大学校园服务器的部署方案.docx

1、大学校园服务器的部署方案大学校园服务器的部署方案用户需要分析 服务器所处环境的建设原则 服务器局域网技术选择 服务器所在网络总体结构 网络设备选型和数量 网络设备报价 网络安全 网络管理 网络应用描述 内容摘要一、用户需要分析对比写字楼和小区，大学校园的网络有其独特的需要。即要满足老师办公、教学的需要，也要满足学生上网学习娱乐的需要，同时还要考虑学校的监控需要。项目背景 随着信息化程度的提高，越来越多的学（院）校建了校园网和网站，把校园的介绍、规划、招生、研究成果等发布在网站，让更多的人了解自己的校园，甚至在网上即时进行学术交流等。在网络信息技术高度发展的今天，xxx大学作为一个高等院校，为了

2、方便学术交流、校友联络、招生报名、研究成果的发布等，建设自己的网站和邮件 系统是必须的。在当前的信息互动交流中，电子邮件的应用凭借其快速、灵活的特点，在整个互联网络应用中有着举足轻重的地位。xxx大学提供给师生优质的电 子邮件服务，不仅仅可以更好地利用现有网络资源为广大师生服务，还可以充分向海内外树立和宣传xxx大学的品牌形象，同时也方便了校友与母校的联络。 信息化程度的提高，极大地促进了教育事业的发展，但是随之而来的却是信息安全问题。xxx大学校园网以广域网络作为支撑平台，如何保障网络安全成为不可避免的重大问题。在xxx大学校园网中，无论是有意的攻击，还是无意的误操作，都将会给信息系统带来不

3、可估量的损失。攻击者可以窃听网络上的信 息、窃取用户的口令和数据库的信息；还可以篡改数据库内容、伪造用户身份、否认自己的签名；更有甚者，攻击者可以删除数据库内容、摧毁网络节点、释放计算 机病毒等等。内部工作人员能较多地接触内部信息，工作中的任何不小心都可能给信息安全带来危险。这些都使信息安全问题越来越复杂。 面对计算机网络中的种种安全威胁，必须采取有力的措施来保证安全。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地杜绝各种不同 的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。在xxx大学校园网中，应防患于未然，一旦出了事，亡羊补牢，恐怕为时已晚。根据网络安 全监测软件

4、的实际测试情况显示，一个没有安全防护措施的大型网络，其安全漏洞可达1500个左右。目前的网络中虽然采用一些安全产品，有一套安全制度，但 由于各种客观和主观的原因仍然存在种种安全上的问题。同时，由于网络的安全状况随着时间变化而变化，因此在作全网安全考虑时，除了合理的使用和配置各种安 全软件、硬件产品以外，日常的检测和后续的服务也越来越受到重视。 2、网络简况在xxx大学的网络系统中，网络设备产品类型包括路由器、防火墙、核心交换机、工作组交换机、以太网卡等，服务器平台主要为Windows Server2003，工作站系统平台有：Win7 /XP/2000 Professional等，主要的服务器为

5、：SMTP邮件服务器、SQL数据库服务器、FTP文件传输服务器、OA办公自动化服务器、网站服务器、图书馆资料管理服务器等等。 根据xxx大学本部服务器部署拓扑图，本部网络的服务器分成两个部分，一部分是对外提供服务的WEB服务器群、DNS服务器和邮件服务器，另一部分是对内提供服务的教学服务器、数据库服务器、代理服务器等。对外提供服务的服务器接到了到CNCNet的防火墙的非军事化区，而对内提供服务的服务器直接接到了主干交换机上。 xxx大学校园网的财务专网，是通过网通提供的虚拟专网连接起来的一个单独的广域网络，它通过财务信息发布服务器与整个校园网建立联系。 3、系统分析 xxx大学校园网络在规划时

