学院校园网规划方案.doc

学院校园网规划方案 学院校园网规划方案 学院校园网规划方案 摘摘 要要 Internet 的迅速发展，极大地推动了我国的网络建设。校园网的建设能从 根本上促进教学科研人员之间的信息交流、资源共享、科研合作，是学校教育 和科研工作的最重要的基础设施之一。本文通过介绍浙江科技学院校园网的设 计与建设,来说明高校在组建内部网时所应经历的步骤；通过介绍该学校内部网 设计前的各种需求分析、设计方案的选择、网络安全维护工作以及最后的具体 的组网实践，来说明如何高效安全地规划组建高校的校园网。 校园网的组建，是一个较先进且非常实用的课题，主要从校园网的需求和 作用进行分析。校园网的建立，是多媒体教学的重要基础，首先教师可以多渠 道、多方位、多形式的进行教学，可以把教程放在网上实现教学资源的共享， 进行远程的教育、交流；另外学生可以更加广阔的学习知识并与老师有多种形 式的交流。网络的无处不在让师生学习的空间和时间都得到了较大的延伸，可 有选择性的主动学习、提高自身综合素质。使校园的办公管理进入一种高效、 节约、严谨的状态，从而发生质的飞跃。校园网硬件系统的实施包括主干网、 子网、服务器及各标准参数；软件系统包括网络通信协议、操件平台、应用软 件、网络管理等。 关键词关键词：校园网、需求分析、设计方案、网络安全剂 学院校园网规划方案 Tangshan college campus network planning scheme Abstract The rapid development of Internet has greatly promoted the construction of the network. Construction of the campus network from the fundamental teaching and research staff to promote the exchange of information between, resource sharing, research cooperation, is the school of education and research infrastructure of the most important one. This article introduces the Journal of Zhejiang University Campus Network Design and Construction, to illustrate the university intranet in the formation of the steps that should be experienced; by introducing the design of the pre-school intranet needs analysis, design choices, network security maintenance And, finally, the specific networking practice to illustrate how to build efficient and safe planning college campus network. The set-up of campus network is a more advanced and very more practical subject, analyse from the demand and function for campus network mainly. Foundation , important foundation, multimedia of teaching, teacher can multi-channel diversified at first, a multi-form one carry on teaching, can put the study course on the net the sharing of realizing teaching resources , carry on long-range education , exchange; Study knowledge and having diversified forms of exchanges with the teacher that students can be wider in addition. Because the network is ubiquitous, the space and time of study get greater extension, alternative initiative study , improving ones own overall qualities. Make the office administration of the campus enter high- efficiently , economizes , rigorous, a real-time qualitative leap. Implementation , hardware of system in the implementation , campus network, including backbone , sub network , server , all standard parameter; Implementation of software, including agreement