学校智能化校园方案

智能化校园总体设计 第一部分智能化校园总体规划 2第1章智能化校园总体建设目标 2 21.1.1工程概况 21.1.2功能区域划分 21.1.3用户角色分析 1.2智能化校园建设综述 51.2.1智能化校园的含义 1.2.2智能化校园建设的意义 51.2.3智能化校园建设的特点 61.3智能化校园整体建设目标 61.3.1总体建设指导思想 61.3.2智能化校园的建设目标 81.4智能化校园的实施过程 91.4.1智能化校园的建设原则 91.4.2智能化校园建设步骤 91.4.3规范化实施 1.5设计标准规范及原则 1.5.1设计标准和规范 1.5.2设计规划原则 第2章智能化校园总体设计说明 2.1辽宁营口育才学校智能化系统总体结构 2.2各系统设计方案总体介绍 2.2.1结构化综合布线系统 2.2.2计算机网络系统 2.2.3安全防范系统 2.2.4多媒体会议系统 2.2.5大屏幕及触摸屏查询系统 2.2.6卫星接收及有线电视系统 2.2.7背景音乐及紧急广播系统 2.2.8多媒体教学系统 I/286文档可自由编辑打印2.2.9校园一卡通服务系统 202.2.10机房工程系统 202.2.11校园语音通讯系统 212.2.12停车场管理系统 212.2.13校园弱电管网系统 21第二部分智能化校园各子系统设计内容 22第1章结构化综合布线系统 1.1系统概述 221.2产品选型 221.3系统设计原则 231.4系统设计依据 231.5项目需求分析 241.6系统设计说明 251.6.1布线系统结构说明 251.6.2工作区子系统设计说明 271.6.3水平子系统设计说明 1.6.4垂直干线子系统设计说明 1.6.5管理间子系统设计说明 1.6.6设备间子系统设计说明 1.6.7建筑群子系统设计说明 1.6.8系统冗余 第2章计算机网络系统 352.1系统概述 2.1.1建设目标 2.2需求分析 2.2.1用户角色分析 2.2.2数据流量分析 2.3系统总体设计 2.3.1网络拓扑结构 2.3.2主干链路 2.3.3IPV4网络与IPV6网络技术选择 412.3.4多层交换 472.3.5路由选择策略 472.3.6网络地址规划 482.3.7无线接入网络设计 49 49 492.3.10组播策略 2.3.11高速缓存 2.3.12冗余技术 2.3.13负载均衡 2.3.14网络安全 2.3.15网络管理 Ⅱ/286文档可自由编辑打印2.3.16网络计费 2.4系统详细设计 2.4.1网络拓扑结构图 2.4.2核心主干交换机 582.4.3汇聚层交换机 2.4.4接入层交换机 2.4.5虚拟网(VLAN) 2.4.6无线网络 2.4.7广域网连接 2.4.8网络安全设计 2.4.9高速缓存 2.4.10网络管理 2.4.11网络计费 2.5网络安全系统设计 2.5.1网络安全总体设计的目标与原则 2.5.2网络安全分析 2.5.3设计目标 2.5.4网络安全模型与体系结构 2.5.5技术路线 2.5.6安全扫描系统 2.5.7入侵检测系统 2.5.8防火墙系统 2.5.9流量控制系统 第3章校园语音通讯系统 3.1系统概述 3.1.1建设目标 3.2系统规划设计 3.2.1委托电信运营商运营电话系统的必要性 3.2.2委托电信运营商运营电话系统的可行性 3.2.3信号增强系统应用范围及特点 3.2.4系统示意图 3.2.5拨号规则 第4章多媒体教学系统 4.1系统概述 4.2建设目标 4.3需求分析 4.4系统总体规划 4.4.1多媒体教学系统总体结构 4.4.2教室多媒体教学系统 4.4.3多媒体教学管理中心 4.5系统总体设计 4.5.1多媒体教学应用环境总体设计 4.5.2网络中央控制系统设计 Ⅲ/286文档可自由编辑打印4.5.3多媒体教学应用设计 4.6软硬件核心设备介绍 4.6.1嵌入式网络中央控制器(MCL-IIK) 4.6.2节目源编码器(AVC3000S) 4.6.3多画面数字分割器(AVC01D) 4.6.4多媒体中控讲台 4.6.5多媒体教学软件平台 第5章大屏幕及触摸屏查询系统 5.1LED大屏幕显示系统 5.1.1系统概述 5.1.2系统需求 5.1.4系统设备介绍 5.2触摸屏查询系统 5.2.1系统概述 5.2.2系统需求 5.2.3系统设计 第6章多媒体会议系统 6.1系统概述 6.2系统设计原则 6.3系统需求分析 6.3.1系统设计依据 6.3.2设计思路 6.3.3系统建设范围 6.4系统设计 6.4.1系统组成 6.4.2厅堂声学设计 6.5系统总体设计 6.5.1大会议室 6.5.2小会议室 第7章校园一卡通系统 7.1系统概述 7.2用户需求分析 7.2.1应用功能分析 7.2.2用户角色分析 7.3系统可行性分析 7.3.1技术可行性分析 7.4建设目标 7.5系统总体设计 7.5.1系统拓扑图 7.5.2软件接口 7.5.3系统总体架构 7.5.4基本流程图 IV/286文档可自由编辑打印 7.5.6卡的技术选型 7.5.7用户权限设计 7.5.8传输带宽设计 7.5.9系统安全设计 7.6系统功能说明 7.6.1校园卡管理中心子系统 7.6.2校园卡结算中心子系统 7.6.3校园综合查询子系统 7.6.4校园消费管理子系统 7.6.5考勤门禁管理子系统 7.6.6校园自助控水管理系统 7.6.7图书馆管理子系统 7.6.8水电表管理系统 7.6.9校园卡一银行卡转帐系统 第8章安全防范系统 8.1系统概述 8.2系统防范目标 8.2.1防范目标 8.2.2防范对象 8.2.3安全区域及措施 8.2.4系统功能分析 8.3安防系统设计规划 8.3.2系统组成 8.4系统规划设计 8.4.1闭路电视监控子系统 8.4.2入侵报警子系统 8.4.3电子巡更系统 8.5系统联动模式设计 8.6系统产品介绍 8.6.1闭路监控系统设备介绍 8.6.2入侵报警系统设备介绍 8.6.3电子巡更系统设备介绍 第9章卫星及有线电视系统 9.1系统概述 9.2系统需求 9.3设计原则 9.4.1总体设计思想 9.4.2详细设计说明 9.4.3系统选择 9.4.4系统设备介绍 V/286文档可自由编辑打印第10章校园广播及背景音乐系统 10.1系统概述 10.2系统需求 10.3设计原则 10.4系统设计 10.4.1设计思路 10.4.2系统选择 10.4.3系统组成 10.4.4系统设计说明 10.4.5系统设备介绍 203第11章机房工程 20711.1系统概述 20711.2系统工程范围 20711.2.1系统工程范围 20711.2.2各机房工程内容 20811.3总体设计原则 20911.4设计规范及依据 20911.5机房环境设计目标 