【正文】 Catherine PaquetAt present, China39。還要感謝同學(xué)們，他們?cè)谖业恼撐牡乃悸贩矫嫣岬暮芏嗟膶氋F的意見。他們對(duì)我的論文的很多的不足的地方都很耐心的提出了修改的方案。這也使我認(rèn)識(shí)到自己的不足之處，不管今后從事什么職業(yè)，都要好好的，用心的去學(xué)習(xí)。這是我們都希望看到的也正是我們進(jìn)行畢業(yè)設(shè)計(jì)的目的所在。學(xué)院校園網(wǎng)規(guī)劃方案336．?dāng)U展性考慮額網(wǎng)絡(luò)設(shè)備擴(kuò)展方面：每個(gè)核心、匯聚設(shè)備都應(yīng)該考慮端口的可擴(kuò)展性，本方案對(duì)每個(gè)設(shè)備都有預(yù)留端口，以適應(yīng)將來網(wǎng)絡(luò)可能發(fā)生的變化；網(wǎng)絡(luò)接入的可擴(kuò)展性：路由器支持 VPN 并且考慮到校區(qū)會(huì)更大地?cái)U(kuò)展，我們選擇支持 VPN 的路由器；IP 地址的預(yù)留：本方案在每間教室都有剩余的 IP 地址，以適應(yīng)將來主機(jī)增多的需求。在計(jì)算機(jī)系統(tǒng)的弱電接地系統(tǒng)中，機(jī)房內(nèi)部采用網(wǎng)格接地方式，就是把一定截面積的銅線或銅帶在架空地板下交叉排成 1800MM*1800MM 的方格，交點(diǎn)處壓接在一起。機(jī)房接地類型一般分為：交流工作接地；計(jì)算機(jī)系統(tǒng)的弱電接地；安全保護(hù)接地；防雷保護(hù)接地（處在有防雷設(shè)施的建筑群中可不設(shè)此地） 。 機(jī)房接地系統(tǒng)計(jì)算機(jī)接地系統(tǒng)是為了消除公共阻抗的合，防止寄生電容偶合的干擾，保護(hù)學(xué)院校園網(wǎng)規(guī)劃方案32設(shè)備和人員的安全，保證計(jì)算機(jī)系統(tǒng)穩(wěn)定可靠運(yùn)行的重要措施。 接地系統(tǒng) 機(jī)房獨(dú)立接地要求根據(jù)《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范－GB 501742022》中對(duì)接地的要求：交流工作接地、安全保護(hù)接地、防雷接地的接地電阻應(yīng)≤4 歐，本設(shè)計(jì)的接地電阻≤2 歐，以提高安全性和可靠性。需將靜電地板下方的支撐鋼架與均壓網(wǎng)做良好的電氣連接，使靜電地板上積累的電荷有良好的瀉放通道。 機(jī)房內(nèi)部防雷輔助措施為了保證在機(jī)房內(nèi)的工作人員不受靜電及電磁脈沖的危害，需在靜電地板下做均壓網(wǎng)，且均壓網(wǎng)與接地做良好的連接。但應(yīng)考慮到做為備份通信的其它線路,如 DDN等,因此對(duì)非光纖的通訊線路做防雷保護(hù)是有必要而且是必需的。主要保護(hù)對(duì)象為信息中心機(jī)房。根據(jù) IEC 613121《雷電電磁脈沖的防護(hù) 第一部分 通則》中提供的模擬公式可進(jìn)行估算：高約 4 米長 50 米的掛空電纜在一公里雷擊范圍內(nèi)線路感應(yīng)電壓約為800V。學(xué)院校園網(wǎng)規(guī)劃方案31 通訊線路雷電防護(hù)通訊、信號(hào)主要是通過電信部門通訊線路連接到設(shè)備端，進(jìn)行網(wǎng)絡(luò)通訊。第三級(jí)：末級(jí)防雷要求防雷設(shè)備瀉放電流在 4020KA，限制電壓在 1000600V以內(nèi)。第二級(jí)：次級(jí)電源防雷要求防雷設(shè)備瀉放電流在 7040KA，限制電壓在 18001500V 以內(nèi)。具體三級(jí)電源防護(hù)措施如下：第一級(jí)：作為主級(jí)電源防雷設(shè)備根據(jù) IEC 613123《雷電電磁脈沖的防護(hù) 第三部分 過電壓保護(hù)裝置的要求》防雷設(shè)備瀉放電流在 150100KA，限制電壓在2800V2500V 以內(nèi)。所以必須加裝避雷針、帶、網(wǎng)防御直擊雷，內(nèi)部加裝三級(jí)高反應(yīng)速度的防止感應(yīng)雷瀉放設(shè)備。 