高校网络安全存储实验室方案书

X X X职业技术学院网络安全与服务器存储实训平台方案
xxxx通信技术有限公司
2011年5月
目录
一、概述
信息安全保障能力和专业服务能力不足成为国民经济和社会信息化发展的严重制约因素。

我国政府高度重视在信息安全人才培养等方面公共服务能力建设。

但是，目前在信息安全专业人才实践教学环节，缺乏能支持信息安全各专项技术的综合实验环境；另外，政府和社会上数量庞大的在职人员对信息安全继续教育的需求与支持大规模在职人员安全技能实训服务能力不足的矛盾也日益突出；同时，在面向企业的信息安全服务和支持企业间科研协作的服务手段和服务能力建设上也急需加强。

因此，如何构筑能够支持信息安全高级专业人才培养、大规模社会继续教育实训、企业间安全服务与科研协作支持的国家信息安全公共服务支撑环境，成为重要的战略任务。

结合学校在信息安全学科及实践教学环境建设的需要，围绕国家加快发展现代服务业和提升国家信息安全保障能力的战略要求，建设面向计算机专业、信息工程专业、通信、密码等相关专业的全体师生的多层次、全方位、可扩展的信息安全综合实践教学环境。

同时实验室建设具有服务于国家信息安全公共服务的综合能力：
面向信息安全高级专业人才培养的工程实践服务能力
面向政府和社会的大规模继续教育实训服务能力
面向企业的信息安全增值服务能力
以及大规模科研协作支持服务能力
建设总目标：是通过与华为赛门铁克（xxxx）共建“信息安全与数据存储实验室”，达到共同建立“信息安全实践教学基地”的目的，该实验室体现信息安全保障体系架构，涵盖信息安全所有专项技术和方向，提供多层次、全方位及综合化的信息安全实验与实践环境，支持信息安全专业人才培养、社会化培训以及信息咨询、方案优化、产品研发与仿真测试等服务。

网络安全技术是在计算机网络技术发展到一定程度，其应用渗透到各个领域、各个日常应用后，出现一系列安全问题和风险后，逐步发展起来的。

其技术人才积累往往是和技术发展相辅相成的，由于安全经验需要时间积累的缘故，目前网络安全工程师远远满足不了业务发展需求。

据计算机世界资讯发布的相关研究报告称，估计国内网络安全人才缺口将达到30万人以上。

新浪网的相关人士表示：“由于目前专业的网络安全工程师人才比较少，尤其是复合型人才奇缺，预计4年之后网络工程师的基本年薪会在15万元至20万元。

“从目前的一些趋势来看，在国际企业行业里的一些精通网络安全技术的人才年薪都在10万元左右，到来之后这些人才的收入应该会更高。

”
信息存储容量成倍地增长，信息已经成为客户的重要资产，信息存储成为各项业务运作的基本依赖条件和环境。

任何信息的破坏和丢失，都会造成难以挽回的巨大损失，任何存储系统的故障，都会严重影响业务的正常开展和运营。

在这样的大背景下，尤其是国家对高等教育提出了“打造精品课程”、“建设国家示范实训基地”以及“大力开展校企合作”的要求和倡议下，xxxx通信技术有限公司结合多年的通信行业、教育行业服务背景，携国内外知名企业，对国内教育行业推出可增值、可运营、可管理的高校网络安全存储实验室项目。

xx公司期望，通过高校网络安全存储实验室项目的推广和实施，改善中国高校专业实验及实训教学环境、提升中国高校专业实验及实训教育水平、提高专业技术人才职业技能素质。

二、方案介绍
e-Bridge实验平台系统是xx公司为高校实验室专业打造的一套系统。

围绕着“进行工程师培养，让学生能够真实地熟悉工作环境的要求”这个核心思想，依据职业教育先行者姜大源的“基于能力本位的教育观”，按照“情景”教育模式设计。

结合高新企业用人的要求设计出高校实验室的课程、教材、实验、师资培训和就业指导。

整个平台系统主要有四个部分组成：
a)专业的课程和教材体系
b)专业的实训室解决方案
c)实用的师资培训计划
d)权威的认证考试
实验平台设计特色：
（1）、按照“工作任务领域”到“知识领域”到“认知领域”的科学逻辑流程，打造出满足学生职业技能实训的实验室；
（2）、按照“情景”教育模式设计实验项目和课程；
（3）、培养具备专业信息安全与存储网络知识的工程师是网络安全存储实验室课程和实验设计的目标。

