某校图书馆网络系统集成设计方案.doc

I 兰州职业技术学院兰州职业技术学院 信息工程系 信息工程系 毕业设计 论文 毕业设计 论文 课课 题题 某校图书馆网络系统集成设计方案某校图书馆网络系统集成设计方案 所属教学单位所属教学单位 电子与信息工程系电子与信息工程系 专专 业业 计算机网络技术计算机网络技术 年年 级级 11A11A 网络网络 2 2 班班 学学 号号 2011206820112068 姓姓 名名 冉丽萍冉丽萍 指导教师指导教师 冯文超冯文超 20132013 年年 1212 月月 5 5 日日 II 兰州职业技术学院兰州职业技术学院 信息工程系 信息工程系 毕业设计 论文 任务书毕业设计 论文 任务书 课课 题题 某校图书馆网络系统集成设计方案某校图书馆网络系统集成设计方案 20132013 年年 9 9 月月 2020 日至日至 20132013 年年 1212 月月 2020 日共日共 1010 周周 专专 业业 计算机网络技术计算机网络技术 年年 级级 11A11A 网络网络 2 2 班班 姓姓 名名 冉丽萍冉丽萍 学学 号号 2011206820112068 所属教学单位负责人 签字 所属教学单位负责人 签字 指指 导导 教教 师师 签字 签字 年年 月月 日日 课 题 来 源 自拟课题 课 题 的 目 的 意 义 目的 1 掌握网络系统集成的主要内容 程序 方法及有关规范 2 使学 生可以学以致用 加强学习的同时与实践相结合 3 培养认真执行国家规范及使 用技术资料解决实际问题的能力 4 提高绘制布线施工图的能力 5 培养发现 及解决问题的能力 为以后的工作和学习打下坚实的基础 意义 由于计算机技术迅猛发展 日益成熟的 Internet 技术使现代计算机网 络信息系统的概念与传统典型的局域网络概念已经发生了很大差异 传统局域网 仅需进行简单规划设计既可实施 而当今的网络信息系统 特别是企业级的计算 机网络信息系统集成则必须进行详细 周密的规划和设计 才能使网络信息系统 达到建设目的 要 求 1 根据用户要求和 CAD 结构图合理的进行综合布线系统的设计和网络功能设计 2 利用 Visio 画出综合布线系统设计图 要求在图中标注出设备间 管理间的位 置 在图中画出综合布线的走线及网络设备的安放位置 3 根据综合布线系统的设计 计算出使用的材料 包括交换机 路由器 网线 水晶头以及相关材料的统计 计算并给出总预算 4 根据网络功能设计 使用 Cisco Packet Tracer 5 3 3 仿真实现所设计的内容 5 整理所有材料并撰写论文 课 题 主 要 内 容 及 进 度 第一周 大量阅读相关文章 搜集资料 根据相关建筑图纸 确定整体思路 由组长为小组成员分配任务 开始论文前的准备工作 第二周 确定论文的题目 并写出论文目录和大概的提纲 第三周 第五周 根据 CAD 图纸画出 Visio 图 设计出布线方案 包括网 络信息点的位置 合理设计综合布线的各子系统 以及合理的网络系统集成方 案 形成论文初稿 第六周 第八周 计算所需的材料 进行概预算 并根据设计方案进行仿 真 第七周 第十周 整合论文材料 撰写论文正文 并将初稿交予老师审阅 直至最后定稿 I 摘要 由于计算机和网络应用的日益普及 各高校行政办公及教学管理的方法 方式和手段也发生着 巨大的变化 兴起于 20 世纪 80 年代的校园网 为高校图书馆的建设以及发展提供了更加富有创意的解决办 法 它不仅能更加有效合理地利用现有资源 且能够使高校图书馆更适应信息时代的发展要求 新建图书馆是否具有先进的 完整的弱电系统是衡量其建设水平的一个主要标志 为了满足目 前和今后的需要 绝大多数学校在建设时都将图书馆的弱电系统放在一个很主要的位置 图书馆的 数字化建设已经成为国家信息化重点发展的方向之一 图书馆作为人类知识传播领域的文献信息 知识 中心 其信息资源的开发利用程度将会深远影响 知识经济的发展进程 这就给图书馆提出了新的要求 实现对电子媒体和传统纸介质的集成管理 