校园网构建需求分析设计方案安全防范.doc

目 录排版说明：3一实训报告内容摘要4二小组成员及工作分工4三实训报告内容4(一)、场景及网络情况4(二)、计划（搭建局域网）41、结构化布线42、技术需求4(三)校园网拓扑图4（四）校园网功能51、校园办公系统52、电子图书馆系统63、校园网管理系统64、网络资源共享6（五）设计原则61.实用性和经济性62.先进性和成熟性63.可靠性和稳定性64.安全性和保密性75.可扩展性和可管理性7（六）、设备的选择71交换机的选择72服务器及PC的选择73传输介质的选择84、信息系统集成85、安全系统8(七)、实施可行性81、布线结构92、设备的选择93、防火墙技术94.计算机病毒105. 网络软件运行平台106.身份验证11四.设计方案11(一)、进行校园网组建技术的选择。111、网络技术类型112、 网络拓扑的选择11（二）、布线系统设计与测试121、布线系统的设计122、布线系统的测试13（三）、网络VLAN的设计141、方便管理。142、易于实施。143、VLAN间路由采用三层交换设备进行VLAN路由。14（四）、组网技术151、网络技术介绍15（五）、安全面临的威胁与防范措施181、 校园网上的安全威胁182、校园网的访问控制策略18（6）、资源共享的问题21五所用产品的型号及功能22（一）.交换机的型号与功能221、交换机华为3Com H3C S5510-24P (AC)22（2）、华三s5500-20tp-si三层交换27（二）、路由器的型号与功能281、CISCO 2610XM28（三）、服务器的型号与功能30（1）HP ProLiant DL580 G7(QK181A)详细参数30（四）、防火墙的型号与功能341、锐捷网络RG-WALL 100034六成本预算35七遇到问题及解决方法35八总结36九主要参考文献及资源36排版说明：一级标题：一二级标题：（一）三级标题：1四级标题：教材中一级标题：黑体小三号；二级标题：黑体小四号；其他标题：宋体小四加粗；正文：宋体小四号。行间距1.25倍。（）一 实训报告内容摘要网络安全搭建方案设计是完成局域网管理与信息安全课程教学后进行的综合应用该课程基本知识和技能的一个教学环节，通过课程综合实训目的是培养学生综合运用所学的基础理论知识、技术基础知识、专业知识解决计算机网络搭建中的实践问题，掌握网络搭建流程，掌握网络安全的基本方法及技巧，重点提高学生实际操作能力，培养学生的网络独立设计，实现与管理的基本训练。本次实训要求设计计算机网络安全搭建方案。包括前期的网络基础搭建，实际中的软、硬件系统安装规范，出现问题后如何排错。结合实验室现有的设备-H3C网络安全产品。将客户想要实现的功能实现。熟悉设备的配置命令。各个小组能够相互协调，互相配合，完成任务。二小组成员及工作分工三实训报告内容(一)、场景及网络情况我们组建的是一个校园网场景：三栋教学楼、一栋办公楼网络情况：每栋楼的一楼分别用一间教室作为这栋楼的中心机房，用1号楼的第一层的某个房间作为整个网络的中心机房，此机房分别与各栋楼的中心机房相连，形成整个校园网。每栋楼分别用vlan划分物理局域网形成独立的个体，每栋楼的每个机房也用vlan技术形成自己的物理小型局域网。(二)、计划（搭建局域网）由于校园网网络特性（数据流量大，稳定性强，经济性和扩充性）和各个部门的要求（制作部门和办公部门间的访问控制），我们采用下列方案：网络拓扑结构选择：网络采用星型拓扑结构。它是目前使用最多，最为普遍的局域网拓扑结构。节点具有高度的独立性，并且适合在中央位置放置网络诊断设备。1、结构化布线 综合布线系统是建筑物或建筑群内的传输网络，它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接，也能使这些设备与外部通信网络相互连接。分析布线系统的节点数，在各个布线子系统中需要什么样的线连接起来2、技术需求 保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。如果现有技术不能合理保证在将来网络升级后还能够使用，那么将会带来极大的资金浪费。目前比较常见的主干网技术有FDDI、ATM、快速以太网和千兆以太网等。其中具有交换功能的快速以太网，支持VLAN，并容易升级到千兆以太网和ATM，由于性能优越，价格适中，建议采用快速以太网作为校园网的主干技术。(三)校园网拓扑图（四）校园网功能1、校园办公系统 在学校的日常工作过程中，有越来越多的工作方式和流程是可以通过网络来简化并提高效率的。例如： 系统登录：系统用户登录本系统必须进行身份校验，不同身份的网络用户对本系统具有不同权限的信息操作权，对系统的信息流程，学校可根据自身实际的业务流程自行设置。