大型校園宿舍網(wǎng)絡(luò)設(shè)計方案書PPT課件

1、大型校園宿舍網(wǎng)絡(luò)設(shè)計方案書一、二、1.2.三、四、成功來自自信目錄目錄.1前言 .3需求分析 .4背景介紹 .4需求分析 .52.1 校園網(wǎng)建網(wǎng)需求 .52.2 校園網(wǎng)基本應(yīng)用 .6設(shè)計原則 .91.網(wǎng)絡(luò)設(shè)計的基本原則 .92. 模塊化、層次化的設(shè)計原則. 112.1 模塊化設(shè)計 . 112.2 層次化的設(shè)計 .123.標(biāo)準(zhǔn)化、規(guī)范化原則 .143.1 標(biāo)準(zhǔn)化原則 .143.2 規(guī)范化原則 .144. 校園網(wǎng)的設(shè)計原則 .14解決方案 .161.網(wǎng)絡(luò)拓?fù)鋱D.162. 方案說明 .162.1 用戶上網(wǎng)方案 .182.1.1 訪問校園網(wǎng) .182.1.2 CERNet.182.1

2、.3 INTERNET.182.2 IP 地址規(guī)劃和路由設(shè)計 .182.2.1 IP 地址規(guī)劃 .18IP 地址規(guī)劃目標(biāo) .18IP 地址規(guī)劃原則 .19校園網(wǎng)地址規(guī)劃方案 .192.2.2 路由設(shè)計 .20校園網(wǎng)路由設(shè)計.20Internet 路由設(shè)計 .202.3 安全與流量控制 .202.3.1 網(wǎng)絡(luò)安全控制 .202.3.2 VLAN 需求 .212.3.3 VLAN 劃分設(shè)計 .222.3.4 流量監(jiān)控與控制： .252.3.5 網(wǎng)絡(luò)異常流量監(jiān)測技術(shù) .272.4 無線網(wǎng)絡(luò) .29IPTV.302.5.1 IPTV 需求 .302.5.2 IPTV 設(shè)計 .32Cernet在西南的重

3、要節(jié)點 .34擴(kuò)展可選擇模塊VOIP .352.7.1 VOIP 需求 .352.7.2 VOIP 設(shè)計方案 .35第 1 頁 共 61 頁3.23.3五、1、2、3、4、5、6、7、8、9、10、11、12、13、14、15、16、17、18、19、成功來自自信3.方案特點.363.1 高帶寬、高性能 .36網(wǎng)絡(luò)管理 .36完善的安全機(jī)制 .393.4 易維護(hù) .403.5 高可靠性 .413.6 低成本、可擴(kuò)展性強(qiáng) .413.7 嚴(yán)格的 QoS 保證 .41晴天工作室介紹 .42附錄一：網(wǎng)絡(luò)設(shè)備技術(shù)參數(shù) .43RG-WALL 1000 千兆防火墻 /VPN 網(wǎng)關(guān) .43RG-R3600 系

4、列模塊化多業(yè)務(wù)中心路由器 .44RG-S6800E新一代多業(yè)務(wù)萬兆核心路由交換機(jī)系列 .47STAR-S2100 系列安全智能交換機(jī) .50RG-WSG108R 高速無線局域網(wǎng)寬帶路由器 .52附錄二：有關(guān)專業(yè)名詞解釋 .54802.1Q VLAN .54三層路由功能 .55網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) .56SNMP .56ACL訪問控制 .56增強(qiáng)的 802.1 X 功能 .5710GE.57DDN：.58幀中繼： .58什么是X.25？ .59集成安全： .59內(nèi)置安全： .59核心層 .59匯聚層: .59接入層 .60Q O S.60軟交換路由 .60什么是單模光纖？ .60BASE-F

5、X、BASE-TX、BASE-LX、BASE-SX.61第 2 頁 共 61 頁成功來自自信一、前言在當(dāng)今信息產(chǎn)業(yè)蓬勃發(fā)展的今天，信息已經(jīng)成為一種關(guān)鍵性的戰(zhàn)略資源，計算機(jī)技術(shù)在人們的生活中已經(jīng)起到了越來越重要的作用。校園作為知識基地和人才基地，它理應(yīng)成為代表信息產(chǎn)業(yè)應(yīng)用最成功的典范。一所成功的學(xué)校不僅在學(xué)術(shù)上、教育上要力爭上游，更應(yīng)在管理上上一個臺階。利用各種成熟的技術(shù)帶動學(xué)校各單位、各部門的電腦化管理，通過校園信息網(wǎng)，將各處的電腦聯(lián)成一個數(shù)據(jù)網(wǎng)，實現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)范性；教職員工和學(xué)生可共享各種信息，極易進(jìn)行各種信息的教流、經(jīng)驗的分享、討論、消息的發(fā)布、工作流的自動實現(xiàn)和協(xié)同工作等，從而

6、有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)質(zhì)量，增強(qiáng)學(xué)生學(xué)習(xí)的積極性、主動性，為信息時代培育出高素質(zhì)的人才。在學(xué)校中建立計算機(jī)網(wǎng)絡(luò)已經(jīng)是十分迫切的需要：計算機(jī)和網(wǎng)絡(luò)已經(jīng)成為各行各業(yè)在工作中的工具，是否掌握計算機(jī)的技術(shù)和應(yīng)用，已經(jīng)成為衡量一個從業(yè)者是否合格的重要標(biāo)識。作為培養(yǎng)人才的基地，在校園中就讓學(xué)生接觸計算機(jī)、計算機(jī)網(wǎng)絡(luò)，對于培養(yǎng)合格的人才無疑是十分重要的；在現(xiàn)在這個知識爆炸的社會中，對于合格人才的要求越來越多，需要他們掌握大量的各類知識，在教育中需要提高教學(xué)效率?，F(xiàn)在出現(xiàn)了許多新的教學(xué)方法，以各種方式提高學(xué)生對知識的掌握速度，在與前人同樣的時間內(nèi)，掌握比前人更多的知識，而這些教學(xué)方法，需要利用計

7、算機(jī)網(wǎng)絡(luò)才能實現(xiàn)；高等院校除了作為人才培養(yǎng)基地外，也是重要的科研基地，每年有大量的課題在高校中進(jìn)行，研究人員需要收集資料、與同行交流研究心得等，促使研究的進(jìn)展，作為全球最大的信息源和交流方式，計算機(jī)網(wǎng)絡(luò)正是最合適的選擇；學(xué)校、尤其是高等學(xué)校，作為一個實體都有比較大的規(guī)模，人員繁多，各類事務(wù)也非常多，但經(jīng)費一般比較緊張，比其他行業(yè)更需要提高管理效率，在日常管理中節(jié)約經(jīng)費。在校園內(nèi)組建計算機(jī)網(wǎng)絡(luò)，在服務(wù)教學(xué)、科研的同時，也可以大大提高管理水平和效率。雖然在組建時需要花費一些費用，但與節(jié)省的費用相比，依然可以接受。隨著計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)設(shè)備的價格不斷下降；同時國家各級政府對于教育的投入

8、不斷增加，大量計算機(jī)進(jìn)入了校園，組建校園網(wǎng)不僅是十分迫切的工作，可行性也非常高。據(jù) 2005 年 7 月 CNNIC 的最新調(diào)查結(jié)果顯示，我國上網(wǎng)用戶總數(shù)突破 1 億，其中學(xué)生用戶占了 32.2%，是最大的用戶群。 另據(jù)相關(guān)資料顯示，網(wǎng)絡(luò)在中國的普及率為 7.9%，但在大學(xué)生群體中的普及率是 93%。目前 87%學(xué)生通過網(wǎng)吧上網(wǎng)，龐大的學(xué)生用戶群和他們的上網(wǎng)需求是校園網(wǎng)建設(shè)和發(fā)展的前提條件。此外，隨著寬帶城域網(wǎng)的建設(shè)，校園網(wǎng)的業(yè)務(wù)第 3 頁 共 61 頁成功來自自信也進(jìn)一步向公眾網(wǎng)擴(kuò)展，其中遠(yuǎn)程教育就成為一項極富發(fā)展?jié)摿Φ某怯蚓W(wǎng)寬帶業(yè)務(wù)。二、需求分析1. 背景介紹背景介紹中國教育和科研計算機(jī)網(wǎng)

