校園網(wǎng)設(shè)計(jì)方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的校園網(wǎng)設(shè)計(jì)方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：校園網(wǎng)設(shè)計(jì)方案范文

關(guān)鍵詞：校園網(wǎng)，網(wǎng)絡(luò)組建，網(wǎng)絡(luò)管理與維護(hù)，網(wǎng)絡(luò)安全

第1章 網(wǎng)絡(luò)設(shè)計(jì)方案

1.1 設(shè)計(jì)概要

校園網(wǎng)的組建采用如下方案：網(wǎng)絡(luò)中心建設(shè)在圖文信息中心，教學(xué)樓設(shè)置分管點(diǎn)。建設(shè)高速、穩(wěn)定和安全的網(wǎng)絡(luò)環(huán)境。采用主流的以太網(wǎng)技術(shù)核心，交換機(jī)可帶千兆三層交換模塊，二級(jí)交換機(jī)采用帶擴(kuò)充槽的快速以太網(wǎng)交換機(jī)，可實(shí)現(xiàn)三層交換、百兆主干、百兆交換到桌面。教學(xué)樓與綜合樓采用Trunk技術(shù)做鏈路聚合，可達(dá)到200Mb/s的帶寬，實(shí)現(xiàn)了較高的性價(jià)比?？筛鶕?jù)學(xué)校的應(yīng)用類型，例如辦公、多媒體課室、課室、網(wǎng)絡(luò)中心等功能劃分子網(wǎng)。

1.2 校園網(wǎng)絡(luò)IP地址規(guī)劃和VLAN劃分

1.2.1校園網(wǎng)IP地址分配原則

校園網(wǎng)的IP地址規(guī)劃應(yīng)該受到重視，IP地址分分配應(yīng)該遵循以下幾個(gè)原則。

1. 體系化編址 體系化編址其實(shí)就是編址的結(jié)構(gòu)化，組織化，以企業(yè)的具體需求和組織結(jié)構(gòu)為原則對(duì)整個(gè)網(wǎng)絡(luò)地址進(jìn)行有條理的規(guī)劃。從總體上來說，體系化的原則就是使相鄰的主機(jī)或主機(jī)群在IP地址上是連續(xù)的。這樣可以進(jìn)行路由匯聚，是整個(gè)網(wǎng)絡(luò)的地址結(jié)構(gòu)清晰明朗，路由信息清晰，從而減少路由器中路由表。使區(qū)域和區(qū)域之間的地址相互獨(dú)立，便于靈活的獨(dú)立管理。

2. 地址的持續(xù)可擴(kuò)展性 IP地址規(guī)劃應(yīng)該為今后的升級(jí)和網(wǎng)絡(luò)規(guī)模的擴(kuò)大做好準(zhǔn)備，要有全局和高瞻遠(yuǎn)矚的眼光。

3. 按照實(shí)際需要分配公網(wǎng)IP地址公網(wǎng)IP相對(duì)于私有IP而言是不能由自己設(shè)置的，公網(wǎng)IP是有ISP等機(jī)構(gòu)統(tǒng)一分配和租用的，公網(wǎng)IP地址是非常稀缺的，因此，對(duì)于公網(wǎng)的IP地址我們必須按照實(shí)際的需要分。例如對(duì)于對(duì)外提供服務(wù)的服務(wù)器，我們需要為其分配公網(wǎng)的IP地址，而對(duì)于學(xué)校的宿舍，教學(xué)樓，實(shí)驗(yàn)樓等僅需要瀏覽互聯(lián)網(wǎng)信息等基本需求的計(jì)算機(jī)可以通過NAT來實(shí)現(xiàn)私有地址和公網(wǎng)地址的轉(zhuǎn)換，實(shí)現(xiàn)多個(gè)節(jié)點(diǎn)共享一個(gè)或幾個(gè)公網(wǎng)IP地址，從而節(jié)約公網(wǎng)IP地址。對(duì)于那些僅對(duì)內(nèi)提供服務(wù)，或只用于內(nèi)部通信的計(jì)算機(jī)就不需要分配公網(wǎng)IP地址。我們知道公網(wǎng)的IP地址是非常的稀缺的，NAT雖然能夠節(jié)約一部分的公網(wǎng)IP地址，但是還是不能從根本上解決現(xiàn)有公網(wǎng)IP地址越來越少的殘酷問題，所以部署IPV6已經(jīng)迫在眉睫。由于現(xiàn)在的IPV4網(wǎng)絡(luò)正在向IPV6網(wǎng)絡(luò)過渡，這是一個(gè)很長期的過程，所以在構(gòu)建網(wǎng)絡(luò)時(shí)我們還要考慮網(wǎng)絡(luò)對(duì)于IPV6的兼容性，選擇支持IPV6的設(shè)備和系統(tǒng)，以便今后進(jìn)行升級(jí)和改造。

4. 靜態(tài)和動(dòng)態(tài)分配地址動(dòng)態(tài)分配IP地址是有DHCP服務(wù)器分配的，在常見的比較小的網(wǎng)絡(luò)中，IP地址的分配一般是采用靜態(tài)方式分配，但在大中型的網(wǎng)絡(luò)中，由于主機(jī)數(shù)量的增加，為每一個(gè)計(jì)算機(jī)分配IP地址會(huì)增加網(wǎng)絡(luò)管理員的負(fù)擔(dān)，還有可能造成IP地址沖突，因此，DHCP在大中型網(wǎng)絡(luò)中是非常的有效和實(shí)用的，每一個(gè)新接入的主機(jī)能夠方便的從DHCP服務(wù)器獲得主機(jī)的IP地址以及子網(wǎng)掩碼，缺省網(wǎng)關(guān)，DNS等參數(shù)，大大減輕了網(wǎng)絡(luò)管理員的工作量。

1.2.2 VLAN劃分

VLAN是建立在以太網(wǎng)交換機(jī)或ATM交換機(jī)之上的邏輯網(wǎng)絡(luò)，VLAN可以進(jìn)行邏輯工作組的劃分和管理，是節(jié)點(diǎn)在邏輯上形成一個(gè)網(wǎng)絡(luò)，不受物理位置限制，同一邏輯工作組的成員不一定要連接在同一物理網(wǎng)段上，他們可以連接在同一局域網(wǎng)交換機(jī)上也可以連接在不同局域網(wǎng)交換機(jī)上，只要這些交換機(jī)是互相連接的。VLAN的優(yōu)點(diǎn)：VLAN可以將不同地點(diǎn)不同用戶組合在一起，形成一個(gè)虛擬的局域網(wǎng)，可以提高網(wǎng)絡(luò)中各個(gè)邏輯組中用戶的流量。

VLAN的劃分方法：

1. 基于端口劃分VLAN這是最常用的一種方法，目前絕大多數(shù)交換機(jī)都支持這種方法，這種方法將交換機(jī)的端口劃分為不同的組，每個(gè)組構(gòu)成一個(gè)虛擬局域網(wǎng)。這種方法配置簡單，適合于任何大小的物理，只需要將所有的端口都定義為相應(yīng)的VLAN組即可。缺點(diǎn)是假如某個(gè)用戶離開了原來的端口，連接到另外的交換機(jī)端口，就必須對(duì)另外的端口進(jìn)行配置。

2. 基于MAC地址劃分VLAN因?yàn)槊恳粋€(gè)網(wǎng)卡都有一個(gè)唯一的物理地址，因此可以根據(jù)網(wǎng)卡的物理地址來劃分VLAN，根據(jù)這種方法，可以彌補(bǔ)方法1帶來的缺陷，當(dāng)一個(gè)計(jì)算機(jī)位置移動(dòng)時(shí)，會(huì)自動(dòng)保留所屬的VLAN成員身份。不需要重新配置。

3. 基于網(wǎng)絡(luò)層協(xié)議劃分VLAN按網(wǎng)絡(luò)層協(xié)議組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。

4. 基于IP組播劃分VLANIP組播實(shí)際上是一種VLAN定義，可以認(rèn)為一個(gè)IP組播就是一個(gè)VLAN，這種方法將VLAN擴(kuò)大到了廣域網(wǎng)，適合不在同一地理位置的局域網(wǎng)用戶組成一個(gè)VLAN，但用于局域網(wǎng)時(shí)效率不高。

VLAN配置原則

1. VLAN1為交換機(jī)默認(rèn)VLAN，無需創(chuàng)建

2. VLAN組成員分布于多臺(tái)交換機(jī)上時(shí)，需在要每臺(tái)交換機(jī)上創(chuàng)建該VLAN，并將成員加入同一VLAN組中

3. 交換機(jī)創(chuàng)建的VLAN數(shù)可大于交換機(jī)端口數(shù)量

1.2.3 IP地址分配策略

IP地址分配策略

項(xiàng)目 IP地址范圍 備注

IP地址類型 私有B類IP地址172.18.0.0./32

網(wǎng)關(guān)地址 172.18.1.253/32

網(wǎng)絡(luò)設(shè)備IP 172.18.1.1―172.18.1.20

網(wǎng)絡(luò)中心服務(wù)器 172.18.1.21-172.18.1.40

內(nèi)部工作站IP 剩余可用IP

備用IP 172.18.1.50-172.18.1.70

1.2.4 VLAN劃分策略

在大中型網(wǎng)絡(luò)中，網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)目很多，很容易引起廣播風(fēng)暴，劃分VLAN之后就能夠有效的降低廣播風(fēng)暴，VLAN是在交換網(wǎng)局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)件構(gòu)建的可跨越不同網(wǎng)段，不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，VLAN允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中，即加入到一個(gè)VLAN中。VLAN能夠有效的控制廣播風(fēng)暴，一個(gè)VLAN就是一個(gè)邏輯廣播域，通過對(duì)VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。VLAN提高了網(wǎng)絡(luò)的整體安全性，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶劃為不同的子VLAN，提高了交換網(wǎng)絡(luò)的整體性能和安全性。一個(gè)VLAN可以根據(jù)部門職能，對(duì)象，不同地理位置的用戶劃分邏輯網(wǎng)段。在不改變物理位置的前提下可以任意將工作站在不同組之間移動(dòng)。VLAN可以大大減輕網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低維護(hù)費(fèi)用，減輕網(wǎng)絡(luò)管理員的工作量。

根據(jù)NC職業(yè)學(xué)院的不同工作類型，劃分了教學(xué)樓，實(shí)驗(yàn)室，圖文信息中心，學(xué)生宿舍等子網(wǎng)。圖文信息中心的網(wǎng)絡(luò)的中心，劃分為VLAN1,VLAN1為默認(rèn)的虛擬局域網(wǎng)。圖文信息中心的所有閱覽室劃分為VLAN2,實(shí)驗(yàn)樓的學(xué)生機(jī)房劃分的VLAN范圍是VLAN3~VLAN5,辦公室劃為VLAN6，教學(xué)樓劃為VLAN7,學(xué)生宿舍劃分為VLAN8~VLAN10。實(shí)驗(yàn)室VLAN為VLAN11.

VLAN功能描述

VLAN ID 網(wǎng)段IP 網(wǎng)關(guān)IP 備注

1 172.18.1.0/24 172.18.1.254/24 圖文信息中心核心機(jī)房：網(wǎng)絡(luò)中心

2 172.18.9.0/24 172.18.1.254/24 圖文信息中心閱覽室

3 172.18.2.0/24 172.18.1.254/24 實(shí)驗(yàn)樓學(xué)生機(jī)房1

4 172.18.3.0/24 172.18.1.254/24 實(shí)驗(yàn)樓學(xué)生機(jī)房2

5 172.18.4.0/24 172.18.1.254/24 實(shí)驗(yàn)樓學(xué)生機(jī)房3

6 172.18.5.0/24 172.18.1.254/24 實(shí)驗(yàn)樓辦公室

VLAN ID 網(wǎng)段IP 網(wǎng)關(guān)IP 備注

7 172.18.6.0/24 172.18.1.254/24 教學(xué)樓

8~10 172.18.7~9.0/24 172.18.1.254/24 學(xué)生宿舍

11 172.18.10.0/24 172.18.1.254/24 實(shí)驗(yàn)樓實(shí)驗(yàn)室

實(shí)驗(yàn)樓學(xué)生機(jī)房VLAN劃分

端口 VLAN ID 備注

Cisco2950(學(xué)生機(jī)房，IP為172.18.1.252/24)

1~3 1、3、4、5 連接網(wǎng)絡(luò)中心下行端口

4~8 3

9~14 4

15~24 5

圖文信息中心VLAN劃分

端口 VLAN ID 備注

Cisco2948G-L3(網(wǎng)絡(luò)中心，IP為172.18.1.254/24)

1~3 1、3、4、5 連接到實(shí)驗(yàn)樓學(xué)生機(jī)房主交換機(jī)上行端口

4~6 1、7 連接到教學(xué)樓主交換機(jī)上行端口

7~20 1、6 連接到實(shí)驗(yàn)樓辦公室主交換機(jī)上行端口

21~48 1 網(wǎng)絡(luò)中心

教學(xué)樓VLAN劃分

端口 VLAN ID 備注

Cisco2950（教學(xué)樓，IP為172.18.1.251/24）

1~3 1、7 連接網(wǎng)絡(luò)中心下行端口

4~24 7

實(shí)驗(yàn)樓辦公室VLAN劃分

端口 VLAN ID 備注

Cisco2950（實(shí)驗(yàn)樓辦公室，IP為172.18.1.250/24）

1~3 1、6 連接網(wǎng)絡(luò)中心下行端口

4~24 7

實(shí)驗(yàn)樓實(shí)驗(yàn)室VLAN劃分

端口 VLAN ID 備注

Cisco2950（實(shí)驗(yàn)樓實(shí)驗(yàn)室，IP為172.18.1.249/24）

1~3 1、11 連接網(wǎng)絡(luò)中心下行端口

4~24 11

學(xué)生宿舍VLAN劃分

端口 VLAN ID 備注

Cisco2950（學(xué)生宿舍，IP為172.18.1.248/24）

端口 VLAN ID 備注

1~3 1、2 連接網(wǎng)絡(luò)中心下行端口

4~8 8

9~16 9

16~24 10

各種設(shè)備IP地址表

主機(jī)名 設(shè)備 IP配置 備注

防火墻1 外部口S0：192.168.254.2/30

內(nèi)部口e0：172.18.1.253/24

防火墻2 外部口S0：172.18.252.2/30

內(nèi)部口e0：172.18.1.251/24

網(wǎng)絡(luò)中心交換機(jī)Cisco2948G-L3 IP:172.18.1.254/24

網(wǎng)關(guān)：172.18.1.254/24 網(wǎng)絡(luò)管理IP

教學(xué)樓交換機(jī)Cisco2950 IP: 172.18.1.251/24

網(wǎng)關(guān)：172.18.1.254/24 網(wǎng)絡(luò)管理IP

實(shí)驗(yàn)樓辦公室Cisco2950 IP: 172.18.1.250/24

網(wǎng)關(guān)：172.18.1.254/24 網(wǎng)絡(luò)管理IP

實(shí)驗(yàn)樓學(xué)生機(jī)房Cisco2950 IP: 172.18.1.252/24

網(wǎng)關(guān)：172.18.1.254/24 網(wǎng)絡(luò)管理IP

主機(jī)名 設(shè)備 IP配置 備注

實(shí)驗(yàn)室Cisco2950 IP: 172.18.1.249/24

網(wǎng)關(guān)：172.18.1.254/24 網(wǎng)絡(luò)管理IP

數(shù)據(jù)服務(wù) IP:172.18.1.254/24

網(wǎng)關(guān)：172.18.1.254/24

vod.ncxy.省略 VOD服務(wù) IP:172.18.1.1/24

網(wǎng)關(guān)：172.18.1.253/24

dns.ncxy.省略 DNS服務(wù) IP:172.18.1.1/24

網(wǎng)關(guān)：172.18.1.254/24

dhcp.ncxy.省略 dhcp服務(wù) IP:172.18.1.1/24

網(wǎng)關(guān)：172.18.1.254/24

ncxy.省略 WEB服務(wù) IP:172.18.1.1/24

網(wǎng)關(guān)：172.18.1.254/24

ftp.ncxy.省略 FTP服務(wù) IP:172.18.1.1/24

網(wǎng)關(guān)：172.18.1.254/24

1.3 交換機(jī)的VLAN配置

在交換機(jī)上配置VLAN就是分別在圖文信息中心的Cisco2948G-L3核心交換機(jī)，實(shí)驗(yàn)樓學(xué)生機(jī)房、實(shí)驗(yàn)樓辦公室、教學(xué)樓的Cisco2950交換機(jī)上進(jìn)行配置。初始狀態(tài)下交換機(jī)是通過超級(jí)終端進(jìn)行配置的。

為了配置方便，現(xiàn)定義各個(gè)VLAN交換機(jī)的hostname，學(xué)生機(jī)房1：computer-room1, 學(xué)生機(jī)房2：computer-room2, 學(xué)生機(jī)房3：computer-room3,辦公室office；閱覽室reading-room；實(shí)驗(yàn)室：laboratory；教學(xué)樓：classroom-building；學(xué)生宿舍：dormitory。

