《毕业设计论文网络通信类光纤通信系统工程设计 .doc》由会员分享,可在线阅读,更多相关《毕业设计论文网络通信类光纤通信系统工程设计 .doc(43页珍藏版)》请在三一办公上搜索。
1、茂名职业技术学院计算机工程系毕业设计报告茂名职业技术学院毕 业 设 计报告书题目:网络通信类(光纤通信系统工程设计)系 (部) 计算机工程系 专 业 计算机通信 班 级 09 级 计算机通信班 姓 名 指导教师 日 期 2011 年12 月 日 摘要无线局域网利用射频技术,以无线信道作传输媒介的计算机局域网络。随着无线网络技术的成熟,在图书馆网络建设中,无线局域网日渐受到人们关注和重视。图书馆无线局域网的应用,不但增强了图书馆网络系统的扩充性和灵活性,改善了图书馆局域网的信息服务状况,而且还能进一步满足读者对图书馆网络信息服务不断增长的需求,如实现图文传真、电子邮件等多种功能关键词:无线局域网
2、 图书馆 规划 信息服务目录摘要III1 茂名图书馆环境介绍1.1 环境概述11.2 业务需求分析22 建设原则及协议分析2.1 无线局域网的相关概念62.2无线局域网的发展及应用72.3无线局域网的协议93 网络拓扑设计3.1 接入层113.2 汇聚层113.3 核心层124.网络设备选型4.1 网络设计134.2网络设备需求清单145 IP地址规划与VLAN划分5.1 IP地址规划155.2 交换机基本配置命令165.3 划分VLAN176 路由策略分析与设计6.1 路由策略的定义197 网络安全设计7.1 安全攻击、安全机制和安全服务207.2 网络安全防范体系层次207.3 网络信息安
3、全的原则217.4 结语238 综合布线设计8.1 综合布线概念248.2 综合布线的特点248.3 综合布线系统方案设计269 总结致谢30参考文献31第31页1茂名市图书馆环境介绍1.1环境概述茂名市图书馆位于茂名市文化广场西侧,北邻油城八路,是茂名市集文献收藏、信息服务、学术研讨、教育和休闲为一体的文化中心,建筑面积22128平方米,共5层。河西分馆位于红旗中路51号,建筑面积2000平方米,共三层。茂名市图书馆历史可追溯到1964年5月的茂名图书室。1971年茂名市图书馆开始筹建,1972年搬迁至市红旗中路51号。新馆于2003年2月开工建设,预计2007年底对读者开放。茂名市图书馆办
4、馆至今,到2006年止藏书量达23万余册,拥有图书、报纸、期刊、古籍文献,地方文献、视听光盘等多种类型的文献,提供读者阅览座位200多个;2004年10月,实行了计算机自动化管理。茂名市图书馆现有在职工作人员56名,其中具有高级职称1人,中级职称15人,初级职称21人。茂名市图书馆新馆环境优美,设施齐全,规划藏书量为120万册,阅览座位1000个,每天接待读者2000人次。新馆拟设图书流通部、报刊流通部、网络技术部、采编部、少儿部、信息开发部、地方文献部、工具书及参考咨询室、古籍部、自修室等部门;拥有设备先进的多功能报告厅、展览厅和教育培训场所,可供开展图书阅览和文化展示、学术交流、影视观摩、
5、学习培训等活动。新馆采用智能布线系统,拥有1000个信息点,在文献采访、编目、流通、检索、互联网信息查询、连续出版物等主要业务工作以及办公系统上实现自动化。新馆建成文化信息资源共享工程茂名地市级分中心,设有电子阅览室,并与互联网相联,为读者提供方便快捷的信息资源共享服务。茂名市图书馆为公众提供书刊借阅和多媒体阅览服务,为政府和科研、教育部门,企事业单位及其他社会用户提供信息咨询、文献检索、情报调研、课题研究等深层次信息服务。图1.11.2 业务需求分析121 业务需求分析应1) 信息流局域网内的多种业务都依赖于网络内部的通信。因为网络的作用。是支持通信,所以确定信息需求是非常必要的。对于此需求
6、,要规定人与系统之间的信息流路径,信息发送的类型和格式,信息传送的频率及允许的最大误差率。这些都是挑选网络组件,尤其是网络接口卡的基础。2) 移动性 移动性需求描述了用户在执行任务时的移动性。当用户或网络组件进行物理移动,而同时又能使用网络资源时,称做连续移动。3) 性能性能是一个网络所能提供的应用和服务的描述。对性能的需求,要统一兼顾可靠性、可用性和延迟的期望值。可靠性指系统或元件无间断运行的时间。可用性指系统必须运行的最低时间。延迟指用户或系统能够忍受的,等待某个特定服务发达的时间。4) 安全性安全性在目前整个网络系统中的地位越来越显著。安全需求应该注明处理信息的敏感度、组织的安全规则和灾