9、 CERNET 是由國家投資建設(shè)，教育部負(fù)責(zé)管理，清華大學(xué)等高校承擔(dān)規(guī)劃、建設(shè)和運行管理的全國最大的公益性計算機(jī)互聯(lián)網(wǎng)絡(luò)。CERNET 始建于 1994年。十年來，在國家的大力支持下，教育部各屆領(lǐng)導(dǎo)直接領(lǐng)導(dǎo)和關(guān)懷下，和一批專家和技術(shù)人員的共同努力下，CERNET 從無到有，由小變大，從弱到強(qiáng)，取得了令人矚目的成績，成為我國重要的信息化基礎(chǔ)設(shè)施，在我國教育和科研事業(yè)發(fā)展，以及教育信息化建設(shè)中發(fā)揮了重要作用。目前,CERNET 主干網(wǎng)傳輸速率達(dá)到 2.55Gbps,地區(qū)網(wǎng)傳輸速率達(dá)到 155M2.5Gbps，覆蓋全國 31 個省、市 200 多座城市，聯(lián)網(wǎng)的大學(xué)、教育機(jī)構(gòu)和科研單位超過 1300個

10、，用戶超過 1800 萬人，成為世界上最大國家級公益性計算機(jī)互聯(lián)網(wǎng)。CERNET 也是我國下一代互聯(lián)網(wǎng)研究與建設(shè)的先行者，近幾年來承擔(dān)了中國高速互聯(lián)研究試驗網(wǎng) NSFCNET，863IPv6 綜合實驗環(huán)境，CERNETIPv6 試驗網(wǎng)，中日 IPv6 合作研究等一批我國下一代互聯(lián)網(wǎng)的試驗和研究項目，推動了我國下一代互聯(lián)網(wǎng)的研究和技術(shù)進(jìn)步。2004 年 1 月，CERNET 與美國 Internet2、歐盟 GEANT 等全球最大學(xué)術(shù)網(wǎng)共同宣布，開通全球 IPv6 下一代互聯(lián)網(wǎng)服務(wù)。2004 年 3 月 19 日，連接北京、上海和廣州的 CNGI 核心網(wǎng) CERNET2 試驗網(wǎng)開通并開始提供服務(wù)

11、。第 4 頁 共 61 頁成功來自自信2. 需求分析需求分析2.1 校園網(wǎng)建網(wǎng)需求校園網(wǎng)建網(wǎng)需求高校校園寬帶網(wǎng)用戶集中且網(wǎng)絡(luò)流量大，關(guān)注網(wǎng)絡(luò)的可運營和可管理特性，校園網(wǎng)建網(wǎng)需求如下：1、 教學(xué)區(qū)、宿舍區(qū)用戶對校園網(wǎng)、教育網(wǎng)、INTERNET的訪問有相應(yīng)的路由策略和相應(yīng)的計費策略。2、 校園網(wǎng)存在多個出口需求，校園網(wǎng)至少要提供中國教育科研網(wǎng)（CERNET）和INTERNET兩個出口。3、校園網(wǎng)安全性要求較高，要求設(shè)備能夠?qū)崿F(xiàn)用戶識別和動態(tài)綁定功能如通過“IP+MAC+端口”三元組的動態(tài)綁定來識別用戶。4、校園網(wǎng)WEB頁面可實現(xiàn)以下功能：用戶Web自助服務(wù)功能，用戶可通過Web自助服務(wù)頁面，進(jìn)行個

12、人資料的查詢、密碼修改、上網(wǎng)明細(xì)查詢、繳費記錄查詢以及在線預(yù)注冊和在線帳號充值。5、 校園網(wǎng)用戶能實現(xiàn)多ISP權(quán)限選擇。用戶可通過不同的帳號或采用相同帳號的不同域名進(jìn)行認(rèn)證，以獲得不同的權(quán)限，不同的權(quán)限對應(yīng)不同的計費策略。6、 校園網(wǎng)要求實現(xiàn)多種支持普通包月、包月限時長、包月限流量、計天、計時長和計量等多種計費策略。支持用戶卡和充值卡，沖值卡配合用戶卡以及提供的公用服務(wù)功能可以實現(xiàn)用戶的完全自助管理。第 5 頁 共 61 頁10、11、12、而成功來自自信7、 校園網(wǎng)要求能對每個用戶的使用情況能進(jìn)行事后審計，能夠定位到IP地址以及用戶所連接的端口和登錄的用戶名，限定帳號的使用端口。8、 校園網(wǎng)

13、要求能實現(xiàn)對用戶帶寬的動態(tài)控制。9、 校園網(wǎng)要求實現(xiàn)組播業(yè)務(wù)。校園網(wǎng)要求在學(xué)校規(guī)模不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性，能夠根據(jù)需要逐步平滑升級到萬兆的骨干連接。網(wǎng)管平臺實現(xiàn)網(wǎng)絡(luò)資源的管理、網(wǎng)絡(luò)安全訪問的控制。并且在平臺上能方便地開發(fā)所需網(wǎng)絡(luò)應(yīng)用。采用流行的、支持設(shè)備面廣、有良好圖形界面的網(wǎng)管平臺。網(wǎng)管系統(tǒng)能夠管理到網(wǎng)絡(luò)中的每一個智能設(shè)備及有關(guān)設(shè)備的每一個端口，即能夠遠(yuǎn)程對設(shè)備進(jìn)行設(shè)置、調(diào)試、網(wǎng)絡(luò)流量監(jiān)測和必要的重置。 能對網(wǎng)絡(luò)故障能及時發(fā)現(xiàn)并報警。2.2 校園網(wǎng)基本應(yīng)用校園網(wǎng)基本應(yīng)用作為校園網(wǎng)，需要連接多少個節(jié)點，怎樣使用各種網(wǎng)絡(luò)設(shè)備使分布在不同地理位置的節(jié)點連接到一個統(tǒng)一

14、的網(wǎng)絡(luò)中，怎樣使整個網(wǎng)絡(luò)上的節(jié)點相互連通，這些問題僅僅是校園網(wǎng)需要解決問題中的一部分，更重要的問題如何將這些資源有序地組織起來，需要實現(xiàn)什么功能，以滿足現(xiàn)在和未來在教學(xué)、科研、管理、交流等方面的需求。形成在校園內(nèi)部、校園與外部進(jìn)行信息溝通的體系，建立滿足教學(xué)、科研和管理需求的計算機(jī)環(huán)境，為學(xué)校各種人員提供充分的網(wǎng)絡(luò)信息服務(wù)，在網(wǎng)絡(luò)環(huán)境中進(jìn)行教學(xué)、研究、收集信息等工作。校園需要的基本功能有：計算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)；網(wǎng)絡(luò)下載、網(wǎng)絡(luò)聊天等；電子郵件系統(tǒng)：主要進(jìn)行與同行交往、開展技術(shù)合作、學(xué)術(shù)交流等活動；文件傳輸 FTP：主要利用 FTP 服務(wù)獲取重要的科技資料和技術(shù)文擋；INTERNE

