某大學(xué)組網(wǎng)方案

目錄

概述.....................................................................-1-

項(xiàng)目背景.................................................................-1-

—.需求分析.................................................................-2-

1.建網(wǎng)需求.............................................................-2-

2.信息點(diǎn)的分布.........................................................-2-

3.校園網(wǎng)基本應(yīng)用.......................................................-4-

三.校園網(wǎng)建設(shè)原則.........................................................-5-

1.設(shè)計(jì)原則............................................................-5-

2.模塊化設(shè)計(jì)..........................................................-6-

3.層次化網(wǎng)絡(luò)設(shè)計(jì)......................................................-6-

核心層...............................................................-7-

匯聚層..............................................................~7-

接入層...............................................................-7-

層次化網(wǎng)絡(luò)設(shè)計(jì)模型的優(yōu)點(diǎn)............................................-8-

4.標(biāo)準(zhǔn)化、規(guī)范化原則...................................................-8-

標(biāo)準(zhǔn)化原則...........................................................-8-

規(guī)范化原則...........................................................-8-

四.方案設(shè)計(jì)...............................................................-8-

1.總體方案設(shè)計(jì)........................................................-8-

2.方案說(shuō)明............................................................-9-

A.高性能..........................................................-10-

B.全面支持IPV6.....................................................................................................-10-

C.高可靠性、完整的冗余設(shè)計(jì).......................................-11-

D.高性?xún)r(jià)比、可擴(kuò)展性強(qiáng)...........................................-11-

E.完善的安全機(jī)制.................................................-11-

F.易維護(hù)..........................................................-11-

(2)宿舍匯聚方案.....................................................-12-

(3)無(wú)線網(wǎng)絡(luò)設(shè)計(jì).....................................................-15-

五.路由設(shè)計(jì)和IP地址以及VLAN規(guī)劃.....................................-16-

1.路由協(xié)議：ospf.........................................................................................................-16-

0SPF協(xié)議簡(jiǎn)單介紹................................................-16-

0SPF協(xié)議應(yīng)用場(chǎng)合................................................-16-

0SPF協(xié)議安全性..................................................-16-

0SPF協(xié)議的穩(wěn)定性................................................-17-

0SPF區(qū)域劃分.....................................................-17-

2.出口路由設(shè)計(jì)......................................................-18-

3.到分校區(qū)路由......................................................-19-

4.接入層到匯聚層....................................................-20-

5.匯聚層到核心層....................................................-20-

6.IP地址規(guī)劃.......................................................-20-

IP地址規(guī)劃目標(biāo)..................................................-20-

IP地址規(guī)劃原則..................................................-20-

校園網(wǎng)地址規(guī)劃方案...............................................-20-

7.VLAN劃分...........................................................-21-

VLAN的簡(jiǎn)單介紹..................................................-21-

劃分VLAN的好處..................................................-21-

VLAN劃分方案.....................................................-22-

六.網(wǎng)絡(luò)安全............................................................-23-

1.物理安全..........................................................-23-

2.防火墻............................................................-23-

3.802.IX認(rèn)證.......................................................-24-

4.ospf啟用認(rèn)證.....................................................-24-

5.IDS(入侵防御系統(tǒng))...............................................-24-

6.ACL(access-list)................................................-24-

7.防DHCP攻擊.......................................................-24-

8.授權(quán)IP管理.......................................................-25-

9.防ARP欺騙........................................................-26-

10.STP的BPDU報(bào)文防衛(wèi)和過(guò)濾.......................................-27-

七.技術(shù)選型............................................................-28-

1.路由協(xié)議。spf.....................................................-28-

2.地址轉(zhuǎn)換NAT.......................................................-28-

3.VLAN...............................................................-29-

5.VRRP(VirtualRouterRedundancyProtocol)........................-29-

6.DMZ(DemilitarizedZone)..........................................-29-

7.QOS................................................................-30-

8.VPN................................................................-30-

9.802.lx.............................................................-30-

10.802.IQ............................................................-31-

A.設(shè)備與軟件選型........................................................-31-

設(shè)備選型..............................................................-31-

1.核心交換機(jī)(RG-S8606).......................................-31-

2.匯聚層交換機(jī)(RG-S5760.RG-S5750)...........................-36-

3.接入層交換機(jī)(RG-S2600).....................................-45-

4.路由器(NPE50-20)..............................................-49-

5.防火墻(RGTMLL1800)..........................................-53-

6.無(wú)線AP(RG-AP300)............................................-56-

7.IDS(RG-IDS1000)...............................................-60-

LRG-SAM平臺(tái).....................................................-61-

2.RG-SNC智能網(wǎng)絡(luò)指揮官..........................................-64-

九.成本估算..............................................................—65-

十.小組成員及分工...........................................錯(cuò)誤！未定義書(shū)簽。

附錄.....................................................................-67-

1.IP地址與VLAN規(guī)劃................................................-67-

2.常見(jiàn)介質(zhì).........................................................-73-

概述

項(xiàng)目背景

校園鳥(niǎo)瞰圖

某大學(xué)，是一個(gè)綜合性大學(xué)，在全國(guó)在文化和科研實(shí)力都具有一定實(shí)力，現(xiàn)在由于

學(xué)生的擴(kuò)招，新建了一個(gè)可以容納一萬(wàn)人的新校區(qū)，本次項(xiàng)目建設(shè)在跟老校區(qū)的網(wǎng)絡(luò)接入盡

量考慮兼容性，由于學(xué)校師生對(duì)網(wǎng)絡(luò)的需求日益增長(zhǎng)，本次項(xiàng)目建設(shè)實(shí)現(xiàn)核心到匯聚萬(wàn)兆貸

款，接入到匯聚是千兆帶寬，百兆到桌面，充分讓師生體驗(yàn)到最快速的網(wǎng)絡(luò)速度，以滿(mǎn)足教

學(xué)和娛樂(lè)等日常網(wǎng)絡(luò)行為。本次項(xiàng)目設(shè)備完全使用星網(wǎng)銳捷高性能網(wǎng)絡(luò)產(chǎn)品，在設(shè)計(jì)的時(shí)候

考慮網(wǎng)絡(luò)的冗余性，安全性，流量控制和計(jì)費(fèi)等。

.需求分析

1.建網(wǎng)需求

一、高帶寬高性能網(wǎng)絡(luò)。為師生構(gòu)建一個(gè)高速、開(kāi)放、的多媒體綜合信息服務(wù)平臺(tái)是每

一個(gè)新時(shí)代的重點(diǎn)高校的責(zé)任。建立開(kāi)放的數(shù)字圖書(shū)館、點(diǎn)播視聽(tīng)、多媒體教學(xué)都需要更大

的帶寬。不僅如此，近年來(lái)XX大學(xué)因擴(kuò)招，學(xué)生人數(shù)不斷增加，學(xué)生上網(wǎng)的需求各異，需

要一個(gè)高帶寬的網(wǎng)絡(luò)來(lái)滿(mǎn)足老師和學(xué)生的網(wǎng)絡(luò)需求。需要實(shí)現(xiàn)骨干萬(wàn)兆，接入到匯聚千兆。

