大學(xué)校園網(wǎng)絡(luò)解決方案

大學(xué)校園網(wǎng)解決方案創(chuàng)作：楊立波指導(dǎo)教師：李楠方案概述校園網(wǎng)的設(shè)計(jì)原則建立在充分考慮學(xué)校使用需要的基礎(chǔ)上，力求滿足整個(gè)校園網(wǎng)的可靠性、先進(jìn)性、實(shí)用性、可兼容及可擴(kuò)展性。（１）可靠性：保證系統(tǒng)可靠運(yùn)行，關(guān)鍵設(shè)備應(yīng)有冗余；（２）先進(jìn)性：采用當(dāng)今國內(nèi)、國際上最先進(jìn)和成熟的計(jì)算機(jī)軟、硬件技術(shù)，使新建立的系統(tǒng)能夠最大限度地適應(yīng)今后技術(shù)和業(yè)務(wù)發(fā)展的需要；（３）實(shí)用性：能夠最大限度地滿足實(shí)際工作的要求，是每個(gè)信息系統(tǒng)在建設(shè)過程中所必須考慮的一種系統(tǒng)性能，它是自動(dòng)化系統(tǒng)對用戶最基本的承諾；（４）可兼容及可擴(kuò)展性：在進(jìn)行方案建設(shè)時(shí)，力求做到網(wǎng)絡(luò)結(jié)構(gòu)清晰、合理并具有擴(kuò)展能力；硬件配置先進(jìn)、可靠，能夠滿足網(wǎng)絡(luò)及軟件運(yùn)行的需要；系統(tǒng)軟件安全、可靠，界面友好，易于操作和維護(hù)。用戶需求1、教學(xué)需求：通過教務(wù)管理系統(tǒng)、電子備課系統(tǒng)、輔助教學(xué)系統(tǒng)、考試系統(tǒng)、教學(xué)評估系統(tǒng)、遠(yuǎn)程教育等網(wǎng)上應(yīng)用，提供對教學(xué)過程的支持。2、管理需求：包括檔案管理、學(xué)籍管理（包括成績管理和課表編排）、財(cái)務(wù)管理、教育資源管理、圖書資料管理以及校內(nèi)外各種公文發(fā)布與管理等方面的需求。3、INTERNETL連接需求：提供與校內(nèi)外計(jì)算機(jī)系統(tǒng)的互聯(lián)，擴(kuò)展師生獲取知識的途徑，增強(qiáng)校內(nèi)外的溝通以及自由地發(fā)布教育信息，使學(xué)生無論在校內(nèi)還是在校外均可接受的學(xué)校的教育。加強(qiáng)對外交流，提高應(yīng)用水平。在此基礎(chǔ)上，建立能滿足教研和管理工作的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)4、其他需求：網(wǎng)絡(luò)建設(shè)要帶網(wǎng)管功能，有專門的網(wǎng)管軟件，采用先進(jìn)的網(wǎng)絡(luò)軟件，建立完善的網(wǎng)絡(luò)管理體系。整個(gè)建成的校園網(wǎng)目前應(yīng)當(dāng)達(dá)到支持1000臺PC的能力，并具有可擴(kuò)展性。網(wǎng)絡(luò)系統(tǒng)應(yīng)具有多方面的冗余（包括網(wǎng)絡(luò)級和平臺級），智能化備份/恢復(fù)能力，提高網(wǎng)絡(luò)的可靠性和安全性。解決方案

