学校内部网规划设计

1、重庆科创职业学院重庆科创职业学院局域网组网技术实训报告题目：题目： 黔江中学内部网络规划黔江中学内部网络规划 专专业：业： 计算机应用技术计算机应用技术 班班级：级： 计应用计应用 zk0902zk0902 班班 学学号：号： 5901012009022259010120090222 姓姓名：名： 安安 平平 成成绩：绩： 指导教师：指导教师： 龙崇冰龙崇冰 完成日期：完成日期：20112011 年年 6 6 月月 1818 日日i目目 录录1 黔江中学简介及需求分析.11.1 黔江中学简介.11.2 需求分析.11.2.1 功能需求.11.2.2 技术需求.11.2.3 网络现状分析.22

2、黔江中学系统总体设计.32.1 网络设计原则.32.2 网络设计目标.32.3 网络拓扑结构设计.42.4 布线系统设计.42.5 internet 接入.43 ip 地址规划与 vlan 划分.53.1 ip 地址规划.53.2 内部网络 ip 地址分配.53.3 外部网络 ip 地址分配.63.4 vlan 设计 .64 局域网服务器规划与配置.74.1 dhcp 服务器的安装与配置.74.2 web 服务器的安装与配置.85 安全规划与设计.105.1 系统安全.105.2 信息安全 .115.3 应用安全 .115.4 路由器级安全控制.115.5 网络安全防火墙.12ii5.6 ci

3、sco pix 防火墙具体实施.136 工程实施规划.146.1 设计原则.146.2 总体设计思路.146.3 传输布线方案设计.156.4 线路铺设.187 心得体会.1811 1 黔江中学简介及需求分析黔江中学简介及需求分析1.1 黔江中学简介重庆市黔江中学校，始建于 1925 年，是原四川省省级重点中学，重庆市直辖后，被命名为首批市级重点中学。学校现占地 168 亩，校园环境幽雅，高木参天，花草映地，现代化教学楼群与优美的自然环境和谐相依。自 1998 年以来，市、区两级政府及学校自筹，先后投入建设资金 3000 余万元，极大地改善了办学条件，各项设施基本步入现代化。学校实验设备齐全，

4、拥有先进的“班班通”、校园网、教学双向控制系统等电教设备，拥有标准化的塑胶篮球场、塑胶运动场等现代化体育设施，拥有藏书 10 余万册的现代化图书馆这些现代化的硬件条件为学生的成长奠定了坚实的物质基础，为培养现代人才创造了良好的条件。1.2 需求分析1.2.1 功能需求经过对黔江中学的调查和了解，随着学校规模和业务的不断发展，已有的网络系统已逐渐不能适应现有应用的需求。为了提高网络的覆盖率，使更多的人可以利用网络的便利性，以及为了在网络上可以支持更多的新一代的应用系统比如（网络会诊、网络研讨、视频会议） ，保证整个网路的安全性，先进性，便捷性和可扩充性原则，并满足用户在网上对学校的了解，及时挂号

5、，学校内部资源共享，科学研究等功能，需要在原有的基础上建设新的学校网络。1.2.2 技术需求从技术角度考虑，一个好的网络应该更多的提供服务和网络安全性。在设计网络时功能方面应具备以下几点：1、资源共享功能网络内的各个桌面用户可以共享数据库和共享打印机，实现办公自动化系统中的所有功能；22、通信服务功能用户能够通过服务器和广域网连接进行电子邮件的收发，实现 web 服务和ftp 服务，接入互联网，进行安全的数据访问。3、多媒体功能能够进行网络会诊和视频会议，支持视频点播和视频会议并具有教好的质量保证。1.2.3 网络现状分析从目前来讲，主要需求分为如下几个方面：1、网络系统中心在学校总部计算机机

6、房中心。2、整个网络采用先进的网络结构，以满足传输、存储和处理数据等信息的需要。3、各大楼通过总部计算机机房中心和 internet 接通。4、满足整个学校内部网络安全的需求。5、完整统一的系统管理平台。根据用户的需求及应用的特点，我认为本网络系统应该满足如下特点：1、网络规模较大本地网络上的用户多,将来会进一步发展。因此，网络的设计要留下充分的发展余地。比如，服务器及工作站的网络传输速度要能够适应业务不断增长的需要，网络能够支持将来电视会议及多媒体等新业务以适应新应用的需求。2、先进性学校内部网络系统利用当今计算机与通讯科学技术的先进成果，在一个高起点基础上发展，保障系统具有较长的生命周期，

