XX大学校园网规划设计方案.doc

《XX大学校园网规划设计方案.doc》由会员分享，可在线阅读，更多相关《XX大学校园网规划设计方案.doc（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX大学校园网规划设计方案成 员 姓 名： 夏红 专 业： 信息管理与信息系统 班 级： B0901 信息技术学院摘 要随着现代化教学活动的广泛开展，对通过网络进行信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥学生的创造力，校园网络建设成为现代教育机构的必然选择。本文主要针对中小型校园网建设需求提供网络规划设计方案，在该方案中主要对校园网的各项需求和应用特点进行仔细分析，本着开销少收益大的原则，充分利用有限的资源，在保证网络先进性的前提下，选用性价比最好的设备，并对设计目标、系统设计原则、设计标准、系统选型、组网技术及产品选择、综合布线系统、安全接入等内容进行说明。通过此方案可以建

2、设一个大容量的、高速率数据传输的、安全可靠的、操作方便，易于管理、经济实用的校园网，对每个学生在个人的学习道路上都可以按照自己的速度发展给予帮助。关键词：校园网；网络设计；组网技术; 安全接入;综合布线 目 录摘 要I一、校园网建设的必要性4二、校园网络需求分析5（一）用户需求分析5（二）应用特点5（三）校区网络的设计目标:6（四）系统设计7三、校园网网络设计9（一） 网络的分层设计原则91. 核心层 (Core Layer)92. 分布层 (Distribution Layer)93. 接入层 (Access Layer)10（二）校园网特性分析101. 高性能的网络设计102. 集成的用户

3、管理功能103. 灵活的网络的可扩展性设计114. 完善的QOS功能115. 可靠的网络安全设计126. 方便的网络管理和维护127. 运营级的网络高可靠性的设计12（三）系统组成与拓扑结构13（四）IP地址规划15四、组网技术及产品选择17（一）组网技术选择17（二）网络产品选型181. 稳定可靠的网络182. 高带宽183. 易扩展的网络184. QoS保证185. 安全性196. 容易控制管理197. IP Multicast198. 符合IP发展趋势的网络19（三）系统平台和应用系统191. 系统平台选择192. 采用WINDOWS2003 SERVER建立FTP服务器19（四）软件应

4、用201. 杀毒软件202. 系统备份软件203. 系统破密204. 办公软件205. 图形处理软件（适合于平面设计班）20五、校园网络安全接入22（一）校园网络安全22（二）阻止来自网络第二层攻击的重要性24（三）MAC泛滥攻击防范方法25（四）DHCP Snooping技术概述26六、综合布线系统27（一）结构化布线设计的要求27（二）系统设计原则271. 设计原则272. 设计目标27成绩评定表29一、校园网建设的必要性学校是否采用最先进的信息和传播技术是一个有决定性意义的问题，而且十分重要的是，学校应该处于影响整个社会深刻变革的中心地位。随着计算机多媒体和网络技术的不断发展与普及，校园

5、网信息系统的建设，是非常必要的，也是可行的。主要表现在：(1)当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。(2)教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优

6、势都是很多的，特别是计算机和多媒体系统的使用有助于个人化的道路，每个学生在个人的学习道路上都可以按照自己的速度发展。(3)我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境.(4)现代教育改革的需要。在校园网中将计算机引入教学各个环节，从而引起了教学方法，教学手段，教学工具的重大革新。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问，校园网是学校提高管理水平、工作效率、改善教学质量的有力手段，是解决信息时代教育问

7、题的基本工具。(5)随着经济发展，我国各级政府对教育的投入不断加大；计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教育信息管理和信息服务是完全可行的。二、校园网络需求分析（一）用户需求分析设计一个网络，首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求，并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质服务。网络在教育教学中起着至关重要的决定，校园网的运作模式会带来大量动态的www应用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求（目前为100/1000Mb

8、ps，今后可会更高）。这就要求网络有足够的主干带宽和扩展能力。同时，一些新的应用类型，如网络教学、视频直播/广播等，也对网络提出了支持多点广播和宽带高速接入的要求。 除上述考虑外，还要注意到由于逻辑上业务网和管理网必须分开，所以建成后校园网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应教学办公环境的调整和变化。中心机房到汇聚层节点采用4兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。通常考虑，建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入，以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA

