图书馆信息网络.docx
- 文档编号:25053443
- 上传时间:2023-06-04
- 格式:DOCX
- 页数:16
- 大小:161.60KB
图书馆信息网络.docx
《图书馆信息网络.docx》由会员分享,可在线阅读,更多相关《图书馆信息网络.docx(16页珍藏版)》请在冰豆网上搜索。
图书馆信息网络
图书馆信息网络
设计及实施方案建议
设计人:
____________
班级:
____________
学号:
____________
年月
目录
一图书馆概况及需求分析3
1.1图书馆概况3
1.2图书馆网络需求分析、设计目标4
1.2.1需求分析4
1.2.2设计目标4
二图书馆网络方案设计5
2.1图书馆网络拓扑结构设计5
三VLAN技术在图书馆网络中的应用6
3.1VLAN技术简介6
3.2VLAN在图书馆网络中的具体应用6
3.2.1创建vlan的条件6
3.2.2VLAN划分的三种方式7
3.2.3VLAN具体划分7
3.2.4VLAN的实现8
配置完成后便可实现不同VLAN之间相互通信9
四硬件设备和存储技术选择10
4.1硬件设备选择10
4.1.1主干路由器选择10
4.1.2接入层交换机10
4.2存储技术选择11
4.2.1常用的存储技术简介11
4.2.2图书馆存储技术具体选择13
五图书馆网络安全14
5.1图书馆网络存在的安全问题14
5.2图书馆网络的安全策略15
5.2.1防火墙15
5.2.2入侵检测系统15
5.2.3通过划分VLAN来防止绝大部分对校园网的侦听15
5.2.4采用NAT技术16
一图书馆概况及需求分析
1.1图书馆概况
河北金融学院图书馆坐落在学校的中心位置,建筑面积1.6万平方米,共计5层,配有中央空调,环境优雅,其中设有各类阅览室15个,教师研讨室6个,内有各种阅览座位2000多个,完全采用查、藏、借、阅一体化的馆藏布局和服务模式,打造优雅舒适的服务环境和信息空间。
二楼图书管理处借书和还书共用一个窗口,五楼为电子阅览室和会议室。
1.2图书馆网络需求分析、设计目标
1.2.1需求分析
(1)设计需求
包括图书馆局域网建设及与校园网主干互联。
图书馆局域网以交换式千兆以太网为主干,网络不仅支持传送文件,还要支持语音、视频等信息量大的流媒体应用,对网络的响应和带宽要求较高,这就要求网络设备的要有较大的交换容量;同时还要加强网络安全策略,对内防止病毒侵扰、对外防止外部的网络攻击;针对图书馆资源的访问方式,故采用有线网络为主,无线网络为辅的接入方式。
(2)组网需求
采用组网技术保证最优性价比,利用网络拓扑结构保证网络的稳定和性能的高效,网络设备要有较大的容量,采用星型千兆以太网连接方式,把各个楼层分块,通过核心交换机CERNER和Internet。
(3)安全需求
图书馆拥有众多教学和档案管理的重要数据,为加强安全策略,对内防止病毒侵扰,对外防止外部的网络攻击,可以采用内部核心区域设置防火墙,避免图书馆内网核心服务器受到攻击。
(4)管理需求
利用灵便简单的管理方式,支持分层次的IP管理
1.2.2设计目标
图书馆网络系统设计应该考虑到网络的总体框架设计、网络管理设计、网络应用设计、网络安全设计等,要求达到的目标有一下几点:
第一,系统的兼容性好,实用性强,开放性好,符合国际标准,支持TCP/IP、IPX/SPX协议。
第二,掌握现代信息技术发展,采用先进技术,选用技术成熟的网络产品。
系统软硬件配置时需要考虑性能需求和当前技术水平,兼顾系统的现实性和技术领先。
第三,整体设计最优原则,在进行设计的时候,需要根据合理性的原则,综合考虑,这种选择,充分顾及到:
安全性、可靠性、实用性和经济性。
第四,系统安全可靠,便于维护和管理。
第五,适应现代化技术的发展,与中国教育科研网(CERNET)等国内和国际互联网相连,实现真正的国际、国内网际互联。
二图书馆网络方案设计
2.1图书馆网络拓扑结构设计
学校图书馆网络采用层次化的星型网络拓扑结构。
网络分为两层:
接入层与核心层。
图书馆的核心层设备又是校园网的汇聚层设备。
将三楼配线间作为中心机房,放置各个楼层的接入层交换机和中心交换机以及各种服务器。
主配线间与楼层配线间使用光纤连接,接入层交换机均安放在个配线间中。
