校园网路安全系统设计 _生活百科

校园网路安全系统设计【校园网路安全系统设计】校园网路安全是指网路系统的硬体、软体及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网路服务不中断
基本介绍中文名：校园网路安全系统设计
外文名：Campus network security system design
性质：电子科技
类型：技术
範围：校园
引言当今世界，各种先进的科学技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异，从各个方面影响和改变着我们的生活，而其中的计算机网路技术的发展更为迅速，已经渗透到了我们生活的各个方面，人们已经离不开计算机网路，并且随着网际网路的迅速普及，给我们的学习与生活条件带来更大的方便，我们与外部世界的联繫将更加的紧密和快速。随着人们对于信息资源共享以及信息交流的迫切需求，促使网路技术的产生和快速发展，而各高校及其中国小都在筹备建设校园网，希望通过校园网的建设，改善办学条件，提高教学、科研和管理水平。校园网的建设对于学校来说是一项大的工程，必须精心设计、精心施工，做到经济适用、技术先进、开放性能良好、投资强度合理、与国内外网路互联、能长期、稳定运行的高性能的校园网路。网路基础知识计算机网路是通过通信设施，将地理上分散的具有独立功能的多个计算机系统互联起来，进行信息交换，实现资源共享，互操作和协作处理的系统。计算机网路如按网路的组建规模和地域範围来划分的话，可分为区域网路(Local Area Network, LAN)、城域网(Metropolitan Area Network, MAN)、广域网(Wide Area Network, WAN) 。我们经常用到的网际网路(Internet)属于广域网，校园网属区域网路。未来的网路技术将向着使用简单、高速快捷、多网合一、安全保密的方向发展。2.1 计算机网路的简介计算机网路是一种地理上分散的，具有独立功能的计算机通过通信设备和线路连线起来，在配有相应的网路软体的情况下使各个计算机系统能相互自由通信，实现资源共享的系统。从计算机单机本身来看，它虽然可以在很短的时间内处理大量的信息，但是单台的计算机只能在自己有限的範围内工作，即使它的存储容量再大也是极其有限的，因此，便产生了在计算机之间交换数据的需求，此外在如何节约使用外部设备等需求，也导致了计算机网路技术的产生，实质上计算机网路技术是信息传播技术和信息处理技术结合的产物。计算机网路如按网路的组建规模和延伸範围来划分的话，可分为区域网路(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN) 。我们经常用到的网际网路(Internet)属于广域网，校园网属区域网路。未来的网路技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。2.2 校园网的建设思路校园网的建设是一项非常複杂的系统工程，校园作为一个特殊的网路套用环境，它的建设与使用都有其自身的特点。在选择区域网路的网路技术时要体现开放式、分散式、安全可靠、维护简单的原则。区域网路技术是一项在20世纪70年代发展起来的计算机互联技术，经过多年的发展，技术已经成熟，并得到了广泛的套用，区域网路技术成为网路技术的重要组成部分。计算机多媒体技术是伴随着多媒体信息的套用而得到迅速发展的计算机套用技术，在网路环境下，多媒体得到了更快更好的套用，使我们得到了更好更多的信息。校园网是使用了区域网路技术以及各种多媒体套用技术，并结合Internet套用等其它的技术来建设。使得校园网能满足现代教学对信息处理的要求，使计算机的套用能对教学管理现代化起重要的促进作用，能实现信息查寻、教务管理，并与外部网路系统进行交流等多种需要。2.3 校园网的建设原则及其目标1.校园网的建设原则校园网建设是一项综合性非常强的系统工程，它包括了网路系统的总体规划、硬体的选型配置、系统管理软体的套用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关係，从而使校园网的建设工作健康稳定地开展。首先，校园网的建设是一个为学校教育教学活动长期服务的工作，因此在校园网的规划建设过程中，必须从学校长远发展规划出发，以服务于教育为基本点，结合学校当前教育教学的实际需要，做出科学的规划部署。在校园网的规划建设中，一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬体建设与组织管理协调发展的原则，在重视硬体建设的同时，加强网路的组织管理水平，不断开发网路的功能，从而充分发挥校园网路的功效，提高校园网对学校教育的服务水平。2.校园网的建设目标校园网路的建设的目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播（VOD）等信息共享功能，能实现办公的自动化、无纸化。能通过与Internet的互联，为全校师生提供国际网际网路上的各种服务。