计算机网络组网毕业设计

《计算机网络组网毕业设计》由会员分享，可在线阅读，更多相关《计算机网络组网毕业设计（38页珍藏版）》请在装配图网上搜索。

1、计算机网络组网毕业设计（校园局域网设计毕业论文）摘要现代办学条件的学校必须建立完善的服务于教育教学的计算机校园网、信 息库。校园网为学校的教学、管理、办公、信息交流和通讯等提供综合的网络环 境。校园网的使用，使学校的教育、教学研究和管理工作跨上一个新台阶，我们 可以充分利用现有计算机资源，实现信息交流和软硬件资源的共享，实现学校办 公、管理、教学的现代化。校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术 及Internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和 分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为 学校的教学、管理、办公、

2、信息交流和通信等提供综合的网络应用环境。要特别 强调的是，不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计 算机硬件网络，而应该把校园网理解为学校信息化、现代化的基础设施和教育生 产力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。要 实现这一点，校园网必须有大量先进实用的应用软件来支撑，软硬件的充分结合 是校园网发挥作用的前提。一个好的校园网，安全问题是至关重要的。随着互联网的飞速发展，网络安 全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中 也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确 保无关人员不能读取，更不能修

3、改传送给其他接收者的信息。此时，它关心的对 象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获 和重播的问题，以及发送者是否曾发送过该条消息的问题。目录第一章、前言5第二章、需求分析62.1概括62.2目的及要求72.3功能82.4预期目标11第三章、综合布线123.1规范和标准123.1.1设计规范和标准123.1.2工业企业通信设计规范133.2设计范围及要求133.2.1设计范围133.2.2设计规范的确定133.2.3布线要求143.3系统设计143.3.1工作区子系统的设计143.3.2水平子系统的设计143.3.3管理子系统的设计153.3.4干线子系统的设计1

4、53.3.5设备间子系统的设计153.3.6建筑群子系统的设计16第四章、校园网络总体规划设计184.1项目设计原则184.2主干网设计194.3图书馆网络设计194.4宿舍局域网设计204.5教学楼区网络设计204.6学院礼堂网络214.7 IP地址的分配21第五章、设备选型235.1服务器235.2防火墙245.3机柜245.4路由器245.5交换机255.6 PC 机26第六章、网络安全与防护技术276.1计算机网络安全276.1.1 计算机网络安全的目的和功能276.1.2 网络安全的潜在威胁286.1.3网络安全的策略6.2防火墙技术6.2.1防火墙的概念6.2.2防火墙的作用和特性

5、6.2.3实现防火墙的主要技术6.2.4防火墙的体系结构6.2.5防火墙选择原则6.2.6防火墙的配置第七章、工期及费用第八章、代码第九章、鸣谢第十章、参考文献第一章、刖言随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过 程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选 择学校的新的标准之一，此时，校园网的应用系统就显得尤为重要。一方面，学 生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问， 这是学生综合素质中极为重要的一部分；另一方面，基于先进的网络平台和其上 的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。网

6、络是信息高速发展的纽带，它不但可以带给我们信息发展的前沿，还能够 帮助我们查阅大量的信息，它所提供的信息资源几乎是无穷无尽的。网络作为一 种研究工具的出现，极大的拓展了知识的获取范围，大大地降低了我们在每一项 工作上所消耗的时间。校园网是网络技术应用于教育事业的一种体现，改善校园网不仅可以充分的 提高教学质量，更能够让学生对学习产生兴趣，而且它也是管理、办公、信息交 流和通信等现代化的标志。因此，对于一个学院来说，扩大校园网的规模，提高信息传输质量，增添新 的设备，采用最新的技术，是事在必行的。第二章、需求分析2.1概括一期工程包括：三栋教学楼，一栋实验楼，七栋宿舍楼，一栋行政楼，大礼 堂及小

7、卖部。由于学校刚刚建设，还没有校园网络，资源不能共享，相互间及与 外界不能进行信息交流，亟待建设校园网。学院已具备校园数字化建设和管理的 基本条件。大学是一个小社会，网络应用类型非常复杂，信息媒体类型较多，且具有 信息流猝发特点。在我院校园网建设中，应充分兼顾信息资源共享与服务、多媒 体教学和教务管理等因素对网络的需求。2.2目的及要求建网的目的：实现大学的校园网络化，校园的教学楼、宿舍、图书馆等各个 部分都能实现计算机联网，并且整个校园接入互联网，以及校园的数字化建设。建网的要求：（1）实用性和经济性充分集成现有的各种计算机和网络设备，使建设的系统适用、安全、可靠且 易管理、维护和扩展，具有

