湖南畅通科技有限公司网络设计方案
2009年12月25日
致:
根据贵方为衡阳市第八中学项目招标采购货物及服务的投标邀请(招标编号),签字代表洪霞总经理(全名、职务)经正式授权并代表投标人湖南畅通科技有限公司(长沙市黄兴路568号)(投标方名称、地址)提交下述文件正本一份和副本一式一份。(1)开标一览表
(2)投标价格表
(3)货物简要说明一览表
(4)按投标须知第14、15条要求提供的全部文件
(5)资格证明文件
(6)投标保证金,金额为人民币元。
据此函,签字代表宣布同意如下:
1.所附投标报价表中规定的应提供和交付的货物投标总价为人民币_ 130_万元。
2.投标人将按招标文件的规定履行合同责任和义务。
3.投标人已详细审查全部招标文件,包括修改文件(如需要修改)以及全部参考资料和有关附件。我们完全理解并同意放弃对这方面有不明及误解的权利。
4.其投标自开标日期有效期为___90__个日历日。
5.如果在规定的开标日期后,投标人在投标有效期内撤回投标,其投标保证金将被贵方没收。
6.投标人同意提供按照贵方可能要求的与其投标有关的一切数据或资料,完全理解不一定要接受最低价格的投标或受到的任何投标。
7.与本投标有关的一切正式往来通讯请寄:
地址:湘长沙市黄兴路568号__ 邮编:430125
电话:0731-*******传真:0731-*******______________
投标人代表性名、职务:洪霞_____总经理______
投标人名称(公章):湖南畅通科技有限公司
日期:_2009_年12月25日
全权代表签字:洪霞
公司简介
湖南畅通科技有限公司成立于2000年,注册资本为400万元,现有员工60余人,拥有在网络技术、系统集成等方面具有资深经验的高科技人才:10人拥有思科专家级认证资格,20人拥有5年以上行业工作经验.。目前公司总部设在长沙,同时在广东、深圳、杭州等省市设有分支机构。
公司自成立以来,坚持“应用为本,专注行业”和“网络信息科技化”的发展战略,在短短几年时间里,承担了教育、金融、电信、能源、交通、流通、邮政、制造等多个行业信息化科技领域的多项大型软件项目和工程项目,取得了令人瞩目的成就,真正成为了专业的软件开发商、系统集成商,专业的电子商务全面解决方案和服务提供商。目前我们畅通科技有限公司已通过了ISO9001 国际、国内质量体系认证。自成立以来,我们畅通科技有限公司获得不少的荣誉,如:国家权威检测2007-2008年度“质量、信誉、服务”三优企业。
公司与国内知名高校在人才、技术、资源等方面密切合作,紧密依托人才和科技优势,在信息科技的各个领域开展了卓有成效的工作,拥有一流的科技开发队伍,先进的技术设施和严格的管理制度,拥有完成各类大型项目的丰富经验,既有深厚的各类技术的专业知识,又有多年金融、教育、交通等领域信息系统集成成功经验的综合优势,迅速发展为湖南省大型骨干高新技术企业和网络信息系统集成企业,并在全国范围内拥有很高的影响力,且致力于科技开发产业化,为各类客户提供技术开发、信息系统建设等方面的服务。
公司业绩:
一.湖南省长沙市宁乡一中校园网构建
二.广州市沃尔玛超市网络建设工程
三.杭州市移动分公司网络系统构建
四.新华保险长沙分公司网络工程
五.中信证劵公司杭州分公司网络系统构建
六.武汉市黄冈中学校园网构建
目录
一衡阳市第八中学校园网络的总体规划思想 (2)
1.1 用户需求分析 (2)
1.1.1 基本情况 (2)
1.1.2 主要服务 (3)
1.1.3 用户习惯 (3)
1.1.4 资金投入 (3)
1.2 网络设计原则 (3)
1.3 网络设计目标 (4)
二校园网络的总体结构 (5)
三网络逻辑结构设计 (6)
3.1 网络拓扑结构设计 (6)
3.1.1 星型拓扑结构的优点 (6)
3.1.2 交换型层次结构 (7)
3.2 IP地址的规划和设计 (8)
3.2.1全球地址和专用地址的选择 (8)
3.2.2 IP地址分配原则 (9)
3.2.3 校园网IP地址的具体分配 (10)
3.3 VLAN的规划和设计 (11)
