網(wǎng)絡(luò)系統(tǒng)工程-校園主干網(wǎng)系統(tǒng)集成設(shè)計(jì)

1、校園主干網(wǎng)系統(tǒng)集成設(shè)計(jì)課程設(shè)計(jì)實(shí)驗(yàn)報(bào)告校園主干網(wǎng)系統(tǒng)集成設(shè)計(jì)- 26 -校園主干網(wǎng)系統(tǒng)集成設(shè)計(jì)目錄前言- 1 -第一章 需求分析- 2 -一、用戶(hù)現(xiàn)狀- 2 -二、應(yīng)用平臺(tái)需求- 2 -三、網(wǎng)絡(luò)平臺(tái)需求- 2 -四、技術(shù)平臺(tái)需求- 3 -五、軟件平臺(tái)需求- 4 -六、系統(tǒng)建設(shè)目標(biāo)- 5 -第二章 系統(tǒng)總體設(shè)計(jì)- 6 -一、設(shè)計(jì)原則- 6 -二、設(shè)計(jì)概述- 6 -第三章 網(wǎng)絡(luò)系統(tǒng)建設(shè)方案- 7 -一、IP地址規(guī)劃及VLAN劃分- 7 -二、三層交換- 9 -三、網(wǎng)絡(luò)建設(shè)- 9 -四、主干設(shè)備選型- 11 -第四章 接入設(shè)計(jì)- 13 -一、用戶(hù)接入設(shè)計(jì)- 13 -二、 ISP接入設(shè)計(jì)- 16 -第

2、五章 綜合布線(xiàn)系統(tǒng)設(shè)計(jì)- 19 -第六章 技術(shù)及服務(wù)- 21 -一、培訓(xùn)計(jì)劃- 21 -二、產(chǎn)品介紹- 22 -三、驗(yàn)收辦法- 24 -前言隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，高速、便捷、可靠的網(wǎng)絡(luò)平臺(tái)在各個(gè)領(lǐng)域都得到了長(zhǎng)足的發(fā)展與提升，為各個(gè)領(lǐng)域的信息交流提供保障。校園作為一個(gè)學(xué)習(xí)和科研的核心場(chǎng)所，對(duì)信息的交互和共享有著更為迫切的需求。因此，建立一個(gè)適合校園環(huán)境的資源共享平臺(tái)、滿(mǎn)足現(xiàn)代化社會(huì)日趨增長(zhǎng)的數(shù)字化教育要求顯得尤為重要。目前國(guó)外許多著名高校已經(jīng)建立起了比較完善的先進(jìn)的數(shù)字化教育平臺(tái)滿(mǎn)足學(xué)習(xí)科研中的交流需求，如Carnegie Mellon大學(xué)的Andrew網(wǎng), Stanford 大學(xué)的S

3、UNET網(wǎng), M IT的Spine網(wǎng)。為了實(shí)現(xiàn)高校的信息化建設(shè)，我國(guó)從94年起便集結(jié)多所國(guó)內(nèi)優(yōu)秀大學(xué)組建并完善了名為中國(guó)教育科研網(wǎng)（CERNET）的教育主干網(wǎng)。迄今為止，CER NET已經(jīng)擁有28條國(guó)際和地區(qū)性信道，與數(shù)國(guó)和香港特別行政區(qū)聯(lián)網(wǎng)，實(shí)現(xiàn)多所大學(xué)、中小學(xué)教育和科研單位的聯(lián)網(wǎng)，構(gòu)成了一個(gè)龐大的資源共享平臺(tái)。在此基礎(chǔ)上，CERNET促進(jìn)了多所高校的校園網(wǎng)建設(shè)，越來(lái)越多的高校將信息化作為學(xué)校建設(shè)發(fā)展的必要條件。由此可見(jiàn)，校園網(wǎng)的建立對(duì)學(xué)校實(shí)現(xiàn)數(shù)字化和信息化具有決定性的作用。當(dāng)前多數(shù)校園主干網(wǎng)的建設(shè)以快速以太網(wǎng)、ATM和千兆以太網(wǎng)為主?？焖僖蕴W(wǎng)雖然成本較低但其數(shù)據(jù)傳輸速率與ATM和千兆以太

4、網(wǎng)相比都較低，不能滿(mǎn)足較高的數(shù)據(jù)傳輸需求；而ATM技術(shù)，雖然具有較高的可延展性和無(wú)限的虛擬帶寬潛力，但其對(duì)于線(xiàn)路和設(shè)備的要求較高，因而搭建成本較高。千兆以太網(wǎng)是上述三種主干網(wǎng)建設(shè)中性能最優(yōu)越的方案，且繼承了以太網(wǎng)價(jià)格低廉的優(yōu)勢(shì)，拓寬了以太網(wǎng)的應(yīng)用領(lǐng)域。隨著高校合并和擴(kuò)招熱潮的興起，一些校園網(wǎng)已無(wú)法滿(mǎn)足校園與日俱增的資源共享、數(shù)據(jù)交換需求以及分散和擴(kuò)張的地域規(guī)模帶來(lái)的管理問(wèn)題。針對(duì)上訴問(wèn)題本方案旨在運(yùn)用1000M以太網(wǎng)技術(shù)提出一個(gè)更高質(zhì)量、高帶寬、多服務(wù)、廣范圍且易于更新、升級(jí)、維護(hù)，成本更低，更靈活的校園專(zhuān)用網(wǎng)。實(shí)現(xiàn)一個(gè)集數(shù)據(jù)傳輸及存儲(chǔ)備份、多媒體應(yīng)用、Internet接入及訪(fǎng)問(wèn)的寬帶多媒體校

5、園網(wǎng)。第一章 需求分析一、用戶(hù)現(xiàn)狀電子科技大學(xué)占地5000余畝，涵蓋清水河、九里堤、沙河三大校區(qū)。各大校區(qū)可分為教學(xué)辦公區(qū)、教師宿舍區(qū)和學(xué)生宿舍區(qū)三大區(qū)域。教學(xué)辦公區(qū)主要包括圖書(shū)館、教學(xué)樓、行政辦公樓和科研樓等。其中清水河校區(qū)包含1棟主樓、3棟科研樓、1棟圖書(shū)館、品學(xué)樓、3棟學(xué)生食堂及若干學(xué)生宿舍。學(xué)校有教職工3500余人，各類(lèi)全日制在多學(xué)生33000余人。二、應(yīng)用平臺(tái)需求隨著校園網(wǎng)概念的不斷深入和發(fā)展，校園網(wǎng)用戶(hù)對(duì)網(wǎng)絡(luò)能支持的應(yīng)用類(lèi)型的需求也越來(lái)越廣泛，尤其是近年來(lái)遠(yuǎn)程教育概念在世界范圍內(nèi)的興起，要求校園網(wǎng)絡(luò)能夠支持網(wǎng)絡(luò)課堂以滿(mǎn)足更多學(xué)生的自主學(xué)習(xí)要求、提升課堂的靈活性，這就要求網(wǎng)絡(luò)能夠支持

6、高質(zhì)量視頻的傳輸。為了方便學(xué)生和教職工的生活，以及保障學(xué)校的統(tǒng)一化管理，一卡通服務(wù)也是校園網(wǎng)建設(shè)時(shí)所需考慮的重要應(yīng)用。此外，校園網(wǎng)也需要提供其他一些基本的網(wǎng)絡(luò)服務(wù)：快速穩(wěn)定Internet服務(wù)（如WWW、E-mail、FTP、BBS等）、數(shù)據(jù)共享及數(shù)據(jù)庫(kù)服務(wù)、辦公自動(dòng)化服務(wù)、多媒體應(yīng)用服務(wù)、電子課件系統(tǒng)、網(wǎng)絡(luò)教學(xué)系統(tǒng)等教學(xué)和實(shí)驗(yàn)服務(wù)。三、網(wǎng)絡(luò)平臺(tái)需求 1、校區(qū)分布分散且占地面積廣是電子科大校園的特點(diǎn)之一，考慮到各個(gè)校區(qū)都有接入網(wǎng)絡(luò)的需求，因此建成的網(wǎng)絡(luò)平臺(tái)的數(shù)據(jù)中心應(yīng)該能夠延伸到較廣的距離以最大程度覆蓋校園的各個(gè)主要校區(qū)。2、校園網(wǎng)是用于教學(xué)、科研及學(xué)生、教師日常管理的網(wǎng)絡(luò)平臺(tái)，具有一定的專(zhuān)用

