校园网规划与设计.docx

1、校园网规划与设计第一章：项目概述一、项目名称：邯郸县第一中学校园网络规划设计二、项目背景：邯郸县第一中学校园，校园占地104.65亩，教学楼两栋，宿舍楼2栋，食堂2个，超市1个，60个教学班。三、项目目标：建立好整个校园网,以及维护好整个校园网，规划好设计好整个校园网，以及对校园网的施工和综合布线。以及后期的维护。四、项目内容： 1.学校目前主要的网络应用包括文件共享服务，打印服务，财务管理，未来将实施internent应用，把各大分校区连接在一起，形成网络一体化，新增邮件服务.2.添置新的OA系统，完成教学的信息的采集、处理、查询、统计。对学校行政、人事、财务、工资、资产、档案、宿舍的管理，

2、以及提供必要的查询，并打印结果。3.校园接入网络后，新增WWW服务4.接入中国教育科研网CERNET.5校园网要求实现组播业务。 6. 系统应有高可靠性、安全性、可维护性和可扩充性，要具有良好的用户界面。7.子网分布：教育管理子网，图书馆资源子网，财务子网，科研子网，软件资源子网【容量800G 收录的视频1000G】第二章：网络需求分析一、校园网络应提供以下功能：1、接校内所有教学楼、办公楼中的PC。2、支持约1000用户浏览网站。3、提供受存取权控制的文件、档案查询服务。4、提供学校自己的管理信息系统（MIS）。5、提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。6、建立FTP，共

3、享教学资源，建立OA,便于办公，建立网络教学高速通道，达到网络教学，公共信息资源在线查询系统，以及成绩查询系统。二、校园网对主机系统的主要要求：1、主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力；2、主机系统应具有高的可靠性，能长时间连续工作，并有容错措施；3、支持通用大型数据库，如 SQL、Oracle 等；4、具有广泛的软件支持，软件兼容性好，并支持多种传输协议；5、能与 Internet 互联，可提供互联网的应用，如WWW浏览服务。6、支持 SNMP 网络管理协议，具有良好的可管理性和可维护性；三、校园系统设计方按应满足如下要求：1、网络方案应采用成熟的技术，并尽可能采用先

4、进的技术；2、合理分配带宽，使用户不受网上“塞车”的影响，主教学楼使用ADSL接入Internet，带宽大约10 MBIT/S,需要能接入因特网，以及校园网；3、应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力；4、该网络方案要具有高扩展性。能为用户未来数目的扩展具有调整、扩充的手段和方法；5、该网络应是面向连接的，能够实现虚拟网（VLAN）连接；6、考虑对用户现有网络的平滑过度，使学校现有陈旧设备尽量保持较好的利用价值；四、校园网对网络设备的要求：1、性能；所有网络设备都应有足够的吞吐量；2、可靠性和高可用性；应考虑多种容错技术；3、可管理性；所有网络设备均可用适当的

5、网管软件进行监控、管理和设置，采用国际统一的标准；五、系统集成所共同追求的设计目标：1、建成一个具有高可靠性和开放性的校园网络，它应支持流行的SNMP 等网络管理协议；2、采用 Internet 上的标准协议-TCP/IP 协议，提供校园内部及面向全球的WWW服务、FTP 服务、NEWS 服务、电子邮件服务，实现与国际互联网的完全接轨；3、同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；4、采用模块化结构设计，容易升级；六、综合布线需求分析标准综合布线系统标准是一个开发系统标准，它支持广泛的应用，保护用户以往的投资，综合布线系统遵循下列标准：EIA/TIA 568 民

6、用建筑布线标准 EIA/TIA 569 民用建筑通信通道及空间标准 ANSI/EIA/TIA-570 住宅及商业应用 ANSI/EIA/TIA-606 商业建筑电讯设施管理标准 ANSI/EIA/TIA-607 商业建筑电讯设施接地标准 TSB-67 非屏蔽双绞线布线系统传输性能测试标准 TSB-72 简明光纤布线指导 ISO/IEC DIS11801 建筑物通用布线系统 IEEE802.3 10BASET-T 10M双绞线以太网通信标准 IEEE802.3 100BASET-T 100M双绞线以太网通信标准 IEEE802.3 1000BASET-T 1000M双绞线以太网通信标准七、中心交

