校园网或企业网网络安全方案设计和实现完整版15251.docx

《校园网或企业网网络安全方案设计和实现完整版15251.docx》由会员分享，可在线阅读，更多相关《校园网或企业网网络安全方案设计和实现完整版15251.docx（72页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、校园网或或企业网网网络安安全方案案设计和和实现目录前言1第1章需需求分析析11.1 实施背背景11.2 网络应应用需求求21.3 网络性性能需求求21.4 信息点点统计33第2章网网络总体体设计332.1 网络构构架分析析32.2设设计思路路32.3校校园网的的设计原原则42.4网网络三层层结构设设计42.4.1 核心层层设备选选型52.4.2 汇聚层层设备选选型62.4.3 接入层层设备选选型72.4.4防火墙墙设备选选型92.4.5服务器器设备选选型1002.5接接入Innterrnett设计162.6 VLAAN的划划分及IIP地址址的分配配182.6.1 VVlann号(IDD)的分分

2、配规划划182.6.2 具具体VLLAN详详细表1182.7 IP地地址的分分配原则则192.8物物理/链路层层配置原原则211第3章网网络安全全与管理理213.1 网络安安全2113.1.1 威威胁网络络安全因因素分析析223.1.2 网网络安全全防范措措施2223.2 网络管管理2333.2.1 网络管管理的内内容2333.2.2 网络管管理的手手段2333.3 网络安安全策略略配置2243.3.1安全全接入和和配置2243.3.2 拒拒绝服务务的防止止243.3.3 访访问控制制253.4电电源系统统25第4章综综合布线线设计254.1 综合布布线的设设计原则则254.2 信息点点分布和

3、和环境分分析2664.3 结构化化综合布布线系统统的组成成及设计计274.3.1工作作区子系系统（WWorkk Arrea）及及其网络络设计2274.3.2 配配线子系系统（HHoriizonntall）及其其网络设设计2774.3.3干线线子系统统（Baackbbonee）及其其网络设设计2774.3.4 设设备间子子系统（Equipment Room）及其网络设计284.3.5 管管理子系系统（AAdmiinisstraatioon）及及其网络络设计2284.3.6 建建筑群子子系统（Campus Subsystem）及其网络设计284.3.7 进进线间子子系统（Receive the s

4、pace subsystem）及其网络设计284.4防防雷接地地284.4.1设计计原则2294.4.2防雷雷防浪涌涌及接地地系统2294.4.3电源源系统防防雷2994.4.4通讯讯线路雷雷电防护护304.4.5机房内内部防雷雷辅助措措施3004.5接接地系统统304.5.1 机机房独立立接地系系统3004.5.2 机机房接地地系统3304.6 在施工工中注意意事项3314.6.1 工工程施工工前准备备314.6.2 现现场施工工314.6.3 现现场测试试334.6.4 施施工验收收33第5章扩扩展性考考虑344前言科学技术术的发展展日新月月异，九九十年代代，在计计算机技技术和通通信技术术

5、结合下下，网络络技术得得到了飞飞速的发发展。如如今，不不仅计算算机已经经和网络络紧密结结合，整整个社会会都不可可能脱离离网络而而存在。网网络技术术已经成成为现代代信息技技术的主主流，人人们对网网络的认认识也随随着网络络应用的的逐渐普普及而迅迅速改变变。在不不久的将将来，网网络必将将成为和和电话一一样通用用的工具具，成为为人们生生活、工工作、学学习中必必不可少少的一部部分。Inteerneet，即即国际互互联网，是是现在网网络应用用的主流流，从它它最初在在美国诞诞生至今今已经经经历了三三十多年年。这个个以TCCP/IIP协议议为主体体的国际际互联网网络已经经成为覆覆盖全世世界一百百五十多多个国家

