第一章 绪论
前言
当今世界,各种先进的科学技术飞速发展,给人们的生活带来了深远的影响,它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异,从各个方面影响和改变着我们的生活,而其中的计算机网络技术的发展更为迅速,已经渗透到了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,给我们的学习与生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。
随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。自1995年中国教育教研网(CERNET)建成后,校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全,网络系统的维护等内容。通过本毕业设计课题的论述,希望使读者能够了解校园网的建设过程以及所涉及到的各种网络技术,并能对今后大家在学习网络技术知识或是进行校园网的工程建设中有所借鉴。
第二章、校园网应用特点及需求分析
2.1 项目背景
随着我国经济的高速发展,国家提出本世纪末将我国建设成为经济高度发展,教育完备的现代化强国。近年来国家加快改革教育体系,以教育为立国之本,建设一个高度发达的国家教育体系。
为提高我国教育的现代化、建立先进高效的教育体系。提供更为先进的教育手段,达到校园资源共享,建立完备的数据交换体系,更为快速的传递数据信息。
随着科技的进步与经济的繁荣,校园计算机网络的建立与应用已相当普遍,它对内综合了校园中的计算机资源,对外建立了交换体系,更为快速的传递数据信息。
2.2 系统项目目标
利用有限的投资,将全校范围内的计算机资源(硬件、软件、资料)使用当今最新的组网技术连接起来,建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托,技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络,将学校的各种PC机、工作站、终端设备和局域网连接起来,并与有关广域网相连,在网上宣传自己和获取Internet网上的教育资源。形成结构合理、内外沟通的校园计算机网络系统,在此基础上建立能满足教学、科研和管理工作需要的软硬件环境,开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务。
2.3 校园网建设任务与需求目标
一个完整的校园网建设根据软硬件结合主要包括两个内容:技术方案设计;应用信息系统资源建设。
技术方案设计主要包括两个方面:结构化布线与设备选择、网络技术选型。
应用信息系统资源建设主要包括:内部信息资源建设、外部信息资源建设等的选择。内部信息资源建设包括校园办公管理系统、多媒体网络教室、多媒体电子图书阅览室、网络多媒体课件制作系统、内部通信信息服务系统、视频点播等。外部信息资源建设包括学校主页、远程教学、Internet信息管理等。
一个学校校园网建设的目标应该是:
1.整体规划安排。从学校建设的全局和全面工作需要出发,考虑部门的地理分布和通信条件。整体规划网络建设方案,对网络系统的目标、总体结构、服务功能、经费预算、建设步骤等重大问题作出规定。
2.先进性、开放性和标准化相结合。尽量采用符合国际工业标准的、比较成熟的技术,兼顾网络技术的发展方向,选择结构化、可扩充、多用途的网络产品,保证网络在较长时间内不落后。
3.结构合理。在通信网络、资源配置、系统服务和网络管理上有良好的分层设计,使网络结构清晰,便于使用、管理和维护。
4.高效实用。着眼于教学、科研、管理的实际需要,用有限的资金优先解决工作中急需的问题。设备易于使用和维护。为科学研究提供先进平台,例如可视化计算,计算机协同作业,虚拟网络,虚拟现实,计算机仿真,远程计算机与数据处理等。
5支持宽带多媒体业务,例如远程教学、多媒体网络教室、会议电视。
6为学术交流提供良好的环境与CERNET、CHINANET等进行高速互连,快速访问Internet,与国内外同行交流信息、协同工作和展示学校的形象。
技术的选择
网络系统是校园网的基础设施,主要包括结构化综合布线、服务器和终端机、内外连接设备以及软件平台的选择和建设。近年来,多媒体技术的应用,对网络的传输能力提出了更高的要求,联网技术由此取得了长足的发展。其中影响技术选择的主要因素包括:网络规模、网络服务类型、速度、可靠性、使用与维护管理的方便性、价格、国际标准、未来前景等。设计校园网络时,应综合考虑和权衡上述各种因素,在若干成熟的技术中进行选择和集成,以便能以最快的速度、最优的价格建成一个技术先进、功能丰富、运作可靠、使用维护及升级方便的校园网。
构建校园网的主要硬件有:服务器、UPS、传输设备(光纤、双绞线等)、交换机、HUB以及终端工作站、网卡等。校园网按照主干网的组网技术可分为:交换式以太网、快速以太网、FDDI、ATM和千兆以太网。交换式以太网现在主要用于网络交换机到桌面工作站。FDDI和ATM存在着组网成本高、带宽利用率较低等因素使得它们都不太适合校园网的要求。快速以太网是非常成熟的组网技术,造价低,具有较高的性能价格比,但传输速度较慢。千兆以太网传输的速度较快,范围也很广(100公里范围内),成本相对于快速以太网较高。
校园网的规模在100~1000个终端左右较好,可实现每个教室都有一个终端,如足够的校园图书馆终端、教师的备课终端、学校各种管理部门的终端。如果终端数过少,校园网的资源利用率就太低;终端过多,信息的传输速度就会受到很大限制。
整个校园网的投入主要由三个因素决定:服务器数量和种类、布线系统(包括网络设备)和终端的数量。
2.4 校园网的总体设计思想:
校园网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化以及信息化教学环境系统。因此,在总体上如何筹划、组织网络建设和开发应用的设计思想是校园网建设中的最重要的问题。
总体设计是校园网建设的总体思路和工程蓝图,是搞好校园网建设的核心任务。进行校园网总体设计,首先是进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求和条件;其次,在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓朴结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排校园网建设的实施步骤。
第三章校园网络规划与设计
3.1 校园网基本拓扑结构
由于校园网络的拓扑结构比较大,我们在这里并没有详细勾勒出每个细节,只是把校园网络的基本结构勾画出来。下图是一个校园网的基本网络拓扑:
拓扑图中的路由器、防火墙和核心交换机构成了校园网的核心,也就是我们平常说的网络中心,网络中心性能的好与坏将直接影响整个校园网的性能,因此,网络中心的组建将是整个校园网组建成败的关键。
路由器处在网络中心的最顶层,它直接与互联网连接,同时内连校园网中的防火墙,所以路由器在校园网中的作用非常重要。我们在选择适合校园使用的路由器时,要根据校园网的规模来决定。例如路由器的带机数量,路由器的性能等,这些都要根据校园网的规模来确定。至于路由器的功能,我们不用考虑太多,由于市场上的产品同质化严重,所以目前市场上的路由器大多都具有带宽控制,MAC地址绑定,Qos机制等多种功能,我们只要将这些功能应用得当,就能最大限度利用路由器。在选择路由器时,我们要考虑路由器的稳定性,对于路由器的稳定问题,是一个比较难回答的问题,我们只能了解其他用户使用路由器之后的感受,不过建议大家选用大厂所生产的路由器,大厂生产的路由器虽然价格要贵一些,但稳定性能够得到保障。最后我们要注意一点,学校采用的什么网络接入,现在很多校园都是专线接入,所以路由器要具备接入这种专线的能力。
网络中心的防火墙实在校园网中担当网络防黑的作用,虽然网络中心的路由器也具有防火墙功能,不过路由器的防火墙功能一般都不够强大,因此,校园网中使用防火墙还是有必要。校园网中的防火墙与普通防火墙有些不同,它不但要防止外来黑客的攻击,还要防止内部学生的恶作剧和限制学生访问非法站点。防止外来黑客攻击比较复杂,这需要管理员具有较高的专业知识,因为一款防火墙不进行设置,是无法抵御黑客的攻击。防止校园内学生的恶作剧和限制学生访问非法站点相对来说要简单一些,我们只要好好利用防火墙的MAC地址绑定功能,IP地址过滤,URL过滤等功能,就能为校园网用户提供一个安全的网络环境。防火墙的性能与功能同样重要,毕竟校园网用户要访问互联网必需经过防火墙,如果防火墙性能比较差,将严重影响校园网性能。防火墙性能主要根据吞吐量,并发连接数来确定。我们在选择校园防火墙时,最好选择带VPN功能的防火墙,现在很多高校都有自己的分校,要实现远程分校的网络访问,采用VPN技术是最好的方式。
网络中心的核心交换机也是根据校园规模来确定,现在高校的人数一般都比较多,计算机数量也比较多,为了方便管理,这里通常都是采用支持VLAN的三层路由交换机,VLAN功能可以帮助管理员管理校园网络,防止广播风暴发生。在一些中小型校园,采用千兆骨干网的比较多,而一些大型校园则采用万兆骨干网,所以三层交换机也要根据采用什么样的骨干网来确定选择千兆或万兆三层路由交换机。