交換機(jī)的超級(jí)終端配置是一種基本的配置，連接如圖所示，接好PC和交換機(jī)各自的電源線，在未開機(jī)的條件下，把PC的串口1（COM1）通過控制臺(tái)電纜（Console電纜）與交換機(jī)的Console口相連，完成PC和交換機(jī)的連接工作。交換機(jī)Console口的默認(rèn)參數(shù)如下，端口速率：9600bps;數(shù)據(jù)位：8；奇偶校驗(yàn)：無；停止位：1；數(shù)據(jù)流控制：無。根據(jù)Console口的默認(rèn)參數(shù)，配置PC的超級(jí)終端時(shí)要將端口的屬性和上述參數(shù)相匹配，匹配后就可以訪問交換機(jī)。

圖1.3-1仿真終端與交換機(jī)連接

圖1.3-2 仿真終端端口參數(shù)

1.3.1圖文信息中心交換機(jī)Cisco2948G-L3配置

1.交換機(jī)基本配置（hostname及口令）

Switch>

Switch>enable

Switch#

Switch#config terminal

Switch(config)#hostname cisco2948

cisco2948 (config)#enable password ncxy

cisco2948 (config)#enable secret ncxy1

cisco2948 (config)#end

cisco2948 (config)#line con 0

cisco2948 (config-line)#password cisco2948

cisco2948 (config-line)#login

cisco2948 (config-line)#line vty 0 15

cisco2948 (config-line)#login

cisco2948 (config-line)#password cisco2948

cisco2948 (config-line)#end

cisco2948#

2.創(chuàng)建并分VLAN

Switch>

Switch>enable

Switch#

Switch#config terminal

Switch(config)#hostname cisco2948

cisco2948(config)#exit

cisco2948#vlan database

cisco2948 (vlan)#vtp mode server

cisco2948 (vlan)#vtp domain ncxy

cisco2948 (vlan)#vlan 2 name reading-room

cisco2948 (vlan)#vlan 3 name computer-room1

cisco2948 (vlan)#vlan 4 name computer-room2

cisco2948 (vlan)#vlan 5 name computer-room3

cisco2948 (vlan)#vlan 6 name office

cisco2948 (vlan)#vlan 7 name classroom-building

cisco2948 (vlan)#vlan 8-10 name dormitory

cisco2948 (vlan)#vlan 11 name laboratory

cisco2948 (vlan)#vlan apply

Apply complete

cisco2948 (vlan)#exit

cisco2948#

配置VLAN的IP地址，激活VLAN配置

VLAN1配置

cisco2948#config terminal

cisco2948 (config)#interface vlan 1

cisco2948 (config-if)# ip address 172.16.1.254 255.255.255.0

cisco2948 (config-if)#no shutdown

cisco2948 (config-if)#exit

VLAN3配置

Cisco2948#config terminal

Cisco2948 (config)#interface vlan 2

Cisco2948 (config-if)# ip address 172.16.2.254 255.255.255.0

Cisco2948 (config-if)#no shutdown

Cisco2948 (config-if)#exit

VLAN4配置

Cisco2948#config terminal

Cisco2948 (config)#interface vlan 3

Cisco2948 (config-if)# ip address 172.16.3.254 255.255.255.0

Cisco2948 (config-if)#no shutdown

Cisco2948 (config-if)#exit

VLAN5配置

Cisco2948#config terminal

Cisco2948 (config)#interface vlan 4

Cisco2948 (config-if)# ip address 172.16.4.254 255.255.255.0

Cisco2948 (config-if)#no shutdown

Cisco2948 (config-if)#exit

VLAN6配置

Cisco2948#config terminal

Cisco2948 (config)#interface vlan 6

Cisco2948 (config-if)# ip address 172.16.6.254 255.255.255.0

Cisco2948 (config-if)#no shutdown

Cisco2948 (config-if)#exit

VLAN7配置

Cisco2948#config terminal

Cisco2948 (config)#interface vlan 7

Cisco2948 (config-if)# ip address 172.16.7.254 255.255.255.0

Cisco2948 (config-if)#no shutdown

Cisco2948 (config-if)#exit

VLAN2配置

Cisco2948#config terminal

Cisco2948 (config)#interface vlan 8

Cisco2948 (config-if)# ip address 172.16.8254 255.255.255.0

Cisco2948 (config-if)#no shutdown

Cisco2948 (config-if)#exit

配置VLAN端口

1.分別給 vlan 3 vlan4 vlan5 添 加端口

Cisco2948#config t

Cisco2948(config)#int fa0/1-3

Cisco2948(config)#description connection to 2950computer-room

Cisco2948(config-if)#swichport access vlan 2

Cisco2948(config-if)#exit

Cisco2948#config t

Cisco2948(config)#int fa0/1-3

Cisco2948(config)#description connection to 2950 computer-room

Cisco2948(config-if)#swichport access vlan 3

Cisco2948(config-if)#exit

Cisco2948#config t

Cisco2948(config)#int fa0/1-3

Cisco2948(config)#description connection to 2950 computer-room

Cisco2948(config-if)#swichport access vlan 4

Cisco2948(config-if)#exit

Cisco2948#config t

Cisco2948(config)#int fa0/1-3

Cisco2948(config)#description connection to 2950 computer-room

Cisco2948(config-if)#swichport access vlan 5

Cisco2948(config-if)#exit

2.給VLAN 7添加端口

Cisco2948(config)#int fa0/4-6

Cisco2948(config)#description connection to 2950classroom-building

Cisco2948(config-if)#swichport access vlan 7

Cisco2948(config-if)#exit

Cisco2948#config t

3.給VLAN 6添加端口

Cisco2948(config)#int fa0/7-20

Cisco2948(config)#description connection to Intel530office

Cisco2948(config-if)#swichport access vlan 6

Cisco2948(config-if)#exit

1.4 應(yīng)用服務(wù)器配置

1.4.1 windows server2003安裝

對(duì)于新服務(wù)器來說硬盤上沒有操作系統(tǒng)，我們要按照操作系統(tǒng)，按照我們的選擇，我們安裝的是windows server2003操作系統(tǒng)。windows server2003操作系統(tǒng)的安裝非常的簡單，只需要安裝提示一步一步進(jìn)行下去。在設(shè)置授權(quán)模式頁面，我們選擇“每服務(wù)器。同時(shí)連接數(shù)”選框，再根據(jù)NC職業(yè)學(xué)院客戶端計(jì)算機(jī)數(shù)據(jù)合理配置連接數(shù)。

圖1.4.1-1 設(shè)置授權(quán)模式

安裝好操作系統(tǒng)后重新啟動(dòng)計(jì)算機(jī)，首先設(shè)置服務(wù)器的IP地址，操作步驟如下1.單擊“設(shè)置設(shè)置網(wǎng)絡(luò)連接”，打開網(wǎng)絡(luò)連接對(duì)話框。2.右鍵單擊“本地連接”，選擇“屬性”命令，打開本地連接的設(shè)置對(duì)話框。3.在“常規(guī)”選項(xiàng)卡中，選中“Internet 協(xié)議（TCP/IP）”,

如圖1.4.1-3所示，單擊“屬性”按鈕，4.如圖1.4.1-4所示，選中“使用下面的IP地址”，并把IP地址設(shè)置已以規(guī)劃好的地址，子網(wǎng)掩碼會(huì)自動(dòng)設(shè)置，把默認(rèn)網(wǎng)關(guān)設(shè)置為172.18.1.254，首選服務(wù)器設(shè)置為172.18.1.1，備用DNS服務(wù)器地址設(shè)置為ISP提供的DNS服務(wù)器，南昌地區(qū)的為202.101.224.68，單擊“確定”，按鈕。5.回到本地連接對(duì)話框，單擊“確定”按鈕使配置生效。

圖1.4.1-2 網(wǎng)絡(luò)連接窗口

圖1.4.1-3本地連接屬性

圖1.4.1-4本地連接屬性

1.4.2 安裝DNS服務(wù)器

DNS是域名解析服務(wù)器的簡稱，它的功能是在域名和IP地址之間進(jìn)行轉(zhuǎn)換，它可以把難記的IP地址轉(zhuǎn)換成人們易于記憶的域名，在校園網(wǎng)內(nèi)提供網(wǎng)內(nèi)的FTP服務(wù)，web服務(wù)，如果不適用DNS服務(wù)器，那么必須要記住IP地址，然而IP地址是不便于記憶的。若安裝了DNS服務(wù)器，就可以通過域名訪問相應(yīng)的IP地址了。

一、 安裝DNS服務(wù)

1. 單擊“開始程序管理工具管理您的服務(wù)器向?qū)А?，啟?dòng)管理服務(wù)器向?qū)?，如圖1.4.2-1所示

2. 選擇“添加或刪除角色”，操作系統(tǒng)在檢查完網(wǎng)絡(luò)設(shè)備后，出現(xiàn)一個(gè)“配置您的服務(wù)器向?qū)А?，如圖1.4.2-2所示，這里我們選擇DNS服務(wù)器，再單擊“下一步”按鈕。

3. 啟動(dòng)后要求用戶插入windows server2003系統(tǒng)光盤，插入光盤后，我們單擊“確定”確定。

圖1.4.2-1“管理您的服務(wù)器”向?qū)?/p>

圖1.4.2-2“配置您的服務(wù)器向?qū)А苯缑?/p>

4. 系統(tǒng)復(fù)制文件并安裝DNS服務(wù)器，如圖1.4.2-3所示

5. 安裝完后，出現(xiàn)配置DNS服務(wù)器向?qū)Ы缑?，如圖1.4.2-4所示，單擊“下一步”按鈕進(jìn)行DNS服務(wù)器配置，

6. 在“選擇配置操作”界面，我們選擇“只配置根提示（只適合高級(jí)用戶使用）（C）”單擊“下一步”按鈕，如圖1.4.2-5所示

圖1.4.2-3 “windows安裝―正在安裝DNS服務(wù)器”界面

圖1.4.2-4“配置DNS服務(wù)器向?qū)А苯缑?/p>

圖1.4.2-5“選擇配置操作”界面

7.在“主服務(wù)器位置”界面，我們選擇“這臺(tái)服務(wù)器維護(hù)該區(qū)域（T）”選框，將該DNS服務(wù)器作為主DNS服務(wù)器使用，并單擊“下一步”按鈕，如圖1.4.2-6所示

圖1.4.2-6 主服務(wù)器位置配置

8.在區(qū)域名稱對(duì)話框中輸入能夠反映NC職業(yè)學(xué)院的名稱，我們輸入ncxy.省略,并單擊“下一步”按鈕，如圖1.4.2-7所示

圖1.4.2-7 區(qū)域名稱界面

9.動(dòng)態(tài)跟新界面，選擇“不允許動(dòng)態(tài)更新（D）”單擊“下一步”按鈕，如圖1.4.2-8所示

圖1.4.2-8 動(dòng)態(tài)更新

10.“正在完成配置DNS服務(wù)器向?qū)А苯缑?，單擊“完成”按鈕，如圖1.4.2-9所示

圖1.4.2-9 正在完成配置DNS服務(wù)器向?qū)?/p>

11.最后一步，單擊“完成”如圖1.4.2-10

圖1.4.2-10此服務(wù)器現(xiàn)在是DNS服務(wù)器

1.4.3 域控制器安裝

1.如同安裝DNS服務(wù)器一樣，啟動(dòng)“管理您的服務(wù)器向?qū)А辈螕簟疤砑踊騽h除角色”

2.在“配置您的服務(wù)器向?qū)А表撁嬷羞x擇“域控制器（Active Directory）”然后單擊“下一步”按鈕。如圖1.4.3-1所示

圖1.4.3-1 服務(wù)器角色

3.在“選擇總結(jié)”界面單擊“下一步”按鈕如圖1.4.3-2所示

圖1.4.3-2 選擇總結(jié)

4.在彈出的“Active Directory安裝向?qū)А苯缑嬷袉螕簟跋乱徊健卑粹o，如圖1.4.3-3所示

圖1.4.3-3 Active Directory安裝向?qū)?/p>

5. 彈出“操作系統(tǒng)兼容性”界面，單擊“下一步”按鈕，如圖1.4.3-4所示

圖1.4.3-4 操作系統(tǒng)兼容性

6. 選擇“域控制器類型”，如圖1.4.3-5所示，我們選擇“新域的域控制器”，單擊“下一步”

圖1.4.3-5 域控制器類型

7. 彈出“創(chuàng)建一個(gè)新域”，要我們選擇創(chuàng)建域的類型，如圖1.4.3-6所示，這里我們選擇“在新林中的域”選框，單擊“下一步”按鈕

圖1.4.3-6創(chuàng)建一個(gè)新域

8.“新的域名”窗口，這里我們輸入新域的名稱，我們輸入domain.ncxy.省略，單擊“下一步”，系統(tǒng)給出一個(gè)提示，單擊“確定”即可。如圖1.4.3-7所示

圖1.4.3-7新的域名

9.設(shè)置NetBIOS域名，我們使用默認(rèn)值，如圖1.4.3-8所示

圖1.4.3-8NetBIOS域名

10.彈出“數(shù)據(jù)庫和日志文件文件夾”對(duì)話框，使用默認(rèn)設(shè)置就可以，如圖1.4.3-9所示，單擊“下一步”按鈕

圖1.4.3-9數(shù)據(jù)庫和日志文件文件夾

11.打開“共享的系統(tǒng)卷”對(duì)話框，保留默認(rèn)設(shè)置，如圖1.4.3-10所示

圖1.4.3-10共享的系統(tǒng)卷

12.彈出“DNS注冊(cè)診斷”對(duì)話框，系統(tǒng)有一個(gè)診斷過程，通知用戶無法更新DNS區(qū)域授權(quán)，我們選中“我將在以后通過手動(dòng)配置DNS來更正這個(gè)問題（c）”,單擊“下一步”如圖1.4.3-11所示

圖1.4.3-11DNS注冊(cè)診斷

13.在“權(quán)限”對(duì)話框，選擇用戶和組對(duì)象的默認(rèn)權(quán)限，選擇“只與windows 2000或windows server 2003操作系統(tǒng)兼容的權(quán)限”，單擊“下一步”按鈕，如圖1.4.3-12所示

圖1.4.3-12權(quán)限

14.設(shè)置目錄服務(wù)還原模式的管理員密碼，如圖1.43.-13所示，單擊“下一步”按鈕

圖1.4.3-13目錄服務(wù)還原模式的管理員密碼

15.彈出“摘要”，對(duì)話框，單擊“下一步”按鈕，如圖1.4.3-14所示，

圖1.4.3-14 摘要

16.安裝完成，如圖1.4.3-15所示，單擊“完成”

圖1.4.3-15 完成界面

17.此服務(wù)器現(xiàn)在是域控制器，如圖1.4.3-16所示

圖1.4.3-16

1.4.4 DNS配置

1.啟動(dòng)DNS服務(wù)器管理程序，單擊服務(wù)器名，展開，選擇“正向查找區(qū)域”，右擊選擇“新建區(qū)域”，如圖1.4.4-1所示

圖1.4.4-1 新建正向查找區(qū)域

2.區(qū)域類型選擇主要區(qū)域，如圖1.4.4-2所示

圖1.4.4-2 區(qū)域類型

2 在Active Directory區(qū)域復(fù)制作用域選框中選擇“至Active Directory域domain.ncxy.省略中的所有域控制器”如圖1.4.4-3所示

圖1.4.4-3 區(qū)域復(fù)制作用域

3 區(qū)域名稱中設(shè)置新的區(qū)域名稱，輸入ncxy.省略，如圖1.4.4-4所示

圖1.4.4-4 區(qū)域名稱

4 動(dòng)態(tài)跟新選擇不允許動(dòng)態(tài)跟新如圖1.4.4-5所示，單擊下一步

圖1.4.4-5 動(dòng)態(tài)跟新

5 正在完成新建區(qū)域向?qū)В瑔螕敉瓿?，如圖1.4.4-6所示

圖1.4.4-6 完成新建區(qū)域

6 在DNS管理器中，右擊剛才建立的區(qū)域名，選擇新建域，在彈出的新建DNS域?qū)υ捒蛑休斎雗cxy.省略，如圖1.4.4-7所示

圖1.4.4-7 新建DNS域

7 建立反向查找區(qū)域，反向查找的功能是實(shí)現(xiàn)IP地址到域名的轉(zhuǎn)換，在DNS管理器中右擊反向查找區(qū)域，選擇新建區(qū)域，進(jìn)入新建區(qū)域向?qū)?，如圖1.4.4-8所示，單擊“下一步”按鈕

圖1.4.4-8 新建區(qū)域向?qū)?/p>

8 新建反向查找區(qū)域和正向查找區(qū)域基本一致，在反向查找區(qū)域名稱對(duì)話框中輸入網(wǎng)絡(luò)ID，如圖1.4.4-9所示，其他過程不再簡述。

圖1.4.4-9 反向查找區(qū)域名稱

9 建立域名與FTP服務(wù)器IP地址的對(duì)應(yīng)，在DNS管理器中右擊我們新建的域名，選擇“新建主機(jī)”，彈出“新建主機(jī)”對(duì)話框，如圖1.4.4-10所示

圖1.4.4-10新建FTP服務(wù)器主機(jī)

