目標(biāo)2.1設(shè)計原則校園網(wǎng)必須具備教學(xué)、管理和通訊三大功能。教師可以方便地瀏覽和查詢網(wǎng)上資源，進(jìn)行教學(xué)和科研工作；學(xué)生可以方便地瀏覽和查詢網(wǎng)上資源實現(xiàn)遠(yuǎn)程學(xué)習(xí)。學(xué)校的管理人員可方便地對教務(wù)、行政事務(wù)、學(xué)生學(xué)籍、財務(wù)、資產(chǎn)等進(jìn)行綜合管理，同時可以實現(xiàn)各級管理層之間的信息數(shù)據(jù)交換，實現(xiàn)網(wǎng)上信息采集和處理的自動化，實現(xiàn)信息和設(shè)備資源的共享，因此，校園網(wǎng)的建設(shè)必須有明確的建設(shè)目標(biāo)。校園網(wǎng)的總體設(shè)計原則是：1、 開放性采用開放性的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級、擴(kuò)展和互聯(lián)；同時在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時，強(qiáng)調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國際標(biāo)準(zhǔn)化；2、 可擴(kuò)充性從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、插槽個數(shù)、管理軟件和網(wǎng)絡(luò)整體結(jié)構(gòu)，以及技術(shù)的開放性和對相關(guān)協(xié)議的支持等方面，來保證網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)充性；3、 可管理性利用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略，提供強(qiáng)大的網(wǎng)絡(luò)管理功能；使日常的維護(hù)和操作變得直觀，便捷和高效；4、 安全性內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，利用VLAN/ELAN、防火墻等對訪問進(jìn)行控制，確保網(wǎng)絡(luò)的安全；5、 投資保護(hù)選用性能價格比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器；采用的網(wǎng)絡(luò)架構(gòu)和設(shè)備充分考慮到易升級換代，并且在升級時可以最大限度地保護(hù)原有的硬件設(shè)備和軟件投資；2.2設(shè)計目標(biāo)1、 校園內(nèi)部實現(xiàn)信息資源共享。如教務(wù)信息共享、教研成果共享、教學(xué)資料共享、圖書資料共享等。2、 校園內(nèi)信息傳遞暢通無阻，能準(zhǔn)確、可靠地傳輸學(xué)校的教育教學(xué)信息；努力創(chuàng)造與上級教育部門、社會、家庭之間通訊接口，實現(xiàn)社會教育、學(xué)校教育、家庭教育的有機(jī)整合。3、 完成與Internet的常規(guī)接軌，使教師、學(xué)生能利用因特網(wǎng)的信息優(yōu)勢為教育教學(xué)與學(xué)習(xí)提供良好幫助；為教師校外辦公、學(xué)生遠(yuǎn)程學(xué)習(xí)、教師與學(xué)生家長間通訊提供通訊手段。

第3章網(wǎng)絡(luò)總體規(guī)劃3.1網(wǎng)絡(luò)拓?fù)鋱D大爻炯1寶版址工由也宿舍摧Sfttt圖3-1志成中學(xué)網(wǎng)絡(luò)拓?fù)鋱D工惜新大爻炯1寶版址工由也宿舍摧Sfttt圖3-1志成中學(xué)網(wǎng)絡(luò)拓?fù)鋱D工惜新志成中學(xué)校園網(wǎng)建設(shè)采用星型網(wǎng)拓?fù)浣Y(jié)構(gòu)，采用星型結(jié)構(gòu)的以太網(wǎng)是目前最為安全成熟的技術(shù)，并且，從應(yīng)用角度講，星形結(jié)構(gòu)是綜合布線系統(tǒng)的推薦網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可以與綜合布線系統(tǒng)緊密結(jié)合，得整個網(wǎng)絡(luò)系統(tǒng)的通信瓶頸從以往的網(wǎng)絡(luò)電纜轉(zhuǎn)移至中央網(wǎng)絡(luò)設(shè)備上。