校園網(wǎng)組建與實施方案

1、遼寧建筑職業(yè)學(xué)院信息工程系2011屆畢業(yè)論文（設(shè)計） 2011 屆班級：網(wǎng)絡(luò)G112遼寧建筑 2011 屆班級：網(wǎng)絡(luò)G112 畢 業(yè) 設(shè) 計 (論文)題目：校園網(wǎng)組建與實施方案系（部）：信息工程系專 業(yè)：計算機網(wǎng)絡(luò)技術(shù)姓 名： 王山 學(xué) 號： 29畢業(yè)設(shè)計（論文）任務(wù)書 畢業(yè)設(shè)計（論文）題目:校園網(wǎng)組建與實施方案畢業(yè)設(shè)計（論文）內(nèi)容:本設(shè)計主要針對學(xué)校中的辦公樓與實訓(xùn)樓來規(guī)劃和設(shè)計網(wǎng)絡(luò)。根據(jù)校園網(wǎng)整體的網(wǎng)絡(luò)情況進行設(shè)計與規(guī)劃。先根據(jù)辦公樓與實訓(xùn)樓網(wǎng)絡(luò)所應(yīng)用的各種功能及要求進進行分析，再根據(jù)分析得到的結(jié)果設(shè)計網(wǎng)絡(luò)方案和邏輯拓樸與物理拓撲，最后進行現(xiàn)場施工并進行調(diào)試。 畢業(yè)設(shè)計（論文）專題部分:在

2、當(dāng)代社會，網(wǎng)絡(luò)安全性和可靠性已經(jīng)上升到非常重要的一個部分了，一個網(wǎng)絡(luò)是否安全與可靠能關(guān)系到這個企業(yè)的長遠發(fā)展，這里我論述以網(wǎng)絡(luò)安全加固以及保證網(wǎng)絡(luò)的可靠運行為主并在其中運用了VLAN劃分、防火墻原理、MSTP與VRRP、以及ACL配置等眾多先進技術(shù)，以及選用高可靠性設(shè)備，我相信在我的設(shè)計下，可以使網(wǎng)絡(luò)安全級別和可靠性得到保證。 指導(dǎo)教師: 簽字 年 月 日教研室主任: 簽字 年 月 日系（部）主任: 簽字 年 月 日 畢 業(yè) 設(shè) 計 (論 文) 評 語 指導(dǎo)教師評語: 成績: 指導(dǎo)教師: (簽字)年 月 日評閱人評語: 成績: 評閱教師: (簽字) 年 月 日 前 言高校校園網(wǎng)的網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)

3、技術(shù)發(fā)展幾乎是同步進行的。高校不僅承擔(dān)著教書育人的工作，更承擔(dān)著部分國家級的科研任務(wù)，同時考慮未來幾年網(wǎng)絡(luò)平臺的發(fā)展趨勢， 為了充分滿足高校骨干網(wǎng)對高速，智能，安全，認證計費等的需求，可以利用萬兆以太網(wǎng)的校園網(wǎng)組網(wǎng)技術(shù)。 構(gòu)建校園網(wǎng)骨干網(wǎng)，實現(xiàn)各個分校區(qū)和本部之間的連接，以及實現(xiàn)端到端的以太網(wǎng)訪問，提高了傳輸?shù)男?，有效地保證了遠程多媒體教學(xué)、數(shù)字圖書館等業(yè)務(wù)的開展。 隨著信息技術(shù)的高速發(fā)展，教育信息化水平正成為衡量學(xué)校總體發(fā)展水平的重要因素，網(wǎng)絡(luò)技術(shù)的應(yīng)用對高校的教學(xué)手段和教育管理體系的促進作用是巨大的。1995 年CERNET （中國教育和科研計算機網(wǎng)）建設(shè)全面啟動，全國各地的高校開始建設(shè)

4、自己的計算機校園網(wǎng)。校園網(wǎng)建設(shè)是高校建設(shè)的重要組成部分，建設(shè)高質(zhì)量的局域網(wǎng)， 才能充分發(fā)揮網(wǎng)絡(luò)資源管理和應(yīng)用的優(yōu)勢，進行信息交流、資源共享、科學(xué)計算和科學(xué)研究與合作。中國教育事業(yè)隨著社會發(fā)展將會越來越開放，對學(xué)校的經(jīng)營管理也逐步形成完善的現(xiàn)代化管理模式。本方案是針對遼寧信息職業(yè)技術(shù)學(xué)院現(xiàn)有應(yīng)用結(jié)構(gòu)而設(shè)計的，主要使用思科的網(wǎng)絡(luò)產(chǎn)品，提高網(wǎng)絡(luò)的整體性能；規(guī)劃采用防火墻技術(shù)、開啟端口安全性，在接入層限制主機最大連接數(shù)，匯聚層設(shè)置訪問控制列表等操作系統(tǒng)的安全性來提高整個網(wǎng)絡(luò)的安全和重要主機的安全；使用磁盤冗余陣列來保護系統(tǒng)數(shù)據(jù)的安全，防止數(shù)據(jù)的意外損失；并實現(xiàn)網(wǎng)絡(luò)的冗余及使用MSTP和VRRP來保證網(wǎng)

5、絡(luò)的可靠性，實現(xiàn)主干設(shè)備的冗余等，所選用的網(wǎng)絡(luò)設(shè)備有充足的帶寬以滿足網(wǎng)絡(luò)擴容的需求，主干交換機還可通過升級模塊的方式實現(xiàn)輕松的升級和容量的擴充，千兆的網(wǎng)絡(luò)帶寬為用戶的業(yè)務(wù)提供了充足的帶寬，并為今后的網(wǎng)絡(luò)的擴展做了足夠的準(zhǔn)備，保護了用戶的投資，提高了整體的性能和安全性。隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤其是高校校園網(wǎng)建設(shè)。根據(jù)規(guī)劃和設(shè)計規(guī)模，我們在設(shè)計該企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)時，將遵循“立足現(xiàn)在，著眼未來，重在實用，旨在效益”的總方針，按照校園網(wǎng)絡(luò)的國際標(biāo)準(zhǔn)模式，結(jié)合中國的具體國情，同時吸取國際上流行的幾家企業(yè)網(wǎng)絡(luò)系統(tǒng)

6、的精華，力爭使所設(shè)計的網(wǎng)絡(luò)系統(tǒng)具有技術(shù)先進、高效快捷、安全可靠、易于維護等特點。一、校園網(wǎng)背景遼寧信息職業(yè)技術(shù)學(xué)院為遼寧建筑職業(yè)技術(shù)學(xué)院的一個分校區(qū)，全校計算機數(shù)量逾1000臺（不包括學(xué)生群體），信息點近900個，目前主要樓宇有教學(xué)樓、圖書館、公寓樓、實訓(xùn)樓等，規(guī)劃區(qū)內(nèi)部局域網(wǎng)都是一個獨立的網(wǎng)絡(luò)，相互之間并不聯(lián)通，其它還有11幢學(xué)生宿舍樓，8幢教師宿舍，學(xué)校平面示意圖如圖1-1。圖1-1學(xué)校平面示意圖表1-1信息點分布表大樓信息點到網(wǎng)絡(luò)中心的距離/m教學(xué)樓40150圖書館200100實訓(xùn)樓250150電子樓20100辦公樓300在同一樓內(nèi)實驗樓40100教師宿舍A84350教師宿舍B16730

7、0注：以上除教師宿舍信息點為確切的數(shù)據(jù)外，其它均為本人對學(xué)校的了解進行的估計。目前，以上各樓群內(nèi)部綜合布線采用的是5類雙絞線，學(xué)院內(nèi)的室外布線都是通過光纖連接到網(wǎng)絡(luò)中心。1.2校園網(wǎng)現(xiàn)有網(wǎng)絡(luò)概況計算機管理信息系統(tǒng)包括校本部的計算機通信局域網(wǎng)和計算機應(yīng)用系統(tǒng)，大部分采用100M/1000M基于各類數(shù)據(jù)庫平臺的上述管理信息系統(tǒng)，絕大部分都是基于TCP/IP的計算機應(yīng)用系統(tǒng)，隨著Internet的飛速發(fā)展，TCP/IP毫無疑問地成為主流，基于IP的計算機通信網(wǎng)絡(luò)成為管理信息系統(tǒng)的最為重要的部分，計算機通信網(wǎng)絡(luò)的好壞直接影響管理信息系統(tǒng)，從而影響日常教學(xué)活動的正常運作。Internet正在向我們生活的

