【正文】 線，音頻采用五類線，視頻采用同軸電纜。 校園網(wǎng)主要解決的問(wèn)題鑒于學(xué)校目前狀況，校園網(wǎng)建設(shè)過(guò)程中，主要需要解決的問(wèn)題如下：⑴ 建立校園網(wǎng)的主干網(wǎng)絡(luò)，實(shí)現(xiàn)千兆主干，百兆到桌面,通過(guò)以上實(shí)現(xiàn)整個(gè)校園全網(wǎng)覆蓋；⑵ 解決好綜合辦公樓、教學(xué)樓、學(xué)生宿舍上校園網(wǎng)的問(wèn)題，將校園網(wǎng)應(yīng)用推入基層，滿足師生員工上網(wǎng)需求；⑶ 實(shí)現(xiàn)校園網(wǎng)的基本應(yīng)用服務(wù)，如WEB服務(wù)，DNS服務(wù)，VOD點(diǎn)播服務(wù)，F(xiàn)TP服務(wù)；⑷ 完善和強(qiáng)化用戶訪問(wèn)校內(nèi)校外資源的權(quán)限和策略管理，并進(jìn)行流量、帶寬和日志管理，提高校園網(wǎng)的可管理性；⑸ 強(qiáng)化校園網(wǎng)的安全策略，有效地提高校園網(wǎng)的安全性；⑹ 實(shí)現(xiàn)無(wú)線上網(wǎng)功能。學(xué)校目前僅圖書館有二十臺(tái)計(jì)算機(jī)供圖書管理之用，但是目前無(wú)網(wǎng)絡(luò)連接。各高校及其中小學(xué)都在籌備建設(shè)校園網(wǎng)，希望通過(guò)校園網(wǎng)的建設(shè)，改善辦學(xué)條件，提高教學(xué)、科研和管理水平。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)畢業(yè)設(shè)計(jì)（論文）校園網(wǎng)規(guī)劃與設(shè)計(jì) ——中、小學(xué)校園網(wǎng)規(guī)劃與設(shè)計(jì)內(nèi)容摘要自 1995 年中國(guó)教育教研網(wǎng)（CERNET）建成后，校園網(wǎng)的建設(shè)已經(jīng)進(jìn)入到一個(gè)蓬勃發(fā)展的階段。校園網(wǎng)的建設(shè)對(duì)于學(xué)校來(lái)說(shuō)是一項(xiàng)大的工程，必須精心設(shè)計(jì)、精心施工，做到經(jīng)濟(jì)適用，技術(shù)先進(jìn)、開(kāi)放性能良好、投資強(qiáng)度合理、與國(guó)內(nèi)外網(wǎng)絡(luò)互聯(lián)、能長(zhǎng)期、穩(wěn)定運(yùn)行的高性能的校園網(wǎng)絡(luò)。學(xué)生宿舍、教學(xué)樓和辦公室目前尚未開(kāi)通校園網(wǎng)絡(luò)。 建設(shè)目標(biāo)分析根據(jù)對(duì)學(xué)校的網(wǎng)絡(luò)覆蓋現(xiàn)狀分析，對(duì)擬建校園網(wǎng)系統(tǒng)建設(shè)目標(biāo)分析如下：⑴ 校園主干滿足應(yīng)用發(fā)展的需要：考慮到學(xué)校校園網(wǎng)絡(luò)開(kāi)展視頻點(diǎn)播、多媒體教學(xué)、遠(yuǎn)程教學(xué)等需要，我認(rèn)為傳輸主干應(yīng)采用的是 1000M 光纖；⑵ 網(wǎng)絡(luò)主機(jī)的處理能力強(qiáng)：學(xué)校校園網(wǎng)絡(luò)目前開(kāi)展的網(wǎng)絡(luò)應(yīng)用對(duì)主機(jī)處理能力要求不高，比如 WEB 服務(wù)等是一些低帶寬的應(yīng)用服務(wù)，隨著用戶數(shù)量大幅度的增加，網(wǎng)絡(luò)應(yīng)用如 VOD 視頻點(diǎn)播、多媒體教學(xué)等許多高帶寬和需要高處理能力的主機(jī)系統(tǒng)。整個(gè)校園以計(jì)算機(jī)網(wǎng)絡(luò)中心為核心，通過(guò)光纖，通過(guò)多星級(jí)輻射至各個(gè)主樓，從而構(gòu)成整個(gè)校園網(wǎng)主干，各信息點(diǎn)的網(wǎng)絡(luò)帶寬將視其應(yīng)用的性質(zhì)，進(jìn)行合理地分配，分為 100M 以及 1000M 等量級(jí)，也需要能夠通過(guò)光纖或 DDN專線與 CERNET 連接，以開(kāi)通全部的 Inter 網(wǎng)絡(luò)應(yīng)用服務(wù)。