校园网方案设计毕业设计论文.doc

《校园网方案设计毕业设计论文.doc》由会员分享，可在线阅读，更多相关《校园网方案设计毕业设计论文.doc（19页珍藏版）》请在三一办公上搜索。

1、重庆电子工程职业学院毕业设计校园网方案设计学生：指导教师： 专业： 重庆电子工程职业学院通信工程系二零一一年 四月摘 要 校园网是各种类型网络中一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。另一方面，作为“高新技术孵化器”的学校，知识、人才的资源十分丰富，比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。 本文从用户的需求分析入手，阐述了校园网的应用特点，以及网络产品如何满足校园网用户的多方面需求。科学技术的进步，

2、尤其是信息技术的高速发展，使得计算机技术和通信技术已成为信息技术的主体。计算机网络正是这两种技术相结合的产物，在信息技术的带动下，计算机网络发展的非常迅速，已经成为信息科学的一个新的分支。 随着计算机网络的发展，特别是INTERNET的日益普及，“校园网”就随着全国各高等院校计算机网络的建设而引起了人们的广泛关注。近年来，有很多中、小学也加入到校园网络建设的行列，建设和使用校园网络已成为一种普遍趋势。随着校园网建设的快速发展，学校对网络的依赖性越来越强，同时，网络应用也是日新月异。这就给校园网建设提出了网络的安全和可运行性提出了新的要求。现在校园网络维护的建设已成为现代教育机构的必然选择。从类

3、型来看，校园网大都属于中小型系统，以园区局域网为主。但是它的网络结构和性能要求却有一定的特殊性，为此，相应的网络维护和网络测试方法应有一些特别的考虑。关键词：校园网 计算机 网络安全 资源共享 VLAN目录摘要5引言81 网络的建设背景82 网络需求分析92.1 高性能：92.2 高可用性：92.3 高安全性92.4 高可扩展性：103 网络的总体设计103.1 方案设计原则：10 3.1.1 开放性：10 3.1.2 标准化：11 3.1.3 简洁性：11 3.1.4 可扩展性：11 3.1.5 安全性：11 3.1.5.1 硬件平台安全性：12 3.1.5.2 网络通讯系统安全性：12 3

4、.1.5.3 操作系统安全性：12 3.1.5.4 数据库安全性：12 3.1.6 实用性：12 3.1.7 网络可靠性：12 3.1.8 易维护管理型：133.2 网络拓扑结构：133.3 VLAN规划：153.4 方案特点：15 3.4.1 完善的接入控制：15 3.4.2 防代理技术：16 3.4.3 计费策略与自主平台：17 3.4.4 QOS支持能力：17 3.4.5 安全保障：173.5 业务，网络扩展及其他：18 3.5.1 认证方式：18 3.5.2 计费方式：194 网络的安全设计204.1 防火墙：204.2 入侵检测技术：204.3 网络隔离：205 网络的管理设计216

5、 致谢217 参考文献22引 言建设校园网对每个学校来说都不是一件轻易的事情，都要经过周密的论证、谨慎的决策和紧张的施工。当一堆设备变成网络的时候，大部分学校的满腔热情也慢慢地冷却凝固。校园网建成了，各种问题也不断涌现:设计目标根本无法实现，没有合适的应用软件，许多设想根本无法实施，后续的维护费用不堪承受等等。在校园网信息化建设中，到目前为止，很多高校在全校范围内仅建立了几个独立的局域网络，整个校园还没有形成自己的校园网。基于目前高校的网络现状，我们以重庆电子工程职业学院为例提出校园网总体建设方案。1 网络的建设背景随着因特网的快速普及与高速发展，校园网已经成为每个学校必备的信息基础设施之一，

