校园网络设计专业方案A.doc

《校园网络设计专业方案A.doc》由会员分享，可在线阅读，更多相关《校园网络设计专业方案A.doc（104页珍藏版）》请在咨信网上搜索。

依安县试验中学校园网设计方案 项目名称：依安县试验中学校园网 设计人员： 王成文 人 完成时间： 6月20日 1、声 明 本方案只供依安县试验中学使用 2、方案设计综述 2.1项目背景 当今社会，计算机和网络对社会影响已经快速扩大，开始影响大家生活很多方面。尤其是进入90年代以来，多媒体技术和网络技术飞速发展正在以惊人速度变革着我们学习方法、工作方法、交往方法和生活方法。 ―科学技术是第一生产力，是最优异生产力。今天，信息技术已经成为科学技术前沿，已经没有些人能够否认信息技术发展将会或已经引发了人类社会全方面和深刻变革，使人类社会由工业社会迈向信息社会。 在信息技术已引发了全方面而深刻社会变革同时，信息时代到来也迫切要求我们教育进行改革，同时也对教育提出了新要求。据联合国教科文组织统计:人类近30年来所积累科学知识，占有史以来积累科学知识总量90%，而在此之前几千年中所积累科学知识只占10,。可见，知识总量在以爆炸式速度急剧增加，知识更新越来越快。教育怎样面对快速增加知识,怎样面对我们今天信息时代, 现在，世界各国对教育发展给了前所未相关注，全部试图在未来信息社会中让教育处于一个优势位置，从而走在社会发展前列。为此，很多国家全部把信息技术应用于教育，作为民族发展关键推进力。 为此，中国也布署了―科教兴国宏伟蓝图，开始了一系列现代教育信息化改革。―面向二十一世纪教育振兴行动计划，―《校校通》工程计划等相关信息化建设方案布署实施，加紧了教育改革现代化建设步伐。 以上事实全部在向我们说明一个问题，教育信息技术发展离我们越来越近，我们正在逐步向信息化校园方面建设。 作为核工业硕士部，对计算机教学和以计算机技术、网络技术为关键计算机网络教学需求也越来越迫切。所以，为顺应信息化发展需求，为祖国培养出更多适应时代时尚优异干部群体，加紧本校信息化建设步伐，在现有环境基础上，校园网络系统建设意义亦变得越来越大。使建设一个可实现并提升办公过程高效、舒适、便利高效信息化综累计算机网络平台则成为一个急需处理问题。 2.2学校需求分析 学校信息网总体应用需求分析 对于一个完善校园网来说，应该为学校正常教学提供稳定数据平台，更关键是能够在平台上面运行多种应用系统，使得学生学习生活愈加丰富，校园管理愈加便捷。具体应用见上图。 从一个校园网建设来说，应该在满足教学要求基础，考虑合适扩展性，提议不要盲目追求奢华。从长远角度看，综合布线系统应该一步到位，满足未来扩展，因为这种投资是一次性，变更起来很不轻易。 从现在众多学校需求角度考虑，校园网建设目标是提升学校教学水平和教育管理效率。所以，我们将校园信息化建设由大及小进行了分解，从学校现在需求，我们从以下 几方面考虑和满足学校校园网计划: 1(将现有学生用多种计算机课程和专业计算机教学―计算机机房连入校园网 2(满足敞开式多媒体互助教学处理方案(电子图书阅览和视频VOD点播系统)网络带宽需要 3(满足多媒体教学、vod视频点播需求 4(建立校园网络化电子办公子系统 5(开通连接国际互联网通道，使校园网直接进入nternet 6(作为校园网建设一部分，网络连接设备和服务器设备不仅要能满足目前教学应用，还要考虑到以后学校发展需求;以保护投资。 7. 提供远程教学服务、WWW服务，FTP服务，E-MAIL服务，数据库，视频点播服务，DNS、代理服务等; 8. 培养一批既懂管理又会使用计算机管理人才和系统维护人才 9. 对学校敏感数据采取方法给予保护，在公网和私网之间连接采取有效安全防护。 从上面目标能够看出，现在，该校校园信息化建设网络架构平台基础完备，只是缺乏各个应用子系统，即，网络设备系统和应用软件系统。所以，依据贵校提出初步意见，结合网络设计计划要求和学校经济实力，我们提议采取中心骨干和子系统建设一步到位建设性意见。也可依据学校实际需求来分阶段实现学校教学应用需求。 2.3设计标准 就现在我们对部分学校教学需求和网络应用需求考察结果，并尊重―长远考虑、就地起步计划，我们提出了在技术上遵照开放、标准、成熟、安全、可靠和可扩展思想，追求技术上优异性和成熟性、实用性相结合，追求整个系统性能最好化、合理优化、节省费用等标准。 