【正文】 外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)。光纖接入是一種在校園網(wǎng)建設(shè)中普遍使用的一種技術(shù)，它是通過構(gòu)建專用的 Inter 服務(wù)器來實現(xiàn)的，在服務(wù)器上運行各種網(wǎng)絡(luò)服務(wù)軟件，為校園內(nèi)部的用戶提供 Inter 的接入服務(wù)。 ADSL 是一種非對稱的寬帶網(wǎng)絡(luò)數(shù)據(jù)傳輸技術(shù)，它的一個明顯優(yōu)勢是經(jīng)濟上實用。因此校園網(wǎng)和 Inter 的連接技術(shù)就顯得十分重要了，它關(guān)系到校園網(wǎng)與外部網(wǎng)絡(luò)能能否進行可靠的連接。在校園網(wǎng)中一般情況下都用 Windows NT/2021 網(wǎng)絡(luò)操作系統(tǒng)，因為它是圖形化的操作界面、使用簡單、安全可靠，以及和普及率很 高 Windows 系列單機操作系統(tǒng)的兼容性很好。 網(wǎng)絡(luò)操作系統(tǒng) 網(wǎng)絡(luò)操作系統(tǒng) NOS（ Network Operating System）是在計算機操作系統(tǒng)的基礎(chǔ)上，加上一些具有實現(xiàn)網(wǎng)絡(luò)訪問和控制功能的模塊以及相關(guān)的數(shù)據(jù)通信協(xié)議，是使網(wǎng)絡(luò) 19 上各計算機能夠方便有效地共享網(wǎng)絡(luò)資源、為網(wǎng)絡(luò)用戶提供所需的各種服務(wù)軟件和規(guī)程的集合。測試主要依據(jù) TIA/EIA 568A 以及《建筑及建筑群結(jié)構(gòu)化布線系統(tǒng)工程驗收規(guī)范》來進行，測試內(nèi)空包括線纜的長度、接線圖、信號衰減、近端串?dāng)_、信噪比等。管理子系統(tǒng)內(nèi)有部分主干布線和部分水平線的機械終端，為無源或有源或用于兩個系統(tǒng)連接的設(shè)備提供設(shè)施。 管理子系統(tǒng)設(shè)置在配線設(shè)備和機房內(nèi)，管理子系統(tǒng)由配線間、輸入 /輸出（ I/O）設(shè)備等組成。這一部分布線系統(tǒng)可以采用架空電纜、直埋電纜或地下管道內(nèi)穿電纜，或者是這三者的任何組合，具體使用看施工現(xiàn)場而定。垂直子系統(tǒng)的連接可用多根雙絞線形成集束穿過豎井進入水平子系統(tǒng)，外用線槽以保護和固定。結(jié)構(gòu)化系統(tǒng)的布線是放射型的，線纜量較大，所以線槽量的計算是很重要的，按照標(biāo)準(zhǔn)的線槽設(shè)計方法，應(yīng)根據(jù)水平線的外徑來確定線槽的容量，即：線槽的橫截面積 =水平線截面積之和 *3 。電纜橋架應(yīng)高出地面 米以上，橋架頂部距頂棚或其他障礙物不應(yīng)小于 。 水平子系統(tǒng)是將樓層配線間路延伸到用戶工作區(qū)，并連向各個信息插座。整個布線工程分為工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直子系統(tǒng)，建筑子系統(tǒng)和管理子系統(tǒng)來施工的。 18 光纖布線主要是用在建筑物之間或樓層之間，這些建筑的距離一般都比較遠(yuǎn)，超出了雙絞線的連接距離，具體情況要看信息點的分布和數(shù)量以及對網(wǎng)絡(luò)帶寬的要求來決定。一次性布線，可保證在十五到二十年之內(nèi)，其系統(tǒng)性能不會下降，功能也不會落后，真正達到一次投資，長期受益。 布線系統(tǒng)的主要是依據(jù)建筑物的分布圖，國際商務(wù)建筑線纜標(biāo)準(zhǔn)（ TIA/ELA 586A ）和《建筑與建筑物綜合布線系統(tǒng)工程設(shè)計規(guī)范》來設(shè)計的。 1． 布線系統(tǒng)設(shè)計 結(jié)構(gòu)化布線系統(tǒng)的組成：網(wǎng)絡(luò)系統(tǒng)的正常運行主要取決于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路，對于網(wǎng)絡(luò)系統(tǒng)來說，采用結(jié)構(gòu)化布線系統(tǒng)能夠很好地滿足需求，特別是從計算機網(wǎng)絡(luò)系統(tǒng)可靠運行的角度來說，布線系統(tǒng)的可靠性決定了網(wǎng)絡(luò)系統(tǒng)通信信道的可靠性，它是計算機網(wǎng)絡(luò)系統(tǒng) 可靠運行的前提。組網(wǎng)絡(luò)技術(shù)在整個網(wǎng)絡(luò)的建設(shè)過程中是最重 要的階段之一，它直接關(guān)系到建設(shè)出來的網(wǎng)絡(luò)系統(tǒng)能否達到設(shè)計要求，能不能投入使用這樣嚴(yán)重的問題，如在組網(wǎng)中有不按規(guī)范和標(biāo)準(zhǔn)來施工的話，建出的網(wǎng)絡(luò)系統(tǒng)的質(zhì)量是達不到設(shè)計要求，是不能滿足用戶需求的。