7、换机网络主干的网络设备选用1台锐捷RG-S9620千兆中心路由交换机，通过光纤与各楼宇二级交换机相连，形成星型结构千兆以太网的主干解决方案。它不仅可以同时满足铜缆、多模与单模接入的共存问题，而且具有较高的无阻塞的背板速率，支持全线速交换能力，较好的扩展性，可为邯郸第一中学的进一步扩容提供快捷与低成本的升级方式。八、锐捷RG-S9620千兆中心路由交换机具有以下特点：1）最小的代价满足需求，实现主干网络的1000M连接，同时还实现线速的2、3、4层交换能力。2）实现VLAN划分、应用级负载均衡等功能，并能保证性能不受影响。3）投入成本小，网络连接易于实现。4）预留一定数量的100M网络端口，便于

8、网络的扩展。九、路由器路由器我们根据学校的需求结果选择H3C RT-SR6608-H3型号的核心路由器。如下图：核心路由器H3C RT-SR6608-H3H3C RT-SR6608-H3主要参数路由器类型开放多核企业级路由器其他控制端口Console, AUX, USB扩展插槽18 Mpps路由器包转发率30个路由器网络协议支持静态路由, RIPv1/v2、RIPng, OSPFv2/v3, BGP、BGP4+, IS-IS、ISIS v6, 支持DHCP Server, DHCP Relay, DHCP Client, DNS Client, IPv6, NTP Server, NTP Cl

9、ient, Telnet Server, Telnet Client, TFTP Client, FTP Server, FTP Client, 二层协议等VPN功能支持VPN防火墙功能内置安全标准ACL, TCP, AAA, RADIUS, HWTACACS, IKE, PKI, RSA, SSH 1.5/2.0, IPSec机身重量50kg外观尺寸436468308mm第三章：通信子网规划设计一、拓扑结构邯郸第一中学网络配置系统图LIU五类单孔信息点五类双孔信息点光纤互连箱4层5层党办2层LIU6Ports6Ports6Ports教工办公室教务处3层LIU财务处LIULIU机房网络设备外线

10、出入口LIULIU网络设备8274/W938271/5248274/W938274/W938274/W938274/W938271/5248265CG8000 Internet 集成柜服务器CHINANETCHINANETDDN专线微机房1微机房2教学楼2二、主干网络设计（分解图）三、设计说明网络整体结构为分级星型结构，主交换机与子网交换机，子网交换机与网络工作站之间都是以星型结构连接。采用155M ATM做网络主干，采用10M交换以太网作为普通工作站的网络末端。网络中心交换机采用锐捷RG-S9620主干交换机，采用8274/8271以太网交换机作为到桌面的10M交换机。中心交换机放置在教学大

11、楼的主机房内。采用锐捷RG-S9620交换机，它有17个插槽，其中用户可用14个，该方案中配置了4块4口的155M ATM模块，4个电源模块。共有16个155M的ATM端口。其中10个155M的光纤口用来下连各层子网8274子网交换机，共计5台8274以太网交换机，主机和Intranet服务器连在8265的155MATM光纤SC端口上，各层工作站连在5台8274/8271交换以太网10M端口，网管工作站也连在10M交换以太口上。根据布线结构，在一层楼放置了1台IBM以太网交换机8274/W93，共配置了4块32端口的交换模块，即有128个10M交换口。我们在每一楼层的8274上配置了双端口的1

12、55M的ATM光纤口用来上连主干交换机8265。这样一来，主干网络的带宽有310M。二层楼放置了1台IBM以太网交换机8274/W93，共配置了7块32端口的交换模块，即有224个10M交换口。三层楼放置了1台IBM以太网交换机8274/W93，共配置了7块32端口的交换模块，即有224个10M交换口。和要求的232个10M交换口还不够，需增加1个有24个10M交换端口的交换机8271/524。这样一来，共有248个10M交换口和1个100M交换端口。四层楼放置了1台IBM以太网交换机8274/W93，共配置了7块32端口的交换模块，即有224个10M交换口。和要求的276个10M交换口还不够

13、，需增加2个有24个10M交换端口的交换机8271/524。这样一来，共有272个10M交换口和2个100M交换端口。五层楼放置了1台IBM以太网交换机8274/W93，共配置了7块32端口的交换模块，即有224个10M交换口。和要求的278个10M交换口还不够，需增加2个有24个10M交换端口的交换机8271/524。这样一来，共有272个10M交换口和2个100M交换端口。整个网络的Intranet服务器，它通过155M ATM连接在主干交换机8265上，为全校的师生提供WWW服务、E-mail服务、FTP服务等。整个网络的网管工作站采用一台IBMRS/6000 43P，它通过10M交换以

