[毕业设计精品]校园网络安全问题及对策

1、 毕业论文（设计）毕业论文（设计） 题目：题目：校园网络安全问题及对策校园网络安全问题及对策 姓姓 名名： xxx 院院 系系： 计算机系系 专专 业业： 电子信息工程电子信息工程 班班 级级： 指导教师指导教师： xxxx 20122012 年年 3 3 月月 摘要摘要 在科学技术日新月异的今天，计算机已逐步渗入各个领域，随着网络的发展使我们 进入了信息化时代，与此同时我们决不能忽略安全问题。尤其是校园网络安全问题更令 我们头疼。为了解决这个问题，我们必须注重安全问题及应对的策略，校园网络安全管 理是在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的 攻击。防火墙，则是

2、内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础， 安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统是必要的。 本文从对校园网的现状分析了可能面临的威胁，从计算机的安全策略找出解决方案 既用校园网络安全管理加防火墙加设计的校园网络安全系统。通过以下三个步骤来完成 校园网络安全系统：建设规划、技术支持、组建方案。 关键词关键词：网络 安全 设计 abstract in science and technology are developing rapidly today, the computer has gradually into every field, alon

3、g with the development of the network into the information times, and at the same time we must not ignore safety problems. especially the campus network security issues more make us a headache. in order to solve this problem, we must pay attention to safety problems and deal with strategy, campus ne

4、twork security management is the anti-virus software and a firewall or intelligent gateway of defense system, to prevent from outside the campus network attack. firewall, is between inside and outside a strong safety net barrier. the safety management of network security is based, safety technology

5、is the auxiliary measures with safety management. the school has established a set of campus network security system is necessary. this paper, from the analysis of the status of the campus network may be threatened, from the computer security strategy find solutions with both campus network security

6、 management and firewall and design of the campus network security system. through the following three steps to complete the campus network security system: construction planning, the technical support, the construction scheme. keywords: network security design 目录 摘要摘要.2 1 绪论绪论.8 1.1 引言引言.8 1.2 选题背景

7、选题背景.8 1.3 选题意义选题意义.8 2 相关概念介绍相关概念介绍 .9 2.1 网络安全概念介绍网络安全概念介绍.9 不及，造成极大的损失。不及，造成极大的损失。.9 2.2 校园安全管理校园安全管理.10 2.3 校园网络安全措施校园网络安全措施.12 2.3.1 现状和采取的措施 .12 2.3.2 采用 vlan 技术.12 2.3.3 内容过滤器 .13 2.3.4 防火墙 .13 2.3.5 入侵检测 .14 2.3.6 漏洞扫描 .14 2.3.7 数据加密 .14 2.3.8 加强网络安全管理 .14 3 校园网络安全系统设计校园网络安全系统设计.15 3.1 校园网建设

8、需求分析校园网建设需求分析.15 3.1.1 需求分析 .15 3.1.2 关键设备 .17 3.1.3 校园网网络拓扑结构 .18 3.2 技术方案技术方案.18 3.2.1 校园网的建设规划 .19 3.2.2 组网技术 .23 3.2.3 网络操作系统 .25 3.2.4 internet 接入技术.26 3.2.5 防火墙技术 .26 3.2.6 建网方案 .27 3.3 校园网的运行校园网的运行.32 3.3.1 校园网的应用 .32 3.3.2 校园网的管理 .33 4 总结总结.34 网络安全问题及对策 1 绪论绪论 1.1 引言引言 随着网络的高速发展，网络的安全问题日益突出，

9、近年来，黑客攻击、网络病毒等 屡屡曝光，国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是 在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在“重技术、 轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应 用的普及和深入，校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服 务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的 角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网 络黑客的侵害就成为各个高校不可回避的一个紧迫问题。 1.2 选题背景选题背景 网络安全的本质是网络信

10、息的安全性，包括信息的保密性、完整性、可用性、真实性、 可控性等几个方面，它通过网络信息的存储、传输和使用过程体现。随着教育信息化的 不断推进，各高等院校都相继建成了自己的校园网络并连入互联网，校园网在学校的信 息化建设中扮演了至关重要的角色。但必须看到，随着校园网络规模的急剧膨胀,网络用 户的快速增长，尤其是校园网络所面对的使用群体的特殊性（拥有一定的网络知识、具 备强烈的好奇心和求知欲、法律纪律意识却相对淡漠） ，如何保证校园网络能正常的运行 不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，解决网络安全问题 刻不容缓。 1.3 选题意义选题意义 网络安全是一门涉及计算机科学、网

