某海大校园网设计方案

1、某海大校园网设计方案 目 录1 广东海洋大学概况简介51.1 广东海洋大学概况51.2 学校建筑物分布52 需求分析62.1 网络设计原则72.2 校园网功能需求分析92.2.1 教学楼（主楼和钟海楼）92.2.2 科技楼92.2.3 办公行政楼92.2.4 图书馆92.2.5 学生和教工宿舍92.2.6 信息网络中心102.3 校园网所需信息点的分布102.3.1 科技楼楼层信息点数分布表格：102.3.2 主楼楼层信息点数分布表格：102.3.3 钟海楼楼层信息点数分布表格：112.3.4 图书馆楼层信息点数分布表格：112.4 海滨校区楼层信息点数分布表格：122.4.1 教学楼和办公行

2、政楼122.4.2 图书馆132.4.3 信息网络中心133 校园网的规划设计143.1 网络结构设计143.1.1 全网框架设计143.1.2 局部框架设计163.1.3海滨校区框架设计224 子网IP及其VLAN的划分264.1 主校区264.2 霞山校区和海滨校区274.3 VLAN 的划分285 设备选材295.1二层交换机295.2三层交换机305.3路由器305.4配线架305.5机柜316 系统软件平台选型316.1 操作系统316.2选择操作系统的准则327 网络安全防范措施337.1 防火墙系统337.1.1防火墙概述337.1.2防火墙体系结构33（1）双重宿主主机体系结构

3、33（2）被屏蔽主机体系结构34（3）被屏蔽子网体系结构347.1.3防火墙的功能34（1）数据包过滤技术34（2）网络地址转换技术35（3）代理技术357.2 入侵检测系统357.2.1入侵检测系统概述357.2.2入侵检测原理367.3 校园网网络安全设计367.3.1网络安全设计原则367.3.2网络安全建设方案368 课程设计心得38参考文献39广东海洋大学校园网设计方案前 言 在当今信息产业蓬勃发展的今天，信息已经成为一种关键性的战略资源，计算机技术在人们的生活中已经起到了越来越重要的作用。校园作为知识基地和人才基地，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上

4、、教育上要力争上游，更应在管理上上一个台阶。利用各种成熟的技术带动学校各单位、各部门的电脑化管理，通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和规范性；教职员工和学生可共享各种信息，极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才。在学校中建立计算机网络已经是十分迫切的需要：计算机和网络已经成为各行各业在工作中的工具，是否掌握计算机的技术和应用，已经成为衡量一个从业者是否合格的重要标识。作为培养人才的基地，在校园中就让学生接触计算机、计

5、算机网络，对于培养合格的人才无疑是十分重要的；在现在这个知识爆炸的社会中，对于合格人才的要求越来越多，需要他们掌握大量的各类知识，在教育中需要提高教学效率。现在出现了许多新的教学方法，以各种方式提高学生对知识的掌握速度，在与前人同样的时间内，掌握比前人更多的知识，而这些教学方法，需要利用计算机网络才能实现； 高等院校除了作为人才培养基地外，也是重要的科研基地，每年有大量的课题在高校中进行，研究人员需要收集资料、与同行交流研究心得等，促使研究的进展，作为全球最大的信息源和交流方式，计算机网络正是最合适的选择；学校、尤其是高等学校，作为一个实体都有比较大的规模，人员繁多，各类事务也非常多，但经费一

6、般比较紧张，比其他行业更需要提高管理效率，在日常管理中节约经费。在校园内组建计算机网络，在服务教学、科研的同时，也可以大大提高管理水平和效率。虽然在组建时需要花费一些费用，但与节省的费用相比，依然可以接受。我们广东海洋大学校园网支持的是一个不断多元化的网络应用系统设备组合，用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展性。在本设计方案中，我们将分为网络系统平台的建设,层次化设计等几个部分来设计。1 广东海洋大学概况简介1.1 广东海洋大学概况 广东海洋大学是广东省人民政府和国家海洋局共建的省属重点建设大学，是一所以海洋和

