機房網路安全設計

Ⅰ 什麼是網路安全，常用的安全措施有那些求答案！急！

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。 網路安全包含網路設備安全、網路信息安全、網路軟體安全。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
網路安全解決方案分析我們的網路對安全性有極高的要求，網路中的關鍵應用和關鍵數據越來越多，如何保障關鍵業務數據的安全性成為網路運維中非常關鍵的工作。
物理安全
網路的物理安全是整個網路系統安全的前提。在校園網工程建設中，由於網路系統屬於弱電工程，耐壓值很低。因此，在網路工程的設計和施工中，必須優先考慮保護人和網路設備不受電、火災和雷擊的侵害；考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統，防雷系統不僅考慮建築物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有，地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬體；雙機多冗餘的設計；機房環境及報警系統、安全意識等，因此要注意這些安全隱患，同時還要盡量避免網路的物理安全風險。
網路結構
網路拓撲結構設計也直接影響到網路系統的安全性。假如在外部和內部網路進行通信時，內部網路的機器安全就會受到威脅，同時也影響在同一網路上的許多其他系統。透過網路傳播，還會影響到連上Internet/Intranet的其他的網路；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時有必要將公開伺服器（WEB、DNS、EMAIL等）和外網及內部其它業務網路進行必要的隔離，避免網路結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。
系統的安全
所謂系統的安全是指整個網路操作系統和網路硬體平台是否可靠且值得信任。恐怕沒有絕對安全的操作系統可以選擇，無論是Microsoft 的Windows NT或者其它任何商用UNIX操作系統，其開發廠商必然有其Back-Door。因此，我們可以得出如下結論：沒有完全安全的操作系統。不同的用戶應從不同的方面對其網路作詳盡的分析，選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬體平台，並對操作系統進行安全配置。而且，必須加強登錄過程的認證（特別是在到達伺服器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。
應用系統
應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。
——應用系統的安全是動態的、不斷變化的。
應用的安全涉及方面很多，以Internet上應用最為廣泛的E-mail系統來說，其解決方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷發展且應用類型是不斷增加的。在應用系統的安全性上，主要考慮盡可能建立安全的系統平台，而且通過專業的安全工具不斷發現漏洞，修補漏洞，提高系統的安全性。
——應用的安全性涉及到信息、數據的安全性。
信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統的可用性等。在某些網路系統中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴重的。因此，對用戶使用計算機必須進行身份認證，對於重要信息的通訊必須授權，傳輸必須加密。採用多層次的訪問控制與許可權控制手段，實現對數據的安全保護；採用加密技術，保證網上傳輸的信息（包括管理員口令與帳戶、上傳信息等）的機密性與完整性。
管理風險
管理是網路中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網路出現攻擊行為或網路受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。
建立全新網路安全機制，必須深刻理解網路並能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網路的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網路便成為了首要任務。一旦上述的安全隱患成為事實，所造成的對整個網路的損失都是難以估計的。因此，網路的安全建設是校園網建設過程中重要的一環。
安全技術手段
物理措施：例如，保護網路關鍵設備(如交換機、大型計算機等)，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。
訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權等等。
數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。
網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離，網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全，進行網路安全建設，第一步首先要全面了解系統，評估系統安全性，認識到自己的風險所在，從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具，徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定，並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的，很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況，包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素，因為在選擇IDC時你自己會作出決策。
在這里著重強調的是，有些機房提供專門的機櫃存放伺服器，而有些機房只提供機架。所謂機櫃，就是類似於家裡的櫥櫃那樣的鐵櫃子，前後有門，裡面有放伺服器的拖架和電源、風扇等，伺服器放進去後即把門鎖上，只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子，開放式的，伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別，顯而易見，放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上，那就意味著，任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體，還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房，那麼你可以這樣做：
（1)將電源用膠帶綁定在插槽上，這樣避免別人無意中碰動你的電源；
（2)安裝完系統後，重啟伺服器，在重啟的過程中把鍵盤和滑鼠拔掉，這樣在系統啟動後，普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
（3)跟機房值班人員搞好關系，不要得罪機房裡其他公司的維護人員。這樣做後，你的伺服器至少會安全一些。

Ⅱ 急！網路

企業網路工程解決方案

本方案是一個典型的大型企業網路工程解決方案，實際工程可以根據需要和可能，參照此方案靈活應用。
一、企業網路設計
（1）主幹網設計
採用千兆乙太網技術。千兆乙太網技術特點是具有高速數據傳輸帶寬，基本能滿足高速交換及多媒體對服務質量的要求。易於網路升級、易於維護、易於管理，具有良好的價格比。
傳輸介質。千兆傳輸距離500m以內採用50/125多模光纜；千兆傳輸距離大於500m、小於5000m時採用9/125單模光纜；百兆傳輸距離2000m以內採用50/125多模光纜；百兆傳輸距離大於2000m採用9/125單模光纜。
交換機。主幹交換機的基本要求：機箱式結構，便於擴展；支持多種網路方式，如快速乙太網、千兆乙太網等；高性能，高背板帶寬及中心交換吞吐量；支持第二、第三交換，支持各種IP應用；高可靠性設計，如多電源/管理模塊、熱插拔；豐富的可管理能力等。
中心機房配置企業級交換機作為網路中心交換機。為實現網路動態管理和虛擬區域網，在中心交換機上配置第三層交換模塊和網路監控模塊。主幹各結點採用1000Mbps連接，伺服器採用雙網卡鏈路聚合200Mbps連接，客戶採用交換式10/1000Mbps連接。
（2）樓宇內區域網設計
要求採用支持802.1Q的10/100Mbps工作組乙太網交換機，交換機的數據依據用戶埠數、可靠性及網管要求配置網路接入交換機，使10/100Mbps流量接至桌面。
（3）接入Internet設計
Internet接入系統由位於網路中心的非軍事區（DMZ）交換機、WWW服務、E-mail服務、防火牆、路由器、Internet光纖接入組成。
（4）虛擬區域網VLAN設計
通過VLAN將相同業務的用戶劃分在一個邏輯子網內，既可以防止不同業務的用戶非法監聽保密信息、又可隔離廣播風暴。不同子網的通信採用三層路由交換完成。
各工作組交換機採用基於埠的VLAN劃分策略，劃分出多個不同的VLAN組，分隔廣播域。每個VLAN是一個子網，由子網中信息點的數量確定子網的大小。
同樣在千兆/百兆乙太網上聯埠上設置802.1Q協議，設置通信幹道(Truck)，將每個VLAN的數據流量添加標記，轉發到主幹交換機上實現網路多層交換。
（5）虛擬專用網VPN設計
如果公司跨地區經營，自己鋪設專線不劃算，可以通過Internet採用VPN數據加密技術，構成企業內部虛擬專用網。
（6）網路拓撲結構。這部分待續
二、網路安全性設計
網路系統的可靠與安全問題：
a. 物理信息安全，主要防止物理通路的損壞和對物理通路的攻擊（干擾等）。
b. 鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽。主要採用劃分VLAN、加密通信等手段。
c. 網路層的安全需要保證網路只給授權的客戶使用授權的服務，保證網路路由正確，避免被攔截或監聽。
d. 操作系統安全要求保證客戶資料、操作系統訪問控制的安全，同時能夠對該操作系統上的應用進行審計。
e. 應用平台的安全要求保證應用軟體服務，如資料庫服務、電子郵件伺服器、Web伺服器、ERP伺服器的安全。
（1）物理安全
機房要上鎖，出入人員要嚴加限制。注意不可讓人從天花板、窗戶進入房間。
機房電力要充足、製冷要合適，環境要清潔。
從工作站到配線櫃的配線應該布在偷聽設備接觸不到的地方。配線不應該直接布在地板或天花板上，而應該隱藏在線槽或其他管道里。
應該包括諸如火災、水災等自然災害後的恢復流程。如美國911世貿中心崩塌，大多數公司的數據得不到恢復。
（2）防火牆
防火牆應具管理簡單、功能先進等特點，並且能夠保證對所有系統實施「防彈」保護。 一個優秀的防火牆具有內網保護、靈活的部署、非軍事區（DMZ）范圍的保護、TCP狀態提醒、包過濾技術、TCP/IP堆棧保護、網路地址翻譯、VPN等功能。
（3）網路病毒
在網路中心主機安裝一台網路病毒控制中心伺服器，該伺服器既要與Internet相連，又要與企業內網相連。該伺服器通過Internet每每更病毒代碼及相關文件，企業內部網路中的伺服器、客戶時刻處於網路病毒控制中心服務的監控下，更新本機的病毒代碼庫及相文件，對計算機的所有文件和內存實施動態、實時、定時等多種病毒防殺策略，以確保網路系統安全。
（4）網路容錯
集群技術。一個伺服器集群包含多台擁有共享數據存儲空間的伺服器，各伺服器之間通過內部區域網進行相互通信。當其中一台伺服器發生故障時，它所運行的應用程序將由其他的伺服器自動接管。在大多數情況下，集群中所有的計算機都擁有一個共同的名稱，集群系統內任意一台伺服器都可被所有的網路用戶所使用。
（5）安全備份與災難恢復
企業信息管理最重要的資產不是網路硬體，而是網路運行的數據。
理想的備份系統是在軟體備份的基礎上增加硬體容錯系統，使網路更加安全可靠。實際上，備份不僅僅是文件備份，而是整個網路的一套備份體系。備份應包括文件備份和恢復，資料庫備份和恢復、系統災難恢復和備份任務管理。
（6）網路入侵檢測、報警、審計技術
入侵檢測系統（IDS-Intrusin Detection System）執行的主要任務包括：監視、分析用戶及系統活動；審計系統構造和弱點；識別、反映已知進攻的活動模式，向相關人士報警；統計分析異常行為模式；評估重要系統和數據文件的完整性；審計、跟蹤管理操作系統，識別用戶違反安全策略的行為。
常見的IDS產品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網安、東軟的網眼等。
（7）區域網信息的安全保護技術
密碼採用9位以上，每周修改1次
採用多層交換網路的虛擬網劃分技術，防止在內部網監聽數據
採用NTFS磁碟分區加密技術，使網上鄰居只能是信任用戶
採用Windows域控制技術，對網路資源實行統一管理
採用SAN（Storage Area Network存儲區域網路）與NAS（Network Attached Storage網路連接存儲）保護數據。
SAN技術允許將獨立的存儲設備連接至一台或多台伺服器，專用於伺服器，而伺服器則控制了網路其他部分對它的訪問。
NAS將存儲設備直接連接至網路，使網路中的用戶和網路伺服器可以共享此設備，網路對存儲設備的訪問則由文件管理器這一類設備進行管理。
利用SAN結合集群技術提高系統可靠性、可擴充性和抗災難性；利用NAS文件服務統一存放管理全公司桌面系統數據。
（8）網路代理
採用Proxy對訪問Internet實行統一監控。限制用戶訪問的時間、訪問的內容、訪問的網址、訪問的協議等等，同時對用戶的訪問進行審計。
（9）郵件過濾技術。
採用具有過濾技術郵件管理系統，一般是針對「主題詞」、「關鍵字」、「地址（IP、域名）」等信息過濾，防止非法信息的侵入。
（10）重視網路安全的教育，提高安全意識。
三、綜合布線與機房設計
1. 把伺服器、UPS、防火牆、路由器及中心交換機放置在中心機房，把各子系統的配線櫃設置在各子系統所在的樓層。
2. 樓宇間光纜敷設
採用4芯以上的單模或多模室外金屬光纜架空或埋地敷設。
3. 樓宇內UTP布線
採用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實現垂直系統、水平子系統、工作區的布線。
4. 機房裝修
（1）地板。鋪設抗靜電三防地板，規格600*600*27，板面標高0.20m，地板應符合GB6650-82《計算機機房用活動地板技術條件》
（2）吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
（3）牆面。塗刮防防瓷、牆壁面刷乳膠漆。
（4）窗戶。加裝塑鋼推拉窗、木製窗簾盒、亞麻豎百葉窗簾。
（5）出入門。安裝鋁合金玻璃隔斷推拉門。
（6）照明。採用高效格柵雙管日光燈嵌入安裝。
（7）配電。機房配電採用三相五線制，多種電源（動力三相380V、普通220V和UPS輸出220V）配電箱。為UPS、空調機、照明等供電。配電箱設有空氣開關，線路全部用銅芯穿PVC管。
（8）接地。根據要求設計接地系統，其直流接地電阻小於1Ω、工作保護地和防雷地接地電阻小於4Ω。為保證優良的接地性能，採用JD—1型接地和化學降阻劑，此外，考慮機房抗靜電的需求，對抗靜電活動地板進行可靠的接地處理，以保證設備和工作人員的安全要求。
（9）空調。主機房3P櫃機；分機房1.5壁掛式空調機。
5. UPS後備電源。
採用分散保護，集中管理電源的策略，考慮APC公司提供的電源解決方案。
四、企業網應用系統
1. 應用伺服器。IBM伺服器首選，當然，也可以採用高檔PC機，PC機的優點是便於更新換代。
2. 軟體平台。採用Windows 2003（主要使用Domain域控制器,集成DNS服務），Redhat 9.0，Solaris 9.0（在unix/linux上運行Oracle資料庫，SAP/R3系統，基於Lotus Domino/Notes的OA系統）
3. 資料庫系統。採用Oracle大型資料庫，或SQL Server2000資料庫。
4. OA辦公系統。基於Lotus Domino/Notes的OA系統，Lotus Domino集成Email/HTTP等服務。
5. 企業管理綜合軟體ERP。採用SAP/R3系統，一步解決未來企業國際化問題；或是用友ERP—U8系統。
6. 網路存儲系統。
五、網路系統管理
1.交換機、路由器管理。設備均是Cisco產品，使用Cisco Works 2000。
2.網路綜合管理。HP OpenView集成網路管理和系統管理。OpenView 實現了網路運作從被動無序到主動控制的過渡，使IT部門及時了解整個網路當前的真實狀況，實現主動控制。OpenView系統產品包括了統一管理平台、全面的服務和資產管理、網路安全、服務質量保障、故障自動監測和處理、設備搜索、網路存儲、智能代理、Internet環境的開放式服務等豐富的功能特性。
3.桌面系統管理。
這是一個網上我搜索到的
！
有沒有經驗啦~~
自己能不能獨立完成啦~~~
做過項目嗎~~~~
網路設備啦~~~~
網路產品啦~~~

