网络实习——校园网络设计方案

引言

高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用万兆以太网的校园网组网技术。

构建校园网骨干网，实现分校区和本部之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。

随着信息技术的高速发展，教育信息化水平正成为衡量学校总体发展水平的重要因素，网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。1995 年CERNET （中国教育和科研计算机网）建设全面启动，全国各地的高校开始建设自己的计算机校园网。校园网建设是高校建设的重要组成部分，建设高质量的局域网， 才能充分发挥网络资源管理和应用的优势，进行信息交流、资源共享、科学计算和科学研究与合作。

与其它网络一样，校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威胁有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行。

校园网需求分析

项目背景

某大学分校新建立了一个实验楼，规划一个 6 层的实验楼 30 多个机房 1600 多台计算机的实验教学网络。实验楼面向全校专业课程和公共上机的教学任务，每年为 5000 名大学生提供大学英语视听教学、C 语言等课程的教学服务。

网络需求分析

1. 将整个网络实验中心各个机房连成一个相对独立的局域网，保证网络互联互通。保 证音频、视频的流畅播放，确保良好的质量。网络实验楼与分校网络中心通过万兆连接。网络中心通过 VPN 技术与总校实现互联。

2. 满足多媒体教学、流媒体教学的需求。

3. 网络连通性完全可控，要求某些机房考试时候，能够禁止访问互联网，正常上课不受影响。

4. 网络支持组播应用。

5. 网络设备支持抗ARP 病毒攻击、广播抑制风暴、DHCP 等功能。

6. 所有网络设备都能够实时监控和管理。

7. 服务器包括流媒体服务器、实验管理系统服务器、FTP 服务器、www 服务器和网络管理服务器等。

8. 网络安全支持：防火墙，防病毒系统网络版，入侵检测系统，安全审计系统。

9. 私有云平台：建设一套统一的、功能全面的私有云平台，为全校 2 万师生提供教学、科研课题等全面 IT 资源服务，并为每位师生提供 100GB 存储空间云网盘服务。云平台采用主流、标准化技术路线建设，保证开放性和成熟可靠性。

网络总体设计

网络架构分析

现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每层的集线器或交换机在连接到本楼出口的交换机，各个楼的交换机再连接到园区通信网中。

采用三层结构为大学设计校园网。选用万兆以太网作为连接大学多个校区的高速主干；选用千兆以太网作为各个校区内楼层之间的主干，形成大学校园网的汇聚层；选用百兆以太LAN作为基本的接入形式，在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。

进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，根据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计。

交换机互联各个园区网

选用万兆交换机互联各个园区网，而不选用高速路由器是因为：

1. 各园区网均采用的以太网技术体系，兼容性好。
2. 大学将在校园网上开展教学视频观摩、远程听课等多媒体应用，提供高速率信息通道是必要的。万兆交换机为三层交换机，是具有选路功能的交换机，在校园网环境下能够具有更好的性能。
3. 价格因素。若在覆盖几十千米范围采用高速路由器的话，底层通常要采用SDH技术，这使有关设备的价格要增加2～3倍。尽管高速路由器带来的对各个园区有更好的隔离性，在该校园网中用处不大。

主干网采用公用IP地址相连

该校园网从CERNET获得了IP地址的数量是无法满足需求的，只能供向因特网发布信息和联系或进行网络科学研究之用，因此构成校园网IP地址的主体是经过NAT转换的专用网地址。使用专用网地址不利于与其他大学的学术交流，但也是不得已而为之的方法；另一方面，可能使得校园网受到网络黑客侵扰会少些。

校园网设计原则

1. 先进性原则：以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。、
2. 开放性原则：校园网的建设应遵循国际标准， 采用大多数厂家支持的标准协议及标准接口， 从而为异种机、异种操作系统的互连提供便利和可能。
3. 可管理性原则：网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。
4. 安全性原则：信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。
5. 灵活性和可扩充性：选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。
6. 稳定性和可靠性：可靠性对于一个网络拓扑结构是至关重要的， 在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。
7. 高带宽：由于校园校区网络网络应用的特殊性 , 它对整个网络系统的性能要求相对来说比较高。 其中，网络速率要求主要的信息点 100M交换到桌面， 园区网中各终端间具有快速交换功能。为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。 要采用最先进的网络技术， 以适应大量数据和多媒体信息的传输， 既要满足目前的业务需求， 又要充分考虑未来的发展。 为此应选用高带宽的先进技术。
8. QoS 保证：随着网络中多媒体的应用越来越多， 这类应用对服务质量的要求较高，本网络系统应能保证 QoS，以支持这类应用。
9. IP Multicast：由于校园校区网络中包含许多多媒体应用通信， 会存在许多的广播信息， 占用大量的带宽资源。所以网络系统应能支持 IP Multicast ，可以减少网络中不必要的广播，节省主干的带宽。
10. 符合IP发展趋势的网络：在当前任何一个提供服务的网络中， 对IP的支持服务是最普遍的， 而IP技术本身又处在发展变化中，如 IpV6，IP QoS，IP Over SONET等等新兴的技术不断出现，校园网络必须跟紧 IP发展的步伐，也就是必须选择处于 IP发展领导地位的网络厂商。

