崇庆中学网络综合布线设计方案

1、目录目录 1 前言.4 2 项目背景.4 2.1 学校简介及系统现状.4 2.2 网络设备.5 2.3 存在问题.5 2.4 建设目标.6 2.5 网络系统规划.6 3 需求分析.7 3.1 网络现状与用户需求.7 3.2 功能需求.7 4 系统设计原则.8 4.1 校园网整体设计原则.8 4.1.1 实用性.8 4.1.2 灵活性.8 4.1.3 可扩展性.8 4.1.4 可靠性.8 4.1.5 安全性.8 4.2 网络技术线路分析.9 4.2.1 局域网技术.9 4.3 网络设备技术分析.10 4.3.1 交换设备性能参数.10 4.3.2 VLAN 技术.11 5 综合布线系统设计.11

2、 5.1 综合布线系统简介.11 5.1.1 工作区子系统.12 5.1.2 水平子系统.12 5.1.3 管理子系统.12 5.1.4 垂直主干子系统.12 5.1.5 设备间子系统.13 5.1.6 建筑群子系统.13 5.2 综合布线系统设计依据.13 5.3 综合布线系统设计指标.13 5.4 布线产品选择.14 6 网络安全系统设计.14 6.1 网络安全概括.14 6.2 防火墙的设计.15 6.3 访问控制列表（ACL）.15 6.4 ARP 攻击.16 6.5 DOS 攻击.16 7 网络系统设计.16 7.1 拓扑结构总体设计.16 7.2 服务器设计选择.20 7.3 材料

3、设备清单.20 7.3.1 综合布线系统.20 7.3.2 网络设备.21 7.3.3 服务器.21 7.4 IP 地址规划.22 7.4.1 IP 地址规划原则.22 7.4.2 IP 地址及 VLAN 详细规划.23 8 相关设备的配置.25 8.1VLAN 和 IP 的配置.26 8.2 配置 NAT.27 8.3 配置 RIP.28 8.4 配置访问控制列表（ACL）.28 结束语.29 参考文献.30 致谢.31 崇庆中学网络综合布线设计方案崇庆中学网络综合布线设计方案 摘要：此次综合布线设计方案，针对崇庆中学灾后重建的新校区，网络建设缺乏 整体规划、未能形成完整多功能的系统、各方面

4、结合较松散等问题，提供一定的 解决方案。该方案主要对崇庆中学高中校园网的综合布线的各项需求进行仔细 分析，并且详细对设计目标、系统设计原则、设计标准、系统产品选型及产品简 介、总体系统设计方案等进行说明。希望通过此设计方案对崇庆中学高中网络建 设进行整改，灵活运用网络综合布线技术为其提供更加完善、整洁网络规划方案， 使得该校区得到安全、可靠、高性价比的校园网络，提高其教学与科研综合实力， 提供更优质的教学。 关键字：综合布线设计; 校园网网络; 网络规划 Abstract: The integrated wiring design scheme, aimed at the new campus

5、 of ChongQing middle school which rebuilding after the earthquake disaster, lack of overall planning, failure to form a complete multi-purpose system, various aspects combining than to loose, provide certain solutions. The scheme mainly to the senior high school campus network advocates celebrates t

6、he comprehensive wiring needs, and detailed carefully analyzed to design goal, the system design principle and design criteria, system product selection and product introduction, overall system design scheme for instructions. Hope that through the design scheme to senior high school network construc

7、tion ChongQing, make corrections flexible use of comprehensive network wiring technology provide the more perfect, neat network planning scheme, making the school district get safe, reliable, cost-effective campus network teaching and scientific research, and improve their comprehensive strength, pr

8、ovide more high- quality teaching. Keywords: Integrated wiring design; Campus network; Network planning 1 前言 随着信息化和科技的发展，计算机技术，通讯技术，网络技术，正越来越 广泛的应用于各大社会平台，校园网作为一个集多种应用于一体的大型网络通 信平台，而且是具有强大的资源管理和安全防范机制的综合服务体系。它的应 用范围可以涵盖多媒体教学、远程教育、Internet 接入、办公自动化、校园 IP 电话、图书查询管理、教学、科研、人事和各类资源管理等。伴随着网络教育 的逐步发展和实施，建立