11、络技术、通信技术、密码技术、信息安全技 术、应用数学、数论、信息论等多种学科的综合性学科。网络的生命在于其安全性。因 此，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了校园网络管 理人员的一个重要课题。 网络的发展极大地改变了人们的生活和工作方式，internet 更是给人们带来了无尽 的便捷。我们的教育也正朝着信息化、网络化发展，随着“校校通”工程的深入开展， 许多学校都投资建设了校园网络并投入使用。校园网络在我们的校园管理、日常教学等 方面正扮演着越来越重要的角色。但是，在我们惊叹于网络的强大功能时，还应当清醒 地看到，网络世界并不是一方净土。 “网络天空（worm.net

12、sky） ” 、 “高波（worm.agobot） ” 、 “爱情后门（worm.lovgate） ”及“震荡波（worm.sasser） ”等病毒，使人们更加深刻 的认识到了网络安全的重要性。因此，在现有的技术条件下，如何构建相对可靠的校园 网络安全体系，就成了校园网络管理人员的一个重要课题。 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、 应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软 件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露， 系统连续可靠正常地运行，网络服务不中断。 2 相关概念介绍相关概念介绍

13、 2.1 网络安全概念介绍网络安全概念介绍 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文 件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内 部网（intranet） 、企业外部网（extranet） 、全球互连网（internet）的企业级计算机处理系 统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力 也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题 也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结 构安全、网络系统安全、应用系统安全和网络管理的安全等。因

14、此计算机安全问题， 应该象每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目 标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。 2.2 校园安全管理校园安全管理 针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网关等 构成的防御体系下，对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策 略： 1、规范出口管理，实施校园网的整体安全架构，必须解决多出口的问题。对于出口 进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础 的保障。 2、配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控

15、 制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞 扫描系统、网络版的防病毒系统等。另外，通过配置安全产品可以实现对校园网络进行 系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网 络的故障可以迅速定位并解决。 3、解决用户上网身份问题，建立全校统一的身份认证系统 。校园网络必须要解决 用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便 发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系 统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安 全可靠的保证。 4、严格

16、规范上网场所的管理，集中进行监控和管理 。上网用户不但要通过统一的 校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的 日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。 5、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度 。 网 络安全的技术是多样化的，现状还是“道高一尺，魔高一丈”，因此管理的工作就愈发重要 和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。2.3 校园 网络安全措施 2.3.1 现状和采取的措施 前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。 为杜绝网络威胁，主要手

17、段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络 安全。如杀毒软件： （1）杀毒产品的部署. 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网 内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病 毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒 体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能.。 （2）在学校网络中心配置一台高效的 windows2000 服务器安装一个杀毒软件的系统中心， 负责管理校内网点的计算机。 （3）在各办公室分别安装杀毒软件的客户端。 （4）安装完杀毒软件，在管理员控制台对网

18、络中所有客户端进行定时查杀毒的设置，保 证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。 （5）网络中心负责整个校园网的升级工作。 2.3.2 采用 vlan 技术 vlan 技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技 术。vlan 技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现 相互间的访问控制，可以达到限制用户非法访问的目的。 2.3.3 内容过滤器 内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以限制 外来的垃圾邮件。 2.3.4 防火墙 在与 internet 相连的每一台电脑上都装上防火墙，成为内外网之

19、间一道牢固的安全屏 障。在防火墙设置上按照以下原则配置来提高网络安全性: (1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 ip 数 据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对 校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则. (2）禁止访问系统级别的服务( 如 http , ftp 等)。局域网内部的机器只允许访问文 件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如 网络游戏或者视频语音电话软件提供的服务。 (3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的

20、 ip， 防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域 网中正常使用网络服务（如文件、打印机共享）功能。 (4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 (5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性. 2.3.5 入侵检测 入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员的安 全管理能力提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传 输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生 的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出实时报警，使网络 管理员能够

21、及时采取应对措施。 2.3.6 漏洞扫描 随着软件规模的不断增大系统中的安全漏洞或“后门”也不可避免地存在因此， 应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全 性分析报告，及时地将发现的安全漏洞打上“补丁”。 2.3.7 数据加密 数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。 2.3.8 加强网络安全管理 加强网络管理主要是要做好两方面的工作。首先，加强网络安全知识的培训和普及； 其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。只有这样才能 才上网的同时，更好的保持网络的安全，更轻松的上网！ 3 校园网络安全系统设计校园网络安

22、全系统设计 安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校建立 了一套校园网络安全系统，制定详细的安全管理制度，如机房管理制度、病毒防范制度 等，并采取切实有效的措施保证制度的执行，并定期对校内教师进行计算机网络安全知 识培训，或发放常见病毒解决方案等。 3.1 校园网建设需求分析校园网建设需求分析 3.1.1 需求分析 局域网最大的特点就是可以实现资源的最佳利用,如:共享磁盘设备、打印机等,从而 可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印;当然也 可以借助 wingate 或 sygate 等软件多机共享一台 modem 上网；或者通过代理服

