第一篇：校園網規劃與設計

廣東交通職業技術學院

校園網設計與規劃

09

姓名： 杰（10號）

旋（8號）

指導老師： 雷

班班級：應用電子技術

前言

校園網絡的規劃設計是一項系統工程，不同的規劃設計方案，可使網絡存在較大的性能差異，它不僅體現在網絡本身具備的技術特性和應用特點上，也體現了不同用戶的各種需求，而校園網的建設必將對我院的信息化建設和教學素質的提高起到強大的推動作用，同時提供簡單、有效、便捷的理想辦公、教學環境。本文通過對本校校園網建設的研究，著重從校園網現狀及須求分析、系統設計原則和實現目標、系統建設方案、VLAN劃分及子網配置等四個方面進行了初步的探討。

21世紀是一個以數字化、網絡化與信息化為核心的信息時代。信息技術的高速發展，使得計算機網絡發展的非常迅速，已經成為信息科學的一個新的分支。隨著計算機網絡的發展，校園網已經成為我院走向信息化時代的必然發展趨勢，使我國教育管理向智能化發展。校園網以信息資源為根本，硬件網絡系統為物質基礎，同時以網絡軟件系統實現系統的管理與使用，是一個具有寬帶通路和交互功能的專業性局域網，應具有教學（科研）、管理和通訊三大功能。我院教師的教學、科研工作和學生的學習生活對一個高速的、資源豐富的和應用多方面的校園網的需求是迫切的。

目錄

一、現狀及需求分析????????????????4

1、計算機網絡系統現狀

2、校園網系統需求分析

3、網絡管理系統設計

二、系統設計原則和實現目標????????????5

1、網絡系統設計原則。

2、系統建設目標。（1）統一規劃，分步實施。（2）采用先進的成熟的技術。

（3）堅持開放性和標準化，統一網絡協議。（4）堅持規范布線，考慮長遠發展。（5）建立完善的網絡管理體系。（6）易于使用和管理。

三、系統建設方案?????????????????7

1、網絡拓撲結構設計。

2、網絡拓撲結構設計圖

四、VLAN劃分及子網配置?????????????9

1、IP地址分配。

2、傳輸及布線設計。

一、現狀及需求分析

1、計算機網絡系統現狀。

我院占地面積較小，校園網的建設不同于其他高等院校的校園網絡，它的結構相對簡單，主要集中在校園主干網和綜合辦公子網、教學子網和宿舍子網的建設方面。

綜合辦公子網，主要用來完成我院的各項管理功能，為校領導和各個部門提供可靠的數據，實現辦公自動化。

教學子網，主要實現多媒體教學，普及計算機網絡基礎知識。宿舍子網，主要提供學生上網查資料、學習網絡知識等。建立網絡管理中心，各應用子網設立分中心；建立功能齊備的網絡管理系統，保證網絡高效可靠地運行，同時提供豐富的網絡應用資源和便利的資源訪問手段。將網絡中心與CERNET相連，并由此進入Internet。校園網逐步為廣大教師、學生、科研人員提供豐富的網絡應用資源，包括電子郵件服務、網絡目錄服務、文件訪問和共享服務、圖書科技情報查詢服務、電子新聞服務、遠程高速信息服務和計算服務、遠程計算機教育、遠程計算機協同工作以及教育和科研管理服務等等。

2、校園網系統需求分析。

我院北校區坐落在交通方便的花都區工業大道兩旁，始建于1959年，占地面積約66000平方米，建筑面積24000平方米，現有專業60個，在校學生約6000名，擁有由教授、副教授、博士（后）、碩士、高級工程師、高級技師、遠洋船長、輪機長等高層次專業人才

組成的是一支團結勤奮，務實進取、干事創業的教師隊伍，是一支年輕化、知識化、專業化的優秀群體，在歷年的綜合評估中，我校2008年成為廣東省首批立項建設的省級示范性高等職業學院等光榮稱號，受到上級領導特別是當地群眾的廣泛好評。

。隨著網絡技術的不斷發展，新興的教學手段在世界各地被廣泛地采用，在中國也被各方所接受認可。網絡為教師、學生帶來了更多的信息、素材，也帶來了新的教學溝通方法。隨著 “校校通”我院網絡工程的推進。構建校園網絡系統已經成為必然的趨勢。

二、系統設計原則和實現目標。

1、網絡系統設計原則。

（1）我院校園網主要為服務于教育、教學，實現我院的信息化教育。所以在校園網設計的初期就要充分考慮到教育教學的需要與實際經濟承受能力的緊密結合，本著高效、適用、實用的原則，有計劃、有重點，分層次，積極穩妥地推進校園網信息化建設。嚴格規范校園網信息化建設及相應的軟件平臺的開發標準，以確保校園網的整體建設規劃和管理要求的一致性，才能真正為我院的教育、教學添磚加瓦。

（2）在建設校園網的時候還要應做到培訓在先、建網建庫同行、重在應用三個關鍵點。切實做好我院教師、技術、管理與行政人員的不同層次的培訓，形成一支能使校園網充分發揮使用效益的應用隊伍、教學軟件開發隊伍和能保證校園網正常持續運行的軟、硬件管理隊伍。只有這樣，才可以使老師積極開發、推廣、使用教育教學軟件，自愿自主的建設校園網信息資源庫，充分發揮校園網在當今教育普及

中的重要作用，是我們的教育信息化建設真正落到實處。（3）對原有資源進行升級改造，要充分利用現有的設備，并充分考慮到原有設備和新建網絡的融合和互通，使資源可以得到充分的利用，實現資源的優化配置和合理應用，這也是對于資金比較困難的我院在建設校園網一種解決途徑。

2、系統建設目標。

在滿足校園網絡需求的基礎上結合當前網絡的發展趨勢及我院的經濟狀況來確定校園網設計：（1）統一規劃，分步實施。

網絡技術快速發展的特點以及我院經濟承受能力決定了很多我院校園網建設無法一步到位，為了使有限的資金能夠發揮最大的作用,避免重復投資造成浪費，網絡設計必須分布實施。

（2）采用先進的成熟的技術。

采用通用的、成熟的技術方案可以降低建設成本、減小設計、施工和使用難度、縮短建設周期。有利于保護投資，并且有利于校園網的維護和升級。

（3）堅持開放性和標準化，統一網絡協議。

校園網的實現要求通訊協議、網絡平臺等應具有世界性的開放性和標準化的特點，并且應采用統一的網絡體系結構。

（4）堅持規范布線，考慮長遠發展。

布線系統使網絡的重要基礎，布線系統的好壞是衡量一個網絡好壞的非常重要的標志。布線系統不合理將降低網絡的可靠性，使網絡

難以管理和維護，所以必須采用標準的綜合布線系統。

（5）建立完善的網絡管理體系。

必須建立健全的規章制度，采用集中統一管理的方法，以便于網絡的維護和管理。

（6）易于使用和管理。

校園網的各種軟件應用項目必須易于使用，對最終用戶的起點要求不能太高，一般以熟練使用操作系統、辦公軟件系統、瀏覽器和電子郵件系統為宜；系統的日常管理和維護工作要方便、簡易。網絡拓撲結構一經配置確定，不應輕易更改。

三、系統建設方案。

1、網絡拓撲結構設計。

（1）網絡的拓撲結構包括物理結構和邏輯規劃兩方面。物理結構容易受到重視，而通訊協議規劃不合理、軟件設置不當是引起網絡故障、降低網絡性能最常見的原因。因此，網絡拓撲結構設計時必須進行物理和邏輯兩方面的規劃，在拓撲結構圖中示明IP地址、子網、網關和路由等邏輯規劃信息。

（2）在設計網絡拓撲結構時，必須當考慮到未來3～5年內我院的發展和布局結構的調整。物理網段布局要充分考慮網絡的成長性。對本地通信負荷大的局域網（如多媒體教室、軟件實現的電子教室等），要采取分段的方法進行隔離。同一網段中的計算機數量要有一定限制。對一個應用較為完善的校園網，必須劃分子網以保障網絡干線負載均衡。要做到即使有客戶機的IP地址與某臺服務器重復，其

他網段甚至該客戶機所在網段的其余工作站仍能正常通信。

（3）從我院的實際情況出發,實現各個部分的智能化操作。網絡采要分為主干網和部門網兩個層次。以放射狀的形式連到宿舍以及機房和教職工宿舍。網絡結構具有先進性、實用性、可靠性，又充分的保證我院的投資在相當時間內具有保值性。同時系統具有可擴充性和可升級性的特點，以方便我院進行網絡擴充和升級改造。

