網(wǎng)絡(luò)設(shè)計(jì)方案

1、XX校園網(wǎng)絡(luò)設(shè)計(jì)方案書第四組：組員：厲健、 楊鋒、 劉永海、 吳霞、 陳偉狄 、朱剛、何臻偉匯報(bào)人：朱剛目 錄第一章建設(shè)目標(biāo)與原則31.1 XX學(xué)院網(wǎng)絡(luò)建設(shè)目標(biāo)31.2 校園網(wǎng)設(shè)計(jì)原則4第二章校園網(wǎng)建設(shè)方案62.1 搭建校園網(wǎng)絡(luò)系統(tǒng)62.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)72.3 IP地址規(guī)劃82.4 設(shè)備選型92.5 網(wǎng)絡(luò)安全設(shè)計(jì)112.6 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)14第三章網(wǎng)絡(luò)應(yīng)用解決方案173.1 綜合辦公自動(dòng)化系統(tǒng)173.2 網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)17第四章網(wǎng)絡(luò)的綜合布線系統(tǒng)194.1 綜合布線標(biāo)準(zhǔn)194.2設(shè)計(jì)范圍及要求194.3布線的實(shí)施194.4測(cè)試及驗(yàn)收22參考文獻(xiàn)24XX學(xué)院校園網(wǎng)建設(shè)方案【摘要】科學(xué)技術(shù)的發(fā)展日

2、新月異，在計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合下，網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。如今，不僅計(jì)算機(jī)已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合，整個(gè)社會(huì)都不可能脫離網(wǎng)絡(luò)而存在。網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流，人們對(duì)網(wǎng)絡(luò)的認(rèn)識(shí)也隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及而迅速改變。在不久的將來，網(wǎng)絡(luò)必將成為和電話一樣通用的工具，成為人們生活、工作、學(xué)習(xí)中必不可少的一部分。XX學(xué)院校園網(wǎng)一期、二期建設(shè)基本完成了校園網(wǎng)的框架，主要用于連接各實(shí)驗(yàn)室、教研室和各部處通過網(wǎng)絡(luò)中心與Internet連接。但是隨著學(xué)校的發(fā)展，廣大師生對(duì)校園網(wǎng)的覆蓋率、穩(wěn)定性、管理及業(yè)務(wù)提出了更高的要求，而原有的校園網(wǎng)在以上幾方面均暴露出一系列不足。在本方案中，我們將詳細(xì)闡述XX學(xué)院校

3、園網(wǎng)的建設(shè)方案，內(nèi)容大致分為搭建網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、系統(tǒng)應(yīng)用、網(wǎng)絡(luò)管理、綜合布線等幾部分?！娟P(guān)鍵字】局域網(wǎng)、Internet、計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)協(xié)議、服務(wù)器、防火墻第一章 建設(shè)目標(biāo)與原則1.1 XX學(xué)院網(wǎng)絡(luò)建設(shè)目標(biāo)學(xué)校共有員工和學(xué)生9000 人,院區(qū)內(nèi)共有12 棟建筑,包括教學(xué)樓、實(shí)驗(yàn)樓、現(xiàn)教樓、圖書館、宿舍樓等。上網(wǎng)的人員主要是學(xué)生、教師和科研人員。學(xué)校的網(wǎng)絡(luò)同時(shí)承載著多樣的網(wǎng)絡(luò)應(yīng)用：網(wǎng)絡(luò)下載、視頻點(diǎn)播、網(wǎng)絡(luò)聊天、專項(xiàng)課題研究、網(wǎng)絡(luò)化教學(xué)，學(xué)校要求網(wǎng)絡(luò)具有高性能、高可用性和高安全性。學(xué)校規(guī)模在不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性，能夠根據(jù)需要逐步平滑升級(jí)到千兆的骨干連接。學(xué)生擁有

4、筆記本電腦的人數(shù)越來越多，他們想在校園的各個(gè)地方都可以上網(wǎng)，甚至包括操場(chǎng)。要求網(wǎng)絡(luò)具有移動(dòng)和無線集成。學(xué)校要求能對(duì)每個(gè)用戶的使用情況能進(jìn)行事后審計(jì)，能夠定位到IP 地址以及用戶所連接的端口和登錄的用戶名。由于校園網(wǎng)絡(luò)的開放性和流量的多樣性，學(xué)校要求能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常流量并做出響應(yīng)。同時(shí)要求基于每用戶的速率限制。另外在設(shè)備支持上要求：在10/100 或10/100/1000BaseT 上支持802.3af PoE；網(wǎng)絡(luò)設(shè)備集成的安全性；要求第2 層和第3 層的QoS；要求增強(qiáng)的802.1x 功能；支持10GE 或?qū)砥交^渡到10GE。當(dāng)前萬兆以太網(wǎng)將成為園區(qū)骨干網(wǎng)的主流技術(shù)。但根據(jù)XX學(xué)院目前

5、的實(shí)際情況，可先采用千兆位以太網(wǎng)作為園區(qū)骨干，以后再根據(jù)需要升級(jí)；另外交換機(jī)及路由器本身的性能對(duì)整個(gè)網(wǎng)絡(luò)的性能也有影響，諸如線速轉(zhuǎn)發(fā)、QoS、STP、可支持的路由協(xié)議的收斂特性等等都將影響網(wǎng)絡(luò)的性能。高可用性：網(wǎng)絡(luò)的高可用性必須依靠冗余來實(shí)現(xiàn)，網(wǎng)絡(luò)級(jí)冗余性可以利用雙宿主設(shè)計(jì)自動(dòng)繞過故障鏈路或設(shè)備，能夠使用智能協(xié)議保持網(wǎng)絡(luò)可靠性。設(shè)備級(jí)冗余性可以利用設(shè)備內(nèi)部部件（如管理引擎、電源、風(fēng)扇等）的冗余來提供不間斷服務(wù)。線路級(jí)冗余可通過敷設(shè)物理走向不同的線纜的方式來實(shí)現(xiàn)線路的暢通。對(duì)于XX學(xué)院來說，以上所說在不同的場(chǎng)合中都有可能用到；另外，降低網(wǎng)絡(luò)的復(fù)雜性、提供備用互聯(lián)網(wǎng)出口、強(qiáng)大的網(wǎng)絡(luò)監(jiān)控功能及良好的

6、用戶培訓(xùn)也可增加園區(qū)網(wǎng)的可用性。高安全性：現(xiàn)階段網(wǎng)絡(luò)建設(shè)主要面臨以下幾方面的問題：網(wǎng)絡(luò)流量增長(zhǎng)得很快，與此同時(shí)網(wǎng)絡(luò)運(yùn)營(yíng)商的接入費(fèi)用不降反升；管理人員對(duì)校園網(wǎng)的運(yùn)行情況缺乏基本的分析和管理工具；網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，重要服務(wù)器和核心網(wǎng)絡(luò)設(shè)備被攻擊；網(wǎng)絡(luò)病毒泛濫，得不到控制；有線用戶和無線用戶的接入控制、定位缺乏手段等；針對(duì)以上問題，將安全連接、威脅防御、信用和身份管理系統(tǒng)集成到單個(gè)解決方案中，并提供病毒感染限制、染毒設(shè)備隔離功能可有效的解決校園網(wǎng)建設(shè)中的安全問題。高可擴(kuò)展性：在設(shè)計(jì)園區(qū)網(wǎng)時(shí)，通過層次化的設(shè)計(jì)可保證網(wǎng)絡(luò)的擴(kuò)展性。層次化結(jié)構(gòu)包括三個(gè)功能部分：即接入層、分布層和核心層，層次化的設(shè)計(jì)除了

