1、<p><b>　　校園網(wǎng)規(guī)劃與設計 </b></p><p>　　中原工學院南校區(qū)校園規(guī)劃</p><p><b>　　目錄</b></p><p>　　說明………………………………………………………………3 </p><p>　　一、前言…………………………………………………………4&

2、lt;/p><p>　　二、項目管理……………………………………………………4</p><p><b>　　(1) 項目概括</b></p><p>　　(2) 項目建設目標</p><p><b>　　1. 商業(yè)目標</b></p><p><b>　　2. 技術(shù)目標

3、</b></p><p><b>　　3. 項目指導原則</b></p><p><b>　　三、需求分析</b></p><p><b>　　四.網(wǎng)絡設計原則</b></p><p>　　(1) 方案設計原則</p><p>　　(2) 方

4、案設計思想</p><p><b>　　五、解決方案</b></p><p>　　說明：　　1.方案采用銳捷網(wǎng)絡提供的網(wǎng)絡設備進行設計，充分遵循：　　先進性：采用先進成熟的概念、技術(shù)和方法，能支撐各種現(xiàn)在與未來一段時期的主流網(wǎng)絡應用，又具有發(fā)展?jié)摿?，包括基礎方案、擴展方案和管理方案。 　　可行性：所設計的方案能夠充分考慮網(wǎng)絡教育的特點和應用對象的技術(shù)、資源、管理

5、等方面的約束，并能很好地結(jié)合銳捷網(wǎng)絡產(chǎn)品特點進行方案的設計。 　　靈活性：按照模塊化、層次化的原則設計網(wǎng)絡，網(wǎng)絡具有較好的伸縮性、可以根據(jù)網(wǎng)絡建設的不同階段靈活配置和擴展，具有能不斷吸收新技術(shù)、新方法的功能。 　　實用性：網(wǎng)絡易維護、易管理，可實施性好。 　　可靠性：能利用產(chǎn)品自身特色，保證網(wǎng)絡系統(tǒng)運行穩(wěn)定可靠、高效。充分顯示先進性等；</p><p>　　2.學校簡介：中原工學院始建于1955年，位于河南

6、省鄭州市，是一所以工為主，工、管、文、理、經(jīng)、法多學科發(fā)展的大學，是教育部批準的具有高等學歷教育招生資格的公辦、全日制普通高等院校。學校面向全國招生，研究生學制兩～三年，符合條件者授予碩士學位；本科學制四年～五年，符合條件者授予學士學位。</p><p>　　學校現(xiàn)有教職工1370人，其中專任教師870人，具有高級職稱的教師近400人，具有博士學位的教師150多人；各類在校生15000余人，校園占地1360畝，分

7、南區(qū)、西區(qū)和北區(qū)三個校區(qū)，校園環(huán)境幽雅，交通便利。</p><p>　　學校擁有完善的教學、生活設施，學習氛圍濃厚。多媒體教室、信息中心、計算中心、專業(yè)實驗室一應俱全，發(fā)達的計算機校園網(wǎng)將辦公樓、教學樓、實驗室、學生宿舍連為一體，可以便捷地開展網(wǎng)上教學、網(wǎng)上學習和網(wǎng)上科研活動。圖書館藏書145.2萬冊，建有電子閱覽室、超星數(shù)字圖書館、中國學術(shù)期刊鏡像站點等，形成了功能齊全、結(jié)構(gòu)合理、設施完善的現(xiàn)代化圖書情報系統(tǒng)，

8、為師生汲取知識創(chuàng)造了便利條件。</p><p>　　學校下設18個教學部門，現(xiàn)有2個省級重點學科，開設有49個本科專業(yè)，有19個碩士點。學校出版有《中原工學院學報》、《成組技術(shù)與生產(chǎn)現(xiàn)代化》、《紡織服裝科技》及《空分技術(shù)》4種學術(shù)期刊，在專業(yè)領域享有一定聲譽。</p><p>　　我所在校區(qū)在南區(qū)，下面就南區(qū)的情況來簡單談談南區(qū)網(wǎng)絡布置的規(guī)劃。（新蓋圖書館一座，里面設置了無線網(wǎng)絡，方便了圖

9、書管理工作，也方便了有筆記本的同學可以隨時上網(wǎng)。）</p><p><b>　　一、前言</b></p><p>　　自從 1993 年美國政府公布實施“信息高速公路計劃”之后，在世界引起巨大反響，許多發(fā)達國家和一些發(fā)展中國家也相繼提出了本國或本地區(qū)的信息基礎設施計劃?？梢哉f，信息化程度已成為衡量一個國家現(xiàn)代化水平和綜合國力強弱的重要標志。在當今信息產(chǎn)業(yè)蓬勃發(fā)展的今天

10、，信息已經(jīng)成為一種關鍵性的戰(zhàn)略資源，計算機技術(shù)在人們的生活中已經(jīng)起到了越來越重要的作用。 我國的信息起步晚，本可以高起點，高標準的建設我國的信息高速公路，但由于我國經(jīng)濟能力和幅員遼闊，建設成本壓力很大，因此發(fā)展較為緩慢。學校，尤其是各大高校，作為知識基地和人才基地，它理應成為代表信息產(chǎn)業(yè)技術(shù)發(fā)展的最前沿，然而現(xiàn)狀是工業(yè)水平高于學術(shù)水平。即使這樣，1994年中國教育科研網(wǎng) (CERNET)正式啟動以來，已與國內(nèi)幾百所學校相連，2

11、000年該網(wǎng)“二期工程”完成時，除達到連接1000所大學的目標外，對有條件的中小學也將提供上網(wǎng)接入服務。但實際情況是我國大多數(shù)校園網(wǎng)卻因應用水平的低下而造成資源的極大浪費。如何利用當前先進的計算機技術(shù)與校園網(wǎng)資源，實現(xiàn)學校各項業(yè)務系統(tǒng)的集成，提高應用水平成為學校校園網(wǎng)建設的工作重點。校園網(wǎng)在國內(nèi)發(fā)展還不成熟</p><p><b>　　二、項目概述</b></p><p&

12、gt;<b>　　(1) 項目概括</b></p><p>　　為了推進教育學信息化和現(xiàn)代化，學校計劃在校內(nèi)建立校園內(nèi)部網(wǎng)并通過千兆位鏈路連接與國際互聯(lián)網(wǎng)相連。根據(jù)學校的要求，我們按照“統(tǒng)一規(guī)劃、講究實效、安全可靠”的原則，進行我學院校園網(wǎng)綜合系統(tǒng)設計，以滿足校園內(nèi)計算機網(wǎng)絡系統(tǒng)的需要。對于我校來說，由于將有越來越多的資料信息和管理平臺放到校園網(wǎng)上，越來越多的用戶使用校園網(wǎng)，校園網(wǎng)的可擴展性

13、和可靠性成為選擇合作伙伴的重要標準。</p><p>　　(2) 項目建設目標</p><p>　　通過建設一個高速、安全、可靠、可擴充的網(wǎng)絡系統(tǒng)，實現(xiàn)校內(nèi)信息的高度共享、傳遞，教學及管理信息化，并通過與廣域網(wǎng)的互聯(lián)，實現(xiàn)校際間的信息共享及與INTERNET的連接，實現(xiàn)遠程教育，為學校的教學、管理、日常辦公、內(nèi)外交流等各方面提供全面、切實的支持。</p><p>　