9、应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。（二）应用特点 随着现代化教学活动的开展和与国内外教学机构交往的增多，对通Internet/Intranet网络进行信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥学生的创造力，校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统，以园区局域网为主，一个基本的校园网具有以下的特点： 高速的局域网连接-校园网的核心为面向校园内部师生的网络，因此园区局域网是该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求。 信息结构多样化-校园网

10、应用分为电子教学（多媒体教室、电子图书馆等）、办公管理和远程通讯（远程教学、互联网接入）三大部分内容：电子教学包含大量多媒体信息，办公管理以数据库为主，远程通讯则多为WWW方式，因此数据成分复杂，不同类型数据对网络传输有不同的质量需求。 安全可靠-校园网中同样有大量关于教学和档案管理的重要数据，不论是被损坏、丢失还是被窃取，都将带来极大的损失。 操作方便，易于管理-校园网面向不同知识层次的教师、学生和办公人员，应用和管理应简便易行，界面友好，不宜太过专业化。 经济实用-学校对网络建设的投入有限，因此要求建成的网络应经济实用，具备很高的性能价格比。 （三）校区网络的设计目标:校区网络建设的目标应

11、该是：建成后的网络能充分利用Internet、国家信息网、教育网、全国高校互联网上的各种信息，实现资源共享，能够为在此校区学习的学生提供丰富的多媒体教学手段，实现高质高效的教学目标。由此，我们认为，校园网网络是一个典型的面向未来的网络化、信息化、自动化的集娱乐、教学、办公于一体的，具备多媒体综合业务发展需求的园区网络。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为学校校区着想，合理使用建设资金，使系统经济可行。学校网络应当实现如下功能： 访问互联网络 访问学校虚拟网络 校园网站建立 远程教育 VOD点播 网络安全管

12、理 电子邮件和电子公告 计算机辅助教学 教师备课功能 对外交流 校园管理平台 信息资源库（四）系统设计建设校园网络，本着少花钱办大事的原则，充分利用有限的投资，在保证网络先进性的前提下，选用性能价格比最好的设备，我们认为校园网建设应该遵循以下原则： 先进性 以先进、成熟的网络通信技术进行组网，支持数据、语音、视像等多媒体应用，用基于交换的技术替代传统的基于路由的技术。 标准化和开放性 网络协议采用符合ISO及其他标准，如：IEEE、ITUT、ANSI等制定的协议，采用遵从国际和国家标准的网络设备。 可靠性和可用性 选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，确保整个系

13、统的安全与可靠。 设备的兼容性 选用符合国际发展潮流的国际标准的软件技术，以便系统有可靠性强、可扩展和可升级等特点，保证今后可迅速采用计算机网络发展出现的新技术，同时为现存不同的网络设备、小型机、工作站、服务器、和微机等设备提供入网和互连手段。实用性和经济性 从实用性和经济性出发，着眼于近期目标和长期的发展，选用先进的设备，进行最佳性能组合，利用有限的投资构造一个性能最佳的网络系统。 安全性和保密性在接入Internet的情况下，必须保证网上信息和各种应用系统的安全。 扩展性和升级能力 网络设计应具有良好的扩展性和升级能力，选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时，必

14、须能保护现有投资。应支持多种网络协议、多种高层协议和多媒体应用。网络的灵活性系统的灵活性主要表现在软件配置与负载平衡等方面，配合交换机产品与路由器产品支持的最先进的虚拟网络技术，整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络，可以跨越办公室、办公楼，而无需任何硬件的改变，以适应机构的变化。同时也可以通过平衡网络的流量，以提高网络的性能.三、校园网网络设计（一） 网络的分层设计原则从逻辑上，校园网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点可以总结为如下几点：可扩展性：因为网络可模块化增长而不会遇到问题。简单性：通过将网络分成许多小单元，降低了网络

15、的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题。设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境。可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。1. 核心层 (Core Layer)核心层为下两层提供优化的数据输运功能，它是一个高速的交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL，过滤等)，否则会降低数据包的交换速度。2. 分布层 (Distribution Layer)分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂

16、的运算。在园区网络环境中，分布层主要提供如下功能：地址的聚集部门和工作组的接入广播域/多目传输域的定义Inter VLAN路由任何介质的转换安全控制3. 接入层 (Access Layer)接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整，如Access-list Filtering等。在园区网络环境中，接入层主要提供如下功能：带宽共享（Shared Bandwidth）交换带宽（Switched Bandwidth）MAC层过滤（MAC Layer Filtering(possibly)）微分网段（Microsegmentation）在广域网环境中，接入层主要

17、提供通过Frame Relay、ISDN、Leased Line连入远程节点。（二）校园网特性分析1. 高性能的网络设计设备的高性能：核心节点的交换机是整个校园网络的核心，应当采用有多层交换功能的交换机。核心交换机应采用模块化设计，有良好的扩展性能、多种接入模块；具备增强的网络传输能力，支持VLAN、RIP和OSPF协议、服务质量（QOS）、IP组播、DHCP中继和AAA认证等功能；支持通用的管理特性（SNMP），能使用流行的网管软件对它进行管理，如HP OpenView等。会聚层交换连接核心和接入层，应当采用带VLAN和网管功能的中低档交换机。汇聚层交换机具有快速的级联核心的以太端口以及高速

18、堆叠模块；带VLAN子网划分功能，能很好的管理接入层用户；支持IEEE802.1Q、VTP、SNMP等协议。网络的高性能设计：整个校园的建设可以采用全交换方式，100兆到每个接入层用户。有效的子网划分和流量控制使整个校园网络能高速、安全的运行。2. 集成的用户管理功能提供完善的用户管理机制，实现全面的用户认证、鉴权和计费(AAA)功能。用户管理引擎实现了根据用户MAC地址、VLAN ID和IP地址的绑定关系鉴别用户的合法性的功能。可根据用户的权限，实现对用户访问资源的控制。实现基于VLANID/MAC地址、接入模块号和接入设备号的全程用户唯一标识，便于用户管理（开户、销户、欠费停机等）和网络故

19、障维护。3. 灵活的网络的可扩展性设计网络的扩展性对网络业务的发展至关重要，它直接决定了校园网是否能够在节约成本的基础上跟上网络技术的发展和满足学校信息不断增长的需要，一个扩展性差的网络不仅为学校的投资造成了巨大的浪费，同时又无法满足学校网络业务不断发展和信息的增长的需要，为了保证网络能够不断的适应学校网络业务今后发展的不断需求，可以采用以下的措施来保证网络的扩展性。（1）所选择的网络设备应当具有良好的扩展性。选择的网络设备最好是模块化的，便于网络的扩大和更改，其中核心交换机应具有多种模块类型，以满足各种网络类型的接入。汇聚层交换机可以采用一款可堆叠的网管型以太网交换机，半/全双工模式自适应，

20、具有扩展槽，能使用多种可选模块。（2）所选择的设备都具有良好的软件再升级能力。我们所选择的网络设备都是可以通过软件升级来不断的满足客户的新的需求同时跟上网络技术的发展。由于网络的技术层出不穷，用户的需求也不断增加，现在是新的技术，再过一段时间就会落后了，为了保证用户的网络产品能够跟上这一节奏，而不需要更换网络设备，从而减少了用户的投资。4. 完善的QOS功能带宽控制特性以太网是一种基于广播机制的共享型技术，任何一个位于以太网上的用户均可以向网上发送信息，在以太网的技术中没有具体带宽控制的机理。网络产品应提供对用户带宽控制的功能。带宽控制通过对每一个用户的上行带宽与下行带宽进行限制，保证对每个用

