1、 重庆科技学院(新校区)图书馆网络规划与设计1概述 随着网络技术的发展,图书馆自动化、数字化以及网络化的发展也越来越快,图书馆工作的运行模式、业务管理、文献信息资源的服务对网络的依赖程度也越来越大,特别是近年来随着数字图书馆的诞生 ,对网络的要求也越来越高。 与其他网络相比,图书馆网主要有这样几个特点:具有极高的可靠稳定性、可扩展性、可管理性,具有高速度和高带宽,满足流介质媒体、远程学习等对带宽和数据敏感的实时应用。为了给师生提供高质量的网络服务,满足广大师生的学习和工作需要,学校对图书馆提出了高校、稳定的功能需要,与校园网其他部分相比,图书馆必须有极高的可靠性和扩展性和可管理性,同时具有高速
2、度、高宽带,能够满足流媒体、视频会议、远程学习等应用,为了打造一个充满活力的现代化图书馆,学校投入大量经费为新馆购置了各种新设备,尤其是在网络和数字存储方面,为今后的进一步发展奠定了坚实的基础。2信息处理和网络需求评估1概述12信息处理和网络需求评估12.1、需求分析12.3设计原则:32.1、需求分析(1) 组网需求采用成熟的组网技术,保证最优性价比。采用简单、清晰的网络拓扑结构,保证网络的稳定和高性能。(2) 设备需求可扩展性强,通过增加新的模块和设备解决网络需求的增长,实现网络的平滑扩容。设备稳定可靠,性能高,能耐受一定程度的大数据量的冲击和安全问题干扰。设备具备多功能支持,要求能够采用
3、较少的投资实现较多的功能。(3) 网络安全需求针对校园网学生比较活跃,易发生IP地址盗用、账号盗用、计算机入侵等安全问题,要求能够实现端到端的网络安全解决方案。(4) 网络管理需求采用方便、灵活的管理方式、支持分层次的IP管理。2.2重庆科技学院图书馆网络结构及各层平面图如下:主楼: 九楼图书馆管理人员办公室(7间),材料装订室(2间); 八楼图书储藏室和过期图书存放室; 七楼电子阅览室; 六楼读者休闲阅览区; 五楼读者休闲阅览区; 四楼读者休闲阅览区; 三楼读者休闲阅览区; 二楼读者休闲阅览区;借还书服务平台;楼读者查询。2.3设计原则:1,实用性和集成性 系统的软硬件都应该以使用为第一宗旨
4、,在系统充分适合图书馆信息化要求的基础上进而再考虑其他性能。该系统的内容很多,必须能将各种软硬件设备有效的集成在一起,以发挥最大作用,协调一致进而进行高校的工作。2,先进性和成熟 系统应该充分的考虑其先进性和安全性,不能一味的追求使用而忽略了先进和安全,只有将当今社会先进的技术和实用相结合,才能获得最大的性能和效益。网络安全是至关重要的一点。在某些情况下即使一些功能不能实现也必须要保证系统的安全性。3,高可靠性: 作为信息系统基础的网络结构和网络设备的配置及宽带应能充分的满足网络通信的需要,网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、使用的
5、解决方案,并通道较多的第三方开发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一,在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速的修复。一个高可用性的系统才能使用户的投资真正得到回报。4,标准型和开放型: 任何事物都有一定的标准,而系统只有合乎一定的标准而且具有一定的开放性,才能与其他开放性系统一起协同工作,在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便能和不同厂家的开
