Internet接入方案及網絡組建一例網絡工程專業(yè)

《Internet接入方案及網絡組建一例網絡工程專業(yè)》由會員分享，可在線閱讀，更多相關《Internet接入方案及網絡組建一例網絡工程專業(yè)（41頁珍藏版）》請在裝配圖網上搜索。

1、 XXXX大學大學Internet接入方案及網絡組建一例接入方案及網絡組建一例摘要近幾年來，全國的校園網迅速發(fā)展，用校園網來進行教學、辦公，不僅有利于提高教學，辦公的效率，還可以從互連網上取得大量的相關資料，節(jié)省大量的時間和精力。XX 大學大力發(fā)展基礎建設，進行教學樓、宿舍樓和辦公樓的擴建；大量的擴招學生，網絡應用與需求急劇增加，從而引發(fā)了網絡計費與網絡安全等相關問題，這就使得現(xiàn)有校園網絡必須進行相應的擴容。本文詳細地闡述了校園網的產生、發(fā)展，并對XX 大學目前的狀況進行適當的調查，提出了一系列建設校園網的解決方案，主要工作如下：1. 介紹我國校園網的產生、發(fā)展，校園網建設的目的和普遍面臨的問

2、題。2. 通過對 XX 大學的相關調查，闡述了 XX 大學網絡應用特點和應用需求分析，以及網絡產品如何滿足校園網用戶的多方面需求。3. 針對 XX 大學的需求提出了整體的解決方案。怎樣利用網絡設備，進一步發(fā)揮各種設備的功能，實現(xiàn)學校各項業(yè)務系統(tǒng)的集成，提高應用水平將是學校校園網建設的一個工作重點。4. 針對如何保障校園網的安全，提出了 XX 大學校園網安全解決方案。關鍵字：關鍵字：交換機;路由器;防火墻;綜合布線;網絡安全 AINSTANCE OF INTERNET ACCESSION ANDNETWORK CONSTRUCTION FOR THE CHANGSHA UNIVERSITYABS

3、TRACT In recent years, campus network of the whole country is developed rapidly. Carrying on teaching in campus network and handling official business not only help to improve the efficiency of teaching and handling official business, but also obtain a large amount of relevant materials from Interne

4、t , saving a large amount of time and energy. Chang sha University now develops capital construction in a more cost-effective manner, carries on the enlargement of the teaching building, dormitory building and office building. Expanding and recruiting a large number of students increase our networks

5、 application and demand sharply. Thus this caused the question on the networks charge and correlation with online security, etc. It suggests the existing campus network given correspondingly expansion. This paper has explained the production and development of campus network in detail, by carrying o

6、n the proper investigation to the present status of Chang sha University, and had put forward a series of solutions of building campus network. The groundwork is as follows: 1. Introduce the production and development of campus network of our country, the purpose of campus network construction and p

7、roblems that we are generally face to. 2. Based on the relevant correct investigation of Chang sha University, explain the network application characteristic of Chang sha University and use the demand to analyze how the networking products meet campus network users demands in many aspects. 3. Propos

8、e the whole solution to the demand of Chang sha University. How to utilize network equipment, give play to the different equipment function ulteriorly, and carry out a school various integrations of business systems will be focal points of the work of campus network construction of the school to imp

9、rove the application level. 4. Aiming at how to guarantee the safety of campus network, propose the safe solution of campus network of Chang sha University. Key words: :Exchanger; Router; Fire wall; Integrated wiring; Network security 目 錄第一章 緒論- - - - -11.1 校園網建設背景 -11.2 校園網升級建設的原則- -1第二章 XX 學院網改網絡設

10、計方案-3 2.1 拓撲圖-32.2 核心層-62.3 匯聚層-72.4 接入層-72.5 路由器 -82.6 防火墻 -10第三章 XX 學院網絡布線方案-123.1 布線要求-123.2 結構化布線系統(tǒng)設計說明-133.2.1 工作區(qū)子系統(tǒng)-143.2.2 水平子系統(tǒng)-173.2.3 設備間子系統(tǒng)設計說明-183.2.4 管理子系統(tǒng)功能-183.2.5 設備間子系統(tǒng)功能-20 3.2.6 建筑群子系統(tǒng)設計說明-22第四章 校園網的 IP 規(guī)劃及路由設計-234.1 地址編制原則-234.2 IP 地址編制方法-234.3 XX 學院 IP 地址規(guī)劃-24第五章 校園網綜合管理方案-27 5

11、.1 校園網用戶管理計費需求分析-275.2 基于網絡設備的安全措施-28 5.3 網絡監(jiān)控軟件技術需求-29第六章 網絡信息平臺的建設-316.1 網絡服務器的選擇標準-316.2 服務器的選型 -32第七章 總結-34參考文獻-35致謝-36- 第 頁 共 36 頁1第一章 緒論1.11.1 校園網建設背景 根據國家的教育信息化的發(fā)展規(guī)劃，結合本校教育的發(fā)展需要，建設一個以現(xiàn)代網絡技術為依托，技術先進、擴展性強、適應我國國情的網絡教學、自動化辦公管理的信息基礎設施。本校園網方案設計，本著“萬兆骨干，千兆備份、百兆到桌面”的原則。校園網采用萬兆雙核心，物理上覆蓋學校辦公樓、綜合樓、教學樓、體

12、育館及教工宿舍、學生宿舍等建筑物，萬兆的骨干網為將來網絡的擴展和用戶的增加奠定了基礎，也為校園網的信息化建設提供了有力的支持；千兆備份，可以使網絡核心設備和服務器之間互相備份；百兆到桌面，使學校所有部門的網絡和計算機都能方便地連接到網絡；采用先進、成熟的網絡技術，高質量的網絡設備，構建一個先進的、易擴充的、高度穩(wěn)定的校園網絡平臺。校園網通過光纖接入 Internet，校園網用戶能便捷的使用 Internet 上的資源。校園網應設計有效的網絡安全整體方案，既能抵御外界黑客的攻擊和病毒的侵蝕，又能防止來自網絡內部的破壞。網絡管理方面需要采用一個可靠、便捷、功能強大的網絡管理系統(tǒng)來充分有效的進行統(tǒng)一