教师可以製作多媒体课件以及在网上保存和查询教学资源，能对学生进行多媒体教学和通过网路对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源，从而可以更好地进行学习，校园网能为学校的信息化建设打下基础。区域网路简介3.1区域网路的特点区域网路，是指範围在几百米到十几公里内办公楼群或校园内的计算机相互连线所构成的计算机网路。区域网路广泛套用于连线校园、工厂以及机关的个人计算机或工作站，以共享软、硬体资源和数据通信。美国电气和电子工程师协会（IEEE）区域网路标準委员会员会曾提出区域网路的一些具体特徵：1) 区域网路在通信距离有一定的限制，一般在1~2Km的地域範围内。比如在一个办公楼内、一个学校等。2) 区域网路中经常使用共享信道，即所有的计算机都接在同一条电缆上。较高传输率的物理通信信道也是区域网路的一个主要特徵。3) 因为连线线路都比较短，中间几乎不会受任何干扰，所以区域网路还具有始终一致的低误码率。4) 区域网路一般是一个单位或部门专用的，所以管理起很方便。另外区域网路的拓扑结构比较简单，所支持连线的计算机数量也是有限的。组网时也就相对很容易连线。3.2 网路的体系结构网路通常按层或级的方式来组织，每一层都建立在它的下层之上。不同的网路，层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务，这一点是相同的。层和协定的集合被称为网路体系结构。作为具体的网路体系结构，当前重要的和使用广泛的网路体结构有OSI体系结构和TCP/IP体系结构。OSI——开放系统互连参考模型（Open System Interconnection Reference Model），它被分成7层，这7个层次分别定义了不同的功能。几乎所有的网路都是基于这种体系结构的模型进行改进并定义的，这些层次从下到上分别是物理层、数据链路层、网路层、传输层、会话层、表示层、套用层，其中物理层是位于体系结构的最低层，它定义了OSI网路中的物理特性和电气特性。TCP/IP（Transmission Control Protocol/Internet Protocol,传输控制协定和互连网协定），TCP/IP体系结构是当前套用于Internet网路中的体系结构，它是由OSI结构演变来的，它没有表示层，只有套用层、传输层，网际层和网路接口层。伺服器设定：区域网路上共 2 台伺服器，其中 1 台用做内部档案伺服器。另一台用做 Internet 伺服器。Internet 伺服器运行 Windows NT + IIS + Exchange Server，提供 WWW、FTP、Email 服务。3.3 网路协定网路协定是通信双方共同遵守的约定和规範，网路设备必须安装或设定各种网路协定之后才能完成数据的传输和传送，在校园区域网路上用到的主要协定有TCP/IP协定、IPX/SPX协定等等。TCP/IP协定是目前在网路中套用得最广泛的协定，TCP/IP实际上是一个关于Internet的标準计算机网路标準模型，并随着的Internet广泛套用而风靡全球，它也成为区域网路的首选协定。TCP/IP是一种分层协定，它共被分为个4层次，大约包含近期100个非专有协定，通过这些协定，可以高效和可靠地实现计算机系统之间的互连。TCP/IP协定中的核心协定有TCP（传输控制协定）、UDP（用户数据报协定）和IP（网际网路协定）。TCP协定提供了可靠的报文流传输和对上层套用的连线服务,TCP协定使用顺序的应答,能够按需重传报文.TCP协定将套用层的数据封装成数据段,到达目的主机后重新组装这些数据段.如果发现有没有到达的数据段,将重新进行传送。UDP协定是传输层的另一个协定.UDP提供了一种基本的、低延时的称为不面向连线的、不可靠的数据报的传输。UDP的简单性使其不适合于一些网路套用，但对另一些更複杂的、自身提供面向连线功能的套用却很适合。SNMP、NFS和DNS这样的套用使用UDP协定。IP协定工作在网路层，它不关心数据报的内容是什幺，只是寻找一条能够把数据报送往目的主机的最优的路径，即定址和路由功能。因为各个网路上的数据报大小可能不同，所以数据报的分段和重组也是IP协定的不可或缺的功能。需求分析4.1需求分析大家知道区域网路最大的特点就是可以实现资源的最佳利用,如:共享磁碟设备、印表机等,从而可以在组建的区域网路内部互相调用档案,并可在任何一台共享印表机上进行列印;当然我们也可以藉助Wingate或Sygate等软体多机共享一台Modem上网；或者通过代理伺服器连上Internet，享受非一般的速度。其实如果只是组建一个小型的区域网路，我们只要添置几块网卡和一些数据线,就可以自己动手“丰衣足食” 。如果区域网路中没有网卡，就如河流没有桥樑架在两岸一样。网卡是网路接口卡NIC（NETWORK Interface Card)的简称，它是区域网路最基本的组件之一。网卡安装在网路计算机和伺服器的扩展槽中，充当计算机和网路之间的物理接口，因此可以简单地说网卡就是接收和传送数据桥樑。网卡根据传输速率可分为：10Mbps网卡（ISA 插口或PCI插口）、100Mbps PCI插口网卡、10Mbps/100Mbps自适应网卡和千兆网卡。