1、依安县实验中学校园网设计方案项目名称:依安县实验中学校园网设计人员: 王成文 人完成时间: 2016 年 6月 20日 1、声 明 本方案只供依安县实验中学使用2、方案设计综述 2.1项目背景 当今社会,计算机和网络对社会的影响已经迅速扩大,开始影响人们生活的许多方面。特别是进入 90年代以来,多媒体技术和网络技术的飞速发展正在以惊人的速度变革着我们的学习方式、工作方式、交往方式和生活方式。 科学技术是第一生产力,是最先进的生产力。今天,信息技术已经成为科学技术的前沿,已经没有人能够否认信息技术的发展将会或者已经引起了人类社会全面和深刻的变革,使人类社会由工业社会迈向信息社会。 在信息技术已引
2、起了全面而深刻的社会变革的同时,信息时代的到来也迫切要求我们的教育进行改革,同时也对教育提出了新的要求。据联合国教科文组织的统计:人类近 30年来所积累的科学知识,占有史以来积累的科学知识总量的 90%,而在此之前的几千年中所积累的科学知识只占 10,。可见,知识总量在以爆炸式的速度急剧增长,知识更新越来越快。教育如何面对迅速增长的知识,如何面对我们今天的信息时代, 目前,世界各国对教育的发展给予了前所未有的关注,都试图在未来的信息社会中让教育处于一个优势的位置,从而走在社会发展的前列。为此,许多国家都把信息技术应用于教育,作为民族发展的重要推动力。 为此,我国也部署了科教兴国的宏伟蓝图,开始
3、了一系列的现代教育信息化改革。面向 21世纪教育振兴行动计划,校校通工程计划等相关的信息化建设方案的部署实施,加快了教育改革现代化建设的步伐。 以上事实都在向我们说明一个问题,教育信息技术的发展离我们越来越近,我们正在逐步向信息化校园方面建设。 作为核工业研究生部,对计算机教学和以计算机技术、网络技术为核心的计算机网络教学的需求也越来越迫切。因此,为顺应信息化发展需求,为祖国培养出更多适应时代潮流的优秀干部群体,加快本校信息化的建设步伐,在现有的环境基础上,校园网络系统的建设意义亦变得越来越大。使建设一个可实现并提高办公过程的高效、舒适、便利的高效信息化综合计算机网络平台则成为一个急需解决的问
4、题。 2.2学校需求分析 学校信息网总体的应用需求分析 对于一个完善的校园网来说,应该为学校的正常教学提供稳定的数据平台,更重要的是能够在平台上面运行各种应用系统,使得学生的学习生活更加的丰富,校园的管理更加的便捷。具体应用见上图。 从一个校园网的建设来说,应该在满足教学要求的基础,考虑适当的扩展性,建议不要盲目追求奢华。从长远的角度看,综合布线系统应该一步到位,满足将来的扩展,因为这种投资是一次性的,变更起来很不容易。 从目前众多学校需求角度考虑,校园网建设的目的是提高学校的教学水平和教育管理的效率。因此,我们将校园信息化的建设由大及小进行了分解,从学校目前的需求,我们从以下几方面考虑和满足
5、学校的校园网规划: 1(将现有的学生用各种计算机课程和专业计算机教学的计算机机房连入校园网 2(满足敞开式多媒体互助教学解决方案(电子图书阅览和视频 VOD点播系统)的网络带宽的需要 3(满足多媒体教学、vod 视频点播的需求 4(建立校园网络化电子办公子系统 5(开通连接国际互联网的通道,使校园网直接进入 nternet 6(作为校园网建设的一部分,网络连接设备和服务器设备不仅要能满足当前的教学应用,还要考虑到今后的学校发展需求;以保护投资。 7. 提供远程教学服务、WWW 服务,FTP 服务,E-MAIL 服务,数据库,视频点播服务,DNS、代理服务等; 8. 培养一批既懂管理又会使用计算
6、机的管理人才和系统维护人才 9. 对学校的敏感数据采取措施予以保护,在公网和私网之间的连接采取有效的安全防护。 从上面的目标可以看出,目前,该校的校园信息化建设网络架构平台基本完备,只是缺乏各个应用子系统,即,网络设备系统和应用软件系统。因此,根据贵校提出的初步意见,结合网络设计的规划要求和学校的经济实力,我们建议采用中心骨干和子系统建设一步到位的建设性意见。也可根据学校的实际需求来分阶段实现学校的教学应用需求。 2.3设计原则 就目前我们对部分学校的教学需求和网络应用的需求考察结果,并尊重长远考虑、就地起步的规划,我们提出了在技术上遵循开放、标准、成熟、安全、可靠和可扩展的思想,追求技术上的
