Internet接入方案及網(wǎng)絡(luò)組建一例網(wǎng)絡(luò)工程專業(yè)

XXXX大學(xué)大學(xué)Internet接入方案及網(wǎng)絡(luò)組建一例接入方案及網(wǎng)絡(luò)組建一例摘要近幾年來，全國的校園網(wǎng)迅速發(fā)展，用校園網(wǎng)來進行教學(xué)、辦公，不僅有利于提高教學(xué)，辦公的效率，還可以從互連網(wǎng)上取得大量的相關(guān)資料，節(jié)省大量的時間和精力。XX 大學(xué)大力發(fā)展基礎(chǔ)建設(shè)，進行教學(xué)樓、宿舍樓和辦公樓的擴建；大量的擴招學(xué)生，網(wǎng)絡(luò)應(yīng)用與需求急劇增加，從而引發(fā)了網(wǎng)絡(luò)計費與網(wǎng)絡(luò)安全等相關(guān)問題，這就使得現(xiàn)有校園網(wǎng)絡(luò)必須進行相應(yīng)的擴容。本文詳細(xì)地闡述了校園網(wǎng)的產(chǎn)生、發(fā)展，并對XX 大學(xué)目前的狀況進行適當(dāng)?shù)恼{(diào)查，提出了一系列建設(shè)校園網(wǎng)的解決方案，主要工作如下：1. 介紹我國校園網(wǎng)的產(chǎn)生、發(fā)展，校園網(wǎng)建設(shè)的目的和普遍面臨的問題。2. 通過對 XX 大學(xué)的相關(guān)調(diào)查，闡述了 XX 大學(xué)網(wǎng)絡(luò)應(yīng)用特點和應(yīng)用需求分析，以及網(wǎng)絡(luò)產(chǎn)品如何滿足校園網(wǎng)用戶的多方面需求。3. 針對 XX 大學(xué)的需求提出了整體的解決方案。怎樣利用網(wǎng)絡(luò)設(shè)備，進一步發(fā)揮各種設(shè)備的功能，實現(xiàn)學(xué)校各項業(yè)務(wù)系統(tǒng)的集成，提高應(yīng)用水平將是學(xué)校校園網(wǎng)建設(shè)的一個工作重點。4. 針對如何保障校園網(wǎng)的安全，提出了 XX 大學(xué)校園網(wǎng)安全解決方案。關(guān)鍵字：關(guān)鍵字：交換機;路由器;防火墻;綜合布線;網(wǎng)絡(luò)安全 AINSTANCE OF INTERNET ACCESSION ANDNETWORK CONSTRUCTION FOR THE CHANGSHA UNIVERSITYABSTRACT In recent years, campus network of the whole country is developed rapidly. Carrying on teaching in campus network and handling official business not only help to improve the efficiency of teaching and handling official business, but also obtain a large amount of relevant materials from Internet , saving a large amount of time and energy. Chang sha University now develops capital construction in a more cost-effective manner, carries on the enlargement of the teaching building, dormitory building and office building. Expanding and recruiting a large number of students increase our networks application and demand sharply. Thus this caused the question on the networks charge and correlation with online security, etc. It suggests the existing campus network given correspondingly expansion. This paper has explained the production and development of campus network in detail, by carrying on the proper investigation to the present status of Chang sha University, and had put forward a series of solutions of building campus network. The groundwork is as follows: 1. Introduce the production and development of campus network of our country, the purpose of campus network construction and problems that we are generally face to. 2. Based on the relevant correct investigation of Chang sha University, explain the network application characteristic of Chang sha University and use the demand to analyze how the networking products meet campus network users demands in many aspects. 3. Propose the whole solution to the demand of Chang sha University. How to utilize network equipment, give play to the different equipment function ulteriorly, and carry out a school various integrations of business systems will be focal points of the work of campus network construction of the school to improve the application level. 4. Aiming at how to guarantee the safety of campus network, propose the safe solution of campus network of Chang sha University. Key words: :Exchanger; Router; Fire wall; Integrated wiring; Network security 目 錄第一章 緒論- - - - -11.1 校園網(wǎng)建設(shè)背景 -11.2 校園網(wǎng)升級建設(shè)的原則- -1第二章 XX 學(xué)院網(wǎng)改網(wǎng)絡(luò)設(shè)計方案-3 2.1 拓?fù)鋱D-32.2 核心層-62.3 匯聚層-72.4 接入層-72.5 路由器 -82.6 防火墻 -10第三章 XX 學(xué)院網(wǎng)絡(luò)布線方案-123.1 布線要求-123.2 結(jié)構(gòu)化布線系統(tǒng)設(shè)計說明-133.2.1 工作區(qū)子系統(tǒng)-143.2.2 水平子系統(tǒng)-173.2.3 設(shè)備間子系統(tǒng)設(shè)計說明-183.2.4 