2、網絡拓撲結構設計圖

宿舍網

四、VLAN劃分及子網配置。

1、IP地址分配。根據實際需要劃分

2、傳輸及布線設計。布線系統設計原則：

（1）靈活性：布線系統只通過跳線，而無需對線路，插座做任何改動，便可以在任何一間辦公室，機房，教室，信息點為用戶提供終端，局域網工作站等不同性質的應用。

（2）先進性：用戶對該布線系統不用做任何修改，只需引入新的網絡設備，便可用該布線系統支持更先進的應用。

（3）可靠性：該布線系統應能保證使用壽命與性能可靠，并有一定的冗余接口以備應用增加或不可預期損壞時使用。

（4）標準化：各種設計規范，技術指標及產品均符合國際和國家的各類工業標準，并提供多廠商產品的支持能力。

（5）可擴充性：布線系統具有很長使用壽命，而信息技術的發展又特別快，因此在設計布線系統使，應考慮具有充分的擴展能力。

根據以上原則：網絡中心綜合布線需要采用集中式的網絡配置方案，因為它具有以下的優點：易于管理維護，安全性好，網絡易于調整，擴展性好。

3、網絡管理系統設計

（1）網絡管理的目的在于保證網絡正常、穩定地運行，隨著網絡管理的作用日益上升，網絡管理也擔負了整合網絡資源、協調網絡

運行的重任。網絡管理基本上提供了保障網絡系統正常運行的基本功能，它擔當著網絡的維護重任，負責排除網絡故障等；更重要的是，它在提高網絡性能上的作用日益突出，因為網絡動態性能的提高是通過網管系統來解決的。網管系統是整個網絡工作狀態的名副其實的調度中心。

（2）校園網作為學院日常工作的重要信息化平臺，對教學資源共享、人力資源管理、辦公支持、內部交流、遠程教育、培訓招生、對外合作等幾乎所有的我院業務提供服務，因此，對校園網建設提出了可運營和多業務支持的要求。

總之，建設一個以辦公自動化、計算機輔助教學為核心，以現代網絡技術為依托，技術先進、擴展性強、能覆蓋我院主要樓宇的校園主干網絡，將我院的各種終端設備和局域網連接，并與市教育城域網相連，形成結構合理、內外溝通的校園網絡。在此基礎上建立能滿足教學、教研和管理工作需要的軟硬件環境，開發教育教學資源庫、信息庫，為我院各類人員提供充分的網絡信息服務。校園網的建設必將對我院的信息化建設和教學素質的提高起到強大的推動作用，同時提供簡單、有效、便捷的理想辦公、教學環境。校園網一方面縮短了我院與外界的距離；另一方面，構建了以INTRANET為基礎的科學管理體系，必將推動我院信息化建設的極大發展。

第二篇：校園網設計與規劃

農村中學校園網設計與規劃

2007-9-6 14:50:00

校園網絡的規劃設計是一項系統工程，不同的規劃設計方案，可使網絡存在較大的性能差異，它不僅體現在網絡本身具備的技術特性和應用特點上，也體現了不同用戶的各種需求，而校園網的建設必將對學校的信息化建設和教學素質的提高起到強大的推動作用，同時提供簡單、有效、便捷的理想辦公、教學環境。本文通過對響水縣運河中學校園網建設的研究，著重從校園網現狀及須求分析、系統設計原則和實現目標、系統建設方案、VLAN劃分及子網配置等四個方面進行了初步的探討。

【關鍵字】校園網、現狀、規劃

21世紀是一個以數字化、網絡化與信息化為核心的信息時代。信息技術的高速發展，使得計算機網絡發展的非常迅速，已經成為信息科學的一個新的分支。隨著計算機網絡的發展，校園網已經成為學校走向信息化時代的必然發展趨勢，使我國教育管理向智能化發展。校園網以信息資源為根本，硬件網絡系統為物質基礎，同時以網絡軟件系統實現系統的管理與使用，是一個具有寬帶通路和交互功能的專業性局域網，應具有教學（科研）、管理和通訊三大功能。學校教師的教學、科研工作和學生的學習生活對一個高速的、資源豐富的和應用多方面的校園網的需求是迫切的。

一、現狀及需求分析。

1、計算機網絡系統現狀。

中小學校園網的建設不同于高等院校的校園網絡，它的結構相對簡單，主要集中在校園主干網和綜合辦公子網、教學子網的建設方面。當然一些規模較大的高中也會涉及到圖書館、實驗室等應用子網的建設。

綜合辦公子網，主要用來完成學校的各項管理功能，為校領導和各個部門提供可靠的數據，實現辦公自動化。

教學子網，主要實現多媒體教學，普及計算機網絡基礎知識。

建立網絡管理中心，各應用子網設立分中心；建立功能齊備的網絡管理系統，保證網絡高效可靠地運行，同時提供豐富的網絡應用資源和便利的資源訪問手段。將網絡中心與CERNET相連，并由此進入Internet。校園網逐步為廣大教師、學生、科研人員提供豐富的網絡應用資源，包括電子郵件服務、網絡目錄服務、文件訪問和共享服務、圖書科技情報查詢服務、電子新聞服務、遠程高速信息服務和計算服務、遠程計算機教育、遠程計算機協同工作以及教育和科研管理服務等等。

2、校園網系統需求分析。

響水縣運河中學是響水縣，乃至鹽城市一所歷史悠久的完全中學，學校以優秀的師資力量、良好的教學質量享譽全縣。隨著網絡技術的不斷發展，新興的教學手段在世界各地被廣泛地采用，在中國也被各方所接受認可。網絡為教師、學生帶來了更多的信息、素材，也帶來了新的教學溝通方法。隨著江蘇省“校校通”學校網絡工程的推進。響水縣運河中學作為響水地區的一所非常有影響力的中學，構建校園網絡系統已經成為必然的趨勢。

二、系統設計原則和實現目標。

1、網絡系統設計原則。

（1）中小學校園網主要為服務于教育、教學，實現學校的信息化教育。所以在校園網設計的初期就要充分考慮到教育教學的需要與實際經濟承受能力的緊密結合，本著高效、適用、實用的原則，有計劃、有重點，分層次，積極穩妥地推進校園網信息化建設。嚴格規范校園網信息化建設及相應的軟件平臺的開發標準，以確保校園網的整體建設規劃和管理要求的一致性，才能真正為學校的教育、教學添磚加瓦。

（2）在建設校園網的時候還要應做到培訓在先、建網建庫同行、重在應用三個關鍵點。切實做好學校教師、技術、管理與行政人員的不同層次的培訓，形成一支能使校園網充分發揮使用效益的應用隊伍、教學軟件開發隊伍和能保證校園網正常持續運行的軟、硬件管理隊伍。只有這樣，才可以使老師積極開發、推廣、使用教育教學軟件，自愿自主的建設校園網信息資源庫，充分發揮校園網0在當今教育普及中的重要作用，是我們的教育信息化建設真正落到實處。

（3）對原有資源進行升級改造，要充分利用現有的設備，并充分考慮到原有設備和新建網絡的融合和互通，使資源可以得到充分的利用，實現資源的優化配置和合理應用，這也是對于資金比較困難的學校在建設校園網一種解決途徑。

2、系統建設目標。

在滿足校園網絡需求的基礎上結合當前網絡的發展趨勢及學校的經濟狀況來確定校園網設計：

（1）統一規劃，分步實施。

網絡技術快速發展的特點以及學校經濟承受能力決定了很多學校校園網建設無法一步到位，為了使有限的資金能夠發揮最大的作用,避免重復投資造成浪費，網絡設計必須分布實施。

（2）采用先進的成熟的技術。

采用通用的、成熟的技術方案可以降低建設成本、減小設計、施工和使用難度、縮短建設周期。有利于保護投資，并且有利于校園網的維護和升級。

（3）堅持開放性和標準化，統一網絡協議。

校園網的實現要求通訊協議、網絡平臺等應具有世界性的開放性和標準化的特點，并且應采用統一的網絡體系結構。

（4）堅持規范布線，考慮長遠發展。

布線系統使網絡的重要基礎，布線系統的好壞是衡量一個網絡好壞的非常重要的標志。布線系統不合理將降低網絡的可靠性，使網絡難以管理和維護，所以必須采用標準的綜合布線系統。

