校园网安全 毕业论文.doc

校园网安全目 录第1章 绪论3第2章 校园网安全42.1 校园网概述42.2 校园网安全现状分析52.3 校园网安全威胁6第3章 校园网安全措施93.1 校园网安全管理93.2 校园网安全措施10第4章 校园网安全系统设计124.1 校园网建设需求分析124.2 技术方案154.3 校园网的运行264.4 校园网网络数据库的不安全因素28结束语28参考文献28校园网安全摘 要：校园网的安全十分重要，它承载着学校的教务、行政、后勤、图书资料、对外联络方面的事务处理。网络安全是任何计算机网络建设必须解决的重要问题，校园网建设应把网络管理与安全放在突出地位，对网上信息提供多层次的、基于策略的安全保护措施。关键字：安全产品；internet接入方式；校园网威胁； 绪论随着网络的高速发展，网络的安全问题日益突出，近年来，黑客攻击、网络病毒等屡屡曝光，国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。 随着教育信息化的不断推进，各高等院校都相继建成了自己的校园网络并连入互联网，校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到，随着校园网络规模的急剧膨胀，网络用户的快速增长，尤其是校园网络所面对的使用群体的特殊性（拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠），如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，解决网络安全问题刻不容缓。第2章 校园网安全网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络的生命在于其安全性。因此，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了校园网络管理人员的一个重要课题。网络的发展极大地改变了人们的生活和工作方式，internet更是给人们带来了无尽的便捷。我们的教育也正朝着信息化、网络化发展，随着“校校通”工程的深入开展，许多学校都投资建设了校园网络并投入使用。校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色。但是，在我们惊叹于网络的强大功能时，还应当清醒地看到，网络世界并不是一方净土。“网络天空（worm netsky）”、“高波（worm agobot）”、“爱情后门（worm lovgate）”及“震荡波（worm sasser）”等病毒，使人们更加深刻的认识到了网络安全的重要性。因此，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了校园网络管理人员的一个重要课题。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。2.1 校园网概述信息技术已引起了全面而深刻的社会变革，为此，世界各国政府都对教育的发展给予了前所未有的关注，把信息化教育放到重要的位置上，纷纷提出了本国的信息化教育规划。是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题，而且十分重要的是，学校应该处于影响整个社会深刻变革的中心地位。 因此校园网信息系统的建设，是非常必要的，也是可行的。主要表现在：1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。2、教育信息量的不断增多，使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。4、现代教育改革的需要。5、计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教育信息管理和信息服务是完全可行的。2.2 校园网安全现状分析随着网络技术的发展，可以说现在的大部分学校都建立了校园网络并投入使用，这对加快信息处理、提高工作效率、实现资源共享都起到了无法估量的作用，但在积极发展办公自动化、信息电子化、实现资源共享的同时，网络的安全问题越来越成为一个非常严重的隐患，就好像一颗定时炸弹一样，深深的埋在教育现代化的进程中，如果这一个隐患不除，那么也许有一天，学校信息平台服务器遭到攻击而停止工作、整个校园网络被迫停止、学校积累的各种数据和信息被删除了，导致辛苦积累的大量教育资源被破坏。比如2003年暴发的“震荡波”、“冲击波”、“forma”等病毒，虽没有造成很大的损失，但足以使人民认识到网络安全的重要性。因此，如何在现有的条件下避免这样事件发生，搞好网络的安全工作已成了一个重要课题。1997年开始，我国校园网络建设悄然兴起。全国各省市都把建设校园网作为现代教育的头等大事来抓。1999年9月，教育部决定正式启动国家现代远程教育工程，清华大学、浙江大学、北京邮电大学、湖南大学等高校获准进行试点。