广东海洋大学校园网设计方案

广东海洋大学校园网设计方案设计题目:广东海洋大学校园网设计方案学生姓名学号2023116212所在专业计算机科学与技术所在班级1102指导教师刘成绩设计时间年月日至年月日目录一、广东海洋大学概况简介5二、需求分析8科技楼楼层信息点数分布表：12图书馆楼层信息点数分布表：13教学楼和办公行政楼13图书馆13信息网络中心14三、校园网的规划设计14主校区16海滨校区框架设计20四、子网IP及VLAN划分24五、设备选材26六、系统软件平台选型28七、网络平安防范措施30防火墙概述30防火墙体系结构30〔1〕双重宿主主机体系结构30〔2〕被屏蔽主机体系结构30〔3〕被屏蔽子网体系结构31防火墙的功能31〔1〕数据包过滤技术31〔2〕网络地址转换技术31〔3〕代理技术32.1入侵检测系统概述32入侵检测原理32网络平安设计原那么33网络平安建设方案33八、课程设计心得35参考文献36广东海洋大学校园网设计方案前言在当今信息产业蓬勃开展的今天，信息已经成为一种关键性的战略资源，计算机技术在人们的生活中已经起到了越来越重要的作用。校园作为知识基地和人才基地，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游，更应在管理上上一个台阶。利用各种成熟的技术带动学校各单位、各部门的电脑化管理，通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和标准性；教职员工和学生可共享各种信息，极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才。在学校中建立计算机网络已经是十分迫切的需要：计算机和网络已经成为各行各业在工作中的工具，是否掌握计算机的技术和应用，已经成为衡量一个从业者是否合格的重要标识。作为培养人才的基地，在校园中就让学生接触计算机、计算机网络，对于培养合格的人才无疑是十分重要的；在现在这个知识爆炸的社会中，对于合格人才的要求越来越多，需要他们掌握大量的各类知识，在教育中需要提高教学效率。现在出现了许多新的教学方法，以各种方式提高学生对知识的掌握速度，在与前人同样的时间内，掌握比前人更多的知识，而这些教学方法，需要利用计算机网络才能实现；高等院校除了作为人才培养基地外，也是重要的科研基地，每年有大量的课题在高校中进行，研究人员需要收集资料、与同行交流研究心得等，促使研究的进展，作为全球最大的信息源和交流方式，计算机网络正是最适宜的选择；学校、尤其是高等学校，作为一个实体都有比拟大的规模，人员繁多，各类事务也非常多，但经费一般比拟紧张，比其他行业更需要提高管理效率，在日常管理中节约经费。在校园内组建计算机网络，在效劳教学、科研的同时，也可以大大提高管理水平和效率。虽然在组建时需要花费一些费用，但与节省的费用相比，依然可以接受。我们广东海洋大学校园网支持的是一个不断多元化的网络应用系统设备组合，用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展性。在本设计方案中，我们将分为网络系统平台的建设,层次化设计等几个局部来设计。一、广东海洋大学概况简介广东海洋大学是广东省人民政府和国家海洋局共建的省属重点建设大学，是一所以海洋和水产学科为特色，理、工、农、文、经、管、法、教、艺等学科协调开展，以应用学科为主体的多科性海洋大学，是教育部本科教学水平评估优秀院校，是国家新增博士学位授予权立项建设单位。学校的前身是创立于1935年的广东省立高级水产职业学校。她是广东现代海洋水产教育的发端，几经迁徙之后升格开展成农业部直属的湛江水产学院。1997年1月10日，由具有62年办学历史的湛江水产学院和39年办学历史的湛江农业专科学校实质性合并组建湛江海洋大学。2001年12月，全国重点中专湛江气象学校并入。2005年6月15日，经教育部批准，湛江海洋大学更名为广东海洋大学。在78年办学历程中，学校肩负兴海使命，立足广东，面向南海，辐射全国，为国家海洋事业和地方经济社会开展培养了10多万名“能安心、能吃苦、能创业〞的高级专门人才，成为促进广东经济社会开展和南海研究开发的重要力量。学校现有主校区、霞山校区、海滨校区、寸金校区4个校区，分别位于湛江市西郊世界地质公园——湖光岩风景区旁、霞山区解放东路40号、湛江经济技术开发区海滨大道43号、麻章区学智路2号。校园总面积4911亩〔不含独立学院寸金校区〕，其中主校区占地4200亩，依山面海，环境优美，是求学成才的理想之地。