计算机网络技术专业毕业设计模板简介.docx

网络工程设计方案院系:班级：姓名学号：指导老师：完毕时间：前言错误!未定义书签。第一章网络需求分析错误!未定义书签。1.1 工程项目概况错误!未定义书签。1.2 信息点分布错误!未定义书签。1.3 需求分析错误!未定义书签。第二章方案设计原则错误!未定义书签。第三章网络方案设计错误!未定义书签。3.1 网络拓扑构造简介错误!未定义书签。3.2 网络拓扑图错误!未定义书签。3.3 网络设计错误!未定义书签。第四章网络安全及管理机制错误!未定义书签。第五章网络设备选型错误!未定义书签。第六章方案的扩展性考虑错误!未定义书签。前S当今社会已步入信息社会，信息成为社会经济发展0关键原因，信息化己成为当今世界时尚。而目前，信息化程度已成为衡量一种国家现代化水平和综合国力强弱0重要标志。伴随信息时代的到来，企业的生存和竞争环境发生了主线性的变化。对于大型企业而言，信息化无论是作为战略手段还是战术手段，在企业经营中发挥着举足轻重0作用。信息技术作为新技术革命的关键.不仅具有高增值性、成为最具经济活力B经济增长点,并且具有高渗透性，以极强的亲和力和扩散速度向经济各部门渗透，使其构造和效益发生主线性变化。信息化已成为现代经济发展与社会进步的巨大推力，尤其是作为国民经济信息化基础的企业信息化，目前更显得尤为重要，信息化建设已成为企业发展的必由之路。信息化是企业加紧实现现代化日勺必然选择!伴随近年来企业信息化建设的深入，企业的运作越来越融入计算机网络，企业B¾沟通、应用、财务、决策、会议等等数据流都在企业网络上传播，构建一种“安全可靠、性能卓越、管理以便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。第一章网络需求分析1.1工程项目概况XX集团为了加紧信息化建设，新的集团企业网将建设一种以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息公布及查询为关键，以现代网络技术为依托，技术先进、扩展性强，将集团的多种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通0现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行I为基础设施,为了保证这些关键应用系统的正常运行、安全和发展,系统必须具有如下的特性：1、采用先进的J网络通信技术完毕集团企业网的建设，实现各分企业的信息化;2、在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平；3、在整个企业集团内实现资源共享、产品信息共享、实时新闻公布；4、在整个企业集团内实现财务电算化；5、在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统;详细规定： 服务 E-maikFTP服务 网上多媒体教学，能提供视频点播服务 集团内行政管理 拨号上网服务1.2 信息点分布重要信息点集中在生产部、账务部、网络中心、职工宿舍等部门。详细分布如表1所示。地点信息点备注网络中心40需保证速度、流量和可靠性生产部150需保证速度、流量和可靠性账务部120需保证速度、流量和安全性职工宿舍1000需保证速度和流量销售部100需要保证速度和可靠性综合设计30需保证速度和流量表1重要信息点分布1.3 需求分析为适应企业信息化B¾发展，满足日益增长B通讯需求和网络B¾稳定运行，今天的大型企业网络建设比老式企业网络建设提出更高的规定，重要表目前如下几种方面：1）现代大型企业网络应具有更高的带宽,支持IOGE或未来平滑过渡到10GE,更强大0性能，以满足顾客日益增长0通讯需求。伴随计算机技术B¾高速发展，基于网络B¾多种应用日益增多，尤其是对关键网络B数据互换能力提出前所未有B¾规定。此外,伴随千兆端口的成本持续下降,千兆到桌面的应用会在很快的未来成为企业网的主流。因此今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网0原则，它的关键层及骨干层必须具有万兆级带宽和处理性能，才能构筑一种畅通无阻的“高品质”大型企业网，从而适应网络规模扩大，业务量日益增长0需要。2）现代大型企业网络应具有更全面的可靠性设计，以实现网络通讯的实时畅通，保障企业生产运行B¾正常进行。