学校学生宿舍组网设计方案

1、目录前言4第1章 学校现状51.1湖南科技学院平面示意图51.2 学校南区学生宿舍概况5第2章 相关技术简介62. 1 internet62.1.1 internet的概念62.1.2 internet提供的服务62.2 pppoe72.2.1 什么是pppoe72.2.2 pppoe相关技术概要82.3 dhcp82.4 ftp82.4.1 ftp协议简介82.4.2 ftp服务器系统92.4.3 匿名ftp92.5 dns9第3章 网络设计原则10第4章 需求分析124.1 项目介绍124.2 项目方组网需求124.3 服务器需求分析124.4 接入点统计134.5 安全需求13第5章 i

2、p地址以及vlan规划145.1 ip地址规划原则145.2 具体设计155.2.1 终端设备ip地址规划155.2.2 设备管理ip地址规划165.2.3 设备互联ip地址规划18第6章 网络设计186.1 网络拓扑图186.2 网络设计描述206.3 区域设计206.4 网络安全206.4.1 网络物理是否安全206.4.2 网络平台是否安全216.4.3 系统是否安全216.4.4 应用是否安全226.4.5 管理是否安全226.4.6 人为恶意攻击手段226.4.7 数据备份与恢复23第7章 设备选型247.1 核心交换机选型说明247.1.1 设备类型类型247.1.2产品特色247

3、.2 汇聚交换机选型说明297.2.1 设备类型297.2.2 产品特性297.2.3 产品参数317.3 接入交换机选型说明337.3.1 设备类型337.4.1 防火墙选型说明34第8章 网络管理和安全358.1 网络管理358.2 网络安全368.2.1 病毒防范策略368.2.2 网络攻击及防范策略388.3 网络管理功能418.3.1 认证计费管理软件选型说明418.3.2 网络管理软件选型说明448.4 故障管理478.4.1 用户上网故障分析478.4.2 ip冲突解决方案48第9章 方案预算539.1 接入层设备预算539.2 汇聚层设备预算539.3 核心层设备预算539.4

4、 线缆预算539.5 其他设备预算539.6 总计53第10章 参考文献54前言从1959年arpa建立了arpanet网开始，互联网只经过短短四十多年的发展，今天，网络已经开始对整个经济体系产生影响。网络将像电话、汽车等的发明一样产生深刻影响，并比他们的影响更深远。许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。随着网络的普及，学生上网问题已经成为学校基础设施建设中的重点。事实上，internet的时代早已经来临，只是限于连接速率和费用的问题，很多人并没有真正能够好好地利用、享受它。如今，各种各样

5、的连接方式和越来越快的连接速率使得人们能够很好地享受宽带网（broadband networking）所带来的冲击和给我们生活、学习、工作方式的冲击，让我们生活真正地生活、工作、享受在一个宽带的时代！如果网络没有被有效被学生利用，那么中国教育的信息化建设将普遍滞后，未能从战略的高度把信息化作为企业自我发展的内在需求，未能把网络提供的市场机会作为提高人才竞争力的有效途径和企业可持续发展的新的增长点。对大多数学生而言，网络成为了他们了解市场，把握机会的一个重要途径，学校宿舍联网都没有建立，远不能适应网络经济发展对学生的需要和要求。学生信息化程度不高将会成为未来中国社会发展的一个重大阻力。基于上面一

6、系列信息化问题，学生宿舍能否实现信息化已经成为学生能否顺利发展的重要条件。一个好的学生宿舍网络有利于学生了解社会发展需求，一便于将能更好的适应社会，因此学生宿舍区网络建设在这种社会环境下已尤为必要。第1章 学校现状1.1湖南科技学院平面示意图1.2 学校南区学生宿舍概况南校区共有七栋学生宿舍楼，每栋宿舍楼六层分a 、b两个区域，宿舍楼中除了原有的pstn线路和插座，没有任何网络设备和机房。宿舍楼a座宿舍楼b座 学生宿舍楼切面图大门第2章 相关技术简介2. 1 internet随着社会的发展internet(互联网)技术在信息社会中的作用越来越重要，接下来我们认识下internet.2.1.1