在中央設(shè)備之間，而采用交換以太網(wǎng)絡(luò)設(shè)備配合星形結(jié)構(gòu)來實現(xiàn)對局域網(wǎng)絡(luò)的需求，使得中央結(jié)點與衛(wèi)星結(jié)點的網(wǎng)絡(luò)吞吐能力大大加強(qiáng)，對多媒體的支持也更加完美，既而提高整個系統(tǒng)的吞吐能力。3.3網(wǎng)絡(luò)層次設(shè)計與設(shè)備選擇從邏輯上，大型網(wǎng)絡(luò)可分為核心層、分布層和接入層，每層都有其特點。網(wǎng)絡(luò)層次如圖3-2所示「接入層方分布層」核心層本費(fèi)遠(yuǎn)程工作組接笏.高速交換技術(shù)『

基于策略的操作本費(fèi)遠(yuǎn)程工作組接笏圖3-2網(wǎng)絡(luò)層次圖本方案主要是采用了上圖中的分布層與接入層。層次化設(shè)計的優(yōu)點可以總結(jié)為如下幾點：1、 可擴(kuò)展性：因為網(wǎng)絡(luò)可模塊化增長而不會遇到問題；2、 簡單性：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的問題；3、 設(shè)計的靈活性：使網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層次的網(wǎng)絡(luò)不會對其他層次造成影響，無需改變整個環(huán)境；4、 可管理性：層次結(jié)構(gòu)使單個設(shè)備的配置的復(fù)雜性大大降低，更易管理。3.3.1路由器選擇在本方案中，我們選用cisco系列的7200路由器Cisco7200路由器有以下優(yōu)點：Cisco7200系列在性能價格比方面實現(xiàn)了突破，以較低的價格滿足了高吞吐量要求。Cisco7200配有一個150MHzRISC處理器和SRAM，提供了600Mbps的帶寬容量和每秒150000個包(pps)的性能。它還帶有一個更經(jīng)濟(jì)有效的RISC處理器，帶寬為200Mbps、性能為100000pps，這個處理器使Cisco7200的性能價格比進(jìn)一步得到了優(yōu)化。NetFlow交換是CiscoIOS交換機(jī)制，它允許Cisco7200把高性能網(wǎng)絡(luò)層交換與網(wǎng)絡(luò)服務(wù)面向連接的應(yīng)用結(jié)合在一起，這些服務(wù)包括安全性、服務(wù)質(zhì)量和通信管理。它還可以用協(xié)議和IP地址進(jìn)行詳細(xì)的通信統(tǒng)計。Cisco7200系列由4插槽的7204和6插槽的7206組成，提供了適用于以太網(wǎng)、令牌環(huán)、串行、ISDN、HSSI、快速以太網(wǎng)、100VGAnyLAN、FDDI和ATM的可擴(kuò)展密度°Cisco7200采用與Cisco7500通用接口處理器(VIP)相同的端口適配器，保護(hù)了客戶在接口上的投資和簡化了備用措施。借助這些高密度的端口適配器，Cisco7206支持48個以太網(wǎng)或串行端口、24個令牌環(huán)網(wǎng)端口、24個串行端口，12個HSSI端口、7個快速以太網(wǎng)端口、6個FDDI或3個ATM端口。由于具有4插槽和6插槽的機(jī)箱，因此密度可以擴(kuò)展，能夠滿足大多數(shù)客戶的需要。3.3.2匯聚層交換機(jī)選擇網(wǎng)絡(luò)中心節(jié)點及其它核心節(jié)點作為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時，對關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運(yùn)行。因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。具體來說核心節(jié)點的交換機(jī)有兩個基本要求：1、 高密度端口情況下，還能保持各端口的線速轉(zhuǎn)發(fā)；2、 關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇。本方案我們選擇CiscoCatalyst4948作為校園網(wǎng)的匯聚層交換機(jī)CiscoCatalyst4948交換機(jī)的主要性能：CiscoCatalyst4948是一款線速、低延遲、第二到四層、1機(jī)架單元(1RU)固定配置交換機(jī)，可提供進(jìn)行了優(yōu)化設(shè)計的服務(wù)器集群機(jī)架的交換。 