现代大型企业网络在可靠性设计方面重要应从三方面考虑：第一是设备级可靠性设，这规定购置设备的时候不能一味时只追求价格原因而忽视可靠性；另一方面是业务0可靠性设计，这里要注意网络设备在故障倒换过程中与否对业务0正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多途径选择，因此在企业网络建设时要考虑网络设备与否可以提供有效的链路自愈手段和迅速重路由协议的支持。3）现代大型企业网络需要提供完善的端到端QOS保障，以满足企业网多业务承载的需求。大型企业网络承载业务0不停增多，单纯0提高带宽并不可以有效0保障数据互换0畅通无阻，而必须要考虑到网络应可以智能0识别应用事件的紧急和重要程度，如视频、音频、数据流（MIS、ERP、（）A、备份数据），同步可以调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一种大型企业网络提供“高品质”服务的保障。4）现代大型企业网络应提供更完善的J网络安全处理方案，以阻击病毒和黑客0¾袭击，减少企业的经济损失。老式企业网络的安全措施重要是通过布署防火墙、IDS、杀毒软件以及配合互换机或路由器0¾ACL来实现对于病毒和黑客袭击B¾防御，但实践证明这些被动的防御措施并不能有效的处理企业网络的安全问题。5）现代大型企业网络应具有更智能的网络管理处理方案，以适应网络规模日益扩大，维护工作愈加复杂的需要。第二章方案设计原则本方案0设计将在追求性能优越、经济实用日勺前提下，本着严谨、谨慎0态度，从系统构造、技术措施、设备选择、系统应用、技术服务和实行过程等方面综合进行系统B¾总体设计，力图使该系统真正成为符合该中学0¾网络系统。从技术措施角度来讲,在网络的设计和实现中，本方案严格遵守了如下原则：1、实用性和集成性系统的软硬件设计、还是集成，均以合用为第一宗旨，在系统充足适应企业信息化0需求0基础上进而再来考虑其他0性能。2、原则性和开往性只有支持原则性和开放性的系统，才能支持与其他开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应当支持国际工作原则或实际上的原则，以便能和不一样厂家的开放性产品在同一网络中同步共存。3、先进性和安全性系统所有的构成要素均应充足地考虑其先进性。不能一味地追求实用而忽视先进，只有将当今最先进B¾技术和我们的实际应用规定紧密结合，才能获得最大B¾系统性能和效益。4、成熟性和高可靠性网络硬件体系构造在实际应用中能通过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用0处理方案，并通到较多0第三方开发商和顾客在全球0广泛支持和使用。同步，应从长远0技术发展来选择具有很好前景的、较为先进B¾技术和产品，以适应系统未来B¾发展需要。可靠性也是衡量一种计算机应用系统的重要原则之一。5、可维护性和可管理性整个信息网络系统中的互连设备，应是使用以便、操作简朴易学，并便于维护。管理员能以便进行网络管理、维护甚至修复。在设计和实现时，必须充足考虑整个系统0便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。6、可扩充性和兼容性网络的拓扑构造应具有可扩展性即网络联结必须在系统构造、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代时也许，采用的产品要遵照通用的工业原则，以便不一样的设备能以便灵活地接连入网并满足系统规模扩充0¾规定。第三章网络方案设计3.1 网络拓扑构造简介在本次XX集团大型企业网的设计中，我们采用层次化模型来设计网络拓扑 构造。所谓“层次化”模型，就是将复杂H网络设计提成几种层次，每个层次着 重于某些特定的功能，这样就可以使一种复杂0大问题变成许多简朴的小问题。 层次模型既可以应用于局域网的设计，也可以应用于广域网B¾设计。3.2 网络拓扑图网络拓扑图如图1所示。综合统itH3c S102H3c S1024InternetH3c Secpath U200 CS-ACH3c S1024H3c S7506-ACH3c S7506-ACIinklanaRcr网络管理素统会议中心H3c S75O6-ACH3c S1024IOC i _ " oe 10/1001HSc S1024H3c S1024H3c S1024财务中心图1网络拓扑图3.3网络设计骨干关键层网络设计大型企业生产办公网络0关键网重要完毕整个企业集团内部不一样地区企业之间的高速数据路由转发，以及维护全网路由0¾计算。