【校园网设计方案】.doc

《【校园网设计方案】.doc》由会员分享，可在线阅读，更多相关《【校园网设计方案】.doc（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全与管理项目报告书指导教师：罗彬项目名称 河北工业职业技术学院 姓 名： 陈兴 学 号： 01号 所在专业： 级计算机网络技术 所在班级： 12网络2班 成 绩: 摘 要校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应该把校园网理解为学校信息化、现代化的基础设施和教育生产

2、力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点，校园网必须有大量先进实用的应用软件来支撑，软硬件的充分结合是校园网发挥作用的前提。一个好的校园网，安全问题是至关重要的。随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人

3、试图获得某种好处或损害某些人的利益而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法，以最有效的措施来进行防范。 目 录第1章 绪 论1第2章 校园网络的需求分析及设计规则22.1 需求分析22.2 设计原则2第3章 网络规划设计33.1 现有网络状况33.2 网络规模33.3 信息点分布情况3第4章 网络系统设计44.1 系统需求44.1.1 IP地址划分44.1.2 服务组件的配置44.2 网络拓扑结构4第5章 网络安全与防护技术65.

4、1 计算机网络安全65.1.2 网络安全的目的和功能65.1.3 网络安全的潜在威胁65.2 数据加密技术75.2.1 基本概念75.3 防火墙技术75.3.1 防火墙的概念85.3.2 防火墙的作用和特性85.3.3 实现防火墙的主要技术85.3.4 防火墙的体系结构95.3.5 防火墙选择原则105.3.6 防火墙的配置105.4 网络病毒与防范115.4.1 网络病毒概述115.5 黑客入侵与防范125.5.1 IP欺骗攻击与防范125.5.2 端口扫描与防范135.5.3 网络监听与防范135.5.4 黑客攻击的一般步骤13第6章 网络设备选型14第7章 设备清单20第8章 接入技术2

5、1结 论22第1章 绪 论河北工院简介：河北工业职业技术学院是河北省示范性高等职业院校，国家100所示范性高职院校之一。随着互联网技术的迅猛发展，为适应社会的需求，满足教学的需要，工院在原有网络系统贫乏的基础上决定对校园网进行优化。网络是信息高速发展的纽带，它不但可以带给我们信息发展的前沿，还能够帮助我们查阅大量的信息，它所提供的信息资源几乎是无穷无尽的。网络作为一种研究工具的出现，极大的拓展了知识的获取范围，大大地降低了我们在每一项工作上所消耗的时间。校园网是网络技术应用于教育事业的一种体现，改善校园网不仅可以充分的提高教学质量，更能够让学生对学习产生兴趣，而且它也是管理、办公、信息交流和通

6、信等现代化的标志。因此，对于一个省试点学府来说，扩大校园网的规模，提高信息传输质量，增添新的设备，采用最新的技术，是事在必行的。第2章 校园网络的需求分析及设计规则2.1 需求分析 校园网首先是一个内部网，建网目的就是为了实现学校办公、教学和管理的信息化，因此应具备学校管理、教育教学资源共享、远程教学和交流等功能，同时还应接入Internet，以使校园网内用户能访问Internet。具体情况如下：校内有两座教学楼，一座实验楼，一座行政楼，四座大楼形成“十”字行。四座大楼之间是学校的操场，是上体育课的地方，也可供学生课下嬉戏放松。另外，单独设立DMZ区，DMZ区为30平米的小型地下室。本网络要求

7、上百台计算机同时与Internet连接时，通信畅通无阻，下载迅速。对于安全方面，要有绝对的保证，不可让本校的重要信息外泄，也要确保个别信息不能让不相关的学生或老师看到。由于本校预备明年新建学生宿舍，所以此网络要有可扩充性。现今社会，计算机技术发展迅速，因此，在技术上要有更新措施，这样在教学环境上才能不落后于其他院校，具有先进性。有了这样的校园网，教学环境才是真正的提高，教学质量也会更好。时尚生动的教学对于学生而言，学习起来也会产生兴趣，记忆会更加深刻，是快乐的教学方法。2.2 设计原则1、整体设计分步实施2、 稳定安全性3、 整合性4、可扩展性5、技术先进成熟性6、系统的易管理维护性7、可靠性

