校园网建设

小学校园网络组建 目录 TOC \o "1-5" \h \z \u 一、背景 3 二、设计目标和需求分析 4 2.1设计目标 4 2.1.1 教学方面 5 2.1.2管理方面 5 2.2 应用需求 6 2.3设计原则 8 2.3.1 高安全 8 2.3.2 易管理 8 2.3.3 灵活性和兼容性 9 2.3.4学校需求为前提原则 9 2.3.5品质与成匹配原则 9 2.3.6设备选型兼顾原则 9 2.3.7技术应用全面原则 9 2.3.8坚持原则 9 2.4 选型原则 9 2.5 设计思想 11 2.6 方案解析 11 一、网络技术选型设计 11 二、内部信息资源建设 14 三、外部信息资源建设 14 三、网络规划 15 3.1 网络整体结构 15 3.2 网络整体规划 15 3.3 设备选型 17 3.4 IP 地址规划及 VLAN 的划分 18 3.4.1划分vlan 的必要性 20 3.4.2 Ip地址和VLAN划分 22 3.6系统拓扑结构 23 3.7 网络实施 25 3.7.1 防火墙 25 3.7.2 核心层设计（设备选型） 28 3.7.3汇聚层设计 29 3.7.4接入层设计 30 四、 服务器分配与设置（选型） 31 4.1服务器选型原则 31 4.2具体服务器类型推荐 31 4.3 校园网配置 35 一、硬件配置 35 二、软件配置 36 三、人员配置 38 五、网络管理及安全 39 5.1 网络安全的重要性 40 5.2系统安全体系设计 41 5.3系统软件平台（应用性） 43 5.4 网络设备安全防护 44 5.5关于网络内数据流优化 48 5.6 局域网病毒入侵原理及现象 48 5.7 局域网病毒防范方法 51 价格一览表 53 结束语 54 一、背景 进入二十一世纪，全世界正在掀起全球信息化的浪潮，世界各国都把推进信息化进程，发展信息产业作为推动本国经济发展的新动力。计算机技术、通信技术、信息技术很快地深入到我们生活的各个方面，随着新技术的应用和普及，全球性的信息化浪潮正深刻地改变着人们的传统观念、生活方式乃至整个社会的产业结构和社会结构，这同时我们也在生活和工作中体验到了新技术带给我们的种种便利。 　　面对当前的网络，信息技术所带来的一场革命将彻底改变我们的学习、生活和工作方式，现行教育体制面临着严峻挑战。校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统，逐步建立学校信息管理网络，实现办公自动化；为开展网上远程教学、　在网络信息时代的今天，面向新的需求和挑战，为了学校的科研、教学、管理的技术水平，为研究开发和培养高层次人才建立现代化平台，Intranet/Internet技术的高速多媒体校园网。 　　 整个高速多媒体校园网建设原则是"经济高效、领先实惠"，既要领先一步，具有发展余地，又要比较实惠。 校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教学内容的参与性以及积极性。 二、设计目标和需求分析 2.1设计目标 建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼层的校园主干网络，将学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的教育资源。形成结构合理、内外沟通的校园计算机网络系统，在此基础上建立能满足教学、科研和管理工作需要的软硬件环境，开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务。   2.1.1 教学方面  　　利用现代化的技术设备和多媒体的教学手段形象直观地进行教学讲解，能增强学生的学习兴趣和理解水平，从而提高教学质量和学生品质，促进教育水平提高；  　　提供高速、方便的信息交流和资源共享等手段；  　　提供远比书本知识更为广泛的内容，扩大学生与外界的联系，开阔视野，增进交流； 　　发展远程教育，克服地域和学校规模的限制，适宜于有分支的教育机构实现资源共享。  2.1.2管理方面  　　统一管理学校资源，如学生档案、教学资料、考试成绩、各种器材等；  　　实现办公自动化，增强各部门协调能力，提高工作效率。 其他方面还可以管理学校财务，各商店的收费，图书馆借、还书的记录，食堂刷卡收费管理以及老师上、下班情况的管理 2.2 应用需求 建设校园网当然是为了能更好更快地使用校园网，作为校园网，需要连接多少个节点，怎样使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中，怎样使整个网络上的节点相互连通，这些问题仅仅是校园网，需 要解决问题中的一部分，更重要的问题如何将这些资源有序地组织起来，需要 实现什么功能，以满足现在和未来在教学、科研、管理、交流等方面的需求。 形成在校园内部、校园与外部进行信息沟通的体系，建立满足教学、科研和 理需求的计算机环境，为学校各种人员提供充分的网络信息服务，在网络环境 中进行教学、研究、收集信息等工作。 校园网络目前承载着多样的网络应用： ​ 学校行政管理，如学校办公管理、总务管理、图书管理、校产管理、财务管理及档案管理等等。 ​ 不同学校之间的资源共享、远程教育等应用利用校园网，让教学的各种教育资源进行最大程度的共享等等 ​ 宽带连接 Internet ，充分利用互联网来进行日常的教育与学习 ​ 校园需要的基本计算机教学，包括多媒体教学、远程教学、各种电子化教学等； ​ 网络下载、网络聊天等； ​ 电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动； ​ 文件传输 FTP：主要利用 FTP 服务获取重要的科技资料和技术文挡； ​ 图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等； ​ 其他应用，如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。 