学校设有水产学院、食品科技学院、海洋与气象学院、农学院、工程学院、经济管理学院、航海学院、信息学院、软件学院、理学院、文学院、法学院、外国语学院、政治与行政学院、体育与休闲学院、中歌艺术学院、职业技术学院、继续教育学院等18个二级学院，1个教学部——思想政治理论课教学部以及1个独立学院——广东海洋大学寸金学院。学校现有66个本科专业，39个高职高专专业，8个省级以上特色专业〔其中5个为国家级特色专业〕，2个广东省名牌专业，1个广东省重点专业。面向全国25个省、自治区、直辖市招生，现有全日制本专科生、研究生、留学生2.8万余人，独立学院1.4万余人，成人高等教育学生1.3万余人。学校学科门类齐全。现有3个立项建设博士学位授予权的一级学科，5个一级学科硕士点，21个二级学科硕士点，２个硕士专业学位点；6个省级重点学科，其中水产品加工及贮藏工程二级学科被列为“攀峰重点学科〞；海洋科学、水产2个一级学科被列为“优势重点学科〞，机械制造及其自动化、动物遗传育种与繁殖、农业经济管理3个二级学科被列为“特色重点学科〞。学校教学科研平台优良。现拥有国家贝类加工技术研发分中心〔湛江〕、广东省水产经济动物病原生物学及流行病学重点实验室、广东省水产品加工与平安重点实验室、广东省海洋开发研究中心、广东省人文社科重点研究基地——海洋经济与管理研究中心等9个省部级科研平台，工程训练中心、航海技能训练中心等6个省级实验教学示范中心，南海水产经济动物增养殖重点实验室、水产经济动物病害控制重点实验室等7个厅级重点实验室，1个广东省联合培养研究生基地。建有国家资质认定计量认证实验室——海洋资源与环境监测中心、海洋实验室、海洋药物研究与开发实验室等69个校级教学科研实验室。有中央与地方共建高校特色优势学科实验室建设工程15个。有全国高校中水生生物标本最多的水生生物博物馆以及与国家海洋局第二海洋研究所共建的海洋遥感与信息技术实验室2个“全国海洋科普教育基地〞。学校师资力量较为雄厚。现有教职工1769人，其中教学科研人员964人，拥有副高职称以上人员458人，博士学位者230人，广东省高等学校珠江学者特聘教授2人；双聘院士3人；享受政府特殊津贴7人；先后有105人次入选近四批广东省高等学校“千百十工程〞培养对象。学校办学条件良好。教学楼、科技楼、图书馆、体育馆、博物馆、学生公寓、学生食堂以及文化广场、运动场和标准游泳池等根本教学生活设施完善。校舍总建筑面积达62.5万平方米，图书馆藏书221万册，教学科研设备值2.89亿元，固定资产值约15.7亿元。建有规模可观、覆盖面广、方便快捷的校园网。学校坚持“人才强校、质量立校、学术兴校、特色扬校〞的办学理念和“规模扩大与质量提高相结合，以质量提高为主；外延拓展与内涵充实相结合，以内涵充实为主；综合开展与强化特色相结合，以强化特色为主〞的办学思路，通过优化学科结构，加强专业建设，实施素质教育，教学质量稳步提高。教学水平和人才培养质量得到社会的广泛认可和充分肯定。近五年，学校毕业生就业率均超过98%，居广东省高校前列；学生参加各类课外科技文化、艺术体育竞赛和社会实践活动，有498人次获得国家级奖励，1704人次获得省部级奖励。2006年、2007年、2023年我校学生分别应邀参加上海合作组织成立五周年和香港、澳门回归十周年文艺演出，受到了文化部和解放军总政治部的高度赞扬。学校科学研究取得重大进展，效劳社会能力显著增强。近五年，学校承当包括国家973方案、国家863方案、国家科技支撑方案、国家自然科学基金、国家社会科学基金等在内的科研工程共1331项，其中国家级工程99项、省部级工程403项；科研经费总额达2.56亿元；获得各级各类科技奖励86项，其中国家级二等奖1项，省部级一等奖3项，省部级二、三等奖19项。“大宗低值蛋白资源生产富含呈味肽的呈味基料及调味品共性关键技术〞工程获2023年度国家科学技术进步奖二等奖，“华南地区对虾产业高效技术〞工程获2007年度广东省科学技术奖一等奖和中华全国工商业联合会科技进步一等奖，“附壳造型珍珠和优质海水珍珠养殖及加工技术的研究与应用〞工程获2023年度广东省科学技术奖一等奖，“日本囊对虾和斑节对虾地膜覆沙池健康养殖技术研究及示范推广〞工程获2023年度海南省科学技术奖一等奖，“墨西哥湾扇贝养殖技术研究及推广〞、“马氏珠母贝标准化养殖与示范推广〞工程分别获2006、2023年度国家海洋科技创新成果奖二等奖。对虾种苗繁育及养殖、海水名贵鱼类的种苗繁育及养殖、海水鱼类病害防治、珍珠贝的养殖及育珠、水产品加工及贮藏、杂交水稻育种、区域海洋学等领域的研究到达了国内先进水平。