易门一中校园网规划设计方案

易门一中校园网规划设计方案内容摘要：

基本规格 产品类型 单模光纤 波长 1300,1550nm 纤芯数量 12 光特性 损耗 850/,1300/,1550/其它 规格 环境参数 工作温度 30~60℃ 工作湿度 0~90% 价格 ￥ 33 玉溪师范学院 网络拓扑图 29 接入 Inter设计 Inter接入方式主要有以下六种 :拨号上网方式 ,使用 ISDN专线入网 ,使用 ADSL宽带入网 ,使用 DDN专线入网 ,使用帧中继方式入网 ,局域网接入。 1．拨号上网方式 拨号上网方式又称为拨号 IP 方式，因为采用拨号上网方式，在上网之后会被动态地分配一个合法的 IP地址。 用拨号方式上网的投资不大，但是能使用的功能比拨号仿真终端方法联入要强得多。 拨号上网就是通过电话拨号的方式接入 Inter的，但是用户的电脑与接入设备连接时 ，该 30 接入设备不是一般的主机，而是称为接入服务（ Access Server）的设备，同时在用户电脑与接入设备之间的通信必须用专门的通信协议 SLIP或PPP。 拨号上网的特点：投资少，适合一般家庭及个人用户使用；速度慢，因为其受电话线及相关接入设备的硬件条件限制，一般在 56K 左右。 2． ISDN专线接入 ISDN 专线接入又称为一线通、窄带综合业务数字网业务（ NISDN）。 它是在现有电话网上开发的一种集语音、数据和图像通信于一体的综合业务形式。 一线通利用一对普通电话线即可得到综合电信服务：边上网边打电话、边上 网边发传真、两部计算机同时上网、两部电话同时通话等。 通过 ISDN专线上网的特点：方便，速度快，最高上网速度可达到128K/S。 3． ADSL宽带入网 ADSL 即不对称数字线路技术，是一种不对称数字用户线实现宽带接入互联网的技术，其作为一种传输层的技术，利用铜线资源，在一对双绞线上提供上行 640kbps、下行 8Mbps 的宽带，从而实现了真正意义上的宽带接入。 ADSL 宽带入网特点：与拨号上网或 ISDN相比，减轻了电话交换机的负载，不需要拨号，属于专线上网，不需另缴电话费。 4． DDN 专线入网 31 DDN 即数字 数据网，是利用数字传输通道（光纤、数字微波、卫星）和数字交叉复用节点组成的数字数据传输网。 可以为用户提供各种速率的高质量数字专用电路和其它新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。 其主要特点 ： 传输质量高，信道利用率高 ； 传输速率高，网络时延小 ； 178。 数据信息传输透明度高，可支持任何规程，可传输语音、数据、传真、图象等多种业务 ； 适用于数据信息流量大的 校园； 178。 网络运行管理简便，对数据终端的数据传输速率没有特殊要求。 其主要优点 ： 能提供高性能的点到点通信 ； 通信保密性强，特别适合金融、保险等保 密性要求高的客户需要 ； 传输质量高，网络时延小，通信速率可根据用户需要选择 ； 信道固定分配，充分保证了通信的可靠性，保证用户的带宽不会受其他用户的影响 ； 用户通过这条高速的国际互联网通道，可构筑自己的 Inter、 Email等应用系统 ； 用户网络的整体接入使局域网内的PC 均可共享互联网资源 ； 用户可免费得到多个 Inter 合法 IP 地址及域名 ； 用户可实现每天 24小时全天候的信息发布，即用户可建立自己的Web站点，向国际互联网发布自己的信息或提供信息服务 ； 178。 用户可通过防火墙等技术保护内部网络免受不良侵害 ； 用户可通过 VPN（ Virtual Private Network）虚拟私用网络功能，利用首创网络综 合信息平台实惠安全、可靠的企业网的国际网络互联，从而构建起企业的国际专用互 联网络。 32 5．帧中继方式入网 帧中继是在 OSI第二层上用简化的方法传送和交换数据单元的一种技术。 通过帧中继入网需申请帧中继电路，配备支持 TCP/IP 协议的路由器，用户必须有 LAN（局域网）或 IP 主机，同时需申请 IP 地址和域名。 入网后用户网上的所有工作站均可享受 Inter的所有服务。 帧中继上网特点：通信效率高，租费低，适用于 LAN 之间的远程互联，传输速率在 9600bps~2048kbps 之间。 6．局域网接入 局域网连接就是把用户的电脑连接到一个与 Inter直接相连的局域网 LAN 上，并且获得一个永久属于用户电脑的 IP 地址。 不需要 Modem和电话线，但是需要有网卡才能与 LAN通信。 同时要求用户电脑软件的配置要求比较高，一般需要专业人员为用户的电脑进行配置，电脑中还应配有 TCP/IP软件。 局域网接入的特点：传输速率高，对电脑配置要求高，需要有网卡，需要安装配有 TCP/IP的软件。 通过对比选择使用 DDN专线入网 ， DDN专线的 特点：采用数字电路，传输质量高， 信道利用率高 ， 数据信息流量大 ， 时延小，通信速率可根据需要选择；电路可以自动迂回，可靠性高 ，适用于校园网络。 校园网采用 DDN专线接入的方式上网，校园内上网采用 NAT的方式，保证师生上网方便。 VLAN的划分及 IP 地址的分配 VLAN 技术在在网络领域等到了广泛应用， 尤其在网络管理和网络安 33 全上方面起到了不可忽视的作用。 采用 VLAN技术对整个网络进行集中管理，能够更容易地实现网络的管理性。 例如，在添加、删除和移动网络用户时，不用重新布线，也不用直接对成员进行配置。 VLAN 提供的安全机制，可以限制用户对安全设备的访问，例如，限制普通用户对计费服务器，安全交换机等的访问。 Vlan 控制广播组的大小和位置，甚至锁定网络成员的 MAC 地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用增强网络管理。 Vlan 号 (ID)的分配规划 VLAN 划分原则：便于管理。 VLAN 划分理念：将几个楼划分在同一 VLAN，便于操作管理。 物理 /链路层配置原则 物理 /链路层配置遵循下面的原则： 1. 网络设备互连的物理端口都应该绑定端口的速率和全双工模式； 2. 建议所 有的 Vlan 都不要穿透核心层，所有的 Vlan 都将在汇聚层交换机上终结； 3. 本实施方案建议不要启用 STP 生成树协议，由于所有的 Vlan 都已在汇聚层交换机终结，在二层上并没有环路存在，故无必要启用；如果开启基于每个 Vlan 的生成树协议，广播报文将会很多，影响核心交换机性能和网络收敛时间； 4. 所有核心层和汇聚层交换机之间的互连端口均设置为 Trunk 模式，但目前只容许互连 Vlan通过，以应付将来有 Vlan穿越核心层这种情况； 34 5. 汇聚层交换机和接入交换机之间的互连端口设置为 Trunk模式。 