计算机网络课程设计泾川县第一中学校园网组建方案

1、*实践教学*xx理工大学计算机与通信学院2010年秋季学期计算机网络 课程设计题 目：泾川县第一中学校园网组建方案 专业班级： 通信工程07级4班 姓 名： 学 号： 指导教师： 成 绩： 摘要通过对泾川县第一中学校园网现状的分析，初步完成了泾川县第一中学校园网络设计方案的选择、系统全面构架以及各个子系统的完全结合成一个整体的设计方案。该校园网包括多媒体教学网、图书馆多媒体网以及校园基本信息服务网和互联网接入，由先进的软硬件系统组成，通过高速的结构化综合布线系统有机结合在一起，具有高速、安全、标准、可管理的特征，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络。在组建校园局域网时所需要的硬

2、件设备是要用到网卡、网线和集线器(hub)与交换机。使用nat实现internet接入时网络地址的转换，再使用交换机将各个子网连接起来，并对每个子网进行ip地址划分，最后画出本网络的网络拓扑图，并用sniffer软件进行网络测试及协议数据包分析。整个校园网的布线按照符合国际标准的结构化布线技术进行设计和施工。结合目前网络技术发展趋势，决定该校园局域网系统采用成熟的千兆以太网技术。关键词：校园网；ip地址划分；网络拓扑图；网络测试及协议数据包分析前言21世纪将是知识经济时代，以知识和信息的生产、传播和应用为基础的知识经济将占世界经济发展的主导地位。国家综合国力和国际竞争能力越来越取决于教育发展、

3、科学技术和知识创新的水平，教育在经济和社会发展过程中将呈现出越来越突出的重要作用。另一方面，随着现代科学技术的飞速发展，世界范围内的信息化浪潮势不可挡，迅速延伸到国防、科研、经济等各个领域，也不可避免地改变着传统的教育模式信息和教育相结合毫无疑问地成为了当今世界教育改革和发展的有机组成部分，而当前蓬勃发展的以计算机和网络为主导的现代信息技术是教育现代化必不可少的技术基础。作为高等教育第一线的本科学校，要求要有科学的教育管理手段、先进的教学方法以及完备的教育基础设施。只有满足这些条件，才能顺应21世纪发展潮流，满足教育现代化和信息化的需求，提高学生整体综合素质，培养出满足社会需求的优秀人才。因此

4、需要建立一个功能强大，能极大的满足本校的教学科研需求和信息交流的校园计算机网络。第1章 学校描述泾川县第一中学是一所中等规模学校，学校现有实验楼、图书馆、学生宿舍楼及教学楼、教师办公楼、公寓楼。大楼之间距离为50500m，各个大楼的计算机大约有770台。在校人数3500;占地面积700亩。总的信息点将达到3000个左右。信息节点的分布比较分散，将涉及到图书馆、实验楼、教学楼、宿舍楼、公寓楼等。其中分别是:一号楼和二号楼为教学楼,三号楼是实验楼与办公楼,四号楼和五号楼是学生宿舍楼,六号楼是公寓楼,七号楼是图书馆。主控室可设在实验楼的五层，图书馆、教学楼和宿舍楼为信息点密集区。泾川县第一中学建筑分

5、布图如图1-1所示：图1-1泾川县第一中学建筑分布图第2章 需求分析随着计算机、通信和多媒体技术的发展，使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点，学校未来的教育方法和手段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展网络化教学，开展教育信息服务和远程教育服务等将成为未来建设的具体内容。2.1 带宽泾川县第一中学对计算机网络的应用主

6、要是多媒体教学和办公自动化，通过计算机网络这种先进的技术手段，实施多媒体、交互式、内容丰富、形象生动的教学，以培养出能适应社会需求的具有专业技能的人才。根据这一实际应用情况，我们分析在网络上传输的信息是音频、视频、数据相结合的信号，这样对网络的带宽需求就较高，因此，必须对网络带宽和网络的使用性能进行分析，以保证网络满足用户应用的需求。音频信号所需的带宽。模拟的音频信号必须转换成二进制数据后才能被计算机存储和处理。对音频信号用等于信号最高频率两倍的速率进行采样，然后对采样值按一定的量化等级进行量化和编码，就可以将音频信号转化成数字数据，并且基本保留原来的信息。采样频率和编码位数的选取视使用场合而