7、能帶來便于擴(kuò)展的優(yōu)勢(shì)以外，還可節(jié)約成本和加強(qiáng)故障隔離能力；移動(dòng)性：可通過實(shí)施Wireless LAN 實(shí)現(xiàn)無線上網(wǎng)。1.2 校園網(wǎng)設(shè)計(jì)原則采用先進(jìn)成熟的技術(shù)和設(shè)計(jì)思想，運(yùn)用先進(jìn)的集成技術(shù)路線，以先進(jìn)、實(shí)用、開放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實(shí)用性，盡快投入使用，發(fā)揮較好的效能。計(jì)算機(jī)技術(shù)的發(fā)展十分迅速，更新?lián)Q代周期越來越短。所以，選購(gòu)設(shè)備要充分注意先進(jìn)性，選擇硬件要預(yù)測(cè)到未來發(fā)展方向，選擇軟件要考慮開放性，工具性和軟件集成優(yōu)勢(shì)。網(wǎng)絡(luò)設(shè)計(jì)要考慮通信發(fā)展要求，因此，主要、關(guān)鍵設(shè)備需要具有很高的性價(jià)比。系統(tǒng)的設(shè)計(jì)既要在相當(dāng)長(zhǎng)的時(shí)間內(nèi)保證其先進(jìn)性，還應(yīng)本著實(shí)用的原則，在實(shí)用的基礎(chǔ)上追

8、求先進(jìn)性，使系統(tǒng)便于聯(lián)網(wǎng)，實(shí)現(xiàn)信息資源共享。易于維護(hù)管理，具有廣泛兼容性，同時(shí)為適應(yīng)我國(guó)實(shí)際情況，設(shè)備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。目前，計(jì)算機(jī)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互連互通日益增加，都直接或間接與國(guó)際互連網(wǎng)連接。因此，系統(tǒng)方案設(shè)計(jì)需考慮系統(tǒng)的可靠性、信息安全性和保密性的要求。XX學(xué)院校園網(wǎng)設(shè)計(jì)方案設(shè)計(jì)原則和需求分析，可以方便地進(jìn)行設(shè)備擴(kuò)充和適應(yīng)工程的變化，以及靈活地進(jìn)行軟件版本的更新和升級(jí)，保護(hù)用戶的投資。目前，網(wǎng)絡(luò)向多平臺(tái)、多協(xié)議、異種機(jī)、異構(gòu)型網(wǎng)絡(luò)共存方向發(fā)展，其目標(biāo)是將不同機(jī)器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類型連成一個(gè)可協(xié)同工作的一個(gè)整體。所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國(guó)際標(biāo)準(zhǔn)，為將

9、來系統(tǒng)的升級(jí)、擴(kuò)展打下良好的基礎(chǔ)。采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，滿足系統(tǒng)及用戶各種不同的應(yīng)用要求，適應(yīng)業(yè)務(wù)調(diào)整變化。采用的技術(shù)標(biāo)準(zhǔn)必須按照國(guó)際標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)與規(guī)范，保證系統(tǒng)的延續(xù)性和可靠性。滿足系統(tǒng)目標(biāo)與功能目標(biāo)，總體方案設(shè)計(jì)合理，滿足用戶的應(yīng)用要求，便于系統(tǒng)維護(hù)，以及系統(tǒng)二次開發(fā)與移植。第二章 校園網(wǎng)建設(shè)方案2.1 搭建校園網(wǎng)絡(luò)系統(tǒng)XX學(xué)院從地理上分為二大塊：教學(xué)區(qū)和宿舍區(qū)。目前只在教學(xué)區(qū)部分大樓進(jìn)行了聯(lián)網(wǎng)，宿舍區(qū)沒有聯(lián)網(wǎng)。因此，我們需要做的工作是宿舍區(qū)和教學(xué)區(qū)的網(wǎng)絡(luò)互聯(lián),以及教學(xué)區(qū)的網(wǎng)絡(luò)擴(kuò)展。本方案采用成熟的千兆以太網(wǎng)技術(shù)，采用分層結(jié)構(gòu)的解決方案。整個(gè)網(wǎng)絡(luò)設(shè)計(jì)的原則為：中心交換機(jī)為整個(gè)網(wǎng)絡(luò)

10、的核心，它對(duì)整個(gè)網(wǎng)絡(luò)的性能、可靠性起決定作用，它連接各個(gè)物理子網(wǎng)，管理網(wǎng)絡(luò)內(nèi)信息交換（包括多媒體信息），控制VLAN 間訪問，保證信息安全。因此，選用中心交換機(jī)除了提供高速的網(wǎng)絡(luò)連接之外，還具有多種信息的管理控制能力。全部的網(wǎng)絡(luò)設(shè)備均支持高效的Intranet 多媒體和多點(diǎn)廣播技術(shù)，為多媒體和多點(diǎn)廣播應(yīng)用等提供端到端的帶寬保證。網(wǎng)絡(luò)采用層次結(jié)構(gòu)，不僅邏輯結(jié)構(gòu)清晰，管理方便；更重要的是大多數(shù)的數(shù)據(jù)流量（主要是同一部門或工作組內(nèi)）的交換在分布層交換機(jī)上直接處理，不經(jīng)中心設(shè)備，節(jié)省主干帶寬，提高利用率。有一定的前瞻性，不僅滿足當(dāng)前網(wǎng)上應(yīng)用，也為向?qū)砀咝阅艿纳?jí)作好了準(zhǔn)備：網(wǎng)絡(luò)具有的伸縮性，升級(jí)和

11、擴(kuò)展主要只集中在網(wǎng)絡(luò)中心，添加新的接口模塊，即可實(shí)現(xiàn)用戶和信息點(diǎn)的擴(kuò)充，升級(jí)模塊即可大量提高主干帶寬；中心配置兩臺(tái)多層交換機(jī)，網(wǎng)絡(luò)結(jié)構(gòu)就能連接成高可靠性的、真正的中心交換機(jī)互備份和上聯(lián)線路冗余。配合熱備份路由協(xié)議和熱備份雙服務(wù)器主機(jī)系統(tǒng)，在整個(gè)系統(tǒng)內(nèi)消除單點(diǎn)故障，提供高可用性的應(yīng)用服務(wù)系統(tǒng)。虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)

12、用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)地理位置及信息點(diǎn)的數(shù)量和未來覆蓋面擴(kuò)充等多方面原因，將校園網(wǎng)為每個(gè)系劃分若干個(gè)區(qū)域。劃分區(qū)域主要考慮以下幾個(gè)方面：可以減輕中央核心交換機(jī)的負(fù)擔(dān)、管理上方便、便于未來的連接擴(kuò)充。XX學(xué)院校園網(wǎng)的拓樸如圖2.1所示：圖2.1 XX學(xué)院校園網(wǎng)的拓樸圖整個(gè)校園網(wǎng)劃分為三個(gè)層次：核心層、分布層和接入層。相應(yīng)的交換機(jī)就是核心交換機(jī)、分布層交換機(jī)和接入層交換機(jī)。核心層網(wǎng)絡(luò)選擇千兆以太網(wǎng)。校網(wǎng)絡(luò)中心將放置兩臺(tái)高端三層千兆交換機(jī)和一臺(tái)邊界路由器。交換