管理子系統(tǒng)功能-183.2.5 設(shè)備間子系統(tǒng)功能-20 3.2.6 建筑群子系統(tǒng)設(shè)計說明-22第四章 校園網(wǎng)的 IP 規(guī)劃及路由設(shè)計-234.1 地址編制原則-234.2 IP 地址編制方法-234.3 XX 學(xué)院 IP 地址規(guī)劃-24第五章 校園網(wǎng)綜合管理方案-27 5.1 校園網(wǎng)用戶管理計費需求分析-275.2 基于網(wǎng)絡(luò)設(shè)備的安全措施-28 5.3 網(wǎng)絡(luò)監(jiān)控軟件技術(shù)需求-29第六章 網(wǎng)絡(luò)信息平臺的建設(shè)-316.1 網(wǎng)絡(luò)服務(wù)器的選擇標(biāo)準(zhǔn)-316.2 服務(wù)器的選型 -32第七章 總結(jié)-34參考文獻-35致謝-36- 第 頁 共 36 頁1第一章 緒論1.11.1 校園網(wǎng)建設(shè)背景 根據(jù)國家的教育信息化的發(fā)展規(guī)劃，結(jié)合本校教育的發(fā)展需要，建設(shè)一個以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進、擴展性強、適應(yīng)我國國情的網(wǎng)絡(luò)教學(xué)、自動化辦公管理的信息基礎(chǔ)設(shè)施。本校園網(wǎng)方案設(shè)計，本著“萬兆骨干，千兆備份、百兆到桌面”的原則。校園網(wǎng)采用萬兆雙核心，物理上覆蓋學(xué)校辦公樓、綜合樓、教學(xué)樓、體育館及教工宿舍、學(xué)生宿舍等建筑物，萬兆的骨干網(wǎng)為將來網(wǎng)絡(luò)的擴展和用戶的增加奠定了基礎(chǔ)，也為校園網(wǎng)的信息化建設(shè)提供了有力的支持；千兆備份，可以使網(wǎng)絡(luò)核心設(shè)備和服務(wù)器之間互相備份；百兆到桌面，使學(xué)校所有部門的網(wǎng)絡(luò)和計算機都能方便地連接到網(wǎng)絡(luò)；采用先進、成熟的網(wǎng)絡(luò)技術(shù)，高質(zhì)量的網(wǎng)絡(luò)設(shè)備，構(gòu)建一個先進的、易擴充的、高度穩(wěn)定的校園網(wǎng)絡(luò)平臺。校園網(wǎng)通過光纖接入 Internet，校園網(wǎng)用戶能便捷的使用 Internet 上的資源。校園網(wǎng)應(yīng)設(shè)計有效的網(wǎng)絡(luò)安全整體方案，既能抵御外界黑客的攻擊和病毒的侵蝕，又能防止來自網(wǎng)絡(luò)內(nèi)部的破壞。網(wǎng)絡(luò)管理方面需要采用一個可靠、便捷、功能強大的網(wǎng)絡(luò)管理系統(tǒng)來充分有效的進行統(tǒng)一管理。1.2 校園網(wǎng)升級建設(shè)的原則（1）先進性：借鑒國內(nèi)外目前流行的主流網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)運行系統(tǒng)，采用最新的組網(wǎng)技術(shù)，以保持網(wǎng)絡(luò)系統(tǒng)的先進性。并在系統(tǒng)建成后較長的一段時間內(nèi)，能滿足需求增長的要求，今后在更新的技術(shù)開始應(yīng)用的時候，能便利地進行升級。（2）標(biāo)準(zhǔn)化：系統(tǒng)設(shè)計過程中充分依照國際上的規(guī)范和標(biāo)準(zhǔn)，網(wǎng)絡(luò)產(chǎn)品要符合國際標(biāo)準(zhǔn)，支持多種標(biāo)準(zhǔn)的通訊協(xié)議、傳輸方式及接口標(biāo)準(zhǔn)。（3）可靠性：在設(shè)計方案充分體現(xiàn)技術(shù)先進性的同時，還要能保證技術(shù)的成熟性，同時所選用的網(wǎng)絡(luò)設(shè)備應(yīng)具有較高的可靠性。（4）高性能：該網(wǎng)絡(luò)系統(tǒng)要為多種業(yè)務(wù)服務(wù)提供有效的網(wǎng)絡(luò)支持，因此，必須能夠提供核心交換機具有高性能、高帶寬的特性，整網(wǎng)的核心交換機要求能夠提供無瓶頸的數(shù)據(jù)交換。- 第 頁 共 36 頁2（5）可管理性：隨著系統(tǒng)的投入運行和系統(tǒng)資源的不斷增加，網(wǎng)絡(luò)系統(tǒng)應(yīng)有很好的可管理性，可維護性，使管理人員易于維護，減少不必要的額外勞動，從而提高工作效率。（6）實用性：所設(shè)計的系統(tǒng)應(yīng)具有很強的實用性，可以滿足不同信息服務(wù)的實際需要，具有很高的性能價格比，能為多種應(yīng)用系統(tǒng)提供強有力的支持平臺。（7）安全可靠性：需要建立完善的網(wǎng)絡(luò)安全體系，提供多種方式和層次的訪問控制安全機制，可進行端到端的安全性控制，保護網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)安全。（8）可增值性：校園網(wǎng)的建設(shè)、使用和維護需要投入大量的人力、物力，因此要充分考慮業(yè)務(wù)的擴展能力，能針對不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。- 第 頁 共 36 頁3第二章 XX 學(xué)院網(wǎng)改網(wǎng)絡(luò)設(shè)計方案XX 學(xué)院校園核心層解決方案總體設(shè)計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進性、成熟性，并采用模塊化的設(shè)計方法1。組網(wǎng)圖如 2-1 節(jié)所示：2.1 拓?fù)鋱D：XX 大學(xué)校園網(wǎng)總拓?fù)鋱D： 匯聚層交換機萬兆光纖東區(qū)西區(qū)南區(qū)北區(qū)藝術(shù)樓核心層交換機INTERNETCERNET內(nèi)部服務(wù)器內(nèi)部服務(wù)器防火墻Quidway S6506Quidway S6506QuidwayS5624FQuidwayS5624FQuidwayS5624FQuidwayS5624FQuidwayS5624FQuidway NE20博華網(wǎng)龍YG-FWS-S30外部服務(wù)器外部服務(wù)器 總拓?fù)鋱D千兆雙絞線圖 2-1 校園總拓?fù)鋱D 如圖將 XX 學(xué)院以科技樓為中心共分為五個區(qū)，分別為：東區(qū)、南區(qū)、西區(qū)、北區(qū)和藝術(shù)樓區(qū)，各分區(qū)網(wǎng)絡(luò)圖如下：- 第 頁 共 36 頁4 匯聚層交換機接入層交換機千兆雙絞線QuidwayS5624FQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SI東區(qū)女九棟共計30個信息點教師宿舍3、4共計126個信息點圖書館共計68個信息點車庫樓共計30個信息點男十棟共計64個信息點實驗樓共計68個信息點圖 2-2 校園東區(qū)拓?fù)鋱D 匯聚層交換機接入層交換機千兆雙絞線QuidwayS5624FQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SI南區(qū)寧靜樓共計30個信息點辦公樓共計110個信息點教師宿舍1、2棟共計54個信息點女七、八棟共計66個信息點圖 2-3 校園南區(qū)拓?fù)鋱D- 第 頁 共 36 頁5 洪三、國策樓共計107個信息點匯聚層交換機接入層交換機千兆雙絞線QuidwayS5624FQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SI西區(qū)女五、六棟共計84個信息點教師宿舍5、6共計96個信息點洪一、二棟共計58個信息點洪五棟共計42個信息點圖 