13、管理。1.2 校園網升級建設的原則（1）先進性：借鑒國內外目前流行的主流網絡體系結構和網絡運行系統(tǒng)，采用最新的組網技術，以保持網絡系統(tǒng)的先進性。并在系統(tǒng)建成后較長的一段時間內，能滿足需求增長的要求，今后在更新的技術開始應用的時候，能便利地進行升級。（2）標準化：系統(tǒng)設計過程中充分依照國際上的規(guī)范和標準，網絡產品要符合國際標準，支持多種標準的通訊協(xié)議、傳輸方式及接口標準。（3）可靠性：在設計方案充分體現(xiàn)技術先進性的同時，還要能保證技術的成熟性，同時所選用的網絡設備應具有較高的可靠性。（4）高性能：該網絡系統(tǒng)要為多種業(yè)務服務提供有效的網絡支持，因此，必須能夠提供核心交換機具有高性能、高帶寬的特性，

14、整網的核心交換機要求能夠提供無瓶頸的數據交換。- 第 頁 共 36 頁2（5）可管理性：隨著系統(tǒng)的投入運行和系統(tǒng)資源的不斷增加，網絡系統(tǒng)應有很好的可管理性，可維護性，使管理人員易于維護，減少不必要的額外勞動，從而提高工作效率。（6）實用性：所設計的系統(tǒng)應具有很強的實用性，可以滿足不同信息服務的實際需要，具有很高的性能價格比，能為多種應用系統(tǒng)提供強有力的支持平臺。（7）安全可靠性：需要建立完善的網絡安全體系，提供多種方式和層次的訪問控制安全機制，可進行端到端的安全性控制，保護網絡系統(tǒng)數據安全。（8）可增值性：校園網的建設、使用和維護需要投入大量的人力、物力，因此要充分考慮業(yè)務的擴展能力，能針對不

15、同的用戶需求提供豐富的寬帶增值業(yè)務，使網絡具有自我造血機制，實現(xiàn)以網養(yǎng)網。- 第 頁 共 36 頁3第二章 XX 學院網改網絡設計方案XX 學院校園核心層解決方案總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網管系統(tǒng)及可靠組播為原則，以及考慮到技術的先進性、成熟性，并采用模塊化的設計方法1。組網圖如 2-1 節(jié)所示：2.1 拓撲圖：XX 大學校園網總拓撲圖： 匯聚層交換機萬兆光纖東區(qū)西區(qū)南區(qū)北區(qū)藝術樓核心層交換機INTERNETCERNET內部服務器內部服務器防火墻Quidway S6506Quidway S6506QuidwayS5624FQuidwayS5624FQ

16、uidwayS5624FQuidwayS5624FQuidwayS5624FQuidway NE20博華網龍YG-FWS-S30外部服務器外部服務器 總拓撲圖千兆雙絞線圖 2-1 校園總拓撲圖 如圖將 XX 學院以科技樓為中心共分為五個區(qū)，分別為：東區(qū)、南區(qū)、西區(qū)、北區(qū)和藝術樓區(qū)，各分區(qū)網絡圖如下：- 第 頁 共 36 頁4 匯聚層交換機接入層交換機千兆雙絞線QuidwayS5624FQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SI東區(qū)女九棟共計30個信息點教師宿舍3、4共

17、計126個信息點圖書館共計68個信息點車庫樓共計30個信息點男十棟共計64個信息點實驗樓共計68個信息點圖 2-2 校園東區(qū)拓撲圖 匯聚層交換機接入層交換機千兆雙絞線QuidwayS5624FQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SI南區(qū)寧靜樓共計30個信息點辦公樓共計110個信息點教師宿舍1、2棟共計54個信息點女七、八棟共計66個信息點圖 2-3 校園南區(qū)拓撲圖- 第 頁 共 36 頁5 洪三、國策樓共計107個信息點匯聚層交換機接入層交換機千兆雙絞線QuidwayS5624FQuidway S3

18、026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SI西區(qū)女五、六棟共計84個信息點教師宿舍5、6共計96個信息點洪一、二棟共計58個信息點洪五棟共計42個信息點圖 2-4 校園西區(qū)拓撲圖 新教學樓共計123個信息點匯聚層交換機接入層交換機千兆雙絞線Quidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidwayS5624F北區(qū)維智園區(qū)共計180個信息點匯澤園、新體育館共計1068個信息點科技樓共計160個信息點圖

19、 2-5 校園北區(qū)拓撲圖- 第 頁 共 36 頁6 匯聚層交換機接入層交換機千兆雙絞線QuidwayS5624FQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SIQuidway S3026C-SI藝術樓區(qū)藝術樓共計169個信息點學生宿舍一共計200信息點學生宿舍二共計200個信息點學生宿舍三共計200個信息點圖 2-6 藝術樓區(qū)拓撲圖2.2 核心層：本次方案用兩臺萬兆核心交換機作為校園網的核心層，使用萬兆互連雙核心結構，使網絡核心設備不但可以互相備份，而且有效的減輕流量負荷，使設備時刻保持穩(wěn)定和高效，因此采用華為 3COM 公司的 Quidw

20、ay S6506 萬兆交換機作為校區(qū)核心設備。兩個萬兆交換機通過 1G 鏈路捆綁相連。QuidwayS6506 能夠為城域網、園區(qū)網、數據中心提供超高速鏈路，打造低成本、高性能、具有豐富業(yè)務支持能力的高性能網絡。QuidwayS6506 提供大容量、高密度、模塊化的二、三層線速轉發(fā)性能，128Gbps 的背板帶寬，可升級至 1638G，包轉發(fā)率達到 432Mpps，同時具有豐富的業(yè)務功能、強大的 QoS 保障、完善的安全管理機制和電信級的高可靠設計，完全滿足行業(yè)客戶和運營商用戶對多業(yè)務、高可靠、大容量、模塊化的需求。2.3 匯聚層：- 第 頁 共 36 頁7本次組網中，在匯聚層交換機的選擇上，

21、我們全部采用全千兆光纖交換機，此千兆光纖交換機可擴展為萬兆的光纖交換機，因此選用華為的 QuidwayS5624F，系統(tǒng)采用華為-3COM 公司創(chuàng)新的 IRF（Intelligent Resilient Framework，智能彈性架構)技術，支持高達 96G 的堆疊帶寬和高密度千兆端口，支持萬兆上行。特別適合作為需要高帶寬、高性能和高擴展性的大型企業(yè)網絡和校園網的匯聚層以及數據中心的服務器接入設備。以太網交換機主機(PSL130-AD（130W 系統(tǒng)輸出電源模塊）交流輸入或者直流輸入), 后面板提供兩個固定的堆疊接口和一個擴展模塊插槽，擴展模塊可選配 8 端口千兆 SFP 模塊、1 端口萬兆

