【正文】 將分散在各部門業(yè)務(wù)系統(tǒng)的數(shù)據(jù)集中到數(shù)據(jù)中心平臺(tái)統(tǒng)一存放，以師、生角色為主線，提供跨部門的人事、教學(xué)、科研、公共資產(chǎn)、財(cái)務(wù)、信息服務(wù)等綜合數(shù)據(jù)從而為教職工、學(xué)生提供全方位的信息服務(wù)，并實(shí)現(xiàn)“誰產(chǎn)生、誰維護(hù)、誰負(fù)責(zé)”的權(quán)威數(shù)據(jù)源。 ? 如果 國(guó)家標(biāo)準(zhǔn)代碼 不能覆蓋 ， 遵循教育部相關(guān)標(biāo)準(zhǔn) ? 如果教育部標(biāo)準(zhǔn)不能覆蓋或規(guī)定不詳，則 遵循 相關(guān) 行業(yè)標(biāo)準(zhǔn)代碼。 建立映射關(guān)系來描述原標(biāo)準(zhǔn)和新標(biāo)準(zhǔn)之間的關(guān)聯(lián)關(guān)系，并提供給 數(shù)據(jù)集成平臺(tái)所 使 用 ，以便數(shù)據(jù)集成平臺(tái)能夠 快速實(shí)現(xiàn)標(biāo)準(zhǔn)代碼的數(shù)據(jù)交換 。 防火墻部署方案 根據(jù)學(xué)校的具體情況，選用一臺(tái) CISCO的 企業(yè)級(jí) 防火墻： CISCO ASA 5520。這種方式安全性高，但管理復(fù)雜。此外，還可根據(jù)應(yīng)用的類型進(jìn)行出口路由選擇。到 190。 在 Private VLAN的概念中，交換機(jī)端口有三種類型： Promiscuous port（混雜端口） ， Isolated port（隔離端口） ， Community port（共有端口） ；它們分別對(duì)應(yīng)不同的 VLAN 類型： Isolated port屬于 Secondary VLAN， Community port 屬于 Additional Secondary VLAN，而代表一個(gè)Private VLAN 整體的是 Primary VLAN，前面兩類 VLAN 需要和它綁定在一起，同時(shí)它 還包括Promiscuous port?；诓呗越M成的 VLAN 能實(shí)現(xiàn)多種分配方法，包括 VLAN 交換機(jī)端口、 MAC地址、 IP 地址、網(wǎng)絡(luò)層協(xié)議等。其主要缺點(diǎn)在于不允許用戶移動(dòng)，一旦用戶移動(dòng)到一個(gè)新的位置，網(wǎng)絡(luò)管理員必須配置新的 VLAN。 5．校園網(wǎng)出口 在防火墻上進(jìn)行內(nèi)網(wǎng) IP 地址的 NAT 轉(zhuǎn)換，使內(nèi)網(wǎng)用戶能訪問互聯(lián)網(wǎng)。 用戶接入（包括教學(xué)、辦公和學(xué)生宿舍）交換機(jī)的網(wǎng)絡(luò)設(shè)計(jì)要求 用戶接入交換機(jī)都是 L2 交換機(jī)，學(xué)生宿舍 樓層接入交換機(jī)除支持常用的協(xié)議外，還需要支持 協(xié)議。 靈活性和可擴(kuò)展性 校園網(wǎng)絡(luò)強(qiáng)調(diào)面向未來的廣泛的升級(jí)擴(kuò)充能力，并能夠充分利用本次網(wǎng)絡(luò)設(shè)備的投資，在不影響網(wǎng)絡(luò)性能的前提下最大限度的簡(jiǎn)化升級(jí)擴(kuò)充后網(wǎng)絡(luò)的建立和管理。在傳統(tǒng)校園的基礎(chǔ)上構(gòu)建一個(gè)數(shù)字空間以拓展現(xiàn)實(shí)校園的時(shí)間和空間維度，從而提升了傳統(tǒng)校園的效率，擴(kuò)展了傳統(tǒng)校園的功能，最終實(shí)現(xiàn)教育過程的全面信息化。 