6、是学校提高教学 科研及管理水平的重要途径和手段，尤为国家对教育信息化的大力推进和支持，极大地鼓励学校积极参与对校园网建设。校园网作为一种独特的模式，既具有一般企业网的特质，又有其特殊的地方。相同之处在于：作为集团用户，接入网络都需要具有一定的独立性和相当的可统计 可管理性的特性；较之一般的企业网，校园网又会面临更复杂的用户类型和业务需求，它不是单纯的办公网络，是一个承载教学 办公自动化 图书馆等多种业务和应用的平台，并且有部分网络资源用来经营，因此对投资回报有更高的要求。当前校园网的主要特点：网络吞吐能力高 速度快 系统规模大（多校区）；用户群庞大 多层次（教师 学生等） 接入方式多样（PPP

7、oE DHCPWeb 802.1x 专线接入 WLAN等）；网络环境复杂 多网共存（教学网 科研网 办公网 无线网 学生宿舍网 教工家属网等）；数据业务复杂（网上点播 电子教室 财务 政务等） 类型多样（数据 语音 视频等）；用网时间集中 同时在线人数众多 流量巨大且分布时段不均；学生活跃 好奇 敢于尝试 攻击性强；计算机蠕虫 病毒泛滥 盗版资源泛滥 网络行为突发性高；教育网作为我国开展下一代网络研究的试验基地，其采用了先进性的技术，Cernet2试验网的开通，是我国第一个IPV6主干网，也是世界上规模最大的纯IPV6网，标志着中国下一代互联网建设拉开了序幕。2 网络需求分析2.1 高性能：

8、自2002 年中期万兆IEEE 802.3ae 标准获批准以来，万兆以太网（10GE）已开始逐步普及开来，随桌面千兆位端口增长而扩大的端口部署不仅影响着上行链路速率，还影响着IP 视频等新应用以及数字成像等行业专用应用。所以，万兆以太网将成为园区骨干网的主流技术。但根据重庆电子工程职业学院目前的实际情况，可先采用千兆位以太网作为园区骨干（但设备选型要注意能平滑升级到万兆），以后再根据需要升级；另外交换机及路由器本身的性能对整个网络的性能也有影响，诸如线速转发 QoS STP 可支持的路由协议的收敛特性等等都将影响网络的性能；2.2 高可用性：网络的高可用性必须依靠冗余来实现，网络级冗余性可以利

9、用双宿主设计自动绕过故障链路或设备，能够使用智能协议保持网络可靠性。设备级冗余性可以利用设备内部部件（如管理引擎 电源 风扇等）的冗余来提供不间断服务。线路级冗余可通过敷设物理走向不同的线缆的方式来实现线路的畅通。对于重庆电子工程职业学院来说，以上所说在不同的场合中都有可能用到；另外，降低网络的复杂性 提供备用互联网出口 强大的网络监控功能及良好的用户培训也可增加园区网的可用性；2.3 高安全性现阶段网络建设主要面临以下几方面的问题：网络流量增长得很快，与此同时网络运营商的接入费用不降反升；网络安全事件时有发生，重要服务器和核心网络设备被攻击；网络病毒泛滥，得不到控制；有线用户和无线用户的接入

10、控制 定位缺乏手段等；针对以上问题，将安全连接 威胁防御 信用和身份管理系统集成到单个解决方案中，并提供病毒感染限制 染毒设备隔离功能可有效的解决校园网建设中的安全问题；2.4 高可扩展性：在设计园区网时，通过层次化的设计可保证网络的扩展性。层次化结构包括三个功能部分：即接入层 汇聚层和核心层，层次化的设计除了能带来便于扩展的优势以外，还可节约成本和加强故障隔离能力；3 网络的总体设计3.1 方案设计原则：网络系统总体设计目标是最大限度的满足应用系统的需求，与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作，即通过网络设备将信息点与中心网络系统可靠地连接起来，为当前