科技成果的广泛推广应用，有力地推动了我国南方海洋水产业的蓬勃开展，取得了巨大的经济和社会效益。在我校技术的有力支持下，目前仅湛江地区的海水珍珠产量就占全国的三分之二，对虾的种苗产量、养殖面积、养殖产量、饲料产量、加工规模、出口量和交易量等七个方面均为全国第一。学校广泛开展对外交流与合作，先后与美国、日本、英国、澳大利亚等国家以及香港、台湾等地区30多所高校、研究机构建立了良好的学术交流和合作关系；与全国多个企事业单位、政府部门和部队单位进行广泛的人才培养和科学研究合作。海洋是潜力巨大的资源宝库，是支撑未来开展的战略空间。开发海洋，科教领航。目前，学校正全力贯彻落实党的十八提出的“推动高等教育内涵式开展〞、“建设海洋强国〞的战略部署，紧紧抓住国家将重点研究开发南海、广东全面实施国务院批准的《广东海洋经济综合开发试验区开展规划》的重大机遇，深入实施广东海洋大学三大行动方案〔“质量30条〞行动方案、“协同创新〞行动方案、“南海战略〞行动方案〕，为把学校建设成为海洋和水产学科特色鲜明、优势学科水平较高、与我国海洋事业和广东经济社会开展相适应、在国内外有一定地位和影响的教学研究型大学而努力奋斗。学校分三个校区：主校区、霞山校区、海滨校区。占地4911亩。主校区位于湛江市西郊世界地质公园─湖光岩风景区旁，依山面海，环境优美。设有水产学院、食品科技学院、农学院、工程学院、经济管理学院、航海学院、信息学院、软件学院、理学院、文学院、法学院、中歌艺术学院、外国语学院、继续教育学院、职业技术学院、寸金学院、政治与行政学院等17个二级学院和1个直属系——体育系。现有本科专业59个，高职高专专业29个，硕士学位授权点14个，农业推广硕士学位点1个，省级重点学科1个，省级重点扶持学科2个，广东省名牌专业2个。设有广东省海洋开发研究中心、广东省水产经济动物病原生物学及流行病学重点实验室、广东省〔教育厅〕水产品深加工重点实验室、珍珠研究所、海洋经济研究所、南海海洋环境研究所、海洋资源与环境监测中心等18个科研机构。二、需求分析先进性、实用性、平安性、可扩充性、灵活性、标准性、系统性、综合性。目标是要建成该院的多媒体教学系统及校园办公管理系统。利用信息技术，建立一个先进、完善的校园计算机网络，建设校园网络信息系统，在校园内部实现资源高度共享，为教学、科研、管理提供效劳，为方案、组织、管理与决策提供根底信息和科学手段；支持教育教学改革，提高教育技术的现代化水平和教育信息化程度，为学校教师的备课、课件制作、教学演示提供网络环境；通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料，实现素材收集、电子备课功能。培养创新人才，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力，使学生能自主学习、协商学习、发现探究式学习以及自我评价，为学生的全面开展创造相应的条件。实现办公自动化，提供与上级教育部门、社会、家庭之间通讯的出入口，提供电子函件、公告牌和教育教学信息查询等效劳，提高工作效率和管理水平。及时、准确、可靠地收集、处理、存储、传输学校的教育教学信息，完成与因特网的通讯和资源共享实现社会教育、学校教育、家庭教育的有机结合。实现课堂多媒体电化教学，具备适用于双向课堂语音教学及语音室功能学习。电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。 从目前来讲，主要需求分为如下几个方面：1、整个网络系统主要分布在全校区。2、整个网络采用先进的网络结构，以满足传输、存储和处理数据、语音及图象信息的需要。3、满足网上的集成系统和业务系统的需求。4、完整统一的系统管理平台。5、实现课堂多媒体电化教学。6、校园网要求能对每个用户的使用情况能进行事后审计，能够定位到IP地址以及用户所连接的端口和登录的用户名，限定帐号的使用端口。7、校园网要求能实现对用户带宽的动态控制。8、校园网要求在学校规模不断扩大中，用户数在持续增加，要求网络具有很好的。扩展性，能够根据需要逐步平滑升级到万兆的骨干连接。9、网管平台实现网络资源的管理、网络平安访问的控制。并且在平台上能方便地开发所需网络应用。采用流行的、支持设备面广、有良好图形界面的网管平台。网管系统能够管理到网络中的每一个智能设备及有关设备的每一个端口，即能够远程对设备进行设置、调试、网络流量监测和必要的重置。主要建设目标如下：1、实现内部资源高度共享，利用信息的快速、准确的流通为教学、科研、管理提供效劳，为方案、组织、管理与决策提供根底信息和科学手段。