8、8、 系统的容错性第3章 网络规划设计3.1 现有网络状况网络建设尚处于起步阶段。并无已建成的完善的网络在运行。故并无已有的关于网络运行情况方面的资料可供参考。因此，有待进一步的开发建设。这便给我们兴建该校园的网络带来了极大的便利。我们可以充分运用当今主流的先进技术，来建设和规划该校园的网络，将该校园的网络进行全面，整体的整合。3.2 网络规模本网络是具有上百台计算机的小型局域网，内设有路由器、交换机、硬体防火墙等设备。整个校园网信主要信息点数量为720个（如需扩展网络，可随网络灵活性添加小型VLAN即可）。3.3 信息点分布情况表3.1 主要信息点分布 楼 楼层号 教室数目 信息点数（个）

9、1号教学楼 1，3，5 (主) 6*3 6*3*2+ 2号教学楼 16 (总) 6*6 6*6*2 3号教学楼 1,2,3,4,5 (主) 2*100 行政楼 1，2，3，4 8*4 8*4*5 DMS区 暂不统计第4章 网络系统设计4.1 系统需求为了使百台计算机同时与Internet连接时，网络畅通无阻，所以要求传输数率不小于2M。安全技术方面，设有硬体防火墙等安全措施。系统升级可采用无盘网络技术。4.1.1 IP地址划分1号教学楼共244个信息点，IP地址从192.168.1.1192.168.1.2442号教学楼共72个信息点，IP地址从192.168.2.1192.168.2.723

10、号教学楼共244个信息点，IP地址从192.168.3.1192.168.3.244行政楼共160个信息点，IP地址从192.168.4.1192.168.4.1604.1.2 服务组件的配置根据系统环境联线及设置各Server的IP；打开“控制面板 添加/删除程序 添加windows组件”；添加IIS、在“网络服务”添加DHCP、FTP、DNS；安装包提示在“d:softi386”目录 。4.2 网络拓扑结构第5章 网络安全与防护技术5.1 计算机网络安全计算机网络安全问题是一个错综复杂的问题，它涉及到系统故障以及有意无意的破坏等。为了确保计算机网络安全，需要采取物理措施、管理措施和技术等多

11、方面措施。计算机网络安全的保护对象主要是数据、资源（硬件资源和软件资源）和声誉（用户形象）。 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术及理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系

12、统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。5.1.2 网络安全的目的和功能1、网络安全的目的计算机网络安全就是研究如何保障计算机资源的安全，即计算机的系统资源和信息资源的安全。影响计算机网络安全的因素主要有以下几种：实体安全、运行安全、数据安全、软件安全和通信安全。 2、网络安全的功能和措施计算机网络安全问题是一个很复杂的问题，任何时候都不会有一劳永逸的解决措施。因为计算机的安全与反安全会一直地进行下去，故要使计算机网络具有较高安全性，需要将计算机系统的各种安全防护技术（如实体安全防护技术、防电磁辐射泄露技术、软硬件防护技术、防火墙技术、数据保密变换以及安全管理与法

13、律制裁等）结合使用，对计算机系统进行综合分层防护，从而提高计算机网络的整体防护水平。5.1.3 网络安全的潜在威胁安全威胁是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性使用所造成的危害。安全威胁可分为故意威胁和偶然威胁，所谓偶然威胁是指由偶然因素造成的威胁（如信息被发往错误的地址）。而故意威胁又可进一步分为被动威胁和主动威胁，被动威胁是只对信息进行监听（如搭线窃听），而不对其进行修改。主动威胁包括信息进行故意的修改（如改动某次金融会议中货币的数量）。1、 基本威胁信息安全的基本目标是实现信息的机密性、机密性、完整性、可用性以及资源的合法性使用。常见的4种基本威胁是：信息泄露、完