CiscoCatalyst4948以成熟的CiscoCatalyst4500系列硬件和軟件架構(gòu)為基礎(chǔ)，為高性能服務(wù)器和工作站的低密度、多層匯聚提供了出色性能和可靠性。CiscoCatalyst4948擁有96Gbps的背板帶寬，72Mpps的包轉(zhuǎn)發(fā)率。CiscoCatalyst4948具有48個線速10/100/1000BASE-T端口，并另有4個線速端口，可容納可選1000BASE-X小型可插拔(SFP)光接口1。可選的內(nèi)部AC或DC1+1熱插拔電源和帶冗余風(fēng)扇的一個熱插拔風(fēng)扇架提供了優(yōu)秀的可靠性和可維護(hù)性。CiscoCatalyst4948采用了一個96Gbps交換矩陣，在硬件中為第二到四層流量提供了72Mpps的轉(zhuǎn)發(fā)速率，從而為數(shù)據(jù)密集型應(yīng)用提供了線速吞吐率和低延遲。無論有多少路由條目或啟用了多少第三層和第四層服務(wù)，都能保證交換性能?；谟布乃伎瓶焖俎D(zhuǎn)發(fā)路由架構(gòu)提高了可擴(kuò)展性和性能。3.3.3樓宇接入層設(shè)備選擇志成中學(xué)校園網(wǎng)絡(luò)樓宇接入層(二級骨干)的要求：提供較高的可靠性和高速上行網(wǎng)絡(luò)連接，部署網(wǎng)絡(luò)的控制能力。對于流量較大的匯聚層交換機(jī)建議采用交換能力大于20Mpps的三層交換機(jī)，其它數(shù)據(jù)流量較小的匯聚節(jié)點則選用交換能力在10Mpps左右的二層交換機(jī)通過千兆光纖與匯聚層交換機(jī)連接。綜上所述，在各子網(wǎng)用戶接入方面，我們使用了CISCOWS-C2960G-24TC-L交換機(jī)，該交換機(jī)支持GigaStack技術(shù)，能以1000/100M的速率上連到匯聚交換機(jī)上。另外，當(dāng)用戶增多的時候，我們可以直接增加交換機(jī)，并以堆疊的方式連接上網(wǎng)絡(luò)，從而為系統(tǒng)各子網(wǎng)的擴(kuò)充帶來極大的靈活性。CISCOWS-C2960G-24TC-L的專有技術(shù)及優(yōu)勢24Gbps的底板帶寬；35.7Mpps的多層交換；4個插槽。支持24端口10/100Base-T、10/100/1000Base-Tx/SFP。固定端口內(nèi)存64MB，擁有8KMAC地址表網(wǎng)絡(luò)參數(shù)網(wǎng)絡(luò)標(biāo)準(zhǔn)EEE802.3,IEEE802.3u,IEEE802.1x,IEEE802.1Q,IEEE802.1p,IEEE802.1D,IEEE802.1s,IEEE802.1w,IEEE802.3ad,IEEE802.3z,IEEE802.33.3.4樓層接入層設(shè)備選擇樓層接入設(shè)備的主要功能是為最終用戶提供對校園網(wǎng)絡(luò)訪問的途徑。本層也可以提供進(jìn)一步的調(diào)整，如Access-listFiltering等。在校園網(wǎng)絡(luò)環(huán)境中，接入層主要提供如下功能：帶寬共享、交換帶寬、MAC層過濾、微分網(wǎng)段等。在局域網(wǎng)環(huán)境中，接入層主要提供通過FrameRelay、ISDN、LeasedLine連入遠(yuǎn)程節(jié)點。樓層接入網(wǎng)絡(luò)由樓棟交換節(jié)點和樓層交換節(jié)點組成，接入層網(wǎng)絡(luò)應(yīng)該可以滿足各種客戶的接入需要，而且能夠?qū)崿F(xiàn)客戶化的接入策略，業(yè)務(wù)QOS保證，用戶接入訪問控制等等。樓層接入交換機(jī)亦稱外圍交換機(jī)或邊緣交換機(jī)，一般都屬于可堆疊/可擴(kuò)充式固定端口交換機(jī)，應(yīng)具備下列要求：1、 端口選擇：對端口的選擇包括兩個方面，一個是端口數(shù)量，一個是端口類型。而且可以堆疊、易擴(kuò)展，以便由于信息點的增加而從容地進(jìn)行擴(kuò)容。2、 高性能。作為大型網(wǎng)絡(luò)的二級交換設(shè)備，應(yīng)支持千兆/百兆高速上連以及同級設(shè)備堆疊，當(dāng)然還要注意與核心交換機(jī)品牌的一致性；如果用作小型網(wǎng)絡(luò)的中央交換機(jī)，要求具有較高的背板帶寬和三層交換能力。3、 性價比高。在滿足網(wǎng)絡(luò)性能要求的同時，達(dá)到最高的性價比，使用方便簡單。