【正文】 由器。劃分區(qū)域主要考慮以下幾個(gè)方面：可以減輕中央核心交換機(jī)的負(fù)擔(dān)、管理上方便、便于未來(lái)的連接擴(kuò)充。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。網(wǎng)絡(luò)采用層次結(jié)構(gòu)，不僅邏輯結(jié)構(gòu)清晰，管理方便；更重要的是大多數(shù)的數(shù)據(jù)流量（主要是同一部門或工作組內(nèi)）的交換在分布層交換機(jī)上直接處理，不經(jīng)中心設(shè)備，節(jié)省主干帶寬，提高利用率。本方案采用成熟的千兆以太網(wǎng)技術(shù)，采用分層結(jié)構(gòu)的解決方案。滿足系統(tǒng)目標(biāo)與功能目標(biāo)，總體方案設(shè)計(jì)合理，滿足用戶的應(yīng)用要求，便于系統(tǒng)維護(hù)，以及系統(tǒng)二次開(kāi)發(fā)與移植。目前，網(wǎng)絡(luò)向多平臺(tái)、多協(xié)議、異種機(jī)、異構(gòu)型網(wǎng)絡(luò)共存方向發(fā)展，其目標(biāo)是將不同機(jī)器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類型連成一個(gè)可協(xié)同工作的一個(gè)整體。易于維護(hù)管理，具有廣泛兼容性，同時(shí)為適應(yīng)我國(guó)實(shí)際情況，設(shè)備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。計(jì)算機(jī)技術(shù)的發(fā)展十分迅速，更新?lián)Q代周期越來(lái)越短。高安全性：現(xiàn)階段網(wǎng)絡(luò)建設(shè)主要面臨以下幾方面的問(wèn)題：網(wǎng)絡(luò)流量增長(zhǎng)得很快，與此同時(shí)網(wǎng)絡(luò)運(yùn)營(yíng)商的接入費(fèi)用不降反升；管理人員對(duì)校園網(wǎng)的運(yùn)行情況缺乏基本的分析和管理工具；網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，重要服務(wù)器和核心網(wǎng)絡(luò)設(shè)備被攻擊；網(wǎng)絡(luò)病毒泛濫，得不到控制；有線用戶和無(wú)線用戶的接入控制、定位缺乏手段等；針對(duì)以上問(wèn)題，將安全連接、威脅防御、信用和身份管理系統(tǒng)集成到單個(gè)解決方案中，并提供病毒感染限制、染毒設(shè)備隔離功能可有效的解決校園網(wǎng)建設(shè)中的安全問(wèn)題。高可用性：網(wǎng)絡(luò)的高可用性必須依靠冗余來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)級(jí)冗余性可以利用雙宿主設(shè)計(jì)自動(dòng)繞過(guò)故障鏈路或設(shè)備，能夠使用智能協(xié)議保持網(wǎng)絡(luò)可靠性。同時(shí)要求基于每用戶的速率限制。學(xué)生擁有筆記本電腦的人數(shù)越來(lái)越多，他們想在校園的各個(gè)地方都可以上網(wǎng)，甚至包括操場(chǎng)?！娟P(guān)鍵字】局域網(wǎng)、Internet、計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)協(xié)議、服務(wù)器、防火墻第一章 建設(shè)目標(biāo)與原則 XX學(xué)院網(wǎng)絡(luò)建設(shè)目標(biāo)學(xué)校共有員工和學(xué)生9000 人,院區(qū)內(nèi)共有12 棟建筑,包括教學(xué)樓、實(shí)驗(yàn)樓、現(xiàn)教樓、圖書(shū)館、宿舍樓等。在不久的將來(lái)，網(wǎng)絡(luò)必將成為和電話一樣通用的工具，成為人們生活、工作、學(xué)習(xí)中必不可少的一部分。