7、先进性与成熟性、实用性相结合,追求整个系统性能的最佳化、合理优化、节省费用等原则。 1( 基于路由器和交换机的局部网间的互联是最好的解决方案。因此,网络协议方面,以网际协议(IP)作为校园网网络系统的公用网络协议实行标准化。因为 IP是 Internet的母语,并作为网络通信的通用语言而在世界范围内广泛使用。由于使用 IP作为标准传输协议,在以后对网络进行扩充以与其它政府部门的网络互连时,可以跨越多个平台自然而然地提供互操作能力和无缝连接功能。所以,IP 优化网络允许用户访问电子邮件、企业内部网和利益复杂的 Internet应用。 2( 在网络服务器的选择上,我们选择了 DELL系列服务器,作
8、为世界知名品牌,我们有着广泛的合作,而 DELL的金牌服务更能为我们提供最优良的系统设备和最优质的售后服务。 3( 在主干网建设时,结合学校的建设性意见,我们把选择范围缩小在 3com系列的千兆交换机系列产品,它能够在整套方案中以极具竞争力的价格提供所有技术。并且,3com 本身是高速交换机系列产品中的高端系列设备,它的发展拥有明确的技术方向,有助于我们是应未来应用的发展。将会为我们提供一个高度集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案。 4( 在局部网建设方面,根据学校的建设需求和未来发展的趋势,我们仍然选择使用 3com可堆叠的百兆交换机作为网络的二层交换机(位于配线间)。
9、这为边缘/二级交换点提供了可伸缩的结构化、高性能的设备。这样,能够保证网络数据的高速传输,同时通过它的 Secure技术,保证了子网的安全地接入 Intranet或 Internet和一体化的网络解决方案。 5( 安全性是另一个关键要求,本方案中,我们采用硬件防火墙技术,保证用户保证用户能够安全地接入 Internet,预防来自外部和内部的网络攻击。 6( 保障数据完整性,对数据库操作保证数据的一致性和数据的完整性 2.4系统设计目标 综合以上的各种信息,结合当前的国内外各类院校,尤其是学校的计算机系统应用情况,和国家教委对校园网建设的规范意见, 核工业研究生部校园网要实现的目标是: 以先进的
10、计算机及通讯为手段建立学校内部的校园网网络,纵向向上与 Internet互联网相连,向下与各教学子网、管理子网点相连接,横向与其它学校单位相连接的计算机综合网络系统。构筑满足学校的教育教学活动的要求,满足日常工作的处理电子化、日常办公自动化、领导决策科学化,和信息交流快捷方便化。即实现教学业务系统处理、日常办公、领导决策计算机化、信息交流国际化的先进系统。同时,要求网络设备和骨干设备具有适当的超前性,应该满足未来发展需求和良好的设备兼容性。 结合以上目标,在统一设计思想、统一信息交换标准、统一技术规范的原则下,系统应达到以下目标: 为各专业专职教学单元(多媒体教室、语音室、电子图书馆、电子阅览
11、室等)提供宽带网络支持 提供校内和校外互通的公用信息交换平台 提供 Web发布信息等 Internet的信息服务; 提供日常工作的处理网络化、电子化的日常办公自动化环境 提供电子化档案的信息查询,提供先进的服务手段, 提高效率和质量; 为调控、科学决策提供有力的支持; 为校园网提供有力的技术保障,增加校园内部系统的安全性 提供必要的网络服务 增强学校的竞争能力,保持领先优势。3、校园网详细设计方案说明 3.1网络主干拓扑结构 计算机网络技术种类很多,采用星型结构的以太网是目前最为安全成熟的技术,并且,从应用角度讲,星形结构是综合布线系统的推荐网络拓扑结构,可以与综合布线系统紧密结合,使得整个网
