局域网组网技术实训报告学校内部网规划设计(DOC毕业设计论文).doc

局域网组网技术 实训报告 中学内部网络规划中学内部网络规划 目目 录录 1 黔江中学简介及需求分析 1 1 1 黔江中学简介 1 1 2 需求分析 1 1 2 1 功能需求 1 1 2 2 技术需求 1 1 2 3 网络现状分析 2 2 黔江中学系统总体设计 3 2 1 网络设计原则 3 2 2 网络设计目标 3 2 3 网络拓扑结构设计 4 2 4 布线系统设计 4 2 5 INTERNET 接入 4 3 IP 地址规划与 VLAN 划分 5 3 1 IP 地址规划 5 3 2 内部网络 IP 地址分配 5 3 3 外部网络 IP 地址分配 6 3 4 VLAN 设计 6 4 局域网服务器规划与配置 7 4 1 DHCP 服务器的安装与配置 7 4 2 WEB 服务器的安装与配置 8 5 安全规划与设计 10 5 1 系统安全 10 5 2 信息安全 11 5 3 应用安全 11 5 4 路由器级安全控制 11 5 5 网络安全 防火墙 12 5 6 CISCO PIX 防火墙具体实施 13 6 工程实施规划 14 6 1 设计原则 14 6 2 总体设计思路 14 6 3 传输布线方案设计 15 6 4 线路铺设 18 7 心得体会 18 1 1 黔江中学简介及需求分析黔江中学简介及需求分析 1 1 黔江中学简介 重庆市黔江中学校 始建于 1925 年 是原四川省省级重点中学 重庆市直辖 后 被命名为首批市级重点中学 学校现占地 168 亩 校园环境幽雅 高木参天 花草映地 现代化教学楼群与优美的自然环境和谐相依 自 1998 年以来 市 区两级政府及学校自筹 先后投入建设资金 3000 余万 元 极大地改善了办学条件 各项设施基本步入现代化 学校实验设备齐全 拥 有先进的 班班通 校园网 教学双向控制系统等电教设备 拥有标准化的塑 胶篮球场 塑胶运动场等现代化体育设施 拥有藏书 10 余万册的现代化图书 馆 这些现代化的硬件条件为学生的成长奠定了坚实的物质基础 为培养现代 人才创造了良好的条件 1 2 需求分析 1 2 1 功能需求 经过对黔江中学的调查和了解 随着学校规模和业务的不断发展 已有的网 络系统已逐渐不能适应现有应用的需求 为了提高网络的覆盖率 使更多的人可 以利用网络的便利性 以及为了在网络上可以支持更多的新一代的应用系统比如 网络会诊 网络研讨 视频会议 保证整个网路的安全性 先进性 便捷性 和可扩充性原则 并满足用户在网上对学校的了解 及时挂号 学校内部资源共 享 科学研究等功能 需要在原有的基础上建设新的学校网络 1 2 2 技术需求 从技术角度考虑 一个好的网络应该更多的提供服务和网络安全性 在设计 网络时功能方面应具备以下几点 1 资源共享功能 网络内的各个桌面用户可以共享数据库和共享打印机 实现办公自动化系统 中的所有功能 2 通信服务功能 用户能够通过服务器和广域网连接进行电子邮件的收发 实现 WEB 服务和 FTP 服务 接入互联网 进行安全的数据访问 3 多媒体功能 能够进行网络会诊和视频会议 支持视频点播和视频会议并具有教好的质量 保证 1 2 3 网络现状分析 从目前来讲 主要需求分为如下几个方面 1 网络系统中心在学校总部计算机机房中心 2 整个网络采用先进的网络结构 以满足传输 存储和处理数据等信息的 需要 3 各大楼通过总部计算机机房中心和 INTERNET 接通 4 满足整个学校内部网络安全的需求 5 完整统一的系统管理平台 根据用户的需求及应用的特点 我认为本网络系统应该满足如下特点 1 网络规模较大 本地网络上的用户多 将来会进一步发展 因此 网络的设计要留下充分的 发展余地 比如 服务器及工作站的网络传输速度要能够适应业务不断增长的需 要 网络能够支持将来电视会议及多媒体等新业务以适应新应用的需求 2 先进性 学校内部网络系统利用当今计算机与通讯科学技术的先进成果 在一个高起 点基础上发展 保障系统具有较长的生命周期 使企业网络系统不会落后于技术 的发展 同时也不会造成资源浪费 不然 会极大地影响系统的进一步开拓 3 性能要求较高 为了满足各种工作站的应用的要求 服务器的网络接口应该有比较高的吞吐 能力 服务器的网络传输速率要在 100Mbps 以上 工作站的网络传输速率也应该满足一 定的要求 而且 随着业务的开展 对网络传输速率的要求会不断提高 因此要 求网络设备应具有比较高的容量 满足系统发展的需要 而且 采用的网络技术 应该提供多种速率的连接接口 满足系统对服务器带宽的要求 4 高可靠性 网络的可靠性要求高 采用容错技术或设备级的备份保证网络系统的正常工 作 5 扩展性 未来网络上许多用户对网络带宽有更高的要求 如网络上的电子商务系统的 应用 都使这些用户对网络的带宽有特殊的要 所以网络要求提供这方面的扩展 2 2 黔江中学系统总体设计黔江中学系统总体设计 2 1 网络设计原则 在学校内部网络的方案设计及建设过程中 要充分考虑学校目前的具体甚至 特殊 需求 又要符合学校未来发展的需要 鉴于此 在设计中应遵循以下几项总体原 则 1 在充分考虑学校网络总体要求的基础上 最大限度满足学校的特殊要求 2 充分利用现有设备 保护学校投资 3 保证简单 实用的基础上对网络的设计应尽量采用先进技术和设备 