8、各個領(lǐng)域滲透，與此同時企業(yè)、政府、消費者和教育機構(gòu)都在快速向基于IP分組的網(wǎng)絡(luò)操作轉(zhuǎn)移。無論對于IP話音（VoIP）、基于IP的視頻流、基于IP的通信工具，還是對于PC、膝上電腦、蜂窩電話等IP平臺、IP分組都已成為主流。換句話說，Internet的快速發(fā)展與普及正改變著公共通信網(wǎng)上和企業(yè)內(nèi)部網(wǎng)的流量結(jié)構(gòu)，語音信息在過去曾經(jīng)占據(jù)主導(dǎo)地位，但在21世紀，數(shù)據(jù)(IP)將占據(jù)通信流量的主要部分。 隨著千兆網(wǎng)的逐步實施，如何有效、靈活建立高速數(shù)據(jù)網(wǎng)絡(luò)是一個具有戰(zhàn)略意義的課題，高校的業(yè)務(wù)單位通常擁有3類應(yīng)用：數(shù)據(jù)、話音和圖象（工業(yè)電視）。未來的技術(shù)發(fā)展，使采用IP技術(shù)可以同時承載3類不同應(yīng)用成為可能，并

9、且具有以下優(yōu)點：1、采用Internet廣泛應(yīng)用IP標(biāo)準(zhǔn)，開放性好。2、利用防火墻、IP地址過濾和路由器熱備份等網(wǎng)絡(luò)安全技術(shù)，確保調(diào)度安全。3、IP QoS及優(yōu)先是分技術(shù)確保調(diào)度和遠動等關(guān)鍵任務(wù)優(yōu)先。4、實現(xiàn)數(shù)據(jù)話音和圖象全網(wǎng)自動交換，信息共享，構(gòu)成學(xué)校高效率運作的基礎(chǔ)設(shè)施。采用IP這一面向未來技術(shù)，可以兼容現(xiàn)有設(shè)備，保護現(xiàn)有投資，又可以保證網(wǎng)絡(luò)在當(dāng)前及將來的技術(shù)先進性。校園網(wǎng)是現(xiàn)代社會高校基礎(chǔ)設(shè)施的重要組成部分，是提高高校教學(xué)科研水平和管理水平的不可缺少的現(xiàn)代化手段和支撐環(huán)境.如何進一步搞好校園網(wǎng)的建設(shè)，充分發(fā)揮校園網(wǎng)的作用，是各個高等學(xué)校和教育主管部門正在探索和思考的問題。1.2.1現(xiàn)有校

10、園網(wǎng)的狀況校園網(wǎng)是遼寧建筑職業(yè)技術(shù)學(xué)院分校的信息基礎(chǔ)設(shè)施，是實現(xiàn)學(xué)?，F(xiàn)代化管理的強有力保證。學(xué)校一直以來非常重視校園網(wǎng)的建設(shè)。經(jīng)過三期的建設(shè)，基本可以滿足當(dāng)時的網(wǎng)絡(luò)需求。其網(wǎng)絡(luò)邏輯拓撲圖如圖1-2。圖1-2現(xiàn)有校園邏輯網(wǎng)拓撲圖由于學(xué)校數(shù)據(jù)吞吐量大，又離本部較遠，所以學(xué)校采用一般的校園雙端口接入方式，用一條2M光纖連接到南校區(qū)網(wǎng)絡(luò)，另一條用百兆光纖作為中國電信的局域網(wǎng)方式接入internet，實現(xiàn)網(wǎng)絡(luò)高速運行。中心結(jié)構(gòu)主要以華為ls-3026交換機為中心，單點以星形方式連接校園各個功能單位。各樓房交換機用100M光纖連接到中心機房的三臺普通企業(yè)級路由上，可以實現(xiàn)子網(wǎng)內(nèi)高速互聯(lián)。樓房內(nèi)部均用5類雙

11、絞線連接樓房交換機與用戶計算機，帶寬均可達百兆。1.2.2現(xiàn)有校園網(wǎng)的不足目前，遼寧建筑分校區(qū)的網(wǎng)絡(luò)由低端的銳捷交換機構(gòu)成一個平面型的網(wǎng)絡(luò)結(jié)構(gòu)，沒有層次化設(shè)計的網(wǎng)絡(luò)結(jié)構(gòu)其存在許多缺陷。從網(wǎng)絡(luò)拓撲結(jié)構(gòu)看：網(wǎng)絡(luò)管理員很難對網(wǎng)絡(luò)進行整體管理，一旦出現(xiàn)故障，將很難做出快速排查。其中最至命的是網(wǎng)絡(luò)存在單點故障，一旦中心的交換機出現(xiàn)故障，整個網(wǎng)絡(luò)立刻癱瘓（如圖1-3）。在平面型的網(wǎng)絡(luò)結(jié)構(gòu)下，網(wǎng)絡(luò)中心交換機負載所有的數(shù)據(jù)處理任務(wù)，不能夠?qū)崿F(xiàn)對數(shù)據(jù)的高速轉(zhuǎn)發(fā)傳輸。圖1-3中心結(jié)構(gòu)圖從網(wǎng)絡(luò)設(shè)備方面看：大部分的設(shè)備已經(jīng)不能滿足現(xiàn)在學(xué)校對網(wǎng)絡(luò)傳輸?shù)男枨螅缰行膿Q機只是一臺普通華為交換機，轉(zhuǎn)發(fā)率不高，最大只為100M

12、，實際上不可能達到，所以即使拓撲結(jié)構(gòu)是樹形結(jié)構(gòu)，網(wǎng)絡(luò)數(shù)據(jù)的交換也不會多快。而且連接這些交換機和路由器的通迅線路都是百兆雙絞線。在這樣的設(shè)備下，中心的網(wǎng)絡(luò)中心通迅帶寬僅為百兆。這將是實現(xiàn)網(wǎng)絡(luò)高速吞吐的瓶頸。還有租用網(wǎng)絡(luò)的帶寬太低，如南校區(qū)校與北校區(qū)的通迅帶寬才2M，而學(xué)校師生有8000多人，平時至少也有一百多人同時會使用，這也極大限制了我們學(xué)生與師大本部信息資源的共享。從網(wǎng)絡(luò)設(shè)置管理方面看：學(xué)生可隨意修改IP地址，容易造成IP地址沖突現(xiàn)象；廣播風(fēng)暴比較嚴重，造成帶寬的浪費，一旦某臺學(xué)生電腦中毒將影響整個網(wǎng)絡(luò)；而且沒有統(tǒng)一的網(wǎng)絡(luò)管理軟件，網(wǎng)管也很難統(tǒng)一對網(wǎng)絡(luò)的整體管理。從網(wǎng)絡(luò)應(yīng)用方面看：學(xué)校提供的

13、校園網(wǎng)絡(luò)服務(wù)內(nèi)容太少，如缺少校園郵件服務(wù)，文件服務(wù)等，而且還沒提供學(xué)生宿舍寬帶接入，學(xué)生只能用電信的電話撥號上網(wǎng)。不方便學(xué)生上網(wǎng)，也不能規(guī)范和監(jiān)督學(xué)生上網(wǎng)，不能實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)的目標(biāo)，節(jié)約學(xué)校對網(wǎng)絡(luò)的投資成本。從網(wǎng)絡(luò)安全方面看：沒有防火墻，網(wǎng)絡(luò)安全性非常脆弱，服務(wù)器防病毒能力差，非常容易遭受到攻擊，包括外網(wǎng)和內(nèi)網(wǎng)對服務(wù)器的攻擊。沒有網(wǎng)絡(luò)服務(wù)質(zhì)量（QoS）的管理。二、校園網(wǎng)絡(luò)需求分析校園網(wǎng)的建設(shè)可以分為兩部分。第一部分為硬件建設(shè)，如各種網(wǎng)絡(luò)設(shè)備、服務(wù)器的選購及連接以及綜合布線等；第二部分為軟件建設(shè)，如各種應(yīng)用軟件、網(wǎng)絡(luò)操作系統(tǒng)、教務(wù)管理系統(tǒng)等的選擇；軟件應(yīng)用需求是選擇硬件設(shè)備的基礎(chǔ)和依據(jù)，只有將硬件