2.3设计原则 2.3.1 高安全 网络安全是校园网面临的一个重要问题，网络攻击常常会影响网络正常业务 以及用户正常上网，关键业务无法保障。新建的网络可以应用安全认证到桌面、 管理分级授权、控制网络病毒、抵御网络攻击。 2.3.2 易管理 针对不同的用户类型，制定相应的访问、控制权限；设计相应的用户解决 控制系统落实教育、公安部“网络实名制”要求，实现事前严格控制、事后审 计。 网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态， 故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作， 提高网络管理的效率。 2.3.3 灵活性和兼容性  选用符合国际发展潮流的标准软件技术，保证系统具备较强的可靠性、可扩展性和升级性，确保系统能够与现有各厂商的网络设备、小型机、工作站、服务器和微机的互连。  2.3.4学校需求为前提原则 坚持以学校具体需求为校园网信息系统方案设计的根本和前提，同时，也要注重源于需求又高于需求的原则，注意用专业化的技术思想来帮助校方进行校园网的规划与设计，确保校园网的实用性、先进性和便于扩展性。 2.3.5品质与成匹配原则　　 选择品质最好的设备不一定是最佳方案，成本因素也是一个不容忽视的问题，只有将品质与成本实现最佳匹配，才是一个最优秀的方案。 2.3.6设备选型兼顾原则　　 满足学校对现代化教学手段的要求；满足校园网建设及国联网的要求；所选设备在国际上保持技术先进性；供应商有良好的商业信誉和优质内、国际的售后服务。 2.3.7技术应用全面原则　　 在技术应用方面，我们全面考虑其实用性、先进性、开放性、可扩充性、可靠性、安全保密性及友好性。 2.3.8坚持标准原则　　 一切校园网设计和施工，均要严格遵循国际和国家标准。 2.4 选型原则  校园网按照主干网的组网技术可分为：交换式以太网、快速以太网、FDDI、ATM和千兆以太网。交换式以太网现在主要用于网络交换机到桌面工作站。FDDI和ATM存在着组网成本高、带宽利用率较低等因素使得它们都不太适合校园网的要求。快速以太网是非常成熟的组网技术，造价低，具有较高的性能价格比，但传输速度较慢。千兆以太网传输的速度较快，范围也很广（100公里范围内），成本相对于快速以太网较高。  　　 校园网的规模在100～1000个终端左右较好，可实现每个教室都有一个终端，如足够的校园图书馆终端、教师的备课终端、学校各种管理部门的终端。如果终端数过少，校园网的资源利用率就太低；终端过多，信息的传输速度就会受到很大限制。  2.5 设计思想  进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划校园网建设的实施步骤。 校园网总体设计方案的科学性，应该体现在能否满足以下基本要求方面： ​ 整体规划安排； ​ 先进性、开放性和标准化相结合； ​ 结构合理，便于维护； ​ 高效实用； ​ 支持宽带多媒体业务； ​ 能够实现快速信息交流、协同工作和形象展示。 2.6 方案解析   一个完整的校园网建设主要包括两个内容：技术方案设计；应用信息系统资源建设。 技术方案设计主要包括：结构化布线与设备选择、网络技术选型等；应用信息系统资源建设主要包括：内部信息资源建设、外部信息资源建设等。这里我们介绍网络技术选型。 一、网络技术选型设计 校园网络系统基本可分为校园网络中心、教学子网、办公子网、图书馆子网、宿舍子网及后勤子网等。 1.校园网络中心的设计 网络中心设计主要包括主干网络的设计、校园网与Internet的互连、远程访问服务等。 ​ 主干网络的设计 主干网络采用联想新推出的LS－5608G智能型8联机箱式千兆以太网交换机作为校园网的中心交换机，它提供8个插槽，可选插8联的10/100Base－TX、2联的 100Base－FX或1联的千兆以太网模块。适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络。同时可以选择MS－5103千兆位以太网模块(SX/MM/850nm,0－350m)或MS－5104千兆以太网模块(LX/SM/1310nm,0－6km)与下面的各个子网通过千兆位的链路相连。 ​ 校园网与Internet的互连： 推荐采用局域网专线接入方式，此方式需要配备路由器等设备，租用专线DDN或帧中继（FrameRelay），也可申请ISDN专线并向CERNET管理部门申请IP地址及注册域名，以专线方式连入Internet，并提供防火墙、计费管理等功能。 本方案选用联想的LR－2501路由器，具有1个局域网(LAN)，2个广域网(WAN)和1个控制台。支持帧中继(Frame－Relay)、X.25、PPP、HDLC协议。 ​ 远程访问服务 采用联想LA－220 和LA－240访问服务器，安装在本地局域网中，通过1至4个调制解调器(或ISDTA)和1至4根电话线，即可为远程访问人员提供拨号上网服务，远程用户只需拥有1个调制解调器和1根电话线，通过拨接LA－220或LA－240上所连接的电话号码，就可以登录访问。 2.教学子网的设计 校园网建网的目的之一，是利用网络实现多媒体教学，如：交互式多媒体课堂、电子阅览室、教师培训等。多媒体教学的难点在于实现视频信号的传送(如VOD视频点播)。目前在局域网上实时传送高质量的视频数据还未成熟，但传送压缩后的视频数据确是可行的。根据教学子网对速度要求较高的特点，可以采用了联想LS－5625智能型 24＋1和10/100M自适应以太网交换机，它提供24个10/100M交换式端口和一个扩展插槽，可选插1个8联的10/100Base－TX、1个 2联的100Base－FX或1个1联的千兆以太网模块。