校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計參考模板

1、1 / 19校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計班級：機(jī)升本 14-1學(xué)號：1407980111姓名：劉慶偉指導(dǎo)教師：張志杰實驗日期：2014 年 12 月 18 日目錄目錄摘要 .41 前言.11.1 概述 .11.2 校園網(wǎng)建設(shè)的必要性.1第 2 章 校園網(wǎng)絡(luò)需求分析 .22.1 用戶需求分析.22.2 校園網(wǎng)建網(wǎng)需求.32.3 設(shè)計原則.32.3.1 網(wǎng)絡(luò)設(shè)計的基本原則.42.3.2 模塊化、層次化的設(shè)計原則.42.3.3 校園網(wǎng)的設(shè)計原則.5第 3 章 解決方案 .53.1 網(wǎng)絡(luò)拓?fù)鋱D.53.2 方案說明.53.2.1 用戶上網(wǎng)方案.63.3 IP 地址規(guī)劃和路由設(shè)計.63.3.1

2、 IP 地址規(guī)劃.73.3.2 路由設(shè)計.73.3.3 安全與流量控制.83.3.4 流量監(jiān)控與控制：.93.4 方案特點.93.4.1 高帶寬、高性能.93.4.2 完善的安全機(jī)制.9第 4 章 綜合布線 .94.1 概述.94.2 布線系統(tǒng)概述.104.2.1布線系統(tǒng)結(jié)構(gòu)組成.104.3 辦公場地布線系統(tǒng)設(shè)計.11第 5 章 設(shè)備選型 .115.1 核心層：DCRS-7600 系列插槽 IPV6 萬兆路由交換機(jī).115.2 匯聚層：DCRS-5950 系列盒式萬兆 IPV6 路由交換機(jī).135.3 接入層：DCRS-5200 系列安全路由接入交換機(jī).13結(jié)論 .14參考文獻(xiàn) .15摘要摘要

3、校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)。首先，校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境。這就要求：校園網(wǎng)是一個寬帶 、具有交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。多媒體教學(xué)軟件開發(fā)平臺、多媒體演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫等，都可以在該網(wǎng)絡(luò)上運行。如果一所學(xué)校包括多個專業(yè)學(xué)科(或多個系)，也可以形成多個局域網(wǎng)絡(luò)，并通過有線或無線方式連接起來。其次，校園網(wǎng)應(yīng)具有教務(wù)、行政和總務(wù)管理功能。關(guān)鍵詞：校園網(wǎng);多媒體教學(xué);局域網(wǎng)絡(luò)第第 1 1 章章 前言前言1.11.1 概述概述在當(dāng)今信息產(chǎn)業(yè)蓬勃發(fā)展的今天，信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源，計算機(jī)技術(shù)在人

4、們的生活中已經(jīng)起到了越來越重要的作用。校園作為知識基地和人才基地，它理應(yīng)成為代表信息產(chǎn)業(yè)應(yīng)用最成功的典范。一所成功的學(xué)校不僅在學(xué)術(shù)上、教育上要力爭上游，更應(yīng)在管理上上一個臺階。利用各種成熟的技術(shù)帶動學(xué)校各單位、各部門的電腦化管理，通過校園信息網(wǎng)，將各處的電腦聯(lián)成一個數(shù)據(jù)網(wǎng)，實現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)范性；教職員工和學(xué)生可共享各種信息，極易進(jìn)行各種信息的教流、經(jīng)驗的分享、討論、消息的發(fā)布、工作流的自動實現(xiàn)和協(xié)同工作等，從而有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)質(zhì)量，增強(qiáng)學(xué)生學(xué)習(xí)的積極性、主動性，為信息時代培育出高素質(zhì)的人才。當(dāng)前由于網(wǎng)絡(luò)、數(shù)據(jù)庫及與之相關(guān)的應(yīng)用技術(shù)不斷發(fā)展，尤其國際互聯(lián)網(wǎng)（Inter

