网络系统集成.ppt

校园信息化建设总体规划,校园信息化建设的理想目标,网上办公网上管理网上教学网上服务,网络基础,网络基本服务,管理信息系统,办公自动化,网络教学系统,数字图书馆,信息服务系统,决策支持系统,社区服务系统,电子商务系统,数字化校园,校园信息化建设概念模型,信息化建设的目的,实现校园内教学、科研、服务的数字化、信息化、网络化、电子化实现信息资源和信息服务的合理规划，合理分配，合理利用保证资源和服务的可靠性，安全性，科学性提高大学管理过程和管理系统上的质量，效率和效益,信息化建设规划(一),身份认证系统及用户信息数据库通用信息集中平台与信息发布平台南京大学办公自动化工具网上远程教学平台计算机网络辅助教学教务管理系统,信息化建设规划(二）,校园一卡通网络校园服务信息查询终端数字化图书馆智能教学大厦，办公大厦，实验室大厦无线网络接入设备,发展计划:,身份认证系统及用户数据库,通用信息集中平台及发布平台,各部门办公自动化系统,网上教育平台,教务教学管理系统,校园一卡通系统,校园社区服务查询终端,数字化图书馆,智能大厦(教学，管理，实验),无线网络接入设备,项目主要工作,建立访问用户数据信息中心的个性界面和自定义接口建立数字校园中通用数据交换格式规范,项目应用范围,为学校、政府等企事业单位搭建网上“信息门户”实现各部门信息的采集、管理、发布和服务用于学校、政府或企业Web站点及其它Web信息系统的快速开发和升级，同时支持静态和动态网页的开发和管理,具体实施,并行主干,双网络中心.多数据链路,多路由的广域网互联采用具有模块化结构,热插拔功能的网络设备网络服务器采用新技术.,提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求,所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。,布线,工作区子系统水平区子系统垂直子系统建筑群子系统管理子系统设备间子系统,系统总体设计,为了满足学校将来灵活组网的需要，在学校办公区、教学区等建筑物内各设有配线间将科技创业楼1楼106室建设成信息中心为充分满足学校对高容量信息通信的需要，系统采用高速高容量的多模光纤作为园区的网络主干中心接入500M光纤为校园网提供Internet出口，ISP提供/27网段，供学校使用。,在施工中注意事项,仔细查阅其它专业的施工图纸建议在施工中应满足设计裕量采用质量可靠的管路和线缆，以避免日后的麻烦严格遵守综合布线系统规范选材标准必须一致,网络设备选型选型原则,我们在网络系统设计时考虑如下特点：稳定可靠的网络只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。,高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。,核心层设备,由于园区网网络发展规模较大，未来需提供多媒体办公、办公自动化、图书资料检索、远程互联、视频会议等复杂的网络应用，为便于管理，我们建议选用的交换机作为网络组建交换设备。选用1台Cisco6509交换机作为主干交换机实现1000M做主干100M到桌面的需求。,Cisco6509系列交换机支持堆叠技术，将来扩充端口极为灵活方便，不必改变原有网络的任何配置。通过增加堆叠交换机数量或做PortTrunking(端口干路)两种办法均可扩充网络规模；并且实现了本地化交换，改善了整个网络，使整个网络的性能发生了质的变化。选用千兆光纤模块，与主干上联，实现主干的千兆传输。Cisco6509系列交换机支持网管和堆叠，可以很容易地根据需要，通过堆叠扩充端口数量。,汇聚层设备,汇聚层设备选择CISCO公司的Catalyst3550系列的交换机，每个子公司的主交换机选择WS-C3550-48-EMI交换机。Catalyst3550交换机智能以太网交换机是一个新型的可堆叠的，多层次级交换机系列，可以提高水平的可用性，可扩展性，服务质量（QoS）,安全性和可改进网络运营的管理能力，从而提高网络的运行效率。,接入层交换机,带有100BASE上行链路的Catalyst2950交换机，可为中等规模的公司和企业分支机构办公室提供理想的解决方案，以使他们能够拥有更高性能的千兆以太网主干。,主干网络技术选型,根据招用户要求，我们主干网络可选用千兆以太网技术目前流行的局域网、城域网技术主要包括以太网、快速以太网、ATM（异步传输模式）、FDDI、CDDI、千兆以太网等。在这些技术中，千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。,现有网络技术介绍,以太网（Ethernet）提供专用的频带（即带宽独享）快速以太网(FastEthernet)千兆位以太网技术（GigabitEthernet）,千兆以太网现在支持距离标准,1000Base-SX波长850nm62.5微米多模光纤50微米多模光纤275米550米1000Base-LX波长1300nm62.5微米多模光纤50微米多模光纤9微米或10微米多模光纤275米550米5公里1000Base-CX同轴电缆对25米1000Base-T4对5类双绞线100米,网络技术选型结论,长远来看如何保护现有投资性能价格比高售后服务好,校园网安全方案,校园网安全问题分析,经过长期的使用和观察，校园网存在以下问题：IP盗用的问题，校园网内部连接有几千台电脑，一部分电脑通过正常的申请途径得到合法的IP地址，另一部分则不然。