14、系統(tǒng)和軟件系統(tǒng)有機地結(jié)合在一起，才能充分發(fā)揮校園網(wǎng)的最佳性能。從某種程度而言，軟件建設(shè)的好壞決定了校園網(wǎng)建設(shè)的成敗。2.1功能需求分析1、實現(xiàn)高速的Internet和CERNET出入；2、實現(xiàn)內(nèi)部千兆校園網(wǎng)主干，百兆交換到桌面；3、提供校園WWW、FTP、DNS、E-Mail等服務(wù)4、提供校園BBS等教師和學(xué)生交流學(xué)習(xí)的平臺；5、增加學(xué)生宿舍的接入；6、增加校園無線局域網(wǎng)；2.2 IP需求分析根據(jù)上述總體要求，在技術(shù)上必須提供相應(yīng)的支持和保證。整個網(wǎng)絡(luò)在技術(shù)上定位為基于IP over Gigabit Ethernet傳輸?shù)腎P的光學(xué)網(wǎng)絡(luò)，以光纖為主干傳輸介質(zhì)，以Gigabit Ethernet

15、 + IP為核心傳輸方式，可以充分的滿足網(wǎng)絡(luò)的需求。在設(shè)計本網(wǎng)絡(luò)時，還要考慮的IP網(wǎng)絡(luò)的優(yōu)化。IP優(yōu)化至少包括如下幾個要素：1、網(wǎng)絡(luò)體系結(jié)構(gòu)以Gigabit Ethernet為設(shè)計基礎(chǔ)，體現(xiàn)在網(wǎng)絡(luò)層的多層次化體系結(jié)構(gòu)。2、網(wǎng)絡(luò)層次的優(yōu)化，使用華為或思科各自專有的QoS（Quality of Services）來保證傳輸層網(wǎng)絡(luò)的數(shù)據(jù)圖形語音的正常傳輸。3、良好的網(wǎng)絡(luò)拓展和兼容性?？梢詮纳舷蛳碌臒o縫兼容，在合理的QoS控制下，根據(jù)不同的服務(wù)類型啟動不同的控制協(xié)議，比如圖像傳輸方面，可以通過IGMP組播協(xié)議和RSVP資源預(yù)保留協(xié)議進行優(yōu)化和控制，對于數(shù)據(jù)和聲音可以采用PQ，CQ，WFQ等排對稱技術(shù)最

16、大限度的傳輸各種數(shù)據(jù)包充分利用光纖的帶寬。4、穩(wěn)定性優(yōu)化。最大限度的利用光傳輸在故障恢復(fù)方面快速切換的能力，快速恢復(fù)網(wǎng)絡(luò)連接，避免路由表顫動引起的整網(wǎng)震蕩，提供符合高速寬帶網(wǎng)絡(luò)要求的可靠性和穩(wěn)定性。2.3重新建設(shè)的必要性分析基于當(dāng)前學(xué)校的發(fā)展，對校園網(wǎng)絡(luò)需求起來趍，且當(dāng)前存在的諸多不足，學(xué)校網(wǎng)絡(luò)升級改造顯行非常必要。這可以從前一階段校園網(wǎng)絡(luò)的通信狀況就可知道。在新的網(wǎng)絡(luò)下必須能夠滿足教學(xué)、管理和通信三大基本功能。 教師可以在學(xué)校的任意的一臺計算機上方便地瀏覽和查詢網(wǎng)上資源，因為進行教學(xué)和科研工作必須可以調(diào)用網(wǎng)上資源，還可以通過網(wǎng)絡(luò)對學(xué)生的學(xué)習(xí)進行指導(dǎo)。學(xué)生可以在計算機實驗室、圖書館、教室、電子

17、閱覽室等地方方便地瀏覽和查詢網(wǎng)上資源，但不能在教師辦公室上網(wǎng)，學(xué)生通過網(wǎng)絡(luò)可以進行網(wǎng)上學(xué)習(xí)并能和教師進行網(wǎng)上討論。學(xué)校管理人員可以方便地對教務(wù)、行政事務(wù)等進行綜合管理，同時各樓辦公室的計算機可以進行數(shù)據(jù)信息交換，初步實現(xiàn)辦公自動化?？傊撔@網(wǎng)主要包括以下建設(shè)需求：（1）實現(xiàn)高速的Internet和CERNET出入；（2）實現(xiàn)穩(wěn)定的快速的DNS、WWW、FTP、E-mail等多項網(wǎng)絡(luò)服務(wù)；（3）建設(shè)校園BBS，促進校園文化的健康發(fā)展；（4）擁有透明出口措施，學(xué)生用學(xué)生證注冊上網(wǎng)帳號，能夠詳細記錄上網(wǎng)訪問日志；（5）對外部資料實現(xiàn)管理，實現(xiàn)VOD服務(wù)；（6）整個校園網(wǎng)主干實現(xiàn)千兆傳輸，百兆光纖

18、到樓宇，百兆交換到桌面；（7）擁有高性能的網(wǎng)絡(luò)設(shè)備，有足夠的設(shè)備冗余；除以上要求外，還要求建成后的校園網(wǎng)具有一定的技術(shù)前瞻性和系統(tǒng)冗余度，以適應(yīng)未來的發(fā)展和應(yīng)用需求。2.4校園網(wǎng)絡(luò)需要的技術(shù)2.4.1 ACL技術(shù)訪問列表有三種類型的劃分，包括RACL(路由器的訪問列表），QoS的訪問列 表，和VLAN的訪問列表。路由器的訪問列表可以被用于子網(wǎng)之間的數(shù)據(jù)包過濾，但是不能在一個子網(wǎng)內(nèi)作過濾VLAN的訪問列表，用于在一個VLAN的子網(wǎng)內(nèi)實現(xiàn)過濾。2.4.2 PRIVATE VLAN 技術(shù)在很多企業(yè)網(wǎng)絡(luò)的應(yīng)用中，出于安全和簡化IP地址規(guī)劃的考慮，會有這樣的需求：希望同一物理網(wǎng)段上的主機之間的通信能夠互

19、相隔離，但是又希望這些主機都能夠訪問一個公共端口（網(wǎng)關(guān)或服務(wù)器端口），所有這些主機和服務(wù)器端口都位于同一個IP子網(wǎng)內(nèi)，這樣即實現(xiàn)了第二層的通信隔離，增加了安全保護，又不需要規(guī)劃多個IP子網(wǎng)用于主機隔離。利用思科交換機的Private Vlan功能，可以輕松實現(xiàn)以上需求。2.4.3 AAA服務(wù)和安全服務(wù)器協(xié)議(radius/tacacs+)技術(shù)AAA（驗證、授權(quán)、記賬）網(wǎng)絡(luò)安全服務(wù)提供了一個實現(xiàn)身份認證以及訪問控制的主框架。AAA使用RADIUS、TACACS+等協(xié)議來實現(xiàn)對網(wǎng)絡(luò)的訪問控制。2.4.4 IPSec VPN技術(shù)虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時

20、的、安全的連接，是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。 虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可以大幅度地減少用戶花費在遠程網(wǎng)絡(luò)連接上的費用。2.4.5 OSPF技術(shù)隨著Internet技術(shù)在全球范圍的飛速發(fā)展，OSPF已成為目前企業(yè)網(wǎng)采用最多、應(yīng)用最廣泛的路由協(xié)議之一。 OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個路由域內(nèi)。在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS。在這個AS中，所有的OSPF路由器

21、都維護一個相同的描述這個AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。2.4.6 SPAN技術(shù)SPAN，交換端口分析器，是一種流量鏡像的技術(shù)。實現(xiàn)該技術(shù)的目的是監(jiān)控網(wǎng)絡(luò)的性能，用于優(yōu)化企業(yè)網(wǎng)絡(luò)。常見的抓包工具，比如sniffer等只能捕捉到一個碰撞域內(nèi)的流量，如果公司的網(wǎng)絡(luò)都是用交換機互聯(lián)的，就不能進行監(jiān)控。通過SPAN技術(shù)，可以把流量鏡像到流量分析器。2.5網(wǎng)絡(luò)組建技術(shù)2.5.1以太網(wǎng)絡(luò)技術(shù)早期局域網(wǎng)技術(shù)的關(guān)鍵是如何解決連接在同一總路線上的多個網(wǎng)絡(luò)節(jié)點有秩序也共享一個信道的問題，而以太網(wǎng)絡(luò)正是利用載波偵聽多路訪問/沖