因而它的優(yōu)點也是十分突出的，主要是當(dāng)網(wǎng)絡(luò)中某個節(jié)點出現(xiàn)故障時不會影響整個網(wǎng)絡(luò)的運行，這使得網(wǎng)絡(luò)從總體上可以提供高度的可靠性和沉佘性，這個性能十分適合校園網(wǎng)這種應(yīng)用環(huán)境，也是校園網(wǎng)的建設(shè)中必須要求做到的。環(huán)型拓?fù)浣Y(jié)構(gòu)是令牌環(huán)網(wǎng)絡(luò)技術(shù)所常用的一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，環(huán)型結(jié)構(gòu)的缺點與總線型的缺點是差不多的，也是一種不太常用的網(wǎng)絡(luò)拓?fù)?。在總線型網(wǎng)絡(luò)中，由于各計算機 共享一條通信電纜，而且不需要額外的通信設(shè)備，因此，可以節(jié)約組網(wǎng)費用。綜全以上對高速網(wǎng)絡(luò)技術(shù)的分析，我認(rèn)為在當(dāng)前校園網(wǎng)的建設(shè)中應(yīng)以建設(shè)和使用 100Mbps 快速以太網(wǎng)為主，在局部主干上使用千兆技術(shù)進行連接。經(jīng)過多年發(fā)展，形成了完善的 10Mbps、 100Mbps 和千兆以太網(wǎng)技術(shù)，同時還由共享式的網(wǎng)絡(luò)發(fā)展成為交換式的以太網(wǎng)，具備與 FDDI、 ATM 網(wǎng)絡(luò)融合的多種方法與規(guī)范。但在實際使用事因端口價格過高，難以大規(guī)模采用。 FDDI 是幾年前十分流行的高速網(wǎng)絡(luò)技術(shù)，雖然技術(shù)十分成熟，但網(wǎng)絡(luò)管理復(fù)雜且成本較高，現(xiàn)已被逐漸淘汰。要求系統(tǒng)兼容性好，易于平滑連接，避 免網(wǎng)絡(luò)瓶頸。下面根據(jù)前面介紹過的各種網(wǎng)絡(luò)技術(shù)來進行校園網(wǎng)組建技術(shù)的選擇。無論從網(wǎng)絡(luò)的安全性和 IP 地址的可管理性來考慮，還是從有效利用 IP 地址 資源的角度來考慮，將整個校園網(wǎng)劃分為多個子網(wǎng)網(wǎng)段并對 IP 地址資源進行有效管理都是十分必要的。當(dāng)我們確定網(wǎng)絡(luò)控制中心的位置后，就應(yīng)該考慮如何把校園內(nèi)的信息點連到網(wǎng)絡(luò)控制中心以及各種設(shè)備的連接速率和網(wǎng)絡(luò)使用的拓?fù)浣Y(jié)構(gòu)等，網(wǎng)絡(luò)系統(tǒng)所使用來連接各種網(wǎng)絡(luò)設(shè)備的傳輸介質(zhì)也是需要考慮的問題。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計對于整個網(wǎng)絡(luò)系統(tǒng)來說是十分重要的，它設(shè)計的成功與否都直接影響網(wǎng)絡(luò)的使用功能的實現(xiàn)以及網(wǎng)絡(luò)是否能滿足 網(wǎng)絡(luò)的需求。 （ 2）近期目標(biāo) 近期目標(biāo)就是根據(jù)實際需求來設(shè)計和建設(shè)校園網(wǎng)，使建設(shè)好后的校園網(wǎng)能滿足實際需求所應(yīng)有的功能和規(guī)模，同時又要考慮將來能對校園網(wǎng)進一步的升級改造或者是后期工程的建設(shè)，系統(tǒng)近期目標(biāo)是需求分析的重點。主要原因是受資金的限制（這是在建設(shè)校園網(wǎng)時普遍遇到的問題）和技術(shù)發(fā)展的影響（因為隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，校園網(wǎng)總會有進行升級的需求）。校園網(wǎng)具體的需求分析有如下幾點： （ 1） 總體目標(biāo) 對于一個校園網(wǎng)來說，系統(tǒng)的總體目標(biāo)就是在一個時期內(nèi)，當(dāng)校園網(wǎng)完全建設(shè) 15 好后所要達到的功能和具有的規(guī)模。需求分析 是如何設(shè)計、建設(shè)和應(yīng)用校園網(wǎng)的關(guān)鍵。 2． 校園網(wǎng)的需求分析 在著手設(shè)計一個校園網(wǎng)或者計算機局域網(wǎng)時，其主要依據(jù)就是網(wǎng)絡(luò)用戶（學(xué)校）的需求及將要建設(shè)的網(wǎng)絡(luò)系統(tǒng)的特點。 1． 