6、家和地区区的大型型数据通通信网络络。最初初的Innterrnett是由科科研网络络形成的的，主要要是由一一些大学学和研究究所等科科研教育育单位连连接而成成，逐渐渐发展到到今天的的规模。而而进入九九十年代代后，由由于各种种商业信信息进入入了Innterrnett，使得得Intternnet得得到了极极大地发发展，其其拥有的的主机数数，连接接的网络络数以及及覆盖面面一直呈呈指数形形式上升升。现在在在Innterrnett上可以以提供或或者获得得各种各各样的服服务，比比如通过过电子邮邮件进行行合同的的起草和和签订，或或利用IInteerneet直接接挑选商商品和购购物。Inteerneet是一一个资

7、源源的网络络，其中中拥有的的信息资资源几乎乎覆盖所所有的领领域。IInteerneet面向向人类的的社会，世世界上数数以亿计计的人们们利用它它进行通通信和信信息共享享，通过过发送和和接收电电子邮件件，或和和其他人人的计算算机建立立连接、参参加各种种讨论组组并免费费使用各各种信息息资源实实现信息息共享。Inteerneet也是是一个服服务的网网络。在在Intternnet上上，许多多单位、公公司和组组织提供供了各种种各样的的服务。比比如WWWW（WWorlld WWidee Weeb全球球信息网网）服务务、信息息查询服服务等，向向网络上上的其他他用户展展示自己己各方面面的情况况，并帮帮助这些些用

8、户找找到需要要的信息息。将来的网网络在IInteerneet基础础上进一一步发展展，其功功能、速速度、适适用范围围等必将将全面超超过现有有的Innterrnett。XX大学学对计算算机网络络的建设设投入了了大量的的人力和和物力，在在短短的的几年中中，已经经从最初初仅仅局局限在教教育科研研单位的的网络，迅迅速发展展到今天天遍及全全国的包包括教育育、科研研、商业业、民用用各个方方面的数数个大型型网络，如如Chiinannet（中中国邮电电网）、CCernnet（中中国教育育网）、GGbneet（金金桥网络络）等等等。目前前在网络络上提供供有价值值、有吸吸引力的的信息，对对一个单单位或学学校树立立自

9、己的的形象，提提高自己己的知名名度，以以及开拓拓和国际际上其他他学校、组组织的联联系和往往来能够够起到很很显著的的作用。XX大学学校园网网将实现现与校内内各部门门进行通通信。XXX大学学校园网网将为学学校的科科研、教教学、管管理提供供必要的的技术手手段，为为研究开开发和培培养人才才建立平平台，借借此加快快学校的的发展，以以此加快快学校的的发展，成成为一个个具有示示范性的的学校。第1章 需求分分析1.1 实施背背景XX大学学为了加加快校园园信息化化建设，需需要建设设一个高高性能的的、安全全可靠的的校园网网络，校校园网建建成后，要要求能够够实现校校园内部部各种信信息服务务功能，实实现与教教育网的的

10、无阻碍碍连通，同同时提供供宽带接接入功能能，以备备主连接接失效情情况下的的被用连连接要求求，能够够实现校校园办公公自动化化需求。1.2 网络应应用需求求 这方面面的需求求不同学学校有着着明显不不同，大大体都可可以分为为，教学学、办公公、服务务这四方方面应用用。如对对教学、科科研方面面的网络络设计应应考虑稳稳定、扩扩展、安安全等问问题；办办公、服服务等带带宽是要要着重考考虑的方方面，所所以学校校应该根根据自己己的实际际情况来来考虑网网络的结结构，及及安全问问题。校园网在在信息服服务与应应用方面面应满足足以下几几个方面面的需求求：1. 学学校主页页。学校校应建立立独立的的WWWW服务器器，在网网上

11、提高高学校主主页等服服务，包包括校情情简介、学学校新闻闻、校报报（电子子报）、招招生信息息以及校校内电话话号码和和电子邮邮件地址址查询等等。2. 文文件传输输服务。考考虑到师师生之间间共享软软件，校校园网应应提供文文件传输输服务（fftp）。文文件传输输服务器器上存放放各种各各样自由由软件和和驱动程程序，师师生可以以根据自自己需要要随时下下载并把把它们安安装在本本机上。3. 校校园网站站建设（WWWW、FFTP、EE-maail、DDNS、PPROXXY代理理、拨入入访问、流流量计费费等）；4. 多多媒体辅辅助点播播教学兼兼远程教教学：校校园网要要求具有有数据、图图像、语语音等多多媒体实实时通