7、使企业网络系统不会落后于技术的发展，同时也不会造成资源浪费。不然，会极大地影响系统的进一步开拓。3、性能要求较高为了满足各种工作站的应用的要求，服务器的网络接口应该有比较高的吞吐能力服务器的网络传输速率要在 100mbps 以上；工作站的网络传输速率也应该满足一定的要求。而且，随着业务的开展，对网络传输速率的要求会不断提高。因此要求网络设备应具有比较高的容量，满足系统发展的需要。而且，采用的网络技术应该提供多种速率的连接接口，满足系统对服务器带宽的要求。34、高可靠性网络的可靠性要求高，采用容错技术或设备级的备份保证网络系统的正常工作。5、扩展性未来网络上许多用户对网络带宽有更高的要求，如网络

8、上的电子商务系统的应用，都使这些用户对网络的带宽有特殊的要，所以网络要求提供这方面的扩展。2 2 黔江中学系统总体设计黔江中学系统总体设计2.1 网络设计原则在学校内部网络的方案设计及建设过程中，要充分考虑学校目前的具体甚至特殊需求，又要符合学校未来发展的需要。鉴于此，在设计中应遵循以下几项总体原则：1、在充分考虑学校网络总体要求的基础上，最大限度满足学校的特殊要求；2、充分利用现有设备，保护学校投资；3、保证简单、实用的基础上对网络的设计应尽量采用先进技术和设备；4、网络结构采用扩展型星型的网络结构；5、采用全交换网络技术；6、具有很好的安全性、可靠性。设计要简单、灵活、合理、易于开发，便于

9、维护。7、应用系统要求网络服务器具有较高的处理能力和 i/o 吞吐能力。8、操作系统应具有良好的可扩展性。2.2 网络设计目标网络建设的目标，就是在总部和各大楼局域网建设、及其广域网联接的基础上，将互联网技术引入学校内部网，从而建立起统一、快捷、高效的 intranet系统。整个系统在安全、可靠、稳定的前提下，符合经济的原则，即实现合理的4投入，最大的产出。具体规划如下：1、以总部计算机机房为中心，与大楼各层、通过光纤相连，构成大型分级局域网。以千兆以太作为主干网，利用第三层交换技术实现大型局域网的 vlan划分。规划中二级节点采用千兆，与中心主交换机（主节点）构成千兆网络主干，各二级单位（三

10、级节点）采用 100m 光纤收发器通过二级节点接入主干网。考虑到网络环路连接可达到冗余效果，增加系统的可靠性，因此，二级节点之间尽可能互联，形成环路。2、网络的安全机制：1)通过对网络设备的配置，控制访问列表等方式来加强网络的安全性措施；2)更重要的是，在内部网与公众网的结合处，采用先进的防火墙技术、代理服务器技术、以及 web 服务器的口令验证、数据加密等技术实现网络的安全性。网络中心设立 web 应用服务器、代理服务器、e-mail 服务器、dns 服务器、和数据库服务器，实现 web 访问、internet 接入、域名解析和应用系统等各种功能。2.3 网络拓扑结构设计根据以上设计网络拓扑

11、结构的原则及现在常用的总线型、星型、环型拓扑结构的特点，设计学校的门诊大楼,外科大楼,无创外科中心,内科大楼网络结构时采用扩展型星型拓扑结构。学校路由器采用 cisco 2811，每层楼的核心交换机采用 huawei3600，交换机最后汇聚到 cisco 4506 交换机。每个楼层以光纤方式连接到汇聚层。设计的拓扑结构如图 2.1：5图 2.1 黔江中学网络结构拓扑图2.4 布线系统设计随着计算机网络技术的发展，传统建筑中的供风、暖通、给排水、通讯、通信、监控等都变得可控起来，传统建筑正在朝可控制和管理的智能方向发展，即智能化大厦，信息社会在飞速发展中不断出现的新需求也是传统建筑所无法满足的。

