网络工程课程中学校园网络建设规划与

1、*课程设计报告*浙江理工大学计算机与通信学院2010年第二学期计算机网络课程设计题 目专业班级：姓 名：学 号：指导教师：成 绩：摘要计算机教育在世界各国备受重视，计算机知识与能力已成为 21 世纪人才素 质的基本要素之一。 计算机教育也被其所在的专业， 文化和社会范围改变影响着。 计算机教育也变得更宽广，内容更丰富，其应用领域不断飞速增长，因此，无论 在教学体系， 教学内容还是在教学方法， 教学手段上都必须进行深化改革， 与时 俱进。校园网是利用现代网络技术、多媒体技术及 Internet 技术等建立起来的学 校内部管理和通信应用网络。 信息化校园就是以校园网和必要的信息服务设备为 载体，有

2、丰富的共享软件和方便的工具支持， 并包含有相当数量的教育信息资源， 集教、学、管理、娱乐为一体的新型信息化的工作、学习、生活的网络环境。本 设计重点阐述了校园计算机网络系统的设计和实现方法， 包括系统设计原则、 网 络技术选择、 综合布线系统、 网络拓扑结构及设备选型， 本设计可以实现各个模 块的基本功能，满足校园内部各部门的需求，最终设计成一个简洁、花费少、效 果好的实用型校园网。关键词：校园网；IP划分；信息服务；网络规划目录摘要 II目录 I.I.I.前言 1第 1 章 企业描述 2.第 2 章 需求分析 3.2.1 带宽（核心层、（部门层、）桌面） 5.2.2 子网与VLAN规划7.2

3、.3 实现的信息服务 7.2.4 应用程序 8.2.5 存储系统分析 8.2.6 系统及数据安全分析 8.2.7 QoS 9.2.8 网间隔离 1.1.第 3 章 拓扑图及方案整体描述 1.33.1 主干网传输方案设计 1.33.11 垂直布线方式 1.33.12 水平布线 3 设备间 Internet 接入方案及网络拓扑图 1.43.3 远程访问支持 子网划分与VLAN设定153.5 网间隔离方案设计 1.63.6 存储方案 设备选型 软件 信息服务方案 0 综合布线方案 2.1第4 章

4、 网络管理 2.2.第 5 章 系统主要设备报价 2.3参考资料 2.4.课程设计总结与致谢 2.5.、八 、-前言校园网络建设是学校事业发展的重要组成部分，是学校发展的重要基础设 施，是提高学校教学和科研水平必不可少的支撑环境。 建设一个综合性的校园网， 除主干网的建设应该符合时代的发展要求，还应建立健全主干网上各项服务系 统。建设一个以办公自动化、 计算机辅助教学、 现代计算机校园文化为核心， 以 现代网络技术为依托、 技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络， 将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连； 在网上宣传和获取教育资源； 在此基础上建立能

5、满足教学、 科研和管理工作需要 的软、硬件环境； 开发各类信息库和应用系统， 为学校各类人员提供充分的网络 信息服务； 系统总体设计本着总体规划、 分布实施的原则， 充分体现系统的技术 先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。第 1 章 企业描述定西一中：占地面积 203亩，校区总建筑面积 5.8 万平方米， 是省内校园面 积的中学。学校教学设备齐备，理化生实验室，微机室，电子备课室，语音室， 舞蹈室等。 下设办公室，教务处，教研处，总务处，政教处，保卫处等管理机构， 而各机构都下设其他结构。把该校建设成为一个完备的校园网， 应在教师备课教学、 学生学习、 教务管 理

6、、行政管理、图书资料管理、 资源信息、 对外交流等方面发挥辅助、 支持功能， 并通过与广域网的互联，实现校际间的信息共享及与因特网(INTERNET的连接，通过与宽带数字卫星相联，实现远程教育，为学校的教学、管理、日常办公、内 外交流等各方面提供全面、 切实的支持。校区校园规划科学满足高等教育现代化、 信息化、智能化的要求。第2章需求分析中学建设校园计算机网络的根本动机，就是提高学校的管理效益和教学质 量。但并非只有用大量的资金投入，建设具有规模的计算机网络，才能开展学校 的教育手段现代化的建设。架设满足学校应用需求的小的局域网络、 教学网络同 样也能够发挥大的教育效益。不同的学校可以根据自己

