第一篇：中小型局域網(wǎng)設計方案

局域網(wǎng)網(wǎng)絡安全設計方案

一.畫出本設計方案基于局域網(wǎng)的拓撲圖，并有說明。

拓撲圖如下： 拓撲結(jié)構(gòu)分析：本設計的拓撲結(jié)構(gòu)是以中間一個核心交換機為核心，外接Router0、Router2，DNS服務器（提供域名解析）、DHCP服務器（為該局域網(wǎng)分配IP地址）、Router3（做外網(wǎng)路由器用，通過它與Internet連接）、一個管理員主機（通過該主機可以對該網(wǎng)絡的設備進行管理和配置）。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火墻、ACL、NAT等，主要是為了該網(wǎng)絡的安全和易于管理。以上只是該網(wǎng)絡的初級設計。

二 在對局域網(wǎng)網(wǎng)絡系統(tǒng)安全方案設計、規(guī)劃，應遵循以下原則：

需求、風險、代價平衡的原則：對任一網(wǎng)絡，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡進行實際額研究（包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

一致性原則：一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致。安全的網(wǎng)絡系統(tǒng)設計（包括初步或詳細設計）及實施計劃、網(wǎng)絡驗證、驗收、運行等，都要有安全的內(nèi)容光煥發(fā)及措施，實際上，在網(wǎng)絡建設的開始就考慮網(wǎng)絡安全對策，比在網(wǎng)絡建設好后再考慮安全措施，不但容易，且花費也小得多。

易操作性原則：安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。

多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

三.防病毒的方法和設計

第一：病毒可能帶來哪些威脅

一旦中毒，就可能對系統(tǒng)造成破壞，導致數(shù)據(jù)泄露或損壞，或者使服務可用性降低。防病毒解決方案關注因感染病毒、間諜軟件或廣告軟件而造成的威脅。“病毒”一詞通常用于描述某類特定的惡意代碼。經(jīng)過正確分析和規(guī)劃的防病毒解決方案可防范廣泛的惡意或未經(jīng)授權(quán)的代碼。

第二：病毒是通過哪些方式或者載體來給我們帶來威脅

病毒的載體是用于攻擊目標的途徑。了解惡意代碼、間諜軟件和廣告軟件所利用的威脅的載體，有助于組織設計防病毒解決方案來防止被未經(jīng)授權(quán)的代碼感染，并阻止其擴散。常見的威脅的載體有網(wǎng)絡(包括外部網(wǎng)絡和內(nèi)部網(wǎng)絡)、移動客戶端(包括連接到網(wǎng)絡的來賓客戶端和員工計算機等)、應用程序(包括電子郵件、HTTP和應用程序等)和可移動媒體(包括u盤、可移動驅(qū)動器和閃存卡等)。第三：如何有效地防止病毒侵入

防病毒軟件:用于清除、隔離并防止惡意代碼擴散。

安全機制:防火墻解決方案不足以為服務器、客戶端和網(wǎng)絡提供足夠的保護，以防范病毒威脅、間諜軟件和廣告軟件。病毒不斷發(fā)展變化，惡意代碼被設計為通過新的途徑，利用網(wǎng)絡、操作系統(tǒng)和應用程序中的缺陷。及時地添加補丁，更新軟件，對網(wǎng)絡的安全性好很大的幫助。

四.防木馬的方法和設計

一：建立受限的賬戶

用“net user”命令添加的新帳戶，其默認權(quán)限為“USERS組”，所以只能運行許可的程序，而不能隨意添加刪除程序和修改系統(tǒng)設置，這樣便可避免大部分的木馬程序和惡意網(wǎng)頁的破壞。

二：惡意網(wǎng)頁是系統(tǒng)感染木馬病毒及流氓插件的最主要途徑，因此很有必要對IE作一些保護設置。安裝360安全瀏覽器可以有效的做到這一點。

三：

1．禁止程序啟動很多木馬病毒都是通過注冊表加載啟動的，因此可通過權(quán)限設置，禁止病毒和木馬對注冊表的啟動項進行修改。

2．禁止服務啟動

一些高級的木馬病毒會通過系統(tǒng)服務進行加載，對此可禁止木馬病毒啟動服務的權(quán)限?？梢来握归_“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支，將當前帳戶的“讀取”權(quán)限設置為“允許”，同時取消其“完全控制”權(quán)限

五.防黑客攻擊的方法和設計

1.隱藏IP地址

黑客經(jīng)常利用一些網(wǎng)絡探測技術來查看我們的主機信息，主要目的就是得到網(wǎng)絡中主機的IP地址。IP地址在網(wǎng)絡安全上是一個很重要的概念，如果攻擊者知道了你 的IP地址，等于為他的攻擊準備好了目標，他可以向這個IP發(fā)動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使 用代理服務器。

與直接連接到Internet相比，使用代理服務器能保護上網(wǎng)用戶的IP地址，從而保障上網(wǎng)安全。代理服務器的原理是在客 戶機（用戶上網(wǎng)的計算機）和遠程服務器（如用戶想訪問遠端WWW服務器）之間架設一個“中轉(zhuǎn)站”，當客戶機向遠程服務器提出服務要求后，代理服務器首先截 取用戶的請求，然后代理服務器將服務請求轉(zhuǎn)交遠程服務器，從而實現(xiàn)客戶機和遠程服務器之間的聯(lián)系。很顯然，使用代理服務器后，其它用戶只能探測到代理服務 器的IP地址而不是用戶的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網(wǎng)安全。提供免費代理服務器的網(wǎng)站有很多，你也可以自己用代理獵手等工具來查找。

2.關閉不必要的端口

黑客在入侵時常常會掃描你的計算機端口，如果安裝了端口監(jiān)視程序（比如Netwatch），該監(jiān)視程序則會有警告提示。如果遇到這種入侵，可用工具軟件關閉用不到的端口，比如，用“Norton Internet Security”關閉用來提供網(wǎng)頁服務的80和443端口，其他一些不常用的端口也可關閉。

3.更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator賬號。

首先是為Administrator帳戶設置一個強大復雜的密碼，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權(quán)限的 Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險性。

六.局域網(wǎng)防arp病毒攻擊的方法和設計

1.安裝arp防火墻或者開啟局域網(wǎng)ARP防護，比如360安全衛(wèi)士等arp病毒專殺工具，并且實時下載安裝系統(tǒng)漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。