网络三层结构设计

主干网核心层设计

校园网分为公网和专网。通过防火墙，连接放置各种应用服务器的非军事区部分，并经路由器与CERNET相连。

该三层校园网结构中的核心层位于公网部分，可选用了Cisco公司的万兆交换机Cat6509。

租用电信公司的光纤裸芯，用万兆速率将两个园区的万兆交换机相连。

分校区汇聚层设计

汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。园区网可基本保持原有的二层网络架构，并在自己的园区网中使用专用IP地址块，楼层之间采用千兆光纤相连，汇聚到千兆主交换机上与大学万兆交换机通过防火墙相连。

由于新实验楼中具有的PC数量为1600台左右，考虑到教学区域、管理区域和园区内内数据服务区域，建议划分为若干个子网，也可以划分为多个VLAN，以隔离广播流量，提高网络工作效率，并提高安全性。

分校区的主干网可采用3COM公司的Switch 4007交换机与3C16980连接的千兆光缆构成了学院园区网的主干，向下以百兆以太网作为接入网与用户PC相连。

分校区实验楼的二层网络拓扑架构如下图所示：

IP规划与VLAN

IP地址的分配原则

IP地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。

IP 地址的分配原则如下：

1. 给三层交换机设备互连的点对点IP地址分配1个C类地址，提供足够的扩展性。
2. 考虑到以后的网络扩展规模，二层交换机设备的管理 IP 地址分配1个 C类 IP 地址。
3. 可以考虑为学校校园网分配若干个 C类私有地址段。

服务器集群和办公楼的IP 获取方式为手动分配， 其他的均为通过 DHCP获取。上网方式均采用 NAT方式。

实验楼IP地址分配表

网络单元	地址段	地址范围	网关	上网方式	IP获取方式
实验楼1层	192.168.10.0/28	1～14	192.168.10.1	NAT	Dhcp
实验楼2层	192.168.10.16/28	17～22	192.168.10.17	NAT	Dhcp
实验楼3层	192.168.10.24/28	25～38	192.168.10.25	NAT	Dhcp
实验楼4层	192.168.10.40/28	41～54	192.168.10.41	NAT	Dhcp
实验楼5层	192.168.10.56/28	57～70	192.168.10.57	NAT	Dhcp
实验楼6层	192.168.10.72/28	73～86	192.168.10.73	NAT	Dhcp

专用网中vlan划分

VLAN技术允许将一个网络的物理的LAN逻辑划分成不同的广播域。一个VLAN内部的广播和单播流量被限制在本VLAN之内，不会转发到其他VLAN中，这有助于控制流量、简化网络管理、提高网络的安全性。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访。虚拟局域网的好处是可以限制广播范围，是一种比较成熟企业组网规范，在本案例中我们可以利用它划小网络特点，我们可以进一步监控网络，就算IP冲突产生，也轻易知道它发生在哪个部门（若VLAN划分以部门为依据）

设备选型

核心交换机设备选型

通常将网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供油画，可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，性能和吞吐量。

锐捷网络RG-S9620交换机成为企业网络核心交换机的理想选择，适用于为政府、学校、企业构建高速、安全、可靠的万兆网络，它的背板带宽为9.6T, 包转发率：L2:3571Mpps,L3:3571Mpps, 扩展插槽：20个(4个用于管理与交换距阵)

汇聚层设备选型

通常将位于接入层和核心层之间的部分称为分布层或汇聚层，汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。

实验楼网管中心汇聚层交换机选择,锐捷网络RG-S8606为企业网络核心交换机的理想选择。适用于为政府、学校、企业构建高速、安全、可靠的千兆背板带宽为1.6T, 包转发率：L2:595Mpps，595Mpps，扩展插槽：6个(2个用于管理引擎模块)。