目前，这几所院校已初步形成了开办现代远程教育的技术手段。各校在实践中逐渐意识到：一所学校教育质量的好坏，学术水平层次的高低，与教学手段的先进程度有一定关系，教学手段对学校整体的发展有着直接影响。在世界各发达国家，校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设直接相关联。如美国要求所有中小学生都能上网，都能使用电子邮件，并计划将全国122所一流大学与社会广泛连接，构筑一个教育与研究的专用网络；英国提出要在2000年成立网上工业大学，到2002年所有中小学、图书馆、学院和大学全部介入全国的学习网；新加坡提出八岁儿童能阅读，十二岁儿童能上网。1996年，教育部提出要以全国1000所中小学校作为试点，建立起各自的校园网络。截止2000年年初，教育部宣布有500多家已建立。可以说，在国家政策扶持下，我国校园网建设取得了飞速发展。但现实中，各地在建立学校校园网的过程中又存在这样那样的问题，如有的学校建网初期就缺乏整体规划，从而导致主干网和各子网通路不畅，或是导致后期整体效率不高；有的学校缺乏必要的网络建设监督人员，将项目交给一些实力较弱或是责任心较差的公司全权负责，结果导致建网质量偏低，后期维护费用偏大；还有的学校认为校园网就是“一揽子”计划，忽视了后期维护和配套建设工作，从而导致后期预算偏紧，校园网难以正常运作。为了解决上述问题，在建网时应注意：1、校园网建设没有通用方案，每个学校应根据自身实际情况（资金和技术能力），设计自身的校园网络。2、校园网建设是一个周期较长，规模庞大的系统工程，不能“一蹴而就”，更不能只考虑局部建设，而缺乏整体规划。3、重视对教师的培训，避免因教师素质原因导致网络应用效率不高，从而导致资源的浪费。随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏，或被删除或被复制，数据的安全性和自身的利益受到了严重的威胁。校园网也同样不能幸免。黑客入侵校园网的新闻也时有发生，非法更改考试成绩；更改英语全国四、六级统考成绩；更改考研成绩；非法盗取学校招生、分配机密等。综上所述，网络必须有足够强的安全措施。无论是公众网还是校园网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。2.3 校园网安全威胁1、计算机病毒 计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。计算机病毒种类繁多，形形色色，但就已经发现的计算机病毒而言，其危害性主要表现为破坏性、传染性、寄生性、潜伏性和激发性几大特征。破坏性是指计算机病毒可能会干扰软件的运行，或者无限制地侵占系统资源使系统无法运行，又或者毁掉部分数据或程序，使之无法恢复，甚至可以毁坏整个系统，导致系统崩溃。传染性则是计算机病毒能通过自我复制传染到内存、硬盘甚至文件中。寄生性表现为病毒程序一般不独立存在而是寄生在磁盘系统区或文件中。潜伏性则是指计算机病毒可以长时间地潜伏在文件中，在相应的触发机制出现前并不影响计算机，但当被触发后，则后果严重。激发性是指病毒程序可以按照没计者的要求，例如指定的日期、时间或特定的条件出现在某个点激活并发起攻击。计算机病毒的传染性证明其具有传播性，防止病毒传播，首先必须认识其传播途径和传播机理。计算机病毒最初传播主要是通过被病毒感染的软件的相互拷贝、携带病毒的盗版光盘的使用等传播。这时候的病毒传播还是线下传播。随着计算机网络的发展，计算机病毒传播主要是通过磁盘拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等方式实现。病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定的缺陷，尤其是网络系统软件方面存在着漏洞。因此，网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”大肆发起攻击。2、网络攻击校园网面临的另一个安全威胁就是网络攻击。广义的网络攻击包括很多方面。这里结合校园网络安全的特点，重点介绍拒绝服务(dos，daniel of service)攻击。之所以介绍拒绝服务攻击，因为拒绝服务攻击在校园网发牛的更为普遍。这是因为校园网用户集中度高、密度大，为拒绝服务攻击提供了天然条件。加之学生的好奇心的因素，导致拒绝服务攻击发生频率较高，是危害校园网安全的重要类型之一。拒绝服务攻击是通过攻击主机、服务器、路由器等网络设备，导致被攻击网络无法提供服务的一种攻击方式。典型的拒绝服务攻击表现为攻击者向被攻击网络大陆发送数据从而消耗其资源、使得用户无法访问所需信息。拒绝服务攻击的方法多样。攻击者在发起攻击时，可能采取单一手段的攻击模式，也可能采取多种攻击手段联合使用的模式。就其攻击手段来说，主要有以下几种：（1）死亡之ping。