under network , speak pieces of platform , application software , network management. Keywords: campus network, needs analysis, design, network security 目目 录录 学院校园网规划方案 1引 言.1 2需求分析.2 2.1 网络现状分析 .2 2.2 网络系统功能需求 .2 2.3 网络性能需求 .2 2.4 信息点统计 .3 3网络总体设计.4 3.1 网络框架分析 .4 3.2 设计思路 .4 3.3 校园网的设计原则 .5 3.4 网络三层结构设计 .6 3.5 设备选型 .9 3.5.1 汇聚层设备选型 .9 3.5.2 接入层设备选型 .10 3.5.3 防火墙选型 .13 3.5.4 服务器选型 .14 3.6 接入 INTERNET设计 .18 3.7 VLAN 的划分及 IP 地址的分配.18 3.8 IP 地址分配原则.19 3.9 物理/链路层配置原则 .19 4网络安全与管理.20 4.1 网络安全 .20 4.1.1 威胁网络安全因素分析 .20 4.1.2 网络安全防范措施 .20 4.2 网络管理 .21 4.2.1 网络管理的内容.21 4.2.2 网络管理的手段.21 4.3 网络安全策略配置 .23 4.3.1 安全接入和配置.23 4.3.2 拒绝服务的防止 .23 学院校园网规划方案 4.3.3 访问控制 .24 4.4 电源系统 .24 5综合布线设计.25 5.1 综合布线的设计原则 .25 5.2 结构化综合布线系统的组成及设计 .26 5.2.1 工作区子系统（Work Area）及其网络设计.26 5.2.2 配线子系统（Horizontal）及其网络设计 .27 5.2.3 干线子系统（Backbone）及其网络设计.27 5.2.4 设备间子系统（Equipment Room）及其网络设计 .27 5.2.5 管理子系统（Administration）及其网络设计 .28 5.2.6 建筑群子系统（Campus Subsystem）及其网络设计 .28 5.2.7 进线间子系统及其网络设计 .28 5.3 防雷接地 .29 5.3.1 设计原则 .29 5.3.2 防雷防浪涌 .30 5.3.3 电源系统防雷.30 5.3.4 通讯线路雷电防护.30 5.3.5 机房内部防雷辅助措施 .31 5.4 接地系统 .31 5.4.1 机房独立接地要求.31 5.4.2 机房接地系统.31 6扩展性考虑.33 7. 总结.34 谢 辞.35 参考文献.36 外文资料.37 学院校园网规划方案 1 1引 言 科学技术的发展日新月异，九十年代，在计算机技术和通信技术结合下，网 络技术得到了飞速的发展。如今，不仅计算机已经和网络紧密结合，整个社会都 不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的 认识也随着网络应用的逐渐普及而迅速改变。在不久的将来，网络必将成为和电 话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。 Internet，即国际互联网，是现在网络应用的主流，从它最初在美国诞生至今 已经经历了三十多年。这个以 TCP/IP 协议为主体的国际互联网络已经成为覆盖全 世界一百五十多个国家和地区的大型数据通信网络。最初的 Internet 是由科研网络 形成的，主要是由一些大学和研究所等科研教育单位连接而成，逐渐发展到今天 的规模。而进入九十年代后，由于各种商业信息进入了 Internet，使得 Internet 得 到了极大地发展，其拥有的主机数，连接的网络数以及覆盖面一直呈指数形式上 升。现在在 Internet 上可以提供或者获得各种各样的服务，比如通过电子邮件进行 合同的起草和签订，或利用 Internet 直接挑选商品和购物。 Internet 是一个资源的网络，其中拥有的信息资源几乎覆盖所有的领域。 Internet 面向人类的社会，世界上数以亿计的人们利用它进行通信和信息共享，通 过发送和接收电子邮件，或和其他人的计算机建立连接、参加各种讨论组并免费 使用各种信息资源实现信息共享。 Internet 也是一个服务的网络。在 Internet 上，许多单位、公司和组织提供了 各种各样的服务。比如 WWW（World Wide Web 全球信息网）服务、信息查询服 务等，向网络上的其他用户展示自己各方面的情况，并帮助这些用户找到需要的 信息。 将来的网络在 Internet 基础上进一步发展，其功能、速度、适用范围等必将全 面超过现有的 Internet。 学院校园网规划方案 2 2 需求分析 2.1 网络现状分析 某学院分为南、北、东 3 个校区，其中南校区为院本部。学院占地 33.48 万 平方米，校舍建筑总面积 17.31 万平方米。设有 14 个教学机构、14 个党政管理机 构和图书馆、学报编辑部、网络教育中心、高等教育发展研究所、计算中心等教 学科研服务机构；设有城市文化研究中心、科技有限公司、培训中心、某市社科 联信息中心、软科学信息中心和大唐画院等研发服务机构。 学院为了加快校园信息化建设，需要建设一个高性能的、安全可靠的校园网 络，校园网建成后，要求能够实现校园内部各种信息服务功能，实现与教育网的 无阻碍连通，同时提供宽带接入功能，以备主连接失效情况下的被用连接要求， 能够实现校园办公自动化需求。 2.2 网络系统功能需求 （1）建立一个基于校园 Intranet 的信息管理和应用的网络系统，并提供相 应的各种服务。 （2）共享网络上各种软、硬件资源，快速、稳定地传输各种信息，并提供有 效的网络信息管理手段。 （3）采用开放式、标准化的系统结构，以利于功能扩充和技术升级。 （4）能够与外界进行广域网的连接，提供、享用各种信息服务（与各级教育 信息中心相连、与国内外著名站点相连）。 （5）具有完善的网络安全机制。 （6）能够与原有的计算机局域网络和应用系统平滑地连接，调用原有各种计 算机系统的信息。 2.3 网络性能需求 性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输 速度、资源利用率、可靠性、性能/价格比等； 学院校园网规划方案 3 根据本工程的特殊性，语音点和数据点使用相同的传输介质，即统一使用超 5 类 4 对双绞电缆，以实现语音、数据相互备份的需要； 对于网络主干，数据通信介质全部使用光纤，语音通信主干使用大对数电缆； 光缆和大对数电缆均留有余量；对于其他系统数据传输，可采用超 5 类双绞线或 专用线缆。 2.4 信息点统计 南校区：办公大楼（118 个信息点）、一教二教和阶梯教室（64 个信息点）、 图书馆（30 个信息点）、机房（共 10 间，各有 90 个信息点）。 北校区：办公大楼（105 个信息点）、教学楼（84 个信息点）、新图书馆 （50 个信息点）、无机房。 东校区：办公大楼（94 个信息点）、教学楼（36 个信息点）、图书馆（20 个 信息点）、机房（共 6 间，各有 48 个点）。 学院校园网规划方案 4 3 3网络总体设计网络总体设计 3.1 网络框架分析 现代网络结构化布线工程中多采用星型结构用于同一楼层，由各个房间的计 算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和 管理性好等优点；而校园网在分层布线主要采用树型结构。每个房间的计算机连 接到本层的集线器或交换机，然后每层的集线器或交换机再连接到本楼出口的交 换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成 了校园网的拓扑结构。 校园网采用星形的网络拓扑结构，骨干网为 1000M 速率，具有良好的可运行 性、可管理性，能够满足校园未来发展和新技术的应用，另外作为整个网络的交 换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此 在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我 们选择热路由备份可以有效地提高核心交换的可靠性。 传输介质也要适合建网需要。在楼宇之间采用 1000M 光纤，保证了骨干网络 的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼 宇内部采用超 5 类双绞线，其连接状态 100m 的传递距离能够满足室内布线的长度 要求。 3.2 设计思路 进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、 任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确 的描述；其次，在应用需求分析的基础上，确定学校 Intranet 服务类型，进而确 定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目 标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要建筑分 布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、 布线设计、设备选择、软件配置等方面的标准和要求；第五，扩展性考虑。 学院校园网规划方案 5 校园网总体设计方案的科学性，应该体现在能否满足：整体规划安排；先进 性、开放性和标准化相结合；结构合理，便于维护；高效实用；支持宽带多媒体 业务；能够实现快速信息交流、协同工作和形象展示。 3.3 校园网的设计原则 先进性原则： 某学院由南、北、东三个校区组成，所以“某学院校园网”系统处理的信息 量是十分庞大的，要求计算机网络有很高的工作效率。而且随着教学科研任务工 作的迅速发展系统面临的任务也会愈来愈艰巨，所以，我们设计的网络在技术上 必须体现高度的先进性。网络通信技术进行组网，支持数据、语音和视频图像等 多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络 技术和网络产品在几年内基本满足需求。我们将在网络构架，硬件设备，传输速 率，协议选择，安全控制和虚拟网划分等各个方面充分体现“某学院校园网”系 统的先进性。在考虑系统先进性的同时我们也会考虑实效、兼顾现实，建设不仅 先进而且合适的系统。 开放性原则： 校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口， 从而为异种机、异种操作系统的互连提供便利和可能。 可管理性原则： 某学院有三个校区组成，位置分散，所以“某学院校园网”系统的节点数目 大，分布范围广，采用的网络技术也要较先进，尤其引入交换式网络和虚拟网之 后，网络的管理任务加重了，如何有效地管理好网络关系,是否能充分有效地利用 网络的系统资源等问题就摆在我们面前。我们用图形化的管理界面和简洁的操作 方式，提供强大的网络管理功能，使网络日常的维护和操作变得直观，简便和高 效。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行 网络故障的诊断。 