2-4 校園西區(qū)拓?fù)鋱D 新教學(xué)樓共計123個信息點匯聚層交換機接入層交換機千兆雙絞線Quidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidwayS5624F北區(qū)維智園區(qū)共計180個信息點匯澤園、新體育館共計1068個信息點科技樓共計160個信息點圖 2-5 校園北區(qū)拓?fù)鋱D- 第 頁 共 36 頁6 匯聚層交換機接入層交換機千兆雙絞線QuidwayS5624FQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SI藝術(shù)樓區(qū)藝術(shù)樓共計169個信息點學(xué)生宿舍一共計200信息點學(xué)生宿舍二共計200個信息點學(xué)生宿舍三共計200個信息點圖 2-6 藝術(shù)樓區(qū)拓?fù)鋱D2.2 核心層：本次方案用兩臺萬兆核心交換機作為校園網(wǎng)的核心層，使用萬兆互連雙核心結(jié)構(gòu)，使網(wǎng)絡(luò)核心設(shè)備不但可以互相備份，而且有效的減輕流量負(fù)荷，使設(shè)備時刻保持穩(wěn)定和高效，因此采用華為 3COM 公司的 Quidway S6506 萬兆交換機作為校區(qū)核心設(shè)備。兩個萬兆交換機通過 1G 鏈路捆綁相連。QuidwayS6506 能夠為城域網(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心提供超高速鏈路，打造低成本、高性能、具有豐富業(yè)務(wù)支持能力的高性能網(wǎng)絡(luò)。QuidwayS6506 提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能，128Gbps 的背板帶寬，可升級至 1638G，包轉(zhuǎn)發(fā)率達到 432Mpps，同時具有豐富的業(yè)務(wù)功能、強大的 QoS 保障、完善的安全管理機制和電信級的高可靠設(shè)計，完全滿足行業(yè)客戶和運營商用戶對多業(yè)務(wù)、高可靠、大容量、模塊化的需求。2.3 匯聚層：- 第 頁 共 36 頁7本次組網(wǎng)中，在匯聚層交換機的選擇上，我們?nèi)坎捎萌д坠饫w交換機，此千兆光纖交換機可擴展為萬兆的光纖交換機，因此選用華為的 QuidwayS5624F，系統(tǒng)采用華為-3COM 公司創(chuàng)新的 IRF（Intelligent Resilient Framework，智能彈性架構(gòu))技術(shù)，支持高達 96G 的堆疊帶寬和高密度千兆端口，支持萬兆上行。特別適合作為需要高帶寬、高性能和高擴展性的大型企業(yè)網(wǎng)絡(luò)和校園網(wǎng)的匯聚層以及數(shù)據(jù)中心的服務(wù)器接入設(shè)備。以太網(wǎng)交換機主機(PSL130-AD（130W 系統(tǒng)輸出電源模塊）交流輸入或者直流輸入), 后面板提供兩個固定的堆疊接口和一個擴展模塊插槽，擴展模塊可選配 8 端口千兆 SFP 模塊、1 端口萬兆模塊或 2 端口萬兆模塊。前面板提供 24 個千兆 SFP 接口和4 個 como 的 10/100/1000Base-T 自協(xié)商以太網(wǎng)端口（RJ-45 連接器）4 端口千兆以太網(wǎng)多模光接口模塊（850nm，LC） 。是非常理想的高帶寬、高性能和高擴展性的大型園區(qū)網(wǎng)的匯聚層設(shè)備。2.4 接入層: 接入層交換機我們必須要考慮到學(xué)校以下的幾點實際情況： 第一，在網(wǎng)絡(luò)接入層，網(wǎng)絡(luò)設(shè)備需要支持基于 MAC 地址 IEEE802.1X 功能和基于端口 IEEE802.1X 功能，以此保證賬號的惟一性；此外還要求適應(yīng)大量用戶并發(fā)認(rèn)證及復(fù)雜的工作環(huán)境等。第二，能夠有效解決用戶盜用問題。學(xué)院明確提出要做到計費系統(tǒng)能夠綁定用戶名字、IP 地址、MAC 地址和交換機端口，以有效防止盜用現(xiàn)象。第三，能夠解決用戶惡意篡改 IP 的現(xiàn)象。本科生宿舍網(wǎng)經(jīng)常存在一些學(xué)生利用宿舍網(wǎng)隨意篡改自己的 IP，學(xué)校要求必須解決這一 IP 惡意篡改的現(xiàn)象因此我們采用 Quidway S3000 SI 系列快速以太網(wǎng)交換機為二層線速智能型可網(wǎng)管的盒式以太網(wǎng)交換機產(chǎn)品，使用華為-3Com 公司網(wǎng)絡(luò)產(chǎn)品通用的 VRP（通用路由平臺）網(wǎng)絡(luò)操作系統(tǒng)，提供完善的線速流量交換、VLAN 控制等機制，提供完備的業(yè)務(wù)控制和用戶管理能力，可用于大型企業(yè)網(wǎng)絡(luò)的桌面設(shè)備，或中小企業(yè)的二層匯聚交換機，也可用于以太網(wǎng)寬帶接入應(yīng)用環(huán)境，是寬帶城域網(wǎng)小區(qū)匯聚/接入的理想產(chǎn)品。這款交換機提供 12.8Gbps 的總線帶寬，為交換機所有的端口提供二層線速交換能力，包轉(zhuǎn)發(fā)率達到 6.55Mpps，而且這款交換機可以在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，同時動態(tài)的配置 VLAN，有效的控制用戶訪問網(wǎng)絡(luò)資源。并且支持端口限速功能，可以最大 16 級的帶寬控制粒度進行端口帶寬分配，控制用戶的接入速率，防止惡意侵占網(wǎng)絡(luò)- 第 頁 共 36 頁8帶寬，能提供 128 個 802.1Q VLAN，支持 MAC 地址和端口綁定，廣播風(fēng)暴抑制和端口鎖定功能，保證接入用戶的合法性。S3026CSI 交換機提供良好的堆疊功能，最大堆疊 16 臺設(shè)備，同時支持不同設(shè)備的混合堆疊，從而保證了網(wǎng)絡(luò)的平滑升級并能降低擴建成本。 靈活的擴展能力和遠(yuǎn)程維護2.5 路由器：根據(jù)校園網(wǎng)實際使用情況我們對出口路由器的應(yīng)用分為三類2：1、對外業(yè)務(wù)需要支持策略路由，充分利用多出口資源，合理的分配外出流量，節(jié)約網(wǎng)絡(luò)使用費用需要支持 BGP4，IS-IS 等路由協(xié)議，實現(xiàn)廣域網(wǎng)連接需要支持廣域網(wǎng)接口，如 2.5G 的 POS 接口需要支持 IPv6，實現(xiàn)和 CERNET2 骨干的對接2、對內(nèi)業(yè)務(wù)提供 NAT 服務(wù)提供大容量的千兆接入服務(wù)提供 MPLS VPN 業(yè)務(wù)3、管理支持支持流量統(tǒng)計和分析支持對震蕩波、DDOS 等病毒和攻擊的防范支持完善的 QoS 算法，有效管理網(wǎng)絡(luò)業(yè)務(wù)考慮到 XX 學(xué)院的網(wǎng)絡(luò)規(guī)模，采用 GSR 級別的路由器是合適的選擇。本次組網(wǎng)采用 Quidway NE20 作為出口路由器。NE20 是采用 NP 技術(shù)的第五代核心骨干路由器，融合核心路由器強大的 IP 業(yè)務(wù)處理能力和三層交換機低成本以太交換能力，可提供更豐富的業(yè)務(wù)、更靈活的組網(wǎng)和更理想的性價比。NE20 是 IP 網(wǎng)絡(luò)向?qū)拵Щ?、安全化、業(yè)務(wù)化發(fā)展的重要保證。