PAGEPAGE1校園石頭文化特色方案設計稿第一篇：校園石頭文化特色方案設計稿韶關地區校園石頭文化設計方案一、設計思路：校園石頭文化以組合來設計，不孤立，不單一。根據學校實地考察的石景，結合《弟子規》當中的經典語錄，融入《儒林國際文化》五個元素，即：家、孝、仁愛、幸福、國際視野，在石頭上面雕刻一些具有警示意義的字句。二、具體方案：（二）一樓會議室西側鋼鐵雕像旁邊紅色行楷：家此處是學生從宿舍通往教學樓的必經之處，寓意孩子們以校為家，宿舍和教學樓都是孩子們的家。（三）教學樓西側花池內橫長石兩個橫字書寫紅色隸書：大-入則孝小-余力學文寓意：結合入口處的”家”字，象征一家人在學校這個大家庭里面，孝敬師長。紅色隸書：余力學文警示孩子們做到大石頭的入則孝，也就是先學會做人，道德品質學好之后，有時間多學習，多閱讀，愛學習。（四）教學樓東側花池內豎長石豎立書寫紅色行楷：知行合一寓意：警示教師與學生時刻要知行合一，把《儒林國際文化》落到實處（五）飯堂斜坡處橫長石橫字書寫紅色正楷：出則悌寓意：提示孩子們把同學當作兄弟姐妹，在公共場合，例如此處下坡的時候，謙恭互讓，不要推擠。第二篇：淺談石頭文化淺談石頭文化毛澤東《詠史》詞云：“人猿相揖別，有幾個石頭磨過，小兒時節。”石器是人與猿相區別的重要標志，因為動物不會制造工具，只有人才會制造工具。原始社會，石頭始終是原始人必不可少的勞動用具。舊石器時代，原始人居住的是石窟、洞穴，使用的是打制石器；新石器時代，原始人壘造石屋，使用的是磨制石器。著名歷史學家呂振羽先生曾這樣描述過，當時的人們“以燧石、石髓、蛋白石、瑪瑙、碧玉等作原料，打制而成三角形、石葉形等形式的石鏃、石鉆、尖狀器、刮削器、石片和石核等等。”《韓非于·五蠹》中還有關于燧人氏“鉆燧取火，以化腥臊”的記載，這就是原始人從燧石中發現并利用火的實例。傳說中的燧人氏，就是中國的普羅米修斯，他為人間送來了火，為人類帶來了光明。火的發現與利用，是人類社會劃時代的大事。隨著原始生產的發展，原始人類在勞動之余，開始了娛樂活動，欣賞和珍藏美石成為了原始文化活動的一個方面。從周口店山頂洞人居住的洞穴里，發掘出約18000年前的入骨化石和裝飾品。其中就有在人骨石旁散落著赤鐵礦染紅的石珠。據考古學家分析，這種石珠，既是審美對象，又是宗教用品。可見，人類觀賞石頭的歷史，遠在18000年前的舊石器時代就已經存在了。而且也完成了由單純地滿足生存等物質生活的需求到追求精神生活的過度。毫無疑問，這是人類歷史的偉大進步，也可以說是人類文明發展的起點。觀賞美石，既是原始的文化活動，反轉來又促進了原始文化的發展。石頭上千變萬化的紋理和美麗的圖像，必然對原始人的思維活動產生影響。著名藝術家羅丹說過：“藝術始發于自然。”原始人從石頭上的自然紋理和圖像受到啟示，并進行模仿，從而產生了原始文字和繪畫，萌發了原始藝術。雖然至今仍沒有確鑿的證據證明這一點，但我們也沒有理由否認。因為既然動植物如貝殼、龜殼等對原始文化能發生影響，為什么石頭就不能呢？既然現代人能模仿石頭進行文學和藝術創作，為什么原始人類就不能模仿呢？所以從某種角度來說，原始文化就是石文化。石文化對原始文化的促進作用還表現在神話故事方面。原始人對自然現象的奧秘無法解釋，就產生了神話。我國古代神話中，就有女媧煉石補天，精衛鳥噙石填海等一系列為世人所熟知的神話傳說，它們都對當時的文學及藝術產生積極影響。最典型的就是《西游記》和《石頭記》，山石中崩出美猴王，石頭幻化成賈寶玉。不僅如此，原始人還把石頭作為圖騰來頂禮膜拜。把自己無法實現的夢想都寄予賦有靈性的石頭上，希望通過石頭保佑他們豐衣足食、國泰民安。在我國羌族人居住的地區，山林道口、田間地頭、屋頂室內都供奉著一塊白石，據傳，這個民族在古代的部落戰爭中，一塊白石救了他們。于是白石成了這個民族的圖騰而受到崇拜，而且一直延續至今。不僅是原始人，泰山的山石文化也形成了獨具風格的泰山山石崇拜。而且為世界各地的華人廣為流傳，影響深遠。游覽泰山時，除了目睹小泰山、紅石門、醉心石等大型的山石奇觀之外，更能看到一大景觀：那些泰山的遠方游客，那些善男信女們，虔誠地撿起地上的石頭，許一個心愿，然后把石頭壓在沿途的樹枝或是石碑上。再有，在泰山的每一條游覽路線和各個游覽景點，我們還可以看到用大理石、花崗巖、漢白玉等山石制成的長條形“泰山石敢當”。