12、讯讯能力；并在主主干网上上提供足足够的带带宽和可可保证的的服务质质量，满满足大量量用户对对带宽的的基本需需要，并并保留一一定的余余量供突突发的数数据传输输使用，最最大可能能地降低低网络传传输的延延迟。5. 校校园办公公管理；6. 学学校教务务管理；7. 校校园通卡卡应用；8. 网网络安全全FIRREWAALL；9. 图图书管理理、电子子阅览室室；10. 系统应应提供基基本的WWeb开开发和信信息制作作的平台台。1.3 网络性性能需求求性能需求求：有服服务效率率、服务务质量、网网络吞吐吐率、网网络响应应时间、数数据传输输速度、资资源利用用率、可可靠性、性性能/价价格比等等；根据本工工程的特特殊性

13、，语语音点和和数据点点使用相相同的传传输介质质，即统统一使用用超5类类4对双双绞电缆缆，以实实现语音音、数据据相互备备份的需需要；对于网络络主干，数数据通信信介质全全部使用用光纤，语语音通信信主干使使用大对对数电缆缆；光缆缆和大对对数电缆缆均留有有余量；对于其其他系统统数据传传输，可可采用超超5类双双绞线或或专用线线缆。1.4 信息点点统计XX大学学联网各各楼所在在位置及及信息点点分布情情况如下下。1层2层3层4层5层6层7层8层1号楼2412102号楼103号楼1829425办公楼17131218图书馆210135号楼2181016号楼889237号楼41974研究生楼楼621212121电

14、镜楼484公卫楼96889138合计501校园平面面图如下下图1 号 楼3 号 楼5 号 楼7 号 楼2号楼6号楼第2章 网络络总体设设计2.1网网络架构构分析现代网络络结构化化布线工工程中多多采用星星型结构构，主要要用于同同一楼层层，由各各个房间间的计算算机间用用集线器器或者交交换机连连接产生生的，它它具有施施工简单单，扩展展性高，成成本低和和可管理理性好等等优点；而校园园网在分分层布线线主要采采用树型型结构；每个房房间的计计算机连连接到本本层的集集线器或或交换机机，然后后每层的的集线器器或交换换机在连连接到本本楼出口口的交换换机或路路由器，各各个楼的的交换机机或路由由器再连连接到校校园网的

15、的通信网网中，由由此构成成了校园园网的拓拓补结构构校园网采采用星形形的网络络拓扑结结构，骨骨干网为为10000M速速率具有有良好的的可运行行性、可可管理性性，能够够满足未未来发展展和新技技术的应应用，另另外作为为整个网网络的交交换中心心，在保保证高性性能、无无阻塞交交换的同同时，还还必须保保证稳定定可靠的的运行。因此在网网络中心心的设备备选型和和结构设设计上必必须考虑虑整体网网络的高高性能和和高可靠靠性，我我们选择择热路由由备份可可以有效效地提高高核心交交换的可可靠性。传输介质质也要适适合建网网需要。在在楼宇之之间采用用10000M光光纤，保保证了骨骨干网络络的稳定定可靠，不不受外界界电磁环环

16、境的干干扰，覆覆盖距离离大，能能够覆盖盖全部校校园。在在楼宇内内部采用用超5类类双绞线线，其连连接状态态1000m的传传递距离离能够满满足室内内布线的的长度要要求。2.2 设计思思路进行校园园网总体体设计，首首先要进进行对象象研究和和需求调调查，明明确学校校的性质质、任务务和改革革发展的的特点及及系统建建设的需需求和条条件，对对学校的的信息化化环境进进行准确确的描述述；其次次，在应应用需求求分析的的基础上上，确定定学校IIntrraneet服务务类型，进进而确定定系统建建设的具具体目标标，包括括网络设设施、站站点设置置、开发发应用和和管理等等方面的的目标；第三是是确定网网络拓扑扑结构和和功能，