學(xué)校簡(jiǎn)介 ....................................................................................... 錯(cuò)誤 !未定義書簽。 數(shù)字校園的功能 用戶管理： 用戶注冊(cè)、電子身份、身份認(rèn)證 信息管理：教學(xué)資源、辦公信息、管理信息、圖書資源、檔案信息、科研數(shù)據(jù) 信息服務(wù)：個(gè)性化、主動(dòng)信息服務(wù)，目錄服務(wù) 辦公自動(dòng)化：網(wǎng)上辦公、無紙辦公 管理信息系統(tǒng)：教務(wù)、設(shè)備資產(chǎn)、人事、財(cái)務(wù)、后勤、 …… 決策支持：教學(xué)評(píng)估、招生評(píng)估、畢業(yè)評(píng)估、 ... 遠(yuǎn)程教育：虛擬實(shí)驗(yàn)室、網(wǎng)絡(luò)輔助教學(xué) 電子商務(wù)：在線注冊(cè)、社區(qū)服務(wù) ... 協(xié)同工作：教學(xué)研討 、科研攻關(guān)、在線討論 ... 網(wǎng)上交流：電子郵件、資料交換、主頁(yè)發(fā)布、學(xué)術(shù)沙、? 數(shù)字化校園的結(jié)構(gòu) 數(shù)字化校園的結(jié)構(gòu)如下圖所示： 最內(nèi)圓是“網(wǎng)絡(luò)基礎(chǔ)”：網(wǎng)絡(luò)是數(shù)字校園的最基礎(chǔ)的設(shè)施，沒有相應(yīng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，數(shù)字不能流動(dòng)，就不可能形成數(shù)字的空間； 次內(nèi)圓是“網(wǎng)絡(luò)基本服務(wù)”：網(wǎng)絡(luò)基本服務(wù)是數(shù)字流動(dòng)的軟件基礎(chǔ)，包括電子郵件、文件傳輸、信息發(fā)布、身份認(rèn)證、目錄服務(wù)等； 其次是“應(yīng)用支撐系統(tǒng)”：包括辦公自動(dòng)化系統(tǒng)、數(shù)字圖書館、管理信息系統(tǒng)和網(wǎng)絡(luò)教學(xué)系統(tǒng)，它們是數(shù)字校園的核心支持系統(tǒng)； 再往外是“信息服務(wù)系統(tǒng) ”：它是校內(nèi)用戶的主要使用界面，為用戶提供各種服務(wù)，如后勤服務(wù)、信息查詢、信息流通、電子商務(wù)等； 最外層是“虛擬校園”：它是校園數(shù)字化后功能的自然擴(kuò)展，將校園的功能突破圍墻的限制，成為一個(gè)可以覆蓋網(wǎng)絡(luò)可達(dá)范圍的無疆域的大學(xué)。符合國(guó)家安全保密要求； 應(yīng)采取系統(tǒng)工作環(huán)境與外界的隔離措施； 應(yīng)防止未經(jīng)許可的用戶非法進(jìn)人訪問網(wǎng)絡(luò)，并讀取、改寫文件； 應(yīng)防止竊取和篡改數(shù)據(jù)； 應(yīng)防止 IP 盜用，加強(qiáng)網(wǎng)上跟蹤與監(jiān)測(cè)，杜絕網(wǎng)上不法行為； 應(yīng)防止惡意用戶向網(wǎng)上或某一網(wǎng)上設(shè)備發(fā)送大量某種信息，使網(wǎng)絡(luò)處于高負(fù)荷運(yùn)轉(zhuǎn)； 應(yīng)提供多種方式和層次的訪問控制安全機(jī)制，可進(jìn)行端到端的安全性控制，保護(hù)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)安全； 應(yīng)制定嚴(yán)密的數(shù)據(jù)備份方案和技術(shù)保障措施，確保系統(tǒng)的數(shù)據(jù)安全。 5．