校园网建设毕业论文 xxx校园网络规划和设计.doc

xxx校园网络规划和设计 xxx班 xxx xxx学院计算机应用技术专业毕业论文（设计）xxx校园网络规划和设计姓名：xxx学号：xxx专业方向：xxx指导老师：xxx 完成时间:xxx46摘 要社会在不断进步，科技在迅猛的发展，经济在不断的提升，随着互联网技术的蓬勃发展，设计一个切实可行并具有很好的安全性的校园网络是一件富有挑战性的工作。本文通过分析网络技术特点和目前校园网的普遍需求及实际应用，讲解了校园网络的基本知识，包括路由器，三层交换机，无线AP，服务器等网络设备，VLAN，和iP地址，同时对主要设备进行了选型。通过internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。本着技术先进、投资合理、充分利用现有教学设备，在技术上和设备上适当超前的原则，建立规范化、技术先进、扩展性能良好、性能价格比高的校园网络信息系统。要在信阳师范学院教学和行政管理两方面实现信息化，积极开发，广泛运用现代教育技术和信息资源，全面提高学院教师学生运用信息技术进行学习和工作的能力，全面推进信息技术与学科课程的整合、创造适应新时代要求的现代教学模式和管理模式，提高教育效益与质量，形成具有现代教育信息化的新特色。学校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使校园网实现安全可靠的高速访问，从而达到教育管理、多媒体教学、图书馆管理自动化的目的。建成以先进的网络技术、计算机技术和多媒体技术为主要手段的多层开放式、全方位信息通讯与信息管理系统。利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。最后，对整个设计进行总结，分析校园网络中存在的问题和需要继续完善的地方。关键词：校园网,综合布线,网络安全,VLAN划分目 录第一章 绪论11.1 校园网建设的原则21.2 开发背景及意义21.2.1 开发背景21.2.2 开发意义31.3 当前研究现状3第二章 校园局域网技术32.1 计算机网络32.2 计算机网络在校园的应用42.3 校园网的建设思路和原则6第三章 校园网建设需求分析与设计目标83.1 校园网的需求分析83.2 校园网设计目标93.3 校园网实现的功能11第四章 网络规划124.1 拓扑设计与骨干结构124.1.1 骨干层124.1.2 接入层134.2网络架构设计与拓扑结构14第五章 组网技术方案165.1 网络技术165.1.1 网络技术类型165.1.2 交换技术介绍175.1.3 虚拟局域网VLAN185.1.4 VLAN的划分方法195.1.5 VLAN的优越性215.2主要设备225.3网络组成24第六章 网络安全286.1 校园网安全隐患分析286.2 网络安全设计目标296.3 解决方案306.3.1安装漏洞扫描系统336.3.2部署趋势网络版杀毒产品336.3.3建立安全管理制度34结束语35致谢36参考文献36第一章 绪 论互联网的迅猛发展，极大的改变着我们的生活方式。信息通过网络迅速传播，打破了地域和时间的界限，为更多的人提供方便和共享。学校作为信息化进程中极其重要的基础环节，应该通过网络充分发挥其教育功能。社会经济的快速发展使人们对信息的需求越来越迫切，信息在经济的发展中起着越来越重要的作用，信息的交流成为发展经济最重要的因素。 掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。加紧对信息化教育的规划和建设。开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一，此时，校园网上的应用系统就显得尤为重要。学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问，这是学生综合素质中极为重要的一部分；基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。1.1校园网建设的原则1. 总体方案要做到实用性和经济性。2. 统一筹划，合理分配实施，确定网络建设目标。3. 可靠性和稳定性4. 