网络设计

网络设计（精选8篇）

网络设计篇1

你的网络不可能不发生故障。因此, 从现实的角度来讲，你的设计应当考虑到故障的问题。然而, 网络设计总是要面临商业的利益考虑各种平衡：效率与成本、性能与可维护性等等。虽然说网络设计要尽量减少故障率，但是这种减少很可能与其它的限制相矛盾。对于这些问题没有简单的解决方案。然而，这里有几条建议对许多类型的网络都适用。

在设计网络时考虑故障问题需要对系统如何产生故障有一个全面的了解。因此，在开始讨论设计原理之前，有必要首先回顾一下系统故障类型。这里将以几种不同的故障类型开始。尽管这种概括可能有些简单化，但是已经足够用了。

简单故障：

也许最简单的故障类型就是单一位置的故障或者一个简单故障。这种故障，出问题的部分仅仅是你的网络上的一个组件不工作了。理论上讲，哪个设备出了问题是很明显的，但是通常这并不是问题的关键。在许多种情况下，许多个设备同时出现了故障。比如说，如果网络的唯一一台DNS服务器出现了电缆连接故障，服务器就会无法访问，DNS也无法解析，其它服务中的电子邮件也不能运行。实际上，故障只有一个，就是连接器。一旦这个位置进行了修复，所有的问题都立刻消失了，

互相无关联的多个故障：有时候你可能会面临同时出现或者差不多同时出现的多个故障。通常你会有一种多重故障的错觉，就像上面的例子中所提到的一样，是电缆出了问题。但是有时候确实是不止一个设备发生了故障。在互相无关联的故障当中，出现故障的时间几乎完全是巧合，故障之间并无联系。不幸的是，无关联故障可能很难解决，原因有三：第一，你必须意识到确实发生了多重故障；第二，区分几种故障现象可能会比较困难。最后，总想去寻找根本不存在的关联是人的天性。这种天性往往会误导你。

连续故障：

一种故障引发的其它故障被称为连续故障。在这种故障中，每个故障都需要单独处理。比如说，突然断电会破坏接口。为了使设备重新工作，你必须修复或更换电源和接口（建议首先更换电源）。区分真正的连续故障和单一故障影响其他设备这两种情况会比较困难。但是尽管这种区别对于你的用户来说并无差别，可是在故障诊断时却很重要。

系统故障：

网络设计篇2

控制网络系统是由控制网络结合相应控制策略和方法所形成的分布法所形成的分布式网络化控制系统, 也称网络化控制系统。狭义的控制网络系统是指在局部区域内现场的检测、控制、操作设备以及通信线路的集合, 用以实现设备之间的数据传输, 使该区域内不同地点的设备和用户实现资源共享和协调操作。广义控制网络系统既包括狭义的网络控制系统, 同时还包括通过企业内部信息网络甚至Interent实现的对全工厂、车间生产线直至现场设备的监控调度, 管理优化等。其特点基本为分布式的网络体系结构, 全数字化通讯, 模块化的功能设计, 节点间较强的耦合性, 网络通讯的强实时性, 低成本和恶劣环境的适应性, 网络的局域性, 系统的开放性和兼容性, 系统的可扩展性和易重构性。其优点的大概六个方面, 首先控制网络系统提高了控制系统的精度和可靠性;其次增强了系统信息集成能力, 有利于不同网络的互连集成;再者便于安装和维护;然后可以有效降低系统成本;再者可以作为实现各种复杂分布式或优化控制算法的应用平台;最后对于系统开发者和用户而言, 它都打破了技术垄断。

二、控制网络系统的整体设计方法分析

控制网络系统从整体上体现为一类复杂的分布式实时控制系统。在整体设计过程中需要考虑到系统性价比、扩展性以及维护性等因素。这便意味着控制网络系统的整体设计过程必须依据严格的工程化方法进行, 以降低系统实施中的技术风险。针对目前控制网络系统设计与建模中没有一种成熟设计方法和开发过程模式的现实情况, 所以基于QOS性能分析和UML形式化建模的控制网络系统整体设计方法, 该方法是对于控制网络系统整体设计和建模过程的一种有益探索与尝试。首先该方法是有三个子模型构成, 分别是控制子模型、网络子模型和结构实体子模型。控制和网络子模型是较高层次的、抽象化的功能模型, 它们分别描述了控制网络系统在控制与网络上的功能和服务特征。结构实体子模型可以形式化的直接刻画控制网络系统内在结构、连接和具体实现形式。控制功能与网络服务特性通过实体对象的不同属性和方法而体现, 进而由相应软硬件具体实现。其次, 该方法有机的将控制网络系统的性能分析同系统整体设计结合起来, 分阶段完成了控制算法、网络服务品质和系统结构的设计和开发。该设计方法对于进行控制网络系统等大型复杂工程的设计与开发, 具有较高实际应用价值。

三、控制网络系统中的网络互连分析

3.1不同专用协议控制网络系统之间的互连

尽管开放式系统是控制网络系统的发展趋势, 然而很多采用专用协议的控制网络系统仍在现实工程中广泛应用, 如各种传统的DCS系统等。对于受控对象范围有限、系统开放性和扩展性要求不高的应用场合, 这类控制系统仍具有经济上的合理性。对于这类网络互连网关实现了不同协议间数据帧格式的转换和传递;同时还可以按照一定寻址策略完成不同数据帧的路由选择。目前在控制网络系统中, 因为部分协议可能没有网络层结构, 所以在应用层转换更为常见。

3.2统一开放式协议控制网络系统之间的互连

相对而言系统采用相同开放式协议不需通过协议转换, 能够仅通过网桥和路由器就完成彼此网段之间的互联通讯, 实现了在数据链路层将数据帧存储转发;路由器则是在网络层转发数据。遵循同一种开放式总线或工业以太网协议的控制网络系统互连与扩展结构。