实验楼各楼层的汇聚层交换机，我们采用锐捷网络RG-S3760E-24，属于千兆交换机，背板带宽：49.6G，包转发率：12.8/16.4Mpps。

接入层设备选型

通常将网络中直接面向用户连接或访问网络的部分称为接入层，接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。接入层交换机我们选择可网管的交换机。

物理/链路层配置原则

物理/链路层配置遵循下面的原则：

1. 网络设备互连的物理端口都应该绑定端口的速率和全双工模式；
2. 建议所有的Vlan都不要穿透核心层，所有的Vlan都将在汇聚层交换机上终结；
3. 本实施方案建议不要启用STP生成树协议，由于所有的Vlan都已在汇聚层交换机终结，在二层上并没有环路存在，故无必要启用；如果开启基于每个Vlan的生成树协议，广播报文将会很多，影响核心交换机性能和网络收敛时间；
4. 所有核心层和汇聚层交换机之间的互连端口均设置为Trunk模式，但目前只容许互连Vlan通过，以应付将来有Vlan穿越核心层这种情况；
5. 汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。

网络安全与管理

网络安全

校园网的安全威胁主要来源于两大块，一块是来自于网内，一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻击行为大概有40％左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。

威胁网络安全因素分析

计算机网络安全受到的威胁包括：

1. “黑客”的攻击；
2. 计算机病毒；
3. 拒绝服务攻击（Denial of Service Attack）。

网络安全防范措施

在不改变原有网络结构的基础上实现多种信息安全，保障校园内部网络安全，我们选购了一套网络安全防范设备。

1. 瑞星杀毒软件网络版
2. 超强病毒查杀
3. 智能主动防御
4. 增强型全网漏洞管理
5. 强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。
6. 兼容多种平台
7. 一体化智能服务体系

网络管理

网络管理性能是衡量一个网络系统性能高低的重要因素之一。网络管理系统 完成设置网络设备、监控网络运行、保障网络安全，查找并隔离网络故障，记录网络中的各种事件以及划分虚拟网络等功能。总之，对所有网络上的信息进行统一管理。网管通常结合硬件和软件的手段来实施，对不同的拓扑结构及不同的物理和 逻辑部分进行监控和分析。OSI定义网管系统支持传统五大网管功能：故障管理、配置管理、计费管理、安全管理以及性能管理。这些管理功能由网管系统和网络设备共同完成。结合校园网的实际情况，我们认为，安全管理与计费管理可以由网络管理模块配合专用的软（硬）件管理产品来共同实现，网络管理的主要任务 应落实在故障管理、配置管理和性能管理这三个方面。

配置管理

网络节点插板、端口和冗余结构的配置和管理；

网络节点访问口令的设置和更改。

性能管理

可以实时连续地收集网络运行的相关数据，可用数字和图形的方式显示网络运行的各种情况以及重要程度，需要时可发布指令到各节点，进行网络控制； 可从相关节点收集业务量数据，进行统计、分类、记录归挡。使用这些信息为网络建设提供规划设计依据。

故障管理

能实时监视故障信息，并对其统计分析；可形成节点、中继线及用户端口的告警产生、告警内容和告警清除的统计报告。可实时修改状态图以反映此故障。校园网网络设备较多但网络结构简单，管理人员不多，比较适合采用集中的管理模式，即由一台网管主机（或者备份主机）对整个网络环境进行综合管理，不需要添加二级管理设备，管理结构简单，已于维护管理。通过仔细分析校园网网络系统结构，在主要管理产品选型上我们建议采用Cisco 公司基于WINDOWS2000的CiscoWorks2000网管软件实现对整个网络设备的管理。

网络管理是对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络管理系统的概念模型主要由管理者、管理代理和被管对象等实体及其相互作用组成。基于SNMP（Simple Network Management Protocol ）的网络管理系统 SNMP由IETF提出，主要是为基于 TCP/IP 的互连网设计的，现在已经被其它协议实现，如IPX/SPX，DECNET 以及APPLETALK等，它的主要标准由一系列 RFC 组成，并得到了网络厂商的广泛支持，成为网络管理方面事实上的标准。目前基于 SNMP 的网络管理系统已广泛应用于 Internet。这里建议采用Cisco Works软件,因为该软件基于 WEB页面管理，操作简便，功能齐全，而且是基于标准的多厂商管理软件。在实际环境中，管理者的功能由安装在网络管理中心的网管工作站上的一系列网管软件完成，它负责管理主机、局域网的计算机网络系统与应用和与之相联的下级单位的广域网、局域网等设备，被管对象指网络设备等网络资源。管理者负责接收来自上述各级节点发送的网络管理信息，并对相关事件进行处理。应用服务的管理可以采用专用的服务管理软件，针对不同的应用服务，进行专业的监控管理。目前，业界对各种应用服务的管理基本上都有成熟的解决方案。应用服务的状态监控主要体现在三个方面：

