【文章內(nèi)容簡介】 時，原有的布線仍然可以使用，保護了用戶的投資。 開封大學(xué)軟件學(xué)院畢業(yè)設(shè)計 第 13 頁 共 37 頁 節(jié)省費用：結(jié)構(gòu)化布線把視頻、語音、數(shù)字信號的傳輸綜合在一塊，較原有的視頻、語音、數(shù)字信號各自單獨布線方法，更能節(jié)省用戶的布線投資。 便于集中管理和維護：結(jié)構(gòu)化布線系統(tǒng)使整棟大樓的布線系統(tǒng)構(gòu)成一個有機整體，日后維護相當(dāng)方便。 （二） 綜合布線系統(tǒng) 綜合布線系統(tǒng)設(shè)計除符合國際標準外，還應(yīng)符合《中國建筑電器 規(guī)范》、《工業(yè)企業(yè)通信設(shè)計規(guī)范》、《中國工程建設(shè)標準化協(xié)會標準》，《綜合布線用電纜、光纖技術(shù)要求》及《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范》等國內(nèi)標準。布線系統(tǒng)是一個模塊化的開放系統(tǒng)，主要由六個子系統(tǒng)組成，這六個系統(tǒng)如圖 2 所示： 圖 2 綜合布線示意圖 （ Work Area）及其網(wǎng)絡(luò)設(shè)計 工作區(qū)子系統(tǒng)，是由 RJ45 跳線與信息插座所連接的設(shè)備組成。信息點由標準 RJ45 插座構(gòu)成。信息點數(shù)量應(yīng)根據(jù)工作區(qū)的實際功能及需求確定，并預(yù)留適當(dāng)數(shù)量的冗余。 開封大學(xué)軟件學(xué)院畢業(yè)設(shè)計 第 14 頁 共 37 頁 工作區(qū)的終端設(shè)備（ 如：電話機、傳真機）選用安普公司的超五類 雙絞線 直接與工作區(qū)內(nèi)的每一個信息插座相連接，或用適配器（如 ISDN 終端設(shè)備）、平衡 /非平衡轉(zhuǎn)換器進行轉(zhuǎn)換連接到信息插座上。 （ Horizontal）及其網(wǎng)絡(luò)設(shè)計 配線子系統(tǒng)，是從工作區(qū)的信息插座開始到管理間子系統(tǒng)的配線架。選擇配線子系統(tǒng)的線纜，要根據(jù)建筑物內(nèi)具體信息點的類型、容量、帶寬和傳輸速率來確定。在配線子系統(tǒng)中 推薦采用的雙絞電纜及光纖型號為 : 安普公司的超五類或六類非屏蔽雙絞線 , TCL 室內(nèi)單模或 多模光纖 。 雙絞線水平布線鏈路中，水平電纜的最大長度為 90m。若使用 100ΩUTP 雙絞線作為配線子系統(tǒng)的線纜，可根據(jù)信息點類型的不同采用不同類型的電纜。該方案選擇安普公司的超五類非屏蔽雙絞線纜。 線子系統(tǒng)（ Backbone） 干線子系統(tǒng)，負責(zé)連接管理子系統(tǒng)到設(shè)備間子系統(tǒng)的子系統(tǒng) 。干線子系統(tǒng)可以使用的線纜主要有： HAY 三類大對數(shù)電纜；安普公司的超五類或六類雙絞線； TCL室內(nèi)單?；蚨嗄９饫w。該方案選擇安普公司的超六類雙絞線纜。 （ Equipment Room）及其網(wǎng)絡(luò)設(shè)計 設(shè)備間子系統(tǒng)，由電纜、連接器和相關(guān)支撐硬件組成。采用 BIX 跳接式配線架，連接交換機；采用光纖終結(jié)架連接主機及網(wǎng)絡(luò)設(shè)備。設(shè)備間的主要設(shè)備有數(shù)字程控 交換機 、 計算機 網(wǎng)絡(luò)設(shè)備 、服務(wù)器、樓宇自控設(shè)備主機等等。它們可以放在一起，也可分別設(shè)置。在較大型的綜合布線中，可以將計算機設(shè)備、數(shù)字程控交換機、樓宇自控設(shè)備主機分別設(shè)置機房，把與綜合布線密切相關(guān)的硬件設(shè)備放置在設(shè)備間，計算機網(wǎng)絡(luò)設(shè)備的機房放在距離設(shè)備間不遠的位置。 設(shè)備間子系統(tǒng)是一個集中化設(shè)備區(qū)，連接系統(tǒng)公共設(shè)備，如局域網(wǎng) (LAN)、主機、建筑自動化和保安 系統(tǒng)，及通過垂直干線子系統(tǒng)連接至管理子系統(tǒng)。 （ Administration）及其網(wǎng)絡(luò)設(shè)計 管理子系統(tǒng)，由交連、互連和 I/O 組成。管理是針對設(shè)備間、電信間和工作區(qū)的配線設(shè)備、纜線等設(shè)施，按 定的模式進行標識和記錄的規(guī)定。跳線采用超 5類非屏蔽雙絞線， RJ45 接頭。