校园网规划与设计.doc

2007级计算机网络技术专业【毕业设计】新 乡 学 院 毕 业 论 文论文题目校园网规划与设计院（系）名称专业名称班 级学生姓名学 号指导教师姓名目 录内容摘要3 关键词3Abstract3Key words4一 校园网络应用需求5 11 存在问题分析 512 校园网主要解决的问题 513 建设目标分析 514 需求分析 615 本章小结 7二 校园网络系统设计 721 网络拓朴图 722 设计思想及原则 8221 设计思想 8222 设计原则 923 网络系统设计的技术分析与要求 10 231 网络系统设计的技术分析 10232 网络系统设计的技术要求 1124 设备选型 112.4.1核心层设备选择11 2.4.2网络汇聚层及接入层设备的选择122.4.3服务器的选取 142.4.4边界型路由器的选择 152.4.5 无线接入设备的选择1525 本章小结 17三 网络地址规划及VLAN应用18 3.1 网络地址规划原则 18 3.1.1 校园网IP地址分配总原则18 3.1.2 校园网内部私网IP地址的分配18 3.1.3 中心交换支持 18 3.1.4 固定IP地址用户18 3.1.5 认证计费 18 3.2 地址方案实施 19 3.3 VLAN技术应用 19 3.3.1 划分VLAN的意义20 3.3.2 VLAN技术的实现 20 3.4 本章小结 21四 校园网络管理及安全维护 22 4.1 网络管理的重要性 22 4.2 网络管理设计 22 4.2.1 校园网的功能域管理 23 4.2.2 校园网的管理策略 23 4.3 网络安全管理 25 4.3.1网络安全的潜在威胁分析 25 4.3.2 网络安全防范 26 4.5 本章小结 28五 设计总结 29参考文献31致谢32 内容摘要自1995年中国教育教研网（CERNET）建成后，校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用，对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程，开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全，网络系统的维护等内容。各高校及其中小学都在筹备建设校园网，希望通过校园网的建设，改善办学条件，提高教学、科研和管理水平。校园网的建设对于学校来说是一项大的工程，必须精心设计、精心施工，做到经济适用，技术先进、开放性能良好、投资强度合理、与国内外网络互联、能长期、稳定运行的高性能的校园网络。关健词： 校园网，规划，设计，网络AbstractSince 1995, China Education and Research Network (CERNET) following the completion of the campus network has entered a phase of vigorous development. And the completion of the campus network, to improve the quality of teaching and research, teaching and research to improve the conditions for schools to speed up the process of carrying out multi-media teaching and research, and teaching so that more people, more research results have important and far-reaching Significance. The main local area network, including a variety of technical ideas, network design, network topology, cabling system, Intranet / Internet applications, network security, network maintenance and so on.Colleges and universities and primary and secondary schools in preparation for building the campus network, and hopes that the campus network to