7、性，因此區(qū)別于因特網(wǎng)這種信息較為繁雜廣泛的公用網(wǎng)絡(luò)，校園網(wǎng)應(yīng)該是一個(gè)滿(mǎn)足現(xiàn)代教學(xué)要求的專(zhuān)用網(wǎng)。同時(shí)，由于校園網(wǎng)絡(luò)中業(yè)務(wù)網(wǎng)絡(luò)（即滿(mǎn)足用戶(hù)教學(xué)、科研資源共享需求的網(wǎng)絡(luò)）與管理網(wǎng)絡(luò)（即處理校園日常事務(wù)管理的網(wǎng)絡(luò)）所面向的對(duì)象和使用目的不同，在邏輯上應(yīng)對(duì)其進(jìn)行分離，因此建成的網(wǎng)絡(luò)能夠提供多個(gè)網(wǎng)段的劃分和隔離，并且具有靈活性以適應(yīng)教學(xué)科研及辦公環(huán)境的調(diào)整與變化。3、校園是一個(gè)人員密集的場(chǎng)所且教學(xué)和科研活動(dòng)對(duì)數(shù)據(jù)信息資源有著極大的需求，因此校園網(wǎng)的使用會(huì)引發(fā)網(wǎng)絡(luò)內(nèi)部大量的數(shù)據(jù)交互以及大量動(dòng)態(tài)因特網(wǎng)應(yīng)用數(shù)據(jù)傳輸，這就要求建成的校園網(wǎng)提供高的網(wǎng)絡(luò)帶寬，同時(shí)網(wǎng)絡(luò)設(shè)備支持高的帶寬接入。另外，電子科技大學(xué)的科研樓是

8、教學(xué)、科研工作的重要場(chǎng)所，因此該樓宇對(duì)于網(wǎng)絡(luò)的靈活性和安全性有著較高的要求，在建設(shè)網(wǎng)絡(luò)時(shí)要充分考慮到網(wǎng)絡(luò)的安全需求以建立合適網(wǎng)絡(luò)結(jié)構(gòu)。4、考慮到網(wǎng)絡(luò)靈活性、可擴(kuò)展性和經(jīng)濟(jì)性的需求，網(wǎng)絡(luò)以星形拓?fù)浣Y(jié)構(gòu)為接入網(wǎng)結(jié)構(gòu)?？紤]到網(wǎng)絡(luò)的健壯性和冗余備份，主干網(wǎng)采用環(huán)形拓?fù)浣Y(jié)構(gòu)。 同時(shí)，夜間和節(jié)假日是學(xué)生網(wǎng)絡(luò)下行信道使用的高峰期，而工作日是辦公和科研教學(xué)網(wǎng)絡(luò)上下行信道使用的高峰期，因此網(wǎng)絡(luò)在面對(duì)這些高峰期時(shí)應(yīng)該具有較強(qiáng)的適應(yīng)性和健壯性，高峰期到來(lái)時(shí)能迅速做出調(diào)整，以達(dá)到高吞吐量、低延遲的網(wǎng)絡(luò)傳輸需求。四、技術(shù)平臺(tái)需求主干網(wǎng)技術(shù)選擇當(dāng)前主干網(wǎng)設(shè)計(jì)流行的技術(shù)主要為FDDI、快速以太網(wǎng)、ATM技術(shù)、千兆以太網(wǎng)和萬(wàn)

9、兆以太網(wǎng)幾種。對(duì)于校園網(wǎng)主干網(wǎng)而言，建設(shè)需滿(mǎn)足以下幾點(diǎn)需求：較高帶寬以滿(mǎn)足大量的資源交互；較好的靈活性和可擴(kuò)展性以適應(yīng)校園的融合和擴(kuò)建；高性?xún)r(jià)比以降低網(wǎng)絡(luò)使用過(guò)程中的維護(hù)和運(yùn)營(yíng)成本。網(wǎng)絡(luò)產(chǎn)品選擇網(wǎng)絡(luò)產(chǎn)品是實(shí)現(xiàn)網(wǎng)絡(luò)功能的關(guān)鍵，因此網(wǎng)絡(luò)設(shè)備性能的選取是決定網(wǎng)絡(luò)運(yùn)營(yíng)效率的關(guān)鍵。除了前面所述能夠提供一個(gè)高帶寬、易擴(kuò)展的性能穩(wěn)定可靠的網(wǎng)絡(luò)。在實(shí)際運(yùn)用過(guò)程中網(wǎng)絡(luò)產(chǎn)品還應(yīng)對(duì)某些應(yīng)用的QoS進(jìn)行保障，如多媒體應(yīng)用。同時(shí)網(wǎng)絡(luò)設(shè)備的運(yùn)用能夠給予網(wǎng)絡(luò)較高的安全性，網(wǎng)絡(luò)設(shè)備應(yīng)支持VLAN劃分，以實(shí)現(xiàn)不同功能網(wǎng)絡(luò)的邏輯劃分，同時(shí)在不同VLAN間進(jìn)行第三層交換時(shí)應(yīng)提供有效的安全控制以保證網(wǎng)絡(luò)的安全性；設(shè)立“防火墻”過(guò)濾功

10、能以阻止黑客的入侵，對(duì)外網(wǎng)用戶(hù)接入內(nèi)網(wǎng)或使用內(nèi)網(wǎng)資源進(jìn)行控制。網(wǎng)絡(luò)設(shè)備也應(yīng)具有便于管控的特性，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的自動(dòng)監(jiān)測(cè)控制。此外，由于校園網(wǎng)存在許多廣播信息應(yīng)用場(chǎng)景，因此網(wǎng)絡(luò)系統(tǒng)應(yīng)該支持IP廣播或多播以節(jié)省帶寬資源。最后，網(wǎng)絡(luò)設(shè)備需符合IP的發(fā)展趨勢(shì)，支持IPv6協(xié)議。五、軟件平臺(tái)需求校園網(wǎng)建設(shè)中，軟件平臺(tái)主要由網(wǎng)絡(luò)操作系統(tǒng)、單機(jī)操作系統(tǒng)和大量的校園網(wǎng)應(yīng)用軟件組成。網(wǎng)絡(luò)操作系統(tǒng)運(yùn)行在服務(wù)器上為網(wǎng)絡(luò)中的各用戶(hù)提供上網(wǎng)服務(wù)。在不同的網(wǎng)絡(luò)工作模式中，C/S工作模式具有一下優(yōu)點(diǎn)：用戶(hù)使用簡(jiǎn)單直觀(guān)；編程、調(diào)試和維護(hù)費(fèi)用低；系統(tǒng)內(nèi)部負(fù)荷可做到比較均衡，資源利用率較高；允許在一個(gè)客戶(hù)機(jī)上運(yùn)行不同計(jì)算機(jī)平臺(tái)上的多

11、種應(yīng)用；系統(tǒng)易于擴(kuò)展，可用性較好，對(duì)用戶(hù)需求變化的適應(yīng)性好?；谛@網(wǎng)的實(shí)際應(yīng)用場(chǎng)景，建議選擇C/S網(wǎng)絡(luò)工作模式，因此，在選擇網(wǎng)絡(luò)操作系統(tǒng)時(shí)選用Windows NT 4.0 Serve系統(tǒng)學(xué)習(xí)、使用輕松容易且功能基本上滿(mǎn)足校園網(wǎng)絡(luò)需求，對(duì)硬件配置要求低，因此對(duì)于校園網(wǎng)絡(luò)建設(shè)有著較高的性?xún)r(jià)比?；騑indows2003 Server, 具有強(qiáng)大的網(wǎng)絡(luò)功能和可二次開(kāi)發(fā)性，提供域名服務(wù)、WWW服務(wù)、FTP服務(wù)、Email服務(wù)等。此外，由于校園網(wǎng)內(nèi)部信息交互頻繁，因此可以在網(wǎng)絡(luò)中使用Windows2003 Server架設(shè)起FTP服務(wù)器。單機(jī)操作系統(tǒng)包括DOS、WIN3x、WIN9x、WIN2000等，