15、T 服務(wù)：學(xué)?？梢越⒆约旱闹黜?，利用外部網(wǎng)頁進(jìn)行學(xué)校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁進(jìn)行管理，例如發(fā)布通知、收集學(xué)生意見等。圖書館的訪問系統(tǒng)，用于計算機(jī)查詢、計算機(jī)檢索、計算機(jī)閱讀等；其他應(yīng)用，如大型分布式數(shù)據(jù)庫系統(tǒng)、超性能計算資源共享、管理系統(tǒng)、視頻會議等。寬帶上網(wǎng)在信息化的今天，人們已經(jīng)把網(wǎng)絡(luò)當(dāng)成獲取信息的重要的源泉， WEB 應(yīng)用則起到了舉足輕重的作用。絕大多數(shù)的人都是通過瀏覽 WEB 頁面來獲取新知。校園網(wǎng)應(yīng)該是寬帶上網(wǎng)的前沿陣地，學(xué)生們可以通過網(wǎng)絡(luò)獲取豐富的知識，增加與其他學(xué)校學(xué)生，甚至其他國家第 6 頁 共 61 頁成功來自自信學(xué)生交流的機(jī)會。寬帶的網(wǎng)絡(luò)相比窄帶的撥號有著非

16、常大的優(yōu)勢，通過寬帶上網(wǎng)就能夠真正能實現(xiàn)網(wǎng)上沖浪。交互式網(wǎng)絡(luò)電視IPTV 即交互式網(wǎng)絡(luò)電視，是一種利用寬帶 IP 網(wǎng)，向用戶提供影視節(jié)目在線觀看的嶄新業(yè)務(wù)。該業(yè)務(wù)將電視機(jī)或個人計算機(jī)為顯示終端，通過機(jī)頂盒接入寬帶網(wǎng)絡(luò)，可以向用戶提供數(shù)字廣播電視、VOD 點播、視頻錄像等諸多寬帶業(yè)務(wù)。IPTV 是互聯(lián)網(wǎng)的一種新的業(yè)務(wù)模式，同時也是傳媒在互聯(lián)網(wǎng)時代一種更靈活的發(fā)行手段。IPTV 是通過寬帶 IP 網(wǎng)絡(luò)來看電視，用戶可以通過普通電視機(jī)機(jī)頂盒方式收看。與傳統(tǒng)電視相比，其最大特點是交互式的全新電視觀看體驗。除此之外，IPTV 用戶還可以方便地在電視機(jī)上進(jìn)行節(jié)目定購、余額查詢、費用繳納、使用詳細(xì)單查看等，

17、做到消費快捷、明白消費。IPTV 的主要特點在于其交互性和實時性。IPTV 既不同于傳統(tǒng)的有線電視，也不同于目前正在興起的數(shù)字電視。通過 IPTV 業(yè)務(wù)，用戶可以得到高質(zhì)量(接近 DVD 水平的)數(shù)字媒體服務(wù)，可以自由選擇寬帶 IP 網(wǎng)的視頻節(jié)目，實現(xiàn)媒體提供者和媒體消費者的實質(zhì)性互動。IPTV 的出現(xiàn)在寬帶視頻應(yīng)用方面填補(bǔ)了空白，支起了寬帶市場的另一片藍(lán)天。它將電視、通信和計算機(jī)三個領(lǐng)域結(jié)合在一起，被業(yè)界喻為撬開寬帶市場的新支點。視頻點播(VOD) 功能允許用戶根據(jù)自己的安排而不是預(yù)先確定的時間欣賞視頻。 VOD類似于 PVR，只不過節(jié)目內(nèi)容存儲在有線電視提供商的服務(wù)器上，而不是在客戶端或者

18、說用戶設(shè)備中。VOD 只是 IPTV 中的一項功能。視頻點播VOD（Video on Demand）是視頻點播技術(shù)的簡稱,也稱為交互式電視點播系統(tǒng)，意即根據(jù)用戶的需要播放相應(yīng)的視頻節(jié)目，從根本上改變了用戶過去被動式看電視的不足。當(dāng)您打開電視，您可以不看廣告，不為某個節(jié)目趕時間，隨時直接點播希望收看的內(nèi)容，就好像播放剛剛放進(jìn)自己家里錄像機(jī)或 VCD 機(jī)中的一部新片子，但是您又不需要購買錄像帶或者VCD 盤，也不需要錄像機(jī)或者 VCD 機(jī)。這就是信息技術(shù)帶給您的夢想，它通過多媒體網(wǎng)絡(luò)將視頻節(jié)目按照個人的意愿送到千家萬戶。對于校園網(wǎng)的用戶，學(xué)校可以開展多媒體視頻點播教學(xué)服務(wù)。通過把好的課件放到VOD

19、 服務(wù)器上，讓學(xué)生們進(jìn)行點播，可以靈活的開展教學(xué)服務(wù)，把枯燥的課堂教學(xué)轉(zhuǎn)變成為豐富的媒體服務(wù)。遠(yuǎn)程教學(xué)21 世紀(jì)的熱點是遠(yuǎn)程教育，這已成為人們的共識。遠(yuǎn)程教育的發(fā)展正在引發(fā)教育的又一輪變革，民主的教育模式和信息技術(shù)手段已經(jīng)被網(wǎng)校很好地利用，由此帶來的教學(xué)內(nèi)容改革和教法改革成為諸多網(wǎng)校吸引生源的法寶。第 7 頁 共 61 頁成功來自自信某高校校園網(wǎng)全面建成后，完全可以建立遠(yuǎn)程教育體系，實現(xiàn)對社會的開放，讓社會了解學(xué)校，讓更多希望上學(xué)的人有接受遠(yuǎn)程教育的機(jī)會。在已經(jīng)建立起的較完善的校園網(wǎng)，極大地方便了學(xué)校之內(nèi)以及學(xué)校與外界的交流。然而，在日常的教學(xué)工作中，單純的互聯(lián)網(wǎng)還是沒法滿足教學(xué)改革的要求。比

20、如，學(xué)校經(jīng)常要請一些國內(nèi)外專家教授過來講課，但即使是大課室也只能容納有限的幾百人，無法滿足所有學(xué)生的要求；同時，如果要請一些本地以外的教授過來，很不方便，不但學(xué)校要承擔(dān)較高的差旅費，教授也要長途跋涉，把大量的時間浪費在路途中，從而也限制了學(xué)校與外界的交流。因此，校園網(wǎng)中必需一套能夠隨時隨地與任何人面對面溝通的視頻會議系統(tǒng)。網(wǎng)絡(luò)化教學(xué)21 世紀(jì)，人類將面臨文明史上的又一次大的飛躍，即由工業(yè)化社會進(jìn)入到信息化社會，世界各國對當(dāng)前信息技術(shù)在教育中的應(yīng)用都給予了前所未有的關(guān)注。隨著家用電腦的普及和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，信息技術(shù)在教育中的應(yīng)用越來越廣泛，從前幾年的課件制作、基件制作等最基本的多媒體應(yīng)用技術(shù)

21、到今天的信息技術(shù)與課程整和的網(wǎng)絡(luò)化教學(xué)，信息技術(shù)的作用已不再是單純的多媒體帶給人們的視聽效果，而是將信息科技和普通學(xué)科的教學(xué)相結(jié)合，把信息技術(shù)有機(jī)的融合在普通學(xué)科的學(xué)習(xí)中。在教學(xué)中，我充分利用計算機(jī)網(wǎng)絡(luò)的優(yōu)勢向?qū)W生提供大量的信息資源，在使用計算機(jī)時，強(qiáng)調(diào)發(fā)揮計算機(jī)的特點，使計算機(jī)成為學(xué)習(xí)的工具。無線網(wǎng)絡(luò)承受著校園網(wǎng)應(yīng)用的普及和應(yīng)用水平的不斷提高，學(xué)校中工作和生活關(guān)系越來越密切，而學(xué)校中的網(wǎng)絡(luò)終端資源卻很有限，越來越難以滿足師生的需求。無線局域網(wǎng)技術(shù)的日趨成熟可以為此提供更加高效靈活的解決方案，可以用較少的投資獲得空前的應(yīng)用靈活性。隨著國家對中國教育行業(yè)的更加重視并加大投入，中國教育網(wǎng)的建設(shè)得到

