第一篇：中小型局域網(wǎng)設(shè)計(jì)方案

局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案

一.畫出本設(shè)計(jì)方案基于局域網(wǎng)的拓?fù)鋱D，并有說明。

拓?fù)鋱D如下： 拓?fù)浣Y(jié)構(gòu)分析：本設(shè)計(jì)的拓?fù)浣Y(jié)構(gòu)是以中間一個(gè)核心交換機(jī)為核心，外接Router0、Router2，DNS服務(wù)器（提供域名解析）、DHCP服務(wù)器（為該局域網(wǎng)分配IP地址）、Router3（做外網(wǎng)路由器用，通過它與Internet連接）、一個(gè)管理員主機(jī)（通過該主機(jī)可以對(duì)該網(wǎng)絡(luò)的設(shè)備進(jìn)行管理和配置）。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火墻、ACL、NAT等，主要是為了該網(wǎng)絡(luò)的安全和易于管理。以上只是該網(wǎng)絡(luò)的初級(jí)設(shè)計(jì)。

二 在對(duì)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃，應(yīng)遵循以下原則：

需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則：對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（包括初步或詳細(xì)設(shè)計(jì)）及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容光煥發(fā)及措施，實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也小得多。

易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

多重保護(hù)原則：任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

三.防病毒的方法和設(shè)計(jì)

第一：病毒可能帶來哪些威脅

一旦中毒，就可能對(duì)系統(tǒng)造成破壞，導(dǎo)致數(shù)據(jù)泄露或損壞，或者使服務(wù)可用性降低。防病毒解決方案關(guān)注因感染病毒、間諜軟件或廣告軟件而造成的威脅?！安《尽币辉~通常用于描述某類特定的惡意代碼。經(jīng)過正確分析和規(guī)劃的防病毒解決方案可防范廣泛的惡意或未經(jīng)授權(quán)的代碼。

第二：病毒是通過哪些方式或者載體來給我們帶來威脅

病毒的載體是用于攻擊目標(biāo)的途徑。了解惡意代碼、間諜軟件和廣告軟件所利用的威脅的載體，有助于組織設(shè)計(jì)防病毒解決方案來防止被未經(jīng)授權(quán)的代碼感染，并阻止其擴(kuò)散。常見的威脅的載體有網(wǎng)絡(luò)(包括外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò))、移動(dòng)客戶端(包括連接到網(wǎng)絡(luò)的來賓客戶端和員工計(jì)算機(jī)等)、應(yīng)用程序(包括電子郵件、HTTP和應(yīng)用程序等)和可移動(dòng)媒體(包括u盤、可移動(dòng)驅(qū)動(dòng)器和閃存卡等)。第三：如何有效地防止病毒侵入

防病毒軟件:用于清除、隔離并防止惡意代碼擴(kuò)散。

安全機(jī)制:防火墻解決方案不足以為服務(wù)器、客戶端和網(wǎng)絡(luò)提供足夠的保護(hù)，以防范病毒威脅、間諜軟件和廣告軟件。病毒不斷發(fā)展變化，惡意代碼被設(shè)計(jì)為通過新的途徑，利用網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用程序中的缺陷。及時(shí)地添加補(bǔ)丁，更新軟件，對(duì)網(wǎng)絡(luò)的安全性好很大的幫助。

四.防木馬的方法和設(shè)計(jì)

一：建立受限的賬戶

用“net user”命令添加的新帳戶，其默認(rèn)權(quán)限為“USERS組”，所以只能運(yùn)行許可的程序，而不能隨意添加刪除程序和修改系統(tǒng)設(shè)置，這樣便可避免大部分的木馬程序和惡意網(wǎng)頁(yè)的破壞。

二：惡意網(wǎng)頁(yè)是系統(tǒng)感染木馬病毒及流氓插件的最主要途徑，因此很有必要對(duì)IE作一些保護(hù)設(shè)置。安裝360安全瀏覽器可以有效的做到這一點(diǎn)。

三：

1．禁止程序啟動(dòng)很多木馬病毒都是通過注冊(cè)表加載啟動(dòng)的，因此可通過權(quán)限設(shè)置，禁止病毒和木馬對(duì)注冊(cè)表的啟動(dòng)項(xiàng)進(jìn)行修改。

2．禁止服務(wù)啟動(dòng)

一些高級(jí)的木馬病毒會(huì)通過系統(tǒng)服務(wù)進(jìn)行加載，對(duì)此可禁止木馬病毒啟動(dòng)服務(wù)的權(quán)限?？梢来握归_“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支，將當(dāng)前帳戶的“讀取”權(quán)限設(shè)置為“允許”，同時(shí)取消其“完全控制”權(quán)限

五.防黑客攻擊的方法和設(shè)計(jì)

1.隱藏IP地址

黑客經(jīng)常利用一些網(wǎng)絡(luò)探測(cè)技術(shù)來查看我們的主機(jī)信息，主要目的就是得到網(wǎng)絡(luò)中主機(jī)的IP地址。IP地址在網(wǎng)絡(luò)安全上是一個(gè)很重要的概念，如果攻擊者知道了你 的IP地址，等于為他的攻擊準(zhǔn)備好了目標(biāo)，他可以向這個(gè)IP發(fā)動(dòng)各種進(jìn)攻，如DoS(拒絕服務(wù))攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使 用代理服務(wù)器。

與直接連接到Internet相比，使用代理服務(wù)器能保護(hù)上網(wǎng)用戶的IP地址，從而保障上網(wǎng)安全。代理服務(wù)器的原理是在客 戶機(jī)（用戶上網(wǎng)的計(jì)算機(jī)）和遠(yuǎn)程服務(wù)器（如用戶想訪問遠(yuǎn)端WWW服務(wù)器）之間架設(shè)一個(gè)“中轉(zhuǎn)站”，當(dāng)客戶機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)要求后，代理服務(wù)器首先截 取用戶的請(qǐng)求，然后代理服務(wù)器將服務(wù)請(qǐng)求轉(zhuǎn)交遠(yuǎn)程服務(wù)器，從而實(shí)現(xiàn)客戶機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。很顯然，使用代理服務(wù)器后，其它用戶只能探測(cè)到代理服務(wù) 器的IP地址而不是用戶的IP地址，這就實(shí)現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網(wǎng)安全。提供免費(fèi)代理服務(wù)器的網(wǎng)站有很多，你也可以自己用代理獵手等工具來查找。

2.關(guān)閉不必要的端口

黑客在入侵時(shí)常常會(huì)掃描你的計(jì)算機(jī)端口，如果安裝了端口監(jiān)視程序（比如Netwatch），該監(jiān)視程序則會(huì)有警告提示。如果遇到這種入侵，可用工具軟件關(guān)閉用不到的端口，比如，用“Norton Internet Security”關(guān)閉用來提供網(wǎng)頁(yè)服務(wù)的80和443端口，其他一些不常用的端口也可關(guān)閉。

3.更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator賬號(hào)。

首先是為Administrator帳戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后我們重命名Administrator帳戶，再創(chuàng)建一個(gè)沒有管理員權(quán)限的 Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個(gè)帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險(xiǎn)性。

六.局域網(wǎng)防arp病毒攻擊的方法和設(shè)計(jì)

1.安裝arp防火墻或者開啟局域網(wǎng)ARP防護(hù)，比如360安全衛(wèi)士等arp病毒專殺工具，并且實(shí)時(shí)下載安裝系統(tǒng)漏洞補(bǔ)丁，關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。

2.使用多層交換機(jī)或路由器：接入層采用基于IP地址交換進(jìn)行路由的第三層交換機(jī)。由于第三層交換技術(shù)用的是IP路由交換協(xié)議，以往的鏈路層的MAC地址和ARP協(xié)議失效，因而ARP欺騙攻擊在這種交換環(huán)境下起不了作用。

七.本設(shè)計(jì)的特色

實(shí)現(xiàn)本設(shè)計(jì)既簡(jiǎn)單又實(shí)用，而且操作起來十分方便，十分符合校內(nèi)小型局域網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)，完全可以符合一般學(xué)生的需要

八.心得體會(huì)