21011.6系统设计说明 21111.6.1设计思想 21111.6.2设计宗旨 21111.6.3机房整体规划 21211.6.4内装修设计 21511.6.5电气部分 21811.6.6防雷系统 22511.6.7接地系统 22711.6.8空调系统 22911.6.9通风系统 23211.6.10综合布线系统 23311.6.11环境集中监控系统 23411.6.12消防系统 24111.6.13KVM服务器集中管控系统 246第12章停车场管理系统 25412.1系统概述 254 25412.2.1用户需求 25412.2.2对用户需求的理解 25412.3设计原则 25512.4设计依据 25612.5系统设计 25712.5.1系统设计说明 25712.5.2系统构架示意图 25712.5.3系统组成 258VI/286文档可自由编辑打印12.5.4系统工作流程 25812.5.5系统功能 26112.5.6系统基本特点 26412.6设备选型 26512.7系统优化建议 265第13章弱电管网系统 26613.1系统概述 26613.2用户需求 26613.3系统设计 26713.3.1设计依据和规范 26713.3.2设计要点说明 26713.3.3综合管路系统设计的主要要求 26713.3.4综合管路系统设计中的技术要点 26813.4系统施工工序及方法 26913.4.1管路施工 26913.4.2线槽安装 271第三部分智能化校园项目实施与保障 273第14章智能化校园项目实施规划 27314.1智能化校园建设规划 27314.1.1智能化校园分期分步建设规划 273第15章智能化校园系统管理的机构与机制 27515.1项目实施的组织与领导体制 27515.2人才队伍建设规划 27515.2.1人才队伍建设指导思想 27515.2.2人才队伍建设方式 27515.2.3人才队伍建设保障 27615.3运行管理与维护机制 27615.3.1制定详细的工作规范 27615.3.2记录维护日志 27715.3.3定期工作讨论 27715.3.4监督制度的完善 27715.4运行管理与维护规范 277 279VⅡ/286文档可自由编辑打印1/286文档可自由编辑打印第一部分智能化校园总体规划第1章智能化校园总体建设目标概述。总用地面积549000平方米；建筑规模为在校生100目前建筑包括：教学楼A区，教学楼B区，实训楼3栋，宿舍楼1#-5#共5栋，办公楼1栋，食堂建筑1栋，图研中心建筑1栋，作为新建的校区，辽宁营口育才学校龙湖校1.1.2功能区域划分功能区域的划分是总体需求分析阶段的重要工作，目的是；●便于后续各子系统详细需求分析，根据不同的主体区域确定布点原则、系统2.多媒体教室区域；2/286文档可自由编辑打印报告厅或会议室的控制室、广播主呼叫站(可能在校宣传部)等。1.1.3用户角色分析用户角色的分析同样是系统需求分析的重要内容，是系统设计中使用对象的界定和基础，整个智能化校园的系统建设的成功关键在于是否尽可能满足各种角色在校园内的各种功能需要。校园的用户角色可以归纳为以下主要几种类型：3/286文档可自由编辑打印4/286文档可自由编辑打印智能化校园建设综述1.1.4智能化校园的含义1.1.5智能化校园建设的意义5/286文档可自由编辑打印讨论而展开，与有关的项目和课题(不一定是正规的科研项目)结合起来，学生可以利用1.1.6智能化校园建设的特点智能化校园整体建设目标1.夯实基础6/286文档可自由编辑打印2.构建平台为了建成一个完整统一、技术先进、高效稳定、安全可靠的基于Inte和事故监控与网络安全保密等技术措施提高整个智能化校园计算机网络及应用系统的安3.创建教学新模式系统、网络在线教育系统(E-Learning),为校园提供全新的教学手段和模式，突破了教4.完善校园服务6.数据集中7/286文档可自由编辑打印信息安全体派怀准规范体亲1.1.8智能化校园的建设目标信息安全体派怀准规范体亲智能化校园整体应用功能建设的体系构架如下如所示：信息眼务/决策支持信息眼务/决策支持信息发前系统WEBFPPEUAH应用服务流媒体服务类系文自数据师目尔加务地理信息数据仓库SolnrisAINLGnugwindows:Sarver2000/2003树比证印取务基/主机网路设名存础设态性区顺务地子商务视题点想校园一卡通数字倒书的斯识额理疑抑实版室教学支持通粗教有档案钟理设备管理时务的到人事管理料研管理教务的理办公制动化应用支挥平合全其文操中的基性通务牛中基础设施州面生成系统岸内数据填成数据重计系统通用工作流报表聚窥消息中心智能化校园建设主要包括六个方面的内容：●基础建设：包括网络、主机等基础网络硬件、操作系统，是智能化校园建设●应用支撑平台：包括公共服务平台和公共管理工具，是智能化校园的信息传输中间平台；●应用系统：包括教学、科研、管理等方面的管理信息系统和业务系统，是智能化校园的核心；●个性化门户：包括组织级信息门户和个人工作平台，为用户提供与其身份相对应的个性化信息与服务是智能化校园的门面；●信息安全体系：包括系统安全、信息安全、安全管理、安全审计等，是保障8/286文档可自由编辑打印●标准规范体系：包括管理规范、实施规范、维护规范等，是智能化校园的实施过程1.1.9智能化校园的建设原则●师资培训是关键：数字化学校的教育系统的功能能否得到充分发挥，师资队伍的信息化素质，因此要采取措施对他们进行强化培训，使他们不但能够掌握使用信息技术的一般技能，还要懂的任何有效利用网上信息资源和●政策配套是保障：在学校中发展网上教育，必须要有相应的配套政策，包括使用收费政策，绩效奖励政策等，对于积极投入信息化教育者，应该有较大1.1.10智能化校园建设步骤护改进等过程，并且是周而复始不断改进，不断提高的过程，可以用下图说明9/286文档可自由编辑打印口新需求10/286文档可自由编辑打印(1)统一标准与自定标准相结合(2)信息系统结构柔性化，提高环境适应性2.规范化的工作内容●建立采购标准和规范设计标准规范及原则11/286文档可自由编辑打印1.1.13设计规划原则在整个智能化校园(或称智能化系统)的规划过程中，始终遵循以下原则：12/286文档可自由编辑打印●本项目设计档次总体上应达到标志性高校的原则。●弱电系统设计应遵循全面规划和分步实施的原则，应考虑全面和周到，注意●应充分考虑本项目整体弱电系统所涉及的各个子系统的集成和信息共享，保证弱电系统总体结构的先进性、合理性、可扩展型性和兼容性，可以集成不4.标准化和模块结构化●除了系统的设计依照国家和地区的有关标准外。还须根据本项目弱电系统总体结构的要求，各个子系统必须结构化和标准化，并综合体现处当今的先进5.