22、突檢測（CSMA/CD）技術(shù)成功的提高了局域網(wǎng)共享信道的傳輸利用率，從而得以發(fā)展和流行的。特別是近幾年來交換式以太網(wǎng)和100M快速以太網(wǎng)的廣泛應(yīng)用，使以太網(wǎng)絡(luò)成為當(dāng)今局域網(wǎng)應(yīng)用較為廣泛的主流技術(shù)之一。然而，以太網(wǎng)絡(luò)在發(fā)展早期所提出的共享帶寬、信道爭用機制限制了網(wǎng)絡(luò)后來的發(fā)展，即使是近幾年發(fā)展交換式以太網(wǎng)技術(shù)和100M快速以太網(wǎng)技術(shù)也不能從根本上解決這一問題，具體表現(xiàn)在：1、不提供服務(wù)質(zhì)量保證（QoS）以太網(wǎng)提供的是一種所謂“無連接”的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)本身對所傳輸?shù)男畔鼰o法進行諸如交付時間、包間延遲、占用帶寬等等關(guān)于服務(wù)質(zhì)量的控制。這種傳送方式就像郵局遞送信件一樣，信息包一旦交給傳輸介質(zhì)，無論是

23、發(fā)送端還是接收端都無法再對中間的傳輸過程進行任何有效的控制，這就是所謂沒有服務(wù)質(zhì)量保證。而且以太網(wǎng)的包長度本身是不確定的，這就導(dǎo)致網(wǎng)絡(luò)設(shè)備對每一個幀的處理和轉(zhuǎn)發(fā)延遲處于隨機、不可控制狀態(tài)。這兩個因素的存在，使得以太網(wǎng)的幀在傳輸時的延遲和延遲的突發(fā)變化方面顯得非常嚴重。以太網(wǎng)對傳輸過程的不可控性和對幀處理延時的過多抖動都不適于現(xiàn)在大量涌現(xiàn)出的具有較強定時性要求的多媒體信息的傳輸。2、帶寬利用率較低對信道的共享及爭用機制導(dǎo)致信道的實際利用帶寬遠低于物理提供的帶寬，雖然基于CSMA/CD機制的以太網(wǎng)可以使網(wǎng)絡(luò)節(jié)點對帶寬的爭用以一種“秩序”進行，但其帶寬有效利用率仍低于10%。以太網(wǎng)的交換技術(shù)可以降低

24、爭用的幾率，但為了與原有網(wǎng)卡及應(yīng)用軟件相兼容，CSMA/CD仍必須存在，且交換中對轉(zhuǎn)發(fā)端口的定位是在動態(tài)學(xué)習(xí)、動態(tài)刷新中進行的，這就使在統(tǒng)計上仍存在大量的包是以共享爭用的方式傳遞的。引入交換技術(shù)可使利用率提高至20%-50%。除以上兩點以外，以太網(wǎng)傳輸機制所固有的對網(wǎng)絡(luò)半徑、冗余拓撲和負載平衡能力的限制以及網(wǎng)絡(luò)的附加服務(wù)能力薄弱等等，也都是以太網(wǎng)絡(luò)的不足之處。但以太網(wǎng)成熟的技術(shù)、廣泛的用戶基礎(chǔ)和較高的性價比，使其仍成為傳統(tǒng)數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)應(yīng)用中較為優(yōu)秀的解決方案。現(xiàn)在，傳統(tǒng)10M以太網(wǎng)的應(yīng)用越來越少。在網(wǎng)絡(luò)應(yīng)用中，比較流行的以太網(wǎng)技術(shù)是：100M快速以太網(wǎng)和千兆以太網(wǎng)。2.5.2千兆以太網(wǎng)絡(luò)技術(shù)

25、千兆位以太網(wǎng)應(yīng)用于大中型網(wǎng)絡(luò)，能把現(xiàn)有的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接起來。千兆位以太網(wǎng)采用同樣的CSMA/CD協(xié)議、同樣的幀格式，是現(xiàn)有以太網(wǎng)最自然的升級途徑，使用戶對以太網(wǎng)原有設(shè)備管理工具的投資得到保護。千兆位以太網(wǎng)是超高速主干網(wǎng)的一種選擇方案。在數(shù)據(jù)、話音、視頻等實時業(yè)務(wù)方面，它雖然不能提供真正意義上的服務(wù)質(zhì)量保證（QoS），但千兆位以太網(wǎng)頻寬較高，能克服原以太網(wǎng)的一些弱點，提供服務(wù)保證等特性。IEEE802.3Z工作組已確定了以下一組規(guī)范，統(tǒng)稱為1000Base-X。1、1000Base-LX:多模光纖傳輸距離為550米，單模光纖傳輸距離為3000米。2、1000Ba

26、se-SX：62.5微米多模光纖傳輸距離為300米，50微米多模光纖傳輸距離為550米。3、1000Base-CX:用于短距離設(shè)備的連接，使用高速率雙絞線銅纜，最大傳輸距離為25米。4、1000Base-T：5類銅纜傳輸最大距離為100米。千兆位以太網(wǎng)支持交換機之間、交換機與終端之間的全雙工連接，支持共享網(wǎng)絡(luò)的半雙工連接方式，使用中繼器和CSMA/CD沖突檢測機制。對于大多數(shù)用戶而言，花費很少的投資就可將現(xiàn)有的網(wǎng)絡(luò)升級至千兆以太網(wǎng)，并且不需在通信協(xié)議上進行額外的投資。2.5.3 ATM技術(shù)ATM在現(xiàn)有技術(shù)水平上已獲得成熟的發(fā)展。不過，ATM有一個不足之處就是，采用ATM技術(shù)來構(gòu)建網(wǎng)絡(luò)主干，需要

27、較高的成本，其經(jīng)濟可行性較差。這對所建的中等規(guī)模仿小的網(wǎng)絡(luò)就更是如此?；谖覀儗W(xué)校目前的發(fā)展情況，ATM雖好，但并不合適，成本太高也還沒有那多的需求。且學(xué)校原有的網(wǎng)絡(luò)也都是基于以太網(wǎng)和快速以太網(wǎng)而建的，因此，我們使用千兆以太網(wǎng)為校園網(wǎng)主干，百兆到桌面，來平滑升級現(xiàn)有網(wǎng)絡(luò)。即可以保護原有投資也達到升級的目的。這是我們升級中不二的選擇。設(shè)計依據(jù)：1、根據(jù)學(xué)校現(xiàn)有的業(yè)務(wù)量與業(yè)務(wù)類型，估算出網(wǎng)絡(luò)大約需要的交換能力和功能。學(xué)校的業(yè)務(wù)主要有：校園網(wǎng)的Internet接入包括使用ChinaNet和CERNET，從學(xué)?，F(xiàn)有計算機數(shù)量看，最大并行訪問Internet的計算機數(shù)量大概在500臺，以百兆光纖出入Ch

28、inanet是有些擁擠，不過大多數(shù)時間內(nèi)不會有那么多臺同時訪問，而且還可以通過交換機帶寬配置，來分配各個單位的上網(wǎng)需求，因此目前的帶寬還是可以滿足用戶的上網(wǎng)需求。不過接入CERNET的帶寬就顯得過小了，雖然訪問的人沒有訪問Chianet的多。校園內(nèi)部的BBS、WWW、FTP、E-Mail等，這些網(wǎng)絡(luò)服務(wù)均可對內(nèi)外開放，而且是學(xué)生群體比較活躍的區(qū)域，網(wǎng)絡(luò)的通迅量較大，需要較大的帶寬；學(xué)校內(nèi)部日常的管理系統(tǒng)，如教務(wù)管理系統(tǒng)，學(xué)生學(xué)籍管理系統(tǒng)等，這些也是師生訪問較多的網(wǎng)絡(luò)服務(wù)；校園網(wǎng)內(nèi)的文件傳輸?shù)葍?nèi)部通信也需要很大的帶寬。將學(xué)生宿舍的寬帶接入也是校園網(wǎng)重要的功能模塊，它所需要的帶寬也是很龐大的。隨著

29、社會發(fā)展，移動辦公也越來越普遍，增設(shè)校園無線局域網(wǎng)也是勢在必行的。而且校園無線局域網(wǎng)也可以方便那些早期沒有安裝網(wǎng)絡(luò)通迅線路的建筑接入校園網(wǎng)。經(jīng)過以上分析，將校園內(nèi)部主干網(wǎng)設(shè)計為千兆是十分必要的。2、根據(jù)業(yè)務(wù)量與業(yè)務(wù)類型的發(fā)展，估算出五年內(nèi)網(wǎng)絡(luò)大約需要的交換能力和功能在此次升級中，我們都將使用一些能夠充分滿足當(dāng)前網(wǎng)絡(luò)通迅及應(yīng)用服務(wù)的網(wǎng)絡(luò)設(shè)備，又能夠在相當(dāng)長一段時間內(nèi)保持技術(shù)的先進性，能夠滿足今后學(xué)校對網(wǎng)絡(luò)的擴展需要。3、依據(jù)網(wǎng)絡(luò)分級原則，確定核心、會聚、接入各層設(shè)備所在位置與策略。該次升級方案中，徹底改變了校園網(wǎng)絡(luò)的主干拓撲結(jié)構(gòu)，摒棄了以前那平面型的拓撲結(jié)構(gòu)，采用當(dāng)今主流的三層網(wǎng)絡(luò)結(jié)構(gòu)，即核心層

