华迪实习 云南xxx学院网络工程设计 方案书.docx

云云南南XXX学院校园网改造学院校园网改造方案书方案书第四小组方案设计人员第四小组方案设计人员（）目录目录第一章 概述.-3-1.1.文档大纲.-3-1.2.项目背景.-3-1.3.项目范围.-3-1.4.项目目标.-3-1.5.设计标准与规范.-3-第二章 用户需求.-3-2.1.技术目标.-3-2.2.应用系统.-4-2.3.服务器要求.-4-2.4.网络建设需求.-4-2.5.系统集成要求.-5-编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-2-页 共31页第-2-页 共 31 页第三章 综合布线设计.-5-3.1.采用综合布线方案概述.-5-3.2 工作区子系统设计介绍.-6-3.3 水平区子系统设计介绍.-6-3.4 垂直主干线子系统设计介绍.-7-3.5 设备间子系统设计介绍.-7-3.6 建筑群子系统设计介绍.-8-3.7 综合布线系统的安装与施工指南.-8-3.8 产品选型说明.-9-第四章 网络拓扑结构设计.-10-4.1 拓扑图设计.-10-4.1.1 设计说明.-10-4.2 核心层设计.-11-4.2.1 双核心热冗余备份设计.-11-4.3 出口设计.-12-4.4 防火墙.-13-4.5 主要设备选型.-13-第五章 VLAN 与 IP 规划.-14-5.1 VLAN 与 IP 技术介绍.-14-5.1.1 VLAN 与 IP 划分方案.-15-第六章 网络管理与安全方案.-15-6.1 网络管理方案.-15-6.2 网络安全方案.-16-第七章 工程施工管理.-27-7.1 标准化.-27-7.2 施工计划表.-27-7.3 施工配合.-27-7.4 铺设线缆和管道.-27-7.5 搭建配线架.-27-第八章 测试与验收.-28-8.1 测试目标及其验收标准.-28-8.2 测试种类.-28-8.3 测试需要的网络设备和网络资源.-28-第九章 售后服务与技术支持.-28-第十章 项目预算.-28-10.1 布线材料清单及报价.-28-10.2 网络设备清单及报价.-29-编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-3-页 共31页第-3-页 共 31 页第一章第一章 概述概述1.1.文档大纲文档大纲1.2.项目背景项目背景1.3.项目范围项目范围1.4.项目目标项目目标1.5.设计标准与规范设计标准与规范第二章第二章 用户需求用户需求2.1.技术目标技术目标众所周知，电子计算机机房装饰，不同于普通的宾馆、家庭装饰，机房装饰工程是一项系统工程，是现代科学技术和装饰艺术的综合。机房内放置有复杂的电子设备和机电设备，对装饰的要求，主要是满足计算机对机房提出的技术要求，在机房装饰艺术上以既大方舒适，又满足其技术要求为原则。对装饰材料的选择要达到吸音、防火、防潮、防变形、抗干扰、防静电等要求。以期达到现代化的装饰水平和视觉效果。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-4-页 共31页第-4-页 共 31 页网络核心机房是整个校园计算机网络开展应用的中心和关键所在，为消除安全隐患，确保通信设备和通信网络的安全可靠，应该建设在一个安全、可靠、稳定的基础环境中。数据中心机房应符合国际标准和相关规范，在洁净与温湿度、供配电、接地、防雷、防静电、防盗与防破坏等各方面满足征信系统的环境要求和管理要求。2.2.应用系统应用系统本次机房建设将包括一下几个子系统：1、机房空调与新风系统；2、电气系统（供配电系统）；3、UPS 系统；4、建筑装饰系统；5、消防及自动报警系统；6、机房漏水监测系统；7、机房其他配套设备系统2.3.服务器要求服务器要求由于此处为校园网，主要功能是实现好学校与外部的上网功能，以及实现学校的资源共享，服务器具体功能（安全监控中心、数据中心、存储中心、网管中心），WWW 服务，作为信息服务的平台，Email 服务，作为信息传递和与外界交流的主要手段。2.4.网络建设需求网络建设需求实用性和先进性实用性和先进性采用先进成熟的技术和设备，尽可能采用先进的技术、设备和材料，以适应高速的数据与需要，使整个系统在一段时期内保证技术的先进性，并具有良好的发展潜力，以适应未来业务的发展和技术升级的需要。安全可靠性安全可靠性为保证各项业务应用，网络必须具有高可靠性，决不能出现单点故障。