3.3利用计算机信息网络实现不同协议控制网络系统的互连

当网络规模很大、数据通讯量较多时, 信息的完整性和实时性就会受到网关或路由器内存容量、处理器运算能力等因素限制, 这时若通过计算机信息网络进行不同控制网络系统的互连和集成, 高传输速率和高性能网络设备可以一定程度保证信息的完整性和实时性, 同时还可实现更大范围的信息共享。

结束语:在当前和今后相当长一算时间内控制网络系统将面临总线与传统网络系统共存的局面。在控制网络系统设计时, 考虑如何实现系统中异构网段互连和集成是很现实的问题。只有不断的进行控制网络系统设计与网络互连分析, 才能不断创新, 才能走在信息时代的前列, 才能真正意义上取得时代性, 前瞻性的成就。网络创新才是未来网络发展的动力和源泉。

参考文献

[1]阳宪惠.工业数据通信与控制网络.北京:清华大学出版社, 2003

[2]顾洪军.工业企业网与现场总线技术及应用.北京:人民邮电出版社, 2002

教学系统设计网络课程设计研究篇3

关键词教学系统设计；网络课程；网络资源

中图分类号：G642.4 文献标识码：B 文章编号：1671-489X（2012）34-0034-01＼

网络课程就是通过网络表现的某门学科的教学内容及实施的教学活动的总和，它包括两个组成部分：按一定的教学目标、教学策略组织起来的教学内容和网络教学支撑环境。其中，网络教学支撑环境特指支持网络教学的软件工具、教学资源以及在网络教学平台上实施的教学活动。

1 教学设计

对于任何一门网络课程，首先必须进行教学设计，即依据前端分析及课程学习目标设计出相对应的教学策略和教学活动。教学系统设计是教育技术学专业的专业核心课程。学习者分析主要考虑三个方面，即学习者的一般特征、学习的起点水平、学习风格。教学内容分析主要是以教学目标为基础，旨在规定教学内容的范围、深度和揭示教学内容各组成部分的联系，以保证达到教学最优化的内容效度。除此还应完成教学内容的编排，通过上述学习者分析得出的结论对教学内容进行选择。选择教学内容绝对不是单单照搬照抄书本上的内容，而是通过进行一定的删减、增加和重新组织，将教学内容呈现给学习者。

教学策略与教学活动设计包括两部分。

1）自主学习策略的设计。本网络课程学习策略设计主要根据维果茨基的最邻近发展区理论，在网络课程中的每一个章节都呈现出各章的学习目标、学法指导和本章的知识地图，让学生根据目标和指导，有目的地去学习。设计的相关资源栏目，主要进行与本网络课程内容相关的网站链接，方便学生查阅相关资料，理解学习内容，扩大知识面。自主学习策略的设计遵循“确立学习目标——提供学习资源——学生自学——评价——总结——联系巩固”的过程。

2）协作学习策略的设计。根据建构主义学习理论的观点，“协作”“会话”是学习环节四大要素中的两大要素，协作学习环境创设的好坏将直接影响到学习者对知识意义的建构。本网络课程主要采用留言本的形式体现出协作学习的设计，使学习者通过交互来完成协作学习。

2 系统设计

根据教学系统设计课程的特点，其网络课程首页呈现课程简介、教学大纲、教学内容、课间休息、交流讨论、在线测试、相关资源、使用帮助等相关版块。学习导航采取列表导航，即在教学内容栏目中，将各个章节列举出来，学习者可以根据学习需要，进行选择性学习。交互设计采用留言本的交互方式，为学习者之間进行交流讨论提供一个很好的平台，学习者可以就各方面的问题进行交流讨论，同时教师还可以通过留言对学生提出的疑难问题做出解答，进行学习双向反馈。界面设计简单明了，功能模块易于操作，引导学习者参与学习。

3 技术实现

采用ASP+ACCESS数据库进行网站的设计。前台设计采用Photoshop图像处理软件和Dreamweaver结合，通过主页上的链接点击进入相应的功能模块，通过前台设计，确定后台设计和实现功能，进而对数据库进行设计。后台与数据库的设计是通过前台要实现的功能来确定的，主要有管理登录界面、管理首页、常规设置、文章管理、用户管理、文件管理、数据库管理、在线调查与留言管理。本设计中用到多个数据表，对后台设计中所用到的数据表主要有admin后台管理员信息表、bigclass大类信息表、info网站配置信息表、jasys系统日志表、news上传内容信息表、smallclass小类信息表。最后进行数据库的连接，并添加数据库连接出错的提示功能。

4 几点思考

网络课程设计要体现教学的一般规律，特别要强化教学设计；丰富自主学习资源，尤其是一些专业性非常强的学科，学习者就非常需要相关知识的电子图书馆式的资源库；重视反馈，需要课程提供大量的相关案例，使学习者在解决案例的过程中进行知识的再次建构；关注教师的负担，网络课程学习中的师生教学交互给教师带来的负担较传统教学要大许多，有时甚至会使教师力不从心、难以应付。

参考文献

[1]余胜泉.网络课程的设计与开发[EB/OL].教育技术通讯，202.112.88.32/show/ysq/net_course.htm.

[2]王汉松.布卢姆认知领域教育目标分类理论评析[J].南京师范大学学报：社会科学版，2000（3）：65-70.

