計算機網絡與安全實踐課程設計報告--實驗室局域網建設方案

1、<p>　　計算機網絡與安全實踐課程設計報告</p><p>　　實驗室局域網建設方案</p><p>　　?！　I(yè): 計算機科學與技術專業(yè) 班級: 計09-1 </p><p><b>　　目 錄</b></p><p><b>　　1、引言4</b></p&g

2、t;<p>　　1.1 目前現狀4</p><p>　　1.2 需求分析4</p><p>　　2、網絡設計的目標與要求7</p><p>　　2.1 網絡設計的目標與要求7</p><p>　　1. 計算機實驗室的設計目標7</p><p>　　2. 計算機實驗室網絡的建設要求7</p

3、><p>　　2.2小組成員分工8</p><p>　　3、方案設計與實現9</p><p>　　3.1網絡設計原則9</p><p>　　3.2 主流組網技術分析與選擇10</p><p>　　3.2.1 星型拓撲10</p><p>　　3.2.2 總線拓撲10</p>

4、<p>　　3.2.3 環(huán)型拓撲11</p><p>　　3.2.4 樹型拓撲11</p><p>　　3.2.5 混合型拓撲12</p><p>　　3.2.6 網型拓撲12</p><p>　　3.3 網絡拓撲結構設計13</p><p>　　3.3.1模塊化設計13</p>

5、<p>　　3.3.2層次化設計13</p><p>　　3.3.3 網絡拓撲圖15</p><p>　　3.3.4 方案的說明16</p><p>　　3.4 IP地址劃分17</p><p>　　3.4.1 IP地址及VLAN劃分原則17</p><p>　　3.4.2 IP地址及VLAN劃分

6、18</p><p>　　3.4.3 NAT的實現18</p><p>　　3.4.3、訪問列表的實現19</p><p>　　3.5設備選型與配置19</p><p>　　3.6 路由選擇與配置20</p><p>　　3.7 網絡安全設計與管理20</p><p>　　3.7.1安

7、全需求分析20</p><p>　　3.7.2網絡安全控制21</p><p>　　3.7.3網絡管理設計22</p><p>　　3.8 未來升級與擴展25</p><p>　　4、網絡施工與結構化布線26</p><p>　　4.1網絡布局的原則26</p><p>　　4.2網

8、絡布局的具體實施要求26</p><p>　　4.3布線系統(tǒng)的規(guī)劃與設計27</p><p>　　4.4網絡布局的規(guī)劃與設計27</p><p><b>　　5、總結29</b></p><p><b>　　6、參考文獻30</b></p><p><b>

9、;　　1、引言</b></p><p><b>　　1.1 目前現狀</b></p><p>　　近年來，校園網絡的建設在高效掀起一股熱潮，許多中學都建起了自己的校園網，形成了一個覆蓋全國的計算機網并通過專線與Internet連通。</p><p>　　從學校的長遠發(fā)展考慮，通過校園網可以更好的為學校教育教學提供資源共享、信息交流和

10、促進學校各部門之間的協(xié)調工作，這必將增強學校管理水平，提高教學和科研水平，改善教學和科研環(huán)境，使教學多出人才，科研出成果，對學校的發(fā)展有著十分重要而深遠的意義。</p><p>　　隨著互聯網技術的廣泛普及和應用，從而帶來了網絡技術人才需求量的不斷增加，網絡技術教育和人才培養(yǎng)成為高等院校一項重要的戰(zhàn)略任務。</p><p>　　建設優(yōu)質的實驗室局域網有利于學術研究，有利于網絡教學，有利于培

11、養(yǎng)學生實踐動手能力，有利于學生就業(yè)，有利于提升學校的品牌的一件大好事。所以建設實驗室局域網是必須的。</p><p><b>　　1.2 需求分析 </b></p><p>　　計算機實驗室局域網的建設，最終是通過學校網絡中心將網絡接入到計算機實驗室的每個機房，使師生員工可以在機房進行各種活動，有助于提高師生的生活質量，對計算機技術的教學提供了極大的幫助。因此，建設計

12、算機實驗室局域網是學校發(fā)展的不可就目前對部分需求和網絡應用的需求考察結果，并尊重“長遠考慮、就地起步”的規(guī)劃，技術上遵循開放、標準、成熟、安全、可靠和可擴展的思想，追求技術上的先進性與成熟性、實用性相結合，追求整個系統(tǒng)性能的最佳化、理優(yōu)化、節(jié)省費用等原則原則。</p><p>　　計算機實驗室擁有一個完整的以太網布局，通過路由器與學校網絡中心光纖連接， 由兩層交換機將各個機房的信息點連通。計算機實驗室位于計算機學

13、院樓四樓，每個實驗室是一間長方形教室，每個實驗室大約有60臺計算機。根據我校學生多、機位少的實際情況，制定如下網絡需求：</p><p>　　使用帶有VLAN功能的二層網管和三層網管交換機組網，將100臺左右計算機按需要劃分為若干個VLAN，配置交換機使每個網段之間可以通訊</p><p>　　C類局域網，獨立網段，自主分配IP地址；</p><p>　　每臺計算機

14、通過URL自由訪問Internet網絡資源；</p><p>　　計費的功能，所要創(chuàng)建的局域網要實現計費功能，按時間收費。學生可以用校園一卡通開通賬戶，繳費上網。</p><p>　　選擇可伸縮的結構和高性能的設備，能夠高速傳輸數據，同時通過技術保證，安全地接入Internet和一體化的網絡解決方案。</p><p>　　計算機終端設備的選型既考慮性能、價格比、設備

15、的運行維護費用，也考慮設備的可擴充性。確保系統(tǒng)主要設備的投入在整個系統(tǒng)的生命周期內能得到充分利用并具有強健靈活的體系結構。</p><p>　　節(jié)約空間，減少噪音污染；</p><p>　　建設的局域網要努力克服一些通病，如：設備種類繁多、機位擁擠不堪、網線密集凌亂、維護困難重重、空氣流通不暢、往來人員頻繁而中空的防靜電地板將每個人腳下的聲音傳播到整個機房，混合上交換機噪音，產生噪音污染。

16、</p><p>　　設計一個網絡，首先要確定用戶對網絡的真正需求，其中包括分析原有網絡現在面臨的主要問題，并找出新的用戶需求和未來的發(fā)展可能，在此基礎上設計選擇合適的網絡結構和網絡技術，建設滿足需求的網絡。</p><p>　　隨著教學及管理水平的不斷提高，網絡會發(fā)揮越來越重要的作用，此外，未來的一些新的應用也對網絡提出了支持多點廣播的要求。</p><p>　　