4、 支持多級別網(wǎng)絡(luò)管理。樓層交換節(jié)點采用千兆智能堆疊交換機(jī)，提供智能的流分類和完善的QoS特征。為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、融合、安全的園區(qū)網(wǎng)新需求；本方案中各接入層交換機(jī)通過千兆鏈路上聯(lián)到各匯聚層設(shè)備，對下聯(lián)的桌面設(shè)備提供全雙工的百兆連接，為各類用戶提供無阻塞的交換性能。支持生成樹協(xié)議802.1D、802.1w、802.1s，完全保證快速收斂，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率。綜上所述，接入層交換機(jī)采用CISCOSR2024。CISCOSR2024以太網(wǎng)交換機(jī)提供24個無阻塞10/100/1000Mbps千兆交換機(jī)端口，可為網(wǎng)絡(luò)客戶端提供10，100，1000兆字節(jié)速率的數(shù)據(jù)交換。用這個交換機(jī)替換工作組中現(xiàn)有的集線器或交換機(jī)可以將你的高數(shù)據(jù)傳輸需求的工作站升級到千兆字節(jié)速率的帶寬，也可以適應(yīng)其他客戶端的網(wǎng)速。或重新建立一個滿足不同層次用戶要求的網(wǎng)絡(luò)。任何一個方法都可以滿足你的圖形，多媒體，和其他一些應(yīng)用在網(wǎng)絡(luò)上快速傳輸.現(xiàn)有的10/100以太網(wǎng)絡(luò)可以通過24口10/100/1000千兆交換機(jī)連接到千兆主干網(wǎng)服務(wù)器上而不需要另外購買任何設(shè)備。所有端口都是MDI/MDI-X自調(diào)整端口，所以不需要為了電纜類型而擔(dān)心。每個端口都能自動識別全雙工和半雙工模式.支持地址學(xué)習(xí)功能，802.3x流控功能可使高速客戶端在低速數(shù)據(jù)傳輸時保持穩(wěn)定.快速存儲轉(zhuǎn)發(fā)有效的防止網(wǎng)絡(luò)產(chǎn)生或擴(kuò)散壞的數(shù)據(jù)包.交換機(jī)本身具有的MAC地址學(xué)習(xí)引擎支持多達(dá)8000個MAC地址，可以高效的進(jìn)行轉(zhuǎn)發(fā)。此外，它還支持地址學(xué)習(xí)和老化功能，以及802.3x流控及隊頭阻塞預(yù)防功能，可以防止高速客戶端受困于低速流量。。值得一提的是，CISCOSR2024本身沒有任何配置軟件，開箱即用，這一點可以為學(xué)校管理員節(jié)省時間，同時也方便維護(hù)。3.3.5網(wǎng)路設(shè)備價格清單表3-1設(shè)備價格清單設(shè)備名稱型號單價數(shù)量合計（RMB）路由器Cisco7200607816078匯聚層交換機(jī)CiscoCatalyst494875000175000樓宇接入交換機(jī)CISCOWS-C2960G-24TC-L7500752500樓層接入交換機(jī)CISCOSR202427002875600安裝費(fèi)10001000第4章網(wǎng)絡(luò)布線系統(tǒng)設(shè)計4.1布線系統(tǒng)分析學(xué)校有教學(xué)樓2幢，圖書館1幢，行政樓1幢，體育館1幢，學(xué)生宿舍樓2幢。網(wǎng)絡(luò)中心建在圖書館1樓，樓間主干采用LucentSYSTIMAXOptiSPEED光纖網(wǎng)絡(luò)解決方案，以圖書館為中心鋪設(shè)光纖到教學(xué)樓，綜合樓，體育館，宿舍樓，采用室外6芯多模光纖；樓內(nèi)布線采用LucentSYSTIMAXPowerSum超五類布線產(chǎn)品，以配線間為中心鋪設(shè)四對UTP電纜到各工作位。信息點的分布：初中部教學(xué)樓總共有100個信息點，高中部教學(xué)樓總共有100個信息點，行政樓總共有45個信息點，圖書館總共有100個信息點，體育館總共有20個信息點，宿舍區(qū)總共有200個信息點。4.2布線系統(tǒng)方案描述4.2.1校園主干網(wǎng)系統(tǒng)校園主干網(wǎng)是指連接校園各建筑物的主干通信線路，一般選用光纖作為傳輸材料。光纖具有通信容量大、通信距離長、抗干擾、抗雷電等良好的性能，可采用架空或埋地等鋪設(shè)方式。此外也可以采用超五類雙絞線作為干線，但必須做好防雷措施。如：用鐵管保護(hù)埋地等。雙絞線的可靠通信距離為100米。