网络系统集成PPT课件.ppt

1、校园信息化建设总体规划校园信息化建设的理想目标网上办公网上管理网上教学网上服务 网络基础网络基本服务管理信息系统办 公自动化网络教学系统数 字图书馆信息服务系统决策支持系统社区服务系统电子商务系统数字化校园校园信息化建设概念模型信息化建设的目的实现校园内教学、科研、服务的数字化、信息化、网络化、电子化实现信息资源和信息服务的合理规划，合理分配，合理利用保证资源和服务的可靠性，安全性，科学性提高大学管理过程和管理系统上的质量，效率和效益信息化建设规划 (一)身份认证系统及用户信息数据库通用信息集中平台与信息发布平台南京大学办公自动化工具网上远程教学平台计算机网络辅助教学教务管理系统信息化建设规划

2、(二）校园一卡通网络校园服务信息查询终端数字化图书馆智能教学大厦，办公大厦，实验室大厦无线网络接入设备发展计划:身份认证系统及用户数据库通用信息集中平台 及发布平台各部门办公自动化系统网上教育平台教务教学管理系统校园一卡通系统校园社区服务查询终端数字化图书馆智能大厦(教学，管理，实验)无线网络接入设备项目主要工作建立访问用户数据信息中心的个性界面和自定义接口建立数字校园中通用数据交换格式规范项目应用范围为学校、政府等企事业单位搭建网上“信息门户”实现各部门信息的采集、管理、发布和服务用于学校、政府或企业Web站点及其它Web信息系统的快速开发和升级，同时支持静态和动态网页的开发和管理具体实施并

3、行主干,双网络中心.多数据链路,多路由的广域网互联采用具有模块化结构,热插拔功能的网络设备网络服务器采用新技术.提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。布线工作区子系统水平区子系统垂直子系统建筑群子系统管理子系统设备间子系统系统总体设计为了满足学校将来灵活组网的需要，在学校办公区、教学区等建筑物内各设有配线间将科技

4、创业楼1楼106室建设成信息中心为充分满足学校对高容量信息通信的需要，系统采用高速高容量的多模光纤作为园区的网络主干中心接入500M光纤为校园网提供Internet出口，ISP提供/27网段，供学校使用。在施工中注意事项仔细查阅其它专业的施工图纸建议在施工中应满足设计裕量采用质量可靠的管路和线缆，以避免日后的麻烦严格遵守综合布线系统规范选材标准必须一致网络设备选型选型原则我们在网络系统设计时考虑如下特点： 稳定可靠的网络 只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路

5、层和网络层的备份技术。 高带宽 为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。 核心层设备由于园区网网络发展规模较大，未来需提供多媒体办公、办公自动化、图书资料检索、远程互联、视频会议等复杂的网络应用，为便于管理，我们建议选用的交换机作为网络组建交换设备。选用1台Cisco6509交换机作为主干交换机实现1000M做主干100M到桌面的需求。Cisco6509系列交换机支持堆叠技术，将来扩充端口极为灵活方便，不必改变原有网络的任何配

6、置。通过增加堆叠交换机数量或做Port Trunking(端口干路)两种办法均可扩充网络规模；并且实现了本地化交换，改善了整个网络，使整个网络的性能发生了质的变化。选用千兆光纤模块，与主干上联，实现主干的千兆传输。Cisco6509系列交换机支持网管和堆叠，可以很容易地根据需要，通过堆叠扩充端口数量。汇聚层设备汇聚层设备选择CISCO公司的Catalyst3550系列的交换机，每个子公司的主交换机选择WS-C3550-48-EMI交换机。Catalyst3550交换机智能以太网交换机是一个新型的可堆叠的，多层次级交换机系列，可以提高水平的可用性，可扩展性，服务质量（QoS）,安全性和可改进网络