9、良好、稳定且可靠的通信网络更显得非常重要了。各 高校、中小学需要不断加强校园网络中心的硬件基础设施建设，以适应未来网 络发展的需要。当前由于网络、数据库及与之相关的应用技术不断发展，尤其 国际互联网（Internet）和内部网（Intranet）技术的广泛应用，世界正在迈入网 络中心计算（NetworkCentricComputing）时代。人们传统的交互和工作模式正 在改变。处在不同地理位置的人们可以共享数据，使用群件技术 （GroupWare）进而能够协同工作；多媒体数据的存储、传输、应用技术的不 断成熟；以上这些计算机技术的发展对学校传统的计算机业务系统产生影响， 使用户能更方便、更直观

10、的使用系统，也使系统的性能更完善、功能更强大。 数字化校园是以网络为基础，利用先进的信息化手段和工具：计算机技术、 网络技术、通讯技术，把学校建设成面向校园，也面向社会的一个超越时间、 超越空间的虚拟大学，提升传统校园的效率，扩展传统校园的功能，最终实现 教育过程的全面信息化，从而达到提高教育管理水平和效率的目的。作为信息 化时代高速发展的今天，不但是大学校园在这方面有了长足的发展与进步，普 通中小学、高等中学也渐渐开始重视和发展信息化教学，而校园网络综合布线 系统是实现数字化校园的前提，是校园网络的基础设施。 2 项目背景 2.1 学校简介及系统现状 崇州市崇庆中学，创办于 1919 年，是

11、省内外历史悠久、规模较大的巴蜀名 校。 “512”地震后重建，新校区为简欧风格园林式布局，以孔子文化作为校园文 化主线，追溯学校的历史文脉，将具有川西特色的书院风貌重现在这座现代校 园中。(附图 1) 崇庆中学占地面积 155.3 亩，建筑面积达 51308，设计规模为 90 个班， 容纳学生 4500 人。拥有集电教、微机、理化生实验室为一体的综合楼（勤学楼） 一幢，配备闭路电视网、校园宽带网的教学楼两幢，学生公寓两幢，学生食堂 一个，机房两个，图书馆一个，会议楼一个，体育馆一个。网络信息中心位于 行政办公大楼 4 楼、学校各教学、办公、食堂、学生公寓楼宇配线间将敷设光 缆与网络中心相连。主

12、干拟将使用千兆以太网。信息点分布情况为，办公大楼 （4 层，共 145 个信息点） 、教学楼（4 层，两幢共 32 个信息点） 、实验楼机房 （121 个信息点） 。另外，有部分楼宇需要建立网络，它们分别是体育馆办公室 （10 个信息点） ，图书馆（10 个信息点） 、学生宿舍（两幢楼，4 层，每层 24 间，每间寝室两个信息点，384 个信息点） ，教师宿舍（4 层，70 个信息点） ， 学生食堂（5 个信息点） ，会议楼（2 层，共 20 个信息点） ，实验楼的其他实验 室（共 15 个信息点） 。综上所述，崇庆中学计算机应用水平和使用效率还有很 大的提升空间，有待于改进和提高。 图 1

13、崇庆中学鸟瞰图 2.2 网络设备 现有网络设备包括核心层交换机 1 台、其他交换机 23 台，核心交换机为 3com 公司 Switch 4007，办公行政大楼等楼宇交换机均选择为 SuperStack II Switch 3300，防火墙 1 台，型号为: Anti-X。 2.3 存在问题 1.网络的连接范围还需要进一步扩大，部分办公楼只是部分布线，还有部 分教学楼没有内部布线。 2.学生公寓没有被网络覆盖，学生上网资源匮乏。 3.核心网络设备目前只有一台，没有采取核心交换机的热冗余措施，有些 建筑只有百兆速率上连主交换机，网络扩容亟待解决。 4.网络安全系统尚未完善，现有防火墙需要更换为性

14、能更加稳定、可靠防 火墙。 2.4 建设目标 根据此次对崇庆中学校园网的调查分析，预计此次建设方案将达到以下目 标: 1.构架千兆校园网主干，实现教学办公综合楼、教学楼、图书馆、教工宿 舍楼群的互联。 2.每个教室、实验室、办公室、教工宿舍均可实现 100M 的校园网接入， 实现信息资源的充分共享。 学校领导、老师、学生可以随时随地进入校园网获 取校园网信息。 3.校园网将设置 WWW 服务、数据/数据库服务、vod 服务。 4.校园网将建立一个 OA 系统，以便于学校无纸化办 公。 5.校园网必须能进行全网的智能化管理，使系统管理员能够方便、高效地 实现网络管理。 6.校园网的一期建设必须为