22、了國家更大的支持并得到了更加廣泛的應(yīng)用，并已經(jīng)成為一種其它方式不能代替的獲得資源的重要手段，因此教師和學(xué)生對網(wǎng)絡(luò)的依賴也越來越強(qiáng)，隨時隨地能夠從網(wǎng)絡(luò)獲得相要的資源成為教育用戶追求的目標(biāo)。一般來說，如教室、圖書館、會議室等地方一般是不可能布設(shè)太多信息點的，但是隨著學(xué)生中筆記本電腦的普及和現(xiàn)代化教學(xué)的普及，上述場所往往在同一時刻有大量的電腦，而目前的有線校園網(wǎng)沒有辦法使學(xué)生們在這些區(qū)域上網(wǎng)。采用無線方式，在有限的信息點上連接無線接入器，就可以輕松從一個信息點擴(kuò)展到成百上千個信息點的應(yīng)用。國際上，擁有無線校園網(wǎng)，已經(jīng)成為現(xiàn)代化校園的一個標(biāo)志。據(jù)悉，到 2006 年，將有第 8 頁 共 61 頁成功來

23、自自信600 所高校建設(shè)無線校園網(wǎng)。中國的大學(xué)無線校園網(wǎng)的建設(shè)已經(jīng)如火如荼地展開了。VOIP 電話業(yè)務(wù)電話業(yè)務(wù)Internet 電話技術(shù)是目前 Internet 應(yīng)用領(lǐng)域的一個熱門話題。它主要指在 Internet 中實時傳送聲音，從廣義上講，它包括在 Internet 中實時傳送多媒體信息。IP 電話之所以發(fā)展迅速、備受人們關(guān)注，其主要原因是 IP 電話能節(jié)省大量長途電話費用，尤其是打國際長途電話。傳統(tǒng)電話是通過電話網(wǎng)傳送的，而 IP 電話是利用 TCPIP 技術(shù)，通過因特網(wǎng)傳送的。IP 電話和傳統(tǒng)電話的區(qū)別主要也就在于傳輸技術(shù)上。VoIP 的英文全稱是 voice over interne

24、t protocol，即基于 IP 協(xié)議的語音通信，因此也被稱作網(wǎng)絡(luò)電話或者寬帶電話。它實現(xiàn)了語音在 Internet 上的實時傳送。其基本原理是：通過語音壓縮算法對語音資料進(jìn)行壓縮編碼處理，然后把這些語音資料按 TCP/IP 標(biāo)準(zhǔn)進(jìn)行打包，經(jīng)過 IP 網(wǎng)絡(luò)把資料包送至接收地，再把這些語音資料包串起來，經(jīng)過譯碼解壓處理后，恢復(fù)成原來的語音信號，從而達(dá)到由互聯(lián)網(wǎng)傳送語音的目的。在許多場合，VoIP 技術(shù)僅指通過 IP 網(wǎng)絡(luò)實現(xiàn)類似普通老式電話的功能。但是，在傳統(tǒng)電話網(wǎng)的業(yè)務(wù)不斷發(fā)展的情況下，VoIP 的含義和設(shè)計目標(biāo)也超越了其字面意義；也就是說 VoIP 技術(shù)不僅指提供雙方會話的傳統(tǒng)電話技術(shù)，而

25、且是包含話音、圖像和數(shù)據(jù)、支持各種智能業(yè)務(wù)的雙方及多方多媒體通信技術(shù)。三、設(shè)計原則1.網(wǎng)絡(luò)設(shè)計的基本原則網(wǎng)絡(luò)設(shè)計的基本原則校園網(wǎng)建設(shè)是一項大型網(wǎng)絡(luò)工程，各個學(xué)校需要根據(jù)自身的實際情況來制定網(wǎng)絡(luò)設(shè)計原則。該學(xué)校網(wǎng)絡(luò)需要完成包括圖書信息、學(xué)校行政辦公等綜合業(yè)務(wù)信息管理系統(tǒng)，為廣大教職工、科研人員和學(xué)生提供一個在網(wǎng)絡(luò)環(huán)境下進(jìn)行教學(xué)和科研工作的先進(jìn)平臺。校園網(wǎng)覆蓋整個學(xué)校校園，網(wǎng)絡(luò)設(shè)計一般應(yīng)遵循下列 5 個基本原則：可靠性和高性能網(wǎng)絡(luò)必須是可靠的，包括網(wǎng)元級的可靠性，如引擎、風(fēng)扇、單板、總計等；以及網(wǎng)絡(luò)級的可靠性，如路由、交換的匯聚，鏈路冗余，負(fù)載均衡等。網(wǎng)絡(luò)必須具有足夠高的性能，滿足業(yè)務(wù)的需要。第

26、9 頁 共 61 頁成功來自自信實用性和經(jīng)濟(jì)性由于學(xué)校資金并不是很充足，不可能一步到位。另一方面，學(xué)校的應(yīng)用水平較參差不齊，某些系統(tǒng)即使安裝了也利用不起來，因此，在校園網(wǎng)的建設(shè)過程中，系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實效的方針，堅持實用、經(jīng)濟(jì)的原則?？蓴U(kuò)展性和可升級性系統(tǒng)要有可擴(kuò)展性和可升級性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級。設(shè)備應(yīng)選用符合國際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長的生命力和擴(kuò)展能力，滿足將來系統(tǒng)升級的要求。易管理、易維護(hù)由于校園骨干網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，應(yīng)用豐富而復(fù)雜，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管

27、理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。同時應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護(hù)。先進(jìn)性、成熟性當(dāng)前計算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)備更新淘汰也很快。這就要求校園網(wǎng)建設(shè)在系統(tǒng)設(shè)計時既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。只有采用當(dāng)前符合國際標(biāo)準(zhǔn)的成熟先進(jìn)的技術(shù)和設(shè)備，才能確保校園網(wǎng)絡(luò)能夠適應(yīng)將來網(wǎng)絡(luò)技術(shù)發(fā)展的需要，保證在未來若干年內(nèi)占主導(dǎo)地位。安全性、保密性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性。由于校園骨干網(wǎng)絡(luò)為多個用戶內(nèi)部網(wǎng)提供互聯(lián)并支持多種業(yè)務(wù)，要求能進(jìn)行靈活有效的安全控制，同時還應(yīng)支持虛擬專網(wǎng)，以提供多層次的安全

28、選擇。在系統(tǒng)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等。靈活性、綜合性通過采用結(jié)構(gòu)化、模塊化的設(shè)計形式，滿足系統(tǒng)及用戶各種不同的需求，適應(yīng)不斷變革中的要求。以滿足系統(tǒng)目標(biāo)與功能為目標(biāo)，保證總體方案的設(shè)計合理，滿足用戶的需求，同時便于系統(tǒng)使用過程中的維護(hù)，以及今后系統(tǒng)的二次開發(fā)與移植。第 10 頁 共 61 頁成功來自自信QoS（質(zhì)量服務(wù)）保證（質(zhì)量服務(wù)）保證教育在語音和視頻等多媒體應(yīng)用方面一直走在社會的前列，這類應(yīng)用對服務(wù)質(zhì)量的要求很高。QoS（質(zhì)量服務(wù)）需要在網(wǎng)絡(luò)的端到端

