高校校園網(wǎng)絡(luò)規(guī)劃與設(shè)計

1、 TOC o 1-5 h z 前言1第一章校園網(wǎng)絡(luò)的需求分析2 HYPERLINK l bookmark5 o Current Document 1.1校園背景2 HYPERLINK l bookmark8 o Current Document 1.2網(wǎng)絡(luò)設(shè)計要求2 HYPERLINK l bookmark17 o Current Document 1.3需求分析2第二章網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計5 HYPERLINK l bookmark27 o Current Document 2.1建筑分布5 HYPERLINK l bookmark33 o Current Document 2.2信息點(diǎn)分布5

2、HYPERLINK l bookmark38 o Current Document 2.3校園網(wǎng)絡(luò)擴(kuò)撲圖7 HYPERLINK l bookmark41 o Current Document 2.4網(wǎng)段及VLAN的劃分7第三章硬件設(shè)備及線纜的選擇9 HYPERLINK l bookmark44 o Current Document 3.1各設(shè)備參數(shù)如下9 HYPERLINK l bookmark95 o Current Document 3.2各設(shè)備數(shù)量17 HYPERLINK l bookmark98 o Current Document 3.3 校園網(wǎng)與 Internet的互連18 HYP

3、ERLINK l bookmark103 o Current Document 3.4遠(yuǎn)程訪問服務(wù)18 HYPERLINK l bookmark106 o Current Document 3.5各個子網(wǎng)的設(shè)計19第四章校園網(wǎng)絡(luò)的邏輯結(jié)構(gòu)設(shè)計214.1主十網(wǎng)21 HYPERLINK l bookmark116 o Current Document 4.2中心服務(wù)器22 HYPERLINK l bookmark119 o Current Document 4.3網(wǎng)絡(luò)技術(shù)選型23 HYPERLINK l bookmark134 o Current Document 4.4內(nèi)部路由協(xié)議比較27第五章

4、 服務(wù)器平臺的設(shè)計30 HYPERLINK l bookmark146 o Current Document DNS域名系統(tǒng)30 HYPERLINK l bookmark154 o Current Document DHCP 服務(wù)器31 HYPERLINK l bookmark163 o Current Document WWW和FTP服務(wù)器介紹32 HYPERLINK l bookmark172 o Current Document E-mail 服務(wù)器33第六章心得體會34第一章校園網(wǎng)絡(luò)的需求分析1.1校園背景江西理工大學(xué)是一所以理工為主，工學(xué)、理學(xué)、經(jīng)濟(jì)學(xué)、管理學(xué)、法學(xué)、 文學(xué)、教育學(xué)、

5、藝術(shù)學(xué)等八大學(xué)科協(xié)調(diào)發(fā)展，研究生教育與本科教育并舉，面向 全國招生和就業(yè)并有權(quán)接收華僑及港澳臺學(xué)生的教學(xué)研究型大學(xué)；現(xiàn)有14個學(xué) 院，18個科研院所，各類在校生4萬余人，其中全日制在校生3萬余人。在贛 州有三個校區(qū)，校園網(wǎng)的中心機(jī)房設(shè)在校本部教學(xué)主樓的九樓，面積約150平方， 在黃金校區(qū)正在建設(shè)一個災(zāi)備機(jī)房。三個校區(qū)的學(xué)生人數(shù)分別為：校本部14000人，黃金校區(qū)13000人，西校區(qū) 4000人。黃金校區(qū)還要建設(shè)教職工的周轉(zhuǎn)房（1900套），各棟樓內(nèi)的布線系統(tǒng)暫 不考慮，校園網(wǎng)的出口有四個：中國電信500M，中國移動100M，中國聯(lián)通100M， 教育科研網(wǎng)500M，1.2網(wǎng)絡(luò)設(shè)計要求所有信息點(diǎn)都

6、有交換能力，萬兆骨干，千兆桌面。支持虛擬網(wǎng)劃分，部門之間訪問受控；網(wǎng)絡(luò)具備容錯能力，并能進(jìn)行良好的網(wǎng)絡(luò)管理；易于擴(kuò)充和升級。有線無線一體化方案設(shè)計。分層設(shè)計：核心層、匯聚層、接入層。學(xué)校僅有2個C類段地址，為55，教育科研 網(wǎng)的 IP 地址：15 個 C 類地址 55學(xué)校內(nèi)部主機(jī)可采用內(nèi)網(wǎng)私有地址：到551.3需求分析根據(jù)學(xué)校目前的校園規(guī)模和未來的發(fā)展趨勢，江西理工大學(xué)校園網(wǎng)的建設(shè)有 如下的需求：1.校園網(wǎng)需要連接校內(nèi)的各個教學(xué)部門（教學(xué)樓、實驗室、圖書館）中的PC。2. 同時要求網(wǎng)絡(luò)線纜必須連通每棟學(xué)生宿舍樓，并在每個寢室內(nèi)裝有一個寬帶接 口，以便為學(xué)生提供Internet的接入。提供豐富的

7、網(wǎng)絡(luò)服務(wù)，實現(xiàn)廣泛的軟件、硬件資源共享，包括：（1）提供基本的網(wǎng)絡(luò)服務(wù)功能：如文件傳輸服務(wù)（FTP）、動態(tài)主機(jī)配置服務(wù) （DHCP）、電子郵件、遠(yuǎn)程登錄、域名服務(wù)等。（2）實現(xiàn)校內(nèi)各個管理機(jī)構(gòu)的辦公自動化：提供學(xué)生信息的查詢，提供教務(wù)數(shù) 據(jù)的查詢，提供各學(xué)科專業(yè)資料數(shù)據(jù)庫服務(wù)。提供學(xué)校自己的管理信息系統(tǒng)（MIS）。（3）提供網(wǎng)上圖書館功，圖書查詢功能等，使校圖書館成為信息化和數(shù)字化的 圖書館。（4）全校共享軟硬件庫服務(wù)，避免重復(fù)投資，發(fā)揮最大效益。（5）經(jīng)廣域網(wǎng)接口，與Internet的互連，為國際間的信息交流和科研合作為學(xué) 校快速獲得最新教學(xué)成果及技術(shù)合作等創(chuàng)造良好的信息通路。校園網(wǎng)對主機(jī)系

8、統(tǒng)的主要要求：主機(jī)系統(tǒng)應(yīng)采用國際上較新的主流技術(shù)，并具 有良好的可擴(kuò)展能力；主機(jī)系統(tǒng)應(yīng)具有高的可靠性，能長時間連續(xù)工作，并有容 錯措施；支持通用大型數(shù)據(jù)庫，如SQL、Oracle等；具有廣泛的軟件支持，軟 件兼容性好，并支持多種傳輸協(xié)議；能與Internet互聯(lián)，可提供互聯(lián)網(wǎng)的應(yīng)用， 如WWW瀏覽服務(wù)、FTP文件傳輸服務(wù)、E-mail電子郵件服務(wù)；支持SNMP網(wǎng)絡(luò)管 理協(xié)議，具有良好的可管理性和可維護(hù)性；校園網(wǎng)絡(luò)系統(tǒng)設(shè)計方案應(yīng)滿足如下要求：網(wǎng)絡(luò)方案應(yīng)采用成熟的技術(shù)，并盡 可能采用先進(jìn)的技術(shù)；采用國際統(tǒng)一標(biāo)準(zhǔn)，以擁有廣泛的支持廠商，最大限度的 采用同一廠家的產(chǎn)品；方案應(yīng)合理分配帶寬，使用戶不受網(wǎng)