6、放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。5,可维护性和可管理性: 整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。网络所选的网络设备应支持多种协议,管理员能方便进行网络管理、维护甚至修复。在设计和实现时,必须充分考虑整个系统便于维护性,以使系统万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。6,可扩展性和兼容性 系统的软硬件都会有升级换代的可能,采用产品应该要遵循大众化的标准,一边不同的设备能接连入网,以满足系统规模扩充的要求。7,经济性 为了使所实现系统能够在应用发生变化的情况下保护
7、原有的开发投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块,尽量的达到以合理的成本达到最高质量的系统开发。3网络规划与设计3.1拓扑结构 在图书馆楼的建设中,根据大楼的实际情况,综合考虑以后系统运行维护的便宜性,拓扑结构采用了星型拓扑结构。其主要优点是:(1)可靠性高在星型拓扑的结构中,每个连接只与一个设备相连,因此,单个连接的故障只影响一个设备,不会影响全网。(2)方便服务中央节点和中问接线都有一批集中点,可方便地提供服务和进行网络重新配置。(3)扩容和移动方便节点扩展时只需要从交换机等设备、条线即可,而要移动一个节点只需要把相应节点设备移到新节点即可。(4)故障
8、诊断方便如果网络中的节点或者通信介质出现问题会影响到该节点或者通信介质相连的节点,不会涉及整个网络,从iiliit-L较容易判断故障的位置。4合理的安装计划4.1 保证整个网络的高可靠性 从接入层到核心层采用双链路捆绑冗余设计,在保证可靠性的同时实现网络流量均衡负,详细方案如下:(1)全网采用两级星形拓扑结构,分为核心层和接入层。(2)核心层由两台6509核心交换机组成,二者通过千兆光路互联,实现双机双链路热备和负载均衡。(3)校园网防火墙通过2个千兆光口同时连接两台核心交换,并通过千兆光口接入校园网,实现本网络与校园网的安全互通。(4)因特网防火墙通过2个百兆光口同时连接两台核心交换,并接入
9、因特完,实现本网络与因特网的安全互通。(5)内部防火墙通过2个千兆光口分别上联两台核心交换,并连接图书馆的服务器组,实现所有终端对服务器的安全访问。(6)3楼电子阅览室的所有终端接入多台接入层交换机,再通过2个千兆电11分别上联2台核心交换机。通过在核心交换上配置HSRP组实现冗余热备下的均衡负载。4.2 VLAN划分方案 划分原则:一个楼层划个VLAN,同一个部门划分在相同的VLAN中。如果在一个楼层中存在多个部门,在没有特殊情况下,也将它们划分在一个VLAN中,因为这样划分有利于以后的网络维护,确保它的安全性。考虑到网络中部分服务器系统的安全性,将这些服务器系统也划分在一个固定的VLAN中
10、,使其与其它系统和部门相互隔离,提高服务器系统的安全性,对于一些重要的服务器系统,采用了防火墙技术,将硬件防火墙系统架设在这些实时系统和信息主网络之间,确保服务器系统在防火墙的保护下能够安全可靠的运行。通过VLAN的划分将图书馆的信息网络系统划分成多个小的局域网,使其在逻辑上相互隔离,从而使得原本一个大的广播域被分割成多个小的广播域,降低了广播风暴等安全风险,也便于整个网络的管理与维护。4.3 拓扑可靠性 本系统的拓扑结构为星型拓扑结构,具有可靠性高的优点,在星型拓扑的结构中,每个连接只与一个设备相连,因此,单个连接的故障只影响一个设备,不会影响伞网。4.4 设备的冗余备份在实旌过程中,由于采
11、用了星型的网络拓扑结构,该结构具有可靠性高的优点。在星型拓扑的结构中,每个连接只与一个设备相连。因此,单个连接的故障只影响一个设备,不会影响全网。但星型结构对中央节点的依赖性强,一旦中央节点n现故障,则整个网络将不能正常工作。为了解决星型拓扑结构存在的缺陷,保证网络的高可靠性,在实施过程中,为全网的中央w110点雕置了两台高可靠性的核心交换机,并在两台核心交换机t进行了冗余备份、均衡负载设置。通过HSRP协议把两台核心交换机相且设胃成争备模式,设备删的交换机通过两条光纤分别上联到两台核心交换机上,设备间的交换机传输的数据包也会自动分配到两根光纤上进行传输(通过这种方式连接的传输速率相当与通过两