11、的各种应用环境系统和应用软件系统提供运行环境支持。由于网络对工作的运作与发展具有非常重要的作用，因此网络的先进性 可靠性 安全性 易维护 易升级等方面均有一定的要求，网络系统对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时间的可用性。网络设计必须满足其应用的要求，网络总体设计 建设的原则如下：3.1.1 开放性：当前计算机技术的发展日新月异，各种硬件和软件产品层出不穷。但总体上看，整个计算机仍然在开放式系统的概念下不断趋于统一，新模式主要有如下特点：开放式系统越来越为广大用户所接受，传统的封闭式厂商也开始走向开放式道路，开放式体系结构已经发展成为计算机技术的主流。网络互联技术成

12、熟，推动了分布式运算环境的建立，如TCP/IP的迅速发展，已成为异种机型互联的标准。在开放系统环境OSE(Open System Environment) 中有两个最基本的特点：一是开放系统所采用的规范是厂家中立的，或者说是与厂家无关的；二是开放系统允许不同厂家的计算机系统和软件系统可以互换，并可组成一个集成的操作环境。OSE包括了多种功能，它能在不同厂家的网络上实现计算机应用的互操作性 可移植性和集成性。 对于用户来说，选择开放系统的意义深远，它包括：l 应用系统独立于平台外部环境，不受厂家的约束。 l 可以在不同厂家的产品中随意地选用最佳产品。 l 能较快地获得新技术。因为对厂家来说，在一

13、个标准平台上开发产品成本较底。减少了购置新计算机及网络设备的投资，因为系统和应用软件可以从原有计算机上移植。3.1.2 标准化：在方案设计中，所有计算机网络软硬件产品必须坚持标准化原则，遵从国际标准化组织所制订的各种国际标准及各种工业标准。3.1.3 简洁性：对于网络系统，在设计过程中要考虑系统的能够适应不断的新的发展需要，并使系统能适应多种硬件平台和多种网络结构，而且网络拓扑结构简洁，硬件和软件按需要能进行灵活的配置。3.1.4 可扩展性：目前设计的网络系统不仅仅用于当前，同时在今后的一段时间内，将是校园电子化的主要系统。因此，设计时一定得考虑将来的发展，除了当前设计得有一定的超前外，还需要

14、考虑系统的可扩充性，易于系统以后的发展。网络系统必须有足够的扩展性，使得将来增加信息点时，只需很少变动。如当网络设备增加 通信网络升级时，所有设备要保证仍能继续使用，而不能以弃掉已有设备为升级的代价。采用的产品具有充分的可扩充性及升级能力，具有足够的先进网络技术过渡的能力。3.1.5 安全性：安全性是指可靠性 保密性和数据一致性。校园网对安全性的要求较高，计算机系统的安全性主要包括以下几个方面:3.1.5.1 硬件平台安全性： 当计算机的元器件突然发生故障，或计算机系统工作环境设备突然发生故障时，计算机系统能继续工作或迅速恢复。3.1.5.2 网络通讯系统安全性： 网络的安全性主要包括采取以下

15、安全措施：认证措施，包括网点认证和人员认证；数据保密措施如传输加密；存取控制措施如防止非法操作。3.1.5.3 操作系统安全性：操作系统安全性要达到C2级，即通过注册 安全事件审计 资源隔离等方式使用户的行为具有个体可查性，实施存取限制，保护数据防止被别的用户读取或破坏。3.1.5.4 数据库安全性： 数据库要有以下安全机制：磁盘镜像 数据备份 恢复机制 事务日志 内部一致性检查等安全保障体制，确保数据库的安全。3.1.6 实用性：网络的建设要强调网络系统与网络应用并重，以应用推动建设，信息资源的开发 利用和效果。产品应选择主流产品，并且具有成熟 稳定 实用的特点。能充分满足日常使用 科学决策