早期的网络不支持大包，攻击者通过网络发送大量的数据包到被攻击者网络，造成网络堵塞以致瘫痪。目前的网络已经能够支持大包，这种方式已经不再出现。（2）泪滴攻击。攻击者采用修改包片段字头的方式，使得包无法正确组装，导致网络访问失败的方式。（3 ）udp洪水攻击。攻击利用如chargen和echo等简单的tcpip服务。相互发送大量数据以占满带宽，从而瘫痪网络的方式。（4 ）syn洪水攻击。攻击者通过想服务器发送连续的syn握手信息，以达到瘫痪服务器的攻击方式。（5 ） land攻击。该攻击是让服务器自己向自己发送syn握手信息，已达到瘫痪主机的目的。（6 ）smurf攻击。攻击者将报文地址设为echo地址，这样echo78地址就必须不简短地响应该报文，使得网络带宽被侵占，从而达到瘫痪网络的目的。（7 ）fraggle攻击。fraggle攻击对smurf攻击做了修改。（8 ）电子邮件炸弹。通过向一台服务器大量的不间断的发送电子邮件，起到瘫痪服务器的作用。（9 ）急性消息攻击。借助机器对某些消息为进行错误校验来攻击服务器。（10）分布式拒绝服务攻击。它是威力最强大的拒绝服务攻击方式，其主要采用多台服务器对同一网络同时发起攻击，导致该网络瞬间瘫痪。常见的拒绝服务攻击主要有以上几种，攻击者攻击目的和攻击水平不同，选用的方式不同。无论哪种方式，都对网络安全造成很大的危害。3 、存在的安全隐患。以我校为例，校园网络存在的安全隐患和漏洞有：（1 ）计算机与internet相连，却没有安装相应的杀毒软件及防火墙。（2）使用的操作系统存在安全漏洞，网络木马、病毒和黑客攻击影响到系统的安全。校内大部分计算机系统或多或少都存在着各种的漏洞，校园网络又对社会开放，这样一来只要接入internet的用户就可以对校园的网络服务器进行攻击，而流行于网络上的很多病毒如“震荡波、冲击波、尼姆达”病毒都是利用系统的漏洞来进行病毒传播的，加上带毒的木马程序，一感染便驻留在你的计算机当中，在以后的计算机启动后，木马就在机器中打开一个服务，通过这个服务将你计算机的信息、资料向外传递。（3）目录共享导致信息的外泄， 在校园网络中，利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但可以说几乎所有的人都没有充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。本人曾经搜索过外地机器的一个c类ip网段，发现共享的机器就有十几台，而且许多机器是将整个c盘和d盘进行共享，并且在共享时将属性设置为完全共享，且不进行密码保护，这样只要将其映射成一个网络硬盘，就能对上面的资料、文档进行查看、修改、删除。因而对目录共享安全意识的单薄，会导致信息的外泄。（4）网络安全意识淡薄，校园网络上的攻击、侵入他人机器，盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜，本校应用服务器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试，而其中一大部分的非法访问源自校内，说明校园网络上的用户安全意识淡薄。另外，没有制定完善而严格的网络安全制度，各校园网在安全管理上也没有任何标准，这也是网络安全问题泛滥的一个重要原因。由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。第3章 校园网安全措施3.1 校园网安全管理针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策略：1、规范出口管理，实施校园网的整体安全架构，必须解决多出口的问题。对于出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。2、配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外，通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。3、解决用户上网身份问题，建立全校统一的身份认证系统 。校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。4、严格规范上网场所的管理，集中进行监控和管理 。上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。5、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度。网络安全的技术是多样化的，现状还是“道高一尺，魔高一丈”，因此管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。3.2 校园网安全措施前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。