跨越物理局限为读者 服务 实现从信息服务到知识服务的转化 而实现这一切就必须借助信息技术手段 建设一个图书 馆网络就成了首要目标 因图书馆网络建设是一项涉及多种信息技术的系统工程 因此对于资金实力和技术力量有限的 院校来说 寻找一套行之有效的规划实施及运行管理方案是摆在学院管理者面前的难题 本文将从 系统设计 综合布线系统构成及设计 机房设等几个环节来探讨图书馆网络规划及建设的相关问题 本文介绍了高性能图书馆网络建设需考虑的网络选型 综合布线 硬件需求 技术实现等方面的问 题 关键字 数字化建设 电子媒体 图书馆网络 综合布线系统构成及设计 II 目录 第 1 章 绪论 1 1 需求分析 1 2 设计目标 1 3 网络系统设计建设的目标 2 4 网络系统设计建设的原则 2 第 2 章 网络平台设计 4 1 图书馆网络的总体设计与规划 4 2 图书馆网络具体设计与规划 6 3 设备及工程预算 9 4 网络硬件平台及相关操作 11 5 后期技术支持及服务 11 6 本方案的主要特点 12 7 图书馆综合布线要注重的问题 12 第 3 章 系统安全 13 1 应用系统的安全技术 13 2 病毒防护的主要技术 13 3 无线网安全 13 总结 15 参考文献 16 致谢 17 某校图书馆网络系统设计1 第 1 章 绪论 1 需求分析 图书馆的网络建设包括图书馆局域网建设以及该网与校园网主干的互联 局域网将以交换式千 兆以太网为主干 具有独享 100M 带宽到桌面的星形拓扑结构 从数字化图书馆的要求来看 图书馆 网络不仅要传送文本 还要支持语音 视屏等时间延迟敏感型的大信息量流媒体应用 因此对网络 的带宽及响应性的要求很高 这就要求网络设备具有较大的交换容量以及对 Qos 数据库等技术的良 好支持 同时从实际出发要求在图书馆局域网中遇到划分 VLAN 来建立逻辑子网 合理地处理逻 辑子网间的连接 划分和安全性设计是保障图书馆网络可靠 稳定工作的关键 图书馆建设将设置 300 个信息点 图书馆一楼 二楼和三楼各设有一个配线间 同时二楼的配线间兼做图书馆主配线 间 从图书馆到校园网网络中心以及各配线间之间的链路属于主干链路 采用光缆连接 要求 1000M 对于主干光纤 从图书馆主交换机到校园网网络中心的核心交换机以及从图书馆主配线 间到各配线间采用的是多模光纤 传输千兆以太网信息 主干网络要求高带宽 大吞吐量 因此主 干交换机应选择具有较高交换背叛的高速率三层交换机 这样才能保证在网络流量高峰时不会形成 网络瓶颈 避免造成流量拥塞和数据包丢失的现象 作为网络主干链路汇聚点的图书馆中心交换机 必须能划分若干虚拟子网和物理子网 同时还须具备良好的第三层交换机能力和升级扩展能力 主 干网络中心交换机是整个网络的关键设备 如果出现故障将导致主干网路的瘫痪 影响整个图书馆 网络的正常工作 因此设计方案中必须考虑建立一定的容错措施 在中心交换机上要有电源 风扇 模块等关键部件的冗余配置 还应有良好的扩充性和必要的端口冗余 1 1 组网需求 采用成熟的组网技术 保证最优性价比 采用简单 清晰的网络拓扑结构 保证网络的稳定和高性能 1 2 设备需求 可扩展性强 通过增加新的模块和设备解决网络需求的增长 实现网络的平滑扩容 设备稳定可靠 性能高 能耐受一定程度的大数据量的冲击和安全问题干扰 设备具备多功能支持 要求能够采用较少的投资实现较多的功能 1 3 网络安全需求 针对校园网学生比较活跃 易发生 IP 地址盗用 账号盗用 计算机入侵等安全问题 要求能 够实现端到端的网络安全解决方案 1 4 网络管理需求 采用方便 灵活的管理方式 支持分层次的 IP 管理 2 设计目标 总体设计是图书馆网络建设的总体思路和工程蓝图 是搞好图书馆网络建设的核心 因此首先 必须对本馆的性质 任务 应有需求 发展思路有一个明确的了解 对社会信息化环境和发展前景 有一个清醒的认识 在此基础上对本馆的网络建设水平提出一个准确的定位 并围绕应用要求来安 某校图书馆网络系统设计2 排图书馆网络建设的实施步骤 