據說在秦漢時期，人們把石敢當作為一種靈石，驅邪避禍，以鎮風水。到了五代，出了一個以死保衛晉高祖的石敢，人們十分崇尚他的英雄行為，認為他能逢兇化吉，到明清時代，英雄人物“石敢”便與靈石“石敢當”融為一體了，而且成為泰山山石崇拜的一個物象。這種民間習俗究竟起于何時，已沒有準確的考證，它只是作為民間香社的一種祭拜方式存在著，并將一直延續下去……由此不難看出，石頭，作為一種文化現象，不但充實了人們的精神生活，而且豐富了我們的傳統文化寶庫，使之永遠成為世界文化林中的一塊瑰寶。眾所周知，石頭象征著堅定、堅固、頑強以及各種我們所向往的品質。因此，人們用石心比喻堅定的信念，用石交指代牢固的友誼，用石城湯池形容防守堅固的城池。也許正是由于這個原因，石頭的魅力才這樣恒久不衰。可以這么說，人類生活的方方面面，無處不利用石頭或變相利用石頭。所謂的變相利用，就是用現代的科學技術，以石為器，或以石為原材料，制作成人類所需要的東西。石頭無所不在，無所不用。無論是國家的重要建筑物，如皇宮、皇陵、御園、城堡、寺廟、堤壩、橋梁、大道等，還是民間的園林，房屋、庭院、亭舫、涵道等，無不取材于石。至于石碑、石刻、石雕、石畫、石鐘、石罄、石鼓，石塔、石硯、石棺、石室、石印等，更是在石頭上做盡文章。因為美麗的石材代表著高貴，也隱含些許神秘，而不同的石頭又各具特色。山中的巖石峻峭凌厲；水中的卵石親切圓潤；北方的山石渾厚沉著；江南的石頭奇巧精妙。根據石材不同的特點，人們把它用作很多用途：石刻、碑碣、石磬樂器、雕塑，尤其是建筑。建筑讓石頭的作用發揮得淋漓盡致。人們常說，建筑是一部石頭寫的書。石頭的歷史也因建筑而格外融入了人類文明的歷程。自古至今，從建筑的結構，到建筑表面的鋪裝，到建筑環境中的裝飾，石材一直發揮著重要的作用。通過對石材的選擇、組合、雕刻可以賦予建筑物不同的性格與韻味。以石頭雕刻為例。中國傳統古建筑雖然以木材作為主要的結構構架，但是由于木材不耐火、腐蝕性強以及防潮性能低等無法避免的缺點，決定了石材在中國傳統建筑中仍占有不可或缺的特殊地位。木柱下面的柱礎、房屋下面的臺基、臺基四周的欄桿、臺基至地面的石階、臺基旁的御道、墻上券門的發券、寺廟內的佛像座、殿前的碑碣、大門外的報鼓石等等，我們都可以看到石頭熟悉的身影。而且，凡是用石料的部位，幾乎都可以發現有石雕作為裝飾。至于那些完全用石料筑造的牌樓、佛塔、經幢、門闕、華表、石柱、橋梁等石雕裝飾則更多。雕飾的內容從模仿自然的花草植物，到各種各樣的吉祥動物圖案。其中，在宮殿建筑和官府建筑中，又以龍（包括龍的九子：螭吻、嘲鳳、椒圖、螭首、金猊等）和獅子為首。這些動物往往神態威武、氣勢恢弘。而且雕刻主題明確、裝飾繁復、雕工精致。建筑由此顯得格外雄偉、壯觀，進而進一步襯托出主人的財勢、地位和無上的權利。而在一般的民間建筑中，這種石雕裝飾被簡化了許多。如作為帝王象征的龍以及獅子都已經很少被采用或被禁用，大多采用動植物裝飾或民間的傳說故事等，以表達主人保宅邸平安、驅邪避禍、祛病納福、招財利市、福祿壽喜、加官進爵的美好愿望。雕飾手法也很簡潔，甚至只做一些粗淺的線刻。越是貧民，石雕裝飾就越被弱化。由此可見，在等級制度森嚴的中國傳統建筑中，石雕不僅僅作為一種裝飾手段存在與建筑上，而是與建筑型制、建筑材料、建筑色彩等一起組成一幅封建禮制的圖像。時下，科學技術日新月異，建筑已遠遠不止于石頭的構建，各種新奇的材料幾乎可以達到人們想要的任何效果，石材卻從來沒有喪失它的光彩，依舊牽動著人們的夢想。因此，也沒有人再去質疑“石頭的史書”。石頭依然高貴、優雅、沉著、大方地屹立于材料王國的寶座上，向人們講述著它幾千年文明的歷程、幾千年神秘的使命、幾千年滄桑的變化。縱觀石頭歷史和石頭文化，人們對石頭的利用，一是在物質生活方面，一是在精神生活方面。富于創造力而從不安分的人類，從很早以前就已經不滿足于自身的物質局限性，而力求在精神上超越它。并且，隨著社會繼續向前發展，社會文明程度的逐步提高，石頭的作用及其對文化的影響也將越來越大。將會有越來越多的人們去挖掘、重視和研究那些潛伏在石頭里的科學價值和美學價值，并譜寫新的歷史篇章……第三篇：特色文化校園體系解讀特色文化校園體系解讀為了創建渾南一中特色校園文化，夯實校園文化建設。