（5）建立完善的網絡管理體系。

必須建立健全的規章制度，采用集中統一管理的方法，以便于網絡的維護和管理。

（6）易于使用和管理。

校園網的各種軟件應用項目必須易于使用，對最終用戶的起點要求不能太高，一般以熟練使用操作系統、辦公軟件系統、瀏覽器和電子郵件系統為宜；系統的日常管理和維護工作要方便、簡易。網絡拓撲結構一經配置確定，不應輕易更改。

（7）有良好的分層設計，強調應用和服務。

三、系統建設方案。

1、網絡拓撲結構設計。

（1）網絡的拓撲結構包括物理結構和邏輯規劃兩方面。物理結構容易受到重視，而通訊協議規劃不合理、軟件設置不當是引起網絡故障、降低網絡性能最常見的原因。因此，網絡拓撲結構設計時必須進行物理和邏輯兩方面的規劃，在拓撲結構圖中示明IP地址、子網、網關和路由等邏輯規劃信息。

（2）在設計網絡拓撲結構時，必須當考慮到未來3～5年內學校的發展和布局結構的調整。物理網段布局要充分考慮網絡的成長性。對本地通信負荷大的局域網（如多媒體教室、軟件實現的電子教室等），要采取分段的方法進行隔離。同一網段中的計算機數量要有一定限制。對一個應用較為完善的校園網，必須劃分子網以保障網絡干線負載均衡。要做到即使有客戶機的IP地址與某臺服務器重復，其他網段甚至該客戶機所在網段的其余工作站仍能正常通信。

（3）從學校的實際情況出發,實現各個部分的智能化操作。網絡采要分為主干網和部門網兩個層次。以放射狀的形式連到宿舍以及機房和教職工宿舍。網絡結構具有先進性、實用性、可靠性，又充分的保證學校的投資在相當時間內具有保值性。同時系統具有可擴充性和可升級性的特點，以方便學校進行網絡擴充和升級改造。

2、網絡選型。校園網絡系統可分為校園網絡中心、教學子網、辦公子網、圖書館子網、宿舍子網及后勤子網等。

（1）校園網絡中心的設計

網絡中心設計主要包括主干網絡的設計、校園網與Internet的互連、遠程訪問服務等。

①主干網絡的設計

主干網絡采用聯想新推出的LS－5608G智能型8聯機箱式千兆以太網交換機作為校園網的中心交換機，它提供8個插槽，可選插8聯的10/100Base－TX、2聯的100Base－FX或1聯的千兆以太網模塊。適用于大型主干網絡和高速率、高端口密度、多端口類型的復雜網絡。同時可以選擇MS－5103千兆位以太網模塊(SX/MM/850nm,0－350m)或MS－5104千兆以太網模塊(LX/SM/1310nm,0－6km)與下面的各個子網通過千兆位的鏈路相連。

②校園網與Internet的互連： 采用局域網專線接入方式，此方式需要配備路由器等設備，租用專線DDN或幀中繼（Relay），也可申請ISDN專線并向CERNET管理部門申請IP地址及注冊域名，以專線方式連入Internet，并提供防火墻、計費管理等功能。

本方案選用聯想的LR－2501路由器，具有1個局域網(LAN)，2個廣域網(WAN)和1個控制臺。支持幀中繼(－Relay)、X.25、PPP、HDLC協議。

③遠程訪問服務

采用聯想LA－220和LA－240訪問服務器，安裝在本地局域網中，通過1至4個調制解調器(或ISDTA)和1至4根電話線，即可為遠程訪問人員提供撥號上網服務，遠程用戶只需擁有1個調制解調器和1根電話線，通過撥接LA－220或LA－240上所連接的電話號碼，就可以登錄訪問。

（2）教學子網的設計

校園網建網的目的之一，是利用網絡實現多媒體教學，如：交互式多媒體課堂、電子閱覽室、教師培訓等。多媒體教學的難點在于實現視頻信號的傳送(如VOD視頻點播)。目前在局域網上實時傳送高質量的視頻數據還未成熟，但傳送壓縮后的視頻數據確是可行的。根據教學子網對速度要求較高的特點，可以采用了聯想LS－5625智能型24＋1和10/100M自適應以太網交換機，它提供24個10/100M交換式端口和一個擴展插槽，可選插1個8聯的10/100Base－TX、1個2聯的100Base－FX或1個1聯的千兆以太網模塊。但實際上大量用戶(指超過60個流)的視頻傳輸的瓶頸在于存儲介質的外部傳輸速率，因此可選用多通道的磁盤陣列接多臺主機的方式提高訪問的總線帶寬。

在教學子網的軟件方面，可選用的種類較多，如：聯想傳奇(ParaSago)、電子教室、海航的電子閱覽室、中教的課件制作系統等。

（3）辦公子網的設計

辦公子網主要面向學校的各級領導及各職能部門，能夠實現對網絡數據的查詢、修改、添加、刪除等操作，同時，應該能夠滿足支持視頻傳送的要求。鑒于此，辦公子網采用了聯想LH－262724＋3的10/100M自適應集線器或LH－261312＋1的10/100M自適應集線器，這兩款集線器除具備普通雙速集線器功能外，還專門提供了交換式端口，能夠為連接在該端口上的設備提供獨享的10/100M帶寬，極大地提高數據傳輸速率，解決服務器瓶頸問題。采用聯想LP－1363聯10/100M以太網打印服務器，來完成共享打印功能。該服務器具有3個標準并聯，可同時連接三臺任意標準并聯打印機。

辦公子網對應的軟件有科利華等公司研制開發的辦公軟件等。

（4）圖書館子網的設計

圖書館是一個相對獨立的系統，我們采用聯想LS－301616的10/100M自適應以太網交換機，它提供了優良的每端口性能價格比，并支持基于端口的VLAN劃分。圖書館管理系統的應用軟件產品較多而且相對成熟。

（5）宿舍區子網及后勤子網等的設計

宿舍區子網即在學生宿舍內部連網，用以直接瀏覽學校發布的信息及查閱一些電子文檔資料；后勤子網覆蓋范圍較大，主要用途有食堂IC卡計費系統等。由于宿舍區子網及后勤子網對帶寬的要求并不高，因此我們選用聯想LH－201616的10/100M自適應集線器，提供16個雙速集線器端口，能夠自動適應所接設備的速度(10/100Mbps)，每臺LH－2016背面都有2個堆疊口、利用這兩個堆疊口最多可堆疊6臺集線器，最大可用端口數為96個。

四、VLAN劃分及子網配置。

1、IP地址分配。

2、傳輸及布線設計。

布線系統設計原則：

（1）靈活性：布線系統只通過跳線，而無需對線路，插座做任何改動，便可以在任何一間辦公室，機房，教室，信息點為用戶提供終端，局域網工作站等不同性質的應用。

（2）先進性：用戶對該布線系統不用做任何修改，只需引入新的網絡設備，便可用該布線系統支持更先進的應用。

（3）可靠性：該布線系統應能保證使用壽命與性能可靠，并有一定的冗余接口以備應用增加或不可預期損壞時使用。

（4）標準化：各種設計規范，技術指標及產品均符合國際和國家的各類工業標準，并提供多廠商產品的支持能力。

（5）可擴充性：布線系統具有很長使用壽命，而信息技術的發展又特別快，因此在設計布線系統使，應考慮具有充分的擴展能力。

根據以上原則：網絡中心綜合布線需要采用集中式的網絡配置方案，因為它具有以下的優點：易于管理維護，安全性好，網絡易于調整，擴展性好。

3、網絡管理系統設計

（1）網絡管理的目的在于保證網絡正常、穩定地運行，隨著網絡管理的作用日益上升，網絡管理也擔負了整合網絡資源、協調網絡運行的重任。網絡管理基本上提供了保障網絡系統正常運行的基本功能，它擔當著網絡的維護重任，負責排除網絡故障等；更重要的是，它在提高網絡性能上的作用日益突出，因為網絡動態性能的提高是通過網管系統來解決的。網管系統是整個網絡工作狀態的名副其實的調度中心。

（2）校園網作為學校日常工作的重要信息化平臺，對教學資源共享、人力資源管理、辦公支持、內部交流、遠程教育、培訓招生、對外合作等幾乎所有的學校業務提供服務，因此，對校園網建設提出了可運營和多業務支持的要求。