12、根光纤捆绑后的传输速率)。这样一来两台核心交换机就会同时工作并相互做为对方的备用设备,数据包也被自动分配到两台核心交换机上进行处理达到均衡负载的效果,从而提高网络的性能及可靠性。5 设备选型5.1 设备要求1. 支持会话状态分析、智能协议分析、流重组等检测技术:2.系统可以阻断对特定服务器的访问或来自特定用户的服务;3. 支持双网卡分流重组技术,可以利用双网卡分别处理上行和下行网络流量,提升入侵检测系统的检测率;4. 系统对所检测到的入侵企图和违背设定安全策略的活动提供了多种响应方式;5. 提供强大的病毒(蠕虫)检测功能及强大的可疑事件检测能力,支持至少600条蠕虫检测规则;6. 支持与审计系
13、统、安全管理中心的联动,支持关联分析;7.内置强大的、灵活的协议解码器,用户可根据需求灵活定义协议和各种入侵检测规则;8. 支持分级管理功能:9. 支持实时会话监控;10. 提供网络流量统计报表、丰富的入侵事件报表、针对当前系统设置的详细分析报表和用户自定义报表;11. 支持简单、实用的图形化H户界面:今中文的串U管理功能;12. 支持SSL加密环境;1 服务器2 路由器3 交换机4 方正电脑5 集线器6 双绞线7 电脑桌5.2 小结 在图书馆网络系统的研究和实施过程中,两台核心交换机之问通过两条光纤搁绑进行连接,并且在两台核心交换机之问配置了HSRP协议,达到冗余备份、均衡负载的效果。由于图
14、书馆的业务系统安全级别分类比较多,既包括在安全分区IV区的信息系统,也包括在安全分区Il区的两犬实时系统。为了确保这些系统的安全,非常细致的划分了VLAN,并在各区与信息系统的连接部分配置了防火墙,用于确保处于ll区等高级别区域的生产实时系统的安全、稳定、可靠运行。为了提高提高网络系统的可靠性,做到快速故障恢复,使用了HSRP协议,将两个核心交换机分别设置成t备模式。这样,信息I叫络平台中的所J配胃息被同时保存在两台主机主机中,即使一台核心交换机因故障停机,通过这种主备模式,备一=l交换机也能很快投运,从而提高了整个网络系统的可靠性。6 扩展模块 每种500 Series 基本单元包含可接插两
15、个扩展模块的插槽,以方便增加用户和实现高性能的连接:4-端口10/100TX 模块在一个交换器上扩展实现12,28或32 个端口,2-端口100FX 模块支持多达2 公里的光纤连接。6.1 高性能堆叠 通过把高速背板集成到可选模块上,Intel 的外背板可扩展堆叠技术(ScalableStacking Technology,SST)使你能够随着往堆叠上增加交换机来提高交换容量。它是个让你能够通过增量方式构造高性能交换方案的唯一解决方案。你可以在需要时通过向堆叠中增加交换机来支持更多的用户,这样你的交换网络就能够满足不断增长的流量需求。6.2堆叠接口(Stacking Interface)模块(
16、单端口) 堆叠式界面模块可在两个Intel Express 500 Series Switch 之间提供2.1Gbps 的Switch 与Switch 之间的性能扩展堆叠之间的背板连接。为连接两个交换机,每个交换机上都需要安装一块堆叠接口模块。堆叠三个或更多的500系列交换机时,你需要个矩阵(Matrix)模块。6.3矩阵(Matrix)模块(6 端口) 矩阵模块可将多达7 个的交换器(192 个端口)与带宽高达17Gbps 的可扩展高性能有机相连。一个堆叠中的某个交换机上必须安装该模块。其它交换机上必须安装堆叠接口模块。6.4千兆以太网(Gigabit Ethernet)模块(单端口)和堆叠