网络建设要具有可扩展性和可管理性5. 先进性和成熟性，考虑未来需求。6. 遵循网络建设的标准和兼容现在的网络系统。7. 综合布线采用星型网络拓扑结构要求建筑间光缆连接，建筑物内双绞线，安全性和保密性。1.2 开发背景及意义1.2.1 开发背景当今的社会是一个信息化的社会，信息成为社会经济发展的核心因素，当今世界的快速发展更是把信息化体现的淋漓尽致。校园网的建设不仅完善了教学体系而且跟上了时代的步伐，把信息化的发展更好的融入到教学中。信息高速公路的建设与计算机网络技术的飞速发展，为教育信息化的发展，提高教育的科学性和网络教学提供了方便快捷的工具。学校建立一个高效智能、协同办公与教学自动化的计算机校园网，是信息化社会和教学教育发展的需要。 1.2.2 开发意义该设计主要是针对校园网建设需求提供网络综合布线解决方案，在本方案中主要对校园网的综合布线的各项需求进行分析，并且详细对设计目标、系统设计原则、设计标准、总体系统设计方案、线槽及线缆布设要求和综合布线测试与验收等内容进行说明。通过这个设计方案，可以使信阳师范学院的校园网络更加完善，有助于广大师生利用校园网络进行学习交流。1.3 当前研究现状在校园网络建设中存在多用户,多服务的现状。带来了对网系统要求具有高效率等，以保证大数据量访问下有效的处理能力。在网络中运行了众多重要应用及服务，是要保证7*24小时不间断的服务。就要完全能保证网络设备全天后的可用性。在校园网络中，对于校园网的安全保障十分重要：校园网的信息点分布很广，与一般企业网比较，校园网用户的流动性大，信息点存在随意接入使用的问题。学生及外来不明身份的用户，在校园网中找到任何一个信息点，就可以进入到校园网，可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。另外校园网的网络安全，还需要考虑与外网及内网不同应用系统之间的安全访问控制。第二章 校园局域网技术2.1 计算机网络计算机网络是一种地理上分散的，具有独立功能的计算机通过通信设备和线路连接起来，在配有相应的网络软件的情况下使各个计算机系统能相互自由通信，实现资源共享的系统。从计算机单机本身来看，它虽然可以在很短的时间内处理大量的信息，但是单台的计算机只能在自己有限的范围内工作，即使它的存储容量再大也是极其有限的，因此，便产生了在计算机之间交换数据的需求，此外在如何节约使用外部设备等需求，也导致了计算机网络技术的产生，实质上计算机网络技术是信息传播技术和信息处理技术结合的产物。计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)。我们经常用到的因特网(Internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。2.2计算机网络在校园的应用当今世界，各种先进的科学技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异，从各个方面影响和改变着我们的生活，而其中的计算机网络技术的发展更为迅速，已经渗透到了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的学习与生活条件带来更大的方便，我们与外部世界的联系将更加的紧密和快速。在二十一世纪，普及信息科技，是提高素质教育的一项十分重要的内容，网络技术为提高我们的学习条件具有重要作用。资源共享互联网接入基础应用平台电子图书课件系统教务管理宿舍办公学习远程教学多媒体教学图1.1 校园网应用体系模型图1所示为校园网应用体系模型。概括起来校园网四个方面的典型应用：1. 校园网是为学生学习活动服务的，是一种学习工具。她不但是学生与他人之间的交流工具，同时也是学习资源的提供者，有利于学生进行探索学习和协作学习。2. 校园网是为教师的教学和科研活动服务的，如提供教学资源、辅助教师备课，参与课堂教学活动和支持教师再学习活动等。3. 校园网是为学校教育教学管理服务的，如辅助学校的学生学籍管理、人事管理、财务管理等。4. 校园网是沟通学校与外面的窗口，利用她既可以从校外获取各种信息，也可以向外发布各种信息。综上所述，我们可以将校园网定义为：一种为学校学习活动、教学活动、科研活动和管理活动服务的校园内局域网络环境。