【文章內(nèi)容簡介】 提供 25 個(gè)以太網(wǎng)端口、 1 個(gè)百兆 SFP 光端口以及 1 個(gè) console 口，支持 Vlan 劃分、Vlan 內(nèi)端口隔離、 MAC 地址＋端口綁定等功能以及 SNMP 和 HGMP 協(xié)議，可以通過 本科生畢業(yè)設(shè)計(jì)（論文） 8 命令行、 Web 界面和 iMC 網(wǎng)管軟件等多種方式進(jìn)行管理，具備在戶外環(huán)境下正常工作的能力，適用于城域網(wǎng) IP 接入和金融、院校、政府以及其他企業(yè)工作組用戶接入。 拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 方案設(shè)計(jì)以千兆以太網(wǎng)技術(shù)為基礎(chǔ)，萬兆以太網(wǎng)為目標(biāo)，采用“主干萬兆，支干千兆，百兆交換桌面”的三層設(shè)計(jì)思路，分為核心層、匯聚層、接入層。核心層設(shè)計(jì) 2臺高性能萬兆核心路由交換機(jī)，和分中心的萬兆高性能交換機(jī)組成全冗余的萬兆雙鏈路， 保證了校園網(wǎng)的高速數(shù)據(jù)路由交換，并且具有很好的可擴(kuò)展性。 整個(gè)網(wǎng)絡(luò)分中心由 6個(gè)分中心構(gòu)成，每個(gè)分中心部署一臺萬兆高性能交換機(jī)，每臺萬兆設(shè)備和核心設(shè)備之間兩條萬兆鏈路實(shí)現(xiàn)負(fù)載均衡的同時(shí)完成鏈路的備份，為了更好的加強(qiáng)整個(gè)網(wǎng)絡(luò)架構(gòu)的穩(wěn)定性和健壯性，每個(gè)分中心之間進(jìn)行千兆鏈路的連接，從而完成鏈路更好備份需求。 匯聚層部署 IPV4／ IPV6雙棧硬件轉(zhuǎn)發(fā)路由交換機(jī)通過千兆鏈路實(shí)現(xiàn)和各個(gè)核心層分中心的互連，構(gòu)建新校區(qū)高性能、高穩(wěn)定、高可靠的 IPV4／ IPV6雙棧匯聚層網(wǎng)絡(luò)。各樓棟匯聚層采用全千兆 IPV6路由交換機(jī)分流 核心數(shù)據(jù)壓力并終結(jié)各VLAN信息。接入層全部采用千兆智能安全交換機(jī)，實(shí)現(xiàn)接入安全控制。 核心層的萬兆鏈路以及匯聚層的千兆鏈路連接可以輕松提供高速數(shù)據(jù)包吞吐量和高可用性；并采用 OSPF協(xié)議更是保證了園區(qū)骨干網(wǎng)的服務(wù)不中斷時(shí)間，而且核心設(shè)備的可熱插拔接口模塊、管理模塊冗余和電源冗余也提供了進(jìn)一步的可靠性保證。 校區(qū)內(nèi)部署管理平臺和認(rèn)證計(jì)費(fèi)平臺，從而完成兩個(gè)校區(qū)全網(wǎng)的用戶管理、設(shè)備管理和日志管理等。 上述的高速網(wǎng)絡(luò)配置的部分功能特性，為兩個(gè)校區(qū)校區(qū)高帶寬應(yīng)用（如視頻流和 IP組播）提供了高可用性和高性能的理想 解決方案。 校園網(wǎng)絡(luò)由多種完成不同功能的網(wǎng)絡(luò)設(shè)備組成，包括路由器、交換機(jī)、Inter接入設(shè)備、防火墻等以及各種服務(wù)器，如：遠(yuǎn)程教育服務(wù)器、網(wǎng)管服務(wù)器（包括網(wǎng)管軟件）、主服務(wù)器（包括 WWW、 Email、 DNS等）。校園內(nèi)部網(wǎng)絡(luò)采用共享或交換式以太網(wǎng)，通過 DDN、 ASDL、 ISDN／ PSTN等方式，選擇中國科研教育網(wǎng)接入到 Inter，校際之間通過國際互聯(lián)網(wǎng)的方式互相聯(lián)接。同時(shí)采取相應(yīng)的措施，確保通訊數(shù)據(jù)的安全、保密。系統(tǒng)運(yùn)行要安全、可靠、故障小。 