但实际上大量用户(指超过60个流)的视频传输的瓶颈在于存储介质的外部传输速率，因此可选用多通道的磁盘阵列接多台主机的方式提高访问的总线带宽。 在教学子网的软件方面，可选用的种类较多，如：联想传奇(ParaSago)、电子教室、海航的电子阅览室、中教的课件制作系统等。 3.办公子网的设计 办公子网主要面向学校的各级领导及各职能部门，能够实现对网络数据的查询、修改、添加、删除等操作，同时，应该能够满足支持视频传送的要求。鉴于此，办公子网采用了联想LH－ 262724＋3的10/100M自适应集线器或LH－261312＋1的10/100M自适应集线器，这两款集线器除具备普通双速集线器功能外，还专门提供了交换式端口，能够为连接在该端口上的设备提供独享的10/100M带宽，极大地提高数据传输速率，解决服务器瓶颈问题。 采用联想LP－1363联10/100M以太网打印服务器，来完成共享打印功能。该服务器具有3个标准并联，可同时连接三台任意标准并联打印机。 办公子网对应的软件有科利华等公司研制开发的办公软件等。 4.图书馆子网的设计 图书馆是一个相对独立的系统，我们采用联想LS－301616的10/100M自适应以太网交换机，它提供了优良的每端口性能价格比，并支持基于端口的VLAN划分。 图书馆管理系统的应用软件产品较多而且相对成熟。 5.宿舍区子网及后勤子网等的设计 宿舍区子网即在学生宿舍内部连网，用以直接浏览学校发布的信息及查阅一些电子文档资料；后勤子网覆盖范围较大，主要用途有食堂IC卡计费系统等。由于宿舍区子网及后勤子网对带宽的要求并不高，因此我们选用联想LH－201616的10/100M自适应集线器，提供16个双速集线器端口，能够自动适应所接设备的速度 (10/100Mbps)，每台LH－2016背面都有2个堆叠口、利用这两个堆叠口最多可堆叠6台集线器，最大可用端口数为96个。 综上所述，通过联想全系列网络产品即可构建一个完整、先进、可靠的校园网络硬件平台，从而有利于校园网信息系统的使用、维护、扩充、升级，并能有效利用投资。 二、内部信息资源建设 内部信息资源建设可分为以下几个模块：校长查询、学生管理、课程管理、思教管理、教工管理、党务管理、工资管理、财产管理、档案管理、文件管理等，各模块的功能在此不作赘述。 三、外部信息资源建设 外部信息资源建设应包括以下几个功能：Internet功能、远程访问功能、电子邮件功能、以多媒体方式介绍学校的功能、讨论和交流功能、信息发布功能。各项功能均可通过相应的网络信息平台实现。在此亦不做详细描述。 学校的网络化建设必然会对学校的信息化建设起到巨大的推动作用，同时提供简单、有效、便捷的理想办公、教学环境。校园网一方面缩短了学校与外界的距离；另一方面，构建了以 Intranet为基础的管理信息系统，推动了学校的信息化建设。随着校园网建设的普及应用，学校最终将迎来科学管理和教学的新时代。 三、网络规划 3.1 网络整体结构 本网络设计主要采用的“万兆扩展、千兆主干、百兆桌面”的设计方案能 够有效的提高学院运行效率和学院的规划发展，以 GEC 作为 N*1000M 主干链路， 通过这个链路连接骨干网交换机，具备万兆扩展能力；接入交换机采用 10/100M 自适应端口连接桌面系统，多千兆链路连接到汇聚层；服务器采用千兆连接。 3.2 网络整体规划 校园网网络系统从结构上分为核心层、汇聚层和接入层。 核心层: 核心层的功能主要是实现骨干网络之间的优化传输,骨干层设 计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最 好 尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚 者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占 投 资的主要部分。 核心层需要考虑冗余设计。 汇聚层交换机主要将各个区域内的接入层交换机汇聚起来，一般情况下不 需考虑太好的可扩展，加上考虑建网成本问题，以满足要求为限适当选择高层 交换机 接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以 及易于维护的特点。在接入层面，通过定义相应的访问策略，接入层应该能够 实现对用户的访问控制，并具有较强的安全，支持802.1x 的认证计费，支持千 兆上联，支持SNMP 的网管。同时，为满足学生宿舍网的高端口密度接入的需 求，接入层应考虑二层智能型可堆叠交换机。 在网络结构上，采用万兆以太网交换机作为核心层，呈网状拓扑结构。以 TCP/IP 协议为主，并辅以IP/SPX. NETTEUI 等其他流行通信协议坚持开放性 和标准化，采用标准的通讯规程，以有利于不同厂家之间的互连，使不同系统 间易于集成，兼顾其他标准的网络体系结构，网络能实现协议之间无缝连接。 在网络硬件上采用高性能、高可靠的设备，具有运营商级容错能力的高性 能大型网络核心交换机，可实现冗余备份，从而提高核心层的可靠性。 3.3 设备选型 防火墙Cisco ASA5550-DC-K8 ￥93258*2 核心层Cisco WS-C6509-E ￥53333*2 汇聚层Cisco WS-C3560E-24TD-S ￥28000*4 接入层CISCO WS-C2918-24TT-C ￥2800*N 无线域控制器 H3C WX3024 FIT AP H3C WA2612-AGN FAT AP H3C 2210-AG 3.4 IP 地址规划及 VLAN 的划分 IP地址规划是整个网络设计中的重要组成部分，地址规划的科学性和合理 性将直接反应网络拓扑的设计思想，对网络的稳定起到至关重要的影响。