最后對(duì)建設(shè)目標(biāo)和潛在需求做了進(jìn)一步的分析說(shuō)明。對(duì)于學(xué)校，應(yīng)能夠滿足日常的學(xué)習(xí)和教育資源的獲??；并能夠融合當(dāng)前的網(wǎng)絡(luò)的主干技術(shù)，使網(wǎng)絡(luò)能夠具備充分的可擴(kuò)展性，同時(shí)滿足校園網(wǎng)的易于維護(hù)性和安全性的特點(diǎn)。這樣可以最大的節(jié)約成本和最大限度的提高設(shè)備的質(zhì)量。通過(guò)此軟件不但可以幫助學(xué)校網(wǎng)管人員及時(shí)排除故障，又能大大降低學(xué)校在網(wǎng)絡(luò)維護(hù)費(fèi)用上的支出。另外華為公司的 防火墻網(wǎng)站過(guò)濾功能可限制對(duì) 12 種分類內(nèi)容的訪問(wèn)，保證了校園內(nèi)網(wǎng)與因特網(wǎng)之間的通訊安全。譬如學(xué)校領(lǐng)導(dǎo)和普通教師之間，由于職能的差異，互相之間數(shù)據(jù)不能共享，因此將他們劃分到不同的 VLAN 當(dāng)中，這樣不會(huì)造成數(shù)據(jù)的錯(cuò)誤傳播以及不必要的數(shù)據(jù)泄漏，并能有效避免廣播風(fēng)暴的形成。核心層負(fù)責(zé)完成網(wǎng)絡(luò)各匯聚節(jié)點(diǎn)之間的互聯(lián)及高效的數(shù)據(jù)傳輸、交換、轉(zhuǎn)發(fā)及路由分發(fā)。一般核心層設(shè)備采用高性能的交換網(wǎng)芯片以及高性能的網(wǎng)絡(luò)處理器芯片，要求有極高的系統(tǒng)總吞吐量和背板容量，可支持多個(gè)千兆端口。設(shè)計(jì)匯聚層時(shí)根據(jù)匯聚層的主要功能，應(yīng)考慮到以下幾點(diǎn)：匯聚層設(shè)備要有足夠的帶寬；具有三層和多層交換特性；具有靈活多樣的業(yè)務(wù)能力；必須具有冗余和負(fù)載均衡能力；匯聚層設(shè)備要進(jìn)行 VLAN 之間的通信，因此一般為支持三層或三層以上的多層交換設(shè)備，匯聚層設(shè)備的多層以太網(wǎng)交換機(jī)應(yīng)具備以下特點(diǎn)：支持三層交換對(duì)上連接提供多種千兆端口模塊化組網(wǎng)支持豐富的二層協(xié)議完善的安全機(jī)制豐富的 QoS 支持實(shí)用方便的網(wǎng)管能力接入層設(shè)備的選?。航尤雽訛橛脩籼峁┒嗑W(wǎng)絡(luò)本地網(wǎng)段的訪問(wèn)，它的主要作用事將工作組與匯聚層連接起來(lái)，主要完成邏輯網(wǎng)絡(luò)分段、基于工作組或 LAN 隔離廣播通信量以及在多個(gè)CPU 之間分布服務(wù)。三 網(wǎng)絡(luò)總體設(shè)計(jì) 校園網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)：，它是由星型、總線型等典型拓補(bǔ)結(jié)構(gòu)組成，在現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)化布線工程中多采用星型結(jié)構(gòu)，主要用于同一樓層，由各個(gè)房間的計(jì)算機(jī)間用集線器或者交換機(jī)連接產(chǎn)生的，它具有施工簡(jiǎn)單，擴(kuò)展性高，成本低和可管理性好等優(yōu)點(diǎn)；而校園網(wǎng)在分層布線主要采用樹(shù)型結(jié)構(gòu)；每個(gè)房間的計(jì)算機(jī)連接到本層的集線器或交換機(jī)，然后每層的集線器或交換機(jī)在連接到本樓出口的交換機(jī)或路由器，各個(gè)樓的交換機(jī)或路由器再連接到校園網(wǎng)的通信網(wǎng)中，由此構(gòu)成了校園網(wǎng)的拓補(bǔ)結(jié)構(gòu)。目前的校園網(wǎng)大多數(shù)是純?nèi)龑拥慕粨Q網(wǎng)絡(luò)。