学校校园网投标书

1、目录目录 第一章第一章 引言引言.3 1.11.1 设计目标设计目标 .3 1.21.2 设计思想设计思想 .4 第二章第二章 需求分析需求分析.5 2.12.1 用户需求分析用户需求分析 .5 2.22.2 网络需求分析网络需求分析 .5 2.32.3 信息服务需求分析信息服务需求分析 .6 2.42.4 管理需求分析管理需求分析 .6 第三章第三章 系统的设计原则系统的设计原则.7 3.13.1 实用性的原则实用性的原则 .7 3.23.2 安全性的原则安全性的原则 .7 3.33.3 可扩充性的原则可扩充性的原则 .7 3.43.4 灵活性的原则灵活性的原则 .7 3.53.5 规范性的

2、原则规范性的原则 .7 3.63.6 综合性的原则综合性的原则 .7 第四章第四章 总体设计方案总体设计方案.8 4.14.1 主要网络技术主要网络技术 .8 4.24.2 三层交换技术三层交换技术 .9 4.34.3 网络连接介质网络连接介质 .10 4.44.4 校园网与外部的连接校园网与外部的连接 .10 4.54.5 信息点的设计信息点的设计 .10 4.64.6 网络拓扑图网络拓扑图 .11 4.74.7 网络管理网络管理 .11 4.7.1 故障管理.11 4.7.2 配置管理.12 4.7.3 性能管理.12 4.7.4 安全管理.12 4.7.5 计账管理.12 4.84.8

3、网络安全网络安全 .12 4.8.1 部署防火墙.13 4.8.2 局域网内部安全策略.13 4.94.9 病毒防御系统病毒防御系统 .14 4.9.1 病毒防护系统的组成.15 4.9.2 防病毒体系整体结构.15 第五章第五章 产品配置与选型建议产品配置与选型建议.17 5.15.1 网络核心交换机选型建议网络核心交换机选型建议 .17 5.25.2 网络二级交换机选型建议网络二级交换机选型建议 .17 第六章第六章 施工布线施工布线.18 6.16.1 总则总则 .18 6.26.2 施工要求施工要求 .18 6.36.3 施工方案建议施工方案建议 .19 6.46.4 校园网对布线的要

4、求校园网对布线的要求 .20 6.56.5 校园网布线建议方案校园网布线建议方案 .21 6.5.1 方案的预期目标.21 6.5.2 方案说明.21 6.66.6 管线方案管线方案 .22 6.6.1 水平子系统布线要求.22 6.6.2 管理子系统设计建议.22 第七章第七章 工程预算工程预算.24 第八章第八章 售后服务及技术支持售后服务及技术支持.25 8 8 .1.1 售后服务售后服务 .25 8 8 .2.2 技术支持技术支持 .25 第一章第一章 引言引言 21 世纪进入互联网时代，科技迅猛发展，日新月异。信息科技越来越重要， 推动经济发展。 掌握计算机和网络信息的知识不仅是素质

5、教育的要求,还要求学生掌握现代 学习和工作。因此,校园网络和级别的存在,也将成为新的评价标准的学校的学 生选择学校。学校教育的现代化,很多学校已经开始集成管理和教学电子学校的 方向发展,校园网没有和水平将成为一个新标准,学校和学生选择学校的评价,校 园网的应用系统是特别重要的。一方面,学生可以掌握的计算机及网络信息知识,在 促进学习,毫无疑问,这是学生的综合素质的一个极其重要的组成部分;另一方面,先 进的网络平台和应用系统的基础上,将极大地促进教育现代化,实现高水平的教 学和管理。 1.11.1 设计目标设计目标 校园网络的设计目标简言之是彼此连接各种信息资源通过高性能网络设备的应用,校园面积

6、 内部网系统内部、外部路由设备通过广域网连接。特别是这个设计的目标应该是:建立办公 自动化、计算机辅助教学、现代计算机校园文化为核心,随着现代网络技术,校园网络,依靠 先进的技术,扩大,覆盖整个学校建筑,将学习各种电脑工作站、学校和局域网连接终端。,与 广域网连接;在互联网上的宣传和教育资源,建立在此基础上,以满足教学、科研和管理工作 要软,硬件环境;应用系统开发所有类型的数据库系统,提供充分的网络信息服务人员各种学 校;系统的总体设计符合分布的总体规划,实施系统的原则,充分体现了先进的技术、高可靠 性。 校园网概图 1.21.2 设计思想设计思想 校园网的总体设计,首先调查研究和需求,明确学

7、校的性质、任务和改革发展的特点和系统 需求和条件,准确地描述学校的信息环境;其次,在需求分析的基础上,学校内部网服务类型被 确定,然后确定具体目标系统建设,包括网络设施、站点设置、应用程序开发和管理和其他 方面的目标;第三是确定网络拓扑结构和工作根据建设目标和学校主楼应用需求分布、系统 分析和设计;第四,确定技术要求和设计原则,如布线技术选择、设计、设备选型、软件配置 等方面的标准和要求;第五,规划和实施步骤,校园网络的建设。 科学校园网络的整体设计方案,应反映在以下基本要求:(1)总体规划安排;(2)先进、开放和标 准化相结合;(3)结构合理,维护方便;(4)效率高;(5)支持宽带多媒体服务

8、(6),可以实现快速信息 交换、协同工作和展示形象。 第二章第二章 需求分析需求分析 2.12.1 用户需求分析用户需求分析 校园网建设作为校园网络文化，办公计算机辅助教学，现代计算机自动为核心，以现 代网络技术，先进的技术，强大的可扩展性，可校园骨干网覆盖全校的建设，连接各 个学校的 pc 机，工作站，终端和局域网，并与广域网，内部和外部沟通的校园计算机 网络系统，建立能满足教学，科研和管理工作需要的硬件和软件环境，所有类型的发 展连接的数据库和应用系统，网络信息服务，为学校人员提供足够的。该系统的整体 设计应根据总体规划，实施分配的原则，总成绩体现了先进的技术，系统的高度安全 性和可靠性，

