《学校内部网规划设计.doc》由会员分享,可在线阅读,更多相关《学校内部网规划设计.doc(22页珍藏版)》请在三一办公上搜索。
1、重庆科创职业学院局域网组网技术实训报告题目: 黔江中学内部网络规划 专业: 计算机应用技术 班级: 计应用ZK0902班 学号: 59010120090222 姓名: 安 平 成绩: 指导教师: 龙崇冰 完成日期:2011年6月18日目 录1 黔江中学简介及需求分析11.1 黔江中学简介11.2 需求分析11.2.1 功能需求11.2.2 技术需求11.2.3 网络现状分析22 黔江中学系统总体设计32.1 网络设计原则32.2 网络设计目标32.3 网络拓扑结构设计42.4 布线系统设计42.5 INTERNET接入43 IP地址规划与VLAN划分53.1 IP地址规划53.2 内部网络IP
2、地址分配53.3 外部网络IP地址分配63.4 VLAN设计64局域网服务器规划与配置74.1 DHCP服务器的安装与配置74.2 WEB服务器的安装与配置85安全规划与设计105.1 系统安全105.2信息安全115.3应用安全115.4 路由器级安全控制115.5 网络安全防火墙125.6 CISCO PIX 防火墙具体实施136 工程实施规划146.1 设计原则146.2 总体设计思路146.3 传输布线方案设计156.4 线路铺设187心得体会181 黔江中学简介及需求分析1.1 黔江中学简介重庆市黔江中学校,始建于1925年,是原四川省省级重点中学,重庆市直辖后,被命名为首批市级重点
3、中学。学校现占地168亩,校园环境幽雅,高木参天,花草映地,现代化教学楼群与优美的自然环境和谐相依。自1998年以来,市、区两级政府及学校自筹,先后投入建设资金3000余万元,极大地改善了办学条件,各项设施基本步入现代化。学校实验设备齐全,拥有先进的“班班通”、校园网、教学双向控制系统等电教设备,拥有标准化的塑胶篮球场、塑胶运动场等现代化体育设施,拥有藏书10余万册的现代化图书馆这些现代化的硬件条件为学生的成长奠定了坚实的物质基础,为培养现代人才创造了良好的条件。1.2 需求分析1.2.1 功能需求经过对黔江中学的调查和了解,随着学校规模和业务的不断发展,已有的网络系统已逐渐不能适应现有应用的
4、需求。为了提高网络的覆盖率,使更多的人可以利用网络的便利性,以及为了在网络上可以支持更多的新一代的应用系统比如(网络会诊、网络研讨、视频会议),保证整个网路的安全性,先进性,便捷性和可扩充性原则,并满足用户在网上对学校的了解,及时挂号,学校内部资源共享,科学研究等功能,需要在原有的基础上建设新的学校网络。1.2.2 技术需求从技术角度考虑,一个好的网络应该更多的提供服务和网络安全性。在设计网络时功能方面应具备以下几点:1、资源共享功能网络内的各个桌面用户可以共享数据库和共享打印机,实现办公自动化系统中的所有功能;2、通信服务功能用户能够通过服务器和广域网连接进行电子邮件的收发,实现WEB服务和
5、FTP服务,接入互联网,进行安全的数据访问。3、多媒体功能能够进行网络会诊和视频会议,支持视频点播和视频会议并具有教好的质量保证。1.2.3 网络现状分析从目前来讲,主要需求分为如下几个方面:1、网络系统中心在学校总部计算机机房中心。2、整个网络采用先进的网络结构,以满足传输、存储和处理数据等信息的需要。3、各大楼通过总部计算机机房中心和INTERNET接通。4、满足整个学校内部网络安全的需求。5、完整统一的系统管理平台。根据用户的需求及应用的特点,我认为本网络系统应该满足如下特点:1、网络规模较大本地网络上的用户多,将来会进一步发展。因此,网络的设计要留下充分的发展余地。比如,服务器及工作站
6、的网络传输速度要能够适应业务不断增长的需要,网络能够支持将来电视会议及多媒体等新业务以适应新应用的需求。2、先进性学校内部网络系统利用当今计算机与通讯科学技术的先进成果,在一个高起点基础上发展,保障系统具有较长的生命周期,使企业网络系统不会落后于技术的发展,同时也不会造成资源浪费。不然,会极大地影响系统的进一步开拓。3、性能要求较高为了满足各种工作站的应用的要求,服务器的网络接口应该有比较高的吞吐能力服务器的网络传输速率要在100Mbps以上;工作站的网络传输速率也应该满足一定的要求。而且,随着业务的开展,对网络传输速率的要求会不断提高。因此要求网络设备应具有比较高的容量,满足系统发展的需要。