7、祸(如设备故障、停电、病毒等)发生的可能性。5) 系统接口正在研制的产品很可能必须与现有系统连接和互用。因此,系统接口需求描述了对产品与硬件、软件以及进行正确连接所需协议等要求。6) 环境环境需求包括可能影响系统运行的因素,如湿度、电磁度存在的强度和频度、建筑物的阻隔等。7) 项目预算项目预算包括筹建网络系统的各种人力、物力等因素。这是工程实施前不可缺少的一步,由于用户与项目策划者根据各方面因素共同决定。8) 进度要求进度要求根据用户的要求、网络系统自身的难度、强度及供货道畅通与否等多种因素共同决定。施工前应制定工程进度表,努力按照进度表的要求施工,明确什么时间进展到什么程度及完成什么任务。1
8、.2.2 物理位置介绍茂名市图书馆位于茂名市文化广场西侧,北邻油城八路,是茂名市集文献收藏、信息服务、学术研讨、教育和休闲为一体的文化中心,建筑面积22128平方米,共5层。新馆采用智能布线系统,拥有1000个信息点,在文献采访、编目、流通、检索、互联网信息查询、连续出版物等主要业务工作以及办公系统上实现自动化。新馆建成文化信息资源共享工程茂名地市级分中心,设有电子阅览室,并与互联网相联,为读者提供方便快捷的信息资源共享服务。图1.2-1图1.2-21.2.3 信息点说明为了让茂名市图书馆可能实现无线网络的现代化管理,为图书馆覆盖无线网络最为适合。无线的网络可以让阅读者有更多的方便无论你在2楼
9、图书馆的哪个角落,都可以使用无线上网工具进行网络。无线局域网的铺设不仅经济有效,便于安装,而且要求的配置和维护最少。上图1.2-2茂名市图书馆三楼,共设有4个AP点,分别从办公室对近期周刊阅览室,电子阅览室,报纸阅览室进行点对点物理网线接入。2 建设原则及协议分析2.1 无线局域网的相关概念计算机局域网是把分布在数公里范围内的不同物理位置的计算机设备连在一起,在网络软件的支持下可以相互通讯和资源共享的网络系统。通常计算机组网的传输介质主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点联结起
10、来时敷设专用通讯线路的布线施工难度之大,费用之高、耗时之多,令人生畏。这些问题都对正在迅速扩大的联网需求形成了严重的瓶颈阻塞,限制了用户联网。无线局域网(简称 WLAN)就是为解决有线网络以上问题而出现的。WLAN 利用电磁波在空中发送接受数据,而无需线缆介质。WLAN的数据传输速率现在已经能够达到54Mbps(Agere 公司的非标技术甚至高达 162Mbps),传输距离可远至 20km以上。无线联网方式是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便地解决有线方式不易实现的网络联通问题。 与有线网络相比,WLAN 具有以下优点: 安装便捷:一般在网络建设当中,施工
11、周期最长、对周边环境影响最大的就是网络布线的施工了。在施工过程时,往往需要破墙掘地、穿线架管。而 WLAN 最大的优势就是免去或减少了这部分繁杂的网络布线的工作量,一般只要在安放一个或多个接入点(AccessPoint)设备就可建立覆盖整个建筑或地区的局域网络。 使用灵活:在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦WLAN 建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络,进行通讯。 经济节约:由于有线网络中缺少灵活性,这就要求网络的规划者尽可能地考虑未来的发展的需要,这就往往导致需要预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划时的预期,又要花费较多
12、费用进行网络改造。而 WLAN 可以避免或减少以上情况的发生。 易于扩展:WLAN 有多种配置方式,能够根据实际需要灵活选择。这样,WLAN 能够胜任只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。 由于 WLAN 具有多方面的优点,其发展十分迅速。在最近几年里,WLAN 已在各个领域获得了广泛应用,并且正在与移动通信业务进行结合,诞生了高速移动数据业务,从而使移动办公真正成为了现实。 2.2无线局域网的发展及应用2.2.1 vlan市场WLAN目前的国内外发展现状.在美国,300多家星巴克咖啡连锁店已经为客人提供无线接入服务,今