目前10Mbps ISA插口的网卡仍以其低廉的价格占有市场的一定份额，但由于10Mbps ISA插口网卡的网路传输速率低，且占用大量的CPU资源，只适应于那些对速度要求不高的区域网路，因此我推荐用100Mbps PCI插口的网卡或者10Mbps/100Mbps自适应网卡，价格不贵又能够适应于用户比较多，网上传输的数据量大和需要进行多媒体信息传输的套用环境。在选择网线时要先看你所购买的网卡的接口类型，网卡的接口有两种类型：RJ45口和BNC口。BNC口是用细同轴电缆作为传输媒介的一种网卡接口。RJ45是採用双绞线作为传输媒介的一种网卡接口，RJ45的接口酷似电话线的接口，但网路线使用的是8芯的接头，使用RJ45的缺点是架设成本高，但安装和维护较为方便，因此我们一般使用RJ45接口。集线器 (HUB):根据微机的数量,利用 HUB构成星形结构 ,在工作站较多的情况下 ,会因 HUB的处理速率远远低于通信线路的传输速度 ,从而造成瓶颈问题。因此有条件的话可选用交换机。一个 Hub所组成的域称为冲突域 ,也就是说 ,网路上任何一台计算机在收发数据时 ,其他所有计算机都能够收到 ,且这些计算机不能同时进行数据的收发 ,否则会发生碰撞(CSMA/ CD协定会阻止碰撞 ) 。此外每台接入 Hub的计算机 ,都要检测接收到的数据目的地址 ,以确认是否是收到自己的通信信息 ,因此计算机 CPU占用率高 ,全网通信效率低 ,只适用于小型工作组级别套用。学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽频多媒体网路；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段；也是一项灵魂工程。其设计方案应注意以下原则：实用性校园网设计应能满足学校目前对网路套用的要求，充分实现学校内部管理、教学和科研的网路化、信息化的要求，使网路的整体性能儘快得到充分的发挥，并且便于掌握。可靠性校园网的系统及网路结构较为複杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率)，提高容错设计，支持故障检测和恢复，可管理性强。统一性在系统的设计过程中，坚持"三统一"，即统一规划、统一标準、统一出口。先进性在系统的开发过程中，既能满足当前院校对网路的套用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。节省性在充分满足以上要求的前提下，应充分考虑到学校的经济承受能力，儘可能地节约投资，利用好资源。4.2关键设备在产品选购之前一定要经过认真的分析，这次参与组网的机构选用美国Cisco公司的Catalyst 6506作为数据网路系统的内部核心交换机，Catalyst 6506是大容量的具有高交换能力的第三层模组化交换机，Catalyst 6506的交换容量以及连线埠数量等技术指标足以满足网路目前的需求。选择Catalyst 3548作为外网交换机。可以通过千兆的光纤链路连线到核心交换机，而所有的用户终端可以通过10/100M自适应通道接入到Cisco Catalyst 3524和Catalyst 3548交换机上。选择Catalyst 3524和Catalyst 3548作为计算机网路系统的二级汇聚交换机，为终端用户提供10/100M到桌面。选择Cisco 3662作为计算机网路系统DDN、ISDN访问路由器，既可以满足上级单位Internet的DDN、ISDN接入的需求，又可以满足继续扩展的需求。同时Cisco 3662作为计算机网路系统的拨号伺服器，提供分支机构的拨号接入。网路核心层：用一台Cisco的高端三层交换机Catalyst 6506作为整个交换系统的核心，由网路中心网路管理员统一调度，从而使计算机网路系统成为一个具有整合的千兆乙太网主干并具备第三层交换功能的综合网路通信平台。其中配置两个电源同时供电，彼此分担负荷并互为备份。一块WS-X6K-S1A-MSFC2交换引擎是交换机的心脏，它控制交换机的定址、数据转发、模组控制等。Catalyst6506交换机引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有极强的三层交换能力，利用Cisco特有的Netflow技术，完全满足核心线性三层交换的能力。另一块WS-X6408-GBIC 的8连线埠千兆以太光纤模组将所有的汇聚层设备、接入层设备、网管工作站及网路套用伺服器都直接连入到核心层设备上去。汇聚层：在分配线间分别设立Cisco Catalyst 3524和Catalyst 3548作为计算机网路系统汇聚层设备，汇聚层设备将通过光缆以千兆乙太网为主干连线到核心层设备Catalyst 6506上去，终端用户可以通过超5类UTP线缆连线到各层交换机中去，可以实现10/100M的自适应通道连线到区域网路中去。接入层；在网路接入层中我们选用了一台Cisco 3660路由器作为广域互连和外部用户拨号访问网关，其中主要採用了两种接入方式分别实现各自功能：1.　