园区网络设计方案篇1

关键词：无线校园网;建设方案;策略

近年来，随着我国经济社会的发展和科学技术的进步，无线校园网络的建设已经在全球范围内形成一种浪潮，无线校园网络已经成为现代化校园的一种标志。在校园中，无线局域网的应用一方面解决了多人同时上网的问题，大大增加了校园网络信息点，方便广大师生获取信息，有利于进一步提升学校的信息化水平;另一方面无线局域网为无线多媒体的应用提供了新的平台，使教育信息化进入一个新的发展阶段。由此可见，无线校园局域网的建设意义重大。下面，我们就对无线校园网的建设方案及策略进行分析。

一、无线校园网建设的规划

在无线校园网建设过程中，合理的规划工作非常重要。在规划过程中，主要考虑的问题包括两方面。首先，网络架构。现在无线局域网方案主要有FATAP和FITAP两种，其中，FATAP的部署简单，成本也比较低，适合小规模的一些部署;FITAP的业务开展能力比较强大，主要适合大规模的部署。由于无线校园网中的AP数目比较多，所以，一般无线校园网建设中采用的是FITAP。其次，无线覆盖方案的规划。在对无线覆盖进行规划的时候，我们需要综合考虑建筑的结构和用户的密度等多方面因素。具体的操作步骤如下。第一，根据用户提供的CAD图或者平面图进行软件模拟;第二，对典型区域进行现场测试;第三，对于受限制的区域进行现场人工勘察。

二、无线校园网建设的部署

依据用户的要求和无线的覆盖区域，我们需要对无线网进行合理部署，制定出最佳的无线覆盖方案。具体来说，覆盖方案主要包括以下几种。第一，室内直接覆盖方案。这种覆盖方案适合礼堂、阶梯大教室以及图书馆等一些用户密度比较高并且信号衰减比较小的区域。第二，室内分布式覆盖方案。这种覆盖方案适合院校的办公室等一些用户密度相对较低并且信号衰减比较大的一些区域。第三，室外覆盖方案。室外覆盖方案主要适用校园操场、校园大道等一些比较开阔的区域。这些区域由于树木比较多，会影响无线信号，因此，室外覆盖对无线设备的要求也更高。第四，室外覆盖室内方案。这种覆盖方案适合校园内的家属楼和学生宿舍等，这种方案只是解决了无线网络的覆盖问题，如果上网的用户比较多，就会影响网速。

第一，安全问题。在无线校园网建设中，处理好网络安全问题，保证无线信号的安全传输非常重要。比如，在链路层安全方面，我们要考虑与802.1x认证的结合，防止一些常见性的网络攻击，保证无线校园网中数据传输的安全性。第二，业务及其扩展。一般的Internet接入已经不能满足现代院校师生的研究和学习需求，因此，需要我们发挥无线校园网的作用，为师生提供更多的业务服务。比如，除了Internet接入，无线校园网还可以为院校提供多媒体教学、网络电视、校内无线IP电话、即拍即传等业务，能够在更大程度上满足院校的网络需要。

三、无线校园网的管理和运营

第一，无线校园网的管理。无线校园网的管理主要包括设备管理和用户管理两个方面。首先，在设备管理方面，我们要建立一个统一的管理系统，一方面对AC、汇聚交换机、FITAP以及核心交换机等无线设备进行有效管理，另一方面为解决无线网络问题提供帮助。其次，在用户管理方面，通过无线管理系统对用户名、用户的IP以及所在AP等进行动态管理，方便我们在系统中查询到用户的一些相关信息，实现对无线校园网用户的良好管理。第二，运营和优化。对于无线校园网的运营，不仅要考虑无线网络的特点，还要使它与院校已有的有线网络保持一致。比如，在计费方面，校园内的有线网络一般是包月、外网按照流量收费的模式，这种模式在认证方面需要用户进行两次认证，比较麻烦，因此，在无线和有线保持一致的情况下，我们可以对用户认证流程进行简化，实现一次性认证。另外，在无线校园网的使用过程中，容易受到外界的一些干扰，对于那些短期的干扰，我们可以运用无线控制器自动信道和自动功率控制进行优化，减少信号干扰;对于那些长期的干扰，则需要采取人工调节的方式进行优化。