不知道是不是隨便說說`~~~~~~~~~~

這是某人10月初的一個面試題目，售後職位：高級網路工程師。面試官是三位CCIE，面試過程歷時2個多小時，印象非常深刻。現在這個offer基本已經確定了，事主還在考慮諸如待遇及工作壓力等情況再決定是否接這個offer.事主亦在其blog上張貼了面試題目，我故亦斗膽將其貼出。

1. 現在的6509及7609，SUP720交換帶寬去到720G，是不是可以說7609/6509可以取代一部分GSR的地位？

2. isis level1 的路由表包括哪此路由？有多個level-1-2出口時，其它路由它從哪裡學到，如何選路？

3. MPLS L3 VPN，如果我想讓兩個不同的VPN作單向互訪，怎做？

4. 跨域的MPLS L3 VPN可以談談思路嗎？

5. MPLS L3 VPN的一個用戶，他有上internet的需求，如何實現？有幾種實現方法？特點各是什麼？

6. MPLS L3 VPN，如果我想讓兩個不同的VPN作單向互訪，怎做？

7. L3 VPN與L2 VPN各自的特點是怎樣？你覺得哪一種模式運營起來比較有前景？

8. ISIS與OSPF的區別談一談吧，各個方面。

9. 一個骨幹網或城域網選ISIS及OSPF基於什麼理由？

10. BGP選路原則常用是哪些？在骨幹網與城域網間如何搭配一塊使用？

11. 如果BGP加上max path，會在哪個BGP選路屬性之前應用這個選項？

12. 為什麼骨幹網pop及城域網出口要作next-hop-self？

13. 兩個AS之間，有四台路由器口字型互聯，其中一台路由器上從EBGP學到一個網路，又從IBGP學到同一個網路，選路哪個？是哪個屬性影響？如果我在IBGP過來那個加上MED小於從EBGP過來的，又選哪個？為什麼？

14. local-pre與weight的區別是什麼？

15. BGP能不能實現負載均衡？如果可以，有哪些方法？

16. 多個AS之間，可不可以比較MED？如可以，需要前提條件嗎？如有，前提條件是什麼？

17. MED能不能和AS內的IGP度量值結合起來？如可以，如何做？

18. 割接限定回退的時間還有十分鍾，割接還未成功，局方已經催你回退了，但你覺得這些問題你再努力5分鍾可能會解決，你的選擇是什麼？

19. 骨幹網的QoS，如何部署？你認為什麼骨幹網什麼情況下是有擁塞發生了？

20. 對於工程及維護來說，你覺得l3網路和l2網路哪個比較好？

21. L3網路與L2網路對環路的處理各是什麼樣的機制？

22. 一般情況下，L2交換機的生成樹有多少數量？

23. 3550的生成樹模式是什麼？生成樹數量是怎樣的？

24. 跟據你的經驗，GE的埠，當流量達到多少時，你可以認為是有擁塞發生了？2.5G POS口，當流量達到多少時，你可以認為有擁塞？

此外，中間問了對項目實施上的一些事件的處理方式，問了有沒有一些失敗的經歷及體驗，還有問及工作中碰過最棘手的事件是什麼及如何處理等等。當然還有一些互相調戲平和氣氛的對話。

Ⅲ 校園網網路安全方案設計

這個你需要找當地的網路公司來做布局.工程也比較大.不過設計起來並不難,只是實施比較麻煩而已.我是做學校機房網路安全的,有問題可以直接網路HI我
1 圖就不太好做了,只能通過語言來說,因為不知道你們學校的布局.
2 你說的也比較簡單,只需要辦公樓和機房建一個區域網,你連接外網的網線,只建一個內網就可以了.學生和老師的宿舍,單獨拉一根網線路由,根本就涉及不到辦公樓和機房的區域網了.
3 網路安全主要就是辦公樓和機房,宿舍屬於老師和學生的個人電腦,而且連接外網,不屬於公共電腦,也就涉及不到安全管理了.辦公和機房電腦,只需要同一管理,安裝保護卡,同一分配IP,統一機型,統一內部文件,管理起來非常方便.