29、進(jìn)行全盤計劃和實施，由于各接入網(wǎng)絡(luò)和端設(shè)備的復(fù)雜性與多樣性，骨干網(wǎng)必須盡可能地支持各種質(zhì)量服務(wù)技術(shù)，特別是最新的技術(shù)如MPLS VPN 和流量工程，以提供簡潔透明的質(zhì)量服務(wù)機(jī)制。2. 模塊化、層次化的設(shè)計原則模塊化、層次化的設(shè)計原則銳捷網(wǎng)絡(luò)的設(shè)計都是基于一個模塊化，層次化的設(shè)計思想。這也是對大型網(wǎng)絡(luò)進(jìn)行高效管理的首選方法。2.1 模塊化設(shè)計模塊化設(shè)計所謂模塊化就是將把整個網(wǎng)絡(luò)按功能和安全需求分為若干個組件，這些組件之間有一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡(luò)設(shè)計。模塊化設(shè)計的好處在于：1. 解決各網(wǎng)絡(luò)之間的沖突問題；2. 簡化安裝和后臺設(shè)備管理；3. 易于故障檢測和分離問題；4. 易于執(zhí)行不同類

30、型的服務(wù)和安全方針；5. 易于擴(kuò)展和/或代替原來的技術(shù)。一個完整的模塊化設(shè)計如下圖所示：圖 1 模塊化網(wǎng)絡(luò)設(shè)計圖示校園網(wǎng)的設(shè)計可以借鑒這種思想，對各種不同種類，不同安全等級的業(yè)務(wù)進(jìn)行模塊劃分，第 11 頁 共 61 頁成功來自自信相互之間的訪問將受到控制。當(dāng)然，在實際情況中并不一定要求嚴(yán)格按照上述模塊劃分，而是根據(jù)實際情況靈活運用，做適當(dāng)?shù)牟脺p與調(diào)整。2.2 層次化的設(shè)計層次化網(wǎng)絡(luò)設(shè)計模型對于大型網(wǎng)絡(luò)，可以采用業(yè)界通用“核心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計模型。圖 2層次化網(wǎng)絡(luò)設(shè)計圖示核心層核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，通常要保證核心

31、層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。匯聚層到核心層要具備冗余傳輸鏈路，任何單條鏈路斷連不影響網(wǎng)絡(luò)的可用性。作為所有網(wǎng)絡(luò)流量的傳輸中樞，核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負(fù)載均衡或負(fù)載分擔(dān)特性的設(shè)備實現(xiàn)負(fù)荷均衡。此外，為了避免網(wǎng)元故障對網(wǎng)絡(luò)造成沖擊，需要網(wǎng)絡(luò)采用支持快速聚合的特性，一旦主用通路斷開，可以很快的切換到備用通路。第 12 頁 共 61 頁成功來自自信圖 3核心層網(wǎng)絡(luò)模塊匯聚層匯聚層顧名思義就是作為訪問層到骨干層的匯聚，通常為訪問層與骨干層實現(xiàn)基于策略的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機(jī)組成，提供對網(wǎng)絡(luò)流量模式控制、服務(wù)訪問控制、QoS、定義路由路徑度量（

32、path metric）和路由協(xié)議網(wǎng)絡(luò)通告控制。圖 4匯聚層網(wǎng)絡(luò)模塊接入層接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過 VLAN技術(shù)實現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。訪問層主要通過二層交換機(jī)組成。層次化網(wǎng)絡(luò)設(shè)計模型的優(yōu)點第 13 頁 共 61 頁成功來自自信“核心層-匯聚層-訪問層”層次化網(wǎng)絡(luò)設(shè)計模型有如下優(yōu)點：高可擴(kuò)展性 遵循層次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有伸縮性和可管理性，因為各功能網(wǎng)絡(luò)通過模塊化實現(xiàn)，潛在問題更易于識別。易于實施 每一層的功能性清晰劃分，簡化每一層的實現(xiàn)。易于故障排除 每一層的功能經(jīng)過良好定義，

33、網(wǎng)絡(luò)更為簡單，有助于故障的隔離。模塊化設(shè)計也有效限制故障影響范圍。易于規(guī)劃和管理 層次化的功能劃分，整個網(wǎng)絡(luò)規(guī)劃和管理更為簡單。3.標(biāo)準(zhǔn)化、規(guī)范化原則標(biāo)準(zhǔn)化、規(guī)范化原則3.1 標(biāo)準(zhǔn)化原則標(biāo)準(zhǔn)化原則銳捷網(wǎng)絡(luò)作為國內(nèi)率先通過 ISO9002/9001-2000 版國際認(rèn)證的 IT 廠商，始終將“品質(zhì)第一、永續(xù)經(jīng)營”作為貫徹整個生產(chǎn)經(jīng)營過程的品質(zhì)政策。3.2 規(guī)范化原則規(guī)范化原則按照安全模型的指導(dǎo)，從健康檢查階段、評估分析階段、規(guī)劃設(shè)計階段、安全實施、運維管理、安全培訓(xùn)整個安全周期角度進(jìn)行安全方案的設(shè)計和實施。4. 校園網(wǎng)的設(shè)計原則校園網(wǎng)的設(shè)計原則校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)

34、的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實現(xiàn)各項管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段。采用成熟、先進(jìn)的技術(shù)和設(shè)計思想，運用現(xiàn)有的系統(tǒng)集成的技術(shù)路線，強(qiáng)調(diào)系統(tǒng)先進(jìn)、實用、開放、安全、使用方便和易于擴(kuò)充等特點，突出系統(tǒng)功能的完善，實現(xiàn)辦公現(xiàn)代化、信息資源化、傳輸網(wǎng)絡(luò)化和決策科學(xué)化。其設(shè)計方案應(yīng)注意以下原則：實用性：校園網(wǎng)設(shè)計應(yīng)能滿足學(xué)校目前對網(wǎng)絡(luò)應(yīng)用的要求，充分實現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握。滿足管理職能的需求，為提高管理決策的及時性和準(zhǔn)確性提供高質(zhì)量的信息服務(wù)，增強(qiáng)對運行的協(xié)調(diào)和監(jiān)控

35、能力。先進(jìn)性：在系統(tǒng)的開發(fā)過程中，既能滿足當(dāng)前院校對網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來需第 14 頁 共 61 頁成功來自自信要擴(kuò)展的時候，能方便地擴(kuò)展，保護(hù)目前的所有投資；設(shè)計的配置可以靈活變通，以便適應(yīng)客戶的其他要求。符合計算機(jī)技術(shù)發(fā)展趨勢，采用先進(jìn)成熟的技術(shù)，堅持技術(shù)的開放性，易于技術(shù)更新?？蓴U(kuò)充性：方便系統(tǒng)和支撐平臺的升級，滿足用戶對信息需求不斷變化的需要，以及系統(tǒng)投資建設(shè)的長期性效益。靈活性：通過采用結(jié)構(gòu)化、模塊化的設(shè)計形式，滿足系統(tǒng)及用戶各種不同的需求，適應(yīng)不斷變革中的要求。安全性：應(yīng)能在可靠性的前提下，抵擋來自內(nèi)部和外部的攻擊；采用的安全措施有效、可信，能夠在多層次上、以多種方式實現(xiàn)安