校园网络中心的建立是为了内部各个小型网络的接入,所以,接入部分是整个校园网络的基础。校园网中的接入主要分为两部分,有线局域网的接入和无线局域网的接入。有线局域网主要是指那些已经布好网络线的地方,例如各个系的机房,新修的一些计算机大楼,新修的一些学生宿舍等,这些都已经布好了网络线,我们只需要选择适合的交换机就能实现这部分有线网络的接入。无线局域网的组建则针对一些老式的大楼,宿舍和大型会议室等,由于这些建筑在以往没有布线或者不适合于布线,但又需要网络信号覆盖,因此,我们需要在这部分组建无线局域网。
3.2 校园网有线部分
我们所说的校园网有线部分是针对校园网中接入网络中心的这一部分网络,在前面我们已经提到这一部分由各个系的机房,新修的一些计算机大楼,新修的一些学生宿舍等组成,因此,这一部分所选用的网络产品主要是交换机。
从上图我们清楚的看到接入交换机与核心交换机的作用,其实接入交换机的选择比较简单,可根据每幢建筑楼内需要的计算机节点数来选择,也就是每幢楼的计算机数量决定选择多少口的交换机,现在普通的交换机一般为24口,也有48口交换机,如果一幢楼的计算机超过这个数量,要么将交换机进行级联,要么采用可堆叠的交换机进行堆叠。采用交换机进行级联肯定要造成网络速度下降,但这种方式比较节约成本投入。采用堆叠交换机则不会对性能造成影响,但这种方式投入的成本比较高,所以用户要根据自己具体情况来确定。交换机的性能在这里也非常重要,它是网络的基础,它的性能直接影响用户使用的网络性能。交换机性能由交换容量和数据包转发率来确定,这两个的值越大越好,不过这两个值越大价格也就越高,并且这两个值过大,会造成网络资源的浪费。最后我们需要注意,如果我们采用级联方式组网,那么这一层交换机最好采用带流量控制等功能的交换机,让管理员可对交换机进行管理。
在核心交换机和汇聚交换机有个需要注意的连接问题,如果核心交换机与汇聚交换机连接距离超过100米,那么采用双绞线是无法实现它们之间的连接,只有使用光纤才能满足需要。在这里我们就需要考虑交换机的光纤接口问题,交换机通常是使用扩展模块来实现光纤连接,但这种扩展模块价格比较贵,如果在需要连接交换机的节点比较多的情况下,采用扩展模块将增加成本投入。因此,我们在这里可采用光纤收发器实现它们之间的连接,光纤收发器是连接光纤介质和双绞线的网络产品,它能实现光信号和电信号的互换,并且这种产品的价格远远低于交换机扩展模块的价格,所以采用光纤收发器是一个低成本的解决方案。
3.3 校园网无线部分
校园网的无线部分主要是针对一些老式的大楼,宿舍和大型会议室等不能布线的地方而设计,这一部分的网络产品主要以无线AP为主。
在无线部分我们采用了多个无线AP来实现无线局域网的组建,上图是校园网内无线局域网的基本拓扑图,从这个拓扑结构中反映出无线局域网分为两层,一层是连接有线网络的无线AP,另外一层是大楼内分布的无线AP。这两层的无线AP通过内部集成的桥接功能,实现它们的无线互连。连接有线网络的这个无线AP我们最好安置在离需要组建无线局域网的大楼附近,并且中间最好没有建筑物阻挡,相隔距离也不要超过300米,这样才能让无线AP性能得到发挥,最大限度节约成本投入。而需要组建无线局域网的大楼内我们每一层楼布置了一个无线AP,以目前无线AP的性能而言,基本上能够将信号覆盖到一层楼的每一个角落,这样,一个无线局域网的基本结构就形成了。由于无线AP安置的地点一般都在高处,而且比较空旷,所以无线AP的防雷措施我们也要考虑。
在大型会议室内,由于室内空间比较大,没有墙壁阻挡,在这里布置的无线AP不用像在大楼中那样用多个无线AP来实现无线网络信号的覆盖。大型会议室组建无线局域网有一个特点,在大型会议室周围一般都有有线网络的接入点,我们可使用网线实现接入点与无线AP的连接,然后将无线AP置于会议室内,就可将信号覆盖到整个会议室内。在这里我们要考虑一件事情,一个大型会议室内如果召开会议,其笔记本数量肯定不会少,而无线AP在通常情况下能够连接20多台无线接入终端,如果无线接入终端数量过多,将严重影响网络性能,为了不影响网络性能实现更多的无线接入终端接入无线局域网中,我们可在这里多增加无线AP。相信大家清楚,多个无线AP在同一个地方使用,信号覆盖肯定会重叠,造成对网络性能的影响。要解决这一问题,就必需将无线AP上的频段进行设置,无线AP一般都提供了11个频道,我们只要将会议室内的无线AP设置为各自不同的频道,就不会造成信号覆盖重叠。至于无线AP的选择,高校就要根据自己实际情况来决定了。目前市场上的无线AP主要有基于IEEE 802.11b、IEEE 802.11a和IEEE 802.11g三种协议下的产品,它们分别提供了不同的数据传输率,用户可根据实际情况来选择无线AP
当一个无线局域网组建成功后,大家最关心的还是无线局域网的安全问题。这里所说的安全不是指互联网中黑客带来的威胁,而是无线局域网内数据传输的安全,用户接入访问无线局域网的安全。
无线局域网内数据是通过无线链路进行数据传输,有一些非法用户通过截获无线链路中的数据给无线局域网用户带来损失,要解决这一问题,我们就必需使用到无线AP中的WEP加密功能,这项功能能够对传输的数据进行加密,即使非法用户获得这些数据,也无法破译,所以我们组建无线局域网成功后必需将这项功能开启。
用户接入访问安全是指一个无线局域网组建成功后,它的信号覆盖面积大,有些非法用户在信号覆盖范围内通过无线网卡连接到无线局域网中。要解决这个问题,必需使用到无线AP中的三项功能,MAC地址绑定,DHCP服务和认证功能。采用MAC地址绑定功能主要是因为每一块网卡只有全球唯一的一个MAC地址,通过设置MAC地址绑定功能后,其他没绑定MAC地址的终端就不能接入无线局域网;DHCP主要是为网内用户自动分配IP地址,所有有些用户就通过获取IP地址进入无线局域网中,只要将DHCP功能关闭就能杜绝这类事件的发生;目前,网络中最常用的认证方式就是802.1x端口认证技术,我们可通过这项功能限制非法用户访问无线局域网。
在大部分的无线AP中,提供了一种SSID功能,这项功能主要是用来区分不同的网络,实际上这就是无线局域网的名称,一般同一厂家的无线AP都采用同一种SSID,所以我们在无线局域网组建成功后最好将SSID进行重新设置。通常情况下,无线AP都是将SSID进行广播,为了防止其他用户搜索到SSID,我们最好将这项功能关闭,不过关闭之后对性能有影响,但无线局域网的安全却得到了提高。
第四章 布线系统
布线系统是网络实现的基础,选择时应主要以带宽和数据传输速率为衡量标准,同时考虑其发展余地、投资费用、安装质量及二次开发成本。综合布线系统是一个用于语音、数据、影像和其他信息技术的标准结构化布线系统,它由许多部件组成,主要有传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电气保护设施等,由这些部件构造各种子系统:工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统、建筑群子系统。综合布线主要有以下一些优点:结构清晰,便于管理和维护;材料统一先进,适应今后的发展需要;灵活性强,适应各种不同的需求;便于扩展,节约费用,提高了系统的可靠性。在校园网的建设中应按照综合布线系统的标准,规范化总体设计和分步施工,便于今后的管理和维护。
布线系统,它应该能支持话音、图形、图像、数据多媒体、安全监控、传感等各种信息的传输,支持UTP、光纤、STP、同轴电缆等各种传输载体,支持多用户、多类型产品的应用,支持高速网络的应用,为校园网通信系统提供有力支撑。
系统硬件
计算机与计算机或工作站与服务器连接时,除了通信线路外,还需要一些中介设备,它们包括:传输介质连接设备、网络适配器、集线器设备、交换机设备、Internet接入设备、路由器等。常用的传输介质连接设备有以下一些:T型连接器、RJ-45非屏蔽双绞线连接器、DB-25(RS-232)接口、DB-15接口、V35同步接口;网络适配器也称网络接口卡,它作为一种I/O接口卡插入在主机板和数据总线的扩展槽上,网络适配器是网络通信的主要瓶颈之一,它的质量好坏将直接影响网络功能和网上运行应用软件的效果;集线器作为网络传输介质间的中央节点,克服了介质单一道路的缺陷。以集线器为中心的优点是:当网络系统某条线路或某节点出现故障时,不会影响网上其他节点的正常工作;交换机允许在用户端口之间通过一个专用交换系统直接通信,存在两种不同类型的过滤/转发技术:直通式和存储转发式;Internet接入设备目前常用的有:MODEM、WEBRAMP、WIDELINK等,它的功能是将计算机的数字信号转换成模拟信号或反之;路由器是用于连接多个逻辑上分开的网络,当数据从一个子网传输到另一个子网时,可通过路由器来完成,它具有判断网络地址和选择路由的功能。
另外校园网硬件设备中还包括服务器、PC机、大容量存储设备和投影仪、电视墙、摄像机等。在建设校园网的过程中应根据学校具体情况,选择不同性能与价格的硬件设备,既能满足学校各方面的要求,又符合学校的经济状况。
4.1 主机系统:
主机系统负责整个网络的数据存储和数据处理,因此必须选择处理能力强、可伸缩性强、优良的TCP/IP网络性能、先进的数据库产品、高可靠解决方案、功能强大的应用开发工具以及客户机/服务器应用解决方案包的服务器系统.