12、實(shí)際校園組網(wǎng)中，考慮到用戶(hù)可操作性和兼容性等需求，建議使用Windows98單機(jī)操作系統(tǒng)。它具有簡(jiǎn)單快捷的圖形窗口用戶(hù)界面；良好的兼容性，可運(yùn)行32位應(yīng)用和兼容舊的Windows和DOS應(yīng)用；支持長(zhǎng)文件名和多任務(wù)、多媒體應(yīng)用等；支持即插即用；具較強(qiáng)網(wǎng)絡(luò)功能，提供簡(jiǎn)單方便的對(duì)等網(wǎng)功能。校園網(wǎng)的主要是為校園教學(xué)科研需求提供便利，因此網(wǎng)絡(luò)教學(xué)軟件是校園網(wǎng)應(yīng)用軟件的最重要部分?；谛@網(wǎng)教學(xué)的需求，建成的網(wǎng)絡(luò)應(yīng)具備多媒體教學(xué)軟件開(kāi)發(fā)平臺(tái)、教學(xué)內(nèi)容存儲(chǔ)系統(tǒng)、VOD視頻點(diǎn)播系統(tǒng)、電子閱覽室、電子教學(xué)工具平臺(tái)、考試資料庫(kù)等以滿(mǎn)足學(xué)生教師日常教學(xué)的資源需求。六、系統(tǒng)建設(shè)目標(biāo)1、主干網(wǎng)提供1000M交換光網(wǎng)，核

13、心設(shè)備具有較高的冗余能力以及高可靠性、高傳輸速率和更低的網(wǎng)絡(luò)延遲，設(shè)備支持IPv6，具有較高的可升級(jí)性。2、圖書(shū)館、教學(xué)樓、主樓、科研樓等樓宇實(shí)現(xiàn)100M到桌面，進(jìn)一步提升用戶(hù)網(wǎng)絡(luò)體驗(yàn)，以支持視頻流、教學(xué)圖像和高質(zhì)量圖片等，同時(shí)具備較好的可升級(jí)性。3、建設(shè)好的校園網(wǎng)需具備教學(xué)、管理和通信三大功能，同時(shí)注意業(yè)務(wù)網(wǎng)和管理網(wǎng)的邏輯分離。為用戶(hù)提供高質(zhì)量的豐富的網(wǎng)絡(luò)服務(wù)以滿(mǎn)足軟、硬件資源共享的需求。在教學(xué)方面，校園網(wǎng)應(yīng)提供較為完善的圖書(shū)、文獻(xiàn)查閱及檢索服務(wù)，以提升圖書(shū)館數(shù)字化能力，方便職工的教學(xué)、科研工作和學(xué)生的遠(yuǎn)程學(xué)習(xí)、自主學(xué)習(xí)需求，增強(qiáng)信息處理能力；在管理方面，為管理人員提供各項(xiàng)事務(wù)處理的平臺(tái)，以

14、實(shí)現(xiàn)教務(wù)、財(cái)務(wù)、學(xué)籍、資產(chǎn)和行政事務(wù)管理的自動(dòng)化和數(shù)字化，同時(shí)滿(mǎn)足個(gè)管理層間的信息交互需求；在通信方面，保障網(wǎng)絡(luò)內(nèi)部PC間的通信效率以及網(wǎng)內(nèi)計(jì)算機(jī)與外網(wǎng)的告訴連接，使網(wǎng)絡(luò)能夠高效地接入Internet，同時(shí)，為了方便校園內(nèi)一些科研工作的順利開(kāi)展，網(wǎng)絡(luò)也應(yīng)具備通信的安全性，以阻止外網(wǎng)對(duì)校園網(wǎng)的惡意攻擊。4、在網(wǎng)絡(luò)結(jié)構(gòu)和整體規(guī)劃上，網(wǎng)絡(luò)應(yīng)該具備較高的靈活性。如前所述，現(xiàn)代高校融合和擴(kuò)展頻繁，并且在地理位置上較為分散，因此網(wǎng)絡(luò)應(yīng)該具備較高的靈活性和可擴(kuò)展性并具備，以適應(yīng)高校不斷建設(shè)的需求，并且網(wǎng)絡(luò)在擴(kuò)展和升級(jí)時(shí)具備較低的建設(shè)成本。第二章 系統(tǒng)總體設(shè)計(jì)一、設(shè)計(jì)原則校園網(wǎng)絡(luò)在建設(shè)時(shí)應(yīng)遵循以下原則：先進(jìn)性

15、原則：運(yùn)用先進(jìn)成熟的網(wǎng)絡(luò)通信技術(shù)進(jìn)行組網(wǎng)，滿(mǎn)足用戶(hù)對(duì)于數(shù)據(jù)、圖像、語(yǔ)音、視頻等多媒體應(yīng)用的需求。設(shè)計(jì)方案能使網(wǎng)絡(luò)具備高性能、高可靠性。標(biāo)準(zhǔn)化原則：采用符合國(guó)際統(tǒng)一標(biāo)準(zhǔn)的設(shè)計(jì)方案。設(shè)備兼容性和可升級(jí)性原則：設(shè)備能夠適應(yīng)主流技術(shù)的發(fā)展趨勢(shì)，并能為不同應(yīng)用場(chǎng)景下的為不同類(lèi)型的網(wǎng)絡(luò)設(shè)備提供接入和互連手段。經(jīng)濟(jì)性原則：網(wǎng)絡(luò)設(shè)備、技術(shù)更新?lián)Q代速度極快，構(gòu)建一個(gè)經(jīng)濟(jì)適用的網(wǎng)絡(luò)可以降低網(wǎng)絡(luò)更新、擴(kuò)展、升級(jí)所需的成本。安全性原則：網(wǎng)絡(luò)能提供數(shù)據(jù)、應(yīng)用、設(shè)備和系統(tǒng)的安全保障靈活性和適應(yīng)性原則：交換機(jī)和路由器產(chǎn)品支持先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù)，網(wǎng)絡(luò)系統(tǒng)可以通過(guò)軟件快速便捷地將用戶(hù)或用戶(hù)組從一個(gè)網(wǎng)絡(luò)轉(zhuǎn)移到另一個(gè)網(wǎng)絡(luò)，可跨辦公

16、室、樓宇而無(wú)需硬件改變，以適應(yīng)園區(qū)的需求變化。同時(shí)可以通過(guò)平衡網(wǎng)絡(luò)流量提供高性能網(wǎng)絡(luò)。二、設(shè)計(jì)概述在本次校園網(wǎng)絡(luò)設(shè)計(jì)中，系統(tǒng)總體選用三層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)方案，采用IPv4專(zhuān)用地址和IP地址動(dòng)態(tài)分配方式結(jié)合DHCP技術(shù)實(shí)現(xiàn)，運(yùn)用子網(wǎng)技術(shù)和VLAN技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行邏輯劃分，針對(duì)校園網(wǎng)絡(luò)中大量的用戶(hù)需求，采用OSPF路由方式，采用結(jié)構(gòu)化布線(xiàn)系統(tǒng)。同時(shí)運(yùn)用VPN和NAT技術(shù)實(shí)現(xiàn)校園專(zhuān)用網(wǎng)絡(luò)以及專(zhuān)用地址和公用地址的轉(zhuǎn)換。主干網(wǎng)采用技術(shù)成熟的千兆以太網(wǎng)技術(shù)以適應(yīng)校園網(wǎng)的高帶寬需求。接入控制采用802.1X與RADIUS協(xié)議結(jié)合的方式。提供一條通過(guò)ISP接入CERNET網(wǎng)絡(luò)和一條接入ChinaNet的鏈路。在網(wǎng)絡(luò)