其具体设计思路可围绕整个网络系统的设计目标和原则 网络技术 的选择 主干交换机的选择 服务器的选型 系统结构设计等方面来进行 作为大学图书馆 必须 建设快速 便捷 安全和稳定可靠的网络系统 应能够适应当前信息技术高速发展的要求 满足各 种计算机应用系统和网络多媒体应用技术的要求 有高度的系统兼容性和扩展能力 并保证系统有 一定的先进性 使系统在相当的时间范围内仍能满足应用的需求 进行图书馆自动化总体设计 首先是进行对象研究和需求调查 弄清学校的性质 任务和改革 发展的特点 对图书馆的信息化环境进行准确的描述 明确系统建设的需求和条件 共次 在应用 需求分析的基础上 确定图书馆 Intranet 服务类型 进而确定系统建设的具体目标 包括网络设施 站点设置 开发应用和管理等方面的目标 第三 是确定网络拓扑结构和功能 根据应用需求 建 设目标和图书馆各部室分布特点 进行系统分析和设计 第四 确定技术设计的原则要求 如在技 术选型 布线设计 设备选择 软件配置等方面的标准和要求 第五 规划安排图书馆自动化建设 的实施步骤 随着网络技术的发展 图书馆自动化 数字化以及网络化的发展也越来越快 图书馆工作的运 行模式 业务管理 文献信息资源的服务对网络的依赖程度也越来越大 特别是近年来随着数字图 书馆的诞生 对网络的要求也越来越高 与其他网络相比 图书馆网主要有这样几个特点 具有极高的可靠稳定性 可扩展性 可管理 性 具有高速度和高带宽 满足流介质媒体 远程学习等对带宽和数据敏感的实时应用 3 网络系统设计建设的目标 图书馆从传统模式过渡大现代阶段 主要表现在管理手段的自动化 存储方式的数字化 运行 环境的网络化及服务形式的多样化 根据这一特征 现阶段其网络建设的总体目标确定为 使用高 性能的计算机系统设备和成熟的管理应用软件 充分利用先进 实用的网络设备和网络技术 通过 结构化布线 建设一个覆盖整个图书馆区域的安全 稳定 高效的现代化计算机信息网络系统 用 于对馆藏信息资源的管理 加工和组织上网 实现馆内业务自动化 向国内外网上读者提供检索 查询 阅读 下载等无偿或有有偿服务 与其它信息网交换信息 进行网上信息的二次整理开发 实现图书馆业务系统的网络化 完成与校园网的互联互通 以满足我校学科建设和人才培养对信息 的需求 为学校教学科研提供方便快捷的文献信息服务 为实现图书馆的数字化 信息化提供一个 稳定 高效的网络平台 这一目标的提出应结合图书馆的实际状况 重点应体现在建立一个良好的 信息网络环境上 目前 基于网络的声音 图像等多媒体应用日益增加 这对网络服务质量比如带宽延迟 延迟 的变化等有很高的要求 图书馆网络系统建设充分考虑到上述因素 建立了由三层交换的千兆位以 太网为核心的 能够满足各种类型数据传输 具有很好服务质量 规模可扩展的高性能计算机网络 系统 4 网络系统设计建设的原则 建立一个良好的网络环境需要遵循以下设计原则 4 1 先进性与成熟性 网络建设应适应图书馆的发展及网络通信技术的更新换代 因此 在主机选择 网络结构设计 网络设备配备 网络管理方式等方面应具有先进性 采用既先进又成熟的技术 发挥最佳的集成效 某校图书馆网络系统设计3 果 以保证整个网络系统在相当一段时期内处于先进水平 并充分考虑今后对数据 语音 视像等 多媒体应用的支持 既要保证系统得先进性 也要兼顾技术上的成熟性 4 2 实用性和经济性 方案设计时应对本馆现状和需求有充分的了解 即既能对已有的设备加以利用 保护原有投资 又能集中财力 提高薪购设备的档次 获得良好的性能价格比 在有限的投资中构造一个性能最佳 的实用性系统 同时 系统能够提供多种业务的同时传输与综合 如语音 图形 图像等多媒体业 务 性能高度稳定 可靠 具有较好的容错能力 具有灵活的虚网划分能力和强大的第三层交换能 力 4 3 可管理性 采用集成式结构化配线系统 模块化的设计 集中 分散的配置 使网络系统得设备 安全 性 数据流量 性能等能得到很好的监控和控制 并可进行远程监管和故障诊断 整个网络系统简 