二、防病毒抗攻擊性。越來(lái)越多的網(wǎng)絡(luò)病毒不僅造成了網(wǎng)絡(luò)流量的異常增加，而且傳播

迅速，經(jīng)常造成全網(wǎng)的崩潰。要求網(wǎng)絡(luò)要對(duì)突發(fā)性的安全事件處理能力強(qiáng)，就算遇到網(wǎng)絡(luò)黑

客的攻擊，網(wǎng)絡(luò)需要具有病毒防御性和抗攻擊能力。

三、方便管理。校園網(wǎng)進(jìn)行合理劃分區(qū)域，并實(shí)現(xiàn)不同部門(mén)在不同的VLAN,不同部門(mén)

之間不能直接訪問(wèn)，不同用戶(hù)采取不同的計(jì)費(fèi)方式。

四、擴(kuò)展性。校園網(wǎng)它具有一定的試驗(yàn)和擴(kuò)展需求，所以網(wǎng)絡(luò)還必須有一定的靈活性和

擴(kuò)展性。比如最近IPV6技術(shù)已經(jīng)開(kāi)始使用了，在不久的將來(lái)IPV6將是占據(jù)網(wǎng)絡(luò)的主要地位,

所以在設(shè)計(jì)網(wǎng)絡(luò)的時(shí)候盡量考慮對(duì)IPV6的支持性。

五、實(shí)用性高性?xún)r(jià)比。由于學(xué)校網(wǎng)絡(luò)是一個(gè)非盈利網(wǎng)絡(luò)，設(shè)計(jì)網(wǎng)絡(luò)方案必須充分考慮成

本。

六、先進(jìn)性。網(wǎng)絡(luò)采取先進(jìn)的技術(shù)和方案實(shí)現(xiàn)網(wǎng)絡(luò)的高用性，在圖書(shū)館和會(huì)議室實(shí)現(xiàn)無(wú)

線網(wǎng)絡(luò)覆蓋。

七、冗余性穩(wěn)定性。校園網(wǎng)絡(luò)是教學(xué)和辦公以及學(xué)生實(shí)驗(yàn)等的必須的網(wǎng)絡(luò)，教室和學(xué)生

都離不開(kāi)網(wǎng)絡(luò)，網(wǎng)絡(luò)的冗余性必須充分考慮，實(shí)現(xiàn)校園網(wǎng)絡(luò)穩(wěn)定運(yùn)行，不影響正常教學(xué)和辦

公以及學(xué)生上網(wǎng)。

2.信息點(diǎn)的分布

學(xué)生宿舍A:

學(xué)生寢室A1、2、3、4、5棟樓，每棟樓12層，每層24個(gè)寢室，每個(gè)寢室分布一個(gè)信息點(diǎn)。

樓號(hào)樓層數(shù)寢室數(shù)量每層信息點(diǎn)信息點(diǎn)總數(shù)

1號(hào)樓122424288

2號(hào)樓122424288

3號(hào)樓122124288

4號(hào)樓122424288

5號(hào)樓122124288

學(xué)生宿舍B:

學(xué)生寢室B6、7、8、9棟樓，每棟樓6層，每層24個(gè)寢室，每個(gè)寢室分布一個(gè)信息點(diǎn)。

樓號(hào)樓層數(shù)寢室數(shù)量每層信息點(diǎn)信息點(diǎn)總數(shù)

6號(hào)樓62424144

7號(hào)樓62424144

8號(hào)樓62424144

9號(hào)樓62424144

實(shí)驗(yàn)樓：

實(shí)驗(yàn)樓1、2、3、4、5、6、7號(hào)樓，有96個(gè)實(shí)驗(yàn)室，每個(gè)實(shí)驗(yàn)室平均分布2個(gè)信息點(diǎn)。

1、2、3號(hào)樓是計(jì)算機(jī)實(shí)驗(yàn)樓，平均每個(gè)實(shí)驗(yàn)室有40臺(tái)PC,4、5、6、7是其他實(shí)驗(yàn)樓，平

均每個(gè)實(shí)驗(yàn)室有10臺(tái)PC。

樓號(hào)樓層數(shù)每層實(shí)驗(yàn)室數(shù)量每個(gè)實(shí)驗(yàn)室信息點(diǎn)數(shù)量信息點(diǎn)總數(shù)

實(shí)驗(yàn)1號(hào)樓44232

實(shí)驗(yàn)2號(hào)樓44232

實(shí)驗(yàn)3號(hào)樓44232

實(shí)驗(yàn)4號(hào)樓46248

實(shí)驗(yàn)5號(hào)樓46248

實(shí)驗(yàn)6號(hào)樓46248

實(shí)驗(yàn)7號(hào)樓46248

行政樓：

行政樓1、2號(hào)樓，每棟樓4層，每層15個(gè)辦公室，每個(gè)辦公室分布2個(gè)信息點(diǎn)。

樓號(hào)樓層數(shù)每層辦公室數(shù)量平均每個(gè)辦公室信息點(diǎn)數(shù)信息點(diǎn)總數(shù)

量

行政1號(hào)樓4152120

行政2號(hào)樓4152120

教學(xué)樓群：

教學(xué)樓1、2、3、4號(hào)樓,每棟樓4層，每層8個(gè)教室，每個(gè)教室分布2個(gè)信息點(diǎn)。

樓號(hào)樓層數(shù)每層教室數(shù)量每個(gè)教室信息點(diǎn)總數(shù)信息點(diǎn)總數(shù)

教學(xué)1號(hào)樓48264

教學(xué)2號(hào)樓48264

教學(xué)3號(hào)樓48264

教學(xué)4號(hào)樓18264

圖書(shū)館：

固定的信息點(diǎn)40個(gè),其他用無(wú)線網(wǎng)絡(luò)。

樓號(hào)樓層數(shù)每層樓信息點(diǎn)總數(shù)信息點(diǎn)總數(shù)

圖書(shū)館5840

會(huì)議大廳：

固定的信息點(diǎn)10個(gè)，其他用無(wú)線網(wǎng)絡(luò)。

樓號(hào)樓層數(shù)每層樓信息點(diǎn)總數(shù)信息點(diǎn)總數(shù)

會(huì)議大廳21020

體育館：

固定信息點(diǎn)20個(gè)。

信息中心：

固定信息點(diǎn)40個(gè)。

3.校園網(wǎng)基本應(yīng)用

作為校園網(wǎng)，需要連接多少個(gè)節(jié)點(diǎn)，怎樣使用各種網(wǎng)絡(luò)設(shè)備使分布在不同地理位置的

節(jié)點(diǎn)連接到一個(gè)統(tǒng)一的網(wǎng)絡(luò)中，怎樣使整個(gè)網(wǎng)絡(luò)上的節(jié)點(diǎn)相互連通，這些問(wèn)題僅僅是校園網(wǎng)