8、最高的性价比。（2）开放性构造一个开放的网络系统，是当前世界计算机技术发展的潮流。在整个系统设计中采用的规范和设备与厂商无关，具有较强的兼容性，便于与外界异种机平滑互联。（3）先进性当今计算机网络技术发展日新月异，把握不准方向则可能导致在很短的时间 内技术落伍，从而面临被淘汰的危险。因此在坚持实用性的前提下尽量采用国际 先进成熟的网络技术和设备，以适于未来的发展和需要，做到一次规划长期受益。（4）可扩充性所选择的联网方案及设备要能适应网络规划不断扩大的要求，以便于将来设 备的扩充；要能适应信息技术不断发展的要求，平稳地向未来新技术过渡。（5）可靠性系统设计除采用信誉好、质量高的设备外，还采用一

9、系列容错、冗余技术， 提高整个系统的可靠性。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用 千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨 干网络平台的可用性。（6）安全性包括两个方面：网络用户级的安全性，数据传输级的安全性。网络用户级的 安全性应在网络的操作系统中予以考虑，而数据传输的安全性则必须在网络传输 时解决。在网络设计中，既要考虑信息资源的充分共享，更要注意信息的保护和隔离， 因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括 端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多 种数据访问权限控制等

10、，有多种的保护机制，如划分VLAN、IP/MAC地址绑定 （过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机 制、SSH加密连接等具体技术提升整个网络的安全性。2.3功能建网的功能：（1）办公自动化（2）网络多媒体教学（3）学生自主学习(4) 电子图书馆(5) 电子邮件(6) 远程教育(7) 校园一卡通工程(8) 校园移动计算(9) 流量计费校园网设计应该从以下几个方面来考虑：第一章、调查内容：第二章、Q.决策层需求：第三章、I.学院建设规模：约1500亩第四章、II.计算机数量：1000余台第五章、III.建筑物：行政楼1栋，实验楼1栋，图书馆1栋，教学楼3

11、栋，学生宿舍7栋，大礼堂、一期商业街第六章、IV.预测增长率：全员师生员工规划人数：20000人第七章、V.所期望的校园网功能：能提供决策方面的主要数据第八章、VI.对校园网的要求：性能价格比高，故障率低，尽量使用成 熟、先进的技术。第九章、VII.远程访问：需要第十章、决策者需要了解的一次性支付费用和非一次性支付费用:第十一章、耗资项目第十二章、一次性费用第十三章、非一次性费 用第十四章、网络硬件第十五章、Y第十八章、第十七章、不间断电源 (UPS)第十八章、Y第十九章、第二十章、廉价磁盘冗 余阵列第二十一章、Y第二十二章、第二十三章、病毒防 护第二十四章、Y第二十五章、Y第二十六章、应用软

12、 件第二十七章、Y第二十八章、Y第二十九章、网络工 具第三十章、Y第三十一章、第三十二章、诊断工 具第三十三章、Y第三十四章、第三十五章、 路费用电信线第二十六章、Y第三十七章、Y第三十八章、职员第三十九章、第四十章、Y第四十一章、维护第四十二章、第四十三章、Y第四十四章、培训第四十五章、Y第四十六章、YQ.中层管理需求：第四十七章、I、办公需求：办公自动化，文档电子化，电子公告牌第四十八章、II、管理需求：会议管理，个人信息管理，公共信息管理，公文管理，教务综合管理，图书馆自动化管理第四十九章、III、远程访问：需要第五十章、办公自动化系统结构图：图书馆自动化管理系统:图书谑F动化系绶/ 采

13、访子系统f阅览室与馆稼/泥通子系.茨期刊子系统公共宜询子系系统子系统V.。.教师需求：第五十一章、调查内容：第五十二章、I、教学要求：电子备课，资料查阅，文档打印，文档、课件上传/下载，在线答疑第五十三章、II、教学活动：VOD，学生成绩登入、公布第五十四章、III、自学需求：电子图书馆，资料查询第五十五章、IV、远程访问：需要第五十六章、第五十七章、Q .学生需求：第五十八章、调查内容：第五十九章、 I、学习需求：电子文档下载，VOD，文档打印，资料查询，电子图书馆，在线答疑第六十章、II、E-mail服务:需要第六一章、 III、Web服务：需要第六十二章、 IV、FTP服务:需要第六十三

14、章、 V、远程访问：不需要第六十四章、 VI、学业管理：成绩查询，课程选择/调整第六十五章、第六十六章、业务需求清单:第六十七章、项目第六十八章、说明第六十九章、 适用对 象第七十章、电子文档传递第七十一章、办公自 动化第七十二章、教职员 工第七十三章、E-mail第七十四章、电子邮 件第七十五章、全体师 生员工第七十六章、Web第七十七章、因特网 信息服务第七十八章、全体师 生员工及学院对外宣传及通知发布第七十九章、FTP第八十章、文件共享第八十一章、全体师 生员工第八十二章、VOD第八十三章、视频点 播服务第八十四章、全体师 生员工第八十五章、E-Library第八十六章、电子图 书馆第八