校園主干網(wǎng)將采用LucentSYSTIMAXOptiSPEED室外光纖，校園主干網(wǎng)系統(tǒng)結(jié)構(gòu)圖如下所示：CZ1=11=1□匚口口口匚口口口unoU口口M口呂口目MOI:口口日呂口1—1口n口樓-IT.宿W'CZ1=11=1□匚口口口匚口口口unoU口口M口呂口目MOI:口口日呂口1—1口n口樓-IT.宿W'fl呂耳口口=0呂EI呂呂口=0呂口SS宿罟樓1口旨1—1口日口一：m口=■—!□目nnn宿至樓￡g昌g昌口呂呂g昌II呂呂II呂呂MUMSSII呂呂高中樓初中樓高中樓校園主T網(wǎng)系吉棉構(gòu)圖圖4-1主干網(wǎng)系統(tǒng)結(jié)構(gòu)圖

1、 金華市志成中學(xué)校園網(wǎng)的網(wǎng)絡(luò)中心設(shè)在圖書館一樓。以網(wǎng)絡(luò)中心為中心以星型的布線方法向各主要建筑物布放光纖，形成一個星型的光纖網(wǎng)絡(luò)，組成校園網(wǎng)的主干網(wǎng)系統(tǒng)。2、 在金華市志成中學(xué)校園主干網(wǎng)系統(tǒng)中，除以網(wǎng)絡(luò)中心為中心的光纖主干網(wǎng)之外，在初中樓與高中樓之間再多布放一條光纖，同樣是室外六芯多模光纖。這樣多布放一條光纖后，就組成了在行政樓、初中樓、高中樓之間的環(huán)型光纖網(wǎng)。在投資不大的情況下，這樣做有一定的好處：如果初中樓至圖書館或高中樓至圖書館其中一條鏈路發(fā)生故障，則可以通過初中樓至高中樓這條鏈路保證正常的通信連接。4.2.2大樓結(jié)構(gòu)化布線系統(tǒng)完成大樓內(nèi)各樓層和各課室、辦公室的物理線路連接和管理，并與校園十線系統(tǒng)互聯(lián)。通信線路一般采用雙絞線，特殊的大樓可能用光纖作為樓內(nèi)的主干通信線路。圖4-2大樓結(jié)構(gòu)化布線系統(tǒng)圖圖4-2大樓結(jié)構(gòu)化布線系統(tǒng)圖1、工作區(qū)子系統(tǒng)工作位連接標(biāo)準(zhǔn)RJ45信息插座模塊，采用標(biāo)準(zhǔn)86mm*86mm雙口面板，面板上有各工作位端口標(biāo)示，工作位插座口在墻面的位置要方便使用，若是辦公室則一般設(shè)在靠近辦公桌的墻面上，離地一般約30cm-1m左右。若是普通教室則一般設(shè)在靠近講臺的墻面上，因教室學(xué)生人員流動較大，工作位插座口要設(shè)在離地面較高的位置且要暗埋，便于保護(hù)插座口不受損壞。若是多媒體教室，工作位插座口要設(shè)在多媒體教學(xué)講臺內(nèi)，方便使用又不影響美觀。2、 水平子系統(tǒng)即大樓各層的水平布線區(qū)域，以本樓配線間為中心，采用標(biāo)準(zhǔn)星型結(jié)構(gòu)用線纜連接至各工作區(qū)。從各配線間引出超五類四對UTP電纜至各工作位，可滿足快速以太網(wǎng)、622MATM網(wǎng)等的應(yīng)用，用于數(shù)據(jù)、圖像、多媒體等信號的高速傳輸。工作位的信息出口采用兼容EIA、RJ45的5類8針插座模塊連接。在配線架端，可采用RJ45式端接模塊，方便滿足多系統(tǒng)并行使用。3、 管理子系統(tǒng)電磁輻射是考慮管理區(qū)子系統(tǒng)安裝環(huán)境的主要因素。電磁輻射的影響主要來自兩個方面，一是環(huán)境對系統(tǒng)傳輸?shù)挠绊懀皇窍到y(tǒng)在信息傳輸過程中對環(huán)境設(shè)備的影響。在建筑物內(nèi)，環(huán)境對系統(tǒng)傳輸?shù)挠绊懼饕獊碜詮?qiáng)電磁輻射源，如電臺，建筑物內(nèi)的電梯，馬達(dá)，UPS電源等。如果環(huán)境中這些干擾源的影響較大，應(yīng)考慮采取屏蔽措施，或選擇距離較遠(yuǎn)的位置。布線系統(tǒng)的端接工藝是直接影響系統(tǒng)性能的重要因素。連接配件的安裝工藝主要影響布線系統(tǒng)的近端串?dāng)_和衰減，而這兩個參數(shù)是判斷系統(tǒng)性能的重要依據(jù)。在管理區(qū)子系統(tǒng)還要考慮環(huán)境的通風(fēng)，照明，酸堿度，濕度等條件，這些因素將對端接配件造成腐蝕和老化，日久之后會影響系統(tǒng)的性能。管理區(qū)子系統(tǒng)內(nèi)的安全性也要加以考慮，端接配件最好安裝在布線機(jī)柜或墻柜內(nèi)。4、 垂直子系統(tǒng)電纜通道安置需看安裝所在環(huán)境的情況而定，為了能限制可能的電磁干擾，電纜通道、豎井和配線間都應(yīng)當(dāng)設(shè)在距離電梯和發(fā)電機(jī)盡可能遠(yuǎn)的地方。