综上所述，无线校园网在为院校师生提供教育网络资源方面发挥着重要作用。它的建设是一个复杂的系统工程，在具体的建设过程中，需要我们综合考虑规划、部署、安全以及管理和运行等多个方面，只有做好各方面工作，才能构建一个良好的校园网络，使无线校园网络更好地为广大师生提供服务，更好地为院校的教学活动提供服务。

参考文献：

园区网络设计方案篇2

关键词：无线校园网WLAN无线AP

中图分类号：TP393文献标识码：A文章编号：1007-9416（2012）11-0157-02

无线校园网，就是通过无线局域网（WirelessLocalAreaNetwork，简称WLAN技术），在校园中建立的无缝无线通讯网络，使校园的每个角落到处在网络中，形成全覆盖的校园网。

伴随着校园信息化水平的提高，笔记本电脑的普及，学校的老师和学生对随时随地接入网络进行教学和科研的需求越来越普遍。为了更好的为师生提供便利的网络接入环境和科研、学习的氛围，加速校园信息化的发展，下一代校园网必然会通过无线网络覆盖来满足师生随需接入的需要。

1、无线校园网建设需求

1.1现代化教学

现在学校大量开展网络化教学活动，越来越多的资料都需要通过网络获取，老师和学生希望在任意时间在学校的任何地点都可以访问到网络资源，进行资料查询和下载。

1.2端口数量

一般来说，有线局域网中在如教室、图书馆、会议室等人口密集的区域只能提供数量非常有限的信息点，随着笔记本电脑的普及和现代化教学的普及，部分区域同一时刻可能会拥有大量的电脑，但现有的有线校园网没有办法使学生们在这些区域上网。而采用无线方式，在端口上连接无线接入点，不需布线就可以轻松从一个端口扩展到成百上千个端口的应用。

1.3联合办公

随着档案管理的电子化，此时需要多部门集中联合办公，传统的方式是每次迎新都通过拉网线，接交换机的方式，非常耗费人力，而无线局域网技术能够很好的解决这种多部门联合办公的突发需求，极大的简化每年新生入校和毕业生离校的网络部署工作量，提高学校信息化水平。

1.4临时活动

各种学术活动越来越多地在学校举行。除此之外，学校每年也都会举办一些其他的活动，如运动会、人才交流活动等。由于这些应用的特殊性和灵活性，有线局域网将不能满足校园网的需求。所以很有必要使用无线局域网技术对原有网络进一步扩充，使校园的每个角落都处在网络中，形成真正意义上的校园网。

2、无线网校园设计原则

校园无线网的设计原则建立在充分考虑学校使用需要的基础上，力求满足整个校园网的可靠性、先进性、实用性、可兼容及可扩展性。

（1）安全可靠性：保证系统可靠运行，关键设备应有冗余；具有提供智能化的无线电波自动调控与切换能力，以确保单个AP接入点在发生故障时自动切换到邻近AP，不会影响无线的接入业务；具有支持热备份的无线控制器的冗余备份机制。

（2）可兼容及可扩展性：在进行方案建设时，力求做到网络结构清晰、合理并具有扩展能力；硬件配置先进、可靠，能够满足网络及软件运行的需要；系统软件安全、可靠，界面友好，易于操作和维护。