9、而且还具有良好的开放性，可扩展性： 信息结构多样化 - 校园网应用分为电子教学（多媒体教室，电子图书馆） ，办公管理 和远程通讯三部分组成（远程教学，互联网接入）：电子教学包含大量多媒体信息， 办公管理数据的基础上，远程通信是万维网模式下，数据分量是复杂的，不同的数据 类型有用于网络传输不同的质量要求; 安全性 - 校园网也有大量关于教学和档案管理的重要数据，无论是损坏，丢失或被盗， 就会带来很大的损失; 操作方便，易于管理 - 校园网针对不同层次的教师，学生和上班族的知识，应用和管 理应简单，界面友好，不太专业; 经济实用 - 学校网络建设投资有限公司的，因此需要在完成网络应经济实用，具有很

10、 高的性价比。 随着校园网用户和新的增长，尤其是网络多媒体和远程教育的应用开发，提出了新的 更高的要求，以校园网主干带宽，所以希望申请号的需求： 使用千兆以太网第三层交换功能（以太网） ，以满足客户的各种要求新的校园骨干。 新的主体建筑，应在现有的投资可以保护校园网络，校园网的原有 atm 实施要求的最 佳连接，并提供了新的管理计划和校园网的管理策略。 主要的新设备时，应能满足 10，000 的用户访问的要求。 支持 ip 组播（多播）和服务质量（qos）或服务类型（cos）的，以满足远程教育的 需求的质量 支持虚拟网络（vlan） 。 网络管理软件应具备的接入层交换机设备的远程操作（如在网络

11、中心访问的端口 ip 过滤条件切换远程设置）的功能。 2.22.2 网络需求分析网络需求分析 校园网的网络部分的设计应符合下列要求： 1、骨干网必须是高速局域网，可以支持虚拟段和多媒体应用。 2、多媒体教室主要完成多媒体网络教学任务，需要 60 个用户接入互联网的支持。 3、利用现有的学校小总机的闲置资源，提供廉价的家庭拨号服务人员，减少家里的电 话线接入和长时间的忙碌所带来的呼叫大幅增加。拨号的用户可以访问的资源和主干 网络，从而实现移动办公室双向访问。 4、图书馆网络和其他网络之间的支持资源。 5、接入校园网应该能够访问主干网络资源。 6、网络的扩展名必须足够的能力，当网络扩容，网络性能不

12、会大打折扣。 7、网络易于维护和管理，网络管理工具，方便。 8、网络应具有一定的安全机制，防止滥用。 2.32.3 信息服务需求分析信息服务需求分析 校园网应满足在信息服务和应用下列要求： 1、一直是基于职能 fox 数据库系统的一个图书管理系统的网络环境下的 novell 图书 馆书目查询库中，该系统包括了详细的目录，以便让学生了解简单快速的书目，以校 园网查询基于 www 的参考书目学校服务，让学生和教师可以随时随地查询书目。 2、家庭学校应建立一个独立的 www 服务器，在互联网上提供上门服务，包括学校 的情况介绍，学校新闻，报纸（电子版） ，招生信息和电话号码和电子邮件地址的查询。 3

13、、邮件服务，邮件服务，教师和学生可以发送和接收电子邮件免费（电子邮件） 。每 个教师和学生都可以有自己的私人电子邮件，他们可以通过校园网任何一台机器已经 从收到的信件。他们不仅能在相互沟通，而且还可以和主干网络用户的邮件交换。 4、文件传输师生共享软件之间的服务帐户，校园网应提供文件传输服务（ftp） 。文件 传输服务器可以根据自己的需要下载并安装在机器上存储各种免费软件和驱动程序， 教师和学生。 5、系统应提供的 web 开发和生产信息的基础平台 2.42.4 管理需求分析管理需求分析 校园网络包括学校的东西大楼，主楼，阶梯教室楼，办公楼（原老图书 馆 ） ，计算中 心，科技楼，图书馆和学生

14、宿舍。网络管理中心设置在图书馆。 第三章第三章 系统的设计原则系统的设计原则 3.13.1 实用性实用性 系统设计必须确保其先进性在相当长一段时间,应该基于实用的原则,追求先进的实用的基 础上,使系统易于网络,实现信息资源的共享。易于维护和管理,具有广泛的兼容性,同时适应 我国的实际情况,使用的设备应该灵活,操作方便汉字、图形处理功能。 3.2 安全性 计算机网络与外部网络互连互通日益增加，都直接或间接与国际互连网连接。因此，系统 方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。 3.33.3 可可扩展性扩展性 系统规模和等级应该很容易扩展,可以很容易地扩展和适应变化的设备工程,以及软

15、件版本 更新和升级的灵活性,保护用户的投资。目前,网络多平台、多协议、异构、异构网络共存 的方向,其目标是不同的机器,不同的操作系统,不同类型的网络协作工作作为一个整体。所 以选择的网络通信协议符合国际标准,为未来系统升级奠定良好的扩展基础。 3.4 灵活性 采用结构化、模块化的设计形式，满足系统及用户各种不同的应用要求， 适应业务调 整变化。 3.53.5 规范性规范性 采用的技术标准按照国际标准和国家标准与规范，保证系统的延续性和可靠性。 3.63.6 综合性综合性 满足系统目标与功能目标，总体方案设计合理，满足用户的应用要求，有利于系统维 护，以及系统二次开发和移植。 第四章第四章 总体