成绩管理：包括与每次考试相关的成绩信息录入、修改、浏览、查询等功能，具有成绩管理功能操作权限的用户可输入、输出与成绩相关的信息，如可打印输出学籍卡片、单科成绩、学期成绩，也可以按指定条件（如学号、名次）进行排序后打印输出。不同权限的网络用户只能对系统分配功能权限进行操作，若网络用户是学生，按照系统默认的权限设置只能浏览成绩信息，而不能对信息作出修改。学籍管理：包括新生信息管理、新生分班、学生信息管理等。班级管理：主要对学校班级信息进行管理，为跨学年提供进行自动升级操作，系统也可对部分学生作留级处理。 (1).校内公文和各种通知的流转（即办公自动化）。传统的打印、张贴等方式已经显得复杂和没有效率，利用网络可以快捷和便利的完成这类工作，使公文和通知可以在任何时候、任何地点被看到，摆脱时间和地点的限制。 (2).教务信息管理（即信息服务、信息共享等）。包括对各种和教务相关的信息，如课程安排，任课教师安排等。利用网络来对这些信息进行管理，比传统的方式更为方便和快捷。 此外，通过办公子网能提供面向学校的各级领导及各职能部门的多种服务（例如办公管理、思教管理、教务管理、总务管理、财务报表管理等），促进学校现代化管理的实现。 2、电子图书馆系统（1）.图书查询和管理（2）.通过IC卡可以对学校阅览室进行有效的管理 3、校园网管理系统 系统登录、成绩管理、学籍管理等等4、网络资源共享网上教学、软件下载、精品课程、教务管理、图书馆等。网格的出现为实现网络资源共享提供了技术支持。网格是一种将地理上分布的、异构的计算及存储资源和设备通过高速网络连接起来。形成高性能的计算环境，从而实现广泛资源共享的新技术。校园网格与一般的计算网格、信息网格不同，其资源提供者是各院系、部的各类资源，包括集群、数据库、高性能计算机、个人PC 机、存储设备等。用户一般是学校的教职员工和学生。他们通过校园网格共享计算、信息、存储、专家、数据、教学等资源。（五）设计原则校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。我们遵循以下的原则进行网络设计：1.实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。2.先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。3.可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。4.安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。5.可扩展性和可管理性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备（六）、设备的选择 1交换机的选择选择交换机设备时，用户一定要考虑管理的问题。尤其是针对规模较大的校园网络结构中，管理型的交换机被普遍使用。如果建立的只是小型网络，不需要使用中心网络管理机制，应该购买普通无管理能力的集线器，节省这笔资金。 二级交换机起着“承上启下”的作用，一端连接到中心交换机，另一端连接到各网络节点，PC、终端用户设备连接到这些网络节点，组成子系统。网络节点根据子系统的应用需求，在数据量大、实时传输、多媒体设计等场合，选择交换机作为网络节点。 2服务器及PC的选择 服务器和PC是实现网络操作，网络应用的窗口和平台。 针对学校校园网用户而言，对此设备的选择应该充分考虑可管理性、稳定性、安全性、综合性能价格比等因素。 WEB服务器也称为WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服 务。 (1)应用层使用HTTP协议。 (2)HTML文档格式。 (3)浏览器统一资源定位器(URL)。FTP工具一般分为FLASHFTP、LEAPFTP、CuteFTP，合称FTP三剑客，以汉化版和破解版居多。国产简体中文版目前有8UFTP。 其中，FLASHFTP是速度最快的，但是访问某些教育网站不稳定，还有事出现传大文件卡死的现象，但是为了速度，这点小小的不足可以忽略；LEAPFTP是最稳定的，访问所有网站都比较稳定，而且绝对不会卡死，但是速度有所不足；cuteFTP有点在于功能繁多，速度和稳定性介于前面的二者之间，使用者可以按用途和喜好来选择它们。DNS服务器的功能是ip与域名之间的互转3传输介质的选择 在中心交换机到各子网的传输介质选择方面，应以应用需求为主，适当考虑成本。由于校园网分布范围较广，在中心交换机到二级交换机之间，线缆以多模光纤为主；如果距离超过多模光纤的极限，需要采用单模光纤作为传输介质。 4、信息系统集成 是指利用网络体系控制信息的有序流动，实现信息资源的共享，更有效地形成、整理、使用各类信息，分成内部信息建设、外部信息建设。