21、户的公平性，防止在共享型网络结构中某一用户长期恶意霸占带宽而导致其他用户无法享受服务的现象。Qos控制特性随着IP网络规模的不断扩大，网上的实时业务量也在不断增长，同时网络上的应用类型多种多样，不同的应用对网络的需求也有所不同。IP网络中引入QoS技术，就是为了确保实时业务的通信质量，满足各种业务对网络资源的需求，使网上资源获得最佳利用，降低成本，改善对用户的服务5. 可靠的网络安全设计安全性是网络设计要考虑的最重要的因素之一，设计中充分考虑了网络的安全性，具体体现在以下几个方面：(1)通过VLAN的划分，限制了不同VLAN之间的互访，从而保证了不同网络之间不会发生未经授权的非法访问。(2)在

22、核心节点可提供基于地址的Access-list，以控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置VLAN路由以及访问过滤，保证了在VLAN之间只有被允许的访问才能发生，而未经授权的访问都会被禁止。(3)通过对上网的安全教育，提高安全意识，特别是增强计算机操作人员的密码管理意识，以防止由于操作员密码有意无意泄露给他人而造成的损失。(4)制定严格的安全制度，包括人员审查制度、岗位定职定责制度、使用计算机的权限制度以及防病毒制度，从制度上保证网络安全性得以实现。(5)可以对所有的重要事件进行Log，这样方便网络管理员进行故障查找；(6)可以对所有的Telnet以及SNMP的访问进行限制，从

23、而最大程度地保证汇聚层系统地安全。(7)可以在接入层中通过限制MAC地址的访问提高网络安全。6. 方便的网络管理和维护（1）为了提高网络管理能力设计中所有设备最好具有网管功能，不存在光纤收发器等类似不可网管设备，提高了网络可靠性和可管理。（2）支持通用的网络管理协议如（SNMP），方便网络的管理和维护。（3）支持通用的的网络管理软件，如Cisco Ciscoworks、HP Open View、3Com Trensand。7. 运营级的网络高可靠性的设计可以从两方面来考虑：关键设备的主要模块和电源的冗余备份考虑在网络设计中所涉及的所有主要设备，均采用高可靠设计的原则。核心关键部件的冗余备份：电

24、源冗余、主控板冗余、模块冗余等。网络链路的冗余备份考虑（三）系统组成与拓扑结构校园网的建设主要是为了教学应用，而多媒体辅助教学和多媒体教室是教学应用的核心，在网络建设时应考虑多媒体信息的特点，如信息量大，对时间延迟敏感等；在校园网中常会出现几十个学生执行相同操作的现象，所以要考虑并发信息的控制；学生利用网络做作业，教师要在家拨号访问学校网络，学籍管理信息在网上传输，所以也要考虑网络的安全性，防止黑客破坏网络，学生抄袭作业；校园网又是面向不同知识层次的教师、学生和办公人员的工具，它帮助我们更好地提高教学水平、办公效率和学习兴趣，所以应用和管理应简便易行，界面友好，不宜太专业化。考虑到该学校的具体

25、情况如性质、规模、财务等，这是一个相对小型的校园网络，单一建筑内的网络应用，我们提出以下校园网解决方案： 方案特点如下： 支持多媒体应用，包括多媒体教室、电子阅览室、多媒体教学； 高性能，全交换，满足用户需求； （3）管理简单，浏览器方式无需专门培训； （4）系统安全，保密性高； （5）ADSL连接方式，按需建立连接降低链路费用。 （6）互联网接入，安全的广域网访问。拓扑结构图3.1由图可看出，网络设备组成为：Catalyst 2900交换机 五台 ,Cisco850路由器 一台。 思科公司的cisco850路由器是这一网络的核心设备，可降低拥有成本，简化远程管理，提供结合CSU/DSU、复用

26、器、调制解调器、语音/数据网关、ISDN NT1、防火墙、VPN、加密和压缩设备的集成化网络。Catalyst2900交换机它提供了24个10/100M自适应的快速以太网端口，。这是一个全交换的网络，相对共享式集线器而言，交换机各端口拥有独占的带宽，能实现多路并行传输，不易发生冲突，能为多媒体信息提供更好的保障。 考虑到Internet接入是校园网的发展趋势，在这套解决方案中都用到了路由器来引入广域网的远程连接，这套方案中用到了思科公司的低端路由器Cisco 850，它提供了对内的10/100M局域网接口和对外的ADSL连接，通过Internet实现远程教学或教学演播等应用。传输稳定，连接迅速