為實(shí)現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由 1 個(gè)核心節(jié)點(diǎn)組成，包括教學(xué)區(qū)區(qū)域、服務(wù)器群；匯聚層設(shè)在每棟樓上，每棟樓設(shè)置一個(gè)匯聚節(jié)點(diǎn)，匯聚層為高性能“小核心”型交換機(jī)，根據(jù)各個(gè)樓的配線間的數(shù)量不同，可以分別采用 1 臺(tái)或是 2 臺(tái)匯聚層交換機(jī)進(jìn)行匯聚，為了保證數(shù)據(jù)傳輸和交換的效率，現(xiàn)在各個(gè)樓內(nèi)設(shè)置三層樓內(nèi)匯聚層，樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時(shí)提高了網(wǎng)絡(luò)的安全性；接入層為每個(gè)樓的接入交換機(jī)，是直接與用戶相連的設(shè)備。整個(gè)校園共用 4 臺(tái)匯聚層交換機(jī)，使用千兆光纖與核心交換機(jī)相連。 IP 地址規(guī)劃所謂 IP 地址就是給每一個(gè)直接與 Inter 相連的主機(jī)分配一個(gè)在全世界范圍惟一的網(wǎng)絡(luò)地址。在以太網(wǎng)實(shí)際布線時(shí)，適宜選用樹(shù)形結(jié)構(gòu)，通過(guò)多級(jí)的 HUB 或交換機(jī)分級(jí)鏈接。校園網(wǎng)內(nèi)部由教學(xué)樓、寢室樓組成，其中教學(xué)樓中又分為學(xué)生區(qū)和辦公區(qū)兩個(gè)部分，具體信息點(diǎn)分布如上。VLAN 可以根據(jù)功能、用途、工作組及應(yīng)用等因素將用戶邏輯上劃分為一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)，使一個(gè)可跨域不同網(wǎng)段、不同網(wǎng)絡(luò)、不同位置的端到端網(wǎng)絡(luò)。一但接入互聯(lián)網(wǎng)，就會(huì)涉及到很多管理、安全等方面的問(wèn)題，校園網(wǎng)除了接入 CERNET 以外，還同時(shí)選擇了中國(guó)網(wǎng)通作為出口接入點(diǎn)，校園網(wǎng)有兩條出口，一個(gè)是光纖接入教育網(wǎng)，另一個(gè)是中國(guó)網(wǎng)通 100Mbps 專線。可以通過(guò)潤(rùn)許 TCP 連接或 UDP 會(huì)話中的原端口進(jìn)行轉(zhuǎn)換而節(jié)省內(nèi)部全局地址，用各個(gè)內(nèi)部主機(jī)的 TCP 或 UDP 端口號(hào)區(qū)別；TCP 負(fù)載均衡。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有 40％左右是來(lái)自于網(wǎng)絡(luò)內(nèi)部，如何防范來(lái)自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用?！　〔《九c惡意攻擊。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒(méi)有什么安全可言。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來(lái)源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。 5. 兼容多種平臺(tái)6. 一體化智能服務(wù)體系 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動(dòng)的總稱。Quidview 網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計(jì)，通過(guò)安裝不同的業(yè)務(wù)組件實(shí)現(xiàn)了設(shè)備管理、VPN 監(jiān)視與部署、軟件升級(jí)管理、配置文件管理、告警和性能管理等功能。3. 性能監(jiān)控Quidview 網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。5．