【文章內容簡介】 提供 25 個以太網端口、 1 個百兆 SFP 光端口以及 1 個 console 口，支持 Vlan 劃分、Vlan 內端口隔離、 MAC 地址＋端口綁定等功能以及 SNMP 和 HGMP 協(xié)議，可以通過 本科生畢業(yè)設計（論文） 8 命令行、 Web 界面和 iMC 網管軟件等多種方式進行管理，具備在戶外環(huán)境下正常工作的能力，適用于城域網 IP 接入和金融、院校、政府以及其他企業(yè)工作組用戶接入。 拓撲結構設計 方案設計以千兆以太網技術為基礎，萬兆以太網為目標，采用“主干萬兆，支干千兆，百兆交換桌面”的三層設計思路，分為核心層、匯聚層、接入層。核心層設計 2臺高性能萬兆核心路由交換機，和分中心的萬兆高性能交換機組成全冗余的萬兆雙鏈路， 保證了校園網的高速數據路由交換，并且具有很好的可擴展性。 整個網絡分中心由 6個分中心構成，每個分中心部署一臺萬兆高性能交換機，每臺萬兆設備和核心設備之間兩條萬兆鏈路實現負載均衡的同時完成鏈路的備份，為了更好的加強整個網絡架構的穩(wěn)定性和健壯性，每個分中心之間進行千兆鏈路的連接，從而完成鏈路更好備份需求。 匯聚層部署 IPV4／ IPV6雙棧硬件轉發(fā)路由交換機通過千兆鏈路實現和各個核心層分中心的互連，構建新校區(qū)高性能、高穩(wěn)定、高可靠的 IPV4／ IPV6雙棧匯聚層網絡。各樓棟匯聚層采用全千兆 IPV6路由交換機分流 核心數據壓力并終結各VLAN信息。接入層全部采用千兆智能安全交換機，實現接入安全控制。 核心層的萬兆鏈路以及匯聚層的千兆鏈路連接可以輕松提供高速數據包吞吐量和高可用性；并采用 OSPF協(xié)議更是保證了園區(qū)骨干網的服務不中斷時間，而且核心設備的可熱插拔接口模塊、管理模塊冗余和電源冗余也提供了進一步的可靠性保證。 校區(qū)內部署管理平臺和認證計費平臺，從而完成兩個校區(qū)全網的用戶管理、設備管理和日志管理等。 上述的高速網絡配置的部分功能特性，為兩個校區(qū)校區(qū)高帶寬應用（如視頻流和 IP組播）提供了高可用性和高性能的理想 解決方案。 校園網絡由多種完成不同功能的網絡設備組成，包括路由器、交換機、Inter接入設備、防火墻等以及各種服務器，如：遠程教育服務器、網管服務器（包括網管軟件）、主服務器（包括 WWW、 Email、 DNS等）。校園內部網絡采用共享或交換式以太網，通過 DDN、 ASDL、 ISDN／ PSTN等方式，選擇中國科研教育網接入到 Inter，校際之間通過國際互聯(lián)網的方式互相聯(lián)接。同時采取相應的措施，確保通訊數據的安全、保密。系統(tǒng)運行要安全、可靠、故障小。 所以，要達到以上這些設計要求，分層的設計功能及星 型、樹型和交叉型的拓撲結構應給予足夠的重視，做到應地而異。 學校里分兩個校區(qū)：崇山校區(qū)、道義校區(qū)。在崇山校區(qū)用光纜將蕙星樓、外 本科生畢業(yè)設計（論文） 9 語樓、理化樓、培訓中心、哲經樓、機關樓、數學生物樓、新圖書館、留學生院、研究生部、五舍、出版社、理工實驗樓共 13棟樓宇進行連接，主干網 采用 光纜鋪設；將文化科技園區(qū)、醫(yī)院、公安處等部門采用了樓宇牽拉雙絞線進行連接。主干網帶寬為 155M，其它局域網分別為 100M或 10M，從而保證全校的各院系、各部門、科研所，尤其是重點建設學科的上網需求。 使用 萬兆路由交換網絡，兩校區(qū)實現 10GB互聯(lián) ， 敷設 光纜連接道義所有樓宇， 8個教學樓、辦公樓， 10棟學生宿舍樓。 根據學校的建筑物的分布，把校園網的主節(jié)點放置在崇山校區(qū)蕙星樓二樓的網絡中心， 樓宇到網絡中心全部實現千兆連接，支持多播以及多播相關的路由技術，保證流暢的視頻應用 ， 所有多媒體教室高速入網 。教學區(qū)和辦公區(qū)的使用量很大，但生活區(qū)的使用量相對比較小，所以目前的拓撲結構呈星形，中心服務器建議采用雙機式，即以蕙星樓為核心，向其他大樓輻射，建筑物之間使用多模光纖連接，建筑物內部也將采用星形布局，每幢建筑只需要一個設備間，統(tǒng)一放置設備。 拓撲圖設計如下： 圖 遼寧大學校園網絡拓撲圖 本科生畢業(yè)設計（論文） 10 IP 地址分配策略設計 內部 IP 地址采用 之間的 IP 地址。 