1( 基于路由器和交换机局部网间互联是最好处理方案。所以，网络协议方面，以网际协议(IP)作为校园网网络系统公用网络协议实施标准化。因为IP是Internet母语，并作为网络通信通用语言而在世界范围内广泛使用。因为使用IP作为标准传输协议，在以后对网络进行扩充以和其它政府部门网络互连时，能够跨越多个平台自然而然地提供互操作能力和无缝连接功效。所以，IP优化网络许可用户访问电子邮件、企业内部网和利益复杂Internet应用。 2( 在网络服务器选择上，我们选择了DELL系列服务器，作为世界著名品牌，我们有着广泛合作，而DELL金牌服务更能为我们提供最优良系统设备和最优质售后服务。 3( 在主干网建设时，结合学校建设性意见，我们把选择范围缩小在3com系列千兆交换机系列产品，它能够在整套方案中以极具竞争力价格提供全部技术。而且，3com本身是高速交换机系列产品中高端系列设备，它发展拥有明确技术方向，有利于我们是应未来应用发展。将会为我们提供一个高度集成化、高性能、灵活、可伸缩、安全和高性能价格比处理方案。 4( 在局部网建设方面，依据学校建设需求和未来发展趋势，我们仍然选择使用3com可堆叠百兆交换机作为网络二层交换机(在配线间)。这为边缘/二级交换点提供了可伸缩结构化、高性能设备。这么，能够确保网络数据高速传输，同时经过它Secure技术，确保了子网安全地接入Intranet或Internet和一体化网络处理方案。 5( 安全性是另一个关键要求，本方案中，我们采取硬件防火墙技术，确保用户确保用户能够安全地接入Internet，预防来自外部和内部网络攻击。 6( 保障数据完整性，对数据库操作确保数据一致性和数据完整性 2.4系统设计目标 综合以上多种信息，结合目前中国外各类院校，尤其是学校计算机系统应用情况，和国家教委对校园网建设规范意见， 核工业硕士部校园网要实现目标是: 以优异计算机及通讯为手段建立学校内部校园网网络，纵向向上和Internet互联网相连，向下和各教学子网、管理子网点相连接，横向和其它学校单位相连接计算机综合网络系统。构筑满足学校教育教学活动要求，满足日常工作处理电子化、日常办公自动化、领导决议科学化，和信息交流快捷方便化。即实现教学业务系统处理、日常办公、领导决议计算机化、信息交流国际化优异系统。同时，要求网络设备和骨干设备含有合适超前性，应该满足未来发展需求和良好设备兼容性。 结合以上目标，在统一设计思想、统一信息交换标准、统一技术规范标准下，系统应达成以下目标: 为各专业专职教学单元(多媒体教室、语音室、电子图书馆、电子阅览室等)提供宽带网络支持 提供校内和校外互通公用信息交换平台 提供Web公布信息等Internet信息服务; 提供日常工作处理网络化、电子化日常办公自动化环境 提供电子化档案信息查询，提供优异服务手段, 提升效率和质量; 为调控、科学决议提供有力支持; 为校园网提供有力技术保障，增加校园内部系统安全性 提供必需网络服务 增强学校竞争能力，保持领先优势。 3、校园网具体设计方案说明 3.1网络主干拓扑结构 计算机网络技术种类很多，采取星型结构以太网是现在最为安全成熟技术，而且，从应用角度讲，星形结构是综合布线系统推荐网络拓扑结构，能够和综合布线系统紧密结合，使得整个网络系统通信瓶颈从以往网络电缆转移至中央网络设备上。在中央设备之间，鄙弃传统HUB争抢技术，而采取交换以太网络设备配合星形结构来实现核工业硕士部计算机局域网络需求，使得中央结点和各个楼宇结点网络吞吐能力大大加强，对多媒体支持也愈加完美，既而提升整个系统吞吐能力。 所以在核工业硕士部网络方案中，整个系统采取星型结构和高速交换以太网技术相结合网络拓扑结构。 这种拓扑结构和以往总线结构相比含有以下特点: 1. 网络可靠性增强，假如在网络中一个站点或一条线路发生故障时，不会影响到其它接点正常工作; 2. 网络可扩展性强，如要扩充网络结点，则只要有一条线即可将扩充结点联接到网络上，且不影响其它结点工作。 3. 网络便于日常管理和维护。 4. 网络便于维护，可远程管理和配置网络。 5. 网络带宽轻易扩展，配置光纤接口和千兆位接口扩展口。 为此，在分析了核工业硕士部网络工程需求和实地考察基础上，结合综合布线系统，我们将利用优异快速以太网交换机产品，组建一个多级星型结构交换以太网，来组成整个网络系统。 