XX校園網(wǎng)絡(luò)設(shè)計(jì)方案書(shū)目 錄第一章 建設(shè)目標(biāo)與原則 3 XX學(xué)院網(wǎng)絡(luò)建設(shè)目標(biāo) 3 校園網(wǎng)設(shè)計(jì)原則 4第二章 校園網(wǎng)建設(shè)方案 6 搭建校園網(wǎng)絡(luò)系統(tǒng) 6 7 IP地址規(guī)劃 8 設(shè)備選型 9 網(wǎng)絡(luò)安全設(shè)計(jì) 11 網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì) 14第三章 網(wǎng)絡(luò)應(yīng)用解決方案 17 綜合辦公自動(dòng)化系統(tǒng) 17 網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng) 17第四章 網(wǎng)絡(luò)的綜合布線系統(tǒng) 19 綜合布線標(biāo)準(zhǔn) 19 19 19 22參考文獻(xiàn) 24XX學(xué)院校園網(wǎng)建設(shè)方案【摘要】科學(xué)技術(shù)的發(fā)展日新月異，在計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合下，網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。XX學(xué)院校園網(wǎng)一期、二期建設(shè)基本完成了校園網(wǎng)的框架，主要用于連接各實(shí)驗(yàn)室、教研室和各部處通過(guò)網(wǎng)絡(luò)中心與Internet連接。上網(wǎng)的人員主要是學(xué)生、教師和科研人員。要求網(wǎng)絡(luò)具有移動(dòng)和無(wú)線集成。另外在設(shè)備支持上要求：在10/100 或10/100/1000BaseT PoE；網(wǎng)絡(luò)設(shè)備集成的安全性；要求第2 層和第3 層的QoS； 功能；支持10GE 或?qū)?lái)平滑過(guò)渡到10GE。設(shè)備級(jí)冗余性可以利用設(shè)備內(nèi)部部件（如管理引擎、電源、風(fēng)扇等）的冗余來(lái)提供不間斷服務(wù)。高可擴(kuò)展性：在設(shè)計(jì)園區(qū)網(wǎng)時(shí)，通過(guò)層次化的設(shè)計(jì)可保證網(wǎng)絡(luò)的擴(kuò)展性。所以，選購(gòu)設(shè)備要充分注意先進(jìn)性，選擇硬件要預(yù)測(cè)到未來(lái)發(fā)展方向，選擇軟件要考慮開(kāi)放性，工具性和軟件集成優(yōu)勢(shì)。目前，計(jì)算機(jī)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互連互通日益增加，都直接或間接與國(guó)際互連網(wǎng)連接。所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國(guó)際標(biāo)準(zhǔn)，為將來(lái)系統(tǒng)的升級(jí)、擴(kuò)展打下良好的基礎(chǔ)。第二章 校園網(wǎng)建設(shè)方案 搭建校園網(wǎng)絡(luò)系統(tǒng)XX學(xué)院從地理上分為二大塊：教學(xué)區(qū)和宿舍區(qū)。整個(gè)網(wǎng)絡(luò)設(shè)計(jì)的原則為：中心交換機(jī)為整個(gè)網(wǎng)絡(luò)的核心，它對(duì)整個(gè)網(wǎng)絡(luò)的性能、可靠性起決定作用，它連接各個(gè)物理子網(wǎng)，管理網(wǎng)絡(luò)內(nèi)信息交換（包括多媒體信息），控制VLAN 間訪問(wèn)，保證信息安全。有一定的前瞻性，不僅滿足當(dāng)前網(wǎng)上應(yīng)用，也為向?qū)?lái)更高性能的升級(jí)作好了準(zhǔn)備：網(wǎng)絡(luò)具有的伸縮性，升級(jí)和擴(kuò)展主要只集中在網(wǎng)絡(luò)中心，添加新的接口模塊，即可實(shí)現(xiàn)用戶和信息點(diǎn)的擴(kuò)充，升級(jí)模塊即可大量提高主干帶寬；中心配置兩臺(tái)多層交換機(jī)，網(wǎng)絡(luò)結(jié)構(gòu)就能連接成高可靠性的、真正的中心交換機(jī)互備份和上聯(lián)線路冗余。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。： XX學(xué)院校園網(wǎng)的拓樸圖整個(gè)校園網(wǎng)劃分為三個(gè)層次：核心層、分布層和接入層。交換機(jī)間的連接要求是高帶寬連接。 IP地址規(guī)劃本方案采用的地址分配方法利用VLSM技術(shù),不僅有大量預(yù)留空間,而且本校園網(wǎng)使用OSPF路由協(xié)議,有層次的IP地址,易于管理,在邊界路由器上可做匯聚(),減少路由更新大小,提高網(wǎng)絡(luò)性能。