14、　1、商業(yè)目標學院想吸引和保留更多的學生，同時減少損耗，管理層和理事會確定了如下商業(yè)目標： a.在未來的三年中，將損耗從30%降低到50%； b.提高教員的效率，允許教員和其他學院的同仁一起參與更多的項目研究 c. 提高學生的效率，消除交作業(yè)難的問題 d. 允許學生使用他們的無線筆記本電腦訪問園區(qū)網(wǎng)絡和因特網(wǎng) e. 允許訪問者使用他們的無線筆記本電腦從園區(qū)網(wǎng)絡訪問互連網(wǎng)絡 f. 保護網(wǎng)絡防止入侵

15、 g. 使用政府提供的園區(qū)網(wǎng)絡升級資金，資金必須在本財年之前使用</p><p>　　2、技術(shù)目標a. 重新設計IP地址規(guī)劃b. 增加因特網(wǎng)接入帶寬，以支持新的應用和現(xiàn)有應用的擴展c. 為學生提供一個安全、私密的無線網(wǎng)絡用于訪問園區(qū)網(wǎng)絡和因特網(wǎng)e. 提供一個響應時間大約為1/10秒的網(wǎng)絡f. 網(wǎng)絡的可靠性大約為99.90%，MTBF為3000個小時，MTTR為3個小時g. 提高安全性，保護因特網(wǎng)連接

16、和內(nèi)部網(wǎng)絡，防止入侵h. 使用網(wǎng)絡管理工具，提高IT部門的效率和效果I. 網(wǎng)絡具有良好的可擴展性，可以在將來支持多媒體應用</p><p>　　(3) 項目指導原則</p><p>　　校園網(wǎng)建設，要為教育教學服務，為促進學校教育現(xiàn)代化服務。本著少花錢辦大事的原則，充分利用有限的投資，在保證網(wǎng)絡先進性的前提下，選用性能價格比最好的設備的原則，有計劃、有重點，分層次，積極穩(wěn)妥地推進校園網(wǎng)

17、建設。要嚴格規(guī)范校園網(wǎng)建設及相應的軟件開發(fā)標準，確保信息化校園的整體建設規(guī)劃和管理要求的落實。</p><p><b>　　三、需求分析</b></p><p>　　信息化建設目標的建設不但應考慮現(xiàn)有的硬件、軟件，同時還應考慮學校教師的信息化教育能力；不但網(wǎng)絡要建起來，軟件也要貼近應用，同時還應加強教師培訓，才能逐步實現(xiàn)教育由應試教育轉(zhuǎn)向素質(zhì)教育轉(zhuǎn)化。</p&g

18、t;<p><b>　　(1)用戶需求</b></p><p>　　學校決定對計算機網(wǎng)絡進行全面建設，以實現(xiàn)校園內(nèi)部資源共享。通過建立學校主頁、電子郵箱、精品課程、FTP資源、辦公系統(tǒng)以及視頻點播等服務器，發(fā)布有關新聞、教學信息、建立學校、教師、家長和學生之間的交流平臺。網(wǎng)絡改造后，學院主干10G，樓宇主干1000M，100M到桌面，每間辦公室、每間教室、每間宿舍擁有一個可以隨

19、時接入Internet的網(wǎng)絡系統(tǒng)，并且這些網(wǎng)絡連成統(tǒng)一的校園網(wǎng)。通過校園網(wǎng)，全校教師可以將教學資料和學習課件進行廣泛交流。另外，網(wǎng)絡中心應配備UPS，即使出現(xiàn)市電中斷也可以保證網(wǎng)絡服務不受到干擾。 </p><p>　　學校擬申請兩個接入Internet的出口，一個接入中國網(wǎng)通，另外一個接入中國教育科研網(wǎng)。</p><p><b>　　(2)應用需求</b></

20、p><p>　　整個網(wǎng)絡采用主干10G、百兆到桌面的連接方式，可以很好地發(fā)揮各方面的應用，網(wǎng)絡帶寬也不會成為瓶頸。樓層之間的數(shù)據(jù)流量采用千兆主干，樓內(nèi)用戶之間的通信采用百兆帶寬。</p><p>　　一個學校內(nèi)用戶眾多，對信息的安全有一定的要求，各樓層的分布情況如下：</p><p>　　其中主要應用有：(1) 電子郵件功能及OA： 校園網(wǎng)信息平臺應有功能強大

21、的郵件系統(tǒng)和OA系統(tǒng)，可以為每個使用者建立自己的信箱，和OA賬號，安全保密又極大地方便了通信。許多事務處理均可以通過郵件和OA提醒，高效便利。 (2)討論和交流功能： 校園網(wǎng)信息平臺具有討論的功能，可以允許所有人就一個問題發(fā)表自己的意見，而這種討論的好處在于它可以保留討論的過程，并且不受時間和空間的限制，如教學研討、經(jīng)驗交流等均是以討論的形式出現(xiàn)。(3) 學校網(wǎng)站： 學校有許多信息需要向老師、學生或社會公布，如學校的

22、規(guī)章制度、招生信息、教學信息等，它們共同的特點是只許看不能改，校園網(wǎng)信息平臺的安全體系應保證這一點。(4) 科研環(huán)境應用系統(tǒng)： 科研環(huán)境應用系統(tǒng)多集中在各實驗室和多功能競賽及多功能報告廳，主要是實驗的環(huán)境和課外學習的環(huán)境，這類網(wǎng)絡應用可能需要較高的帶寬以滿足多媒體實驗環(huán)境。 (5) 電子教學： 電子教學是搭建校園網(wǎng)的首要目標，這部分應用復雜多樣，且有很大一部分多媒體數(shù)據(jù)的傳遞，因此對網(wǎng)絡性能和傳輸質(zhì)量有較高的要求，

23、可以用高速以太網(wǎng)連接來實現(xiàn)。電子教學的</p><p>　　電子圖書館 傳統(tǒng)圖書館的資料管理通常是一項很繁瑣的工作，圖書管理員不僅要隨時整理和更新庫中資料，而且每本資料只能由一人借閱。有了電子圖書館以后，所有資料可以以電子文檔形式存入大容量服務器中，通過網(wǎng)絡向圖書館內(nèi)、甚至教室、辦公室或宿舍內(nèi)的客戶機開放，這樣師生們可以不受時間、空間限制隨時查閱所需資料，同時實現(xiàn)了同一資源的多人共享；資料包含的內(nèi)容不僅

24、為文字，還可以是圖像、聲音等多媒體信息，甚至還能是一段電影，可謂豐富多彩；當然這樣的開放也不是無條件的，每人都有的"電子借書證"（網(wǎng)絡帳號），憑此在許可范圍內(nèi)借閱；同時，圖書管理工作也由機器來完成，除了提供方便快捷的檢索工具外，還可以跟蹤每人的借閱記錄，了解各類信息的受關注程度。</p><p><b>　　多媒體教育資源庫</b></p><p>