安全性原则： 随着计算机技术的发展，尤其是网络和网络间互联的规模的扩大，信息和网 络的安全性日益受到重视。信息系统安全问题的中心任务是保证信息网络的畅通， 确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系 统的每一个环节都可能造成安全与可靠性问题。我们在网络设计时，将从内部访 问控制和外部防火墙两方面保证“某学院校园网”系统的安全。 学院校园网规划方案 6 灵活性和可扩充性： 选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一 成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设 备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。 稳定性和可靠性： 在校园网系统设计中，很重要的一点就是网络的可靠性，即坚固性。在外界 环境或内部条件发生突变时，怎样使系统保持正常工作，或者在尽量短的时间内 恢复正常工作，是设计时所必须考虑的，这样可以充分减少或消除因意外事故造 成的损失。我们可以从网络线路的冗余备份及信息数据的多种备份等方面保证该 系统的可靠性。同时该系统还应具有良好的故障诊断和故障隔离功能。 3.4 网络三层结构设计 校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的 高速互联，核心层由 1 个核心节点组成，包括教学区区域、服务器群；汇聚层设 在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机， 根据各个楼的配线间的数量不同，可以分别采用 1 台或是 2 台汇聚层交换机进行 汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼 内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入 层是每座楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的 稳定性、安全性及易于维护性出发进行设计，以满足客户需求。 学院校园网规划方案 7 图 3-1 南校网络拓扑图 图 3-2 东校网络拓扑图 学院校园网规划方案 8 图 3-3 北校网络拓扑图 表 3-1 设备及线缆选型 名称型号单价数量合计 路由器 7206VXR 3.5 万1 台3.5 万 核心层交换机 Quidway S9303 10 万2 台20 万 汇聚层交换机 WS-C2960-G-48 2.2 万10 台22 万 接入层交换机（24 口）H3C S1216 1300 16 台2.08 万 接入层交换机（48 口）H3C S1550 2800 19 台5.32 万 防火墙 USG3030 3 万1 台3 万 服务器 电子邮件服务器eWorld 邮件服务器 M5.7 万1 台 文件传输服务器eWorld 宽带主机 S202.86 万1 台 计费服务器蓝海卓越 NS-G50-20003.96 万1 台 代理服务器 1250 1 台 EEB 服务器1.18 万1 台 UPSC3KVA/2100W225012250 调制解调器 ATRIE WireSpan 300E100011000 超五类非屏蔽双脚线安普 6-219507-4 720 12 芯多模光缆TCL 12 芯室内多模光 缆 40 12 芯单模光缆TCL 12 芯室内单模光 缆 33 学院校园网规划方案 9 3.5 设备选型 3.5.1 汇聚层设备选型 通常将位于接入层和核心层之间的部分称为分布层或汇聚层，汇聚层交换层 是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量， 并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高 的性能，更少的接口和更高的交换速率。 汇聚层交换机选择华为 CISCO WS-C2960G-48。整个校园共用 10 台汇聚层交换 机，使用千兆光纤与核心交换机相连。 表 3-2 CISCO WS-C2960G-48 参数 CISCOCISCO WS-C2960G-48WS-C2960G-48 主要参数主要参数 产品外观 交换机类型智能交换机 应用层级二层 内存 64MB 传输速率 10Mbps/100Mbps/1000Mbps 网络标准 IEEE 802.3、IEEE 802.3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802.1p、IEEE 802.1D、IEEE 802.1s、IEEE 802.1w、IEEE 802.3ad、IEEE 802.3z、IEEE 802.3 端口结构非模块化 端口数量 44 接口介质 10/100Base-T,10/100/1000Base-Tx/SFP 传输模式全双工/半双工自适应 交换方式存储-转发 背板带宽 32Gbps 学院校园网规划方案 10 包转发率 39Mpps VLAN 支持支持 QOS 支持支持 网管支持支持 网管功能Web 浏览器,SNMP,CLI MAC 地址表 8K 模块化插槽数 4 指示面板 每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链 路状态、链路双工、链路速度 电源100VAC-240VAC、50Hz/60Hz,1.3-0.8A 环境标准 工作温度:0-45、工作湿度:10%-85%(非冷凝)、存储温度:-25-70、存储 湿度:10%-85%(非冷凝) 尺寸(mm) 328*445*44 重量(Kg) 5.4 价格￥2.2 万 3.5.2 接入层设备选型 通常将网络中直接面向用户连接或访问网络的部分称为接入层，接入层目的 是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。 