好的 地址规划同科学的分层网络拓扑设计相辅相承，共同形成整体的网络设计解决 方案。 面对IPV4的地址紧缺问题，合理的网段划分一来可以合理利用ip地址，不 造成浪费，二来结合灵活的VLAN 规划，可以有效地降低网络风暴的产生，保证 整个网络的稳定，同时也起到一定的网络安全功能。 1、IP 地址规划的主要原则是：简单、连续、灵活、可扩展和安全性高。 2、校园网的IP 地址的可以划分为三大块： 校园网内部的私有IP地址，采用RFC中规定的私有地址段，此ip段不能直接 访问Internet和教育网； Cernet分配的多个C类公网IP地址，作为和国际互联网互连的地址，主要供 网络中心和图书馆、教学楼、部分实验室专用； 运营商分配的公网IP地址，用于访问Internet。 默认时，交换机分隔冲突域；路由器分隔广播域。第2 层交换式网络为插 入到交换机每个端口的每台设备创建了各自的冲突域。但每一个新的改进通常 都会引起新的问题——用户和设备的数量越大，每台交换机必须处理的广播和 数据包就越多。 安全性也是一个问题，因为在典型的第2 层交换式互联网络的内部，默认 时所有用户都可以看见所有的设备。你不能让设备停止广播，也不能让用户不 响应广播。连接到物理网络的任何人都可以访问位于物理LAN 上的网络资源， 用户只需将其工作站接入到现有的交换机中，就可以加入某个工作组。安全性 选项只能限于在服务器和其他设备上设置口令。 通过创建虚拟局域网（VLAN），就可以在一个纯交换式的互联网络中，分 隔广播域。VLAN是两个部分的逻辑组合：一是网络用户；二是在管理上连接到交换机所定义端口的资源。 如果创建了VLAN，情况就可以大大改善。在虚拟创建局域网时，可以将交换机上的不同端口分派到不同的子网中，这样就可以在第二层交换式互联网络中创建一些小的广播域。可以像对待单独的子网和广播域一样来对待VLAN，这意味着网络上的广播域只在同一个VLAN 内部的逻辑组的端口之间进行转发. 3.4.1划分vlan 的必要性 为了提高网络的传输效率，增强网络的稳定性，缩小广播区的范围，减小刚播风暴对网络通信质量的影响，通过具有划分“虚拟局域网vlan”功能的交换机来实现是最佳的解决办法。另外一个重要运用是：通过交换机划分不同的vlan 能够起到隔离不同部门的作用，Vlan间的通信需要通过路由器或网桥，从而提高了一些需要高安全性的部门网络安全性。 一、划分vlan的方式 一般划分vlan的方法大概有以下四种： （1）基于交换机的物理端口的划分。 （2）基于ip地址的划分。 （3）基于MAC地址的划分。 （4）基于组播的vlan划分。 根据实际情况，针对本方案，我们选择了基于端口的划分方法。该方法虽然在网络管理员在划分vlan的时候比较麻烦，但是对校园网这种多用户的网络环境来说相对安全和并且容易配置和维护。 二、VLAN划分的好处： ​ 隔离广播。划分虚拟子网后，所有广播将局限在本VLAN子网内，从而有效的提高了网络整体的有效带宽，隔绝了网络的广播风暴。 ​ 方便的工作组划分和管理。划分虚网后，对工作组的划分不再局限于他们的物理位置，而可根据他们的功能进行划分，从而实现网络物理结构和虚拟子网的无关性。 ​ 增强网络安全性。由于各VLAN子网在逻辑上的独立性，可对各虚网按实际情况分别定义安全策略，有效的避免非法入侵，提高个虚网的安全性。 ​ VLAN可以减少移动及变改的花费； ​ VLAN建立的虚拟工作组可以提供方便管理的可能； ​ 一种资源； ​ 可以属于不同的VLAN，减少对广播的路由，防止局域的网络风暴的产生； ​ 更高的安全性，可以在局域中建立安全屏障，分割安全等级； ​ 高性能，低延迟，提供比路由器高得多的速率，却有更低的价格； 三、IP地址的规划策略 结合实际情况，该方案中我们选用C类IP地址。C 类IP地址适合多子网，而每个子网的主机数量最多不能超过255台。其特点正适合校园网这种多用户多子网的网络环境。 3.4.2 Ip地址和VLAN划分 在构建基于TCP/IP 的校园网络时，IP 地址的选择是根据校园网络规模大小从以下三类国际Internet 组织公布的私有网段中产生,这些范围内的IP 地址不在Internet 上传输，是专门提供给校园用来建设内部网络(Intranet)： A 类私有IP: 10.0.0.0 －10.255.255.255 B 类私有IP: 172.16.16.1－172.16.30.254 C 类私有IP: 192.168.0.0－192.168.255.255 从以上分类可以看出，A 类私有IP 数量最多达到2^24 个,B 类最少为2^16*254个,C 类居中为2^16 个IP 地址。根据网络规模的大小和不浪费IP资源方面考虑，本局域网选用C 类私有IP 来规划TCP/IP 设计为宜。 3.5 VLAN 及 IP 分配清单 建筑物 所属 VLAN VLAN 名称 对应子网 网关/虚拟网关 办公楼 vlan 200 office 172.16.200.0/23 172.16.200.252-254/23 管理 VLAN vlan 1 Manage 172.16.1.0/24 172.16.1.252-254/24 服务器集群 vlan 100 servers 172.16.0.0/24 172.16.0.252-254/24 机房01 vlan 01 JF01 172.16.01.0/24 172.16.01.252-254/24 机房02 vlan 02 JF02 172.16.02.0/24 172.16.02.252-254/24 机房03 vlan 03 JF03 172.16.03.0/24 172.16.03.252-254/24 教学楼1 一层： vlan 101 JX101 172.16.101.0/24 172.16.101.252-254/24 