学校图书馆网络结构拓扑图:
三VLAN技术在图书馆网络中的应用
3.1VLAN技术简介
VLAN((VirtualLocalAreaNetwork),既虚拟局域网,指交换局域网中,采用网络管理软件来构建不同网络的端到端、跨越不同网段的逻辑网络。
一个VLAN就是一个逻辑广播域,可以覆盖多个网络设备,处于不同地理位置的网络用户加入一个逻辑子网中。
VLAN技术的优势:
第一,控制广播风暴
一个VLAN就是一个广播域,通过创建VLAN,隔离了广播,缩小了广播范围可以控制广播风暴。
比如在图书馆电子阅览室中,使用VLAN技术,可以把阅览室的IP分为一个或者几个VLAN中,划分之后就可以把广播限制在各VLAN内,减少对全网的影响。
即使出现“广播风暴”,管理员也容易在出现广播的VLAN内锁定源头,迅速找出愿意,恢复网络的正常使用。
第二,提高网络的安全性
传统的局域网中,任意一台机器都可以截获局域网中其他计算机之间传输的数据包,存在着安全隐患。
划分VLAN后,各个VLAN间不能相互通信,必须通过路由器转发VLAN间的信息,如果VLAN间没有路由器,那么VLAN就相当于一个独立的局域网,安全性大大提高,此外,还可以在VLAN间的路由上进行相应设置,实现VLAN间的安全访问,所以,VLAN技术是防止网络监听的非常有效的手段。
3.2VLAN在图书馆网络中的具体应用
3.2.1创建vlan的条件
VLAN是建立在物理网络的逻辑子网,因此建立VLAN还需要支持VLAN技术的网络设备。
当不同的VLAN间需要互相访问时,也需要路由设备的支持,既可以用路由器,也可以使用三层交换机。
(本实验中用的是三层交换机)
3.2.2VLAN划分的三种方式
(1)基于端口的VLAN划分
基于端口的划分就是把一个或多个交换机上的端口划分为一个逻辑组,是划分方法中最简单、有效的一种,只需网管对设备的端口进行重分配,不需考虑端口连接的设备。
(2)基于MAC地址的VLAN划分
这种划分方法是根据每个主机的MAC地址进行划分,对每个MAC地址的主机都配置它隶属于哪个组。
(3)基于网络层的VLAN划分
通过连接的计算机的IP地址,来决定端口隶属于哪个VLAN的方法就是基于网络层的VLAN划分。
这种划分方法虽然是根据IP地址划分,但与网络层的路由没有任何关系。
3.2.3VLAN具体划分
(1)图书馆的网络结构
图书馆网络结构大致分为:
会议室、电子阅览室、信息查询、管理员。
(2)图书馆的VLAN划分
根据图书馆的结构和需求,采用基于端口的VLAN划分方式,把网络划分为5个VLAN。
图书馆管理会议室:
可以进行会议所需要的资源,把它划分为一个VLAN,使用内网IP地址,与外网隔开。
此VLAN包括;图书馆会议系统的服务器和使用该系统的所有业务站点。
电子阅览室:
电子阅览室是高校图书馆不可缺少的部分,且规模在不断扩大。
但校园网的IP地址有限,不能为每个终端分配IP地址。
同时,为了防止“广播风暴”,将电子阅览室划分为一个或多个VLAN,使用图书馆内网IP地址。
信息查询:
该系统为读者提供免费、开放的检索咨询服务。
由于开放和免费,所以读者流动性较大,安全性较低。
所以,把给系统分为一个VLAN,出现问题不影响其他系统,保护整个网络的安全。
④办公系统:
图书馆的办公系统需要真是的IP地址连接到校园网,此系统应该划为一个VLAN。
⑤网络管理系统:
服务器和网络设备是图书馆自动化的核心部分。
高校图书馆都有专门的人员对该系统进行维护,定时对重要数据进行备份。
因此,把该系统划分为一个VLAN,并且对这个VLAN进行严格的访问控制,从而保护图书馆网络的安全。
3.2.4VLAN的实现
本网络中网络管理系统VLAN创建如下:
SW1>enable
SW1#configt
SW1(congfig)#vlan2
SW1(congfig-vlan)#exit
SW1(congfig)#interfacefastEthernet0/2
SW1(congfig-if)#switchmodeaccess
SW1(congfig-if)#switchaccessvlan2
SW1(congfig-if)#exit
SW1(congfig)#interfacef0/3
SW1(congfig-if)#switchmodeaccess