30、、匯聚層、接入層結(jié)構(gòu)。網(wǎng)絡(luò)中心還是設(shè)在實驗樓，所以核心層設(shè)備也自然設(shè)在該樓內(nèi).匯聚層接入層設(shè)備根據(jù)新的網(wǎng)絡(luò)拓撲及子網(wǎng)劃分，具體安放在后面的章節(jié)中說明。4、根據(jù)以上三點，以及充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備的前提下，確定對所需網(wǎng)絡(luò)設(shè)備的要求和投資估算，以此來確定設(shè)備的供應(yīng)商，并在滿足現(xiàn)有業(yè)務(wù)的同時，確保網(wǎng)絡(luò)可以以較少投資平滑升級。核心冗余，從圖1-3可以清楚的知道，學(xué)校所有出入Chinanet 和CERNET的數(shù)據(jù)都必須通過ls-3026交換機，一旦該設(shè)備出現(xiàn)故障，整個網(wǎng)絡(luò)將癱瘓。為應(yīng)對該問題，我們采用核心冗余技術(shù)（如圖2-1），通過設(shè)置HSRP協(xié)議，即使核心交換機有一臺出現(xiàn)故障，網(wǎng)絡(luò)會自動切換到另一臺核

31、心交換機上，保證網(wǎng)絡(luò)通暢。我們使用的冗余交換機都可以工作在三層，支持該協(xié)議。圖2-1核心冗余圖2.5.4 HSRP技術(shù)熱備份路由器協(xié)議（HSRP）的設(shè)計目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當(dāng)源主機不能動態(tài)知道第一跳路由器的 IP 地址時，HSRP 協(xié)議能夠保護第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。HSRP 協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（A

32、ctive Router）。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主機連通中斷現(xiàn)象。HSRP 運行在 UDP 上，采用端口號1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際 IP 地址，而并非虛擬地址，正是基于這一點，HSRP 路由器間能相互識別.三、校園網(wǎng)系統(tǒng)設(shè)計網(wǎng)絡(luò)系統(tǒng)設(shè)計方案主要包括校園網(wǎng)內(nèi)部網(wǎng)絡(luò)和In

33、ternet接入兩部分的設(shè)計。3.1校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)計校園網(wǎng)內(nèi)部網(wǎng)絡(luò)是組建在學(xué)院校園內(nèi)的計算機應(yīng)用網(wǎng)絡(luò)，可以采用Intranet方式建設(shè)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)。對本分校區(qū)而言，幾乎包括所有的建筑樓群：如教學(xué)樓、圖書館、科學(xué)樓、外語樓、實訓(xùn)樓、實驗樓、教師及學(xué)生宿舍樓等。根據(jù)福清學(xué)院對網(wǎng)絡(luò)應(yīng)用的需求，主干可以采用千兆以太網(wǎng)結(jié)構(gòu)，每棟樓與網(wǎng)絡(luò)中心用多模光纖連接，百兆交換到桌面。在升級設(shè)計中，針對現(xiàn)有的不足，我們采用分層次的網(wǎng)絡(luò)結(jié)構(gòu)和冗余設(shè)計技術(shù)，如采用核心、匯聚冗余。還有無線局域網(wǎng)的引入，也是逐步完善校園網(wǎng)絡(luò)的一個舉措。3.2校園網(wǎng)接入Internet設(shè)計學(xué)校校園網(wǎng)采用雙端口方式，一個接入遼寧建筑本部教育

34、網(wǎng)，一個作為電信的局域網(wǎng)方式接入中國電信，校園網(wǎng)核心交換機及路由器都存放在網(wǎng)絡(luò)中心，所有樓的光纖均連接到網(wǎng)絡(luò)中心。并申請相應(yīng)的域名和IP地址。內(nèi)部網(wǎng)絡(luò)的IP地址由保留地址和真實地址混合使用，保證內(nèi)部網(wǎng)絡(luò)的安全。3.3校園網(wǎng)應(yīng)用系統(tǒng)設(shè)計1、Internet應(yīng)用學(xué)校向域名注冊代理商申請Internet域名后，通過配置相應(yīng)設(shè)備便可以向校內(nèi)外提供DNS、WWW、FTP和E-Mail等服務(wù)。網(wǎng)絡(luò)操作系統(tǒng)可以選擇Microsoft的Windows系列或Linux。在服務(wù)器上，每一個服務(wù)可以由一臺服務(wù)器來完成；也可以由一服務(wù)器來同時完成幾項服務(wù)。這些是對校內(nèi)外開放的。另外一些主要面向教學(xué)或?qū)W生工作的服務(wù)，可

35、以另外設(shè)一些專門的服務(wù)器，如：學(xué)生學(xué)籍管理系統(tǒng)、教務(wù)管理系統(tǒng)等，這些可以視需要決定是否向外開放。2、視頻點播、教學(xué)討論BBS 校園網(wǎng)視頻點播系統(tǒng)，可以使學(xué)生通過電腦在校園內(nèi)任何地方進行教學(xué)課件的視頻點播，進一步提高學(xué)生的學(xué)習(xí)積極性。校園BBS服務(wù)，可以使每位學(xué)生教師都可以在BBS上書寫信息、提出看法、討論教學(xué)問題，增強師生間的教學(xué)交流。校園網(wǎng)還以提供許多其他服務(wù)(可選)，如網(wǎng)絡(luò)課件庫、網(wǎng)絡(luò)試題庫、精品課程點播以及遠程教學(xué)等，進一步推動教學(xué)手段的改革。4、網(wǎng)絡(luò)管理隨著校園網(wǎng)的不斷擴大，對校園網(wǎng)中網(wǎng)絡(luò)設(shè)備的管理成為校園網(wǎng)管的重要任務(wù)，可以通過網(wǎng)絡(luò)管理軟件實現(xiàn)對全校所有網(wǎng)絡(luò)設(shè)備的集中式管理。網(wǎng)絡(luò)管理

36、集通信技術(shù)、網(wǎng)絡(luò)技術(shù)和信息處理技術(shù)于一體，通過高度和協(xié)調(diào)資源，進行各項管理活動，以達到使網(wǎng)絡(luò)可靠、安全和高效運行的目的。由于我們在建設(shè)中主要使用Cisco的產(chǎn)品，可以用CiscoWork2000這個網(wǎng)管軟件來統(tǒng)一管理，它可以管理Cisco的基于IOS操作系統(tǒng)的連接設(shè)備。使用方式是Web管理方式，所以在安裝完網(wǎng)絡(luò)管理服務(wù)器后可以在任何有網(wǎng)絡(luò)連接的機器上進行網(wǎng)管監(jiān)控。5、QOS管理流量管理也是一個非常重要的工程，如何有效的、合理的管理網(wǎng)絡(luò)中ip流量將有助于網(wǎng)絡(luò)整體性能。實施QoS，首先必須進行QoS的總體規(guī)劃，其規(guī)劃原則可如下:首先，根據(jù)不同業(yè)務(wù)特性在網(wǎng)內(nèi)實施針對業(yè)務(wù)類型的業(yè)務(wù)分流，目前可考慮的業(yè)

37、務(wù)類型可以分為VoIP語音、視頻、專線互聯(lián)及互聯(lián)網(wǎng)接入等。另外，還必須考慮到網(wǎng)絡(luò)本身還存在管理和控制信令等，這種消息流與VoIP數(shù)據(jù)流具有同等的QoS保證需求。其次，在接入網(wǎng)的匯聚層實施業(yè)務(wù)VLAN策略，并根據(jù)業(yè)務(wù)及流量特性對業(yè)務(wù)VLAN進行合理的帶寬規(guī)劃。然后，不同用戶實施不同的QoS:對于重要的服務(wù)器、教師機通信等，在匯聚層實施獨享帶寬和獨立邏輯通道的二層QoS策略。6、無線局域網(wǎng)校園內(nèi)加入無線網(wǎng)絡(luò)，一方面可以方便師生在校園內(nèi)的移動入網(wǎng)，也可以使那早期沒安裝網(wǎng)絡(luò)接口的建筑，如電子樓，5、6號樓。從學(xué)校的自然布局和辦公情況看，將無線接入點分別設(shè)在學(xué)生公寓樓和外語樓。外語樓主要面向本樓接入和科