通過本次設(shè)計(jì) 我認(rèn)真查閱資料 學(xué)到了很多知識(shí) 對(duì)病毒、木馬、黑客、以及黑客攻擊都有了比較深入的了解，也提高了我對(duì)這些方面的興趣，最為重要地是我知道了怎么去建立和保護(hù)一個(gè)安全的網(wǎng)絡(luò)。

第二篇：中小型局域網(wǎng)設(shè)計(jì)方案rendahit

局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案

一.畫出本設(shè)計(jì)方案基于局域網(wǎng)的拓?fù)鋱D，并有說明。

拓?fù)鋱D如下： 拓?fù)浣Y(jié)構(gòu)分析：本設(shè)計(jì)的拓?fù)浣Y(jié)構(gòu)是以中間一個(gè)核心交換機(jī)為核心，外接Router0、Router2，DNS服務(wù)器（提供域名解析）、DHCP服務(wù)器（為該局域網(wǎng)分配IP地址）、Router3（做外網(wǎng)路由器用，通過它與Internet連接）、一個(gè)管理員主機(jī)（通過該主機(jī)可以對(duì)該網(wǎng)絡(luò)的設(shè)備進(jìn)行管理和配置）。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火墻、ACL、NAT等，主要是為了該網(wǎng)絡(luò)的安全和易于管理。以上只是該網(wǎng)絡(luò)的初級(jí)設(shè)計(jì)。

Server-PTDNS服務(wù)器ROUTER—PTROUTER 3CLOUD-PTInternetServer-PTDHCP服務(wù)器PC—PT管理員主機(jī)ROUTER 0核心交換機(jī)Switch-PTROUTER 2Switch0Switch1Switch2Switch3PC0PC1PC2PC3PC4PC5

二 在對(duì)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃，應(yīng)遵循以下原則：

需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則：對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（包括初步或詳細(xì)設(shè)計(jì)）及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容光煥發(fā)及措施，實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也小得多。

易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

多重保護(hù)原則：任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

三.防病毒的方法和設(shè)計(jì)

第一：病毒可能帶來哪些威脅

一旦中毒，就可能對(duì)系統(tǒng)造成破壞，導(dǎo)致數(shù)據(jù)泄露或損壞，或者使服務(wù)可用性降低。防病毒解決方案關(guān)注因感染病毒、間諜軟件或廣告軟件而造成的威脅?！安《尽币辉~通常用于描述某類特定的惡意代碼。經(jīng)過正確分析和規(guī)劃的防病毒解決方案可防范廣泛的惡意或未經(jīng)授權(quán)的代碼。

第二：病毒是通過哪些方式或者載體來給我們帶來威脅

病毒的載體是用于攻擊目標(biāo)的途徑。了解惡意代碼、間諜軟件和廣告軟件所利用的威脅的載體，有助于組織設(shè)計(jì)防病毒解決方案來防止被未經(jīng)授權(quán)的代碼感染，并阻止其擴(kuò)散。常見的威脅的載體有網(wǎng)絡(luò)(包括外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò))、移動(dòng)客戶端(包括連接到網(wǎng)絡(luò)的來賓客戶端和員工計(jì)算機(jī)等)、應(yīng)用程序(包括電子郵件、HTTP和應(yīng)用程序等)和可移動(dòng)媒體(包括u盤、可移動(dòng)驅(qū)動(dòng)器和閃存卡等)。第三：如何有效地防止病毒侵入

防病毒軟件:用于清除、隔離并防止惡意代碼擴(kuò)散。

安全機(jī)制:防火墻解決方案不足以為服務(wù)器、客戶端和網(wǎng)絡(luò)提供足夠的保護(hù)，以防范病毒威脅、間諜軟件和廣告軟件。病毒不斷發(fā)展變化，惡意代碼被設(shè)計(jì)為通過新的途徑，利用網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用程序中的缺陷。及時(shí)地添加補(bǔ)丁，更新軟件，對(duì)網(wǎng)絡(luò)的安全性好很大的幫助。

四.防木馬的方法和設(shè)計(jì)

一：建立受限的賬戶

用“net user”命令添加的新帳戶，其默認(rèn)權(quán)限為“USERS組”，所以只能運(yùn)行許可的程序，而不能隨意添加刪除程序和修改系統(tǒng)設(shè)置，這樣便可避免大部分的木馬程序和惡意網(wǎng)頁(yè)的破壞。

二：惡意網(wǎng)頁(yè)是系統(tǒng)感染木馬病毒及流氓插件的最主要途徑，因此很有必要對(duì)IE作一些保護(hù)設(shè)置。安裝360安全瀏覽器可以有效的做到這一點(diǎn)。

三：

1．禁止程序啟動(dòng)很多木馬病毒都是通過注冊(cè)表加載啟動(dòng)的，因此可通過權(quán)限設(shè)置，禁止病毒和木馬對(duì)注冊(cè)表的啟動(dòng)項(xiàng)進(jìn)行修改。

2．禁止服務(wù)啟動(dòng)

一些高級(jí)的木馬病毒會(huì)通過系統(tǒng)服務(wù)進(jìn)行加載，對(duì)此可禁止木馬病毒啟動(dòng)服務(wù)的權(quán)限?？梢来握归_“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支，將當(dāng)前帳戶的“讀取”權(quán)限設(shè)置為“允許”，同時(shí)取消其“完全控制”權(quán)限

五.防黑客攻擊的方法和設(shè)計(jì)

1.隱藏IP地址

黑客經(jīng)常利用一些網(wǎng)絡(luò)探測(cè)技術(shù)來查看我們的主機(jī)信息，主要目的就是得到網(wǎng)絡(luò)中主機(jī)的IP地址。IP地址在網(wǎng)絡(luò)安全上是一個(gè)很重要的概念，如果攻擊者知道了你 的IP地址，等于為他的攻擊準(zhǔn)備好了目標(biāo)，他可以向這個(gè)IP發(fā)動(dòng)各種進(jìn)攻，如DoS(拒絕服務(wù))攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使 用代理服務(wù)器。

與直接連接到Internet相比，使用代理服務(wù)器能保護(hù)上網(wǎng)用戶的IP地址，從而保障上網(wǎng)安全。代理服務(wù)器的原理是在客 戶機(jī)（用戶上網(wǎng)的計(jì)算機(jī)）和遠(yuǎn)程服務(wù)器（如用戶想訪問遠(yuǎn)端WWW服務(wù)器）之間架設(shè)一個(gè)“中轉(zhuǎn)站”，當(dāng)客戶機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)要求后，代理服務(wù)器首先截 取用戶的請(qǐng)求，然后代理服務(wù)器將服務(wù)請(qǐng)求轉(zhuǎn)交遠(yuǎn)程服務(wù)器，從而實(shí)現(xiàn)客戶機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。很顯然，使用代理服務(wù)器后，其它用戶只能探測(cè)到代理服務(wù) 器的IP地址而不是用戶的IP地址，這就實(shí)現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網(wǎng)安全。提供免費(fèi)代理服務(wù)器的網(wǎng)站有很多，你也可以自己用代理獵手等工具來查找。

2.關(guān)閉不必要的端口

黑客在入侵時(shí)常常會(huì)掃描你的計(jì)算機(jī)端口，如果安裝了端口監(jiān)視程序（比如Netwatch），該監(jiān)視程序則會(huì)有警告提示。如果遇到這種入侵，可用工具軟件關(guān)閉用不到的端口，比如，用“Norton Internet Security”關(guān)閉用來提供網(wǎng)頁(yè)服務(wù)的80和443端口，其他一些不常用的端口也可關(guān)閉。

3.更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator賬號(hào)。

首先是為Administrator帳戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼，然后我們重命名Administrator帳戶，再創(chuàng)建一個(gè)沒有管理員權(quán)限的 Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個(gè)帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險(xiǎn)性。

六.局域網(wǎng)防arp病毒攻擊的方法和設(shè)計(jì)

1.安裝arp防火墻或者開啟局域網(wǎng)ARP防護(hù)，比如360安全衛(wèi)士等arp病毒專殺工具，并且實(shí)時(shí)下載安裝系統(tǒng)漏洞補(bǔ)丁，關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。

