校园网络设计方案

1、校园网络设计方案叶海丰山东科技大学泰山科技学院2011-12-02目录第1章 需求分析21.1 实施背景21.2 网络应用需求21.3 网络性能需求21.4技术需求3第2章 网络总体设计62.1网络架构分析62.2 设计思路62.3 校园网的设计原则7第3章 网络详细设计73.1主干网设计73.2 分支网络设计83.2.1 VLAN的划分及IP地址的分配81 Vlan号(ID)的分配规划82 具体VLAN详细表93. IP地址的分配原则93.3网络类型与结构11第4章 综合布线系统设计194.1设计范围及要求194.1.1 设计范围194.1.2 设计目标和要求194.1.3 本工程采用的主要

2、标准规范194.2 布线系统的组成和期间选择原则194.2.1 布线系统的组成194.2.2 器件选择原则194.3 综合布线系统设计204.4 多媒体布线设计22第4章 网络安全与管理234.1 网络安全234.1.1 威胁网络安全因素分析234.1.2 网络安全防范措施244.2 网络管理244.2.1 网络管理的内容244.2.2 网络管理的手段254.3 网络安全策略配置264.3.1安全接入和配置264.3.2 拒绝服务的防止274.4电源系统274.5 接地系统274.5.1机房独立接地要求274.5.2机房接地系统284.6在施工中注意事项284.6.1 工程施工前准备284.6

3、.2现场施工294.6.3 现场测试324.6.4 施工验收33第5章 网络所用设备及报价345.1 核心交换机设备选型345.2 汇聚层设备选型355.3接入层设备选型36前 言当今的世界正从工业化社会向信息化社会转变。一方面，社会经济已由基于资源的经济逐渐转向基于知识的经济，人们对信息的需求越来越迫切，信息在经济的发展中起着越来越重要的作用，信息的交流成为发展经济最重要的因素。另一方面，随着计算机、网络和多媒体等信息技术的飞速发展，信息的传递越来越快捷，信息的处理能力越来越强，信息的表现形式也越来越丰富，对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体

4、信息网发展。快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此，学校校园网的有无及水平的高低，也将成为评价学校及学生选择学校的新的标准之一。Internet及WWW应用的迅猛发展，极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域和时间的界限，为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。学校作为信息化进程中极其重要的基础环节，如何通过网络充分发挥其教育功能，已成为当今的热门话题。随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学

5、过程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一，此时，校园网上的应用系统就显得尤为重要。一方面，学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问，这是学生综合素质中极为重要的一部分；另一方面，基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。学校目前正加紧对信息化教育的规划和建设。开展的校园网络建设，旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建，实现统一网络管理、统一软件资源系统，

6、并保证将来可扩展骨干网络节点互联带宽为10G，为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用；利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务，方便的对网络中所有设备和应用进行有效的时事控制和管理。第1章 需求分析1.1 实施背景XX大学为了加快校园信息化建设，需要建设一个高性能的、安全可靠的校园网络，校园网建成后，要求能够实现校园内部各种信息服务功能，实现与教育网的无阻碍连通，同时提供宽带接入功能，以备主连接失效情况下的被用连接要求，能够实现校园办公自动化需求。某学

7、校为满足向高速多媒体信息网发展的需要，迫切需要建立一个高速、功能齐全的校园网，将多媒体、Web和视频点播等技术引入日常的教学和科研工作中。多媒体教室一直以来都是学校信息化建设的重点，通过将文字、图形、图像、声音集合在一起，采用生动活泼的声像显示，不仅丰富了教学手段，扩充了教学资源，而且更提高了课堂教学效果。充实、形象、生动的授课内容，声像并茂的教学形式，激发学生的学习兴趣，强调了“以学生为主”的教学新思路，极大得提高了教学质量。1.2 网络应用需求 这方面的需求不同学校有着明显不同，大体都可以分为，教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题；办公、服

8、务等带宽是要着重考虑的方面，所以学校应该根据自己的实际情况来考虑网络的结构，及安全问题。校园网在信息服务与应用方面应满足以下几个方面的需求：1、建立一个连接多媒体教室、教育网和图书馆等地的校园网，骨干速率为1000Mbps。多媒体教室配置160台机器。2、联入校园网的电脑都可以实现视频点播。3、支持教师的移动办公。授权情况下教师通过MODEM拨号访问校内信息和视频点播信息。4、建立WWW服务器，提供学校的主页。5、提供学校图书馆书目的联机查询。 6、建立电子邮件服务器，提供电子邮件服务。7、提供文件传输服务。8、多媒体教室实现网络视频点播教学，录制多媒体教学课件功能。9、软件实验室和网络实验室