鉴于大型集团企业的顾客数量众多，业务复杂，QOS规定较高的特点，在本方案中采用H3CS7506-AC高密度多业务关键路由互换机组建高性能的关键网络平台。H3CS7506-AC系列互换机是具有运行商级容错能力的高性能大型网络关键互换机，可为高校和运行商提供基于领先技术的卓越性能和可靠性。H3CS7506-AC系列互换机专为发挥万兆、千兆以太网潜在0强大互换能力而设计，超大容量的互换背板使得包括万兆端口在内B¾每个端口具有全线速互换能力，保证在巨大的网络通信负载下一直可以轻松实现线速B¾第二层和第三层互换，是城域网、数据中心、智能大厦及企业网络骨干级关键路由互换机的理想选择。该系列互换机的所有管理模块、互换模块以及电源模块都可互换使用，并且管理模块、电源模块、风扇等还可实现冗余备份，温度传感器可以随时监控各个部件的工作温度，从而提供运行商级0可靠性。H3CS7506-AC互换机0一大特色是管理模块均带有业务接口，使得所有B¾插槽均为有效的业务插槽，从而大大提高了端口密度和插槽运用率。在骨干关键层中，我们采用三台H3CS7506-AC关键路由互换机构成一种环形多机热备份的关键互换机系统处理方案。为提高关键网络的强健性，实现链路0安全保障，本方案骨干关键层环网中可以采用VRRP（虚拟路由器冗余协议）。对于各个业务VLAN可以指向这个虚拟BIP地址作为网关，因此应用VRRP技术为关键互换机提供一种可靠0网关地址，以实目前关键层关键互换机之间进行设备B硬件冗余，一主两备，共用一种虚拟B¾IP地址和MAC地址，通过内部0协议传播机制可以自动进行工作角色B¾切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。3.3.2关键层网络设大型企业生产办公网络的关键层网络重要完毕园区内各汇聚层设备之间时数据互换和与骨干关键层网络之间0路由转发。老式处理方案一般采用骨干路由器+关键互换机来组建，但这种方式受限于互换机B¾性能，在提供MPLSVPNB¾业务能力方面较弱，不适合大型企业网络B¾建设需求，同步目前的大型企业办公网络具有城域网的特点，网络发展具有网络扁平化的发展方向，因此本方案骨干层网络设备采用H3CS7506-AC关键路由互换机作为大型企业生产办公网络的园区关键路由互换设备,H3CS7506-AC具有强大的业务和路由处互换理能力，能提供如MPLSVPN、QOS>方略路由、NAT、PPPoEWeb802.1xL2TP认证等丰富业务能力，并可通过内置防火墙模块实现多种强大0¾网络安全方略，可以充足满足大型企业不一样园区网络B¾高速数据互换和支持多业务功能B规定，并可以提供完善的安全防御方略，保障企业园区网络的稳定运行。汇聚层网络设计汇聚层网络重要完毕企业各园区内办公楼宇和有关单位H勺内接入互换机H勺汇聚及数据互换和VLAN终止，在本方案中采用H3CS7502E互换机多层互换机作为汇聚层面的互换机。H3CS7502E互换机在提供高密度千兆端口接入的同步还可以满足汇聚层智能高速处理的需要,并可以加灵活口勺布署在网络边缘口勺各个位置。可以同步提供多种高速专用堆叠端口和百兆、千兆光口/电口。这些互换机都具有较强的多业务提供能力，可支持包括智能的CCL、MPLS、等业务。接入层网络设计以往老式企业网络接入层的建设中并不关注于安全控制和QOS提供能力，而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备，这给汇聚层和骨干层设备带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫机，使网络没有Qc)S服务质量保障。H3CS1024智能宽带接入互换机是能满足高安全、多业务承载、高性能B¾网络环境智能互换机，具有老式二层互换机大容量、高性能等长处，同步还具有领先的安全特性，深入加强了企业网络对边缘接入层面的安全控制能力。顾客可以根据需要来订制自身的安全方略并布署在此互换机上。该产品具有的端口带宽限制、端口镜像、QOS端口安全、广播风暴克制等功能可以很好欧J协助顾客实现网络0¾管理和维护。除此之外，此互换机还具有多种专用堆叠接口，可以满足楼层，楼宇内多种互换机高性能汇聚B¾需要。广域网互联设计针对于大型企业需要良好的出口网关设备，我们提议顾客选用H3CSecPathU200-CS-ACoH3CSecPathU200-CS-AC防火墙专为千兆位流量09网络服务运行商，大型数据中心等骨干网络而设计，采用2U专用千兆安全平台，完全模块化可扩展构造，具有热插拔特性0冗余部件为您提供最大0¾不间断运行时间。