需要解決問(wèn)題中的一部分，更重要的問(wèn)題如何將這些資源有序地組織起來(lái)，需要實(shí)現(xiàn)什么功

能，以滿(mǎn)足現(xiàn)在和未來(lái)在教學(xué)、科研、管理、交流等方面的需求。形成在校園內(nèi)部、校園與

外部進(jìn)行信息溝通的體系，建立滿(mǎn)足教學(xué)、科研和管理需求的計(jì)算機(jī)環(huán)境，為學(xué)校各種人員

提供充分的網(wǎng)絡(luò)信息服務(wù)，在網(wǎng)絡(luò)環(huán)境中進(jìn)行教學(xué)、研究、收集信息等工作。

校園需要的基本功能有：

?電子郵件系統(tǒng)：主要進(jìn)行與同行交往、開(kāi)展技術(shù)合作、學(xué)術(shù)交流等活動(dòng)；

?文件傳輸FTP：主要利用FTP服務(wù)獲取重要的科技資料和技術(shù)文擋；

?INTERNET服務(wù)：學(xué)?？梢越⒆约旱闹黜?yè)，利用外部網(wǎng)頁(yè)進(jìn)行學(xué)校宣傳，提供各類(lèi)

咨詢(xún)信息等，利用內(nèi)部網(wǎng)頁(yè)進(jìn)行管理，例如發(fā)布通知、收集學(xué)生意見(jiàn)等。

?計(jì)算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)；

?圖書(shū)館訪問(wèn)系統(tǒng)，用于計(jì)算機(jī)查詢(xún)、計(jì)算機(jī)檢索、計(jì)算機(jī)閱讀等；

?其他應(yīng)用，如大型分布式數(shù)據(jù)庫(kù)系統(tǒng)、超性能計(jì)算資源共享、管理系統(tǒng)、視頻會(huì)議

等。

寬帶上網(wǎng)

在信息化的今天，人們一經(jīng)把網(wǎng)絡(luò)當(dāng)成獲取信息的重要的源泉，而WEB應(yīng)用則起到了

舉足輕重的作用。絕大多數(shù)的人都是通過(guò)瀏覽WEB頁(yè)面來(lái)獲取新知。校園網(wǎng)應(yīng)該是寬帶上網(wǎng)

的前沿陣地，學(xué)生們可以通過(guò)網(wǎng)絡(luò)獲取豐富的知識(shí)，增加與其他學(xué)校學(xué)生，甚至其他國(guó)家學(xué)

生交流的機(jī)會(huì)。寬帶的網(wǎng)絡(luò)相比窄帶的撥號(hào)有著非常大的優(yōu)勢(shì)，通過(guò)寬帶上網(wǎng)就能夠真正能

實(shí)現(xiàn)網(wǎng)上沖浪。

視頻點(diǎn)播

VOD(VideoonDemand)是視頻點(diǎn)播技術(shù)的簡(jiǎn)稱(chēng)，也稱(chēng)為交互式電視點(diǎn)播系統(tǒng)，意即根

據(jù)用戶(hù)的需要播放相應(yīng)的視頻節(jié)目，從根本上改變了用戶(hù)過(guò)去被動(dòng)式看電視的不足。當(dāng)您打

開(kāi)電視，您可以不看廣告，不為某個(gè)節(jié)目趕時(shí)間，隨時(shí)直接點(diǎn)播希望收看的內(nèi)容，就好像播

放剛剛放進(jìn)自己家里錄像機(jī)或VCD機(jī)中的一部新片子，但是您又不需要購(gòu)買(mǎi)錄像帶或者VCD

盤(pán)，也不需要錄像機(jī)或者VCD機(jī)。這就是信息技術(shù)帶給您的夢(mèng)想，它通過(guò)多媒體網(wǎng)絡(luò)將視頻

節(jié)目按照個(gè)人的意愿送到千家萬(wàn)戶(hù)。

對(duì)于校園網(wǎng)的用戶(hù)，學(xué)?？梢蚤_(kāi)展多媒體視頻點(diǎn)播教學(xué)服務(wù)。通過(guò)把好的課件放到VOD

服務(wù)器上，讓學(xué)生們進(jìn)行點(diǎn)播，可以靈活的開(kāi)展教學(xué)服務(wù)，把枯燥的課堂教學(xué)轉(zhuǎn)變成為豐富

的媒體服務(wù)。

遠(yuǎn)程教育

21世紀(jì)的熱點(diǎn)是遠(yuǎn)程教育，這已成為人們的共識(shí)。遠(yuǎn)程教育的發(fā)展正在引發(fā)教育的又

一輪變革，民主的教育模式和信息技術(shù)手段已經(jīng)被網(wǎng)校很好地利用，由此帶來(lái)的教學(xué)內(nèi)容改

革和教法改革成為諸多網(wǎng)校吸引生源的法寶。

某高校校園網(wǎng)全面建成后，完全可以建立遠(yuǎn)程教育體系，實(shí)現(xiàn)對(duì)社會(huì)的開(kāi)放，讓社會(huì)

了解學(xué)校，讓更多希望上學(xué)的人有接受遠(yuǎn)程教育的機(jī)會(huì)。

三.校園網(wǎng)建設(shè)原則

1.設(shè)計(jì)原則

校園網(wǎng)建設(shè)是一項(xiàng)大型網(wǎng)絡(luò)工程，各個(gè)學(xué)校需要根據(jù)自身的實(shí)際情況來(lái)制定網(wǎng)絡(luò)設(shè)計(jì)

原則。，該學(xué)校網(wǎng)絡(luò)需要完成包括圖書(shū)信息、學(xué)校行政辦公等綜合業(yè)務(wù)信息管理系統(tǒng)，為廣

大教職工、科研人員和學(xué)生提供一個(gè)在網(wǎng)絡(luò)環(huán)境下進(jìn)行教學(xué)和科研工作的先進(jìn)平臺(tái)。校園網(wǎng)

覆蓋整個(gè)學(xué)校校園，在網(wǎng)絡(luò)性能上應(yīng)該考慮以卜幾個(gè)要求：

實(shí)用性和經(jīng)濟(jì)性

由于學(xué)校資金并不是很充足，不可能一步到位。另一方面，學(xué)校的應(yīng)用水平較參差不

齊，某些系統(tǒng)即使安裝了也利用不起來(lái)，因此，在校園網(wǎng)的建設(shè)過(guò)程中，系統(tǒng)建設(shè)應(yīng)始終貫

徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則。

可擴(kuò)展性和可升級(jí)性

系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信

息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。設(shè)備應(yīng)選

用符合國(guó)際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長(zhǎng)的生命力和擴(kuò)展能力，滿(mǎn)足將來(lái)系統(tǒng)升

級(jí)的要求。

易管理、易維護(hù)

由于校園骨干網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，應(yīng)用豐富而復(fù)雜，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性,