36、全的控制。可靠性：校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，具有很高的 MTBF(平均無故障工作時間)和極低的 MTTR(平均無故障率)，提高容錯設(shè)計，支持故障檢測和恢復(fù)，可管理性強(qiáng)。統(tǒng)一性：在系統(tǒng)的設(shè)計過程中，堅持“三統(tǒng)一”，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。經(jīng)濟(jì)性：在充分滿足以上要求的前提下，應(yīng)充分考慮到學(xué)校的經(jīng)濟(jì)承受能力，盡可能地節(jié)約投資，花好每一分錢。規(guī)范性：采用的技術(shù)標(biāo)準(zhǔn)要遵循國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)與規(guī)范，保證系統(tǒng)發(fā)展的延續(xù)和可靠性。系統(tǒng)性：項目的開發(fā)必須按系統(tǒng)工程的管理方法，分階段、有計劃的統(tǒng)一組織實施。綜合性：以滿足系統(tǒng)

37、目標(biāo)與功能為目標(biāo)，保證總體方案的設(shè)計合理，滿足用戶的需求，同時便于系統(tǒng)使用過程中的維護(hù)，以及今后系統(tǒng)的二次開發(fā)與移植。第 15 頁 共 61 頁成功來自自信四、解決方案1.網(wǎng)絡(luò)拓?fù)鋱D圖 5網(wǎng)絡(luò)拓?fù)鋱D2. 方案說明方案說明校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實現(xiàn)骨干校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計任務(wù)的重點通常是冗余能力、可靠性和高速的傳輸。因?qū)W骨干層設(shè)計任務(wù)的重點通常是冗余能力、可靠性和高速的傳輸。因?qū)W校存在大量的語音和視頻傳輸。據(jù)此，考慮匯聚層對校存在大量的語音和視頻傳

38、輸。據(jù)此，考慮匯聚層對 QoS 有良好的支持并且能提供大的帶有良好的支持并且能提供大的帶寬。接入層設(shè)備是最終用戶的最直接上聯(lián)的設(shè)備，它應(yīng)該具備即插即用特性以及易于維護(hù)的寬。接入層設(shè)備是最終用戶的最直接上聯(lián)的設(shè)備，它應(yīng)該具備即插即用特性以及易于維護(hù)的特點。根據(jù)學(xué)校建設(shè)要求與總體目標(biāo)，骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)特點。根據(jù)學(xué)校建設(shè)要求與總體目標(biāo)，骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)成。在接入層面，通過定義相應(yīng)的訪問策略，實現(xiàn)訪問控制，內(nèi)外隔離和抭成。在接入層面，通過定義相應(yīng)的訪問策略，實現(xiàn)訪問控制，內(nèi)外隔離和抭 IP 地址。地址。在網(wǎng)絡(luò)結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù)在

39、網(wǎng)絡(luò)結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù)(第三層交換第三層交換)作為核心層，呈網(wǎng)狀拓?fù)浣Y(jié)構(gòu)。作為核心層，呈網(wǎng)狀拓?fù)浣Y(jié)構(gòu)。以以 TCP/IP 協(xié)議為主，并輔以協(xié)議為主，并輔以 IP/SPX. NETTEUI 等其他流行通信協(xié)議堅持開放性和標(biāo)準(zhǔn)化，等其他流行通信協(xié)議堅持開放性和標(biāo)準(zhǔn)化，采用標(biāo)準(zhǔn)的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系統(tǒng)間易于集成，兼顧其他標(biāo)采用標(biāo)準(zhǔn)的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系統(tǒng)間易于集成，兼顧其他標(biāo)第第 16 頁頁 共共 61 頁頁成功來自自信準(zhǔn)的網(wǎng)絡(luò)體系結(jié)構(gòu)，網(wǎng)絡(luò)能實現(xiàn)協(xié)議之間無縫連接。而公用服務(wù)器與每一臺核心層交換機(jī)都應(yīng)該具備連接。在網(wǎng)絡(luò)硬件上采用高性能

40、、高可靠的設(shè)備，此產(chǎn)品是具有運營商級容錯能力的高性能大型網(wǎng)絡(luò)核心交換機(jī)，可實現(xiàn)冗余備份，從而提高核心層的可靠性。整個網(wǎng)絡(luò)通過匯聚層交換機(jī) RG-S6806E 和核心交換機(jī) RG-S6810E 之間的鏈路冗余備份和負(fù)載均衡提供安全可靠的網(wǎng)絡(luò)構(gòu)架（使用 OSPF、ECMP、WCMP 等技術(shù)），其安全保障技術(shù)提供一個全網(wǎng)概念的整體網(wǎng)絡(luò)安全，而通過簡單地增加萬兆模塊可以平滑升級到萬兆骨干的校園網(wǎng)。如拓?fù)鋱D所示，作為學(xué)生宿舍網(wǎng)的核心，要求設(shè)備能夠大容量、穩(wěn)定可靠的高速路由轉(zhuǎn)發(fā)，能夠接入大量的匯聚節(jié)點并滿足今后擴(kuò)充的需要。同時，應(yīng)完備的 QOS 保證機(jī)制，完備的業(yè)務(wù)控制、用戶管理機(jī)制。同時，還應(yīng)該考慮到與

41、一期工程的網(wǎng)絡(luò)設(shè)備之間的良好的兼容性、互通性。因此，在本方案的在核心層，部署了銳捷網(wǎng)絡(luò)的 RG-S6810E 模塊化骨干路由交換機(jī)兩臺，該交換機(jī)具有高達(dá) 1.6T（可擴(kuò)展 3.2T）的背板，L2/L3 層具有 572Mpps 的轉(zhuǎn)發(fā)率，同時還可以配置冗余電源和管理引擎模塊，可以實現(xiàn)對全網(wǎng)的數(shù)據(jù)進(jìn)行高速無阻塞的交換，負(fù)責(zé)路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等。其硬件策略路由功能為學(xué)校的出口規(guī)則提供了靈活的設(shè)置，此外核心交換機(jī)硬件的 IPv6 功能為學(xué)校接入 CERNET2提供了無縫連接。為了提高網(wǎng)絡(luò)上連帶寬，業(yè)界提出了端口聚合(802.1ad)的概念，此概念也廣泛應(yīng)用于校園網(wǎng)的建設(shè)中。 銳

42、捷網(wǎng)絡(luò)交換機(jī)可將多個端口聚合，每條干路支持全雙工模式。端口聚合可以在單臺交換機(jī)中進(jìn)行配置，支持聚合通道內(nèi)部的負(fù)載均衡。從核心層到匯聚層使用多條多模光纖連接到匯聚層交換機(jī)，并實現(xiàn)端口聚合。匯聚層起著承上啟下的作用，負(fù)責(zé)對各種接入的匯聚，并可在該層實現(xiàn)對于用戶的訪問控制，以及對用戶的網(wǎng)絡(luò)管理。因此，匯聚層應(yīng)考慮三層智能交換機(jī)。在本方案中，共部署三臺銳捷網(wǎng)絡(luò)自主研發(fā)的 RG-S6806E 模塊化骨干路由交換機(jī)。在匯聚層使用三層交換機(jī)的目的是為了減輕核心層的負(fù)擔(dān)。接入層應(yīng)該能夠?qū)崿F(xiàn)對用戶的訪問控制，并具有較強(qiáng)的安全和 QOS 控制功能，支持802.1x 的認(rèn)證計費，支持千兆上聯(lián)，支持 SMNP 的網(wǎng)管

43、。同時，為滿足學(xué)生宿舍網(wǎng)的高端口密度接入的需求，接入層應(yīng)考慮二層智能型可堆疊交換機(jī)。因此，在接入層部署了銳捷網(wǎng)絡(luò)的 STAR-S2126G/STAR-S2150G 智能型可堆疊交換機(jī)。同時為了保證宿舍網(wǎng)內(nèi)部網(wǎng)的安全 , 在內(nèi)網(wǎng)和外網(wǎng)之間增加硬件防火墻，接在INTERNET/CERNET 出口的位置,根據(jù)安全需求可將校園網(wǎng)分為內(nèi)部網(wǎng)、外部網(wǎng)與 DMZ 區(qū)等，以保護(hù)校園網(wǎng)的安全，防止惡意用戶的攻擊。為了統(tǒng)一網(wǎng)絡(luò)管理和監(jiān)控，在網(wǎng)絡(luò)中心配置 StarView 管理平臺可以對設(shè)備進(jìn)行集中的管理，包括網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、配置管理、性能管理、事件管理，實現(xiàn)全網(wǎng)設(shè)備的管理。在網(wǎng)絡(luò)中心兩臺核心交換機(jī)各通過兩條千兆鏈路