网络设计方案篇4

xxxx年7月16日起，要求全国所有网络游戏都必须使用“网游防沉迷系统”。现在上网对于孩子来说已经是生活的一部分了。我们能真切感受到网络带来的益处，同时也深刻体会到它对孩子们心理健康成长的负面影响以及对传统道德规范的冲击。作为教师，我们必须肩负起正确引导孩子健康使用互联网，确保他们的身心健康成长的责任。要让我们的孩子养成良好的使用互联网资源的习惯，这个习惯的培养，会影响孩子的一生。

二、活动目的

1.了解一些常见的网络沉迷和犯罪症状及心理困惑，掌握一些健康使用互联网资源的方法。

2.注重疏导过程中的互动，提高学生自我心理修复的习惯和能力。

3.提高学生的信息伦理意识和信息素养，学会与人交流，感受解决心理障碍后的成功乐趣。

三、活动重难点

重点：了解网络沉迷和犯罪的症状，透析症状背后的心理成因；掌握一些健康使用互联网资源的方法，合理构建导向对策。

难点：诱导孩子坦诚交流沉迷时的心理状态。

四、活动形式

访谈互动式。

五、活动时间

40分钟。

六、适用年级

六年级。

七、准备用具

“互联网有约”背景道具；“六（1）的空间”，收集绿色网站空白表格；“博客家庭成员”签名表；活动课件；摄像机；照相机；录音笔。

八、活动实施过程

㈠创设互动情境，产生探究欲望

主持人：在座的哪些同学有QQ或者玩过在线网络游戏？

网络交友为什么吸引人？又有哪些危险？网络游戏为什么使人沉迷其中？

我们这期的“互联网有约”节目请来了两位嘉宾。通过他们的现身说法，来解开大家心中的疑惑。掌声有请两位“电脑迷”。（出示课件，进场音乐）

设计意图：模仿《鲁豫有约》的开场，以学生熟悉的生活素材和感兴趣的氛围导入。

㈡直面网络沉迷，透析症状诱因

1.令人沉迷的网络

①嘉宾的自述

主持人：先让我们来听听嘉宾的自述吧！

嘉宾一：我迷恋网络的原因很简单，因为孤独。爸妈工作都很忙，难得有个节假日又有许多应酬，根本没有时间和我交流。上网聊天让我结识了许多朋友，不再感到孤单，生活充实多了。当然，这也占用了我过多的时间和精力，特别是QQ，现在的学习成绩明显下降了。

嘉宾二：网上的东西也不可全信，有一次在网吧上网时，被人偷看了我的联系方式并进来和我聊天。我们聊得很投机，她说现在上中学，家境不好，母亲卧床不起，她说得很可怜，希望我能

给予帮助。我很同情，于是从爸妈那儿要来了一百多块钱，按她提供的地址给她寄了去。她QQ上说以后有钱一定还我。我很单纯，也没多想。可是自从钱寄出后再也没见到她上过QQ，我才明白自己被骗了。这件事我一直没说出来，怕爸妈责骂我。

嘉宾一：我还打网络游戏，这可是瞒着爸妈的。在网络这个虚拟的世界里无限畅游，时间过得飞快，神经高度紧张，大脑异常兴奋，而且游戏胜利了有一种成就感。下网后才觉得浪费了时间，但还是难以割舍对网络的依赖和迷恋。

设计意图：网络发展尚不成熟，有许多东西尚待规范，而学生无论是生理还是心理都不成熟。当两个不成熟的事物相遇时就不可避免地会产生诸多的矛盾。网络的神秘源于不了解，痴迷在于缺乏心理防范。

②观众提问

主持人：通过嘉宾的自述和大家的提问，让我们明白了这都和不正确的心理活动有关，尤其是孤独和寻求刺激的心理。因为不健康使用互联网，才会沉迷于互联网。

③观众倾诉经历

主持人：或许在座的很多小网友，也有这样的心理感触。利用今天这个机会，把你遇到过的种种困惑说出来。

2.无意识的网络违法

主持人：互联网给我们的学习带来了极大的便捷，但是很多同学都会在无意中有一些“不正当”的网络行为，下面让我们来看一段录像。

画面中的这些人为什么会有这样的行为呢？他们心里在想些什么？

在座的各位，你有过这样的行为吗？你当时心里是怎么想的？

设计意图：活生生的视频材料是触动孩子心理世界的良方。通过这些让孩子震撼的事实，触动原本侥幸的心理底线，为后期的疏导作好有效铺垫。

3.网络心理年龄测试

主持人：刚才画面中的行为我们在座的同学也有可能做过。做的时候都是存有侥幸的心理，正是这样的侥幸心理促使一些人走入网络犯罪的深渊。

让我们来做一个测试网络心理年龄的游戏。（发放网络心理年龄测试题）

设计意图：网络心理年龄测试摆脱单调乏味的重复，增强趣味性，引起学生的兴趣与注意，激发学生表现欲、探究欲。

4.阶段性小结

主持人：或许这样的答案都出乎大家的预料。你怎么也不会想到，正值快乐童年的你心理的年龄竟然是成年了。这都是不健康使用互联网造成的，它促使我们的心理年龄的早熟，过早使我们失去了快乐，增添了无谓的烦恼。

怎么办呢？关心我们健康成长的好心人都为我们担忧。搞计算机程序的叔叔阿姨给我们设计“网络防沉迷”系统，让我们一起来了解一下它吧。

设计意图：体现教学的整体性，渗透整体意识和目标意识，使学生对这节课“我们遇到了什么心理困惑”和“怎么样去疏导心理的困惑”两个问题非常明确。

㈢提炼网络资源，梳理导向对策

1.介绍“网络防沉迷”系统和健康游戏公告

①“网络防沉迷”系统

主持人：现在画面上出现的就是“网络防沉迷”系统的新闻视频。（出示课件，视频）

看了以后，有什么感触？

②健康游戏公告

主持人：有很多好心的网民也提出了健康游戏的公告，你知道吗？（出示课件，公告内容）

2.多分享，用好教育网站

主持人：其实，网络并非像我们现在说的那么可怕，关键是你抱着怎样的心态去使用。

有同学就准备了资料，来证明他的想法。（学生准备课件，利用课件做演说。）

设计意图：学生是解决自己问题的专家，是我们进行健康网络教育的共同体。同伴教育是一种比较适合学生自己解决问题的有效策略。

3.多动手，用好免费资源

①交流免费资源

主持人：哪些同学有自己的网站或博客？

你在使用过程中，感觉怎么样？需要费用吗？

是啊，互联网其实给我们提供了很多“免费的午餐”，利用这些免费资源，我们可以创建自己的健康网上家园。

现在是我们的互动时间，请大家将自己的宝贝网站和心得写在其他同伴的“空间”上，让更多的朋友来了解你，分享你的喜怒哀乐。当然，我也为大家准备了一张大大的“六（1）的空间”，你也可以写在那里。

