学校ip网络中心软件解决方案

❶ 校园网的实施方案

江苏省连云港财经学校校园网扩容方案

一、现有网络说明：
1、行政办公网络：学校网络主控室在7楼电教中心，内有HP E50服务器及INTEL510T、ACCTON 24口交换机各一台，校行政各办公室计算机已通过超五类双绞线与交换机相连。位置在综合楼
2、电子阅览室网络：有光盘塔服务器一台及46台计算机，通过交换机、超五类双绞线组成网络。已通过光缆与行政办公网络连接。位置在图书馆4楼
3、计算机教学部教学网络：共4个机房，每机房有浪潮服务器一台，计算机50台。其中第一机房通过3台24口交换机组成独立网络。第二、第三、第四机房分别通过HUB组成独立网络。位置在综合楼5楼及6楼。每机房已布好两条超五类双绞线到校网络主控室，但没有进行连接。
4、联通2M宽带网，通过光缆与服务器连接
二、校园区网络扩容要求
1、扩充一台中心服务器，要求达到骨干网核心服务器的功能，准备在这台服务器上实现全校网络资源(文本、课件、邮件、BBS)资源共享。原有服务器拟作为备份及WEB服务器
2扩容后校园网采用三级交换网络，新增核心交换机一台，二级、三级交换机若干台。将计算机教学部三个机房原HUB更换为交换机，四个机房每台交换机各通过双绞线连接到网络主控室（各机房再新铺设一条双绞线）。对全校网络进行VLAN的划分和虚网配置管理。
3、在原有网络的基础上，重新布局整体网络框架，干线系统采用千兆以太网，支干采用100M交换速率。以新布局的网络为主体架构且将原有网络全部无缝连接进去。
4、网络扩容后，须将学校原“管理信息系统”“电子商务模拟操作系统”等系统及原有数据在新服务器上重新安装且能正常使用。
5、所有设备应从正规渠道进货且需提供厂商出货证明并享受厂商质保
三、家属区网络扩容要求
1、为家属区各户铺设网线并在住户要求的位置留一个信息口
2、在13#楼设家属区机房，堆叠两台24口交换机，在12#、14#、15#楼也各放一台48口交换机，交换机间用多模光纤连接。交换机到各用户间用超五类双绞线连接。
3、家属区机房和学校网络中心之间通过钢缆挂单模光缆连接。在光缆铺设过程中产生的一切问题（例如：光缆过路问题、如何固定光缆、邻里纠纷问题等）由中标公司自行解决！线路走向见附图。
4、实现校园网上信息及宽带共享。
5、所有设备应从正规渠道进货且需提供厂商出货证明，享受厂商质保。布线系统应完全达到五类标准并符合ISO、EIA/TIA-568B标准
四、参与要求
1、参与工程竟标的公司应具备多种网络施工资质
2、注册资金应不低于50万人民币。
3、中标公司应提供以下几方面的工程服务：
（1）、所有硬件设备的安装、调试及软件系统的安装、调试
(2)线缆的敷设：包括线槽及其它辅材的安装，线缆的拉引及敷设、网线过墙打孔；
(3)信息插座的安装与接续；
(4)UTP测试：各层各房间每个信息插座与配线架之间的UTP测试，包括开路、短路、异位、连通性测试、衰减、串音、环路电阻特性测试。
(5)光缆的测试（衰减值）、熔接和测试
(6)提供全套文档；网线标号及与各房间信息插座对照表、UTP测试报告；各楼信息点和光缆信息点分布示意图等。
4、中标公司应负责本工程的售后维护和保修，应定期到学校进行网络维护。当出现网络故障，应在合同商定的时间内到达现场进行维修。
5、中标公司负责免费对学校网管人员进行交换机、防火墙等设备的使用培训并应提供这些设备的厂家免费培训。
6、整个工程完成后，校方组成验收小组，对整个设备及布线系统进行验收，验收内容包括：所有设备工作情况，网络性能、按TST-67标准进行布线验收，布线外观检查，布线系统是否达到五类标准等项内容。乙方（中标公司）负责提供EIA／TIA-568标准、TST-67验收标准等有关资料，供校方参考。验收时，乙方要提供验收申请报告、验收测试大纲、验收测试报告、文档资料等项资料。如设备或性能达不到合同要求，乙方必须无条件更换。

❷ 校园网络设计方案

你是谁啊
摘要
第1章
前言
第2章
需求分析
2.1
校园网的背景
2.2
校园网组织结构
2.3
校园网现有设备状况
2.4
校园网建设的目标和原则
2.5
校园网的网络系统的整体规划及拓扑图
2.5.1
校园网的网络规划
2.5.2
校园网的网络拓扑图
...........
看下吧
应该适合！！！

❸ 需要一个无线校园网络规划和设计的参考方案~~用Cisco Packet Tracer做的~~最好是IP有分配~~也可以用OPNET

无线校园网建设方案

现状

随着信息时代的到来，各个学校意识到校内网络建设的重要性，只有实现高度的信息共享，建设完善的校园网络平台，才能够发展成为一所现代化的学校。现在学校办学条件的日趋完善，近年来实现了与Internet互联，同时建成了校园网络，实现校内外信息的共享、传递，而网络信息的普及，以及计算机硬件设备价格的下降，越来越多的学生拥有了笔记本电脑，因此学生要求在校园内实现移动上网的呼声越来越高，而校内的教学楼和宿舍楼因建成时间较早，没有网络综合布线设计，类似的原因制约了学校现代化办学的指导思想，伴随着IEEE802.11标准的出台，解决这一矛盾在无线技术发展成熟的今天已不是问题，同时，无线局域网(WLAN)还拥有传统网络所不能比拟的扩容性和移动性，在校园内采用无线局域网技术实施校园网络工程，可适应在校学生移动性强、数量大等特点，最大限度地满足学生上网需求，并且对于创建较早的学校来说，年代较久的教学楼不宜拉网布线，理想的解决方案就是布署无线局域网。

需求

在校园无线网络建设需求中，主要存在四种典型的应用：

l实现以地区教育局为中心的整个地区教育系统的无线网络连接;

l校园内的户外公共区域覆盖;

l局部开放的室内大环境，如典型公共教室、图书阅览室等无线覆盖;

l用户数量不多但分布较散的楼宇，如教学办公楼、宿舍等的无线网络覆

应用方案

室内覆盖：

在室内根据覆盖需要，放置若干个无线局域网访问点，用户在移动时，系统会自动漫游，在不同的访问点之间进行信号的切换。这些访问点连接到各楼的校园骨干网。也就是将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖，各覆盖区域之间无缝连接。所有AP通过双绞线与有线骨干网络相连，形成以有线网络为基础，无线覆盖为延伸的大面积服务区域。所有无线终端通过就近的AP接入网络，访问整个网络资源。

方案采用高灵敏度的Orinda无线AP设备，配合吸顶天线，以一个AP配合一个天线，或一个AP配合多个天线，以保障高质量的无线信号能够覆盖更远的距离，同时增强设备在干扰较大的频率环境中使用的能力，从而完成室内区域的完全覆盖要求。

侧面图俯视图

室外覆盖：

室外区域覆盖一般包涵，体育场，校内花园，中心广场，教学楼，实验楼楼宇间等。根据需覆盖的室外区域的实际情况，选择不同。

(1)设备的选择：AP、全向天线、定向天线。

(2)室外考虑因素：环境、天气。

设计建立多个无线覆盖点，均采用Orinda电信级室外型AP2411E0，根据客户要求每个覆盖点覆盖范围半径达到200米，信号强度在70dbm，速率达到54mbps，采用重叠交叉无线覆盖的方式，完成区域的无缝无线覆盖。配合室外大夹角定向天线或高增益全向天线，成功实现系统设计目标。使用户在区域内任何角落都可以通过无线访问校园网络。

室外覆盖示意图

❹ 校园网络的设计方案

目录 2
1 绪论 3
2 安阳实验中学校园网需求分析 4
2.1 环境分析 4
2.2 业务需求分析 4
2.3 网络安全分析 5
2.4 网络增长预测 5
2.5 管理需求分析 5
3 建设方案 6
3.1 校园网拓扑结构 6
3.2 校园网综合布系统 7
3.3 VLAN、IP规划 13
3.4 VPN接入 14
3.5 校园网风险和解决方案 16
3.4 方案特点概述 17
4 主要设备选型 18
4.1 核心交换机选型 18
4.2 汇聚层交换机选型 20
4.3 边缘交换机选型 22
4.4 路由器选型 24
4.5 火墙选型 25
4.6 服务器选型 25
4.7 网管软件选型 26
5 总结 28

❺ 网络安全的解决方案!急,满意再给100!