網(wǎng)管系統(tǒng)具有監(jiān)測(cè)、故障診斷、故障隔離、過(guò)濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。同

時(shí)應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護(hù)。

先進(jìn)性、成熟性

當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)備更新淘汰也很快。這就要求校園網(wǎng)建設(shè)在系統(tǒng)設(shè)

計(jì)時(shí)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。只有采用

當(dāng)前符合國(guó)際標(biāo)準(zhǔn)的成熟先進(jìn)的技術(shù)和設(shè)備，才能確保校園網(wǎng)絡(luò)能夠適應(yīng)將來(lái)網(wǎng)絡(luò)技術(shù)發(fā)展

的需要，保證在未來(lái)若干年內(nèi)占主導(dǎo)地位。

安全性、保密性

網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性。由于校園骨干網(wǎng)絡(luò)為多個(gè)用戶(hù)內(nèi)部網(wǎng)提供互聯(lián)并支持

多種業(yè)務(wù)，要求能進(jìn)行靈活有效的安全控制，同時(shí)還應(yīng)支持虛擬專(zhuān)網(wǎng)，以提供多層次的安全

選擇。在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系

統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)

據(jù)存取的權(quán)限控制等。

靈活性、綜合性

通過(guò)采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，滿(mǎn)足系統(tǒng)及用戶(hù)各種不同的需求，適應(yīng)不斷變

革中的要求。以滿(mǎn)足系統(tǒng)目標(biāo)與功能為目標(biāo)，保證總體方案的設(shè)計(jì)合理，滿(mǎn)足用戶(hù)的需求，

同時(shí)便于系統(tǒng)使用過(guò)程中的維護(hù)，以及今后系統(tǒng)的二次開(kāi)發(fā)與移植。

QoS（質(zhì)量服務(wù)）保證

教育在語(yǔ)音和視頻等多媒體應(yīng)用方面一直走在社會(huì)的前列，這類(lèi)應(yīng)用對(duì)服務(wù)質(zhì)量的要

求很高。QoS（質(zhì)量服務(wù)）需要在網(wǎng)絡(luò)的端到端進(jìn)行全盤(pán)計(jì)劃和實(shí)施，由于各接入網(wǎng)絡(luò)和端

設(shè)備的復(fù)雜性與多樣性，骨干網(wǎng)必須盡可能地支持各種質(zhì)量服務(wù)技。

2.模塊化設(shè)計(jì)

所謂模塊化就是將把整個(gè)網(wǎng)絡(luò)按功能和安全需求分為若干個(gè)組件，這些組件之間有

一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡(luò)設(shè)計(jì)。模塊化設(shè)計(jì)的好處在于：

i.解決各網(wǎng)絡(luò)之間的沖突問(wèn)題；

2.簡(jiǎn)化安裝和后臺(tái)設(shè)備管理；

3.易于故障檢測(cè)和分離問(wèn)題；

4.易于執(zhí)行不同類(lèi)型的服務(wù)和安全方針；

5.易于擴(kuò)展和/或代替原來(lái)的技術(shù)。

3.層次化網(wǎng)絡(luò)設(shè)計(jì)

本次校園網(wǎng)絡(luò)設(shè)計(jì)按照業(yè)界通用的3層網(wǎng)絡(luò)模型設(shè)計(jì)（核心層一-匯聚層-一接入層）

層次化網(wǎng)絡(luò)設(shè)計(jì)模型。

三層模型示意圖

核心層

匯聚層

接入層

圖3.3.1

核心層

核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個(gè)網(wǎng)絡(luò)傳

到另一個(gè)網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。匯聚層到核心層要

具備冗余傳輸鏈路，任何單條鏈路斷連不影響網(wǎng)絡(luò)的可用性。作為所有網(wǎng)絡(luò)流量的傳輸中樞,

核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負(fù)載均衡或負(fù)載分

擔(dān)特性實(shí)現(xiàn)負(fù)荷均衡。此外，為了避免網(wǎng)元故障對(duì)網(wǎng)絡(luò)造成沖擊，需要網(wǎng)絡(luò)采用支持快速聚

合的特性，一旦主用通路斷開(kāi)，可以很快的切換到備用通路。

匯聚層

匯聚層顧名思義就是作為訪問(wèn)層到骨干層的匯聚，通常為訪問(wèn)層與骨干層實(shí)現(xiàn)基于策

略的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機(jī)組成，提供對(duì)網(wǎng)絡(luò)流量模式控制、服務(wù)訪問(wèn)控制、

QoS、定義路由路徑度量(pathmetric)和路由協(xié)議網(wǎng)絡(luò)通告控制。

接入層

接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過(guò)保護(hù)

端口技術(shù)實(shí)現(xiàn)子網(wǎng)之間的隔離。接入層主要功能在于隔離模塊間的廣播流量，避免不同模塊

之間相互影響。接入層主要通過(guò)二層交換機(jī)組成。

層次化網(wǎng)絡(luò)設(shè)計(jì)模型的優(yōu)點(diǎn)

“核心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)：

?高可擴(kuò)展性一遵循層次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有伸縮性和可管理性，因?yàn)楦鞴?/p>

能網(wǎng)絡(luò)通過(guò)模塊化實(shí)現(xiàn)，潛在問(wèn)題更易于識(shí)別。典型的層次化網(wǎng)絡(luò)設(shè)計(jì)例子就是PSTN

網(wǎng)絡(luò)。

?易于實(shí)施一每一層的功能性清晰劃分，簡(jiǎn)化每一層的實(shí)現(xiàn)。

?易于故障排除一每一層的功能經(jīng)過(guò)良好定義，網(wǎng)絡(luò)更為簡(jiǎn)單，有助于故障的隔離。模

塊化設(shè)計(jì)也有效限制故障影響范圍。

?易于規(guī)劃和管理一層次化的功能劃分，整個(gè)網(wǎng)絡(luò)規(guī)劃和管理更為簡(jiǎn)單。

4.標(biāo)準(zhǔn)化、規(guī)范化原則

標(biāo)準(zhǔn)化原則

基于公司的安全方案模型，采用符合安全技術(shù)國(guó)際標(biāo)準(zhǔn)(ISO-17799,ISO-7498-2)的技

術(shù)實(shí)現(xiàn)安全方案設(shè)計(jì)。主要包括：漏洞掃描和安全審計(jì)、系統(tǒng)安全評(píng)估、系統(tǒng)安全咨詢(xún)服務(wù)、

系統(tǒng)安全策略制定、系統(tǒng)安全加固、系統(tǒng)安全產(chǎn)品的配置和應(yīng)用、系統(tǒng)安全培訓(xùn)、系統(tǒng)安全

通告、系統(tǒng)安全緊急響應(yīng)等在內(nèi)的全方位的安全防護(hù)。

規(guī)范化原則

按照安全模型的指導(dǎo)，從健康檢查階段、評(píng)估分析階段、規(guī)劃設(shè)計(jì)階段、安全實(shí)施、

運(yùn)維管理、安全培訓(xùn)整個(gè)安全周期角度進(jìn)行安全方案的設(shè)計(jì)和實(shí)施。

四.方案設(shè)計(jì)

