计算机网络 校园网规划与设计

螈节芈袈袁肅薇袇羃芀薃袆膅肃葿袆袅荿莅蒂羇膁芁蒁肀莇蕿蒀蝿膀蒅蒀袂莅莁蕿羄膈芇薈肆羁蚆薇袆膆薂薆羈聿蒈薅肁芅莄薄螀肇芀薄袂芃薈蚃羅肆蒄蚂肇芁莀蚁螇肄芆蚀罿艿节虿肁膂薁蚈螁莈蒇蚈袃膁莃蚇羆莆艿螆肈腿薈螅螈羂蒃螄袀膇荿螃肂羀莅螂螂芅芁螂袄肈薀螁羆芄蒆螀聿肇莂衿螈节芈袈袁肅薇袇羃芀薃袆膅肃葿袆袅荿莅蒂羇膁芁蒁肀莇蕿蒀蝿膀蒅蒀袂莅莁蕿羄膈芇薈肆羁蚆薇袆膆薂薆羈聿蒈薅肁芅莄薄螀肇芀薄袂芃薈蚃羅肆蒄蚂肇芁莀蚁螇肄芆蚀罿艿节虿肁膂薁蚈螁莈蒇蚈袃膁莃蚇羆莆艿螆肈腿薈螅螈羂蒃螄袀膇荿螃肂羀莅螂螂芅芁螂袄肈薀螁羆芄蒆螀聿肇莂衿螈节芈袈袁肅薇袇羃芀薃袆膅肃葿袆袅荿莅蒂羇膁芁蒁肀莇蕿蒀蝿膀蒅蒀袂莅莁蕿羄膈芇薈肆羁蚆薇袆膆薂薆羈聿蒈薅肁芅莄薄螀肇芀薄袂芃薈蚃羅肆蒄蚂肇芁莀蚁螇肄芆蚀罿艿节虿肁膂薁蚈螁莈蒇蚈袃膁莃蚇羆莆艿螆肈腿薈螅螈羂蒃螄袀膇荿螃肂羀莅螂螂芅芁螂袄肈薀螁羆芄蒆螀聿肇莂衿螈节芈袈袁肅薇袇羃芀薃袆膅肃葿袆袅荿莅蒂羇膁芁蒁肀莇蕿蒀蝿膀蒅蒀袂莅莁蕿羄膈芇薈肆羁蚆薇袆膆薂薆羈聿蒈薅肁芅莄薄螀肇芀薄袂芃薈蚃羅肆蒄蚂肇芁莀蚁螇肄芆蚀罿艿节虿肁膂薁蚈螁莈蒇蚈袃膁莃蚇羆莆艿螆肈腿薈螅螈羂蒃螄袀膇荿螃肂羀莅螂螂芅芁螂袄肈薀螁羆芄蒆螀聿肇莂衿螈节芈袈袁肅薇袇羃芀薃袆膅肃葿袆袅荿莅蒂羇膁芁蒁肀莇蕿蒀蝿膀蒅蒀袂莅莁蕿羄膈芇薈肆羁蚆薇袆膆薂薆羈聿蒈薅肁芅莄薄螀肇芀薄袂芃薈蚃羅肆蒄蚂肇芁莀蚁螇肄芆蚀罿艿节虿肁膂薁蚈螁莈蒇蚈袃膁莃蚇羆莆艿螆肈腿薈螅螈羂蒃螄袀膇荿螃肂羀莅螂螂芅芁螂袄肈薀螁羆芄蒆螀聿肇莂衿螈节芈袈袁肅薇袇羃芀薃袆膅肃葿袆袅荿莅蒂羇膁芁蒁肀莇蕿蒀蝿膀蒅蒀袂莅莁蕿羄膈芇薈肆羁蚆薇袆膆薂薆羈聿蒈薅肁芅莄薄螀肇芀薄袂芃薈蚃羅肆蒄蚂肇芁莀蚁螇肄芆蚀罿艿节虿肁膂薁蚈螁莈蒇蚈袃膁莃蚇羆莆艿螆肈腿薈螅螈羂蒃螄袀膇荿螃肂羀莅螂螂芅芁螂袄肈薀螁羆芄蒆螀聿肇莂衿螈节芈袈袁肅薇袇羃芀薃袆膅肃葿袆袅荿莅蒂羇膁芁蒁肀莇蕿蒀蝿膀蒅蒀袂莅莁蕿羄膈芇薈肆羁蚆薇袆膆薂薆羈聿蒈薅肁芅莄薄螀肇芀薄袂芃薈蚃羅肆蒄蚂肇芁莀蚁螇肄芆蚀罿艿节虿肁膂薁蚈螁莈蒇蚈袃膁莃蚇羆莆艿螆肈腿薈螅螈羂蒃螄袀膇荿螃肂羀莅螂螂芅芁螂袄肈薀螁羆芄蒆螀聿肇莂衿螈节芈袈袁肅薇袇羃芀薃袆膅肃葿袆袅荿莅蒂羇膁芁蒁肀莇蕿蒀蝿膀蒅蒀袂莅莁蕿羄膈芇薈肆羁蚆薇袆膆薂膃薆薆肅膃蚈袂羁膂莈蚅袇膁蒀袀膆膀薂蚃肂艿蚄袈羈芈莄蚁袄芇蒆袇袀芇虿螀膈芆莈羅肄芅蒁螈羀芄薃羃袆芃蚅螆膅莂莅蕿肁莁蒇螄羇莁蚀薇羃莀荿袃衿荿蒂蚆膇莈薄袁肃莇蚆蚄罿莆莆衿袅蒅蒈蚂膄蒅薀袈肀蒄螃蚀肆蒃蒂羆羂聿薅蝿袈聿蚇羄膇肈莇螇肃肇葿羃罿膆薁螅袅膅蚄薈膃膄莃螄腿膃薆薆肅膃蚈袂羁膂莈蚅袇膁蒀袀膆膀薂蚃肂艿蚄袈羈芈莄蚁袄芇蒆袇袀芇虿螀膈芆莈羅肄芅蒁螈羀芄薃羃袆芃蚅螆膅莂莅蕿肁莁蒇螄羇莁蚀薇羃莀荿袃衿荿蒂蚆膇莈薄袁肃莇蚆蚄罿莆莆衿袅蒅蒈蚂膄蒅薀袈肀蒄螃蚀肆蒃蒂羆羂聿薅蝿袈聿蚇羄膇肈莇螇肃肇葿羃罿膆薁螅袅膅蚄薈膃膄莃螄腿膃薆薆肅膃蚈袂羁膂莈蚅袇膁蒀袀膆膀薂蚃肂艿蚄袈羈芈莄蚁袄芇蒆袇袀芇虿螀膈芆莈羅肄芅蒁螈羀芄薃羃袆芃蚅螆膅莂莅蕿肁莁蒇螄羇莁蚀薇羃莀荿袃衿荿蒂蚆膇莈薄袁肃莇蚆蚄罿莆莆衿袅蒅蒈蚂膄蒅薀袈肀蒄螃蚀肆蒃蒂羆羂聿薅蝿袈聿蚇羄膇肈莇螇肃肇葿羃罿膆薁螅袅膅蚄薈膃膄莃螄腿膃薆薆肅膃蚈袂羁膂莈蚅袇膁蒀袀膆膀薂蚃肂艿蚄袈羈芈莄蚁袄芇蒆袇袀芇虿螀膈芆莈羅肄芅蒁螈羀芄薃羃袆芃蚅螆膅莂莅蕿肁莁蒇螄羇莁蚀薇羃莀荿袃衿荿蒂蚆膇莈薄袁肃莇蚆蚄罿莆莆衿袅蒅蒈蚂膄蒅薀袈肀蒄螃蚀肆蒃蒂羆羂聿薅蝿袈聿蚇羄膇肈莇螇肃肇葿羃罿膆薁螅袅膅蚄薈膃膄莃螄腿膃薆薆肅膃蚈袂羁膂莈蚅袇膁蒀袀膆膀薂蚃肂艿蚄袈羈芈莄蚁袄芇蒆袇袀芇虿螀膈芆莈羅肄芅蒁螈羀芄薃羃袆芃蚅螆膅莂莅蕿肁莁蒇螄羇莁蚀薇羃莀荿袃衿荿蒂蚆膇莈薄袁肃莇蚆蚄罿莆莆衿袅蒅蒈蚂膄蒅薀袈肀蒄螃蚀肆蒃蒂羆羂聿薅蝿袈聿蚇羄膇肈莇螇肃肇葿羃罿膆薁螅袅膅蚄薈膃膄莃螄腿膃薆薆肅膃蚈袂羁膂莈蚅袇膁蒀袀膆膀薂蚃肂艿蚄袈羈芈莄蚁袄芇蒆袇袀芇虿螀膈芆莈羅肄芅蒁螈羀芄薃羃袆芃蚅螆膅莂莅蕿肁莁蒇螄羇莁蚀薇羃莀荿袃衿荿蒂蚆膇莈薄袁肃莇蚆蚄罿莆莆衿袅蒅蒈蚂膄蒅薀袈肀蒄螃蚀肆蒃蒂羆羂聿薅蝿袈聿蚇羄膇肈莇螇肃肇葿羃罿膆薁螅袅膅蚄薈膃膄莃螄腿膃薆薆肅膃蚈袂羁膂莈蚅袇膁蒀袀膆膀薂蚃肂艿蚄袈羈芈莄蚁袄芇蒆袇袀芇虿螀膈芆莈羅肄芅蒁螈羀芄薃羃袆芃蚅螆膅莂莅蕿肁莁蒇螄羇莁蚀薇羃莀荿袃衿荿蒂蚆膇莈薄袁肃莇蚆蚄罿莆莆衿袅蒅蒈蚂膄蒅薀袈肀蒄螃蚀肆蒃蒂羆羂聿薅蝿袈聿蚇羄膇肈莇螇肃肇葿羃罿膆薁螅袅膅蚄薈膃膄莃螄腿膃薆薆肅膃蚈袂羁膂莈蚅袇膁蒀袀膆膀薂蚃肂艿蚄袈羈芈莄蚁袄芇蒆袇袀芇虿螀膈芆莈羅肄芅蒁螈羀芄薃羃袆芃蚅螆膅莂莅蕿肁莁蒇螄羇莁蚀薇羃莀荿袃衿荿蒂蚆膇莈薄袁肃莇蚆蚄罿莆莆衿袅蒅蒈蚂膄蒅薀袈肀蒄螃蚀肆蒃蒂羆羂聿薅蝿袈聿蚇羄膇肈莇螇肃肇葿羃罿膆薁螅袅膅蚄薈膃膄莃螄腿膃薆薆肅膃蚈袂羁膂莈蚅袇膁蒀袀膆膀薂蚃肂艿蚄袈羈芈莄蚁袄芇蒆袇袀 *实践教学*兰州理工大学计算机与通信学院2010年秋季学期计算机网络 课程设计题 目： 民乐一中校园网规划与设计 专业班级： 姓 名： 学 号： 指导教师： 成 绩： 摘 要通过对民乐县第一中学校园网现状的分析，初步完成了民乐一中校园网络设计方案的选择、系统全面构架以及将各个子系统完全结合成一个整体的设计方案。这套方案结合该校的实际情况，以及未来的发展要求，给出了校园网综合设计方案与建议。本方案主要涉及到网络结构的需求分析、网络拓扑结构的选择、广域网的接入、服务器硬件和软件的选购、系统安全性分析、校园网络的维护以及网络管理的相关要求等。