管理間是樓層的配線間，管理子系統(tǒng)為其它子系統(tǒng)開封大學(xué)軟件學(xué)院畢業(yè)設(shè)計 第 15 頁 共 37 頁 互連提供手段，它是連接垂直干線子系統(tǒng)和水平干線子系統(tǒng)的設(shè)備。管理子系統(tǒng)由交連、互連和輸入 /輸出組成，實現(xiàn)配線管理，為連接其它子系統(tǒng)提供手段。包括配線架、跳線設(shè)備及光配線架等組成設(shè)備。設(shè)計管理子 系統(tǒng)時 ,必需了解線路的基本設(shè)計原理 ,合理配置各子系統(tǒng)的部件。安普公司的綜合布線 解決方案 擁有搭配科學(xué)、管理簡便的成套產(chǎn)品用于管理子系統(tǒng)。 （ Campus Subsystem）及其網(wǎng)絡(luò)設(shè)計 建筑群子系統(tǒng)是實現(xiàn)建筑之間的相互連接，提供樓群之間通信設(shè)施所需的硬件。建筑群之間可以采用有線通信的手段，也可采用微波通信、無線電通信的手段。傳輸介質(zhì)采用 室外六芯多模光纖。 建筑群子系統(tǒng)介質(zhì)選擇原則：樓和樓之間在二公里以內(nèi)、傳輸介質(zhì)為室外光纖、可采用埋入地下或架空 (4 M 以上 )方式、需要避開動力線、注意光纖彎曲半徑建筑群子系統(tǒng)施工要點：包括路由起點、終點；線纜長度、入口位置、媒介類型、所需勞動費用以及材料成本計算。建筑群子系統(tǒng)所在的空間還有對門窗、天花板、電源、照明、接地的要求。 建筑群子系統(tǒng)的設(shè)計：教學(xué)樓與辦公樓之間由于距離較遠，采用單模光纖連接；圖書館與辦公樓距離較近，采用千兆以太網(wǎng)連接?？紤]近期學(xué)校使用、設(shè)備投資、距離超長等各種因素，采用多模光纖和單模 光纖混合的方式連接，并在每個建筑物內(nèi)預(yù)留了多模光纖，以備將來整個網(wǎng)絡(luò)系統(tǒng)的發(fā)展。 七 、 網(wǎng)絡(luò)安全設(shè)計 （一） 網(wǎng)絡(luò)安全介紹 網(wǎng)絡(luò)系統(tǒng)使計算機資源在廣泛的地理區(qū)域內(nèi)共享，具有分布廣域性、體系結(jié)構(gòu)開放性、資源共享性、通信信道的共同性等特點。這些特點增強了系統(tǒng)的實用性，同時也帶來了系統(tǒng)的脆弱性，網(wǎng)絡(luò)上的許多敏感信息和保密數(shù)據(jù)難免受到各種主動的或被動的人為攻擊，如信息泄露、竊取、數(shù)據(jù)篡改及計算機病毒感染等。因此，在網(wǎng)絡(luò)上構(gòu)筑一系列完善的安全策略是必不可少的。 安全，通常是指這樣一種機制，即只有那些被授權(quán)的人才能使用其相 應(yīng)的資源。網(wǎng)絡(luò)的安全性主要包括網(wǎng)絡(luò)路由的安全性和網(wǎng)絡(luò)信息的安全性。對應(yīng)的，網(wǎng)絡(luò)系統(tǒng)安全保障的方法可以分為二大類：即以“防火墻”技術(shù)為代表的防衛(wèi)型和建立在數(shù)據(jù)加密、用戶授權(quán)確認機制上的主動型網(wǎng)絡(luò)安全保障系統(tǒng)。前者的特征開封大學(xué)軟件學(xué)院畢業(yè)設(shè)計 第 16 頁 共 37 頁 是通過在網(wǎng)絡(luò)路由上建立相應(yīng)的網(wǎng)絡(luò)通訊監(jiān)控系統(tǒng)（即“防火墻”）來達到安全控制的目的；而后者的特征是通過對網(wǎng)絡(luò)數(shù)據(jù)（包括用戶數(shù)據(jù)和保證網(wǎng)絡(luò)正常運行所需的數(shù)據(jù)）的可靠加密和用戶確認，實現(xiàn)對網(wǎng)絡(luò)的安全保護。 在網(wǎng)絡(luò)上運行的應(yīng)用，其數(shù)據(jù)安全性要求是必然的，特別是在網(wǎng)絡(luò)聯(lián)入Inter 網(wǎng)的情況下。 對系 統(tǒng)安全的考慮來源于以下方面： 外界闖入的惡意攻擊； 非授權(quán)的資料存取； 假冒合法用戶； 病毒； 我們可以利用現(xiàn)有的安全機制和系統(tǒng)設(shè)計，從以下幾個方面來增強數(shù)據(jù)的安全性： 在內(nèi)外網(wǎng)間設(shè)置訪火墻； 對敏感數(shù)據(jù)的傳輸采用不對稱加密； 利 用客戶端和服務(wù)器端的 SSL 協(xié)議； 服務(wù)器和客戶端的雙向認證； 數(shù)字簽名； 操作系統(tǒng)的存取控制； 數(shù)據(jù)庫的存取控制； 對應(yīng)用程序的存取控制； 日常的病毒掃描。 由于普遍采用了以網(wǎng)絡(luò)為中心的集中服務(wù)方式，在網(wǎng)絡(luò)上傳輸病毒的機會大大減少。