1、杀毒软件杀毒产品的部署。 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。（1）在学校网络中心配置一台高效的windows2000服务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。（2）在各办公室分别安装杀毒软件的客户端。（3）安装完杀毒软件，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。（4）网络中心负责整个校园网的升级工作。2、采用vlan技术vlan技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。vlan技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。3、内容过滤内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以限制外来的垃圾邮件。4、防火墙在与internet相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性：（1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核ip数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。（2）禁止访问系统级别的服务( 如http ， ftp等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。（3）如果在局域网中使用你的机器，那么你就必须正确设置你在局域网中的ip，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。（4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。（5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。5、入侵检测入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员的安全管理能力。提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。6、漏洞扫描随着软件规模的不断增大。系统中的安全漏洞或“后门”也不可避免地存在。因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。7、数据加密数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。8、加强网络安全管理加强网络管理主要是要做好两方面的工作。首先，加强网络安全知识的培训和普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。第4章 校园网安全系统设计4.1 校园网建设需求分析 4.1.1 需求分析局域网最大的特点就是可以实现资源的最佳利用，如:共享磁盘设备、打印机等，从而可以在组建的局域网内部互相调用文件，并可在任何一台共享打印机上进行打印。当然也可以借助wingate或sygate等软件多机共享一台modem上网；或者通过代理服务器连上internet，享受非一般的速度。网卡根据传输速率可分为：10mbps网卡（isa 插口或pci插口）、100mbps pci插口网卡、10mbps/100mbps自适应网卡和千兆网卡。目前10mbps isa插口的网卡仍以其低廉的价格占有市场的一定份额，但由于10mbps isa插口网卡的网络传输速率低，且占用大量的cpu资源，只适应于那些对速度要求不高的局域网，因此用100mbps pci插口的网卡或者10mbps/100mbps自适应网卡，够适应于用户比较多，网上传输的数据量大和需要进行多媒体信息传输的应用环境。bnc口是用细同轴电缆作为传输媒介的一种网卡接口。rj45是采用双绞线作为传输媒介的一种网卡接口，rj45的接口酷似电话线的接口，但网络线使用的是8芯的接头，使用rj45的缺点是架设成本高，但安装和维护较为方便，因此我们一般使用rj45接口。根据微机的数量，利用 hub构成星形结构 ，在工作站较多的情况下 ，会因 hub的处理速率远远低于通信线路的传输速度 ，从而造成瓶颈问题。因此有条件的话可选用交换机。一个 hub所组成的域称为冲突域 ，也就是说 ，网络上任何一台计算机在收发数据时 ，其他所有计算机都能够收到 ，且这些计算机不能同时进行数据的收发 ，否则会发生碰撞(csma/ cd协议能阻止碰撞 )。此外每台接入 hub的计算机 ，都要检测接收到的数据目的地址 ，以确认是否是收到自己的通信信息 ，因此计算机 cpu占用率高 ，全网通信效率低 ，只适用于小型工作组级别应用。