12、结构化综合布线系统（scs）是智能化学校的基础，有了好的结构化综合布线系统，整个学校能更好的为各层次用户提供最佳、最便捷的服务。2.5 internet 接入根据学校的需求分析及应用要求我采用 ddn 专线接入。3 3 ipip 地址规划与地址规划与 vlanvlan 划分划分3.1 ip 地址规划目前的网络大多是 internet/interne 结构，是一个与外间网络有联系，但又相对而言独立的网络，它的 ip 地址规划需要考虑以下问题：用什么样的 ip 地址，怎么划分地址，用什么方式分配用户地，如何使用 nat，以及如何管理 ip 地址等。63.2 内部网络 ip 地址分配对于局域网的 i

13、p 地址管理问题，用户规模越大，管理工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态 ip 地址分配（dhcp） ，另一方案是使用静态地址分配，但必须加强 mac 地址的管理。用动态ip 地址分配（dhcp）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但使用动态 ip 地址分配需要设置额外 dhcp 服务器。综合以上考虑，结合黔江中学的实际情况，内部网络 ip 地址采用 dhcp 分配具体规划如下：dhcp 服务器 ip 地址：dhcp 服务器：28192.168

14、.3.254路由器：内部 ip： 表 3.1 ip 地址规划学校大楼名称ip 地址范围子网掩码网关门诊大楼54外科大楼54无创外科中心54内科大楼543.3 外部网络 ip 地址分配由

15、于内部服务器中的 www 服务器需要和外界通讯要解决这个问题，我们可以申请一定数量的合法 ip 地址，并绑定在在防火墙的外部网卡上isp 分配给 www 服务器的 ip 为：内部 ip：7,真实ip：7pix 防火墙的 ip 地址分别为：内网接口eth1：，外网接口 eth0： 通过设置 pix 把真实 ip 绑定到防火墙的外网接口，并在 pix 上定义好 nat 规则，这样，所有目的 ip 为7 的数据包都将分别被转发给 7；而所有来自

16、7 的数据包都将分别被伪装成由 7，从而也就实现了 ip映射。需要申请合法 ip 地址的服务器包括：internet 接入路由器、www 服务器、7防火墙。3.4 vlan 设计vlan 虚拟局域网，它依靠逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段，划分的依据可为设备所连的端口、用户节点的 mac 地址等。整个网络可以根据管理的要求、地理位置和片区的划分来设置相应的 vlan（虚拟子网），vlan 技术可以将不同 vlan 之间的用户隔离，保证安全性。划分的结果使得同一虚网内数据可自由通讯，而不同虚网间的数据交流则需要通过具有第三层路由功能的设备来完成。c

17、isco 交换机系列都支持 vlan 的设定和 isl、802.1q 两种以太网 vlan 标识技术。本方案设备从核心层交换机 cisco4506、访问层交换机,到接入层交换机设备都支持 ieee 802.1q vlan 标准，保证了该项技术的顺利实施。这样，通过在接入层交换机为用户配置不同的 vlan，进行端口隔离，所有的用户端口只能通过核心交换机来实现互连。每层楼的核心交换机采用huawei3600,huawei3600 交换机最后汇聚到 cisco4506 交换机。每个楼层以光纤方式连接到汇聚层。部门之间的 vlan 信息可以通过它来转发可以减少核心层交换机的负担,在核心层交换机通过 a

18、cl 进行相应的控制，使得用户的访问得到完全的控制。采用如下方式划分子网：子网一：网络中心，包括数据库服务器，web 服务器，www 服务器和 dhcp 服务器，网管工作站，代理服务器和访问服务器等。子网二：办公大楼，包括学校领导和各部门办。其它每个联网的大楼均分配一个子网，每一个大楼属于一个 vlan，以此提高整个网络的可靠性和可用性。由于 cisco4506 最高可以提供 150m 的第三层转发，因此这种子网划分方式不但可以提供高可用性，同时还降低网络风暴的可能性，更好地满足了业务的需要。4 4 局域网服务器规划与配置局域网服务器规划与配置4.1 dhcp 服务器的安装与配置1、安装 dh