25、;　　教育部的多次會議強調(diào)學校要建立內(nèi)容豐富的教育資源庫，包括電子圖書、教育論文、教案、課件、圖片、視頻、音效、電影等學校日常教學、教師進修、學生自學的教育資源，教師可以備課、制作課件，學生可以自主學習、探索式學習。 內(nèi)部信息共享 內(nèi)部信息共享是指比多媒體教室和電子圖書館更為靈活的教學應用：它既不局限于單一的教室，但也不一定面向全校，而是可以在或大或小的范圍內(nèi)進行。例如教師可以把作業(yè)、試題庫或一些輔導材料留在特定的計算機中由本

26、班學生下載，教師之間也可以通過網(wǎng)絡相互交流經(jīng)驗，共同設計最佳的教學方案……內(nèi)部信息共享的程度取決于校園網(wǎng)的覆蓋范圍和應用軟件的功能。 (6) 職能管理： 除電子教學外，學校的各項管理工作的現(xiàn)代化也勢必要通過網(wǎng)絡來實現(xiàn)。相對教學而言，這部分數(shù)據(jù)較為簡單，以文字、圖形為主，因此對網(wǎng)絡性能要求不高，卻將系統(tǒng)的安全、可靠、經(jīng)濟等特性列為考察重點。學校的管理工作包括：校長決策、總務管理、教務管理、財務管理、檔案管理、圖書管理、體衛(wèi)管理

27、、校產(chǎn)管理、辦公管理等，各學校可根據(jù)機構(gòu)設置和實際需要作相應取舍。各項管理的結(jié)果不僅是將各部分數(shù)據(jù)作電子存檔，更應在全校范圍內(nèi)</p><p>　　安全接入和靈活計費　　對于高校園區(qū)網(wǎng)絡，安全性問題不僅來自外部網(wǎng)絡，內(nèi)部網(wǎng)絡中的地址盜用、網(wǎng)絡攻擊等也是網(wǎng)絡系統(tǒng)中的一個隱患，如何有效的設計安全接入和靈活計費方案是一個很重要的問題。采用銳捷網(wǎng)絡RADIUS系統(tǒng)和基于802.1X的網(wǎng)絡邊緣認證計費，可以根據(jù)端口，MA

28、C 地址、VLAN、ID作為認證的顆粒，實現(xiàn)一次同時認證用戶名、IP、MAC。系統(tǒng)采用三次握手計費，在三次握手不成功后，就會中止計費信息。同時，由于用戶名/密碼跟特定用戶的IP、MAC捆綁，用戶無需擔心用戶名/密碼泄露引起不必要的麻煩。網(wǎng)絡管理與防病毒系統(tǒng)　　網(wǎng)絡管理采用StarView1.0系統(tǒng)。StarView系統(tǒng)能提供整個網(wǎng)絡的拓撲結(jié)構(gòu)，能對以太網(wǎng)絡中的任何通用IP設備、SNMP管理型設備進行管理，結(jié)合管理設備所支持的SNMP

29、管理、Telnet管理、Web管理、RMON管理等構(gòu)成一個功能齊全的網(wǎng)絡管理解決方案，實現(xiàn)從網(wǎng)絡級到設備級的全方位的網(wǎng)絡管理。　　網(wǎng)絡防病毒系統(tǒng)采用瑞星網(wǎng)絡版的防殺毒系統(tǒng)。</p><p><b>　　安全隱患匯總：</b></p><p><b>　　四.網(wǎng)絡設計原則</b></p><p>　?。ㄒ唬┓桨冈O計原則　

30、　1. 系統(tǒng)的建設必須符合教育部和河南省教育廳有關教育科研網(wǎng)建設和“校校通”工程的要求，全區(qū)教育信息網(wǎng)應成為一個整體，統(tǒng)一出口，實現(xiàn)教育資源最大限度的共享，以信息化促進教育現(xiàn)代化。　 2. 系統(tǒng)應采用目前的主流技術(shù)（如教育信息數(shù)據(jù)中心、教育信息應用服務中心等）來構(gòu)造，具有一定的先進性。系統(tǒng)技術(shù)上具有開放性和可擴充性，易于升級。1萬多學生和教師的上網(wǎng)需求?！　?. 系統(tǒng)必須是經(jīng)濟實用的，以較少的投入，實現(xiàn)最大的效益。系統(tǒng)的運行不能給教

31、育行政管理部門、學校以及學生家庭增加太大的負擔?！　?. 系統(tǒng)在應用上應該是廣泛的，面向教育管理、學校教學、家庭、社區(qū)教育等各個層次的應用。　　5. 系統(tǒng)應該具備較強的安全措施，保證網(wǎng)絡的安全、數(shù)據(jù)的安全和系統(tǒng)的穩(wěn)定可靠運行。 （二） 方案設計思想　　集中管理：鑒于區(qū)教育網(wǎng)信息中心的功能和地位，對于網(wǎng)絡系統(tǒng)，大量的共享信息和數(shù)據(jù)，一些集中的應用系統(tǒng)等都應進行集中管理；　　專網(wǎng)專用：與河南寬帶主干網(wǎng)絡公司合作，專門為中原區(qū)教育局

32、打造一個區(qū)教育專網(wǎng)，為區(qū)內(nèi)高等學校提供教學信息資源和信息傳送的專用網(wǎng)絡，根據(jù)學校地理位置和學校分布</p><p><b>　　五、解決方案</b></p><p><b>　　邏輯結(jié)構(gòu)</b></p><p>　　每個子網(wǎng)地位相同，各自獨立</p><p>　　每個子網(wǎng)有各自網(wǎng)絡號、網(wǎng)關地址、子網(wǎng)

33、掩碼、可用地址范圍、廣播 地址</p><p>　　可用地址數(shù)=256 － 子網(wǎng)掩碼最后一位 － 3</p><p>　　子網(wǎng)內(nèi)每一臺計算機有各自不同的ip地址</p><p>　　學校開放機房（計算機機房及辦公室布線設置）</p><p>　　**建筑物內(nèi)各樓層交換機采用Catalyst 2924 XL（24口10/100M），與本樓主交

34、換機Catalyst 3524 XL通過100Base-TX連接，再以10M或100M連接到用戶桌面，必要時還可再下聯(lián)低端交換機擴展用戶數(shù)。以綜合樓為例，樓內(nèi)共 56個主節(jié)點，采用Catalyst 3524 XL和2924 XL、2912 XL（12口10/100M交換機）級聯(lián)能夠滿足端口數(shù)量需求；樓內(nèi)各辦公區(qū)則采用Catalyst 1924（2口100M，24口10M），提供到桌面的10M交換帶寬；考慮到各交換機都有多個100M端口，

35、級聯(lián)時可采用Fast Etherchannel（快速以太網(wǎng)通道）技術(shù)，將兩交換機的2-4對100M或10/100M端口并行連接起來，使級聯(lián)帶寬成倍增加，同時提供線路冗余，其中任一條鏈路的斷線不會妨礙其它鏈路繼續(xù)傳輸數(shù)據(jù)，從而保障運行的可靠性。 </p><p>　　在整體拓撲圖中還可看到，為實現(xiàn)Internet接入和為在家辦公、學習的遠程用戶提供撥號上網(wǎng)服務，校園網(wǎng)中還設立了位于網(wǎng)控中心內(nèi)的 Internet服務