网络安全存储实验室解决方案特色：
高性价比：实验管理软件的管理员轮巡机制支持多组用户同时操作；存储增值软件、设备端口数多，端口种类丰富，管理的简便性也大大降低了TCO；
高可靠性：设备采用华为赛门铁克电信级高可靠性和高性能产品，产品使用范围覆盖金融大型数据中心、大型WEB网站、政府和大型企业纵向网络、运营商骨干网络等高端应用。

可管理：专业的实验室管理软件，实验室管理系统的自动化、简便化，可以实现设备、学生、实验项目等一系列实验资源管理与分配。

可将学生配置自动导出、保存，可标准配置对比/分析/评分。

可增值：联合企业成立项目组，以实验室为重要基地，针对专业发展与行业技术进步的实际需要进行基础研究、应用基础研究、专业研究。

通过研究与开发工作，提高科技成果的成熟性与配套性，为市场结构调整和产品优化升级提供技术支撑。

可运营：通过联合企业方式建立“订单式定向培养”的专业教学，与企业、
行业紧密结合，走产学合作的办学道路，大力推进以就业为导向的人才培养。

全面性：以实际就业后的职业技能规划需求为课程设计思路，通过实验结合理论，建立的知识体系全面、完善，厂家产品线齐全。

实用性：结合xx公司5年的通信专业实验室的建设经验，将xx公司开发的实验控制软件和实验指导书，同时华赛产品是华为与symantec两个主流厂商的结晶，代表了多层主流技术的融合。

并且在实验课程中提供丰富的应用环境分析，大大提高了实战性。

前瞻性：知识体系中应包含对未来技术发展方向的分析/指引（华赛预研部+大量的专利）
开放性：产品开放性（开放API，可供有势力的高校进行二次开放）与知识体系开放性（对原有设备利旧，可配合不同特定行业用户进行固有知识体系的完善/定制）。

1.实验系统构架
实验系统构架（如下图所示），它分为三个层面，即基础理论层面（教材）、子系统级层面（各功能模块设备）和平台级层面（实验软件平台）；纵向又分为两个层面，功能演示层面和教学实验层面。

功能演示和教学实验横穿三个横向层面，即可以针对基础理论知识层面、子系统级层面以及平台级层面设计不同复杂度的系统功能演示和教学实验。

每个子系统均依照自身的特点，有针对性地选择一个或者多个层面进行教学或培训实验设计，教学实验数量要求有三至六个或者更多。

第一层面：基础理论层面
(
理论教材、指导书)，主要是指与实验内容相关的基础理论、原型、实验原理以及测试原理等方面的内容。

2. 实验平台及组网
网络安全存储实验室平台包含设备有交换机、路由器、安全路由网关、防火墙、IDS 、SSL VPN 等硬件设备和终端安全系统、安全评估系统、E-Bridge 实验管理系统等软件系统组成，代表了当今最先进、最全面的网络安全技术。

通过这个平台不仅能开设网络安全方面的实验课程、存储实验课程，而且能够让学校获得网络安全存储方面认证培训的资格。

网络安全实验室可根据学校的需求来确定实验室网络结构的大小，终端可多、可少，最小可以只有一套系统，多可到几十套终端。

实验模块齐全，涵盖了多个领域，学校可以根据专业个性化要求进行组网搭建，也可以分批建设，减少资金压力；
e-Bridge 现
e-Bridge 现e-Bridge
e-Bridge
支持网络设备模块自动配置，包括设备复位、设备重启、设备环境初始化等；
同时可以配置动手跳线区域，满足学生动手练习需要；
实验设备模块安装固定，无需实验现场再接线，学员可以根据实验项目划分VLAN将设备搭建成实验组网；
设备安装区域与客户端调试区域完全分开，使用标准电信布局模式；
支持实验项目自行开发，提供实验课件上传接口；
支持实验资料管理，包括文档、图片、FLASH、胶片等各种资料上传、浏览权限分配；
支持学生实验中与资料与设备操作
整个试验网分成广域网部分和局域网部分。