3.3.1 虚拟局域网技术概述 (11)
3.3.2 VLAN设计和划分 (12)
3.3.3 VLAN之间的通信 (12)
3.4 网络的安全和管理设计 (13)
3.4.1 防火墙 (13)
3.4.2 划分VLAN及应用ACL (13)
3.4.3 防雷、防静电和防盗措施 (14)
3.4.4 网络监控 (14)
3.4.5 网络管理 (14)
3.4.6 带宽管理 (14)
3.4.7 用户管理 (15)
3.4.8 网络维护 (15)
3.5.1 网络可靠性的概述 (15)
3.5.2 设备冗余 (15)
3.5.3 链路聚合 (16)
3.5.4 虚拟路由器冗余设计 (17)
3.6 互联网接入方案 (17)
3.7 WLAN的设计 (18)
四网络操作系统的选择 (18)
4.1 UNIX (18)
4.2 LINUX (18)
4.3 NETWARE (19)
4.4 WINDOWS NT SERVER 4.0 (19)
4.5 WINDOWS 2000 SERVER (19)
五服务器及应用系统 (19)
5.1 服务器 (19)
5.2 应用系统 (21)
六数据安全性与完备性设计 (21)
七网络设备选型 (21)
7.1 核心层交换机: (21)
7.2汇聚层交换机: (22)
7.3接入层交换机: (22)
7.4路由器: (22)
八售后技术培训 (27)
8.1 技术培训内容 (27)
8.2 技术培训目的 (27)
8.3 技术培训方式 (27)
九售后服务支持 (27)
9.1 服务支持范围 (27)
9.2 服务维护内容 (28)
9.3 服务维护方式 (28)
十售后服务流程图 (29)
附录A企业相关资质文件 (30)
附录B投标企业资格报告 (32)
附录C 法人代表授权书 (33)
附录D履约保证金保函 (34)
前言
科学技术的发展日新月异,九十年代,在计算机技术和通信技术结合下,网络技术得到了飞速的发展。如今,不仅计算机已经和网络紧密结合,整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流,人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来,网络必将成为和电话一样通用的工具,成为人们生活、工作、学习中必不可少的一部分。
Internet,即国际互联网,是现在网络应用的主流,从它最初在美国诞生至今已经经历了三十多年。这个以TCP/IP协议为主体的国际互联网络已经成为覆盖全世界一百五十多个国家和地区的大型数据通信网络。最初的Internet是由科研网络形成的,主要是由一些大学和研究所等科研教育单位连接而成,逐渐发展到今天的规模。而进入九十年代后,由于各种商业信息进入了Internet,使得Internet得到了极大地发展,其拥有的主机数,连接的网络数以及覆盖面一直呈指数形式上升。现在在Internet上可以提供或者获得各种各样的服务,比如通过电子邮件进行合同的起草和签订,或利用Internet直接挑选商品和购物。
Internet是一个资源的网络,其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会,世界上数以亿计的人们利用它进行通信和信息共享,通过发送和接收电子邮件,或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。
Internet也是一个服务的网络。在Internet上,许多单位、公司和组织提供了各种各样的服务。比如WWW(World Wide Web全球信息网)服务、信息查询服务等,向网络上的其他用户展示自己各方面的情况,并帮助这些用户找到需要的信息。
将来的网络在Internet基础上进一步发展,其功能、速度、适用范围等必将全面超过现有的Internet。
