兰州职业技术学院
(信息工程系)
毕业设计(论文)任务书
课 题 某校图书馆网络系统集成设计方案
2013年9月20 日至2013年12月20日共10周
专 业 xxx
年 级 xxx
姓 名 xxx 学 号 xxx
所属教学单位负责人(签字)
指 导 教 师 (签字)
年 月 日
摘要
由于计算机和网络应用的日益普及,各高校行政办公及教学管理的方法、方式和手段也发生着巨大的变化。
兴起于20世纪80年代的校园网,为高校图书馆的建设以及发展提供了更加富有创意的解决办法。它不仅能更加有效合理地利用现有资源,且能够使高校图书馆更适应信息时代的发展要求。
新建图书馆是否具有先进的、完整的弱电系统是衡量其建设水平的一个主要标志。为了满足目前和今后的需要,绝大多数学校在建设时都将图书馆的弱电系统放在一个很主要的位置。图书馆的数字化建设已经成为国家信息化重点发展的方向之一。
图书馆作为人类知识传播领域的文献信息(知识) 中心,其信息资源的开发利用程度将会深远影响知识经济的发展进程。
这就给图书馆提出了新的要求:实现对电子媒体和传统纸介质的集成管理,跨越物理局限为读者服务,实现从信息服务到知识服务的转化。而实现这一切就必须借助信息技术手段,建设一个图书馆网络就成了首要目标。
因图书馆网络建设是一项涉及多种信息技术的系统工程,因此对于资金实力和技术力量有限的院校来说,寻找一套行之有效的规划实施及运行管理方案是摆在学院管理者面前的难题。本文将从系统设计、综合布线系统构成及设计、机房设等几个环节来探讨图书馆网络规划及建设的相关问题。本文介绍了高性能图书馆网络建设需考虑的网络选型、综合布线、硬件需求、技术实现等方面的问题。
关键字: 数字化建设,电子媒体,图书馆网络, 综合布线系统构成及设计
目录
第1章 绪论...................................................................... 1
1、需求分析 ..................................................................... 1
2、设计目标 ..................................................................... 2
3、网络系统设计建设的目标 ....................................................... 2
4、网络系统设计建设的原则 ....................................................... 3
第2章 网络平台设计 ........................................................... 4
1、图书馆网络的总体设计与规划 ................................................... 4
2.图书馆网络具体设计与规划 ..................................................... 6
3、设备及工程预算 .............................................................. 11
4、网络硬件平台及相关操作 ...................................................... 13
5、后期技术支持及服务 .......................................................... 13
6、本方案的主要特点 ............................................................ 14
7、图书馆综合布线要注重的问题 .................................................. 14
第3章 系统安全 ............................................................... 16
1、应用系统的安全技术 .......................................................... 16
2、病毒防护的主要技术 .......................................................... 16
3、无线网安全 .................................................................. 16 总结 .............................................................................. 18 参考文献 ........................................................................ 19 致谢 .............................................................................. 20
第1章 绪论
1、需求分析
图书馆的网络建设包括图书馆局域网建设以及该网与校园网主干的互联,局域网将以交换式千兆以太网为主干,具有独享100M 带宽到桌面的星形拓扑结构。从数字化图书馆的要求来看, 图书馆网络不仅要传送文本, 还要支持语音、视屏等时间延迟敏感型的大信息量流媒体应用,因此对网络的带宽及响应性的要求很高。这就要求网络设备具有较大的交换容量以及对Qos 数据库等技术的良好支持。同时从实际出发要求在图书馆局域网中遇到划分VLAN 来建立逻辑子网,合理地处理逻辑子网间的连接、划分和安全性设计是保障图书馆网络可靠、稳定工作的关键。图书馆建设将设置300个信息点。图书馆一楼、二楼和三楼各设有一个配线间,同时二楼的配线间兼做图书馆主配线间。从图书馆到校园网网络中心以及各配线间之间的链路属于主干链路,采用光缆连接(要求1000M )。对于主干光纤,从图书馆主交换机到校园网网络中心的核心交换机以及从图书馆主配线间到各配线间采用的是多模光纤,传输千兆以太网信息,主干网络要求高带宽、大吞吐量。因此主干交换机应选择具有较高交换背叛的高速率三层交换机,这样才能保证在网络流量高峰时不会形成网络瓶颈,避免造成流量拥塞和数据包丢失的现象。作为网络主干链路汇聚点的图书馆中心交换机,必须能划分若干虚拟子网和物理子网,同时还须具备良好的第三层交换机能力和升级扩展能力。主干网络中心交换机是整个网络的关键设备,如果出现故障将导致主干网路的瘫痪,影响整个图书馆网络的正常工作,因此设计方案中必须考虑建立一定的容错措施。在中心交换机上要有电源、风扇、模块等关键部件的冗余配置,还应有良好的扩充性和必要的端口冗余。
1.1组网需求
采用成熟的组网技术,保证最优性价比。
采用简单、清晰的网络拓扑结构,保证网络的稳定和高性能。
1.2设备需求
可扩展性强,通过增加新的模块和设备解决网络需求的增长,实现网络的平滑扩容。
设备稳定可靠,性能高,能耐受一定程度的大数据量的冲击和安全问题干扰。
设备具备多功能支持,要求能够采用较少的投资实现较多的功能。
1.3网络安全需求
针对校园网学生比较活跃,易发生IP 地址盗用、账号盗用、计算机入侵等安全问题,要求能够实现端到端的网络安全解决方案。
1.4网络管理需求
采用方便、灵活的管理方式、支持分层次的IP 管理。
2、设计目标
总体设计是图书馆网络建设的总体思路和工程蓝图,是搞好图书馆网络建设的核心,因此首先必须对本馆的性质、任务、应有需求、发展思路有一个明确的了解,对社会信息化环境和发展前景有一个清醒的认识,在此基础上对本馆的网络建设水平提出一个准确的定位,并围绕应用要求来安排图书馆网络建设的实施步骤。其具体设计思路可围绕整个网络系统的设计目标和原则、网络技术的选择、主干交换机的选择、服务器的选型、系统结构设计等方面来进行。作为大学图书馆,必须建设快速、便捷、安全和稳定可靠的网络系统,应能够适应当前信息技术高速发展的要求,满足各种计算机应用系统和网络多媒体应用技术的要求,有高度的系统兼容性和扩展能力,并保证系统有一定的先进性,使系统在相当的时间范围内仍能满足应用的需求。
