课程设计（论文）-大学网络建设方案.doc

广 州 大 学继 续 教 育 学 院题 目: 所在班级： 学 号： 学生姓名： 2011年 05月05日1、项目背景21.1企业概述22、需求分析32.1总体目标32.2 建设指导思想43、网络方案设计原则54、网络架构选型64.1 拓扑结构图64.2 网络结构的优点、优势64.3 星型拓扑的特点：75、网络设备选型85.1 设备网络拓扑图85.2 网络设备选配86、建设内容136.1 结构化布线136.2 综合布线方案设计136.3 综合布线结构146.4 需解决的关键技术167、网络系统197.1 主机系统架构图197.2 主机系统选型198、网络安全218.1 网络安全219、总结2510、资料参考251、项目背景1.1企业概述广州大学办学规模较大，学科门类较全。全校现有普通全日制本科生20326人，各类博、硕士研究生2338人。学校现有69个本科专业，涵盖哲学、法学、教育学、文学、历史学、理学、工学、经济学、管理学九大学科门类,设有26个学院（部）。学校现有11个博士点，122个硕士点及教育硕士、工程硕士、体育硕士、艺术硕士、汉语国际教育5个专业硕士学位点。2010年8月，广州大学被教育部确定为新增开展硕士推免生工作高校。校区占地面积约1050亩，教学区包括图书馆、综合教学楼、院系实验楼、行政办公楼。学生宿舍区包括五栋高层学生公寓、教师公寓及二十几栋栋多层学生宿舍，运动区包括体育馆、运动场、看台等。 本方案是针对广州大学（继续教育学院）校园网建设的具体需求，结合学院的的未来发展需要，所作的校园网具体设计方案。根据学院的具体需要，我们提供了快速以太网解决方案。根据系统建设目标及应用系统的特点，考察当前计算机与网络的最新技术，目前国内新建设的网络系统大都采用新型的三层Client/Server的模式作为其主要的体系结构。经过多次成功的实践，我们认为这种模式的的开放性、灵活性以及安全性能够满足目前各系统的网络建设需要。鉴于Internet技术的迅猛发展及其在信息系统领域的广泛应用，我们在系统中同时提供Internet环境和应用开发平台。Internet的Mail技术和FTP等技术将直接应用于信息的采集和传输。建立Web站点，利用WWW技术是实现校园信息查询服务的有效手段，同时利用WWW技术还能较好的实现远程教学，实现教、学双方的交互。该方案主要基于一种高性能网络的设计思路，主要特点在于： 以交换技术为核心，构造一个既能覆盖本地又能与外界进行网络互通、共享信息的计算机网络主干网; 选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法; 完全符合开放性规范，将业界最优秀的产品集成于该综合网络平台之中；具有较好的可扩展性，为今后的网络扩容作好准备。 2、需求分析2.1总体目标计算机网络在当今的信息时代扮演着越来越重要的角色，高可靠性的计算机网络为企业的计算机管理提供了稳定的平台，极大的提高了企业的经济效益。在网络体系的架构上，校园网应是一个以宽带IP网为目标，同时提高网络可靠性、安全性和可管理性。在主干网采用以光纤布线为主，室内综合布线接入为基础链路。主干网核心层交换设备具有千兆位或万兆位的以太网技术的包交换速度及高速的三层交换功能的。结合校园网主服务器集群的作用，以高速通讯线路与服务器连接，从而保证了服务器具有足够的带宽为网络上的用户提供良好的服务性能。汇集层网络交换设备以采用成熟的、可靠的快速以太网技术设备作为接入桥梁，实现虚拟局域网（VLAN）的功能及网间通讯，同时确保全网的良好性能及网络安全性。接入层交换设备为校园用户提供高速到桌面的接入体系。整个校园网采用先进的网管软件，建立完善的网络管理体系。广州大学（继续教育学院）的近期建设要达到以下的目标：在学院建成一个适合于信息采集、共享的内部网络，在此基础上建立起供教学及人员培训使用的内部网络以及内部办公网络；实现到Internet的接入，实现信息在Internet的发布；校园网网络建成以后，要实现以下这些功能：WWW服务，作为信息服务的平台；Email服务，作为信息传递和与外界交流的主要手段；综上所述，本网络的网络建设必须采用当前最新的网络技术。