17、根根据应用用需求建建设目标标和学校校主要建建筑分布布特点，进进行系统统分析和和设计；第四，确确定技术术设计的的原则要要求，如如在技术术选型、布布线设计计、设备备选择、软软件配置置等方面面的标准准和要求求；第五五，规划划校园网网建设的的实施步步骤。校园网总总体设计计方案的的科学性性，应该该体现在在能否满满足以下下基本要要求方面面：（1）整整体规划划安排；（2）先先进性、开开放性和和标准化化相结合合；（3）结结构合理理，便于于维护；（4）高高效实用用；（5）支支持宽带带多媒体体业务；（6）能能够实现现快速信信息交流流、协同同工作和和形象展展示。2.3 校园网网的设计计原则（1）先先进性原原则以先进

18、、成成熟的网网络通信信技术进进行组网网，支持持数据、语语音和视视频图像像等多媒媒体应用用，采用用基于交交换的技技术代替替传统的的基于路路由的技技术，并并且能确确保网络络技术和和网络产产品在几几年内基基本满足足需求。（2）开开放性原原则校园网的的建设应应遵循国国际标准准，采用用大多数数厂家支支持的标标准协议议及标准准接口，从从而为异异种机、异异种操作作系统的的互连提提供便利利和可能能。（3）可可管理性性原则网络建设设的一项项重要内内容是网网络管理理，网络络的建设设必须保保证网络络运行的的可管理理性。在在优秀的的网络管管理之下下，将大大大提高高网络的的运行速速率，并并可迅速速简便地地进行网网络故障

19、障的诊断断。（4）安安全性原原则信息系统统安全问问题的中中心任务务是保证证信息网网络的畅畅通，确确保授权权实体经经过该网网络安全全地获取取信息，并并保证该该信息的的完整和和可靠。网网络系统统的每一一个环节节都可能能造成安安全与可可靠性问问题。（5）灵灵活性和和可扩充充性选择网络络拓扑结结构的同同时还需需要考虑虑将来的的发展，由由于网络络中的设设备不是是一成不不变的，如如需要添添加或删删除一个个工作站站，对一一些设备备进行更更新换代代，或变变动设备备的位置置，因此此所选取取的网络络拓扑结结构应该该能够容容易的进进行配置置以满足足新的需需要。（6）稳稳定性和和可靠性性可靠性对对于一个个网络拓拓扑结

20、构构是至关关重要的的，在局局域网中中经常发发生节点点故障或或传输介介质故障障，一个个可靠性性高的网网络拓扑扑结构除除了可以以使这些些故障对对整个网网络的影影响尽可可能小以以外，同同时还应应具有良良好的故故障诊断断和故障障隔离功功能。2.4 网络三三层结构构设计校园网网网络整体体分为三三个层次次：核心心层、汇汇聚层、接接入层。为为实现校校区内的的高速互互联，核核心层由由1个核核心节点点组成，包包括教学学区区域域、服务务器群；汇聚层层设在每每栋楼上上，每栋栋楼设置置一个汇汇聚节点点，汇聚聚层为高高性能“小核心心”型交换换机，根根据各个个楼的配配线间的的数量不不同，可可以分别别采用11台或是是2台汇

21、汇聚层交交换机进进行汇聚聚，为了了保证数数据传输输和交换换的效率率，现在在各个楼楼内设置置三层楼楼内汇聚聚层，楼楼内汇聚聚层设备备不但分分担了核核心设备备的部分分压力，同同时提高高了网络络的安全全性；接接入层为为每个楼楼的接入入交换机机，是直直接与用用户相连连的设备备。本实实施方案案从网络络运行的的稳定性性、安全全性及易易于维护护性出发发进行设设计，以以满足客客户需求求。设备及线线缆选型型名称型号单价数量合计路由器72066VXRR3.5万万1台3.5万万核心层交交换机Quiddwayy S99303310万2台20万分布层交交换机WS-CC29660-GG-4882.2万万4台8.8万万接入