5、net）和內(nèi)部網(wǎng)（Intranet）技術(shù)的廣泛應(yīng)用，世界正在邁入網(wǎng)絡(luò)中心計算（NetworkCentricComputing）時代。人們傳統(tǒng)的交互和工作模式正在改變。處在不同地理位置的人們可以共享數(shù)據(jù)，使用群件技術(shù)（GroupWare）進(jìn)而能夠協(xié)同工作；多媒體數(shù)據(jù)的存儲、傳輸、應(yīng)用技術(shù)的不斷成熟；以上這些計算機(jī)技術(shù)的發(fā)展對學(xué)校傳統(tǒng)的計算機(jī)業(yè)務(wù)系統(tǒng)產(chǎn)生影響，使用戶能更方便。更直觀的使用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強(qiáng)大。校園網(wǎng)建設(shè)的目標(biāo)簡而言之是將校園內(nèi)各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成校園園區(qū)內(nèi)部的 Intranet 系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。建設(shè)校園網(wǎng)對

6、每個學(xué)校來說都不是一件容易的事情,都要經(jīng)過周密的論證、謹(jǐn)慎的決策和緊張的施工。當(dāng)一堆設(shè)備變成網(wǎng)絡(luò)的時候,大部分學(xué)校的滿腔熱情也慢慢地冷卻凝固。校園網(wǎng)建成了,各種問題也不斷涌現(xiàn):設(shè)計目標(biāo)根本無法實現(xiàn),沒有合適的應(yīng)用軟件,許多設(shè)想根本無法實施,后續(xù)的維護(hù)費用不堪承受等等。1.21.2 校園網(wǎng)建設(shè)的必要性校園網(wǎng)建設(shè)的必要性 隨著計算機(jī)多媒體和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與普及，校園網(wǎng)信息系統(tǒng)的建設(shè)，是非常必要的，也是可行的。主要表現(xiàn)在：1當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段，發(fā)展對學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。2教育信息量的不斷增

7、多,使各級各類學(xué)校、家庭和教育管理部門對教育信息計算機(jī)管理和教育信息服務(wù)的要求越來越強(qiáng)烈。3我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡(luò)環(huán)境。4現(xiàn)代教育改革的需要。第第 2 2 章章 校園網(wǎng)絡(luò)需求分析校園網(wǎng)絡(luò)需求分析2.12.1 用戶需求分析用戶需求分析設(shè)計一個網(wǎng)絡(luò)，首先要為用戶分析目前面臨的主要問題，確定用戶對網(wǎng)絡(luò)的真正需求，并在結(jié)合未來可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶滿意的高質(zhì)服務(wù)。 網(wǎng)絡(luò)在日常教學(xué)辦公環(huán)境中起著至關(guān)重要的作用，校園網(wǎng)的運作模式會帶來大量

8、動態(tài)的www 應(yīng)用數(shù)據(jù)傳輸，會有相當(dāng)一部分應(yīng)用的主服務(wù)器有高速接入網(wǎng)絡(luò)的需求（目前為100/1000Mbps，今后可會更高）。這就要求網(wǎng)絡(luò)有足夠的主干帶寬和擴(kuò)展能力。同時，一些新的應(yīng)用類型，如網(wǎng)絡(luò)教學(xué)、視頻直播/廣播等，也對網(wǎng)絡(luò)提出了支持多點廣播和寬帶高速接入的要求。 除上述考慮外，還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開，所以建成后校園網(wǎng)應(yīng)能提供多個網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應(yīng)教學(xué)辦公環(huán)境的調(diào)整和變化。中心機(jī)房到匯聚層節(jié)點采用 4 兆光纖（多模）連接，匯聚層到接入層采用百兆的五類線（或者超五類）連接。通?？紤]，建議數(shù)據(jù)信息點的接入用交換 10/100Mbps 自適應(yīng)以太網(wǎng)