具體信息點(diǎn)分布 接入樓宇 所需光纖 接入模式 交換機(jī)安放位置 所需交換機(jī)類型 信息點(diǎn)數(shù)量 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 機(jī)房 核心 教學(xué)樓 6 芯單模 千 兆 機(jī)房 區(qū)域匯聚 160 教師公寓 6 芯 多 模 千兆 機(jī)房 樓棟匯聚 50 學(xué)生公寓 12 芯單模 千兆 機(jī)房 樓棟匯聚 480 實(shí)訓(xùn)車間 6 芯 多 模 10 合計(jì) 700 第三章 系統(tǒng)詳細(xì)設(shè)計(jì) 校園網(wǎng)物理設(shè)計(jì) 1．核心層 核心層骨干交換機(jī)采用 RGS6806EC 交換機(jī) 。為上層提供服務(wù)，但與上層的協(xié)議無關(guān)， VLAN能制約數(shù)據(jù)幀在本 VLAN 的一切活動(dòng)，無需關(guān)心上層協(xié)議下傳的分組類型，因此 VLAN 在具體的應(yīng)用上將具有優(yōu)越的實(shí)用性。這種方式的 VLAN 允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN 的成員身份，但這種方式要求網(wǎng)絡(luò)管理員將每個(gè)用戶都一一劃分在某個(gè) VLAN 中，在一個(gè)大規(guī)模的 VLAN 中，這就有些困難 。基于用戶定義、非用戶授權(quán)來劃分 VLAN，是指為了適應(yīng)特別的 VLAN網(wǎng)絡(luò)，特別的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì) VLAN，而且可以讓非 VLAN 群體用戶訪問 VLAN，但是需要提供用戶密碼，得到 VLAN 管理的認(rèn)證后才可以加入一個(gè) VLAN。無論網(wǎng)絡(luò)硬件平臺(tái)多么先進(jìn)，沒有與之配套的先進(jìn)應(yīng)用系統(tǒng)，網(wǎng)絡(luò)的價(jià)值就無法得到真正的體現(xiàn)。但后一種方式的主要問題是 NAT/PAT 轉(zhuǎn)換的性能問題，第二個(gè)問題是可能會(huì)影 響某些應(yīng)用。 基于策略的路由被應(yīng)用于進(jìn)入的數(shù)據(jù)包，啟用了基于策略的路由的接口所接收的所有數(shù)據(jù)包都被考慮執(zhí)行基于策略的路由。 對(duì)合法用戶的正常使用，我們建議采用以下技術(shù)： 3．流量 限制技術(shù) 通過對(duì)用戶接入端口進(jìn)行速率限制，保證用戶不可以超越某個(gè)速率上限，一旦發(fā)覺某一端口流量異常，則可以認(rèn)為有太多突發(fā)流量通過此端口進(jìn)入業(yè)務(wù)網(wǎng)絡(luò)，由可能在進(jìn)行黑客活動(dòng)，也有可能在利用此端口進(jìn)行帶寬批發(fā)活動(dòng)或其他經(jīng)營(yíng)活動(dòng)，網(wǎng)絡(luò)管理人員可以馬上關(guān)閉此端口，并通知客戶。 此處可根據(jù)需要，在防火墻上設(shè)置如下安全策略： ? 解決內(nèi)外網(wǎng) 絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)（禁止外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)）； ? 根據(jù) IP 地址、協(xié)議類型、端口等進(jìn)行數(shù)據(jù)包過濾； ? 內(nèi)外網(wǎng)絡(luò)采用兩套 IP 地址，實(shí)現(xiàn)雙向地址轉(zhuǎn)換功能； ? 支持安全服務(wù)器網(wǎng)絡(luò)（ DMZ 區(qū)），允許內(nèi)外網(wǎng)絡(luò)訪問 DMZ 區(qū)，但禁止 DMZ 區(qū)訪問內(nèi)部網(wǎng)絡(luò)； ? 