7、的特点和实际情况，在实 际的中小学校计算机网络的建设中，建立不同层次的计算机网络，换个角度说， 就是有条件的学校，可以一次性投入，建设一个比较完善的校园计算机网络，而 其他学校可以根据实际情况，先建一些小型的局域网络，以后逐步互连形成较为 完善的校园网络。这里所说的条件，不仅包括资金、学校规模，还包括学校计算 机使用人员的计算机知识掌握程度，以及学校计算机专业人员的技术能力的强 弱。只有当应用和开发计算机网络人员的水平程度较好时，才能够充分利用所使用的计算机网络，否则，最好不要急于建设大规模的、复杂的计算机网络。由于网络系统对工作的运作与发展具有非常重要的作用，因此网络改造系统 的先进性、可靠

8、性、安全性、易维护、易升级等方面均有一定的要求，网络系统 对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时间的可 用性。网络系统设计必须满足其应用的要求，网络总体设计、建设的原则如下：（1）开放性采用开放性的网络体系，以方便网络的升级、扩展和互联；同时在选择服务 器、网络产品时，强调产品支持的网络协议的国际标准化；（2）标准化在方案设计中，所有计算机网络软硬件产品必须坚持标准化原则， 遵从国际 标准化组织所制订的各种国际标准及各种工业标准。（3）简洁性对于网络系统，在设计过程中要考虑系统的能够适应不断的新的发展需要， 并使系统能适应多种硬件平台和多种网络结构， 而且网络拓扑结构

9、简洁，硬件和 软件按需要能进行灵活的配置。（4）可扩展性目前设计的网络系统不仅仅用于当前， 同时在今后的一段时间内，将是校园 电子化的主要系统。因此，设计时一定得考虑将来的发展，除了当前设计得有一 定的超前外，还需要考虑系统的可扩充性，易于系统以后的发展。网络系统必须有足够的扩展性，使得将来增加信息点时，只需很少变动。如 当网络设备增加、通信网络升级时，所有设备要保证仍能继续使用，而不能以弃 掉已有设备为升级的代价。采用的产品具有充分的可扩充性及升级能力，具有足 够的先进网络技术过渡的能力。（5）安全性安全性是指可靠性、保密性和数据一致性。校园网对安全性的要求较高，计 算机系统的安全性主要包括

10、以下几个方面：硬件平台安全性：当计算机的元器件突然发生故障，或计算机系统工作环境 设备突然发生故障时，计算机系统能继续工作或迅速恢复。网络通迅系统安全性：网络的安全性主要包括采取以下安全措施： 认证措施， 包括网点认证和人员认证；数据保密措施如传输加密；存取控制措施如防止非法 操作。操作系统安全性：操作系统安全性要达到 C2级，即通过注册、安全事件审 计、资源隔离等方式使用户的行为具有个体可查性， 实施存取限制，保护数据防 止被别的用户读取或破坏。数据库安全性：数据库要有以下安全机制：磁盘镜像、数据备份、恢复机制、 事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制， 确保数据库 的安

11、全。应用软件系统的安全性：认同用户和鉴别，确认用户的真实身份，防止非法用户进入系统。存取控制，当用户已注册登录后，核对用户权限，根据用户对该项资源被授 予的权限对其进行存取控制。审计，系统能记录用户所进行的操作及其相关数据，能记录操作结果，能判断违反安全的事件是否发生，如果发生则能记录备查。保障数据完整性，对数据库操作保证数据的一致性和数据的完整性。（6）技术先进性网络系统不能够一经实现即落后，应当至少处于现今先进水平，只有这样才 能在计算机技术迅速发展的今天不落伍， 不会在竞争激烈的今天，因计算机技术 的不足而影响工作的进行开展。应至少保持系统具备几年的领先性。采用先进而成熟的网络技术和产品

12、，适应大量数据和多媒体信息传输、处理、 交换的需要，使网络系统具有较强的生命力。（7）实用性网络的建设要强调网络系统与网络应用并重，以应用推动建设，信息资源的开发、利用和效果。产品应选择主流产品，并且具有成熟、稳定、实用的特点。能充分满足日常 使用、科学决策、对外交流、以及信息自动化管理等各方面的需要。（8）网络可靠性网络可靠性需要从以下方面来保证：设备的硬件制造品质与运行软件的成熟 性。网络设备必须选用已经证实，并在实际应用中得到普遍应用的产品， 只有这 样，才可能提供不间断运行的能力。网络产品应具备在线热更换的能力， 当某一 板卡出现故障时，应能带电更换，而不需进行停机操作。（9）易维护管