15、十七章、全体师 生员工第八十八章、电子教务 系统第八十九章、课程编 排，学生选课、学生成绩发布等第九十章、教务管理人 员，教师，学生第九十一章、信息安全第九十二章、对敏感 信息进行保护第九十三章、机要部 门，重要文档第九十四章、Internet 访问第九十五章、通过校 园访问因特网第九十六章、全体师 生员工第九十七章、远程访问第九十八章、在校外 访问校内网络第九十九章、全体师 生员工第百章、第百一章、Q.用户需求分析:第百二章、 得到用户认可的网络，才是一个成功的网络。为了能 最大限度地让用户满意，我们针对用户关心的网络问题进行了调查，得到 的用户关心的服务和对用户工作重要的功能有：第百三章、

16、1是否能及时地从网络上找到用户需要的信息第百四章、2网络是否有效，可靠第百五章、3网络的适应性是否强第白八章、4网络是不是可以升级第百七章、5网络是否安全第百八章、6网络是否可管理第百九章、7网络性价比是否高第百十章、。计算机平台需求分析：第百十一章、用户的应用需求离不开软件的支持，而计算机平台的好坏直接关系到用户的应用需求是否能较好实现。为了能更好地实现用户的运用需求，我们 针对用户所关心的计算机平台的相关问题作了调查，得出了用户对所希望的计算 机平台的一些要求：速度快、容量大、外观美观、环保、可扩充性能和可升级性高、故障率低、易于使用、便于维护。2.4预期目标安徽新华学院数字校园设计建设目

17、标是，建设一个以校园办公自动化、计算 机辅助教学和现代化计算机校园文化为核心，以现代网络技术为依托，技术先进， 扩展性强，能覆盖校园各楼宇的校园主干网络，将学校现有的各种计算机系统联 系起来，并与Internet广域网相连，形成结构合理、内外沟通的新型校园计算 机网络教学系统。在此基础上建设能满足教学、科研和管理工作需要的软硬件环 境，开发建设各类教学资源库与应用系统，为教师、学生及家长提供充分的网络 信息服务。第三章、综合布线综合布线是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输 通道。通过它可使话音设备、数据设备、图像设备、交换设备及各种控制设备与 其他信息管理系统连接起来，同

18、时也使这些设备与外部通信网络相连。与传统的 布线相比较，综合布线有很多优越性，主要表现在兼容性、开放性、灵活性、可 靠性、先进性和经济性等方面。因此安徽新华学院一期网络工程采用综合布线系 统。工作区子系统水平子系统管理子系统垂宜干线子系统垂宜干线子系统建筑辨子系统设备间子系统图3.1综合布线系统结构图3.1规范和标准3.1.1设计规范和标准统一标准和规范：综合布线工程要始终执行国际、国家和行业制定的各项标准和规范，主要的标准和规范如下:（1）ANSI EIA/TIA 568商用建筑的电信路由和空间的规定。（2）ANSI EIA/TIA 569商用建筑标准中对电信路由和空间的规定。（3）EIA/

19、TIA 570家用和轻型商业通信布线标准。（4）ANSI EIA/TAT 606配线间的管理。（5）ANSI EIA/TAT 607 屏蔽与接地。（6）ISO/IEC11801商用建筑电信布线标准。（7）EN/50173欧洲商用建筑电信布线标准。（8）中华人民共和国建筑物综合布线标准建筑与建筑群综合布线系统设计 规范。（9）IEEE 802.3u100Base-T 网络标准。（10）IEEE 802.3z100Base-T 网络标准。3.1.2工业企业通信设计规范（1）中国工程建设标准化协会标准“建筑与建筑群综合布线系统工程设计规 范”修订本CECS 72： 97。（2）中国工程建设标准化协会

20、标准“建筑与建筑群综合布线系统工程施工及验收规范” CECS 89： 97。（3）市内电话线路工程施工及验收技术规范。3.2设计范围及要求3.2.1设计范围安徽新华学院一期工程的网络管理中心机房位于行政楼2楼，预计一期工程 包括：教学楼4栋（A,B,C,D楼）其中B楼为实验室学生宿舍7栋（其中7号宿舍楼分为男女两部分）行政楼一栋大礼堂及小卖部综合建筑体一栋一期工程校园网由以上楼宇连接成校园网，各栋楼间使用光纤连接，楼内千兆到 楼层，百兆到桌面，并且各楼分别需要网络布线以建设楼内局域网。3.2.2设计规范的确定我们为本校的校园网设计的综合布线系统将基于以下目标：（1）符合当前和长远的信息传输要求

21、。（2）布线系统设计遵从国际（ISO/CEI11801）标准。（3）布线系统采用国际标准建议的星形拓扑结构。（4）基于100Mbps应用需要。（5）布线系统的信息出口采用国际标准的RJ45插座。（6）布线系统符合综合业务数据网的要求。（7）布线系统要立足开放原则。3.2.3布线要求校园网络计算机主机房位于位于行政楼二层。然后通过光缆分别连至校内 的其他建筑，在各建筑内部采用五类4对5类UTP电缆连接到设备间的配线架。3.3系统设计3.3.1工作区子系统的设计工作区系统又称为服务区子系统，它是由RJ-45插座和所连接的设备组成， 对于校园网的用户，基本上需求不是很大，故基本型即可。基本型，用铜芯

