桓台县第二中学校园网方案

局域网建设建议方案局域网方案书局域网建设建议方案-1-电话：0531-86803693前言二十一世纪是一个科学技术飞跃发展的时代，以网络为标志的信息产业将成为核心产业，知识经济将逐步取代工业经济成为社会发展的必然。作为现代科技成果之一的信息技术在教育中的应用，给教育带来了深远的影响。加大教育信息技术在学校教育中的应用推广及研究力度，从而推进教育改革的进程，已势在必行。第一章系统设计原则对于任何一个计算机网络系统的设计和建设，都必须依据系统工程建设的规律运做，精心设计，精心建设，循序渐进的进行系统开发和应用。只有如此，才能把一个系统建设好，应用好。而系统建设好的前提或基础，应当说是把系统设计搞好，而要搞好系统设计，必须先确定设计的原则，1.1系统设计的一般性原则实用性先进性开放性和标准化可扩充性和可延展性局域网建设建议方案-2-电话：0531-86803693经济性可靠性和稳定性网络系统与单台微机有严格不同，单台微机产生故障只影响本机的应用，而网络系统是一个整体，一个网络系统，特别是服务器、中心交换机出故障后则导致整个系统瘫痪，进而导致整个网络中心的管理秩序混乱，因而对客户造成的损失将是巨大的。要解决稳定性和可靠性的问题：首先在网络系统设计时，要设计使用世界上的名牌产品，不使用不可靠的兼容产品，使用全世界网络市场上大家公认的技术成熟的产品。可维护性和可管理性由于网络系统分布区域较大，应能对其进行有效的管理与维护；应选择支持网络管理能力的网络产品及相关的网络管理软件，从而为网络管理和维护人员提供方便条件。同时，用尽量少的人力和时间运用新技术和手段，尽快的诊断出系统故障并找出解决办法。安全性对于计算机系统来说安全性主要包括网络安全、信息安全、资料安全等三个方面。计算机系统的安全性是任何计算机网络建设必须解决的重要问题，是任何与INTERNET相连的网络必须解决的首要问题，所以网络建设应把网络管理与安全放在突出地位。灵活性系统中的任一部分都应是灵活的，从物理联线，到数据通讯，设备的增减都不受或极少受物理位置和这些设备类型的限制。在此布线系统中，任一讯息点可以连接不同类型的设备，如计算机、终端机、网络集散器（HUB或MAU）、电话机、传真机、监视器、音乐装置、各种控制探头（传感器）等。模块化所有用于连接设备的适配件都是结构化积木式标准件，不用很多有关这些领域的专门知识，就能联接这些设备，以便扩展和管理、维护、测试。局域网建设建议方案-3-电话：0531-868036931.2设计遵循的协议与标准IEEE802.3总线局域网标准(以太网)IEEE802.3I10兆双绞线以太网(10BaseT)IEEE802.3u百兆以太网(100BaseTX、100BaseFX等)IEEE802.3z千兆以太网(1000BaseF等)IEEE802.1D局域网桥接,多点广播及业务分级IEEE802.1Q虚拟局域网(VLAN)IEEE802.2LLCIEEE802.3X流量控制IEEE802.3ac以太网VLAN标记RFC768UDP-用户资料报协议RFC783TFTP-平凡文件数据传输协议RFC791Ipv4-网际协议第四版RFC792ICMP-网间控制报文协议RFC793TCP-传输控制协议RFC826以太网地址转换协议RFC854TelnetRFC1157SNMPv1-简单网络管理协议第一版RFC1213MIB-IIRFC1643以太网MIBRFC1493桥接MIBRFC1332PPP网际控制协议RFC1661点到点协议(PPP)RFC1662类似HDLC的分帧中PPP协议RFC1757RMON组：以太网状态、历史、事件、警报RFC1866HTML：超文本标记语言第二版RFC2068HTTP超文本传输协议等。局域网建设建议方案-4-电话：0531-86803693第二章用户需求分本局域网网建设内容包括：网络系统、应用系统、基础资源。