要对机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上，采用编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-5-页 共31页第-5-页 共 31 页相关的软件技术提供较强的管理机制控制手段和事故监控与安全保密等技术措施提高数据中心机房的安全可靠性。灵活性与可扩展性灵活性与可扩展性计算机机房必须具有良好的灵活性与可扩展性，能够根据机房业务不断深入发展的需要，扩大设备容量和提高用户数量和质量的功能。应具备支持多种网络传输，多种物理接口的能力，提供技术升级设备更新的灵活性。管理性管理性由于机房具有一定复杂性，随着业务的不断发展，管理的任务必定会日益繁重。所以在机房的设计中，必须建立一套全面、完善的数据中心机房管理和监控系统。所选用的设备应具有智能化、可管理的功能，同时条用先进和管理监控系统设备及软件，实现先进的集中管理监控，实时监控、监测整个机房的运行状况，实时灯光、语音报警，实时事件记录，这样可以迅速确定故障，简化机房管理人员的维护工作，从而为计算机机房的安全、可靠运行提供最有力的保障。2.5.系统集成要求系统集成要求WindowsXP 系统，Windows2003 server，linux 系统，点播系统（VOD）,网络监视系统，报警系统，认证系统，校园系统，局域网管理系统，UPS 不间断电源系统，网络管理系统。第三章第三章 综合布线设计综合布线设计3.1.采用综合布线方案概述采用综合布线方案概述综合布线系统是采用模块化插接件，垂直、水平方向的线路一经布置，只需改变接线间中的跳线，改变集线器，增加接线间的接线模块，便可满足用户对这些系统的扩展和移动。综合布线由六个子系统组成，即工作区子系统(Work Area)、水平布线子系统(Horizontal Cabling)、垂直干线子系统编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-6-页 共31页第-6-页 共 31 页(Backbone Cabling)、设备间子系统(Equipment Rooms)、管理子系统(Administration)和建筑群接入子系统(Premises Entrance Facilities)。如图：3.2工作区子系统设计介绍工作区子系统设计介绍工作区子系统是由终端设备连接到信息插座的连线和信息插座组成。室内房间的一系列设备包括标准 RJ-45 插座、网卡、五类双绞线。另外需要统一线缆连接标准，EIA/TIA568A 或 EIA/TIA568B。信息点数量（RJ-45 插座的数量）应根据工作区的实际功能及需求确定，并预留适当数量的冗余。例如办公室可配置 23 个信息点，此外还应该考虑该办公区是否需要配置专用信息点用于工作组服务器、网络打印机、传真机和视频会议等。对于宿舍，一个房间配备 1 个信息点。注意，在进行建筑弱电设计时，要严格执行有关综合布线标准，每个信息点到设备间的图纸距离应在 70m 内，因此，楼宇中的设备间的选择以位于或者尽可能位于本建筑物的地理中心为宜。如图3.3水平区子系统设计介绍水平区子系统设计介绍水平子系统主要是实现信息插座和管理子系统，及中间配线架间的连接。水平子系统指定的拓扑结构为星型拓扑。选择水平子系统的线缆要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。水平组网子系统包编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-7-页 共31页第-7-页 共 31 页括光纤主干线和各个楼层间的组网。室外主干的光纤电缆采用多模光纤，室内采用超五类非屏蔽双绞线。如图3.4垂直主干线子系统设计介绍垂直主干线子系统设计介绍垂直主干线子系统提供建筑物主干电缆的路由，实现主配线架与中间配线架、计算机、控制中心与各设备间子系统间的连接。垂直组网在各栋楼中从配线架通过楼道上的桥架连接到设备间。注意，如支持 1000Base-TX 则必须使用六类双绞线。如图3.5设备间子系统设计介绍设备间子系统设计介绍设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互相连接起来。本企业网采用多设备间子系统，包括网络中心机房、办公教学楼、宿舍区、其公共场所设备间子系统。网络中心机房设备间配线架、交换机安装在标准机柜中，光纤连接到机柜的光纤连接器上。