22、电缆组网，每个工作区的配线电缆为一条4对双绞线，引至楼层配 线架。学生宿舍信息插座安装在进房间门框附近，采用明装方式，墙面型信息插 座，并选用白色，与墙体颜色相同，更加美观。插座距地面高度为35cm，根据 建筑物的不同，每个房间需安装的信息插座数量也不尽相同，四人间需要一个信 息插座和两个双孔面板，六人间需要一个信息插座和三个双孔面板。选用五类 MAX系列信息模块，性能全部超过国际标准ISOIS 11801的指标。系统支持语音、数据、图像等功能，能随应用的需要转向更高功能的布线系 统。双孔信息面机工作区子系统信息插座3.3.2水平子系统的设计水平子系统也称为水平布线系统。水平布线子系统是从RJ

23、-45插座开始到布 线主干的子系统。由4对5类UTP组成，能支持大多数现代化通信设备。（1）用线采用UTP双绞线。（2）长度不超过90米。（3）UTP双绞线布线方式采用线槽管道布线方式。3.3.3管理子系统的设计为了管理方便，各层的交换机统一安放在设备间的配线架，故各层交换机只 需一条光缆连接即可。管理间的设计及建设应考虑一下因素：（1）管理间位置各楼层管理间一般设置在弱电竖井内，本系统学生宿舍管理间统一设置在设备间内。（2）管理间环境要求管理配线间要尽量保持无尘，注意防火，散热良好，每个电源插座容量不小于 300W，并根据设备的要求及有关规定保证一定的温度和湿度。建议的最佳温度和 湿度：温度

24、16C26C，湿度45%65%。（3）配线架排列管理间的配线间排列应遵守原则：进出线方便，跳线方便、尽量短，墙 面布局合理、占用空间小。（4）跳线管理采用EIA/TIA 568B接线方式，级联时若交换机无级联口，可用交叉线连接。（5）系统接地确保穿线金属管、金属线槽与桥梁之间及各配线架的金属外壳具有良好的电气连接特性，所有设备间ingredients提供接地端接子。3.3.4干线子系统的设计干线子系统是结构化布线系统的骨干，包括：（1）供干线走缆走线用的垂直通道；（2）设备间与网络接口之间的连接电缆；（3）设备间与建筑群子系统之间的连接电缆；（4）主设备间与计算机中心间的电缆。干线子系统的设计

25、必须能满足当前的需求，同时又能适应今后的发展。3.3.5设备间子系统的设计设备间子系统中的电话、数据、计算机主机设备及其保安配线设备宜设在一 个房间内。设备间的位置及大小应根据设备的数量、规模、最佳网络中心等内容 综合考虑确定，本方案中学生宿舍楼设备间放置在二楼。在设备间子系统的设计 和安装过程中还需要考虑配备不间断电源UPS和安全因素，本方案中学生宿舍无 需配备UPS。同时，建筑群的线缆进入建筑物时应有过流、过压保护设施，设备 间室温保持在10C27C，相对湿度保持在30%80%。3.3.6建筑群子系统的设计建筑群子系统又称户外子系统，传输介质除了各种有线设备外还包括其他无 线通信手段，如微

26、波、无线电通信等。户外电缆在进入大楼时通常在入口处经过一次转接接入户内，为避免因雷击或高 压线接触给人类和设备安全带来损失，通常在转接处增加电器保护设备。本方案 建筑群子系统布线方式采用地下管道敷设方式，这种方式提供了最佳的机械保 护，且电缆的敷设和扩充都很容易，能保持道路和建筑物的外貌整齐。3.4具体布线图3.4校园平面图图3.4所示为平面图，各栋建筑物使用光缆连接到网络中心。6F6F4F4F3F3F如1H1F群柿图3 TV男牛宿舍楼虹平血圈图3为7号楼男生宿舍楼楼层平面图，楼高6层，每层有27个房间，其中 北面13间，南面14间，共162个房间，女士宿舍共156个房间。7号楼为四人 间，每

27、个房间安装一个进户信息插座和2个双孔信息面板，供学生连入网络。7号楼（女）1561563123号楼为女生宿舍，普通六人间，楼高6层，每层北面三间卫生间，1楼北 面楼梯占据两间房间的位置，北面有16个房间，南面18个房间，一楼以上，南 面北面都是18个房间。每个房间安装一个进户信息插座和3个双孔信息面板， 供学生连入网络。楼层房间信息点信息插座双孔信息面板134313193236333399336333399436333399536333399636333399第四章、校园网络总体规划设计4.1项目设计原则本系统需遵循以下原则。1标准化：遵循EIA/TIA 568要求，并符合国内现行通用的电气标