7、水产学科为特色，理、工、农、文、经、管、法、教等学科协调发展，以应用学科见长的多科性海洋大学，是教育部本科教学水平评估优秀院校，是国家新增博士学位授予权立项建设单位。学校最早的前身是成立于1935年的广东省立高级水产职业学校，她是广东现代海洋水产教育的发端，至今已有76年的办学历史，培养了10万多名“能安心、能吃苦、能创业”的应用型高级专门人才，成为促进广东经济社会发展和南海研究与开发的重要力量。 学校设有水产学院、食品科技学院、海洋与气象学院、农学院、 工程学院、经济管理学院、航海学院、信息学院、软件学院、理学院、文学院、法学院、外国语学院、政治与行政学院、体育与休闲学院、中歌艺术学院、职业

8、技术学院、继续教育学院等18个二级学院，1个教学部思想政治理论课教学部以及1个独立学院广东海洋大学寸金学院。设有广东省海洋开发研究中心、广东省人文社科重点研究基地海洋经济与管理研究中心等26个科研机构。现有3个国家立项建设博士学位授予权的一级学科，3个省级重点（扶持）学科，22个硕士点，2个硕士专业学位点,63个本科专业，37个高职高专专业，8个省级以上特色专业（其中5个为国家级特色专业），2个广东省名牌专业。学校办学条件良好。校舍总建筑面积达72万平方米，图书馆藏书 （含电子图书）197万册，教学科研设备值达2.7亿元，固定资产值约15.6亿元。学校有各类教学科研实验室66个，其中经国家资质

9、认定的计量认证机构1个，省（厅）级重点实验室、工程研究中心及部属实验室11个，省级实验教学示范中心3个。拥有包括水生生物博物馆在内的一批校内外教学科研基地。水生生物博物馆陈列标本近3000种，为全国高校中水生生物标本最多的博物馆。学校广泛开展对外学术交流与合作，先后与日本、英国、澳大利亚等国家以及香港、台湾等地区30所高校、研究机构建立了良好的学术交流和合作关系，与中国海洋大学和台湾海洋大学签订了联合办学协议，聘请了一批国内外著名学者为名誉教授、兼职教授和客座教授。21世纪是海洋的世纪，我国未来的发展必将更加倚重海洋。南海占我国海洋国土面积三分之二以上，海洋资源极为丰富，战略地位十分重要，是我

10、国21世纪最重要的资源接替地，是中华民族参与国际经济竞争最重要的战略高地之一。广东海洋大学作为我国南海之滨唯一的一所海洋大学，肩负着培养高层次海洋科技人才、推进海洋科技创新、服务南海资源开发利用的历史使命。目前，学校正紧紧抓住国家重点研究开发南海和广东建设海洋经济强省的战略机遇，坚定不移突特色，科学合理调结构，推进创新促改革，下大力气抓质量，强化管理增效益，为把学校建设成为海洋和水产学科特色鲜明，优势学科水平较高，与我国海洋事业和广东经济社会发展相适应，在国内外有一定地位和影响的教学研究型大学而努力奋斗。 1.2 学校建筑物分布学校现有主校区、霞山校区、海滨校区3个校区，校园占地4911亩。主

11、校区位于湛江市西郊世界地质公园湖光岩风景区旁,依山面海，环境优美，是求学成才的理想之地。学校内教学楼、科技楼、图书馆、博物馆、学生公寓、学生食堂以及文化广场、运动场和标准游泳池等基本教学生活设施一应俱全。2 需求分析先进性、实用性、安全性、可扩充性、灵活性、规范性、系统性、综合性。目标是要建成该院的多媒体教学系统及校园办公管理系统。利用信息技术，建立一个先进、完善的校园计算机网络 ，建设校园网络信息系统，在校园内部实现资源高度共享，为教学、科研、管理提供服务，为计划、组织、管理与决策提供基础信息和科学手段；支持教育教学改革，提高教育技术的现代化水平和教育信息化程度，为学校教师的备课、课件制作、