办公教学楼、宿舍区等设备间子系统配备标准机柜，柜中安装光纤连接器、配线架和交换机等，通过水平干线线缆连接到相应网络机柜的配线架上，通过跳线与交换机相连。如图编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-8-页 共31页第-8-页 共 31 页3.6建筑群子系统设计介绍建筑群子系统设计介绍建筑群子系统主要是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。由连接网络中心和各个设备间子系统的室外电缆组成了园区网建筑群子系统。有线通信线缆中，建筑群子系统多采用 62.5/125um 多模光纤，起最大传输距离为 2km，满足该学院网内的距离需求，并把光纤埋入到地下管道中。如图3.7综合布线系统的安装与施工指南综合布线系统的安装与施工指南最低配置：适用于综合布线系统中配置标准较低的场合，用铜芯对绞电缆组网。1）每个工作区有 1 个信息插座；2）每个信息插座的配线电缆为 1 条 4 对对绞电缆；3）干线电缆的配置，对计算机网络宜按 24 个信息插座配 2 对对绞线，或每一个集线器编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-9-页 共31页第-9-页 共 31 页（HUB）或集线器群（HUB 群）配 4 对对绞线；对电话至少每个信息插座配 1 对对绞线。基本配置：适用于综合布线系统中中等配置标准的场合，用铜芯对绞电缆组网。1）每个工作区有 2 个或 2 个以上信息插座；2）每个信息插座的配线电缆为 1 条 4 对对绞电缆；3.8产品选型说明产品选型说明在布线设施设计中，需要的主要材料如下：1.多模光纤；2.五类双绞线，在布线实施时，应该尽可能考虑选用防火标准高的线缆；3.各种信息插座，RJ-45 等；4.电源；5.塑料槽板；6.PVC 管；7.供电导线；8.配线架；编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-10-页 共31页第-10-页 共 31 页第四章第四章 网络拓扑结构设计网络拓扑结构设计4.1拓扑图设计拓扑图设计云南云南 XXX 学院校园网改造拓扑图学院校园网改造拓扑图4.1.1设计说明设计说明主干是万兆以太网，分别连接网通和电信，这样可以做负载均衡，保证校园网的通畅。核心交换机采用双机热备技术，两个同样的核心交换机，一个做主核心交换机连接个机器使用，一个做备份，只有当主交换机坏了是，备份的交换机会自动启用，提供网络安全保障。SQL 服务器采用磁盘阵列，共 5 个磁盘，两个用来存储数据三个用来备份，这样即使坏了两个数据也不会丢失。汇聚层采用思科4 系列交换机，具有处理简单的认证信息和网络管理。外部服务器群放在 DMZ区域，当外面的人访问内网，首先同过 DMZ 区域，在此区域内检测是否有病毒，如果有则处理掉，保证了内网的安全。为了让全校所有的地方都可以上网，本方案还在校园内装无限路由器。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-11-页 共31页第-11-页 共 31 页4.2核心层设计核心层设计网络核心交换机是连接各区域并保障各区域高速通信的纽带，因此该设备应采用具有大容量、高密度、模块化体系架构的设备，在提供稳定、可靠、安全的高性能 L2/L3 层交换服务基础上，还应具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计，从而满足现代信息化网络的多种业务承载融合和业务灵活分类、分流的组网需求。针对 xxx 学院网络的实际情况，我们部署两台模块化核心交换机RG-S8610。RG-S8610 高密度多业务 IPv6 核心路由交换机提供 3.2T 背板带宽，并支持将来更高带宽的扩展能力，高达 1190Mpps 的二层/三层包转发率可为用户提供高密度端口的高速无阻塞数据交换，具有线速转发数据包的能力。每线卡提供 200G 的交换能力，满足高密度的千兆/万兆端口线速转发，并且支持未来 40G/100G 接口的扩展。通过 XFP 接口万兆线卡下连汇聚层交换机构成万兆骨干链路；千兆端口连接管理工作站、无线控制器、IDS 入侵检测设备以及服务器区域交换机。同时，RG-S8610 高密度多业务 IPv6 核心路由交换机提供全面的安全防护体系，提供分布式的业务融合平台，满足未来网络对安全和业务的更高要求。