局域网部分由2个大的子系统构成,核心业务交换，防火墙与入侵检测系统。

广域网部分由2-3台路由器组成，远端用户接入通过SSLVPN 安全通道接入。

整个网络通过一套统一的网络管理系统e-Bridge对全网设备进行管理。

全网的认证、用户管理由管理平台系统完成。

在网络实验室中增加了安全的建设。

上图中，将处于模拟因特网中的学生规划为外网用户，模拟办公网区域的学生为内网用户，模拟数据中心IDC（Internet Data Center）为DMZ域中的设备。

外网用户想要访问内网区域，需要经过防火墙的认证，外网用户可以根据需要发起网络攻击，检测防火墙的防护策略是否经过了有效的设置并且已经生效。

外网用户接入内部网络访问数据中心的一种方法是
通过VPN虚拟专用网的隧道来进行链接，SVN3000能够对外网用户进行权限认证，并且对数据进行安全加密，达到数据安全传输的目的。

在网络实验平台部件中，有平台软件包、业务软件包、网络安全设备、高性能应用服务器设备、数据库及实验终端等。

整个网络可以满足学生理解并掌握网络的层次结构、网络拓扑规划、路由器和以太网交换机的常识、网络设备的配置管理、网络间的基本技术协议以及目前处于网络技术前沿的IPv6应用技术。

E-Bridge网络安全存储实验系统是xx公司为高校实验室专业打造的一套系统。

它在网络安全存储实验平台包含以下模块：
（1）、实验平台管理软件和系统软件；
（2）、实验控制平台；
（3）、实验设备模块（安全网络部分、存储部分）；
3.实验管理软件
EB实验管理软件是xx公司结合高校实验室建设环境和实验需求，进行针对开发的全新实验系统。

该系统在安全存储网络实验平台上包含以下模块：
a、设备管理模块
实验设备管理功能：（1）、设备状态查询；（2）、设备添加、删除；（3）、设备恢复默认配置；（4）、设备分权分组分配；（5）、设备配置文件管理；（6）、设
备重启；（7）、设备日志查询；
教师通过系统可以轻松的管理所有设备，减轻实验室维护工作量和维护成本。

b、学生管理
实验学生管理功能：(1)、学生信息管理；(2)、权限、密码管理；(3)、学生分组；(4)、学生登录鉴权、操作鉴权；
c、实验项目管理；
实验项目管理功能：（1）、实验项目清单；（2）、实验操作日志查询；（3）、实验环境搭配初始化；（4）、实验状态记录；（5）、实验环境恢复；（6）、实验配置管理；（7）、实验结果校验；
4.实验控制平台
xx公司在成熟的 VRP 软件平台的基础上，结合设备的硬件体系结构和实验室管理业务要求，量身定做的的实验室控制管理体系，完全继承了 VRP 平台的稳定性、成熟性和可靠性。

针对实验室管理功能的设备管理、学生管理、实验项目管理等一系列需求提供整体的解决方案，同时可以随着 VRP 平台的不断发展同步提供新的特性，充分的满足学校实验使用的多元化需求。

设备控制台：
采用标准TCP/IP 接口和多样的操作模式，提供了TCP SERVER，TCP CLIENT
和UDP，它们使用了统一标准的网络API（Winsock，BSD Sockets）来确保网络软件的兼容性；
采用串口转TCP/IP接口技术，通过网络进行远程的实验调试，与本地实验调测效果完全一样，经实验管理控制软件，可实现开放式的实验教学（学生能够远程进行实验）；
每个串口同时支持6个终端会话，一台设备同时满足一个操作员和5个观察员同时显示终端界面，满足一人操作演示多人学习的效果。