12、络系统的通信瓶颈从以往的网络电缆转移至中央网络设备上。在中央设备之间,鄙弃传统的 HUB争抢技术,而采用交换以太网络设备配合星形结构来实现核工业研究生部计算机局域网络的需求,使得中央结点与各个楼宇结点的网络吞吐能力大大加强,对多媒体的支持也更加完美,既而提高整个系统的吞吐能力。 所以在核工业研究生部的网络方案中,整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。 这种拓扑结构与以往的总线结构相比具有以下特点: 1. 网络的可靠性增强,如果在网络中的一个站点或一条线路的发生故障时,不会影响到其它接点的正常工作; 2. 网络的可扩展性强,如要扩充网络结点,则只要有一条线即可将扩充结点联
13、接到网络上,且不影响其它结点的工作。 3. 网络便于日常的管理和维护。 4. 网络便于维护,可远程管理和配置网络。 5. 网络带宽容易扩展,配备光纤接口和千兆位接口扩展口。为此,在分析了核工业研究生部网络工程需求和实地考察的基础上,结合综合布线系统,我们将利用先进的快速以太网交换机产品,组建一个多级星型结构的交换以太网,来构成整个网络系统。 3.2网络设计说明 计算机网络体系结构是由计算机体系结构不断发展和逐步演变而成的。网络的拓扑结构是抛开网络电缆的物理连接来讲解网络系统的连接形式。拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星形结构、总线型结构、树形结构、网状结构、
14、蜂窝状结构、分布式结构等。它们各有自身的特点,有着不同的应用领域。在局域网中,使用最多的是总线型结构和星形结构。目前,在校园网中主要采用中心交换的星形拓扑结构,可以使 100M共享到桌面,架构快速的以太网网络。 建设核工业研究生部综合网络的一个重要目的就是要在各个楼宇、部门和教学环节间建立一条高速、高质量的通道,以便其相互通信和共享信息、数据及设备等资源。为此,需要使用目前世界上先进的高速传输和智能交换技术(包括第三层交换),构造高性能的的主干网络。另外,鉴于网络中某些部门对网络安全和带宽的特殊要求,必须使核工业研究生部的信息化网络(尤其是主干网)具备虚拟网络的功能,从而可确保网络使用者可方便
15、、灵活和安全的访问整个网络。 根据核工业研究生部现代化校园网建设要求,本公司设计了以交换式千兆以太网技术为骨干的网络解决方案。中心机房设在综合教学楼 3层,通过光纤(多模光纤接口)从网络中心以星型结构发散到核工业研究生部的各个楼宇,构成核工业研究生部现代化校园网主干,然后分别从各楼宇的配线间通过双绞线星型发散连接到各科室、教室。 综合教学楼是整个校园网的信息中心。在本方案中核心交换机、服务器、采用集中式布置于中心机房,这样便于管理并极大的增强安全性。在核心交换机的选择上,核心交换机应具有三层或多层交换的功能,以支持各子网间的通信;并且中心交换机须配置多个 1000Mbps光纤网络接口,用以连接
16、其它各楼宇或网络二层交换机。通过交换机之间的堆叠连接方式来为用户提供接入服务,这种方式在保证网络性能的前提下可节约大量的资金。 3.3服务器选型 3.3.1服务器选型原则 在服务器选型时,重点依据了如下主要的原则 必须是当前国际上先进的、有生命力的机型(要具有较好的性能价格比。 支持 SMP对称多处理方式和 ClusTER方式。 具有高可靠性和安全性(如带 Ecc校验,对数据的奇偶校验,热切换硬盘等)。 要有良好的性能,具有较高的 TPs值(适应所负担的应用要求。 在设计上最好采用模块化及通用性设计,易于扩充,易于维护。 服务器厂商具有良好的售后服务和技术支持。 3.3.2网络服务器及功能 核
17、工业研究生部的网络应用具体来讲包括:WWW 服务、FTP服务、DNS 服务、DHCP 服务、数据库服务、计费服务、防病毒服务、远程教学服务、电子图书服务等。有些服务可按照网站或网络架构的建设速度或阶段来分步骤实现。如前期先实现WWW服务、DNS 服务、电子邮件系统、FTP 服务,其他如数据库服务、计费服务、防病毒服务、远程教学服务、电子图书服务等可根据具体的需求来建设。 这里我们设置 4台 DELL服务器为核工业研究生部提供数据库服务、计费服务、远程教学服务、电子图书服务,同时提供瑞星杀毒软件服务;所有服务器配备相应的软件来实现系统功能,所有服务器安装瑞星病毒防火墙,确保软件系统的安全性。3.