15、以后网络建设预留发展和扩容的空间。 7.要求全网的交换机设备必须采用同一厂家的产品，服务器也统一品牌。 全网综合布线产品必须全部统一。 2.5 网络系统规划 1.主干网汇接各子网，形成中心骨干快速交换； 2.在网络中心进行集中控制和管理； 3.PC 机连接到基层网段上，服务器、工作站连接到高层网络； 4.流量划分层次，跨越基层网段的流量汇接到工作组网，跨越工作组网的 流量汇接到子网，跨越子网的流量汇接到主干； 5.到外部网络的访问通过防火墙进行安全控制，同时防止来自内部或外部 的恶意攻击保证网络系统安全； 6.通过专线接入，提供基本的 Internet 服务。 3 需求分析 3.1 网络现状与

16、用户需求 网络在崇庆中学日常教学办公环境中起着至关重要的作用，校园网的运作 模式会带来大量动态的 www 应用数据传输，会有相当一部分应用的主服务器 有高速接入网络的需求。这就要求网络有足够的主干带宽和扩展能力。同时， 一些新的应用类型，如网络教学、视频直播/广播等，也对网络提出了支持多点 广播和宽带高速接入的要求。除上述考虑外，还要注意到由于逻辑上业务网和 管理网必须分开，所以建成后校园网应能提供多个网段的划分和隔离，并能做 到灵活改变配置，以适应教学办公环境的调整和变化，及实现移动教学办公的 要求。考虑学校情况，数据信息点的接入以交换 10/100Mbps 自适应以太网端口 接入为主，以供

17、带宽需求较高用户或应用使用。整个方案设计的目的是建设一 个集数据传输和备份、多媒体应用、语音传输、OA 应用和 Internet 访问等于一 体的高可靠、高性能的宽带多媒体校园网。 表 1 信息点分布总体情况表 地点信息节点分布状况 办公楼145 个第 4 层 55 个，其余 30 个/层 会议楼20 个共两层，10 个/层 实验楼（含机房）141 个4 层机房 126 个，其余 15 个 教学楼32 个4 层，8 个/层 学生宿舍384 个每幢 192 个，共两幢 教师宿舍70 个较分散 学生食堂5 个略 图书馆10 个2 层，目前暂未开放网络 体育馆10 个2 层，5 个/层 3.2 功能

18、需求 1.完善办公事务处理能力，包括电子公文传递、电子公文管理、电子邮件、 邮件收发等无纸办公自动化功能。 2.满足信息情报交流的需要，方便学校各级领导和教学科研人员对各种信 息资料、科技情报的检索和查阅。 3.具有远程通信能力，借助电话网等通信手段，方便地实现远程互联，跨 越地域限制，满足学校要求，加强各单位之间的业务联系和信息资源共享。 4.具有收集、处理、查询、统计各类信息资源的能力，充分利用原有数据 资源，为学校领导提供准确、快捷的数字信息，实现数据化管理和智能化决策。 5.学校网络系统要确保整个计算机网络系统的可靠性、安全性，具有一定 的冗余。 6.学校信息网络系统要保证实用和技术先

19、进，便于非计算机专业人员使用， 并能不断满足学校未来业务发展的需要，具有很强的扩展能力。 4 系统设计原则 4.1 校园网整体设计原则 4.1.1 实用性 实施后的楼宇自动化系统及其所有的子系统的通讯线路和接口都满足国际 标准。具有良好的用户使用界面，很强的分布式数据处理能力、通讯能力处理 强,响应速度快。系统易扩充,易管理,便于用户的增加。并且网络管理功能完善、 使用方便，也使得安装成本可以用来降低对整个校园网长久的运行花费，从而 取得良好的远期经济效益。 4.1.2 灵活性 系统中任一部分的连接都是灵活的，即从物理接线到数据通讯、语音通讯、 智能控制设备之间的连接都不受或极少受物理位置和这