17、安全設(shè)計(jì)方面，目前主要存在網(wǎng)絡(luò)竊聽(tīng)、完整性破壞、地址欺騙、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒和系統(tǒng)漏洞等隱患，針對(duì)這些問(wèn)題，提出身份驗(yàn)證、數(shù)據(jù)完整性、跟蹤審計(jì)、信息加密、防火墻等技術(shù)來(lái)保障校園網(wǎng)絡(luò)的安全。從網(wǎng)絡(luò)結(jié)構(gòu)劃分角度上，運(yùn)用外網(wǎng)和內(nèi)網(wǎng)的隔離實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶(hù)信息的保護(hù)和對(duì)外網(wǎng)用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)的控制。服務(wù)器是網(wǎng)絡(luò)上存放各類(lèi)信息資源的特殊計(jì)算機(jī)，在網(wǎng)絡(luò)中處于主導(dǎo)地位。因此服務(wù)器的選擇和普通網(wǎng)絡(luò)通信設(shè)備的選擇有著較大差別。首先，服務(wù)器對(duì)網(wǎng)絡(luò)的影響體現(xiàn)在應(yīng)用層，網(wǎng)絡(luò)通信設(shè)備體現(xiàn)在數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層；其次，服務(wù)器對(duì)網(wǎng)絡(luò)的影響是整體的，通信設(shè)備的影響是局部的。因此在服務(wù)器設(shè)計(jì)時(shí)應(yīng)注意遵循可管理性原則，可用性原則以及注

18、重服務(wù)器的服務(wù)、性能和整個(gè)方案的成本。第三章 網(wǎng)絡(luò)系統(tǒng)建設(shè)方案一、IP地址規(guī)劃及VLAN劃分IP地址規(guī)劃是網(wǎng)絡(luò)邏輯結(jié)構(gòu)的一個(gè)重要步驟，影響到網(wǎng)絡(luò)層尋址和路由，影響Intranet/Extranet的正常運(yùn)行。因此在對(duì)網(wǎng)絡(luò)IP地址進(jìn)行規(guī)劃之前應(yīng)首先考慮以下幾個(gè)問(wèn)題：1） 網(wǎng)絡(luò)是否用真實(shí)地址接入Internet2） 網(wǎng)絡(luò)是否需要?jiǎng)澐譃槿舾勺泳W(wǎng)3） IP地址采用靜態(tài)還是動(dòng)態(tài)分配方式4） 每個(gè)子網(wǎng)現(xiàn)在需要規(guī)劃多少個(gè)信息點(diǎn)，將來(lái)會(huì)增加多少信息點(diǎn)對(duì)于第一個(gè)問(wèn)題，考慮到運(yùn)營(yíng)商提供的合法IP地址有限，并不能滿(mǎn)足校園網(wǎng)絡(luò)中大量用戶(hù)訪(fǎng)問(wèn)Internet的需求，因此網(wǎng)絡(luò)需要采用共有地址和私有地址合的方式入網(wǎng)，并采用

19、網(wǎng)絡(luò)地址轉(zhuǎn)換完成兩類(lèi)地址間的轉(zhuǎn)換。對(duì)于第二個(gè)問(wèn)題，考慮到電子科大校園具有多個(gè)校區(qū)，每個(gè)校區(qū)具有多個(gè)功能不同的區(qū)域，子網(wǎng)劃分能使不同區(qū)域的網(wǎng)絡(luò)管理更加有效，因此在校園網(wǎng)設(shè)計(jì)中將引入子網(wǎng)劃分技術(shù)。此外為了進(jìn)一步提升各部門(mén)間的連通性，網(wǎng)絡(luò)的可管理性和靈活性，增強(qiáng)網(wǎng)絡(luò)的安全性，降低網(wǎng)絡(luò)移動(dòng)及變更成本，VLAN技術(shù)也是在網(wǎng)絡(luò)建設(shè)中必不可少的。考慮到校園網(wǎng)用戶(hù)眾多，網(wǎng)絡(luò)用戶(hù)移動(dòng)頻繁等特點(diǎn)，在IP地址分配方式上采用DHCP協(xié)議為用戶(hù)動(dòng)態(tài)分配IP地址，以解決靜態(tài)配置IP地址繁瑣、易出錯(cuò)和耗時(shí)長(zhǎng)且不能適應(yīng)并解決網(wǎng)絡(luò)故障等問(wèn)題。根據(jù)用戶(hù)給出的網(wǎng)絡(luò)劃分要求，將網(wǎng)絡(luò)劃分成以下子網(wǎng)：校區(qū)建筑樓宇信息點(diǎn)數(shù)IP子網(wǎng)可用地址

20、范圍VLAN清水河校區(qū)/16教學(xué)辦公區(qū)100/25262教師宿舍區(qū)200/24543學(xué)生宿舍區(qū)200/24544沙河校區(qū)/16教學(xué)辦公區(qū)5028/25295411教師宿舍區(qū)100/252612學(xué)生宿舍區(qū)150/245413九里堤校區(qū)/16教學(xué)辦公區(qū)5010.2.1

21、.128/25295421教師宿舍區(qū)100/252622學(xué)生宿舍區(qū)150/245424二、三層交換網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)的設(shè)計(jì)分為兩種：三層結(jié)構(gòu)而二層結(jié)構(gòu)。在大型園區(qū)網(wǎng)絡(luò)的設(shè)計(jì)像是校園網(wǎng)的設(shè)計(jì)當(dāng)中三層結(jié)構(gòu)能夠有效地降低網(wǎng)絡(luò)的復(fù)雜性，減少光纜的使用，增強(qiáng)網(wǎng)絡(luò)的可管理性。在校園網(wǎng)中運(yùn)用分層結(jié)構(gòu)的優(yōu)點(diǎn)是接入層路由器可以采用較小的設(shè)備，它們交換數(shù)據(jù)需要較少的時(shí)間，具備更強(qiáng)的網(wǎng)絡(luò)策略處理能力。然而，分層拓?fù)浣Y(jié)構(gòu)會(huì)帶來(lái)物理層內(nèi)隱含的故障點(diǎn)，即某個(gè)設(shè)備或失敗的鏈路會(huì)導(dǎo)致網(wǎng)絡(luò)遭受?chē)?yán)重破壞。

22、克服單個(gè)故障點(diǎn)可以采用冗余手段，雖然這樣會(huì)增加網(wǎng)絡(luò)的復(fù)雜性。三層拓?fù)浣Y(jié)構(gòu)由核心層、匯聚層及接入層組成。核心層主要負(fù)責(zé)數(shù)據(jù)包的交換，因此設(shè)計(jì)時(shí)應(yīng)注意不要在核心層執(zhí)行網(wǎng)絡(luò)策略、所有設(shè)備應(yīng)具有充分可達(dá)性；匯聚層將大量低速的鏈接通過(guò)少量的寬帶連接接入核心層，實(shí)現(xiàn)通信量的收斂、提高聚合點(diǎn)效率、減少核心層路由路徑數(shù)量；接入層實(shí)現(xiàn)將流量饋入網(wǎng)絡(luò)和接入訪(fǎng)問(wèn)控制。三、網(wǎng)絡(luò)建設(shè)1、主干鏈路的選擇校園主干網(wǎng)技術(shù)主要集中在FDDI、ATM、快速以太網(wǎng)、千兆以太網(wǎng)等，隨著萬(wàn)兆以太網(wǎng)技術(shù)的飛速發(fā)展，萬(wàn)兆以太網(wǎng)也被列入了未來(lái)校園網(wǎng)建設(shè)的發(fā)展方向。相比于FDDI、ATM、及快速以太網(wǎng)技術(shù)，千兆以太網(wǎng)和萬(wàn)兆以太網(wǎng)技術(shù)能提供更高

23、的帶寬以支持更高的數(shù)據(jù)傳輸速率，且能夠提供更小的延遲，滿(mǎn)足用戶(hù)的多種業(yè)務(wù)需求。下面就對(duì)這兩種技術(shù)進(jìn)行對(duì)比。千兆以太網(wǎng)千兆以太網(wǎng)與大量使用的以太網(wǎng)和快速以太網(wǎng)完全兼容，并利用了原有以太網(wǎng)標(biāo)準(zhǔn)中規(guī)定的全部技術(shù)規(guī)范，包括CSMA/CD協(xié)議、以太網(wǎng)幀、全雙工、流量控制以及IEEE802.3中定義的管理對(duì)象。千兆以太網(wǎng)也支持流量管理技術(shù)，保證在以太網(wǎng)上的服務(wù)質(zhì)量。千兆以太網(wǎng)還利用IEEE 802.1QVLAN支持、第四層過(guò)濾、千兆位的第三層交換。千兆以太網(wǎng)在充分保護(hù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資上提供了完美的網(wǎng)絡(luò)升級(jí)途徑，由于其保留IEEE802.3和以太網(wǎng)幀格式以及802.3受管理的對(duì)象規(guī)格，使得企業(yè)在升級(jí)至千