38、學(xué)樓外來領(lǐng)導(dǎo)的移動接入。公寓樓可供5、6的接入。7、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全性非常脆弱，服務(wù)器防病毒能力差，非常容易遭受到攻擊。加入硬件防火墻可以對出入校園網(wǎng)數(shù)據(jù)包進行監(jiān)控、過濾， 最大程度的屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)及運行情況，以此來保護網(wǎng)絡(luò)安全；它具有控制對系統(tǒng)的訪問，集中安全管理，增強的保密性等功能。8、用戶上網(wǎng)需求校園網(wǎng)的主要用戶是教師和學(xué)生，學(xué)校可增設(shè)一個透明網(wǎng)關(guān)或認證服務(wù)器來對用戶身份認證及上網(wǎng)計費。同時包括無線接入的認證。3.4校園網(wǎng)結(jié)構(gòu)設(shè)計校園網(wǎng)結(jié)構(gòu)設(shè)計主要指網(wǎng)絡(luò)的物理結(jié)構(gòu)設(shè)計和邏輯結(jié)構(gòu)設(shè)計。在完成對校園網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀分析后，就可以有針對性的進行物理和邏輯上的規(guī)劃設(shè)計，進一步完善校園網(wǎng)絡(luò)。

39、3.4.1校園網(wǎng)物理結(jié)構(gòu)設(shè)計根據(jù)前面對校園網(wǎng)絡(luò)現(xiàn)狀的分析，可以知道校園網(wǎng)內(nèi)有多少建筑，各建筑內(nèi)包含多少信息點以及它們的分布情況，可以知道校園網(wǎng)的功能及其應(yīng)用。對些我們就可以做出相應(yīng)的升級拓撲設(shè)計。此次物理上主要是對網(wǎng)絡(luò)設(shè)備及通信帶寬的升級（對于設(shè)備選擇在第三章中介紹）：1、升級核心路由器，采用思科優(yōu)質(zhì)的產(chǎn)品C3600系列。2、采用思科雙C3750核心交換機做冗余技術(shù);匯聚層也采用思科C6509原有的可當(dāng)備份用;接入層采用C3500系列。各層設(shè)備都具有千兆以太網(wǎng)端口。3、增加3A身份認證服務(wù)器，增加校內(nèi)外學(xué)生宿舍的校園網(wǎng)接入和校園無線局域網(wǎng)接入。4、引入防火墻機制，提高校園網(wǎng)的安全性。在通信線路

40、上，此次將校園主干網(wǎng)都升級為1000M以滿足學(xué)校對網(wǎng)絡(luò)的需求。接入電信仍為原有的百兆光纖，不過只要更改光纜的帶寬就可以使網(wǎng)絡(luò)升級到更高的帶寬；路由器與核心交換機間采用1000Base-T銅纜連接； 核心交換機與匯聚層交換機間采用1000Base-LX光纖連接（在同一室內(nèi)可用優(yōu)質(zhì)雙絞線）。校內(nèi)各網(wǎng)絡(luò)服務(wù)采用100M雙絞線連到核心交換機。匯聚層交換機所在的樓房內(nèi)直接采用100雙絞線連接到接入層交換機，其它樓房的接入層交換機則用100M光纖連接到該匯聚交換機上，物理拓撲如圖3-1。圖3-1物理拓撲圖3.4.2校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計根據(jù)上一節(jié)的設(shè)備選型及校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，我們可以繪制出更詳細的校園網(wǎng)絡(luò)結(jié)構(gòu)

41、圖，如下列圖3-2。圖3-2邏輯拓撲圖注：圖2-3中完整IP的均使用默認C類掩碼，而只有兩個IP位的都默認省去了前兩位，如：100.6/30其完整IP為/30，其中30為該IP的掩碼長度。1、核心與匯聚部分圖3-3冗余部分拓撲圖2、匯聚與接入部分圖3-4匯聚與接入設(shè)計圖注：由于接入層是工作在數(shù)據(jù)鏈路層，所以不需為其設(shè)置IP。3、VLAN的劃分部分校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計主要是IP子網(wǎng)網(wǎng)段的劃分，根據(jù)校園網(wǎng)實際應(yīng)用需求實現(xiàn)VLAN的設(shè)置。從校園網(wǎng)的安全性、IP地址的可管理性和IP地址資源的有限性出發(fā)，將整個校園網(wǎng)絡(luò)劃分成若干個子網(wǎng)網(wǎng)段并對IP地址進行有效的管理是十分必要的。子網(wǎng)網(wǎng)段劃分一般應(yīng)遵循以下原

42、則：（1）需要對外開放的服務(wù)器劃分在同一網(wǎng)段，并分配真實的IP地址；（2）除接入Internet的路由器外，將其它所有網(wǎng)絡(luò)設(shè)備劃分到私有的網(wǎng)段；（3）將不對外開放的服務(wù)器劃分到專有網(wǎng)段中，其地址對外是隱蔽的；（4）最好將不同部門的機器劃分到不同網(wǎng)段中；（5）劃分的子網(wǎng)應(yīng)使IP管理簡單，同時也要避免IP地址的大量浪費；（6）可使用子網(wǎng)掩碼將幾個C類地址分給同一個大的子網(wǎng)，或?qū)⒁粋€C類地址分給幾個小的子網(wǎng)；（7）校園內(nèi)部網(wǎng)IP地址使用保留地址，連接Internet的子網(wǎng)采用真實IP地址。以下為學(xué)校升級中，對學(xué)校所有網(wǎng)內(nèi)計算機的子網(wǎng)劃分情況：VLAN劃分如表3-1：表3-1 VLAN劃分表序號VLA

43、N號子網(wǎng)名稱包含的信息點1DMZ區(qū)服務(wù)器子群連接Internet的所有對外開放服務(wù)器，為真實IP地址211服務(wù)器子網(wǎng)所有只對校內(nèi)開放的服務(wù)器，為保留IP地址312網(wǎng)絡(luò)設(shè)備子網(wǎng)除路由器外所有網(wǎng)絡(luò)設(shè)備413辦公室子網(wǎng)圖書館、實訓(xùn)樓、科學(xué)樓的辦公室計算機514無線接入子網(wǎng)所有無線接入的計算機615學(xué)生宿舍子網(wǎng)1校內(nèi)學(xué)生宿舍接入的計算機716學(xué)生宿舍子網(wǎng)2校外學(xué)生宿舍接入的計算機817教師宿舍子網(wǎng)1校內(nèi)教師宿舍接入的計算機918教師宿舍子網(wǎng)2校外教師宿舍接入的計算機1019教室子網(wǎng)教學(xué)樓、科學(xué)樓、電子樓、實驗樓的教學(xué)用計算機1120電子閱覽室子網(wǎng)圖書館除辦公室計算機外的所有計算機1221計算機實驗室子

44、網(wǎng)1實訓(xùn)樓的計算機實驗室11322計算機實驗室子網(wǎng)2實訓(xùn)樓的計算機實驗室21423計算機實驗室子網(wǎng)3實訓(xùn)樓的計算機實驗室31524計算機實驗室子網(wǎng)4實驗樓計算機實驗室11625計算機實驗室子網(wǎng)5實驗樓計算機實驗室21726計算機實驗室子網(wǎng)6實驗樓計算機實驗室3子網(wǎng)劃分示意圖如圖3-5：圖3-5 VLAN劃分示意圖四、網(wǎng)絡(luò)設(shè)備選擇方案4.1設(shè)備選擇基本原則在網(wǎng)絡(luò)升級選擇網(wǎng)絡(luò)設(shè)備時，應(yīng)當(dāng)遵循以下原則：1、可靠性由于升級的往往是核心和骨干網(wǎng)絡(luò)，其重要性不言而喻，一旦癱瘓則影響巨大。因此，必須將可靠性放在第一位，無論是品牌的選擇，還是設(shè)備的配置，都將可靠性作為第一考慮。2、性能作為網(wǎng)絡(luò)骨干網(wǎng)絡(luò)節(jié)點，中