20、些设备类型的限制，这 样一来减少了对传统管路的需求，信息口设备合理，可即插即用，同时提供了 一种结构化的设计来实现与管理这一系统。 4.1.3 可扩展性 由于系统的所有基础设施（材料、部件、通讯设备）都采用国际标准，因 此，无论计算机设备、通讯设备、智能控制设备随技术的发展，将来都可能很 方便地将其连接到楼宇自动化系统中去。那么不管是现在还是将来，它都能对 建筑物内的环境提供完全的兼容支持。 4.1.4 可靠性 系统中的各个部分都采用高质量的材料、组部件设备实现，并谨慎施工和 测试，以保证系统的各个环节都是可靠的。 4.1.5 安全性 校园网络管理和生产业务的发展，对安全性提出了更高的要求，除

21、了提供 系统级的多种安全控制手段外，需要建 立完善的安全管理体系。 4.2 网络技术线路分析 4.2.1 局域网技术 局域网主干网络通常采用的网络系统有快速以太网、FDDI、ATM、和千兆 以太网系统，他们各自的特点如下： 1.快速以太网 快速以太网在传输类型上是一种基于冲突检测机制的网络，快速以太网提 供 100M 带宽，端口到端口的 100M 交换，完全可以满足事务性数据处理和基 本的多媒体业务。快速以太网技术成熟，产品丰富，被众多厂家支持，可采用 双绞线、多模和单模光纤作为其传输介质，是目前应用范围最广的网络类型， 具有投资少、适用范围广等优点，特别适合于中等规模和小型局域网，从而被 广

22、泛采用。 2.FDDI 光纤分布式数据接口 FDDI 是一个使用光纤作为传输媒介的、高速的、通 用的令牌环形网。它能用在高速局域网或城域网，以 100Mb/s 的速率，跨越 100km 距离，连接多达 500 个设备。它能作为高速局域网在小范围内互连高速 计算机系统，或作为城域网互联较小的网络，或作为主干网来互连分布在较大 范围的主机。FDDI 使用有容错能力的双环拓扑，从而提高了环形网的可靠性。 但 FDDI 组网费用高，限制了发展，而且随着其他高速网络的兴起，采用 FDDI 的网络越来越少。 3.ATM 异步转移模式 ATM 是新一代网络交换技术，它选择固定长度的短信元作 为信息传输的单位

23、（53 字节） ，因而缩短了信元的处理时间，有利于高速传输。 同时，ATM 按先到先服务的规则分配信道，不同类型的服务都可复用在一起， 从而提高了网络带宽的有效使用率。ATM 的所有信息在最低层是以面向连接的 方式传送的，适合于传送实时性数据，同时 ATM 又可工作于统计方式，支持 突发型数据。因此，ATM 特别适合于有多种不同类型数据同时高速传输的场合， 适合于大型广域网的建设。 4.千兆以太网 千兆以太网提供 1000Mbps 的原始带宽，并与现在广泛使用的 10/100Mbps 以太网标准兼容，在提供 10 倍于快速以太网的性能的同时价格却并不高，显著 提高了系统的性能价格比。 千兆以太

24、网目前已有成熟的、统一的传输介质标准，可以保障各厂商间的 产品互操作性。与快速以太网相比较，千兆以太网的建设成本较高，主要采用 光纤做为传输媒介。 表 2 主要局域网技术指标比较表 定义100M 快速以太网千兆位以太网FDDIATM 速率100MBPS1000MBPS100MBPS155MBPS 拓扑星型星型双环交换式结构 存取方式CSMA/CDCSMA/CD令牌点到点方式 介质双绞线、多模光纤双绞线 多模、单模光纤 多模、单模光纤双绞线 多模、单模光纤 节点间 最大距离 100M（双绞线） 412M（多模光纤） 500M（多模） 2KM（单模） 2KM（多模） 10KM（单模） 2KM（多模

25、） 20KM（单模） 可靠性备份线路备份线路双环备份线路 价格较便宜较贵较贵最贵 网络规模中小型网络大中型网络中小型网络大中型网络 成熟性成熟成熟成熟逐步成熟 采用技术共享/交换共享/交换共享方式面向连接 从上述分析可得出，崇庆中学新校区宜采用千兆以太网技术为主干，并结 合采用快速以太网技术提供局域网的服务。 4.3 网络设备技术分析 4.3.1 交换设备性能参数 1.转发技术：交换机采用直通转发技术或存储转发技术。 2.延时：交换机数据交换延时多少。 3.管理功能：交换机提供给用户多少可管理功能。 4.单/多 MAC 地址类型：每个端口是单 MAC 地址，还是多 MAC 地址。 5.外接监视