接入层交换机选择华为 S1048和华为 S1216，构建该校园网络对接入层交换机的需求 量。 1、接入层交换机 表 3-3 H3C S1550（48 口）参数 H3CH3C S1550S1550 主要参数主要参数 产品外观 交换机类型网管交换机 应用层级接入层 传输速率 10Mbps/100Mbps/1000Mbps 网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3ab、IEEE 802.3x 端口数量 50 学院校园网规划方案 11 接口介质 10/100Base-TX:五类双绞线,传输距离 100m、1000Base-LX-SFP:9/125m 单模光 纤,传输距离 10km、1000BASE-ZX-LR-SFP:9/125m 单模光纤,传输距离 40km、1000BASE-ZX-VR-SFP:9/125m 单模光纤,传输距离 70km、1000BASE-SX- SFP:50/125m 多模光纤,传输距离 550m 传输模式全双工/半双工自适应 交换方式存储-转发 背板带宽 13.6Gbps 包转发率 10.1Mpps VLAN 支持支持 QOS 支持支持 网管支持支持 网管功能支持 Web 网管 MAC 地址表 8K 模块化插槽数 1 电源 AC100-240V(50Hz-60Hz) 环境标准工作温度:0-40、工作湿度:20%-85%无凝结 尺寸(mm) 440*230*44 重量(Kg) 11 分钟 波长 433mm 宽*高 145mm * 318mm 重量 28kg 价格 ￥2250 3.6 接入 Internet 设计 DDN 即数字数据网，是利用数字传输通道（光纤、数字微波、卫星）和数字 交叉复用节点组成的数字数据传输网。可以为用户提供各种速率的高质量数字专 用电路和其它新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。 其主要特点： 传输质量高，信道利用率高；传输速率高，网络时延小；数据信息传输透明 度高，可支持任何规程，可传输语音、数据、传真、图像等多种业务；适用于数 据信息流量大的校园；网络运行管理简便，对数据终端的数据传输速率没有特殊 要求。 其主要优点： 学院校园网规划方案 19 校园网采用 DDN 专线接入的方式上网，校园内上网采用 NAT 的方式，保证 师生上网方便。 3.7 VLAN 的划分及 IP 地址的分配 VLAN 技术在网络领域得到了广泛应用， 尤其在网络管理和网络安全方面起到 了不可忽视的作用。采用 VLAN 技术能够更容易地实现网络的集中管理。例如，在 添加、删除和移动网络用户时，不用重新布线，也不用直接对成员进行配置。 VLAN 提供的安全机制，可以限制用户对安全设备的访问，例如，限制普通用 户对计费服务器，安全交换机等的访问。VLAN 控制可以广播组的大小和位置，甚 至锁定网络成员的 MAC 地址，这样，就限制了未经安全许可的用户和网络成员对 网络的使用，增强网络管理。VLAN 划分原则是便于管理。VLAN 划分理念是将几个 楼划分在同一 VLAN，便于操作管理。 3.8 IP 地址分配原则 1、所有子网的可分配地址为：1240。241254 为网络设备保留地址，用于网 络设备的扩充和管理。例如：IP 子网 子网，可以分配给用户的 IP 地址为 40；地址 454 为网 络设备保留的地址，无特殊需求时，不能分配给普通用户使用。 2、所有子网的网关地址均为 254。例如：对于 子网，网关地址为 54。 3、所有子网的地址掩码均为 。 4、对于 VLAN HOST（主机网）和 VLAN FILED-TERM 所对应的子网，按照划定 的地址范围进行分配。 5、为了保证主机之间数据交换的快速和高效，主机在网络上只允许连接各组 的系统和公司级的服务器系统 3.9 物理/链路层配置原则 物理/链路层配置遵循下面的原则：网络设备互连的物理端口都应该绑定端口 的速率和全双工模式；建议所有的都不要穿透核心层，所有的 VLAN 都将在汇聚层 交换机上终结；本实施方案建议不要启用 STP 生成树协议，由于所有的 VLAN 都已 学院校园网规划方案 20 在汇聚层交换机终结，在二层上并没有环路存在，故无必要启用；如果开启基于 每个 VLAN 的生成树协议，广播报文将会很多，影响核心交换机性能和网络收敛时 间；所有核心层和汇聚层交换机之间的互连端口均设置为 Trunk 模式，但目前只 容许互连 VLAN 通过，以应付将来有 VLAN 穿越核心层这种情况；汇聚层交换机和 接入交换机之间的互连端口设置为 Trunk 模式。 4网络安全与管理 4.1 网络安全 校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。 来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全 的攻击行为大概有 40左右是来自于网络内部，如何防范来自于内部的攻击是校 园网网络安全防护体系需要重点关注的地方。 4.1.1 威胁网络安全因素分析 计算机网络安全受到的威胁包括：“黑客”的攻击；计算机病毒；拒绝服务 攻击（Denial of Service Attack） 。 