13、年年底这个数字将变成2000;在日本,随处可见年轻人拿彩色屏幕的3G手机下载信息,拨打可视电话;在新加坡,用户通过手机、PDA或者笔记本电脑连接到UOB网络银行,可以查询他们的个人银行账户、支付账单、买卖信贷或者预定宾馆。 在我国,信息产业部最近发出通知,今后,无线局域网、无线宽带、蓝牙设备和交通无线电台等将共同使用5.8GHz的频段。在清除了无线上网政策上的屏障之后,相关投资者都开始相继出手5月中旬,中国网通集团首先在上海推出“天翼通”无线宽带业务,随后福建、广东等地也都陆续推出这项新业务,并大加推广; 5月17日世界电信日,中国移动也宣布其GPRS网络正式投入商业运营,覆盖全国138个城市
14、,中国移动甚至宣称,他们将从第四季度开始建设无线局域网;而中国联通大规模建设CDMA 1X网络的工作也已全面展开。一切表明,我国无线已越来越近,触手可及。 Gartner Group指出,2002年时全球工作人口中将会有超过25%的移动工作者,为数将高达1.08亿人;而从研究机构Ovum的调查中得知,在2004年之前,全球移动办公室的使用者将会达到1370万人;但是无线上网稳定吗?与有线相比,无线的安全问题是不是更难解决?还有,正因无线更加自由,而在某些地点随意地通过无线局域网上网的又如何计费呢?新技术引发新应用,新技术同样带来新问题。2.2.3无线市场:商机无限互联网向无线连接的延伸为中国带
15、来了许多机会。运营商、网络设备提供商、移动终端厂商、网络接入服务商和内容提供商可以向企业和最终用户提供各种解决方案。而无线运营和无线网络设备市场的风生水起,也使无线终端产品市场需求激增,众多终端设备厂商已瞄准了无线上网这个大市场的机会。 自由借助于能无线上网的手机、PDA和笔记本电脑等无线终端产品是迈入无线应用的第一步,而这样的需求正是移动终端再次高速增长的巨大契机。到2004年,可移动上网的笔记本和掌上电脑将达到2000万台,如果其中10%20%的人每年花费1000元移动上网,2004年无线移动宽带服务的市场规模就是20亿40亿。在激情“无线”2002会场,Avaya为现场提供了自己的WLA
16、N解决方案,Acer、IBM、HP、NEC、三星、方正、紫光、京东方和友邦等厂商都在真实无线环境中展示了各自具有无线功能的笔记本,在这些移动终端产品中,802.11b的无线接口或者无线模块几乎成了标配,而像NEC、京东方、方正、紫光等厂商的部分产品更是可以通过与手机或者手机SIM卡相连,直接登录GPRS网络这也是国内目前正火的无线广域网上网方案,就连国内笔记本市场龙头联想也隆重推出其“移动之翼”GPRS无线广域网方案。 其实,国内外IT企业正是根据用户的种种需求(包括普遍需求和特殊需求)来制定自己的发展方向和发展策略,这谁能最早得到最前沿的需求刺激,谁就有可能最早提出创新的构思。无线上网发展的
17、历史性机遇已经来到,一个庞大的市场正在形成中,吸引着产业链的各个环节全情投身其中。2.3无线局域网的协议无线接入技术区别于有线接入的特点之一是标准不统一,不同的标准有不同的应用。正因为此,使得无线接入技术出现了百家争鸣的局面。在众多的无线接入标准中,无线局域网标准更成为人们关注的焦点。1)802.11家族 802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中,用户与用户终端的无线接入,业务主要限于数据存取,速率最高只能达到2Mbps。由于802.11在速率和传输距离上都不能满足人们的需要,因此,IEEE小组又相继推出了802.11b和802.11a两个新标准。
18、三者之间技术上的主要差别在于MAC子层和物理层。 802.11b物理层支持5.5 Mbps 和 11 Mbps两个新速率。802.11标准在扩频时是一个11位调制芯片,而802.11b标准采用一种新的调制技术CCK完成。802.11b使用动态速率漂移,可因环境变化,在11 Mbps、5.5 Mbps、2 Mbps、1 Mbps之间切换,且在2 Mbps、1 Mbps速率时与802.11兼容。 802.11a工作在5GHzU-NII频带,物理层速率可达54 Mb/s,传输层可达25Mbps。采用正交频分复用(OFDM)的独特扩频技术;可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧
19、结构接口,以及TDD/TDMA的空中接口;支持语音、数据、图像业务;一个扇区可接入多个用户,每个用户可带多个用户终端。2)蓝牙 蓝牙(IEEE 802.15)是一项最新标准,对于802.11来说,它的出现不是为了竞争而是相互补充。蓝牙比802.11更具移动性,比如,802.11限制在办公室和校园内,蓝牙能把一个设备连接到LAN 和 WAN,甚至支持全球漫游。此外,蓝牙成本低、体积小,可用于更多的设备。但是,蓝牙主要是点对点的短距离无线发送技术,本质上要么是RF要么是红外线。而且,蓝牙被设计成低功耗、短距离、低带宽的应用,严格来讲,不算是真正的局域网技术。 3)家庭网络的HomeRF HomeR