27、。在实现基本数据传递的基础上，用户可以根据自己的需要灵活选用上述网络设备中的某些性能。如：路由器和交换机的组内广播功能可为多媒体信息的传输提供更高的服务质量；而catalyst2900之间建立快速以太网通道，在全双工模式下达到400M的高速级联；此外， 850路由器兼任了防火墙思科公司系列中、低端路由器都可以通过操作系统升级具备防火墙性能，在承担远程连接的同时实施数据包检验和过滤，防止非法用户侵入到内部局域网中对连接到Internet这一开放网络的。用户来说，安全性是网络设计中不容忽视的一项重要因素。 这套方案的好处是简便易行，成本很低，并且兼顾了教学、管理和通讯三方面应用。方案中所用到的产品

28、都属思科公司产品中的低端设备，在实现高性价比的桌面应用的同时又做到易于配置和管理：catalyst2900属即插即用的设备，如果不添加特殊功能则不需任何配置，cisco850的设置和管理也十分方便，这样用户使用起来将得心应手，无后顾之忧。（四）IP地址规划通过Proxy或NAT方式使私有地址能够访问公网资源 在申请的公网IP地址不能完全满足每个信息点一个的情况下，可以采用公网地址与私网地址结合的方式。但是有时分配了私网地址的客户端也要访问Internet。针对这种情况，可以采用不同的技术使私有地址能够访问公网资源。通常可以利用代理服务 (Proxy) 和网络地址转换 (NAT) 这两项技术。

29、园区网分配IP地址方案 ，一个有效的IP地址规划或IP地址方案就是在地址资源的效率性和管理的方便性之间找到最佳的平衡点。 按行政隶属划分是指按信息节点的行政隶属关系将用户按校园各部门进行IP地址分配规划。由于各部门之间在地域位置上并不一定集中，但需要统一管理，因此我们建议采用行政隶属的方式划分IP地址段。 按楼宇规划在传统的网络平台上很难实现。主要是因为传统的网络平台局限于设备的地理位置，无法跨地域进行灵活规划。但现今的网络平台都支持虚拟网络 VLAN技术。该技术避开了物理位置的缺陷，可以在逻辑上灵活组网。因此，IP网段规划可以与VLAN的划分相一致。 规划每个网段中的信息点数时，既要考虑到当

30、前IP地址资源的充分利用性，又要预留出适当的扩展余地，因此如果采用私网地址分配IP，建议我们都采用192.168.1.0 255.255.0.0的网络，根据具体的部门情况再分为具体的子网。 从经验角度，通常一个IP网段也是一个独立的VLAN，也就是一个独立的广播域。一个网段内的信息节点数在40 - 200个时，性能和地址资源的最佳利用性较理想，并且将来可扩充到254个。宽带接入用户接入宽带IP网的方式可以有多种形式：首先，用户利用固定IP地址接入，则无需其它的认证过程，只需将用户所连的交换机端口划入某一特点VLAN即可；其次用户通过PPP方式接入，即虚拟拨号方式，则需要一个专用的PPP终结设备

31、终结PPP进程，通过对PPP进程的认证，可以确认用户身份；用户还可以利用DHCP获得IP地址。另外交换机可以实现专用VLAN技术，可以通过配置选择实现在同一VLAN内用户是否可以互通，进行数据交换。根据学校的教务和公务的情况，划分以下两个子网即可。表3.2学校网络终端分布专业机房台式PC机16台万博机房一台式PC机16台万博机房二台式PC机18台教室一2台（台式机1台、笔记本1台）教室二2台（台式机1台、笔记本1台）教室三台式PC机19台多媒体教室2台（台式机1台、笔记本1台）办公室10台（台式机5台、笔记本5台）校长室笔记本1台学生会办公室台式PC机2台咨询室1台式PC机1台咨询室2笔记本2

32、台前台台式PC机1台表3.2IP子网划分方案子网号IP网段默认网关说明CHJW192.168.1.0/25192.168.1.1（包括教室三清华万博六班、万博1机房等所有的教务场所）CHGW192.168.1.128/25192.168.1.129（包括校长室、办公室等所有办公场所）四、组网技术及产品选择（一）组网技术选择在校园网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。目前在局域网络上应用最广泛的技术有以太网、快速以太网、F

