校园网构建需求分析设计方案安全防范

目录
排版说明： (2)
一．实训报告内容摘要 (3)
二．小组成员及工作分工 (3)
三．实训报告内容 (3)
(一)、场景及网络情况 (3)
(二)、计划（搭建局域网） (3)
1、结构化布线 (3)
2、技术需求 (3)
(三)校园网拓扑图 (4)
（四）校园网功能 (4)
1、校园办公系统 (4)
2、电子图书馆系统 (5)
3、校园网管理系统 (5)
4、网络资源共享 (5)
（五）设计原则 (5)
1.实用性和经济性 (5)
2.先进性和成熟性 (5)
3.可靠性和稳定性 (5)
4.安全性和保密性 (6)
5.可扩展性和可管理性 (6)
（六）、设备的选择 (6)
1．交换机的选择 (6)
2．服务器及PC的选择 (6)
3．传输介质的选择 (7)
4、信息系统集成 (7)
5、安全系统 (7)
(七)、实施可行性 (8)
1、布线结构 (8)
2、设备的选择 (8)
3、防火墙技术 (8)
4.计算机病毒 (9)
5. 网络软件运行平台 (9)
6.身份验证 (10)
四.设计方案 (10)
(一)、进行校园网组建技术的选择。

(10)
1、网络技术类型 (10)
2、网络拓扑的选择 (10)
（二）、布线系统设计与测试 (11)
1、布线系统的设计 (11)
2、布线系统的测试 (12)
（三）、网络VLAN的设计 (13)
1、方便管理。

(13)
2、易于实施。

(13)
3、VLAN间路由采用三层交换设备进行VLAN路由。

(14)
（四）、组网技术 (14)
1、网络技术介绍 (14)
（五）、安全面临的威胁与防范措施 (17)
1、校园网上的安全威胁 (17)
2、校园网的访问控制策略 (18)
（6）、资源共享的问题 (20)
五．所用产品的型号及功能 (21)
（一）.交换机的型号与功能 (21)
1、交换机华为3Com H3C S5510-24P (AC) (21)
（2）、华三s5500-20tp-si三层交换 (26)
（二）、路由器的型号与功能 (27)
1、CISCO 2610XM (27)
（三）、服务器的型号与功能 (29)
（1）HP ProLiant DL580 G7(QK181A)详细参数 (29)
（四）、防火墙的型号与功能 (33)
1、锐捷网络RG-W ALL 1000 (33)
六．成本预算 (34)
七．遇到问题及解决方法 (34)
八．总结 (34)
九．主要参考文献及资源 (35)
排版说明：
一级标题：一
二级标题：（一）
三级标题：1
四级标题：①
教材中一级标题：黑体小三号；二级标题：黑体小四号；其他标题：宋体小四加粗；
正文：宋体小四号。

行间距1.25倍。

（）
一．实训报告内容摘要
《网络安全搭建方案设计》是完成局域网管理与信息安全课程教学后进行的综合应用该课程基本知识和技能的一个教学环节，通过课程综合实训目的是培养学生综合运用所学的基础理论知识、技术基础知识、专业知识解决计算机网络搭建中的实践问题，掌握网络搭建流程，掌握网络安全的基本方法及技巧，重点提高学生实际操作能力，培养学生的网络独立设计，实现与管理的基本训练。

本次实训要求设计计算机网络安全搭建方案。

包括前期的网络基础搭建，实际中的软、硬件系统安装规范，出现问题后如何排错。

结合实验室现有的设
备--H3C网络安全产品。

将客户想要实现的功能实现。

熟悉设备的配置命令。

各个小组能够相互协调，互相配合，完成任务。

二．小组成员及工作分工
三．实训报告内容
(一)、场景及网络情况
我们组建的是一个校园网
场景：三栋教学楼、一栋办公楼
网络情况：每栋楼的一楼分别用一间教室作为这栋楼的中心机房，用1号楼的第一层的某个房间作为整个网络的中心机房，此机房分别与各栋楼的中心机房相连，形成整个校园网。

每栋楼分别用vlan划分物理局域网形成独立的个体，每栋楼的每个机房也用vlan技术形成自己的物理小型局域网。

(二)、计划（搭建局域网）
由于校园网网络特性（数据流量大，稳定性强，经济性和扩充性）和各个部门的要求（制作部门和办公部门间的访问控制），我们采用下列方案：网络拓扑结构选择：网络采用星型拓扑结构。

它是目前使用最多，最为普遍的局域网拓扑结构。

节点具有高度的独立性，并且适合在中央位置放置网络诊断设备。

1、结构化布线
综合布线系统是建筑物或建筑群内的传输网络，它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接，也能使这些设备与外部通信网络相互连接。

分析布线系统的节点数，在各个布线子系统中需要什么样的线连接起来
2、技术需求
保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。

