辽东学院图书馆网络规划

1、辽东学院图书馆网络规划方案摘要本文以辽东学院图书馆网络建设为背景，介绍图书馆网络项目基础建设的总体设计、实现及一些关键技术。 首先简要介绍图书馆网络的定义，图书馆网络建设中网络硬件为基础的建设阶段、以信息系统为主的建设阶段的情况，提出数字化图书馆概念、结构和建设目标。 然后以辽东学院图书馆的实际建设情况为背景，介绍了图书馆网络的需求，建设原则，讨论了具体的网络通讯平台，网络管理平台，网络安全平台的设计实例。网络通讯平台设计中，对网络的三层结构，ip地址的规划，vlan(virtual local area network)的划分，主干网技术的选择进行了详细的规划和设计。本文将从系统设计、综合布

2、线系统构成及设计、机房设计、等几个环节来探讨图书馆网络规划及建设的相关问题。 本文介绍了高性能图书馆网络建设需考虑的网络选型、综合布线、硬件需求、技术实现等方面的问题。关键词：拓扑结构；冗余；路由；交换 目 录一、设计背景- 1 -（一） 图书馆网络建设目标- 1 -（二） 图书馆网络需求分析- 1 -1. 组网需求- 1 -2. 设备需求- 1 -3. 网络安全需求- 1 -4. 网络管理需求- 2 -（三） 图书馆网络建设原则- 2 -1. 先进性- 2 -2. 标准性- 2 -3. 兼容性- 2 -4. 可升级和可扩展性- 2 -5. 安全性- 3 -6. 可靠性- 3 -7. 可管理性

3、- 3 -二、综合布线方案- 4 -（一） 需求分析- 4 -1. 开放性- 4 -2. 灵活性- 4 -3. 可靠性- 4 -（二）系统拓扑结构选择- 4 -1. 星型拓扑结构- 4 -2. 星型拓扑结构的优点- 4 -3. 星型拓扑结构的缺点- 5 -（三） 系统拓扑结构设计- 5 -（四） 系统结构设计描述- 5 -1. 核心层设计- 5 -2. 汇聚层设计- 6 -三、网络设计方案- 7 -（一） 主要技术选择- 7 -1. acl- 7 -2. nat- 7 -（二） 网络设备选型- 8 -1. 选型原则- 8 -2. 核心层交换机- 8 -3. 接入层交换机- 8 -（三）ip划分

4、与部分路由配置- 9 -四、网络安全- 10 -（一）主要安全隐患分析- 10 -1黑客攻击- 10 -2. 计算机病毒- 10 -3. 网络物理设备安全隐患- 10 -4. 人员造成的安全隐患- 11 -（二） 防火墙- 11 -五、项目总结- 11 -致 谢- 13 -参考文献- 14 - 15 -一、 设计背景（一） 图书馆网络建设目标 随着网络技术的发展，图书馆自动化、数字化以及网络化的发展也越来越快，图书馆工作的运行模式、业务管理、文献信息资源的服务对网络的依赖程度也越来越大，特别是近年来随着数字图书馆的诞生 ，对网络的要求也越来越高。与其他网络相比，图书馆网主要有这样几个特点：具有

5、极高的可靠稳定性、可扩展性、可管理性，具有高速度和高带宽，满足流介质媒体、远程学习等对带宽和数据敏感的实时应用。新网络应该具有足够的强壮性，应该具有足够的灾难恢复措施，包括电源冗余，设备冗余，主机冗余，数据库冗余，线路冗余，拨号链路冗余。新网络应该具有足够的安全性，采取路由器，以及防火墙以及设置dmz区,防杀病毒、入侵检测、和漏洞扫描与修补系统、网络数据完整、网络安全保护保证内网的绝对安全，将来数据在外网以及internet上传输应该采取加密,并且数据传输线路应该采取全屏蔽双绞线,防止信息的流失和泄露。（二） 图书馆网络需求分析1. 组网需求采用成熟的组网技术，保证最优性价比。采用简单、清晰的

6、网络拓扑结构，保证网络的稳定和高性能。2. 设备需求可扩展性强，通过增加新的模块和设备解决网络需求的增长，实现网络的平滑扩容。设备稳定可靠，性能高，能耐受一定程度的大数据量的冲击和安全问题干扰。设备具备多功能支持，要求能够采用较少的投资实现较多的功能。3. 网络安全需求针对校园网学生比较活跃，易发生ip地址盗用、账号盗用、计算机入侵等安全问题，要求能够实现端到端的网络安全解决方案。4. 网络管理需求采用方便、灵活的管理方式、支持分层次的ip管理。（三） 图书馆网络建设原则 1. 先进性随着计算机应用的不断普及和发展，计算机系统对网络性能的要求已经并将继续不断提高，高带宽、低延迟是对交换网络设备