36、中心，采用Cisco 2610路由器（具1個10M以太網(wǎng)接口，2個WAN接口卡和1個支持多種模塊的網(wǎng)絡插槽）作遠程連接，其10M以太網(wǎng)端口與網(wǎng)控中心的局域網(wǎng)相連，另可選配一塊具備1個2M廣域網(wǎng)串口的接口卡通過DDN專線連接到Internet；再選配一塊NM-16AM網(wǎng)絡模塊，為遠程用戶提供16口撥號連接。 </p><p>　　校園網(wǎng)絡安全模型設計</p><p><b>　　綜

37、合布線：</b></p><p>　　信息點分布到校區(qū)所有辦公樓、實驗樓、圖書館以及多媒體教室等，本部學生樓和家屬樓要連入校園網(wǎng)。</p><p>　　綜合布線系統(tǒng)是當今現(xiàn)代化建筑普遍應具備的基礎性設施，它為計算機聯(lián)網(wǎng)和話音通信提供必要的規(guī)范化的物質(zhì)基礎。結(jié)構(gòu)化的綜合布線為用戶提供了最合理的布線方式。</p><p>　　布線系統(tǒng)設計應按照“總體規(guī)劃、分

38、布實施，水平布線盡量一步到位”的原則進行。綜合布線系統(tǒng)的主干線大多數(shù)都是設置在建筑物的弱電井中，更換和擴充比較省事，而水平布線是在建筑物的天花板內(nèi)或PVC管槽內(nèi)，如果要增加信息點數(shù)或更換水平布線，將重新?lián)p壞建筑結(jié)構(gòu)，影響整體美觀。國內(nèi)多家布線公司的實際工程經(jīng)驗表明，重新增加信息點的造價，比設計時就已經(jīng)納入的造價要高出3倍。因此布線系統(tǒng)設計必須深刻了解用戶現(xiàn)在和將來一段時間內(nèi)在數(shù)量和質(zhì)量上的可能要求。</p><p&g

39、t;　　園區(qū)大樓之間的光纖盡可能一次性鋪設，避免溝道的重新挖填，光纖在長度和芯數(shù)上都應留有一定的余量和備份，以防大樓拆遷、線路故障和帶寬擴容。同時，布線系統(tǒng)必須滿足靈活應用和模塊化的要求，即任一信息點能夠連接不同類型的設備，如計算機、打印機、終端或電話、傳真機。布線系統(tǒng)中，除去敷設在建筑內(nèi)的纜線外，其余所有的接插件都應是積木式的標準件，以方便管理和使用。當然，在滿足應用要求的基礎上，應盡可能降低造價。</p><p&

40、gt;　　對于會議室、報告廳以及布線不太方便只是臨時需要信息點的地方可以搭建無線局域網(wǎng)。</p><p>　　對于教學樓、家屬樓等信息點非常少的地方，配線間的選擇非常重要。</p><p><b>　　網(wǎng)絡系統(tǒng)設計</b></p><p>　　(1) 網(wǎng)絡主干技術(shù)的選擇</p><p>　　主干網(wǎng)絡用于連接各工作組網(wǎng)絡和

41、全局的共享資源，其傳輸速度，工作效率及可靠性必須達到一個很高的水平。 主干網(wǎng)絡的互連結(jié)構(gòu)是主干網(wǎng)絡設計的一個核心問題，路由(Routing)和交換(Switching)技術(shù)在互連結(jié)構(gòu)中扮演著重要角色。</p><p>　　a.交換技術(shù)交換技術(shù)工作于OSI參考模型的第二層?，F(xiàn)在流行的交換機產(chǎn)品可以看作是一種簡單、 低成本、高性能、高端口密度的橋接設備。交換機根據(jù)每個數(shù)據(jù)包中的目標MAC地址作簡單的轉(zhuǎn)發(fā)， 轉(zhuǎn)發(fā)決策方

42、案不需要判斷數(shù)據(jù)包深層的其他信息。交換機能以非常低的延遲轉(zhuǎn)發(fā)數(shù)據(jù)包，比網(wǎng)絡提供更接近于單一局域網(wǎng)網(wǎng)段的性能。交換技術(shù)可以用來調(diào)整共享和分離的局域網(wǎng)網(wǎng)段帶寬， 從而消除局域網(wǎng)之間的傳輸瓶頸。交換技術(shù)主要包括幀交換和信元交換兩類。</p><p>　　b. 路由技術(shù)工作在ＯＳＩ參考模型的第三層，與交換機相比，它的工作更多地依賴于路由軟件。 由于可以得到更多的協(xié)議信息，路由器可以作出更加智能的轉(zhuǎn)發(fā)決策。和交換機相同的地

43、方是， 路由器為用戶提供了不同局域網(wǎng)網(wǎng)段的無縫連接。和交換機不同的地方在于路由器決定了網(wǎng)段分組的邏輯邊界。 路由器提供了防火墻的服務，它僅僅轉(zhuǎn)發(fā)特定地址的數(shù)據(jù)包，從而可以防止廣播風暴、 未支持協(xié)議數(shù)據(jù)包的傳送和未知目標網(wǎng)絡數(shù)據(jù)包的傳送。</p><p>　　(2) 網(wǎng)絡拓撲設計</p><p><b>　　a. 設計思想</b></p><p>

44、;　　采用層次體系，整個網(wǎng)絡通過主干網(wǎng)連接起來，各個子網(wǎng)通過接口與主干網(wǎng)連接，實現(xiàn)各自的功能，在子網(wǎng)內(nèi)部及與主干網(wǎng)進行數(shù)據(jù)通信。</p><p><b>　　b. 拓撲圖分析 </b></p><p>　　根據(jù)學校的具體位置特點，學校分南、北苑，面積比較大，用的線也比較長，應該合理規(guī)劃網(wǎng)絡。學校的邊界路由器上接有網(wǎng)通的線和教育網(wǎng)的線，學校有中心交換機在網(wǎng)絡中心上，上面

45、接有來自學校北區(qū)的光纖，網(wǎng)絡總部在北區(qū)，拓撲圖中沒有標識。</p><p>　　邊界路由器后面設有防火墻，防火墻上的功能有可以限制未授權(quán)的用戶進入內(nèi)部網(wǎng)絡，過濾不安全的服務和非法用戶；防止入侵者接近網(wǎng)絡防御設施；限制內(nèi)部用戶就訪問特殊站點。</p><p>　　為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于學校內(nèi)部網(wǎng)絡

46、和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi)，在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設施，如校內(nèi)Web服務器、FTP服務器和論壇等，這些服務器本身為堡壘主機。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡，因為這種網(wǎng)絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。</p><p>　　防火墻后面也增加了一個路由器，主要功能是負責路由和轉(zhuǎn)發(fā)。</p><p>　　在內(nèi)部網(wǎng)絡中，