9、要连网，已知软件实验室有 35 台计算机，网络实验室有 40 台计算机，软件实验室和网络实验室的面积为 10 m10 m，软件实验室和网络实验室相距 300 m。1.3 网络性能需求性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/价格比等；根据本工程的特殊性，语音点和数据点使用相同的传输介质，即统一使用超5类4对双绞电缆，以实现语音、数据相互备份的需要；对于网络主干，数据通信介质全部使用光纤，语音通信主干使用大对数电缆；光缆和大对数电缆均留有余量；对于其他系统数据传输，可采用超5类双绞线或专用线缆。要求各多媒体教室实现网络视频点播教学，录制多媒

10、体教学课件。老师可以通过MODERN移动办公。1.4技术需求网络系统本校园网方案建成以后，应能充分利用先进的计算机技术和网络通信技术把学校所有的单机用户连接起来，在有效利用现有资源的基础上，实现教学、财务、行政的计算机管理，方便地为全校师生提供信息浏览、文件传输、电子邮件等服务。这对网络性能特别是网络带宽提出了更高的要求。校园网工程采取交换式快速以太网技术，全部实现100M交换到桌面。工程中将校园网主干定位为千兆或者更高，具体技术视工程实施时的网络技术发展而定。可通过路由器与CERNET和Internet介入。在校园中，校园网的互联网出口带宽为:中国电信100M光纤6条，教育网千兆光纤1条。服

11、务器系统服务器系统应能代表当今计算机的最新技术，具有最先进的CPU技术，非常快的计算速度，能快速、准确地处理大量复杂的数据，并具有优良的性能价格比。更为重要的是，它应具有长远的生命期和易扩展性，能适应校园网络不断增长的需求，以最小的投资，产出最大的效益。校园网工程采取配备多台服务器分担负荷的方案。布线系统布线系统要符合结构化布线国际标准，能适应各种不同的网络，还要具有先进性，争取在10-15年之内不落后。Lucent布线系统是当今国际上最流行的结构化布线系统之一，它不仅质量卓越，价位合理，而且提供15年质保。本方案全面采用Lucent产品。网络主干采用光纤，其他链接介质采用超五类双绞线布线。设

12、备的故障恢复及设置交换机等网络结点关键设备必须具备冷/热备份能力。关键结点设备运行中出现故障后，能够有效、及时地恢复。基本配置的终端方式操作要简单，结点内部的配置内容可以通过笔记本电脑采用TCP/IP协议下载保存、或是上传恢1.5校园网络拓扑图XX大学联网各楼所在位置及信息点分布情况如下。1层2层3层4层5层6层7层8层1号楼2412102号楼103号楼1829425办公楼17131218图书馆210135号楼2181016号楼889237号楼41974研究生楼621212121电镜楼484公卫楼96889138合计501校园平面图如下图网络逻辑拓扑图网络建设内容第2章 网络总体设计2.1网络

13、架构分析现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构校园网采用星形的网络拓扑结构，骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备

14、选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份可以有效地提高核心交换的可靠性。2.2 设计思路 进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，

15、规划校园网建设的实施步骤。 校园网总体设计方案的科学性，应该体现在能否满足以下基本要求方面：（1）整体规划安排；（2）先进性、开放性和标准化相结合；（3）结构合理，便于维护；（4）高效实用；（5）支持宽带多媒体业务；（6）能够实现快速信息交流、协同工作和形象展示。2.3 校园网的设计原则（1）先进性原则以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。（2）开放性原则校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口，从而为异种机、异种操作系统的互连提供便利和可

16、能。（3）可管理性原则网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。（4）安全性原则信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。（5）灵活性和可扩充性选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。（6）稳定性和可靠