45、心交換機、匯聚交換機和廠區(qū)交換機必須能夠提供完全無阻塞的多層交換性能，以保證業(yè)務(wù)的順暢。3、可管理性一個大型網(wǎng)絡(luò)可管理程度的高低直接影響這運行成本和業(yè)務(wù)質(zhì)量。因此，所有的節(jié)點都應(yīng)市可網(wǎng)管得，而且需要有一個強有力切簡介的網(wǎng)絡(luò)管理系統(tǒng)，能夠?qū)W(wǎng)絡(luò)的業(yè)務(wù)流量、運行狀況等進行全方位的控制和官吏。4、靈活性和可擴展性由于企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，需要交換機能夠接續(xù)全系列接口，例如光口和電口、百兆、千兆和萬兆端口，以及多模光纖接口和長距離的單模光纖接口等。其交換機結(jié)構(gòu)也應(yīng)能夠根據(jù)網(wǎng)絡(luò)擴容靈活地擴大容量。其軟件應(yīng)具有獨立知識產(chǎn)權(quán)，應(yīng)保證其后續(xù)研發(fā)和升級以保證對未來新業(yè)務(wù)的支持。5、安全性隨著網(wǎng)絡(luò)的普及和發(fā)展，各種各

46、樣的攻擊也在威脅這網(wǎng)絡(luò)的安全。不僅僅是介入交換機，骨干層次的交換機也應(yīng)考慮到安全防范的問題，例如訪問控制、寬帶控制等，從而有效控制不良業(yè)務(wù)對整個骨干網(wǎng)絡(luò)的侵害。6、QoS控制能力隨著網(wǎng)絡(luò)上多媒體業(yè)務(wù)（語音、視頻等）越來越多，我們對核心交換機節(jié)點提出了更高德要求，不僅能進行一般的限速交換，還要能根據(jù)不同的業(yè)務(wù)流的特點，對他們的優(yōu)先級和貸款進行有效的控制，從而保證重要業(yè)務(wù)和時間敏感業(yè)務(wù)的順暢。7、標(biāo)準(zhǔn)性和開放性由于網(wǎng)絡(luò)往往是一個具有多種廠商設(shè)備的環(huán)境，因此，所選擇的設(shè)備必須能夠支持業(yè)界通用的開放標(biāo)準(zhǔn)和協(xié)議，以便能夠和其他廠商的設(shè)備有效地溝通。8、性價比在滿足網(wǎng)絡(luò)需求和網(wǎng)絡(luò)應(yīng)用的額基礎(chǔ)上，還應(yīng)當(dāng)充分

47、考慮設(shè)備的性價比，以達到最大的投資回報率。4.2交換設(shè)備選型4.2.1 核心層交換機選型根據(jù)學(xué)校的規(guī)模和應(yīng)用需求，為將校園主干升級為千兆網(wǎng)絡(luò)，我們核心交換機選用兩臺CISCO WS-C3750G-24TS-S作核心冗余。Cisco Catalyst 3750系列交換機是一款適用于中型機構(gòu)和大型企業(yè)分支機構(gòu)的創(chuàng)新產(chǎn)品。該交換機采用了Cisco StackWise技術(shù)，通過結(jié)合易用性和可堆疊交換機的最高永續(xù)性，提高了局域網(wǎng)運行效率。關(guān)鍵特性：1、可用性802.1S/W支持基于標(biāo)準(zhǔn)的容錯性、負載均衡和迅速恢復(fù)；Flexlink特性提供了不到100ms的快速收斂；PVST+則通過允許流量在冗余鏈路上傳

48、輸，增加了可用帶寬。2、Cisco StackWise技術(shù)單一IP地址和單一命令行界面（CLI）簡化了管理；32-Gbps永續(xù)架構(gòu)加速了收斂；1N堆疊采用了冗余和第三層上行鏈路永續(xù)性、跨堆疊Cisco EtherChannel技術(shù)及QoS，提高了可用性；自動配置和Cisco IOS軟件版本檢查和升級加速了部署過程；交換機的熱添加和刪除能保持堆疊持續(xù)運行。3、370W PoE簡化了IP電話、無線和視頻監(jiān)視部署；智能電源管理特性增強了控制能力，有助于更好地利用功率預(yù)算，PoE與快速以太網(wǎng)或千兆以太網(wǎng)型號相結(jié)合，能最大限度地利用現(xiàn)有基礎(chǔ)設(shè)施投資。4、第三層特性 OPSF、EIGRP、BGP 、靜態(tài)

49、PBR等高級路由協(xié)議擴大了網(wǎng)絡(luò)規(guī)模；等成本路由以及PIM等組播路由能夠最大限度地利用網(wǎng)絡(luò)資源；VRFLite可保護流量；（5）IPv6在簡化網(wǎng)絡(luò)尋址和移動IP的同時提高了安全性。5、QoS 流量整形能在不丟棄數(shù)據(jù)包的情況下平穩(wěn)處理突發(fā)流量；整形循環(huán)保證了關(guān)鍵任務(wù)應(yīng)用的帶寬；而Scavenger隊列則能防止蠕蟲過度使用資源。6、管理 Cisco Smartports能快速、簡單地配置高級 Web界面完成設(shè)置； 資源模板則可用于為應(yīng)用定制交換機資源。7、安全DHCP監(jiān)聽能夠只允許可信端口訪問DHCP信息，消除了惡意DHCP服務(wù)器；NAC則能防止代價昂貴的蠕蟲和病毒的傳播；動態(tài)ARP檢測和IP源防護

50、能夠防御中間人攻擊；802.1x和基于身份的網(wǎng)絡(luò)服務(wù)僅允許授權(quán)人員接入網(wǎng)絡(luò)；端口安全能防止MAC地址泛洪攻擊。4.2.2 匯聚層交換機選型匯聚層交換機需要支持第三層交換，對應(yīng)核心冗余，在這里我們也選用兩臺CISCO WS-C6509-24-SMI作匯聚冗余。產(chǎn)品特點：6509系列是一款功能強大的交換機，可在中型網(wǎng)絡(luò)中作接入設(shè)備，也可作匯聚設(shè)備。用戶可以在整個網(wǎng)絡(luò)中部署智能化的服務(wù)，例如先進的服務(wù)質(zhì)量（QoS），速度限制，Cisco安全訪問控制列表，多播管理和高性能的IP路由同時保持了傳統(tǒng)LAN交換的簡便性。Catalyst 6509系列中內(nèi)嵌了Cisco集群管理套件（CMS）軟件，該軟件使用戶

51、可以利用一個標(biāo)準(zhǔn)的Web瀏覽器同時配置和診斷多個Catalyst桌面交換機并為其排除故障。Cisco CMS軟件提供了新的配置向?qū)?，它可以大幅度簡化整合式?yīng)用和網(wǎng)絡(luò)級服務(wù)的部署。 含有標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強型多層軟件鏡像（EMI）。EMI提供了一組更加豐富的企業(yè)級功能，包括基于硬件的IP單播和多播路由，虛擬LAN（VLAN）間的路由，路由訪問控制列表（RACL）和熱備用路由器協(xié)議（HSRP）。在剛開始部署時，增強型多層軟件鏡像升級工具包為用戶提供了升級到EMI的靈活性。4.2.3接入層交換機選型接入層設(shè)備主要作用是要支持VLAN的劃分，我們可以選用CISCO Catalyst 35

52、00. 4.3路由器選型接入Internet的路由器完全可以選用Cisco 3620，因為Cisco 3600系列是一個適合大中型企業(yè)Internet服務(wù)供應(yīng)商的模塊化、多功能訪問平臺家族。Cisco 3600系列擁有70多個模塊化接口選項，提供語音/數(shù)據(jù)集成、虛擬專網(wǎng)（VPN）、撥號訪問和多協(xié)議數(shù)據(jù)路由解決方案。通過利用CIsco的語音/傳真網(wǎng)絡(luò)模塊，Cisco 3600系列允許客戶在單個網(wǎng)絡(luò)上合并語音、傳真和數(shù)據(jù)流量。高性能的模塊化體系結(jié)構(gòu)保護了客戶的網(wǎng)絡(luò)技術(shù)投資，并將多個設(shè)備的功能集成到一個可管理的解決方案之中。關(guān)鍵特性：1、在一個平臺中結(jié)合了撥號訪問、先進的局域網(wǎng)到局域網(wǎng)路由服務(wù)、AT