12、教学演示提供网络环境；通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料，实现素材收集、电子备课功能。培养创新人才，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力，使学生能自主学习、协商学习、发现探究式学习以及自我评价，为学生的全面发展创造相应的条件。实现办公自动化，提供与上级教育部门、社会、家庭之间通讯的出入口，提供电子函件、公告牌和教育教学信息查询等服务，提高工作效率和管理水平。及时、准确、可靠地收集、处理、存储、传输学校的教育教学信息，完成与因特网的通讯和资源共享实现社会教育、学校教育、家庭教育的有机结合。实现课

13、堂多媒体电化教学，具备适用于双向课堂语音教学及语音室功能学习。电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。从目前来讲，主要需求分为如下几个方面： 1、整个网络系统主要分布在全校区。 2、整个网络采用先进的网络结构，以满足传输、存储和处理数据、语音及图象信息的需要。 3、满足网上的集成系统和业务系统的需求。 4、完整统一的系统管理平台。 5、实现课堂多媒体电化教学。 6、校园网要求能对每个用户的使用情况能进行事后审计，能够定位到IP地址以及用户所连接的端口和登录的用户名，限定帐号的使用端口。 7、校园网要求能实现对用户带宽的动态控制。 8、校园网要求在学校规模不断扩大中，用户数在

14、持续增加，要求网络具有很好的。扩展性，能够根据需要逐步平滑升级到万兆的骨干连接。 9、网管平台实现网络资源的管理、网络安全访问的控制。并且在平台上能方便地开发所需网络应用。采用流行的、支持设备面广、有良好图形界面的网管平台。网管系统能够管理到网络中的每一个智能设备及有关设备的每一个端口，即能够远程对设备进行设置、调试、网络流量监测和必要的重置。主要建设目标如下：1、实现内部资源高度共享，利用信息的快速、准确的流通为教学、科研、管理提供服务，为计划、组织、管理与决策提供基础信息和科学手段。2、提高教育技术的现代化水平和教育信息化程度，通过互联网技术和网络环境以及利用各种多媒体工具为学校教师获得资

15、料素材、进行电子备课、辅助教学。3、培养创新人才，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力，使学生能自主学习、协商学习、发现探究式学习以及自我评价，为学生的全面发展创造相应的条件。4、计算机教学，实现课堂多媒体电化教学，具备适用于双向课堂语音教学及语音室功能学习。5、图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等。 6、文件传输 FTP主要利用 FTP服务获取重要的科技资料和技术文挡。2.1 网络设计原则校园网建设是一项大型网络工程，各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要完成包括图书信

16、息、学校行政办公等综合业务信息管理系统，为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，计算机网络平台是计算机应用的基础，建立一套安全可靠、先进稳定的网络系统，可以保证各种应用系统的正常进行以及学校内部各种多媒体教学的运作。通过Internet的连接功能，用户可以访问Internet等，或者在外地通过其他连接线进行远程教学，提供了全新的教学模式。我们在设计该学院校园网络时，应着重考虑以下原则：1、可靠性和高性能 网络必须是可靠的，包括网元级的可靠性，如引擎、风扇、单板、总计等；以及网络级的可靠性，如路由、交换的汇聚，链路冗余，负载均衡等。网

17、络必须具有足够高的性能，满足业务的需要。2、实用性和经济性 由于学校资金并不是很充足，不可能一步到位。另一方面，学校的应用水平较参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。 3、可扩展性和可升级性 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。4、易管理、易维护 由于校园骨干网络系统规模庞大，应用丰富而复杂

18、，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。5、先进性、成熟性 当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保校园网络能够适应将来网络技术发展的需要，保证在未来若干年内占主导地位。6、安全性、保密性 网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务，要求能进行灵活有效的安全控制，

19、同时还应支持虚拟专网，以提供多层次的安全选择。 在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。7、灵活性、综合性 通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。8、QoS（质量服务）保证 教育在语音和视频等多媒体应用方面一直走在社会的前列，这类应用对服务质量的要求很高。QoS（质量服务）需要在网络的端到端