在校長先進辦學理念指導下，在各部門教師的通力協作下，在一線教師的教育教學實踐中，歷經一年半，渾南一中師生共建和諧特色文化校園基本形成。在學校整體規劃中，特色文化校園體系由教師篇和學生篇構成，其中教師篇由《教師工作手冊》、《教師讀書筆記》兩部分組成；學生篇由《成長之路》、《學生讀書筆記》、《青春導航》、《班級日志》四部分組成，可以說這是全校師生的教育教學成果，是全體教師智慧的結晶。教師篇：《教師工作手冊》：一本教師工作手冊用于記錄教師一學年的教學工作，其中包括、課程表、教學計劃、教學進度表、學生成績冊、周中記事與反思、期末工作總結、發表論文及獲得獎勵與榮譽。《教師讀書筆記》：用于記錄教師閱讀書籍時摘抄精彩片段或撰寫學習心得體會。學生篇：《班級日志》：用于記錄班級每天的課程情況、主要記事、班級出勤統計以及獎懲情況。《成長之路》：記錄個人和班級完整的學習走勢，完善評價和激勵機制，保證公平公正。《青春導航》：記錄學生每日自省后自我肯定和不足之處，充分體現了學生的自我管理。通過每日的“慎獨”培養，養成自律、自控、自省習慣，加強自我教育和自我管理能力的培養。《學生讀書筆記》：用于記錄學生閱讀書籍時摘抄精彩片段或撰寫學習心得體會，每個學期，學校都要組織全校開展閱讀名著的演講活動，有時候，學生之間互相借閱讀書筆記來學習別人閱讀時記錄的精華。第四篇：校園網絡安全方案設計汕尾職業技術學院數學與應用系校園網絡安全方案設計班級:123網絡技術2班姓名:李仲富學號：20XX32420XX設計題目:校園網絡安全方案設計設計時間:6月20XX6月30號汕尾職業技術學院數學與應用系一、校園網方案設計原則與需求1.1設計原則：保證校園網的穩定運行和利用。1.2網絡建設需求：高度的穩定性和高性能性，對網絡統一管理和高效處理。二、校園網方案設計2.1校園網現網拓撲圖整個網絡采用二級的網絡架構：核心、接入。核心采用一臺RG－S4909，負責整個校園網的數據轉發，同時為接入交換機S1926F+、內部服務器提供百兆接口。網絡出口采用RG-WALL120XX火墻。2.2校園網設備更新方案更換核心設備汕尾職業技術學院數學與應用系核心采用一臺銳捷網絡面向10萬兆平臺設計的多業務IPV6路由交換機RG-S8606，負責整個校園網的數據轉發。在C區增加一臺SAM服務器，部署SAM系統，同時A區和B區用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區做為匯聚設備，下接三臺S2126G實現安全控制，其它二層交換機分別接入相應的S2126G。B區匯聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它交換機接入對應的S2126G。C區的網絡結構也做相應的調整，采用現有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現所有匯聚層交換機都能進行安全控制，重點區域在接入層進行安全控制的網絡布局。2.3網絡安全系統的管理1、確定計算機安全管理責任人和安全領導小組負責人應當履行下列職責：（一）組織宣傳計算機信息網絡安全管理方面的法律、法規和有關政策；（二）擬定并組織實施本校計算機信息網絡安全管理的各項規章制度；（三）定期組織檢查本校計算機信息網絡系統安全運行情況，及時排除各種安全隱患；（四）負責組織本校學生的安全教育和培訓；汕尾職業技術學院數學與應用系2、配備１至２名計算機學生安全員（由技術負責人和技術操作人員組成），應當履行下列職責：（一）執行本單位計算機信息網絡安全管理的各項規章制度；（二）按照計算機信息網絡安全技術規范要求對計算機信息系統安全運行情況進行檢查測試，及時排除各種安全隱患；2.4網絡安全系統的風險評估一般可能會遭受到外部的攻擊和入侵、內部的攻擊或誤用、企業內的病毒傳播，以及安全管理漏洞等方面。2.5網絡安全設計2.5.1校園網網絡安全需求分析1.網絡安全的防范：病毒產生的原因：校園網很重要的一個特征就是用戶數比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網共享文件的時候，通過U盤，光盤拷貝文件的時候，系統都會感染上病毒，當某個學生感染上病毒后，他會向校園網的每一個角落發送，發送給其他用戶，發送給服務器。