校园网络安全解决方案

某大学校园网络设计方案2010年目录前言4第1章工程概况41.1工程概况41.2用户需求51.3设计思路5第2章需求分析62.1总体需求62.2网络应用需求72.3网络性能需求82.4网络系统需求92.4.1网络层次分析9及路由需求分析102.4.3.网络平安分析102.4.4.网管需求分析102.4.5对主机系统的要求11第3章建设目标及原那么113.1建设目标113.2建设原那么12第4章网络方案设计134.1网络拓扑设计134.2网络层次设计14万兆核心环网解决方案154.2.2万兆骨干网解决方案164.2.3千兆接入解决方案174.3网络出口设计184.4VLAN划分204.5Ip地址划分21第5章中心机房设计225.1效劳器设备选型225.2软件系统设选择245.2.1系统软件245.2.2效劳器软件245.2.3应用软件255.2.4工具软件26第6章综合设计266.1多媒体教室266.1.1多媒体教室根本组成266.1.2多媒体教室的教学功能276.1.3多媒体教室的教学功能286.2电子阅览室286.3多功能厅286.3.1系统概述286.3.2用户需求296.4多媒体应用的支持30第7章网络管理设计307.1宿舍网管理设计307.2办公网管理设计317.3全IP数字监控网络设计317.4网络QoS设计32第8章网络平安与管理338.1网络平安348.1.1威胁网络平安因素分析348.1.2网络平安防范措施358.2网络管理358.2.1网络管理的内容358.2.2网络管理的手段368.3网络平安策略配置37平安接入和配置378.3.2拒绝效劳的防止388.3.3访问控制388.4电源系统39第9章综合布线设计399.1综合布线的设计原那么399.2各系统及网络设计41工作区子系统〔WorkArea〕及其网络设计429.2.2配线子系统〔Horizontal〕及其网络设计42干线子系统及其网络设计439.2.4设备间子系统〔及其网络设计〕439.2.5管理子系统及其网络设计449.2.6建筑群子系统及其网络设计449.3防雷接地449.3.1设计原那么449.3.2防雷防浪涌及接地系统459.3.3电源系统防雷459.3.4通讯线路雷电防护469.3.5机房内部防雷辅助措施479.4接地系统47机房接地系统47第10章远程访问48第11章系统测试48第12章技术支持及售后效劳4812.1效劳内容4812.2设计效劳4912.3场地检查4912.4系统安装调试4912.5测试和验收5012.6系统后期维护和支持5012.7客户技术培训5112.8设备保修与软件升级51前言当今的世界正从工业化社会向信息化社会转变。一方面，社会经济已由基于资源的经济逐渐转向基于知识的经济，人们对信息的需求越来越迫切，信息在经济的开展中起着越来越重要的作用，信息的交流成为开展经济最重要的因素。另一方面，随着计算机、网络和多媒体等信息技术的飞速开展，信息的传递越来越快捷，信息的处理能力越来越强，信息的表现形式也越来越丰富，对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的网络向高速多媒体信息网开展。快速、高效的传播和利用信息资源是21世纪的根本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的上下，也将成为评价学校及学生选择学校的新的标准之一。而且在网络上提供有价值、有吸引力的信息，对一个单位或学校树立自己的形象，提高自己的知名度，以及开拓和国际上其他学校、组织的联系和往来能够起到很显著的作用，也为学校的腾飞与开展创造了新的契机。第1章工程概况1.1工程概况XX大学隶属国家教委，创办于20世纪中期，建校六十多年来，为国家培养了大批有用人才，随着扩招人数的增加，旧校区越来越不能满足学校的教学要求，因此，学校立项建设新校区。新校区占地面积约1050亩，建筑总面积约38万平方米，分教学区、学生宿舍区和运动区。教学区包括图书馆、综合教学楼、院系实验楼、行政办公楼、外事活动中心、科技中心等。学生宿舍区包括五栋高层学生公寓、教师公寓及二十几栋栋多层学生宿舍，运动区包括体育馆、运动场、看台等。新校区建成后将具有一流的校舍建筑和优美的学习环境，同时还具有国内最先进的智能化教学设施，以满足开展的可持续的信息化时代和教学改革的要求，适应21世纪国家级大学的现代化教学要求。为了进一步推动学校信息化的建设，扩大校园网的覆盖面，改善学生学习条件，为学生创造一个更为便利的学习环境。经过我公司对XX大学新址建筑的了解及勘查，对旧校址网络现状的考查及新建网络需求的分析，我公司对此XX大学网络建设做了如下的方案方案。1.2用户需求XX大学随着学校教学和学生网上应用的增长，新校区校园网必须以光纤连接全校近70栋楼宇，必须覆盖了99%的教学办公场所和99%的学生宿舍。共布有2万多个网络端口，其中约1.5万多个布线端口将来要连通网络设备，共接入计算机1万多台，有固定注册用户8000人。XX大学同时提出了“XX大学万兆校园网的建设思路”，明确要求新校区的网络总体要做到以下七点：1〕要适应高校的网络特点要求：用户数量庞大，网络应用复杂，不能在终端上限制网络用户行为，只能在网络设备上解决网络问题；2〕要能够到达轻载要求：低负载，高带宽，最简单，最有效；3〕要具有先进的技术性：支持线速转发，具备高密度的万兆端口，核心设备支持T级以上的背板设计，硬件实现ACL、QoS、组播等功能；4〕要稳定、可靠：确保物理层、链路层、网络层、病毒环境下的稳定、可靠；5〕要有健壮的平安：不以牺牲网络性能为代价，实现病毒和攻击的防护、用户接入控制、路由协议平安；6〕要易于管理：具备网络拓朴发现、网络设备集中统一管理、性能监视和预警、分类查看管理事件的能力；7〕要能实现弹性扩展：包括背板带宽、交换容量、转发能力、端口密度、业务能力的可扩展。1.3设计思路进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、任务和改革开展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；其次，在应用需求分析的根底上，确定学校Intranet效劳类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原那么要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划校园网建设的实施步骤。校园网总体设计方案的科学性，应该表达在能否满足以下根本要求方面：1〕整体规划安排；2〕先进性、开放性和标准化相结合；3〕结构合理，便于维护；4〕高效实用；5〕支持宽带多媒体业务；6〕能够实现快速信息交流、协同工作和形象展示。第2章需求分析2.1总体需求在校园网络中，视频、音频、数据集于一身，如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输，就没法对流做出最高优先级和次高优先级及底优先级的分类，这样就不能保证重要业务的畅通，造成网络延迟、效劳不可用。所以要想真正改变网络的效率，更有效的保证应用效劳的运营，需要通过端到端的QOS，智能到边缘的方式来保证。通过智能到边缘，端到端的应用方式，可以减少对网络核心设备的消耗，这样保证了网络的有效畅通。可以对园区网应用中的，多媒体视频点播效劳、数据备份效劳、文献传递效劳、E-mail效劳、数据库效劳器等效劳。对不同效劳流进行详细的分类，划分优先级，以及尽可能地防止发生拥塞。同时保证网络的高效运行，充分利用现有的带宽。在园区网络中，存在多样的网络设备及系统应用环境，并且要考虑在用户迅速增长的今天，考虑到网络设备的可扩展性。保证在多样网络设备，用户不断增加的环境中，仍能保证网络畅通。