谈对网络安全的认识

近几年来，网络越来越深入人心，它是人们工作、学习、生活的便捷工具和丰富资源。但是，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。作为学校，如何建立比较安全的校园网络体系，值得我们关注研究。

建立校园网络安全体系，主要依赖三个方面：一是威严的法律；二是先进的技术；三是严格的管理。

从技术角度看，目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由、网络防病毒等，这些技术对防止非法入侵系统起到了一定的防御作用。代理及防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。

网络现状

我校是一所市一级中学，目前有两所网络教室、200多台教学办公电脑，校园网一期工程为全校教教学教研建立了计算机信息网络，实现了校园内计算机联网，信息资源共享并通过中国公用Internet网（CHINANET）与Internet互连，校园网结构是：校园内建筑物之间的连接选用多模光纤，以网管中心为中心，辐射向其他建筑物，楼内水平线缆采用超五类非屏双绞线缆。3Com 4900交换机作为核心交换机；二级交换机为3Com 3300。

安全隐患

当时，校园网络存在的安全隐患和漏洞有：

1、校园网通过CHINANET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

2、校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

3、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。我校的网络服务器安装的操作系统有Windows2000 Server，其普遍性和可操作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞，这些都对原有网络安全构成威胁。

4、随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。

措施及解决方案

根据我校校园网的结构特点及面临的安全隐患，我们决定采用下面一些安全方案和措施。

一、安全代理部署

在Internet与校园网内网之间部署一台安全代理（ISA），并具防火墙等功能，形成内外网之间的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在安全代理，与内、外网间进行隔离。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在安全代理设置上可以按照以下原则配置来提高网络安全性：

1、据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“关闭一切，只开有用”的原则。

2、安全代理配置成过滤掉以内部网络地址进入Internet的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

3、安全代理上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

4、定期查看安全代理访问日志，及时发现攻击行为和不良上网记录，并保留日志90天。

5、允许通过配置网卡对安全代理设置，提高安全代理管理安全性。

二、入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警，使得学校管理员能够及时采取应对措施。

三、漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。

四、诺顿网络版杀毒产品部署

在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

1、在学校网络中心配置一台高效的Windows2000服务器安装一个诺顿软件网络版的系统中心，负责管理200多个主机网点的计算机。

2、在各行政、教学单位等200多台主机上分别安装诺顿杀毒软件网络版的客户端。

3、安装完诺顿杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

4、网管中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到诺顿网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它200多个主机网点的客户端与服务器端，并自动对诺顿杀毒软件网络版进行更新，使全校的防毒病毒库始终处于最新的状态。

五、划分内部虚拟专网（VLAN），针对内部有效VLAN设置合法地址池，针对不同VLAN开放相应端口，阻止广播风暴发生。

六、实时升级Windows2000 Server、IE等各软件补丁，减少漏洞；实行个人办公电脑实名制。

七、安全管理

常言说：“三分技术，七分管理”，安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式，制定详细的安全管理制度，如机房管理制度、病毒防范制度、上网规定等，同时要注意物理安全，防止设备器材的暴力损坏，防火、防雷、防潮、防尘、防盗等，并采取切实有效的措施保证制度的执行。