7、internet的概念internet是全球计算机系统的集合，这些计算机通过主干系统互连在一起，在一套完整的编制和命令系统，它不独立隶属于某个人、单位、组织或国家，它是一个开发的世界性网络。internet是在通信网络基础上，以tcp/ip协议为基标、以域名地址和ip地址为标识、以网关和路由为转换协议的工具构成的网络的集合。internet实质上是由遍布全球的各种计算机网路互连而成的网络，而不论这些网络类型的异同、规模大小和地址位置的远近。图2-1为internet的结构示意图。 图1-1 internet结构示意图2.1.2 internet提供的服务1、 电子邮件服务（e_mail）电子邮

8、件服务是目前最常见、应用最广泛的一种到联网服务。通过电子邮件，可以与internet上的任何人交换信息。电子邮件的快速、高效、方便以及价廉，越来越得到了广泛的应用，目前只要是上过网的网民就肯定用过电子邮件这种服务。目前，全球平均每天约有几千万份电子邮件在网上传输。2、 文件传输文件传输协议（file transfer protocol, ftp）是一个用于在两台装有不同操作系统的机器中传输计算机文件的软件标准。它属于网络协议组的应用层。3、 远程登录远程登录（telnet）,因特网上较早提供的服务。用户通过该命令使自己的计算机暂时成为远地计算机的终端，直接调用远地计算机的资源和服务。2.2 p

9、ppoe2.2.1 什么是pppoeppp是为串行通信设计的，现在它与以太网（ethernet）相结合，成为在以太网络中转播ppp帧信息的技术。也称ppp over ethernet，即pppoe协议。ppp协议与以太网并不是兼容的东西，因此用户经常感到十分的迷惑，为什么要将以太网与ppp结合在一起呢？ 如果我们将tcp/ip通信与公路交通相比的话，那么基本的tcp/ip协议就是这个城市的街道网。街道上有许多的路口（或者停车点），人们在马路上可以很容易地上车或者下车。但是人们不知道每条街上有多少辆车在跑，而且每新增加一个路口将带来新的管理任务，因为你将更不清楚有多少人，有多少车在街道上跑了。p

10、pp就好比铁路，人们只能在固定的站点上上车或者下车，因此对乘客的管理和控制也相对容易（比如上车必须买票。）因此不妨再打个比喻，pppoe就象是在街道上跑的火车，事实上这不是不可能的，比如电车轨道，地铁。它带来的好处是显而易见的，首先它不影响城市里其它的交通，其次还给你带来铁路的优点，比如流量的控制。 有些isp并不是通过串行链路与用户相连的，这种情况下pppoe也可以带来部分好处；使用串行链路的isp早已经在调制解调器通信上使用ppp了，另一方面，dsl提供商通过以太网，而不是串行链路通信，因此pppoe可以满足许多人的需要。并且，许多人对于pppoe的付加能力感到特别满意。因为pppoe允许

11、isp们对用户的登录安全进行控制和测量用户流量。2.2.2 pppoe相关技术概要1通信过程概述建立pppoe通道（adsl拨号）分两个阶段：发现阶段和ppp会话阶段。 在发现阶段，以太网上的客户机要找到一个访问集中器(ac，access concentrator)，就是adsl modem，在家用时一般就只有一个ac；但如果是一个以太网内可能会有多条adsl，就会有多个ac，这时客户机就从中选择一个。发现阶段完成后，客户机和ac都得到要在以太网上建立ppp通道的相关信息。 发现阶段是无状态的，也就是两边都不用保存以前的状态信息；只有ppp会话开始后，双方就要建立一个虚拟的ppp通信接口，具体

12、在linux下会有ppp0网卡，在windows下网络连接中增加adsl的接口。 2协议头格式 pppoe数据是直接在以太头数据之上的，其等级和arp、ip等是相同的，在以太头的类型字段中，用0x8863 表示是pppoe发现阶段数据，用0x8864表示ppp会话阶段数据，2.3 dhcp动态主机设置协议（dynamic host configuration protocol, dhcp）是一个局域网的网络协议，使用udp协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配ip地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。2.4 ftp2.4.1 ftp协议简介ftp 是

13、file transfer protocol（文件传输协议）的英文简称，而中文简称为“文传协议”。用于internet上的控制文件的双向传输。同时，它也是一个应用程序（application）。用户可以通过它把自己的pc机与世界各地所有运行ftp协议的服务器相连，访问服务器上的大量程序和信息。ftp的主要作用，就是让用户连接上一个远程计算机（这些计算机上运行着ftp服务器程序）察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或把本地计算机的文件送到远程计算机去。2.4.2 ftp服务器系统与大多数internet服务一样，ftp也是一个客户机/服务器系统。用户通过一个支持ft