（3）根據學校的應用特點和各項要求，①在網絡中心，配置了1臺DES-6300機箱式路由交換機。該交換機可以提供最大96個10/100M快速以太網端口或者12個千兆位端口或者組合使用，且包括了1000BASE-SX、1000BASE-LX、GBIC等多種介質端口。方案中，DES-6300的2個帶2端口1000Base-LX的模塊，被用來連接分中心DES-6000以及距離較遠的大禮堂，同時實現與教育信息網的千兆連接；3個2端口1000Base-SX接口模塊分別連接多臺服務器以及其它建筑物；1個16口10/100Base-TX接口模塊連接主樓的辦公區、教室和網管工作站等。因每個模塊都已內置了三層交換功能，所以不需要另配三層交換模塊。另外為了實現電源冗余備份，還需另外配置1個電源模塊DES-6310。

②分中心交換機采用DES-6000可網管機箱式千兆以太網交換機，它通過2口單模千兆模塊DES-6007，與DES-6300之間采用2條1000Base-LX聚合鏈路形成全雙工4Gbps的骨干；通過若干2口多模千兆模塊DES-6006連接各建筑物。如果宿舍樓對帶寬需求不高，也可通過1個12口100Base-FX百兆光纖模塊連接。

③教學樓等辦公區樓宇接入交換機采用千兆通DES-3226S系列可堆疊交換機。接入信息點較少的樓宇采用EDS-2626或DES-3226。依據距離的長短分別采用單模或多模千兆光纖連接DES-6300或DES-6000。

④學生和教工宿舍區的樓宇接入交換機采用EDS-2626，EDS-2626是D-Link專為教育行業設計的交換機，能夠提供24個10/100M接口加1個擴展插槽；EDS-2626的最大特色在于它采用D-Link自主研發的網管協議實現無IP的集群管理，并且支持基于端口的上下行的限速，同時還支持802.1qVLAN、802.1x等多種認證協議，使校園網可以實現安全的用戶隔離和對學生認證管理。

4、設備以及配置的選型

（1）服務器

選用專業的高性能服務器作為網絡服務器，其中有一臺作為主服務器，另一臺作為備份服務器，選用高性能的網絡操作系統如（Unix、Linux、Windows2000Server等）。

（2）路由器

網絡連接的關鍵設備是路由器（Router），無論是Internet接入，異地網絡連接還是大型網絡廣播域的劃分，都離不開路由器，因此，路由器的性能較為重要，選擇Cisco公司和3Com公司的產品，就能體現出極高的性能。

（3）交換機

主服務器是整個網絡的核心部分,是存儲的中心,因此選用可靠性安全性較好的100兆路由交換機,而二級的網絡設備由一般的交換機，但交換機應選用性能穩定的交換機。

（4）連接介質

連接介質的選擇分兩部分，第一部分為各交換機（switch）之間（樓與樓之間，樓層之間）及網絡出口干線選擇光纖；第二部分為從訪問層的交換機到用戶的PC桌面選擇超五類雙絞線。

（5）網卡

工作站網卡選擇10/100自適應網卡。服務器可以更換為百兆網卡，以提高性能。

（6）數據存儲設備

除選擇大容量硬盤外，還可選磁帶機、磁盤陣列、光盤陣列，這些外存設備，均可用于儲存海量網絡數據，如圖書資料，多媒體素材及課件學生學籍和成績管理等。

五、總結

建設一個以辦公自動化、計算機輔助教學為核心，以現代網絡技術為依托，技術先進、擴展性強、能覆蓋學校主要樓宇的校園主干網絡，將學校的各種終端設備和局域網連接，并與市教育城域網相連，形成結構合理、內外溝通的校園網絡。在此基礎上建立能滿足教學、教研和管理工作需要的軟硬件環境，開發教育教學資源庫、信息庫，為學校各類人員提供充分的網絡信息服務。校園網的建設必將對學校的信息化建設和教學素質的提高起到強大的推動作用，同時提供簡單、有效、便捷的理想辦公、教學環境。校園網一方面縮短了學校與外界的距離；另一方面，構建了以INTRANET為基礎的科學管理體系，必將推動學校信息化建設的極大發展。

第三篇：校園網規劃與設計

校

園

網

絡

規

劃

與

設

計

校園網設計與規劃

校園網絡的規劃設計是一項系統工程，不同的規劃設計方案，可使網絡存在較大的性能差異，它不僅體現在網絡本身具備的技術特性和應用特點上，也體現了不同用戶的各種需求，而校園網的建設必將對學校的信息化建設和教學素質的提高起到強大的推動作用，同時提供簡單、有效、便捷的理想辦公、教學環境。本文通過對本校校園網建設的研究，著重從校園網現狀及須求分析、系統設計原則和實現目標、系統建設方案、VLAN劃分及子網配置等四個方面進行了初步的探討。

21世紀是一個以數字化、網絡化與信息化為核心的信息時代。信息技術的高速發展，使得計算機網絡發展的非常迅速，已經成為信息科學的一個新的分支。隨著計算機網絡的發展，校園網已經成為學校走向信息化時代的必然發展趨勢，使我國教育管理向智能化發展。校園網以信息資源為根本，硬件網絡系統為物質基礎，同時以網絡軟件系統實現系統的管理與使用，是一個具有寬帶通路和交互功能的專業性局域網，應具有教學（科研）、管理和通訊三大功能。學校教師的教學、科研工作和學生的學習生活對一個高速的、資源豐富的和應用多方面的校園網的需求是迫切的。

一、現狀及需求分析。

1、計算機網絡系統現狀。

中小學校園網的建設不同于高等院校的校園網絡，它的結構相對簡單，主要集中在校園主干網和綜合辦公子網、教學子網的建設方面。

綜合辦公子網，主要用來完成學校的各項管理功能，為校領導和各個部門提供可靠的數據，實現辦公自動化。

教學子網，主要實現多媒體教學，普及計算機網絡基礎知識。

建立網絡管理中心，各應用子網設立分中心；建立功能齊備的網絡管理系統，保證網絡高效可靠地運行，同時提供豐富的網絡應用資源和便利的資源訪問手段。將網絡中心與CERNET相連，并由此進入Internet。校園網逐步為廣大教師、學生、科研人員提供豐富的網絡應用資源，包括電子郵件服務、網絡目錄服務、文件訪問和共享服務、圖書科技情報查詢服務、電子新聞服務、遠程高速信息服務和計算服務、遠程計算機教育、遠程計算機協同工作以及教育和科研管理服務等等。

2、校園網系統需求分析。

某中學坐落在青山環繞，山川秀美的孔氏鄉丁峪村，始建于1958年，占地面積6600平方米，建筑面積2400平方米，現有教學班6個，在校學生200名，教職工17名，其中中學一級教師4名，占全體教師 的23.5%,本科學歷6人，占全體教師的35.3%，是一支團結勤奮，務實進取、干事創業的教師隊伍，是一支年輕化、知識化、專業化的優秀群體，在歷年的綜合評估中，我校多次被縣教育局獲得“昔陽縣文明單位”、“教學成績提高顯著學校”、“新課程改革先進單位”等光榮稱號，受到上級領導特別是當地群眾的廣泛好評。

。隨著網絡技術的不斷發展，新興的教學手段在世界各地被廣泛地采用，在中國也被各方所接受認可。網絡為教師、學生帶來了更多的信息、素材，也帶來了新的教學溝通方法。隨著 “校校通”學校網絡工程的推進。構建校園網絡系統已經成為必然的趨勢。

二、系統設計原則和實現目標。

1、網絡系統設計原則。

（1）中小學校園網主要為服務于教育、教學，實現學校的信息化教育。所以在校園網設計的初期就要充分考慮到教育教學的需要與實際經濟承受能力的緊密結合，本著高效、適用、實用的原則，有計劃、有重點，分層次，積極穩妥地推進校園網信息化建設。嚴格規范校園網信息化建設及相應的軟件平臺的開發標準，以確保校園網的整體建設規劃和管理要求的一致性，才能真正為學校的教育、教學添磚加瓦。

（2）在建設校園網的時候還要應做到培訓在先、建網建庫同行、重在應用三個關鍵點。切實做好學校教師、技術、管理與行政人員的不同層次的培訓，形成一支能使校園網充分發揮使用效益的應用隊伍、教學軟件開發隊伍和能保證校園網正常持續運行的軟、硬件管理隊伍。只有這樣，才可以使老師積極開發、推廣、使用教育教學軟件，自愿自主的建設校園網信息資源庫，充分發揮校園網在當今教育普及中的重要作用，是我們的教育信息化建設真正落到實處。

（3）對原有資源進行升級改造，要充分利用現有的設備，并充分考慮到原有設備和新建網絡的融合和互通，使資源可以得到充分的利用，實現資源的優化配置和合理應用，這也是對于資金比較困難的學校在建設校園網一種解決途徑。

