中学校园网络建设规划与设计

中学校园网络建设规划与设计内容摘要：

可以根据需要加入不同的虚拟局域网。 当网络规模很大时，网上的广播信息会很多，能解决了 网络恶化 、 广播 风暴 、 网络堵塞。 实现的信息服务 需 要的基本功能有： 电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动； 文件传输 FTP：主要利用 FTP 服务获取重要的科技资 8 料和技术文挡； INTERNET 服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见等。 计算机教学，包括多媒体教学和远程教学； 图书馆访问系统，用于计算机查询、计算机检索、计算机阅读等； 其他应用，如大型分布式数据库系统、超性能计算资源共 享、管理系统、视频会议等。 应用程序 出于对校园网的功能分析，在校园网上运行的应用程序有如下几种：文件传输系统、邮件系统、办公自动化系统、宿舍管理系统、学生档案管理系统、教学系统等一系列网络平台。 存储系统分析 根据我们选用的是开放的 Windows、 UNIX、 Linux 等操作系统的服务器，开放系统的网络化存储根据传输协议又分为 :网络接入存储 (NetworkAttached Storage，简称 NAS)和存储区域网络 (Storage Area Network，简称 SAN)。 系 统及数据安全分析 所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。 目前恐怕没有绝对安全的操作系统可以选择，无论是 Microsfot 的 Windows NT 或者其它任何商用 UNIX 操作系统，其开发厂商必然有其 BackDoor。 因此，我们可以得出如下结论：没有完全安全的操作系统。 不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。 因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。 而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证）， 确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 应用系统安全 与 具体的应用有关，它涉及面广。 应用系统的安全是动态的、不断变化的。 应用系统的安全性涉及到信息、数据的安全性。 信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。 在某些网络系统中，涉及到很多机密信息，如果一 9 些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。 因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。 采用多层次的访 问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息（包括管理员口令与帐户、上传信息等）的机密性与完整性。 QoS QoS 的英文全称为 Quality of Service，中文名为 服务质量。 QoS 是网络的一种安全机制 , 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如 Web 应用，或 Email 设置等。 但是对关键应用和多媒体应用就十分必要。 当网络过载或拥塞时， QoS 能确保重要业务量不受 延迟或丢弃，同时保证网络的高效运行。 QoS 具有如下功能： （一） 分类 分类是指具有 QoS 的网络能够识别哪种应用产生哪种数据包。 没有分类，网络就不能确定对特殊数据包要进行的处理。 所有应用都会在数据包上留下可以用来识别源应用的标识。 分类就是检查这些标识，识别数据包是由哪个应用产生的。 以下是 4 种常见的分类方法。 (1)协议 有些协议非常 “ 健谈 ” ，只要它们存在就会导致业务延迟，因此根据协议对数据包进行识别和优先级处理可以降低延迟。 应用可以通过它们的EtherType 进行识别。 譬如， AppleTalk 协议采用 0x809B， IPX 使用 0x8137。 根据协议进行优先级处理是控制或阻止少数较老设备所使用的 “ 健谈 ” 协议的一种强有力方法。 (2)TCP 和 UDP 端口号码 许多应用都采用一些 TCP或 UDP 端口进行通信，如 HTTP采用 TCP 端口 80。 通过检查 IP 数据包的端口号码，智能网络可以确定数据包是由哪类应用产生的，这种方法也称为第四层交换，因为 TCP 和 UDP 都位于 OSI模型的第四层。 (3)源 IP 地址 许多应用都是通过其源 IP 地址进行识别的。 由于服务器有时是专 10 门针对单一应用而配置的 ，如电子邮件服务器，所以分析数据包的源 IP 地址可以识别该数据包是由什么应用产生的。 