2.2 建设指导思想先进性：在保证系统能够稳定运行的基础上，以先进的设计思想，设计网络结构、开发工具，采用市场覆盖率高、标准化和技术成熟的软硬件产品。保证技术的前瞻性，延长系统的生命周期。可靠性：具有容错功能，管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析，确保系统运行可靠，并具有良好的性能价格比。安全性：随着信息化的集中处理和基于Internet的访问激增，给校园网络带来的不利因素之一便是安全问题。从某种角度上来看，使校园内部科研信息及其它信息等暴露的可能性增大，信息一经暴露，给全系统带来的危害性加大。因此，方案设计时，充分考虑系统的抗外部攻击和内部攻击的能力。可扩展性：系统总体设计采用开放的结构，具有可扩展性，同时系统设计应经济实用。实用性：本着经济的原则，系统不追求大而全和设备先进，选用实用、够用的设计方案，更着眼于系统整个的灵活性和可扩充性，同时，考虑要利用和保护现有的资源、充分发挥设备效益。开放性：系统设计应采用开放的技术、开放的结构、开放的系统组建和开放的用户接口，以利于网络维护、扩展升级和与外界信息的沟通。灵活性：采用积木式模块组合和结构化设计，使系统配置灵活，满足学校分步实施的建网原则，使网络具有强大的可增长性。3、网络方案设计原则统一规划、分步实施、近期目标明确统一设计，分布实施的原则基于系统的可用性、扩展性和先进性的统一的需要，即应用系统的设计、网络方案设计充分考虑网络系统建成后510年的发展需要，进行全方位整合；考虑校园园区网络系统的设备、物理链路、业务发展状况、技术力量等多方面的综合因素，为未来的发展留有余地。坚持先进性、开放性、标准化的原则建立一个大规模的综合性园区网络系统，应该尽可能采用先进成熟的技术。选购具有当今主流先进技术水平的计算机系统和网络设备，这些设备或系统应该在相当长的时间内保证其先进性。开发或选购的各种网络应用软件也尽可能先进，并有相当长时间的可用性。现代计算机网络的一个最显著特点是具有极好的开放性。这种开放性靠标准化实现，使得符合这些标准的计算机系统很容易进行网络互连。为此，应制定全网统一的网络体系结构，并遵循统一的通信协议标准。网络体系结构和通信协议应选择广泛使用的国际工业标准，使得设计网络系统成为一个完全开放式的网络计算环境。 强调应用和服务网络应用和服务在整个网络建设中应置于非常重要的地位。建设好一个，投入使用一个，使网络的建设、应用及服务同步进行。应用和服务才是用户可直接受益的部分。同时，提供网络系统强有力的售后保障体系，也是应用和服务延伸的保证。4、网络架构选型星型拓扑结构：在中心放一台中心计算机，每个臂的端点放置一台PC，所有的数据包及报文通过中心计算机来通讯，除了中心机外每台PC仅有一条连接，这种结构需要大量的电缆，星型拓扑可以看成一层的树型结构不需要多层PC的访问权争用。星型拓扑结构在网络布线中较为常见。4.1 拓扑结构图4.2 网络结构的优点、优势4.2.1 维护管理容易，由于星型拓扑结构的所有信息通信都要经过中心节点来支配，所以维护比较容易。4.2.2 重新配置灵活，在楼层配线间的配线架上可以移动 增加或拆除一个信息插座所连接的终端设备，并且仅涉及所连接的那台终端设备，因此操作起来比较容易，适应性强。4.2.3 故障隔离和检测容易，由于各信息点都直接连到楼层配线架，因此故障容易检测和隔离，可以很方便的将有故障的信息点从通道中删除。4.3 星型拓扑的特点：4.3.1 容易实现：它所采用的传输介质一般都是采用通用的双绞线，这种传输介质相对来说比较便宜，如目前正品五类双绞线每米也仅1.5元左右，而同轴电缆最便宜的也要2.00元左右一米，光缆那更不用说了。