（3）先进性：采用当今国内、国际上最先进和成熟的计算机软、硬件技术，使新建立的系统能够最大限度地适应今后技术和业务发展的需要。

（4）实用性：能够最大限度地满足实际工作的要求，是每个信息系统在建设过程中所必须考虑的一种系统性能，它是自动化系统对用户最基本的承诺。

3、无线网络基础架构

无线局域网技术目前得到广泛应用，IEEE802.11b/g是一种全新的教育系统解决方案。无线局域网的组成包括无线网卡和无线接入点（AccessPoint，简称AP）、无线局域网利用常规的局域网（如10/100/1000M以太网）及其互联设备（路由器、交换机）构成骨干支撑网。利用无线接入点（AP）来支持移动终端（MT）的移动和漫游。配有无线网卡的台式PC机、笔记本电脑或其他设备就可以与无线网络连接起来。

无线接入点的作用是完成WLAN和LAN之间的桥接。WLAN工作站也可漫游在不同的AP之间。若不加外接天线，AP的覆盖理论上在视野所及之处约250m。但若在半开放性空间，或有间隔的区域，则约30～50m左右。由于微波是直线传播，所以微波都是小角度穿透几面墙体，墙体将减弱信号，如果墙体为钢筋混凝土，信号则会更弱。所以，在实际情况下（通常在室外），还需要加上外接增益天线，使距离到达更远、信号更强。

无线校园网，就是通过无线局域网（WLAN）技术，在校园中建立的无缝无线通讯网络，使校园的每个角落都处在网络中，形成真正意义上的校园网。

在校园无线网络建设需求中，主要存在三种典型的应用环境。第一是校园内的户外公共区域；第二是局部开放的室内大环境，如典型公共教室、图书阅览室等；第三是房间多、用户数量不多但分布较散的楼宇，如教学办公楼、宿舍等。

4、无线校园网方案部署

WLAN的部署需要根据目标区域的不同制定最佳的WLAN覆盖方案，根据覆盖区域和用户要求的不同，可以采用室内直接覆盖、室内分布式覆盖、室外覆盖、室外覆盖室内等多种覆盖方案。

4.1室内直接覆盖方案

适用于用户密度高，信号衰减小如图书馆、学术厅、教室的区域。这种情况下，AP可以采用壁挂或者吸顶安装。此时优先考虑的因素是用户数量而不是信号质量。通常，每个AP支持用户数量的合理值在15-20个，根据用户总数和使用无线局域网的比例来合理规划每个区域部署AP的位置和数量。

4.2室内分布式覆盖方案

适用于用户密度不高，信号衰减大的区域如办公楼、学生宿舍等。每个AP通过室内分布式天馈系统带多个天线来达到扩大覆盖区域，提高信号质量的目的。此时AP一般部署于楼道天花板上或者弱电间中，天线则部署于楼道内。在使用室内分布式覆盖的情况下，AP的数量主要在施工难度和信号质量之间取平衡。

4.3室外覆盖方案

适合于操场、广场、迎新大道等室外开阔区域；在这种区域中，需要覆盖的区域范围广，并且通常会有比较多的树木等影响无线信号；同时设备部署到室外，必须考虑防水、防尘、防雷、防高温、防低温等因素，因此室外覆盖方案对无线设备要求非常高，一般必须使用专业室外型产品，在距离超过以太网作用范围的情况下，要求AP必须支持光纤接口。室外覆盖方案首要考虑是信号质量，一般情况下，普通100mw的室外型产品能够覆盖100-200米，大功率室外型AP可以覆盖超过300米。

4.4室外覆盖室内方案

适合学生宿舍、家属楼等区域的补点方案。AP部署在目标区域的两侧，在两侧安装室外型AP加定向天线的方式完成对目标区域的覆盖。这种情况下，每个AP能够覆盖的区域很广，信号通过窗户进入房间，因此窗口附近的信号质量高，远离出口的区域信号质量稍差。对于家属楼，如果要求不高，可以只覆盖书房所在的一面，而对于学生宿舍楼，必须采用双面覆盖。室外覆盖室内的方案只能解决信号覆盖问题，如果使用无线网络的用户比例增加，上网速度则会下降。这种情况下，建议更换为室内覆盖方案。