进行图书馆自动化总体设计,首先是进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对图书馆的信息化环境进行准确的描述,明确系统建设的需求和条件;共次,在应用需求分析的基础上,确定图书馆Intranet 服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三,是确定网络拓扑结构和功能,根据应用需求、建设目标和图书馆各部室分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排图书馆自动化建设的实施步骤。
随着网络技术的发展,图书馆自动化、数字化以及网络化的发展也越来越快,图书馆工作的运行模式、业务管理、文献信息资源的服务对网络的依赖程度也越来越大,特别是近年来随着数字图书馆的诞生,对网络的要求也越来越高。
与其他网络相比,图书馆网主要有这样几个特点:具有极高的可靠稳定性、可扩展性、可管理性,具有高速度和高带宽,满足流介质媒体、远程学习等对带宽和数据敏感的实时应用。
3、网络系统设计建设的目标
图书馆从传统模式过渡大现代阶段,主要表现在管理手段的自动化、存储方式的数字化、运行环境的网络化及服务形式的多样化。根据这一特征,现阶段其网络建设的总体目标确定为:使用高性能的计算机系统设备和成熟的管理应用软件,充分利用先进、实用的网络设备和网络技术,通过结构化布线,建设一个覆盖整个图书馆区域的安全、稳定、高效的现代化计算机信息网络系统,用于对馆藏信息资源的管理、加工和组织上网,实现馆内业务自动化;向国内外网上读者提供检索、查询、阅读、下载等无偿或有有偿服务;与其它信息网交换信息,进行网上信息的二次整理开发;实现图书馆业务系统的网络化,完成与校园网的互联互通,以满足我校学科建设和人才培养对信息的需求,为学校教学科研提供方便快捷的文献信息服务,为实现图书馆的数字化、信息化提供一个稳定、高效的网络平台。这一目标的提出应结合图书馆的实际状况,重点应体现在建立一个良好的信息网络环境上。
目前,基于网络的声音、图像等多媒体应用日益增加,这对网络服务质量比如带宽延迟、延迟的变化等有很高的要求。图书馆网络系统建设充分考虑到上述因素,建立了由三层交换的千兆位以太网为核心的、能够满足各种类型数据传输、具有很好服务质量、规模可扩展的高性能计算机网络系统。
4、网络系统设计建设的原则
建立一个良好的网络环境需要遵循以下设计原则:
4.1先进性与成熟性
网络建设应适应图书馆的发展及网络通信技术的更新换代。因此,在主机选择、网络结构设计、网络设备配备、网络管理方式等方面应具有先进性,采用既先进又成熟的技术,发挥最佳的集成效果,以保证整个网络系统在相当一段时期内处于先进水平。并充分考虑今后对数据、语音、视像等多媒体应用的支持,既要保证系统得先进性,也要兼顾技术上的成熟性。
4.2实用性和经济性
方案设计时应对本馆现状和需求有充分的了解,即既能对已有的设备加以利用,保护原有投资,又能集中财力,提高薪购设备的档次,获得良好的性能价格比,在有限的投资中构造一个性能最佳的实用性系统。同时,系统能够提供多种业务的同时传输与综合,如语音、图形、图像等多媒体业务。性能高度稳定、可靠,具有较好的容错能力,具有灵活的虚网划分能力和强大的第三层交换能力。
4.3可管理性
采用集成式结构化配线系统,模块化的设计,集中——分散的配置,使网络系统得设备、安全性、数据流量、性能等能得到很好的监控和控制,并可进行远程监管和故障诊断,整个网络系统简单明了,运行、维护及管理成本低。
4.4标准化与开放性。
在使用新技术的同时考虑技术的国际标准化,严格按照国际标准设计。网络协议采用ISO 及IEEE 、ITU-T 、ANSI 等国际标准化组织制定的标准和协议,采用符合国际和国家标准的网络设备,采用开放性的网络体系,以方便今后对稳拿管理的升级、扩展和互联,确保在网络扩充时在结构上不做或少做改动。
4.5高可靠性
严格依照网络工程的技术规范要求,设计一个具备网络诊断、测试和在线故障恢复能力,关键设备、线路能够做到实时备份和自动故障切换的网络,为用户提供24H 不间断的网络访问能力。
4.6安全性
实现内网的安全控制和与外网的安全互联。网络系统应能够提供一套完整的安全防范措施,防止由于操作人员的误操作以及系统中的某些故障而造成的数据被破坏或系统得误动作。网络系统应能够防止系统外部成员的非法侵入以及操作人员的越级操作。
第2章 网络平台设计
1、图书馆网络的总体设计与规划
1.1有线网络拓扑结构
图书馆总的拓扑结构图如下所示,采用星型拓扑结构。
图2-1
为了防止广播风暴等问题以及实现网络的安全性、适应性强、和网络的分割等优点,把图书馆的网络划分成7个VLAN 。
1.2图书馆无线网络拓扑分析
针对学校图书馆的需求分析,NETGEAR 提供了整套高性能网络方案。该图书馆的无线覆盖我们分为两层结构:接入层和汇聚层。接入层主要有无线AP 构成,用来实现用户无线终端的接入;汇聚层主要有无线网桥构成,主要用来实现将各个无线AP 接入的信号汇聚到图书馆网络出口。在
保证覆盖的基础上,为了降低可能的故障率,汇聚层的无线级联层数要求越少最好。因此在本方案中,部分楼层将通过一级网桥直接将AP 的信号汇聚至网络出口。
根据前面提到的图书馆无线覆盖的原则,我们将整个图书馆先进行分组覆盖,第一层为第1组,第二层为第2组,以此类推。其他第2组通过架设在图书馆中心无线网桥,实现与架设在图书馆有线网络中心机房的通信,第1、3、4、5组采用直接将架设在有线网络的边缘的无线网桥通过一级网桥直接汇聚至网络出口。覆盖采用如下图所示的方式:
图2-5 各楼层无线覆盖方式
五个分组中1、2、3、5组各有七到十个区室,排列和结构类似。
整个网络的拓扑结构如下图所示:
图2-6 网络拓扑结构图
整个网络呈星形拓扑结构,我们在每层需要进行无线覆盖的区域选择最佳地点放置无线热点AP ,放置时保证无线信号覆盖的范围,力求楼层内最少布点,最大覆盖范围。每层所布置的AP 通过超五类屏蔽双绞线连接到中心机房的交换机上实现集中管理。
2.图书馆网络具体设计与规划
2.1技术选择
根据需求为图书馆建立一个OSPF(Open Shortest Path First)的快速以太网络,实现网络的功能特性,可伸缩性,可适应性,可管理性以及节约成本和提高效率。OSPF 是一个动态链路状态路由选择协议,它使用一个链路状态数据库(LSDB )来构建和计算达到所有已知目的地的最短路径。它使用Dijkstra 的SPF 算法根据LSDB 中的信息计算路由。OSPF 度量标准(代价)的缺省值是基于带宽的,其计算代价的公式表示如下:
代价=基准带宽/接口带宽
快速以太网的度量是1,OSPF 中代价的最小值是1。
OSPF 属于无类路由选择,使得IP 地址空间得到更加有效的使用并且减少了路由流量。无类路由选择有如下的特点:
一个路由选择出口可能匹配一批主机、子网或网络地址;
路由选择表更加短小;
如果不使用Cisco 快速转发,交换性能会有更大提高;
路由选择协议流量减少。
图书馆,有很多需要对外提供公共服务的服务器,如门户服务器、DNS 服务器、邮件服务器等,如果将这些服务器直接放置在Internet 上,则很容易受到攻击。为此我们将这些提供公共服务的服务器全部放置在防火墙的DMZ 区域。在防火墙上设置一个DMZ 端口,在DMZ 区域放置一台交换机,该交换机通过2条千兆光纤与2台防火墙的DMZ 端口联接,而所有的公共服务器则全部接入到该交换机上。
2.2具体规划
为图书馆申请分配了一个NETWORK ID(172.16.2.0/24),划分成4个VLAN 。划分VLAN 的好处主要有三个:
(1)端口的分隔。即便在同一个交换机上,处于不同VLAN 的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。
(2)网络的安全。不同VLAN 不能直接通信,杜绝了广播信息的不安全性。
(3)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了
路由配置:
一楼汇聚
二楼汇聚
1
二楼汇聚2
三楼汇聚
四、五、六楼汇聚
七楼汇聚
3、设备及工程预算
表2.1 预算参考列表
3.1无线AP 选型
从需求分析上面我们了解到整个无线网络的用户结点数量为300个,设备所需总带宽为16.2G 。根据每个阅览的面积300m2(长30m ,宽10m) 、用户节点数75个,需求分析中我们已经选择出了适合本次方案的协议802.11g. 根据802.1g 协议传输速率为54MB/S(理想值)进行计算可以得出每间阅览室的总传输速率为225MB. 无线AP 的传输速率为108MB/S。每间阅览室安装两个无线AP 的传输速率为216MB ,根据实际情况了解到阅览室内不可能每个人都同时拿着笔记本电脑上网,即使是每个人都同时上网,也就是上网速率也不会影响用户正常上网。