14、整性破坏、拒绝服务和非法使用。 2、主要的可实现威胁主要的可实现威胁可以分为渗入威胁和植入威胁。主要的渗入威胁有：假冒、旁路控制和授权侵犯。 主要的植入威胁有：特洛伊木马（Torjan Horse）和陷门。 3、潜在威胁通过对各种威胁进行分析，可以发现某些特定的威胁可以导致更基本的威胁发生，这些特定威胁称为潜在威胁。例如对于信息泄露这样的一种基本威胁，可以找出以下几种潜在的威胁：（1）窃听；（2）业务流分析；（3）人员疏忽；（4）媒体清理。 5.2 数据加密技术数据加密技术是实现安全服务的重要基础。它包括对称密码体系、非对称密码体系、信息认证、数字签名和密钥管理等方面内容。5.2.1 基本概念

15、密码学是认识密码变换本质，研究密码保密与破译的基本规律的学科。密码学分为密码编码学和密码分析学（也称密码破译学）两类。密码体制分为对称密码体制和非对称密码体制两类。对称密码体制就是加密和解密的两个密钥相同，或是两个密钥虽然不同，但可以从其中一个推出另一个。特点是算法公开，两个密钥保密。非对称密码体制（又称公钥密码体制）就是加密和解密所使用不同的密钥，并且两者不能相互推出。特点是算法公开，其中的一个密钥也可以公开。5.3 防火墙技术防火墙是设备在不同网络或网络安全域之间一系列部件的组合。防火墙可以分为硬件防火墙和软件防火墙两类。5.3.1 防火墙的概念“防火墙”是一种形象的说法, 其实它是一种由

16、计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。 所谓防火墙就是一个能把互联网与内部网隔开的屏障。5.3.2 防火墙的作用和特性1、防火墙的作用（1）防火墙能强化安全策略（防火墙是阻塞点）。（2）防火墙能有效的记录Internet上的活动。如作日志记录、有报警功能。（3）防火墙能限制暴露用户点，隐藏内部信息。（4）防火墙是一个安全策略的检查站。（5）防火墙有转换地址功能（IP地址）。2、防火墙的特性（1）所有内部对外部的通信都必须通过防火墙，反之亦然。（2）只有按安全策略所定义的授权，通信才允许通过。（3）

17、防火墙本身是抗入侵的 。（4）防火墙是网络的要塞点，是达到网络安全目的的有效手段，因此，尽可能将安全措施都集中在这一点上。（5）防火墙可以强制安全策略的实施。（6）防火墙不能防范恶意的内部知情者。（7）防火墙不能防范不通过它的连接。（8）防火墙不能防御所有的威胁。（9）防火墙不能防范和消除网络上的PC机的病毒。5.3.3 实现防火墙的主要技术1、数据包过滤技术数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等

18、因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。2、应用级网关(ApplicationLevelGateways);3、代理服务技术;5.3.4

19、 防火墙的体系结构防火墙的体系结构可分为简单结构和复杂结构。简单结构包括屏蔽路由器结构和双重宿主主机结构；复杂结构包括屏蔽主机体系结构（应用最多）和屏蔽子网体系结构。本网络选用屏蔽子网体系结构（见图5.3）特点：此类防火墙结构有两个屏蔽路由器和一个壁垒主机三部分构成。两个路由器运行包过滤技术，主要负责数据的过滤检查。壁垒主机运行代理服务技术，负责将合法数据转发出去。入侵者必须通过内外路由器、壁垒主机三道防线才能进入内部系统。既使壁垒主机被侵害，内部系统仍然是安全的。优点：安全性很高（三道防线、内部网对外部不可见）。缺点：结构复杂，造价高。Internet外部屏蔽路由器壁 垒 主 机 Intra

20、net内部屏蔽路由器防 包过滤技术 火 墙 代理服务技术 系 统 包过滤技术 内 网 图5.3 屏蔽子网体系结构5.3.5 防火墙选择原则1. 防火墙自身是否安全。2. 系统是否稳定。3. 防火墙是否高效。4. 防火墙类的访问控制设备是否可靠。5. 功能是否灵活。6. 配置是否方便。7. 管理是否简便。8. 是否可以抵抗拒绝服务攻击。9. 应考虑的特殊需求。10. 是否具有可扩展、可升级性。5.3.6 防火墙的配置有三种配置防火墙的方法：Web服务器位于防火墙内、防火墙外、防火墙上。校园网一般采用Web服务器位于防火墙外,安全起见本网采用一种内外兼顾的配置方式（见图5.4）。优点：内网安全，并