3.2网络设计说明 计算机网络体系结构是由计算机体系结构不停发展和逐步演变而成。网络拓扑结构是抛开网络电缆物理连接来讲解网络系统连接形式。拓扑图给出网络服务器、工作站网络配置和相互间连接，它结构关键有星形结构、总线型结构、树形结构、网状结构、蜂窝状结构、分布式结构等。它们各有本身特点，有着不一样应用领域。在局域网中，使用最多是总线型结构和星形结构。现在，在校园网中关键采取中心交换星形拓扑结构，能够使100M共享到桌面，架构快速以太网网络。 建设核工业硕士部综合网络一个关键目标就是要在各个楼宇、部门和教学步骤间建立一条高速、高质量通道，方便其相互通信和共享信息、数据及设备等资源。为此，需要使用现在世界上优异高速传输和智能交换技术(包含第三层交换)，结构高性能主干网络。另外，鉴于网络中一些部门对网络安全和带宽特殊要求，必需使核工业硕士部信息化网络(尤其是主干网)含有虚拟网络功效，从而可确保网络使用者可方便、灵活和安全访问整个网络。 依据核工业硕士部现代化校园网建设要求，本企业设计了以交换式千兆以太网技术为骨干网络处理方案。中心机房设在综合教学楼3层，经过光纤(多模光纤接口)从网络中心以星型结构发散到核工业硕士部各个楼宇，组成核工业硕士部现代化校园网主干，然后分别从各楼宇配线间经过双绞线星型发散连接到各科室、教室。 综合教学楼是整个校园网信息中心。在本方案中关键交换机、服务器、采取集中式部署于中心机房，这么便于管理并极大增强安全性。在关键交换机选择上，关键交换机应含有三层或多层交换功效，以支持各子网间通信;而且中心交换机须配置多个1000Mbps光纤网络接口，用以连接其它各楼宇或网络二层交换机。经过交换机之间堆叠连接方法来为用户提供接入服务，这种方法在确保网络性能前提下可节省大量资金。 3.3服务器选型 3.3.1服务器选型标准 在服务器选型时，关键依据了以下关键标准 必需是目前国际上优异、有生命力机型(要含有很好性能价格比。 支持SMP对称多处理方法和ClusTER方法。 含有高可靠性和安全性(如带Ecc校验，对数据奇偶校验，热切换硬盘等)。 要有良好性能，含有较高TPs值(适应所负担应用要求。 在设计上最好采取模块化及通用性设计，易于扩充，易于维护。 服务器厂商含有良好售后服务和技术支持。 3.3.2网络服务器及功效 核工业硕士部网络应用具体来讲包含:WWW服务、FTP服务、DNS服务、DHCP服务、数据库服务、计费服务、防病毒服务、远程教学服务、电子图书服务等。有些服务可根据网站或网络架构建设速度或阶段来分步骤实现。如前期先实现WWW服务、DNS服务、电子邮件系统、FTP服务，其它如数据库服务、计费服务、防病毒服务、远程教学服务、电子图书服务等可依据具体需求来建设。 这里我们设置4台DELL服务器为核工业硕士部提供数据库服务、计费服务、远程教学服务、电子图书服务，同时提供瑞星杀毒软件服务;全部服务器配置对应软件来实现系统功效，全部服务器安装瑞星病毒防火墙，确保软件系统安全性。 3.4网络设备选型和布署 3.4.1网络设备选型 依据网络技术发展现实状况，本着优异、安全可靠和一次到位标准，关键部位网络设备全部采取被业界广泛认可3com企业高性能交换机，对于桌面级应用采取性能价格比教高且支持VLAN中端交换设备，从而确保全网通讯安全性、可管理性和高效性。本方案中关键包含两个层次交换设备:中心交换设备、二级交换设备。 中心交换设备:3com Quidway S5516 二级交换设备:3com Quidway S3050C、3com Quidway S3026C 3.4.2网络设备联接描述 校园网中心交换机采取一台3com Quidway S5516交换机，该交换机在综合教学楼信息中心机房中，利用LS-GS4L 4口千兆光纤交换模块，同校园内其它建筑中二级交换机上千兆光纤口以多模光纤相连，余下扩展槽预留为以后 提供扩展和冗余能力，另外需要单独配置一块LS-GT4U千兆以太网交换模块用于连接当地服务器。校园内光纤采取重铠6芯多模光纤到每幢建筑，每台交换机连接只使用其中两芯，剩下4芯能够作为冗余和以后扩展使用。