44、連接校園圖書館子網(wǎng)，兩臺核心交換機(jī)第 17 頁 共 61 頁成功來自自信間業(yè)務(wù)量增大時，也可考慮通過上行雙鏈路 Trunk 來連接。其中公寓干網(wǎng)以千兆鏈路下聯(lián)至公寓樓宇交換機(jī) STAR-S2126G/STAR-S2150G；同時網(wǎng)絡(luò)中心通過千兆連接專項課題研究樓子網(wǎng)；在網(wǎng)絡(luò)中心核心交換機(jī)通過千兆鏈路連接行政/教學(xué)樓子網(wǎng)交換機(jī)，以千兆鏈路下聯(lián)至樓宇交換機(jī) STAR-S2126G/STAR-S2150G；計算中心子網(wǎng)及應(yīng)用服務(wù)器群另在網(wǎng)絡(luò)中心通過千兆鏈路下行連接。實現(xiàn)百兆交換到桌面。2.1 用戶上網(wǎng)方案2.1.1訪問校園網(wǎng)用戶在連接到網(wǎng)絡(luò)中時，首先獲得是校園網(wǎng)的 IP 地址，此時用戶只能訪問校園網(wǎng)

45、內(nèi)部的資源，并且對用戶不計費。在該方案中，S6810E 和 S6806E 起到三層交換機(jī)的功能，校園網(wǎng)用戶之間的互訪都必須通過 S6810E 和 S6806E 進(jìn)行。2.1.2CERNet用戶需要訪問 CERNet 時，使用 CERNet 的域名,獲得 CERNet 的地址后，就可以訪問2.1.3INTERNET用戶需要訪問 INTERNET 時，使用 INTERNET 的域名，獲得 INTERNET 的地址后就可以訪問。2.2 IP 地址規(guī)劃和路由設(shè)計2.2.1 IP 地址規(guī)劃IP 地址規(guī)劃是整個網(wǎng)絡(luò)設(shè)計中的重要組成部分，地址規(guī)劃的科學(xué)性和合理性將直接反應(yīng)網(wǎng)絡(luò)拓?fù)涞脑O(shè)計思想，對網(wǎng)絡(luò)的穩(wěn)定起到

46、至關(guān)重要的影響。好的地址規(guī)劃同科學(xué)的分層網(wǎng)絡(luò)拓?fù)湓O(shè)計相輔相承，共同形成整體的網(wǎng)絡(luò)設(shè)計解決方案。合理的網(wǎng)段劃分結(jié)合靈活的 VLAN 規(guī)劃，可以有效地降低網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，保證整個網(wǎng)絡(luò)的穩(wěn)定，同時也起到一定的網(wǎng)絡(luò)安全功能。IP 地址規(guī)劃目標(biāo)建立高效的網(wǎng)絡(luò)路由；第 18 頁 共 61 頁成功來自自信有效利用有限的 IP 地址資源；支持網(wǎng)絡(luò)的擴(kuò)展；支持網(wǎng)絡(luò)技術(shù)的演變和發(fā)展。IP 地址規(guī)劃原則地址規(guī)劃原則簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式；連續(xù)性：為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)及 CIDR(Classless Inter-Doma

47、in Routing)技術(shù)縮減路由表的表項，提高路由器的處理效率；可擴(kuò)充性：為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時仍然能夠保持地址的連續(xù)性；靈活性：地址分配不應(yīng)該基于某個網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化；可管理性：地址的分配應(yīng)該有層次，某個局部的變動不要影響上層、全局。安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。校園網(wǎng)地址規(guī)劃方案校園網(wǎng)IP地址分配總則校園網(wǎng)IP地址分為三大塊：校園網(wǎng)內(nèi)部的私有IP地址，采用RFC中規(guī)定的地址段，不能訪問Internet和Cernet；Cernet分配的多個C類公網(wǎng)IP地址，作為和

48、國際互聯(lián)網(wǎng)互連的地址，域名就解析在這片地址上，主要供網(wǎng)絡(luò)中心和圖書館、部分實驗室專用；運營商分配的公網(wǎng)IP地址，用于訪問Internet。關(guān)鍵服務(wù)器擁有兩個公網(wǎng)IP，分別跨接在Cernet和Internet上。校園網(wǎng)內(nèi)部私網(wǎng)IP地址的分配內(nèi)部地址的分配原則是按建筑物進(jìn)行的，視用戶的數(shù)量，1/4、1/2、整個C的劃分。為了安全考慮對所有的都采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址、MAC地址與端口綁定。IP地址的分配用戶的計算機(jī)在連接到校園網(wǎng)上時，首先獲得一個校園網(wǎng)內(nèi)部的IP地址，此時該計算機(jī)只能訪問校園網(wǎng)內(nèi)部。用戶需要訪問Cernet和Internet，要使用帳號登陸，認(rèn)證通過后才能

49、訪問。第 19 頁 共 61 頁成功來自自信2.2.2 路由設(shè)計路由設(shè)計校園網(wǎng)路由設(shè)計不使用默認(rèn)路由，使用策略路由，防止從 Internet 訪問校園網(wǎng)。Internet 路由設(shè)計路由設(shè)計采用靜態(tài)默認(rèn)路由協(xié)議訪問 Internet為了實現(xiàn)路由的備份，配置到 Internet 的兩條默認(rèn)路由，兩條路由的優(yōu)先級可以相同，可以不同。如果相同，則兩條線路采取負(fù)載分擔(dān)方式。如果不同，則是主備方式，其中優(yōu)先級高的稱為主路由，優(yōu)先級低的為備份路由。這樣，正常情況下，路由器采用主路由發(fā)送數(shù)據(jù)。當(dāng)線路發(fā)生故障時，該路由自動隱藏，路由器會選擇余下的優(yōu)先級最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。這樣，也就實現(xiàn)了主路由到備

50、份路由的切換。當(dāng)主路由恢復(fù)正常時，路由器恢復(fù)相應(yīng)的路由，并重新選擇路由。由于該路由的優(yōu)先級最高，路由器選擇主路由來發(fā)送數(shù)據(jù)。采用源地址路由，讓 Internet 地址訪問 Internet；采用 ACL，防止訪問 Cernet 的流量通過 Internet；采用 ACL，防止來自校園網(wǎng)的 Internet 地址。2.3 安全與流量控制安全與流量控制2.3.1 網(wǎng)絡(luò)安全控制網(wǎng)絡(luò)安全控制對端口 ARP 檢查防止 ARP 攻擊；對端口安全：MAC 動態(tài)地址鎖，MAC 地址靜態(tài)綁定；交換設(shè)備 BPDU Guard 功能，過濾非法 BPDU 報文，防止 STP 攻擊交換機(jī)；端口安全：端口靜態(tài)綁定，自動綁

