（生物医学工程专业论文）医学院校校园网设计中关键问题的技术实现.pdf

医学院校校园网设计中关键问题的技术实现 研究生：宋博强 学科专业：生物医学工程 所在单位：第四军医大学生物医学工程系 导师：董秀珍教授 辅导教师：陈洪涛讲师 资助基金项目：北京军医学院院内重点课题 关键词：校园网；路由器；分组过滤；访问列表；虚拟局域网；服务质量保 证：网络安全；代理服务；汜费系统 中国人民解放军第四军医大学 2 0 0 4 年0 5 月 第四军医大学硕士学位论文 缩略语表 缩略语英文全称中文全称 a c ka c k n o w l e d g m e n tt c p 首都的确认标志 a da c t i v e d i r e c t o r y活动目录技术 a r pa d d r e s sr e s o l u t i o np r o t o c o l地址解析协议 a t m a s y n c h r o n o u s t r a n s f e rm o d e 异步传输模式 c e r n e tc h i n ae d u c a t i o na n dr e s e a r c hn e t w o r k中国教育与科研网 c o s c l a s so fs e r v i c e 分类服务 d m zd e m i l i t a r i z e dz o n e非军事区 d h c p d y n a m i c h o s tc o n f i g u r a t i o np r o t o c o l动态主机配置协议 d n sd o m a i nn a m e s y s t e m 域名系统 f d d if i b e rd i s t r i b u t e dd a t ai n t e r f a c e光纤分布式数据接口 f t p f i l et r a n s f e rp r o t o c o l文件传输协议 m t n m i l i t a r yt r a i n i n gn e t w o r k军事训练信息网 i d si n t r u s i o nd e t e c t i o ns y s t e m s入侵检测系统 i a n ai n t e m e t a s s i g n e d n u m b e r s a u t h o r i t yi n t e r a c t 地址授权机构 i c m pi n t e m e tc o n t r o lm e s s a g ep r o t o c o li n t e r n e t 控制报文协议 i e e ei a s t i t u t eo f e l e c t r i c a la n de l e c t r o n i c se n g i n e e r i n g ( 美国) 电器电子工程 师协会 i e t fi n t e m e t e n g i n e e r i n g t a s kf o r c ei n t e m e t 工程任务组 i g m pi n t e m e tg r o u p m a n a g e m e n t p r o t o c o li n t e r a c t 分组管理协议 i pi n t e m e t p r o t o c o l网际协议 i s pi n t e m e ts e r v i c ep r o v i d e r i n t e m e t 接入服务提供商 l a nl o c a la r e an e t w o r k局域网 l 3 l a y e r 3 3 层交换技术 n a tn e t w o r k a d d r e s st r a n s l a t i o n 网络地址转换 o d b c o p e n d a t a b a s e c o n n e c t i v i t y开放数据编程接口 第1 页 第四军医大学硕士学位论文 o s p f o s i p d c q o s r a r p s m t p s n m p s t p t c p u d p v l a n v r r p n l eo p e ns h o r t e s tp a t hf i r s t o p e ns y s t e m s i n t e r c o n n e c t i o n p r i m a r yd o m a i nc o n t r o l l e r q u a l i t y o fs e r v i c e r e v e r s ea d d r e s sr e s o l u t i o np r o t o c o l s i m p l em a i lt r a n s f e rp r o t o c o l s i m p l en e t w o r km a n a g e m e n t p r o t o c o l s p a n n i n g t r e ep r o t o c o l t r a n s m i s s i o nc o l l t r o lp r o t o c o l u s e rd a t a g r a r np r o t o c o l v i r t u a ll a n v i r t u a lr o u t e r r e d u n d a n c y p r o t o c 0 1 第2 页 最短路由算法 开放系统互联 主域控制器 服务质量 逆地址解析协议 简单邮件传送协议 简单网络管理协议 生成树协议 传输控制协议 用户数据报协议 虚拟局域网 虚拟路由冗余协议 第四军医大学硕士学位论文 医学院校校园网设计中关键问题的技术实现 硕士研究生：宋博强 导师：董秀珍教授 第四军医大学生物医学工程系，西安7 1 0 0 3 2 中文摘要 校园网通常会部署防火墙来加强对内部网络的保护。