关键词：网络拓扑图；IP划分；主干网；网络管理前 言上世纪末，在计算机技术和通信技术结合下，网络技术得到了飞速的发展。如今，不仅计算机已经和网络紧密结合，整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来，网络必将成为和电话一样通用的工具，成为人们生活、工作、学习中的重要朋友。校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统，逐步建立学校信息管理网络，实现办公自动化；为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台；逐步建立计算机辅助教学、计算机辅助考试等系统，为实现多媒体课件制作网络化，教师备课电子化、多媒体化打好基础；保证网络系统的开放性、可持续发展性，便于以后集成视频会议、视频点播等高层次教学功能。筹划校园网要讨论三个要素，无论是校外连网还是校内连网，要较好地发挥校园网的作用都要涉及三个要素：运载基础设施、运载设施和运载信息。计算机网络技术与综合布线系统息息相关。计算机和通信技术的飞速发展，网络应用已成为人们日益增长的一种需求；而结构化布线是网络实现的基础，是现今和未来计算机网络和通信系统的有力支撑环境。所以在设计综合布线系统的同时必须充分考虑所使用的网络技术及网络技术的新发展，避免硬件资源的冗余和浪费，以便充分发挥综合布线的优点。II目 录摘 要I前 言II第1章 企业描述1第2章 需求分析22.1 带宽（核心层、（部门层、）桌面22.2 子网与VLAN规划32.3 实现的信息服务32.4 应用程序52.5 存储系统分析52.6 系统及数据安全分析62.7 QoS72.8 网间隔离7第3章 拓扑图及方案整体描述83.1 主干网传输方案设计83.2 Internet接入方案83.3 远程访问支持93.4 子网划分与VLAN设定113.5 网间隔离方案设计143.6 存储方案153.7 设备选型153.8 软件183.9 信息服务方案183.10 综合布线方案19第4章 网络管理21第5章 系统主要设备报价23参考文献24课程设计总结25第1章 企业描述民乐县第一中学始建于1944年，1997年过渡为以升学预备教育为主要目标的高级中学。学校占地面积138.9亩。有教学楼、宿舍楼、图书楼、实验楼、办公楼。学校现有教学班106个，在校学生7627人，教职工405人。学校拥有设备齐全、达到国颁一类标准的理化生实验室、语音室、微机室、电教室、阅览室。图书楼藏书24.5万余册，期刊100余种。设定为在校生人数8000，主要建筑有5种，分别为办公楼、教学楼、图书楼、实验楼、宿舍楼。网络建设是要为教学、管理提供服务，在校园内部实现资源高度共享，为学校提供基础信息和科学手段，为学生提供一个自由的学习环境，以提高其学习主动性，为教师建构一种新型的教学模式，为培养创新人才提供支持。教学活动和教学过程的大量视频和音频数据的传输是校园网络的关键问题，采用高速以太网、光纤建立校园网络，千兆为主干，百兆到桌面。网络总造价为20万30万元。基本数据：在校生人数8000；占地面积150亩。主要建筑：图书楼、实验楼、教学楼、宿舍楼、办公楼等网络节点：总的信息点将达到3000个左右。信息节点的分布比较分散，将涉及到办公楼、教学楼、图书楼、实验楼、宿舍楼等。主控室可设在实验楼，图书楼、教学楼和宿舍楼为信息点密集区。网络结构：网络分为三个层次，核心层、汇聚层、接入层。采用千兆以太网技术，具有高带宽1000Mbps速率的主干，100Mbps到桌面，内部网与外部网之间采用防火墙技术进行网络安全和网络控制。第2章 需求分析根据我所了解的学校总体目标，利用先进实用的计算机技术和网络通信技术，把学校内所有的局域网、网段和单机用户都连接起来，组成个分布式网络系统。同时通过校园网向上连通教育信息中心及CERNET和Internet连接，向下覆盖全校，分享国内外的计算机资源信息，并建立基于校园网的应用系统，这是学院网络建设的总需求。本次设计从如下几个方面进行需求分析。2.1 带宽（核心层、（部门层、）桌面民乐一中对计算机网络的应用主要是多媒体教学和办公自动化，通过计算机网络这种先进的技术手段，实施多媒体、交互式、内容丰富、形象生动的教学，以培养出能适应社会需求的具有专业技能的人才。根据这一实际应用情况，我们分析在网络上传输的信息是音频、视频、数据相结合的信号，这样对网络的带宽需求就较高，因此，必须对网络带宽和网络的使用性能进行分析，以保证网络满足用户应用的需求。1、音频信号所需的带宽。模拟的音频信号必须转换成二进制数据后才能被计算机存储和处理。对音频信号用等于信号最高频率两倍的速率进行采样，然后对采样值按一定的量化等级进行量化和编码，就可以将音频信号转化成数字数据，并且基本保留原来的信息。采样频率和编码位数的选取视使用场合而定。在电话系统中，一路电话所需的带宽只有56Kbps或64Kbps，而传送立体声唱片则需要1.411Mbps。2、视频信号所需的带宽。在计算机中，一幅图像是由一个个的像素组成的，对每个比特进行编码。灰度图像中，每个像素编码成一个8比特的数，在彩色图像中，每个像素记录了它的颜色，因此每个像素用24比特来表示，而为了获得平稳的运动画面，每秒钟又必须显示25帧的图像，这样一幅分辨率为800600的图像所需的带宽为2480060025288Mbps，通过压缩，带宽可达810Mbps。