9、上“塞車”的影響； 應(yīng)充分考慮未來可能的應(yīng)用，如桌面將承受大型應(yīng)用軟件和多媒體傳輸需求的壓 力；該網(wǎng)絡(luò)方案要具有高擴(kuò)展性。能為用戶未來數(shù)目的擴(kuò)展具有調(diào)整、擴(kuò)充的手 段和方法；該網(wǎng)絡(luò)應(yīng)是面向連接的，能夠?qū)崿F(xiàn)虛擬網(wǎng)（VLAN）連接；考慮對用戶 現(xiàn)有網(wǎng)絡(luò)的平滑過度，使學(xué)?，F(xiàn)有陳舊設(shè)備盡量保持較好的利用價值；校園網(wǎng)對網(wǎng)絡(luò)設(shè)備的要求：高性能；所有網(wǎng)絡(luò)設(shè)備都應(yīng)有足夠的吞吐量；高 可靠性和高可用性；應(yīng)考慮多種容錯技術(shù)；可管理性；所有網(wǎng)絡(luò)設(shè)備均可用適當(dāng) 的網(wǎng)管軟件進(jìn)行監(jiān)控、管理和設(shè)置；采用國際統(tǒng)一的標(biāo)準(zhǔn)；系統(tǒng)集成所共同遵循的設(shè)計原則：本著實用的原則，盡量使用成熟先進(jìn)的平 臺軟件，以縮短教學(xué)課件的開發(fā)周期；采用

10、分布式的結(jié)構(gòu)，以便于開發(fā)和維護(hù)； 采用集群解決方案，以保證連續(xù)工作；為保證網(wǎng)絡(luò)速度而采用高的帶寬；追求最 高的性能價格比。系統(tǒng)集成所共同追求的設(shè)計目標(biāo)：建成一個具有高可靠性和 開放性的校園網(wǎng)絡(luò)，它應(yīng)支持流行的SNMP等網(wǎng)絡(luò)管理協(xié)議；采用Internet上 的標(biāo)準(zhǔn)協(xié)-TCP/IP協(xié)議，提供校園內(nèi)部及面向全球的WWW服務(wù)、FTP服務(wù)、DNS 服務(wù)、DHCP服務(wù)、NEWS服務(wù)、電子郵件服務(wù)，實現(xiàn)與國際互聯(lián)網(wǎng)的完全接軌； 同時它還應(yīng)具有支持通用大型數(shù)據(jù)庫的功能，支持多種協(xié)議，具有良好的軟件支 持；采用模塊化結(jié)構(gòu)設(shè)計，容易升級；最后，它還應(yīng)針對學(xué)校的教學(xué)特點(diǎn)，具 有一些基本的教學(xué)功能，以完成學(xué)校的基本教

11、學(xué)任務(wù)。第二章網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計2.1建筑分布根據(jù)校園的實際布局情況，各棟建筑物距離教學(xué)主樓（教學(xué)主樓為信息交換 中心即網(wǎng)絡(luò)中心）的實際分別如下：1） 本部：（1）主教；（2）二教；（3）三教；（4）男生宿舍；（5） 女生宿舍；（6）薈莘園；（7）幸福餐廳；（8）圖書館；（9）辦公樓（10）實 驗室；（11）圖書館（12）書香閣。2）、黃金校區(qū)：（1）研究生大樓；（2）三本大樓；（3）稀土大樓；（4）男生 宿舍；（5）女生宿舍；（6）圖書館；（7）食堂。3）、西校區(qū)：（1）教學(xué)樓；（2）辦公樓；（3）食堂；（4）男生宿舍；（5）女 生宿舍。2.2信息點(diǎn)分布根據(jù)各棟建筑物對網(wǎng)絡(luò)的需求不同，現(xiàn)將各棟

12、建筑物的信息節(jié)點(diǎn)需求及分配 規(guī)劃如下：1）、校園網(wǎng)的信息交換中心（網(wǎng)絡(luò)管理中心）設(shè)在主樓。2）、圖書館，二棟教學(xué)樓，三棟教學(xué)樓，學(xué)生宿舍，教師宿舍，食堂以及體 育館等信息節(jié)點(diǎn)分布在信息交換中心的周圍。其中主樓是信息交換中心、網(wǎng)絡(luò)管理中心，是整個網(wǎng)絡(luò)的核心所在地，同時 也是廣域網(wǎng)以及Internet的接口。因此配線間也設(shè)置在主樓.下面給出各個建 筑物的信息節(jié)點(diǎn)：建筑物名稱信息節(jié)點(diǎn)個數(shù)主教樓200二教樓100三教樓100圖書館200食堂30各學(xué)生宿舍100X10體育館5各學(xué)院樓200X5行政樓100西校區(qū)400應(yīng)科院1000信息點(diǎn)總數(shù)41352.3校園網(wǎng)絡(luò)擴(kuò)撲圖國用:圖邛Ti皿 SM5.i?lT，

13、時仍F卻用.JOM火*2心will禊袖中國電國用:圖邛Ti皿 SM5.i?lT，時仍F卻用.JOM火*2心will禊袖中國電1J愴&和辦.5一0 虹|竟血4.苫等網(wǎng)%型!*幸相.斤&）也伽郵情枷弟為熾為對網(wǎng)枷 與如. Air 5WW-Vft 目丈主夙）It _*ilVft*iKlt 甦瘩四黃金校區(qū)江西理工大學(xué)網(wǎng)絡(luò)擴(kuò)撲圖2.4網(wǎng)段及VLAN的劃分表是校園網(wǎng)網(wǎng)段及VLAN劃分表建筑物所屬VLANIP地址辦公樓VLAN101/24VLAN102/24學(xué)生宿舍VLAN201/24VLAN202/24VLAN203/24VLAN204/24實驗室VLAN205VLAN305/22/24王教VLAN206

14、VLAN306/24/24二教VLAN207/2455三教VLAN208/24圖書館VLAN209/24書香閣VLAN210/24薈莘園VLAN211/24幸福餐廳VLAN212/24西校區(qū)Vlan301/24/24應(yīng)科院Vlan401/24/24食堂與一卡通中心Vlan501/24第三章硬件設(shè)備及線纜的選擇3.1、各設(shè)備參數(shù)如下：采用萬兆骨干網(wǎng)絡(luò)，千兆桌面的設(shè)計方案，核心層交換機(jī)選用H3C S9508E-V 路由交換機(jī)，此交換機(jī)采用模塊化設(shè)計，能夠方便的增加功能模塊來滿足功能需 要，便于將來的功能擴(kuò)展，其主要參數(shù)如下：H3C S9508E-V詳細(xì)參數(shù)主要參數(shù)產(chǎn)品類型：路由交換機(jī)應(yīng)用層級：三層

15、傳輸速率：10/100/1000/10000Mbps交換方式：存儲-轉(zhuǎn)發(fā)背板帶寬：4.8Tbps包轉(zhuǎn)發(fā)率：576Mpps/960Mpps端口參數(shù)端口結(jié)構(gòu)：模塊化擴(kuò)展模塊：2個主控板槽位數(shù)+8個業(yè)務(wù)板槽位數(shù)傳輸模式：全雙工/半雙工自適應(yīng)功能特性網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.1Q，IEEE 802.1d，IEEE 802.1ad，IEEE 802.3x，IEEE 802.3ad，IEEE 802.3，IEEE 802.3z，IEEE 802.3ae，IEEE 802.3af， IEEE 802.17，IEEE 802.1PQOS :支持 Diff-Serv QoS支持SP/SDWRR等隊列調(diào)度機(jī)制支

16、持精細(xì)化的流量監(jiān)管，粒度可達(dá)1Kbps支持流量整形支持擁塞避免支持優(yōu)先級標(biāo)記Mark/Remark支持802.1p、TOS、DSCP、EXP優(yōu)先級映射支持VOQ組播管理：支持 PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP等路由協(xié)議支持 IGMP V1/V2/V3、IGMP V1/V2/V3 Snooping支持 PIM6-DM、PIM6-SM、PIM6-SSM支持 MLD V1/V2、MLD V1/V2 Snooping支持組播策略和組播QoS、支持組播ARP支持雙向PIM網(wǎng)絡(luò)管理：支持 Console/AUX Modem/Telnet/SSH2.命令行配置支持