22、模塊或 2 端口萬兆模塊。前面板提供 24 個千兆 SFP 接口和4 個 como 的 10/100/1000Base-T 自協(xié)商以太網端口（RJ-45 連接器）4 端口千兆以太網多模光接口模塊（850nm，LC） 。是非常理想的高帶寬、高性能和高擴展性的大型園區(qū)網的匯聚層設備。2.4 接入層: 接入層交換機我們必須要考慮到學校以下的幾點實際情況： 第一，在網絡接入層，網絡設備需要支持基于 MAC 地址 IEEE802.1X 功能和基于端口 IEEE802.1X 功能，以此保證賬號的惟一性；此外還要求適應大量用戶并發(fā)認證及復雜的工作環(huán)境等。第二，能夠有效解決用戶盜用問題。學院明確提出要做到計費

23、系統(tǒng)能夠綁定用戶名字、IP 地址、MAC 地址和交換機端口，以有效防止盜用現(xiàn)象。第三，能夠解決用戶惡意篡改 IP 的現(xiàn)象。本科生宿舍網經常存在一些學生利用宿舍網隨意篡改自己的 IP，學校要求必須解決這一 IP 惡意篡改的現(xiàn)象因此我們采用 Quidway S3000 SI 系列快速以太網交換機為二層線速智能型可網管的盒式以太網交換機產品，使用華為-3Com 公司網絡產品通用的 VRP（通用路由平臺）網絡操作系統(tǒng)，提供完善的線速流量交換、VLAN 控制等機制，提供完備的業(yè)務控制和用戶管理能力，可用于大型企業(yè)網絡的桌面設備，或中小企業(yè)的二層匯聚交換機，也可用于以太網寬帶接入應用環(huán)境，是寬帶城域網小區(qū)

24、匯聚/接入的理想產品。這款交換機提供 12.8Gbps 的總線帶寬，為交換機所有的端口提供二層線速交換能力，包轉發(fā)率達到 6.55Mpps，而且這款交換機可以在用戶接入網絡時完成必要的身份認證，同時動態(tài)的配置 VLAN，有效的控制用戶訪問網絡資源。并且支持端口限速功能，可以最大 16 級的帶寬控制粒度進行端口帶寬分配，控制用戶的接入速率，防止惡意侵占網絡- 第 頁 共 36 頁8帶寬，能提供 128 個 802.1Q VLAN，支持 MAC 地址和端口綁定，廣播風暴抑制和端口鎖定功能，保證接入用戶的合法性。S3026CSI 交換機提供良好的堆疊功能，最大堆疊 16 臺設備，同時支持不同設備的混

25、合堆疊，從而保證了網絡的平滑升級并能降低擴建成本。 靈活的擴展能力和遠程維護2.5 路由器：根據校園網實際使用情況我們對出口路由器的應用分為三類2：1、對外業(yè)務需要支持策略路由，充分利用多出口資源，合理的分配外出流量，節(jié)約網絡使用費用需要支持 BGP4，IS-IS 等路由協(xié)議，實現(xiàn)廣域網連接需要支持廣域網接口，如 2.5G 的 POS 接口需要支持 IPv6，實現(xiàn)和 CERNET2 骨干的對接2、對內業(yè)務提供 NAT 服務提供大容量的千兆接入服務提供 MPLS VPN 業(yè)務3、管理支持支持流量統(tǒng)計和分析支持對震蕩波、DDOS 等病毒和攻擊的防范支持完善的 QoS 算法，有效管理網絡業(yè)務考慮到

26、XX 學院的網絡規(guī)模，采用 GSR 級別的路由器是合適的選擇。本次組網采用 Quidway NE20 作為出口路由器。NE20 是采用 NP 技術的第五代核心骨干路由器，融合核心路由器強大的 IP 業(yè)務處理能力和三層交換機低成本以太交換能力，可提供更豐富的業(yè)務、更靈活的組網和更理想的性價比。NE20 是 IP 網絡向寬帶化、安全化、業(yè)務化發(fā)展的重要保證。其特點如下：第五代路由器 NE20 不同于以往采用 CPU 軟件轉發(fā)的同類型路由器產品，采用了業(yè)界高性能網絡處理器技術實現(xiàn)高速接口包文的集中轉發(fā)，有機地結合了軟件的靈活性和硬件的高性能，提供線速轉發(fā)性能，性能可達 4.5Mpps。NE20 采用

27、高速接口轉發(fā)與控制平面分離的技術，高速接口的轉發(fā)引擎使用了高性- 第 頁 共 36 頁9能網絡處理器，提高了設備的轉發(fā)性能、控制能力、可靠性和安全性。高品質 QOS 能力：完善的 QoS 機制、出色的 QOS 性能，確保路由器在重載情況下的不同業(yè)務的服務質量，可以提供基于 DiffServ 的完善 QoS 機制。支持復雜流分類，支持精確的流量監(jiān)管和流量整形；提供隊列調度和擁塞避免功能，支持CBQ、LLS/NLS、PBS 等先進調度技術，采用 WRED 和先進的 SA-RED 算法，RED支持 8 個等級的丟棄優(yōu)先級。精確保證不同業(yè)務的帶寬、時延和抖動指標，滿足用戶多種業(yè)務等級的“區(qū)分服務”要求

28、。高可靠性：采用高可靠的模塊化設計方式，所有板卡、風扇、電源模塊支持熱插拔；提供互為冗余備份的雙電源（11 備份）模塊，無源背板的設計方式；提供軟件熱補丁技術，實現(xiàn)設備完全平滑升級；整機實現(xiàn) 7x24 小時的不間斷運行。強大的 MPLS 處理能力：支持 MPLS VPN，支持 MPLS TE，提供高品質、安全和多層次的 MPLS VPN 解決方案，可以作為高性價比 MPLS PE 設備使用。業(yè)務能力: 軟件系統(tǒng)基于擁有自主知識產權的 VRP 軟件平臺，支持多種方式VPN（L2TP、GRE、MPLS VPN 等） ，具備功能豐富的 NAT 功能，提供以太網/VLAN、PPP/MP、PPPoE、F

29、rame Relay、HDLC、ATM、X.25、HDLC 和 LAPB 等豐富的互聯(lián)功能，支持備份中心，并提供對語音、組播等業(yè)務的支持。路由處理能力：支持 RIP、OSPF、BGP、IS-IS 等單播路由協(xié)議和IGMP、PIM、MBGP、MSDP 等多播路由協(xié)議，支持路由策略以及策略路由。IPv6 路由能力：全面支持 IPv4 和 IPv6 雙協(xié)議棧，實現(xiàn)硬件 IPv6 轉發(fā)，提供豐富的 IPV6 協(xié)議。支持多種 IPv4 向 IPv6 的過渡技術：手工配置隧道、自動配置隧道、6to4 隧道、GRE 隧道、實現(xiàn) NAT-PT 等；支持 IPv6 靜態(tài)路由，支持BGP4/BGP4+、RIPng