我国对计算机网络的建设投入了大量的人力和物力,在短短的几年中,已经从最初仅仅局限在教育科研单位的网络,迅速发展到今天遍及全国的包括教育、科研、商业、民用各个方面的数个大型网络,如Chinanet(中国邮电网)、Cernet (中国教育网)、Gbnet(金桥网络)等等。目前在网络上提供有价值、有吸引力的信息,对一个单位或学校树立自己的形象,提高自己的知名度,以及开拓和国际上其他学校、组织的联系和往来能够起到很显著的作用。
衡阳市第八中学是国家重点中学,以培养全面高素质人才为己任。当今世界随着计算机、网络通信等现代科学技术的发展,人类正迈入信息时代,建立可以与国内外著名网络互联的校园网已成为必然。
衡阳市第八中学对外将实现与网络相连;对内实现与校内各部门进行通信。衡阳市第八中学校园网将为学校的科研、教学、管理提供必要的技术手段,为研究开发和培养人才建立平台,借此加快学校的发展,以此加快学校的发展,成为一个具有示范性的学校。
一衡阳市第八中学校园网络的总体规划思想
1.1 用户需求分析
1.1.1 基本情况
目前,衡阳第八中学中学现有3000左右个学生,需要在所有楼宇间组建网络,而且楼宇与楼宇之间需要相互连接。它们主要分布在教学楼1栋(5层楼,12个信息点)、教学楼2栋(4层楼,12个信息点)、教学楼3栋(4层楼,12个信息点)、教学楼4栋(3层楼,9个信息点)、科技楼(5层楼,7个信息点)、图书馆(3层楼,3个信息点)、办公楼(3层楼,7个信息点)。
另外,还有宿舍楼,它们分别是宿舍楼1栋(5层楼,36个信息点)、宿舍楼2栋(5层楼,24个信息点)、宿舍楼3栋(5层楼,30个信息点)、宿舍楼4栋(5层楼,24个信息点)、宿舍楼5栋(5层楼,36个信息点)。
图1 信息点布设示意图
1.1.2 主要服务
校园网主要是根据不同的配置情况用于办公、教学、学生、教师家庭上网之用,建立办公自动化系统和综合多媒体教室。配合当前的教学发展情况,完成学校内部 Intranet的配套基础建设,将全校的信息资源利用计算机网络连接起来,形成一个流畅、合理、可靠、安全的校园网。还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。通过各校校园网络的连接,可以更便利地互相交换信息,促进各个学校间的学术交流。
通过校园网络使教师和科研人员能及时了解国内外科技发展动态,加强对外技术合作,促进教学和科研水平的提高。建立新的通讯方式和环境,提高工作效率。
1.1.3 用户习惯
用户主要包括教师、教师家庭和学生,对于校园网的使用主要是网页浏览、上传资料和文件下载。
1.1.4 资金投入
此次,校园网络的建设预算是120万左右,后期如有变化再做调整。
1.2 网络设计原则
1).学校需求为前提原则:坚持以学校具体需求为校园网信息系统方案设计的根本和前提,同时,也要注重源于需求又高于需求的原则,注意用专业化的技术思想来进行校园网的规划与设计,确保校园网的实用性、先进性和便于扩展性。
2).设备选型兼顾原则:满足学校对现代化教学手段的要求;满足校园网建设及互联网的要求;所选设备在国际上保持技术先进性;供应商有良好的商业信誉和优质的售后服务。
3).坚持标准原则:一切校园网设计和施工,均要严格遵循国际和国家标准。统一规划,分步实施。校园网的实现要求通讯协议、网络平台等应具有世界性的开放性和标准化的特点,并且应采用统一的网络体系结构。
4).坚持先进的成熟的技术原则:采用通用的、成熟的技术方案可以降低建设成本、减小设计、施工和使用难度、缩短建设周期。有利于保护投资,并且有利于校园网的维护和升级。选择品质最好的设备不一定是最佳选择,成本因素也是一个不容忽视的问题,将品质与成本实现最佳匹配。
5).坚持规范布线,考虑长远发展原则:
布线系统使网络的重要基础,布线系统的好坏是衡量一个网络好坏的非常重要的标志。布线系统不合理将降低网络的可靠性,使网络难以管理和维护,所以必须采用标准的综合布线系统。
6).坚持易于使用和管理原则:
校园网的各种软件应用项目必须易于使用,对最终用户的起点要求不能太高,一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系统为宜;系统的日常管理和维护工作要方便、简易。网络拓扑结构一经配置确定,不应轻易更改。