单明了 运行 维护及管理成本低 4 4 标准化与开放性 在使用新技术的同时考虑技术的国际标准化 严格按照国际标准设计 网络协议采用 ISO 及 IEEE ITU T ANSI 等国际标准化组织制定的标准和协议 采用符合国际和国家标准的网络设备 采用开放性的网络体系 以方便今后对稳拿管理的升级 扩展和互联 确保在网络扩充时在结构上 不做或少做改动 4 5 高可靠性 严格依照网络工程的技术规范要求 设计一个具备网络诊断 测试和在线故障恢复能力 关键 设备 线路能够做到实时备份和自动故障切换的网络 为用户提供 24H 不间断的网络访问能力 4 6 安全性 实现内网的安全控制和与外网的安全互联 网络系统应能够提供一套完整的安全防范措施 防 止由于操作人员的误操作以及系统中的某些故障而造成的数据被破坏或系统得误动作 网络系统应 能够防止系统外部成员的非法侵入以及操作人员的越级操作 某校图书馆网络系统设计4 第 2 章 网络平台设计 1 图书馆网络的总体设计与规划 1 1 有线网络拓扑结构 图书馆总的拓扑结构图如下所示 采用星型拓扑结构 图图 2 1 为了防止广播风暴等问题以及实现网络的安全性 适应性强 和网络的分割等优点 把图书馆 的网络划分成 7 个 VLAN 1 2图书馆无线网络拓扑分析 针对学校图书馆的需求分析 NETGEAR 提供了整套高性能网络方案 该图书馆的无线覆盖我 们分为两层结构 接入层和汇聚层 接入层主要有无线 AP 构成 用来实现用户无线终端的接入 汇聚层主要有无线网桥构成 主要用来实现将各个无线 AP 接入的信号汇聚到图书馆网络出口 在 保证覆盖的基础上 为了降低可能的故障率 汇聚层的无线级联层数要求越少最好 因此在本方案 中 部分楼层将通过一级网桥直接将 AP 的信号汇聚至网络出口 某校图书馆网络系统设计5 根据前面提到的图书馆无线覆盖的原则 我们将整个图书馆先进行分组覆盖 第一层为第 1 组 第二层为第 2 组 以此类推 其他第 2 组通过架设在图书馆中心无线网桥 实现与架设在图书馆有 线网络中心机房的通信 第 1 3 4 5 组采用直接将架设在有线网络的边缘的无线网桥通过一级 网桥直接汇聚至网络出口 覆盖采用如下图所示的方式 图图 2 5 各楼层无线覆盖方式各楼层无线覆盖方式 五个分组中 1 2 3 5 组各有七到十个区室 排列和结构类似 整个网络的拓扑结构如下图所示 图图 2 6 网络拓扑结构图网络拓扑结构图 整个网络呈星形拓扑结构 我们在每层需要进行无线覆盖的区域选择最佳地点放置无线热点 AP 放置时保证无线信号覆盖的范围 力求楼层内最少布点 最大覆盖范围 每层所布置的 AP 通过超五类屏蔽双绞线连接到中心机房的交换机上实现集中管理 某校图书馆网络系统设计6 2 图书馆网络具体设计与规划 2 1 技术选择 根据需求为图书馆建立一个 OSPF Open Shortest Path First 的快速以太网络 实现网络的功能特 性 可伸缩性 可适应性 可管理性以及节约成本和提高效率 OSPF 是一个动态链路状态路由选 择协议 它使用一个链路状态数据库 LSDB 来构建和计算达到所有已知目的地的最短路径 它 使用 Dijkstra 的 SPF 算法根据 LSDB 中的信息计算路由 OSPF 度量标准 代价 的缺省值是基于 带宽的 其计算代价的公式表示如下 代价 基准带宽 接口带宽 快速以太网的度量是 1 OSPF 中代价的最小值是 1 OSPF 属于无类路由选择 使得 IP 地址空间得到更加有效的使用并且减少了路由流量 无类路 由选择有如下的特点 一个路由选择出口可能匹配一批主机 子网或网络地址 路由选择表更加短小 如果不使用 Cisco 快速转发 交换性能会有更大提高 路由选择协议流量减少 图书馆 有很多需要对外提供公共服务的服务器 如门户服务器 DNS 服务器 邮件服务器 等 如果将这些服务器直接放置在 Internet 上 则很容易受到攻击 为此我们将这些提供公共服务 的服务器全部放置在防火墙的 DMZ 区域 