CPP 技术，业界领先的硬件 CPU 保护技术，通过对发往 CPU 的 IPv4/IPv6 等多层协议报文自动进行流区分和流线速，避免异常报文对 CPU 的攻击和资源消耗，保证核心设备在 IPv4/IPv6 三层网络、二层网络环境中核心设备 CPU 稳定运行。同时，RG-S8610 核心路由交换机还提供其他更多的安全防护能力，例如防 DDOS 攻击、非法数据包检测、防扫描、防源 IP 地址欺骗等等，避免了传统软件实现方式对整机性能的影响。支持广播报文抑制，有效控制非法广播流量对设备造成冲击。支持 IPv6/IPv6、VLAN、MAC 和端口等多种组合绑定方式，提高用户接入控制能力。4.2.1双核心热冗余备份设计双核心热冗余备份设计为保障网络具有 99.999%的电信级高可靠性，实施时采用双核心、双链路的设计方案。该方式的好处在于，任意一台核心交换机的故障，或者任意一条上行链路的故障，均不会影响网络的稳定运行，备用交换机或备用线路会智能地启用起来。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-12-页 共31页第-12-页 共 31 页图要实现这样的热冗余备份机制，需要在核心交换机上启用 VRRP（虚拟热冗余备份协议）和 MSTP（多生成树协议）。VRRP 协议主要用于两台核心设备面向接入用户虚拟出一个实时可用的 IP 地址，实现核心设备间的智能热备份；MSTP 协议则主要用于避免 VLAN 内部出现环路，配合 VRRP 协议实现线路的智能热备份。核心交换机与出口路由器之间启用动态路由协议，实现与 VRRP/MSTP 的配合切换。根据部分网络信息点建设要求全千兆到桌面的总体设计思想，考虑到万兆、IPv6 的建网理念，根据集团各个分部的厂房和库房网络建设的具体情况，考虑到部分信息点数据流量庞大等因素，在攀枝花、西昌、泸州分部核心区域建议采用锐捷 RG-S5750-48GT/4SPF-E 全千兆三层多业务 IPv6 交换机。RG-S5750-48GT/4SPF-E 全千兆三层多业务交换机具备 48 口，可容纳多个接入层设备。最重要的是 RG-S5750-48GT/4SPF-E 三层交换机还具备两个万兆扩展槽，可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块，通过扩展万兆光口实现骨干网络的万兆互联以及部分接入网络的千兆桌面。从RG-S5750-48GT/4SPF-E 是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代全千兆带万兆扩展机架式多层交换机。可以提供 48 个10/100/1000M 自适应的千兆电口，还能提供 PoE 远程供电的接口。4.3出口设计出口设计出口区域的网络主要由路由器 VPN 网关、防火墙组成，以下介绍以路由器为主。我们建议在总部网络出口处部署一台锐捷RG-NPE50E网络出口引擎，RG-NPE50E 固化提供了 8 个光电复用的 GE 口，可扩展 2 个扩展糟，定位于中大型网络出口。RG-NPE50E 全新融入了智能 DNS 和多链路负载均衡技术，使得用户对内对外访问都能智能选择最优最快速路径；集成了 DPI 引擎，让网络管理人员轻松应对 P2P 等应用的流量控制；重构了 WEB 界面，让其在设备管理维护层面变得简化。RG-NPE50E 网络出口引擎采用 MIPS 多核处理器体系架构，单个处理器内部基于锐捷网络自主知识产权的虚拟多处理器（vCPU）技术，从而在 x-flow框架下构建起一个高性能、高稳定的转发平台。RG-NPE50E 网络出口引擎支持的最大并发用户数最多达 10000 人，4G 的 DDR II 内存，最高达 6Mpps 的转发能力具有卓越的转发性能。RG-NPE50E 网络出口引擎充分利用 x-flow 技术，实现高速 NAT，每秒高达 30 万条的 NAT 新建连接会话，最大支持整机200 万条并发会话数。64bytes 小包转发率可达 100Mbps，同时实现出口防火墙功能，在各业务功能全开的情况下，能实现最大 3000-10000 用户的并发带机量。RG-NPE50E 网络出口引擎配有先进的 DPI 深入分析引擎、行为分析/管理引擎，能够在保证网络出口高效转发的基础上，提供专业的流控功能、出色的 URL 过滤以及本地化的日志存储/审计服务。此外，RG-NPE50E 网络出口引擎还提供 WEB 认证、IPsec/L2TP/SSL VPN、智能 DNS、多链路负载均衡等多种功能的支持。