20、F主要为家庭网络设计,是IEEE 802.11与DECT的结合,旨在降低语音数据成本。HomeRF也采用了扩频技术,工作在2.4GHz频带,能同步支持4条高质量语音信道。但目前HomeRF的传输速率只有12Mbps,FCC建议增加到10Mbps。3 网络拓扑设计3.1 接入层接入层(图3.1)是最终用户(教师、学生) 与网络的接口,即插即用。本局域网的用户接入与无线接入点AP相连。图3.13.2 汇聚层汇聚层(图3.2)的功能主要是连接接入层节点和核心层中心。无线接入点AP与无线交换机互连,用户数据经过AP汇聚到无线交换机,发送到核心层。如图3.2所示。 图3.23.3 核心层核心层(图3.3
21、)的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输,汇聚层的设备最后经过核心层才能出到Internet。 图3.34.网络设备选型4.1 网络设计1)选择交换机的基本原则(1)适用性与先进性相结合的原则 不同品牌的交换机产品价格差异较大, 功能也不一样, 因此选择时不能只看品牌或追求 高价,也不能只看价钱低的,应该根据应用的实际情况,选择性能价格比高,既能满足 目前需要,又能适应未来几年网络发展的交换机。 (2)选择市场主流产品的原则 选择交换机时, 应选择在国内市场上有相当的份额, 具有高性能、 高可靠性、 高安全性、 高可扩展性、高可维护性的产
22、品,如中兴、3Com、华为的产品市场份额较大。 (3)安全可靠的原则 交换机的安全决定了网络系统的安全, 选择交换机时这一点是非常重要的, 交换机的安 全主要表现在 VLAN 的划分、交换机的过滤技术。 (4)产品与服务相结合的原则 选择交换机时,既要看产品的品牌又要看生产厂商和销售商品是否有强大的技术支持、 良好的售后服务, 否则买回的交换机出现故障时既没有技术支持又没有产品服务, 使企 业蒙受损失。 2)选择路由器的基本原则 (1)实用性原则采用成熟的、经实践证明其实用性的技术。这能满足现行业务的管理,又能适应 35 年的业务发展的要求; (2)可靠性原则设计详细的故障处理及紧急事故处理方
23、案,保证系统运行的稳定性和可靠性; (3)标准性和开放性原则 网络系统的设计符合国际标准和工业标准,采用开放式系统体系结构; (4)先进性原则所使用的设备应支持 VLAN 划分技术、HSRP (热备份路由协议)技术、OSPF 等协议, 保证网络的传输性能和路由快速改敛性,抑制局域网内广播风暴,减少数据传输延时; (5)安全性原则系统具有多层次的安全保护措施,可以满足用户身份鉴别、访问控制、数据完整性、可 审核性和保密性传输等要求; (6)扩展性原则在业务不断发展的情况下,路由系统可以不断升级和扩充,并保证系统的稳定运行; (7)性价比不盲目追求高性能产品,要购买适合自身需求的产品。 4.2 网
24、络设备需求清单网络设备的硬件需求及分析,如表4.2所示,图4.2所示。表4.2 网络设备需求清单表产品类型产品型号需求数量交换机CISCO WS-C45061无线路由器D-Link DIR-6855图4.2 交换机、路由器5 IP地址规划与VLAN划分5.1 IP地址规划1)基于端口的VLAN。 基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。 2)基于MAC地址的VLAN。MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLA
25、N划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。 3)基于路由的VLAN。路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。 4)基于策略的VLAN。基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。就目前来说,对于VLAN的划分主要采用1、3两种模式,对于方案2则为辅助性的方案。 VLAN的划分设计之后,再