7、的基本要求。网络交换设备应该提供从数据中心到楼层配线间直至桌面的高速网络连接，交换机必须具备无阻塞交换能力。综合考虑先进性和成熟性，结合实际应用需求，市教育城域网可采用千兆以太网、快速以太网作为主干技术连接数据中心和各学校交换机，采用千兆以太网、快速以太网或以太网接口连接服务器和客户机。2. 标准性在当今流行的internet / intranet 计算方式下，应用系统将以大量客户机同时访问少量服务器为特征，要求网络交换机必须具有有效的主动式拥塞管理功能，以避免通常出现在服务器网络接口处的拥塞现象，杜绝数据包的丢失。以硬件交换为特征的多层交换技术已经在越来越多的局域网网络系统中取代传统路由器成

8、为网络的主干技术，作为一种成熟的先进技术应在市教育城域网网络中得到应用。3. 兼容性不同厂商的网络设备应能彼此兼容，以保证企业网络的正常、高效地运行。为保证网络系统的开放性，网络中的主干交换设备应该能够支持基于国际标准或工业界事实标准的atm、fddi、快速以太网、千兆以太网等各种链路接口技术，能够在必要的时候与外部开放系统顺利实现互联。4. 可升级和可扩展性为了将来能顺利实现技术升级，选用的设备应有支持千兆以太网、atm oc12等前沿技术的能力，以便技术成熟时配备。由于计算机技术和应用范围的不断进步和发展，而网络技术又是其中进步最快的一个分支，计算机网络系统的建设不仅要考虑当前的网络连接需

9、求，还必须考虑到计算机系统不断扩大而提出的网络系统扩展和升级的需求和网络通信技术本身的快速进步所提供的提升网络系统容量和性能的可能性。为了使网络系统能够在尽可能的保护现有投资的前提下不断滚动发展以适应应用需求发展的需要，选用设备时应该尽可能预见到网络系统近期、中期和远期的扩展、升级的可能性并预留扩展、升级的能力。5. 安全性在局域网上的所有交换机应能灵活地、跨越全网地进行虚拟网划分和管理，将物理上分散而逻辑上紧密相关的各站点划入独立的虚拟网，实现无关系统的逻辑隔离是网络安全性的基本保障。在此基础上，我们选用的网络产品应该具备包括mac级、ip层、应用层等多个层次实现安全管理的能力，作为交换网络

10、核心的多层主干交换机应该具备防火墙功能，防止发生在同一虚拟网内或虚拟网之间互联点上的非法侵犯。6. 可靠性为保证网络系统的不间断连续运行，应该选用经过实践检验证明成熟可靠的产品。数据中心交换机应采用模块化分布式处理技术实现，避免采用一损俱损的中央交换模块方式。各主要部件都应有冗余，所有部件应支持热插拔，主干端口应支持热备份，特别是作为整个计算机网络系统核心的多层交换单元更要具备冗余备份的容错能力。7. 可管理性计算机网络系统作为市教育城域网智能系统的神经中枢，其运行状况应该得到全面的监控和管理。osi对网络管理提出了配置管理、性能管理、错误管理、安全管理、记帐管理等五大要求，以此为指导，该网络

11、管理系统应选用基于工业标准的snmp（简单网络管理协议）的开放式管理平台，配合专用的网络管理应用作为网管系统的设计框架。网管系统应支持网络拓扑自动发现、设备的配置和监视、网络故障的监测和报告等功能，并提供简单易用的图形用户接口。二、 综合布线方案（一） 需求分析1. 开放性结构化布线系统由于采用开放式体系结构，符合各种国际上主流的标准，对所有符合通信标准的计算机设备和网络交换设备厂商是开放的，也就是说，结构化布线系统的应用与所用设备的厂商无关。而且对所有通信协议也是开放的。2. 灵活性物理上为星型拓扑结构。因此所有设备的开通、增加或更改无需改变布线系统，只需变动相应的网络设备以及必要的跳线管理