病毒對校園網的影響：校園網萬兆、千兆、百兆的網絡帶寬都被大量的病毒數據包所消耗，用戶正常的網絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的校園網資源卻不能使用的尷尬境地。2、防止IP、MAC地址的盜用IP、MAC地址的盜用的原因：某校園網采用靜態IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方沖突，如果與網關地址沖突，同一網段內的所有用戶都不能使用網絡；如果惡意用戶發送虛假的IP、MAC的對應關系，用戶的大量上網數據包都落入惡意用戶的手中，造成ARP欺騙攻擊。IP、MAC地址的盜用對校園網的影響：在用戶看來，校園網絡是一個很不可靠是會給我帶來很多麻煩的網絡，因為大量的IP、MAC沖突的現象導致了用戶經常不能使用網絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經常汕尾職業技術學院數學與應用系彈出MAC地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網絡的使用，這樣，學生、老師對校園網以及網絡中心的信心會逐漸減弱，投入幾百萬的校園網也就不能充分發揮其服務于教學的作用，造成很大程度上的資源浪費。3、安全事故發生時候，需要準確定位到用戶安全事故發生時候，需要準確定位到用戶原因：資料：國家的要求：20XX年，朱镕基簽署了282號令，要求各大INTERNET運營機構（包括高校）必須要保存60天的用戶上網記錄，以待相關部門審計。校園網正常運行的需求：如果說不能準確的定位到用戶，學生會在網絡中肆無忌彈進行各種非法的活動，會使得校園網變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發布了大量涉及政治的比如法輪功的言論，這時候公安部門的網絡信息安全監察科找到我們的時候，我們無法處理，學校或者說網絡中心只有替學生背這個黑鍋。4、安全事故發生時候，不能準確定位到用戶的影響：一旦發生這種涉及到政治的安全事情發生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。5、用戶上網時間的控制無法控制學生上網時間的影響：如果缺乏有效的機制來限制用戶的上網時間，學生可能會利用一切機會上網，會曠課。像網吧一樣無人監管，通宵、影響明天的課程。精力。6、用戶網絡權限的控制在校園網中，不同用戶的訪問權限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網，不能訪問辦公網絡、財務網絡。辦公網絡的用戶因該不能訪問財務網絡。因此，需要對用戶網絡權限進行嚴格的控制。例如：學院的重要的部門。學生選課。資料檔案。7、各種網絡攻擊的有效屏蔽校園網中常見的網絡攻擊比如MACFLOOD、SYNFLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發送大量的廣播報文，這些攻擊的存在，會擾亂網絡的正常運行低了校園網的效率。計算機專業的學生搞惡作劇，做實驗2.6.2某校園網網絡安全方案設計思想和實施汕尾職業技術學院數學與應用系2.6.2.1安全到邊緣的設計思想用戶在訪問網絡的過程中，首先要經過的就是交換機，如果我們能在用戶試圖進入網絡的時候，也就是在接入層交換機上部署網絡安全無疑是達到更好的效果。2.6.2.2全局安全的設計思想銳捷網絡提倡的是從全局的角度來把控網絡安全，安全不是某一個設備的事情，應該讓網絡中的所有設備都發揮其安全功能，互相協作，形成一個全民皆兵的網絡，最終從全局的角度把控網絡安全。2.6.2.3全程安全的設計思想用戶的網絡訪問行為可以分為三個階段，包括訪問網絡前、訪問網絡的時候、訪問網絡后。對著每一個階段，都應該有嚴格的安全控制措施。2.6.3校園網網絡安全方案銳捷網絡結合SAM系統和交換機嵌入式安全防護機制設計的特點，從三個方面實現網絡安全：事前的準確身份認證、事中的實時處理、事后的完整審計。