1.以千兆以太網(wǎng)（GigabitEthernet）主干，通過結(jié)構(gòu)化布線連接辦公子網(wǎng)、教學(xué)子網(wǎng)、圖書館子網(wǎng)、教學(xué)備課子網(wǎng)，形成以“千兆為主干，百兆交換到桌面”的高速校園骨干網(wǎng)。2.整個(gè)網(wǎng)絡(luò)具有高性能的三層交換能力（L3-Switching），可以實(shí)現(xiàn)虛擬網(wǎng)（VLAN）功能。通過網(wǎng)絡(luò)中心設(shè)備和骨干設(shè)備提供線速的VLAN之間的路由和高性能的第三層的數(shù)據(jù)包處理，提高網(wǎng)絡(luò)的安全性和靈活性。3.采用開放性、互連性好、配置靈活、面向連接的的網(wǎng)絡(luò)架構(gòu)，以保證校園網(wǎng)既能方便遠(yuǎn)程普通用戶的撥號接入，又能滿足特殊用戶高效地接入廣域網(wǎng)。４.網(wǎng)絡(luò)中心設(shè)在教學(xué)區(qū)的圖書館內(nèi)，占地約２００平方米，內(nèi)設(shè)配線室、配電室、中心機(jī)房、專用空調(diào)機(jī)房、網(wǎng)管中心等，中心交換機(jī)、服務(wù)器、電源、配線設(shè)備均放在網(wǎng)絡(luò)中心內(nèi)；在學(xué)生宿舍區(qū)的醫(yī)療中心內(nèi)設(shè)網(wǎng)絡(luò)分中心，用于匯接各學(xué)生公寓引出的光纖，與網(wǎng)絡(luò)中心采用單模光纖連接；５.網(wǎng)絡(luò)系統(tǒng)采用客戶機(jī)／服務(wù)器網(wǎng)絡(luò)體系，星形拓?fù)浣Y(jié)構(gòu)，１０００Ｍ高速以太網(wǎng)。整個(gè)網(wǎng)絡(luò)快速、安全、可靠，并具有較好的運(yùn)行性能、容錯(cuò)能力以及良好的擴(kuò)充性和二次開發(fā)能力。核心交換機(jī)第一網(wǎng)絡(luò)教室郵件服務(wù)器InternetFE路由器防火墻GEGE綜合樓第二網(wǎng)絡(luò)教室第一計(jì)算機(jī)室第二計(jì)算機(jī)室WEB服務(wù)器文件服務(wù)器數(shù)據(jù)庫服務(wù)器計(jì)費(fèi)服務(wù)器GEGEGEGEGEGE男宿舍樓女宿舍樓二級交換機(jī)組二級交換機(jī)組二級交換機(jī)組二級交換機(jī)組匯聚交換機(jī)匯聚交換機(jī)中國教育網(wǎng)網(wǎng)絡(luò)拓?fù)鋱DＣｉｓｃｏ６５０９

第一網(wǎng)絡(luò)教室郵件服務(wù)器英信NF260InternetFEGEGE綜合樓第二網(wǎng)絡(luò)教室第一計(jì)算機(jī)室第二計(jì)算機(jī)室WEB服務(wù)器英信NF260文件服務(wù)器英信NF260GEGEGEGEGEGE男宿舍樓女宿舍樓二級交換機(jī)組二級交換機(jī)組二級交換機(jī)組匯聚交換機(jī)QuidwayS5012T中國教育網(wǎng)數(shù)據(jù)庫服務(wù)器英信NF260計(jì)費(fèi)服務(wù)器英信NF260RT-3640EＣｉｓｃｏＳｅｃｕｒｅ

ＰＩＸ

二級交換機(jī)組匯聚交換機(jī)QuidwayS5012T網(wǎng)絡(luò)結(jié)構(gòu)圖服務(wù)器簡介

WebServer、DNS服務(wù)器Ｗｅｂ服務(wù)器能把圖文信息組織成分布式的超文本，并用信息指針指向存有相關(guān)信息的服務(wù)器，使用戶可以方便地訪問這些信息。當(dāng)網(wǎng)上用戶增多時(shí)，網(wǎng)絡(luò)訪問很頻繁，通信量很大，隨機(jī)性強(qiáng)。作為全校的通訊樞紐，需要配備高性能的服務(wù)器設(shè)備，主要的需求是高性能的ＣＰＵ、ＳＭＰ體系結(jié)構(gòu)、高速Ｉ／Ｏ通道和網(wǎng)絡(luò)通道。域名服務(wù)器ＤＮＳ是一個(gè)分布式系統(tǒng)，各地名字服務(wù)器管理下屬主機(jī)和子域，并由高一級名字服務(wù)器監(jiān)管，但每個(gè)域至少需要配備一臺以上的名字服務(wù)器。ＤＮＳ數(shù)據(jù)量不大，但訪問頻繁。本次設(shè)計(jì)選用一臺ＨＰ３０００作為ＷｅｂＳｅｒｖｅｒ、ＤＮＳ服務(wù)器。