ADSL接入方式。2. FTTX+LAN接入方式。4.3校园网网路拓扑结构根据校园网的需求分析及建设目标，本设计方案採用交换式千兆乙太网作为主干，百兆交换到桌面。网路拓扑採用星型树结构，网路中心的交换机使用堆叠方式连线。技术方案5.1校园网的建设规划校园网建设作为一项複杂的系统工程，与任何一项工程建设一样，在开始建设前都要根据工程的特点事先进行详细的工程规化与技术需求分析，它的成功与否都直接影响到工程的建设质量以及今后网路能否可靠运行都有直接的关係，因此要特别认真地进行系统规划。对于校园网来说，必须对技术和教育的发展前景有着清醒的认识，只有这样，才能从很好地为校园网进行合理的规划。5.1.1校园网的套用特点随着现代化教学活动的开展和与国内外教学机构交往的增多，对通过Internet/Intranet网路进行信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥师生的创造力，校园网路建设成为现代教育机构的必然选择。校园网大都属于中小型系统，以园区区域网路为主，一个基本的校园网具有以下的特点：高速的区域网路连线--校园网的核心为面向校园内部师生的网路，因此园区区域网路是该系统的建设重点，由于参与网路套用的师生数量众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是网路的一项基本要求；信息结构多样化--校园网套用分为电子教学（多媒体教室、电子图书馆等）、学校管理和远程通讯（远程教学、网际网路接入）三大部分内容：电子教学包含大量多媒体信息，学校管理以资料库为主，远程通讯则多为WWW方式，因此数据成分複杂，不同类型数据对网路传输有不同的质量需求；操作方便，易于管理--校园网面向不同知识层次的教师、学生和办公人员，套用和管理应简便易行，界面友好，不宜太过专业化；经济实用--学校对网路建设的投入有限，因此要求建成的网路应经济实用，具备很高的性能价格比。5.1.2 校园网的需求分析我们在着手设计一个校园网或者计算机区域网路时，其主要依据就是网路用户（学校）的需求及将要建设的网路系统的特点。通过对实际需要进行细緻的分析，才能确定系统的总体目标和近期目标。需求分析是如何设计、建设和套用校园网的关键。在完成校园网的需求分析之后，就要对整个校园进行物理结构和逻辑结构的设计，因为这是我们根据需求在具体设计校园网时首先要完成的工作。校园网具体的需求分析有如下几点：（1）总体目标对于一个校园网来说，系统的总体目标就是在一个时期内，当校园网完全建设好后所要达到的功能和具有的规模。一般来说，一个校园网系统总体目标是分步实施的，包括功能的分步实施和规模的分步实施。主要原因是受资金的限制（这是在建设校园网时普遍遇到的问题）和技术发展的影响（因为随着计算机网路技术的飞速发展，校园网总会有进行升级的需求）。因此我们在设计一个校园网时，要充分考虑到对已有校园网资源的再次利用，又要考虑到将来对校园网进一步的升级改造。（2）近期目标近期目标就是根据实际需求来设计和建设校园网，使建设好后的校园网能满足实际需求所应有的功能和规模，同时又要考虑将来能对校园网进一步的升级改造或者是后期工程的建设，系统近期目标是需求分析的重点。5.1.3 网路结构设计校园网路结构设计主要是进行网路的物理设计和逻辑设计，在完成结构设计后才能对网路设备进行选型。网路结构设计对于整个网路系统来说是十分重要的，它设计的成功与否都直接影响网路的使用功能的实现以及网路是否能满足网路的需求。（1）物理设计根据需求分析，可以知道整个校园网信息点的数目，同时也知道这些信息点在整个校园内的分布情况。当我们确定网路控制中心的位置后，就应该考虑如何把校园内的信息点连到网路控制中心以及各种设备的连线速率和网路使用的拓扑结构等，网路系统所使用来连线各种网路设备的传输介质也是需要考虑的问题。（2）逻辑设计网路的逻辑设计主要考虑校园网的IP子网网段的划分，通过实际的网路物理连线，依据实际需求来实现虚拟网路(VLAN)的设定。无论从网路的安全性和IP位址的可管理性来考虑，还是从有效利用IP位址资源的角度来考虑，将整个校园网划分为多个子网网段并对IP位址资源进行有效管理都是十分必要的。5.1.4 网路技术学校建设校园网有许多需要考虑的问题，如网路技术的选择、网路拓扑结构的选择、网路产品的选择、网路伺服器的选择以及作业系统、网路套用服务、网路管理及网路安全等方面。下面根据前面介绍过的各种网路技术来进行校园网组建技术的选择。(1) 网路技术类型网路系统的建设应遵循高可靠性、技术先进、开放性、成熟标準、易于扩展、可维护性好等原则，并充分考虑性能价格比和今后技术的发展。要求系统兼容性好，易于平滑连线，避免网路瓶颈。当前达到或超过100Mbps的高速网路技术主要有：快速乙太网、FDDI、千兆乙太网、ATM交换网。FDDI是几年前十分流行的高速网路技术，虽然技术十分成熟，但网路管理複杂且成本较高，现已被逐渐淘汰。ATM是比较先进的网路技术，它採用信元交换方式，以很高的速率在任意两点间建立直接的虚拟通信链路，有较强的传输质量控制能力，特别适合于多媒体信息的传输。