这种拓扑结构主要应用于IEEE 802.2、IEEE 802.3标准的以太局域网中；4.3.2 节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样"牵其一而动全局"；4.3.3 维护容易:一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点；4.3.4 采用广播信息传送方式：任何一个节点发送信息在整个网中的节点都可以收到，这在网络方面存在一定的隐患，但这在局域网中使用影响不大；4.3.5 网络传输数据快：这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。5、网络设备选型5.1 设备网络拓扑图5.2 网络设备选配5.2.1 交换机选择 核心层交换机核心交换机担负着全校所有的数据交换任务，因此，其性能都要求非常高。而且为了适应将来的各种调整，要求核心交换机具有相当好的扩展性，不仅在硬件上要有很好的扩展性，而且在功能上也要有极强的扩展性，能很好的适应将来的IPV6、语音、视频等的应用需求。我采用CISCO WS-C6509-E做为核心交换机，它在网络核心，性能、IP服务、冗余性和故障弹性十分重要。参数规格：主要参数交换机类型:企业级交换机应用层级:四层传输速率:10Mbps/100Mbps/1000Mbps/10000Mbps网络标准:IEEE 802.3, IEEE 802.3u, IEEE 802.1s, IEEE 802.1w, IEEE 802.3ad端口结构:模块化传输模式:支持全双工交换方式:存储-转发背板带宽:720Gbps包转发率:387MppsVLAN支持:支持QOS支持:支持网管支持:支持网管功能:CiscoWorks2000, RMON, 增强交换端口分析器(ESPAN), SNMP, Telnet, BOOTP, TFTPMAC地址表:64K模块化插槽数:9电源:DC, 6000W;AC, 4000W尺寸(mm):622×445×460 分布层交换机分布层交换机担负着小规模的数据交换任务，为了减轻核心交换机的负担，分布层交换机也要求支持三层交换能力，在保证高性能的同时，也提供了高可用性。同时具备三层交换能力的分布层交换机能够自主交换本交换机上的各个网段间的数据通讯，从而减轻核心交换机的负担，同时，具有三层能力的交换机具有更强的安全控制能力，从而可以在分布层交换机上做强有力的安全措施，使核心交换机少受各种威胁，专心工作于高速数据转发，从而大辐提高校园网络的效率。分布层交换机采用与核心交换机同一品牌，我选择Cisco WS-C3560G-24TS-E交换机，Cisco Catalyst 3560系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由和基于策略的路由（PBR）。在初始部署后，Catalyst 3560 EMI升级工具包使用户可灵活地升级到EMI。思科高级IP服务许可证可提供IPv6路由。参数规格：主要参数交换机类型:企业级交换机应用层级:三层内存:128MB DRAM和32 MB闪存传输速率:10Mbps/100Mbps/1000Mbps网络标准:IEEE 802.3, 802.3u, 802.3z, 802.3ab端口结构:非模块化端口数量:24接口介质:10/100/1000BASE-T/ 1000FX/SX传输模式:支持全双工配置形式:可堆叠交换方式:存储-转发背板带宽:32Gbps包转发率:38.7MppsVLAN支持:支持QOS支持:支持网管支持:支持网管功能:SNMP, CLI, Web, 管理软件MAC地址表:12K模块化插槽数:4尺寸(mm):378×445×44重量(Kg):5.4接入层交换机接入层交换机提供工作站的接入，需要支持VLAN、安全策略、VOICE VLAN、QOS、802.1X等功能，以方便今后网络功能上的扩充。我采用Cisco WS-C2960-24-S交换机做为接入层交换机，在机房中使用三台堆叠。Catalyst 2960系列智能以太网交换机，它是一个全新的、固定配置的独立设备系列提供桌面，快速以太网和10/100/1000千兆以太网连接，适用于入门级企业、中型市场和分支机构网络，有助于提供增强LAN服务。