校园网络的设计与实现草稿.doc

校园网络的设计与实现草稿 中小型企业网络设计与实现一前言1.项目背景及意义计算机网络已经广泛应用在我们生活当中，改变着人们的生活和工作方式。 网络给人们带来的影响是深远的。 网络穿梭于各行各业当中，使得行业之间的信息共享，业务平台互通。 现代企业规模不断扩大，业务量增加，原先处理方式已经不能满足现代企业的需要，特别是对突发事件的快速处理能力的需求。 企业网络主要是企业内部网络的建设，进入21世纪后我国的中小企业也都进入信息化和办公自动化或者半自动化。 2.校园网设计目标建设数字化新校园，为学校各下属系部、教学和科研部门、管理部门、后勤部门的教学、科研、行政管理提供快捷有效的信息服务、提供良好的通信环境。 实现集中式数据存储，实现在网络系统上的高速互连互通，及信息资源和软硬件资源高度共享。 为新校园创造安全、高效、便捷的教学环境、科研环境和生活环境。 二构建中小型企业（校园网）的需求与分析为促进教学、方便管理和进一步发挥学生的创造力，校园网络建设成为现代教育机构的必然选择。 校园网大都属于中小型系统，以园区局域网为主，一个基本的校园网具有以下的特点。 1.高速的局域网连接（校园网的核心为面向校园内部师生的网络，因此园区局域网是该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求）2.信息结构多样化（电子教学包含大量多媒体信息，办公管理以数据库为主，远程通讯则多为方式，因此数据成分复杂，不同类型数据对网络传输有不同的质量需求）3.安全可靠（校园网中同样有大量关于教学和档案管理的重要数据，不论是被损坏、丢失还是被窃取，都将带来极大的损失；操作方便，易于管理校园网面向不同知识层次的教师、学生和办公人员，应用和管理应简便易行）4.经济实用（学校对网络建设的投入有限，因此要求建成的网络应经济实用，具备很高的性能价格比）三.校园网的设计方案三.校园网的设计方案1.思路与规划（确立校园网建设的目标，不仅要考虑技术方面，更要考虑环境、应用和管理等，必须与学校各方面改革、建设相结合，与学校长远发展相结合，科学论证和决策。 根据这样的使用要求建设一个技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域相连，形成结构合理、内外沟通的校园计算机网络系统。 在此基础上建立的校园网应具备以下三点应用目标首先，学校的目的是通过教学过程来培养人才，因此对教学过程提供直接支持应是校园的基本功能。 其次，校园网必须能够支持学校的日常办公和管理。 再次，与Interent的联接也是校园网的基本功能之一。 联接Interent可以使学校把目光投向更广阔的社会空间。 大大扩展师生获取知识的途径，还可以增强校内外的沟通以及自由地发布教育消息。 ）2.设计与要求（校园网主干传输带宽应达到1000Mbps要求，楼宇之间千兆连接。 校园网子网包括教学子网和功能教室子网，子网采用交换式百兆以太网方案，教室、办公室（科室）、功能教室等单元场所应有充足的信息节点并具有快速交换功能。 建设校园网的同时必须考虑到与城域网的连接，要按统一规划接入教育城域网，接入带宽不小于100Mbps。 不得游离于教育信息网之外，以保证网络安全、资源共享和带宽的要求。 校园网内用户能访问教育城域网上资源，城域网内用户至少能访问该校的服务器、资源服务器。 四校园网的实现四校园网的实现1.校园网络安全系统的安装1.1网络安全架构（为了防止网络威胁，使得校园网络能够有一个安全的上网环境。 我们设计了如下的网络安全架构，对校园网络进行层层防护。 首先是一级防火墙，其次增加入侵检测系统，在路由器之后进行二级防火墙的部署，对各种服务器进行保护，之后在用户层进行三级防火墙防护，然后加上各个操作系统安装的杀毒软件最为最后一道防护。 ）1.2杀毒软件保护（在校园网中，对于所有入网的计算机都应该安装杀毒软件，如果可以提供统一的杀毒软件，定时通知所有用户及时更新软件。 杀毒软件可以有效及时地发现电脑病毒，各种木马和恶意的软件，阻止恶意程序的进一步传播，避免网络中其他计算机的感染，有些杀毒软件还有数据恢复等功能。 