但在实际使用事因连线埠价格过高，难以大规模採用。乙太网是种成熟的、质优价廉的网路技术，其标準已制定完备。经过多年发展，形成了完善的10Mbps、100Mbps和千兆乙太网技术，同时还由共享式的网路发展成为交换式的乙太网，具备与FDDI、ATM网路融合的多种方法与规範。从技术上看，乙太网技术还有不断发展的佘地，是一种能够到长期使用和发展的技术，另外乙太网还可以在不同速率之间平滑升级，不会有网路协定和规範上的障碍。综全以上对高速网路技术的分析，我认为在当前校园网的建设中应以建设和使用100Mbps快速乙太网为主，在局部主干上使用千兆技术进行连线。(2) 网路拓扑的选择当前在区域网路的建设中，主要套用的拓扑结构有汇流排型、环型和星型。在汇流排型网路中，由于各计算机共享一条通信电缆，而且不需要额外的通信设备，因此，可以节约组网费用。但是其缺点也是十分明显的，网路中的任何一个节点出现故障，都将导致整个网路瘫痪，这与在网路建设要求网路具有高可靠性和沉佘性不相符，因此使用汇流排型拓扑结构建设的网路已趋于淘汰，在新的网路建设中不应再使用。环型拓扑结构是令牌环网路技术所常用的一种网路拓扑结构，环型结构的缺点与汇流排型的缺点是差不多的，也是一种不太常用的网路拓扑。当前在各种网路系统的建设中使用最多的是星型拓扑结构，虽然星型拓扑结构的网路在布线和网路设备的花费多一些，不过目前各种硬体设备已经非常便宜了，这种花费是可以承受的。因而它的优点也是十分突出的，主要是当网路中某个节点出现故障时不会影响整个网路的运行，这使得网路从总体上可以提供高度的可靠性和沉佘性，这个性能十分适合校园网这种套用环境，也是校园网的建设中必须要求做到的。5.2 组网技术组网技术就是在有了网路的设计方案和各种网路设备之后，怎样把不同的网路设备按设计方案的要求连线起来所用到的各种技术。组网路技术在整个网路的建设过程中是最重要的阶段之一，它直接关係到建设出来的网路系统能否达到设计要求，能不能投入使用这样严重的问题，如在组网中有不按规範和标準来施工的话，建出的网路系统的质量是达不到设计要求，是不能满足用户需求的。组网技术主要包括：布线系统、Internet接入技术、防火墙等。5.2.1布线系统设计结构化布线系统的组成：网路系统的正常运行主要取决于网路设备和网路线路，对于网路系统来说，採用结构化布线系统能够很好地满足需求，特别是从计算机网路系统可靠运行的角度来说，布线系统的可靠性决定了网路系统通信信道的可靠性，它是计算机网路系统可靠运行的前提。整个布线系统主要包含光纤布线和室内综合布线系统。布线系统的主要是依据建筑物的分布图，国际商务建筑线缆标準（TIA/ELA 586A）和《建筑与建筑物综合布线系统工程设计规範》来设计的。使用结构化布线工程设计的布线系统具有实用性、灵活性、可扩充性以及真正的开放性。一次性布线，可保证在十五到二十年之内，其系统性能不会下降，功能也不会落后，真正达到一次投资，长期受益。建成后的结构化布线系统将具有满足多种计算机网路系统（10/100/1000M Switch、FDDI、ATM）对线路的要求，不仅能实现计算机连线埠的灵活配置，而且方便计算机网路的平滑升级和扩充。光纤布线主要是用在建筑物之间或楼层之间，这些建筑的距离一般都比较远，超出了双绞线的连线距离，具体情况要看信息点的分布和数量以及对网路频宽的要求来决定。室内布线採用5类（超5类）非禁止双绞线进行布线。整个布线工程分为工作区子系统、水平子系统、垂直子系统，建筑子系统和管理子系统来施工的。工作区子系统由终端设备连线到信息插座的连线和信息插座所组成，通过插座即可以引出电话也可以连线数据终端，在RJ-45插座内不仅可以插入数据通信通用的RJ-45接头，也可以插入电话机专用的RJ-45插头。水平子系统是将楼层配线间路延伸到用户工作区，并连向各个信息插座。线缆由配线间进入房间后，可走天花板或桥架,以走暗线的原则走线。电缆桥架应高出地面2.2米以上，桥架顶部距顶棚或其他障碍物不应小于0.3m 。桥架宽度不宜小于0.10m，桥架内横断面的填充率应小于50% 。结构化系统的布线是放射型的，线缆量较大，所以线槽量的计算是很重要的，按照标準的线槽设计方法，应根据水平线的外径来确定线槽的容量，即：线槽的横截面积=水平线截面积之和*3。垂直主干子系统用于连线楼层配线室，垂直乾缆系统的安装主要是由一连串通过地板对準配线间的垂直竖井组成的，可以连线搂层间的配线室。垂直子系统的连线可用多根双绞线形成集束穿过竖井进入水平子系统，外用线槽以保护和固定。建筑子系统是在各栋建筑物之间的相互连线，组成一个较大的建筑群综合布线系统。这一部分布线系统可以採用架空电缆、直埋电缆或地下管道内穿电缆，或者是这三者的任何组合，具体使用看施工现场而定。建筑子系统一般都採用光纤进行连线。管理子系统设定在配线设备和机房内，管理子系统由配线间、输入/输出（I/O）设备等组成。管理子系统提供了与其他子系统连线手段，整个综合布线系统及其连线的设备、器件等构成一个有机的整体。管理子系统内有部分主干布线和部分水平线的机械终端，为无源或有源或用于两个系统连线的设备提供设施。