4 网络结构采用扩展型星型的网络结构 5 采用全交换网络技术 6 具有很好的安全性 可靠性 设计要简单 灵活 合理 易于开发 便 于维护 7 应用系统要求网络服务器具有较高的处理能力和 I O 吞吐能力 8 操作系统应具有良好的可扩展性 2 2 网络设计目标 网络建设的目标 就是在总部和各大楼局域网建设 及其广域网联接的基础 上 将互联网技术引入学校内部网 从而建立起统一 快捷 高效的 Intranet 系统 整个系统在安全 可靠 稳定的前提下 符合经济的原则 即实现合理的 投入 最大的产出 具体规划如下 1 以总部计算机机房为中心 与大楼各层 通过光纤相连 构成大型分级 局域网 以千兆以太作为主干网 利用第三层交换技术实现大型局域网的 VLAN 划分 规划中二级节点采用千兆 与中心主交换机 主节点 构成千兆网络主干 各二级单位 三级节点 采用 100M 光纤收发器通过二级节点接入主干网 考虑 到网络环路连接可达到冗余效果 增加系统的可靠性 因此 二级节点之间尽可 能互联 形成环路 2 网络的安全机制 1 通过对网络设备的配置 控制访问列表等方式来加强网络的安全性措施 2 更重要的是 在内部网与公众网的结合处 采用先进的防火墙技术 代理 服务器技术 以及 Web 服务器的口令验证 数据加密等技术实现网络的安全性 网络中心设立 WEB 应用服务器 代理服务器 E MAIL 服务器 DNS 服务器 和数 据库服务器 实现 WEB 访问 Internet 接入 域名解析和应用系统等各种功能 2 3 网络拓扑结构设计 根据以上设计网络拓扑结构的原则及现在常用的总线型 星型 环型拓扑结 构的特点 设计学校的门诊大楼 外科大楼 无创外科中心 内科大楼网络结构时 采用扩展型星型拓扑结构 学校路由器采用 Cisco 2811 每层楼的核心交换机采 用 HUAWEI3600 交换机最后汇聚到 Cisco 4506 交换机 每个楼层以光纤方式连 接到汇聚层 设计的拓扑结构如图 2 1 图 2 1 黔江中学网络结构拓扑图 2 4 布线系统设计 随着计算机网络技术的发展 传统建筑中的供风 暖通 给排水 通讯 通 信 监控等都变得可控起来 传统建筑正在朝可控制和管理的智能方向发展 即 智能化大厦 信息社会在飞速发展中不断出现的新需求也是传统建筑所无法满足 的 结构化综合布线系统 SCS 是智能化学校的基础 有了好的结构化综合布 线系统 整个学校能更好的为各层次用户提供最佳 最便捷的服务 2 5 INTERNET 接入 根据学校的需求分析及应用要求我采用 DDN 专线接入 3 3 IPIP 地址规划与地址规划与 VLANVLAN 划分划分 3 1 IP 地址规划 目前的网络大多是 Internet Interne 结构 是一个与外间网络有联系 但 又相对而言独立的网络 它的 IP 地址规划需要考虑以下问题 用什么样的 IP 地 址 怎么划分地址 用什么方式分配用户地 如何使用 NAT 以及如何管理 IP 地 址等 3 2 内部网络 IP 地址分配 对于局域网的 IP 地址管理问题 用户规模越大 管理工作就越困难 所以 网络管理员必须深思加以解决 目前有两种方案 一是使用动态 IP 地址分配 DHCP 另一方案是使用静态地址分配 但必须加强 MAC 地址的管理 用动态 IP 地址分配 DHCP 的最大优点是客户端网络的配置非常简单 在没有管理员的 帮助和干预的情况下 用户自己便可以对网络进行连接设置 但使用动态 IP 地 址分配需要设置额外 DHCP 服务器 综合以上考虑 结合黔江中学的实际情况 内部网络 IP 地址采用 DHCP 分配具体规划如下 DHCP 服务器 IP 地址 192 168 0 1 DHCP 服务器 192 168 0 128 192 168 3 254 路由器 内部 IP 192 168 1 2 255 255 255 0 表 3 1 IP 地址规划 学校大楼名称IP 地址范围子网掩码网关 门诊大楼 192 168 0 2 192 168 0 254255 255 255 0192 168 0 2 外科大楼 192 168 1 1 192 168 1 254255 255 255 0192 168 1 1 无创外科中心 192 168 2 1 192 168 2 254255 255 255 0192 168 2 1 内科大楼 192 168 3 1 192 168 3 254255 255 255 0192 168 3 1 3 3 外部网络 IP 地址分配 由于内部服务器中的 WWW 服务器需要和外界通讯要解决这个问题 我们可以申请 一定数量的合法 IP 地址 并绑定在在防火墙的外部网卡上 ISP 分配给 WWW 服务器的 IP 为 内部 IP 192 168 1 37 真实 IP 202 13 253 37PIX 防火墙的 IP 地址分别为 内网接口 eth1 192 168 1 1 外网接口 eth0 202 13 21 1 通过设置 PIX 把真实 IP 绑定 到防火墙的外网接口 并在 PIX 上定义好 NAT 规则 这样 所有目的 IP 为 202 13 253 37 的数据包都将分别被转发给 192 168 1 37 而所有来自 192 168 1 37 的数据包都将分别被伪装成由 202 13 253 37 从而也就实现了 