表 為崇山校區(qū) IP 地址分配 表 崇山校區(qū) IP地址分配 區(qū)域 樓宇 子網地址 IP 地址范圍 網絡中心 蕙星樓 教學區(qū) 計算中心 信息學院 理工樓 化學樓 外語樓 出版社 國際交流中心 培訓中心 哲經樓 圖書館 行政辦公區(qū) 機關樓 五洲園 成教學樓 生物 環(huán)境樓 研究生院 校醫(yī)院 宿舍區(qū) 10 舍 11 舍 12 舍 14 舍 15 舍 16 舍 17 舍 18 舍 19 舍 20 舍 本科生畢業(yè)設計（論文） 11 表 為道義校區(qū) IP 地址分配 表 道義校區(qū) IP地址分配 區(qū)域 樓宇 子網地址 IP 地址范圍 教學區(qū) 網絡中心 圖書館 蓉教樓 文藝樓 經管樓 文科樓 辦公樓 階梯 A 階梯 B 生活服務中心 綜合實驗樓 宿舍區(qū) A1 A12 A2 A3 A4 B1B2 連廊 B2B3 連廊 B5B6 連廊 B6B7 連廊 B6 B7 C3 C2C3 連廊 C2 C1 B1 B2 本科生畢業(yè)設計（論文） 12 B3 B4 B5 仿真模擬及測試 蕙星樓交換機配置 圖 蕙星樓交換機配置 機關樓交換機配置 本科生畢業(yè)設計（論文） 13 圖 機關樓交換機配置 測試 圖 測試 本科生畢業(yè)設計（論文） 14 網絡組網技術選擇 目前 ， 可用于校園 LAN（ 局域網 ） 的技術有 Ether（ 以太網 ） 、 Fast Ether（ 快速以太網 ） 、 Gigabit Ether（ 千兆位以太網 ） 、 FDDI（ 光 纖分布式數據接口 ） 和 ATM（ 異步傳輸模式 ） 。 Ether作為幾年前主干網組網的主要技術，現在主要被用于工作組級組網，使網絡交換到桌面工作站。 Fast Ether是一種非常成熟的組網技術，造價很低，性能價格比很高，可作為資金不很充裕的中小型單位組建 Intra網的首選技術。快速以太網技術現在被廣泛用于大型企業(yè)網的二級、三級網絡組網或直接連至桌面工作站。 Gigabit Ether技術已成為大型 Fast Ether的升級目標。雖然 Fast Ether和 Gigabit Ether因采用 CSMA/CD的介質訪問控制方式而廣泛地存在著“廣播風暴”的問題，但可以更好的傳輸介質和交換設備予于克服，其實出的優(yōu)點是兼容先前的設備投資 ,師生的網絡應用及培訓更易進行，網絡的可管理性和擴展性也很好。 ATM是一種快速分組交換技術，它在 WAN（廣域網）上體現的強大功能和在 LAN上的成功應用， 是多媒體應用系統(tǒng)的理想網絡平臺 ，均以事實說明了它的技術的先進性。在 ATM中，不同速率的各種數據，如：語音、圖像、視頻都被分成標準的53字節(jié)的信元，以光纖作為傳輸通道，避免了以太網中的“廣播風暴”，提升了網絡 的整體性能。但是 ATM不兼容以往的以太網投資，其管理和操作有異于傳統(tǒng)的以太網平臺，故不適用于以太網的升級改造。 從網絡應用、維護、安全和擴展方面而言， Gigabit Ether和 ATM在實際應用中得到了廣泛的采用。 但在本方案中選擇使用千兆位以太網技術，主干為萬兆網， 10M/100M自適應或 10M交換到桌面。其理由是： 以低廉的價格提供高帶寬。千兆位以太網提供 10倍于快速以太網的性能而價格遠遠低于其 10倍，與 ATM相比，其價格則遠遠低于 622Mbps ATM。 良好的兼容性和管理的簡單性。 ATM必須使用局域網仿真才能與現有的網絡設施兼容。在網絡系統(tǒng)管理的技術要求上，千兆以太網比 ATM要簡單得多。 能保證服務質量。合理組織的千兆位以太網永遠不需要考慮 QoS管理，這也是千兆位以太網的宗旨；帶寬本身比帶寬管理更便宜。此外，千兆位以太網也可通過 。所有這些技術正促使校園網逐漸轉向千兆位以太網。 本科生畢業(yè)設計（論文） 15 無線網絡設計 無線網絡作為有線網絡的補充，為部分布線較困難的區(qū)域和需要移動辦公、學習的用戶提供全面、無縫的網絡覆蓋。 無線網絡，以 IEEE 和 IEEE 為基礎，覆蓋校園，作為有線網絡的補充。 主要網絡設備的選擇原則 根據已制定的網絡設計原則，我們所選擇的網絡設備必須具有以下一些特定： 安全、穩(wěn)定、可靠 作為整個校園網絡系統(tǒng)的硬件基礎，網絡設備必須是具備安全性、穩(wěn)定性和可靠性的特點。這是網絡系統(tǒng)穩(wěn)定運行的最基本條件。最好是經過相當長時間，在世界范圍內被廣泛應用的網絡產品，所以在選擇產品時選用國際知名廠商的產品。 