18、4网络设备选型和部署 3.4.1网络设备选型 根据网络技术发展现状,本着先进、安全可靠和一次到位的原则,关键部位的网络设备全部采用被业界广泛认可的3com公司高性能交换机,对于桌面级应用采用性能价格比教高且支持 VLAN的中端交换设备,从而保证全网的的通讯安全性、可管理性和高效性。本方案中主要包括两个层次的交换设备:中心交换设备、二级交换设备。 中心交换设备:3com Quidway S5516 二级交换设备:3com Quidway S3050C、3com Quidway S3026C 3.4.2网络设备联接描述 校园网中心交换机采用一台 3com Quidway S5516交换机,该交换机
19、位于综合教学楼信息中心的机房中,利用 LS-GS4L 4口千兆光纤交换模块,同校园内其他建筑中二级交换机上的千兆光纤口以多模光纤相连,余下的扩展槽预留为今后 提供扩展和冗余能力,另外需要单独配置一块 LS-GT4U千兆以太网交换模块用于连接本地服务器。校园内光纤采用重铠6芯多模光纤到每幢建筑,每台交换机的连接只使用其中的两芯,剩下的 4芯可以作为冗余和今后扩展使用。二级交换机采用 3com Quidway S3050C交换机和 3com Quidway S3026C交换机,通过交换机上的一个 LS-GMIU千兆光纤端口作上连,其他的 LS-LSIU口用于和本地的其他交换机堆叠互联,提供 48个
20、或 24个 100兆快速以太网接口连接各终端,实现百兆到桌面。(见网络拓扑图) 3.5校园监控系统 多媒体数字监控系统,是时代发展的产物。当今多媒体数字监控系统采用了 4C技术,即控制技术、显示技术、通讯技术和计算机技术。这些高新技术的应用,使电视监控系统技术上了一个新台阶。它使管理者坐在控制室中就能控制前端的设备,观察到控制范围内所有重要地点的情况,为管理、保安系统提供了临场视觉效果,为监控范围内各种设备的运行和人员活动提供了较为直观的监视手段。因此,多媒体数字监控系统已成为现代化管理和智能保安系统中不可缺少的组成部分。 3.5.1多媒体数据监控系统设计构想 随着现代防范技术的发展,不仅要求
21、办公环境应非常舒适,有优良的服务,更要求有良好的安全防范措施,为用户提供安全、安心的保障。针对核工业研究生部的安全管理是在主要出入口、办公楼、机房以及教室周边等地点,为了实现一元化管理和出现问题及时、有效的处理,并符合运行可靠,操作简单,维修方便的条件,我公司在监控系统方案设计中,前端部分采用日本 SONY的优质视频产品,主控部分采用了亚讯硬盘录像机方案。全部监控画面在监控室使用硬盘录像机进行录像、存储、控制,同时使用显示器进行画面显示。并设光盘刻录机以便于用户将重点画面保存。 3.5.2设计说明 通过对核工业研究生部的需求了解,为了满足控制区域覆盖严密,监视电视图像清晰的要求,并符合运行可靠
22、,操作简单,维修方便的条件,我公司在本次监控系统方案设计中,使用了较先进的产品。 前端设备: 包括 16台带全方位云台和防护罩的一体化变焦彩色/黑白转换日本 SONY摄像机,其中内置解码控制器、大倍率变焦镜头,并具有预置功能。可监视场区内的活动情况。 (1) SONY公司优质的视频产品设计优美, 480 线一体化变焦彩色黑白转换摄像机高清晰度,采用 DSP数字技术控制背光补偿,白平衡,自动增益可对拍摄范围进行很大调整。 (2) 通过前置拾音器进行声音复核,基本覆盖了电台内所有智能建筑以及大部分室外区域。 (3) 采用枪式摄像机,起到威慑作用。 (4) 全方位云台,起到随时监控电台内环境的作用,
23、操作方便、快捷。 (5) 每台摄像机配有辅助射灯,保证了夜间监控画面的清晰度。 (6) 防护罩采用全封闭设计,达到抗强风、抗风沙、抗直射强日光、抗雷击、抗腐蚀等的要求。 传输系统: 图像信号采用视频电缆传输(可以加信号放大器),控制信号则采用非屏蔽双绞线传输。 后端设备: 主控记录设备为 1台具有大容量存储器的实时国产亚讯数字硬盘录像主机,配以 17吋纯平显示器和 DVD刻录机。 随着计算机技术的发展和普及,出现了将模拟的视频图像信号转换为数字信号存储的技术,并且可选择多种存储介质。数字主机具有录像实时性好、清晰度高、录像存储时间长、具备远程管理功能等诸多优点。通过硬盘长期录像存储已成为现实,
24、而且利用硬盘进行录像的搜索速度也最快,录像效果清晰。数字硬盘录像机可选择多种录像方式。可将 16画面以画面分割形式显示于 1台显示器上,也可显示客户所选单个放大画面,硬盘录像机为多工方式,回放录象与监视控制等可同步完成。可通过网络对图像进行传输,是目前比较先进的集控制、记录、传输为一体的数字化设备。 (1) 主控部分推荐使用硬盘录像的数字化方案,采用了亚讯硬盘录像机,系统可通过网卡设置副控、连入网络。总监控室采用 1台 16路数字监控主机,全部监控画面在 1台 17显示器上实时分割显示。也可根据需要任意单画面显示任意一个场景图像。 (2) 24小时采用视频动态检测录像,监控画面每路均能回放实时