以上两种信号是网络中对带宽要求最严的数据信号，而且音频信号和视频信号突发性很大，在网络中要求实时的和高质量的传输。当网络规模比较大，网络用户比较多，网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时，往往会对网络带宽带来压力，令网络带宽不堪负荷，造成网络拥塞，严重时会导致阻塞，使网络通信停顿。为了解决网络拥塞问题，必须对各种网络技术进行选择，以符合用户对网络实际应用所提出的各项要求，以最高的性价比，实现网络功能。2.2 子网与VLAN规划1. 基于端口的VLAN划分该划分是把一个或多个交换机上的几个端口划分为一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。2. 基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。3. 基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。 就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。2.3 实现的信息服务实现的信息服务分为内部信息服务和外部信息服务：1.内部信息服务内部信息服务可分为以下几个模块：系统登陆，学生管理，成绩管理，教务管理，课程管理，教工管理，财产管理，档案管理，书籍管理等。其模块的功能如下：（1）系统登录模块：系统用户登录本系统必须进行身份校验，不同身份的网络用户对本系统具有不同权限的信息操作权，对系统的信息流程，学校可根据自身实际的业务流程自行设置。（2）学生管理模块：进行学生入学、选课操作，毕业处理操作；维护学生档案，包括学生基本信息、成绩、奖惩、等记录的增、删、改。（3）成绩管理模块：包括与每次考试相关的成绩信息录入、修改、浏览、查询等功能，具有成绩管理功能操作权限的用户可输入、输出与成绩相关的信息，如可打印输出学籍卡片、单科成绩、学期成绩。不同权限的网络用户只能对系统分配功能权限进行操作，若网络用户是学生或无权限的老师，按照系统默认的权限设置只能浏览成绩信息，而不能对信息作出修改。（4）教务管理模块：主要对学校各课程班信息进行管理，以及学生学分统计、部分学生提前毕业或留级进行管理。 （5）课程管理模块：编排课表，并提供冲突校验；选择任意的组合条件查询课表（可选项包括班级名称、星期几、课程名等）。（6）教工管理模块：管理教工档案，包括教工基本信息、政治面貌、社会关系、职称历史、履历、发表论文情况、参加培训记录等。（7）财产管理模块：包括对消耗品帐目、出库单、入库单、固定资产及物品代码的管理。（8）档案管理模块：分为卷宗信息管理和卷内文件管理。可按期限长短或其他分类方法管理档案信息。（9）书籍管理模块：主要进行各类书籍的统计，包括书籍名称，分类目录，出版日期，著作作者等信息的管理。2.外部信息服务外部信息服务应包括以下几个功能：Internet功能、远程访问功能、电子邮件功能、以多媒体方式介绍学校的功能、讨论和交流功能、信息发布功能。(1)Internet功能、远程访问功能： 在信息时代宣传学校、发布学校的信息,对提供学校的知名度,同时共享教育资源非常有意义。校园网信息平台具有配装Internet功能,只要学校配备了相关的网络设备,申请了线路,那么学校的Internet站点就可开通。除校务处理和个人信息以外,其他均可被Internet用户访问。(2)电子邮件功能：校园网信息平台应有功能强大的邮件系统,可以为每个使用者建立自己的信箱,安全保密又极大地方便了通信。许多事务处理均可以通过邮件提醒,高效便利。(3)以多媒体方式介绍学校：校园网可以建立学校概况等信息的网页，通过此种方式来介绍学校的各类情况。(4)BBS功能：BBS平台具有讨论的功能,可以允许所有人就一个问题发表自己的意见包括各类老师的学术论文，学生的学习心得，生活感言以及对学校各方面的建议。(5)信息发布功能：学校有许多信息需要向老师、学生或社会公布。如学校的规章制度、招生信息、教学信息等。此项功能要求“能看不能改” 。2.4 应用程序通过对校园网的需求分析，我们最后要实现其基本的服务功能，必须要有相关的软件设备的硬件设备来支持。在软件设备这方面，根据分析将来的校园网要实现办公自动化，教学管理自动化，在线信息的共享，必需在服务端安装相关的应用程序。如：办公自动化系统，教学管理系统，网上教学辅助系统等。还有各个部门根据自己的实际情况，可以在自己的服务器上安装相应的应用系统，如部门内部的人事管理系统等。未来可根据学校的需求，在动态增加服务器的基础上可相应的增加应用系统来扩展整体系统的功能。2.5 存储系统分析伴随着校园网应用的不断增长，规模的不断扩大，数据也在不断增长，需要有效地存储、备份和管理这些业务系统的海量数据，并使管理达到功能完备和手段的自动化，减少人为的错误因素和设备故障所造成的业务损失，对数据中心进行集中存储和集中备份不失为一个行之有效的方法，可以全面采用领先的存储技术，建设一个高性能、可扩展性的数据中心，并保护重要数据。另外，在校园网的应用过程中会产生大量的关键数据，这些数据需要“备份”。这意味着这些数据要存储在容易访问和检索的地方。如果学校没有备份关键的数据和信息，将会导致灾难性的后果，恢复这些数据的成本将是高昂的。