7).坚持可扩展性原则:考虑现有网络的平滑过度,使学校现有陈旧设备尽量保持较好的利用价值;选用产品应具有最佳性价比,又要应充分考虑未来可能的应用,具有高扩展性。
1.3 网络设计目标
1).满足计算机教学科研、行政办公需要,提供各种教学、办公工具和支撑平台,并提供丰富的计算机软硬件系统资源。
2).具有完善的办公事务处理能力,包括电子公文传递、电子公文管理、电子邮件、邮件收发等无纸办公自动化功能。
3).满足信息情报交流的需要,方便学校各级领导和教学科研人员对各种信息资料、科技情报的检索和查阅。包括Web查询、电子公告、电子新闻等。 4).具有远程通信能力,借助电话网等通信手段,以最低的通信成本,方便地实现远程互联,跨越地域限制,满足学校要求,加强各单位之间的业务联系和信息资源共享。
5).具有收集、处理、查询、统计各类信息资源的能力,充分利用原有数据资源,为学校领导提供准确、快捷的数字信息,实现数据化管理和智能化决策。6).学校网络系统要确保整个计算机网络系统的可靠性、安全性,具有一定的冗余。容错能力强,确保信息处理安全保密。
7).学校信息网络系统要保证实用和技术先进,便于非计算机专业人员使用,并能不断满足学校未来业务发展的需要,具有很强的扩展能力。
二校园网络的总体结构
我们将整个校园网归结为三个层次,分别是:应用系统层、网络系统层、物理连接层。每一层都分别为上一层提供服务,应用层建立在网络层的基础上,而网络层又是建立在物理层的基础上,层层相连,环环相扣,构成一个完整的系统。
物理连接层通过综合布线系统构造通讯基础设施,在此之上构筑数据网、视频网、音频网。目前三网合一的概念,就是希望在网络层统一上述这三个网络,使应用层能建立在统一的网络层平台之上。目前,广域主干网上实现三网合一的技术条件已经成熟并以开始实用。从技术发展趋势上看,未来的统一网络必然统一在数据网平台之上。
网络层通过网络设备、系统平台、开发平台的铺设,为上层应用层提供信息服务、教学服务、校务服务、互联服务的平台和接入接口,应用层直接面向用户,为用户的各种需要服务。因此,我们在本方案中,将按照本图,根据学校教学和管理的实际需求,设计一个全方位的、层次化的、综合的开放架构,从而建立一个校园网的完整解决方案。整个校园网的结构模型如图2。
图2 结构模型图
三网络逻辑结构设计
3.1 网络拓扑结构设计
在此校园网建设中,我们认为分层星型结构是校园布线拓扑结构的最佳选择,采用核心层(一级)、汇聚层(二级)、接入层(三级)的星型网络结构。
3.1.1 星型拓扑结构的优点
1)网络结构简单,建设和维护费用少。一般采用双绞线作为传输介质,
因此建网成本较低。
2)通信节点一般采用交换机,这样集中了网络信号流量,提高了链路利
用率。
3)网络性能较高,目前网络传输速率达到了10Gbit/s。
4)网络扩展性好,节点扩展时,只需从交换机等设备中插入一条双绞线
即可。移动一个节点是,只需要把相应节点设备移到新节点即可。
5)维护容易,一个节点出现故障不会影响其他节点的连接,可任意拆走
故障节点。
3.1.2 交换型层次结构
1)基于交换技术的层次模型主要由2层和3层交换机组成,这种网络由于统一采用交换机构建。因此结构简单,近年来,交换机性能提高很快,而且价格也越来越低廉,十分适合校园网这种中小型局域网的建设。
2)分层结构主要有核心层、汇聚成和接入层。
3)核心层
主要高速处理数据流,提供节点与节点之间的高速数据转发,优化传输链路,并实现安全通信。核心层是所有流量的最终汇聚点和处理点。,结构相对简单,但是对核心层设备的性能要求十分严格。
在此校园网中,采用核心层双中心星型拓扑结构。它的优点是网络结果较为简单,实现了设备冗余和链路冗余,这提高了网络的可靠性,也可以很好地进行网络负载平衡。
4)汇聚层
汇聚层是核心层与接入层的分界面,主要提供基于策略的网络连接,负责路由聚合,收敛数据流量,将网络服务连接到接入层,还可以屏蔽接入层变化对核心层的影响。