12、即可。系统组网也可灵活多样，各部门既可以独立组网，又可以方便的互连，为合理的进行信息共享和信息交流创造了必要的条件。3. 可靠性结构化布线系统采用高品质材料和组合压接技术，构成一个高标准的信息通道。所有器件经过ul、cas、iso认证。经过专用仪器设备测试的每条信息通道可以保证其电气性能。可以支持100base-t及atm的应用。星型拓扑结构实现了点到点端接，任何一条线路故障不会影响其它线路的运行。从而保证了系统的可靠运行。采用相同的传输介质可互为备用，提高了系统的冗余。（二） 系统拓扑结构选择1. 星型拓扑结构星型拓扑结构由一个中心主节点向外辐射延伸到各从节点。由于每一条链路从主节点到从节点

13、的线路均与其他线路相对独立，所以布线系统设计是一种模块化设计。主节点可与从节点直接相连，而从节点之间的通信只有经过主节点的交换才能完成。智能大厦的计算机网络在主节点配置一台主交换机，在每个楼层配线间配置交换机或集线器，楼层配线间交换机或集线器与主交换机连接。2. 星型拓扑结构的优点星型拓扑结构的所有信息通信都要经过中心节点，所以比较容易维护与管理。利用楼层配线间的配线架的跳线，可以移动、增加或减少终端设备，操作容易、适应性强。每一条链路的相对独立性，使某一线路故障不影响其他工作站的运行，并且有利于故障的排除。3. 星型拓扑结构的缺点布线工作量大，线缆长度的增加使布线工程预算提高。（三） 系统拓

14、扑结构设计 图2.1 系统拓扑结构设计图（四） 系统结构设计描述internet连接校园总部路由器，从路由器连接一条线路到pix防火墙，pix防火墙之后就是一个三层交换机。在三层交换机上连接有校园的服务器群，以及之后的汇聚层交换机。整个局域网络采用多层数据交换原则设计，这样的设计方案使得整个局域网的运维管理，以及网络故障排除变的更加简单，减少了网络管理员的工作负责性，并且使未来的升级变的更简单且迅速。1. 核心层设计提供交换区块间的连接；提供到其他区块（比如广域网区块）的访问；尽可能快的交换数据桢或数据包；建议将主设备间设在主楼网络中心。由于核心层设备处于整个网络中是最关键的地位，任何故障都可

15、能造成整个系统的瘫痪，因此设备的选型十分重要。从可靠性和安全性出发，结合价格因素的考虑。2. 2. 汇聚层设计汇聚层主要负责以下几个工作：l 实现安全以及路由策略；l 实现核心层的流量重分布；l 实现qos服务质量控制；处于在汇聚层需要实现诸多的策略控制，对于交换机的应用要求较高。三、 网络设计方案（一） 主要技术选择1. acl访问控制列表（access control list，acl） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。acl适用于所有的被路由协议，如ip、ipx、appletalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种

16、访问进行控制。(1)acl可以限制网络流量、提高网络性能。例如，acl可以根据数据包的协议，指定数据包的优先级。(2)acl提供对通信流量的控制手段。例如，acl可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 (3)acl是提供网络安全访问的基本手段。acl允许主机a访问人力资源网络，而拒绝主机b访问。 (4)acl可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许e-mail通信流量被路由，拒绝所有的telnet通信流量。2. nat网络地址转换(nat, network address translation)属接入广域网(wan)技术，是

17、一种将私有（保留）地址转化为合法ip地址的转换技术，它被广泛应用于各种类型internet接入方式和各种类型的网络中。原因很简单，nat不仅完美地解决了ip地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。在实际应用中，nat 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有ip 地址代表较多的私有ip 地址的方式，将有助于减缓可用ip 地址空间的枯竭。 借助于nat，私有（保留）地址的内部网络通过路由器发送数据包时，私有地址被转换成合法的ip地址，一个局域网只需使用少量ip地址（甚至是1个）即可实现私有地址网络内所有计算机与internet的通

18、信需求。nat将自动修改ip报文的源ip地址和目的ip地址，ip地址校验则在nat处理过程中自动完成。有些应用程序将源ip地址嵌入到ip报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配ip头中已经修改过的源ip地址。否则，在报文数据都分别嵌入ip地址的应用程序就不能正常工作。（二） 网络设备选型1. 选型原则图书馆网络建设应该以应用为核心，在设计中充分考虑到教育管理和多媒体教学的要求，并且网络技术上应该具有一定的先进性，同时还要为以后的扩展留有一定的空间。2. 核心层交换机表格 3.2.1华为s5700-28c-ei-24s产品类型千兆以太网交换机应用层级三层传输速率10/10

19、0/1000mbps端口数量28个背板带宽256gbpsvlan支持4k个vlan支持guest vlan、voice vlan支持基于mac/协议/ip子网/策略/端口的vlan支持1:1和n:1 vlan交换功能包转发率96mppsmac地址表32k交换方式存储-转发电源电压ac 100-240v3. 接入层交换机表格 3.2.2 华为s2700-52p-ei(ac)产品类型智能交换机应用层级二层传输速率10/100mbps端口数量52个背板带宽32gbpsvlan支持ieee 802.1q（vlan），整机支持4k个vlan支持基于端口的vlan支持基于mac地址的vlan包转发率13.