便利性●应能够适应多功能的要求，讲究便利性和舒适性，达到提高工作效率、节省为校园内人员提供最有效的信息服务和一个高效、舒适、便利和安全的办公13/286文档可自由编辑打印●本项目的弱电系统必须具有极高的安全性，可靠性和容错性。14/286文档可自由编辑打印第2章智能化校园总体设计说明辽宁营口育才学校智能化系统总体结构根据我们对大学的校区了解和对学校功能需求的分析，我们认为一个比较成熟的大学校园智能化系统至少包括下面五大部分共21个子系统。数字图书馆系集数字图书馆系集校园信息综合管理系健建就集成管理养统合给息门户系貌卡通服务系统多蝗体会说系使信总导航查询及公害服务系陕网络在妓數育系统多粗体教学系貌偏息系统支择平位网络系座精构化熔合布城系横群电政阿系经备保护指填机房工程程抄表系繞校园语母通讯参性的线电视率狭背量音乐及紧急广播系统演全防花系佛楼事设备管理自动化系绩台部分校回基磁转电部分校医多浆体教学部分校园应用管理部分部分根据本次招标文件的精神，我们采取分步实施的方式来构建辽宁营口育才学校的智能化系统。本次设计着重对招标书中的相关系统进行了设计和说明。各系统设计方案总体介绍本次设计的内容主要包括如下子系统；1、结构化综合布线系统3、安全防范系统4、多功能会议系统5、大屏幕及多媒体查询系统(LED显示和触摸屏查询系统)6、有线电视系统7、校园背景音乐与紧急广播系统15/286文档可自由编辑打印辽宁营口育才学校校园计算机网络系统(校园网)是“数字化校园”的运行平台，是16/286文档可自由编辑打印核心层：位于网络中心机房，采用万兆路由交换设备，管理全校区的网络，采用汇聚层：位于各单体建筑的主配线间，负责管理建筑内的数据点●闭路电视监控系统本系统设计强调以下几个方面：1、考虑到校区面积较大，建议在每个建筑单体的值班室设置安保分控中心，以便于17/286文档可自由编辑打印2.1.4多媒体会议系统在校园的报告厅、会议室等处，建立电子会议系统，完成以下功能：●发言讨论/表决系统●投影显示系统●会议摄像记录系统●中央控制系统●视频会议系统应预留在不同类型的会议室根据其定位设置不同的功能构成。2.1.5大屏幕及触摸屏查询系统通过多媒体视频控制技术和VGA同步技术，将多种形式的视频信息源，如广播电视和卫星电视信号、摄像视频信号、录像机VCD视频信号、DVD、计算机动画信息等，引入计算机网络系统，以计算机为控制和处理中心，将节目的制作、编排、播放等各项功能有机的结合在一起，实现图文信息发布、广告、视频图像的播放、信息查询等。信息查询及公告控制中心设在安防监控室内。教学楼A区一层LED显示屏教学楼B区一层LED显示屏实训楼一层2块LED显示屏机电办公楼一层LED显示屏食堂一层LED显示屏教学楼触摸屏查询系统4套机电办公楼触摸屏查询系统1套详细设计见“大屏幕及多媒体查询系统”部分。2.1.6卫星接收及有线电视系统本系统为校园提供电视节目接收服务功能，同时为双向传输提供基础，系统设计建议如下：18/286文档可自由编辑打印●自办节目设置多个频道，包括导航服务功能专用频道等。1.日常广播功能消防紧急广播和日常广播共用一套系统。系统设计主要考虑以下方面：2.1.8多媒体教学系统制的双重方式，可以和校园网相连或接受远程网管，也可以为独立的中控系统使用。实现正规课堂教学及多媒体教学集中管理，其实施范围包括教学楼所有教室和实训楼所有教●扩声系统19/286文档可自由编辑打印●图书借阅管理●购物消费服务2.1.10机房工程系统●电气工程(接地、防雷、照明、空调等)●供配电20/286文档可自由编辑打印该系统用于实现校区内普通语音通讯和数字语音通讯服务。提供廉价的数字语音服停车场管理系统中心初步设在安防中心。2.1.13校园弱电管网系统21/286文档可自由编辑打印第1章结构化综合布线系统系统概述辽宁营口育才学校位于新郑市龙湖镇机场路南、新郑公路西。总用地面积549000平方米；建筑规模为在校生10000人，建筑面积260000平方米。目前建筑包括：教学楼A区，教学楼B区，实训楼3栋，宿舍楼1#-5#共5栋，办公楼1栋，食堂建筑1栋，图研中心建筑1栋。充分保证计算机网络的高速、可靠的传输要求并实现数字化、网络化、无阻塞信息传输产品选型22/286文档可自由编辑打印德特威勒公司的建筑物结构化综合布线系统所使用元件是基于标准的组合与标准的系统设计原则●可靠性——利用容错设计，尽可能减少系统中断系统设计依据23/286文档可自由编辑打印●中华人民共和国建筑物综合布线标准《综合布线系统设计规范》●中华人民共和国建筑物综合布线标准《综合布线系统验收规范》PLANT-OFSTP-14A●中国建筑电气设计规范●工业企业通信设计规范项目需求分析以支撑它的多种的上层应用，而结构化综合布线系统(下面简称PDS系统)作为数据传24/286文档可自由编辑打印前的发展情况，结合学校以后一段时间内的需求，我们采用六类非屏蔽布线统来构建整个新校区的语音与数据传输平台。6类系统是目前综合布线产品当中技术先进，并且已经有国际统一认定标准，技术相对成熟的产品，可以保证用户建成的系统在系统设计说明楼B区，实训楼3栋，宿舍楼1#-5#共5栋，办公楼1栋，食堂建筑1栋，图研中心建筑25/286文档可自由编辑打印缆与1#--5#宿舍楼、机电办公楼、图书馆后勤楼及教学楼相连。构建一个星型结构，图1-1综合布线系统结构26/286文档可自由编辑打印楼层1.1.2工作区子系统设计说明(1)确定信息插座的位置和数量。对于一个数字化校园来说，由于其各房间功能定位不同，信息点的设置也不尽相同，我们对整个校区的建筑进行了仔细的统计，将整个校区建筑划分为以下几种情况：●普通教室：每间教室设置1个语音点，1个数据点；●计算机教室和仿真实验室：预留一根光纤，布设一个语音点●普通实验室：每个实验室考虑设置1个语音点，2个数据点；●普通办公室：按面积估计信息点数量，每10m²设置2个语音点，2个数据点；●领导办公室：每间办公室设置2个语音点，2个数据点；●普通会议室：每间小会议室考虑设置2个语音点，2个数据点，大会议室考虑设置2个语音点，4个数据点；●多媒体会议室：敷设一路四芯光缆(信息点),2个语音点；●各建筑及门厅：直接将电源、电话、信息终端预留到位，以备安装多媒体显示屏、取款机、自动售货机的设备，考虑设置2个语音点，4个数据点；●学生作业展示区：一般考虑1个语音点，2个数据点；●休息室：仅考虑设置1个语音点；●公用电话：在室外还需设置一定数量的语音点，用于安装公用电话。●其他辅助用房：将按功能的不同设置信息点。