25、的录像资料(25 帧/秒),全部录像资料在硬盘上保存 5天。 (3) 数字监控系统连接光盘刻录机,重要资料可转录在光盘上。转换到光盘的图像资料可在一般计算机中查看。 (4) 系统具有较完善的安全保护措施,对所有操作人员按工作性质赋予不同的操作权限。 (5) 数字监控主机界面为 WIN98/2000,汉字输入操作,易学、易用。 3.6网络布线系统综合设计 3.6.1网络布线标准 对于核工业研究生部(两座共计 400个信息点)的数据网络综合布线,我们根据综合布线传输性能国际标准,即 EIA/TIA 568A标准和 ISO/IEC 11801标准,对布线系统中对传输性能作出约束。 ISO11801标
26、准既适用于屏蔽系统又适用于非屏蔽系统,也适用于光纤布线系统; EIA/TIA-568A标准则只适用于非屏蔽系统和光纤布线系统。11801标准推荐在外界干扰信号频率大于 30MHZ时使用屏蔽系统,它关系到系统的安全和人员的健康.在我国由于屏蔽系统的造价较高,且安装较为复杂,一般只用在比较特殊的场合如:保密性要求比较高的地方或者是电磁环境较为复杂的单位。 以避免造成阻抗不匹配。 ISO11801标准强调屏蔽系统的优点而 EIA/TIA568A标准则没有。 在光纤传输方面,ISO11801 推荐 SC接口优先于 ST接口。 3.6.2综合布线系统详细设计 根据核工业研究生部网络布线建设要求,本公司设
27、计了全网采用超五类双绞线星形集中布线的方案。针对目前网络数据传输和信息点数量的要求,超五类双绞线作为网络的传输介质,提供对整个大楼楼层和配线间的数据访问连接,速度可以达到线速 100兆,并可以在将来直接支持 1000BASE-T千兆交换的连接。 3.6.2.1信息点分布如下: 标准的综合布线系统可以分为工作区子系统、水平子系统、垂直主干子系统、管理子系统、设备间子系统(机房)和建筑群子系统。本方案中对目前应用所涉及的工作区子系统、水平子系统、垂直主干子系统、设备间子系统(管理室配线间)、建筑群子系统 5个系统进行设计,并为建筑群子系统提供良好的接口和扩展性。 核工业研究生部共设计 400个数据
28、信息点,配线间位于每座建筑楼内,为方便管理与维护,并提供足够的带宽,采取可集中管理的星形集中布线,垂直电缆、水平电缆和工作区电缆建议采用 AMP超五类双绞线,使桌面带宽达到线速 100Mbps。 考虑整座建筑的布局,主要设施分布如下: 由于在本方案中采用的是集中式布线方案,因此网络配线间采用标准机柜,将全部光缆、网络设备及布线设备统一安装于此,使设备整洁美观,并易于管理。 3.6.2.3平面走线图: 3.6.2.4布线子系统说明: 下面将各个子系统进行说明: (1)工作区子系统(WORK AREA SUBSYSTEM): 工作区子系统由终端设备和连接到信息插座连线组成,它包括装配软线,连接器和
29、连接所需要的扩展软线,信息插座,并在终端设备和 I/O之间搭桥。 采用标准 RJ45信息模块或多媒体插座,按施工要求的数量及位置暗装或明装,全部采用模块化信息插座。AMP 超 5类信息模块最高可支持 622Mbps应用,此模块拆装灵活,具有尺寸小,性能高的特点。适用于大数据流工作的使用,符合EIA/TIA568标准。 信息插座均采用超 5类墙面式插座 选用设备如下图: 超五类双孔信息插座 超五类模块 本系统中,电脑通过 RJ45-RJ45跳线,经信息模块实现与网络连接。根据标准的综合布线系统设计,在每个信息插座旁边要求有 1个单相电源插座,以备计算机或其他有源设备使用,信息插座与电源插座间距不
30、得小于 20cm。墙上型信息插座,通常安装在离地面 30cm处。 (2)水平子系统(HORIZONTAL SUBSYSTAM) 水平子系统实现了信息插座和垂直主干子系统间的连接,该系统从用户工作区信息插座开始,连接到垂直主干子系统,提供同各房间的连接和管理。超五类双绞线一端在配线间的配线架处端接,另一端是在工作区的信息插座处端接。 水平子系统使用非屏蔽双绞线,这种非屏蔽双绞线是EIA/TIA 568B标准用线,可以取代诸如同轴、屏蔽等传统布线材料,将各种不同的布线规范综合成一个统一的开放的结构,采用统一的传输介质易于安装,抗干扰能力强且数据传输速率可以达到 100Mbps。水平布线子系统将电缆