其特點如下：第五代路由器 NE20 不同于以往采用 CPU 軟件轉(zhuǎn)發(fā)的同類型路由器產(chǎn)品，采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)實現(xiàn)高速接口包文的集中轉(zhuǎn)發(fā)，有機地結(jié)合了軟件的靈活性和硬件的高性能，提供線速轉(zhuǎn)發(fā)性能，性能可達 4.5Mpps。NE20 采用高速接口轉(zhuǎn)發(fā)與控制平面分離的技術(shù)，高速接口的轉(zhuǎn)發(fā)引擎使用了高性- 第 頁 共 36 頁9能網(wǎng)絡(luò)處理器，提高了設(shè)備的轉(zhuǎn)發(fā)性能、控制能力、可靠性和安全性。高品質(zhì) QOS 能力：完善的 QoS 機制、出色的 QOS 性能，確保路由器在重載情況下的不同業(yè)務(wù)的服務(wù)質(zhì)量，可以提供基于 DiffServ 的完善 QoS 機制。支持復(fù)雜流分類，支持精確的流量監(jiān)管和流量整形；提供隊列調(diào)度和擁塞避免功能，支持CBQ、LLS/NLS、PBS 等先進調(diào)度技術(shù)，采用 WRED 和先進的 SA-RED 算法，RED支持 8 個等級的丟棄優(yōu)先級。精確保證不同業(yè)務(wù)的帶寬、時延和抖動指標(biāo)，滿足用戶多種業(yè)務(wù)等級的“區(qū)分服務(wù)”要求。高可靠性：采用高可靠的模塊化設(shè)計方式，所有板卡、風(fēng)扇、電源模塊支持熱插拔；提供互為冗余備份的雙電源（11 備份）模塊，無源背板的設(shè)計方式；提供軟件熱補丁技術(shù)，實現(xiàn)設(shè)備完全平滑升級；整機實現(xiàn) 7x24 小時的不間斷運行。強大的 MPLS 處理能力：支持 MPLS VPN，支持 MPLS TE，提供高品質(zhì)、安全和多層次的 MPLS VPN 解決方案，可以作為高性價比 MPLS PE 設(shè)備使用。業(yè)務(wù)能力: 軟件系統(tǒng)基于擁有自主知識產(chǎn)權(quán)的 VRP 軟件平臺，支持多種方式VPN（L2TP、GRE、MPLS VPN 等） ，具備功能豐富的 NAT 功能，提供以太網(wǎng)/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、X.25、HDLC 和 LAPB 等豐富的互聯(lián)功能，支持備份中心，并提供對語音、組播等業(yè)務(wù)的支持。路由處理能力：支持 RIP、OSPF、BGP、IS-IS 等單播路由協(xié)議和IGMP、PIM、MBGP、MSDP 等多播路由協(xié)議，支持路由策略以及策略路由。IPv6 路由能力：全面支持 IPv4 和 IPv6 雙協(xié)議棧，實現(xiàn)硬件 IPv6 轉(zhuǎn)發(fā)，提供豐富的 IPV6 協(xié)議。支持多種 IPv4 向 IPv6 的過渡技術(shù)：手工配置隧道、自動配置隧道、6to4 隧道、GRE 隧道、實現(xiàn) NAT-PT 等；支持 IPv6 靜態(tài)路由，支持BGP4/BGP4+、RIPng、OSPF3、ISISv6 等動態(tài)路由協(xié)議；支持 ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB 等可維護性：支持自動的故障診斷功能。通過運行在 PC 機上的故障診斷軟件，能夠方便地協(xié)助工程師快速準(zhǔn)確定位系統(tǒng)故障。2.6 防火墻：目前網(wǎng)絡(luò)中流行的病毒很多，但是其主要采用的攻擊手段和原理我們都已掌握。- 第 頁 共 36 頁10因此，針對其特性，我們只需在設(shè)備上做相應(yīng)的配置即可有效的抵制病毒，并且降低病毒造成的損失。以下是常見病毒攻擊的防范措施3：表表2-12-1 病毒攻擊方式及防護策略病毒攻擊方式及防護策略攻擊方式安全交換機防護策略防護結(jié)果ARP 攻擊VLAN 隔離用戶，每用戶一個VLAN2、限制單位時間內(nèi)某用戶的 ARP 報文數(shù)目，以及 ARP 報文總流量控制住整個二次網(wǎng)絡(luò)中的 ARP風(fēng)暴；同時保證網(wǎng)絡(luò)設(shè)備本身正常運轉(zhuǎn)。ICMP 攻擊和網(wǎng)絡(luò)流量攻擊限制單位時間內(nèi)某用戶訪問其他用戶的次數(shù)，以及某用戶同時訪問其他用戶的個數(shù)限制每用戶帶寬抑止了蠕蟲的攻擊速度；同時保證非感染用戶的正常上網(wǎng)。DDOSSyn flood 攻擊對用戶源 IP 地址、MAC 地址進行嚴(yán)格匹配，凡是不匹配的，丟棄報文丟棄了大量的非法攻擊報文，基本消除了 DDOS 對網(wǎng)絡(luò)的攻擊。蠕蟲在主機中傳播提供 ACL 進行臨時保護，禁止蠕蟲傳播使用的所有 RPC 端口控制住蠕蟲的蔓延，提供充足的時間讓網(wǎng)絡(luò)中的客戶進行殺毒、修復(fù)；等攻擊隱患基本消除后，再開啟對應(yīng)的 RPC 端口。客戶不知道蠕蟲情況提供強制 Portal 業(yè)務(wù)，無論是 WEB認(rèn)證、PPPoE 認(rèn)證、802.1x 認(rèn)證，在用戶上線后都能夠提供蠕蟲病毒發(fā)作情況和殺毒、補丁程序或者鏈接。非感染用戶可以簡單、迅速地下載安裝補?。桓腥居脩粢矔M快了解清除方法、下載安裝殺毒、補丁方案。 從而有效地加快蠕蟲消滅的速度。因此在 XX 學(xué)院網(wǎng)絡(luò)的“咽喉”地帶安裝博華網(wǎng)龍防火墻，使防火墻成為控制校園訪問 Internet 的唯一通道，它能夠確保整個校園的網(wǎng)絡(luò)安全。博華網(wǎng)龍 YG-FWS-S 的WAN 口接入寬帶，LAN 口連接代理服務(wù)器并設(shè)置為內(nèi)網(wǎng)網(wǎng)關(guān)。內(nèi)部局域網(wǎng)設(shè)置無須改變，這樣所有的工作站和客戶機不需更改設(shè)置即完成了整個網(wǎng)絡(luò)的安全改造；利用防火墻的靜態(tài) NAT 功能，將 Web 服務(wù)器的私有 IP 地址映射為公網(wǎng) IP 地址。防火墻規(guī)則的設(shè)定：只允許內(nèi)網(wǎng)到 Internet 的 WWW、FTP、SMTP、POP3 等服務(wù)端口開放，外網(wǎng)無法訪問到內(nèi)網(wǎng)。同時我們將 WEB 服務(wù)器放在 SSN 區(qū)，將公共服務(wù)器與內(nèi)網(wǎng)隔離，只允許 Internet 的 www 訪問到 SSN 區(qū)的服務(wù)器，從而保護 XX 學(xué)院網(wǎng)絡(luò)的安全運行。以下是博華網(wǎng)龍 YG-FWS-S30 防火墻基本功能：面向?qū)ο蟮墓芾?提供靈活的訪問控制能力(如基于地址、協(xié)議、端口、用戶、流量的訪問控制)， 支持各種應(yīng)用和各類協(xié)議 - 第 頁 共 36 頁11基于時間的訪問控制 應(yīng)用級透明代理安全： URL 阻斷及 HTTP、 FTP、 SMTP、POP3、 NNTP 的協(xié)議命令 動態(tài) NAT 和靜態(tài) NAT 功能及地址轉(zhuǎn)換池 防止控制區(qū)域間的 lP 欺騙 支持對公開服務(wù)器的安全保護 一次性口令認(rèn)證機制 用戶修改口令 用戶級權(quán)限控制 抗 DOS 攻擊 提供流星控制功能 防火墻日志、審計、計費 提供對防火墻配置規(guī)則的測試功能 Web 方式的管理與配置 即時網(wǎng)絡(luò)流量圖帶路由配置支持多種工作模式。路由模式，透明模式，混合模式（路由與透明兩種模式同時工作）完整的協(xié)議兼容性 虛擬私有網(wǎng)，建立安全通道 支持其它安全產(chǎn)品的聯(lián)動；能夠與第三方安全產(chǎn)品進行很好的聯(lián)動，尤其是與IDS 的聯(lián)動。