improve the conditions for running schools, improve teaching, research and management. Campus network for schools is a major project must be carefully designed and construction work, so affordable, technologically advanced, open good strength and reasonable investment, domestic and international networks and the Internet, long-term, stable operation High-performance campus network.Key words: Campus Network, the planning, design, networking一 校园网络应用需求1.1 存在问题分析 河南省周口市郸城县第三初级中学是郸城县直属中学，学校在校生2000余人。学校占地50亩，校园覆盖了校综合办公楼1栋，图书馆1栋，教学楼3栋，男女宿舍各1栋，食堂一处，体育馆（操场处）。学校目前仅图书馆有几十台计算机供图书管理之用，但是目前无网络连接。学生宿舍、教学楼和办公室目前尚未开通校园网络。根据以上对学校现状的分析并通过深入的了解，目前学校无法满足应用发展的需要，在教学、教育资源获取等方面的网络应用比较落后，校园的信息化相当闭塞。为学校未来的发展和保持教学的现代化、信息化带来不便，经校方研究决定，现对学校实现校园网络的初步规划。 1.2 校园网主要解决的问题鉴于学校目前状况，校园网建设过程中，主要需要解决的问题如下： 建立校园网的主干网络，实现千兆主干，百兆到桌面,通过以上实现整个校园全网覆盖； 解决好综合办公楼、教学楼、学生宿舍上校园网的问题，将校园网应用推入基层，满足师生员工上网需求； 实现校园网的基本应用服务，如WEB服务，DNS服务，VOD点播服务，FTP服务； 完善和强化用户访问校内校外资源的权限和策略管理，并进行流量、带宽和日志管理，提高校园网的可管理性； 强化校园网的安全策略，有效地提高校园网的安全性； 实现无线上网功能，1.3 建设目标分析根据对第三初级中学的网络覆盖现状分析，对拟建校园网系统建设目标分析如下： 校园主干满足应用发展的需要：考虑到学校校园网络开展视频点播、多媒体教学、远程教学等需要，我认为传输主干应采用的是1000M光纤； 网络主机的处理能力强：学校校园网络目前开展的网络应用对主机处理能力要求不高，比如WEB服务等是一些低带宽的应用服务，随着用户数量大幅度的增加，网络应用如VOD视频点播、多媒体教学等许多高带宽和需要高处理能力的主机系统。因此，有必要提高网络主机的处理能力； 学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，能够获取Internet网上的教育资源； 容错能力和安全性强，通过技术手段提高网络设备的容错能力；安装硬件防火墙、IDS、服务器防病毒、工作站防病毒软件，实现网络安全； 实现网络的易管理性，考虑到网络设备和主机数量的不断增加，方案规划应该能够实现校园网的可扩展性核对整个网络的监控能力。1.4 需求分析 学校的整个网络系统以千兆主干、百兆到桌面为总体需求原则。在总体设计方面，带宽为100M的节点的介质传输采用超五类线，音频采用五类线，视频采用同轴电缆。整个校园以计算机网络中心为核心，通过光纤，通过多星级辐射至各个主楼，从而构成整个校园网主干，各信息点的网络带宽将视其应用的性质，进行合理地分配，分为100M以及1000M等量级，也需要能够通过光纤或DDN专线与CERNET连接，以开通全部的Internet网络应用服务。从内部校园网到外部Internet的访问都要有安全审查和流量管理功能；在功能方面，结合学校的总体发展趋势，拟建立多媒体多功能教学室，图书馆计算机管理系统和电子阅览系统利用网络技术，实现多媒体信息交换、视频点播、网络会议、远程教育，兼容校内有线电视网、广播网、监控等网络系统。实现校园全部范围内的无线上网，全网展开WEB，FTP,DNS服务；在学校设备需求方面，第三初级中学按信息点覆盖情况主要设备需求参数如下：综合办公楼1台汇聚层交换机；4台接入层交换机；无线AP一台图书馆（网络中心）1核心层交换机；1汇聚层交换机；3接入层交换机；服务器4台；路由器1台教学楼11汇聚层交换机；2台接入层交换机教学楼21汇聚层交换机；2台接入层交换机教学楼31汇聚层交换机；2台接入层交换机男生宿舍楼1汇聚层交换机；4台接入层交换机女生宿舍楼1汇聚层交换机；4台接入层交换机体育场(操场)无线AP一台 1.5 本章小结本小节以郸城县第三初级中学校园网络为基础，对网络设备，计算机设备的现状及现有网络的应用情况进行了简要介绍。