9、端口接入，以便能較經(jīng)濟(jì)的提供較高的帶寬。整個方案設(shè)計的目的是建設(shè)一個集數(shù)據(jù)傳輸和備份、多媒體應(yīng)用、語音傳輸、OA 應(yīng)用和 Internet 訪問等于一體的高可靠、高性能的寬帶多媒體校園網(wǎng)。2.2 校園網(wǎng)建網(wǎng)需求高校校園寬帶網(wǎng)用戶集中且網(wǎng)絡(luò)流量大，關(guān)注網(wǎng)絡(luò)的可運營和可管理特性，校園網(wǎng)建網(wǎng)，需求如下： 1 教學(xué)區(qū)、宿舍區(qū)用戶對校園網(wǎng)、教育網(wǎng)、INTERNET 的訪問有相應(yīng)的路由策略和相應(yīng)的計費策略。 2校園網(wǎng)存在多個出口需求，校園網(wǎng)至少要提供中國教育科研網(wǎng)（CERNET）和 INTERNET兩個出口。 3校園網(wǎng)安全性要求較高，要求設(shè)備能夠?qū)崿F(xiàn)用戶識別和動態(tài)綁定功能如通過“IP+MAC+端口”三元組

10、的動態(tài)綁定來識別用戶。 4校園網(wǎng) WEB 頁面可實現(xiàn)以下功能：用戶 Web 自助服務(wù)功能，用戶可通過 Web 自助服務(wù)頁面，進(jìn)行個人資料的查詢、密碼修改、上網(wǎng)明細(xì)查詢、繳費記錄查詢以及在線預(yù)注冊和在線帳號充值。 5校園網(wǎng)用戶能實現(xiàn)多 ISP 權(quán)限選擇。用戶可通過不同的帳號或采用相同帳號的不同域名進(jìn)行認(rèn)證，以獲得不同的權(quán)限，不同的權(quán)限對應(yīng)不同的計費策略。 6校園網(wǎng)要求實現(xiàn)多種支持普通包月、包月限時長、包月限流量、計天、計時長和計量等多種計費策略。支持用戶卡和充值卡，沖值卡配合用戶卡以及提供的公用服務(wù)功能可以實現(xiàn)用戶的完全自助管理。7校園網(wǎng)要求能對每個用戶的使用情況能進(jìn)行事后審計，能夠定位到 IP

11、 地址以及用戶所連接的端口和登錄的用戶名，限定帳號的使用端口。 8校園網(wǎng)要求能實現(xiàn)對用戶帶寬的動態(tài)控制。 9校園網(wǎng)要求實現(xiàn)組播業(yè)務(wù)。 10校園網(wǎng)要求在學(xué)校規(guī)模不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性，能夠根據(jù)需要逐步平滑升級到萬兆的骨干連接。 11網(wǎng)管平臺實現(xiàn)網(wǎng)絡(luò)資源的管理、網(wǎng)絡(luò)安全訪問的控制。并且在平臺上能方便地開發(fā)所需網(wǎng)絡(luò)應(yīng)用。 12采用流行的、支持設(shè)備面廣、有良好圖形界面的網(wǎng)管平臺。網(wǎng)管系統(tǒng)能夠管理到網(wǎng)絡(luò)中的每一個智能設(shè)備及有關(guān)設(shè)備的每一個端口，即能夠遠(yuǎn)程對設(shè)備進(jìn)行設(shè)置、調(diào)試、網(wǎng)絡(luò)流量監(jiān)測和必要的重置。能對網(wǎng)絡(luò)故障能及時發(fā)現(xiàn)并報警。13寬帶上網(wǎng)在信息化的今天，人們已經(jīng)把網(wǎng)絡(luò)

12、當(dāng)成獲取信息的重要的源泉，而 WEB 應(yīng)用則起到了舉足輕重的作用。絕大多數(shù)的人都是通過瀏覽 WEB 頁面來獲取新知。校園網(wǎng)應(yīng)該是寬帶上網(wǎng)的前沿陣地，學(xué)生們可以通過網(wǎng)絡(luò)獲取豐富的知識，增加與其他學(xué)校學(xué)生，甚至其他國家學(xué)生交流的機(jī)會。2.32.3 設(shè)計原則設(shè)計原則.1 網(wǎng)絡(luò)設(shè)計的基本原則網(wǎng)絡(luò)設(shè)計的基本原則校園網(wǎng)建設(shè)是一項大型網(wǎng)絡(luò)工程，各個學(xué)校需要根據(jù)自身的實際情況來制定網(wǎng)絡(luò)設(shè)計原則。該學(xué)校網(wǎng)絡(luò)需要完成包括圖書信息、學(xué)校行政辦公等綜合業(yè)務(wù)信息管理系統(tǒng)，為廣大教職工、科研人員和學(xué)生提供一個在網(wǎng)絡(luò)環(huán)境下進(jìn)行教學(xué)和科研工作的先進(jìn)平臺。校園網(wǎng)覆蓋整個學(xué)校校園，網(wǎng)絡(luò)設(shè)計一般應(yīng)遵循下列 5 個基