10 建立域名與dhcp服務(wù)器IP地址的對(duì)應(yīng),如圖1.4.4-11所示

圖1.4.4-11新建dhcp服務(wù)器主機(jī)

13. 建立域名與web服務(wù)器IP地址的對(duì)應(yīng),如圖1.4.4-12所示

圖1.4.4-12新建web服務(wù)器主機(jī)

14.建立域名與vod服務(wù)器IP地址的對(duì)應(yīng),如圖1.4.4-13所示

圖1.4.4-13新建vod服務(wù)器主機(jī)

15.配置好DNS服務(wù)器后，NC職業(yè)學(xué)院的其他客戶機(jī)的DNS服務(wù)器地址必須指向配置的DNS服務(wù)器的IP地址，只有這樣才能使用DNS功能。如圖1.4.4-14所示

圖1.4.4-14客戶機(jī)配置

1.4.5 web服務(wù)器配置

1.安裝IIS6.0和WEB組件IIS6.0默認(rèn)沒有安裝，我們可以在控制面板的雙機(jī)“添加或刪除程序”，選擇“添加/刪除windows組件”，如圖1.4.5-1所示

圖1.4.5-1添加或刪除程序

2.在windows組建向?qū)?duì)話框勾選應(yīng)用程序服務(wù)器，單擊“詳細(xì)信息（D）”，如圖1.4.5-2所示

圖1.4.5-2windows組件向?qū)?/p>

3.勾選Internet信息服務(wù)（IIS），單擊“詳細(xì)信息”，如圖1.4.5-3所示

圖1.4.5-3應(yīng)用程序服務(wù)器

5. 選擇“萬維網(wǎng)服務(wù)”，單擊“確定”按鈕，如圖1.4.5-4所示

圖1.4.5-4萬維網(wǎng)服務(wù)

6. 依次單擊“確定”，插入安裝光盤，開始安裝，如圖1.4.5-5所示

圖1.4.5-5安裝IIS

7. 完成安裝，如圖1.4.5-6所示

圖1.4.5-6完成安裝IIS

8. 新建WEB站點(diǎn)如圖1.4.5-7所示

圖1.4.5-7新建站點(diǎn)

9. 網(wǎng)站描述，如圖1.4.5-8所示

圖1.4.5-8站點(diǎn)描述

10. IP地址和端口設(shè)置，如圖1.4.5-9所示

圖1.4.5-9IP地址和端口設(shè)置

11. 網(wǎng)站主目錄設(shè)置，如圖1.4.5-10所示

圖1.4.5-10網(wǎng)站主目錄

12. 網(wǎng)站訪問權(quán)限設(shè)置，如圖1.4.5-11所示

圖1.4.5-11網(wǎng)站訪問權(quán)限

13.設(shè)置站點(diǎn)的參數(shù)比較簡單，這里不再簡述，只需要按照提示一步步進(jìn)行下去就行。

1.4.6 FTP服務(wù)器配置

1.下載Serv-U并安裝，打開程序

2.單擊“新建域”按鈕，進(jìn)入域向?qū)Ы缑?，如圖1.4.5-1所示，輸入站點(diǎn)名稱和描述信息，單擊“下一步”按鈕

圖1.4.5-1新建域1

3.進(jìn)入“域向?qū)步驟2總步驟4”界面，配置各種協(xié)議的端口號(hào)，這里使用默認(rèn)的端口號(hào)，如圖1.4.5-2所示，單擊“下一步”按鈕

圖1.4.5-2新建域2

4.設(shè)定新建FTP站點(diǎn)的IP地址，如圖1.4.5-3所示，單擊“下一步”按鈕

圖1.4.5-3新建域3

5.設(shè)置密碼加密模式，我們采用默認(rèn)的設(shè)置，如圖1.4.5-4所示，單擊“完成”按鈕

圖1.4.5-4新建域4

7. 新建FTP站點(diǎn)之后就可以添加用戶賬戶，進(jìn)入“用戶向?qū)步驟1總步驟4”，輸入登錄ID，單擊“下一步”按鈕，如圖1.4.5-5

圖1.4.5-5創(chuàng)建用戶1

8. 設(shè)置用戶密碼，如圖1.4.5-6所示，單擊“下一步”按鈕

圖1.4.5-6創(chuàng)建用戶2

9. 設(shè)置根目錄，如圖1.4.5-7所示，單擊“下一步”按鈕

圖1.4.5-7創(chuàng)建用戶3

10設(shè)置訪問權(quán)限，如圖1.4.5-8所示，單擊“完成”按鈕

.

圖1.4.5-8創(chuàng)建用戶8

10. 雙擊新創(chuàng)建的用戶名，彈出“用戶屬性”對(duì)話框，如圖1.4.5-9所示，我們可以管理用戶賬戶，可以讓用戶更方便的使用FTP站點(diǎn)，增強(qiáng)FTP站點(diǎn)的安全性，我們可以點(diǎn)擊不同的選項(xiàng)卡，進(jìn)行不同的設(shè)置，這里不再介紹。

圖1.4.5-9用戶屬性設(shè)置

1.4.7VOD服務(wù)器配置

1.下載并安裝美萍VOD點(diǎn)播系統(tǒng)，安裝非常的簡單，只需單擊“下一步”即可，如圖1.4.6-1所示

1.4.6-1 美萍VOD點(diǎn)播系統(tǒng)安裝

2.安裝完后打開程序，出現(xiàn)如圖1.4.6-2的界面，系統(tǒng)默認(rèn)提供了電影，音樂，電視劇等分類，每種大的類型下還有許多的小類型

1.4.6-2 美萍VOD點(diǎn)播系統(tǒng)主界面

3.打開小類，里面還是空的，把我們要添加的內(nèi)容直接拖進(jìn)右邊即可，如圖1.4.6-3所示

1.4.6-2 美萍VOD點(diǎn)播系統(tǒng)添加界面

4.通過系統(tǒng)設(shè)置對(duì)話框可以設(shè)置系統(tǒng)的相關(guān)屬性，是系統(tǒng)更好的工作，如圖1.4.6-3所示

1.4.6-3 美萍VOD點(diǎn)播系統(tǒng)系統(tǒng)設(shè)置界面

5.客戶機(jī)可以不需要安裝客戶端程序，只需要安裝有較新版本的IE瀏覽器即可，在地址欄輸入服務(wù)器IP地址和端口號(hào)即可，端口號(hào)默認(rèn)為6666,。

1.4.8DHCP服務(wù)器配置

DHCP是動(dòng)態(tài)主機(jī)配置協(xié)議，可以動(dòng)態(tài)的分配IP地址，對(duì)于需要固定ID地址的服務(wù)器和主機(jī)，我們?cè)谂渲檬且Ａ暨@些IP地址，是IP地址和他們的MAC地址綁定起來。其他可以自由分配的IP地址可以放在地址池中以供分配。配置非常的簡單，配置界面非常的人性化，在此不再累述。

1.4.9郵件服務(wù)器配置

NC職業(yè)校園需要提供郵件服務(wù)，因此要架設(shè)郵件服務(wù)器，我們選擇架設(shè)基于Exchange Server 2003的電子郵件服務(wù)器。首先安裝Exchange Server 2003，在安裝之前要在系統(tǒng)中安裝NNTP和SMTP兩種服務(wù)。安裝過程和DNS和FTP等的安裝過程類似，不再介紹。

Exchange Server 2003的安裝也是非常的簡單，就是需要比較長的時(shí)間。默認(rèn)情況下，Exchange Server 2003將使用windows Server 2003的用戶庫作為自己的用戶庫，這并不意味著所有的用戶都有自己的郵箱，所以還需要手動(dòng)為其他用戶建立郵箱。

建立電子郵箱非常的簡單，只需要安裝提示一步一步進(jìn)行，新建用戶，設(shè)置密碼，創(chuàng)建郵箱，檢查用戶信息，新建之后還可以設(shè)置用戶郵箱的屬性。

可以使用兩種方法通過Exchange Server 2003服務(wù)器收發(fā)郵件。一種是通過OFFICE中的Outlook Express收發(fā)郵件，一種是直接使用IE瀏覽器收發(fā)郵件。

參考文獻(xiàn)

[1] 雷震甲.網(wǎng)絡(luò)工程師教程（第三版）.北京：清華大學(xué)出版社，2009

[3] 易建勛.計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì).北京：人民郵電出版社，2007

[4] 馬海英. 計(jì)算機(jī)網(wǎng)絡(luò)及應(yīng)用. 北京：化學(xué)化工出版社，2007

[5] 謝希仁. 計(jì)算機(jī)網(wǎng)絡(luò)（第5版）. 北京：電子工業(yè)出版社，2008

[6] 石志國，薛為民，尹浩. 計(jì)算機(jī)網(wǎng)絡(luò)安全教程（修訂本）. 北京：北方交通大學(xué)出版社，2007

第2篇：校園網(wǎng)設(shè)計(jì)方案范文

關(guān)鍵詞：　校園網(wǎng)；無線局域網(wǎng)；設(shè)計(jì)

中圖分類號(hào)：G728 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2012）1120080－02

1　概述

1.1　設(shè)計(jì)要求

根據(jù)惠州經(jīng)濟(jì)學(xué)院的無線局域網(wǎng)應(yīng)用與建設(shè)實(shí)際，無線局域網(wǎng)在網(wǎng)絡(luò)安全上，網(wǎng)絡(luò)管理上，傳輸速率上與有線局域網(wǎng)相當(dāng)。

首先，大學(xué)校園網(wǎng)的組建，應(yīng)同時(shí)具備無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)，以支撐校園網(wǎng)內(nèi)用戶的不同需求。當(dāng)前條件下，應(yīng)以有線網(wǎng)絡(luò)為主，并擴(kuò)大無線局域網(wǎng)的使用，分不同的應(yīng)用需求與教學(xué)需要，結(jié)合無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的優(yōu)點(diǎn)，進(jìn)行科學(xué)的搭配組合。

其次，無線局域網(wǎng)傳輸?shù)姆€(wěn)定性、網(wǎng)絡(luò)傳輸?shù)乃俣?、網(wǎng)絡(luò)安全性達(dá)到較高的要求。同時(shí)，在校園網(wǎng)中，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)并存的狀態(tài)，應(yīng)采取分網(wǎng)段IP地址管理策略，以實(shí)現(xiàn)網(wǎng)絡(luò)的安全。

最后，無線網(wǎng)絡(luò)應(yīng)進(jìn)行加密，以此實(shí)現(xiàn)最大限度的保護(hù)無線網(wǎng)絡(luò)中信息的安全，使其傳輸不受破壞，并能滿足1200臺(tái)終端機(jī)入網(wǎng)需求。

1.2　設(shè)計(jì)方案

采用接入無線交換機(jī)和Fit　AP的方式進(jìn)行局域網(wǎng)設(shè)計(jì)。主要部分包括了無線網(wǎng)絡(luò)控制器、瘦無線接入點(diǎn)（Fit　AP）、網(wǎng)絡(luò)管理服務(wù)器。全部設(shè)備連接在一起，以無線網(wǎng)絡(luò)控制器為接入設(shè)備，瘦AP為接入邊界，構(gòu)建能夠支持統(tǒng)一的管理、移動(dòng)和安全為一體等無線網(wǎng)。這一設(shè)計(jì)方案能發(fā)揮無線組網(wǎng)的靈活性和擴(kuò)展性，運(yùn)用RF管理的智能化，能實(shí)現(xiàn)集中式的網(wǎng)絡(luò)管理，使網(wǎng)絡(luò)具有良好的漫游性能，并能支持系統(tǒng)的自動(dòng)部署與故障恢復(fù)，也能實(shí)現(xiàn)良好的負(fù)載均衡。

根據(jù)要求設(shè)計(jì)無線局域網(wǎng)，由無線交換機(jī)接入Internet網(wǎng)絡(luò)，然后接入AP控制器，再接兩個(gè)核心交換機(jī)，核心交換機(jī)與服務(wù)器群連接。整個(gè)校園將被分成三個(gè)區(qū)域公布層交換機(jī)，每個(gè)分布層交換機(jī)接入相應(yīng)數(shù)量的接入交換機(jī)，最后接入多個(gè)單純的無線AP（瘦AP）進(jìn)行實(shí)地覆蓋，如圖1所示。實(shí)現(xiàn)的無線局域網(wǎng)要在同一時(shí)間能滿足1200臺(tái)終端機(jī)移動(dòng)連接。以考慮1200臺(tái)電腦都可以移動(dòng)則采用多個(gè)AP頻率規(guī)劃實(shí)現(xiàn)對(duì)區(qū)域的全覆蓋以及高帶寬提供，用戶可熱點(diǎn)內(nèi)在不同AP間實(shí)現(xiàn)無縫切換，考慮到頻段干擾問題，相鄰AP不能選用同樣的Channel，并且Channel號(hào)最差要相差5，也就是構(gòu)成小區(qū)的任意三個(gè)相鄰的AP的Channel設(shè)置為1、6、11。選用支持802.11n的無線AP進(jìn)行區(qū)域覆蓋，帶寬達(dá)到300M此區(qū)域可滿足幾十臺(tái)移動(dòng)電腦接入網(wǎng)絡(luò)，用幾個(gè)這樣的無線路由器就可以滿足要求。為了實(shí)現(xiàn)無線網(wǎng)絡(luò)連接的統(tǒng)一，WLAN必須保證各連接的建筑物均能同時(shí)保持良好的視線。因?yàn)槿绻袠淠?、高樓等障礙物的話，會(huì)影響到無線網(wǎng)絡(luò)的信號(hào)傳輸，導(dǎo)致網(wǎng)絡(luò)性能的受損，而遠(yuǎn)距離區(qū)域則建議采用中繼器進(jìn)行鏈接傳送。

在校園網(wǎng)中，任何一個(gè)AP范圍內(nèi)，其無線連接采用共享模式，因此其無線終端不能太多，否則會(huì)導(dǎo)致所分享的帶寬過小。每個(gè)無線終端的傳輸速率或若干無線終端的速率之和，不能超過單個(gè)AP的帶寬上限，以保證網(wǎng)絡(luò)的順暢。每個(gè)AP覆蓋能提供20臺(tái)終端機(jī)接入，設(shè)置分配每臺(tái)終端機(jī)的帶寬為2M，并加以控制管理。那每個(gè)AP的出口帶寬為40兆，由于接入交換機(jī)的設(shè)備共享帶寬，那本方案的設(shè)計(jì)所需出口帶寬為40M以上，合計(jì)容納1200臺(tái)終端機(jī)。硬件設(shè)備包括：四臺(tái)無線交換機(jī)，四臺(tái)核心交換機(jī)，分由六臺(tái)分布層交換機(jī)，再用到十二臺(tái)POE接入交換機(jī)，無線AP用到60個(gè)左右。若需拓展網(wǎng)絡(luò)則可以添加AP。本設(shè)計(jì)所需的硬件設(shè)備如下：4臺(tái)MX-200R智能無線交換機(jī)、4臺(tái)H3C　U200-CA核心交換機(jī)、6臺(tái)Catalyst　3550分布層交換機(jī)、12臺(tái)LREtrans　4200　POE交換機(jī)、60臺(tái)無線AP　TP-LINK　TL-WA801N。

2　無線局域網(wǎng)的網(wǎng)絡(luò)管理

2.1　RF智能控制管理

采用RF智能系統(tǒng)控制管理可以自動(dòng)調(diào)節(jié)網(wǎng)上所有AP的電波特性，自動(dòng)對(duì)網(wǎng)上所有AP的無線電波管理。

無線交換機(jī)能夠?qū)崿F(xiàn)無線校園網(wǎng)中傳輸信號(hào)的偵測和記錄。一旦某AP范圍內(nèi)的無線信號(hào)受到影響，如AP受到基本一電波信號(hào)的干擾，則無線交換機(jī)會(huì)立即對(duì)干擾電波進(jìn)行采樣分析，以定位其來源，然后再與AP的無線信號(hào)進(jìn)行比較，以決定是否對(duì)其進(jìn)行調(diào)整。

2.2　全局性的安全管理

以往無線局域網(wǎng)一般是單純基于AP，因此無線網(wǎng)絡(luò)的管理、安全配置工作很多要在AP上進(jìn)行設(shè)置和更改。在此無線網(wǎng)絡(luò)的設(shè)計(jì)中，融合了VPN、防火墻、安全認(rèn)證、病毒防護(hù)、入侵監(jiān)測以及RF電磁波管理等安全功能，并將這些工作匯聚到無線交換機(jī)上，通過交換機(jī)管理模塊來實(shí)現(xiàn)全局性的安全管理。這就克服了無線網(wǎng)絡(luò)對(duì)安全的分散管理的不足與缺點(diǎn)，增強(qiáng)了無線用戶使用網(wǎng)絡(luò)的安全感，也降低了對(duì)有線網(wǎng)絡(luò)安全的依賴性。

在無線交換機(jī)管理模式基礎(chǔ)上，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的安全管理，對(duì)于網(wǎng)管人員來說，其工作量也大為減少，僅需連接到無線交換機(jī)上，就可開通、管理、維護(hù)所有AP設(shè)備以及移動(dòng)終端，包括無線電波頻譜、無線安全、接入認(rèn)證、移動(dòng)漫游以及接入用戶等，均可在無線交換機(jī)上“一站式”的完成。