Ⅳ 如何對機房進行規劃

一、工礦企業機房及網路特點與規劃原則
隨著製造業信息化工程的實施，企業計算機應用不斷的深入、互聯網技術的迅猛發展，網路數據中心的地位越來越重要，為保障計算機、伺服器和存儲設備等的安全、正常運行，需要正確規劃機房的建設。
1．工礦企業機房、計算機及網路特點
（1）旦脊岩計算機硬體及其配套設備所處環境要求較高、根據用戶不同、應用不同，計算機配置區別較大，多數工礦企業機房均是在原辦公室基礎上改擴建野叢的，各部門之間計算機分布較零亂。
（2）系統軟體及應用軟體種類多。針對不同的工作需要，安裝Windows98操作系統和Novell、Windows NT等網路操作系統。其他的系統軟體還有各種程序設計語言系統等，應用軟體包括辦公文字處理軟體、企業管理軟體、計算機輔助設計/製造軟體、各種專用軟體和財務軟體等等。
（3）管理維護量大。在工礦企業中計算機一般都是全天性使用的，部分部門還要經常加班。計算機及相應設備使用率大於通常的各種機器，容易出現各種軟硬體問題。
（4）易造成病毒的傳染。由於網路龐大、各部門之間分布較廣等原因，給病毒的傳染提供了途徑。
因此工礦企業中計算機網路系統是一種半開放式的區域網絡系統，機房是計算機系統和網路系統正常運行的必要條件和保障。自然災害；供電狀況、軟硬體故障、人為破壞和計算機病毒等都會給計算機系統和網路系統造成危害，為確保整個系統的正常運行，保障正常的工作任務，在規劃機房的建設時對軟、硬體的建立和建設必須要有充分的考慮和安排。軟體建立是指：必須建立安全組織機構，健全安全防範組織，制定規章制度，完善計算機的安全工作（如操作系統、網路軟體、應用軟體等相關資料的完整性和數據安全），計算機病毒防治等；硬體建設是指：實體安全，如機房環境、電力供應和電力保障、硬體設備、防火、防災措施和災害報警等等。
2．機房規劃的基本原則
主機房和各機房環境及設備的安全管理涉及到場地的選擇、防火、防水、防靜電、防雷擊、防輻射、報警及消防設施等方面，同時應對裝修、供配電系統、空調系統、電磁波防護、消毒等方面提出要求。
（1）場地選擇 計算機主機房在主建築內應為獨立區域，周圍100m內不得有危險建築，應盡量避開磁場的干擾，盡量遠離強振動源、強雜訊源和大功率設備等。
（2）環境條件 嚴格保持機房條件參數在規定的范圍內，如溫度保持在20℃~25℃，濕度保持在40％~60％，清潔度要求機房塵埃顆粒直徑小於0.5μm，空氣含塵量平均小於104顆／L等。
（3）消防及報警 機房內應安裝火災自動報警裝置以及氣體類滅火裝置。
（4）預防雷擊 機房內所有設備(包括配電系統、通訊設施)應安裝防雷設施。
下面筆者將對機房規劃中供配電技術進行詳細的介紹。

二模御、供電要求
在工礦企業中電力供配情況較為復雜，計算機機房的供配電系統有其本身的特點，概括起來主要是：連續、穩定、平衡和分類。
（1）連續 就是指電網不間斷供電，但瞬時斷電的情況時有發生。瞬時斷電時間在國內尚無標准，我們一般採納4ms。
（2）穩定 所謂穩定主要指電網電壓穩定，波形失真小，在國家標准《計算機場地技術要求》中共分3個等級，如表1所示。
表1 電壓、頻率波動及波形失
（3）平衡 主要是指三相電源平衡，即相角平衡，電壓平衡和電流平衡。在國家標准《計算機場地技術要求》中末列出三相不平衡的允許值，但有些計算機的生產廠家對此項有明確要求。
（4）分類 所謂分類就是對計算機和外圍設備、輔助設備的供配電分開進行。其一是設備供電系統，它是根據計算機設備的供電要求，合理地選擇電力設備保護開關等，構成符合計算機設備要求的配電系統；其二是輔助供配電系統，這是為了保證計算機設備能正常運行的其它設備，如空調、動力設備、照明設備和測試設備等。

三、計算機系統供配電技術
供電電源直接關繫到計算機軟硬體能否安全運行，所以對計算機供電電源的質量提出了較高的要求。常用的供配電方式分2大類。
圖1 實際配電例
（註：三相配電櫃為帶有過壓、過流、三相平衡、缺相等保護的三相配電櫃）
1．非UPS供電方式
（1）直接方式 把變電站送來的工頻交流電直接送給計算機設備配電櫃，然後再分給計算機的各部分設備。
採用直接供電方式時，為了減少電網因負載變化而引起干擾，一般採用專用供電線路，即該供電線路不得接任何可能產生干擾的用電設備。直接供電的優點是，供電簡單，設備少，投資低，運行費用低和維修方便等；其缺點是對電網要求高，易受電網負載變化的影響等。
（2）隔離供電 隔離供電是在交流進線後加一隔離變壓器，然後再送給計算機。這種供電方式的特點是，電源設備運行可靠，操作維修方便，投資少，且對機房無特殊要求。不足的是：頻率波動不能控制，且電網停電後該系統不能連續供電，因此只適用於小型機房、微機或一般場合。
（3）交流穩壓器供電 市電經電子交流穩壓器後，再供計算機使用，這可以減少許多暫態沖擊、幅度波動和電壓脈沖。好的穩壓電源輸出電壓精度在3％以內，小型微機房使用較多，缺點是市電中斷時不能連續供電。
2．UPS供電方式
不間斷電源(UPS，Uninterruptible Power Supply)伴隨著計算機的誕生而出現，並隨著計算機的發展壯大而逐漸被廣大計算機用戶所接受。UPS在市電供應正常時由市電充電並儲存電能，當市電異常時由它的逆變器輸出恆壓的不間斷電流繼續為計算機系統供電。使用戶能夠有充分的時間完成計算機關機前的所有準備工作，從而避免了由於市電異常造成的用戶計算機軟硬體的損壞和數據丟失，保護用戶計算機不受市電電源的干擾。在許多防間斷和丟失的系統中，UPS起著不可替代的作用。
（1）UPS的功能與作用
在UPS出現之初，它僅被視為一種備用電源，但由於一般市電電網都存在質量問題(如電壓涌浪、電壓尖鋒、電壓瞬變、電壓跌落、持續過壓或欠壓甚至電源中斷等)，從而導致計算機系統經常受到干擾，造成敏感元件受損、信息丟失、磁碟程序被沖等嚴重後果。因此，UPS日益受到重視，並逐漸發展成為一種具有穩壓、穩頻、濾波、抗電磁和射頻干擾、防電壓沖浪等功能的電力保護系統。尤期是我國目前電網的線路及供電質量並不很高，抗干擾、抗二次污染的技術措施遠遠落後於世界先進國家，UPS在我國計算機等精密設備上的保護作用就顯得尤其重要。
UPS的保護作用首先表現在對市電電源進行穩壓，此時UPS就是一台交流市電穩壓器；同時，市電對UPS電源中的蓄電池進行充電。UPS的輸入電壓范圍比較寬，一般情況下從170V到250V的交流電均可輸入；由它輸出的電源的質量是相當高的，後備式UPS輸出電壓穩定在±5％~8％，輸出頻率穩定在±1Hz；在線式UPS輸出電壓穩定在±3％以內，輸出頻率穩定在±0.5Hz。當市電突然停電時，UPS立即將蓄電池的電能通過逆變轉換器向計算機供電，使計算機得以維持正常的工作並保護計算機的軟硬體不受損害。
（2）UPS的分類
目前，UPS電源工業主要提供兩種UPS電源：後備式和在線式。如果再細分，還有在線互動式和後備式方波輸出式電源等種類。
後備式UPS電源在市電正常時負載由市電經轉換開關供電，當市電系統出現問題時才會由UPS的電池經逆變器轉換向負載供電。後備式UPS電源其主要優點是價格便宜。目前大部分的後備式UPS都是一些低功率UPS，一般不到1kVA。
在線式UPS電源當市電正常時，供電途徑是市電→整流器→逆變器→負載。市電中斷時的供電途徑是電池→逆變器→負載。因此不論外部電網狀況如何，總能夠提供穩定的電壓。這種UPS價格比後備式UPS貴些，容量從1kVA~l00kVA以上。

四、計算機機房安全接地系統
計算機系統的地線是保證計算機安全運行的一個重要措施，地線接法是否合理，將影響計算機的穩定可靠運行。同時地線亦能保護在發生事故情況時的人身和設備安全。
1．計算機機房接地種類
計算機系統的大小、種類不同，對地線的要求也不同，大中小型計算機比微型計算機要求高。概括起來有：工作接地、安全接地、直流接地、靜電接地、屏蔽及建築物防雷保護接地。在實際應用中，並非所有的計算機機房全部具備上述接地種類，一般根據計算機的工作性質和實際情況進行設置。
（1）交流工作接地是指交流電源的中性線，接地電阻R＜4Ω。
（2）安全保護接地是指設備外殼的安全接地線，接地電阻R＜4Ω。
（3）直流工作接地是指計算機線路的邏輯接地，即直流公共連接點，R＜1Ω。
（4）靜電接地是指為了消除計算機系統運行過程中產生的靜電電荷而設的一種接地，R＜100Ω。
(5)屏蔽接地主要有兩個作用，防止計算機處理信號被竊，防止外界電磁場干擾計算機系統正常運行。屏蔽接地是將設備屏蔽體和大地間用一低阻導線連接起來，形成電氣通路，為高頻干擾信號提供低阻抗通路。屏蔽接地電阻R＜2Ω。
直流地與交流地、防雷接地要相隔10m~30m距離為宜，以防相互干擾。
2．計算機機房接地裝置的安裝要求
（1）接地材料選用銅材為好，選用鍍鋅鋼材也行。銅板接地極的埋設要求銅板深挖豎埋在2.5m以下，離地面0.8m以下。土壤條件差，如砂石太多時，應加添草木灰、除阻劑或更新土，但不宜放鹽(因鹽易使土壤結塊)。
（2）為減少接地電阻，接地體的所有連接部分必須採用焊接，須用螺栓連接的地方，螺栓必須是鍍鋅材料。
（3）為了使計算機直流接地有統一的參考點，所有計算機直流接地應接到同一個接地裝置上。
（4）為保持穩定的系統信號及可靠的安全接地，機房內所有電源插座的極性必須保持一致。
（5）為保證系統安全，嚴禁在電源插座內將交流工作地與安全地連接在一起。