内部信息是指封闭在校园内部的各类信息资源，对内部信息的建设包括校园办公系统、校园内部主页、内部电子邮件、多媒体教室、电子图书馆系统、校园IC卡管理系统、内部信息服务系统等；外部信息是指与校园外部相互交流的信息，对于外部信息的建设包括外部主页、电子邮件、远程教学等学等。5、安全系统（1）、认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈（2）、网络安全需求l 防止IP地址冲突l 非法站点访问过滤l 非法言论的准确追踪l 恶意攻击的实时处理l 记录访问日志提供完整审计（3）、网络管理需求l 需要方便的进行用户管理，包括开户、销户、资料修改和查询l 需要能够对网络设备进行集中的统一管理l 需要对网络故障进行快速高效的处理(4)要求1） 网络系统的需求分析2） 逻辑网络设计（比如拓扑结构、IP地址规划等）3） 物理网络设计（比如结构化布线、网络机房环境、设备选型、供电系统等）4） 网络安全设计5） 网络设备安装调试与测试验收6） 网络系统验收7） 用户培训和系统维护8） 工期及费用(七)、实施可行性1、布线结构一个良好的综合布线系统对其服务的设备有一定的独立性，并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、PC和主机以及公共系统装置。一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统。 校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统，集中管理。 对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器、视频服务器等），中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。 楼内布线包括水平布线和主干布线。水平系统采用超五类双绞线，新的楼宇采用暗装墙内的方式，旧的楼宇采用PVC线槽明装的方式。2、设备的选择 根据每个机房的大小及其应用分为以下几个部分 学生机房：大机房pc机100台，交换机6台，服务器三台 中型机房pc机50台，交换机3台。 中心机房包括：服务器 路由器 交换机防火墙3、防火墙技术防火墙是计算机网络上一类防范措施的总称，它使得内部网络与Internet之间或其它外部网络互相隔离、限制网络互访，用来保护内部网络。实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在IP层实现的，它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报文通过，因此它可以只用路由器完成。在用应用层网关实现的防火墙有多种方式，如应用代理报务器和网络地址转换器等。在校园网中大部分的应用都是内部网络用户，而内部用户通常具有较大的访问权限，因此局域网络系统的安全是整个网络系统安全中最重要的部分。但相对而言，内部的安全问题是可以预测的，并可据此制定相应的防范措施。支持病毒扫描：是否支持防病毒功能，如扫描电子邮件附件中的DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。提供内容过滤：是否支持内容过滤，信息内容过滤指防火墙在HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息：JavaApplet、Javas cript、ActiveX和电子邮件中的Subject、To、From域等。能防御的DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。 4.计算机病毒 黑客以及电子邮件应用风险防控设计 我们采用防病毒技术，防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。第一，防病毒技术。病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的变化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTERNET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。5. 网络软件运行平台(1) 服务器操作系统：由于美国Microsoft公司推出的网络操作系统Windows 2003具有与有着广泛应用基础的在Windows 2003服务器上，对直接连接到 Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解调器连接到 Internet。Web服务系统：选用Windows NT下的IIS信息服务系统。另外也有许多免费的BBS电子公告、中文论坛、网络聊天软件可以在NT下安全运行。(3) 数据库软件：建议采用“甲骨文的”oracle数据库软件。