3.2服务器选型
本次方案中需要架设DHCP 服务器并且安装热点认证系统及防火墙安全所以要购买一台服务器来提供网络服务。服务器主要提供IP 地址下发、WEB 认证和安全管理等。
所选择的服务器性能要稳定才能提供正常的服务、选择的设备不需要档次太高以够用为准、对硬件的支持要好,充分其扩展性、出现突发状况可以满足特殊需求、在正常管理中便于用户操作、不能盲目的看价格,误认为价格越高设备越好,要理性看待价格。选择一家售后服务好的厂家,可以提供优质的售后服务。服务器的出现的时候可以尽快的进行维护、以减少损失。
3.3交换设备选型
(1)Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN 服务。集成安全特性,包括网络准入控制(NAC);高级服务质量(QoS)和永续性,为网络边缘提供智能服务,为网络边缘提供了智能特性,如先进的访问控制列表 (ACL)和增强安全特性,双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口—每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网端口,在使用时其中一个端口激活,但不能同时使用这两个端口。
通过高级QoS 、精确速率限制、ACL 和组播服务,实现了网络控制和带宽优化,通过多种验证方法、数据加密技术和基于用户、端口和MAC 地址的网络准入控制,实现了网络安全性,通过思科网络助理,简化了网络配置、升级和故障诊断。
(2)CiscoCatalyst3560-X系列交换机是独立式交换机的企业级产品。这些交换机通过IEEE 802.3at 增强型以太网供电(PoE+)配置、可选网络模块、冗余电源和媒体访问控制安全(MACsec)等创新功能,提供无间断连接性、可扩展性、安全性、能效性和易操作性。Cisco Catalyst 3560-X为实现无边界网络体验,启用了IP 电话、无线和视频等应用程序,提高了生产效率。
Cisco Catalyst 3560-X系列交换机24和48 10/100/1000 PoE+和非PoE 型号,可选的4个千兆以太网(GbE) SFP或2个10GbE SFP+上行链路网络模块,业内第一个PoE+,所有端口上都提供30W 功率,1个机架装置(RU)的外形设计,双冗余,模块化电源和风扇、媒体访问控制安全(MACsec)的基于硬件的加密,IPv4和IPv6路由、多播路由、高级服务质量(QoS)和硬件中的安全功能。
增强型有限终身保修(LLW)、下一工作日(NBD)硬件备件先行更换和90天思科技术支持中心(TAC)支持,增强型Cisco EnergyWise,可测量PoE 设备的实际功耗,进行报告,并降低网络能耗,从而优化运营成本,USB A型和B 型端口,以及带外以太网管理端口。
3.4 操作系统
本次方案中重点在于无线局域网的组建和设计,所以关于服务器操作系统就不作详细讲解。Web 服务器,数据库服务器及其他服务器操作系统都用Windows Sever 2003操作系统。
4、网络硬件平台及相关操作
校园网整体网络硬件平台对整个系统的稳健性与安全性有重大影响,因此建议网管平台采用国际知名硬件制造商的品牌配合使用如:HP.IBM.DELL ,这样网络系统的稳定性及安全性可以达到最佳状态。
对于网络操作系统,我们将主要采用Microsoft 公司的解决方案,在一些涉及应用安全性和伸缩性敏感的部件上,可以选择更有效的产品作为Microsoft 产品的替代。
当前主流的操作应用平台主要是:
服务器:WINDOUWS 2000 Server或 WINDOWS 2000 Advance Server
工作站:WINDOWS 2000 Professional或 WINDOWS XP Professional
WINDOWS 2000 Server是一种比较安全和稳健的网络服务器结构,基于NT 体系结构的多线程的操作系统,比NT 管理简单,功能强大,对管理人员的技术要求不高。
WINDOWS 2000 Advance Server是WINDOWS 2000 Server的高级版本,比WINDOWS 2000 Server 拥有更多的功能和管理更多的用户。
WINDOWS 2000 Professional是在WIN98上发展起来的操作系统。内核基于NT 体系结构,比起WIN98有运行速度快,系统稳定的特点。
WINDOWS XP Professional是Microsoft 公司最新推出PC 操作系统,拥有强大的功能和更加稳定的环境。
从近期的发展方向来看,Microsoft 公司正在提供源源不断的产品支持保证一个Intranet 方案,在这个方案中,从操作系统层次就具备支持Internet/Intranet的基本特性,以Microsoft BackOffice产品族表现了极强的整合能力。Microsoft 的解决方案更具有灵活性、系列性和可持续性,各种组件之间的联系非常紧密,效率也自然提高。尤其在教育信息系统中,存在各种灵活的应用层次,因此选择Microsoft 的从操作系统开始的Intranet 解决方案具备可比的优势。
数据库平台: 为了使系统与学校已有应用系统能够很好的兼容,建议数据库采用Oracle 或者MS SQL Server。同时为了使数据库的性能达到最佳,建议将数据库单独安装在一台服务器中,使之成为数据库服务器。
5、后期技术支持及服务
管理和保护OSPF 网络,OSPF 网络的管理如同其安全一样重要, 实现管理应用公认的常见技术SNMP (简单网络管理协议)和MIB (管理信息库)随着网络配置和使用的增加,网络管理正日益变成许多组织关注的焦点。网络管理是所有网络中的一项关键任务。
防御直接针对网络设备的攻击,任何UDP 诊断服务和TCP 诊断服务都可以使用的网络设备全部都应该通过防火墙保护,或者至少禁用这些服务。对一台Cisco 路由器而言,可以通过使用下面这些全局配置命令来实现这一操作:
no service udp-small-servers
no service tcp-small-servers
6、本方案的主要特点
(1)高安全
统一对接入层交换机做动态下发安全策略,轻松有效的控制网络病毒,使网络保持畅通,结合网络攻击的检测系统,能够抵御日益增多的内部网络攻击,并且自动对用户做出相应的控制动作,保证网络安全。
(2)易管理
首先可以实现对事件、性能、日志的统一管理,可以方便的对全网设备统一管理,运筹帷幄决胜于千里之外; 其次通过对日常、周末以及节日的一次性设置,轻松灵活管理用户能够使用网络的时段,提高用户管理的力度。
(3)高性能
高吞吐量、线速转发的核心路由器和三层交换机,关键器件的冗余,支持板件的热插拔技术,这些都保证了网络的高效运转。
7、图书馆综合布线要注重的问题
7.1明确需求合理定位
在对图书馆进行网络综合布线前,要明确的整个网络系统业务功能和五福目标,一个优秀的智能化综合布线设计既要留有充分的发展空间并有一定的超前意识,又不能盲目求高求大,否则会造成大量资源闲置浪费。
7.2信息点的分布及数量问题
在图书馆每一个独立的需要设置终端设备的区域,可划分为一个工作区,它可能是一个办公室,一个阅读室或者会议室等,一般为5-10平方米设置一个终端设备的信息点,但信息点数量主要还是由工作区的实际用途或设备数量来决定,同时要考虑适量的冗余。
7.3整个网络布线系统的传输介质的选择
在每个子系统中,根据实际的业务功能和服务目标的不同,我们选用传输介质也有所不同,同时不同传输介质,它支持的最大长度、传输速率、施工的复杂程度都有所不同,也对布线的成本控制有重大影响。如在垂直子系统中,由于该系统是整幢建筑综合布线系统的主干,相当于中枢神经系统,所以通常情况下该子系统采用的光纤作为它的主要传输介质。
7.4设备间子系统的供电问题
在通常的建筑设计中,终端设备多采用单独的供电方式。在图书馆综合布线系统中,由于设备间子系统通常指的是主控室或主机室,里面部署着图书馆的服务器、存储及相关网络设备可以说是图书馆的数据中心和服务中心,因此哪里除常规的供电方式外,还要有为此系统提供7×24小时的不间断供电的不间断电源(即UPS )。在确定UPS 的容量时除要给整个系统千瓦时进行估算,同时还要考虑一定的冗余。
第3章 系统安全
1、应用系统的安全技术
由于应用系统的复杂性,有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。