5.2.2布线系统的测试在结构化布线完工后，必须对整个系统进行测试后才能投入使用，以保证系统能达到设计要求。测试主要依据TIA/EIA 568A以及《建筑及建筑群结构化布线系统工程验收规範》来进行，测试内空包括线缆的长度、接线图、信号衰减、近端串扰、信噪比等。其中最重要的技术指标是衰减端串扰，它直接影响着双绞线的传输性能。5.3网路作业系统网路作业系统NOS（Network Operating System）是在计算机作业系统的基础上，加上一些具有实现网路访问和控制功能的模组以及相关的数据通信协定，是使网路上各计算机能够方便有效地共享网路资源、为网路用户提供所需的各种服务软体和规程的集合。目前主要的网路作业系统有NetWare、Unix、Linix和Windows NT/2003 。在校园网中一般情况下都用Windows NT/2003网路作业系统，因为它是图形化的操作界面、使用简单、安全可靠，以及和普及率很高Windows系列单机作业系统的兼容性很好。5.4 Internet接入技术如果校园网不能和Internet连线的话，就不能是一个完整的网路，也不能充分利用Internet网上的大量信息资源。因此校园网和Internet的连线技术就显得十分重要了，它关係到校园网与外部网路能能否进行可靠的连线。当前适合校园网与Internet的宽频连线方式主要有ADSL和光纤专线接入。ADSL是一种非对称的宽频网路数据传输技术，它的一个明显优势是经济上实用。ADSL宽频线路通过ADSL Modem接入Internet代理伺服器的网卡上的，不过ADSL专线的接入是用传统的模拟电话双绞线线路布线不很规範，线路质量不够好，达不到高速传输的要求，目前它只用在一些中小型网路。光纤接入是一种在校园网建设中普遍使用的一种技术，它是通过构建专用的Internet伺服器来实现的，在伺服器上运行各种网路服务软体，为校园内部的用户提供Internet的接入服务。光纤接入的优点是可提供比较高的网路频宽和稳定性，但它的连线较为複杂。5.5防火墙技术防火墙是计算机网路上一类防範措施的总称，它使得内部网路与Internet之间或其它外部网路互相隔离、限制网路互访，用来保护内部网路。防火墙简单的可以只用路由器实现，複杂的则可以用主机甚至一个子网来实现，设定防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网路的安全管理。防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视Internet安全和预警的方便端点。由于网路具有天生的开放性，所以有许多防範功能的防火墙也有一些防範不到的地方，如防火墙不能防範不经由防火墙的攻击和感染了病毒的软体或档案的传输。因此，防火墙只能是一种整体安全防範政策的一部分。实现防火墙技术从层次上大概可以分为报文过滤和套用层网关。报文过滤是在IP层实现的，它的原理是根据报文的源IP位址、目的IP位址、源连线埠、目的连线埠报文信息来判断是否允许报文通过，因此它可以只用路由器完成。在用套用层网关实现的防火墙有多种方式，如套用代理报务器和网路地址转换器等。在校园网中大部分的套用都是内部网路用户，而内部用户通常具有较大的访问许可权，因此区域网路系统的安全是整个网路系统安全中最重要的部分。但相对而言，内部的安全问题是可以预测的，并可据此制定相应的防範措施。5.6建网方案根据校园网路建设应遵循原则的介绍和各种网路技术的分析。总的来说，交换式快速乙太网是目前成熟技术中最先进、最实用的。所以决定选择光纤交换式快速乙太网作为校园网主干，系统总体上採用国际上流行的TCP/IP协定，併兼顾IPX协定，採用开放体系及在各种套用实践中得到检验的快速乙太网技术和产品。为了加强对分散式多媒体互动教学的探索，校园网可分为三个层次结构：主干网、广域网和内部区域网路。主干网採用1000Mbps快速乙太网技术，内部区域网路与主干网之间用乙太网交换机进行互联，根据用户的需求，网路建设目标，採用交换式千兆乙太网作为主干网，网路拓扑结构为星型，这样可有利于提高网路的高可靠性，便于维护和管理。採用交换式快速乙太网做主干有以下原因：速度快，安装、维护简单。主干速度为1000Mbit/s交换，能够满足网路套用层对主干网宽要求；基于标準技术，使用了乙太网MAC层上定义的CSMA/CD协定，可迅速利用现有设备接入，网路升级方便，性能价格比高。建设目标：构建普通学校校内Intranet环境，并通过代理伺服器接入Internet，实现与Internet 交流。建设校园网路中心，并通过一定的网路拓扑结构构建连线校园网路中心、计算机教室、教师备课机房、多媒体教学活动室、图书馆、校长室、教导处、财务处等的校园网，使之能通过一定的套用软体完成行政办公管理、教师备课授课、学生学习交流、校内信息公告、远程电子通讯、Internet通讯浏览等基本功能。5.6.1网路组成(1) 网路主干基于当前信息技术发展形势及经济实用可持续发展原则，建议构建100M频宽的快速乙太网，根据实际工作站信息点到网路中心的距离，选择适当的传输媒介进行网路综合布线。