学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段；也是一项灵魂工程。其设计方案应注意以下原则：实用性校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。可靠性校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的mtbf(平均无故障工作时间)和极低的mtbr(平均无故障率)，提高容错设计，支持故障检测和恢复，可管理性强。统一性在系统的设计过程中，坚持“三统一”，即统一规划、统一标准、统一出口。先进性在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。4.1.2 关键设备在产品选购之前一定要经过认真的分析，这次参与组网的机构选用美国cisco公司的catalyst 6506作为数据网络系统的内部核心交换机，catalyst 6506是大容量的具有高交换能力的第三层模块化交换机，catalyst 6506的交换容量以及端口数量等技术指标足以满足网络目前的需求。选择catalyst 3548作为外网交换机。可以通过千兆的光纤链路连接到核心交换机，而所有的用户终端可以通过10/100m自适应通道接入到cisco catalyst 3524和catalyst 3548交换机上。选择catalyst 3524和catalyst 3548作为计算机网络系统的二级汇聚交换机，为终端用户提供10/100m到桌面。选择cisco 3662作为计算机网络系统ddn、isdn访问路由器，既可以满足上级单位internet的ddn、isdn接入的需求，又可以满足继续扩展的需求。同时cisco 3662作为计算机网络系统的拨号服务器，提供分支机构的拨号接入。网络核心层：用一台cisco的高端三层交换机catalyst 6506作为整个交换系统的核心，由网络中心网络管理员统一调度，从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。其中配置两个电源同时供电，彼此分担负荷并互为备份。一块ws-x6k-s1a-msfc2交换引擎是交换机的心脏，它控制交换机的寻址、数据转发、模块控制等。 catalyst6506交换机引擎卡上的msfc2 (multilayer switching feature card)卡具有极强的三层交换能力，利用cisco特有的netflow技术，完全满足核心线性三层交换的能力。另一块ws-x6408-gbic 的8端口千兆以太光纤模块将所有的汇聚层设备、接入层设备、网管工作站及网络应用服务器都直接连入到核心层设备上去。 汇聚层：在分配线间分别设立cisco catalyst 3524和catalyst 3548作为计算机网络系统汇聚层设备，汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备catalyst 6506上去，终端用户可以通过超5类utp线缆连接到各层交换机中去，可以实现10/100m的自适应通道连接到局域网中去。接入层：在网络接入层中我们选用了一台cisco 3660路由器作为广域互连和外部用户拨号访问网关，其中主要采用了两种接入方式分别实现各自功能：1、adsl接入方式。2、fttx+lan接入方式。4.1.3 校园网网络拓扑结构根据校园网的需求分析及建设目标，本设计方案采用交换式千兆以太网作为主干，百兆交换到桌面。网络拓扑采用星型树结构，网络中心的交换机使用堆叠方式连接。 图4。1。3图4-1校园网的拓扑4.2 技术方案4.2.1 校园网的建设规划校园网建设作为一项复杂的系统工程，与任何一项工程建设一样，在开始建设前都要根据工程的特点事先进行详细的工程规化与技术需求分析，它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行，因此要特别认真地进行系统规划。对于校园网来说，必须对技术和教育的发展前景有着清醒的认识，只有这样，才能从很好地为校园网进行合理的规划。1、校园网的应用特点 随着现代化教学活动的开展和与国内外教学机构交往的增多，对通过网络进行信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥师生的创造力，校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统，以园区局域网为主，一个基本的校园网具有以下的特点：高速的局域网连接-校园网的核心为面向校园内部师生的网络，因此园区局域网是该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求。信息结构多样化-校园网应用分为电子教学（多媒体教室、电子图书馆等）、学校管理和远程通讯（远程教学、互联网接入）三大部分内容：电子教学包含大量多媒体信息，学校管理以数据库为主，远程通讯则多为www方式，因此数据成分复杂，不同类型数据对网络传输有不同的质量需求。