13、機(jī)間的連接要求是高帶寬連接。分布層交換機(jī)要求至少兩路上行鏈路連至兩臺(tái)核心層交換機(jī)上，采用快速收斂的路由協(xié)議實(shí)現(xiàn)故障切換和負(fù)載均衡，當(dāng)某一鏈路出現(xiàn)意外，也可以從另外一路上連。校內(nèi)各系的匯聚交換機(jī)構(gòu)成，各分布層交換機(jī)放置在各系的網(wǎng)絡(luò)中心，要求至少兩路上行鏈路連至兩臺(tái)核心層交換機(jī)上。分布層交換的下連交換機(jī)都為接入層網(wǎng)絡(luò)。2.3 IP地址規(guī)劃本方案采用的地址分配方法利用VLSM技術(shù),不僅有大量預(yù)留空間,而且本校園網(wǎng)使用OSPF路由協(xié)議,有層次的IP地址,易于管理,在邊界路由器上可做匯聚(匯聚成/17網(wǎng)段),減少路由更新大小,提高網(wǎng)絡(luò)性能。如表2.1所示:表2.1 XX學(xué)院校園網(wǎng)IP地址

14、分配表建筑物設(shè)備IP地址子網(wǎng)掩碼現(xiàn)教樓中心機(jī)房VPN防火墻邊界路由器核心交換機(jī)核心交換機(jī)WEB/FTP服務(wù)器認(rèn)證服務(wù)器DNS/DHCP服務(wù)器用戶教學(xué)樓分布層交換機(jī)接入層交換機(jī)255.255.25

15、5.0AP用戶實(shí)驗(yàn)樓分布層交換機(jī)接入層交換機(jī)AP0用戶圖書館分布層交換機(jī)1接入層交換機(jī)2AP3用戶行政樓分布層交換機(jī)4接入層交

16、換機(jī)5AP6用戶宿舍樓分布層交換機(jī)7接入層交換機(jī)8AP9用戶2.4 設(shè)備選型本方案中校園網(wǎng)絡(luò)核心層設(shè)備采用CISCO Catalyst 6509（Supervisor Engine 720*2/電源*2/FWSM*1/IPSec VPN 模塊*1/IDSM*1/NAM*1/16 口千兆以太網(wǎng)光口板

17、*1/若干5486/48 口千兆電口*1，符合IEEE802.3af&PoE） 數(shù)量：2 臺(tái)。Cisco Catalyst 6509 的優(yōu)點(diǎn)：l 最長(zhǎng)的網(wǎng)絡(luò)正常運(yùn)行時(shí)間-利用平臺(tái)、電源、控制引擎、交換矩陣和集成網(wǎng)絡(luò)服務(wù)冗余性提供13 秒的狀態(tài)故障切換，提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境，減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷。l 全面的網(wǎng)絡(luò)安全性-將切實(shí)可行的數(shù)千兆位級(jí)思科安全解決方案集成到現(xiàn)有網(wǎng)絡(luò)中，包括入侵檢測(cè)、防火墻、VPN 和SSL。l 可擴(kuò)展性能-利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá)400Mpps 的轉(zhuǎn)發(fā)性能。l 能夠適應(yīng)未來發(fā)展并保護(hù)投資的體系結(jié)構(gòu)-在同一種機(jī)箱中支持三代可互換、可熱插拔

18、的模塊，以提高IT 基礎(chǔ)設(shè)施利用率，增大投資回報(bào)，并降低總體擁有成本。l 卓越的服務(wù)集成和靈活性-將安全和內(nèi)容等高級(jí)服務(wù)與融合網(wǎng)絡(luò)集成在一起，提供從10/100 和10/100/1000 以太網(wǎng)到萬兆以太網(wǎng)，從DS0 到OC-48 的各種接口和密度，并能夠在任何部署項(xiàng)目中端到端執(zhí)行。校園網(wǎng)絡(luò)分布層設(shè)備采用CISCO Catalyst 4507R（Supervisor Engine V-10GE*2/電源*2/若干千兆以太網(wǎng)光口板及GBIC/48 口千兆電口板*1，符合IEEE802.3af&PoE）數(shù)量：7 臺(tái)。Cisco Catalyst 4506（With Supervisor V-10G

19、E）的優(yōu)點(diǎn)是：l 136Gbps 交換矩陣；l 102mpps 第二層到第四層吞吐率；l 雙線速萬兆以太網(wǎng)上行鏈路；l 利用千兆以太網(wǎng)SFP 上行鏈路順利移植到萬兆以太網(wǎng)；l 在交換管理引擎上提供集成式NetFlow，通過基于用戶的速率限制實(shí)施精確流量控制；l 超快速800MHz CPU 可實(shí)現(xiàn)更快的控制平面；l 最多能夠在Catalyst 4510R 交換機(jī)中支持384 個(gè)10/100/1000 端口；l 提供所有Cisco Catalyst 集成式安全特性；l 為提供更加靈活的策略，能夠?yàn)槊總€(gè)端口和VLAN 實(shí)施不同的QoS；l 思科快速轉(zhuǎn)發(fā)能夠防止可變IP 信息攻擊。l 端口安全、DHC

20、P 偵聽、ARP 檢測(cè)和IP 源防護(hù)能夠防止黑客從第二層及以上發(fā)動(dòng)拒絕服務(wù)（DoS）攻擊或破壞網(wǎng)絡(luò)。l 速率限制以出口和入口限速器的方式出現(xiàn)，可以控制每個(gè)VLAN 的流量，防止DoS攻擊。Supervisor Engine V-10GE 支持基于用戶的速率限制。l 802.1X 及其擴(kuò)展性能防止非法用戶和設(shè)備接入網(wǎng)絡(luò)，例如惡意接入點(diǎn)。l 硬件Netflow 可用于主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，并采取相應(yīng)措施。它使用的訪問控制列表可在交換端口和路由端口上提供，以便進(jìn)行二到七層流量控制。校園網(wǎng)絡(luò)接入層設(shè)備采用CISCO Catalyst 3560(EMI)交換機(jī)，該系列交換機(jī)是一個(gè)固定配置、企業(yè)級(jí)、IEE

21、E 802.3af 和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電(PoE) 交換機(jī)系列，工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下。CISCO Catalyst 3560 是一款理想的接入層交換機(jī)，適用于小型企業(yè)布線室或分支機(jī)構(gòu)環(huán)境，結(jié)合了10/100/1000 和PoE 配置，實(shí)現(xiàn)最高生產(chǎn)率和投資保護(hù)，并可部署新應(yīng)用，如IP 電話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視頻訪問等?？蛻艨稍谡麄€(gè)網(wǎng)絡(luò)范圍中部署智能服務(wù)，如高級(jí)QoS 、速率限制、訪問控制列表、組播管理和高性能IP 路由等，且同時(shí)保持傳統(tǒng)LAN 交換的簡(jiǎn)潔性。思科網(wǎng)絡(luò)助理(network assistant)在Catalyst 3560 系列中免費(fèi)提供，是