在防火墙上设置一个 DMZ 端口 在 DMZ 区域放置一台 交换机 该交换机通过 2 条千兆光纤与 2 台防火墙的 DMZ 端口联接 而所有的公共服务器则全部 接入到该交换机上 2 2 具体规划 为图书馆申请分配了一个 NETWORK ID 172 16 2 0 24 划分成 4 个 VLAN 划分 VLAN 的好 处主要有三个 1 端口的分隔 即便在同一个交换机上 处于不同 VLAN 的端口也是不能通信的 这样一个 物理的交换机可以当作多个逻辑的交换机使用 2 网络的安全 不同 VLAN 不能直接通信 杜绝了广播信息的不安全性 3 灵活的管理 更改用户所属的网络不必换端口和连线 只更改软件配置就可以了 路由配置 某校图书馆网络系统设计7 某校图书馆网络系统设计8 某校图书馆网络系统设计9 一楼汇聚 二楼汇聚 1 二楼汇聚 2 某校图书馆网络系统设计10 三楼汇聚 四 五 六楼汇聚 某校图书馆网络系统设计11 七楼汇聚 3 设备及工程预算 表 2 1 预算参考列表 设备名称单价 元 数量总价 元 Cisco 三层交换机11018111018 Cisco 二层交换机6500639000 Lenovo 计算机3300150495000 双绞线1 1 5 米 6000 米6000 9000 布线工具及工程造价约 10000 元 总计 551018 某校图书馆网络系统设计12 3 1 无线 AP 选型 从需求分析上面我们了解到整个无线网络的用户结点数量为 300 个 设备所需总带宽为 16 2G 根据每个阅览的面积 300m2 长 30m 宽 10m 用户节点数 75 个 需求分析中我们已经选 择出了适合本次方案的协议 802 11g 根据 802 1g 协议传输速率为 54MB S 理想值 进行计算可以 得出每间阅览室的总传输速率为 225MB 无线 AP 的传输速率为 108MB S 每间阅览室安装两个无 线 AP 的传输速率为 216MB 根据实际情况了解到阅览室内不可能每个人都同时拿着笔记本电脑上 网 即使是每个人都同时上网 也就是上网速率也不会影响用户正常上网 3 2 服务器选型 本次方案中需要架设 DHCP 服务器并且安装热点认证系统及防火墙安全所以要购买一台服务器 来提供网络服务 服务器主要提供 IP 地址下发 WEB 认证和安全管理等 所选择的服务器性能要稳定才能提供正常的服务 选择的设备不需要档次太高以够用为准 对 硬件的支持要好 充分其扩展性 出现突发状况可以满足特殊需求 在正常管理中便于用户操作 不能盲目的看价格 误认为价格越高设备越好 要理性看待价格 选择一家售后服务好的厂家 可 以提供优质的售后服务 服务器的出现的时候可以尽快的进行维护 以减少损失 3 3 交换设备选型 1 Cisco Catalyst 2960 系列智能以太网交换机是一个全新的 固定配置的独立设备系列 提 供桌面快速以太网和 10 100 1000 千兆以太网连接 可为入门级企业 中型市场和分支机构网络提 供增强 LAN 服务 集成安全特性 包括网络准入控制 NAC 高级服务质量 QoS 和永续性 为网 络边缘提供智能服务 为网络边缘提供了智能特性 如先进的访问控制列表 ACL 和增强安全特性 双介质上行链路端口提供了千兆以太网上行链路灵活性 可以使用铜缆或光纤上行链路端口 每个 介质上行链路端口都有一个 10 100 1000 以太网端口和一个小型可插拔 SFP 千兆以太网端口 在使 用时其中一个端口激活 但不能同时使用这两个端口 通过高级 QoS 精确速率限制 ACL 和组播服务 实现了网络控制和带宽优化 通过多种验 证方法 数据加密技术和基于用户 端口和 MAC 地址的网络准入控制 实现了网络安全性 通过 思科网络助理 简化了网络配置 升级和故障诊断 2 Cisco Catalyst 3560 X 系列交换机是独立式交换机的企业级产品 这些交换机通过 IEEE 802 3at 增强型以太网供电 PoE 配置 可选网络模块 冗余电源和媒体访问控制安全 MACsec 