（张贴，收集绿色网站空白表格）

②介绍踏雪的博客

主持人：blog.fcwx.net是学校为大家提供的网上家园阵地。“踏雪”就用它搭建了博客，很多在校的小朋友都浏览过她的博客，让我们通过网络来看看这个博客上都有些什么。

（课件，跳转到博客）

设计意图：将学生中的电脑高手组织起来，参加建设和管理自己的青少年教育网站，是学校健康教育网络的极好补充，又是引导孩子拥有健康心理的天然平台。

4.阶段性小结

主持人：通过大家的准备和交流，让我们重新认识了互联网，它还是有很多健康的资源，只要我们拥有健康的使用心态和习惯，它能给我们的学习和娱乐带来不少的快乐。同时，通过这些资源，也可以使那些曾经“迷路”的同学早日回到我们幸福的大家庭，和我们一样快乐地使用互联网。

㈣小结延伸

1.开博仪式暨签名活动

主持人：我一直想为班级建设一个网上家园，今天机会难得。“幸福一家人”博客今天诞生了。我们网上家园的健康成长，离不开大家的支持，请你在“博客家庭成员”中签上你神圣的留言和祝福吧！（出示，博客家庭成员空白表）

设计意图：利用开博作为这次活动的启动仪式，留下的决心和誓言是推动学生坚持的动力。

2.嘉宾小结

主持人：录制了这期节目后，两位嘉宾还有什么想对同年龄的少年朋友说？嘉宾：1.要深刻认识电脑游戏、上网聊天、网上交友、黄色信息的危害，很多学生都是因为沉迷于这些，而走上了犯罪的道路或是遇害的；2.我们要利用好网络资源。但因为我们是在校生，电脑只能作为一种学习辅助手段，所以在电脑的使用上要自觉严格控制时间。（录音笔录制音频，后期制作MP3）

我们会将两位的想法通过我们的博客告诉全校乃至全国的小学生网友。同时我们会将这期节目的录像做成视频，传到互联网上，可以使更多的小网友为我们今天的话题献计献策。

设计意图：嘉宾小结其实就是教师的小结，它不仅关注知识的回顾整理，而且是对三维目标的培养与发展方面的情况作全面的总结，为这次心理健康教育活动增添一份别样的人文底蕴。

3.延伸

主持人：这期的“互联网有约”节目又将结束。告诉大家一个好消息，《网络安全法律法规》已经逐步在完善。

最后，感谢两位嘉宾和众多小网友的参与，希望我们的期待早日成为现实。（课件，离场音乐）

设计意图：课外延伸是心理健康教育活动的一种必要的、有效的学习活动，通过课堂向课外的延伸，打通学生获得知识、应用知识的感性平台，提高了课堂的有效性。

校园网络设计方案篇5

第1章设计概述 2

1.1 现状分析 2

1.2 网络需求分析 2

1.3 信息点统计 3

第2章网络系统设计 3

2.1 设计思想 3

2.2 设计目标 4

2.3 网络三层架构设计 4

2.3.1 核心设备选型 4

2.3.2 汇聚设备选型 5

2.3.3 接入设备选型 5

2.4 网络总体规划 5

2.4.1 XX拓扑图 5

2.4.2 总体规划 5

2.5 IP地址及VLAN划分 6

2.6 网络安全管理 6

2.6.1 威胁网络安全因素分析 6

2.6.2 网络管理的内容 7

2.6.3 安全接入和配置 8

2.6.4 拒绝服务的防止 9

2.6.5 访问控制 9

第3章综合布线方案设计 10

3.1 综合布线的设计原则 10

3.2 结构化综合布线系统的组成及设计 11

3.2.1工作区子系统网络设计 12

3.2.2 配线子系统网络设计 13

3.2.3 干线子系统网络设计 13

3.2.4 设备间子系统网络设计 14

3.2.5 管理子系统网络设计 14

3.2.6 建筑群子系统其网络设计 15

第4章工程投资预算 16

4.1 网络设备清单 16

4.2 线缆清单 16

4.3 布线材料清单 16

4.4 人工费用 16

第5章结论 17

第1章设计概述

1.1 现状分析

校园网络建设的目的在于提供信息的传递速率和效率，在于使教师能更有效，更方便地教，学生能更主动，更积极地学，从而提升整个学校的现代化教育，教学水平。校园网是“数字化校园”的传输平台，一个可靠，高效，安全的网络是建设数字化校园的坚实基础。随着高校信息化的深度发展，学校的教学办公和管理等活动将越来越依赖校园网络。因此构建一个高效，实用，稳定可靠，安全的网络平台，是高校网络建设考虑的重点。

1.2 网络需求分析

校园网是学校进行教育教学、科研、各项管理工作和各类信息交流沟通的应用平台，是一个集成相关软件系统和硬件设备于一体的具有综合功能的宽带计算机局域网，为学校提供了一个日常教学、科研、管理和通讯的综合性网络应用环境。进入信息时代需要培养学生的一种重要能力就是获取信息和处理信息的能力，网络正是架起了一座交流和获取信息的桥梁。毋庸置疑，在21世纪，中国每一所学校都应该建立起自己的校园网。通过校园网将计算机应用于教学的各个环节，从而师生可以通过校园网络进行备课、教学、查阅资料、多媒体教学软件开发与演示、师生之间互相通信、浏览因特网等，所以它对于提高教学质量，推动教育现代化起着不可估量的作用。毫无疑问，校园网是学校提高管理水平、工作效率、改善教学质量的有力手段，是实现教育现代化的基本工具。