28、准。2开放性和兼容性：整个布线体系的接口要全部采用国际标准，能连接不 同厂家不同型号的计算机、交换机、传真机及其他电子设备终端，并且能支 持不同的网络结构及应用。3先进性：当今计算机网络技术发展日新月异，把握不准方向则可能导致在 很短的时间内技术落伍，从而面临被淘汰的危险。因此在坚持实用性的前提下尽 量采用国际先进成熟的网络技术和设备，以适于未来的发展和需要，做到一次规 划长期受益。4可靠性：本设计中所应用的产品都要求是经国际权威机构认证并经过严格 考验的材料。5实用性和经济性：从保护原有的设备投资和能够完全满足现实需求的角度 出发，充分集成现有的各种计算机和网络设备，使建设的系统适用、安全、

29、可靠 且易管理、维护和扩展，具有最高的性价比。6易用性：网络系统的硬件设备和软件程序易于安装、管理和维护。各种主 要网络设备，比如核心交换机、汇聚交换机、接入交换机、服务器、大功率长延时UPS等设备均支持流行的网管系统，以方便用户管理、配置网络系统。7可扩展性：本设计为网络的进一步发展留有扩展的余地，因此我们选用主 流产品和技术。我们选择兼容性好的产品，以便后期扩展。8安全性：包括两个方面：网络用户级的安全性，数据传输级的安全性。网 络用户级的安全性应在网络的操作系统中予以考虑，而数据传输的安全性则必须 在网络传输时解决。在网络设计中，既要考虑信息资源的充分共享，更要注意信 息的保护和隔离，因

30、此系统应分别针对不同的应用和不同的网络通信环境，采取 不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系 统安全机制、多种数据访问权限控制等，有多种的保护机制，如划分VLAN、IP/MAC 地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x 认证机制、SSH加密连接等具体技术提升整个网络的安全性。4.2主干网设计外网StSe . 3 St .?内网眼务器:-Pl防火墙网络中心Hum*3.1 tr. nlEaifcniz教学楼宿 舍 楼“EE afcnMg -邮T NZUH Uss R.OJE 1MSS口套g MdBLs-JSfcnZ图B

31、馆翰林食堂校园网一期工程总拓扑图汇聚层mssa-村 psMdHhi-Srtfcrxj-ZoTT?sa-zTTSf kt ni-iZ却-ATT为fc nS港口 -TT afcnlG.污口- a-Rkcn4.3图书馆网络设计陟书馆网绪拓朴图4.4宿舍局域网设计J J.i. -firsrsr与我s学生宿舍楼网络拓朴图URQQa习二 y j/如口 a-.i您媒体才普更网教学棒网堵拓卜图4.6学院礼堂网络4.7 IP地址的分配地点楼层号vlan 号ip网段ip首地址ip末地址子网掩码1.2层210.2.0.010.2.0.110.2.0.254行政楼3.4层310.3.0.010.3.0.110.3.0

32、.2545.6层410.4.0.010.4.0.110.4.0.2541.2层510.5.0.010.5.0.110.5.0.254行政楼无线网3.4层610.6.0.010.6.0.110.6.0.2545.6层710.7.0.010.7.0.110.7.0.2541层810.8.0.010.8.0.110.8.0.2542层910.9.0.010.9.0.110.9.0.254A楼3层1010.10.0.010.10.0.110.10.0.2544层1110.11.0.010.11.0.110.11.0.2545层1210.12.0.010.12.0.110.12.0.2541层1310.

33、13.0.010.13.0.110.13.0.2542层1410.14.0.010.14.0.110.14.0.254B楼3层1510.15.0.010.15.0.110.15.0.2544层1610.16.0.010.16.0.110.16.0.254255.255.255.05层1710.17.0.010.17.0.110.17.0.254B楼15层1810.18.0.010.18.0.110.18.0.2541层1910.19.0.010.19.0.110.19.0.2542层2010.20.0.010.20.0.110.20.0.254C楼3层2110.21.0.010.21.0.11

34、0.21.0.2544层2210.22.0.010.22.0.110.22.0.2545层2310.23.0.010.23.0.110.23.0.254C楼（多媒体）15层2410.24.0.010.24.0.110.24.0.2541层2510.25.0.010.25.0.110.25.0.254D楼2层2610.26.0.010.26.0.110.26.0.2543层2710.27.0.010.27.0.110.27.0.2544层2810.28.0.010.28.0.110.28.0.254D楼（多媒体）14层2910.29.0.010.29.0.110.29.0.2541层3010.3

35、0.0.010.30.0.110.30.0.2542层3110.31.0.010.31.0.110.31.0.2541号宿舍楼3层3210.32.0.010.32.0.110.32.0.2544层3310.33.0.010.33.0.110.33.0.2545层3410.34.0.010.34.0.110.34.0.2546层3510.35.0.010.35.0.110.35.0.2542号宿舍楼1层3610.36.0.010.36.0.110.36.0.2542层3710.37.0.010.37.0.110.37.0.2543层3810.38.0.010.38.0.110.38.0.2544