47、根據(jù)樓宇的多少來規(guī)劃，中心交換機放在網(wǎng)絡中心，各個樓中都設有交換機與樓內(nèi)的計算機相連。</p><p>　　學校內(nèi)設有無線接入點，手提電腦在校內(nèi)任何地點可無線上網(wǎng)。</p><p><b>　　對外發(fā)布站點</b></p><p>　　對于一些外部站點的問題，通常放置在DMZ區(qū)內(nèi)，DMZ區(qū)的安全等級高于外網(wǎng)低于內(nèi)網(wǎng)，防火墻的默認規(guī)則是允許安全等

48、級高的訪問安全等級低的，禁止安全等級低的訪問安全等級高的。因此，防火墻不需要設置規(guī)則就可以實現(xiàn)內(nèi)網(wǎng)訪問到DMZ區(qū)，但外網(wǎng)訪問到DMZ區(qū)。對于學校來講，WWW站點的主要目的就是對外發(fā)布信息，必須讓外網(wǎng)能夠訪問到，為了到達這個目的，可以在防火墻上添加一些規(guī)則，開放DMZ區(qū)所在服務器的IP以及相應的端口。</p><p>　　DMZ區(qū)通常放置的服務器有郵件服務器、WWW服務器以及解析本校域名的兩個DNS服務器等，當然也

49、可以放置一些其他有特殊用途、需要外網(wǎng)訪問的服務器。</p><p>　　對于某些信息化程度比較高的二級部門，如信息工程學院，為了教學和科研的需要，需要給全院教師一個獨立的域名，該域名可用于HTTP和FTP。為了管理方便，該學院網(wǎng)管員向?qū)W校網(wǎng)絡中心申請了獨立域名，即IE.xxu.edu.cn。</p><p>　　有了獨立域名，就可以按照自己的意愿隨意添加主機記錄，進而可以按照前面介紹的虛擬

50、主機技術(shù)和Serv-U每一位教師搭建獨立的Web站點和FTP站點。</p><p><b>　　開放機房</b></p><p>　　在大學校園里，存在大量的各種各樣的開放式機房，通常這些計算機連成一個局域網(wǎng)，除具備一般的互訪外，通常還要求這些計算機能夠訪問到Internet。</p><p>　　最簡單的方法是給這些計算機分配合法IP地址，通

51、過交換機連入到校園網(wǎng)內(nèi)就可以了。但由于合法IP地址數(shù)量有限，根本無法滿足幾個甚至幾十個開放機房以及全校日益增多的計算機的需要，這種情況下，通常盡可能使用RFC1918定義的保留IP地址。</p><p>　　因此，要實現(xiàn)Internet訪問，實際上是一個局域網(wǎng)PC如何共享上網(wǎng)的問題。在每一個機房部署一個信息點，相當于Internet出口，該信息分配了合法IP以及必要的相關參數(shù)，利用前面“局域網(wǎng)PC共享上網(wǎng)”一章的

52、知識很容易對其進行改造，讓所有的計算機連入Internet。</p><p><b>　　無線接入</b></p><p>　　（此布線設置是為圖書館設置，作為剛蓋好的新圖書館，里面的設置還是很先進的，里面可以設置無線接入網(wǎng)絡。）</p><p>　　如圖： 無線接入示意圖</p><p>　　對于會議室或臨時需要搭建

53、網(wǎng)絡的地方，無線局域網(wǎng)不失為最經(jīng)濟最快捷的解決方案。</p><p>　　常用的無線設備有兩種，一種是無線訪問點，即AP，另一種是無線路由器。</p><p>　　無線訪問點相當于Hub，只是將安裝有無線網(wǎng)卡的計算機互連起來，并連入到有線系統(tǒng)中，這些計算機可以按照實現(xiàn)規(guī)劃好的IP地址方案自己手工設置IP地址，也可以通過無線訪問點提供的DHCP服務動態(tài)IP地址，無論怎樣，必須要求有一個地址塊

54、可用。 </p><p><b>　?。o線接入示意圖）</b></p><p>　　通常情況下，無線互連實現(xiàn)計算機之間的互訪已經(jīng)不是主要目的，取而代之的是實現(xiàn)Internet訪問。因此，實際上仍然是通過無線如何實現(xiàn)局域網(wǎng)PC共享上網(wǎng)的問題。</p><p>　　為解決上述問題，要求設備必須具有NAT地址轉(zhuǎn)換功能，當然路由也是必須的，默認路由就

55、可以了。</p><p><b>　　安全及管理</b></p><p>　　盡管網(wǎng)絡已經(jīng)改變了我們的工作和生活方式，但網(wǎng)絡的深入應用仍然無法展開，原因之一就是用戶對網(wǎng)絡安全仍不放心，設計一個足夠安全的網(wǎng)絡是網(wǎng)絡設計人員追求的目標。</p><p>　　安全問題是一個系統(tǒng)工程，涉及到不同的層次。筆者將網(wǎng)絡的安全歸納為4個方面。</p>

56、;<p>　?。?）設備級安全，包括網(wǎng)絡中所有可管理的網(wǎng)絡設備、服務器以及網(wǎng)管工作站的安全。設備級安全是網(wǎng)絡的第一道屏障?，F(xiàn)在很多設備都提供了遠程Telnet或基于Web 的管理功能，無論黑客通過哪一種方式進入網(wǎng)絡設備，里面的配置文件，包括安全配置就一覽無余，黑客可能修改配置文件，使網(wǎng)絡癱瘓；也可能刪除安全配置，將網(wǎng)絡的大門打開。解決辦法是嚴格限制能夠遠程管理（包括Telnet方式和Web 方式）網(wǎng)絡設備的IP地址列表，必

57、要時關閉部分或全部遠程管理功能，對于核心網(wǎng)絡設備，如骨干交換機和路由器，建議不設遠程管理IP 地址。如果黑客進入了服務器，那么服務器中的數(shù)據(jù)資源甚至操作系統(tǒng)將面臨極大威脅，黑客可能進一步攻擊信息資源的安全關口從而獲取信息，也可能破壞操作系統(tǒng)使整個系統(tǒng)陷入癱瘓甚至導致數(shù)據(jù)資源無法恢復，解決辦法包括關閉服務器的遠程管理功能，尤其是類UNIX操作系統(tǒng)的Telnet功能，使用入侵檢測軟件掃描系統(tǒng)存在的漏洞，關閉所有未使用但可能有潛在危險的TCP

58、或UDP端口，增加管理員級密碼長度和復雜度，嚴格控制用戶組的用戶權(quán)限。網(wǎng)管工作站一般是用來管理和監(jiān)控整個網(wǎng)絡運行的專用PC ，權(quán)限較大，通常放在網(wǎng)絡</p><p>　　因此，務必做好網(wǎng)管工作站的安全工作，尤其注意把網(wǎng)管工作站作為跳板進行網(wǎng)絡攻擊的情況發(fā)生，這種方式是極其隱蔽的。數(shù)據(jù)庫服務器采用RAID 5或雙機熱備份、網(wǎng)絡存儲等方法保證數(shù)據(jù)的可靠性，一旦遭到破壞可立即恢復。</p><p&g