17、FTP、TFTP、Xmodem、SFTP文件上下載管理支持 SNMP V1/V2c/V3支持RMON，支持1、2、3、9組支持NTP時鐘支持NQA支持故障后報警和自恢復(fù)支持系統(tǒng)工作日志安全管理：支持用戶分級管理和口令保護(hù)支持SSHv2,為用戶登錄提供安全加密通道支持可控IP地址的FTP登錄和口令機(jī)制支持標(biāo)準(zhǔn)和擴(kuò)展ACL，可以對報文進(jìn)行過濾，防止網(wǎng)絡(luò)攻擊支持防止ARP、未知組播報文、廣播報文、未知單播報文、本機(jī)網(wǎng)段路由掃描報文、TTL= 1報文、協(xié)議報文等攻擊功能支持MAC地址限制、IP+MAC綁定功能支持uRPF技術(shù)，防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為支持ND防攻擊支持Portal認(rèn)證、支持Ra

18、dius支持VRRP、OSPF、RIPv2及BGP4報文的明文及MD5密文認(rèn)證支持安全網(wǎng)管SNMPv3、SSHv2支持廣播報文抑制支持主備數(shù)據(jù)備份機(jī)制支持防火墻、IPS等安全插卡匯聚層交換機(jī)選用H3C S5500-28C-SI千兆交換機(jī)，能夠滿足千兆到桌面的要求，其主要參數(shù)如下：主要參數(shù)產(chǎn)品類型：千兆以太網(wǎng)交換機(jī)傳輸速率：10/100/1000Mbps交換方式：存儲-轉(zhuǎn)發(fā)背板帶寬：128Gbps包轉(zhuǎn)發(fā)率：96MppsMAC地址表：16K端口參數(shù)端口結(jié)構(gòu)：非模塊化端口數(shù)量：28個端口描述：24個10/100/1000Base-T以太網(wǎng)端口，4個復(fù)用的1000Base-X 千兆 SFP 端口擴(kuò)展模

19、塊：2個擴(kuò)展插槽傳輸模式：支持全雙工功能特性堆疊功能：可堆疊VLAN :支持基于端口的VLAN（4K個）支持基于MAC的VLAN基于協(xié)議的VLAN支持QinQ，靈活QinQ支持 VLAN Mapping支持 Voice VLAN支持GVRPQOS :支持對端口接收報文的速率和發(fā)送報文的速率進(jìn)行限制支持報文重定向支持 CAR (Committed Access Rate)功能每個端口支持8個輸出隊列支持端口隊列調(diào)度支持報文的802.1p和DSCP優(yōu)先級重新標(biāo)記組播管理：支持 IGMP Snooping/MLD Snooping支持組播VLAN支持未知組播丟棄網(wǎng)絡(luò)管理：支持XModem/FTP/T

20、FTP加載升級支持命令行接口(CLI)，Telnet，Console 口進(jìn)行配置支持 SNMPv1/v2/v3，WEB 網(wǎng)管支持RMON(Remote Monitoring)告警、事件、歷史記錄支持iMC智能管理中心支持系統(tǒng)日志，分級告警，調(diào)試信息輸出支持HGMPv2支持NTP支持電源的告警功能，風(fēng)扇、溫度告警支持 Ping、Tracert支持VCT(Virtual Cable Test)電纜檢測功能支持 DLDP (Device Link Detection Protocol)單向鏈路檢測協(xié) 議支持Loopback-detection端口環(huán)回檢測安全管理：支持用戶分級管理和口令保護(hù)支持802

21、.1X認(rèn)證/集中式MAC地址認(rèn)證支持 Guest VLAN支持RADIUS認(rèn)證支持SSH 2.0支持端口隔離支持端口安全支持EAD接入層交換機(jī)選用H3C S3600V2-28TP-SI,可以提供千兆接入功能，其參數(shù) 如下：主要參數(shù)產(chǎn)品類型：快速以太網(wǎng)交換機(jī)應(yīng)用層級：三層傳輸速率：10/100Mbps交換方式：存儲-轉(zhuǎn)發(fā)背板帶寬：64Gbps包轉(zhuǎn)發(fā)率：9.6Mpps端口參數(shù)端口結(jié)構(gòu)：非模塊化端口數(shù)量：28個端口描述：24 個 100Mbps 端口，2 個 1000Mbps SFP Combo 端口，2 個 1000Mbps SFP 端口控制端口 ： 1個Console 口傳輸模式：全雙工VLAN

22、 :支持基于端口的VLAN (4K個)支持基于協(xié)議的VLAN支持基于MAC的VLAN支持 Voice VLAN功能特性支持 Super VLAN功能特性支持PVLAN支持GVRP支持 VLAN VPN (QinQ),靈活 QinQQOS :支持對端口接收報文的速率和發(fā)送報文的速率進(jìn)行限制支持報文的802.1p和DSCP優(yōu)先級重新標(biāo)記支持報文重定向支持CAR功能支持8個端口輸出隊列支持靈活的隊列調(diào)度算法，可以同時基于端口和隊列進(jìn)行設(shè)置，支持SP、WRR、SP+WRR等模式組播管理：支持 IGMP Snooping v1/v2/v3，MLD Snooping v1/v2支持組播VLAN網(wǎng)絡(luò)管理：用

23、戶分級管理和口令保護(hù)支持IEEE 802.1X認(rèn)證/集中式MAC地址認(rèn)證支持二層Portal認(rèn)證/triple認(rèn)證支持AAA&RADIUS認(rèn)證支持MAC地址學(xué)習(xí)數(shù)目限制支持MAC地址與端口、IP的綁定支持SSH2.0支持防止DoS攻擊功能支持ARP入侵檢測功能支持端口隔離支持MAC地址黑洞安全管理：支持XModem/FTP/TFTP加載升級支持命令行接口（CLI）、Telnet、Console 口進(jìn)行配置支持 SNMPV1/V2/V3、WEB 網(wǎng)管支持 RMON 1，2，3，9 組 MIB支持IMC智能管理中心支持HGMPv2集群管理支持系統(tǒng)日志、分級告警、調(diào)試信息輸出支持 PING、Trac

24、ert支持上電POST、風(fēng)扇堵轉(zhuǎn)、PoE設(shè)備過熱等情況的檢測與告 警支持VCT（Virtual Cable Test）電纜檢測功能支持 DLDP （Device Link Detection Protocol，設(shè)備連接檢測協(xié) 議）支持端口環(huán)回檢測支持IPv6 host功能族，實現(xiàn)IPv6管理防火墻選用H3C SecPath U200-CS-AC,其參數(shù)如下:主要參數(shù)設(shè)備類型 企業(yè)級防火墻糾錯網(wǎng)絡(luò)端口 1個配置口 （CON）;5GE;1個mini插槽,可通過該插槽 擴(kuò)展網(wǎng)絡(luò)接口;外置一個CF擴(kuò)展槽（選配）控制端口 consoleVPN支持支持入侵檢測Dos,DDoS管理 支持標(biāo)準(zhǔn)網(wǎng)管SNMPv3

25、，并且兼容SNMP v2c、SNMP v1, 支持NTP時間同步,支持Web方式進(jìn)行遠(yuǎn)程配置管理，支持SNMP/TR-069網(wǎng)管協(xié)議，支持H3C SecCenter安全管理中心進(jìn)行設(shè)備管理安全標(biāo)準(zhǔn)FCC,CE路由器選用H3C MSR56-60，其主要參數(shù)如下:基本參數(shù)路由器類型：企業(yè)級路由器端口結(jié)構(gòu)：模塊化其它端口 ： 2個USB2.0端口1 個 CON1 個 AUX1 個 CON(Mini-USB Type AB)擴(kuò)展模塊：6個HMIM插槽+1個DHMIM+2個VPM無線AP選用H3C WA2620i-AGN,其主要參數(shù)如下:產(chǎn)品類型：無線AP網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.11a，IEEE 8