30、、OSPF3、ISISv6 等動態(tài)路由協(xié)議；支持 ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB 等可維護性：支持自動的故障診斷功能。通過運行在 PC 機上的故障診斷軟件，能夠方便地協(xié)助工程師快速準確定位系統(tǒng)故障。2.6 防火墻：目前網絡中流行的病毒很多，但是其主要采用的攻擊手段和原理我們都已掌握。- 第 頁 共 36 頁10因此，針對其特性，我們只需在設備上做相應的配置即可有效的抵制病毒，并且降低病毒造成的損失。以下是常見病毒攻擊的防范措施3：表表2-12-1 病毒攻擊方式及防護策略病毒攻擊方式及防護策略攻擊方式安全交換機防護策略防護結果ARP 攻擊VLAN 隔離

31、用戶，每用戶一個VLAN2、限制單位時間內某用戶的 ARP 報文數目，以及 ARP 報文總流量控制住整個二次網絡中的 ARP風暴；同時保證網絡設備本身正常運轉。ICMP 攻擊和網絡流量攻擊限制單位時間內某用戶訪問其他用戶的次數，以及某用戶同時訪問其他用戶的個數限制每用戶帶寬抑止了蠕蟲的攻擊速度；同時保證非感染用戶的正常上網。DDOSSyn flood 攻擊對用戶源 IP 地址、MAC 地址進行嚴格匹配，凡是不匹配的，丟棄報文丟棄了大量的非法攻擊報文，基本消除了 DDOS 對網絡的攻擊。蠕蟲在主機中傳播提供 ACL 進行臨時保護，禁止蠕蟲傳播使用的所有 RPC 端口控制住蠕蟲的蔓延，提供充足的時

32、間讓網絡中的客戶進行殺毒、修復；等攻擊隱患基本消除后，再開啟對應的 RPC 端口?？蛻舨恢廊湎x情況提供強制 Portal 業(yè)務，無論是 WEB認證、PPPoE 認證、802.1x 認證，在用戶上線后都能夠提供蠕蟲病毒發(fā)作情況和殺毒、補丁程序或者鏈接。非感染用戶可以簡單、迅速地下載安裝補?。桓腥居脩粢矔M快了解清除方法、下載安裝殺毒、補丁方案。 從而有效地加快蠕蟲消滅的速度。因此在 XX 學院網絡的“咽喉”地帶安裝博華網龍防火墻，使防火墻成為控制校園訪問 Internet 的唯一通道，它能夠確保整個校園的網絡安全。博華網龍 YG-FWS-S 的WAN 口接入寬帶，LAN 口連接代理服務器并設置

33、為內網網關。內部局域網設置無須改變，這樣所有的工作站和客戶機不需更改設置即完成了整個網絡的安全改造；利用防火墻的靜態(tài) NAT 功能，將 Web 服務器的私有 IP 地址映射為公網 IP 地址。防火墻規(guī)則的設定：只允許內網到 Internet 的 WWW、FTP、SMTP、POP3 等服務端口開放，外網無法訪問到內網。同時我們將 WEB 服務器放在 SSN 區(qū)，將公共服務器與內網隔離，只允許 Internet 的 www 訪問到 SSN 區(qū)的服務器，從而保護 XX 學院網絡的安全運行。以下是博華網龍 YG-FWS-S30 防火墻基本功能：面向對象的管理 提供靈活的訪問控制能力(如基于地址、協(xié)議、

34、端口、用戶、流量的訪問控制)， 支持各種應用和各類協(xié)議 - 第 頁 共 36 頁11基于時間的訪問控制 應用級透明代理安全： URL 阻斷及 HTTP、 FTP、 SMTP、POP3、 NNTP 的協(xié)議命令 動態(tài) NAT 和靜態(tài) NAT 功能及地址轉換池 防止控制區(qū)域間的 lP 欺騙 支持對公開服務器的安全保護 一次性口令認證機制 用戶修改口令 用戶級權限控制 抗 DOS 攻擊 提供流星控制功能 防火墻日志、審計、計費 提供對防火墻配置規(guī)則的測試功能 Web 方式的管理與配置 即時網絡流量圖帶路由配置支持多種工作模式。路由模式，透明模式，混合模式（路由與透明兩種模式同時工作）完整的協(xié)議兼容性

35、虛擬私有網，建立安全通道 支持其它安全產品的聯(lián)動；能夠與第三方安全產品進行很好的聯(lián)動，尤其是與IDS 的聯(lián)動。第三章 XX 學院網絡布線方案 - 第 頁 共 36 頁12智能型建筑的首要條件是具有一套結構化的、靈活性極高的綜合布線網絡，能夠長遠的滿足使用者不斷變化的需求，并將用戶長期營運、維護、變更、網絡升級的費用降至最低4。要想建立一個高效的信息網絡，必須有一套完整的高品質網絡布線系統(tǒng)，采用傳統(tǒng)布線方式將難以滿足以上要求，因此 XX 學院網絡布線工程建設的建設原則是三年以內的新建建筑物或者建筑物內的網絡布線系統(tǒng)符合條件的可以不改造，老建筑物及不合理的建筑內布線系統(tǒng)必須進行改造。那么不符合條件

36、的有以下建筑物：洪山公寓三棟、男十棟、女七棟、女八棟、實驗樓其余的建筑物的樓內布線系統(tǒng)可以使用其原用的系統(tǒng)。我們對整個學校的布線系統(tǒng)采用 TCL 綜合布線系統(tǒng)，其主要優(yōu)點5有：（1） 兼容性：TCL Cabling System 是一套全開放式的布線系統(tǒng)，它具有全系列的適配器，可以將不同廠商網絡設備及不同傳輸介質的主機系統(tǒng)全部轉換成同一非屏蔽雙絞線(UTP)，通過雙絞線可傳輸話音、數據、圖像、視頻信號及巡更系統(tǒng)信號等等；采用多模及單模光纖可遠程高速傳輸數據及高清晰度圖象信號，可支持目前所有數據及話音設備廠商的網絡系統(tǒng)。（2） 靈活性：由于所有信息系統(tǒng)采用相同的傳輸介質，物理結構采用星形布線方式