2.使用多層交換機(jī)或路由器：接入層采用基于IP地址交換進(jìn)行路由的第三層交換機(jī)。由于第三層交換技術(shù)用的是IP路由交換協(xié)議，以往的鏈路層的MAC地址和ARP協(xié)議失效，因而ARP欺騙攻擊在這種交換環(huán)境下起不了作用。

七.本設(shè)計(jì)的特色

實(shí)現(xiàn)本設(shè)計(jì)既簡(jiǎn)單又實(shí)用，而且操作起來十分方便，十分符合校內(nèi)小型局域網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)，完全可以符合一般學(xué)生的需要

八.心得體會(huì)

通過本次設(shè)計(jì) 我認(rèn)真查閱資料 學(xué)到了很多知識(shí) 對(duì)病毒、木馬、黑客、以及黑客攻擊都有了比較深入的了解，也提高了我對(duì)這些方面的興趣，最為重要地是我知道了怎么去建立和保護(hù)一個(gè)安全的網(wǎng)絡(luò)。

第三篇：局域網(wǎng)設(shè)計(jì)方案

局域網(wǎng)設(shè)計(jì)方案

1、需求分析：

根據(jù)用戶提出的要求,進(jìn)行網(wǎng)絡(luò)的設(shè)計(jì).老師提出的網(wǎng)絡(luò)應(yīng)用需求，主要包括以下幾點(diǎn)： 基本情況：機(jī)房418，面積、房型可實(shí)地參觀，要求能夠同時(shí)提供64位同學(xué)和1位教師的上機(jī)服務(wù)，且能夠外連至電信公司（此處外連設(shè)計(jì)為ADSL方式）。機(jī)房?jī)?nèi)須提供內(nèi)部使用的FTP和Web服務(wù)。

要求：

1）所有的終端設(shè)備清單 2）所有網(wǎng)絡(luò)設(shè)備清單

3）所有布線主料與輔料清單

不間斷電源，4）所有正版操作系統(tǒng)和正版應(yīng)用軟件清單 5）所有服務(wù)器系統(tǒng)軟件清單

2、計(jì)算機(jī)擺放方案

機(jī)房的計(jì)算機(jī)擺放可用隊(duì)列式擺放方式，機(jī)房?jī)?nèi)需要65臺(tái)計(jì)算機(jī)和2臺(tái)服務(wù)器?？煞譃?列，12排；每10臺(tái)計(jì)算機(jī)為一組，所以共分為7組。把兩列臺(tái)計(jì)算機(jī)分別劃為5組，依次排放下去。平均每組計(jì)算機(jī)占地5平方米，7組共占地70平方米；其中，每組計(jì)算機(jī)的間隔為1.5米，為工作人員留下足夠的活動(dòng)空間，并且能夠互相交流工作，符合人性化的布局設(shè)計(jì)。機(jī)房的左側(cè)用于放置服務(wù)器、主交換機(jī)和UPS電源。機(jī)房空調(diào)3臺(tái)。主要布置如圖： 下面為機(jī)房場(chǎng)地的平面圖

3、網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

根據(jù)需求分析報(bào)告，開始網(wǎng)絡(luò)系統(tǒng)方案的設(shè)計(jì)階段。這個(gè)階段包括確定網(wǎng)絡(luò)總體目標(biāo)、網(wǎng)絡(luò)方案設(shè)計(jì)原則、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)地址規(guī)劃、VLAN劃分、綜合布線、網(wǎng)絡(luò)互聯(lián)設(shè)備的選型、機(jī)器選型與軟硬件配置、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全等內(nèi)容。

3.1網(wǎng)絡(luò)總體目標(biāo)和設(shè)計(jì)原則

3.1.1確立網(wǎng)絡(luò)總體實(shí)現(xiàn)的目標(biāo)

網(wǎng)絡(luò)建設(shè)的總體目標(biāo)首先明確的是采用以太網(wǎng)技術(shù)和局域網(wǎng)標(biāo)準(zhǔn)構(gòu)筑一個(gè)滿足日常教學(xué)與要求能夠同時(shí)提供64位同學(xué)和1位教師的上機(jī)服務(wù)，且能夠外連至電信公司（此處外連設(shè)計(jì)為ADSL方式）。機(jī)房?jī)?nèi)須提供內(nèi)部使用的FTP和Web服務(wù)。工程實(shí)行一次性投資和建設(shè)。

3.1.2總體設(shè)計(jì)原則

①實(shí)用性原則 網(wǎng)絡(luò)方案設(shè)計(jì)中把握“夠用”和“實(shí)用”原則。網(wǎng)絡(luò)系統(tǒng)采用成熟可靠的技術(shù)和設(shè)備，達(dá)到實(shí)用、經(jīng)濟(jì)和有效的目的。②開放性原則

建成多協(xié)議、多網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)平臺(tái)，真正實(shí)現(xiàn)開放式的網(wǎng)絡(luò)體系結(jié)構(gòu)。③先進(jìn)性原則

網(wǎng)絡(luò)建設(shè)應(yīng)適應(yīng)目標(biāo)管理自身發(fā)展的特點(diǎn)及網(wǎng)絡(luò)通信技術(shù)更新?lián)Q代，主機(jī)系統(tǒng)選擇、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)管理和連接方式具有一定的先進(jìn)性。④易用性原則

整個(gè)機(jī)房網(wǎng)絡(luò)系統(tǒng)必須易于管理、安裝和使用，網(wǎng)絡(luò)系統(tǒng)必須具有良好的可管理性，并且在滿足現(xiàn)有網(wǎng)絡(luò)應(yīng)用的同時(shí)，為以后的應(yīng)用升級(jí)奠定基礎(chǔ)。網(wǎng)絡(luò)系統(tǒng)還應(yīng)具有很高的資源利用率。⑤可擴(kuò)展性原則

網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮到近期目標(biāo)，也要為網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有擴(kuò)展的余地。因此，需要同意規(guī)劃和設(shè)計(jì)。網(wǎng)絡(luò)系統(tǒng)應(yīng)在規(guī)模和性能兩方面具有良好的可擴(kuò)展性。由于目前網(wǎng)絡(luò)產(chǎn)品標(biāo)準(zhǔn)化程度較高，因此可擴(kuò)展性要求基本不成問題。⑥安全性

實(shí)現(xiàn)網(wǎng)絡(luò)的合理配置，利用授權(quán)及軟件防火墻技術(shù)，能阻止非法用戶訪問網(wǎng)絡(luò)資源，保證數(shù)據(jù)傳輸、存儲(chǔ)的安全。

3.2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)

關(guān)于機(jī)房?jī)?nèi)部的交換機(jī)則選用中端的Catalyst 3512 XL：12口10/100M自適應(yīng)端口，2口GBIC插槽，因?yàn)闄C(jī)房?jī)?nèi)部共有67臺(tái)機(jī)器需要互連通信，且準(zhǔn)備實(shí)現(xiàn)鏈路冗余，用STP來消除橋接環(huán)路，則需要安置至少6臺(tái)該型號(hào)的交換機(jī)，另外該型號(hào)交換機(jī)有2個(gè)GBIC插槽，可以為以后的擴(kuò)張需要做準(zhǔn)備。具體拓?fù)淙缦拢?/p>

機(jī)房?jī)?nèi)部的計(jì)算機(jī)拓?fù)鋱D

3.3、網(wǎng)絡(luò)技術(shù)

在整個(gè)網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)采用ADSL接入電信公司，所以能夠提供最高達(dá)8Mbps的高速速下載速度和1Mbps的上傳速度。

整個(gè)網(wǎng)絡(luò)提供內(nèi)部使用的FTP和Web服務(wù)做為該教學(xué)網(wǎng)的教學(xué)使用服務(wù)器，運(yùn)用雙絞線接連各個(gè)學(xué)生機(jī)及教師機(jī)。通過ADSL MODEM 接入電信公司。

3.4、網(wǎng)絡(luò)地址規(guī)劃

3.4.1、學(xué)校IP資源的管理和機(jī)房計(jì)算機(jī)命名

為了科學(xué)、有效地使用學(xué)校內(nèi)部的IP資源，提高網(wǎng)絡(luò)管理的效率，避免IP沖突。根據(jù)機(jī)房的實(shí)際情況將機(jī)房的IP資源規(guī)劃如下：