設(shè)備配置文件管理當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，網(wǎng)絡(luò)管理員的配置文件管理工作將十分繁重，如果沒(méi)有好的配置文件維護(hù)工具，網(wǎng)絡(luò)管理員就只能手動(dòng)備份配置文件。使用 Quidview，管理員可以方便地查詢?cè)O(shè)備上運(yùn)行的軟件版本，并利用升級(jí)分析功能來(lái)確定設(shè)備運(yùn)行軟件是否需要升級(jí)。8. 堆疊管理Quidview 網(wǎng)絡(luò)管理軟件通過(guò)堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對(duì)大量設(shè)備的統(tǒng)一管理維護(hù)。限制遠(yuǎn)程訪問(wèn)的安全設(shè)置方法如下表 19安全接入和配置方法訪問(wèn)方式 保證網(wǎng)絡(luò)設(shè)備安全的方法 備注Console 控制接口的訪問(wèn)設(shè)置密碼和超時(shí)限制建議超時(shí)限制設(shè)成 5 分鐘進(jìn)入特權(quán) exec 和設(shè)備配置級(jí)別的命令行配置 Radius 來(lái)記錄 logon/logout 時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用tel 訪問(wèn)采用 ACL 限制，指定從特定的 IP 地址來(lái)進(jìn)行tel 訪問(wèn)；配置 Radius 安全紀(jì)錄方案；設(shè)置超時(shí)限制SSH 訪問(wèn)激活 SSH 訪問(wèn)，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸WEB 管理訪問(wèn) 取消 Web 管理功能SNMP 訪問(wèn)常規(guī)的 SNMP 訪問(wèn)是用 ACL 限制從特定 IP 地址來(lái)進(jìn)行 SNMP 訪問(wèn)；記錄非授權(quán)的 SNMP 訪問(wèn)并禁止非授權(quán)的 SNMP 企圖和攻擊為增加安全,建議更改缺省的SNMP Commutiy子串設(shè)置不同賬號(hào) 通過(guò)設(shè)置不同的賬號(hào)的訪問(wèn)權(quán)限，提高安全性 拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、Smurf 攻擊等；網(wǎng)絡(luò)設(shè)備的防 TCP SYN 的方法主要是配置網(wǎng)絡(luò)設(shè)備 TCP SYN 臨界值，若多于這個(gè)臨界值，則丟棄多余的 TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo 請(qǐng)求(directed broadcast)和設(shè)置 ICMP 包臨界值，避免成為一個(gè)Smurf 攻擊的轉(zhuǎn)發(fā)者、受害者。5 允許從內(nèi)網(wǎng)訪問(wèn) DMZ（非軍事）區(qū)，端口全開(kāi)放6 允許從 DMZ（非軍事）區(qū)訪問(wèn) inter，端口全開(kāi)放7 禁止從 DMZ（非軍事）區(qū)訪問(wèn)內(nèi)網(wǎng)，端口全關(guān)閉。Config tHostname 2624Enable secret level 15 0 starLine vty 0 4 !設(shè)置 Tel 密碼 LoginPass starExitInterface f 1Ip address No shutIp nat outside !定義外部接口ExitIntface f 0Ip address No shutIp nat inside !定義內(nèi)部接口ExitAccesslist1 permitted Ip nat inside source list 1 int f1 over !應(yīng)用 nat 協(xié)議Ip routingIp route Ip route Ip route Ip route Ip route Ip route EndWrite（2）核心交換機(jī)F1/1～4