以下我們將集中討論如何利用防火墻、 SSL、數(shù)字簽名 、 VPN、 LDAP 等技術(shù)，來實現(xiàn)集成的企業(yè)級網(wǎng)絡(luò)安全。 開封大學(xué)軟件學(xué)院畢業(yè)設(shè)計 第 17 頁 共 37 頁 （二） 集成的網(wǎng)絡(luò)安全策略 在設(shè)計網(wǎng)絡(luò)安全策略時，需要考慮在初建費用、網(wǎng)絡(luò)安全的擴展性、靈活性、維護費用等方面進行綜合考慮，采取適當(dāng)?shù)牟呗浴? 我們設(shè)計的安全策略包括： ，通過網(wǎng)絡(luò)管理軟件等實現(xiàn)網(wǎng)絡(luò)安全控制； 網(wǎng)絡(luò)安全； 。 （三） 實現(xiàn)防火墻技術(shù) 實現(xiàn)“防火墻”所用的主要技術(shù)有數(shù)據(jù)包過濾，應(yīng)用網(wǎng)關(guān)和代理服務(wù)器等，在此基礎(chǔ)上合理的網(wǎng)絡(luò)拓撲結(jié)構(gòu)及有關(guān)技術(shù)（在位置和配 置上）的安排也是保證防火墻有效性的重要因素。 包過濾 (packet filter)技術(shù)顧名思義即在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?shù)據(jù)包實施有選擇通過。通過檢查數(shù)據(jù)流中的每個數(shù)據(jù)包后根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的 TCP端口號、 TCP鏈路狀態(tài)等因素或它們的組合來確定是否允許數(shù)據(jù)包通 過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的目的的地出口端。其余 數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。 包過濾技術(shù)實現(xiàn)方式簡潔，目前網(wǎng)絡(luò)的路由設(shè)備通常均具有一定的數(shù)據(jù)包過濾能力，因而使路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)功能之外同時進行包過濾是目前常見的實 現(xiàn)方式之一。此外在工作站上使用軟件包過濾也不失為一種可行的方案，但相對較為昂貴。若在適當(dāng)?shù)穆酚稍O(shè)備上啟動包過濾功能（作此用途的路由器稱 Screening Router）則通常不需要額外增加硬件 /軟件配置，也不需要對網(wǎng)絡(luò)拓撲結(jié)構(gòu)作改動。但是，包過濾技術(shù)本身對網(wǎng)絡(luò)的保護功能是有局限的，這是因為： ，因而對位于網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力，使得它對通過網(wǎng)絡(luò)應(yīng)用層協(xié)議實現(xiàn)的安全威脅無防范能力。 ，因而系統(tǒng)的操作、維護工作量相當(dāng)可觀。包過濾邏 輯的靜態(tài)設(shè)置也使得它對需要動態(tài)指定 TCP 端口的應(yīng)用協(xié)議（如 FTP開封大學(xué)軟件學(xué)院畢業(yè)設(shè)計 第 18 頁 共 37 頁 和 X－ Window）的應(yīng)用受到限制。 。并且由于路由器內(nèi)部資源的限制，通常路由器對所發(fā)現(xiàn)的非法數(shù)據(jù)包僅是刪除而已，并不作報告，從而不具有保障系統(tǒng)所要求的可審計性。 應(yīng)用網(wǎng)關(guān)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾、轉(zhuǎn)發(fā)功能，它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議指定數(shù)據(jù)過濾邏輯。并可根據(jù)在按應(yīng)用協(xié)議指定的數(shù)據(jù)過濾邏輯進行過濾的同時將對數(shù)據(jù)包的分析的結(jié)果及采取的措施作登錄和統(tǒng)計，形成報告。實際中應(yīng)用網(wǎng)關(guān)通 常由專用工作站系統(tǒng)實現(xiàn)。 數(shù)據(jù)包過濾技術(shù)與應(yīng)用網(wǎng)關(guān)技術(shù)的一個共同特點是它們僅依特定的邏輯檢查是否允許特定的數(shù)據(jù)包通過。