操作方便，易于管理-校园网面向不同知识层次的教师、学生和办公人员，应用和管理应简便易行，界面友好，不宜太过专业化。经济实用-学校对网络建设的投入有限，因此要求建成的网络应经济实用，具备很高的性能价格比。2、校园网的需求分析 在着手设计一个校园网或者计算机局域网时，其主要依据就是网络用户（学校）的需求及将要建设的网络系统的特点。通过对实际需要进行细致的分析，才能确定系统的总体目标和近期目标。需求分析是如何设计、建设和应用校园网的关键。在完成校园网的需求分析之后，就要对整个校园进行物理结构和逻辑结构的设计。校园网具体的需求分析有如下几点：（1）总体目标对于一个校园网来说，系统的总体目标就是在一个时期内，当校园网完全建设好后所要达到的功能和具有的规模。一般来说，一个校园网系统总体目标是分步实施的，包括功能的分步实施和规模的分步实施。主要原因是受资金的限制（这是在建设校园网时普遍遇到的问题）和技术发展的影响（因为随着计算机网络技术的飞速发展，校园网总会有进行升级的需求）。因此我们在设计一个校园网时，要充分考虑到对已有校园网资源的再次利用，又要考虑到将来对校园网进一步的升级改造。（2）近期目标近期目标就是根据实际需求来设计和建设校园网，使建设好后的校园网能满足实际需求所应有的功能和规模，同时又要考虑将来能对校园网进一步的升级改造或者是后期工程的建设，系统近期目标是需求分析的重点。3、网络结构设计校园网络结构设计主要是进行网络的物理设计和逻辑设计，在完成结构设计后才能对网络设备进行选型。网络结构设计对于整个网络系统来说是十分重要的，它设计的成功与否都直接影响网络的使用功能的实现以及网络是否能满足网络的需求。（1）物理设计根据需求分析，可以知道整个校园网信息点的数目，同时也知道这些信息点在整个校园内的分布情况。当我们确定网络控制中心的位置后，就应该考虑如何把校园内的信息点连到网络控制中心以及各种设备的连接速率和网络使用的拓扑结构等，网络系统所使用来连接各种网络设备的传输介质也是需要考虑的问题。（2）逻辑设计网络的逻辑设计主要考虑校园网的ip子网网段的划分，通过实际的网络物理连接，依据实际需求来实现虚拟网络(vlan)的设置。无论从网络的安全性和ip地址的可管理性来考虑，还是从有效利用ip地址资源的角度来考虑，将整个校园网划分为多个子网网段并对ip地址资源进行有效管理都是十分必要的。4、网络技术 学校建设校园网有许多需要考虑的问题，如网络技术的选择、网络拓扑结构的选择、网络产品的选择、网络服务器的选择以及操作系统、网络应用服务、网络管理及网络安全等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术的选择。（1） 网络技术类型网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等原则，并充分考虑性能价格比和今后技术的发展。要求系统兼容性好，易于平滑连接，避免网络瓶颈。当前达到或超过100mbps的高速网络技术主要有：快速以太网、fddi、千兆以太网、atm交换网。fddi是几年前十分流行的高速网络技术，虽然技术十分成熟，但网络管理复杂且成本较高，现已被逐渐淘汰。atm是比较先进的网络技术，它采用信元交换方式，以很高的速率在任意两点间建立直接的虚拟通信链路，有较强的传输质量控制能力，特别适合于多媒体信息的传输。但在实际使用事因端口价格过高，难以大规模采用。以太网是种成熟的、质优价廉的网络技术，其标准已制定完备。经过多年发展，形成了完善的10mbps、100mbps和千兆以太网技术，同时还由共享式的网络发展成为交换式的以太网，具备与fddi、atm网络融合的多种方法与规范。从技术上看，以太网技术还有不断发展的余地，是一种能够到长期使用和发展的技术，另外以太网还可以在不同速率之间平滑升级，不会有网络协议和规范上的障碍。综全以上对高速网络技术的分析，我认为在当前校园网的建设中应以建设和使用100mbps快速以太网为主，在局部主干上使用千兆技术进行连接。（2） 网络拓扑的选择当前在局域网的建设中，主要应用的拓扑结构有总线型、环型和星型。在总线型网络中，由于各计算机共享一条通信电缆，而且不需要额外的通信设备，因此，可以节约组网费用。但是其缺点也是十分明显的，网络中的任何一个节点出现故障，都将导致整个网络瘫痪，这与在网络建设要求网络具有高可靠性和沉佘性不相符，因此使用总线型拓扑结构建设的网络已趋于淘汰，在新的网络建设中不应再使用。环型拓扑结构是令牌环网络技术所常用的一种网络拓扑结构，环型结构的缺点与总线型的缺点是差不多的，也是一种不太常用的网络拓扑。当前在各种网络系统的建设中使用最多的是星型拓扑结构，虽然星型拓扑结构的网络在布线和网络设备的花费多一些，不过目前各种硬件设备已经非常便宜了，这种花费是可以承受的。