2、提高教育技术的现代化水平和教育信息化程度，通过互联网技术和网络环境以及利用各种多媒体工具为学校教师获得资料素材、进行电子备课、辅助教学。3、培养创新人才，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力，使学生能自主学习、协商学习、发现探究式学习以及自我评价，为学生的全面开展创造相应的条件。4、计算机教学，实现课堂多媒体电化教学，具备适用于双向课堂语音教学及语音室功能学习。5、图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等。6、文件传输FTP主要利用FTP效劳获取重要的科技资料和技术文挡。网络设计原那么校园网建设是一项大型网络工程，各个学校需要根据自身的实际情况来制定网络设计原那么。该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统，为广阔教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，计算机网络平台是计算机应用的根底，建立一套平安可靠、先进稳定的网络系统，可以保证各种应用系统的正常进行以及学校内部各种多媒体教学的运作。通过Internet的连接功能，用户可以访问Internet等，或者在外地通过其他连接线进行远程教学，提供了全新的教学模式。我们在设计该学院校园网络时，应着重考虑以下原那么：1、可靠性和高性能网络必须是可靠的，包括网元级的可靠性，如引擎、风扇、单板、总计等；以及网络级的可靠性，如路由、交换的会聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。2、实用性和经济性由于学校资金并不是很充足，不可能一步到位。另一方面，学校的应用水平较参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原那么。3、可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的开展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。4、易管理、易维护由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。5、先进性、成熟性当前计算机网络技术开展很快，设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保校园网络能够适应将来网络技术开展的需要，保证在未来假设干年内占主导地位。6、平安性、保密性网络系统应具有良好的平安性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务，要求能进行灵活有效的平安控制，同时还应支持虚拟专网，以提供多层次的平安选择。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统平安机制、数据存取的权限控制等。7、灵活性、综合性通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。8、QoS〔质量效劳〕保证教育在语音和视频等多媒体应用方面一直走在社会的前列，这类应用对效劳质量的要求很高。QoS〔质量效劳〕需要在网络的端到端进行全盘方案和实施，由于各接入网络和端设备的复杂性与多样性，骨干网必须尽可能地支持各种质量效劳技术，特别是最新的技术如MPLSVPN和流量工程，以提供简洁透明的质量效劳机制。校园网功能需求分析教学楼〔主楼和钟海楼〕主要为电脑机房、多媒体教室，将计算机多媒体视听引入课堂教学、声音、图像、动画的普遍采用可以大大提高教学效果。科技楼科技楼分a,b,c,d四个区，其中a区作办公工作区，为学院办公室。根据标准设计的布线方案，能适应和支持现有的或将来的通信及计算机网络需求，能适合语音、数据计算机局域网、光纤分布数据接口、图像和其它连接的需要。智能化楼宇的结构化布线系统不仅为现代化的信息通讯铺设了信息高速公路，而且也为楼宇的智能管理提供了集中的控制通路。结构化布线系统为用户创造了舒适、快捷的软环境，节约了开展商与经营者的人力和财力开支，极大地提高了对建筑物的综合管理水平，满足学校各部门对通讯和网络的需求。根据对结构化布线系统的要求，大楼布线系统的设计主要满足通信和计算机网络以及视频监控三局部。该系统将为用户提供集话音、数据、文字、图像于一体的多媒体信息网络，帮助用户实现多功能、语音信箱、网络代理连接互联网等应用。