22、层交交换机（224口）H3C S122161300013台1.699万接入层交交换机（448口）H3C S15550280007台1.966万防火墙USG3303003万1台3万服务器电子邮件件服务器器eWorrld 邮件服服务器MM5.7万万1台文件传输输服务器器eWorrld 宽带主主机S2202.866万1台计费服务务器蓝海卓越越NS-G500-200003.966万1台代理服务务器125001台EEB服服务器1.188万1台UPSC3KVVA/221000W22500122500调制解调调器ATRIIE WWireeSpaan 3300EE10000110000超五类非非屏蔽双双脚线安

23、普6-21995077-472012芯多多模光缆缆TCL 12芯芯室内多多模光缆缆4012芯单单模光缆缆TCL 12芯芯室内单单模光缆缆332.4.1 核心交交换机设设备选型型通常将网网络主干干部分称称为核心心层，核核心层的的主要目目的在于于通过高高速转发发通信，提提供油画画，可靠靠的骨干干传输结结构，因因此核心心层交换换机应拥拥有更高高的可靠靠性，性性能和吞吞吐量。核心层交交换机选选择华为为QuiidwaayS993033交换机机，核心心层交换换机位于于办公楼楼，配置置两台。华为Quuidwway S93303主主要参数数产品外观观交换机类类型路由交换换机应用层级级三层传输速率率10Mbbp

24、s/1000Mbpps/110000Mbpps端口结构构模块化交换方式式存储-转转发背板带宽宽1.2TTbpss包转发率率540MMPPSSVLANN支持支持QOS支支持支持网管支持持支持MAC地地址表16K模块化插插槽数3电源DC:38.4V72VV;ACC:900V2264VV;典型型功耗:1880W;整机供供电能力力:3550W尺寸(mmm)442*4766*1775重量(KKg)15价格￥10万万安全特性性的华为为Quiidwaay SS93003交换换机成为为中小型型网络核核心交换换机的理理想选择择。适用用于为政政府、学学校、企企业构建建高速、安安全、可可靠的千千兆网络络。2.4.2

25、 汇聚层层设备选选型通常将位位于接入入层和核核心层之之间的部部分称为为分布层层或汇聚聚层，汇汇聚层交交换层是是多台接接入层交交换机的的汇聚点点，它必必须能够够处理来来自接入入层设备备的所有有通信量量，并提提供到核核心层的的上行链链路，因因此汇聚聚层交换换机与接接入层交交换机比比较，需需要更高高的性能能，更少少的接口口和更高高的交换换速率。汇聚层交交换机选选择华为为CISSCO WS-C29960GG-488。整个校校园共用用4台汇汇聚层交交换机，使使用千兆兆光纤与与核心交交换机相相连。CISCCO WWS-CC29660G-48参参数CISCCO WWS-CC29660G-48主主要参数数产品

26、外观观交换机类类型智能交换换机应用层级级二层内存64MBB传输速率率10Mbbps/1000Mbpps/110000Mbpps网络标准准IEEEE 8002.33、IEEEE 8022.3uu、IEEEE 8022.1xx、IEEEE 8022.1QQ、IEEEE 8022.1pp、IEEEE 8022.1DD、IEEEE 8022.1ss、IEEEE 8022.1ww、IEEEE 8022.3aad、IIEEEE 8002.33z、IIEEEE 8002.33端口结构构非模块化化端口数量量44接口介质质10/1100BBasee-T,10/1000/10000BBasee-Txx/SFFP传