(1)W EB S ERVER 应用安全
Web Server是校园对外宣传、开展业务的重要基地。由于其重要性,成为Hacker 攻击的首选目标之一。
(2)电子邮件系统安全
电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性,其被发现的安全漏洞非常多,并且危害很大。
(3)操作系统安全
市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。对操作系统的安全,除了不断地增加安全补丁外,还需要:
a. 检查系统设置(敏感数据的存放方式,访问控制,口令选择/更新) 。
b. 基于系统的安全监控系统。
2、病毒防护的主要技术
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP 服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC 安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC 上安装Java 及ActiveX 控制扫描软件,禁止未经许可的控件下载和安装。
3、无线网安全
3.1无线网安全管理
在安全方面,我们在管理中心,设置有统一的RADIUS 认证服务器,用以对用户进行认证和计费,WNDAP330作为RADIUS 的客户端,可以将用户的认证和计费信息进行收集,并送至RADIUS
认证服务器。同时,无线接入控制器采用的认证方式在认证过程中的用户密码均采用动态WEP 加密传输。在政府办公楼内部,为了防止小区内部居民或外来人员对无线网络的非法使用,将不广播SSID ,以隔离用户群。另外,考虑到政府外来办公人员的无线应用需求,本方案在政府办公大楼顶楼的多媒体会议室独设了一个无线接入点,此无线接入点广播SSID ,外来办公人员可在开会的同时,不需要设置SSID 的密码即可上网。
3.2无线AP 安全
无线网络安全设计从几种方面进行考虑。隐藏SSID 、为无线AP 设置一个复杂的密码,采用复杂的加密方式。隐藏SSID 为网络安全起到一定的作用,设置一个复杂的密码可以使网络不易受到侵入,采用复杂的加密方式可以防止非法用户获取网络中传输的数据进行分析从中找出有用的数据信息。现在最常用的是WPA 加密方式。WPA 采用802..1X 和TKIP 来实现WLAN 的访问控制。802.1X 是一种基于端口访问的控制标准。TKIP 采用RC4加密算法。在以前的WEP 基础上新增加了四个新算法:扩展48位初始化向量和IV 顺序规则、每包构建机制、消息完整性代码、密钥重新获取和分发机制。
扩展48位初始化向量:每一个数据包都具有独有的48位序列号这个序列号在每次传送新数据包时递增,并被用作初始化向量和密钥的一部分。将序列号加到密钥中,确保了每个数据包使用不同的密钥。
消息完整性代码防止用户信息被篡改,对数据完整性起到一定的保证。
密钥重新获取和分发机制:TKIP 生成混合到每个包密钥中的基本密钥。无线站每次与接入点建立联系时,就生成一个新基本密钥。这个基本密钥通过将特定的会话内容与用户接入点和无线站生成的一些随机数以及接入点和无线站的MAC 地址进行散列处理来产生。
本次方案中采用WPA+TKIP加密方式再加上强大的认证机制对无线网络的安全提供第一道屏障。
因为无线AP 没有动态分配IP 地址的功能所以这里需要配置DHCP 服务器为用户分配IP 地址。这里采用ROS 自带的DHCP 功能为用户分配IP 地址。通过ROS 安装DHCP 服务器可以有效的和热点认证和防火墙功能有机的结合在一起使用。
3 无线网络中防火墙
目前出现了很多拒绝服务攻击,DOS 、 DDOS 洪水攻击。攻击原理主要是基于TCP 三次握手来对主机进行不停的连接,连接到一半停止响应又新建一个连接,就这样反复连接反复断开造成网络资源紧张服务器崩溃不能提供正常的服务该类攻击危害性极大,但只需要防火墙里面针对相同IP 地址设置一个响应次数就可以了。无论用户连接多少次我们只响应规定的几次这样就可以有效的避免洪水攻击。
input – 用于处理进入路由器的数据包,即数据包目标IP 地址是到达路由器一个接口的IP 地址,经过路由器的数据包不会在input-chains 处理。
forward –用于处理通过路由器的数据包
output – 用于处理源于路由器并从其中一个接口出去的数据包。
Ros 通过三种链表来控制数据包通过。
Ros FIREWALL采用自上而下的判断顺序对经过的数据包进行检测。如果经过的数据与策略相符合则允许数据包通过,如果经过的数据包与策略不符合就拒绝数据包通过。
网络中流行着各种类型的病毒和木马,PC 机电脑上面都安装上了杀毒软件但病毒更新速率永远在杀毒软件的前面,可以有效利用防火墙的防病毒木马功能进行有效防止。
ROS 防火墙还具有网站过滤功能,有的网站是恶意网站,站内存在大量的病毒木马防止用户进入该网站可以进行网站过滤。
ROS 具有FTP 上传功能,在对ROS 服务器进行配置的时候可以在网上下载各种扩展名为.rsc 脚本。利用ROS 的上传功能可以把防火墙常脚本上传到ROS 系统中方便管理员进行快速的配置ROS ,搭建一个安全可靠的防止屏障。
ROS 防火墙具有安装速度快、功能强大、安全性高而且价格低的优点在本次方案中选用该防火墙为无线网络提供安全的环境。
不管是基于什么设备和软件下的网络,都会有各种各样的故障,或人为或设备本身原因,我们终会将其解决。
总结
经过了两个多月的学习和工作, 我终于完成了《某校图书馆网络系统集成设计方案》的论文。从开始确定题目到系统的实现,再到论文文章的完成,每走一步对我来说都是新的尝试与挑战, 这也是我在大学期间独立完成的最大的项目。在这段时间里,我学到了很多知识也有很多感受,从对网络综合布线都一无所知,对网络布线、产品选型等相关技术很不了解的状态,我开始了独立的学习和考察,查看相关的资料和书记,让自己头脑中模糊的概念逐渐清晰,是自己非常稚嫩的作品一步步完善起来,每一次改进都是我学习的收获,每一次考察的成功都会让我兴奋好一段时间。从中我也充分认识到了网络综合布线这是通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布线系统,它能支持多种应用系统。虽然我的论文作品不是很成熟,还有一些不足之处,但我可以自豪的说,这里面的每一个系统设计中, 都有我的劳动. 当看着自己的论文, 一天天的完善, 真是莫大的幸福和欣慰。我相信其中的酸甜苦辣最终都会化为甜美的甘泉。
这次做论文的经历也会使我终身受益,我感受到做论文是要真真正正用心去做的一件事情,是真正的自己学习的过程和研究的过程,没有学习就不可能有研究能力,没有自己的研究,就不会有所突破,那也就不就论文了。希望这次的经历能让我在以后学习中催促我继续进步。
参考文献
[1]朱鸣; 网络安全现状和发展趋势[J];计算机应用与软件;2004年05期
[2]石永革, 王佩青; 一个大型Intranet 的设计与实现[J];计算机工程;2001年10期
[3]刘宝旭; 王晓箴; 杜斌;; 网络信息安全技术综述[A];第13届全国计算机、网络在现代科学技术领域的应用学术会议论文集[C];2007年
[4]贺文华; 陈志刚;; 基于三层交换的VLAN 设置技术研究[J];信息安全与通信保密;2006年08期 [5]方庆军; 杨波;; 网络安全的发展趋势及主要实现技术[A];西部大开发 科教先行与可持续发展——中国科协2000年学术年会文集[C];2000年
致谢
本论文是在xx 系xx 老师的悉心指导下完成的。xx 老师作为一名优秀的、经验丰富的教师,具有丰富的知识和经验,在整个论文实验和论文写作过程中,对我进行了耐心的指导和帮助,提出严格要求,引导我不断开阔思路,为我答疑解惑,鼓励我大胆创新,使我在这一段宝贵的时光中,既增长了知识、开阔了视野、锻炼了心态,又培养了良好的实验习惯和科研精神。在此,我向我的指导老师表示最诚挚的谢意!
在论文即将完成之际,我的心情久久无法平静,从开始选题到顺利论文完成,有不知多少可敬的师长、同学、朋友给了我无数的帮助。感谢电子与信息工程系全体老师给予我丰富的专业知识和各个方面的关心和帮助,感谢小组长的认真负责,感谢合作组员的热心协助。同时也要感谢电子与信息工程系11级网路2班全体同学,正是由于你们的帮助和支持,我才能一个一个克服困难、解明疑惑,直至本文顺利完成,在这里请接受我诚挚的谢意!最后我还要感谢培养我长大含辛茹苦的父母,谢谢你们!