办公行政楼办公自动化根本web综合管理信息的信息系统、提示行政、人事、学籍、后勤、财务管理、公文收发管理、教师档案管理、学生档案管理、科技档案管理等、使学校日常办公无纸化、减少办公开支提高办公效率等。图书馆图书馆是给师生们提供自主学习的场所，师生可以根据需要自由选择内容以及基于web的图书音像供学生随时读、并于连接Ineternet、使图书馆得到进一步拓展、使师生能够得到近乎无限的网上资源。学生和教工宿舍宿舍区的网络构架对学校信息化工作起到了巨大的推动作用，一方面缩短了学校与外界的距离，另一方面，完善了以校园网为根底的管理信息系统，为学生和教工提供了方便。信息网络中心中心机房到会聚层节点采用4兆光纤〔多模〕连接，会聚层到接入层采用百兆的五类线〔或者超五类〕连接。通常考虑，建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入，以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。校园网所需信息点的分布主楼楼层信息点分布表：楼层1F2F3F4F5F6F7F8F9F10F数据点730252318212542011语音点0212520182119001合计数据点=184语音点=125钟海楼楼层信息点数分布表：楼层一层二层三层四层五层六层数据点203636216216216语音点202536363636合计数据点=740语音点=189科技楼楼层信息点数分布表：楼层一层二层三层四层五层六层数据点20353536211636语音点203535291810合计数据点=604语音点=147图书馆楼层信息点数分布表：楼层一层二层三层四层五层六层七层信息点1035181314122819合计464海滨校区楼层信息点数分布表格：教学楼和办公行政楼核心层交换机通过光纤传输介质与教学楼的会聚交换机相连。会聚交换机分别连接到各楼栋的接入层交换机，通过双绞线连接到每个课室的信息面板上；办公行政楼位于教学楼南区，核心交换机通过室外光线连接到行政楼的会聚交换机，会聚交换机通过双绞线连接到行政楼办公室的信息面板上，办公室使用8口交换机连接到信息面板。信息面板分布情况如下：楼层区域楼层西区东区北区南区总合计一层664586二层6625三层665四层665五层66合计3030620图书馆中心机房放置在图书馆的第五层，连接到会聚交换机，通过双绞线连接到图书馆内的信息面板上。具体分分配如下：图书馆1楼：3个信息点；图书馆2楼：20个信息点；图书馆3楼和4楼：6个信息点；图书馆五楼：200个信息点；图书馆6楼：6个信息点。楼层1F2F3F4F5F6F合计信息点数320662006241信息网络中心综合楼共7层，一、二、三、四每层4个信息点，五、六、七层为实验机房网络中心位于第七层。通过光纤接入，连接H3CSecPathF100-S-AC防火墙，再连接到一台“思科WS-C4503〞的核心交换机和效劳器群。效劳器群组效劳器统一采用IBMSystemx3650M3(7945I75)，一台对外Web效劳器，放的是学校的官方网站；一台内网Web效劳器，是学校的内部网站；一台Ftp效劳器，由于FTP流量比拟大，所以增加了一台IBMTotalStorageDS3400(1726-42X)Raid效劳器。核心层交换机通过光纤连接到办公及教学楼、综合楼、图书馆、学生公寓A、B、C区的会聚层交换机。三、校园网的规划设计广东海洋大学校园拓扑图全网框架设计层次化网络设计模型:对于大中型网络，可以采用业界通用“核心层-会聚层-接入层〞层次化网络设计模型。层次化网络设计图核心层核心层的主要提供不同网络模块之间优化传输效劳，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最正确的网络性能。会聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分，担特性的设备实现负荷均衡。此外，为了防止网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。核心层模块设计会聚层会聚层顾名思义就是作为访问层到骨干层的会聚，通常为访问层与骨干层实现基于策略的网络间连接。会聚层主要由三层交换机组成，提供对网络流量模式控制、效劳访问控制、QoS、定义路由路径度量〔pathmetric〕和路由协议网络通告控制。