21、且便于外部人员队校内WEB服务器的访问。缺点：成本相对较高。 Web服务器和防火墙 图5.4防火墙的配置5.4 网络病毒与防范5.4.1 网络病毒概述简单地说，计算机病毒就是人为编写的、具有特定功能的程序。是一种在计算机系统运行过程中能把自身精确或有修改地复制到其他程序中并具有破坏性的程序或代码。病毒按破坏行为可分为良性病毒和恶性病毒；按病毒感染目标可分为引导型病毒（如Monkey 病毒）和文件型病毒（如CIH 病毒）。网络病毒的特点是传播速度快，传播方式多，清除难度大，破坏性强。防病毒系统设计原则：（1）整个系统的实施过程应保持流畅和平稳，做到尽量不影响既有网络系统的正常工作。（2）安装在原

22、有应用系统上的防毒产品必须保证其稳定性，不影响其它应用的功能。在安装过程中应尽量减少关闭和重新启动整个系统。（3）防病毒系统的管理层次与结构应尽量符合网络自身的管理结构。（4）防病毒系统的升级和部署功能应做到完全自动化，整个系统应具有每日更新的能力。（5）应做到能够对整个系统进行集中的管理和监控，并能集中生成日志报告与统计信息。 病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入，所以，校园网络最妥善的防病毒方案应当考虑解决客户端的防病毒问题。如果病毒在局域网内的所有客户端传播之前就被清除，网络管理员的工作量就减少了很多网关防毒。 网关防毒是对采用HTTP、FTP、SMTP协议进入

23、内部网络的文件进行病毒扫描和恶意代码过滤，从而实现对整个网络的病毒防范。5.5 黑客入侵与防范5.5.1 IP欺骗攻击与防范IP欺骗（IP Spoofing）是指入侵者伪造生成具有源地址的IP包，冒充被信任主机，与被攻击系统进行信任连接，从而获得某种利益。IP欺骗的原理：IP欺骗攻击是基于TCP/IP协议本身的缺陷（只关心数据是否发送和是否接收到，而对于是何种数据及数据内容无法检查）。攻击通常采用手段为SYN（同步序列号）湮没和TCP劫取。其中SYN湮没是向被信任主机发送大量SYN数据，使系统不能正常的通信，从而使其进入一种哑状态。这时，攻击者就冒充该系统劫取其与目标系统的TCP连接，利用彼此

24、间的信任关系，达到攻击的目的。IP欺骗的一般步骤：1、选定目标主机，探察信任模式；2、寻找网络踪迹；3、掩盖踪迹；4、使被信任主机丧失工作能力；5、序列号猜测；6、利用连接放置系统后门。IP欺骗的防范方法：1、抛弃基于IP大致的信任策略。2、进行包过滤。3、使用加密方法。4、使用随机化的初始序列号。5、通过对包的监控来检查IP欺骗。5.5.2 端口扫描与防范端口扫描是指攻击者向目标系统的各端口发送连接请求，根据目标系统各端口返回的信息（SYN/ACK确认信息或RST错误信息）能判断出哪些端口是打开的，哪些端口是关闭的，进而攻击目标系统。端口扫描的方法有很多种，可以手工扫描，也可以用端口扫描软件

25、进行扫描。工作原理：向目标系统各端口发送连接请求，若端口是打开的，就会返回SYN/ACK确认信息；若端口是关闭的，则返回RST错误信息。端口扫描的防范方法：1）只留下经常使用的端口，关闭其他端口。2）利用防端口扫描的工具（如：SATAN软件、ISS软件）。3）安装个人防火墙，并及时升级。5.5.3 网络监听与防范网络监听是指入侵者进入目标系统后，使用网络监听工具来窃取信息。它属于二级攻击手段。网络监听的防范：对数据加密、使用安全网络拓扑结构（将网络划分成小的子网，用交换机比较安全）。5.5.4 黑客攻击的一般步骤1、确定攻击目标；2、选用入侵方式；3、入侵。第6章 网络设备选型1、防火墙为了保