26、02.11b，IEEE 802.11g，IEEE 802.11n最高傳輸速率:300Mbps頻率范圍：雙頻(2.4GHz，5GHz)調(diào)制方式：OFDM： BPSK6/9Mbps、QPSK12/18Mbps、主要參數(shù)16-QAM24Mbps、64-QAM48/54MbpsDSSS： DBPSK1Mbps、DQPSK2Mbps、CCK5.5/11MbpsMIMO-OFDM： MCS 0-15網(wǎng)絡(luò)接口 ： 1個10/100/1000Mbps接口 糾錯其它接口 ： 1個Console接口天線天線類型：內(nèi)置天線天線數(shù)量：4根天線增益：4dBi服務(wù)器選用聯(lián)想，該設(shè)備屬于企業(yè)級服務(wù)器，功能全面，性能強(qiáng)大，設(shè)

27、備詳 細(xì)參數(shù)如下：產(chǎn)品類別：機(jī)架式。產(chǎn)品類型：企業(yè)級。CPU型號：Xeon E5620 2.4GHz。標(biāo)配CPU數(shù)量：2顆。內(nèi)存容量：12GB DDR3。標(biāo)配硬盤容量：584GB。 內(nèi)部硬盤架數(shù)：最大支持16塊SAS/SATA(SFF)硬盤。網(wǎng)絡(luò)控制器：2個NC382i 雙端口千兆網(wǎng)卡。電源類型：熱插拔電源。產(chǎn)品結(jié)構(gòu)：2U。RAID模式：1個集 成的智能陣列P410i，256M。擴(kuò)展槽：最多6個。3.2、各設(shè)備數(shù)量名稱型號數(shù)量路由器H3C MSR56-601防火墻H3C SecPath U200-CS-AC1核心層交換機(jī)H3C S9508E-V2匯聚層交換機(jī)華為S352810接入層交換機(jī)華為S

28、302623無線APH3C WA2620i-AGN233.3校園網(wǎng)與Internet的互連Internet的連接技術(shù)主要有兩種：撥號連接和專線連接。撥號連接：對于傳輸量不是很大的情況，可以采用撥號方式入網(wǎng)，通 過SLIP/PPP實現(xiàn)與專線入網(wǎng)方式完全相同的功能。撥號連接適合于個人和小型 的單位使用。用戶通過調(diào)制解調(diào)器(Modem)與 ISP的訪問服務(wù)器或終端服務(wù)器 相連，并通過ISP來實現(xiàn)與Internet連接。專線連接：這種方式適合于使用人數(shù)多、數(shù)據(jù)通信量比較大的情況，比如 校園網(wǎng)和大中型企事業(yè)單位。通過專線連接入網(wǎng)的用戶，其計算機(jī)系統(tǒng)成為 Internet的一部分，有自己的IP地址，在網(wǎng)絡(luò)

29、上與其他Internet主機(jī)的地位 平等，可以使用和實現(xiàn)Internet的所有功能。相應(yīng)地，用戶與ISP之間維護(hù)連 接的費(fèi)用和復(fù)雜程度也大大提高了。對于專線連接，用戶需要以下設(shè)備.路由器：用來在用戶所在網(wǎng)絡(luò)與Internet之間傳輸信息。數(shù)據(jù)通信專線： 提供用戶至ISP之間的通信信道。服務(wù)器：用于處理IP地址分配和域名解析等，提供Internet服務(wù)。對于本方案中我們采用局域網(wǎng)專線接入方式，此方式需要配備路由器等設(shè) 備，租用專線DDN或幀中繼(Frame Relay)，也可申請ISDN專線并向CERNET 管理部門申請IP地址及注冊域名，以專線方式連入Internet，并提供防火墻、 計費(fèi)管理

30、等功能。本方案選用一臺Cisco3640路由器，3640共有四個接口插槽，具有1個局域網(wǎng)(LAN)，2個廣域網(wǎng)(WAN)和1個控制臺(AUX)接口。支持 幀中繼(Frame Relay)、X.25、PPP、HDLC等廣域網(wǎng)協(xié)議。同時考慮到Internet 外部入侵和撥號用戶的非法登陸等不安全因素，此路由器支持防火墻功能。3.4遠(yuǎn)程訪問服務(wù)遠(yuǎn)程訪問服務(wù)(Remote Access Servicers， RAS)提供了經(jīng)由調(diào)制解調(diào)器，I SD N連接器，和X . 2 5數(shù)字廣域網(wǎng)登錄到局域網(wǎng)和廣域網(wǎng)的能力.它可以滿足正 在旅途中的行政人員和銷售人員的需求,通過傳輸控制（TCP）協(xié)議來實現(xiàn).采 用C

31、isco訪問服務(wù)器，安裝在本地局域網(wǎng)中，通過1至4個調(diào)制解調(diào)器（或ISD TA） 和1至4根電話線，即可為遠(yuǎn)程訪問人員提供撥號上網(wǎng)服務(wù)，遠(yuǎn)程用戶只需擁有 1個調(diào)制解調(diào)器和1根電話線，通過用戶賬號和口令連接遠(yuǎn)程主機(jī)，來實現(xiàn)登錄 訪問。3.5各個子網(wǎng)的設(shè)計教學(xué)子網(wǎng)的設(shè)計校園網(wǎng)建網(wǎng)的目的之一，是利用網(wǎng)絡(luò)實現(xiàn)多媒體教學(xué)，如：交互式多媒體課 堂、電子閱覽室、教師培訓(xùn)等。多媒體教學(xué)的難點(diǎn)在于實現(xiàn)視頻信號的傳送（如 VOD視頻點(diǎn)播）。目前在局域網(wǎng)上實時傳送高質(zhì)量的視頻數(shù)據(jù)還未成熟，但傳送 壓縮后的視頻數(shù)據(jù)確是可行的。根據(jù)教學(xué)子網(wǎng)對速度要求較高的特點(diǎn)，可以采用 Catalyst 3524G/3548型24+1

32、和10/100M自適應(yīng)以太網(wǎng)交換機(jī)，它提供24個 10/100M交換式端口和一個擴(kuò)展插槽，可選插1個8聯(lián)的10/100 Base TX、1 個2聯(lián)的100Base FX或1個1聯(lián)的千兆以太網(wǎng)模塊。但實際上大量用戶（指超 過60個流）的視頻傳輸?shù)钠款i在于存儲介質(zhì)的外部傳輸速率，因此可選用多通道 的磁盤陣列接多臺主機(jī)的方式提高訪問的總線帶寬。辦公子網(wǎng)的設(shè)計辦公子網(wǎng)主要面向?qū)W校的各級領(lǐng)導(dǎo)及各職能部門，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的查 詢、修改、添加、刪除等操作，同時，應(yīng)該能夠滿足支持視頻傳送的要求。鑒于 此，辦公子網(wǎng)采用了思科Catalyst 2960 24 + 2的10/100M自動協(xié)商交換機(jī)或 Catal

33、yst 2950T 24+2的10/100M自動協(xié)商交換機(jī)，這兩款交換機(jī)除具備普通 交換機(jī)功能外，還專門提供了三層交換功能以及VLAN功能，能夠為連接在該端 口上的設(shè)備提供獨(dú)享的10/100M帶寬，極大地提高數(shù)據(jù)傳輸速率，同時可以把分 布在不同樓層之間的相同職能部門通過虛擬局域網(wǎng)連接起來，解決服務(wù)器瓶頸問 題。圖書館子網(wǎng)的設(shè)計圖書館是一個相對獨(dú)立的系統(tǒng)，我們采用Catalyst 3524G/3548的10/100M 自適應(yīng)以太網(wǎng)交換機(jī)，它提供了優(yōu)良的每端口性能價格比，并支持基于端口的VLAN劃分。通過此交換機(jī)把電子閱覽室和圖書查詢系統(tǒng)分開，提高圖書館的交 換速度。圖書館管理系統(tǒng)的應(yīng)用軟件產(chǎn)品較