2.使用多層交換機或路由器：接入層采用基于IP地址交換進行路由的第三層交換機。由于第三層交換技術用的是IP路由交換協(xié)議，以往的鏈路層的MAC地址和ARP協(xié)議失效，因而ARP欺騙攻擊在這種交換環(huán)境下起不了作用。

七.本設計的特色

實現(xiàn)本設計既簡單又實用，而且操作起來十分方便，十分符合校內(nèi)小型局域網(wǎng)的網(wǎng)絡安全設計，完全可以符合一般學生的需要

八.心得體會

通過本次設計 我認真查閱資料 學到了很多知識 對病毒、木馬、黑客、以及黑客攻擊都有了比較深入的了解，也提高了我對這些方面的興趣，最為重要地是我知道了怎么去建立和保護一個安全的網(wǎng)絡。

第二篇：中小型局域網(wǎng)設計方案rendahit

局域網(wǎng)網(wǎng)絡安全設計方案

一.畫出本設計方案基于局域網(wǎng)的拓撲圖，并有說明。

拓撲圖如下： 拓撲結(jié)構(gòu)分析：本設計的拓撲結(jié)構(gòu)是以中間一個核心交換機為核心，外接Router0、Router2，DNS服務器（提供域名解析）、DHCP服務器（為該局域網(wǎng)分配IP地址）、Router3（做外網(wǎng)路由器用，通過它與Internet連接）、一個管理員主機（通過該主機可以對該網(wǎng)絡的設備進行管理和配置）。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火墻、ACL、NAT等，主要是為了該網(wǎng)絡的安全和易于管理。以上只是該網(wǎng)絡的初級設計。

Server-PTDNS服務器ROUTER—PTROUTER 3CLOUD-PTInternetServer-PTDHCP服務器PC—PT管理員主機ROUTER 0核心交換機Switch-PTROUTER 2Switch0Switch1Switch2Switch3PC0PC1PC2PC3PC4PC5

二 在對局域網(wǎng)網(wǎng)絡系統(tǒng)安全方案設計、規(guī)劃，應遵循以下原則：

需求、風險、代價平衡的原則：對任一網(wǎng)絡，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡進行實際額研究（包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

一致性原則：一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致。安全的網(wǎng)絡系統(tǒng)設計（包括初步或詳細設計）及實施計劃、網(wǎng)絡驗證、驗收、運行等，都要有安全的內(nèi)容光煥發(fā)及措施，實際上，在網(wǎng)絡建設的開始就考慮網(wǎng)絡安全對策，比在網(wǎng)絡建設好后再考慮安全措施，不但容易，且花費也小得多。

易操作性原則：安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。

多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

三.防病毒的方法和設計

第一：病毒可能帶來哪些威脅

一旦中毒，就可能對系統(tǒng)造成破壞，導致數(shù)據(jù)泄露或損壞，或者使服務可用性降低。防病毒解決方案關注因感染病毒、間諜軟件或廣告軟件而造成的威脅。“病毒”一詞通常用于描述某類特定的惡意代碼。經(jīng)過正確分析和規(guī)劃的防病毒解決方案可防范廣泛的惡意或未經(jīng)授權(quán)的代碼。

第二：病毒是通過哪些方式或者載體來給我們帶來威脅

病毒的載體是用于攻擊目標的途徑。了解惡意代碼、間諜軟件和廣告軟件所利用的威脅的載體，有助于組織設計防病毒解決方案來防止被未經(jīng)授權(quán)的代碼感染，并阻止其擴散。常見的威脅的載體有網(wǎng)絡(包括外部網(wǎng)絡和內(nèi)部網(wǎng)絡)、移動客戶端(包括連接到網(wǎng)絡的來賓客戶端和員工計算機等)、應用程序(包括電子郵件、HTTP和應用程序等)和可移動媒體(包括u盤、可移動驅(qū)動器和閃存卡等)。第三：如何有效地防止病毒侵入

防病毒軟件:用于清除、隔離并防止惡意代碼擴散。

安全機制:防火墻解決方案不足以為服務器、客戶端和網(wǎng)絡提供足夠的保護，以防范病毒威脅、間諜軟件和廣告軟件。病毒不斷發(fā)展變化，惡意代碼被設計為通過新的途徑，利用網(wǎng)絡、操作系統(tǒng)和應用程序中的缺陷。及時地添加補丁，更新軟件，對網(wǎng)絡的安全性好很大的幫助。

四.防木馬的方法和設計

一：建立受限的賬戶

用“net user”命令添加的新帳戶，其默認權(quán)限為“USERS組”，所以只能運行許可的程序，而不能隨意添加刪除程序和修改系統(tǒng)設置，這樣便可避免大部分的木馬程序和惡意網(wǎng)頁的破壞。

二：惡意網(wǎng)頁是系統(tǒng)感染木馬病毒及流氓插件的最主要途徑，因此很有必要對IE作一些保護設置。安裝360安全瀏覽器可以有效的做到這一點。

三：

1．禁止程序啟動很多木馬病毒都是通過注冊表加載啟動的，因此可通過權(quán)限設置，禁止病毒和木馬對注冊表的啟動項進行修改。

2．禁止服務啟動

一些高級的木馬病毒會通過系統(tǒng)服務進行加載，對此可禁止木馬病毒啟動服務的權(quán)限?？梢来握归_“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支，將當前帳戶的“讀取”權(quán)限設置為“允許”，同時取消其“完全控制”權(quán)限

五.防黑客攻擊的方法和設計

1.隱藏IP地址

黑客經(jīng)常利用一些網(wǎng)絡探測技術來查看我們的主機信息，主要目的就是得到網(wǎng)絡中主機的IP地址。IP地址在網(wǎng)絡安全上是一個很重要的概念，如果攻擊者知道了你 的IP地址，等于為他的攻擊準備好了目標，他可以向這個IP發(fā)動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使 用代理服務器。

與直接連接到Internet相比，使用代理服務器能保護上網(wǎng)用戶的IP地址，從而保障上網(wǎng)安全。代理服務器的原理是在客 戶機（用戶上網(wǎng)的計算機）和遠程服務器（如用戶想訪問遠端WWW服務器）之間架設一個“中轉(zhuǎn)站”，當客戶機向遠程服務器提出服務要求后，代理服務器首先截 取用戶的請求，然后代理服務器將服務請求轉(zhuǎn)交遠程服務器，從而實現(xiàn)客戶機和遠程服務器之間的聯(lián)系。很顯然，使用代理服務器后，其它用戶只能探測到代理服務 器的IP地址而不是用戶的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網(wǎng)安全。提供免費代理服務器的網(wǎng)站有很多，你也可以自己用代理獵手等工具來查找。