近几年，通过对以上措施的逐步实施，我校校园网络能鸲安全正常运行，为学校教育教学工作的顺利开展提供了有力辅助，并渐入佳境。

❻ 构建校园网的实施方案

那么，校园网应该怎样建设呢？道理很简单，学校是育人的场所，网站就要着眼于学生。要把校园网站建设成为新时期学生发展的新领地。开辟成学生生活、学习的新课堂。
首先，它要成为学生学习的新课堂。这里有两层含义：一是课内的学习，可以借助网络的协助和延伸提高学习效果；二是在这里开设第二课堂，丰富学生的学习途径和内容，实现课内课外学习的协调统一。
其次，要通过论坛、信箱，甚至开设聊天室的形式，成为学生交流的窗口。传统意义上人与人之间的交流，必须要满足统一时空的条件。随着科学技术的发展，人与人的交流已发展到网络这一领域。现代教育非常重视通过交流来获取信息。为学生之间交流提供条件，是一项不可忽视的工作。这其中最理想的、最先进的交流条件就是网络。学生可以在交流的过程中学习知识、增长才干、促进了解、建立友谊、形成是非观念、宣泄心理压抑、调节神经系统的紧张状态等等。网上交流所具备的某些优点，是现实中交流无法比拟的。特别对于经常处于弱势地位的学生来讲，实现在网上交流，很容易让他们体会到处于平等地位的快乐。但是，我们也必须认识到，学生实现网上交流，还有很长的路要走，这条路上也布满了层层障碍。这些障碍，有网络本身存在的不足，也有长者对学生的全盘的限制。正因为这些因素的存在，校园网的建立，也许是学生实现网上更为广阔、更为自由、更为主动交流的最佳途径。
再次，它要成为学生个性发挥的广场。诚然，个性教育是东方教育落后西方教育的主要一个方面。分析原因无非是，我们的学生始终生活在整齐的要求中，无微不至的呵护中，千人一面的环境中，缺少变化的过程中。而学生接触了网络，就好比让学生走出狭小的空间，来到宽阔的广场，就可以放飞心中的追求，张扬自己的个性。
还要成为学生参与社会实践活动的载体。比如，学生可以利用校园网站和自己的信箱，征集一些社会问题的看法和答案，然后加强整理，得出结论。
网络还可以成为学生之间合作的纽带；观察社会的平台；学校教育和家庭教育的桥梁；学生才华的展室。
当然，要想使这些美好的愿望成为现实，就需要在建立网站时，充分给学生留有这样的机会和空间，按照这样的想法去设计，才有可能实现这一目标。如果建站指导思想就没有立足于学生，这些目的根本无法实现。查阅大量的校园网站，我认为像北京四中近年来，随着网络技术、INTERNET的发展和CERNET（中国教育科研网）的迅速壮大，全国已有四百多所高校建成校园网并接入CERNET。校园网的建设已成为高校实力与发展水平的标志。我院办学的规模、层次正在迅速地扩大和提高，建设一个先进、实用的校园网，实现校内外信息的快速传递，使教学、科研、管理步入信息化、网络化，从而提高办学水平和办学效益已成为必然选择。为此，学院决定投资建设校园网。
一、校园网建设的总体目标
1、信息资源共享。
通过校园网，实现学校内部，学校与国内、国际信息的快速交流，达到资源共享，使广大师生及时了解国内外科学技术和高等教育发展的最新动态，促进教学、科研、管理事业的发展。
2、图书资料检索、借阅自动化。
通过改造原有图书检索系统，建设电子图书馆，提高校内图书资料的利用率；充分利用校外图书资料，实现远程计算机图书检索和借阅。
3、学校管理系统的信息化、自动化。
依托校园网，构建相应的交互式应用软件平台，实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化，实现统计监测网络化，提高管理效率和水平。实现网上招生、网上人才招聘、学生网上求职等。
4、建立计算机网络辅助教学系统。
建立基于网络的电子教学CAI课件开发、视频点播（VOD）、网上题 库、答疑与作业批改等计算机辅助教学系统，实现教学手段的现代化。
5、依托校园网、广域网开展远程教学。
6、创建学院网站，使之成为对外宣传的重要窗口，让世界了解我们，提高学院的知名度。
7、为广大师生提供宽松，开放、易用的网络环境，使网络触入日常工作和生活中，发挥网络的最大效用。
8、根据教育部和陕西省的规划，中国教育科研网主干线将很快延伸到汉中，我院校园网按照汉中主节点的标准进行规划、建设。
二、校园网建设遵循的原则
1、系统性。
校园网是一个复杂的系统，校园网建设无疑是一个复杂的系统工程。网络的规划、设计、硬件建设、软件建设以及网络的使用、扩充等均以系统的眼光来看等。任何一项工作都从全局、长远的角度出发，体现整体最优性。
2、先进性、实用性。
校园网规划、设计尽可能地采用先进技术，同时也要兼顾技术的成熟性和实用性。计算机网络技术的发展一日千里，不考虑技术的先进性，无疑会形成建成不久即面临淘汰的局面。而一味追求先进，不考虑技术的成熟性，将存在巨大的风险。因为先进性是以大量的资金投入为代价的。另一方面，一味追求先进，以至脱离自己的实际需求，也是没有实际意义的。
3、开放性、发展性。
系统的规划、设计应采用开放技术、开放结构、开放系统组件和开放用户接口，有良好的兼容性，以利于网络的维护、扩展、升级及与外界的沟通。既要满足现在和未来五年的用户需求，又要考虑将来向更为先进的技术实现低成本平滑地升级过渡。
4、安全性。
系统具有多层次的安全控制手段，完善的安全管理体系，防止受到黑客攻击和破坏。
5、易用性、可靠性。
系统要求设计简单，层次清晰，软、硬件设备性能优良，功能完善，运行稳定、可靠，易于维护。
6、经济性。
系统设计和资金投向合理，体现良好的性能价格比。力争少花钱，多办事。
7、统一规划，分步实施。
学校经费十分有限，一次性拿出大笔资金使网络建设一步到位是不 现实的，也没有这个必要。因为网络建设本身不仅是硬件建设，更重要的是软件建设和实际应用，而软件建设和实际应用需要逐步地依据需求的增长来完成。另一方面，整个网络系统也必须随着网络技术的发展不断地扩展和升级，需要连续的资金投入。但有些关键性的基础设施必须一步到位，如综合布线系统、主要网络设备、服务器及操作系统软件等。
三、技术选择
目前，在局域网建设中，比较流行的技术有快速以太网（100BASE-T）、光纤分布数据接口（FDDI）、千兆位以太网（1000BASE-T）和异步传输模式（ATM）。
1、FDDI是一种使用光纤作为传输媒体的高速令牌环网，具有100Mbit/s的 传输速率，在九十年代初期 建设的校园中使用较多，目前有逐步被取代的趋势。兄弟院校前期采用FDDI技术建设的校园网，现已被改造或面临改造，所以我们不考虑该技术。
2、ATM技术吸收了传统网络技术的优点，以光缆作为传输介质，具有高速度（几Mbit/s到几十Gbit/s的传输速率）、可伸缩性、实时性的特点，适合多媒体传输和作为广域网，局域网主干网络技术，被认为是下一代网络主要的关键性的技术。但作为一种新的，先进的技术，它还并不很成熟，国际上尚无统一的标准，目前多用于电信、金融业网络，且ATM造价约为传统快速以太网的三倍，十分昂贵。
3、快速以太网与千兆 位以太网技术（100BASE-T与1000BASE-T）。
在局域网方面，以太网技术经历了信息传输速率从10Mbit/s、100Mbit/s到1000Mbit/s的发展过程。100BASE-T是在传统10Mbit/s以太网基础上发展起来的，它采用双绞线或光缆作为传输介质，传输速率为100Mbit/s，支持全双工（可同时接收和发送数据）数据传输，技术成熟，硬件产品丰富。千兆位以太网技术是10BASE-T和100BASE-T标准的扩展，以光缆作为传输介质，支持全双工和半双工模式，具有良好的第三层交换能力，提供1000Mbit/s的带宽，基于光缆的千兆位以太网国际标准已经公布，由于其具有良好的兼容性和较高的可靠性，信息传送效率高，易于管理，建设成本不高等特性，最近几年来发展迅猛。
千兆位以太网是对传统以太网和快速以太网的扩展，提供1000Mbit/s的带宽，支持以太网通信原则，支持冲突检测载波监听多路访问（CSMA/CD），是一个共享网络。由于其拥有良好的应用基础，受到传统网络设备厂商和用户的支持，可方便地构建桌面（10M）工作组（100M）和数据中心（1000M）三个层次，满足不同需求，具有很高的性能价格比。其明显的不足是：1、作为一个共享介质的网络，当网络负载较重时，使用效率明显降低。这一点可依靠交换技术来弥补。2、千兆位以太网是一种传输可变长帧的分组交换技术，不能保证实时分组并优先处理，所以在 传输多媒体信息及视频信息时，不如ATM技术。
经综合各方面的因素考虑，我院校园网建设拟采用千兆位以太网技术。在实际构筑中采用三层结构。最下层到桌面为10Mb/s以太网，部分可达到100Mb/s；第二层为楼内各楼层到二级交换机，由100Mb/s的交换式快速以太网构成；各楼到网络中心（即主干）为以光缆为介质的千兆位以太网。一级交换设备具有ATM端口，二级交换设备支持ATM端口模块，可以方便的向ATM网过度。
四、校园网建设的初步设想：
按照校园网建设的目标和原则，初步是从以下几方面进行考虑的。
（一）总体方案。校园网建设采用分级交换千兆位以太网技术，支持虚拟网络，可向ATM平滑过渡。
我校现有楼群分布较为集中，考虑到合校以后原陕西工学院搬迁尚有一个过程且新址位置未定，所以校园网一期工程重点建设现有主校区，同时为新校区预留足够的扩充余地。网络中心设在新落成的四号教学楼第3层,用房情况为：机房60平方米、工作室40平米、值班室20平方米，办公室20平方米，两个网络实验室共150平方米，网络学术报告厅100平方米。目前网络中心暂设在图书馆作为过渡。
校园网采用星型拓扑结构，网络中心与各楼间用光缆连接（见校园网拓扑结构图）。网络中心配置一台或二台高性能企业级中心交换机，四至六台服务器（分别实现域名解析、WWW、电子邮件、FTP、数据库服务及防火墙功能，并可互为备份），三至四台网管工作站，一台UPS，以一台高性能路由器跨接广域网。0M光纤接入。网络中心设两个24口MODEM池，支持家属区、学生宿舍、外出用户电话拔号上网。行政楼和每个教学楼各放置一台二级交换机。设有子网的地方，交换机具有路由功能，这样可减少主干线通信量。楼内各层集线器与二级交换机以双绞线相连，速率为100MBit/S。从集线器到桌面（终端）以双绞线相连，速率为10/100MBit/S。另外，在新教学楼设立网络实验室（子网） ，为学生提供上网实习和软件开发的环境。
（二）综合布线系统方案：
主干线光缆为6芯多模光缆，连接各建筑和子网，光缆以地埋为主，部分架空。二级、三级支线为非屏蔽超五类双绞线（UTP）。光缆和双绞线均采用国际着名厂商的高质量产品，质保期不少于二十年。整个布线系统符合IEEE802.3千兆位以太网标准。
（三）网络设备方案
1、交换机：网络核心交换机选用3COM、IBM、CISCO等大公司的企业级交换机。应具有模块化高速背板连接结构并留有足够的扩展插槽，易于进行网络结构的扩展和未来技术的升级，支持多种协议和标准，可满足不断增长的网络需求，特别是要有极高的可靠性。二级交换采用的交换机适用于高速骨干网，具有1000BASE多模块光纤接口，模块化设计，性能稳定，有良好的可管理性。
2、集线器：端口为10/100Mbps双速端口，具有自动侦测功能，有较强的容错能力，支持TCI/IP协议和网络管理，可堆叠，性能稳定，有足够的冗余端口。
3、网卡：具有10/100Mbps自适应双速端口，应有较高的可靠性和广泛的软件兼容性，可提供并行处理能力，支持PCI、ASP、MAC、等各种总线和网络管理。
2、服务器和工作站：服务器可在SUN、HP或DELL系列中选择，也可根据不同需求和资金状况选择部分国产名牌产品。工作站选用前述厂家的中、高档产品。
3、路由器选用CISCO 产品。
（四）软件建设方案。
1、操作系统。网络操作系统软件选用Windows2000、LINUX、NETWARE系统。
2、网络管理系统：
本网络中，网络中心采用网管软件对所有网络设备进行全方位动态在线监视与管理，网管人员在网络中心就可了解整个网络设备的运行情况，可采用HP OpenView进行整个系统的管理。
3、数据库系统软件
要求数据库软件能与WEB服务器做到良好的集成，支持多媒体，支持多种平台，支持多种网络协议，具有良好的安全性、扩展性；系统运行稳定，有良好的容错能力。
4、防火墙选用Check Point Software Tehnologies 公司的FireWall-1网络产品。
5、应用软件：
在目前我校暂不具备自主开发能力的情况下，为提高网络的利用率，宜选用国产校园网管理信息系统，多媒体课件制作系统和VOD视频点播系统。
五、基本需求分析
1、光缆和入网计算机情况
整个系统应能容纳8000台计算机连网，一期约铺设光缆2000多米，程接通信息点600个，建成网络实验室子网，其余子网由相关部门建设。
2、网络功能
①一期工程完成后，网络除具有WWW、远程登录（Telnet）、文件传输（FTP）、电子邮件（E-mail ）、 News、 BBS等基本功能外，还要具备视频点播（VOD）、自动化办公、网上多媒体附助教学等功能。
②第二期工程重点进行新校区的网络建设，实现远程教育功能。
六、分步实施计划
依照总体规划，分步实施的原则 ，整个校园网工程拟分二期完成。
一、第一期工程（2000年6月——20001年6月）：
第一阶段:
2000年6月——2001年1月，进行调研，制定建设规划，设计建设方案，进行工程招标。
实施建设方案，重点建设基础设施，完成综合布线（尤其是主干线）工程，连通文科楼、理化楼、综合楼、图书馆和行政楼，共连通约300个信息点（计算机），实现拔号上网。完成网络中心和网络实验室建设，为学生提供上网场所。实现校园网与CERNET的连接，建立学院主页、主要职能部门主页和各系主页，建立学院网站，实现图书资料网上检索和借阅。
第二阶段：
2001年2月—2001年10月，完成网络中心到艺术楼、培训中心楼的布线，增加信息点300，使信息点总数达到600个。进行校园网应用软件建设，实现网上计算机辅助教学，建立视频点播系统，建立教务、科研、人事、学生管理系统和网上查询系统，力争自主开发部分应用软件。
二、第二期工程：2002年1月至2005年12月，进行新校区的网络建设，逐步实现学生宿舍专线上网，全面开展远程教育。
三、第一期工程的具体实施步骤：
1、构思
（1）进行同行业兄弟院校网络系统工程建设情况调查和对我院网络建设需求的分析。
（2）制定网络系统建设规划。
（3）网络建设资金的落实和参与网络建设队伍的组织。
（4）申请IP地址。
2、准备
（1）完成网络建设需求书的编写并对外公开招标。
（2）各系统集成商提交系统方案的初步设计（也可由学院邀 请专家制定建设方案或专门进行建设方案招标）。
（3）组成专家组对集成商所设计的方案进行评审。
（4）确定工程承包商（系统集成商、软件、硬件供应商）。
（5）进行商务谈判，签定有关合同。
3、实施
（1）确定网络系统详细方案，包括计算机系统详细方案，网络系统详细设计方案，应用系统详细设计方案及综全布线系统详细设计方案。
（2）与集成商一起完成设备订货，包括主机系、网络设备、布线系统、系统软件、应用软件等。
（3）设备验收。
（4）布线系统及相关软件的安装。
（6）系统分调（主机系统、网络设备、应用系统）。
（7）申请网络域名并连通。
（8）系统联调、测试，试运行。
（9）系统验收。
4、初步应用
建立网站、主页，构建相关应用软件。
七、网络管理人员队伍建设
对于我院来讲，校园网的建设与管理是一项全新的事业，大家均无这方面的经验。面对其复杂性、先进性，时间上不允许我们有过多的延迟。所以，从一开始配齐、配好管理人员队伍，注重强化培训，督促管理人员刻苦自学是解决问题的唯一途径。因此，至2000年7月中旬，至少将有四名管理人员到位，9月、10月派出2-3人赴兄弟院校网络中心进修学习或由系统集成商进行培训，以便于年底迅速、安全地接手管理工作。2000年底，确定了各系、各部门网络信息员，就网络的使用、数据库管理、网页的维护与管理等知识进行了培训，使之在网络中心的指导下完成大量的网络信息建设与维护工作。
八、校园网建设中应注意的几个问题。
1、重硬件轻软件的问题。
硬件的先进性、高档化是必要的，但离开良好的软件支持，硬件就象一个没有头脑的巨人，丝毫发挥不了作用， 所以，在网络建设中，应高度重视应用软件建设。
2、系统维护责任问题。
系统集成商对整个系统的正常运行应承担担保责任，对系统中的不同设备应与设备供应商共同承诺相应的担保期。担保期间，所有设备的替换应是免费的。在担保期过后，系统集成商也应提供所有设备终身维护的服务。
3、注意资料的完整性。
整个系统建设和运行过程中，均应注意相关资料的保存工作。设计方案、合同、验收报告、招投标材料、设备说明书、保修卡等均应全面妥善地保管。从网络试运行之日起，应有运行日志。