路由器则处于防火墙 的外部，负责与i n t e r n e t 的连接。防火墙重点解决如何有效防范外部非法 入侵问题，它总是假定来自内部网络的访问都是合法的、安全的，只有来 自外部网络的访问才是不安全的、需要限制的。防火墙技术在一定程度上 可以保护内部用户避免受到来自外部的攻击。如何保护一般处于防火墙外 部的路由器安全，避免成为攻击者发起攻击的一块跳板，对内部网络安全 造成威胁；对于内部用户有可能的非法操作，诸如对学院重要服务器的攻 击、对外部网络的攻击、散布非法言论等，如何限制。防火墙技术对这两 类问题均无能为力。 位于校园网安全防线防火墙外面的路由器，如果未采取适当的安全防范策 略，就可能成为攻击者发起攻击的一块跳板，对内部网络安全造成威胁。c i s c o 路由器使用分组过滤技术，可以有选择地放行或阻止网络中传输的数据流，以 此实现网络安全或流量控制方面的需要。本文在讨论有关分组过滤理论的基础 上，分析讨论了网络中现存的安全漏洞以及攻击行为，针对它们的特点，分别 利用静态分组过滤技术和动态分组过滤技术，在c i s c o 路由器上设计实现了安 全访问控制策略。通过对比两种分组过滤技术，我们认为静态分组过滤技术是 一种非智能过滤技术，只提供对高级攻击的基榭，但是对系统资源占用较 少，适用于分级网络安全模型。通过在防火墙外部的边界路由器中启用静态分 组过滤，增加了一层安全屏障，可以有效增强网络安全性。动态分组过滤技术 是种智能过滤技术，可以根据分组属性和状态表进行信息流控制，但是占用 系统资源较多。对于资金较为紧张的单- 3 1 ，在没有配置专用防火墙的情况下， 第3 页 第四军医大学硕士学位论文 则优先考虑采用动态分组过滤技术。 在局域网交换技术中，虚拟局域网( v l a n l 3 交换) 是种迅速发展的 技术。v l a n l 3 交换技术的引入使得计算机设备的互联和管理不再受地理环 境和位置的制约，使网络结构变得灵活、方便。随着千兆以太网技术的广泛应 用，服务质量保证( q o s ) 概念被引进至b 千兆位以太网。q o s 使网络管理者 能够对带宽分配进行控制，这有助于保证高优先级的业务量在有低优先级 业务量的情况下不会被丢弃。8 0 2 i p 服务分级协议是目前支持千兆位以太网 q o s 的标准协议之一，它为千兆位以太网信息流定义了8 个等级的优先级别， 针对不同的优先级可以分配不同的带宽。本课题首先介绍q o s 、8 0 2 1 p 、二层 交换、1 ，l a n 、三层交换的有关概念，初步探讨了这些核心概念在3 c o r ns w i t c h 4 0 0 7 上的技术实现。结合具体的校园网环境，在对整个校园网用户进行科学、 合理的v l a n i p 规划基础上，分析了校园网用户的特点，把所有的外来人员、 流动用户或是学生，利用v i a n l 3 技7 r 划到个独立的v l a n 。出于保护内部 网络安全的考虑，限制该v l a n 用户对校园网内部其它v l a n 的访问，同时允许 该v l a n 用户向外及对内部重要服务器的合法访闷。根据这一要求，我们设计 了个访问控制策略。基于源网络源端口到目的网络目的端口的区分，我 们分别设计实现了该v l a n 到其他v l a n 、该v l a n 到关键服务器、该v l a n 到 i n t e r n e t 的流量定义。利用千兆位以太网的q o s 特性，我们为上述预定义 的流量分别制定了带宽控制策略。这样，在不增加额外设备投入的情况下， 本课题设计实现了对局域网内部用户的访问控制。 记费系统的设计实现是校园网设计中另一个非常重要的问题。针对不同 的局域网环境、不同的收费办法及用户管理策略，记费系统的实现方法千差万 别。本课题从单位的实际需求出发，提出了一个基于典型校园网环境的记费系 统的实现方法。具体思路如下：利用微软的活动目录a d ( a c t i v ed i r e c t o r y ) 技术，可以实现用一个统一的域用户帐号管理邮件帐号和代理服务帐号。校园 网内的所有用户使用一个睢的域用户枨号可以完成以下任务：实现对内部服 务器合法的授权访问；通过邮件服务器认证享受方便快捷的邮件服务；通过代 理服务器认证访问i n t e r n e t 网站。基于这样的用户管理策略，本课题设计的 计费系统基于用户帐号实现。在校园网内，只要拥有一个合法的帐号，通过任 何一台接入校园网的计算机，就可以实现对i n t e r n e t 的访问。