17、性可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。第3章 网络详细设计3.1主干网设计主干网络称为核心层，用以连接服务器群、建筑群到网络中心、或在一个较大型建筑物内连接多个交换管理间到网络中心设备间。本案主干网络采用千兆位以太网。千兆位以太网（GBE）技术千兆位以太网是IEEE 802.3以太网标准的扩展，传输速度为每秒1000兆位(即1Gbps)。传输标准:1000Bsae-LX传输介质:8-10微米长波单模光纤千兆位以太网主干交换机选择:核心

18、交换机采用Cisco公司的6509。主干交换机Cisco 6509，它属于第三层千兆以太网路由交换机，内部集成路由功能，具备高容量、无阻赛、优质的管理能力和可靠的多媒体支持等特点。将千兆以太网交换、快速以太网交换、以太网交换及路由都集成到一个交换机中，使得交换机的功能十分强大。为了充分发挥校园网主服务器群的作用，采用高速线路与服务器连接（千兆位以太网），从而保证了服务器具有足够的带宽为网络上的用户提供良好的服务性能。3.2 分支网络设计本案分支网络采取快速以太网技术。快速以太网技术100Base-T具有独特的物理层结构，支持100Mpbs的数据传输速率，并通过双绞线或光纤媒介进行传输。本案选择

19、锐捷6806E 型万兆多业务核心路由交换机分布在整个校园网的汇聚点，通过高端的技术和高品质的网络设备，全面满足了学校对数据、语音、视频的多业务应用需求，为学校师生提供一个高速稳定的网络平台和全新的网络环境。锐捷6806E 型万兆多业务核心路由交换机同时支持SNMP网络管理协议和以太网管理信息库（MIB），可以进行统一的网络监控和管理。3.2.1 VLAN的划分及IP地址的分配VLAN技术在在网络领域等到了广泛应用， 尤其在网络管理和网络安全上方面起到了不可忽视的作用。采用VLAN技术对整个网络进行集中管理，能够更容易地实现网络的管理性。例如，在添加、删除和移动网络用户时，不用重新布线，也不用直

20、接对成员进行配置。VLAN提供的安全机制，可以限制用户对安全设备的访问，例如，限制普通用户对计费服务器，安全交换机等的访问。Vlan控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用增强网络管理。1 Vlan号(ID)的分配规划VLAN划分原则：便于管理。VLAN划分理念：将几个楼划分在同一VLAN，便于操作管理。VLAN详细划分：1号楼、2号楼和3号楼，即北U字楼，在同一VLAN ，也就是VLAN10；办公楼和图书馆在VLAN20；5号楼、6号楼和7号楼，即南U字楼，在VLAN30；研究生楼为VLAN 40;公共卫生楼为VLAN 50

21、;电镜楼为VLAN 60;服务器集群在vlan99中。2 具体VLAN详细表楼ID及名称VLAN ID1号楼VLAN 102号楼3号楼办公楼VLAN 20图书馆5号楼VLAN 306号楼7号楼研究生楼VLAN 40公共卫生楼VLAN 50电镜楼VLAN 60服务器集群VLAN 993. IP地址的分配原则IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键，也是某职业技术学院校园网网络设计中的重要一环。IP地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持

22、续性发展。划分时注意使用VLAN，充分节约IP地址，使路由交换机上能够采用聚合进行路由的合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段，以便做路由汇聚。IP地址的分配原则如下：（1）给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性（2）考虑到以后的网络扩展规模，二层交换机设备的管理IP地址分配1个C类IP地址；（3）可以考虑为学校校园网分配若干个C类私有地址段。 服务器集群和办公楼的IP获取方式为手动分配，其他的均为通过DHCP获取。上网方式均采用NAT方式。IP地址分配表网络单元地址段地

23、址范围网关上网方式Ip获取方式1号楼 ：共有28个信息点1号楼1层/28114NATdhcp1号楼2层6/2817307NATdhcp1号楼3层2/2833463NATdhcp1号楼4层8/2849629NATdhcp2号楼：共有10个信息点2号楼2层/28114NATdhcp3号楼：共有94个信息点3号楼1层/27130NATdhc

24、p3号楼2层2/2733623NATDhcp3号楼3层4/26651265NATDhcp3号楼4层28/2912913429NATDhcp办公楼：共有60个信息点办公楼1层/27130NAT手动分配办公楼2层2/2833463NAT手动分配办公楼3层8/2849629NAT手动分配办公楼4层4/276594419

25、5NAT手动分配图书馆：共有25个信息点图书馆1层/2916NATdhcp图书馆2层/28922NATDhcp图书馆3层4/2825385NATDhcp5号楼：共有31个信息点5号楼1层/2916NATDhcp5号楼2层/27938NATDhcp5号楼3层0/2841541NATDhcp5号楼4层192.168.5.