24、兆性能的同時(shí)，能保留現(xiàn)有線(xiàn)纜、操作系統(tǒng)、協(xié)議等。同時(shí)千兆以太網(wǎng)為用戶(hù)提供了到Internet、Intranet、城域網(wǎng)與廣域網(wǎng)更快速的訪(fǎng)問(wèn)萬(wàn)兆以太網(wǎng)萬(wàn)兆以太網(wǎng)技術(shù)與千兆以太網(wǎng)類(lèi)似，仍然保留了以太網(wǎng)幀結(jié)構(gòu)。通過(guò)不同的編碼方式或波分復(fù)用提供10Gbit/s傳輸速度。所以就其本質(zhì)而言，10G以太網(wǎng)仍是以太網(wǎng)的一種類(lèi)型。萬(wàn)兆以太網(wǎng)是一種只能工作在全雙工模式下，只能用光纖作為傳輸媒體, 并且不需要CSMA/CD 協(xié)議的以太網(wǎng)標(biāo)準(zhǔn)。因此與千兆以太網(wǎng)相比它能夠提供更高的帶寬，更快的數(shù)據(jù)傳輸速率和更低的網(wǎng)絡(luò)延遲，同時(shí)它能夠使校園網(wǎng)的數(shù)據(jù)中心延伸到更遠(yuǎn)的距離上去。并且它保持了以太網(wǎng)一貫的兼容性、簡(jiǎn)單易用和升級(jí)容

25、易的特點(diǎn)。但是，由于萬(wàn)兆以太網(wǎng)尚處于發(fā)展初期，還存在著一些問(wèn)題和不足：首先，在價(jià)格方面，目前一個(gè)10GE端口的價(jià)格是GE端口的100倍左右，尤其是在帶寬得不到充分利用的情況下，會(huì)造成投資的極大浪費(fèi)；再有，10GE要求設(shè)備具有強(qiáng)大的處理能力，而目前業(yè)界有些廠(chǎng)商推出的10GE端口并達(dá)不到真正的線(xiàn)速處理，帶寬優(yōu)勢(shì)大打折扣。而相對(duì)于萬(wàn)兆以太網(wǎng)，千兆以太網(wǎng)技術(shù)的發(fā)展已經(jīng)很成熟，且性?xún)r(jià)比較高高。因此，針對(duì)上述問(wèn)題以及目前網(wǎng)絡(luò)帶寬需求不太迫切的現(xiàn)狀，校園網(wǎng)絡(luò)建設(shè)側(cè)重業(yè)務(wù)和性?xún)r(jià)比，主干網(wǎng)仍采用千兆以太網(wǎng)方式。2、路由協(xié)議選擇路由協(xié)議通過(guò)在路由器之間共享路由信息來(lái)支持可路由協(xié)議。路由協(xié)議按路由算法分為距離矢量路

26、由和鏈路狀態(tài)路由。距離矢量路由從鄰居路由器角度看網(wǎng)絡(luò)拓?fù)?，逐跳增加距離矢量，收斂較慢，發(fā)送整張路由表給鄰居，典型的協(xié)議有RIPv1、RIPv2、IGRP；鏈路狀態(tài)路由的各個(gè)節(jié)點(diǎn)對(duì)整個(gè)網(wǎng)絡(luò)拓?fù)溆泄餐恼J(rèn)識(shí)，通過(guò)擴(kuò)散鏈路狀態(tài)信息給其他路由器計(jì)算最短路由，由于該協(xié)議是事件觸發(fā)更新的，因此收斂快速，典型的協(xié)議有OSPF和IS-IS。RIP協(xié)議算法簡(jiǎn)單、但路徑較多時(shí)收斂速度慢，廣播路由信息占用的帶寬資源也較多，適用于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相對(duì)簡(jiǎn)單且數(shù)據(jù)鏈路故障率極低的小型網(wǎng)絡(luò)，因此在大型網(wǎng)絡(luò)中并不適用。而OSPF協(xié)議適應(yīng)各種規(guī)模的網(wǎng)絡(luò)，最多可支持幾百臺(tái)路由器；協(xié)議收斂速度快；由于OSPF通過(guò)最小生成樹(shù)算法計(jì)算路由

27、，因此保證了網(wǎng)絡(luò)不會(huì)生成自環(huán)路由；OSPF在描述路由時(shí)攜帶網(wǎng)絡(luò)掩碼信息，因此OSPF不受自然掩碼限制，支持VLSM技術(shù)；OSPF允許自治系統(tǒng)的網(wǎng)絡(luò)被劃分成區(qū)域管理，區(qū)域間傳送的路由信息被進(jìn)一步抽象化，從而減少了網(wǎng)絡(luò)帶寬的占用；OSPF支持等值路由和路由分級(jí)，支持報(bào)文驗(yàn)證和組播發(fā)送。因此，OSPF通常用于大規(guī)模IP網(wǎng)絡(luò)組網(wǎng)。通過(guò)上面比較，結(jié)合校園網(wǎng)實(shí)際運(yùn)用可知，在選取校園網(wǎng)路由協(xié)議時(shí)應(yīng)選用更適合大規(guī)模校園網(wǎng)的OSPF協(xié)議。四、主干設(shè)備選型 網(wǎng)絡(luò)主干設(shè)備的選擇應(yīng)遵循以下原則：1、提供穩(wěn)定可靠的網(wǎng)絡(luò)：要求網(wǎng)絡(luò)主干設(shè)備能夠提供物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。2、高性能：由于校園校區(qū)網(wǎng)絡(luò)應(yīng)用的特殊

28、性,它對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的性能要求相對(duì)來(lái)說(shuō)比較高。為了支持?jǐn)?shù)據(jù)、話(huà)音、視像多媒體的傳輸能力，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，主干網(wǎng)選用支持千兆以太網(wǎng)的交換、路由設(shè)備。在滿(mǎn)足高帶寬的同時(shí)，網(wǎng)絡(luò)也應(yīng)滿(mǎn)足高吞吐率的需求；能夠保證延遲及延遲抖動(dòng)滿(mǎn)足需求。3、QoS保證：隨著網(wǎng)絡(luò)中多媒體的應(yīng)用越來(lái)越多，這類(lèi)應(yīng)用對(duì)服務(wù)質(zhì)量的要求較高，本網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證QoS，以支持這類(lèi)應(yīng)用。4、安全性：網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性。網(wǎng)絡(luò)設(shè)備應(yīng)支持VLAN的劃分，并能在VLAN之間進(jìn)行第三層交換時(shí)進(jìn)行有效的安全控制，以保證系統(tǒng)的安全性。主干網(wǎng)網(wǎng)絡(luò)設(shè)備具有“防火墻”過(guò)濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)，可對(duì)接入因特網(wǎng)的各網(wǎng)絡(luò)用戶(hù)

29、進(jìn)行權(quán)限控制。5、易控制管理：對(duì)于網(wǎng)絡(luò)管理，要求采用智能化網(wǎng)絡(luò)管理軟件，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的自動(dòng)監(jiān)測(cè)和控制。并支持虛擬網(wǎng)絡(luò)功能，對(duì)網(wǎng)絡(luò)用戶(hù)具有分類(lèi)控制功能。6、IP Multicast：由于校園校區(qū)網(wǎng)絡(luò)中包含許多多媒體應(yīng)用通信，會(huì)存在許多的廣播信息，占用大量的帶寬資源。所以網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持IP Multicast，可以減少網(wǎng)絡(luò)中不必要的廣播，節(jié)省主干的帶寬。7、符合IP發(fā)展趨勢(shì)的網(wǎng)絡(luò)：校園網(wǎng)絡(luò)必須跟緊IP發(fā)展的步伐，也就是必須選擇處于IP發(fā)展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠(chǎng)商。在選擇路由器時(shí)應(yīng)選擇全雙工線(xiàn)速轉(zhuǎn)發(fā)能力高、設(shè)備吞吐量和端口吞吐量高的路由器設(shè)備。同時(shí)經(jīng)過(guò)之前的分析，路由器應(yīng)該能夠支持OSPF協(xié)議為主路由協(xié)議