通过分析发现，学校目前存在多方面急需要解决的问题，包括：主干网络的设计，网络的整体覆盖计划，应用功能的实现，用户对外界资源的安全性访问。最后对建设目标和潜在需求做了进一步的分析说明。 二 校园网系统设计2.1 网络拓扑图如前所述，根据河南省郸城县第三初级中学网络现状及未来需求，就校园网网络系统进行如下规划： 郸城县第三初级中学校园网设计方案初步规划图2.2 设计思想及原则 2.2.1 设计思想校园网设计方案将从学院的实际应用出发，结合现代信息技术的发展，遵循实用，可靠，先进，安全的设计原则。对于学校，应能够满足日常的学习和教育资源的获取；并能够融合当前的网络的主干技术，使网络能够具备充分的可扩展性，同时满足校园网的易于维护性和安全性的特点。校园网示意图： 2.2.2 设计原则 网络设备具有国际标准性与开放性，实现网络的易用性和实用性相结合，具有先进性、可扩充性和可升级性，易管理，易维护等功能特点。一：系统的先进性采用当前国际先进成熟的主流技术，采用业界相关国际标准。设备选型要是先进和系列化的，系统应是可扩充的，便于进行升级换代。 二：系统的实用性网络系统能否成功，实用性非常重要。系统建设必须从实用出发，使之达到使用方便且能发挥效益的目的，而不是盲目追求新技术。 三：系统的可靠性系统的可靠性具体表现在以下几个方面：1、网络系统的可靠性和稳定性；2、网络应用系统的可靠性和稳定性；3、系统信息资源的安全性；4、故障排除和系统恢复能力。四：系统的开放性计算机技术发展日新月异，新技术层出不穷，因此我们所构建的系统、所使用的技术，其开放性和标准性就显得格外重要。只有采用开放的系统，使用开放的技术，才能保证系统有较长的生命周期。五：系统的扩充性 由于计算机技术的飞速发展和计算机网络技术的日新月异，网络系统扩充能力的大小已变得非常重要，因此考虑网络系统的可扩充性是相当重要的。六：高性能价格比结合日益进步的科技新技术和校园的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障学校的经济效益。坚持经济性原则，以获得最大的效益。七：系统的安全性采用各种有效的安全措施，保证网络系统和应用系统安全运行。 23 网络系统设计的技术分析与要求 2.3.1 网络系统设计的技术分析在校园设计中，以太网技术支持10M、100M至1000M的各种通信速率，并有向更高带宽（10G及以上）发展的趋势。当今正在发展的IP交换技术也是基于以太网的，结合第三层交换机的路由功能，构造几个乃至几十、几百个G带宽的网络。另外，由于主要业务系统是建立在IP平台上的，以太网技术是IP网络最好的通信技术之一。采用IEEE802.1q标准，以太网可以实现VLAN，而VLAN在很大程度上是保证网络高效和安全的重要手段。根据以上比较，在选择校园网络技术时应该考虑如下：1、长远来看如何保护现有投资：保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。从目前的趋势来看，采用千兆以太网技术是最适宜的。2、性能价格比：以太网、快速以太网、千兆以太网和ATM网三者性能状况由低到高，但是价格也是由低到高的。鉴于我院的实际资金状况，在建设校园网时要充分考虑到学院的经济实力，选择“好用、够用、适用”的网络技术是关键。基于对本校目前网络应用和对网络流量的需求的了解与认识，选择千兆以太网技术。为主干网技术，终端用户接入采用10/100M以太网。信息中心设在北院计算机网络中心内。终端用户接入采用10/100Mbps速率的理由：在主干网为1000Mbps吞吐能力的前提下，桌面计算机如果也选用1000Mbps速率，要么造成网络负载过重或引起主干网和服务器的瓶颈效应，要么1000Mbps接入带宽利用不足从而造成不必要的浪费，故目前各校园网网络系统工程设计接入点选用10/100Mbps速率（综合布线以100米为标准）。2.3.2 网络系统设计的技术要求根据上述总体要求，在技术上必须提供相应的支持和保证。整个网络在技术上定位为千兆以太网主干网络，以1000M多模光纤和100/1000M双绞线为主要传输介质，因而对网络协议透明，但可以配置成以IP协议为主的高速IP网络。网络至少包括如下几个要素：1、网络结构的优化：网络体系结构要体现在网络层的层次化体系结构，可以减少对传统传输体系的依赖。