同时可根据网络使用分部情况，RG-NPE50E 网络出口引编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-13-页 共31页第-13-页 共 31 页擎提供专业的流量限速策略，用户可根据不同时段指定，分时段限速策略。同时 RG-NPE50E 的多出口负载均衡，可综合利用不同运营商、不同自费的线路，提升网络带宽的同时，降低线路资费。4.4防火墙防火墙根据学院对网络安全的统一规划，需要在网络出口处均部署防火墙产品进行网络安全防护，建议采用 RG-WALL 1600E 防火墙用在内外网间链路上作防护，从而实现对外部的攻击防御，保护内部网络的安全性。RG-WALL 1600E防火墙是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL 1600E 可支持数十个 GE 接口，可以广泛应用于企业、教育、政府、医疗等行业的千兆网络环境。配合锐捷网络交换机、路由器产品，可以为用户提供完整的端到端解决方案，是大型网络出口和不同策略区域之间安全互联的理想选择。RG-WALL 1600E 基于锐捷网络自主开发的 RG-SecOS 和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响。RG-WALL 1600E 采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测多流关联分析技术，支持对网络数据深度状态检测。同时还采用快速流检测引擎，对网络报文处理进行了革命性的改造和优化；内置专用的硬件 VPN 模块，支持 SSL、IPsec、PPTP、L2TP VPN 等多种 VPN 业务模式。在消除通用操作系统漏洞的前提下，完整实现了状态检测包过滤/应用代理防火墙、动态路由、入侵检测防护、病毒过滤、IPSec VPN、抗 DDoS 攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能。4.5主要设备选型主要设备选型设备类设备类型型设备型号设备型号设备说明设备说明交换机交换机RG-86103.2T 背板带宽、背板带宽、10 个（个（2 个用于管理引擎）模块插个用于管理引擎）模块插槽、包转发速率：槽、包转发速率：L2：1190Mpps/L3:1190Mpps、交换容量：交换容量：1.6TRG-S8606网管功能网管功能：SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2背板带宽：背板带宽：1638Gbps 包转发率：包转发率：L2:595MppsL3:595MppsRG-S5750-24GT/8SFP-E24 口口 10/100/1000M 自适应端口自适应端口(支持远程支持远程 PoE 供供电电)，8 个个 SFP 光电复用口，光电复用口，2 个扩展槽、模块化电个扩展槽、模块化电源、源、2 个电源插槽、包转发速率：个电源插槽、包转发速率：96Mpps,交换容交换容量量:360GbpsRG-2352G背板带宽背板带宽 19.2G 包转发率包转发率 13.2Mpps 接口数目接口数目 52口口编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-14-页 共31页第-14-页 共 31 页路由器路由器RG-NPE50EMIPS 多核处理器多核处理器、内存内存:4G、flash:512M、8GE 光光电复用接口、包转发速率电复用接口、包转发速率6Mpps、NAT 并发会话并发会话数：整机数：整机 200 万。万。防火墙防火墙RG-WALL1600E支持数十个支持数十个 GE 接口接口、独创的分类算法独创的分类算法、RG-SecOS、支持对网络数据深度状态检测、快速流检测引擎支持对网络数据深度状态检测、快速流检测引擎入侵检入侵检测测RG-IDS2000全面检测、分布式结构、高可靠、高性能、低误报全面检测、分布式结构、高可靠、高性能、低误报率率服务器服务器IBM 服务服务器器X3850M2标配四个标配四个 Intel 四核四核 Xeon E7420 处理器处理器(2.13GHz,8M L3 缓存缓存)，可扩至四路处理器可扩至四路处理器，标标配配 8GBDDR2内存内存，0GB SAS 硬盘硬盘，最大可扩充至最大可扩充至 256GB，标标配配1 块内存板块内存板，标配标配 2 个热插拔电源个热插拔电源,4U 机架式机架式，配配置置2 个个 146GB 10K 2.5”SAS Hot-Swap HDDIBM 服务服务器器X3650M22U 机架式服务器机架式服务器。