等创新功能 提供无间断连接性 可扩展性 安全性 能效性和易操作性 Cisco Catalyst 3560 X 为实现无边界网络体验 启用了 IP 电话 无线和视频等应用程序 提高了生产效率 Cisco Catalyst 3560 X 系列交换机 24 和 48 10 100 1000 PoE 和非 PoE 型号 可选的 4 个千兆以 太网 GbE SFP 或 2 个 10GbE SFP 上行链路网络模块 业内第一个 PoE 所有端口上都提供 30W 功率 1 个机架装置 RU 的外形设计 双冗余 模块化电源和风扇 媒体访问控制安全 MACsec 的 基于硬件的加密 IPv4 和 IPv6 路由 多播路由 高级服务质量 QoS 和硬件中的安全功能 增强型有限终身保修 LLW 下一工作日 NBD 硬件备件先行更换和 90 天思科技术支持中心 TAC 支持 增强型 Cisco EnergyWise 可测量 PoE 设备的实际功耗 进行报告 并降低网络能耗 从而优化运营成本 USB A 型和 B 型端口 以及带外以太网管理端口 3 4 操作系统 本次方案中重点在于无线局域网的组建和设计 所以关于服务器操作系统就不作详细讲解 Web 服务器 数据库服务器及其他服务器操作系统都用 Windows Sever 2003 操作系统 某校图书馆网络系统设计13 4 网络硬件平台及相关操作 校园网整体网络硬件平台对整个系统的稳健性与安全性有重大影响 因此建议网管平台采用国 际知名硬件制造商的品牌配合使用如 HP IBM DELL 这样网络系统的稳定性及安全性可以达到 最佳状态 对于网络操作系统 我们将主要采用 Microsoft 公司的解决方案 在一些涉及应用安全性和伸 缩性敏感的部件上 可以选择更有效的产品作为 Microsoft 产品的替代 当前主流的操作应用平台主要是 服务器 WINDOUWS 2000 Server 或 WINDOWS 2000 Advance Server 工作站 WINDOWS 2000 Professional 或 WINDOWS XP Professional WINDOWS 2000 Server 是一种比较安全和稳健的网络服务器结构 基于 NT 体系结构的多线程 的操作系统 比 NT 管理简单 功能强大 对管理人员的技术要求不高 WINDOWS 2000 Advance Server 是 WINDOWS 2000 Server 的高级版本 比 WINDOWS 2000 Server 拥有更多的功能和管理更多的用户 WINDOWS 2000 Professional 是在 WIN98 上发展起来的操作系统 内核基于 NT 体系结构 比 起 WIN98 有运行速度快 系统稳定的特点 WINDOWS XP Professional 是 Microsoft 公司最新推出 PC 操作系统 拥有强大的功能和更加稳 定的环境 从近期的发展方向来看 Microsoft 公司正在提供源源不断的产品支持保证一个 Intranet 方案 在这个方案中 从操作系统层次就具备支持 Internet Intranet 的基本特性 以 Microsoft BackOffice 产品族表现了极强的整合能力 Microsoft 的解决方案更具有灵活性 系列性和可持续性 各种组 件之间的联系非常紧密 效率也自然提高 尤其在教育信息系统中 存在各种灵活的应用层次 因 此选择 Microsoft 的从操作系统开始的 Intranet 解决方案具备可比的优势 数据库平台 为了使系统与学校已有应用系统能够很好的兼容 建议数据库采用 Oracle 或者 MS SQL Server 同时为了使数据库的性能达到最佳 建议将数据库单独安装在一台服务器中 使 之成为数据库服务器 5 后期技术支持及服务 管理和保护 OSPF 网络 OSPF 网络的管理如同其安全一样重要 实现管理应用公认的常见技术 SNMP 简单网络管理协议 和 MIB 管理信息库 随着网络配置和使用的增加 