34、多而且相對成熟。宿舍區(qū)子網(wǎng)及后勤子網(wǎng)等的設(shè)計宿舍區(qū)子網(wǎng)由于需要的端口數(shù)量比較多，而且數(shù)據(jù)流量也比較大。所以宿舍 區(qū)子網(wǎng)應(yīng)選用高性能的交換機(jī)和高傳輸速率的線纜。在每棟宿舍樓中安裝一臺思 科新推出的Catalyst 2948GL3自動協(xié)商交換機(jī)來實現(xiàn)學(xué)生宿舍和教師宿舍信息 的交換。Catalyst 2948GL3交換機(jī)具有48個10/100M快速以太網(wǎng)和2個千兆以 太網(wǎng)端口，同時它具備三層交換機(jī)的特性，它既保留了傳統(tǒng)的第二層交換在各端 口間傳數(shù)據(jù)時的高線速，又集成了原來在第三層路由中才有的完善控制功能如審 計、廣播隔離等。后勤子網(wǎng)覆蓋范圍較大，主要用途有食堂IC卡計費(fèi)系統(tǒng)，基建辦公室的計 算機(jī)聯(lián)網(wǎng)

35、等。由于后勤子網(wǎng)對帶寬的要求以及信息流量的要求并不高，因此我們 可以把它并入到宿舍區(qū)子網(wǎng)中來考慮。綜上所述，我們所需要用到的所有網(wǎng)絡(luò)設(shè)備如下：1臺Catalyst 3508G/4000 千兆以太網(wǎng)交換機(jī)5臺Catalyst 3524G/3548交換機(jī)1臺Cisco3640路由器1 臺Catalyst 2960交換機(jī)多臺Catalyst 2948GL3交換機(jī) 多臺網(wǎng)絡(luò)服務(wù)器通過H3C公司全系列網(wǎng)絡(luò)產(chǎn)品即可構(gòu)建一個完整、先進(jìn)、可靠的校園網(wǎng)絡(luò)硬 件平臺，從而有利于校園網(wǎng)信息系統(tǒng)的使用、維護(hù)、擴(kuò)充、升級，并能有效利用 投資。第四章校園網(wǎng)絡(luò)的邏輯結(jié)構(gòu)設(shè)計對于校園網(wǎng)這種規(guī)模大、集成度高的網(wǎng)絡(luò)，我們建議采用

36、Client/Server 結(jié)構(gòu)模式，即將網(wǎng)絡(luò)結(jié)構(gòu)建立在各類信息分布處理和集中管理相結(jié)合的方式上； 由于將數(shù)據(jù)處理工作放在各客戶機(jī)(Client)獨(dú)立處理，減輕了服務(wù)器(Server) 的負(fù)擔(dān)，設(shè)備的性能可得到了良好的應(yīng)用，而且資源信息可以分布共享、集中管 理，使得系統(tǒng)的可靠性、開放性不單單依賴服務(wù)器，互補(bǔ)性很強(qiáng)。這種結(jié)構(gòu)靈活 性好，速度快，可靠性高，是當(dāng)今流行的網(wǎng)絡(luò)系統(tǒng)方案。4.1主干網(wǎng)主十網(wǎng)在整個校園網(wǎng)絡(luò)系統(tǒng)中占有舉足輕重的地位，它是整個網(wǎng)絡(luò)的中樞。 主十網(wǎng)負(fù)責(zé)學(xué)校各個局域網(wǎng)之間的數(shù)據(jù)傳輸，信息發(fā)布，資源共享，學(xué)校以后的 BBS，辦公自動化系統(tǒng)，VOD系統(tǒng)，遠(yuǎn)程教學(xué)系統(tǒng)，INTERNET接

37、口，與其他兄弟 學(xué)校的數(shù)據(jù)交換都將運(yùn)行在這個網(wǎng)絡(luò)上，因此，主干網(wǎng)的好壞直接影響到以后網(wǎng) 絡(luò)系統(tǒng)的運(yùn)行效率，速度快慢，網(wǎng)絡(luò)性能等參數(shù)。因此，建立一條高速的、多能 的、可靠的、易擴(kuò)展的主干網(wǎng)絡(luò)，解決目前存在的帶寬問題，和適應(yīng)未來發(fā)展的 需要是校園網(wǎng)建設(shè)中一個重要的課題。校園內(nèi)各個局域網(wǎng)之間通信采用基于美國CISICO公司的Catalyst 5000交換 機(jī)的快速交換式以太網(wǎng)。Catalyst 5000是能支持所有主要網(wǎng)絡(luò)技術(shù)的模塊化結(jié) 構(gòu)的交換機(jī)。它是為數(shù)據(jù)中心提供高密度局域網(wǎng)交換的理想設(shè)備。它包括一個 1.2G bps的數(shù)據(jù)交換主干，最多可支持98個交換的以太網(wǎng)端口或50個交換的 快速以太網(wǎng)端口

38、。可通過交換口，原有系統(tǒng)可無逢地納入整個骨干網(wǎng)之中。新增 的系統(tǒng)可利用100M 口，提供100M高帶寬。用戶可利用其內(nèi)在的CISCO IOS功能， 它可提供虛擬網(wǎng)絡(luò)和多層交換的能力，組成靈活的VLAN。Catalyst 5000交換機(jī) 通過FDDI端口，以DAS方式接入整個校園網(wǎng)FDDI。Catalyst 5000交換機(jī)還提 供ATM模塊接口，在未來伸級到ATM網(wǎng)絡(luò)。Catalyst 5000交換機(jī)的特點(diǎn)如下：1.2G bps帶寬，每秒超過一百萬個包的 交換能力 所有端口都是全交換的 支持三個用戶可定義的優(yōu)先級別隊列 支持16000個有源MAC地址 24M HZ 68EC040網(wǎng)絡(luò)處理器支持S

39、NMP支持在Catalyst內(nèi)部或與其他Catalyst之間形成虛擬網(wǎng)絡(luò)，最多達(dá)1024個 VLANS所有VLAN支持IEEE802.1D生成樹算法，以支持容錯連接 選擇模塊：1 個快速以太網(wǎng)端口 2個單模FDDI雙連接端口 12個快速以太網(wǎng)端口 每個校園 網(wǎng)段區(qū)域之間可以采用直達(dá)單模光纖，采用技術(shù)最成熟的高速的FDDI技術(shù)。它 可提供帶寬高達(dá)100M。能滿足企業(yè)級要求。FDDI的網(wǎng)絡(luò)結(jié)構(gòu)選用雙環(huán)樹型拓?fù)浣Y(jié)構(gòu)，它具有如下獨(dú)特之處：1、帶寬利用率高環(huán)型拓?fù)涫咕W(wǎng)上站點(diǎn)可以公平地使用網(wǎng)絡(luò)所提供的帶寬，不 存在競爭問題。即使在重負(fù)荷的情況下運(yùn)行，傳輸效率也不會有明顯下降。2、靈活性 雙環(huán)樹型結(jié)構(gòu)的FD