PC服务器
PC服务器基于Intel的体系结构(IA),采用Windows NT、NetWare等通用网络操作系统,与传统的RISC UNIX服务器相比,具有开放性、标准化、性价比高等特点。PC服务器由于采用了SCSI技术、集群技术、智能I/O技术等,在处理能力、可靠性、扩展性、管理性四个方面得到充分体现。当前PC服务器因其极好的性能/价格比,越来越多地受到用户的青睐。
Unix服务器
Unix服务器主要是以Sun、Siemens、SGI公司为代表厂商,提供完整系列的Unix服务器,从针对中、小型校园网或企业网的小型Unix服务器,到大型Unix服务器均可提供,并且配以大量应用软件。
用户可以根据自己的实际情况来选择适合自己的服务器。
在校园网上根据不同的需求,一般需要建立如下服务器,但根据服务量的大小可能将多种服务放于同一个服务器上。
WEB服务器
校园网Intranet主要是以Web服务器为中心,WEB服务器提供基本的HTTP功能,从通用数据库(URL)中得到饮食所需页的路径,并传送回浏览器,它改变了传统的Client/Server的结构。
E-mail邮件服务器
邮件服务器是处理邮件交换的软/硬件的总称,包括电子邮件程序、邮箱等。其使用SMTP/POP3协议负责将本机的邮件送出去,并将别的主机发来的邮件收取进来并分发给各个用户。
FTP服务器
FTP服务器使用FTP协议,从一台计算机将文件传送到另一台计算机,它不受两台计算机所处的位置、连接的方式及使用的操作系统的约束。
FTP有二种方式:实际用户访问及匿名方式访问
DNS服务器
负责查询、解释名字服务。在校园网上最好有二个DNS服务器,其中一个为主服务器,另一个作为备份DNS服务器。
Proxy服务器
人为代理服务器,主要是代理用户与外界的通信防止非法入侵或者提供Cache功能,达到信息复用、节省经费的作用。
数据库服务器
作为后台数据库服务器,提供用户查询的资源。
以上各种服务器可以根据数据量的大小及服务器的硬件特性,将多种服务架构在同一台或几台服务器上。
4.2 主节点网络设备的选择
共享型网络上网设备(节点)超过30个时就可能会发生拥挤,影响网络的畅通,拥有数百台计算机的企业网,更要解决好网络上设备拥挤的问题。网上设备拥挤,可以从网络IOS模型的第二层(链路层)来解决,也就是根据网络设备的MAC地址类划分网络,把一个大的网络划分成一些规模适当的网段,保证网段内部的设备不发生拥挤。网段中间的通信,以前要采用网桥设备,现在有了更好的解决办法,即采用网络交换机。网络交换机在外观上和在网络中的位置很象集线器(Hub),但Hub是网络第一层(物理层)的设备。网络交换机的每一个端口都是一个网段,交换机内部各网段之间通过由一个个网桥构成的交叉矩阵互连这样,由大网划分成出的一个个网段分别连入网络交换机的不同端口,就能够把原来全网共享的网络带宽变成分段独享,保证每个网络设备都能有足够的带宽,解决了设备拥挤,明显改善了网络的性能,确保了网络的畅通。在规模较大的网络,可以采用多台网络交换机互连和采用高速网络交换机。
先进的交换技术正在逐步取代以高档集线器为核心的传统网络格局,成为新一代网络的基干。从以集线器为核心的共享网络过渡到以交换机为核心的独享网络,是网络技术的一大进步。以交换机为核心的交换网络,能在投资相同的情况下,为用户提更多的带宽,能明显较少网络瓶颈,大幅度提高网络性能,并能实现按需服务,而且不需要改变传统集线器网络的物理结构,对用户是透明的。
作为主干的交换机必须满足以下几项条件:
(1)高带宽--整个网络的带宽需求,满足校园网中数据的流量
(2)可扩展性--具有良好的可扩展性,满足校园网不停发展的需要
(3)兼容性--具有良好的兼容性,满足校园网设备的多样性
为了满足主干革命交换机的高带宽性及多端口性,各厂家纷纷提出了各种各样的方法,但最多使用的为:
堆叠方式
Trunking方式
4.3 校园网应用对服务器的要求
网络技术选型设计
校园网络系统基本可分为校园网络中心、教学子网、办公子网、图书馆子网、宿舍子网及后勤子网等。
4.3.1 校园网络中心的设计
网络中心设计主要包括主干网络的设计、校园网与Internet的互连、远程访问服务等。
(a)主干网络的设计
主干网络采用联想新推出的LS-5608G智能型8联机箱式千兆以太网交换机作为校园网的中心交换机,它提供8个插槽,可选插8联的10/100Base-TX、2联的100Base-FX或1联的千兆以太网模块。适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络。同时可以选择MS-5103千兆位以太网模块(SX/MM/850nm,0-350m)或MS-5104千兆以太网模块(LX/SM/1310nm,0-6km)与下面的各个子网通过千兆位的链路相连。
(b)校园网与Internet的互连:
推荐采用局域网专线接入方式,此方式需要配备路由器等设备,租用专线DDN或帧中继(Frame Relay),也可申请ISDN专线并向CERNET管理部门申请IP地址及注册域名,以专线方式连入Internet,并提供防火墙、计费管理等功能。
本方案选用联想的LR-2501路由器,具有1个局域网(LAN),2个广域网(WAN)和1个控制台。支持帧中继(Frame-Relay)、X.25、PPP、HDLC协议。
(c)远程访问服务
采用联想LA-220和LA-240访问服务器,安装在本地局域网中,通过1至4个调制解调器(或ISD TA)和1至4根电话线,即可为远程访问人员提供拨号上网服务,远程用户只需拥有1个调制解调器和1根电话线,通过拨接LA-220或LA-240上所连接的电话号码,就可以登录访问。
4.3.2 教学子网的设计
校园网建网的目的之一,是利用网络实现多媒体教学,如:交互式多媒体课堂、电子阅览室、教师培训等。多媒体教学的难点在于实现视频信号的传送(如VOD视频点播)。目前在局域网上实时传送高质量的视频数据还未成熟,但传送压缩后的视频数据确是可行的。根据教学子网对速度要求较高的特点,可以采用了联想LS-5625智能型24+1和10/100M自适应以太网交换机,它提供24个10/100M交换式端口和一个扩展插槽,可选插1个8联的10/100 Base-TX、1个2联的100Base-FX或1个1联的千兆以太网模块。但实际上大量用户(指超过60个流)的视频传输的瓶颈在于存储介质的外部传输速率,因此可选用多通道的磁盘阵列接多台主机的方式提高访问的总线带宽。
在教学子网的软件方面,可选用的种类较多,如:联想传奇(ParaSago)、电子教室、海航的电子阅览室、中教的课件制作系统等。
4.3.3 办公子网的设计
办公子网主要面向学校的各级领导及各职能部门,能够实现对网络数据的查询、修改、添加、删除等操作,同时,应该能够满足支持视频传送的要求。鉴于此,办公子网采用了联想LH-2627 24+3的10/100M自适应集线器或LH-2613 12+1的10/100M自适应集线器,这两款集线器除具备普通双速集线器功能外,还专门提供了交换式端口,能够为连接在该端口上的设备提供独享的10/100M带宽,极大地提高数据传输速率,解决服务器瓶颈问题。
采用联想LP-136 3联10/100M以太网打印服务器,来完成共享打印功能。该服务器具有3个标准并联,可同时连接三台任意标准并联打印机。
办公子网对应的软件有科利华等公司研制开发的办公软件等。
4.3.4 图书馆子网的设计
图书馆是一个相对独立的系统,我们采用联想LS-3016 16的10/100M自适应以太网交换机,它提供了优良的每端口性能价格比,并支持基于端口的VLAN划分。
图书馆管理系统的应用软件产品较多而且相对成熟。
4.3.5 宿舍区子网及后勤子网等的设计