第三章网络技术选型3.1网络技术选型——为什么选择千兆以太网？网络技术选型是实现网络建设目标的核心环节。首先依据各项应用的实际需要，并把当前的需要与未来一定时期的发展结合起来；其次，充分了解各种网络的特点、性能和价格；第三，考虑能够投入的资金及现有的设备、局域网和其他资源情况，进行综合分析，确定符合用户需求、有利于开发利用、有利于发展扩充、性能价格比高的网络方案。现在常用的局域网技术主要有FDDI、快速以太网、ATM和千兆以太网等。目前，FDDI是比较成熟、使用范围也最广的网络技术之一，许多网络系统均选择了FDDI做主干网，但它不能适应大量传输多媒体信息的需要。快速以太网的技术成熟，各大网络厂商都有功能强大的核心交换机，而且价格在四种方案中最低，很具有竞争力。但快速以太网的带宽资源并非很丰富，而且带宽利用效率并不是很高，快速以太网理论上提供的100Mbps带宽在实际应用中并不能完全达到。所以快速以太网方案不符合需要。多媒体技术的迅速发展，使得网络用户需要在该网络系统上传输大量的多媒体信息。一个比较先进和稳定的方案是采用ATM作网络主干。ATM是一种面向连接的新型网络技术，在广域网已经取得了很大的成功，其服务质量保证（QoS）对于多媒体应用具有很强的支持能力，而且其带宽可以根据需要采用25Mbps、155Mbps或者622Mbps的速率。但考虑到如果只采用ATM做主干，则需要采用局域网建设建议方案-5-电话：0531-86803693局域网仿真（ELAN），这样就会造成ATM的端到端控制的优势和QoS的优势仅仅体现在主干上，终端的QoS并没有真正实现，而且价格方面也不占优势；即使采用ATM到桌面的纯ATM方案，ATM的优势能够体现出来，但在IP技术占主流发展方向的今天，ATM在局域网的应用中并无优势可言，且费用又高的难以忍受。由于目前的局域网系统要求同时运行多种网络应用，并支持多媒体，因此骨干网应有高带宽。千兆位以太网现在已经成熟，它继承了传统以太网的特点，并极大的拓宽了带宽，保持了良好的兼容性，做到了以往10Mbps/100Mbps以太网应用程序能无缝运行在千兆位网上。千兆以太网增加了对QoS支持，以高带宽和流量控制双管齐下的策略来满足应用的需要。随着标准的通过，工业化的量产，网络设备的价格大幅度的下降，对于选择千兆位以太网又增添了一个有利条件。选用千兆位以太网，既能满足视频、多媒体应用的需求，又能兼顾以往的投资，并且有一定的前瞻性，能在一定的时间内保持网络技术的先进性。在充分考虑到网络系统规模、具体要求和投资状况，本着满足目前应用需要和适应网络技术发展趋势等多方面的原则，我们选择千兆位以太网作为网络系统的技术选型，原因是它以低廉的价格提供高带宽、良好的兼容性和管理的简单性并能保证服务质量QoS。所以我们推荐采用千兆以太网为主干、百兆位交换到桌面的星型网络拓扑结构。第四章网络安全与管理4.1外部网络安全控制——过滤？代理？还是防火？在实际的网络应用环境中，安全始终是最重要的内容。网络安全控制主要指企业网边界安全控制和企业网WEB的安全控制。企业网边界是指局域网间的连接部位。一般局域网间以路由器或交换机相连接。一个企局域网建设建议方案-6-电话：0531-86803693业网应由WEB服务器、电子邮件服务器和域名服务器等组成。客户端一般采用Netscape的Navigator或微软的IE浏览器等。企业网边界安全控制技术是指为了保证企业网的边界安全，在企业网边界上的路由器或交换机上实施的以防火墙（Firewall）或代理服务器（proxyserver）等为核心的安全控制措施。代理服务器和反向代理服务器代理服务器是Internet标准服务的应用级网关。代理和反向代理服务器设在内部网和外部网之间，它集中管理和控制企业网内部的各种服务器，从而免除了管理人员对企业网内部的各种服务器逐一设置其控制功能的烦琐工作。