17、為確保校園網建設和應用的成功，對網絡方案的設計大致可歸納出以下的需求：</p><p><b>　　1、高帶寬</b></p><p>　　為了支持數據、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用比較先進的網絡技術，以適應大量數據和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮未來的發(fā)展。為此應選用高帶寬的先進技術。</p>

18、;<p><b>　　2、高可靠性</b></p><p>　　網絡系統(tǒng)應具有高可靠性、高安全性，具體到本項目中，要求采用可靠性較高的產品和網絡架構，在物理層、數據鏈路層和網絡層等多個層次都有相應的技術，以最大程度的保證網絡的正常運轉。</p><p><b>　　3、QoS保證</b></p><p>　　

19、當今網絡中多媒體的應用越來越多，這類應用對服務質量的要求較高，新的網絡系統(tǒng)應能保證QoS，以支持這類應用。</p><p><b>　　4、多協(xié)議支持</b></p><p>　　由于網絡將要存在不同的業(yè)務和辦公應用系統(tǒng)，并基于不同的網絡協(xié)議，所以網絡系統(tǒng)應能支持多種協(xié)議（IP、SNA、Netbios等），是一個開放型的網絡，支持各種協(xié)議的互連。</p>

20、<p><b>　　5、易管理、易維護</b></p><p>　　由于校園網的網絡系統(tǒng)規(guī)模龐大，需要網絡系統(tǒng)具有良好的可管理性，網管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設置等功能，以便于系統(tǒng)的管理和維護。同時應盡可能選取集成度高、模塊可通用的產品，以便于管理和維護。</p><p><b>　　6、安全性</b></p>

21、;<p>　　網絡系統(tǒng)應具有良好的安全性，要充分的保證網絡的安全性，應該根據相應的管理制度和網絡策略制定一套完善的安全政策，基于此安全政策，采用合適的技術手段，以達成目標，保證系統(tǒng)的安全性。</p><p>　　7、可擴展性和可升級性</p><p>　　系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網絡中的數據信息流將按指數增長，需要網絡有很好的可擴展性，并能

22、隨著技術的發(fā)展不斷升級。</p><p>　　8、IP Multicast</p><p>　　網上培訓和視頻點播將越來越成為網絡中重要的應用，并占用越來越多的帶寬。由于這些應用往往是帶寬需求較大的，所以在本項目中，網絡系統(tǒng)應能支持IPMulticast，可以減少網絡中不必要的廣播，節(jié)省主干的帶寬。</p><p><b>　　9、符合國際標準</b

23、></p><p>　　選用符合國際標準的系統(tǒng)和產品，可以保證系統(tǒng)具有較長的生命力和擴展能力，滿足將來系統(tǒng)升級的要求。</p><p>　　10、另外，還有如下幾個方面的需求：</p><p>　　􀁺 整個網絡系統(tǒng)分布相對較廣泛</p><p>　　􀁺 整個網絡采用先進的網絡結構，以滿足傳輸、存儲和處

24、理數據、語音及圖象信息的需要。</p><p>　　􀁺 和INTERNET接通。</p><p>　　􀁺 滿足網上的集成系統(tǒng)和業(yè)務系統(tǒng)的需求。</p><p>　　􀁺 完整統(tǒng)一的系統(tǒng)管理平臺。</p><p>　　此外，在建設實驗室局域網過程中還要考慮以下因素：</p>&l

25、t;p>　　（1）主干層網落承載能力要求</p><p>　　主干層的功能主要是實現骨干網絡之間的優(yōu)化傳輸，負責整個網絡的網內數據交換。網絡的功能控制最好盡量少在骨干層上實施，主干層設計任務的重點是冗余能力、可靠性和高速的傳輸。核心層一直被認為是流量的最終承受者和匯聚者，所以要求主干層交換機擁有較高的可靠性和性能。</p><p>　?。?）匯聚層接點接入要求</p>

26、<p>　　匯聚層主要負責連接接入層接點和核心層中心，匯聚分散的接入點，擴大核心層設備的端口密度和種類，匯聚各區(qū)域數據流量，實現骨干網絡之間的優(yōu)化傳輸。匯聚交換及還負責本區(qū)域內的數據交換，匯聚交換機一般與主干層交換機同類型，仍需要較高的性能和比較豐富的功能，但吞吐量較低。</p><p>　　(3) 可靠性和自愈能力要求</p><p>　　網絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的

27、關鍵保證，在網絡設計中選用高可靠性網絡產品，合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運行。</p><p><b>　　(4) 安全性要求</b></p><p>　　制訂統(tǒng)一的骨干網安全策略，整體考慮網絡平臺的安全性?？梢酝ㄟ^各業(yè)務子網隔離，全網統(tǒng)一規(guī)劃IP地址，根據不同的業(yè)務劃分不同的子網（subnet），相同

28、物理LAN通過VLAN的方式隔離，不同子網間的互通性由路由策略決定。</p><p><b>　　(5) 性價比要求</b></p><p>　　建設網絡時選用的設備要具有較高的性價比，用最小的成本建設最優(yōu)質的網絡。</p><p>　　2、網絡設計的目標與要求</p><p>　　2.1 網絡設計的目標與要求</

29、p><p>　　1. 計算機實驗室的設計目標</p><p>　　網絡實驗室的建設要有一定的前瞻性，應在有限的資金條件下建立一個適應計算機網絡技術發(fā)展，集教學、科研、培訓和社會服務于一體的綜合性實驗室。網絡實驗室建設的主要目標是：</p><p>　　(1)建立多樣化的實驗環(huán)境。讓參與網絡技術學習的學生能夠一邊學習理論知識，一邊認識了解和掌握網絡設備的結構、功能和使用方

30、法，并動手進行必要的網絡設計、網絡組建、網絡管理、網絡安全和網絡應用的實驗，通過一系列的驗證型、演示型、自主設計型、綜合型和創(chuàng)新型實驗，使學生掌握計算機網絡技術的實驗技能，強化對所學知識的理解，以培養(yǎng)學生的動手能力、工程實踐能力、創(chuàng)新能力和團隊協(xié)作精神。</p><p>　　(2)滿足專業(yè)教師學習網絡、從事網絡技術研究和應用系統(tǒng)開發(fā)的需要。網絡實驗室應涵蓋目前主流的網絡技術和設備，具有良好的可擴展性。要求系統(tǒng)能夠