31、从楼层配线架连接到各用户工作区的信息插座上,通常处于同一楼层之上,可以采用 3类、5 类 4对屏蔽/非屏蔽双绞线;3 类或者 5类双绞线都是由 8根本 24-AWG的铜线组成;3 类线在 10MBPS应用时无误码传输距离为 100米、16MBPS时为 50米;5 类线在 155MBPS时可传输 80米、在100MBPS时为 100米;速率更高时可采用光纤。 本方案中采用桥架作为主干进行水平电缆的铺设,电缆从位于走廊顶部的桥架引出,通过水平镀锌铁管输送到事先预埋在墙内的铁管内,再通过镀锌铁管将电缆引至墙盒或表面安装盒。具体桥架的规格依据所在位置输送的电缆数量而定。 水平线铜缆长度计算: 水平布线
32、系统是采用星型连接法,即实现点对点的连接。 根据 AMP线类长度计算方法: 所需 1061004CSL箱数=点位总数/每箱能敷设的点位数*1.1 每箱能敷设的点位数= 305 米/每点平均长度 每点平均长度=(离配线架最远的 I/O位置+最近 I/O位置)/2 (3)垂直干线子系统(RISER BACKONE SUBSYSTEM) 垂直主干子系统提供结构化布线系统竖向缆线连接,与设备间子系统中的网络设备互联,提供多种线路连接设施,从而实现多个单元互联。垂直干线子系统由缆线及缆线连接相关的支撑硬件组合而成。垂直干线子系统是建筑物内部通信的主通道。通过干线子系统,与水平布线子系统连接起来,在延伸到
33、工作区子系统与用户终端、PC 机连接。由于采用分布式控制方式,垂直干线子系统与水平子系统和在一起,即直接把 UTP双绞线从办公室经竖井敷设到设备间。 垂直干线子系统数据传输介质采用 AMP超五类 UTP双绞线。他支持 FDDI、快速以太网及 ATM等高速数据的传输。 (4)设备间子系统(EQUIPMENT SUBSYSTEM) 设备间子系统由主配线架和各公共设备组成,它主要功能是将各种公共设备(如:计算机主机,PABX、各种控制系统、网络交换设备等)与主配线架连接起来,该子系统还包括雷电保护装置。 本系统中,按照设计要求,设备间应尽量满足下面的要求: 1)将设备间尽量安排在服务电梯附近,以便装
34、运笨重的设备; 2)室温应保持在 18度-27 度之间,相对湿度 30%-55%; 3)保持室内无尘,且通风良好,具备足够的亮度; 4)安装合适的消防系统; 5)使用防火门,至少耐火一小时的防火墙和阻燃漆; 6)远离存放危险物品的场所和电磁干扰源(如发射机和电动机); 7)设备间的高度应至少为 2.55米高度的无障碍空间,地板负重能力至少 500KG/平方米。 另外,还要有供放置设备的机柜,其型号可按设备的大小而定,一般采用 19标准机柜。机柜应装有风扇及电源。 为了便于集中管理,建议采用快接式五类配线架。 (5)建筑群室外连接子系统(CAMPUS BACKBONE SUBSYSTEM) 建筑
35、群子系统负责将一个建筑物中的光缆(或电缆)延伸到建筑群的其他一些建筑物中的通信设备和装备上。建筑群子系统布线方式可采用地下管道方式和架空明线方式。但不论采用何种方式都需要采取必要的保护措施(尤其是在线路进出建筑物的地方),确保线路的安全。 本方案中采用挖沟地埋,走地下管道的方式。 建筑群子系统主要是用来中心机房和各个分线间的互联,为了保证足够的带宽来传输数据以避免网络瓶颈的产生。常用介质多采用双绞线和光缆。在本方案中主干子系统采用的是 6芯多模/单模千兆光纤。 光缆部分 目前,建筑群之间的光缆基本上有三种敷设方法: 地下管道敷设:在地下管道中敷设光缆。 直接地下掩埋敷设:直接把光缆埋在土中。
36、架空敷设光缆:即在空中从电线杆到电线杆敷设。 以上方法各有特点,如果条件许可的话最好采用第一种,因为它可以保护光缆。园区光纤布线设计符合 EIA/TIA标准以及 ISO 11801标准中建筑群子系统设计要求。根据标准,光纤耦合连接应符合以下要求,如图所示: 图:光纤耦合连接图 光纤接线盒的作用是端接和保护连入建筑物内的光纤,在它里面安装有光纤端接的耦合器,缓冲绕线装置和光纤固定装置,其规格分为 8口光纤接线盒、12 口光纤接线盒、24 口光纤接线盒,36 口光纤接线盒,48 口光纤接线盒。 光纤耦合器的作用是一头端接光纤干线,另一头端接光纤跳线。由于光纤纤芯很细,其材料采用玻璃或塑料制成,本身
37、非常脆弱,从技术上讲不允许直接接入网络设备。光纤耦合器在光纤干线和设备跳线之间起到了极其重要的缓冲作用。 4、网络安全设计 Internet的日益普及,互联网上的浏览访问,不仅使数据传输量增加,网络被攻击的可能性增大,而且由于 Internet的开放性,网络安全防护的方式发生了根本变化,使得安全问题更为复杂。传统的网络强调统一而集中的安全管理和控制,可采取加密、认证、访问控制、审计以及日志等多种技术手段,且它们的实施可由通信双方共同完成;而由于 Internet是一个开放的全球网络,其网络结构错综复杂,因此安全防护方式截然不同。Internet 的安全技术涉及传统的网络安全技术和分布式网络安全