3　無線局域網(wǎng)的安全認(rèn)證與防范

3.1　多種用戶認(rèn)證方式和用戶狀態(tài)防火墻

一個(gè)無線用戶進(jìn)入無線網(wǎng)以后，會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，通過認(rèn)證以后才可以接入無線校園網(wǎng)。當(dāng)前，能支持無線網(wǎng)絡(luò)用戶認(rèn)證的方式較多，可選的軟件也較多，諸如802.1認(rèn)證、WEB認(rèn)證、MAC認(rèn)證、SSID認(rèn)證、VPN認(rèn)證方法，均可用于無線網(wǎng)絡(luò)的實(shí)際運(yùn)行中?；葜萁?jīng)濟(jì)學(xué)院在自身網(wǎng)絡(luò)運(yùn)用的基礎(chǔ)上，選擇了802.1認(rèn)證方法，在服務(wù)器上安裝了銳捷網(wǎng)絡(luò)接入認(rèn)證軟件的服務(wù)器端，使得整個(gè)校園網(wǎng)內(nèi)的用戶可隨時(shí)隨地通過認(rèn)證接入網(wǎng)絡(luò)。

此外，為了進(jìn)一步加強(qiáng)對(duì)無線網(wǎng)絡(luò)的安全防范，無線網(wǎng)絡(luò)采用了用戶狀態(tài)防火墻，并將其與用戶認(rèn)證程序捆綁后使用，當(dāng)無線用戶通過認(rèn)證后，用戶狀態(tài)防火墻會(huì)為其提供默認(rèn)的若干防火墻規(guī)則，運(yùn)用于用戶的無線終端中，不同的無線用戶通常適用不同的防火墻規(guī)則。

3.2　AP安全防護(hù)與偵測

由于AP暴露于無線網(wǎng)絡(luò)中，應(yīng)采用RF的偵測功能，對(duì)AP啟用有效的保護(hù)，為此可實(shí)時(shí)監(jiān)測整個(gè)校園的無線網(wǎng)覆蓋區(qū)域，將所有AP接入納入偵測范圍，并與其附近的AP、設(shè)置錯(cuò)誤的AP和未授權(quán)的AP進(jìn)行區(qū)分。無線網(wǎng)絡(luò)通過安全管理系統(tǒng)，可幫助網(wǎng)絡(luò)安全管理人員及時(shí)、有效的發(fā)現(xiàn)是否存在非法的AP接入與破壞性的數(shù)據(jù)信息，一旦發(fā)現(xiàn)此類安全狀況，則立即開啟系統(tǒng)的自我保護(hù)體系，防止無線終端通過非法AP連接，從而對(duì)無線網(wǎng)絡(luò)的運(yùn)行造成安全威脅。

對(duì)于用戶認(rèn)證，無線網(wǎng)絡(luò)的接入認(rèn)證和加密防范可在無線交換機(jī)上實(shí)現(xiàn)，而瘦AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置。因此管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)AP，黑客也不會(huì)拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。

3.3　無線接入的安全防范

無線終端安全防范主要是預(yù)防病毒，因此需要對(duì)接入終端進(jìn)行接入檢查。在無線終端接入網(wǎng)絡(luò)后，需要用戶進(jìn)行身份認(rèn)證，并同時(shí)下載一個(gè)基于JAVA的檢測程序，該程序?qū)o線終端進(jìn)行系統(tǒng)性的檢測，通過檢測后，提醒用戶安裝系統(tǒng)安全補(bǔ)丁、病毒防護(hù)軟件，在訪問網(wǎng)絡(luò)時(shí)能提醒用戶對(duì)病毒庫進(jìn)行升級(jí)。如無法通過檢測，則對(duì)無線終端的系統(tǒng)安全漏提醒若干建議，并暫時(shí)禁止其訪問網(wǎng)絡(luò)。同時(shí)，要加強(qiáng)對(duì)無線終端的認(rèn)證管理，校園網(wǎng)可通過一一對(duì)應(yīng)的用戶賬號(hào)與密碼，來管理不同的用戶。在網(wǎng)上準(zhǔn)備一臺(tái)升級(jí)服務(wù)器，將系統(tǒng)補(bǔ)丁、防病毒軟件、安全認(rèn)證軟件、系統(tǒng)檢測程序、安全監(jiān)控程序均放置于該服務(wù)器上，當(dāng)無線終端不具備接入條件時(shí)，可將其導(dǎo)向連接到該服務(wù)器，在安裝了服務(wù)器提供的程序后再進(jìn)行新一輪的檢測，當(dāng)無線終端通過接入檢查，再啟動(dòng)網(wǎng)絡(luò)監(jiān)控程序，對(duì)終端的數(shù)據(jù)信息進(jìn)行安全監(jiān)控。

綜上所述，根據(jù)惠州經(jīng)濟(jì)學(xué)院的無線局域網(wǎng)的運(yùn)行要求，在實(shí)際中進(jìn)行了此無線網(wǎng)的設(shè)計(jì)，架構(gòu)無線局域網(wǎng)應(yīng)根據(jù)選型來組建，在構(gòu)建過程中應(yīng)盡量考慮采用專業(yè)設(shè)施及投入，同時(shí)也應(yīng)考慮無線網(wǎng)絡(luò)的支撐系統(tǒng)的持續(xù)能力，以減少網(wǎng)絡(luò)運(yùn)行中的問題，保證網(wǎng)絡(luò)性能的發(fā)揮。

參考文獻(xiàn)：

[1]張棟軼，無線局域網(wǎng)技術(shù)與實(shí)現(xiàn)[J].科技信息，2011.15.

第3篇：校園網(wǎng)設(shè)計(jì)方案范文

關(guān)鍵詞 中學(xué)校園；中小型機(jī)房；班班通；校校通；數(shù)字校園

中圖分類號(hào)：G637 文獻(xiàn)標(biāo)識(shí)碼：B

文章編號(hào)：1671-489X（2017）09-0022-02

1 前言

中學(xué)中小型機(jī)房建設(shè)對(duì)于學(xué)校信息化應(yīng)用具有重要保障作用，是學(xué)校信息化建設(shè)工作的一個(gè)重要節(jié)點(diǎn)。隨著計(jì)算機(jī)多媒體網(wǎng)絡(luò)通信技術(shù)越來越廣泛的應(yīng)用，加強(qiáng)機(jī)房建設(shè)和管理可以更好地保障信息化設(shè)施為教學(xué)發(fā)展服務(wù)，提高學(xué)校的管理水平、教學(xué)水平、技術(shù)素質(zhì)和工作效率。實(shí)現(xiàn)學(xué)校教學(xué)和教學(xué)管理信息化，要切實(shí)重視機(jī)房建設(shè)，包括管理與維護(hù)。

2 機(jī)房建設(shè)和管理是剛性需求

隨著學(xué)校計(jì)算機(jī)課程的普及，網(wǎng)絡(luò)教室建設(shè)，信息化教學(xué)方式的應(yīng)用，數(shù)字校園正在成為一種新的學(xué)校形態(tài)和發(fā)展趨勢，深刻改變傳統(tǒng)學(xué)校的面貌。學(xué)校機(jī)房建設(shè)和管理、維護(hù)，在這一進(jìn)程中具有重要的保障功能。

良好的機(jī)房運(yùn)行可保障學(xué)校信息化設(shè)施暢通無阻、穩(wěn)定高速，可以高效進(jìn)行現(xiàn)代化網(wǎng)絡(luò)辦公和學(xué)校內(nèi)部的即時(shí)溝通，輕松實(shí)現(xiàn)學(xué)校對(duì)校園網(wǎng)的管理。機(jī)房良好的多媒體承載能力，保證了網(wǎng)絡(luò)教室、語音功能教室、電子閱覽室等網(wǎng)絡(luò)教學(xué)資源的共享，具備快速處理學(xué)生網(wǎng)絡(luò)電子檔案、網(wǎng)絡(luò)作業(yè)并保存相關(guān)信息的能力，滿足多媒體教學(xué)的需要。

中小型機(jī)房切合中學(xué)校的實(shí)際應(yīng)用需求，體現(xiàn)了學(xué)校特點(diǎn)，組建一個(gè)良好的中小型機(jī)房是學(xué)校信息化發(fā)展的現(xiàn)實(shí)需求。

3 機(jī)房總體設(shè)計(jì)的指導(dǎo)思想

機(jī)房對(duì)教學(xué)信息化應(yīng)用過程、學(xué)校的日常信息管理（包括教學(xué)資料和學(xué)生檔案、網(wǎng)絡(luò)作業(yè)等）提供直接支持，是學(xué)校各類信息的網(wǎng)絡(luò)管理中心。機(jī)房建設(shè)須按照實(shí)際情況進(jìn)行選擇與實(shí)施。

實(shí)用原則，滿足實(shí)際的功能需要 機(jī)房建設(shè)要切實(shí)做到從實(shí)際需要出發(fā)，在方案設(shè)計(jì)中充分體現(xiàn)“以人為本”，以有效發(fā)揮全部功能，并且有一定前瞻性，考慮未來發(fā)展需要為標(biāo)準(zhǔn)，“夠用”“實(shí)用”“可擴(kuò)展”為基本要求。

具備的功能：支持利用FTP服務(wù)實(shí)現(xiàn)資料的傳輸以及學(xué)校、班級(jí)或個(gè)人主頁的上傳；支持實(shí)現(xiàn)能夠共享資源的教育資源庫，供師生檢索、查詢；支持實(shí)時(shí)或非實(shí)時(shí)方式的遠(yuǎn)程多媒體教學(xué)，進(jìn)行視頻會(huì)議；支持建立學(xué)校網(wǎng)站，可利用外部網(wǎng)學(xué)校信息，提供各類咨詢信息等；可利用內(nèi)部網(wǎng)進(jìn)行管理，如通知、收集學(xué)生意見等。

濟(jì)耐用 機(jī)房不僅要兼顧美觀、實(shí)用，而且要本著嚴(yán)謹(jǐn)科學(xué)的態(tài)度，管理機(jī)房基礎(chǔ)設(shè)施建設(shè)，認(rèn)真核定建設(shè)成本，做到投入合理、費(fèi)用明晰、支出有序，避免造成資金浪費(fèi)。機(jī)房建設(shè)的資金投入一般是比較大的，學(xué)校應(yīng)從穩(wěn)定性、反應(yīng)速度、擴(kuò)展性和管理能力等眾多方面綜合考慮，切實(shí)把握學(xué)校的應(yīng)用需求和特點(diǎn)，合理安排資金，做好建設(shè)規(guī)劃。

高效暢通，具備快速處理相關(guān)信息的能力 校園網(wǎng)首先應(yīng)是技術(shù)先進(jìn)、覆蓋全校的校園網(wǎng)絡(luò)環(huán)境，即“班班通”，同時(shí)也是分布、開放的大網(wǎng)絡(luò)環(huán)境，即“校校通”。學(xué)校師生出于教學(xué)過程的需要，往往會(huì)連接校園因特網(wǎng)進(jìn)行資料查詢，這是師生快速獲取資料的最佳途徑。機(jī)房要具有將各種工作站及終端，通過高性能的網(wǎng)絡(luò)設(shè)備連接的功能，設(shè)計(jì)上應(yīng)該使軟硬件在系統(tǒng)充分適應(yīng)信息化要求的基礎(chǔ)上，使各個(gè)組成部分相互實(shí)現(xiàn)有效配合，以充分發(fā)揮出信息平臺(tái)的作用。

機(jī)房應(yīng)支持同時(shí)啟用校園網(wǎng)監(jiān)控系統(tǒng)，并保障系統(tǒng)的正常穩(wěn)定運(yùn)行，及時(shí)排查故障，避免出現(xiàn)重復(fù)、設(shè)備丟失和損壞，造成不必要的損失；實(shí)施對(duì)校園網(wǎng)的網(wǎng)絡(luò)監(jiān)控、流量監(jiān)控，對(duì)用戶使用互聯(lián)網(wǎng)的情況進(jìn)行管理和控制，避免一些用戶濫用軟件占用帶寬，拖慢其他用戶瀏覽網(wǎng)頁的速度。利用防火墻技術(shù)，阻止非法用戶訪問網(wǎng)絡(luò)資源，保證數(shù)據(jù)傳輸、存儲(chǔ)的安全。

及時(shí)升級(jí)更新設(shè)施技術(shù) 學(xué)校機(jī)房需要全天候進(jìn)行大量資料的更新、上傳、下載，越來越頻繁的網(wǎng)絡(luò)運(yùn)行傳輸，需要與時(shí)代同步，適時(shí)采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)支持。

管理者應(yīng)不斷跟蹤國內(nèi)外的最新計(jì)算機(jī)多媒體網(wǎng)絡(luò)通信技術(shù)動(dòng)態(tài)，適應(yīng)系統(tǒng)管理目標(biāo)的發(fā)展特點(diǎn)及網(wǎng)絡(luò)通信技術(shù)的更新?lián)Q代，使主機(jī)系統(tǒng)的選擇、網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)、網(wǎng)絡(luò)的管理和連接方式等，始終保持一定的先進(jìn)性?？梢酝ㄟ^適時(shí)升級(jí)校園網(wǎng)的服務(wù)器等對(duì)機(jī)房進(jìn)行更新管理，做到與技術(shù)發(fā)展同步，方便適用。

加強(qiáng)機(jī)房建設(shè)綜合質(zhì)量管理 機(jī)房建設(shè)集建筑施工、設(shè)備安裝、電氣敷設(shè)、網(wǎng)絡(luò)連接等多個(gè)項(xiàng)目環(huán)節(jié)于一體，其整體工程質(zhì)量的優(yōu)劣直接關(guān)系到機(jī)房系統(tǒng)能否穩(wěn)定可靠運(yùn)行，各類信息通信能否暢通無阻，操作人員能否有一個(gè)安全無隱患的工作環(huán)境。為切實(shí)保障機(jī)房的建設(shè)質(zhì)量，要注重綜合管理，加強(qiáng)專業(yè)監(jiān)管，保證每一個(gè)環(huán)節(jié)都適應(yīng)機(jī)房運(yùn)行要求。機(jī)房基礎(chǔ)設(shè)施建設(shè)，如設(shè)備運(yùn)行環(huán)境、安全防護(hù)設(shè)施、電力供配狀況、消防滅火報(bào)警、防盜報(bào)警裝置、防雷接地自動(dòng)監(jiān)視控制處理系統(tǒng)等，一定要在一個(gè)安全運(yùn)行的空間里。

4 主要網(wǎng)絡(luò)設(shè)備的選擇原則

一個(gè)合格的機(jī)房，應(yīng)該是一個(gè)實(shí)用、安全可靠、節(jié)能高效的機(jī)房。根據(jù)已制定的機(jī)房設(shè)計(jì)原則，學(xué)校選擇的網(wǎng)絡(luò)設(shè)備在硬件上，必須保證設(shè)置的計(jì)算機(jī)、網(wǎng)絡(luò)等設(shè)備能長期運(yùn)行；軟件要采用技術(shù)成熟的產(chǎn)品選型，達(dá)到安全、耐用的目的。主要網(wǎng)絡(luò)設(shè)備必須具有以下四個(gè)特點(diǎn)。

質(zhì)量安全、性能可靠 網(wǎng)絡(luò)設(shè)備是整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，是確保校園網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行的物質(zhì)基礎(chǔ)，對(duì)于安全性、穩(wěn)定性和可靠性具有較高的要求。因此，在選擇網(wǎng)絡(luò)設(shè)備的時(shí)候需要嚴(yán)把質(zhì)量關(guān)，優(yōu)先選擇被用戶廣泛認(rèn)可的知名網(wǎng)絡(luò)產(chǎn)品，并按照相關(guān)標(biāo)準(zhǔn)對(duì)相關(guān)設(shè)備進(jìn)行檢測，確保質(zhì)量達(dá)標(biāo)。

技術(shù)上先進(jìn) 機(jī)房所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)該采用時(shí)下較為先進(jìn)的技術(shù)，使主機(jī)系統(tǒng)、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)管理和連接方式具有一定的先進(jìn)性，確保網(wǎng)絡(luò)設(shè)備在未來較長的時(shí)間內(nèi)不會(huì)由于技術(shù)原因而被淘汰。在未來校園機(jī)房升級(jí)改造時(shí)，如果這些網(wǎng)絡(luò)設(shè)備難以滿足負(fù)荷要求，還可以降級(jí)使用，避免資源的浪費(fèi)。

具備優(yōu)良的擴(kuò)展功能 機(jī)房必須具有良好的靈活性與可擴(kuò)展性，具備支持技術(shù)升級(jí)、設(shè)備更新、多種網(wǎng)絡(luò)傳輸、多種物理接口的能力。為了避免不必要的重復(fù)投資，最好能夠根據(jù)需要，做到在網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng)模塊，而不需要更換整個(gè)設(shè)備。