理想的数据存储备份就是用一种容量大、具有先进自动管理功能、价格又相对便宜的设备对整个系统，特别是对整个网络系统的数据进行备份，才是人们所希望的数据存储备份。目前市场上的存储产品主要有磁盘阵列、磁带机与磁带库、光盘库等，其中磁带设备以其技术成熟、价格低廉、产品线齐全、使用方便等优点占据了存储市场的重要地位。2.6 系统及数据安全分析校园网由于自身速度快和规模大;用户群体活跃;网络环境开放;投入有限等特点,导致校园网常见的风险如下:1.普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁；2.计算机蠕虫、病毒泛滥，影响用户的使用、信息安全、网络运行；3.外来的系统入侵、攻击等恶意破坏行为；4.内部用户的攻击行为；5.校园网内部用户对网络资源的滥用，；6.垃圾邮件、不良信息的传播。实现信息网络的安全最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。因此，应该在Web服务器与其它网络之间再放一个防火墙,并且定时更新计算机防毒软件，减少系统漏洞，免受黑客侵袭。也须定对关键信息进行加密,备份,访问权限限制等措施，同时，一定要有策略指导用户如何使用系统,以提高安全性。2.7 QoSQoS (Quality of Service)，中文名为服务质量。它是指网络提供更高优先服务的一种能力，包括专用带宽、抖动控制和延迟（用于实时和交互式流量情形）、丢包率的改进以及不同WAN、LAN和MAN技术下的指定网络流量等，同时确保为每种流量提供的优先权不会阻碍其它流量的进程。QoS是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。2.8 网间隔离网络隔离，英文名为Network Isolation，主要是指把两个或两个以上可路由的网络(如：TCP/IP)通过不可路由的协议(如：IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间数据的交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。因此，隔离的关键就是要尽量提高网间数据交换的速度，并且能够支持透明应用，以适应复杂和高带宽需求的网间数据交换。而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破，既便有所改进也必须付出巨大的成本，和“适度安全”理念相悖。第3章 拓扑图及方案整体描述3.1 主干网传输方案设计校园网的组网方案：民乐一中校园网以100Mbps局域网为网络主干，服务器操作系统可采用Windows NT，客户端操作系统采用Windows 2000。这样能够比较容易地实现计算机开发应用资源的共享。校园网建筑群子系统光缆工程采用分支递减端接方法：用1根足以支持若干幢楼通信容量的大容量干线光缆，经过配线架分出若干根小容量光缆，再分别延伸到每个楼层配线间。从应用、备份和扩容三个方面考虑，由于多模光纤对未来Gigabit Ethernet和ATM 2.5Gbps的支持距离有限，故从网络中心到分支递减端接点选用30芯或36芯单模光纤，支持100Mbps以上带宽。从光缆分支递减端接点到楼内设备子系统根据数据流量及信息点数量分别采用12芯、6芯的单模光纤。楼内水平布线采用超5类非屏蔽双绞线为传输媒介，桌面计算机以10M或100M接入网络。星形拓朴结构和总线型相比，虽然不便于增加节点，网线用量也比较多，但是相对便于维护，即使某一节点出故障也不会影响其他节点的正常工作，所以，在校园网中应该采用星形结构的以太网。Windows NT和Windows2000体系作为网络操作系统和工作站操作系统，主要是为了降低维护费用，并且与主流操作系统保持一致，便于用户使用。3.2 Internet接入方案本校园网以TCP/IP 为主要协议，它是一种事实上的工业标准协议，采用TCP/IP为网络主要协议，可保证与ChinaNET和Internet保持一致，还可支持IPX，DECNET等其它协议。真正实现于国际互联网的无缝连接。从计算机网络通讯的观点来看，TCP/IP网络实质上可称为IP网络，它是由许多IP网关（或称为IP路由器）通过若干直接连通的通信线路（点到点通信）形成一个计算机通信网络。在IP网点上再接入主机，子网便构成一个互联的计算机网络，这些安装了TCP/IP的各类计算机间需要通信时，它就不再要求设置协议转换开关，而且主要的网络服务都可建立在TCP/IP服务器上。Internet接入网网络拓扑图如图3.1所示：图3.1 民乐一中Internet接入网网络拓扑图3.3 远程访问支持在Internet上申请虚拟主机，建立学校的宣传站点随着日益增长的远程用户（如在家中上网，欲访问校园内部网查找资料的教师及学生）需要，这些用户需要拨号访问校园内部网。他们需要校园网提供远程访问服务。在Internet上申请虚拟主机，使用FTP上传文件，建立学校的宣传站点和学生课业辅导站点。同时，在各大网络搜索门户中注册网站，便于Internet用户访问查询。在Internet上直接设置主机或用专线连接Internet，则一方面学校不可能一天24小时不间断开放，另一方面通信费用也不堪负担。而申请一个虚拟主机，一年费用500元，硬件不需要任何投入，只要将制作好的网站内容通过FTP方式上传到虚拟主机所在的目录即可，免去了非常复杂的网络管理工作，而网站却能全天候开放。