当某些没有IP地址的用户，冒用他人的合法IP地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。防火墙攻击，防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对外的防护而已，他对于内部的防护则几乎不起什么作用。然而不幸的是，一般情况下大部分的攻击是来自局域网的内部人员。所以怎么防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。Email问题，由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。各种服务器和网络设备的扫描和攻击，有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。非法URL的访问的问题，对于一些反动的或不健康的站点，应当禁止校园网用户通过校园网去访问。病毒防护的问题，互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。病毒从网络之间传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。,安全解决方案设计需求分析,针对校园网长期以来校园网络出现的各种问题，对校园网的需求提出了一下几点：1、防止校园网外部用户对校园网内的用户进行攻击2、校园网外部用户只能访问WWW服务、MAIL服务，其他服务只对校园网内部用户开放。3、考虑到易用性，所有服务器的操作系统采用WindowsServer，WWW服务使用IIS。4、需要防病毒系统,安全设计原则,身份识别外围安全/接入控制数据专用性安全监控策略管理,防火墙设置部署防火墙,在需要隔离的网络区域之间部署防火墙。典型地，在Internet与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将WWW、MAIL、FTP、DNS等服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。,建立入侵检测系统,防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善,传统防火墙的不足主要体现在以下几个方面,防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的CodeRed蠕虫等；有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为；作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。,入侵检测系统IDS（IntrusionDetectionSystem）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。,DS弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS也面临着新的挑战：IDS旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS无能为力；蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS无法把攻击防御在企业网络之外。,办公室,实训楼,宿舍,教学区,科技创新区,106中心机房,管理地址VLAN1000,远程登录,Telnet登录：用户名：222密码：222,描述可靠性与可伸缩性IIS6.0提供了更智能的、更可靠的Web服务器环境，新的环境包括应用程序健康监测、应用程序自动地循环利用。其可靠的性能提高了网络服务的可用性并且节省了管理员用于重新启动网络服务所花费的时间，IIS6.0将提供最佳的扩展性和强大的性能从而充分发挥每一台Web服务器的最大功效。更安全、易于管理IIS6.0在安全与管理方面做出了重大的改进。安全性能的增强包括技术与需求处理变化两方面。另外，增强了在安全方面的认证和授权。IIS6.0的默认安装是被全面锁定的，这意味着默认系统的安全系数就被设为最大，它提供的增强的管理性能改善了XMLmetabase的管理及新的命令行工具。服务器合并IIS6.0是一个具有高伸缩性的Web服务器，它为Web服务器的合并提供了新的机遇。通过将可靠的体系结构和内核模式驱动程序完美结合在一起，IIS6.0允许您在单台服务器上托管更多的应用程序。服务器合并还可以降低企业与人工、硬件以及站点管理相关的成本。