22、一個(gè)集中管理應(yīng)用，可簡(jiǎn)化思科交換機(jī)、路由器和無線接入點(diǎn)的管理任務(wù)。思科網(wǎng)絡(luò)助理提供了配置向?qū)?，大大?jiǎn)化了融合網(wǎng)絡(luò)和智能網(wǎng)絡(luò)服務(wù)的實(shí)施；支持增強(qiáng)的802.1x(IBNS)。2.5 網(wǎng)絡(luò)安全設(shè)計(jì)XX學(xué)院網(wǎng)絡(luò)安全性方案設(shè)計(jì)原則是：整個(gè)XX學(xué)院網(wǎng)絡(luò)必須是一個(gè)嚴(yán)密的安全保密體系。采取的安全措施不能影響整個(gè)網(wǎng)絡(luò)運(yùn)行效率。保密設(shè)備要做到管理方便，完善可靠。加密系統(tǒng)具有良好的網(wǎng)絡(luò)兼容性和可擴(kuò)展性，實(shí)現(xiàn)防竊取、防篡改、防破壞三大功能。按照國(guó)家主管部門對(duì)政府辦公網(wǎng)絡(luò)安全保密性的相應(yīng)法規(guī)和規(guī)定，要保障系統(tǒng)內(nèi)部信息的安全，我們主要應(yīng)該做到處理秘密級(jí)、機(jī)密級(jí)信息的系統(tǒng)與不涉及保密信息的系統(tǒng)實(shí)行物理隔離，秘密級(jí)、機(jī)密級(jí)信

23、息在網(wǎng)絡(luò)上采取加密傳輸。防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與Internet 之間的一個(gè)或一組系統(tǒng)，用以實(shí)施兩個(gè)網(wǎng)絡(luò)間的訪問控制和安全策略。狹義上防火墻指安裝了防火墻軟件的主機(jī)或和路由系統(tǒng)；廣義上還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻技術(shù)屬于被動(dòng)防衛(wèi)型，它通過在網(wǎng)絡(luò)邊界上建立一個(gè)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的，其功能是按照設(shè)定的條件對(duì)通過的信息進(jìn)行檢查和過濾。防火墻是實(shí)施組織的網(wǎng)絡(luò)安全策略、保護(hù)內(nèi)部信息的第一道屏障，其作用主要有：保護(hù)功能拒絕非授權(quán)訪問、保護(hù)網(wǎng)絡(luò)系統(tǒng)和私人及敏感信息不受侵害。連接功能作為內(nèi)部網(wǎng)絡(luò)與Internet 之間的單一連接點(diǎn)。管理功能實(shí)施統(tǒng)一的安全策略，檢查網(wǎng)絡(luò)使用情況

24、，進(jìn)行流量控制等。防火墻有三個(gè)屬性：所有進(jìn)出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過它；僅被本地安全策略所授權(quán)的數(shù)據(jù)包才能通過它；防火墻本身對(duì)攻擊必須具有免疫能力。在XX學(xué)院和外網(wǎng)的連接中，我們推薦使用硬件防火墻。比如CISCO ASA5510-BUN-K9系列：l 并發(fā)連接數(shù) l 網(wǎng)絡(luò)吞吐量(Mbps) 300 l 安全過濾帶寬 170Mbps l 網(wǎng)絡(luò)端口 3+1個(gè)管理快速以太網(wǎng)端口、可升級(jí)到5個(gè)快速以太網(wǎng)端口、1個(gè)SSM 擴(kuò)展插槽 l 用戶數(shù)限制無用戶數(shù)限制 l 入侵檢測(cè) DoS l 安全標(biāo)準(zhǔn)UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS326

25、0, TS001 l 控制端口console l 管理思科安全管理器 (CS-Manager)l VPN支持 選擇該型號(hào)是因?yàn)閮r(jià)格適中,且功能齊全,較適合本校園網(wǎng)建設(shè)。在內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間之間通過防火墻，建立起一個(gè)DMZ 區(qū)。與外網(wǎng)關(guān)聯(lián)業(yè)務(wù)的服務(wù)器都可以放在DMZ 區(qū)，Internet 上的用戶只能到達(dá)DMZ區(qū)相應(yīng)的服務(wù)器。并且內(nèi)部網(wǎng)絡(luò)到Internet 的連接，是通過NAT 地址翻譯的方式進(jìn)行，可以充分隱藏和保護(hù)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)設(shè)備。防火墻在內(nèi)外網(wǎng)絡(luò)連接中起兩個(gè)作用：l 利用訪問控制列表（Access Control List ，ACL）實(shí)安全防護(hù)防火墻操作系統(tǒng)IOS 通過訪問控制列表（A

26、CL）技術(shù)支持包過濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪問列表，可以對(duì)數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類型、TCP 端口號(hào)進(jìn)行控制。這樣，我們就可以在Extranet 上建立第一道安全防護(hù)墻，屏蔽對(duì)內(nèi)部網(wǎng)Intranet 的非法訪問。例如，我們可以通過ACL 限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺(tái)或幾臺(tái)主機(jī)；限制可以被訪問的內(nèi)部主機(jī)的地址；為保證主機(jī)的安全，可以限制外部用戶對(duì)主機(jī)的一些危險(xiǎn)應(yīng)用如TELNET 等。l 利用地址轉(zhuǎn)換（Network Address Translation，NAT）實(shí)現(xiàn)安全保護(hù)防火墻另外一個(gè)強(qiáng)大功能就是內(nèi)外地址轉(zhuǎn)換。進(jìn)行IP

27、 地址轉(zhuǎn)換由兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP 地址，這可以使黑客（hacker）無法直接攻擊內(nèi)部網(wǎng)絡(luò)，因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP 地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個(gè)好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。地址轉(zhuǎn)換（NAT）技術(shù)運(yùn)用在內(nèi)部主機(jī)與外部主機(jī)之間的互相訪問的時(shí)候，當(dāng)內(nèi)部訪問者想通過路由器外出時(shí)，路由器首先對(duì)其進(jìn)行身份認(rèn)證-通過訪問列表（ACL）核對(duì)其權(quán)限，如果通過，則對(duì)其進(jìn)行地址轉(zhuǎn)換，使其以一個(gè)對(duì)外公開的地址訪問外部網(wǎng)絡(luò)；當(dāng)外部訪問者想進(jìn)入內(nèi)部網(wǎng)時(shí)，路由器同樣首先核對(duì)其訪問權(quán)限，然后根據(jù)其目的地址（外部公開的地址），將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應(yīng)

28、的內(nèi)部主機(jī)。在XX學(xué)院網(wǎng)絡(luò)工程和今后各種應(yīng)用系統(tǒng)的建設(shè)過程中，在局域網(wǎng)上我們可以根據(jù)不同部門、不同業(yè)務(wù)類別劃分VLAN（虛網(wǎng)），通過把不同系統(tǒng)劃分在不同VLAN 的方式，將各系統(tǒng)完全隔離，實(shí)現(xiàn)對(duì)跨系統(tǒng)訪問的控制，既保證了安全性，也提高了可管理性。l VLAN（虛網(wǎng)）技術(shù)和VLAN 路由技術(shù)VLAN 技術(shù)用以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的集中管理和安全控制。CISCO 局域網(wǎng)交換機(jī)的一大優(yōu)勢(shì)是具備跨交換機(jī)的VLAN（虛網(wǎng)）劃分和VLAN 路由功能。虛網(wǎng)是將一個(gè)物理上連接的網(wǎng)絡(luò)在邏輯上完全分開，這種隔離不僅是數(shù)據(jù)訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡(luò)一樣，是一種安全的防護(hù)。通過VLAN 路