所以，要達(dá)到以上這些設(shè)計(jì)要求，分層的設(shè)計(jì)功能及星 型、樹型和交叉型的拓?fù)浣Y(jié)構(gòu)應(yīng)給予足夠的重視，做到應(yīng)地而異。 學(xué)校里分兩個(gè)校區(qū)：崇山校區(qū)、道義校區(qū)。在崇山校區(qū)用光纜將蕙星樓、外 本科生畢業(yè)設(shè)計(jì)（論文） 9 語樓、理化樓、培訓(xùn)中心、哲經(jīng)樓、機(jī)關(guān)樓、數(shù)學(xué)生物樓、新圖書館、留學(xué)生院、研究生部、五舍、出版社、理工實(shí)驗(yàn)樓共 13棟樓宇進(jìn)行連接，主干網(wǎng) 采用 光纜鋪設(shè)；將文化科技園區(qū)、醫(yī)院、公安處等部門采用了樓宇牽拉雙絞線進(jìn)行連接。主干網(wǎng)帶寬為 155M，其它局域網(wǎng)分別為 100M或 10M，從而保證全校的各院系、各部門、科研所，尤其是重點(diǎn)建設(shè)學(xué)科的上網(wǎng)需求。 使用 萬兆路由交換網(wǎng)絡(luò)，兩校區(qū)實(shí)現(xiàn) 10GB互聯(lián) ， 敷設(shè) 光纜連接道義所有樓宇， 8個(gè)教學(xué)樓、辦公樓， 10棟學(xué)生宿舍樓。 根據(jù)學(xué)校的建筑物的分布，把校園網(wǎng)的主節(jié)點(diǎn)放置在崇山校區(qū)蕙星樓二樓的網(wǎng)絡(luò)中心， 樓宇到網(wǎng)絡(luò)中心全部實(shí)現(xiàn)千兆連接，支持多播以及多播相關(guān)的路由技術(shù)，保證流暢的視頻應(yīng)用 ， 所有多媒體教室高速入網(wǎng) 。教學(xué)區(qū)和辦公區(qū)的使用量很大，但生活區(qū)的使用量相對比較小，所以目前的拓?fù)浣Y(jié)構(gòu)呈星形，中心服務(wù)器建議采用雙機(jī)式，即以蕙星樓為核心，向其他大樓輻射，建筑物之間使用多模光纖連接，建筑物內(nèi)部也將采用星形布局，每幢建筑只需要一個(gè)設(shè)備間，統(tǒng)一放置設(shè)備。 拓?fù)鋱D設(shè)計(jì)如下： 圖 遼寧大學(xué)校園網(wǎng)絡(luò)拓?fù)鋱D 本科生畢業(yè)設(shè)計(jì)（論文） 10 IP 地址分配策略設(shè)計(jì) 內(nèi)部 IP 地址采用 之間的 IP 地址。 表 為崇山校區(qū) IP 地址分配 表 崇山校區(qū) IP地址分配 區(qū)域 樓宇 子網(wǎng)地址 IP 地址范圍 網(wǎng)絡(luò)中心 蕙星樓 教學(xué)區(qū) 計(jì)算中心 信息學(xué)院 理工樓 化學(xué)樓 外語樓 出版社 國際交流中心 培訓(xùn)中心 哲經(jīng)樓 圖書館 行政辦公區(qū) 機(jī)關(guān)樓 五洲園 成教學(xué)樓 生物 環(huán)境樓 研究生院 校醫(yī)院 宿舍區(qū) 10 舍 11 舍 12 舍 14 舍 15 舍 16 舍 17 舍 18 舍 19 舍 20 舍 本科生畢業(yè)設(shè)計(jì)（論文） 11 表 為道義校區(qū) IP 地址分配 表 道義校區(qū) IP地址分配 區(qū)域 樓宇 子網(wǎng)地址 IP 地址范圍 教學(xué)區(qū) 網(wǎng)絡(luò)中心 圖書館 蓉教樓 文藝樓 經(jīng)管樓 文科樓 辦公樓 階梯 A 階梯 B 生活服務(wù)中心 綜合實(shí)驗(yàn)樓 宿舍區(qū) A1 A12 A2 A3 A4 B1B2 連廊 B2B3 連廊 B5B6 連廊 B6B7 連廊 B6 B7 C3 C2C3 連廊 C2 C1 B1 B2 本科生畢業(yè)設(shè)計(jì)（論文） 12 B3 B4 B5 仿真模擬及測試 蕙星樓交換機(jī)配置 圖 