26、所涉及的就是VLAN划分的最后一步:VLAN间的互连。 在以前对VLAN的划分主要是通过路由器来实现的,但随着网络规模的扩大、信息量的增加,路由器无论是从端口数还是系统性能上来说都已经不堪负荷,因此逐渐形成了产生网络瓶颈的主要原因。而在现在,因为有了基于交换机上的三层路由的能力,在上述两点已经得到合理地解决。 表5.1 VLAN划分表和IP地址规划表VLANDescriptionIP RangeVLAN 1192.168.1.0/24VLAN2192.168.2.0/24VLAN3192.168.3.0/24VLAN4192.168.4.0/245.2 交换机基本配置命令1)交换机工作模式:用
27、户模式Switch enable(简写:en)特权模式Switch# configure terminal(简写:con)全局模式Switch(config)#端口模式Switch(config)#interface fastEthernet 0/1 (简写:int f0/1)Switch(config-if)#将端口启用 Switch (config-if)#no shutdown 将端口关闭 Switch (config-if)#shutdown 返回:exit(返回上一级模式)或者end(直接返回特权模式)2)交换机显示命令显示交换机硬件及软件的信息 Switch#show versio
28、n 显示当前运行的配置参数Switch#show running-config 显示保存的配置参数 Switch#show configure 显示接口状态 Switch #show interfaces查看MAC地址表 Switch #show mac-address-table 3)配置交换机主机名:Switch(config)#hostname A A (config)#4)配置接口速率 Switch (config-if)#speed 10|100|auto 5)配置接口双工模式 Switch (config-if)#duplex auto|full|half 5.3 划分VLAN1)
29、vlan的配置SwitchA(config)#vlan1SwitchA(config_vlan)#name vlan1SwitchA(config)#vlan2SwitchA(config_vlan)#name vlan2SwitchA(config)#vlan3SwitchA(config_vlan)#name vlan3SwitchA(config)#vlan4SwitchA(config_vlan)#name vlanSwithA(config)#interface fastEtherner 0/1SwithA(config-if)#Swithport acess vlan 1Swith
30、A(config)#interface fastEtherner 0/2SwithA(config-if)#Swithport acess vlan 2SwithA(config)#interface fastEtherner 0/3SwithA(config-if)#Swithport acess vlan 3SwithA(config)#interface fastEtherner 0/4SwithA(config-if)#Swithport acess vlan 42)配置端口网关地址和物理地址ifconfig eth0 192.168.1.0 netmask 255.255.255.0
31、ifconfig eth1 192.168.2.0 netmask 255.255.255.0ifconfig eth1 192.168.3.0 netmask 255.255.255.0ifconfig eth1 192.168.4.0 netmask 255.255.255.03)添加路由ip route add table ta1 default dev eth0 via 192.168.1.0ip route add table ta2 default dev eth1 via 192.168.2.0ip route add table ta2 default dev eth1 via
32、 192.168.3.0ip route add table ta2 default dev eth1 via 192.168.4.04)创建路由规则ip rule add from 192.168.1.0/24 ta ta1 priority 100ip rule add from 192.168.2.0/24 ta ta2 priority 100ip rule add from 192.168.3.0/24 ta ta3 priority 100ip rule add from 192.168.4.0/24 ta ta4 priority 100说明:priority是优先级.5)查看路