SW1(congfig-if)#switchaccessvlan2
SW(congfig-if)#exit
上述指令即可把会议室的主机划分到VLAN2中。
同理即可得到电子阅览室、电子阅览室、信息查询、管理员的VLAN划分。
为了减少工作量也可以使用VTP配置各部门VLAN,具体过程如下,结果如下所示:
SW3(config)#vtpmodeserver
SW3(config)#vtpdomainCISCO
SW1(config)#vtpmodeclient1
SW2(config)#vtpmodeclient2
SW3(config)#intf0/2
SW3(config-if)#switchmodetrunk
SW1(config)#intf0/1
SW1(config-if)#switchmodetrunk
SW2(config)#intf0/1
SW2(config-if)#switchmodetrunk
配置VLAN后还要使用VLAN间路由来实现全网畅通,配置命令如下:
SW3(config)#intfacefastethernet0/1
SW3(congfig-if)#switchtrunkencapsulationgdot1q
SW3(congfig-if)#switchmodetrunk
R2(config)#intfacefastethernet0/1
R2(congfig-if)#noshutdown
R2(congfig-if)#exit
R2(config)#intfacefastethernet0/1.1
R2(config-subif)#encapturedot1q2native
R2(config-subif)#ipadd192.168.1.254255.255.255.0
R2(config)#intfacefastethernet0/1.2
R2(config-subif)#encapturedot1q3native
R2(config-subif)#ipadd192.168.2.254255.255.255.0
R2(config)#intfacefastethernet0/1.3
R2(config-subif)#encapturedot1q4native
R2(config-subif)#ipadd192.168.3.254255.255.255.0
R2(config)#intfacefastethernet0/1.1
R2(config-subif)#encapturedot1q2native
R2(config-subif)#ipadd192.168.4.254255.255.255.0
R2(config)#intfacefastethernet0/1.4
R2(config-subif)#encapturedot1q5native
R2(config-subif)#ipadd192.168.5.254255.255.255.0
配置完成后便可实现不同VLAN之间相互通信
四硬件设备和存储技术选择
4.1硬件设备选择
4.1.1主干路由器选择
主干路由器要求具有较高带宽、较高吞吐率,同时,主干网的中心路由器是整个网络中的最关键设备,一旦出现故障将导致整个网络的瘫痪,这就要求在设计方案中必须考虑建立一定的容错措施,还要有良好的扩充性和必要的冗余端口。
基于上述需求,选择思科的CISCO7206-BB路由器作为图书馆的核心路由器。
Cisco7200的一个关键优势是其模块化特性。
在7200系列的配置中,客户可以选择4种处理引擎、一个4或6插槽多服务机箱、不同的输入/输出(I/O)控制器以及多种LAN和WAN端口适配器,这使7200系列能够提供大量不同的配置,以满足不同的网络需求。
与目前同类的设备相比CISCO7206-BB路由器最高可以提供1Gbps的背板带宽,并包括了集成的多服务交换(MIX)功能,可以为将来网络需求新服务时提供冗余。
端口适配器覆盖了多种LAN和WAN连接,端口总数最高可以达到48个,可用于将来网络的扩展,并提供单电源或双电源。
4.1.2接入层交换机
为完成各个楼层工作站的接入,需要选择合适的接入层交换机,接入层交换机与核心交换机连接,为楼层工作站提供合适的接口,使各工作站有效的接入网络。