5、无线校园网安全

在物理安全的管理上除应满足常规的机房安全管理外还需要对设备进行防雷击、信号屏蔽保护等现代信息技术保护。为防止蓝牙设备产生的网络对无线局域网络造成影响，在网络实验室内必须严格禁止蓝牙设备的开启，同时将无线网络接入点放置在金属盒中屏蔽，将天线外置，减少电磁辐射和干扰对关键无线网络设备内部电子器件的损伤。同时应尽可能的减少天线的发射功率，降低用户长时间使用无线网络受到的辐射的影响程度。

逻辑安全，无线局域网络的逻辑安全时要对用户的接入进行安全保障，同时防治网络受到黑客的攻击，可以综合运用智能卡技术，设计专用的无线网络接入管理系统，同时也可以使用交换机和无线路器以及无线接入点内置的SSID、WPA、WEP安全认证体系，DMZ主机、功能、防火墙功能、NAT转换、MAC地址过滤、VLAN、MAC与IP地址绑定功能等，进行综合配置。定期进行接入点扫描，可以防止用户的未授权接入。

具体来说，有如下几种保护方法：

（1）防火墙：一个强健的防火墙可以有效地阻止入侵者通过无线设备进入企业网络的企图。

（2）安全标准：最早的安全标准WEP已经被证明是极端不安全的，并易于受到安全攻击。而更新的规范，如WPA、WPA2及IEEE802.11i是更加强健的安全工具。采用无线网络的企业应当充分利用这两种技术中的某一种。

（3）加密和身份验证：WPA、WPA2及IEEE802.11i支持内置的高级加密和身份验证技术。WPA2和802.11i都提供了对AES（高级加密标准）的支持，这项规范已为许多政府机构所采用。

（4）漏洞扫描：许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息，如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞，如可以找出一些不安全的接入点等。

（5）降低功率：一些无线路由器和接入点准许用户降低发射器的功率，从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。同时，仔细地调整天线的位置也可有助于防止信号落于贼手。

（6）教育用户：企业要教育雇员正确使用无线设备，要求雇员报告其检测到或发现的任何不正常或可疑的活动。

6、结语

校园无线网络的开通，可以突破有线网络节点限制，大大扩展了用户使用网络的空间，方便了师生通过网络获取信息，进一步提升了学校的接入能力信息化水平。WLAN技术和学校需求相结合，推动了无线校园网技术的发展。无线网络环境的引入，为崭新的无线多媒体提供了应用平台，从而将学校教育信息化带入一个新的天地。

参考文献

[1]神州数码下一代校园网建设专刊.

[2]H3C运营级无线校园网解决方案.

[3]锐捷下一代无线校园网时代来临.

园区网络设计方案篇3

在传统的客户端/服务器环境中，园区网络的作用仅仅是提供网络连接，但是，今天的园区网络已经成为决定业务成败的一个关键环节DD它决定着企业能否支持新的应用、提高生产率，以及为客户提供多种服务。

实时的协作式应用，通信工具（例如IP电话、IP视频和在线学习）和可以拓展网络范围的技术（例如无线LAN[WLAN]）为企业提供了提高员工生产率的机会。

当今天的企业采取措施将网络改造为一种可以帮助员工提高生产率的工具时，他们必须设法保护网络及其所传输的数据，确保网络及其资源的可用性，同时还要降低开支。

标准的园区网络架构

企业园区网的解决方案

企业园区解决方案的设计目的是满足很多企业目前最主要的目标：保护、优化和发展他们的业务。企业园区解决方案结合了一个包含智能交换和路由的基础设施，以及多种有助于提升生产率的技术。例如IP通信、移动和强化安全特性。这样的完美结合使得企业可以部署一个永续网络，从而能够迅速地适应不断变化的要求，快速、安全地支持新兴的应用，以及通过改善对信息和通信的访问而简化流程。

