① 設計一個局域組網方案,提供網路結構設計、各層設備選擇及其理由
2.1方案綜述
校園主幹網通過多模光纖連接各子系統,各區域網採用快速乙太網,系統採用星形結構連接,還可擴充學校教職工住宅區.
具體方案如下:
(1) 網路具有傳遞語音、圖形、圖像等多媒體信息功能,具備性能優越的資源共享功能。
(2) 校園網中各終端間具有快速交換功能。
(3) 中心系統交換機採用虛擬網技術對網路用戶具有分類控制功能。
(4) 對網路資源的訪問提供完善的許可權控制。
(5) 網路具有防止及便於捕殺病毒功能,保證網路使用安全。
(6) 校園網與Internet網相連後具有「防火牆」過濾功能,以防止網路黑客入侵網路系統。
(7) 可以對接入Internet網的各網路用戶進行許可權控制。
2.2網路拓撲圖
2.3綜合布線系統方案
結構化布線設計應該滿足以下目標:
(1) 滿足大樓各項主要業務的需求,且兼顧未來長遠發展;
(2) 符合當前和長遠的信息傳輸要求;
(3) 布線系統設計遵從國際(ISO/IEC11801)標准和信息產業部、建設部標准;
(4) 布線系統應支持語音、數據等綜合信息的高質量傳輸,並適應各種不同類型不同廠商的計算機及網路產品;
(5) 布線系統的信息的埠採用國際標準的RJ-45插座,以統一線路規格和設備介面,是任意信息點都能接插不同類型的終端設備,如計算機、列印機、網路終端、電話機、傳真機等,一支持語音、數據、圖像等數據信息和多媒體信息的傳輸,布線系統符合綜合業務數字網ISDN的要求,以便與國內國際其他網路互聯。
校園網為園區網,建築群子系統採用光纜連接,可提供千兆位的帶寬,有充分的擴展餘地。垂直子系統則位於高層建築物的豎井內,可採用多模光纖或大對數雙絞線。管理子系統並入設備子系統,集中管理。
對於多幢樓宇,可採用多設備間的方法,分為中心設備間和樓棟設備間部分。中心設備間椒整個區域網的控制中心,內設有對外(Internet)對內通信的各種網路設備(交換機、路由器、視頻伺服器等),中心交換機通過光纜(地下直埋)與樓棟設備間的交換設備連接,以保證數據的高速傳輸。在樓棟設備間放置布線的配線架和網路設備,端接樓內來自各層的主幹線纜,並端連接網路中心的光纖。
樓內布線包括水平布線和主幹布線,水平系統採用超五類雙絞線,新的樓宇採用暗裝牆內的方式,舊的樓宇採用PVC線槽明裝的方式。
2.4網路硬體設備構選型
在本方案中,整個校園網採用層次化網路拓撲結構,核心層採用聯想LRS-6706G第三層交換機。這是一種功能強大的主幹交換機,使網路管理者能方便地監督和管理網路,同時,又能將主幹網帶寬提升到千兆速度。
LRS-6706G與工作組交換機聯想DES-6000之間採用生成樹(SpanningTree)冗餘連接,可以保證與骨幹交換機之間的備份連接。DES-6000與接入層交換機聯想DES-36241之間可採用鏈路匯聚技術,用以保證負載均衡及線路備份。通過鏈路匯聚技術可以在交換機之間連接最多4條線路,實現負載均衡線路冗餘。採用快速乙太網連接,可以達到800M帶寬,若採用千兆乙太網作多鏈路冗餘連接,最多可以實現8G帶寬,當兩個交換機之間的一條線路出現故障,傳輸的數據會快速自動切換到另外一條線路上進行傳輸,不影響網路系統的正常工作,無需人工干預。
DES-36241可以根據所需要埠的數量進行堆疊群,網路管理軟體通過一個IP地址就可以完成整個堆疊群的管理,可以實時監測交換機,並且可以通過多種方式進行顯示以便於觀察,隨時監控網路運行狀況。
用聯想LR-2501A路由器實現廣域網的路由連接,同時採用聯想LF-2000防火牆,用以提供全面的訪問策略和安全防護能力。
2.5客戶機和伺服器
2.5.1客戶機
客戶機是一種網路終端,校園網中的客戶機大多是教師機、學生機及各級管理用的PC機。在本方案中建議使用品牌PC機,售後保修,使用年限較長。