E-mail服務(wù)器電子郵件服務(wù)器是校園網(wǎng)為用戶提供的基本服務(wù)之一，主要用于與遠(yuǎn)地用戶聯(lián)系，包括郵件網(wǎng)關(guān)和郵件服務(wù)器。需要較大的硬盤，但對訪問速度不敏感，而且，電子郵件服務(wù)對服務(wù)器工作的連續(xù)性要求很高，服務(wù)器一旦關(guān)機(jī)，用戶則無法收發(fā)郵件。本次設(shè)計(jì)選用一臺ＨＰ３０００作為Ｅ－ｍａｉｌ服務(wù)器。

SQLServer6.5服務(wù)器數(shù)據(jù)庫服務(wù)器通常要求具有高效的處理速度、較大的內(nèi)存和磁盤空間、快速的Ｉ／Ｏ系統(tǒng)和網(wǎng)絡(luò)界面，較高的可靠性，完善的系統(tǒng)備份功能和較好的可擴(kuò)充性能。本次設(shè)計(jì)選用一臺ＨＰ６０００作為ＳＱＬＳｅｒｖｅｒ６．５服務(wù)器。

ProxyServer/計(jì)費(fèi)服務(wù)器Ｐｒｏｘｙｓｅｒｖｅｒ是連接校園網(wǎng)和Ｉｎｔｅｒｎｅｔ之間的橋梁，對于來自Ｉｎｔｅｒｎｅｔ的訪問者，它是一道防火墻，將提供基于ＩＰ地址、用戶口令、服務(wù)端口等各種機(jī)制的訪問限制。另外，ＰｒｏｘｙＳｅｒｖｅｒ?qū)τ趦?nèi)部經(jīng)常訪問的Ｉｎｔｅｒｎｅｔ資源，能夠緩存而且能夠自動(dòng)更新，一則加快了訪問速度，二則節(jié)約了對Ｉｎｔｅｒｎｅｔ的訪問費(fèi)用。學(xué)校能夠利用計(jì)費(fèi)功能對網(wǎng)絡(luò)資源的使用者、使用時(shí)間進(jìn)行有效地控制。本次設(shè)計(jì)選用一臺ＨＰ３０００作為ＰｒｏｘｙＳｅｒｖｅｒ／計(jì)費(fèi)服務(wù)器。設(shè)備選型設(shè)備的選擇主要考慮品牌、產(chǎn)品型號、產(chǎn)品配置方式等方面的合理性。網(wǎng)絡(luò)設(shè)備現(xiàn)階段以國外品牌為主，分為ＣＩＳＣＯ、３ＣＯＭ、ＢＡＹ等，三家網(wǎng)絡(luò)界巨頭占據(jù)了大部分的網(wǎng)絡(luò)設(shè)備市場份額，并且都具有很全面的產(chǎn)品線。ＣＩＳＣＯ的產(chǎn)品線很多，適合千兆網(wǎng)主干的產(chǎn)品有４０００系列、５０００系列、６０００系列、８０００系列等。該大學(xué)的網(wǎng)絡(luò)系統(tǒng)需要在可靠性、擴(kuò)充能力等方面具有很好的性能并且必須支持多層交換，４０００系列具有高端口密度和很好的網(wǎng)絡(luò)交換性能，但不能支持多層交換，所以不能滿足需要；５０００系列推出很早，是一個(gè)成熟穩(wěn)定的產(chǎn)品，其交換性能和對新型技術(shù)的兼容能力要遜色一些，它也不是本次校園網(wǎng)設(shè)計(jì)首選；６０００系列從性能、技術(shù)都能滿足校園網(wǎng)的需要，而８０００系列由于具有更高要求的關(guān)鍵企業(yè)的關(guān)鍵應(yīng)用，對用戶而言性能價(jià)格比不如６０００，因此本次設(shè)計(jì)選用６０００系列作為校園網(wǎng)的中心交換機(jī)。