6、，已考虑到了安全方面的问题，也采取了一些措施来保障网络的安全，如使用防火墙、MPLS虚拟专用网等等。但是，这些安全措施是不完备的。 (1) 校园网只考虑了对外服务器的安全性，对内服务器则是暴露在内部交换机上，随时可能受到来自内部用户的扫描、窥探和攻击； (2) 整个网络没有采取防病毒措施，如果病毒扩散，将会迅速蔓延到整个网络，后果不堪设想； (3) 在目前只有CNCNet出口的情况下，所有的服务器都接到一台防火墙的DMZ上，从系统效率来看，这样是不合适的，如果将来接到了CerNet上，可以考虑将一部分业务如邮件移到CerNet出口处的防火墙的DMZ区上。 根据安全评估和检测的结果，发现有以下问

7、题： (4) 首先，整个网络的结构复杂，服务器繁多，网络管理员没有合适的工具及时对整个网络的安全状况及时做出评估，无法防患于未然； (5) 其次，我们在对各服务器进行扫描的时候发现，有些服务器打开了多余的服务，攻击者可以通过它们威胁服务器的安全； (6) 最后，有些服务程序本身存在漏洞，这些漏洞可以通过升级服务程序或者对服务器进行设置进行弥补。 因此，我们不仅要采用新的安全设备和技术手段来加固现有的网络系统，而且还要使用专业的安全服务对现有的服务器进行安全改造，全方位提高网络的安全性 4、方案实施 我们综合采用防火墙、入侵检测、内容过滤和安全评估技术，建立xxx大学校园网安全系统框架： (1)

8、 建立完整可行的网络安全、网络管理策略与技术组织措施； (2) 利用防火墙将内部网络、对外服务器网络和外网进行有效隔离，避免与外部网络直接通信； (3) 利用防火墙建立网络各主机和对外服务器的安全保护措施，保证系统安全； (4) 利用防火墙对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝；利用防火墙加强合法用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内； (5) 利用防火墙全面监视对公开服务器的访问，及时发现和阻止非法操作； (6) 利用防火墙及各服务器上的审计记录，形成一个完善的审计体系，在策略之后建立第二条防线； (7) 在本部和各分校，利用入侵检

9、测系统，监测对内，对外服务器的访问； (8) 在本部和各分校，利用入侵检测系统，对服务请求内容进行控制，使非法访问在到达主机前被阻断； (9) 在本部使用入侵检测系统的控制台，对各分校的探测器进行统一管理； (10) 在Internet出口处，使用NetHawk网络行为监控系统进行网络活动实时监控和内容过滤； (11) 在本部部署RJ-iTop网络隐患扫描系统，定期对整个网络的安全状况进行评估，及时弥补出现的漏洞； (12) 使用安全加固手段对现有服务器进行安全配置，保障服务器本身的安全性； (13) 加强网络安全管理，提高校园网系统全体人员的网络安全意识和防范技术1、办公教学的需要：校内公文

10、和各种通知的流转（即办公自动化OA）。传统的打印、张贴等方式已经显得复杂和没有效率，利用网络可以快捷和便利的完成这类工作，使公文和通知可以在任何时候、任何地点被看到，摆脱时间和地点的限制。教务信息管理（即信息服务、信息共享等）。包括对各种和教务相关的信息，如课程安排，任课教师安排等。利用网络来对这些信息进行管理，比传统的方式更为方便和快捷。老师同学们可以通过网络查询成绩和课程表等。邮件服务网络打印机无线网络接入。方便老师讲课，使用。鉴于学校办公计算机所实现的功能主要是对网络数据的查询、修改、添加、删除等操作，因此网络数据应该传输得比较快，才能提高办公的效率。另外，办公计算机应该能够达到支持视频

11、传送的要求，这就要求网络有足够的带宽，采用交换式10/100M端口。 远程教学，充分利用XX大学本部丰富优秀的教育资源。2、学生的需要：互联网应用。FTP服务。图书馆电子图书的网络化。无线网络移动接入。方便学生在自习室、图书馆可以使用自己的设备（笔记本、手机、）稳定高速的接入Internet。社团活动使用网络3、学校监控的需要：计算机网络传输的视频监视器：利用现有的计算机网络，不需要重新布置模拟监控线路，节约成本；同时，通过计算机网络统一控制监视器。计算机网络控制的配电房。图书查询和管理一卡通IC卡的管理二、服务器所处环境的建设原则1、稳定可靠：对于任何一个计算机网络，稳定都是要首先保证的。我