宿舍区子网即在学生宿舍内部连网,用以直接浏览学校发布的信息及查阅一些电子文档资料;后勤子网覆盖范围较大,主要用途有食堂IC卡计费系统等。由于宿舍区子网及后勤子网对带宽的要求并不高,因此我们选用联想LH-2016 16的10/100M自适应集线器,提供16个双速集线器端口,能够自动适应所接设备的速度(10/100Mbps),每台LH-2016背面都有2个堆叠口、利用这两个堆叠口最多可堆叠6台集线器,最大可用端口数为96个。
综上所述,通过联想全系列网络产品即可构建一个完整、先进、可靠的校园网络硬件平台,从而有利于校园网信息系统的使用、维护、扩充、升级,并能有效利用投资。
第五章 应用系统软件设计
5.1 系统软件
系统软件是整个网络的运行基础,它的选择直接影响网络的使用效率。在选择软件时要充分考虑软件的实用性、质量、操作的方便性以及服务保障等因素,因为软件是整个校园网应用的核心部分,因此在选择软件时一定要把能不能满足需要放在第一位来考虑,而绝不可只贪图价格上的便宜。
确定了软件方案,就可以确定采用什么网络操作系统了。网络操作系统是网络中最重要的部分,它与网络的应用紧密相关,那么选择何种网络操作系统呢?网络操作系统既要满足网络应用的需求,又要能适应日益发展的网络。可供选择的最常用的服务器操作系统主要有UNIX、Windows NT、Novell NetWare等。此三种网络操作系统所面向的服务领域不同,在很多方面表现出较大的差异,用户可以结合校园网的需求适当选择,在选择过程中需要注意几个方面:
所面向的领域
不同的操作系统所面临的服务领域是不一样的,基本上可以分成二类:
a. 提供文件和打印服务,如Novell NetWare
b、提供应用服务,包括大型数据库、大批量数据的处理、通信应用等,如UNIX,Windows NT等。
管理性、操作性及安全性
校园网络的管理者希望能够从一个中央节点管理所有的用户和资源,并可以跟踪资源,从而操作系统需提供中央管理的用户和资源信息库,同时它还应具有可靠的安全性,并且校园网中多个用户及资源信息库是可以进行无缝连接的。
目前,中国市场上主要有Novell Netware、Unix、Windows NT 三大主流系统。选择时应主要考虑网络规模的大小,以及是否支持多种网络协议,能否满足校园网的数据量大、处理速度快、响应时间短以及多种信息媒体管理的需要。结合实际情况和产品技术的成熟稳定性,可选用Novell Netware和Windows NT Server分别作为校园网主服务器、WWW服务器的操作系统平台,而Win 98或Windows NT Workstation作为工作站操作系统。
5.2 资源建设
目前多数校园网的网上信息陈旧,信息更新维护工作困难,甚至网上无信息可流通,结果造成大量设备闲置、资源浪费和长期的资金积压,而现代化教育的信息管理更无从谈起。
信息交流是校园网最基本的功能,主要包括网络办公管理信息系统、网络多媒体教学系统和网络通信服务系统等,它是校园网的灵魂,直接影响着校园网络应用水平及网络运行效率。因此,校园网的建设应强调网络系统与网络应用并重。
目前,我校信息资源的建设及设想主要包括:
(1).管理系统
进一步构建全校的MIS办公管理系统。主要用于帮助学校对校务、学籍、人事、政教等方面进行管理,实现学校的办公自动化。同时强?quot;无处不在的信?quot;理念,各系统之间实现充分的资源共享,提高办公及管理效率。还可以提供资料库管理,所有相关资料都可通过网络系统被检索和使用。
(2).应用系统
应用系统建设的目的是通过Internet/Intranet技术向教师及学生、学生家长提供尽可能多的信息。信息服务不仅是提供E-mail、FTP、Telnet、WWW等简单服务,还应包括如教学资料、教学课件、图书馆图书资料的远程查询与预约,远程视频点播、远程电子阅览室、教育论坛、网上教学以及学生的网上交流、网上聊天等。对于这些网络服务,可以根据各部门需求,选择或组织编写一些应用系统软件,从而在不久的将来,实现IC卡生活的网络一体化。
(3).主页建设
网页是对外宣传服务的窗口,因而应不断充实和更新。我校将在原有主页的基础上全面进行改版、补充和完善,以不断提高主页水平,并已开始着手利用本校经济专业的优势,进行特色信息资源的建设工作。
(4).远程教学
我校将从今年开始着手远程教育的建设。通过互联网络建立教育资源交流网络,借助远程教学资源改革学校的素质教育,使信息高速公路进入教育领域,促进教育制度、学习制度、学习方式的现代化。
管理与安全
第六章 设备选型
6.1 设备选型原则
网络技术和网络产品选型,不仅要考虑满足当前需要,还要考虑未来发展和应用的变化,同时更要考虑自身的实际需求,切不可一味追求产品技术的先进和高档次,以至投入过大又不能充分利用,造成资源浪费。
要对整个网络系统进行综合分析,合理配置网络资源,以最小的投入获得最佳的网络性能,同时要注意主干交换、楼层分支和桌面的速度协调,以免形成瓶颈。
网络设备的选用是系统质量的关键,3COM是以太网的鼻祖,在以太网的交换机领域影响较大。Cisco的路由器产品占有市场优势,在广域网互联时采用Cisco设备不失为明智的选择。
6.1.1 服务器选型原则
服务器是系统中至关重要的核心设备,其作用是为各类应用提供硬件运行平台。对服务器的选择不仅仅是满足当前已开展的各项业务需要,更要着眼于未来。对网络服务器的选择,首先应从系统性能入手,通过客观的分析比较,确定一款或者一系列具有令人满意的主频处理速度和I/O吞吐量的服务器。产品质量要有保证,严格执行国际质量认证体系,确定产品稳定可靠。由于各项业务属于对外开放的,因此作为集中放置数据载体的服务器系统,一旦出现数据丢失或者差错将给用户造成重大经济损失和极坏影响,因此在服务器选型和系统配置时,应该充分考虑到系统可靠性在今后系统运行时的重要地位。
6.1.2 PC选型原则
PC作为网络的终端设备,其技术已经非常成熟,产品也已标准化。从理论上讲,市场上各正规品牌的PC机在性能和技术上没有原则上的区别,也正因为如此,选择PC反而成了一件难事,如果非要说出选购注意事项不可的话,可以从PC的安全性、易用性、扩展性、可管理性和多媒体功能几个方面考虑。
1 校园网应用对服务器的要求
2 服务器系统的现在和未来
3 服务器系统的结构选择
4 服务器的选型
5 Internet公用服务器
6 应用与数据库服务器
7 服务器系统的配置
6.2 服务器选购策略
选择一款合适的服务器来满足用户的需要,需要对服务器使用有一个正确的理解。在进行服务器选配时,应根据以下3个方面来考虑。
1.网络环境及应用软件
是指整个系统主要做什么应用。具体来说就是服务器支持的用户数量、用户类型、处理的数据量等方面内容。不同的应用软件工作机理不同,对服务器选配的要求区别很大,常见的应用可以分为文件服务、Web服务、一般应用和数据库等。
2.可用性
服务器是整个网络的核心,不但在性能上能够满足网络应用需求,而且还要具有不间断地向网络客户提供服务的能力。实际上,服务器的可靠运行是整个系统稳定发挥功能的基础。
3.服务器选配
服务器类型,如低端、中端和高端的分类,只是确定了服务器所能支持的最大用户数。但要用好服务器,还需要优化配置,用最小的代价获得最佳的性能。
6.3 常见应用分析
在中小企业环境中,常见应用可以概括为以下几种,它们对服务器的要求各有所侧重。下面为了描述方便,把服务器划分为4个功能模块,即CPU、内存、磁盘子系统和网络子系统。
1.文件服务
这是最基本的应用服务,服务器相当于一个信息系统的大仓库,保证用户和服务器磁盘子系统之间快速传递数据。在服务器的各个子系统中,对系统性能影响最大的首先是网络子系统,其次是磁盘子系统,再次是内存容量,而对CPU的要求一般不高。
2.数据库服务
对系统各方面(除网络子系统外)性能要求最高的应用,如财务、库存和人事管理应用等。需要高性能CPU和快速的磁盘子系统来满足大量的随机I/O请求及数据传送。服务器瓶颈依次为:内存、磁盘子系统和CPU。
3.邮件服务
扮演电子邮件路由器和仓库的角色。服务器瓶颈依次为:网络子系统、内存、磁盘子系统和CPU。