且它是建构在多媒体技术和现代网络技术之上并与因特网连接的。目前教育改革已将计算机网络引入到学校教学的各个环节，引起了教学方法，教学手段，教学工具的重大变革，这些变革为实现教育现代化起到了巨大的推动作用，因此大力发展计算机教育特别是计算机网络教育。建设校园计算机网络系统已成为我国各教育部门，各级学校都已建成或正在拟建各种教学网络，发展和建设校园计算机网络将成为今后发展的必然趋势。2.3 校园网的建设思路和原则校园网的建设是一项综合性非常复杂非常强的系统工程，校园作为一个特殊的网络应用环境，它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠，维护简单的原则。校园网的建设主要应用局域网技术以及多媒体技术为主的各种网络应用技术。局域网技术是一项在20世纪70年代发展起来的计算机互联技术，经过多年的发展，技术已经成熟，并得到了广泛的应用，局域网技术成为网络技术的重要组成部分。计算机多媒体技术是伴随着多媒体信息的应用而得到迅速的计算机应用技术，在网络环境下，多媒体得到了更快更好的应用，使我们得到了更好更多的信息。校园网是使用了局域网技术以及各种多媒体应用技术，并结合Internet应用等其它的技术来建设。使得校园网能满足现代教学对信息处理的要求，使计算机的应用能对教学管理现代化起重要的促进作用，能实现信息查寻、教务管理，并与外部网络系统进行交流等多种需要。校园网建设包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使校园网的建设工作健康稳定地开展。校园网建设原则主要体现在以下几个方面：1. 可靠性与稳定性计算机网络要求具有高度可靠情与稳定性，能有效防止局部故障引起整个网络系统的瘫痪。为实现上述目的，应在网络设计中提供拓扑和设备的冗佘和备份，使故障能在最短的时间内进行恢复，让网络故障的发生和损失降到最小。2. 技术先进性由于学校有大量的数据信息需要处理，因此要求网络有较高的数据通信能力和较大的数据带宽，所以网络设备必须具备高速处理数据的能力。在网络结构上使用技术先进的高速网络，才能满足大量数据传输与处理的需要。只有保持技术的先进性，才能使网络系统适应不断更新换代网络技术，才能延长网络的使用期限，提高网络用户的投资效益。3. 扩展性随着网络用户的不断增多，使得网络规模不断扩大，所以在网络设计时要求网络能方便地进行扩充容量，才能支持用户的需求。网络系统应用能随不断发展的网络技术而能够升级到新的网络技术和设备，从而延长网络系统的使用期限。4. 安全性网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。由于校园网与外部网进行互联特别是和Internet的互联，Internet是一个开放式网络系统，它的安全性是很差的。因此安全问题更加重要。应该采用一定的技术来控制网络的安全性，从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术有，用户身份验证，VLAN划分，防火墙等技术。网络系统还就具备高度的数据安全性和保密性。5. 实用与经济性校园网的特点决定了网络系统必需要有实用与经济性。实用性使得网络便于管理、维护，以减少网络使用人员运用网络的难度，从而降低人为操作引起的网络故障，并使更多的人掌握网络的使用。应根据学校的实际情况，由于学校的建设资金有限，所以一般都要求网络具有较高的性价比，所以在建设校园网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。第三章 校园网建设需求分析与设计目标3.1校园网的需求分析大学是一个小社会，网络应用类型非常复杂，信息媒体类型较多，且具有信息流猝发特点。在大学校园网建设中，应充分兼顾信息资源共享与服务、多媒体教学和教务管理等因素对网络的需求。大学建设校园网，一般经费比较充裕，在网络技术上应该留有一定的空间。校园网设计应满足以下条件：1. 网络应具有传递语音、图形、图像等多种信息媒体功能，二极以上交换机支持组播功能。2. 具备性能优越的资源共享功能，以及校园网中各信息点之间快速交换功能。3. 