记费系统用户 第4 页 第四军医大学硕士学位论文 帐号的添加、修改、删除可以在域中的任何一台域控制服务器或成员服务器上 实现，用户帐号的认证由代理服务器实现。微软的h i sp r o x y 2 0 在对用户帐号 进行认证的同时，可以对通过认证的用户帐号的所有上网操作产生一个详细的 日志。通过分析该日志，可以得到每一个用户帐号上网的重要信息，包括访问 过的站点的i p 地址、流量、时间等等。从日志中提取出这些有意义的信息， 通过编程，就可以实现基于用户帐号的记费管理系统。由于记费是基于用户帐 号而不是i p 地址，所以可以防止由于i p 地址盗用造成的记费错误。 关键词校园网；路由器；分组过滤；访问列表：虚拟局域网；服务质量保 证：网络安全；代理服务；记费系统 第5 页 第四军医大学硕士学位论文 t h e s t r a t e g i e sa n d s c h e m e sf o ri m p l e m e n t i n gk e y t e c h n o l o g i e s i nc a m p u sn e t w o r k c a n d i d a t ef o rm a s t e r ：s o n gb o q i a n g s u p e r v i s o r ：d o n gx i u z h e n d e p a r m a e n t o f b i o m e d i c a l e n g i n e e r 迦，f o u r t hm i u t a r y m e d i c a l u n i v e r s i t y , x i a n 7 1 0 0 3 2 ，c h i n a a b s t r a c t c a m p u s n e ti s t h eo n - c a m p u ss e r v i c et h a te r m b l e sy o u rc o m p u t e rt o a c c e s st h ei n t e r o e ta n do t h e rc a m p u sn e t w o r kr e s o u r c e sf r o my o u rr e s i d e n c e h a l l f i r e w a l lp r o t e c t i o ni sn e e d e di nc a m p u s n e t n em o s tb a s i cf u n c t i o no f af i r e w a l ii st om o n i t o ra n df i l t e rt r a f i l e w ec a np r o v i d ef l e x i b l en e t w o r k a c c e s sc o n t r o l st h r o u g hac o n t r o l l e df i r e w a l l r o u t e ri sad e v i c et h a tf o r w a r d s d a t ap a c k e t sa l o n gn e t w o r k s 。ar o u t e ri sc o n n e c t e dt oa tl e a s tt w on e t w o r k s c o m m o n l y a c a m p u s n e t a n di t si s pn e t w o r k r e u t e r sa l el o c a t e da tg a t e w a y s ， t h ep l a c e sw h e r et w oo rm o r en e t w o r k sc o l n e c t s ot h ef i r e w a l lc a nn o t p r o v i d es a f e t yp r o t e c t i o nf o rt h er o u t e lf i r e w a l lm o n i t o r sn e t w o r kb e h a v i o r f o rs i g n so fa b u s eo ri n t r u s i o nf r o mo u t e ru s e ri ns o m ed e g r e e ，b u ti tc a n t d e t e c tt h ea b u s eo ri n t r u s i o ni uc a m p u s u s e r s n 地q u e s t i o nw e w a n tt od i s c u s s h e r ei sh o wt op r o v i d eaf i r s ta n d s t r o f l g e rp r o t e c t i o nf o rt h e r o u t e ri nc a m p u s n e t w o r ka n dh o wt or e s t r i c tt h eu s e r s b e h a v i o ri nc a m p u s n e