29、由實(shí)現(xiàn)對(duì)跨部門訪問的控制，既保證了安全性，也提高了可管理性。l Inter-VLAN Routing 原理每一個(gè)VLAN 都具有一個(gè)標(biāo)識(shí)，不同的VLAN 標(biāo)識(shí)亦不相同，交換機(jī)在數(shù)據(jù)鏈路層上可以識(shí)別不同的VLAN 標(biāo)識(shí)，但不能修改該VLAN 標(biāo)識(shí)，只有VLAN標(biāo)識(shí)相同的端口才能形成橋接，數(shù)據(jù)鏈路層的連接才能建立，因而不同VLAN的設(shè)備在數(shù)據(jù)鏈路層上是無法連通的。Inter-VLAN Routing 技術(shù)是在網(wǎng)絡(luò)層將VLAN標(biāo)識(shí)進(jìn)行轉(zhuǎn)換，使得不同的VLAN 間可以溝通，而此時(shí)基于網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層的安全控制手段都可運(yùn)用，諸如Access-list （訪問列表限制）、FireWall(防火墻)

30、、TACACS+等，Inter-VLAN Routing 技術(shù)使我們獲得了對(duì)不同VLAN 間數(shù)據(jù)流動(dòng)的強(qiáng)有力控制。l MAC 地址過濾策略在內(nèi)部網(wǎng)中還可以利用Cisco 交換機(jī)的MAC 地址過濾功能對(duì)局域網(wǎng)的訪問提供鏈路層的安全控制。MAC 地址過濾能進(jìn)一步實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。CISCO局域網(wǎng)交換機(jī)具有MAC 地址過濾功能，通過在交換機(jī)上對(duì)每個(gè)端口進(jìn)行配置，可以禁止或允許特定MAC 地址的源站點(diǎn)或目的站點(diǎn)，從而實(shí)現(xiàn)各站點(diǎn)之間的訪問控制。由于每塊網(wǎng)卡有唯一的MAC 地址，是固定不變的，只允許特定MAC 地址的工作站通過特定的端口進(jìn)行訪問，所以對(duì)MAC 地址的訪問控制實(shí)際上就是對(duì)指定工作站這一

31、物理設(shè)備的訪問控制，由于MAC 地址的不可改變，與對(duì)IP 地址的過濾相比，具有更高的安全性。l 訪問安全控制從確保網(wǎng)絡(luò)訪問的安全出發(fā)，路由器對(duì)所有遠(yuǎn)程撥號(hào)訪問連接都由Radius設(shè)置AAA(Authentication Authorization Account，即認(rèn)證、授權(quán)、記帳)級(jí)安全控制，防止非法用戶的訪問。同時(shí)，在計(jì)費(fèi)服務(wù)器上，也提供Radius 認(rèn)證方式，兩者可以配合使用。（也可以只采用計(jì)費(fèi)服務(wù)器上的Radius認(rèn)證）。具體的實(shí)現(xiàn)細(xì)節(jié)如下：在網(wǎng)絡(luò)中配置一臺(tái)安裝Cisco Secure 軟件的服務(wù)器，Cisco Secure 軟件使用Radius（Remote Authenticati

32、on Dial-in User Service）協(xié)議提供對(duì)網(wǎng)絡(luò)的安全控制，并對(duì)成功連接到網(wǎng)絡(luò)的用戶的操作進(jìn)行記錄。對(duì)于遠(yuǎn)程撥號(hào)訪問，配置PPP 協(xié)議提供的CHAP（Challenge Handshake Authorization Protocol）認(rèn)證協(xié)議，該協(xié)議是一個(gè)基于標(biāo)準(zhǔn)的認(rèn)證服務(wù)，而且在傳輸過程中使用加密保護(hù)，與在傳輸用戶ID和口令時(shí)不使用加密的PAP 協(xié)議相比，具有更大的安全性，可提供用戶ID 和口令在傳輸線上的安全保護(hù)。RADIUS 提供的AAA 級(jí)安全控制首先根據(jù)用戶名和口令識(shí)別在本網(wǎng)絡(luò)中是否允許該用戶訪問，從而決定是否建立連接；其次對(duì)經(jīng)過認(rèn)證連接到網(wǎng)絡(luò)的用戶授予相應(yīng)的網(wǎng)絡(luò)服務(wù)

33、級(jí)別，提供訪問的限制；最后保留用戶在本網(wǎng)絡(luò)中的所有操作記錄（日志），這些記錄的內(nèi)容包括用戶網(wǎng)絡(luò)地址、用戶名、所使用的服務(wù)、日期和時(shí)間以及用于計(jì)帳的連接時(shí)間、連接位置、數(shù)據(jù)傳輸量、開始時(shí)間和停止時(shí)間等。AAA 在Client/Server 體系中允許在一個(gè)中心數(shù)據(jù)庫中存儲(chǔ)所有的安全息，在一臺(tái)裝有Cisco Secure 軟件的安全服務(wù)器上通過對(duì)數(shù)據(jù)庫的修改和維護(hù)就可方便地對(duì)整個(gè)系統(tǒng)進(jìn)行很好的安全控制。Cisco Secure 軟件由一個(gè)Daemon 和一個(gè)GUI 兩部分組成。Daemon 的操作依賴于兩個(gè)文件，一個(gè)用于定義所有的系統(tǒng)參數(shù)的控制文件和一個(gè)包含了網(wǎng)絡(luò)用戶所有認(rèn)證和授權(quán)信息的數(shù)據(jù)庫文件

34、。GUI 提供給系統(tǒng)管理員用于維護(hù)認(rèn)證和授權(quán)信息等，網(wǎng)絡(luò)用戶可被分配到具有一系列相同參數(shù)的組，GUI 使系統(tǒng)管理員能夠修改網(wǎng)絡(luò)中任一組和任一用戶的認(rèn)證和授權(quán)參數(shù)。2.6 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)管理性能是衡量一個(gè)網(wǎng)絡(luò)系統(tǒng)性能高低的重要因素之一。網(wǎng)絡(luò)管理系統(tǒng)完成設(shè)置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)運(yùn)行、保障網(wǎng)絡(luò)安全，查找并隔離網(wǎng)絡(luò)故障，記錄網(wǎng)絡(luò)中的各種事件以及劃分虛擬網(wǎng)絡(luò)等功能。總之，對(duì)所有網(wǎng)絡(luò)上的信息進(jìn)行統(tǒng)一管理。網(wǎng)管通常結(jié)合硬件和軟件的手段來實(shí)施，對(duì)不同的拓?fù)浣Y(jié)構(gòu)及不同的物理和邏輯部分進(jìn)行監(jiān)控和分析。OSI 定義網(wǎng)管系統(tǒng)支持傳統(tǒng)五大網(wǎng)管功能：故障管理、配置管理、計(jì)費(fèi)管理、安全管理以及性能管理。這些管理功能由網(wǎng)

35、管系統(tǒng)和網(wǎng)絡(luò)設(shè)備共同完成。結(jié)合校園網(wǎng)的實(shí)際情況，我們認(rèn)為，安全管理與計(jì)費(fèi)管理可以由網(wǎng)絡(luò)管理模塊配合專用的軟（硬）件管理產(chǎn)品來共同實(shí)現(xiàn)，網(wǎng)絡(luò)管理的主要任務(wù)應(yīng)落實(shí)在故障管理、配置管理和性能管理這三個(gè)方面。1、配置管理l 網(wǎng)絡(luò)節(jié)點(diǎn)插板、端口和冗余結(jié)構(gòu)的配置和管理；l 網(wǎng)絡(luò)節(jié)點(diǎn)訪問口令的設(shè)置和更改。2、性能管理l 可以實(shí)時(shí)連續(xù)地收集網(wǎng)絡(luò)運(yùn)行的相關(guān)數(shù)據(jù)，可用數(shù)字和圖形的方式顯示網(wǎng)絡(luò)運(yùn)行的各種情況以及重要程度，需要時(shí)可發(fā)布指令到各節(jié)點(diǎn)，進(jìn)行網(wǎng)絡(luò)控制；l 可從相關(guān)節(jié)點(diǎn)收集業(yè)務(wù)量數(shù)據(jù)，進(jìn)行統(tǒng)計(jì)、分類、記錄歸擋。使用這些信息為網(wǎng)絡(luò)建設(shè)提供規(guī)劃設(shè)計(jì)依據(jù)。3、故障管理l 能實(shí)時(shí)監(jiān)視故障信息，并對(duì)其統(tǒng)計(jì)分析；l 可形