選型標准如下( 簡述):
CPU
Intel P4
硬碟
4G
主板
Micro ATX
ADSL
華為SmartAX MT800
內存
256M
Moderm
花王系列Moderm卡
顯示器
TCL MF767 純屏電腦顯示器
網卡
10、100Mbit/s
2.5.2伺服器
伺服器是網路中的控制和數據的中心,是網路中的關鍵設備之一。一般伺服器是專用的,沒有主要的用戶,它是多客戶機共享的多用戶計算機。在大型校園網中一般選用企業級伺服器作為主伺服器。它可以連接客戶機120—500台之間的網路
1、網管工作站設計
網路管理是校園網必須考慮的關鍵技術,這里的網路管理主要指網路設備及其系統的管理,它包括配置、性能、安全、故障管理等,網路管理設計需要在配置每個網路設備時,都選擇具有網路管理代理的、駐留有網路管理協議的設備。
網路管理設計的另一方面,是配置一個網路管理中心,配置網路管理平台,在平台上運行管理每個網路設備的應用軟體。網管軟體應能夠支持對網路進行設備級和系統級的管理,並能支持通用瀏覽器進行網路設備的管理及配置。
2、WWW伺服器設計
WWW應用是Intranet的標志性應用,最核心的應用服務集中在WWW伺服器上完成。因而對於WWW伺服器的設計首要考慮的就是伺服器性能問題,另外考慮到將來在Intranet平台上做應用開發的可能,對於WWW伺服器同資料庫互聯的問題也應作為重點考慮。
因為WWW伺服器是被大量實時訪問的超文本伺服器,它要求在支持大量網路實時訪問、磁碟空間、I/O吞吐能力、快速處理能力等方面具有較高的要求。
3、DNS伺服器設計
建立Intranet,其中一個必不可少的組成部分就是DNS(域名系統)。IP地址和機器名稱的統一管理由DNS(DomainNameSystem)來完成的。
4、FTP伺服器的設計
FTP是Internet中一種廣泛使用的服務,主要用來在兩台機器之間(甚至是一同系統)傳輸文件。FTP採用C/S模式,FTP客戶軟體必須與遠程FTP伺服器建立連接並登錄後才能進行文件傳輸。為了實現有效的FTP連接和登錄,用戶必須在FTP伺服器進行注冊,建立帳號,擁有合法的用戶名和口令。
5、E-mail伺服器設計
為了作到Intranet內部Mail系統同公共InternetMail系統的平滑對接,要求採用Internet公共標準的通用MAIL系統,在內部的MAIL系統同外部通信時需要一個Proxy應用作適當的轉接服務,進行相應的地址轉換工作。
6、Proxy伺服器的設計
代理伺服器是作為內部私有網路和INTERNET之間的一個網關。通過代理方式,首先可以大大降低網路使用費,另外代理可以保護區域網的安全,起到防火牆的作用。
2.5.3操作系統
伺服器採用Windows server2003企業版作為網路操作系統。工作站客戶端採用Windows XP操作系統。
具體的安裝方法與日常裝機時相同。
2.6網路配置和管理
2.6.1綜合配置和管理
校園主幹網採用一台千兆多層交換機作為中心交換機,配置多台二層交換機作為二級交換機;在網路中心配置多台工作站,一台網管工作站,一台作為連入INTERNET/CERNET的路由器,同時在路由器上配置相應的撥號訪問模塊供撥號用戶訪問校園網;二級交換機通過千兆光纖上連到主幹交換機上,構成星形的拓撲結構,使得主幹網具有較好的可擴展性和可管理性;下屬站點採用10/100M接入方式,可以實現100M到桌面.網路中心的設備配置各高校可根據方案的「需求分析」部分,本著實用、高效的原則進行選型、配置(含二級接點和其他接點交換設備的選擇)。
所有系統內的用戶,IP地址規劃由網路中心統一規劃;對於上公網的用戶,需要進行IP地址轉換(NAT),即將內部私有地址轉換為公有IP地址。這樣的好處是既節省了有限的公有IP地址資源,又對外屏蔽了內部的網路,有利於網路的安全管理。