2、系統建設目標。

在滿足校園網絡需求的基礎上結合當前網絡的發展趨勢及學校的經濟狀況來確定校園網設計：（1）統一規劃，分步實施。

網絡技術快速發展的特點以及學校經濟承受能力決定了很多學校校園網建設無法一步到位，為了使有限的資金能夠發揮最大的作用,避免重復投資造成浪費，網絡設計必須分布實施。

（2）采用先進的成熟的技術。

采用通用的、成熟的技術方案可以降低建設成本、減小設計、施工和使用難度、縮短建設周期。有利于保護投資，并且有利于校園網的維護和升級。

（3）堅持開放性和標準化，統一網絡協議。

校園網的實現要求通訊協議、網絡平臺等應具有世界性的開放性和標準化的特點，并且應采用統一的網絡體系結構。

（4）堅持規范布線，考慮長遠發展。

布線系統使網絡的重要基礎，布線系統的好壞是衡量一個網絡好壞的非常重要的標志。布線系統不合理將降低網絡的可靠性，使網絡難以管理和維護，所以必須采用標準的綜合布線系統。

（5）建立完善的網絡管理體系。

必須建立健全的規章制度，采用集中統一管理的方法，以便于網絡的維護和管理。（6）易于使用和管理。

校園網的各種軟件應用項目必須易于使用，對最終用戶的起點要求不能太高，一般以熟練使用操作系統、辦公軟件系統、瀏覽器和電子郵件系統為宜；系統的日常管理和維護工作要方便、簡易。網絡拓撲結構一經配置確定，不應輕易更改。

（7）有良好的分層設計，強調應用和服務。

三、系統建設方案。

1、網絡拓撲結構設計。

（1）網絡的拓撲結構包括物理結構和邏輯規劃兩方面。物理結構容易受到重視，而通訊協議規劃不合理、軟件設置不當是引起網絡故障、降低網絡性能最常見的原因。因此，網絡拓撲結構設計時必須進行物理和邏輯兩方面的規劃，在拓撲結構圖中示明IP地址、子網、網關和路由等邏輯規劃信息。

（2）在設計網絡拓撲結構時，必須當考慮到未來3～5年內學校的發展和布局結構的調整。物理網段布局要充分考慮網絡的成長性。對本地通信負荷大的局域網（如多媒體教室、軟件實現的電子教室等），要采取分段的方法進行隔離。同一網段中的計算機數量要有一定限制。對一個應用較為完善的校園網，必須劃分子網以保障網絡干線負載均衡。要做到即使有客戶機的IP地址與某臺服務器重復，其他網段甚至該客戶機所在網段的其余工作站仍能正常通信。

（3）從學校的實際情況出發,實現各個部分的智能化操作。網絡采要分為主干網和部門網兩個層次。以放射狀的形式連到宿舍以及機房和教職工宿舍。網絡結構具有先進性、實用性、可靠性，又充分的保證學校的投資在相當時間內具有保值性。同時系統具有可擴充性和可升級性的特點，以方便學校進行網絡擴充和升級改造。

2、網絡拓撲結構設計圖

四、VLAN劃分及子網配置。

1、IP地址分配。

2、傳輸及布線設計。布線系統設計原則：

（1）靈活性：布線系統只通過跳線，而無需對線路，插座做任何改動，便可以在任何一間辦公室，機房，教室，信息點為用戶提供終端，局域網工作站等不同性質的應用。

（2）先進性：用戶對該布線系統不用做任何修改，只需引入新的網絡設備，便可用該布線系統支持更先進的應用。

（3）可靠性：該布線系統應能保證使用壽命與性能可靠，并有一定的冗余接口以備應用增加或不可預期損壞時使用。

（4）標準化：各種設計規范，技術指標及產品均符合國際和國家的各類工業標準，并提供多廠商產品的支持能力。

（5）可擴充性：布線系統具有很長使用壽命，而信息技術的發展又特別快，因此在設計布線系統使，應考慮具有充分的擴展能力。

根據以上原則：網絡中心綜合布線需要采用集中式的網絡配置方案，因為它具有以下的優點：易于管理維護，安全性好，網絡易于調整，擴展性好。

3、網絡管理系統設計

（1）網絡管理的目的在于保證網絡正常、穩定地運行，隨著網絡管理的作用日益上升，網絡管理也擔負了整合網絡資源、協調網絡運行的重任。網絡管理基本上提供了保障網絡系統正常運行的基本功能，它擔當著網絡的維護重任，負責排除網絡故障等；更重要的是，它在提高網絡性能上的作用日益突出，因為網絡動態性能的提高是通過網管系統來解決的。網管系統是整個網絡工作狀態的名副其實的調度中心。

（2）校園網作為學校日常工作的重要信息化平臺，對教學資源共享、人力資源管理、辦公支持、內部交流、遠程教育、培訓招生、對外合作等幾乎所有的學校業務提供服務，因此，對校園網建設提出了可運營和多業務支持的要求。

總之，建設一個以辦公自動化、計算機輔助教學為核心，以現代網絡技術為依托，技術先進、擴展性強、能覆蓋學校主要樓宇的校園主干網絡，將學校的各種終端設備和局域網連接，并與市教育城域網相連，形成結構合理、內外溝通的校園網絡。在此基礎上建立能滿足教學、教研和管理工作需要的軟硬件環境，開發教育教學資源庫、信息庫，為學校各類人員提供充分的網絡信息服務。校園網的建設必將對學校的信息化建設和教學素質的提高起到強大的推動作用，同時提供簡單、有效、便捷的理想辦公、教學環境。校園網一方面縮短了學校與外界的距離；另一方面，構建了以INTRANET為基礎的科學管理體系，必將推動學校信息化建設的極大發展。

第四篇：校園網規劃與設計

湖北科技學院

計算機學院課程設計

專 業： 10網絡工程 課程名稱： 計算機網絡 課題名稱: 校園網規劃與設計 教 師: 學 號: 姓 名:

時 間： 2012 年 6 月 10 日

1、場景

某所學院，有一個校區，校區都有辦公區、教學區、教師園區、學生公寓。校區有4000個接入點，在校區圖書館建立網絡管理中心，所有計算機通過網絡中心的出口訪問外網。網絡中心提供web服務、FTP服務、DHCP等。web服務器、FTP服務器要求外部網絡也能訪問。（中心校區圖書館建立無線網絡，采用DHCP為無線網絡分配IP地址。）學校目前只獲得了一個C類地址。（如：200.1.1.0，可任意設定）。

2、要求：

（1）編寫課程設計文檔，文檔中包含需求分析（用戶需求、功能需求、設備需求、設備選型、設備位置）、網絡規劃與實現技術（三層交換、路由技術、NAT技術、IP地址規劃、網絡設備命名規劃、路由規劃）、網絡設計（拓撲設計、網絡配置）、總結。（2）采用packet tracker軟件完成拓撲設計。（3）采用packet tracker軟件實現網絡配置。

（4）上交課程設計文檔和packet tracker網絡實現文件。

大型校園網絡規劃與設計

一、需求分析

校區有4000個接入點，在校區圖書館建立網絡管理中心，所有計算機通過網絡中心的出口訪問外網。網絡中心提供web服務、FTP服務、DHCP等。web服務器、FTP服務器要求外部網絡也能訪問。（中心校區圖書館建立無線網絡，采用DHCP為無線網絡分配IP地址。）學校目前只獲得了一個C類地址。（如：200.1.1.0，可任意設定）。

二、實現技術 1.路由技術(1)靜態路由協議

靜態路由協議需要三個參數：目標網段，子網掩碼，下一跳?；靖袷剑?每個路由器要到達網絡的所有網段，直連的網段不需要到達，因為當你使用該協議時直連網段就包含在路由表項中了)Router rip Version 2(路由協議的版本，默認的版本是1版本)Ip router 目標網段 子網掩碼 下一跳

(2)動態路由協議

動態路由協議需要一個參數：直連網段

基本格式：(與路由器直連的網段要包含在路由表項中)Router rip Version 2

Network 直連網段

(有幾個直連網段就有幾個network)(3)缺省路由

缺省路由需要3個參數：0.0.0.0 0.0.0.0 下一跳 基本格式：

Ip router 0.0.0.0 0.0.0.0 下一跳(4)ospf協議

Router rip ospf num(num 是任意數)Network 直連網段 反子網掩碼 area 0 2.三層交換

(1)申明vlan 端口劃分--申明vlan：int vlan 10--端口劃分：int f0/0 switchport mode access ,switchport access vlan 10(這是將端口f0/0劃分到vlan 10 中)--Trunk鏈路的設置：要先封裝，后設置 Switchport trunk encapsulation dot 1 Switchport mode trunk(2)vlan ip 設置