2.關閉不必要的端口

黑客在入侵時常常會掃描你的計算機端口，如果安裝了端口監(jiān)視程序（比如Netwatch），該監(jiān)視程序則會有警告提示。如果遇到這種入侵，可用工具軟件關閉用不到的端口，比如，用“Norton Internet Security”關閉用來提供網(wǎng)頁服務的80和443端口，其他一些不常用的端口也可關閉。

3.更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator賬號。

首先是為Administrator帳戶設置一個強大復雜的密碼，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權(quán)限的 Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險性。

六.局域網(wǎng)防arp病毒攻擊的方法和設計

1.安裝arp防火墻或者開啟局域網(wǎng)ARP防護，比如360安全衛(wèi)士等arp病毒專殺工具，并且實時下載安裝系統(tǒng)漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。

2.使用多層交換機或路由器：接入層采用基于IP地址交換進行路由的第三層交換機。由于第三層交換技術用的是IP路由交換協(xié)議，以往的鏈路層的MAC地址和ARP協(xié)議失效，因而ARP欺騙攻擊在這種交換環(huán)境下起不了作用。

七.本設計的特色

實現(xiàn)本設計既簡單又實用，而且操作起來十分方便，十分符合校內(nèi)小型局域網(wǎng)的網(wǎng)絡安全設計，完全可以符合一般學生的需要

八.心得體會

通過本次設計 我認真查閱資料 學到了很多知識 對病毒、木馬、黑客、以及黑客攻擊都有了比較深入的了解，也提高了我對這些方面的興趣，最為重要地是我知道了怎么去建立和保護一個安全的網(wǎng)絡。

第三篇：局域網(wǎng)設計方案

局域網(wǎng)設計方案

1、需求分析：

根據(jù)用戶提出的要求,進行網(wǎng)絡的設計.老師提出的網(wǎng)絡應用需求，主要包括以下幾點： 基本情況：機房418，面積、房型可實地參觀，要求能夠同時提供64位同學和1位教師的上機服務，且能夠外連至電信公司（此處外連設計為ADSL方式）。機房內(nèi)須提供內(nèi)部使用的FTP和Web服務。

要求：

1）所有的終端設備清單 2）所有網(wǎng)絡設備清單

3）所有布線主料與輔料清單

不間斷電源，4）所有正版操作系統(tǒng)和正版應用軟件清單 5）所有服務器系統(tǒng)軟件清單

2、計算機擺放方案

機房的計算機擺放可用隊列式擺放方式，機房內(nèi)需要65臺計算機和2臺服務器?？煞譃?列，12排；每10臺計算機為一組，所以共分為7組。把兩列臺計算機分別劃為5組，依次排放下去。平均每組計算機占地5平方米，7組共占地70平方米；其中，每組計算機的間隔為1.5米，為工作人員留下足夠的活動空間，并且能夠互相交流工作，符合人性化的布局設計。機房的左側(cè)用于放置服務器、主交換機和UPS電源。機房空調(diào)3臺。主要布置如圖： 下面為機房場地的平面圖

3、網(wǎng)絡系統(tǒng)結(jié)構(gòu)設計

根據(jù)需求分析報告，開始網(wǎng)絡系統(tǒng)方案的設計階段。這個階段包括確定網(wǎng)絡總體目標、網(wǎng)絡方案設計原則、網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡技術、網(wǎng)絡地址規(guī)劃、VLAN劃分、綜合布線、網(wǎng)絡互聯(lián)設備的選型、機器選型與軟硬件配置、網(wǎng)絡管理、網(wǎng)絡安全等內(nèi)容。

3.1網(wǎng)絡總體目標和設計原則

3.1.1確立網(wǎng)絡總體實現(xiàn)的目標

網(wǎng)絡建設的總體目標首先明確的是采用以太網(wǎng)技術和局域網(wǎng)標準構(gòu)筑一個滿足日常教學與要求能夠同時提供64位同學和1位教師的上機服務，且能夠外連至電信公司（此處外連設計為ADSL方式）。機房內(nèi)須提供內(nèi)部使用的FTP和Web服務。工程實行一次性投資和建設。

3.1.2總體設計原則

①實用性原則 網(wǎng)絡方案設計中把握“夠用”和“實用”原則。網(wǎng)絡系統(tǒng)采用成熟可靠的技術和設備，達到實用、經(jīng)濟和有效的目的。②開放性原則

建成多協(xié)議、多網(wǎng)絡操作系統(tǒng)網(wǎng)絡平臺，真正實現(xiàn)開放式的網(wǎng)絡體系結(jié)構(gòu)。③先進性原則

網(wǎng)絡建設應適應目標管理自身發(fā)展的特點及網(wǎng)絡通信技術更新?lián)Q代，主機系統(tǒng)選擇、網(wǎng)絡結(jié)構(gòu)設計、網(wǎng)絡管理和連接方式具有一定的先進性。④易用性原則

整個機房網(wǎng)絡系統(tǒng)必須易于管理、安裝和使用，網(wǎng)絡系統(tǒng)必須具有良好的可管理性，并且在滿足現(xiàn)有網(wǎng)絡應用的同時，為以后的應用升級奠定基礎。網(wǎng)絡系統(tǒng)還應具有很高的資源利用率。⑤可擴展性原則

網(wǎng)絡總體設計不僅要考慮到近期目標，也要為網(wǎng)絡的進一步發(fā)展留有擴展的余地。因此，需要同意規(guī)劃和設計。網(wǎng)絡系統(tǒng)應在規(guī)模和性能兩方面具有良好的可擴展性。由于目前網(wǎng)絡產(chǎn)品標準化程度較高，因此可擴展性要求基本不成問題。⑥安全性

實現(xiàn)網(wǎng)絡的合理配置，利用授權(quán)及軟件防火墻技術，能阻止非法用戶訪問網(wǎng)絡資源，保證數(shù)據(jù)傳輸、存儲的安全。

3.2、網(wǎng)絡拓撲結(jié)構(gòu)的設計

關于機房內(nèi)部的交換機則選用中端的Catalyst 3512 XL：12口10/100M自適應端口，2口GBIC插槽，因為機房內(nèi)部共有67臺機器需要互連通信，且準備實現(xiàn)鏈路冗余，用STP來消除橋接環(huán)路，則需要安置至少6臺該型號的交換機，另外該型號交換機有2個GBIC插槽，可以為以后的擴張需要做準備。具體拓撲如下：

