校园网详细设计说明书Word文件下载.docx

1、1.5IP地址的分配原则划分是注意使用VLAN，充分节约IP地址，使用路由交换机上能够采用聚合进行路由合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区接入到同一汇聚层交换机的区域建议采用连续IP地址段，以便做路由汇聚。IP地址的分配原则如下：（1）给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性；（2）考虑到以后的网络扩展规模，二层交换机设备的管理IP地址分配1个C类IP地址；（3）可以考虑为学校校园网分配若干个C类私有地址段。服务器集体群和办公楼的IP获取方式为手动分配，其他的均为通过DHCP获取，上网方式均采用NAT方式。IP地址分配表1

2、层2层3层4层5层86451202510212学生公寓6栋24网络单元地址段地址范围网关上网方式IP获取方式第一教学楼，信息点个数：34所有课室192.168.1.0/24250192.168.1.1NATDHCP工业中心，信息点个数：157学生机2254教师机202.96.1.0/24202.96.1.1客户端验证NAT手动分配服务器群10.0.0.0/242410.0.0.1行政楼，信息点个数：95办公室202.96.2.0/24202.96.2.1会议室图书馆，信息点个数：22电脑202.96.3.0/24202.96.3.1学生公寓5栋，信息点个数：60个人电脑202.96.5.0/2

3、4202.96.5.1学生公寓6栋，信息点个数：48202.96.6.0/24202.96.6.11.6物理/链路层配置原则1.网络设备互连的物理端口都应该绑定端口的速率和全双工模式；2.建议所有的VLAN都不要穿透核心层，所有的VLAN都将在汇聚层交换机上终结；3.本实施方案建议不要启用STP生成树协议，由于所有的VLAN都已在汇聚层交换机终结，在二层上并没有环路存在，故无必要启用；4.汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。二、网络安全与管理2.1网络安全 校园网网络安全系统是一个要求高可靠性和安全性的网络系统，若干重要的公文信息在网络传输过程中不可泄露，如果数据被黑客

4、修改或者删除，那么就会严重的影响工作。所以校园网网络安全系统安全产品的选型事关重大，一旦被遭受黑客攻击病毒的侵袭，将会给该学校正常的教学及业务带来严重的影响。该校园网网络安全系统方案必须遵循如下原则： 全局性原则：安全威胁来自最薄弱的环节，必须从全局出发规划安全系统。设计时需考虑统一管理的原则。 综合性原则：网络安全不单靠技术措施，必须结合管理，当前我国发生的网络安全问题中，管理问题占相当大的比例，因此建立网络安全设施体系的同时必须建立相应的制度和管理体系。 均衡性原则：安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。 节约性原则：整体方案的设计应该尽可

5、能的不改变原来网络的设备和环境，以免资源的浪费和重复投资。2.1.1威胁网络安全因素分析归纳起来,针对网络安全的威胁主要有：1.软件漏洞：每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。2.配置不当：安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。3.安全意识不强：用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络

6、安全带来威胁。4.病毒：目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。5.黑客：对于计算机数据安全构成威胁的另一个方面是来自电脑黑客（backer）。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。2.1.2网络安全防范措施1.防火墙（Fire Wall）技术 防火墙技术是指网络之间通过预定义的安全策略,

7、对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。由于它简单实用且透明度高,可以在不修改原有网络应用系统的情况下,达到一定的安全要求,所以被广泛使用。据预测近5年世界防火墙需求的年增长率将达到174%。2.数据加密技术 数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息、的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。 数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及

8、密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用,密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的

9、泄漏。另外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,这对信息处理系统的安全起到极其重要的作用。3.系统容灾技术 一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失, 一旦发生漏防漏检事件, 其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障,不允许有任何闪失。但离线介质不能保证安全。数据

10、容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。 集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。其中异地集群网络的容灾性是最好的。存储、备份和容灾技术的充分结合,构成的数据存储系统,是数据技术发展的重要阶段。随着

11、存储网络化时代的发展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。 4.漏洞扫描技术漏洞扫描是自动检测远端或本地主机安全的技术,它查询TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息2.2网络管理 2.2.1网络管理的内容根据OSI管理模型，国际标准化组织在ISOIEC7498-4中定义了网络管理的五大功能。这五大管理功能分别是故障管理、计费管理、配置管理、性能管理和安全管理。故障管理是网络管理的最基本功能，指系统出现异常情况下的管理操作。计算机网络服务发生意外中断是常见的，这种意外中断在某些重要时可能会对系统带来很大的影响。异常情况通常由网

12、络中设备损坏或环境的影响所引起。一旦故障出现，可以根据网络管理数据库中的信息确定其原因和位置，然后采取措施进行修复，保障网络正常运行。计费管理负责记录系统资源的使用情况并统计相应的使用费。通过计费系统，对于需核算网络费用的单位，可以统计实际费用的发生情况；而对于免费使用网络资源的单位，也可以限制用户对网络资源的过度使用。通过计费系统对网络使用情况的统计分析，可以评价网络的性能及使用效率，作为网络改造的依据。计费管理系统记录网络运行情况和用户使用资源的信息，网络管理中心据此计算用户应付的费用。为了保证计费功能的实现，网络管理中心必须具有用户管理的能力，包括用户费用限制、增加、删除用户和修改用户参