19、cp 服务器的步骤如下：步骤 1 启动“添加/删除程序”对话框。8步骤 2 单击“添加/删除 windows 组件”出现 “windows 组件向导单击下一步”出现 “windows 组件”对话框从列表中选择“网络服务” ，如图 4.1 所示：图 4.1 组件对话框步骤 3 单击“详细内容” ，从列表中选取“动态主机配置协议( dhcp )” ，单击“确定” 。步骤 4 单击“下一步” 输入到 windows2003 server 的安装源文件的路径，单击“确定”开始安装 dhcp 服务。步骤 5 单击“完成” ，当回到“添加/删除程序”对话框后，单击“关闭”按钮。安装完毕后在管理工具中多了一

20、个dhcp管理器。2、添加 dhcp 服务器在安装 dhcp 服务后，用户必须首先添加一个授权的 dhcp 服务器，并在服务器中添加作用域设置相应的 ip 地址范围及选项类型，以便 dhcp 客户机在登录到网络时，能够获得 ip 地址租约和相关选项的设置参数。添加 dhcp 服务器的步骤如下：步骤 1 启动 dhcp 管理控制台。步骤 2 选择“操作”菜单中的“添加服务器” ，启动添加服务器向导单击“下一步”出现“指定 dhcp 服务器”对话框如，单击“浏览”按钮后出现“目录中授权的服务器”对话框，在此用户可用给 dhcp 服务器添加授权，单击“添加”按钮，出现“授权 dhcp 服务器”窗体，

21、填写用户要建立 dhcp 服务的服务器名或 ip 地址。步骤 3 在“目录中授权的服务器”对话框中选择上一步添加的服务器，单击9“管理”下一步完成。在dhcp管理控制台中出现刚才添加的服务器。3、在 dhcp 服务器中添加作用域步骤 1 在 dhcp 控制台中单击要添加作用域的服务器操作新建作用域出现“创建作用域向导” 。步骤 2 单击“下一步”然后“输入作用域名”对话框在此输入本域的域名。步骤 3 单击“下一步”输入作用域将分配的地址服务几子网掩码。步骤 4 单击“下一步”在“添加排除”对话框中输入需要排除的地址服务。步骤 5 单击“下一步”选择租约期限 8 天。步骤 6 单击“下一步”选择

22、配置 dhcp 选项。步骤 7 单击“下一步”输入默认网关 ip 地址。步骤 8 输入域名称和 dns 服务器的 ip 地址。步骤 9 单击“下一步”添加 wins 服务器的地址。步骤 10 单击“下一步”选择激活作用域。步骤 11 在 dhcp 控制台中出现新添加的作用域，在 dhcp 控制台右侧窗体中的状态条中显示“运行中”表示作用域已启用。4.2 web 服务器的安装与配置1、windows server 2003iis 6.0 安装具体做法: 1）进入“控制面板” 。 2）双击“添加或删除程序” 。 3）单击“添加/删除 windows 组件” 。 4）在“组件”列表框中，双击“应用程

23、序服务器” 。 5）双击“internet 信息服务(iis)” 。 6）从中选择“万维网服务”及“文件传输协议(ftp)服务” 。 7）双击“万维网服务” ，从中选择“active server pages” 及“万维网服务”等。安装好 iis 后，接着设置 web 服务器，具体做法为: 1)在“开始”菜单中选择“管理工具internet 信息服务(iis)管理器” 。 2)在“internet 信息服务(iis)管理器”中双击“本地计算机” 。 3)右击“网站” ，在弹出菜单中选择“新建网站” ，打开“网站创建向导” 。 104)依次填写“网站描述” 、 “ip 地址” 、 “端口号” 、

24、 “路径”和“网站访问权限” ，在“internet 信息服务(iis)管理器”的“web 服务扩展”中选择允许“active server pages” 。 2、架设 web 服务器 进入控制面板，执行“添加或删除程序添加/删除 windows 组件”进入windows 组件向导窗口，勾选“应用程序服务器internet 信息服务” ， “确定”后返回 windows 组件向导窗口点击“下一步”即可添加好 iis 服务。在控制面板的管理工具中执行“internet 信息服务（iis）管理器”进入 iis 管理器主界面在，若要执行动态页面执行 asp 网站则要在“web 服务扩展”列表中选中“