7、定。在电话系统中，一路电话所需的带宽只有56kbps或64kbps，而传送立体声唱片则需要1.411mbps。视频信号所需的带宽。在计算机中，一幅图像是由一个个的像素组成的，对每个比特进行编码。灰度图像中，每个像素编码成一个8比特的数，在彩色图像中，每个像素记录了它的颜色，因此每个像素用24比特来表示，而为了获得平稳的运动画面，每秒钟又必须显示25帧的图像，这样一幅分辨率为800600的图像所需的带宽为2480060025288mbps，通过压缩，带宽可达810mbps。以上两种信号是网络中对带宽要求最严的数据信号，而且音频信号和视频信号突发性很大，在网络中要求实时的和高质量的传输。当网络规模

8、比较大，网络用户比较多，网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时，往往会对网络带宽带来压力，令网络带宽不堪负荷，造成网络拥塞，严重时会导致阻塞，使网络通信停顿。为了解决网络拥塞问题，必须对各种网络技术进行选择，以符合用户对网络实际应用所提出的各项要求，以最高的性价比，实现网络功能。2.2 子网规划校园网中所有的主机数不超过1000台。计算机的基本地域分配是：教师办公楼有210台、实验楼有220台、学生宿舍有250台、还有图书馆和教学楼一共有90台。而一个c类子网有254个可以让用户正常使用的ip地址，所以申请4个c类ip地址即可满足这个校园网需求。具体地址分配如下：教师

9、办公楼(210台)，分配一个c类子网。实验楼(220台)，分配一个c类子网。 学生宿舍(250台)，分配一个c类子网。图书馆和教学楼一共有90台，因此两栋楼可以共用一个c类ip网段，然后对其进行子网划分。分割成两个虚拟子网，由于图书馆和教学楼的主机都不超过126台，因此图书馆和教学楼的子网掩码定为：28。这样实现图书馆和教学楼共用一个c类ip网段，从而提高了ip地址的利用率。2.3 实现的信息服务建成以后能实现除现在网络上的一般功能：如e-mail、ftp、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询外，还应包括视频点播（vod）、网络电话（i

10、p电话）等功能，是一个高速多媒体互联网，实现整个校园系统的资源共享。泾川县第一中学校园网在信息服务和应用方面应满足以下几个方面的需求：用户需求决定了该网络系统的特殊性，按照用户的要求，网络系统须实现以下功能。信息共享。有关学校的各种资料，各种信息，如图书资料，教学资料，一些最新的学校公告等可通过网络进行查询。信息交流。可通过连接internet实现与外部资讯的交流和沟通，从而获取当今世界的最新信息。通过计算机网络实现多媒体教学。如电子幻灯片、多媒体交互教学、电子白板等、办公自动化。通过运用先进的计算机技术实现办公自动化，使学校的各种行政、财务、日常办公等计算机化，提高学校的办事效率。 同时，网

11、络必须具备较高的性能和高度的安全性、可靠性、容错性。而且网络系统能平滑地向未来新技术过渡，保护已有的投资。2.4 应用程序局域网中的应用程序分为系统应用程序和用户应用程序。(一) 系统程序根据学校建网的目的，该局域网应配备如下系统应用程序：1) ftp服务器；2) web服务器；3) e-mail服务器；4) 数据库服务器；5) dns服务器；6) 应用程序服务器；7) 备份服务器；(二) 用户程序 针对该局域网要实现信息交流、视频教学、办公自动化等功能，应配备如下用户程序：1) 实时聊天工具2) 多媒体教学及课件制作软件3) 多媒体视频点播软件4) office软件2.5 qosqos的选择