26、证网络的安全，在连接Internet的路由器端口处安置了一台CISCO PIX-515E硬件防火墙，用以防止外界对内部系统的攻击。在服务器内又安置了中国网软件防火墙，对整个网络系统安全进行监控，并可有效地阻挡从局域网内部对系统的攻击。品名：CISCO PIX-515E设备类型：百兆级防火墙并发连接数：12000网络吞吐量(MPPS)：188安全过滤带宽(MB)：100用户数量限制：无用户数量限制VPN支持：支持2、服务器本网络共用六台服务器，均用此类型。品名：方正 圆明 MT 100 1020 （Xeon 2.8GHZ 256MB*2 80GB*2）设备类型：部门级服务器处理器类型：Intel

27、 Xeon标准主频（MHZ）：2800最大处理器数量：2标准内存容量：256MB*2随机硬盘容量(GB):80GB*23、CISCO WS-C2950T-24图6.3 CISCO WS-C2950T-24交换机 产 品 性 能 指 标基本规格设备类型：快速以太网交换机 内存：16MB DRAM和8MB闪存交换方式：存储-转发 背板带宽（Gbps）：8.8包转发率：6.6Mpps VLAN支持：支持MAC地址表：8000网络网络标准：IEEE 802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE 802.3x全双工操作,IEEE 802.1D生成树协议,IEEE

28、802.1p CoS,IEEE 802.1Q VLAN,IEEE 802.3ab 1000BaseTX规范 ,IEEE 802.3u 100BaseTx规范,IEEE 802.3 10BaseTx规范传输速率(Mbps)：10/100/1000端口端口类型：10/100Base-T,10/100/1000Base-T 端口数：24模块化插槽数：2其它是否支持全双工：全双工 堆叠：可堆叠网管功能：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)电气规格额定电压（V）：100 to 127/200 to 240 VAC 额定功率（W）：30外观参数重量(Kg)

29、：3.0 长度(mm)：445宽度(mm)：242 高度(mm)：44环境参数工作温度（）：-5 45 工作湿度：10% - 95%工作高度（米）：3000 存储温度（）：-25 - 70存储湿度：10% - 95% 存储高度（米）：45004、CISCO WS-C3550-24-EMI图6.4 CISCO WS-C3550-24-EMI交换机产 品 性 能 指 标基本规格设备类型：快速以太网交换机 内存：32MB DRAM和8MB闪存交换方式：存储-转发 背板带宽（Gbps）：8.8包转发率：6.6Mpps VLAN支持：支持MAC地址表：8000网络网络标准：IEEE 802.1x,10B

30、aseT、100BaseTX和1000BastT端口上的IEEE,802.3x全双工,IEEE 802.1D生成树协议,IEEE 802.1p CoS优先级,IEEE 802.1Q VLAN,IEEE 802.3 10BaseT规范,IEEE 802.3u 100BaseTX规范,IEEE 802.3ab 1000BaseT规范,IEEE 802.3z 1000BaseX规范,1000BaseX（GBIC）传输速率(Mbps)：10/100/1000端口端口类型：1000BaseX，10/100/1000Base-T 端口数：24模块化插槽数：2其它是否支持全双工：全双工 堆叠：可堆叠网管功能

31、：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)电气规格额定电压（V）：220 额定功率（W）：190外观参数重量(Kg)：7.2 长度(mm)：445宽度(mm)：404 高度(mm)：67环境参数工作温度（）：0 50 工作湿度：10% - 85%工作高度（米）：3000 存储温度（）：-20 - 65存储湿度：5% - 90% 存储高度（米）：45005、CISCO WS-C3550-24-SMI图6.5 CISCO WS-C3550-24-SMI交换机 产 品 性 能 指 标基本规格设备类型：快速以太网交换机 内存： 32MB DRAM和8MB闪

32、存交换方式：存储-转发 背板带宽（Gbps）：8.8包转发率：6.6Mpps VLAN支持：支持MAC地址表：8000网络网络标准：IEEE 802.1x,10BaseT、100BaseTX和1000BastT端口上的IEEE,802.3x全双工,IEEE 802.1D生成树协议,IEEE 802.1p CoS优先级,IEEE 802.1Q VLAN,IEEE 802.3 10BaseT规范,IEEE 802.3u 100BaseTX规范,IEEE 802.3ab 1000BaseT规范,IEEE 802.3z 1000BaseX规范,1000BaseX（GBIC）传输速率(Mbps)：10/