31、模擬先進的網絡技術環(huán)境，搭建網絡工程；實驗設備和實驗內容應能非常靈活地進行擴展，從而為專業(yè)教師研究當前網絡最前沿的技術動態(tài)和發(fā)展(例如網絡安全、IPv6、VolP等)提供完善的實驗平臺，并能在此平臺之上從事網絡應用系統(tǒng)與技術的研發(fā)，提高學校整體網絡科研與教學應用水平。</p><p>　　(3)滿足實習基地建設的需要。網絡實驗室的建設要面向社會，為社會盡可能多地培養(yǎng)緊缺的IT人才。但今天的IT人才市場，越來越關注

32、技術人員的實際經驗和動手操作能力。因此，新建的網絡實驗室，要能夠模擬寬帶數據城域網及大型園區(qū)網的組網方式和業(yè)務思路，并可以構建多種類型的局域網和廣域網。可以讓學生親自搭建網絡、親自動手調試和配置網絡，通過在網絡實驗室中的實驗和操作，真正提高他們的網絡技能和實戰(zhàn)能力。此外，網絡實驗室還應充分考慮多種技術的融合、多個平臺的操作、多廠家設備的互聯，可以提供仿真的網絡設備配置環(huán)境，讓學生了解更多的系統(tǒng)，掌握更多的設備使用。</p>

33、<p>　　2. 計算機實驗室網絡的建設要求</p><p><b>　　第一、經濟而實用</b></p><p>　　靈活的拓撲結構的網絡實驗室，所提供的實驗平臺可以適合多種應用實驗的需要?？梢詫崿F同一時段多人做實驗，也可合并在一起組成大的實驗環(huán)境，體現網絡實驗室在拓撲環(huán)境組合上的靈活性及整體的經濟性。</p><p>　　第二、

34、可擴展和易維護性</p><p>　　由于計算機網絡技術發(fā)展快速的特點，在網絡實驗室建設過程中，選擇設備時要求其在提供多種冗余保證穩(wěn)定的情況下，還必須具有超強的擴展能力。如各種交換機都提供多個擴展插槽和提供足夠的背板帶寬，同時還采用設備管理軟件來解決設備在維護上的問題。</p><p>　　第三、社會實際緊密結合性</p><p>　　所建設的網絡實驗室是完全結合社

35、會真實的網絡進行組建的，所有的實驗都是從實際的網絡環(huán)境中截取的，做到實驗和社會實際有機地結合起來，以提高中職院校的綜合競爭實力與學生就業(yè)能力。實驗教學內容應與社會應用實踐密切聯系，形成良性互動，實現學與用的有機結合。要認真考慮設置哪些實驗項目、采用何種實驗手段才能切實提高學生的動手能力，培養(yǎng)學生的獨立性和創(chuàng)造性，保證實驗教學的質量。</p><p>　　完善計算機實驗室局域網基礎設施建設，構建技術先進、擴展性強、

36、安全可靠、高速暢通的網絡環(huán)境。建立公共信息系統(tǒng)基礎平臺，提供先進數字化管理手段，提高管理效率；建立功能齊全的教學管理平臺；建設內容豐富的教學資源庫，實現教學資源共享；提高全校師生信息素養(yǎng)，為培養(yǎng)高技能應用性人才和服務社會搭建公共服務平臺。在網上宣傳和獲取教育資源；在此基礎上建立能滿足教學、科研和管理工作需要的軟、硬件環(huán)境；開發(fā)各類信息庫和應用系統(tǒng)，為學校各類人員提供充分的網絡信息服務；系統(tǒng)總體設計本著總體規(guī)劃、分布實施的原則，充分體現系

37、統(tǒng)的技術先進性、高度的安全可靠性、良好的開放性、可擴展性，以及建設經濟性。</p><p><b>　　2.2小組成員分工</b></p><p>　　胡奧：需求分析、主流網技術與分析、網絡拓撲結構的設計、網絡拓撲圖的繪制、現狀分析</p><p>　　李春煒：網絡安全設計與管理、IP地址的劃分、組網技術的分析與選型、網絡設計目標的確定<

38、/p><p>　　季程：交換機的選擇與配置、路由的選擇與配置、校對工作后期的測試、維護與后期拓展</p><p>　　耿士金：文檔整理與搜集、資料搜集、設備的基本配置、可擴展性和易維護性、未來升級與擴展</p><p>　　3、方案設計與實現 </p><p><b>　　3.1網絡設計原則</b></p>&

39、lt;p>　　在充分考慮多應用、易管理的同時，本方案遵循如下原則：</p><p>　　1) 開放性與穩(wěn)定性原則:在設計校園網絡時應盡量采用結構化、模塊化、標準化的設計。技術選擇必須符合相關國際標準及國內標準,避免個別廠家的私有標準或內部協(xié)議,確保網絡的開放性和互聯互通,滿足信息準確、安全、可靠、優(yōu)良交換傳送的需求;開放的接口,支持良好的維護、測量和管理手段,提供網絡統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能,

40、實現網絡設備的統(tǒng)一管理。</p><p>　　滿足校園網絡各種不同用戶需求、達到校園網絡系統(tǒng)穩(wěn)定、保證總體方案的設計合理、便于校園網絡使用過程中的管理與維護,同時也應采用開放性的網絡體系,方便網絡的升級、擴展,在選擇服務器等網絡產品時,使用支持的多種不同網絡協(xié)議的國際標準化產品,在保證校園網絡穩(wěn)定性的同時具備開放性。</p><p>　　2) 先進性與實用性原則:網絡技術發(fā)展快,設備更新淘

41、汰也很快。在設計校園網絡時既要采用先進的概念、技術和方法,又要注意結構、設備、工具的相對成熟。采用符合國際標準的成熟、先進的技術和設備,確保校園網絡能夠適應將來校園網絡發(fā)展需要,保證在未來若干年內占主導地位。</p><p>　　由于學校資金并不充足,部分先進設備不可能一步到位。另外,學校的應用水平也有限,某些過于先進系統(tǒng)和設備即使安裝了也會存在利用不起來的現象,因此,在設計校園網絡時應在先進性的指導下面向實用,

42、注重實效的方針,堅持應用、經濟的原則。</p><p>　　3) 安全性與可靠性原則:校園網絡的安全與可靠包括設備、系統(tǒng)、應用等多個方面的因素,在設計校園網絡時,在結構、設備、系統(tǒng)、應用、性能等方面所面臨的威脅以及可能承擔的風險進行定性與定量相結合的分析,然后制定規(guī)范和措施,確保校園網絡具有良好的安全性和可靠性。</p><p>　　校園網絡安全是整體的、動態(tài)的,校園網絡安全既包括采用相應