所以万兆骨干网络平台就应具有良好的兼容性和可扩展性，能与当前校园网络无缝衔接，同时预留空间符合当前和以后的信息建设需要和足够的升级空间。在校园网络建设中存在多用户,多效劳的现状。带来了对网络系统要求具有高效率等，以保证大数据量访问下有效的处理能力。针对需求设备要能对数据做到分布式处理，这样的分布式处理可以节省主交换引擎的消耗。使数据在独立的板卡上就能做出对数据的识别，这样比在中央处理器识别要快的多。并在大量的数据应用，数据传输的过程中，要保证所有硬件设备都可以进行快速的转发，要具备高背板带宽〔交换容量〕，所有端口都能保证线速转发。这种分布式处理可以极大地提高整体处理能力，保证了网络畅通。现在的网络环境中稳定可靠是争相谈论的话题，因现在在网络中运行了众多重要应用及效劳，是要保证7*24小时不间断的效劳。就要完全能保证网络设备全天后的可用性。即使在设备出现问题时切换到备用设备的过程中，也要保证较小的延迟，以满足网络应用中的有效畅通的需要。在这样的需求中利用，冗余的管理交换引擎、冗余的电源等关键部件的冗余，支持〔802.1D、802.1W〕802.1S多Vlan生成树协议保证链路级的冗余和负载均衡，支持VRRP、OSPF等三层路由协议保证路由级的冗余，支持loadbalancing技术实现了应用级的冗余备份和负载均衡。全方位的完全保证了设备、网络、应用系统的可靠性。在校园网络中，对于校园网的平安保障十分重要：校园网的信息点分布很广，与一般企业网比拟，校园网用户的流动性大，信息点存在随意接入使用的问题。学生及外来不明身份的用户，在校园网中找到任何一个信息点，就可以进入到校园网，可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络平安，还需要考虑与外网及内网不同应用系统之间的平安访问控制。为了发生平安事件后，能够有效、快捷地处理事故，采用上网审计手段是十分有必要的。由于当前类似“冲击波、震荡波病毒”的肆虐，一个健壮的网络应该提供必要的手段，禁止特定病毒的传播以及由于病毒造成的流量拥塞。2.2网络应用需求这方面的需求不同学校有着明显不同，大体都可以分为，教学、科研、办公、效劳这四方面应用。教师可以方便地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，所以对教学、科研方面的网络设计应考虑稳定、扩展、平安等问题；办公、效劳等带宽是要着重考虑的方面，所以学校应该根据自己的实际情况来考虑网络的结构，及平安问题。校园网在信息效劳与应用方面应满足以下几个方面的需求：1〕学校主页。学校应建立独立的WWW效劳器，在网上提高学校主页等效劳，包括校情简介、学校新闻、校报〔电子报〕、招生信息以及校内号码和电子邮件地址查询等。2〕文件传输效劳。考虑到师生之间共享软件，校园网应提供文件传输效劳〔ftp〕。文件传输效劳器上存放各种各样自由软件和驱动程序，师生可以根据自己需要随时下载并把它们安装在本机上。3〕校园网站建设〔WWW、FTP、E-mail、DNS、PROXY代理、拨入访问、流量计费等〕；4〕多媒体辅助点播教学兼远程教学：校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的效劳质量，满足大量用户对带宽的根本需要，并保存一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。5〕校园办公管理；6〕学校教务管理；7〕校园通卡应用；8〕网络平安FIREWALL；9〕图书管理、电子阅览室；10〕系统应提供根本的Web开发和信息制作的平台。2.3网络性能需求性能需求：有效劳效率、效劳质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等；根据本工程的特殊性，语音点和数据点使用相同的传输介质，即统一使用超5类4对双绞电缆，以实现语音、数据相互备份的需要；对于网络主干，数据通信介质全部使用光纤，语音通信主干使用大对数电缆；光缆和大对数电缆均留有余量；对于其他系统数据传输，可采用超5类双绞线或专用线缆。学校网内部的接入用户是在校学生和教工，上网的时间相比照拟集中〔主要集中在晚间和节假日〕，所以在此时段网络访问流量会较大，在一些特殊时候可能会出现大量的网络突发流量。2.4网络系统需求科学规划网络系统结构，合理配备核心层、会聚层以及接入层网络设备与端口，保证核心网络设备的性能和扩展性，优化接入层网络设备，建设万兆核心网、千兆骨干网、百兆到桌面的高效网络。将内外网区域划分开，确内网区域资源平安，本次主要建设内网区域。合理部署网络平安措施，在接入层即可防止一些网络攻击，提高网络接入的平安性。建立全网统一管理系统，包含对网络设备的统一管理和配置；建立高效的网络性能监视与预警机制。2.4.1网络层次分析根据本校网络的实际情况，网络应包括核心、会聚和接入三个层次，其中核心层由大容量高性能以太网交换机组成，会聚层由高性能宽带接入交换机组成，接入层由快速智能网管型交换设备组成。1)核心层需求分析核心设备担负着连接会聚设备和局部接入的工作，是整个网络的核心，同时通过核心设备与教育网、Internet进行互联。由于核心层设备担负着整个网络的流量，核心设备和链路的稳定性将直接影响整个网络的可靠运行。2)会聚层需求分析会聚层交换层是多台接入层交换机的会聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路。而会聚层也是整个校园网的边缘，都可以进行堆叠、以扩展，还承当了网关和三层路由转发功能的重担。作为网络的骨干交换机，并具有快速数据交换能力和全双工能力，可提供容错等智能特性，还支持扩充选项及第三层交换中的虚拟局域网(VLAN)等多种功能。3)接入层需求分析接入层在整个学校校园网络的边缘，广阔师生通过接入设备接入校园网络。根据目前的业务需求，平安和高效是必需的要求，需要交换机支持访问控制、传输质量控制、数据过滤、网络病毒防护等功能，即作为接入网络的入口设备，智能识别是一项十分重要的功能。2.4.2.IP及路由需求分析在网络规划中，IP地址方案的设计至关重要，好的IP地址方案不仅可以减少网络负荷，还可以为以后的网络扩展打下良好的根底。在本校园网络的IP地址分配上要表达可扩展性、连续性、可管理性、简化路由。根据网络结构，设计比拟适合的路由协议。能够实现优化的网络路径选择，在网络结构发生变化时路由能够快速收敛，保证网络的畅通。在IP地址的规划时要考虑到路由会聚，以便可以会聚成较少条数的路由信息向其他区域传送。2.4.3.网络平安分析学校校园络作为信息化建设的根底平台，为学校提高自身的核心竞争力提供了新的突破口。与此同时，网络社会与生俱来的不平安因素，如病毒、黑客、非法入侵，不健康信息等，也无时无刻不在威胁着网络的健康开展，而成为校园网建设中不容无视的问题。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到校园教学领域。因此，校园网络工程中需要具有先进性、标准性、有特色的，并且考虑今后扩展性的的整体平安解决方案。2.4.4.网管需求分析网络管理中心是整个网络的核心，一个完善的网络管理系统是网络能够稳定可靠运行的保证。好的网络管理平台能够确保教学管理业务不致中断，这对于网络系统是至关重要的；高性能的网络有助于提高工作效率和学校的竞争力，网络管理员必须确保这些网络应用能顺利运行，另外可以降低网络维护的本钱。由于高校宿舍网节点众多，因此无法一体化管理众多的设备和用户、出现网络故障无法快速定位、IP地址盗用、IP地址冲突等问题日益严重，如何利用有限的人力物力对网络进行高效管理也成为高校宿舍网建设考虑的着重点。