增强的开发与国际化支持通过WindowsServer2003与IIS6.0支持的先进功能如内核模式缓存，应用程序开发人员将从WindowsServer2003与IIS6.0单一的、完整的应用平台环境中受益。基于IIS6.0，WindowsServer2003为开发者提供高标准的附加功能，包括快速应用程序开发以及广泛的语言选择，同时也提供了国际化支持和支持最新的Web标准。更高的安全性IIS6.0显著改进了Web服务器的安全性。IIS6.0在默认情况下处于锁定状态，从而减少了暴露在攻击者面前的攻击表面积。此外，IIS6.0的身份验证和授权功能也得到了改进。IIS6.0还提供了更多更强大的管理功能，改善了对XML元数据库（metabase）的管理，并且提供了新的命令行工具。IIS6.0在降低系统管理成本的同时，大大提高了信息系统的安全性。,正确配置了操作系统。在WindowsServer2003家族产品中，文件服务依赖于操作系统及其服务的适当配置。如果您的WindowsServer2003操作系统采用的是全新安装，则可以使用默认服务设置。没有必要执行进一步的操作。如果您的WindowsServer2003操作系统采用的是升级安装，或者如果您要确认是否已正确配置了服务以获得最佳的性能与安全性，请使用服务的默认设置中的表来验证您的服务设置。计算机作为成员服务器加入ActiveDirectory域中。如果您希望验证客户端的身份，或者将共享文件夹发布到ActiveDirectory，文件服务器就必须加入域中。如果您不需要执行这两个任务，文件服务器就不需要加入域中。分配所有可用磁盘空间。可以使用“磁盘管理”或DiskPart.exe从未分配的空间中创建新分区。详细信息，请参阅创建分区或逻辑驱动器。现有的所有磁盘卷都使用NTFS文件系统。FAT32卷安全性不好，而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限。Windows防火墙已启用。详细信息，请参阅在不允许例外的情况下启用Windows防火墙。如果启用了Windows防火墙，则必须选择Windows防火墙中的“例外”选项卡上的“文件和打印机共享”，以便让“文件服务器角色”正确地发挥作用。“安全配置向导”已安装和启用。有关“安全配置向导”的信息，请参阅安全配置向导概述。,文件服务器磁盘配额,在“文件服务器磁盘配额”页面上，可以设置磁盘配额，来跟踪和控制各个用户在NTFS卷上以卷为单位的磁盘空间使用情况。“配置您的服务器向导”会自动将磁盘配额应用到所有NTFS文件系统的新用户，使用的是磁盘空间配置已经应用的。只有在您想防止服务器占用的磁盘空间超过某一特定数量或者您的磁盘空间数量有限的情况下，才需要更改“文件服务器磁盘配额”页面上的信息。大多数情况下，可以接受默认系统设置。,工程实施与项目测试,验收基本说明验收计划双方签定合同后，签定一项验收计划，作为验收执行的规范，合同双方共同遵循，验收计划包括以下必备内容：验收人员组成验收场所和验收时间验收内容组成各项内容的验收标准验收方式下面分别就验收计划中的要点进行说明。验收人员由业主方指定人员，工程实施方参加项目所有人员配合验收。验收人员要求：熟悉整个项目的物理设备组成、技术组成和验收标准，具有验收完成之后的签字权。验收场所和验收时间设备到现场后3天之内进行相应的设备验收，系统逻辑实现之后在公司提交工程测试资料并提出验收要求后3天之内由业主方组织验收，否则视为验收通过。具体的时间和验收场所由双方共同确认的验收计划中指定。验收组成设备验收对整个项目涉及的设备进行物理验收，包括设备型号、设备数量、包装要求等。系统验收对项目实施的目标进行相应的逻辑验收，包括功能、性能、文档等。基本验收标准物理验收的标准以最终合同指定的设备厂家品牌、型号、数量为标准，设备的物理构成及包装以设备厂家提供的标准为验收标准；逻辑验收按照最终合同要求进行的各项功能、性能设计相应的可实施的测试方法进行设计验收、测试验收和文档验收。验收方式签定合同的同时双方共同确认并签定验收计划；按照验收计划，以计划规定的验收时间内，由指定的双方收验人员按照验收标准进行验收，并填写验收报告；在所有验收计划中指定的验收完成后，整个项目的验收结束。2.设备验收（物理验收）验收标准根据双方最终生成的合同，形成物理设备总清单是整个设备验收的基础，按照各个设备厂家对设备到场的验收标准进行其它物理验收。,验收格式,验收格式,网络设计目标要求：记录双方共同确认后的整个园区网项目建设的功能、性能列表，在合同签定之前由双方共同商定，并作为验收的标准,用户变更记录,记录测试路径和测试结果，由集成方填写，业主进行验证性测试认可。验收总清单,文档验收清单,技术支持服务,售后服务内容售后服务包括技术培训、技术咨询、维修服务和用户跟踪等服务项目。质量保证期为12个月，自双方代表在验收单上签字之日起计算我们承诺为系统集成项目提供的免费售后服务内容为：保修：质量保证期内设备正常使用下发生的损坏，免费维修；非正常使用的损坏，只收取成本费。在质量保证期内，争取在72小时内完成业主所提出的维修要求，其中超过24小时不能完成维修，提供一台相同功能的设备应急。技术支持：3年内提供