学校宣传站点可不定期更新，学生课业辅导站点与校园网的站点能同步更新。对于学校内部无网络终端的地方进行无线覆盖：1. 使用Vitato室外交换机覆盖室外场地(如体育场等)，然后Vivato室外交换机通过与机房无线设备(LS-5625交换机)进行中继无线连接，使用户接入校园主干网。2. 使用一个或几个LS-5625交换机覆盖未布线或不方便布线的建筑物内部。如图书馆、综合楼、阶梯教室及学生宿舍等，通过与机房无线设备(LS-5625交换机)进行中继无线连接，使用户接入校园主干网。3. 对于已有内部布线的建筑物，无须铺设光纤，通过Vivato无线网桥与机房无线设备(LS-5625交换机)进行中继无线连接，就可方便、高性价比的将建筑物内网络接入校园主干网。4. 用VP1210室外基站,为一幢教学楼提供室内覆盖应用.在相邻的楼上安装一台VP1210室外基站,从外面发射信号给楼内,若有%20 VP1210的信号穿过楼墙,基本上就可满足整个教学楼全部的无线上网需要。Vivato主要使用一个Vivato VP1210 802.11b室外Wi-Fi基站。把性能稳定的VP1210室外基站安到校园的建筑物顶上，就可以为整个校园(室内和室外)提供无线接入，并且能覆盖大面积的校园区域，同时也可以和相距几十公里的分校区提供远程无线连接。Vivato Wi-Fi基站与有线网络连接，覆盖整个的校园和分校，加上很强的建筑物穿透能力。同时在一些信号不易达到的地方放置Vivato Wi-Fi 网桥/路由器，此网桥与基站之间使用WDS协议进行无线背靠背中继连接。基站和无线网桥都可以对无线Wi-Fi终端提供无线连接，而且移动无线用户可以在各个无线接入设备中平滑漫游。3.4 子网划分与VLAN设定1教学子网的设计校园网建网的目的之一是利用计算机网络实现多媒体教学。多媒体教学的难点在于实现视频信号的传输（如VOD视频点播），其困难之处主要有以下几点：视频信号数字化后的数据量非常宏大，例如，一幅NTSC标准的24位真彩色图像约占1MB空间，要在计算机上实现全活动的视像，则所需帧速率为30帧/秒，1秒钟的视频数据占30MB空间，显然。仅依靠现有的存贮技术根本无法实现，更不要说在网络上实时传输。ISO制定了将动态图像进行压缩的MPEG标准，其中MPEG-1把视频和伴音信息压缩到1.2M/B-1.5M/B。另外Intel公司的Indeo Video技术也得到广泛应用，在其产品中，视频信号所占用的带宽小于500K/B。以太网使用CSMA/CD介质访问规程。任一工作站要进入网络都必须采用这种带有冲突检测的载波侦听多路访问方式，其结果是，每个数据包传送所需要的时间是不确定的，这种不可预测性使得传送的视频信号不能同步，因而产生噪声和图像失真，为解决这个问题，H.323标准应运而生。它规定所有数据包所占用时间的长度是相同的，这就为在局域网上传送视频创造了条件。总之，在局域网上实时传送高质量的视频数据还未成熟，但传送压缩后的视频确是可行的。在教学过程中，大量传送的是文本、图像和部分的视频等数据，对速度要求较高，所以我们推荐所有教学用端口采用100M交换式以太网口，主要端口至少采用1000M交换式以太网口。教学子网的网络示意图如图3.2所示：图3.2 教学子网网络示意图2办公子网的设计办公子网主要面向学校的各级领导以及各职能部门，为实现学校管理的现代化服务。办公计算机所实现的功能主要是对网络数据的查询、修改、添加、删除等操作。网络数据应该传输得比较快，才能提高办公的效率。同时，办公计算机应该能够达到支持视频传送的要求。网络办公管理信息系统包括办公管理、思教管理、教务管理、总务管理、财务报表管理等。鉴于办公子网将支持视频功能，推荐采用交换式10/100M端口，部分采用共享式10/100M。办公子网网络示意图如图3.3所示：图3.3 办公子网网络示意图3.图书馆子网的设计图书馆是一个相对独立的系统，其内部可以专门配备一套主机连接光盘塔以及若干查询终端。用于教师及学生对图书及目录通过相应的索引软件进行查找。图书馆的其它办公计算机仍然接入校园办公子网。图书馆通过100M交换口连入校园网，而各个查询终端可以采用10/100M共享式端口。4.宿舍区子网的设计宿舍区子网即在学生宿舍内部连网，可以直接浏览学校发布的信息及查阅一些电子文档资料。在食堂这一区有食堂IC卡计费系统等。宿舍区子网及后勤子网网络示意图如图3.4所示：图3.4 宿舍区子网及后勤子网网络示意图子网划分类别及其详细信息如表3.1所示：表3.1 子网划分类别及其详细信息表序号子网名称包含的信息点1服务器连接Internet的所有服务器，为真实IP地址2网络设备子网除路由器外所有的网络设备3办公楼办公楼、图书馆和实验楼的办公室计算机4多媒体教室多媒体教室计算机5教学楼1，2所有教室计算机6电子阅览室电子阅览室计算机7图书馆学生阅览室和借书处计算机8实验楼5个实验室的计算机9学生宿舍楼A学生宿舍楼A的200台计算机10学生宿舍楼B学生宿舍楼B的200台计算机111教工宿舍楼教工宿舍的130台计算机学校子网划分示意图如图3.5所示：第二层网段多媒体教室网段办公室网段网络设备网段图书馆网段电子阅览室网段服务器网段教学楼网段学生宿舍楼B实验室1网段实验室5网段教工宿舍网段学生宿舍楼A图3.5 学校子网划分示意图学校校园网接入CERNET,可以向CERNET申请IP地址和域名。