2.4.5对主机系统的要求1、主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力；2、主机系统应具有高的可靠性，能长时间连续工作，并有容错措施；3、支持通用大型数据库，如SQL、Oracle等；4、具有广泛的软件支持，软件兼容性好，并支持多种传输协议；5、能与Internet互联，可提供互联网的应用，如WWW浏览效劳、FTP文件传输效劳、E-mail电子邮件效劳、NEWS新闻组讨论等效劳；6、支持SNMP网络管理协议，具有良好的可管理性和可维护性；第3章建设目标及原那么3.1建设目标1、满足计算机教学科研、行政办公需要，提供各种教学、办公工具和支撑平台，并提供丰富的计算机软硬件系统资源。2、具有完善的办公事务处理能力，包括电子公文传递、电子公文管理、电子邮件、邮件收发等无纸办公自动化功能。3、满足信息情报交流的需要，方便学校各级领导和教学科研人员对各种信息资料、科技情报的检索和查阅。包括Web查询、电子公告、电子新闻等。4、具有远程通信能力，借助网等通信手段，以最低的通信本钱，方便地实现远程互联，跨越地域限制，满足学校要求，加强各单位之间的业务联系和信息资源共享。5、具有收集、处理、查询、统计各类信息资源的能力，充分利用原有数据资源，为学校领导提供准确、快捷的数字信息，实现数据化管理和智能化决策。6、学校网络系统要确保整个计算机网络系统的可靠性、平安性，具有一定的冗余。容错能力强，确保信息处理平安保密。7、学校信息网络系统要保证实用和技术先进，便于非计算机专业人员使用，并能不断满足学校未来业务开展的需要，具有很强的扩展能力。3.2建设原那么校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高平安性、易管理的万兆骨干网络平台。我们遵循以下的原那么进行网络设计：1.实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原那么，建设的万兆骨干网络平台，保护用户的投资。2.先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有开展潜力，能保证在未来假设干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。3.可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，到达最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。4.平安性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝效劳攻击、防IP扫描、系统平安机制、多种数据访问权限控制等，锐捷网络充分考虑平安性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定〔过滤〕、ACL、路由过滤、防DDoS拒绝效劳攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的平安性。5.可扩展性和可管理性由于信息技术和人们对于新技术的需求开展都非常迅速，为了防止不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步开展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品，到达全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。第4章网络方案设计4.1网络拓扑设计局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机〔通信设备〕为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器效劳，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比拟高。

优点是网络结构简单，易于维护，便于管理〔集中式〕；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重〔需处理所有的效劳〕，因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比拟稳定，而且比拟耐用，运算速度较快，较适于开发使用。根据我们的设计，XX大学网络拓扑结构图如图1所示。图1XX大学网络拓扑结构图4.2网络层次设计从逻辑上，大型网络可分为核心层、分布层和接入层，每层都有其特点。网络层次如图2所示图2网络层次图层次化设计的优点可以总结为如下几点：1〕可扩展性：因为网络可模块化增长而不会遇到问题；2〕简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离播送风暴的传播、防止路由循环等潜在的问题；3〕设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；4〕可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。4.2.1万兆核心环网解决方案网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的效劳质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个根本要求：1〕高密度端口情况下，还能保持各端口的线速转发；2〕关键模块必须冗余，如管理引擎、电源、风扇。由于校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机建议采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、平安智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。因此网络主干全部采用万兆，末端用户楼栋全部采用千兆接入万兆校园网，采用3台万兆核心交换机RG-S6810E组成万兆核心环网。实现网络7X24小时的不间断运行，核心骨干网形成的万兆核心环网，使得整个核心层网络即使在任意一台核心交换机故障、或任意一条链路断掉的情况下依然可以保障网络的正常运行。RG-S6810E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6800E在保障高性能大容量的根底上提供强大的平安防护能力，并且拥有业务按需叠加扩展能力，到达业务和性能并重的设计需求。目前提供10竖插槽设计和6横插槽设计两种主机：RG-S6810E和RG-S6806E。RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、平安智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。RG-S6810E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议，并可扩展支持MPLS、loadbalancing、NAT、VPN、Firewall、IDS、webcacheredirect等丰富的业务功能，满足客户环境灵活而复杂的不同应用需求。在此方案中，校区网络中心采用RG-S6810E多业务万兆核心路由交换机作为核心交换机。核心层交换机跟会聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。4.2.2万兆骨干网解决方案会聚层提供基于统一策略的互连性。它是核心层和接入层的分界点，定义了网络的边界，对数据包进行复杂的运算。在大中型园区网络环境中，会聚层主要考虑的是如何保证提供浪量控制及平安控制的策略。