【正文】 由器。劃分區(qū)域主要考慮以下幾個方面：可以減輕中央核心交換機的負擔、管理上方便、便于未來的連接擴充。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。網(wǎng)絡采用層次結(jié)構(gòu)，不僅邏輯結(jié)構(gòu)清晰，管理方便；更重要的是大多數(shù)的數(shù)據(jù)流量（主要是同一部門或工作組內(nèi)）的交換在分布層交換機上直接處理，不經(jīng)中心設備，節(jié)省主干帶寬，提高利用率。本方案采用成熟的千兆以太網(wǎng)技術，采用分層結(jié)構(gòu)的解決方案。滿足系統(tǒng)目標與功能目標，總體方案設計合理，滿足用戶的應用要求，便于系統(tǒng)維護，以及系統(tǒng)二次開發(fā)與移植。目前，網(wǎng)絡向多平臺、多協(xié)議、異種機、異構(gòu)型網(wǎng)絡共存方向發(fā)展，其目標是將不同機器、不同操作系統(tǒng)、不同的網(wǎng)絡類型連成一個可協(xié)同工作的一個整體。易于維護管理，具有廣泛兼容性，同時為適應我國實際情況，設備應具有使用靈活、操作方便的漢字、圖形處理功能。計算機技術的發(fā)展十分迅速，更新?lián)Q代周期越來越短。高安全性：現(xiàn)階段網(wǎng)絡建設主要面臨以下幾方面的問題：網(wǎng)絡流量增長得很快，與此同時網(wǎng)絡運營商的接入費用不降反升；管理人員對校園網(wǎng)的運行情況缺乏基本的分析和管理工具；網(wǎng)絡安全事件時有發(fā)生，重要服務器和核心網(wǎng)絡設備被攻擊；網(wǎng)絡病毒泛濫，得不到控制；有線用戶和無線用戶的接入控制、定位缺乏手段等；針對以上問題，將安全連接、威脅防御、信用和身份管理系統(tǒng)集成到單個解決方案中，并提供病毒感染限制、染毒設備隔離功能可有效的解決校園網(wǎng)建設中的安全問題。高可用性：網(wǎng)絡的高可用性必須依靠冗余來實現(xiàn)，網(wǎng)絡級冗余性可以利用雙宿主設計自動繞過故障鏈路或設備，能夠使用智能協(xié)議保持網(wǎng)絡可靠性。同時要求基于每用戶的速率限制。學生擁有筆記本電腦的人數(shù)越來越多，他們想在校園的各個地方都可以上網(wǎng)，甚至包括操場?！娟P鍵字】局域網(wǎng)、Internet、計算機網(wǎng)絡、網(wǎng)絡協(xié)議、服務器、防火墻第一章 建設目標與原則 XX學院網(wǎng)絡建設目標學校共有員工和學生9000 人,院區(qū)內(nèi)共有12 棟建筑,包括教學樓、實驗樓、現(xiàn)教樓、圖書館、宿舍樓等。在不久的將來，網(wǎng)絡必將成為和電話一樣通用的工具，成為人們生活、工作、學習中必不可少的一部分。XX校園網(wǎng)絡設計方案書目 錄第一章 建設目標與原則 3 XX學院網(wǎng)絡建設目標 3 校園網(wǎng)設計原則 4第二章 校園網(wǎng)建設方案 6 搭建校園網(wǎng)絡系統(tǒng) 6 7 IP地址規(guī)劃 8 設備選型 9 網(wǎng)絡安全設計 11 網(wǎng)絡管理系統(tǒng)設計 14第三章 網(wǎng)絡應用解決方案 17 綜合辦公自動化系統(tǒng) 17 網(wǎng)絡計費系統(tǒng) 17第四章 網(wǎng)絡的綜合布線系統(tǒng) 19 綜合布線標準 19 19 19 22參考文獻 24XX學院校園網(wǎng)建設方案【摘要】科學技術的發(fā)展日新月異，在計算機技術和通信技術結(jié)合下，網(wǎng)絡技術得到了飛速的發(fā)展。XX學院校園網(wǎng)一期、二期建設基本完成了校園網(wǎng)的框架，主要用于連接各實驗室、教研室和各部處通過網(wǎng)絡中心與Internet連接。上網(wǎng)的人員主要是學生、教師和科研人員。要求網(wǎng)絡具有移動和無線集成。另外在設備支持上要求：在10/100 或10/100/1000BaseT PoE；網(wǎng)絡設備集成的安全性；要求第2 層和第3 層的QoS； 功能；支持10GE 或?qū)砥交^渡到10GE。設備級冗余性可以利用設備內(nèi)部部件（如管理引擎、電源、風扇等）的冗余來提供不間斷服務。高可擴展性：在設計園區(qū)網(wǎng)時，通過層次化的設計可保證網(wǎng)絡的擴展性。所以，選購設備要充分注意先進性，選擇硬件要預測到未來發(fā)展方向，選擇軟件要考慮開放性，工具性和軟件集成優(yōu)勢。目前，計算機網(wǎng)絡與外部網(wǎng)絡互連互通日益增加，都直接或間接與國際互連網(wǎng)連接。所以所選網(wǎng)絡的通迅協(xié)議要符合國際標準，為將來系統(tǒng)的升級、擴展打下良好的基礎。