IP 映射 需要申请合法 IP 地址的服务器包括 INTERNET 接入路由器 WWW 服务器 防火墙 3 4 VLAN 设计 VLAN 虚拟局域网 它依靠逻辑设定将原来物理上互连的一个局域网络划分为 多个虚拟网段 划分的依据可为设备所连的端口 用户节点的 MAC 地址等 整个 网络可以根据管理的要求 地理位置和片区的划分来设置相应的 VLAN 虚拟子网 VLAN 技术可以将不同 VLAN 之间的用户隔离 保证安全性 划分的结果使得同 一虚网内数据可自由通讯 而不同虚网间的数据交流则需要通过具有第三层路由 功能的设备来完成 CISCO 交换机系列都支持 VLAN 的设定和 ISL 802 1Q 两种以 太网 VLAN 标识技术 本方案设备从核心层交换机 CISCO4506 访问层交换机 到 接入层交换机设备都支持 IEEE 802 1Q VLAN 标准 保证了该项技术的顺利实施 这样 通过在接入层交换机为用户配置不同的 VLAN 进行端口隔离 所有的用户 端口只能通过核心交换机来实现互连 每层楼的核心交换机采用 HUAWEI3600 HUAWEI3600 交换机最后汇聚到 CISCO4506 交换机 每个楼层以光纤 方式连接到汇聚层 部门之间的 VLAN 信息可以通过它来转发可以减少核心层交 换机的负担 在核心层交换机通过 ACL 进行相应的控制 使得用户的访问得到完 全的控制 采用如下方式划分子网 子网一 网络中心 包括数据库服务器 WEB 服务器 WWW 服务器和 DHCP 服 务器 网管工作站 代理服务器和访问服务器等 子网二 办公大楼 包括学校领导和各部门办 其它每个联网的大楼均分配 一个子网 每一个大楼属于一个 VLAN 以此提高整个网络的可靠性和可用性 由 于 CISCO4506 最高可以提供 150M 的第三层转发 因此这种子网划分方式不但可 以提供高可用性 同时还降低网络风暴的可能性 更好地满足了业务的需要 4 4 局域网服务器规划与配置局域网服务器规划与配置 4 1 DHCP 服务器的安装与配置 1 安装 DHCP 服务器的步骤如下 步骤 1 启动 添加 删除程序 对话框 步骤 2 单击 添加 删除 Windows 组件 出现 windows 组件向导单击下 一步 出现 Windows 组件 对话框从列表中选择 网络服务 如图 4 1 所示 图 4 1 组件对话框 步骤 3 单击 详细内容 从列表中选取 动态主机配置协议 DHCP 单 击 确定 步骤 4 单击 下一步 输入到 Windows2003 Server 的安装源文件的路径 单击 确定 开始安装 DHCP 服务 步骤 5 单击 完成 当回到 添加 删除程序 对话框后 单击 关闭 按 钮 安装完毕后在管理工具中多了一个 DHCP 管理器 2 添加 DHCP 服务器 在安装 DHCP 服务后 用户必须首先添加一个授权的 DHCP 服务器 并在服务 器中添加作用域设置相应的 IP 地址范围及选项类型 以便 DHCP 客户机在登录到 网络时 能够获得 IP 地址租约和相关选项的设置参数 添加 DHCP 服务器的步骤如下 步骤 1 启动 DHCP 管理控制台 步骤 2 选择 操作 菜单中的 添加服务器 启动添加服务器向导单击 下一步 出现 指定 DHCP 服务器 对话框如 单击 浏览 按钮后出现 目 录中授权的服务器 对话框 在此用户可用给 DHCP 服务器添加授权 单击 添 加 按钮 出现 授权 DHCP 服务器 窗体 填写用户要建立 DHCP 服务的服务器 名或 IP 地址 步骤 3 在 目录中授权的服务器 对话框中选择上一步添加的服务器 单击 管理 下一步 完成 在 DHCP 管理控制台中出现刚才添加的服务器 3 在 DHCP 服务器中添加作用域 步骤 1 在 DHCP 控制台中单击要添加作用域的服务器 操作 新建 作用域 出现 创建作用域向导 步骤 2 单击 下一步 然后 输入作用域名 对话框在此输入本域的域名 步骤 3 单击 下一步 输入作用域将分配的地址服务几子网掩码 步骤 4 单击 下一步 在 添加排除 对话框中输入需要排除的地址服务 步骤 5 单击 下一步 选择租约期限 8 天 步骤 6 单击 下一步 选择配置 DHCP 选项 步骤 7 单击 下一步 输入默认网关 IP 地址 步骤 8 输入域名称和 DNS 服务器的 IP 地址 步骤 9 单击 下一步 添加 WINS 服务器的地址 步骤 10 单击 下一步 选择激活作用域 步骤 11 在 DHCP 控制台中出现新添加的作用域 在 DHCP 控制台右侧窗体中 的状态条中显示 运行中 表示作用域已启用 4 2 WEB 服务器的安装与配置 1 Windows Server 2003IIS 6 0 安装具体做法 1 进入 控制面板 2 双击 添加或删除程序 3 单击 添加 删除 Windows 组件 4 在 组件 列表框中 双击 应用程序服务器 5 双击 Internet 信息服务 IIS 6 从中选择 万维网服务 及 文件传输协议 FTP 服务 7 双击 万维网服务 从中选择 Active Server Pages 及 万维网服 务 等 安装好 IIS 后 接着设置 Web 服务器 具体做法为 1 在 开始 菜单中选择 管理工具 Internet 信息服务 IIS 管理器 2 在 Internet 