1.3 信息点统计

表1-1

建筑物名称	楼层	信息点（个）	总计（个）

第2章网络系统设计

2.1 设计思想

校园网总体设计方案的科学性，应该体现在能否满足以下基本要求方面：

（1）整体规划安排；

（2）先进性、开放性和标准化相结合；

（3）结构合理，便于维护；

（4）高效实用；

（5）能够实现快速信息交流、协同工作和形象展示。

2.2 设计目标

具体的设计目标是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连；系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。

2.3 网络三层架构设计

校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。

2.3.1 核心设备选型

通常将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供可靠的骨干传输结构，因此核心层交换机应拥有更高的性能和吞吐量。

2.3.2 汇聚设备选型

通常将位于接入层和核心层之间的部分称为分布层或汇聚层，汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能和更高的交换速率。

2.3.3 接入设备选型

通常将网络中直接面向用户连接或访问网络的部分称为接入层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。

2.4 网络总体规划

2.4.1 XX拓扑图

图 2-1

2.4.2 总体规划

表 2-1

总体规划
建筑物名称	楼层	信息点	具体描述	设备使用

2.5 IP地址及VLAN划分

表 2-2

IP、VLAN规划
建筑物名称	楼层	VLAN	IP	管理地址

2.6 网络安全管理

校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻击行为大概有40％左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。

2.6.1 威胁网络安全因素分析

计算机网络安全受到的威胁包括：

1.“黑客”的攻击；

2.计算机病毒；

3.拒绝服务攻击（Denial of Service Attack）。

安全威胁的类型：

1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。

2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。

3、破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。

4、干扰系统正常运行，破坏网络系统的可用性。指改变系统的正常运行方法，减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源，使有严格响应时间要求的服务不能及时得到响应。

5、病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等，其破坏性非常高，而且用户很难防范。

6、软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言。如Windows的安全漏洞便有很多。

7、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面，电磁辐射能够破坏网络中的数据和软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面，电磁泄漏可以导致信息泄露。

2.6.2 网络管理的内容

网络管理的内容有如下五个方面：

(1）网络故障管理；

(2)网络配置管理；

(3)网络性能管理；

(4)网络计费管理；

(5)网络安全管理。

2.6.3 安全接入和配置

安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供安全性。限制远程访问的安全设置方法如

表 2-3

访问方式	保证网络设备安全的方法	备注
Console控制接口的访问	设置密码和超时限制	建议超时限制设成5分钟
telnet访问	采用ACL限制，指定从特定的IP地址来进行telnet访问；配置Radius安全纪录方案；设置超时限制
SSH访问	激活SSH访问，从而允许操作员从网络的外部环境进行设备安全登陆
WEB管理访问	取消Web管理功能
SNMP访问	常规的SNMP访问是用ACL限制从特定的IP地址来进行SNMP访问；记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击	为增加安全，建议更改缺省的SNMP Commutiy子串
设置不同账号	通过设置不同的账号的访问权限，提高安全性

2.6.4 拒绝服务的防止

网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等；网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值，若多于这个临界值，则丢弃多余的TCP SYN数据包；防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值，避免成为一个Smurf攻击的转发者、受害者。

2.6.5 访问控制允许从内网访问internet，端口全开放。允许从公网到DMZ（非军事）区的访问请求：WEB服务器只开放80端口，mail服务器只开放25和110端口。

禁止从公网到内部区的访问请求，端口全关闭。允许从内网访问DMZ（非军事）区，端口全开放允许从DMZ（非军事）区访问internet，端口全开放禁止从DMZ（非军事）区访问内网，端口全关闭。

第3章综合布线方案设计

3.1 综合布线的设计原则

综合布线同传统的布线相比较，有着许多优越性，是传统布线所无法比及的。其特点主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性。而且在设计、施工和维护方面也给人们带来了许多方便。

兼容性：综合布线的首要特点是它的兼容性。所谓兼容性是指它自身是完全独立的而与应用系统相对无关，可以适用于多种应用系统。综合布线将语音、数据与监控设备的信号线经过统一规划和设计，采用相同的传输介质、信息插座、交连设备、适配器等，把这些不同信号综合到一套标准的布线中。由此可见，这个布线比传统布线大为简化，节省大量的物资、时间和空间。

开放性：该系统采用开放式体系结构，符合多种国际上现行的标准，它几乎对所有著名厂商的产品都是开放的，并支持所有通信协议。

灵活性：该系统采用标准的传输线缆和相关连接硬件，模快化设计，所有通道都是通用的，而且每条通道可支持终端、以太网工作站及令牌网工作站。所有设备的开通及更改均不需改变布线线路，组网也可灵活多变。

可靠性：该系统采用高品质的材料和组合压接的方式构成一套高标准的信息传输通道，所有线缆和相关连接件均通过ISO认证，每条通道都要采用专用仪器测试链路阻抗及衰减率，以保证其电气性能。应用系统全部采用点到点端接，任何一条链路故障均不影响其它链路的运行，从而保证了整个系统的可靠运行。

先进性：该系统采用光纤和双绞线混合布线方式，极为合理地构成一套完整的布线。所有布线均采用世界上最新通信标准，链路均按8芯双绞线配置。5类双绞线的数据最大传输率可达到155Mbps，对于特殊用户的需求可把光纤引到桌面。干线语音部分采用电缆，数据部分采用光缆，为同时传输多路实时多媒体信息提供足够的裕量。

经济性：虽然综合布线初期投资比较高，但由于综合布线将原来相互独立、互不兼容的若干种布线集中成为一套完整的布线体系，统一设计，统一施工，统一管理。这样可省去大量的重复劳动和设备占用，使布线周期大大缩短。另外，综合布线系统使用简单、方便，维护费用低，可以满足三维多媒体的传输和用户对ISDN（综合服务数字网）、ATM（异步传输模式）的需求。可见综合布线系统具有很高的性能价格比。

3.2 结构化综合布线系统的组成及设计

综合布线系统是一套开放式的布线系统，可以支持几乎所有的数据、话音设备及各种通信协议，同时，由于PDS充分考虑了通信技术的发展，设计时有足够的技术储备，能充分满足用户长期的需求，应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性，各种设备位置的改变，局域网的变化，不需重新布线，只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。（如图3-1）