兰州职业技术学院
(信息工程系)
毕业设计(论文)任务书
课 题 某校图书馆网络系统集成设计方案
2013年9月20 日至2013年12月20日共10周
专 业 xxx
年 级 xxx
姓 名 xxx 学 号 xxx
所属教学单位负责人(签字)
指 导 教 师 (签字)
年 月 日
摘要
由于计算机和网络应用的日益普及,各高校行政办公及教学管理的方法、方式和手段也发生着巨大的变化。
兴起于20世纪80年代的校园网,为高校图书馆的建设以及发展提供了更加富有创意的解决办法。它不仅能更加有效合理地利用现有资源,且能够使高校图书馆更适应信息时代的发展要求。
新建图书馆是否具有先进的、完整的弱电系统是衡量其建设水平的一个主要标志。为了满足目前和今后的需要,绝大多数学校在建设时都将图书馆的弱电系统放在一个很主要的位置。图书馆的数字化建设已经成为国家信息化重点发展的方向之一。
图书馆作为人类知识传播领域的文献信息(知识) 中心,其信息资源的开发利用程度将会深远影响知识经济的发展进程。
这就给图书馆提出了新的要求:实现对电子媒体和传统纸介质的集成管理,跨越物理局限为读者服务,实现从信息服务到知识服务的转化。而实现这一切就必须借助信息技术手段,建设一个图书馆网络就成了首要目标。
因图书馆网络建设是一项涉及多种信息技术的系统工程,因此对于资金实力和技术力量有限的院校来说,寻找一套行之有效的规划实施及运行管理方案是摆在学院管理者面前的难题。本文将从系统设计、综合布线系统构成及设计、机房设等几个环节来探讨图书馆网络规划及建设的相关问题。本文介绍了高性能图书馆网络建设需考虑的网络选型、综合布线、硬件需求、技术实现等方面的问题。
关键字: 数字化建设,电子媒体,图书馆网络, 综合布线系统构成及设计
目录
第1章 绪论...................................................................... 1
1、需求分析 ..................................................................... 1
2、设计目标 ..................................................................... 2
3、网络系统设计建设的目标 ....................................................... 2
4、网络系统设计建设的原则 ....................................................... 3
第2章 网络平台设计 ........................................................... 4
1、图书馆网络的总体设计与规划 ................................................... 4
2.图书馆网络具体设计与规划 ..................................................... 6
3、设备及工程预算 .............................................................. 11
4、网络硬件平台及相关操作 ...................................................... 13
5、后期技术支持及服务 .......................................................... 13
6、本方案的主要特点 ............................................................ 14
7、图书馆综合布线要注重的问题 .................................................. 14
第3章 系统安全 ............................................................... 16
1、应用系统的安全技术 .......................................................... 16
2、病毒防护的主要技术 .......................................................... 16
3、无线网安全 .................................................................. 16 总结 .............................................................................. 18 参考文献 ........................................................................ 19 致谢 .............................................................................. 20
第1章 绪论
1、需求分析
图书馆的网络建设包括图书馆局域网建设以及该网与校园网主干的互联,局域网将以交换式千兆以太网为主干,具有独享100M 带宽到桌面的星形拓扑结构。从数字化图书馆的要求来看, 图书馆网络不仅要传送文本, 还要支持语音、视屏等时间延迟敏感型的大信息量流媒体应用,因此对网络的带宽及响应性的要求很高。这就要求网络设备具有较大的交换容量以及对Qos 数据库等技术的良好支持。同时从实际出发要求在图书馆局域网中遇到划分VLAN 来建立逻辑子网,合理地处理逻辑子网间的连接、划分和安全性设计是保障图书馆网络可靠、稳定工作的关键。图书馆建设将设置300个信息点。图书馆一楼、二楼和三楼各设有一个配线间,同时二楼的配线间兼做图书馆主配线间。从图书馆到校园网网络中心以及各配线间之间的链路属于主干链路,采用光缆连接(要求1000M )。对于主干光纤,从图书馆主交换机到校园网网络中心的核心交换机以及从图书馆主配线间到各配线间采用的是多模光纤,传输千兆以太网信息,主干网络要求高带宽、大吞吐量。因此主干交换机应选择具有较高交换背叛的高速率三层交换机,这样才能保证在网络流量高峰时不会形成网络瓶颈,避免造成流量拥塞和数据包丢失的现象。作为网络主干链路汇聚点的图书馆中心交换机,必须能划分若干虚拟子网和物理子网,同时还须具备良好的第三层交换机能力和升级扩展能力。主干网络中心交换机是整个网络的关键设备,如果出现故障将导致主干网路的瘫痪,影响整个图书馆网络的正常工作,因此设计方案中必须考虑建立一定的容错措施。在中心交换机上要有电源、风扇、模块等关键部件的冗余配置,还应有良好的扩充性和必要的端口冗余。
1.1组网需求
采用成熟的组网技术,保证最优性价比。
采用简单、清晰的网络拓扑结构,保证网络的稳定和高性能。
1.2设备需求
可扩展性强,通过增加新的模块和设备解决网络需求的增长,实现网络的平滑扩容。
设备稳定可靠,性能高,能耐受一定程度的大数据量的冲击和安全问题干扰。
设备具备多功能支持,要求能够采用较少的投资实现较多的功能。
1.3网络安全需求
针对校园网学生比较活跃,易发生IP 地址盗用、账号盗用、计算机入侵等安全问题,要求能够实现端到端的网络安全解决方案。
1.4网络管理需求
采用方便、灵活的管理方式、支持分层次的IP 管理。
2、设计目标
总体设计是图书馆网络建设的总体思路和工程蓝图,是搞好图书馆网络建设的核心,因此首先必须对本馆的性质、任务、应有需求、发展思路有一个明确的了解,对社会信息化环境和发展前景有一个清醒的认识,在此基础上对本馆的网络建设水平提出一个准确的定位,并围绕应用要求来安排图书馆网络建设的实施步骤。其具体设计思路可围绕整个网络系统的设计目标和原则、网络技术的选择、主干交换机的选择、服务器的选型、系统结构设计等方面来进行。作为大学图书馆,必须建设快速、便捷、安全和稳定可靠的网络系统,应能够适应当前信息技术高速发展的要求,满足各种计算机应用系统和网络多媒体应用技术的要求,有高度的系统兼容性和扩展能力,并保证系统有一定的先进性,使系统在相当的时间范围内仍能满足应用的需求。