信息服务 IIS 管理器 中双击 本地计算机 3 右击 网站 在弹出菜单中选择 新建 网站 打开 网站创建向导 4 依次填写 网站描述 IP 地址 端口号 路径 和 网站访问权 限 在 Internet 信息服务 IIS 管理器 的 Web 服务扩展 中选择允许 Active Server Pages 2 架设 WEB 服务器 进入控制面板 执行 添加或删除程序 添加 删除 Windows 组件 进入 Windows 组件向导窗口 勾选 应用程序服务器 Internet 信息服务 确定 后返回 Windows 组件向导窗口点击 下一步 即可添加好 IIS 服务 在控制面板 的管理工具中执行 Internet 信息服务 IIS 管理器 进入 IIS 管理器主界面 在 若要执行动态页面执行 ASP 网站则要在 Web 服务扩展 列表中选中 Active Server Pages 然后单击 允许 按钮来启用该功能 接下来就可以 具体配置 Web 站点 1 网站基本配置 在 默认网站 的右键菜单中选择 属性 进入 默认网站属性 窗口 在 网站 选项卡上的 描述 里可以为网站取一个标示名称 如果本机分配了多 个 IP 地址 则要在 IP 地址框中选择一个赋予此 Web 站点的 IP 地址 然后进入 主目录 选项卡中指定网站 Web 内容的来源并在 文档 中设置好 IIS 默认启 动的文档 单击 应用 按钮后使用 http 127 0 0 1 来验证网站 2 网站性能配置 进入 性能 选项卡 在这里可以对网站访问的带宽和连接数进行限定 以 更好地控制站点的通信量 如果是多站点服务器 通过对一个站点的带宽和连接 数限制可以放宽对其他站点访问量的限制和为其他站点释放更多的系统资源 3 网站的安全性配置 为了保证 Web 网站和服务器的运行安全 可以在 目录安全性 选项卡上为 网站进行 身份验证和访问控制 IP 地址和域名限制 的设置 3 IIS 的备份和移植 为了防止系统损坏对 IIS 配置的影响 我们可以使用 IIS 备份精灵来实现 IIS 的备份和移植了 1 启动软件 在 IIS 备份精灵的站点列表上就会列出 IIS 服务器上配置的 各种站点了 勾选你要备份的站点然后单击 导出站点 按在弹出的 导出 IIS 站点 窗口上选择好文件保存路径 确定 后站点配置信息就会以一个 TXT 文本 文件保存下来了 2 在重装 IIS 服务器需要导入站点信息时 运行 IIS 备份精灵 单击 导 入站点 按钮在弹出的 IIS 导入站点 窗口上选择要导入的事先备份好的 IIS 站点信息文件 确定 后即可导入 若需要移植 IIS 站点信息应先把备份的站 点信息文件复制到目的机器上 然后在这个机器上再下载安装 IIS 备份精灵 执 行 导入站点 操作就可以了 5 5 安全规划与设计安全规划与设计 网络安全是当前 IT 业最受关注的环节 在学校内部网络建设中 内部网与 Internet 的连接是重要环节 因此 需要着重解决好总部的防火墙方案 由于 Intranet 网络系统将连入 Internet 为用户提供各种信息服务 资源共享和开 放是 Internet 特点 所以 Internet 的安全机制很松散 而学校内部网络系统要 求有较高的安全性 其内部的许多数据和文件不接受未经授权的访问 因此 设 计与开发保证内部各种信息的安全机制是实现该办公网络顺利运行的关键 安全 技术主要包括系统安全 信息安全 应用安全和网络安全技术 而三者之中网络 安全尤为重要 网络安全的主要技术是防火墙技术 Firewall 防火墙技术的 核心思想是在不安全的网间网环境中构造一个相对安全的子网环境 5 1 系统安全 系统安全保证一个主机系统的安全 主要包括主机系统的密码安全 重要服 务器如 FTP WEB 和数据库等大型应用系统的安全 我们在主机系统和数据库系 统的选型上 已经充分考虑了系统的安全性 5 2 信息安全 由于网络上有许多可用来做窃听的工具 因此明文信息在网上传输是不安全 的 TCP IP 协议本身不提供任何信息安全方面措施 我采用基于 IP 层的信息加 密和基于应用层的信息加密 基于应用层的信息加密方法是用户在发送信息前 利用加密工具先将信息加密 然后才发送出去 接收方可利用相应的解密工具还 原信息 信息加 解密技术可分为两种体系 即单密钥的加密体系和双密钥的加 密体系 我采用双密钥的加密方法又叫公开密钥的加密方法 加密和解密时采用 不同的密钥 即公开密钥和私人密钥 5 3 应用安全 应用安全是指基于网络的应用系统的安全 包括用户的身份认证和权限管理 两部分 应用系统建立用户管理子系统 进行用户的管理和授权工作 1 身份认证 用户使用应用系统 不管是从内部网络登录 还是拨号访问 还是通过 INTERNET 访问公司网络 首先需要通过严格的身份认证 只有合法的 用户才能使用应用系统 2 权限管理 每个使用网络的用户将受到严格的权限限制 5 4 路由器级安全控制 1 访问控制列表 CISCO 路由器操作系统 IOS 通过访问控制列表 ACL 技术支持包过滤防火墙 技术 根据事先确定的安全策略建立相应的访问列表 可以对数据包 路由信息 包进行拦截与控制 可以根据源 目的地址 协议类型 TCP 端口号进行控制 在 Extranet 上建立第一道安全防护墙 屏蔽对内部网 