便于管理，維護(hù)方便 機(jī)房的網(wǎng)絡(luò)系統(tǒng)要具有良好的可管理性，為用戶提供友善的管理界面，安裝、使用方便，還需要相配套的科學(xué)合理的管理措施，才可以充分發(fā)揮網(wǎng)絡(luò)設(shè)備的效用。因此，選擇的設(shè)備應(yīng)該可以支持現(xiàn)有的、常用的網(wǎng)絡(luò)管理協(xié)議和多種網(wǎng)絡(luò)管理軟件，還要便于進(jìn)行故障定位和檢修，便于管理人員的維護(hù)。

5 網(wǎng)絡(luò)教學(xué)系統(tǒng)的多樣化功能

機(jī)房建設(shè)的設(shè)計(jì)，應(yīng)充分考慮學(xué)?，F(xiàn)有教學(xué)設(shè)備的實(shí)際情況，采用的先進(jìn)技術(shù)應(yīng)盡可能覆蓋這些設(shè)備設(shè)施，網(wǎng)絡(luò)要做到全覆蓋，包括所有的辦公室、教室、多功能視聽網(wǎng)絡(luò)教室以及師生宿舍等，實(shí)現(xiàn)合理分配教學(xué)資源，學(xué)校管理工作和教學(xué)活動(dòng)的全方位信息化，為學(xué)校信息化教學(xué)發(fā)展提供有力支持，實(shí)現(xiàn)多媒體互動(dòng)教室、計(jì)算機(jī)網(wǎng)絡(luò)教室、多功能演播廳、視訊點(diǎn)播電子閱覽室、電子備課室、信息中心等設(shè)施及設(shè)備的教學(xué)應(yīng)用。

完善、運(yùn)行良好的中學(xué)機(jī)房最終應(yīng)能實(shí)現(xiàn)教師機(jī)與學(xué)生機(jī)之間的多媒體教學(xué)功能，滿足教師和學(xué)生平時(shí)上課所需；運(yùn)行常用軟件如Office、平面設(shè)計(jì)、網(wǎng)頁制作、動(dòng)畫設(shè)計(jì)軟件和程序設(shè)計(jì)軟件、數(shù)據(jù)庫軟件等。學(xué)生可以在機(jī)房利用計(jì)算機(jī)做一些和課程有關(guān)的模擬實(shí)驗(yàn)，以鍛煉自己的想象力和實(shí)際動(dòng)手能力，還可以擴(kuò)充學(xué)習(xí)課外知識(shí)，如網(wǎng)絡(luò)在線培訓(xùn)、課件制作、多媒體制作、互聯(lián)網(wǎng)、計(jì)算機(jī)語言等。

第4篇：校園網(wǎng)設(shè)計(jì)方案范文

【關(guān)鍵詞】校園網(wǎng)；數(shù)據(jù)整合；中間件整合技術(shù)

1.引言

伴隨著網(wǎng)絡(luò)的迅猛發(fā)展，信息技術(shù)得到了前所未有的發(fā)展和應(yīng)用，在信息技術(shù)發(fā)展中，開發(fā)者和使用者逐步認(rèn)識(shí)到，數(shù)據(jù)是信息技術(shù)中的應(yīng)用核心，沒有數(shù)據(jù)的系統(tǒng)，是沒有任何意義的硬件和軟件的疊加如同沒有生命的軀體，只有加上了數(shù)據(jù)在上面流通，如軀體有了血液，才有實(shí)際意義。同時(shí)為了保證系統(tǒng)的未定性和可用性，數(shù)據(jù)就需要有完整性、準(zhǔn)確性、安全性、完整性等。

校園信息化從上世紀(jì)90年代開始快速發(fā)展，由于早期對(duì)數(shù)據(jù)預(yù)期不足，開發(fā)人員個(gè)體差異等各種原因，數(shù)據(jù)重復(fù)，凌亂、冗余、關(guān)聯(lián)性不夠等相關(guān)問題接踵而至。就長江職業(yè)技術(shù)學(xué)院來說，經(jīng)過多年的信息化建設(shè)，學(xué)院在不同階段因?yàn)椴煌瑯I(yè)務(wù)的需求，搭建了大量不同業(yè)務(wù)的系統(tǒng)，伴隨著系統(tǒng)也產(chǎn)生了大量的數(shù)據(jù)，在開發(fā)過程宏由于技術(shù)、需求的原因，從單個(gè)軟件系統(tǒng)的應(yīng)用的角度看，這些數(shù)據(jù)均具有較高的完整性、準(zhǔn)確性、安全性、一致性、可用性都不成問題，但整個(gè)學(xué)院的校園網(wǎng)絡(luò)來看，對(duì)于不同的領(lǐng)導(dǎo)、部門、科室，多個(gè)業(yè)務(wù)系統(tǒng)數(shù)據(jù)存在交叉，數(shù)據(jù)存在著種類多、關(guān)聯(lián)性差、無同步性。整體表現(xiàn)為缺少統(tǒng)一規(guī)劃和集中管理，標(biāo)準(zhǔn)化不高，大量無效冗余等問題。相關(guān)數(shù)據(jù)只為單個(gè)系統(tǒng)提供服務(wù)，無法實(shí)現(xiàn)全局同步、共享等，數(shù)據(jù)孤島現(xiàn)象明顯，由此產(chǎn)生形式上的數(shù)據(jù)冗余。因此如何從全局角度出發(fā)，對(duì)數(shù)據(jù)的完整性、準(zhǔn)確性、安全性、一致性可用性，進(jìn)行處理成了大量企事業(yè)單位面臨的一大困難，數(shù)據(jù)集成的必要性和迫切性就不言而喻，不斷被推至信息發(fā)展的首要位置。

2.數(shù)據(jù)現(xiàn)狀

經(jīng)過學(xué)院多年的信息化發(fā)展，目前學(xué)院已開始使用，不包括正在開發(fā)的各種業(yè)務(wù)系統(tǒng)有20個(gè)，開發(fā)系統(tǒng)大部分屬于不同的開發(fā)人員、開發(fā)階段和不同的業(yè)務(wù)要求，每個(gè)應(yīng)用系統(tǒng)均自己的數(shù)據(jù)庫。

這些系統(tǒng)都是學(xué)院在不同的階段為解決不同的業(yè)務(wù)需求而建設(shè)的，各系統(tǒng)之間沒有考慮關(guān)聯(lián)，產(chǎn)生的數(shù)據(jù)相互之間也沒有關(guān)聯(lián)。這造成了目前多頭存放的數(shù)據(jù)之間存在著無效冗余。

數(shù)據(jù)系統(tǒng)主要存在以下問題：

（1）數(shù)據(jù)共享差

隨著學(xué)院的發(fā)展，不同時(shí)期產(chǎn)生的系統(tǒng)種類繁，學(xué)院各部門、科室相互溝通較少，大多數(shù)系統(tǒng)基本上是針對(duì)學(xué)院某一單一管理業(yè)務(wù)，累積的數(shù)據(jù)也僅限于部門或科室內(nèi)部使用，系統(tǒng)之間即使相同的數(shù)據(jù)也無法進(jìn)行有效關(guān)聯(lián)與更新，缺乏信息的充分融合，不能實(shí)現(xiàn)信息互動(dòng)，在實(shí)際使用中如：查詢學(xué)生是否滿足畢業(yè)條件都需查詢兩個(gè)系統(tǒng)以上可以得出結(jié)論；

（2）數(shù)據(jù)缺乏規(guī)劃

不同時(shí)期不同人員不同軟件開發(fā)的數(shù)據(jù)庫種類多、雜。學(xué)院數(shù)據(jù)但缺少統(tǒng)一規(guī)劃和集中管理，相關(guān)數(shù)據(jù)時(shí)效性不強(qiáng)，標(biāo)準(zhǔn)化不高，并有大量無效冗余，大量的學(xué)生及教師數(shù)據(jù)庫無法在全局內(nèi)共享服務(wù)，操作人員需多處修改數(shù)據(jù)，數(shù)據(jù)孤島現(xiàn)象明顯；

（3）數(shù)據(jù)可用性低

在眾多系統(tǒng)中，同一人員進(jìn)入學(xué)院的不同應(yīng)用系統(tǒng)需不同的密碼和身份標(biāo)示，應(yīng)用無法有效的統(tǒng)計(jì)分析現(xiàn)有數(shù)據(jù)，提供決策支持信息。

3.數(shù)據(jù)整合

由于數(shù)據(jù)資源不能夠很好地共享，從而不能滿足各單位對(duì)信息資源整體開發(fā)利用的需求，因此需要對(duì)數(shù)據(jù)進(jìn)行必要的整合。目前在數(shù)據(jù)整合領(lǐng)域，通常采用聯(lián)邦數(shù)據(jù)庫技術(shù)、數(shù)據(jù)倉庫、中間件技術(shù)等方法來構(gòu)造集成的系統(tǒng)，這三種方法在不同的著重點(diǎn)和應(yīng)用上解決數(shù)據(jù)問題。

聯(lián)邦數(shù)據(jù)庫是由Hammer和MvLeod于1979首先提出，在1985年進(jìn)行了完善，在聯(lián)邦數(shù)據(jù)庫中數(shù)據(jù)源相互獨(dú)立，為了實(shí)現(xiàn)整合，將各個(gè)不同數(shù)據(jù)源之間用于交換的數(shù)據(jù)格式進(jìn)行一一映射，提供訪問結(jié)構(gòu)，分享數(shù)據(jù)，其有點(diǎn)事，整合的數(shù)據(jù)源保留在原有的存儲(chǔ)文職，減少了一定資源的浪費(fèi)，缺點(diǎn)是擴(kuò)展性差、查詢反饋較慢，由于其是基礎(chǔ)IBM的DB2數(shù)據(jù)庫系統(tǒng)，對(duì)于不用數(shù)據(jù)庫資源整合極大不利。

數(shù)據(jù)倉庫就是一種信息集合，要將處理后的數(shù)據(jù)資源存儲(chǔ)在相同的物理問題，使用戶訪問的復(fù)雜度得到簡化，提高訪問速度。缺點(diǎn)是功能邏輯復(fù)雜，開發(fā)成本較高系統(tǒng)運(yùn)行開銷較大。

4.數(shù)據(jù)整合方案-中間件整合技術(shù)

中間件技術(shù)即當(dāng)客戶端需要查詢某些數(shù)據(jù)時(shí)，相關(guān)數(shù)據(jù)或服務(wù)存在于不同的操作系統(tǒng)服務(wù)器上，服務(wù)器應(yīng)用程序長得查詢模塊只需要調(diào)用中間件系統(tǒng)就能夠獲得數(shù)據(jù)或服務(wù)，并將結(jié)果返回給客戶端。其優(yōu)點(diǎn)是可以較好應(yīng)付不同平臺(tái)的數(shù)據(jù)資源整合，使程序的結(jié)構(gòu)層次清晰，降低程序設(shè)計(jì)的復(fù)雜度，同時(shí)又大大節(jié)約成本。

在聯(lián)邦數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)倉庫技術(shù)、中間件技術(shù)三類數(shù)據(jù)整合技術(shù)中，功能和實(shí)現(xiàn)方式上各有所長，校園網(wǎng)絡(luò)發(fā)展多年，在保證大部分系統(tǒng)正常運(yùn)行的情況，采取有效的措施解決信息孤島來實(shí)現(xiàn)校園網(wǎng)絡(luò)信息整合是關(guān)鍵所在，中間件整合技術(shù)在校園數(shù)據(jù)整合中，不但可以降低成本，還可以兼容多個(gè)數(shù)據(jù)平臺(tái)，是實(shí)現(xiàn)校園數(shù)據(jù)整合的關(guān)鍵所在首先重新設(shè)計(jì)數(shù)據(jù)庫開發(fā)周期長，花費(fèi)高是不可取的。

開發(fā)中在不改變?cè)袘?yīng)用系統(tǒng)的前提下，每個(gè)系統(tǒng)獨(dú)立運(yùn)行，對(duì)局部進(jìn)行變動(dòng)使用中間件技術(shù)，使得各應(yīng)用系統(tǒng)可以通過這個(gè)中間件相互訪問，查詢各自信息資源，實(shí)現(xiàn)資源共享和信息傳輸，同時(shí)保證數(shù)據(jù)的一致性和完整度。其次統(tǒng)一開發(fā)結(jié)構(gòu)和數(shù)據(jù)庫建設(shè)方案對(duì)后續(xù)開發(fā)的系統(tǒng)學(xué)校統(tǒng)一開發(fā)結(jié)構(gòu)，對(duì)個(gè)數(shù)據(jù)元素按照用途劃分類別，按業(yè)務(wù)環(huán)節(jié)和流程劃分?jǐn)?shù)據(jù)類、數(shù)據(jù)子類、數(shù)據(jù)項(xiàng)，并進(jìn)行標(biāo)準(zhǔn)化統(tǒng)一編號(hào)。規(guī)劃設(shè)計(jì)完成后，起實(shí)施可分為轉(zhuǎn)換和統(tǒng)一兩個(gè)階段，逐步實(shí)施。

對(duì)象關(guān)系映射（Object Relation Mapping，簡稱ORM），面向?qū)ο蟮拈_發(fā)方法是當(dāng)前商業(yè)開發(fā)應(yīng)用軟件的主流開發(fā)，其注重利用元數(shù)據(jù)將數(shù)據(jù)在對(duì)象數(shù)據(jù)庫表格之間來回映射，從而確保訪問代碼不直接侵入域或?qū)ο?，ORM系統(tǒng)一般是以中間件的形式存在，主要實(shí)現(xiàn)程序?qū)ο蟮疥P(guān)系數(shù)據(jù)庫數(shù)據(jù)的映射。就好比是程序中業(yè)務(wù)實(shí)體對(duì)象魚數(shù)據(jù)庫中關(guān)系數(shù)據(jù)之間的紐帶，主要作用是管理處于持久化狀態(tài)的域?qū)ο?，提供通用?shù)據(jù)訪問方法，優(yōu)化數(shù)據(jù)訪問性能，極大簡化和優(yōu)化了發(fā)雜的數(shù)據(jù)持久化問題，數(shù)據(jù)庫操作對(duì)業(yè)務(wù)邏輯編程透明，可以使編程人員更專注開發(fā)業(yè)務(wù)邏輯功能，提高了開發(fā)效率。

我們?cè)谛@數(shù)據(jù)整合中采用目前最為廣泛使用的 Hibernate作為中間整合件，它是使用最為廣泛的開源框架，它成功第實(shí)現(xiàn)透明持久化，一面向?qū)ο蟮腍QL封裝SQL，提供了一個(gè)簡單靈活且面向?qū)ο蟮臄?shù)據(jù)訪問接口。對(duì)象持久化就是把數(shù)據(jù)同步保存到數(shù)據(jù)庫或某些存儲(chǔ)設(shè)備中。在傳統(tǒng)的三層結(jié)構(gòu)中業(yè)務(wù)邏輯層要負(fù)責(zé)業(yè)務(wù)邏輯和訪問數(shù)據(jù)庫， 對(duì)于純面向?qū)ο笳Z言來說，三層結(jié)構(gòu)沒有達(dá)到MVC 框架所要求的目標(biāo)，因而演變出四層結(jié)構(gòu)，在四層結(jié)構(gòu)中實(shí)現(xiàn)了邏輯層和對(duì)象持久化層的分離。目前大多數(shù)校園網(wǎng)的業(yè)務(wù)系統(tǒng)都是獨(dú)立的，特別在持久化層，經(jīng)過整合之后可以把所有系統(tǒng)數(shù)據(jù)層抽象為一個(gè)整體，由Hibernate 框架完成，結(jié)構(gòu)如圖1所示。同時(shí)當(dāng)我們只對(duì)數(shù)據(jù)庫MySQL 和SQL2000有需求時(shí)，這樣數(shù)據(jù)庫就可以保持不變，學(xué)生處或者教務(wù)處的系統(tǒng)進(jìn)行代碼修改就可以了由于Hibernate對(duì)SQL 語句的封裝，對(duì)于這樣的改進(jìn)是很容易的實(shí)現(xiàn)的，大大簡化了開發(fā)難度。在這種結(jié)構(gòu)下可以采用XML 文件的方式來配置異構(gòu)數(shù)據(jù)庫。

第5篇：校園網(wǎng)設(shè)計(jì)方案范文

關(guān)鍵詞：校園網(wǎng)；WLAN；無線局域網(wǎng)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TN925.93

校園網(wǎng)不僅為在校師生對(duì)網(wǎng)絡(luò)大量資源的訪問和獲取提供了方便，更成為現(xiàn)今學(xué)校教育中的一項(xiàng)重要的基礎(chǔ)設(shè)施，為學(xué)校教育發(fā)揮著重要的作用。隨著無線網(wǎng)絡(luò)技術(shù)的普及，在有線校園網(wǎng)的基礎(chǔ)上構(gòu)建WLAN局域網(wǎng)絡(luò)成為現(xiàn)今校園網(wǎng)絡(luò)發(fā)展的主方向。無線網(wǎng)絡(luò)的建設(shè)，有效了彌補(bǔ)了有線局域網(wǎng)存在的不足，同時(shí)也使多人同時(shí)上網(wǎng)的問題得以良好的解決。