20、进行全盘计划和实施，由于各接入网络和端设备的复杂性与多样性，骨干网必须尽可能地支持各种质量服务技术，特别是最新的技术如MPLS VPN 和流量工程，以提供简洁透明的质量服务机制。2.2 校园网功能需求分析2.2.1 教学楼（主楼和钟海楼）主要为电脑机房、多媒体教室，将计算机多媒体视听引入课堂教学、声音、图像、动画的普遍采用可以大大提高教学效果。2.2.2 科技楼科技楼分a,b,c,d四个区，其中a区作办公工作区，为学院办公室。根据标准设计的布线方案，能适应和支持现有的或将来的通信及计算机网络需求，能适合语音、数据计算机局域网、光纤分布数据接口、图像和其它连接的需要。智能化楼宇的结构化布线系统不

21、仅为现代化的信息通讯铺设了信息高速公路，而且也为楼宇的智能管理提供了集中的控制通路。结构化布线系统为用户创造了舒适、快捷的软环境，节约了发展商与经营者的人力和财力开支，极大地提高了对建筑物的综合管理水平，满足学校各部门对通讯和网络的需求。根据对结构化布线系统的要求，大楼布线系统的设计主要满足通信和计算机网络以及视频监控三部分。该系统将为用户提供集话音、数据、文字、图像于一体的多媒体信息网络，帮助用户实现多功能电话、语音信箱、网络代理连接互联网等应用。2.2.3 办公行政楼办公自动化基本web综合管理信息的信息系统、提示行政、人事、学籍、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、

22、科技档案管理等、使学校日常办公无纸化、减少办公开支提高办公效率等。2.2.4 图书馆图书馆是给师生们提供自主学习的场所，师生可以根据需要自由选择内容以及基于web的图书音像供学生随时读、并于连接Ineternet、使图书馆得到进一步拓展、使师生能够得到近乎无限的网上资源。2.2.5 学生和教工宿舍宿舍区的网络构架对学校信息化工作起到了巨大的推动作用，一方面缩短了学校与外界的距离，另一方面，完善了以校园网为基础的管理信息系统，为学生和教工提供了方便。2.2.6 信息网络中心中心机房到汇聚层节点采用4兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。通常考虑，建议数据信息点的接

23、入用交换10/100Mbps自适应以太网端口接入，以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。2.3 校园网所需信息点的分布2.3.1 科技楼楼层信息点数分布表格：楼层数据点语音点数据点合计语音点合计信息点合计一层20202020751二层35353535三层35353535四层3622936229五层1161811618六层361036102.3.2 主楼楼层信息点数分布表格：楼层数据点语音点信息点小计双孔信息插座第一层0000第二层2022220第三层201212

24、0第四层2002020第五层2002020第六层2002020第七层2002020第八层1582315第九层1582315第十层1582315合计165271921652.3.3 钟海楼楼层信息点数分布表格：楼层数据点语音点数据点合计语音点合计信息点合计一层20202020929二层36253625三层36363636四层2163621636五层2163621636六层21636216362.3.4 图书馆楼层信息点数分布表格：图书馆的主要信息点有：网络信息点、电话信息点、防盗监控信息点、广播和背景音乐信息点。考虑到本次的布线工程主要考察的是网络综合布线，所以我们信息点考察的重点也是数据信息点

25、。其信息点分布及配置如下表：房间 信息点数楼层大厅自修1区自修2区消防控制室弱电间密集书库复印室配电室休闲阅览室蓝色书店合计1F000402200210房间 信息点数楼层检索台借还书处保安值班室借阅1区借阅2区借阅3区流通部合计2F1862222335房间 信息点数楼层特藏部借阅5区采编部特藏文献借阅4区合计3F7252218房间 信息点数楼层读者服务部借阅7阅览2区书刊阅览部借阅6区合计4F4223213房间 信息点数楼层电子阅览部阅览4区电子阅览1区电子阅览区办公室数字化与系统工程部阅览3区合计5F421201122141房间 信息点数楼层待编书库阅览5区电子阅览2区咨询教育部阅览与自修3

26、区合计检索室阅览室6F221209662228房间 信息点数楼层办公室副馆长室馆长室会议室701705709合计7F5224222192.4 海滨校区楼层信息点数分布表格：2.4.1 教学楼和办公行政楼核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。汇聚交换机分别连接到各楼栋的接入层交换机，通过双绞线连接到每个课室的信息面板上；办公行政楼位于教学楼南区，核心交换机通过室外光线连接到行政楼的汇聚交换机，汇聚交换机通过双绞线连接到行政楼办公室的信息面板上，办公室使用8口交换机连接到信息面板。信息面板分布情况如下： 楼层区域 楼层西区东区北区南区总合计一层664586二层6625三层665四层