12、为rsvp资源预留rsvp是一个信令协议，它提供建立连接的资源预留，控制综合业务，往往在ip网络上提供仿真电路。rsvp是所有qos技术中最复杂的一种，与尽力而为的ip服务标准差别最大，它能提供最高的qos等级，使得服务得到保障、资源分配量化，服务质量的细微变化能反馈给支持qos的应用和用户。协议的工作情况如下：发送端依据高、低带宽的范围、传输迟延，以及抖动来表征发送业务。rsvp从含有业务类别(tspec)信息的发送端发送一个路径信息给目的地址(单点广播或多点广播的接收端)。每一个支持rsvp的路由器沿着下行路由建立一个路径状态表，其中包括路径信息里先前的源地址(例如，朝着发送端的上行的下一

13、跳)为了获得资源预留，接收端发送一个上行的resv(预留请求)消息。除了tspec，resv消息里有请求类别(rspec)，表明所要求的综合服务类型，还有一个过滤器类别，表征正在为分组预留资源(如传输协议和端口号)。rspec和过滤器类别合起来代表一个流的描述符，路由器就是靠它来识别每一个预留资源的当每个支持rsvp的路由器沿着上行路径接收resv的消息时，它采用输入控制过程证实请求，并且配置所需的资源。如果这个请求得不到满足(可能由于资源短缺或未通过认证)，路由器向接收端返回一个错误消息。如果这个消息被接受，路由器就发送上行resv到下一个路由器当最后一个路由器接收resv，同时接受请求的时

14、候，它再发送一个证实消息给接收端当发送端或接收端结束了一个rsvp会话时，有一个明显的断开连接的过程。2.7存储系统分析随着网络技术的不断发展，校园网已经成为学校行政、教学、办公的一个基础平台，在学校的发展和建设当中扮演着越来越重要的角色。当前的中学校园网都是基于多种出口、多种操作平台的服务器群，这给服务器的管理和安全防护带来了一定的难度。我校的各类应用服务器拓扑如图所示，校园网的各类网络服务根据服务对象不同，把服务器分布在电信公网、教科网和局域网三个网段落中，三个网段落间互相隔离，从而起到安全控制的作用。主干采用千兆/百兆以太网络，存储采用独立的存储区域网络（san），实现数据的独立存储和管

15、理。校园计算机网络需要的服务器通过san交换机连接到光纤存储系统上，图书馆系统服务器和一卡通系统的服务器也通过这个交换机连接到这个存储系统上。每台服务器通过两条线路分别连接在两台san交换机上，浪潮英信emc cx500存储系统通过四条线路连接在两台交换机上，由于一卡通和部分学校信息管理系统的数据尤为重要，为了万无一失，存储建议通过一台adic的scalar 24 lto磁带库，用于此类关键数据的离线备份，确保整个校园信息系统有一定的容灾能力。2.8 系统及数据安全分析数据是网络的精神，数据的安全是网络安全的关键。该系统以nt为平台，以da磁盘阵列及ha软件为核心，sql库及所有数据存放在da

16、磁盘阵列中，两台服务器上只安装本地系统文件及ha软件并构成一主一从的热备方式。当系统启动后，rose ha首先启动ha manager管理程序，然后启动必要的服务和代理程序来监控和管理系统服务。ha代理程序通过rs232或专用网络适配器来监控、监测、诊断和管理硬件、软件服务。2.9 网间隔离网络隔离，英文名为network isolation，主要是指把两个或两个以上不可路由的网络(如：tcp/ip)通过不可路由的协议(如：ipx/spx、netbeui等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离(protocol isolation)。协议隔离和防火

17、墙不属于同类产品。 网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破，既便有所改进也必须付出巨大的成本，和“适度安全”理念相悖。第3章 拓扑图及方案整体描述3.1 拓扑图及方案整体

18、描述本方案主要选择千兆以太网技术来构建校园网络，对两层结点和桌面微机的接入也采用快速以太网，建立一个基于多层、全交换的虚拟校园网。在实际构筑中采用三层结构。最下层到桌面为100mbps；第二层为楼内各楼层到二级交换机，由100m bps的交换式快速以太网构成；各楼到网络中心（即主干）为千兆位以太网。根据前面的分析，画出泾川县第一中学校园网拓扑结构图，如图3-1所示：宿舍楼interne接入入点 口入点 实验楼办公楼 宿舍楼办公楼实验楼图书馆catalyst3000catalyst3000catalyst5000catalys t3000网管中心catalyst3000catalyst3000c