如同计算机的发展速度一样，网络技术的发展也是非常迅速的。

如果现有技术不能合理保证在将来网络升级后还能够使用，那么将会带来极大的资金浪费。

目前比较常见的主干网技术有FDDI、A TM、快速以太网和千兆以太网等。

其中具有交换功能的快速以太网，支持VLAN，
并容易升级到千兆以太网和A TM，由于性能优越，价格适中，建议采用快速以太网作为校园网的主干技术。

(三)校园网拓扑图
（四）校园网功能
1、校园办公系统
在学校的日常工作过程中，有越来越多的工作方式和流程是可以通过网络来简化并提高效率的。

例如：
系统登录：系统用户登录本系统必须进行身份校验，不同身份的网络用户对本系统具有不同权限的信息操作权，对系统的信息流程，学校可根据自身实际的业务流程自行设置。

成绩管理：包括与每次考试相关的成绩信息录入、修改、浏览、查询等功能，具有成绩管理功能操作权限的用户可输入、输出与成绩相关的信息，如可打印输出学籍卡片、单科成绩、学期成绩，也可以按指定条件（如学号、名次）进行排序后打印输出。

不同权限的网络用户只能对系统分配功能权限进行操作，若网络用户是学生，按照系统默认的权限设置只能浏览成绩信息，而不能对信息作出修改。

学籍管理：包括新生信息管理、新生分班、学生信息管理等。

班级管理：主要对学校班级信息进行管理，为跨学年提供进行自动升级操作，系统也可对部分学生作留级处理。

(1).校内公文和各种通知的流转（即办公自动化）。

传统的打印、张贴等方式已经显得复杂和没有效率，利用网络可以快捷和便利的完成这类工作，使公文和通知可以在任何时候、任何地点被看到，摆脱时间和地点的限制。

(2).教务信息管理（即信息服务、信息共享等）。

包括对各种和教务相关的信息，如课程安排，任课教师安排等。

利用网络来对这些信息进行管理，比传统的方式更为方便和快捷。

此外，通过办公子网能提供面向学校的各级领导及各职能部门的多种服务（例如办公管理、思教管理、教务管理、总务管理、财务报表管理等），促进学校现代化管理的实现。

2、电子图书馆系统
（1）.图书查询和管理
（2）.通过IC卡可以对学校阅览室进行有效的管理
3、校园网管理系统
系统登录、成绩管理、学籍管理等等
4、网络资源共享
网上教学、软件下载、精品课程、教务管理、图书馆等。

网格的出现为实现网络资源共享提供了技术支持。

网格是一种将地理上分布的、异构的计算及存储资源和设备通过高速网络连接起来。

形成高性能的计算环境，从而实现广泛资源共享的新技术。

校园网格与一般的计算网格、信息网格不同，其资源提供者是各院系、部的各类资源，包括集群、数据库、高性能计算机、个人PC 机、存储设备等。

用户一般是学校的教职员工和学生。

他们通过校园网格共享计算、信息、存储、专家、数据、教学等资源。

（五）设计原则
校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先进性。

并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。

根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。

我们遵循以下的原则进行网络设计：
1.实用性和经济性
网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。

2.先进性和成熟性
网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。

不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。

3.可靠性和稳定性
在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管
理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。

为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。

在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。

4.安全性和保密性
在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。

5.可扩展性和可管理性
由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。

最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备
（六）、设备的选择
1．交换机的选择
选择交换机设备时，用户一定要考虑管理的问题。

尤其是针对规模较大的校园网络结构中，管理型的交换机被普遍使用。

如果建立的只是小型网络，不需要使用中心网络管理机制，应该购买普通无管理能力的集线器，节省这笔资金。

二级交换机起着“承上启下”的作用，一端连接到中心交换机，另一端连接到各网络节点，PC、终端用户设备连接到这些网络节点，组成子系统。

网络节点根据子系统的应用需求，在数据量大、实时传输、多媒体设计等场合，选择交换机作为网络节点。

2．服务器及PC的选择
服务器和PC是实现网络操作，网络应用的窗口和平台。

针对学校校园网用户而言，对此设备的选择应该充分考虑可管理性、稳定性、安全性、综合性能价格比等因素。

WEB服务器也称为WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服务。

(1)应用层使用HTTP协议。

(2)HTML文档格式。

(3)浏览器统一资源定位器(URL)。

FTP工具一般分为FLASHFTP、LEAPFTP、CuteFTP，合称FTP三剑客，以汉化版和破解版居多。

国产简体中文版目前有8UFTP。

其中，FLASHFTP是速度最快的，但是访问某些教育网站不稳定，还有事出现传大文件卡死的现象，但是为了速度，这点小小的不足可以忽略；LEAPFTP是最稳定的，访问所有网站都比较稳定，而且绝对不会卡死，但是速度有所不足；cuteFTP有点在于功能繁多，速度和稳定性介于前面的二者之间，使用者可以按用途和喜好来选择它们。