(4) 电子邮件系统：可采用Microsoft公司的Exchange Server,为简便使用也可采用一些共享软件如Sharemail、Imail等，这些软件都是基于标准SMTP/P3P3 /IMAP4/LDAP协议的邮件服务器软件，用户界面简单直观，非常易于管理。(5) 网页维护制作软件：Macrosoft公司的FrontPage、Macromedia 公司的Dreamweaver、Flash都是很好选择。(6) 多媒体课件制作软件：Macromedia 公司的Authorware、 Director，洪图多媒体著作工作等都有着非常友好的界面，使用方便，拥有着大量的用户，推荐使用。(7) 代理服务软件：可采用WinGate3.05 for NT，这是一个功能完善、性能稳定的代理服务软件，非常好用。(8)工作站操作系统： Windows XP Windows 2003(9) 校园办公管理用软件：选用省教委统一推荐使用的“共创校园办公管理信息系统”网络版。(10) 工作站其它应用软件：文字处理、数据表格、图形处理、浏览器、电子邮件等都有许多大家熟悉并经常使用的软件。随着网络使用的日益广泛，今后校园网络在此基础上还将不断扩充，覆盖面将越来越广，如视频点播系统、远程登录管理系统、各类收费服务IC卡系统等。6.身份验证校园网上存在着各种应用。传统情况下,我们访问每个应用都得重复登录、认证。技术。这种技术保证用户在访问多个应用系统时不需重复登录。既方便了用户,又统一了网络资源管理。另一方面,这套技术利用了LDAP协议的特点,是以LDAP协议为基础的。四.设计方案(一)、进行校园网组建技术的选择。1、网络技术类型网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等原则，并充分考虑性能价格比和今后技术的发展。要求系统兼容性好，易于平滑连接，避免网络瓶颈。当前达到或超过100Mbps的高速网络技术主要有：快速以太网、FDDI、千兆以太网、ATM交换网。FDDI是几年前十分流行的高速网络技术，虽然技术十分成熟，但网络管理复杂且成本较高，现已被逐渐淘汰。ATM是比较先进的网络技术，它采用信元交换方式，以很高的速率在任意两点间建立直接的虚拟通信链路，有较强的传输质量控制能力，特别适合于多媒体信息的传输。但在实际使用事因端口价格过高，难以大规模采用。以太网是种成熟的、质优价廉的网络技术，其标准已制定完备。经过多年发展，形成了完善的10Mbps、100Mbps和千兆以太网技术，同时还由共享式的网络发展成为交换式的以太网，具备与FDDI、ATM网络融合的多种方法与规范。从技术上看，以太网技术还有不断发展的佘地，是一种能够到长期使用和发展的技术，另外以太网还可以在不同速率之间平滑升级，不会有网络协议和规范上的障碍。综全以上对高速网络技术的分析，我认为在当前校园网的建设中应以建设和使用100Mbps快速以太网为主，在局部主干上使用千兆技术进行连接。2、 网络拓扑的选择当前在局域网的建设中，主要应用的拓扑结构有总线型、环型和星型。在总线型网络中，由于各计算机共享一条通信电缆，而且不需要额外的通信设备，因此，可以节约组网费用。但是其缺点也是十分明显的，网络中的任何一个节点出现故障，都将导致整个网络瘫痪，这与在网络建设要求网络具有高可靠性和沉佘性不相符，因此使用总线型拓扑结构建设的网络已趋于淘汰，在新的网络建设中不应再使用。环型拓扑结构是令牌环网络技术所常用的一种网络拓扑结构，环型结构的缺点与总线型的缺点是差不多的，也是一种不太常用的网络拓扑。当前在各种网络系统的建设中使用最多的是星型拓扑结构，虽然星型拓扑结构的网络在布线和网络设备的花费多一些，不过目前各种硬件设备已经非常便宜了，这种花费是可以承受的。因而它的优点也是十分突出的，主要是当网络中某个节点出现故障时不会影响整个网络的运行，这使得网络从总体上可以提供高度的可靠性和沉佘性，这个性能十分适合校园网这种应用环境，也是校园网的建设中必须要求做到的。局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。 优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。（二）、布线系统设计与测试1、布线系统的设计结构化布线系统的组成：网络系统的正常运行主要取决于网络设备和网络线路，对于网络系统来说，采用结构化布线系统能够很好地满足需求，特别是从计算机网络系统可靠运行的角度来说，布线系统的可靠性决定了网络系统通信信道的可靠性，它是计算机网络系统可靠运行的前提。整个布线系统主要包含光纤布线和室内综合布线系统。布线系统的主要是依据建筑物的分布图，国际商务建筑线缆标准（TIA/ELA 586A）和建筑与建筑物综合布线系统工程设计规范来设计的。