t w o r k t h e p a p e rf i r s td i s c u s s e sa n da n a l y s i st h es e c u r i t yp r o b l e mo f t h er o u t e r a n di tp r o v i d e st h ee f f i c i e n tm e t h o dt oh e l pn e t w o r km a n a g e rt oe n s u r et h e s e c u r i t vo fr o u t e ra n dn e t w o r k c i s c or o u t e ri m p l e m e n t sw a f f i cf i l t e r sw i t h a c c e s sc o n t r o l1 i s t sf a l s oc a l l e da c c e s sl i s t s ) a c c e s sl i s t sd e t e r m i n ew h a t t r a f f i ci sb t o c k e da n dw h a tt r a f f i c sf o r w a r d e da tr o u t e ri n t e r f a c e s c i s c o p r o v i d e sb o t hs t a t i ca n dd y n a m i c a c c e s sl i s tc a p a b i l i t i e s 1 1 l es t a t i ca c c e s sl i s t s t op r o v i d eab a s i cl e v e lo fs e 0 们够f o r a c c e s s i n gy o u rn e t w o r k 1 1 l ed y n a m i c a c c e s sl i s t s p r o v i d es o p h i s t i c a t e dt r a f f i cf i l t e r i n gc a p a b i l i t i e sf o rs t r o n g e r , m o r ef i e x i b l en e t w o r k s e c u r i t y t op r o v i d et h es e c u r i t yb e n e f i t so f a c c e s sl i s t s ， y o us h o u l da tam i n i m u mc o n f i g u r ea c c e s sl i s t so nb o r d e rr e u t e r s r e u t e r s 第6 页 第四军医大学硕士学位论文 s i t u a t e da tt h ee d g e so fy o u rn e t w o r k s o t h e r w i s et h eb o r d e rr o u t e rw o u l d b e c o m eb o t t l e n e c ki nc a m p u s n e t w o r k i nl a ns w i t c ht e c h n o l o g y , v l a n l 3 d e v e l o pv e r y f a s t s h o r tf o rv i r t u a l l a n an e t w o r ko f c o m p u t e r s t h a tb e h a v ea si f t h e ya r ec o n n e c t e dt ot h es a m e w i r ee v e n t 1 1 0 u g bt h e ym a ya c t u a l l y b e p h y s i c a l l y l o c a t e do nd i f f e r e n t s e g m e n t so fal a n v l a n sa r ec o n f i g u r e dt h r o u g hs o f t w a r e r a t h e rt h a n h a r d w a r e ，w h i c h m a k e st h e m e x t r e m e l y f l e x i b l e o n eo ft h e b i g g e s t a d v a n t a g e so f v l a n si st h a tw h e nac o m p u t e ri sp h y s i c a l l ym o v e dt oa n o t h e r l o c a t i o n ，i tc a ns t a yo n t h es a m ev l a nw i t h o u ta n yh a r d w a r er e c o n f i g u r a t i o n t h et e c h n o l o g yo f g i g a b i te t h e