第三章 XX 學(xué)院網(wǎng)絡(luò)布線方案 - 第 頁 共 36 頁12智能型建筑的首要條件是具有一套結(jié)構(gòu)化的、靈活性極高的綜合布線網(wǎng)絡(luò)，能夠長遠(yuǎn)的滿足使用者不斷變化的需求，并將用戶長期營運、維護、變更、網(wǎng)絡(luò)升級的費用降至最低4。要想建立一個高效的信息網(wǎng)絡(luò)，必須有一套完整的高品質(zhì)網(wǎng)絡(luò)布線系統(tǒng)，采用傳統(tǒng)布線方式將難以滿足以上要求，因此 XX 學(xué)院網(wǎng)絡(luò)布線工程建設(shè)的建設(shè)原則是三年以內(nèi)的新建建筑物或者建筑物內(nèi)的網(wǎng)絡(luò)布線系統(tǒng)符合條件的可以不改造，老建筑物及不合理的建筑內(nèi)布線系統(tǒng)必須進行改造。那么不符合條件的有以下建筑物：洪山公寓三棟、男十棟、女七棟、女八棟、實驗樓其余的建筑物的樓內(nèi)布線系統(tǒng)可以使用其原用的系統(tǒng)。我們對整個學(xué)校的布線系統(tǒng)采用 TCL 綜合布線系統(tǒng)，其主要優(yōu)點5有：（1） 兼容性：TCL Cabling System 是一套全開放式的布線系統(tǒng)，它具有全系列的適配器，可以將不同廠商網(wǎng)絡(luò)設(shè)備及不同傳輸介質(zhì)的主機系統(tǒng)全部轉(zhuǎn)換成同一非屏蔽雙絞線(UTP)，通過雙絞線可傳輸話音、數(shù)據(jù)、圖像、視頻信號及巡更系統(tǒng)信號等等；采用多模及單模光纖可遠(yuǎn)程高速傳輸數(shù)據(jù)及高清晰度圖象信號，可支持目前所有數(shù)據(jù)及話音設(shè)備廠商的網(wǎng)絡(luò)系統(tǒng)。（2） 靈活性：由于所有信息系統(tǒng)采用相同的傳輸介質(zhì)，物理結(jié)構(gòu)采用星形布線方式，因此所有信息通道是通用的，每條信息通道可支持電話、傳真、多用戶終端、10Base-T 工作站、令牌環(huán)站及 HP9000 系列，SUN sparc 及 enterprise 系列，DECAlpha，IBM AS400e，RS6000，ES9000 主機及 100Base-T，155Mbs 及 622Mbs ATM 甚至1000Base-T 及 1000Base-T X 應(yīng)用。所有設(shè)備的開通及更改均不需改變系統(tǒng)布線，只需增減相應(yīng)的網(wǎng)絡(luò)設(shè)備及做必要的跳線管理即可；系統(tǒng)組網(wǎng)也可靈活多樣，甚至在同一房間內(nèi)可以多用戶終端、100Base-T 工作站、令牌環(huán)并存，各部門即可獨立組網(wǎng)又可方便地互連，為合理組織信息流提供了必要條件。TCL 不僅可以滿足當(dāng)前信息傳輸?shù)男枨螅铱梢赃m應(yīng)將來的網(wǎng)絡(luò)結(jié)構(gòu)的更改或設(shè)備的擴充。（3）可靠性：TCL Cabling System 系統(tǒng)采用高品質(zhì)的標(biāo)準(zhǔn)材料，并采用組合壓接方式構(gòu)成一套高標(biāo)準(zhǔn)信息通道，所有器件均通過第三方標(biāo)準(zhǔn)認(rèn)證，每條信息通道都要采用專用測試儀- 第 頁 共 36 頁13器校核線路阻抗及衰減率以保證其電氣性能，布線系統(tǒng)全部采用物理星形拓?fù)浣Y(jié)構(gòu)，點到點端接，任何一條線路故障均不影響其它線路的運行；同時為線路的運行維護及故障檢修提供了極大的方便，從而保障了網(wǎng)絡(luò)系統(tǒng)可靠運行。各系統(tǒng)采用相同傳輸介質(zhì)，因而可互為備用，提高了備用冗余。TCL 更提供十五年的產(chǎn)品鏈路質(zhì)量保證。 （4）先進性：TCL Cabling System 采用極富彈性的布線概念，采用光纖與雙絞線(UTP)混合方式，極為合理地構(gòu)成一套完整的布線系統(tǒng)。所有布線設(shè)計均采用世界最新通訊標(biāo)準(zhǔn)，所有信息通道均按國際布線標(biāo)準(zhǔn)采用八芯配置，PC101004 超五類、PC201004 六類雙絞線最大帶寬可達到 622Mbps 及 1.2Gbps，對于重要部門可支持光纖到桌面(FTTD)的應(yīng)用，為將來的發(fā)展提供了足夠的容量。通過主干通道可同時傳輸多路實時多媒體信息，同時物理星形方式為將來發(fā)展交換式網(wǎng)絡(luò)奠定了堅實基礎(chǔ)。TCL 國際電工的承諾是一次布線，十年不落后。（5）安全性“防塵裝置”避免信息點意外損傷及因灰塵而產(chǎn)生信息傳輸障礙。（6）易于管理TCL 借助于不同顏色的跳接線和配線架的端口標(biāo)識，系統(tǒng)管理人員能方便地進行系統(tǒng)的線路管理。3.1 布線要求根據(jù) XX 學(xué)院的詳細(xì)校園圖和實地踏勘，綜合布線系統(tǒng)室內(nèi)部分為洪山公寓 1 棟、2 棟、3 棟、5 棟、女生 5 棟、5 棟、7 棟、8 棟、9 棟、男生 10 棟、維智園區(qū)、匯澤園區(qū)、藝術(shù)樓宿舍區(qū)、教師宿舍 1 棟、2 棟、3 棟、4 棟、國策樓、科技樓、寧靜樓、辦公樓、實驗樓、新教學(xué)樓、藝術(shù)樓、圖書館、體育館等共計 3331 個室內(nèi)信息點，都為數(shù)據(jù)信息點。本次綜合布線方案設(shè)計包括工作區(qū)子系統(tǒng)、水平子系統(tǒng)、管理子系統(tǒng)、設(shè)備間子系統(tǒng)、建筑群子系統(tǒng)等五個部分，我們將采用超五類綜合布線系統(tǒng)，以對大樓中的計算機網(wǎng)絡(luò)系統(tǒng)進行統(tǒng)一布線，最終為 XX 學(xué)院提供一個開放的、靈活的、先進的和可擴展的線路基礎(chǔ)。3.2 結(jié)構(gòu)化布線系統(tǒng)設(shè)計說明總體描述本系統(tǒng)設(shè)計方案包括：- 第 頁 共 36 頁141、工作區(qū)子系統(tǒng)6為用戶提供一個可滿足高速數(shù)據(jù)傳輸?shù)臉?biāo)準(zhǔn)，本系統(tǒng)全部采用超五類標(biāo)準(zhǔn)信息模塊連接數(shù)據(jù)設(shè)備，為以后計算機系統(tǒng)的擴展打下堅實的基礎(chǔ)； 2、水平子系統(tǒng)將管理子系統(tǒng)的線路延伸到用戶工作區(qū)，采用超五類非屏蔽雙絞線；3、 、設(shè)備間子系統(tǒng)位于網(wǎng)絡(luò)中心，采用光纖配線架連接主機及網(wǎng)絡(luò)設(shè)備；采用 42U 的標(biāo)準(zhǔn)網(wǎng)絡(luò)機柜作為數(shù)據(jù)應(yīng)用機柜；4、管理子系統(tǒng)位于各樓棟的配線間，采用模塊式配線架終結(jié)水平子系統(tǒng)，采用光纖配線架連接主干光纜；5、建筑群子系統(tǒng)包括分配線間與主配線間之間的線纜。本系統(tǒng)中從網(wǎng)絡(luò)中心到東區(qū)、南區(qū)、西區(qū)、北區(qū)以及藝術(shù)樓區(qū)的匯聚點為單模光纖，5 個匯聚點到每棟樓的光纜為多模光纜；3.2.1 工作區(qū)子系統(tǒng)設(shè)計說明工作區(qū)布線子系統(tǒng)由終端設(shè)備連接到信息插座的連線和信息插座組成，工作區(qū)子系統(tǒng)示意圖如下6： 圖 3-1：工作區(qū)子系統(tǒng)示意圖1、系統(tǒng)信息插座安裝位置確定工作區(qū)信息模塊采用標(biāo)準(zhǔn)模塊化插座，為了與其他系統(tǒng)所使用面板統(tǒng)一，所以安裝面板采用雙孔式國標(biāo) 86 型面板進行埋入式安裝，與其附近的 220VAC 交流電電源插座應(yīng)保持 20cm 的距離，信息插座和電源插座的安裝高度為 30cm（即插座面板低邊沿線距地板水平面 30cm） 。