汇聚层大多选用3层交换机,也有少部分选择2层交换机。
5)接入层
为用户提供网络访问功能,并负责将网络流量馈入到汇聚层,执行用户认证和访问控制,并提供相关网络服务。
在局域网设计中,接入层网络结构应当采用通用的星型拓扑结构。为了降低网络成本,接入层一般很少采用冗余链路。为了简化网络和降低成本,接入层一般不提供路由功能,也不进行路由信息交换。
3.1.3 本校园网的网络拓扑结构图
5栋
图3.13 网络拓扑结构图
3.2 IP地址的规划和设计
在TCP/IP网络中,每一台设备都需要用IP地址唯一标识。IP地址的规划应符合标准,还应由规律、易记忆、易于扩展、便于路由组织。IP地址大致可以分为两类:全球地址和专用地址。全球地址在因特网中使用。专用地址在内部网络中使用,只能通过代理服务器或者地址转换设备才能与因特网通信。
3.2.1全球地址和专用地址的选择
IP地址规划的首要问题是确定网络中使用IP地址的数量和类型。IP地址的数量可以通过计算机网络中的工作站、服务器、网络设备的数量粗略计算出来。企业或者学校的IP地址一般有上级网路或者因特网服务提供商分配。如果网络中IP地址的需求量很大,上级分配的IP地址无法满足内部网络的需要,就需要考虑在网络内部使用专用IP地址,并使用网络地址转换(NAT)。网络地址转换时解决目前IP地址不足的一种方法,它负责将内部网络中的专用地址翻译成合
法的外部全球IP地址,如图3.2.1所示。
图3.2.1
RFC1918定义了专用IP地址的范围,具体如下:
①10.0.0.0—10.255.255.255(或记为1018,它又称为24比特块);
②172.16.0.0—172.31.255.255(或记为172.16/12,它又称为20比特块);
③192.168.0.0—192.168.255.255(或记为192.168/16,它又称为16比特块)。
上面的专用地址不会分配给因特网上的任何网络,因此可以自由的选择这些网络地址作为校园网的内部地址。
3.2.2 IP地址分配原则
为了方便管理和路由组织,采用了以下IP地址分配原则:
1).采用无分类编址技术(CIDR)和可变长子网掩码技术(VLSM)。
2).根据网络IP地址需求情况,将IP地址划分成大块,例如可以按照建筑物划分,或者按照部门为单位划分。要求一个IP对应一个或者若干个分布层设备的管理范围。
3).对应每个IP地址块,按照楼层或者小部门进行二次划分。
4).在进行工作组的详细IP地址分配,例如具体工作站的地址、打印机
的地址等。
5).从整个IP地址空间中选取一段(例如一个C类IP地址),作为网络设备互连和管理IP地址。
6).对各工作组网段,建议不要超过255台主机。
3.2.3 校园网IP地址的具体分配
根据所上,我们将校园网 IP 地址分为两大块:
1). 校园网内部的私有 IP 地址,采用 RFC 中规定的地址段。
2). Cernet 分配的多个C 类公网IP 地址,作为和互联网互连的地址。
经过对网络环境设备等的研究,我们决定采用由 DHCP 服务器分配 IP 地址,在服务器中建立IP地址数据库,局域网中的客户机通过动态分配的方式从DHCP服务器中获取IP地址、网关等参数。对IP地址的分配,首先确定IP网段的分配.表3.2.3为校园网地址的具体IP地址分配。
表3.2.3 IP地址分配
在确定了IP网段之后,每个部门在对具体的网络设备和计算机进行地址分配。设备的地址分配可以使用顺序分配和地址分块两种方法。
3.3 VLAN的规划和设计
3.3.1 虚拟局域网技术概述
虚拟局域网(Virtual LAN)技术是通过路由和交换设备,在网络的物理拓扑基础上通过网络管理人员建立的一个逻辑网络。VLAN可以看成一组客户工作站的集合,这些集合可以不受地理位置的限制而像处于同一个LAN上那样互相交换信息。它可以看作一个广播域。在一个虚拟网内,由一个工作站发出的信息,只能发送到具有相同虚拟网号的其他站点,而其他虚拟网的成员收不到这些信息或广播帧。