因而它的优点也是十分突出的，主要是当网络中某个节点出现故障时不会影响整个网络的运行，这使得网络从总体上可以提供高度的可靠性和沉佘性，这个性能十分适合校园网这种应用环境，也是校园网的建设中必须要求做到的。图4-2网络拓扑结构4.2.2 组网技术 组网技术就是在有了网络的设计方案和各种网络设备之后，怎样把不同的网络设备按设计方案的要求连接起来所用到的各种技术。组网络技术在整个网络的建设过程中是最重要的阶段之一，它直接关系到建设出来的网络系统能否达到设计要求，能不能投入使用这样严重的问题，如在组网中有不按规范和标准来施工的话，建出的网络系统的质量是达不到设计要求，是不能满足用户需求的。组网技术主要包括：布线系统、internet接入技术、防火墙等。1、布线系统设计结构化布线系统的组成：网络系统的正常运行主要取决于网络设备和网络线路，对于网络系统来说，采用结构化布线系统能够很好地满足需求，特别是从计算机网络系统可靠运行的角度来说，布线系统的可靠性决定了网络系统通信信道的可靠性，它是计算机网络系统可靠运行的前提。整个布线系统主要包含光纤布线和室内综合布线系统。布线系统的主要是依据建筑物的分布图，国际商务建筑线缆标准（tia/ela 586a ）和建筑与建筑物综合布线系统工程设计规范来设计的。使用结构化布线工程设计的布线系统具有实用性、灵活性、可扩充性以及真正的开放性。一次性布线，可保证在十五到二十年之内，其系统性能不会下降，功能也不会落后，真正达到一次投资，长期受益。建成后的结构化布线系统将具有满足多种计算机网络系统（10/100/1000m switch、fddi、atm）对线路的要求，不仅能实现计算机端口的灵活配置，而且方便计算机网络的平滑升级和扩充。光纤布线主要是用在建筑物之间或楼层之间，这些建筑的距离一般都比较远，超出了双绞线的连接距离，具体情况要看信息点的分布和数量以及对网络带宽的要求来决定。室内布线采用5类（超5类）非屏蔽双绞线进行布线。整个布线工程分为工作区子系统、水平子系统、垂直子系统，建筑子系统和管理子系统来施工的。 工作区子系统由终端设备连接到信息插座的连线和信息插座所组成，通过插座即可以引出电话也可以连接数据终端，在rj-45插座内不仅可以插入数据通信通用的rj-45接头，也可以插入电话机专用的rj-45插头。 水平子系统是将楼层配线间路延伸到用户工作区，并连向各个信息插座。线缆由配线间进入房间后，可走天花板或桥架，以走暗线的原则走线。电缆桥架应高出地面2.2米以上，桥架顶部距顶棚或其他障碍物不应小于0.3m。桥架宽度不宜小于0.10m，桥架内横断面的填充率应小于50%。结构化系统的布线是放射型的，线缆量较大，所以线槽量的计算是很重要的，按照标准的线槽设计方法，应根据水平线的外径来确定线槽的容量，即：线槽的横截面积=水平线截面积之和乘以3 。 垂直主干子系统用于连接楼层配线室，垂直干缆系统的安装主要是由一连串通过地板对准配线间的垂直竖井组成的，可以连接搂层间的配线室。垂直子系统的连接可用多根双绞线形成集束穿过竖井进入水平子系统，外用线槽以保护和固定。 建筑子系统是在各栋建筑物之间的相互连接，组成一个较大的建筑群综合布线系统。这一部分布线系统可以采用架空电缆、直埋电缆或地下管道内穿电缆，或者是这三者的任何组合，具体使用看施工现场而定。建筑子系统一般都采用光纤进行连接。 管理子系统设置在配线设备和机房内，管理子系统由配线间、输入/输出（i/o）设备等组成。管理子系统提供了与其他子系统连接手段，整个综合布线系统及其连接的设备、器件等构成一个有机的整体。管理子系统内有部分主干布线和部分水平线的机械终端，为无源或有源或用于两个系统连接的设备提供设施。2、布线系统的测试 在结构化布线完工后，必须对整个系统进行测试后才能投入使用，以保证系统能达到设计要求。测试主要依据tia/eia 568a以及建筑及建筑群结构化布线系统工程验收规范来进行，测试内空包括线缆的长度、接线图、信号衰减、近端串扰、信噪比等。其中最重要的技术指标是衰减端串扰，它直接影响着双绞线的传输性能。 4.2.3 网络操作系统网络操作系统nos（network operating system）是在计算机操作系统的基础上，加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议，是使网络上各计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集合。目前主要的网络操作系统有netware、unix、linix和windows nt/2003。在校园网中一般情况下都用windows nt/2003网络操作系统，因为它是图形化的操作界面、使用简单、安全可靠，以及和普及率很高的windows系列单机操作系统的兼容性很好。 4.2.4 internet接入技术如果校园网不能和internet连接的话，就不能是一个完整的网络，也不能充分利用internet网上的大量信息资源。因此校园网和internet的连接技术就显得十分重要了，它关系到校园网与外部网络能能否进行可靠的连接。