23、务器连上 internet，享受非一般的速度。网卡根据传输速率可分为：10mbps 网卡（isa 插口或 pci 插口） 、100mbps pci 插口网卡、10mbps/100mbps 自适应网卡和千兆网卡。目前 10mbps isa 插口的网卡仍以其低廉的价格占有市场的一定份额，但由于 10mbps isa 插口 网卡的网络传输速率低，且占用大量的 cpu 资源，只适应于那些对速度要求不高的局域 网，因此用 100mbps pci 插口的网卡或者 10mbps/100mbps 自适应网卡，够适应于用户比 较多，网上传输的数据量大和需要进行多媒体信息传输的应用环境。 bnc 口是用细同轴电缆

24、作为传输媒介的一种网卡接口。rj45 是采用双绞线作为传输 媒介的一种网卡接口，rj45 的接口酷似电话线的接口，但网络线使用的是 8 芯的接头， 使用 rj45 的缺点是架设成本高，但安装和维护较为方便，因此我们一般使用 rj45 接口。 集线器 (hub):根据微机的数量,利用 hub 构成星形结构 ,在工作站较多的情况下 ,会因 hub 的处理速率远远低于通信线路的传输速度 ,从而造成瓶颈问题。因此有条件的话可选 用交换机。一个 hub 所组成的域称为冲突域 ,也就是说 ,网络上任何一台计算机在收发 数据时 ,其他所有计算机都能够收到 ,且这些计算机不能同时进行数据的收发 ,否则会 发生

25、碰撞(csma/ cd 协议会阻止碰撞 )。此外每台接入 hub 的计算机 ,都要检测接收到 的数据目的地址 ,以确认是否是收到自己的通信信息 ,因此计算机 cpu 占用率高 ,全网 通信效率低 ,只适用于小型工作组级别应用。 学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络； 是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的 基本保证；是提高全民素质的重要手段；也是一项灵魂工程。其设计方案应注意以下原 则： 实用性校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、 教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充

26、分的发挥，并且便 于掌握。 可靠性校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性， 因此必须保证系统的稳定、可靠和安全运行，具有很高的 mtbf(平均无故障工作时间)和 极低的 mtbr(平均无故障率)，提高容错设计，支持故障检测和恢复，可管理性强。 统一性在系统的设计过程中，坚持三统一，即统一规划、统一标准、统一出口。 先进性在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来 需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以 便适应客户的其他要求。 3.1.2 关键设备 在产品选购之前一定要经过认真的分析，这次参与组网的机构选用

27、美国 cisco 公司 的 catalyst 6506 作为数据网络系统的内部核心交换机，catalyst 6506 是大容量的具有 高交换能力的第三层模块化交换机，catalyst 6506 的交换容量以及端口数量等技术指标 足以满足网络目前的需求。选择 catalyst 3548 作为外网交换机。可以通过千兆的光纤 链路连接到核心交换机，而所有的用户终端可以通过 10/100m 自适应通道接入到 cisco catalyst 3524 和 catalyst 3548 交换机上。选择 catalyst 3524 和 catalyst 3548 作为 计算机网络系统的二级汇聚交换机，为终端用户

28、提供 10/100m 到桌面。选择 cisco 3662 作为计算机网络系统 ddn、isdn 访问路由器，既可以满足上级单位 internet 的 ddn、isdn 接入的需求，又可以满足继续扩展的需求。同时 cisco 3662 作为计算机网络 系统的拨号服务器，提供分支机构的拨号接入。 网络核心层：用一台 cisco 的高端三层交换机 catalyst 6506 作为整个交换系统的 核心，由网络中心网络管理员统一调度，从而使计算机网络系统成为一个具有整合的千 兆以太网主干并具备第三层交换功能的综合网络通信平台。其中配置两个电源同时供电， 彼此分担负荷并互为备份。一块 ws-x6k-s1a

29、-msfc2 交换引擎是交换机的心脏，它控制交 换机的寻址、数据转发、模块控制等。 catalyst6506 交换机引擎卡上的 msfc2 (multilayer switching feature card)卡具有极强的三层交换能力，利用 cisco 特有的 netflow 技术，完全满足核心线性三层交换的能力。另一块 ws-x6408-gbic 的 8 端口千 兆以太光纤模块将所有的汇聚层设备、接入层设备、网管工作站及网络应用服务器都直 接连入到核心层设备上去。 汇聚层：在分配线间分别设立 cisco catalyst 3524 和 catalyst 3548 作为计算机 网络系统汇聚层设