校園網(wǎng)的應(yīng)用特點 隨著現(xiàn)代化教學(xué)活動的開展和與國內(nèi)外教學(xué)機構(gòu)交往的增多，對通過網(wǎng)絡(luò)進行信息交流的需求越來越迫切，為促進教學(xué)、方便管理和進一步發(fā) 揮師生的創(chuàng)造力，校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機構(gòu)的必然選擇。 14 技術(shù)方案 校園網(wǎng)的建設(shè)規(guī)劃 校園網(wǎng)建設(shè)作為一項復(fù)雜的系統(tǒng)工程，與任何一項工程建設(shè)一樣，在開始建設(shè)前都要根據(jù)工程的特點事先進行詳細(xì)的工程規(guī)化與技術(shù)需求分析，它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運行都有直接的關(guān)系，因此要特別認(rèn)真地進行系統(tǒng)規(guī)劃。 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 根據(jù)校園網(wǎng)的需求分析及建設(shè)目標(biāo)，本設(shè)計方案采用交換式千兆以太網(wǎng)作為主干，百兆交換到桌面。 接入層；在網(wǎng)絡(luò)接入層中我們選用了一臺 Cisco 3660 路由器作為廣域互連和外部用戶撥號訪問網(wǎng)關(guān)，其中主 要采用了兩種接入方式分別實現(xiàn)各自功能： 1. ADSL 接入方式。另一塊WSX6408GBIC 的 8 端口千兆以太光纖模塊 將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。一塊 WSX6KS1AMSFC2 交換引擎是交換機的心臟，它控制交換機的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 網(wǎng)絡(luò)核心層：用一臺 Cisco 的高端三層交換機 Catalyst 6506 作為整個交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計算機 網(wǎng)絡(luò)系統(tǒng)成為一個具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺。選擇 Cisco 3662 作為計算機網(wǎng)絡(luò)系統(tǒng) DDN、 ISDN 訪問路由器，既可以滿足上級單位 Inter 的 DDN、 ISDN 接入的需求，又可以滿足繼續(xù)擴展的需求?？梢酝ㄟ^千兆的光纖鏈路連接到核心交換機，而所有的用戶終端可以通過 10/100M 自適應(yīng)通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交換機上。 關(guān)鍵設(shè)備 在產(chǎn)品選購之前一定要經(jīng)過認(rèn)真的分析，這次參與組網(wǎng)的機構(gòu)選用美國 Cisco公司的 Catalyst 6506 作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機， Catalyst 6506 是大容量的具有高交換能力的第三層模塊化交換機， Catalyst 6506 的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。 統(tǒng)一性在系統(tǒng)的設(shè)計過程中，堅持 三統(tǒng)一 ，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。其設(shè)計方案應(yīng)注意以下原則： 實用性校園網(wǎng)設(shè)計應(yīng)能滿足學(xué)校目前對網(wǎng)絡(luò)應(yīng)用的要求，充分實現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握。此外每臺接入 Hub 的計算機 ,都要檢測接收到的數(shù)據(jù) 目的地址 ,以確認(rèn)是否是收到自己的通信信息 ,因此計算機 CPU占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級別應(yīng)用。因此有條件的話可選用交換機。 RJ45 是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口， RJ45 的接口酷似電話線的接口，但網(wǎng)絡(luò)線使用的是 8芯的接頭，使用 RJ45 的缺點是架設(shè)成本高，但安裝和維護較為方便，因此我們一般使用 RJ45 接口。