五、計算機機房的防靜電措施
眾所周知，計算機設備基本上是由半導體元器件構成，諸如CPU、ROM、RAM及大規模集成電路都是MOS工藝，對靜電特別敏感，靜電是引起計算機故障的重要原因之一。靜電對計算機的影響有兩種表現形式。
（1）造成器件損壞；
（2）引起計算機的誤動作或運算錯誤。
靜電引起計算機誤動作或運算錯誤，是由於靜電帶電體觸及計算機時，對計算機放電，有可能使計算機邏輯原件引入錯誤信號，引起計算機運算出錯，嚴重者將會引起程序紊亂。靜電對計算機的外部設備也有明顯地影響，會引起顯示器圖像紊亂，模糊不清。此外，靜電還會引起列印機走紙不順等故障。如何防止靜電的危害，不僅涉及計算機設計，而且與計算機機房的結構和環境條件有關。計算機房防靜電措施有以下方面。
（1）在靜電防護要求較高的計算機房內，應鋪設抗靜電活動地板。對抗靜電活動地板的要求有：
1）電氣性能應符合GB6650—86《計算機房活動地板技術要求》中的A級標准；
2）地板貼裝表面應牢固，不起皮，不起泡，不起皺，磨擦靜電電壓低於100V，靜電壓從5000V衰減到100V的時間小於0.1s；
3）減震肢條應是防靜電的，其體積電阻率PV應為(105~108)W/cm；
4）地板支撐至少有兩處以上與靜電地板可靠連接，接頭採用銅焊片並作錫處理；
5）地板基材最好採用全鋼，鋁合金或中密度纖維板，吸水性小，變形小，強度好，鋁合金包底包邊，起到很好的靜電屏蔽作用，防止外界強磁場的干擾。
機房絕不允許鋪化纖地毯或人造革地板。
（2）機房內牆壁與吊頂不允許使用普通貼牆紙及普通塑料製品，最好先用鋁合金材料作表面裝飾，吊頂選用鋁箔石膏板材，並可靠焊接於靜電屏蔽罩，防止外電磁場的干擾，有利於電荷及時泄放。

六、機房的安全管理
要搞好機房安全管理，必須充分發揮管理人員的責任心和集體力量。機房安全管理工作瑣碎繁雜，既要面向大量的企業技術人員、管理人員和財務人員等等，又要保證全部計算機系統的正常運轉。因此要不斷地提高機房人員的技術水平和法制觀念，從機房環境管理、硬體設備管理、軟體系統及數據管理、計算機病毒防治等方面高度重視安全管理工作，這樣才能給企業提供優良的環境，保證計算機發揮應有的效用，才能保障企業高效管理與科研工作的正常開展。
通常根據企業的狀況來制定有關規定。基本原則為：實施安全管理時應當遵循國家有關法規規定，在確保國家利益的前提下保護好本單位的利益，同時應接受有關部門的指導、監督和檢查。一般包括：機房門衛管理，機房安全工作，機房衛生工作，機房操作管理，機器檔案記錄，運轉情況記錄，日常維護和保養工作記錄，計算機病毒的防護工作，建立有效的級別、許可權，並嚴格進行數據存儲的管理和硬碟數據備份等工作。

七、結束語
本文介紹了計算機機房規劃和建設的要點和規范，隨著機房設備技術的不斷推陳出新，將在自動化、智能化和遠程遙控等方面有新的發展，使計算機機房規劃和建設更加安全、可靠、簡單和實用。

Ⅳ 如何保證校園公共機房的網路安全

安全需求分析
網路物理連接管理規范化
公共機房使用率高，交換機埠易老化；另外，人為意外造成電腦網線介面松動，經常導致網路物理連接故障。每個機房計算機不多，機房使用配線箱，不使用配線架，直接將連接電腦的網線連接交換機。由於沒有跳線表等規範文檔，一旦發生物理連接故障，機房維護人員往往需要花費較長時間用於物理線路排錯。
控制學生上網行為
目前，公共機房用於不同學科的教學工作。一般情況下，教師的課件、有關學習資料存放在軟體學院的伺服器上，學生只需訪問軟體學院伺服器即可，通常不需要訪問Internet，所以需要制定機房學生上網控制策略，控制學生的上網行為。
防病毒傳播
公共機房易染病毒，大量病毒通過機房在校園網迅速傳播，預防和清除計算機病毒使機房管理者費時耗力。目前公共機房病毒傳播主要通過文件拷貝、文件傳送、下載等方式進行，U盤和網路傳播成為機房病毒擴散的主要途徑。需要控制病毒在公共機房內部傳播，保障機房計算機穩定運行。
會話與流量資源的控制
公共機房不僅承擔教學任務，還提供學生自主上網，查詢資料的服務。學生經常利用BT、電驢、迅雷等P2P軟體下載文件，這些軟體在下載任務的同時也在上傳信息，而且是多任務、多線程。此外，計算機感染木馬及病毒，會向外網產生大量連接會話，消耗校園網出口帶寬和並發連接會話資源，造成網路出口擁堵。需要研究並設計控制網路流量和會話資源的方案，保障校園網出口數據傳輸暢通。
追蹤機房用戶上網行為
公共機房計算機用戶不固定，用戶上網操作信息難以跟蹤和定位。為追蹤機房用戶使用公共機房計算機在網上發表違法言論，需要制定追蹤用戶上網行為的安全策略。

Ⅵ 通信基站機房一般的設計使用年限為【通信機房的設計】

近些年來，為滿足固話及寬頻業務的發展，在小區新建了一些無人值守的通信機房。通信機房在油田通信的發展中，始終扮演著非常重要的角色。為了使所建通信設備長期、穩定、有效地運行，就要為所建提供一個合適的工作場所，使它們能夠發揮出最大功效。
1 機房侍橘飢的選址
機房的選址應從多方面考慮，以確保通信設備的安全、穩定運行。機房應遠離產生粉塵、煙霧、有害氣體以及生產或貯存具有腐蝕性、易燃、易爆物品的場所，遠離水災隱患區域，遠離強振源和強雜訊源，並避開強電磁場干擾。除此之外，以下幾個方面，也是應該考慮的問題。
1）由於設在小區的前置機房一般都是綜合性機房，機房內建設的設備種類是多樣的。像蓄電池、MDF等設備，對於地面的承重要求較高。因此，通信機房應盡量選擇在一層，而且要求是沒有地下室的一層。這樣，可以確保設備擺放的安全性，即使蓄電池、MDF擴容，也不用擔心樓板承重問題，不用擔心會出安全事故。
2）對於機房的選址，還應考慮外網電纜的進線位置。機房的位置應方便外網電纜的進線，如果機房設在一棟大樓里，則應該盡量選在大樓單體建設時所建橋架能夠到達的位置。
3）由於通信機房老返內安裝的設備均為電子設備，對於防水要求較高，故通信機房應選在遠離水源的地方，如水泵房等附近則不應選取，以免水泵房泄露、跑水殃及通信機房，給通信設備造成不必要的損失。另外，通信機房不應選擇伍納在易產生積水房間的下層，如不得已選擇時，上層房間的地面應採取有效的防水措施。
2 機房的確定及布局
機房的位置選好以後，就要根據所需安裝的設備容量（並預留一定的發展空間）選取（或建設）合適的機房，然後對機房進行合理布局。
2.1 機房的選擇
1）通信機房應採用矩形平面，不應採用圓形、三角形平面等不利於設備布置的機房平面。另外，對於矩形平面也應盡量選取能夠有效利用空間的房間，尤其是對於購買的機房，這一點就尤其重要了。例如一個寬度為2.6m的房間，可以勉強擺下一排設備；寬度為4.2m的房間剛好可以擺下兩排設備；而如果一個房間的寬度為3.4m，這樣就很尷尬了，擺一排設備，設備前後與牆的距離過大，浪費機房空間，而如果擺兩排設備，前後兩排設備間的間距就太小了（應該說就無法擺放兩排設備），不利於設備建成後的日常維護。
2）機房的高度也是選擇機房時應該注意的問題。通信設備的高度基本上都是固定高度2m，只有MDF的高度是可選的，低的有2.2m的，高的有3.5m的。由於目前的機房多數為綜合機房，而且一般也不會特別大，因此不會選擇很高的MDF，為了節省機房面積也不會選擇很低的MDF，通常會選擇2.6m高的MDF。這樣再加上走線架，通信機房梁下凈高達到3.2-3.3m比較合適。
2.2 機房面積的確定原則
在機房規劃初期，機房設備還沒有確定，因此需認真做好用戶需求分析，以避免進行的規劃設計帶有盲目性，無法針對用戶需求、設備數量進行相關設計，容易造成難以彌補的損失，這樣通常導致機房建成後不久就要進行機房改造來滿足新增設備的需要。因此，首先要根據該機房的用途，根據其服務區域用戶數量，確定該機房所需建設的設備種類、數量，再對服務區域可能的終局容量進行預測，以確定該機房最終可能擺放設備的種類、數量，這樣就可以根據該機房總設備容量確定該機房的大致面積了。
2.3 機房的布局
機房確定下來以後，機房內設備的擺放位置的確定，即機房的布局也是至關重要的。一個機房布局是否合理，直接影響到對該機房的利用率。對於機房的布局要有一個統一的和長遠的規劃，而不能是每個工程只圖自己方便，只考慮本期工程所建設備的擺放及布局，這樣就可能會造成機房無法繼續擴容，造成機房資源的浪費。
1）MDF配線架是一種接續和防護設備，一側連外線電纜，另一側連交換設備。外線電纜一般通過所建地溝從電纜進線口引入，MDF配線架的安裝位置要求盡量靠近電纜進線口，並遠離交、直流配電箱。根據多年從事交換設計的經驗，對於MDF配線架應根據用戶的需求預留足夠的發展空間，因為MDF配線架一般都建在地溝上，方便外網電纜的引入，因此當MDF預留位置不夠時，不能像其它設備可以建在別處，這樣就可能會造成機房有空間，但由於MDF無法擴容而導致整個機房無法擴容，造成機房資源的嚴重浪費。
2）光纖配線架ODF主要用於光纜的連接。ODF一般也安裝在地溝上，因此ODF、MDF應相對集中，並形成統一的配線區，有利於機房的擴容，同時節約資源，方便運行維護。
3）閥控式蓄電池組一般可靠牆擺放，其背面與牆之間的凈寬一般為100mm，側面與牆之間一般不小於200mm，兩組蓄電池側面間的間距要求達到500mm，以便於蓄電池的日常維護。另外，蓄電池盡量不要擺放在窗下、太陽能夠直接照射到的地方，如果由於機房的限制，實在無法避開，則窗戶應擋上遮光效果好的窗簾，以避免太陽光直接照射到蓄電池上。
4）交換設備目前主要是AG接入設備，與MDF有大量的電纜連接，與ODF有少量的光纖連接。因此為了減少不必要的損耗，保證通信質量，交換設備應與MDF、ODF盡量靠近。
5）如果有的機房需要建設傳輸設備，則傳輸設備應盡量靠近ODF。
6）設備安裝擺放位置確定後，合理建設走線架，確保電纜走線的合理布局也是至關重要的。機房內的交流電源線、直流電源線、通信電纜等信號線必須分開布放。目前通信機房一般都採用上走線方式布放線纜，因此為了確保上述三種線纜分開布放，則應該建設雙層走線架。線纜布放時應將電源線和信號線分開布放，即可以下層布放信號線，上層布放電源線。上層布放的電源線包括交流電源線和直流電源線，這兩種電源線之間間距大於150mm布放較為合理。線纜的合理布局，可以避免電源線對信號線的信號干擾。另外，由於油田通信NGN已經建成，接入層建設以AG設備和EPON設備為主，使得機房內光纖、尾纖的數量較多，而且目前尾纖的防護層比較脆弱，因此為保證通信網路的安全，這樣的機房應當建設專業光纖槽道。
3 機房設計中應重視的幾個問題
1）承重問題仍然是個不可忽視的問題。由於目前通信機房多為綜合性機房，而且面積也不是很大，不太方便不同區域按擺放的不同設備區分地面荷載，故一般統一要求地面荷載≥13KN/m2。
2）機房中的接地也是個值得重視的問題。如果機房所在大樓的建築防雷地的接地電阻符合設備要求的阻值，則可以通過電纜或扁鋼引入機房的接地銅排上供機房中的設備使用。否則則需要新建地網來滿足設備對接地的需求。根據機房中所建設備的種類、容量的不同，對接地電阻阻值的要求也不同。
3）可靠的電力供應也是設備穩定運行的保證。因此通信機房需引入雙路三相交流電源供電，每路為專用迴路不帶民用負載。對於入戶總功率的確定則要根據設備的終局容量進行核算確定。例如一個機房如果其終局需要建1架AG設備、2架ADSL設備，經過計算入戶總功率可以大致確定為25KW。
4）由於通信設備屬於電子產品，對於防水要求極高，因此機房內不應通過與本房間無關的各種管道，電信設備上方不應敷設任何水管或蒸汽管道，機房內不設消防水管線及噴淋系統。另外，要求機房內的暖氣管線不設閥門和活接頭，應全部採用焊接。
5）由於北方的氣候較乾燥，尤其是冬季，極易產生靜電，因此機房的牆面、頂棚需刷乳膠漆或防靜電塗料，地面也應鋪設防靜電水磨石、防靜電半硬質塑料、防靜電地板氈等防靜電材料，盡量減少機房內產生靜電對通信設備造成的不良影響。
通信機房是油田通信開展市場競爭、增加市場份額的寶貴資源，隨著通信業務的不斷增多，對現有機房的維護、待建機房的規范建設提出了更高的要求，因此做好通信機房的設計有著十分重要的現實意義。
參考文獻：
[1]《電信專用房屋設計規范》YD/T 5003-2005.
作者簡介：
倪錫穎（1974-），女，工學學士，1996年畢業於長春郵電學院，工程師，現就職於大慶石油管理局通信公司規劃設計所，從事交換設計工作。