m e t i nc a m p u sn e t w o r kp r o v i d eq o sa s s u r e 0 0 sr e f e r st ot h ec a p a b i l i t yo fan e t w o r kt op r o v i d eb e t t e rs e r v i c et ot h e s e l e c t e dn e t w o r kt r a f f i co v e rv a r i o u st e c h n o l o g i e s t h ep r i m a r y g o a lo fq o s i st o p r o v i d ep r i o r i t yi n c l u d i n gd e d i c a t e db a n d w i d t h ，c o n t r o l l e dj i t t e ra n d l a t e n c y ( r e q u i r e db ys o m e r e a l t i m ea n di n t e r a c t i v et r a f f i c ) ，a n di m p r o v e dl o s s c h a r a c t e r i s t i c s i ti si m p o r t a n tt om a k es u r et h a tp r o v i d i n gp r i o d t yf o ro n eo r m o r ef l o w sd o e sn o tm a k eo t h e rf l o w s 脚1 t l l i sp a d e ra n a l y z e daf e wk i n d so f c o m b i n e dt e c h n i q u e sw h i c ha r e a d o p t e db yt h eq o so fg i g a b i te t h e r n e t 。 8 0 2 1 pp r o t o c o li so n eo f t h ep r o t o c o l st h a ts u p p o r t e db yt h eq o so f g i g a b i t e t h e m e t c o m b i n e dv l a n l 3w i t hq o s ，t h i sp a p e rd e s i g nam o d e lh o wt o c o n t r o lt h eb a n d w i d t h o fc a m p u sn e t w o r ku s e r i ta l s ob e c o m e sak i n do f n e t w o r k s e c u r i t yp o l i c i e s t h en e t w o r ka c c o u n t i n gm a n a g ep l a y sa ni m p o r t a n tr o l ei nn e t w o r k m a n a g e m e n t n ei m p l e m e n t i n go f n e t w o r ka c c o u n t i n gs y s t e md e p e n d so n n e t w o r km a n a g e m e n tp o l i c i e s t 1 1 i sp a p e rp r o v i d e st h ee f f i c i e n tm e t h o dt o h e l p n e t w o r km a n a g e rt oe n s u r et h e a c c o u n t i n g o fn e t w o r k n l er u l e i m p l e m e n t a t i o n a n d p r o b l e m s c o n c e r n e dw i t h a c c o u n t i n g a r ed i s c u s s e d a c t i v ed i r e c t o r y , w h i c hi sa ne s s e n t i a lc o m p o n e n to ft h ew i n d o w s2 0 0 0 a r e h i t e c t u r e ，p r e s e n t so r g a n i z a t i o n sw i t h ad i r e c t o r ys e r v i c ed e s i g n e df o r d i s t r i b u t e dc o m p u t i n ge n v i r o n m e n t s a c t i v ed i r e c t o r ya l l o w so r g a n i z a t i o n st o c e n t r a l l ym a n a g ea n ds h a r ei n f o r m a t i o no nn e