●学生宿舍数据点考虑按就寝人数来定，一般考虑1个语音点、1个数据点根据图纸经初步统计，各楼点位情况如下表，明显满足不了需求，将在深化时按照上述的布点原则进行优化：学生宿舍1#、2#、3#、4#楼学生宿舍5#楼楼层楼层楼层27/286文档可自由编辑打印教学楼A区1#井楼层0022444444教学楼B区1#井楼层0022444444实训楼1楼层944444实训楼3楼层44745444教学楼A区2#井楼层00002教学楼B区2#井楼层00002实训楼2楼层44444食堂楼层后勤楼楼层28/286文档可自由编辑打印44(2)根据用户实际使用需求，考虑到将来办公区内的布局和人员的调整，将部分水平线缆预留1米在办公室的墙壁内。(3)本系统全部采用六类非屏蔽信息模块，便于语音和数据互换。用户的终端设备MMM——表示插座的序号，如：楼层为第2层23号插座表示为“2F-023”。(5)信息插座的布局较小的办公间一般不需要分隔板，信息插座只需要安装于墙上。按每8～20安装一个双孔RJ45埋入式插座，其旁边20cm外安装一个三线单相电源插座，信息图1-2办公间信息插座的墙上法示意图29/286文档可自由编辑打印1.1.3水平子系统设计说明(1)所有建筑物内水平区线缆：语音和数据均采用六类非屏蔽双绞线，它可以支持(2)任何系统的改变(如增减用户、用户地址改变等)都不影响整个系统的运行，(3)每一个信息插座到管理间都用水平线缆连接。从管理间出来的每一根4对双绞(4)水平线缆用量的计算方法：◆线缆箱数=信息点÷每箱可布线缆根数◆每箱可布线缆根数=每箱长度÷水平线缆平均长度◆水平线缆平均长度=[(MAX距离+MIN距离)÷2]×1.15+端接冗余(6m,(5)水平布线通道有地下管道和电缆桥架两种方式。电缆桥架方式示意图用电缆桥架方式，电缆将从各层配线间出发，经吊顶内的线槽到各房间附近，再沿房间墙壁内的管道至信息插座安装暗盒。而对于部分不使用吊顶的区域，水平线可考虑采用以下方式安装30/286文档可自由编辑打印(1)数据主干：在每一配线间敷设一根6芯室内多模光缆作为各管理间到设备间的垂直线长度=(配线架层次*层高十线缆至配线间距离十端接容限)*每层需要的根31/286文档可自由编辑打印垂直线槽示意图1.1.5管理间子系统设计说明管理子系统是指干线接线间的分配线架(IDF),由交叉连接的端接硬件及快接式跳线等组成，以实现对信息点的灵活管理。根据楼内的信息点位置和建筑结构，为满足水平线缆长度不超过90米的基础上，我们建议在每层设置1--2个管理间子系统，配线间负责管理本楼层连接到本配线间的信息点。(1)由于单体建筑数据干线采用6芯室内多模光缆，因此，在配线间内需要设光纤管理场，选用19英寸机架式光纤配线架等标准光纤连接单元对光纤进行端接和管理。每一芯多模光纤将端接在ST光纤接头上，再插进光纤接头耦合器，利用光纤跳线与光端设备连接。光纤与光端设备之间的连接采用光纤跳线实现。(2)建议每一管理间采用六类24口配线架与50对110配线架与水平线缆端接，24口配线架连接数据水平线。50对110配线架连接语音水平线缆和大对数电缆，系统提供最大灵活性。32/286文档可自由编辑打印1.1.6设备间子系统设计说明设备间子系统由数据主配线设备(19”24口光纤配线架、24口配线架、)和语音主配线设备50对110架及相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。该子系统通过从水平子系统中发送过来的水平、垂直电缆分别对大楼各信息点进行跳线管理。本项目主设备间设在地下一层的电话机房。设备间子系统所有设备均安装在19”标准落地机柜中。机柜上安装多个24口配线架、24口光纤配线架，以方便线路的跳接，并留有足够的空间，可以安装用户网络集线器设备。该机柜正面安装玻璃门，使管理人员能够在不打开机柜的时候就可以看清面板上的跳线情况，看到网络设备的工作状态。由于机柜为全封闭型，使所有线缆(大对数双绞线和跳线)均被封闭在机柜内，无关人员不可能接触到布线系统，使系统的可靠性得到了极大的提高。为了在设备间内建立一个经过仔细调节的、安全而又得到保护的环境，建议要作到以之间，相对湿度保持在30%至55%(需要采用非冷凝型空调),而且每周7天，每天24小时均是如此要求。●保持室内无尘，通风良好，亮度至少达到30英尺烛光。●安装合适的符合法规要求的消防系统。(如果采用湿型消防系统，不要把喷洒头直接对准电子装置。●使用防火门、至少能耐火1小时的防火墙(从地板到天花板)和阻燃漆。●提供合适的门锁，至少有一扇窗留作安全出口。●提供离地板至少2.55米高度的无障碍的空间，门的大小至少为高2.1mX宽90cm,地板的载重能力至少为500Kg/m2。1.1.7建筑群子系统设计说明以实训楼为校区网络中心，网络中心与各个单体建筑用室外多模万兆光缆连接。采用双链路冗余备份。建筑群子系统结构图如下；33/286文档可自由编辑打印教学楼教学楼A区光奸配线架oHc00Q110配线架2#宿舍楼光奸配线架实训楼数据语音中心光奸配线架RRRlCXF110配线架机电办公楼光纤配线架oaXJa110配线架AoXo110配线架食堂和后勤楼光奸配线架#5#宿舍楼光奸配线架110配线架3#宿舍楼光奸配线架1#宿舍楼光奸配线架AGOO教学楼B区oaaxaax4#宿舍楼光奸配线架bN@&为了将来拓展的主干网络带宽的需要，主干光缆采用12芯多模光缆。整个主干光缆以实训楼为校区话务中心，话务中心与各个单体建筑考虑采用室外三类100对大对数1.1.8系统冗余一个好的PDS系统不但需要考虑到未来20年内的各种应用的增加，而且要保证系统的可靠性、安全性，因此必需对系统主干冗余做出充分的考虑。34/286文档可自由编辑打印第2章计算机网络系统系统概述校园计算机网络系统(校园网)是“数字化校园”的运行平台，是校园教学、科研和管理系统、网络多媒体教学系统、校园卡等应用系统不可缺少支撑环境。是实现校内外资源共享、互相交流的重要途径。校园网的建设关乎未来各类应用的运行。所以建立一个适合各类业务的、兼容性好、可扩展的综合传输平台非常重要。2.1.1建设目标辽宁营口育才学校校园网络建设目标可归纳如下：●面向校园的开放服务网；●支持策略路由●访问控制列表功能对用户数据进行过滤●流量限速及流量管理；●采用主流技术，保证若干年内的先进性；●网管系统应实现故障管理、配置管理、计费管理、性能管理、安全管理，带宽管理，服务质量等相应功能；●建立IDC存储中心提供数据交换服务；●网络系统能够提供必要的QoS服务，保证语音、视频等关键业务能够在主干上顺利传送，并保证相关应用的稳定性。●要充分考虑与中国教育科研网IPV6试验网CERNET-2互连的扩展性。通过采用先进成熟的网络技术，比如万兆以太网链路主干技术、Sflow流量监控技术，建设一个技术起点高、安全可靠、可管理性与可维护性强、可扩展性好，提供综合、有特色的业务服务、有一定服务质量保证的宽带IP校园网络。35/286文档可自由编辑打印需求分析2.1.2用户角色分析访问Internet。