30、备，汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备 catalyst 6506 上去，终端用户可以通过超 5 类 utp 线缆连接到各层交换机中去，可以实 现 10/100m 的自适应通道连接到局域网中去。 接入层；在网络接入层中我们选用了一台 cisco 3660 路由器作为广域互连和外部用 户拨号访问网关，其中主要采用了两种接入方式分别实现各自功能： 1.adsl 接入方式。 2. fttx+lan 接入方式。 3.1.3 校园网网络拓扑结构 根据校园网的需求分析及建设目标，本设计方案采用交换式千兆以太网作为主干， 百兆交换到桌面。网络拓扑采用星型树结构，网络中心的交换机使用堆叠方

31、式连接。 3.2 技术方案技术方案 3.2.1 校园网的建设规划 校园网建设作为一项复杂的系统工程，与任何一项工程建设一样，在开始建设前都 要根据工程的特点事先进行详细的工程规化与技术需求分析，它的成功与否都直接影响 到工程的建设质量以及今后网络能否可靠运行都有直接的关系，因此要特别认真地进行 系统规划。对于校园网来说，必须对技术和教育的发展前景有着清醒的认识，只有这样， 才能从很好地为校园网进行合理的规划。 1 校园网的应用特点 随着现代化教学活动的开展和与国内外教学机构交往的增多，对通过网络进行信息 交流的需求越来越迫切，为促进教学、方便管理和进一步发挥师生的创造力，校园网络 建设成为现代

32、教育机构的必然选择。校园网大都属于中小型系统，以园区局域网为主， 一个基本的校园网具有以下的特点： 高速的局域网连接-校园网的核心为面向校园内部师生的网络，因此园区局域网是 该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量多媒体信 息，故大容量、高速率的数据传输是网络的一项基本要求； 信息结构多样化-校园网应用分为电子教学（多媒体教室、电子图书馆等） 、学校管 理和远程通讯（远程教学、互联网接入）三大部分内容：电子教学包含大量多媒体信息， 学校管理以数据库为主，远程通讯则多为 www 方式，因此数据成分复杂，不同类型数据 对网络传输有不同的质量需求； 操作方便，易于管理-校

33、园网面向不同知识层次的教师、学生和办公人员，应用和 管理应简便易行，界面友好，不宜太过专业化； 经济实用-学校对网络建设的投入有限，因此要求建成的网络应经济实用，具备很 高的性能价格比。 2校园网的需求分析 在着手设计一个校园网或者计算机局域网时，其主要依据就是网络用户（学校）的 需求及将要建设的网络系统的特点。通过对实际需要进行细致的分析，才能确定系统的 总体目标和近期目标。需求分析是如何设计、建设和应用校园网的关键。在完成校园网 的需求分析之后，就要对整个校园进行物理结构和逻辑结构的设计。校园网具体的需求 分析有如下几点： （1） 总体目标 对于一个校园网来说，系统的总体目标就是在一个时期

34、内，当校园网完全建设好后 所要达到的功能和具有的规模。一般来说，一个校园网系统总体目标是分步实施的，包 括功能的分步实施和规模的分步实施。主要原因是受资金的限制（这是在建设校园网时 普遍遇到的问题）和技术发展的影响（因为随着计算机网络技术的飞速发展，校园网总 会有进行升级的需求） 。因此我们在设计一个校园网时，要充分考虑到对已有校园网资源 的再次利用，又要考虑到将来对校园网进一步的升级改造。 （2）近期目标 近期目标就是根据实际需求来设计和建设校园网，使建设好后的校园网能满足实际 需求所应有的功能和规模，同时又要考虑将来能对校园网进一步的升级改造或者是后期 工程的建设，系统近期目标是需求分析的

35、重点。 3 网络结构设计 校园网络结构设计主要是进行网络的物理设计和逻辑设计，在完成结构设计后才能 对网络设备进行选型。网络结构设计对于整个网络系统来说是十分重要的，它设计的成 功与否都直接影响网络的使用功能的实现以及网络是否能满足网络的需求。 （1）物理设计 根据需求分析，可以知道整个校园网信息点的数目，同时也知道这些信息点在整个 校园内的分布情况。当我们确定网络控制中心的位置后，就应该考虑如何把校园内的信 息点连到网络控制中心以及各种设备的连接速率和网络使用的拓扑结构等，网络系统所 使用来连接各种网络设备的传输介质也是需要考虑的问题。 （2）逻辑设计 网络的逻辑设计主要考虑校园网的 ip