t w o r k r e s o u r c e sa n du s e r sw h i l e a c t i n ga st h ec e n t r a la u t h o r i t yf o rn e t w o r ks e c u r i t y t h eu s e r sm u s tl o go n w i n d o w s 2 0 0 0n e t w o r kb ys u p p l y i n gau n i q u eu s e rn a m ea n d p a s s w o r d 1 1 l e p r o x ym u s tv a l i d a t eo fa u t h e n t i c a t et h i sl o g o ni n f o r m a t i o nf o rt h eu s e r si n o r d e rf o rt h eu s e r st oh a v ea c c e s s w eh a v et h e p r o x ys e r v e rw e bp r o x y 第7 页 第四军医大学硕士学位论文 s e r v i c es e tt ol o gt oad a t a b a s eo nt h es q ls e r v e r 2 0 0 0u s i n go d b cd r i v e r s b ya n a l y z i n gl o g s ，w e c a ng e tt h ef e eo f u s e r s k e y w o r d s c a m p u sn e t w o r k ；r o u t e r ；p a c k e tf i l t e r ；a c c e s s l i s t ；v i r t u a ll a n ； q o s ；n e t w o r ks e c u r i t y ；p r o x ys e r v i c e ；n e t w o r ka c c o u n t i n gs y s t e m 第8 页 第四军医大学硕士学位论文 前言和文献回顾 前言 设计一个足够安全的网络是网络设计人员追求的目标。网络安全涉及 网络的各个层面，包括；链路层、网络层、应用层、网络管理、网络可靠 运行等诸多方面，每一个层面都存在不同的安全隐患。针对网络中存在的 安全问题，有不同的安全技术来解决，常用的有：防火墙技术、入侵检测 技术( i d s ) 、网络防病毒技术、安全认证技术、负载均衡技术、安全扫 描技术、信息加密技术等。网络安全问题与投资、效率相矛盾。每一项安 全技术的应用，同时意味着资金投入增加、用户使用方便性下降、网络效 率降低。所以针对不同的网络环境，技术人员需要找的是种在安全、投 资及效率这三者之间一种折中的解决方案。网络计费是校园网管理中另一 项重要内容。合理准确的计费方案会为校园网正常运行、稳定发展奠定坚 实的基础。本课题从单位实际需求出发，针对校园网设计管理中遇到的网 络安全与计费管理问题，提出了初步的技术解决方案。 校园网通常会部署防火墙来加强对内部网络的保护。路由器则处于防火墙 的外部，负责与i n t e p 岍i 的连接。防火墙重点解决如何有效防范外部非法 入侵问题，它总是假定来自内部网络的访问都是合法的、安全的，只有来 自外部网络的访问才是不安全的、需要限制的。防火墙技术在一定程度上 可以保护内部用户避免受到来自外部的攻击。如何保护一般处于防火墙外 部的路由器安全，避免成为攻击者发起攻击的一块跳板，对内部网络安全 造成威胁；对于内部用户有可能的非法操作，诸如对学院重要服务器的攻 击、对外部网络的攻击、散布非法言论等，如何限制。防火墙技术对这两 类问题均无能为力。 位于校园网安全防线防火墙外面的路由器，如果未采取适当的安全防范策 略，就可能成为攻击者发起攻击的块跳阪，对内部网络安全造成成胁。c i s c o 路由器使用分组过滤技术，可以有选择地放行或阻止网络中传输的数据流，以 此实现网络安全或流量控制方面的需要。本文在讨论有关分组过滤理论的基础 上，分析讨论了网络中现存的安全漏洞以及攻击行为，针对它们的特点，分别 第9 页 第四军医大学硕士学位论文 利用静态分组过滤技术和动态分组过滤技术，在c i s c o 路由器上设计实现了安 全访问控制策略。通过对比两种分组过滤技术，我们认为静态分组过滤技术是 一种非智能过滤技术，只提供对高级攻击的基本保护，但是对系统资源占用较 少，适用于分级网络安全模型。通过在防火墙外部的边界路由器中启用静态分 组过滤，增加了层安全屏障，可以有效增强网络安全性。动态分组过滤技术 是种智能过滤技术，可以根据分组属性和状态表进j 黼流控制，但是占用 系统资源较多。对于资金较为紧张的单位，在没有配置专用防火墙的情况下， 贝帖先考虑采用动态分组过滤技术。 在局域网交换技术中，虚拟局域网( v l a n l 3 交换) 是一种迅速发展的 技术。v l a n l 3 交换技术的引入给网络设计、管理和维护带来某些根本性的 改变，使得计算机设备的互联和管理不再受地理环境和位置的制约；使网络结 构变得灵活、方便、随心所欲。