会聚层模块设计接入层接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的播送流量，防止不同模块之间相互影响。访问层主要通过二层交换机组成。“核心层-会聚层-访问层〞层次化网络设计模型有如下优点：1、高可扩展性－遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。2、易于实施－每一层的功能性清晰划分，简化每一层的实现。3、易于故障排除－每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围。4、易于规划和管理－层次化的功能划分，整个网络规划和管理更为简单。随着Internet应用的不断普及，越来越多的信息交流是在Internet上实现，广州市政设计院也将与国际Internet相连，实现同国内外同行的信息交流，并为用户提供远程效劳，因此，在设计上除遵从前面的原那么，还应考虑以下两个方面：开放性、标准化。局部框架设计主校区主楼钟海楼科技楼图书馆学生宿舍东区学生宿舍：西区学生宿舍：兴海楼、兴农楼、行政楼体育馆、商中、一饭、主礼堂等建筑区兴教楼海滨校区框架设计教学楼办公、行政楼图书馆学生宿舍区核心交换机通过光纤连接到学生公寓A、B、C区的会聚交换机，每个区域的交换机通过光纤连接到各自的区域楼，区域楼交换机再与楼层的交换机堆叠，通过双绞线连接到宿舍的信息面板上。A区：B区：C区：综合楼综合楼共7层，一、二、三、四每层4个信息点，五、六、七层为实验机房，网络中心位于第七层。四、子网IP及VLAN划分区域IP子网掩码默认网关备注主楼……主机号为0和255的不可用钟海楼/24……主机号为0和255的不可用网络中心……主机号为0和255的不可用学生宿舍……主机号为0和255的不可用图书馆……主机号为0和255的不可用科技楼……主机号为0和255的不可用兴海楼……主机号为0和255的不可用兴农楼……同上兴教楼……同上行政楼……同上商中等附近建筑区……同上艺术楼、舞蹈楼等建筑区……同上校医院、农果楼……同上工程训练中心……同上霞山校区和海滨校区区域IP子网掩码默认网关备注霞山校区……主机号为0和255的不可用教学楼〔海滨〕/24……主机号为0和255的不可用办公楼〔海滨〕……主机号为0和255的不可用学生宿舍〔海滨〕……主机号为0和255的不可用图书馆〔海滨〕……主机号为0和255的不可用其他……主机号为0和255的不可用VLAN的划分以科技楼为例，按照科技楼拓扑图中的划分，如下表VLANVLAN网关子网地址范围子网掩码1020303132333435363738404142434450五、设备选材二层交换机三层交换机路由器配线架机柜六、系统软件平台选型操作系统操作系统是计算机系统的一种系统软件，它用于管理计算机系统的资源和控制程序的执行，以提高资源利用率，并为用户提供强有力的使用功能和方便的使用环境。操作系统是控制和管理计算机系统内各种硬件和软件资源、合理有效地组织计算机系统的工作，为用户提供一个使用方便可扩展的工作环境，从而起到连接计算机和用户的接口作用.选择一个适宜的操作系统，既省钱、省力，又能大大地提高系统的效率，而盲目地上一个操作系统，往往会事倍功半，甚至会破坏原有的数据库和文件等。选择操作系统的准那么网络操作系统对网络的性能有着至关重要的影响。选择了一个适宜的网络操作系统,既省钱、省力,又能大大地提高系统的效率,而盲目地上一个网络操作系统,往往会事倍功半,甚至会破坏原有的数据库和文件等。一、选择网络操作系统的准那么选择网络操作系统的准那么,随着市场、技术及生产厂商的变化而变化。所以,这里所谈的准那么也不是一成不变的,在许多情况下,仍要根据实际情况决定。选择网络操作系统,既要分析原有系统的情况,又要分析网络操作系统的情况。对原有系统的分析,着重在两个方面：需要实现的目标,即要建立具有什么功能的网络。现有系统的配置、实现的难易程度、技术配备等。在对原系统进行分析后,再考察网络操作系统的状况,主要考察点有:(1)该网络操作系统的主要功能、优势及配置,看看能否与用户需求达成根本一致。(2)该网络操作系统的生命周期。谁都希望少花钱,多办事,因而希望网络操作系统正常发挥作用的周期越长越好,这就需要了解一下其技术主流、技术支持及效劳等方面的情况。(3)分析该网络操作系统能否顺应网络计算的潮流。当前的潮流是分布式计算环境,因此,选择网络操作系统,当然最好考察这个方向。(4)对市场进行客观地分析。也就是说,对当前市场流行的网络操作系统平台的性能和品质,如速度、可靠性、安装与配置的难易程度等方面,进行列表分析,综合比拟,以期选择性能价格比最优者。