2、包转发的优化：适合大型、高速宽带网络的特征，提供高速包转发机制。3、带宽优化：在合理的QoS控制下，最大限度的利用带宽。4、稳定性优化：最大限度的利用故障恢复方面快速切换的能力，快速恢复网络连接，提供符合高速宽带网络要求的可靠性和稳定性。5、可扩展性：要求网络能适应网络技术的不断发展，使网络系统能够顺利、平滑地向更新的网络技术过渡。6、通信协议的支持：可以支持TCP/IP、IPX、DECNET等协议。以TCP/IP为主要通信协议。支持RIP，OSPF，BGP4，IGMP等多种国际标准的路由协议。24 设备选型2.4.1核心层设备选型：(32000元)校园网的建设中，核心层的设备的运行的效率直接影响着网络的正常运行。网络中心设备，承担着整个网络性能好坏的关键，我建议选用比较高档的中心设备，既能保证满足服务的需要，不会出现广播风暴或通信瓶颈问题；又能保证几年之内设备不会过时；选择品牌时考虑比较多的是：生产厂商的可靠性和稳定性、技术领先性和成熟性、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来支持用户的应用、是否为主流产品（这将决定用户接收产品熟悉产品的成本和产品的通用性）、其安全性是否适合用户的要求。在本方案中，第三初级中学采用H3C的H3C S5800-32C作为核心层设备，符合主流设备选取原则，同时具备万兆可扩展链路，并能够向IPV6平滑过渡。其有24个10/100/1000Base-T以太网端口，4个1/10G SFP+端口，H3C S5800-32C系统为局域网、广域网提供了灵活的、经济有效的连接方案。H3C S5800-32C交换机代表3Com的最新一代可堆叠交换技术，H3C 5800-32C交换机的主要性能参数如下：传输速率10/100/1000/10000Mbps交换方式存储-转发备办带宽400Gbps端口结构模块化包转发率156Mpps堆叠功能可堆叠网管支持可网管型模块化槽数1个电源电压100-240V传输模式全、半双工安全性支持用户分级管理和口令保护；支持AAA认证、RADIUS认证；支持MAC地址认证、802.1x认证；支持SSH 2.0；支持IP+MAC+端口绑定；支持IP Source Guard支持HTTPs、SSL支持协议支持静态路由、RIP, OSPFv2, BGP, ISIS等价路由, 路由策略, VRRP, 策略路由FTP、TFTP实现加载升级 2.4.2汇聚层及接入层设备的选取（H3C S5100-24P-SI 5700元740000元）主交换机设备选用高端千兆三层中心交换机；网络中心下连的其它子系统，配置的边缘100M交换机边缘交换机与主中心交换机的连接速率为1000M；我们将把全校的所有网络设备和计算机设备（其中包括服务器、工作站、外设等）有机地连接在一起，使其发挥相应的作用，形成一个综合性的、统一的一体化现代园区高速网络系统。这样就组建了目前技术先进的千兆以太网1000BASE-TX，速度1000M，各科室为快速以太网，速度为100M/200M。各楼层之间网络连接的主干线采用千兆线路，主要考虑网络的速度、将来网络的扩容以及与有关网络连接，其它分支采用100M双绞线。中心交换机使用千兆机；连接边缘高速百兆交换机；整个网络以一级千兆为中心，组成一个星型网络；这样就组建了目前先进、流行的千兆以太网和以太网（Ethernet）、快速以太网（Fast Ethernet）网络的组合,主干是1000M网络。其它分支为快速以太网 100BASE-TX，速度 100M/200Mbps。本着网络设计原则，现在对汇聚层及接入层交换机设备选取和分析如下： 汇聚层采用H3C S5100-24P-SI交换机H3C S5100-24P-SI主要性能参数如下：传输速率10/100/1000 Mbps交换方式存储-转发备办带宽48Gbps端口结构固定端口包转发率36Mpps堆叠功能不可堆叠网管支持可网管型模块化槽数4个电源电压100-240v传输模式全、半双工VLAN功能 支持支持协议 IEEE802.3, 802.3u, 802.3z, 802.3ae, 802.3ab接入层设备的选取（H3C LS-2126-EI-ENT-AC-H3 1600元1931000元左右）接入层设备采用H3C LS-2126-EI-ENT-AC-H3，对H3C LS-2126-EI-ENT-AC-H3设备性能分析如下：传输速率10/100Mbps交换方式存储-转发备办带宽5.2Gbps端口结构固定端口包转发率3.72Mpps接口数量 26接口类型10/100 Base-TX, Combo网络标准IEEE 802.1Q, IEEE 802.1D, IEEE 802.1X电源电压100-240v传输模式全、半双工VLAN功能支持网管功能 支持命令行接口(CLI)配置, 支持Telnet远程配置, 支持通过Console口配置, 支持SNMP, 支持WEB网管2.4.3 服务器的选取 （9000元）这里所涉及的主机服务器指的是网络中心的重要服务器，服务器是整个网络应用的中心设备，它的性能决定了系统应用的性能，同时也需考虑到系统的可靠性与健壮性，所以网络服务器需要为总线、磁盘等I/O吞吐量大，CPU处理速度快，支持内存量大，关键设备具有系统冗余。