在传统的局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。由于网络中的站点被束缚在所处的物理网络中,而不能根据需要将其划分到相应的逻辑子网,因此网络的机构缺乏灵活性。为解决这一问题,从而引发了虚拟网VLAN的概念,所谓VLAN是指网络中的站点不拘泥于所处的物理位置,可以根据需要灵活地加入到不同的逻辑子网中的一种网络技术。例如位于不同楼层的用户或者不同教室的用户可以根据需要加入不同的VLAN。
在校园网中采用VLAN技术可以提高管理效率,抑制广播数据,增强网络安全性,实现虚拟工作组,减少路由需要并大幅度提高设备的数据包转发能力,支持多媒体应用与高效组播控制,提高网络带宽的有效利用率等。虚拟局域网不受物理位置限制,可以根据用户需求进行网络分段;每个vlan是一个独立的广播域,能够将广播风暴控制在一个vlan内部;通过将网络划分为多个vlan,可以缩小网络的广播域,减少网络中广播风暴所消耗的带宽,提高网络的性能。
Vlan的划分提高网络的利用率,降低广播包对网络资源的消耗,使网络运
行更稳定、更高效;同时,根据工作性质对网络进行VLAN划分,对网络资源有选择地开放,使网络结构更趋合理,更加安全。
3.3.2 vlan设计和划分
在校园网中,合理设计和划分vlan非常关键,一个合理的vlan设计可以有效地保证网络的安全性,减少广播风暴,提高网络的运行效率。目前,在此中学校园网中,因为学生人数只有3000左右不算太多,信息节点数大概有200多个,所以在校园网中我们将网络中心、各教学楼的计算实验中心、招生办公室、宿舍楼、图书馆、科技楼、教务处等部门划分成一个个相互独立的vlan。
交换机上的vlan划分我们采用基于端口划分vlan的方式。这种方式划分比较简单,,而且同一vlan可以跨越数个以太网交换机,容易操作,此外,一个vlan一般对应一个IP子网。
3.3.3 vlan之间的通信
交换机是数据链路层设备,只能识别MAC地址,但不能实现不同网络之间的通信,所以也不能实现不同vlan之间的通信。因此,vlan之间的通信需要借助具有3层(网络层)路由功能的路由器或具有3层交换功能的交换机来实现。
在此校园网中,我们采用3层交换机直接实现vlan之间的通信。3层交换机将2层交换机和3层路由器两者的优势相结合,可在各个层次提供线速性能的交换。一般来说,第三层交换产品都采用可编程可扩展的ASIC芯片技术,可以提供具有极高的吞吐流量,数据报的转发速度通常比中高端路由器还要快很多倍。它使2层与3层相互关联起来,而且还提供流量优先化处理、安全访问机制以及许多先进的策略和灵活的功能。它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面。相对于传统的路由器而言,第三层交换机的配置方式简单,不需要额外的附加设备,一般通过增加到有3层交换功能的引擎就可以实现,这种方式还节省了机房空间和网络布线。
因此三层交换机既具有优秀的三层转发功能,又有接近二层交换机的速度同时比相同路由器的价格低很多,具有较高的性能价格比。
3.4 网络的安全和管理设计
3.4.1 防火墙
为了最大可能的减少校外的攻击,防止一般黑客的侵袭,给校内提供一个安全稳定的网络环境,同时处于对处理速度的要求,要求在学校网络添加防火墙。此外为了控制学生浏览不良网站,我们希望能随意控制上网的网站,因此也需要防火墙。
在Internet与校园网内网之间部署了防火墙,在内外网之间建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,以保证内网安全),与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的使用,并能够对发生在网络中的安全事件进行跟踪和审计。
在防火墙设置上我们按照以下原则配置来提高网络安全性:
a)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
b)配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