27、665五层66合计30306202.4.2 图书馆中心机房放置在图书馆的第五层，连接到汇聚交换机，通过双绞线连接到图书馆内的信息面板上。具体分分配如下：图书馆1楼：3个信息点；图书馆2楼：20个信息点；图书馆3楼和4楼：6个信息点；图书馆五楼：200个信息点；图书馆6楼：6个信息点。楼层1F2F3F4F5F6F合计信息点数3206620062412.4.3 信息网络中心综合楼共7层，一、二、三、四每层4个信息点，五、六、七层为实验机房网络中心位于第七层。通过光纤接入，连接H3C SecPath F100-S-AC防火墙，再连接到一台“思科 WS-C4503”的核心交换机和服务器群。服务器群组服

28、务器统一采用IBM System x3650 M3(7945I75)，一台对外Web服务器，放的是学校的官方网站；一台内网Web服务器，是学校的内部网站；一台Ftp服务器，由于FTP流量比较大，所以增加了一台IBM TotalStorage DS3400(1726-42X) Raid服务器。核心层交换机通过光纤连接到办公及教学楼、综合楼、图书馆、学生公寓A、B、C区的汇聚层交换机。3 校园网的规划设计3.1 网络结构设计3.1.1 全网框架设计层次化网络设计模型:对于大中型网络，可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。核心层-核心层的主要提供不同网络模块之间优化传输服务，

29、将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分，担特性的设备实现负荷均衡。此外，为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。汇聚层-汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量

30、（path metric）和路由协议网络通告控制。接入层-接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过 VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。访问层主要通过二层交换机组成。“核心层-汇聚层-访问层”层次化网络设计模型有如下优点： 1、高可扩展性 遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。 2、易于实施每一层的功能性清晰划分，简化每一层的实现。 3、易于故障排除每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围

31、。 4、易于规划和管理层次化的功能划分，整个网络规划和管理更为简单。随着Internet应用的不断普及，越来越多的信息交流是在Internet上实现，广州市政设计院也将与国际Internet相连，实现同国内外同行的信息交流，并为用户提供远程服务，因此，在设计上除遵从前面的原则，还应考虑以下两个方面：开放性、标准化。3.1.2 局部框架设计 主楼 钟海楼 科技楼 图书馆 学生宿舍东区学生宿舍：西区学生宿舍： 兴海楼、兴农楼、行政楼 商中、一饭、体育馆等建筑区 兴教楼3.1.3海滨校区

32、框架设计教学楼办公、行政楼图书馆学生宿舍区核心交换机通过光纤连接到学生公寓A、B、C区的汇聚交换机，每个区域的交换机通过光纤连接到各自的区域楼，区域楼交换机再与楼层的交换机堆叠，通过双绞线连接到宿舍的信息面板上。A区：B区：C区：综合楼综合楼共7层，一、二、三、四每层4个信息点，五、六、七层为实验机房，网络中心位于第七层。4 子网IP及其VLAN的划分4.1 主校区区域IP子网掩码默认网关备注主楼/2454/24/24主机号为0和255的不

33、可用钟海楼/2454/24/24主机号为0和255的不可用网络中心/286/2839/28主机号为0和255的不可用学生宿舍/2454/24/24主机号为0和255的不可用图书馆/2454/24/24主机号为0和255的不可用科技楼/2

34、454/24/24主机号为0和255的不可用兴海楼/2454/24/24主机号为0和255的不可用兴农楼/2454/24/24同上兴教楼/2454/24/24同上行政楼/2454/24/24

35、同上商中等附近建筑区/2454/24/24同上艺术楼、舞蹈楼等建筑区/2454/24/24同上校医院、农果楼/2454/24/24同上工程训练中心/2454/24/24同上4.2 霞山校区和海滨校区区域IP子网掩码默认网关备注霞山校区/