機房內(nèi)部的計算機拓撲圖

3.3、網(wǎng)絡技術

在整個網(wǎng)絡建設中，網(wǎng)絡采用ADSL接入電信公司，所以能夠提供最高達8Mbps的高速速下載速度和1Mbps的上傳速度。

整個網(wǎng)絡提供內(nèi)部使用的FTP和Web服務做為該教學網(wǎng)的教學使用服務器，運用雙絞線接連各個學生機及教師機。通過ADSL MODEM 接入電信公司。

3.4、網(wǎng)絡地址規(guī)劃

3.4.1、學校IP資源的管理和機房計算機命名

為了科學、有效地使用學校內(nèi)部的IP資源，提高網(wǎng)絡管理的效率，避免IP沖突。根據(jù)機房的實際情況將機房的IP資源規(guī)劃如下：

我們將電信公司申請的IP號，內(nèi)部IP段通常是：192.168.21.100-192.168.21.160，100號給ftp服務器用，101給web服務器用，102號電腦室教師機用，103-164號給電腦教室學生機，這樣學生的計算機名是S01、S02??就分別與IP號103、104??分別對應起來了。以此類推，便于記憶，有利于機房管理和網(wǎng)絡維護。剩下的IP號目前用不到先留著。

3.4.2、計算機名

為了提高網(wǎng)絡維護效率，使自己在辦公室或校內(nèi)外任何能上網(wǎng)的地方都會知道學校的計算機運行情況，要給每臺計算機命名，計算機名要容易記。機房的計算機采用S01、S02??的命名規(guī)則。

3.5、VLAN劃分 根據(jù)端口來劃分VLAN 許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡的升級。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)。以交換機端口來劃分網(wǎng)絡成員，其配置過程簡單明了。

3.6、綜合布線

本項目機房地點設在實訓樓418。機房配有電信的網(wǎng)接口、64臺學生計算機、一臺教師機和二臺服務器。主干網(wǎng)采用雙絞線，機房內(nèi)部屬于綜合布線系統(tǒng)的工作區(qū)子系統(tǒng)，雙絞線敷設方式采用墻壁線纜布線方式，雙絞線的敷設內(nèi)置于PVC管道，以提高機房內(nèi)部布線的美觀性和安全性，房間墻壁以及地板設置幾個信息點，以備將來擴展的需要，總體布線情況為：主機接入交換機，交換機互聯(lián)，再由交換機接入外部設備。

3.7、與外網(wǎng)連接的結(jié)構(gòu)圖

機房內(nèi)部的布線是局限的，只能用于內(nèi)部信息共享，它的拓撲僅僅是內(nèi)網(wǎng)的拓撲，不能與外網(wǎng)進行信息交換。我們要把它與外網(wǎng)相聯(lián)接，下面是其他設備互聯(lián)以及和與外網(wǎng)互聯(lián)后的拓撲圖：

3.8、網(wǎng)絡互聯(lián)設備的選型

①路由器

本網(wǎng)絡系統(tǒng)建議使用的是思科3945/K9：

②交換機

銳捷RG-S2328G：

③ADSL Modem 華為HG510：用于接入電信公司網(wǎng)。

3.9、機器選型與軟硬件配置

3.9.1、機器選型與硬件配置

3.9.1.1、教學用計算機：聯(lián)想A4600K PDC E5700

65臺 3.9.1.2、服務器：IBM System x3100 2臺 3.9.1.3、ups電源：山特C6KS 標準版

3.9.1.4、防靜電和防雷設備:OBO V20-C 1套

3.9.2、軟件配置

3.9.2.1、操作系統(tǒng)：Windows7 服務器：Linux 3.9.2.2、應用軟件：多媒體教學軟件，Office2003辦公軟件、Visual C++、Visual Studio 2005、SQL Serer2005、Dreamweaver8、Flash、Photoshop、常用殺毒軟件，其它常用軟件等。

3.10、網(wǎng)絡管理與維護

3.10.1網(wǎng)絡管理 3.10.1.1技術方面

1）、通過設置IP段，標識機房中電腦，使機房成為獨立的局域網(wǎng)絡。設置機房內(nèi)局域網(wǎng)通過教師主機共享上網(wǎng)，方便教師控制整個機房內(nèi)機器有目標的上網(wǎng)。2）、安裝還原軟件（網(wǎng)絡破解版）。

3.11、網(wǎng)絡安全

（1）、ARP防火墻的使用

每臺計算機安裝了一個獨立的“ARP防火墻”和360殺毒軟件。系統(tǒng)自帶的防火墻作用不大，有安裝360安全衛(wèi)士的辦公計算機，打開其中的“ARP防火墻”應該也能解決這個問題。學生機不安裝360安全衛(wèi)士，不給學生多余的操作，以及360在學生機子中不必要的提示；

（2）、路由IP綁定

路由的各種設置要由網(wǎng)絡提供商提供，新建一個管理員用戶名和密碼才可以進行操作。不同的路由功能不一樣，實現(xiàn)的方法也不一樣。IP綁定是大多數(shù)路由都有的，把每個內(nèi)網(wǎng)IP與每臺計算機進行綁定，優(yōu)點是有利于網(wǎng)絡維護，缺點是網(wǎng)絡中的計算機換了沒有綁定的IP還是能用。有的路由還能進行IP分組，可以分為教師、學生、網(wǎng)站三組，并分別限制帶寬。

參考文獻：百度文庫及局域網(wǎng)相關文獻

第四篇：局域網(wǎng)設計方案

文章標題：局域網(wǎng)設計方案

找文章到xiexiebang.com更多原創(chuàng)-(http://004km.cnC）租用帶寬，通過中國石油通信公司為校園局域網(wǎng)提供Internet出口。由核心交換機提供接口，經(jīng)過路由器、防火墻連接到ISP設備。

整個學校局域網(wǎng)采用核心層和匯聚層兩層結(jié)構(gòu)，核心層到匯聚層的網(wǎng)絡帶寬為千兆，匯聚層到各樓層信息點的網(wǎng)絡帶寬為百兆。同時核心層及匯聚層網(wǎng)絡支持多種千兆以太網(wǎng)接口（千兆多模、千兆電口）以及鏈路聚合技術，實現(xiàn)主干鏈路的高速互通。

局域網(wǎng)系統(tǒng)中交換機均支持基于端口的管理、認證，可網(wǎng)管、遠程開關交換機端口，并支持SNMP協(xié)議，全網(wǎng)支持802.1q，可以做VLANTRUNK，同時兩臺骨干交換機之間實現(xiàn)負載均衡。