4.Web服务
服务器的性能是由网站内容来决定的。如果Web站点是静态的,系统瓶颈依次是:网络子系统和内存。如果Web服务器主要进行密集计算(例如动态产生Web页),系统瓶颈依次是:内存、CPU、磁盘子系统和网络子系统。
5.多媒体服务
负责媒体控制及媒体流在网络上传输的功能,I/O吞吐量对服务器性能起着关键的影响。视频服务器的瓶颈依次是: 网络子系统、磁盘子系统和内存。音频服务对服务器硬件配置要求很低,现在的服务器子系统一般不会成为瓶颈。
6.终端服务
执行各种应用程序并把结果传送给用户,所有负载均加在服务器上。系统的瓶颈通常依次为: 内存、CPU、网络子系统。
7.主域控制器
主域控制器是网络、用户和计算机的管理中心,负责提供安全的网络工作环境。主域控制器不但响应用户的登录需求,而且在服务器间同步和备份用户帐号、WINS和DHCP数据库等,另外,主域控制器还做DNS服务。系统瓶颈是网络子系统、内存。
6.4 可用性的影响
一台经常死机的服务器是不可忍受的,由此所造成的损失不仅仅是时间的浪费,还可能使多日的工作量付之流水。现在越来越多的人已经意识到系统可用性的重要性。
可用性通常用系统的理论正常运行时间和实际使用时间百分比来衡量。例如,我们说一系统提供24×7环境下99%的可用性,也就意味着一年可能要停机88小时,这对大部分用户来说是都是不能接受的。99.999%的可用性可以保证系统一年停机的时间在 5.25分钟之内,但是这种系统的价格非常昂贵。
服务器的可用性主要取决于2个方面:一个是服务器本身的质量,具体体现在服务器厂商专业的设计、严格的质量控制以及市场的长期验证三点上; 另一个是对易损部件采取的保护措施,比如: 采用网卡冗余技术、磁盘阵列技术、电源冗余技术、双机或集群方案等来保证网络、磁盘、电源甚至整个主机的在线冗余。
在低档服务器中,通常采用以下措施来提高单机的可用性。
1.IDE RAID
通过廉价的磁盘阵列提供数据冗余功能。磁盘故障是服务器硬件故障的主体,故障率高达52%。数据丢失的危害也是惊人的,造成大量时间、人力的浪费。目前IDE RAID能够实现RAID-0、RAID-1、RAID-0+1共三种方式,其中RAID-0不具备数据冗余功能,但能显著提高磁盘子系统的性能。
2.ECC技术
可以检查出两位内存错、并能够纠正一位错,来保证内存、缓存中数据的高可靠性。
3.服务器专用电源
可以保证系统有一个洁净的用电环境,减少各种隐性故障的发生,而劣质电源容易引起各种古怪故障,如电路中的高频串扰会造成系统经常性的崩溃、低频震荡则会烧毁电子元器件于无形,这类故障也增加了维修难度。
4.附加措施
如防尘网的设计、多个风扇的散热(有的服务器还具有自动调节风扇转速功能),可以帮助服务器在普通环境中也能稳定运行。
6.5 服务器选择的多样性
目前中小企业在选购服务器时,通常在高档商用PC、伪服务器以及低档服务器三种产品之间选择。下面分别对这三种服务器作一简单分析。
1.高档商用PC
PC工作在单用户和单线程环境中,与服务器的多用户环境有显著的不同。PC在设计时采用不同部件选型、配置的策略,如增强的显示性能、相对较差的网络子系统等。高档PC的目标是进军低档工作站市场。
2.伪服务器
最差劲的是用PC的处理器芯片、服务器的名来充当服务器,稍微好一些的服务器采用部分服务器技术,如专业电源等。
3.低档服务器
通常兼顾性能、可扩展性、可用性和可管理性等多个性能指标,兼容多种操作系统以支持多种网络环境。此种产品的缺点(也是辨别方法)是:体积大(通常外形不够美观)、噪音大(散热风扇多)、功率大。
6.6 操作系统配置
一个性能优良的信息系统除了取决于网络硬件设备的性能和网络结构设计外,很大程度地受到局域网中服务器的操作系统性能的影响。作为工作组级服务器的操作系统,在选择上应考虑
系统的可靠性,即是否能负担大量用户的服务请求,以较快的速度处理数据,合理地排列服务等问题;系统是否方便使用和管理,在单机和联机环境中,易用性都是最大化雇员工作效率和满意度的关键因素,与此同时,降低成本也是绝大多数企业优先考虑的问题。
目前,考虑连接局域网与广域网方面的性能,连入Internet几乎是目前所有企业用户的选择,在选择服务器操作系统时一定要注意系统在兼容局域网与广域网连接方面的能力,这样才能使企业真正地融入世界。在局域网中,用户一般要实现文件共享、打印机共享、网络服务共享等功能,因而服务器的操作系统必须能较好地完成上述操作。目前Microsoft公司推出的Windows 2000就是这样一款针对局域网客户机的操作系统软件,Windows 2000的综合特性使其很快成为所有企业中工作组级服务器上的主流操作系统。其标准的安全性、可管理性和可靠性等强大功能,是目前小企业用户首选的操作系统。
另外,对于某些高级用户,尤其是政府等对安全比较关注的用户来说,他们本身具备较强的技术实力,可以考虑采用Linux操作系统。
目前,服务器厂商还推出完全方案化的产品——功能服务器,即把操作系统和应用系统直接安装在服务器中,以实现某些特定功能,如长城集团推出的E 通教育功能服务器,它主要是采用Linux系统,具有非常好的稳定性和易用性,而且不需要用户对Linux有深入了解就可以使用。
6.7 服务器选配方法
国内市场上,服务器厂商多达十几个,低档服务器更有几十款之多。下面结合至翔899来谈谈服务器配置问题。
1.磁盘子系统
上面已经提过磁盘的故障概率及危害,不如直接配置双硬盘做RAID-1,因为现在硬盘的价格已降到了冰点,既提高了磁盘读取数据的性能,又保护了数据,可使用户高枕无忧。令Linux用户放心的是,至翔899的IDE RAID支持Linux。
2.内存
在小型用户环境中,内存通常得不到重视,用户往往花费更多的时间关注CPU的性能。由于Windows 2000就要消耗100MB以上的内存,再加上应用,所以系统最少应配置256MB内存,配置到1GB也不为过。请牢牢记住,提高内存容量通常是提高服务器性能的最有效的方法。
3.CPU
通常不会成为系统瓶颈。但对于需要CPU进行密集型的运算,如数据库类应用,CPU的作用就很巨大。记住:如果再增加一颗CPU,内存容量要同时加倍,才能有效发挥CPU的性能。
4.网卡
低端应用环境中,100Mbps网卡足够了。至翔899的网卡还支持网络冗余(ALB)功能。有兴趣的用户可以另买一款同型号的Intel 82559网卡进行网卡绑定,既提高网络子系统的吞吐量,又保证了线路冗余。
让我们再看看文章开头的例子,可以发现那台部门级服务器用于6人工作组中,CPU过于强大,而文件服务对CPU的依赖又不大,显然是个浪费,而如果该部门级服务器内存配置过低的话,这台服务器的性能就会大打折扣。
6.8 实例
最后,需要指出的是,小企业非常关心服务器的可扩充性。可扩充性主要体现在计算性能的提升和存储容量的增长,而金长城至翔新899,在价格完全满足小型网络用户需求的情况下,仍然在这两方面有充分考虑。至翔新899采用双处理器的系统设计,目前,设计主频已达到1.4GHz,用户可以在初期购买单CPU配置,待到企业增长或数据量增大时,可以升级为双CPU,其运算能力将大大提高,也保护了先前的投资。至翔新899服务器在存储方面,采用先进的 IDE RAID技术,最大支持160GB×4的硬盘容量,为用户的业务扩展预留了足够的空间。
用途用户数量CPU数量内存大小(MB)硬盘文件/域控制服务器60左右12562硬盘RAID-1数据库应用服务器10左右15122硬盘 RAID-1综合应用服务器30左右15122硬盘RAID-1无盘站服务器60左右15122硬盘RAID-1视频服务器50(并发)12564硬盘 RAID-0