7、运营的管理能力，从而提高网络的运行效率。接入层交换机带有100BASE上行链路的Catalyst2950交换机，可为中等规模的公司和企业分支机构 办公室提供理想的解决方案，以使他们能够拥有更高性能的千兆以太网主干。主干网络技术选型根据招用户要求，我们主干网络可选用千兆以太网技术目前流行的局域网、城域网技术主要包括以太网、快速以太网、ATM（异步传输模式）、FDDI、CDDI、千兆以太网等。在这些技术中，千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。 现有网络技术介绍以太网（Ethernet）提供专用的频带（即带宽独享）快速以太网(FastEt

8、hernet)千兆位以太网技术（Gigabit Ethernet）千兆以太网现在支持距离标准1000Base-SX波长850nm 62.5微米多模光纤50微米多模光纤 275米550米 1000Base-LX波长1300nm 62.5微米多模光纤50微米多模光纤9微米或10微米多模光纤 275米550米5公里 1000Base-CX 同轴电缆对 25米1000Base-T 4对5类双绞线 100米网络技术选型结论长远来看如何保护现有投资性能价格比高售后服务好校园网安全方案校园网安全问题分析经过长期的使用和观察，校园网存在以下问题：IP盗用的问题，校园网内部连接有几千台电脑，一部分电脑通过正常的

9、申请途径得到合法的IP地址，另一部分则不然。当某些没有IP地址的用户，冒用他人的合法IP地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。防火墙攻击，防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对外的防护而已，他对于内部的防护则几乎不起什么作用。然而不幸的是，一般情况下大部分的攻击是来自局域网的内部人员。所以怎么防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。Email问题，由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email系统

10、也是一个待解决的问题。各种服务器和网络设备的扫描和攻击，有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。非法URL的访问的问题，对于一些反动的或不健康的站点，应当禁止校园网用户通过校园网去访问。病毒防护的问题，互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。病毒从网络之间传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。安全解决方案设计需求分析针对校园网长期以来校园网络出现的各种问题，对校园网的需求提出了一下几点：1、

11、防止校园网外部用户对校园网内的用户进行攻击2、校园网外部用户只能访问WWW 服务、MAIL 服务，其他服务只对校园网内部用户开放。3、考虑到易用性，所有服务器的操作系统采用Windows Server，WWW 服务使用IIS。 4、需要防病毒系统安全设计原则身份识别外围安全/接入控制数据专用性安全监控策略管理防火墙设置部署防火墙在需要隔离的网络区域之间部署防火墙。典型地，在 Internet 与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将WWW 、 MAIL 、 FTP 、 DNS 等服务器连接在防火墙的 DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通

12、过路由器与 Internet 连接。那么，通过 Internet 进来的公众用户只能访问到对外公开的一些服务（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。建立入侵检测系统防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善传统防火墙的不足主要体现在以下几个方面防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量

13、中的恶意攻击代码，比如针对 WEB 服务的 Code Red 蠕虫等；有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为；作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。入侵检测系统 IDS（ Intrusion Detection System）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。 DS 弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络

14、安全状态的了解，但随着网络攻击技术的发展，IDS 也面临着新的挑战：IDS 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为力；蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS 无法把攻击防御在企业网络之外。办公室楼层IP地址网关办公区一号楼1层 /2454/24办公区一号楼2层/2454/24办公区一号楼3层/2454/24办公区一号楼4层/2454/24办公区一号楼5层/2454/24办公区一号楼6层

15、/2454/24实训楼楼层IP地址网关实训区一号楼1层/2454/24实训区一号楼2层/2454/24实训区一号楼3层/2454/24实训区一号楼4层/2454/24实训区一号楼5层/2454/24宿舍楼层IP地址网关宿舍区一号楼1层/2454/24宿舍区一号楼2层/2454/24宿舍区一号楼3层/2454/24宿舍区一号楼4层/2454/24宿舍区一号楼5层/2454/24教学区楼层IP地址网关教学区一号楼1层/2454/24教学区一号楼2层/2454/24教学区一号楼3层/2454/24教学区一号楼4层/2454/24教学区一号楼5层/2454/24科技创新区楼层IP地址网关科技创新区一号