园区网基础设施

园区基础设施是使用企业园区解决方案的基础平台，它提供了创建一个强大安全、可调整、可扩展的融合园区网络所需要的底层服务。因此，它是让企业可以实现业务目标的关键。

园区基础设施所包含的特性可以确保：

服务质量（QoS），它让关键任务型数据和对延时要求很高的流量（例如IP话音）可以得到优先处理。

IP组播，它可以降低向多个接收端发送相同的数据所导致的网络负载，降低为了服务各个连接而对主机和路由器提出的处理需求。

高可用性，确保网络服务和资源始终可用和可以访问。

为了帮助您获得很高的可用性，我们的园区网提供了：

可靠、容错的网络设计，它可以自动发现和纠正故障。

永续网络技术，例如热备用路由器协议HSRP；它可以为主机和骨干网连接之间的关键节点提供永续性。

恢复功能，例如简单服务器冗余协议SSRP，它可以在路由器和ATM交换机群组之间通信检测设备故障，并在故障发生之后的1秒钟之内自动进行重新路由。

针对今天的园区网络

企业需要可以帮助他们保护网络，优化资源和投资，以及发展他们的业务的园区解决方案。

安全的园区网络

今天的安全攻击不仅会给人们带来不便，它们会导致网络中断，窃取保密信息，以及威胁企业的盈利能力和业绩。今天的攻击的速度和所造成的损失都比以往任何时候高得多。

园区安全解决方案可以满足所有这些需求，它是一组为了防止您的网络遭受潜在的破坏性攻击（来自内部和外部的有意或者无意的攻击）而设计的思科产品和功能套件。它能灵活、可定制地部署，可以利用企业对于多种平台（例如专用安全设备、基于路由器的安全、基于交换机的安全）和多种技术（例如防火墙；威胁防范；身份验证；授权和记帐[AAA]；URL过滤；以及802.1x）的投资。

园区安全解决方案提供的工具可以帮助企业通过下列手段保护他们的网络。

威胁防御DD防止网络遭受有意或无意的攻击。

信任关系和身份识别DD控制网络的访问权限和用户在网络上的行为。

安全通信DD确保内部和外部话音和数据通信的保密性。

统一融合的网络

IP通信可以帮助企业将他们的话音和数据服务整合到同一个园区网络上，从而让企业将他们的总体成本降低。

思科IP通信解决方案包括

IP电话DD让单地点和多地点企业可以将IP作为主要的话音通信方式。

IP联络中心DD为思科电话添加多种服务，例如智能联系管理、实时Web协作和电子邮件响应管理。

IP视频/音频会议DD通过用IP电话将身处不同地点和时区的人们连接到一起，最大限度地提高电话会议的灵活性。

IP视频广播DD为视频会议应用部署提供一个便于管理，经济有效的网络基础设施。

统一通信DD将个人生产率管理工具，例如统一信息处理，基于规则的呼叫路由和话音识别与思科IP电话集成到一起。

园区的移动网络

随着企业对于提高生产率的重视程度的提高，员工已经无法承受在工作日“无法正常工作”所导致的损失，无论是在办公桌前、会议室中、还是在公司的咖啡厅，今天的用户都需要方便地获取各种集成化的网络服务DD包括IP电话和视频会议，以及他们所期望的数据服务，例如电子邮件、日程安排和数据库应用。

园区移动解决方案可以帮助企业大幅度地提高员工生产率，通过提供对资源和数据的访问，可以加快员工的响应速度和提高客户的满意度。

思科园区WLAN解决方案的组件可以通过密切配合。帮助企业：

在员工不在办公桌前时保持他们的生产率；

为来自其他地点的访问员工提供方便的安全的网络访问权限；

防止企业受到未经授权的、不安全的WLAN接入点（恶意接入点）的影响；

向漫游用户提供集成化网络服务的所有好处；

园区网络设计方案篇4

关键词:校园网规划网络设计拓扑结构VLAN划分设备选型

一、项目背景

(一)校园网综述

校园网是为学校教师、学生提供教学、科研和综合信息服务的宽带多媒体网络。校园网应为学校教学、科研提供先进的信息化教学环境,这就要求校园网具有一个宽带、交互功能和专业很强的局域网络。