43、的安全設備,還包括相應的管理手段。網絡安全隨著環(huán)境、時間的變化也會發(fā)生變化。在設計校園網絡時應充分考慮系統(tǒng)安全的整體性和動態(tài)性。</p><p>　　校園網絡為多種不同需求的用戶提供互聯并提供不同目的的服務,要求不僅能進行靈活有效的安全控制,同時還應支持虛擬局域網、虛擬專用網,以提供多層次的安全選擇。在設計校園網絡時,既要考慮信息資源的充分共享,更要注意信息的保護和隔離,針對不同的應用和不同的網絡通信環(huán)境、采取不

44、同的措施,包括系統(tǒng)的安全機制、數據存取的權限控制等,保證網絡可靠性,包括網絡物理級的可靠性以及網絡邏輯的可靠性。</p><p>　　4) 可擴展性原則:在設計校園網絡時,要具有可擴展性和可升級性的思想,隨著學校不斷的擴招,業(yè)務的增長和應用水平的提高,網絡中的數據和信息流會按指數級增長,需要網絡有很好的可擴展性,并能隨著技術的發(fā)展不斷升級,把校園網絡建設成完整統(tǒng)一、組網靈活、易擴充的彈性網絡平臺。設備應選用符合國

45、際標準的系統(tǒng)和產品,保證系統(tǒng)具有較長的生命力和擴展力,滿足將來系統(tǒng)升級的要求。</p><p>　　5) 可維護性原則:校園網絡系統(tǒng)規(guī)模寵大,應用豐富而復雜,需要校園網絡具有良好的可管理性,校園網絡管理系統(tǒng)具有監(jiān)測、故障診斷、故障隔熟、過濾設置等功能,設計時,應盡可能選取集成度高、模塊可通用的產品,以便于管理和維護。</p><p>　　總之,在設計校園網絡時,不僅要保持校園網絡的先進性,

46、而且要保持校網網絡的實用性,不僅要考慮學校的現有需求,也要考慮學校未來發(fā)展規(guī)劃,不僅要考慮利用先進技術,還要考慮學校的經濟實力。</p><p>　　3.2 主流組網技術分析與選擇</p><p>　　網絡拓撲結構就是網絡的形狀，或者是它在物理上的連通性。構成網絡的拓撲結構有很多種，通常包括：星型拓撲、總線拓撲、環(huán)型拓撲、樹型拓撲、混合型拓撲、網型拓撲。</p><p&

47、gt;　　拓撲結構的選擇往往與傳輸媒體的選擇和媒體訪問控制方法的確定緊密相關。在選擇網絡拓撲結構時，應該考慮的主要因素有下列幾點：</p><p>　　1.可靠性  盡可能提高可靠性，保證所有數據流能準確接收。還要考慮系統(tǒng)的維護，要使故障檢測和故障隔離較為方便。</p><p>　　2.費用低  它包括建網時需考慮適合特定應用的費用和安裝費用。<

48、;/p><p>　　3.靈活性  需要考慮系統(tǒng)在今后擴展或改動時，能容易地重新配置網絡拓撲結構，能方便地對原有站點的刪除和新站點的加入。</p><p>　　4.響應時間和吞吐量  要有盡可能短的響應時間和最大的吞吐量。</p><p>　　3.2.1 星型拓撲</p><p>　　星型拓撲是由中央節(jié)點和通

49、過點到點通信鏈路接到中央節(jié)點的各個站點組成，如圖4-16所示。中央節(jié)點執(zhí)行集中式通信控制策略，因此中央節(jié)點較復雜，而各個站點的通信處理負擔都很小。采用星型拓撲的交換方式有電路交換和報文交換，尤以電路交換更為普遍?，F在的數據處理和聲音通信的信息網大多采用這種拓撲結構。目前流行的專用交換機PBX（Private Branch Exchange）就是星型拓撲的典型實例。一旦建立了通道連接，可以無延遲地在連通的兩個站點之間傳送數據。</p

50、><p>　　1.星型結構的優(yōu)點。</p><p>　　(1)控制簡單  在星型網絡中，任何一站點和中央節(jié)點相連接，因而媒體訪問控制的方法很簡單，致使訪問協(xié)議也十分簡單。</p><p>　　(2)容易做到故障診斷和隔離  在星型網絡中，中央節(jié)點對連接線路可以一條一條地隔離開來進行故障檢測和定位。單個連接點的故障只影響一個設備，不

51、會影響全網。</p><p>　　(3)方便服務  中央節(jié)點可方便地對各個站點提供服務和網絡重新配置。</p><p>　　2.星型拓撲的缺點。</p><p>　　(1)電纜長度和安裝工作量可觀  因為每個站點都要和中央節(jié)點直接連接，需要耗費大量的電纜。安裝、維護的工作量也驟增。</p><p>　　

52、(2)中央節(jié)點的負擔加重，形成瓶頸，一旦故障，則全網受影響，因面中央節(jié)點的可靠性和冗余度方面的要求很高。</p><p>　　(3)各站點的分布處理能力較少。</p><p>　　3.2.2 總線拓撲</p><p>　　總線拓撲結構采用一個信道作為傳輸媒體，所有站點通過相應的硬件接口都直接連到這一公共傳輸媒體上，或稱總線上。任何一個站發(fā)送的信號都沿著傳輸媒體傳播而

53、且能被其他站接收。</p><p>　　結 構因為所有站點共享一條公用的傳輸信道，所以一次只能由一個設備傳輸信號。通常采用分布式控制策略來決定下一次哪一個站可以發(fā)送。發(fā)送時，發(fā)送站將報文分 成分組，然后一個一個依次發(fā)送這些分組，有時要與其他站來的分組交替地在媒體上傳輸。當分組經過各站時，其中的目的站會識別到分組的目的地址，然后拷貝下 這些分組的內容。</p><p>　　1.總線拓撲的優(yōu)點

54、。</p><p>　　(1)總線結構所需要的電纜數量少。</p><p>　　(2)總線結構簡單，又是無源工作，有較高可靠性。</p><p>　　(3)易于擴充，增加或減少用戶比較方便。</p><p>　　2.總線拓撲的缺點。</p><p>　　(1)系統(tǒng)范圍受到限制：同軸電纜的工作長度一般在2km以內，在總線

55、的干線基礎上擴展長度時，需使用中繼器擴展一個附加段。</p><p>　　(2)故障診斷和隔離較困難：因為總線拓撲網絡不是集中控制，故障檢測需在網上各個節(jié)點進行，故障檢設不容易。如故障發(fā)生在節(jié)點，則只需將節(jié)點從總線上去掉。如傳輸媒體故障，則整個這段總線要切斷。</p><p>　　3.2.3 環(huán)型拓撲</p><p>　　每個站點能夠接收從一條鏈路傳來的數據，并以同