其次，学校领导、教师、学校辅助人员还会使用校园内部的办公自动化应用分析在线教育(课程简介),校园办公自动化系统(OA),Internet资源的访问；●网络直播：教师授课的现场影像可以通过网络实时发送到各网络教学的功能。这些影像还可同时备存储下来，以便日后学生通过视频点流量(比如传统的访问WEB站点，电子邮件等)对网络带宽及Q0S要求均不高，但需要36/286文档可自由编辑打印可靠的传输。出现严重的丢帧，滞后等现象.由于该类型的流量对网络硬件要求比较高，总流量的20%,否则将导致网络性能骤降。利用率分析满配置吞吐量=满配置GE端口数×1.488Mbps,其中1个千兆端口在包长为64字节37/286文档可自由编辑打印网络的一般应用情况为：●20%左右的流量为本地使用系统总体设计2.1.4网络拓扑结构才学校提供内部信息传输、交换平台，并提供Internet出口及安全限制。把新校区建设1、网络分层设计大部分，构成了高性能园区网络的拓扑结构。核心层采用主干网络技术(主要通信和新的数据封装技术为核心的高速、大容量计算机网络通信技术),实现在网络之间2.网络拓扑结构38/286文档可自由编辑打印4.虚拟网划分对于校园网，合理划分虚拟网络(VLAN)十分关键。由于划分VLAN必须参照网络安及数据安全要求不尽相同，所以从内部网络的安全角度考虑，对于各部门之间应该划分2.1.5主干链路主干链路的要求●极强的可靠性要能有99.999%的可靠性。在整个网络当中，不能有任何的单●高性能网络对所支持的业务必须保证极高的可用性，必须是端到端的高性能●高安全性必须是端到端的具备良好安全性的解决方案。●易维护、管理性网络要能支持丰富的应用，要有高的可靠性，但一定要具有39/286文档可自由编辑打印较为简易的网络日常维护与管理的解决方案。●可扩展性保护用户投资，能平滑过渡到未来更先进的技术。主干链路的技术选型选用相应的宽带主干技术。目前，可供选择的成熟的主流园区宽带技术主要包括以下2种：●异步转移模式(ATM技术)——采用信元传输和交换技术，减少处理时延，ATM技术的最大问题是协议过于复杂和太多的信头开销，设备价高而速率有上限网，但在与以太网设备互连时，不能体现端到端服务质量，需要在以太网的数据格式和ATM的数据格式间进行转换，效率比较低；同时ATM由于技术复杂，采用ATM设备需要速率扩展有限，广泛采用的是155M,622MATM,太网相同的帧格式和帧大小，以及相同的CSMA/CD(带冲突检测的载波侦听多路访问)介质访问协议。这意味着广大的以太网用户(特别是校园网)可以对现有以太网进行平滑的很好，投资的利用率较高。千兆以太网标准IEEE802.3z早已经通过，各主要网络厂商已40/286文档可自由编辑打印和技术的长处，这些决定了千兆以太网在目前汇聚层设备到核心层设备之间被广为应用。层(物理层)一致，它负责建立传输介质(光纤或铜线)和方式(如64B/66B)、串行或多路复用等功能组成。以利用Sonet/SDH平稳地通过广地址或网络地址翻译(NAT)等地址使用技术，在一定程度上缓解了IPv4地址不足的状况，IPv4地址即将被分配殆尽这个问题。采用长度为128bIP地址的IPv6协议，彻底解决41/286文档可自由编辑打印了IPv4地址不足的难题，并且在地址容量、安全性、网络管理、移动性以及服务质量等但他同所有其他的TCP/IP协议族中的协议兼容，即IPv6完全可以取代IPv4。中国第一个下一代互联网主干网——CERNET2试验网已正式宣布开通并提供服务。的全国高速传输网该试验网目前以2.5G的传输速率连在IPv6成为主流协议之前，首先使用IPv6协议栈的网络希望能与当前仍被IPv4支撑着的Internet进行正常通信，因此必须开发出IPv4/IPv6互通技术以保证IPv4能够目前解决过渡问题的基本技术主要有3种：双协议栈(RFC2893obsoleteRFC1933),隧道技术(RFC2893),NAT-PT(RFC2766)。器等通信节点。支持双协议栈的IPv6节点与IPv6节点互通时使用IPv6协议栈，与IPv4节点互通时借助于4over6使用IPv4协议栈。IPv6节点访问IPv4节点时，先向双栈服务器申请一个临时IPv4地址，同时从双栈服务器得到网关路由器的TEP(TunnelEndPoint)IPv6地址。IPv6节点在此基础上形成一个4over6的IP包，4over6包经过IPv6网网关路由器要记住IPv6源地址与IPv4临时地址的对应关系，以便反方向将IPv4节点发来的IP包转发到IPv6节点。采用双协议栈方式互通时的系统如图1所示：42/286文档可自由编辑打印双协议栈双协议栈地址服务器路由器图1采用双协议栈方式互通的系统构成这种方式对IPv4和IPv6提供了完全的兼容，但由于需要双路由基础设施，增加了网络的复杂度，依然无法解决IP地址耗尽的问题。(2)隧道技术(Tunnel)隧道技术提供了一种以现有IPv4路由体系来传递IPv6数据的方法：将IPv6包作为无结构意义的数据，封装在IPv4包中，被IPv4网络传输。根据建立方式的不同，隧道技术可分为手工配置隧道和自动配置隧道两类。隧道技术巧妙地利用了现有的IPv4网络，他的意义在于提供了一种使IPv6的节点间能够在过渡期间通信的方法，但他不能解决IPv6节点与IPv4节点间互通的问题。(3)NAT-PTNAT-PT是一种纯IPv6节点和IPv4节点间的互通方式，所有包括地址、协议在内的转换工作都由网络设备来完成。支持NAT-PT的网关路由器应具有IPv4地址池，在从IPv6向IPv4域中转发包时使用。此外网关路由器支持DNS-ALG(DNS,应用层网关),在IPv6节点访问IPv4节点时发挥作用。采用NAT-PT方式互通时的系统构成如图2所示。NAT-PT方式的优点是不需要进行IPv4,IPv6节点的升级改造，缺点是IPv4节点访问IPv6节点的实现方法比较复杂，网络设备进行协议转换、地址转换的处理开销较大，一般在其他互通方式无法使用的情况下使用。2.过渡期间IPv6和IPv4互通的解决方案过渡初期，Internet将由运行IPv4的“海洋”和运行IPv6的“小岛”组成，随着时间的推移，IPv4“海洋”将逐渐变小，而IPv6“小岛”将越来越多，最终彻底取代IPv4。在过渡期要解决的互通问题可分成2大类：第一类是解决IPv6“小岛”间的互通问题；第二类则解决IPv6“小岛”与IPv4“海洋”间互通的问题。(1)IPv6“小岛”之间的互通方式●手工配置隧道(ConfiguredTunnel)这种隧道是手工配置建立的，隧道的端点地址由配置决定，不需要为节点分配特殊的43/286文档可自由编辑打印IPv6地址，适用于经常通信的IPv6节点之间使用。