3.2．與Internet的連接

在保留現(xiàn)有的通過集團公司廣域網(wǎng)鏈路進入到互聯(lián)網(wǎng)的情況下，校園局域網(wǎng)用戶可通過Internet服務商進行互聯(lián)后實現(xiàn)局域網(wǎng)用戶對Internet的統(tǒng)一訪問，Internet的出口帶寬為一個10M連接到互聯(lián)網(wǎng)服務提供商。以滿足校園局域網(wǎng)用戶對Internet的訪問需求，具體的網(wǎng)絡連接示意圖如下：

網(wǎng)絡連接示意圖

點擊此處查看全部新聞圖片

出口路由器的以太接口連接到ISP的傳輸設備，實現(xiàn)局域網(wǎng)出口路由器與ISP的網(wǎng)絡互聯(lián)，同時為了增加

局域網(wǎng)內(nèi)部的網(wǎng)絡安全性，在公網(wǎng)和局域網(wǎng)連接處部署了一臺防火墻，用于對公網(wǎng)方向的網(wǎng)絡攻擊和非授權(quán)訪問進行隔離和控制，同時也保護公網(wǎng)服務器。同時考慮到公網(wǎng)服務器容易受到來自公網(wǎng)的非法攻擊，本設計在公網(wǎng)dmz區(qū)域部署一臺公網(wǎng)入侵檢測系統(tǒng)（IDS），以便對來自公網(wǎng)的訪問流量進行監(jiān)控和隔離。

3.3．校園辦公網(wǎng)絡

校園辦公網(wǎng)絡（包括綜合樓、東西教學樓辦公室部分、后勤食堂等場所）主要為在學校工作人員提供局域網(wǎng)基礎設施和上網(wǎng)服務。具體需求分為：

1、普通用戶：需要一個能夠承載內(nèi)部數(shù)據(jù)、語音、視頻應用的高速局域網(wǎng)，能夠高速訪問校園網(wǎng)、集團公司網(wǎng)絡。并保證網(wǎng)絡的安全和獨立。

2、VIP用戶使用：在普通用戶的基礎上，需要訪問校園廣域網(wǎng)和internet。

3、下屬的部門：與原設計的其他部門一致，作為校園總部局域網(wǎng)的一部分，按照部門相應的權(quán)限訪問集團應用，廣域網(wǎng)和internet。

同時考慮方案的經(jīng)濟性，并盡量減少對總部局域網(wǎng)絡的影響。

因此本次設計網(wǎng)絡為：

將現(xiàn)有的網(wǎng)絡平行遷移到新的雙聯(lián)核心網(wǎng)絡交換機上。

各樓及樓層交換機之間通過千兆光口互連。在隔離防火墻上進行設置，允許普通用戶以共享方式訪問internet，由此可以滿足用戶的基本需求。

3.4．公寓及公共網(wǎng)絡

公寓各房間網(wǎng)絡和公共場所如圖書館、教室等場所網(wǎng)絡主要為在學校參加培訓和學習的學員提供局域網(wǎng)基礎設施和上網(wǎng)服務。具體需求分為：

4、普通學員用戶：需要一個能夠承載內(nèi)部數(shù)據(jù)、語音、視頻應用的高速局域網(wǎng)。能夠高速訪問internet。并保證網(wǎng)絡的安全和獨立。

同時集團需要將普通學員用戶與校園總部局域網(wǎng)絡隔離。

5、VIP用戶使用：在普通用戶的基礎上，需要訪問校園廣域網(wǎng)。

6、下屬的部門：與原設計的其他部門一致，作為校園總部局域網(wǎng)的一部分，按照部門相應的權(quán)限訪問集團應用，廣域網(wǎng)和internet。

同時考慮方案的經(jīng)濟性，并盡量減少對總部局域網(wǎng)絡的影響。

因此本次設計網(wǎng)絡為：

在中心機房增加千兆隔離防火墻一臺，雙歸上聯(lián)核心交換機。

通過光纖，將現(xiàn)有的各公寓樓的網(wǎng)絡接入到公寓B座的會聚交換機上，然后接入核心交換機。

各樓及樓層交換機之間通過千兆光口互連。在隔離防火墻上進行設置，允許普通用戶以共享方式訪問internet，由此可以滿足用戶的基本需求。

3.5．與廣域網(wǎng)和internet的連接

校園將擴建現(xiàn)有廣域網(wǎng)系統(tǒng)，在保留通過與集團公司的2M專線連接外，增加10M與internet直接通過運營商連接的通道，實現(xiàn)校園內(nèi)部的數(shù)據(jù)、語音及多媒體信息的傳輸及共享。本次設計在校園總機房建設1臺核心路由器設備，系統(tǒng)配置要求滿足未來幾年內(nèi)的與集團公司或其他兄弟公司的接入。核心路由器通過廣域網(wǎng)防火墻實現(xiàn)與核心交換機的連接。

3.6．各樓及樓層設備配置

根據(jù)各樓的綜合布線點數(shù)，進行相應的設備配置設計，同時保證校園整體網(wǎng)絡的可靠性、安全性。

本次的樓層交換機主要使用現(xiàn)有的設備，對部分有必要和需要擴充的樓及樓層預留部分備用交換機。

四、IP地址規(guī)劃與設備命名

針對校園的網(wǎng)絡實際情況，對除004km.cn，歡迎閱讀局域網(wǎng)設計方案。

第五篇：校園局域網(wǎng)設計方案

xxxxx幼兒園 校園局域網(wǎng)