7、而且,采用的网络技术应该提供多种速率的连接接口,满足系统对服务器带宽的要求。4、高可靠性网络的可靠性要求高,采用容错技术或设备级的备份保证网络系统的正常工作。5、扩展性未来网络上许多用户对网络带宽有更高的要求,如网络上的电子商务系统的应用,都使这些用户对网络的带宽有特殊的要,所以网络要求提供这方面的扩展。2 黔江中学系统总体设计2.1 网络设计原则在学校内部网络的方案设计及建设过程中,要充分考虑学校目前的具体甚至特殊需求,又要符合学校未来发展的需要。鉴于此,在设计中应遵循以下几项总体原则:1、在充分考虑学校网络总体要求的基础上,最大限度满足学校的特殊要求;2、充分利用现有设备,保护学校投资;3
8、、保证简单、实用的基础上对网络的设计应尽量采用先进技术和设备;4、网络结构采用扩展型星型的网络结构;5、采用全交换网络技术;6、具有很好的安全性、可靠性。设计要简单、灵活、合理、易于开发,便于维护。7、应用系统要求网络服务器具有较高的处理能力和I/O吞吐能力。8、操作系统应具有良好的可扩展性。2.2 网络设计目标网络建设的目标,就是在总部和各大楼局域网建设、及其广域网联接的基础上,将互联网技术引入学校内部网,从而建立起统一、快捷、高效的Intranet系统。整个系统在安全、可靠、稳定的前提下,符合经济的原则,即实现合理的投入,最大的产出。具体规划如下:1、以总部计算机机房为中心,与大楼各层、通
9、过光纤相连,构成大型分级局域网。以千兆以太作为主干网,利用第三层交换技术实现大型局域网的VLAN划分。规划中二级节点采用千兆,与中心主交换机(主节点)构成千兆网络主干,各二级单位(三级节点)采用100M光纤收发器通过二级节点接入主干网。考虑到网络环路连接可达到冗余效果,增加系统的可靠性,因此,二级节点之间尽可能互联,形成环路。2、网络的安全机制:1)通过对网络设备的配置,控制访问列表等方式来加强网络的安全性措施;2)更重要的是,在内部网与公众网的结合处,采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性。网络中心设立WEB应用服务器、代理服务器、E
10、-MAIL服务器、DNS服务器、和数据库服务器,实现WEB访问、Internet接入、域名解析和应用系统等各种功能。2.3 网络拓扑结构设计根据以上设计网络拓扑结构的原则及现在常用的总线型、星型、环型拓扑结构的特点,设计学校的门诊大楼,外科大楼,无创外科中心,内科大楼网络结构时采用扩展型星型拓扑结构。学校路由器采用Cisco 2811,每层楼的核心交换机采用HUAWEI3600,交换机最后汇聚到Cisco 4506交换机。每个楼层以光纤方式连接到汇聚层。设计的拓扑结构如图2.1:图2.1 黔江中学网络结构拓扑图2.4 布线系统设计随着计算机网络技术的发展,传统建筑中的供风、暖通、给排水、通讯、
11、通信、监控等都变得可控起来,传统建筑正在朝可控制和管理的智能方向发展,即智能化大厦,信息社会在飞速发展中不断出现的新需求也是传统建筑所无法满足的。结构化综合布线系统(SCS)是智能化学校的基础,有了好的结构化综合布线系统,整个学校能更好的为各层次用户提供最佳、最便捷的服务。2.5 INTERNET接入根据学校的需求分析及应用要求我采用DDN专线接入。3 IP地址规划与VLAN划分3.1 IP地址规划目前的网络大多是Internet/Interne结构,是一个与外间网络有联系,但又相对而言独立的网络,它的IP地址规划需要考虑以下问题:用什么样的IP地址,怎么划分地址,用什么方式分配用户地,如何使
12、用NAT,以及如何管理IP地址等。3.2 内部网络IP地址分配对于局域网的IP地址管理问题,用户规模越大,管理工作就越困难,所以网络管理员必须深思加以解决。目前有两种方案,一是使用动态IP地址分配(DHCP),另一方案是使用静态地址分配,但必须加强MAC地址的管理。用动态IP地址分配(DHCP)的最大优点是客户端网络的配置非常简单,在没有管理员的帮助和干预的情况下,用户自己便可以对网络进行连接设置。但使用动态IP地址分配需要设置额外DHCP服务器。综合以上考虑,结合黔江中学的实际情况,内部网络IP地址采用DHCP分配具体规划如下:DHCP服务器IP地址:192.168.0.1DHCP服务器:1
13、92.168.0.128192.168.3.254路由器:内部IP:192.168.1.2 255.255.255.0表3.1 IP地址规划学校大楼名称IP地址范围子网掩码网关门诊大楼192.168.0.2192.168.0.254255.255.255.0192.168.0.2外科大楼192.168.1.1192.168.1.254255.255.255.0192.168.1.1无创外科中心192.168.2.1192.168.2.254255.255.255.0192.168.2.1内科大楼192.168.3.1192.168.3.254255.255.255.0192.168.3.13.