14、p协议的客户机程序，连接到在远程主机上的ftp服务器程序。用户通过客户机程序向服务器程序发出命令，服务器程序执行用户所发出的命令，并将执行的结果返回到客户机。比如说，用户发出一条命令，要求服务器向用户传送某一个文件的一份拷贝，服务器会响应这条命令，将指定文件送至用户的机器上。客户机程序代表用户接收到这个文件，将其存放在用户目录中。 2.4.3 匿名ftp匿名ftp是这样一种机制，用户可通过它连接到远程主机上，并从其下载文件，而无需成为其注册用户。系统管理员建立了一个特殊的用户id，名为anonymous, internet上的任何人在任何地方都可使用该用户id。 2.5 dnsdns 是域名系

15、统 (domain name system) 的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应ip地址，并具有将域名转换为ip地址功能的服务器。其中域名必须对应一个ip地址，而ip地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为ip地址的过程就称为“域名解析”。在internet上域名与ip地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识ip地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，dns

16、就是进行域名解析的服务器。 dns 命名用于 internet 等 tcp/ip 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 dns 名称时，dns 服务可以将此名称解析为与之相关的其他信息，如 ip 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的ip地址，这样才能上网。其实，域名的最终指向是ip。2.6 vod1 vod的相关概念和应用vod（video on demand）即视频点播技术的简称，也称为交互式电视点播系统。vod出现的最初动力是人们对广播电视的不满，在现行的电视节目中，收看者完全是被动的。节目提供者放什么节目，观众就只能看什么节

17、目，节目时间也是固定不变的。尽管电视台可以提供很多的节目，但要想真正完整地收看到一个自己满意的节目，对于许多人来讲也是不太容易作到的，因为在快节奏的现代社会中，许多人不可能为了看某一个电视节目而预先安排自己的时间。被迫习惯了这种被动收看方式的人们，对于有朝一日能够按照自己的需要自由地点播，充满了美好而迫切的憧憬。 为了使人们摆脱这种被动地位，有人想到能不能像点播广播节目那样点播电视节目呢？最初的解决方法有两种形式，一种是延时广播（delayed broadcast），即人们通过电话或其它信息方式通知服务台自己想在哪个时间段收看什么节目。到那时，对方就按您的要求播放您点播的节目，还有一种方式是服

18、务台每隔一段时间就从头广播一套节目，这样你总能看到节目的开头，这两种方式虽然可以给用户一定的主动权，但从本质上讲，它们还是广播业务，因为用户还是无法随时控制节目进行暂停、重放、快放、慢放等操作。于是，人们开始研究交互式电视系统，计算机技术的发展及数字通讯技术的长足进步使得视频点播成为现实，使得人们的憧憬变成了现实。点播用户只要操作遥控器，主动点播，即刻就可心想事成，收看和欣赏节目库中自己喜爱的任意节目，并可进行快慢等自由的控制，节目内容除了多媒体软件、教学信息、电影音乐外，还包括提供查询、浏览、指南、交易、广告、新闻等各类节目。世界上许多国家都在试验和发展vod它的出现使得pc变成了一种可以随

19、机获取的媒体，更像是一本书或是一张报纸，可以浏览，可以调整，不再局限于某一时间或日期也不受传送耗时的限制。第3章 网络设计原则运用国内外的成熟、先进技术，把握计算机网络发展的大趋势， 结合实际情况、特点、使用需求及未来发展，提出以下建设原则：1经济使用性 升级扩容信息网络必须经济实用且具有很高的性能价格比。2系统可靠性和稳定性系统的高可靠性和稳定性是网络系统应用环境正常运行的首要条件。在保证系统可靠性的基础上，进一步提高系统的可用性。网络的高可靠性、稳定性就是保证网络可以在任何时间、任何地点提供信息访问服务。设备要有可靠的质量，并支持热插拔特性及线路、电源备份，以保持一个稳定的运行环境。3系统

20、实用性和可管理性当今世界，通信技术和计算机技术的发展日新月异，网络设计既要适应新技术发展的潮流，保证系统的先进性，选择代表世界先进水平的技术和设备，不使投资的设备在短时间内落伍。但也要兼顾技术的成熟性、标准性、实用性考虑，不采用还未成为标准的技术及设备接口，也要兼顾技术的成熟性、实用性降低由于新技术和新产品不成熟等因素给用户带来的风险。网络设计中，选择先进的网络管理软件是必不可少的。通过这个管理平台的控制，监控主机、网络设备状态，故障报警，从而简化了管理工作，提高了主机系统和网络系统的利用效率。4系统可扩展性和开放性在网络设计时，首先要满足现有规模网络用户和应用的需求，同时考虑未来业务发展、规