网络安全是一个长期的、动态的过程杀毒软件可以实时地保护我们的计算机，及时发现不安全因素，将木马等进行有效隔离，是网络安全中最后一道有效的防护屏障，但是杀毒软件的病毒库要及时更新，这样对最新的病毒才能及时地防护，过期的病毒库不能查杀最新的病毒）1.3三级防火墙防护（防火墙技术作为一种隔离技术，广泛的应用在校园网络建设中，它是由软硬件共同组成的。 之所以采用三级防火墙，是根据不同网络位置划分的。 一级防火墙是第一道保护屏障，它可以直接安全隔离外部网络和内部网络。 它主要是硬件设置和软件防火墙相结合，能够检查外部网络传入的数据包，对信任服务和不受信任的服务进行区分，对不信任的不合法的服务进行过滤，第一时间阻止不安全的威胁进入网络，防止篡改路由器配置等。 二级防火墙是在各个服务器之上建立的防火墙，对于已经进入内部网络的不安全因素进行再次过滤，防止对服务器的入侵及其破坏。 三级防火墙主要是对于各个客户端安装的防火墙，该级防火墙主要是软件防火墙，它可以阻止用户访问不安全站点，对特定端口进行禁止，封锁特洛伊木马，从而保护终端计算机的安全）1.4入侵检测系统（入侵检测系统对于校园网络安全起着举足轻重的作用。 入侵检测系统简称ids，它是即时监视网络传输，当发现不安全的传输时，采取主动反应措施并发出安全警报。 它是一种积极主动的安全防护技术，目前已经很成熟地应用到校园网络安全建设中。 入侵检测系统会积极分析各种网络活动，从中发现违反安全策略的可疑网络行为，大体分为基于标志的入侵检测和基于异常的入侵检测。 基于标志的异常检测，需要定义安全策略，什么是安全的，什么是非安全的，如网络数据包中的某些头信息有无可疑头字符。 基于异常的检测会定义一组正常的数值，如内存利用率、cpu利用率等，如果一旦超过正常值，就有被攻击的可能，根据具体情况进行更进一步的判断和检测）2.需要的设备及辅件2.1主干网络设计（主干网络采用联想新推出的LS5608G智能型8联机箱式千兆以太网交换机作为校园网的中心交换机，它提供8个插槽，可选插8联的10/100BaseTX、2联的100BaseFX或1联的千兆以太网模块。 适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络。 同时可以选择MS5103千兆位以太网模块(SX/MM/850nm,0350m)或MS5104千兆以太网模(LX/SM/1310nm,06km)与下面的各个子网通过千兆位的链路相连）2.2远程访问服务（采用联想LA220和LA240访问服务器，安装在本地局域网中，通过1至4个调制解调器(或ISD TA)和1至4根电话线，即可为远程访问人员提供拨号上网服务，远程用户只需拥有1个调制解调器和1根电话线，通过拨接LA220或LA240上所连接的电话号码，就可以登录访问。 ）2.3校园网与Inter的互连（推荐采用局域网专线接入方式，此方式需要配备路由器等设备，租用专线DDN或帧中继（Frame Relay），也可申请ISDN专线并向CERNET管理部门申请IP地址及注册域名，以专线方式连入Inter，并提供防火墙、计费管理等功能。 本方案选用联想的LR2501路由器，具有1个局域网(LAN)，2个广域网(WAN)和1个控制台。 支持帧中继(FrameRelay)、X. 25、PPP、HDLC协议。 ）3校园网络IP地址规划一个校园网，对外一般仅由运营商提供少量公网IP地址，这类地址一般设置在校园网的路由器或代理主机中，代理全校上网。 在校内，需要给每台计算机设置私网IP。 在校园网的网络规划过程中，我们应根据整个系统的网络结构进行设计，包含不同网段的各种设备，比如路由器网关的位置IP地址。 在校园网的内部管理网络中，一般建议使用192.168.0.0192.168.255.255的C类地址作为内部主机的IP地址。 3.1在规划时要考虑IP地址的预留，以便将来设备扩充。 因此建议可按每个楼层交换机一个C类IP段来规划3.2为保证网络安全管理，网络设备应单独规划为一个IP段；建议192.168.0.0段用于校园网络中心设备及楼层交换机的IP分配。 3.3如果某部门计算机分散在不同的楼层，需要划分为一个IP段，也可使用VLAN技术。 4内部网络部署监控软件4.1如果是通过代理服务器上网，只要在代理服务器上部署即可实现监控。 4.2如果局域网的网关是计算机