使用结构化布线工程设计的布线系统具有实用性、灵活性、可扩充性以及真正的开放性。一次性布线，可保证在十五到二十年之内，其系统性能不会下降，功能也不会落后，真正达到一次投资，长期受益。建成后的结构化布线系统将具有满足多种计算机网络系统（10/100/1000M Switch、FDDI、ATM）对线路的要求，不仅能实现计算机端口的灵活配置，而且方便计算机网络的平滑升级和扩充。光纤布线主要是用在建筑物之间或楼层之间，这些建筑的距离一般都比较远，超出了双绞线的连接距离，具体情况要看信息点的分布和数量以及对网络带宽的要求来决定。室内布线采用5类（超5类）非屏蔽双绞线进行布线。整个布线工程分为工作区子系统、水平子系统、垂直子系统，建筑子系统和管理子系统来施工的。 工作区子系统由终端设备连接到信息插座的连线和信息插座所组成，通过插座即可以引出电话也可以连接数据终端，在RJ-45插座内不仅可以插入数据通信通用的RJ-45接头，也可以插入电话机专用的RJ-45插头。水平子系统是将楼层配线间路延伸到用户工作区，并连向各个信息插座。线缆由配线间进入房间后，可走天花板或桥架,以走暗线的原则走线。电缆桥架应高出地面2.2米以上，桥架顶部距顶棚或其他障碍物不应小于0.3m。桥架宽度不宜小于0.10m，桥架内横断面的填充率应小于50%。结构化系统的布线是放射型的，线缆量较大，所以线槽量的计算是很重要的，按照标准的线槽设计方法，应根据水平线的外径来确定线槽的容量，即：线槽的横截面积=水平线截面积之和*3 。 垂直主干子系统用于连接楼层配线室，垂直干缆系统的安装主要是由一连串通过地板对准配线间的垂直竖井组成的，可以连接搂层间的配线室。垂直子系统的连接可用多根双绞线形成集束穿过竖井进入水平子系统，外用线槽以保护和固定。建筑子系统是在各栋建筑物之间的相互连接，组成一个较大的建筑群综合布线系统。这一部分布线系统可以采用架空电缆、直埋电缆或地下管道内穿电缆，或者是这三者的任何组合，具体使用看施工现场而定。建筑子系统一般都采用光纤进行连接。管理子系统设置在配线设备和机房内，管理子系统由配线间、输入/输出（I/O）设备等组成。管理子系统提供了与其他子系统连接手段，整个综合布线系统及其连接的设备、器件等构成一个有机的整体。管理子系统内有部分主干布线和部分水平线的机械终端，为无源或有源或用于两个系统连接的设备提供设施。 2、布线系统的测试在结构化布线完工后，必须对整个系统进行测试后才能投入使用，以保证系统能达到设计要求。测试主要依据TIA/EIA 568A以及建筑及建筑群结构化布线系统工程验收规范来进行，测试内空包括线缆的长度、接线图、信号衰减、近端串扰、信噪比等。其中最重要的技术指标是衰减端串扰，它直接影响着双绞线的传输性能。（三）、网络VLAN的设计在校园网络的整个网络规划当中，VLAN 的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：VLAN 划分，可以避免广播风暴，在骨干网络中尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后，VLAN 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。VLAN 划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。网络管理系统采用完全独立的IP子网和VLAN，实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。VLAN 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在汇聚设备上实行，分流核心交换机的三层交换，优化了组网。 根据以往网络管理经验和骨干网络网络建设的实际情况，方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有：1、方便管理。为了更好的进行VLAN规划的实施，因此在网络实施前期，要对网络中不同区域的VLAN设置进行详细的规划，细化到接入层网络，这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话，避免由于前期配置设备时复杂烦琐，而且由于相同的用户群体可能在不同的物理位置，导致造成整个校园网络中VLAN划分复杂，减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划，这样既可以减少广播域，又达到划分VLAN，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。2、易于实施。按群体划分VLAN在工程实施中就十分的方便，不会造成VLAN划分复杂失误而使得网络出现不通的现象，便于工程快速实施和网络中心整体规划。