13、本原則： 1 可靠性和高性能 2 實用性和經(jīng)濟(jì)性 3 可擴(kuò)展性和可升級性 4 易管理、易維護(hù) .2 模塊化、層次化的設(shè)計原則模塊化、層次化的設(shè)計原則基本網(wǎng)絡(luò)的設(shè)計都是基于一個模塊化，層次化的設(shè)計思想。這也是對大型網(wǎng)絡(luò)進(jìn)行高效管理的首選方法。 模塊化設(shè)計模塊化設(shè)計所謂模塊化就是將把整個網(wǎng)絡(luò)按功能和安全需求分為若干個組件，這些組件之間有一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡(luò)設(shè)計。模塊化設(shè)計的好處在于： 1. 解決各網(wǎng)絡(luò)之間的沖突問題； 2. 簡化安裝和后臺設(shè)備管理； 3. 易于故障檢測和分離問題； 4. 易于執(zhí)行不同類型的服務(wù)和安全方針； 5. 易于擴(kuò)展

14、和/或代替原來的技術(shù)。 一個完整的模塊化設(shè)計如下圖所示： 圖 2-1 模塊化示意圖校園網(wǎng)的設(shè)計可以借鑒這種思想，對各種不同種類，不同安全等級的業(yè)務(wù)進(jìn)行模塊劃分相互之間的訪問將受到控制。當(dāng)然，在實際情況中并不一定要求嚴(yán)格按照上述模塊劃分，而是根據(jù)實際情況靈活運用，做適當(dāng)?shù)牟脺p與調(diào)整。 層次化設(shè)計層次化設(shè)計層次化網(wǎng)絡(luò)設(shè)計模型 對于大型網(wǎng)絡(luò)，可以采用業(yè)界通用“核心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計模型。圖 2-2 層次化網(wǎng)絡(luò)設(shè)計圖1核心層核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能

15、。2 . 匯聚層 匯聚層顧名思義就是作為訪問層到骨干層的匯聚，通常為訪問層與骨干層實現(xiàn)基于策略的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機(jī)組成，提供對網(wǎng)絡(luò)流量模式控制、服務(wù)訪問控制、QoS、定義路由路徑度量（path metric）和路由協(xié)議網(wǎng)絡(luò)通告控制。3. 接入層 接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過 VLAN 技術(shù)實現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。訪問層主要通過二層交換機(jī)組成。.3 校園網(wǎng)的設(shè)計原則校園網(wǎng)的設(shè)計原則校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化

16、教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實現(xiàn)各項管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本證；是提高全民素質(zhì)的重要手段。采用成熟、先進(jìn)的技術(shù)和設(shè)計思想，運用現(xiàn)有的系統(tǒng)集成的技術(shù)路線，強(qiáng)調(diào)系統(tǒng)先進(jìn)、實用、開放、安全、使用方便和易于擴(kuò)充等特點，突出系統(tǒng)功能的完善，實現(xiàn)辦公現(xiàn)代化、信息資源化、傳輸網(wǎng)絡(luò)化和決策科學(xué)化。其設(shè)計方案應(yīng)注意以下原則：1實用性、先進(jìn)性、可擴(kuò)充性、靈活性、安全性、可靠性、統(tǒng)一性、經(jīng)濟(jì)性、規(guī)范性、系統(tǒng)性、綜合性。 第第 3 3 章章 解決方案解決方案3.13.1 網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D圖 3-1 學(xué)校拓?fù)湔故?.23.2 方案說明方案說明校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要

