【正文】 線，音頻采用五類線，視頻采用同軸電纜。 校園網(wǎng)主要解決的問題鑒于學校目前狀況，校園網(wǎng)建設過程中，主要需要解決的問題如下：⑴ 建立校園網(wǎng)的主干網(wǎng)絡，實現(xiàn)千兆主干，百兆到桌面,通過以上實現(xiàn)整個校園全網(wǎng)覆蓋；⑵ 解決好綜合辦公樓、教學樓、學生宿舍上校園網(wǎng)的問題，將校園網(wǎng)應用推入基層，滿足師生員工上網(wǎng)需求；⑶ 實現(xiàn)校園網(wǎng)的基本應用服務，如WEB服務，DNS服務，VOD點播服務，F(xiàn)TP服務；⑷ 完善和強化用戶訪問校內(nèi)校外資源的權限和策略管理，并進行流量、帶寬和日志管理，提高校園網(wǎng)的可管理性；⑸ 強化校園網(wǎng)的安全策略，有效地提高校園網(wǎng)的安全性；⑹ 實現(xiàn)無線上網(wǎng)功能。學校目前僅圖書館有二十臺計算機供圖書管理之用，但是目前無網(wǎng)絡連接。各高校及其中小學都在籌備建設校園網(wǎng)，希望通過校園網(wǎng)的建設，改善辦學條件，提高教學、科研和管理水平。計算機網(wǎng)絡技術專業(yè)畢業(yè)設計（論文）校園網(wǎng)規(guī)劃與設計 ——中、小學校園網(wǎng)規(guī)劃與設計內(nèi)容摘要自 1995 年中國教育教研網(wǎng)（CERNET）建成后，校園網(wǎng)的建設已經(jīng)進入到一個蓬勃發(fā)展的階段。校園網(wǎng)的建設對于學校來說是一項大的工程，必須精心設計、精心施工，做到經(jīng)濟適用，技術先進、開放性能良好、投資強度合理、與國內(nèi)外網(wǎng)絡互聯(lián)、能長期、穩(wěn)定運行的高性能的校園網(wǎng)絡。學生宿舍、教學樓和辦公室目前尚未開通校園網(wǎng)絡。 建設目標分析根據(jù)對學校的網(wǎng)絡覆蓋現(xiàn)狀分析，對擬建校園網(wǎng)系統(tǒng)建設目標分析如下：⑴ 校園主干滿足應用發(fā)展的需要：考慮到學校校園網(wǎng)絡開展視頻點播、多媒體教學、遠程教學等需要，我認為傳輸主干應采用的是 1000M 光纖；⑵ 網(wǎng)絡主機的處理能力強：學校校園網(wǎng)絡目前開展的網(wǎng)絡應用對主機處理能力要求不高，比如 WEB 服務等是一些低帶寬的應用服務，隨著用戶數(shù)量大幅度的增加，網(wǎng)絡應用如 VOD 視頻點播、多媒體教學等許多高帶寬和需要高處理能力的主機系統(tǒng)。整個校園以計算機網(wǎng)絡中心為核心，通過光纖，通過多星級輻射至各個主樓，從而構成整個校園網(wǎng)主干，各信息點的網(wǎng)絡帶寬將視其應用的性質，進行合理地分配，分為 100M 以及 1000M 等量級，也需要能夠通過光纖或 DDN專線與 CERNET 連接，以開通全部的 Inter 網(wǎng)絡應用服務。最后對建設目標和潛在需求做了進一步的分析說明。對于學校，應能夠滿足日常的學習和教育資源的獲??；并能夠融合當前的網(wǎng)絡的主干技術，使網(wǎng)絡能夠具備充分的可擴展性，同時滿足校園網(wǎng)的易于維護性和安全性的特點。這樣可以最大的節(jié)約成本和最大限度的提高設備的質量。通過此軟件不但可以幫助學校網(wǎng)管人員及時排除故障，又能大大降低學校在網(wǎng)絡維護費用上的支出。另外華為公司的 防火墻網(wǎng)站過濾功能可限制對 12 種分類內(nèi)容的訪問，保證了校園內(nèi)網(wǎng)與因特網(wǎng)之間的通訊安全。譬如學校領導和普通教師之間，由于職能的差異，互相之間數(shù)據(jù)不能共享，因此將他們劃分到不同的 VLAN 當中，這樣不會造成數(shù)據(jù)的錯誤傳播以及不必要的數(shù)據(jù)泄漏，并能有效避免廣播風暴的形成。核心層負責完成網(wǎng)絡各匯聚節(jié)點之間的互聯(lián)及高效的數(shù)據(jù)傳輸、交換、轉發(fā)及路由分發(fā)。一般核心層設備采用高性能的交換網(wǎng)芯片以及高性能的網(wǎng)絡處理器芯片，要求有極高的系統(tǒng)總吞吐量和背板容量，可支持多個千兆端口。