二级交换机采取3com Quidway S3050C 交换机和3com Quidway S3026C交换机，经过交换机上一个LS-GMIU千兆光纤端口作上连，其它LS-LSIU口用于和当地其它交换机堆叠互联，提供48个或24个100兆快速以太网接口连接各终端，实现百兆到桌面。(见网络拓扑图) 3.5校园监控系统 多媒体数字监控系统，是时代发展产物。当今多媒体数字监控系统采取了4C技术，即控制技术、显示技术、通讯技术和计算机技术。这些高新技术应用，使电视监控系统技术上了一个新台阶。它使管理者坐在控制室中就能控制前端设备，观察到控制范围内全部关键地点情况，为管理、保安系统提供了临场视觉效果，为监控范围内多种设备运行和人员活动提供了较为直观监视手段。所以，多媒体数字监控系统已成为现代化管理和智能保安系统中不可缺乏组成部分。 3.5.1多媒体数据监控系统设计构想 伴随现代防范技术发展，不仅要求办公环境应很舒适，有优良服务，更要求有良好安全防范方法，为用户提供安全、安心保障。针对核工业硕士部安全管理是在关键出入口、办公楼、机房和教室周围等地点，为了实现一元化管理和出现问题立即、有效处理，并符合运行可靠，操作简单，维修方便条件，我企业在监控系统方案设计中，前端 部分采取日本SONY优质视频产品，主控部分采取了亚讯硬盘录像机方案。全部监控画面在监控室使用硬盘录像机进行录像、存放、控制，同时使用显示器进行画面显示。并设光盘刻录机方便于用户将关键画面保留。 3.5.2设计说明 经过对核工业硕士部需求了解，为了满足控制区域覆盖严密，监视电视图像清楚要求，并符合运行可靠，操作简单，维修方便条件，我企业在此次监控系统方案设计中，使用了较优异产品。 前端设备: 包含16台带全方位云台和防护罩一体化变焦彩色/黑白转换日本SONY摄像机，其中内置解码控制器、大倍率变焦镜头，并含有预置功效。可监视场区内活动情况。 (1) SONY企业优质视频产品设计优美， 480线一体化变焦彩色黑白转换摄像机高清楚度，采取DSP数字技术控制背光赔偿，白平衡，自动增益可对拍摄范围进行很大调整。 (2) 经过前置拾音器进行声音复核，基础覆盖了电台内全部智能建筑和大部分室外区域。 (3) 采取枪式摄像机，起到威慑作用。 (4) 全方位云台，起到随时监控电台内环境作用，操作方便、快捷。 (5) 每台摄像机配有辅助射灯，确保了夜间监控画面清楚度。 (6) 防护罩采取全封闭设计，达成抗强风、抗风沙、抗直射强日光、抗雷击、抗腐蚀等要求。 传输系统: 图像信号采取视频电缆传输(能够加信号放大器)，控制信号则采取非屏蔽双绞线传输。 后端设备: 主控统计设备为1台含有大容量存放器实时国产亚讯数字硬盘录像主机，配以17吋纯平显示器和DVD刻录机。 伴随计算机技术发展和普及，出现了将模拟视频图像信号转换为数字信号存放技术，而且可选择多个存放介质。数字主机含有录像实时性好、清楚度高、录像存放时间长、含有远程管理功效等很多优点。经过硬盘长久录像存放已成为现实，而且利用硬盘进行录像搜索速度也最快，录像效果清楚。 数字硬盘录像机可选择多个录像方法。可将16画面以画面分割形式显示于1台显示器上，也可显示用户所选单个放大画面，硬盘录像机为多工方法，回放录象和监视控制等可同时完成。可经过网络对图像进行传输，是现在比较优异集控制、统计、传输为一体数字化设备。 (1) 主控部分推荐使用硬盘录像数字化方案，采取了亚讯硬盘录像机，系统可经过网卡设置副控、连入网络。总监控室采取1台16路数字监控主机，全部监控画面在1台17显示器上实时分割显示。也可依据需要任意单画面显示任意一个场景图像。 (2) 二十四小时采取视频动态检测录像，监控画面每路均能回放实时录像资料(25帧/秒)，全部录像资料在硬盘上保留5天。 (3) 数字监控系统连接光盘刻录机，关键资料可转录在光盘上。转换到光盘图像资料可在通常计算机中查看。 (4) 系统含有较完善安全保护方法，对全部操作人员按工作性质给予不一样操作权限。 (5) 数字监控主机界面为WIN98/，汉字输入操作，易学、易用。 3.6网络布线系统综合设计 3.6.1网络布线标准 对于核工业硕士部(两座累计400个信息点)数据网络综合布线，我们依据综合布线传输性能国际标准，即EIA/TIA 568A标准和ISO/IEC 11801标准，对布线系统中对传输性能作出约束。 ISO11801标准既适适用于屏蔽系统又适适用于非屏蔽系统，也适适用于光纤布线系统; EIA/TIA-568A标准则只适适用于非屏蔽系统和光纤布线系统。 