17、是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計任務(wù)的重點通常是冗余能力、可靠性和高速的傳輸。因?qū)W校存在大量的語音和視頻傳輸。整個網(wǎng)絡(luò)通過匯聚層交換機(jī) DCRS-5950 和核心交換機(jī) DCRS-7600 之間的鏈路冗余備份和負(fù)載均衡提供安全可靠的網(wǎng)絡(luò)構(gòu)架（使用 OSPF、ECMP、WCMP 等技術(shù)），其安全保障技術(shù)提供一個全網(wǎng)概念的整體網(wǎng)絡(luò)安全，而通過簡單地增加萬兆模塊可以平滑升級到萬兆骨干的校園網(wǎng)。如拓?fù)鋱D所示，作為網(wǎng)絡(luò)中心的核心，要求設(shè)備能夠大容量、穩(wěn)定可靠的高速路由轉(zhuǎn)發(fā)，能夠接入大量的匯聚節(jié)點并滿足今后擴(kuò)充的需要。匯聚層起著承上啟下的作用，負(fù)責(zé)對各種接入的匯聚，并可在該層實現(xiàn)對于用戶的訪問控制

18、，以及對用戶的網(wǎng)絡(luò)管理。接入層應(yīng)該能夠?qū)崿F(xiàn)對用戶的訪問控制，并具有較強(qiáng)的安全和 QOS 控制功能，支持802.1x 的認(rèn)證計費，支持千兆上聯(lián)，支持 SMNP 的網(wǎng)管。在網(wǎng)絡(luò)中心兩臺匯聚交換機(jī)各通過兩條千兆鏈路連接到核心交換機(jī)。當(dāng)兩臺匯聚交換機(jī)業(yè)務(wù)量增大時，也可以考慮通過上下行的 Trunk 來連接。.1 用戶上網(wǎng)方案用戶上網(wǎng)方案 訪問校園網(wǎng)訪問校園網(wǎng)用戶在連接到網(wǎng)絡(luò)中時，首先獲得是校園網(wǎng)的 IP 地址，此時用戶只能訪問校園網(wǎng)內(nèi)部的資源，并且對用戶不計費。 CERNetCERNet用戶需要訪問 CERNet 時，使用 CER

19、Net 的域名,獲得 CERNet 的地址后，就可以訪問。 INTERNETINTERNET用戶需要訪問 INTERNET 時，使用 INTERNET 的域名，獲得 INTERNET 的地址后就可以訪問。3.33.3 IPIP 地址規(guī)劃和路由設(shè)計地址規(guī)劃和路由設(shè)計.1 IPIP 地址規(guī)劃地址規(guī)劃IP 地址規(guī)劃是整個網(wǎng)絡(luò)設(shè)計中的重要組成部分，地址規(guī)劃的科學(xué)性和合理性將直接反應(yīng)網(wǎng)絡(luò)拓?fù)涞脑O(shè)計思想，對網(wǎng)絡(luò)的穩(wěn)定起到至關(guān)重要的影響。好的地址規(guī)劃同科學(xué)的分層網(wǎng)絡(luò)拓?fù)湓O(shè)計相輔相承，共同形成整體的網(wǎng)絡(luò)設(shè)計解決方案。 合理的網(wǎng)段劃分結(jié)合靈活的 VLAN 規(guī)劃，可以有

20、效地降低網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，保證整個網(wǎng)絡(luò)的穩(wěn)定，同時也起到一定的網(wǎng)絡(luò)安全功能。IP 地址規(guī)劃目標(biāo)1.建立高效的網(wǎng)絡(luò)路由；2.有效利用有限的 IP 地址資源； 3.支持網(wǎng)絡(luò)的擴(kuò)展； 4.支持網(wǎng)絡(luò)技術(shù)的演變和發(fā)展。IP 地址規(guī)劃原則1. 簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式； 2. 連續(xù)性：為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)及 CIDR(Classless Inter-Domain Routing)技術(shù)縮減路由表的表項，提高路由器的處理效率；3. 安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。4. 靈活性：地址分配不應(yīng)

21、該基于某個網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化； 5. 可擴(kuò)充性：為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時仍然能夠保持地址的連續(xù)性； 6. 可管理性：地址的分配應(yīng)該有層次，某個局部的變動不要影響上層、全局。校園網(wǎng)地址規(guī)劃方案校園網(wǎng) IP 地址分配總則 校園網(wǎng) IP 地址分為三大塊： 校園網(wǎng)內(nèi)部的私有 IP 地址，采用 RFC 中規(guī)定的地址段，不能訪問 Internet 和Cernet；Cernet 分配的多個 C 類公網(wǎng) IP 地址，作為和國際互聯(lián)網(wǎng)互連的地址，域名 就解析在這片地址上，主要供網(wǎng)絡(luò)中心和圖書館、部分實驗室專用；運營商分