1.综合布线目标
综合布线系统是建筑物或建筑群内的传输网络，是计算机网络的线路基础。它使语音与数据通信设备、交换设备和其他信息管理系统彼此相连，也使这些设备与外部通信网络相连。结构化布线设计应该满足以下目标。
1.1 满足要求，兼顾发展布线设计必须能够满足学校各楼宇、实验室、图书馆等的主要业务需求，并能兼顾未来的发展需要。
1.2 易于扩展，预留空间符合当前和以后的信息传输需要，保证较好的扩展性和足够的升级空间。 1.3 遵从标准，采用星型布线系统设计遵从国际(ISO/IEC 11801)标准和邮电部、建设部标准，布线系统采用国际标准建议的星型拓扑结构。
1.4 高质传输，适应面广布线系统应该能够支持语音、数据等综合信息(如ISDN、B-ISDN、ATM等)的高质量传输，并能适应各种不同类型、不同厂商的电脑及网络产品的需要。
1.5 统一出口，线路规范布线系统的信息出口采用国际标准的RJ-45插座，以统一的线路规格和设备接口，使任意信息点都能接插不同类型的终端设备，如电脑、打印机、网络终端、电话机、传真机等，以支持话音、数据、图像及多媒体信息的传输。
1.6 预备互连、国际接轨布线系统符合综合业务数据网ISDN的要求，以便与国内国际其他网络互联。
2.综合布线原则及方式
2.1 性价比原则选择的线缆、接插件、其他设备应具有良好的物理和电气性能，而且价格适中；
2.2 实用性原则设计、选择的系统应满足用户在现在和未来10至15年内对通信线路的要求；
2.3 灵活性原则做到信息口设备合理，可即插即用；
2.4 扩充性原则尽可能采用易于扩展的结构和接插件；
2.5 易管理原则便于管理，有统一标识，方便配线、跳线。
机房的布线系统直接影响到未来机房的功能，一般布线系统要求布线距离尽量短而整齐，排列有序。具体的方式有“田”字形和“井”字形两种：“田”字形较适用于环形机房布局，“井”字形较适用于纵横式机房布局，它的位置可安排在地板下，也可吊顶安装，各有特点。
3.综合布线要点
3.1 地板布线最常见的布线方式，充分利用了地板下的空间,要注意地板下的漏水、鼠害和散热，还应保证在每个机柜下方开凿相应的穿线孔(包括地板和线槽)。
3.2 吊顶布线特别适合于经常需要布线的机房，此方式中吊顶内包含了各种电源布线、弱电布线，在每个机柜上方开凿相应的穿线孔(包括地板和线槽)，当然也要注意漏水、鼠害和散热。具体布线的内容有：电源布线、弱电布线和接地布线。其中电源布线和弱电布线均放在金属布线槽内，具体的金属槽尺寸可根据线量的多少并考虑一定的发展余地(一般为100×50或50×50)。电源线槽和弱电线槽之间的距离应保持至少5厘米以上，不能互相穿越，以防止相互之间的电磁干扰。
3.21电源布线：在新机房装修进行电源布线时，应根据整个机房的布局和UPS的容量来安排，在规划中的每个机柜和设备附近，安排相应的电源插座，插座的容量应根据接入设备的功率来定，并留有一定的冗余，一般为10A或15A。电源的线径应根据电源插座的容量并留有一定的容量。
3.22弱电布线：弱电布线中主要包括同轴细缆、五类网线和电话线等，布线时应注意在每个机柜、设备后面都要有相应的线缆，并应考虑以后的发展需要，各种线缆应分门别类用尼龙编织带捆扎好。
3.23 接地布线由于新机房内部都是高性能的计算机和网络设备，故对接地应有严格要求；接地也是消除公共阻抗、防止电容耦合干扰、保护设备和人员的安全、保证计算机系统稳定可靠运行的重要措施。在机房地板下应布置信号接地用的铜排，以供机房内各种接地需要，铜排再以专线方式接入该处的弱电信号接地系统。
3.24 综合布线重点显然，综合布线重点就是“光缆”。很多局域网络在园区架设或地埋室外多模光纤，为千兆网和ATM网络打下了坚实的基础，同时，提供了高带宽(10Mbps~622Mbps)、高传输性、高抗干扰能力支持。光缆按芯数分为四芯、六芯、八芯三种；按铺设方式分为架空、直埋两种；按支持的距离分为多模(2公里以内)、单模(2公里到几十公里)。其接续方式常见的是：熔接、研磨、压接。常用的光纤产品有：光缆、光纤耦合器、光纤终端器、各种接口形式的光纤跳线、光纤接续设备。
4.综合布线方案
以交换式千兆以太网作为局域网的主干，按10M/100M交换式子网方式接入(如图)。局域网布线设计一般采用多级物理星型结构、点到点连接，任何一条线路故障均不影响其他线路的正常运行。网络采用分散式三层交换体系，二级交换机具有第三级交换能力，主干线路压力小，而且全部实现百兆交换入室。三级交换机可以堆叠，能将一个主干和桌面交换机组成一个整体，提供足够的交换口，可扩展性好。
4.1 主干网选用千兆以太网，其第三层以太网路由器交换机大都满足IEEE802.3Z标准，技术成熟，具有流量优先机制能有效保证多媒体传输时的QoS(Quality of Service服务质量)。
4.2 千兆以太网具有良好的兼容性和可扩展性，在ATM技术成熟时，可平滑集成到ATM网络中，作为ATM网的边缘子网。
4.3 工作组子网可选用100M交换模式。使用户终端独占100M带宽的数据交换。在核心交换机与工作组交换机之间，采用100Mbps传输带宽，当使用全双工时，传输带宽为200Mbps。
5.综合布线过程
5.1 布线前询问客户网络需求，现场勘察建筑，根据建筑平面图等资料结算线材的用量，信息插座的数目和机柜定位、数量，做出综合布线调研报告。根据前期勘察数据做出布线材料预算表、工程进度安排表。
5.2 布线中协调施工队与学校进行职责商谈，提出布线许可，主要是钻孔、走线、信息插座定位、机柜定位、做线缆标识等。安装信息模块、配线架及机柜内部。
5.3 测试线路测试是在完工后用专用仪器按EIA/TIA TSB-67《非屏蔽双绞线系统与性能验收规范》对系统进行全面测试，并提交测试报告。信息点测试一般采用12点测试仪，主要测试通断情况。深度测试用美国Fluke DSP-100线缆测试仪，根据TSB-67标准，对接线图(Wire Map)、长度(Length)、衰减量(Attenuation)、近端串扰(NEXT)、传播延迟(Propagation Delay)五方面数据测试，可打印出详细的测试报告。
5.4 布线后链路测试后，选择若干节点，联接网络设备进行联通测试并提交。施工后打印出测试报告，学校以测试报告为标准对整个布线作出判断和结论。在施工质量达到合同要求、性能测试合格和软件验收合格的前提下，双方签字认定工程验收合格。
5.41网络硬件系统验收：校方可以在线路测试和系统联调阶段派技术人员参加测试验收。也可在施工方提交测试报告后，组织技术人员进行复测验收。
5.42网络软件系统验收：检查应配置软件是否齐全，并逐一进行操作检验。软件应运行畅通，圆满实现各种功能。
5.43技术资料移交验收：承建方向校方移交设计、施工、配线等全部资料，校方由专人清点接收入档管理以备查。
5.44培训：承建方按有关条款要求为校方进行布线方案、结构等方面的培训。