電源系統(tǒng)防雷我們將電源系統(tǒng)防雷分成三級(jí)來設(shè)計(jì)。 防雷防浪涌實(shí)施防雷工程主要就是要保證機(jī)房設(shè)備安全運(yùn)行，保證計(jì)算機(jī)網(wǎng)絡(luò)的傳輸質(zhì)量，在各點(diǎn)進(jìn)行不同等級(jí)的防雷保護(hù)?？煽啃栽瓌t，設(shè)計(jì)系統(tǒng)雷電防護(hù)工程應(yīng)最先考慮的問題就是可靠性。應(yīng)符合設(shè)備安裝設(shè)計(jì)的要求。無關(guān)的管道不宜通過。 應(yīng)采用相應(yīng)防火級(jí)別的防火門，門向外開，寬度不小于 1000mm。 進(jìn)線間宜靠近外墻和在地下設(shè)置，以便于纜線引入。 進(jìn)線間的大小應(yīng)按進(jìn)線間的進(jìn)局管道最終容量及入口設(shè)施的最終容量設(shè)計(jì)。進(jìn)線間設(shè)置管道入口。進(jìn)線間與建筑物紅外線范圍內(nèi)的人孔或手孔采用管道或通道的方式互連。建筑群子系統(tǒng)所在的空間還有對(duì)門窗、天花板、電源、照明、接地的要求。傳輸介質(zhì)采用室外六芯多模光纖。 建筑群子系統(tǒng)（Campus Subsystem）及其網(wǎng)絡(luò)設(shè)計(jì)建筑群子系統(tǒng)是實(shí)現(xiàn)建筑之間的相互連接，提供樓群之間通信設(shè)施所需的硬件。設(shè)計(jì)管理子系統(tǒng)時(shí),必需了解線路的基本設(shè)計(jì)原理,合理配置各子系統(tǒng)的部件。管理子系統(tǒng)由交連、互連和輸入/輸出組成，實(shí)現(xiàn)配線管理，為連接其它子系統(tǒng)提供手段。跳線采用超 5類非屏蔽雙絞線，RJ45 接頭。 管理子系統(tǒng)（Administration）及其網(wǎng)絡(luò)設(shè)計(jì)管理子系統(tǒng)，由交連、互連和 I/O 組成。在較大型的綜合布線中，可以將計(jì)算機(jī)設(shè)備、數(shù)字程控交換機(jī)、樓宇自控設(shè)備主機(jī)分別設(shè)置機(jī)房，把與綜合布線密切相關(guān)的硬件設(shè)備放置在設(shè)備間，計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的機(jī)房放在距離設(shè)備間不遠(yuǎn)的位置。設(shè)備間的主要設(shè)備有數(shù)字程控交換機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、服務(wù)器、樓宇自控設(shè)備主機(jī)等等。 學(xué)院校園網(wǎng)規(guī)劃方案28 設(shè)備間子系統(tǒng)（Equipment Room）及其網(wǎng)絡(luò)設(shè)計(jì)設(shè)備間子系統(tǒng)，由電纜、連接器和相關(guān)支撐硬件組成。垂直主干采用 25 對(duì)大對(duì)數(shù)線纜時(shí)，每條 25 對(duì)大對(duì)數(shù)線纜對(duì)于某個(gè)樓層而言是不可再分的單位。用主干電纜提供樓層之間通信的通道，使整個(gè)布線系統(tǒng)組成一個(gè)有機(jī)的整體。垂直干線子系統(tǒng)由連接主設(shè)備間至各樓層配線間之間的線纜構(gòu)成。干線子系統(tǒng)可以使用的線纜主要有：HAY 三類大對(duì)數(shù)電纜；安普公司的超五類或六類雙絞線；TCL 室內(nèi)單?；蚨嗄９饫w。該方案選擇安普公司的超五類非屏蔽雙絞線纜?！　‰p絞線水平布線鏈路中，水平電纜的最大長度為 90m。選擇配線子系統(tǒng)的線纜，要根據(jù)建筑物內(nèi)具體信息點(diǎn)的類型、容量、帶寬和傳輸速率來確定。工作區(qū)的終端設(shè)備（如：電話機(jī)、傳真機(jī)）選用安普公司的超五類雙絞線直接與工作區(qū)內(nèi)的每一個(gè)信息插座相連接，或用適配器（如 ISDN 終端設(shè)備） 、平衡/非平衡轉(zhuǎn)換器進(jìn)行轉(zhuǎn)換連接到信息插座上。