一般来讲，在同一幢大楼内距离不超过100米均可铺设超五类非禁止双绞线，而楼与楼之间的连线主干线原则上应架设光缆，以满足今后发展的需要。(2) 网路中心也就是校园网中心机房，应配置有各种系统伺服器（如：Web伺服器、Email伺服器、代理伺服器）、档案伺服器（资料库伺服器）、中心交换机、配线机柜等。如刚使用时数据流量不大，可只配置一台伺服器，视今后网路发展情况再作扩充。为保证网路运行稳定可靠，网路中心的设备选型应选择信誉可靠、质量上等、性能稳定、扩充性优良的专业产品。伺服器选用IBM等品牌的专业伺服器,如X236 8841-ICC，另加配可读写光碟机，用作系统备份。交换器可选用、CISCO产品，如CISCO 6065等。伺服器网卡则可选配3COM 的 3C905B-TX 100MB网卡。为使校园网能访问Internet，网路中心的代理伺服器可连线ASDL等通讯线路。(3) 计算机教室配置400台左右586以上微机，通过星型网路拓扑结构将所有微机连线到可堆叠交换机上，再通过交换机连线校园主干网。为方便教学，可在以上网路教室的基础上安装多媒体教学平台，使之成为一个既能完成信息技术学科教学，又能进行多媒体辅助教学，还能开展基于Internet技术的网路活动的多媒体网路活动室。(4) 教师备课机房为了能给广大教师提供一个完备的多媒体网路备课环境，校园网应能为每位教师提供网路接入终端，即每位教师都配有一台连线校园网的多媒体计算机，这将是一项投资很大的综合布线工程。为降低成本，一般中国小校可採用建设一个配置有10-20台酷睿2以上多媒体计算机的教师网路备课机房的方案。配有多媒体的连网计算机既能满足广大教师电子备课、电子阅览的需要，同时也能满足教师进行远程通讯、网上检索等基于Internet环境的教科研活动。(5)图书馆系统图书馆系统应该包括两个方面，第一是图书编目、借阅管理系统，它为图书馆管理提供了标準化、自动化、网路化的采编、流通、查询、统计以及读者管理等手段，如省教委推荐使用的共创图书管理系统；第二是多媒体视听阅览室，满足读者使用越来越多的电子音像读物的要求。多媒体视听阅览室从技术本质上来讲就是一个多媒体计算机网路室，如果学校已建好前面所述的多媒体网路活动室或教师备课机房，只要在网路上连线有一套光碟镜像伺服器，即可实现多媒体视听阅览的功能。(6)多媒体综合教室信息化环境的构筑其根本目的是为教学服务的，因此课堂信息化教学环境的建立应该是校园网建设的一个重要目标。针对课堂教学而言，计算机网路应能为师生合作教学模式提供支持。在合作教学模式下，教师通过网路安排教学计画，指导学生学习，批改学生作业，实施网上教学；学生既可以在教师帮助下进行自主学习，也可通过小组讨论等形式在同伴中开展合作学习。在当前情况下，在每个教室构建信息化教学环境还处在摸索探讨阶段，存在着投资大、可参考方案少等不利因素。有的学校採用在每个班级配置高亮度液晶投影仪、多媒体计算机、多功能视频展示台等设备的方法来实施教学环境信息化，教学仍旧还是在一个典型的以教师为中心的教学模式下进行着，这与构建校园信息化教学环境的初衷相距尚远。因此在当前形势下，一般中国小可在具有多媒体网路环境的计算机教室内开展基于多媒体网路环境下的合作教学模式的实验活动，而为开展多媒体辅助教学活动配设专用的多媒体综合教室。多媒体综合教室内配备有多媒体计算机、高亮度液晶投影仪、多功能视频展示台各一台，功放音响一套，其中多媒体计算机通过网卡连入校园主干网，从而方便调用网路内其它计算机上的教学资源，实现资源共享。多媒体综合教室不仅可满足正常的辅助教学活动，还可以用来举办讲座、开展培训，不失为当前形势下一种经济实惠的选择。学校可根据教学实际需要配置一到二个多媒体综合教室。(7)校长办公室及其它相关处室配置相应数量的酷睿2以上多媒体计算机，通过网卡与校园主干网相连，以实现学校信息管理的自动化、无纸化。以上只是整个校园网中一些主要的网路组成部分，此外还有学生宿舍楼、教师宿舍楼、实验室教学楼等。虚拟网设计由于整个网路较大，所以必须通过划分VLAN来实现流量的合理分配、内部网路的安全。通常VLAN的实现有以下几种方法：●基于连线埠的虚拟工作组，●基于MAC、协定、子网的虚拟工作组，●Tagged VLAN：通过在数据帧中增加VLAN标记位来区分不同的工作组。我选用的Catalyst 6506等交换机都支持以上各种VLAN的划分方法。虽然三种方式各有千秋,但是从实际出发，採用基于交换连线埠的VLAN划分方式是一种理想的选择,也是目前实际中普遍採用的划分方式。考虑到网路安全性的需要，还可以在路由交换机上进行相应的设定，实现网路访问控制。比如我们可以限制哪些用户拥有访问中心伺服器的权利，哪些则没有。根据以上思想，我将计算机网路（根据不同的部门划分）划分成几个不同的虚拟网，并赋予不同的IP子网地址。由于系统的特殊性，可以配合虚拟网的划分，给不同的虚拟网配置不同的子网段，整个网路可以非常方便地划分为几个子网，子网之间的通信由中心路由式交换机来实现，具体可以採用OSPF路由协定。