16、设计方案总体设计方案 4.14.1 主要网络技术主要网络技术 目前,主要流行的四种高速网络技术:快速以太网100 base - t,异步传输(tm)、光纤分布式数 据接口(fddi),100 vg-anylan。在主校区主干千兆以太网和 atm 的应用程序。 千兆以太网是一个快速以太网、千兆以太网以太网802.3仍然遵循协议帧格式组成,媒体控 制(mac),和全双工流控制技术,数据率高达1000 mbit / s 比快速以太网的10倍。今天,使用 最广泛的局域网技术是以太网技术。据国际数据公司(idc)分析师分析,到1997年底,所有已 安装的以太网网络是85%,其中1.18亿台电脑,工作站和

17、服务器连接。在至关重要的高速局域 网技术,千兆以太网交换与最好的价格。下面的图对比数据速率单位切换千兆以太网和 fddi,tm 155 mbit / s,622 mbit / s 的 atm,快速以太网的价格。千兆以太网是受欢迎的,因 为它结合了低的价格,网络简单、方便扩展和管理优势。 atm 技术最初是由一个电话服务,提供155 622 mbit / s 的速度,2.4 gbit / s 的速度很快就 会适用。atm 是可伸缩和大型骨干可恢复和设计,其主要功能之一将被集成在电话、数据、 语音和视频传输局域网和广域网。然而,atm 现在是通用标准尚未完全确定,atm 网络解决 方案还可以提供每

18、个网络设备,网络设备提供商之间不能完全兼容。 多少钱是一个重要的因素在评估任何新的网络技术,它不仅包括设备的购买价格,需要考虑 网络管理、应用程序维护、人员培训、设备维护和故障监测和许多其他成本。如果人们喜 欢著名的技术,这样的人员费用在降低以太网,网络管理人员不需要维护现有网络配置和部 门的人员,不需要替换现有的网络分析和管理工具。但是越来越多的协议和技术会增加网络 的复杂性,因此,使用基于以太网解决方案比 fddi 或 atm 容易。与此同时,相应地减少投资 成本相对简单的网络。 连接和传输距离:基于千兆多模光纤传输的距离不少于550,基于千兆5级非屏蔽双绞线传输 距离不小于100米单模光

19、纤传输距离现在已经达到了50000米,很明显,建筑物之间的距离为 互连环境公园已经足够了,但是对于都市和广域网络,它仍然似乎无能为力。atm 的发展目 标是创建这样一个广阔的区域内的信息传输系统。它并不局限于任何物理结构,以及传输数 字数据独立于类型。也就是说,可以使用 atm 在万维网的最大传输任何形式的数字数据。 升级的可行性和可用性:传统的以太局域网主干千兆以太网适配器模块设备之间插入新的千 兆网络骨干的形成链接,或添加千兆以太网多层交换机,原始的结构网络主干应用程序可以 搬到低层次的校园局域网升级到一代更合理的解决方案利用 etherchannal 技术提供 了一个平滑升级骨干带宽骨干

20、链接和冗余备份解决方案。在传统的以太局域网 atm 技术 升级建议的解决方案,形成一个网络骨干 atm 交换机,所以用户很难保护投资和技术。升级 的 atm 局域网千兆以太网升级投资比投资上升了更高的此外,用户进行 atm 网络升级,为 了保证网络的可靠性和效率,将不得不选择同一供应商的网络产品。直接来自以太网升级也 可以直接升级到千兆以太网,使用 therchannal 技术提供了一个平滑升级骨干带宽和冗 余骨干链接的方法。 服务质量:千兆以太网和传统以太网技术作为 contention-based 介质的网络技术,但使用现 状的一些协议,如 ieee802.1p / q,加上聪明的多层交换

21、技术和 rsvp 可以提供网络服务满 意的质量保证。最后 atm 环境,严格和细致的服务质量保证功能,实现昂贵,目前几乎没有使 用 atm 网络的服务质量功能。 第三层千兆以太网技术与智能切换技术可以很容易地满足校园网主干网带宽、可伸缩性和 服务质量,严格的要求,并且可以无缝连接快速以太网和以太网网络,技术是公园最具成本效 益的解决方案的骨干高速网络,广域网互连 atm 的主要应用,但随着校园网主干网,atm 可 以无缝连接快速以太网和以太网网络,很多重要的特点和优势的 atm 得不到应用,事实上,这 样可以减少在 m 技术的价值。例如,除了端到端 atm 连接,一般不能充分利用 atm 的服

22、务 质量功能;必须小心,千兆以太网技术的出现后,atm 骨干网使用时在公园里。所以只有建立 一个网络的过程中认真考虑网络的具体需求,利用千兆以太网技术、atm 快速以太网技术 提供更完美的网络解决方案,用户进入世界上光滑的高速网络。 4.24.2 三层交换技术三层交换技术 根据 osi / rm 分层架构将低三层通信子网络,主要完成信息交换和路由功能。因为物理层 负责消息的发送和接收,转移技术是直接负责的两个信号,没有路由问题,因此解决主要是数 据链路层和网络层之间。其中,数据链路层使用一个物理地址,手动配置相应的软件。以太 网是广播寻址模式,因此不需要网络层。但以太网使用 csma / cd