51、定 IP 和 MAC 地址防止 DOS 攻擊；智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡(luò)應(yīng)用，過濾病毒SSH 密文傳輸，限制管理 IP 等措施保證設(shè)備管理可靠；對網(wǎng)絡(luò)病毒的防范：采用設(shè)置 ACL，對病毒進(jìn)行過濾； 我們使用的匯聚、核心交換機(jī)都支持 SPOH，通過端口獨立的 FFP 進(jìn)行 ACL 處理，網(wǎng)絡(luò)設(shè)備性能不受設(shè)置 ACL 數(shù)目影響；第 20 頁 共 61 頁成功來自自信2.3.2 VLAN 需求需求默認(rèn)時，交換機(jī)分隔沖突域；路由器分隔廣播域。第 2 層交換式網(wǎng)絡(luò)的最大好處是，它為插入到交換機(jī)每個端口的每臺設(shè)備創(chuàng)建了各自的沖突域。但每一個新的改進(jìn)通常都會引起新的問題用戶和設(shè)備的數(shù)量越大，

52、每臺交換機(jī)必須處理的廣播和數(shù)據(jù)包就越多。安全性也是一個問題，因為在典型的第 2 層交換式互聯(lián)網(wǎng)絡(luò)的內(nèi)部，默認(rèn)時所有用戶都可以看見所有的設(shè)備。你不能讓設(shè)備停止廣播，也不能讓用戶不響應(yīng)廣播。連接到物理網(wǎng)絡(luò)的任何人都可以訪問位于物理 LAN 上的網(wǎng)絡(luò)資源，用戶只需將其工作站插入到現(xiàn)有的集線器中，就可以加入某個工作組。安全性選項只能限于在服務(wù)器和其他設(shè)備上設(shè)置口令。通過創(chuàng)建虛擬局域網(wǎng)（VLAN），就可以在一個純交換式的互聯(lián)網(wǎng)絡(luò)中，分隔廣播域。VLAN是兩個部分的邏輯組合：一是網(wǎng)絡(luò)用戶；二是在管理上連接到交換機(jī)所定義端口的資源。如果創(chuàng)建了 VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網(wǎng)時，可以將交換機(jī)上

53、的不同端口分派到不同的子網(wǎng)中，這樣就可以在第二層交換式互聯(lián)網(wǎng)絡(luò)中創(chuàng)建一些小的廣播域。可以象對待單獨的子網(wǎng)和廣播域一樣來對待 VLAN，這意味著網(wǎng)絡(luò)上的廣播域只在同一個VLAN 內(nèi)部的邏輯組的端口之間進(jìn)行轉(zhuǎn)發(fā)。用 VLAN 來簡化網(wǎng)絡(luò)管理的方式有多種：通過將某個端口配置到合適的 VLAN 中，就可以實現(xiàn)網(wǎng)絡(luò)的添加、移動和改變。將對安全性要求高的一組用戶放入 VLAN 中，這樣，VALN 外部的用戶就無法與他們通信。作為功能上的邏輯用戶組，可以認(rèn)為 VLAN 獨立于它們的物理位置或地理位置。VLAN 可以增強(qiáng)網(wǎng)絡(luò)安全性。VLAN 增加了廣播域的數(shù)量，同時減少了廣播域的范圍。使用 VLAN 具有以下

54、優(yōu)點：a.控制廣播風(fēng)暴一個 VLAN 就是一個邏輯廣播域，通過對 VLAN 的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。b.提高網(wǎng)絡(luò)整體安全性通過路由訪問列表和 MAC 地址分配等 VLAN 劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同 VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。第 21 頁 共 61 頁成功來自自信c.網(wǎng)絡(luò)管理簡單、直觀對于交換式以太網(wǎng)，如果對某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對于采用 VLAN 技術(shù)的網(wǎng)絡(luò)來說，一個 VLAN 可以根據(jù)部門職能、

55、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費用。在一個交換網(wǎng)絡(luò)中，VLAN 提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。2.3.3 VLAN 劃分設(shè)計劃分設(shè)計VLAN 概述：VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個 VLAN 組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到

56、一個邏輯子網(wǎng)中。組建 VLAN 的條件 VLAN 是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立 VLAN 需要相應(yīng)的支持 VLAN 技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同 VLAN 間進(jìn)行相互通信時，需要路由的支持，這時就需要增加路由設(shè)備要實現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來完成。劃分 VLAN 的基本策略 從技術(shù)角度講，VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法：a.基于端口的 VLAN 劃分這種劃分是把一個或多個交換機(jī)上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。b.基于

57、MAC 地址的 VLAN 劃分MAC 地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。MAC 地址由 12 位 16 進(jìn)制數(shù)表示，前 8 位為廠商標(biāo)識，后 4 位為網(wǎng)卡標(biāo)識。網(wǎng)絡(luò)管理員可按MAC 地址把一些站點劃分為一個邏輯子網(wǎng)。c.基于路由的 VLAN 劃分路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個 VLAN 跨越多個交換機(jī)，或一個端口位于多個 VLAN 中。第 22 頁 共 61 頁成功來自自信就目前來說，對于 VLAN 的劃分主要采取上述第 1、3 種方式，第 2 種方式為輔助性的方案。具體方案一：（見圖 6）

58、1將一個班同學(xué)的寢室劃為同一個 VLAN，再將一棟宿舍樓劃為一個大 VLAN。理由：高校的學(xué)生通過網(wǎng)絡(luò)交換的信息量日益增大，特別是一個班的同學(xué)，住在一個寢室的同學(xué)不一定就是一個班的，將一個班的同學(xué)劃為同一個 VLAN 便于信息的傳遞。2將每個老師的寢室劃為一個 VLAN。理由：每個老師的計算機(jī)里可能有一些重要的科研資料，從安全性考慮，所以不能將所有老師的寢室劃為同一個網(wǎng)。并且學(xué)生宿舍和教師宿舍不能互相訪問。3將教學(xué)樓的所有教室劃為一個 VLAN。理由：上課的教室不固定，每個教室需要共享一些信息。4將實驗樓劃為一個大 VLAN，再將每個實驗室劃為一個小 VLAN。理由：方便同學(xué)和老師做一些教學(xué)實

59、驗，實驗室會進(jìn)行一些專項課題研究，一個實驗室同一個 VLAN 安全性更高。5將辦公樓劃為一個大 VLAN，再將每個部門劃為一個小 VLAN。理由：方便每個部門管理，鑒于每個的不同性質(zhì)，更要提高安全性。6劃分方法采用基于端口的劃分。理由：高校學(xué)生的流動性大，例如換寢室，畢業(yè)等，而導(dǎo)致的學(xué)生的人數(shù)和班級的變動?；诙丝诘膭澐?，相對來說容易設(shè)置和監(jiān)控，只需要將端口配置的 VLAN 重新分配。備注：將每個小 VLAN 里的其中一臺交換機(jī)設(shè)為 VTP SERVER，其余的為 VTP CLIENT。工作在VTP 服務(wù)器模式下的服務(wù)器將使用 VTP 共享 VALN 信息。在 VTP SERVER 上進(jìn)行 V

60、LAN 的創(chuàng)建、添加、刪除或修改操作。每個大 VLAN 的劃分由上一層交換機(jī)完成。簡易拓?fù)鋱D：第 23 頁 共 61 頁成功來自自信圖 6VLAN 拓?fù)鋱D具體方案二：（見圖 7）1將一個寢室劃為同一個 VLAN，再將一棟宿舍樓劃為一個大 VLAN。理由：一個寢室的同學(xué)公用一個端口，可以節(jié)約成本。一個寢室的同學(xué)在一個網(wǎng)內(nèi)可以共享一些資源，更方便的進(jìn)行信息交流，安全性也更高。2將每個老師的寢室劃為一個 VLAN。理由：每個老師的計算機(jī)里可能有一些重要的科研資料，從安全性考慮，所以不能將所有老師的寢室劃為同一個網(wǎng)。并且學(xué)生宿舍和教師宿舍不能互相訪問。3將教學(xué)樓的所有教室劃為一個 VLAN。理由：上課