配置一颗四核英特尔至强处理配置一颗四核英特尔至强处理器器5504 2.0GHz(4MB 三级缓存三级缓存，最高支持最高支持 800MHz 内内存频率，存频率，4.8 GT/s QPI，支持超线程、，支持超线程、TurboBoost功能功能),可扩展可扩展至至2个处理器个处理器。2x2GB DDR3 RDIMM内存，高达内存，高达 16 个内存插槽个内存插槽(每处理器配置每处理器配置 8 个内存个内存插槽插槽)。4 个个 PCI-Express 二代插槽二代插槽；4 个个 x8 插槽通插槽通过可选的扩展卡可转换为过可选的扩展卡可转换为 2 个个 x16 插槽；通过可选插槽；通过可选的扩展卡支持的扩展卡支持 PCI-X。配置配置 4 个个 146GB 热插拔热插拔 SAS硬盘硬盘，共计共计 12 个个 2.5 英寸热插拔硬盘托架英寸热插拔硬盘托架。集成双集成双千兆以太网。三年免费保修和服务。千兆以太网。三年免费保修和服务。第五章第五章 VLAN 与与 IP 规划规划5.1 VLAN与与IP技术介绍技术介绍(1)VLAN 技术即虚拟子网技术起始于 1994/1995 年的 LAN 交换技术，VLAN就是一个广播域，是由跨越物理 LAN 网段的多台终端机组成的相互可以通信的逻辑网段。划分 VLAN 可以基于端口、MAC 地址、第三层的 IP、多址广播及混合技术。(2)VLAN 的划分可以提供更多的服务网络管理及性能的提高。(3)VLAN 可以减少移动及改变的花费；(4)VLAN 建立的虚拟工作组可以提供方便管理的可能；(5)一种资源可以属于不同的 VLAN，减少对广播的路由，防止局域的网络风暴的产生；(6)更高的安全性，可以在局域只能够建立安全屏障，分割安全等级；(7)高性能，低延迟，提供比路由器高得多的速率，却有更低的价格；编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-15-页 共31页第-15-页 共 31 页5.1.1 VLAN与与IP划分方案划分方案部门部门VLANVLAN 名名VLANVLAN 号号VLANVLAN IPIPIPIP 网段网段可用范围可用范围财务部财务部CWBCWB1010192.168.10.1192.168.10.1192.168.10.0/24192.168.10.0/24192.168.10.2192.168.10.2 254/24254/24学工部学工部XGBXGB2020192.168.20.1192.168.20.1192.168.20.0/24192.168.20.0/24192.168.20.2192.168.20.2254/24254/24行政部行政部XZBXZB3030192.168.30.1192.168.30.1192.168.30.0/24192.168.30.0/24192.168.30.2192.168.30.2254/24254/24教务处教务处JWCJWC4040192.168.40.1192.168.40.1192.168.40.0/24192.168.40.0/24192.168.40.2192.168.40.2254/24254/24图书馆图书馆TSGTSG5050192.168.50.1192.168.50.1192.168.50.0/24192.168.50.0/24192.168.50.2192.168.50.2254/24254/24内部服内部服务器区务器区NBFWQNBFWQ6060192.168.60.1192.168.60.1192.168.60.0/24192.168.60.0/24192.168.60.2192.168.60.2254/24254/24外部服外部服务器区务器区WBFWQWBFWQ7070192.168.70.1192.168.70.1192.168.70.0/24192.168.70.0/24192.168.70.2192.168.70.2254/24254/24管理管理GLGL8080192.168.80.1192.168.80.1192.168.80.0/24192.168.80.0/24192.168.80.2192.168.80.2254/24254/24学生区学生区192.168.90.0/24192.168.90.0/24192.168.150.0/24192.168.150.0/24教工区教工区192.168.160.0/24192.168.160.0/24192.168.170.0/24192.168.170.0/24教学区教学区192.168.180.0/24192.168.180.0/24192.168.190.0/24192.168.190.0/24第六章第六章 网络管理与安全方案网络管理与安全方案6.1网络管理方案网络管理方案配置管理过程是对处于不断演化、完善过程中的软件产品的管理过程。