选择思科Catalyst2960交换机,Catalyst2960是一款理想的接入层交换机,此设备与同类设备相比具有相当好的稳定性,适用于小型企业布线室或分支机构环境,并可部署新应用,它具有集成安全特性,包括网络准入控制(NAC)、访问控制列表、速率限制、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。
4.2存储技术选择
随着图书馆信息量的剧增,存储规模也越来越大,信息度量单位也不断改变,从KB到MB,进而到TB,以至PB。
存储这些海量信息不但要求存储设备有很大的储存容量,而且还需要大规模数据库存储和处理这些数据[9],这就涉及到硬件随时读取的速度、数据集中与分布、存储管理方法等问题。
4.2.1常用的存储技术简介
(1)直连式存储(DAS)
DAS是所有网络存储设备的基础,依赖服务器主机的操作系统对数据进行存储维护和I/O读写,在进行数据备份和恢复的时候会占用主机的资源,包括CPU和I/O系统。
直连式存储的数据量越大,备份和恢复数据所用的时间就越长,对服务器硬件的依赖性、影响性就越大[10]。
图5.1显示DAS存储拓扑:
此模式的好处是前期投入低,缺点是后续成本大,总拥有成本(TCO)较高;随着应用服务器的增加,网络系统效率会急剧下降。
(2)网络附加存储(NAS)
NAS是一数据为核心的存储系统,可以实现异构平台上的文件共享,可以直接和LAN相连,提供文件级服务,其拓扑结构如图5.2所示。
在实际应用中,多个用户同时并发访问同一数据时,传输过程十分繁琐,极大的增加了网络的开销,使得数据的I/O速度变慢,严重影响用户的正常使用。
所以,NAS不适合在对访问速度要求过高的应用场合使用。
此外NAS无法将多个NAS设备,整合成一个统一的存储池进行集中管理。
NAS存储拓扑图
NAS存储设备不承担应用服务,它有自己的CPU、内存、主板和操作系统从这点看,NAS存储设备本身与文件服务器没有太大的区别。
其数据访问过程如图5.3所示:
(l)客户机向服务器发出连接请求;
(2)服务器确认后将存放在存储设备中的文件目录信息发送给客户机;
(3)服务器监听客户机下一个的数据请求;
(4)客户机发出数据访问请求命令;
(5)服务器返回文件的地址信息,并等待客户机的下一个命令请求或其他客户机的连接请求;
(6)客户机向目标存储设备发出连接请求;
(7)目标存储设备确认后,等待客户机的读写命令,等待接收数据;
(8)目标存储设备向客户机发送数据,结束后等待下一个读写请求。
NAS数据访问过程
(3)存储区域网络(SAN)
存储区域网络是一个高速子网,子网中的设备可以从主网卸载流量。
通常SAN由RAID阵列连接光纤通道,SAN和客户端、服务器的数据通信是通过SCSI命令而不是TCP/IP实现,数据处理是“块级”[11]。
SAN中数据访问过程如图5.4所示:
(l)首先,在IP网络中,客户端通过TCP/IP协议向服务器发送数据访问请求;
(2)服务器确认访问请求后,同时在SAN网络中,服务器通过FCP协议向目标存储设备发出数据读写命令;
(3)服务器等待其他客户端的数据访问请求;
(4)在SAN网络中,目标设备将封装在FCP协议中的数据帧传输到服务器;
(5)服务器上的HBA卡将FC数据帧转换为IP数据包,再通过TCP/IP协议传送到客户端。
数据的传输是在一个专用、高速的网络中进行,并不占用服务器的CPU资源,使得服务器专注于应用程序的处理,也很好地解决了NAS网络中的带宽问题。
SAN数据访问过程
4.2.2图书馆存储技术具体选择
在三种主流的存储技术中,DAS是最古老的存储技术,它最主要的优势是简单易用;它的缺点磁盘利用率很低,只有30%左右,而NAS和SAN可达70%;不易扩容,在将来网络扩建时会出现瓶颈,本网络中放弃使用。
对于SAN来说,它的投资太大,只有电信、金融等超大型企业可以承担;文件的处理在服务器上实现,对前端服务器要求高;数据共享困难;对大量小文件的读写性能甚至不如NAS。
基于上述分析和该校图书馆中对文件高速上传、下载的需求采用NAS存储技术,它的优势在于简单易用,通过WEB界面管理,管理者不需专业技术;价格便宜,有的NAS甚至比SAN便宜一个数量级!