服务器操作系统也是决定系统应用性能的主要因素之一，服务器操作系统应具有多线程、多进程的功能，应具有用较低的系统开销获得较高的网络响应能力，支持超大内存操作，支持系统容错，整个系统健壮。通常情况下，如果应用不复杂，例如没有大型的数据库需要管理，那么采用工作组级服务器就可以满足要求。目前，国产服务器的质量已与国外著名品牌相差无几，特别是在中低端产品上，国产品牌的性价比具有更大的优势，中小校园网可以考虑选择一些国内品牌的产品。本校园网的设计过程中，将采用联想万全T168 G6 S3430 2G/500S服务器，万全T168 G6 S3430 2G/500S服务器主要性能参数如下：服务器级别工作组及服务器类型塔式CPU类型Intel Xeon X3430CPU主频2.4GHZ二级缓存8MB前端总线 1066MHZCPU核心四核心内存类型DDR3内存带宽/描述2GB ECC Unbuffer DDR3 1066硬盘类型SATA硬盘容量500G网络控制器集成Intel单千兆自适应网卡IO接口4个USB 2.0接口(2前2后)；1个VGA接口；1个串口；1个并口；1个千兆网口 配备软件 万全慧眼导航版软件；Symantec BE11d核心版本Quickstart数据备份软件(此软件无免费售后服务)；万全慧眼III标准版，包含基于作息表的自动开关机设置24.4 边界型路由器的选择 （16800元）第三初级中学在这次园区网规划中将要采用H3C RT-MSR5040-AC-H3路由器，MSR 50系列产品采用H3C成熟商用的软件操作系统，提供丰富的QoS特性，全面支持IPv6，同时大大地增强部署MPLS VPN业务的能力。MSR50采用OAA（Open Application Architecture）开放应用体系架构，产品提供了一个公开软硬件接口及标准规范的开放平台，MSR集数据安全、语音通信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本 其MSR在突破性提高数据处理能力与插槽扩展性的同时，还能完全兼容原AR系列的硬件模块与软件功能，为客户提供了最为经济的网络升级方案现就此功能及技术参数分析如下：路由器类型企业级路由器局域网接口2个千兆光/ 电Combo防火墙功能内置端口结构模块化路由器包转发率600KPPSVPN、QOS功能支持扩展插槽14传输速率10/100/1000Mbps电压AC:输入额定范围：100240V 50/60Hz.DC:-48-60V网络协议 IP服务,非IP服务,IP应用,IP路由,MPLS,IPv6,广域网协议,局域网协议2.4.5 无线接入设备选取（2600元2） 目前学校需要覆盖无线网络主要体育场（操场），会议室等布线困难的场所。综合整个校园网的拓扑规划，现就学校无线网接入点初步规划两处，采用D-LinkDWL-7100AP无线AP设备。D-LinkDWL-7100AP无线AP设备的主要性能指标如下： 网络标准IEEE802.11g、IEEE802.11b,IEEE802.a传输协议 TCP/IP频率范围 2.4-2.4835GHz端口类型 RJ-45兼容操作系统 Windows XP/2000/ME/98SE 2.5 本章小结本章是在前面对于第三初级中学校园网的现状进行的详细分析的基础上，而进行的新的校园网的总体设计。本章的主要从以下几个方面进行了论述：1、针对于第三初级中学的现状，从校园网络能够充分满足现在应用和未来发展的角度，给出了校园网网络拓朴图。2、从校园网网络设计的设计思想与设计原则两方面进行了论述：总体的设计思想是：校园网设计方案将从学院的实际应用出发，结合现代信息技术的发展，遵循实用，可靠，先进，安全的设计原则。校园网建设第一步方案将以结构化布线和主干建设为重点。网络主干采用以太网技术，核心交换设备不仅功能强大，而且具有优异的扩展性能，可以很好地满足今后不断发展的应用需要。