Ⅶ 計算機機房安全等級的劃分標準是什麼

計算機機房安全等級的劃分標準是使用性質、管理要求及其在經濟和社會中的重要性，劃分為A、B、C三級。

A級為最高級別，主要指涉及國計民生的機房設計。其電子信息系統運行中斷將造成重大的經濟損或公共場所秩序嚴重混亂。像國家氣象台；國家級信息中心、計算中心；重要的軍事指揮部門；大中城市的機場、廣播電台、電視台、應急指揮中心；銀行總行等屬A級機房。

B級為電子信息系統運行中斷將造成一定的社會秩序混亂和世談察一定的侍判經濟損失的機房。科研院所；高等院校；三級醫院；大中城市的氣象台、信息中心、疾病預防與控制中心、電力調度中心、交通（鐵路、公路、水運）指揮調度中心；國際會議中心；國際體育比賽場館；省部級以上政府辦公樓等屬B級機房。

A級或B級范圍之外的電子信息系統機房為C級。

(7)機房網路安全設計擴展閱讀

機房涵蓋了建築裝修、供電、照明、防雷、接地、UPS不間斷電源、精密空調、環境監測、火災報警及滅火、門禁、防盜、閉路監視、綜合布線和系統集成等技術。

機房的種類繁多，根據功能的不同大致分為：計算機機房或稱信息網路機房(網路交換機、伺服器群、程式控制交換機等)，其特點是面積較大，電源和空調不允許中斷，是綜合布線和信息化網路設搜茄備的核心。

監控機房(電視監視牆、矩陣主機、畫面分割器、硬碟錄像機、防盜報警主機、編/解碼器、樓宇自控、門禁、車庫管理主機房)是有人值守的重要機房；消防機房(火災報警主機、滅火聯動控制台、緊急廣播機櫃等)也是有人值守的重要機房。此外，還有屏蔽機房、衛星電視機房等。

Ⅷ 機房管理要注意那些方面的問題

一、機房日常運維管理

1、運維人員每天在8：30到達機房進行設備巡檢，每天17：30下班後再次進行設備巡檢，並在《設備日巡檢記錄表》中進行記錄。如發現異常情況，需立即上報機房主管人員，並聯系相關產品服務商獲取技術支持。

2、對任何異常情況及其處理操作應在事件單中被記錄，為日後的問題管理提供依據。

3、機房運維人員每天上、下午均應合理安排時間在機房查看設備運行狀態，包括內存、硬碟、CPU等系統資源狀態，如出現資源運行異常，應查看相關系統設備運行進程並轉入事件管理流程進行處理。

4、保持機房整潔、衛生。所有設備擺放整齊有序，不得將任何廢棄物品留在機房內。不得存放與工作無關的物品，機房的物品不得私自帶走。

二、機房網路安全管理

1、新購置的設備，在安裝、使用前應當認真經過安檢。使用之前採取防止病毒感染措施，試運行正常後，再投入正式運行。

2、機房設備嚴禁連接互聯網。

3、對於網路設備和伺服器，要制定不同的用戶賬號，賦予不同的用戶操作許可權，並予以登記、備案。禁用guest賬戶，刪除伺服器中的多餘的、過期的以及共享的賬戶。必須定期統計相關信息和操作狀況，並向上級領導。

4、設置登錄伺服器的操作超時鎖定，超過10分鍾不操作即鎖定，需要重新認證後登錄。

5、系統中所涉及的涉密伺服器、終端、以及應用程序的本地登錄和遠程登錄必須進行用戶身份鑒別，並與安全審計相關聯，保證系統內安全事件的可查性。

6、禁止任何部門和個人嚴禁進行滲透測試，嚴禁攻擊其它聯網主機，嚴禁散布病毒。

7、嚴格執行計算機操作規程和各項管理制度，加強對管理人員和工作人員的防病毒教育。

8、網路伺服器應當安裝防火牆系統，加強網路安全管理。

9、病毒檢測和網路安全檢測必須指定專門的技術和管理人員負責；負責人員必須定期對網路安全和病毒檢測進行檢查。定期採用國家相關主管部門批准使用的檢測工具對系統進行安全性檢測，檢測工具和版本應及時更新。對於發現的系統軟體和應用軟體的安全隱患，必須及時從系統軟體開發商和應用軟體開發商獲取相關的補救措施，如安裝補丁軟體、制定新的安全策略、升級病毒庫等。

三、機房硬體設備安全管理

1、機房運維人員必須熟知機房內設備的基本安全操作和規則，特別是對伺服器、交換機進行熟悉操作，做到及時維護。

2、應定期檢查、整理設備連接線路，定期檢查硬體運作狀態（如設備指示燈、儀表），定期調閱硬體運作自檢報告，從而及時了解設備運作狀態。

3、禁止隨意搬動設備、隨意在設備上進行安裝、拆卸硬體、或隨意更換設備連線、禁止隨意進行硬體復位。

4、禁止在伺服器上進行實驗性質的配置操作，如需要對伺服器進行配置，應在其他可進行試驗的機器上調試通過並確認可行後，才能對伺服器進行准確的配置。

5、對會影響到全局的硬體設備的更改、調試等操作應預先發布通知，並且應有充分的時間、方案、人員准備，才能進行硬體設備的更改。

6、對重大設備配置的更改，必須首先形成方案文件，經過討論確認可行後，由具備資格的技術人員進行更改和調整，並應做好詳細的更改和操作記錄。對設備的更改、升級、配置等操作之前，應對更改、升級、配置所帶來的負面後果做好充分的准備，必要時需要先准備好後備配件和應急措施。

7、不允許任何人在伺服器、交換設備等核心設備上進行與工作范圍無關的任何操作。未經上級允許，不得對核心伺服器和設備進行調整配置。

8、硬體設備出現故障時，應填寫好《硬體設備維修故障登記表》，詳細填寫故障狀況及故障原因，並報修，故障處理結束後，因填寫處理情況及結果，交由上級驗收、簽字後，存檔備查。

