【正文】 6號(hào)樓：共有 48個(gè)信息點(diǎn) 6號(hào)樓 1層 ～ 14 NAT Dhcp 6號(hào) 樓 2層 ～ 30 NAT Dhcp 6號(hào)樓 3層 ～ 46 NAT Dhcp 6號(hào)樓 4層 ～ 78 NAT Dhcp 7號(hào)樓：共有 34個(gè)信息點(diǎn) 7號(hào)樓 1層 ～ 6 NAT Dhcp 7號(hào)樓 2層 ～ 38 NAT dhcp 7號(hào)樓 3層 ～ 54 NAT Dhcp 7號(hào)樓 4層 ～ 62 NAT Dhcp 研究生樓：共有 90個(gè)信息點(diǎn) 研究生樓 1層 ～ 6 NAT Dhcp 研究生樓 2層 ～ 38 NAT Dhcp 研究生樓 3層 ～ 70 NAT Dhcp 研究生樓 4層 ～ 102 NAT Dhcp 研究生樓 5層 ～ 134 NAT Dhcp 電鏡樓：共有 20個(gè)信息點(diǎn) 電鏡樓 1層 ～ 6 NAT Dhcp 電鏡樓 2層 ～ 22 NAT Dhcp 電鏡樓 3層 ～ 30 NAT Dhcp 電鏡樓 4層 ～ 38 NAT Dhcp 公共衛(wèi)生樓：共有 61個(gè)信息點(diǎn) 公衛(wèi)樓 2層 ～ 14 NAT Dhcp 21 公衛(wèi)樓 3層 ～ 22 NAT Dhcp 公衛(wèi)樓 4層 ～ 38 NAT Dhcp 公衛(wèi)樓 5層 ～ 54 NAT dhcp 公衛(wèi)樓 6層 ～ 70 NAT Dhcp 公衛(wèi)樓 7層 ～ 86 NAT Dhcp 公衛(wèi)樓 8層 ～ 102 NAT dhcp 服務(wù)器集群 ～ 14 NAT 手動(dòng)分配 連接點(diǎn) S1— — 中 1 S1—— 中 2 S2—— 中 1 S2—— 中 2 S3—— 中 1 S3—— 中 2 S4—— 中 1 S4—— 中 2 中 1—— 防 中 2—— 防 防 —— 路 物理 /鏈路層配置原則 物理 /鏈路層配置遵循下面的原則： 1. 網(wǎng)絡(luò)設(shè)備互連的物理端口都應(yīng)該綁定端口的速率和全雙工模式； 2. 建議所有的 Vlan 都不要穿透核心層，所有的 Vlan 都將在匯聚層交換機(jī)上終結(jié)； 3. 本實(shí)施方案建議不要啟用 STP 生成樹協(xié)議，由于所有的 Vlan 都已在匯聚層交換機(jī)終結(jié)，在二層上并沒有環(huán)路存在，故無必要啟用；如果開啟基于每個(gè) Vlan 的生成樹協(xié)議，廣播報(bào)文將會(huì)很多，影響核心交換機(jī)性能和網(wǎng)絡(luò)收斂時(shí)間； 4. 所有核心層和匯聚層交換機(jī)之間的互連端口均設(shè)置為 Trunk模式，但目前只容許互連 Vlan 通過，以應(yīng)付將來有 Vlan 穿越核心層這種情況； 5. 匯聚層交換機(jī)和接入交換機(jī)之間的互連端口設(shè)置為 Trunk 模式。來源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。 22 威脅網(wǎng)絡(luò)安全因素分析 計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括： 1.“黑客”的攻擊； 2. 計(jì)算機(jī)病毒； 3. 拒絕服務(wù)攻擊（ Denial of Service Attack）。指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。 冒充合法用戶。 破壞數(shù)據(jù)的完整性。 干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。這會(huì)使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格響應(yīng)時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)。指通過網(wǎng)絡(luò)傳播病毒或惡意 Java、 active X等，其破壞性非常高，而且用戶很難防范。軟件不可能沒有安全漏洞和設(shè)計(jì)缺陷，這些漏洞和缺陷最易受到黑客的利用。如 Windows 的安全漏洞便有很多。電磁輻 射對(duì)網(wǎng)絡(luò)信息安全有兩方面影響。另一方面，電磁泄漏可以導(dǎo)致信息泄露。 1 瑞星殺毒軟件網(wǎng)絡(luò)版 1. 超強(qiáng)病毒查殺 2. 智能主動(dòng)防御 3. 