40、DI可以通過增加或拆除集中器，很方便地擴(kuò)大或 者減少網(wǎng)絡(luò)的規(guī)模。在嚴(yán)格的布線場合，網(wǎng)絡(luò)的規(guī)模是根據(jù)用戶的需求自由決定， 而不應(yīng)為了適應(yīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的需求而設(shè)計，集中器固有的靈活性可以允許用戶 自行決定網(wǎng)絡(luò)的增長變化。雙環(huán)樹結(jié)構(gòu)還允許用戶在不分隔網(wǎng)絡(luò)節(jié)點(diǎn)的情況下， 進(jìn)行一定的增加、移動和改變工作，這種在線靈活性與EIA/TIA568標(biāo)準(zhǔn)布線方 案是一致的。3、 可用性由雙環(huán)樹拓?fù)浣Y(jié)構(gòu)組成的網(wǎng)絡(luò)容錯性較好，在單個或多個過障點(diǎn) 的情況下仍可維持正常工作，這一點(diǎn)對連接站點(diǎn)非常實用。這種結(jié)構(gòu)還允許多個 站點(diǎn)從網(wǎng)上拆除。而不會影響其它站點(diǎn)的正常使用。各局域網(wǎng)段間的FDDI集中 器選擇CISCO公司的WS-

41、C1400； WS-C1400可堆疊FDDI/CDDI工作組集中器結(jié)合 了工作組集中器的緊湊性和模塊化HUB的多用途特點(diǎn)，支持多種接口卡，因而配 置緊湊又靈活。4.2中心服務(wù)器中心服務(wù)器是整個網(wǎng)絡(luò)的核心部分。中心服務(wù)器是整個網(wǎng)絡(luò)中網(wǎng)絡(luò)服務(wù)的提 供者，它的性能優(yōu)劣直接影響整個網(wǎng)絡(luò)的工作效率，它的不穩(wěn)定又會給網(wǎng)絡(luò)造成 很大的損失。因此在服務(wù)器的選型上應(yīng)考慮如下問題：1.高可靠性2.高效 性 3.可擴(kuò)展性和兼容性由于校園網(wǎng)數(shù)據(jù)量比較大、訪問人員比較多，同時承擔(dān)了大量局域網(wǎng)數(shù)據(jù)的傳輸、 服務(wù)等工作，對服務(wù)器的容錯性有較高的要求。根據(jù)容錯技術(shù)的現(xiàn)狀，我們選用 了兩臺美國DEC公司的Prioris ZX6

42、000服務(wù)器。 基于高能奔騰(PentiumPro) 處理器的Prioris ZX6000MP服務(wù)器為訪問客戶機(jī)/服務(wù)器應(yīng)用和數(shù)據(jù)庫提供了最 快的、最肯定的機(jī)制，并且配有先進(jìn)的冗余功能和容錯設(shè)施從而保證持續(xù)不斷的 高性能及配合未來的可擴(kuò)充能力。特性：具有267MB/秒峰值帶寬的雙對等PCI總線 PCI RAID、PCI FAST WIDE SCSI接口和PCI快速以太網(wǎng)支持可變速冗余風(fēng)扇；可選的冗余電源；七個集成的熱插拔硬盤托架隨機(jī)贈送。支持DIGITAL Windows NT集群系統(tǒng) 具有數(shù)據(jù)庫和文件服務(wù)的容錯能力支持所有的工業(yè)標(biāo)準(zhǔn)的操作系統(tǒng)最大的可擴(kuò)充性，可以有多達(dá)2.0GB ECC內(nèi)存，

43、1TB外存和12個I/O槽先進(jìn)的256位四路交叉訪問內(nèi)存結(jié)構(gòu)具有先進(jìn)的可管理性，集成I2C接口，通過操作控制員控制面板可監(jiān)視系統(tǒng)狀態(tài)/報警，借助DIGITAL享有 聲譽(yù)的SERVERWORKS管理程序進(jìn)行監(jiān)視。4.3網(wǎng)絡(luò)技術(shù)選型4.3.1以太網(wǎng)技術(shù)吉比特以太網(wǎng)是最新的高速局域網(wǎng)技術(shù)，它的主要特點(diǎn)表現(xiàn)在以下幾個方面。經(jīng)濟(jì)、實用、性價比高。與快速以太網(wǎng)相比，吉比特以太網(wǎng)可以提供1Gbps的通信帶寬，其速率10倍于 快速以太網(wǎng)，但是價格卻只是快速以太網(wǎng)價格的3倍。兼容性吉比特以太網(wǎng)采用了與傳統(tǒng)以太網(wǎng)、快速以太網(wǎng)完全兼容的技術(shù)規(guī)范，因此吉比 特以太網(wǎng)除了繼承傳統(tǒng)以太局域網(wǎng)的優(yōu)點(diǎn)外，還具有升級平滑、實施

44、容易、性價 比高和易管理等優(yōu)點(diǎn)。QoS服務(wù)IEEE制定兩種規(guī)范幫助吉比特以太網(wǎng)提供QoS，其一是802.lq，用于標(biāo)識VLAN 的網(wǎng)絡(luò)通信，另一規(guī)范是802.l q信號標(biāo)準(zhǔn)，旨在使端站點(diǎn)具有申請優(yōu)先級的能 力，并允許交換機(jī)傳送這些請求，人們可以通過瀏覽VLAN標(biāo)志識別不同的業(yè)務(wù) 類型，使用交換機(jī)和路由器的資源預(yù)留協(xié)議(RSVP)進(jìn)行緩沖和保留帶寬。升級性能吉比特以太網(wǎng)與另一高性能網(wǎng)絡(luò)ATM技術(shù)相比，可以實在原有低速以太網(wǎng)基 礎(chǔ)上平滑、連續(xù)性的網(wǎng)絡(luò)升級，并不需要掌握新的配置、管理與排除故障技術(shù)， 且有很高的性能價格比，從而能最大限度地保護(hù)用戶之前的投資，吉比特以太網(wǎng) 目前得到了廣泛的支持，吉比特

45、以太網(wǎng)絡(luò)的互連和設(shè)計也變得極其靈活和方便。 4.3.2鏈路聚合技術(shù)以太網(wǎng)鏈路聚合簡稱鏈路聚合，它通過將多條以太網(wǎng)物理鏈路捆綁在一起成為一 條邏輯鏈路，從而實現(xiàn)增加鏈路帶寬的目的，同時，這些捆綁在一起的鏈路通過 相互間的動態(tài)備份，可以有效地提高鏈路的可靠性。在服務(wù)器群和核心交換機(jī)之間使用鏈路聚合能夠提高了網(wǎng)絡(luò)的可靠性，使人們可 以在服務(wù)器等關(guān)鍵LAN段的線路上采用冗余路由，當(dāng)交換機(jī)檢測到其中某一個端 口的鏈路發(fā)生故障時，就停止在此端口上發(fā)送報文，并根據(jù)負(fù)載均衡策略在剩下 鏈路中重新計算報文發(fā)送的端口，故障端口恢復(fù)后再次重新計算報文發(fā)送端口。鏈路聚合圖4.3.3虛擬局域網(wǎng)技術(shù)VLAN (Virtu

46、al Local Area Network)的中文名為虛擬局域網(wǎng)。VLAN 是一種 將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換 技術(shù)。通過將校園網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控 制不必要的數(shù)據(jù)廣播，在共享網(wǎng)絡(luò)中，一個物理的網(wǎng)段就是一個廣播域。而在交 換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址(MAC地址)組成的 虛擬網(wǎng)段，這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而 完全根據(jù)管理功能來劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和 重組的管理功能。在同一個VLAN中的工作站，不論它們實際與哪個交換機(jī)連接，

47、 它們之間的通訊就好象在獨(dú)立的交換機(jī)上一樣。同一個VLAN中的廣播只有VLAN 中的成員才能聽到，而不會傳輸?shù)狡渌腣LAN中去，這樣可以很好的控制不必 要的廣播風(fēng)暴的產(chǎn)生。VLAN的特點(diǎn)：分段。一個VLAN就是一個網(wǎng)段，也是一個廣播域，突破了傳統(tǒng)的交換機(jī)只有 一個廣播域的限制，按端口劃分VLAN還可以將交換機(jī)的每一個端口都劃分為不 同的廣播域。管理靈活。網(wǎng)絡(luò)管理員能借助VLAN技術(shù)輕松管理整個校園網(wǎng)絡(luò)，例如：一旦 工作組的辦公位置發(fā)生改變，只需要修改交換機(jī)的VLAN設(shè)置，就可以輕松地將 那臺計算機(jī)加入到工作組，實現(xiàn)對組內(nèi)資源的訪問，而不用更改路由信息和IP 地址配置。安全性。VLAN有更好的