16、 对外交流 以及信息自动化管理等各方面的需要。3.1.7 网络可靠性：网络可靠性需要从以下方面来保证：设备的硬件制造品质与运行软件的成熟性。网络设备必须选用已经证实，并在实际应用中得到普遍应用的产品，只有这样，才可能提供不间断运行的能力。网络产品应具备在线热更换的能力，当某一板卡出现故障时，应能带电更换，而不需进行停机操作。3.1.8 易维护管理型：网络管理应走向科学化，采用先进的网络管理系统，实现“在网络中心即能实时控制 监测整个系统的运行状况，能够自动发现故障点”的目标，并具有良好的人-机操作界面。3.2 网络拓扑结构：本方案采用中兴通讯先进的ZXR10系列交换机和路由器产品以及业务综合系

17、统。对所有关键器件的冗余，包括主控板、交换网板、电源等，支持板件的热插拔技术，保证了网络的高效运转。骨干设备双核心双链路，或者核心成环之后，相互之间互为容错备份，并在核心交换机中采用关键模块冗余设计（双电源冗余等）。核心交换机和汇聚交换机之间采用双链路连接，一旦数据传输的活动链路失效以后可以自动切换到另一条链路，保障数据的正常转发。这样，从全网架构上，核心层双链路交换系统不存在单点故障，是一种高级别交换完全冗余的容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性、稳定性的运行。本着高性能、高稳定、高可靠性

18、、高安全性、良好的可扩展性、可操作、易管理原则，以及考虑到技术的先进性、成熟性，其组网图如下：网络拓扑结构图3-2-1结构描述及特点： 从结构图中可以看出，整个校园网络设计遵循千兆主干，百兆桌面接入的思想，骨干交换机T160G到汇聚交换机，采用千兆光纤，汇聚层交换机到接入层交换机，采用千兆电缆进行连接，提高主干带宽以及增强主干网络的可靠性。 采用ZXR10T120G万兆MPLS路由交换机，作为整个校园网络的核心交换设备。 在汇聚层，采用ZXR10 5928路由交换机作为楼栋的汇聚交换机，分别通过GE链路上连核心交换机。 接入层交换机ZXR10 2826S采用GE链路就近接入汇聚交换机。 网络出

19、口处部署一台ZXR10 GER高性能路由器，与运营商网络和教育网之间使用防火墙进行隔离并进行入侵检测，充分保证网络的安全性。GER路由器作为全网的NAT设备，实现地址转换，通过启用策略路由实现校园网用户访问不同网络的需求。 服务器群通过千兆交换机5928汇聚后，通过原有的安全网关设备接入主核心交换机。 认证计费网关和AAA服务器采用侧挂的方式接入主核心交换机，因计费网关设备本身的限制，今后倒换时需要人工方式实现。3.3 Vlan规划： 重庆电子工程职业学院分为，学生宿舍区，教师宿舍区，办公区和行政中心。 Vlan规划如下： VLAN-ID用途业务IP网关地址VLAN名称10办公区域192.16

20、8.10.0/24192.168.10.1bangong20行政区域192.168.20.0/24192.168.20.1xingzheng30教师宿舍区192.168.30.0/24192.168.30.1jiaoshiqu40学生宿舍区192.168.40.0/22192.168.40.1待添加的隐藏文字内容3xueshengqu100设备管理172.16.1.0/24172.16.1.1guanli1000服务器10.0.0.0/2410.0.0.1fuwuqi3.4 方案特点：3.4.1 完善的接入控制：本方案支持基于端口 VLAN和MAC的802.1x认证方式 支持本地认证和远端认证

21、方式；支持用户帐户与用户IP MAC 接入交换机桥MAC 端口 VLAN DHCP Server等多元素的静态或动态自动绑定，防止地址盗用，增加用户安全性；支持认证前后的动态ACL下发，实现用户的VLAN跳转，允许用户认证前访问部分有限资源，实现免客户端下发 上网自助服务等；支持用户自助解绑定功能，控制解绑定次数，实现用户的漫游；防非法的DHCP Server，禁止用户私设DHCP Server，如用户开启了DHCP Server服务，禁止用户上线。用户从其它/非法DHCP Server获得地址，不予上线；支持基于用户策略控制功能，如带宽保证；支持对用户地址属性监测功能，禁止用户私自更改IP地