33、DDI、Token Ring以及最新崛起的ATM（异步传输模式）、千兆以太网等。交换式以太网作为几年前主干网组网的主要技术，现在主要被用于工作组级组网，使网络交换到桌面工作站。 快速以太网是一种非常成熟的组网技术，造价很低，性能价格比很高，可作为资金不很充裕的中小型单位组建Intranet网的首选技术。快速以太网技术现在被广泛用于大型企业网的二级、三级网络组网或直接连至桌面工作站。 FDDI也是一种成熟的组网技术，但技术复杂、造价高，FDDI网络难以向更先进的网络技术升级，现在用FDDI组建主干网的情况已非常少见。 ATM技术成熟而复杂，组网成本高，是多媒体应用系统的理想网络平台。但是，网络带

34、宽的实际利用率很低。 在选择校园校区网络技术时应该考虑如下：（1）长远来看如何保护现有投资。保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。从目前的趋势来看，采用快速以太网技术是最适宜的。（2）在校园网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择校园网网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。根据我们对校园网网络需求的分析并结合目前高速主干网络技术的特点，我公司建议采用快速以太网技术作为校园网

35、的主干网络。（二）网络产品选型 校区网络建设应该以应用为核心，在设计中充分考虑到教育管理和多媒体教学的要求，并且网络技术上应该具有一定的先进性，同时还要为以后的扩展留有一定的空间。为此校园校区网络应该能达到以下要求：1. 稳定可靠的网络只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。2. 高带宽由于校园校区网络应用的特殊性，它对整个网络系统的性能要求相对来说比较高。其中，网络速率要求主要的信息点100M交换到桌面，园区网中各终端间具有快速交换功能。

36、为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。3. 易扩展的网络系统要有可扩展性和可升级性。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。对于核心网络设备，要求骨干交换机具备第三层交换能力，要求支持今后的视频点播、电视电话会议的宽带多媒体应用，并要求留有一定的扩

37、充能力。4. QoS保证随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证QoS，以支持这类应用。5. 安全性网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。网络具有防止及便于捕杀病毒功能。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。校区网络与校园网相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统。可对接入因特网的各网络用户进行权限控制。6. 容易控制管理对于网络管理，要求采用智能化网络管理软件，实现对网络的自动监测和控制。并支持虚拟网络功能，对网络用户具有分类控制功能。7.

38、IP Multicast由于校园校区网络中包含许多多媒体应用通信，会存在许多的广播信息，占用大量的带宽资源。所以网络系统应能支持IP Multicast，可以减少网络中不必要的广播，节省主干的带宽。8. 符合IP发展趋势的网络在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如IpV6，IP QoS，IP Over SONET等等新兴的技术不断出现，校园网络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。（三）系统平台和应用系统1. 系统平台选择系统平台的建设主要包括：网络操作系统、桌面平台、数据库、防火墙等的选择。一般校园网络，

39、服务器系统平台可以选择微软WINDOWS2003 SERVER操作系统的解决方案，提供域名服务、WWW服务、FTP服务、Email服务等。具有强大的网络功能和可二次开发性。桌面操作系统比较可以选择XP和LINUX等平台。2. 采用WINDOWS2003 SERVER建立FTP服务器一般来说，用户联网的首要目的就是实现信息共享，文件传输是信息共享非常重要的一个内容之一。在校园内部信息交流是非常频繁，所以有必要在网络中使用WINdows2003 SERVER架设起一个FTP服务器。（四）软件应用在客户终端上还必须要安装些应用软件来保证和维护校园办公和教务的正常进行：1. 杀毒软件360安全卫士是国