19、atalyst3000教学楼千兆光纤百兆光纤双绞线 图3-1 泾川县第一中学校园网拓扑结构图3.2 internet接入方案对于校园网，可以采用路由器实现接入internet。在局域网上通过代理服务器软件或者路由器，都可以解决多用户共享访问internet问题，实质上是一个介于用户群体和internet之间的桥梁，用以实现其网络用户对internet的访问。在使用路由器接入internet时，对于缺少合法ip地址情况下，可以使用（nat）地址转换技术实现内部网络对外部网络的访问。路由器在收到内部网络中的计算机访问外部网络的ip数据包时，将这些非法的ip地址转换成合法的ip地址， 作为ip数据包

20、的源地址访问外部网络，当回来的数据包经过路由器时，在把该数据包的目标地址转换为相应的局域网内的主机ip地址，并把该数据包传送到相应主机，sb网tde_4jzv软s从而达到访问internet的目的。这些功能其实是nat（网络地址转换）的一部分。 除了nat之外，路由器接入internet还采用了防火墙技术，主要是基于源和目标ip地址以及端口过滤的防火墙技术。通过防火墙技术，可以在一定程度上使内部局域网免受外面的攻击，起到一定的安全作用。目前国内常见的有以下的几种接入方式可选择：1.tn公共电话网 这是最容易实施的方法，费用低廉。只要一条可以连接isp的电话线和一个账号就可以。但缺点是传输速度低

21、，线路可靠性差。如果用户多，可以多条电话线共同工作，提高访问速度。2.dn 目前在国内迅速普及，价格大幅度下降，有的地方甚至是免初装费用。两个信道128kbit/s的速率，快速的连接以及比较可靠的线路，可以满足校园网浏览以及收发电子邮件的需求。而且还可以通过isdn和internet组建vpn。这种方法的性能价格比很高，在国内大多数的城市都有isdn接入服务。 3.adsl 非对称数字用户环路，可以在普通的电话铜缆上提供158mbit/s的下行和1064kbit/s的上行传输，可进行视频会议和影视节目传输。可是有一个致命的弱点：用户距离电信的交换机房的线路距离不能超过46km，限制了它的应用范

22、围。3.3 远程访问支持远程访问通常指远程接入，即远程计算机通过拨号线路连接到本地网络。远程访问最主要的应用有两类，一是供远程移动用户接入校园网的本地网络，二是供isp(因特网服务提供商)提供internet接入服务。在实际应用中，主要通过专门的硬件设备来提供远程访问服务，如3com的netserver能够提供16路电话线或isdn拨号上网，使用于远程用户不同的校园网网络的远程接入，而totalcontrol多服务平台一般用作isp的介入设备，能够同时支持大量用户通过电话线或isdn上网。也可通过软件来提供远程访问服务，如windowsw和windows2000网络操作系统都集成了远程访问服务

23、器。这种软件方式，效率虽然不如专门的硬件设备，但是在有些场合下则是一种经济有效的解决方案，特别是对远程接入用户较少的网络来说，非常适用。广义的远程访问包括远程控制和远程客户两种方式。远程控制主要用于从一台计算机控制和操作另一台计算机,一般通过远程控制软件来实现，如著名的pc anywhere。远程客户即是本章主要介绍的远程拨号接入，由远程服器提供若干远程计算机连接到网络的服务，如无特别说明，一般就称为远程访问，也有称远程接入的。windows2000远程访问是整个路由和远程访问服务的一部分。路由和远程访问是互相关联的，但路由和远程访问是两个独立的网络功能。windows2000服务器将虚拟专用