厂商型号CPU最高CPU主频(GHz)CPU个数(最大)最大内存(GB)二级缓存(KB)内置硬盘架数量(最大)磁盘控制器I/O扩展槽系统总线(MHz)长城至翔1800Pentium 41.7135124个IDE控制器,可选的IDE RAID功能,可以实现RAID0/1/0+15个32位/33MHz PCI扩展槽400至翔2800Intel PentiumⅢ Tuautf8.4245124个集成2个Ultra ATA/100通道的Promise IDE RAID控制芯片,支持RAID 0/1/0+1或JBOD5个32位/33MHz PCI扩展槽133联想万全T 100Pentium 42125124个ATA100 IDE控制器,Ultra160 SCSI控制器5个PCI 2.2标准扩展槽400万全T 200PentiumXeon22165124个ATA100 IDE控制器,集成双通道Ultra160 SCSI控制器2个64位/133MHz PCI扩展槽,1个64位/100MHz PCI扩展槽,2个64位/66MHz PCI扩展槽400浪潮NP60Pentium 42.212256/5125个IDE硬盘或4个SCSI硬盘集成双通道ATA100 IDE控制器;可选IDE RAID控制器能实现RAID 0/1;可选Ultra160 SCSI4个32位/33MHz PCI,1个ISA扩展槽,1个AGP扩展槽,1个CNR扩展槽400NP220TPentium Ⅲ1.2621.55125块IDE硬盘或4块SCSI硬盘集成双通道ATA100 IDE 控制器5个32位/33MHz PCI扩展槽,1个16位的ISA扩展槽133方正园明1050DPentium 4212256/5125个IDE5个32位/33MHz PCI扩展槽400园明1250DPentium Ⅲ1.422256/5125个集成ATA 100 IDE RAID控制器5个32位/33MHz PCI扩展槽,1个16位的ISA扩展槽133
第七章 安全系统设计
Internet是目前世界上最为开放的计算机网络系统。相对于我们的现实生活世界来讲,也可以把它称作为电脑空间。和现实生活世界一样,在电脑空间当中也仍然存在着各种各样的网络犯罪问题,如用非法的手段窃取秘密数据,破坏系统,恶意欺骗等。因此你必须时刻防范来自Internet的恶意攻击,关注你局域网的计算机系统安全。
在这篇文章里我们谈一谈网络攻击的机制,同时也着重讲述一下局域网系统避免遭受攻击的方法。
和现实世界一样,由于Internet上的攻击和恐吓经常是有计划发生的,所以我们可以通过某些途径,利用某些手段,预知某一次或某一类攻击的发生。
这里我们使用网络协议分层模式来分析局域网的安全。从图1我们可以看到,网络的七层在不同程度上会遭受到不同方式的攻击,如果攻击者取得成功,那将是非常危险的。而我们通常听到或见到的攻击往往发生在应用层,这些攻击主要是针对Web服务器、浏览器和他们访问到的信息,比较常见的还有攻击开放的文件系统部分
图1 七层模型易遭受的安全攻击
到目前为止,人们还没有找到防范七层模型受到全部攻击的措施。但下面两个方法从实践上来说被认为是非常有用的防范手段。
7.1 包过滤
你可以在网络层检查通信数据,观察它的源地址和目的地址。过滤器可以禁止特定的地址或地址范围传出或进入,也可以禁止令人怀疑的地址模式。
7.2 防火墙
你可以在应用层检查通信数据,检查消息地址中的端口,或检查特定的应用的消息内容。测试失败的任何通信数据将被拒绝。
下面我要谈的是包过滤和防火墙安全实施的不同方法。
7.3 路由包过滤
TCP/IP地址由机器地址和标识程序处理消息的端口数字组成。这个地址/端口组合信息对每个TCP/IP消息都是有效的。包过滤与防火墙相比处理的简单一些,它仅是观察TCP/IP地址,而不是端口数字或消息内容。不过包过滤提供给你的是很好的网络安全工具。
包过滤器通常使用的是自顶向下的操作原则,下面是它使用的一个典型规则:
(1)、 允许所有传出通信数据的通过;
(2)、 拒绝建立新的传入连接;
(3)、 其它的数据可以全部被接受;
通过这样的使用规则,系统的安全性提高了许多。因为它拒绝了Internet上主动与你的计算机建立新的连接的请求。它阻止使用TCP的通信数据进入,从而杜绝了对共享驱动器和文件的未授权访问。包过滤使用这样的模式对用户来说有很大意义,它打破了FTP客户和服务器之间的正常操作,因为这样的模式需要服务器在开始传输时对连接进行初始化。实际上现在所有的FTP软件都支持PASV模式,这是为解决上面的问题而专门设计的。通过设置客户为“请求PASV模式”,你可以使所有的连接被客户初始化。
过滤器通常的应用是配置在连接你的计算机和Internet的路由器上,如图2所示。在你的局域网和Internet之间放置过滤器后,就可以保证局域网与Internet所有的通信数据都要经过过滤器。
如果你的包过滤软件有能力检查源地址子网,在子网上物理端口传递消息到路由器,你就可以制定规则来避免虚假的TCP/IP地址,就象图2所示的那样。攻击者欺骗的方法就是把来自Internet的消息伪装成来自你局域网的消息。包过滤通过拒收带有不可能源地址的消息来防御攻击者的攻击。例如,假定你在一个装有Linux的机器上安装软件,让它作为一个Windows网络文件服务器,你可以配置Linux让它拒收所有来自你的子网以外的通信数据,阻止Internet上的机器看到这个文件服务器。如果攻击者假装是你内部的机器,用过滤器就可以阻止攻击者的攻击。
包过滤虽然对网络的安全防范能起到很好的作用,但包过滤也并不是万能的。它们一般不能防御使用UDP协议的攻击,因为过滤器不能拒收开放的消息。包过滤还不能防御低层攻击,象PING方式的攻击
7.4 防火墙
使用防火墙软件可以在一定程度上控制你的局域网和Internet之间传递的数据。图3所示是一个TCP/IP数据包报头示意图,从它上面你可以清楚地看到包过滤和防火墙工作原理的不同之处。防火墙不但检查了包过滤检查内容的所有部分(TCP/IP的源地址和目的地址),还检查了源/目的端口数字和包的内容。
端口和消息内容这些信息使防火墙比包过滤有更强的防范能力,因为这些信息使防火墙控制特定的进/出的主机地址。防火墙的功能有以下几个方面:
(1)、 允许或禁止特定的应用服务,例如:FTP或Web页面服务;
(2)、 允许或禁止访问基于被传递的信息内容的服务
因为可以看到消息的内容,所以防火墙可以过滤掉令人讨厌的内容。当防火墙监测到攻击者的攻击数据包时,它可以丢弃这些包,并把该事件记录在安全日志上。
防火墙最直接的实施就是使用图2所示的结构,仅把局域网和ISP之间的包过滤器换成防火墙就可以了。这是一个防火墙的最安全的应用,因为它保护了防火墙后的所有的计算机。
但图2所示的安全结构存在着一个问题,它上面没有设置公共的可访问的服务器的最佳位置。你肯定不想把服务器置于防火墙的前面,在那里它将不被防火墙保护。同样,你肯定也不想把它置于防火墙后面,这样你的防火墙要允许对服务器的访问,可能会出现漏洞
如果我们把图2改为图4所示的结构,就可以很好的解决这个问题。图4的结构中有3个端口。第三个端口连接的是另一个局域网,通常叫做DMZ(非军事区)。DMZ中的计算机与安全局域网中的计算机相比安全性要差一些,但是这些计算机可以接受来自Internet的访问。你可以把WEB和FTP服务器放在DMZ,从而可以保护其它的计算机。防火墙上的规则设定为阻止进入安全局域网的通信数据,仅允许传出连接的建立。
如果你想增强DMZ局域网的安全性,你可以使用过滤器,限制局域网中服务器使用的端口,禁止那些来自攻击站点的访问
为了安全你还可以给你的局域网分段,每段设置一个防火墙,每个防火墙使用不同的安全规则。需要记住的一点是,防火墙本身并没有保障安全的能力,你需要定期的检查防火墙对可疑事件做出的日志记录,你还需要去发现和使用软件的安全补丁
如果你使用windows98第二版的internet共享连接功能,让你的一台计算机通过MODEM把局域网连接上internet。在这种情况下,你的网络示很不安全的,你仍需要改善你网络的安全性。最大的威胁就是你的电脑直接连接在了INTERNET上,你应该直接在这台电脑上安装包过滤器或防火器墙产品,或让你的ISP安装包过滤器或防火墙来保护你的访问。