代理和反向代理服务器通过对企业网内部的服务器及其存储的信息进行授权，如私有（部分私有、部门私有、某人私有等）、公开等权限，来实现其安全控制功能。代理服务器主要对企业网内部要求向外部网的用户和信息实施控制，而反向代理服务器则是对外部网要求进入企业网内部的用户和信息实施控制。路由器、交换机的安全过滤功能网络边界一般设置路由器或交换机，所有出、入内部网的信息都要经过它。计算机网络上传输的信息都包含有信息的源地址和目的地址等内容。通过对经过路由器或交换机的信息实施过滤，控制源地址和目的地址等可控信息，来实现对进出内部网的用户和信息的安全控制和管理。如果再利用网络管理的SNMP协议和MIB库功能，还能将网络上的每台计算机的IP地址和MAC地址一一对应起来，这样就能更加有效地防止非法用户的入侵。用户常常会提出这样的问题：“既然路由器或代理服务器（proxy）具有安全的功能，在考虑网络安全方面，是否还需要防火墙？它们的功能差别是什么呢？”防火墙的四个基本功能当把本地网或内部网与外部网或Internet相连接的时候，网络安全应当是网络计划决策者首先要解决的问题。最有效的办法就是在它们之间加入防火墙。因为为了保证网络运转的真正安全，防火墙必须从通信的各个层次以及应用中获取、局域网建设建议方案-7-电话：0531-86803693储存，并且管理相关的信息。为了做到决策控制，孤立的检验数据包是不够的。防火墙必须能够分析和利用以下的信息：通信信息——数据包中所有7层的信息；从通信推导来的信息——从以上信息推导来的状态信息。例如FTP进程的埠输出命令被保留起来，以便查核FTP数据输入的连接；应用推导来的信息——如以前被认证过的用户将允许通过防火墙访问授权的服务；信息管理——根据以上的一些因素，评估用于决策控制的灵活的表达式。4.2不同技术的比较1.路由器（Router）路由器工作在网络层。由于它不能提供防火墙的最基本的，显然，它不能保证网络的安全。在通信信息方面，路由器只能访问资料包(Packet)首部的部分信息，在通信及应用推导信息方面，路由器没有状态信息，它不提供从通信或应用推导来的状态信息；在信息管理方面，路由器的信息管理能力很有限。另外，路由器比较难于设置、监视或管理，路由器缺少适当的登录或告警的机制2.代理服务器（Proxy）Proxy在应用层上提供防火墙的功能的，它提供状态信息，主要优点是：提供部分的通信信息;提供全部的从应用推导来的状态信息；提供部分的从通信推导来的状态信息；有管理信息能力。Proxy的弱点是：连接能力有限——每一种服务都需要有代理，因此限制了它的服务连接能力；技术上的局限性——不支持UDP、RPC或其它一些公用协议支持的服务；性能下降——在应用层上的实施使性能受影响；脆弱性——在操作系统和应用方向易受攻击。局域网建设建议方案-8-电话：0531-86803693由此可见，Proxy在Internet/Intranet日益发展的动态环境下，由于服务种类的发展，新的通信协议的出现，暴露出其安全功能的局限性脆弱性3.防火墙（Firewall）1)防火墙的主要特点：防火墙可以对7层的所有通信资料进行访问并分析；通信的“状态”和“相关”数据被储存并动态更新，用以监控应用，包括UDP或RPC的应用；汇集的资料例如通信、应用的状态、网络设置、安全规则，可用以产生适当的动作，即接受、拒绝或对通信加密；任何信息交通都将按照指定的规划加以处理或产生实时的告警；提供全面的网络状态资料或显示。防火墙功能比较防火墙功能路由器代理服务器防火墙防火墙通信信息部分部分全部从通信推导来的状态信息无部分全部从应用推导来的状态信息无全部全部信息管理很有限有限全面2)功能完备的防火墙的主要功能内容防范防火墙独特的内容防范功能包括通信内容智能监控，防止计算机病毒，Java小程序和不希望要的WEB内容等。URL屏蔽URL功能增强了网络控制能力，使得网络管理人员能够限制对WEB特定页面的访问。网络管理人员可以制订一个灵活的安全政策，使员工只能访问或下载允许的WE