2.6.2網路核心層設計
作為網路核心,起到網間互聯作用的路由器技術卻沒有質的突破。傳統的路由器基於軟體,協議復雜,與區域網速度相比,其數據傳輸的效率較低。隨著Internet/Intranet的迅猛發展肯B/S(瀏覽器)計算模式的廣泛應用,跨地域、跨網路的業務急劇增長,業界和用戶深感傳統的路由器在網路中的瓶頸效應,第三層交換技術應運而生。第三層交換技術也稱為IP交換技術,高速路由技術等。
在本解決方案中,整個校園網路採用層次化網路拓撲結構,在網路中心的核心層配置聯想LRS-6706G第三層交換機。通過LRS-6706G第三層交換機完成高帶寬、大容量網路層路由交換功能交換,是一種功能強大的企業網主幹交換機,使網路管理者能方便地監督和管理網路,同時,又能將主幹網帶寬提升到千兆速度。LRS-6706G配置靈活、實用。可選的擴展模塊包括一個6埠的千兆模塊,一個16埠的10/100Base-TX擴展模塊。
LRS-6706G同時提供了增強的網路傳輸能力,例如:IP路由、服務質量(QoS)、分級傳送和IP組播。網路管理員能夠隨時通過任意一個埠配置以上功能,以消除傳統路由器的瓶頸,設置優先順序給不同類型的網路傳輸及保證某些應用的流量帶寬,如視頻傳輸。
LRS-6706G提供了廣泛的管理選擇,使用Netscape或IE瀏覽器,可以很容易地通過Web方式對交換機進行配置和監控。其中包括配置IP路由、IP組播、靜態VLAN、生成樹、設置陷阱和警報,察看RMON狀態和登錄事件。也可以通過VT100模擬終端以文本界面方式設置交換機。
2.6.3網路分布層設計
在校園園區內樓宇間連接時,主要樓宇可放置聯想機箱式言主幹交換機DES-6000作為分布層交換機,與主幹第三層交換機LRS-6706採用千兆以太鏈路冗餘方式連接,用以保證主幹鏈路的冗餘不連接。DES-6000採用級不連方式,通過千兆們埠與該樓宇的聯想可堆疊交換機DES-3624L連接。使得分布層交換機和接入層交換機之間均在全雙工模式下以1G的帶寬不連接,保證分支主幹無帶寬阻塞瓶頸。
2.6.4網路接入層設計
校園網廣域網的設計主要考慮如何實現和INTERNET、CERNET的互聯。校園網的撥號網路,主要目的是解決校內和校外零散用戶以及出差在外的臨時用戶的接入服務。訪問網中的技術關鍵是撥號訪問伺服器的選擇和對撥號上網用戶的安全控制。要求路由器有簡單的防火牆功能,具有良好的擴展性,即以後撥號用戶的擴展,其它公網的接入等。根據實際需要,能夠不斷增加撥號用戶的數量
在本方案設計中,採用聯想DES-3624系列可網管、可堆疊千兆乙太網交換機作為網路的接入級交換機,即放置於每幢樓的樓層內,可用以直接接入到辦公室或住宅內部。DES-3624系列是可網管、可堆疊的高性能交換機,包括:DES-3624I交換機和DES-3624交換機。DES-3624I提供了20個固定10/100Mbit/s埠和3個插槽,分別可插3口的堆疊模塊、單口或雙口的千兆模塊以及2口10/100Mbit/s(已內置)、100Base-FX模塊;DES-3624提供了22個固定10/100Mbit/s埠和2個插槽,分別可插單口堆疊模塊(已內置)和2口10/100Mbit/s、100Base-FX模塊。
DES-3624系列交換機堆疊後,可使用於高埠密度的部門級大中型網路;提供千兆乙太網模塊可適用於上連高速率主幹網路,用以有效地緩解網路骨乾的瓶頸。
採用1台DES-3624與3台DES-3624組成一個堆疊,可提供最多94個10/100BASE-TX埠和2個千兆乙太網埠。由於該技術採用背板堆疊,堆疊時不需佔用網路埠,而且堆疊後仍可以達到線速交換。