H3CSecPathU200-CS-AC防火墙内置1个10/100/1000M自适应以太网电口，具有6个SFP扩展插槽，接口模块类型支持单模、多模光纤，千兆电口,充足满足您0定制需最多可扩展至8个千兆接口。冗余/负载均衡设计冗余设计是网络设计B¾重要部分，是保证网络整体可靠性能B¾重要手段。不过投资也将增长。部分企业园区网在初期的建设中由于成本的原因并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化构造，每个冗余设计均有针对性，可以选择其中一部分或几部分应用到网络中以针对重要0应用。万一网络中某条途径失效时，冗余链路可以提供另一条物理途径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余，以克服某个端口或线路引起日勺故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外，我们在设计中提供不一样物理方向的双归属、双路由保护。线路冗余在企业网骨干关键层，企业网络边界拓扑构造由于采用了环形多机热备份0关键互换机系统处理方案，因此在线路冗余方面的规定较高，对于线路的冗余规定，我们采用IOGE线路对三台企业网骨干关键层设备进行环行双向备份，并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路，通过这个链路连接骨干网互换机，具有万兆扩展能力；接入互换机采用10/100M自适应端口连接桌面系统，多千兆链路连接到汇聚层。GEC路具有链路聚合和冗余保证两大特性，下面我们将对它们依次进行简介。链路聚合:可使用一条物理链路在不一样品牌互换机之间、互换机和服务器间提供聚合B¾高速通道，在不增长投资日勺状况下，扩大互换带宽，使关键连接的传播效率更高冗余保证：链路聚合中，组员互相动态备份。当某一链路中断时，其他组员可以迅速接替其工作。与生成树协议不一样，链路聚合启用备份的过程对聚合之外是不可见0,并且启用备份过程只在聚合链路内，与其他链路无关，切换可在数毫秒内完毕。综合分析以上各主流方案0¾优缺陷,从性能与成本及拓展性等方面的综合考虑出发，我们决定采用GEC骨干关键网络IOGE拓展的方式作为其链路选择及备份选择。在企业网汇聚层及接入层出于成本及性价比的J考虑，我们决定采用千兆汇聚，万兆拓展；百兆到桌面0¾链路选择。网络设备冗余/负载均衡设计负载均衡建立在既有网络构造之上，它提供了一种廉价有效的措施扩展服务器带宽和增长吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它重要完毕如下任务:处理网络拥塞问题，服务就近提供，实现地理位置无关性；为顾客提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的运用效率;防止了网络关键部位出现单点失效。在此方案中，在网络B每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的骨干关键层上。我们采用了三台锐捷网络的RG-S8610高密度多业务IPV6关键路由互换机组建高性能0关键网络平台，在对骨干关键层提供足够的网络接点和接入需求0¾同步最大程度日勺为网络提供了有效日勺冗余保障和负载均衡。在关键层的每个区块,我们都采用了两台锐捷网络日勺RG-S8606度多业务IPV6关键路由互换机做到冗余与负载均衡。在汇聚层的每个区块，我采用了两台锐捷网络的RG-S5750互换机多层互换机做到冗余与负载均衡。在本方案的设计中，出现了两个以上的互换区块和需要提供冗余连接的时候，我们采用了双关键配置。如下图，我们给出了从接入层到汇聚层再到关键层0¾双关键配置。太换区决«交换区块2双关键拓扑构造提供了两条等代价途径和双倍的带宽。每个关键互换机连接着数目相似的子网到第三层汇聚设备上。每个互换区块均有冗余的连接到关键互换机上，因此形成两条不一样的，不过等代价的连接。假如一条关键设备发生故障，还是可以收敛，由于汇聚层设备的路由选择表中尚有另一条到关键设备的路由。第3层路由选择协议在关键中起链路选择B作用，VRRP提供迅速错误恢复。关键层不需要STP,由于在关键互换机间没有冗余日勺第2层连接。服务器冗余设计企业网中服务器、大型机，如网络存储服务器，SQLServei服务器，其存储B¾数据对于企业来说致关重要，某些关键数据被视为企业的生命。首先它对企业B¾企业B¾重要性毋庸质疑，另首先，由于这些数据日勺性质决定了其较大的被访问量，这个对服务器提出了稳定和迅速的规定。