12、们使用成熟的数据备份、服务器备份、双机热备份和异地备份技术来保证网络的稳定可靠。2、速度快：通过使用合理的设备以及介质，可以保证网络速度满足学校正常需求。3、安全性：保证网络可以抵御来自网络内外的常见攻击。4、先进性：保证校园网络建好后年内不过时，年内不过时。5、功能齐全：在硬件预算一定的条件下，通过丰富的软件，提供更多的功能。6、可维护性：网络的核心管理部分架设在学校办公楼，使用成熟的网络管理软件技术，可以实现流量控制，访问权限控制，端口控制的功能。7、可升级性：网络的无线部分只需要更换，就可以实现经济的升级，实现对外来网络技术的支持。8、经济性：保证用尽量少的钱建设一个够用、适用、实用的校

13、园网络。9、三、局域网技术选择为了同时满足经济性、移动性、网络性能的需要，我们计划采用有线+无线的局域网方式。1、有线网络：IEEE802.3u，IEEE802.3z主干网络部分使用高速度的1000MB光纤网络连接，保证速度和稳定。在用户接入端，使用成熟廉价的100MB双绞线网络，获得性能和价格平衡。2、无线网络：IEEE802.11a/b/g通过在有线网络交换机上安装AP的方式，实现学校范围内的无线网络覆盖，综合考虑性能、价格、成熟度等多方面因素，我们计划采用IEEE802.11a/b/g标准的发射器作为学院无线网络的AP。3、介质采用：1000Base-TX，100Base-TX，1000

14、Base-SX。教学楼、办公楼、宿舍楼部分互联，因为距离较远，使用多模光纤连接。各个楼内使用100MB双绞线连接。4、IP协议：使用IPV4协议。整个网络都使用IPV4协议标准，节省成本，同时获得良好的兼容性。宿舍区和机房使用CLASS B分配，其他部分使用CLASS C分配。4、其他技术VLAN：计划使用基于端口的虚拟局域网VLAN技术，有效减小广播域范围，提高网络性能，提高网络安全性，同时减轻了网络管理的工作量。VPN：使用Internet型VPN网络方式连接到北京邮电大学校本部。MESH：在宿舍楼区，使用Azalea的MSR1000无线路由，构建全网装结构无线网络，大大提高无线网络的负载

15、能力。CSMA/CD：解决网络交换中冲突的核心技术。四、 网络总体结构1、整个网络采用拓扑星型结构 + 网状结构，尽量减少总线结构的出现，大大降低冲突出现的几率。2、宿舍区无线网络使用全网状结构连接，利用MESH技术，避免AP带宽枯竭，同时提供良好的移动漫游。3、核心网络设备设在教学楼的计算机中心，在办公楼，学生宿舍都设置核心交换机。4、核心交换机和核心路由器都做冷备份处理。XX学校地理结构楼宇分布图服务器组服务器分布图服务器组直接选择通过核心路由器直接介入校园网络（如图）： 立体拓扑结构图五、网络设备选型和数量核心路由器：CISCO 3845 2台核心交换机：CISCO WS-C4510R

16、6台工作组交换机：CISCO WS-C2960-48TT-L95台服务器：System x3650(797951c) 6台MESH网络无线路由器：Azalea MSR 1000 16台无线AP ：CISCOAIR-LAP1131AG-P-K9 10台六、网络设备报价网 络 产 品型号单价（元）数量总价核心路由器CISCO 3845515002103000核心交换机CISCO WS-C4510R 600002120000工作组交换机CISCO WS-C2960-48TT-L1040095988000服务器System x3650(797951c) 21000616000MESH网络无线路由器Az