由于大学校园网规模较大，教学与科研部门众多，如果所有信息点在同一冲突域中，网上广播风暴就会使网络性能严重下降，中心交换机应支持VLAN和第三层交换技术，支持QoS，对网络用户具有分类控制功能，对网络资源的访问提供完善的权限控制，以提高网络的安全与性能。4. 校园网与Internet网连接后，应具有“防火墙”过滤功能，以防止网络黑客入侵网络系统。5. 能够对接入因特网的各网络用户进行权限控制和记费管理。3.2 校园网设计目标根据校园网络建设应遵循原则的介绍和各种网络技术的分析。总的来说，交换式快速以太网是目前成熟技术中最先进、最实用的。所以决定选择光纤交换式快速以太网作为校园网主干，系统总体上采用国际上流行的TCP/IP协议，并兼顾IPX协议，采用开放体系及在各种应用实践中得到检验的快速以太网技术和产品。为了加强对分布式多媒体交互教学的探索，校园网可分为三个层次结构：主干网、广域网和内部局域网。主干网采用1000Mbps快速以太网技术，内部局域网与主干网之间用以太网交换机进行互联，根据用户的需求，网络建设目标，采用交换式千兆以太网作为主干网，网络拓扑结构为星型，这样可有利于提高网络的高可靠性，便于维护和管理。采用交换式快速以太网做主干有以下原因：速度快，安装、维护简单。主干速度为1000Mbit/s交换，能够满足网络应用层对主干网宽要求；基于标准技术，使用了以太网MAC层上定义的CSMA/CD协议，可迅速利用现有设备接入，网络升级方便，性能价格比高。建设目标：构建普通学校校内Intranet环境，并通过代理服务器接入Internet，实现与Internet 交流。建设校园网络中心，并通过一定的网络拓扑结构构建连接校园网络中心、计算机教室、教师备课机房、多媒体教学活动室、图书馆、校长室、教导处、财务处等的校园网，使之能通过一定的应用软件完成行政办公管理、教师备课授课、学生学习交流、校内信息公告、远程电子通讯、Internet通讯浏览等基本功能。要实现上述总目标，方案将采用星形全交换千兆以太网的千兆主干，百兆交换到桌面的大型校园网的解决方案：1. 高性能全交换，千兆骨干（多模光纤）、百兆交换到桌面（UTP双绞线）；2. 虚拟局域网（VLAN）策略，提高局域网内部的安全与性能；3. 多业务，多媒体教学、办公管理、远程通信一网实现；4. 管理简单，基于游览器和网络管理工具的图形化配置；5. 系统安全，安装专门的防火墙，提供互联网接入的安全保障；6. 高速缓存，提高广域网速度，降低网络费用；我们在着手设计一个校园网或者计算机局域网时，其主要依据就是网络用户（学校）的需求及将要建设的网络系统的特点。通过对实际需要进行细致的分析，才能确定系统的总体目标和近期目标。需求分析是如何设计、建设和应用校园网的关键。在完成校园网的需求分析之后，就要对整个校园进行物理结构和逻辑结构的设计，因为这是我们根据需求在具体设计校园网时首先要完成的工作。对于一个校园网来说，系统的总体目标就是在一个时期内，当校园网完全建设好后所要达到的功能和具有的规模。一般来说，一个校园网系统总体目标是分步实施的，包括功能的分步实施和规模的分步实施。主要原因是受资金的限制（这是在建设校园网时普遍遇到的问题）和技术发展的影响（因为随着计算机网络技术的飞速发展，校园网总会有进行升级的需求）。因此我们在设计一个校园网时，要充分考虑到对已有校园网资源的再次利用，又要考虑到将来对校园网进一步的升级改造。近期目标就是根据实际需求来设计和建设校园网，使建设好后的校园网能满足实际需求所应有的功能和规模，同时又要考虑将来能对校园网进一步的升级改造或者是后期工程的建设，系统近期目标是需求分析的重点。在学院建成一个适合于信息采集、共享的内部网络，在此基础上建立起供教学及人员培训使用的内部网络以及内部办公网络。实现到Internet的接入，实现信息在Internet的发布。3.3校园网实现的功能1. 通过Internet服务，学校可建立自己的主页，利用外部网页来进行学校宣传，提供各类咨询信息等，利用内部网页进行管理（如发布通知，收集学生意见等）；2. WWW服务，作为信息服务的平台；3. 图书馆访问系统，用于计算机查询、检索、阅读等；4. 教务办公，让校领导能及时、全面、准确地掌握全校的教学、科研、学籍和一般管理的情况；5. 文件FTP服务，以获取重要的科技资料和技术文当；6. 