25、active server pages”然后单击“允许”按钮来启用该功能。接下来就可以具体配置 web 站点。 1）网站基本配置。在“默认网站”的右键菜单中选择“属性”进入“默认网站属性”窗口，在“网站”选项卡上的“描述”里可以为网站取一个标示名称，如果本机分配了多个 ip 地址，则要在 ip 地址框中选择一个赋予此 web 站点的 ip 地址；然后进入“主目录”选项卡中指定网站 web 内容的来源并在“文档”中设置好 iis 默认启动的文档。单击“应用”按钮后使用 来验证网站。 2）网站性能配置。进入“性能”选项卡，在这里可以对网站访问的带宽和连接数进行限定，

26、以更好地控制站点的通信量，如果是多站点服务器，通过对一个站点的带宽和连接数限制可以放宽对其他站点访问量的限制和为其他站点释放更多的系统资源。3）网站的安全性配置。为了保证 web 网站和服务器的运行安全，可以在“目录安全性”选项卡上为网站进行“身份验证和访问控制” 、 “ip 地址和域名限制”的设置。 3、iis 的备份和移植 为了防止系统损坏对 iis 配置的影响，我们可以使用 iis 备份精灵来实现iis 的备份和移植了。 1）启动软件，在 iis 备份精灵的站点列表上就会列出 iis 服务器上配置的各种站点了，勾选你要备份的站点然后单击“导出站点”按在弹出的“导出 iis站点”窗口上选择

27、好文件保存路径“确定”后站点配置信息就会以一个 txt 文本11文件保存下来了。 2）在重装 iis 服务器需要导入站点信息时，运行 iis 备份精灵，单击“导入站点”按钮在弹出的“iis 导入站点”窗口上选择要导入的事先备份好的 iis站点信息文件， “确定”后即可导入。若需要移植 iis 站点信息应先把备份的站点信息文件复制到目的机器上，然后在这个机器上再下载安装 iis 备份精灵，执行“导入站点”操作就可以了。5 5 安全规划与设计安全规划与设计网络安全是当前 it 业最受关注的环节。在学校内部网络建设中，内部网与internet 的连接是重要环节。因此，需要着重解决好总部的防火墙方案。

28、由于intranet 网络系统将连入 internet，为用户提供各种信息服务。资源共享和开放是 internet 特点，所以 internet 的安全机制很松散；而学校内部网络系统要求有较高的安全性，其内部的许多数据和文件不接受未经授权的访问。因此，设计与开发保证内部各种信息的安全机制是实现该办公网络顺利运行的关键。安全技术主要包括系统安全、信息安全、应用安全和网络安全技术，而三者之中网络安全尤为重要。网络安全的主要技术是防火墙技术（firewall） ，防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。5.1 系统安全系统安全保证一个主机系统的安全，主要包括主机系统的

29、密码安全、重要服务器如 ftp、web 和数据库等大型应用系统的安全。我们在主机系统和数据库系统的选型上，已经充分考虑了系统的安全性。5.2 信息安全由于网络上有许多可用来做窃听的工具，因此明文信息在网上传输是不安全的。tcpip 协议本身不提供任何信息安全方面措施，我采用基于 ip 层的信息加密和基于应用层的信息加密，基于应用层的信息加密方法是用户在发送信息前，利用加密工具先将信息加密、然后才发送出去，接收方可利用相应的解密工具还原信息；信息加解密技术可分为两种体系，即单密钥的加密体系和双密钥的加密体系，我采用双密钥的加密方法又叫公开密钥的加密方法，加密和解密时采用12不同的密钥，即公开密钥

30、和私人密钥。5.3 应用安全应用安全是指基于网络的应用系统的安全，包括用户的身份认证和权限管理两部分。应用系统建立用户管理子系统，进行用户的管理和授权工作。1、身份认证：用户使用应用系统，不管是从内部网络登录，还是拨号访问，还是通过 internet 访问公司网络，首先需要通过严格的身份认证。只有合法的用户才能使用应用系统。2、权限管理：每个使用网络的用户将受到严格的权限限制。5.4 路由器级安全控制1、访问控制列表cisco 路由器操作系统 ios 通过访问控制列表（acl）技术支持包过滤防火墙技术，根据事先确定的安全策略建立相应的访问列表，可以对数据包、路由信息包进行拦截与控制，可以根据源