38、技术,且主要是用来解决如何利用 Internet进行安全通信,同时保护内部网络免受外部攻击。在此情形下,防火墙技术应运而生。 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入 Internet网络为最甚。 4.1 安全风险分析 4.1.1网络结构安全风险 一旦学校的网络与 Internet连通之后,可能遭受到来自Internet的不分国籍、不分地域的恶意攻击。校园网与普通企业上网不同,因为一般企业上网主要是防外,防止互联网上的黑客对内部网络的攻击,而安装在校园网上的防火墙,既需要有防外的功能,又要有防内的功能。
39、所谓的防内,是因为在学生中有不少是网络爱好者,在好奇心的驱使下,可能会从互联网上下载黑客工具,来对互联网上、或者是校园网内部服务器进行攻击。 我们认为在网络结构在安全性方面存在以下问题: 首先,在接入 Internet的接口处设置访问控制产品,以及防止黑客入侵的安全产品。在内部网络的重要服务器区域缺少对于入侵行为的监测和报警的安全措施,缺少安全管理。对于由外网进入的数据没有专门的防病毒体系的保护,无法确保内部网络不受病毒的干扰。 其次,对外提供服务的服务器组和内部服务器组存有很多重要的数据,这些数据是不法分子最想得到的,因此一定要对这些服务器进行重点保护,防止这些数据被篡改和窃取。在该网络结构
40、中,各种数据库服务器、应用服务器、WEB 服务器、网管工作站等重要的服务器和主机都是通过交换机直接与各部门的办公子网连接的,内部员工对这些服务器可以很容易实施攻击。虽然在交换机上可以通过配置提供一些安全保证,但是其强度是不足的。现在的黑客攻击工具在网络上泛滥成灾,任何一个稍微有点计算机操作能力的人员都可以利用这些工具进行攻击。同时,内部学生往往对学校的一些信息有着极大的诱惑力(如存放主要给教师使用的试题库),更容易发生攻击行为,在好奇心或者是为了满足某些单纯的心理需要,而不顾后果的对校园内部服务器进行的攻击,使学校的内部资料遭受到不必要的损失。据权威数据表明,有 97,的攻击是来自内部攻击和内
41、外勾结的攻击,而且内部攻击成功的概率要远远高于来自于Internet的攻击,造成的后果也严重的多。现有的这种网络结构没有考虑到来自内部的攻击风险。 4.1.2应用系统安全风险 对应用系统的攻击可以分为两类: 1)由于攻击者对网络结构和系统应用模式不了解,主要通过对应用服务器进 行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取学校的重要数据;在现在通用的三层结构(数据库服务器,应用服务器,应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击。 2)攻击者了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获 取学校的机密信息,这些攻击包括: 非法用
42、户获取应用系统的合法用户帐号和口令,访问应用系统; 用户通过系统的合法用户帐号,利用系统的 BUG,访问其授权范围以外的信息; 攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户帐号、非公开的系统访问途径等),从应用服务器或数据库服务器获取数据; 在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取企业的机密信息。 这类攻击主要来源于学校内部,包括通过授权使用应用系统的员工和学生,开发、维护这些应用系统的员工、开发商等对系统的攻击。 4.1.3内部网的安全需求 网络系统的安全: 1) 划分安全的网络拓扑结构,隔离外部 WEB服务器群和内部服务器群,保证内部网服务器的系统安全。
43、2) 在 Internet和网络中心接口设置防火墙网关,保证内部网和服务子网的安全;建议在各重要部门的局域网和内部网之间的接口设置防火墙网关,保证重要部门的局域网安全。 3) 在网络中心服务器子网设置入侵检测软件,监视对网络中心服务器 的访问请求,及时发现并阻断攻击企图。 应用系统的安全: 1) 保护现有资源和投资,尽量不改动现有系统。 确保核工业研究生部网络应用系统正常工作的安全。 确保核工业研究生部网络应用系统的数据安全交换。 2) 确保防止数据泄密,主要指两个方面:内部非授权用户访问其授权 范围之外的信息;内部用户对数据、信息的非法更改。 3) 防止外部公众用户通过 Internet非法