9、存儲過涉密信息的硬體和固件應到具有涉密信息系統數據恢復資質的單位進行維修。

10、不再使用或無法使用的設備應按照國家保密工作部門的相關規定及時進行報廢處理，並記錄最終去向。

四、機房軟體安全使用管理

1、設立計算機軟體管理台帳，對每套計算機軟體進行登記，並納入資產管理。

2、妥善保存計算機軟體介質、說明書、使用許可證（或合同）等資料。

3、根據操作說明，正確使用各類應用軟體。

4、須安裝非專用軟體，須經上報並檢測、辦理安裝使用備案手續。

5、軟體必須由專人來保管，禁止任何人員將機房軟體私自拷貝、隨意向外傳播。

6、任何在用軟體的升級均需主管人員書面批准。

五、機房資料、文檔和數據安全管理

1、資料、文檔、數據等必須有效組織、整理和歸檔備案。

2、硬碟、軟盤、光碟、磁帶、帶存儲功能的設備等涉密信息存儲介質應按照所存儲信息的最高密級標明密級。

3、禁止任何人員將機房內的資料、文檔、數據、配置參數等信息擅自以任何形式提供給其他無關人員。

4、對於牽涉到網路安全、數據安全的重要信息、密碼、資料、文檔等必須妥善存放。外來工作人員的確需要翻閱文檔、資料或者查詢相關和數據的，應由機房相關負責人代為查閱，並只能向其提供與其當前工作內容相關的數據或資料。

5、重要資料、文檔、數據應採取對應的技術手段進行加密、存儲和備份。對於加密的數據保證其還原行，防止遺失重要和數據。

6、嚴禁使用計算機、終端機、網際網路為無關人員查詢、調閱涉密數據；存有秘密信息的磁碟、光碟，嚴禁外借、復制；不得向無關人員提供網路入口及口令。

7、調動工作時，必須將自己經管的涉密文件、資料和使用的保密筆記本上交，並遞交在調離後一定期限內不失密泄密的保證書。

8、發現失、泄密現象，要及時上報。

9、不再使用或無法使用的涉密信息存儲介質在進行報廢處理時，應進行信息消除或載體銷毀處理，所採用的技術、設備和措施應符合國家保密工作部門的有關規定。

六、機房保安管理

1、中心機房應採取有效的門控措施，並裝備「三鐵一器」。

2、出入機房應注意鎖好防盜門。對於有客人進出機房，機房相關的工作人員應負責客人的安全防範工作。最後離開機房的人員必須自覺檢查和關閉所有機房門窗、鎖定防盜裝置。應主動拒絕陌生人進出機房。

3、工作人員離開工作區域前，要保證伺服器、交換機等設備控制台的密碼處於鎖定狀態。

4、運維人員要嚴格執行人員出入登記制度，不得邀請無關人員到機房參觀，外單位系統、線路維護人員要進入機房需提前與管理人員聯系，批准後方可由管理人員陪同進入，並填寫《人員出入登記表》。

5、外來人員進入必須有專門的工作人員全面負責其行為安全。

6、未經主管領導批准，禁止將機房相關的鑰匙、保安密碼等物品和信息外借或透漏給其他人員，同時有責任對保安信息保密。對於遺失鑰匙、泄漏保安信息的情況即時上報，並積極主動採取措施保證機房安全。

7、機房人員對機房保安制度上的漏洞和不完善的地方有責任及時提出改善建議。

8、絕不允許與機房工作無關的人員直接或間接操縱機房任何設備。

9、出現機房盜竊、破門、火警、水浸、110報警等嚴重事件時，機房工作人員有義務以最快的速度和最短的時間到達現場，協助處理相關的事件。

七、機房用電安全管理

1、機房人員應學習常規的用電安全操作和知識，了解機房內部的供電、用電設施的操作規程。

2、機房人員應經常學習、掌握機房用電應急處理步驟、措施和要領。機房應安排有專業資質的人員定期檢查供電、用電設備、UPS設備。

3、機房人員應定好UPS放電計劃，對UPS的放電時長做出准確的評估，並做出更換或修復UPS計劃報告相關人事。

4、運維人員定期檢查UPS各項運行參數、負載、電池容量是否正常，如有異常，應及時調整處理，並做好記錄。

5、嚴禁隨意對設備斷電、更改設備供電線路，嚴禁隨意串接、並接、搭接各種供電線路、嚴禁把電源排插散落在地。發現用電安全隱患，應即時採取措施解決，不能解決的必須及時向相關負責人員提出解決。機房內的電源開關、電源插座要明確標出控制的設備。

6、在使用功率超過特定瓦數的用電設備前，必須得到上級主管批准，並在保證線路的保險的基礎上使用。

7、在發生市電報警要盡快趕往機房查看，並通告相關人員。事件處理完後，應及時復位市電報警設備。

8、在外部供電系統停電時，機房工作人員應全力配合完成停電應急工作。當需要發電機發電時，應計算好機房用電功率合理選擇發電機型號發電，嚴禁發電超負載供電。

9、定期（不長於三個月）對供電設施進行檢測與檢修，保障供電正常。

八、機房空調管理

1、為保證設備良好的工作環境，應保持合適的機房溫度和濕度，機房溫度應保持在22℃--26℃，機房濕度應低於70%。

2、空調運行時，巡檢人員按時檢查各項運行參數、狀態是否正常，如有異常，應及時調整處理，並做好記錄。

3、定期進行空調機的清理，防止因散熱不良造成空調的工作異常。

4、配備備用電風扇，以防止空調出現故障時機房溫度的快速上升。定期進行備用電風扇可用性檢查。

5、每年春秋換季期對空調系統進行全面的檢查保養，確保機組的正常運行。

6、每天巡檢一次，確保空調系統正常運行，如發現故障應及時上報。夏季要提高巡檢頻率，每天兩次，上下午各一次。

7、機房維護人員應懂得進行一些必要的空調降溫手段，以便在出現溫度升高的狀況下能通過輔助手段降低溫度上升的速度。

九、機房消防安全管理

1、機房工作人員應熟悉機房內部消防安全操作和規則，了解消防設備操作原理、掌握消防應急處理步驟、措施和要領。

2、消防設備應放在顯眼易取之處，任何人不能隨意更改消防系統工作狀態、設備位置。需要變更消防系統工作狀態和設備位置的，必須取得主管領導批准。工作人員更應保護消防設備不被破壞。

3、每日對火災重大風險點如蓄電池組進行巡檢，檢查內容包括電池是否漏水，有無發熱異常，電極觸點是否連接正常。

4、插座及蓄電池附近不得擺放紙箱、說明書等易燃物品。

5、應定期消防常識培訓、消防設備使用培訓。如發現消防安全隱患，應即時採取措施解決，不能解決的應及時向相關負責人員提出解決。

6、嚴禁在機房內吸煙和使用明火，如因線路或其他原因引起明火，應及時撥打119和通知相應負責人迅速解決問題。

7、定期檢查消防設備狀態，保證消防設備可用性。

十、機房應急響應

1、機房停電時，UPS設備將為機房設備提供電力支持，但UPS能夠提供的電力有限，因此需要根據實際情況進行處理，具體如下：

在停電時，有簡訊報警機制通知到機房維護人員，維護人員應馬上通知機房主管人員，並在一小時內趕回機房。

機房維護人員積極配合主管人員協調各供電電路運維方及時檢查處理市電迴路故障。

按照《基本業務服務設備列表》，只保留基本業務服務設備運行，對其餘設備進行關閉。

當UPS電力不足時，應及時關閉所有設備，避免突然斷電造成的系統設備故障。

2、當機房溫度升高時，為保護各設備，需要採取相應的應急處理措施，具體如下：

達到溫度閾值時，應有簡訊通知機制通知機房維護人員，維護人員一小時內到場，馬上啟用備用電風扇。

當機房溫度超過28℃時，維護人員應立即通知主管人員並積極協調空調維護商盡快處理。

在溫度超過35℃時，可以根據《基本業務服務設備列表》關閉非基本設備，只提供基本業務服務設備運行；

當機房溫度超過40℃時，應當關閉所有系統設備運行。

3、火災不像供電及空調故障那樣存在一段緩沖期去處理或減少影響，對無人值守機房來說一旦發生火災，勢必導致重大財產損失。對於機房火災應當是預防為主，因此必須重視每日的蓄電池組巡檢。當機房發生火災時，本著先救人，後救物的思想原則採取相應的應急處理措施，具體如下：

有報警機制通知到所屬地區消防部門，並通知到機房維護人員及主管人員。並根據預先制定的火災發生時聯系人目錄通知到位。

到場後立即斷開電源，防止由於電源引起的火情進一步擴大。

尋找安全的地點監控火情，並積極配合消防人員應對火災。

4、設備發生故障時，使用備用設備替換現有設備，並保證新設備配置和用戶密鑰與舊設備一致、保證新設備配置和數據與舊設備一致。

5、傳輸線路幹路發生故障時，請及時聯系網路供應商，對線路進行檢測維修。

6、發生不可預見的緊急請況時，及時向主管人員匯報，並與相關技術人員聯系，採取妥當的應急辦法進行應急處理。

Ⅸ 設計一個局域組網方案，提供網路結構設計、各層設備選擇及其理由

2.1方案綜述

校園主幹網通過多模光纖連接各子系統,各區域網採用快速乙太網,系統採用星形結構連接,還可擴充學校教職工住宅區.