服务器虚拟化和存储虚拟化技术，在充分满足实验要求同时，提高设备利用率，降低误操作率，提升设备采购性价比；
串口采用标准RS232协议，支持当前主流厂家网络设备，包括华为、CISCO、H3C、锐捷、港湾等，所有厂家设备都能纳入设备控制台进行管理；
5.实验平台模块
依据学校实验室教学特色，满足实验多组学生同时操作，同步进行，将实验设备配置为模块化分组。

(1)、网络基础实验平台
方案概述
我们设计的数据网络平台方案是基于对IP网络最基本的理解，采用合适的运营级路由器和交换机进行各种形式的组网，能充分体现IP技术在计算机网络中的
使用方式和业务特点。

在网络边缘接入侧的汇聚路由器可以提供更多的业务能力，包括VPN、动态/静态路由协议、认证方式、管理方式等多种技术，能让学生得到充分学习及实践应用。

整个数通平台是按照需求分组配置的，主要依据华为数据通信认证的硬件配置为基础，每组配备汇聚路由器、接入路由器，二层交换机和三层交换机，四类设备组成一个完整的实验组，为学校今后申请华为网络学院奠定了硬件基础。

再现了企业的接入数据网络的模型。

而且各组之间可以通过汇聚路由器互联，实现更大的区域网络的互联组网。

组网拓扑图
在数据通信实验平台中，通过数据通信设备不同组网拓扑和技术，可以灵活实现整个通信网中各种以IP应用为基础的数据业务。

华为数通认证的HCDA/HCDP 高级实验项目所需要的实验环境拓扑图示例如下。

例一、VPLS实验：
例二、MPLS VPN实验：
依据以上设备要求和组网要求，我们按照HCDA设备清单所列，配置能支持6组同时进行HCDA的全部实验，还可以完成HCDP上面所述的华为数通认证的高级实验项目，增加的实验有：、《VPLS实验》、《VLL实验》、《VPLS或VLL联动MPLS TE FRR实验》、《分层式BGPMPLS VPN网络(HoVPN)》。