44、访问、窃取内部数据、信息。 确保数据的有效安全备份和非法窃取的数据不被轻易解读。 安全系统的可监控性和易操作性。 4.1.4安全对策列表 分析网络、应用和内部管理,我们将计算机网络系统可能存在的安全 4.2网络安全对策 随着计算机网络的迅猛发展,尤其是 Interner,LAN和 WAN的广泛应用,网络安全逐渐成为日益关注的问题。如何才能快捷地访问外部网络,同时又能有效地保护 业界领先的抗攻击能力 NetST紫荆盾系列防火墙,能够防范各种网络攻击。在防范各种拒绝服务攻击(ping of death,land,syn flooding,ping fiooding,tear drop,)、端口扫描
45、、IP欺骗等攻击手段方面表现突出。 超级的内容过滤功能 NetST紫荆盾系列防火墙支持主要应用层协议的 烦琐的网络名词而轻松使用。同时 NetST Java管理控制台提供的策略转换器可 以将用户编辑好的策略加载到防火墙,大大简化了安全策略部署的问题; 智能日志审计与状态监视; NetST紫荆盾防火墙具有实时在线监视内外网络间的所有TCP连接状态以及 UDP数据包的能力,用户可以随时掌握网络中发生的各种情况。在日志中记录所 有对防火墙的配置操作、异常的连接、拒绝的连接、可能的入侵等信息,并提供 友好的管理界面进行管理。 方便安全的远程管理功能 NetST紫荆盾防火墙配有 Java管理控制台,可以
46、通过网络方便地管理和控 制防火墙。 网络带宽与流量控制功能 支持基于用户的流量控制,可以有效的进行带宽流量的控制; 双向网络地址转换(NAT)及端口转换 NetST紫荆盾系列防火墙支持静态 NAT(多对多、多对一、一对多)、动态 NAT的 转换; 入侵检测功能 防火墙引擎采用国际先进的状态检测包过滤技术,实时在线监测当前内外网 络的所有连接状态,根据连接状态动态配置规则,对异常的连接状态进行阻断,实现入侵检测并及时报警。NetST 防火墙支持对目前国际上主要的网络攻击方法 的有效阻断。 在本方案中,本公司选用的清华得实防火墙是 NetST2600,它具有 4个 10/100MBaseTX自适应
47、网络接口。它广泛应用于军队、政府、学校及涉密单位。 4.2.1外网防护 外部区域是互联网络中不被信任的网络。防火墙保护内部和停火区中的设 备,使他们免受外部设备的威胁。在商业活动中,企业通常允许外部网络访问停 火区。如果必要的话,应该仔细配置防火墙,使它允许外部设备有选择的访问停 火区中的主机和服务。 对于核工业研究生部其外网安全主要有清华得实防火墙NetST2600担任,通 过制定访问安全策略如允许外部用户通过 HTTP协议访问核工业研究生部外网服 务区中的 WEB站点,但不支持外部用户使用 TELNET或 FTP服务;外部的合作伙 伴和移动用户通过 VPN隧道访问核工业研究生部内部网络。并
48、且通过制定安全策 略,可以防止一些黑客或非故意的网络攻击。 4.2.2内网安全 当大家对网络安全的注意力都集中在外网防护的时候,往往忽略了内部网络 安全。据计算机安全协会(CSI)最近进行的调查中显示,70%的被调查机构表示,他们的安全防卫系统曾经被破坏过,而且 60%的事故来源于内部。 针对于核工业研究生部的内网防护主要体现于 VLAN 的运用,VLAN的划分方式的目的是保证系统的安全性。因此,可以按照系统的使用人来划分 VLAN:学生 VLAN、教师 VLAN、管理VLAN,可以将学校中的管理服务器系统放入管理 VLAN,如网管工作站、入侵检测系统服务器等。也可以按照机构的设置来划分 VL
49、AN,如将领导所在的网络单独作为一个 Leader LAN(LVLAN),其它年级(或下级机构)分别作为一个 VLAN,并且控制 LVLAN与其它 VLAN之间的单向信息流向,即允许LVLAN查看其他 VLAN的相关信息,其他 VLAN不能访问 LVLAN的信息。VLAN 之内的连接采用交换技术实现,VLAN 与 VLAN之间采用路由实现。为了实现 LVLAN与其他 VLAN之间的单向信息流动,需要在 LVLAN与其他 VLAN之间设置访问控制列表作为安全隔离,控制 VLAN与 VLAN之间的信息交换。 除了内部网络界面和外部网络界面,系统还增加一个网络界面,让管理员灵活应用。提供第三区域 外网服务区,接入防火墙的 DMZ(Demilitarized Zone)区,在其中放置 WWW服务器或公共应用服务器。 独特的第四网络接口 - 内网服务区,清华得实防火墙的校园网专业版提供多个网络接口,专门开辟了第四区间内网服务区,将原来安装在校园内部网络中一些重要的服务器集中联入本区域,此区域与第三区域不同。对于第三区域,内网、外网都能访问;对于第四区域,只开放给内网某一部分 IP访问,外网无法访问。这样构成的系统,既可防外又可防内,彻底解决了一般防火墙只能防外不能防内的不足。 4.2.3防病毒系统 网络安全的