教学楼1 二层： vlan 102 JX102 172.16.102.0/24 172.16.102.252-254/24 教学楼1 三层： vlan 103 JX103 172.16.103.0/24 172.16.103.252-254/24 教学楼1 四层： vlan 104 JX104 172.16.104.0/24 172.16.104.252-254/24 教学楼1 五层： vlan 105 JX105 172.16.105.0/24 172.16.105.252-254/24 教学楼2 一层： vlan 201 JX201 172.16.201.0/24 172.16.201.252-254/24 教学楼2 二层： vlan 202 JX202 172.16.202.0/24 172.16.202.252-254/24 教学楼2 三层： vlan 203 JX203 172.16.202.0/24 172.16.203.252-254/24 教学楼2 四层： vlan 204 JX204 172.16.203.0/24 172.16.204.252-254/24 教学楼2 五层： vlan 205 JX205 172.16.204.0/24 172.16.205.252-254/24 教学楼2 六层： vlan 206 JX206 172.16.205.0/24 172.16.206.252-254/24 3.6系统拓扑结构 平潭实验小学网络由网控中、主干网和各楼内的网络组成。整个校园网采用全星型结构,为快速交换以太网,网控中心设在学校总办公大楼二楼,主干网传输介质采用光纤链路,通过光缆将教学和办公楼群与校园主干网相联。 光纤链路 百兆链路 千兆链路 十兆链路 如下图: Internet 路由器 防火墙 数据库服务器 E-mail Switch DNS服务 Web服务器 FTP Dhcp服务器 3.7 网络实施 3.7.1 防火墙 防火墙是在两个网络之间执行访问－控制策略地系统。它在内部网络和外部网络之间设置障碍，以阻止外界对内部资源地非法访问，也可以防止内部对外部的安全访问。防火墙简单得可以只用路由器实现，复杂得则可以用主机甚至一个子网实现。设置防火墙的目的都是为了在内部网与外部网之间设立惟一得通道，来简化网络得安全管理。所以，防火墙尤其重要。 优点： ​ 防火墙能强化安全策略。 ​ 防火墙能有效地记录Internet上的活动。 ​ 防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 ​ 防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 防火墙的选择原则 ​ 防火墙自身是否安全。 ​ 系统是否安全。 ​ 防火墙是否高效。 ​ 防火墙类的访问控制设备是否可靠。 ​ 功能是否灵活。 ​ 配置是否方便。 ​ 管理是否简便。 ​ 是否可以抵抗拒绝服务攻击。 ​ 应考虑的特殊需求。 ​ 10、是否具有可扩展、可升级性。 防火墙类型 网络层防火墙 　　网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。 　　我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。 　　较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。 应用层防火墙 　　应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 　　防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千百啊)，所以大部分的防火墙都不会考虑以这种方法设计。 　　XML 防火墙是一种新型态的应用层防火墙。 选择华为3com Endemon1000 作为防火墙。 图3.71 3com Endemon1000 主要参数： 产品型号 Eudemon1000 产品类型 千兆防火墙 最大吞吐量 3000Mbps 硬件参数 PowerPC 750 733MHz,SDRAM:缺省：256MB,最大:512MB,Flash Memory:32MB,Boot ROM:512KB,NVRAM:512KB 网络管理 支持SNMP管理,命令行和GUI 用户数限制 无用户数限制用户 并发连接数 800000并发连接数 VPN 支持VPN 3.7.2 核心层设计（设备选型） 设计核心层是网络建设的关键，功能是实现高性能的交换和传输。因此，核心层设备应该具有高性能的传输功能和高可靠性、可管理性以及高带宽，以达到网络的设计要求。 服务器：将选用一台小型机作为网络管理服务器，同时提供Web、E-MAIL、FTP服务。采用高性能的PC Server作为全校应用服务及信息存储的中心，包括：学生信息管理子系统、教师信息管理子系统、财务管理子系统、IC卡子系统、图书馆管理子系统、多媒体网上教学系统、视频点播子系统。 中心交换机：中心交换机采用三层交换机作为校园网的主交换设备，提供划分内部虚拟网等功能，连接校园网内部各子网。（也可以选用Cisco相应的产品） 校园网的核心层是一个数据交换枢纽，提供高速、有效地数据交换。鉴于其重要性和必要性，核心层的可用性也在设计中得到了充分的体现。腾达网络的校园网解决方案是一个优化的解决方案。核心节点之间的互联采用千兆以太网或千兆以太网的捆绑技术。核心层是一个路由域。通过在核心层配置动态路由协议，提供数据的路由和路由的迂回。 网络核心层是网络的中心，其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机，可实现高速度的交换传输，以连接服务器等核心设备；并且非常可靠，实现不间断工作。 