電纜通道也應(yīng)與多網(wǎng)格狀的接地系統(tǒng)相連接。強(qiáng)電和保護(hù)電纜可能會給話音/數(shù)據(jù)/圖象信號弱電電纜帶來干擾。因此必須采取一些必要措施，以便這些不同類型導(dǎo)體的通道能運(yùn)行正常：不同的電纜金屬通道之間相隔至少0.3米。強(qiáng)電/弱電電纜處于同一電纜通道里，強(qiáng)電與弱電電纜分開，并用金屬板隔離，而且導(dǎo)線之間的距離相隔0.3米。平行電纜管道必須遵守以上規(guī)定。當(dāng)遇到電纜交叉而過時，交叉必須成直角，以減弱回路影響。第5章網(wǎng)絡(luò)安全與管理5.1網(wǎng)絡(luò)安全問題校園網(wǎng)的安全威脅主要來源于兩大塊，一塊是來自于網(wǎng)內(nèi)，一塊來自于網(wǎng)外。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。根據(jù)統(tǒng)計，威脅校園網(wǎng)安全的攻擊行為大概有60%左右是來自于網(wǎng)絡(luò)外部，如何防范來自于外部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點關(guān)注的地方。計算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：1、 “黑客”的攻擊；2、 拒絕服務(wù)攻擊(DenialofServiceAttack)。安全威脅的類型：1、 非授權(quán)訪問。指對網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享。2、 冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。3、 破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。4、 干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時間等手段。這會使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時間要求的服務(wù)不能及時得到響應(yīng)。5、 軟件的漏洞和“后門”。軟件不可能沒有安全漏洞和設(shè)計缺陷，這些漏洞和缺陷最易受到黑客的利用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒有什么安全可言。如Windows的安全漏洞便有很多。5.2網(wǎng)絡(luò)安全策略配置5.2.1安全接入和配置安全接入和配置是指在物理(控制臺)或邏輯(telnet)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表5-1:

表5-1安全接入和配置方法訪問方式保證網(wǎng)絡(luò)設(shè)備安全的方法備注Console控制接口的訪問設(shè)置密碼和超時限制建議超時限制設(shè)成5分鐘進(jìn)入特權(quán)exec和設(shè)備配置級別的命令行配置Radius來記錄logon/logout時間和操作活動；配置至少一個本地賬戶作應(yīng)急之用telnet訪問采用ACL限制，指定從特定的IP地址來進(jìn)行telnet訪問；配置Radius安全紀(jì)錄方案；設(shè)置超時限制SSH訪問激活SSH訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸WEB管理訪問取消Web管理功能SNMP訪問常規(guī)的SNMP訪問是用ACL限制從特定的IP地址來進(jìn)行SNMP訪問；記錄非授權(quán)的SNMP訪問并禁止非授權(quán)的SNMP企圖和攻擊為增加安全，建議更改缺省的SNMPCommutiy子串設(shè)置不同賬號通過設(shè)置不同的賬號的訪問權(quán)限，提高安全性5.2.2拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn)TCPSYN泛濫攻擊、Smurf攻擊等；網(wǎng)絡(luò)設(shè)備的防TCPSYN的方法主要是配置網(wǎng)絡(luò)設(shè)備TCPSYN臨界值，若多于這個臨界值，則丟棄多余的TCPSYN數(shù)據(jù)包；防Smurf攻擊主要是配置