24、网络集成到路由和远程访问服务(rras)组件。运行windows2000的远程访问服务器提供两种不同的远程访问连接，即拨号网络和虚拟专用网络。1.拨号网络通过使用远程通信提供商(例如模拟电话、isdn或x.25)提供的服务，远程客户机使用非永久的拨号连接到远程访问服务器的物理端口上，这时使用的网络就是拨号网络。最常见的使用方式是拨号网络客户机使用拨号网络拨打远程访问服务器某个端口的电话号码。拨号网络客户机和拨号网络服务器之间通过拨号网络(模拟电话或isdn线路)建立直接的物理连接。如何组建拨号网络是本章的中心内容。2.虚拟专用网络虚拟专用网络是在公共网络(internet)环境中建立的专用网络

25、。虚拟专用网络客户机使用特定的。称为隧道协议的基于tcp/ip的协议，来对虚拟专用网络服务器的虚拟端口(电话号码)进行依次虚拟呼叫。最常见的使用方式是，虚拟网络客户机使用虚拟专用网络连接连接到与internet相连的远程访问服务器上。远程访问服务器应答虚拟呼叫，验证呼叫方身份，并在虚拟专用网络客户机和校园网网络之间传送数据。虚拟专用网络客户机和虚拟专用网络服务器之间通过虚拟专用网络建立逻辑的、非直接的连接。当wimdows2000服务器用于拨号网络时常常称为拨号网络服务器;当windows2000服务器用于虚拟专用网络时，则称为vpn服务器。两者在windows2000中统称为远程访问服务器。

26、3.4 子网划分1.ip地址规划原则ip地址规划有以下原则。简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式；连续性：为同一个网络区域分配连续的网络地址，便于采用summarization及cidr（classlessinterdomainrouting）技术缩减路由表的表项，加快路由器的收敛速度，也可以减少网络中广播的路由信息的大小，提高路由器的处理效率；可扩充性：考虑到信息网络的飞速发展，为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性，满足网络信息平台未来发展的需要；灵活性：地址分配不应该仅基于某个网络路由策略的优化方案，而应该便于多数

27、路由策略在该地址分配方案上实现优化，满足各种用户接入的需要；可管理性：地址的分配应该有层次，某个局部单位ip地址的变化不要影响全局网络；安全性：网络内应按工作内容划分成不同网段即子网，以便进行管理；高利用率：合理使用地址块，并且采用vlsm技术，提高ip地址利用效率。2.ip地址编码结构和分配本设计方案校园网使用1个c类的地址段：55地址段，校园局域网需要规划的ip地址包括：领导ip地址：192.168.25；各学院ip地址：00；宿舍区ip地址：192.168.91192.168.5

28、.120。3.5 网间隔离方案设计网络隔离，英文名为network isolation，主要是指把两个或两个以上可路由的网络(如：tcp/ip)通过不可路由的协议(如：ipx/spx、netbeui等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离(protocol isolation)。协议隔离和防火墙不属于同类产品。网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全

29、机制来实现，而这些机制的实现都是通过软件来实现的。因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破，既便有所改进也必须付出巨大的成本，和“适度安全”理念相悖。校园网网络隔离图如图3-2所示。图3-2 网络隔离图3.6 存储方案比较了各种存储方案之后，在本组网方案中决定采用raid方式。raid，为redundantarraysofindependentdisks的简称，中文为独立磁盘冗余数组。raid为使用者降低了成本、增加了执行效率，并提供了系统运行的稳定性。标准的

30、raid写操作，包括如：raid4或raid5中所必需的校验计算，需包括以下几个步骤：以校验盘中读取数据；以目标数据盘中读取数据；以旧校验数据，新数据及已存在数据，生成新的校验数据；将新校验数据写入校验盘；将新数据写入目标数据盘。 当主机将一个待写入阵列raid组中的数据发送到阵列时，阵列控制器将该数据保存在缓存中并立即报告主机该数据的写入工作已完成。该数据写入到阵列硬盘的工作由阵列控制器完成，该数据可继续存放在cache中直到cache满，而且要为新数据腾出空间而必须刷新时或阵列需停机时，控制器会及时将该数据从cache写入阵列硬盘中。 这种缓存回写技术使得主机不必等待raid校验计算过程的