26、56/3057587NATDhcp6号楼：共有48个信息点6号楼1层/28114NATDhcp6号楼2层6/2817307NATDhcp6号楼3层2/2833463NATDhcp6号楼4层8/2749789NATDhcp7号楼：共有34个信息点7号楼1层/2916NATDhcp7号楼2层/27938NATdhcp

27、7号楼3层0/2841541NATDhcp7号楼4层6/2957627NATDhcp研究生楼：共有90个信息点研究生楼1层/2916NATDhcp研究生楼2层/27938NATDhcp研究生楼3层0/2741701NATDhcp研究生楼4层2/27731023NATDhcp研究生楼5层04/27105134192

28、.168.8.105NATDhcp电镜楼：共有20个信息点电镜楼1层/2916NATDhcp电镜楼2层/28922NATDhcp电镜楼3层4/2925305NATDhcp电镜楼4层2/2933383NATDhcp公共卫生楼：共有61个信息点公卫楼2层/28114NATDhcp公卫楼3层6/2917227NATDhcp公卫楼4层

29、4/2825385NATDhcp公卫楼5层0/2841541NATdhcp公卫楼6层6/2857707NATDhcp公卫楼7层2/2873863NATDhcp公卫楼8层8/28891029NATdhcp服务器集群/28114NAT手动分配3.3网络类型与结构校园主干网路系统运用基于TCP/IP协议的千兆位以太网技术构建，采用核

30、心层、汇聚层和接入层三层结构。连接网络中心机房核心交换机与大楼汇聚交换机或接入交换机的主干网络为1000Mbps光纤通信，从楼层交换机到用户桌面终端实现100Mbps联网。核心层：网络系统核心层设在网络中心机房，网络中心机房设在实验楼的三楼。核心层选择万兆三层交换机作为网络核心交换机，通过光缆连接到各汇聚交换机，负责内网之间及内网与外网之间的信息交换，同时可根据应用的实际需求，合理地分配流量，利用虚拟局域网技术，合理进行网络划分，实现网络流量的隔离和控制以及网络安全的需求。汇聚层：将整个校园网划分成2个汇聚区，教学楼、图书馆、实验楼和办公楼为一个汇聚区，宿舍区为一个汇聚区。各汇聚区配置一台千兆

31、三层交换机，上连至核心交换机，下连至本汇聚区内的各楼宇的接入交换机，均采用光纤千兆连接。接入层：设备安装在各大楼的设备间。各大楼均有弱电井，每层楼都有管理间，可根据各大楼信息点的分布情况设计管理间的位置。接入层选择二层交换机，连接至工作区的每个信息点。网络结构系统图：3.4校园网综合布线图5-1 教学楼综合布线图图5-2 图书馆综合布线图图5-3 办公楼综合布线图图5-4 学生宿舍综合布线图图5-5 教职工家属宿舍综合布线图图5-6 实验楼综合布线图多媒体教室设计图多媒体教室示意图相关设备安装示意图3.5网络中心机房设计为了加强对网络管理和信息系统的建设，在实验楼第三层设立专用网络中心机房，机

32、房的规划与建设应符合国家有关标准。1、机房环境。机房作为整个网络的枢纽，对环境的要求及布线的要求较高。机房内选择静电的金属活动地板；墙面选择不易产生尘埃、不产生静电和对人体无害的涂料；配置具有供风、加热、冷却、除湿和空气除埃能力的机房专用空调设备。2、供电系统。机房的市电供电应满足电子计算机场地通用规范的规定，供电系统的电源频率为50Hz，电压为220V或380V，并且要稳定安全。同时配置在线式不间断电源系统（UPS），保证在市电停电时机房网络设备正常运行8小时。3、防雷和接地保护系统。中心机房要有狼嚎的保护接地系统、防雷接地系统、工作接地系统和防静电接地系统，保证人身与设备安全。防雷接地和设