通常需要考虑的主要因素有QoS、静态或者动态路由的选择、地址过滤等。而在设备选型方面，会聚层的设备对网络下层VLAN信息和生成树协议具有收敛功能，能实现简单的用户管理和控制功能，如用户的平安接入、下层网络不同层次的屏蔽和接入工作，对不同物理链路、不同特性的网络设备进行统一管理。因此会聚层网络设备要求具备多物理接口来完成众多设备的接入工作。综上所述，会聚层采用七台万兆核心交换机RG-S6506E担当图书馆、综合教学楼、院系实验楼、行政办公楼、外事活动中心、科技中心、学生宿舍公寓以及区运动区域会聚；通过6条万兆链路连接至图书馆、综合教学楼、院系实验楼、行政办公楼、科技中心、学生宿舍公寓以及区运动区的6台会聚交换机RG-S6506E上是因为这几条链路上数据信息点比拟多,传输数据量也比拟大，。使用2条千兆链路连接到外事活动中心会聚交换机RG-S6506上。RG-S6506是锐捷网络推出的万兆骨干路由交换机，拥有6个模块扩展槽，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发，可以根据用户的需求灵活配置，构建弹性可扩展的现代IP网络。”RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、平安智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是小型网络核心和大型网络骨干交换机的理想选择。4.2.3千兆接入解决方案接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整，如Access-listFiltering等。在园区网络环境中，接入层主要提供如下功能：带宽共享、交换带宽、MAC层过滤、微分网段等。在广域网环境中，接入层主要提供通过FrameRelay、ISDN、LeasedLine连入远程节点。接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。接入层交换机亦称外围交换机或边缘交换机，一般都属于可堆叠/可扩充式固定端口交换机，应具备以下要求：1〕端口选择：对端口的选择包括两个方面，一个是端口数量，一个是端口类型。而且可以堆叠、易扩展，以便由于信息点的增加而沉着地进行扩容。2〕高性能。作为大型网络的二级交换设备，应支持千兆/百兆高速上连以及同级设备堆叠，当然还要注意与核心交换机品牌的一致性；如果用作小型网络的中央交换机，要求具有较高的背板带宽和三层交换能力。3〕性价比高。在满足网络性能要求的同时，到达最高的性价比，使用方便简单。4〕支持多级别网络管理。楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的效劳质量、丰富的平安设置和基于策略的网管，最大化满足高速、融合、平安的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各会聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。因此采用数十台RG-S2924G系列平安智能交换机担当网络接入。RG-S2924G是锐捷网络推出的全千兆平安智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的效劳质量〔QoS〕和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的平安控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效平安、网络合理化使用和运营。RG-S2924G特有的CPU保护控制机制，对发送到CPU的数据进行带宽控制，以防止非法者对CPU的恶意攻击，充分保障了交换机的平安。RG-S2924G为方便不同管理员的使用习惯，提供了多种形式的管理工具，如SNMP、Telnet、Web和Console口等。RG-S2924G以极高的性价比为各类型网络提供完善的端到端的QoS效劳质量、灵活丰富的平安策略管理和基于策略的网管，最大化满足高速、高效、平安、智能的企业网新需求。支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率。4.3网络出口设计校园网出口，作为唯一连接外界网络的平台，是校园网与外界沟通交流的窗口，承载了各类与教学、科研、办公、生活息息相关的应用；出口平台对各应用的承载能力，将对高校的教学、科研、办公、生活产生直接和间接的影响。锐捷网络高校校园网出口解决方案，充分考虑网络出口承载的多种业务系统对网络的要求，形成了包含外网连接层、平安防护层、应用控制层、VPN接入层、日志管理层在内的针对性出口网络解决方案。XX大学应用锐捷网络高校校园网出口解决方案，在平安防护层部署1台RG-WALL1000、应用控制层部署1台RG-ACE3000完成出口网络的应用流量控制，而RSR-08承当多出口负载均衡。这样的出口设计将实现了多出口的合理使用，有效抵御DDoS攻击，实现病毒、木马以及异常流量的阻断。为了以后扩展的需要，所以采用了RG-WALL1000。RG-WALL1000采用锐捷网络独创的分类算法〔ClassificationAlgorithm〕设计的新一代平安产品——第三类防火墙，支持扩展的状态检测〔StatefulInspection〕技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP,H323等)时，可提供强有力的平安信道。采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它〔如URL过滤、HTTP透明代理、SMTP代理、别离DNS、NAT功能和审计/报告等〕附加功能。RG-ACE3000可有效识别包括Web迅雷在的多种应用层协议，可实现基于用户的应用带宽限制及数据统计，使得各种关键应用的带宽得到充分的保障。锐捷RSR-08路由器是高性能、通用的骨干会聚路由器，具有高背板带宽、高包转发率、结构紧凑、端口密度高等特点，并能提供全范围的光纤和铜缆接口。RSR-08路由器具有强大的业务能力，可以满足目前所有的城域会聚和接入需求，提供多协议标准交换(MPLS)第2或3层隧道技术、动态带宽控制和面向连接的数据收集体系。作为多协议标记〔MPLS〕PE路由器，他们使提供商的基于MPLS的业务具有高度的可扩展性和可靠性。通过使用VPLS，可以利用原有网络和以太网根底设施提供VOIP、互联网接入、视频以及多点虚拟专用网〔VPN〕等融合业务。锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网，速率高达OC-48。部署在各种应用中，RSR-08路由器可用于搭建骨干会聚路由器和核心层网络，为用户提供综合的、高性能、功能强大的效劳,并提供高可用性网络所需的冗余支持。4.4VLAN划分根据校园网的实际需求，属于同一部门的工作人员可能在不同的建筑物中，但需要在一个逻辑子网内。网络站点的增减，人员的变动，无论从网络管理，还是用户的角度来讲，都需要虚拟网技术的支持。因此在校园网络的整个网络规划当中，VLAN的划分是非常重要的局部，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：VLAN划分，可以防止播送风暴，在骨干网络中尤为突出，在多媒体、视频点播等很容易引起播送信息；划分之后，VLAN是播送只在子网中进行，不会做无意义的播送，消除了播送风暴产生的条件。VLAN划分，可以增加网络的平安性，在不同的VLAN之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。