13、数等。配置管理就是设定、收集、监测和管理网络设备配置数据，使得网络性能达到最优。配置管理的数据包括网络设备的容量和属性，以及它们之间的关系。配置管理的内容包括设置系统参数、初始化和关闭系统资源、根据请求向用户开放系统的特定资源等。此外，随着网络系统中用户、设备，以及应用的变化，对相关参数进行动态调整。性能管理主要是通过收集和统计网络运行数据，对网络资源的运行状况和通信效率等进行评价。网络性能的好坏是网络中各种因子综合影响的结果。对网络性能的评价结果是进行网络配置调整的基本依据。 2.2.2网络管理的手段 根据选用的设备，采用锐捷的管理方案，方案的特点和价值。 业界率先全面支持万兆、IPv6 锐

14、捷网络NPE、ACE、防火墙、IDS等出口设备全面支持万兆和IPv6，既满足了性能要求，又预留扩展性，而且可以兼容任何厂家的交换机设备，有效的保护用户投资。 基于用户的流量控制 ACE支持带宽嵌套功能，能为每个用户定制带宽策略，保障校园网每个用户在全速下载P2P、迅雷时仍能高速上网。ACE与SAM结合，还可以真正实现基于用户的流控，流控策略对应到用户身份。 门户网站保护 WebGuard用以保护门户网站，防网页篡改。同时防止网站挂马，避免高校网站成为木马病毒传播源。WebGuard利用高性能多核架构，提供并行处理，支持在校园网出口部署，一站式保护各院系网站。并能实现“零配置”运行，简化部署。

15、灵活的计费策略 流控与认证相结合，构建出灵活的计费策略。包括按流量计费、包年（月）限带宽。在计费的同时，为用户提供不同的服务，提高用户体验。2.4电源系统本工程供电系统采用三相五线制，采用镀锌线槽下走线方式，由甲方从大楼总配电室引一路BV4*75+1*35电缆接入市电配电柜。配电柜在进线空气开关后端分别安装德国OBO/V25/V20防雷器与消防联动控制开关，防雷器保护电器不受雷电和开关误操作引起的瞬态过压损坏。将电源防雷器安装在配电柜中总开关前端，这样既节省空间，又起到了美观、易维护的作用，防雷器中的地线就近接到大楼的防雷地上。各个设备机柜均内采用独立回路供电并有备用回路。配电柜中开关均采用梅

16、兰日兰开关，这种开关性能优良，可以保证整个供电系统安全、有效的运行。机房内主要计算机设备采用单独回路供电，以保证主要设备在供电时相互不受干扰。UPS电源系统采用两主一备方式供电。配电柜设电源开关回路，并留有备用开关，为机房以后扩容的备用回路。其中市电主要负载机房空调、市电用电、UPS、排气扇、空调，市电维修插座等电源，UPS主要负载机房网络机柜、服务器机柜、应急照明等电源。配电柜内开关使用梅兰日兰C65N系列开关；配电柜中设立电流表、电压表，供检查电源电压、电流及三相间平衡的关系。配电柜三相电分别设立电源指标灯，以监控三相电的供电情况，颜色区分按相应标准，并设立标志牌；配电柜设立工作地线和保护

17、地线端子排，并加标识牌。配电柜绝缘性能，符合国家标准GBJ232-82电气设备交接试验标准篇；配电柜内的各种电器元件均有相应的标识，以便识别，其编号与设计图纸一致，在每个配电柜的后侧粘贴本柜配置的电气系统图，以便运行使用中的维护与管理。机房内设有UPS电源三孔插座，并安装部分二三孔市电插座。 UPS电源插座采用蓝色边框面板及地弹插座。普通插座选用合资“松本”牌，底盒选用86镀锌底盒。三、服务器的配置3.1WWW服务器Linux操作系统+Apache3.2FTP服务器Linux操作系统+VSFTPD3.3mail服务器Linux操作系统+sendmail3.4存储技术根据用户对可靠性的要求，存储

18、技术打算采用RAID5。RAID5的技术简介：采用RAID5至少使用3块硬盘（也可以更多）。当有数据写入硬盘的时候，按照1块硬盘的方式就是直接写入这块硬盘的磁道，如果是RAID5的话这次数据写入会分根据算法分成3部分，然后写入这3块硬盘，写入的同时还会在这3块硬盘上写入校验信息，当读取写入的数据的时候会分别从3块硬盘上读取数据内容，再通过检验信息进行校验。当其中有1块硬盘出现损坏的时候,就从另外2块硬盘上存储的数据可以计算出第3块硬盘的数据内容。优点：RAID5是一种存储性能、数据安全和存储成本兼顾的存储解决方案，可以为系统提供数据安全保障， RAID 5具有和RAID 0相近似的数据读取速度