1 無線局域網(wǎng)的原理

無線局域網(wǎng)，即WLAN，在我國發(fā)展已經(jīng)有較長一段時(shí)間，技術(shù)相對(duì)來說是比較成熟的，其原理是通過無線通信技術(shù)使多個(gè)計(jì)算機(jī)設(shè)備互聯(lián)，形成具有能夠資源共享和互相通信能力的網(wǎng)絡(luò)體系。用戶可以采用計(jì)算機(jī)終端、掌上電腦、智能手機(jī)等多種終端設(shè)備在無線條件下對(duì)互聯(lián)網(wǎng)快速的接入并訪問。WLAN所采用的傳輸方式為紅外線傳輸或者射頻傳輸，其中射頻傳輸因其覆蓋范圍廣、有較大的帶寬且作用距離長等優(yōu)勢使用最為廣泛。WLAN在空氣中利用電磁波進(jìn)行數(shù)據(jù)的接收和傳送，在室內(nèi)和室外都可實(shí)現(xiàn)數(shù)據(jù)傳輸，即使兩地相距幾十千米，如果采用無線橋接的模式依然可以實(shí)現(xiàn)數(shù)據(jù)的接收和發(fā)送。WLAN采用的協(xié)議標(biāo)準(zhǔn)目前應(yīng)用最廣的是IEEE802.11系列，其中應(yīng)用最普遍的是IEEE802.11b，其所采用的頻段為2.4GHz。IEEE802.11a采用的頻段是5GHz，其速率較高，最高可達(dá)到54Mbps，但是因其投入成本較高且覆蓋范圍較小，多在中繼鏈路中采用。IEEE802.11g，能夠適應(yīng)以上兩種標(biāo)準(zhǔn)，既可以在2.4GHz的頻段工作，又可以提供54Mbps的速率，逐漸發(fā)展成校園和企業(yè)無線局域網(wǎng)絡(luò)的主流標(biāo)準(zhǔn)。

2 基于校園網(wǎng)的WLAN的建設(shè)原則

校園無線網(wǎng)路的建設(shè)不同于社會(huì)其它企業(yè)和單位的使用需求，因?yàn)樾@網(wǎng)絡(luò)教育功能的主要特點(diǎn)，在校園WLAN的建設(shè)上要全面充分的考慮到校園教育的需要，最大限度的滿足校園網(wǎng)各方面的需要：（1）可靠性。必須保證系統(tǒng)運(yùn)行的穩(wěn)定可靠，對(duì)于關(guān)鍵的網(wǎng)絡(luò)設(shè)備的運(yùn)行要有足夠的冗余；（2）先進(jìn)性。校園WLAN的建設(shè)要采用現(xiàn)今成熟和先進(jìn)的信息和網(wǎng)絡(luò)技術(shù)，充分考慮到日后技術(shù)發(fā)展的方向和業(yè)務(wù)的需要，盡可能的適應(yīng)未來發(fā)展的需要；（3）可兼容性和可擴(kuò)展性。在建設(shè)校園網(wǎng)WLAN時(shí)，要爭取做到結(jié)構(gòu)清晰，并具有良好的擴(kuò)展能力，配置的硬件具有良好的可靠性，界面友好易操作；（4）安全性。對(duì)于任何一個(gè)網(wǎng)絡(luò)系統(tǒng)，安全性都是非常重要也是管理最為薄弱的環(huán)節(jié)。采用有效的安全性保障手段是非常必要的，這直接關(guān)系著網(wǎng)絡(luò)整體運(yùn)行的穩(wěn)定性和持續(xù)性。

3 基于校園網(wǎng)的WLAN建設(shè)方案

3.1 WLAN的組網(wǎng)。本文提出的基于校園網(wǎng)的WLAN的建設(shè)方案，采用蜂窩狀的信號(hào)對(duì)校內(nèi)的熱點(diǎn)區(qū)域加以覆蓋，從而實(shí)現(xiàn)校園內(nèi)的無線網(wǎng)路信號(hào)的全面的無縫的覆蓋。在校園每個(gè)熱點(diǎn)區(qū)域AP通過交換機(jī)在獨(dú)立的VLAN中進(jìn)行劃分，此VLAN為了將校園網(wǎng)和沒有經(jīng)過認(rèn)證的用戶之間做以安全隔離，在中心不進(jìn)行三層交換。針對(duì)校園無線局域網(wǎng)用戶多，范圍廣的特征，要求必須嚴(yán)密的安全認(rèn)證和優(yōu)質(zhì)的網(wǎng)絡(luò)性能。但是為了保證網(wǎng)絡(luò)保持良好的性能，不能在一個(gè)VLAN內(nèi)江整個(gè)無線網(wǎng)路劃入進(jìn)去。因此，在校園網(wǎng)的WLAN建設(shè)方面，本文提出的方案采用將網(wǎng)絡(luò)覆蓋區(qū)域加以劃分，按照區(qū)域和用戶數(shù)進(jìn)行子網(wǎng)的劃分，每個(gè)子網(wǎng)都有一立的無線網(wǎng)路控制器進(jìn)行管轄控制，從而實(shí)現(xiàn)用戶分流，減少網(wǎng)絡(luò)運(yùn)行的壓力。

3.2 網(wǎng)絡(luò)架構(gòu)。本文提出的基于校園網(wǎng)的WLAN建設(shè)方案采用三層網(wǎng)絡(luò)架構(gòu)：第一層為管理層。此層主要負(fù)責(zé)認(rèn)證、計(jì)費(fèi)、管理等任務(wù)，管理層由兩臺(tái)主要服務(wù)器組成，接入服務(wù)器是運(yùn)營商對(duì)接的接口，還對(duì)下一層用戶發(fā)來的認(rèn)證請(qǐng)求進(jìn)行處理，根據(jù)認(rèn)證類型轉(zhuǎn)發(fā)請(qǐng)求到服務(wù)器本地接入，再對(duì)用戶賬號(hào)進(jìn)行判別，并將結(jié)果向底層的無線網(wǎng)絡(luò)控制器進(jìn)行反饋。管理層是核心層，管理層運(yùn)行是否穩(wěn)定，直接關(guān)系整個(gè)無線網(wǎng)的運(yùn)行，鑒于此，管理層需要保持一定的冗余，接入主、備兩臺(tái)服務(wù)器。第二層為控制曾，有多臺(tái)無線網(wǎng)絡(luò)控制器組成，每臺(tái)控制器對(duì)各自的子網(wǎng)的無線用戶進(jìn)行單獨(dú)的控制，對(duì)認(rèn)證請(qǐng)求進(jìn)行接收并向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)，同時(shí)還為上一層采集用戶計(jì)費(fèi)信息。第三層接入層，由若干個(gè)AP組成，負(fù)責(zé)接入各種終端設(shè)備。

3.3 安全網(wǎng)絡(luò)認(rèn)證。WLAN用戶的安全認(rèn)證、數(shù)據(jù)加密比有線網(wǎng)絡(luò)更加嚴(yán)密，要求更高。本文提出的WLAN建設(shè)方案，采用利用無線網(wǎng)絡(luò)控制器，提出基于WPA2認(rèn)證和和WEB+DHCP認(rèn)證的用戶安全認(rèn)證的方案。無線網(wǎng)絡(luò)控制器采用WPA2認(rèn)證，與WPA后向兼容，但是WPA2對(duì)更高級(jí)的算法支持，對(duì)無線網(wǎng)的安全問題更有效的解決，安全保護(hù)更優(yōu)。為了使用戶用起來更便捷，操作更簡單，提出一種WEB+DHCP認(rèn)證方法，此種認(rèn)證方法不需要安裝軟件，只要將瀏覽器打開即有認(rèn)證界面彈出，只需輸入賬號(hào)名和密碼即可。

3.4 網(wǎng)絡(luò)管理。本方案采用了網(wǎng)管系統(tǒng)WNMS，采用標(biāo)準(zhǔn)協(xié)議SNMP進(jìn)行網(wǎng)絡(luò)設(shè)備的配置、管理和數(shù)據(jù)采集，而且利用WNMS對(duì)設(shè)備參數(shù)進(jìn)行管理和故障診斷。同時(shí)WNMS還可以對(duì)無線網(wǎng)絡(luò)控制器、AP和相關(guān)設(shè)備的關(guān)系清晰、直觀的反映出來。由于無線AP孤立地分布在比較分散的位置，因此在一個(gè)完整的WLAN解決方案中，WNMS系統(tǒng)將成為保障無線網(wǎng)絡(luò)穩(wěn)定運(yùn)行中占據(jù)十分重要的地位。

4 結(jié)束語

校園WLAN是在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)結(jié)合先進(jìn)的無線通信技術(shù)基礎(chǔ)之上衍生出來的，是現(xiàn)今校園計(jì)算機(jī)有線網(wǎng)絡(luò)順應(yīng)時(shí)展需要建立起來的一種新的傳輸方式，并為在校師生通信的移動(dòng)化、個(gè)人化和多媒體應(yīng)用提供了潛在的手段，發(fā)展前景。

參考文獻(xiàn)：

[1]王崗.WLAN的安全發(fā)展及解決方案[J].中國數(shù)據(jù)通信，2012（02）：34-35.

第6篇：校園網(wǎng)設(shè)計(jì)方案范文

【關(guān)鍵詞】校園網(wǎng) 建設(shè) 網(wǎng)絡(luò)安全

【中圖分類號(hào)】G647 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1674-4810（2013）18-0039-01

一 校園網(wǎng)的功能

校園網(wǎng)內(nèi)部通過電纜或光纜連接服務(wù)器、工作站及各種通信設(shè)備，對(duì)外通過DDN專線或其他通信線路連通Internet。學(xué)校可通過校園網(wǎng)查詢并統(tǒng)計(jì)包括學(xué)生學(xué)籍資料及學(xué)習(xí)成績、教師檔案及業(yè)務(wù)情況、學(xué)校財(cái)務(wù)數(shù)據(jù)報(bào)表等在內(nèi)的各類資料；通過學(xué)校主頁進(jìn)行各類信息；通過電子郵件系統(tǒng)收發(fā)各類通知及教學(xué)資料等。教師可通過電子備課系統(tǒng)、計(jì)算機(jī)輔助教學(xué)系統(tǒng)等開展高質(zhì)量、高效率的教學(xué)工作；可通過國際互聯(lián)網(wǎng)查詢資料，隨時(shí)了解教科研的最新動(dòng)態(tài)。學(xué)生可通過校園網(wǎng)學(xué)習(xí)、鞏固知識(shí)，還可根據(jù)自己的興趣在網(wǎng)上進(jìn)行科學(xué)探索，撰寫論文。

二 校園網(wǎng)的建設(shè)

為實(shí)現(xiàn)以上功能，學(xué)?？芍贫ㄈ缦聵?gòu)建方案：

1.硬件環(huán)境

第一，主干網(wǎng)絡(luò)技術(shù)的選擇：選用1000M交換式快速以太網(wǎng)。

第二，網(wǎng)絡(luò)集成環(huán)境的組建：（1）校園網(wǎng)絡(luò)控制中心。它是整個(gè)校園網(wǎng)的心臟，配置WWW服務(wù)器、FTP服務(wù)器、郵件服務(wù)器、文件服務(wù)器、Internet服務(wù)器、交換機(jī)（神州數(shù)碼5600）、路由器（神州數(shù)碼2626）配線機(jī)柜、UPS電源等。（2）教師辦公中心。教師可通過校園網(wǎng)查詢資料，了解教科研的最新動(dòng)態(tài)，交流教學(xué)內(nèi)容和方法，實(shí)現(xiàn)資源共享。（3）多媒體網(wǎng)絡(luò)教室。通過交換機(jī)（二層交換機(jī)），將學(xué)生用機(jī)、教師用機(jī)接入校園網(wǎng)，使其都能訪問網(wǎng)絡(luò)控制中心文件服務(wù)器的內(nèi)容，并增加適當(dāng)?shù)亩嗝襟w外部設(shè)備，開展多媒體教學(xué)，提高教學(xué)質(zhì)量。（4）學(xué)生機(jī)房。通過星形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)將所有電腦連接到可堆疊交換機(jī)上，再通過交換機(jī)連接到校園主干網(wǎng)。在機(jī)房內(nèi)完善多媒體教學(xué)平臺(tái)，使之成為一個(gè)既能完成信息技術(shù)學(xué)科教學(xué)，又能進(jìn)行多媒體輔助教學(xué)，還能開展基于Internet的網(wǎng)絡(luò)活動(dòng)的多媒體網(wǎng)絡(luò)活動(dòng)室。（5）學(xué)校各機(jī)構(gòu)辦公室。通過交換機(jī)與校園主干網(wǎng)相連，以實(shí)現(xiàn)學(xué)校信息管理的自動(dòng)化。

2.軟件環(huán)境

第一，服務(wù)器操作系統(tǒng)采用Windows 2000 Server。服務(wù)軟件采用Microsoft ISA。Web服務(wù)系統(tǒng)選用Windows 2000 Server下的IIS信息服務(wù)系統(tǒng)。

第二，教師機(jī)工作站選用Winxp作為操作系統(tǒng)，安裝多媒體課件制作軟件、數(shù)據(jù)庫管理系統(tǒng)、辦公軟件和一些工具軟件等。

第三，院長和管理人員計(jì)算機(jī)選用Winxp操作系統(tǒng)，除安裝辦公軟件外，還可安裝一些相關(guān)的管理軟件（如教師評(píng)價(jià)系統(tǒng)、校園監(jiān)視系統(tǒng)等）。

第四，網(wǎng)絡(luò)機(jī)房學(xué)生機(jī)選用Winxp作為操作系統(tǒng)，并安裝適當(dāng)?shù)慕虒W(xué)軟件。如安裝Internet仿真教學(xué)系統(tǒng)，可以進(jìn)行仿真的Internet學(xué)習(xí)，將機(jī)房轉(zhuǎn)變?yōu)榭梢赃M(jìn)行Internet教學(xué)的教室；在適當(dāng)?shù)臅r(shí)候可直接連入Internet。安裝網(wǎng)絡(luò)考試系統(tǒng)，可通過網(wǎng)絡(luò)考試系統(tǒng)進(jìn)行網(wǎng)絡(luò)考試，實(shí)時(shí)得到考試分?jǐn)?shù)和講評(píng)，使電腦機(jī)房在多學(xué)科的教學(xué)中發(fā)揮作用。

第五，多媒體網(wǎng)絡(luò)教室選用Winxp作為操作系統(tǒng)，并安裝New Class多媒體教學(xué)系統(tǒng)，實(shí)現(xiàn)管理、控制、共享和通訊等功能，進(jìn)行廣播、監(jiān)看/監(jiān)聽、電子舉手、學(xué)生示范、遠(yuǎn)端遙控等多媒體教室的教學(xué)。

三 校園網(wǎng)的安全問題

1.復(fù)雜性

現(xiàn)在大學(xué)校園的教學(xué)逐步走向網(wǎng)絡(luò)化，學(xué)生在線學(xué)習(xí)、娛樂的時(shí)間增加，所以保證校園網(wǎng)的穩(wěn)定及安全至關(guān)重要，還必須提供24小時(shí)正常和高效的網(wǎng)絡(luò)運(yùn)行，因此網(wǎng)絡(luò)維護(hù)利用顯得尤為重要。

2.用戶密集性

在教學(xué)區(qū)、學(xué)生公寓區(qū)、家屬區(qū)等，出現(xiàn)網(wǎng)絡(luò)安全問題時(shí)，蔓延速度快，對(duì)網(wǎng)絡(luò)影響嚴(yán)重。某臺(tái)計(jì)算機(jī)由于各種原因出現(xiàn)故障，反過來又會(huì)影響整個(gè)網(wǎng)絡(luò)。而且大學(xué)生好奇心強(qiáng)、敢于嘗試，不考慮網(wǎng)絡(luò)的運(yùn)行環(huán)境，在網(wǎng)上隨意下載各類資源，不顧及是否有風(fēng)險(xiǎn)，是否會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生破壞和影響。

3.校園網(wǎng)業(yè)務(wù)多，開放性強(qiáng)

校園網(wǎng)是教育教學(xué)及科研的特定場所，是新知識(shí)、新技術(shù)最先應(yīng)用的場所，業(yè)務(wù)項(xiàng)目多，網(wǎng)絡(luò)環(huán)境相對(duì)較寬松。如果哪一部分影響網(wǎng)絡(luò)的運(yùn)行安全，很難簡單采取停止該服務(wù)或關(guān)閉該端口的措施，所以存在較大安全隱患。

第7篇：校園網(wǎng)設(shè)計(jì)方案范文

關(guān)鍵詞:校園網(wǎng)絡(luò)安全;安全防御機(jī)制;蜜罐;蜜網(wǎng)