23、 渠道竞争,一旦数量相同 的在线机器,它将使利用率降低,然后提出了冲突域和广播域的概念。 为了解决碰撞问题,人们设计了桥(桥)和(中心)(总线式网络中心和星形网络)部分网段,希望 通过减少冲突域的广播域。然而,沟通的桥梁和枢纽是共享通道,仍然无法解决不同节点之 间的碰撞问题。所以人们也设计了一个交换中心(开关中心),通过缓存映射端口和 mac 地 址,为了扩展开关连接中心,一个港口和一个多元化相应的 mac 地址,并提出了虚拟局域网 (vlan)的概念。vlan 减少广播域,提高安全性,但不同的局域网之间的信息交互必须解决 通过网络层,因此,传统的方法是添加路由器之间不同的 vlan。每个两个

24、 vlan 路由计算,n vlan 之间的交流需要2 n - 1路线实现完全连接,当 n 很大时,路由器性能要求非常高,所以 他们组建了一个小开关,一个路由器的情况。同时,因为路由器转发方法使用存储,只能依赖 于软件,女士的时候,马和交换中心只是寻找 c 地址,可以使用数据帧转发,直通(直通)模 式,可以直接由硬件 完成之后,是一个纳秒的时间。因此,路由器成为高速网络中的瓶颈。为了解决这个问题,人 们也提出了想法,第三层交换的方法。 为了实现数据转发的目标硬件,必须细化第三层的功能和结构。一个受欢迎的细化是第三层 的传统路由和交换。第三层路由是 cpu 计算密集型和耗时的工作根据其治疗,除了数

25、据传 输的数据路由和地址的主要输出是一个简单的转发数据库,数据库用于实际的数据传输。的 路由功能函数和传统的非常接近,只是为了减少数据包转发的模块。数据包转发的模块嵌入 到第三层交换,其处理的数据传输实现实用,在传输中使用路由转发所提供的项目表。从理 论上说,任何协议都可以达到第三层交换,但在实践中往往考虑那些经常使用的协议的数据 类型,这促进了硬件设计,容易降低成本。 4.34.3 网络连接介质网络连接介质 连接介质是关键从主开关连接到两电平开关网络的骨干。一般来说,根据主网络中心的两个 交换机之间的物理距离来确定空间中主要的连接。如果距离大于100米,您必须使用电缆,在 多模光纤2公里,超

26、过2公里是一个单模光纤。如果少于100米的距离,您可以使用千兆铜技术。 下面两层切换分支线,由于地理距离不是太远从的角度来看,整体性能也不需要使用千兆连 接,一般使用类 utp 的快速连接。 4.44.4 校园网与外部的连接校园网与外部的连接 连接校园网络和外部网络连接技术,实际上是局域网和广域网链接。广域网是由许多相互连 接的局域网。许多不同类型、不同结构、不同大小、不同地区的校园网络连接,可以交换信 息,共享网络资源,成为区域赛尔,城域网的一部分,因此形成一个网络系统。此外,还可以与网 络连接校园网,方便教师和学生的日常使用。 4.5 信息点的设计 应该考虑当前应用程序需求和未来几年的发展

27、,合理确定网络信息的数量和分布。主楼 720 房间,2200 年总分布信息,西方建筑有超过 300 间客房分布超过 700 点,东大楼 80 房间分布 超过 400 点的信息,科技大楼 500 室,信息将被近 2000 年,图书馆有超过 80 间客房,超过 1000 点的信息,办公室有超过 100 间客房,250 信息节点。 4.6 网络拓扑图 网络拓扑图 4.74.7 网络管理网络管理 网络管理是确保维护子系统、网络的正常运行,网络管理的复杂性取决于网络的规模和复杂 性本身。这可以对本地网络的多个 pc 机管理,或者是中国网络这样一个大规模的网络管理, 讨论了大型网络是由多种设备和各种各样的

28、协会,网络管理变得更为复杂和重要,它是一个 全面系统的软件,硬件,操作系统和人员安排。 网络管理是获得最大利益的过程控制和生产率的一个复杂的数据网络,为了更好地定义了网 络管理的范围,国际标准化组织网络管理任务分为五个功能,即:故障管理、网络配置管理、 性能管理、安全管理和会计管理。 .1 故障管理故障管理 故障管理是定位和解决网络问题和错误的过程,它包括以下步骤:找到故障,故障位置、故障 (如果可能的话)的使用故障管理技术,网络管理人员可以快速定位和解决故障。事实上,这种 工具软件在用户报告错误,可以定位和解决故障。 .2 配置管理配置管理 网络设备配置控制数

29、据网络行为、网络配置的过程中发现和设置这些现有的设备。配置管 理工具可以提供所有桥上显示当前目录,每个桥版本的软件,您可以很容易地确定哪些桥梁 需要新的软件升级。 .3 性能管理性能管理 性能与实测网络硬件、软件和媒体。例如,测量活动可能包括率、误比特率、响应时间 通过。绩效管理信息,管理人员可以确定网络是否有能力满足用户的需求。 .4 安全管理安全管理 安全管理是控制网络中获取信息的过程。一些计算机内存到网络信息可能不是适合每个用 户观察,这种敏感信息包括:如果公司内部机密文件的一部分,如开发新产品信息和客户名单 等。安全管理将提供终端服务器入口点监测,并记录

30、操作人员。安全管理还可以提供一个报 警信号,提醒潜在的安全管理员。 .5 计账管理计账管理 会计管理涉及到跟踪每个用户或组的用户使用网络的来源,它还涉及到注册或取消资格进入 网络。使用网络计费管理软件工具,可以快速学习每个用户网络使用。 网络管理平台的基本功能是网络管理员来完成的所有任务的网络管理,网络管理员可以通过 平台查询网络中的所有设备信息,然后用各种各样的方式使用这些数据。有很多网络管理平 台在今天的市场上,一些典型的包括 sun connect sun net manager,at数据可用性(即外人无法保证网络交通流饱和度 来防止合法访问的数据)是一个关键。因为网络中