59、t;　　2）傳輸級安全，指敏感數(shù)據(jù)在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質(zhì)，室內(nèi)明線使用屏蔽雙絞線，中心機房加裝屏蔽網(wǎng)；對遠程傳輸?shù)男畔⑦M行加密，加密強度和加密算法根據(jù)要求的安全級別確定，保證信息在傳輸過程中不可識別和破解。傳輸級安全的另一個重要方面是拒絕服務攻擊，防止黑客使用網(wǎng)絡上一臺并不存在或無法路由的IP 地址攻擊服務器，造成被攻擊的主機無法收到應答而導致連接超時，主機在

60、等待響應的過程消耗了主機和網(wǎng)絡的資源，如果有成千上萬個連接超時，最終將導致被攻擊的主機資源耗盡甚至操作系統(tǒng)崩潰，這種攻擊方式也占用了大量的網(wǎng)絡帶寬，使傳輸鏈路阻塞，解決的辦法是啟用TCP攔截。</p><p>　?。?）網(wǎng)絡層安全，是網(wǎng)絡安全設計中的重要一環(huán)，網(wǎng)絡層攻擊是黑客最常用的攻擊方式，如外部入侵，對于這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進行內(nèi)外隔離，同時內(nèi)網(wǎng)采用保留IP 地址，訪問外網(wǎng)時進行

61、NAT轉(zhuǎn)換（網(wǎng)絡地址轉(zhuǎn)換）。</p><p>　　目前國內(nèi)外軟硬件防火墻產(chǎn)品很多，功能基本類似，相差無幾，關鍵體現(xiàn)在性能上，顯然，硬件實現(xiàn)要好一些，不僅性能要好，而且硬件防火墻有自己專有的操作系統(tǒng)，防止了黑客借助操作系統(tǒng)進行間接攻擊的可能性，當然，價格上相對軟件防火墻也要高一些。網(wǎng)絡層安全除了防止外部入侵外，也要注意防止內(nèi)部的越權(quán)訪問和故意破壞，一般在VLAN之間進行訪問控制，比如允許財務部門訪問其他部門的資源但

62、不允許任何其他部門訪問財務部門的資源。</p><p>　?。?）應用級安全，包括防病毒和認證體系。近年來先后出現(xiàn)CIH、Red Code 等傳播廣泛，破壞力強的病毒，主要表現(xiàn)為刪除系統(tǒng)文件使系統(tǒng)癱瘓或打開多個進程使系統(tǒng)資源耗盡。</p><p>　　因此，必須做好防病毒工作，及時更新病毒庫，修補系統(tǒng)漏洞。對于病毒問題，為有效進行管理，可安裝網(wǎng)絡防病毒軟件，客戶端自動到部署在校園網(wǎng)內(nèi)的防病

63、毒服務器更新病毒庫。各種認證體系是網(wǎng)絡安全的最后一道屏障，必須做好私有密鑰的保密工作，防止泄露。應用軟件采取訪問權(quán)限、數(shù)據(jù)加密、口令密碼等各種手段保證應用軟件本身的安全可靠性。</p><p>　　大學校園網(wǎng)是一個比較大型的網(wǎng)絡，為了保證校園網(wǎng)更加有效地、可靠地運行，建議配置一臺網(wǎng)絡管理工作站，以便更有效地對校園網(wǎng)進行管理。</p><p>　　根據(jù)網(wǎng)絡設備選型，可以選擇相應廠商提供的網(wǎng)管

64、軟件，如Cisco works 2000，也可以選擇HP OpenView等第3方網(wǎng)管軟件。</p><p>　　校園網(wǎng)運行需要大量的運行費用，為在一定程度上減輕負擔，對宿舍樓、家屬樓等用戶可以實施部分象征性的收費，可以通過計費軟件實現(xiàn)。</p><p>　　對于家屬區(qū)和宿舍樓來講，可以采取私有保留地址，并通過DHCP動態(tài)分配。</p><p><b>　

65、　外部邊界防護建設</b></p><p>　　IDS和防火墻聯(lián)動示意圖</p><p>　　Internet邊界惡性數(shù)據(jù)防范</p><p>　　采用病毒網(wǎng)關在Internet邊界進行病毒、病毒郵件、垃圾郵件、非法郵件的過濾。</p><p><b>　　服務器群安全防護</b></p>&l

66、t;p>　　對核心服務器群部署一臺防火墻和一臺入侵檢測系統(tǒng)，按照以下規(guī)則配置：</p><p>　　.特定服務器（如學籍、學分管理系統(tǒng)）只允許特定IP段訪問</p><p>　　.WEB、Mail服務完全開放</p><p>　　.入侵檢測和防火墻聯(lián)動，發(fā)現(xiàn)對服務器的入侵行為立刻阻斷</p><p>　　Web服務器安全防護</p

67、><p>　　通過部署主頁防篡改軟件，能有效的監(jiān)控網(wǎng)站網(wǎng)頁是否被惡意修改、刪除，并能在最短的時間內(nèi)采取恢復措施，有效的保證數(shù)據(jù)的完整性與真實性</p><p>　　對部門信息資源的保護</p><p>　　針對部門的信息系統(tǒng)防護，按照不同部門的安全級別及安全需求，可以考慮以下兩種方式：</p><p>　　VLAN、ACL，建立VLAN間訪問控制

68、規(guī)則</p><p>　　部門級防火墻、入侵檢測</p><p><b>　　系統(tǒng)漏洞檢測</b></p><p>　　部署一臺網(wǎng)絡漏洞掃描儀，對網(wǎng)絡各個部分進行漏洞掃描，以發(fā)現(xiàn)網(wǎng)絡漏洞</p><p><b>　　安全掃描的使用</b></p><p><b>　

69、　系統(tǒng)安全評估的途徑</b></p><p>　　為堵死安全策略和安全措施之間的缺口,必須從以下三方面對網(wǎng)絡安全狀況進行評估:</p><p>　　從學校外部進行評估:考察學校邊界防火墻</p><p>　　從學校內(nèi)部進行評估:考察內(nèi)部網(wǎng)絡系統(tǒng)中的計算機</p><p>　　從應用系統(tǒng)進行評估:考察每臺服務器上運行的應用系統(tǒng)<

70、;/p><p><b>　　系統(tǒng)漏洞修復</b></p><p>　　系統(tǒng)漏洞修復的目的是彌補系統(tǒng)漏洞，增強系統(tǒng)的的抗攻擊性，較大的提高系統(tǒng)本身安全。根據(jù)學校具體情況，可以考慮采用以下兩種模式：</p><p><b>　　部署請求式升級系統(tǒng)</b></p><p><b>　　部署中控式升級

71、系統(tǒng)</b></p><p><b>　　請求式升級系統(tǒng)</b></p><p><b>　　校園網(wǎng)病毒防護</b></p><p><b>　　應用系統(tǒng)安全建設</b></p><p>　　應用系統(tǒng)的安全部署建議如下：</p><p>&

72、lt;b>　　系統(tǒng)安全加固</b></p><p><b>　　數(shù)據(jù)庫安全審計</b></p><p><b>　　數(shù)據(jù)庫審計示意圖</b></p><p><b>　　數(shù)據(jù)存儲備份</b></p><p>　　對于各個學校的數(shù)據(jù)存儲備份建設，我們建議各個學校