每个隧道的封装节点●自动配置隧道(Auto-configuredTunnel)信的节点间使用。自动配置隧道需要节点采用IPv4兼容的IPv6地址(IPv4ADDR::/96),这些节点间必须有可用的IPv4连接，采用这种机制的节点需要有一个全球惟一的IPv4TunnelBroker是一种方便构造隧道的机制，可以简化隧道的配置过程，适用于单个主机获取IPv6连接的情况。TunnelBroker要求隧道的双方都支持双协议栈并有可用的(TS)和TunnelBroker(TB),Server和Boker位于不同的主机上，隧道的控制通常是6over4是一种自动建立隧道的机制，采用前提是IPv4网络基础设节点不需要IPv4兼容地址和手工配置隧道。当采用6over4的节点通过一台支持6over4的路由器与外界相连时，节点内的主机可以和外部IPv6节点通信，但6over4没有解6to4要求采用自动从节点的IPv4地址派生出的特殊IP所以采用6to4机制的节点必须至少具有一个全球惟一的IPv4地址。由于隧道端点的IPv4地址可以从IPv6地址中提取，所以隧道是自动建立的，这种机制适用于运行IPv644/286文档可自由编辑打印的节点之间的互通。6to4要求隧道中路由器支持双协议栈和6to4,主机至少支持IPv6协议栈。6to4机制允许在采用6to4的IPv6节点和十的中继路由器(6to4RelayRouter)进行互通。这种机制把广域的IPv4网络作为一DualStackModel23在这种模型下任意节点都是完全双协议栈的，不存在IPv4与IPv6之间的互通问题，但是这种机制要给每一个IPv6的节点分配一个IPv4地址。这种方法不能缓解IPv4地址资源不足的问题，而且随着IPv6节点的增加会很难得到满足。机制(如NAT-PT结合用于纯IPv6节点同纯IPv4节点间的互通，但在采用网络层加密和进行报头和语义的翻译(PT),适用于纯IPv4节点和纯IPv6节点之间的互通。对于一些内嵌地址信息的高层协议(如需要和应用层的网关协作来完成翻译。在实现方面，如果3.IPv4向IPv6平稳过渡技术的发展形式(1)在能直接建立IPv6链路的情况下使用纯IPv6路由。(3)双协议栈的IPv6/IPv4节点和纯IPv6节点或者纯IPv4的节点通信不需要采用协议转换，而直接“自动”选择相应的通信协议(IPv4或者IPv6)。45/286文档可自由编辑打印(4)对于纯IPv6节点和纯IPv4节点之间的互通，则应该使用协议转换(NAT-PT)相应于上述组网原则，我们认为IPv4向IPv6过渡采用分阶段演进是最为可行的方式，概括起来有以下4个阶段：第二阶段，越来越多的IPv6“小岛”逐渐变大、变多，成为与IPv4“海洋”不相上这时已不需要过渡技术，各网络节点间都采用基于IPv6的通信方式。IPv4自身的局限性注定了IPv4支撑的Internet会逐渐、平稳地过渡到以IPv6为核心的新一代Internet,在不同的过渡阶段、不同的网络环境应分别采用不同的过渡技术IPV4网络与IPV6网络过渡方案46/286文档可自由编辑打印引入IPv6主机和服务器。可以根据ISP提供的IPv6接入方式连接到IPv6Internet。在这里辽宁营口育才学多层交换(也被称作第三层交换技术，或是IP交换技术)是相对于传统交换概念而2.1.8路由选择策略47/286文档可自由编辑打印由协议，并在对外的出口(对教育网、因特网，以及老校区)设置静态路由。静态、动态NPE(NetworkoutPutEngine,网络出口引擎)系列产品是锐捷网络公司针对国内网络(策略路由)的情况下，在通常情况的报文流情况下(平均报文长度为500byte左右的混合报文),双向可以达到8Gbps的线速转发，每秒可以创建30万条以上的NAT会话，在2Gbps的NAT线速转发情况下，每秒达到新建7万条的NAT会话，达到200万条的并发NAT会话校园的用户大约有10000多个，我们选用172.16.X.X这个专供内部使用的IP地址段作为校园内部网络设备的IP地址。172.16.X.X是一个B类地址，其地址空间完全满48/286文档可自由编辑打印2.1.10无线接入网络设计无线网络系列产品在不架设物理线路的情况下，配合有线网络系统设备，提供可以通过无线接入AP和用户PC和笔记本电脑上的无线网卡提供基于802.11无线网2.1.11广域链路辽宁营口育才学校广域网从连接目的上分为4种连接形式：●因特网和教育网的连接49/286文档可自由编辑打印访问进行区分QoS,从而实现2～7层的QoS保证，形成完整的智能化全网解决方案。网络在收到应用程序的资源请求后，执行资源分配检查(Admissioncontrol),即基确认为应用程序的报文分配了资源，则只要应用程序的报文控制在流量参数描述的范围端口号、协议号确定)维护一个状态，并基于这个状态执行报文的分类、流量监管50/286文档可自由编辑打印传送QoS请求的信令是RSVP(资源预留协议),它通知路由器应用程序的QoS需求。文的QoS,如IP包的优先级位(IPPrecedence)、报文的源地址和目的地址等。网络通通常在配置Differentiatedservice时，在网络边界的路由器通过用IP优先级来进行报文的分类。IP承载网往往采用Diffserv体系结构。因为现实的网络传输中往往存在着：●速度不匹配网络入口是100M,而出口是10M的速率●突发流量网络上传输的数据请求随时间变化差异大，超出网络的传输能力51/286文档可自由编辑打印●网络拥塞避免2.拥塞管理(1)先进先出(FIFO);(2)优先级队列(PQ):52/286文档可自由编辑打印(3)加权公平队列(WFQ):(4)加权循环队列(WRR):从而引发TCP的慢启动和拥塞避免机制，使TCP减少报文的发送。当队列同时丢弃多个(1)队尾丢弃：53/286文档可自由编辑打印(1)GTS技术通过限制指定流量的速率(也称为令牌存储桶法),可减少输出流，避免拥塞，同时对特定(2)CAR技术2.1.13组播策略当信息(包括数据、语音和视频)传送的目的地址是网络中的少数用户时，可以采用传送通路；或者采用广播(Broadcast)的方式，把信息传送给网络中的所有用户，不管IP组播技术的出现及时解决了这个问题，它仅仅给所有需要相同数据的用户发送一54/286文档可自由编辑打印IP组播技术有效地解决了单点发送多点接收、多点发送多点接收的问题，实现了IPIP组播技2.1.14高速缓存的要求，如果缺乏细致的管理，这种带宽要求不管是对辽宁营口育才学校、Internet服务提供商(ISP),还是对Internet内容提供商(ICP)、Internet数据中心(IDC)和内Internet传递的请求数量或者直接发给最终提供服务的服务器的请求数量。