要想组建高性能、低成本的局域网，综合布线的好坏至关重要�好的综合布线系统如同给局域网打了一个好的地基.通过本文详细的阐述,我们可以学会如何创建局域网的综合布线,为我们在局域网内的综合布线打下良好的基础。

❼ 职业学校校园网建设的具体方案

校园网建设方案
一、前 言
计算机的发展及其网络化的应用，将人类带入了信息时代。计算机及网络引入校园，构建了校园网络系统。通过校园网络，可以改善教学环境，提高教学质量，调动学生的学习兴趣，提高教职工的办公效率，增强学校与学校、学校与教委之间的交流，使更多的人了解学校等等。校园网不仅将大量的信息储存、传递给教师和学生，而且培养教师和学生的网上采集、分析和处理信息的能力，通过校园网营造了一种满足新型现代化的教学环境，改变教职工的工作方式，改变学校的管理模式、办公模式、教学模式和交流方式。
1.1 如何规划校园网络系统
学校到底怎样做才叫拥有一个真正意义上的校园网？究竟什么样的校园网的规划才是正确合理的，我想先搞清楚如下几个问题，再去规划校园网，那就不会走弯路。
首先，校园网规划首先解决的关键问题是应用 计算机和网络的建设是为了应用，离开了应用，都是摆设，校园网建设也不例外。在校园网建设过程中，有些学校迫于某种特殊原因，忽略了本校的实际情况，脱离了本校的应用能力而构建的校园网，往往就会成为一种摆设和门面，浪费了学校有限的教育资源，岂不可惜!只有充分考虑本校计算机网络应用能力的现状及发展，才能规划一个合理的校园网建设方案。
其次，校园网建设的规模问题 究竟构建什么规模的校园网才能使学校资源有效利用呢？我们建设校园网的目的是为了提高工作效率和教学效果！ PC机器连接起来，实现信息互通、资源共享都可以称之为校园网络。学校哪些部门、何时、适合使用什么样的系统等都需详细规划，只有结合实际情况并具有一定的领先性，同时充分考虑校园网的可扩展性，才能确定校园网的规模。
第三，如何选择应用软件系统的问题 无论校园网投资规模的大小，只有选择好的校园网应用软件，才能真正实现校园网建设的价值。也就是说，无论你在计算机网络设备投资多少，如果没有好的应用软件，就是一种浪费。
第四，投资价值观问题 校园网建设中涉及到诸多因素，对各种因素的认识非常重要，计算机硬件软件都是有价的，而学校应用意识和能力提升是无价的，计算机硬件、软件都会随时间的变迁而过时，唯有应用意识和能力的提高永远不过时。因此，在考虑校园网建设各种因素时，无论是硬件、软件、各级主管部门的要求还是各厂商的建议，都应该以能否提高本校网络应用能力为唯一检验标准。
学校在校园网建设中，如果很好的解决上述四个问题，那么建设校园网就能够成为有利于地区、有利于学校、有利于教职工、有利于学生和有利于家长的好事情，为所有的人称道。
1.2 项目背景
随着计算机及网络引入校园，齐齐哈尔职业学校硬件方面已初具规模，为了更充分发挥校园网络作用，改善教学环境，提高教学质量，调动学生的学习兴趣，提高教职工的办公效率，增强学校与学校、学校与教委之间的交流，使更多的人了解学校，齐齐哈尔职业学校拟规划、开展、实施校园网应用软件系统工程。
具体应用软件规划
学校管理服务器配备以下应用软件：
校务管理系统、资源库管理系统、VOD点播系统、校园网站信息发布系统、虚拟社区。这几大系统基本包含了学校校园办公管理、资源建设、远程（异步）教学、网站信息发布及信息化教学锻炼平台等需要，对学校信息化教育、管理及网络应用意识的提高具有非常重要的作用，同时给学生提供一个洁净的网络环境。
二、校园网系列应用软件具体需求
考虑到学校的具体应用需求，齐齐哈尔职业学校校园网应达到如下功能效果
1、 搭建校园网系统平台，为教育主管部门.学校的领导、教务处、电教中心、后勤处、老师、学生提供全方位日常办公，信息查询功能；
2、 以资源共享为中心，以应用促进发展，以发展带动应用，逐步形成本学校特色的资源，方便教学，知识的沉淀；
3、 系统实现对内、对外信息的发布，信息交流，让更多的人了解学校、了解学校的办学思想，实现远距离信息交流和资源共享；
4、 系统要求满足《教育管理信息化标准》，规定了学校的管理信息与交换标准，
5、 系统要求支持为学生提供一个自主参与学习，互相交流经验的平台
6、 使传统的教学模式、教学方法、教学手段，教育观念、教学思想的得到全方位的转变，提升学校的整体水平；
三、数字校园网软件具体解决方案
根据齐齐哈尔职业学校具体要求，并结合当今校园网应用情况，公司提供如下产品以满足校园网建设的需求
模块名称 数量 实现功能
校园网软件系统(专业版) 1套 包括校务管理系统，资源库管理系统,vod点播系统,校园网站系统和虚拟社区五大系统模块.赠送校园网平台
下面对以上各软件模块进行阐述：
3.1系统平台简介
校园网软件系统是公司将校园网中的校务管理系统、资源库管理系统、VOD点播系统、校园网站和虚拟社区进行整合而形成的校园网综合应用平台，结合了全国几万所学校的使用需求、教育部教育管理信息化标准和公司的技术成就，它覆盖了学校信息化教育中的管理、教学、资源、娱乐、窗口等各个应用环节，各子系统的资源都可以充分的实现共享，是校园网建设中最理想的应用软件系统。
3.1.1性能特点：
1、安全性高 系统设置了多层数据安全屏障，具有完善的用户权限管理功能，所有的功能模块都采用身份认证制度来进入系统（比如系统管理员，用户名和密码分别为admin），数据的备份和恢复。系统中的数据统一存放于SQL Server数据库中，这样我们在使用中就可以减少很多麻烦，比如说，用户可以只用一个身份号就能使用整个系统
2、标准化成度高 首家基于教育部的教育管理信息化标准开发的校园网系统，教育部于2002年8月6日发布教育管理信息化标准，规定了学校的管理信息与交换标准。
3、定制性强 可以对系统的名称、背景图片、功能模块、系统URL、登录授权等项目进行定制调整。
4、扩展性强 系统不仅可以整合校务管理系统、资源库管理系统、VOD点播系统、校园网站和虚拟社区模块，而且可以整合学校任何其它校园网应用模块。
5、应用性强 公司专业从事教育应用软件的开发已有5年多，全国拥有三万多所学校用户，无论开发人员还是服务人员都能充分考虑到该系统的应用性，使得用户使用方便快捷。
6、卓越的性能 采用WINDOWS DNA（分布式网络应用结构）的结构思想，基于B/S结构，支持大型关系数据库SQL，采用大量的COM（组件对象模型）控件技术和优化的数据库处理方法。充分实现了分布式的结构，集中式的管理，灵活的用户接口，模块化的设计，使得系统的性能非常优越。
3.1.2系统主界面
3.2校务管理系统
校务管理系统V5.0是公司根据全国四万多所学校用户的需求、教育部教育管理信息化标准及V3.0/V4.0版本所累积的技术成就而精心打造的校园网核心基础软件，包括系统设置与管理、学校基本信息管理、学生信息管理、教职工信息管理、组织管理、教务教学管理、科研管理、体育卫生管理、办公信息管理、后勤管理、图书管理、教材管理、实验与实习管理及校长助理等十四个大的子系统，拥有近千项子功能，通过系统独特的定制功能，可以让学校各职能部门都能拥有一套既符合教育部标准又具有卓越性能的信息管理系统。
3.2.1 应用环境
可广泛适用于各类职业学校校园网环境。
3.2.2 性能特点
1、卓越的性能 采用WINDOWS DNA （分布式网络应用结构）的结构思想，基于B/S结构，支持大型关系数据库SQL，采用大量的COM（组件对象模型）控件技术和优化的数据库处理方法。充分实现了分布式的结构，集中式的管理，灵活的用户接口，模块化的设计，使得系统的性能非常优越。
2、标准化成度高 首家基于教育部的教育管理信息化标准开发的校务管理系统，教育部于2002年8月6日发布教育管理信息化标准，规定了学校的管理信息与交换标准。通过几十位软件工程师的近一年的努力，且结合公司在教育信息化软件开发所累积的技术成果和用户需求，使得系统数据格式流程完全支持教育部的标准，并且系统功能应用很好满足学校用户的使用要求。
3、极强的定制性 虽然系统具有近千个应用子功能，但通过系统的定制特性，使得学校各职能部门及人员都具有自己所关心的功能模块，同时也不会因为系统的庞大功能而出现应用推广上的问题。
4、应用性强 公司专业从事教育应用软件的开发已有5年多，全国拥有三万多所学校用户，无论开发人员还是服务人员都能充分考虑到该系统的应用性，使得用户使用方便快捷。比如：学生成绩录入功能，系统就提供了七种录入方法，能充分满足老师的各种使用习惯。
5、扩展性强 一方面是系统基于教育部的最新标准，另一方面是系统的模块化设计，无论与其它产品还是与基于标准的其它厂家产品，系统都会具有很好的兼容性，方便地进行数据交换。
6、功能全面 系统具有近千项功能模块，能满足学校信息化教学管理的各个环节的需要。
7、安全性高 系统设置了多层数据安全屏障，具有完善的用户权限管理功能，所有的功能模块都采用身份认证制度，数据的备份和恢复。
3.2.3主要功能
1、系统信息设置与管理 具有微代码、标准代码、功能定制、用户及群组、权限、日志、安全IP、校园网模块链接、友情链接、数据库备份与恢复、单表备份与恢复、数据导入与导出等子功能
2、学校基本情况信息管理 具有基本信息、部门、学期、专业、年级、班组、升级、校规、校史、校风校训、上级教委、达标信息、信息化建设、校内信息、每日提醒、学校其他信息管理及查询等子功能
3、学生信息管理