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)33-9234-03

隨著基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的現(xiàn)代教育手段應(yīng)用的日益廣泛, 各地建設(shè)校園網(wǎng)的熱情空前高漲。校園網(wǎng)的普及對(duì)加快信息處理、合理配置教育資源、充分利用優(yōu)質(zhì)教育資源、提高工作效率、減輕勞動(dòng)強(qiáng)度、實(shí)現(xiàn)資源共享都起到了不可估量的作用,信息安全問題也日益突出。 作為從局域網(wǎng)基礎(chǔ)上發(fā)展起來的校園網(wǎng)也面對(duì)這樣的安全問題。 因此, 解決網(wǎng)絡(luò)安全問題刻不容緩。網(wǎng)絡(luò)與信息安全技術(shù)的核心問題是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行有效地防護(hù)。網(wǎng)絡(luò)安全涉及面很廣, 從技術(shù)層面上講主要包括防火墻技術(shù)、入侵檢測技術(shù)、病毒防護(hù)技術(shù)、數(shù)據(jù)加密和認(rèn)證技術(shù)、蜜罐技術(shù)等, 這些安全技術(shù)中, 大多數(shù)技術(shù)都是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)的防護(hù)。而可以采取主動(dòng)的方式的蜜罐技術(shù)就是用特有的特征吸引攻擊者, 同時(shí)對(duì)攻擊者的各種攻擊行為進(jìn)行分析并找到有效的對(duì)付方法。結(jié)合蜜罐構(gòu)建的網(wǎng)絡(luò)安全防御系統(tǒng), 可使網(wǎng)絡(luò)防御者化被動(dòng)為主動(dòng), 更好地研究入侵者的行為和動(dòng)機(jī), 從而更好地保護(hù)校園網(wǎng)絡(luò)。

1 蜜罐的定義及分類

“蜜罐”的思想最早由Clifford Stoll 于1988 年6 月提出,作者在跟蹤黑客的過程中,利用了一些包含虛假信息的文件作為黑客“誘餌”來檢測入侵。明確提出蜜罐是Lance Spitzner 給出的定義:蜜罐是一種安全資源,其價(jià)值在于被探測、攻擊或者摧毀。蜜罐是一種預(yù)先配置好的系統(tǒng),系統(tǒng)內(nèi)含有各種偽造而且有價(jià)值的文件和信息,用于引誘黑客對(duì)系統(tǒng)進(jìn)行攻擊和入侵。蜜罐系統(tǒng)可以記錄黑客進(jìn)入系統(tǒng)的一切信息,同時(shí)還具有混浠黑客攻擊目標(biāo)的功能,可以用來保護(hù)服務(wù)主機(jī)的正常運(yùn)行。蜜罐系統(tǒng)收集到的信息可以作為跟蹤、研究黑客現(xiàn)有技術(shù)的重要資料,可以用來查找并確定黑客的來源;還可以用來分析黑客攻擊的目標(biāo),對(duì)可能被攻擊的系統(tǒng)提前做好防護(hù)工作。

蜜罐在編寫新的IDS特征庫、發(fā)現(xiàn)系統(tǒng)漏洞、分析分布式拒絕服務(wù)(DDOS)攻擊等方面是很有價(jià)值的。蜜罐本身并不直接增強(qiáng)網(wǎng)絡(luò)的安全性,將蜜罐和現(xiàn)有的安全防衛(wèi)手段如入侵檢測系統(tǒng)(IDS)、防火墻(Firewall)、殺毒軟件等結(jié)合使用,可以有效提高系統(tǒng)安全性。

按照蜜罐實(shí)現(xiàn)時(shí),允許操作系統(tǒng)與入侵者交互的復(fù)雜程度,蜜罐系統(tǒng)可以劃分為低交互級(jí)蜜罐系統(tǒng)、中交互級(jí)蜜罐系統(tǒng)和高交互級(jí)蜜罐系統(tǒng)。

1) 低交互級(jí)蜜罐系統(tǒng):典型的低交互級(jí)蜜罐僅提供一些簡單的虛擬服務(wù),例如在特定的端口監(jiān)聽記錄所有進(jìn)入的數(shù)據(jù)包。這類蜜罐沒有向入侵者提供可以遠(yuǎn)程登錄的真實(shí)操作系統(tǒng),因此風(fēng)險(xiǎn)最低,但是蜜罐所扮演的角色是非常被動(dòng)的,就象一個(gè)單向連接,只有信息從外界流向本機(jī),而沒有回應(yīng)信息發(fā)出,無法捕捉到復(fù)雜協(xié)議下的通訊過程,所能收集到的信息有限。

2) 中交互級(jí)蜜罐系統(tǒng):中交互級(jí)蜜罐系統(tǒng)也不提供真實(shí)的操作系統(tǒng),但是卻為入侵者提供了更多復(fù)雜的誘騙進(jìn)程,模擬了更多更復(fù)雜的特定服務(wù),使攻擊者誤認(rèn)為是一個(gè)真正的操作系統(tǒng),能夠收集更多數(shù)據(jù)。但同時(shí)也增加了蜜罐的風(fēng)險(xiǎn),因此要確保在模擬服務(wù)和漏洞時(shí)不產(chǎn)生新的真實(shí)漏洞,而給黑客攻擊真實(shí)系統(tǒng)的機(jī)會(huì)。

3) 高交互級(jí)蜜罐系統(tǒng):高交互蜜罐提供了真實(shí)的操作系統(tǒng)和服務(wù),可以了解黑客運(yùn)行的全部動(dòng)作,獲得更多有用信息,但遭受攻擊的可能性大,引入了更高風(fēng)險(xiǎn),結(jié)構(gòu)較復(fù)雜。高交互蜜罐系統(tǒng)部署的代價(jià)最高,需要系統(tǒng)管理員的連續(xù)監(jiān)控。不可控制的蜜罐對(duì)任何組織來說沒有任何意義甚至可能成為網(wǎng)絡(luò)中最大的安全隱患。

從具體實(shí)現(xiàn)的角度,可以分為物理蜜罐和虛擬蜜罐。

1) 物理蜜罐:物理蜜罐通常是一臺(tái)或多臺(tái)真實(shí)的在網(wǎng)絡(luò)上存在的主機(jī),這些主機(jī)上運(yùn)行著真實(shí)的操作系統(tǒng),擁有自己的IP 地址,提供真實(shí)的網(wǎng)絡(luò)服務(wù)來吸引攻擊。

2) 虛擬蜜罐:虛擬蜜罐通常用的是虛擬的機(jī)器、虛擬的操作系統(tǒng),它會(huì)響應(yīng)發(fā)送到虛擬蜜罐的網(wǎng)絡(luò)數(shù)據(jù)流,提供模擬的網(wǎng)絡(luò)服務(wù)等。

2 蜜罐的配置模式

1) 誘騙服務(wù)(deception service)

誘騙服務(wù)是指在特定的IP服務(wù)端口幀聽并像應(yīng)用服務(wù)程序那樣對(duì)各種網(wǎng)絡(luò)請(qǐng)求進(jìn)行應(yīng)答的應(yīng)用程序。DTK就是這樣的一個(gè)服務(wù)性產(chǎn)品。DTK吸引攻擊者的詭計(jì)就是可執(zhí)行性,但是它與攻擊者進(jìn)行交互的方式是模仿那些具有可攻擊弱點(diǎn)的系統(tǒng)進(jìn)行的,所以可以產(chǎn)生的應(yīng)答非常有限。在這個(gè)過程中對(duì)所有的行為進(jìn)行記錄,同時(shí)提供較為合理的應(yīng)答,并給闖入系統(tǒng)的攻擊者帶來系統(tǒng)并不安全的錯(cuò)覺。例如,當(dāng)我們將誘騙服務(wù)配置為FTP服務(wù)的模式。當(dāng)攻擊者連接到TCP/21端口的時(shí)候,就會(huì)收到一個(gè)由蜜罐發(fā)出的FTP的標(biāo)識(shí)。如果攻擊者認(rèn)為誘騙服務(wù)就是他要攻擊的FTP,他就會(huì)采用攻擊FTP服務(wù)的方式進(jìn)入系統(tǒng)。這樣,系統(tǒng)管理員便可以記錄攻擊的細(xì)節(jié)。

2) 弱化系統(tǒng)(weakened system)

只要在外部因特網(wǎng)上有一臺(tái)計(jì)算機(jī)運(yùn)行沒有打上補(bǔ)丁的微軟Windows或者Red Hat Linux即行。這樣的特點(diǎn)是攻擊者更加容易進(jìn)入系統(tǒng),系統(tǒng)可以收集有效的攻擊數(shù)據(jù)。因?yàn)楹诳涂赡軙?huì)設(shè)陷阱,以獲取計(jì)算機(jī)的日志和審查功能,需要運(yùn)行其他額外記錄系統(tǒng),實(shí)現(xiàn)對(duì)日志記錄的異地存儲(chǔ)和備份。它的缺點(diǎn)是“高維護(hù)低收益”。因?yàn)?獲取已知的攻擊行為是毫無意義的。

3) 強(qiáng)化系統(tǒng)(hardened system)

強(qiáng)化系統(tǒng)同弱化系統(tǒng)一樣,提供一個(gè)真實(shí)的環(huán)境。不過此時(shí)的系統(tǒng)已經(jīng)武裝成看似足夠安全的。當(dāng)攻擊者闖入時(shí),蜜罐就開始收集信息,它能在最短的時(shí)間內(nèi)收集最多有效數(shù)據(jù)。用這種蜜罐需要系統(tǒng)管理員具有更高的專業(yè)技術(shù)。如果攻擊者具有更高的技術(shù),那么,他很可能取代管理員對(duì)系統(tǒng)的控制,從而對(duì)其它系統(tǒng)進(jìn)行攻擊。

4) 用戶模式服務(wù)器(user mode server)

用戶模式服務(wù)器實(shí)際上是一個(gè)用戶進(jìn)程,它運(yùn)行在主機(jī)上,并且模擬成一個(gè)真實(shí)的服務(wù)器。在真實(shí)主機(jī)中,每個(gè)應(yīng)用程序都當(dāng)作一個(gè)具有獨(dú)立IP地址的操作系統(tǒng)和服務(wù)的特定是實(shí)例。用戶模式服務(wù)器這樣一個(gè)進(jìn)程就嵌套在主機(jī)操作系統(tǒng)的應(yīng)用程序空間中,當(dāng)INTERNET用戶向用戶模式服務(wù)器的IP地址發(fā)送請(qǐng)求,主機(jī)將接受請(qǐng)求并且轉(zhuǎn)發(fā)到用戶模式服務(wù)器上。這種模式的成功與否取決于攻擊者的進(jìn)入程度和受騙程度。它的優(yōu)點(diǎn)體現(xiàn)在系統(tǒng)管理員對(duì)用戶主機(jī)有絕對(duì)的控制權(quán)。即使蜜罐被攻陷,由于用戶模式服務(wù)器是一個(gè)用戶進(jìn)程,那么Administrator只要關(guān)閉該進(jìn)程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺(tái)服務(wù)器上。當(dāng)然,其局限性是不適用于所有的操作系統(tǒng)。

3 蜜罐Honeypot 的在校園網(wǎng)中的實(shí)現(xiàn)

本人首先研究了宜興技師學(xué)院的網(wǎng)絡(luò)環(huán)境和面臨的安全威脅,分析了校園網(wǎng)的特殊性及校園網(wǎng)的安全需求, 根據(jù)校園網(wǎng)的需求和特點(diǎn), 再結(jié)合宜興技師學(xué)院網(wǎng)絡(luò)的硬件設(shè)施和學(xué)院的具體情況, 提出了我院的網(wǎng)絡(luò)安全解決方案,構(gòu)建了本院的蜜罐系統(tǒng),取名為:HoneypotMe。我們?cè)O(shè)計(jì)該蜜罐系統(tǒng)的目的是為了研究和驗(yàn)證蜜罐在校園網(wǎng)安全領(lǐng)域所起的作用,通過實(shí)踐加深對(duì)蜜罐思想的理解,并進(jìn)一步在實(shí)際環(huán)境中使用它來加強(qiáng)網(wǎng)絡(luò)的安全性。

我們?cè)谛@網(wǎng)中搭建了如下的試驗(yàn)平臺(tái), HoneypotMe 的系統(tǒng)結(jié)構(gòu)及虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1 所示。HoneypotMe 是由虛擬網(wǎng)絡(luò)、虛擬蜜罐、防火墻、虛擬蜜罐的日志及分析系統(tǒng)、入侵檢測系統(tǒng)及被動(dòng)探測系統(tǒng)幾部分組成的綜合系統(tǒng)。

這里的虛擬蜜罐系統(tǒng)建立的是一個(gè)虛擬的網(wǎng)絡(luò)和主機(jī)環(huán)境。它通過模擬操作系統(tǒng)的TCP/IP 棧來建立蜜罐,可模擬各種不同的操作系統(tǒng)及設(shè)備,如Linux,Windows 2000,Windows NT,Cisco Switch等。它采用的方式是使用與Nmap 或Xprobe 相同的指紋(fingerprint)數(shù)據(jù)庫來模擬操作系統(tǒng),以響應(yīng)針對(duì)虛擬蜜罐的網(wǎng)絡(luò)請(qǐng)求,這樣可以愚弄像Xprobe 或Nmap 這樣的TCP/IP 棧指紋識(shí)別工具。另一方面,這個(gè)系統(tǒng)也可以模擬虛擬網(wǎng)絡(luò)拓?fù)?在模擬的網(wǎng)絡(luò)配置中包含路由器,并且包含路由器的連接特性,比如反應(yīng)時(shí)間、包丟失和帶寬等。這樣可以愚弄traceroute 這類工具,使網(wǎng)絡(luò)流量看起來遵循了所模擬的網(wǎng)絡(luò)拓?fù)?。在我們的系統(tǒng)中,不僅通過棧指紋愚弄和吸引攻擊者以探測攻擊,而且還建立了一些模擬的服務(wù),讓它們來與攻擊者進(jìn)行交互作用。不同的系統(tǒng)平臺(tái)上通過腳本模擬著不同的服務(wù),例如:在模擬的Windows 系統(tǒng)上打開NetBIOS端口,在模擬的 Linux 系統(tǒng)中激活mail 和FTP,而模擬的Cisco 路由器有一個(gè)標(biāo)準(zhǔn)的Telnet 端口,這樣可使建立起來的網(wǎng)絡(luò)環(huán)境看上去更加真實(shí)可信。每個(gè)被模擬的計(jì)算機(jī)系統(tǒng)都有一個(gè)IP 地址與之綁定,這些被綁定的地址是一些未被分配網(wǎng)絡(luò)地址。這樣配置起來的系統(tǒng)靈活多變,與真實(shí)的生產(chǎn)性系統(tǒng)混合在一起,更增加其誘捕和欺騙作用。圖3.9 虛線框中所示就是為實(shí)驗(yàn)環(huán)境設(shè)計(jì)的虛擬蜜罐的網(wǎng)絡(luò)拓?fù)鋱D。Honeyd 是一個(gè)構(gòu)建虛擬蜜罐的軟件,可以利用它實(shí)現(xiàn)我們構(gòu)建虛擬蜜罐的目標(biāo)。另外,作為一個(gè)開放源代碼解決方案,可為開發(fā)利用提供方便,比如,可編寫其它的服務(wù)腳本以擴(kuò)充系統(tǒng)的功能等。為了防止由于攻擊者對(duì)蜜罐系統(tǒng)的破壞,使蜜罐系統(tǒng)癱瘓,可使用防火墻來保護(hù)該蜜罐系統(tǒng)。防火墻被配置成允許任何連接進(jìn)入到幾個(gè)虛擬蜜罐中,但是嚴(yán)格控制到系統(tǒng)本身的訪問,本系統(tǒng)選用IPTables 來保護(hù)宿主OS 的外部IP 地址。收集和分析攻擊者的信息是HoneypotMe 能力的一項(xiàng)重要體現(xiàn)。由于蜜罐沒有生產(chǎn)性的活動(dòng),沒有任何正常流量會(huì)流向它正在監(jiān)視的幾個(gè)IP 地址。這使得分析它捕捉到的信息極其簡單,因此它捕捉到的任何東西很可能是具有敵意的。Honeyd軟件有生成日志的功能,日志全面描述了什么系統(tǒng)什么時(shí)候正在探測什么端口。IDS 能對(duì)已知的攻擊發(fā)出警報(bào),同時(shí)可將所有網(wǎng)絡(luò)流量記錄到一個(gè)文件或數(shù)據(jù)庫中。為了獲得分析數(shù)據(jù)包捕獲的更詳細(xì)的信息,在HoneypotMe 蜜罐系統(tǒng)中安裝和配置了Snort 入侵檢測系統(tǒng)。Snort 收集到的信息一方面記錄到Snort 的日志文件中,另一方面記錄到Mysql 數(shù)據(jù)庫中以便觀察和統(tǒng)計(jì)分析之用。另外,我們打算利用被動(dòng)探測詳細(xì)地分析攻擊者的特征。這就需要捕獲原始數(shù)據(jù)包供被動(dòng)探測工具使用。可利用Snort 入侵檢測系統(tǒng)獲取Tcpdump 這樣的二進(jìn)制日志記錄格式以作為被動(dòng)探測工具的輸入數(shù)據(jù),獲取攻擊者更詳細(xì)的信息以實(shí)現(xiàn)隱蔽探測。