33、100/1000端口端口类型：1000BaseX，10/100Base-T 端口数：24模块化插槽数：2其它是否支持全双工：全双工 堆叠：可堆叠网管功能：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)电气规格额定电压（V）：220 额定功率（W）：190外观参数重量(Kg)：5 长度(mm)：445宽度(mm)：366 高度(mm)：44.5环境参数工作温度（）：0 45 工作湿度：10% - 85%工作高度（米）：3049 存储温度（）：-25 - 70存储湿度：5% - 90% 存储高度（米）：45736、CISCO 7204VXR图6.6 CISC

34、O 7204VXR路由器 产 品 参 数 详 细 信 息基本规格DRAM内存 (MB)：512 Flash内存 (MB)：512 设备类型：模块化路由器 处理器：225、263或350MHz（MIPS RISC） 端口固定的广域网接口：可选广域接口WIC卡 固定的局域网接口：10/100Base-T/TX 支持扩展模块数：4 控制端口：RS-232 网络支持网络协议：IEEE 802.3，ISDN；加密标准AH（MD5），ESP（Null，DES，3DES，ARC4，proprietary fast encoding，+MD5/HMAC，-MD5）；PPP （PAP，CHAP，LCP，IPCP

35、，MLPPP）； 支持的网管协议：Cisco ClickStart，SNMP 其它是否内置防火墙：是 是否支持VPN：是 是否支持Qos：是 电气规格电源电压 (V)：100-240 电源功率 (W)：150 外观特征重量 (kg)：22.7 长度 (mm)：431 宽度 (mm)：426 高度 (mm)：133 环境条件工作温度 ()：0 - 40 工作湿度：10% - 90% 存储温度 ()：-20 - 65 存储湿度：10% - 90% 第7章 设备清单 表7.1 部分设备清单序号 名称 型号 数目 单位 1 防火墙 CISCO PIX-515E 1 台 2 路由器 CISCO 7204

36、VXR 1 台 3 核心交换机 CISCO WS-C3550-24-EMI 1 台 4 汇聚交换机 CISCO WS-C3550-24-SMI 5 台 5 接入式交换机 CISCO WS-C2950T-24 35 台 6 服务器 方正 圆明 MT 100 1020 6 台（Xeon 2.8GHZ256MB*2 80GB*2）第8章 接入技术如果校园网不能和Internet连接的话，就不能是一个完整的网络，也不能充分利用Internet网上的大量信息资源。因此校园网和Internet的连接技术就显得十分重要了，它关系到校园网与外部网络能否进行可靠的连接。当前适合校园网与Internet的宽带连接

37、方式主要有ADSL和光纤专线接入。ADSL是一种非对称的宽带网络数据传输技术，它的一个明显优势是经济上实用。ADSL宽带线路通过ADSL Modem接入Internet代理服务器的网卡上的，不过ADSL专线的接入是用传统的模拟电话双绞线线路布线不很规范，线路质量不够好，达不到高速传输的要求，目前它只用在一些中小型网络。光纤接入是一种在校园网建设中普遍使用的一种技术，它是通过构建专用的Internet服务器来实现的，在服务器上运行各种网络服务软件，为校园内部的用户提供Internet的接入服务。光纤接入的优点是可提供比较高的网络带宽和稳定性，但它的连接较为复杂。综合上面所述，因此本校园网采用光线

38、接入技术。结 论网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说：“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。因此，可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度。衷心希望在不久的将来，我国信息安全工作能跟随信息化发展，上一个新台阶。因此，在不浪费资源的基础上，基本完成了任务，在校园网络的安全方面为学校节省了很多资金，核心部分用非常好的设备，但在相对不重要的部分选用了可以进一步可优化设备，针对校园网络安全中容易出现2的问题进行了强调。但是，限于时间有限，没能完全完成当初的预想，只是初步规划了河北校园网的比较有效节省的方案。