14、3 外部网络IP地址分配由于内部服务器中的WWW服务器需要和外界通讯要解决这个问题,我们可以申请一定数量的合法IP地址,并绑定在在防火墙的外部网卡上ISP分配给WWW服务器的IP为:内部IP:192.168.1.37,真实IP:202.13.253.37PIX防火墙的IP地址分别为:内网接口eth1:192.168.1.1,外网接口eth0:202.13.21.1通过设置PIX把真实IP绑定到防火墙的外网接口,并在PIX上定义好NAT规则,这样,所有目的IP为202.13.253.37的数据包都将分别被转发给192.168.1.37;而所有来自192.168.1.37的数据包都将分别被伪装成由
15、202.13.253.37,从而也就实现了IP映射。需要申请合法IP地址的服务器包括:INTERNET接入路由器、WWW服务器、防火墙。3.4 VLAN设计VLAN虚拟局域网,它依靠逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。整个网络可以根据管理的要求、地理位置和片区的划分来设置相应的VLAN(虚拟子网),VLAN技术可以将不同VLAN之间的用户隔离,保证安全性。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过具有第三层路由功能的设备来完成。CISCO交换机系列都支持VLAN的设定和ISL、802.1Q
16、两种以太网VLAN标识技术。本方案设备从核心层交换机CISCO4506、访问层交换机,到接入层交换机设备都支持IEEE 802.1Q VLAN标准,保证了该项技术的顺利实施。这样,通过在接入层交换机为用户配置不同的VLAN,进行端口隔离,所有的用户端口只能通过核心交换机来实现互连。每层楼的核心交换机采用HUAWEI3600,HUAWEI3600交换机最后汇聚到CISCO4506交换机。每个楼层以光纤方式连接到汇聚层。部门之间的VLAN信息可以通过它来转发可以减少核心层交换机的负担,在核心层交换机通过ACL进行相应的控制,使得用户的访问得到完全的控制。采用如下方式划分子网:子网一:网络中心,包括
17、数据库服务器,WEB服务器,WWW服务器和DHCP服务器,网管工作站,代理服务器和访问服务器等。子网二:办公大楼,包括学校领导和各部门办。其它每个联网的大楼均分配一个子网,每一个大楼属于一个VLAN,以此提高整个网络的可靠性和可用性。由于CISCO4506最高可以提供150M的第三层转发,因此这种子网划分方式不但可以提供高可用性,同时还降低网络风暴的可能性,更好地满足了业务的需要。4局域网服务器规划与配置4.1 DHCP服务器的安装与配置1、安装DHCP服务器的步骤如下:步骤1 启动“添加/删除程序”对话框。步骤2 单击“添加/删除 Windows 组件”出现 “windows 组件向导单击下
18、一步”出现 “Windows 组件”对话框从列表中选择“网络服务”,如图4.1所示:图4.1组件对话框步骤3 单击“详细内容”,从列表中选取“动态主机配置协议( DHCP )”,单击“确定”。步骤4 单击“下一步” 输入到 Windows2003 Server 的安装源文件的路径,单击“确定”开始安装DHCP服务。步骤5 单击“完成”,当回到“添加/删除程序”对话框后,单击“关闭”按钮。安装完毕后在管理工具中多了一个DHCP管理器。2、添加DHCP服务器在安装DHCP服务后,用户必须首先添加一个授权的DHCP服务器,并在服务器中添加作用域设置相应的IP地址范围及选项类型,以便DHCP客户机在登
19、录到网络时,能够获得IP地址租约和相关选项的设置参数。添加DHCP服务器的步骤如下:步骤1 启动DHCP管理控制台。步骤2 选择“操作”菜单中的“添加服务器”,启动添加服务器向导单击“下一步”出现“指定DHCP服务器”对话框如,单击“浏览”按钮后出现“目录中授权的服务器”对话框,在此用户可用给DHCP服务器添加授权,单击“添加”按钮,出现“授权DHCP服务器”窗体,填写用户要建立DHCP服务的服务器名或IP地址。步骤3 在“目录中授权的服务器”对话框中选择上一步添加的服务器,单击“管理”下一步完成。在DHCP管理控制台中出现刚才添加的服务器。3、在DHCP服务器中添加作用域步骤1 在DHCP控