图3-1

3.2.1工作区子系统网络设计

工作区子系统，是由RJ-45跳线与信息插座所连接的设备组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定，并预留适当数量的冗余。例如：对于一个办公区内的每个办公点可配置2～3个信息点，此外应为此办公区配置3～5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等。若此办公区为商务应用则信息点的带宽为100M可满足要求；若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。

工作区的终端设备（如：电话机、传真机）选用康宁公司FutureCom超五类双绞线直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。

3.2.2 配线子系统网络设计

配线子系统，是从工作区的信息插座开始到管理间子系统的配线架。选择配线子系统的线缆，要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推荐采用的双绞电缆及光纤型号为: 康宁公司FutureCom超五类或六类非屏蔽双绞线, FutureLink室内单模或多模光纤。

双绞线水平布线链路中，水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为配线子系统的线缆，可根据信息点类型的不同采用不同类型的电缆。该方案选择FutureCom超五类非屏蔽双绞线缆。

3.2.3 干线子系统网络设计

干线子系统，负责连接管理子系统到设备间子系统的子系统。干线子系统可以使用的线缆主要有：XXXX

垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道，使整个布线系统组成一个有机的整体。垂直干线子系统Topology结构采用分层星型拓扑结构，每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时，每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。

3.2.4 设备间子系统网络设计

设备间子系统，由电缆、连接器和相关支撑硬件组成。采用BIX跳接式配线架，连接交换机；采用光纤终结架连接主机及网络设备。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在较大型的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房放在离设备间不远的位置。

设备间子系统是一个集中化设备区，连接系统公共设备，如局域网(LAN)、主机、建筑自动化和保安系统，及通过垂直干线子系统连接至管理子系统。

3.2.5 管理子系统网络设计

管理子系统，由交连、互连和I/O组成。管理是针对设备间、电信间和工作区的配线设备、缆线等设施，按-定的模式进行标识和记录的规定。跳线采用超5类非屏蔽双绞线，RJ45接头。管理间是楼层的配线间，管理子系统为其他子系统互连提供手段，它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。康宁公司的LANscape综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。

3.2.6 建筑群子系统其网络设计

建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段，也可采用微波通信、无线电通信的手段。传输介质采用室外六芯多模光纤。

建筑群子系统介质选择原则：楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点：包括路由起点、终点；线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。

第4章工程投资预算

4.1 网络设备清单

表 4-1

设备名称（型号）	设备单价	数量	金额

共计

4.2 线缆清单

表 4-2

线缆名称（规格）	单价	数量	金额

共计

4.3 布线材料清单

表4-3

材料名称（规格）	单价	数量	金额
PVC线槽		X*10%
信息模块		X*20%
信息面板		X*20%
辅材
共计

注：对PVC线槽、信息模块、信息面板做冗余，辅材是在布线过程中所用到的螺丝、线扎、钉子等。

4.4 人工费用

表 4-4

项目名称	人数	工资	金额

总计

第5章结论

《网络词典》教学设计篇6

《小学信息技术新课程标准》中已经提出：小学生应掌握获取信息、传输信息、处理信息和应用信息的能力，从而培养良好的信息技术素养。在互联网风行全世界的现代社会，学会从互联网上获取需要的信息已经成为现代人学习的主要手段。人们在家里足不出户就可以通过搜索引擎在茫茫的知识海洋中筛选、提练出需要的信息。小学生也不例外，互联网就像一位无所不知、从不厌烦的好老师。这节课是学生学会使用搜索引擎后的一节拓展课，既可以巩固“搜索引擎”搜索知识，又能把网络应用具体化。

教学课题：网络词典课时：1课时教材分析：

信息的获取是信息技术的基础，是信息技术应用的重要环节，而搜索引擎是查找信息、获取信息的最常用、最有效的手段，是我们掌握信息技术的关键。通过本节课的学习让学生了解网络对促进人类社会发展的影响，促进学生对网络资源的积极利用。

教学方法：

根据任务驱动的原则，组织学生自主实践，合作探究。在实践中学会使用搜索引擎进行资料信息的获取，从而培养学生获取信息以及对所获取信息的鉴别与评价能力。

在教学过程中主要采取激趣、自学、发现、比较等方法，充分调动学生的学习积极性，积极动手操作，真正成为学习的主体。教师逐步引导学生学习、探究、实践，培养学生良好的学习方法和学习意识以及学生的组织能力。

教学目标：

【知识与技能】学会根据需要，在网上查找词典的方法；学会网络词典的使用方法。【情感态度价值观】通过利用网络词典解决实际生活、学习中遇到的各种问题，体会网络词典的优越性，并逐步形成利用网络帮助自己生活、学习的意识。

教学重难点：

重点：本课的教学重点是让学生学会使用网络词典查找生词生字。难点：本课的难点是“关键字”。关键词的提取是否正确，是决定搜索是否成功的关键。认知程度不同，尤其是语文水平的差异，将对学生产生明显的影响。

教学准备：

（1）常用网络词典的网址（2）一些生字、词作为练习题教学过程：

1、游戏导入

师：同学们，今天的信息课上，老师想要和大家玩一玩文字游戏，大家有兴趣吗？生：感兴趣师：（出示题目“海阔天空”）同学们，这是一个成语，下面我们就来玩一下成语接龙的游戏，在5分钟内看谁接的最多！

生：“空穴来风风土人情情有可原原封不动动荡不安安步当车车水马龙龙腾虎跃跃然纸上上窜下跳。”（在某个成语之后对不出来）

2、复习师：同学们的成语知识都非常的丰富，那么同学们认为还有更好的方法再帮我们继续完成“成语接龙”的游戏呢？

生：多看书、利用网络等

师：嗯，同学们，其实在信息课上我们可以利用电脑以及网络来帮助我们，经过前面的学习我们对网络已经不再那么陌生了，我们同样可以利用网络搜索的方法来帮助我们，现在请同学们用已学的知识，发挥自己的创意，看看谁能够通过网络尽可能多的完成下面的成语接龙：“全心全意”（巡视、指导）