*学生学籍档案管理 具有学生基本信息管理（增加学生、统一编号、信息维护、分班、班组组织、班内编号调整、调班处理、欠费记录、导入导出、学籍卡打印、毕业信息），学籍变动管理（报到注册、毕业、结业、留降跳级、保留入学资格、恢复入学资格、休学、复学、停学、退学、勒令退学、开除学籍、取消学籍、恢复学籍、转出、转入、借读、学籍挂靠记录）等管理子功能。
*学生成绩管理 具有考试管理（考试安排、考试内容、考试课程分项、考场维护、考场安排设置、总分计算方法、成绩录入、成绩维护、成绩导入），成绩查询、统计、打印、分析、成绩报告单等子功能。
*学生综合素质管理 具有德育素质、智育素质、综合信息、学生奖惩、总成绩、名次、单科成绩、学生评语模板、期末评语录入、社会工作、奖/贷学金等的登记和查询等子功能。
4、教职工信息管理 具有基本信息（学历学位、政治面貌、语言能力、奖励、惩处、简历、工资变动、工资结构、福利保险、住房公积金、住房、配偶、家庭其他成员），教职工工作考核（组织考察、教学工作、任课、教师业务考评、干部工作考核、工人考技考工、工作返聘、教师所教课程登记），教职工职务信息（行政、党派职务、岗位证书、专业技术职务、工人技术等级、社会兼职职务、学术团体兼职），教职工异动信息（国内专家、来华定居工作专家、学者、进校、离校、校内异动、国内进修学习、出国（境）学习工作、离退休），教职工考核管理（考核项目管理、考核项目组合、考核成绩维护、考核成绩统计查询）等子功能。
5、组织管理 具有党支部、团支部、党员、团员、党员培训登记、团员培训登记、党费、团费、活动、其他组织（如教师社团、学生社团对其名称、制度、宗旨、活动、经费设置）等子功能。
6、教务教学信息管理 具有学科设置、课程开设、短期培训、教务工作、年级工作、教学进度、授课计划、教学活动、教研组计划、公开课计划、汇报课计划、实施性教学计划、课程表录入、临时调课、教师授课课时统计、对班级/教师/年级/教研室/全校/临时课表进行查询、课表变动查询、校历的制定与查询、周历的制定与查询、教学收费登记与查询、选修可类别设置、各专业选修要求、选修课开设、选修课程安排、选修课上课人员和选修课成绩管理及查询等子功能。
7、科研信息管理 具有科技项目信息、科技着作信息、科技成果、科技交流等子功能。
8、体育卫生信息管理 具有学生体育、学生医疗保健、教职工卫生医疗保健等子功能，
9、办公信息 具有办公文件、办公事务、文档信息、报名等子功能。
10、后勤管理 具有房产与设施信息、实验室和仪器设备等子功能。
11、图书管理 具有用户、书籍管理、流通管理子功能。
12、校长助理 具有校长之窗、校长查询系统等子功能。
13、教材管理 具有教材信息、教材流通、教材评估管理及查询等子功能。
14、实验与实习管理 具有实验安排及查询、实习基地、实习计划、技能等级证书等子功能。
3.2.4系统构架图
3.3多媒体资源库管理系统
3.3.1性能特点
多媒体资源应用的建设目标是：资源共享以应用为重心，以应用促进发展，以发展带动应用。一套好的多媒体资源应用系统，需具备以下四个特性：
● 能够动态维护资源内容 多媒体资源是为特定群体提供服务的，需要管理员对系统适时动态的提供内容负责，管理员对收录进来的资源进行审核、批注，为人们提供健康、有价值的信息服务。内容的来源主要有：群体内制作录制、网上下载挑选、外部交流、购买等。
● 权限管理 虽然系统是为特定群体提供服务的，但是特定群体里又有各个类别，如教师与学生、领导与职工、不同学校的师生、不同年级的学生等等，他们的需求和兴趣是不一样的，通过权限来实现分类开放，会让你的资源系统充满活力和朝气。
● 全方位应用性 无任何时无任何地，无任何人需要何种资源，只要从网络节点联到服务器，就能满足需要。
● 统计分析 花了一笔不小的开支，管理员做了很多事情，但系统运行得如何，这笔开销值不值，管理员所做的工作是否得到认可，系统是否需要继续完善等疑虑时有发生，通过统计分析便一目了然。
多媒体资源库管理系统 是一种管理网络信息资源的系统，它利用现代计算机、通讯、多媒体、软件技术，由数据中心（数据库）、系统软件、信息支持系统组成。广泛适用于学校、教委、电信、培训机构等集中管理大量网络资源的地方。
本系统作为一个网络应用系统，具有如下的特色：
1、基于大型关系数据库
多媒体资源库管理系统采用的后台数据库，支持当今主流的大型关系型数据库MS SQL SERVER 7.0 / 2000等，有极强的数据安全性。
2、标准化的操作界面
系统采用类似Windows Explorer 界面，具有很强的亲和力，用户无需再进行深入学习便可在最短时间内学会操作并熟悉该系统。
3、 极强的开放性和扩展性
系统采用Windows DNA（分布式网络应用结构）的结构思想，基于B/S（浏览器/服务器）结构的Web应用系统，整个系统具备很强的开放性和扩展性，模块化的设计、集中式的管理，加强了校园网络资源的共享，大大提高了工作效率。
4、 运行稳定性
系统稳定运行是依靠系统IIS（互联网信息服务器）的稳定可靠的运行，系统采用大量的COM（组件对象模型）技术和优化的数据库查询方法，减少服务器的负担，从而保证了IIS的稳定运行。
5、 系统安全性
系统严格采用用户认证的制度，对所有功能模块的使用都有验证，只有经过系统管理员分配的功能模块用户才可以访问，其他的模块对用户来说都是不可访问的。系统管理员对系统有所有资源的调度权，是系统的最高操作人。资源的安全控制可以实现从单一具体资源到文件夹下的所有资源管理。具有资源审核功能、资源权限管理功能、资源URL显示管理功能、功能模块授权操作、是否允许同一用户同时在线、在线用户的具体状态显示等功能。
6、 系统的应用性和实用性
开发小组由专业计算机软件开发工程师与学校代表和专家组成，使得资源库管理系统更加贴近用户，符合用户操作习惯。
7、 全程远程网络管理
提出教育系统信息资源全程网络管理思想，系统管理员可以在网络的任意一个地方进行资源管理，如：远程系统配置、上传资源设置、用户日志查看、访问信息统计等，大大方便了系统的管理工作，提升了工作效率。同时方便不同级别的用户对资源的使用与管理，提高了系统的安全性和稳定性。
8、 全新的应用模式、群集服务器的管理
校园网：校园中央资源服务器中心 ＋ 客户端；
城域网：教委中央资源服务器中心 ＋ 各校节点资源服务器中心 ＋ 客户端。
9、 支持多平台操作
系统全面支持Windows NT、Windows 95/98/2000/XP等操作系统。
10、 个性化设置
系统管理员可以对用户管理：包括新建用户，用户访问权限设置、用户上传空间大小的设置等；
用户可以拥有自己的网上空间，无需拿着移动硬盘到处Copy 文件，同时拥有对自己空间的操作权限。
11、 完善的计费功能
对用户进行包月和不包月计费设置，对资源进行按流量和按点播次数进行计费，用户可以任意选择计费模式。
12、 信息发布与社区服务
新闻和公告的及时发布，留言功能，在线浏览和收发E_mail。
3.3.2 功能介绍
主要功能分为管理中心、资源中心和下载中心三大模块，同时包含一般搜索、高级搜索、分布搜索、计费管理等辅助功能。
1、管理中心（有权限的用户才可以进入）：
管理中心主要包括：用户管理、资源管理、权限管理、授权操作、资源审核、信息统计、日志查询、节点管理和系统设置等功能。
A、 用户管理：由管理员进行操作，包括添加、删除用户等；
B、 资源管理：资源的上传、下载、复制、删除、属性查看等；
C、 安全、权限管理：不同的用户对不同的文件夹的操作权限的设置；
D、 授权操作：对不同的用户可以享有的使用功能的设置；
E、 资源审核：只有经过审核的资源才可以显示，否则上传后一般的用户是不可见的；
F、 信息统计：包括常规统计、访问统计、系统信息等；
G、 日志查询：详细显示在线用户的状态；
H、 节点管理：对节点服务器进行添加删除等操作；（城域网版本）
I、 系统设置：包括资源选项设置、服务器选项设置、系统选项设置、首页选项设置等。其中，资源选项设置又包含资源审核的默认设置、页面文件煤目录数设置、资源计费默认设置、资源预览默认设置、资源URL默认设置等。
2、资源中心：
用户进入资源中心，可在其拥有相应操作权限的资源中进行资源的上传、下载、复制、粘贴、删除、属性查看等，同时可以对图片、流媒体等文件进行预览。
3、下载中心：
可以下载网络上的免费资源，包括常用工具等软件。
4、计费管理：
对用户进行包月和不包月设置，对资源进行按流量和按点播次数进行计费。
对用户的操作：预缴资费、透支金额、包月流量修改设置，历史交费查看、消费查看等；
对资源的操作：单个费率设置、流量费率设置、计费方式设置；
同时有缺省包月设置、缺省透支设置、缺省收费设置等
5、一般搜索：
包括对具体文件、日期、文件类型、大小等进行搜索。
6、高级搜索：
包括对具体文件、搜索范围（如某一子目录）、日期、文件类型、大小等进行搜索。
7、分布搜索（城域网版本）
对分布在各地的节点服务器上的共享资源进行搜索
vod点播系统
3.4.1性能特点
VOD视频点播系统是能在用户需要时随时提供交互式视音频服务的系统，即“想看什么，就看什么，想什么时候看就什么时候看”，在网络上具有提供给各个用户对大范围的音频节目、视频节目、多媒体信息进行同时访问的能力。VOD视频点播系统V5.0 是一种采用微软公司最新的Windows Media Server流媒体服务作为平台，基于B/S（浏览器/服务器）体系结构，实现对网络上的流式媒体进行高质量点播的专业级VOD视频点播系统。采用独创的视频传输技术，业界领先的视频流调控机制，能充分利用网络带宽，动态地保证了点播人数的最大化。能够满足不限数目的用户并发点播和流畅观看同一或不同节目。