20、制台中单击要添加作用域的服务器操作新建作用域出现“创建作用域向导”。步骤2 单击“下一步”然后“输入作用域名”对话框在此输入本域的域名。步骤3 单击“下一步”输入作用域将分配的地址服务几子网掩码。步骤4 单击“下一步”在“添加排除”对话框中输入需要排除的地址服务。步骤5 单击“下一步”选择租约期限8 天。步骤6 单击“下一步”选择配置DHCP选项。步骤7 单击“下一步”输入默认网关IP地址。步骤8 输入域名称和DNS服务器的IP地址。步骤9 单击“下一步”添加WINS服务器的地址。步骤10 单击“下一步”选择激活作用域。步骤11 在 DHCP 控制台中出现新添加的作用域,在DHCP控制台右侧窗
21、体中的状态条中显示“运行中”表示作用域已启用。4.2 WEB服务器的安装与配置1、Windows Server 2003IIS 6.0安装具体做法: 1)进入“控制面板”。 2)双击“添加或删除程序”。 3)单击“添加/删除 Windows 组件”。 4)在“组件”列表框中,双击“应用程序服务器”。 5)双击“Internet 信息服务(IIS)”。 6)从中选择“万维网服务”及“文件传输协议(FTP)服务”。 7)双击“万维网服务”,从中选择“Active Server Pages” 及“万维网服务”等。安装好IIS后,接着设置Web服务器,具体做法为: 1)在“开始”菜单中选择“管理工具I
22、nternet信息服务(IIS)管理器”。 2)在“Internet 信息服务(IIS)管理器”中双击“本地计算机”。 3)右击“网站”,在弹出菜单中选择“新建网站”,打开“网站创建向导”。 4)依次填写“网站描述”、“IP 地址”、“端口号”、“路径”和“网站访问权限”,在“Internet 信息服务(IIS)管理器”的“Web 服务扩展”中选择允许“Active Server Pages”。 2、架设WEB服务器 进入控制面板,执行“添加或删除程序添加/删除 Windows 组件”进入Windows组件向导窗口,勾选“应用程序服务器Internet 信息服务”,“确定”后返回Windows
23、组件向导窗口点击“下一步”即可添加好IIS服务。在控制面板的管理工具中执行“Internet 信息服务(IIS)管理器”进入IIS管理器主界面在,若要执行动态页面执行ASP网站则要在“Web服务扩展”列表中选中“Active Server Pages”然后单击“允许”按钮来启用该功能。接下来就可以具体配置Web站点。 1)网站基本配置。在“默认网站”的右键菜单中选择“属性”进入“默认网站属性”窗口,在“网站”选项卡上的“描述”里可以为网站取一个标示名称,如果本机分配了多个 IP 地址,则要在IP 地址框中选择一个赋予此Web站点的IP地址;然后进入“主目录”选项卡中指定网站Web内容的来源并在
24、“文档”中设置好IIS默认启动的文档。单击“应用”按钮后使用http:/127.0.0.1来验证网站。 2)网站性能配置。进入“性能”选项卡,在这里可以对网站访问的带宽和连接数进行限定,以更好地控制站点的通信量,如果是多站点服务器,通过对一个站点的带宽和连接数限制可以放宽对其他站点访问量的限制和为其他站点释放更多的系统资源。3)网站的安全性配置。为了保证Web网站和服务器的运行安全,可以在“目录安全性”选项卡上为网站进行“身份验证和访问控制”、“IP地址和域名限制”的设置。 3、IIS的备份和移植 为了防止系统损坏对IIS配置的影响,我们可以使用IIS备份精灵来实现IIS的备份和移植了。 1)