随着千兆以太网技术的广泛应用，服务质量 保证( q o s ) 概念被引进到千兆位以太网。q o s 使网络管理者能够对带宽分 配进行控制，这有助于保证高优先级的业务量在有低优先级业务量的情况 下不会被丢弃。8 0 2 1 p 服务分级协议是目前支持千兆位以太网q o s 的标准协 议之一，它为千兆自以太网信息流定义了8 个等级的优先级别，针对不同的优 先级分配不同的带宽。利用千兆位以太网技术在多媒体应用传输方面提供 的q o s ，结合v l a n l 3 技术，本课题设计实现了对局域网内部用户进行访 问控制的技术实现方案。 记费管理是校园网设计实现中一个非常重要的环节。针对不同的局域网 环境、不同的收费办法及用户管理策略，记费系统的实现方法千差万别。本课 题从单位的实际需求出发，提出了一个基于典型校园网环境的记费系统的实现 方法。具体思路如下：利用微软的活动目录( a c t i v ed i r e c t o r y ) 技术，可以 实现用一个统一的域用户帐号管理自阡涨号和代理服务帐号。校园网内的所有 用户使用一个唯一的域用户帐号可以完成以下任务：实现对内部服务器合法的 授权访问；通过邮件服务器认证享受方便侠捷的邮件服务；通过代理服务器认 证访问i n t e r n e t 网站。基于这样的用户管理策略，本课题设计的计费系统同 榉基于用户帐号实现。在校园网内，只要拥有个合法的帐号，通过任何一台 接入校园网的计算机，就可以实现对i n t e r n e t 的访问。记费系统用户帐号的 添加、修改、删除可以在域中的任何一台域控甫归酲务器或成员服务器上实现， 第1 0 页 第四军医大学硕士学位论文 用户帐号的认证由代理服务器实现。微软的m sp r o x y 2 0 在对用户帐号进行认 证的同时，可以对通过认证的用户帐号的所有上网操作产生一个详细的日志。 通过分析该日志，可以得到每一个用户帐号上网的重要信息，包括访问过的站 点的i p 地址、流量、时间等等。从日志中提取出这些有意义的信息，通过编 程，就可以实现基于用户帐号的记费管理系统。由于记费是基于用户帐号而不 是i p 地址，所以可以防止由于i p 地址盗用造成的记费错误。 文献回顾 1 1 本课题背景 校园网是地理位置囿于校园内的计算机网络，在分类匕既不属于局域网， 又不属于广域网，也可以说校园网是多个局域网的集合，带有与广域网相连接 的出口。将分布在全国各地的大学，甚至中、小学的校园网用公共通信线路互 相连接起来，构成一个全国性的广域网，在我国，被称作中国教育与科研网 ( c e r n e t ：c m n ae d u c a t i o na n dr e s e a r c hn e t w o r k ) 中国教唷与科研网和国 际上的i n t e r n e t 网( 国际互联网) 互连，便成为i n t e r n e t 的一个组成部分。 c e r n e t 由全国主干网、地区网和校园网三级结构组成，c e r n e t “1 的主干网采用 三环拓朴结构，对多个节点提供冗余连接，形成多环的网络拓朴结构，网络体 系结构和协议采用与i n t e r n e t 相一致的t c p i p 网络体系结构。c 删的网 络中心设在清华大学，c e r n e t 的8 个地区网络中心设在北京、沈阳、南京、 上海、广州、西安、成都、武汉，地区网络中心的主要职能是负责本地区网络 建设的有关事宜，是各地区高校联网的中心。 作为个以护理专业为特色、军内外知名的高等医科院校，要想在未来的 医学教育和科研领域取得领先的地位，筹建校园网就显得尤为重要。北京军医 学院校园网建设历时两年半，一、二期工程投资达4 0 0 余万元，布点1 3 0 0 余 点，覆盖学院听有教学场所、办公场所及部分家属楼。整个网络结构由两套物 理隔离的网络构成，我们称为民网、军网。民网接入中国教育科研网( c e 刚既) ， 军网接入军事训练信息网( f i n ) 。在网络技术选型上，采用千兆以太网作为 我院校园网主干网。网络设备采用3 c 0 m 公司产品；采用6 台咿服务器，6 台 d e l l 服务器，1 台联想服务器；采用2 台c i s c o 路由器。军网、民网均采用最 新的防火墙技术，军网使用国产s t o p h a c k e r 硬件防火墙，民网使用i b m f i r e w a l l 软件防火墙。软件部分包括：t r a n s c e n d 网络管理软件；临s q l 第1 1 页 第四军医大学硕士学位论文 s e r v e 2 0 0 0 ：m se x c h a n g e2 0 0 0 ：p r o x y 2 0 ；m sw i n d o w s2 0 0 0 ；l o t u sn o t e s 。 在应用系统方面，开发了办公自动化系统、视频点播系统、教学管理支持系统、 网络计费系统。 1 2 建设目标与设计原则 校园网是各单位实现数字化、信息化的的重要基础设施，是提高管理水平、 科研水平不可缺少的支撑环境。校园网建设投资大、技术含量高，因此建网的 目标必须明确。在校园网建设中，根据总目标，可以制订下列设计原则： 统一规划、分步实旌。校园网的建设是一项复杂的系统工程，投资较大， 所需经费很难一步到位。因此，必须在总目标的指导下，搞好校园蹰建设的总 体规划。