31、完成，即可处理下一个读写任务，这样，主机的读写效率大为增加。3.7 设备选型交换机采用benq-ss0224智能型24口,rj45 10/100m自适应交换机，可插入二对100m光纤模块。为网络设备的升级和网络端口的扩充打下了良好的基础。易于操作和管理以太网络技术本身就具有极强的可管理性。benq-ss0224交换机的配置界面清晰明了，为网络的安装、设置和管理带来的极大的便利。网管软件使用图形界面简化了网络的管理和维护使用标准协议使不同网络设备的互连成为可能。以上这些都具有良好的扩展性。路由器采用cisco-7513，这是多协议高端路由器，最大dram内存（mb）：32mb（缺省），128mb

32、（rsp2最大），256mb（rsp2最大），最大flash内存（mb）：40。包转发率（mpps）:2.2。 固定广域网接口：可选用广域接口wic卡。控制端口：rs-232.支持接口模块局域网端口适配器：5端口以太网10basefl，2端口快速以太网/isl 100basefx，4端口令牌环网4/16mbps，全双工，1端口fddi全双工多模式或单模式 ；广域网端口适配器：1端口多通道t3，带有集成化csu/dsu的8端口多通道t1。支持多协议如：ieee 802.3，isdn；加密标准ah（md5），esp（null，des，3des，arc4，proprietary fast encod

33、ing，+md5/hmac，-md5）；ppp （pap，chap，lcp，ipcp，mlppp）。支持的网管协议：cisco clickstart，snmp。支持vpn、qos、内置防火墙、安全标准：ce fcc、电源电压（v）：100-240，电源功率（w）150。服务器采用ibm xseries 255 8685-a1d：cpu频率(mhz) 2200，处理器描述 最大处理器数量4，支持cpu个数 1，cpu二级缓存 2048kb fsb（总线） 100mhz，内存类型 ddr， 内存大小 512mb，最大内存容量 24gb，硬盘大小（gb） 73gb，硬盘类型/描述 scsi ide控

34、制器 ultra ata 33/66/100 scsi控制器 ultra 160 scsi 扩展槽 7，光驱 48x，电源：冗余双热插拔电源，电源数量 2，电压 220，功率（w） 370， 工作温度 10 35，工作湿度 8% - 80%，储存温度 -20 60，储存湿度 5% - 95%，特点：网卡类型/数量 10/100/1000m自适应以太网卡。网卡采用神州数码dcn-550gt，传输速率：10/100/1000mbps。总线类型：pci。网线接口类型：rj-45单口。传输介质类型：5类或5类以上非屏蔽双绞线（100米）。全双工/半双工：全双工/半双工自适应。led指示灯：5个（lin

35、k、act、10m、100m和1000m）其他技术参数：32/64位pci，物理尺寸:165mm79mm，最大功耗:13.5w（2.7a / 5v），工作温度:0c60c，存储温度:-40?/td。特点：可通过双绞线与千兆交换机连接，提供2000mbps全双工高速网络连接。dcn-550gt还支持ieee802.1q vlan、ieee802.1p优先级和全双工模式下的ieee802.3x流量控制等增强网络功能，能够有效提高网络性能和安全性，从而更好的支持多媒体、视频播放等网络应用。防火墙采用cisco pix-50， cisco设备类型，3500网络吞吐，10mpps安全过滤，3mb用户数限

36、，10设备类型，并发连接数 3500，网络吞吐量 10mpps，安全过滤带宽 3mb，用户数限制 10，入侵检测 dos、ids，安全标准 ul1950, can/csa-c22.2 no. 950，en 60950, iec60825-1, iec60825-2, en60825-1, en60825-2, 21cfr 1040，控制端口 rs-232，管理 cspm,pdm,cli,web,管理软件： cisco pix-501-一般参数 适用环境 工作温度（） 0 - 40工作湿度 5% - 95%存储温度（） -20 - 65存储湿度 10% - 90%，电源 220v,5w，尺寸 1

