计算机网络技术--论某高校校园网络的建设与规划(编辑修改稿)

计算机网络技术--论某高校校园网络的建设与规划(编辑修改稿)内容摘要：

一的身份认证系统。 校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。 12 严格规范上网场所的管理，集中进行监控和管理。 上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。 根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度。 网络安全的技术是多样化的，现状还是 “道高一尺，魔高一丈 ”，因此管理的工作就愈发重要和艰巨，必须 要 做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。 [2] 校园网络安全措施 前述各种网络安全威胁，都是通过 网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。 为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。 杀毒软件。 杀毒产品的部署 . 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。 为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能 .。 （ 1）在学校网络中心配置一台高效的 Windows2020 服 务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。 （ 2）在各办公室分别安装杀毒软件的客户端。 （ 3）安装完杀毒软件，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。 （ 4）网络中心负责整个校园网的升级工作。 采用 VLAN 技术。 VLAN 技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。 VLAN 技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问 的目的。 内容过滤器。 13 内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。 同时，可以限制外来的垃圾邮件。 防火墙。 在与 Inter 相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。 在防火墙设置上按照以下原则配置来提高网络安全性 : (1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。 总体上遵从“不被允许的服务就是被禁止”的原则 . (2） 禁止访问系统级别的服务 ( 如 HTTP , FTP 等 )。 局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。 (3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。 (4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 (5）允许通过配置网卡对防火墙设置，提高防火墙 管理安全性 . 入侵检测。 入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。 扩展系统管理员的安全管理能力．提高信息安全基础结构的完整性。 入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。 入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。 漏洞扫描。 随着软件规模的不断增大．系统中的安全漏洞或“后门”也不可避免地存在．因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查 ，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。 3. 校园网络安全系统设计 安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。 学校建立了一套校园网络安全 系统 ，制定详细的安全管理制度，如机房管理制度、病毒 12 防范制度等，并采取切实有效的措施保证制度的执行，并定期对校内教师进行计算机网络安全知识培训，或发放常见病毒解决方案等。 校园网建设需求分析 需求分析 局域网最大的特点就是可以实现资源的最佳利用 ,如 :共享磁盘设备、打印机等 ,从而可以在组建的局域 网内部互相调用文件 ,并可在任何一台共享打印机上进行打印。 当然也可以借助 Wingate 或 Sygate 等软件多机共享一台 Modem 上网；或者通过代理服务器连上 Inter，享受非一般的速度。 网卡根据传输速率可分为： 10Mbps网卡（ ISA 插口或 PCI 插口）、 100Mbps PCI 插口网卡、 10Mbps/100Mbps 自适应网卡和千兆网卡。 目前 10Mbps ISA 插口的网卡仍以其低廉的价格占有市场的一定份额，但由于 10Mbps ISA 插口网卡的网络传输速率低，且占用大量的 CPU 资源，只适应于那些对速度要求不 高的局域网，因此用 100Mbps PCI 插口的网卡或者10Mbps/100Mbps 自适应网卡，够适应于用户比较多，网上传输的数据量大和需要进行多媒体信息传输的应用环境。 BNC 口是用细同轴电缆作为传输媒介的一种网卡接口。 RJ45 是采用双绞线作为传输媒介的一种网卡接口， RJ45 的接口酷似电话线的接口，但网络线使用的是 8芯的接头，使用 RJ45 的缺点是架设成本高，但安装和维护较为方便，因此我们一般使用 RJ45 接口。 集线器 (HUB):根据微机的数量 ,利用 HUB 构成星形结构 ,在工作站较多的情况下 ,会因 HUB 的处理速率远远低于通信线路的传输速度 ,从而造成瓶颈问题。 因此有条件的话可选用交换机。 一个 Hub 所组成的域称为冲突域 ,也就是说 ,网络上任何一台计算机在收发数据时 ,其他所有计算机都能够收到 ,且这些计算机不能同时进行数据的收发 ,否则会发生碰撞 (CSMA/ CD 协议会阻止碰撞 )。 