36、层3910.39.0.010.39.0.110.39.0.2545层4010.40.0.010.40.0.110.40.0.2546层4110.41.0.010.41.0.110.41.0.2541层4210.42.0.010.42.0.110.42.0.2542层4310.43.0.010.43.0.110.43.0.2543号宿舍楼3层4410.44.0.010.44.0.110.44.0.2544层4510.45.0.010.45.0.110.45.0.2545层4610.46.0.010.46.0.110.46.0.2546层4710.47.0.010.47.0.110.47.0.25

37、41层4810.48.0.010.48.0.110.48.0.2542层4910.49.0.010.49.0.110.49.0.2544号宿舍楼3层5010.50.0.010.50.0.110.50.0.2544层5110.51.0.010.51.0.110.51.0.2545层5210.52.0.010.52.0.110.52.0.2546层5310.53.0.010.53.0.110.53.0.2541层5410.54.0.010.54.0.110.54.0.2542层5510.55.0.010.55.0.110.55.0.2545号宿舍楼3层5610.56.0.010.56.0.110.

38、56.0.2544层5710.57.0.010.57.0.110.57.0.2545层5810.58.0.010.58.0.110.58.0.2546层5910.59.0.010.59.0.110.59.0.2541层6010.60.0.010.60.0.110.60.0.2542层6110.61.0.010.61.0.110.61.0.2546号宿舍楼3层6210.62.0.010.62.0.110.62.0.2544层6310.63.0.010.63.0.110.63.0.2545层6410.64.0.010.64.0.110.64.0.2546层6510.65.0.010.65.0.11

39、0.65.0.2541层6610.66.0.010.66.0.110.66.0.2542层6710.67.0.010.67.0.110.67.0.2547号宿舍楼3层6810.68.0.010.68.0.110.68.0.2544层6910.69.0.010.69.0.110.69.0.2545层7010.70.0.010.70.0.110.70.0.2546层7110.71.0.010.71.0.110.71.0.254翰林、小卖部1、2层7210.72.0.010.72.0.110.72.0.254链路vlan全网7310.73.0.010.73.0.110.73.0.254管理vlan全

40、网25410.254.0.010.254.0.110.254.0.254第五章、设备选型5.1服务器IBM 服务器 X346-8840-I05服务器的组成：2路Intel? Xeon?处理器(1MB L2缓存)、EM64T优化、快 速400MHz PC2-3200 DDR2内存、集成双10/100/1000以太网、支持可选的IBM Remote Supervisor Adapter II Slim Line 卡。服务器的优点:346提供杰出的性能、可用性和可扩展性-采用空间紧凑的2U机柜设计。 它最适用于网络环境或空间紧凑的数据中心中需要大量存储的应用程序和数据。 x346采用最新的Intel

41、 Xeon处理器技术，旨在为客户提供满足当前业务需求 和今后增长需要的计算功能。新的IBM Extended Design Architecture计划很 明显的集成在其2U机柜设计中，x346提供令人印象深刻的可扩展性，包括双 处理器支持、高达16GB的内存和6个高性能、热插拔硬盘驱动器托架、以及支 持内置磁带备份的能力。如果您需要在机柜密集的环境中实现高性能2路处理、 大容量内置存储和卓越的可管理性均衡，x346足以胜任。5.2防火墙为了保证网络的安全，在连接Internet的路由器端口处安置了一台CISCO PIX-515E硬件防火墙，用以防止外界对内部系统的攻击。在服务器内又安置了 中

42、国网软件防火墙，对整个网络系统安全进行监控，并可有效地阻挡从局域网内 部对系统的攻击。品名：CISCO PIX-515E 设备类型：百兆级防火墙 并发连接数：12000 网络吞吐量(MPPS): 188 安全过滤带宽(MB)： 100用户数量限制：无用户数量限制VPN支持：支持5.3机柜1）欧美式的设计风格，精良品质，专业打造。2）万德机柜采用优质冷轧钢板材，严格的磷酸盐防腐蚀处理，整体喷粉均 采用韩国进口粉面。各项指标均达到国际安全保护标准。3）全柜采用拼装式结构，整体承重500KG，前后侧门均可拆卸，维护更加 轻松，柜内通过四根可调承重立校解决了各种设备因尺寸差异而产生的安装问题，符合19

43、英寸工业标准。4）友好U值提示，宽敞的安装空间，使您安装各种网络设备及布线时更加 简便。5.4路由器图 6.4 CISCO 3750VXR 路由器产品参数详细信息基本规格DRAM 内存（MB）： 512Flash 内存（MB）： 512设备类型：非模块化路由器处理器：225、263或350MHz （MIPS RISC）固定的广域网接口：可选广域接口 WIC卡支持扩展模块数：4控制端口： RS-232支持网络协议：IEEE 802.3，ISDN；加密标准AH （MD5），ESP （Null，DES，3DES，ARC4, proprietary fast encoding，+MD5/HMAC，-M