(二)某高校校园网介绍

某大学目前有两个校区:本部校区和分部校区,两个校区之间通过专有光纤连接,统一出口在本部校区,分为教育网出口和电信网出口。本部校区是一栋现代化综合办公大楼,其中1―6楼、9―21楼为办公区域,7―8楼为学生机房,10楼为中心机房。分部校区是一个包含了办公楼、实验楼、艺术楼等的校园环境。在现代教学需要的情况下,拟建立起现代的校园网。网络建成后,可以完成互联网、校园信息交流,多媒体、网络教学,学生学习等功能。

二、需求分析

(一)综合布线分析

此次校园网建设中,分部校区的网络采用升级改造的方式,主要以维护原有网络为主。改变其接入方式为与本部校区统一出口。分部校区各楼栋之间采用光纤连接,其中实验楼与办公楼网络中心之间仍然保留原有的UTP双绞线。楼内布线则采用UTP双绞线将桌面PC连至网络中心交换机,实现百兆到桌面的连接速度。对于本部校区新大楼,则整体设计其布线方案,包括了1―6层的办公室、教室、电子阅览室,7―8层的计算机房,9―10层、21层的办公室,以及10层的网络中心机房。垂直布线系统采用楼宇内软光纤,水平布线系统则采用泛达的6类UTP双绞线,理论上支持1000M到桌面的连接速度。

(二)网络结构分析

在两个校区的整体网络设计方案中,我们采用了1个防火墙、2个核心交换机(采用VSS新技术互联)、6个汇聚交换机和若干台接入交换机。其中本部校区包括了服务器区汇聚、1―6层网络的汇聚、7―8层机房网络的汇聚与9层以上的网络汇聚,分部校区则包括了办公楼的汇聚,主要负责各楼栋办公室的网络;实验楼的汇聚,主要负责各楼栋机房的网络。两个校区之间用两个CiscoCatalyst6509,采用最新的VSS技术进行连接,可以实现更高速的交换和线路备份,确保校区之间网络的稳定运行。

(三)网络安全分析

从网络结构来看,服务器区域提供了极其重要的应用,属于最易被攻击的区域,所以我们应考虑介绍好的硬件防火墙和入侵防御系统,以保护该区域。另外为了防止校园网内部病毒泛滥,考虑部署网络版杀毒软件,对终端机器统一管理。最后,为了防止校园网机器之间相互攻击,必须有方便、直观的监控设备,以及时地发现问题并解决问题。

三、系统设计

(一)设计方案

1.VLAN和子网的划分

虚拟网络(VLAN,VirtualLocalAreaNetwork)是指一个根据功能、用途、工作组及应用等因素将用户从逻辑上划分为一个相对独立的网络,是一个可跨越不同网段、不同网络、不同位置的端到端的逻辑网络。

对于某高校校园网,我们根据功能需求可以分为以下几个大类:办公室网络、教室网络、机房网络,以及一卡通网络。这四大部分相对独立,特别是一卡通网络的安全要求比较高,所以在实际应用中还需要制定相应的访问策略来保证其安全性。

2.网络拓扑图

网络拓扑(Topology)结构是指用传输介质互连各种设备的物理布局,指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。网络拓扑图是最能够直观反映网络情况的工具,所以在校园网前期规划中是极其重要的,它将是后期施工和部署的重要参考依据,也是未来网络维护和管理的重要依据。

(二)设备选型

整个校园网的建设目标要达到“万兆主干,百兆桌面”,根据学校地理位置分布情况设计校园网。

1.核心层

在选择网络设备之前一定要估算它承载的信息流量。目前还没有任何精确估算的方法,但可以把网络看作一个黑箱,考虑位于网络边缘的计算机设备在突发性很强的情况下,全部以线速通过黑箱网络交换信息,以此计算大致流量。