此外每台接入 Hub 的计算机 ,都要检测接收到的数据目的地址 ,以确认是否是收到自己的通信信息 ,因此计算机 CPU占用率高 ,全网通信效率低 ,只适用于小型工作组级别应用。 学校校园网是为学校师生提供教学、管理、科研和综合 信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段；也是一项灵魂工程。 其设计方案应注意以下原则： 实用性校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥， 13 并且便于掌握。 可靠性校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的 MTBF(平均无故障工作时间 )和极低的 MTBR(平均无故障率 )，提高容错设计，支持故障检测和恢复，可管理性强。 统一性在系统的设计过程中，坚持 三统一 ，即统一规划、统一标准、统一出口。 先进性在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。 关键设备 在产品选购之前一定要经过认真的分析，这次参与组网的机构选用美国 Cisco公司的 Catalyst 6506 作为数据网络系统的内部核心交换机， Catalyst 6506 是大 容量的具有高交换能力的第三层模块化交换机， Catalyst 6506 的交换容量以及端口数量等技术指标足以满足网络目前的需求。 选择 Catalyst 3548 作为外网交换机。 可以通过千兆的光纤链路连接到核心交换机，而所有的用户终端可以通过 10/100M 自适应通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交换机上。 选择 Catalyst 3524 和Catalyst 3548 作为计算机网络系统的二级汇聚交换机，为终端用户提供 10/100M 到桌面。 选择 Cisco 3662 作为计算机网络系统 DDN、 ISDN 访问路由器，既可以满足上级单位 Inter 的 DDN、 ISDN 接入的需求，又可以满足继续扩展的需求。 同时Cisco 3662 作为计算机网络系统的拨号服务器，提供分支机构的拨号接入。 网络核心层：用一台 Cisco 的高端三层交换机 Catalyst 6506 作为整个交换系统的核心，由网络中心网络管理员统一调度，从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。 其中配置两个电源同时供电，彼此分担负荷并互为备份。 一块 WSX6KS1AMSFC2 交换引 擎是交换机的心脏，它控制交换机的寻址、数据转发、模块控制等。 Catalyst6506 交换机引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有极强的三层交换能力，利用 Cisco 特有的 Netflow 技术，完全满足核心线性三层交换的能力。 另一块WSX6408GBIC 的 8 端口千兆以太光纤模块将所有的汇聚层设备、接入层设备、网管工作站及网络应用服务器都直接连入到核心层设备上去。 汇聚层：在分配线间分别设立 Cisco Catalyst 3524 和 Catalyst 3548 作为计算机网络系统汇聚层设备，汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备 Catalyst 6506 上去，终端用户可以通过超 5 类 UTP 线缆连接到各层交换机中去， 14 可以实现 10/100M 的自适应通道连接到局域网中去。 接入层；在网络接入层中我们选用了一台 Cisco 3660 路由器作为广域互连和外部用户拨号访问网关，其中主要采用了两种接入方式分别实现各自功能： 1. ADSL 接入方式。 2. FTTX+LAN 接入方式。 校园网网络拓扑结构 根据校园网的需求分析及建设目标 ，本设计方案采用交换式千兆以太网作为主干，百兆交换到桌面。 网络拓扑采用星型树结构，网络中心的交换机使用堆叠方式连接。 技术方案 校园网的建设规划 校园网建设作为一项复杂的系统工程，与任何一项工程建设一样，在开始建设前都要根据工程的特点事先进行详细的工程规化与技术需求分析，它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系，因此要特别认真地进行系统规划。 对于校园网来说，必须对技术和教育的发展前景有着清醒的认识，只有这样，才能从很好地为校园网进行合理 的规划。 1． 校园网的应用特点 随着现代化教学活动的开展和与国内外教学机构交往的增多，对通过网络进行信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥师生的创造力，校园网络建设成为现代教育机构的必然选择。 校园网大都属于中小型系统，以园区局域网为主，一个基本的校园网具有以下的特点： 高速的局域网连接 校园网的核心为面向校园内部师生的网络，因此园区局域网是该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求； 信息结构 多样化 校园网应用分为电子教学（多媒体教室、电子图书馆等）、学校管理和远程通讯（远程教学、互联网接入）三大部分内容：电子教学包含大量多媒体信息，学校管理以数据库为主，远程通讯则多为 WWW 方式，因此数据成分复杂，不同类型数据对网络传输有不同的质量需求； 操作方便，易于管理 校园网面向不同知识层次的教师、学生和办公人员，应用和管理应简便易行，界面友好，不宜太过专业化； 15 经济实用 学校对网络建设的投入有限，因此要求建成的网络应经济实用，具备很高的性能价格比。 2．校园网的需求分析 在着手设计一个校 园网或者计算机局域网时，其主要依据就是网络用户（学校）的需求及将要建设的网络系统的特点。 通过对实际需要进行细致的分析，才能确定系统的总体目标和近期目标。 需求分析是如何设计、建设和应用校园网的关键。 在完成校园网的需求分析之后，就要对整个校园进行物理结构和逻辑结构的设计。 校园网具体的需求分析有如下几点： （ 1） 总体目标 对于一个校园网来说，系统的总体目标就是在一个时期内，当校园网完全建设好后所要达到的功能和具有的规模。 一般来说，一个校园网系统总体目标是分步实施的，包括功能的分步实施和规模的分步实施。 主要原因是 受资金的限制（这是在。