33、由规则ip route show table ta1ip route show table ta2ip route show table ta3ip route show table ta46 路由策略分析与设计6.1 路由策略的定义路由策略(Routing Policy)是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。策略路由(Policy Routing)是一种依据用户制定的策略进行路由选择的机制。有关策略路由的详细介绍请参见“IP业务分册”中的“IP单播策略路由配置”。路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤
34、,例如只接收或发布满足一定条件的路由信息。一种路由协议可能需要引入其它的路由协议发现的路由信息,同时引入的路由信息必须满足一定的条件,并对所引入的路由信息的某些属性进行设置,以使其满足本协议的要求。为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则。可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。匹配规则可以预先设置好,然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。策略路由的种类大体上分为两种:一种是根据路由的目的地址来进行的策略称为:目的地址路由;另一种是根据路由源地址来进行策略实施的称为:源地址路由。随着策略
35、路由的发展现在有了第三种路由方式:智能均衡的策略方式。路由策略的应用路由策略主要有两种应用方式:路由协议在引入其它路由协议发现的路由时,通过路由策略只引入满足条件的路由信息。路由协议在发布或接收路由信息时,通过路由策略对路由信息进行过滤,只接收或发布满足给定条件的路由信息。7 网络安全设计随着信息化进程的深入和互联网的快速发展,网络化已经成为企业信息化的发展大趋势,信息资源也得到最大程度的共享。但是,紧随信息化发展而来的网络安全问题日渐突出,网络安全问题已成为信息时代人类共同面临的挑战,网络信息安全问题成为当务之急,如果不很好地解决这个问题,必将阻碍信息化发展的进程。7.1 安全攻击、安全机制
36、和安全服务rrUTx800标准将我们常说的“网络安全(security)”进行逻辑上的分别定义,即安全攻击(Attack)是指损害机构所拥有信息的安全的任何行为机制(security Mechanism)是指设计用于检测、预击或者恢复系统的机制;安全服务(security service)用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。7.2 网络安全防范体系层次作为全方位的、整体的网络安全防范体系也是分层次的,不同层次反映了不同的安全问题,根据网络的应用现状情况和网络的结构,我们将安全防范体系的层次划分为:物理层安全、系统层安全、网络层安全、应用层安全和安
37、全管理。1)物理环境的安全性(物理层安全)该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。2)操作系统的安全性(系统层安全)该层次的安全问题来自网络内使用的操作系统的安全,etworkecurity安全安全攻指采如windows NT,Windows 2000等。主要表现在三方面,是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对操作
38、系统的安全配置问题。三是病毒对操作系统的威胁。3)网络的安全性(网络层安全)该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。4)应用的安全性(应用层安全)该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括web服务、电子邮件系统DNs等。此外,还包括病毒对系统的威胁。5)管理的安全性(管理层安全)安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确