37、，因此所有信息通道是通用的，每條信息通道可支持電話、傳真、多用戶終端、10Base-T 工作站、令牌環(huán)站及 HP9000 系列，SUN sparc 及 enterprise 系列，DECAlpha，IBM AS400e，RS6000，ES9000 主機及 100Base-T，155Mbs 及 622Mbs ATM 甚至1000Base-T 及 1000Base-T X 應用。所有設備的開通及更改均不需改變系統(tǒng)布線，只需增減相應的網絡設備及做必要的跳線管理即可；系統(tǒng)組網也可靈活多樣，甚至在同一房間內可以多用戶終端、100Base-T 工作站、令牌環(huán)并存，各部門即可獨立組網又可方便地互連，為合理組

38、織信息流提供了必要條件。TCL 不僅可以滿足當前信息傳輸的需求，而且可以適應將來的網絡結構的更改或設備的擴充。（3）可靠性：TCL Cabling System 系統(tǒng)采用高品質的標準材料，并采用組合壓接方式構成一套高標準信息通道，所有器件均通過第三方標準認證，每條信息通道都要采用專用測試儀- 第 頁 共 36 頁13器校核線路阻抗及衰減率以保證其電氣性能，布線系統(tǒng)全部采用物理星形拓撲結構，點到點端接，任何一條線路故障均不影響其它線路的運行；同時為線路的運行維護及故障檢修提供了極大的方便，從而保障了網絡系統(tǒng)可靠運行。各系統(tǒng)采用相同傳輸介質，因而可互為備用，提高了備用冗余。TCL 更提供十五年的產

39、品鏈路質量保證。 （4）先進性：TCL Cabling System 采用極富彈性的布線概念，采用光纖與雙絞線(UTP)混合方式，極為合理地構成一套完整的布線系統(tǒng)。所有布線設計均采用世界最新通訊標準，所有信息通道均按國際布線標準采用八芯配置，PC101004 超五類、PC201004 六類雙絞線最大帶寬可達到 622Mbps 及 1.2Gbps，對于重要部門可支持光纖到桌面(FTTD)的應用，為將來的發(fā)展提供了足夠的容量。通過主干通道可同時傳輸多路實時多媒體信息，同時物理星形方式為將來發(fā)展交換式網絡奠定了堅實基礎。TCL 國際電工的承諾是一次布線，十年不落后。（5）安全性“防塵裝置”避免信息點

40、意外損傷及因灰塵而產生信息傳輸障礙。（6）易于管理TCL 借助于不同顏色的跳接線和配線架的端口標識，系統(tǒng)管理人員能方便地進行系統(tǒng)的線路管理。3.1 布線要求根據 XX 學院的詳細校園圖和實地踏勘，綜合布線系統(tǒng)室內部分為洪山公寓 1 棟、2 棟、3 棟、5 棟、女生 5 棟、5 棟、7 棟、8 棟、9 棟、男生 10 棟、維智園區(qū)、匯澤園區(qū)、藝術樓宿舍區(qū)、教師宿舍 1 棟、2 棟、3 棟、4 棟、國策樓、科技樓、寧靜樓、辦公樓、實驗樓、新教學樓、藝術樓、圖書館、體育館等共計 3331 個室內信息點，都為數據信息點。本次綜合布線方案設計包括工作區(qū)子系統(tǒng)、水平子系統(tǒng)、管理子系統(tǒng)、設備間子系統(tǒng)、建筑群

41、子系統(tǒng)等五個部分，我們將采用超五類綜合布線系統(tǒng)，以對大樓中的計算機網絡系統(tǒng)進行統(tǒng)一布線，最終為 XX 學院提供一個開放的、靈活的、先進的和可擴展的線路基礎。3.2 結構化布線系統(tǒng)設計說明總體描述本系統(tǒng)設計方案包括：- 第 頁 共 36 頁141、工作區(qū)子系統(tǒng)6為用戶提供一個可滿足高速數據傳輸的標準，本系統(tǒng)全部采用超五類標準信息模塊連接數據設備，為以后計算機系統(tǒng)的擴展打下堅實的基礎； 2、水平子系統(tǒng)將管理子系統(tǒng)的線路延伸到用戶工作區(qū)，采用超五類非屏蔽雙絞線；3、 、設備間子系統(tǒng)位于網絡中心，采用光纖配線架連接主機及網絡設備；采用 42U 的標準網絡機柜作為數據應用機柜；4、管理子系統(tǒng)位于各樓棟的

42、配線間，采用模塊式配線架終結水平子系統(tǒng)，采用光纖配線架連接主干光纜；5、建筑群子系統(tǒng)包括分配線間與主配線間之間的線纜。本系統(tǒng)中從網絡中心到東區(qū)、南區(qū)、西區(qū)、北區(qū)以及藝術樓區(qū)的匯聚點為單模光纖，5 個匯聚點到每棟樓的光纜為多模光纜；3.2.1 工作區(qū)子系統(tǒng)設計說明工作區(qū)布線子系統(tǒng)由終端設備連接到信息插座的連線和信息插座組成，工作區(qū)子系統(tǒng)示意圖如下6： 圖 3-1：工作區(qū)子系統(tǒng)示意圖1、系統(tǒng)信息插座安裝位置確定工作區(qū)信息模塊采用標準模塊化插座，為了與其他系統(tǒng)所使用面板統(tǒng)一，所以安裝面板采用雙孔式國標 86 型面板進行埋入式安裝，與其附近的 220VAC 交流電電源插座應保持 20cm 的距離，信息

43、插座和電源插座的安裝高度為 30cm（即插座面板低邊沿線距地板水平面 30cm） 。如下圖所示：- 第 頁 共 36 頁15 信息插座G20鐵管20 cm電源插座地面30 cm圖 3-2：信息插座安裝示意圖2、工作區(qū)信息出口(IO)數量的確定及選型信息點數量的確定根據 XX 學院的詳細校園圖和實地踏勘，綜合布線系統(tǒng)室內部分共計 3331 個室內信息點，都為數據信息點。室外光纖布線要符合萬兆位以太網的技術要求，全部要求為地溝鋪設。以科技樓八樓機房為中心，向各樓棟或匯聚點輻射，即從科技樓中心機房到樓棟或匯聚點各布 1 根光纖，匯聚點到另樓棟接入層交換機采用光纖連接。信息點分布表如下：表表 3-13