其最终目标是实现软件产品的完整性、一致性、可控性，使产品极大程度地与用户需求相吻合。它通过控制、记录、追踪对软件的修改和每个修改生成的软件组成部件来实现对软件产品的管理功能。性能管理是对电信设备的性能和网络单元的有效性进行评估，并提出评价报告的一组功能。包括性能测编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-16-页 共31页第-16-页 共 31 页试，性能分析及性能控制。性能管理（Performance Management）性能管理指的是优化网络以及联网的应用系统性能的活动，包括对网络以及应用的监测、及时发现网络堵塞或中断情况、全面的故障排除、基于事实的容量规划和有效地分配网络资源。安全管理：安装系统补丁程序(Patch)；采用最新版本的服务方软件；设置系统日志；定期检查系统安全性；6.2网络安全方案网络安全方案6.2.16.2.1 GSNGSN今天的网络安全正遭受严峻挑战。病毒、外部入侵（黑客）、拒绝服务攻击、内部的误用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击时，由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出，还会处处被动挨打。可以断言：面对复杂的安全隐患，这种“各自为战”的安全系统已彻底失去效力。今天，网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面，唯有用全局化、智能化的安全体系代替陈旧的安防措施。业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动防御（自御）、自动修复（自愈）与自动学习（自育）等三大自“YU”功能于一体的 GSN 全局安全网络解决方案。GSN 强调“多兵种协同作战”，将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户 PC、服务器等），成为一个全局化的网络安全综合体系。在此基础上，GSN 不仅能够满足现阶段网络安全环境的需求，同时也为今后可能发生的安全威胁做出了准备。GSN，即 Global Security Network，中文名称“全局安全网络”。GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的网络设备联动处理集成到一个网络安全解决方案中，达到对网络安全威胁的自动防御，网络受损系统的自动修复，同时针对网络环境的变化和新的网络行为进行学习，达到对未知安全事件的防范。GSN 方案由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素组成，能实现同一网络环境下的全局联动，使每个设备都发挥安全防护的作用。GSN 由三个层面组成;（1）后台服务层面：身份认证系统身份认证系统能够提供严格的用户接入控制，通过准确的身份认证和物理定位来确保接入用户的可靠性。用户认证系统针对用户的入网，提供入网控制功能，同时，认证系统还可以实现用户帐号、用户 IP、用户 MAC、设备 IP、设备端口的静态绑定、动态绑定以及自动绑定，保证用户入网身份唯一。安全管理平台安全管理平台是安全防御体系的管理与控制中心，是统一安全管理平台的核心组成部分。通过安全管理平台，可以对系统内的安全设编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-17-页 共31页第-17-页 共 31 页备与系统安全策略进行管理，实现全系统安全策略的统一配置、分发和管理，并能有效的配置和管理全局安全设备，从而实现全局安全设备的集中管理，起到安全网管的作用。通过统一的技术方法，将系统所有的安全日志、安全事件集中收集管理，实现集中的日志分析、审计与报告。同时通过集中的分析审计，发现潜在的攻击征兆和安全发展趋势，确保安全事件、事故得到及时的响应和处理。