❽ 我的电脑是学校局域网，ip与系统程序冲突，导致无法上网

故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。 故障原因：这是APR病毒欺骗攻击造成的。 引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。 临时处理对策： 步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。 注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。 步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC 例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后输出如下： C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。 手工绑定的命令为： arp –s 218.197.192.254 00-01-02-03-04-05 绑定完，可再用arp –a查看arp缓存， C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法： 如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。 NBTSCAN的使用方法：下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令： nbtscan -r 218.197.192.0/24 （假设本机所处的网段是218.197.192，掩码是255.255.255.0；实际使用该命令时，应将斜体字部分改为正确的网段） 。 注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。 补充一下： Anti ARP Sniffer 使用说明 一、功能说明: 使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。 二、使用说明： 1、ARP欺骗： 填入网关IP地址，点击〔获取网关mac地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。 注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。 2、IP地址冲突 首先点击“恢复默认”然后点击“防护地址冲突”。 如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。 首先您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下： 右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
1 ARP病毒---导致网络(ping)时断时通---解决办法
ARP病毒解决办法

决战ARP病毒arp -s 192.168.1.1 08-10-17-f8-6a-4b
从上周起，在单位上网时发生的怪事就一直困扰着我，起初以为是网络不稳定才出现时断时续的现象，并没有引起我太大的注意，可事过两天，该现象却越来越严重，发生频率也是越来越高，同时其他同事的电脑也是同样无法正常上网，故障跟我的一模一样，这引起了我的注意，于是决定把这个问题调查个水落石出。

初期的判断主要是围绕着我自己的电脑展开，在进行了查毒和系统的重装后，竟然问题依旧，难道问题不是出在我这台电脑上吗？带着问题我打开了网络的搜索网页，查了一下网络时断时续的相关资料，果然这种现象是近期的一个热点，原因是中了一种arp的木马病毒，它的原理是将网关的MAC地址改写，直接导致访问网关的电脑无法正确找到网关设备，使网络无法正确连接而造成网络瘫痪。经过进一步调查发现，该木马程序的出现是局域网内有人使用ARP欺骗的木马程序(比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序)。而现象却是网络内所有的电脑都无法正确访问网关导致无法上网，所以单从自己的电脑发向去调查，肯定会是毫无收获的，因为自己的电脑也只是受害电脑之一。

解决方案有两种：
一是临时应急型，可暂时解决不能上网的问题，而不是彻底清除病毒：只需使用Windows系统自带的arp命令即可完成。方法如下：点击开始，运行，输入“arp -s 网关地址 网关MAC地址”，这样即可使网关地址与真正的网关MAC地址绑定，使得局域网内病毒主机无法再进行干扰！但问题是此方法在计算机重启后自动失效，想再次使用必须重复上述操作。
二是彻底清除型，此方法必须将网内受感染的病毒主机找出，若局域网只连几台电脑，则查找难度则很低，只要将病毒主机查出并杀毒即可解决问题。但局域网若是带了几十甚至几百台电脑主机时，查找的难度则会增加很多……

问题既然找出，下一步就要搜查病毒主机了。由于单位上网的小局域网内只连有五、六台左右的电脑，这使查找难度降低很多。但也并非一帆风顺，因为病毒主机伪装的MAC地址并没有使用它自己的网卡MAC地址，而是虚构了一个地址，这使我再次陷入迷茫！但后来在使用arp -a命令时发现总有一个IP地址会出现(此IP既不是我电脑的，也不是网关的)，我由此怀疑这个IP地址就是一切故障的始作蛹者，于是我坚决地在集线器上找到了这个IP对应的网线并将之拨掉，果然在没有这台病毒主机干扰后，网络终于恢复了正常。至此由该arp病毒引发的上网时断时续问题随着这台病毒主机被抓出而划上了完美的句号。

ARP病毒---导致网络(ping)时断时通---解决办法
【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，(rarp同样存在欺骗的问题)，理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。
3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用“proxy”代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。(静态配置路由ARP条目)，注意，使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。
8、管理员定期轮询，检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址：
1)首先，获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。
2)编写一个批处理文件rarp.bat内容如下：
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。

rp
显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

语法
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

参数
-a[ InetAddr] [ -N IfaceAddr]

显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr，则使用第一个适用的接口。要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]

与 -a 相同。

-d InetAddr [IfaceAddr]

删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。

/?