53、M連接以及語音、視頻和數(shù)據(jù)的多服務(wù)集成。2、模塊化、可伸縮的設(shè)計提供性能、可伸縮性、靈活性和投資保護。3、高密度ISDN PRI功能。 4、預(yù)配置的BRI和PRI調(diào)制解調(diào)器捆綁。5、支持Modem-over-BRI功能性。 6、集成了Cisco IOS軟件（產(chǎn)品定價中包括IP IOS軟件）。 7、完全支持VPN。4.4防火墻選型防火墻是一種部署在內(nèi)外網(wǎng)邊界上的訪問控制設(shè)備，在校園網(wǎng)中使用防火墻，可以用來防止未經(jīng)授權(quán)的通信進出校園內(nèi)部網(wǎng)絡(luò)，通過邊界控制強化內(nèi)部網(wǎng)絡(luò)的安全策略。防火墻主要有簡單包過濾防火墻、狀態(tài)/動態(tài)檢測防火墻、應(yīng)用程序代理防火墻三種。結(jié)合我們學(xué)校情況，我們選用CISCO PIX

54、520-R-BUN 防火墻來保障校園網(wǎng)絡(luò)安全。CISCO PIX 520-R-BUN防火墻的主要功能：1、企業(yè)級集成式安全設(shè)備2、最高330 Mbps防火墻吞吐率3、利用硬件加速（某些型號自帶，在其他型號中為可選組件）最高可以提供145 Mbps 3DES和135Mbps AES-256 VPN吞吐率4、最多可以為2000個遠程用戶提供VPN集中器服務(wù)（Easy VPN Server）5、千兆以太網(wǎng)支持；最多8個10/100 FE或者3個千兆以太網(wǎng)接口6、虛擬局域網(wǎng)中繼（基于802.1q標(biāo)簽）和OSPF動態(tài)路由支持7、安全環(huán)境（虛擬防火墻服務(wù)）支持8、主用/主用和主用/備用防火墻狀態(tài)故障切換支

55、持9、主用/備用IPSec VPN故障切換支持4.5服務(wù)器選型現(xiàn)在著名的服務(wù)器品牌非常多，有IBM、HP、DELL、LENOVO、曙光、浪潮等。這里選的服務(wù)器主要是驗證服務(wù)器的選擇，其它的看學(xué)校目前的網(wǎng)絡(luò)應(yīng)用可以隨時增設(shè)，如前面分析的FTP服務(wù)器、E-Mail服務(wù)等。根據(jù)我們前面的分析與設(shè)計，我們選擇華為MA5200F-2000 來作為校園的寬帶接入驗證服務(wù)器，主要驗證學(xué)生接入與無線接入這兩方便。4.6設(shè)備清單及價格表4-1設(shè)備清單表序號設(shè)備名稱產(chǎn)品型號數(shù)量價格(元)1核心交換機CISCO WS-C3750G-24TS-S235000*22匯聚交換機CISCO WS-C6509-24-SMI2

56、14000*23接入交換機CISCO WS-C3500T-2445500*44路由器CISCO 36201158005防火墻CISCO PIX 520-R-BUN1345006認證服務(wù)器華為MA5200F-2000157118注：本章的設(shè)備參考資料主要來自 、及一些思科產(chǎn)品文檔。在本章里論述的主要是在升級好的網(wǎng)絡(luò)設(shè)備上，根據(jù)學(xué)校的實際應(yīng)用需求進行相應(yīng)配置。配置中需要涉及的內(nèi)容有：路由器的配置；冗余的核心與匯聚交換機配置；認證服務(wù)器配置；設(shè)置安全機制和防范策略、ACL控制策略、帶寬限制、QoS等，這里我只提一些組網(wǎng)中主要的配置。五、網(wǎng)絡(luò)實施5.1施工準(zhǔn)備工作為了確保網(wǎng)絡(luò)設(shè)備采購及服務(wù)項目的建設(shè)工

57、作能夠按期保質(zhì)的竣工，并完成整個網(wǎng)絡(luò)系統(tǒng)的安裝、調(diào)試及應(yīng)用培訓(xùn)。施工技術(shù)準(zhǔn)備施工技術(shù)是貫穿著整個工程的全過程。施工技術(shù)準(zhǔn)備是施工過程中的重要環(huán)節(jié)也是施工準(zhǔn)備的核心，其具體有如下內(nèi)容：（1）現(xiàn)場對每個學(xué)校的監(jiān)控系統(tǒng)進行了解和熟悉、審查設(shè)計圖紙（2）由工程、技術(shù)部門認真編制施工組織設(shè)計并作好各種物資資源和技術(shù)條件的調(diào)查工作（3）作好與設(shè)計的配合工作通過熟悉圖紙內(nèi)容，了解設(shè)計上要求施工達到的技術(shù)標(biāo)準(zhǔn)，明確工藝流明程。組織各工種的施工管理人員對本工種的有關(guān)圖紙進行審查，掌握和了解圖紙中的細節(jié)。組織和專業(yè)施工隊伍共同學(xué)習(xí)施工圖紙，商定施工配合事宜。由監(jiān)理牽頭組織有關(guān)單位進行圖紙會審，由設(shè)計方進行交底，理

58、解設(shè)計意圖及施工質(zhì)量標(biāo)準(zhǔn)，準(zhǔn)確掌握設(shè)計圖紙中的細節(jié)。（4）認真編制施工組織設(shè)計，作為工程施工生產(chǎn)的指導(dǎo)性文件（5）編制施工圖預(yù)算和施工預(yù)算由預(yù)算部門根據(jù)施工圖、預(yù)算定額、施工組織設(shè)計、施工定額等文件，編制施工圖預(yù)算和施工預(yù)算，以便為施工作業(yè)計劃的編制、施工任務(wù)單和限額領(lǐng)料單的簽發(fā)提供依據(jù)。物質(zhì)條件準(zhǔn)備：（1）施工材料的準(zhǔn)備根據(jù)施工組織設(shè)計中的施工進度計劃和施工預(yù)算中的工料分析，編制工程所需的材料用量計劃，作好備料、供料工作和確定倉庫、堆放面積及組織運輸?shù)囊罁?jù)。根據(jù)材料需用量計劃，做好材料的申請、訂貨和采購工作，使計劃得到落實。組織材料按計劃進場，并作好保管工作。（2）配件的加工訂貨準(zhǔn)備根據(jù)施工

59、進度計劃及施工預(yù)算所提供的各種構(gòu)配件數(shù)量，做好加工工作，并編制相應(yīng)的需用量計劃。組織配件按計劃進場，按施工平面布置圖作好存放和保管工作。（3）施工機械準(zhǔn)備根據(jù)施工組織設(shè)計中確定的施工方法、施工機具、設(shè)備的要求和數(shù)量以及施工進度的安排，編制施工機具設(shè)備需用量計劃，組織施工機具設(shè)備需用量計劃的落實，確保按期進場?，F(xiàn)場準(zhǔn)備：（1）組織機械設(shè)備進場根據(jù)施工機具的需用量計劃，按施工平面布置圖的要求，組織施工機械設(shè)備進場，機械設(shè)備進場后按規(guī)定地點和方式布置，并進行相應(yīng)的保養(yǎng)和試運轉(zhuǎn)等項工作。（2）組織安裝材料和構(gòu)配件的進場根據(jù)安裝材料、構(gòu)配件的需用量計劃組織其進場，按規(guī)定地點和方式存放堆放，并做好組織和保

60、護措施。施工隊伍的準(zhǔn)備：根據(jù)確定的現(xiàn)場管理機構(gòu)建立項目管理層，并選擇高素質(zhì)的施工作業(yè)隊伍進行該工程的施工。（1）建立項目部施工組織的領(lǐng)導(dǎo)機構(gòu)。施工組織機構(gòu)的建立應(yīng)遵循以下的原則：根據(jù)工程的規(guī)模、結(jié)構(gòu)特點和復(fù)雜程度，確定勞動組織的領(lǐng)導(dǎo)機構(gòu)名額和人選；堅持合理分工及密切協(xié)作相結(jié)合的原則；把有施工經(jīng)驗、有創(chuàng)新精神、工作效率高的人選入領(lǐng)導(dǎo)機構(gòu)；認真招待因事設(shè)職、因職選人的原則。（2）建立精干的施工隊組。施工隊組的建立，要認真考慮專業(yè)工種的合理配合，技工和普工的比例要滿足合理的勞動組織要求。按組織施工方式的要求，確定建立混合施工隊組及其數(shù)量。（3）根據(jù)該工程的特點和施工進度計劃的要求，確定各施工階段的勞