进行图书馆自动化总体设计,首先是进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对图书馆的信息化环境进行准确的描述,明确系统建设的需求和条件;共次,在应用需求分析的基础上,确定图书馆Intranet 服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三,是确定网络拓扑结构和功能,根据应用需求、建设目标和图书馆各部室分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排图书馆自动化建设的实施步骤。
随着网络技术的发展,图书馆自动化、数字化以及网络化的发展也越来越快,图书馆工作的运行模式、业务管理、文献信息资源的服务对网络的依赖程度也越来越大,特别是近年来随着数字图书馆的诞生,对网络的要求也越来越高。
与其他网络相比,图书馆网主要有这样几个特点:具有极高的可靠稳定性、可扩展性、可管理性,具有高速度和高带宽,满足流介质媒体、远程学习等对带宽和数据敏感的实时应用。
3、网络系统设计建设的目标
图书馆从传统模式过渡大现代阶段,主要表现在管理手段的自动化、存储方式的数字化、运行环境的网络化及服务形式的多样化。根据这一特征,现阶段其网络建设的总体目标确定为:使用高性能的计算机系统设备和成熟的管理应用软件,充分利用先进、实用的网络设备和网络技术,通过结构化布线,建设一个覆盖整个图书馆区域的安全、稳定、高效的现代化计算机信息网络系统,用于对馆藏信息资源的管理、加工和组织上网,实现馆内业务自动化;向国内外网上读者提供检索、查询、阅读、下载等无偿或有有偿服务;与其它信息网交换信息,进行网上信息的二次整理开发;实现图书馆业务系统的网络化,完成与校园网的互联互通,以满足我校学科建设和人才培养对信息的需求,为学校教学科研提供方便快捷的文献信息服务,为实现图书馆的数字化、信息化提供一个稳定、高效的网络平台。这一目标的提出应结合图书馆的实际状况,重点应体现在建立一个良好的信息网络环境上。
目前,基于网络的声音、图像等多媒体应用日益增加,这对网络服务质量比如带宽延迟、延迟的变化等有很高的要求。图书馆网络系统建设充分考虑到上述因素,建立了由三层交换的千兆位以太网为核心的、能够满足各种类型数据传输、具有很好服务质量、规模可扩展的高性能计算机网络系统。
4、网络系统设计建设的原则
建立一个良好的网络环境需要遵循以下设计原则:
4.1先进性与成熟性
网络建设应适应图书馆的发展及网络通信技术的更新换代。因此,在主机选择、网络结构设计、网络设备配备、网络管理方式等方面应具有先进性,采用既先进又成熟的技术,发挥最佳的集成效果,以保证整个网络系统在相当一段时期内处于先进水平。并充分考虑今后对数据、语音、视像等多媒体应用的支持,既要保证系统得先进性,也要兼顾技术上的成熟性。
4.2实用性和经济性
方案设计时应对本馆现状和需求有充分的了解,即既能对已有的设备加以利用,保护原有投资,又能集中财力,提高薪购设备的档次,获得良好的性能价格比,在有限的投资中构造一个性能最佳的实用性系统。同时,系统能够提供多种业务的同时传输与综合,如语音、图形、图像等多媒体业务。性能高度稳定、可靠,具有较好的容错能力,具有灵活的虚网划分能力和强大的第三层交换能力。
4.3可管理性
采用集成式结构化配线系统,模块化的设计,集中——分散的配置,使网络系统得设备、安全性、数据流量、性能等能得到很好的监控和控制,并可进行远程监管和故障诊断,整个网络系统简单明了,运行、维护及管理成本低。
4.4标准化与开放性。
在使用新技术的同时考虑技术的国际标准化,严格按照国际标准设计。网络协议采用ISO 及IEEE 、ITU-T 、ANSI 等国际标准化组织制定的标准和协议,采用符合国际和国家标准的网络设备,采用开放性的网络体系,以方便今后对稳拿管理的升级、扩展和互联,确保在网络扩充时在结构上不做或少做改动。
4.5高可靠性
严格依照网络工程的技术规范要求,设计一个具备网络诊断、测试和在线故障恢复能力,关键设备、线路能够做到实时备份和自动故障切换的网络,为用户提供24H 不间断的网络访问能力。
4.6安全性
实现内网的安全控制和与外网的安全互联。网络系统应能够提供一套完整的安全防范措施,防止由于操作人员的误操作以及系统中的某些故障而造成的数据被破坏或系统得误动作。网络系统应能够防止系统外部成员的非法侵入以及操作人员的越级操作。
第2章 网络平台设计
1、图书馆网络的总体设计与规划
1.1有线网络拓扑结构
图书馆总的拓扑结构图如下所示,采用星型拓扑结构。
图2-1
为了防止广播风暴等问题以及实现网络的安全性、适应性强、和网络的分割等优点,把图书馆的网络划分成7个VLAN 。
1.2图书馆无线网络拓扑分析
针对学校图书馆的需求分析,NETGEAR 提供了整套高性能网络方案。该图书馆的无线覆盖我们分为两层结构:接入层和汇聚层。接入层主要有无线AP 构成,用来实现用户无线终端的接入;汇聚层主要有无线网桥构成,主要用来实现将各个无线AP 接入的信号汇聚到图书馆网络出口。在
保证覆盖的基础上,为了降低可能的故障率,汇聚层的无线级联层数要求越少最好。因此在本方案中,部分楼层将通过一级网桥直接将AP 的信号汇聚至网络出口。
根据前面提到的图书馆无线覆盖的原则,我们将整个图书馆先进行分组覆盖,第一层为第1组,第二层为第2组,以此类推。其他第2组通过架设在图书馆中心无线网桥,实现与架设在图书馆有线网络中心机房的通信,第1、3、4、5组采用直接将架设在有线网络的边缘的无线网桥通过一级网桥直接汇聚至网络出口。覆盖采用如下图所示的方式:
图2-5 各楼层无线覆盖方式
五个分组中1、2、3、5组各有七到十个区室,排列和结构类似。
整个网络的拓扑结构如下图所示:
图2-6 网络拓扑结构图
整个网络呈星形拓扑结构,我们在每层需要进行无线覆盖的区域选择最佳地点放置无线热点AP ,放置时保证无线信号覆盖的范围,力求楼层内最少布点,最大覆盖范围。每层所布置的AP 通过超五类屏蔽双绞线连接到中心机房的交换机上实现集中管理。
2.图书馆网络具体设计与规划
2.1技术选择
根据需求为图书馆建立一个OSPF(Open Shortest Path First)的快速以太网络,实现网络的功能特性,可伸缩性,可适应性,可管理性以及节约成本和提高效率。OSPF 是一个动态链路状态路由选择协议,它使用一个链路状态数据库(LSDB )来构建和计算达到所有已知目的地的最短路径。它使用Dijkstra 的SPF 算法根据LSDB 中的信息计算路由。OSPF 度量标准(代价)的缺省值是基于带宽的,其计算代价的公式表示如下:
代价=基准带宽/接口带宽
快速以太网的度量是1,OSPF 中代价的最小值是1。
OSPF 属于无类路由选择,使得IP 地址空间得到更加有效的使用并且减少了路由流量。无类路由选择有如下的特点:
一个路由选择出口可能匹配一批主机、子网或网络地址;
路由选择表更加短小;
如果不使用Cisco 快速转发,交换性能会有更大提高;
路由选择协议流量减少。
图书馆,有很多需要对外提供公共服务的服务器,如门户服务器、DNS 服务器、邮件服务器等,如果将这些服务器直接放置在Internet 上,则很容易受到攻击。为此我们将这些提供公共服务的服务器全部放置在防火墙的DMZ 区域。在防火墙上设置一个DMZ 端口,在DMZ 区域放置一台交换机,该交换机通过2条千兆光纤与2台防火墙的DMZ 端口联接,而所有的公共服务器则全部接入到该交换机上。
2.2具体规划
为图书馆申请分配了一个NETWORK ID(172.16.2.0/24),划分成4个VLAN 。划分VLAN 的好处主要有三个:
(1)端口的分隔。即便在同一个交换机上,处于不同VLAN 的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。
(2)网络的安全。不同VLAN 不能直接通信,杜绝了广播信息的不安全性。
(3)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了
路由配置:
一楼汇聚
二楼汇聚
1
二楼汇聚2
三楼汇聚
四、五、六楼汇聚
七楼汇聚
3、设备及工程预算
表2.1 预算参考列表
3.1无线AP 选型
从需求分析上面我们了解到整个无线网络的用户结点数量为300个,设备所需总带宽为16.2G 。根据每个阅览的面积300m2(长30m ,宽10m) 、用户节点数75个,需求分析中我们已经选择出了适合本次方案的协议802.11g. 根据802.1g 协议传输速率为54MB/S(理想值)进行计算可以得出每间阅览室的总传输速率为225MB. 无线AP 的传输速率为108MB/S。每间阅览室安装两个无线AP 的传输速率为216MB ,根据实际情况了解到阅览室内不可能每个人都同时拿着笔记本电脑上网,即使是每个人都同时上网,也就是上网速率也不会影响用户正常上网。