蕙星樓交換機(jī)配置 機(jī)關(guān)樓交換機(jī)配置 本科生畢業(yè)設(shè)計(jì)（論文） 13 圖 機(jī)關(guān)樓交換機(jī)配置 測試 圖 測試 本科生畢業(yè)設(shè)計(jì)（論文） 14 網(wǎng)絡(luò)組網(wǎng)技術(shù)選擇 目前 ， 可用于校園 LAN（ 局域網(wǎng) ） 的技術(shù)有 Ether（ 以太網(wǎng) ） 、 Fast Ether（ 快速以太網(wǎng) ） 、 Gigabit Ether（ 千兆位以太網(wǎng) ） 、 FDDI（ 光 纖分布式數(shù)據(jù)接口 ） 和 ATM（ 異步傳輸模式 ） 。 Ether作為幾年前主干網(wǎng)組網(wǎng)的主要技術(shù)，現(xiàn)在主要被用于工作組級組網(wǎng)，使網(wǎng)絡(luò)交換到桌面工作站。 Fast Ether是一種非常成熟的組網(wǎng)技術(shù)，造價(jià)很低，性能價(jià)格比很高，可作為資金不很充裕的中小型單位組建 Intra網(wǎng)的首選技術(shù)?？焖僖蕴W(wǎng)技術(shù)現(xiàn)在被廣泛用于大型企業(yè)網(wǎng)的二級、三級網(wǎng)絡(luò)組網(wǎng)或直接連至桌面工作站。 Gigabit Ether技術(shù)已成為大型 Fast Ether的升級目標(biāo)。雖然 Fast Ether和 Gigabit Ether因采用 CSMA/CD的介質(zhì)訪問控制方式而廣泛地存在著“廣播風(fēng)暴”的問題，但可以更好的傳輸介質(zhì)和交換設(shè)備予于克服，其實(shí)出的優(yōu)點(diǎn)是兼容先前的設(shè)備投資 ,師生的網(wǎng)絡(luò)應(yīng)用及培訓(xùn)更易進(jìn)行，網(wǎng)絡(luò)的可管理性和擴(kuò)展性也很好。 ATM是一種快速分組交換技術(shù)，它在 WAN（廣域網(wǎng)）上體現(xiàn)的強(qiáng)大功能和在 LAN上的成功應(yīng)用， 是多媒體應(yīng)用系統(tǒng)的理想網(wǎng)絡(luò)平臺 ，均以事實(shí)說明了它的技術(shù)的先進(jìn)性。在 ATM中，不同速率的各種數(shù)據(jù)，如：語音、圖像、視頻都被分成標(biāo)準(zhǔn)的53字節(jié)的信元，以光纖作為傳輸通道，避免了以太網(wǎng)中的“廣播風(fēng)暴”，提升了網(wǎng)絡(luò) 的整體性能。但是 ATM不兼容以往的以太網(wǎng)投資，其管理和操作有異于傳統(tǒng)的以太網(wǎng)平臺，故不適用于以太網(wǎng)的升級改造。 從網(wǎng)絡(luò)應(yīng)用、維護(hù)、安全和擴(kuò)展方面而言， Gigabit Ether和 ATM在實(shí)際應(yīng)用中得到了廣泛的采用。 但在本方案中選擇使用千兆位以太網(wǎng)技術(shù)，主干為萬兆網(wǎng)， 10M/100M自適應(yīng)或 10M交換到桌面。其理由是： 以低廉的價(jià)格提供高帶寬。千兆位以太網(wǎng)提供 10倍于快速以太網(wǎng)的性能而價(jià)格遠(yuǎn)遠(yuǎn)低于其 10倍，與 ATM相比，其價(jià)格則遠(yuǎn)遠(yuǎn)低于 622Mbps ATM。 良好的兼容性和管理的簡單性。 ATM必須使用局域網(wǎng)仿真才能與現(xiàn)有的網(wǎng)絡(luò)設(shè)施兼容。在網(wǎng)絡(luò)系統(tǒng)管理的技術(shù)要求上，千兆以太網(wǎng)比 ATM要簡單得多。 能保證服務(wù)質(zhì)量。合理組織的千兆位以太網(wǎng)永遠(yuǎn)不需要考慮 QoS管理，這也是千兆位以太網(wǎng)的宗旨；帶寬本身比帶寬管理更便宜。