13、理性网络管理应走向科学化，采用先进的网络管理系统，实现“在网络中心即能 实时控制、监测整个系统的运行状况，能够自动发现故障点”的目标，并具有良 好的人-机操作界面。（10）保护投资在网络方案设计时充分考虑现有的硬件和软件资源，尽量把各期投资和未来 发展的兼容性容于系统方案中。保护投资从如下几个方面考虑：直接的硬件设备、软件系统的投资应用系统开发的人力、物力、财力和时间上的投资人员培训投资原有运行系统和业务数据的有效兼容。2.1 带宽（核心层、（部门层、）桌面）校园网主干网是数据信息流动的主动脉，同时担负着信息流动的总调度任 务。主干网采用核心交换、划分虚拟网的设计方案。交换核心使用一台高性能、

14、 高可靠性的交换机，实现冗余备份和负载平衡。最好选择光纤作为通信介质。各 楼干线光缆经网络中心机房星状放射互联。各楼内垂直主干线采用五类双绞线， 主干支持FDDI或ATM。因此作为主干网要遵循以下特点(1) 高性能与技术先进性校园网网络系统要求具有较高的数据通信能力和较大的带宽； 并在主干网上 提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据，网络应有较高 的网络主干速度。(2) 高可靠性网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗 余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失 效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要

15、提供冗余配 置，设备在发生故障时能以热插拔的方式在最短时间内进行恢复， 把故障对网络 系统的影响减少到最小，避免由于网络故障造成用户损失；(3) 安全性校园网作为一个支持众多用户、同时和 INTERNET/CERN存在连接的网络， 网络安全性在整个网络中是个很重要的问题， 应该采用一定手段控制网络的安全 性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对 网络资源的访问。网络系统还应具备高度的数据安全性和保密性，能够防止非法侵入和信息泄漏。(4) 可管理性强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网 络进行设备级和系统级的管理，并能支持通用浏览器进行网

16、络设备的管理及配 置。灵活的设置每个用户对In ternet访问功能，能够对每个用户实行管理；并 且能够实现计费管理。(5) 可扩充性随着应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户 及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备， 保证现有的投资。（6）VLAN划分根据校园网的实际需求，属于同一部门的工作人员可能在不同的建筑物中， 但需要在一个逻辑子网内。网络站点的增减，人员的变动，无论从网络管理，还 是用户的角度来讲，都需要虚拟网技术的支持。因此在网络主干中要支持三层交 换及VLAN划分。在整个网络中使用虚拟网技术，以提高网络的安全性和灵活性。（7

17、）多层交换技术通过三层交换技术，特别是基于硬件的第三层交换，可以充分地利用交换机 的包处理能力，实现真正的线速交换。（8）对多媒体应用的支持校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提 供足够的带宽和可保证的服务质量， 满足大量用户对带宽的基本需要，并保留一 定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。整个网络在 服务质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。2.2 子网与VLAN规划根据需求的不同，将分成不同的子网。教学子网、办公子网、图书馆子网、 宿舍区及后勤子网。局域网采用虚拟局域网，在交换式以太网中，各站点可以分 别属于不同的虚拟局

18、域网。构成虚拟局域网的站点不拘泥于所处的物理位置，它们既可以挂接在同一个交换机中，也可以挂接在不同的交换机中。虚拟局域网技 术使得网络的拓扑结构变得非常灵活，使不同楼层的用户或者不同部门的用户可 以根据需要加入不同的虚拟局域网。当网络规模很大时，网上的广播信息会很多， 能解决了网络恶化、广播风暴、网络堵塞。2.3 实现的信息服务需要的基本功能有：1电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动；2、文件传输FTP主要利用FTP服务获取重要的科技资料和技术文挡；3、INTERNET!艮务：学校可以建立自己的主页，禾用外部网页 进行学校宣传，提供各类咨询信息等，利用内部网页进行管理

19、，例如发布通知、 收集学生意见等。4、计算机教学，包括多媒体教学和远程教学；5、图书馆访问 系统，用于计算机查询、计算机检索、计算机阅读等；6、其他应用，如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。2.4 应用程序出于对校园网的功能分析，在校园网上运行的应用程序有如下几种：文件传输系统、邮件系统、办公自动化系统、宿舍管理系统、学生档案管理系统、教学 系统等一系列网络平台。2.5 存储系统分析根据我们选用的是开放的 Windows UNIX Linux等操作系统的服务器，开 放系统的网络化存储根据传输协议又分为：网络接入存储（Network-AttachedStorage，