Int vlan 10

(選中vlan)Ip add 217.168.10.0 255.255.255.0 3.nat 技術

主要有：標準訪問控制，擴展訪問控制，網絡地址轉換(靜態和動態)(1)標準訪問控制(接口定在離目標網段近的地方out)

--定義規則

access-list 編號(1-99)deny 網段 反子網掩碼（不允許網段那部分訪問服務器）

--應用到接口

int f0/0(選定接口)ip access-group 編號(和上面的的數字相同)out(隨選擇的訪問控制方式不同而不同)access-list 10 permit any 禁止217.168 的所有網段訪問： access-list 20 deny 217.168.0.0 0.0.255.255 access-list 20 permit any(2)擴展訪問控制(接口定義在離源網段近的地方in)--定義規則 access-list 編號 deny 網段 反子網掩碼

access-list 110 deny tcp 源網段 反子網掩碼

目的網段

反子網掩碼（不允許web反問）eq www access-list 110 permit tcp 源網段 反子網掩碼

目的網段

反子網掩碼（不允許ftp訪問）eq ftp access-list 110 permit tcp any any

--應用到接口 int f0/0 選定離源網段近的接口

ip access group 編號(和上面的的數字相同)in(3)地址轉換(在三層交換機上配置)三層交換機中的端口要設ip的時候要將端口設置成路由端口，命令：int f0/3 no switchport--接口(是外部轉換接口還是內部轉換接口)：

Int f0/3 ip nat out side(將f0/3指定為外部轉換接口)Int vlan 編號

ip nat inside(將vlan的虛擬接口指定為內部轉換接口)靜態：指定一個映射，用于服務器

ip nat inside source static 192.168.100.2 200.168.100.20(ip 為192.168.100.2的主機訪問外網時，轉換的地址為200.168.100.20)動態：指定一組映射 所有映射只能在該組中選 配置地址池：

ip nat pool netin(pool名)200.168.100.100 200.168.100.220 netmask 255.255.255.0(指定地址池用作地址轉換)access-list 50 permit 192.168.50.0 0.0.0.255(指定所選網段的地址可以用該地址池進行地址轉換)access-list 50 permit 192.168.60.0 0.0.0.255 access-list 50 permit 192.168.70.0 0.0.0.255 access-list 50 permit 192.168.80.0 0.0.0.255 access-list 50 permit 192.168.100.0 0.0.0.255 ip nat inside sourcr list 50 pool netin 允許50列表作為內部轉換 show ip nat translation 顯示轉換結果

基于端口 ip nat inside sourcr list 50 pool netin overload

三、網絡規劃

本次設計的網絡規劃如下：(詳解見 校園網規劃與設計.pkt 文件)200.100.4.0連接的是內網和外網部分

四、網絡設計（配置）

運用所給的技術在網絡拓撲圖中實現網絡互通以及其他設計 校園網的設計目的：內網通過網絡地址轉換后，能訪問外網；外網不能訪問內網，但能訪問內網的服務器。

總的線路：1.網絡配通；2.用命令使內網部分不能訪問外網3.在router 5中去掉內網的路由表項；4.在三層交換集中使用地址轉換(地址池和靜態)，配置地址池時不要把服務器所在的vlan也配到地址池中，因為外網要訪問服務器的，服務器的vlan使用靜態的指定所要轉換的地址，網絡地址轉換后的地址是與外網相連的網段的地址 基本命令如下：(1)設置電腦ip(2)路由設置： Router 4：

-----端口ip設置部分 interface F0/0 ip address 200.100.1.1 255.255.255.0

no shut interface S0/0 ip address 200.100.2.1 255.255.255.0 clock rate 64000-----router 4路由協議部分(路由協議部分等電腦ip和端口ip都設置好了后再來配置)router rip version 2 ip route 200.100.3.0 255.255.255.0 200.100.2.2 ip route 200.100.4.0 255.255.255.0 200.100.2.2 ip route 217.168.10.0 255.255.255.0 200.100.2.2 ip route 217.168.20.0 255.255.255.0 200.100.2.2 ip route 217.168.30.0 255.255.255.0 200.100.2.2 ip route 217.168.40.0 255.255.255.0 200.100.2.2 ip route 217.168.50.0 255.255.255.0 200.100.2.2 router 5: interface F0/0 ip address 200.100.3.1 255.255.255.0 no shut interface F0/1 ip address 200.100.4.1 255.255.255.0 no shut

interface S0/0 ip address 200.100.2.2 255.255.255.0-----router 5的協議部分(該部分沒有內網路由的信息，因為網絡直允許內網訪問外網，不允許外網訪問內網不過能訪問內網的服務器)ip route 200.100.1.0 255.255.255.0 200.100.2.1 ip route 217.168.50.0 255.255.255.0 200.100.4.2---使內網不能訪問外網

access-list 20 deny 217.168.0.0 0.0.255.255 int f0/0 ip access-group 20 out access-list 20 permit any(3)三層交換機命令配置 首先劃分vlan： Int vlan 10 Int vlan 20 Int vlan 30

Int vlan 40 Int vlan 50-----設置中繼trunk鏈路 interface F0/1 switchport trunk encapsulation dot1q switchport mode trunk interface F0/2 switchport trunk encapsulation dot1q switchport mode trunk interface F0/3(f0/3使屬于vlan 50的此處不做中繼接口，不用封裝switchport mode access switchport access vlan 50-----vlan ip 的設置 interface Vlan10 ip address 217.168.10.1 255.255.255.0 interface Vlan20 ip address 217.168.20.1 255.255.255.0 interface Vlan30 ip address 217.168.30.1 255.255.255.0 interface Vlan40 ip address 217.168.40.1 255.255.255.0 interface Vlan50)

ip address 217.168.50.1 255.255.255.0--接口(是外部轉換接口還是內部轉換接口)Int f0/3 ip nat out side In vlan 10 ip nat inside In vlan 20 ip nat inside In vlan 30 ip nat inside In vlan 40 ip nat inside In vlan 50 ip nat inside----路由協議部分

ip route 200.100.1.0 255.255.255.0 200.100.4.1 ip route 200.100.2.0 255.255.255.0 200.100.4.1 ip route 200.100.3.0 255.255.255.0 200.100.4.1-----地址池配置

ip nat pool netin 200.100.4.100 200.100.4.220 netmask 255.255.255.0 access-list 50 permit 217.168.10.0 0.0.0.255 access-list 50 permit 217.168.20.0 0.0.0.255 access-list 50 permit 217.168.30.0 0.0.0.255 access-list 50 permit 217.168.40.0 0.0.0.255 ip nat inside source list 50 pool netin ip nat inside source static 217.168.50.2 200.100.4.20(靜態指定)(4)交換機2，3使作傻瓜交換機用的

交換機0，1需要劃分vlan 和將相應的端口劃分到相應的vlan中

五、總結

通過這次校園網的規劃與設計，進一步的熟悉了網絡配置的命令，一個網絡由不通到能相互通訊，再到用擴展訪問限制網絡用戶的訪問權限，達到一定網絡安全，最后到用網絡地址轉換轉換地址，使原本不能訪問外網的主機能訪問外網。實驗開始，確實覺得有點難度，因為那時對這個不是很熟悉，但后來熟悉了以后，覺得還是不難的，只要思路清晰，一步一步的做，最后這也會是一個簡單的實驗

第五篇：校園網設計與規劃

、天 津 機 電 職 業 技 術 學 院

TIANFSDFJIN VOCATIONAL COLLEGE OF MECHANICS AND ELECTRICITY

《信息與網絡安全》

大作業報告書

姓 名： 安立國 學 號： 2011333125 班 級： 計信11⑴ 指導教師： 馮 駿 完成日期： 2013.6 成 績：

一、校園網設計與規劃的指導原則...............................................3

二、校園網絡中不安全的主要問題...............................................4 1.IP盜用問題...........................................................4 2.防火墻攻擊............................................................4 3.Email問題............................................................4 4.各種服務器和網絡設備的掃描和攻擊......................................4 5.非法URL的訪問問題....................................................4 6.病毒防護..............................................................5（1）實用性：........................................................5（2）先進性：........................................................5（3）開放性：........................................................5（4）安全性：........................................................5（5）可靠性：........................................................5（6）簡潔性：........................................................5（7）可管理性：......................................................5