上述是选择网络操作系统的通用准那么。在实际选择时,具体问题还需具体分析。在经费有限或网络要求有限的情况下,可选择低档的网络操作系统,如对等式的网络操作系统等。这类低档的网络操作系统价格低廉,无须专用的效劳器,所以能大大节省用户的开支。另外,低档的网络操作系统能将小型工作组成员简易地连接起来,彼此共享文件和打印机。在性能方面,当负载较小时,其速度与高档系统不相上下。在低要求、低本钱的情况下,选用对等式网络操作系统无疑是上策。但当需求扩展时,对等式网络操作系统就显得不那么适合,如:平安保密和访问速度方面不够,以及需大量内存和CPU时间的应用程序无法运行等,这时对等式网络操作系统就不能满足用户的要求。因此,在选择网络操作系统时,首先要分析一下本系统未来运行的是何种应用程序:是简单短小的,还是庞大复杂的;系统是否需要较为严格的平安保密等。在网络规模扩大后,无疑需要选择较为高档的网络操作系统。高档的产品,其功能强大,能支持多种计算平台,一般都能有效地满足用户的联网要求。目前，这类产品在局网上的主要代表有：Microsoft公司的Windows2003、XP,Novell公司的NetWare以及Unix。NetWareNovell公司的NetWare，NetWare的特色是:·NetWare是一个真正的网络操作系统,而不是其它操作系统下的应用程序。它直接对微处理器编程,因而伴随着最新的微处理器一起开展,充分利用微处理器的高性能,从而到达高效的效劳。·支持各种硬件。·支持多种网络平台的互联,如DOS、OS/2、Windows、Macintosh等。·广泛的网络互联性能。Novell提供内桥、外桥、远程桥等多种互联选件,从而将具有相同或不同的网络接口卡、不同协议和不同拓扑结构的网络连接起来。·出色的容错特性。NetWare提供一、二、三级容错。·整体系统的保密、平安性好。·NetWare4.0以后的版本提供的目录效劳,将更好地支持多效劳器网络,实现单一的全局的系统管理。UNIXUNIX1969年诞生于美国AT&T公司的贝尔实验室,是一个多用户、多任务的操作系统。UNIX已开展为两个重要的分支,一是AT&T公司的UNIXSystemV,在微机上主要采用该版本;另一是UNIX伯克利版本(BSD),主要运行于大、中型机上。UNIX操作系统在结构上分为核心层和应用层。核心层用于与硬件打交道,提供系统效劳;应用层提供用户接口。核心层把应用层与硬件隔离,使应用层独立于硬件,便于移植。网络传输协议已被结合到UNIX的核心之中,因而UNIX操作系统本身具有通信功能。UNIX操作系统可以运行在从PC到超级计算机的非常广泛的效劳器平台上,并支持网络文件系统(NFS)和提供数据库应用。LAN操作系统能够运行在UNIX环境的效劳器上,许多基于UNIX系统的计算机厂家拥有功能强大、升级方便的效劳器系列,随着UNIX厂家的联合,将使UNIX网络效劳器平台在今后的市场上更加引人注目。Windows2003WindowsServer2003作为Microsoft最新推出的效劳器操作系统，相比Windows2000/XP系统来说，各方面的功能确实得到了增强，尤其在平安方面，总体感觉做的还算不错。WindowsServer2003简体中文版分Web、Standard、Enterprise和Datacenter四个版本。我们测试的是Enterprise版，它最大支持8个处理器和32GB内存，最小配置为CPU速度不低133MHz，内存不少于128MB。据此可知WindowsServer2003的硬件适应性确实宽泛，其优异的伸缩性并非虚言。七、网络平安防范措施防火墙概述防火墙是一种用来增强内部网络平安性的系统，它将网络隔离为内部网和外部网，从某种程度上来说，防火墙是位于内部网和外部网之间的桥梁和检查站，它一般由一台和多台计算机构成，它对内部网和外部网的数据流量进行分析、检测、管理和控制，通过对数据的筛选和过滤，来防止未授权的访问进出内部计算机网，从而到达保护内部网资源和信息的目的。防火墙是指设置在不同网络〔如可信任的企业内部网和不可信的公共网〕或网络平安域之间的一系列部件的组合。它是不同网络或网络平安域之间信息的唯一出入口，能根据企业的平安政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息平安效劳，实现网络和信息平安的根底设施。在逻辑上，防火墙是一个别离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的平安。