33、备接地应达到目前国家相关标准要求。4、消防系统。机房内配置火灾自动探测器、区域报警器和灭火器，要根据国家现行建筑设计防火规范（GBJ16-1987）中的有关规定，设计消防系统。网络中心设计：网络中心平面布局图第4章 综合布线系统设计4.1设计范围及要求4.1.1 设计范围综合布线的范围包括该校校园的每一栋楼宇内数据线、语音线的布线以及从网络中心到每栋楼宇之间的主干光缆的布线两部分。网络中心机房（简称网管中心）位于实验楼的第三层，其他各楼宇的地理分布见需求分析中“部分楼宇平面图”。目前有办公楼、教学楼、实验楼、学生宿舍楼、教职工宿舍楼和图书馆连接成校园网主干，并且各楼需要进行网络布线，同时通过网

34、管中心将学校校园网与电信网互连。4.1.2 设计目标和要求为该校校园网设计的综合布线系统将给予以下目标与要求：（1）符合当前和长远的信息传输要求。(2)布线系统设计遵从国际（ISO/IEC11801）标准。(3)布线系统采用国际标准建议的星型拓扑结构。(4)网络的桌面信息传输为100Mbps，网络主干信息传输为1000Mbps。(5)布线系统的信息出口采用标准的RJ-45插座。(6)布线系统要立足开放原则。4.1.3 本工程采用的主要标准规范(1)综合布线工程系统设计规划（GB50311-2007）。(2)建筑物电子信息系统防雷技术规范（GB50343-2004）。(3)其他有关现行国家标准、

35、行业标准及地方标准。4.2 布线系统的组成和期间选择原则4.2.1 布线系统的组成 综合布线系统由工作区、配线子系统、干线子系统、建筑群子系统、设备间、进线间等组成。4.2.2 器件选择原则（1）工作区选择原则：全部选用超5类系列信息模块和信息插座面板，性能要求全部达到或超过国际标准ISO/TEC11801的指标。（2）水平线缆选择原则：全部选用超5类UTP双绞线，性能完全满足网络信息100Mbps传输的要求，配合连接硬件产品可以支持多媒体、语言、数据和图形图像等应用。所有产品满足ANSI/TIA/EIA-568A及ISO/IEC11801等标准。（3）主干线缆选择原则：主干线缆选用6芯单模和

36、多模光缆，支持1000Mbps数据传输；选用25对3类大对数电缆作为语音系统的干线，支持语音传输。（4）配线架选择原则：考虑今后校园网的发展，保证连接端口的扩充性以及先进性。配线架具有独特的电抗平衡性，可以确保超5类线缆的传输性能。4.3 综合布线系统设计（1）工作区子系统设计时，根据需求分析中对综合布线系统的需求分析，各楼宇的信息点的分布统计情况如表5-1所示。表5-1 各楼宇信息点分布统计表楼号/楼层数据信息点语音信息点与中心机房的距离/m实验楼687670图书馆18810200办公楼10050200教学楼3010300学生宿舍600600400-500教职工家属宿舍5050500网络中心

37、40100总计1695797（2）在配线子系统中，信息点的连接全部采用4对超5类优质非屏蔽双绞线，用于支持数据和语音传输。缆线从电信间配线架引出，经走廊吊顶内的金属线槽或桥架至室内墙上预埋暗管，连接到信息模块。所需设备及材料见表5-2。（3）干线子系统的线缆选用6芯单模光缆支持数据传输，采用3类25对数电缆支持语音传输。所有线缆通过电信间金属线槽垂直布放。所需设备及材料见表5-2。表5-2 综合布线系统配线模块选用表类别产品类型配线模块安装场地和链接缆线类型配线设备类型容量与规格CP（集合点）FD（电信间）BD（设备间）CD(设备间/进线间)电缆配线设备大对数卡接模块采用4对卡接模块4对水平电

38、缆/4对CP电缆4对水平电缆/4对主干电缆4对主干电缆4对主干电缆采用5对卡接模块大对数主干电缆大对数主干电缆大对数主干电缆25对卡接模块25对4对水平电缆/4对CP电缆4对水平电缆/4对主干电缆4对主干电缆/大对数主干电缆4对主干电缆/大对数主干电缆回线型卡接模块8回线4对水平电缆/4对CP电缆4对水平电缆/4对主干电缆大对数主干电缆大对数主干电缆10回线大对数主干电缆大对数主干电缆大对数主干电缆RJ-45配线模块一般为24口或48口4对水平电缆/4对CP电缆4对水平电缆/4对主干电缆4对主干电缆4对主干电缆光缆配线设备ST光纤连接盘单工/双工，一般为24口水平光缆/CP光缆水平光缆/主干光