三、校園網安全的解決方法.....................................................5 1.采用入侵檢測系統......................................................6（1）基于網絡的入侵檢測..............................................6（2）基于主機的入侵檢測..............................................6 2.Web、Email、BBS的安全監測系統........................................7 3.在Linux下配置防火墻..................................................7（1）利用Linux核心中的IP鏈(IP Chains)規則建立包過濾防火墻。........7（2）利用IP偽裝(IP Masquerade)實現內網微機透明訪問Internet。.......7 4.利用Squid代理服務與防火墻規則結合構筑透明代理........................8 5.對于無法使用IP偽裝方式訪問Internet的特殊協議與軟件采用Socks代理服務。........................................................................9 6.漏洞掃描系統..........................................................9 7.IP盜用問題的解決.....................................................9 8.利用網絡監聽維護子網系統安全..........................................9

四、結語....................................................................10

校園網絡安全設計

網絡安全的本質是網絡信息的安全性，包括信息的保密性、完整性、可用性、真實性和可控性等幾個方面，它通過網絡信息的存儲、傳輸和使用過程體現。校園網絡安全管理是在防病毒軟件、防火墻或智能網關等構成的防御體系下，對于防止來自校園網外的攻擊。防火墻，則是內外網之間一道牢固的安全屏障。安全管理是保證網絡安全的基礎，安全技術是配合安全管理的輔助措施。學校建立了一套校園網絡安全系統是必要的。

一、校園網設計與規劃的指導原則

校園網是我國高校基礎建設的重要組成部分。充分利用和開發校園內各類信息資源，實現校園仙、大學間的資源共享，科學計算和科研合作，促進大學對外交流是校園網建設的基本宗旨。因此校園網建設必須考慮系統的先進性、開放性、穩定性、安全性可擴充性。

我院校園網由網絡中心、主干網和各樓內的局域網組成。主干網以千兆以太網為主，光纖覆蓋整個校區。部門級交換機根據下連的計算機數量和網絡應用的級別，與中心交換機實現千兆、百兆連接。

校園網的主干網中采用的是子網過濾結構的雙路由器的結構，采用Intel Express 9300路由器作為外部路由器。該路由器直接連接Linux服務器，經Linux的包過濾防火墻后連接校園網主交換機Intel Express 550T Routing Switch（具有路由功能，作為校園網的內部子網間的路由器）。

Linux服務器執行堡壘主機的功能，采用Red Hat Linux 7.2版作為操作系統。該系統裝有單一集成的可管理的軟件包，提供各種服務，包括入侵保護、性能加速、安全的VPN能力以及對外Internet訪問的全面控制等。由該主機的包過濾防火墻保護內部網絡免受來自Internet的侵害。過濾范圍包括內部網絡和堡壘主機之間的數據包，以防堡壘主機被攻占。同時，在該堡壘主機上，運行多種服務器，如：電子郵件服務器、web服務器、FTP服務器等等。

Intel Express 550T Routing Switch實現內部路由的功能，有效地阻斷內部子網間的廣播包發送，最大限度地減輕了網絡負擔。

二、校園網絡中不安全的主要問題

現階段，我院校園網的主題架構已經成型，然而隨著對網絡服務要求的進一步提高，我們還要全面地解決在運行中所出現的問題，從而提供更加完善的服務。1.IP盜用問題

校園網內部連接有幾千臺電腦，一部分電腦通過正常的申請途徑申請得到合法的IP地址，另一部分則不然。當某些沒有IP地址的用戶，冒用他人的合法IP地址時，就會造成網絡內部地址的沖突，嚴重阻礙了合法用戶的正常使用。2.防火墻攻擊

防火墻系統相關技術的發展已經比較成熟，防火墻系統很堅固，但這只是對于對外的防護而已，它對于內部的防護則幾乎不起什么作用。然而不幸的是，一般情況下有70%的攻擊是來自局域網的內部人員。所以怎樣防止來自內部的攻擊是當前校園網建設中的一個非常重要的方面。3.Email問題

由于用戶安全觀念的淡薄以及網上某些人的別有用心，會給校園網的Email用戶發一些不良內容的信件，有時還會攜帶各種各樣的病毒。因此，怎樣防止有問題的信件進入校園網的Email系統也是一個待解決的問題。4.各種服務器和網絡設備的掃描和攻擊

有時會有一些用戶對校園網的服務器和網絡設備進行掃描和攻擊，造成網絡負載過重，致使服務器拒絕提供服務，或造成校園網不能提供正常的服務。5.非法URL的訪問問題

對于一些反動的或不健康的站點，應當禁止校園網用戶通過校園網去訪問。

6.病毒防護

互聯網迅猛發展使得網絡運營成為社會時尚，但同時也為病毒感染和快速傳播提供了途徑。病毒從網絡之間傳遞，并在計算機沒有任何防護措施的情況下運行，從而導致系統崩潰，網絡癱瘓，對網絡服務構成嚴重威脅，造成巨大損失。近階段泛濫的“尼姆達病毒”就是典型的例子。因此，如何讓校園網更安全，防止網絡遭受病毒的侵襲，已成為校園網迫切需要解決的問題。

建設校園網的根本目的是為學校教學、科研和管理提供先進實用的硬件支撐環境。為實現這一目的必須考慮采用先進實用的計算機技術和網絡通信技術，把校園網建設成為具有高速、穩定、可靠、安全的校園財干兼顧應用服務系統，提供現場化教學、科研的辦公及管理系統，同時拓展校園內多方面的應用。

為此提出一條總原則：“分期建設；逐步實施；先教學系統后擴展應用；精選設備；軟件配套。”具體說來有以下幾條原則必須考慮；

（1）實用性：校園網建設強網絡系統與網絡應用以應用推動建設，重視信息資源的開發、利用和效果。

（2）先進性：主干采用先進成熟的網絡技術和產品，適應大量數據和多媒體信息傳輸、處理、交換的需要，使網絡具有較強的生命力。

（3）開放性：網絡系統支持有國際和國家標準，支持異構型邊緣子網互聯與集成，易于網絡的擴充和升級，使有限的投資得到保護。

（4）安全性：對網上信息提供多層次的、基于策略的安全保護措施。（5）可靠性：網絡機構、網絡設備、網絡系統與應用系統間接口、供應商的產品與服務的信譽等，均具可靠性。

（6）簡潔性：網絡拓撲結構簡潔，硬件和軟件按需要進行靈活配置。（7）可管理性：采用較先進的管理軟件，實現全網的檢測、資源分配、負荷調節、故障定位等功能，并具有良好的人-機操作界面。

三、校園網安全的解決方法

現階段，由于我院校園網已有較完善的網絡系統架構，因此，在保證現有網絡工作順通的同時，再進行開發和完善是解決校園網網絡安全的最佳選擇。現提出以下解決方法。1.采用入侵檢測系統

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。在校園網中采用入侵檢測技術，最好采用混合入侵檢測。需要從兩方面來著手-基于網絡的入侵檢測和基于主機的入侵檢測。（1）基于網絡的入侵檢測

該檢測主要通過定期使用專用的網絡監視軟件分析網絡數據流量、主要數據內容來完成，例如使用Intel Express 550T Routing Switch所帶的專用管理用具Intel Device View對交換機、端口間的每秒輸出包、輸入包、廣播包的數量進行統計，若發現網絡中有某臺機器的流量超過正常值，則表示該主機可能感染了某種病毒導致不停地向網絡中發出各種進攻。前不久出現的“紅色代碼II”就可以用此方法進行入侵檢測。感染了此病毒的主機將會建立300個線程不定時隨機生成IP地址作為攻擊目標發出攻擊，這樣的主機在網絡流量監視中是顯而易見的。另外，當得知某端口的主機網絡流量出現異常時，也可使用專用的網絡數據監視器對其發出和接受的數據進行具體監視，例如使用微軟SMS(System Manager Server)所帶的網絡監視器利用SNMP協議對某端口出入數據進行詳細分析，可統計出該主機具體是哪種協議、哪個端口所發的數據最多，以及具體的數據內容。例如監視某臺感染有“紅色代碼II”的NT服務器時，則會發現目標端口為80(HTTP)的TCP協議通訊量極高。（2）基于主機的入侵檢測