１.６０００系列中心交換機(jī)的主要性能：３２Ｇｂｐｓ的底板帶寬；１５Ｍｐｐｓ的多層交換；６個(gè)插槽，但最多可有２４０個(gè)用戶插槽；２.支持模板８端口千兆位以太網(wǎng)；２４端口１００ＦＸ以太網(wǎng)；４８端口１０／１００以太網(wǎng)ＲＪ－４５；４８端口１０／１００以太網(wǎng)ＲＪ－２１或ＴＥＬＣＯ；３.多層交換機(jī)模塊設(shè)計(jì)在網(wǎng)絡(luò)中心選用一臺Ｃｉｓｃｏ６５０９中心交換機(jī)，配置一個(gè)熱冗余電源、一塊交換引擎、一塊多層交換模塊、兩塊８端口千兆網(wǎng)端口、由于交換引擎上還具有２個(gè)千兆口，因此設(shè)備具有１８個(gè)可用的千兆口，主干交換機(jī)上還配置一塊４８端口１０／１００自適應(yīng)端口，方便連接機(jī)房及本層的終端。４.服務(wù)器與主干交換機(jī)采用千兆網(wǎng)連接。５.網(wǎng)管工作站利用鏈路聚集技術(shù)采用４條１００Ｍ接入主干交換機(jī)的１００Ｍ端口，端口設(shè)置為全雙工，實(shí)現(xiàn)全雙工８００Ｍ連接主干。網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)建成后，為保證整個(gè)網(wǎng)絡(luò)正常地運(yùn)行、防止計(jì)算機(jī)病毒對網(wǎng)絡(luò)的侵害、防止“黑客”入侵就變得尤其重要。主要表現(xiàn)在以下幾方面：身份認(rèn)證、訪問授權(quán)、數(shù)據(jù)保密、數(shù)據(jù)完整、審計(jì)記錄、防病毒入侵。網(wǎng)絡(luò)安全是有層次的，在不同層次，安全的著重點(diǎn)也不同，大致歸納起來可將網(wǎng)絡(luò)安全劃分成兩個(gè)層次：網(wǎng)絡(luò)層安全和應(yīng)用層安全。因此，此次設(shè)計(jì)選用ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墻。ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墻是Ｃｉｓｃｏ防火墻家族中的專用防火墻設(shè)施，是防火墻市場中的領(lǐng)先產(chǎn)品，ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墻可提供強(qiáng)大的安全，且不影響網(wǎng)絡(luò)性能。它可提供全面的防火墻保護(hù)，對外部世界完全隱藏了內(nèi)部網(wǎng)體系結(jié)構(gòu)。通過ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墻可以建立使用ＩＰＳｅｃ標(biāo)準(zhǔn)的虛擬專網(wǎng)ＶＰＮ連接。ＣｉｓｃｏＳｅｃｕｒｅＰＩＸ防火墻加強(qiáng)了內(nèi)部網(wǎng)、外部網(wǎng)鏈路和Ｉｎｔｅｒｎｅｔ之間的安全訪問。相關(guān)技術(shù)

仍然是以太網(wǎng)，也是總線或星型結(jié)構(gòu)的網(wǎng)絡(luò)，快速以太網(wǎng)仍支持共享模式，在共享模式下仍采用的是廣播模式（CSMA/CD競爭方式訪問，IEEE802.3），所以在共享模式下的快速以太網(wǎng)繼承了傳統(tǒng)共享以太網(wǎng)的所有特點(diǎn)，但是帶寬增大了10倍?？焖僖蕴W(wǎng)的應(yīng)用主要是基于它的交換模式。在交換模式下，快速以太網(wǎng)完全沒有CSMA/CD這種機(jī)制的缺陷，除了上面談到的交換以太網(wǎng)的優(yōu)點(diǎn)以外，交換模式下的快速以太網(wǎng)可以工作在全雙工的狀態(tài)下，使得網(wǎng)絡(luò)帶寬可以達(dá)到200Mbps。因此快速以太網(wǎng)是一種在局域網(wǎng)技術(shù)中性能價(jià)格比非常好的網(wǎng)絡(luò)技術(shù)，在支持多媒體技術(shù)的應(yīng)用上可以提供很好的網(wǎng)絡(luò)質(zhì)量和服務(wù)