网络管理系统采用完全独立的IP子网和VLAN，实现更加平安的对所有网络设备进行管理。建立VLAN和IP子网的对应关系。提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。VLAN间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在会聚设备上实行，分流核心交换机的三层交换，优化了组网。根据以往网络管理经验和骨干网络网络建设的实际情况，方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为根本原那么，以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有：1〕方便管理。为了更好的进行VLAN规划的实施，因此在网络实施前期，要对网络中不同区域的VLAN设置进行详细的规划，细化到接入层网络，这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话，防止由于前期配置设备时复杂烦琐，而且由于相同的用户群体可能在不同的物理位置，导致造成整个校园网络中VLAN划分复杂，减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划，这样既可以减少播送域，又到达划分VLAN，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。2〕易于实施。按群体划分VLAN在工程实施中就十分的方便，不会造成VLAN划分复杂失误而使得网络出现不通的现象，便于工程快速实施和网络中心整体规划。3〕VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问，对于学校重要网络资源，需要进行权限访问的时候，建议采用专家级ACL〔可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL〕来进行访问权限设定，保障重要资料不被非法访问。4.5Ip地址划分IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键，也是某职业技术学院校园网网络设计中的重要一环。IP地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性开展。划分时注意使用VLAN，充分节约IP地址，使路由交换机上能够采用聚合进行路由的合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区内接入到同一会聚层交换机的区域建议采用连续IP地址段，以便做路由会聚。IP地址的分配原那么如下：1〕每个vlan分配一个C类地址2〕给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性3〕考虑到以后的网络扩展规模，二层交换机设备的管理IP地址分配1个C类IP地址；4〕可以考虑为学校校园网分配一个C类私有地址段，如192.168.19.X/24,将/24的地址段分配给网络设备使用，/24的地址段分配给效劳器等设备使用，其它地址分配给各办公室PC机以及其它信息点使用。第5章中心机房设计5.1效劳器设备选型效劳器主要用于帮助学校对校务、学籍、人事、政教等方面进行管理，实现学校的办公自动化，各系统之间实现充分的资源共享，提高办公及管理效率。还可以提供资料库管理，所有相关资料都可通过网络系统被检索和使用。通过Internet/LAN向教师及学生、学生家长提供尽可能多的信息。信息效劳不仅是提供E－mail、FTP、Telnet、WWW等简单效劳，还应包括如教学资料、教学课件、图书馆图书资料的远程查询，远程视频点播、远程电子阅览室、教育论坛、网上教学以及学生的网上交流、网上聊天等。对于这些网络效劳，可以根据各部门需求，选择或组织编写一些应用系统软件。根据校园网的实际需求：数据计算量大；实现多种效劳。在Internet应用方面的效劳器有：代理效劳器、WWW效劳器、E-mail效劳器、文件传输效劳器、BBS效劳器、DNS效劳器、视频效劳器；在管理信息系统和办公自动化方面有：OA效劳器、各种应用效劳器以及为整个校园应用效劳的数据库效劳器、计费效劳器、网管效劳器、打印效劳器等。而且应用效劳器和数据库别离，防止应用效劳器被攻击后，影响数据库平安。以上效劳器是从逻辑上划分的。并不一定要求每一种逻辑效劳器对应有一台物理上的效劳器级的主机。具体采用多少台主机，要根据实际情况。根据XX大学的招标要求，大致定为7类效劳器，它们分别为WEB效劳器，数据库效劳器，视频效劳器，文件传输效劳器，DNS效劳器、网管效劳器、E-mail效劳器。主机系统可以有三大类选择：大型机系统、小型机系统和PC效劳器系统。采用大型机系统的做法，在历史上曾经流行过。流行的原因，在我们看来，主要是应用系统所要求的处理能力当时只有大型机能够提供。因为在那时侯，终端的处理能力很有限，并且很贵，大型机的处理能力可以满足应用的需要，但是更加昂贵。为了节约费用，只好采用有足够处理能力的大型机加根本没有处理能力的终端这种方式。随着大规模集成电路和计算机技术的开展，小型机、PC效劳器和台式计算机的性能有极大的提高，大型机逐渐失去了它的优势。小型机系统是处于大型机和PC效劳器之间的一种选择。通常来说，小型机的性能可以很高，可以逼近大型机的水平。小型机CPU通常采用RISC技术，程序执行效率较采用CISC技术的机器有极大的提高。小型机的可靠性较PC效劳器高，因为小型机的元器件大多经过严格的筛选和老化；另外小型机通常有与之配套的操作系统，且大多是Unix操作系统。可选的小型机有HP-9000，IBMRS-6000等。PC效劳器的性能跟小型机可以相当。之所以称为PC效劳器，通常认为PC效劳器是采用Wintel体系结构的，即采用Intel的CPU，采用微软的Windows操作系统。因为分工的原因，Intel专门生产芯片，而微软专注于操作系统，它们都是大规模生产，所以这种组合的价格极端的具有竞争力。是大多数单位的选择。我们建议采用PC效劳器作为应用系统的硬件平台。在这里，选择IBM的效劳器。选择5台NF5100用于WEB效劳器、数据库效劳器、文件传输效劳器、DNS效劳器、E-mail效劳器。选择2台NF7100用于视频效劳器和网管效劳器。选择2台NF5100用于GSN全局平安、SAM运营管理、RG-NTD1000等其他效劳。效劳器具体配置如下表1：表1效劳器配置表设备名称配置型号数量单位WEB效劳器、DNS效劳器、E-mail效劳器865841YNF5100PIII866MHz,128MB,36GB/10000转SCSI,CD-ROM,网卡,15”黑5台数据库效劳器、文件传输效劳器865851YNF5100PIII933MHz,128MB,1*72GB/10000转SCSI,CD-ROM,网卡,15”黑2台视频效劳器、网管效劳器8666-31YNF7100PIII/Xeon700MHz/1MB,256MB,3*72GB/10000转SCSI,CD-ROM,15”黑2台千兆网卡3C985-Sx9块软件防火墙京联特Anti-X互联网过滤器〔网络版〕1套5.2软件系统设选择在一个计算机网络系统中，单有可靠高效的硬件是远远不够的，各种计算机网络功能的最终获得还有赖于网络硬件平台上的系统软件、效劳器软件、应用软件以及工具软件。系统软件系统软件在整个软件结构中处于最底层，直接与各种类型的硬件设备交互，主要作用是有效地支配和管理系统中的各种硬件资源。在XX中学校园网方案中，主要有以下系统软件。计算机操作系统：SUNSolaris、WindowsNT、Windows98、Windows95及DOS。