安全修复系统安全修复系统的作用是跟踪安全漏洞的变化，能够有效地进行系统补丁、病毒特征码或者用户指定应用程序补丁的管理。针对不同的安全策略，点到面自动强制分发部署补丁程序。（2）网络层面：安全联动设备安全联动设备是校园网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。由安全管理平台提供标准的协议接口，同交换机、路由器、防火墙、IDS 等各类网络设备实现安全联动。（3）用户层面：安全客户端安全客户端是安装在个人电脑和服务器上的端点保护软件。安全客户端负责收集不同用户的安全软件的状态信息，包括对防病毒软件信息的收集。同时安全客户端可以评估操作系统的版本、补丁程度等信息，并且把这些信息传递到安全管理平台，没有进行适当升级的主机将被隔离到网络修复区域，从而保障网络的安全运行。与传统的解决方案不同，安全客户端通过对用户终端设备信息的搜集，可预先识别和防止用户对网络的恶意行为，排除潜在的已知和未知的安全风险。GSNGSN 的优势：的优势：(1)提供统一、严格的用户入网身份验证机制GSN 提供了统一的身份管理模式，对接入内网的用户进行身份合法性验证没有合法身份的用户被隔离在内网之外，无法登录访问网络。图（2）支持对用户名、密码、用户 IP、用户 MAC、交换机 IP 及交换机端口六元素进行灵活绑定编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-18-页 共31页第-18-页 共 31 页（3）灵活的用户访问权限管理不同部门和组织的用户往往需要约束不同的访问控制权限财务部门的数据服务器不允许其它部门访问访客用户不能访问所有内网资源，但允许访问外网及内网的 DNSGSN 提供了灵活的访问权限控制功能充分满足用户权限控制的多样化需求（4）GSN 端点防护体系，检验终端无漏洞、病毒、木马后方能进入网络（5）与杀毒软件、IDS 等联动通过对网络结构、网络安全风险分析，再加上黑客、病毒等安全危胁日益严重。网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。6.2.26.2.2 需求需求1 1、物理上安全需求、物理上安全需求针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。对重要的设备进行备份；对重要系统进行备份等安全保护。2 2、访问控制需求、访问控制需求防范非法用户非法访问防范非法用户非法访问非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下，网络的安全主要是靠主机系统自身的安全，如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式，对有攻出击目的的人而言，根本就不是一种障碍。他们可以通过对网络上信息的监听，得到用户名及口令或者通过猜测用户及口令，这都将不是难事，而且可以说只要花费很少的时间。因此，要采取一定的访问控制手段，防范来自非法用户的攻击，严格控制只在合法用户才能访问合法资源。防范合法用户非授权访问防范合法用户非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部份信息是可以对外开放，而有些信息是要求保密或具有一定的隐私性。外部用户被允许正常访问的一定的信息，但他同时通过一些手段越权访问了别人不允许他访问的信息，因此而造成他人的信息泄密。所以，还得加密访问控制的机制，对服务及访问仅限过行严格控制。防范假冒合法用户非法访问防范假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么，入侵者便会在用户下班或关机的情况下，假冒合法用户的 IP 地址或用户名等资源进行非法访问。因此，必需从访问控制上做到防止假冒而过行的非法访问。3 3、加密机需求加密机需求加密传输是网络安全重要手段之一。信息的泄漏很多都是在链路上被搭线窃取，数据也可能因为在链路上被截获、被篡改后传输给对方，造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密，使得在网上传的数编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第-19-页 共31页第-19-页 共 31 页据以密文传输，因为数据是密文。所以，即使，在传输过程中被截获，入侵者也读不懂，而且加密机还能通过先进行技术手段，对数据传输过程中的完整性、