36、成節(jié)點(diǎn)、中繼線及用戶端口的告警產(chǎn)生、告警內(nèi)容和告警清除的統(tǒng)計(jì)報(bào)告?？蓪?shí)時(shí)修改狀態(tài)圖以反映此故障。校園網(wǎng)網(wǎng)絡(luò)設(shè)備較多但網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，管理人員不多，比較適合采用集中的管理模式，即由一臺(tái)網(wǎng)管主機(jī)（或者備份主機(jī)）對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境進(jìn)行綜合管理，不需要添加二級(jí)管理設(shè)備，管理結(jié)構(gòu)簡(jiǎn)單，已于維護(hù)管理。通過仔細(xì)分析校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，在主要管理產(chǎn)品選型上我們建議采用Cisco 公司基于WINDOWS 2000 的CiscoWorks2000網(wǎng)管軟件實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)設(shè)備的管理。網(wǎng)絡(luò)管理是對(duì)網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進(jìn)行有效的監(jiān)視、控制、診斷和測(cè)試所采用的技術(shù)和方法。網(wǎng)絡(luò)管理系統(tǒng)的概念模型主要由管理者、管理代理和被管對(duì)

37、象等實(shí)體及其相互作用組成?；赟NMP（Simple Network Management Protocol）的網(wǎng)絡(luò)管理系統(tǒng)SNMP 由IETF 提出，主要是為基于TCP/IP 的互連網(wǎng)設(shè)計(jì)的，現(xiàn)在已經(jīng)被其它協(xié)議實(shí)現(xiàn)，如IPX/SPX，DECNET 以及APPLETALK 等，它的主要標(biāo)準(zhǔn)由一系列RFC 組成，并得到了網(wǎng)絡(luò)廠商的廣泛支持，成為網(wǎng)絡(luò)管理方面事實(shí)上的標(biāo)準(zhǔn)。目前基于SNMP 的網(wǎng)絡(luò)管理系統(tǒng)已廣泛應(yīng)用于Internet。這里建議采用Cisco Works軟件,因?yàn)樵撥浖赪EB頁面管理，操作簡(jiǎn)便，功能齊全，而且是基于標(biāo)準(zhǔn)的多廠商管理軟件。在實(shí)際環(huán)境中，管理者的功能由安裝在網(wǎng)絡(luò)管理中心

38、的網(wǎng)管工作站上的一系列網(wǎng)管軟件完成，它負(fù)責(zé)管理主機(jī)、局域網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)與應(yīng)用和與之相聯(lián)的下級(jí)單位的廣域網(wǎng)、局域網(wǎng)等設(shè)備，被管對(duì)象指網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)資源。管理者負(fù)責(zé)接收來自上述各級(jí)節(jié)點(diǎn)發(fā)送的網(wǎng)絡(luò)管理信息，并對(duì)相關(guān)事件進(jìn)行處理。應(yīng)用服務(wù)的管理可以采用專用的服務(wù)管理軟件，針對(duì)不同的應(yīng)用服務(wù)，進(jìn)行專業(yè)的監(jiān)控管理。目前，業(yè)界對(duì)各種應(yīng)用服務(wù)的管理基本上都有成熟的解決方案。應(yīng)用服務(wù)的狀態(tài)監(jiān)控主要體現(xiàn)在三個(gè)方面：l 服務(wù)器狀態(tài)的監(jiān)控：主要包括服務(wù)器的各個(gè)性能參數(shù)。可以采用專用的系統(tǒng)管理模塊對(duì)各個(gè)性能參數(shù)分別監(jiān)控、統(tǒng)一管理。l 應(yīng)用程序狀態(tài)的監(jiān)控：包括各個(gè)關(guān)鍵服務(wù)的關(guān)鍵應(yīng)用進(jìn)程的健康情況。視需監(jiān)控的程度和經(jīng)費(fèi)

39、狀況，可以選用專用的監(jiān)控模塊或統(tǒng)一的進(jìn)程監(jiān)控模塊。l 網(wǎng)絡(luò)狀態(tài)的監(jiān)控：通過上面的網(wǎng)絡(luò)管理模塊即可實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)可用性的統(tǒng)一監(jiān)控。考慮到校園網(wǎng)目前的管理人員比較少，管理任務(wù)相對(duì)較多的特點(diǎn)，對(duì)以上各個(gè)應(yīng)用服務(wù)的管理及網(wǎng)絡(luò)管理，我們可以采用統(tǒng)一的事件控制平臺(tái)來匯總管理，實(shí)現(xiàn)集中化控制、單窗口管理。并且利用事件控制平臺(tái)自身的特點(diǎn)，實(shí)現(xiàn)報(bào)警事件的集成、過濾、關(guān)聯(lián)和自動(dòng)化處理。事件管理平臺(tái)收集并集成來自網(wǎng)絡(luò)環(huán)境中任何重要的信息源的消息，通過內(nèi)置的過濾關(guān)聯(lián)機(jī)制，將有效的消息分組分級(jí)別的統(tǒng)一呈現(xiàn)在管理員面前。另外，應(yīng)用監(jiān)控系統(tǒng)能夠利用保存的歷史監(jiān)控?cái)?shù)據(jù)，生成各種可用性及趨勢(shì)報(bào)表，為下一步的投資改造決策作參

40、考。第三章 網(wǎng)絡(luò)應(yīng)用解決方案3.1 綜合辦公自動(dòng)化系統(tǒng)XX學(xué)院OA 系統(tǒng)整體設(shè)計(jì)目標(biāo)是：利用現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)及Internet 技術(shù)等為基礎(chǔ)建立起來的計(jì)算機(jī)網(wǎng)絡(luò)，聯(lián)接教學(xué)內(nèi)部網(wǎng)絡(luò)的教學(xué)樓子網(wǎng)及分散于各功能樓、宿舍樓的計(jì)算機(jī)，通過網(wǎng)絡(luò)管理中心的服務(wù)器群組為所有計(jì)算機(jī)提供例如登錄服務(wù)，文件/打印共享/Email 服務(wù)，及教學(xué)、科研、整體管理、校務(wù)服務(wù)、遠(yuǎn)程教學(xué)等傳統(tǒng)應(yīng)用服務(wù)，提供經(jīng)濟(jì)類文獻(xiàn)的查詢、地方經(jīng)濟(jì)信息的發(fā)布、經(jīng)濟(jì)類的網(wǎng)上咨詢等。根據(jù)教育部統(tǒng)一規(guī)劃，相互協(xié)調(diào)的原則，實(shí)現(xiàn)學(xué)院行政部門和學(xué)院辦公業(yè)務(wù)的電子化、自動(dòng)化和網(wǎng)絡(luò)化，使教育行政管理、應(yīng)急指揮和快速反應(yīng)的能力進(jìn)一步提高，高效率、高質(zhì)