我們將電信公司申請(qǐng)的IP號(hào)，內(nèi)部IP段通常是：192.168.21.100-192.168.21.160，100號(hào)給ftp服務(wù)器用，101給web服務(wù)器用，102號(hào)電腦室教師機(jī)用，103-164號(hào)給電腦教室學(xué)生機(jī)，這樣學(xué)生的計(jì)算機(jī)名是S01、S02??就分別與IP號(hào)103、104??分別對(duì)應(yīng)起來了。以此類推，便于記憶，有利于機(jī)房管理和網(wǎng)絡(luò)維護(hù)。剩下的IP號(hào)目前用不到先留著。

3.4.2、計(jì)算機(jī)名

為了提高網(wǎng)絡(luò)維護(hù)效率，使自己在辦公室或校內(nèi)外任何能上網(wǎng)的地方都會(huì)知道學(xué)校的計(jì)算機(jī)運(yùn)行情況，要給每臺(tái)計(jì)算機(jī)命名，計(jì)算機(jī)名要容易記。機(jī)房的計(jì)算機(jī)采用S01、S02??的命名規(guī)則。

3.5、VLAN劃分 根據(jù)端口來劃分VLAN 許多VLAN廠商都利用交換機(jī)的端口來劃分VLAN成員。被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級(jí)。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上。第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。以交換機(jī)端口來劃分網(wǎng)絡(luò)成員，其配置過程簡(jiǎn)單明了。

3.6、綜合布線

本項(xiàng)目機(jī)房地點(diǎn)設(shè)在實(shí)訓(xùn)樓418。機(jī)房配有電信的網(wǎng)接口、64臺(tái)學(xué)生計(jì)算機(jī)、一臺(tái)教師機(jī)和二臺(tái)服務(wù)器。主干網(wǎng)采用雙絞線，機(jī)房?jī)?nèi)部屬于綜合布線系統(tǒng)的工作區(qū)子系統(tǒng)，雙絞線敷設(shè)方式采用墻壁線纜布線方式，雙絞線的敷設(shè)內(nèi)置于PVC管道，以提高機(jī)房?jī)?nèi)部布線的美觀性和安全性，房間墻壁以及地板設(shè)置幾個(gè)信息點(diǎn)，以備將來擴(kuò)展的需要，總體布線情況為：主機(jī)接入交換機(jī)，交換機(jī)互聯(lián)，再由交換機(jī)接入外部設(shè)備。

3.7、與外網(wǎng)連接的結(jié)構(gòu)圖

機(jī)房?jī)?nèi)部的布線是局限的，只能用于內(nèi)部信息共享，它的拓?fù)鋬H僅是內(nèi)網(wǎng)的拓?fù)洌荒芘c外網(wǎng)進(jìn)行信息交換。我們要把它與外網(wǎng)相聯(lián)接，下面是其他設(shè)備互聯(lián)以及和與外網(wǎng)互聯(lián)后的拓?fù)鋱D：

3.8、網(wǎng)絡(luò)互聯(lián)設(shè)備的選型

①路由器

本網(wǎng)絡(luò)系統(tǒng)建議使用的是思科3945/K9：

②交換機(jī)

銳捷RG-S2328G：

③ADSL Modem 華為HG510：用于接入電信公司網(wǎng)。

3.9、機(jī)器選型與軟硬件配置

3.9.1、機(jī)器選型與硬件配置

3.9.1.1、教學(xué)用計(jì)算機(jī)：聯(lián)想A4600K PDC E5700

65臺(tái) 3.9.1.2、服務(wù)器：IBM System x3100 2臺(tái) 3.9.1.3、ups電源：山特C6KS 標(biāo)準(zhǔn)版

3.9.1.4、防靜電和防雷設(shè)備:OBO V20-C 1套

3.9.2、軟件配置

3.9.2.1、操作系統(tǒng)：Windows7 服務(wù)器：Linux 3.9.2.2、應(yīng)用軟件：多媒體教學(xué)軟件，Office2003辦公軟件、Visual C++、Visual Studio 2005、SQL Serer2005、Dreamweaver8、Flash、Photoshop、常用殺毒軟件，其它常用軟件等。

3.10、網(wǎng)絡(luò)管理與維護(hù)

3.10.1網(wǎng)絡(luò)管理 3.10.1.1技術(shù)方面

1）、通過設(shè)置IP段，標(biāo)識(shí)機(jī)房中電腦，使機(jī)房成為獨(dú)立的局域網(wǎng)絡(luò)。設(shè)置機(jī)房?jī)?nèi)局域網(wǎng)通過教師主機(jī)共享上網(wǎng)，方便教師控制整個(gè)機(jī)房?jī)?nèi)機(jī)器有目標(biāo)的上網(wǎng)。2）、安裝還原軟件（網(wǎng)絡(luò)破解版）。

3.11、網(wǎng)絡(luò)安全

（1）、ARP防火墻的使用

每臺(tái)計(jì)算機(jī)安裝了一個(gè)獨(dú)立的“ARP防火墻”和360殺毒軟件。系統(tǒng)自帶的防火墻作用不大，有安裝360安全衛(wèi)士的辦公計(jì)算機(jī)，打開其中的“ARP防火墻”應(yīng)該也能解決這個(gè)問題。學(xué)生機(jī)不安裝360安全衛(wèi)士，不給學(xué)生多余的操作，以及360在學(xué)生機(jī)子中不必要的提示；

（2）、路由IP綁定

路由的各種設(shè)置要由網(wǎng)絡(luò)提供商提供，新建一個(gè)管理員用戶名和密碼才可以進(jìn)行操作。不同的路由功能不一樣，實(shí)現(xiàn)的方法也不一樣。IP綁定是大多數(shù)路由都有的，把每個(gè)內(nèi)網(wǎng)IP與每臺(tái)計(jì)算機(jī)進(jìn)行綁定，優(yōu)點(diǎn)是有利于網(wǎng)絡(luò)維護(hù)，缺點(diǎn)是網(wǎng)絡(luò)中的計(jì)算機(jī)換了沒有綁定的IP還是能用。有的路由還能進(jìn)行IP分組，可以分為教師、學(xué)生、網(wǎng)站三組，并分別限制帶寬。

參考文獻(xiàn)：百度文庫(kù)及局域網(wǎng)相關(guān)文獻(xiàn)

第四篇：局域網(wǎng)設(shè)計(jì)方案

文章標(biāo)題：局域網(wǎng)設(shè)計(jì)方案

找文章到xiexiebang.com更多原創(chuàng)-(http://004km.cnC）租用帶寬，通過中國(guó)石油通信公司為校園局域網(wǎng)提供Internet出口。由核心交換機(jī)提供接口，經(jīng)過路由器、防火墻連接到ISP設(shè)備。

整個(gè)學(xué)校局域網(wǎng)采用核心層和匯聚層兩層結(jié)構(gòu)，核心層到匯聚層的網(wǎng)絡(luò)帶寬為千兆，匯聚層到各樓層信息點(diǎn)的網(wǎng)絡(luò)帶寬為百兆。同時(shí)核心層及匯聚層網(wǎng)絡(luò)支持多種千兆以太網(wǎng)接口（千兆多模、千兆電口）以及鏈路聚合技術(shù)，實(shí)現(xiàn)主干鏈路的高速互通。

局域網(wǎng)系統(tǒng)中交換機(jī)均支持基于端口的管理、認(rèn)證，可網(wǎng)管、遠(yuǎn)程開關(guān)交換機(jī)端口，并支持SNMP協(xié)議，全網(wǎng)支持802.1q，可以做VLANTRUNK，同時(shí)兩臺(tái)骨干交換機(jī)之間實(shí)現(xiàn)負(fù)載均衡。

3.2．與Internet的連接

在保留現(xiàn)有的通過集團(tuán)公司廣域網(wǎng)鏈路進(jìn)入到互聯(lián)網(wǎng)的情況下，校園局域網(wǎng)用戶可通過Internet服務(wù)商進(jìn)行互聯(lián)后實(shí)現(xiàn)局域網(wǎng)用戶對(duì)Internet的統(tǒng)一訪問，Internet的出口帶寬為一個(gè)10M連接到互聯(lián)網(wǎng)服務(wù)提供商。以滿足校園局域網(wǎng)用戶對(duì)Internet的訪問需求，具體的網(wǎng)絡(luò)連接示意圖如下：