36、2454/24/24主机号为0和255的不可用教学楼（海滨）/2454/24/24主机号为0和255的不可用办公楼（海滨）/2454/2439/28主机号为0和255的不可用学生宿舍（海滨）/2454/24/24主机号为0和255的不可用图书馆（海滨）/2

37、454/24/24主机号为0和255的不可用其他/2454/24/24主机号为0和255的不可用4.3 VLAN 的划分 以科技楼为例，按照科技楼拓扑图中的划分，如下表VLAN VLAN网关 子网地址范围 子网掩码 1054 2054 301

38、54 3154 3254 3354 3454 3554 36192.16

39、8.9.154 3754 3854 4054 4154 42542

40、 4354 4454 50545 设备选材5.1 二层交换机5.2三层交换机45.3路由器5.4配线架5.5机柜6 系统软件平台选型6.1 操作系统操作系统是计算机系统的一种系统软件，它用于管理计算机系统的资源和控制程序的执行，以提高资源利用率，并为用户提供强有力的使用功能和方便的

41、使用环境。操作系统是控制和管理计算机系统内各种硬件和软件资源、合理有效地组织计算机系统的工作，为用户提供一个使用方便可扩展的工作环境，从而起到连接计算机和用户的接口作用.选择一个合适的操作系统，既省钱、省力，又能大大地提高系统的效率，而盲目地上一个操作系统，往往会事倍功半，甚至会破坏原有的数据库和文件等。6.2选择操作系统的准则网络操作系统对网络的性能有着至关重要的影响。选择了一个合适的网络操作系统,既省钱、省力,又能大大地提高系统的效率,而盲目地上一个网络操作系统,往往会事倍功半,甚至会破坏原有的数据库和文件等。 一、选择网络操作系统的准则 选择网络操作系统的准则,随着市场、技术及生产厂商的

42、变化而变化。所以,这里所谈的准则也不是一成不变的,在许多情况下,仍要根据实际情况决定。选择网络操作系统,既要分析原有系统的情况,又要分析网络操作系统的情况。对原有系统的分析,着重在两个方面：l 需要实现的目标,即要建立具有什么功能的网络。l 现有系统的配置、实现的难易程度、技术配备等。 在对原系统进行分析后,再考察网络操作系统的状况,主要考察点有: (1) 该网络操作系统的主要功能、优势及配置,看看能否与用户需求达成基本一致。 (2) 该网络操作系统的生命周期。谁都希望少花钱,多办事,因而希望网络操作系统正常发挥作用的周期越长越好,这就需要了解一下其技术主流、技术支持及服务等方面的情况。 (3

43、) 分析该网络操作系统能否顺应网络计算的潮流。当前的潮流是分布式计算环境,因此,选择网络操作系统,当然最好考察这个方向。 (4) 对市场进行客观地分析。也就是说,对当前市场流行的网络操作系统平台的性能和品质,如速度、可靠性、安装与配置的难易程度等方面,进行列表分析,综合比较,以期选择性能价格比最优者。 上述是选择网络操作系统的通用准则。在实际选择时,具体问题还需具体分析。 在经费有限或网络要求有限的情况下,可选择低档的网络操作系统,如对等式的网络操作系统等。这类低档的网络操作系统价格低廉,无须专用的服务器,所以能大大节省用户的开支。另外,低档的网络操作系统能将小型工作组成员简易地连接起来,彼此

44、共享文件和打印机。在性能方面,当负载较小时,其速度与高档系统不相上下。 在低要求、低成本的情况下,选用对等式网络操作系统无疑是上策。但当需求扩展时,对等式网络操作系统就显得不那么适合,如:安全保密和访问速度方面不够,以及需大量内存和CPU时间的应用程序无法运行等,这时对等式网络操作系统就不能满足用户的要求。因此,在选择网络操作系统时,首先要分析一下本系统未来运行的是何种应用程序:是简单短小的,还是庞大复杂的;系统是否需要较为严格的安全保密等。 在网络规模扩大后,无疑需要选择较为高档的网络操作系统。高档的产品,其功能强大,能支持多种计算平台,一般都能有效地满足用户的联网要求。目前，这类产品在局网