40、内最受欢迎免费安全软件，它拥有查杀流行木马、清理恶评及系统插件，管理应用软件，卡巴斯基杀毒，系统实时保护，修复系统漏洞等数个强劲功能，同时还提供系统全面诊断，弹出插件免疫，清理使用痕迹以及系统还原等特定辅助功能，并且提供对系统的全面诊断报告，方便用户及时定位问题所在，真正为每一位用户提供全方位系统安全保护。2. 系统备份软件Norton Ghost是应用最广泛的克隆(复制)工具软件。它首先将已有的硬盘创建映像，随后将其自动克隆到任意数量的机器上。它可以在克隆过程中自动分区并格式化目的磁盘，而无需任何准备工作。可以说，Norton Ghost是安装、升级、维护计算机系统的最佳软件。3. 系统破密

41、Passware Kit 是世界著名的密码恢复工具合集，几乎可以破解当今所有文件的密码，功能强大，不论是遗忘的 Office、Windows、Zip、RAR压缩文件密码它都能帮您统统找回来！4. 办公软件office2003最流行的最实用的文字处理软件的最新版本经过多年的客户体验和反馈提供创新,您可以利用这些创新创建出外观给人留下深刻印象的文件。提高你的办事能力，为你的工作带来方便提高的办公效率5. 图形处理软件（适合于平面设计班）设计绘画 CorelDraw 是一个绘图与排版的软件，它广泛地应用于商标设计、标志制作、模型绘制、插图描画、排版及分色输出等诸多领域。作为一个强大的绘图软件，它被喜

42、爱的程度可用下面的事实说明：用作商业设计和美术设计的PC机几乎都安装了CorelDraw. CorelDraw是基于矢量图的软件色。它的功能可大致分为两大类：绘图与排版。CorelDraw界面设计有好，操作精微细致。它提供了设计者一整套的绘图工具包括圆形、矩形、多边形、方格、螺旋线，并配合塑形工具，对各种基本以做出更多的变化，如圆角矩形，弧、扇形、星形等。同时也提供了特殊笔刷，如压力笔、书写笔、喷洒器等，以便充分地利用电脑处理信息量大，随机控制能力高的特点。 五、校园网络安全接入（一）校园网络安全校园网络承担着整个校园的通讯枢纽功能，连接着所有的应用服务器和数据系统，任何网络安全问题都会扰乱学

43、校办公、教务的正常运转，给学校带来不可弥补的损失。目前在局域网中遇到的问题主要有以下几种：（1）IP地址的管理问题，包括IP地址非法使用、IP地址冲突和IP地址欺骗。利用ARP欺骗获取账号、密码、信息，甚至恶意篡改信息内容、嫁祸他人问题。（2）木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题。（3）攻击或病毒源机器的快速定位、隔离问题。（4）IP的地址管理一直是长期困扰局域网安全稳定运行的首要问题。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址，从而产生了IP地址非法使用问题。改动后的IP地址在局域网中运行时可能出现以下情况。（5）非法的IP地址即

44、IP地址不在规划的局域网范围内（6）重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网（7）冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害无论是有意或无意地使用非法IP地址都可能会给企业带来严重的后果，如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行，甚至导致网络的不稳定，从而影响业务；拥有被非法使用的IP地址所拥有的特权，威胁网络安全；利用欺骗性的IP地址进行网络攻击，如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式，一个IP地址欺骗

45、攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。为了防止非法使用IP地址，增强网络安全，最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址，从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问，同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址，然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表，不仅工作量繁重，而且也难以维护和管理。另一个显著的问题就是带有攻击特性的ARP欺骗。地址解析协议（ARP，Address Resolut

46、ion Protocol）最基本的功能是用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，并附上自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能，局域网段上的所有工作站收到主动ARP，会将发送者的MAC地址和其宣布的IP地址保存，覆盖以前的同一IP地址和对应的MAC地址。术语“ARP欺骗”或者说“ARP中毒”就是指利用主动ARP来误导通信数据传往一个恶意计算机的黑客技术，该计算机就能成为某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个ARP 应答包，让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，并可以通过工具破译账号、密码、信息，另一方面，还可以恶意更改数据包中的一些信息。同时，这种ARP欺骗又极具隐蔽性，攻击完成后再恢复现场，所以不易发觉、事后也难以追查，被攻击者往往对此一无所知。病毒入侵问题也是所有客户普遍关心的问题。这些病毒，可以在极短的时间