31、/目的地址、协议类型、tcp 端口号进行控制。在 extranet 上建立第一道安全防护墙，屏蔽对内部网 intranet 的非法访问。通过 acl 限制可以进入内部网络的外部网络甚至是某一台或几台主机；限制可以被访问的内部主机的地址；为保证主机的安全，可以限制外部用户对主机的 telnet方式登陆等。2、地址转换cisco 路由器操作系统 ios 的防火墙功能还包括 ip 地址转换的功能。进行ip 地址转换有两个好处：其一是隐藏内部网络真正的 ip 地址，这可以使黑客（hacker）无法直接攻击内部网络，因为它不知道内部网络的 ip 地址及网络拓扑结构；另一个好处是可以让内部网络使用自己定义

32、的网络地址方案，而不必考虑与外界地址冲突的情况。3、路由认证技术为了保证发出和进入的路由更新不被窃取和攻击，cisco 路由器操作系统ios 提供对动态路由协议进行加密和认证的技术，只有在经过认证的路由器才能互相学习路由信息，同时路由信息的传输完全是以加密的形势进行的。鉴于网络主干的开放性，可以利用 cisco 路由器的路由认证技术对所有路由器的路由信息进行认证与加密，以防止路由信息的泄漏，保证网络的安全。134、路由器自身的安全防护在保证数据信息的安全性的同时，必须考虑到路由器自身的安全性。在这方面，cisco 路由器 ios 提供了一系列防范措施。首先，进行口令保护，用户登录路由器必须经过

33、口令的认证；其次，利用口令授权，将不同的权限等级与不同的口令进行关联，对用户进行等级的划分，通过减少超级用户来减少不安定因素；再次，对口令进行加密，以避免口令在网上以明码的方式进行传输，同时避免配置文件以明码的方式显示口令；最后，对无人职守的控制台和端口进行超时限制，以提高设备的安全性。5.5 网络安全防火墙网络安全的主要技术是防火墙技术(firewall)，防火墙技术的核心思想是在不安全的网间环境中构造一个相对安全的子网环境。目前其实现方式有两种，即基于包过滤的防火墙和基于代理(proxy)的防火墙。包过滤型防火墙处在网络层，根据 ip 包的包头信息来对信息的访问进行控制，而 ip 包的包头

34、主要包括以下信息:ip 包的源地址、目的地址、包类型，端口号，因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙，也叫应用层防火墙，处于应用层、可对 ip 地址和发生在该 ip 地址上的具体应用进行控制，由于它能识别应用协议，因此可对应用的整个过程进行控制，在应用建立时的密码验证、在 ftp 应用中允许站点 get 而不允许 put。这两种防火墙各有优缺点，包过滤型防火墙由于基于网络层，因此对用户来说比较透明，但它一般采用“没被禁止的就是允许的”这一策略，在它失败时，网络是畅通的，这时内部网络将失去安全的屏障，而应用层防火墙采用“没被允许的就是禁止的”这一策略，在它失效时，内

35、部网络与外部网络是隔离的，因此应用层防火墙要比包过滤型防火墙安全。5.6 cisco pix 防火墙具体实施cisco pix 防火墙介绍，我们采用的第二种防火墙方案是采用 cisco 公司的防火墙产品 pix，它是一种硬件解决方案，主要优点在于，比其它防火墙方式更安全有效，而且，更好的支持多媒体信息的传输，使用与管理更方便。pix 具有双以太网口（内部网与 dmz 各一个） ，并可以扩展；可组成虚拟专用网并加密；在防止非法侵入的同时还可有效的限制内部对外的访问。整个系统的安全保障由cisco pix 防火墙来完成，pix 是局域网对外的主要门户，由外界进入局域网的14连接均要通过 pix。p