系统软件的选择，从理论上讲，可以采用Unix、Linux、Windows或NetWare。但是系统软件的选择又是跟硬件平台的选择紧密关联的。Unix的版本很多，有IBM的AIX、HP的HP-Unix、SUNMicrosystems的Solaris、SCO公司的UnixWare等。如果硬件平台采用的是IBM公司的小型机，那么操作系统十有八九就是采用IBM的AIX，首先是因为这种搭配性能好，另外一点那么是厂家的策略了，当用户采用了他们的小型机或工作站以后，操作系统根本是免费的。既然免费，且性能还不错，那有什么理由不采用呢？在硬件平台选型一节里，我们已经推荐采用PC效劳器，并且也提过，PC效劳器与小型机、工作站的区别就在于他们的体系结构采用的是Wintel。既然如此，我们的操作系统理所当然地是采用微软的Windows系列了。应用系统的软件平台那么采用微软的Windows系列。稳妥一点，效劳器可以采用Windows2000Server，工作站操作系统采用Windows98。效劳器软件效劳器软件主要是为网络用户提供各种类型的信息效劳，主要有以下一些类型。电子邮件：提供校园网内用户的电子邮件收发效劳。可以采用的邮件效劳器有MicrosoftExchange以及SUNSolarisSMTPMail等。文件效劳：负责存储管理全网的公用软件和网络标准的标准文件，并向下一级节点分发全网信息检索表和存储信息资源。WWW效劳：用于存储管理全网超文本信息，对不同部门的信息提供授权访问。可以采用的WWWServer有MicrosoftIIS〔InternetInformationServer〕、NetscapeWWWServer和APACHEWWWServer等。Client端那么可用MSIE和NetscapeNavigator等。代理效劳器：MicrosoftProxyServer。DNS效劳：提供对校园网的域名效劳。NEWS效劳：负责存储、提供和管理电子新闻信息，为全网提供基于网络环境的电子论坛、新闻效劳。BBS效劳：允许网络用户提出问题，通过BBS获得或发布消息。数据库：在网络中心及其它主要网络节点的数据库，用于信息存储、检索等效劳。建议采用“甲骨文的”oracle数据库软件。应用软件在计算机网络系统中，有着异常丰富的应用软件。在XX中学校园网络中，同样会有各种各样的应用软件运行其上。OA系统软件：采用统一的Internet技术及各种软件进行办公自动化系统管理。包括校长办公、网络会议、办公审批、通知公告、公文收发和文档管理等子系统。管理信息系统软件：包括校长查询、后勤管理、财务管理、图书管理、教务管理和学籍管理等子系统。教学软件：包括计算机辅助教学系统和网络教学与远程教学系统。如多媒体教学系统、网络远程教学系统以及题库管理系统等等。计费软件：建议可以采用被华中科技大学成功应用过的开放〔计算机〕实验室管理系统软件。我们可以认为，整个XX中学的网络就是一个开放的计算机实验室，对任何在这个网上活动的用户进行管理和计费。工具软件工具软件主要是指那些用于方便地管理网络和计算机的软件。1、网络管理软件：包括网络管理平台软件和网络管理应用软件两类。2、网络平安软件：在这方面比拟优秀的有CAUnicenterTNG系统管理软件、IBMTivoliTME10系统管理软件等。这里采用XX中学指定的京联特Anti-X互联网过滤器〔网络版〕。3、病毒防止和去除软件：主要是面向以Windows9X、WindowsNT、Windows2000Server为主要操作平台的应用环境，较为出色的有NetworkAssociates的McAfeeTotalVirusDefense网络防病毒套件、CA的UnicenterTNG/AdvancedAntiVirusOption软件等等，国产的主要有KV3000以及瑞星等。4、网页制作工具软件：MicrosoftFrontPage2000，MacromediaDreamweaver3.0等。5、多媒体课件制作软件：Macromedia公司的Authorware、Director，洪图多媒体著作工作等都有着非常友好的界面，使用方便，拥有着大量的用户，推荐使用。第6章综合设计6.1多媒体教室多媒体教室根本组成多媒体教室由多媒体计算机、液晶投影机、数字视频展示台、中央控制系统、投影屏幕、音响设备等多种现代教学设备组成。1)多媒体液晶投影机是整个多媒体演示教室中最重要的也是最昂贵的设备，它连接着计算机系统、所有视频输出系统及数字视频展示台，把视频、数字信号输出显现在大屏幕上。2)数字视频展示台可以进行实物、照片、图书资料的投影，是一种非常实用的设备。3)多媒体计算机是演示系统的核心，教学软件都要由它运行，而且在很大程度上决定演示效果的好坏。4)中央控制系统。中央控制系统用系统集成的方法，把整个多媒体演示教室的设备操作集成在一个平台上，所有设备的操作均可在这个平台上完成。5)投影屏幕。用于和投影机配套使用。多媒体教室的教学功能课课堂演示教学教师在课堂中利用多媒体系统将教学内容直接投影在大屏幕上，并对教学内容进行讲解。运用这种方法传递信息比拟直观、明了，可以从视听方面刺激学生的感官，提高学生学习兴趣，增强学生观察问题、理解问题和分析问题的能力，从而提高教学质量和教学效率。1〕模拟教学多媒体技术可以把声音、图像、动画等有机结合起来，模拟宏观世界的现实场景和微观世界的事物运动，以帮助学生学习和理解一些抽象的原理和概念。随着计算机技术的开展，出现了"虚拟现实"技术，它是通过计算机产生一种仿真的环境，在这个环境中，学生可以作为一个实际操作者进行各种学习和操作，计算机可做出反响和判断。模拟教学的设备系统主要有计算机、效劳器和网络设备。是整个多媒体演示教室中最重要的也是最昂贵的设备，它连接着计算机系统、所有视频输出系统及数字视频展示台，把视频、数字信号输出显现在大屏幕上。2)数字视频展示台可以进行实物、照片、图书资料的投影，是一种非常实用的设备。3)多媒体计算机是演示系统的核心，教学软件都要由它运行，而且在很大程度上决定演示效果的好坏。4)中央控制系统。中央控制系统用系统集成的方法，把整个多媒体演示教室的设备操作集成在一个平台上，所有设备的操作均可在这个平台上完成。5)投影屏幕。用于和投影机配套使用。多媒体教室的教学功能课堂演示教学教师在课堂中利用多媒体系统将教学内容直接投影在大屏幕上，并对教学内容进行讲解。运用这种方法传递信息比拟直观、明了，可以从视听方面刺激学生的感官，提高学生学习兴趣，增强学生观察问题、理解问题和分析问题的能力，从而提高教学质量和教学效率。模拟教学多媒体技术可以把声音、图像、动画等有机结合起来，模拟宏观世界的现实场景和微观世界的事物运动，以帮助学生学习和理解一些抽象的原理和概念。随着计算机技术的开展，出现了"虚拟现实"技术，它是通过计算机产生一种仿真的环境，在这个环境中，学生可以作为一个实际操作者进行各种学习和操作，计算机可做出反响和判断。模拟教学的设备系统主要有计算机、效劳器和网络设备。6.2电子阅览室电子阅览室就是为学生提供上网的地方,里面有一些数据库,为学生查资料提供查找资料的场所!有一些国外的数据库。设置两个电子阅览室，每个阅览室有二十台电脑。6.3多功能厅系统概述多功能厅以其功能的多样性〔如：会议厅，视频会议厅，报告厅，学术讨论厅，培训厅等〕，特别适合我国国情需要，并在这几年的时间得到迅速普及应用。在初期的建设投入上可能要高於单一功能的投资建设，并且从技术的角度上来看，对系统在设计和施工上都有一定的技术复杂度，尤其对用户方的使用也有一定的技术要求，这就需要一种技术来综合管理不同功能的A/V设备使其相互协调的工作，这种技术就是中央控制技术。用户需求整个系统要高效率的完成教学任务，结合各个系统，充分发挥各个系统的功能，实现现代化的会议、教学、培训、学术讨论。1〕多媒体显示系统：多媒体显示系统由高亮度、高分辨率的液晶投影机和电动屏幕构成；完成对各种图文信息的大屏幕显示。