Catalyst 2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。该系列还包括一系列针对网络管理员所作的硬件改进，包括双介质（或有线）千兆以太网上行链路配置，允许网络管理员使用铜缆端口或光纤上行链路端口。参数规格：主要参数交换机类型:智能交换机应用层级:二层内存:64-MB DRAM, 32-MB flash memory传输速率:10Mbps/100Mbps网络标准:IEEE 802.1D, IEEE 802.1p, IEEE 802.1Q, IEEE 802.1s, IEEE 802.1w, IEEE 802.1x, IEEE 802.1AB (LLDP), IEEE 802.3ad, IEEE 802.3ah, IEEE 802.3x, IEEE 802.3, IEEE 802.3u, IEEE 802.3ab端口结构:非模块化端口数量:24传输模式:支持全双工交换方式:存储-转发背板带宽:16Gbps包转发率:3.6MppsVLAN支持:支持QOS支持:支持网管支持:支持网管功能:SNMPv1, SNMPv2c, and SNMPv3MAC地址表:8K电源:100240 VAC尺寸(mm):44×445×236重量(Kg):3.65.2.2 路由器路由器用来实现校园网接入到外网，要具备三个以上的以太网接口，要求提供强大的NAT转换能力。出口路由器担负着整个校园网的外网接入任务，其可靠性及性能的要求较高。参数规格：基本特征路由器类型:模块化接入路由器端口结构:模块化网络协议:TCP/IP传输速率:10/100Mbps固定的广域网接口:可选固定的局域网接口:2个其他端口:USB、console内置防火墙:是Qos支持:支持支持VPN:支持扩展模块:5内存:128MB(最大384MB)适用环境:工作温度:0-40、工作湿度:10%-85%非冷凝、存储温度:-25-65、存储湿度:5%-95%非冷凝电源:100-240 VAC尺寸:343*274*47.5mm重量:2.8kg 5.2.3防火墙为了保护学校的信息安全，在硬件方面，我选择使用Cisco ASA5520-BUN-K9防火墙。Cisco ASA5500系列自适应安全设备是思科专门设计的解决方案，将最高的安全性和出色VPN服务与创新的可扩展服务架构有机地结合在一起。作为思科自防御网络的核心组件，Cisco ASA5500系列能够提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。参数规格：主要参数设备类型:VPN防火墙并发连接数:280000网络吞吐量(Mbps):450安全过滤带宽:225Mbps网络端口:千兆以太网端口×4、快速以太网端口×1、SSM 扩展插槽×1用户数限制:无用户数限制入侵检测:DoS安全标准:UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001控制端口:console管理:思科安全管理器 (CS-Manager) ,WebVPN支持:支持一般参数适用环境:工作温度：0-40工作湿度：5%-95%(非冷凝)存储温度：-25-70存储湿度：5%-95% (非冷凝)电源:100-240VAC，47/63Hz防火墙尺寸:362×200.4×44.5mm防火墙重量:9.07kg 其他性能:既可以实现强大的安全保护，又可以避免在多个地点运行多个设备的高运行成本6、建设内容6.1 结构化布线当今世界已经进入了信息网络时代。结构化布线系统是信息网络时代的必然产物，是智能建筑的中枢。它采用高质量的国际标准线缆和相关连接件，在建筑物内组成标准、灵活、开放的传输系统，解决了过去建筑物各种布线系统互不兼容的问题。它既可以传输语音、数据、图象和离散信号，也可以与建筑物外部的通信网络相连接，因而它是一种适应信息网络时代的建筑物“信息高速公路”，是信息网络技术的一个重要分支，是建筑智能化必备的基础设施。