在設計接入Internet時,本方案推薦採用區域網專線接入方式。此方式需要配備聯想接入路由器LR-2501A租用電信部門的專線並向CERNET管理部門申請IP地址及注冊域名。聯想接入路由器LR-2501A可以通過DDN專線(最高可達2.048M帶寬)、FrameRelay、X.25、ISDN撥號等方式與Internet相連,還可以按照需要靈活配置多種廣域網埠模塊,提供寬頻、具有QOS保證的遠程多媒體服務。為了保證園區網路的安全,方案中在聯想接入路由器LR-2501A後,設置一台聯想LF-2000硬體防火牆,該防火牆可及時追蹤Internet的黑客攻擊行為和方法,實現了抗攻擊和反攻擊的安全策略,為用戶提供安全可靠的服務。在網路中亦可實現實時郵件病毒檢測、實時檢測是否有入侵行為、進行快速的流量過濾、訪問控制和加密,防止外部非法用戶的侵入以及內部用戶對外部網路的不安全訪問等。
另外,某些教師或學生如果要在園區外訪問校園內部網查找資料,這些遠程訪問用戶需要撥號訪問校園內部網,這就需要校園網提供遠程訪問服務。通過配備訪問伺服器可以滿足這些需求。使用聯想DI-520和DI540訪問伺服器,安裝在本地區域網中,通過1至4個數據機(或ISDNTA)和1至4根電話線,為們於任何地方遠程訪問人員提供撥號訪問本地區域網的服務。遠程用戶只要在當地擁有1個數據機和1根電話線,通過 撥接DI-540上所連接的電話號碼,就可以使其計算機登陸,訪問校園網上的資源。
2.7校園網內部信息資源建設
內部信息資源建設包括校園辦公管理系統、多媒體電子圖書閱覽室、網路多媒體課件製作系統等。外部信息資源包括學校主頁、遠程教學、Internet信息管理等。
1、校園辦公管理系統
校園辦公管理系統可分為以下幾個模塊:校長查詢、學生管理、教工管理、課程管理、工資管理、財產管理、人事檔案管理、文件管理等。
2、多媒體網路教室
多媒體網路教室有以下幾個功能模塊:教學功能、管理功能、輔助功能等。
3、外部信息資源建設
外部信息資源建設應包括以下功能模塊:Internet功能、遠程訪問功能、電子函件功能學校主頁、討論和交流功能、住處發布功能。
{1}Internet功能及遠程訪問功能 在信息時代宣傳學校、發布學校的信息,對提高學校的知名度,同時共享教育資源非常有意義。只要學校還沒有條件通過專線上Internet,可安裝Modem讓用戶遠程撥號入網。
(2)電子函件功能 校園網信息平台應用功能強大的郵件系統,可以為每個使用者建立自己的信箱,安全保密以極大地方便了通信。許多事務處理均可以通過郵件提醒,高效便利。
(3)建立學校主頁碼 在校園網中建立學校的主頁,可以以靈活生動的方式綜合介紹學校。這是展示學校風採的最佳手段。
(4)討論和漿功能 校園網信息平台具有討論的功能,可以允許所有人就一個問題發表自己的意見,面這種討論的好處在於它可以保留討論的過程,並且不受時間和空間的限制,如教學研討、經驗交流等均是以討論的形式出現。
(5)信息發布功能 學校有許多信息需要向老師、學生或社會公布,如學校的規章制度、招生信息、教學信息等,它們共同的特點是只許看不能改,校園網信息平台的安全體系保證這一點。
2.8網路安全
2.8.1網路安全性設計
網路的安全性是評價校園網的重要指標之一,對於校園網這樣的大型園區網,網路的安全問題就越發重要。
1、 本地主機系統的安全考慮
計算機病毒是伴隨著計算機而產生的,它同時隨著計算機技術的發展而發展,在網路環境中,計算機病毒更易於傳播,其對系統的危害也是明顯的,在校園網工程中建議採用網路與單機相結合的方式來避免計算機病毒的危害。
2、 內部網安全控制
通過VLAN的劃分,利用中心交換機上高性能路由模塊的管理和控制,可以控制內部各VLAN間的訪問。
3、 外聯網的安全控制