20、简称 NAS和存储区域网络（Storage Area Network ，简称 SAN）b2.6 系统及数据安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信 任。目前恐怕没有绝对安全的操作系统可以选择， 无论是Microsfot的Window NT或者其它任何商用UNIX操作系统，其开发厂商必然有其 Back-Door。因此， 我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面 对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可 能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登 录过程的认证（特别是在到达服务器

21、主机之前的认证），确保用户的合法性；其 次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。应用系统安全与具体的应用有关，它涉及面广。应用系统的安全是动态的、 不断变化的。应用系统的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。因 此，对用户使用计算机必须进行身份认证， 对于重要信息的通讯必须授权，传输 必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采 用加密技术，保证网上

22、传输的信息(包括管理员口令与帐户、上传信息等)的机 密性与完整性。2.7 QoSQoS的英文全称为"Quality of Service"，中文名为"服务质量"。QoS是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必 要。当网络过载或拥塞时，QoS能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。QoS具有如下功能：(一) 分类分类是指具有QoS的网络能够识别哪种应用产生哪种数据包。没有分类，

23、网络就不能确定对特殊数据包要进行的处理。 所有应用都会在数据包上留下可以用 来识别源应用的标识。分类就是检查这些标识，识别数据包是由哪个应用产生的。 以下是4种常见的分类方法。(1) 协议有些协议非常“健谈”，只要它们存在就会导致业务延迟，因此根据协 议对数据包进行识 别和优先 级处理可 以降低延迟。应用 可以通过它 们的 EtherType进行识别。譬如，AppleTalk协议采用0x809B, IPX使用0x8137。根 据协议进行优先级处理是控制或阻止少数较老设备所使用的“健谈”协议的一种强有力方法。(2) TCP和UDP端口号码 许多应用都采用一些TCP或UDP端口进行通信，如HTTP

24、采用TCP端口 80。通过检查IP数据包的端口号码，智能网络可以确定数据包是 由哪类应用产生的，这种方法也称为第四层交换，因为TCP和UDP都位于0SI模型的第四层。(3) 源IP地址 许多应用都是通过其源IP地址进行识别的。由于服务器有时是专门针对单一应用而配置的，如电子邮件服务器，所以分析数据包的源IP地址可以识别该数据包是由什么应用产生的。当识别交换机与应用服务器不直接相连， 而且许多不同服务器的数据流都到达该交换机时，这种方法就非常有用。(4) 物理端口号码 与源IP地址类似，物理端口号码可以指示哪个服务器正在发 送数据。这种方法取决于交换机物理端口和应用服务器的映射关系。虽然这是最简

25、单的分类形式，但是它依赖于直接与该交换机连接的服务器。(二) 标注在识别数据包之后，要对它进行标注，这样其他网络设备才能方便地识别这 种数据。由于分类可能非常复杂，因此最好只进行一次。识别应用之后就必须对 其数据包进行标记处理，以便确保网络上的交换机或路由器可以对该应用进行优 先级处理。通过采纳标注数据的两种行业标准，即IEEE 802.1p或差异化服务编码点(DSCP),就可以确保多厂商网络设备能够对该业务进行优先级处理。在选择交换机或路由器等产品时，一定要确保它可以识别两种标记方案。 虽 然DSCP可以替换在局域网环境下主导的标注方案IEEE 802.1p，但是与IEEE802.1p相比，

26、实施DSCF有一定的局限性。在一定时期内，与 IEEE 802.1p设备 的兼容性将十分重要。作为一种过渡机制，应选择可以从一种方案向另一种方案 转换的交换机。(三) 优先级设置一旦网络可以区分电话通话和网上浏览，优先级处理就可以确保进行In ternet 上大型下载的同时不中断电话通话。为了确保准确的优先级处理，所 有业务量都必须在网络骨干内进行识别。 在工作站终端进行的数据优先级处理可 能会因人为的差错或恶意的破坏而出现问题。黑客可以有意地将普通数据标注为高优先级，窃取重要商业应用的带宽，导致商业应用的失效。这种情况称为拒绝 服务攻击。通过分析进入网络的所有业务量，可以检查安全攻击，并且在

27、它们导 致任何危害之前及时阻止。在局域网交换机中，多种业务队列允许数据包优先级存在。较高优先级的业 务可以在不受较低优先级业务的影响下通过交换机， 减少对诸如话音或视频等对 时间敏感业务的延迟事故。为了提供优先级，交换机的每个端口必须有至少 2个队列。虽然每个端口有 更多队列可以提供更为精细的优先级选择， 但是在局域网环境中，每个端口需要 4个以上队列的可能性不大。当每个数据包到达交换机时，都要根据其优先级别分配到适当的队列，然后该交换机再从每个队列转发数据包。该交换机通过其排队机制确定下一步要服务的队列。有以下 2种排队方式。（1）严格优先队列（SPQ）这是一种最简单的排队方式，它首先为最高