此外，千兆位以太網(wǎng)也可通過 。所有這些技術(shù)正促使校園網(wǎng)逐漸轉(zhuǎn)向千兆位以太網(wǎng)。 本科生畢業(yè)設(shè)計(jì)（論文） 15 無線網(wǎng)絡(luò)設(shè)計(jì) 無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充，為部分布線較困難的區(qū)域和需要移動(dòng)辦公、學(xué)習(xí)的用戶提供全面、無縫的網(wǎng)絡(luò)覆蓋。 無線網(wǎng)絡(luò)，以 IEEE 和 IEEE 為基礎(chǔ)，覆蓋校園，作為有線網(wǎng)絡(luò)的補(bǔ)充。 主要網(wǎng)絡(luò)設(shè)備的選擇原則 根據(jù)已制定的網(wǎng)絡(luò)設(shè)計(jì)原則，我們所選擇的網(wǎng)絡(luò)設(shè)備必須具有以下一些特定： 安全、穩(wěn)定、可靠 作為整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，網(wǎng)絡(luò)設(shè)備必須是具備安全性、穩(wěn)定性和可靠性的特點(diǎn)。這是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行的最基本條件。最好是經(jīng)過相當(dāng)長時(shí)間，在世界范圍內(nèi)被廣泛應(yīng)用的網(wǎng)絡(luò)產(chǎn)品，所以在選擇產(chǎn)品時(shí)選用國際知名廠商的產(chǎn)品。 技術(shù)先進(jìn)性 網(wǎng)絡(luò)設(shè)備僅僅具有安全、穩(wěn)定和可靠的特點(diǎn)是不夠的。作為高科技的產(chǎn)品，還應(yīng)該具有技術(shù)先進(jìn)性。在選擇 網(wǎng)絡(luò)設(shè)備應(yīng)該采用當(dāng)今較先進(jìn)的技術(shù)，能夠保持該設(shè)備在相當(dāng)長的一段時(shí)間內(nèi)不會(huì)因?yàn)榧夹g(shù)落后而被淘汰。同時(shí)，在網(wǎng)絡(luò)規(guī)模進(jìn)一步擴(kuò)大，該設(shè)備不能承擔(dān)繁重的負(fù)荷時(shí)，能夠降級使用。 易于擴(kuò)展性 由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，應(yīng)選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加的設(shè)備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng)模塊，而不需要更換整個(gè)設(shè)備。 管理和維護(hù)方便 先進(jìn)的設(shè)備必 須配合先進(jìn)的管理和維護(hù)的方法，才能夠發(fā)揮最大的作用。所以，在選擇設(shè)備時(shí)必須支持現(xiàn)有的、常用的網(wǎng)絡(luò)管理協(xié)議和多種網(wǎng)絡(luò)管理軟件，便于管理人員的維護(hù)。 本科生畢業(yè)設(shè)計(jì)（論文） 16 第 4章 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 在傳統(tǒng)網(wǎng)絡(luò)安全構(gòu)架體系中搭建的安全解決方案，是以防火墻為核心設(shè)備。因此即便是用戶的網(wǎng)絡(luò)中安裝配置了防火墻系統(tǒng)、防病毒系統(tǒng)、入侵檢測系統(tǒng)等系統(tǒng)、并實(shí)現(xiàn)了防火墻與入侵檢測的聯(lián)動(dòng)，但是當(dāng)內(nèi)部用戶發(fā)起分布式拒絕服務(wù)攻擊或網(wǎng)絡(luò)病毒大規(guī)模爆發(fā)是，由于這些攻擊流量核心交換設(shè)備將承受巨大的壓力、甚至當(dāng)機(jī)、而此時(shí)由于防火墻設(shè)備“防外不防內(nèi)”的特性，這些網(wǎng)絡(luò) 設(shè)備將形同虛設(shè)，用戶網(wǎng)絡(luò)安全方面的投資也就付之東流了 。 