Intranet 的非法访问 通 过 ACL 限制可以进入内部网络的外部网络甚至是某一台或几台主机 限制可以被 访问的内部主机的地址 为保证主机的安全 可以限制外部用户对主机的 TELNET 方式登陆等 2 地址转换 CISCO 路由器操作系统 IOS 的防火墙功能还包括 IP 地址转换的功能 进行 IP 地址转换有两个好处 其一是隐藏内部网络真正的 IP 地址 这可以使黑客 hacker 无法直接攻击内部网络 因为它不知道内部网络的 IP 地址及网络拓 扑结构 另一个好处是可以让内部网络使用自己定义的网络地址方案 而不必考 虑与外界地址冲突的情况 3 路由认证技术 为了保证发出和进入的路由更新不被窃取和攻击 CISCO 路由器操作系统 IOS 提供对动态路由协议进行加密和认证的技术 只有在经过认证的路由器才能 互相学习路由信息 同时路由信息的传输完全是以加密的形势进行的 鉴于网络 主干的开放性 可以利用 CISCO 路由器的路由认证技术对所有路由器的路由信息 进行认证与加密 以防止路由信息的泄漏 保证网络的安全 4 路由器自身的安全防护 在保证数据信息的安全性的同时 必须考虑到路由器自身的安全性 在这方 面 CISCO 路由器 IOS 提供了一系列防范措施 首先 进行口令保护 用户登录 路由器必须经过口令的认证 其次 利用口令授权 将不同的权限等级与不同的 口令进行关联 对用户进行等级的划分 通过减少超级用户来减少不安定因素 再次 对口令进行加密 以避免口令在网上以明码的方式进行传输 同时避免配 置文件以明码的方式显示口令 最后 对无人职守的控制台和端口进行超时限制 以提高设备的安全性 5 5 网络安全 防火墙 网络安全的主要技术是防火墙技术 Firewall 防火墙技术的核心思想是在 不安全的网间环境中构造一个相对安全的子网环境 目前其实现方式有两种 即 基于包过滤的防火墙和基于代理 Proxy 的防火墙 包过滤型防火墙处在网络层 根据 IP 包的包头信息来对信息的访问进行控制 而 IP 包的包头主要包括以下信 息 IP 包的源地址 目的地址 包类型 端口号 因此包过滤型防火墙主要完成 基于地址和端口的过滤功能 基于代理的防火墙 也叫应用层防火墙 处于应用 层 可对 IP 地址和发生在该 IP 地址上的具体应用进行控制 由于它能识别应用 协议 因此可对应用的整个过程进行控制 在应用建立时的密码验证 在 FTP 应 用中允许站点 GET 而不允许 PUT 这两种防火墙各有优缺点 包过滤型防火墙由 于基于网络层 因此对用户来说比较透明 但它一般采用 没被禁止的就是允许 的 这一策略 在它失败时 网络是畅通的 这时内部网络将失去安全的屏障 而应用层防火墙采用 没被允许的就是禁止的 这一策略 在它失效时 内部网 络与外部网络是隔离的 因此应用层防火墙要比包过滤型防火墙安全 5 6 CISCO PIX 防火墙具体实施 CISCO PIX 防火墙介绍 我们采用的第二种防火墙方案是采用 CISCO 公司的 防火墙产品 PIX 它是一种硬件解决方案 主要优点在于 比其它防火墙方式更 安全有效 而且 更好的支持多媒体信息的传输 使用与管理更方便 PIX 具有 双以太网口 内部网与 DMZ 各一个 并可以扩展 可组成虚拟专用网并加密 在防止非法侵入的同时还可有效的限制内部对外的访问 整个系统的安全保障由 CISCO PIX 防火墙来完成 PIX 是局域网对外的主要门户 由外界进入局域网的 连接均要通过 PIX PIX 的核心是基于适应性安全算法 ASA 的保护策略 是面向 连接的防火墙 支持 IPsec 支持的 56 bit 数据加密标准 DES 和 168 bit 3DES 算法 可以提供 6 Mbps 以上的 3DES 性能 完全可胜任目前安全的需要 能同时 支持 25 万个并发用户连接 CISCO 提供了 PIX 私有 Internet 交换防火墙 它 运行自己定制的操作系统 事实证明 它可以有效地防止非法攻击 PIX 防火墙 要求有一个路由器连接到外部网络 PIX 有两个 ETHERNET 接口 一个用于连接内 部局域网 另一个用于连接外部路由器 外部接口有一组外部地址 使用他们来 与外部网络通信 内部网络则配置有一个适合内部网络号方案的 IP 地址 PIX 的 主要工作是在内部计算机需要与外部网络进行通信时 完成内部和外部地址之间 的映射 PIX 是局域网对外的主要门户 由外界进入局域网的连接均要通过 PIX 本方案网络安全配置概述 由于路由器防火墙只能作为过滤器 并不能把内 部网络结构从入侵者眼前隐藏起来 只要允许外部网络上的计算机直接访问内部 网络上的计算机 就存在着攻击者可以损害内部局域网上机器的安全性 并从那 里攻击其他计算机的可能性 因此为了保证学校内部网的安全 防止非法入侵 需要使用专用的防火墙计算机 因此 本方案采用两层防火墙加上应用系统的身 份认证和权限管理四层安全措施 来保证网络安全和应用安全 由于费用原因 本方案采取临时措施协助进行病毒防范 1 第一层软件防火墙 通过 CISCO 的路有器和访问服务器本身具有的包过滤功能和代理服务器的内 外网隔离功能实现 2 第二层硬件防火墙 即选用 CISCO SECURE PIX 525 防火墙 该产品经过了美国安全事务处 NSA 的认证 同时通过中国公安部安全检测中心的认证 