当前适合校园网与internet的宽带连接方式主要有adsl和光纤专线接入。adsl是一种非对称的宽带网络数据传输技术，它的一个明显优势是经济上实用。adsl宽带线路通过adsl modem接入internet代理服务器的网卡上的，不过adsl专线的接入是用传统的模拟电话双绞线线路布线不很规范，线路质量不够好，达不到高速传输的要求，目前它只用在一些中小型网络。光纤接入是一种在校园网建设中普遍使用的一种技术，它是通过构建专用的internet服务器来实现的，在服务器上运行各种网络服务软件，为校园内部的用户提供internet的接入服务。光纤接入的优点是可提供比较高的网络带宽和稳定性，但它的连接较为复杂。4.2.5 防火墙技术 防火墙是计算机网络上一类防范措施的总称，它使得内部网络与internet之间或其它外部网络互相隔离、限制网络互访，用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的则可以用主机甚至一个子网来实现，设置防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理。防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视internet安全和预警的方便端点。由于网络具有天生的开放性，所以有许多防范功能的防火墙也有一些防范不到的地方，如防火墙不能防范不经由防火墙的攻击和感染了病毒的软件或文件的传输。因此，防火墙只能是一种整体安全防范政策的一部分。实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在ip层实现的，它的原理是根据报文的源ip地址、目的ip地址、源端口、目的端口报文信息来判断是否允许报文通过，因此它可以只用路由器完成。在用应用层网关实现的防火墙有多种方式，如应用代理报务器和网络地址转换器等。在校园网中大部分的应用都是内部网络用户，而内部用户通常具有较大的访问权限，因此局域网络系统的安全是整个网络系统安全中最重要的部分。但相对而言，内部的安全问题是可以预测的，并可据此制定相应的防范措施。4.2.6 建网方案根据校园网络建设应遵循原则的介绍和各种网络技术的分析。总的来说，交换式快速以太网是目前成熟技术中最先进、最实用的。所以决定选择光纤交换式快速以太网作为校园网主干，系统总体上采用国际上流行的tcp/ip协议，并兼顾ipx协议，采用开放体系及在各种应用实践中得到检验的快速以太网技术和产品。为了加强对分布式多媒体交互教学的探索，校园网可分为三个层次结构：主干网、广域网和内部局域网。主干网采用1000mbps快速以太网技术，内部局域网与主干网之间用以太网交换机进行互联，根据用户的需求，网络建设目标，采用交换式千兆以太网作为主干网，网络拓扑结构为星型，这样可有利于提高网络的高可靠性，便于维护和管理。采用交换式快速以太网做主干有以下原因：速度快，安装、维护简单。主干速度为1000mbit/s交换，能够满足网络应用层对主干网宽要求。基于标准技术，使用了以太网mac层上定义的csma/cd协议，可迅速利用现有设备接入，网络升级方便，性能价格比高。建设目标：构建普通学校校内intranet环境，并通过代理服务器接入internet，实现与internet 交流。建设校园网络中心，并通过一定的网络拓扑结构构建连接校园网络中心、计算机教室、教师备课机房、多媒体教学活动室、图书馆、校长室、教导处、财务处等的校园网，使之能通过一定的应用软件完成行政办公管理、教师备课授课、学生学习交流、校内信息公告、远程电子通讯、internet通讯浏览等基本功能。1、网络组成（1）网络主干基于当前信息技术发展形势及经济实用可持续发展原则，建议构建100m带宽的快速以太网，根据实际工作站信息点到网络中心的距离，选择适当的传输媒介进行网络综合布线。一般来讲，在同一幢大楼内距离不超过100米均可铺设超五类非屏蔽双绞线，而楼与楼之间的连接主干线原则上应架设光缆，以满足今后发展的需要。（2）网络中心也就是校园网中心机房，应配置有各种系统服务器（如：web服务器、email服务器、代理服务器）、文件服务器（数据库服务器）、中心交换机、配线机柜等。如刚使用时数据流量不大，可只配置一台服务器，视今后网络发展情况再作扩充。为保证网络运行稳定可靠，网络中心的设备选型应选择信誉可靠、质量上等、性能稳定、扩充性优良的专业产品。服务器选用ibm等品牌的专业服务器，如x236 8841-icc，另加配可读写光驱，用作系统备份。交换器可选用、cisco产品，如cisco 6065等。服务器网卡则可选配3com 的 3c905b-tx 100mb网卡。为使校园网能访问internet，网络中心的代理服务器可连接asdl等通讯线路。（3）计算机教室配置400台左右586以上微机，通过星型网络拓扑结构将所有微机连接到可堆叠交换机上，再通过交换机