3.2服务器选型
本次方案中需要架设DHCP 服务器并且安装热点认证系统及防火墙安全所以要购买一台服务器来提供网络服务。服务器主要提供IP 地址下发、WEB 认证和安全管理等。
所选择的服务器性能要稳定才能提供正常的服务、选择的设备不需要档次太高以够用为准、对硬件的支持要好,充分其扩展性、出现突发状况可以满足特殊需求、在正常管理中便于用户操作、不能盲目的看价格,误认为价格越高设备越好,要理性看待价格。选择一家售后服务好的厂家,可以提供优质的售后服务。服务器的出现的时候可以尽快的进行维护、以减少损失。
3.3交换设备选型
(1)Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和10/100/1000千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN 服务。集成安全特性,包括网络准入控制(NAC);高级服务质量(QoS)和永续性,为网络边缘提供智能服务,为网络边缘提供了智能特性,如先进的访问控制列表 (ACL)和增强安全特性,双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口—每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网端口,在使用时其中一个端口激活,但不能同时使用这两个端口。
通过高级QoS 、精确速率限制、ACL 和组播服务,实现了网络控制和带宽优化,通过多种验证方法、数据加密技术和基于用户、端口和MAC 地址的网络准入控制,实现了网络安全性,通过思科网络助理,简化了网络配置、升级和故障诊断。
(2)CiscoCatalyst3560-X系列交换机是独立式交换机的企业级产品。这些交换机通过IEEE 802.3at 增强型以太网供电(PoE+)配置、可选网络模块、冗余电源和媒体访问控制安全(MACsec)等创新功能,提供无间断连接性、可扩展性、安全性、能效性和易操作性。Cisco Catalyst 3560-X为实现无边界网络体验,启用了IP 电话、无线和视频等应用程序,提高了生产效率。
Cisco Catalyst 3560-X系列交换机24和48 10/100/1000 PoE+和非PoE 型号,可选的4个千兆以太网(GbE) SFP或2个10GbE SFP+上行链路网络模块,业内第一个PoE+,所有端口上都提供30W 功率,1个机架装置(RU)的外形设计,双冗余,模块化电源和风扇、媒体访问控制安全(MACsec)的基于硬件的加密,IPv4和IPv6路由、多播路由、高级服务质量(QoS)和硬件中的安全功能。
增强型有限终身保修(LLW)、下一工作日(NBD)硬件备件先行更换和90天思科技术支持中心(TAC)支持,增强型Cisco EnergyWise,可测量PoE 设备的实际功耗,进行报告,并降低网络能耗,从而优化运营成本,USB A型和B 型端口,以及带外以太网管理端口。
3.4 操作系统
本次方案中重点在于无线局域网的组建和设计,所以关于服务器操作系统就不作详细讲解。Web 服务器,数据库服务器及其他服务器操作系统都用Windows Sever 2003操作系统。
4、网络硬件平台及相关操作
校园网整体网络硬件平台对整个系统的稳健性与安全性有重大影响,因此建议网管平台采用国际知名硬件制造商的品牌配合使用如:HP.IBM.DELL ,这样网络系统的稳定性及安全性可以达到最佳状态。
对于网络操作系统,我们将主要采用Microsoft 公司的解决方案,在一些涉及应用安全性和伸缩性敏感的部件上,可以选择更有效的产品作为Microsoft 产品的替代。
当前主流的操作应用平台主要是:
服务器:WINDOUWS 2000 Server或 WINDOWS 2000 Advance Server
工作站:WINDOWS 2000 Professional或 WINDOWS XP Professional
WINDOWS 2000 Server是一种比较安全和稳健的网络服务器结构,基于NT 体系结构的多线程的操作系统,比NT 管理简单,功能强大,对管理人员的技术要求不高。
WINDOWS 2000 Advance Server是WINDOWS 2000 Server的高级版本,比WINDOWS 2000 Server 拥有更多的功能和管理更多的用户。
WINDOWS 2000 Professional是在WIN98上发展起来的操作系统。内核基于NT 体系结构,比起WIN98有运行速度快,系统稳定的特点。
WINDOWS XP Professional是Microsoft 公司最新推出PC 操作系统,拥有强大的功能和更加稳定的环境。
从近期的发展方向来看,Microsoft 公司正在提供源源不断的产品支持保证一个Intranet 方案,在这个方案中,从操作系统层次就具备支持Internet/Intranet的基本特性,以Microsoft BackOffice产品族表现了极强的整合能力。Microsoft 的解决方案更具有灵活性、系列性和可持续性,各种组件之间的联系非常紧密,效率也自然提高。尤其在教育信息系统中,存在各种灵活的应用层次,因此选择Microsoft 的从操作系统开始的Intranet 解决方案具备可比的优势。
数据库平台: 为了使系统与学校已有应用系统能够很好的兼容,建议数据库采用Oracle 或者MS SQL Server。同时为了使数据库的性能达到最佳,建议将数据库单独安装在一台服务器中,使之成为数据库服务器。
5、后期技术支持及服务
管理和保护OSPF 网络,OSPF 网络的管理如同其安全一样重要, 实现管理应用公认的常见技术SNMP (简单网络管理协议)和MIB (管理信息库)随着网络配置和使用的增加,网络管理正日益变成许多组织关注的焦点。网络管理是所有网络中的一项关键任务。
防御直接针对网络设备的攻击,任何UDP 诊断服务和TCP 诊断服务都可以使用的网络设备全部都应该通过防火墙保护,或者至少禁用这些服务。对一台Cisco 路由器而言,可以通过使用下面这些全局配置命令来实现这一操作:
no service udp-small-servers
no service tcp-small-servers
6、本方案的主要特点
(1)高安全
统一对接入层交换机做动态下发安全策略,轻松有效的控制网络病毒,使网络保持畅通,结合网络攻击的检测系统,能够抵御日益增多的内部网络攻击,并且自动对用户做出相应的控制动作,保证网络安全。
(2)易管理
首先可以实现对事件、性能、日志的统一管理,可以方便的对全网设备统一管理,运筹帷幄决胜于千里之外; 其次通过对日常、周末以及节日的一次性设置,轻松灵活管理用户能够使用网络的时段,提高用户管理的力度。
(3)高性能
高吞吐量、线速转发的核心路由器和三层交换机,关键器件的冗余,支持板件的热插拔技术,这些都保证了网络的高效运转。
7、图书馆综合布线要注重的问题
7.1明确需求合理定位
在对图书馆进行网络综合布线前,要明确的整个网络系统业务功能和五福目标,一个优秀的智能化综合布线设计既要留有充分的发展空间并有一定的超前意识,又不能盲目求高求大,否则会造成大量资源闲置浪费。
7.2信息点的分布及数量问题
在图书馆每一个独立的需要设置终端设备的区域,可划分为一个工作区,它可能是一个办公室,一个阅读室或者会议室等,一般为5-10平方米设置一个终端设备的信息点,但信息点数量主要还是由工作区的实际用途或设备数量来决定,同时要考虑适量的冗余。
7.3整个网络布线系统的传输介质的选择
在每个子系统中,根据实际的业务功能和服务目标的不同,我们选用传输介质也有所不同,同时不同传输介质,它支持的最大长度、传输速率、施工的复杂程度都有所不同,也对布线的成本控制有重大影响。如在垂直子系统中,由于该系统是整幢建筑综合布线系统的主干,相当于中枢神经系统,所以通常情况下该子系统采用的光纤作为它的主要传输介质。
7.4设备间子系统的供电问题
在通常的建筑设计中,终端设备多采用单独的供电方式。在图书馆综合布线系统中,由于设备间子系统通常指的是主控室或主机室,里面部署着图书馆的服务器、存储及相关网络设备可以说是图书馆的数据中心和服务中心,因此哪里除常规的供电方式外,还要有为此系统提供7×24小时的不间断供电的不间断电源(即UPS )。在确定UPS 的容量时除要给整个系统千瓦时进行估算,同时还要考虑一定的冗余。
第3章 系统安全
1、应用系统的安全技术