通過 IP 與 MAC 地址綁定防止 IP 盜用，避免亂用網(wǎng)絡(luò)資源； ? 防止 IP 欺騙； ? 防 DDoS 攻擊； ? 開啟黑白名單功能，實(shí)現(xiàn) URL 過濾，過濾不健康網(wǎng)站； ? 提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)； ? 具有自身保護(hù)能力，可防范對(duì)防火墻的常見攻擊； ? 啟動(dòng)入侵檢測(cè)及告警功能； ? 學(xué)生訪 問不良信息網(wǎng)站后的日志記錄，做到有據(jù)可查； ? 多種應(yīng)用協(xié)議的支持。 它適 用于現(xiàn)代化信息管理、對(duì)外信息服務(wù)與信息交流等各個(gè)方面。 ? 沒有約定俗成的規(guī)定代碼，按相應(yīng)要求，設(shè)計(jì)滿足需要并保留擴(kuò)充接口的代碼。 ? 建成一個(gè)為校內(nèi)應(yīng)用提供數(shù)據(jù)交換和共享服務(wù)的數(shù)據(jù)中心 數(shù)據(jù)中心平臺(tái)平臺(tái)為將各業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)交換的支撐，并按各業(yè)務(wù)系統(tǒng)的數(shù)據(jù)需求將數(shù)據(jù)集成中心庫(kù)的數(shù)據(jù)分發(fā)到各業(yè)務(wù)系統(tǒng)，從而實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一集成和標(biāo)準(zhǔn)化，為各業(yè)務(wù)管理系統(tǒng)之間的數(shù)據(jù)統(tǒng)一、避免數(shù)據(jù)不一致奠定數(shù)據(jù)基礎(chǔ)。 ? 保證任何業(yè)務(wù)系統(tǒng)的添加和修改不影響其它業(yè)務(wù)系統(tǒng)的正常運(yùn)行 正確地抽象、定義業(yè)務(wù)系統(tǒng)的數(shù)據(jù)模型，不通過直接的數(shù)據(jù)庫(kù)訪問來實(shí)現(xiàn)不同業(yè)務(wù)之間數(shù)據(jù)共享，而是調(diào)用應(yīng)用組件定義的服務(wù)接口， 從而 ，當(dāng)某些提供服務(wù)的業(yè)務(wù)系統(tǒng)發(fā)生變 化時(shí)，不會(huì)影響到使用服務(wù)的其他業(yè)務(wù)系統(tǒng)的正確運(yùn)行。 ? 會(huì)議管理 主要包括會(huì)議安排、會(huì)議表格生成、會(huì)議 室申請(qǐng)、會(huì)議室信息維護(hù)、會(huì)議室狀況查詢等。 教室管理 對(duì)學(xué)校教學(xué)資源進(jìn)行規(guī)劃管理，包括教室安排、教室資源占用 情況等，并對(duì)校內(nèi)教室基本信息進(jìn)行管理，如教師基本信息管理、教師分配管理、教師狀態(tài)查詢、教師借用申請(qǐng)審核、教師資源使用統(tǒng)計(jì)等。教材管理的主要功能包括教材管理信息設(shè)置、教材代碼維護(hù)、教材基本信息維護(hù)、教材計(jì)劃、教材征訂、教材入庫(kù)、教材出庫(kù)、教材回庫(kù)、教材報(bào)廢、統(tǒng)計(jì)報(bào)表。 ? 