22、配的公網(wǎng) IP 地址，用于訪問 Internet。關(guān)鍵服務(wù)器擁有兩個公網(wǎng) IP，分別跨接在 Cernet 和 Internet 上。 1. 校園網(wǎng)內(nèi)部私網(wǎng) IP 地址的分配 內(nèi)部地址的分配原則是按建筑物進(jìn)行的，視用戶的數(shù)量，1/4、1/2、整個 C 的劃分。為了安全考慮對所有的都采用靜態(tài)分配 IP 地址，為防止地址盜用，采用 IP 地址、MAC 地址與端口綁定。 2. IP 地址的分配 用戶的計算機(jī)在連接到校園網(wǎng)上時，首先獲得一個校園網(wǎng)內(nèi)部的 IP 地址，此時該計算機(jī)只能訪問校園網(wǎng)內(nèi)部。 用戶需要訪問 Cernet 和 Internet，要使用帳號登陸，認(rèn)證通過后才能訪問。.2

23、 路由設(shè)計路由設(shè)計校園網(wǎng)路由設(shè)計不使用默認(rèn)路由，使用策略路由，防止從 Internet 訪問校園網(wǎng)。Internet 路由設(shè)計采用靜態(tài)默認(rèn)路由協(xié)議訪問 Internet 為了實現(xiàn)路由的備份，配置到 Internet 的兩條默認(rèn)路由，兩條路由的優(yōu)先級可以相同，可以不同。 如果相同，則兩條線路采取負(fù)載分擔(dān)方式。 如果不同，則是主備方式，其中優(yōu)先級高的稱為主路由，優(yōu)先級低的為備份路由。 采用源地址路由，讓 Internet 地址訪問 Internet； 采用 ACL，防止訪問 Cernet 的流量通過 Internet； 采用 ACL，防止來自校園網(wǎng)的 Internet 地址。.3

24、安全與流量控制安全與流量控制 網(wǎng)絡(luò)安全控制網(wǎng)絡(luò)安全控制對端口 ARP 檢查防止 ARP 攻擊； 對端口安全：MAC 動態(tài)地址鎖，MAC 地址靜態(tài)綁定； 交換設(shè)備 BPDU Guard 功能，過濾非法 BPDU 報文，防止 STP 攻擊交換機(jī)； 端口安全：端口靜態(tài)綁定，自動綁定 IP 和 MAC 地址防止 DOS 攻擊； 智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡(luò)應(yīng)用，過濾病毒 SSH 密文傳輸，限制管理 IP 等措施保證設(shè)備管理可靠； 對網(wǎng)絡(luò)病毒的防范：采用設(shè)置 ACL，對病毒進(jìn)行過濾；我們使用的匯聚、核心交換機(jī)都支持 SPOH，通過端口獨立的 FFP 進(jìn)行 ACL

25、 處理，網(wǎng)絡(luò)設(shè)備性能不受設(shè)置 ACL 數(shù)目影響； VLAN 需求默認(rèn)時，交換機(jī)分隔沖突域；路由器分隔廣播域。第 2 層交換式網(wǎng)絡(luò)的最大好處是，它為插入到交換機(jī)每個端口的每臺設(shè)備創(chuàng)建了各自的沖突域。但每一個新的改進(jìn)通常都會引起新的問題用戶和設(shè)備的數(shù)量越大，每臺交換機(jī)必須處理的廣播和數(shù)據(jù)包就越多。 安全性也是一個問題，因為在典型的第 2 層交換式互聯(lián)網(wǎng)絡(luò)的內(nèi)部，默認(rèn)時所有用戶都可以看見所有的設(shè)備。你不能讓設(shè)備停止廣播，也不能讓用戶不響應(yīng)廣播。連接到物理網(wǎng)絡(luò)的任何人都可以訪問位于物理 LAN 上的網(wǎng)絡(luò)資源，用戶只需將其工作站插入到現(xiàn)有的集線器中，就可以加入某個工作組。安全性選項只能限于