如下圖所示：- 第 頁 共 36 頁15 信息插座G20鐵管20 cm電源插座地面30 cm圖 3-2：信息插座安裝示意圖2、工作區(qū)信息出口(IO)數(shù)量的確定及選型信息點數(shù)量的確定根據(jù) XX 學(xué)院的詳細(xì)校園圖和實地踏勘，綜合布線系統(tǒng)室內(nèi)部分共計 3331 個室內(nèi)信息點，都為數(shù)據(jù)信息點。室外光纖布線要符合萬兆位以太網(wǎng)的技術(shù)要求，全部要求為地溝鋪設(shè)。以科技樓八樓機房為中心，向各樓棟或匯聚點輻射，即從科技樓中心機房到樓棟或匯聚點各布 1 根光纖，匯聚點到另樓棟接入層交換機采用光纖連接。信息點分布表如下：表表 3-13-1 信息點分布表信息點分布表信息點（個） 樓棟數(shù)據(jù)圖書館68洪山公寓 1 棟30洪山公寓 2 棟28洪山公寓 3 棟85洪山公寓 5 棟42女生宿舍 5 棟42女生宿舍 6 棟42女生宿舍 7 棟36- 第 頁 共 36 頁16女生宿舍 8 棟30女生宿舍 9 棟30教師宿舍 1 棟27教師宿舍 2 棟27教師宿舍 3 棟36教師宿舍 4 棟90辦公樓110科技樓160寧靜樓30新教學(xué)樓123實驗樓68藝術(shù)樓169國策樓22藝術(shù)樓新宿舍區(qū)600維智園180匯澤園1068合計3331 信息點產(chǎn)品型號的選型工作區(qū)由終端設(shè)備連接到信息插座的連線和信息插座所組成，信息插座采用標(biāo)準(zhǔn)RJ45 型，具有十分廣泛的通用性，通過插座既可以引出語音話機也可以連接數(shù)據(jù)終端等多種終端設(shè)備。在設(shè)計中，信息插座采用 RJ45 標(biāo)準(zhǔn)插座，可以兼容 RJ11、RJ21、RJ45 等插頭。- 第 頁 共 36 頁173.2.2 水平子系統(tǒng)設(shè)計說明水平子系統(tǒng)是指從用戶工作區(qū) RJ-45 插座到配線架管理子系統(tǒng)的部分，現(xiàn)在流行采用的介質(zhì)是超五類非屏蔽雙絞線，長度不能超過 90m（大于 90m 必須設(shè)立分配線間） ，對于實驗樓主干用線必須用金屬線槽或用 PVC 管在天花板吊頂內(nèi)布線，分支線應(yīng)采用地面或墻內(nèi)暗敷線管走線，盡量確保建筑物內(nèi)的整體美觀。水平子系統(tǒng)示意圖如下：圖 3-3：工作區(qū)示意圖1、水平線纜的選型數(shù)據(jù)系統(tǒng)線路的水平部分全部采用 TCL 超五類非屏蔽雙絞線作為水平傳輸介質(zhì)傳輸數(shù)據(jù)。2、水平布線路由設(shè)計走廊的吊頂上應(yīng)安裝有線槽，進入房間時，從線槽引出 PVC 管，PVC 線管沿墻明裝敷設(shè)，沿墻壁而下到本層各個信息點?；蚧騁20 或G25 或或或或或圖 3-4：固定信息點布線示意圖3、水平子系統(tǒng)垂直部分的管線方案水平子系統(tǒng)的垂直部分應(yīng)使用專門的弱電豎井或垂直線路管道，其中的線槽應(yīng)和各層配線室之間的金屬線槽構(gòu)成完好的電氣連通。4、水平線纜的色標(biāo)標(biāo)注水平線纜均采用兩端雙標(biāo)注的方法，即使用雙標(biāo)簽環(huán)標(biāo)注，標(biāo)簽環(huán)的第一位表示- 第 頁 共 36 頁18樓層，第二位表示線纜的功能， （數(shù)據(jù)用 D 表示） ，第三位表示點位的順序。例如：2D-003（表示二樓第三個數(shù)據(jù)點） 。3.2.3 設(shè)備間子系統(tǒng)設(shè)計說明設(shè)備間子系統(tǒng)是整個配線系統(tǒng)的中心單元，它的布放，選型及環(huán)境條件的考慮是否適當(dāng)都直接影響到將來信息系統(tǒng)的正常運行及維護和使用的靈活性。應(yīng)盡量保持室內(nèi)無塵土、通風(fēng)良好室內(nèi)照明不低于 150Lux,載重量不小于 100 磅每平米。應(yīng)符合有關(guān)消防規(guī)范、配置有關(guān)消防系統(tǒng)。室內(nèi)應(yīng)提供 UPS 電源配電盤以保證設(shè)備運行及維護的供電。每個電源插座的容量不小于 300W。此次設(shè)計中設(shè)備間子系統(tǒng)包含了管理子系統(tǒng)和設(shè)備間子系統(tǒng)的功能。3.2.4 管理子系統(tǒng)功能由交連、互連配線架組成，為水平子系統(tǒng)提供連接手段。交連和互連允許將通訊線路定位或重定位到建筑物的不同部分，以便能更容易地管理通信線路，使在移動終端設(shè)備時能方便地進行插拔。采用 TCL 24 口超五類模塊式配線架作為數(shù)據(jù)連接配線架，配線架使用列表如下：表表 3-23-2 配線架分布表配線架分布表XX 學(xué)院主配線間信息點(個)24 口模塊式配線架（個）圖書館683洪山公寓 1 棟302洪山公寓 2 棟282洪山公寓 3 棟854洪山公寓 5 棟422女生宿舍 5 棟422女生宿舍 6 棟422女生宿舍 7 棟362- 第 頁 共 36 頁19女生宿舍 8 棟302女生宿舍 9 棟302教師宿舍 1 棟272教師宿舍 2 棟272教師宿舍 3 棟362教師宿舍 4 棟904辦公樓1105科技樓1607寧靜樓302新教學(xué)樓1236實驗樓683藝術(shù)樓1698國策樓221藝術(shù)樓新宿舍區(qū)60025維智園1808匯澤園106845合計33311433.2.5 設(shè)備間子系統(tǒng)功能設(shè)備間用于安裝數(shù)據(jù)應(yīng)用的通訊設(shè)備。中心機房我們選用了 1 個 19 英寸 42U 的標(biāo)準(zhǔn)機柜，作為數(shù)據(jù)信息點機柜。因為整- 第 頁 共 36 頁20個局域網(wǎng)的核心交換機和服務(wù)器都部署在這個機房里，所以對機房也提出了很高的要求。如：地面設(shè)計應(yīng)鋪設(shè)防靜電地板；配置溫度調(diào)節(jié)設(shè)備空調(diào)，通風(fēng)換氣設(shè)備新風(fēng)機；電源方面配置大功率 UPS；在設(shè)備布局方面，大功率 UPS 應(yīng)與所有網(wǎng)絡(luò)設(shè)備包括服務(wù)器保持一定的距離，所有設(shè)備應(yīng)部署在通風(fēng)比較好的地方，而且要出在通風(fēng)設(shè)備最佳作用范圍內(nèi)。其中設(shè)備間沒有設(shè)在樓棟原有的配電間內(nèi)的，需要考慮安裝供電線路， 設(shè)備間的具體位置詳見下一節(jié)網(wǎng)絡(luò)機柜的選擇中的表格。網(wǎng)絡(luò)機柜的選擇根據(jù)信息點的數(shù)目和網(wǎng)絡(luò)設(shè)備的選擇，我們確定每個配線間機柜的選型。