无线局域网，作为校园网的辅助；第四章 网络规划4.1 拓扑设计与骨干结构局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。 优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。4.1.1 骨干层网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：1. 高密度端口情况下，还能保持各端口的线速转发；2. 关键模块必须冗余，如管理引擎、电源、风扇。综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。在此方案中，校区网络中心采用Cisco公司路由交换机作为核心交换机。核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。4.1.2 接入层接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。4.2 网络架构设计与拓扑结构为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。该校园网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如下图所示：当前在局域网的建设中，主要应用的拓扑结构有总线型、环型和星型。在总线型网络中，由于各计算机共享一条通信电缆，而且不需要额外的通信设备，因此，可以节约组网费用。但是其缺点也是十分明显的，网络中的任何一个节点出现故障，都将导致整个网络瘫痪，这与在网络建设要求网络具有高可靠性和沉佘性不相符，因此使用总线型拓扑结构建设的网络已趋于淘汰，在新的网络建设中不应再使用。环型拓扑结构是令牌环网络技术所常用的一种网络拓扑结构，环型结构的缺点与总线型的缺点是差不多的，也是一种不太常用的网络拓扑。当前在各种网络系统的建设中使用最多的是星型拓扑结构，虽然星型拓扑结构的网络在布线和网络设备的花费多一些，不过目前各种硬件设备已经非常便宜了，这种花费是可以承受的。因而它的优点也是十分突出的，主要是当网络中某个节点出现故障时不会影响整个网络的运行，这使得网络从总体上可以提供高度的可靠性和沉佘性，这个性能十分适合校园网这种应用环境，也是校园网的建设中必须要求做到的。所以在网络方案中，整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。这种拓扑结构与以往的总线结构相比具有以下特点：1. 网络的可靠性增强，如果在网络中的一个站点或一条线路的发生故障时，不会影响到其它接点的正常工作；2. 网络的可扩展性强，如要扩充网络结点，则只要有一条线即可将扩充结点联接到网络上，且不影响其它结点的工作；3. 网络便于日常的管理和维护，可远程管理和配置网络；4. 网络带宽容易扩展，配备光纤接口和千兆位接口扩展口；5. 与公网连接链路的网络安全；考虑远程宽带接入访问；第五章 组网技术方案5.1 网络技术 学校建设校园网有许多需要考虑的问题，如网络技术的选择、网络拓扑结构的选择、网络产品的选择、网络服务器的选择以及操作系统、网络应用服务、网络管理及网络安全等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术的选择。5.1.1 网络技术类型网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等原则，并充分考虑性能价格比和今后技术的发展。要求系统兼容性好，易于平滑连接，避免网络瓶颈。当前达到或超过100Mbps的高速网络技术主要有：快速以太网、FDDI、千兆以太网、ATM交换网。FDDI是几年前十分流行的高速网络技术，虽然技术十分成熟，但网络管理复杂且成本较高，现已被逐渐淘汰。ATM是比较先进的网络技术，它采用信元交换方式，以很高的速率在任意两点间建立直接的虚拟通信链路，有较强的传输质量控制能力，特别适合于多媒体信息的传输。但在实际使用事因端口价格过高，难以大规模采用。以太网是种成熟的、质优价廉的网络技术，其标准已制定完备。