31、的信息可以被复制,必须防止未经授权的 监控数据。也就是说,网络安全也必须包括保护隐私。 某学校网络安全设计原则是:某某学校网络必须严格的安全系统。没有安全措施影响整个网 络的效率。安全设备的管理方便,完整和可靠。加密系统与网络兼容性和可扩展性,实施盗 窃、防篡改,防止破坏的三个功能。据美国国务院负责办公网络安全法规、规章、内部信息,以 确保系统的安全,我们应该的主要系统处理机密,机密信息和系统不涉及机密信息的物理隔 离,机密,机密信息加密和网络上的传播。 .1 部署防火墙部署防火墙 防火墙是一个或一组系统安排之间的内部网络和互联网,实现两个网络访问控制和安全策略。 狭义上是指安

32、装防火墙软件防火墙主机或/和路由系统;广义还包括整个网络的安全策略和 行为。属于被动防御防火墙技术,通过建立通信网络监控系统在网络边界保护内部网络安全 的目的,它的功能是根据条件来检查和过滤的信息。防火墙是网络安全战略的第一屏障,保 护内部信息的实现,和它的主要功能是:未经授权的访问的保护功能,保护网络系统和私有和 敏感信息不违反。连接功能作为一个内部网络和互联网之间的连接点。管理功能来实现一 个统一的安全策略,检查网络使用情况,控制流等。 防火墙有三个属性:所有的内部网络数据包必须通过它,只有授权的本地安全策略的数据包 通过,防火墙本身的免疫攻击。内部网络和外部网络之间通过防火墙,建立一个

33、dmz 区域。 互联网和相关业务服务器可以在 dmz 中放置区,互联网用户可以到达 dmz 区域相应的服 务器。和内部网络连接到互联网,通过 nat 地址转换方式进行,可以完全隐藏和保护内部网 络和 dmz 设备。 在防火墙内部和外部网络连接中扮演两个角色: (1)使用一个访问控制列表(acl 访问控制列表),真正的安全防火墙操作系统 ios 通过访问 控制列表(acl)技术支持信息包过滤防火墙技术,根据相应的访问列表安全战略提前确定,你 可以登录包,路由信息数据包拦截和控制,可以控制根据源/目的地址,tcp 协议类型、端口号。 通过这种方式,我们可以建立第一个安全防护墙外联网,屏蔽非法访问内

34、部网络内部网。 (2)地址转换(网络地址翻译、nat)防火墙安全保护和强大的功能是内部和外部地址转换。 ip 地址转换的两个优点:一是隐藏 ip 地址的内部网络,这可以让黑客(黑客)不能直接攻击内 部网络,因为它不知道内部网络 ip 地址和网络拓扑结构,另一个优势是网络地址方案可以使 内部网络使用他们自己的定义,而不考虑解决冲突的情况下与外部世界。地址转换(nat)技 术是用于内部和外部主机之间的相互访问主机,当内部游客想去通过一个路由器,路由器首 次执行身份验证、访问列表(acl)检查权限,如果得到批准,如果地址转换,访问外部网络的公 共地址;当外部游客想要进入内部网络,路由器也首先检查权限

35、,然后根据目的地址(外部公共 地址),发送的数据包后内部主机对应的地址转换。 .2 局域网内部安全策略局域网内部安全策略 在网络工程和今后各种应用系统的建设过程中，在局域网内我们可以根据 不同部门、 不同业务类别划分 vlan （虚网） ，通过把不同系统划分在不同 vlan 的方式，将各系 统完全隔离，实现对跨系统访问的控制，既保证了安全性，也提 高了可管理性。 (1)(1) vlanvlan 技术和技术和 vlanvlan 路由技术路由技术 实现集中管理和安全使用 vlan 技术控制整个网络。思科局域网交换机的一大优势是交叉 开关 vlan(虚拟网络)和 vlan 路由功能部

36、门。虚拟网络是一个物理连接网络完全独立的 逻辑,这种隔离不仅仅是孤立的数据访问,隔离广播域,物理上独立的网络,是一种安全保护。 通过 vlan 路由控制交叉部门访问,不仅确保安全,而且提高可管理性。根据 vlan 的划分 示例如下所示: vlan 技术图 (2)(2) vlanvlan 路由原理路由原理 每一个 vlan 都具有一个标识，不同的 vlan 标识亦不相同，交换机在数据 链路 层上可以识别不同的 vlan 标识，但不能修改该 vlan 标识，只有 vlan 标识相 同 的端口才能形成桥接，数据链路层的连接才能建立，因而不同 vlan 的设备在数 据链路 层上是无法连通的。 vlan

37、 routing 技术是在网络层将 vlan 标识进行转换，使得不同 的 vlan 间可以沟通，而此时基于网络层、传输层甚至应用层的安全控制手段都可运用， 诸如 access-list 、 firewall 、 tacacs+ 等， vlan routing 技术使我们获得了对不 同 vlan 间数据流动的强有力控制。 (3) mac 地址过滤策略地址过滤策略 内部网络的 mac 地址过滤函数思科也可以用来访问局域网交换机提供链路层安全控制。 mac 地址过滤可以进一步实现局域网的安全控制。独联体有限公司局域网开关与 mac 地 址过滤功能,通过开关上的每个端口的配置,可以禁止或允许一个特定的

38、源或目标 mac 地址 的网站,从而实现网站之间的访问控制。因为每个卡都有一个独特的 mac 地址,是固定的, 只有特定的 mac 地址允许工作站通过特定的端口访问,所以访问控制的 mac 地址指定站 这个物理访问控制设备,因为你不能改变的 mac 地址,与 ip 地址过滤相比,安全性高。 4.9 病毒防御系统 众所周知，计算机病毒对网络应用的影响可以称得上是灾难性的。尽管人类已和计算 机病毒斗争了数年，并已取得了可喜的成绩，但是随着 internet 的 发展，计算机病毒的 种类急聚增多，扩散速度大大加快，破坏性愈来愈大。病毒防御体系整体结构 .1 病毒防护系统的组成病毒防护