設 計 方 案

滄州市感知物聯(lián)網(wǎng)絡工程有限公司

2014年8月1日

校園局域網(wǎng)設計方案

目錄

一、前言............................................................3

二、學校需求分析

1、用戶目標..........................................................4

三、設計需求分析.....................................................5

四、網(wǎng)絡總體設計方案.................................................5

1、網(wǎng)路構(gòu)架分析......................................................5

2、設計思路.........................................................6

3、網(wǎng)絡方案設計原則...............................................6

4、網(wǎng)路結(jié)構(gòu)概述及拓撲結(jié)構(gòu)圖.......................................7

5、Vlan的劃分及IP地址的規(guī)劃........................................8

6、IP劃分、分配................................錯誤！未定義書簽。

五、設備選型

1、防火墻........................................................15

2、中心數(shù)據(jù)交換機................................................15

3、接入交換機

4、無線AP 校園局域網(wǎng)設計方案

一、前 言

隨著計算機、通信和多媒體技術的發(fā)展，使得網(wǎng)絡上的應用更加豐富。同時在多媒體教育和管理等方面的需求，對校園網(wǎng)絡也提出進一步的要求。因此需要一個高速的、具有先進性的、可擴展的校園計算機網(wǎng)絡以適應當前網(wǎng)絡技術發(fā)展的趨勢并滿足學校各方面應用的需要。信息技術的普及教育已經(jīng)越來越受到人們關注。學校領導、廣大師生們已經(jīng)充分認識到這一點，學校未來的教育方法和手段，將是構(gòu)筑在教育信息化發(fā)展戰(zhàn)略之上，通過加大信息網(wǎng)絡教育的投入，開展網(wǎng)絡化教學，開展教育信息服務和遠程教育服務等將成為未來建設的具體內(nèi)容。城市職業(yè)學院網(wǎng)將實現(xiàn)與校內(nèi)各部門進行通信，城市職業(yè)學院大學校園網(wǎng)將為學校的科研、教育、管理提供必要的技術手段，為研究開發(fā)和培養(yǎng)人才建立平臺，以此加快學校的發(fā)展，成為一個具有示范性的學校。

二、學校需求分析

1、用戶目標

校園網(wǎng)必須要具備教學、管理和通訊這幾大必要的功能。以便供應教師能夠方便地瀏覽和查詢網(wǎng)上資源，進行教學；學生可以方便地瀏覽和上網(wǎng)查詢資料；還有學校的管理人員可方便地對教務、行政事務、學生學籍、財務、資產(chǎn)等進行綜合管理，同時可以實現(xiàn)各級管理層與層之間的信息數(shù)據(jù)交換，實現(xiàn)網(wǎng)上信息采集和處理的自動化，實現(xiàn)信息和資源設備的共享，因此，校園網(wǎng)的建設必須有明確的建設目標和明確的構(gòu)建思路。校園網(wǎng)最終必須是一個集計算機網(wǎng)絡技術、多項信息管理、辦公自動化和信息發(fā)布等功能于一體的綜合信息平臺，并能夠有效促進現(xiàn)有的管理體制和管理方法，提高學校辦公質(zhì)量和效率，以促進學校整體教學水平的提高。

三、設計需求分析

郵件服務器、WEB服務器、FTP服務器、數(shù)據(jù)庫服務器、數(shù)據(jù)存儲服務器。千兆光纖系統(tǒng)（用于樓宇之間）、5類雙絞線（用于樓宇內(nèi)），路由器 一臺、防火墻一臺、中心交換機兩臺、工作組交換機多臺（要接入校園網(wǎng)的各個教室，學生休息室，位于分配線柜）。校園局域網(wǎng)設計方案

四、網(wǎng)絡總體設計方案

1、網(wǎng)絡構(gòu)架分析

采用千兆以太網(wǎng)技術，具有高帶寬1000Mbps 速率的主干，100Mbps 到桌面，運行目前的各種應用系統(tǒng)綽綽有余，還可輕松應付將來一段時間內(nèi)的應用要求，且易于升級和擴展，最大限度的保護用戶投資； 根據(jù)校園網(wǎng)絡項目，我們應該充分考慮學校的實際情況，注重設備選型的性能價格比，采用成熟可靠的技術，為學校設計成一個技術先進、靈活可用、性能優(yōu)秀、可升級擴展的校園網(wǎng)絡?？紤]到學校的中長期發(fā)展規(guī)劃，在網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡應用、網(wǎng)絡管理、系統(tǒng)性能以及遠程教學等各個方面能夠適應未來的發(fā)展，最大程度地保護學校的投資。學校借助校園網(wǎng)的建設，可充分利用豐富的網(wǎng)上應用系統(tǒng)及教學資源，發(fā)揮網(wǎng)絡資源共享、信息快捷、無地理限制等優(yōu)勢，真正把現(xiàn)代化管理、教育技術融入學校的日常教育與辦公管理當中。

2、設計思路

在設計校園網(wǎng)主干結(jié)構(gòu)時既要考慮到目前實際應用有所側(cè)重，又要兼顧未來的發(fā)展需求。中心交換機和主干交換機采用千兆交換機。要有完善的安全機制，防止來自外部和內(nèi)部的非法訪問。

3、網(wǎng)絡方案設計原則(1)、先進性原則(2)、開放性原則(3)、可管理性原則(4)、安全性原則

(5)、靈活性和可擴充性原則(6)、穩(wěn)定性和可靠性的原則

4、網(wǎng)路結(jié)構(gòu)概述及拓撲結(jié)構(gòu)

網(wǎng)絡的拓撲結(jié)構(gòu)是指網(wǎng)絡中通信線路和站點（計算機或設備）的相互連接的幾何形式。按照拓撲結(jié)構(gòu)的不同，常見的計算機網(wǎng)絡拓撲結(jié)構(gòu)有：總線型拓撲結(jié)構(gòu)、星型拓撲結(jié)構(gòu)、環(huán)型拓撲結(jié)構(gòu)等。4.1總線型拓撲結(jié)構(gòu)

總線型結(jié)構(gòu)是指各工作站和服務器均連接在一條總線上，各工作站地位平等，無中心節(jié)點控制，公用總線上的信息多以基帶形式串行傳遞，其傳遞方向總是從發(fā)送信息的節(jié)點開始向兩端擴散，如同廣播電臺發(fā)射的信息一樣，因此又稱廣播式計算機網(wǎng)絡。各節(jié)點在接收信息時都進行地址檢查，看是否與自己 校園局域網(wǎng)設計方案的工作站地址相符，相符則接收網(wǎng)上的信息。

4.2星型拓撲結(jié)構(gòu)

星型結(jié)構(gòu)是指各工作站以星型方式連接成網(wǎng)。網(wǎng)絡有中央節(jié)點，其他節(jié)點(工作站、服務器)都與中央節(jié)點直接相連，這種結(jié)構(gòu)以中央節(jié)點為中心，因此又稱為集中式網(wǎng)絡。

4.3環(huán)型拓撲結(jié)構(gòu)

環(huán)型結(jié)構(gòu)由網(wǎng)絡中若干節(jié)點通過點到點的鏈路首尾相連形成一個閉合的環(huán)，這種結(jié)構(gòu)使公共傳輸電纜組成環(huán)型連接，數(shù)據(jù)在環(huán)路中沿著一個方向在各個節(jié)點間傳輸，信息從一個節(jié)點傳到另一個節(jié)點。信號通過每臺計算機，計算機的作用就像一個中繼器，增強該信號，并將該信號發(fā)到下一個計算機上。