经过多年发展，形成了完善的10Mbps、100Mbps和千兆以太网技术，同时还由共享式的网络发展成为交换式的以太网，具备与FDDI、ATM网络融合的多种方法与规范。从技术上看，以太网技术还有不断发展的佘地，是一种能够到长期使用和发展的技术，另外以太网还可以在不同速率之间平滑升级，不会有网络协议和规范上的障碍。综全以上对高速网络技术的分析，我认为在当前校园网的建设中应以建设和使用100Mbps快速以太网为主，在局部主干上使用千兆技术进行连接。5.1.2交换技术介绍交换技术主要分为:第二层交换，第三层交换，第四层交换，多层交换。1. 第二层交换：第二层交换是基于硬件设备的桥接，数据帧的发送是由专门的硬件来解决，通常是使用ASIC芯片。如今，在园区网的设计中，集线器通常被交换机取代。交换机与集线器相比，它的优点是非常突出的，试想，一个有100人的工作组使用集线器共享一个半双工的10M网段，那么平均每个人只有分配到100K左右的带宽，如果是用全双工的交换机的话，那么每端口的带宽是20M，相差甚大，但服务器的端口就成了瓶颈。交换机可以使网络设计在每个网段上提供更多的主机数，使一个完整的园区网方案中包含更少的逻辑网络或者物理网络。然而，交换机也和网桥一样有他们共同的局限性，网络的广播数据还是会随着网段上主机数目的增加而增加。广播也影响着主机传输数据，STP限制、收敛速度慢和冗余链路封闭的问题仍然存在。2. 第三层交换：第三层交换的实质是基于硬件的路由，数据包的发送也是通过ASIC芯片来完成的。在园区网设计中，第三层交换机可以依靠协议、接口和特殊功能的支持来代替路由器，支持标准数据包头并改写TTL值的第三层交换模式叫逐包转发模式。3. 第四层交换：第四层交换指的是在硬件路由的基础上再加上应用程序的功能。在TCP或UDP数据流中，应用请求被编码成端口号放在数据报的头部。路由器可以用扩展访问列表来控制数据传输，也可用NetFlow交换模式进行流量计算。4. 多层交换：多层交换指的是“一次路由，然后交换”，它可以根据MAC地址、IP地址、协议和端口号进行交换。在高性能的网络中，这种技术被广泛采用。5.1.3 虚拟局域网VLANVLAN（Virtual Local Area Network）的中文名为虚拟局域网， VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。5.1.4 VLAN的划分方法VLAN在交换机上实现方法，可以大致划分为六类:1. 基于端口划分的VLAN这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。2. 基于MAC地址划分VLAN即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的 MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。3. 基于网络层协议划分VLAN网络层协议来组成的 VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。4. 根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。5. 按策略划分VLAN基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。6. 按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。5.1.5 VLAN的优越性任何新技术要得到广泛支持和应用，肯定存在一些关键优势，VLAN技术也一样，它的优势主要体现在以下几个方面：1. 增加了网络连接的灵活性借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。2. 控制网络上的广播VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。5.2主要设备1. 服务器：网络上，储存了所有必要信息的计算机或其它网络设备，专用于提供特定的服务。例如，数据库服务器中储存了与某些数据库相关的所有数据和软件，允许其它网络设备对其进行访问，并处理对数据库的访问。文档服务器就是计算机和储存设备的组合，专用于供该网络上的任何用户将文档储存到服务器中。