具體方案如下:

(1) 網路具有傳遞語音、圖形、圖像等多媒體信息功能，具備性能優越的資源共享功能。

(2) 校園網中各終端間具有快速交換功能。

(3) 中心系統交換機採用虛擬網技術對網路用戶具有分類控制功能。

(4) 對網路資源的訪問提供完善的許可權控制。

(5) 網路具有防止及便於捕殺病毒功能，保證網路使用安全。

(6) 校園網與Internet網相連後具有「防火牆」過濾功能，以防止網路黑客入侵網路系統。

(7) 可以對接入Internet網的各網路用戶進行許可權控制。

2．2網路拓撲圖

2．3綜合布線系統方案

結構化布線設計應該滿足以下目標：

（1） 滿足大樓各項主要業務的需求，且兼顧未來長遠發展；

（2） 符合當前和長遠的信息傳輸要求；

（3） 布線系統設計遵從國際（ISO/IEC11801）標准和信息產業部、建設部標准；

（4） 布線系統應支持語音、數據等綜合信息的高質量傳輸，並適應各種不同類型不同廠商的計算機及網路產品；

（5） 布線系統的信息的埠採用國際標準的RJ-45插座，以統一線路規格和設備介面，是任意信息點都能接插不同類型的終端設備，如計算機、列印機、網路終端、電話機、傳真機等，一支持語音、數據、圖像等數據信息和多媒體信息的傳輸，布線系統符合綜合業務數字網ISDN的要求，以便與國內國際其他網路互聯。

校園網為園區網，建築群子系統採用光纜連接，可提供千兆位的帶寬，有充分的擴展餘地。垂直子系統則位於高層建築物的豎井內，可採用多模光纖或大對數雙絞線。管理子系統並入設備子系統，集中管理。

對於多幢樓宇，可採用多設備間的方法，分為中心設備間和樓棟設備間部分。中心設備間椒整個區域網的控制中心，內設有對外（Internet）對內通信的各種網路設備（交換機、路由器、視頻伺服器等），中心交換機通過光纜（地下直埋）與樓棟設備間的交換設備連接，以保證數據的高速傳輸。在樓棟設備間放置布線的配線架和網路設備，端接樓內來自各層的主幹線纜，並端連接網路中心的光纖。

樓內布線包括水平布線和主幹布線，水平系統採用超五類雙絞線，新的樓宇採用暗裝牆內的方式，舊的樓宇採用PVC線槽明裝的方式。

2.4網路硬體設備構選型

在本方案中，整個校園網採用層次化網路拓撲結構，核心層採用聯想LRS-6706G第三層交換機。這是一種功能強大的主幹交換機，使網路管理者能方便地監督和管理網路，同時，又能將主幹網帶寬提升到千兆速度。

LRS-6706G與工作組交換機聯想DES-6000之間採用生成樹（SpanningTree）冗餘連接，可以保證與骨幹交換機之間的備份連接。DES-6000與接入層交換機聯想DES-36241之間可採用鏈路匯聚技術，用以保證負載均衡及線路備份。通過鏈路匯聚技術可以在交換機之間連接最多4條線路，實現負載均衡線路冗餘。採用快速乙太網連接，可以達到800M帶寬，若採用千兆乙太網作多鏈路冗餘連接，最多可以實現8G帶寬，當兩個交換機之間的一條線路出現故障，傳輸的數據會快速自動切換到另外一條線路上進行傳輸，不影響網路系統的正常工作，無需人工干預。

DES-36241可以根據所需要埠的數量進行堆疊群，網路管理軟體通過一個IP地址就可以完成整個堆疊群的管理，可以實時監測交換機，並且可以通過多種方式進行顯示以便於觀察，隨時監控網路運行狀況。

用聯想LR-2501A路由器實現廣域網的路由連接，同時採用聯想LF-2000防火牆，用以提供全面的訪問策略和安全防護能力。

2.5客戶機和伺服器

2.5.1客戶機

客戶機是一種網路終端，校園網中的客戶機大多是教師機、學生機及各級管理用的PC機。在本方案中建議使用品牌PC機，售後保修，使用年限較長。

選型標准如下( 簡述)：

CPU
Intel P4
硬碟
4G

主板
Micro ATX
ADSL
華為SmartAX MT800

內存
256M
Moderm
花王系列Moderm卡

顯示器
TCL MF767 純屏電腦顯示器
網卡
10、100Mbit/s

2.5.2伺服器

伺服器是網路中的控制和數據的中心，是網路中的關鍵設備之一。一般伺服器是專用的，沒有主要的用戶，它是多客戶機共享的多用戶計算機。在大型校園網中一般選用企業級伺服器作為主伺服器。它可以連接客戶機120—500台之間的網路

1、網管工作站設計

網路管理是校園網必須考慮的關鍵技術，這里的網路管理主要指網路設備及其系統的管理，它包括配置、性能、安全、故障管理等，網路管理設計需要在配置每個網路設備時，都選擇具有網路管理代理的、駐留有網路管理協議的設備。

網路管理設計的另一方面，是配置一個網路管理中心，配置網路管理平台，在平台上運行管理每個網路設備的應用軟體。網管軟體應能夠支持對網路進行設備級和系統級的管理，並能支持通用瀏覽器進行網路設備的管理及配置。

2、WWW伺服器設計

WWW應用是Intranet的標志性應用，最核心的應用服務集中在WWW伺服器上完成。因而對於WWW伺服器的設計首要考慮的就是伺服器性能問題，另外考慮到將來在Intranet平台上做應用開發的可能，對於WWW伺服器同資料庫互聯的問題也應作為重點考慮。

因為WWW伺服器是被大量實時訪問的超文本伺服器，它要求在支持大量網路實時訪問、磁碟空間、I/O吞吐能力、快速處理能力等方面具有較高的要求。

3、DNS伺服器設計

建立Intranet，其中一個必不可少的組成部分就是DNS（域名系統）。IP地址和機器名稱的統一管理由DNS（DomainNameSystem）來完成的。

4、FTP伺服器的設計

FTP是Internet中一種廣泛使用的服務，主要用來在兩台機器之間（甚至是一同系統）傳輸文件。FTP採用C/S模式，FTP客戶軟體必須與遠程FTP伺服器建立連接並登錄後才能進行文件傳輸。為了實現有效的FTP連接和登錄，用戶必須在FTP伺服器進行注冊，建立帳號，擁有合法的用戶名和口令。

5、E-mail伺服器設計

為了作到Intranet內部Mail系統同公共InternetMail系統的平滑對接，要求採用Internet公共標準的通用MAIL系統，在內部的MAIL系統同外部通信時需要一個Proxy應用作適當的轉接服務，進行相應的地址轉換工作。

6、Proxy伺服器的設計

代理伺服器是作為內部私有網路和INTERNET之間的一個網關。通過代理方式，首先可以大大降低網路使用費，另外代理可以保護區域網的安全，起到防火牆的作用。

2.5.3操作系統

伺服器採用Windows server2003企業版作為網路操作系統。工作站客戶端採用Windows XP操作系統。

具體的安裝方法與日常裝機時相同。

2.6網路配置和管理

2.6.1綜合配置和管理

校園主幹網採用一台千兆多層交換機作為中心交換機，配置多台二層交換機作為二級交換機；在網路中心配置多台工作站，一台網管工作站，一台作為連入INTERNET/CERNET的路由器，同時在路由器上配置相應的撥號訪問模塊供撥號用戶訪問校園網;二級交換機通過千兆光纖上連到主幹交換機上，構成星形的拓撲結構，使得主幹網具有較好的可擴展性和可管理性；下屬站點採用10/100M接入方式，可以實現100M到桌面.網路中心的設備配置各高校可根據方案的「需求分析」部分，本著實用、高效的原則進行選型、配置（含二級接點和其他接點交換設備的選擇）。

所有系統內的用戶，IP地址規劃由網路中心統一規劃；對於上公網的用戶，需要進行IP地址轉換（NAT），即將內部私有地址轉換為公有IP地址。這樣的好處是既節省了有限的公有IP地址資源，又對外屏蔽了內部的網路，有利於網路的安全管理。

2.6.2網路核心層設計

作為網路核心，起到網間互聯作用的路由器技術卻沒有質的突破。傳統的路由器基於軟體，協議復雜，與區域網速度相比，其數據傳輸的效率較低。隨著Internet/Intranet的迅猛發展肯B/S（瀏覽器）計算模式的廣泛應用，跨地域、跨網路的業務急劇增長，業界和用戶深感傳統的路由器在網路中的瓶頸效應，第三層交換技術應運而生。第三層交換技術也稱為IP交換技術，高速路由技術等。

在本解決方案中，整個校園網路採用層次化網路拓撲結構，在網路中心的核心層配置聯想LRS-6706G第三層交換機。通過LRS-6706G第三層交換機完成高帶寬、大容量網路層路由交換功能交換，是一種功能強大的企業網主幹交換機，使網路管理者能方便地監督和管理網路，同時，又能將主幹網帶寬提升到千兆速度。LRS-6706G配置靈活、實用。可選的擴展模塊包括一個6埠的千兆模塊，一個16埠的10/100Base-TX擴展模塊。

LRS-6706G同時提供了增強的網路傳輸能力，例如：IP路由、服務質量（QoS）、分級傳送和IP組播。網路管理員能夠隨時通過任意一個埠配置以上功能，以消除傳統路由器的瓶頸，設置優先順序給不同類型的網路傳輸及保證某些應用的流量帶寬，如視頻傳輸。

LRS-6706G提供了廣泛的管理選擇，使用Netscape或IE瀏覽器，可以很容易地通過Web方式對交換機進行配置和監控。其中包括配置IP路由、IP組播、靜態VLAN、生成樹、設置陷阱和警報，察看RMON狀態和登錄事件。也可以通過VT100模擬終端以文本界面方式設置交換機。

2.6.3網路分布層設計

在校園園區內樓宇間連接時，主要樓宇可放置聯想機箱式言主幹交換機DES-6000作為分布層交換機，與主幹第三層交換機LRS-6706採用千兆以太鏈路冗餘方式連接，用以保證主幹鏈路的冗餘不連接。DES-6000採用級不連方式，通過千兆們埠與該樓宇的聯想可堆疊交換機DES-3624L連接。使得分布層交換機和接入層交換機之間均在全雙工模式下以1G的帶寬不連接，保證分支主幹無帶寬阻塞瓶頸。