37、59*140*25mm，重量 0.34kg ，其他性能 cpu;133mhz amd sc520,闪存: 8 mb,随机存储内存16 mb sdram。3.8 软件pentium mmx350cpu；128mb内存；svga(cirrus logic 5446pci)（超级视频图形阵列）显示卡；40gb和scsi接口硬盘；一个cd-rom驱动器；网卡，采用10/100m自适应全双工网卡；交换机，采用24口交换机，若日后扩展可加入集线器，增加的用户通过集线器连接到交换机。网线使用超五类非屏蔽双绞线；网络接头用rj-45；信息插座，amp双口信息插座面板；服务器操作系统建议使用windows200

38、0 server，便于使用。3.9 信息服务方案 校园网络功能较为复杂，涉及各个领域，如科研、学术、软件、经济、政治等的信息资源共享系统，人事管理、财务管理、教务管理、科研管理、档案管理、后勤管理等学校信息管理系统和mail系统等。不同应用对服务器要求不同，为此，建议将各个不相关应用服务分开部署，以获得较好的性能和管理、维护的方便。而校园管理应用的数据对学校的整体教学与运营来说至关重要，对存储系统的高可用性、可管理性以及数据安全都提出了较高的要求。3.10 综合布线方案综合布线系统是建筑物或建筑群内的传输网络，它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接，也能使这些设备与外部

39、通信网络相互连接，包括建筑物到外部网络或电话局线路上的连线点，与工作区的话音或数据终端之间的所有电缆，以及相关联的布线部件。一个良好的综合布线系统对其服务的设备有一定的独立性，并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、pc和主机以及公共系统装置。一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统。校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统，集中管理。对于多幢楼宇，可采用多设备间的

40、方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（internet）对内通信的各种网络设备（交换机、路由器、视频服务器等），中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。 楼内布线包括水平布线和主干布线。水平系统采用超五类双绞线，新的楼宇采用暗装墙内的方式，旧的楼宇采用pvc线槽明装的方式。考虑到学校校园建设的实际需求，我们选用进口8芯室外光缆、进口6芯室内光缆、at&t的非屏蔽超五类双绞线、信息插座、超五类信息模块。校园网的主干即网络

41、中心与教学楼、实验楼、图书馆、宿舍楼之间全部采用8芯室外光缆；楼内选用进口6芯室内光缆和5类线。这样能保证网络产品按照结构化布线系统进行布线。这样的布线系统具有以下优点：网络易于管理、维护；网络安全性好；网络设备可实现零冗余；充分利用投资；扩展性好。水平子系统： 从各信息到主配线间的水平系统均选用at&t的非屏蔽超五类双绞线，按层配线架设在竖井距地面1.5米处，信息插座距地面0.5米处。管理子系统：管理子系统由交连、互连和i/o组成.管理点为连接其它子系统提供连接手段,一般包括主配线间和楼层配线间.交连和互连允许将通信线路定位或重定位到建筑物的不同部分,以便能更容易地管理通信线路.i/o位于用

42、户工作区和其它房间,使你在移动终端设备时能方便地进行插拔.设备布线子系统：设备布线系统由设备间的电缆、连接器和相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。该子系统将中继线交叉连接处和布线交叉连接处与公共系统设备（如pbx）连接起来。该子系统还包括设备间和邻近单元（如建筑物的入口区）中的导线。这些导线将设备或雷电护装置连接到合适的建筑物接地点。第4章 网络管理网络管理可分为网络行政管理和网络软件管理。4.1网络行政管理网络行政管理人员主要要求：1. 熟悉网络安全工作；2. 熟悉常见操作系统的日常管理以及服务配置，安全配置（windows系列， linux系列）；3. 具备不依靠杀毒

43、软件，发现清除windows系统下病毒以及恶意软件的能力；4. 熟悉常见扫描工具的使用，能够发现网络中或者系统存在的缺陷，并提出补救措施（如nmap,nessus等）；5. 熟悉常见网络协议，能熟练使用相关工具分析网络问题（如tcpdump，wireshark，netcat等）；6. 了解常见的攻击手法，了解常见漏洞产生的原因（如ddos常见方法，如入侵常见方法等）。4.2 网络软件管理网络软件管理是整个网络的核心。为了确保网络的正常运行，必须对网络上各节点的运行状况和网上的数据流量进行监控，以便分析网络的性能，从而优化网络结构。这必须依靠强有力的网络管理系统来支持。网络软件管理包括网络配置管