防火墙体系结构〔1〕双重宿主主机体系结构双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器，它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络〔如外部网络〕直接发送到另一个网络〔如内部网络〕。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。〔2〕被屏蔽主机体系结构双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙那么使用一个路由器把内部网络和外部网络隔离开。在这种体系结构中，主要的平安由数据包过滤提供〔例如，数据包过滤用于防止人们绕过代理效劳器直接相连〕。这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或效劳都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机平安。数据包过滤容许堡垒主机开放可允许的连接〔什么是"可允许连接"将由你的站点的特殊的平安策略决定〕到外部世界。〔3〕被屏蔽子网体系结构被屏蔽子网体系结构添加额外的平安层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。这样就在内部网络与外部网络之间形成了一个“隔离带〞。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。防火墙的功能〔1〕数据包过滤技术数据包过虑技术是在网络中的适当位置对数据包实施有选择的通过的技术选择好依据系统内设置的过滤规那么后，只有满足过滤规那么的数据包才被转发至相应的网络接口，而其余数据包那么从数据流中被丢弃。数据包过滤技术是防火墙中最常用的技术。对于一个危险的网络，用这种方法可以阻塞某些主机和网络连入内部网络，也可限制内部人员对一些站点的访问。包过滤型防火墙工作在OSI参考模型的网络层和传输层，它根据数据包头源地址，目的地址，端口号和协议类型等标志确定是否允许通过，只有满足过滤条件的数据包才被转发到相应目的地，其余数据包那么被数据流中阻挡丢弃。〔2〕网络地址转换技术网络地址转换是一种用于把IP地址转换成临时的外部的、注册的IP的地址标准，用户必须要为网络中每一台机器取得注册的IP地址。在内部网络通过平安网卡访问外部网络时，系统将外出的源地址和源端口映射为一个伪装的地址和端口与外部连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非平安网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规那么来判断这个访问是否平安和接受与否。网络地址转换过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。〔3〕代理技术代理技术是在应用层实现防火墙功能，代理效劳器执行内部网络向外部网络申请时的中转连接作用。代理侦听网络内部客户的效劳请求，当一个连接到来时，首先进行身份验证，并根据平安策略决定是否中转连接。当决定转发时，代理效劳器上的客户进程向真正的效劳器发出请求，效劳器返回代理效劳器转发客户机的数据。另一种情况是，外部网通过代理访问内部网，当外部网络节点提出效劳请求时，代理效劳器首先对该用户身份进行验证。假设为合法用户，那么把该请求转发给真正的某个内部网络的主机。而在整个效劳过程中，应用代理一直监控着用户的操作，一旦用户进行非法操作，就可以进行干预，并对每一个操作进行记录。假设为不合法用语，那么拒绝访问。入侵检测系统概述入侵检测是指通过对行为、平安日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。入侵检测技术是为保证计算机系统的平安而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反平安策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测原理入侵检测跟其他检测技术有同样的原理。从一组数据中，检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹，并给出相关的提示和警告。入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非