56、樣的速度串行地把該數據傳送到另一端鏈路上。這種鏈路可以是單向的，以可以是雙向的。單向的環(huán)型網絡，數據只能沿一個方向傳輸，數據以分組形式發(fā)送，例如圖中A站希望發(fā)送一個報文到C站，那么要把報文分成若干個分組，每個分組包括一段數據加上某些控制信息，其中包括C站的地址。A站依次把每個分組送到環(huán)上，開始沿環(huán)傳輸，C站識別到帶有它自己地址的分組時，將它接收下來。由于多個設備連接在一個環(huán)上，因此需要用分布控制形式的功能來進行控制，每個站都有控制發(fā)送和

57、接收的訪問邏輯。</p><p><b>　　1.環(huán)型拓撲優(yōu)點。</b></p><p>　　(1)電纜長度短：環(huán)型拓撲網絡所需的電纜長度和總線拓撲網絡相似，但比星型拓撲網絡要短得多。</p><p>　　(2)增加或減少工作站時，僅需簡單地連接。</p><p>　　(3)可使用光纖：它的傳輸速度很高，十分適用于環(huán)型拓

58、撲的單向傳輸。</p><p>　　2.環(huán)型拓撲的缺點。</p><p>　　(1)節(jié)點的故障會引起全網故障，這是因為在環(huán)上的數據傳輸是通過接在環(huán)上的每一個節(jié)點，一旦環(huán)中某一節(jié)點發(fā)生故障就會引起全網的故障。</p><p>　　(2)檢測故障困難，這與總線拓撲相似，因為不是集中控制，故障檢測需在網上各個節(jié)點進行，故障的檢測就不很容易。</p><

59、p>　　(3)環(huán)型拓撲結構的媒體訪問控制協(xié)議都采用令牌傳遞的方式，則在負載很輕時，其等待時間相對來說就比較長。</p><p>　　3.2.4 樹型拓撲</p><p>　　樹型拓撲是從總線拓撲演變而來，形狀像一棵倒置的樹，頂端是樹根，樹根以下帶分枝，每個分枝還可再帶子分枝。</p><p>　　這種拓撲的站點發(fā)送時，根接收該信號，然后再重新廣播發(fā)送到全網。樹

60、型拓撲的優(yōu)缺點大多和總線的優(yōu)缺點相同，但也有一些特殊樁點。</p><p><b>　　1.樹型拓撲優(yōu)點。</b></p><p>　　(1)易于擴展：從本質上講，這種結構可以延伸出很多分支和子分支，這些新節(jié)點和新分支都較容易地加入網內。</p><p>　　(2)故障隔離較容易：如果某一分支的節(jié)點或線路發(fā)生故障，很容易將故障分支和整個系統(tǒng)隔離

61、開采。</p><p>　　2.樹型拓撲的缺點是各個節(jié)點對根的依賴性太大，如果根發(fā)生故障，全網則不能正常工作，從這一點來看樹型拓撲結構的可靠性與星型拓撲結構相似。</p><p>　　3.2.5 混合型拓撲</p><p>　　將以上兩種單一拓撲結構類型混合起來，取兩種拓撲結構的優(yōu)點構成一種混合型拓撲結構。如圖4-20所示是星型拓撲和環(huán)型拓撲混合成的星型環(huán)狀拓撲。&

62、lt;/p><p>　　這種拓撲的配置是由一批接入環(huán)中的集中器組成，由集中器再按星型結構連至每個用戶站。</p><p>　　1.混合型拓撲的優(yōu)點。</p><p>　　(1)故障診斷和隔離較為方便：一旦網絡發(fā)生故障，首先診斷哪一個集中器有故障，然后，將該集中器和全網隔離。</p><p>　　(2)易于擴展：如果要擴展用戶時，可以加入新的集中器

63、，以后在設計時，在每個集中器留出一些備用的可插入新的的站點的連接口。</p><p>　　(3)安裝方便；網絡的主電纜只要連通這些集中器，安裝時就不含有電纜管道擁擠的問題。這種安裝和傳統(tǒng)的電話系統(tǒng)電纜安裝很相似。</p><p>　　2.混合型拓撲的缺點。</p><p>　　(1)需要選用帶智能的集中器：這是為了實現網絡故障自動診斷和故障節(jié)點的隔離所必需的。<

64、;/p><p>　　(2)集中器到各個站點的電纜安裝會像星型拓撲結構一樣，有時會使電纜安裝長度增加。</p><p>　　3.2.6 網型拓撲</p><p>　　它的優(yōu)點是不受瓶頸問題和失效問題的影響。由于節(jié)點之間有許多條路徑相連，可以為數據流的傳輸選擇適當的路由，繞過失效的部件或過忙的節(jié)點。這種結構雖然比較復雜，成本比較高，為提供上述功能，網形拓撲結構的網絡協(xié)議也較

65、復雜，但由于它的可靠性高，受到用戶的歡迎。</p><p>　　上面分析了幾種常用拓撲和它們的優(yōu)缺點，由此可見，不管是局域網或廣域網，其拓撲的選擇，需要考慮很多因素。網絡要易于安裝，一旦安裝好了，還要滿足易于擴展的要求，既要方便擴展，又要保護現有的系統(tǒng)。</p><p>　　網絡的可靠性也是考慮的重要因素，要易于故障診斷，易于隔離故障，以使網絡的主要部分仍能正常運行。</p>

66、<p>　　網絡拓撲的選擇還會影響傳輸媒體的選擇和媒體訪問控制方法的確定，這些因素又會影響各個站點在網上的運行速度和網絡軟硬件接口的復雜性。</p><p>　　要建設一個功能完善的計算機實驗室局域網絡，從性能、安全、穩(wěn)定等方面來考慮，樹型的網絡結構是我們的首選，其易于故障的診斷，以及網絡的升級。</p><p>　　目前常用的主干網組網技術有100Mbps的快速以太網，100

67、Mbps的FDDI， ATM網絡和千兆以太網。本網主要采用快速以太交換網作為主干網的組網技術，快速以太交換網是性能較高的組網方式。它具有以下優(yōu)點：技術成熟穩(wěn)定；對傳統(tǒng)的局域網及其應用有很好的支持；有效保護用戶投資。</p><p>　　3.3 網絡拓撲結構設計</p><p>　　校園網絡的設計都是基于一個模塊化，層次化的設計思想。這也是對大型網絡進行高效管理的首選方法</p>

68、<p>　　3.3.1模塊化設計</p><p>　　模塊化就是將把整個網絡按功能和安全需求分為若干個組件，這些組件之間有一定的安全邊界，組件內部有完整的網絡設計。模塊化設計的好處在于： </p><p>　　1. 解決各網絡之間的沖突問題； </p><p>　　2. 簡化安裝和后臺設備管理； </p><p>　　3.