44、理、故障管理、性能管理、安全管理和性能统计等。 校园网的所有的交换器、集线器、路由器、和远程接入服务器上都配置了snmp代理模块，可以采用snmp兼容的网络管理系统进行管理。这里我们选用intel公司的landesk network manager和landesk management suite对网络设备和网上工作站及服务器进行管理。 landesk network manager主要对hub和switch等网络设备进行监控和管理。landesk network manager能自动生成和维护整个网络的拓扑结构图，能监视每个网络端口的信息流量及配置，并且能将网络系统划分为虚拟网段，优化网络的

45、性能，它还能提供网络系统的故障检测和报警。 landesk management suite主要对网上的服务器和工作站进行管理，包括工作站硬件配置的监视，服务器状态的监控和告警事件的处理，软件的分发，生成包括使用率、服务器统计情况和告警等的统计报告。在安全性方面，学校采用了典型的分区式的网络安全体系结构，按照功能将校园网划分为校园内部网和校园外部网两个部分：校园内部网实现了校内各类信息资源和应用系统的共享和访问；校园外部网实现了internet网络的互连和访问，内部用户可以通过认证访问外部网和internet；而未经授权的外部用户将不能穿过防火墙进入内部网，从而避免内部网上核心应用服务器受到侵

46、害。本校园网中，在校园内外网络之间采用了一台高性能的防火墙构成了内外网络隔离的系统，保证网络系统的安全和访问控制。在与远程用户连接的接口用了一台带过滤包功能的路由器也起到了内部可信任网和外部不可信任网的隔离。第5章 系统主要设备报价系统主要设备报价如表5-1所示：表5-1 系统主要设备报价设备名称型号单价数量服务器ibm xseries 255 8685-a1d3,88001交换机benq-ss022422004网卡神州数码-dcn-550gt6901路由器cisco-751311,8001防火墙cisco pix-50120001光纤室外用12芯多模37 300m光纤配线架5804光纤配线面

47、板755光纤耦合器5010光纤收发器10/100m2，0002接地夹2002光纤套管9501st光纤接头8010pvc管材室外用3330mamp信息面板470rj-451.5300双用打线工具2501双绞线超五类非屏蔽78025箱pvc管材室内用3900mwindows2000server19571microsoftoffice xp简体中文标准版39401硬件：116，805元 软件：5，598元第6章 网络测试及协议数据包分析 对于网络测试及协议数据包分析，我们采用sniffer软件。sniffer软件是nai公司推出的功能强大的协议分析软件。本文针对用sniffer pro网络分析器进行

48、故障解决。利用sniffer pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。 sniffer软件的主要功能有：捕获网络流量进行详细分析；利用专家分析系统诊断问题；实时监控网络活动；收集网络利用率和错误等。1.环境简介这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上采用sniffer进行流量捕获，并把产生流量最多的协议http协议的网络流量过滤出来加以分析，分析过程及结果如下。2.找出产生网络流量最大的主机我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大

49、的那些计算机。我们利用sniffer的host table功能，将所有计算机按照发出数据包的包数多少进行排序，结果如下图6-1所示:图6-1 计算机按发数据包多少排序从图7-1中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表，我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。通过host table，我们可以分析每台计算机的流量情况，有些异常的网络流量我们可以直接通过host table来发现，如排在发包数量前列的ip地址为的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个，这对http协议来说显然是不正常的，http协议是基

50、于tcp的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，udp这种非连接的协议有可能。同样，我们可以发现，如下ip地址存在同样的问题：表6-1 ip地址存在的问题ip地址发包数量收包数量55300050243305222101918902147001294021091321090这样的主机还有很多。3.分析这些主机的网络流量下面是我们对部分主机的流量分析。首先我们对ip地址为的主机产生的网络流量进行过滤，然后查看其网络流量的流向，下面是用sniffer的matrix看到的其发包目标如图6-2所示: 图6-2 发包目标图图6-3 发包目标地址图我们可以看到，其发包的目标地址非常多，非常分散，且对每个目标地址只发