培训目标
通过本平台培训后，可以让学员掌握完成以下技能：
描述IP网络的基本层次结构以及各个层次的功能。

描述以太网发展历程以及相关技术。

描述网络安全和防火墙基本知识。

描述TCP/IP模型各个层次的基本功能、各种常用协议的功能、工作原理以及所处的层次。

描述ICMP工作原理。

描述路由器和交换机工作原理。

描述VLAN、STP、VRRP、Static Route、RIP、OSPF、PPP、Frame Relay等基本原理和配置。

应用IP地址子网划分的知识进行网络地址规划。

应用Ping、Tracert等工具进行网络设备的维护和简单的故障判断和定位。

配置基于VRP平台的IP地址、VLAN、VRRP、静态路由、RIP、OSPF并进行简单的故障定位和处理。

在IP网络的各个层次选择使用相应的华为数通设备。

描述OSPFv2/v3、ISISv4/v6、BGP、MP-BGP for IPv6、IGMP、PIM-SM、PIM-DM 的工作原理。

配置基于VRP平台的OSPFv2/v3、ISISv4/v6实现大型网络的IP连通性。

配置基于VRP平台的BGP、MP-BGP for IPv6并采用BGP路由属性和路由策略根据需求在大型网络上选择和过滤路由。

描述BGP反射、联盟的作用和基本原理。

描述BGP多归属的基本概念和应用场景。

配置基于VRP平台的IGMP、PIM-SM、PIM-DM实现组播业务。

在大型网络的构建和业务部署中根据性能和业务需求选择合适的华为中高端路由器。

应用各路由协议的故障处理方法针对大型网络中出现的路由类故障进行定位和排除。

描述VLAN、GVRP、QinQ、STP、RSTP、MSTP、工作原理。

描述PPP、PPPoE、IPoE、IPoEoVLAN工作原理。

配置基于VRP平台的VLAN、GVRP、QinQ、STP、RSTP、MSTP。

描述在接入网络中应用VLAN、GVRP、QinQ等技术实现用户隔离和业务透传。

描述在接入网络中应用STP、RSTP、MSTP避免环路。

描述在接入网络中部署PPPoE、IPoE、IPoEoVLAN业务。

分析与处理接入网络中VLAN、GVRP、QinQ、STP、RSTP、MSTP、PPPoE、IPoE、IPoEoVLAN等方面的故障。

选择合适的华为交换机和BRAS设备构建运营商的接入网络。

描述IP承载网络的特点和性能需求。

描述HA的常用技术基本原理。

描述MPLS、BGP MPLS VPN、QoS原理。

配置基于VRP平台的BGP MPLS VPN、QoS、VRRP。

配置大型IP承载网单域BGP MPLS VPN业务并实现私网用户访问Inernet。

描述MPLS TE的四大组件。

配置基于VRP平台的MPLS TE基本功能并将流量通过三种不同的方式引入MPLS TE隧道。

描述在大型IP承载网络上应用VRRP技术提供高可靠性保证。

分析与处理在大型IP承载网络上BGP MPLS VPN的相关故障。

实验项目
认知性实验
1.交换机的基本操作
2.路由器的基本操作
3.交换机VLAN配置
4.交换机链路聚合配置
综合性实验
1.路由器单臂路由实验
2.路由器静态路由实验
3.路由器RIP实验
4.路由器OSPF实验
5.路由器PPP实验
6.配置IS-IS基本功能
7.配置IS-IS的路由聚合
8.配置IS-IS的DIS选择
9.配置IS-IS的负载分担
10.配置IS-IS和BGP交互
11.配置IS-IS IPv6的基本功能
12.配置OSPF Stub区域
13.配置OSPF NSSA区域
14.配置OSPF的DR选择
15.配置OSPF负载分担
16.配置OSPFv3区域
17.配置OSPFv3的DR选择
18.配置OSPFv3的虚连接
19.配置BGP与IGP交互
20.配置BGP负载分担和MED属性
21.配置BGP团体
22.配置BGP路由反射器
23.配置BGP联盟
24.配置AS_Path过滤器
25.配置BGP4+基本功能
26.配置BGP4+路由反射
与应用
支撑的课程体系
《数据与计算机通信》
内容涉及最基本的数据通信原理、各种类型的计算机网络及多种网络协议和应用。

这一版对原有内容做了彻底的修订和重组，使新版对通信各专题的阐述更全面、更清晰。

同时，新版更新了吉比特以太网、10 Gbps以太网的内容，对WiFi/IEEE 802．11无线局域网、性能监控、服务水平约定、服务质量等根据新的标准进行了修订。

此外，《数据与计算机通信》(第8版)还涉及TCP Tahoe、Reno以及New Reno拥塞控制算法的描述，对多媒体组网的内容也进行了扩充。

《数据通信基础》
本书比较系统、全面地介绍了计算机通信中的一系列重要问题，以及解决这些问题的关键技术。

内容包括通信技术与计算技术的发展概况以及它们的结合、数据通信的基础知识、传输技术、同步技术、数据透明传输技术、差错控制技术、信道共享技术、数据交换技术、寻址与路由技术、拥塞控制与流量控制技术、
B-ISDN技术与信息安全技术。

本书侧重于基本概念和基本原理的阐述，不讨论理论分析与计算，因此通俗易懂。

本书可作为高等院校理工科非通信专业的本科生与研究生的教材，也可作为工程技术人员学习计算机通信知识的参考书。

《数据通信与网络教程》
本书系统地介绍了数据通信和计算机网络领域的基本内容。

在第一版的基础上，修改和增加了新的内容，包括无线和卫星通信、有线电视电缆调制解调器、压缩技术、密码技术、防病毒、100Mbps以太网、、边界网关协议、域名系统、IPv6、异步传送模式、使用客户/服务器模式来实现文件传送协议及开发Web网页等。