技術先進性 網絡設備僅僅具有安全、穩(wěn)定和可靠的特點是不夠的。作為高科技的產品，還應該具有技術先進性。在選擇 網絡設備應該采用當今較先進的技術，能夠保持該設備在相當長的一段時間內不會因為技術落后而被淘汰。同時，在網絡規(guī)模進一步擴大，該設備不能承擔繁重的負荷時，能夠降級使用。 易于擴展性 由于信息技術和人們對于新技術的需求發(fā)展都非常迅速，為了避免不必要的重復投資，應選擇具有一定擴展能力的設備，能夠保證在網絡規(guī)模逐漸擴大的時候，不需要增加的設備，而只需要增加一定數量的模塊就行。最好能夠做到在網絡技術進一步發(fā)展，現有模塊不支持新技術的情況下，只需要更換相應模塊，而不需要更換整個設備。 管理和維護方便 先進的設備必 須配合先進的管理和維護的方法，才能夠發(fā)揮最大的作用。所以，在選擇設備時必須支持現有的、常用的網絡管理協(xié)議和多種網絡管理軟件，便于管理人員的維護。 本科生畢業(yè)設計（論文） 16 第 4章 網絡安全系統(tǒng)設計 在傳統(tǒng)網絡安全構架體系中搭建的安全解決方案，是以防火墻為核心設備。因此即便是用戶的網絡中安裝配置了防火墻系統(tǒng)、防病毒系統(tǒng)、入侵檢測系統(tǒng)等系統(tǒng)、并實現了防火墻與入侵檢測的聯(lián)動，但是當內部用戶發(fā)起分布式拒絕服務攻擊或網絡病毒大規(guī)模爆發(fā)是，由于這些攻擊流量核心交換設備將承受巨大的壓力、甚至當機、而此時由于防火墻設備“防外不防內”的特性，這些網絡 設備將形同虛設，用戶網絡安全方面的投資也就付之東流了 。 本設計的 “內外兼顧”的動態(tài)可適應網絡安全解決方案是以 P2DR 為參考模型，以網絡入侵檢測系統(tǒng)為核心的網絡解決方案。 P2DR 模型的原理 P2DR 模型是在整體的安全策略的控制和引導下，在綜合運用防護工具（如防火墻、操作系統(tǒng)身份認證、加密等手段）的同時，利用檢測工具了解和估系統(tǒng)的安全狀態(tài)，將系統(tǒng)調整到“最安全”和“風險最底”的狀態(tài)。 P2DR 安全理論模型 P2DR 模型是一個超前的安全模型。它的指導思想比傳統(tǒng)靜態(tài)安全方案有突破性提高。 P2DR 是 Policy（策略）、 Protection（防護）、Detection（檢測）和 Response（響應）的縮寫。由 P2DR 四要素組成完整的模型體系可以描述和解釋任何信息安全問題。 P2DR 安全模型的特點就是動態(tài)性和基于時間的特性。 圖 P2DR安全理論模型 P2DR 模型闡述了這樣一個結論：安全的目標實際上就是盡可能地增大保護 本科生畢業(yè)設計（論文） 17 時間，盡量減少檢測時間和響應時間。 Policy(安全策略 )：安全策略是 P2DR 安全模型的核心，所有的防護、檢測、響應都是依據安全策略實施的，企業(yè)安全策略為安全管理提供管 理方向和支持手段。策略體系的建立包括：安全策略的制訂、評估執(zhí)行等。制訂可行的安全策略取決于對網絡信息系統(tǒng)的了解程度。 Protection（保護）：保護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術及方法來實現的，主要有防火墻、加密、認證等方法。 Detection（檢測）：在 P2DR 模型，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應和加強防護的依據，它也是強制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網絡和系統(tǒng)，來發(fā)現新的威脅和弱點，通過循環(huán)反饋來及時作出有效的響應。網絡的安全風險是實時存在的，所以我們檢測的對象 應該主要針對構成安全風險的兩個部分：系統(tǒng)自身的脆弱性及外部威脅。 Response（響應）：緊急響應在安全系統(tǒng)中占有最重要得地位，是解決安全潛在性最有效的辦法。從某種意義上講，安全問題就是要解決緊急響應和異常處理問題。要解決好緊急響應問題，就要制訂好緊急響應的方案，做好緊急響應方案中的一切準備工作。 P2DR 模型的兩種安全技術 洞檢測與評估技術 進行漏洞檢測與評估的主要目的是先于入侵者發(fā)現漏洞并及時彌補，從而進