網(wǎng)絡(luò)連接示意圖

點(diǎn)擊此處查看全部新聞圖片

出口路由器的以太接口連接到ISP的傳輸設(shè)備，實(shí)現(xiàn)局域網(wǎng)出口路由器與ISP的網(wǎng)絡(luò)互聯(lián)，同時(shí)為了增加

局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)安全性，在公網(wǎng)和局域網(wǎng)連接處部署了一臺(tái)防火墻，用于對(duì)公網(wǎng)方向的網(wǎng)絡(luò)攻擊和非授權(quán)訪問進(jìn)行隔離和控制，同時(shí)也保護(hù)公網(wǎng)服務(wù)器。同時(shí)考慮到公網(wǎng)服務(wù)器容易受到來自公網(wǎng)的非法攻擊，本設(shè)計(jì)在公網(wǎng)dmz區(qū)域部署一臺(tái)公網(wǎng)入侵檢測(cè)系統(tǒng)（IDS），以便對(duì)來自公網(wǎng)的訪問流量進(jìn)行監(jiān)控和隔離。

3.3．校園辦公網(wǎng)絡(luò)

校園辦公網(wǎng)絡(luò)（包括綜合樓、東西教學(xué)樓辦公室部分、后勤食堂等場(chǎng)所）主要為在學(xué)校工作人員提供局域網(wǎng)基礎(chǔ)設(shè)施和上網(wǎng)服務(wù)。具體需求分為：

1、普通用戶：需要一個(gè)能夠承載內(nèi)部數(shù)據(jù)、語(yǔ)音、視頻應(yīng)用的高速局域網(wǎng)，能夠高速訪問校園網(wǎng)、集團(tuán)公司網(wǎng)絡(luò)。并保證網(wǎng)絡(luò)的安全和獨(dú)立。

2、VIP用戶使用：在普通用戶的基礎(chǔ)上，需要訪問校園廣域網(wǎng)和internet。

3、下屬的部門：與原設(shè)計(jì)的其他部門一致，作為校園總部局域網(wǎng)的一部分，按照部門相應(yīng)的權(quán)限訪問集團(tuán)應(yīng)用，廣域網(wǎng)和internet。

同時(shí)考慮方案的經(jīng)濟(jì)性，并盡量減少對(duì)總部局域網(wǎng)絡(luò)的影響。

因此本次設(shè)計(jì)網(wǎng)絡(luò)為：

將現(xiàn)有的網(wǎng)絡(luò)平行遷移到新的雙聯(lián)核心網(wǎng)絡(luò)交換機(jī)上。

各樓及樓層交換機(jī)之間通過千兆光口互連。在隔離防火墻上進(jìn)行設(shè)置，允許普通用戶以共享方式訪問internet，由此可以滿足用戶的基本需求。

3.4．公寓及公共網(wǎng)絡(luò)

公寓各房間網(wǎng)絡(luò)和公共場(chǎng)所如圖書館、教室等場(chǎng)所網(wǎng)絡(luò)主要為在學(xué)校參加培訓(xùn)和學(xué)習(xí)的學(xué)員提供局域網(wǎng)基礎(chǔ)設(shè)施和上網(wǎng)服務(wù)。具體需求分為：

4、普通學(xué)員用戶：需要一個(gè)能夠承載內(nèi)部數(shù)據(jù)、語(yǔ)音、視頻應(yīng)用的高速局域網(wǎng)。能夠高速訪問internet。并保證網(wǎng)絡(luò)的安全和獨(dú)立。

同時(shí)集團(tuán)需要將普通學(xué)員用戶與校園總部局域網(wǎng)絡(luò)隔離。

5、VIP用戶使用：在普通用戶的基礎(chǔ)上，需要訪問校園廣域網(wǎng)。

6、下屬的部門：與原設(shè)計(jì)的其他部門一致，作為校園總部局域網(wǎng)的一部分，按照部門相應(yīng)的權(quán)限訪問集團(tuán)應(yīng)用，廣域網(wǎng)和internet。

同時(shí)考慮方案的經(jīng)濟(jì)性，并盡量減少對(duì)總部局域網(wǎng)絡(luò)的影響。

因此本次設(shè)計(jì)網(wǎng)絡(luò)為：

在中心機(jī)房增加千兆隔離防火墻一臺(tái)，雙歸上聯(lián)核心交換機(jī)。

通過光纖，將現(xiàn)有的各公寓樓的網(wǎng)絡(luò)接入到公寓B座的會(huì)聚交換機(jī)上，然后接入核心交換機(jī)。

各樓及樓層交換機(jī)之間通過千兆光口互連。在隔離防火墻上進(jìn)行設(shè)置，允許普通用戶以共享方式訪問internet，由此可以滿足用戶的基本需求。

3.5．與廣域網(wǎng)和internet的連接

校園將擴(kuò)建現(xiàn)有廣域網(wǎng)系統(tǒng)，在保留通過與集團(tuán)公司的2M專線連接外，增加10M與internet直接通過運(yùn)營(yíng)商連接的通道，實(shí)現(xiàn)校園內(nèi)部的數(shù)據(jù)、語(yǔ)音及多媒體信息的傳輸及共享。本次設(shè)計(jì)在校園總機(jī)房建設(shè)1臺(tái)核心路由器設(shè)備，系統(tǒng)配置要求滿足未來幾年內(nèi)的與集團(tuán)公司或其他兄弟公司的接入。核心路由器通過廣域網(wǎng)防火墻實(shí)現(xiàn)與核心交換機(jī)的連接。

3.6．各樓及樓層設(shè)備配置

根據(jù)各樓的綜合布線點(diǎn)數(shù)，進(jìn)行相應(yīng)的設(shè)備配置設(shè)計(jì)，同時(shí)保證校園整體網(wǎng)絡(luò)的可靠性、安全性。

本次的樓層交換機(jī)主要使用現(xiàn)有的設(shè)備，對(duì)部分有必要和需要擴(kuò)充的樓及樓層預(yù)留部分備用交換機(jī)。

四、IP地址規(guī)劃與設(shè)備命名

針對(duì)校園的網(wǎng)絡(luò)實(shí)際情況，對(duì)除004km.cn，歡迎閱讀局域網(wǎng)設(shè)計(jì)方案。

第五篇：校園局域網(wǎng)設(shè)計(jì)方案

xxxxx幼兒園 校園局域網(wǎng)

設(shè) 計(jì) 方 案

滄州市感知物聯(lián)網(wǎng)絡(luò)工程有限公司

2014年8月1日

校園局域網(wǎng)設(shè)計(jì)方案

目錄

一、前言............................................................3

二、學(xué)校需求分析

1、用戶目標(biāo)..........................................................4

三、設(shè)計(jì)需求分析.....................................................5

四、網(wǎng)絡(luò)總體設(shè)計(jì)方案.................................................5

1、網(wǎng)路構(gòu)架分析......................................................5

2、設(shè)計(jì)思路.........................................................6

3、網(wǎng)絡(luò)方案設(shè)計(jì)原則...............................................6

4、網(wǎng)路結(jié)構(gòu)概述及拓?fù)浣Y(jié)構(gòu)圖.......................................7

5、Vlan的劃分及IP地址的規(guī)劃........................................8

6、IP劃分、分配................................錯(cuò)誤！未定義書簽。

五、設(shè)備選型

1、防火墻........................................................15

2、中心數(shù)據(jù)交換機(jī)................................................15

3、接入交換機(jī)