28、优先级的队 列进行服务，直到该队列为空，然后为下一个次高优先级队列服务，依此类推。这种方法的优势是高优先级业务总是在低优先级业务之前处理。但是，低优先级业务有可能被高优先级业务完全阻塞。 加权循环（WRR）这种方法为所有业务队列服务，并且将优先权分配给较高优 先级队列。在大多数情况下，相对低优先级，WR将首先处理高优先级，但是当高优先级业务很多时，较低优先级的业务并没有被完全阻塞。2.8 网间隔离面对新型网络攻击手段的出现和高安全度对网络的特殊需求，全新安全防护防范理念的网络安全技术“网络隔离技术”应运而生。网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前

29、提 下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起 来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离，英文名为 Network Isolatio n,主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等） 进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议所以通常也 叫协议隔离（Protocol Isolation ）网络隔离是指在一个网络系统中划分边界， 分割不同安全域的技术。网络安 全的重点在于边界保护，采用隔离技术明确边界后，我们就能根据应用环境的具 体需求实施相应的边界控制策略。具

30、体而言，采用网络隔离技术有以下优点：采用隔离技术划分安全域后，一个区域内的安全问题可以被控制在本区域以 内，不会对其它区域造成影响，从而提高了系统整体的可控性和稳定性。采用隔离技术划分安全域后，可以根据需求灵活制定访问控制策略， 便于在 不同粒度上隔离攻击。安全是要考虑成本的。对于重要的资源，我们可以采取隔离技术对其进行重 点保护，使有限的投入获得最佳的效果，这也符合国家分级保护的要求。第3章拓扑图及方案整体描述3.1主干网传输方案设计网络中心设在实验楼的一层，以实验楼为中心，选择星形拓扑结构，网络主 干最好选用光纤，以便采用链路聚合技术及备份线路。光纤布线采用星型结构， 即由实验楼网络中心向

31、其它建筑辐射。建筑内部布线采用5类双绞线进行垂直和 水平布线，如建筑物规模较大，也可部分采用室内多模光纤。双绞线的接法采用 EIA/TIA568B标准。设计时要依据 EIA/TIA568工业标准及国商务布线标准。（1）主干网汇接各子网，形成中心交换。（2）子网通过交换机连接到主干网。（3）网络中心的网络构成一个单独的子网，汇接到主干网。（4）在网络中心进行集中控制和管理。（5）每个子网按部门划分成多个工作组网。（6）每个工作网划分成多个基层网段。（7）在关键子网设立防火墙，防止来自内部或外部的恶意攻击。（8）在完善的网络基础之上，提供基本的In ternet服务。3.11垂直布线方式垂直干线在

32、电缆桥加上加以固定，五类双干线电缆走专门的弱电桥架， 与专 门的强电电缆分开。3.12水平布线水平布线采用五类双绞线，用于水平数据通信。从管理间到办公楼部分的布 线方式采用电缆桥架走吊顶，布线路由及进房间后信息插座具体位置视具体布局 确定。3.13设备间主设备间设在网络中心，是整个信息系统的中心，它是安放由许多用户共用 的通信设备的空间，是整个楼群的主要布线区域所在地。它包括网络接口、电话局电缆和用户建筑物布线系统交汇点网络系统的干线网络互联设备放置在此，外来的电话中继线延伸至主设备间。 其它各楼的设备间在各楼的顶层。 主设备间对 环境的要求较高，所以要注意环境的选择与调节。3.2 In te

33、rnet接入方案及网络拓扑图j I / rINTERNET服务器组图书馆子 网教学子 网图4-1网络拓扑图宿舍及 后勤子 网本局域网通过路由器接入因特网，如图所示:办公子 网3.3 远程访问支持远程访问提供电话拨号访问功能，使用户在家中、在外地都可以访问校园网。 远程工作站通过拨号接入校园网，采用点对点的协议为PPP远程访问服务器RAS 与调制解调器Modem组合实现远程访问功能。在访问服务器的远程访问端口提供 访问控制(Access List)。通过与拨号安全服务器配合，还能实现进一步的用户 认证和授权控制。远程访问解决了远程工作站通过拨号线路对网络资源的访问。 由于拨号网络是攻击网络的可能