73、根據(jù)自己信息系統(tǒng)發(fā)展情況，部署不同的存儲備份系統(tǒng)。</p><p><b>　　DAS系統(tǒng)</b></p><p><b>　　NAS系統(tǒng)</b></p><p><b>　　SAN系統(tǒng)</b></p><p><b>　　DAS系統(tǒng)</b></p&

74、gt;<p>　　DAS完全以服務器為中心，寄生在相應服務器或客戶端上，其本身是硬件的堆疊，不帶有任何存儲操作系統(tǒng)</p><p><b>　　NAS系統(tǒng)</b></p><p>　　NAS是一種完全脫離服務器就可直接上網(wǎng)的存儲設備，因為它本身即具備操作系統(tǒng)</p><p><b>　　網(wǎng)絡認證</b><

75、;/p><p>　　建議通過網(wǎng)絡設備，實現(xiàn)用戶登錄網(wǎng)絡的身份認證，保證每個用戶名的唯一性和關聯(lián)性，　這是安全審計系統(tǒng)能得以運行的前提條件.</p><p><b>　　用戶行為審計</b></p><p><b>　　宿舍或辦公室用戶</b></p><p><b>　　網(wǎng)絡審計</b&

76、gt;</p><p><b>　　機房用戶</b></p><p><b>　　代理審計</b></p><p><b>　　網(wǎng)絡安全審計功能</b></p><p><b>　　HTTP審計</b></p><p>　　對敏感I

77、P進行HTTP審計</p><p>　　對敏感URL進行審計</p><p>　　對頁面關鍵字進行審計</p><p><b>　　FTP審計</b></p><p>　　對每次FTP協(xié)議的登錄行為進行記錄</p><p>　　對敏感IP使用FTP協(xié)議的審計</p><p>

78、;　　對FTP的命令行進行審計，包括對命令、參數(shù)以及反饋值的審計</p><p><b>　　SMB審計</b></p><p><b>　　POP3審計</b></p><p>　　對POP3協(xié)議的登錄進行記錄</p><p>　　對郵件源、目的地址進行記錄</p><p>

79、;　　對關鍵字（標題、信體）進行審計</p><p><b>　　TELNET審計</b></p><p>　　對Telnet中的命令進行審計</p><p><b>　　SMTP審計</b></p><p><b>　　QQ</b></p><p>&

80、lt;b>　　MSN</b></p><p><b>　　ICQ</b></p><p>　　六、方案特點分析：　?、傧冗M性：采用先進成熟的銳捷網(wǎng)絡多層交換網(wǎng)絡技術(shù)和方法，針對學校共享信息資源集中在網(wǎng)絡信息中心和圖書館的特征，網(wǎng)絡核心層采用雙主節(jié)點、匯聚層采用均衡負載、接入層采用高安全接入與靈活計費等策略設計，能支撐各種現(xiàn)在與未來一段時期的校園教學

81、、科研、行政管理的網(wǎng)絡應用。（本校又新蓋圖書館一座，里面均采用先進性設備進行設置里面設置無線網(wǎng)絡，可以給同學們提供方便的無線上網(wǎng)，有筆記本的同學就可以在圖書館附近方便的上網(wǎng)查資料等等）　?、诳尚行裕罕驹O計方案能夠充分考慮高校網(wǎng)絡教育的特點和應用對象的技術(shù)、資源、管理等方面的約束，并很好地結(jié)合銳捷網(wǎng)絡產(chǎn)品特點進行方案的設計。比如住宅樓要求的靜音設計，支持網(wǎng)絡用戶賬號、MAC地址與端口的捆綁實現(xiàn)高效的用戶控制能力，支持高密度端口的堆疊模式

82、，支持通信負載均衡、帶寬聚合、鏈路冗余的雙星型結(jié)構(gòu)?！　、垤`活性：網(wǎng)絡核心層、匯聚層采用模塊化交換機，按照需求靈活配置各種模塊，做到既滿足需求，由留有余地。整個網(wǎng)絡架構(gòu)采用三層結(jié)構(gòu)，使網(wǎng)絡具有較好的伸縮性、可以根據(jù)網(wǎng)絡建設的不同階段靈活配置和擴展，具有能不斷吸收新技術(shù)、新方法的功能。 　?、軐嵱眯?lt;/p><p>　?。?）設備可靠　　銳捷網(wǎng)絡RG-S6800核心交換機提供管理引擎冗余和電源模塊冗余，490

83、9匯聚層交換機提供電源冗余功能。通過銳捷網(wǎng)絡自動保護系統(tǒng)RAPS、虛擬路由器冗余協(xié)議VRRP、虛擬狀態(tài)冗余協(xié)議VSRP、冗余模塊等，實現(xiàn)全冗余、失效切換，有效保障網(wǎng)絡核心不間斷工作?！　。?）網(wǎng)絡可靠 　　所有端口上都支持802.1Q的VLAN， MAC地址以及生成樹協(xié)議802.1D、802.1w、RRSTP、PVST、MVST。802.1W（快速生成樹協(xié)議）可以提供高速的鏈路冗余備份功能，保證快速收斂，提高容錯能力，保證網(wǎng)絡的穩(wěn)定

84、運行。　?、蘅蓴U展性：采用模塊化交換機、可堆疊交換機，使系統(tǒng)具有良好的可擴展性，又具有發(fā)展?jié)摿?。比如交換機增加模塊即可擴展網(wǎng)絡的規(guī)模或拓展冗余鏈路。</p><p>　　另外還有完善的音視頻支持　?。?）支持多層視頻組播　　傳遞語音、視頻等多媒體信號將是教育城域網(wǎng)應用主要功能之一。本方案中核心設備支持DVRMP、PIM、IGMP組播協(xié)議，匯聚層設備支持IGMP Snooping，計算機機房交換機支持在組播環(huán)

85、境中使用和流量控制、過濾廣播風暴功能，因此能很好的節(jié)省網(wǎng)絡帶寬和支持VOD等業(yè)務，從而保證語音、視頻等多媒體教學的應用。 　?。?）使用語音網(wǎng)關提供內(nèi)部VOIP功能　　銳捷網(wǎng)絡語音網(wǎng)關基于成熟的H.323信令技術(shù)開發(fā)，可以實現(xiàn)通過教育城域網(wǎng)傳輸語音，在學校和教育機構(gòu)內(nèi)實現(xiàn)教育系統(tǒng)內(nèi)部IP電話，從而充分提高線路的利用率。 　 綜上所述，本方案是一個依據(jù)用戶需求，充分利用銳捷網(wǎng)絡產(chǎn)品自身特色設計的校園網(wǎng)整體解決方案。該方案依

86、據(jù)高師院校網(wǎng)絡應用的特征，采用銳捷網(wǎng)絡成熟、適用、實用、好用、夠用的產(chǎn)品與技術(shù)，力爭以最小的投資得到最大的滿足。</p><p><b>　　七、結(jié)束語</b></p><p>　　該方案從需求和現(xiàn)狀分析出發(fā)，提出了網(wǎng)絡改造的基本思路，提供了完整的網(wǎng)絡拓撲體系設計。但是，從可操作的解決方案看，應該提出更加詳實具體的實現(xiàn)技術(shù)路線。由于學生知識水平有限，設計有不周密的，考