41、量地為學(xué)院教育行政部門和學(xué)院的管理和決策服務(wù)。實(shí)現(xiàn)學(xué)院內(nèi)部資源高度共享；提高教育技術(shù)的現(xiàn)代化水平和教育信息化程度；為學(xué)院培養(yǎng)創(chuàng)新人才提供信息平臺(tái)，提高學(xué)生收集處理信息的能力、獲取新知識(shí)的能力、分析和解決問題的能力、語言文字表達(dá)能力以及團(tuán)結(jié)協(xié)作和社會(huì)活動(dòng)的能力。在認(rèn)真總結(jié)和分析了學(xué)校的校園網(wǎng)應(yīng)用系統(tǒng)的需求，提供了極具特色的高校校園網(wǎng)應(yīng)用解決方案，主要包括公文管理系統(tǒng)、信息發(fā)布系統(tǒng)、會(huì)議管理系統(tǒng)、信息交換系統(tǒng)、個(gè)人信息系統(tǒng)、信息資源庫、檔案管理子系統(tǒng)、公共信息管理子系統(tǒng)、電子論壇、日常事務(wù)管理、領(lǐng)導(dǎo)信息查詢子系統(tǒng)、圖書管理子系統(tǒng)、教學(xué)管理子系統(tǒng)、高考多功能查詢系統(tǒng)、郵件系統(tǒng)等十幾個(gè)模塊。操作簡(jiǎn)單；

42、性能安全可靠；雙向復(fù)制功能；綜合查詢功能；支持移動(dòng)辦公；靈活的伸縮性；支持多系統(tǒng)共存；動(dòng)態(tài)權(quán)限配置；通用的公文審批流程、打印格式；工作流程靈活定制；強(qiáng)大的版本跟蹤、痕跡保留技術(shù)。3.2 網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)隨著網(wǎng)絡(luò)應(yīng)用越來越豐富，網(wǎng)絡(luò)服務(wù)計(jì)費(fèi)是網(wǎng)絡(luò)運(yùn)營(yíng)的一個(gè)重要部分。采用方便、靈活的計(jì)費(fèi)方式有利于減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)。隨著XX學(xué)院校園網(wǎng)的建成和Internet 帶寬的擴(kuò)容，將會(huì)吸引越來越多的用戶上網(wǎng)。因此，在XX學(xué)院網(wǎng)絡(luò)建成后，需要建立一套功能強(qiáng)大的計(jì)費(fèi)系統(tǒng)。通過使用和調(diào)查，清華大學(xué)通用網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)（CNGAS）是針對(duì)內(nèi)聯(lián)網(wǎng)用戶訪問Internet 進(jìn)行監(jiān)控和管理而設(shè)計(jì)的一整套完整的計(jì)費(fèi)解決方案

43、，能提供基于用戶、IP、包月、限時(shí)、限流量等計(jì)費(fèi)模式，非常適用于校園網(wǎng)、企業(yè)、政府機(jī)關(guān)、智能大廈和智能小區(qū)的計(jì)費(fèi)。因此，我們建議XX學(xué)院采用這套系統(tǒng)。計(jì)費(fèi)系統(tǒng)結(jié)構(gòu)從實(shí)現(xiàn)功能上系統(tǒng)可分為：流量計(jì)費(fèi)模塊、郵件計(jì)費(fèi)模塊、撥號(hào)計(jì)費(fèi)模塊、代理計(jì)費(fèi)模塊四個(gè)模塊。各模塊相對(duì)獨(dú)立，可以適應(yīng)不同用戶對(duì)于單項(xiàng)服務(wù)的需求?？梢詥为?dú)使用每個(gè)模塊，也可以組合使用。計(jì)費(fèi)系統(tǒng)開發(fā)基于因特網(wǎng)免費(fèi)服務(wù)軟件Sendmail、Squid、Apache+SSL、Radius以及Oracle for Linux 數(shù)據(jù)庫管理系統(tǒng)，對(duì)應(yīng)用系統(tǒng)內(nèi)核進(jìn)行了改造，無版權(quán)爭(zhēng)議。系統(tǒng)采用統(tǒng)一的身份認(rèn)證與后臺(tái)數(shù)據(jù)庫，提供標(biāo)準(zhǔn)的web 界面及前臺(tái)管理；

44、系統(tǒng)采用網(wǎng)絡(luò)用戶預(yù)繳費(fèi)、使用中實(shí)時(shí)自動(dòng)扣費(fèi)的方式；系統(tǒng)有詳細(xì)自動(dòng)日志備份體系，可以保存全部用戶及主機(jī)信息以及全部用戶帳目及日志流水帳；用戶具有自我管理和自我服務(wù)功能通過網(wǎng)頁可以方便地修改自己的服務(wù)項(xiàng)目密碼，自行查詢自己詳細(xì)的費(fèi)用。網(wǎng)絡(luò)計(jì)費(fèi)服務(wù)器、郵件服務(wù)器、撥入計(jì)費(fèi)服務(wù)器、代理服務(wù)器和數(shù)據(jù)庫服務(wù)器都只是邏輯上的，在物理上，它們可以運(yùn)行在同一臺(tái)機(jī)器上，也可以運(yùn)行在不同的機(jī)器上。對(duì)小規(guī)模網(wǎng)絡(luò)，只用一臺(tái)PC 機(jī)即可實(shí)現(xiàn)全部功能。不同的用戶可根據(jù)需求及網(wǎng)絡(luò)規(guī)模來決定相應(yīng)的配置。第四章 網(wǎng)絡(luò)的綜合布線系統(tǒng)4.1 綜合布線標(biāo)準(zhǔn)所謂綜合布線系統(tǒng)，是指按標(biāo)準(zhǔn)的、統(tǒng)一的和簡(jiǎn)單的結(jié)構(gòu)化方式規(guī)劃和布置各種建筑物（或

45、建筑群）內(nèi)各種系統(tǒng)的通信線咱，包括網(wǎng)絡(luò)系統(tǒng)、電話系統(tǒng)、監(jiān)控系統(tǒng)、電源系統(tǒng)和照明系統(tǒng)等。因此，綜合布線系統(tǒng)是一種標(biāo)準(zhǔn)通用的信息傳輸系統(tǒng)。標(biāo)準(zhǔn)化組織:l 北美的標(biāo)準(zhǔn)EIA/TIA568Al 國(guó)際ISO標(biāo)準(zhǔn)，即ISO/IEC11801l IEEE802.3 100/1000Base-T、100Base-Fl IEEE802.5 TokenRingl 中國(guó)建筑電信設(shè)計(jì)規(guī)范l 工業(yè)企業(yè)通信設(shè)計(jì)規(guī)范4.2設(shè)計(jì)范圍及要求設(shè)計(jì)目標(biāo)的確定我們?yōu)樵撈髽I(yè)網(wǎng)絡(luò)設(shè)計(jì)的綜合布線系統(tǒng)將基于以下目標(biāo)：1.符合當(dāng)前和長(zhǎng)遠(yuǎn)的信息傳輸要求。2.布線系統(tǒng)設(shè)計(jì)遵從國(guó)際（ISO/CEI11801）標(biāo)準(zhǔn)。3.布線系統(tǒng)采用國(guó)際標(biāo)準(zhǔn)建議的星形