由於房间面积较大，为了各个位置的人都能够更清楚的观看，整个系统设计了2套投影机显示系统。2〕A/V系统：A/V系统由4台计算机、摄像机、DVD、VCR〔录像机〕、MD机、实物展台、调音台、话筒、功放、音箱、数字硬碟录像机等A/V设备构成。完成对各种图文信息〔包括各种软体的使用、DVD/CD碟片、录像带、各种实物、声音〕的播放功能；实现多功能厅的现场扩音、播音，配合大屏幕投影系统，提供优良的视听效果。并且通过数字硬碟录像机，能够将整个过程记录在硬盘录像机中。3〕房间环境系统：房间环境系统由房间的灯光〔包括白炽灯、日光灯〕、窗帘等设备构成；完成对整个房间环境、气氛的改变，以自动适应当前的需要；譬如播放DVD时，灯光会自动变暗，窗帘自动关闭。4〕智能型多媒体中央控制系统：采用目前技术最成熟、功能最齐全，用途最广的中央控制系统，实现多媒体电教室各种电子设备的集中控制。要求操作简单、人性化、智能化；要求整个系统可靠性高；尽量多的表达出各种设备的卓越功能，让所有设备工作在最正确状态，发挥设备的最大成效；为完善操作人员的系统工作，要求能够实现计算机网路控制功能，完成远端监视、远端同步控制、远端维护等等功能能够控制DVD、录像机、MD进行播放、停止、暂停等功能；能够控制投影机，进行开/关机、输入切换等功能，并能够控制电动吊架、屏幕，实现上升、停止、下降等功能；能够控制实物展台进行放大、缩小等功能；能够控制音量，进行音量大小的调节功能；能够控制A/V榘阵、VGA榘阵，实现音视频、VGA信号自动切换控制功能；能够控制房间的灯光和窗帘，自动适应当前的需要。6.4多媒体应用的支持校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的效劳质量，满足大量用户对带宽的根本需要，并保存一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。整个网络在效劳质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。第7章网络管理设计7.1宿舍网管理设计伴随校园网建设进程的深入，XX大学认为，宿舍网的建设和管理水平直接影响着广阔学生的学习和生活，是促进数字化校园开展的重要内容，是高校综合竞争能力的重要表达，XX大学宿舍网的建设逐渐成为XX大学校园网建设的重点。自2003年启动宿舍网建设至今，宿舍网运营管理系统用户数已达2万余人，XX大学在校园网运营与管理方面积累了丰富的应用和管理经验，一直是国内诸多高校效仿的样版；XX大学宿舍网的成功源自于锐捷网络高校宿舍网解决方案的核心组成局部：SAM运营管理解决方案和GSN全局平安解决方案在XX大学的成功应用。锐捷网络SAM运营管理解决方案很好的解决了宿舍网建设和管理过程中普遍存在的问题，如IP地址管理〔自动分配〕，IP地址盗用，自动绑定IP、MAC等多种元素，同时，SAM具有灵活的计费策略、强大的控制策略〔防代理〕、完整的日志系统，实现了学校“以网养网”的网络建设目标。XX大学对SAM的使用有很深的感触：要想管理好万兆校园网、宿舍网，就必须采用涵盖先进技术的产品和完善的自动化管理；随着SAM应用的深入，我们逐步发现，要想充分发挥SAM的能量，必须对组织、制度、流程上加以改良，使运营管理水平更上一层楼！”因此我们制定了20多个具体的制度来标准我们的网络运营，到达了很好的效果。锐捷网络GSN全局平安解决方案提供的ARP三重立体防御功能彻底改善了网络中ARP攻击频发的局面，最大程度减轻了网络的工作强度与管理压力，使网络用户真正置身于一个平安、可信的网络环境中。7.2办公网管理设计高校办公网做为高校校园整体网络的一局部，在高校教育中所承当的作用愈来愈明显，它已成为高校教学、科研、办公及管理不可缺少的支撑环境。随着XX大学校园信息化的不断推进，教学管理、科研管理、教学资源管理、后勤与效劳管理等各种管理系统均需以校园办公网为载体，用以提高XX大学整体管理效率、促进教学、科研、效劳和管理水平。锐捷网络高校办公网解决方案的成功实施，很好的解决了XX大学办公网网络环境复杂、用户水平参差不齐、效劳质量要求高、平安事件层出不穷，无法进行有效管理等诸多问题。因此我们决定XX大学办公网部署锐捷网络SAM运营管理解决方案。办公网的认证计费采用锐捷网络基于标准的802.1X协议开发的平安计费管理系统，该系统集平安、计费、管理于一体为教育行业特别是高校宿舍子网提供了一套可运营、易管理的完整解决方案。核心技术采用802.1x+Radius协议构成；整个认证计费系统由锐捷平安交换机、RG-SAM效劳器、DHCP效劳器、门户效劳器、NTD流量统计设备等几个局部组成。RG-SAM主要为最终用户提供认证、计费和管理等功能，通过与接入层设备配合使用，在接入层设备上开启802.1x功能，实现对下接的所有用户进行认证和计费。7.3全IP数字监控网络设计XX大学在“平安文明校园”建设方面一直走在国内高校的前沿，2008年5月启动校园监控网络建设，旨在借助先进的技术手段提升平安文明校园的管理和维护水平，此次校园全IP数字监控网络是目前大连高校中监控范围最广、规模最大的监控网络。XX大学监控系统具有550余监控点，监控范围覆盖了整个校园，如何保证带宽、低延时抖动和视频流稳定是首先要考虑的。鉴于此，监控网络采用万兆冗余架构，通过标准的单播、组播路由协议，确保网络带宽不成为业务运营的瓶颈，RG-S6810E交换机采用全分布式线速转发结构，具有业界领先的吞吐率，可靠性高，支持流量整形，充分保证了大视频流的稳定高质量传输，锐捷网络“业务导向、面向效劳”的解决方案理念在校园监控网络建设过程中再次得到深入应用。因此我们采用十几台RG-S3250系列平安智能三层交换机完成网络摄像机集中区域接入、RG-iS2000V2.0〔20T〕做为监控数据的后台存储。7.4网络QoS设计为确保用户各种关键业务的正常开展，必须采取全面而系统的QoS设计(提供端到端QoS效劳)，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时；为了保证端到端用户的效劳质量，因此要求端到端数据流经的所有网络设备都支持实施的QoS策略，核心设备是多个效劳器接入的设备，并且担负着全网数据的交换，QoS的能力影响着全网的效劳质量保障能力。锐捷各款交换机都支持丰富的QoS功能，能确保重要业务量不受延迟或丢弃，同时又充分利用现有的带宽以保证网络的高效运行。例如，将下载一个大型文件的任务设置到交换机一个端口，而在该交换机的另外一个端口进行语音通信，为减少语音通信时延，保证通话质量，可在整个网络中对各种业务进行分类和优先级划分。例如Web浏览，可以作为低优先级对待，或者“尽力而为”地进行处理。QoS工作原理如图3所示：图3QoS工作原理图在骨干网络网络中，由于信息资源集中于骨干网络网络中心，为保证全网的QoS，要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS标注方案，而二层的802.1P标记对于骨干网络这样的网络并没有实际意义，因为802.1P的标记不能在交换机之间传递，只能在本机上有用。锐捷网络的RG-S6810E多业务万兆核心路由交换机支持基于基于DiffServ标准为核心的QoS保障系统，支持IPTOS、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑，另外提供灵活的端口队列管理机制，端口多级拥塞设置;具备MAC流、IP流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的效劳质量特性，提供效劳。通过从核心到接入设备全程对QoS的良好支持，全部硬件提供二到四层数据流交换，实现应用感知的功能，给予多媒体办公应用提供透明的QoS保障，确保真正的端到端的QoS的实现。