網路的安全問題主要是由網路的開放性、無邊界性、自由性造成的,所以考慮信息網路的安全首先應該考慮把被保護的網路由開放的、無邊界的網路環境中獨立出來,成為可管理、可控制的安全的內部網路。也只有做到這一點,實現信息網路的安全才有可能,而最基本的分隔手段就是防火牆。利用防火牆,可以實現內部網與外部網路(如網際網路)之間或是內部網不同網路安全域的隔離與訪問控制,保證網路系統及網路服務的可用性。
4、 撥號訪問的安全設計
對於從外部撥號訪問中心內部區域網的用戶,由於使用公用電話網進行數據傳輸所帶來的風險,必須嚴格控制其安全性。
主要措施如下:*通過在撥號訪問伺服器後設置防火牆來實現網路的安全性,以嚴格限制撥號上網用戶所訪問的系統信息和資源。
*使用專用身份驗證伺服器,以加強對撥號用戶的身份認證。
*在數據傳輸過程中採用加密技術,防止數據被非法竊取。
5、數據的安全: ]
網路系統應能通過身份驗證實現信息的鑒別,通過存取控制達到對信息的控制,通過數字簽名或數據壓縮等演算法保證數據在傳送過程中保持完整、保證信息的機密。在實現時重點考慮信息系統整體的安全控制策略和重要設備的安全控制。
2.8.2網路防火牆
防火牆界於網路出口,將網路分成內部網路和外部網路,並認為內部網路是安全的和可信賴的,而外部網路則是不太安全和不太可信的。防火牆檢查和檢測所有進出內部網路的信息流,防止未經授權的通信進出被保護的內部網路。
防火牆除了具有包過濾功能外,通常還可以對應用層數據進行安全控制和信息過濾,對主機地址轉換(SAT)和地址隱藏(NAT),具有認證、日誌、計費等功能。防火牆的實現技術非常復雜,由於所有進出內部網路的信息都需要通過防火牆的處理,因此對其可靠性和處理效益都有很高的要求。
此設計方案選用天網防火牆,它量款國產軟體。具有嚴密的襯里監測、靈活的安全規則及詳細的訪問記錄。可從www.sky.net.cn下載安裝。
2.8.3防毒軟體
面對計算機病毒的威脅,人們都希望能做好預防工作,而不是面對事後被病毒感染破壞的殺毒和數據恢復工作。預防計算機病毒最好的方法是安裝一套防毒軟體。防毒軟體對於保持系統安全很重要。目前國內主流的反病毒軟體有KV3000、Kill、瑞星、諾頓等多種品牌,它們各有所長,而且都有自己的特殊技術作為後盾。本方案選用「瑞星殺毒軟體」。它是北京瑞星科技股份有限公司針對流行於國內外危害較大的計算機病毒和有害程序,自主研製的反病毒安全工具。可以到瑞星公司的主頁(http://www.rising.com.cn)上去獲取試用版本。
2.8.4安全建議
1.建立良好的安全習慣。例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載後未經殺毒處理的軟體等,這些必要的習慣會使您的計算機更安全。
2.關閉或刪除系統中不需要的服務。默認情況下,許多操作系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3.經常升級安全補丁。據統計,有80%的網路病毒是通過系統安全漏洞進行傳播的,象蠕蟲王、沖擊波、震盪波等,所以我們應該定期到微軟網站去下載最新的安全補丁,以防範未然。
4.使用復雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用復雜的密碼,將會大大提高計算機的安全系數。
5.迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6.了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。定期看一看注冊表的自啟動項是否有可疑鍵值和內存中是否有可疑程序。
7.最好安裝專業的殺毒軟體進行全面監控。用戶還應該安裝個人防火牆軟體進行防黑將安全級別設為中、高,這樣才能有效地防止網路上的黑客攻擊。