打印服务器就是对一台或多台打印机进行管理的设备，而网络服务器就是对网络传输进行管理的计算机。2. 交换机：交换机是第二层、第三层、多端口设备。交换机提供与集线器或网桥类似的功能，但拥有更多的先进性能，能够对任意两个端口进行临时连接。它包含一个交换矩阵或交换结构能够用于迅速地连接端口或切断端口间的连接。与集线器不同的是，交换机仅将信息帧从一个端口传送到目标节点所在的其它端口，而不会向所有其它的端口广播。3. 路由器：路由器在网络上将数据从发送者发送给接收者。路由器能够确定数据的目的地址并能够确定传输数据的最佳路径。与网桥和交换机不同之处在于，网桥和交换机利用硬件上配置的 MAC 地址来确定数据的目的地址，而路由器利用逻辑网络地址，如 IP 地址，来作出相应的决定。4. 网关：网关这一术语用来指任何设备、系统或软件应用程序，它们能够起到将数据从一种格式转化成另一种格式的功能。网关并不会改变数据本身。例如：从技术角度来说，能够将数据从 IPX 网络传送到 IP 网络的路由器就是一个网关。同样地，能够在以太网和令牌网之间往返传输数据的解析型交换机也可被称为网关。5. 光纤：光纤是以光脉冲的形式来传输信号，以玻璃或有机玻璃等为网络传输介质。它由纤维芯、包层和保护套组成。光纤可分为单模(SingleMode)光纤和多模(MultipleMode)光纤。 单模光纤只提供一条光路，加工复杂，但具有更大的通信容量和更远的传输距离。多模光纤使用多条光路传输同一信号，通过光的折射来控制传输速度。6. 无线AP：AP为Access Point简称，一般翻译为“无线访问节点”，它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。通俗的讲，无线AP是无线网和有线网之间沟通的桥梁。由于无线AP的覆盖范围是一个向外扩散的圆形区域，因此，应当尽量把无线AP放置在无线网络的中心位置，而且各无线客户端与无线AP的直线距离最好不要超过300米，以避免因通讯信号衰减过多而导致通信失败 5.3网络组成1. 网络主干基于当前信息技术发展形势及经济实用可持续发展原则，建议构建1000M带宽的快速以太网，根据实际工作站信息点到网络中心的距离，选择适当的传输媒介进行网络综合布线。一般来讲，在同一幢大楼内距离不超过100米均可铺设超五类非屏蔽双绞线，而楼与楼之间的连接主干线原则上应架设光缆，以满足今后发展的需要。2. 网络中心也就是校园网中心机房，应配置有各种系统服务器（如：Web服务器、Email服务器、代理服务器）、文件服务器（数据库服务器）、中心交换机、配线机柜等。如刚使用时数据流量不大，可只配置一台服务器，视今后网络发展情况再作扩充。为保证网络运行稳定可靠，网络中心的设备选型应选择信誉可靠、质量上等、性能稳定、扩充性优良的专业产品。（3) 计算机教室学校现有超过千台的微机，通过星型网络拓扑结构将所有微机连接到可堆叠交换机上，再通过交换机连接校园主干网。为方便教学，可在以上网络教室的基础上安装多媒体教学平台，使之成为一个既能完成信息技术学科教学，又能进行多媒体辅助教学，还能开展基于Internet技术的网络活动的多媒体网络活动室。（4) 教师备课机房为了能给广大教师提供一个完备的多媒体网络备课环境，校园网应能为每位教师提供网络接入终端，即每位教师都配有一台连接校园网的多媒体计算机。配有多媒体的连网计算机既能满足广大教师电子备课、电子阅览的需要，同时也能满足教师进行远程通讯、网上检索等基于Internet环境的教科研活动。（5)图书馆系统图书馆系统应该包括两个方面，第一是图书编目、借阅管理系统，它为图书馆管理提供了标准化、自动化、网络化的采编、流通、查询、统计以及读者管理等手段，如省教委推荐使用的共创图书管理系统；第二是多媒体视听阅览室，满足读者使用越来越多的电子音像读物的要求。多媒体视听阅览室从技术本质上来讲就是一个多媒体计算机网络室，如果学校已建好前面所述的多媒体网络活动室或教师备课机房，只要在网络上连接有一套光盘镜像服务器，即可实现多媒体视听阅览的功能。3. 多媒体综合教室信息化环境的构筑其根本目的是为教学服务的，因此课堂信息化教学环境的建立应该是校园网建设的一个重要目标。