4.4 蜂窩拓撲結(jié)構(gòu)

蜂窩拓撲結(jié)構(gòu)是無線局域網(wǎng)中常用的結(jié)構(gòu)。它以無線傳輸介質(zhì)(微波、a衛(wèi)星、紅外線、無線發(fā)射臺等)點到點和點到多點傳輸為特征，是一種無線網(wǎng)，適用于城市網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)，更適合于移動通信。

5、Vlan的劃分及IP地址的規(guī)劃 Vlan劃分的原則：便于管理

Vlan劃分理念：將幾個樓劃分在同一個Vlan，便于管理。

Vlan具體劃分：如將梅園、桔園、竹園、桂園、桃園這幾個宿舍樓劃分在同一個Vlan下。再將博學館、圖書館劃分在同一個Vlan下。文化樓、實訓樓、光華樓劃分在同一個Vlan下。

6、IP 劃分、分配

假設學校的公網(wǎng)IP為200.1.1.0-200.1.1.32

1、教室 ：將連到教師辦公室的交換機端口劃分為VLAN2，將連到教室的交換機端口劃分為VLAN3，每臺計算機手工設置靜態(tài)IP地址，DNS為202.96.128.166 202.96.18.86,網(wǎng)關192.168.1.1，子網(wǎng)掩碼為255.255.255.0，在網(wǎng)絡中心的路由器上設置動態(tài)NAT共享上網(wǎng)，公網(wǎng)的IP段為200.1.1.1-200.1.1.5。教室IP范圍為:192.168.1.2－192.168.1.120 教師辦公室IP范圍為:192.168.1.120－192.168.1.254

2、學生宿舍區(qū)：將VLAN 68 到 VLAN 73分別劃分給學生宿舍樓A的1－6層，VLAN 74 到 VLAN 79分別加劃分給學生宿舍樓B的1－6層。其IP地址由網(wǎng)絡中心的將路由器設為DHCP服務器，設其IP段為172.18.2.0－172.118.255.255 子網(wǎng)掩碼為255.255.240.0自動分配給學生宿舍區(qū)。在網(wǎng)絡中心的路由器上設置動態(tài)NAT上網(wǎng)，公網(wǎng)的IP段為200.1.1.11-200.1.1.20。校園局域網(wǎng)設計方案

五、設備選型

1、防火墻

H3C SecPath F100-M-G防火墻

市場領先的基礎安全防護

全面的基礎安全防護：提供安全區(qū)域劃分、靜態(tài)/動態(tài)黑名單功能、MAC和IP綁定、訪問控制列表（ACL）和攻擊防范等基本功能，還提供基于狀態(tài)的檢測過濾、虛擬防火墻、VLAN透傳等功能。能夠防御ARP欺騙、TCP報文標志位不合法、Large ICMP報文、SYN flood、地址掃描和端口掃描等多種惡意攻擊

豐富的VPN特性：支持L2TP VPN、GRE VPN、IPSecVPN及SSL VPN等遠程安全接入方式，同時設備集成硬件加密引擎實現(xiàn)高性能的VPN處理

專業(yè)的NAT應用：提供多對

一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、Easy IP和DNS映射等NAT應用方式；支持多種應用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能

靈活可擴展的深度安全防護

與基礎安全防護高度集成的一體化安全業(yè)務處理平臺

全面的應用層流量識別與管理：通過H3C長期積累的狀態(tài)機檢測、流量交互檢測技術，能精確檢測Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡游戲/炒股/網(wǎng)絡視頻/網(wǎng)絡多媒體等應用；支持P2P流量控制功能，通過對流量采用深度檢測的方法，即通過將網(wǎng)絡報文與P2P協(xié)議報文特征進行匹配，可以精確的識別P2P流量，以達到對P2P流量進行管理的目的，同時可提供不同的控制策略，實現(xiàn)靈活的P2P流量控制 校園局域網(wǎng)設計方案

高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產(chǎn)權(quán)的FIRST（Full Inspection with Rigorous State Test，基于精確狀態(tài)的全面檢測）引擎。FIRST引擎集成了多項檢測技術，實現(xiàn)了基于精確狀態(tài)的全面檢測，具有極高的入侵檢測精度；同時，F(xiàn)IRST引擎采用了并行檢測技術，軟、硬件可靈活適配，大大提高了入侵檢測的效率

實時的病毒防護：采用Kaspersky公司的流引擎查毒技術，從而迅速、準確查殺網(wǎng)絡流量中的病毒等惡意代碼

全面、及時的安全特征庫。通過多年經(jīng)營與積累，H3C公司擁有業(yè)界資深的攻擊特征庫團隊，同時配備有專業(yè)的攻防實驗室，緊跟網(wǎng)絡安全領域的最新動態(tài)，從而保證特征庫的及時準確更新

技術領先的IPv6 國內(nèi)率先支持IPv6狀態(tài)防火墻，真正意義上實現(xiàn)IPv6條件下的防火墻功能，滿足迫在眉睫的IPv6應用需求

支持IPv4/IPv6雙協(xié)議棧，并支持IPv6數(shù)據(jù)報文轉(zhuǎn)發(fā)、靜態(tài)路由、動態(tài)路由及組播路由等功能

支持IPv6各種過渡技術，包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道等 支持IPv6 ACL、Radius等安全技術

電信級設備的高可靠性

采用H3C公司擁有自主知識產(chǎn)權(quán)的軟、硬件平臺。產(chǎn)品應用從電信運營商到中小企業(yè)用戶，經(jīng)歷了多年的市場考驗

支持雙機狀態(tài)熱備功能，支持配置同步與IPSecVPN的狀態(tài)備份，支持Active/Active和Active/Passive兩種工作模式，實現(xiàn)負載分擔和業(yè)務備份

簡單易用的智能管理

簡單易用的Web UI管理 適合專業(yè)用戶的全命令行管理 支持基于SNMP和TR-069協(xié)議的管理 校園局域網(wǎng)設計方案

通過H3C SecCenter安全管理中心實現(xiàn)統(tǒng)一管理

中小企業(yè)Internet出口安全

H3C SecPath F100-M-G支持完整的基礎安全防護和深度安全防御功能，為企業(yè)提供專業(yè)的安全防護；F100-M-G能夠支持完整的IPv6狀態(tài)防火墻，滿足馬上到來的IPv6時代的安全防護需求；同時F100-M-G還內(nèi)置了鏈路負載均衡、SSL VPN等豐富特性，能夠滿足當前互聯(lián)網(wǎng)出口多ISP鏈路和移動辦公的業(yè)務需求。校園局域網(wǎng)設計方案