DNS服务器的功能是ip与域名之间的互转
3．传输介质的选择
在中心交换机到各子网的传输介质选择方面，应以应用需求为主，适当考虑成本。

由于校园网分布范围较广，在中心交换机到二级交换机之间，线缆以多模光纤为主；如果距离超过多模光纤的极限，需要采用单模光纤作为传输介质。

4、信息系统集成
是指利用网络体系控制信息的有序流动，实现信息资源的共享，更有效地形成、整理、使用各类信息，分成内部信息建设、外部信息建设。

内部信息是指封闭在校园内部的各类信息资源，对内部信息的建设包括校园办公系统、校园内部主页、内部电子邮件、多媒体教室、电子图书馆系统、校园IC卡管理系统、内部信息服务系统等；外部信息是指与校园外部相互交流的信息，对于外部信息的建设包括外部主页、电子邮件、远程教学等学等。

5、安全系统
（1）、认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈
（2）、网络安全需求
防止IP地址冲突
非法站点访问过滤
非法言论的准确追踪
恶意攻击的实时处理
记录访问日志提供完整审计
（3）、网络管理需求
需要方便的进行用户管理，包括开户、销户、资料修改和查询
需要能够对网络设备进行集中的统一管理
需要对网络故障进行快速高效的处理
(4)要求
1）网络系统的需求分析
2）逻辑网络设计（比如拓扑结构、IP地址规划等）
3）物理网络设计（比如结构化布线、网络机房环境、设备选型、供电系统等）
4）网络安全设计
5）网络设备安装调试与测试验收
6）网络系统验收
7）用户培训和系统维护
8）工期及费用
(七)、实施可行性
1、布线结构
一个良好的综合布线系统对其服务的设备有一定的独立性，并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、PC和主机以及公共系统装置。

一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统。

校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。

垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。

把管理区子系统并入设备间子系统，集中管理。

对于多幢楼宇，可采用多设备间的方法。

分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器、视频服务器等），中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备相连，以保证数据的高速传输。

在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。

楼内布线包括水平布线和主干布线。

水平系统采用超五类双绞线，新的楼宇采用暗装墙内的方式，旧的楼宇采用PVC线槽明装的方式。

2、设备的选择
根据每个机房的大小及其应用分为以下几个部分
学生机房：大机房pc机100台，交换机6台，服务器三台
中型机房pc机50台，交换机3台。

中心机房包括：服务器路由器交换机防火墙
3、防火墙技术
防火墙是计算机网络上一类防范措施的总称，它使得内部网络与Internet之间或其它外部网络互相隔离、限制网络互访，用来保护内部网络。

实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。

报文过滤是在IP层实现的，它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报文通过，因此它可以只用路由器完成。

在用应用层网关实现的防火墙有多种方式，如应用代理报务器和网络地址转换器等。

在校园网中大部分的应用都是内部网络用户，而内部用户通常具有较大的访问权限，因此局域网络系统的安全是整个网络系统安全中最重要的部分。

但相对而言，内部的安全问题是可以预测的，并可据此制定相应的防范措施。

支持病毒扫描： 是否支持防病毒功能，如扫描电子邮件附件中的DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。

提供内容过滤： 是否支持内容过滤，信息内容过滤指防火墙在HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。

过滤内容主要指URL、HTTP携带的信息：Java Applet、 Javas cript、ActiveX和电子邮件中的Subject、To、From域等。

能防御的DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。

防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。

4.计算机病毒
黑客以及电子邮件应用风险防控设计我们采用防病毒技术，防火墙技术和入侵检测技术来解决相关的问题。

防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一，防病毒技术。

病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的变化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTERNET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。

计算机黑客常用病毒夹带恶意的程序进行攻击。

5. 网络软件运行平台
(1) 服务器操作系统：由于美国Microsoft公司推出的网络操作系统Windows
2003具有与有着广泛应用基础的在Windows 2003服务器上，对直接连接到
Internet 的计算机启用防火墙功能，支持网络适配器、DSL 适配器或者拨号调制解
调器连接到 Internet。

Web服务系统：选用Windows NT下的IIS信息服务系统。

另外也有许多免费的BBS电子公告、中文论坛、网络聊天软件可以在NT下安全运行。

(3) 数据库软件：建议采用“甲骨文的”oracle数据库软件。

(4) 电子邮件系统：可采用Microsoft公司的Exchange Server,为简便使用也
可采用一些共享软件如Sharemail、Imail等，这些软件都是基于标准SMTP/P3P3
/IMAP4/LDAP协议的邮件服务器软件，用户界面简单直观，非常易于管理。