20、2 mbpsmac地址表8 k交换方式存储-转发电源电压ac 100-240v（三） ip划分与部分路由配置表格3.3.1 vlan划分vlan号ip网段默认网关说明vlan 6192.168.6.0192.168.6.1服务台vlanvlan 7192.168.7.0192.168.7.1电子阅览室vlanvlan 8192.168.8.0192.168.8.1机房vlanvlan 2192.168.1.0192.168.1.1学院vlan 四、 网络安全（一） 主要安全隐患分析1. 黑客攻击数字图书馆通常同时与教育网、因特网相连，有时也通过教育网与因特网相连，在享受因特网给我们带来的方便快

21、捷的同时，也面临着遭遇黑客攻击的风险。黑客攻击主要分为主动攻击和被动攻击两类。主动攻击是指以各种方式有选择地破坏信息（如：修改、删除、伪造、添加、重放、乱序、冒充、病毒等）。被动攻击是指在不干扰网络信息系统正常工作的情况下，进行侦收、截获、窃取、破译和业务流量分析及电磁泄露等。另外黑客攻击不仅局限于从校园网外部发动。还有相当一部分攻击的行为来自校园网内部，由于内部用户对本校网络的结构和应用模式都比较了解，因此来自内部的安全威胁会更大一些。2. 计算机病毒计算机病毒具有传染性和潜伏性等特征，并且在网络环境下传播迅速。许多学校的图书馆系统受病毒感染，服务器瘫痪，使图书馆正常的网络信息服务无法开展。

22、有的图书馆甚至丢失了许多数据，损失巨大。因此病毒是危害高校数字图书馆安全的重要因素。校园网中计算机系统的购置和管理情况非常复杂。这种情况下要求所有的终端系统实施统一的安全政策（比如安装防病毒软件、设置可靠的口令）是非常困难的。比较典型的现象是，用户的计算机接入校园网后感染病毒，反过来这台感染病毒的计算机又影响了校园网内其他主机的运行。3. 网络物理设备安全隐患物理设备安全隐患主要是指网络硬件设备遭到破坏或出现故障。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等，它们分布在不同的地理位置，管理起来非常困难。个别人可能出于某种目的，有意或无意地损坏设备，这样会造成数字图书馆网络全部或部

23、分瘫痪。硬件出现故障一般有两种情况：硬件故障和使用故障。硬件故障指的是由于设备自身的机械零件或电子器件损坏而引起的物理性故障。使用故障指的是由于误操作或者病毒造成的设备无法正常使用。数字图书馆提供全天24小时服务，对于交换机、服务器、存储设备来说工作负荷过大，其使用寿命缩短，容易造成硬件故障，导致部分设备损坏。4. 人员造成的安全隐患网络的整体安全不仅仅是依赖使用各种技术先进的安全设备就可以实现的，在对内部人员的管理上制定一套行之有效的安全管理制度并贯彻执行也是必不可少的。正是由于内部人员对网络的结构、模式都比较了解，若不加强管理，一旦有人出于某种目的破坏网络，后果将不堪设想。另外图书馆的主要

24、用户是高校内的学生，同时他们也被称为最活跃的网络用户，出于对网络新技术的好奇，有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术，对网络造成一定的影响和破坏。从而对数字图书馆的安全产生威胁。（二） 防火墙设备选型 根据我校图书馆网络建设的实际情况，需要在图书馆网络出口处部署一台防火墙，为了满足实际网络的需要和未来的升级扩展，该防火墙要求：高性能、提供入侵检测功能、能够防范攻击和入侵等。根据具体情况，我们采用锐捷千兆防火墙rg-wall1200，该设备具体特点如下：rg-wall防火墙是锐捷网络采用独创的分类算法（classification algorithm）设计的新一代安全产品，支持扩展的状态检测（tasteful inspection）技术，具备高性能的数据过滤传输功能；同时在启用动态端口应用程序（如voip, h323等）时，可提供强有力的安全通道。采用华为网络独创的分类算法使得rg-wall产品的高速性能不受策略数多少的影响，产品安装前后丝毫不会影响网络速度；同时，rg-wall在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，rg-wall具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。rg-wall的主要功能包括：扩展的状态检测功能、防范入侵及