該項檢測主要通過防火墻日志以及各種服務軟件的日志統計來完成，例如在日志中統計出某時間段服務器接收到來自同一地址的嗅包數量超過一定數值，那么就該考慮是否要在防火墻中加入一條拒絕規則了。又如在FTP服務器中發現某時段某用戶登錄失敗次數超過100次以上，這就表示極可能有黑客在用窮舉法試圖破譯某FTP用戶的密碼。2.Web、Email、BBS的安全監測系統

在校園網的WWW服務器、Email服務器等各種服務器中使用網絡安全監測系統，實時跟蹤、監視網絡，截獲Internet網上傳輸的內容，并將其還原成完整的WWW、Email、FTP、Telnet應用的內容，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，及時向上級安全網絡中心報告，采取措施。并利用專門的日志分析工具對保存在數據庫中的訪問日志進行統計并繪制統計圖，可以對訪問地址和流量進行分析，對于明顯的攻擊便可一目了然了。3.在Linux下配置防火墻

防火墻是一種行之有效且應用廣泛的網絡安全機制，能夠有效防止Internet上的不安全因素蔓延到局域網內部。防火墻從原理上可以分為兩大類：包過濾（Packet Filtering）型和代理服務（Proxy Service）型。根據我校具體情況，采用如下防火墻配置方案：

（1）利用Linux核心中的IP鏈(IP Chains)規則建立包過濾防火墻。

規則具體如下：

① #先用-F 選項清除掉所有規則

② #假設服務器內網IP為192.168.0.22，公有IP為210.77.217.82。將服務器在內網的地址除開放DNS、POP3、Route、FTP、Telnet、Web、SMTP外其他服務全部封死

③ #服務器對外僅提供POP3、FTP、Web、SMTP服務

使用IP鏈規則建立防火墻的主要原因并不是因為它是免費軟件，而是因為IP鏈規則是一套直接編譯在Linux核心中的防火墻，其運行效率是其他外掛在操作系統上的軟件防火墻所無法比擬的，因此假若希望在流量較大網絡接口安設防火墻，而又不想購買昂貴的硬件防火墻時，采用IP鏈規則建立包過濾防火墻是一個不錯的選擇。

（2）利用IP偽裝(IP Masquerade)實現內網微機透明訪問Internet。

IP偽裝是NAT(Network Address Translation網絡地址轉換)的一種方式，即當內網的機器需要訪問Internet時，具有IP偽裝功能的服務器會將內部網絡使用的非公有IP偽裝成同一個公有IP訪問Internet，這就可以使內網用戶可以透明地訪問Internet而不用安裝任何客戶端軟件，減少了許多不必要的麻煩。使用該方式可使大部分軟件直接訪問Internet，例如使用SMTP、IMAP、POP協議的郵件客戶端軟件、使用UDP協議的ICQ、OICQ、Real Player、Windows Media Player軟件等，而且用戶使用內網任何一臺微機都可以直接用“Ping”命令測試與Internet的連接，網絡測試十分方便。IP偽裝是Linux的一項網絡功能，具體實現方法如下：

① #啟用 IP 轉發

② #建立 NAT 規則，令局域網中地址為 192.168.*.* 且其目標地址不在 192.168.*.* 范圍內的機器偽裝為本機 Internet 有效 IP地址后進行轉發。

但該方式并不一定可以使所有連接Internet的軟件成功使用，TCP/IP協議的天生缺陷使得極少部分軟件無法使用該方式訪問Internet，例如當內部網絡中某臺微機希望連接Internet上的一臺FTP服務器，而對方的FTP服務器禁用了或根本不支持被動方式連接，那么連接后就無法上傳或下載任何數據，此時則需要使用其他方式連接了。例如后面提到的的Socks代理。4.利用Squid代理服務與防火墻規則結合構筑透明代理

使用IP鏈規則可以使內網的主機不需要做任何設置就可以訪問Web，但其缺點就是當內網數臺主機先后訪問Internet上某一站點時，第一臺將該站點的主頁以及頁面中的圖像從Internet下載到本機，而其它幾臺訪問時也要重復相同的操作，即從Internet下載了同樣的內容，這樣的重復勞動自然會浪費相當多的帶寬，而使用具有Web緩存(Web cache)的代理服務器便可解決此問題。在第一臺主機訪問該站點時代理服務軟件將此網頁的內容緩存到本地硬盤，而后其他主機再次訪問該站時，代理服務器只是檢測該網頁是否有更新，若無更新便直接將本機的緩存傳送過去，這樣既可以節省帶寬又有效地提高了上網速度。例如Linux上的Squid代理服務就是一套高效快速的代理服務軟件。但麻煩的就是必須在每臺機器上設置Web 代理服務器，此時可以簡單地使用IP鏈規則來省略這一操作，即在規則中加入一條轉遞規則，將訪問任何地址80(HTTP)端口的封裝包都強制轉發到Linux服務器上安裝的代理服務器偵聽端口。即： #假設Squid代理服務的偵聽端口為3128 /sbin/ipchains-A input-i eth0-d 0/0 80-p TCP-j REDIRECT 3128 /sbin/ipchains-A input-i eth0-d 0/0 3128-p TCP-j REDIRECT 這樣使內網任何用戶訪問Internet前都令其通過代理服務器后再訪問，不僅有效地加快了上網速度，又可以利用Squid代理服務過濾掉內網無效訪問和攻擊，實現了透明代理。

5.對于無法使用IP偽裝方式訪問Internet的特殊協議與軟件采用Socks代理服務。

Socks是一組是用客戶端/服務器端結構的Proxy協議。Socks的軟件組成包含Socks服務器程序及Socks客戶端應用程序庫。用戶的應用程序只要支持Socks協議就能通過Socks代理服務器連接到防火墻外的網絡。6.漏洞掃描系統

解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡模擬攻擊從而暴露出網絡的漏洞。7.IP盜用問題的解決

在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發出這個IP廣播包的工作站返回一個警告信息。8.利用網絡監聽維護子網系統安全

對于校園網外部的入侵可以通過安裝防火墻來解決，但是防火墻對于校園網 9 內部的侵襲則無能為力。在這種情況下，可以采用這樣的方法：為校園網內部的各個子網做一個具有一定功能的審計文件，為管理人員分析內部網絡的運作狀態提供依據。

總之，通過以上方法，以及校園網中的原有網絡安全措施，基本上可以建立一套相對完整的網絡安全系統。不過，網絡安全是一個系統的工程，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮系統的安全需求，并將各種安全技術，如密碼技術等，結合在一起，才能生成一個高效、通用、安全的網絡系統。

計算機網絡系統的基礎是布線系統，它在整個網絡系統投資中只占5%，但因為布線問題而造成的網絡故障卻占50%以上；另一方面在于布線幾乎是永久性的工程，一旦完成再進行改動將十分困難，而且投資將比初期安裝高幾點。所以應采用最先進的思想和技術

設計布線系統，以滿足現階段以及未來十數年發展的需求；必須統一規劃、設計，建設高質量的布線系統，靈活支持環型、總線型、星型以及將來可能出現的網狀網，為將來靈活構造校園組網方式在校園網絡發展的戰略上具有十分重要的義。采用全星型分級拓撲結構的綜合布線系統獨立于網絡實際拓撲，支持現有的ISO880*/IEEE80*協議族所定義的結構結構，就本校建設經驗這是最好的選擇，具體拓撲如圖1.為保障未來15～20年布線系統對網絡技術的支持，綜合布線水平子系統應盡可能采用目前最新標準定義的系統等級。對具有分院和建筑樓群分散的校園，網絡主干應選用光纜，超長距離應考慮單模光纜，以保證支持未來高速IP骨干。對數據流量有特殊要求的場所如：服務器群、視頻會議中心等可考慮光纜到桌面。特別是在布線系統設計中，信息點分布盡可能考慮5～10年人員變動、建筑物改造等因素，盡量提高投資效益比。這樣結構化綜合布線的優勢才可能得到最大程度的發揮。

四、結語

在網絡安全日益影響到校園網運行的情況下,我們不能夠去保障校園網絕對的安全,只能說我們要盡一切可能去制止、減小一切非法的訪問和操作,把不安全的因素降到最少,要完善校園網管理制度,對相關的校園網管理人員進行培訓,對學生進行網絡道德的教育,提高公德意識,安裝最新的防病毒軟件和病毒防火墻, 10 不斷安裝軟件補丁更新系統漏洞,對重要文件要進行備份,從多個方面進行防范,把校園網不安全因素降到最少。只有通過不斷地努力,我們的校園網才能夠在比較安全的環境下工作,才能充分發揮它的優勢,更好地為我們的教育事業服務。