21、模的扩大，应该设计关键网络设备具备扩展能力以及网络实施新应用的能力。同时，设备应采用开放技术、支持标准协议，具有良好的互连互通性，能够支持同一厂家的不同系列的产品以及不同厂家的产品之间的无缝连接与通信。灵活扩充性：灵活的端口扩充能力，模块扩充能力，满足网络规模的扩充。支持新应用的能力：产品具有支持新应用的技术准备，能够符合实际要求的，方便快捷地实施新应用。在公司内采用统一的网络体系结构，统一网络协议。围绕着统一网络体系结构，确定网络互连结构，网络操作系统和网络应用。5系统安全性和保密性安全性是网络运行的生命线。对人员、设备的安全有所考虑；对网络系统安全的考虑。硬件设备采用具有自主知识产权的设备

22、，支持多种数字认证和加密方法，吗组电子政务网络安全性需求。网络架构方面，根据国家对电子政务网络的要求，实现内外网隔离。合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护。网络可以阻止任何非法的操作；网络设备可进行基于协议、基于ip地址的包过滤控制功能，不同的业务，划分到不同的虚网中。第4章 需求分析4.1 项目介绍湖南科技学院南宿舍区位了适应现代化宿舍的需求，决定在湖南科技学院南宿舍区组建网络。该区共有学生宿舍楼七栋，分别是学生十舍、学生十一舍、学生十二舍、学生十三舍、学生十四舍、学生十五舍、学生十六舍，其中十、十一舍、十二舍。4.2 项目方组网需求1要求学生宿舍能够通过pppoe拨

23、号上网；2 公网不能访问学生宿舍网络；3 学生宿舍能够访问校园ftp；4 同一宿舍楼内的用户在一个局域网段内。5 学生宿舍网络能够访问图书馆网络4.3 服务器需求分析服务器在学生宿舍网络建设中充当着不可或缺的角色，根据项目方要求，学生区核心交换机至少要连接7太服务器服务器名数量dns1www1email1ftp1数据库服务器1vod点播服务器1dhcp1为了确保资源的安全以及数据信息不易丢失，在各服务器上均采用冗余技术，并在服务器上装载cmis系统以方便信息管理。4.4 接入点统计南校区共有七栋学生宿舍楼，每座宿舍楼分a 、b两个区域，每个区域都有6层。除第一层42间寝室外其余各层48间寝室，

24、共282间寝室，每个寝室4个用户。统计表格如下：加入点统计区域十舍十一舍十二舍十三舍十四舍十五舍十六舍总计加入点（个）2822822822822822822821974流量（m）42342342342342342342329614.5 安全需求1 内部网络正常运转2 内部网络数据安全3 网络数据恢复3 内部网络设备安全4 内部用户接入安全5 内部网络访问控制6 外部网络访问控制7 公开服务器的安全保护8 防止黑客从外部攻击9 入侵检测与监控10 信息审计与记录11 病毒防护第5章 ip地址以及vlan规划5.1 ip地址规划原则学生宿舍区使用私有b类ip地址来规划内网ip地址，选择172.16

25、.0.0/16地址。ip地址规划分为四块：用户地址、设备互联地址、设备管理地址以及服务器地址。用户ip地址：/24/24设备管理ip地址：/24设备互联ip地址：/24服务器ip地址：/245.2 具体设计5.2.1 终端设备ip地址规划终端设备ip以及vlan规划区域网段默认网关vlan号vlan名十舍a/2410area-10十舍b/2411area-11十一舍a/24172.1

26、6.12.112area-12十一舍b/2413area-13十二舍a/2414area-14十二舍b/2415area-15十三舍a/2416area-16十三舍b/2417area-17十四舍a/2418area-18十四舍b/2419area-19十五舍a/241

27、20area-20十五舍b/2421area-21十六舍a/2422area-22十六舍b/2423area-235.2.2 设备管理ip地址规划设备管理ip地址规划区域管理ip/32设备名十舍aswitch-a1swithc-a2十舍bswitch-a3switch-a4十一舍aswitch-b1swtich-b2十一舍b1