增強(qiáng)型全網(wǎng)漏洞管理 4. 強(qiáng)大的網(wǎng)絡(luò)管理能力是網(wǎng)絡(luò)安全的基礎(chǔ)部署 、 控制 、 執(zhí)行 、 升級(jí) 、 報(bào)告和日志 、 二次開發(fā) 。 瑞星全功能 NP 防火墻整合了多種安全防護(hù)功能，是建構(gòu)中小型企業(yè)網(wǎng)絡(luò)的最佳選擇。通過架設(shè)瑞星全功能 NP 防火墻，可以保護(hù)用戶的網(wǎng)絡(luò)免于黑客的攻擊，同 時(shí)也幫助用戶利用因特網(wǎng)的資源建構(gòu)網(wǎng)絡(luò)安全機(jī) 23 制及虛擬專網(wǎng)服務(wù)，還提供了不同等級(jí)的網(wǎng)絡(luò)帶寬管理，讓一些特殊的應(yīng)用服務(wù)可以確保使用帶寬。瑞星 RIDS100入侵檢測系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，另外 RIDS100 入侵檢測系統(tǒng)可以與防火墻聯(lián)動(dòng)，自動(dòng)配置防火墻策略，配合防火墻系統(tǒng)使用，可以全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。用戶在對(duì)系統(tǒng)進(jìn)行管理時(shí)必須插入自己的鑰匙并輸入正確的口令 。 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理就是指監(jiān)督 、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動(dòng)的總稱。 網(wǎng)絡(luò)管理的手段 在校園網(wǎng)絡(luò)管理方面，為了便于校園網(wǎng)絡(luò)管理人員的管理及維護(hù)，我們選購 Quidview網(wǎng)絡(luò)管理軟件 。 Quidview網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計(jì)， 通過安裝不同的業(yè)務(wù)組件實(shí)現(xiàn)了設(shè)備管理、 VPN監(jiān)視與部署、軟件升級(jí)管理、配置文件管理、告警和性能管理等功能。 1. 網(wǎng)絡(luò)集中監(jiān)視 Quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。 3. 性能監(jiān)控 Quidview網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。通過統(tǒng)計(jì)不同線路、不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。 4. 設(shè)備配置文件管理 24 當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，網(wǎng)絡(luò)管理員的配置文件管理工作將十分繁重，如果沒有好的配置文件維護(hù)工具，網(wǎng)絡(luò)管理員就只能手動(dòng)備份配置 文件。 Quidview網(wǎng)絡(luò)配置中心支持對(duì)設(shè)備配置文件的集中管理，包括配置文件的備份、恢復(fù)以及批量更新等操作，同時(shí)還實(shí)現(xiàn)了配置文件的基線化管理，可以對(duì)配置文件的變化進(jìn)行比較跟蹤。使用 Quidview，管理員可以方便地查詢?cè)O(shè)備上運(yùn)行的軟件版本，并利用升級(jí)分析功能來確定設(shè)備運(yùn)行軟件是否需要升級(jí)。升級(jí)之后，可 以使用 Quidview進(jìn)行升級(jí)結(jié)果驗(yàn)證，確保升級(jí)操作萬無一失。 8. 堆疊管理 Quidview網(wǎng)絡(luò)管理軟件通過堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對(duì)大量設(shè)備的統(tǒng)一管理維護(hù)。 10. RMON管理 RMON管理根據(jù) RFC1757定義的標(biāo)準(zhǔn) RMONMIB及華為 3Com自定義告警擴(kuò)展 MIB對(duì)主機(jī)設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視管理。