39、系统的组成 根据当前的校园网络结构和未来的发展方向，以及对病毒来源的分析，病 毒防护系统 主要由三部分组成： （ 1 ） internet 网关级病毒防护：主要针对通过 internet 出口的流量，进行病毒扫 描，对邮件的附件进行病毒过滤； （ 2 ）服务器病毒防护：对各种服务器（ web server, dns server, data baseserver ， mailserver ， ftp server 、等等）进行病毒扫描和清除，集 中报警； （ 3 ）桌面病毒防护：针对比较关键的办公教学场所的各种桌面操作系统 （实验室、 科技楼、图书馆、办公楼） ，进行病毒扫描和清除； 4.9.

40、24.9.2 防病毒体系整体结构防病毒体系整体结构 1 1 、防病毒体系的物理结构、防病毒体系的物理结构 校园网络信息分和密钥服务器更少的结构特点,根据校园网络反病毒的需要,我们采用集中 监控,集中在杀死原理,三维的病毒防护系统构建一个多层次,多入口。 校园网络可能发生病毒的来源主要有以下几个方面:互联网,ftpserver,邮件,个人电脑,因此病 毒保护系统主要考虑病毒保护互联网网关服务器邮件病毒过滤、病毒感染的预防和控制,各 种桌面,除了反病毒系统集中管理和反病毒系统升级。 在校园网网络统一出口,安装互联网网关病毒防护系统,过滤器从网络病毒、网络病毒的来 源。针对网络和不同的应用程序环境,

41、可以提供不同功能的互联网网关的产品,每个产品都 是实时扫描,清晰和报警系统,各种各样的压缩文件格式和支持。 (1)防火墙产品: 内容定向协议使用互联网(cvp),实时扫描通过 http、ftp、smt p 数据流传输的病毒,可 以在多个平台上运行,有效地由远程管理软件。 (2)根据微软平台的 web 服务器产品的特点: 主要用于中小型网络防病毒系统。实时扫描通过 http、ftp、smtp 数据流的传播病毒。 在 microsoft windows 平台上运行。安装杀毒软件网络管理、管理服务器、防病毒服务器 报警管理,建立反病毒软件图书馆。防病毒服务器定期主动或被动从网上下载新病毒特征代 码,

42、一种新病毒库。软件升级病毒库和数据获得的每个关键节点的杀杀毒服务器,不需要从 互联网上得到钥匙,节省网络带宽。报警信息管理,每个键 avira 病毒事件报警提醒经理杀毒 服务器节点。管理服务器和网络管理负责区域的预防反病毒软件安装、配置、升级和事件 管理,每个节点维护关键小红伞杀毒软件一致性和动态防御能力,总结病毒扫描报告和状态, 简化了管理防病毒系统的复杂性。 2 2 、防病毒系统的管理结构、防病毒系统的管理结构 因为校园网络管理结构的网络结构相对简单,防病毒系统应该简化。我们只需要建立一个反 病毒中心管辖域成员集中杀毒软件安装、配置、扫描调度、报警完防病毒管理控制台生成, 并维持一个图书馆

43、的杀毒软件,杀毒软件图书馆包含管理控制台可以分布、配置、安装等反 病毒软件版本,不同的语言和平台。通过使用管理控制台,在一个集中的界面,管辖杀毒领域 机器安装防病毒软件,域卸载杀毒软件,配置更改和反病毒软件,所有这些操作简化了最终用 户使用杀毒软件的复杂性,并使病毒感染的范围的管理和反病毒有一个集中的理解,发展反 病毒策略的范围使用这些数据。 3 3 、病毒防御系统的具体方案、病毒防御系统的具体方案 反病毒模块需要包含以下部分: 1)互联网数据推动产品升级:病毒样本文件信息推到校园网消费者和病毒相关的主机,所以, 如果有一个新的病毒或病毒与新闻、校园网络防病毒系统和最新的病毒的研究结果是一致

44、的,反病毒系统保持新的杀毒能力,保持弹性的病毒防护系统。防病毒系统,确保系统不断升 级的能力是非常重要的。 2)网关防病毒产品:扫描所有入站和出站电子邮件。基于 java 控制台,可以执行所有的操作 从 nt 服务器或工作站。为交流提供病毒保护 http、ftp 多种互联网协议,同时扫描恶意 java 和 activex 小程序。 3)服务器反病毒产品:可以方便地从本地服务器或工作站监控、配置和实现的远程服务。病 毒检测、实时高效的文件发送到或从服务器,为了避免它在整个网络的传播。同时根据需要 选择立即或定时检测,病毒扫描存储在文件服务器上。根据经理的要求,一旦发现,日志记录、 删除、隔离或拒

45、绝在防火墙之外。 4)防病毒系统管理:实时软件分发系统,在网络远程安装、配置、管理、更新和删除杀毒软件,通 过集中升级网络防病毒软件,集中报警检测到病毒攻击保护网络免受病毒的破坏。 5)桌面防病毒产品:反病毒为所有关键节点(室、办公室、实验室等)最全面跨平台桌面计算 机病毒保护。 4 4 、全校校园网病毒防护体系示意图、全校校园网病毒防护体系示意图 全校校园网病毒防护体系示意图 第五章第五章 产品配置与选型建议产品配置与选型建议 5.15.1 网络核心交换机选型建议网络核心交换机选型建议 接入 cernet 路由器拟选用 cisco 7609 。 网络主干配置三台 cisco ws-c6509