設計匯聚層時根據(jù)匯聚層的主要功能，應考慮到以下幾點：匯聚層設備要有足夠的帶寬；具有三層和多層交換特性；具有靈活多樣的業(yè)務能力；必須具有冗余和負載均衡能力；匯聚層設備要進行 VLAN 之間的通信，因此一般為支持三層或三層以上的多層交換設備，匯聚層設備的多層以太網(wǎng)交換機應具備以下特點：支持三層交換對上連接提供多種千兆端口模塊化組網(wǎng)支持豐富的二層協(xié)議完善的安全機制豐富的 QoS 支持實用方便的網(wǎng)管能力接入層設備的選取：接入層為用戶提供多網(wǎng)絡本地網(wǎng)段的訪問，它的主要作用事將工作組與匯聚層連接起來，主要完成邏輯網(wǎng)絡分段、基于工作組或 LAN 隔離廣播通信量以及在多個CPU 之間分布服務。三 網(wǎng)絡總體設計 校園網(wǎng)絡架構設計：，它是由星型、總線型等典型拓補結構組成，在現(xiàn)代網(wǎng)絡結構化布線工程中多采用星型結構，主要用于同一樓層，由各個房間的計算機間用集線器或者交換機連接產(chǎn)生的，它具有施工簡單，擴展性高，成本低和可管理性好等優(yōu)點；而校園網(wǎng)在分層布線主要采用樹型結構；每個房間的計算機連接到本層的集線器或交換機，然后每層的集線器或交換機在連接到本樓出口的交換機或路由器，各個樓的交換機或路由器再連接到校園網(wǎng)的通信網(wǎng)中，由此構成了校園網(wǎng)的拓補結構。目前的校園網(wǎng)大多數(shù)是純?nèi)龑拥慕粨Q網(wǎng)絡。為實現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由 1 個核心節(jié)點組成，包括教學區(qū)區(qū)域、服務器群；匯聚層設在每棟樓上，每棟樓設置一個匯聚節(jié)點，匯聚層為高性能“小核心”型交換機，根據(jù)各個樓的配線間的數(shù)量不同，可以分別采用 1 臺或是 2 臺匯聚層交換機進行匯聚，為了保證數(shù)據(jù)傳輸和交換的效率，現(xiàn)在各個樓內(nèi)設置三層樓內(nèi)匯聚層，樓內(nèi)匯聚層設備不但分擔了核心設備的部分壓力，同時提高了網(wǎng)絡的安全性；接入層為每個樓的接入交換機，是直接與用戶相連的設備。整個校園共用 4 臺匯聚層交換機，使用千兆光纖與核心交換機相連。 IP 地址規(guī)劃所謂 IP 地址就是給每一個直接與 Inter 相連的主機分配一個在全世界范圍惟一的網(wǎng)絡地址。在以太網(wǎng)實際布線時，適宜選用樹形結構，通過多級的 HUB 或交換機分級鏈接。校園網(wǎng)內(nèi)部由教學樓、寢室樓組成，其中教學樓中又分為學生區(qū)和辦公區(qū)兩個部分，具體信息點分布如上。VLAN 可以根據(jù)功能、用途、工作組及應用等因素將用戶邏輯上劃分為一個相對獨立的網(wǎng)絡，使一個可跨域不同網(wǎng)段、不同網(wǎng)絡、不同位置的端到端網(wǎng)絡。一但接入互聯(lián)網(wǎng)，就會涉及到很多管理、安全等方面的問題，校園網(wǎng)除了接入 CERNET 以外，還同時選擇了中國網(wǎng)通作為出口接入點，校園網(wǎng)有兩條出口，一個是光纖接入教育網(wǎng)，另一個是中國網(wǎng)通 100Mbps 專線?？梢酝ㄟ^潤許 TCP 連接或 UDP 會話中的原端口進行轉換而節(jié)省內(nèi)部全局地址，用各個內(nèi)部主機的 TCP 或 UDP 端口號區(qū)別；TCP 負載均衡。根據(jù)統(tǒng)計，威脅校園網(wǎng)安全的攻擊行為大概有 40％左右是來自于網(wǎng)絡內(nèi)部，如何防范來自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡安全防護體系需要重點關注的地方。如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用?！　〔《九c惡意攻擊。另外，軟件的“后門”都是軟件編程人員為了方便而設置的，一般不為外人所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡信息將沒有什么安全可言。一方面，電磁輻射能夠破壞網(wǎng)絡中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡周圍電子電氣設備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預謀的干擾輻射源。 