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表 19 安全接入和配置方法 訪問方式 保證網(wǎng)絡(luò)設(shè)備安全的方法 備注 Console控制接口的訪問 設(shè)置密碼和超時(shí)限制 建議超時(shí)限制設(shè)成 5分鐘 進(jìn)入特權(quán) exec 和設(shè)備配置級(jí)別的命令行 配置 Radius 來記錄 logon/logout 時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用 tel 訪問 采用 ACL限制，指定從特定的 IP 地址來進(jìn)行 tel訪問；配置 Radius安全紀(jì)錄方案；設(shè)置超時(shí)限制 SSH 訪問 激活 SSH 訪問，從而允許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸 WEB 管理訪問 取消 Web 管理功能 SNMP 訪問 常規(guī)的 SNMP 訪問是用 ACL 限 制從特定 IP 地址來進(jìn)行 SNMP 訪問；記錄非授權(quán)的 SNMP 訪問并禁止非授權(quán)的 SNMP企圖和攻擊 為增加安全 ,建議更改缺省的 SNMP Commutiy 子串 設(shè)置不同賬號(hào) 通過設(shè)置不同的賬號(hào)的訪問權(quán)限，提高安全性 拒絕服務(wù)的防止 網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、 Smurf 攻擊等；網(wǎng)絡(luò)設(shè)備 25 的防 TCP SYN的方法主要是配置網(wǎng)絡(luò)設(shè)備 TCP SYN 臨界值，若多于這個(gè)臨界值，則丟棄多余的TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo 請(qǐng)求 (directed broadcast)和設(shè)置 ICMP 包臨界值，避免成為一個(gè) Smurf 攻擊的轉(zhuǎn)發(fā)者、受害者。 2 允許從公網(wǎng)到 DMZ（非軍事）區(qū)的訪問請(qǐng)求： WEB 服務(wù)器只開放 80 端口， mail 服務(wù)器只開放25和 110端口。 4 允許從內(nèi)網(wǎng)訪問 DMZ（非軍事）區(qū)，端口全開放 5 允許從 DMZ（非軍事）區(qū)訪問 inter，端口全開放 6 禁止從 DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。 為此 ,在網(wǎng)絡(luò)中心配置了一套 山特 C3KVA/2100W 的 UPS 電源。其特點(diǎn)主要表現(xiàn)為它的 實(shí)用 性、 功能 性、 先進(jìn)性、 靈活性、 方便性、 可靠性、 擴(kuò)展 性 、開放性、標(biāo)準(zhǔn)化、 經(jīng)濟(jì)性 和生命周期 。 （ 1）實(shí)用性 實(shí)施后的校園網(wǎng)控制系統(tǒng)，其所 有的子系統(tǒng)，諸如綜合布線系統(tǒng)，數(shù)據(jù)通訊，都滿足國際標(biāo)準(zhǔn)，具有良好的用戶使用界面。 （ 2）功能性 為用戶提供快捷、開放、易于管理的語音與數(shù)據(jù)信息基礎(chǔ)傳輸平臺(tái)?？蔀橛脩籼峁┛梢晥D文、電子信箱、中國公用分組交換數(shù)據(jù)網(wǎng) (CHINAPAC)接口 ,為用戶提供電子數(shù)據(jù)交換 (EDI)等各種服務(wù)的傳輸平臺(tái) ,為實(shí)現(xiàn)無紙辦公創(chuàng)造條件。 （ 3）先進(jìn)性 布線系統(tǒng)應(yīng)適應(yīng)綜合布線技術(shù)發(fā)展的潮流 ,能為數(shù)據(jù)及高清晰圖像信息提供高速及寬帶的傳輸能力 ,適應(yīng)異步傳輸模式 (ATM)。布線系統(tǒng)要既能滿足現(xiàn)階段技術(shù)水平應(yīng)用的需要，也能滿足未來多媒體大量的聲音、圖像、數(shù)據(jù)傳輸?shù)男枰? （ 5）方便性 設(shè)備變遷時(shí)要有高度的靈活性、管理的方便性 ,能在設(shè)備布局和需要發(fā)生變化時(shí)實(shí)施靈活的線路管理 ,能夠保證系統(tǒng)很容易擴(kuò)充和升級(jí)而不必變動(dòng)整體配線系統(tǒng) ,能夠提供有效的工具和手段，以 26 簡單、方便地進(jìn)行線路的分析、檢測和故障隔離，當(dāng)故障發(fā)生時(shí)，可迅速找到故障點(diǎn)并加以排除。