网络管理正日益 变成许多组织关注的焦点 网络管理是所有网络中的一项关键任务 防御直接针对网络设备的攻击 任何 UDP 诊断服务和 TCP 诊断服务都可以使用的网络设备全 部都应该通过防火墙保护 或者至少禁用这些服务 对一台 Cisco 路由器而言 可以通过使用下面 这些全局配置命令来实现这一操作 no service udp small servers no service tcp small servers 某校图书馆网络系统设计14 6 本方案的主要特点 1 高安全 统一对接入层交换机做动态下发安全策略 轻松有效的控制网络病毒 使网络保持畅通 结合 网络攻击的检测系统 能够抵御日益增多的内部网络攻击 并且自动对用户做出相应的控制动作 保证网络安全 2 易管理 首先可以实现对事件 性能 日志的统一管理 可以方便的对全网设备统一管理 运筹帷幄决 胜于千里之外 其次通过对日常 周末以及节日的一次性设置 轻松灵活管理用户能够使用网络的 时段 提高用户管理的力度 3 高性能 高吞吐量 线速转发的核心路由器和三层交换机 关键器件的冗余 支持板件的热插拔技术 这些都保证了网络的高效运转 7 图书馆综合布线要注重的问题 7 1 明确需求合理定位 在对图书馆进行网络综合布线前 要明确的整个网络系统业务功能和五福目标 一个优秀的智 能化综合布线设计既要留有充分的发展空间并有一定的超前意识 又不能盲目求高求大 否则会造 成大量资源闲置浪费 7 2 信息点的分布及数量问题 在图书馆每一个独立的需要设置终端设备的区域 可划分为一个工作区 它可能是一个办公室 一个阅读室或者会议室等 一般为 5 10 平方米设置一个终端设备的信息点 但信息点数量主要还 是由工作区的实际用途或设备数量来决定 同时要考虑适量的冗余 7 3 整个网络布线系统的传输介质的选择 在每个子系统中 根据实际的业务功能和服务目标的不同 我们选用传输介质也有所不同 同 时不同传输介质 它支持的最大长度 传输速率 施工的复杂程度都有所不同 也对布线的成本控 制有重大影响 如在垂直子系统中 由于该系统是整幢建筑综合布线系统的主干 相当于中枢神经 系统 所以通常情况下该子系统采用的光纤作为它的主要传输介质 7 4 设备间子系统的供电问题 在通常的建筑设计中 终端设备多采用单独的供电方式 在图书馆综合布线系统中 由于设备 间子系统通常指的是主控室或主机室 里面部署着图书馆的服务器 存储及相关网络设备可以说是 图书馆的数据中心和服务中心 因此哪里除常规的供电方式外 还要有为此系统提供 7 24 小时的 不间断供电的不间断电源 即 UPS 在确定 UPS 的容量时除要给整个系统千瓦时进行估算 同 时还要考虑一定的冗余 某校图书馆网络系统设计15 15 第 3 章 系统安全 1 应用系统的安全技术 由于应用系统的复杂性 有关应用平台的安全问题是整个安全体系中最复杂的部分 下面的几 个部分列出了在 Internet Intranet 中主要的应用平台服务的安全问题及相关技术 1 WEB SERVER应用安全 Web Server 是校园对外宣传 开展业务的重要基地 由于其重要性 成为 Hacker 攻击的首选目 标之一 2 电子邮件系统安全 电子邮件系统也是网络与外部必须开放的服务系统 由于电子邮件系统的复杂性 其被发现的 安全漏洞非常多 并且危害很大 3 操作系统安全 市场上几乎所有的操作系统均已发现有安全漏洞 并且越流行的操作系统发现的问题越多 对 操作系统的安全 除了不断地增加安全补丁外 还需要 a 检查系统设置 敏感数据的存放方式 访问控制 口令选择 更新 b 基于系统的安全监控系统 2 病毒防护的主要技术 1 阻止病毒的传播 在防火墙 代理服务器 SMTP 服务器 网络服务器 群件服务器上安装病毒过滤软件 在桌 面 PC 安装病毒监控软件 2 检查和清除病毒 使用防病毒软件检查和清除病毒 3 病毒数据库的升级 病毒数据库应不断更新 并下发到桌面系统 4 在防火墙 代理服务器及 PC 上安装 Java 及 ActiveX 