36、ix 的核心是基于适应性安全算法(asa)的保护策略，是面向连接的防火墙，支持 ipsec 支持的 56-bit 数据加密标准(des)和 168-bit 3des算法。可以提供 6 mbps 以上的 3des 性能，完全可胜任目前安全的需要。能同时支持 25 万个并发用户连接。cisco 提供了 pix，私有 internet 交换防火墙，它运行自己定制的操作系统，事实证明，它可以有效地防止非法攻击。pix 防火墙要求有一个路由器连接到外部网络。pix 有两个 ethernet 接口，一个用于连接内部局域网，另一个用于连接外部路由器。外部接口有一组外部地址，使用他们来与外部网络通信。内部网络

37、则配置有一个适合内部网络号方案的 ip 地址。pix 的主要工作是在内部计算机需要与外部网络进行通信时，完成内部和外部地址之间的映射。pix 是局域网对外的主要门户，由外界进入局域网的连接均要通过pix。本方案网络安全配置概述，由于路由器防火墙只能作为过滤器，并不能把内部网络结构从入侵者眼前隐藏起来，只要允许外部网络上的计算机直接访问内部网络上的计算机，就存在着攻击者可以损害内部局域网上机器的安全性，并从那里攻击其他计算机的可能性。因此为了保证学校内部网的安全，防止非法入侵，需要使用专用的防火墙计算机。因此，本方案采用两层防火墙加上应用系统的身份认证和权限管理四层安全措施，来保证网络安全和应用

38、安全。由于费用原因，本方案采取临时措施协助进行病毒防范。1、第一层软件防火墙通过 cisco 的路有器和访问服务器本身具有的包过滤功能和代理服务器的内外网隔离功能实现。2、第二层硬件防火墙即选用 cisco secure pix 525 防火墙，该产品经过了美国安全事务处(nsa)的认证，同时通过中国公安部安全检测中心的认证。具体配置为：cisco secure pix 525 4 个 100m 以太网端口 128m 内存 600mhz cpu3、第三层身份认证用户使用应用系统，不管是从内部网络登录，还是拨号访问，还是通过internet 访问企业网络，首先需要通过严格的身份认证。只有合法的用

39、户才能使用应用系统。4、第四层权限管理15每个使用网络的用户将受到严格的权限限制。6 6 工程实施规划工程实施规划综合布线是对传统布线方式的彻底变革，经过统一的规划设计，它将所有话音、数据、视频信号与控制设备的配线等综合在一套标准的配线系统中。综合布线系统能够支持多种信息的传输，支持多种传输介质，支持多用户多类型产品的应用。此外，通信设备替换、移动和扩充极为简单、方便。6.1 设计原则实用性：这是第一位的，也是系统的最终目的；该布线系统不仅能够为计算机网络系统服务，而且也应当能够很容易加入楼宇控制部分，实现智能化大楼。可靠性：网络中心是学校的中心枢纽所在，对结构化布线系统和以后的应用系统的可靠

40、性要求是相当严格的，它应能防止各种可能出现的故障性瘫痪。开放性：这实际上是对布线系统和办公网建设的要求。易扩性：布线系统和网络的投资保护和节省很大程度上是取决于系统能否扩展以及标准化、开放性和设计容量等。先进性：在技术成熟实用的基础上，提供最先进的实用产品和技术，它也是保证高水平实用技术的条件。可维护性：对于大规模的布线系统和大范围分布的网络，其差错与故障诊断，维护和重组，系统重配置等功能是必不可少的。6.2 总体设计思路为满足日益发展的通信、网络应用要求，整个学校应具有现代化的水准和智能化的功能。pds 设计方案的目的就是要以经济实用，科学合理的最新技术，对集团的语音、数据、视频、图像等进行

41、自动化管理。作为学校应充分考虑将来系统集成的需要，即以楼宇自动化系统办公自动化系统（oas）及通信自动化系统（cas）作为设计依据。当这些智能系统需要集成共同发挥作用或单独实施功能运行时，可以非常方便灵活地在综合布线系统平台上实现。综合布线系统是连接“3a”系统各种控制信号必备的基础设施。我按“3a”大厦标准设计，选用美国lucent 企业的 pds 结构化综合布线系统产品。计算机网络互连设备按前文所述选16用美国思科（cisco）企业系列产品，包括路由器、交换机等。大型企业园区布线应采用总体分布式、局部集中式。数据主干线系统采用光缆，其余均采用超五类双绞线线缆。水平线路每条均按 4 对（八芯