36、子网网段的划分，通过实际的网络物理连接， 依据实际需求来实现虚拟网络(vlan)的设置。无论从网络的安全性和 ip 地址的可管理性 来考虑，还是从有效利用 ip 地址资源的角度来考虑，将整个校园网划分为多个子网网段 并对 ip 地址资源进行有效管理都是十分必要的。 4网络技术 学校建设校园网有许多需要考虑的问题，如网络技术的选择、网络拓扑结构的选择、 网络产品的选择、网络服务器的选择以及操作系统、网络应用服务、网络管理及网络安 全等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术的选择。 (1) 网络技术类型 网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维

37、护性好等原则，并充分考虑性能价格比和今后技术的发展。要求系统兼容性好，易于平 滑连接，避免网络瓶颈。 当前达到或超过 100mbps 的高速网络技术主要有：快速以太网、fddi、千兆以太网、 atm 交换网。fddi 是几年前十分流行的高速网络技术，虽然技术十分成熟，但网络管理 复杂且成本较高，现已被逐渐淘汰。atm 是比较先进的网络技术，它采用信元交换方式， 以很高的速率在任意两点间建立直接的虚拟通信链路，有较强的传输质量控制能力，特 别适合于多媒体信息的传输。但在实际使用事因端口价格过高，难以大规模采用。以太 网是种成熟的、质优价廉的网络技术，其标准已制定完备。经过多年发展，形成了完善 的

38、 10mbps、100mbps 和千兆以太网技术，同时还由共享式的网络发展成为交换式的以太 网，具备与 fddi、atm 网络融合的多种方法与规范。从技术上看，以太网技术还有不断 发展的佘地，是一种能够到长期使用和发展的技术，另外以太网还可以在不同速率之间 平滑升级，不会有网络协议和规范上的障碍。综全以上对高速网络技术的分析，我认为 在当前校园网的建设中应以建设和使用 100mbps 快速以太网为主，在局部主干上使用千 兆技术进行连接。 (2) 网络拓扑的选择 当前在局域网的建设中，主要应用的拓扑结构有总线型、环型和星型。在总线型网 络中，由于各计算机共享一条通信电缆，而且不需要额外的通信设备

39、，因此，可以节约 组网费用。但是其缺点也是十分明显的，网络中的任何一个节点出现故障，都将导致整 个网络瘫痪，这与在网络建设要求网络具有高可靠性和沉佘性不相符，因此使用总线型 拓扑结构建设的网络已趋于淘汰，在新的网络建设中不应再使用。环型拓扑结构是令牌 环网络技术所常用的一种网络拓扑结构，环型结构的缺点与总线型的缺点是差不多的， 也是一种不太常用的网络拓扑。当前在各种网络系统的建设中使用最多的是星型拓扑结 构，虽然星型拓扑结构的网络在布线和网络设备的花费多一些，不过目前各种硬件设备 已经非常便宜了，这种花费是可以承受的。因而它的优点也是十分突出的，主要是当网 络中某个节点出现故障时不会影响整个网

40、络的运行，这使得网络从总体上可以提供高度 的可靠性和沉佘性，这个性能十分适合校园网这种应用环境，也是校园网的建设中必须 要求做到的。 3.2.2 组网技术 组网技术就是在有了网络的设计方案和各种网络设备之后，怎样把不同的网络设备 按设计方案的要求连接起来所用到的各种技术。组网络技术在整个网络的建设过程中是 最重要的阶段之一，它直接关系到建设出来的网络系统能否达到设计要求，能不能投入 使用这样严重的问题，如在组网中有不按规范和标准来施工的话，建出的网络系统的质 量是达不到设计要求，是不能满足用户需求的。组网技术主要包括：布线系统、 internet 接入技术、防火墙等。 1布线系统设计 结构化布

41、线系统的组成：网络系统的正常运行主要取决于网络设备和网络线路，对 于网络系统来说，采用结构化布线系统能够很好地满足需求，特别是从计算机网络系统 可靠运行的角度来说，布线系统的可靠性决定了网络系统通信信道的可靠性，它是计算 机网络系统可靠运行的前提。整个布线系统主要包含光纤布线和室内综合布线系统。 布线系统的主要是依据建筑物的分布图，国际商务建筑线缆标准（tia/ela 586a ） 和建筑与建筑物综合布线系统工程设计规范来设计的。使用结构化布线工程设计的 布线系统具有实用性、灵活性、可扩充性以及真正的开放性。一次性布线，可保证在十 五到二十年之内，其系统性能不会下降，功能也不会落后，真正达到一