46、拓?fù)浣Y(jié)構(gòu)。4.考慮網(wǎng)絡(luò)連接到桌面的速度100Mbps，網(wǎng)絡(luò)主干信息傳輸向1000兆發(fā)展的需要。5.布線系統(tǒng)的信息出口采用國(guó)際標(biāo)準(zhǔn)的RJ45插座。6.布線系統(tǒng)符合綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)的要求。7.布線系統(tǒng)要立足開放原則。4.3布線的實(shí)施系統(tǒng)結(jié)構(gòu),根據(jù)企業(yè)的具體情況，采用以下方案：采用集中結(jié)構(gòu)，整個(gè)辦公區(qū)的所有雙絞線都拉到機(jī)房中。 雙絞線直接端接在機(jī)柜內(nèi)的模塊化配線架上。材料選型,考慮到主干網(wǎng)絡(luò)采用千兆以太網(wǎng)的要求,所以,方案中網(wǎng)絡(luò)選用超5類雙絞線。布線要求,布線標(biāo)準(zhǔn)選用超5類線產(chǎn)品，每個(gè)工作位是一個(gè)雙孔插座：一個(gè)電腦插座，一個(gè)電話插座(個(gè)別工作站設(shè)雙語音插口)。機(jī)柜端采用朗訊48口模塊式配線架。電話與電

47、腦可任意互換。布線系統(tǒng)管槽設(shè)計(jì)管線鋪設(shè)建議：1.由于安裝的是非屏蔽雙絞線，對(duì)接地要求不高，建議在與機(jī)柜相連的主線槽處接地。 2.本區(qū)域需要線槽的規(guī)格是這樣來確定的：線槽的橫截面積留40%的富余量以備擴(kuò)充, 超5類雙絞線的橫截面積為0.3平方厘米。 3.線槽安裝時(shí),應(yīng)注意與強(qiáng)電線槽的隔離。布線系統(tǒng)應(yīng)避免與強(qiáng)電線路在無屏蔽、距離小于20cm情況下平行走3米以上。如果無法避免，該段線槽需采取屏蔽隔離措施。 4.進(jìn)入家具的電纜管線由最近的吊頂線槽沿隔墻下到地面，并從地面鏜槽埋管到家具隔斷下。 5.管槽過渡、接口不應(yīng)該有毛刺，線槽過渡要平滑。 6.線管超過兩個(gè)彎頭必須留分線盒。7.墻裝底盒安裝應(yīng)該距地面

48、30厘米以上，并與其他底盒保持等高、平行。 8.線管采用鍍鋅薄壁鋼管或PVC管。工作區(qū)子系統(tǒng)由終端設(shè)備連接到信息插座的連線，以及信息插座所組成。信息點(diǎn)由標(biāo)準(zhǔn)RJ45插座構(gòu)成。信息點(diǎn)數(shù)量應(yīng)根據(jù)工作區(qū)的實(shí)際功能及需求確定，并預(yù)留適當(dāng)數(shù)量的冗余。例：對(duì)于一個(gè)辦公區(qū)內(nèi)的每個(gè)辦公點(diǎn)可配置23個(gè)信息點(diǎn)，此外應(yīng)為此辦公區(qū)配置35個(gè)專用信息點(diǎn)用于工作組服務(wù)器、網(wǎng)絡(luò)打印機(jī)、傳真機(jī)、視頻會(huì)議等等。若此辦公區(qū)為商務(wù)應(yīng)用則信息點(diǎn)的帶寬為100M可滿足要求；若此辦公區(qū)為技術(shù)開發(fā)應(yīng)用則每個(gè)信息點(diǎn)應(yīng)為交換式100M甚至是光纖信息點(diǎn)。工作區(qū)的終端設(shè)備（如：電話機(jī)、傳真機(jī)）可用康寧公司FutureCom超五類或六類雙絞線直接與

49、工作區(qū)內(nèi)的每一個(gè)信息插座相連接，或用適配器（如ISDN終端設(shè)備）、平衡/非平衡轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換連接到信息插座上。水平子系統(tǒng)主要是實(shí)現(xiàn)信息插座和管理子系統(tǒng)，即中間配線架（IDF）間的連接。水平子系統(tǒng)指定的拓?fù)浣Y(jié)構(gòu)為星形拓?fù)?。水平干線的設(shè)計(jì)包括水平子系統(tǒng)的傳輸介質(zhì)與部件集成。選擇水平子系統(tǒng)的線纜，要根據(jù)建筑物內(nèi)具體信息點(diǎn)的類型、容量、帶寬和傳輸速率來確定。在水平子系統(tǒng)中推薦采用的雙絞電纜及光纖型號(hào)為: 康寧公司FutureCom超五類或六類非屏蔽雙絞線, FutureLink室內(nèi)單?；蚨嗄９饫w。雙絞線水平布線鏈路中，水平電纜的最大長(zhǎng)度為90m。若使用100UTP雙絞線作為水平子系統(tǒng)的線纜，可根據(jù)信息

50、點(diǎn)類型的不同采用不同類型的電纜，例如對(duì)于語音信息點(diǎn)和數(shù)據(jù)信息點(diǎn)可采用FutureCom超五類或六類雙絞線，甚至使用FutureLink光纜；對(duì)于電磁干擾嚴(yán)重的場(chǎng)合應(yīng)盡量采用康寧公司FutureCom六類屏蔽雙絞線。但是從系統(tǒng)的兼容性和信息點(diǎn)的靈活互換性角度出發(fā)，建議水平子系統(tǒng)采用同一種布線材料。管理子系統(tǒng)由互連和輸入/輸出組成，實(shí)現(xiàn)配線管理，為連接其它子系統(tǒng)提供手段。包括配線架、跳線設(shè)備及光配線架等組成設(shè)備。設(shè)計(jì)管理子系統(tǒng)時(shí),必需了解線路的基本設(shè)計(jì)原理,合理配置各子系統(tǒng)的部件?？祵幑镜腖ANscape綜合布線解決方案擁有搭配科學(xué)、管理簡(jiǎn)便的成套產(chǎn)品用于管理子系統(tǒng)。干線子系統(tǒng)指提供建筑物的主干

51、電纜的路由，是實(shí)現(xiàn)主配線架與中間配線架，計(jì)算機(jī)、PBX、控制中心與各管理子系統(tǒng)間的連接。干線傳輸電纜的設(shè)計(jì)必須既滿足當(dāng)前的需要,又適應(yīng)今后的發(fā)展。干線子系統(tǒng)布線走向應(yīng)選擇干線線纜最短、最安全和最經(jīng)濟(jì)的路由。干線子系統(tǒng)在系統(tǒng)設(shè)計(jì)施工時(shí)，應(yīng)預(yù)留一定的線纜做冗余信道，這點(diǎn)對(duì)于綜合布線系統(tǒng)的可擴(kuò)展性和可靠性來說是十分重要的。干線子系統(tǒng)可以使用的線纜主要有：HAY三類大對(duì)數(shù)電纜；FutureCom超五類或六類雙絞線；FutureLink室內(nèi)單?；蚨嗄９饫w。超五類雙絞線可以支持1000BASET，但如要求支持1000BASETX則必須使用六類雙絞線。如果已安裝的電纜僅滿足5類線標(biāo)準(zhǔn)(1995)，那么在連接1000BASET設(shè)備之前，應(yīng)對(duì)布線系統(tǒng)按照新增加的布線參數(shù)（如：回波損耗，等級(jí)遠(yuǎn)端串?dāng)_（ELFEXT），傳播延遲和延時(shí)畸變等）進(jìn)行測(cè)量和認(rèn)證。設(shè)備間子系統(tǒng)由設(shè)備室的電纜、連接器和相關(guān)支持硬件組成，把各種公用系統(tǒng)設(shè)備互連起來。設(shè)備間的主要設(shè)備有數(shù)字程控交換機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、服務(wù)器、樓宇自控設(shè)備