服务器状态的监控：主要包括服务器的各个性能参数。可以采用专用的系统管理模块对各个性能参数分别监控、统一管理。

应用程序状态的监控：包括各个关键服务的关键应用进程的健康情况。视需监控的程度和经费状况，可以选用专用的监控模块或统一的进程监控模块。

网络状态的监控：通过上面的网络管理模块即可实现对整个网络系统可用性的统一监控。考虑到校园网目前的管理人员比较少，管理任务相对较的特点，对以上各个应用服务的管理及网络管理，我们可以采用统一的事件控制平台来汇总管理，实现集中化控制、单窗口管理。并且利用事件控制平台自身的特点，实现报警事件的集成、过滤、关联和自动化处理。事件管理平台收集并集成来自网络环境中任何重要的信息源的消息，通过内置的过滤关联机制，将有效的消息分组分级别的统一呈现在管理员面前。另外，应用监控系统能够利用保存的历史监控数据，生成各种可用性及趋势报表，为下一步的投资改造决策作参考。

网络安全策略配置

安全接入和配置

安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供安全性。限制远程访问的安全设置方法如下表。

访问方式	保证网络设备安全的方法	备注
Console控制接口的访问	设置密码和超时限制	建议超时限制设成5分钟
进入特权exec和设备配置级别的命令行	配置Radius来记录logon/logout时间和操作活动；配置至少一个本地账户作应急之用
telnet访问	采用ACL限制，指定从特定的IP地址来进行telnet访问；配置Radius安全纪录方案；设置超时限制
SSH访问	激活SSH访问，从而允许操作员从网络的外部环境进行设备安全登陆
WEB管理访问	取消Web管理功能
SNMP访问	常规的SNMP访问是用ACL限制从特定IP地址来进行SNMP访问；记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击	为增加安全,建议更改缺省的SNMP Commutiy子串
设置不同账号	通过设置不同的账号的访问权限，提高安全性

拒绝服务的防止

网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等；网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值，若多于这个临界值，则丢弃多余的TCP SYN数据包；防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值，避免成为一个Smurf攻击的转发者、受害者。

访问控制

1. 允许从内网访问internet，端口全开放。
2. 允许从公网到DMZ（非军事）区的访问请求：WEB服务器只开放80端口，mail服务器只开放25和110端口。
3. 禁止从公网到内部区的访问请求，端口全关闭。
4. 允许从内网访问DMZ（非军事）区，端口全开放
5. 允许从DMZ（非军事）区访问internet，端口全开放。
6. 禁止从DMZ（非军事）区访问内网，端口全关闭。

电源系统

为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源。

综合布线设计

综合布线的设计原则

综合布线同传统的布线相比较，有着许多优越性，是传统布线所无法比及的。其特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期。而且在设计、施工和维护方面也给人们带来了许多方便。

结构化综合布线系统的组成及设计

综合布线系统是一套开放式的布线系统，可以支持几乎所有的数据、语音设备及各种通信协议，同时，由于PDS充分考虑了通信技术的发展，设计时有足够的技术储备，能充分满足用户长期的需求，应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性，各种设备位置的改变，局域网的变化，不需重新布线，只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。

工作区子系统及其网络设计

工作区子系统，是由RJ-45跳线与信息插座所连接的设备组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定，并预留适当数量的冗余。例如：对于一个办公区内的每个办公点可配置2～3个信息点，此外应为此办公区配置3～5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等。若此办公区为商务应用则信息点的带宽为100M可满足要求；若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。

工作区的终端设备（如：电话机、传真机）选用安普公司的超五类双绞线直接与工作区内的每一个信息插座相连接，或用适配器（如ISDN终端设备）、平衡/非平衡转换器进行转换连接到信息插座上。

配线子系统及其网络设计

配线子系统，是从工作区的信息插座开始到管理间子系统的配线架。选择配线子系统的线缆，要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推荐采用的双绞电缆及光纤型号为: 安普公司的超五类或六类非屏蔽双绞线, TCL室内单模或多模光纤。

双绞线水平布线链路中，水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为配线子系统的线缆，可根据信息点类型的不同采用不同类型的电缆。该方案选择安普公司的超五类非屏蔽双绞线缆。