2.6.3.1事前的身份認證對于每一個需要訪問網絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統定義的允許訪問網絡的時間，通過以上信息的綁定，可以達到如下的效果：每一個用戶的身份在整個校園網中是唯一，避免了個人信息被盜用.當安全事故發生的時候，只要能夠發現肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。只有經過網絡中心授權的用戶才能夠訪問校園網，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網中傳播網絡病毒、黑客程序的通道。2.6.3.2網絡攻擊的防范1、常見網絡病毒的防范對于常見的比如沖擊波、振蕩波等對網絡危害特別嚴重的網絡病毒，通過部署擴展的ACL，能夠對這些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網絡中的其他用戶，保證了校園網網絡帶寬的合理使用。2、未知網絡病毒的防范汕尾職業技術學院數學與應用系對于未知的網絡病毒，通過在網絡中部署基于數據流類型的帶寬控制功能，為不同的網絡應用分配不同的網絡帶寬，保證了關鍵應用比如WEB、課件資源庫、郵件數據流有足夠可用的帶寬，當新的病毒產生時，不會影響到主要網絡應用的運行，從而保證了網絡的高可用性。3、防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規則一致，如果不一致，視為更改了IP地址，所有的數據包都不能進入網絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網絡關鍵設備的IP（如服務器），造成網絡通訊混亂。4、防止假冒IP、MAC發起的MACFloodSYNFlood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現）。并實現端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網絡的攻擊，進一步增強網絡的安全性。5、非法組播源的屏蔽銳捷產品均支持IMGP源端口檢查，實現全網杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉發到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉發向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產品支持IGMP源端口檢查，有效控制非法組播，實現全網杜絕非法組播源，更好地提高了網絡的安全性和全網的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網流媒體應用多元化和潮流下具有明顯的優勢，而且也是網絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網絡大規模的應用環境。6、對DOS攻擊，掃描攻擊的屏蔽通過在校園網中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節省了網絡帶寬，避免了網絡設備、服務器遭受到此類攻擊時導致的網絡中斷。2.7業務連續策略可分為4種類型：人力不可抗拒事件、高傳染性疾病、物理訪問、it邏輯訪問2.8業務持續計劃進行測試、保持和重新評估（1）測試即使：1桌面測試2模擬汕尾職業技術學院數學與應用系3技術恢復測試4供應商設備和服務測試5排練（2）保持與重新評估：考慮各方面的更新1人員2地址或電話號碼3過程4風險第五篇：校園網絡安全方案設計校園網絡安全方案設計案例2案例）班級：學號：設計人：李**（校園第一章、校園網方案設計原則與需求1.1設計原則1.充分滿足現在以及未來3-5年內的網絡需求，既要保證校園網能很好的為學校服務，又要保護學校的投資。2.強大的安全管理措施，四分建設、六分管理，管理維護的好壞是校園網正常運行的關鍵3.