25、启动软件,在IIS备份精灵的站点列表上就会列出IIS服务器上配置的各种站点了,勾选你要备份的站点然后单击“导出站点”按在弹出的“导出IIS站点”窗口上选择好文件保存路径“确定”后站点配置信息就会以一个TXT文本文件保存下来了。 2)在重装IIS服务器需要导入站点信息时,运行IIS备份精灵,单击“导入站点”按钮在弹出的“IIS导入站点”窗口上选择要导入的事先备份好的IIS站点信息文件,“确定”后即可导入。若需要移植IIS站点信息应先把备份的站点信息文件复制到目的机器上,然后在这个机器上再下载安装IIS备份精灵,执行“导入站点”操作就可以了。5安全规划与设计网络安全是当前IT业最受关注的环节。在学
26、校内部网络建设中,内部网与Internet的连接是重要环节。因此,需要着重解决好总部的防火墙方案。由于Intranet网络系统将连入Internet,为用户提供各种信息服务。资源共享和开放是Internet特点,所以Internet的安全机制很松散;而学校内部网络系统要求有较高的安全性,其内部的许多数据和文件不接受未经授权的访问。因此,设计与开发保证内部各种信息的安全机制是实现该办公网络顺利运行的关键。安全技术主要包括系统安全、信息安全、应用安全和网络安全技术,而三者之中网络安全尤为重要。网络安全的主要技术是防火墙技术(Firewall),防火墙技术的核心思想是在不安全的网间网环境中构造一个相
27、对安全的子网环境。5.1 系统安全系统安全保证一个主机系统的安全,主要包括主机系统的密码安全、重要服务器如FTP、WEB和数据库等大型应用系统的安全。我们在主机系统和数据库系统的选型上,已经充分考虑了系统的安全性。5.2信息安全由于网络上有许多可用来做窃听的工具,因此明文信息在网上传输是不安全的。TCPIP协议本身不提供任何信息安全方面措施,我采用基于IP层的信息加密和基于应用层的信息加密,基于应用层的信息加密方法是用户在发送信息前,利用加密工具先将信息加密、然后才发送出去,接收方可利用相应的解密工具还原信息;信息加解密技术可分为两种体系,即单密钥的加密体系和双密钥的加密体系,我采用双密钥的加
28、密方法又叫公开密钥的加密方法,加密和解密时采用不同的密钥,即公开密钥和私人密钥。5.3应用安全应用安全是指基于网络的应用系统的安全,包括用户的身份认证和权限管理两部分。应用系统建立用户管理子系统,进行用户的管理和授权工作。1、身份认证:用户使用应用系统,不管是从内部网络登录,还是拨号访问,还是通过INTERNET访问公司网络,首先需要通过严格的身份认证。只有合法的用户才能使用应用系统。2、权限管理:每个使用网络的用户将受到严格的权限限制。5.4 路由器级安全控制1、访问控制列表CISCO路由器操作系统IOS通过访问控制列表(ACL)技术支持包过滤防火墙技术,根据事先确定的安全策略建立相应的访问
29、列表,可以对数据包、路由信息包进行拦截与控制,可以根据源/目的地址、协议类型、TCP端口号进行控制。在Extranet上建立第一道安全防护墙,屏蔽对内部网Intranet的非法访问。通过ACL限制可以进入内部网络的外部网络甚至是某一台或几台主机;限制可以被访问的内部主机的地址;为保证主机的安全,可以限制外部用户对主机的TELNET方式登陆等。2、地址转换CISCO路由器操作系统IOS的防火墙功能还包括IP地址转换的功能。进行IP地址转换有两个好处:其一是隐藏内部网络真正的IP地址,这可以使黑客(hacker)无法直接攻击内部网络,因为它不知道内部网络的IP地址及网络拓扑结构;另一个好处是可以让
30、内部网络使用自己定义的网络地址方案,而不必考虑与外界地址冲突的情况。3、路由认证技术为了保证发出和进入的路由更新不被窃取和攻击,CISCO路由器操作系统IOS提供对动态路由协议进行加密和认证的技术,只有在经过认证的路由器才能互相学习路由信息,同时路由信息的传输完全是以加密的形势进行的。鉴于网络主干的开放性,可以利用CISCO路由器的路由认证技术对所有路由器的路由信息进行认证与加密,以防止路由信息的泄漏,保证网络的安全。4、路由器自身的安全防护在保证数据信息的安全性的同时,必须考虑到路由器自身的安全性。在这方面,CISCO路由器IOS提供了一系列防范措施。首先,进行口令保护,用户登录路由器必须经