17、接口(StackingInterface)模块(单端口)双口模块GB2 模块 可以为百兆主干交换机组设备与千兆交换机之间增加一条1000Mbps 的干线同时也可与其它百兆交换机组堆叠。 7 网络安全措施6.1 图书馆网络安全管理与维护除了注意网络系统的布线及选择适宜的拓扑结构这两个方面外,还要注意的是所建造的网络综合信息系统与外界其他网络可联接的能力。在当今社会进一步开放特别是Internet 国际网络迅猛发展的形势下,任何一个企业、部门都不应该也不可能再去建造一个与外界完全隔离的、封闭的信息网络。这种开放性便于我们与外界进行信息交流,为图书馆的信息发布提供了跨时间、跨空间、即时服务的能力,但
18、是它也带来了一系列问题,如安全性问题、病毒防范问题等。从理论上来讲,计算机网络上的通信面临以下四种威胁:一是截获,即攻击者从网络上窃听他人的通信内容;二是中断,即攻击者有意中断他人在网络上的通信;三是篡改,即攻击者故意篡改网络上传送的报文;四是伪造,即攻击者伪造信息在网络上传送。上述四种威胁可划分为两大类,即被动攻击和主动攻击。截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。对付被动攻击可采用各种数据加密技术,而对付主动攻击,则需将加密技术与适当的鉴别技术相结合。还有一种特殊的主动攻击是对网络安全威胁较大的恶意程序的攻击,主要有计算机病毒、计算机蠕虫、特洛伊木马、逻
19、辑炸弹等。图书馆储存的数据都是一些非常重要的数据,有些数据一旦被毁坏或丢失了将会影响到图书馆工作的正常运行,甚至可以导致图书馆瘫痪。特别是有些馆的历史很长,已建库的数据量很大,一旦有所散失将意味着巨大的重建工作,这项工作往往不能在短期内完成。为了保证图书馆计算机网络的安全,一方面要保证保密性通信,用加密算法来对信息进行加密,以对抗可能的窃听;另一方面要保证协议的安全性,有两种方法,一种是用形式化方法来证明,另一种是用经验来分析协议的安全性;还有一方面是对接入网络的权限加以控制,并规定每个用户的接入权限。6.2下面我想结合我馆的情况讲述一下我馆对安全性、病毒防范等问题的解决方法。我认为前述这种方
20、案投资较少,只需利用Linux、Scounix 这些常用的效率较高的系统组成网络,而且Linux 下的代理服务器软件也可在网上或利用其他方式免费获得,最重要一点是将内部集成系统服务器的服务一分为二,这样即使外界破坏了外部Web 服务器服务功能,也不会影响到数据库系统的服务,如果对外部Web 服务器采用双机备份策略的话,将更加保证整个系统的正常、长久地运行。对于病毒的防治可通过在服务器上加装防毒软件即可。除了上述改造外,必要的数据备份工作也是绝不可少的。总之,对于一个图书馆网络的构建,我认为以上三点考虑是非常重要的。当然还有别的细节也需要考虑,例如网络的速率等。或许上述三个方面ux 功能强大,服
21、务较好,加上现在微机性能已大大提高,从而可以利用Linux 的代理网关软件建立了一台Linux 的网关服务器,在这里可以利用IP 包过滤机制来指定内部网里上Internet 网机子的IP 地址,并且可进一步限定登录的网站,以减少了黑客攻击的可能性。通过上述改造最终形成的一个网络拓扑结构。6.43防火墙是网络安全的第一道门户,可以实现内部网(信任网络)与外部不可信任网络或是内部网不同网络安全区域的隔离与访问控制,保证网络系统及网络服务的可用性,安装最新的防病毒软件,并定时更新、升级,及时杀毒。在本网络中,部署了三台防火墙设备,用jJ:建直基本的安全机制,所采取的主要访问控制策略包括:(1)在网络