11801标准推荐在外界干扰信号频率大于30MHZ时使用屏蔽系统,它关系到系统安全和人员健康.在中国因为屏蔽系统造价较高，且安装较为复杂，通常只用在比较特殊场所如:保密性要求比较高地方或是电磁环境较为复杂单位。 以避免造成阻抗不匹配。 ISO11801标准强调屏蔽系统优点而EIA/TIA568A标准则没有。 在光纤传输方面，ISO11801推荐SC接口优先于ST接口。 3.6.2综合布线系统具体设计 依据核工业硕士部网络布线建设要求，本企业设计了全网采取超五类双绞线星形集中布线方案。针对现在网络数据传输和信息点数量要求，超五类双绞线作为网络传输介质，提供对整个大楼楼层和配线间数据访问连接，速度能够达成线速100兆，并能够在未来直接支持1000BASE-T千兆交换连接。 3.6.2.1信息点分布以下: 标准综合布线系统能够分为工作区子系统、水平子系统、垂直主干子系统、管理子系统、设备间子系统(机房)和建筑群子系统。本方案中对现在应用所包含工作区子系统、水平 子系统、垂直主干子系统、设备间子系统(管理室配线间)、建筑群子系统5个系统进行设计，并为建筑群子系统提供良好接口和扩展性。 核工业硕士部共设计400个数据信息点，配线间在每座建筑楼内，为方便管理和维护，并提供足够带宽，采取可集中管理星形集中布线，垂直电缆、水平电缆和工作区电缆提议采取AMP超五类双绞线，使桌面带宽达成线速100Mbps。 考虑整座建筑布局，关键设施分布以下: 因为在本方案中采取是集中式布线方案，所以网络配线间采取标准机柜，将全部光缆、网络设备及布线设备统一安装于此，使设备整齐美观，并易于管理。 3.6.2.3平面走线图: 3.6.2.4布线子系统说明: 下面将各个子系统进行说明: (1)工作区子系统(WORK AREA SUBSYSTEM): 工作区子系统由终端设备和连接到信息插座连线组成，它包含装配软线，连接器和连接所需要扩展软线，信息插座，并在终端设备和I/O之间搭桥。 采取标准RJ45信息模块或多媒体插座，按施工要求数量及位置暗装或明装，全部采取模块化信息插座。AMP 超5类信息模块最高可支持622Mbps应用，此模块拆装灵活,含有尺寸小,性能高特点。适适用于大数据流工作使用,符合EIA/TIA568标准。 信息插座均采取超5类墙面式插座 选择设备以下图: 超五类双孔信息插座 超五类模块 本系统中，电脑经过RJ45-RJ45跳线，经信息模块实现和网络连接。依据标准综合布线系统设计，在每个信息插座旁边要求有1个单相电源插座，以备计算机或其它有源设备使用，信息插座和电源插座间距不得小于20cm。墙上型信息插座，通常安装在离地面30cm处。 (2)水平子系统(HORIZONTAL SUBSYSTAM) 水平子系统实现了信息插座和垂直主干子系统间连接，该系统从用户工作区信息插座开始，连接到垂直主干子系统，提供同各房间连接和管理。超五类双绞线一端在配线间配线架处端接，另一端是在工作区信息插座处端接。 水平子系统使用非屏蔽双绞线，这种非屏蔽双绞线是EIA/TIA 568B标准用线，能够替换诸如同轴、屏蔽等传统布线材料，将多种不一样布线规范综合成一个统一开放结构，采取统一传输介质易于安装，抗干扰能力强且数据传输速率能够达成100Mbps。水平布线子 系统将电缆从楼层配线架连接到各用户工作区信息插座上，通常处于同一楼层之上，能够采取3类、5类4对屏蔽/非屏蔽双绞线;3类或5类双绞线全部是由8根本24-AWG铜线组成;3类线在10MBPS应用时无误码传输距离为100米、16MBPS时为50米;5类线在155MBPS时可传输80米、在100MBPS时为100米;速率更高时可采取光纤。 本方案中采取桥架作为主干进行水平电缆铺设，电缆从在走廊顶部桥架引出，经过水平镀锌铁管输送到事先预埋在墙内铁管内，再经过镀锌铁管将电缆引至墙盒或表面安装盒。具体桥架规格依据所在位置输送电缆数量而定。 水平线铜缆长度计算: 水平布线系统是采取星型连接法，即实现点对点连接。 依据AMP线类长度计算方法: 所需1061004CSL箱数=点位总数/每箱能敷设点位数*1.1 每箱能敷设点位数= 305米/每点平均长度 每点平均长度=(离配线架最远I/O位置+最近I/O位置)/2 (3)垂直干线子系统(RISER BACKONE SUBSYSTEM) 垂直主干子系统提供结构化布线系统竖向缆线连接，和设备间子系统中网络设备互联，提供多个线路连接设施，从而实现多个单元互联。