31、过口令的认证;其次,利用口令授权,将不同的权限等级与不同的口令进行关联,对用户进行等级的划分,通过减少超级用户来减少不安定因素;再次,对口令进行加密,以避免口令在网上以明码的方式进行传输,同时避免配置文件以明码的方式显示口令;最后,对无人职守的控制台和端口进行超时限制,以提高设备的安全性。5.5 网络安全防火墙网络安全的主要技术是防火墙技术(Firewall),防火墙技术的核心思想是在不安全的网间环境中构造一个相对安全的子网环境。目前其实现方式有两种,即基于包过滤的防火墙和基于代理(Proxy)的防火墙。包过滤型防火墙处在网络层,根据IP包的包头信息来对信息的访问进行控制,而IP包的包头主要包
32、括以下信息:IP包的源地址、目的地址、包类型,端口号,因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙,也叫应用层防火墙,处于应用层、可对IP地址和发生在该IP地址上的具体应用进行控制,由于它能识别应用协议,因此可对应用的整个过程进行控制,在应用建立时的密码验证、在FTP应用中允许站点GET而不允许PUT。这两种防火墙各有优缺点,包过滤型防火墙由于基于网络层,因此对用户来说比较透明,但它一般采用“没被禁止的就是允许的”这一策略,在它失败时,网络是畅通的,这时内部网络将失去安全的屏障,而应用层防火墙采用“没被允许的就是禁止的”这一策略,在它失效时,内部网络与外部网络是隔离的,
33、因此应用层防火墙要比包过滤型防火墙安全。5.6 CISCO PIX 防火墙具体实施CISCO PIX防火墙介绍,我们采用的第二种防火墙方案是采用CISCO公司的防火墙产品PIX,它是一种硬件解决方案,主要优点在于,比其它防火墙方式更安全有效,而且,更好的支持多媒体信息的传输,使用与管理更方便。PIX具有双以太网口(内部网与DMZ各一个),并可以扩展;可组成虚拟专用网并加密;在防止非法侵入的同时还可有效的限制内部对外的访问。整个系统的安全保障由CISCO PIX防火墙来完成,PIX是局域网对外的主要门户,由外界进入局域网的连接均要通过PIX。PIX的核心是基于适应性安全算法(ASA)的保护策略,
34、是面向连接的防火墙,支持IPsec支持的56-bit数据加密标准(DES)和168-bit 3DES算法。可以提供6 Mbps以上的3DES性能,完全可胜任目前安全的需要。能同时支持25万个并发用户连接。CISCO提供了PIX,私有Internet交换防火墙,它运行自己定制的操作系统,事实证明,它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进行通
35、信时,完成内部和外部地址之间的映射。PIX是局域网对外的主要门户,由外界进入局域网的连接均要通过PIX。本方案网络安全配置概述,由于路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来,只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。因此为了保证学校内部网的安全,防止非法入侵,需要使用专用的防火墙计算机。因此,本方案采用两层防火墙加上应用系统的身份认证和权限管理四层安全措施,来保证网络安全和应用安全。由于费用原因,本方案采取临时措施协助进行病毒防范。1、第一层软件防火墙通过CISCO的路有器和
36、访问服务器本身具有的包过滤功能和代理服务器的内外网隔离功能实现。2、第二层硬件防火墙即选用CISCO SECURE PIX 525防火墙,该产品经过了美国安全事务处(NSA)的认证,同时通过中国公安部安全检测中心的认证。具体配置为:CISCO SECURE PIX 525 4个100M以太网端口128M内存600MHZ CPU3、第三层身份认证用户使用应用系统,不管是从内部网络登录,还是拨号访问,还是通过INTERNET访问企业网络,首先需要通过严格的身份认证。只有合法的用户才能使用应用系统。4、第四层权限管理每个使用网络的用户将受到严格的权限限制。6 工程实施规划综合布线是对传统布线方式的彻