2.6.4網路接入層設計

校園網廣域網的設計主要考慮如何實現和INTERNET、CERNET的互聯。校園網的撥號網路，主要目的是解決校內和校外零散用戶以及出差在外的臨時用戶的接入服務。訪問網中的技術關鍵是撥號訪問伺服器的選擇和對撥號上網用戶的安全控制。要求路由器有簡單的防火牆功能，具有良好的擴展性，即以後撥號用戶的擴展，其它公網的接入等。根據實際需要，能夠不斷增加撥號用戶的數量

在本方案設計中，採用聯想DES-3624系列可網管、可堆疊千兆乙太網交換機作為網路的接入級交換機，即放置於每幢樓的樓層內，可用以直接接入到辦公室或住宅內部。DES-3624系列是可網管、可堆疊的高性能交換機，包括：DES-3624I交換機和DES-3624交換機。DES-3624I提供了20個固定10/100Mbit/s埠和3個插槽，分別可插3口的堆疊模塊、單口或雙口的千兆模塊以及2口10/100Mbit/s（已內置）、100Base-FX模塊；DES-3624提供了22個固定10/100Mbit/s埠和2個插槽，分別可插單口堆疊模塊（已內置）和2口10/100Mbit/s、100Base-FX模塊。

DES-3624系列交換機堆疊後，可使用於高埠密度的部門級大中型網路；提供千兆乙太網模塊可適用於上連高速率主幹網路，用以有效地緩解網路骨乾的瓶頸。

採用1台DES-3624與3台DES-3624組成一個堆疊，可提供最多94個10/100BASE-TX埠和2個千兆乙太網埠。由於該技術採用背板堆疊，堆疊時不需佔用網路埠，而且堆疊後仍可以達到線速交換。

在設計接入Internet時，本方案推薦採用區域網專線接入方式。此方式需要配備聯想接入路由器LR-2501A租用電信部門的專線並向CERNET管理部門申請IP地址及注冊域名。聯想接入路由器LR-2501A可以通過DDN專線（最高可達2.048M帶寬）、FrameRelay、X.25、ISDN撥號等方式與Internet相連，還可以按照需要靈活配置多種廣域網埠模塊，提供寬頻、具有QOS保證的遠程多媒體服務。為了保證園區網路的安全，方案中在聯想接入路由器LR-2501A後，設置一台聯想LF-2000硬體防火牆，該防火牆可及時追蹤Internet的黑客攻擊行為和方法，實現了抗攻擊和反攻擊的安全策略，為用戶提供安全可靠的服務。在網路中亦可實現實時郵件病毒檢測、實時檢測是否有入侵行為、進行快速的流量過濾、訪問控制和加密，防止外部非法用戶的侵入以及內部用戶對外部網路的不安全訪問等。

另外，某些教師或學生如果要在園區外訪問校園內部網查找資料，這些遠程訪問用戶需要撥號訪問校園內部網，這就需要校園網提供遠程訪問服務。通過配備訪問伺服器可以滿足這些需求。使用聯想DI-520和DI540訪問伺服器，安裝在本地區域網中，通過1至4個數據機（或ISDNTA）和1至4根電話線，為們於任何地方遠程訪問人員提供撥號訪問本地區域網的服務。遠程用戶只要在當地擁有1個數據機和1根電話線，通過 撥接DI-540上所連接的電話號碼，就可以使其計算機登陸，訪問校園網上的資源。

2.7校園網內部信息資源建設

內部信息資源建設包括校園辦公管理系統、多媒體電子圖書閱覽室、網路多媒體課件製作系統等。外部信息資源包括學校主頁、遠程教學、Internet信息管理等。

1、校園辦公管理系統

校園辦公管理系統可分為以下幾個模塊：校長查詢、學生管理、教工管理、課程管理、工資管理、財產管理、人事檔案管理、文件管理等。

2、多媒體網路教室

多媒體網路教室有以下幾個功能模塊：教學功能、管理功能、輔助功能等。

3、外部信息資源建設

外部信息資源建設應包括以下功能模塊：Internet功能、遠程訪問功能、電子函件功能學校主頁、討論和交流功能、住處發布功能。

{1}Internet功能及遠程訪問功能 在信息時代宣傳學校、發布學校的信息，對提高學校的知名度，同時共享教育資源非常有意義。只要學校還沒有條件通過專線上Internet，可安裝Modem讓用戶遠程撥號入網。

（2）電子函件功能 校園網信息平台應用功能強大的郵件系統，可以為每個使用者建立自己的信箱，安全保密以極大地方便了通信。許多事務處理均可以通過郵件提醒，高效便利。

（3）建立學校主頁碼 在校園網中建立學校的主頁，可以以靈活生動的方式綜合介紹學校。這是展示學校風採的最佳手段。

（4）討論和漿功能 校園網信息平台具有討論的功能，可以允許所有人就一個問題發表自己的意見，面這種討論的好處在於它可以保留討論的過程，並且不受時間和空間的限制，如教學研討、經驗交流等均是以討論的形式出現。

（5）信息發布功能 學校有許多信息需要向老師、學生或社會公布，如學校的規章制度、招生信息、教學信息等，它們共同的特點是只許看不能改，校園網信息平台的安全體系保證這一點。

2.8網路安全

2.8.1網路安全性設計

網路的安全性是評價校園網的重要指標之一，對於校園網這樣的大型園區網，網路的安全問題就越發重要。

1、 本地主機系統的安全考慮

計算機病毒是伴隨著計算機而產生的，它同時隨著計算機技術的發展而發展，在網路環境中，計算機病毒更易於傳播，其對系統的危害也是明顯的，在校園網工程中建議採用網路與單機相結合的方式來避免計算機病毒的危害。

2、 內部網安全控制

通過VLAN的劃分，利用中心交換機上高性能路由模塊的管理和控制，可以控制內部各VLAN間的訪問。

3、 外聯網的安全控制

網路的安全問題主要是由網路的開放性、無邊界性、自由性造成的，所以考慮信息網路的安全首先應該考慮把被保護的網路由開放的、無邊界的網路環境中獨立出來，成為可管理、可控制的安全的內部網路。也只有做到這一點，實現信息網路的安全才有可能，而最基本的分隔手段就是防火牆。利用防火牆，可以實現內部網與外部網路（如網際網路）之間或是內部網不同網路安全域的隔離與訪問控制，保證網路系統及網路服務的可用性。

4、 撥號訪問的安全設計

對於從外部撥號訪問中心內部區域網的用戶，由於使用公用電話網進行數據傳輸所帶來的風險，必須嚴格控制其安全性。

主要措施如下：*通過在撥號訪問伺服器後設置防火牆來實現網路的安全性，以嚴格限制撥號上網用戶所訪問的系統信息和資源。

*使用專用身份驗證伺服器，以加強對撥號用戶的身份認證。

*在數據傳輸過程中採用加密技術，防止數據被非法竊取。

5、數據的安全： ]

網路系統應能通過身份驗證實現信息的鑒別，通過存取控制達到對信息的控制，通過數字簽名或數據壓縮等演算法保證數據在傳送過程中保持完整、保證信息的機密。在實現時重點考慮信息系統整體的安全控制策略和重要設備的安全控制。

2.8.2網路防火牆

防火牆界於網路出口，將網路分成內部網路和外部網路，並認為內部網路是安全的和可信賴的，而外部網路則是不太安全和不太可信的。防火牆檢查和檢測所有進出內部網路的信息流，防止未經授權的通信進出被保護的內部網路。

防火牆除了具有包過濾功能外，通常還可以對應用層數據進行安全控制和信息過濾，對主機地址轉換（SAT）和地址隱藏(NAT),具有認證、日誌、計費等功能。防火牆的實現技術非常復雜，由於所有進出內部網路的信息都需要通過防火牆的處理，因此對其可靠性和處理效益都有很高的要求。

此設計方案選用天網防火牆，它量款國產軟體。具有嚴密的襯里監測、靈活的安全規則及詳細的訪問記錄。可從www.sky.net.cn下載安裝。

2.8.3防毒軟體

面對計算機病毒的威脅，人們都希望能做好預防工作，而不是面對事後被病毒感染破壞的殺毒和數據恢復工作。預防計算機病毒最好的方法是安裝一套防毒軟體。防毒軟體對於保持系統安全很重要。目前國內主流的反病毒軟體有KV3000、Kill、瑞星、諾頓等多種品牌，它們各有所長，而且都有自己的特殊技術作為後盾。本方案選用「瑞星殺毒軟體」。它是北京瑞星科技股份有限公司針對流行於國內外危害較大的計算機病毒和有害程序，自主研製的反病毒安全工具。可以到瑞星公司的主頁（http://www.rising.com.cn）上去獲取試用版本。

2.8.4安全建議

1.建立良好的安全習慣。例如：對一些來歷不明的郵件及附件不要打開，不要上一些不太了解的網站、不要執行從 Internet 下載後未經殺毒處理的軟體等，這些必要的習慣會使您的計算機更安全。

2.關閉或刪除系統中不需要的服務。默認情況下，許多操作系統會安裝一些輔助服務，如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便，而又對用戶沒有太大用處，如果刪除它們，就能大大減少被攻擊的可能性。

3.經常升級安全補丁。據統計，有80%的網路病毒是通過系統安全漏洞進行傳播的，象蠕蟲王、沖擊波、震盪波等，所以我們應該定期到微軟網站去下載最新的安全補丁，以防範未然。

4.使用復雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的，因此使用復雜的密碼，將會大大提高計算機的安全系數。

5.迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網，以防止計算機受到更多的感染，或者成為傳播源，再次感染其它計算機。

6.了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施，在關鍵時刻使自己的計算機免受病毒破壞。定期看一看注冊表的自啟動項是否有可疑鍵值和內存中是否有可疑程序。

7.最好安裝專業的殺毒軟體進行全面監控。用戶還應該安裝個人防火牆軟體進行防黑將安全級別設為中、高，這樣才能有效地防止網路上的黑客攻擊。