l 全面的網(wǎng)絡(luò)安全性將切實(shí)可行的數(shù)千兆位級(jí)思科安全解決方案集成到現(xiàn)有網(wǎng)絡(luò)中，包括入侵檢測(cè)、防火墻、VPN 和SSL。校園網(wǎng)絡(luò)分布層設(shè)備采用CISCO Catalyst 4507R（Supervisor Engine V10GE*2/電源*2/若干千兆以太網(wǎng)光口板及GBIC/48 口千兆電口板*1，amp。l 速率限制以出口和入口限速器的方式出現(xiàn)，可以控制每個(gè)VLAN 的流量，防止DoS攻擊。它使用的訪問(wèn)控制列表可在交換端口和路由端口上提供，以便進(jìn)行二到七層流量控制。思科網(wǎng)絡(luò)助理(network assistant)在Catalyst 3560 系列中免費(fèi)提供，是一個(gè)集中管理應(yīng)用，可簡(jiǎn)化思科交換機(jī)、路由器和無(wú)線接入點(diǎn)的管理任務(wù)。保密設(shè)備要做到管理方便，完善可靠。狹義上防火墻指安裝了防火墻軟件的主機(jī)或和路由系統(tǒng)；廣義上還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。管理功能實(shí)施統(tǒng)一的安全策略，檢查網(wǎng)絡(luò)使用情況，進(jìn)行流量控制等。在內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間之間通過(guò)防火墻，建立起一個(gè)DMZ 區(qū)。這樣，我們就可以在Extranet 上建立第一道安全防護(hù)墻，屏蔽對(duì)內(nèi)部網(wǎng)Intranet 的非法訪問(wèn)。地址轉(zhuǎn)換（NAT）技術(shù)運(yùn)用在內(nèi)部主機(jī)與外部主機(jī)之間的互相訪問(wèn)的時(shí)候，當(dāng)內(nèi)部訪問(wèn)者想通過(guò)路由器外出時(shí)，路由器首先對(duì)其進(jìn)行身份認(rèn)證通過(guò)訪問(wèn)列表（ACL）核對(duì)其權(quán)限，如果通過(guò)，則對(duì)其進(jìn)行地址轉(zhuǎn)換，使其以一個(gè)對(duì)外公開(kāi)的地址訪問(wèn)外部網(wǎng)絡(luò)；當(dāng)外部訪問(wèn)者想進(jìn)入內(nèi)部網(wǎng)時(shí)，路由器同樣首先核對(duì)其訪問(wèn)權(quán)限，然后根據(jù)其目的地址（外部公開(kāi)的地址），將其數(shù)據(jù)包送到經(jīng)過(guò)地址轉(zhuǎn)換的相應(yīng)的內(nèi)部主機(jī)。虛網(wǎng)是將一個(gè)物理上連接的網(wǎng)絡(luò)在邏輯上完全分開(kāi)，這種隔離不僅是數(shù)據(jù)訪問(wèn)的隔離，也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡(luò)一樣，是一種安全的防護(hù)。l MAC 地址過(guò)濾策略在內(nèi)部網(wǎng)中還可以利用Cisco 交換機(jī)的MAC 地址過(guò)濾功能對(duì)局域網(wǎng)的訪問(wèn)提供鏈路層的安全控制。l 訪問(wèn)安全控制從確保網(wǎng)絡(luò)訪問(wèn)的安全出發(fā)，路由器對(duì)所有遠(yuǎn)程撥號(hào)訪問(wèn)連接都由Radius設(shè)置AAA(Authentication Authorization Account，即認(rèn)證、授權(quán)、記帳)級(jí)安全控制，防止非法用戶的訪問(wèn)。對(duì)于遠(yuǎn)程撥號(hào)訪問(wèn)，配置PPP 協(xié)議提供的CHAP（Challenge Handshake Authorization Protocol）認(rèn)證協(xié)議，該協(xié)議是一個(gè)基于標(biāo)準(zhǔn)的認(rèn)證服務(wù)，而且在傳輸過(guò)程中使用加密保護(hù)，與在傳輸用戶ID和口令時(shí)不使用加密的PAP 協(xié)議相比，具有更大的安全性，可提供用戶ID 和口令在傳輸線上的安全保護(hù)。Daemon 的操作依賴于兩個(gè)文件，一個(gè)用于定義所有的系統(tǒng)參數(shù)的控制文件和一個(gè)包含了網(wǎng)絡(luò)用戶所有認(rèn)證和授權(quán)信息的數(shù)據(jù)庫(kù)文件?？傊?，對(duì)所有網(wǎng)絡(luò)上的信息進(jìn)行統(tǒng)一管理。結(jié)合校