例如：對(duì)于一個(gè)辦公區(qū)內(nèi)的每個(gè)辦公點(diǎn)可配置 2～3 個(gè)信息點(diǎn)，此外應(yīng)為此辦公區(qū)配置 3～5 個(gè)專用信息點(diǎn)用于工作組服務(wù)器、網(wǎng)絡(luò)打印機(jī)、傳真機(jī)、視頻會(huì)議等。信息點(diǎn)由標(biāo)學(xué)院校園網(wǎng)規(guī)劃方案27準(zhǔn) RJ45 插座構(gòu)成。結(jié)構(gòu)化綜合布線一般劃分為六個(gè)子系統(tǒng)。 結(jié)構(gòu)化綜合布線系統(tǒng)的組成及設(shè)計(jì)綜合布線系統(tǒng)（PDS，Premises Distribution System）是一套開放式的布線系統(tǒng)，可以支持幾乎所有的數(shù)據(jù)、語音設(shè)備及各種通信協(xié)議，同時(shí)，由于 PDS 充分考慮了通信技術(shù)的發(fā)展，設(shè)計(jì)時(shí)有足夠的技術(shù)儲(chǔ)備，能充分滿足用戶長期的需求，應(yīng)用范圍十分廣泛。經(jīng)濟(jì)性：經(jīng)濟(jì)性即系統(tǒng)經(jīng)濟(jì)、使用簡單、維護(hù)方便、管理成本低，布線出口方式美觀、耐用、防塵。開放性：結(jié)構(gòu)化布線系統(tǒng)能滿足任何特定建筑物及通信網(wǎng)絡(luò)的布線要求,完全開放化,既支持集中式網(wǎng)絡(luò)系統(tǒng),又支持分布式網(wǎng)絡(luò)系統(tǒng),支持不同廠家、不同類別的網(wǎng)絡(luò)產(chǎn)品；為用戶提供統(tǒng)一的局域網(wǎng)和廣域網(wǎng)接口,滿足目前要求和未來發(fā)展的需要。系統(tǒng)不僅能支持現(xiàn)有常規(guī)的計(jì)算機(jī)網(wǎng)絡(luò)、電腦終端、電話、傳真、攝像機(jī)、控制設(shè)備等通信需要，而且能支持未來的語音、視頻、數(shù)據(jù)多網(wǎng)融合的局域網(wǎng)技術(shù)和接入網(wǎng)技術(shù)，具有適應(yīng)未來需求，平穩(wěn)過度到增強(qiáng)型分布技術(shù)的智能型布線系統(tǒng)。系統(tǒng)可方便地設(shè)置雷電、異常電流和電壓保護(hù)裝置，使設(shè)備免受破壞。方便性：設(shè)備變遷時(shí)要有高度的靈活性、管理的方便性,能在設(shè)備布局和需要發(fā)生變化時(shí)實(shí)施靈活的線路管理,能夠保證系統(tǒng)很容易擴(kuò)充和升級(jí)而不必變動(dòng)整體配線系統(tǒng),能夠提供有效的工具和手段，以簡單、方便地進(jìn)行線路的分析、檢測(cè)和故障隔離，當(dāng)故障發(fā)生時(shí)，可迅速找到故障點(diǎn)并加以排除。布線系統(tǒng)要既能滿足現(xiàn)階段技術(shù)水平應(yīng)用的需要，也能滿足未來多媒體大量的聲音、圖像、數(shù)據(jù)傳輸?shù)男枰?。先進(jìn)性：布線系統(tǒng)應(yīng)適應(yīng)綜合布線技術(shù)發(fā)展的潮流,能為數(shù)據(jù)及高清晰圖像信息提供高速及寬帶的傳輸能力,適應(yīng)異步傳輸模式(ATM)。可為用戶提供可視圖文、電子信箱、中國公用分組交換數(shù)據(jù)網(wǎng)(CHINAPAC)接口,為用戶提供電子數(shù)據(jù)交換(EDI)等各種服務(wù)的傳輸平臺(tái),為實(shí)現(xiàn)無紙辦公創(chuàng)造條件。 功能性：為用戶提供快捷、開放、易于管理的語音與數(shù)據(jù)信息基礎(chǔ)傳輸平臺(tái)。實(shí)用性：實(shí)施后的校園網(wǎng)控制系統(tǒng)，其所有的子系統(tǒng)，諸如綜合布線系統(tǒng)，數(shù)據(jù)通訊，都滿足國際標(biāo)準(zhǔn)，具有良好的用戶使用界面。