44、-1 信息點分布表信息點分布表信息點（個） 樓棟數據圖書館68洪山公寓 1 棟30洪山公寓 2 棟28洪山公寓 3 棟85洪山公寓 5 棟42女生宿舍 5 棟42女生宿舍 6 棟42女生宿舍 7 棟36- 第 頁 共 36 頁16女生宿舍 8 棟30女生宿舍 9 棟30教師宿舍 1 棟27教師宿舍 2 棟27教師宿舍 3 棟36教師宿舍 4 棟90辦公樓110科技樓160寧靜樓30新教學樓123實驗樓68藝術樓169國策樓22藝術樓新宿舍區(qū)600維智園180匯澤園1068合計3331 信息點產品型號的選型工作區(qū)由終端設備連接到信息插座的連線和信息插座所組成，信息插座采用標準RJ45 型，具有十

45、分廣泛的通用性，通過插座既可以引出語音話機也可以連接數據終端等多種終端設備。在設計中，信息插座采用 RJ45 標準插座，可以兼容 RJ11、RJ21、RJ45 等插頭。- 第 頁 共 36 頁173.2.2 水平子系統(tǒng)設計說明水平子系統(tǒng)是指從用戶工作區(qū) RJ-45 插座到配線架管理子系統(tǒng)的部分，現(xiàn)在流行采用的介質是超五類非屏蔽雙絞線，長度不能超過 90m（大于 90m 必須設立分配線間） ，對于實驗樓主干用線必須用金屬線槽或用 PVC 管在天花板吊頂內布線，分支線應采用地面或墻內暗敷線管走線，盡量確保建筑物內的整體美觀。水平子系統(tǒng)示意圖如下：圖 3-3：工作區(qū)示意圖1、水平線纜的選型數據系統(tǒng)線

46、路的水平部分全部采用 TCL 超五類非屏蔽雙絞線作為水平傳輸介質傳輸數據。2、水平布線路由設計走廊的吊頂上應安裝有線槽，進入房間時，從線槽引出 PVC 管，PVC 線管沿墻明裝敷設，沿墻壁而下到本層各個信息點?；蚧騁20 或G25 或或或或或圖 3-4：固定信息點布線示意圖3、水平子系統(tǒng)垂直部分的管線方案水平子系統(tǒng)的垂直部分應使用專門的弱電豎井或垂直線路管道，其中的線槽應和各層配線室之間的金屬線槽構成完好的電氣連通。4、水平線纜的色標標注水平線纜均采用兩端雙標注的方法，即使用雙標簽環(huán)標注，標簽環(huán)的第一位表示- 第 頁 共 36 頁18樓層，第二位表示線纜的功能， （數據用 D 表示） ，第三位

47、表示點位的順序。例如：2D-003（表示二樓第三個數據點） 。3.2.3 設備間子系統(tǒng)設計說明設備間子系統(tǒng)是整個配線系統(tǒng)的中心單元，它的布放，選型及環(huán)境條件的考慮是否適當都直接影響到將來信息系統(tǒng)的正常運行及維護和使用的靈活性。應盡量保持室內無塵土、通風良好室內照明不低于 150Lux,載重量不小于 100 磅每平米。應符合有關消防規(guī)范、配置有關消防系統(tǒng)。室內應提供 UPS 電源配電盤以保證設備運行及維護的供電。每個電源插座的容量不小于 300W。此次設計中設備間子系統(tǒng)包含了管理子系統(tǒng)和設備間子系統(tǒng)的功能。3.2.4 管理子系統(tǒng)功能由交連、互連配線架組成，為水平子系統(tǒng)提供連接手段。交連和互連允許

48、將通訊線路定位或重定位到建筑物的不同部分，以便能更容易地管理通信線路，使在移動終端設備時能方便地進行插拔。采用 TCL 24 口超五類模塊式配線架作為數據連接配線架，配線架使用列表如下：表表 3-23-2 配線架分布表配線架分布表XX 學院主配線間信息點(個)24 口模塊式配線架（個）圖書館683洪山公寓 1 棟302洪山公寓 2 棟282洪山公寓 3 棟854洪山公寓 5 棟422女生宿舍 5 棟422女生宿舍 6 棟422女生宿舍 7 棟362- 第 頁 共 36 頁19女生宿舍 8 棟302女生宿舍 9 棟302教師宿舍 1 棟272教師宿舍 2 棟272教師宿舍 3 棟362教師宿舍

49、4 棟904辦公樓1105科技樓1607寧靜樓302新教學樓1236實驗樓683藝術樓1698國策樓221藝術樓新宿舍區(qū)60025維智園1808匯澤園106845合計33311433.2.5 設備間子系統(tǒng)功能設備間用于安裝數據應用的通訊設備。中心機房我們選用了 1 個 19 英寸 42U 的標準機柜，作為數據信息點機柜。因為整- 第 頁 共 36 頁20個局域網的核心交換機和服務器都部署在這個機房里，所以對機房也提出了很高的要求。如：地面設計應鋪設防靜電地板；配置溫度調節(jié)設備空調，通風換氣設備新風機；電源方面配置大功率 UPS；在設備布局方面，大功率 UPS 應與所有網絡設備包括服務器保持一定

50、的距離，所有設備應部署在通風比較好的地方，而且要出在通風設備最佳作用范圍內。其中設備間沒有設在樓棟原有的配電間內的，需要考慮安裝供電線路， 設備間的具體位置詳見下一節(jié)網絡機柜的選擇中的表格。網絡機柜的選擇根據信息點的數目和網絡設備的選擇，我們確定每個配線間機柜的選型。機柜用量和放置位置列表如下：表表 3-33-3 機柜分布表機柜分布表 樓棟機柜用量位置圖書館1 個 2 米 19標準機柜放置于 2 樓洪山公寓 1 棟1 個掛墻扁平機柜放置于 1 樓東側洪山公寓 2 棟1 個掛墻扁平機柜放置于 1 樓東側洪山公寓 3 棟3 個掛墻扁平機柜放置于各樓樓梯間洪山公寓 5 棟2 個掛墻扁平機柜放置于 1

51、、3 單元樓梯間女生宿舍 5 棟1 個 1 米 19標準機柜放置于中樓的-1 樓設備間女生宿舍 6 棟1 個 2 米 19標準機柜放置于中樓的-1 樓設備間女生宿舍 7 棟女生宿舍 8 棟1 個 2 米 19標準機柜放置于樓外配電間- 第 頁 共 36 頁21女生宿舍 9 棟2 個掛墻扁平機柜放置于 1 樓中間單元教師宿舍 1 棟1 個 1 米 19標準機柜放置于第二單元 1 樓教師宿舍 2 棟1 個 1 米 19標準機柜放置于第二單元 1 樓教師宿舍 3 棟1 個 1 米 19標準機柜放置于第二單元 1 樓教師宿舍 4 棟1 個 1 米 19標準機柜放置于第三單元 1 樓辦公樓1 個 1 米