系統(tǒng)可方便地設(shè)置雷電、異常電流和電壓保護(hù)裝置，使設(shè)備免受破壞。系統(tǒng)不僅能支持現(xiàn)有常規(guī)的計(jì)算機(jī)網(wǎng)絡(luò)、電腦終端、電話、傳真、攝像機(jī)、控制設(shè)備等通信需要，而且能支持未來的語音、視頻、數(shù)據(jù)多網(wǎng)融合的局域網(wǎng)技術(shù)和接入網(wǎng)技術(shù)，具有適應(yīng)未來需求，平穩(wěn)過度到增強(qiáng)型分布技術(shù)的智能型布線系統(tǒng)。 （ 8）開放性 結(jié)構(gòu)化布線系統(tǒng)能滿足任何特定建筑物及通信網(wǎng)絡(luò)的布線要求 ,完全開放化 ,既支持集中式網(wǎng)絡(luò)系統(tǒng) ,又支持分布式網(wǎng)絡(luò)系統(tǒng) ,支持不同廠家、不同類別的網(wǎng)絡(luò)產(chǎn)品；為用戶提供統(tǒng)一的局域網(wǎng)和廣域網(wǎng)接口 ,滿足目前要求和未來發(fā)展的需要。 （ 10）經(jīng)濟(jì)性 經(jīng)濟(jì)性即系統(tǒng)經(jīng)濟(jì)、使用簡單、維護(hù)方便、管理成本低，布線出口方式美觀、耐用、防塵。 信息點(diǎn)分布和環(huán)境分析 XX 大學(xué) 的 信息點(diǎn)分布如下 ： 聯(lián)網(wǎng)各樓所在位置及信息點(diǎn)分布情況 1 層 2 層 3 層 4 層 5 層 6 層 7 層 8 層 1 號(hào)樓 2 4 12 10 2 號(hào)樓 10 3 號(hào)樓 18 29 42 5 辦公樓 17 13 12 18 圖書館 2 10 13 5 號(hào)樓 2 18 10 1 6 號(hào)樓 8 8 9 23 7 號(hào)樓 4 19 7 4 研究生樓 6 21 21 21 21 電鏡樓 4 8 4 公衛(wèi)樓 9 6 8 8 9 13 8 合計(jì) 501 環(huán)境分析 1 號(hào)樓、 2 號(hào)樓和 3 號(hào)樓距離較近，成 U 字型，即北 U 字型， 5 號(hào)樓、 6號(hào)樓和 7 號(hào)樓距離較近，也成 U 字型，即南 U字型，研究生樓在南 U 字型附近，辦公樓和圖書館樓處于校園網(wǎng)的中心位置，所以考慮 將核心交換機(jī)放置在辦公樓或圖書館樓，公共衛(wèi)生樓和 電鏡樓距離較近，距離北 27 U字樓也相對(duì)較近，所以考慮選擇采用光纖連接。而且結(jié)構(gòu)化綜合布線系統(tǒng)具有高度的靈活性，各種設(shè)備位置的改變， 局域網(wǎng) 的變化，不需重新布線，只要在配線間作適當(dāng)布線調(diào)整即可滿足需求。 如圖 3： T CT OT CM CE RE FI C管 理 子 系 統(tǒng)建 筑 群 子 系 統(tǒng)配 線 子 系 統(tǒng)干 線 子 系 統(tǒng)工 作 區(qū) 子 系 統(tǒng)設(shè) 備 間 子 系 統(tǒng)T O = 信 息 口 墻 座T C = 樓 層 配 線 間I C = 樓 外 設(shè) 備 連 接 室M C = 主 配 線 間E R = 設(shè) 備 間E F = 進(jìn) 線 設(shè) 備 間T O 工作區(qū)子系統(tǒng)（ Work Area）及其網(wǎng)絡(luò)設(shè)計(jì) 工作區(qū)子系統(tǒng) ， 是由 RJ45 跳線與信息插座所連接的設(shè)備組成。信息點(diǎn)數(shù)量應(yīng)根據(jù)工作區(qū)的實(shí)際功能及需求確定，并預(yù)留適當(dāng)數(shù)量的冗余。若此辦公區(qū)為商務(wù)應(yīng)用則信息點(diǎn)的帶寬為 100M 可滿足要求；若此辦公區(qū)為技術(shù)開發(fā)應(yīng)用則每個(gè)信息點(diǎn)應(yīng)為交換式 100M 甚至是光纖信息點(diǎn)。 配線 子系統(tǒng)（ Horizontal）及其網(wǎng) 絡(luò)設(shè)計(jì) 配線 子系統(tǒng) ， 是從工作區(qū)的信息插座開始到管理間子系統(tǒng)的配線架。在 配線 子系統(tǒng)中推薦采用的雙絞電纜及光纖型號(hào)為 : 安普公司的 超五類或六類非屏蔽雙絞線 , TCL 室內(nèi)單?；?多模光纖 。若