垂直干线子系统由缆线及缆线连接相关支撑硬件组合而成。垂直干线子系统是建筑物内部通信主通道。经过干线子系统，和水平布线子系统连接起来，在延伸到工作区子系统和用户终端、PC机连接。因为采取分布式控制方法，垂直干线子系统和水平子系统和在一起，即直接把UTP双绞线从办公室经竖井敷设到设备间。 垂直干线子系统数据传输介质采取AMP超五类UTP双绞线。她支持FDDI、快速以太网及ATM等高速数据传输。 (4)设备间子系统(EQUIPMENT SUBSYSTEM) 设备间子系统由主配线架和各公共设备组成，它关键功效是将多种公共设备(如:计算机主机，PABX、多种控制系统、网络交换设备等)和主配线架连接起来，该子系统还包含雷电保护装置。 本系统中，根据设计要求，设备间应尽可能满足下面要求: 1)将设备间尽可能安排在服务电梯周围，方便装运粗笨设备; 2)室温应保持在18度-27度之间，相对湿度30%-55%; 3)保持室内无尘，且通风良好，含有足够亮度; 4)安装适宜消防系统; 5)使用防火门，最少耐火一小时防火墙和阻燃漆; 6)远离存放危险物品场所和电磁干扰源(如发射机和电动机); 7)设备间高度应最少为2.55米高度无障碍空间，地板负重能力最少500KG/平方米。 另外，还要有供放置设备机柜，其型号可按设备大小而定，通常采取19标准机柜。机柜应装有风扇及电源。 为了便于集中管理，提议采取快接式五类配线架。 (5)建筑群室外连接子系统(CAMPUS BACKBONE SUBSYSTEM) 建筑群子系统负责将一个建筑物中光缆(或电缆)延伸到建筑群其它部分建筑物中通信设备和装备上。建筑群子系统布线方法可采取地下管道方法和架空明线方法。但不管采取何种方法全部需要采取必需保护方法(尤其是在线路进出建筑物地方)，确保线路安全。 本方案中采取挖沟地埋，走地下管道方法。 建筑群子系统关键是用来中心机房和各个分线间互联，为了确保足够带宽来传输数据以避免网络瓶颈产生。常见介质多采取双绞线和光缆。在本方案中主干子系统采取是6芯多模/单模千兆光纤。 光缆部分 现在，建筑群之间光缆基础上有三种敷设方法: 地下管道敷设:在地下管道中敷设光缆。 直接地下掩埋敷设:直接把光缆埋在土中。 架空敷设光缆:即在空中从电线杆到电线杆敷设。 以上方法各有特点，假如条件许可话最好采取第一个，因为它能够保护光缆。园区光纤布线设计符合EIA/TIA标准和ISO 11801标准中建筑群子系统设计要求。依据标准，光纤耦合连接应符合以下要求，图所表示: 图:光纤耦合连接图 光纤接线盒作用是端接和保护连入建筑物内光纤，在它里面安装有光纤端接耦合器，缓冲绕线装置和光纤固定装置，其规格分为8口光纤接线盒、12口光纤接线盒、24口光纤接线盒，36口光纤接线盒，48口光纤接线盒。 光纤耦合器作用是一头端接光纤干线，另一头端接光纤跳线。因为光纤纤芯很细，其材料采取玻璃或塑料制成，本身很脆弱，从技术上讲不许可直接接入网络设备。光纤耦合器在光纤干线和设备跳线之间起到了极其关键缓冲作用。 4、网络安全设计 Internet日益普及，互联网上浏览访问，不仅使数据传输量增加，网络被攻击可能性增大，而且因为Internet开放性，网络安全防护方法发生了根本改变，使得安全问题更为复杂。传统网络强调统一而集中安全管理和控制，可采取加密、认证、访问控制、审计和日志等多个技术手段，且它们实施可由通信双方共同完成;而因为Internet是一个开放全球网络，其网络结构错综复杂，所以安全防护方法截然不一样。Internet安全技术包含传统网络安全技术和分布式网络安全技术，且关键是用来处理怎样利用Internet进行安全通信，同时保护内部网络免受外部攻击。在此情形下，防火墙技术应运而生。 防火墙技术是建立在现代通信网络技术和信息安全技术基础上应用性安全技术，越来越多地应用于专用网络和公用网络互联环境之中，尤其以接入Internet网络为最甚。 4.1 安全风险分析 4.1.1网络结构安全风险 一旦学校网络和Internet连通以后，可能遭受到来自Internet不分国籍、不分地域恶意攻击。