第八章 网络实施
组网技术就是在有了网络的设计方案和各种网络设备之后,怎样把不同的网络设备按设计方案的要求连接起来所用到的各种技术。组网络技术在整个网络的建设过程中是最重要的阶段之一,它直接关系到建设出来的网络系统能否达到设计要求,能不能投入使用这样严重的问题,如在组网中有不按规范和标准来施工的话,建出的网络系统的质量是达不到设计要求,是不能满足用户需求的。组网技术主要包括:布线系统、Internet接入技术、防火墙等。
8.1 布线系统设计
结构化布线系统的组成:网络系统的正常运行主要取决于网络设备和网络线路,对于网络系统来说,采用结构化布线系统能够很好地满足需求,特别是从计算机网络系统可靠运行的角度来说,布线系统的可靠性决定了网络系统通信信道的可靠性,它是计算机网络系统可靠运行的前提。整个布线系统主要包含光纤布线和室内综合布线系统。
布线系统的主要是依据建筑物的分布图,国际商务建筑线缆标准(TIA/ELA 586A )和《建筑与建筑物综合布线系统工程设计规范》来设计的。使用结构化布线工程设计的布线系统具有实用性、灵活性、可扩充性以及真正的开放性。一次性布线,可保证在十五到二十年之内,其系统性能不会下降,功能也不会落后,真正达到一次投资,长期受益。建成后的结构化布线系统将具有满足多种计算机网络系统(10/100/1000M Switch、FDDI、ATM)对线路的要求,不仅能实现计算机端口的灵活配置,而且方便计算机网络的平滑升级和扩充。
光纤布线主要是用在建筑物之间或楼层之间,这些建筑的距离一般都比较远,超出了双绞线的连接距离,具体情况要看信息点的分布和数量以及对网络带宽的要求来决定。室内布线采用5类(超5类)非屏蔽双绞线进行布线。整个布线工程分为工作区子系统、水平子系统、垂直子系统,建筑子系统和管理子系统来施工的。
工作区子系统由终端设备连接到信息插座的连线和信息插座所组成,通过插座即可以引出电话也可以连接数据终端,在RJ-45插座内不仅可以插入数据通信通用的RJ-45接头,也可以插入电话机专用的RJ-45插头。
水平子系统是将楼层配线间路延伸到用户工作区,并连向各个信息插座。线缆由配线间进入房间后,可走天花板或桥架,以走暗线的原则走线。电缆桥架应高出地面2.2米以上,桥架顶部距顶棚或其他障碍物不应小于0.3m。桥架宽度不宜小于0.10m,桥架内横断面的填充率应小于50%。结构化系统的布线是放射型的,线缆量较大,所以线槽量的计算是很重要的,按照标准的线槽设计方法,应根据水平线的外径来确定线槽的容量,即:线槽的横截面积=水平线截面积之和*3 。
垂直主干子系统用于连接楼层配线室,垂直干缆系统的安装主要是由一连串通过地板对准配线间的垂直竖井组成的,可以连接搂层间的配线室。垂直子系统的连接可用多根双绞线形成集束穿过竖井进入水平子系统,外用线槽以保护和固定。
建筑子系统是在各栋建筑物之间的相互连接,组成一个较大的建筑群综合布线系统。这一部分布线系统可以采用架空电缆、直埋电缆或地下管道内穿电缆,或者是这三者的任何组合,具体使用看施工现场而定。建筑子系统一般都采用光纤进行连接。
管理子系统设置在配线设备和机房内,管理子系统由配线间、输入/输出(I/O)设备等组成。管理子系统提供了与其他子系统连接手段,整个综合布线系统及其连接的设备、器件等构成一个有机的整体。管理子系统内有部分主干布线和部分水平线的机械终端,为无源或有源或用于两个系统连接的设备提供设施。
8.2 布线系统的测试
在结构化布线完工后,必须对整个系统进行测试后才能投入使用,以保证系统能达到设计要求。测试主要依据TIA/EIA 568A以及《建筑及建筑群结构化布线系统工程验收规范》来进行,测试内空包括线缆的长度、接线图、信号衰减、近端串扰、信噪比等。其中最重要的技术指标是衰减端串扰,它直接影响着双绞线的传输性能
第九章 网络设备清单
9.1 资源设备清单
(一)、网络设备清单(A包)
品目号 | 设备名称 | 数量 | 单位 |
01-01 | 万兆核心交换机(冗余引擎) | 4 | 台 |
01-02 | 千兆光口业务模块板 | 4 | 块 |
01-03 | 千兆电口业务模块板 | 1 | 块 |
01-04 | 双口万兆业务模块板 | 5 | 块 |
01-05 | 万兆多模光纤接口模块卡 | 6 | 块 |
01-06 | 万兆单纤光纤接口模块卡 | 3 | 块 |
01-07 | 千兆长波光纤接口模块 | 64 | 块 |
01-08 | 千兆光转电口接口模块(或等价形式) | 63 | 块 |
01-09 | 交流电源模块 | 8 | 块 |
02-01 | 可扩展万兆口的汇聚交换机 | 3 | 台 |
02-02 0 | 单口万兆业务模块板 | 1 | 块 |
02-03 | 万兆接口模块卡 | 1 | 块 |
02-04 | 千兆长波光纤接口模块 | 54 | 块 |
02-05 | 千兆短波光纤接口模块 | 3 | 块 |
02-06 | 千兆光转电口接口模块(或等价形式) | 15 | 块 |
03-01 | 汇聚交换机 | 24 | 台 |
03-02 | 千兆长波光纤接口模块 | 130 | 块 |
04-01 | 安全智能接入交换机(24口) | 25 | 台 |
04-02 | 安全智能接入交换机(48口) | 300 | 台 |
04-03 | 千兆长波模块 | 120 | 块 |
04-04 | 千兆短波模块 | 3 | 块 |
04-05 | 千兆双绞线模块 | 6 | 块 |
04-06 | 专用堆叠模块 | 320 | 块 |
05-01 | 校园网出口路由器(配置2个百兆路由电口和1个千兆路由电口) | 1 | 台 |
05-02 | 校园网出口路由器(配置2个百兆路由电口和2个千兆路由电口) | 1 | 台 |
06-01 | 千兆集成安全网关(IPS) (2G吞吐量) | 1 | 台 |
06-02 | 服务器区防火墙(2.5G吞吐量) | 1 | 台 |
07-01 | 企业级无线AP(支持POE功能) | 50 | 套 |
07-02 | 单口POE适配器 | 50 | 个 |
08-01 | 校园网网络监控与管理系统 (配置500节点) | 1 | 套 |
08-02 | 认证计费管理系统(包含10000用户) | 1 | 套 |
09-01 | (VPN)远程登入管理系统 | 1 | 套 |
10-01 | Fluke 线缆测试仪(MT-8200-32A) | 1 | 台 |
10-02 | Fluke IntelliTone智能数字查线仪(MT-8200-60A) | 1 | 套 |
10-03 | Fluke NetTool网络万用表(NT-PRO-C 增强型) | 1 | 套 |
10-04 | 摩托罗拉T5728民用手持对讲机 | 4 | 台 |
10-05 | 移动网管站 | 3 | 台 |
10-06 | 美国Finisar公司:便携式网络协议分析仪系统-THGnotebook | 1 | 套 |
10-07 | 网络状态监视屏 | 1 | 套 |
9.2服务器及存储清单(B包)
9.2.1 服务器
品目号 | 设备名称 | 数量 | 单位 |
01-01 | 应用服务器1 | 26 | 台 |
01-02 | 应用服务器2 | 12 | 台 |
01-03 | 应用服务器3 | 2 | 台 |
9.2.2 SAN存储设备
品目号 | 设备名称 | 数量 | 单位 |
02-01 | SAN存储1 | 1 | 个 |
02-02 | SAN存储2 | 1 | 个 |
02-03 | 光纤通道交换机1 | 2 | 台 |
02-04 | 光纤通道交换机2 | 1 | 台 |
02-05 | LC-LC光纤线缆 | 40 | 根 |