在内容和结构安排上，注意理论与实际应用的结合，每章后面既有复习题，又有练习题。

本书适合作为计算机科学专业本科生的教材，也可供教师和从事该领域设计或应用的研究人员用做参考书。

《TCP/IP路由技术》
本书是一本详细而又完整地介绍互连网络内部网关协议(IGP)的专业书籍，堪称有关IGP方面不可多得的经典之作。

本书共分三个部分。

第一部分主要介绍了网络和路由选择的基本知识，其中包括．IPv4协议、IPv6协议和路由技术。

第二部分是本书的精华，这一部分详细、深入地讲述了各种常用的内部路由协议，如RIP、RIPv2、RIPng、无类别路由选择、EIGRP、OSPFv2、OSPFv3、IS-IS等协议，每一章除了对该协议的实现机制和参数详尽阐述，使读者对协议的实现原理有一个清晰的理解外，还通过在实际网络环境中的实例，详细地论述了该协议在Cisco路由器上的配置和故障处理方法，帮助读者获取大量解决实际问题的专业
技能。

第三部分介绍了如路由重新分配、缺省路由/按需路由选择、路由过滤、路由映射等多种重要而有效的路由控制工具，用来创建和管理多个IP路由选择协议的协调和互操作。

附录部分讲述了二进制、十六进制转换、访问列表、CCIE 提示等内容。

相对于第一版，本书第二版具有以下更新：在第一版详细讲述IPv4协议中IGP的基础上，大量增加了相应协议在IPv6协议中的实现和配置，其中单独一章用来讲述IPv6中应用的OSPFv3协议，这是本书新版的一大亮点；同时本书根据。

Internet和Cisco IOS系统的最新发展，适当地删减了如网桥、IGRP等过时的内容，并增加了许多新的IOS增强特性的讲解。

《TCP\IP协议族》
本书分为5个部分：第1部分(第l～3章)介绍一些基本概念和基础底层技术；第2部分(第4～15章)讨论TCP／IP协议组中的核心协议IP和TCP，以及几个主要的路由选择协议；第3部分(第16～22章)讨论使用网络层和运输层协议的一些应用程序；第4部分(第23～27章)介绍因特网中一些较新的内容，如移动IP、多媒体、虚拟专用网、网络地址转换，以及下一代IP；第5部分(第28章)介绍网络安全问题。

《TCP\IP协议族》(第3版)的主要特点是：(1)用图文并茂的方法讲述了技术性很强的内容，而不使用复杂的公式；(2)重要的概念在书中多次重复；(3)尽可能使用结合实际的例子来阐明一些概念；(4)在许多章都包括了有关的设计内容，以便帮助理解每一种协议的思路和问题；(5)每一章有一个本章内容小结，归纳该章所有的重点内容。

(2)、网络安全实验平台
方案概述
计算机网络信息安全是一个综合性、全面性的工程，涉及到信息生成、信息存储、信息传递、信息呈现的各个方面，要求整个过程中都具备可行安全保障；计算机网络信息安全不再仅仅局限于对传统意义上密码和网络，而必须要结合数学、物理、通信、计算机以及存储、操作系统、应用软件、数据库等诸多领域的长期知识积累和最新研究成果，xxxx在总结多年经验基础上进行自主创新研究，提出了系统的、完整的、协同的、可行的高校计算机网络信息安全实验室解决方案。

并提供信息安全从“攻击、防范、检测、控制、管理、评估”等多个方面的实验配套设备和实验教材。

xx公司期望，通过高校计算机网络信息安全实验室项目的推广和实施，改善中国高校专业实验及研发教学环境、提升中国高校专业实验及研发教育水平、提高专业技术人才职业技能素质。

组网拓扑图
网络安全实验室平台包是在网络基础平台的基础上增设安全路由网关、防火墙、IDS、SSL VPN等安全硬件设备和E-Bridge实验管理系统等软件系统组成，代表了当今最先进、最全面的网络安全技术。

通过这个平台不仅能开设数据网络安全方面的实验课程，而且能够让学校获得网络安全方面认证培训的资格。

网络安全实验室可根据学校的需求来确定实验室网络结构的大小，终端可多、可少，最小可以只有一套系统，多可到几十套终端。