44、D5）； PPP （PAP，CHAP，LCP，IPCP，MLPPP）；支持的网管协议：Cisco ClickStart, SNMP是否内置防火墙：是是否支持Qos:是电源电压(V)： 100-240重量(kg): 3.6宽度(mm)： 301工作温度(C)： 0 - 40存储温度(C)： -20 - 65是否支持VPN:是电源功率(W)： 150长度(mm): 445高度(mm): 44工作湿度：10% - 90%存储湿度：10% - 90%5.5交换机图 6.5 CISCO WS-C2950T-24 交换机产品性能指标基本规格设备类型：快速以太网交换机内存：16MB DRAM和8MB闪存交换

45、方式：存储-转发背板带宽(Gbps)： 8.8包转发率：6.6MppsVLAN支持：支持MAC地址表：8000网络标准：IEEE 802.1x,10BaseT、100BaseTX、1000BaseT 端 口上的 IEEE 802.3x全双 工操作，IEEE 802.1D 生成树协议，IEEE 802.1p CoS,IEEE 802.1Q VLAN,IEEE 802.3ab 1000BaseTX 规范，IEEE 802.3u 100BaseTx 规范，IEEE 802.3 10BaseTx 规范传输速率(Mbps): 10/100/1000端口类型：10/100Base-T,10/100/100

46、0Base-T 端口数：24模块化插槽数：2是否支持全双工：全双工堆叠：可堆叠网管功能：SNMP管理信息库(MIB)II, SNMP MIB扩展，桥接MIB(RFC 1493)额定电压(V)： 100 to 127/200 to 240 VAC额定功率(W)： 30重量(Kg)： 3.0长度(mm): 445高度(mm): 44工作温度（C）： -5 - 45工作湿度：10% - 95%工作高度（米）：3000存储温度（C）： -25 - 70存储湿度：10% - 95%5.6 PC 机存储高度（米）：4500宽度（mm）： 242联想启天M4280-一AMD Athlon 3800+处理器

47、正版 WINDOWS XP HOME SP2512MB DDRII533 160G SATA（7200 转） 16X DVD扬天M系列机型是专为注重品质的商业企业用户设计的一款主流商务数字办公平台电脑。拥有领先的结构设计、创新的应用功能，无论从人性化使 用的角度，还是从安全防护、易用管理的方面都为用户周到设想，安全密钥让您 不再为数据信息的安全而担心；独有的一键彻底查杀病毒让您从此远离病毒侵 扰；文件管理能够及时拯救重要文件免除意外丢失的风险，这些业界独创的领先 功能和设计都致力于为用户搭建一个稳定、高效、安全的数字办公平台！第六章、网络安全与防护技术6.1计算机网络安全计算机网络安全问题是一

48、个错综复杂的问题，它涉及到系统故障以及有意无 意的破坏等。为了确保计算机网络安全，需要采取物理措施、管理措施和技术等 多方面措施。计算机网络安全的保护对象主要是数据、资源（硬件资源和软件资源）和声 誉（用户形象）。从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软 件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、 泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络 上信息的保密性、完整性、可用性、真实性和可控性的相关技术及理论都是网络 安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面 的问题，两方面相互补充，缺一不

49、可。技术方面主要侧重于防范外部非法用户的 攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数 据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须 解决的一个重要问题。6.1.1计算机网络安全的目的和功能1、网络安全的目的计算机网络安全就是研究如何保障计算机资源的安全，即计算机的系统资源 和信息资源的安全。影响计算机网络安全的因素主要有以下几种：实体安全、运行安全、数据安全、软件安全和通信安全。2、网络安全的功能和措施计算机网络安全问题是一个很复杂的问题，任何时候都不会有一劳永逸的解 决措施。因为计算机的安全与反安全会一直地进行下去，故要使计算机网络具有

50、较高安全性，需要将计算机系统的各种安全防护技术（如实体安全防护技术、防 电磁辐射泄露技术、软硬件防护技术、防火墙技术、数据保密变换以及安全管理 与法律制裁等）结合使用，对计算机系统进行综合分层防护，从而提高计算机网 络的整体防护水平。加强计算机安全管理的法规建设，建立和健全各项规章制度是保障计算机网 络安全的重要一环。利用制定人员的管理制度，加强人员审查，在组织管理上避 免单独操作，操作与设计分离等制度和措施降低了作案的可能性。6.1.2网络安全的潜在威胁安全威胁是指某个人、物、事件对某一资源的机密性、完整性、可用性或合 法性使用所造成的危害。安全威胁可分为故意威胁和偶然威胁，所谓偶然威胁是指