在滿足學校的需求的前提下，建出自己的特色1.2網絡建設需求網絡的穩定性要求整個網絡需要具有高度的穩定性，能夠滿足不同用戶對網絡訪問的不同要求網絡高性能需求整個網絡系統需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網各種應用的暢通無阻認證計費效率高，對用戶的認證和計費不會對網絡性能造成瓶頸網絡安全需求防止IP地址沖突非法站點訪問過濾非法言論的準確追蹤惡意攻擊的實時處理記錄訪問日志提供完整審計網絡管理需求需要方便的進行用戶管理，包括開戶、銷戶、資料修改和查詢需要能夠對網絡設備進行集中的統一管理需要對網絡故障進行快速高效的處理第二章、校園網方案設計2.1校園網現網拓撲圖整個網絡采用二級的網絡架構：核心、接入。核心采用一臺RG－S4909，負責整個校園網的數據轉發，同時為接入交換機S1926F+、內部服務器提供百兆接口。網絡出口采用RG-WALL120XX火墻。原有網絡設備功能較少，無法進行安全防護，已經不能滿足應用的需求。2.2校園網設備更新方案方案一：不更換核心設備核心仍然采用銳捷網絡S4909交換機，在中校區增加一臺SAM服務器，部署SAM系統，同時東校區和西校區各用3臺S2126G替換原有S1926F+,其中匯聚交換機各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強對關鍵機器的保護，中校區的網絡結構也做相應的調整，采用現有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現所有匯聚層交換機都能進行安全控制，重點區域在接入層進行安全控制的網絡布局。方案二：更換核心設備核心采用一臺銳捷網絡面向10萬兆平臺設計的多業務IPV6路由交換機RG-S8606，負責整個校園網的數據轉發。在中校區增加一臺SAM服務器，部署SAM系統，同時東校區和西校區各用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區做為匯聚設備，下接三臺S2126G實現安全控制，其它二層交換機分別接入相應的S2126G。西校區匯聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它交換機接入對應的S2126G。中校區的網絡結構也做相應的調整，采用現有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現所有匯聚層交換機都能進行安全控制，重點區域在接入層進行安全控制的網絡布局。2.3骨干網絡設計骨干網絡由RG-S8606構成，核心交換機RG-S8606主要具有5特性：1、骨干網帶寬設計：千兆骨干，可平滑升級到萬兆整個骨干網采用千兆雙規線路的設計，二條線路通過VRRP冗余路由協議和OSPF動態路由協議實現負載分擔和冗余備份，以后，隨著網絡流量的增加，可以將鏈路升級到萬兆。2、骨干設備的安全設計：CSS安全體系架構3、CSS之硬件CPPCPP即CPUProtectPolicy，RG-S8606采用硬件來實現，CPP提供管理模塊和線卡CPU的保護功能，對發往CPU的數據流進行帶寬限制（總帶寬、QOS隊列帶寬、類型報文帶寬），這樣，對于ARP攻擊的數據流、針對CPU的網絡攻擊和病毒數據流，RG-S8606分配給其的帶寬非常的有限，不會影響其正常工作。由于銳捷10萬兆產品RG-S8606采用硬件的方式實現，不影響整機的運行效率4、CSS之SPOH技術現在的網絡需要更安全、需要為不同的業務提供不同的處理優先級，這樣，大量的ACL和QOS需要部署，需要核心交換機來處理，而這些應用屬于對交換機硬件資源消耗非常大的，核心交換機RG-S8606通過在交換機的每一個用戶端口上增加一個FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當于把交換機的每一個端口都變成了一臺獨立的交換機，可以保證在非常復雜的網絡環境中核心交換機的高性能。2.4網絡安全設計2.4.1某校園網網絡安全需求分析1、網絡病毒的防范病毒產生的原因：某校園網很重要的一個特征就是用戶數比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網共享文件的時候，通過U盤，光盤拷貝文件的時候，系統都會感染上病毒，當某個學生感染上病毒后，他會向校園網的每一個角落發送，發送給其他用戶，發送給服務器。