39、的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。7.3 网络信息安全的原则1)网络信息安全的木桶原则网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的岿要前提条件。安全机制和安全服务设
40、计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的”安全最低点”的安全性能。2)网络信息安全的整体性原则要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。3)安全性评价与平衡原则对任何网络,绝对安全难以达到,也不一定是必要的,所
41、以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。4)标准化与一致性原则系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。5)技术与管理相结合原则安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想
42、教育与技术培训、安全规章制度建设相结合。6)统筹规划,分步实施原则由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。7)等级性原则等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(
43、应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。8)动态发展原则要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。9)易操作性原则首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。7.4 结语由于互联网络的开放性和通信协议的安全缺陷,以及在网境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立有效的网络安全防范体系就更为迫切。实际上,保障网络安全不
44、但需要参考网络安全的各项标准以形成合理的评估准则,更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则,分析网络系统的各个不安全环节,找到安全漏洞,做到有的放矢。8 综合布线设计8.1 综合布线概念所谓综合布线系统是指按标准的、统一的和简单的结构化方式编制和布置各种建筑物(或建筑群)内各种系统的通信线路,包括网络系统、电话系统、监控系统、电源系统和照明系统等。因此,综合布线系统是一种标准通用的信息传输系统。8.2 综合布线的特点综合布线同传统的布线相比较,有着许多优越性,是传统布线所无法相比的。其特点主要表现在它具有兼容性、开放性、灵活性、可靠性、先进性和经济性。而且在
45、设计、施工和维护方面也给人们带来了许多方便。 1)兼容性:综合布线的首要特点是它的兼容性。所谓兼容性是指它自身是完全独立的而与应用系统相对无关,可以适用于多种应用系统。过去,为一幢大楼或一个建筑群内的语音或数据线路布线时,往往是采用不同厂家生产的电缆线、配线插座以及接头等。例如用户交换机通常采用双绞线,计算机系统通常采用粗同轴电缆或细同轴电缆。这些不同的设备使用不同的配线材料,而连接这些不同配线的插头、插座及端子板也各不相同,彼此互不相容。一旦需要改变终端机或电话机位置时,就必须敷设新的线缆,以及安装新的插座和接头。综合布线将语音、数据与监控设备的信号线经过统一的规划和设计,采用相同的传输媒体
46、、信息插座、交连设备、适配器等,把这些不同信号综合到一套标准的布线中。由此可见,这种布线比传统布线大为简化,可节约大量的物资、时间和空间。 在使用时,用户可不用定义某个工作区的信息插座的具体应用,只把某种终端设备(如个人计算机、电话、视频设备等)插人这个信息插座,然后在管理间和设备间的交接设备上做相应的接线操作,这个终端设备就被接入到各自的系统中了。 2)开放性:对于传统的布线方式,只要用户选定了某种设备,也就选定了与之相适应的布线方式和传输媒体。如果更换另一设备,那么原来的布线就要全部更换。对于一个已经完工的建筑物,这种变化是十分困难的,要增加很多投资。 综合布线由于采用开放式体系结构,符合多种国际上现行的标准,因此它几乎对所有著名厂商的产品都是开放的,如计算机设备、交换机设备等;并对所有通信协议也是支持的,如ISO/IEC8