其特點(diǎn)主要表現(xiàn)為它的實(shí)用性、功能性、先進(jìn)性、靈活性、方便性、可靠性、擴(kuò)展性、開放性、標(biāo)準(zhǔn)化、經(jīng)濟(jì)性和生命周期。為此,在網(wǎng)絡(luò)中心配置了一套山特 C3KVA/2100W 的 UPS 電源。允許從內(nèi)網(wǎng)訪問 DMZ（非軍事）區(qū)，端口全開放允許從 DMZ（非軍事）區(qū)訪問 inter，端口全開放禁止從 DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。許從公網(wǎng)到 DMZ（非軍事）區(qū)的訪問請(qǐng)求：WEB 服務(wù)器只開放 80 端口，mail 服務(wù)器只開放 25 和 110 端口。表 41 安全接入和配置方法訪問方式 保證網(wǎng)絡(luò)設(shè)備安全的方法 備注Console 控制接口的訪問設(shè)置密碼和超時(shí)限制建議超時(shí)限制設(shè)成 5 分鐘進(jìn)入特權(quán) exec 和設(shè)備配置級(jí)別的命令行配置 Radius 來記錄 logon/logout 時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用tel 訪問采用 ACL 限制，指定從特定的 IP 地址來進(jìn)行 tel訪問；配置 Radius 安全紀(jì)錄方案；設(shè)置超時(shí)限制SSH 訪問激活 SSH 訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸WEB 管理訪問 取消 Web 管理功能SNMP 訪問常規(guī)的 SNMP 訪問是用 ACL 限制從特定 IP 地址來進(jìn)行 SNMP 訪問；記錄非授權(quán)的 SNMP 訪問并禁止非授權(quán)的 SNMP 企圖和攻擊為增加安全,建議更改缺省的SNMP Commutiy學(xué)院校園網(wǎng)規(guī)劃方案24子串設(shè)置不同賬號(hào) 通過設(shè)置不同的賬號(hào)的訪問權(quán)限，提高安全性 拒絕服務(wù)的防止網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、Smurf 攻擊等；網(wǎng)絡(luò)設(shè)備的防 TCP SYN 的方法主要是配置網(wǎng)絡(luò)設(shè)備 TCP SYN 臨界值，若多于這個(gè)臨界值，則丟棄多余的 TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo 請(qǐng)求(directed broadcast)和設(shè)置 ICMP 包臨界值，避免成為一個(gè) Smurf 攻擊的轉(zhuǎn)發(fā)者、受害者。 網(wǎng)絡(luò)安全策略配置 安全接入和配置安全接入和配置是指在物理(控制臺(tái))或邏輯(tel)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過認(rèn)證和授權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。故障定位與地址反查：針對(duì)最為常見的端口故障，Quidview 網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測(cè)工具——路徑跟蹤和端口環(huán)回測(cè)試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對(duì)指定用戶端口做環(huán)回測(cè)試，直接定位端口故障。學(xué)院校園網(wǎng)規(guī)劃方案23集群管理：針對(duì)大量二層交換機(jī)設(shè)備的應(yīng)用環(huán)境，Quidview 網(wǎng)絡(luò)管理軟件提供集群管理功能，通過一個(gè)指定公網(wǎng) IP 的設(shè)備（稱作命令交換機(jī)）對(duì)網(wǎng)絡(luò)進(jìn)行管理。當(dāng)升級(jí)軟件版本時(shí)，可以利用 Quidview 集中備份設(shè)備運(yùn)行軟件，然后進(jìn)行批量升級(jí)。