17、alea MSR 10001500016240000无线APCISCOAIR-LAP1131AG-P-K93800元1038000多模光纤F0101344芯多模户外光纤7.5元/米2000米150006类UTPAMP E类双绞线1000Base-TX960元/箱4箱3840超5类UTPAMP 5E类双绞线100Base-TX550元/箱5箱2750水晶头AMP RJ45110元/盒101100总计元注：报价来源于互联网七、网络安全1、整个网络使用防火墙和Internet相隔离，通过设置必要的安全访问控制策略来保证内部校园网络的安全。2、依靠路由器上的设置进行最基础的病毒防护。3、校园内各个部门

18、网络使用VLAN进行隔离，通过防火墙设置访问控制策略来控制其他部门的非法访问。4、在学校路由器和各个客户端上做好绑定客户端的设置。5、公共电脑限制已经知道的黑客站点、黄色站点等病毒站点，禁用Cookie功能，禁止Brower、ClipBook、Indexing Service、Net Logon、NetMeeting Remote Desktop Sharing、Remote Registry Service、Telnet，禁止Smart Card Helper、Smart Card、Fax Service等服务。6、ARP攻击的应对方法：下载绑定网关批处理文件，解压后，将其中的ip-mac.

19、bat文件拷到C盘根目录下，将autoMAC-IP.vbs放到启动组里，即可实现开机自动绑定网关地址，以达到预防ARP病毒攻击。八、网络管理1、应用CISCO NetFlow网络管理解决方案进行全面的网络管理操作。2、当网络出现故障，可以远程，通过超级终端，虚拟登陆到校园网的路由和交换机上，使用CISCO IOS系统排除故障。3、定期购买CISCO IOS更新版本，通过升级路由、交换机的IOS系统，修正CISCO的BUG，晚上整个校园网。九、网络应用描述1、教学办公：A、多媒体教室可以通过网络直接共享课件，同时多媒体教室也具备远程双向视频教学的功能。B、学校内所有的办公室都连接在一个VLAN中

20、，可以方便的电子传递文件，开视频会议。C、FTP服务器有专门的教学资源部分。D、通过校园网的SMTP服务器提供电子邮件服务。E、通过学校无处不在的无线网络，老师可以开设户外试验课，社团也可以利用无线网络进行好多应用。F、学校的运动会、户外晚会都可以使用无线网络连接到多媒体中心，进行视频的实时制作处理，为将来的校园电视台提供网络硬件平台。2、学生学习生活：A、学生可以通过宿舍的以太网浏览INTERNET，也可以在无线网络环境中移动登陆INTERNET。B、学生可以通过网络登陆学校的FTP服务器，下载课件，下载学习资料。C、学生可以通过校园网络连接到图书馆，浏览电子书籍，查询书籍信息。D、通过学校

21、的WEB服务器，学生可以查询学习成绩，可以对学校的教学进行反馈（民意调查）。E、WEB服务器同时提供BBS功能，方便学生讨论学习和生活。3、学校管理及设施管理：A、遍布学校的有线无线混合网络数字式监视设备，可以大大减轻保安的工作负担，提高学校的安全。B、使用计算机网络控制的IC卡系统，可以方便的进行账目统计，提高学生消费的透明度。C、计算机网络控制的学校供电、供网系统，具备自愈系统。D、学校超市配备计算机，学生可以通过局域网直接要求超市送货上门，为学生提供方便。E、通过网络，学生可以直接察看洗衣房的空闲洗衣机数目。F、通过无线网络，远程控制的全校花草浇灌系统，节水，经济不用布线，计算机控制，失误少。十、结束语1、非常感谢 老师为我们布置的这次论文。通过这些天紧张的大学校园服务器的部署方案的制作，我收获很大，这样的论文才能真正激发同学们的学习积极性和主动性，不仅使同学们真正掌握了知识，还把知识运用到了实处，使我们的知识转换为我们的能力。2、校园网服务器和网络构建是一件复杂而庞大的工程，需要多方面的考虑；同时由于制作时间有限，我们的方案一定存在很多错误和不足，非常欢迎批评指正，犯错使人进步！十一、参考索引Window2000技术内幕揭秘思科网络技术学院教程【本文档内容可以自由复制内容或自由编辑修改内容期待你的好评和关注，我们将会做得更好】感谢您的支持与配合，我们会努力把内容做得更好！