校园网详细设计说明书.docxVIP

校园网详细设计说明书 校园网详细设计说明书 详细设计说明书 一、网络总体设计 1.1网络拓扑结构 根据用户对安全性、保密性和可靠性的要求，我们将网络设计为单核心结构。 网络拓扑图： 防火墙配置如下： （1）允许Internet和校园内部网络访问DMZ区域的WWW、FTP、mail服务。 （2）允许校园内部网络按照限制的规则访问Internet。 （3）禁止Internet和DMZ区域非法访问内部网络。 校园网物理结构： 1.2接入Internet设计 采用光纤接入。 光纤接入的特点： 1.光纤专用，24小时在线：实现双向数据同步传输，上网速度快、质量稳定、丢包率低、更具安全性。 2.本地自维护网站：在网站上发布更多的信息，为E-business提供更好的先决条件。 3.运营费用可控：上网费用采用包月制，可最大限度的降低网络运营成本。 4.可根据客户实际需求提供：2M，8M, 10M,34M, 45M, 50M, 100M, 155M ,200M，622M ,2.5G等带宽业务选择。 1.3机房实验室的配置 根据用户对网络灵活性、先进性、实用性的要求，我们打算对机房实验室的学生机采用Windows XP系统，通过教师机服务器的DHCP服务获得IP地址和代理上网。教师服务器采用Windows Server2021系统，安装双网卡，一个网卡根据给定的账号拨号连接网络，另一个网卡连接学生机内部网络。采用这种安装方法既安装方便又便于管理。 1.4 Vlan的划分及IP地址的分配 VLAN提供的安全机制，可以限制用户对安全设备的访问，例如限制普通用户对计费服务器，安全交换机等的访问，VLAN控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样就限制了未经安全许可的用户和网络成员对网络的只用增强网络管理。 1.4.1Vlan号（ID）的分配规划 VLAN划分原则：便于管理。 VLAN划分概念：将几个楼划分在同一VLAN，便于操作管理。 1.5IP地址的分配原则 划分是注意使用VLAN，充分节约IP地址，使用路由交换机上能够采用聚合进行路由合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区接入到同一汇聚层交换机的区域建议采用连续IP地址段，以便做路由汇聚。 IP地址的分配原则如下： （1）给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性； （2）考虑到以后的网络扩展规模，二层交换机设备的管理IP地址分配1个C类IP地址； （3）可以考虑为学校校园网分配若干个C类私有地址段。 服务器集体群和办公楼的IP获取方式为手动分配，其他的均为通过DHCP获取，上网方式均采用NAT方式。 IP地址分配表 1.6物理/链路层配置原则 1.网络设备互连的物理端口都应该绑定端口的速率和全双工模式； 2.建议所有的VLAN都不要穿透核心层，所有的VLAN都将在汇聚层交换机上终结； 3.本实施方案建议不要启用STP生成树协议，由于所有的VLAN都已在汇聚层交换机终结，在二层上并没有环路存在，故无必要启用； 4.汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。 二、网络安全与管理 2.1网络安全 校园网网络安全系统是一个要求高可靠性和安全性的网络系统，若干重要的公文信息在网络传输过程中不可泄露，如果数据被黑客修改或者删除，那么就会严重的影响工作。所以校园网网络安全系统安全产品的选型事关重大，一旦被遭受黑客攻击病毒的侵袭，将会给该学校正常的教学及业务带来严重的影响。该校园网网络安全系统方案必须遵循如下原则： 全局性原则：安全威胁来自最薄弱的环节，必须从全局出发规划安全系统。设计时需考虑统一管理的原则。 综合性原则：网络安全不单靠技术措施，必须结合管理，当前我国发生的网络安全问题中，管理问题占相当大的比例，因此建立网络安全设施体系的同时必须建立相应的制度和管理体系。 均衡性原则：安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。 节约性原则：整体方案的设计应该尽可能的不改变原来网络的设备和环境，以免资源的浪费和重复投资。 2.1.1威胁网络安全因素分析 归纳起来,针对网络安全的威胁主要有： 1.软件漏洞： 每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。 2.配置不当： 安全配置不当