在校园网系统集成之前需要对全校的IP 地址分配作充分的规划，对每台服务器、PC 机网络设备的端口IP地址都要分配。学校申请的IP地址为4个C类地址，为202.28.100.0-202.28.103.255，域名为,主 DNS服务器IP地址为202.28.100.10，辅DNS 服务器IP 地址为202.28.100.11。学校设备IP地址分配如表3.2所示：表3.2 学校设备IP地址分配主机名/类型设备名称IP设置注释LS-5625图书馆LS-5625交换机IP：180.10.1.1/10网关：180.10.1.254网关IPLS-5625教学楼LS-5625交换机IP：180.10.1.2/10网关：180.10.1.254网关IPLS-5625实验楼LS-5625交换机IP：180.10.1.3/10网关：180.10.1.254网关IPLS-5625办公楼LS-5625交换机IP：180.10.1.4/10网关：180.10.1.254网关IPLS-5625宿舍楼LS-5625交换机IP：180.10.1.5/10网关：180.10.1.254网关IPA计费网关IP：180.10.1.6/10网关：180.10.1.254D主DNS服务器IP：211.20.22.10/24D辅DNS服务器IP：211.20.22.11/24Web服务器IP：211.20.22.12/24邮件服务器IP：211.20.22.13/24FTP服务器IP：211.20.22.14/24认证管理服务器IP：211.20.22.15/24数据库服务器IP：211.20.22.16/243.5 网间隔离方案设计1. 防火墙的部署在Internet与校园网内网之间部署了一台瑞星防火墙，其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。这样，通过 Internet 进来的外网用户只能访问到对外公开的一些服务（如WWW、E-mail、FTP、DNS等），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审计。2. 入侵检测系统的部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素，根据校园网络的特点，我们采用瑞星入侵检测系统 RIDS-100 。将 RIDS-100 入侵检测引擎接入 Cisco 中心交换机上，对来自外部网和校园网内部的各种行为进行实时检测。3. 瑞星网络杀毒产品的部署为了实现在整个局域网内病毒的防护，我们在可能感染和传播病毒的地方采取相应的防病毒手段。实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。3.6 存储方案浪潮光纤存储阵列NS8800D，采用双机（热）备份方案，作为该校网络存储SAN结构里的一个核心部分，在整个校园网的存储方面起到了决定性的作用。NS8800D是双控制器光纤磁盘阵列，内部采用无线光缆连接设计，无单点故障，具有较高的可用性。通过交换机可以实现前端服务器对存储设备的共享，完全实现了存储集中和灵活应用，节省了存储空间。整个存储系统基于2Gb的带宽设计，在性能上完全可以满足当前系统的存储需求。NS8800具有多主机接入能力，可以支持4台服务器的多主机共享，并且扩容能力突出，最多可扩展7个JBOD从而达到16TB的存储容量。保证了系统的可扩展性，为今后数据的增长提供了稳定可靠的平台。通过该系统，图书馆的资源、信息可以方便的被不同的网络教学教室调用，满足电子化教学的需求；同时网络用户还可以通过服务器到英特网上寻求更多的图书信息、学习资料等。3.7 设备选型1网络操作系统。本校园网的网络操作系统以Microsoft Windows 2000为主，它是发展速度最快的集成了Web应用的网络操作系统。具有界面友好、系统强壮、稳定可靠、与桌面主流操作系统相容性好等优点。并拥有大量的服务器端软件，是Intranet网络中最佳的网络操作系统平台。2中心交换机。主干交换机是指连接服务器和楼与楼之间、层与层之间的数据交换设备。本校园网工程将分为三期，根据工程三个阶段中网络点成批增加其间伴随着的使用需求增长，对主干交换机基本设备的选型及其阶段性的扩展需求进行总体的合理规划。第一期要求连接600个网络站点，应用对主干服务器的访问及其数据流量对主干带宽要求很高，通过以上分析，在LS-5625系列交换机组的基础上采用世界上目前第一个真正已经投放市场的千兆模块把百兆交换机组通过光纤相连到Netcore 7801NS千兆交换机上，通过千兆交换机实现和WEB服务器千兆带宽的主干连接。在第二期中，将面临着对主干带宽的更高要求，将使用2台千兆交换机通过4GB高速通道来实现千兆交换机冗余连接，使网络主干带宽比第一期增长一倍。3接入交换机。采用交换机而不使用共享式集线器到桌面是由于学校实际使用情况是主要表现在集中突发性，即学生同时使用同一软件的情况比较多，如果使用共享到桌面，网络就会产生拥阻而影响速度，因此在校园网中应使用百兆交换到桌面。在十兆与百兆交换机中应选择百兆交换，因为十兆带宽虽然在目前校园网络使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求，将成为它们应用的最大瓶颈。因此采用LS-5625作为校园网工作组级接入交换机，直接连接学生站点。