3.7.3汇聚层设计 汇聚层主要负责汇集分散的接入点进行数据交换，提供流量控制和用户管理（用户识别、授权、认证、计费）功能，作为校园网的业务提供层面，它是使校园网可运营、可管理的最重要组成部分。汇聚层设备是用户管理的基本设备，也是保证校园网承载和业务安全的基本屏障，更是保障校园网安全性能的关键。汇聚路由器一直是网络能力的重要体现，特别是现在，包括语音、视频、图片、报表等大量数据在网络中的承载，使汇聚层的重要性更加突出。 汇聚层交换连接核心和接入层，应当采用带VLAN和网管功能的中档交换机。汇聚层交换机具有快速的级联核心的以太端口以及高速堆叠模块；带VLAN子网划分功能，能很好的管理接入层用户。 3.7.4接入层设计 接入层，其主要功能就是实现每个合法用户的安全接入。因此，对接入层而言其关键安全要素就是用户的安全人证，管理和快速介入功能。接入层网络是纯二层交换网络，提供用户的网络接入。由于接入层设备需要部署在楼层，因此要求这些设备容易管理并且投资成本少。 在接入层根据用户类型的不同划分为不同的VLAN；在公共场合，例如：教室、实验室、图书馆、办公室等，部署具有接入控制功能的以太网交换机，通过对用户的身份认证及该用户在RADIUS服务器上定义的VLAN属性，划分相应的VLAN。 在接入层用户较为集中的楼层，使用具备链路捆绑功能的交换机或堆叠式的交换机，便于今后上联链路带宽的扩展以及链路的冗余。 四、 服务器分配与设置（选型） 4.1服务器技术参数 服务器是网络服务器用量最大的地方。服务器的选择标准很大程度上取于中心客户的类型和应用种类。就中小学情况而言，Web应用和数据库应用仍然占整个数据中心的各类应用的主要部分。因此对服务器的网络响应能力在很大程度上体现了服务器的硬件体系结构设计的合理性、CPU或CPU组（SMP）对操作系统的进程或线程的分配能力以及磁盘I/O的性能。以及可行性与稳定性，同时散热、功耗和易安装性也是重点考察和评价的对象。基于以上考虑，所选的服务器必须具有高可靠性，I/O吞吐能力强，数据处理快，可扩展性和可管理性良好的特点。 可靠性 冗余是消除系统单点故障的重要手段。它可分部件级和系统级两种。系统级冗余指整个服务器系统的冗余，部件级冗余主要包括如下几点： ​ 可热插拔冗余电源 ​ 可热插拔冗余磁盘和RAID技术 ​ 带ECC校验的内存容错 ​ 支持SMP技术的CPU冗余 ​ 多I/O卡（网卡、磁盘控制器）冗余容错 ​ 多段PCI总线冗余 ​ I/O吞吐能力 　　服务器可提供网络平台、文件服务、打印服务以及网站的信息浏览服务和其他的Internet/Intranet服务，为了加快访问速度，获得迅速的响应，要求网络、硬盘、I/O吞吐能力更大，可以从以下几方面来考虑： ​ 采用PCI总线并发操作以提高系统I/O吞吐量 ​ 支持智能I/O技术，减轻主CPU的负担，优化总线的传输 ​ 采用先进的SCSI技术 ​ 支持10000转／秒以上的高速硬盘，巡道时间小于7ms ​ 具有以上先进技术的I/O吞吐能力的服务器，可完全满足校园网目前以及将来的所有服务要求。 强大的处理能力 服务器的数据处理能力主要由CPU的处理能力，可扩展大容量内存和系统带宽所决定。 ​ CPU Pentium4 2.0双处理器； ​ 支持GB级的ECC、EDO内存； ​ 支持400 MHZ以上和高出并行FSB总线。 ​ 只有满足上述条件的服务器才可以突破瓶颈，改善服务器的系统带宽。 ​ 集成双1000M网络控制器。 高扩展性 考虑到将来网络规模的扩大，服务器在选型时必须要兼顾高的扩展性，服务器通过外加设备的支持，可以支持更高要求的性能与速度。 可管理性 保证整个系统的正常运行和降低网络维护费用，需要使用具备优良系统管理功能的服务器，具体的指标如下所示： 1、支持外部管理总线(XIMB)和ISC(Intel　Server　Control)管理软件即可实现对系统进行远程管理； ２、 监控系统主板状态、电源状态、机箱内温度及风扇状态等，并能够及时的通过网络进行报警； 另一种常见的方法可以大幅提高服务器的安全性，这就是集群。 4.2具体服务器类型推荐 网络是否能真正发挥效益还要看网络的管理。学校必须有网络管理员。网络管理与单机管理有重要区别，其中有大量的网络软件要维护，除了保证网内电话、电子公告牌，电子邮件实现报告、论文的无纸化传递等网络联系畅通，更重要的是保证网络提供的数据共享能力，网络管理在数据保密性上也要有保证。且网络面广、涉及人员多，免不了有纰漏，要出错，因此必须设立网管，并且结合制订一定的，保证网络安全、可靠运行。 在校园网络中，网络硬件设备、各终端数量较大，都有可能损坏。且随着师生应用学校计算机网络频度增大、水平提高，对网络的依赖性也越大，因网络故障而产生影响面也越大，因此维护设备，保证网络正常运行的管理员的地位相当重要。 为保证学校网络的正常运行，学校必须制订网络公约，大家来遵守，人人有责任来维持学校计算机网运作。各网络终端都要建立奖罚制度，落实责任人，建立各教研组管理制度、各班级管理制度，让一系列行之有效的制度来保证网络的运行。 不同的应用会对应不同的工作负荷，而且不同的应用也有不同的重要性，因而对服务器硬件 平台的要求也不一样，这些要求主要包括性能、可靠性、可用性等方面，其中性能要求主要 包括CPU处理能力、内存容量、磁盘I/O性能及网络和外设I/O带宽等。 　 主机系统负责整个网络的数据存储和数据处理，因此必须选择处理能力强、可伸缩性强、优良的TCP/IP网络性能、先进的数据库产品、高可靠解决方案、功能强大的应用开发工具以及客户机/服务器应用解决方案包的服务器系统.  WEB服务器  　　 校园网Intranet主要是以Web服务器为中心，WEB服务器提供基本的HTTP功能，从通用数据库（URL）中得到饮食所需页的路径，并传送回浏览器，它改变了传统的Client/Server的结构。   