22、址属性，如针对静态IP地址用户，在认证前用户设置动态IP地址，则禁止上线，认证后私自更改地址，则强制下线。对于动态IP地址用户，认证前设定静态地址，不予上线，认证后私自更改地址，则强制下线；支持基于时间段的上网认证功能；支持客户端软件的自动升级；支持对用户认证失败和下线提示信息反馈功能；支持用户查看上网时间和剩余时间功能。3.4.2 防代理技术：在校园网的环境里，多台电脑共享账号和线路上网的情况比较普遍，不仅逃避了计费，滋生反动言论，而且使得资源访问不可控，带来了极大的安全隐患。对用户的防代理技术主要有两部分组成：局端设备（第三方代理监测系统）防代理和用户端接入软件防代理（协同局端接入设备联手

23、防代理）。局端设备防代理技术主要有三种方法：用户数据特征分析方法 用户行为分析方法 用户代理扫描技术。用户接入客户端软件犹如安置在PC内的“前方哨兵”，不仅完成用户正常的上网认证功能，而且还能负责对用户上网情况进行监控，监测用户网卡的进 出数据流量的状况，能够识别出用户使用了代理共享上网技术。一旦客户端软件检测到用户使用了代理共享上网技术，就可以利用和交换机的交互，强制用户下线，进行新一轮的上网认证。客户端防代理技术的主要有以下几种类型：预防型防代理技术 服务探测型防代理技术 流分析型防代理技术。所谓预防型防代理技术就是根据用户提供代理服务的基本条件，如果禁止了这些能够实现代理服务的基本条件，

24、从而也就达到了防代理的目的，如禁止激活双网卡等。服务探测型防代理技术就是根据用户启用的代理服务软件的特征信息进行检测，检测是否启用了相关代理服务软件。流分析型防代理技术就是采用流采样技术，利用客户端软件定期的连续抓取一定的数据包，通过对这些数据包内容进行分析，从而判断出用户实施了代理行为。3.4.3 计费策略与自主平台：本方案具备灵活的计费策略，支持包月 时长或有限时长包月 流量或有限流量包月 预付时长 预付流量 实时扣费 卡业务 封顶 增值服务等计费方式，网络管理员同时可以自定义计费策略，如设置优惠时段 对不同的用户 不同的增值服务类型可采用不同的计费策略和资费标准等；支持包月 包日方式时，

25、对于当月 当日没有认证使用情况不计费，依次顺延；支持包月情况下，根据不同开户日期，采用不同的当月资费标准；支持Keepalive报文，支持中间记帐报文 开机记帐报文等，避免用户呆死 交换机死机情况的计费信息丢失；支持网管 计费平台的二次开发功能。人性化的用户自助服务平台支持用户修改密码 余额查询 上网记录查询 上网充值 解绑定设置 客户端软件下载 个性化服务等。3.4.4 Qos支持能力：本方案具备完善的Qos保证能力，网络设备具备强大业务感知能力，支持L2L7的复杂流分类，支持基于端口 VLAN 802.1P DSCP，支持CAR功能，支持流量监管 流量整形，支持PQ CQ WFQ WRED

26、等多种拥塞管理和拥塞避免算法，支持流镜像 流量统计 ，从而能够保障教学和管理正常稳定运行。3.4.5 安全保障：本方案提供了可靠的安全保障，支持PORTVLAN IPMAC的绑定，保证用户的安全；支持基于端口 VLAN的接入用户数目限制；完善的ACL，提供基于VLAN 以太网类型 用户MAC IP地址 应用以及端口的安全控制功能，支持基于时间的ACL功能；支持VLAN隔离功能，控制对用户资源的访问；支持PVLAN UpLink Port的端口隔离方式，隔离用户的之间的直接访问；支持基于802.1x的用户接入认证方式；支持DHCP Snooping/Relay Dynamic ARP Inspe