(5) 网页维护制作软件：Macrosoft公司的FrontPage、Macromedia 公司的
Dreamweaver、Flash都是很好选择。

(6) 多媒体课件制作软件：Macromedia 公司的Authorware、 Director，洪图
多媒体著作工作等都有着非常友好的界面，使用方便，拥有着大量的用户，推荐使
用。

(7) 代理服务软件：可采用WinGate3.05 for NT，这是一个功能完善、性能稳
定的代理服务软件，非常好用。

(8)工作站操作系统： Windows XP Windows 2003
(9) 校园办公管理用软件：选用省教委统一推荐使用的“共创校园办公管理信
息系统”网络版。

(10) 工作站其它应用软件：文字处理、数据表格、图形处理、浏览器、电子邮
件等都有许多大家熟悉并经常使用的软件。

随着网络使用的日益广泛，今后校园网络在此基础上还将不断扩充，覆盖面将越来越广，如视频点播系统、远程登录管理系统、各类收费服务IC卡系统等。

6.身份验证
校园网上存在着各种应用。

传统情况下,我们访问每个应用都得重复登录、认证。

技术。

这种技术保证用户在访问多个应用系统时不需重复登录。

既方便了用户,又统一了网络资源管理。

另一方面,这套技术利用了LDAP协议的特点,是以LDAP协议为基础的。

四.设计方案
(一)、进行校园网组建技术的选择。

1、网络技术类型
网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等原则，并充分考虑性能价格比和今后技术的发展。

要求系统兼容性好，易于平滑连接，避免网络瓶颈。

当前达到或超过100Mbps的高速网络技术主要有：快速以太网、FDDI、千兆以太网、ATM 交换网。

FDDI是几年前十分流行的高速网络技术，虽然技术十分成熟，但网络管理复杂且成本较高，现已被逐渐淘汰。

ATM是比较先进的网络技术，它采用信元交换方式，以很高的速率在任意两点间建立直接的虚拟通信链路，有较强的传输质量控制能力，特别适合于多媒体信息的传输。

但在实际使用事因端口价格过高，难以大规模采用。

以太网是种成熟的、质优价廉的网络技术，其标准已制定完备。

经过多年发展，形成了完善的10Mbps、100Mbps
和千兆以太网技术，同时还由共享式的网络发展成为交换式的以太网，具备与FDDI、ATM
网络融合的多种方法与规范。

从技术上看，以太网技术还有不断发展的佘地，是一种能够到长期使用和发展的技术，另外以太网还可以在不同速率之间平滑升级，不会有网络协议和规范上的障碍。

综全以上对高速网络技术的分析，我认为在当前校园网的建设中应以建设和使用100Mbps快速以太网为主，在局部主干上使用千兆技术进行连接。

2、网络拓扑的选择
当前在局域网的建设中，主要应用的拓扑结构有总线型、环型和星型。

在总线型网络中，由于各计算机共享一条通信电缆，而且不需要额外的通信设备，因此，可以节约组网费用。

但是其缺点也是十分明显的，网络中的任何一个节点出现故障，都将导致整个网络瘫痪，这与在网络建设要求网络具有高可靠性和沉佘性不相符，因此使用总线型拓扑结构建设的网络已趋于淘汰，在新的网络建设中不应再使用。

环型拓扑结构是令牌环网络技术所常用的一种网络拓扑结构，环型结构的缺点与总线型的缺点是差不多的，也是一种不太常用的网络拓扑。

当前在各种网络系统的建设中使用最多的是星型拓扑结构，虽然星型拓扑结构的网络在布线和网络设备的花费多一些，不过目前各种硬件设备已经非常便宜了，这种花费是可以承受的。

因而它的优点也是十分突出的，主要是当网络中某个节点出现故障时不会影响整个网络的运行，这使得网络从总体上可以提供高度的可靠性和沉佘性，这个性能十分适合校园网这种应用环境，也是校园网的建设中必须要求做到的。

局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。

由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。

优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。

对该网络支持的设备生产厂商有较好的技术支持。

局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。

办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。

（二）、布线系统设计与测试
1、布线系统的设计
结构化布线系统的组成：网络系统的正常运行主要取决于网络设备和网络线路，对于网络系统来说，采用结构化布线系统能够很好地满足需求，特别是从计算机网络系统可靠运行的角度来说，布线系统的可靠性决定了网络系统通信信道的可靠性，它是计算机网络系统可靠运行的前提。

整个布线系统主要包含光纤布线和室内综合布线系统。

布线系统的主要是依据建筑物的分布图，国际商务建筑线缆标准（TIA/ELA 586A ）和《建筑与建筑物综合布线系统工程设计规范》来设计的。

使用结构化布线工程设计的布线系。