39、缆主干光缆主干光缆SC光纤连接盘单工/双工，一般为24口水平光缆/CP光缆水平光缆/主干光缆主干光缆主干光缆SFF小型光纤连接盘单工/双工，一般为24口或48口水平光缆/CP光缆水平光缆/主干光缆主干光缆主干光缆（4）楼间建筑群子系统：从中心机房到各楼宇设备间采用1根室外8芯单模或多模光纤组成校园网主干网，其中2芯用于支持数据传输，2芯用于支持语音传输，余下的4芯备用。中国电信的互联网光纤和市话光纤，以及外网的光缆全部进入网络中心机房。从中心机房到各楼宇的距离见“各楼宇信息点分布统计表”。光缆的敷设采用直径为100cm的PVC管直埋地下，在光缆的拐弯处和分支处都设置光缆井。建筑群子系统光缆用量

40、如表5-3所示。表5-3 建筑群光缆用量走向采用材料光纤数量/m图书馆F-NET 8芯多模光缆 200办公室F-NET 8芯多模光缆 200教学楼（共3栋）F-NET 8芯多模光缆 300学生宿舍（共3栋）F-NET 8芯多模光缆 1400教职工家属宿舍F-NET 8芯多模光缆 500总计2600（5）电信间设置。教学楼、图书馆、实验楼和办公楼每3层设置1个电信间，宿舍区的学生和教职工宿舍楼每层设置1个电信间。（6）设备间设置。在每栋楼各设置1个设备间；该校校园设备间设置在网络中心机房，除配置一般设备间的设备外，还配有防火墙、数据服务器、应用服务器和BD等网络设备，电话程控交换机及BD等语音设

41、备。（7）配线设备采用三种配线架，分布连接光纤和铜缆。FD采用5类RJ-45模块数据配线架用于支持数据，采用语音配线架用于支持干线侧与水平侧语音。BD采用光纤配线架用于支持数据，采用语音配线架用于支持语音。配线设备种类及数量如表5-4所示。4.4 多媒体布线设计（一） 多媒体显示系统：多媒体显示系统由高亮度、高解析度的液晶投影机和屏幕构成；完成对各种图文资讯的大屏幕显示。整个项目设计在设备选型上，使用液晶投影机+电动玻珠幕的组合方式完美解决教学、讨论、报告等的使用需求，玻珠幕是高增益、高亮度高清晰的屏幕，使用NEC的投影机，不会直射见解者，影响讲解者的操作演讲。它通过应用各种感应原理，结合计算

42、机和投影机，可以实现无纸化办公及教学，既丰富教学内容的同时又可以减轻教师教学的压力。有效地提升教学效果和效率。（二） 多媒体电教室扩声系统：扩声系统由功放、音箱、话筒等设备构成；完成对各种声音的播放功能；实现多媒体电教室的现场扩音、播音，配合大屏幕投影系统，提供优良的视听效果。（三） 智能型多媒体中央控制系统：采用目前国内性价比最高、技术最成熟、功能最齐全，用途最广的中央控制系统，选用目前国内先进的性价比较高中央控制系统设备。实现多媒体电教室各种电子设备的集中控制。整个系统操作简单、人性化、智能化、可靠性高； 尽量多的体现出各种设备的卓越功能，让所有设备工作在最佳状态，发挥设备的最大功效； 能

43、够控制投影机，进行开/关机、输入切换等功能；并实现屏幕的上升、停止、下降功能； 能够控制DVD、VCR进行播放、停止、暂停等功能； 能够控制实物展台进行放大、缩小等功能； 能够控制音量，进行音量大小的调节功能； 能够实现音视频、VGA信号自动切换控制等功能。 第4章 网络安全与管理4.1 网络安全校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻击行为大概有40左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。4.1.1 威胁网络安全因素分析计算机网络安全受到的威

44、胁包括：1.“黑客”的攻击；2. 计算机病毒；3. 拒绝服务攻击（Denial of Service Attack）。安全威胁的类型：1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。3、破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。4、干扰系统正常运行，破坏网络系统的可用性。指改变系统的正常运行方法，减慢系统的响应时间等