通过Intel先进的、独特的堆叠背板技术（SST）将第一期的600个站点分成若干个网段，即3-6个LS-5625交换机堆叠在一起的独立组群，这样就在每个交换组中最多144个站点提供高达15Gb的带宽，因此形成的交换网络就能够满足不断增长的流量需求。另外通过虚网技术，使每个教室或每个年级之间的互访得到有效的管理和控制，提高网络的安全性。以合理价格实现工作组与终端设备的100Mbps连接的可扩展交换器，LS-5625是将专用快速以太网式的性能扩展到整个网络的理想选择，它可使用户的终端设备服务器及其它网络设施享受这种高性能的解决方案。这种高性能的解决方案可随着网络的成长而自由地扩展。4.服务器网卡。在一期工程中，建议学校在Internet应用教学中，采用定期下载，内部浏览的原则，因此WEB服务器是学校内部Intranet浏览和连接Internet服务器，学生站点对其访问在相应教学时段对的数据流量相对来说比较大。要求园区级别的服务器能够提供足够的连接带宽。Intel Express PRO/100服务器网卡是唯一一种支持标准10BASE-T、100BASE-TX和100BASE-FX以太网的千兆服务器专用网卡。这是一种智能的网卡，它能够利用其内置的Intel i960 RP处理器最大限度地优化服务器资源。考虑到Internet和其他网络的连接(如CHINANET等)，目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各种广域连接中发现。目前，越来越多的学校还开展了网络教学和建立自己的WEB。因此，能否有效地连接Internet是校园网建立的一个重要的目标。在此方案中，考虑Internet出口路由器的配置一台Intel Express Router 9100路由器。它是学校的校园网对外的出口，也可以作为保护校园网的第一道防火墙。因为使用Intel Express Routers在Internet上配置安全的VPN隧道极为简单，Intel Express Router 9100对通道传输提供强大的加密功能，确保您的私人通讯数据通过公用网域时的安全。但根据客户和局域网配置的具体不同情况，也应该采取适当的步骤来确保来自Internet的局域安全。这至少要包括配置通过协议过滤器的访问控制目录。采用DDN线路与Internet连接，以64KB2MB带宽支持校园的应用，而且性能非常稳定。Intel Express Router 9100有2个能与专用数字线路或Frame Relay及X.25网络相连的WAN接口。5.外部网的安全。对于校园网来说，外部网主要是指Internet。因为外部网的用户非常复杂，有黑客进行恶性攻击破坏的可能。所以我们设计在内部网和外部网之间用防火墙隔开，这可以用捷普Jump F3000G防火墙来实现。它集成了VPN的主要功能隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。Jump F3000G防火墙是建立在专用实时多任务安全网络操作系统和专用硬件平台之上的网络安全设备。F3000防火墙并非传统的简单包过滤防火墙，而是网络状态检测和代理技术相融合的网络安全设备。Jump F3000G防火墙以卓越的安全性、强大的功能、方便灵活的管理机制为各行业提供了强有力的网络访问控制，可广泛应用于金融、教育、政府机关、军队和中小型企业等企事业单位。3.8 软件开放系统与标准化所谓开放就是要求系统的网络环境、操作系统、数据库资源以及客户端开发工具建立在有关工业标准之上，用户在软硬件的选择上有广阔的余地，而且能够在原有的系统之上方便扩充。标准是开放的前提，只有建立在一定的标准之上，各种平台上的各种应用系统才能方便的集成在一起。Internet应用框架就是一个标准的开放系统。其中涉及的主要标准如是：网络层/传输层协议 TCP/IP、SPX/IPX、NetBUEI应用层协议 SNMP，FTP，HTTP，RPC网络计算构架 JAVA、ActiveX、CGI、ASP数据库查寻语言 SQL数据库访问API ODBC、JDBC、DB-Library 基于Web-client/Server的体系构架以网络为基础的、强调分布式信息处理的Web-Client/Server体系结构，已成为当前信息处理的主流，Iternet/Intranet各种服务中，E-Meil、FTP、Web、DNS、Telnet、数据库查询等都是基于Web-Clientl/Server结构有如下优点：服务器作为数据处理的焦点，便于对数据处理的集中管理；充分利用服务器的系统资源；降低了对可户机的要求；减少了网络传输的数据量，减少了网络负荷；Web技术流行后，浏览器成了客户端的标准配置，Web服务器成了服务器端标准的、必不可少的应用服务器。浏览器向用户提供各种服务的界面，服务器负责从各种服务器收集结果并返回客户端浏览器。服务器和客户端软件平台的选择根据实际情况和需求，我们选择Windows NT作为文件服务器操作系统平台，采用随PC机自带的Windows 2000操作系统作为客户端软件。3.9 信息服务方案1内部信息资源建设内部信息资源建设可分为以下几个模块：校长查询，学生管理，课程管理，思教管理，教工管理，党务管理，财产管理，文件管理等。其模块的功能如下：校长查询模块：创建、修改、删除用户帐号，更改用户权限；对学生管理，课程管理，档案管理，文件管理所录入的内容进行浏览、查询、统计操作。 