目前 10Mbps ISA 插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份額，但由于 10Mbps ISA 插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低，且占用大量的 CPU 資源，只適應(yīng)于那些對速度要求不高的局域網(wǎng)，因此用 100Mbps PCI 插口的網(wǎng)卡或者10Mbps/100Mbps 自適應(yīng)網(wǎng)卡，夠適應(yīng)于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。當(dāng)然也可以借助 Wingate 或 Sygate 等軟件多機共享一臺 Modem 上網(wǎng)；或者通過代理服務(wù)器連上 Inter，享受非一般的速度。學(xué)校建立了一套校園網(wǎng)絡(luò)安全 系統(tǒng) ，制定詳細(xì)的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的執(zhí)行，并定期對校內(nèi)教師進行計算機網(wǎng)絡(luò)安全知識培訓(xùn)，或發(fā)放常 見病毒解決方案等。首先，加強網(wǎng)絡(luò)安全知識的培訓(xùn)和普及；其次，是健全完善管理制度和相應(yīng)的考核機制，以提高網(wǎng)絡(luò)管理的效率。 加強網(wǎng)絡(luò)安全管理。 數(shù)據(jù)加密 。 漏洞掃描。入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。 入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻 擊。 (4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則 . (2）禁止訪問系統(tǒng)級別的服務(wù) ( 如 HTTP , FTP 等 )。 在與 Inter 相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。同時，可以限制外來的垃圾郵件。 內(nèi)容過濾器。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。 （ 4）網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。 （ 2）在各辦公室分別安 裝 殺毒軟件的 客戶端。為了實現(xiàn)這一點，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能 .。 殺毒軟件。 [2] 校園網(wǎng)絡(luò)安全措施 前述各種網(wǎng)絡(luò)安全威脅，都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā)起攻擊的。 根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度 。 9 嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理 。 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。對于出口進行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實施。 校園網(wǎng)安全管理 針對目前高校校園網(wǎng)安 全現(xiàn)狀的認(rèn)識與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。 作為高等院校，如何構(gòu)筑相對可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突出了。 國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡(luò)時期，一方面因為意識與資金方面的原因，以及對 技術(shù)的偏好和運營意識的不足，普遍都存在 “ 重技術(shù)、輕安全、輕管理 “ 的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。因而 對目錄共享安全意識的單薄， 會 導(dǎo)致了信息的外泄 。這也成了數(shù)據(jù)資料安全的一個隱患。 3) 目錄共享導(dǎo)致信息的外泄 , 在校園網(wǎng)絡(luò)中，利用在對等網(wǎng)中對計算機中的某個目錄設(shè)置共享進行資料的傳輸與共享是人們常采用的一個方法。 2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安全 。無論哪種方式，都對網(wǎng)絡(luò)安全造成很大的危害。它是威力最強大的拒絕服務(wù)攻擊方式，其主要采用多臺服務(wù)器對同一網(wǎng)絡(luò)同時發(fā)起攻擊 ， 導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。借助機器對某些消息為進行錯誤校驗來攻擊服務(wù)器。