27、输模式式全双工/半双工工自适应应交换方式式存储-转转发背板带宽宽32Gbbps包转发率率39MpppsVLANN支持支持QOS支支持支持网管支持持支持网管功能能Web浏浏览器,SNMMP,CCLIMAC地地址表8K模块化插插槽数4指示面板板每端口状状态:连连接完整整性、禁禁用、活活动、速速度、全全双工,系统状状态:系系统、RRPS、链链路状态态、链路路双工、链链路速度度电源100VVAC-2400VACC、500Hz/60HHz,11.3-0.88A环境标准准工作温度度:0-455、工作作湿度:10%-855%(非非冷凝)、存储储温度:-255-700、存储储湿度:10%-855%(非非冷凝)

28、尺寸(mmm)328*4455*444重量(KKg)5.4价格￥2.22万2.4.3 接入层层设备选选型通常将网网络中直直接面向向用户连连接或访访问网络络的部分分称为接接入层，接接入层目目的是允允许终端端用户连连接到网网络，因因此接入入层交换换机具有有低成本本和高端端口密度度特性。接入层层交换机机选择华华为S110488和华为SS12116。XX大大学构建建该校园园网络对对接入层层交换机机的需求求量。建筑物名名称接入层交交换机建筑物名名称接入层交交换机1号楼用两台224口交交换机办公楼用两台448口交交换机2号楼用一台224口交交换机图书馆用一台448口交交换机3号楼用一台116口、十十台48

29、8口交换换机研究生楼楼用三台224口、一一台488口交换换机5号楼用两台224口交交换机电镜楼用一台224口交交换机6号楼用一台224口、一一台488口交换换机公卫楼用三台224口交交换机7号楼用两台224口交交换机接入层交交换H3C S15550（448口）参数H3C S15550主主要参数数产品外观观交换机类类型网管交换换机应用层级级接入层传输速率率10Mbbps/1000Mbpps/110000Mbpps网络标准准IEEEE 8002.33、IEEEE 8022.3uu、IEEEE 8022.3zz、IEEEE 8022.3aab、IIEEEE 8002.33x端口数量量50接口介质质1

30、0/1100BBasee-TXX:五类类双绞线线,传输输距离1100mm、10000BBasee-LXX-SFFP:99/1225m单模模光纤,传输距距离100km、110000BASSE-ZZX-LLR-SSFP:9/1125m单模模光纤,传输距距离400km、110000BASSE-ZZX-VVR-SSFP:9/1125m单模模光纤,传输距距离700km、110000BASSE-SSX-SSFP:50/1255m多模模光纤,传输距距离5550m传输模式式全双工/半双工工自适应应交换方式式存储-转转发背板带宽宽13.66Gbpps包转发率率10.11MpppsVLANN支持支持QOS支支持支

31、持网管支持持支持网管功能能支持Weeb网管管MAC地地址表8K模块化插插槽数1电源AC1000-2240VV(500Hz-60HHz)环境标准准工作温度度:0-400、工作作湿度:20%-855%无凝凝结尺寸(mmm)440*2300*444重量(KKg)111分钟波长 4333mmm宽*高 1445mmm * 3188mm重量 288kg价格￥22550调制解调调器ATRIIE WWireeSpaan 3300EE(ATTRIEE WiireSSpann 3000E)ATRIIE WWireeSpaan 3300EE(ATTRIEE WiireSSpann 3000E)主要参参数产品外观观设

32、备类型型SHDSSL调制制解调器器设备品牌牌ATRIIE（雅雅企）网络端口口RJ-445，RRJ-111支持操作作Winddowss 955/988/20000/ME/NT电源电压压5VDCC5%工作温度度0550工作湿度度0955%非凝凝结存储温度度-10700存储湿度度0955%非凝凝结价格￥10000线缆类安普 超超五类非非屏蔽双双绞线/6-22195507-4安普 超超五类非非屏蔽双双绞线/6-22195507-4详细细参数电缆/双双绞线类类型超五类双双绞线适用范围围10000Basse-TT传输速率率10000Mbpps单段长度度100米米包装长度度305米米性能概述述此类产品品是本行行业的高高性能55e系统统, 超超过目前前所有拟拟议中的的5e类类和10000BBASEE-T规规范，满足综综合布线线系统设设计要求求的高速速, 高高性能