69、 易于故障檢測和分離問題； </p><p>　　4. 易于執(zhí)行不同類型的服務和安全方針； </p><p>　　5. 易于擴展和/或代替原來的技術。</p><p>　　實驗室局域網的設計可以借鑒這種思想，對各種不同種類，不同安全等級的業(yè)務進行模塊劃分，相互之間的訪問將受到控制。</p><p>　　3.3.2層次化設計</p&g

70、t;<p>　　對于實驗室局域網絡，我們采用業(yè)界通用“核心層-匯聚層-接入層”層次化網絡設計模型。</p><p><b>　　核心層：</b></p><p>　　核心層的主要提供不同網絡模塊之間優(yōu)化傳輸服務，將分組盡可能快地從一個網絡傳到另一個網絡，通常要保證核心層具有很高的可靠性、最佳的網絡性能。匯聚層到核心層要具備冗余傳輸鏈路，任何單條鏈路斷連不

71、影響網絡的可用性。作為所有網絡流量的傳輸中樞，核心層除了要求高性能交換設備和高帶寬傳輸鏈路外，還需考慮選用支持負載均衡或負載分擔特性的設備實現負荷均衡。此外，為了避免網元故障對網絡造成沖擊，需要網絡采用支持快速聚合的特性，一旦主用通路斷開，可以很快的切換到備用通路。</p><p><b>　　匯聚層</b></p><p>　　匯聚層顧名思義就是作為訪問層到骨干層的

72、匯聚，通常為訪問層與骨干層實現基于策略的網絡間連接。匯聚層主要由三層交換機組成，提供對網絡流量模式控制、服務訪問控制、QoS、定義路由路徑度量和路由協(xié)議網絡通告控制。</p><p><b>　　接入層</b></p><p>　　接入層作為各模塊到交換骨干的連接，根據不同模塊進行邏輯子網劃分，并通過 VLAN技術實現子網之間的隔離。訪問層主要功能在于隔離模塊間的廣播

73、流量，避免不同模塊之間相互影響。訪問層主要通過二層交換機組成。</p><p>　　“核心層-匯聚層-訪問層”網絡設計模型有如下優(yōu)點： </p><p>　　高可擴展性 － 遵循層次化模型網絡比扁平式網絡更具有伸縮性和可管理性，因為各功能網絡通過模塊化實現，潛在問題更易于識別。 </p><p>　　易于實施 － 每一層的功能性清晰劃分，簡化每一層的實現。

74、</p><p>　　易于故障排除 － 每一層的功能經過良好定義，網絡更為簡單，有助于故障的隔離。模塊化設計也有效限制故障影響范圍。 </p><p>　　易于規(guī)劃和管理 － 層次化的功能劃分，整個網絡規(guī)劃和管理更為簡單。 </p><p>　　3.3.3 網絡拓撲圖</p><p>　　3.3.4 方案的說明</p>

75、<p>　　實驗室局域網絡系統(tǒng)從結構上分為核心層、匯聚層和接入層。核心層的功能主要是實現骨干網絡之間的優(yōu)化傳輸,骨干層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。因存在大量的語音和視頻傳輸。據此，考慮匯聚層對 QoS 有良好的支持并且能提供大的帶寬。接入層設備是最終用戶的最直接上聯的設備，它應該具備即插即用特性以及易于維護的特點。根據學校建設要求與總體目標，骨干網采用三層結構，由核心層，匯聚層和接入層構成。在接入層面，通

76、過定義相應的訪問策略，實現訪問控制，內外隔離和抭 IP 地址。在網絡結構上，采用成熟的千兆以太網技術(第三層交換)作為核心層，呈網狀拓撲結構。以 TCP/IP 協(xié)議為主，并輔以 IP/SPX. NETTEUI 等其他流行通信協(xié)議堅持開放性和標準化，采用標準的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系統(tǒng)間易于集成，兼顧其他標準的網絡體系結構，網絡能實現協(xié)議之間無縫連接。而公用服務器與每一臺核心層交換機都應該具備連接。在網絡硬件上采用高

77、性能、高可靠的設備，此產品是具有運營商級容錯能力的高性能大型網絡核心交換機，可實現冗余備份，從而提高核心層的可靠性。 整個網絡通過匯聚層交換機</p><p><b>　　拓撲圖</b></p><p><b>　　拓撲圖</b></p><p>　　3.4 IP地址劃分</p><p>　　3.4

78、.1 IP地址及VLAN劃分原則</p><p>　　簡單性：地址的分配應該簡單，避免在主干上采用復雜的掩碼方式； </p><p>　　連續(xù)性：為同一個網絡區(qū)域分配連續(xù)的網絡地址，便于采用路由收斂(Summarization)CIDR(Classless Inter-Domain Routing)技術縮減路由表的表項，提高路由器的處理效率； </p><p>　　

79、可擴充性：為一個網絡區(qū)域分配的網絡地址應該具有一定的容量，便于主機數量增加時仍然能夠保持地址的連續(xù)性； </p><p>　　靈活性：地址分配不應該基于某個網絡路由策略的優(yōu)化方案，應該便于多數路由策略在該地址分配方案上實現優(yōu)化； </p><p>　　可管理性：地址的分配應該有層次，某個局部的變動不要影響上層、全局。 </p><p>　　安全性：網絡內應按工作內容

80、劃分成不同網段即子網以便進行管理。</p><p>　　3.4.2 IP地址及VLAN劃分</p><p>　　VLAN（Virtual Local Area Network）又稱虛擬局域網，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個 VLAN 組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加

81、入到一個邏輯子網中。組建 VLAN 的條件 VLAN 是建立在物理網絡基礎上的一種邏輯子網，因此建立 VLAN 需要相應的支持 VLAN 技術的網絡設備。當網絡中的不同 VLAN 間進行相互通信時，需要路由的支持，這時就需要增加路由設備——要實現路由功能，既可采用路由器，也可采用三層交換機來完成。</p><p>　　根據我校計算機實驗室的實際情況，我們對各個機房的IP地址劃分及VLAN劃分如下：</p&g

82、t;<p>　　1-4機房： 255.0.0.1/24， vlan1</p><p>　　5-8機房： 255.0.1.1/24， vlan2</p><p>　　9-10機房： 255.0.2.1/24， vlan3</p><p>　　11-12機房：255.0.3.1/24， vlan4</p><p>　　13-14