02-06 | HBA卡 | 25 | 张 |
02-07 | SAN存储管理软件 | 2 | 套 |
02-08 | 备份软件1 | 1 | 套 |
02-09 | 备份软件2 | 1 | 套 |
02-10 | 双机热备软件1 | 1 | 套 |
02-11 | 双机热备软件2 | 1 | 套 |
02-12 | 视频点拨软件 | 1 | 套 |
9.2.3 软件及其他设备
品目号 | 设备名称 | 数量 | 单位 |
03-01 | 邮件系统 | 1 | 套 |
03-02 | 网络版反病毒软件 | 1 | 套 |
03-03 | KVM | 3 | 套 |
03-04 | 显示器 | 1 | 套 |
03-05 | 服务器操作系统 | 1 | 套 |
03-06 | 数据库软件 | 1 | 套 |
第十章 网络维护
10.1 网络管理
10.1.1 网络基础设施管理
在网络正常运行的情况下,对网络基础设施的管理主要包括:确保网络传输的正常;掌握公司或者网吧主干设备的配置及配置参数变更情况,备份各个设备的配置文件,这里的设备主要是指交换机和路由、服务器等。负责网络布线配线架的管理,确保配线的合理有序;掌握内部网络连接情况,以便发现问题迅速定位;掌握与外部网络的连接配置,监督网络通信情况,发现问题后与有关机构及时联系;实时监控整个公司或网吧内部网络的运转和通信流量情况。
10.1.2 各用户操作系统的管理
维护网络运行环境的核心任务之一是公司或网吧操作系统的管理。这里指的是服务器的操作系统。为确保服务器操作系统工作正常,应该能够利用操作系统提供的和从网上下载的管理软件,时实监控系统的运转情况,优化系统性能,及时发现故障征兆并进行处理。必要的话,要对关键的服务器操作系统建立热备份,以免发生致命故障使网络陷入瘫痪状态。
10.1.3 网络应用系统服务器的管理
网络应用系统的管理主要是针对为公司或网吧提供服务的功能服务器的管理。这些服务器主要包括:代理服务器、游戏服务器、文件服务器、EPR服务器、E-MAIL服务器等。要熟悉服务器的硬件和软件配置,并对软件配置进行备份。公司要对ERP进行正常运行管理,防止出错,E-MAIL进行监控,保证公司正常通信业务等,网吧要对游戏软件、音频和视频文件进行时常的更新,以满足用户的要求。
10.1.4 网络的安全管理
网络安全管理应该说是网络管理中难度比较高,而且很令管理员头疼的。因为用户可能会访问各类网站,并且安全意识比较淡薄,所以感染到病毒是再所难免的。一旦有一台机器感染,那么就会起连锁反应,致使整个网络陷入瘫痪。所以,一定要防患于未然,为服务器设置好防火墙,对系统进行安全漏洞扫描,安装杀毒软件,并且要使病毒库是最新的,还要定期的进行病毒扫描。
10.1.5 网络各计算机系统中重要资料及文件管理
计算机系统中最重要的应当是数据,数据一旦丢失,[1][2]那损失将会是巨大的。所以,网吧的文件资料存储备份管理就是要避免这样的事情发生。网吧的记费数据和重要的网络配置文件都需要进行备份,这就需要在服务器的存储系统中做镜像,来对数据加以保护进行容灾处理。
10.2网络维护的实现
网络维护基础知识
10.2.1 对于网络的常见故障
例如,机器的死机和重新启动,无非是CPU温度过高;机器有病毒;操作系统有问题或是电源的问题。这些故障都是比较明显,并且好判断好解决的。然而,很多故障都是隐蔽的。这个故障就是如此,我们来一起看一看它的分析过程。网管员接到通知说,网络里有台机器,上网奇慢,并且时断时续,有的时候还打不开网页。他接到通知便马上来处理。他先ping网络的文件服务器,发现返回的时间很慢,一般达到几百毫秒,有时候甚至出现超时,看来这是一个典型的网络干扰问题。他检查了网络配置和网卡,发现都没有问题。那问题一定出在网线或网络接口上。不过网线是早上新做的应该没问题的,于是,便测了一下交换机接口,没有发现丢包之类的异常现象,看来应该是网线的问题了,用仪器测试结果也表明了是网线的问题。他疑惑了,水晶头和线都是新的,怎么会这样呢,他检查了以下水晶头,发现水晶头上的铜片有氧化发黑的现象,看来故障应该就出现在这里。用小刀清除掉氧化层后,将双绞线重新接到交换机上,故障已经解决了。不过新的水晶头怎么会被氧化呢。后来发现放这批水晶头的阁子下面有一个电饭包,噢,原来是做饭的蒸汽使水晶头的铜片氧化了。这件事也给我们提了个醒,不能忽视环境对网络设备和器件的影响。
10.2.2 网速变慢的故障分析。
在众多的网络故障中,最另人头疼的是网络是通的,但网速很慢。遇到这种问题,往往会让人束手无策,以下是引起此故障常见的原因及排除方法。
(1)网线问题。双绞线是由四对线严格而合理地紧密绕和在一起的,以减少背景噪音的影响。而不按正确标准制作的网线,存在很大的隐患,有的开始一段时间使用正常,但过一段时间后性能下降网速变慢。
(2)回路问题。一般当网络规模较小,涉及的节点数不多结构不复杂时,这种情况很少发生。但在一些比较复杂的网络中,容易构成回路,数据包会不断发送和校验数据,从而影响整体网速,并且查找比较困难。为避免这种情况的发生,要求布线时一定要养成良好的习惯。
(3)广播风暴。作为发现未知设备的主要手段,广播在网络中有着非常重要的作用。然而,随着网络中计算机数量的增多,广播包的数量会急剧增加。当广播包的数量达到30%时,网络传输效率会明显下降。当网卡或网络设备损坏后,会不停的发送广播包,从而导致广播风暴,使网络通信陷于瘫痪。
(4)端口瓶颈。实际上路由器的广域网端口和局域网端口,服务器网卡都可能成为网络瓶颈。网络管理员可以在网络使用高峰时段,利用网管软件查看路由器、交换机、服务器端口的数据流量,来确定网络瓶颈的位置,并设法增加其带宽。
(5)蠕虫病毒。蠕虫病毒对网络速率的影响越来越严重。这种病毒导致被感染的用户只要一连上网就不停的往外发邮件,病毒选择用户电脑中的随机文档附加在用户通讯簿的随机地址上进行邮件发送。垃圾邮件排着队往外发送,有的被成批的退回堆在服务器上。造成个别骨干互联网出现明显拥塞,局域网近于瘫痪。因此,管理员要时常注意各种新病毒通告,了解各种病毒特征;及时升级所用的杀毒软件,安装系统补丁程序;同时卸载不必要的服务,关闭不必要的端口,以提高系统的安全性和可靠性。
网络管理和软硬件故障分析都需要扎实的网络技术知识积累和丰富的故障排除经验,所以需要管理员不断的学习来充实自己,以应对可能出现的种种问题。
第十一章 总结
本设计从校园网的建设思想、目标、可以选用的网络技术以及对络设备的介绍和选择等多方面的论述,使我们对校园网建设工程有了一个比较深入的了解,校园网络建设作为一项重要的系统工程,它的所用到的各种技术是多方面的,即有网络技术、工程施工技术,也有管理制度等各个方面的知识。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我们去学习与研究,并能将其应用到实际的网络工程建设之中。
由于校园网功能齐全,技术含量高,接触面广,在网络设计、规划和建设中都非常复杂,在论述中不可能面面具到,同时也由于本人的知识水平有限,文中的不足和错误在所难免,敬请各位老师多多指点和更正。本设计是在湖南科技职业学院杨夏老师的指导下完成的,还得到了多位老师的指点与帮助,我在此对传授我知识的各位老师表示崇高的敬意和诚挚的谢意。
主要参考文献:
[1]张建忠主编:《计算机网络实验指导书》, 清华大学出版社. 2005.1
[2]吴功宜等主编:《计算机网络课程设计》,机械工业出版社. 2005.9
[3]钱德沛等主编: 《计算机网络实验教程》, 高等教育出版社. 2005.4
[4]王群主编:《计算机网络教程》,清华大学出版社. 2005.12
[5]谭珂、全惠民编著:《局域网组建与管理实手册》,中国青年出版社,2003年2月
[6]刘正勇编著:《校园网系统集成技术与应用》,清华大学出版社,2002年6月
[7]刘小辉主编:《网络硬件完全手册》,重庆大学出版社,2002年5月