安全威胁的类型：非授权访问。操作员安全配置不当造成的安全漏洞，用户 安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共 享；冒充合法用户。指利用各种假冒或欺骗的手段非法获得合法用户的使用权限， 以达到占用合法用户资源的目的；破坏数据的完整性。使用非法手段，删除、修 改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行，破坏网络 系统的可用性。指改变系统的正常运行方法，减慢系统的响应时间等手段。这会 妨碍合法用户正常访问网络资源，使有严格响应时间要求的服务不能及时得到响 应；病毒与恶意攻击。通过网络传播病毒或恶意 Java、active X 等，其破坏性非 常高，而且用户很难防范；软件的漏洞和“后门” 。软件不可能没有安全漏洞和设 计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件 编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网 络信息将没有什么安全可言。如 Windows 的安全漏洞便有很多；电磁辐射。电磁 辐射对网络信息安全有两方面影响。一方面，电磁辐射能够破坏网络中的数据和 学院校园网规划方案 21 软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏 数据传输而预谋的干扰辐射源。另一方面，电磁泄漏可以导致信息泄露。 4.1.2 网络安全防范措施 为了保证局域网安全，内网和外网之间最好设置访问隔离，常用的措施是在 内部网与外部网之间采用访问控制和进行网络安全检测，以增强机构内部网的安 全性。 1、访问控制：在内外网隔离及访问系统中，采用防火墙技术是目前保护内部 网安全的最主要的，同时也是最有效、最经济的措施之一。它是不同网络或网络 安全域之间信息的唯一出入口，能根据安全政策控制出入网络的信息流，且本身 具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设 施。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问 内部的哪些服务，以及哪些外部服务可以被内部人员访问。其基本功能有：过滤 进、出的数据；管理进、出的访问行为；封堵某些禁止的业务等。应该强调的是， 防火墙是整体安全防护体系的一个重要组成部分，而不是全部。因此必须将防火 墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。 另外，防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以 隔离内部网络的一个网段与另一个网段，防止一个网段的问题穿过整个网络传播。 针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信 任，或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局 部网络安全问题对全局网络造成的影响。 2、网络安全检测：保证网络系统安全最有效的办法是定期对网络系统进行 安全性评估分析，用实践性的方法扫描分析网络系统，检查报告系存在的弱点和 漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。 4.2 网络管理 4.2.1 网络管理的内容 网络故障管理；网络配置管理；网络性能管理；网络计费管理；网络安全管 理。 学院校园网规划方案 22 4.2.2 网络管理的手段 在校园网络管理方面，为了便于校园网络管理人员的管理及维护，我们选购 Quidview 网络管理软件。Quidview 网络管理软件基于灵活的组件化结构，用户可 以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建 构” 。 Quidview 网络管理软件采用组件化结构设计，通过安装不同的业务组件实现 了设备管理、VPN 监视与部署、软件升级管理、配置文件管理、告警和性能管理等 功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级 到网络级全方位的网络管理。 网络集中监视：Quidview 网络管理软件提供统一拓扑发现功能，实现全网监 控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方 式对网络参数进行配置修改，保证网络以最优性能正常运行。 故障管理：故障管理主要功能是对全网设备的告警信息和运行信息进行实时 监控，查询和统计设备的告警信息。 性能监控：Quidview 网管系统提供丰富的性能管理功能，同时以直观的方式 显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支 持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过 统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。 服务器监视管理：服务器是企业 IP 架构中的重要组成部分，通过 Quidview， 可实现服务器与设备的统一管理。 设备配置文件管理：当网络规模较大时，网络管理员的配置文件管理工作将 十分繁重，如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文 件。