生：（操作、上网搜索）生：（通过搜索引擎找出很多关联成语，顺利通过游戏）师：刚才同学们通过网络更好的完成了成语接龙游戏，但老师发现有些同学的效率非常高，为什么？

生：打字速度快、搜索关键字很准确

师：除了打字速度快以外，搜索时的技巧同样很重要，就请同学们说说自己的搜索关键字和结果,咱们来看看谁的更科学（挑选几名特例学生,引导学生反馈、对比搜索关键字及搜索结果，使其了解精炼关键字的重要性）

生：（列表关键字，并交流自己的搜索结果，相互比较，说出优缺点）

师:看来大家都明白精炼关键字的重要性及方法了,那么我们就来练习一下,看谁能找出“同甘共苦”这个成语有什么典故？

生：（操作练习）

讲述“同甘共苦”的故事

3、新授：

师：其实除了搜索引擎以外，我们网上还有专门查字典的地方，那就是“网络词典”,告诉大家成语接龙难不倒老师，因为我会使用网络词典，现在就让大家看一下我是怎么玩成语接龙的吧（板书：网络词典）

师:出示网址、演示

成语词典: http://.com/ 英语词典: http:///

那么老师想知道“词典”这个词语用英文怎么拼写呢？谁能帮老师查查看？生：操作，优生得出答案“Dictionary”

师:真厉害,这么快就查到了,就请你到前面来为大家演示一下你的查询方法。生：(观看优生演示)师：出示练习题生：(操作练习)

4、总结

师:一节课的时间很快就要过去了,现在就请大家谈一谈这节课你都收获到了什么?（交流总结）

生:会使用网络词典来玩成语接龙;会到网络词典中搜索英文单词;今后在学习中遇到生字、生词可以求助于网络词典等。

师：同学们，这节课我们学习的网络词典，希望大家在今后的学习生活中能够灵活运用。

教学反思：

本节课的重点分析有如下几点：一是游戏导入部分，设置一定的游戏情境，激发学生的求知欲，是这节课成功的关键点。其二，学生的参与，为能按时完成教学任务奠定了基础，同时，也正体现了建构主义的教师为主导，学生为主体的教学思想。其三，研究性学习方法，是在新型教学理念指导下的教学方法。

在本节课在教学设计中，力求实现新课程标准的教学理念，突出学生的主体地位，教师在整个教学中起着引导的作用。学生自主学习，合作交流，主动探究贯穿整个教学过程。每个知识点都以任务的形式让学生自主探索，使不同知识结构的学生都能根据自己的需要完成学习任务，掌握本节课的各个知识点。充分利用网络教学平台，体现自主探究的核心。

网络加密通信设计篇7

保密机主要实现身份认证、地址管控、数据加密三大功能, 从而较好保证了数据的安全传输。保密机去掉之后, 身份认证、地址管控、数据加密的功能是广域网数据传输的隐患。

ACL通过这些规则对数据包进行分类, 这些规则应用到路由设备接口上, 路由设备根据这些规则判断哪些数据包可以接收, 哪些数据包需要拒绝。

CHAP认证是网络设备认证的一种方式, 只有通过认证的网络设备之间才可以相互通信。CHAP认证方式使用密文口令很好地保障了网络设备认证的安全性。

IPSEC利用隧道技术, 在骨干网建立专用数据传输通道, 并对数据进行加密, 从而实现报文的安全传输。

本文结合ACL、CHAP认证、IPSEC技术设计一种方法以达到暂时替代保密机的目的。

1 地址服务管控

路由设备为了过滤数据包, 需要配置一系列的规则, 以决定什么样的数据包能够通过, 这些规则就是通过访问控制列表ACL (Access Control List) 定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则, 这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类, 这些规则应用到路由设备接口上, 路由设备根据这些规则判断哪些数据包可以接收, 哪些数据包需要拒绝。

访问控制列表可以分为以下几种类型:

(1) 基本访问控制列表主要基于源地址对数据包进行分类定义。

(2) 高级访问控制列表可以基于源地址、目的地址、源端口号、目的端口号、协议类型等对数据包进行更为细致的分类定义。

(3) 基于接口的访问控制列表可以根据具体的接口对数据包进行分类定义。

(4) 基于以太网帧头的访问控制列表基于源MAC地址、目的MAC地址等对数据包进行更为细致的分类定义。

(5) 用户访问控制列表可以根据不同的用户组来对数据包进行更为细致的分类定义。

rule规则中, 默认对流进行deny操作。因此, 只要对之前的流配置了rule规则, 要让后配置的流通过, 必须对后配置的流进行permit操作。

RouterA、RouterB、RouterC连接如图1所示, RouterB连接30.92.0.0/16网段, RouterC连接30.99.0.0/16网段。

RouterA只允许30.99.21.66与30.92.11.66访问, 则配置如下所示。

2 配置CHAP双向验证

CHAP认证方式使用密文口令。被验证方的用户名和密码可以通过AAA模式加入验证方的本地用户列表。

主验证方首先发送自己的主机名和随机报文, 被验证方接收主验证方发送的报文通过hash算法得出一个数值A, 被认证方发送自己的主机名和由数值A得出的加密报文,

主验证方接收被验证方发送的报文并通过hash算法得出一个数值B, 并和自己产生的对比, 如果数值B能够通过自己的hash函数, 则表示通过验证, 如果不能够通过自己的hash函数, 则表示没有通过验证。路由器RouterA和路由器RouterB用CHAP方式进行双向验证实现路由器的配对使用。

3 IPsec数据加密

首先启用IPsec的设备之间进行Ike密钥协商, 通过协商确定加密算法、密钥等, 正是通过这种协商保障了每次通信的密钥不同, 从而很好的保障了数据的安全传输;其次设备根据Ike协商的结果和IPsec的策略对数据进行加密;最后数据根据已经建立的隧道进行传输。