設(shè)備軟件升級(jí)管理：Quidview 提供完善的設(shè)備軟件備份升級(jí)控制機(jī)制。這樣就給網(wǎng)絡(luò)管理員管理、維護(hù)網(wǎng)絡(luò)帶來一定的困難。 服務(wù)器監(jiān)視管理：服務(wù)器是企業(yè) IP 架構(gòu)中的重要組成部分，通過 Quidview，可實(shí)現(xiàn)服務(wù)器與設(shè)備的統(tǒng)一管理。通過性能任務(wù)的配置，可自動(dòng)獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性能的門限，當(dāng)性能超過門限時(shí)，可以以告警的方式通知網(wǎng)管系統(tǒng)。故障管理：故障管理主要功能是對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。支持多種操作系統(tǒng)平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成，實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理。Quidview 網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)” 。 　 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理的內(nèi)容網(wǎng)絡(luò)故障管理；網(wǎng)絡(luò)配置管理；網(wǎng)絡(luò)性能管理；網(wǎng)絡(luò)計(jì)費(fèi)管理；網(wǎng)絡(luò)安全管理。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段，防止一個(gè)網(wǎng)段的問題穿過整個(gè)網(wǎng)絡(luò)傳播。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中，才能實(shí)現(xiàn)真正的安全。其基本功能有：過濾進(jìn)、出的數(shù)據(jù)；管理進(jìn)、出的訪問行為；封堵某些禁止的業(yè)務(wù)等。實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。 網(wǎng)絡(luò)安全防范措施為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)之間最好設(shè)置訪問隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進(jìn)行網(wǎng)絡(luò)安全檢測(cè)，以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和學(xué)院校園網(wǎng)規(guī)劃方案21軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。如 Windows 的安全漏洞便有很多；電磁輻射。軟件不可能沒有安全漏洞和設(shè)計(jì)缺陷，這些漏洞和缺陷最易受到黑客的利用。這會(huì)妨礙合法用戶正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)；病毒與惡意攻擊。使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用；干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享；冒充合法用戶。 威脅網(wǎng)絡(luò)安全因素分析計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括：“黑客”的攻擊；計(jì)算機(jī)病毒；拒絕服務(wù)攻擊（Denial of Service Attack） 。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。為了保證主機(jī)之間數(shù)據(jù)交換的快速和