26、支持：交换机是否允许外接监视工具管理端口、电路或交换机 所有流量。 6.扩展树：交换机是否提供扩展树算法或其他算法，检测并限制拓扑环。 7.全双工：交换机是否允许端口同时收/发，全双工通讯。 4.3.2 VLAN 技术 虚拟网（VLAN）是将一组物理上彼此分开的用户和服务器逻辑地分成工 作群组，这样的逻辑划分与物理位置无关。简单地说，就是把一组用户分配在 一个单一的广播域上的广播流量只有其成员才能够收到。 5 综合布线系统设计 5.1 综合布线系统简介 校园网布线采用综合布线方式，根据结构化综合布线标准，网络由设备间 子系统、建筑群子系统、水平子系统、垂直子系统和工作区子系统 6 大子系统 组

27、成。(附图 2) 图 2 综合布线总体结构图 5.1.1 工作区子系统 工作区子系统由终端设备连接到信息插座的连线(或软线)组成，它包括装 配软线、连接器和连接所需的扩展软线，并在终端设备和 I/O 之间搭桥。信息 输出口采用符合 ISDN 标准的 RJ45 8 芯插口，根据用户的使用环境选用埋入型、 桌上型、地毯型或通用型插座，根据网络系统末端设备的接口选用相应的适配 器。 5.1.2 水平子系统 水平子系统由各区的分线架(IDF)到该区的各个信息输出口的连接。水平布 线子系统是整个布线系统的一部分，它将干线子系统线路延伸到用户工作区。 水平布线子系统与干线子系统的区别在于：水平布线子系统总

28、是处在一个楼层 上，并端接在信息插座上。SYSTIMAX SCS 使用 24AWG 双绞线(UTP)为传输 介质，对于数据和图像的传输，采用 CAT5 类双绞线(1061)或 CAT5+（1071） 超五类双绞线，部分对传输频宽及高速数据传输有更高要求的信息点，可采用 光纤到桌面(FTTD)方式设置。对于语音和控制信号的传输，采用 CAT3 类双绞 线(1010)。 线缆长度估算公式： LT=（Lmax+Lmin）/2+H * 1.15*N Lmax 本楼层最远终端设备至本楼层设备间距离 Lmin 本楼层最近终端设备至本楼层设备间距离 H： 本楼层楼高，本方案中涉及的楼高为 4 米。 1.15

29、：线缆剪切余量和线长冗余为线长的 15% N：本楼层信息点数量（语音点数量与数据点数量之和） 。 5.1.3 管理子系统 管理子系统即指楼层配线间（FD） ，由交连、互连和 I/O 组成。管理点为 连接其它子系统提供连接手段。交连和互连允许你将通信线路定位或重定位到 建筑物的不同部分， 以便能更容易地管理通信线路。I/O 位在用户工作区和其 它房间， 使你在移动终端设备时能方便地进行插拔。由电缆配线架(110 型)和 光纤配线箱(LIU)组成。110 型配线架采用模块化的设计，颜色编码，便于跳线， 根据使用的不同情况采用打入式或插拔式跳线方法。光纤配线箱采用易于扩充 插接的 STII 光纤插头

30、，使光纤的连接非常简单。 5.1.4 垂直主干子系统 垂直干线子系统是整个建筑物综合布线系统的一部分。它提供建筑物的干 线电缆的路由。它通常是在两个单元之间， 特别是在位于中央点的公共系统设 备处， 提供多个线路设施。 该子系统由所有的布线电缆组成， 或者由导线和光缆以及将此光缆连到其 它地方的相关支撑硬件组合而成。传输介质可能包括一幢多层建筑物的楼层之 间垂直布线的内部电缆或从主要单元(如计算机机房或设备间和其它干线接线间)来 的电缆。由主线架(MDF)到各区分线架(IDF)的连接部分，根据传输信号的不同， 分别采用 UTP 电缆或 Lucent Technologies 50/125 多模