正如我們所看到的,蜜罐系統(tǒng)使用許多獨(dú)立的工具和腳本創(chuàng)建,在其中還包括一些日志文件和數(shù)據(jù)庫供分析之用。開發(fā)圖形用戶界面來配置、管理蜜罐以及集中管理所有信息來源是我們的目標(biāo)。蜜罐收集了許多來自不同來源的信息,將它們存儲(chǔ)到多個(gè)日志文件和數(shù)據(jù)庫中。用GUI 來分析這些文件和使所收集的數(shù)據(jù)相關(guān)聯(lián)是會(huì)有很大的幫助的,這樣的話管理員就不需要記住存儲(chǔ)數(shù)據(jù)的所有文件。另一個(gè)很主要的優(yōu)點(diǎn)是其外觀,在基于web 的GUI 上表示信息比訪問日志文件清晰整潔的多。目前,我們僅實(shí)現(xiàn)了在web 界面上瀏覽Honeyd 日志的功能。

4 實(shí)驗(yàn)過程及結(jié)果分析

為了驗(yàn)證該系統(tǒng),虛擬蜜罐宿主機(jī)被連接到校園網(wǎng)的物理網(wǎng)絡(luò)環(huán)境中,并為其分配一個(gè)真實(shí)的分配給物理計(jì)算機(jī)的IP 地址,在這里我們給其分配的IP 地址為192.168.40.7。所有實(shí)現(xiàn)虛擬蜜罐系統(tǒng)的軟件都將運(yùn)行在Linux9.0 操作系統(tǒng)下。圖3.9 的虛線部分顯示出我們要模擬的虛擬網(wǎng)絡(luò)結(jié)構(gòu)及各個(gè)虛擬蜜罐。從圖中可以看出虛擬蜜罐1(IP 地址為192.168.40.56)、虛擬蜜罐2(IP 地址為192.168.40.57)、虛擬蜜罐3(IP 地址為192.168.40.58)和虛擬蜜罐4(IP 地址為192.168.40.59)與虛擬蜜罐宿主機(jī)處于同一個(gè)網(wǎng)段。從這個(gè)網(wǎng)段通過一個(gè)IP 地址為192.168.40.123 的路由器(路由器1)模擬一個(gè)地址空間為10.0.1.0/24 的網(wǎng)絡(luò),在這個(gè)網(wǎng)段中包括兩個(gè)虛擬蜜罐:虛擬蜜罐5(10.0.1.51)和虛擬蜜罐6(10.0.1.52)。從這個(gè)網(wǎng)段通過一個(gè)IP 地址為10.0.1.100 的路由器(路由器2)又增加了另一個(gè)地址范圍為10.1.0.0/16 的網(wǎng)絡(luò),在此網(wǎng)絡(luò)中分布了兩個(gè)蜜罐虛擬蜜罐7(10.1.0.51)和虛擬蜜罐8(10.1.0.52)。

我們知道虛擬蜜罐系統(tǒng)是一個(gè)完全被配置起來的計(jì)算機(jī)系統(tǒng),它在配置文件中描述每一個(gè)引用。

每個(gè)樣本定義了每個(gè)模擬的操作系統(tǒng)的性能?！疤卣?personality)”這就是操作系統(tǒng)在IP 堆棧層要模擬的東西,可利用Nmap 指紋數(shù)據(jù)庫里相同的描述作為它的OS 類型。在樣本windows 里,特征為“Windows NT 4.0 Server SP5-SP6”,在linux樣本里,它的特征為“Linux 2.4.16 C 2.4.18”。注意,特征并不影響所模擬的服務(wù)的行為,僅僅修改IP 棧的行為。對(duì)于所模擬的服務(wù),必須根據(jù)想要模擬的OS 的類型選擇不同的腳本。換句話說就是,如果特征是Windows,不要綁定一個(gè)模擬的Apache 腳本到HTTP 端口,而是綁定一個(gè)IIS 腳本到HTTP 端口。應(yīng)該說,這些服務(wù)都是入侵者在相應(yīng)的操作系統(tǒng)中希望找到的。在樣本中,你可以為端口規(guī)定明確的行為,也可以定義為一般的行為。兩個(gè)樣本中將TCP 和UDP 的缺省行為定義為reset,因此在一般情況下,對(duì)于TCP 來講將用RST(連接復(fù)位)去響應(yīng)任意的連接企圖,對(duì)于UDP,將用ICMP 端口不可達(dá)去響應(yīng)。對(duì)于定義為open 行為的端口,對(duì)于TCP 將用ACK 響應(yīng),而UDP 將什么也不響應(yīng)。從樣本中可以看出,Windows系統(tǒng)的NetBIOS 端口處于打開狀態(tài);當(dāng)一個(gè)機(jī)器與這個(gè)蜜罐的80 端口連接時(shí),該蜜罐用IIS 仿真程序perl 腳本與客戶機(jī)進(jìn)行交互;另外Linux 系統(tǒng)的mail 和FTP服務(wù)被激活。上面的兩個(gè)樣本分別被綁定在不同的IP 地址上。

5 結(jié)論

總之蜜罐技術(shù)是靈活的,我們可以按照自己的實(shí)現(xiàn)目標(biāo)來構(gòu)建自己的蜜罐系統(tǒng)。在這里我們利用虛擬蜜罐框架來構(gòu)建我們校園網(wǎng)的蜜罐,以實(shí)現(xiàn)蜜罐的欺騙和誘騙功能。為了控制黑客的行為,防止黑客對(duì)蜜罐系統(tǒng)的破壞和利用,在蜜罐系統(tǒng)中加入了防火墻,并選用了Linux 2.4 自帶的內(nèi)核包過濾的工具iptables。為了了解黑客的行為,在蜜罐系統(tǒng)中加入了信息收集和統(tǒng)計(jì)分析功能。通過開發(fā)web 接口的日志文件查詢工具,使蜜罐管理員能夠方便快捷地查詢虛擬蜜罐框架收集的日志信息。為了獲得更詳細(xì)的黑客攻擊和掃描信息并及時(shí)得到報(bào)警,使用入侵檢測系統(tǒng)Snort 來滿足我們的需求。最終,為了獲取黑客自身的信息而又不被其發(fā)現(xiàn),我們使用被動(dòng)探測工具p0f 來獲取黑客的操作系統(tǒng)指紋。這是實(shí)現(xiàn)隱蔽探測的一個(gè)很好的思路,即利用蜜罐來引誘攻擊者的掃描和攻擊,然后使用被動(dòng)探測工具探查攻擊者的信息。這也是我們構(gòu)建蜜罐系統(tǒng)的一個(gè)創(chuàng)新點(diǎn)。綜上所述,我們構(gòu)建的蜜罐系統(tǒng)是一個(gè)實(shí)現(xiàn)了欺騙和誘騙、行為控制、入侵檢測、被動(dòng)探測、數(shù)據(jù)分析等功能的綜合性蜜罐系統(tǒng)。

參考文獻(xiàn):

[1] 夏明,趙小敏.基于蜜罐技術(shù)的病毒樣本采集系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2008(10).

第8篇：校園網(wǎng)設(shè)計(jì)方案范文

>> 基于ISA的虛擬校園網(wǎng)構(gòu)建及應(yīng)用 高校校園網(wǎng)建設(shè)與發(fā)展?fàn)顩r的思考 基于WLAN的高校無線校園網(wǎng)的構(gòu)建與探討 構(gòu)建基于校園網(wǎng)的校本培訓(xùn)新模式 構(gòu)建高校校園網(wǎng) 基于VLAN技術(shù)的高校校園網(wǎng)設(shè)計(jì) 基于新型VPN 技術(shù)的高校校園網(wǎng)改造 基于高校校園網(wǎng)的安全與對(duì)策 基于高校校園網(wǎng)的網(wǎng)絡(luò)問卷調(diào)查系統(tǒng)的發(fā)展趨勢 基于校園網(wǎng)的高校數(shù)據(jù)庫發(fā)展與展望 VPN技術(shù)對(duì)于高校校園網(wǎng)發(fā)展的意義 基于Citrix XenApp的高校校園網(wǎng)應(yīng)用虛擬化設(shè)計(jì)及研究 淺談校園網(wǎng)的構(gòu)建 淺談高校校園網(wǎng)的建設(shè) 淺談基于我國高校校園網(wǎng)的電子商務(wù)發(fā)展?jié)摿?校園網(wǎng)的安全及對(duì)策 地方高校校園網(wǎng)安全體系的構(gòu)建與維護(hù) 基于MHN蜜網(wǎng)的校園網(wǎng)防御部署及入侵分析 基于校園網(wǎng)的多媒體大學(xué)英語學(xué)習(xí)平臺(tái)的構(gòu)建 基于流媒體技術(shù)的校園網(wǎng)WebVOD的構(gòu)建 常見問題解答 當(dāng)前所在位置：l

[2] 范文杰.淺談校園局域網(wǎng)方案[J].科技信息，2011.30：253

[3] 吳旭東，柳炳祥.校園網(wǎng)網(wǎng)絡(luò)規(guī)劃的設(shè)計(jì)與實(shí)現(xiàn)[J]，電腦開發(fā)與應(yīng)用，2011.24（11）：64-65

[4] 劉彥會(huì).淺探IPv6過渡技術(shù)在校園網(wǎng)升級(jí)中的應(yīng)用[J].信息與電腦，2011.11：116

第9篇：校園網(wǎng)設(shè)計(jì)方案范文

關(guān)鍵詞：QoS；擁塞管理；流量監(jiān)管

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）34-8131-02

QoS（Quality of service）是網(wǎng)絡(luò)的一種安全機(jī)制，是用來解決網(wǎng)絡(luò)延遲、阻塞等問題的一種技術(shù)。QoS在不增加鏈路帶寬的情況下，通過對(duì)網(wǎng)絡(luò)的監(jiān)測和管理提高網(wǎng)絡(luò)的性能，它是網(wǎng)絡(luò)中管理數(shù)據(jù)流的帶寬、延遲、抖動(dòng)及可靠性等技術(shù)參數(shù)的集合。

造成校園網(wǎng)絡(luò)阻塞的主要原因是沒有合理的分配和管理帶寬的使用，讓部分應(yīng)用服務(wù)長時(shí)間占用大量帶寬資源。如，大量的P2P下載、在線視頻等非關(guān)鍵應(yīng)用服務(wù)占用大量帶寬，而遠(yuǎn)程登錄、HTTP等關(guān)鍵服務(wù)卻得不到保障。校園是P2P、在線視頻應(yīng)用最多的場所之一，如何有效的保障校園內(nèi)的關(guān)鍵服務(wù)，是校園將要面對(duì)的一個(gè)問題。利用QoS對(duì)校園進(jìn)行優(yōu)化管理可很好的解決這個(gè)問題，為不同類型用戶或網(wǎng)絡(luò)應(yīng)用服務(wù)分配不同的帶寬，并對(duì)非正常的帶寬使用進(jìn)行控制，保證網(wǎng)絡(luò)的正常運(yùn)行。

1 QoS的服務(wù)模型

QoS的服務(wù)模型有下面三種：

1） 盡力而為服務(wù)模型（Best-effort）：盡力而為服務(wù)模型其實(shí)沒有QoS，路由器平等對(duì)待所有數(shù)據(jù)包，通過FIFO隊(duì)列來實(shí)現(xiàn)。它適合大多數(shù)網(wǎng)絡(luò)應(yīng)用，如FTp、E-mail等。

2） 集成服務(wù)模型（Int-Serv）：Int-Serv是一個(gè)綜合服務(wù)模型，它使用資源預(yù)留協(xié)議（RVSP）。發(fā)送方在發(fā)送數(shù)據(jù)包前，需要向網(wǎng)絡(luò)申請(qǐng)?zhí)囟ǖ姆?wù)，源站到目的站和路徑上的每一個(gè)路由器需要預(yù)留足夠的資源，以保證端到端的服務(wù)質(zhì)量要求。

3） 區(qū)分服務(wù)模型（Diff-Serv）：區(qū)分服務(wù)實(shí)現(xiàn)簡單，在路由器中增加區(qū)分服務(wù)功能，利用DS字段的不同數(shù)值可提供不同等級(jí)的服務(wù)質(zhì)量，應(yīng)用程序在發(fā)出數(shù)據(jù)包前，不需要通知網(wǎng)絡(luò)為其預(yù)留資源，網(wǎng)絡(luò)中各個(gè)設(shè)備可獨(dú)立對(duì)待不同類型的數(shù)據(jù)包，即每個(gè)路由器對(duì)不同的數(shù)據(jù)包定義的服務(wù)優(yōu)先級(jí)是可以不相同的，區(qū)分服務(wù)通常使用隊(duì)列、流量控制和流量整形等來實(shí)現(xiàn)區(qū)分服務(wù)功能。

2 QoS數(shù)據(jù)包處理過程

QoS數(shù)據(jù)包處理包含以下幾個(gè)方面

1） 分類：流量分類是將數(shù)據(jù)報(bào)文劃分多個(gè)優(yōu)先級(jí)或多個(gè)服務(wù)類。管理員可以根據(jù)IP數(shù)據(jù)報(bào)的IP優(yōu)先級(jí)或DSCP、802.1Q的CoS、輸入接口、源IP地址、目的IP地址、IP協(xié)議和應(yīng)用程序端口號(hào)等設(shè)置分類策略。

2） 監(jiān)管：通過對(duì)流量規(guī)格的監(jiān)管，來限制流量及其資源使用的流量控制策略。

3） 標(biāo)記：為3層的DSCP或2層的CoS或兩者分配一個(gè)值。

4） 調(diào)度：當(dāng)發(fā)生擁塞時(shí)如何制定一個(gè)資源的調(diào)度策略，以決定報(bào)文的處理順序，對(duì)擁塞管理一般采用隊(duì)列技術(shù)。

5） 擁塞避免：通過監(jiān)視網(wǎng)絡(luò)通信流，使用復(fù)雜的算法丟棄數(shù)據(jù)包使交換機(jī)和路由器避免擁塞。

3 校園網(wǎng)QoS設(shè)計(jì)方案

在校園網(wǎng)中HTTP應(yīng)用大概占用30%帶寬，P2P下載、在線視頻等占用60%以上的帶寬，其它服務(wù)大約占10%的帶寬。P2P下載、在線視頻等占用校園網(wǎng)大部分帶寬，主要應(yīng)用服務(wù)HTTP的帶寬得不到保障。通過QoS對(duì)P2P下載等需要消耗大量資源的應(yīng)用服務(wù)進(jìn)行流量控制，對(duì)主要的應(yīng)用服務(wù)設(shè)置較高的優(yōu)先級(jí)，使其數(shù)據(jù)包能盡快傳遞出去。根據(jù)校園網(wǎng)流量的特點(diǎn)設(shè)計(jì)出相應(yīng)的QoS方案。圖2是一個(gè)校園網(wǎng)QoS設(shè)計(jì)方案。

校園網(wǎng)中各層設(shè)置的QoS服務(wù)：

1） 校園網(wǎng)接入層的QoS：在校園網(wǎng)的接入層主要進(jìn)行數(shù)據(jù)分類、數(shù)據(jù)標(biāo)記和流量監(jiān)管。

2） 校園網(wǎng)主干層的QoS：主干網(wǎng)收到的數(shù)據(jù)包在接入層已被分類和標(biāo)記，所在主干層主要的工作是流量監(jiān)控、流量整形、隊(duì)列調(diào)度、擁塞控制和避免。

3） 校園網(wǎng)邊界出口節(jié)點(diǎn)的QoS：邊界出口節(jié)點(diǎn)的主要工作是數(shù)據(jù)分類、數(shù)據(jù)標(biāo)記、流量監(jiān)控、流量整形。

4 QoS實(shí)現(xiàn)方法

由于QoS有太多概念和工具，在設(shè)備上應(yīng)用靈活，涉及知識(shí)面廣，實(shí)現(xiàn)方法多樣化，所以本文只給出QoS部分功能的實(shí)現(xiàn)方法。

1） 分類與標(biāo)記：

如，把Telnet數(shù)據(jù)包DSCP標(biāo)記為AF11，其它數(shù)據(jù)包的IP優(yōu)先級(jí)設(shè)置為1。

5 結(jié)束語

通過配置QoS服務(wù)，對(duì)不同的數(shù)據(jù)流進(jìn)行分類標(biāo)記，限制部分應(yīng)用服務(wù)的帶寬，如BT、在線視頻等，把不同的數(shù)據(jù)流加入不同的優(yōu)先級(jí)的隊(duì)列中，優(yōu)先處理優(yōu)先級(jí)高的數(shù)據(jù)流，如語音通信數(shù)據(jù)流，避免優(yōu)先級(jí)低的數(shù)據(jù)流長期占用鏈路帶寬等，從而使校園網(wǎng)的性能得到了明顯的提高。

參考文獻(xiàn)：

[1] 郭廓.QoS服務(wù)質(zhì)量及流量控制設(shè)備在校園網(wǎng)中的應(yīng)用[J].價(jià)值工程，2010（2）.

[2] 李向來.付合軍.基于銳捷網(wǎng)絡(luò)設(shè)備的QoS技術(shù)在校園網(wǎng)中的應(yīng)用[J].寧波職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013（3）.

[3] 李宏.路由交換設(shè)備QoS應(yīng)用技術(shù)分析[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2012（3）.