一旦特定的網(wǎng)絡(luò)數(shù)據(jù)流滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系，因而保留了防火墻外部網(wǎng)絡(luò)系統(tǒng)直接了解防火墻內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)和運行狀態(tài)的可能，代理服務(wù)器技術(shù)則是針對這一問題引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為二段，防火墻內(nèi)外計算機系統(tǒng)間的應(yīng)用層的“鏈接”由二個終止于代理服務(wù)器上的“鏈接”來實現(xiàn)。外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器 ,由此實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離， 代理服務(wù)器在此等效于一個網(wǎng)絡(luò)傳輸層上的數(shù)據(jù)轉(zhuǎn)發(fā)器的功能。 八 、 開大 校園網(wǎng)絡(luò)實現(xiàn) （一）硬件簡介 本實驗為小型模擬實驗一共需要 22 臺 PC 機， 12 臺交換機， 3 臺路由器。 交換機采用思科出產(chǎn)的 Cisco2960 和 Cisco3640 的交換機 ,路由器使用思科出產(chǎn)的 Cisco2811 和 Cisco3620 系列的路由器。 （二）軟件介紹 使用 Cisco Packet Tracer 和 模擬器進行模擬實驗的環(huán)境搭建。 Cisco Packet Tracer 是由 Cisco 公司發(fā)布的一個輔助 學(xué)習(xí)工具 ，為學(xué)習(xí)思科網(wǎng)絡(luò)課程的初學(xué)者去設(shè)計、配置、排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境。用戶可以在 軟件 的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓撲，并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進的詳細處理過程，觀察網(wǎng)絡(luò)實時運行情況。 開封大學(xué)軟件學(xué)院畢業(yè)設(shè)計 第 19 頁 共 37 頁 DynamipsGUI，是由中國青島 CCIE 小凡 開發(fā)的一個思科模擬器圖形前端。它不僅整合了思科所有的 IOS 模擬器，而且還整合了 BES 以及 VPCS。它是一個綜合的模擬器解決方案。它配置輸出采用的是 bat 批處理文件。 （三）實驗拓撲圖 此拓撲圖只是一個模擬圖，其中 Cisco2960的交換機是二層交換機； Cisco3640的交換機是三層交換機； Cisco2811 和 Cisco3620 是路由器。 該實驗是一個大型模擬實驗，開封大學(xué)總體的網(wǎng)絡(luò)拓撲圖，如圖 3 所示。本實驗將以此圖來模擬進行冗余網(wǎng)絡(luò)的實現(xiàn)配置過程。 圖 3 實驗拓撲關(guān)系圖 圖 3 中有三個部分， 其中紅色部分是老校區(qū)，藍色部分是醫(yī)學(xué)院校區(qū)，綠色部分是新校區(qū)。紅色部分和藍色部分用 Cisco Packet Tracer 實現(xiàn)，其中主要技術(shù)有 VLAN、 VTP、 TELNET、 MSTP、 DHCP、單臂路由、路由策略、 NAT 等。綠色部分用 DynamipsGUI 來實現(xiàn)，其中主要技術(shù)是 VRRP 等 （四） IP 地址劃分 表格 2 開封大學(xué)軟件學(xué)院畢業(yè)設(shè)計 第 20 頁 共 37 頁 PC 機 IP 表 IP 地址 子網(wǎng)掩碼 網(wǎng)關(guān) 所屬 VLAN PC00 DHCP VLAN 10 PC01 DHCP VLAN 20 PC02 DHCP VLAN 30 PC03 DHCP VLAN 40 PC04 DHCP VLAN 50 PC05 DHCP VLAN 60 PC06 DHCP VLAN 70 PC07 DHCP VLAN 80 PC08 DHCP VLAN 90 PC09 DHCP VLAN 100 PC10 VLAN 104 PC11 VLAN 103 PC12 VLAN 102 PC13 VLAN 101 PC14 VLAN 3 PC15 VLAN 4 PC16 VLAN 5 PC17 VLAN 6 PC18 VLAN 7 PC19 VLAN 8 PC20 VLAN 9 （五）配置清單 如圖 4 所示開大新校區(qū)的網(wǎng)絡(luò)拓補圖 ， 主要技術(shù)是 HSRP 的配置 。 開封大學(xué)軟件學(xué)院畢業(yè)設(shè)計 第