實(shí)時(shí)信息訪問 門戶平臺(tái)建立了對(duì)各類信息資源的可動(dòng)態(tài)實(shí)時(shí)訪問的通道，而不需改變?cè)瓉淼馁Y源結(jié)構(gòu)和配置，所集成的各類互聯(lián)網(wǎng)資源、數(shù)據(jù)資源、各類業(yè)務(wù)系統(tǒng)能夠保持原地不動(dòng)；也就是說，各類信息資源向不同用戶提供的是：符合各自工作要求和個(gè)人習(xí)慣的個(gè)性化輸出的訪問門戶通道，而非個(gè)性化內(nèi)容包括：實(shí)現(xiàn)對(duì)分散異構(gòu)的圖文信息、音頻、視頻片段多媒體資料等非結(jié)構(gòu)化數(shù)據(jù)的實(shí)時(shí)訪問；通過 URL 或網(wǎng)頁(yè)剪輯可實(shí)現(xiàn)對(duì)網(wǎng)頁(yè)或其中的某一個(gè)欄目而非欄目的內(nèi)容進(jìn)行集成，從而實(shí)現(xiàn)對(duì)信息的動(dòng)態(tài)實(shí)時(shí)訪問；提供對(duì)物理分散的異構(gòu)數(shù)據(jù)的實(shí)時(shí)訪問，也就是說，門戶平臺(tái)獲得的是實(shí)時(shí)數(shù)據(jù)，被集成的數(shù)據(jù)對(duì)象不需做任何改動(dòng)、保持原地不動(dòng)； 實(shí)現(xiàn)對(duì)信息孤島式的不同業(yè)務(wù)應(yīng)用的實(shí)時(shí)訪問，保護(hù)用戶在原有業(yè)務(wù)系統(tǒng)的投資。塔式服務(wù)器已經(jīng)得到廣泛應(yīng)用，而機(jī)架式服務(wù) 器則為用戶提供了更多的選擇，并開始在各種企業(yè)系統(tǒng)中扮演重要角色。 建設(shè)重點(diǎn) 一期信息化建設(shè)重點(diǎn) —— 定標(biāo)準(zhǔn)、建平臺(tái)、打基礎(chǔ) 后續(xù)的應(yīng)用建設(shè) 都需要在整體基礎(chǔ)框架上進(jìn)行。 NAS 通過數(shù)據(jù)網(wǎng)絡(luò)為系統(tǒng)中其它的服務(wù)器提供存儲(chǔ)服務(wù)，包括： WEB 服務(wù)、 FTP 服務(wù)、 EMAIL服務(wù)等等。 3．功能描述 統(tǒng)一門戶平臺(tái)應(yīng)具有的主要功能： ? 門戶整合 統(tǒng)一門戶平臺(tái)應(yīng)能夠聯(lián)系整個(gè)學(xué)校內(nèi)外的異構(gòu)系統(tǒng)、應(yīng)用、數(shù)據(jù)源等，包括學(xué)校內(nèi)外的各種數(shù)據(jù)庫(kù)、數(shù)據(jù)倉(cāng)庫(kù)、辦公自動(dòng)化系統(tǒng)、電子郵件系統(tǒng)，以及其它重要的業(yè)務(wù)系統(tǒng)，統(tǒng)一門戶平臺(tái)均可以通過 Portlet 技術(shù)將其統(tǒng)一集成到門戶平臺(tái)中，實(shí)現(xiàn)統(tǒng)一的訪問入口和統(tǒng)一的信息展示出口。成績(jī)管理主要功能包括：成績(jī)錄入、成績(jī)統(tǒng)計(jì)分析、成績(jī)的綜合處理、等級(jí)考試成績(jī)管理、成績(jī)報(bào)表。 縱觀市場(chǎng)上較為成熟的業(yè)務(wù)系 統(tǒng)，大多具有明顯的學(xué)年制特征。 ? 督辦管理 督辦管理實(shí)現(xiàn)督辦單制作、通知、跟蹤、人工催辦、承辦人承辦、督辦結(jié)果反饋、形成督辦專報(bào)、督辦數(shù)據(jù)統(tǒng)計(jì)查詢功能。 ? 保證任何兩個(gè)業(yè)務(wù)系統(tǒng)之間沒有冗余業(yè)務(wù)數(shù)據(jù) 在設(shè)計(jì)中 ， 對(duì)有業(yè)務(wù)關(guān)系和數(shù)據(jù)關(guān)聯(lián)的業(yè)務(wù)系統(tǒng)，統(tǒng)一設(shè)計(jì)業(yè)務(wù)模塊的數(shù)據(jù)庫(kù)，不對(duì)業(yè)務(wù)系統(tǒng)做人為的切割， 盡量保證 業(yè)務(wù)系統(tǒng)之間沒有冗余業(yè)務(wù)數(shù)據(jù)，從而簡(jiǎn)化數(shù)據(jù)一致性的實(shí)現(xiàn)。