具体配置为 CISCO SECURE PIX 525 4 个 100M 以太网端口 128M 内存 600MHZ CPU 3 第三层身份认证 用户使用应用系统 不管是从内部网络登录 还是拨号访问 还是通过 INTERNET 访问企业网络 首先需要通过严格的身份认证 只有合法的用户才能使 用应用系统 4 第四层权限管理 每个使用网络的用户将受到严格的权限限制 6 6 工程实施规划工程实施规划 综合布线是对传统布线方式的彻底变革 经过统一的规划设计 它将所有话 音 数据 视频信号与控制设备的配线等综合在一套标准的配线系统中 综合布 线系统能够支持多种信息的传输 支持多种传输介质 支持多用户多类型产品的 应用 此外 通信设备替换 移动和扩充极为简单 方便 6 1 设计原则 实用性 这是第一位的 也是系统的最终目的 该布线系统不仅能够为计算 机网络系统服务 而且也应当能够很容易加入楼宇控制部分 实现智能化大楼 可靠性 网络中心是学校的中心枢纽所在 对结构化布线系统和以后的应用 系统的可靠性要求是相当严格的 它应能防止各种可能出现的故障性瘫痪 开放性 这实际上是对布线系统和办公网建设的要求 易扩性 布线系统和网络的投资保护和节省很大程度上是取决于系统能否扩 展以及标准化 开放性和设计容量等 先进性 在技术成熟实用的基础上 提供最先进的实用产品和技术 它也是 保证高水平实用技术的条件 可维护性 对于大规模的布线系统和大范围分布的网络 其差错与故障诊断 维护和重组 系统重配置等功能是必不可少的 6 2 总体设计思路 为满足日益发展的通信 网络应用要求 整个学校应具有现代化的水准和智 能化的功能 PDS 设计方案的目的就是要以经济实用 科学合理的最新技术 对 集团的语音 数据 视频 图像等进行自动化管理 作为学校应充分考虑将来系 统集成的需要 即以楼宇自动化系统办公自动化系统 OAS 及通信自动化系统 CAS 作为设计依据 当这些智能系统需要集成共同发挥作用或单独实施功能 运行时 可以非常方便灵活地在综合布线系统平台上实现 综合布线系统是连接 3A 系统各种控制信号必备的基础设施 我按 3A 大厦标准设计 选用美国 LUCENT 企业的 PDS 结构化综合布线系统产品 计算机网络互连设备按前文所述选 用美国思科 CISCO 企业系列产品 包括路由器 交换机等 大型企业园区布 线应采用总体分布式 局部集中式 数据主干线系统采用光缆 其余均采用超五 类双绞线线缆 水平线路每条均按 4 对 八芯 配备 选用超五类非屏蔽双绞线 既可满足了近期需要 又为将来应用多媒体技术打下了基础 布线铜缆系统选用 110P 配线架和 110A 配线架相结合 配线架的尺寸以 100 对为一个基本单位 每 个连接信息插座的 100 对配线架可端接 24 个信息点 布线光纤系统根据需要采 用 8 芯或 4 芯单膜光纤 200A 和 100A3 光纤接线盒 6 3 传输布线方案设计 根据综合布线系统设计规范 我把该布线系统工作区子系统 水平子系统 管理子系统 干线子系统 设备间子系统 楼层子系统等 6 个模块进行设计 这 套完整的系统可满足用户的要求 同时 根据实际情况 当建筑物内最远信息点 距离设备间 交换机所在地 不到 94 米时 管理子系统和设备间子系统可以合 并 水平子系统和干线子系统可以合并 这样可以达到简化布线系统的结构 方 便进行设备管理 节省空间和装修成本的目标 1 楼层子系统 本子系统是指门诊大楼 外科大楼 无创外科中心 内科大楼的各楼层中 通 常采用光纤或大对数铜缆连接 根椐学校的分布和客户的要求 我将整个学校划 分为多个分区 各区之间的连接根据需要采用 8 芯或 4 芯光纤 采用架空连接 距离网络中心较近的大楼 采用 12 芯光纤 外围各大楼采用熔接的方式 进行 延伸 从而达到降低光纤数量和铺设成本的目的 光纤铺设的原则如下 1 光纤铺设的设计以应用的需要为出发点 2 学校大楼总部机房作为网络中心和数据中心 3 光纤铺设设计的原则是易于扩展 方便管理 成本合理 4 所有光纤都采用单模 2 工作区子系统 工作区即最终用户的办公区域 工作区子系统是从信息插座到工作终端设备 之间的连续电缆及适配器组成 即从标准的 RJ45 型信息插座延伸到各个具有非 标准的或标准的接口的工作设备之间的布线系统 各种形式的适配器和终端线缆 构成了工作区子系统 例如 共享每一个标准 RJ45 信息插座的数据 语音共享器 RS 232 与 RJ45 之间的转换器 视频适配器 D8SA 高速数据连接线等 这些适配 器使得不同系统 不同标准的信号在统一的五类 UTP 上传输 并将连接接口统一 为标准的 RJ45 界面 这些产品的需求可在今后实际应用中加以详细考虑 3 水平子系统 1 水平线缆的长度计算 按照 PDS 的水平线缆长度计算公式计算 水平线缆长度计算公式 C 0 55 L S 6 I O 式中 C 为每层楼的用线量 I O 为每层楼配线架连接的信息点 L 为配线架连接最远信息点 I O 的距离 S 为配线架连接最近信息点 I O 的距离 2 水平线缆的敷设方法 水平线缆从每一层的分配线架 IDF 出发 在走廊上方沿预设的弱电线槽 敷设 到每一间需安置信息插座的房间外面 再沿金属管 一般用一个三通管 敷设到信息插座所在的连接盒处 3 信息插座 结构化综合布线系统允许同一建筑物内采用不同类型的信息插座 