4、無線AP 校園局域網(wǎng)設(shè)計(jì)方案

一、前 言

隨著計(jì)算機(jī)、通信和多媒體技術(shù)的發(fā)展，使得網(wǎng)絡(luò)上的應(yīng)用更加豐富。同時(shí)在多媒體教育和管理等方面的需求，對(duì)校園網(wǎng)絡(luò)也提出進(jìn)一步的要求。因此需要一個(gè)高速的、具有先進(jìn)性的、可擴(kuò)展的校園計(jì)算機(jī)網(wǎng)絡(luò)以適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)并滿足學(xué)校各方面應(yīng)用的需要。信息技術(shù)的普及教育已經(jīng)越來越受到人們關(guān)注。學(xué)校領(lǐng)導(dǎo)、廣大師生們已經(jīng)充分認(rèn)識(shí)到這一點(diǎn)，學(xué)校未來的教育方法和手段，將是構(gòu)筑在教育信息化發(fā)展戰(zhàn)略之上，通過加大信息網(wǎng)絡(luò)教育的投入，開展網(wǎng)絡(luò)化教學(xué)，開展教育信息服務(wù)和遠(yuǎn)程教育服務(wù)等將成為未來建設(shè)的具體內(nèi)容。城市職業(yè)學(xué)院網(wǎng)將實(shí)現(xiàn)與校內(nèi)各部門進(jìn)行通信，城市職業(yè)學(xué)院大學(xué)校園網(wǎng)將為學(xué)校的科研、教育、管理提供必要的技術(shù)手段，為研究開發(fā)和培養(yǎng)人才建立平臺(tái)，以此加快學(xué)校的發(fā)展，成為一個(gè)具有示范性的學(xué)校。

二、學(xué)校需求分析

1、用戶目標(biāo)

校園網(wǎng)必須要具備教學(xué)、管理和通訊這幾大必要的功能。以便供應(yīng)教師能夠方便地瀏覽和查詢網(wǎng)上資源，進(jìn)行教學(xué)；學(xué)生可以方便地瀏覽和上網(wǎng)查詢資料；還有學(xué)校的管理人員可方便地對(duì)教務(wù)、行政事務(wù)、學(xué)生學(xué)籍、財(cái)務(wù)、資產(chǎn)等進(jìn)行綜合管理，同時(shí)可以實(shí)現(xiàn)各級(jí)管理層與層之間的信息數(shù)據(jù)交換，實(shí)現(xiàn)網(wǎng)上信息采集和處理的自動(dòng)化，實(shí)現(xiàn)信息和資源設(shè)備的共享，因此，校園網(wǎng)的建設(shè)必須有明確的建設(shè)目標(biāo)和明確的構(gòu)建思路。校園網(wǎng)最終必須是一個(gè)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、多項(xiàng)信息管理、辦公自動(dòng)化和信息發(fā)布等功能于一體的綜合信息平臺(tái)，并能夠有效促進(jìn)現(xiàn)有的管理體制和管理方法，提高學(xué)校辦公質(zhì)量和效率，以促進(jìn)學(xué)校整體教學(xué)水平的提高。

三、設(shè)計(jì)需求分析

郵件服務(wù)器、WEB服務(wù)器、FTP服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、數(shù)據(jù)存儲(chǔ)服務(wù)器。千兆光纖系統(tǒng)（用于樓宇之間）、5類雙絞線（用于樓宇內(nèi)），路由器 一臺(tái)、防火墻一臺(tái)、中心交換機(jī)兩臺(tái)、工作組交換機(jī)多臺(tái)（要接入校園網(wǎng)的各個(gè)教室，學(xué)生休息室，位于分配線柜）。校園局域網(wǎng)設(shè)計(jì)方案

四、網(wǎng)絡(luò)總體設(shè)計(jì)方案

1、網(wǎng)絡(luò)構(gòu)架分析

采用千兆以太網(wǎng)技術(shù)，具有高帶寬1000Mbps 速率的主干，100Mbps 到桌面，運(yùn)行目前的各種應(yīng)用系統(tǒng)綽綽有余，還可輕松應(yīng)付將來一段時(shí)間內(nèi)的應(yīng)用要求，且易于升級(jí)和擴(kuò)展，最大限度的保護(hù)用戶投資； 根據(jù)校園網(wǎng)絡(luò)項(xiàng)目，我們應(yīng)該充分考慮學(xué)校的實(shí)際情況，注重設(shè)備選型的性能價(jià)格比，采用成熟可靠的技術(shù)，為學(xué)校設(shè)計(jì)成一個(gè)技術(shù)先進(jìn)、靈活可用、性能優(yōu)秀、可升級(jí)擴(kuò)展的校園網(wǎng)絡(luò)。考慮到學(xué)校的中長(zhǎng)期發(fā)展規(guī)劃，在網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)管理、系統(tǒng)性能以及遠(yuǎn)程教學(xué)等各個(gè)方面能夠適應(yīng)未來的發(fā)展，最大程度地保護(hù)學(xué)校的投資。學(xué)校借助校園網(wǎng)的建設(shè)，可充分利用豐富的網(wǎng)上應(yīng)用系統(tǒng)及教學(xué)資源，發(fā)揮網(wǎng)絡(luò)資源共享、信息快捷、無地理限制等優(yōu)勢(shì)，真正把現(xiàn)代化管理、教育技術(shù)融入學(xué)校的日常教育與辦公管理當(dāng)中。

2、設(shè)計(jì)思路

在設(shè)計(jì)校園網(wǎng)主干結(jié)構(gòu)時(shí)既要考慮到目前實(shí)際應(yīng)用有所側(cè)重，又要兼顧未來的發(fā)展需求。中心交換機(jī)和主干交換機(jī)采用千兆交換機(jī)。要有完善的安全機(jī)制，防止來自外部和內(nèi)部的非法訪問。

3、網(wǎng)絡(luò)方案設(shè)計(jì)原則(1)、先進(jìn)性原則(2)、開放性原則(3)、可管理性原則(4)、安全性原則

(5)、靈活性和可擴(kuò)充性原則(6)、穩(wěn)定性和可靠性的原則

4、網(wǎng)路結(jié)構(gòu)概述及拓?fù)浣Y(jié)構(gòu)

網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是指網(wǎng)絡(luò)中通信線路和站點(diǎn)（計(jì)算機(jī)或設(shè)備）的相互連接的幾何形式。按照拓?fù)浣Y(jié)構(gòu)的不同，常見的計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有：總線型拓?fù)浣Y(jié)構(gòu)、星型拓?fù)浣Y(jié)構(gòu)、環(huán)型拓?fù)浣Y(jié)構(gòu)等。4.1總線型拓?fù)浣Y(jié)構(gòu)

總線型結(jié)構(gòu)是指各工作站和服務(wù)器均連接在一條總線上，各工作站地位平等，無中心節(jié)點(diǎn)控制，公用總線上的信息多以基帶形式串行傳遞，其傳遞方向總是從發(fā)送信息的節(jié)點(diǎn)開始向兩端擴(kuò)散，如同廣播電臺(tái)發(fā)射的信息一樣，因此又稱廣播式計(jì)算機(jī)網(wǎng)絡(luò)。各節(jié)點(diǎn)在接收信息時(shí)都進(jìn)行地址檢查，看是否與自己 校園局域網(wǎng)設(shè)計(jì)方案的工作站地址相符，相符則接收網(wǎng)上的信息。

4.2星型拓?fù)浣Y(jié)構(gòu)

星型結(jié)構(gòu)是指各工作站以星型方式連接成網(wǎng)。網(wǎng)絡(luò)有中央節(jié)點(diǎn)，其他節(jié)點(diǎn)(工作站、服務(wù)器)都與中央節(jié)點(diǎn)直接相連，這種結(jié)構(gòu)以中央節(jié)點(diǎn)為中心，因此又稱為集中式網(wǎng)絡(luò)。

4.3環(huán)型拓?fù)浣Y(jié)構(gòu)

環(huán)型結(jié)構(gòu)由網(wǎng)絡(luò)中若干節(jié)點(diǎn)通過點(diǎn)到點(diǎn)的鏈路首尾相連形成一個(gè)閉合的環(huán)，這種結(jié)構(gòu)使公共傳輸電纜組成環(huán)型連接，數(shù)據(jù)在環(huán)路中沿著一個(gè)方向在各個(gè)節(jié)點(diǎn)間傳輸，信息從一個(gè)節(jié)點(diǎn)傳到另一個(gè)節(jié)點(diǎn)。信號(hào)通過每臺(tái)計(jì)算機(jī)，計(jì)算機(jī)的作用就像一個(gè)中繼器，增強(qiáng)該信號(hào)，并將該信號(hào)發(fā)到下一個(gè)計(jì)算機(jī)上。

4.4 蜂窩拓?fù)浣Y(jié)構(gòu)