16、楼1层/2454/24科技创新区一号楼2层/2454/24科技创新区一号楼3层/2454/24106中心机房楼层IP地址网关106中心机房/2454/24管理地址VLAN 1000名称IP地址办公区接入层/24办公区汇聚层/24教学区接入层/24教学区汇聚层/24实训区接入层/24实训区汇聚层/24宿舍区接入层/24宿舍区汇聚层/24科技区接入层/24科技区汇聚层0/24106机房接入层7/24106机房汇聚层6/24路由器4/24核心交换机2/24服务器接入层3/24远程登录Telnet登录：用户名：222密码：222 描述可靠性与可伸缩性IIS 6.0提供了更智能的、更可靠的Web服务器环

17、境，新的环境包括应用程序健康监测、应用程序自动地循环利用。其可靠的性能提高了网络服务的可用性并且节省了管理员用于重新启动网络服务所花费的时间，IIS 6.0将提供最佳的扩展性和强大的性能从而充分发挥每一台Web服务器的最大功效。更安全、易于管理IIS 6.0在安全与管理方面做出了重大的改进。安全性能的增强包括技术与需求处理变化两方面。另外，增强了在安全方面的认证和授权。IIS 6.0的默认安装是被全面锁定的，这意味着默认系统的安全系数就被设为最大，它提供的增强的管理性能改善了XML metabase的管理及新的命令行工具。服务器合并IIS 6.0是一个具有高伸缩性的Web服务器，它为Web服务

18、器的合并提供了新的机遇。通过将可靠的体系结构和内核模式驱动程序完美结合在一起，IIS 6.0允许您在单台服务器上托管更多的应用程序。服务器合并还可以降低企业与人工、硬件以及站点管理相关的成本。增强的开发与国际化支持通过Windows Server 2003 与IIS 6.0支持的先进功能如内核模式缓存，应用程序开发人员将从Windows Server 2003 与IIS 6.0 单一的、完整的应用平台环境中受益。基于IIS 6.0，Windows Server 2003为开发者提供高标准的附加功能，包括快速应用程序开发以及广泛的语言选择，同时也提供了国际化支持和支持最新的Web标准。更高的安全

19、性IIS 6.0显著改进了Web服务器的安全性。IIS 6.0在默认情况下处于锁定状态，从而减少了暴露在攻击者面前的攻击表面积。此外，IIS 6.0的身份验证和授权功能也得到了改进。IIS 6.0还提供了更多更强大的管理功能，改善了对XML元数据库（metabase）的管理，并且提供了新的命令行工具。IIS 6.0在降低系统管理成本的同时，大大提高了信息系统的安全性。正确配置了操作系统。在 Windows Server 2003 家族产品中，文件服务依赖于操作系统及其服务的适当配置。如果您的 Windows Server 2003 操作系统采用的是全新安装，则可以使用默认服务设置。没有必要执行

20、进一步的操作。如果您的 Windows Server 2003 操作系统采用的是升级安装，或者如果您要确认是否已正确配置了服务以获得最佳的性能与安全性，请使用服务的默认设置中的表来验证您的服务设置。 计算机作为成员服务器加入 Active Directory 域中。如果您希望验证客户端的身份，或者将共享文件夹发布到 Active Directory，文件服务器就必须加入域中。如果您不需要执行这两个任务，文件服务器就不需要加入域中。 分配所有可用磁盘空间。可以使用“磁盘管理”或 DiskPart.exe 从未分配的空间中创建新分区。详细信息，请参阅创建分区或逻辑驱动器。 现有的所有磁盘卷都使用