这样就给网络管理员管理、维护网络带来一定的困难。 Quidview 网络配置中心支持对设备配置文件的集中管理，包括配置文件的备 份、恢复以及批量更新等操作，同时还实现了配置文件的基线化管理，可以对配 置文件的变化进行比较跟踪。 设备软件升级管理：Quidview 提供完善的设备软件备份升级控制机制。使用 Quidview，管理员可以方便地查询设备上运行的软件版本，并利用升级分析功能 来确定设备运行软件是否需要升级。当升级软件版本时，可以利用 Quidview 集中 备份设备运行软件，然后进行批量升级。升级之后，可以使用 Quidview 进行升级 结果验证，确保升级操作万无一失。 学院校园网规划方案 23 集群管理：针对大量二层交换机设备的应用环境，Quidview 网络管理软件提 供集群管理功能，通过一个指定公网 IP 的设备（称作命令交换机）对网络进行管 理。 堆叠管理：Quidview 网络管理软件通过堆叠管理，可以集中管理较大量的低 端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。 故障定位与地址反查：针对最为常见的端口故障，Quidview 网络管理软件提 供了便捷的定位检测工具路径跟踪和端口环回测试；当用户报告网络端口使 用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口 故障。 RMON 管理：RMON 管理根据 RFC1757 定义的标准 RMON-MIB 及华为 3Com 自定义 告警扩展 MIB 对主机设备进行远程监视管理。 4.3 网络安全策略配置 4.3.1 安全接入和配置 安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施 设备前必须通过认证和授权限制，从而为网络基础设施提供安全性。限制远程访 问的安全。 表 4-1 安全接入和配置方法 访问方式保证网络设备安全的方法备注 Console 控制接口的访 问 设置密码和超时限制 建议超时限制设 成 5 分钟 进入特权 exec 和设备 配置级别的命令行 配置 Radius 来记录 logon/logout 时间和操作活动； 配置至少一个本地账户作应急之用 telnet 访问 采用 ACL 限制，指定从特定的 IP 地址来进行 telnet 访问；配置 Radius 安全纪录方案；设置超时限制 SSH 访问 激活 SSH 访问，从而允许操作员从网络的外部环境 进行设备安全登陆 WEB 管理访问取消 Web 管理功能 SNMP 访问 常规的 SNMP 访问是用 ACL 限制从特定 IP 地址来 进行 SNMP 访问；记录非授权的 SNMP 访问并禁止 非授权的 SNMP 企图和攻击 为增加安全,建议 更改缺省的 SNMP Commutiy 学院校园网规划方案 24 子串 设置不同账号通过设置不同的账号的访问权限，提高安全性 4.3.2 拒绝服务的防止 网络设备拒绝服务攻击的防止主要是防止出现 TCP SYN 泛滥攻击、Smurf 攻击 等；网络设备的防 TCP SYN 的方法主要是配置网络设备 TCP SYN 临界值，若多于 这个临界值，则丢弃多余的 TCP SYN 数据包；防 Smurf 攻击主要是配置网络设备 不转发 ICMP echo 请求(directed broadcast)和设置 ICMP 包临界值，避免成为一 个 Smurf 攻击的转发者、受害者。 4.3.3 访问控制 1、从内网访问 internet，端口全开放。 2、许从公网到 DMZ（非军事）区的访问请求：WEB 服务器只开放 80 端口， mail 服务器只开放 25 和 110 端口。 3、禁止从公网到内部区的访问请求，端口全关闭。 4、允许从内网访问 DMZ（非军事）区，端口全开放 5、允许从 DMZ（非军事）区访问 internet，端口全开放 6、禁止从 DMZ（非军事）区访问内网，端口全关闭。 4.4 电源系统 为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高 可靠性的 UPS 电源。为此,在网络中心配置了一套山特 C3KVA/2100W 的 UPS 电源。 学院校园网规划方案 25 5综合布线设计 5.1 综合布线的设计原则 综合布线同传统的布线相比较，有着许多优越性，是传统布线所无法比及的。 其特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩 展性、开放性、标准化、经济性和生命周期。而且在设计、施工和维护方面也给 人们带来了许多方便。 实用性：实施后的校园网控制系统，其所有的子系统，诸如综合布线系统， 数据通讯，都满足国际标准，具有良好的用户使用界面。并且，网络管理功能完 善且方便使用。 功能性：为用户提供快捷、开放、易于管理的语音与数据信息基础传输平台。 布线系统应能适应各种计算机网络体系结构的需要,并能支持语音或楼宇自控和保 安监控等系统的应用。可为用户提供可视图文、电子信箱、中国公用分组交换数 据网(CHINAPAC)接口,为用户提供电子数据交换(EDI)等各种服务的传输平台,为实 现无纸办公创造条件。为用户及时传递可靠、准确的各类重要信息,最终实现办公 自动化系统(OA)。 先进性：布线系统应适应综合布线技术发展的潮流,能为数据及高清晰图像信 息提供高速及宽带的传输能力,适应异步传输模式(ATM)。各性能指标满足支持高 带宽的 100 M、1000 M 以太网和异步传输(ATM)应用,满足宽带综合业务数