由于应用系统的复杂性,有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。
(1)W EB S ERVER 应用安全
Web Server是校园对外宣传、开展业务的重要基地。由于其重要性,成为Hacker 攻击的首选目标之一。
(2)电子邮件系统安全
电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性,其被发现的安全漏洞非常多,并且危害很大。
(3)操作系统安全
市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。对操作系统的安全,除了不断地增加安全补丁外,还需要:
a. 检查系统设置(敏感数据的存放方式,访问控制,口令选择/更新) 。
b. 基于系统的安全监控系统。
2、病毒防护的主要技术
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP 服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC 安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC 上安装Java 及ActiveX 控制扫描软件,禁止未经许可的控件下载和安装。
3、无线网安全
3.1无线网安全管理
在安全方面,我们在管理中心,设置有统一的RADIUS 认证服务器,用以对用户进行认证和计费,WNDAP330作为RADIUS 的客户端,可以将用户的认证和计费信息进行收集,并送至RADIUS
认证服务器。同时,无线接入控制器采用的认证方式在认证过程中的用户密码均采用动态WEP 加密传输。在政府办公楼内部,为了防止小区内部居民或外来人员对无线网络的非法使用,将不广播SSID ,以隔离用户群。另外,考虑到政府外来办公人员的无线应用需求,本方案在政府办公大楼顶楼的多媒体会议室独设了一个无线接入点,此无线接入点广播SSID ,外来办公人员可在开会的同时,不需要设置SSID 的密码即可上网。
3.2无线AP 安全
无线网络安全设计从几种方面进行考虑。隐藏SSID 、为无线AP 设置一个复杂的密码,采用复杂的加密方式。隐藏SSID 为网络安全起到一定的作用,设置一个复杂的密码可以使网络不易受到侵入,采用复杂的加密方式可以防止非法用户获取网络中传输的数据进行分析从中找出有用的数据信息。现在最常用的是WPA 加密方式。WPA 采用802..1X 和TKIP 来实现WLAN 的访问控制。802.1X 是一种基于端口访问的控制标准。TKIP 采用RC4加密算法。在以前的WEP 基础上新增加了四个新算法:扩展48位初始化向量和IV 顺序规则、每包构建机制、消息完整性代码、密钥重新获取和分发机制。
扩展48位初始化向量:每一个数据包都具有独有的48位序列号这个序列号在每次传送新数据包时递增,并被用作初始化向量和密钥的一部分。将序列号加到密钥中,确保了每个数据包使用不同的密钥。
消息完整性代码防止用户信息被篡改,对数据完整性起到一定的保证。
密钥重新获取和分发机制:TKIP 生成混合到每个包密钥中的基本密钥。无线站每次与接入点建立联系时,就生成一个新基本密钥。这个基本密钥通过将特定的会话内容与用户接入点和无线站生成的一些随机数以及接入点和无线站的MAC 地址进行散列处理来产生。
本次方案中采用WPA+TKIP加密方式再加上强大的认证机制对无线网络的安全提供第一道屏障。
因为无线AP 没有动态分配IP 地址的功能所以这里需要配置DHCP 服务器为用户分配IP 地址。这里采用ROS 自带的DHCP 功能为用户分配IP 地址。通过ROS 安装DHCP 服务器可以有效的和热点认证和防火墙功能有机的结合在一起使用。
3 无线网络中防火墙
目前出现了很多拒绝服务攻击,DOS 、 DDOS 洪水攻击。攻击原理主要是基于TCP 三次握手来对主机进行不停的连接,连接到一半停止响应又新建一个连接,就这样反复连接反复断开造成网络资源紧张服务器崩溃不能提供正常的服务该类攻击危害性极大,但只需要防火墙里面针对相同IP 地址设置一个响应次数就可以了。无论用户连接多少次我们只响应规定的几次这样就可以有效的避免洪水攻击。
input – 用于处理进入路由器的数据包,即数据包目标IP 地址是到达路由器一个接口的IP 地址,经过路由器的数据包不会在input-chains 处理。
forward –用于处理通过路由器的数据包
output – 用于处理源于路由器并从其中一个接口出去的数据包。
Ros 通过三种链表来控制数据包通过。
Ros FIREWALL采用自上而下的判断顺序对经过的数据包进行检测。如果经过的数据与策略相符合则允许数据包通过,如果经过的数据包与策略不符合就拒绝数据包通过。
网络中流行着各种类型的病毒和木马,PC 机电脑上面都安装上了杀毒软件但病毒更新速率永远在杀毒软件的前面,可以有效利用防火墙的防病毒木马功能进行有效防止。
ROS 防火墙还具有网站过滤功能,有的网站是恶意网站,站内存在大量的病毒木马防止用户进入该网站可以进行网站过滤。
ROS 具有FTP 上传功能,在对ROS 服务器进行配置的时候可以在网上下载各种扩展名为.rsc 脚本。利用ROS 的上传功能可以把防火墙常脚本上传到ROS 系统中方便管理员进行快速的配置ROS ,搭建一个安全可靠的防止屏障。
ROS 防火墙具有安装速度快、功能强大、安全性高而且价格低的优点在本次方案中选用该防火墙为无线网络提供安全的环境。
不管是基于什么设备和软件下的网络,都会有各种各样的故障,或人为或设备本身原因,我们终会将其解决。
总结
经过了两个多月的学习和工作, 我终于完成了《某校图书馆网络系统集成设计方案》的论文。从开始确定题目到系统的实现,再到论文文章的完成,每走一步对我来说都是新的尝试与挑战, 这也是我在大学期间独立完成的最大的项目。在这段时间里,我学到了很多知识也有很多感受,从对网络综合布线都一无所知,对网络布线、产品选型等相关技术很不了解的状态,我开始了独立的学习和考察,查看相关的资料和书记,让自己头脑中模糊的概念逐渐清晰,是自己非常稚嫩的作品一步步完善起来,每一次改进都是我学习的收获,每一次考察的成功都会让我兴奋好一段时间。从中我也充分认识到了网络综合布线这是通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布线系统,它能支持多种应用系统。虽然我的论文作品不是很成熟,还有一些不足之处,但我可以自豪的说,这里面的每一个系统设计中, 都有我的劳动. 当看着自己的论文, 一天天的完善, 真是莫大的幸福和欣慰。我相信其中的酸甜苦辣最终都会化为甜美的甘泉。
这次做论文的经历也会使我终身受益,我感受到做论文是要真真正正用心去做的一件事情,是真正的自己学习的过程和研究的过程,没有学习就不可能有研究能力,没有自己的研究,就不会有所突破,那也就不就论文了。希望这次的经历能让我在以后学习中催促我继续进步。
参考文献
[1]朱鸣; 网络安全现状和发展趋势[J];计算机应用与软件;2004年05期
[2]石永革, 王佩青; 一个大型Intranet 的设计与实现[J];计算机工程;2001年10期
[3]刘宝旭; 王晓箴; 杜斌;; 网络信息安全技术综述[A];第13届全国计算机、网络在现代科学技术领域的应用学术会议论文集[C];2007年
[4]贺文华; 陈志刚;; 基于三层交换的VLAN 设置技术研究[J];信息安全与通信保密;2006年08期 [5]方庆军; 杨波;; 网络安全的发展趋势及主要实现技术[A];西部大开发 科教先行与可持续发展——中国科协2000年学术年会文集[C];2000年
致谢
本论文是在xx 系xx 老师的悉心指导下完成的。xx 老师作为一名优秀的、经验丰富的教师,具有丰富的知识和经验,在整个论文实验和论文写作过程中,对我进行了耐心的指导和帮助,提出严格要求,引导我不断开阔思路,为我答疑解惑,鼓励我大胆创新,使我在这一段宝贵的时光中,既增长了知识、开阔了视野、锻炼了心态,又培养了良好的实验习惯和科研精神。在此,我向我的指导老师表示最诚挚的谢意!
在论文即将完成之际,我的心情久久无法平静,从开始选题到顺利论文完成,有不知多少可敬的师长、同学、朋友给了我无数的帮助。感谢电子与信息工程系全体老师给予我丰富的专业知识和各个方面的关心和帮助,感谢小组长的认真负责,感谢合作组员的热心协助。同时也要感谢电子与信息工程系11级网路2班全体同学,正是由于你们的帮助和支持,我才能一个一个克服困难、解明疑惑,直至本文顺利完成,在这里请接受我诚挚的谢意!最后我还要感谢培养我长大含辛茹苦的父母,谢谢你们!