为了更好的落实国务院、省、市关于高校后勤社会化改革的要求，达到高校管理现代化、智能化、数字化和网络化，根据广州大学校园网建设要求，通过结构化的综合布线，在校园内建设一条“信息高速公路”，实现信息资源的共享。6.2 综合布线方案设计综合布线系统物理拓扑结构为分层星型拓扑结构，该结构下的每个分支子系统都是相对独立的单元，对每个分支子系统的改动都不影响其他子系统，只要改变接点连接方式就可使综合布线在星型、总线型、环型、树型等结构之间进行转换，既支持集中网络，又能支持分布式网络系统。通过统一规划和模块化设计，满足语音和数据信息点的即插即用和随时互换，方便地与Internet或数据专网互联。6.3 综合布线结构6.3.1 工作区子系统一个独立的需要设置语音/数据终端的区域宜划分为一个工作区，工作区子系统由办公区域的信息插座、延伸到终端设备处的连接电缆和适配器组成。工作区适配器的选用宜符合下列要求：l 采用不同信息插座的连接器时，可以用专用电缆或适配器；l 水平子系统与终端设备传输介质不同时，宜采用适配器；l 需要进行数模转换或数据速率转换时，宜采用适配器；l 对于网络规程的兼容性，可用配合适配器。本设计中，公寓楼四人房每个房间设计4个数据信息点；其它每个房间设计2个数据信息点。布线材料全部采用M10L-262单口空面板(带防尘盖)和MPS100E-262超五类简装模块。6.3.2 水平子系统水平子系统由各设备间到各个工作区之间的线缆组成。水平子系统通常采用4对非屏蔽双绞线，电缆长度不超过90米；在需要高速数据传输的场合，可考虑采用光缆。6.3.3 干线子系统干线子系统由MDF和IDF之间的连接线缆组成。线缆一般为大对数双绞线电缆或光缆。数据主干采用国产9/125mm室外单模光纤、9/125mm室外多模光纤，光纤具有低传输损耗值和高带宽传输能力，是传输高速数据的最佳传输介质。它能最大程度的提供数据的保密性和完整性，且不受电磁、雷电干扰，并支持未来的高速数据传输和多媒体技术。6.3.4 管理区子系统管理区是配线间或设备间的配线区域，它采用交连或互连等方式，管理干子系统和水平子系统的线缆。广州大学办公区三级分配线架中连接所有水平双绞线的铜缆配线架采用PM2150-24 24口超五类配线架，1U的结构，既精致，又便于安装，可安装于标准的机柜里面。广州大学公寓区各三级配线间采用楼道专用宽带机箱和墙柜，不使用超五类配线架。6.3.5设备间子系统设备间子系统设于大楼的信息中心，由设备间中的数据主配线设备（光纤终接箱）及相关支撑硬件组成，它把公共系统设备的各种不同设备互连起来。该子系统连接局域网络系统设备（如主干交换机、HUB、服务器、路由器、防火墙等），通过从水平子系统中发送过来的水平电缆分别对大楼各信息点进行跳线管理。设备间子系统所有设备均安装在19”标准落地机柜中。机柜上安装着若干配线架，以方便线路的跳接，并留有足够的空间，可以安装用户网络集线器设备。该机柜正面安装玻璃门，使管理人员能够在不打开机柜的时候就可以看清面板上的跳线情况，看到网络设备的工作状态。由于机柜为全封闭型，使所有线缆（大对数双绞线和跳线）均被封闭在机柜内，无关人员不可能接触到布线系统，使系统的可靠性得到了极大的提高。设备间是整个配线系统的中心单元，它的环境条件的考虑是否恰当都直接影响到将来信息系统的正常运行及维护使用的灵活性。建议其室内照明不低于150Lux，并应提供UPS电源配电盘以保证网络设备运行及维护的供电。如数据布线采用屏蔽布线系统时，应备有合适的接地线。设备间的环境条件要求如下：l 将服务电梯安排在设备间附近，以便装笨重的设备。l 室温应保持在18至27之间，相对温度保持在3055。l 保持室内无尘或少尘，通风良好，亮度至少达30英尺烛光。l 安装合适的消防系统(如采用湿型系统，不要把喷头直接对准电气设备)。l 使用防火门，至少能耐火1小时的防火墙和阻燃漆。l 提供合适的门锁，至少要有一扇窗口留作安全出口。l 分配线间应注意避免电磁干扰和雷击，安装小于1的接地装置；尽量远离存放危险物品的场所、强电和电磁干扰源(如发射机和电动机)。