42、次投资，长期受 益。建成后的结构化布线系统将具有满足多种计算机网络系统（10/100/1000m switch、fddi、atm）对线路的要求，不仅能实现计算机端口的灵活配置，而且方便计算 机网络的平滑升级和扩充。 光纤布线主要是用在建筑物之间或楼层之间，这些建筑的距离一般都比较远，超出 了双绞线的连接距离，具体情况要看信息点的分布和数量以及对网络带宽的要求来决定。 室内布线采用 5 类（超 5 类）非屏蔽双绞线进行布线。整个布线工程分为工作区子系统、 水平子系统、垂直子系统，建筑子系统和管理子系统来施工的。 工作区子系统由终端设备连接到信息插座的连线和信息插座所组成，通过插座即可 以引出电话

43、也可以连接数据终端，在 rj-45 插座内不仅可以插入数据通信通用的 rj-45 接头，也可以插入电话机专用的 rj-45 插头。 水平子系统是将楼层配线间路延伸到用户工作区，并连向各个信息插座。线缆由配 线间进入房间后，可走天花板或桥架,以走暗线的原则走线。电缆桥架应高出地面 2.2 米 以上，桥架顶部距顶棚或其他障碍物不应小于 0.3m。桥架宽度不宜小于 0.10m，桥架内 横断面的填充率应小于 50%。结构化系统的布线是放射型的，线缆量较大，所以线槽量的 计算是很重要的，按照标准的线槽设计方法，应根据水平线的外径来确定线槽的容量， 即：线槽的横截面积=水平线截面积之和*3 。 垂直主干子

44、系统用于连接楼层配线室，垂直干缆系统的安装主要是由一连串通过地 板对准配线间的垂直竖井组成的，可以连接搂层间的配线室。垂直子系统的连接可用多 根双绞线形成集束穿过竖井进入水平子系统，外用线槽以保护和固定。 建筑子系统是在各栋建筑物之间的相互连接，组成一个较大的建筑群综合布线系统。 这一部分布线系统可以采用架空电缆、直埋电缆或地下管道内穿电缆，或者是这三者的 任何组合，具体使用看施工现场而定。建筑子系统一般都采用光纤进行连接。 管理子系统设置在配线设备和机房内，管理子系统由配线间、输入/输出（i/o）设 备等组成。管理子系统提供了与其他子系统连接手段，整个综合布线系统及其连接的设 备、器件等构成

45、一个有机的整体。管理子系统内有部分主干布线和部分水平线的机械终 端，为无源或有源或用于两个系统连接的设备提供设施。3 2布线系统的测试 在结构化布线完工后，必须对整个系统进行测试后才能投入使用，以保证系统能达 到设计要求。测试主要依据 tia/eia 568a 以及建筑及建筑群结构化布线系统工程验收 规范来进行，测试内空包括线缆的长度、接线图、信号衰减、近端串扰、信噪比等。 其中最重要的技术指标是衰减端串扰，它直接影响着双绞线的传输性能。 3.2.3 网络操作系统 网络操作系统 nos（network operating system）是在计算机操作系统的基础上， 加上一些具有实现网络访问和控

46、制功能的模块以及相关的数据通信协议，是使网络上各 计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集 合。目前主要的网络操作系统有 netware、unix、linix 和 windows nt/2003。在校园网 中一般情况下都用 windows nt/2003 网络操作系统，因为它是图形化的操作界面、使用 简单、安全可靠，以及和普及率很高 windows 系列单机操作系统的兼容性很好。 3.2.4 internet 接入技术 如果校园网不能和 internet 连接的话，就不能是一个完整的网络，也不能充分利 用 internet 网上的大量信息资源。因此校园网和

47、internet 的连接技术就显得十分重要 了，它关系到校园网与外部网络能能否进行可靠的连接。当前适合校园网与 internet 的 宽带连接方式主要有 adsl 和光纤专线接入。 adsl 是一种非对称的宽带网络数据传输技术，它的一个明显优势是经济上实用。 adsl 宽带线路通过 adsl modem 接入 internet 代理服务器的网卡上的，不过 adsl 专线的 接入是用传统的模拟电话双绞线线路布线不很规范，线路质量不够好，达不到高速传输 的要求，目前它只用在一些中小型网络。光纤接入是一种在校园网建设中普遍使用的一 种技术，它是通过构建专用的 internet 服务器来实现的，在服务

48、器上运行各种网络服务 软件，为校园内部的用户提供 internet 的接入服务。光纤接入的优点是可提供比较高的 网络带宽和稳定性，但它的连接较为复杂。 3.2.5 防火墙技术 防火墙是计算机网络上一类防范措施的总称，它使得内部网络与 internet 之间或其 它外部网络互相隔离、限制网络互访，用来保护内部网络。防火墙简单的可以只用路由 器实现，复杂的则可以用主机甚至一个子网来实现，设置防火墙的目的都是为了在内部 网与外部网之间设立惟一的通道来自简化网络的安全管理。防火墙的功能主要是过滤掉 不安全服务和非法用户与控制对特殊站点的访问以及提供监视 internet 安全和预警的方 便端点。由于网