第 3 章 网络安全与管理 网络安全 校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。 来源于网内的威胁主要是病毒攻击和黑客行为攻击。 根据统计，威胁校园网安全的攻击行为大概有 40％左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。 威胁网络安全因素分析 计算机网络安全受到的威胁包括： 1.“黑客”的攻击； 2. 计算机病毒； 3. 拒绝服务攻击（ Denial of Service Attack）。 安全威胁的类型： 非授权访问。 指对网 络设备及信息资源进行非正常使用或越权使用等。 如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。 冒充合法用户。 主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。 破坏数据的完整性。 指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。 干扰系统正常运行，破坏网络系统的可用性。 指改变系统的正常运行方法，减慢系统的响应时间等手段。 这会使合法用户不能正常访问网 35 络资源，使有严格 响应时间要求的服务不能及时得到响应。 病毒与恶意攻击。 指通过网络传播病毒或恶意 Java、 active X等，其破坏性非常高，而且用户很难防范。 软件的漏洞和“后门”。 软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。 另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言。 如 Windows的安全漏洞便有很多。 电磁辐射。 电磁辐射对网络信息安全有两方面影响。 一方面，电磁辐射能够破坏网络中的数据和软件，这 种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。 另一方面，电磁泄漏可以导致信息泄露。 网络安全防范措施 在不改变原有网络结构的基础上实现多种信息安全，保障 校园 内部网络安全 ，我们选购了一套网络安全防范设备。 1 瑞星杀毒软件网络版 1. 超强病毒查杀 2. 智能主动防御 3. 增强型全网漏洞管理 4. 强大的网络管理能力是网络安全的基础部署 、 控制 、 执行 、 升级 、报告和日志 、 二次开发。 5. 兼容多种平台 6. 一体化智能服务体系 36 2 瑞星企业级防火墙 瑞星全功能 NP防火墙是一款整合多种安全防护功能的智能网络安全防火墙，它是瑞星公司针对中小企业级用户定制的一款高端防火墙，型号为： RFWSME。 瑞星全功能 NP防火墙整合了多种安全防护功能，是建构中小型企业网络的最佳选择。 RFWSME拥有通用防火墙功能、网络地址转换（ NAT）、主动式入侵检测（ IDS）、虚拟专网（ VPN）、带宽管理、内容过滤、以及策略管理等功能。 通过架设瑞星全功能 NP防火墙，可以保护用户的网络免于黑客的攻击，同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务，还提供了不同等级 的网络带宽管理，让一些特殊的应用服务可以确保使用带宽。 3 瑞星入侵检测系统 作为一种防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 瑞星 RIDS100入侵检测系统能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，另外 RIDS100 入侵检测系统可以与防火墙联动，自动配置防火墙策略，配合防火墙系 统使用，可以全面保障网络的安全，组成完整的网络安全解决方案。 为了加强对引擎进行访问的用户的管理， RIDS100 系统设计了一套完善的用户管理机制，每个管理用户配有一把电子钥匙（串口或 USB 接口）， 37 内装有该用户的密钥和加密算法。 用户在对系统进行管理时必须插入自己的钥匙并输入正确的口令。 检测引擎的接入对被保护网络是透明的，它对被保护网络的任何流量和请求均不做反应，不影响被保护网络的性能。 网络管理 网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。 网络管理的内容 (1） 网络故障管理 ； (2) 网络配置管理 ； (3) 网络性能管理 ； (4) 网络计费管理 ； (5) 网络安全管理。 网络管理的手段 在校园网络管理方面，为了便于校园网络管理人员的管理及维护，我们选购 Quidview 网络管理软件。 Quidview 网络管理软件基于灵活的组件化结构，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现 “ 按需建构 ”。 Quidview 网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、 VPN 监视与部署、软件升级管理、配置文 件管理、告警和性能管理等功能。 支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。 1. 网络集中监视 Quidview 网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方 38 式对网络参数进行配置修改，保证网络以最优性能正常运行。 2. 故障管理 故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。 3. 性能监控 Quidview 网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。 通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。 通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。 3. 服务器监视管理 服务器是企业 IP 架构中的重要组成部分，通过 Quidview，可实现服务器与设备的统一管理。 4. 设备配置文件管理 当网络规模较大时，网络管理员的配置文件管理工作将十分繁重，如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文件。 这样就给网络管理员管理、维护网络带来一定的困难。 Quidview 网络 配置中心支持对设备配置文件的集中管理，包括。