5. 兼容多種平臺6. 一體化智能服務體系 網(wǎng)絡管理網(wǎng)絡管理就是指監(jiān)督、組織和控制網(wǎng)絡通信服務以及信息處理所必需的各種活動的總稱。Quidview 網(wǎng)絡管理軟件采用組件化結構設計，通過安裝不同的業(yè)務組件實現(xiàn)了設備管理、VPN 監(jiān)視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。3. 性能監(jiān)控Quidview 網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。5．設備配置文件管理當網(wǎng)絡規(guī)模較大時，網(wǎng)絡管理員的配置文件管理工作將十分繁重，如果沒有好的配置文件維護工具，網(wǎng)絡管理員就只能手動備份配置文件。使用 Quidview，管理員可以方便地查詢設備上運行的軟件版本，并利用升級分析功能來確定設備運行軟件是否需要升級。8. 堆疊管理Quidview 網(wǎng)絡管理軟件通過堆疊管理，可以集中管理較大量的低端設備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對大量設備的統(tǒng)一管理維護。限制遠程訪問的安全設置方法如下表 19安全接入和配置方法訪問方式 保證網(wǎng)絡設備安全的方法 備注Console 控制接口的訪問設置密碼和超時限制建議超時限制設成 5 分鐘進入特權 exec 和設備配置級別的命令行配置 Radius 來記錄 logon/logout 時間和操作活動；配置至少一個本地賬戶作應急之用tel 訪問采用 ACL 限制，指定從特定的 IP 地址來進行tel 訪問；配置 Radius 安全紀錄方案；設置超時限制SSH 訪問激活 SSH 訪問，從而允許操作員從網(wǎng)絡的外部環(huán)境進行設備安全登陸WEB 管理訪問 取消 Web 管理功能SNMP 訪問常規(guī)的 SNMP 訪問是用 ACL 限制從特定 IP 地址來進行 SNMP 訪問；記錄非授權的 SNMP 訪問并禁止非授權的 SNMP 企圖和攻擊為增加安全,建議更改缺省的SNMP Commutiy子串設置不同賬號 通過設置不同的賬號的訪問權限，提高安全性 拒絕服務的防止網(wǎng)絡設備拒絕服務攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、Smurf 攻擊等；網(wǎng)絡設備的防 TCP SYN 的方法主要是配置網(wǎng)絡設備 TCP SYN 臨界值，若多于這個臨界值，則丟棄多余的 TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡設備不轉發(fā) ICMP echo 請求(directed broadcast)和設置 ICMP 包臨界值，避免成為一個Smurf 攻擊的轉發(fā)者、受害者。5 允許從內(nèi)網(wǎng)訪問 DMZ（非軍事）區(qū)，端口全開放6 允許從 DMZ（非軍事）區(qū)訪問 inter，端口全開放7 禁止從 DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關閉。Config tHostname 2624Enable secret level 15 0 starLine vty 0 4 !設置 Tel 密碼 LoginPass starExitInterface f 1Ip address No shutIp nat outside !定義外部接口ExitIntface f 0Ip address No shutIp nat inside !定義內(nèi)部接口ExitAccesslist1 permitted Ip nat inside source list 1 int f1 over !應用 nat 協(xié)議Ip routingIp route Ip route Ip route Ip route Ip route Ip route EndWrite（2）核心交換機F1/1～4