PC1接在center路由器 , 处于192.168.1.0/24网段, PC2接在branch1路由器 , 处于192.168.2.0/24网段, center路由器与branch1路由器通过广域网进行连接。我们这里使用ipsec的方式实现PC1和PC2的加密通信。如图4所示建立隧道Tunnel0 (10.0.0.1/30—10.0.0.2/30) 建立一个虚拟专用通道。实现PC1和PC2的加密通信, 需对center路由器、branch1路由器进行如下配置。

4 使用模拟软件进行验证

如图5所示, router 8、router 9和router 10构建了广域网, PC0接在router 10, 处于192.168.1.0/24网段, PC1、PC2接在router 9, 处于192.168.2.0/24网段, PC4、PC5接在router 9, 处于192.168.3.0/24网段, 图中的交换机都工作在第二层。

这里主要验证以下内容:

(1) 在router 9上配置ACL禁止PC1访问其他网络, 在router8配置ACL禁止PC4 telnet router8。

(2) 在router8与router10之间启用CHAP认证, 验证CHAP认真的配对使用情况。

(3) 在router8与router10之间使用IPsec, 验证启用IPsec后连通性。

在router8与router10之间启用IPsec、ACL和CHAP认证来搭建加密系统。

在router8和router10上配置IPsec, 通过在PC3 ping PC0是否可通能够验证IPsec是否配置成功, 由图可知PC3能够ping通PC0, 从而验证了加密通信配置正确。

5 总结

本文首先分析了ACL、CHAP、IPsec技术的原理, 并给出了基本的配置方法, 最后通过搭建模拟系统来实现数据的加密通信。

参考文献

[1]Steve McQuerry, David Jansen, Dave Hucaby.Cisco LANSwitching Configuration Handbook[M].Cisco Press, 2009.

[2]Dave Hucaby, Steve McQuerry, Andrew Whitaker.CiscoRouter Configuration Handbook[M].Cisco Press, 2009.

网络设计篇8

关键词校园网基本网络搭建网络安全设计

中图分类号：TP393 文献标识码：A

以Internet为代表的信息化浪潮席卷全球，信息网络技术的应用日益普及和深入，伴随着网络技术的高速发展，各种各样的安全问题也相继出现，校园网被“黑”或被病毒破坏的事件屡有发生，造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

1基本网络的搭建

由于校园网网络特性（数据流量大，稳定性强，经济性和扩充性）和各个部门的要求（制作部门和办公部门间的访问控制），我们采用下列方案：

（1）网络拓扑结构选择：网络采用星型拓扑结构。它是目前使用最多，最为普遍的局域网拓扑结构。节点具有高度的独立性，并且适合在中央位置放置网络诊断设备。

（2）组网技术选择：目前，常用的主干网的组网技术有快速以太网（100Mbps）、FDDI、千兆以太网（1000Mbps）和ATM（155Mbps/622Mbps）。快速以太网是一种非常成熟的组网技术，它的造价很低，性能价格比很高；FDDI也是一种成熟的组网技术，但技术复杂、造价高，难以升级；ATM技术成熟，是多媒体应用系统的理想网络平台，但它的网络带宽的实际利用率很低；目前千兆以太网已成为一种成熟的组网技术，造价低于ATM网，它的有效带宽比622Mbps的ATM还高。因此，个人推荐采用千兆以太网为骨干，快速以太网交换到桌面组建计算机播控网络。

2网络安全设计

（1）物理安全设计

为保证校园网信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

（2）网络共享资源和数据信息安全设计

针对这个问题，我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN（Virtual LocalArea Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。从目前来看，根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。

但是，这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。

（3）计算机病毒、黑客以及电子邮件应用风险防控设计

我们采用防病毒技术，防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一，防病毒技术。病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的变化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTERNET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害，同时为了建立一个集中有效地病毒控制机制，需要应用基于网络的防病毒技术。这些技术包括：基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如，我们准备在主机上统一安装网络防病毒产品套间，并在计算机信息网络中设置防病毒中央控制台，从控制台给所有的网络用户进行防病毒软件的分发，从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后，不但可以做到主机防范病毒，同时通过主机传递的文件也可以避免被病毒侵害，这样就可以建立集中有效地防病毒控制系统，从而保证计算机网络信息安全。形成的整体拓扑图。

第二，防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备，专门用于TCP/IP体系的网络层提供鉴别，访问控制，安全审计，网络地址转换（NAT），IDS，VPN，应用代理等功能，保护内部局域网安全接入INTERNET或者公共网络，解决内部计算机信息网络出入口的安全问题。

校园网的一些信息不能公布于众，因此必须对这些信息进行严格的保护和保密，所以要加强外部人员对校园网网络的访问管理，杜绝敏感信息的泄漏。通过防火墙，严格控制外来用户对校园网网络的访问，对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护，包括：过滤掉不安全的服务和非法访问，控制对特殊站点的访问，提供监视INTERNET安全和预警，系统认证，利用日志功能进行访问情况分析等。通过防火墙，基本可以保证到达内部的访问都是安全的可以有效防止非法访问，保护重要主机上的数据，提高网络完全性。校园网网络结构分为各部门局域网（内部安全子网）和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。

内部安全子网连接整个内部使用的计算机，包括各个VLAN及内部服务器，该网段对外部分开，禁止外部非法入侵和攻击，并控制合法的对外访问，实现内部子网的安全。共享安全子网连接对外提供的WEB，EMAIL，FTP等服务的计算机和服务器，通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器，隐藏服务器的其它服务，减少系统漏洞。

参考文献

[1] Andrew S. Tanenbaum. 计算机网络（第4版）[M].北京：清华大学出版社，2008.8.

[2] 袁津生，吴砚农.计算机网络安全基础[M]. 北京：人民邮电出版社，2006.7.

[3] 中国IT实验室.VLAN及VPN技术[J/OL]. 2009.

【网络设计】推荐阅读：