34、的主要入口，因而必须在技术和管理两个方面加强管理。远程访问服务应提供以下功能：拨号访问(Telnet/Rlogin/PPP )支持；静态/动态地址分配；多协议(IP和IPX)透明访问支持；用户访问和安全控制；拨出(Dial-on-Demand, Dial-Out )功能;自动协议检测和转换；远程控制和维护；网管支持。拨号网络是可能的主要攻击入口，并且采用动态 IP分配策略，所以必须与 其它网段隔离，直接连到网络中心路由器上，占用一个独立的网段，这样也有利 于计费管理。访问服务器通过路由器与 MODE池接入拨号线。访问服务器与拨号 安全服务器配合，根据身份认证协议(TACACS/RADIUS/K

35、EBERO实现拨号用户 的认证和授权。3.4 子网划分与VLANS定在充分考虑了网络的高度的可靠性、 高速率传输特性、可扩充性和系统易升 级性，以及信息点的分布依建筑物内的布线设计等诸多因素的基础上， 将局域网 分成以下几个子网。(1) 教学子网：校园网建网的目的之一是利用计算机网络实现多媒体教学。 在教学过程中，大量传送的是文本、图像和部分视频等数据，对速度要求较高，所以设计时推荐所有教学用端口全部采用交换式 100 M以太网口；(2) 办公子网：办公子网主要面向学校的各级领导以及各职能部门，办公计算机所实现的功能主要是对网络数据的查询、修改、添加、删除等操作。只有 网络数据传输快，才能更好

36、地提高办公效率。同时，办公计算机应该能够达到支 持视频传送的要求。鉴于办公子网将支持视频功能，设计推荐采用交换式100M端口；(3) 图书馆子网：图书馆从应用来说是一个相对独立的系统，因此设计时在图书馆设图书馆网络分中心，配置了一台Cisco6006中心交换机、海量存储器、所需的服务器以及若干查询终端。 这个系统主要用于教师及学生对图书 及目录的查找以及图书管理。图书馆的服务器和交换机通过1000M交换口连 入校园网，图书管理员办公计算机和各个查询终端采用10 0M交换端口；(4) 宿舍区及后勤子网：宿舍区子网即在学生宿舍内部联网，学生可以直 接浏览学校发布的信息及查阅一些电子文档，也可以在宿

37、舍接收老师的远程教 学，后勤子网主要为食堂提供售饭卡通计费系统等，由于宿舍区覆盖范围较广， 故在宿舍区设一个网络分中心，以减少至网络中心的光纤数量。在宿舍区的网络 分中心内配置一台Cisco3508中心交换机， 并通过光纤与网络中心直接 相连。在设计的各子网的交换机时，通过整个网管系统将各个子网划分在不同的虚 拟子网中，这样既满足了各子网与1 0 0 0 M主干网的连接，又减少了投资、方便了管理。各子网的工作组交换机均选择Cisco的Catalyst350 0XL系列交换机中的3548XL和3524XL。3.5 网间隔离方案设计目前常用的网络隔离技术有虚拟局域网(VLAN、防火墙(Firewa

38、ll )、物理 隔离(GAP等等。在具体环境中可根据需求选取相应的隔离产品。VLAN是 一种控制粒度较粗的隔离技术，目前市场上很多交换机就支持VLAN划分功能。VLAN配置简单，价格便宜，适用于安全需求不高的网络环境。防火墙是目前广泛使用的网络隔离产品。 最经典的防火墙产品是包过滤防火 墙。这种防火墙对每个分组的报头(包括IP头和TCP头)信息进行合法性控制。这种控制范围小，因此性能高，但安全性差。后续产品的应用代理防火墙则将对 分组的控制范围加大到应用层：不但对每个分组报头信息进行过滤，同时要对每 个包的应用数据进行检查，最后还要将各个包的应用数据整合到一起，看这些数 据的上下文关系，以满足

39、应用数据的安全需求。应用代理还有一个好处是它将内 外网之间的直接TCP连接分割为两段连接的组合，因此使外部攻击者无法直接访 问被攻击资源，从而能屏蔽绝大多数基于存活连接的攻击。作为安全性最好的防火墙，应用代理也存在性能和安全性上的问题。在性能 上,由于工作在应用层，而且挂接诸多安全处理功能，因此占用的系统资源巨大， 影响了系统的吞吐能力；在安全性上，应用代理为完成连接的断开，启动了一个 虚拟的应用服务器和一个虚拟的应用客户端， 服务器和客户端之间的应用数据交 换是通过单主机模式上的内存拷贝完成的， 一旦攻击者攻破应用代理，则可以直 接绕过代理的层层安全控制，形成边界防护的安全短路。3.6 存储