病毒對校園網的影響：校園網萬兆、千兆、百兆的網絡帶寬都被大量的病毒數據包所消耗，用戶正常的網絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的校園網資源卻不能使用的尷尬境地。2、防止IP、MAC地址的盜用IP、MAC地址的盜用的原因：某校園網采用靜態IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方沖突，如果與網關地址沖突，同一網段內的所有用戶都不能使用網絡；如果惡意用戶發送虛假的IP、MAC的對應關系，用戶的大量上網數據包都落入惡意用戶的手中，造成ARP欺騙攻擊。IP、MAC地址的盜用對校園網的影響：在用戶看來，校園網絡是一個很不可靠是會給我帶來很多麻煩的網絡，因為大量的IP、MAC沖突的現象導致了用戶經常不能使用網絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經常彈出MAC地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網絡的使用，這樣，學生、老師對校園網以及網絡中心的信心會逐漸減弱，投入幾百萬的校園網也就不能充分發揮其服務于教學的作用，造成很大程度上的資源浪費。3、安全事故發生時候，需要準確定位到用戶安全事故發生時候，需要準確定位到用戶原因：國家的要求：20XX年，朱镕基簽署了282號令，要求各大INTERNET運營機構（包括高校）必須要保存60天的用戶上網記錄，以待相關部門審計。校園網正常運行的需求：如果說不能準確的定位到用戶，學生會在網絡中肆無忌彈進行各種非法的活動，會使得校園網變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發布了大量涉及政治的比如法輪功的言論，這時候公安部門的網絡信息安全監察科找到我們的時候，我們無法處理，學校或者說網絡中心只有替學生背這個黑鍋。4、安全事故發生時候，不能準確定位到用戶的影響：一旦發生這種涉及到政治的安全事情發生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。5、用戶上網時間的控制無法控制學生上網時間的影響：如果缺乏有效的機制來限制用戶的上網時間，學生可能會利用一切機會上網，會曠課。學生家長會對學校產生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。這對學校的聲譽以及學校的長期發展是及其不利的。6、用戶網絡權限的控制在校園網中，不同用戶的訪問權限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網，不能訪問辦公網絡、財務網絡。辦公網絡的用戶因該不能訪問財務網絡。因此，需要對用戶網絡權限進行嚴格的控制。7、各種網絡攻擊的有效屏蔽校園網中常見的網絡攻擊比如MACFLOOD、SYNFLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發送大量的廣播報文，這些攻擊的存在，會擾亂網絡的正常運行低了校園網的效率。2.4.2某校園網網絡安全方案設計思想2.4.2.1安全到邊緣的設計思想用戶在訪問網絡的過程中，首先要經過的就是交換機，如果我們能在用戶試圖進入網絡的時候，也就是在接入層交換機上部署網絡安全無疑是達到更好的效果。2.4.2.2全局安全的設計思想銳捷網絡提倡的是從全局的角度來把控網絡安全，安全不是某一個設備的事情，應該讓網絡中的所有設備都發揮其安全功能，互相協作，形成一個全民皆兵的網絡，最終從全局的角度把控網絡安全。2.4.2.3全程安全的設計思想用戶的網絡訪問行為可以分為三個階段，包括訪問網絡前、訪問網絡的時候、訪問網絡后。對著每一個階段，都應該有嚴格的安全控制措施。2.4.3某校園網網絡安全方案銳捷網絡結合SAM系統和交換機嵌入式安全防護機制設計的特點，從三個方面實現網絡安全：事前的準確身份認證、事中的實時處理、事后的完整審計。