但它们本 质上是相似的 插座都是 8 针 RJ45 型的 并且都符合现在 ISDN 接口标准 4 管理子系统 管理子系统的设计可以分为下方面 1 管理模式 采用双点连管理模式 本模式不仅在设备间内进行交连管理 也可在每一层 的 IDF 内进行交连管理 使得管理更加灵活 2 管理子系统的硬件 结构化综合布线系统中管理子系统的接插件一共有三大类 110A 110P Jack Panel 管理配线间应尽量保持室内无尘土 散热良好 符合有关消防规范 配置有 关消防系统 每个电源插座的容量不小于 300W 配线间位于弱电竖井内 每层配 线间面积不小于 3 平方米 当配线间有有源设备或计划安装有源程序设备 如集线器 交换机 时 一 定要保持配线间的温度和湿度 配线间温度和湿度要求数据 温度 5 30 湿度 30 80 建议的最佳温度和湿度为 温度 16 26 湿度 45 65 36 5 干线子系统 干线子系统是建筑物内部的主馈电缆 干线把各层配线间的信号传送到终端 接口 通往外部网络 它必须能满足当前的需要 同时又能适应今后的发展 根 据用户的要求 语音干线采用三类大对数双绞线 其型号为 1010LAN 50 对 UTP 数据干线采用六芯室内多模光纤 LGBC 006D LRX 及 1061CLAN 25 对 UTP 6 设备间子系统 设备间子系统就是位于各区中心 靠近弱电竖井旁 该子系统包括楼内数字 程控交换机 计算机网络服务器及互连设备 路由器 交换机等 管理工作站 和主配线架等 网络管理中心 应当按国家 GB2887 89 计算机站场地技术条件 中的主要技术指标进行装潢 按国家 GB50045 93 高层民用建筑设计防火规范 在设备间设置自动消防报警系统 并采用全淹没式自动灭火系统 6 4 线路铺设 1 工作区 根据各区大楼的建筑结构 选择墙壁型 地板型信息插座 提 供标准的 RJ45 接口 可接电话 计算机 传感器 摄像机 扬声器等 为了美 观 信息插座尽量采用暗埋式 为便于有源设备使用 信息插座附近设置单相三 孔电源插座 2 水平线缆走向 根据各大楼每层结构 在每个配线间设一个分配线架 通过线槽将水平线缆从 IDF 引至各房间 再分出支管引至房间内吊顶 剔墙而下 到各信息点出口 3 垂直线缆及 IDF 的敷放 由各层配线间内的垂直干缆经配线间内的竖井 根据各信号线的用途 分别引至不同的 MDF 垂直主干缆用电缆托盘 水平线槽 安装在吊顶上方 各层分配线架均安装在各层配线间的墙壁上 并且靠近竖井 4 主配线架 MDF 放置 对于 110 型配线系统 墙上应放置一牢固的 2cm 厚的安装胶木板 表面涂防火漆 其尺寸按配线架容量而定 安装板底边不低于 30cm 任一配线架的金属基座都应接地 接地电阻不大于 3 欧姆 阻燃高强度 PVC 管槽 电缆桥架与各分配线机柜整体连接后 再接地 配线架的上方应安装 有线槽 以布放进出线缆 5 除上述几点之外 还要考虑到用户对线路高可靠性的要求 所有线路全 部放入线槽 在无线槽处 也采取了适当措施保证线缆不受干扰 关于这一点 我考虑一方面应按用户的特殊要求 同时 我也确信五类 UTP 在无特殊保护措施 下的高品质特性 7 7 心得体会心得体会 我从黔江中学内部网络的建设思想 目标 可以选用的网络技术以及对网络 设备的介绍和选择等多方面的论述 使我对学校内部网络规划有了一个比较深入 的了解 它的所用到的各种技术是多方面的 即有网络技术 工程施工技术 也 有管理制度等各个方面的知识 网络技术的发展是永无止境的 在前进的过程中 必将有更多的知识需要我去学习与研究 并能将其应用到实际的网络工程建设之 中 本规划大部分功能已经实现 这得益于老师同学们的指导和自己的辛勤努力 但仍然有一些不完善 有待进一步改进 在写论文时遇到过各种各样的困难 经 过资料查找最后基本上都解决了也学到了很多知识 通过本次项目我觉得网络规划是一个长期 全面的过程 需要有相关的专业 知识基础 最重要的是规划一个内部网络并不是一个简单的事 所以在规划前一 定要作好各种前期工作 包括需求分析 目标 结构设计等 本次论文设计也让 我对以前所学的网络设计和规划 布线等知识又有了一个全面的认识和复习 学 到了不少这方面的知识和技巧 也灵活地运用了网络知识 以前只是所学的知识 都停留在课本上 这次是将所学运用于实际 锻炼了我的实际操作能力 在规划 过程中我认识到了做事情要有足够的耐心 自己所掌握的知识毕竟非常有限 所 以遇到问题时应虚心向别人请教 以上就是我在规划黔江中学内部网络过程中的 一点体会 以下内容与本文档无关 以下内容与本文档无关 以下为赠送文档 祝你事业有成 财源广进 身体健康 家庭和 睦 高效能人士的高效能人士的 50 个个习惯习惯 在行在行动动前前设设定目定目标标 有目标未必能够成功 但没有目标的肯定不能成功 著名的效率提升大师博思 崔 西説 成功就是目标的达成 其他都是这句话的注释 现实中那些顶尖的成功人士 不是成功了才设定目标 而是设定了目标才成功 一次做好一件事一次做好一件事著名的效率提升 大师博思 崔西有一个著名的论断 一次做好一件事的人比同时涉猎多个领域的人 要好得多 富兰克林将自己一生的成就归功于对 在一定时期内不遗余力地做一件 事 这一信条的实践 培养重点思培养重点思维维从重点问题突破 