40、方案磁盘阵列(Disk Array )是由一个硬盘控制器来控制多个硬盘的相互连接，使多个硬盘的读写同步，减少错误，增加效率和可靠度的技术。RAID 是 Redundant Array of Inexpensive Disk的缩写，意为廉价冗余磁盘阵列，是磁盘阵列在技术上实现的理论标准， 其目的在于减少错误、提高存储 系统的性能与可靠度。磁盘阵列有许多优点：首先，提高了存储容量；其次，多台磁盘驱动器可并 行工作，提高了数据传输率；RAID技术确实提供了比通常的磁盘存储更高的 性能指标、数据完整性和数据可用性，尤其是在当今面临的I/O总是滞后于CPU性能的瓶颈问题越来越突出的情况下，RAID解决方

41、案能够有效地弥补这个缺口。存储区域网络(Storage Area Network ，简称 SAN采用光纤通道(FibreChannel)技术，通过光纤通道交换机连接存储阵列和服务器主机，建立专用于数据存储的区域网络。网络接入存储(Network-Attached Storage ，简称NAS采用网络(TCP/IP、 ATM FDDI)技术，通过网络交换机连接存储系统和服务器主机， 建立专用于数据 存储的存储私网。使用存储网络的好处 统一性：形散神不散，在逻辑上是完全一体的。实现数据集中管理，因为它们才是企业真正的命脉。容易扩充，即收缩性很强。具有容错功能，整个网络无单点故障。由于网络接入存储采

42、用TCP/IP网络进行数据交换，TCP/IP是IT业界的标 准协议，不同厂商的产品(服务器、交换机、NAS存储)只要满足协议标准就能够 实现互连互通，无兼容性的要求；并且2002年万兆以太网(10000Mbps)的出现和 投入商用，存储网络带宽将大大提高 NAS存储的性能。NAS需求旺盛已经成为 事实。首先NAS几乎继承了磁盘列阵的所有优点， 可以将设备通过标准的网络拓 扑结构连接，摆脱了服务器和异构化构架的桎梏 ；其次，在企业数据量飞速膨胀中，SAN大型磁带库、磁盘柜等产品虽然都 是很好的存储解决方案，但他们那高贵的身份和复杂的操作是资金和技术实力有 限的中小企业无论如何也不能接受的。 NA

43、S正是满足这种需求的产品，在解决足 够的存储和扩展空间的同时，还提供极高的性价比。因此，无论是从适用性还是 TCO的角度来说，NAS自然成为多数企业，尤其是大中小企业的最佳选择。3.7 设备选型交换机：可以认为是一种高性能的HUB,在选用硬件方面，由于交换机十分 强调端口交换能力，内置交换模块，性能比集线器高出许多，采用交换机可以提 高整个网络的性能；所以这里可以使用 10/100Mb/s以太网和快速以太网自适应 双速交换机。它能自由地工作在10/100 Mb/s速率下，不需要配置特殊的管理软 件。另一方面现在低端桌面交换机价格比较便宜， 与集线器相比价格已经贵不了 多少，所以可以采用桌面交换

44、机。因为在设计网络的时候采用了桌面交换机，所以网络传输速度比较快，能适应高速网络的发展，并且升级容易。交换机通常还 带有路由功能。硬件：应配置有安全、稳定、可靠的专用服务器。容量、I/O吞吐量应根据需要确定。这里我们选择思科的交换机和路由器。软件：全系统至少要配置下列功能的软件：(1) 数据库服务器(2) Wet服务器(3) Vedio服务器(4) E-mail服务器(5) 网管服务器根据实际情况和需求，我们选择 WINDOWS 200作为文件服务器操作系统平 台，采用随PC机自带的WIN98操作系统作为客户端软件。操作系统是软件平台的核心，网络操作系统所具备的功能和性能决定了网络 系统的整体

45、水平，同时也决定了应用及技术的发展方向。Microsoft 公司的WIND0W000操作平台是在PC和LAN (局域网)的基础上发展起来的 32位操作系统，由于功能强大且易于使用，市场占有份额不断上升，这一产品与传统的Office 办公系统如 Word Excel和PowerPoint 起，为信息发布，综合信息查 询，信息交流提供了一个完整的解决方案。WINDOWS 200与 UNIX和 Novell 相比，WINDOWS 200有如下优势:易于安装、管理和维护：考虑技术力量，网络操作系统的易用性尤为重要。WINDOWS 200提供了与Windows 98外观一致的用户界面，内置的管理向导使管