26、在服務(wù)器和其他設(shè)備上設(shè)置口令。 通過創(chuàng)建虛擬局域網(wǎng)（VLAN） ，就可以在一個純交換式的互聯(lián)網(wǎng)絡(luò)中，分隔廣播域。VLAN 是兩個部分的邏輯組合：一是網(wǎng)絡(luò)用戶；二是在管理上連接到交換機(jī)所定義端口的資源。如果創(chuàng)建了 VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網(wǎng)時，可以將交換機(jī)上的不同端口分派到不同的子網(wǎng)中，這樣就可以在第二層交換式互聯(lián)網(wǎng)絡(luò)中創(chuàng)建一些小的廣播域?？梢韵髮Υ龁为毜淖泳W(wǎng)和廣播域一樣來對待 VLAN，這意味著網(wǎng)絡(luò)上的廣播域只在同一個 VLAN 內(nèi)部的邏輯組的端口之間進(jìn)行轉(zhuǎn)發(fā)。 VLAN 劃分設(shè)計1. 基于端口的 VLAN 劃分 這種劃分是把一個或多個交換機(jī)上的幾個端口劃分一

27、個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。 2. 基于 MAC 地址的 VLAN 劃分 MAC 地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。MAC 地址由 12 位 16 進(jìn)制數(shù)表示，前 8 位為廠商標(biāo)識，后 4 位為網(wǎng)卡標(biāo)識。網(wǎng)絡(luò)管理員可按 MAC 地址把一些站點劃分為一個邏輯子網(wǎng)。 3. 基于路由的 VLAN 劃分 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個 VLAN 跨越多個交換機(jī)，或一個端口位于多個 VLAN 中。3.3.

28、43.3.4 流量監(jiān)控與控制：流量監(jiān)控與控制：校園網(wǎng)作為學(xué)校師生及管理人員所依托的重要資源，也是學(xué)校辦學(xué)的一種重要基礎(chǔ)設(shè)施，為學(xué)校師生及科研人員提供網(wǎng)絡(luò)下載、視頻點播、網(wǎng)絡(luò)聊天、專項課題研究、網(wǎng)絡(luò)化教學(xué)、辦公自動化、計算機(jī)管理、資源共享及信息交流等全方位的服務(wù)。，學(xué)校要求網(wǎng)絡(luò)具有高性能、高可用性和高安全性。學(xué)校規(guī)模在不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性。解決方案：通過為校園用戶構(gòu)建起一個具備服務(wù)質(zhì)量（QoS，Quality of Services）特性的網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員將有能力使其網(wǎng)絡(luò)變得更加智能。通過對應(yīng)用流量進(jìn)行分類、標(biāo)記以及為其分配不同的流量優(yōu)先級別，一個具備 QoS

29、屬性的網(wǎng)絡(luò)系統(tǒng)將會給網(wǎng)絡(luò)管理員帶來控制其數(shù)據(jù)流量的能力。3.43.4 方案特點方案特點.1 高帶寬、高性能高帶寬、高性能該解決方案是基于標(biāo)準(zhǔn)的二、三層以太網(wǎng)交換技術(shù)，技術(shù)成熟度非常高。學(xué)校網(wǎng)絡(luò)中心放置路由交換機(jī)上行通過 GE 接至教育網(wǎng)，GE 可以是單?；蛘叨嗄?，由校園網(wǎng)的具體情況而定。GE 作為整個學(xué)校出口帶寬可充分滿足用戶對帶寬的要求，使學(xué)校出口不再成為整個校園網(wǎng)用戶上網(wǎng)的瓶頸。在學(xué)院網(wǎng)絡(luò)中心通過下行使千兆鏈路連接匯聚層交換機(jī)。匯聚層交換機(jī)下行1000M 光纖口連接接入樓宇交換機(jī)，百兆交換到桌面，100M 的帶寬可充分滿足用戶高速上網(wǎng)，視頻點播等多種寬帶業(yè)務(wù)。核心交換機(jī)擁有