30、，并且能夠支持多種備選路由協(xié)議。邊界路由器應(yīng)該能支持VPN功能，且選擇壓縮比高、壓縮性能較好的路由器?；谛@網(wǎng)絡(luò)存在的廣播應(yīng)用需求，路由器還需要能支持組播協(xié)議；同時(shí)，提供QoS保障；支持IPv6以順應(yīng)下一代互聯(lián)網(wǎng)的發(fā)展趨勢(shì)。最后，路由器應(yīng)能支持更加強(qiáng)大的網(wǎng)絡(luò)管理功能。在交換機(jī)選擇時(shí)應(yīng)考慮到交換機(jī)的MAC地址表容量、背板帶寬、生成樹(shù)協(xié)議、流量控制方式、VLAN能力、端口聚合能力、支持的協(xié)議和標(biāo)準(zhǔn)、部件冗余性和網(wǎng)管能力等性能指標(biāo)。結(jié)合上述分析，方案提供的設(shè)備清單如下。序號(hào)產(chǎn)品名稱(chēng)型號(hào)數(shù)量接口類(lèi)型 1Switch 40603C17709 96個(gè)自適應(yīng)10/100/1000端口； 12個(gè)固定1000

31、BASE-SX端口； 6個(gè)GBIC端口支持1000BASE-SX、1000BASE-LX或1000BASE-LH70 GBIC2SuperStack 3Switch 4900 SX3C17700612個(gè)自適應(yīng)100/1000端口3SuperStack 3 FireWall3CR16110-9534銳捷二層交換機(jī)RG-S2126G 185Cisco2911/K932個(gè)外部USB閃存插槽1個(gè)USB控制臺(tái)端口1個(gè)串行控制臺(tái)端口1個(gè)串行輔助端口第四章 接入設(shè)計(jì)一、用戶(hù)接入設(shè)計(jì)1、概述接入網(wǎng)從功能的角度主要分為兩個(gè)部分，即接入承載功能部分和接入控制功能部分。接入承載功能部分主要使用鏈路層協(xié)議實(shí)現(xiàn)比特流傳

32、送的功能，近年來(lái)存在多種發(fā)展迅猛的寬帶接入技術(shù)。寬帶接入技術(shù)種類(lèi)繁多，主要包括以太網(wǎng)接入、xDSL、WLAN接入技術(shù)和HFC接入技術(shù)等。由于校園網(wǎng)應(yīng)用場(chǎng)景的多樣化，在建立校園網(wǎng)的接入網(wǎng)時(shí)ADSL、以太網(wǎng)及WLAN接入技術(shù)都應(yīng)納入接入網(wǎng)設(shè)計(jì)當(dāng)中以適應(yīng)不同的應(yīng)用環(huán)境。接入控制部分實(shí)現(xiàn)接入安全管理和運(yùn)營(yíng)管理等功能，其中AAA（即認(rèn)證、授權(quán)、記賬）管理是接入控制的核心，近年來(lái)審計(jì)和管理也被并入接入控制與3A并稱(chēng)為5A。接入控制機(jī)制主要分為兩大類(lèi)型，即PPPoE結(jié)構(gòu)和802.1X結(jié)構(gòu)?；谛@網(wǎng)絡(luò)較為頻繁的擴(kuò)展需求，本方案選用IEEE 802.1X的接入控制方式以降低網(wǎng)絡(luò)擴(kuò)展帶來(lái)的成本問(wèn)題。2、802.

33、1X接入控制基本原理802.1X+RADIUS接入控制方式基于802.1X協(xié)議，在交換機(jī)接入端口對(duì)用戶(hù)進(jìn)行接入控制，系統(tǒng)結(jié)構(gòu)如下圖：圖4-1 802.1X+RADIUS接入控制結(jié)構(gòu) 圖中連接用戶(hù)的以太網(wǎng)交換機(jī)必須支持802.1X協(xié)議實(shí)現(xiàn)對(duì)用戶(hù)基于端口的接入控制，用戶(hù)PC必須運(yùn)行TCP/IP和802.1X協(xié)議。802.1X接入交換機(jī)與RADIUS服務(wù)器之間運(yùn)行RADIUS協(xié)議，RADIUS服務(wù)器實(shí)現(xiàn)對(duì)用戶(hù)的集中仲裁管理。協(xié)議的運(yùn)行原理圖如下圖4-2 802.1X接入控制原理圖802.1X協(xié)議接入端口邏輯上分為兩個(gè)邏輯端口：受控端口和非受控端口。非受控端口始終處于連通狀態(tài)，用來(lái)傳送認(rèn)證信息。受控端

34、口默認(rèn)狀態(tài)為斷開(kāi)，認(rèn)證通過(guò)后才接通，用于傳送用戶(hù)業(yè)務(wù)數(shù)據(jù)。因此，認(rèn)證未通過(guò)前，用戶(hù)只能通過(guò)接入交換機(jī)傳送認(rèn)證信息，接入交換機(jī)再通過(guò)RADIUS協(xié)議將認(rèn)證信息傳送到RADIUS服務(wù)器上，由RADIUS服務(wù)器進(jìn)行認(rèn)證，并返回結(jié)果到接入交換機(jī)。接入交換機(jī)根據(jù)返回結(jié)果控制用戶(hù)接入，若認(rèn)證成功，則接通受控端口允許用戶(hù)接入，否則受控端口保持?jǐn)嚅_(kāi)狀態(tài)，拒絕用戶(hù)接入，從而實(shí)現(xiàn)對(duì)用戶(hù)基于端口的接入控制。3、特點(diǎn)802.1X協(xié)議具有以下優(yōu)點(diǎn)：分布式部署模式可大大減少認(rèn)證系統(tǒng)的故障率，可采用多小區(qū)、分布式集群部署；每臺(tái)交換機(jī)的接入用戶(hù)數(shù)量相對(duì)較少，負(fù)荷開(kāi)銷(xiāo)小，認(rèn)證無(wú)瓶頸，速度快；組網(wǎng)采用全交換，可滿(mǎn)足校園網(wǎng)的高速數(shù)

35、據(jù)交換需求；認(rèn)證采用交換機(jī)，無(wú)需經(jīng)過(guò)骨干網(wǎng)，減少骨干網(wǎng)的壓力；支持IPv6業(yè)務(wù)及組播；AAA認(rèn)證系統(tǒng)的圖形化界面操作簡(jiǎn)單便捷，不易出錯(cuò)；組播方式尋找NAS不存在欺騙和賬號(hào)被盜的風(fēng)險(xiǎn)；不易導(dǎo)致全網(wǎng)癱瘓；可防止ARP等廣播攻擊的發(fā)生；可精確追溯用戶(hù)上網(wǎng)日志；可提供用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)資源免費(fèi)、外網(wǎng)資源周菲的業(yè)務(wù)，內(nèi)網(wǎng)資源的訪(fǎng)問(wèn)帶寬不會(huì)被限速；未來(lái)擴(kuò)容方便，節(jié)省投資。但該方案分布程度大，因此需要接入的交換機(jī)較多，認(rèn)證通過(guò)后難以通過(guò)管理控制斷開(kāi)。4、實(shí)現(xiàn)方案在一個(gè)接入網(wǎng)段處的配置圖如下圖所示：圖4-3 802.1X接入設(shè)計(jì)圖其中作為RADIUS服務(wù)器的交換機(jī)和與其直接相連的交換機(jī)選擇支持802.1X協(xié)議的SR

36、G-3760三層交換機(jī)，與用戶(hù)直接相連的交換機(jī)選擇可堆疊的二層交換機(jī)RG-S2126G，RADIUS服務(wù)器與校園網(wǎng)、三層交換機(jī)相連的接口均選用1000Base-X端口，三層交換機(jī)與二層交換機(jī)也均為1000Base-X，二層交換機(jī)與用戶(hù)連接的端口選用全雙工自適應(yīng)。這樣建立的網(wǎng)絡(luò)能夠提供高速率的數(shù)據(jù)傳輸需求，同時(shí)二層交換機(jī)的堆疊功能可以大大提高端口密度和性能。二、 ISP接入設(shè)計(jì)校園網(wǎng)作為中國(guó)教育科研網(wǎng)（CERNET）的一部分，對(duì)CERNET網(wǎng)絡(luò)具有資源共享的需求，因此能夠建立一條到CERNET的高速網(wǎng)絡(luò)是必不可少的；此外，校園網(wǎng)絡(luò)同樣具有對(duì)外部網(wǎng)絡(luò)資源共享的需求，因此ISP（即互聯(lián)網(wǎng)服務(wù)提供商）