c)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
d)定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。
e)允许通过配置网卡对防火墙设置,提高防火墙管理的安全性。
3.4.2 划分vlan及应用ACL
对安全性以及低广播风暴的要求,要求对各个部门单独划分vlan,上文已经详细提到了。各个部门,系,所访问网络的控制,各单位之间在未经授权的情况下,不能相互访问。对财务部,院领导部门等访问做特殊控制。同时尽量减少不正常的网络流量病毒的传播。
3.4.3 防雷、防静电和防盗措施
一个完整的防雷保护系统可分为三大部分:1室外防雷保护系统,2室内防雷保护系统,3接地保护系统。
而我们主要在机房部署防雷系统,机房防雷系统应属室内防雷范围,雷击事故主要为感应雷造成。机房的防雷系统工程分为三方面:1低压供电系统防雷,2通信网络系统防雷,3接地保护系统。
由于机房部署大量电子设备,防静电不可忽视。机房要求部署防静电地板,接触设备时尽量排除身上静电,操作核心设备要求佩戴防静电手腕等。防盗是最根本的,要求机房以及各个弱点井安装防盗门窗,钥匙要专人保管。其他方面机房要保持一定的温度,需要空调等设备控制温度,防止高温造成设备老化。
3.4.4 网络监控
平常,网络的工作时间约等于100%,夜间由于学生断电,利用率降至5%以下。我们使用监控流量软件,进行各个交换机和路由器的流量实时监控,能及时反映出当前和平均的流量图。此外,网管人员通过实时监测CPU利用率、内存利用率、NAT表等关键系统资源,可以及时发现潜在的各种攻击;通过实时查看各个接口的带宽,查看各个用户的上传/下载带宽以及NAT会话数,查看上传/下载带宽排行榜和NAT会话数排行榜,能够快速定位网速慢、卡等网络异常。
3.4.5 网络管理
学校采用锐捷计费系统,对学生使用Internet的用户,进行自动计费;给每个用户相应权限的账号,既能使操作者充分利用校园网的资源,又能方便网络管理人员对校园网络的管理;给需要共享的资源统一设定权限,以方便广大的教师、学生查询使用。
3.4.6 带宽管理
提供基于CBT(Credit-Based Queuing)算法的带宽管理功能,可大大提高带宽利用率,并能有效抑制BT、讯雷、QQ直播等P2P软件对带宽的滥用:对于正常上网的主机,将允许它偶尔突破最大限速;相反,对于长期使用P2P软件的主机,将会减小它的带宽,使其对其他主机的影响降到最低。
支持按时间段进行带宽管理,实现了在网络繁忙的时候启用带宽管理,从而保证局域网所有用户都能合理使用带宽;而在用户少、网络空闲的时候,则不进行带宽控制,从而方便网络管理员进行更新内部服务器等网络维护工作,使得现有用户能够高速上网,保证了线路带宽的充分利用。支持单机最大NAT并发会话数限制,还可以分别限制由TCP、UDP或者ICMP协议构成的最大并发会话数,可以有效防止用户使用P2P等海量下载软件过度占用带宽,还可以避免中毒主机过度浪费带宽,保证其他主机运行正常。
3.4.7 用户管理
提供用户个性化管理功能,实现了百分之百的按需定制。针对用户的实际需求,每台内部主机都可以采取不同的策略(可以任意限定某台PC可使用的带宽、NAT会话数,是否禁止QQ、MSN、P2P,等等)。进行IP/MAC地址绑定,过滤非法IP或MAC地址,设置上网黑名单和白名单。
3.4.8 网络维护
教师用机和教室计算机都安装保护卡,是计算机的系统分区得到保护,避免教师在教学的过程中,由于误操作而是系统损坏。
3.5 网络可靠性设计
3.5.1 网络可靠性的概述
网络可靠性是指系统可以稳定运行的能力。网络系统可以通过设备冗余、拓扑冗余、链路冗余、路由冗余来增强网络的可靠性,提供容错能力或备份功能。在数据链路层,通过使用IEEE802.3ad链路聚合协议,可以提供链路冗余功能。在网络层,通过虚拟路由器冗余协议设计VRRP和路由设计可以实现负载均衡和可靠性保证。
3.5.2 设备冗余