蜂窩拓?fù)浣Y(jié)構(gòu)是無線局域網(wǎng)中常用的結(jié)構(gòu)。它以無線傳輸介質(zhì)(微波、a衛(wèi)星、紅外線、無線發(fā)射臺(tái)等)點(diǎn)到點(diǎn)和點(diǎn)到多點(diǎn)傳輸為特征，是一種無線網(wǎng)，適用于城市網(wǎng)、校園網(wǎng)、企業(yè)網(wǎng)，更適合于移動(dòng)通信。

5、Vlan的劃分及IP地址的規(guī)劃 Vlan劃分的原則：便于管理

Vlan劃分理念：將幾個(gè)樓劃分在同一個(gè)Vlan，便于管理。

Vlan具體劃分：如將梅園、桔園、竹園、桂園、桃園這幾個(gè)宿舍樓劃分在同一個(gè)Vlan下。再將博學(xué)館、圖書館劃分在同一個(gè)Vlan下。文化樓、實(shí)訓(xùn)樓、光華樓劃分在同一個(gè)Vlan下。

6、IP 劃分、分配

假設(shè)學(xué)校的公網(wǎng)IP為200.1.1.0-200.1.1.32

1、教室 ：將連到教師辦公室的交換機(jī)端口劃分為VLAN2，將連到教室的交換機(jī)端口劃分為VLAN3，每臺(tái)計(jì)算機(jī)手工設(shè)置靜態(tài)IP地址，DNS為202.96.128.166 202.96.18.86,網(wǎng)關(guān)192.168.1.1，子網(wǎng)掩碼為255.255.255.0，在網(wǎng)絡(luò)中心的路由器上設(shè)置動(dòng)態(tài)NAT共享上網(wǎng)，公網(wǎng)的IP段為200.1.1.1-200.1.1.5。教室IP范圍為:192.168.1.2－192.168.1.120 教師辦公室IP范圍為:192.168.1.120－192.168.1.254

2、學(xué)生宿舍區(qū)：將VLAN 68 到 VLAN 73分別劃分給學(xué)生宿舍樓A的1－6層，VLAN 74 到 VLAN 79分別加劃分給學(xué)生宿舍樓B的1－6層。其IP地址由網(wǎng)絡(luò)中心的將路由器設(shè)為DHCP服務(wù)器，設(shè)其IP段為172.18.2.0－172.118.255.255 子網(wǎng)掩碼為255.255.240.0自動(dòng)分配給學(xué)生宿舍區(qū)。在網(wǎng)絡(luò)中心的路由器上設(shè)置動(dòng)態(tài)NAT上網(wǎng)，公網(wǎng)的IP段為200.1.1.11-200.1.1.20。校園局域網(wǎng)設(shè)計(jì)方案

五、設(shè)備選型

1、防火墻

H3C SecPath F100-M-G防火墻

市場(chǎng)領(lǐng)先的基礎(chǔ)安全防護(hù)

全面的基礎(chǔ)安全防護(hù)：提供安全區(qū)域劃分、靜態(tài)/動(dòng)態(tài)黑名單功能、MAC和IP綁定、訪問控制列表（ACL）和攻擊防范等基本功能，還提供基于狀態(tài)的檢測(cè)過濾、虛擬防火墻、VLAN透?jìng)鞯裙δ?。能夠防御ARP欺騙、TCP報(bào)文標(biāo)志位不合法、Large ICMP報(bào)文、SYN flood、地址掃描和端口掃描等多種惡意攻擊

豐富的VPN特性：支持L2TP VPN、GRE VPN、IPSecVPN及SSL VPN等遠(yuǎn)程安全接入方式，同時(shí)設(shè)備集成硬件加密引擎實(shí)現(xiàn)高性能的VPN處理

專業(yè)的NAT應(yīng)用：提供多對(duì)

一、多對(duì)多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、Easy IP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能

靈活可擴(kuò)展的深度安全防護(hù)

與基礎(chǔ)安全防護(hù)高度集成的一體化安全業(yè)務(wù)處理平臺(tái)

全面的應(yīng)用層流量識(shí)別與管理：通過H3C長(zhǎng)期積累的狀態(tài)機(jī)檢測(cè)、流量交互檢測(cè)技術(shù)，能精確檢測(cè)Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應(yīng)用；支持P2P流量控制功能，通過對(duì)流量采用深度檢測(cè)的方法，即通過將網(wǎng)絡(luò)報(bào)文與P2P協(xié)議報(bào)文特征進(jìn)行匹配，可以精確的識(shí)別P2P流量，以達(dá)到對(duì)P2P流量進(jìn)行管理的目的，同時(shí)可提供不同的控制策略，實(shí)現(xiàn)靈活的P2P流量控制 校園局域網(wǎng)設(shè)計(jì)方案

高精度、高效率的入侵檢測(cè)引擎。采用H3C公司自主知識(shí)產(chǎn)權(quán)的FIRST（Full Inspection with Rigorous State Test，基于精確狀態(tài)的全面檢測(cè)）引擎。FIRST引擎集成了多項(xiàng)檢測(cè)技術(shù)，實(shí)現(xiàn)了基于精確狀態(tài)的全面檢測(cè)，具有極高的入侵檢測(cè)精度；同時(shí)，F(xiàn)IRST引擎采用了并行檢測(cè)技術(shù)，軟、硬件可靈活適配，大大提高了入侵檢測(cè)的效率

實(shí)時(shí)的病毒防護(hù)：采用Kaspersky公司的流引擎查毒技術(shù)，從而迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼

全面、及時(shí)的安全特征庫(kù)。通過多年經(jīng)營(yíng)與積累，H3C公司擁有業(yè)界資深的攻擊特征庫(kù)團(tuán)隊(duì)，同時(shí)配備有專業(yè)的攻防實(shí)驗(yàn)室，緊跟網(wǎng)絡(luò)安全領(lǐng)域的最新動(dòng)態(tài)，從而保證特征庫(kù)的及時(shí)準(zhǔn)確更新

技術(shù)領(lǐng)先的IPv6 國(guó)內(nèi)率先支持IPv6狀態(tài)防火墻，真正意義上實(shí)現(xiàn)IPv6條件下的防火墻功能，滿足迫在眉睫的IPv6應(yīng)用需求

支持IPv4/IPv6雙協(xié)議棧，并支持IPv6數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)、靜態(tài)路由、動(dòng)態(tài)路由及組播路由等功能

支持IPv6各種過渡技術(shù)，包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動(dòng)隧道、ISATAP隧道等 支持IPv6 ACL、Radius等安全技術(shù)

電信級(jí)設(shè)備的高可靠性

采用H3C公司擁有自主知識(shí)產(chǎn)權(quán)的軟、硬件平臺(tái)。產(chǎn)品應(yīng)用從電信運(yùn)營(yíng)商到中小企業(yè)用戶，經(jīng)歷了多年的市場(chǎng)考驗(yàn)

支持雙機(jī)狀態(tài)熱備功能，支持配置同步與IPSecVPN的狀態(tài)備份，支持Active/Active和Active/Passive兩種工作模式，實(shí)現(xiàn)負(fù)載分擔(dān)和業(yè)務(wù)備份

簡(jiǎn)單易用的智能管理

簡(jiǎn)單易用的Web UI管理 適合專業(yè)用戶的全命令行管理 支持基于SNMP和TR-069協(xié)議的管理 校園局域網(wǎng)設(shè)計(jì)方案

通過H3C SecCenter安全管理中心實(shí)現(xiàn)統(tǒng)一管理

中小企業(yè)Internet出口安全

H3C SecPath F100-M-G支持完整的基礎(chǔ)安全防護(hù)和深度安全防御功能，為企業(yè)提供專業(yè)的安全防護(hù)；F100-M-G能夠支持完整的IPv6狀態(tài)防火墻，滿足馬上到來的IPv6時(shí)代的安全防護(hù)需求；同時(shí)F100-M-G還內(nèi)置了鏈路負(fù)載均衡、SSL VPN等豐富特性，能夠滿足當(dāng)前互聯(lián)網(wǎng)出口多ISP鏈路和移動(dòng)辦公的業(yè)務(wù)需求。校園局域網(wǎng)設(shè)計(jì)方案

2、中心數(shù)據(jù)交換機(jī)