49、络具有天生的开放性，所以有许多防范功能的防火墙也有一些防范不到 的地方，如防火墙不能防范不经由防火墙的攻击和感染了病毒的软件或文件的传输。因 此，防火墙只能是一种整体安全防范政策的一部分。 实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在 ip 层 实现的，它的原理是根据报文的源 ip 地址、目的 ip 地址、源端口、目的端口报文信息 来判断是否允许报文通过，因此它可以只用路由器完成。在用应用层网关实现的防火墙 有多种方式，如应用代理报务器和网络地址转换器等。 在校园网中大部分的应用都是内部网络用户，而内部用户通常具有较大的访问权限， 因此局域网络系统的安全是整个网络系统安

50、全中最重要的部分。但相对而言，内部的安 全问题是可以预测的，并可据此制定相应的防范措施。 3.2.6 建网方案 根据校园网络建设应遵循原则的介绍和各种网络技术的分析。总的来说，交换式快 速以太网是目前成熟技术中最先进、最实用的。所以决定选择光纤交换式快速以太网作 为校园网主干，系统总体上采用国际上流行的 tcp/ip 协议，并兼顾 ipx 协议，采用开放 体系及在各种应用实践中得到检验的快速以太网技术和产品。 为了加强对分布式多媒体交互教学的探索，校园网可分为三个层次结构：主干网、 广域网和内部局域网。主干网采用 1000mbps 快速以太网技术，内部局域网与主干网之间 用以太网交换机进行互联

51、，根据用户的需求，网络建设目标，采用交换式千兆以太网作 为主干网，网络拓扑结构为星型，这样可有利于提高网络的高可靠性，便于维护和管理。 采用交换式快速以太网做主干有以下原因：速度快，安装、维护简单。主干速度为 1000mbit/s 交换，能够满足网络应用层对主干网宽要求；基于标准技术，使用了以太网 mac 层上定义的 csma/cd 协议，可迅速利用现有设备接入，网络升级方便，性能价格比高。 建设目标：构建普通学校校内 intranet 环境，并通过代理服务器接入 internet，实 现与 internet 交流。建设校园网络中心，并通过一定的网络拓扑结构构建连接校园网络 中心、计算机教室、

52、教师备课机房、多媒体教学活动室、图书馆、校长室、教导处、财 务处等的校园网，使之能通过一定的应用软件完成行政办公管理、教师备课授课、学生 学习交流、校内信息公告、远程电子通讯、internet 通讯浏览等基本功能。 1 1网络组成网络组成 (1) 网络主干 基于当前信息技术发展形势及经济实用可持续发展原则，建议构建 100m 带宽的快速 以太网，根据实际工作站信息点到网络中心的距离，选择适当的传输媒介进行网络综合 布线。一般来讲，在同一幢大楼内距离不超过 100 米均可铺设超五类非屏蔽双绞线，而 楼与楼之间的连接主干线原则上应架设光缆，以满足今后发展的需要。 (2) 网络中心 也就是校园网中心

53、机房，应配置有各种系统服务器（如：web 服务器、email 服务器、 代理服务器） 、文件服务器（数据库服务器） 、中心交换机、配线机柜等。如刚使用时数 据流量不大，可只配置一台服务器，视今后网络发展情况再作扩充。为保证网络运行稳 定可靠，网络中心的设备选型应选择信誉可靠、质量上等、性能稳定、扩充性优良的专 业产品。服务器选用 ibm 等品牌的专业服务器,如 x236 8841-icc，另加配可读写光驱， 用作系统备份。交换器可选用、cisco 产品，如 cisco 6065 等。服务器网卡则可选配 3com 的 3c905b-tx 100mb 网卡。为使校园网能访问 internet，网络

54、中心的代理服务器 可连接 asdl 等通讯线路。 (3) 计算机教室 配置 400 台左右 586 以上微机，通过星型网络拓扑结构将所有微机连接到可堆叠交 换机上，再通过交换机连接校园主干网。为方便教学，可在以上网络教室的基础上安装 多媒体教学平台，使之成为一个既能完成信息技术学科教学，又能进行多媒体辅助教学， 还能开展基于 internet 技术的网络活动的多媒体网络活动室。 (4) 教师备课机房 为了能给广大教师提供一个完备的多媒体网络备课环境，校园网应能为每位教师提 供网络接入终端，即每位教师都配有一台连接校园网的多媒体计算机，这将是一项投资 很大的综合布线工程。为降低成本，一般中小学校