機柜用量和放置位置列表如下：表表 3-33-3 機柜分布表機柜分布表 樓棟機柜用量位置圖書館1 個 2 米 19標(biāo)準(zhǔn)機柜放置于 2 樓洪山公寓 1 棟1 個掛墻扁平機柜放置于 1 樓東側(cè)洪山公寓 2 棟1 個掛墻扁平機柜放置于 1 樓東側(cè)洪山公寓 3 棟3 個掛墻扁平機柜放置于各樓樓梯間洪山公寓 5 棟2 個掛墻扁平機柜放置于 1、3 單元樓梯間女生宿舍 5 棟1 個 1 米 19標(biāo)準(zhǔn)機柜放置于中樓的-1 樓設(shè)備間女生宿舍 6 棟1 個 2 米 19標(biāo)準(zhǔn)機柜放置于中樓的-1 樓設(shè)備間女生宿舍 7 棟女生宿舍 8 棟1 個 2 米 19標(biāo)準(zhǔn)機柜放置于樓外配電間- 第 頁 共 36 頁21女生宿舍 9 棟2 個掛墻扁平機柜放置于 1 樓中間單元教師宿舍 1 棟1 個 1 米 19標(biāo)準(zhǔn)機柜放置于第二單元 1 樓教師宿舍 2 棟1 個 1 米 19標(biāo)準(zhǔn)機柜放置于第二單元 1 樓教師宿舍 3 棟1 個 1 米 19標(biāo)準(zhǔn)機柜放置于第二單元 1 樓教師宿舍 4 棟1 個 1 米 19標(biāo)準(zhǔn)機柜放置于第三單元 1 樓辦公樓1 個 1 米 19標(biāo)準(zhǔn)機柜放置于 4 樓配電間科技樓2 個 1 米 19標(biāo)準(zhǔn)機柜放置于 8 樓配電間寧靜樓1 個 1 米 19標(biāo)準(zhǔn)機柜放置于 8 樓配電間新教學(xué)樓1 個 1 米 19標(biāo)準(zhǔn)機柜放置于 B 區(qū)配電間實驗樓1 個 1 米 19標(biāo)準(zhǔn)機柜放置于 1 樓配電間藝術(shù)樓2 個 1 米 19標(biāo)準(zhǔn)機柜放置于 1 樓配電間國策樓1 個 1 米 19標(biāo)準(zhǔn)機柜放置于 1 樓配電間藝術(shù)樓新宿舍區(qū)6 個 1 米 19標(biāo)準(zhǔn)機柜每棟樓房維智園3 個 1 米 19標(biāo)準(zhǔn)機柜每棟樓房匯澤園6 個 1 米 19標(biāo)準(zhǔn)機柜每棟樓房3.2.6 建筑群子系統(tǒng)設(shè)計說明主干光纜的選擇根據(jù)我校的要求，主干光纜應(yīng)能支持萬兆位速率傳輸， ，我們采用多模室外六芯光- 第 頁 共 36 頁22纜。在光纜的選型上，我們選用國產(chǎn) TCL 品牌。光纖配線架的選擇網(wǎng)絡(luò)中心光纖配線架我們選擇 24 口光纖配線架，本次布放由網(wǎng)絡(luò)中心接出 5 根多模六芯光纜，光纖數(shù)目為 30 芯，選用 2 個可以滿足要求。光纜布線系統(tǒng)敷設(shè)方式光纜敷設(shè)主要有以下兩種方式：1、地埋方式。在這種方式中，要求在光纖鋪設(shè)路徑上開挖地溝，并加固而且鋪放適量的沙石，在光纖轉(zhuǎn)彎角上應(yīng)具有電纜井，一般地埋深度為 0.5 米。若已有地溝，盡量采用現(xiàn)有設(shè)施。2、架空方式。這種方式中，要求光纜在建筑物間架空敷設(shè)。首先應(yīng)確定好光纜敷設(shè)的路由，在相關(guān)建筑物之間架起鋼索，利用建筑物的墻角，通信電桿等支撐物用抱箍、吊抱等將其固定，然后敷設(shè)光纜，用壓線爪固定于鋼索上。計算機網(wǎng)絡(luò)與綜合布線系統(tǒng)的連接計算機與綜合布線系統(tǒng)的連接時，需待鋪設(shè)綜合布線系統(tǒng)后，在計算機擴展槽上插上網(wǎng)卡。如果網(wǎng)卡的接口不是雙絞線接口，則還需配備從該種接口至 RJ45 的轉(zhuǎn)換器，然后用一條兩端配有 RJ45 插頭的線纜分別插在網(wǎng)卡輸出端的 RJ45 插孔和信息插座上。在擴容時，同樣要由工程技術(shù)人員對插座進行配線，在主、從配線架上進行跳線。第四章 校園網(wǎng)的 IP 規(guī)劃及路由設(shè)計IP 地址規(guī)劃- 第 頁 共 36 頁23在網(wǎng)絡(luò)規(guī)劃中，IP 地址方案的設(shè)計至關(guān)重要，好的 IP 地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)再擴展打下良好的基礎(chǔ)。4.1 地址編制原則：1、唯一性原則唯一性是 IP 地址在 TCP/IP 協(xié)議中最基本的要求，是 IP 地址的基本特征和 IP 地址編制的重要依據(jù)。XX 學(xué)院校園網(wǎng)內(nèi)部每個子網(wǎng)絡(luò)所使用的 IP 地址的網(wǎng)絡(luò)地址字段必須是唯一的，同一個子網(wǎng)絡(luò)中的 IP 地址中包含的主機地址字段也必須是唯一的7。2、連續(xù)性原則在層次化結(jié)構(gòu)的網(wǎng)絡(luò)中為各個節(jié)點劃分連續(xù)的 IP 地址區(qū)間，便于實現(xiàn)路徑疊合等優(yōu)化 IP 地址的分配技術(shù)，簡化路由表數(shù)據(jù)，提高路由算法的計算效率和動態(tài)路由的快速收斂，能有效利用地址空間。3、擴展性原則IP 地址編制要兼顧網(wǎng)絡(luò)規(guī)模擴展的要求，為各個節(jié)點預(yù)留足夠的 IP 地址擴展區(qū)間時，應(yīng)考慮對網(wǎng)絡(luò)在用地址的繼承性，滿足路由協(xié)議的要求、實現(xiàn) IP 地址編用的平滑連接等，這是保證網(wǎng)絡(luò)擴展和有序管理的重要條件。4、規(guī)范性原則網(wǎng)絡(luò)內(nèi)各節(jié)點的網(wǎng)絡(luò)互聯(lián)設(shè)備和局域網(wǎng)內(nèi)主要設(shè)備等采用規(guī)范的地址編制技術(shù)和方法，是網(wǎng)絡(luò)互聯(lián)互通和提高網(wǎng)絡(luò)管理效率的有效措施。5、標(biāo)準(zhǔn)化原則遵循有關(guān) TCP/IP 協(xié)議標(biāo)準(zhǔn)來規(guī)劃 IP 地址，是網(wǎng)絡(luò)建設(shè)的重要原則。4.2 IP 地址編制方法1、完全二叉樹分配法網(wǎng)絡(luò)中各級子網(wǎng) IP 地址的編制，是從完全二叉樹地址空間中某一子樹的根開始，逐級向下地將該子樹下的從屬子樹分配給各級子網(wǎng)和其下級子網(wǎng)，同級子網(wǎng)均以同樣方法分配同根的二叉樹。網(wǎng)絡(luò)互連 IP 地址和用戶主機 IP 地址，都是從本級子網(wǎng)的從屬子樹地址空間中分配。采用這一 IP 地址的編制技術(shù)，既避免了各級子網(wǎng) IP 地址的重疊，又保證了各級子網(wǎng) IP 地址空間的連續(xù)性。2、分布式的地址空間預(yù)留技術(shù)分布式的地址空間預(yù)留技術(shù)是指給按層次劃分的各級子網(wǎng) IP 地址預(yù)留空間，當(dāng)由- 第 頁 共 36 頁24于網(wǎng)絡(luò)擴展需要 IP 地址擴展時，可使擴展的 IP 地址空間與在用的 IP 地址空間連續(xù)，使網(wǎng)絡(luò)繼續(xù)保持其最簡的路由表數(shù)據(jù)結(jié)構(gòu)，保證了 IP 地址的平滑擴展。3、無類域間路由（CIDR）編址技術(shù)無類域間路由 CIDR（Classless Interdomain Routing）編址技術(shù)使用了可變長子網(wǎng)掩碼 VLSM（VARIABLE-lengthSubnetMask）技術(shù)和完全二叉樹地址分配技術(shù)，可根據(jù)網(wǎng)絡(luò)和主機的分布狀況，靈活地選擇不同的子網(wǎng)掩碼屏蔽位長度，動態(tài)地分配網(wǎng)絡(luò)地址標(biāo)志位和主機地址標(biāo)志位長度，不僅能有效地提高 IP 地址空間利用率，而且使路由表數(shù)據(jù)更加簡化。4.3 XX 學(xué)院 IP 地址規(guī)劃 考慮到公有 IP 地址緊缺、校園網(wǎng)內(nèi)信息點較多的實際情況，對 XX 學(xué)院的學(xué)生宿舍區(qū) IP 地址規(guī)劃采取分配固定的 C 類私有 IP 的方式。在路由器上使用NAT（Network Address Translation）網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議，將內(nèi)部自行定義的私有 IP 地址轉(zhuǎn)換為 Internet 公網(wǎng)上可識別的公有 IP 地址。