31、光纤为传输介质，以满足 现在和将来所有通讯网络的要求。 5.1.5 设备间子系统 设备间子系统即指总配线间（BD） ，由设备间中的电缆、连接器和相关支 撑硬件组成， 它把公共系统设备的各种不同设备互连起来。该子系统将中继线 交叉连接处和布线交叉连接处与公共系统设备(如 PABX)连接起来。该子系统还 包括设备间和邻近单元(如建筑物的入口区)中的导线。这些导线将设备或雷电 保护装置连接到有效建筑物的接地点。主线架(MDF)与主控室内各系统的连接 部分，包括通讯系统、计算机系统、广播系统、闭路电视监视系统和消防报警 系统和大厦设备自动化系统等。 5.1.6 建筑群子系统 建筑群子系统即指群楼布线系

32、统（CD） ，它将一个建筑物中的电缆延伸到 建筑群的另外一些建筑物中的通信设备和装置上。它是整个布线系统中的一部 分(包括传输介质)并支持提供楼群之间通信设施所需的硬件， 其中有导线电缆、 光缆和防止电缆的浪涌电压进入建筑物的电气保护设备。与外界公共交换网络 的连接部分，包括与邮电局等通过光缆或电缆的连接。 5.2 综合布线系统设计依据 1. EIA、TIA568A/568B 标准和 ISO/IEC11801 标准 2.建筑与建筑群综合布线系统工程设计规范 （GB/T 50311-2000） 3.建筑与建筑群综合布线系统工程验收规范 （GB/T 50312-2000） 4.建筑与建筑群综合布线

33、系统工程设计规范CECS 72：97 5. 中国民用建筑电气设计规范(JGJ/T16-92) 5.3 综合布线系统设计指标 本设计主要参照 EIA/TIA568A、EIA/TIA-TSB36/40、CECS 72：97 等标准 或规范，主要的系统指标满足 100MHz 的 D 级所要求的参数： 表 3 主要标准参数表 序号指标名称中文解释指标值 1PROPAGATION DELAY 传导延时1.0S 2DC RESISTANCE直流电阻24DB 4ATTENUATION衰减10DB 6LENGTH长度90M 7WARE MAP接线图568B 5.4 布线产品选择 目前网络产品主要集中选择在 C

34、isco、NortelNetworks、3Com、Lucent（该 公司提供网络设备的部门现已独立出来成为公司 AVAYA） 、 Alcatel、Cabletron、Intel、华为、联想、中兴、D-link（目前已被联想收购，成 了联想 D-link） 、Accton（D-link 和 Accton 是台湾出产）等。 Cisco 在广域网产品方面的地位是无人能及的，据称在广域网骨干路由器上 Cisco 产品占有 80%的市场份额；Nortel Networks 在语音交换方面有 100 多年的 历史；3Com 尽管它的高端产品目前已经被人收购，但它在园区网方面，特别 是在中国市场上，占有很大

35、的份额；各家的特点说来话长，不一而足。但总的 一点，比较贵，且他们占据的是中高端市场。在中低端市场方面，是 D-link 和 Accton 有极大的优势。3com 公司是校园网方面拥有很长的历史，全国有相当 一部分大学均采用 3com 的网络设备，她以质量好、性能稳定著称，虽然目前 因全球策略调整将高端出售，从而强化了她在中低端产品上的竞争力，崇庆中 学作为一个中小型园区网，3com 的系列产品必将能提供一个性能、稳定双佳的 网络。 6 网络安全系统设计 6.1 网络安全概括 网络安全是一个永恒的话题，Internet 的开放性以及其他方面因素导致了网 络环境下的计算机系统存在很多安全问题。计

36、算机只要与网络连接就不可能彻 底安全，网络中的安全漏洞无时不在，随着各种程序的升级换代，往往是旧的 安全漏洞补上了，又存在新的安全隐患，网络攻击的本质实际上就是寻找一切 可能存在的网络安全缺陷来达到对系统及资源的损害。 计算机信息系统的安全保护，是指保障计算机及其相关的和配套的设备、 设施的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥， 以维护计算机信息系统的安全运行。 总体来看，计算机网络的安全应包含，保密性、完整性、可用性。 从计算机信息系统实现的角度，可以将计算机信息系统的安全分为三类， 即实体安全(Physical Security)、运行安全(Operation S