当识别交换机与应用服务器不直接相连，而且许多不同服务器的数据流都到达该交换机时，这种方法就非常有用。 (4)物理端口号码 与源 IP 地址类似，物理端口号码可以指示哪个服务器正在发送数据。 这种方法取决于交换机物理端口和应用服务器的映射关系。 虽然这是最简单的分类形式，但是它依赖于直接与该交换机连接的服务器。 （二） 标注 在识别数据包之后，要对它进行标注，这样其他网络设备才能方便地识别这种数据。 由于分类可能非常复杂，因 此最好只进行一次。 识别应用之后就必须对其数据包进行标记处理，以便确保网络上的交换机或路由器可以对该应用进行优先级处理。 通过采纳标注数据的两种行业标准，即 IEEE 或差异化服务编码点 (DSCP)，就可以确保多厂商网络设备能够对该业务进行优先级处理。 在选择交换机或路由器等 产品时，一定要确保它可以识别两种标记方案。 虽然 DSCP 可以替换在局域网环境下主导的标注方案 IEEE ，但是与 IEEE 相比，实施 DSCP 有一定的局限性。 在一定时期内，与 IEEE 设备的兼容性将十分重要。 作为一种过渡机制，应选择可以从一种方案向另一种方案转换的交换机。 （三） 优先级设置 一旦网络可以区分电话通话和网上浏览，优先级处理就可以确保进行Inter 上大型下载的同时不中断电话通话。 为了确保准确的优先级处理，所有业务量都必须在网络骨干内进行识别。 在工 作站终端进行的数据优先级处理可能会因人为的差错或恶意的破坏而出现问题。 黑客可以有意地将普通数据标注为高优先级，窃取重要商业应用的带宽，导致商业应用的失效。 这种情况称为拒绝服务攻击。 通过分析进入网络的所有业务量，可以检查安全攻击，并且在它们导致任何危害之前及时阻止。 在局域网交换机中，多种业务队列允许数据包优先级存在。 较高优先级的业务可以在不受较低优先级业务的影响下通过交换机，减少对诸如话音或视频等对时间敏感业务的延迟事故。 11 为了提供优先级，交换机的每个端口必须有至少 2 个队列。 虽然每个端 口有更多队列可以提供更为精细的优先级选择，但是在局域网环境中，每个端口需要4 个以上队列的可能性不大。 当每个数据包到达交换机时，都要根据其优先级别 分配到适当的队列，然后该交换机再从每个队列转发数据包。 该交换机通过其排 队机制确定下一步要服务的队列。 有以下 2 种排队方式。 (1)严格优先队列 (SPQ) 这是一种最简单的排队方式，它首先为最高优先级的队列进行服务，直到该队列为空，然后为下一个次高优先级队列服务，依此类推。 这种方法的优势是高优先级业务总是在低优先级业务之前处理。 但是，低优先级业务有可能被高优先级业务 完全阻塞。 (2)加权循环 (WRR) 这种方法为所有业务队列服务，并且将优先权分配给较高优先级队列。 在大多数情况下，相对低优先级， WRR 将首先处理高优先级，但是当高优先级业务很多时，较低优先级的业务并没有被完全阻塞。 网间隔离 面对新型网络攻击手段的出现和高安全度对 网络 的特殊需求，全新安全防护防范理念的网络安全技术 ――“ 网络隔离技术 ” 应运而生。 网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。 网络隔离技术是在原有安全技术的基础上发 展起来的，它弥补了原有安全技术的不足，突出了自己的优势。 网络隔离，英文名为 Network Isolation,主要是指把两个或两个以上可路由的网络（如： TCP/IP）通过不可路由的协议（如： IPX/SPX、 NetBEUI 等）进行数据交换而达到隔离目的。 由于其原理主要是采用了不同的协议所以通常也叫协议隔离（ Protocol Isolation） 网络隔离是指在一个网络系统中划分边界，分割不同安全域的技术。 网络安全的重点在于边界保护，采用隔离技术明确边界后，我们就能根据应用环境的具体需求实施相应的边界控 制策略。 具体而言，采用网络隔离技术有以下优点： 12 采用隔离技术划分安全域后，一个区域内的安全问题可以被控制在本区域以内，不会对其它区域造成影响，从而提高了系统整体的可控性和稳定性。 采用隔离技术划分安全域后，可以根据需求灵活制定访问控制策略，便于在不同粒度上隔离攻击。 安全是要考虑成本的。 对于重要的资源，我们可以采取隔离技术对其进行重点保护，使有限的投入获得最佳的效果，这也符合国家分级保护的要求。 13 第 3 章 拓扑图及方案整体描述 主干网传输方案设计 网络中心设在实验楼的一层，以实验楼为中心，选择 星形拓扑结构，网络主干最好选用光纤，以便采用链路聚合技术及备份线路。 光纤布线采用星型结构，即由实验楼网络中心向其它建筑辐射。 建筑内部布线采用 5 类双绞线进行垂直和水平布线，如建筑物规模较大，也可部分采用室内多模光纤。 双绞线的接法采用EIA/TIA568B 标准。 设计时要依据 EIA/TIA568 工业标准及国商务布线标准。 （ 1）主干网汇接各子网，形成中心交换。 （ 2）子网通过交换机连接到主干网。 （ 3）网络中心的网络构成一个单独的子网，汇接到主干网。 （ 4）在网络中心进行集中控制和管理。 （。