45、手段。这会使合法用户不能正常访问网络资源，使有严格响应时间要求的服务不能及时得到响应。5、病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等，其破坏性非常高，而且用户很难防范。6、软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言。如Windows的安全漏洞便有很多。7、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面，电磁辐射能够破坏网络中的数据和软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试

46、图破坏数据传输而预谋的干扰辐射源。另一方面，电磁泄漏可以导致信息泄露。4.1.2 网络安全防范措施在不改变原有网络结构的基础上实现多种信息安全，保障校园内部网络安全，我们选购了一套网络安全防范设备。1 瑞星杀毒软件网络版1. 超强病毒查杀2. 智能主动防御3. 增强型全网漏洞管理4. 强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。 5. 兼容多种平台6. 一体化智能服务体系4.2 网络管理网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。4.2.1 网络管理的内容(1）网络故障管理；(2) 网络配置管理；(3) 网络性能管理；(4)

47、 网络计费管理；(5) 网络安全管理。4.2.2 网络管理的手段在校园网络管理方面，为了便于校园网络管理人员的管理及维护，我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。Quidview网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。网络集中监视Quidview网络管理软件提供统一拓扑发现功能，实

48、现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。4.2.3. 性能监控Quidview网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。服务器监视管理服务器是企业IP架构中的重要组成部分，通过Quidview，可实现服务器

49、与设备的统一管理。设备配置文件管理当网络规模较大时，网络管理员的配置文件管理工作将十分繁重，如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。Quidview网络配置中心支持对设备配置文件的集中管理，包括配置文件的备份、恢复以及批量更新等操作，同时还实现了配置文件的基线化管理，可以对配置文件的变化进行比较跟踪。4.2.4. 设备软件升级管理Quidview提供完善的设备软件备份升级控制机制。使用Quidview，管理员可以方便地查询设备上运行的软件版本，并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时，可以利用Qu

50、idview集中备份设备运行软件，然后进行批量升级。升级之后，可以使用Quidview进行升级结果验证，确保升级操作万无一失。4.2.5.集群管理针对大量二层交换机设备的应用环境，Quidview网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。4.2.6. 堆叠管理Quidview网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。4.2.7. 故障定位与地址反查针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具路径跟踪和端口环回测试；当用户报告网络端口使用异

51、常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障。4.3 网络安全策略配置4.3.1安全接入和配置安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供安全性。限制远程访问的安全设置方法如下表19安全接入和配置方法访问方式保证网络设备安全的方法备注Console控制接口的访问设置密码和超时限制建议超时限制设成5分钟进入特权exec和设备配置级别的命令行配置Radius来记录logon/logout时间和操作活动；配置至少一个本地账户作应急之用telnet访问采用ACL限制，指定从特定的IP地址来进行

52、telnet访问；配置Radius安全纪录方案；设置超时限制SSH访问激活SSH访问，从而允许操作员从网络的外部环境进行设备安全登陆WEB管理访问取消Web管理功能SNMP访问常规的SNMP访问是用ACL限制从特定IP地址来进行SNMP访问；记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击为增加安全,建议更改缺省的SNMP Commutiy子串设置不同账号通过设置不同的账号的访问权限，提高安全性4.3.2 拒绝服务的防止网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等；网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值，若多于这个临界

53、值，则丢弃多余的TCP SYN数据包；防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值，避免成为一个Smurf攻击的转发者、受害者。4.3.3 访问控制1 允许从内网访问internet，端口全开放。2 允许从公网到DMZ（非军事）区的访问请求：WEB服务器只开放80端口，mail服务器只开放25和110端口。禁止从公网到内部区的访问请求，端口全关闭。4 允许从内网访问DMZ（非军事）区，端口全开放5 允许从DMZ（非军事）区访问internet，端口全开放6 禁止从DMZ（非军事）区访问内网，端口全关闭。4.4电源系统为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源。4.5 接地系统4.5.1机房独立接地要求根据电子计算机机房设计规范GB 50174-2008中对接地的要求：交流工作接地、安全保护接地、防雷接地的接地电阻应4欧，本设计的接地电阻2欧，以提高安全性和可靠性。机房设独立