46、 作为中心交换机， ws-c6509 系列交换 机是具 备高性能，易于管理，灵活配置的以太网 / 快速以太网 / 千兆以太网交换机。ws-c6509 系列交换机再加上 cisco 的交换集群技术，可以实现超过 380 个端口通过一个 ip 地址 进行管理。同时 ws-c6509 交换机的高性能 ios 软件配合 cisc ovisual switch manager（ cvsm ）交换机网管软件可以方便实现以主页方式的设置和网管。 5.25.2 网络二级交换机选型建议网络二级交换机选型建议 二级交换机起着 “ 承上启下 ” 的作用，一端连接到中心交换机，另一端连 接到各 网络节点， pc 、终

47、端用户设备连接到这些网络节点，组成子系统。网络节 点根据子系 统的应用需求，在数据量大、实时传输、多媒体设计等场合，选择交 换机作为网络节点。 在此二级交换机采用 cisco ws-c4506 千兆以太网交换机，并采用第三层交换模块，防止 广播风暴产生。三级交换机采用 cisco ws-c2960-48tc-l 交换机，且用堆叠方式得到较 高的端口密度。 第六章第六章 施工布线施工布线 6.16.1 总则总则 所有施工必须遵守安全守则，认真执行工程进度；服从甲方指挥；确保在 规定期限内 完成综合布线系统工程施工；确保与甲方单位合作愉快。为使整个工程项目顺利完成，本 施工组织实施方案经过综合考虑

48、，加强施 工管理效能，合理组织，责任到人，人员到位， 使工程施工安全、质量、工期达 到如期目标。施工安全：不发生大的责任事故，避免小事 故发生。 施工质量：严格按照施工规范、检测标准、设计要求进行，确保每个工序 一次性完成， 力创优良工程。 施工工期：配合大楼土建及其它专业施工，保征与总体进度同步或提前。 6.26.2 施工要求施工要求 总体要求 ： 主设备间的净高 2 7m 楼板荷载： 7kn 设备间周围机构：应满足保温、隔热、防潮、防气等的要求，窗户和出入口采用双层密封 窗，使用能叹收紫外线的玻璃，主设备间应有两个出入口，均为 宽 1 2m ，高 2 om ，出入的门应是保温、隔热的封闭门

49、，向外开启。整个设备间内均吊顶，墙面贴壁 纸或 ici ，面积约为 60 平米。 环境要求： 温度要求：温度 lo 27 ；温度变化率均 5 h 。 相对湿度要求： 60 80 ，在此温度和湿度的要求下，要求不得结 露 。 尘埃要求：在静态条件下，粒度不小于 0 5um 的尘粒数应少于 18000 粒。 供电要求 ： 用电量：满足设备运转要求。 用电质量：稳态电压偏移范围士 5 ，稳态电压频偏范围土 0 5hz ， 电压 波形失真率 5 ，属一类供电方式。 照明要求： 平均照明度 300lx ，最低照度均匀为 0 7 。 其他用房照明参照国家建委标准。 主要通道事故照明，离地面 0 8n1 处

50、，不应低于 5lx 。 接地要求： 交流工作地：其地极电阻小于 4 欧姆。 安全保护地：其地板电阻小于 4 欧姆。 立流工作地：其地板电阻小于 l 欧姆。 防火要求 ： 主设备间是大楼的重点消防对象，由消防系统给予重点特别设计保护。防 水要求尽量 避免水管通过，各种管道必须采取严格的防漏措施。防静电要求有效 防止静电除了必须严 格主机房内的相对湿度、接地良好外，单元活动地板的系统 电阻应在 l 10g3 之内。 各层设备间为节省投资，建议立接采用弱电井或靠近弱电井的区域作为每 层的设备间，面 积约需 6 平米，环境要求在主设备间的基础上适当放宽。 配电要求： 所有信息点至少应配一个 220v

51、三孔强电插座，距信息点约 30 公分，在同 一高度 安装。具体实施应由土建施工单位完成。所有网络设备间至少也要配 2 3 个 220v 20a 三孔强电插座，距地 30 公 分安装。 具体实施应由土建施工单位完成。 6.36.3 施工方案建议施工方案建议 从功能上看，整个校园网络系统包括工作区子系统、水平子系统、管理子 系统、垂直 干线子系统、设备间子系统、建筑群子系统。 （ 1 ）工作区子系统 工作区指从由水平系统而来的用户信息插座延伸至数据终端设备的连接线缆和适配器 组成。工作区的 utp/ftp 跳线为软线（ patch cable ）材料，即双绞线的芯线为多股细 铜丝，最大长度不能超过

52、 5m 。 （ 2 ）水平子系统 水平子系统指从楼层配线间至工作区用户信息插座。由用户信息插座、水 平电缆、配 线设备等组成。综合布线中水平子系统是计算机网络信息传输的重要 组成部分。采用星型 拓扑结构，每个信息点均需连接到管理子系统。由 utp 线缆 构成。最大水平距离： 90m （ 295ft ） 。指从管理间子系统中的 配线架的 jack 端口至工作区的信息插座的电 缆长度。工作区的 patch cord 、连接设备的 patchcord 、 cross-connection 线的总长度不 能超过 10m 。水平布线系统施工是综合 布线系统中最大量的工作，在建筑物施工完成后， 不易变更。