5.6.2 网路软体运行平台(1) 伺服器作业系统：由于美国Microsoft公司推出的网路作业系统Windows 2003具有与有着广泛套用基础的在Windows 2003伺服器上，对直接连线到 Internet 的计算机启用防火墙功能，支持网路适配器、DSL 适配器或者拨号数据机连线到 Internet 。Web服务系统：选用Windows NT下的IIS信息服务系统。另外也有许多免费的BBS电子公告、中文论坛、网路聊天软体可以在NT下安全运行。(3) 资料库软体：建议採用“甲骨文的”oracle资料库软体。(4) 电子邮件系统：可採用Microsoft公司的Exchange Server,为简便使用也可採用一些共享软体如Sharemail、Imail等，这些软体都是基于标準SMTP/POP3/IMAP4/LDAP协定的邮件伺服器软体，用户界面简单直观，非常易于管理。(5) 网页维护製作软体：Macrosoft公司的FrontPage、Macromedia 公司的Dreamweaver、Flash都是很好选择。(6) 多媒体课件製作软体：Macromedia 公司的Authorware、 Director，洪图多媒体着作工作等都有着非常友好的界面，使用方便，拥有着大量的用户，推荐使用。(7) 代理服务软体：可採用WinGate3.05 for NT，这是一个功能完善、性能稳定的代理服务软体，非常好用。(8)工作站作业系统： Windows XP Windows 2003(9) 校园办公管理用软体：选用省教委统一推荐使用的“共创校园办公管理信息系统”网路版。(10) 工作站其它套用软体：文字处理、数据表格、图形处理、浏览器、电子邮件等都有许多大家熟悉并经常使用的软体。随着网路使用的日益广泛，今后校园网路在此基础上还将不断扩充，覆盖面将越来越广，如视频点播系统、远程登录管理系统、各类收费服务IC卡系统等。校园网的运行6.1 校园网的套用1.校园网管理信息系统中国基础教育校园网集成系统CFES面向全校，覆盖教育行政管理、图书馆管理、后勤管理和网际网路连线等领域，分为教学管理、学生管理、行政管理、通用服务、网际网路和图书馆管理等分系统，以及教务管理、教师管理、教材管理、设备管理、学籍管理、考绩管理、人事管理、文书管理、综合查询、通用查询、电子邮件、远程登录、图书编目、图书流通、图书检索和馆长查询等近七十个管理子系统。2.校园网计算机教学系统计算机教学系统主要包括多媒体网路教室、多媒体视频点播、多媒体视频广播系统。XX学校做为一所重点育人单位，在教学思想和教学手段上都有其独到之处。针对其具体情况，华育为学校设计了一个能够充分实现学校先进教育思想的一个现代化的教学平台，该方案实现了多媒体网路教学功能。它採用华育自有的多媒体教学软体，即华育多媒体视频点播系统和多媒体视频广播系统。充分利用校园网高频宽的优势，在计算机数据网路中实现了校园闭路电视的全部功能，可以对观摩教室进行现场直播，为现代化教学提供了一个新的平台。3.校园网站校园网不是一个独立的、封闭的体系，校园网与Internet互连后，校园网用户在许可权允许的範围内可以使用Internet上的Web访问、Email收发、FTP、Telnet、BBS、新闻组、讨论组、个人主页等服务。校园网站连线Internet，用于宣传学校形象、教学信息发布、提供信息查询等，以后可成为网上教学的渠道。网站主页的设计，主要由老师创意，学生製作，体现学生的创造性，培养学生的动手能力。6.2 校园网的管理根据前面介绍的校园网设计方案建设而成的一个校园网路投入运行之后，它的稳定性及可靠性是很高，也就是说出现问题的机率是很小的。但不论多幺稳定和可靠的网路系统都会有出现问题的一天，一般情况下出现的问题主要有人为操作失误（包括计算机病毒引起的故障）和整个网路系统本身不可避免的故障。因此要想使计算机网路的各种故障减少到最低的话，网路管理员就要在平时做好网路的预防性维护以及重要数据的备份、计算机病毒的防护，记录网路事件等工作。同时人为操作造成的故障在整个网路故障的绝大部分，因此要注意加强网路使用人员的套用技能和道德品质，可减少人员有意无意对网路造成的伤害。预防性维护是非常重要的，但也是容易被管理员所忽视。事实上预防性维护可以为系统管理员减少很多的麻烦，因为一些问题引起故障之前可以被发现，这样解决起来会容易得多，就可以减少故障发生的机会。日常维护的主要工作是：清理污垢和其他一些污染，如果灰尘等污垢太多的话就会造成设备散热不良，严重的还会引起电子器件间的短路。还要检查各种网路设备的连线情况，在一个计算机网路中各种连线是现容易出问题的，因此要安排一定的时间，每隔一段日期就检查一下区域网路中所有计算机系统的连线是否鬆动，还要查看一下电源线、显示器、网路，串列和并行电缆以及各种配件等。任何提供服务的网路都应该拥有备份系统，因为备份工作是必需的。在备份之后还要进行测试，以保证备份的系统能够正常工作。要确保备份系统的完整性，在安装了伺服器或备份设备之后，或者对系统进行了重大的修改之后（如升级），一定要把整个系统备份下来，再恢复其中的部分档案进行测试。根据系统中的数据情况，可能每一项都要进行完全备份，也可能只做增量备份就可以满足需要了，具体需要备份的数量应由系统环境来决定