E-mail邮件服务器  　　 邮件服务器是处理邮件交换的软/硬件的总称，包括电子邮件程序、邮箱等。其使用SMTP/POP3协议负责将本机的邮件送出去，并将别的主机发来的邮件收取进来并分发给各个用户。  FTP服务器  　　 FTP服务器使用FTP协议，从一台计算机将文件传送到另一台计算机，它不受两台计算机所处的位置、连接的方式及使用的操作系统的约束。  FTP有二种方式：实际用户访问及匿名方式访问  DNS服务器   负责查询、解释名字服务。在校园网上最好有二个DNS服务器，其中一个为主服务器，另一个作为备份DNS服务器。   DHCP服务器 DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先，DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机；其次，担任DHCP服务器的计算机需要安装TCP/IP协议，并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下，DHCP作为Windows 2000 Server的一个服务组件不会被系统自动安装，必须把它添加进来。 代理服务器 代理服务器(Proxy Server)就是私有网络和公有网络之间的联系人，它负责转发合法的网络信息，并对转发进行控制和登记。在使用网络浏览器浏览网络信息的时候，如果使用代理服务器，浏览器就不是直接到Web服务器去取回网页，而是向代理服务器发出请求，由代理服务器取回浏览器所需要的信息。 数据库服务器  作为后台数据库服务器，提供用户查询的资源。 　　以上各种服务器可以根据数据量的大小及服务器的硬件特性，将多种服务架构在同一台或几台服务器上. 4.3 校园网配置 一、硬件配置 1、网络基本配置 不同学校的校园网工作站台数不同，对网络传输的速度要求也不同，所以附表列举了不同需求情况下的网络配置，也可参看本表对现有网络进行升级。 ： ​ 总流量指网络中最多电脑同时上网时的线路流通量； ​ 线速度是指沿线路传输数据达到的速度； ​ 电脑总数为含服务器在内的网络上的电脑数量； ​ 交换机和集线器未特别说明的均为16口双速自适应； ​ 网卡为100M/10M自适应网卡(服务器1～2块)； ​ 造价含服务器、网络设备的投入(不含电脑价格)，为每站的造价(以最多数为准)。 ​ 指服务器为双网卡。 采用高速100M/10M交换机、集线器和100M/10M工作站组网的优势在于：工程造价低、原网络可直接升级、网络传输性能好、网络数据流量大、安装简单容易、适于语音和多媒体等高速和大容量数据的传输(甚至可支持155Mbps异步传输模式下ATM的数据传输)。 2、服务器配置 694X主板(内建 724声卡)/PⅢ667MHzCPU/17英寸显示器/128MB内存/30GB硬盘/TNT2Pro32MBTV－out显卡/双速100M/10M 自适应网卡/ISDN适配器/52X光驱。另可增加光盘刻录机、视频采集卡、彩色喷墨打印机、真彩扫描仪等。造价约9000元～1.1万元。 3、办公机配置 SiS630主板(内建SiS300双显示显卡、TV－OUT，10M/100M自适应网卡、8738声卡、软猫等)/Celeron533MHzCPU/15英寸显示器/64MB内存/20GB硬盘/无光驱/木制音箱。每台造价约4300元～4500元。 4、教研机配置 同办公机，增加光驱。每台造价约4600元～4900元。 5、学生机配置 Mvp4主板(内建 Trident的Blade3DTV－out显卡、100M/10M自适应网卡、AC97声卡、软猫等)/K6－500MHzCPU/14英寸显示器(也可用电视机或投影机代替显示器，从而每台可节约800多元)/32MB内存/无硬盘光驱。每台造价约2300元～2500元。 选择整合主板的原因：兼容性和稳定性强，扩展性和协调性好，整合度和性价比高，维护和管理很容易。 二、软件配置 1、服务器 第一硬盘(30GB)分三个区。分别作网络系统盘、安装备份盘与虚拟光驱盘。 网络系统盘主要安装网络系统、操作系统、网络工具、防杀病毒等软件及一些常用工具软件。 安装备份盘含所有软硬件安装原始文件的备份。 虚拟光驱盘含所有虚拟光盘的镜像文件。 第二硬盘(30GB)分两个区分别为素材资源盘和网络资源盘。 素材资源盘含档库、图片库、视频库、音频库、网页库、档案库、数据库、课件库、教研库等。 网络资源盘含互联网资源、Intranet资源、学校综合资源、学校网站资源、个人资源等。 2、办公机 硬盘(20GB)分三个区分别作系统盘、数据盘与镜像盘： 系统盘含操作系统、办公软件、工具软件、图像处理、网页制作、电脑教学、防杀病毒等软件。 数据盘含本校各方面的数据，配合相关管理软件对学校的各级各类数据和信息进行针对性的全面管理。 镜像盘含各种电脑教学软件、学校培训内容的虚拟光驱镜像。还可以把某办公机配置成双硬盘(30GB)，再用“虚拟光驱2000”建立VCD镜像，形成VCD光盘塔，通过共享和相关处理成为“VOD实时点播系统”。 3、教研机 硬盘(15GB)分三个区。分别作系统盘、数据盘和镜像盘。 系统盘含同办公机配置，增加教学软件、课件制作、数字等软件或工具。 数据盘含教师科研所得、课件汇总、教案汇总等。 镜像盘含各种配套教学软件、学生培训内容的虚拟光驱镜像。 4、学生机 无硬盘，通过安装无盘站访问服务器、办公机及教研机的共享资源，在课堂内外对学生进行多媒体教学及现代化管理。通过TV－OUT端子连接到大屏幕电视机或投影机进行教育教学。 三、人员配置 相对于本体系之“规划篇”而言，这里的人员主要指专业或专门以某项工作为主的人员(在定位上可以交叉)，至少应该配备： ​ 网络管理员负责网络的运行、维护及管理。 ​ 硬件维护员负责各硬件设备和设施的维护及时性管理。 ​ 软件维护员负责软件的保管、安装、维护及管理。 ​ 开发管理员负责各方面的开发工作及课件制作的培训与管理。 附：不同需求网络配置一览表总流量（mbps） 总流量（mbps） 线速度 （mb） 电脑总数 （台） 交换机数 （台） 集线器数 （台） 双速网卡 （块） 10m网卡 （块） 造价／站 （元） 10 10 1－9 ／ 1（8口） ／ 9 80 100＋10×7 10 1－9 1（8口） 1 2 7 100 10 10 10－17 ／ 1 ／ 17 80 100×2＋10×14 100 10－17 1 ／ 3 14 160 10 10 18－33 ／ 2 ／ 33 90 100＋10×30 100 18－32 1 1 2 30 130 100×4＋10×28 200 18－33 2＊ ／ 5 28 170 10×46 100 34－47 1 2 1 46 120 100×2＋10×44 100 34－47 2 1 3 44 130 100×3＋10×44 200 34－48 2＊ 1 5 44 150 100＋10×60 100 49－62 2 2 2 60 120 100×5＋10×58 100 49－64 3 1 6 58 140 100×6＋10×56 200 49－63 4＊ ／ 8 56 170 100×2＋10×74 100 49－77 3 2 3 74 140 100×5＋10×72 200 49－78 4＊ 1 7 72 160 10×92 200 79－93 2＊ 4 2 92 120 100×4＋10×88 200 79－93 4＊ 2 6 88 140 100×8＋10×84 200 79－93 6＊ ／ 10 84 150 100×10＋10×11 200 94－123 8＊ ／ 12 112 170 五、网络管理及安全 5.1 网络安全的重要性 ​ 计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私，因此成为敌对势力、不法分子的攻击目标。 ​ 随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂，系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。 ​ 人们对计算机系统的需求在不断扩大，这类需求在许多方面都是不可逆转，不可替代的，而计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间，核辐射环境等等，这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。 ​ 4)随着计算机系统的广泛应用，各类应用人员队伍迅速发展壮大，教育和培训却往往跟不上知识更新的需要，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。 ​ 计算机网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学。就计算机系统的应用而言，安全技术涉及计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等等，因此是一个非常复杂的综合问题，并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。 ​ 从认识论的高度看，人们往往首先关注系统功能，然后才被动的从现象注意系统应用的安全问题。因此广泛存在着重应用、轻安全、法律意识淡薄的普遍现象。计算机系统的安全是相对不安全而言的，许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。 5.2系统安全体系设计 安全体系是安全工程实施的指导方针和必要依据，它的质量也决定了安全工程的质量。所以，应把安全体系的设计提升到一定的高度，确保安全体系的可靠性、可行性、完备性和可扩展性。 （1）物理层安全      物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照：GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。  （2）系统安全  系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：     采用主机加固手段对主机加固，如升级、打补丁、关闭不需要的端口等；     采用主机访问控制手段加强对主机的访问控制； （3）网络层安全     校园网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护：  1) 划分安全子网。如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。     2) 加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。     3) 防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵系统（IDS）,可有效地防止来自网络内外的攻击。     4) 定期的网络安全性检测实现持续安全。利用漏洞扫描器（Scanner）,定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。     5) 建立网络防病毒系统。在校园网中安装网络版的防毒系统，集中控制、管理查杀网络中服务器、终端的病毒，保护全网不被病毒侵害。 （4）应用层安全     应用层的安全措施主要有以下几点：     各应用系统自身的加固；建立身份