大多数单位都缺乏网络方面的专业技术人员，在制订校园网的总体规 划时，应请相关专家参与、指导。一般来说，总体规划包括：各单位概况、连 网需求、技术方案的选择、网络结构( 主干网与子网以及路由设置) 、网络管 理、网络服务、飚络资源开发、实施计划、经费概算( 包括分阶段的投资安排) 、 组织管理与人员培训等。在总体规划的指导下，有计划有步骤地实施。在每一 个实施阶段，都要注重效益，强调网络服务与应用，这是争取后续投资的重要 条件。 采用先进而成熟的技术。建设校园网，既要有一定的先进性，同时又要 采用较为成熟的技术，因为它是一个实用网。 网络结构应简单、灵活，易于将来更新和扩展。 坚持开放性。采用国际标准，在网络协议上，主干网一律采用t c p i p 协议，其他协议( 如i p x ) 只能在局域网中使用。 坚持从实际出发，兼顾网络技术的发展与各单位的实际，做到少花钱、 多办事、办好事。校园网的建设，必须从实际出发，根据自身的投资强度、技 术力量以及网络需求，选择技术比较先进而又适合各单位的网络技术，即要考 虑满足当前及今后若干年的需要，又要考虑网络技术的新发展，使现有的投资 受到保护。 1 3 校园网设计的几神可选方案 当前网络技术发展非常迅速，在进行校园网建设日尊碰到的第个问题就 是：校园网主干应选择什么样的网络技术? 校园网设计中主要有三种主流技 术： 州、f d d i 、千兆以太网( 万兆以太网) 。 第1 2 页 第四军医大学硕士学位论文 f d d i “3 是基于令牌环技术的i o o m 光纤网络。技术成熟、可靠| 生高。传输 介质的共享性使其吞吐率厘定，扩充困难。另外，f d d i 价格偏高。 a t m 是种新的复用与交换体制，享有极高的带宽，特别适合于多媒体信 息的传输。在网络领域具有较强的优势。但a t m 与以太网连接困难，而且网络 造价很高，故在校园网建设中较少采用。 千兆以太网。1 是1 9 9 8 年出台的更高速的以太网标准。技术成熟，费用较 低，扩容陲好，同时较好地解决了多媒体数据传输的问题。是目前唯一可以与 a t m 相抗衡的高j 眭能网络技术。随着技术的发展，可以方便地向i o g b 以太网 升级，以满足网络应用的更高需求。综e 所述，根据我院实际需求与经费情况， 在校园网方案的设计中，选用千兆位以太网作为主干，下连快速以太网，无缝 集成现有设备与应用。主干传输介质采用光缆。 规模比较小的单位在选择网络技术时应把握一个十分重要的原则，就是” 不要攀比”，必须从实际需要出发。有的单位一味追求”技术先迸”，看到别的 各单位选择a t m ，自己也盲目地选择a t m 技术，结果造成资金的浪费。对于资 金比较紧张的单位f d d i 、删都不是最佳的选择对象，首选技术应当是以太网 技术。千兆以太网有良好的性能价格比，安装、实施、管理非常容易，这使得 千兆以太网技术成为高速、高带宽网络应用的战略性选择。从目前来看，选择 千兆以太网还是万兆以太网，主要看各单位的具体的应用需求和资金情况。 对于经费困难的单位，可先投资一二十万元建立各单位网络中心。在网络 中心组建一个工作组级的交换以太网，以局域网的形式与区域中心节点连通， 从而实现与i n t e r n e t 互通。网络咿d 可以为本单位用户提供基本的拨号接入、 w 啼、m a i l 、f t p 等服务，今后逐步扩展升级，建立单位的主干网和下属子网。 子网的建设可调动各下属单位的积极性，网络中心只作技术咨询。 1 4 校圊网建设的实旋办法 1 4 1 组织领导班子 网络建设，首先需要成立一个领导班子。有许多有关各单位发展的深远问 题需要去思考，有许多迫在眉睫的琐碎事情需要去处理。组织个领导小组， 由位单位的主要领导负责，汇集各方面的人才，对网络建设的每一个步骤， 做到心中有数，繁而不乱。 现列出以下一些问题，供领导小组参考“。 第1 3 页 第四军医大学硕士学位论文 1 进行可行性研究，规划校园网的布局，提出技术要求，为校园网工程立 项。 2 筹集资金。首先要根据各单位建网方案预算所需资金，再分别预算工程 的每个阶段需要多少资金。 3 校园网建成后准备开展哪些应用，与当前工作如何结合。 4 与网络集成公司接触、咨询、取得帮助。 5 具体工程实施的组织，各阶段时间的衔接配合。 6 网络建成以后的运行、管理、服务等制度的建立。 1 4 2 筹集资金 建设校园网的经费，除了购买网络设备、网络软件、布线工程、场地建设 外，还有网络管理员的培训费用。建设校园网所需费用与校园网的结构、规模、 先进程度有关，具体所需多少费用，可向网络集成公司询价，公司会就具体的 分项目给出报价。 1 4 3 招标 招标首先要进行可行性研究。明确校园网的规模、布局、应用要求等。招 标书( 或者可行性报告) 要求列出单位的地下管道、电缆及楼宇布局，校园网 建设目标与任务，网络结构与位置，网络设备要求( 包括软件和硬件) ，网络 布线要求，对通信设备的要求等等。 1 4 4 投标 集成公司根据建网各单位的招标技术文件写出校园网及信息系统方案建 议书，分别论述总体设计思想、主干网建设方案、网控中心和布线系统以及本 方案的特点和选用设备的特点，并给出系统报价。 1 4 5 评标 评标工作可以自己聘请有关专家