19、，只是多了一个奇偶校验信息，写入数据的速度比对单个磁盘进行写入操作稍慢。同时由于多个数据对应一个奇偶校验信息，RAID 5的磁盘空间利用率要比RAID 1高，存储成本相对较低。 缺点：只允许有一块硬盘出现故障，出现故障时需要尽快更换。当更换故障硬盘后，在故障期间写入的数据会进行重新校验。 如果在未解决故障又坏1块，那就是灾难性的了。四、网络设备的选型4.1核心层设备选型 华为S5700-24TP-SI（AC）主要参数产品型号S5700-24TP-SI（AC）产品类型企业级交换机 传输方式存储转发方式 传输速率（Mbps）10Mbps/100Mbps/1000Mbps背板带宽（Gbps）256地

20、址表大小16K产品亮点支持USB口外形尺寸44242043.6MM 网管支持支持堆叠，支持MFF，支持虚拟电缆检测（Virtual Cable Test），支持端口镜像和RSPAN（远程端口镜像），支持Telnet远程配置、维护，支持SNMPv1/v2/v3，支持RMON，支持网管系统、支持WEB网管特性，支持集群管理HGMP，支持系统日志、分级告警，支持GVRP协议，支持MUX VLAN功能电压100-240V AC，50/60Hz端口参数端口数端口类型非模块化模块插槽数1其它参数工作稳定0-50工作湿度10%-90%（无凝露）堆叠支持支持4.2汇聚层设备选型 H3C S1224详细参数基本

21、参数H3C H3C S122千兆以太网,多层 适用范围中小企业交换方式存储-转发交换容量（Gpbs）48Gbps 33023044mm 网络网络标准IEEE802.3x、IEEE 802.3、IEEE 802.3u、IEEE 802.3ab电源电压100V240V，50/60Hz最大功率40W 支持全双工是其它工作温度:0-40存储温度：-1070工作湿度:10%-85%无凝结存储湿度:10%-90%无凝结 4.3接入层设备选型H3C E126A 详细参数H3C E126A智能型交换机 交换容量（Gbps）19.244016043.6mm 重量（kg）38k10/100/100026100-2

22、40VAC,48-60Hz 0-4510%-90%非凝露4.4防火墙设备选型H3C NS-SecPath F100-S-AC主要参数H3C NS-SecPath F100-S-ACVPN支持用户数限制无入侵检测Dos,DDos30022042mm 重量2 Kg 控制端口Consol管理支持标准网管SNMPv3, 并且兼容SNMP v2c, SNMP v1, 支持NTP时间同步, 支持Web方式进行远程配置管理其它功能支持外部攻击防范, 内网安全, 流量监控, 邮件过滤, 网页过滤, 应用层过滤等验证4.5入侵检测系统设备选型华为赛门铁克 NIP1000简单描述设备类型： 电信级4探头千兆入侵检

23、测；检测效率：100M网络环境下漏报率低于1%；1000M网络环境下漏报率低于5%,攻击特征:30大类3000余条规则；响应方式：日志记录/ICP连接主动切断/重新配置边缘设备（如交换机,防火墙）/E-mail告警/SNMP TRAP告警 语言版本中文 版本号无 版本类型硬件产品 硬件环境接口类型：2个10/100/1000M探测端口（电口）,2个1000M探测端口（光口）,1个100M管理端口（电口）,1个配置串口；机柜尺寸（宽深高）：425mm652mm88mm,满配置时最大重量：15kg 适用平台吞吐量：1G,整机最大功耗：400W 4.6服务器设备选型WWW服务器：联想万全 R525

24、G2 D5504 22G/2300ANFK基本资料R525 G2 D5504 2300ANFK 机架式 产品结构 2U 处理器CPU型号 Intel Xeon,E5504 CPU主频 2.00GHz 三级缓存 4M 标配CPU数目 2个 最大CPU数目主板内存内存类型 R-ECC DDR3 标配内存 22G 内存插槽数 12 最大内存容量 96G 存储标配硬盘 3300G 2.5热插拔SAS硬盘 磁盘阵列 RAID0/1/1E 硬盘热插拔 支持硬盘热插拔 光驱 DVD-RW 软驱 USB软驱 网卡 集成高性能Intel双千兆自适应网卡 工作环境 工作环温度:1035; 35%-80的相对湿度 电源 750W单电源,支持90-264V/50Hz 尺寸 87.3430704.8mm 29.5Kg（满配,含包装） FTP服务器：联想T350 G6 T350 G6 54202/2G4/SAS 300G5/RAID5 塔式 Intel Xeon,Intel Xeon E5420 2.5GHz 二级缓存 12288KB 4 5SAS 300G Raid 5,外插256MB SAS RAID卡（有电池） 智能冗余电源 Mail服务器：标配