51、由偶然因素造成的 威胁（如信息被发往错误的地址）。而故意威胁又可进一步分为被动威胁和主动 威胁，被动威胁是只对信息进行监听（如搭线窃听），而不对其进行修改。主动 威胁包括信息进行故意的修改（如改动某次金融会议中货币的数量）。1、基本威胁信息安全的基本目标是实现信息的机密性、机密性、完整性、可用性以及资 源的合法性使用。常见的4种基本威胁是：信息泄露、完整性破坏、拒绝服务和 非法使用。2、主要的可实现威胁主要的可实现威胁可以分为渗入威胁和植入威胁。主要的渗入威胁有：假冒、旁路控制和授权侵犯。主要的植入威胁有：特洛伊木马（Torjan Horse ）和陷门。3、潜在威胁通过对各种威胁进行分析，可以

52、发现某些特定的威胁可以导致更基本的威胁 发生，这些特定威胁称为潜在威胁。例如对于信息泄露这样的一种基本威胁，可 以找出以下几种潜在的威胁：（1）窃听；（2）业务流分析；（3）人员疏忽；（4）媒体清理。通过调查分析可知，下面几种威胁是最主要的威胁：授权侵犯、假冒、旁路 控制、特洛伊木马、陷门和媒体清理等。6.1.3网络安全的策略当安全具体化时，它有一定范围，这个范围便是属于某个组织的处理和通信 资源的集合，称为安全区域。在某一个安全区域内，应该有一个关于安全问题的 总体目标和规划，这就是安全策略。以下是几种常见的网络安全策略：（是抽象策略，不是具体策略）（1）最小特权原则。（2）多道防线。（3）

53、阻塞点。（4）最薄弱环节。（5）失效保护机制。（6）普通参与。（7）防御多样化。6.2防火墙技术防火墙是设备在不同网络或网络安全域之间一系列部件的组合。防火墙可以分为硬件防火墙和软件防火墙两类。6.2.1防火墙的概念“防火墙”是一种形象的说法，其实它是一种由计算机硬件和软件的组合， 使互联网与内部网之间建立起一个安全网关（scurity gateway）,从而保护内部 网免受非法用户的侵入。所谓防火墙就是一个能把互联网与内部网隔开的屏障。 6.2.2防火墙的作用和特性1、防火墙的作用（1）防火墙能强化安全策略（防火墙是阻塞点）。（2）防火墙能有效的记录Internet上的活动。如作日志记录、有

54、报警功能。（3）防火墙能限制暴露用户点，隐藏内部信息。（4）防火墙是一个安全策略的检查站。（5）防火墙有转换地址功能（IP地址）。2、防火墙的特性（1）所有内部对外部的通信都必须通过防火墙，反之亦然。（2）只有按安全策略所定义的授权，通信才允许通过。（3）防火墙本身是抗入侵的。（4）防火墙是网络的要塞点，是达到网络安全目的的有效手段，因此，尽可能将安全措施都集中在这一点上。（5）防火墙可以强制安全策略的实施。（6）防火墙不能防范恶意的内部知情者。（7）防火墙不能防范不通过它的连接。（8）防火墙不能防御所有的威胁。（9）防火墙不能防范和消除网络上的PC机的病毒。6.2.3实现防火墙的主要技术1、

55、数据包过滤技术数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择 的依据是系统内设置的过滤逻辑， 被称为访问控制表 （Access Control Table）。通过检查数据流中每个数据包的源地址、目的地址、 所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通 过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和 透明性好，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证 系统的安全。它通常安装在路由器上。路由器是内部网络与Internet连接必不 可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费

56、用。数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对 主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP 的端口号都在数据包的头部，很有可能被窃听或假冒。2、应用级网关（Application Level Gateways）是在网络应用层上建立协 议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻 辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实 际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定 的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统 建立

57、直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和 运行状态，这有利于实施非法访问和攻击。3、代理服务技术代理服务(Proxy Service)也称链路级网关或TCP通道 (Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网 关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技 术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机 系统间应用层的链接，由两个终止代理服务器上的链接来实现，外部 计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系 统的作用。此外，代理服务也对过往的数据

58、包进行分析、注册登记，形成报告， 同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。6.2.4防火墙的体系结构防火墙的体系结构可分为简单结构和复杂结构。简单结构包括屏蔽路由器结 构和双重宿主主机结构；复杂结构包括屏蔽主机体系结构(应用最多)和屏蔽子 网体系结构。特点：此类防火墙结构有两个屏蔽路由器和一个壁垒主机三部分构成。两个 路由器运行包过滤技术，主要负责数据的过滤检查。壁垒主机运行代理服务技术， 负责将合法数据转发出去。入侵者必须通过内外路由器、壁垒主机三道防线才能 进入内部系统。既使壁垒主机被侵害，内部系统仍然是安全的。优点：安全性很高(三道防线、内部网对外部不可见、代理服务)。缺点：结构复杂，造价高。6.2.5防火墙选择原则1. 防火墙自身是否安全。2. 系统是否稳定。3. 防火墙是否高