87、慮不全的地方還望老師見諒!</p><p><b>　　八、致謝</b></p><p>　　跟著潘磊老師學習了一學期的組網(wǎng)工程，根據(jù)我們的所學習知識設計了此方案，非常感謝潘磊老師!</p><p><b>　　九、參考文獻</b></p><p>　　<<局域網(wǎng)技術(shù)和組網(wǎng)工程>&

88、gt;，網(wǎng)絡上的文獻</p><p><b>　　附：分析設備需求</b></p><p><b>　　1.交換機</b></p><p>　　a.全模塊化骨干多層交換機：</p><p>　　傳輸方式： 存儲轉(zhuǎn)發(fā)方式；</p><p>　　傳輸速率： 10M/100M/10

89、00Mbps；</p><p>　　支持網(wǎng)絡標準： IEEE 802.3, IEEE 802.1x, EEE 802.1Q等；</p><p><b>　　雙全工：支持；</b></p><p>　　VLAN支持： 支持； </p><p><b>　　網(wǎng)管功能： 支持；</b></p>

90、<p><b>　　b.三層交換機：</b></p><p>　　傳輸方式： 存儲轉(zhuǎn)發(fā)方式；</p><p>　　傳輸速率 10M/100M/1000Mbps；</p><p><b>　　堆疊： 不可堆疊；</b></p><p><b>　　雙全工：支持；</b&g

91、t;</p><p><b>　　網(wǎng)管功能： 支持；</b></p><p>　　c.二層交換機（快速以太網(wǎng)交換機）：</p><p>　　傳輸方式： 存儲轉(zhuǎn)發(fā)方式；</p><p>　　傳輸速率： 10M/100Mbps；</p><p><b>　　雙全工：支持；</b>

92、</p><p><b>　　堆疊： 可堆疊；</b></p><p>　　VLAN： 支持VLAN；</p><p>　　網(wǎng)管功能： 支持Telnet遠程配置,支持通過Console口配置,支持SNMP管理；</p><p><b>　　2.服務器</b></p><p>

93、　　網(wǎng)絡中心配置5臺部門級服務器，分別是應用服務器和Web服務器、FTP服務器、郵件服務器、DHCP服務器、DNS服務器。</p><p>　　3.現(xiàn)行關鍵技術(shù)需求分析</p><p><b>　　常用的網(wǎng)絡技術(shù)有：</b></p><p>　　以太網(wǎng)技術(shù)（快速以太網(wǎng)、交換式以太網(wǎng)、千兆位以太網(wǎng)）、ATM、FDDI等，其中以太網(wǎng)用途最為廣泛。&

94、lt;/p><p>　　a. 以太網(wǎng)技術(shù)的優(yōu)點：</p><p>　　由于以太網(wǎng)的技術(shù)成熟、成本較低、互操作性強、易于使用和管理、可擴充性強，因此，選用以太網(wǎng)技術(shù)。</p><p>　　b. 第三層交換技術(shù)：</p><p>　　一方面支持VLAN之間通信；另一方面交換技術(shù)減少了數(shù)據(jù)包的碰撞問題。支持VLAN的交換機配合第三層功能不但具有很高的性

95、能，而且具有充分的彈性，因此，是最好的選擇。</p><p>　　c.網(wǎng)絡的冗余技術(shù)：</p><p>　　提高網(wǎng)絡的可靠性；鏈路冗余既可提高可靠性，又能均衡負載；</p><p>　　缺點：不適應重負荷應用環(huán)境，實時性差，存在沖突域；</p><p><b>　　常用LAN技術(shù)有:</b></p><

96、;p>　　以太網(wǎng)技術(shù)是目前世界上運用最廣泛的媒體訪問技術(shù)。以太網(wǎng)泛指所有采用CSMA／CD的局域網(wǎng)，包括Ethernet II和IEEE 802．3。</p><p>　　基本工作原理：以太網(wǎng)是一種廣播型網(wǎng)絡，即網(wǎng)絡上的所有站點都能收到所有的幀。任一CSMA／CD站點在發(fā)送數(shù)據(jù)前，首先偵聽網(wǎng)絡上有無數(shù)據(jù)流，如果有就等待，否則立即將數(shù)據(jù)流送到網(wǎng)絡上。假設此時另一個站點也同時發(fā)送數(shù)據(jù)，則產(chǎn)生沖突，數(shù)據(jù)被破壞。兩

97、個站點按一定的退避算法延時后，再將數(shù)據(jù)送入網(wǎng)絡。由于有隨機沖突，以太網(wǎng)的統(tǒng)計有效利用率僅為1／e即36.8％。</p><p>　　以太網(wǎng)常用的介質(zhì)有雙絞線（10 Base-T），粗纜(10Base-2)、細纜（10Base-5）和光纖(10 Base FL )。</p><p><b>　　常用WAN協(xié)議有：</b></p><p>

98、　　a.HDLC是一種面向比特的傳輸控制規(guī)程。HDLC協(xié)議中有明確的主站和次站，主站負責數(shù)據(jù)傳送的組織和鏈路差錯控制，次站執(zhí)行主站所指示的操作。常用于專線和DDN。</p><p>　　b. PPP是一種廣泛用于點對點通信的協(xié)議, 常用于專線、DDN和異步線路。</p><p>　　常用無線局域網(wǎng)技術(shù)有：</p><p>　　無線局域網(wǎng)是計算機網(wǎng)絡與無線通信技術(shù)相結(jié)

99、合的產(chǎn)物。具有以下優(yōu)點：安裝便捷，使用靈活，經(jīng)濟節(jié)約，易于擴展。常用的無線網(wǎng)絡設備有網(wǎng)卡、AP、無線網(wǎng)橋和無線路由器等?；贗EEE802.11標準，無線接入技術(shù)目前比較流行的有802.11標準、藍牙（Bluetooth）、HomeRF（家庭網(wǎng)絡）和IrDA（Infrared Data Association，紅外線數(shù)據(jù)標準協(xié)會）。</p><p><b>　　IP規(guī)劃</b></p&

100、gt;<p><b>　　a. IP需求</b></p><p>　　b.IP地址劃分原則</p><p>　　(1)IP地址的分配有足夠的靈活性，可滿足各種接入方式的需求；    (3)IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用效率；    (4)采用CIRD技術(shù)，以減少路由表

101、的大小，加快路由的收斂速度，減小網(wǎng)絡中廣播的路由信息的大小。</p><p>　　c.網(wǎng)段劃分設計與分析（考慮到可擴展性）</p><p>　　系統(tǒng)可擴展性設計　　為有效地保護投資方未來擴展能力，本方案提供設備交換容量的擴展能力、端口密度的擴展能力、主干帶寬擴展能力以及網(wǎng)絡規(guī)模的擴展能力。網(wǎng)絡體系、路由協(xié)議的規(guī)劃和設備的CPU路由處理能力，能夠滿足網(wǎng)絡超過10000個節(jié)點規(guī)模的要求。&l