53、因此要施工严格， 保证链路性能。 综合布线的水平线缆可采用五类、超五类双绞线、也可采用屏蔽双绞线。 甚至可以采 用光纤到桌面。 （ 3 ）管理子系统 在综合布线六个系统中对管理子系统的理解定义上各标准、厂商有所差异，单单从布 线的角度上看，称之为楼层配线间或电信间是合理的，而且也形象化；但从综合布线系统 最终应用 - 数据、语音网络的角度去理解，称之为管理子系 统更合理。它是综合布线系 统区别与传统布线系统的一个重要方面，更是综合布 线系统灵活性、可管理性的集中体现。 因此在万泰综合布线系统中称之为管理子 系统。 管理子系统设置在楼层配线房间、是水平系统电缆端接的场所，也是主干 系统电缆端 接

54、的场所；由大楼主配线架、楼层分配线架、跳线、转换插座等组成。用户可以在管理子 系统中更改、增加、交接、扩展线缆。用于改变线缆路由。 建议采用合适的线缆路由和调 整件组成管理子系统。 管理子系统提供了与其他子系统连接的手段，使整个布线系统与其连接的 设备和器件 构成一个有机的整体。调整管理子系统的交接则可安排或重新安排线 路路由、因而传输线 路能够延伸到建筑物内部各个工作区。是综合布线系统灵活 性的集中体现。 管理子系统三种应用：水平 / 干线连接；主干线系统互相连接；入楼设备的连接。线 路的色标标记管理可在管理子系统中实现。 （ 4 ） 垂直干线子系统 垂直干线子系统由连接主设备间至各楼层配线

55、间之间的线缆构成。其功能 主要是把各 分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道， 使整个布线系统组成 一个有机的整体。垂直干线子系统 topology 结构采用分层星型拓扑结构，每个楼层配线 间均需采用垂直主干线缆连接到大楼主设备间。垂 直主干采用 25 对大对数线缆时，每条 25 对大对数线缆对于某个楼层而言是不可 再分的单位。垂直主干线缆和水平系统线缆之 间的连接需要通过楼层管理间的跳 线来实现。 垂直主干线缆安装原则：从大楼主设备间主配线架上至楼层分配线间各个管理分配线 架的铜线缆安装路径要避开高 emi 电磁干扰源区域（如马达、变压器） ，并符合 ansi tia/e

56、ia-569 安装规定。 电缆安装性能原则：保证整个使用周期中电缆设施的初始性能和连续性能。大楼垂直 主干线缆长度小于 90m 时，建议按设计等级标准来计算主干电缆数量；但每个楼层至少 配置一条 cat5 upt/fpt 做主干。大楼垂直主干线缆长度大于 90m ，则每个楼层配线间 至少配置一条室内六芯多模光纤做主干。主配线架在现场中心附近、保持路由最短原则。 （ 5 ） 设备间子系统 设备间子系统是一个集中化设备区，连接系统公共设备，如 pbx 、局域网(lan) 、 主机、建筑自动化和保安系统，及通过垂直干线子系统连接至管理子系统。 设备间子系统是大楼中数据、语音垂直主干线缆终接的场所；也

57、是建筑群 来的线缆进 入建筑物终接的场所；更是各种数据语音主机设备及保护设施的安装 场所。建议设备间子 系统设在建筑物中部或在建筑物的一、二层，位置不应远离 电梯，而且为以后的扩展留有 余地，不建议在顶层或地下室。建议建筑群来的线 缆进入建筑物时应有相应的过流、过压 保护设施。 设备间子系统空间要按 ansi/tia/eia-569 要求设计。设备间子系统空间用于安装电 信设备、连接硬件、接头套管等。为接地和连接设施、保护装置提供 控制环境；是系统进 行管理、控制、维护的场所。设备间子系统所在的空间还有 对门窗、天花板、电源、照明、 接地的要求。 （ 6 ） 建筑群子系统 当学校的建筑物之间有

58、语音、数据、图象等相联的需要时，由二个及以上 建筑物的数 据、电话、视频系统电缆组成建筑群子系统。包括大楼设备间子系统 配线设备、室外线缆 等。可能的路由：架空电缆、直埋电缆、地下管道穿电缆。建筑群子系统介质选择原则： 楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空 (4m 以上 ) 方 式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点：包括路由起点、终点； 线缆长度、入口位置、媒 介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的 空间还有对门窗、天花板、电源、照明、接地的要求。 6.46.4 校园网对布线的要求校园网对布线的要求 每层每一个位置有一个数据点，

59、同时也安装一个语言点，数据、语音水平 系统均使用 5 类非屏蔽双绞线；数据垂直主干系统采用室内光纤，楼与楼之间采 用室外光纤；语音垂 直主干系统采用五类 25 对大对数电缆。 布线系统应符合的工业标准 iso/iec 11801 信息技术 - 布线标准 ansi eia/tia 568a 商务建筑电信布线标准 cecs89 :97 建筑与建筑群综合布线系统工程施工及验收规范 6.56.5 校园网布线建议方案校园网布线建议方案 .1 方案的预期目标方案的预期目标 符合最新国际标准 iso/iec 11801 和 ansi eia/tia 568a 标准，充分保证 计算机 网络高速

60、、可靠的信息传输要求。 能在现在和将来适应技术的发展，实现数据通讯、语音通讯和图象传递。 除去固定于建筑物内的线缆外，其余所有的接插件都应是模块化的标准件，以方便将 来有更大的发展时很容易地将设备扩展进去。 能满足灵活应用的要求，即任一信息点能够连接不同类型的计算机或微机 设备。 能够支持 100mhz 的数据传输，可支持以太网、快速以太网、令牌环网、 a tm 、fddi 、 isdn 等网络及应用。 .2 方案说明方案说明 整个布线系统由工作区子系统、水平子系统、管理子系统、垂直干线子系 统 、设备 间子系统、建筑群子系统构成。以下按各个子系统分别进行说明，在本方 案中充分