其工作原理是：在內(nèi)部主機連接到外部網(wǎng)絡(luò)時，當(dāng)?shù)谝粋€數(shù)據(jù)包到達 NAT 路由器時，路由器會檢查它的 NAT 配置列表，查到相關(guān)記錄后路由器會將數(shù)據(jù)包的私有 IP（源地址）更換成路由器的公有地址，再轉(zhuǎn)發(fā)出去。外部主機接受到數(shù)據(jù)包用接受到的公有 IP 地址來響應(yīng)，NAT 接受到外部回來的數(shù)據(jù)包，再根據(jù) NAT 表把地址翻譯成私有 IP 地址，轉(zhuǎn)發(fā)過去。將整個網(wǎng)絡(luò)按照不同的匯聚點劃分為若干個區(qū)，每個區(qū)分若干個 C 類私有 IP 地址，然后再按變長子網(wǎng)掩碼技術(shù)方案劃分 IP 地址。比如學(xué)生宿舍、教工宿舍、教學(xué)樓、辦工樓、圖書館 IP 地址可規(guī)劃如下表所示：表表 4-14-1 IP 地址分配表地址分配表樓棟信息點數(shù)（個）IP 地址范圍圖書館、68192.168.1.1192.168.1.255洪山公寓 1 棟30192.168.2.1192.168.2.255洪山公寓 2 棟28192.168.3.1192.168.3.255- 第 頁 共 36 頁25洪山公寓 3 棟85192.168.4.1192.168.4.255洪山公寓 5 棟42192.168.5.1192.168.5.255女生宿舍 5 棟42192.168.6.1192.168.6.255女生宿舍 6 棟42192.168.7.1192.168.7.255女生宿舍 7 棟36192.168.8.1192.168.8.255女生宿舍 8 棟30192.168.9.1192.168.9.255女生宿舍 9 棟30192.168.10.1192.168.10.255教師宿舍 1 棟27192.168.11.1192.168.11.255教師宿舍 2 棟27192.168.12.1192.168.12.255教師宿舍 3 棟36192.168.13.1192.168.13.255教師宿舍 4 棟90192.168.14.1192.168.14.255辦公樓110192.168.15.1192.168.15.255科技樓160192.168.16.1192.168.17.255寧靜樓30192.168.18.1192.168.18.255新教學(xué)樓123192.168.19.1192.168.19.255實驗樓68192.168.20.1192.168.20.255藝術(shù)樓169192.168.21.1192.168.21.255國策樓22192.168.22.1192.168.22.255藝術(shù)樓新宿舍區(qū)600192.168.23.1192.168.29.255維智園600192.168.30.1192.168.34.255匯澤園180192.168.35.1192.168.40.255- 第 頁 共 36 頁26第五章 校園網(wǎng)綜合安全管理方案5.1 校園網(wǎng)用戶管理計費需求分析隨著網(wǎng)絡(luò)規(guī)模的擴大，用戶不斷的增加，網(wǎng)絡(luò)使用中出現(xiàn)了不少不和諧的聲音：賬戶盜用，惡意欠費，黑客攻擊，反動言論等。這些不和諧的行為影響了正常的網(wǎng)絡(luò)使用，造成了許多安全隱患。為了消除這些隱患，我們需要引入網(wǎng)絡(luò)認(rèn)證管理計費技- 第 頁 共 36 頁27術(shù)，規(guī)范網(wǎng)絡(luò)使用，在提供體現(xiàn)公平、共享原則的同時保護絕大多數(shù)用戶的權(quán)利。在提出解決方案之前我們將相關(guān)需求做一簡單分析8：1、準(zhǔn)確的用戶身份確認(rèn)校園網(wǎng)計費用戶分為兩類，一類是不計費，另一類是計費。但是無論是計費還是不計費我們都需要對其身份進行準(zhǔn)確的識別。這是網(wǎng)絡(luò)安全的需要，同時也是做到準(zhǔn)確計費的需要。但是如何進行用戶身份確認(rèn)呢？這就需要通過認(rèn)證技術(shù)來實現(xiàn)。目前認(rèn)證技術(shù)有許多，如 WEB 認(rèn)證，802.1x 認(rèn)證，PPPOE 認(rèn)證。這些認(rèn)證技術(shù)各有千秋，PPPOE 技術(shù)被廣泛的應(yīng)用在寬帶小區(qū)，WEB 認(rèn)證被應(yīng)用網(wǎng)關(guān)計費系統(tǒng)內(nèi)，而 802.1x認(rèn)證被應(yīng)用在廣大新建校園內(nèi)。事實上 WEB 認(rèn)證和 802.1x 認(rèn)證技術(shù)最適合在校園網(wǎng)實施。2、靈活的計費策略計費策略主要有三：按時長、按流量和帶寬。從實際情況看，時長計費最普遍，流量計費最科學(xué)，帶寬計費最簡單。同時由于一個校園網(wǎng)的用戶有許多類，因此可能這三種計費策略都會被采用。3、精確的費用統(tǒng)計網(wǎng)絡(luò)使用一旦進行收費，那么就需要我們能夠精確的計費，這是一個可運營的網(wǎng)絡(luò)必備的條件。其中最需要關(guān)注的是是非否會因交換機死機或重起或用戶 PC 死機等異常情況是造成計費的不準(zhǔn)確。因此我們需要一套保護機制做到無論采用哪種計費策略，發(fā)生什么異常都能保證計費的準(zhǔn)確。4、人性化的網(wǎng)絡(luò)計費無論采用什么技術(shù)和方法都需要一套計費系統(tǒng)來完成計費。那么什么是好的計費系統(tǒng)呢？除了做到以上三點之外還需提供人性化的解決方案，能夠通過優(yōu)化來降低管理者的強度，提供自動化水平，同時對于用戶來說又能感覺使用方便，收費合理。網(wǎng)絡(luò)安全是任何一個網(wǎng)絡(luò)建設(shè)時首先要考慮的重要問題，XX 學(xué)院校園網(wǎng)的環(huán)境更加復(fù)雜，學(xué)生的技術(shù)水平都較高，好奇心比較強，校園網(wǎng)的網(wǎng)絡(luò)安全更加值得關(guān)注。5.2 基于網(wǎng)絡(luò)設(shè)備的安全措施TCP/IP 網(wǎng)絡(luò)本身就存在很多安全漏洞，很容易被一些惡意用戶利用并實施攻擊，或非法占用網(wǎng)絡(luò)資源，侵犯其它用戶的合法利益，甚至導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)崩潰。任何一個網(wǎng)絡(luò)設(shè)備都必需首先具備足夠的自我保護和防范能力，華為 3com 的交換機和路由- 第 頁 共 36 頁28器等網(wǎng)絡(luò)設(shè)備在安全性方面有豐富實用的功能，大體可分為兩類，一類是自身防攻擊措施，另一類是用戶安全保證措施。用戶上網(wǎng)日志對于用戶上網(wǎng)日志的統(tǒng)計和處理是我們掌握用戶使用情況的最佳手段，并且是整網(wǎng)安全策略的重要組成部分。華為 3com 公司的業(yè)務(wù)管理平臺 CAMS 能夠提供完善的用戶訪問日志。其實現(xiàn)方法有兩種：對出口端口作鏡像，由 CAMS 專門的日志服務(wù)器完成日志統(tǒng)計采用計費網(wǎng)關(guān)組件，由于計費網(wǎng)關(guān)具備很強的流量統(tǒng)計能力，可配合 CAMS 提供全面的用戶使用日志用戶日志內(nèi)容包括用戶名、源 MAC、VLANID、源 IP、目的 IP、訪問時間。用戶的目的 IP 地址改變時會產(chǎn)生一條日志。根據(jù)這些信息可以很方便的定位用戶在某個時間段訪問了那些內(nèi)部服務(wù)器，與服務(wù)器的日志相對應(yīng)追查出一些事故的責(zé)任人。本方案對用戶終端的管理完全是基于用戶的帳號，用戶取得網(wǎng)絡(luò)訪問權(quán)限需要在CAMS 上進行認(rèn)證