同时，在服务器，操作系统，应用软件开发，信息出口等方面也进行了周密的设计，保证在系统开通的同时，基本网上应用及各种专业应用开发能够同步进行。设计原则则从设计的先进性、实用性、可靠性、开放性、扩充性、高性能价格比、网络安全要求及网络管理功能要求等方面进行论述。3、根据拓朴图和设计的思想及原则，本文对网络系统设计的技术特点、分析与要求进行了论述；技术分析部分，本文重点对主干网选择何种网络技术进行了论述，基于对我院目前网络应用和对网络流量的需求的了解与认识，选择千兆以太网技术为主干网技术，并有万兆扩展空间，终端用户接入采用10/100M以太网。4、设备选型：通过前面的相关分析与论述，要构建一个适合于学校现在应用与未来需求的校园网络，设备选型也是非常重要的一个环节。核心层使用H3C 5800-32C作为核心交换机。主机服务器我们选用4台服务器，分别作为VOD服务器，DATA服务器，WEB服务器、DNS服务器。总之，通过以上分析与论述，本设计能够满足第三初级中学网络应用及未来网络发展的需求。 三 网络地址规划及VLAN应用3.1 网络地址规划原则 3.1.1 校园网IP地址分配总则 IP地址规划根据所分配的公网IP地址和内部私网IP地址分配，地址可分为三大块，一块是Cernet分配多个C类公网IP地址，作为和国际互联网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆电脑部专用；校园网的普通用户,使用内部地址192.168.xxx.xxx，不能和国际互联网直接发生联系，不能避开代理系统；学校同时还可以申请一块ChinaNet的公网IP地址，作为接入电信公网和部分关键的服务器出口备份,关键服务器拥有两个公网IP，分别跨接在Cernet和ChinaNet上。 3.1.2 校园网内部私网IP地址的分配 内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个C的划分。对于相对固定不变的教学区采用静态分配IP地址，为防止地址盗用，采用IP地址与MAC地址绑定，对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址，采用By Port的Vlan，小范围地限制地址盗用问题。对上网用户的管理，是基于用户名、密码的代理认证WEB认证过程进行，校园网内的网络资源不需认证就可访问，但访问校外的资源就必须经过认证, 用户开机时，从DHCP服务器获得校园IP地址，并可以直接访问校园网和教育网 3.1.3 中心交换机支持 中心交换机支持静态或动态的IP地址分配，DHCP SERVER可安放在园区内部。 3.1.4 固定IP地址用户对于固定IP地址用户，需要针对标识符（MAC地址）设定保留IP地址。 3.1.5 认证计费如果学校以后使用h3c公司的宽带接入设备进行认证计费，可以使用设备内置的DHCP Server或者网络集中DHCP Server实现地址的分配。VLAN方式下每个VLAN可以只需要一个IP地址，可以采用ARP Proxy方式，大大节约了地址空间。3.2 地址方案实施 第三初级中学分配的IP是C类公网地址。在以下IP地址分配的过程中，方案的实施视具体情况而定。通过以上原则，IP地址具体规划如下：综合办公楼一个C类网络教学楼1网络中心使用的是公网地址其他区域网络通过地址转换接入到Internet男生宿舍教学楼2教学楼3女生宿舍3.3 VLAN技术应用 信息技术的发展必须具有前瞻性，在有些情况下就要充分利用设备资源，一味地购买服务器和交换机，再用线缆把终端机连起来，这样的校园网效能低下，不能充分地发挥信息化作用。校园网的建设首先要进行对象研究和需求调查，明确学校的性质、任务和发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述：其次是确定网络拓扑结构和功能根据应用需求建设目标和学校主要建筑分布特点。进行系统分析和设计。如何更好地满足校园网规划的整体性、先进性、开放性和标准化的需求，使之结构合理，便于维护，高效实用，这里可以应用VLAN技术很好地解决这一问题。3.3.1 划分VLAN的意义VLAN(virtual local area network)即虚拟局域网，是一种将局域网内的设备逻辑地址划分为不同网段的技术，VLAN可以将网络划分为不同功能相对独立的工作组，VLAN封装的国际标准为IEEE8021Q。同一个VLAN中的成员都共享广播，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络逻辑的而不是物理的划分为多个广播域。