14、太口连至8274，采用TME10 Netview网管软件实现对整个网络的配置管理、工作状态监控等功能，实现对整个网络的全面管理。整个网络共配备16个155M ATM端口，1144个10M交换以太口，5个100M快速交换以太口。其中，10个155M ATM端口用于和下级交换机互连，6个155M ATM端口用于连接服务器或主机。8265上还有11个插槽可供以后扩展。WEB服务器视频服务器数据库/数据服务器网管工作站教学楼教学楼2教工1微机室室微机室2教工2教务处财务室党办Internet四、分布层/接入层设计使用防火墙分割内部网和外部网，限制级别访问内部WEB服务器，财务数据，以及OA系统。防火墙

15、采用天融信的NGFW4000-E-VPN(E)。面向中心骨干机构和复杂的高端流量环境。拥有内置的IPSEC加密、Web页面包护和负载均衡双机热备，提供强大的功能和安全保障。流量控制区域位置业务类型流量(Mbit/s)节点数教学主楼办公自动化1 0 120财务部办公自动化15教务处办公自动化130党办办公自动化15微机室A教学10100微机室B教学10100教工1Internet10100教工2、3Internet10100网络总体目标和设计原则名称IP网段子网掩码网关教学一号楼192.168.1.1192.168.1.100255.255.255.0192.168.1.0教学二号楼192.16

16、8.1.101192.168.1.201255.255.255.0192.168.1.0实验室192.168.2.1192.168.2.254255.255.255.0192.168.2.0党办192.168.3.1192.168.3.254255.255.255.0192.168.3.0教务处192.168.4.1192.168.4.254255.255.255.0192.168.4.0财务部192.168.5.1192.168.5.254255.255.255.0192.168.5.0教工办公室1192.168.6.1192.168.6.254255.255.255.0192.168.6.

17、0教工办公室2192.168.7.1192.168.7.254255.255.255.0192.168.7.0教工办公室3192.168.8.1192.168.8.254255.255.255.0192.168.8.0网络中心机房192.168.0.1255.255.240.0192.168.0.0第四章：网络安全设计校园网络安全威胁一、 计算机病毒计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。计算机病毒种类繁多，形形色色，但就已经发现的计算机病毒而言，其危害性主要表现为破坏性、传染性、寄生性、潜伏性和激发性几大特征。二、 网络攻击校园网面

18、临的另一个安全威胁就是网络攻击。拒绝服务攻击的方法多样。攻击者在发起攻击时，可能采取单一手段的攻击模式，也可能采取多种攻击手段联合使用的模式。就其攻击手段来说主要有以下几种：1）死亡之Ping。早期的网络不支持大包，攻击者通过网络发送大母的大数据包到被攻击者网络，造成网络堵塞以致瘫痪。目前的网络已经能够支持大包，这种方式已经不再出现。2）泪滴攻击。攻击者采用修改包片段字头的方式，使得包无法正确组装导致网络访问失败的方式。3 ）UDP洪水攻击。攻击利用如chargen和echo等简单的TCPIP服务相互发送大量数据以沾满带宽，从而瘫痪网络的方式。4 ) SYN洪水攻击。攻击者通过想服务器发送连续

19、的SYN握手信息来瘫痪服务器的攻击方式。5 ) LAND攻击 该攻击是让服务器自己向自己发送SYN握手信息已达到瘫痪主机的目的。6 ) Smurf攻击。攻击者将报文地址设为Echo地址，这样Echo78地址就必须不问断的响应该报文，使得网络带宽被侵占，从而达到瘫痪网络的目的。7 ) Fraggle攻击。Fraggle攻击对Smurf攻击做了修改。8 )电子邮件炸弹。通过向一台服务器大量的不间断的发送电子邮件，起到瘫痪服务器的作用。9 )急性消息攻击。借助机器对某些消息为进行错误校验来攻击服务器。10)分布式拒绝服务攻击。它是威力最强大的拒绝服务攻击方式，其主要采用多台服务器对同一网络同时发起攻