L總體方案設(shè)計(jì)

RG-IALL1800

聯(lián)通

：G-IDS1000NPE50-20電信

應(yīng)用服務(wù)器群CERNET

分校區(qū)

1000MUTP

10G單模光纖

1000M

單模光纖

學(xué)生晨室A學(xué)組寢室B

RG-S5750RG-S575010G多模光纖

1000M

交換機(jī)RG-S2600多模光纖

1000M線路

教學(xué)樓、圖書(shū)館、1、2號(hào)行政樓1-7號(hào)實(shí)照樓1-5號(hào)學(xué)生寢室樓6-9號(hào)學(xué)生寢室格

會(huì)議大廳、體育館堆疊堆疊堆疊

堆疊

圖4.1.1

2.方案說(shuō)明

該學(xué)院校園網(wǎng)絡(luò)的主要應(yīng)用在于實(shí)驗(yàn)室、行政樓、教室、宿舍以及圖書(shū)館、會(huì)議大廳等。

信息中心兩臺(tái)核心交換機(jī)采用鏈路捆綁技術(shù)實(shí)現(xiàn)冗余。

物理布線和設(shè)備方面：

核心交換機(jī)(RG-S8606)通過(guò)鏈路捆綁實(shí)現(xiàn)鏈路的冗余。

學(xué)生宿舍由于PC接入量和數(shù)據(jù)量很大，為了規(guī)劃成一個(gè)穩(wěn)定、高速的校園網(wǎng)絡(luò)，本次

方案的兩臺(tái)核心交換機(jī)(RG-S8606)都以萬(wàn)兆單模光纖下連學(xué)生宿舍A和學(xué)生宿舍B的匯

聚交換機(jī)(RG-S5750)。學(xué)生宿舍A(和B)區(qū)的接入層交換機(jī)(RG-S2600)經(jīng)過(guò)堆疊過(guò)后，

根據(jù)具體情況，分別用1000M雙絞線或者1000M光纖兩條線路上連到學(xué)生宿舍A、B的兩臺(tái)

匯聚交換機(jī)，以實(shí)現(xiàn)數(shù)據(jù)的分流和鏈路的冗余。

實(shí)驗(yàn)樓的接入層交換機(jī)(RG-S2600)經(jīng)過(guò)堆疊，1、2、3、4、5號(hào)樓通過(guò)1000M雙絞線，

6、7號(hào)樓通過(guò)1000M多模光纖上連到實(shí)驗(yàn)樓的匯聚層交換機(jī)(RG-S5760),實(shí)驗(yàn)樓的匯聚交

換機(jī)用1000M多模光纖上連到兩個(gè)核心交換機(jī)。

教學(xué)樓的接入層交換機(jī)(RG-S2600)經(jīng)過(guò)堆疊，用1000M雙絞線上連到教學(xué)樓的匯聚層

交換機(jī)(RG-S5760),教學(xué)樓的匯聚交換機(jī)用1000M多模光纖上連到兩個(gè)核心交換機(jī)。

圖書(shū)館的接入層交換機(jī)(RG-S2600)經(jīng)過(guò)堆疊，用1000M雙絞線上連到教學(xué)樓的匯聚層

交換機(jī)(RG-S5760),教學(xué)樓的匯聚交換機(jī)用1000M多模光纖上連到兩個(gè)核心交換機(jī)。

會(huì)議大廳的接入層交換機(jī)(RG-S2600),用1000M雙絞線上連到教學(xué)樓的匯聚層交換機(jī)

(RG-S5760),教學(xué)樓的匯聚交換機(jī)用1000M多模光纖上連到兩個(gè)核心交換機(jī)。

體育館的接入層交換機(jī)(RG-S2600),用1000M多模光纖上連到教學(xué)樓的匯聚層交換機(jī)

(RG-S5760),教學(xué)樓的匯聚交換機(jī)用1000M多模光纖上連到兩個(gè)核心交換機(jī)。

行政樓的接入層交換機(jī)(RG-S2600),用1000M雙絞線上連到行政樓的匯聚層交換機(jī)

(RG-S5760),行政樓的匯聚交換機(jī)用1000M多模光纖上連到兩個(gè)核心交換機(jī)。

信息中心的接入層交換機(jī)(RG-S2600),用1000M雙絞線上連到核心交換機(jī)。

分校區(qū)直接租用運(yùn)行商的光纖連接到核心交換機(jī)。

出口用兩個(gè)核心交換機(jī)用1000M雙絞線上連一個(gè)防火墻(RG-WALL1800),防火墻1000M

雙絞線上連路由器(NPE50-20),路由器連接三個(gè)網(wǎng)絡(luò)的出口。

邏輯拓?fù)浜图夹g(shù)方面：

匯聚層以下采用二層通信，匯聚層以上采用純?nèi)龑油ㄐ拧?/p>

學(xué)生宿舍A、B的兩臺(tái)匯聚交換機(jī)和下連的接入層交換機(jī)，采用MST、VRRP技術(shù)，使其

達(dá)到分流、冗余的目的。

所有匯聚交換機(jī)到核心設(shè)備之間運(yùn)行OSPF協(xié)議，通過(guò)OSPF的SPF算法，交換機(jī)會(huì)自動(dòng)

實(shí)現(xiàn)負(fù)載均衡利鏈路冗余。

分校區(qū)和一臺(tái)核心交換機(jī)之間互相指定靜態(tài)路由，既節(jié)約有限的帶寬，又簡(jiǎn)單實(shí)用。

(1)方案優(yōu)點(diǎn)和特點(diǎn)：

A.高性能

本方案是基于標(biāo)準(zhǔn)的二、三層以太網(wǎng)交換技術(shù)，技術(shù)成熟度非常高。學(xué)校網(wǎng)絡(luò)中心放置

路由交換機(jī)上行通過(guò)，在學(xué)院信息中心通過(guò)下行使千兆鏈路連接教學(xué)樓、行政樓、實(shí)驗(yàn)樓匯

聚交換機(jī)，下行萬(wàn)兆鏈路連接學(xué)生寢室A、B兩臺(tái)匯聚層交換機(jī)。RG-S5760和RG-S5750下

行100M光纖(或雙絞線)連接接入交換機(jī)RG-S2600,實(shí)現(xiàn)百兆交換到桌面，100M的帶寬可

充分滿(mǎn)足用戶(hù)高速上網(wǎng)，視頻點(diǎn)播等多種寬帶業(yè)務(wù)。核心交換機(jī)擁有1000M出口聯(lián)接校園網(wǎng)，