46、理员能够简单、迅速的 完成日常管理工作，任务管理器和网络监视器能够帮助管理员改善网络性能，排除网络故障。灵活的网络服务体系结构：WINDOWS 2(支持当前所有的网络协议，包括 TCP/IP、SPX/IPX、NetBUEl、 AppleTalk、DLC PPP PPTP可以和NetWare UNIX等系统协同工作。对于客 户端的兼容性来说， Win dows2000是目前最灵活的操作系统，可以连接DOSWindows3.x、Windows NT Workstation、Windows 95/98、OS/2、Macintosh 等 协同工作。最完善的Internet/Intranet应用平台：W

47、in dows 2000是唯一一个带有内置In ternet服务器(IIS )的网络操作系 统。Web FTP和 Gopher服务与操作系统一起安装。IIS是 Windows2000系统下 最快的 Wet服务器。通过 Windows FrontPage( 个内置的HTML页面创作工具和Web节点管理工具，即使没有经验的用户也能开发和管理专业水平的Wet节点。通过数据库联结器(IDC)与数据库系统集成，使用户可以通过浏览器来访问数 据库系统。当前，Microsoft公司的Windows操作系统为世界PC机主流的产品，其优 越的可视化界面和强大的功能，使它成为绝大部分人的选择。绝大部分人都热衷 于

48、WIN98操作系统，WIN98提供了更好多线性支持、网络支持、多媒体支持、更 高的可靠性以及更易的客户界面。的在我国，广大计算机用户最为熟悉的就是 Microsoft公司的Windows操作系统了，其具体的特性和功能在这里就不再详细 阐述了。总之，现在会电脑操作的人都会 WIN98操作。为了满足绝大部分人的需 要，也方便多数人上机，我们选择 WIN98作为本局域网客户端操作系统。3.8 软件本校园网的网络操作系统以 Microsoft Win dows 2000 为主，它是发展速度 最快的集成了 Web应用的网络操作系统。具有界面友好、系统强壮、稳定可靠、 与桌面主流操作系统相容性好等优点。并

49、拥有大量的服务器端软件，是Intranet网络中最佳的网络操作系统平台。3.9 信息服务方案SMTP称为简单 Mail 传输协议(Simple Mail Transfer Protocal),目标是向用户提供高效、可靠的邮件传输。SMTP的一个重要特点是它能够在传送中接 力传送邮件，即邮 件可以通过不同网络上的主机接力式传送。工作在两种情况 下：一是电子邮件从客户机传输到服务器； 二是从某一个服务器传输到另一个服 务器。.SMTP是个请求/响应协议，它监听25号端口，用于接收用户的Mail请 求，并与远端Mail服务器建立SMTPS接。SMTP1常有两种工作模式：发送SMTP 和接收SMTP具

50、体工作方式为：发送SMTF在接到用户的邮件请求后，判断此邮 件是否为本地邮件，若是直接投送到用户的邮箱，否则向dns查询远端邮件服务 器的MX纪录，并建立与远端接收 SMTP之间的一个双向传送通道，此后 SMTP命 令由发送SMTPg出，由接收SMTP接收，而应答则反方面传送。一旦传送通道建件则返回OK应答。SMTP发送者再发出RCPT命令确认邮件是否接收到。如果SMTP 接收者接收，则返回OK应答；如果不能接收到，则发出拒绝接收应答（但不中 止整个邮件操作），双方将如此重复多次。当接收者收到全部邮件后会接收到特 别的序列，如果接收者成功处理了邮件，贝U返回OK应答。DHCP! Dynamic

51、 Host Configuration Protocol的缩写，它是 TCFy IP 协议簇中的一种，主要是用来给网络客户机分配动态的IP地址。这些被分配的IP地址都是DHCfflK务器预先保留的一个由多个地址组成的地址集，并且它们一般 是一段连续的地址。FTP即“文件传输协议”。协议是使计算机与计算机之间能够相互通讯的语 言。FTP使文件和文件夹能够在In ternet上公开传输。在某些情况下，您需要从网络计算机管理员处获得许可才能登录并访问计算机上的文件。但是通常您会发现可以使用FTP访问某个网络或服务器，而不需要拥有该计算机的帐户，也 不必是授权的密码持有人。3.10 综合布线方案要想实现校园网络，则需要一个网络控制中心，而