学生管理模块：进行新生入学、升班操作、毕业处理操作；维护学生档案，包括学生基本信息、成绩、评语、奖惩、考勤等记录的增、删、改。 课程管理模块：编排课表，并提供冲突校验；选择任意的组合条件查询课表（可选项包括班级名称、星期几、课程名等）。 教工管理模块：管理教工档案，包括教工基本信息、社会关系、职称历史、履历、发表论文情况、参加培训记录等。 工资管理模块：工资结构可以按各学校的实际情况自定义；实现自动计税；自动计算工资总额；可选择字体、字号等，方便打印符合用户需要的工资条。 财产管理模块：包括对消耗品帐目、出库单、入库单、固定资产及物品代码的管理。 档案管理模块：分为卷宗信息管理和卷内文件管理。可按期限长短或其他分类方法管理档案信息。 文件管理模块：主要进行收文管理，包括题目、日期、主要内容、文件来处、阅办单位等信息的管理；可按保密等级或其他分类方法管理文件信息。2外部信息资源建设外部信息资源建设应包括以下几个功能：Internet功能、远程访问功能、电子邮件功能、以多媒体方式介绍学校的功能、讨论和交流功能、信息发布功能。Internet功能、远程访问功能：在信息时代宣传学校、发布学校的信息,对供学校的知名度,同时共享教育资源非常有意义。电子邮件功能：校园网信息平台应有功能强大的邮件系统,可以为每个使用者建立自己的信箱,安全保密又极大地方便了通信。许多事务处理均可以通过邮件提醒,高效便利。3.10 综合布线方案综合布线系统是建筑物或建筑群内的传输网络，它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接，也能使这些设备与外部通信网络相互连接，包括建筑物到外部网络或电话局线路上的连线点，与工作区的话音或数据终端之间的所有电缆，以及相关联的布线部件。一个良好的综合布线系统对其服务的设备有一定的独立性，并能互连许多不同的通信设备如数据终端、模拟式或数字式电话、PC和主机以及公共系统装置。一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统。校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统，集中管理。对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器、视频服务器等），中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备相连，以保证数据的高速传输。在此设备间放置布线的线架和网络设备，端接楼内来自在各层的主干线缆，并端接连接网络中心的光纤。楼内布线包括水平布线和主干布线。水平系统采用超五类双绞线，新的楼宇采用暗装墙内的方式，旧的楼宇采用PVC线槽明装的方式。考虑到学校校园建设的实际需求，我们选用进口8芯室外光缆、进口6芯室内光缆、AT&T的非屏蔽超五类双绞线、信息插座、超五类信息模块。校园网的主干即网络中心与教学楼、实验楼、图书馆、宿舍楼之间全部采用8芯室外光缆；楼内选用进口6芯室内光缆和5类线。这样能保证网络产品按照结构化布线系统进行布线。这样的布线系统具有以下优点：网络易于管理、维护；网络安全性好；网络设备可实现零冗余；充分利用投资；扩展性好。第4章 网络管理4.1 在管理方面一个学校可设两名网络管理员，一名网络主管。网络主管的职责是: 考核网络工作人员，做好网络建设和网络更新的组织工作，制定网络管理规章制度并监督执行。网络管理员的职责如下：1.协助网络主管制定网络建设及网络发展规划，确定网络安全及资源共享策略。2.负责公用网络实体，如服务器、交换机、集线器、中继器、路由器、防火墙、网桥、网关、配线架、网线、接插件等的维护和管理。3.负责服务器和网络软件的安装、维护、调整及更新4.负责网络账号管理、资源分配、数据安全和系统安全。5.参与网络值班，监视网络运行，调整网络参数，调度网络资源，保持网络安全、稳定、畅通。6.负责计算机系统备份和网络数据备份；负责计算机网络资料的整理和归档。7.保管网络拓扑图、网络接线表、设备规格及配置单、网络管理记录、网络运行记录、网络检修记录等网络资料。4.2 在技术方面一定要记住必须要有安全策略指导用户哪些能做，哪些不能做。 在加固服务器（打补丁，关闭不必要的服务等）的同时，也需要加固路由器。如何加固路由器需要咨询相应的安全厂商，但是这里有一些基本原则： 1、使用强壮的密码：所有的路由器都可配置。因此，必须要遵循统一的安全策略，最少字符、复杂度。如果路由器支持加密（如Cisco），那么最好加密。2、使用日志：大多数路由器有日志功能。应该把此功能打开，就像监视服务日志那样。3、安全原则：一些基本的路由安全准则要遵守。4、不要响应非本地网络内主机的ARP（Address Resolution Protocol，地址解析协议）。5、网络内不需要端口应该在路由器关闭。 6、在内网和外网连接处部署包过滤防火墙。 7、在内网和外网连接处部署代理服务器。8、服务器物理安全措施到位，只有必要的人员才能接触。 9、所有通往子网的路由器都具有包过滤防火墙功能。 10、外部登陆只在非常严格的条件下才允许，如利用VPN。 第5章 系统主要设备报价通过对校园网络的需求分析，网络的规划、划分结合现在市场上各产品的价位及功能和企业的规模，统一给出了系统的主要设备及报价。甘谷一中校园网系统主要设备报价如表5.1所示。