干线子系统及其网络设计

干线子系统，负责连接管理子系统到设备间子系统的子系统。干线子系统可以使用的线缆主要有：HAY三类大对数电缆；安普公司的超五类或六类双绞线；TCL室内单模或多模光纤。该方案选择安普公司的超六类双绞线缆。

垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道，使整个布线系统组成一个有机的整体。垂直干线子系统Topology结构采用分层星型拓扑结构，每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时，每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。

设备间子系统及其网络设计

设备间子系统，由电缆、连接器和相关支撑硬件组成。采用BIX跳接式配线架，连接交换机；采用光纤终结架连接主机及网络设备。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在较大型的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房放在距离设备间不远的位置。

设备间子系统是一个集中化设备区，连接系统公共设备，如局域网(LAN)、主机、建筑自动化和保安系统，及通过垂直干线子系统连接至管理子系统。

管理子系统及其网络设计

管理子系统，由交连、互连和I/O组成。管理是针对设备间、电信间和工作区的配线设备、缆线等设施，按-定的模式进行标识和记录的规定。跳线采用超5类非屏蔽双绞线，RJ45接头。管理间是楼层的配线间，管理子系统为其他子系统互连提供手段，它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。安普公司的综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。

建筑群子系统及其网络设计

建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段，也可采用微波通信、无线电通信的手段。传输介质采用室外六芯多模光纤。

建筑群子系统介质选择原则： 楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点：包括路由起点、终点；线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。

防雷系统

由于机房雷电防护系统对所保护系统的业务正常运行具有非常重要的作用,因此雷电防护系统应具备先进性、可靠性、易维护、易升级等方面的突出特性。

主要保护对象为信息中心机房

具体措施:对于采用光纤通信的线路可以不另外加装防雷器,只需在光纤入户端将光纤内的钢筋做良好接地即可。但应考虑到做为备份通信的其它线路,如DDN等,因此对非光纤的通讯线路做防雷保护是有必要而且是必需的。可在专线通讯线路入户端加装RJ45-ISDN/4-F通讯专线防雷器一套。

测试及验收

布线的施工工艺质量并不能完全决定整个网络布线的质量，所以对布线必须作认证测试，以决定链路是否达到设计要求。

1. 验证测试，通常是施工者在施工结束后自己检查的过程，测试的主要参数是基本链路的连通性、 接线图及长度， 获取的数据用来判断整个工程是否达到设计要求，并作为向甲方提出对该工程验收的依据。
2. 认证测试，它的结果直接反映了布线施工工艺质量的好坏，并能判定基本链路的连通性测试和电气性能测试是否全部达到规定的设计要求；具体的施工质量没有经过认证测试这一重要环节，系统的可靠性、稳定性是很难保证的。
3. 测试标准， 目前，认证的标准一般采用 TIA委员会制定的五类双绞线系统测试标准，即 TSB-67《现场测试非屏蔽双绞线布线系统的传输性能规范》或ISO11801为标准。
4. 测试参数，各种测试模式的测试参数至少应包括下列内容： 接线图（ Wire Map）-- 这是确认链路连接完整性的测试，主要检查8芯双绞线中每对线是否符合 EIA/TIA-568 规定的标准；长度（Length(m) ）-- 主要检查链路的物理长度，对通道最长为100M，对链路最长为94M，如考虑到测试仪器的校正误差， 最多可增加 10%，即对通道最长110M，对链路最长为 104M；衰减（ Attenuation ）-- 主要检查信号沿链路传输过程中损失的量度；近端串扰（ NEXT（dB）） -- 主要检查双绞线链路中从一对线到另一对线的信号泄露。 这个参数是决定链路传输性能的最重要的参数，会随着传输速率的增加而增大，它与布线的走向、线的端接、干扰源的隔离等诸多因素有关；

对于主干采用的光缆，则需要测试光传输过程中的连续性和衰减损耗。其中连通性是对光纤的基本要求， 而衰减损耗是对光纤作为网络介质所表现的传导性能否保证系统正常工作的前提。具体的说，就是要检查每条光纤是否存在着断裂或其它的不连续点， 光纤的接头 ST或SC头的制作工艺以及每一条光纤的长度是否符合标准。标识清楚，标识分为以下类别：通道标识、空间标识、电缆标识、端接硬件标识。接地标识，对日常维护最重要的是电缆标识， 根据我们的经验是标识的越细致，日常维护越简单、方便，设备间的标识尤为重要，垂直、水平、光缆，甚至房间的模块面板都应标识清楚。

硬件设备预算