22、的对外接口,在网络层实施访IuJ控制;(2)在因特网方向控制为准单向访问,允许本地网朋户访问因特网资源,但严格限制凶特网对本地资源的访问;(3)通过防火墙,将内部网络划分为服务器区和终端区这二个逻辑上分开的区域,以防范通过用户终端发起的攻击:(4)内部网所有工作站和服务器都处于防火墙的整体防护之下,只要通过防火墙设置的修改,就能防范绝大部分来自囚特网和校园网的可能攻击,网络管理员只需要关注对外提供服务的相关应用的安全漏洞;(5)通过防火墙的过滤规则,实现端J级控制,限制内部网用户对因特网的访问;(6)进行流量控制,确保重要业务对流量的要求;(7)通过过滤规则,以时问为控制要素,限制大流量网络应
23、用在上班时问的使用;(8)通过防火墙的过滤规则,限制校园网和因特网用户对内部服务器的访问,将访问权限控制在最小的限度,在这种情况下,网络管理员可以忽略服务。器系统的安全漏洞,只需要关注应用服务软件的安全漏洞;(9)通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制。6.4指派专门的安全人员进行系统维护,并对其他用户进行相关指导,包括机器基本设置和网络方面。有的学生和老师对于不是个人的机器,没有安全防范意识,还有非专业人士,不知道维护,只知道上网,出现了问题无法解决。对于他们进行安全培训是非常有必要的。6.5加强并规范上网场所的行为监控和管理规范上网场所行为监控,加强上网场所的管理和监
24、控;制定相应的管理规定措施并严格执行;同时培养高素质并有责任心的网络管理人员。6.6 加强培训 教职员工尤其是一线教师是校园网的使用者,非计算机专业的教师的计算机应用水平将直接决定着校园网使用情况,所以要不同时间针对不同对象举办不同内容的培训。而且培训要分对象,要分时间,分内容。基础培训面向全校老师,主要内容为计算机基础应用、Internet应用。应用培训面向教学骨干和青年教师,内容为应用软件、网络基础、课件开发、网络教学、信息技术等的整合。对学院的行政办公人员,内容应为计算机基础应用、Internet应用、校园网办公平台的使用。通过培训,使广大校园网的使用者具有教学设计技能、校园网操作技能、
25、多媒体CAI课件制作技能、远程教学技能。7 预算(造价)方案 目前,我院图书馆推出信息化,必须要走的一步路就是网络节点进图书室,扩大网络覆盖的范围,而且经过前期的基础建设,网络骨干节点已经接入,为本期工作准备了充分的条件,要考虑相当程度的节点冗余,便于日后的网络维护和扩展。具体预算经费如下:预 算 参 考 列 表设备名称单价(元)数量总价(元)Cisco路由器11018111018方正台式计算机3500150525000双绞线1(/米)1500米1500集线器12015180防火墙46500146500光纤1902380电脑桌26015039000布线工具及工程造价约 10000元总计 ¥ 6
26、855788总结与展望本文针对一个实际的图书馆网络建设工程,分析了某校园图书馆网络系统升级和安全上存在的问题、需求,设计了符合目前校园网络应用需求的校园网系统结构及系统平台,并对校园网络的安全性问题进行了深入研究。在此基础上,形成了解决网络现存需求与问题的方案,其主要特点如下:(1)采用了先进的数字化综合布线技术,提高了运行维护的效率。(2)在核心交换的冗余设计中,采用核心交换双机的双链路互联方案,提高了核心交换的可靠性。(3)比较完备的网络安全设计。网络内部安伞方面,应用VLAN技术对用户尸E格隔离,Vlan ID+IP+MAC绑定达到用户唯一标识。例络外部安全方面,采用高效的网络管理系统,防火墙技术、入侵检测系统,从安全防护、报警、响应、追踪、恢复、报表和证据采集等各个万确i对l卅络系统提供可靠的安全服务。在防病毒方面,应用趋势的网络版防病毒软件,在全馆进行了统一部署。- .