52、 19標準機柜放置于 4 樓配電間科技樓2 個 1 米 19標準機柜放置于 8 樓配電間寧靜樓1 個 1 米 19標準機柜放置于 8 樓配電間新教學樓1 個 1 米 19標準機柜放置于 B 區(qū)配電間實驗樓1 個 1 米 19標準機柜放置于 1 樓配電間藝術樓2 個 1 米 19標準機柜放置于 1 樓配電間國策樓1 個 1 米 19標準機柜放置于 1 樓配電間藝術樓新宿舍區(qū)6 個 1 米 19標準機柜每棟樓房維智園3 個 1 米 19標準機柜每棟樓房匯澤園6 個 1 米 19標準機柜每棟樓房3.2.6 建筑群子系統(tǒng)設計說明主干光纜的選擇根據我校的要求，主干光纜應能支持萬兆位速率傳輸， ，我們采用

53、多模室外六芯光- 第 頁 共 36 頁22纜。在光纜的選型上，我們選用國產 TCL 品牌。光纖配線架的選擇網絡中心光纖配線架我們選擇 24 口光纖配線架，本次布放由網絡中心接出 5 根多模六芯光纜，光纖數目為 30 芯，選用 2 個可以滿足要求。光纜布線系統(tǒng)敷設方式光纜敷設主要有以下兩種方式：1、地埋方式。在這種方式中，要求在光纖鋪設路徑上開挖地溝，并加固而且鋪放適量的沙石，在光纖轉彎角上應具有電纜井，一般地埋深度為 0.5 米。若已有地溝，盡量采用現(xiàn)有設施。2、架空方式。這種方式中，要求光纜在建筑物間架空敷設。首先應確定好光纜敷設的路由，在相關建筑物之間架起鋼索，利用建筑物的墻角，通信電桿等

54、支撐物用抱箍、吊抱等將其固定，然后敷設光纜，用壓線爪固定于鋼索上。計算機網絡與綜合布線系統(tǒng)的連接計算機與綜合布線系統(tǒng)的連接時，需待鋪設綜合布線系統(tǒng)后，在計算機擴展槽上插上網卡。如果網卡的接口不是雙絞線接口，則還需配備從該種接口至 RJ45 的轉換器，然后用一條兩端配有 RJ45 插頭的線纜分別插在網卡輸出端的 RJ45 插孔和信息插座上。在擴容時，同樣要由工程技術人員對插座進行配線，在主、從配線架上進行跳線。第四章 校園網的 IP 規(guī)劃及路由設計IP 地址規(guī)劃- 第 頁 共 36 頁23在網絡規(guī)劃中，IP 地址方案的設計至關重要，好的 IP 地址方案不僅可以減少網絡負荷，還能為以后的網絡再擴展

55、打下良好的基礎。4.1 地址編制原則：1、唯一性原則唯一性是 IP 地址在 TCP/IP 協(xié)議中最基本的要求，是 IP 地址的基本特征和 IP 地址編制的重要依據。XX 學院校園網內部每個子網絡所使用的 IP 地址的網絡地址字段必須是唯一的，同一個子網絡中的 IP 地址中包含的主機地址字段也必須是唯一的7。2、連續(xù)性原則在層次化結構的網絡中為各個節(jié)點劃分連續(xù)的 IP 地址區(qū)間，便于實現(xiàn)路徑疊合等優(yōu)化 IP 地址的分配技術，簡化路由表數據，提高路由算法的計算效率和動態(tài)路由的快速收斂，能有效利用地址空間。3、擴展性原則IP 地址編制要兼顧網絡規(guī)模擴展的要求，為各個節(jié)點預留足夠的 IP 地址擴展區(qū)間

56、時，應考慮對網絡在用地址的繼承性，滿足路由協(xié)議的要求、實現(xiàn) IP 地址編用的平滑連接等，這是保證網絡擴展和有序管理的重要條件。4、規(guī)范性原則網絡內各節(jié)點的網絡互聯(lián)設備和局域網內主要設備等采用規(guī)范的地址編制技術和方法，是網絡互聯(lián)互通和提高網絡管理效率的有效措施。5、標準化原則遵循有關 TCP/IP 協(xié)議標準來規(guī)劃 IP 地址，是網絡建設的重要原則。4.2 IP 地址編制方法1、完全二叉樹分配法網絡中各級子網 IP 地址的編制，是從完全二叉樹地址空間中某一子樹的根開始，逐級向下地將該子樹下的從屬子樹分配給各級子網和其下級子網，同級子網均以同樣方法分配同根的二叉樹。網絡互連 IP 地址和用戶主機 I

57、P 地址，都是從本級子網的從屬子樹地址空間中分配。采用這一 IP 地址的編制技術，既避免了各級子網 IP 地址的重疊，又保證了各級子網 IP 地址空間的連續(xù)性。2、分布式的地址空間預留技術分布式的地址空間預留技術是指給按層次劃分的各級子網 IP 地址預留空間，當由- 第 頁 共 36 頁24于網絡擴展需要 IP 地址擴展時，可使擴展的 IP 地址空間與在用的 IP 地址空間連續(xù)，使網絡繼續(xù)保持其最簡的路由表數據結構，保證了 IP 地址的平滑擴展。3、無類域間路由（CIDR）編址技術無類域間路由 CIDR（Classless Interdomain Routing）編址技術使用了可變長子網掩碼

58、VLSM（VARIABLE-lengthSubnetMask）技術和完全二叉樹地址分配技術，可根據網絡和主機的分布狀況，靈活地選擇不同的子網掩碼屏蔽位長度，動態(tài)地分配網絡地址標志位和主機地址標志位長度，不僅能有效地提高 IP 地址空間利用率，而且使路由表數據更加簡化。4.3 XX 學院 IP 地址規(guī)劃 考慮到公有 IP 地址緊缺、校園網內信息點較多的實際情況，對 XX 學院的學生宿舍區(qū) IP 地址規(guī)劃采取分配固定的 C 類私有 IP 的方式。在路由器上使用NAT（Network Address Translation）網絡地址轉換協(xié)議，將內部自行定義的私有 IP 地址轉換為 Internet