37、在為校園網(wǎng)提供到CERNET的同時(shí)，也能夠提供一條到ChinaNET的接入。針對(duì)上述需求，本方案計(jì)劃提供一條按國(guó)際流量計(jì)費(fèi)的100M到CERNET的接入鏈路，同時(shí)提供一條包含8個(gè)合法IP地址，按包月制計(jì)費(fèi)的到ChinaNET的接入鏈路。1、路由協(xié)議靜態(tài)路由是指用戶(hù)或網(wǎng)絡(luò)管理員在路由器中手工配置的路由信息，路由明確指定了數(shù)據(jù)包到達(dá)目的地所必經(jīng)的路徑。靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變做出反應(yīng)，當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路狀態(tài)發(fā)生變化時(shí)，管理員需手工修改路由表相應(yīng)靜態(tài)路由信息，否則靜態(tài)路由不會(huì)發(fā)生變化，因此，靜態(tài)路由適合網(wǎng)絡(luò)規(guī)模不大或拓?fù)浣Y(jié)構(gòu)相對(duì)固定的網(wǎng)絡(luò)。靜態(tài)路由具有允許對(duì)路由行為進(jìn)行精確控制、減少網(wǎng)絡(luò)流量、單

38、向路由和配置簡(jiǎn)單等特點(diǎn)。同時(shí)由于靜態(tài)路由只能人工配置，因此也具備網(wǎng)絡(luò)安全保密性高的優(yōu)點(diǎn)。動(dòng)態(tài)路由是指路由器能夠自動(dòng)地建立自己的路由表，并且能夠根據(jù)實(shí)際情況的變化適時(shí)地進(jìn)行調(diào)整。常見(jiàn)的路由協(xié)議類(lèi)型有：距離向量路由協(xié)議（如RIP）和鏈路狀態(tài)路由協(xié)議（如OSPF）。動(dòng)態(tài)路由具有無(wú)需手工維護(hù)、工作負(fù)擔(dān)輕，可根據(jù)網(wǎng)絡(luò)拓?fù)渥詣?dòng)調(diào)節(jié)路由條目但耗費(fèi)網(wǎng)絡(luò)帶寬資源的特點(diǎn)。根據(jù)上述不同類(lèi)型路由的特點(diǎn)，結(jié)合校園網(wǎng)是一個(gè)網(wǎng)絡(luò)規(guī)模較大且結(jié)構(gòu)富于變化的網(wǎng)絡(luò)類(lèi)型，設(shè)計(jì)決定選用動(dòng)態(tài)路由的方案以使路由器根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓詣?dòng)調(diào)節(jié)路由線(xiàn)路。2、其他接入技術(shù)除了路由技術(shù)的支持，考慮到校園網(wǎng)在安全方面的需求以及接入ChinaNET網(wǎng)時(shí)

39、合法IP地址的限制，在校園網(wǎng)接入Internet時(shí)還應(yīng)提供其他方面的技術(shù)支持。1）、VPN技術(shù)首先校園網(wǎng)的建立需要運(yùn)用到虛擬專(zhuān)用網(wǎng)（VPN）技術(shù)，即在公用網(wǎng)絡(luò)上建立專(zhuān)用邏輯網(wǎng)絡(luò)的技術(shù)。在校園網(wǎng)建設(shè)中運(yùn)用虛擬專(zhuān)用網(wǎng)絡(luò)是因其具有如下技術(shù)特點(diǎn)：首先VPN具有較高的安全性。VPN可以通過(guò)隧道加密、流量分離、分組認(rèn)證、用戶(hù)認(rèn)證和訪(fǎng)問(wèn)控制等技術(shù)保證用戶(hù)連接的可靠性和數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄?。其次，VPN能夠?yàn)樾@網(wǎng)提供不同等級(jí)的服務(wù)質(zhì)量保證。由于校園網(wǎng)中的用戶(hù)類(lèi)型和需求較為廣泛且網(wǎng)絡(luò)流量存在某些時(shí)段上的高峰需求和一些時(shí)段上的空閑，因此VPN應(yīng)能通過(guò)QoS進(jìn)行流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資

40、源，實(shí)現(xiàn)帶寬管理，使得各類(lèi)數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。同時(shí)，VPN具備靈活性和可擴(kuò)展性。若用戶(hù)想與合作伙伴聯(lián)網(wǎng)，在VPN下，只需雙方配置安全連接信息即可，無(wú)需協(xié)商如何在雙方之間建立租用或幀中繼線(xiàn)路。使用VPN還可以降低網(wǎng)絡(luò)架設(shè)成本。通過(guò)公用網(wǎng)絡(luò)來(lái)建立VPN，可節(jié)省大量的通信費(fèi)用，不必投入大量人力物力安裝和維護(hù)WAN設(shè)備和遠(yuǎn)程訪(fǎng)問(wèn)設(shè)備。最后VPN具有可管理性。虛擬專(zhuān)用網(wǎng)使用戶(hù)可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶(hù)只利用ISP提供的網(wǎng)絡(luò)資源，對(duì)于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在校園內(nèi)部也可以自己建立虛擬專(zhuān)用網(wǎng)。目前VPN的建設(shè)有三種解決方案，

41、分別為遠(yuǎn)程訪(fǎng)問(wèn)虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）。AccessVPN適合企業(yè)內(nèi)部人員移動(dòng)或有遠(yuǎn)程辦公需要的網(wǎng)絡(luò)；IntranetVPN適合進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互連；而ExtranetVPN適合需要對(duì)外部網(wǎng)絡(luò)進(jìn)行部署和管理。根據(jù)校園網(wǎng)的實(shí)際應(yīng)用需求，組建VPN網(wǎng)絡(luò)時(shí)建議選用IntranetVPN方案以實(shí)現(xiàn)校園各個(gè)校區(qū)、辦公區(qū)域和教學(xué)區(qū)域的連接。校園網(wǎng)通過(guò)在網(wǎng)絡(luò)中心搭建VPN服務(wù)器的方法來(lái)實(shí)現(xiàn)VPN網(wǎng)絡(luò)。2）、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)由于網(wǎng)絡(luò)服務(wù)提供商只提供8個(gè)合法的IP地址，因此運(yùn)用NAT技術(shù)不但可以解決IP地址

42、不足的問(wèn)題，將網(wǎng)絡(luò)的私有地址轉(zhuǎn)化成合法的IP地址，同時(shí)也能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。目前NAT具有三種實(shí)現(xiàn)方法，即靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換和端口多路復(fù)用轉(zhuǎn)換。介于ISP提供的合法地址遠(yuǎn)遠(yuǎn)少于網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)數(shù)量，因此運(yùn)用端口多路復(fù)用技術(shù)不僅能夠最大限度地節(jié)約IP地址資源，同時(shí)，又可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，避免來(lái)自Internet的攻擊。因此校園網(wǎng)中的NAT技術(shù)將采用端口多路復(fù)用轉(zhuǎn)換。3、防火墻技術(shù)為了進(jìn)一步提升網(wǎng)絡(luò)的安全性能，防火墻技術(shù)的運(yùn)用也是必不可少的。防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。防火

43、墻能強(qiáng)化安全策略；有效地記錄Internet上的活動(dòng)，限制暴露用戶(hù)點(diǎn)防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段，這樣，能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播；防火墻是一個(gè)安全策略的檢查站，所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪(fǎng)問(wèn)被拒絕于門(mén)外。在選擇防火墻是應(yīng)注意安全性、功能性、帶寬時(shí)延、穩(wěn)定性、管理配置方便性、擴(kuò)展升級(jí)靈活性和品牌性等問(wèn)題。校園網(wǎng)中的防火墻應(yīng)具備連接百兆網(wǎng)絡(luò)，千兆網(wǎng)絡(luò)能力；具備很強(qiáng)的防黑能力和入侵監(jiān)控能力；不光需要有能夠防止內(nèi)網(wǎng)訪(fǎng)問(wèn)非法的功能，還必需具有監(jiān)控網(wǎng)絡(luò)的功能；要讓管理員易于管理。第五章 綜合布線(xiàn)系統(tǒng)設(shè)計(jì)布線(xiàn)系統(tǒng)是網(wǎng)絡(luò)建設(shè)和運(yùn)營(yíng)的