是高效能人士思考的一项重 要习惯 如果一个人没有重点地思考 就等于无主要目标 做事的效率必然会十分 低下 相反 如果他抓住了主要矛盾 解决问题就变得容易多了 发现问题发现问题关关键键在 许多领导者看来 高效能人士应当具备的最重要的能力就是发现问题关键能力 因 为这是通向问题解决的必经之路 正如微软总裁兼首席软件设计师比尔 盖茨所説 通向最高管理层的最迅捷的途径 是主动承担别人都不愿意接手的工作 并在其 中展示你出众的创造力和解决问题的能力 把把问题问题想透想透彻彻把问题想透彻 是一种很 好的思维品质 只要把问题想透彻了 才能找到问题到底是什么 才能找到解决问 题最有效的手段 不找借口不找借口美国成功学家格兰特纳说过这样的话 如果你有为自 己系鞋带的能力 你就有上天摘星星的机会 一个人对待生活和工作是否负责是 决定他能否成功的关键 一名高效能人士不会到处为自己找借口 开脱责任 相反 无伦出现什么情况 他都会自觉主动地将自己的任务执行到底 要事第一要事第一创设遍及 全美的事务公司的亨瑞 杜哈提说 不论他出多小钱的薪水 都不可能找到一个具 有两种能力的人 这两种能力是 第一 能思想 第二 能按事情的重要程度来做事 因此 在工作中 如果我们不能选择正确的事情去做 那么唯一正确的事情就是停 止手头上的事情 直到发现正确的事情为止 运用运用 20 80 法法则则二八法则向人们揭示 了这样一个真理 即投入与产出 努力与收获 原因和结果之间 普遍存在着不平 衡关系 小部分的努力 可以获得大的收获 起关键作用的小部分 通常就能主宰 整个组织的产出 盈亏和成败 合理利用零碎合理利用零碎时间时间所谓零碎时间 是指不构成连续 的时间或一个事务与另一事务衔接时的空余时间 这样的时间往往被人们毫不在 乎地忽略过去 零碎时间虽短 但倘若一日 一月 一年地不断积累起来 其总和将 是相当可观的 凡事在事业上有所成就的人 几乎都是能有效地利用零碎时间的人 习惯习惯 10 废废除拖延除拖延对于一名高效能人士来説 拖延是最具破坏性的 它是一种最危 险的恶习 它使人丧失进取心 一旦开始遇事推托 就很容易再次拖延 直到变成 一种根深崹蒂固的习惯 习惯习惯 11 向 向竞竞争争对对手学手学习习一位知名的企业家曾经说过 对 手是一面镜子 可以照见自己的缺陷 如果没有了对手 缺陷也不会自动消失 对 手 可以让你时刻提醒自己 没有最好的 只有更好 习惯习惯 12 善于借助他人力量 善于借助他人力量年 轻人要成就一番事业 养成良好的合作习惯是不可少的 尤其是在现代职场中 靠 个人单打独斗的时代已经过去了 只有同别人展开良好的合作 才会使你的事业更 加顺风顺水 如果你要成为一名高效能的职场人士 就应当养成善于借助他人力量 的好习惯 习惯习惯 13 换换位思考位思考在人际的相处和沟通里 换位思考 扮演着相当重要 的角色 用 换位思考 指导人的交往 就是让我们能够站在他人的立场上 设身处 地理解他人的情绪 感同身受地明白及体会身边人的处境及感受 并且尽可能地回 应其需要 树树立立团队团队精神精神一个真正的高效能人士 是不会依仗自己业务能力比别人 更优秀而傲慢地拒绝合作 或者合作时不积极 倾向于一个人孤军奋战 他明白在 一个企业中 只有团队成功 个人才能成功 善于休息善于休息休息可以使一个人的大脑恢 复活力 提高一个人的工作效能 身处激烈的竞争之中 每一个人如上紧发条的钟表 因此 一名高效能人士应当注意工作中的调节与休息 这不但于自己健康有益 对事 业也是大有好处的 及及时时改正改正错误错误一名高效能人士要善于从批评中找到进步的动 力 批评通常分为两类 有价值的评价或是无理的责难 不管怎样 坦然面对批评 并且 从中找寻有价值 可参考的成分 进而学习 改进 你将获得意想不到的成功 责责任任 重于一切重于一切著名管理大师德鲁克认为 责任是一名高效能工作者的工作宣言 在这份 工作宣言里 你首先表明的是你的工作态度 你要以高度的责任感对待你的工作 不 懈怠你的工作 对于工作中出现的问题能敢于承担 这是保证你的任务能够有效完 成的基本条件 不断学不断学习习一个人 如果每天都能提高 1 就没有什么能阻挡他抵达 成功 成功与失败的距离其实并不遥远 很多时候 它们之间的区别就在于你是否每 天都在提高你自己 如果你不坚持每天进步 1 的话 你就不可能成为一名高效能人 士 让让工作工作变变得得简单简单简单一些 不是要你把事情推给别人或是逃避责任 而是当你焦 点集中很清楚自己该做那些事情时 自然就能花更小的力气 得到更好的结果 重在重在 执执行行执行力是决定一个企业成败的关键 同时也是衡量一个人做事是否高效的重要 标准 只做适合自己的事只做适合自己的事找到合适自己的事 并积极地发挥专长 成为行业的能手 是 高效能人士应当努力追求的一个目标 把握关把握关键细节键细节精细化管理时代已经到来 一 个人要成为一名高效能人士 必须养成重视细节的习惯 做好小事情既是一种认真 的工作态度 也是一种科学的工作精神 一个连小事都做不好的人 绝不可能成为一 名高效能人士 不不为为小事困小事困扰扰我们通常都能够面对生活中出现的危机 但却常常被 一些小事搞得垂头丧气 整天心情不快 精神忧闷紧张 一名高效能人士应当及时摆 脱小事困扰 积极地面对工作和生活 专专注目注目标标美国明尼苏达矿业制造公司 3M 的 口号是 写出两个以上的目标就等于没