37、ecurity)和信息安全 (Information Security)。 6.2 防火墙的设计 防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成。 配置好防火墙能协助确保信息安全，依照特定的规则，允许或是限制传输的数 据通过。只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应 该安装防火墙。以利用防火墙，在网络通讯时执行一种访问控制尺度，允许防 火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒 之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、 移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安 全机

38、制，防止 Internet 上的不安全因素蔓延到局域网内部，所以，防火墙是网 络安全的重要一环。 根据本次方案实际情况，这里采用的防火墙 Anti-X 对整个校园网络进行保 护，有效防止外部威胁的入侵。 6.3 访问控制列表（ACL） 访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来 告诉路由器哪些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还 是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。 ACL 大致可分为两类，即标准 ACL 和扩展 ACL。 标准 ACL 阻止来自某一网络的所有通信流量，或者允许来自某一特定网络 的所有通信流量，或者拒绝

39、某一协议簇（比如 IP）的所有通信流量。ACL 通过 过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络 能否有效地减少不必要的通信流量，这还要取决于网络管理员把 ACL 放置在哪 个地方, 根据减少不必要通信流量的通行准则，把 ACL 放置在靠近被拒绝的通 信流量的来源处。扩展 ACL 比标准 ACL 提供了更广泛的控制范围。例如，网 络管理员如果希望做到“允许外来的 Web 通信流量通过，拒绝外来的 FTP 和 Telnet 等通信流量”，那么，他可以使用扩展 ACL 来达到目的，标准 ACL 不能 控制这么精确。即标准 ACL 只能防外网上的攻击，而扩展 ACL 还可防

40、止内网 节点间的安全访问问题。 6.4 ARP 攻击 ARP 攻击就是通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗，能够在网络 中产生大量的 ARP 通信量使网络阻塞，攻击者只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目，造成网络中断或 中间人攻击。 目前解决 ARP 攻击最流行，也是最行之有效的办法是将用户端口 MAC 地 址与 IP 地址绑定。 6.5 DoS 攻击 DoS 是 Denial of Service 的简称，即拒绝服务，造成 DoS 的攻击行为被称 为 DoS 攻击，其目的是使计算机或网络无法提供正常的服务。最常见的

41、DoS 攻 击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络， 使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。 连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都 被消耗殆尽，最终计算机无法再处理合法用户的请求。 在 DoS 攻击中，由于攻击者不需要接收来自受害主机或网络的回应，它的 IP 包的源地址就常常是伪造的。特别是对 DDoS（分布式拒绝服务攻击） ，最后 实施攻击的若干攻击器本身就是受害者。若在防火墙中对这些攻击器地址进行 IP 包过滤，则事实上造成了新的 DDoS 攻击。为有效地打击攻击者，必须设法 追踪到攻击者的真实地址

42、和身份。 7 网络系统设计 7.1 拓扑结构总体设计 从崇庆中学的网络建设设施以及网络应用信息流量的实际情况出发，我们 设计了一套基于千兆以太网主干技术的校园网方案，它以 1000Mbps 以太网交 换技术为主干，可以做到 1000Mbps 全光缆到二级交换机，100Mbps 到桌面。 它能很好地支持崇庆中学的校园内部的网络通信以及与 CERNET 其它节点的信 息交互，而且在性能有很大的优势，而且价格上并不贵多少，是一种比较先进 的校园网络解决方案。 以下是崇庆中学网络拓扑结构及具体配备。 （附图 3） 图 3 崇庆中学网络拓扑结构图 具体配备如下： 中心机房：选择 3com 公司 Switch 4007 作为核心交换机。加入两块 9 口千 兆模块，为整个校园网提供 18 个 1000Base-SX 接口。其中 8 个 SX 接口用来下 连教学楼、图书馆、教师宿舍、学生宿舍、饭堂、办公楼、体育馆、会议楼； 另外三个分别可用于 Web 服务器、数据/数据库服务器、视频服务器；剩余的 7 个备用。 教学楼：教学楼共有 32 个信息点，并且已经联网。教学楼的配线间在四楼。 分别选择 24 口和 12 口的 SuperStack II Switch 3300 两台来进行连接各信息点。 图书馆：图书馆共有 10 个信息