假如宕机,后果是技术是保障计算机系统时可靠性是重中之重。为此，我们采用的是双机热备技术，此技术可以有效的满足关键服务器高效，稳定的高规定。并且相对于其他成本技术来说，这是比较有经济价成效0技术。Server1Server2服务器双机热备技术详细技术实现：每个关键服务器均具有两个以太网接口（可以通过安装双网卡实现），在此基础上，以上图为例，DB服务器A与DB服务器B先分别运用自己的一种以太网接口实现两个服务器之间的直连，每个服务器此外的一种接口则与服务器区的网络实现互连，以到达双机热备B目的。因此增长服务器0稳定性与高效性。本网络中应具有多台服务器设备，包括DBSERVER数据库服务器，WEB,CATALOG等应用服务器，NEWS,MAIL等通讯服务器及多媒体服务器等。3.310IP地址规划原则IP地址构成了整个Internet0基础，IP地址资源是整个Internet的J基本关键资源，IP地址资源B¾合理分派和有效运用是整个Internet发展过程中持续有效的一种极具分量的研究课题。我们在对企业园区网IP地址编址设计和分派运用时.，遵照了如下几种原则：1）、自治：整个园区网络网络被划提成几种大B自治区域，每个大自治区域中又被划提成几种小0自治区域。2）、有序：我们按照自治原则将网络进行逻辑划分后，就根据地区、设备分布及区域内顾客数量来进行子网规划。同步，我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址分派时，为了提高地址分派效率和地址运用率，我们在编址设计时按照了一定的次序进行。选择的J次序是自上而下gJ次序，即采用了业界领先B自顶向下网络设计（ToP-DOWnNetworkDesign）措施。3）、可持续性：考虑到园区内网络顾客数将持续高速增长，网络所要承载的业务量和业务种类越来越多，这使得网络需要频频进行技术升级、改造和扩容。4）、可聚合：在路由表急剧膨胀状况下，可聚合原则是网络地址分派时所必须遵守的最高原则，可聚合原则规定在进行地址规划时，应提供足够的路由冗余功能。5）、尽量节省IPv4地址：由于IPv4地址越来越少，因此对于IPv4地址0¾使用需要格外节省。IPv4地址B¾节省可以通过动态编址技术和NAT技术等来实现。6）、闲置IP地址回收运用：对于已分派出去B静态IP地址进行定期追踪管理，对长时间闲置的IP地址可通过确认后回收反复运用。本次方案B¾设计，我们决定采用一种内部私有A类地址（10.0.0.0）对企业园区的网络设备编址。由于从方案自身的网络拓扑图采用了经典的层次化设计，因此对IP地址的编址设计也应采用层次化的设计来完毕，并采用VLSM来拓展有限0IP地址。网段描述所需的IP地址数骨干关键层链路5（2个用于拓展备份）集团总部I(MM)生产部500客户部500机械厂1000大型机/服务器群500企业Ve）IP语音系统2023VLSM是可变长子网掩码的英文缩写，它提供了一种主类（A类、B类、C类）网络内包括多种子网掩码的能力，可以对一种子网再进行子网划分。VLSMaJ长处：1、对IP地址更为有效B使用2、应用路由归纳B¾能力更强因此我们采用VLSM对网络进行编址，以到达节省IP地址，可以使用路由汇总的目的。首先采用一种A类网址对园区网主体构造进行编址，至上而下的设计思绪有助于设计的最终成型和网络的强健性。另一方面，在语音系统中，每一种IP需要一种IP地址以及诸如子网掩码、默认网关等的有关信息。实际上，这意味着一种组织需要指派两倍于IP的IIP地址给目前所有Bpc顾客，这个由DHCP提供。我们使用私有遍址HIP作为语音遍址方案。私有遍址IP10.2.8.3172.16.8.5IP使用172.16.0.0网络最终通过我的计算，将各部门IP地址分派如下表:IP地址网段VLAN编号默认网关财务部10生产部20销售部30行政部40顾客地址与VLAN划分第四章网络安全及管理机制4.1 完善的安全机制企业楼宇互换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量袭击，控制非法顾客使用网络，保证合法顾客合理化使用网络，如端口安全、端口隔离、ACL,端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定等等，满足企业网加强对访问者进行控制、限制非授权顾客通信的需求；在汇聚、关键交换设备设置由硬件实现ACL,对病毒进行过滤，我们选用0汇聚、关键互换设备都支持SPOH,因此在使用ACL时将不会影响整个互换机0性能。