28、switch-b3switch-b4十二舍aswitch-c10switch-c2十二舍b1switch-c32switch-c4十三舍a3switch-d14switch-d2十三舍b5switch-d36switch-d4十四舍a7switch-e18switch-e2十四舍b9switch-e30switch-e4

29、十五舍a1switch-f12switch-f2十五舍b3switch-f34switch-f4十六舍a5switch-g16switch-g2十六舍b7switch-g38switch-g45.2.3 设备互联ip地址规划设备互联ip规划使用位置ip网段备注核心交换机防火墙/30/24网段用作设备ip第6章 网络设计6.1 网络拓扑图学生宿舍10栋学生宿舍11栋学生宿舍12栋学生宿舍13栋学生宿

30、舍14栋学生宿舍15栋学生宿舍16栋南区汇聚机房千兆多模光纤千兆单模光纤e座中心机房服务器群三教网管工作站千兆双绞线电信internet防火墙路由器接入层交换机核心交换机汇聚层交换机防火墙隔离区计费系统6.2 网络设计描述根据湖南科技学院南区学生宿舍实际情况，将学生宿舍10、11、12通过千兆多模光纤接入同一汇聚交换机，学生宿舍13、14通过千兆多模光纤接入同一汇聚交换机，学生宿舍15、16通过多模光纤接入同一汇聚交换机。核心交换机设在e座网络中心机房中，中心机房中还放置着服务器群、路由器、机架等网络设备，学生区核心交换机通过双绞线与他们相连，并且三教网络中心能够通过远程登录控制各个交换机。为

31、了保证整个学生宿舍网络与校网络中心连接线路的稳定与冗余，学生宿舍区核心交换机和汇聚交换机之间的连接采用双线千兆光纤链路，接入交换机和汇聚交换机之间使用单线千兆光纤链路。6.3 区域设计学生十宿舍共有282个接入点，需要使用6台交换机，设计时该栋楼的总流量为423m，接入层交换机通过千兆多模光纤连接汇聚层交换机。6.4 网络安全该宿舍区局域网是一个信息点较为密集的万兆局域网络系统，它所联接的现有上千个信息点为在整个学生宿舍区内的用户提供了一个快速、方便的信息交流平台。用户可以通过pppoe认证与internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等

32、。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。网络安全可以从以下几个方面来理解：6.4.1 网络物理是否安全网络的物理安全主要指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获等。它是整个网络系统安全的前提。在这个学生宿舍区局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。保证网络的物理安全主要包括三个方面：环境安全：对系统所在环境的安全保

33、护，如区域保护和灾难保护；（参见国家标准gb5017393电子计算机机房设计规范、国标gb288789计算站场地技术条件、gb936188计算站场地安全要求） 设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等； 媒体安全：包括媒体数据的安全及媒体本身的安全。 6.4.2 网络平台是否安全网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。我们在允许用户访问外部互联网的同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。 安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接

34、影响安全系统成功的建设。该学生区局域网络系统中，使用了一台路由器和一个防火墙，用作与internet连结的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。防火墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。6.4.3 系统是否安全系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。没有完全安全的操作系统。但我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可

35、靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 6.4.4 应用是否安全应用的安全性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的（比如财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。此外，进行访问控制，内外网的隔离以及内部网不同网络安全域的隔离，是必

36、须的。设置隔离区，把邮件等服务器放到该区，并把该区的服务器映射到外网的合法地址上以便internet网上用户访问。严禁internet网上用户到企业内部网的访问。6.4.5 管理是否安全管理是网络中安全最最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪

37、线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。 建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。 6.4.6 人为恶意攻击手段 人为恶意攻击手段包括黑客攻击，恶意代码，病毒攻击，不满内部员工的破坏等。黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。为了防止黑客入侵，需要设置服务器权限，使得它不离开自己的空间而进入另外的目录。另外，还应设置组特权，不允许任何使用服务器的人访问www页面文件以外的东西。在这个企业的局域网内我们可

38、以综合采用防火墙技术、web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。 网络反病毒技术包括预防病毒、检测病毒和消毒三种技术： 1.预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒软件等）。 2.检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。 3.清除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。 6.4.7 数据备份与

39、恢复数据的安全对企业来说是至关重要的，但是没有绝对的安全，因此对数据的备份是必不可少的。备份系统为一个目的而存在：尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场点内高速度、大容量自动的数据存储、备份与恢复；场点外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。 在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份，有“冷备份”和“热备份”两种。热备份是指“在线”的备份，即下载备份的数据