隔离了广播风暴有助于控制网络流量、简化网络管理、可以隔离各个不同VLAN之间的通讯来提高网络的安全性，如果要实现不同VLAN间的通讯则需要有支持三层的交换机或路由器来完成。3.3.2 VLAN技术的实现通过对VLAN技术的深入理解，现在就郸城县第三初级中学详细的VLAN规划。经过分析，在未来的网络中第三初级中学将要分配6个C网络。目前学校1000兆接入到Internet，学校机房全部在网络中心，教师的办公分布于3栋教学楼里，校领导集中于综合办公楼，结合学校的应用情况，本方案采用基于端口的VLAN划分方法，进行如下VLAN设计：1， 内部需要频繁通信的，以楼宇为单位进行VLAN划分，将教学楼2和3划分到一个VLAN里，即VLAN2；2， 考虑到今后教学规模的扩大，机器的增多，单独将教学楼1划分为一个VLAN，即VLAN3；3， 综合办公楼也可以说是行政楼，防止以后有些数据资源被盗用或者遭到破坏，将综合办公楼单独划分为一个VLAN4；4， 跨越部门通信的，如网络中心，电脑台数多，数据量大，把图书楼单独划分为一个VLAN5；5，校园公共服务器作为需要共享的资源，将放置在校园网主干上，并同时属于所有的VLAN以及非VLAN用户，从而在4个VLAN子网共享资源的同时，又保证了其相互间的安全性。 楼 宇所属VLANIp地址规划综合办公楼VLAN4网段网络中心 VLAN5 网段教学楼2和3VLAN2 网段教学楼1VLAN3 网段公共服务器 - - 3.4 本章小结 本章通过对校园网络在实施的过程中遇到的地址规划和VLAN应用做了比较全面的分析，从应用的角度上解决了第三初级中学的地址的合理分配问题。符合未来网络发展趋势。在以后的网络拓展时，可以考虑到增加VLAN的数量，从而避免了用硬件解决访问网络时所带来的瓶颈问题，并且增加了网络的安全性。 四 校园网络管理及安全维护4.1 网络管理的重要性 校园网一般要覆盖学校宿舍区、教学区、网络中心、办公区等区域，这些区域面对不同用户、不同应用需求，对网络管理有不同的要求。同时，用户使用网络管理系统的目的是利用网络管理系统维护网络的正常运行，尽最大可能地提高网络的可用性，减小网络故障对于学校正常工作的影响，同时能够利用网络管理工具最大限度地节省管理员的工作量，避免出现到处救火、疲于奔波的情况。网络管理的重要性主要表现在以下几个方面： 1、网络管理软件：网络管理软件应是确保全网（包括网管中心、节点机）正常运行所需的管理、运行、维护等有关的全部软件，并具有中文界面的软件系统。2、软件模块化结构：网络管理软件为模块化结构、安全可靠、具有容错能力，任何软件模块的维护和更新都不影响其它软件模块。3、故障监视和诊断：软件能及时发现故障并发出告警。4、兼容性及升级：软件能相互兼容并能及时进行版本升级。5、网络管理平台：网络管理平台应当能够对网络的流量、性能等指标进行数据分析或图形化显示，得到网络情况的分析报告。6、过滤分析：能够对底层报错进行过滤分析，便于网络管理人员发现真正问题所在。7、能够根据报错制定相应排错策略，及时处理相关问题。能够在通用的服务器（如Windows NT、HP-UX、Solaris等）平台上运行。根据以上分析，我们学院的校园网采用了H3C网络产品解决方案，因此在网络管理方面，我们同样采用H3C网络管理方案。 4.2网络管理设计国内校园网的安全问题一般有其历史原因:在旧的网络时期,因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,高校网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些学校甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患的发生对任何一次网络破坏都将是致命性的。一：校园网络的功能域管理校园网络管理的主要目的是保证网络安全和稳定运行,如维持网络传输速率、降低网络传输误码、网络流量异常监控等。所以校园网络管理部门的技术人员应该熟悉常用的网络监控工具和路由器、交换机、防火墙等网络设备所具有的网络安全控制模块对整个网络进行管理2933。国际标准化组织ISO对网络管理定义了五个功能域管理。1、配置管理：配置管理是管理所有的网络设备,随时掌握网络内的网络设备的增减和变动,对所有的网络设备进行参数配置,并对设备的数据参数要严格备份。当故障发生时,技术人员可以快速重设恢复,保障网络的正常运行。2、性能管理：性能管理主要用于评估网络系统的运行性能,统计网络资源的应用及各种通信协议的传输量等,通过对性能管理的评估,使我们了解对整个网络的应用需求和存在的网络制约瓶颈,为今后网络升级或更新规划的提供依据。