44、基礎(chǔ)。它采用一系列高質(zhì)量的標(biāo)準(zhǔn)材料以模塊組合方式將語(yǔ)音、數(shù)據(jù)、圖像和部分控制信號(hào)系統(tǒng)用統(tǒng)一的傳輸媒介進(jìn)行綜合，經(jīng)過(guò)統(tǒng)一的規(guī)劃設(shè)計(jì)，綜合在一套標(biāo)準(zhǔn)的布線(xiàn)系統(tǒng)中，將現(xiàn)代建筑的三大子系統(tǒng)有機(jī)地連接起來(lái)，為現(xiàn)代建筑的系統(tǒng)集成提供了物理介質(zhì)。、本方案的布線(xiàn)拓?fù)溥x用多級(jí)星形模塊化拓?fù)浣Y(jié)構(gòu)，使得其具有配置的高靈活性，只要進(jìn)行互連配置，便可對(duì)系統(tǒng)做多種拓?fù)滢D(zhuǎn)換，在網(wǎng)絡(luò)中實(shí)現(xiàn)包括總線(xiàn)形、星形、環(huán)形等若干形式的組合。根據(jù)本方案校園網(wǎng)的建設(shè)需求，在接入網(wǎng)選用非屏蔽超5類(lèi)雙絞線(xiàn)、信息插座、超5類(lèi)信息模塊。既能保證網(wǎng)絡(luò)產(chǎn)品的結(jié)構(gòu)化布線(xiàn)，又使網(wǎng)絡(luò)具有易于施工、管理、維護(hù)的優(yōu)點(diǎn)，網(wǎng)絡(luò)安全性好，網(wǎng)絡(luò)設(shè)備可實(shí)現(xiàn)零冗余，充分利用

45、投資且擴(kuò)展性好，方案的性?xún)r(jià)比高。在主干網(wǎng)選用OM2多模光纖和SC光纖接插件以適應(yīng)1000M高帶寬、低衰減、安全性等傳輸需求。綜合布線(xiàn)系統(tǒng)主要由6個(gè)子系統(tǒng)構(gòu)成：1、工作區(qū)子系統(tǒng)：從用戶(hù)信息插座延伸至數(shù)據(jù)終端設(shè)備的連接線(xiàn)纜和設(shè)備器。校園網(wǎng)設(shè)計(jì)中工作去子系統(tǒng)設(shè)計(jì)采用增強(qiáng)型設(shè)計(jì)等級(jí)：（1）每10m2兩個(gè)插座（語(yǔ)音和數(shù)據(jù)各一個(gè)）。新建筑物采用嵌入式I/O插座，舊建筑物采用表面安裝式插座，插座距工作臺(tái)小于3m，距離地面30cm.（2）跳線(xiàn)選用超5類(lèi)UTP軟線(xiàn)，RJ45插頭，數(shù)量為插頭數(shù)量的兩倍加15%的，根據(jù)應(yīng)用情況不同使用平行線(xiàn)和交叉線(xiàn)。2、水平子系統(tǒng)：從樓層配線(xiàn)間至工作區(qū)用戶(hù)信息插座的線(xiàn)纜部分，由每層

46、配線(xiàn)間至信息插座的水平線(xiàn)纜及其線(xiàn)槽、管、托架和工作區(qū)用的信息插座組成。水平線(xiàn)纜沿大樓的地板或天花板布線(xiàn)，以不影響美觀(guān)為主。水平子系統(tǒng)采用星形拓?fù)浣Y(jié)構(gòu)，由為樓層配線(xiàn)間至各工作區(qū)的信息插座。系統(tǒng)采用超5類(lèi)雙絞線(xiàn)。水平線(xiàn)纜具有3種基本布線(xiàn)方案：直接埋管式、先走線(xiàn)槽再走支管方式和地面線(xiàn)槽方式。由于地面線(xiàn)槽方式造價(jià)昂貴且不適合樓層中信息點(diǎn)特別多的場(chǎng)合因此不適合校園網(wǎng)應(yīng)用場(chǎng)景，因此校園網(wǎng)水平布線(xiàn)子系統(tǒng)采用前兩種方式。3、干線(xiàn)子系統(tǒng)：由連接主設(shè)備間至各管理子系統(tǒng)之間的線(xiàn)纜構(gòu)成，通過(guò)建筑物內(nèi)部的傳輸線(xiàn)纜，把各個(gè)服務(wù)接線(xiàn)間的信號(hào)傳送到設(shè)備間，直到主交換設(shè)備。垂直干線(xiàn)子系統(tǒng)一般在建筑物中預(yù)留的弱電井中布線(xiàn)。干線(xiàn)子

47、系統(tǒng)包括干線(xiàn)線(xiàn)纜、干線(xiàn)通道及其他輔助設(shè)施。干線(xiàn)子系統(tǒng)的鋪設(shè)選用封閉型通道，選用超5類(lèi)大對(duì)數(shù)UTP電纜。4、設(shè)備間子系統(tǒng)：一個(gè)集中的總機(jī)房，連接系統(tǒng)公共設(shè)備，如PBX、主配線(xiàn)架、局域網(wǎng)核心交換機(jī)、數(shù)據(jù)中心服務(wù)器和管理員工作站等設(shè)備，以及干線(xiàn)子系統(tǒng)與這些設(shè)備的交接。設(shè)備間子系統(tǒng)設(shè)置時(shí)應(yīng)考慮其位置、周?chē)h(huán)境的溫度、濕度、照明、噪聲、電磁場(chǎng)干擾、供電、安全、建筑物放火及內(nèi)部裝修、地面、墻面、頂潮河火災(zāi)報(bào)警及滅火設(shè)施等因素。5、管理子系統(tǒng)：設(shè)置在樓層配線(xiàn)房間，是水平線(xiàn)纜與干線(xiàn)線(xiàn)纜交接的場(chǎng)所，由大樓主配線(xiàn)架、樓層分配線(xiàn)架、跳線(xiàn)和轉(zhuǎn)化插座等組成。在設(shè)計(jì)管理子系統(tǒng)時(shí)應(yīng)首先確定模塊化系數(shù)；然后選擇合適的接線(xiàn)硬件

48、，計(jì)算其實(shí)用數(shù)量；設(shè)計(jì)管理間的位置包括干線(xiàn)電纜孔、電纜和電纜孔配置、布線(xiàn)空間、房間進(jìn)出管道和電纜孔位置、110型硬件空間等；最后指定管理標(biāo)識(shí)做好文檔記錄。6、建筑群子系統(tǒng)：建筑群子系統(tǒng)的設(shè)計(jì)需遵循以下幾個(gè)步驟：（1）確定鋪設(shè)現(xiàn)場(chǎng)特點(diǎn)；（2）確定電纜系統(tǒng)一般參數(shù)；（3）確定建筑物的電纜入口；（4）確定明顯障礙物位置；（5）確定主電纜及備用電纜路由；（6）選擇電纜類(lèi)型規(guī)格；（7）確定備選方案勞務(wù)成本；（8）確定材料成本；（9）選取最優(yōu)方案。建筑群子系統(tǒng)電纜鋪設(shè)有四種方法：（1）管道電纜布線(xiàn)：提供最佳機(jī)構(gòu)保護(hù)，任何時(shí)候都可敷設(shè)電纜且電纜的敷設(shè)、擴(kuò)充和加固都很容易，保護(hù)建筑物外貌但挖溝、開(kāi)管道和入孔成本很高（2）直埋布線(xiàn)：提供一定程度的機(jī)構(gòu)保護(hù)，保持建筑物外貌但挖溝成本高，難以安排電纜敷設(shè)位置，更換、加固困難；（3）架空布線(xiàn)：在原本有電線(xiàn)桿的場(chǎng)景下成本最低但不提供任何機(jī)械保護(hù)，靈活性、安全性差，影響建筑物外觀(guān)；（4）隧道內(nèi)布線(xiàn)：在有隧道的情況下成本最低，保持建筑物外觀(guān)但熱量或泄露的熱水會(huì)損壞電纜，可能會(huì)被水淹沒(méi)。用戶(hù)可根據(jù)實(shí)際