42、）配备，选用超五类非屏蔽双绞线，既可满足了近期需要，又为将来应用多媒体技术打下了基础。布线铜缆系统选用110p 配线架和 110a 配线架相结合，配线架的尺寸以 100 对为一个基本单位，每个连接信息插座的 100 对配线架可端接 24 个信息点。布线光纤系统根据需要采用 8 芯或 4 芯单膜光纤，200a 和 100a3 光纤接线盒。6.3 传输布线方案设计根据综合布线系统设计规范，我把该布线系统工作区子系统、水平子系统、管理子系统、干线子系统、设备间子系统、楼层子系统等 6 个模块进行设计，这套完整的系统可满足用户的要求。同时，根据实际情况，当建筑物内最远信息点距离设备间（交换机所在地）不

43、到 94 米时，管理子系统和设备间子系统可以合并，水平子系统和干线子系统可以合并，这样可以达到简化布线系统的结构，方便进行设备管理，节省空间和装修成本的目标。1、楼层子系统本子系统是指门诊大楼,外科大楼,无创外科中心,内科大楼的各楼层中，通常采用光纤或大对数铜缆连接。根椐学校的分布和客户的要求，我将整个学校划分为多个分区。各区之间的连接根据需要采用 8 芯或 4 芯光纤，采用架空连接。距离网络中心较近的大楼，采用 12 芯光纤，外围各大楼采用熔接的方式，进行延伸，从而达到降低光纤数量和铺设成本的目的。光纤铺设的原则如下：1）光纤铺设的设计以应用的需要为出发点2）学校大楼总部机房作为网络中心和数

44、据中心3）光纤铺设设计的原则是易于扩展、方便管理、成本合理4）所有光纤都采用单模2、工作区子系统工作区即最终用户的办公区域。工作区子系统是从信息插座到工作终端设备之间的连续电缆及适配器组成。即从标准的 rj45 型信息插座延伸到各个具有非标准的或标准的接口的工作设备之间的布线系统。各种形式的适配器和终端线缆构成了工作区子系统。例如，共享每一个标准 rj45 信息插座的数据/语音共享器、17rs-232 与 rj45 之间的转换器，视频适配器、d8sa 高速数据连接线等。这些适配器使得不同系统、不同标准的信号在统一的五类 utp 上传输，并将连接接口统一为标准的 rj45 界面。这些产品的需求可

45、在今后实际应用中加以详细考虑。3、水平子系统1）水平线缆的长度计算按照 pds 的水平线缆长度计算公式计算。水平线缆长度计算公式：c=0.55(l+s)+6(i/o)式中:c 为每层楼的用线量i/o 为每层楼配线架连接的信息点；l 为配线架连接最远信息点（i/o）的距离；s 为配线架连接最近信息点（i/o）的距离。2）水平线缆的敷设方法水平线缆从每一层的分配线架（idf）出发，在走廊上方沿预设的弱电线槽敷设，到每一间需安置信息插座的房间外面，再沿金属管（一般用一个三通管）敷设到信息插座所在的连接盒处。3）信息插座结构化综合布线系统允许同一建筑物内采用不同类型的信息插座。但它们本质上是相似的.插

46、座都是 8 针、rj45 型的，并且都符合现在 isdn 接口标准。4、管理子系统管理子系统的设计可以分为下方面：1）管理模式采用双点连管理模式。本模式不仅在设备间内进行交连管理，也可在每一层的 idf 内进行交连管理，使得管理更加灵活。2）管理子系统的硬件结构化综合布线系统中管理子系统的接插件一共有三大类：110a110pjack panel管理配线间应尽量保持室内无尘土、散热良好。符合有关消防规范，配置有18关消防系统。每个电源插座的容量不小于 300w。配线间位于弱电竖井内。每层配线间面积不小于 3 平方米。当配线间有有源设备或计划安装有源程序设备（如集线器、交换机）时，一定要保持配线间的温度和湿度。配线间温度和湿度要求数据：温度：530湿度：30%80%建