故障管理为保证网络系统的高稳定性在网络出现问题时,必须及时判断掌握故障所在并进行恢复。它包含所有节点运行状态、故障记录的追踪与检查及平常对各种通信协议的测试。3、安全管理：为防范不被授权的用户擅自使用网络资源,非法登陆网络核心设备对配置参数的删改,以及用户蓄意破坏网络系统,要做好严密、规范的安全措施,如合法设备存取访问控制和防火墙的控制策略等。二：校园网络的管理策略1. IP地址的规划与管理，见前面的分析2. 网络交换机的信息管理 交换机是局域网中最重要的网络连接设备,域网的管理中大多会涉及对交换机的管理,校络的设计布局一般采用星型多级交换机结构。网络管理员应对校园网络布线结构网络系构和参数配置要熟悉了解,对每个网管交换机个端口要详细对应配置,如端口对应的是哪一室、哪一间办公室、哪一个用户或是级联到下交换机等,并严格做好系统参数备份,当交换交换机端口损坏需更换时,做好相对应的参数修改。网管交换机可以通过以下几种途径进行管理:通过RS-232串行口(或并行口)管理,通过网络浏览器管理,通过安全远程登陆管理。网络管理员可以随时监控交换机端口工作状态和端口网络流量。下面以思科网管交换机通过安全远程登陆管理监控的常用方法。(1)先用telnet XX.XX.XX.XX命令登陆到网管交换机。XX.XX.XX.XX为网管交换机的IP地址。(2)用show configuration命令查看交换机的参数配置,哪一个端口对应的是VLAN口、哪一个是trunk口或是哪一个用户等,这也有助于我们了解网络系统结构布局。(3)用show interface命令监控交换机端口工作状态。这一点很重要,因为当整个网络系统出现故障或不顺畅时,我们可依此知道哪一个端口工作(up),哪一个端口不工作(down),工作端上发数据包是否正常。为我们快速修复处理提供了依据。(4)用shutdown命令关闭异常端口。对出现流量异常的端口暂时关闭,以免影响整个网络的正常运行。3. 防火墙的管理当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的稳定之外，更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙的技术完成。防火墙(firewall)是指一个由软件或硬件设备组合而成，处于网络群体计算机与外界通道(Internet)之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。在构建安全网络环境的过程中，防火墙是一个系统,主要用来执行两个网络之间的访问控制策略，通常应用防火墙的目的有以下几方面：（1）限制他人进入内部网络；（2）过滤掉不安全的服务和请求；（3）防止入侵者接近网络系统；（4）限定用户访问特殊站点；（5）为监视局域网安全提供方便。防火墙总体安全框架为:物理地址IP地址身份认证应用层过滤,分别采用用户入侵检测,状态包过滤技术,身份认证,信息过滤等安全策略,通过这样的数据流程对内部网络进行保护。4.3 网络安全管理 4.3.1网络安全的潜在威胁分析 网络安全也可以说是当前网络发展的头等大事，没有了安全，上网的教师和学生也就没有了安全感。针对校园网常出现的安全问题，经过分析，校园网可能的潜在威胁主要表现在以下几个方面：1 技术因素在硬件方面， 国内计算机的核心部件及技术几乎都来自国外。在软件方而，操作系统和办公软件绝大部分依赖美国微软公司开发的产品。在核心技术严重依赖国外的情况下，如果国外厂商在硬件和软件中隐藏有特洛伊木马等病毒，一旦需要时被激活，其后果不堪设想，存在着严重的安全隐患。2 操作系统本来存在安全漏洞网络服务器安装的操作系统多是Windows XP，Unix，Linux等，这些系统安全风险级别不同。例如WindowsXP的普遍性和可操作性，使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞。3 计算机病毒 计算机病毒是一个具有高级技巧的程序，一段可执行的代码。具有隐蔽性、潜伏性、传染性和极大的破坏性。它是能够通过某种途径潜伏在计算机存储介质或程序里， 当达到某种条件时即被激活， 干扰系统的正常运行，造成计算机运行速度变慢、频繁死机不能正常工作，一些软件不能正常使用，数据被破坏， 网络及服务器瘫痪。随着网络的广泛应用，病毒的种类和数量急剧增加。 4 黑客的入侵黑客是指利用非法手段窃取计算机网络系统的口令和密码，从而非法进入计算机网络的人。黑客为了使自己获得某种非法利益，利用网络协议，服务器和操作系统的安全漏洞以及管理上的疏漏，修改页面内容或链接，