l 设备间的地板负重能力至少应为500KG/平方米。l 根据结构化布线系统的要求，在配线间安装布线硬件的墙壁上须覆盖涂有阻燃漆的3/4英寸(合1.9CM)厚的木板。l 结构化布线系统中典型的配线间，其可以走进人的最小安全尺寸是120×150CM，标准的天花板高度为240CM，门的大小至少为高2.1宽1M，外开。在配线间内应至少留有二个为本系统专用的，符合和办公照明要求的220V电压，电流10A单相三级电源插座。如果需要在配线间内放置网络设备，则还应根据接线间内放置设备的供电需求，配有另外的带4个AC双排插座的20A专用线路。此线路不应与其他大型设备并联，并且最好先连接到UPS，以确保对设备的供电及电源的质量。6.4 需解决的关键技术6.4.1 虚拟网（VLAN）划分针对广州大学校园网络的实际情况，VLAN划分法采用基于端口的方法和标准802.1Q国际标准进行VLAN的划分，并结合物理位置和部门功能做为进行VLAN划分的原则。通过LAN方法接入网络中心的VLAN划分由网络中心统一指定VLAN的范围和VLAN采用的协议。不通过LAN方法接入网控中心的VLAN划分不受约束。VLAN之间只允许必要的通讯，其余的通讯将被阻止。公用的服务器可以单独在一个VLAN中。我们以学生区为例：我们按照VLAN划分原则，在学生区接入层采用基于端口的划分方法，以学生宿舍为单位，结合IP地址的规划，将一个C类地址划在一个VLAN里面。在分布层采用基于802.1Q的划分方法,将汇聚层每十台划在一个VLAN里面,同时将VLAN终止在汇聚层,来配合我们分布式的路由设计，从而减轻核心交换机的工作压力。 VLAN划分6.4.2 IP规划校区的IP由网络中心统一规划。IP地址规划拟以各个单位、各个部门的职能为单位，学生以宿舍楼（公寓）的楼层或者单元为单位，结合虚拟网的使用情况进行划分。广州大学校园网建成后，应使新旧系统平稳过渡。建议IP地址分配、管理基本不变。同时考虑到公有的IP地址数目有限和内外网的安全，故在公有地址不够时内网采用私有IP地址。由网络中心分别对二级节点进行地址划分，再将二级节点细分到不同三级节点上。考虑到重大目前的状况和将来五年的发展，以及学生使用网络的特点，故将学生区单独考虑。对学生采用以网络中心对各个学生宿舍（公寓）划分IP段，再以学生宿舍（公寓）的单元或楼层为单位，细分IP段。最后对合法用户采用动态分配IP和身份验证相结合。这样，既保护了合法用户，又使其他的用户可以在内部网互相交流。私有IP在访问Internet或CERNET网络时，通过NAT服务器，来实现私有IP到公用IP的转换。需要提供外部访问的服务器地址使用公用IP地址。6.4.3 路由方式采用核心层和汇聚层路由分担的设计，使核心层交换机和汇聚层三层交换机都承担路由的功能。整个网络按照网络的层次和组织机构划分为不同的路由区域，各汇聚层的交换机负责各自区域的路由，只有跨区域的路由才会通过骨干路由器实现。核心层路由采用OSPF路由协议，汇聚层路由可采用OSPF和静态路由相结合的方式实现，边界路由采用静态路由。针对广州大学校园网络，路由策略也主要是基于路由表的信息来决定数量包转发的目的地。根据用户访问信息源的方式，以及是访问Internet或CERNET网络和局域网内的用户需访问国外信息流还是国内网络信息资源的不同，来实现不同的管理和计费。6.4.4校园网出口设计 为了降低出口防火墙的负担，提高校园网的运行效率，应采取适当的措施，合理设计网络结构，合理规划路由，实现一定程度上的负载均衡。这对充分利用网络资源、提高校园网的服务质量有着重要的意义。校园网内的用户缺省情况下是无法访问校园网以外的站点。只有经过用户认证才可以访问INTERNET。同时配置一台高速缓存服务器, 解决INTERNET信息流量的存储和共享问题。6.4.5 QOS服务质量保证由于广州大学校园网络用户的剧增及语音、视频等新业务、新应用的出现，在网络中一个迫切需要解决的问题就是网络服务质量的保证。广州大学校园网络采用硬件Qos队列处理、拥塞控制、带宽预留、过滤及多种策略实现Qos优先级等QoS处理技术。