校园网和一般企业上网不一样，因为通常企业上网关键是―防外，预防互联网上黑客对内部网络攻击，而安装在校园网上防火墙，既需要有―防外功效，又要有―防内功效。所谓―防内，是因为在学生中有不少是网络爱好者，在好奇心驱使下，可能会从互联网上下载黑客工具，来对互联网上、或是校园网内部服务器进行攻击。 我们认为在网络结构在安全性方面存在以下问题: 首先，在接入Internet接口处设置访问控制产品，和预防黑客入侵安全产品。在内部网络关键服务器区域缺乏对于入侵行为监测和报警安全方法，缺乏安全管理。对于由外网进入数据没有专门防病毒体系保护，无法确保内部网络不受病毒干扰。 其次，对外提供服务服务器组和内部服务器组存有很多关键数据，这些数据是不法分子最想得到，所以一定要对这些服务器进行关键保护，预防这些数据被篡改和窃取。在该网络结构中，多种数据库服务器、应用服务器、WEB服务器、网管工作站等关键服务器和主机全部是经过交换机直接和各部门办公子网连接，内部职员对这些服务器能够很轻易实施攻击。即使在交换机上能够经过配置提供部分安全确保，不过其强度是不足。现在黑客攻击工具在网络上泛滥成灾，任何一个稍微有点计算机操作能力人员全部能够利用这些工具进行攻击。同时，内部学生往往对学校部分信息有着极大诱惑力(如存放关键给老师使用试题库)，更轻易发生攻击行为，在好奇心或是为了满足一些单纯心理需要，而不顾后果对校园内部服务器进行攻击，使学校内部资料遭受到无须要损失。据权威数据表明，有97,攻击是来自内部攻击和内外勾结攻击，而且内部攻击成功概率要远远高于来自于Internet攻击，造成后果也严重多。现有这种网络结构没有考虑到来自内部攻击风险。 4.1.2应用系统安全风险 对应用系统攻击能够分为两类: 1)因为攻击者对网络结构和系统应用模式不了解，关键经过对应用服务器进 行系统攻击，破坏操作系统或获取操作系统管理员权限，再对应用系统进行攻击，以获取学校关键数据;在现在通用三层结构(数据库服务器,应用服务器,应用用户端)中，经过对数据库服务器关键保护，能够预防大多数攻击。 2)攻击者了解了网络结构和系统应用模式，直接经过对应用模式攻击，获 取学校机密信息，这些攻击包含: 非法用户获取应用系统正当用户帐号和口令，访问应用系统; 用户经过系统正当用户帐号，利用系统BUG，访问其授权范围以外信息; 攻击者经过应用系统存在后门和隐通道(如隐藏超级用户帐号、非公开系统访问路径等)，从应用服务器或数据库服务器获取数据; 在数据传输过程中，经过窃听等方法获取数据包，经过分析、整合，获取企业机密信息。 这类攻击关键起源于学校内部，包含经过授权使用应用系统职员和学生，开发、维护这些应用系统职员、开发商等对系统攻击。 4.1.3内部网安全需求 网络系统安全: 1) 划分安全网络拓扑结构，隔离外部WEB服务器群和内部服务器群，确保内部网服务器系统安全。 2) 在Internet和网络中心接口设置防火墙网关，确保内部网和服务子网安全;提议]在各关键部门局域网和内部网之间接口设置防火墙网关，确保关键部门局域网安全。 3) 在网络中心服务器子网设置入侵检测软件，监视对网络中心服务器 访问请求，立即发觉并阻断攻击企图。 应用系统安全: 1) 保护现有资源和投资，尽可能不改动现有系统。 确保核工业硕士部网络应用系统正常工作安全。 确保核工业硕士部网络应用系统数据安全交换。 2) 确保预防数据泄密，关键指两个方面:内部非授权用户访问其授权 范围之外信息;内部用户对数据、信息非法更改。 3) 预防外部公众用户经过Internet非法访问、窃取内部数据、信息。 确保数据有效安全备份和非法窃取数据不被轻易解读。 安全系统可监控性和易操作性。 4.1.4安全对策列表 分析网络、应用和内部管理，我们将计算机网络系统可能存在安全 4.2网络安全对策 伴随计算机网络迅猛发展，尤其是Interner,LAN和WAN广泛应用，网络安全逐步成为日益关注问题。怎样才能快捷地访问外部网络，同时又能有效地保护 • 业界领先抗攻击能力 NetST紫荆盾系列防火墙，能够防范多种网络攻击。在防范多种拒绝服务攻击(ping of death，land，syn flooding，ping fiooding，tear drop，„)、端口扫描、IP欺骗等攻击手段方面表现突出。 • 超级内容过滤功效 NetST紫荆盾系列防火墙支持关键应用层协议 烦琐网络名词而轻松使用。同时NetST Java管理控制台提供策略转换器可 以将用户编辑好策略加载到防火墙，大大简化了安全策略布署问题; • 智能日志审计和状态监视; NetST紫荆盾防火墙含有实时在线监视内外网络间全部TCP连接状态和 UDP数据包能力，用户能够随时掌握网络中发生多种情况。在日志中统计所 有对防火墙配置操作、异常连接、拒绝连接、可能入侵等信息，并提供 友好管理界面进行管理。 • 方便安全远程管理功效 NetST紫荆盾防火墙配有Java管理控制台，能够经过网络方便地管理和控 制防火墙。 网络带宽和流量控制功效 • 支持基于用户流量控制，能够有效进行带宽流量控制; 双向网络地址转换(NAT)及端口转换 NetST紫荆盾系列防火墙支持静态 NAT(多对多、多对一、一对多)、动态NAT 转换; 入侵检测功效 • 防火墙引擎采取国际优异状态检测包过滤技术，实时在线监测目前内外网 络全部连接状态，依据连接状态动态配置规则，对异常连接状态进行阻断，实现入侵检测并立即报警。NetST防火墙支持对现在国际上关键网络攻击方法 有效阻断。 在本方案中，本企业选择清华得实防火墙是NetST2600，它含有4个 10/100MBaseTX自适应网络接口。它广泛应用于军队、政府、学校及涉密单位。 4.2.1外网防护 外部区域是互联网络中不被信任网络。防火墙保护内部和停火区中设 备，使她们免受外部设备威胁。在商业活动中，企业通常许可外部网络访问停 火区。假如必需话，应该仔细配置防火墙，使它许可外部设备有选择访问停 火区中主机和服务。 对于核工业硕士部其外网安全关键有清华得实防火墙NetST2600担任，通 过制订访问安全策略如许可外部用户经过HTTP协议访问核工业硕士部外网服 务区中WEB站点，但不支持外部用户使用TELNET或FTP服务;外部合作伙 伴和移动用户经过VPN隧道访问核工业硕士部内部网络。而且经过制订安全策 略，能够预防部分黑客或非有意网络攻击。 4.2.2内网安全 当大家对网络安全注意力全部集中在外网防护时候，往往忽略了内部网络 安全。据计算机安全协会(CSI)最近进行调查中显示，70%被调查机构表示，她们安全防卫系统曾经被破坏过，而且60%事故起源于内部。 针对于核工业硕士部内网防护关键表现于VLAN 利用,VLAN划分方法目标是确保系统安全性。所以，能够根据系统使用人来划分VLAN:学生VLAN、老师VLAN、管理VLAN，能够将学校中管理服务器系统放入管理VLAN，如网管工作站、入侵检测系统服务器等。也能够根据机构设置来划分VLAN，如将领导所在网络单独作为一个Leader LAN(LVLAN)，其它年级(或下级机构)分别作为一个VLAN，而且控制LVLAN和其它VLAN之间单向信息流向，即许可LVLAN查看其它VLAN相关信息，其它VLAN不能访问LVLAN信息。VLAN之内连接采取交换技术实现，VLAN和VLAN之间采取路由实现。为了实现LVLAN和其它VLAN之间单向信息流动，需要在LVLAN和其它VLAN之间设置访问控制列表作为安全隔离，控制VLAN和VLAN之间信息交换。 除了内部网络界面和外部网络界面，系统还增加一个网络界面，让管理员灵活应用。提供第三区域 – 外网服务区，接入防火墙DMZ(Demilitarized Zone)区，在其中放置WWW服务器或公共应用服务器。 独特第四网络接口 - 内网服务区，清华得实防火墙校园网专业版提供多个网络接口，专门开辟了第四区间——内网服务区，将原来安装在校园内部网络中部分关键服务器集中联入本区域，此区域和第三区域不一样。对于第三区域，内网、外网全部能访问;对于第四区域，只开放给内网某一部分IP访问，外网无法访问。这么组成系统，既可―防外又可―防内，根本处理了通常防火墙只能―防外不能―防内不足。 4.2.3防病毒系统 网络安全另一个关键方面就是防病毒系统。 伴随计算机网络尤其是INTERNET在全球普及和深入，使得企业和学校越来越多接 触网络和使用网络。经过网络能够进行商业活动，也能够进行邮件传送，但同时，病毒数量也伴伴随网络快速得以倍增，很多近乎绝迹病毒也时有发生，宏病毒因其不分操作系统，在网络上传输更是神速。大力发展网络同时，病毒也得到大发展。网络中病毒有是