在命令提示符下显示帮助。

注释
? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。

? EtherAddr 的物理地址由六个字节组成，这些字节用十六进制记数法表示并且用连字符隔开（比如，00-AA-00-4F-2A-9C）。
按以下顺序删除病毒组件

1) 删除 ”病毒组件释放者”

%windows%\SYSTEM32\LOADHW.EXE

2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)

%windows%\System32\drivers\npf.sys

a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”

b. 在设备树结构中,打开”非即插即用….”

c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表

d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.

e. 重启windows系统,

f. 删除%windows%\System32\drivers\npf.sys

3) 删除 ”命令驱动程序发ARP欺骗包的控制者”

%windows%\System32\msitinit.dll

2. 删除以下”病毒的假驱动程序”的注册表服务项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf

三、定位ARP攻击源头和防御方法
1．定位ARP攻击源头

主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元兇”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。

标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。

被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。

也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC。

使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。

3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。

2．防御方法

a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。

b.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。

c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。
该病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网吧均会造成影响，用户表现为上网经常瞬断。

一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:\WINNT\system32>arp -a

Interface: 192.168.0.193 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic

可以看到有两个机器的MAC地址相同，那么实际检查结果为
00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.0.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.0.24实际上为有病毒的机器，它伪造了192.168.0.1的MAC地址。

二、在192.168.0.24上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：
C:\WINNT\system32>arp -a
Interface: 192.168.0.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic

可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后网吧内所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。

三、如果主机可以进入dos窗口，用arp –a命令可以看到类似下面的现象：
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic

该病毒不发作的时候，在代理服务器上看到的地址情况如下：
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic

病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。

解决办法：
一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。
1． 在所有的客户端机器上做网关服务器的ARP静态绑定。
首先在网关服务器（代理主机）的电脑上查看本机MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel? PRO/100B PCI
Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然后在客户机器的DOS命令下做ARP的静态绑定
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。

2． 在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定
首先在所有的客户端机器上查看IP和MAC地址，命令如上。
然后在代理主机上做所有客户端服务器的ARP静态绑定。如：
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
。。。。。。。。。

3． 以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。

二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定

三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：该网吧发现的病毒是变速齿轮2.04B中带的，病毒程序在
http://www.wgwang.com/list/3007.html 可下载到：

1、 KAV(卡巴斯基)，可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.c
杀毒信息：07.02.2005 10:48:00 C:\Documents and
Settings\Administrator\Local Settings\Temporary Internet
Files\Content.IE5\B005Z0K9\Gear_Setup[1].exe infected
TrojanDropper.Win32.Juntador.c

2、 瑞星可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.f

❾ 校园网的解决方案

中小型校园网络结构相对比较简单、用户数量从几百到几千、网络的通信系统以内网交换和Internet连接为主。对于这种网络，即要充分考虑网络建设成本，还要考虑网络的扩展性和网络的安全性。网络针对中小型校园网提出了如图2所示的解决方案。
在网络中心机房采用S4603或S3552，完成所有用户流量汇聚和数据转发。用户接入层采用M8000和S2000M/ S2205A组网，通过ESR环网可以把地理位置相对比较集中，用户接入量比较多的接入点如教学区、实验楼、行政楼组成一个环网。其它比较分散的节点通过光纤组成星型网络。S4603路由交换机在校园网核心层完成部分校园网内部Intranet访问和Internet访问路由转发、NAT地址转换和用户认证，以及外部用户访问校园网内部资源的路由转发。如果网络中数据流量比较大，接入用户比较多时，可以在核心设备S4603/ S3552下面通过S3101或S3528进行连接。用户的大量流量先汇聚到S3101/S3528上进行处理，然后需要上传的流量才转发到核心S4603/S3552上，通过两级处理有效的分担核心层设备的流量，避免所有用户的流量都经过核心层，减轻核心层设备的工作压力，提高网络的工作效率和性能。
本校园网解决方案中采用了网络最先进的万兆核心路由交换设备和ESR环网技术，为各种校园网络提供了强大的业务支持能力和可靠的网络保障。本方案具有以下显着的特点：
1、智能业务感知和流量控制网络多业务分组平台和二三层交换机提供强大的业务感知和流量控制能力，能够实时收集网络流量和应用数据吞吐量等准确信息，并提供使用情况报告，从而了解学生上网的情况，并基于此对于相关上网应用进行有效控制。通过业务感知和控制功能，可主动实现对学生分配宽带线路的策略，专门限制某些流量的吞吐量，或者使用整形技术将其移动到高峰以外的时间处理，以提高高峰期的性能，防止网络瓶颈，提高网络利用率和可靠性。如跟踪用户数据，并按照使用的协议和处理的应用进行分类控制。2、学生上网认证和计费网络接入层交换机支持IEEE802.1X认证，通过IEEE802.1X认证可以对学生上网进行控制，避免非法用户接入。同时S4603和E300/E600支持Radius计费功能，能基于流量和时长对学生上网进行计费。3、完善的网络病毒及网络攻击防范策略由于校园网是一个比较复杂的独特的网络，内外网用户数量繁多、各种网络应用频繁发生，各种网络病毒和网络攻击时时刻刻都可能发生。针对此类情况，烽火网络从核心层到接入层实施各种防范措施。核心层E600主控制卡RPM提供流量控制、速率限制和包过滤功能，具有超强控制能力，可以过滤各种网络病毒、非法包和网络攻击。三层交换机能自动的抑制网络中的广播风暴；抗击TCP、UDP、ICMP等类型的DOS攻击；自动防止端口扫描；过滤冲击波、震荡波等致命的网络病毒。M8000和S2000M可通过分析网络流量、自动过滤非法数据，使得设备对大量扫描予以防护和拒绝。通过对网络流量的检查、管理和监控，有效管理网络安全，使整个网络拥有“自动免疫”的安全机能。烽火网络交换机和核心路由器还支持用户帐号、IP地址、MAC地址、接入端口等多元素进行灵活绑定，可限制接入用户接入的上下行速率和网络链接等，对用户访问进行的最大程度的严格控制。4、高智能，多业务接入的网络网络多业务分组平台可承载数据、TDM和视频业务的高可靠性传输。采用M8000可以实现校园网内部电话的连接，无需再铺设电话线；充分保护了网络资源和节约投资费用。同时烽火网络交换机支持IGMPv3，支持的组播条数可达500条，完全满足校园网今后对流媒体业务点播的需求。5、高性能、高可靠、高可扩展的网络核心设备E600提供了900Gbps无阻塞交换能力，在一个机框内它可以提供168个线速千兆接口或14个线速万兆接口。保障了网络的高性能和扩展性。所有关键部件（交换模块、路由模块，电源模块）做了冗余设计，支持在线热插拔，可以从性能、可靠性等方面为大型校园网提供了强有力的保障。6、ESR接入环网在校园网解决方案用户接入层采用基于ITU-T X.87标准的ESR技术组成环网结构，可实现50毫秒保护倒换，很好解决了环网广播风暴抑制和链路或设备故障快速倒换。同时环网还可以节约光纤资源，避免了星型光纤直驱方式下的大量光纤资源消耗。7、方便易行的网络管理网络所有IP数据设备支持多种方式网络管理功能，可通过Web浏览器、Telnet、SNMP、RMON等方式有效地对网络设备进行管理和配置。通过烽火网络WView网管平台可以对全网设备实现配置管理、故障管理、安全管理、性能管理等功能。通过网管系统可以实现远程线路故障诊断定位（精度1米），为庞大的校园网网管工作人员网络故障排除节约大量时间； 烽火网络二三层交换机还支持统一集群网管，一个IP地址可对500台交换机统一管理，为校园网节约宝贵的IP资源。

❿ 校园网络设计方案

目录 2
1 绪论 3
2 安阳实验中学校园网需求分析 4
2.1 环境分析 4
2.2 业务需求分析 4
2.3 网络安全分析 5
2.4 网络增长预测 5
2.5 管理需求分析 5
3 建设方案 6
3.1 校园网拓扑结构 6
3.2 校园网综合布系统 7
3.3 VLAN、IP规划 13
3.4 VPN接入 14
3.5 校园网风险和解决方案 16
3.4 方案特点概述 17
4 主要设备选型 18
4.1 核心交换机选型 18
4.2 汇聚层交换机选型 20
4.3 边缘交换机选型 22
4.4 路由器选型 24
4.5 火墙选型 25
4.6 服务器选型 25
4.7 网管软件选型 26
5 总结 28
参考文献 29
致谢 30