6.4.6核心交换机之间冗余备份 在核心交换机之间，通过双链路连接，把两条光纤链路捆绑起来，在提高了网络骨干的带宽同时，实现了冗余备份。动态路由协议自动对链路进行选择，核心层链路故障并不影响网络的正常运行，所以切换对用户是透明的。7、网络系统主机系统是实现校园网整个网络操作、网络应用的窗口和平台。因此，主机系统当仁不让得成为了整个校园网的核心设备。针对学校校园网用户而言，对主机系统的选择应该充分考虑可管理性、稳定性、安全性、综合性能价格比等因素。针对广州大学校园网络建设的目标，校园网络的主机系统建设应遵循以下基本原则：l 具有优异的性能和高可靠性；l 具有冗余和高可用性，以保证关键应用的连续可服务性；l 开放性、兼容性和可互联性，节省投资，保护已有投资；l 能够横向、纵向扩展和升级以满足不断增加的需求；实现广州大学校园网的建设目标，首先需要建设一个高品质、综合能力强大的IT支撑环境，将现有环境升级改造成一个符合当今趋势的适应现代教育的的IT支撑环境。校园网的实现，需要考虑开放式应用构架和网络环境，实现平滑过渡。7.1 主机系统架构图7.2 主机系统选型Internet/Intranet服务器根据广州大学校园网的建设目标，主要是为了实现与Cernet和Internet的互连，以提供Cernet和Internet上的各种服务，为用户提供丰富的网络资源，并提供对外的WWW信息服务，使校园网系统成为外界了解校园内部的一个重要窗口。邮件服务器邮件服务器的主要功能是为整个广州大学校园网络用户的邮件服务。邮件服务对实时性要求不是很高，因此要求主机的计算能力不是很高，但对其存储能力要求要高于其他，作为邮件服务器，它至少要满足网络用户的邮件存储要求。Web、FTP、DNS、NAT代理、网管服务器提供Web、FTP、DNS、NAT代理服务的服务器，根据经验和成功案例，应选择成熟产品。数据库服务器对于广州大学校园网工程建设项目，数据库服务器是必不可少的，但是由于它的初期应用比较少，业务不是特别繁忙，对计算、存储以及容错能力要求并不是特别高；随着整个校园网建设的深入进行，用户对数据库服务器的访问势必增加，数据库服务器上的应用处理负担势必加重，对计算、存储以及容错能力会有更高的要求。因此，对于数据库服务器的选择，要求首期投入不是太高，但应有良好的扩展性和技术上的先进性，能够支持RAID等功能，满足以后系统升级或做容错处理的要求。OA服务器广州大学校园网建设的目的之一就是实现办公自动化，提高高校的办学质量。目前OA软件的发展情况来看，大部分校园网OA软件是基于WINDOWS系统开发的，因此，可选用一款基于X86开发的主机，用于运行OA应用的后台服务。学校办公自动化系统包括如下子系统：（1）行政管理系统覆盖学校管理工作，完成行政事务处理的各项功能，改善管理人员的工作环境，减轻工作负担，提高工作效率和管理水平；解决信息不一致问题；实现全校范围内的信息共享；解决信息采集的瓶颈，拓宽信息管理的宽度和深度。（2）人事管理系统提供给人事处调配科工作人员使用的系统，可以进行新人员的录入、在职人员基本信息的变动管理、离退人员及减离人员的转出管理等。（3）财务管理系统提供一套完整的学校财务管理系统。包括：帐务处理系统、学生收费管理、助贷学金管理、工资结算管理等。（4）公文流转系统主要用于学校收、发文管理和学校自产文件的管理。具备收文管理、发文管理、自产文件管理、通知通告管理、公文借阅管理、公文档案管理等功能。8、网络安全从广州大学网络系统的整体考虑，按照“大安全、方便管理”的概念进行设计，把广州大学网络系统的安全与管理作为一个体系考虑。l 在国际互联网联通的情况下，重点保护网站和上网用户的安全，防止来自外部的攻击。l 强化用户管理，对联网的计算机用户进行有效的管理，用户访问国际互联网必须通过身份认证，对用户的网络访问行为记录详细日志，能够根据日志记录、IP地址、用户名等确定具体用户以及用户访问的信息。l 保障网络和系统的可靠性、稳定性。l 充分考虑到安全与应用的结合：考虑到当前的应用系统，同时考虑应用系统与安全系统的接口。