对于学校来2.1.15冗余技术55/286文档可自由编辑打印2.1.17网络安全56/286文档可自由编辑打印本网络解决方案中所有的交换设备，均通过内置的管理模块支持基于2.1.19网络计费计费系统对辽宁营口育才学校的网络运营来说是致关重要的。随着运营的深入，对计费系统重要性的理解会越来越深。一套好的计费系统能够解决宽带网络运营所面临的：用户身份认证、带宽控制、多IP服务的管理与计费等问题，并支持多种计费策略。57/286文档可自由编辑打印无线缴人点无线缴人点刚户缆端系统详细设计2.1.20网络拓扑结构图EEBST,mA班阶测系继#lat在香系院离摩罐存接人后交担机作重能父构具老校区n10年.元疗2.1.21核心主干交换机核心层交换机为新校区计算机网络提供一个高速中央交换平台。整个学校的服务器都连接在核心层的交换机上，并且访问因特网的出口也连接在核心层的交换机上，因此高性能，无阻塞，可靠以及容易扩展是对中心交换设备的主要要求。核心层设备部署在位于校园网络中心。建议采用2台锐捷网络多业务路由交换机RG-S8600,该交换机是专门对大中型企业级网络推出的一款高性价比基于10万兆核心级全模块化路由交换机，特别针对本项目网络建设中的，对于核心设备的高流量传输、高效率交换、完善的安全及管理手段、可灵活弹性扩展的需求，而量身设计的高性能全硬件化多层交换产品。它拥有10个模块扩展槽，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发，可以根据用户的需求灵活配置，构建弹性可扩展的现代IP网络。核心设备千兆互连汇聚设备。58/286文档可自由编辑打印2.1.22汇聚层交换机方式连接到2台核心层交换机上，在这两条上连链路上实施动态路由协议，既满足了冗余相邻的汇聚层交换机用一根12芯光纤连接，作为各汇聚层交换机与核心交换机的备路由协议，以适合大型网络多种路由和高性能的需要。RG-S5700系列交换机提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性59/286文档可自由编辑打印校园网从物理位置和逻辑功能上可划分为教学子网、办公子网、专用子网、学生宿舍子网等等，由于各网段内对具体资源及数据安全要求不尽相同，所以从内部网络的安全角度考虑，对于各职能部门之间也应该划分VLAN,以便于采用基于策略的访问控制。VLAN技术将整个网络终端根据安全及流量均衡原则划分为多个子网，大大降低了广播包对整个网络带宽的消耗，提高了网络的运行效率。2.1.25无线网络我们建议在会议室、面积较大的教室、广场，以及校餐厅食堂餐饮点、休息室、图书馆阅览室、体育场馆、校园公共场所等热点地区部署无线接入设备。网络示意图：构成无线网络的连接组件主要有2个。无线网卡的外观与有线网卡(PCMCIA、Cardbus、PCI和USB)一样。它们的功能也相同，即使最终用户接入网络。在有线局域网中，网卡是网络操作系统与网线之间的接口。在无线局域网中，它们是操作系统与天线之间的接口，用来创建透明的网络连接。从本质上讲，接入点的作用相当于局域网集线器。它在无线局域网和有线网络之间接收、缓冲存储和传输数据，以支持一组无线用户设备。接入点通常是通过一根标准以太网线连接到有线主干上，并通过天线与无线设备进行通信。接入点或者与之相连的天线通常安装在墙壁或天花板等高处。像蜂窝电话网络中的小区一样，当用户从一个区域移动到另一个区域时，多个接入点可支持从一个接入点切换到另一个接入点。接入点的有效范围是500米以内。根据技术、配置和使用情况，一个接入点可以支持15到250个用户。通过添加更多的接入点，可以比较轻松地扩充无线局域网，从而减少网络拥塞并扩大网络的覆盖范围。2.1.26广域网连接辽宁营口育才学校广域网从连接目的上分为4种连接形式：60/286文档可自由编辑打印●因特网和教育网的连接●远程用户的连接1.建议本地新老校区互联采用千兆光纤的专线连接方式，这主4.采用若干100M链路接入Internet,同时可以利用该链路做为中国教育科研网2.1.28高速缓存1.节省Internet连接带宽2.减少终端用户的响应时间，提高Internet服务品质(Qos)配置专业的代理缓存服务器，并部署在校园网络和I达安全专用设备进行认证和授权。如果请求的页面中的对象已经在专用设备的本地缓存61/286文档可自由编辑打印理，通过Internet和源服务器通信。当对象从源服务器返回时，就保存在本地缓存中以其策略处理引擎(PPE-PolicyProcessEngine)提供强大的策略定义能力，用户可2.1.29网络管理网络管理系统对网络的策略性管理分为三个层次：第一个层次是对网络中的各个设网络管理系统利用其强大的功能使客户的网络人员只需在中心机房通过一个屏幕完网络管理软件运行平台的设计见“信息系统支撑平台”62/286文档可自由编辑打印2.1.30网络计费校园一般通过Cernet和电信宽带连接到Internet。由于接入Cernet需要分担部分国际流量，而校园网出口带宽有限，为了有效地使用网络资源并维持网络的正常运行，提供校园网络管理服务十分必要。面向校园网的管理服务系统，向校园网用户提供代理服务、透明网关、邮件系统、拨号及IP监控等基础网络管理服务，实现简单实用、灵活可靠的网络管理、服务与计费管理。宽频网络计费服务系统，其网络拓扑图如下：该系统的由IP接入服务器和后台计费软件组成。该系统具有很强的独立性，不受网络骨干层和接入层的具体技术和设备的影响，不依赖任何第三方的网络硬件和软件。计费系统框架图如上图所示，宽带IP接入服务器嵌入在用户或服务之间，在网络第3层认证用户的身份和采集计费参数，并在网络第4层实时地对“用户”和“服务”进行管理和控制。后台计费软件实时地与接入服务器交换数据，按预定的策略和费率进行计费，并完成开户、统计、运营监控等工作。后台计费软件支持多种IP服务的计费，既可根据时间、流量、带宽对Internet接入进行计费，又可与其它IP服务系统(如VOD)接口，作为统一认证和计费平台，进一步实现对内容和应用的计费。支持校方对整个校园提供付费的IP服务和实施可盈利的电子商务。1.宽带接入服务器该设备标配有三个以太网接口，分别是内部网络、外部网络出口(可扩展为多个出口)和计费网管网络接口。当被用于Internet计费时，它通常被安放在Internet出口处或增值服务内容之前。这样，所有用户必先经过它的验证才能上网(或联接服务)。宽带接入服务器是一台透明设备，当它被嵌入到现有的网络内后，原来的网络结构不需要做任何改动。它对用户也是透明的，当一个尚未注册的用户“打开”IE试图上网时，马上弹出一个登录窗口在用户的屏幕上，用户输入正确的账户资料就可上网——基于WEB的登录。