学院校园网拓扑图如图1。

　　图1 学院校园网拓扑

　　网络拓扑说明

　　出口使用某厂商的RSR50-40路由器作为出口设备与移动网和教育网相连。

　　核心层采用两台RG-S8606核心交换机，负责整个网络的数据交换。汇聚层是千兆交换机S3760-12SFP/GT，千兆光纤连接核心交换机及每层楼的接入交换机。每栋楼的小汇聚使用的是S2126G，同时也可提供接入服务，使用双绞线与接入交换机S2026F互联。

　　方案实施

　　首先需要安装SAM 服务器，学院选用的是RG-SAM 2.x企业版,拥有2000用户。

　　其次是安全管理规划，系统使用W i n d o w s 2 0 0 3 Server+SP2，并在相应网站下载补丁程序升级，并建议客户

　　预装杀毒程序以保障机器的安全。

　　同时在交换机上通过ACL做服务器网段和用户网段的隔离，并进行端口过滤，只允许服务器进行所需端口通过。

　　a) 8080.TCP端口.http访问端口

　　b) 8443.TCP端口,https访问端口

　　c) 1812.UDP端口.默认的认证报文接收端口

　　d) 1813.UDP端口.默认的记帐报文接收端口

　　e) 1433.TCP端口.SQL SERVER的默认监听端口

　　f) 1434.UDP端口.SQL SERVER的默认监听端口.

　　g) 8009.TCP端口.ajp端口

　　h) 1099.TCP端口.jnp端口

　　i) 1098.TCP端口.rmi端口

　　j) 8090.TCP端口.JBossMQ OIL service端口

　　k) 8092.TCP端口.JBossMQ OIL2 service端口

　　l) 8093.TCP端口.JBossMQ UIL service端口

　　m 4444.TCP端口.RMIOBJECTPort

　　n) 4445.TCP端口.ServerBindPort

　　o) 1162.UDP端口.JBoss snmp agent端口.

　　数据库系统规划

　　安全管理规划：数据库软件选用的是MS SQL Server 2000 标准版或企业版+SP4。

　　数据的备份：

　　1.SQL Server Agent服务启动，建数据库维护计划实现数据库备份，计划的名字为sambackup。

　　2.SQL数据的备份采用完全备份方式，备份目录为k:/ backup，备份时间为每天凌晨三点，保留一个月内的完全备份数据。

　　3.由于RG-SAM的后台数据信息非常重要，需要经常性质地将数据进行备份。

　　数据的恢复：

　　在原服务器上完全备份数据到指定的文件(假定为SAMdata060526)

　　1.手动备份数据库。

　　2.将上一步备份的文件SAMdata060526复制到新的机器上并执行还原操作。

　　3.删除原数据库中的sam关联。

　　4.在后台数据库中创建和sam帐号的关联。成功完成后，移到新服务器上，便可在新服务器上启动SAM，注意启动前要将服务器的IP改为原服务器的IP。

　　SAM 系统规划及设置

　　用户开户的方式

　　采用批量导入的方式进行用户开户。

　　将要开户的用户按一定的格式编辑成相应的文本文件，在管理界面中批量导入进行开户。

　　1.在开户之前先要定义组，比如说办公的用户就划分为office组，家庭的划分为home组，学生的划分为student组等等，然后把个人的姓名拼音当做用户名，绑定IP地址，最后选择组(请个人账户的格式是用户名+IP地址+组)。

　　此外，我们为什么没有绑定MAC地址，是因为如果用户电脑换了或者网卡换了就不能上网了，考虑到这原因，我们就没有绑定MAC地址，也是为了便于管理。

　　2.接入交换机sam系统配置

　　Switch#config t 进入全局配置层以后,配置以下:

　　radius-server host 10.6.0.67----------配置认证服务器地址

　　aaa authentication dot1x-------------开启认证

　　aaa accounting server 10.6.0.67--------配置记账服务器

　　aaa accounting--------开启记账

　　dot1x client-probe enable-------开启户端探测

　　dot1x probe-timer interval 30--------客户端与服务器交互时间

　　dot1x probe-timer alive 90---------在线探测时间，即上面时间的三倍，交换机连续三次没收到客户端的交互报文，则认为客户端已下线

　　dot1x timeout quiet-period 2---------服务器端报文重传间隔

　　dot1x timeout tx-period 3----------报文重传间隔

　　no dot1x re-authentication-------关掉重认证

　　radius-server key znufesam--------配置认证KEY

　　snmp-server community znufero rw------配置SNMP管理字

　　interface fastEthernet 0/1 ----------进入端口模式

　　dot1x port-control au

(责任编辑：)