1 .硬件实现端口与MAC地址和顾客IP地址的绑定，严格限定端口上顾客接入。2 .通过PrivateVLAN可以在互换机B同一VLAN中提供端口之间的通讯或安全隔离，保证数据流进入有效端口，而不会被发送到其他端口，即处理了因老式802.IQVLAN导致全网VID资源不够B¾问题，同步又无需运用安全规则资源即能到达隔离不一样顾客以及不一样组顾客之间通讯0功能，充足保护顾客隐私。3 .可实现顾客账号、MAC地址、IP地址、互换机IP、互换机端口等六大元素之间0灵活任意绑定，有效确认顾客合法性和唯一性。4 .支持业界特有BIGMP源端口检查，有效杜绝非法组播源播放和大量占用大量网络带宽，提高网络安全性。5 .提供极为有效B¾PortBlOCking功能，防止端口受到其他端口发送的广播包、多播包等报文的干扰，有效减轻端口负载承担，提高端口带宽，保护顾客PC更高效安全地运行。6 .基于源IP地址控制的JTelnet和Web设备访问控制，增强了设备网管的安全性，防止黑客恶意袭击和控制设备。7 .提供加密传播SeCUreShell(SSH),保证管理设备信息日勺安全性，防止黑客袭击和控制设备。8 .可灵活控制2-7层数据报文，使得任何一种顾客PC上的任何一种应用报文通过网络都能得到有效控制，充足保障了网络0¾安全和合理化使用。4.2 处理安全威胁在企业网络已经成为企业生产运行B¾重要构成部分的今天，现代企业网络必须要有一整套从顾客接入控制，病毒报文识别到积极克制的一系列安全控制手段，才能有效的保证企业网络的稳定运行。1 .防冲击波病毒伴随蠕虫病毒等0¾袭击手段呈多元化发展，单一0防护措施己经无能为力保卫校园网络安全。IDS只能根据预先定义日勺方略进行检测，对新的袭击方式无能为力，或者当IDS侦测到某终端顾客感染病毒后，只能将有关信息形成汇报告知网管人员，等待处理。然而，此时受感染的顾客也许已经通过网络散播到了校园网络的各个角落。2 .来自网络内部的恶意或误操作袭击据有关数字显示，目前.,网络遭受B恶意袭击90%以上是来自于内部，诸如窃取他人密码等重要信息、盗打IP、校园一卡通金额被盗等事件时有发生。对此，假如仅仅倚靠被动的监测方式，就给事后追查“嫌疑人”0¾网管人员制造了难以逾越的瓶颈。3 .3VPN(虚拟专用网)虚拟专用网(VirtUalprivatenetwork)是一种在公用网络上通过创立隧道，封装数据模拟的一种私有专用链路。隧道起一种提供逻辑上点对点连接的作用，从隧道B¾一端到此外一端支持数据身份验证和加密。由于数据自身也要进行加密，所以虽然通过公共网络，它仍然是安全的，由于即便数据包在通过网络结点时被拦截(如通过服务器时)但只要拦截者没有密钥。就无法查看包0内容。从内容上来说VPNB¾连接重要可以分为两个部分，即隧道的建立和数据的加密，在第2层上常见的隧道协议包括PPTP(PointtoPointTunnelingProtocol)点对点隧道协议，尚有L2TP(Layer2TunnelingPrOtOCoI)第二层隧道协议，L2TP隧道可以提供ATM和FRAMERELAY上的隧道，并且由于不依赖IP协议，它还可以支持不止一种连接，那么一般0网络设备如路由器等大多支持这个协议。在第三层上创立0隧道是基于IPB虚拟连接，这些连接通过收发IP数据包实现，这个抱被封装在由IETF(InternetEngineeringTaskForce)指定的协议包装之内。包装使用IPSeC,IKE,以及身份验证和加密措施，如MD5,DES,以及SHAo数据加密使用的加密数据协议有MPPE,IPSEC,VPND,SSHHIPSEC可以与L2TP一起使用，这个时候L2TP建立隧道，IPSEC加密数据，这种形式下IPSEC运行于传播模式。第五章网络设备选型校园网网络系统从构造上分为关键层、汇聚层和接入层。关键层重要是实现骨干网络之间的优化传播,骨干层设计的重点是冗余能力、可靠性和高速时传播。由于学校存在大量0语音和视频传播。据此，考虑汇聚层对QOS有良好0支持并且能提供大B¾带宽。接入层设备是最终顾客B¾最直接上联的设备，它应当具有即插即用特性以及易于维护B¾特点。在接入层面，通过定义对应的访问方略，实现访问控制，内外隔离。第六章方案的扩展性考虑本方案中所采用0技术与产品充足考虑到了网络未来0升级与发展，无论从企业网的扩展到广域网B¾建设都作了周密0¾考虑。再是由于系统选择0是最成熟与原则0¾迅速以太网技术，把网络已构筑了高速和结实0¾信息高速公路，面对未来的发展将处在非常有利的境界。