各層設(shè)備全部支持線速交換，給用戶(hù)提供了真正的高帶寬網(wǎng)絡(luò)，對(duì)未來(lái)高帶寬的寬帶業(yè)務(wù)提

供了強(qiáng)大的支撐能力，校園寬帶網(wǎng)的發(fā)展?jié)摿薮蟆?/p>

B.全面支持IPV6

本次方案中所選用的設(shè)備，RG-S8606,RG-S5760,RG-S5750,RG-S2600,NPE50-20,

RG-WALL1800全面支持IPV6。

相比IPV4,IPV6有很多優(yōu)點(diǎn):

(1)更大的地址空間。IPv4中規(guī)定1P地址長(zhǎng)度為32,即有2"32-1個(gè)地址；而IPv6

中IP地址的長(zhǎng)度為128,即有2128-1個(gè)地址?？鋸堻c(diǎn)說(shuō)就是，如果IPV6被廣泛應(yīng)用以后，

全世界的每一粒沙子都會(huì)有相對(duì)應(yīng)的?個(gè)IP地址。

(2)更小的路由表。IPv6的地址分配一開(kāi)始就遵循聚類(lèi)(Aggregation)的原則，這使得

路由器能在路由表中用?條記錄(Entry)表示一片子網(wǎng)，大大減小了路由器中路由表的長(zhǎng)度，

提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。

(3)增強(qiáng)的組播(Multicast)支持以及對(duì)流的支持(Flow-control)。這使得網(wǎng)絡(luò)上的多

媒體應(yīng)用有了長(zhǎng)足發(fā)展的機(jī)會(huì)，為服務(wù)質(zhì)量(QoS)控制提供了良好的網(wǎng)絡(luò)平臺(tái)。

(4)加入了對(duì)自動(dòng)配置(Auto-configuration)的支持。這是對(duì)DHCP協(xié)議的改進(jìn)和擴(kuò)展，

使得網(wǎng)絡(luò)(尤其是局域網(wǎng))的管理更加方便和快捷。

(5)更高的安全性。在使用IPv6網(wǎng)絡(luò)中，用戶(hù)可以對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行加密并對(duì)IP

報(bào)文進(jìn)行校驗(yàn)，這極大地增強(qiáng)了網(wǎng)絡(luò)安全。

從目前的趨勢(shì)來(lái)看，IPV4退出歷史舞臺(tái)已經(jīng)是注定的事實(shí)，新的IPV6即將取代IPV4。

特別是作為校園網(wǎng)絡(luò)，肯定是推行IPV6的先行地，本方案所用的設(shè)備都支持IPV6,為之后

IPV6的推行提供了硬件條件。

C.高可靠性、完整的冗余設(shè)計(jì)

核心設(shè)備采用雙電源，雙引擎，實(shí)現(xiàn)冗余。

教學(xué)樓、實(shí)驗(yàn)樓、行政樓的匯聚層交換機(jī)都采用兩條1000M線路上連兩臺(tái)核心設(shè)備，實(shí)

現(xiàn)鏈路冗余。

學(xué)生寢室A、B的兩臺(tái)匯聚層交換機(jī)采用兩條10G線路上連兩臺(tái)核心設(shè)備，實(shí)現(xiàn)鏈路冗

余。學(xué)生寢室A、B的若干接入層交換機(jī)經(jīng)過(guò)堆疊，都以?xún)蓷l1000M鏈路（光纖或雙絞線）

上連學(xué)生寢室A、B的兩臺(tái)匯聚層交換機(jī)，實(shí)現(xiàn)數(shù)據(jù)流量的分流和鏈路冗余。

D.高性?xún)r(jià)比、可擴(kuò)展性強(qiáng)

本次方案選用的以太網(wǎng)交換機(jī)全部基于標(biāo)準(zhǔn)的以太網(wǎng)交換技術(shù)，使用專(zhuān)用芯片技術(shù)，具

有極高的性?xún)r(jià)比，保證了整個(gè)網(wǎng)絡(luò)核心部分的穩(wěn)定、可靠和高性能。

核心交換機(jī)選用模塊化設(shè)計(jì)，用戶(hù)只需簡(jiǎn)單地添加端口模塊即可實(shí)現(xiàn)網(wǎng)絡(luò)的擴(kuò)容，完整

保護(hù)用戶(hù)投資。

接入層交換機(jī)RG-S2600支持堆疊技術(shù)，可以根據(jù)實(shí)際的需求擴(kuò)展1-4臺(tái)堆疊從機(jī)，這

樣，當(dāng)網(wǎng)絡(luò)需擴(kuò)容時(shí)，只需簡(jiǎn)單添加堆疊從機(jī)，網(wǎng)絡(luò)速度不會(huì)受到影響。

E.完善的安全機(jī)制

組網(wǎng)方案中各層設(shè)備通過(guò)支持基于SNMP的統(tǒng)一網(wǎng)絡(luò)管理，提供真正安全的網(wǎng)絡(luò)管理機(jī)

制。帶內(nèi)網(wǎng)管數(shù)據(jù)流承我關(guān)于網(wǎng)絡(luò)配置的全部信息，SNMP協(xié)議種基于加密、鑒權(quán)、認(rèn)證手

段把這部分信息保護(hù)起來(lái),實(shí)質(zhì)性地提高了網(wǎng)絡(luò)管理安全性,改善網(wǎng)絡(luò)可運(yùn)營(yíng)性和可管理性。

通過(guò)劃分VLAN的方式，實(shí)現(xiàn)二層端口的隔離，保證學(xué)生宿舍用戶(hù)之間不能互訪，而在

辦公區(qū)通過(guò)以部門(mén)劃分VLAN來(lái)實(shí)現(xiàn)一個(gè)部分的資源可以共享而不被其他部分所獲知保證資

料的安全性，以避免各種問(wèn)題的產(chǎn)生，同時(shí)銳捷交換機(jī)還支持保護(hù)端口功能，即便是同一個(gè)

VLAN中，只要開(kāi)啟了保護(hù)端口功能的兩個(gè)端口，這兩個(gè)端口也不能直接通信，這樣進(jìn)一步

減小了沖突域。

銳捷系列交換機(jī)提供了對(duì)802.IX的支持。IEEE802.lx認(rèn)證客戶(hù)端通過(guò)與銳捷公司的

IEEE802.lx認(rèn)證者交換機(jī)的配合，輕松實(shí)現(xiàn)用戶(hù)認(rèn)證。適用的操作系統(tǒng)包括Windows

98/ME/NT/2000、UNIX、LINUX等，為不同用戶(hù)提供了一個(gè)統(tǒng)一、易于操作的客戶(hù)端平臺(tái)。

F.易維護(hù)