48、安全性，因為它能限制個別用戶的訪問，控制廣播域 的大小和位置，甚至能夠鎖定某臺計算機(jī)設(shè)備的MAC地址，交換端口的VLAN劃 分策略很多，例如基于應(yīng)用類型、訪問權(quán)限等。4.3.4生成樹協(xié)議（STP）生成樹協(xié)議（Spanning Tree Protocol），屬于二層（Date Link Layer）協(xié)議。 生成樹協(xié)議最主要的作用是避免局域網(wǎng)中的單故障節(jié)點(diǎn)、網(wǎng)絡(luò)環(huán)路，解決網(wǎng)絡(luò)環(huán) 路的“廣播風(fēng)暴”問題，是一種網(wǎng)絡(luò)保護(hù)技術(shù)，STP通過選擇性地阻塞冗余鏈路 來消除網(wǎng)絡(luò)二層環(huán)路，同時具備鏈路的備份功能。Stp生成樹算法（STA）可以分為三個步驟：（1）選擇根網(wǎng)橋在全網(wǎng)中選擇一個根網(wǎng)橋，比較網(wǎng)橋的BID值，

49、選擇BID值小的作為根網(wǎng)橋，BID 值是由兩部分組成的：交換機(jī)的優(yōu)先級和MAC地址組成的，默認(rèn)優(yōu)先級為32768。 如果交換機(jī)的優(yōu)先級相同則比較MAC地址大小，選擇值小的作為根網(wǎng)橋。（2）選擇根端口在每個非根交換機(jī)上選擇根端口。首先，比較根路徑開銷，選擇到根網(wǎng)橋最低路 徑開銷的端口作為根端口，根路徑開銷取決于鏈路的帶寬，帶寬越大，路徑成本 越低；其次，比較對端交換機(jī)BID值，BID值越小，則其優(yōu)先級越高；最 后，比較端口的ID值，該值端口優(yōu)先級和端口編號組成，選擇值小的作根端口。選擇指定端口在每條鏈路上選擇一個指定端口，根網(wǎng)橋上所有端口都是指定端口，首先，比較 根路徑成本；其次，比較端口所在網(wǎng)

50、橋的ID值；最后，比較本端口的ID值。NATNAT網(wǎng)絡(luò)地址轉(zhuǎn)換，可以將學(xué)校內(nèi)部私有地址轉(zhuǎn)換成外部公有地址，從而實現(xiàn)內(nèi) 部網(wǎng)絡(luò)與Internet的通信。NAT的實現(xiàn)方式有三種：靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換和端口多路復(fù)用。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址一對一地轉(zhuǎn)換為外部公有IP地址，地址 固定不變，如將服務(wù)器的地址轉(zhuǎn)換成固定IP地址。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址隨機(jī)轉(zhuǎn)換成NAT地址池中的公用IP地址 時，學(xué)校內(nèi)部的任何私有IP地址都可以進(jìn)行動態(tài)地址轉(zhuǎn)換。端口多路復(fù)用(PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址 轉(zhuǎn)換，采用PAT方式，校園內(nèi)部網(wǎng)絡(luò)的有私有IP都可以通過共享一個公

51、有IP 地址對Internet進(jìn)行訪問，最大限度地節(jié)省了 IP地址資源，同時，又可隱藏校 園內(nèi)部的主機(jī)IP，避免來自外部網(wǎng)絡(luò)的攻擊。目前網(wǎng)絡(luò)中大部分用戶的使用的 都是端口多路復(fù)用方式。ACLACL訪問控制列表是路由器和交換機(jī)接口的控制指令，用來控制進(jìn)出設(shè)備的數(shù)據(jù) 包，其中包含了匹配關(guān)系、條件和查詢語句，目的是實現(xiàn)對某種訪問的控制。 校園內(nèi)外網(wǎng)絡(luò)的通信都是校園網(wǎng)絡(luò)必不可少的需求，為了保證內(nèi)部網(wǎng)絡(luò)的安全 性，需要安全策略來禁止非授權(quán)用戶訪問關(guān)鍵的網(wǎng)絡(luò)資源，控制訪問是一種網(wǎng)絡(luò) 安全技術(shù)。ACL使用包過濾技術(shù)，在路由器上讀取報頭源地址、目的地址、源端口、目的端 口等信息，然后根據(jù)自己設(shè)定好的規(guī)則對數(shù)據(jù)

52、包進(jìn)行過濾，從而達(dá)到訪問控制的 目的。由協(xié)議又分外部路由協(xié)議和內(nèi)部路由協(xié)議兩種，外部路由協(xié)議適用于多個自治體 系之間的信息交換，其代表BGP 一般應(yīng)用于網(wǎng)絡(luò)服務(wù)商內(nèi)部，內(nèi)部路由協(xié)議適用 于局域網(wǎng)內(nèi)部，例如RIP、OSPF等都可用于組建校園網(wǎng)內(nèi)部路由信息，根據(jù)校園 網(wǎng)建設(shè)范圍和網(wǎng)絡(luò)拓?fù)淝闆r，從中選取合適的路由協(xié)議，對整個校園網(wǎng)和校園信 息應(yīng)用系統(tǒng)的穩(wěn)定運(yùn)行具有重要意義。4.4內(nèi)部路由協(xié)議比較現(xiàn)如今常見的內(nèi)部路由協(xié)議有RIPv2、OSPF和EIGRP，路由協(xié)議的作用是在局域 網(wǎng)內(nèi)部生成路由表，并保持定期維護(hù)和動態(tài)更新。如何選擇合適的路由協(xié)議？需 要考慮路由協(xié)議的主要性能指標(biāo)：計算方法、收斂速度、所

53、占用的系統(tǒng)開銷、協(xié) 議安全性和所適用的網(wǎng)絡(luò)范圍。（1）計算方法路由協(xié)議計算的正確性指路由協(xié)議所采用的算法是否可靠，路由分直連路由、靜 態(tài)路由和動態(tài)路由，靜態(tài)路由的錯誤配置，浪費(fèi)帶寬的路由環(huán)路會隨即產(chǎn)生，動 態(tài)路由協(xié)議在一定的環(huán)境下也會產(chǎn)生路由環(huán)路，優(yōu)秀的路由協(xié)議算法應(yīng)該擁有避 免路由環(huán)路機(jī)制。RIPv2采用的是距離矢量算法，最大為15跳，雖然啟用了路由毒化、抑制時間 和觸發(fā)更新等可以降低產(chǎn)生環(huán)路的概率的策略，但仍然不能消除距離矢量算法容 易產(chǎn)生路由環(huán)路的缺點(diǎn)，OSPF是鏈路狀態(tài)協(xié)議，它使用迪克斯加算法來計算最 短路徑，這種算法消除了路由環(huán)路的可能。EIGRP是結(jié)合了鏈路狀態(tài)和距離矢量 型的路由

54、選擇協(xié)議，是Cisco的專有協(xié)議，使用彌散修正算法（DUAL）來實現(xiàn)快 速收斂，可以不發(fā)送定期的路由更新信息以減少帶寬的占用，可以有效地避免路 由環(huán)路的產(chǎn)生。（2）收斂速度路由收斂是指當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化后，路由表重新建立達(dá)到穩(wěn)定，并通知 網(wǎng)絡(luò)中所有相關(guān)設(shè)備都得知該變化的過程，快速收斂意味著當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生 變化時，網(wǎng)絡(luò)設(shè)備能很快地感知到并實時更新自身的路由表，RIP協(xié)議采用周期 性廣播更新路由信息，周期性廣播更新使路由收斂速度變慢，OSPF和EIGRP采 取不定期的組播更新在局域網(wǎng)中維護(hù)所有網(wǎng)絡(luò)設(shè)備路由表信息的統(tǒng)一，同時在發(fā) 現(xiàn)路徑信息改變時立即觸發(fā)路由信息更新，這種觸發(fā)更新機(jī)制使路由