55、可采用建设一个配置有 10-20 台酷睿 2 以上多媒体计算机的教师网络备课机房的方案。配有多媒体的连网计算机既能满足广大 教师电子备课、电子阅览的需要，同时也能满足教师进行远程通讯、网上检索等基于 internet 环境的教科研活动。 (5)图书馆系统 图书馆系统应该包括两个方面，第一是图书编目、借阅管理系统，它为图书馆管理 提供了标准化、自动化、网络化的采编、流通、查询、统计以及读者管理等手段，如省 教委推荐使用的共创图书管理系统；第二是多媒体视听阅览室，满足读者使用越来越多 的电子音像读物的要求。多媒体视听阅览室从技术本质上来讲就是一个多媒体计算机网 络室，如果学校已建好前面所述的多媒体

56、网络活动室或教师备课机房，只要在网络上连 接有一套光盘镜像服务器，即可实现多媒体视听阅览的功能。 (6)多媒体综合教室 信息化环境的构筑其根本目的是为教学服务的，因此课堂信息化教学环境的建立应 该是校园网建设的一个重要目标。针对课堂教学而言，计算机网络应能为师生合作教学 模式提供支持。在合作教学模式下，教师通过网络安排教学计划，指导学生学习，批改 学生作业，实施网上教学；学生既可以在教师帮助下进行自主学习，也可通过小组讨论 等形式在同伴中开展合作学习。在当前情况下，在每个教室构建信息化教学环境还处在 摸索探讨阶段，存在着投资大、可参考方案少等不利因素。有的学校采用在每个班级配 置高亮度液晶投影

57、仪、多媒体计算机、多功能视频展示台等设备的方法来实施教学环境 信息化，教学仍旧还是在一个典型的以教师为中心的教学模式下进行着，这与构建校园 信息化教学环境的初衷相距尚远。因此在当前形势下，一般中小学可在具有多媒体网络 环境的计算机教室内开展基于多媒体网络环境下的合作教学模式的实验活动，而为开展 多媒体辅助教学活动配设专用的多媒体综合教室。多媒体综合教室内配备有多媒体计算 机、高亮度液晶投影仪、多功能视频展示台各一台，功放音响一套，其中多媒体计算机 通过网卡连入校园主干网，从而方便调用网络内其它计算机上的教学资源，实现资源共 享。多媒体综合教室不仅可满足正常的辅助教学活动，还可以用来举办讲座、开

58、展培训， 不失为当前形势下一种经济实惠的选择。学校可根据教学实际需要配置一到二个多媒体 综合教室。 (7)校长办公室及其它相关处室 配置相应数量的酷睿 2 以上多媒体计算机，通过网卡与校园主干网相连，以实现学 校信息管理的自动化、无纸化。 以上只是整个校园网中一些主要的网络组成部分，此外还有学生宿舍楼、教师宿舍 楼、实验室教学楼等。 2 2虚拟网设计虚拟网设计 由于整个网络较大，所以必须通过划分 vlan 来实现流量的合理分配、内部网络的安 全。通常 vlan 的实现有以下几种方法： 基于端口的虚拟工作组， 基于 mac、协议、子网的虚拟工作组， tagged vlan：通过在数据帧中增加 v

59、lan 标记位来区分不同的工作组。 我选用的 catalyst 6506 等交换机都支持以上各种 vlan 的划分方法。 虽然三种方式各有千秋,但是从实际出发，采用基于交换端口的 vlan 划分方式是一 种理想的选择,也是目前实际中普遍采用的划分方式。 考虑到网络安全性的需要，还可以在路由交换机上进行相应的设置，实现网络访问 控制。比如我们可以限制哪些用户拥有访问中心服务器的权利，哪些则没有。 根据以上思想，我将计算机网络（根据不同的部门划分）划分成几个不同的虚拟网， 并赋予不同的 ip 子网地址。 由于系统的特殊性，可以配合虚拟网的划分，给不同的虚拟网配置不同的子网段， 整个网络可以非常方便

60、地划分为几个子网，子网之间的通信由中心路由式交换机来实现， 具体可以采用 ospf 路由协议。 3 3网络软件运行平台网络软件运行平台 (1) 服务器操作系统：由于美国 microsoft 公司推出的网络操作系统 windows 2003 具有与有着广泛应用基础的在 windows 2003 服务器上，对直接连接到 internet 的计算 机启用防火墙功能，支持网络适配器、dsl 适配器或者拨号调制解调器连接到 internet。web 服务系统：选用 windows nt 下的 iis 信息服务系统。另外也有许多免费 的 bbs 电子公告、中文论坛、网络聊天软件可以在 nt 下安全运行。