信息標(biāo)準(zhǔn)的建 設(shè)要充分考慮國(guó)家標(biāo)準(zhǔn)、教育部標(biāo)準(zhǔn)、教育信息化協(xié)會(huì)標(biāo)準(zhǔn)等標(biāo)準(zhǔn)的前提下，結(jié)合已建業(yè)務(wù)系統(tǒng)的信息標(biāo)準(zhǔn)特點(diǎn)逐步形成具有學(xué)校特點(diǎn)的信息標(biāo)準(zhǔn)體系。 所有 系統(tǒng)在代碼標(biāo)準(zhǔn)的使用上，遵循以下原則： ? 如果有國(guó)家標(biāo)準(zhǔn)代碼，遵循國(guó)家標(biāo)準(zhǔn)代碼。由參照標(biāo)準(zhǔn)引入執(zhí)行標(biāo)準(zhǔn)，并由學(xué)校自行維護(hù)； 提供對(duì)執(zhí)行標(biāo)準(zhǔn)集模式和數(shù)據(jù)的瀏覽、維護(hù)功能，以及與參照標(biāo)準(zhǔn)的對(duì)比。這樣即使同一 VLAN 中的用戶，相互之間也不會(huì)受到廣播的影響。 所選交換機(jī)支持端口的安全特性，每個(gè)端口可靜態(tài)設(shè)置多個(gè) MAC 地址，如果有非法 MAC 地址入侵，交換機(jī) 會(huì)通過 TRAP 告警網(wǎng)絡(luò)管理員。而非 FreeIP范圍的流量需要另外交 納流量費(fèi)用，并且?guī)捠艿接绊?，可以選擇通過電信公眾網(wǎng)出口。 由于大部分的個(gè)人用戶不需要固定的 IP 地址，因此對(duì)個(gè)人用戶采用動(dòng)態(tài)的 IP 地址分配可以節(jié)省 189。Private VLAN 可以把一個(gè)大的 IP地址域劃分成多個(gè)地址組，各個(gè)地址組之間不能互訪，既實(shí)現(xiàn)了安全隔離又省卻了地址 劃分及重規(guī)劃的復(fù)雜，節(jié)約了 IP 地址。 （ 5）按策略劃分。這種按網(wǎng)絡(luò)端口來劃分 VLAN 網(wǎng)絡(luò)成員的配置過程簡(jiǎn)單明了，因此，它是最常用的一種方式。 4．防火墻 Cisco ASA 5520 系列在單一平臺(tái)中提供了多種市場(chǎng)成熟技術(shù)的強(qiáng)大組合 ，提供 成熟的安全和 VPN 性能 ，支持 IPS、 AntiX 以及 IPSec 和 SSL VPN 技術(shù)，提供了強(qiáng)大的應(yīng)用安全、基于用戶和應(yīng)用的訪問控制、蠕蟲和病毒防御、惡意軟件防御、防網(wǎng)絡(luò)釣魚和防垃圾郵件、 URL 阻攔和過濾，以及遠(yuǎn)程用戶 / 地點(diǎn)連接 , 支持高度可定制的安全策略及服務(wù)，有助于防御快速發(fā)展的威脅環(huán)境 。校園網(wǎng)的主干網(wǎng)絡(luò)是校園網(wǎng)應(yīng)用正常運(yùn)行的根本保證，應(yīng)該采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)和國(guó)際知名廠商的高質(zhì)量的網(wǎng)絡(luò)設(shè)備來構(gòu)建，并利用設(shè)備冗余、鏈路冗余和 STP、 ECP的網(wǎng)絡(luò)技術(shù)保證校園網(wǎng)骨干可以不間斷地為教學(xué)、科研和辦公服務(wù)。 通用性 系統(tǒng)設(shè)計(jì)要考慮到 35 年內(nèi)的技術(shù)發(fā)展； 應(yīng)選擇通用性高，兼容性強(qiáng)，能支持工作網(wǎng)段和節(jié)點(diǎn)擴(kuò)充的網(wǎng)絡(luò)設(shè)備； 能支持新出現(xiàn)的網(wǎng)絡(luò)協(xié)議和多媒體網(wǎng)絡(luò)應(yīng)用軟件； 能支持不同存儲(chǔ)格式的各類軟件