CiscoCatalyst6509E是CiscoCatalyst6509系列中的一员。CiscoCatalyst6509系列可以提供无阻塞的第2/3/4层交换和集成化的永续性,因而能进一步加强对融合网络的控制,具有更高可用性的语音、视频和数据网络,能够为正在部署基于互联网业务应用的企业和城域以太网客户提供业务永续性。

2.汇聚层

汇聚层对即将接入层交换机的数据进行汇聚,对上通过高速接口将数据传输到核心交换机,起着承上启下的作用。设计汇聚层时,根据汇聚层的主要功能,我们应充分考虑以下几点:汇聚层设备要有足够的带宽;具有三层和多层交换特性;具有灵活多样的业务能力;必须具有冗余和负载均衡能力。

基于以上分析和校园网的实际情况,选择CiscoCatalyst3560E系列三层交换机作为汇聚层交换机。其中具体端口数量规格根据网络需要来决定。主要有WS―C3560E―12SD―S和WS―C3560E―48TD―S两种选择。

3.接入层

接入层为用户提供对网络中本地网段的访问,它的主要作用是将工作组与汇聚层连接起来,主要完成逻辑网络分段、基于工作组或LAN隔离广播通信,以及在多个CPU之间分布服务。

接入层设备在市场上可选择性很大,有很多品牌都能满足要求。但是考虑到为了方便、快捷地完成系统集成和日后可管理性、升级性,我们仍然选用和核心层、汇聚层同一品牌。虽然价格较其他品牌贵了一些,可带来的方便性是不言而喻的。因此,在接入交换机上选择CiscoCatalyst356024/48TS交换机。

4.防火墙

防火墙是一种将内部网络和外部网络分开的方法,是提供信息安全服务,实现网络和信息安全的重要基础设施,主要用于限制被保护的内部网络与外部网络之间进行的信息存取、信息传递等操作。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。

防火墙对于局域网络的安全至关重要,在选择上要慎重考虑。既要有效保护内部网络的安全,又要注重性价比,还要考虑其可升级性。因此,我们结合诸多实际情况,特选用Juniper厂商的硬件防火墙:NetScreenISG2000,其卓越的性能足以保护校园网内电脑和服务器的安全。

5.网络监控防御

在网络设计中,我们必须要考虑的一个部分就是如何及时地发现和解决出现的问题。思科安全监控分析和响应系统(MARS)是一个高性能、可扩展的威胁管理、监控和防御设备系列,将传统安全事件监控与网络智能、上下文关联、因素分析、异常流量检测、热点识别和自动防御功能相结合,可帮助客户更为高效地使用网络和安全设备。通过结合这些功能,思科安全MARS可以准确识别和消除网络攻击且保持网络的安全策略符合性。

对于服务器区的保护,我们选用Cisco的IPS(入侵防御系统),目的是对访问服务器的流量进行深入检测,过滤攻击和非法数据包,减轻服务器和网络的负载,提供更好、更稳定的网络服务。

(三)网络管理

对大中型网络而言,更需要合理、有效的组织体系和规章制度。随着信息网络规模的日益扩大,结构日趋复杂,计算机网络的管理和维护难度也会越来越大,这就要求有智能化、标准化网络挂零技术,而且要求实现对多厂商设备的统一管理,监控全网健康状况,为网管提供网络调整的依据。

根据校园网的设计方案,我们在采购硬件管理设备的基础之上,还选择了一些开源或者免费的管理系统,例如Cacti、Zenoss等。

(四)网络安全

网络安全是阻碍网络发展的一个重要因素,在校园网络的建设中,网络安全也是需要重点考虑的一个方面。网络安全主要分为内部网络安全和外部网络安全,现在大多数网络建设都使用防火墙,但多数防火墙都只能对外网安全进行控制。网络在边界有强大的防火墙,而网络内部却没有很好的监控就不能算作一个安全网络。