37、底变革,经过统一的规划设计,它将所有话音、数据、视频信号与控制设备的配线等综合在一套标准的配线系统中。综合布线系统能够支持多种信息的传输,支持多种传输介质,支持多用户多类型产品的应用。此外,通信设备替换、移动和扩充极为简单、方便。6.1 设计原则实用性:这是第一位的,也是系统的最终目的;该布线系统不仅能够为计算机网络系统服务,而且也应当能够很容易加入楼宇控制部分,实现智能化大楼。可靠性:网络中心是学校的中心枢纽所在,对结构化布线系统和以后的应用系统的可靠性要求是相当严格的,它应能防止各种可能出现的故障性瘫痪。开放性:这实际上是对布线系统和办公网建设的要求。易扩性:布线系统和网络的投资保护和节省
38、很大程度上是取决于系统能否扩展以及标准化、开放性和设计容量等。先进性:在技术成熟实用的基础上,提供最先进的实用产品和技术,它也是保证高水平实用技术的条件。可维护性:对于大规模的布线系统和大范围分布的网络,其差错与故障诊断,维护和重组,系统重配置等功能是必不可少的。6.2 总体设计思路为满足日益发展的通信、网络应用要求,整个学校应具有现代化的水准和智能化的功能。PDS设计方案的目的就是要以经济实用,科学合理的最新技术,对集团的语音、数据、视频、图像等进行自动化管理。作为学校应充分考虑将来系统集成的需要,即以楼宇自动化系统办公自动化系统(OAS)及通信自动化系统(CAS)作为设计依据。当这些智能系
39、统需要集成共同发挥作用或单独实施功能运行时,可以非常方便灵活地在综合布线系统平台上实现。综合布线系统是连接“3A”系统各种控制信号必备的基础设施。我按“3A”大厦标准设计,选用美国LUCENT企业的PDS结构化综合布线系统产品。计算机网络互连设备按前文所述选用美国思科(CISCO)企业系列产品,包括路由器、交换机等。大型企业园区布线应采用总体分布式、局部集中式。数据主干线系统采用光缆,其余均采用超五类双绞线线缆。水平线路每条均按4对(八芯)配备,选用超五类非屏蔽双绞线,既可满足了近期需要,又为将来应用多媒体技术打下了基础。布线铜缆系统选用110P配线架和110A配线架相结合,配线架的尺寸以10
40、0对为一个基本单位,每个连接信息插座的100对配线架可端接24个信息点。布线光纤系统根据需要采用8芯或4芯单膜光纤,200A和100A3光纤接线盒。6.3 传输布线方案设计根据综合布线系统设计规范,我把该布线系统工作区子系统、水平子系统、管理子系统、干线子系统、设备间子系统、楼层子系统等6个模块进行设计,这套完整的系统可满足用户的要求。同时,根据实际情况,当建筑物内最远信息点距离设备间(交换机所在地)不到94米时,管理子系统和设备间子系统可以合并,水平子系统和干线子系统可以合并,这样可以达到简化布线系统的结构,方便进行设备管理,节省空间和装修成本的目标。1、楼层子系统本子系统是指门诊大楼,外科
41、大楼,无创外科中心,内科大楼的各楼层中,通常采用光纤或大对数铜缆连接。根椐学校的分布和客户的要求,我将整个学校划分为多个分区。各区之间的连接根据需要采用8芯或4芯光纤,采用架空连接。距离网络中心较近的大楼,采用12芯光纤,外围各大楼采用熔接的方式,进行延伸,从而达到降低光纤数量和铺设成本的目的。光纤铺设的原则如下:1)光纤铺设的设计以应用的需要为出发点2)学校大楼总部机房作为网络中心和数据中心3)光纤铺设设计的原则是易于扩展、方便管理、成本合理4)所有光纤都采用单模2、工作区子系统工作区即最终用户的办公区域。工作区子系统是从信息插座到工作终端设备之间的连续电缆及适配器组成。即从标准的RJ45型