83、機房：255.0.4.1/24， vlan5</p><p>　　15-16機房：255.0.5.1/24， vlan6</p><p>　　17-18機房：255.0.6.1/24， vlan7</p><p>　　19-20機房：255.0.7.1/24， vlan8</p><p>　　21-22機房：255.0.8.1/24， vla

84、n9</p><p>　　23-24機房：255.0.9.1/24， vlan10</p><p>　　25-26機房：255.0.10.1/24， vlan11</p><p>　　27-28機房：255.0.11.1/24， vlan12</p><p>　　29-30機房：255.0.12.1/24， vlan13</p>

85、<p>　　31-32機房：255.0.13.1/24， vlan14</p><p>　　33-34機房：255.0.14.1/24 , vlan15</p><p>　　35-36機房：255.0.15.1/24, vlan16</p><p>　　3.4.3 NAT的實現</p><p>　　NAT，網絡地址轉換，是通過

86、將專用網絡地址轉換為公用地址（如互聯網Internet），從而對外隱藏了內部管理的 IP 地址。這樣，通過在內部使用非注冊的 IP 地址，并將它們轉換為一小部分外部注冊的 IP 地址，從而減少了IP 地址注冊的費用以及節(jié)省了目前越來越缺乏的地址空間（即IPV4）。同時，這也隱藏了內部網絡結構，從而降低了內部網絡受到攻擊的風險。</p><p>　　NAT網絡地址轉換的3種實現方式：</p><

87、p>　　1、靜態(tài)NAT（一對一）</p><p>　　2、動態(tài)NAT（多對多）</p><p>　　3、端口多路復用PAT（多對一）</p><p>　　本網絡沒有考慮NAT的具體實現。</p><p>　　3.4.3、訪問列表的實現</p><p>　　路由器和交換機所保持的列表用來針對一些進出路由器或交換機的

88、服務（如組織某個IP地址的分組從路由器或交換機的特定端口出發(fā)）做訪問控制。</p><p>　　在本網絡拓撲中，使用訪問列表用來實現網絡的安全。用來實現相當于防火墻的功能。允許內網的用戶去訪問外網，而外網的用戶則是除了能訪問服務器或是通過VPN連接進來外，其他的訪問都是被阻止的。</p><p>　　3.5設備選型與配置 </p><p>　　我們選取其中一個機房作

89、為示例，下圖為實驗室的三層網絡結構模型：</p><p>　　匯聚層交換機的選擇： RG－S6806E </p><p>　　要求匯聚層交換機支持廣播、組播功能。信號從核心交換機出來，在匯聚層就進行組播，</p><p>　　可以減輕網絡的負擔。</p><p>　　接入層交換機的選擇：STAR-S2126G/STAR-S2150G 交換機

90、</p><p>　　RG-S6800E 系列多業(yè)務萬兆核心路由交換機提供 1.6T/0.8T 背板帶寬，并支持將來擴展到 3.2T/1.6T 的能力，高達 572Mpps/286Mpps 的二/三層包轉發(fā)速率可為用戶提供高速無阻塞的數據交換，強大的交換路由功能、安全智能技術可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網絡核心骨干和大流量節(jié)點交換機的理想選擇。 RG-S6800E 交換機通過

91、 擴展高性能的 多業(yè)務卡支 持策略路由、 IPV6、 MPLS 、load balancing、NAT、VPN、Firewall、web cache redirect 等業(yè)務功能，滿足客戶環(huán)境靈活而復雜的不同應用需求。 豐富的應用支持技術（QOS、組播） RG-S6800E 提供多種流分類技術和多種 QOS 技術，包括 SP、WRR、WFQ、WRED、CAR、HOL 等，為各種應用的帶寬保障提供需要的支持技術。 流分類：可以依據數據流的

92、源/目的 MAC 地址、源/目的三層 IP 地址、三層協(xié)議（IP/IPX）、四層協(xié)議（UDP/TCP）、源/目的四層協(xié)議端口號、COS、TOS 對數據流進行區(qū)分，實現</p><p>　　數據標記：802.1p 是二層協(xié)議，可以為數據提供 8 個級別的優(yōu)先級標記；DSCP 在三層的 IP 協(xié)議報文里進行優(yōu)先級標記，可以提供 64 個級別的優(yōu)先標記。 </p><p>　　隊列調度：嚴格優(yōu)先

93、級隊列 SP 保證高優(yōu)先級業(yè)務總是在低優(yōu)先級業(yè)務之前處理；WRR是一種加權循環(huán)隊列調度機制，首先處理高優(yōu)先級，但在處理高優(yōu)先級業(yè)務時，較低優(yōu)先級的業(yè)務并沒有被完全阻塞，而是按一定的比例同時進行。WFQ 是加權公平隊列，對所有的數據流進行排隊，監(jiān)控吞吐率，并根據發(fā)送的信息量分配權值。WFQ 試圖公平地為每個對話分配帶寬，保證低帶寬應用可以獲得對接口的訪問權，而不會被高帶寬應用全部占用。 </p><p>　　擁塞控

94、制：WRED 加權隨機早期檢測協(xié)議，可以設置各個數據流在擁塞發(fā)生之前自動丟失數據的閥值，避免較高優(yōu)先級應用的擁塞丟失。HOL 通過消除 HOL 阻塞確保最高可能的吞吐量；最大限度地減少包丟失，減少多路傳輸和廣播流量擁塞。 </p><p>　　承諾信息速率：CAR 可以為重要的數據流設定固定的帶寬，如果設定的帶寬合理，滿足該數據流的需求，就可以保證重要數據流的正常轉發(fā)。 提供多種組播支持技術，包括 IGMP sn

95、ooping、IGMP、PIM（SSM、SM、DM），DVMRP，保證了網絡中提供組播服務時的帶寬合理占用。 </p><p>　　STAR-S2126G/STAR-S2150G 是一款全線速可堆疊千兆智能交換機，提供智能的流分類和完善的服務質量（QoS）以及組播管理特性，并可以實施靈活多樣的 ACL 訪問控制?？赏ㄟ^ SNMP、Telnet、Web 和 Console 口等多種方式提供豐富的管理。</p&

96、gt;<p>　　3.6 路由選擇與配置</p><p>　　RG-S6800E新一代多業(yè)務萬兆核心路由交換機系。</p><p>　　3.7 網絡安全設計與管理</p><p>　　3.7.1安全需求分析</p><p>　?。保W絡的基本安全需求　　滿足基本的安全要求，是該網絡成功運行的必要條件，在此基礎上提供強有力的安全