59、公網上可識別的公有 IP 地址。其工作原理是：在內部主機連接到外部網絡時，當第一個數據包到達 NAT 路由器時，路由器會檢查它的 NAT 配置列表，查到相關記錄后路由器會將數據包的私有 IP（源地址）更換成路由器的公有地址，再轉發(fā)出去。外部主機接受到數據包用接受到的公有 IP 地址來響應，NAT 接受到外部回來的數據包，再根據 NAT 表把地址翻譯成私有 IP 地址，轉發(fā)過去。將整個網絡按照不同的匯聚點劃分為若干個區(qū)，每個區(qū)分若干個 C 類私有 IP 地址，然后再按變長子網掩碼技術方案劃分 IP 地址。比如學生宿舍、教工宿舍、教學樓、辦工樓、圖書館 IP 地址可規(guī)劃如下表所示：表表 4-14-

60、1 IP 地址分配表地址分配表樓棟信息點數（個）IP 地址范圍圖書館、68192.168.1.1192.168.1.255洪山公寓 1 棟30192.168.2.1192.168.2.255洪山公寓 2 棟28192.168.3.1192.168.3.255- 第 頁 共 36 頁25洪山公寓 3 棟85192.168.4.1192.168.4.255洪山公寓 5 棟42192.168.5.1192.168.5.255女生宿舍 5 棟42192.168.6.1192.168.6.255女生宿舍 6 棟42192.168.7.1192.168.7.255女生宿舍 7 棟36192.168.8.1

61、192.168.8.255女生宿舍 8 棟30192.168.9.1192.168.9.255女生宿舍 9 棟30192.168.10.1192.168.10.255教師宿舍 1 棟27192.168.11.1192.168.11.255教師宿舍 2 棟27192.168.12.1192.168.12.255教師宿舍 3 棟36192.168.13.1192.168.13.255教師宿舍 4 棟90192.168.14.1192.168.14.255辦公樓110192.168.15.1192.168.15.255科技樓160192.168.16.1192.168.17.255寧靜樓30192.

62、168.18.1192.168.18.255新教學樓123192.168.19.1192.168.19.255實驗樓68192.168.20.1192.168.20.255藝術樓169192.168.21.1192.168.21.255國策樓22192.168.22.1192.168.22.255藝術樓新宿舍區(qū)600192.168.23.1192.168.29.255維智園600192.168.30.1192.168.34.255匯澤園180192.168.35.1192.168.40.255- 第 頁 共 36 頁26第五章 校園網綜合安全管理方案5.1 校園網用戶管理計費需求分析隨著網絡規(guī)

63、模的擴大，用戶不斷的增加，網絡使用中出現(xiàn)了不少不和諧的聲音：賬戶盜用，惡意欠費，黑客攻擊，反動言論等。這些不和諧的行為影響了正常的網絡使用，造成了許多安全隱患。為了消除這些隱患，我們需要引入網絡認證管理計費技- 第 頁 共 36 頁27術，規(guī)范網絡使用，在提供體現(xiàn)公平、共享原則的同時保護絕大多數用戶的權利。在提出解決方案之前我們將相關需求做一簡單分析8：1、準確的用戶身份確認校園網計費用戶分為兩類，一類是不計費，另一類是計費。但是無論是計費還是不計費我們都需要對其身份進行準確的識別。這是網絡安全的需要，同時也是做到準確計費的需要。但是如何進行用戶身份確認呢？這就需要通過認證技術來實現(xiàn)。目前認證

64、技術有許多，如 WEB 認證，802.1x 認證，PPPOE 認證。這些認證技術各有千秋，PPPOE 技術被廣泛的應用在寬帶小區(qū)，WEB 認證被應用網關計費系統(tǒng)內，而 802.1x認證被應用在廣大新建校園內。事實上 WEB 認證和 802.1x 認證技術最適合在校園網實施。2、靈活的計費策略計費策略主要有三：按時長、按流量和帶寬。從實際情況看，時長計費最普遍，流量計費最科學，帶寬計費最簡單。同時由于一個校園網的用戶有許多類，因此可能這三種計費策略都會被采用。3、精確的費用統(tǒng)計網絡使用一旦進行收費，那么就需要我們能夠精確的計費，這是一個可運營的網絡必備的條件。其中最需要關注的是是非否會因交換機死

65、機或重起或用戶 PC 死機等異常情況是造成計費的不準確。因此我們需要一套保護機制做到無論采用哪種計費策略，發(fā)生什么異常都能保證計費的準確。4、人性化的網絡計費無論采用什么技術和方法都需要一套計費系統(tǒng)來完成計費。那么什么是好的計費系統(tǒng)呢？除了做到以上三點之外還需提供人性化的解決方案，能夠通過優(yōu)化來降低管理者的強度，提供自動化水平，同時對于用戶來說又能感覺使用方便，收費合理。網絡安全是任何一個網絡建設時首先要考慮的重要問題，XX 學院校園網的環(huán)境更加復雜，學生的技術水平都較高，好奇心比較強，校園網的網絡安全更加值得關注。5.2 基于網絡設備的安全措施TCP/IP 網絡本身就存在很多安全漏洞，很容易

66、被一些惡意用戶利用并實施攻擊，或非法占用網絡資源，侵犯其它用戶的合法利益，甚至導致整個網絡系統(tǒng)崩潰。任何一個網絡設備都必需首先具備足夠的自我保護和防范能力，華為 3com 的交換機和路由- 第 頁 共 36 頁28器等網絡設備在安全性方面有豐富實用的功能，大體可分為兩類，一類是自身防攻擊措施，另一類是用戶安全保證措施。用戶上網日志對于用戶上網日志的統(tǒng)計和處理是我們掌握用戶使用情況的最佳手段，并且是整網安全策略的重要組成部分。華為 3com 公司的業(yè)務管理平臺 CAMS 能夠提供完善的用戶訪問日志。其實現(xiàn)方法有兩種：對出口端口作鏡像，由 CAMS 專門的日志服務器完成日志統(tǒng)計采用計費網關組件，由于計費網關具備很強的流量統(tǒng)計能力，可配合 CAMS 提供全面的用戶使用日志用戶日志內容包括用戶名、源 MAC、VLANID、源 IP、目的 IP、訪問時間。用戶的目的 IP 地址改變時會產生一條日志。根據這些信息可以很方便的定位用戶在某個時間段訪問了那些內部服務器，與服務器的日志相對應追查出一些事故的責任人。本方案對用戶終端的管理完全是基于用戶的帳號，用戶取得網絡訪問權限需要在CAMS 上進行認證