快速以太網(wǎng)技術(shù)

是基于快速以太網(wǎng)（100BASE-T）技術(shù)的網(wǎng)絡(luò)產(chǎn)品的自然進(jìn)化，它提供了比快速以太網(wǎng)高10倍的網(wǎng)絡(luò)帶寬，幾乎可以滿足現(xiàn)有的所有業(yè)務(wù)要求；加上千兆以太網(wǎng)基于信用和速率的流量控制策略，可以非常簡單地在鏈路層解除擁塞，使得采用千兆的網(wǎng)絡(luò)主干具有較高的可用性；對資源預(yù)約協(xié)議（RSVP）的支持，可以讓某個(gè)端站點(diǎn)在網(wǎng)絡(luò)中作出保證帶寬的預(yù)約請求，使得千兆以太網(wǎng)可以提供ATM所具有的QoS保證，以及各種三層交換技術(shù)和高級協(xié)議的使用，千兆以太網(wǎng)技術(shù)完全能夠滿足高帶寬網(wǎng)絡(luò)主干的要求，已經(jīng)成為成熟、穩(wěn)定、易于管理和構(gòu)建快速的主流網(wǎng)絡(luò)技術(shù)。千兆以太網(wǎng)技術(shù)虛擬網(wǎng)VLAN技術(shù)

虛擬網(wǎng)技術(shù)是近年來在計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域興起的一項(xiàng)新的技術(shù)。虛擬網(wǎng)在邏輯上等于OSI七層模型上第二層的廣播域，它與具體的物理網(wǎng)及地理位置無關(guān)。在傳統(tǒng)的共享局域網(wǎng)或者交換局域網(wǎng)環(huán)境中，整個(gè)網(wǎng)絡(luò)處于同一個(gè)廣播域中（即所謂的同一個(gè)LAN），這樣當(dāng)大量用戶發(fā)送廣播信息時(shí)容易形成廣播風(fēng)暴，使得整個(gè)網(wǎng)絡(luò)癱瘓。虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個(gè)獨(dú)立的廣播域（LAN），由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。在傳統(tǒng)的網(wǎng)絡(luò)技術(shù)中，網(wǎng)內(nèi)用戶的移動(dòng)、刪除或增加都需要在物理上對網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)置。而在虛擬網(wǎng)環(huán)境中，網(wǎng)絡(luò)用戶的變更不需要重新對網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)置，也就是說虛擬網(wǎng)技術(shù)具有自適應(yīng)功能。我們可以利用虛擬網(wǎng)技術(shù)的這些特點(diǎn)將不同的部門或不同的應(yīng)用系統(tǒng)分配于不同的VLAN之中，實(shí)現(xiàn)不同部門或不同應(yīng)用系統(tǒng)的邏輯隔離。在傳統(tǒng)的網(wǎng)絡(luò)技術(shù)中，同一物理網(wǎng)段中的用戶在網(wǎng)絡(luò)層上很難實(shí)施安全措施，而在虛擬網(wǎng)絡(luò)環(huán)境中，不同的虛擬網(wǎng)絡(luò)間用戶之間的通信控制則可以做到。虛擬網(wǎng)間的安全與虛擬網(wǎng)間的通信方式有關(guān)，由于虛擬網(wǎng)間通信是通過路由實(shí)現(xiàn)的，路由器使得通信雙方不能直接連接，而路由器的包過濾或防火墻的功能可被用來對不同虛擬網(wǎng)絡(luò)間的用戶通信做逐項(xiàng)檢查，通信可以按照網(wǎng)絡(luò)管理人員的要求被允許或禁止，從而實(shí)現(xiàn)不同部門或不同應(yīng)用系統(tǒng)間的訪問控制，提高了網(wǎng)絡(luò)的安全性。路由器上的訪問控制由Accesslist（訪問控制列表）功能實(shí)現(xiàn)。Accesslist選擇路由器的端口做為控制點(diǎn)，檢查每一個(gè)進(jìn)出的數(shù)據(jù)包。Accesslist