銳捷交換機(jī)都經(jīng)過(guò)獨(dú)特設(shè)計(jì)具備防塵、防潮、防靜電等多種適于在樓道安裝和使用的特

點(diǎn)。而且具有強(qiáng)大的運(yùn)行維護(hù)能力，能有效降低運(yùn)營(yíng)商的運(yùn)維成本。支持RS-232本地管理

口及Telnet、WEB、SNMP代理。RG-S2600交換機(jī)能夠提供全中文菜單或圖形WEB配置方式，

為交換機(jī)的管理和配置提供了極大的便利?？赏ㄟ^(guò)WEB界面的機(jī)箱面板上指示燈直觀地了解

設(shè)備的運(yùn)行狀態(tài)。

（2）宿舍匯聚方案

由于本次方案充分考慮性能和冗余性,在設(shè)計(jì)學(xué)生宿舍網(wǎng)絡(luò)的時(shí)候充分考慮到網(wǎng)絡(luò)的穩(wěn)

定性和網(wǎng)絡(luò)的高帶寬性。在設(shè)計(jì)的時(shí)候在學(xué)生寢室A放置一臺(tái)匯聚交換機(jī)RG-S5750.在學(xué)生

宿舍B放置一臺(tái)匯聚交換機(jī)RG-5750。在設(shè)計(jì)的時(shí)候?qū)膳_(tái)交換機(jī)通過(guò)鏈路捆綁，將2個(gè)千

兆口捆綁成個(gè)AG端口。使用AG技術(shù)時(shí)根據(jù)項(xiàng)目的情況合理選擇負(fù)我均衡的方式，以免造

成鏈路帶寬的浪費(fèi)。學(xué)生寢室A的接入交換機(jī)每一棟都有12臺(tái)交換機(jī)，通過(guò)堆疊的方式來(lái)

實(shí)現(xiàn)將接入交換機(jī)看成一個(gè)邏輯的交換機(jī)，這樣可以增加背板帶寬，每一個(gè)堆疊以后的交換

機(jī)都通過(guò)2個(gè)出口跟匯聚連接。拓?fù)鋱D示4.2.1意如下：

宿舍拓?fù)涫疽鈭D

匯聚核心RG-S5750

MiPfii

千兆線谿

圖4.2.1

這樣設(shè)計(jì)以后交換機(jī)形成了環(huán)路，所以本方案采用了MSTP來(lái)解決環(huán)路。網(wǎng)關(guān)又需要冗

余技術(shù)。所以在學(xué)生宿舍這個(gè)區(qū)域本方案采用了先進(jìn)的使用MSTP+VRRP來(lái)實(shí)現(xiàn)基于VLAN的

鏈路冗余和網(wǎng)關(guān)冗余。示意圖4.2.2如下：

VRRP+MSTP技術(shù)示意圖

千兆線路

________百兆UTP

圖4.2.2

如圖4.2.2所示，這是一個(gè)大型園區(qū)網(wǎng)絡(luò)的某個(gè)匯聚節(jié)點(diǎn)的拓?fù)鋱D，共有兩個(gè)用戶(hù)VLAN：

VLAN10和VLAN20,在接入交換機(jī)S2600到三層匯聚使用了雙核心和雙鏈路備份。對(duì)于這種

類(lèi)型的網(wǎng)絡(luò)，希望得到最高的安全性和合理的流量分擔(dān)。為了實(shí)現(xiàn)這個(gè)目的，必須把MSTP

和VRRP結(jié)合使用。如圖4.2.3和4.2.4所示。

在VLAN100的實(shí)例中匯聚A是主網(wǎng)關(guān)和根橋，匯聚B是備用網(wǎng)關(guān)和備用根橋。

在VLAN200的實(shí)例中匯聚B是主網(wǎng)關(guān)和根橋，匯聚A是備用網(wǎng)關(guān)和備用根橋。

在本次方案的具體設(shè)計(jì)中，我們每一個(gè)接入交換機(jī)都是劃分成為了一個(gè)VLAN,每一個(gè)

堆疊交換機(jī)都有6臺(tái)接入交換機(jī)，就是6個(gè)VLAN,在設(shè)計(jì)的時(shí)候讓其中3個(gè)VLAN的主網(wǎng)關(guān)

是A,3個(gè)VLAN的主網(wǎng)關(guān)是B。

VLAN100的網(wǎng)關(guān)根橋示意圖

主同關(guān)+板橋用同關(guān)+備用板橋

RG-S5760

VLAN100

千兆線路

________百兆UTP

圖4.2.3

VLAN200的網(wǎng)關(guān)根橋示意圖

百兆UTP

圖4.2.4

本方案的優(yōu)點(diǎn)：

通過(guò)示意圖可以看出，不同的VLAN的主網(wǎng)關(guān)和主根橋是不一樣,通過(guò)這種方式兩個(gè)VLAN

的用戶(hù)的數(shù)據(jù)流量分別通過(guò)不同的上行鏈路和網(wǎng)關(guān)進(jìn)入園區(qū)網(wǎng)絡(luò)，實(shí)現(xiàn)了鏈路和網(wǎng)關(guān)的負(fù)載

均衡。同時(shí)在故障出現(xiàn)時(shí)，MSTP保障二層冗余鏈路切換功能，而VRRP保證備用網(wǎng)關(guān)的倒換，

兩種技術(shù)被有機(jī)的結(jié)合，從而完美的解決了這類(lèi)網(wǎng)絡(luò)的冗余問(wèn)題。

(3)無(wú)線網(wǎng)絡(luò)設(shè)計(jì)

本次方案在設(shè)計(jì)之初考慮到網(wǎng)絡(luò)的先進(jìn)性和適用性，在信息高速發(fā)展的今天，無(wú)線網(wǎng)絡(luò)

的應(yīng)用越來(lái)越廣泛，無(wú)線網(wǎng)絡(luò)的優(yōu)勢(shì)也非常明顯，相比傳統(tǒng)的有線網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)有更好的

移動(dòng)性和高可用性。像在學(xué)校的會(huì)議室由于開(kāi)會(huì)的人員都是移動(dòng)的人群，沒(méi)有固定的人群，

開(kāi)會(huì)需要做很多筆記，信息時(shí)代很多人就用筆記本來(lái)記錄會(huì)議內(nèi)容，所以的話在會(huì)議室非常

有必要使用無(wú)線網(wǎng)絡(luò)?，F(xiàn)在大學(xué)生很多很多有筆記本電腦，學(xué)生很多需要在圖書(shū)館學(xué)習(xí)和查

資料，這個(gè)時(shí)候就需要筆記本可以上網(wǎng)了，所以在圖書(shū)館也需要設(shè)計(jì)無(wú)線網(wǎng)絡(luò)，本次方案無(wú)

線網(wǎng)絡(luò)的標(biāo)準(zhǔn)是802.lln傳輸協(xié)議，并支持與802.llb/g兼容使用。

匯聚交換機(jī)

接入交換機(jī)

無(wú)線AP

圖書(shū)館、會(huì)議大廳無(wú)線網(wǎng)絡(luò)示意圖

圖4.3.1

在圖書(shū)館和會(huì)議大廳這兩個(gè)流動(dòng)性相對(duì)較大的地方，部署了無(wú)線網(wǎng)絡(luò)，已實(shí)現(xiàn)流動(dòng)人群