40、还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。“冷备份”是指“不在线”的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非工作运行空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比较昂贵。冷备份弥补了热备份的一些不足

41、，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。第7章 设备选型7.1 核心交换机选型说明7.1.1 设备类型类型根据湖南科技学院的学生宿舍网络建设的实际情况，需要在理工楼e座中心机房部署一台高性能、易扩展的模块化路由交换机作为南区学生宿舍的核心交换机，该交换机要求：支持真正意义上的万兆交换，完善的三次协议支持、较高的背板带宽和包转发率、三种生成树的支持、支持链路聚合技术、支持802.1x、支持各种qos等。根据具体情况，这里我们采用rg-s6506, rg-s6506是锐捷网络推出的万兆骨干路由交换机，拥有6个模块扩展槽，提供管理模块冗余，支持万兆、千兆和百兆模块线

42、速转发，可以根据用户的需求灵活配置，构建弹性可扩展的现代ip网络。” rg-s6506交换机高达768g的背板带宽和286mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是小型网络核心和大型网络骨干交换机的理想选择。湖南地区的参考报价为10.6万。7.1.2产品特色* 高性能ipv4/ipv6双协议栈多层交换 高背板带宽为所有的端口提供非阻塞性能； 丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要，特别是支持ecmp/wcmp（equal-cost multipath ro

43、uting/ weight-cost multipath routing），确保了各骨干网络链路的充分使用，大大增加了网络传输带宽，而且可以无时延无丢包地备份失效链路的数据传输； 硬件支持ipv4/ipv6双协议栈多层线速交换，硬件区分和处理ipv4、ipv6协议报文，支持多种tunnel隧道技术（如手工配置隧道、6to4隧道和 isatap隧道等，可根据ipv6网络的需求规划和网络现状，提供灵活的ipv6网络间通信方案； 双协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝地升级为下一代ipv6方案； 基于lpm硬件路由转发方式使得rg-s5750系列不仅适用于大型网络环境，而且可

44、防御各种网络病毒的侵袭，保障所有报文的线速转发，有效保证了设备的安全性； 硬件支持多层线速交换，能够识别二到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的应用流进行不同的策略管理和控制。 * 灵活完备的安全控制 具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防dos攻击、防黑客ip扫描等，还网络一片绿色； 业界领先的硬件cpu保护机制：特有的cpu保护策略（cpp技术），对发往cpu的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护cpu不被非法流量占用、恶意攻击和资源消耗，保障了cpu安全，充分保护了交换机的安全； 硬件实

45、现端口或交换机整机与用户ip地址和mac地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题； 保护端口不必占用vlan资源，即可非常方便地隔离用户之间信息互通，充分保护用户信息的安全； 支持dhcp snooping，可只允许信任端口的dhcp响应，防止私设dhcp server的欺骗；并在dhcp监听的基础上，通过动态监测arp和检查用户的ip，直接丢弃不符合绑定表项的非法报文，有效防范arp欺骗和用户源ip地址的欺骗问题； 基于源ip地址控制的telnet和web设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性； ssh（secure shell

46、）和snmpv3确保在telnet和snmp进程中加密管理信息，保证交换机管理信息的安全性，防止黑客攻击和控制设备； 控制非法用户接入网络，保证合法用户合理化使用网络，如端口安全、端口隔离、专家级acl、时间acl、基于应用数据流的带宽限速、多元素绑定等等，满足企业和校园网加强对访问者进行控制、阻止非授权用户通信的需求。 * 丰富的组播特性 支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量组播服务的环境，实现网络的可扩展和多业务应用； 支持igmp源端口和源ip检查功能，有效地杜绝非法的组播源，提高网络的安全性； 支持igmpv1/v2和igmpv3全部版本，适应不同组播环境

47、，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。 * 完善的qos策略 以diffserv标准为核心的qos保障系统，支持802.1p、ip tos、二到七层流过滤、sp、wrr等完整的qos策略，实现基于全网系统多业务的qos逻辑； 具备mac流、ip流、应用流等多层的流分类和流控制能力，实现按照业务流进行带宽控制、转发优先级等多种流策略，限速粒度精细，千兆端口粒度达64kbps，万兆端口粒度达1mbps，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。 * 高可靠性 支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证