控制扫描软件 禁止未经许可的控件下 载和安装 3 无线网安全 3 1 无线网安全管理 在安全方面 我们在管理中心 设置有统一的 RADIUS 认证服务器 用以对用户进行认证和计 费 WNDAP330 作为 RADIUS 的客户端 可以将用户的认证和计费信息进行收集 并送至 RADIUS 认证服务器 同时 无线接入控制器采用的认证方式在认证过程中的用户密码均采用动态 WEP 加密 传输 在政府办公楼内部 为了防止小区内部居民或外来人员对无线网络的非法使用 将不广播 SSID 以隔离用户群 另外 考虑到政府外来办公人员的无线应用需求 本方案在政府办公大楼顶 某校图书馆网络系统设计16 楼的多媒体会议室独设了一个无线接入点 此无线接入点广播 SSID 外来办公人员可在开会的同时 不需要设置 SSID 的密码即可上网 3 2 无线 AP 安全 无线网络安全设计从几种方面进行考虑 隐藏 SSID 为无线 AP 设置一个复杂的密码 采用复 杂的加密方式 隐藏 SSID 为网络安全起到一定的作用 设置一个复杂的密码可以使网络不易受到侵 入 采用复杂的加密方式可以防止非法用户获取网络中传输的数据进行分析从中找出有用的数据信 息 现在最常用的是 WPA 加密方式 WPA 采用 802 1X 和 TKIP 来实现 WLAN 的访问控制 802 1X 是一种基于端口访问的控制标准 TKIP 采用 RC4 加密算法 在以前的 WEP 基础上新增加了 四个新算法 扩展 48 位初始化向量和 IV 顺序规则 每包构建机制 消息完整性代码 密钥重新获 取和分发机制 扩展 48 位初始化向量 每一个数据包都具有独有的 48 位序列号这个序列号在每次传送新数据 包时递增 并被用作初始化向量和密钥的一部分 将序列号加到密钥中 确保了每个数据包使用不 同的密钥 消息完整性代码防止用户信息被篡改 对数据完整性起到一定的保证 密钥重新获取和分发机制 TKIP 生成混合到每个包密钥中的基本密钥 无线站每次与接入点建 立联系时 就生成一个新基本密钥 这个基本密钥通过将特定的会话内容与用户接入点和无线站生 成的一些随机数以及接入点和无线站的 MAC 地址进行散列处理来产生 本次方案中采用 WPA TKIP 加密方式再加上强大的认证机制对无线网络的安全提供第一道屏障 因为无线 AP 没有动态分配 IP 地址的功能所以这里需要配置 DHCP 服务器为用户分配 IP 地址 这里采用 ROS 自带的 DHCP 功能为用户分配 IP 地址 通过 ROS 安装 DHCP 服务器可以有效的和热 点认证和防火墙功能有机的结合在一起使用 3 无线网络中防火墙 目前出现了很多拒绝服务攻击 DOS DDOS 洪水攻击 攻击原理主要是基于 TCP 三次握手 来对主机进行不停的连接 连接到一半停止响应又新建一个连接 就这样反复连接反复断开造成网 络资源紧张服务器崩溃不能提供正常的服务该类攻击危害性极大 但只需要防火墙里面针对相同 IP 地址设置一个响应次数就可以了 无论用户连接多少次我们只响应规定的几次这样就可以有效的避 免洪水攻击 input 用于处理进入路由器的数据包 即数据包目标 IP 地址是到达路由器一个接口的 IP 地 址 经过路由器的数据包不会在 input chains 处理 forward 用于处理通过路由器的数据包 output 用于处理源于路由器并从其中一个接口出去的数据包 Ros 通过三种链表来控制数据包通过 Ros FIREWALL 采用自上而下的判断顺序对经过的数据包进行检测 如果经过的数据与策略相 符合则允许数据包通过 如果经过的数据包与策略不符合就拒绝数据包通过 网络中流行着各种类型的病毒和木马 PC 机电脑上面都安装上了杀毒软件但病毒更新速率永远 在杀毒软件的前面 可以有效利用防火墙的防病毒木马功能进行有效防止 ROS 防火墙还具有网站过滤功能 有的网站是恶意网站 站内存在大量的病毒木马防止用户进 入该网站可以进行网站过滤 某校图书馆网络系统设计17 ROS 具有 FTP 上传功