30、 1000M 出口聯(lián)接校園網(wǎng)，各層設(shè)備全部支持線速交換，給用戶提供了真正的高帶寬網(wǎng)絡(luò)，對未來高帶寬的寬帶業(yè)務(wù)提供了強(qiáng)大的支撐能力，校園寬帶網(wǎng)的發(fā)展?jié)摿薮蟆?.2 完善的安全機(jī)制完善的安全機(jī)制校園樓宇交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級 ACL、時間 ACL、端口 ARP 報文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求；在匯聚、核心交換設(shè)備設(shè)置由硬件實現(xiàn) ACL，對病毒進(jìn)行過濾，我們選用的匯聚、核心

31、交換設(shè)備都支持 SPOH，所以在使用 ACL 時將不會影響整個交換機(jī)的性能。 第第 4 4 章章 綜合布線綜合布線4.14.1 概述概述隨著知識經(jīng)濟(jì)的到來和信息技術(shù)的不斷發(fā)展，辦公自動化是大勢所趨。4.24.2 布線系統(tǒng)概述布線系統(tǒng)概述.1 布線系統(tǒng)結(jié)構(gòu)組成布線系統(tǒng)結(jié)構(gòu)組成圖 4-1 布線子系統(tǒng)圖示總設(shè)備間圖 4-2 設(shè)備間分布圖一般而言，布線系統(tǒng)由如下六個部分組成：1工作區(qū)子系統(tǒng)(WORK AREA SUBSYSTEM)2水平布線子系統(tǒng)(HORIZONTAL SUBSYSTEM)3管理子系統(tǒng)(ADMINISTRATION SUBSYSTEM)4垂直干線子系統(tǒng)(RISER BA

32、CKBONE SUBSYSTEM)5設(shè)備區(qū)子系統(tǒng)(EQUIPMENT SUBSYSTEM)6建筑群子系統(tǒng)(CAMPUS SUBSYSTEM)樓層配線間（FD）水平工作區(qū)設(shè)備4.34.3 辦公場地布線系統(tǒng)設(shè)計辦公場地布線系統(tǒng)設(shè)計1.干線子系統(tǒng) Thomas&Betts 5 類 4 對 UTP 009-5-24U-4P2. 設(shè)備間子系統(tǒng)3. 管理區(qū)子系統(tǒng)本方案選擇下列產(chǎn)品應(yīng)用于中山中專辦公場地的管理子系統(tǒng)。產(chǎn) 品 名 稱型 號應(yīng) 用 說 明Thomas&Betts 48 口布線板023-8501-48-8計算機(jī)網(wǎng)絡(luò)系統(tǒng)端口的水平線與干線轉(zhuǎn)接Thomas&Betts 跳線架管

33、理跳線19”標(biāo)準(zhǔn)機(jī)柜安裝布線板、交換機(jī)等表 4-14. 水平干線子系統(tǒng)水平子系統(tǒng)是由傳輸介質(zhì)構(gòu)成的，傳輸介質(zhì)的選擇是布線系統(tǒng)工程的關(guān)鍵因素之一。設(shè)計、施工、技術(shù)和工藝等都與選擇的傳輸介質(zhì)有關(guān)。5. 工作區(qū)子系統(tǒng)工作區(qū)子系統(tǒng)由安裝在各房間內(nèi)的信息墻座和連接墻座與終端設(shè)備的跳線組成，在規(guī)劃工作區(qū)子系統(tǒng)時，我們要考慮： （1）所選定的布線系統(tǒng)的類型特點； （2）將來使用的終端設(shè)備的類型和特點； （3）終端設(shè)備安裝的位置及從信息墻座跳接到設(shè)備時是否方便安全； （4） 采用的信息墻座的類型是否適合特定房間環(huán)境的裝修以及是否便于維護(hù)和擴(kuò)展。 本大樓的信息點分布在各房間，我們建議采用 Thomas&Betts 110 系列墻式 RJ45 插座。 Thomas&Betts 英式面板（雙口） 009-86FP-2W Thomas&Betts 英式面板（單口） 009-86FP-1W Thomas&Betts O.M.N.I. 5 類信息模塊 009-5-848B-C5BK 第第 5 5