H3C S5800PV2-EI 千兆交換機(jī)

千兆接入方案

在企業(yè)網(wǎng)絡(luò)或園區(qū)網(wǎng)絡(luò)中，S5800PV2-EI系列豐富完善的安全特性能最大程度地降低非法用戶和病毒入侵對(duì)網(wǎng)絡(luò)安全帶來的危害，同時(shí)S5000PV2-EI對(duì)SNMP網(wǎng)管特性的支持使其在面對(duì)大中型網(wǎng)絡(luò)的統(tǒng)一管理方面也能應(yīng)對(duì)游刃有余，可廣泛使用在企業(yè)、學(xué)校、酒店等網(wǎng)絡(luò)搭建。校園局域網(wǎng)設(shè)計(jì)方案

3、接入交換機(jī)

H3C S1600系列安全智能交換機(jī) 產(chǎn)品特點(diǎn)

全線速的二層交換：

S1626／S1626-PWR／S1650交換機(jī)提供所有端口二層線速交換能力，保證所有端口無阻塞的進(jìn)行報(bào)文轉(zhuǎn)發(fā)。優(yōu)異的安全性能：

支持802.1x認(rèn)證，安全專區(qū)提供多種豐富的安全功能，可以實(shí)現(xiàn)IP+MAC+端口+VLAN四元素綁定，并可通過DHCP-Snooping或者智能綁定自動(dòng)獲取綁定列表，有效防御ARP攻擊、DOS攻擊及蠕蟲攻擊，并可以方便的實(shí)現(xiàn)腳本配置文件的導(dǎo)入和導(dǎo)出。

支持基于MAC的Guest VLAN，配合動(dòng)態(tài)VLAN下發(fā)功能可控制接入同一端口的不同用戶訪問不同的網(wǎng)絡(luò)資源，增強(qiáng)了網(wǎng)絡(luò)的安全性和易用性。強(qiáng)大的鏈路擴(kuò)展及備份能力：

提供LACP、STP/RSTP功能，可有效實(shí)現(xiàn)鏈路擴(kuò)展及備份。簡(jiǎn)單方便的管理方式：

可以通過Web可視化的界面，對(duì)交換機(jī)的各種功能進(jìn)行簡(jiǎn)單方便的操作，同時(shí)提供Console口和Telnet的命令行配置。多業(yè)務(wù)支持能力

支持PoE（Power over Ethernet）技術(shù)，通過以太網(wǎng)對(duì)所連接的設(shè)備（如Wireless AP、IP Camera、IP Phone等）進(jìn)行遠(yuǎn)程供電，從而使得不必在使用現(xiàn)場(chǎng)為設(shè)備部署單獨(dú)的電源系統(tǒng)，能夠極大地減少部署終端設(shè)備的布線和管理成本。

H3C S1600系列安全智能交換機(jī)具有豐富的安全特性，這使得在企業(yè)應(yīng)用中可方便的做到接入認(rèn)證和授權(quán)訪問，豐富的防攻擊特性讓企業(yè)內(nèi)部的網(wǎng)絡(luò)更加健壯、安全。校園局域網(wǎng)設(shè)計(jì)方案

S1600系列安全智能交換機(jī)在企業(yè)網(wǎng)的應(yīng)用示意圖 校園局域網(wǎng)設(shè)計(jì)方案

4、無線AP H3C WA2610H-GN 面板式無線接入設(shè)備

標(biāo)準(zhǔn)的86mm面板尺寸

WA2610H-GN采用標(biāo)準(zhǔn)的86*86mm面板尺寸，可以完全復(fù)用用戶既有的86mm網(wǎng)口面板暗盒，安裝實(shí)施時(shí)，無需專業(yè)人員，即可方便的將原有的網(wǎng)口面板替換為H3C的面板式AP——WA2610H-GN。由于WA2610H-GN采用86*86mm標(biāo)準(zhǔn)面板尺寸，所以在安裝之后，不會(huì)對(duì)原有周邊可能存在的其他插座面板或裝修事物造成影響，對(duì)客戶原有裝修的影響接近于零。

5步！安裝一個(gè)AP只需3~5分鐘

WA2610H-GN采用國(guó)際標(biāo)準(zhǔn)的插座安裝方法進(jìn)行設(shè)計(jì)，和其他開關(guān)面板一樣，更換一個(gè)面板式AP只需要簡(jiǎn)單的5個(gè)步驟，總耗時(shí)不超過5分鐘，可以極大的加快客戶部署無線網(wǎng)絡(luò)的速度。校園局域網(wǎng)設(shè)計(jì)方案

圖2 WA2610H-GN之5步安裝方法

綠色低碳設(shè)計(jì)

WA2610H-GN采用專業(yè)綠色低碳設(shè)計(jì)，支持動(dòng)態(tài)MIMO省電模式(DMPS)與增強(qiáng)型自動(dòng)省電傳送(E-APSD)，智能辨識(shí)終端實(shí)際性能需求，合理化調(diào)配終端休眠隊(duì)列，動(dòng)態(tài)調(diào)整MIMO工作模式。

WA2610H-GN支持Green AP模式，實(shí)現(xiàn)單天線待機(jī)，節(jié)能更精準(zhǔn)。

WA2610H-GN通過創(chuàng)新性的逐包功率控制(PPC)技術(shù)，在確保報(bào)文能成功傳輸?shù)那疤嵯聞?dòng)態(tài)調(diào)節(jié)AP設(shè)備和客戶端直接的雙向功率，以達(dá)到減少設(shè)備能耗和延長(zhǎng)移動(dòng)終端待機(jī)時(shí)間的作用。

提供本地轉(zhuǎn)發(fā)功能

當(dāng)WA2610H-GN通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時(shí)，無線接入設(shè)備部署在分支機(jī)構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由無線接入設(shè)備發(fā)送到無線控制器，再由無線控制器進(jìn)行集中轉(zhuǎn)發(fā)。WA2610H-GN可將數(shù)據(jù)報(bào)文在無線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報(bào)文，使得數(shù)據(jù)報(bào)文不經(jīng)過無線控制器，而是在本地進(jìn)行轉(zhuǎn)發(fā)，大大節(jié)約了有線帶寬。校園局域網(wǎng)設(shè)計(jì)方案

支持IPv4/IPv6雙協(xié)議棧(Native IPv6)WA2610H-GN全面支持IPv6特性，設(shè)備實(shí)現(xiàn)了IPv4/IPv6雙協(xié)議棧。無論原有有線網(wǎng)絡(luò)是IPv4還是IPv6，都可以自動(dòng)地與WX系列控制器進(jìn)行注冊(cè)提供WLAN服務(wù)，不會(huì)成為網(wǎng)絡(luò)中的信息孤島。

提供EAD無線接入

終端準(zhǔn)入控制(EAD，End user Admission Domination)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，通過與安全策略服務(wù)器的聯(lián)動(dòng)，可以對(duì)感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進(jìn)行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應(yīng)的安全策略之后才允許正常訪問網(wǎng)絡(luò)，從而提高了無線網(wǎng)絡(luò)的整體安全性。

支持智能負(fù)載均衡

WA2610H-GN支持按接入用戶數(shù)量和流量的復(fù)雜均衡方式，當(dāng)無線控制器發(fā)現(xiàn)無線接入設(shè)備的負(fù)載超過設(shè)定的門限值以后，對(duì)于新接入的用戶無線控制器會(huì)自動(dòng)計(jì)算此用戶周圍是否還有負(fù)載較輕的無線接入設(shè)備可供用戶接入，如果有則會(huì)拒絕用戶的關(guān)聯(lián)請(qǐng)求，用戶會(huì)轉(zhuǎn)而接入其他負(fù)載較輕的無線接入設(shè)備，但如果無線用戶不在重疊覆蓋區(qū)內(nèi)，傳統(tǒng)的負(fù)載均衡方式往往會(huì)導(dǎo)致連接不上網(wǎng)絡(luò)，造成誤均衡。H3C公司創(chuàng)新性的支持智能負(fù)載均衡技術(shù)，保證只對(duì)處于覆蓋重疊區(qū)的無線用戶才啟動(dòng)負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)，從而最大限度的提高了無線網(wǎng)絡(luò)容量。