27、ction功能，防止用户私接DHCP Server，防止IP地址冲突 地址盗用；支持用户和端口 接入交换机等元素绑定功能，提供对用户的端口反查 对上网信息的反溯和追查功能；设备具备抗病毒 防攻击能力；具备安全联动 动态策略下发功能，支持IDS联动 日志功能，保护全网的安全；配置硬件防火墙，实施相应的策略控制，保障内网的安全；具备完善的用户上网日志功能，支持向日志服务器导出，具备日志冗余功能；利用数据容灾技术，保护关键数据不受破坏；支持容错技术，如双机备份 故障恢复 双电源备份等；采用分布控制 统一管理的原则，利用中兴统一网管技术对全网进行设备的同一管理。3.5 业务，网络扩展及其他：3.5.1

28、 认证方式：l 针对内网权限的用户通过加装802.1X的PC客户端直接通过合法的账户密码登陆内网，802.1X服务器端进行相应，确定其合法性。如果合法，则分配IP地址，可以实现内网的浏览；l 针对外网权限的用户出于安全性考虑，登陆时同时开启两个进程：第一、通过加装的PC客户端直接通过合法的账户密码登陆，802.1X服务器端进行合法性验证、防私接策略，第二、外网访问认证进程在后台同时运行，AAA以及计费网关完成相应认证和计费策略实施；因此在客户看来一次认证完成了所有权限的认证，其实处于安全可靠性考虑，外网权限在后台完成确认和认证；v 不论内、外网权限用户，为了进行安全性、防私接等重要策略，都必须

29、要进行完善的基于高层的接入认证，如果仅仅采取针对端口和VLAN的认证，无法有效做到安全和防私接的功能；v 在网络用户权限安全管理上，可采取以下策略： 个人用户建立个人账户资料：教工可以考虑账户与物理地址端口绑定的认证方法，防止教工账户被学生使用；住宅区的教工可采取单纯账户认证方法，简化认证加快访问速率；学生个人用户的账户可以考虑进行“一卡通”方式，对于上网浏览采取单纯账户密码认证方法，个人账户信息由网管中心统一监管维护；学生个人用户的账户可以进行分别归类计费显示，同时可以考虑将认证服务器与网管中心综合获取个人上网地点与浏览内容的记录。 访问权限有效监控：针对学生思维灵活且富有较强的挑战性的特点

30、，本方案制定以下几个策略来保证绿色上网、保护网络： 学生用户进行个人帐号的加密管理，即保证学生使用自己帐号的私有权力，并在网管中心数据库进行安全维护。 结合认证服务器与统一网管平台对学生用户上网尤其是浏览INTERNET进行必要监控，主要是对访问地址进行记录，并通过在核心路有交换机上启用ACL功能对非法网站进行屏蔽。 为了防止学生用户对现网设备及系统进行攻击，方案中将统一网管平台放置于防火墙内侧，保证统一网管平台工作的稳定可靠；同时在汇聚层设备上进行流量监控，若发现一定时间不规律流量出现，由统一网管进行封闭端口指令发布。 可以考虑在汇聚层进行QinQ功能的实现，对学生宿舍密集区域进行物理地址标

31、识唯一性管理，及时发现违规用户的地址进行查处。3.5.2 计费方式：本方案采用中兴AAA智能多业务认证计费平台，是中兴通讯推出的新一代数据业务开放式平台，采用了智能网核心技术，能够实现数据网络上所有业务的认证计费需求，是一个高伸缩性的，可升级的IP综合业务实时管理、计费的平台。它不仅可以帮助网络运营商对自己的传统Internet在线业务进行管理、计费，还为运营商提供了一套完善的富有特色的宽带网络业务的管理、计费解决方案。中兴AAA智能多业务认证计费平台的主要功能包括： 建立和管理用户帐户信息 服务的开通和停复 网络接入的认证授权 服务带宽的动态选择 计费数据的采集整合 费率的设定和计费处理 帐