对安全性要求较高的用户，可安装专用的有加密处理的客户端软件，使用专用客户端的用户不但获得更高的安全性，还可获得更好的交互性，专用客户端是一个驻留程序，63/286文档可自由编辑打印宽带接入服务器的透明性还表现在对各层协议的支持上，它对网络第二层的各种QoS协议(RSVP等),以及Multicast都是透明的。2.后台计费软件计费系统由IP接入服务器和后台计费软件共同完成。接入服务器负责产生计费数据从现阶段来看，校园网的应用可以分成内部增值内容应用服务和Internet接入服一项主要的收费内容。因此，计费系统必需充分考虑校区内部服务以及Internet接入服建议将校内的服务分成多种不同的类型，用户可以选择开通不同的校内服务，如：视频点播、网络游戏、远程教育等，区内服务将采用包月制或按流量计费。没有开通社区内服务的用户无权访问内部应用服务。64/286文档可自由编辑打印计费不仅来自Internet的接入，日后其实更多的将会是来自内部的应用服务(即增值服务)。因此计费系统方案必须围绕着一条最基本的原则：用户的需求是多层次的，必须能够为不同需求的用户提供不同的服务并按不同的要求进行不同的收费。网络安全系统设计在高校校园网中，网络安全系统的实施目标是：在这里我们从建立建立PKI(公钥基础设施)出发，集中阐述了CA认证和数字签名、2.1.31网络安全总体设计的目标与原则65/286文档可自由编辑打印“堡垒多数都是从内部攻破的”,虽然我们可以在外部出口处采用增加防火墙等措施最基本的防止网络设备的对内非法攻击的方式是把网络设备的IP地址统一规划在几在各个网段的网关设备上进行ACL(访问控制列表)设置，以保证非允许的节点不能够很网络用户很难用行政手段进行24小时的监督和制约。而这些用户内部，尤其是学生内部SNMP(SimpleNetworkManagementProtocol)即简单网络管理协议，它为网络管理66/286文档可自由编辑打印攻击者对网络设备的攻击主要从以下三个方面，即对管理界面(如Console,Telnet为了控制对网络设备的访问，分别对Console、Telnet和SNMP配置两级口令，即非67/286文档可自由编辑打印仅设置loginandenable口令不能够提供足够的安全。如果用户在离开特权状态下未退出，任何用户都可以改动设备配置。通过设立commandexec-timeoutmmss改变logintimeout的缺省时间10min为600sec。配置servicepassword-encryption命令可隐藏配3.加强对设备口令的管理提高网络系统的安全性配置命令access-classnn可定义一个访问控制列表，对通过virtualterminal在辽宁营口育才学校网中设置专用网管工作站。在网络设备中显示地将SNMP信息导6.对交换机进行有限制性的访问访问交换机。在交换机上设置IPPermit后，所有其它的TCP/IP服务(例如IPtracerouteandIPping)仍然可以正常工作。OutboundTelnet、TrivialProtocol(TFTP)和其它的基于IP的服务不受IPpermitlist.的影响。从未经授权的源地址发出的Telnet连接在TCP/IP协议中，攻击者对四种服务都可以进行掠夺性攻击，即Echo(7)、68/286文档可自由编辑打印一种应用Finger(TCP和UDP79),攻击者可以利用Finger发现某个用户在某个时刻登8.基于防火墙的安全策略(1)采用“除非明确允许，否则拒绝”的安全模式；(2)允许较宽松的对Internet的连接；(3)允许外部网对内部的公共服务的访问；2.1.33设计目标说的安全只是在现时安全技术发展水平和努力提高单位领导和工作人员信息安全意识的●具有严密的跟踪审计功能和分析处理能力；2.1.34网络安全模型与体系结构69/286文档可自由编辑打印防火墙、操作系统身份认证、加密等手段)的同时，利用检测工具(如漏洞评估、入侵检2.P2DR安全模型的组成部件●POLICY(安全策略):在进行安全项目设计时，首先必须根据需求制订各种安全策略：其中包括控制策略、加密通信策略、身份认证策略和备份恢复策略●PROTECT(保护):制订了安全策略后，需要考虑使用何种防护●DETECT(检测):检测，即从监视、分析、审计信息网络活动的角度，发现对于信息网络的攻击、破坏活动，提供预警、实时响应、事后分析和系统恢●RESPONSE(响应):响应包含两方面内容：一方面，是在遭遇攻击和紧急事件时及时采取措施，包括调整系统的安全措施、跟踪反击攻击源和保护性关闭服务和主机等；另一方面，是评估系统受到的危害与损失，恢复系统功能70/286文档可自由编辑打印4.安全服务层次织制订的安全体系结构模型[IS07498-2],在[IS07498-2]基础上增加了审计跟踪服务和可用性服务。各种安全服务之间的逻辑关系这五种安全服务贯穿于主体(人、应用程序、系统程序、设备等)访问客体(各种软/硬件资源)的整个过程。分析表明，在信息系统中，最为重要也最为普遍的安全服务是在TCP/IP协议的不同层次，实体都有主体和客体(或资源)之分：在网络层，对主实体的(用户、主机、服务)身份鉴别是访问控制的前提。71/286文档可自由编辑打印●从纵向考虑，信息安全分为网络基础设施、智能化信任和授权服务层和安全为便于理解，参照网络七层开放协议的模型和目前使用的IP网络(使用TOSI七层协议TCP/IP协议安全需求及主要技术应用层进程层应用程序的保密要求，主要技术有SHTTP、PGP、SMIM、开发专用协议等表示层会话层传输层传输层传输的数据的保密，主要技术有SSL协议和基于公钥的认证和对称钥加密技术等网络层网络层访问控制的需求，主要技术有包过滤、IPSEC协议、VPN等.数据链路层数据链路层链路的保密要求，主要技术为数据链路的加密技术物理层机房、设备以及媒体本身的安全以及防辐射泄漏等方面目前校园网络存在的安全性问题及建议采用的措施一览表序号针对性问题建议采用的措施1网络访问控制综合运用防火墙、VLAN以及VPN技术，实现各局域网内、局域网间的网站访问控制2各局域网络内部应用与信息发布网站的安全隔离建议采用安全访问代理服务器等产品3网络入侵检测和漏洞扫描部署入侵检测和漏洞扫描主机，并在核心交换机上设置网络传感器4业务工作站或终端进入公众互联网部署物理隔离器等隔离产品，部署主机监测和预警系统5远程通过拨号访问的终端的安全部署链路加密机或IP加密机或VPN技术6存储安全在重点机器上部署文件加密系统72/286文档可自由编辑打印7操作系统的安全对NT服务器进行安全加固，新装系统建议采用安全操作系统8数据库的访问控制部署数据库访问代理及建立身份确认和权限管理系统9防病毒部署分级网络防病毒工作站及客户端软件MAIL安全部署邮件加密系统2.1.35技术路线1.