45、上的主要代表有：Microsoft公司的Windows2003、XP , Novell公司的NetWare以及Unix。u NetWareNovell公司的NetWare ，NetWare的特色是: NetWare是一个真正的网络操作系统,而不是其它操作系统下的应用程序。它直接对微处理器编程,因而伴随着最新的微处理器一起发展,充分利用微处理器的高性能,从而达到高效的服务。 支持各种硬件。 支持多种网络平台的互联,如DOS、OS/2、Windows、Macintosh等。 广泛的网络互联性能。Novell提供内桥、外桥、远程桥等多种互联选件,从而将具有相同或不同的网络接口卡、不同协议和不同拓扑结

46、构的网络连接起来。 出色的容错特性。NetWare提供一、二、三级容错。 整体系统的保密、安全性好。 NetWare 4.0以后的版本提供的目录服务,将更好地支持多服务器网络,实现单一的全局的系统管理。u UNIXUNIX1969年诞生于美国AT&T公司的贝尔实验室,是一个多用户、多任务的操作系统。UNIX已发展为两个重要的分支,一是AT&T公司的UNIX System V,在微机上主要采用该版本;另一是UNIX伯克利版本(BSD),主要运行于大、中型机上。 UNIX操作系统在结构上分为核心层和应用层。核心层用于与硬件打交道,提供系统服务;应用层提供用户接口。核心层把应用层与硬件隔离,使应用层

47、独立于硬件,便于移植。 网络传输协议已被结合到UNIX的核心之中,因而UNIX操作系统本身具有通信功能。 UNIX操作系统可以运行在从PC到超级计算机的非常广泛的服务器平台上,并支持网络文件系统(NFS)和提供数据库应用。LAN操作系统能够运行在UNIX环境的服务器上,许多基于UNIX系统的计算机厂家拥有功能强大、升级方便的服务器系列,随着UNIX厂家的联合,将使UNIX网络服务器平台在今后的市场上更加引人注目。u Windows2003Windows Server 2003作为Microsoft 最新推出的服务器操作系统，相比Windows 2000/XP系统来说，各方面的功能确实得到了增强

48、，尤其在安全方面，总体感觉做的还算不错。Windows Server 2003简体中文版分Web、Standard、Enterprise和Datacenter四个版本。我们测试的是Enterprise版，它最大支持8个处理器和32GB内存，最小配置为CPU速度不低133MHz，内存不少于128MB。据此可知Windows Server 2003的硬件适应性确实宽泛，其优异的伸缩性并非虚言。7 网络安全防范措施7.1 防火墙系统7.1.1防火墙概述防火墙是一种用来增强内部网络安全性的系统，它将网络隔离为内部网和外部网，从某种程度上来说，防火墙是位于内部网和外部网之间的桥梁和检查站，它一般由一台和

49、多台计算机构成，它对内部网和外部网的数据流量进行分析、检测、管理和控制，通过对数据的筛选和过滤，来防止未授权的访问进出内部计算机网，从而达到保护内部网资源和信息的目的。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。7.1.2防

50、火墙体系结构（1）双重宿主主机体系结构双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络（如外部网络）直接发送到另一个网络（如内部网络）。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。（2）被屏蔽主机体系结构双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络

51、和外部网络隔离开。在这种体系结构中，主要的安全由数据包过滤提供（例如，数据包过滤用于防止人们绕过代理服务器直接相连）。这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。数据包过滤容许堡垒主机开放可允许的连接（什么是可允许连接将由你的站点的特殊的安全策略决定）到外部世界。（3）被屏蔽子网体系结构被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都

52、连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。7.1.3防火墙的功能（1）数据包过滤技术数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术选择好依据系统内设置的过滤规则后，只有满足过滤规则的数据包才被转发至相应的网络接口，而其余数据包则从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络，用这种方法可以阻塞某些主机和网络连入内部网络，也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI参考模型的网络层和传输层，它根据数据包头源地址，目的地址，端口号和协议类型等标志确定是否允许通过，只有满足过滤条件的数据包才被转发到相应目的地，其余数据包则被数据流中阻挡丢弃。（2）网络地址转换技术网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准，用户必须要为网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它