1.防火墙部署

我们在Internet与校园网内网之间部署一台NetScreenISG2000防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、DNS等对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务,既保护内网资源不被外部非授权用户非法访问或破坏,又可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。

2.入侵防御系统部署

入侵防御能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵防御体系可以弥补防火墙相对静态防御的不足。根据学校网络的特点,我们采用Cisco入侵防御系统IPS―4260,对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将CiscoIPS―4260入侵防御硬件接入到防火墙与服务器汇聚交换机之间,所有访问服务器的数据都经过IPS进行过滤。CiscoIPS―4260入侵防御系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,CiscoIPS―4260可以发出实时报警,使得管理员能够及时采取应对措施。

四、结语

本文通过分析某高校校园网的现状、水平和发展趋势,提出了一种以万兆以太网的星型连接为基础,以高速千兆主干网为网络系统核心,具有10000Mbps速率的主干,100Mbps到桌面的大型校园网解决方案。

主要网络设备选择注重性能价格比,采用成熟可靠的技术为学校设计成一个技术先进、简单易用、性能优秀、可升级扩展的校园网络。在网络设计的先进性、现实性、可靠性、保密性、易管理与维护、易扩充性方面,我们制定了一系列具有针对性的可行性方案,力求主要网络设备安全、稳定、可靠、技术先进、便于维护和管理。

参考文献:

[1]于祥.谈谈校园网络建设[J].科学教育,2004,5.

[2]周兆祥.校园网络的安全[J].广西大学学报(自然科学版),第30卷第3期.

[3]方芳.校园网建设的规划与研究[J].中南民族学院学报(自然科学版),第20卷增刊.

[4]童舜海.校园网建设的规划问题[J].福建电脑,2003,8.

园区网络设计方案篇5

戴尔中国市场部经理姚鑫浩介绍说，戴尔网络已经连续11个季度取得了快速增长，尤其是在数据中心网络领域，其增长率高达3位数。但是，网络市场的大头在园区网络，它占网络市场整体份额的70%左右。致力于提供端到端企业级解决方案的戴尔，在网络方面也以提供端到端解决方案为最终目标，因此园区网络是必须要啃的一块硬骨头。

随着用户需求的变化和技术的不断升级，作为后者来的戴尔只要有精确的定位和具有特色的解决方案，还是能够有一番作为的。市场分析公司Dell’Oro的调查显示，中国的园区网络还是以百兆为主，而国外已经是以千兆为主，中外在园区网络技术方面有4～5年的差距。这种差距在戴尔网络看来就是一个新的机遇。定位于中端市场的戴尔秉承一贯的提供高性价比解决方案的策略，希望在中国园区网络市场向千兆过渡的过程中壮大自身网络业务的实力。

从用户需求和技术发展的角度，戴尔公司大中华区网络总监李海平分析说：“随着各类智能终端设备不断涌现和BYOD的蓬勃发展，移动办公的需求逐渐增加。用户希望拥有更好的移动办公应用体验，因此对网络的带宽、安全性、管理能力等都提出了更高的要求。戴尔开始积极应变，从有线到无线，从关注设备到关注应用。为此，我们推出了新一代园区网解决方案，即满足移动办公需求的解决方案。”

为了让园区网络更好地动起来，戴尔构筑了新一代园区网络产品线，主要包括W系列无线网络产品、N系列接入交换机和C系列机箱式交换机。李海平概括了以上三类产品的主要特点：W系列Gb级无线接入点基于802.11ac标准，为端到端无线基础设施解决方案提供了高达1.3Gbps的数据传输速率，比802.11n接入点快3倍之多；N系列高能效、低成本的1GbE和10GbE系列交换机，可以更好地支持园区网基础设施的现代化和无缝扩展，为用户提供全面的企业级特性支持，同时可以将成本降低一半；全冗余的1/10/40GbEC系列交换机是可靠、高效的多功能、高性能、模块化交换机，连接灵活，运行可靠，能够满足企业级和中端用户的需求。