共享方便,可给不同操作系统服务器/pc机同时提供存储容量;扩容方便,可动态给不同用户分配/修改存储空间;对前端服务器要求不高,文件的管理、缓存在NAS上实现。
五图书馆网络安全
随着网络的发展,图书馆的服务方式也越来越网络化。
图书管的业务管理和服务越来越依赖于网络。
当网络资源共享时增加了网络的脆弱性,使得图书馆的网络安全显得越来越重要,它的安全系统需要集成多种安全技术来实现,除了采用防病毒工具、虚拟网技术、防火墙技术,等,还要在网络建设中不断改进预防措施,确保图书馆网络的安全。
5.1图书馆网络存在的安全问题
图书馆的数字化使信息资源变得开放,共享更加便利,但同时也降低了系统的安全性。
目前,图书馆网络安全问题主要有以下几点:
第一,工作人员安全意识薄弱,缺少专业的网络安全管理人员。
第二,来自校内外的黑客的恶意攻击。
第三,网络系统中病毒对计算机的攻击。
第四,管理系统自身缺陷,如操作系统平台、信息管理平台自身都漏洞,存在隐患。
5.2图书馆网络的安全策略
5.2.1防火墙
读者可以在图书馆中通过Internet与外界信息交流,提高了运行效率,同时也有很多非法信息流入,我们通过在网络系统和Internet之间安装防火墙,使系统免受黑客攻击。
防火墙是由计算机软件和硬件组成的系统,用于实现内网和外网之间的访问控制。
防火墙一般具有五大功能:
过滤进出网络的数据包;禁止某些访问行为;管理进出网络的行为;记录通过防火墙的信息内容;对网络攻击进行检测和预警[14]。
在图书馆局域网中,服务器最易收到攻击,通常可以采取服务器与路由器间安装防火墙,并设置合理的安全策略,有效的防止外网攻击。
5.2.2入侵检测系统
入侵监测系统处于防火墙之后对网络活动进行实时监测,它是防火墙的延续,可以和路由器与防火墙配合工作。
入侵监测系统可以扫描当前网络的活动,监视并且记录网络上的数据包,同时根据定义好的安全规则来监视来自网络的恶意攻击,提供实时报警[15]。
对于图书馆网络而言,入侵侦测系统可弥补防火墙技术的不足,提高系统的安全性能。
5.2.3通过划分VLAN来防止绝大部分对校园网的侦听
在分布式网络环境下,根据部门或机构来划分VLAN。
每个部门内部的服务器和终端都在各自的VLAN内,互不侵扰,防止基于网络侦听的入侵进行虚拟网划分及访问列表控制。
根据实际情况,把图书馆网络系统的主要用户划分为几个VLAN,办公人员、服务器集群、电于阅览室均划归各自的虚拟网,通过在核心交换机上设置访问列表来控制电子阅览室及其他校园网用户无法随意通过网络访问图书馆办公人员,只能访问经过过滤的服务器设备。
VLAN在控制广播、防止黑客上相当有效。
5.2.4采用NAT技术
NAT即网络地址转换,它是把内部使用的网络通讯地址通过网络设备转换为外部网络可路由地址的技术。
NAT既可以节省合法的IP地址又可以隐藏内部网络拓扑结构。
本网络中NAT实施过程如下:
R2(config)#ipnatpoolCISCO192.168.1.2192.168.1.10netmask255.255.255.0
R2(config)#access-list1permit172.22.242.00.0.0.255
R2(config)#ipnatinsidesourcelist1poolCISCO
R2(config)#inte0/0/0
R2(config-if)#ipnatinside
R2(config-if)#exit
R2(config)#ints0/1/0
R2(config-if)#ipnatoutside
过程是这样的,但是由于实验水平的有限该处没有ping通(做了好长时间解决不了)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 图书馆 信息网络