2.4.3.1事前的身份認證對于每一個需要訪問網絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統定義的允許訪問網絡的時間，通過以上信息的綁定，可以達到如下的效果：每一個用戶的身份在整個校園網中是唯一，避免了個人信息被盜用.當安全事故發生的時候，只要能夠發現肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。只有經過網絡中心授權的用戶才能夠訪問校園網，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網中傳播網絡病毒、黑客程序的通道。2.4.3.2網絡攻擊的防范1、常見網絡病毒的防范對于常見的比如沖擊波、振蕩波等對網絡危害特別嚴重的網絡病毒，通過部署擴展的ACL，能夠對這些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網絡中的其他用戶，保證了校園網網絡帶寬的合理使用。2、未知網絡病毒的防范對于未知的網絡病毒，通過在網絡中部署基于數據流類型的帶寬控制功能，為不同的網絡應用分配不同的網絡帶寬，保證了關鍵應用比如WEB、課件資源庫、郵件數據流有足夠可用的帶寬，當新的病毒產生時，不會影響到主要網絡應用的運行，從而保證了網絡的高可用性。3、防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規則一致，如果不一致，視為更改了IP地址，所有的數據包都不能進入網絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網絡關鍵設備的IP（如服務器），造成網絡通訊混亂。4、防止假冒IP、MAC發起的MACFloodSYNFlood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現）。并實現端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網絡的攻擊，進一步增強網絡的安全性。5、非法組播源的屏蔽銳捷產品均支持IMGP源端口檢查，實現全網杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉發到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉發向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產品支持IGMP源端口檢查，有效控制非法組播，實現全網杜絕非法組播源，更好地提高了網絡的安全性和全網的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網流媒體應用多元化和潮流下具有明顯的優勢，而且也是網絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網絡大規模的應用環境。6、對DOS攻擊，掃描攻擊的屏蔽通過在校園網中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節省了網絡帶寬，避免了網絡設備、服務器遭受到此類攻擊時導致的網絡中斷。2.4.3.3事后的完整審計當用戶訪問完網絡后，會保存有完備的用戶上網日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網絡，什么時候結束，產生了多少流量。如果安全事故發生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。2.5網絡管理設計網絡管理包括設備管理、用戶管理、網絡故障管理2.5.1網絡用戶管理網絡用戶管理見網絡運營設計開戶部分2.5.2網絡設備管理網絡設備的管理通過STARVIEW實現，主要提供以下功能，這些功能也是我們常見的解決問題的思路：1、網絡現狀及故障的自動發現和了解STARVIEW能自動發現網絡拓撲結構，讓網絡管理員對整個校園網了如指掌，對于用戶私自掛接的HUB、交換機等設備能及時地發現，