3、VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问，对于学校重要网络资源，需要进行权限访问的时候，建议采用专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL）来进行访问权限设定，保障重要资料不被非法访问。（四）、组网技术 组网技术就是在有了网络的设计方案和各种网络设备之后，怎样把不同的网络设备按设计方案的要求连接起来所用到的各种技术。组网络技术在整个网络的建设过程中是最重要的阶段之一，它直接关系到建设出来的网络系统能否达到设计要求，能不能投入使用这样严重的问题，如在组网中有不按规范和标准来施工的话，建出的网络系统的质量是达不到设计要求，是不能满足用户需求的。组网技术主要包括：布线系统、Internet接入技术、防火墙等。1、网络技术介绍（1）、以太网（Ethernet）以太网是应用最为广泛的网络技术，它基于CSMA/CD （冲突检测媒体访问/载波侦听）机制，采用共享介质的方式实现计算机之间的通讯，带宽为10Mbps 。CSMA/CD 技术采用总线控制技术及退避算法。当一个站点要发送时，首先需监听总线以决定介质上是否存在其它站的发送信号。如果介质是空闲的，则可以发送，如果介质是繁忙的，则隔一次间隔后重发，即采用某种退避算法。早期的以太网由于它介质共享的特性，当网络中站点增加时，网络的性能会迅速下降，另外缺乏对多种服务和QoS 的支持。随着网络技术的发展，现在的以太网技术已经从共享技术发展到交换技术，交换以太网的出现使传统的共享式以太网技术得到极大改进。共享式局域网上的所有节点（如主机、工作站）共同分享同一带宽，当网上两个任意节点交换数据时，其他节点只能等待。交换以太网则利用网络交换机在不同网段之间建立多个独享连接(就象电话交换机可同时为众多的用户建立对话通道一样)，采用按目的地址的定向传输，为每个单独的网段提供专用的频带（即带宽独享），增大了网络的传输吞吐量，提高了传输速率，其主干网上无碰撞问题。虚拟网技术与交换技术相结合，有效地解决了广播问题，使网络设计更加灵活，网络的管理和维护更加方便。交换式以太网克服了共享式以太网的缺点，并借助于IP 技术的新发展，如IP Multicast等技术的推出使得交换以太网可以支持多媒体技术等多种业务服务。（2）、 快速以太网(Fast Ethernet)快速以太网技术仍然是以太网，也是总线或星型结构的网络，快速以太网仍支持共享模式，在共享模式下仍采用的是广播模式（CSMA/CD 竞争方式访问，IEEE 802.3 ），所以在共享模式下的快速以太网继承了传统共享以太网的所有特点，但是带宽增大了10 倍。快速以太网的应用主要是基于它的交换模式。在交换模式下，快速以太网完全没有CSMA/CD 这种机制的缺陷，除了上面谈到的交换以太网的优点以外，交换模式下的快速以太网可以工作在全双工的状态下，使得网络带宽可以达到200Mbps 。因此快速以太网是一种在局域网技术中性能价格比非常好的网络技术，在支持多媒体技术的应用上可以提供很好的网络质量和服务。（3）、光纤分布式数据接口（FDDI）FDDI是高性能的高速宽带LAN技术，其标准为ANSI 3T9.5/ISO9384 。FDDI 物理结构是二个平行的、相对作反向传输的双环结构网，它采用定时的令牌传送协议。因此，它可以被看作是一个令牌环网协议的高速版本。但与Token Ring技术不同的是当其发送完帧后就立即产生新的令牌帧，故其利用率较高，其运行速度可达100Mbps 。其双环结构有非常好的冗余特性。FDDI 有两种接入方式：双端口连接站（DAS ），单端口连接站（SAS ）。DAS 方式比较贵，但有冗余功能；SAS需要有源集中器，且无冗余功能。FDDI 有几个通过带宽分配来实现的优先机制，一个是同步带宽分配（SBA ）机制，它可以让管理员将一定量的带宽分配给一些确定的工作站，让它们有更多的捕获令牌机会。第二个是异步服务（AS ），它占用未通过SBA 分配的带宽并将这部分带宽等分给环上的工作站。铜线分布式数据接口(CDDI)是FDDI 的一种变型，可以在不昂贵的铜线电缆上运行而使用相同的协议。FDDI 和CDDI 的优点是冗余度、内置的网络管理、有保证的访问和广泛的适用性。但是，FDDI/CDDI 是昂贵和复杂的，另外缺乏对多种服务和QoS 的支持，始终未成为主流技术，发展速度缓慢，前景不被看好。（4）、异步传输模式（ATM）ATM作为一种全新的交换技术，有其明显的优越性。ATM 是将分组交换与电路交换优点相结合的网络技术，采用定长的53 字节的小的帧格式，其中48 个字节为信息的有效负荷，另有5 个字节为信元头部。对于有效负荷在中间节点不作检验，信息的校验在通信的末端设备中进行，以保证高的传输速率和低的时延。