97、保障，是網絡系統(tǒng)安全的重要原則。網絡內部部署了眾多的網絡設備、服務器，保護這些設備的正常運行，維護主要業(yè)務系統(tǒng)的安全，是網絡的基本安全需求。對于各種各樣的網絡攻擊，如何在提供靈活且高效的網絡通訊及信息服務的同時，抵御和發(fā)現網絡攻擊，并且提供跟蹤攻擊的手段。網絡基本安全要求主要表現為：　　★ 網絡正常運行。在受到攻擊的情況下，能夠保證網絡系統(tǒng)繼續(xù)運行?！　　?網絡管理/網絡部署的資料不被竊取?！　　?具備先進的入侵檢測及跟蹤體系。

98、　　★ 提供靈活而高效的內外通訊服務。 ２．應用系統(tǒng)的安全需求　　與普通網絡應用不同的是，應用系統(tǒng)是網絡功能的核心。對于應用系統(tǒng)應該具有最高的網絡安全措施。應用系統(tǒng)的安全體系應包含：　　★ 訪問控制，通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前；　　★ 檢查安全漏洞，通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效；　　★ 攻擊監(jiān)控，通過對特定網段、服務建立的攻擊

99、監(jiān)控體系，可實時檢</p><p>　　3.7.2網絡安全控制</p><p>　　(1)對端口 ARP 檢查防止 ARP 攻擊；</p><p>　　(2)對端口安全：MAC 動態(tài)地址鎖，MAC 地址靜態(tài)綁定； </p><p>　　(3)交換設備 BPDU Guard 功能，過濾非法 BPDU 報文，防止 STP 攻擊交換機； <

100、/p><p>　　(4)端口安全：端口靜態(tài)綁定，自動綁定 IP 和 MAC 地址防止 DOS 攻擊； </p><p>　　(5)智能安全到邊緣：多種 ACL，滿足不同網絡應用，過濾病毒 </p><p>　　(6) SSH 密文傳輸，限制管理 IP 等措施保證設備管理可靠； </p><p>　　(7)對網絡病毒的防范：采用設置 ACL，對

101、病毒進行過濾； 我們使用的匯聚、核心交換機都支持 SPOH，通過端口獨立的 FFP 進行 ACL 處理，網絡設備性能不受設置 ACL 數目影響； </p><p><b>　　具體措施如下：</b></p><p>　　(1)事前的身份認證</p><p>　　對于每一個需要訪問網絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的

102、用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網絡的時間，通過以上信息的綁定，可以達到如下的效果：</p><p>　　每一個用戶的身份在整個實驗室局域網中是唯一，避免了個人信息被盜用.</p><p>　　當安全事故發(fā)生的時候，只要能夠發(fā)現肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于

103、事情的處理。</p><p>　　只有經過網絡中心授權的用戶才能夠訪問實驗室局域網，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網中傳播網絡病毒、黑客程序的通道。</p><p>　　(2)網絡攻擊的防范</p><p>　　1、常見網絡病毒的防范</p><p>　　對于常見的比如沖擊波、振蕩波等對網絡危害特別嚴重的網絡病毒，通過部

104、署擴展的ACL，能夠對這些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網絡中的其他用戶，保證了校園網網絡帶寬的合理使用。</p><p>　　2、未知網絡病毒的防范</p><p>　　對于未知的網絡病毒，通過在網絡中部署基于數據流類型的帶寬控制功能，為不同的網絡應用分配不同的網絡帶寬，保證了關鍵應用比如WEB、課件資源庫、郵件數據流有足夠

105、可用的帶寬，當新的病毒產生時，不會影響到主要網絡應用的運行，從而保證了網絡的高可用性。</p><p>　　3、防止IP地址盜用和ARP攻擊</p><p>　　通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數據包都不能進入網絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網絡關鍵設備的I

106、P（如服務器），造成網絡通訊混亂。</p><p>　　4、防止假冒IP、MAC發(fā)起的MAC Flood\SYN Flood攻擊</p><p>　　通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現）。并實現端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網絡的攻擊，進一步增強網絡的安全性。</p>&

107、lt;p>　　5、非法組播源的屏蔽</p><p>　　銳捷產品均支持IMGP源端口檢查，實現全網杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉發(fā)到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產品支

108、持IGMP源端口檢查，有效控制非法組播，實現全網杜絕非法組播源，更好地提高了網絡的安全性和全網的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網流媒體應用多元化和潮流下具有明顯的優(yōu)勢，而且也是網絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網絡大規(guī)模的應用環(huán)境。</p><p>　　6、對DOS攻擊，掃描攻擊的屏蔽</p><

109、p>　　通過在校園網中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網絡帶寬，避免了網絡設備、服務器遭受到此類攻擊時導致的網絡中斷。</p><p>　　(3)事后的完整審計</p><p>　　當用戶訪問完網絡后，會保存有完備的用戶上網日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網絡，什么時候結束，

110、產生了多少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。</p><p>　　3.7.3網絡管理設計</p><p>　　在實際網絡管理過程中，網絡管理應具有的功能非常廣泛，包括了很多方面。在()SI網絡管理標準中定義了網絡管理的5大功能：配置管理、性能管理、故障管理、安全管理和計費管理，這5大功能是網絡管理最基本的功能。事實上，網絡管理還應該包括

111、其他一些功能，比如網絡規(guī)劃、網絡操作人員的管理等。不過除了基本的網絡管理5。大功能，其他的網絡管理功能實現都與具體的網絡實際條件有關，因此我們只需要關注OSI網絡管理標準中的5大功能，其中：</p><p>　　(1)配置管理：自動發(fā)現網絡拓撲結構，構造和維護網絡系統(tǒng)的配置。監(jiān)測網絡被管對象的狀態(tài)，完成網絡關鍵設備配置的語法檢查，配置自動生成和自動配置備份系統(tǒng)，對于配置的一致性進行嚴格的檢驗。</p>

112、<p>　　(2)故障管理；過濾、歸并網絡事件，有效地發(fā)現、定位網絡故障，給出排錯建議與排錯工具，形成整套的故障發(fā)現、告警與處理機制。</p><p>　　(3)性能管理：采集、分析網絡對象的性能數據，監(jiān)測網絡對象的性能，對網絡線路質量進行分析。同時，統(tǒng)計網絡運行狀態(tài)信息，對網絡的使用發(fā)展作出評測、估計，為網絡進一步規(guī)劃與調整提供依據。</p><p>　　(4)安全管理：結