對(duì)網(wǎng)絡(luò)的需求。本次方案設(shè)計(jì)是在圖書(shū)館放置5臺(tái)無(wú)線AP,會(huì)議室放置2臺(tái)無(wú)線AP。這樣

既能夠很好的滿(mǎn)足現(xiàn)有的需求，也能夠滿(mǎn)足以后幾年的擴(kuò)展需求。本方案選用的無(wú)線AP是

銳捷公司的RG-AP300。

RG-AP300無(wú)線接入點(diǎn)產(chǎn)品是銳捷網(wǎng)絡(luò)推出的智能無(wú)線交換網(wǎng)絡(luò)解決方案家族的重要組

成部分。該產(chǎn)品充分考慮了無(wú)線網(wǎng)絡(luò)安全、射頻控制、移動(dòng)訪問(wèn)、服務(wù)質(zhì)量保證(QoS)、

無(wú)縫漫游等重要因素，可配合銳捷無(wú)線控制器產(chǎn)品完成無(wú)線用戶(hù)數(shù)據(jù)轉(zhuǎn)發(fā)、安全和訪問(wèn)控制。

RG-AP300產(chǎn)品支持先進(jìn)的802.1In傳輸協(xié)議，可支持與802.llb/g兼容使用。可提供

智能無(wú)線交換網(wǎng)絡(luò)的無(wú)線接入點(diǎn)、MeshAP、Mesh門(mén)戶(hù)(MeshPortal)、點(diǎn)對(duì)點(diǎn)/點(diǎn)對(duì)多點(diǎn)

無(wú)線網(wǎng)橋等多種功能服務(wù)。該產(chǎn)品提供1個(gè)千兆快速以太網(wǎng)端口，支持通過(guò)以太網(wǎng)供電

(PoE),可以通過(guò)有線網(wǎng)絡(luò)PoE以太網(wǎng)交換機(jī)或PoE適配器供電,特別適合部署在大型校園、

企業(yè)、運(yùn)營(yíng)熱點(diǎn)等環(huán)境中。RG-AP300產(chǎn)品在與無(wú)線控制器的通信中，可以對(duì)數(shù)據(jù)傳輸進(jìn)行

加密來(lái)保證數(shù)據(jù)安全。同時(shí)，RG-AP300完全受控于無(wú)線控制器，可實(shí)現(xiàn)即插即用的零配置

安裝，配置信息保存在無(wú)線控制器中，在更換設(shè)備的時(shí)候也可以隨之智能下發(fā)配置文件，無(wú)

需重新配置，大大簡(jiǎn)化了后期維護(hù)的投入。另外，還可以避免在本地存儲(chǔ)數(shù)據(jù)而導(dǎo)致的信息

泄漏。

通過(guò)無(wú)線控制器產(chǎn)品的控制，可隨時(shí)在RG-AP300產(chǎn)品覆蓋范圍內(nèi)的通過(guò)射頻優(yōu)化、信

道自動(dòng)分配和負(fù)載均衡，改善覆蓋面和服務(wù)的品質(zhì)。RG-AP300產(chǎn)品支持無(wú)線入侵檢測(cè)/防護(hù)

(WIDS/WIPS)模式，可按需或按時(shí)的射頻掃描，不僅可以隨時(shí)定位用戶(hù)，而且能夠識(shí)別和

隔離潛在有害的非法接入點(diǎn)、假冒AP等其他非法入侵者，充分保障網(wǎng)絡(luò)的安全性。

RG-AP300產(chǎn)品可配合無(wú)線控制器產(chǎn)品和授權(quán)/認(rèn)證/計(jì)費(fèi)服務(wù)器，完全控制用戶(hù)漫游策

略，當(dāng)用戶(hù)漫游網(wǎng)絡(luò)時(shí)提供安全的業(yè)務(wù)連續(xù)性、整性。

五.路由設(shè)計(jì)和IP地址以及VLAN規(guī)劃

［路由協(xié)議:ospf

0SPF協(xié)議簡(jiǎn)單介紹

0SPF是由IETF的IGP工作組為IP網(wǎng)絡(luò)開(kāi)發(fā)的路由協(xié)議。0SPF作為一種內(nèi)部網(wǎng)關(guān)

協(xié)議(InteriorGatewayProtocol,IGP),用于園區(qū)中的路由器之間發(fā)布路由信息。它是

一種鏈路狀態(tài)協(xié)議，區(qū)別于距離矢量協(xié)議(RIP),0SPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占

用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位，銳捷公司產(chǎn)品實(shí)現(xiàn)

0SPFv2o

OSPF協(xié)議應(yīng)用場(chǎng)合

在當(dāng)前園區(qū)網(wǎng)絡(luò)中，OSPF的應(yīng)用場(chǎng)合基本上有以下三種：

(1)園區(qū)網(wǎng)中核心和匯聚都是支持0SPFv2的三層交換機(jī)

(2)園區(qū)核心或者匯聚層設(shè)備上建立了過(guò)多的靜態(tài)路山，人工維護(hù)量過(guò)大

(3)園區(qū)中的三層設(shè)備支持0SPFv2但是仍然在使用RIP協(xié)議的可以考慮做協(xié)議遷移。

在日常工作中常見(jiàn)的情況只有(1)和(2)兩種。

OSPF協(xié)議安全性

1.通過(guò)認(rèn)證方式來(lái)建立鄰居，防止未授權(quán)用戶(hù)跟校園網(wǎng)的啟用OSPF的設(shè)備建立鄰居,

保護(hù)數(shù)據(jù)安全和路由的準(zhǔn)確性，以及防止黑客惡意攻擊網(wǎng)絡(luò)。

2.阻止發(fā)往用戶(hù)的OSPF報(bào)文

對(duì)于一個(gè)大型園區(qū)網(wǎng)絡(luò)來(lái)說(shuō)，安全性是必須要考慮到的問(wèn)題，必須避免終端用戶(hù)通過(guò)

Sniffer等工具窺探到園區(qū)內(nèi)OSPF報(bào)文信息。

為了保證OSPF網(wǎng)絡(luò)的安全與穩(wěn)定，銳捷網(wǎng)絡(luò)推薦在實(shí)際工程中使用閉塞接口

(Passive-interface)的方式來(lái)阻止通往用戶(hù)側(cè)的OSPF報(bào)文。

OSPF協(xié)議的穩(wěn)定性

通過(guò)創(chuàng)建LOOPBACK地址來(lái)作為OSPF路山器的router-id,來(lái)保證就算是用物理接口的

down掉也不會(huì)影響到整個(gè)網(wǎng)絡(luò)的穩(wěn)定性。

Loopback地址規(guī)劃如下:

設(shè)備loopback地址

核心A00/32

核心B00/32

匯聚susheA/32

匯聚susheB/32

匯聚shiyan/32

匯聚jiaoxue/32

匯聚xingzheng/32

OSPF區(qū)域劃分

整個(gè)校園網(wǎng)OSPF區(qū)域劃分如示意圖5.1.1