48、网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率； 支持vrrp虚拟路由器冗余协议，有效保障网络稳定； 支持rldp，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接hub等设备形成的环路而导致网络故障的现象。 * 方便易用易管理 灵活复用的多种千兆接口形式，可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接，方便用户灵活选择线缆； 为满足网络弹性扩展和高带宽传输需要，简单选配多种类型的万兆模块，网络即可平滑升级到万兆上链骨干； 为方便安装地点或建筑物不适宜部署外部电源的环境，rg-s5750系列交换机特别提供支持poe功能的产品型号，即

49、通过双绞线就可以向远端下挂的pd设备供电，如无线ap、ip phone、视频监控等设备，方便了任何符合ieee 802.3af标准的终端设备的接入，实现以太网集中供电，以满足金融、企业、学校、医院、工厂等用户实现voip、远程监控、无线ap等网络应用的需要； sntp（简单网络时间协议）保证交换机时间的准确性，并与网络中时间服务器的时间统一化，方便日志信息和流量信息的分析、故障诊断等管理； syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理； 多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护

50、效率； cli界面，方便高级用户配置和使用； java-based web管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。7.1.3 技术参数基本规格交换机类型万兆以太网交换机传输速率10/100/1000/10000mbps应用层级三层交换方式存储-转发背板带宽240gbps包转发率l2: 线速(66mpps)l3: 线速(66mpps)端口结构固定端口vlan功能支持网络网络标准ieee802.3、ieee802.3u、ieee802.3z 、ieee802.3x、ieee802.3ae、ieee802.3ak、ieee802.3ad、ieee802.3af、ieee80

51、2.1p、ieee802.1x、ieee802.3ab、eee802.1sieee802.1q (gvrp)、ieeee802.1dieee802.1wieee802.1s网络协议igmp snooping v1/v2/v3、rldp、ieee 802.3af网管功能snmpv1/v2c/v3、web(java)、cli (telnet/ console)rmon(1,2,3,9)、ssh、sntp、ntp、syslog堆叠功能不可堆叠端口接口数量24个接口类型24端口10/100/1000m自适应端口, 12个复用的sfp接口, 2个扩展槽模块化插槽数2个其它其他功能完善的qos策略:以di

52、ffserv标准为核心的qos保障系统, 支持802.1pip tos、二到七层流过滤、sp、wrr等完整的qos策略, 实现基于全网系统多业务的qos逻辑是否支持全双工全、半双工网管支持可网管型电气规格电源电压176 - 264vac额定功率70w外观参数长度440mm宽度435mm高度44mm环境参数工作温度0 - 45工作湿度10% 到 90% rh工作高度3000m存储温度-4070存储湿度5% - 90%rh存储高度6000m7.2 汇聚交换机选型说明7.2.1 设备类型根据湖南科技学院学生宿舍建设的实际情况，需要在学生宿舍南区汇聚机房部署三台汇聚交换机，该汇聚交换机要求：支持全千兆

53、端口、完善的三次协议、较高的背板带宽和包转发速率、三种生成树的支持、支持链路聚合技术、支持802.1x、有对各种qos的支持等。根据实际情况，这里采用采用锐捷star-s3550-12g。star-s3550-12g是一款线速全千兆智能多层交换机，能提供12个gbic插槽，gbic插槽支持千兆铜缆、光纤扩展模块，支持模块热插拔，极大方便用户灵活配置网络。7.2.2 产品特性硬件支持多层交换，所有端口都具有单独的数据包过滤、区分不同应用流的功并根据不同的流进行不同的管理和控制。能在不同网络层次上提供对网络资源实施访问控制的高级多队列qos结构以diffserv标准为核心的qos保障系统，支持ip

54、 tos、sp、wrr等完整的qos策略，实现基于全网系统多业务的qos逻辑灵活的端口队列管理机制，端口多级拥塞设置;具备mac流、ip流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行高安全性，具有端口安全、acl控制等多种措施，满足企业网加强对访问者进行控制和管理。支持业界领先的eaps功能和冗余电源，实现网络的高可用性；cli界面，方便高级用户配置和使用 java-based web管理方式，可快速和高效地配置设备湖南地图参考报价5.5万7.2.3 产品参数基本规格交换机类型千兆以太网交换机传输速率10/100/1000mbps应用层级三层交换方式存储-转发背板带宽48gbps包转发率18 mpps端口结构模块化mac地址表16384kvlan功能支