针对课堂教学而言，计算机网络应能为师生合作教学模式提供支持。在合作教学模式下，教师通过网络安排教学计划，指导学生学习，批改学生作业，实施网上教学；学生既可以在教师帮助下进行自主学习，也可通过小组讨论等形式在同伴中开展合作学习。在当前情况下，在每个教室构建信息化教学环境还处在摸索探讨阶段，存在着投资大、可参考方案少等不利因素。有的学校采用在每个班级配置高亮度液晶投影仪、多媒体计算机、多功能视频展示台等设备的方法来实施教学环境信息化，教学仍旧还是在一个典型的以教师为中心的教学模式下进行着，这与构建校园信息化教学环境的初衷相距尚远。因此在当前形势下，一般中小学可在具有多媒体网络环境的计算机教室内开展基于多媒体网络环境下的合作教学模式的实验活动，而为开展多媒体辅助教学活动配设专用的多媒体综合教室。多媒体综合教室内配备有多媒体计算机、高亮度液晶投影仪、多功能视频展示台各一台，功放音响一套，其中多媒体计算机通过网卡连入校园主干网，从而方便调用网络内其它计算机上的教学资源，实现资源共享。多媒体综合教室不仅可满足正常的辅助教学活动，还可以用来举办讲座、开展培训，不失为当前形势下一种经济实惠的选择。学校可根据教学实际需要配置一到二个多媒体综合教室。第六章 网络安全6.1 校园网安全隐患分析建立校园网安全机制前，我们对校园网的安全威胁进行了详细的分析，校园网络存在的安全隐患和漏洞主要有以下几个方面：1. 各种服务器和网络设备被扫描或攻击：个别用户对网络服务器和网络设备进行扫描和攻击的情况时有发生，它会造成网络负载过重，服务器难以承受，甚至会使网络瘫痪。个别用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；校园网内的学生群体是主要的OICQ用户，目前针对OICQ的黑客程序随处可见；2. 校园网内部安全隐患：由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁会更大一些。3. 目前操作系统存在安全漏洞：网络服务器安装的操作系统有Windows 2003/2008/XP、UNIX、Linux等，这些系统安全风险级别不同，例如Windows 2003的普遍性和可操作性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒的温床等；UNIX由于技术的复杂性导致高级黑客对其进行攻击：自身安全漏洞（RIP路由转移等）、服务安全漏洞、病毒等。随着校园内计算机应用的大范围普及，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。4. 师生安全意识薄弱可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁。5. IP地址盗用问题校园网内部连接有数千台电脑，可能不是所有电脑都配置了合法的IP地址（如学生宿舍区），这就不能避免某些用户可能冒用他人的合法IP地址，或恶意盗用IP，造成网络内部地址的冲突，如果占用主要的服务器系统的IP地址，将会严重整个校园网的正常业务。上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来，随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。同时，校园网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。由此可见，构筑具有必要的信息安全防护体系、建立一套有效的网络安全体系和安全机制显得尤为重要。6.2网络安全设计目标1. 有效的访问控制通过特定的网段及服务建立访问控制体系，实现如下目标：允许网上用户访问时，正确、迅速可达；不允许时，用户根本查找不到网络目标，从而有效地阻止其访问或攻击。2. 集中安全漏洞检查和攻击监控通过特定网段及服务建立的多种监控体系，应可实时检测出绝大多数攻击并采取相应的措施(如断开连接、记录攻击过程及跟踪攻击等)，并能周期性地检查安全漏洞，做到及时发现，及时防范。3. 多层防御和完善的认证体系建立一个良好的认证体系，可防止非法用户的攻击。应采用防火墙、服务器入侵检测软件、服务器进程监控软件等，使服务器遭到攻击或遇到故障之初就通过E