在广域网、城域网和公用网内，ATM 正在被主要采用，因为它既能够将多种服务多路复用到一种基础设施上，满足功能越来越强的台式机对带宽不断增长的需求，又能提供虚拟LAN 和多媒体等新的网络服务。但是，ATM 技术也有其缺点。首先是标准还没有完全制定完成，很多重要标准还在修正之中，这就影响了ATM 技术的推广，尤其是在局域网领域内。其次，ATM 技术目前主要应用是在专用网络和核心网络的范围内，而延展到外围和用户端均仍采用传统的网络技术(以太网、快速以太网、令牌环网等)，这就使得在ATM 网络和传统网络之间要建立一个中间的衔接层，这是一种在ATM 信元与传统网络的帧结构之间相互转换的技术，如Classic IP 和ATM LANE 等技术，这种技术的优点是可以把传统网络接入到ATM 网络中，但缺点是带来了很大的资源开销，这在很大程度上增加了ATM 网络的复杂性并且降低了网络的总体性能。另外，目前的大部分网络应用主要是基于IP 网络的应用，直接针对ATM 信元的应用很少，这在很大程度上也增加了ATM 网络使用和管理的复杂性。（5）、 千兆位以太网技术（Gigabit Ethernet）千兆位以太网技术以简单的以太网技术为基础，为网络主干提供1Gbps 的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单。千兆以太网是相当成功的10Mbps 以太网和100Mbps 快速以太网连接标准的扩展。现在千兆位以太网成熟的标准为IEEE 802.3z，IEEE 802.3z的目标是：使用IEEE 802.3 帧格式；可以使用全双工和半双工；共享模式下仍使用CSMA/CD ； 对安装介质的向后兼容；传输速度比快速以太网提高十倍，比以太网提高一百倍。千兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来，因为千兆位以太网的帧格式和帧尺寸大小等都与所有以太网技术相同，不需要对网络做任何改变。这种升级方法使得千兆位以太网相对于其他高速网络技术而言，在经济和管理性能方面都是较好的选择。在Intranet 应用中，有很多新的应用需求不断出现，包括视频和音频。以前人们认为这些对时延要求高的应用只有在ATM这样的网络上才能实现，然而现在一些新技术（交换技术、视频压缩技术，如MPEG 2）、新协议（RTP 、RTCP 、RSVP 等）和新标准（如802.1Q 、802.1p 等）的出现使得在局域网中千兆位以太网也可以极好地支持视频和音频等多媒体数据应用。千兆位以太网的设计非常灵活，几乎对网络结构没有限制，可以是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术，例如，特定IP 交换技术和第三层的交换技术，都与千兆位以太网完全兼容。千兆位以太网可以通过价格便宜的共享集线器、交换机或路由器来实现。千兆位以太网支持新的交换机之间或交换机工作站之间全双工的连接模式，同时也支持半双工连接模式以便与基于CSMA/CD 存取方式的共享集线器连接。千兆位以太网使用的传输介质有光纤、5 类非屏蔽双绞线(UTP)或同轴电缆。目前，千兆以太网支持单模光纤、多模光纤和同轴电缆，支持5 类非屏蔽双绞线(UTP)的标准正在制定中。千兆以太网技术的优点：技术简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识；便于升级，从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网，并不需要掌握新的配置、管理与排除故障技术；网络投资可以得到保护，无需对用户进行再培训，也无需为额外的网络协议进行投资；千兆以太网有良好的互操作性，并具有向后兼容性；端口价格相对较低；可以提供10 倍于快速以太网的传输速度。（五）、安全面临的威胁与防范措施1、 校园网上的安全威胁 任何计算机网络，只要运行就可能面临安全性威胁，校园网也不例外。校园网及其信息系统所面临的安全威协既可能来自校园内部，又可能来自校园外部，主要有以下几种： （1）“黑客”行为 由于网络的开放性及技术的公开性，一些人出于好奇心，蓄意破坏和为了使自己获得某种非法利益等目的，利用网络协议，服务器和操作系统的安全漏洞以及管理上的疏漏非法访问资源删改数据破坏系统。 （2） 数据泄露 校园网上运行各种数据库系统，如教学管理系统 ，学籍管理系统 ，校园卡管理系统 ，招生管理系统等。由于安全措施不当，使这些数据库的口令被泄露，数据被非法取出和复制，造成信息的泄露，严重时可导致数据被非法删改。 （3） 病毒攻击 计算机病毒程序有着巨大的破坏性，其危害已被人们所认识。尤其是通过网络传播的病毒，无论是在传播速度，破坏性和传播范围等方面都是单机病毒所不能比拟的。如当今最流行的蠕虫病毒，通过电子邮件，网络共享或主动扫描等方式从客户端感染校园网的web 服务器，改变网页的目录以繁衍自身，并通过发送垃圾邮件和扫描网络，导致网络的“拒绝服务”，严重时会造成网络瘫痪。