l 全局考虑广州大学的整体安全设计。l 保障系统易操作、易维护。l 安全易行的网管系统。8.1 网络安全由于广州大学这样一个大型网络系统内运行多种网络协议(TCP/IP，IPX/SPX，NETBEUI)，而这些网络协议并非专为安全通讯而设计。所以，网络系统可能存在的安全威胁来自以下方面：操作系统的安全性、来自内部网用户的安全威胁、软件缺乏安全性、Internet的恶意攻击、应用服务的安全等。8.1.1 防病毒根据广州大学的需求与实际，实现全网络的病毒防护不可行，但必须在应用服务器和数据库服务器上进行病毒防范。一个好的防病毒系统，应该是一个多层次、全方位的防病毒体系，而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能。8.1.2 防火墙为了提高广州大学出口CERNET的安全性和访问日志的可靠性，出口访问应通过防火墙，防火墙都应记录日志。同时考虑网络的发展及广州大学出口访问量的因素，因此防火墙采用高可靠性的防火墙。考虑到学校财务部门的需求，建议在A区财务部门配置一台百兆防火墙，并在财务部门防火墙上配置VPN模块，保障该部门特殊的网络安全，防火墙要求：具有公安部销售许可证、高性能、网络地址转换技术、用户鉴别、用户认证、IP和MAC地址绑定、入侵检测、透明代理、日志审计、流量控制、强抗攻击能力、虚拟专用网（VPN）、非法网站内容过滤等。8.1.3 入侵检测系统在广州大学校园网络入口安装入侵检测系统，实时入侵检测系统可以通过网络流量检查保护网络免受来自内外的攻击，当网络安全受到非法入侵者威胁时发出报警。利用网络实时监控，对计算机系统进行安全检测，在系统受到危害之前截取和响应黑客攻击和内部网络误用，无妨碍地监控网络传输并自动检测和响应可疑的行为，从而最大程度的为广州大学校园网提供安全。同时入侵检测系统须与防火墙联动，更加强了其安全保护。由于校园OA系统的重要性，建议在OA服务器上配置一套基于主机的入侵检测系统。入侵检测系统要求：具有公安部销售许可证、支持统一的管理平台、可实现集中式的安全监控管理、自动识别不小于1600种攻击、支持与防火墙联动、支持IP过滤等功能。 8.1.4 网络安全评估安全记录的统计和分析是一项非常重要的工作，通过定期进行全面的网络统计和安全评估、分析当前系统和网络环境，可以找出安全弱点，并作出正确的安全建议。安全评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。风险评估技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上面的风险漏洞，而后者则是通过网络远程探测其它主机的安全风险漏洞。由于网络采用的通信协议并不是为安全通信而设计的，这些协议和网络设备存在一些固有的安全隐患，入侵者可利用这些漏洞，通过网络实施攻击。基于网络的风险评估技术，主要是模拟黑客攻击的方法，检测网络协议、网络服务、网络设备等方面的漏洞。网络漏洞扫描器要求：能扫漏洞不小于900种、可生成详细报告、可动态分析目标系统的安全脆弱性、远程在线升级、灵活的策略配置、多种形式的报表、系统扩展性好等。广州大学校园网络安全保护体系部署如下图所示：广州大学校园网络中心网络安全布署8.1.5网络安全管理体系由于广州大学校园网络的复杂性，必然导致广州大学校园网络安全防护的复杂性。“三分技术，七分管理”这句话是对网络安全非常客观的描述。任何网络仅在技术上是做不到完整的安全的，还需要建立一套科学、严密的网络安全管理体系，为广州大学校园网络提供制度上的保证，将由于内、外部的非法访问或恶意攻击造成的损失减少到最小。 安全管理体系技术管理规范人员与组织结构应急事件响应安全培训管理规范框架9、总结通过这次网络综合设计实验，使我进一步加深了计算机网络的新技术，对老师课上讲过的一些知识进行了实际操作，使我更彻底的了解这些技术所使用的场合。例如： 一个校园网络系统的组建需要从多方面进行考虑，不但涉及许多技术问题，而且包括网络设备、信息资源、专业应用等众多成份的综