2、中心數(shù)據(jù)交換機

H3C S5800PV2-EI 千兆交換機

千兆接入方案

在企業(yè)網(wǎng)絡或園區(qū)網(wǎng)絡中，S5800PV2-EI系列豐富完善的安全特性能最大程度地降低非法用戶和病毒入侵對網(wǎng)絡安全帶來的危害，同時S5000PV2-EI對SNMP網(wǎng)管特性的支持使其在面對大中型網(wǎng)絡的統(tǒng)一管理方面也能應對游刃有余，可廣泛使用在企業(yè)、學校、酒店等網(wǎng)絡搭建。校園局域網(wǎng)設計方案

3、接入交換機

H3C S1600系列安全智能交換機 產(chǎn)品特點

全線速的二層交換：

S1626／S1626-PWR／S1650交換機提供所有端口二層線速交換能力，保證所有端口無阻塞的進行報文轉(zhuǎn)發(fā)。優(yōu)異的安全性能：

支持802.1x認證，安全專區(qū)提供多種豐富的安全功能，可以實現(xiàn)IP+MAC+端口+VLAN四元素綁定，并可通過DHCP-Snooping或者智能綁定自動獲取綁定列表，有效防御ARP攻擊、DOS攻擊及蠕蟲攻擊，并可以方便的實現(xiàn)腳本配置文件的導入和導出。

支持基于MAC的Guest VLAN，配合動態(tài)VLAN下發(fā)功能可控制接入同一端口的不同用戶訪問不同的網(wǎng)絡資源，增強了網(wǎng)絡的安全性和易用性。強大的鏈路擴展及備份能力：

提供LACP、STP/RSTP功能，可有效實現(xiàn)鏈路擴展及備份。簡單方便的管理方式：

可以通過Web可視化的界面，對交換機的各種功能進行簡單方便的操作，同時提供Console口和Telnet的命令行配置。多業(yè)務支持能力

支持PoE（Power over Ethernet）技術，通過以太網(wǎng)對所連接的設備（如Wireless AP、IP Camera、IP Phone等）進行遠程供電，從而使得不必在使用現(xiàn)場為設備部署單獨的電源系統(tǒng)，能夠極大地減少部署終端設備的布線和管理成本。

H3C S1600系列安全智能交換機具有豐富的安全特性，這使得在企業(yè)應用中可方便的做到接入認證和授權(quán)訪問，豐富的防攻擊特性讓企業(yè)內(nèi)部的網(wǎng)絡更加健壯、安全。校園局域網(wǎng)設計方案

S1600系列安全智能交換機在企業(yè)網(wǎng)的應用示意圖 校園局域網(wǎng)設計方案

4、無線AP H3C WA2610H-GN 面板式無線接入設備

標準的86mm面板尺寸

WA2610H-GN采用標準的86*86mm面板尺寸，可以完全復用用戶既有的86mm網(wǎng)口面板暗盒，安裝實施時，無需專業(yè)人員，即可方便的將原有的網(wǎng)口面板替換為H3C的面板式AP——WA2610H-GN。由于WA2610H-GN采用86*86mm標準面板尺寸，所以在安裝之后，不會對原有周邊可能存在的其他插座面板或裝修事物造成影響，對客戶原有裝修的影響接近于零。

5步！安裝一個AP只需3~5分鐘

WA2610H-GN采用國際標準的插座安裝方法進行設計，和其他開關面板一樣，更換一個面板式AP只需要簡單的5個步驟，總耗時不超過5分鐘，可以極大的加快客戶部署無線網(wǎng)絡的速度。校園局域網(wǎng)設計方案

圖2 WA2610H-GN之5步安裝方法

綠色低碳設計

WA2610H-GN采用專業(yè)綠色低碳設計，支持動態(tài)MIMO省電模式(DMPS)與增強型自動省電傳送(E-APSD)，智能辨識終端實際性能需求，合理化調(diào)配終端休眠隊列，動態(tài)調(diào)整MIMO工作模式。

WA2610H-GN支持Green AP模式，實現(xiàn)單天線待機，節(jié)能更精準。

WA2610H-GN通過創(chuàng)新性的逐包功率控制(PPC)技術，在確保報文能成功傳輸?shù)那疤嵯聞討B(tài)調(diào)節(jié)AP設備和客戶端直接的雙向功率，以達到減少設備能耗和延長移動終端待機時間的作用。

提供本地轉(zhuǎn)發(fā)功能

當WA2610H-GN通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時，無線接入設備部署在分支機構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由無線接入設備發(fā)送到無線控制器，再由無線控制器進行集中轉(zhuǎn)發(fā)。WA2610H-GN可將數(shù)據(jù)報文在無線接入設備上直接轉(zhuǎn)化為有線格式的報文，使得數(shù)據(jù)報文不經(jīng)過無線控制器，而是在本地進行轉(zhuǎn)發(fā)，大大節(jié)約了有線帶寬。校園局域網(wǎng)設計方案

支持IPv4/IPv6雙協(xié)議棧(Native IPv6)WA2610H-GN全面支持IPv6特性，設備實現(xiàn)了IPv4/IPv6雙協(xié)議棧。無論原有有線網(wǎng)絡是IPv4還是IPv6，都可以自動地與WX系列控制器進行注冊提供WLAN服務，不會成為網(wǎng)絡中的信息孤島。

提供EAD無線接入

終端準入控制(EAD，End user Admission Domination)解決方案從控制用戶終端安全接入網(wǎng)絡的角度入手，整合網(wǎng)絡接入控制與終端安全產(chǎn)品，對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略，通過與安全策略服務器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應的安全策略之后才允許正常訪問網(wǎng)絡，從而提高了無線網(wǎng)絡的整體安全性。

支持智能負載均衡

WA2610H-GN支持按接入用戶數(shù)量和流量的復雜均衡方式，當無線控制器發(fā)現(xiàn)無線接入設備的負載超過設定的門限值以后，對于新接入的用戶無線控制器會自動計算此用戶周圍是否還有負載較輕的無線接入設備可供用戶接入，如果有則會拒絕用戶的關聯(lián)請求，用戶會轉(zhuǎn)而接入其他負載較輕的無線接入設備，但如果無線用戶不在重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負載均衡方式往往會導致連接不上網(wǎng)絡，造成誤均衡。H3C公司創(chuàng)新性的支持智能負載均衡技術，保證只對處于覆蓋重疊區(qū)的無線用戶才啟動負載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡容量。