42、信息插座延伸到各个具有非标准的或标准的接口的工作设备之间的布线系统。各种形式的适配器和终端线缆构成了工作区子系统。例如,共享每一个标准RJ45信息插座的数据/语音共享器、RS-232与RJ45之间的转换器,视频适配器、D8SA高速数据连接线等。这些适配器使得不同系统、不同标准的信号在统一的五类UTP上传输,并将连接接口统一为标准的RJ45界面。这些产品的需求可在今后实际应用中加以详细考虑。3、水平子系统1)水平线缆的长度计算按照PDS的水平线缆长度计算公式计算。水平线缆长度计算公式:C=0.55(L+S)+6(I/O)式中:C为每层楼的用线量I/O为每层楼配线架连接的信息点;L为配线架连接最远
43、信息点(I/O)的距离;S为配线架连接最近信息点(I/O)的距离。2)水平线缆的敷设方法水平线缆从每一层的分配线架(IDF)出发,在走廊上方沿预设的弱电线槽敷设,到每一间需安置信息插座的房间外面,再沿金属管(一般用一个三通管)敷设到信息插座所在的连接盒处。3)信息插座结构化综合布线系统允许同一建筑物内采用不同类型的信息插座。但它们本质上是相似的.插座都是8针、RJ45型的,并且都符合现在ISDN接口标准。4、管理子系统管理子系统的设计可以分为下方面:1)管理模式采用双点连管理模式。本模式不仅在设备间内进行交连管理,也可在每一层的IDF内进行交连管理,使得管理更加灵活。2)管理子系统的硬件结构化
44、综合布线系统中管理子系统的接插件一共有三大类:110A110PJack Panel管理配线间应尽量保持室内无尘土、散热良好。符合有关消防规范,配置有关消防系统。每个电源插座的容量不小于300W。配线间位于弱电竖井内。每层配线间面积不小于3平方米。当配线间有有源设备或计划安装有源程序设备(如集线器、交换机)时,一定要保持配线间的温度和湿度。配线间温度和湿度要求数据:温度:530湿度:30%80%建议的最佳温度和湿度为:温度:1626湿度:45%65%365、干线子系统干线子系统是建筑物内部的主馈电缆。干线把各层配线间的信号传送到终端接口,通往外部网络。它必须能满足当前的需要,同时又能适应今后的发
45、展,根据用户的要求,语音干线采用三类大对数双绞线,其型号为1010LAN(50对UTP),数据干线采用六芯室内多模光纤(LGBC-006D-LRX)及1061CLAN(25对UTP),6、设备间子系统.设备间子系统就是位于各区中心,靠近弱电竖井旁该子系统包括楼内数字程控交换机、计算机网络服务器及互连设备(路由器、交换机等)、管理工作站和主配线架等。网络管理中心,应当按国家GB2887-89计算机站场地技术条件中的主要技术指标进行装潢。按国家GB50045-93高层民用建筑设计防火规范,在设备间设置自动消防报警系统,并采用全淹没式自动灭火系统。6.4 线路铺设1、工作区:根据各区大楼的建筑结构,
46、选择墙壁型、地板型信息插座,提供标准的RJ45接口。可接电话、计算机、传感器、摄像机、扬声器等。为了美观,信息插座尽量采用暗埋式。为便于有源设备使用,信息插座附近设置单相三孔电源插座。2、水平线缆走向:根据各大楼每层结构,在每个配线间设一个分配线架,通过线槽将水平线缆从IDF引至各房间,再分出支管引至房间内吊顶,剔墙而下到各信息点出口。3、垂直线缆及IDF的敷放:由各层配线间内的垂直干缆经配线间内的竖井,根据各信号线的用途,分别引至不同的MDF。垂直主干缆用电缆托盘,水平线槽安装在吊顶上方。各层分配线架均安装在各层配线间的墙壁上,并且靠近竖井。4、主配线架(MDF)放置:对于110型配线系统,
47、墙上应放置一牢固的2cm厚的安装胶木板,表面涂防火漆,其尺寸按配线架容量而定,安装板底边不低于30cm。任一配线架的金属基座都应接地。接地电阻不大于3欧姆。阻燃高强度PVC管槽、电缆桥架与各分配线机柜整体连接后,再接地。配线架的上方应安装有线槽,以布放进出线缆。5、除上述几点之外,还要考虑到用户对线路高可靠性的要求,所有线路全部放入线槽,在无线槽处,也采取了适当措施保证线缆不受干扰,关于这一点,我考虑一方面应按用户的特殊要求,同时,我也确信五类UTP在无特殊保护措施下的高品质特性。7心得体会我从黔江中学内部网络的建设思想、目标、可以选用的网络技术以及对网络设备的介绍和选择等多方面的论述,使我对学校内部网络规划有了一个比较深入的了解,它的所用到的各种技术是多方面的,即有网络技术、工程施工技术,