32、务处理 统计等等 中兴AAA具有千万级用户的高容量；7*24小时不间断服务的良好的可靠性；灵活的可扩展性和可伸缩性；以及灵活进行客户化定制的特殊性。中兴AAA是网络运营商管理业务强大而有效的工具，不仅帮助运营商提高业务管理水平和管理效率，提供灵活的业务管理方式，同时也帮助运营商不断推出具有竞争力的独特服务和扩展服务，全面支持Internet的新兴业务，采用先进的灵活的计费模式和资费策略，占领市场强占商机，从而巩固和提高了网络运营市场竞争能力。4 网络的安全设计4.1 防火墙：网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护

33、内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态4.2 入侵检测技术：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。利用防火墙技术，经过仔

34、细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够： 入侵者可寻找防火墙背后可能敞开的后门。 入侵者可能就在防火墙内。 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。4.3 网络隔离：面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，全新安全防护防范理念的网络安全技术“网络隔离技术”应运而生。网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间

35、数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离技术是把两个或两个以上可路由的网络通过不可路由的协议进行数据交换而达到隔离目的.5 网络的管理设计本方案采用中兴网管平台；中兴统一网管平台提供了完善的分级分权管理，采用图形化中文操作界面 方便使用，支持分权分级的网络管理，支持设备的拓扑管理（拓扑建立 设备浏览 设备面板），支持对网络设备的实时监控，支持声光 Email 短信告警，支持完善的日志管理，支持实时性能统计与报表生成，支持集群网管，自动拓扑生成 批量配置 批量更新。6 致谢经过半年的忙碌和工作，本次毕业设计已经接近尾声

36、，作为一个专科生的毕业设计，由于经验的匮乏，难免有许多考虑不周全的地方，如果没有导师的督促指导，以及一起工作的同学们的支持，想要完成这个设计是难以想象的。 在这里首先要感谢我的导师冯 。冯老师平日里工作繁多，但在我做毕业设计的每个阶段，从查阅资料到设计草案的确定和修改，中期检查，后期详细设计，等整个过程中都给予了我悉心的指导。除了敬佩冯老师的专业水平外，他的治学严谨和科学研究的精神也是我永远学习的榜样，并将积极影响我今后的学习和工作。 其次要感谢我的同学和同事对我无私的帮助，正因为有他们的帮助我才能顺利的完成设计，我要感谢我的母校重庆电子工程职业学院，是她给我们提供了优良的学习环境；另外，我还

37、要感谢那些曾给我授过课的每一位老师，是你们教会我专业知识。在此，我再说一次谢谢！7 参考文献1 董洪斌，黄昕昕，张林松;校园的信息高速公路校园网J;黑龙江高教研究;1995年05期 2 刘启茂，蔡红梅;华中理工大学校园网建设与图书馆自动化发展策略J;计算机应用研究;1995年04期 3 刘小伟;“校园网”的建设J;职业技术教育;1996年02期4 邵长生;对高校校园网及EMIS建设的思考J;黑龙江高教研究;1996年06期5 唐伟.计算机及网络维护技术M.中国水利水电出版社，20036 魏柏丛，梁辉芳;北邮校园网建设与应用J;电子科技导报;1995年11期 7 王欣;北京教育学院校园网简介J;北京教育学院学报;1996年04期8 王保顺.校园网设计与远程教学系统开发M.人民邮电出版社,20049 王祖，陈希，曹玮光.计算机网络技术基础M.科学出版社，200310 王竹林.校园网组建与管理M.清华大学出版社,200511 涂中群;图书馆与校园网衔接中若干问题的探讨J;南通师范学院学报(哲学社会科学版);1996年04期12 谢鹏;CERNET网石油院校校园网的模式设计J;微机发展;1995年06期 13 张长安;校园计算机网络建设与图书馆自动化J;河北大学学报(自然科学版);1996年02期 14 张润敏;计算机校园网及其发展J;电化教育研究;1994年02期