第8章网络平安与管理8.1网络平安校园网的平安威胁主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网平安的攻击行为大概有40％左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络平安防护体系需要重点关注的地方。威胁网络平安因素分析计算机网络平安受到的威胁包括：1〕“黑客”的攻击；2〕计算机病毒；3〕拒绝效劳攻击〔DenialofServiceAttack〕。平安威胁的类型：1〕非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员平安配置不当造成的平安漏洞，用户平安意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。2〕冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以到达占用合法用户资源的目的。3〕破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。4〕干扰系统正常运行，破坏网络系统的可用性。指改变系统的正常运行方法，减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源，使有严格响应时间要求的效劳不能及时得到响应。5〕病毒与恶意攻击。指通过网络传播病毒或恶意Java、activeX等，其破坏性非常高，而且用户很难防范。6〕软件的漏洞和“后门”。软件不可能没有平安漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么平安可言。如Windows的平安漏洞便有很多。7〕电磁辐射。电磁辐射对网络信息平安有两方面影响。一方面，电磁辐射能够破坏网络中的数据和软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面，电磁泄漏可以导致信息泄露。网络平安防范措施在不改变原有网络结构的根底上实现多种信息平安，保障校园内部网络平安，我们选购了一套瑞星杀毒软件网络版。1〕超强病毒查杀2〕智能主动防御3〕增强型全网漏洞管理4〕强大的网络管理能力是网络平安的根底：部署、控制、执行、升级、报告和日志、二次开发。5〕兼容多种平台6〕一体化智能效劳体系8.2网络管理网络管理就是指监督、组织和控制网络通信效劳以及信息处理所必需的各种活动的总称。网络管理的内容网络管理的内容有如下五个方面：1〕网络故障管理；2)网络配置管理；3)网络性能管理；4)网络计费管理；5)网络平安管理。网络管理的手段在校园网络管理方面，为了便于校园网络管理人员的管理及维护，我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。Quidview网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。1〕网络集中监视Quidview网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供适宜的方式对网络参数进行配置修改，保证网络以最优性能正常运行。2〕故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。3〕性能监控Quidview网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。4〕效劳器监视管理效劳器是企业IP架构中的重要组成局部，通过Quidview，可实现效劳器与设备的统一管理。5〕设备配置文件管理当网络规模较大时，网络管理员的配置文件管理工作将十分繁重，如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。6〕配置文件的集中管理Quidview网络配置中心支持对设备配置文件的集中管理，包括配置文件的备份、恢复以及批量更新等操作，同时还实现了配置文件的基线化管理，可以对配置文件的变化进行比拟跟踪。7〕设备软件升级管理Quidview提供完善的设备软件备份升级控制机制。使用Quidview，管理员可以方便地查询设备上运行的软件版本，并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时，可以利用Quidview集中备份设备运行软件，然后进行批量升级。升级之后，可以使用Quidview进行升级结果验证，确保升级操作万无一失。8〕集群管理针对大量二层交换机设备的应用环境，Quidview网络管理软件提供集群管理功能，通过一个指定公网IP的设备〔称作命令交换机〕对网络进行管理。9〕堆叠管理Quidview网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。10〕故障定位与地址反查针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障。11〕RMON管理RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。8.3网络平安策略配置平安接入和配置平安接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络根底设施设备前必须通过认证和授权限制，从而为网络根底设施提供平安性。限制远程访问的平安设置方法如下表2:表2平安接入和配置方法访问方式保证网络设备平安的方法备注Console控制接口的访问设置密码和超时限制建议超时限制设成5分钟进入特权exec和设备配置级别的命令行配置Radius来记录logon/logout时间和操作活动；配置至少一个本地账户作应急之用telnet访问采用ACL限制，指定从特定的IP地址来进行telnet访问；配置Radius平安纪录方案；设置超时限制SSH访问激活SSH访问，从而允许操作员从网络的外部环境进行设备平安登陆WEB管理访问取消Web管理功能SNMP访问常规的SNMP访问是用ACL限制从特定的IP地址来进行SNMP访问；记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击为增加平安，建议更改缺省的SNMPCommutiy子串设置不同账号通过设置不同的账号的访问权限，提高平安性拒绝效劳的防止网络设备拒绝效劳攻击的防止主要是防止出现TCPSYN泛滥攻击、Smurf攻击等；网络设备的防TCPSYN的方法主要是配置网络设备TCPSYN临界值，假设多于这个临界值，那么丢弃多余的TCPSYN数据包；防Smurf攻击主要是配置网络设备不转发ICMPecho请求(directedbroadcast)和设置ICMP包临界值，防止成为一个Smurf攻击的转发者、受害者。访问控制1〕允许从内网访问internet，端口全开放。2〕允许从公网到DMZ〔非军事〕区的访问请求：WEB效劳器只开放80端口，mail效劳器只开放25和110端口。3)禁止从公网到内部区的访问请求，端口全关闭。4〕允许从内网访问DMZ〔非军事〕区，端口全开放5〕允许从DMZ〔非军事〕区访问internet，端口全开放6〕禁止从DMZ〔非军事〕区访问内网，端口全关闭。8.4电源系统为保证网络系统的平安运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源。第9章综合布线设计9.1综合布线的设计原那么综合布线同传统的布线相比拟，有着许多优越性，是传统布线所无法比及的。其特点主要表现为它的实用性、功能性、先进性、灵活性