21、NTFS 文件系统。FAT32 卷安全性不好，而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限。 Windows 防火墙已启用。详细信息，请参阅在不允许例外的情况下启用 Windows 防火墙。 如果启用了 Windows 防火墙，则必须选择 Windows 防火墙中的“例外”选项卡上的“文件和打印机共享”，以便让“文件服务器角色”正确地发挥作用。“安全配置向导”已安装和启用。有关“安全配置向导”的信息，请参阅安全配置向导概述。 文件服务器磁盘配额在“文件服务器磁盘配额”页面上，可以设置磁盘配额，来跟踪和控制各个用户在 NTFS 卷上以卷为单位的磁盘空间使用情况。“配置您的服务器向

22、导”会自动将磁盘配额应用到所有 NTFS 文件系统的新用户，使用的是磁盘空间配置已经应用的。只有在您想防止服务器占用的磁盘空间超过某一特定数量或者您的磁盘空间数量有限的情况下，才需要更改“文件服务器磁盘配额”页面上的信息。大多数情况下，可以接受默认系统设置。工程实施与项目测试验收基本说明验收计划双方签定合同后，签定一项验收计划，作为验收执行的规范，合同双方共同遵循，验收计划包括以下必备内容：验收人员组成验收场所和验收时间验收内容组成各项内容的验收标准验收方式 下面分别就验收计划中的要点进行说明。 验收人员由业主方指定人员，工程实施方参加项目所有人员配合验收。验收人员要求：熟悉整个项目的物理设备

23、组成、技术组成和验收标准，具有验收完成之后的签字权。 验收场所和验收时间设备到现场后3天之内进行相应的设备验收，系统逻辑实现之后在公司提交工程测试资料并提出验收要求后3天之内由业主方组织验收，否则视为验收通过。具体的时间和验收场所由双方共同确认的验收计划中指定。 验收组成设备验收对整个项目涉及的设备进行物理验收，包括设备型号、设备数量、包装要求等。 系统验收对项目实施的目标进行相应的逻辑验收，包括功能、性能、文档等。 基本验收标准物理验收的标准以最终合同指定的设备厂家品牌、型号、数量为标准，设备的物理构成及包装以设备厂家提供的标准为验收标准；逻辑验收按照最终合同要求进行的各项功能、性能设计相应

24、的可实施的测试方法进行设计验收、测试验收和文档验收。 验收方式签定合同的同时双方共同确认并签定验收计划；按照验收计划，以计划规定的验收时间内，由指定的双方收验人员按照验收标准进行验收，并填写验收报告；在所有验收计划中指定的验收完成后，整个项目的验收结束。 2.设备验收（物理验收）验收标准根据双方最终生成的合同，形成物理设备总清单是整个设备验收的基础，按照各个设备厂家对设备到场的验收标准进行其它物理验收。验收格式设备验收清单设备编号设备名称设备型号数量配置明细验收人验收时间设备验收总签字签字时间验收格式逻辑验收测试表描述测试方法结果验收人时间综合布线以及网络所有网络主节点的划分网管软件的调试远程

25、访问路由/连接INTERNET 网络安全Intranet功能实现防火墙网关的实现网络安全的实现服务器网管工作站配置服务器发布以及应用网络监视，管理验收签字网络设计目标要求：记录双方共同确认后的整个园区网项目建设的功能、性能列表，在合同签定之前由双方共同商定，并作为验收的标准项目建设要求列表项目名称类别序号描述及测试指标标准功能要求1234性能要求1234用户变更记录用户变更记录表变更序号变更要求描述时间用户签字集成方签字备注记录测试路径和测试结果，由集成方填写，业主进行验证性测试认可。验收总清单工程验收总清单项目序号验收子项列表子项总签人备注1用户目标清单2用户变更记录3系统最终设计方案4配置参数列表5测试列表6设备总清单7工程总验收签字8工程总验收时间文档验收清单序号文档名称文档内容验收结果验收人验收时间技术支持服务售后服务内容 售后服务包括技术培训、技术咨询、维修服务和用户跟踪等服务项目。 质量保证期为12个月，自双方代表在验收单上签字之日起计算 我们承诺为系统集成项目提供的免费售后服务内容为： 保修：质量保证期内设备正常使用下发生的损坏，免费维修；非正常