因此，计算机病毒也是网络安全的主要威胁。 （4） 管理欠缺 校园网上的安全威胁也来自管理意识的欠缺。管理机构的不健全，管理制度的不完善和管理技术的不先进等管理因素。 2、校园网的访问控制策略 针对校园网络系统的安全威胁，在校园网管理中心必须建立整体的、卓有成效的安全策略。尤其是在访问控制的管理与技术方面需要制定相应的策略，以保护系统内的各种资源不遭到自然与人为的破坏，维护校园网的安全。 （1） 身份验证 身份验证技术用于判断对象身份的真实性，是校园网上信息安全的第一道屏障。除校园卡外，校园网上的身份验证技术主要是口令机制：如各种开机口令，登陆口令，共享权限口令等等。对这些口令的保护，除建立严格的保密以外，口令的设置方法非常重要。 一般而言，安全的口令有以下特点： （1）系统用户至少要用6位字符的口令; （2）大小写字母混合，把数字无序的插在字母中; （3）口令中包含“ ！# ￥ % * ？ ”等符号; （4）不使用英语单词，不使用个人信息（如生日， 姓名等）; （5）不在不同系统上使用同一口令。 尽管Internet网络上存在众多口令攻击器，它们能将口令破译出来，但是一个合理的口令机制可使自己遭受黑客攻击的风险降到一定限度之内。系统管理员也可定期运行这些破解口令的工具，尝试破译自己的口令，若被破译，说明该口令过于简单或有规律可循，应及时更正。 （2） 设置防火墙 防火墙是设置在不同网络之间的一系列软硬件的组合，它在校园网与Internet网络之间执行访问控制策略，决定哪些内部站点允许外界访问和允许访问外界，从而保护内部网免受非法用户的入侵。它是保护校园网的又一道屏障。 防火墙有三种基本类型:IP数据过滤，应用层网关和电路层网关。防火墙有各种各样的配置方法。其配置将依赖站点的特殊安全策略，预算以及全面规划等。 IP数据包过滤防火墙是必须的，尤其是使用静态IP地址的校园网。包过滤防火墙通常存在于多端口的路由器上，通常配置其中的访问控制列表(ACL)可以决定是否转发或丢弃来自外部的数据包。在原有的网络上增加这样的防火墙几乎不需要任何额外的费用，而且它逻辑简单，易于安装和使用，这对资金力量较为尴尬的学校而言更为合适。 应用层防火墙是可选的。这种防火墙是在网络应用层上建立协议过滤和转发功能。典型的应用层防火墙是各种应用代理，这种代理服务使网络的内，外部之间不会有直接的IP报文交换，所有应用的数据据均由防火墙进行过滤和转发。因此，应用层防火墙能够让网络管理员对服务进行全面的控制。但是，它的最大缺点是要求在访问代理服务的每个系统上安装特殊的用户端软件，这样既限制了新应用的引入，又影响了效率，而且当该防火墙不能再工作时，对应的网络服务也就不存在了。因此，网络管理员要在机构安全需要和系统的易用性方面做出平衡。 对于专线接入Internet 网的校园网不要允许网上的机器通过Modem直接接入外部网。因为堡垒最容易从内部被攻破。如果有校园网用户下载一个包含恶意代码的程序在本地运行，就很可能泄密敏感信息，或对系统进行破坏。 必须明确，防火墙不是解决所有网络安全问题的灵丹妙药，比如，它不能抵御来自来自校园网内部的攻击。因此，不能认为建立了防火墙便万事大吉，它只能是网络安全策略的一部分，只能解决网络安全的部分问题，任何时候都不能放松警惕。（3）、 文件和服务的共享访问校园网上的服务器操作系统一般为Windows NT和Unix，它们都能使用服务和文件共享功能。网络管理员常使用共享服务以使数据访问更加方便，但黑客常常利用这一点通过安装后门程序，在用户启动系统时作为共享服务进行注册，然后这些共享服务可以从任何一台拥有作为服务登录权利的客户上运行，从而破坏系统。文件共享给网络带来了另一个潜在的安全漏洞，因为如果配置不当，就可能使任何一个能够与你的网络连接的人都可以全面访问你的系统文件。因此，对于文件与服务的共享方问机制必须制定相应的安全策略。 限制端口访问。为了防止未经授权通过网络服务进行的访问，要限制所有并非绝对必要的服务端口，从而使暴露减少到最低限度。比如，除非你的计算机需要新闻组访问，否则，网络新闻传输协议的端口119就应该被关闭。 不允许一般用户在服务器上拥有除读/执行以外的权限。这一点对校园网安全特别重要。 最好的防御手段依然是保持应有的警惕，不要不分青红皂白地共享文件。当你没有其他选择时，一定要只共享那些绝对必需的文件。 （5） 封锁系统安全漏洞 黑客之所以得以非法访问系统资源和数据，很多情况下是因为操作系统和各种应用软件的设计漏洞或者管理上的漏洞所致。统计数字显示，80%以上的成功入侵之所以发生，是因为Web技术人员没有安装已知及公开故障的修补程序。因此，在制定访问控制策略时，不要忘记封锁系统安全漏洞。 目前，Internet中的一些重要的网络都建立了计算机紧急相应工作组，如中国教育和科研网的紧急响应组，在发现新