本設(shè)計(jì)的 “內(nèi)外兼顧”的動(dòng)態(tài)可適應(yīng)網(wǎng)絡(luò)安全解決方案是以 P2DR 為參考模型，以網(wǎng)絡(luò)入侵檢測系統(tǒng)為核心的網(wǎng)絡(luò)解決方案。 P2DR 模型的原理 P2DR 模型是在整體的安全策略的控制和引導(dǎo)下，在綜合運(yùn)用防護(hù)工具（如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段）的同時(shí)，利用檢測工具了解和估系統(tǒng)的安全狀態(tài)，將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最底”的狀態(tài)。 P2DR 安全理論模型 P2DR 模型是一個(gè)超前的安全模型。它的指導(dǎo)思想比傳統(tǒng)靜態(tài)安全方案有突破性提高。 P2DR 是 Policy（策略）、 Protection（防護(hù)）、Detection（檢測）和 Response（響應(yīng)）的縮寫。由 P2DR 四要素組成完整的模型體系可以描述和解釋任何信息安全問題。 P2DR 安全模型的特點(diǎn)就是動(dòng)態(tài)性和基于時(shí)間的特性。 圖 P2DR安全理論模型 P2DR 模型闡述了這樣一個(gè)結(jié)論：安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù) 本科生畢業(yè)設(shè)計(jì)（論文） 17 時(shí)間，盡量減少檢測時(shí)間和響應(yīng)時(shí)間。 Policy(安全策略 )：安全策略是 P2DR 安全模型的核心，所有的防護(hù)、檢測、響應(yīng)都是依據(jù)安全策略實(shí)施的，企業(yè)安全策略為安全管理提供管 理方向和支持手段。策略體系的建立包括：安全策略的制訂、評估執(zhí)行等。制訂可行的安全策略取決于對網(wǎng)絡(luò)信息系統(tǒng)的了解程度。 Protection（保護(hù)）：保護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實(shí)現(xiàn)的，主要有防火墻、加密、認(rèn)證等方法。 Detection（檢測）：在 P2DR 模型，檢測是非常重要的一個(gè)環(huán)節(jié)，檢測是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)作出有效的響應(yīng)。網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)是實(shí)時(shí)存在的，所以我們檢測的對象 應(yīng)該主要針對構(gòu)成安全風(fēng)險(xiǎn)的兩個(gè)部分：系統(tǒng)自身的脆弱性及外部威脅。 Response（響應(yīng)）：緊急響應(yīng)在安全系統(tǒng)中占有最重要得地位，是解決安全潛在性最有效的辦法。從某種意義上講，安全問題就是要解決緊急響應(yīng)和異常處理問題。要解決好緊急響應(yīng)問題，就要制訂好緊急響應(yīng)的方案，做好緊急響應(yīng)方案中的一切準(zhǔn)備工作。 P2DR 模型的兩種安全技術(shù) 洞檢測與評估技術(shù) 進(jìn)行漏洞檢測與評估的主要目的是先于入侵者發(fā)現(xiàn)漏洞并及時(shí)彌補(bǔ)，從而進(jìn)