第二章 校園網(wǎng)建設方案 搭建校園網(wǎng)絡系統(tǒng)XX學院從地理上分為二大塊：教學區(qū)和宿舍區(qū)。整個網(wǎng)絡設計的原則為：中心交換機為整個網(wǎng)絡的核心，它對整個網(wǎng)絡的性能、可靠性起決定作用，它連接各個物理子網(wǎng)，管理網(wǎng)絡內(nèi)信息交換（包括多媒體信息），控制VLAN 間訪問，保證信息安全。有一定的前瞻性，不僅滿足當前網(wǎng)上應用，也為向?qū)砀咝阅艿纳壸骱昧藴蕚洌壕W(wǎng)絡具有的伸縮性，升級和擴展主要只集中在網(wǎng)絡中心，添加新的接口模塊，即可實現(xiàn)用戶和信息點的擴充，升級模塊即可大量提高主干帶寬；中心配置兩臺多層交換機，網(wǎng)絡結(jié)構(gòu)就能連接成高可靠性的、真正的中心交換機互備份和上聯(lián)線路冗余。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。： XX學院校園網(wǎng)的拓樸圖整個校園網(wǎng)劃分為三個層次：核心層、分布層和接入層。交換機間的連接要求是高帶寬連接。 IP地址規(guī)劃本方案采用的地址分配方法利用VLSM技術,不僅有大量預留空間,而且本校園網(wǎng)使用OSPF路由協(xié)議,有層次的IP地址,易于管理,在邊界路由器上可做匯聚(),減少路由更新大小,提高網(wǎng)絡性能。l 全面的網(wǎng)絡安全性將切實可行的數(shù)千兆位級思科安全解決方案集成到現(xiàn)有網(wǎng)絡中，包括入侵檢測、防火墻、VPN 和SSL。校園網(wǎng)絡分布層設備采用CISCO Catalyst 4507R（Supervisor Engine V10GE*2/電源*2/若干千兆以太網(wǎng)光口板及GBIC/48 口千兆電口板*1，amp。l 速率限制以出口和入口限速器的方式出現(xiàn)，可以控制每個VLAN 的流量，防止DoS攻擊。它使用的訪問控制列表可在交換端口和路由端口上提供，以便進行二到七層流量控制。思科網(wǎng)絡助理(network assistant)在Catalyst 3560 系列中免費提供，是一個集中管理應用，可簡化思科交換機、路由器和無線接入點的管理任務。保密設備要做到管理方便，完善可靠。狹義上防火墻指安裝了防火墻軟件的主機或和路由系統(tǒng)；廣義上還包括整個網(wǎng)絡的安全策略和安全行為。管理功能實施統(tǒng)一的安全策略，檢查網(wǎng)絡使用情況，進行流量控制等。在內(nèi)部網(wǎng)絡和外網(wǎng)之間之間通過防火墻，建立起一個DMZ 區(qū)。這樣，我們就可以在Extranet 上建立第一道安全防護墻，屏蔽對內(nèi)部網(wǎng)Intranet 的非法訪問。地址轉(zhuǎn)換（NAT）技術運用在內(nèi)部主機與外部主機之間的互相訪問的時候，當內(nèi)部訪問者想通過路由器外出時，路由器首先對其進行身份認證通過訪問列表（ACL）核對其權限，如果通過，則對其進行地址轉(zhuǎn)換，使其以一個對外公開的地址訪問外部網(wǎng)絡；當外部訪問者想進入內(nèi)部網(wǎng)時，路由器同樣首先核對其訪問權限，然后根據(jù)其目的地址（外部公開的地址），將其數(shù)據(jù)包送到經(jīng)過地址轉(zhuǎn)換的相應的內(nèi)部主機。虛網(wǎng)是將一個物理上連接的網(wǎng)絡在邏輯上完全分開，這種隔離不僅是數(shù)據(jù)訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網(wǎng)絡一樣，是一種安全的防護。l MAC 地址過濾策略在內(nèi)部網(wǎng)中還可以利用Cisco 交換機的MAC 地址過濾功能對局域網(wǎng)的訪問提供鏈路層的安全控制。l 訪問安全控制從確保網(wǎng)絡訪問的安全出發(fā)，路由器對所有遠程撥號訪問連接都由Radius設置AAA(Authentication Authorization Account，即認證、授權、記帳)級安全控制，防止非法用戶的訪問。對于遠程撥號訪問，配置PPP 協(xié)議提供的CHAP（Challenge Handshake Authorization Protocol）認證協(xié)議，該協(xié)議是一個基于標準的認證服務，而且在傳輸過程中使用加密保護，與在傳輸用戶ID和口令時不使用加密的PAP 協(xié)議相比，具有更大的安全性，可提供用戶ID 和口令在傳輸線上的安全保護。Daemon 的操作依賴于兩個文件，一個用于定義所有的系統(tǒng)參數(shù)的控制文件和一個包含了網(wǎng)絡用戶所有認證和授權信息的數(shù)據(jù)庫文件?？傊瑢λ芯W(wǎng)絡上的信息進行統(tǒng)一管理。結(jié)合校