20、击，导致该网络瞬间瘫痪。常见的拒绝服务攻击主要有以上几种，攻击者攻击目的和攻击水平不同，选用的方式不同。无论哪种方式，都对网络安全造成很大的危害。5三、 存在的安全隐患,以我校为例，校园网络存在的安全隐患和漏洞有:1 ) 计算机与Internet相连，却没有安装相应的杀毒软件及防火墙。2) 使用的操作系统存在安全漏洞，网络木马、病毒和黑客攻击影响到系统的安全。校内大部分计算机系统或多或少都存在着各种的漏洞，校园网络又对社会开放，这样一来只要接入INTERNET的用户就可以对校园的网络服务器进行攻击，而流行于网络上的很多病毒如“震荡波、冲击波、尼姆达”病毒都是利用系统的漏洞来进行病毒传播的，加上

21、带毒的木马程序，一感染便驻留在你的计算机当中，在以后的计算机启动后，木马就在机器中打开一个服务，通过这个服务将你计算机的信息、资料向外传递。3) 目录共享导致信息的外泄, 在校园网络中，利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但可以说几乎所有的人都没有充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。我曾经搜索过外地机器的一个C类IP网段，发现共享的机器就有十几台，而且许多机器是将整个C盘、D盘进行共享，并且在共享时将属性设置为完全共享，且不进行密码保护，这样只

22、要将其映射成一个网络硬盘，就能对上面的资料、文档进行查看、修改、删除。因而对目录共享安全意识的单薄，会导致了信息的外泄。4) 网络安全意识淡薄，校园网络上的攻击、侵入他人机器，盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜，我校应用服务器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试，而其中一大部分的非法访问源自校内，说明校园网络上的用户安全意识淡薄；另外，没有制定完善而严格的网络安全制度，各校园网在安全管理上也没有任何标准，这也是网络安全问题泛滥的一个重要原因.由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网

23、络安全机制显得尤其重要.。四、 校园网络安全策略校园网的安全威胁既有来自校内的，也有来自校外的，只有将技术和管理都重视起来，才能切实构筑一个安全的校园网。国内高校校园网的安全问题有其历史原因：在以前的网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理“的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至直接连接互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次，对整个网络都将是致命性的。作为高等院校，如何构筑相对可靠的校园网络安全体系问题，变得

24、越来越突出了。一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用先进的技术；二是不断改进管理方法。五、 校园网安全管理针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策略：1、规范出口管理，实施校园网的整体安全架构，必须解决多出口的问题。对于出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。2、配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络

25、版的防病毒系统等。另外，通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。3、解决用户上网身份问题，建立全校统一的身份认证系统 。校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。4、严格规范上网场所的管理，集中进行监控和管理 。上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行

26、为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。5、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度，网络安全的技术是多样化的，现状还是“道高一尺，魔高一丈”，因此管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。2六、 校园网络安全措施前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。七、杀毒软件。杀毒产品的部署. 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的

27、感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能.。（1）在学校网络中心配置一台高效的Windows2000服务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。（2）在各办公室分别安装杀毒软件的客户端。（3）安装完杀毒软件，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。（4）网络中心负责整个校园网的升级工作。八、 采用VLAN技术。VLAN技术是在局域网

28、内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。九、内容过滤器。内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以限制外来的垃圾邮件。十、 防火墙。在与Internet相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性:(1) 根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部

29、网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则.(2）禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。(3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。(4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。(5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性.十一、

30、入侵检测。入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员的安全管理能力提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。十二、漏洞扫描。随着软件规模的不断增大系统中的安全漏洞或“后门”也不可避免地存在因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。十三、 数据加密。数据加密是核心的对策，是保障数据安全

31、最基本的技术措施和理论基础。十四、加强网络安全管理。加强网络管理主要是要做好两方面的工作。首先，加强网络安全知识的培训和普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。 第五章：网络实施一、工程实施内容按照预定方案，在具体施工过程中将按照如下顺序进行。1、布线设计 ：根据学院需求具体情况，完成布线设计配置方案，并在校方确认后，进一步完成建筑的管线设计或修正。2、铜缆施工：进行铜缆及相关管线的布放、安装。3、光缆施工：对光缆及相关管线的安装进行督导。4、线路测试：工程完工后，将选用BICC公司认定的专用仪器对系统进行导通、接续测试，并提交测试证明报告。5、系统联调：在系统的线路测试后，选择若干站点，对外