55、快速收斂。（3）系統(tǒng)開銷路由協(xié)議的使用需要占用CPU，內(nèi)存和其他系統(tǒng)資源，系統(tǒng)資源，在這里指的是 包含一個局域網(wǎng)內(nèi)的所有網(wǎng)絡(luò)設(shè)備，相對于鏈路狀態(tài)算法，基于距離矢量算法的 路由協(xié)議RIPv2具有花費(fèi)較少的系統(tǒng)資源的優(yōu)點(diǎn)，盡管OSPF復(fù)雜的算法會花費(fèi) 更多的系統(tǒng)資源，但是對于匯聚層與核心層網(wǎng)絡(luò)設(shè)備而言，這些系統(tǒng)開銷 對于信息數(shù)據(jù)的正常傳輸?shù)挠绊懣梢院雎圆挥?。?）安全性能RIPv2、OSPF支持基于接口的明文及MD5驗證兩種方式，增強(qiáng)網(wǎng)絡(luò)安全性；運(yùn)行 EIGRP協(xié)議進(jìn)程的路由器之間也可以配置MD5認(rèn)證，對不符合認(rèn)證的報文丟棄不 理，從而確保路由獲得的安全。（5）適用網(wǎng)絡(luò)規(guī)模路由協(xié)議適用的網(wǎng)絡(luò)規(guī)模略

56、有不同，RIPv2協(xié)議有最大15跳的限制，超過不可 達(dá)，所以適用于中小型網(wǎng)絡(luò)結(jié)構(gòu)，EIGRP協(xié)議同樣不適應(yīng)于大型網(wǎng)絡(luò)拓?fù)洹Ｓ捎?OSPF的區(qū)域劃分機(jī)制，OSPF協(xié)議可應(yīng)用在由數(shù)目巨大的網(wǎng)絡(luò)設(shè)備組成的大型網(wǎng) 絡(luò)結(jié)構(gòu)中。5.4.1路由協(xié)議的選擇綜合比較這幾種常見路由協(xié)議，得出結(jié)論：對于大型的網(wǎng)絡(luò)應(yīng)優(yōu)先選擇OSPF路 由協(xié)議、而中小型網(wǎng)絡(luò)就可以在OSPF和EIGRP中選擇。而又因為EIGRP協(xié)議是 Cisco網(wǎng)絡(luò)公司的專有協(xié)議，與其他廠商生產(chǎn)的網(wǎng)絡(luò)設(shè)備存在兼容性的問題。所 以只有統(tǒng)一采用思科網(wǎng)絡(luò)設(shè)備時才可以優(yōu)先考慮使用 EIGRP協(xié)議作為路由協(xié) 議。參照比較這些協(xié)議的特點(diǎn)，OSPF是校園網(wǎng)的最佳協(xié)議

57、選擇。（1）OSPF工作機(jī) 制1、通過組播發(fā)送Hello包來發(fā)現(xiàn)鄰接路由器，組播能夠提高網(wǎng)絡(luò)效率，減小對 其它非OSPF設(shè)備產(chǎn)生的影響。2、建立鄰接關(guān)系。網(wǎng)絡(luò)中所有路由器僅僅與DR/BDR建立鄰接關(guān)系，如果網(wǎng)絡(luò)中 還沒有DR/BDR，那么就要先選舉出DR/BDR，DR通過分發(fā)LSA來描繪該網(wǎng)絡(luò)類型 及通知網(wǎng)絡(luò)中的其他路由器，當(dāng)DR失效時，BDR會立即搶占DR，而BDR則在 DRother之間重新選舉，當(dāng)路由器之間確立了可信賴的鄰接關(guān)系之后才會開始相 互通報鏈路狀態(tài)信息。3、確定LSDB。建立鄰接關(guān)系的OSPF路由器之間通過交互LSA，最終同一個區(qū)域 內(nèi)所有OSPF路由器都擁有相同鏈路狀態(tài)數(shù)據(jù)庫

58、（LSDB），OSPF路由器只發(fā)布鄰 居缺失的LSA給鄰居，避免了資源的浪費(fèi)，有助于提高路由收斂速度。4、依據(jù)LSDB用最短路徑優(yōu)先算法計算出最優(yōu)路由。由于LSDB，同一 OSPF區(qū)域 內(nèi)的路由器對整個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)都有相同的認(rèn)識，所以計算出的路由不會產(chǎn)生環(huán) 路。（2）OSPF路由協(xié)議的特點(diǎn)為提高校園網(wǎng)的可靠性和健壯性，在網(wǎng)絡(luò)建設(shè)和升級過程中應(yīng)考慮網(wǎng)絡(luò)拓?fù)浜吐?由協(xié)議的冗余備份能力，OSPF提出分別地區(qū)（Area）的概念，將自治體系分別為多 個小的地區(qū)后，僅需要在本身地區(qū)內(nèi)成立同一的LSDB，大大減少了全部自治體 系所需通報的路由信息數(shù)目，減輕了路由器的承擔(dān)和辦理難度，也使得路由信息 不會隨收集

59、范圍的擴(kuò)展而急劇膨脹，這類地區(qū)分別機(jī)制不但降低了系統(tǒng)資源的耗 損，并且網(wǎng)絡(luò)資源也得到了有效的利用。OSPF進(jìn)行區(qū)域劃分后，就將路由信息 分為區(qū)域內(nèi)和區(qū)域間兩種，為有效管理不同區(qū)域間通訊，需定義一個骨干區(qū)域（Area 0）來匯總所有區(qū)域，全部區(qū)域間通訊都必須通過主十地區(qū)，全部非主十 地區(qū)都必須與主十地區(qū)直接相連，非主十地區(qū)之間不可以直接互換數(shù)據(jù)。所有區(qū) 域間通信都必須經(jīng)過骨干區(qū)域，所有非骨干區(qū)域都必須與骨干區(qū)域直接相連，非 骨干區(qū)域之間不能直接交換數(shù)據(jù)。OSPF不是網(wǎng)絡(luò)路由協(xié)議的唯一選擇，相比于其他內(nèi)部路由協(xié)議，OSPF也有不足 之處，OSPF不支持動態(tài)負(fù)載均衡，配置動態(tài)負(fù)載均衡需要人們來手工配

60、置優(yōu)先 級，同時OSPF不支持自動匯總，路由自動匯總需要人工配置，增大了工作量， 然而，現(xiàn)如今，OSPF協(xié)議已經(jīng)成了大中型局域網(wǎng)絡(luò)的最佳選擇，小型局域網(wǎng)同 樣可以采用OSPF作為內(nèi)部路由協(xié)議，網(wǎng)絡(luò)拓?fù)浜唵?，范圍小的校園網(wǎng)除了可選 擇OSPF外，還可以選擇使用靜態(tài)路由，靜態(tài)路由同樣可以保證網(wǎng)絡(luò)的平穩(wěn)運(yùn)行， 且不會占有系統(tǒng)開銷。在物理層正常的情況下，靜態(tài)路由一經(jīng)配置立即生效，不 存在收斂時間，靜態(tài)路由同樣被所有網(wǎng)絡(luò)設(shè)備所支持。第五章服務(wù)器平臺的設(shè)計校園網(wǎng)的服務(wù)器平臺是校園網(wǎng)建設(shè)中的重點(diǎn)項目，它提供校園網(wǎng)中最基本的 功能，是提供校園網(wǎng)應(yīng)用中的各種基本服務(wù)的基礎(chǔ)設(shè)施，所以服務(wù)器平臺的建設(shè) 在校園網(wǎng)建設(shè)