《計算機網(wǎng)絡技術及應用實例》課件項目十

項目10設計小型企業(yè)網(wǎng)絡任務10.1某學校校園網(wǎng)需求分析任務10.2方案設計任務10.3網(wǎng)絡產(chǎn)品選型任務10.4網(wǎng)絡安全設計任務10.5網(wǎng)絡規(guī)劃及相關建議

任務10.1某學校校園網(wǎng)需求分析

知識要點

(1)需求調(diào)查的內(nèi)容：①網(wǎng)絡用戶調(diào)查，就是與未來的有代表性的直接用戶進行交流，獲得用戶的需求信息；②所建網(wǎng)絡要達到的目標；③工程預算。

(2)接入層。各樓層信息點或終端設備與各接入交換機的連接構成網(wǎng)絡結構的接入層。

(3)匯聚層。通過與各接入層交換機互聯(lián)，并作為各個信息點的網(wǎng)關，實現(xiàn)各個網(wǎng)段間的網(wǎng)絡通信，構成網(wǎng)絡的匯聚層。

(4)核心層。各匯聚層交換機通過其上連的光纖端口(或網(wǎng)線端口)連接至核心交換機，核心交換機之間可進行鏈路聚合技術擴展交互帶寬，同時核心交換需連接核心出口路由器(或防火墻)，從而構成網(wǎng)絡的核心層。技能要點

(1)網(wǎng)絡結構設計：主要包括局域網(wǎng)結構中的數(shù)據(jù)鏈路層設備互聯(lián)方式、廣域網(wǎng)結構中的網(wǎng)絡層設備互聯(lián)方式等。

(2)物理層技術選擇：主要包括纜線類型、網(wǎng)卡的選用。

(3)局域網(wǎng)技術選擇與應用：主要考慮STP、VLAN、鏈路聚合技術、冗余網(wǎng)關協(xié)議、線路冗余與負載均衡、服務器冗余與負載均衡等。

(4)廣域網(wǎng)技術選擇與應用：根據(jù)實際應用情況，目前廣域網(wǎng)中主要的相關應用技術，主要包括PSTN、xDSL、SDH、WDM、MSTP、MPLS_VPN等。

(5)地址設計和命名模型：主要明確的內(nèi)容有是否需要公網(wǎng)IP地址、私有IP地址、公網(wǎng)IP地址如何翻譯、VLSM的設計、CIDR的設計、DNS的命名設計等。

(6)路由選擇協(xié)議：主要考慮因素有動態(tài)路由的協(xié)議類型、度量權值排序等；靜態(tài)路由選擇協(xié)議；內(nèi)部與外部路由選擇協(xié)議分類與無分類路由選擇協(xié)議等。

(7)網(wǎng)絡管理：主要包括行政管理和技術管理。

(8)網(wǎng)絡安全：主要工作內(nèi)容有機房及物理線路安全、網(wǎng)絡安全(如安全域劃分、路由交換安全策略等)、系統(tǒng)安全(如身份認證、桌面安全管理、系統(tǒng)監(jiān)控與審計等)、數(shù)據(jù)容災與恢復、安全運行維護服務體系(如應及預案的制定等)、安全管理體系(如建立安全組織機構等)。實現(xiàn)任務的方法及步驟

1．需求分析概述

網(wǎng)絡設備應能實現(xiàn)對所有接入端口的管理；核心交換設備原則上應能保持不間斷運行并留有足夠的擴展空間；匯聚層采用支持高帶寬的交換機，以便未來進行平滑無縫的擴展和升級；關鍵交換設備要考慮未來5年的適用性；網(wǎng)絡設備的可靠性、安全能力、延續(xù)性、售后服務保障須作為重點指標加以考慮；選型設備應采用在同等規(guī)模網(wǎng)絡已穩(wěn)定運行的成熟案例。

2．數(shù)字校園建設應用現(xiàn)狀

2009年遷址后，某學校將成為一所現(xiàn)代化寄宿制職業(yè)技術學校，市、校領導和各級部門對數(shù)字校園建設高度重視，在政策和投資上也給予了極大的關注和支持，教育現(xiàn)代化建設開始進入一個快速發(fā)展的階段。校園建設將要實現(xiàn)為全校所有教室全部配備多媒體投影設備；為全校所有一線任課教師配置筆記本電腦；校園內(nèi)教學樓、圖書館、辦公樓、電教樓的主干網(wǎng)絡連接、主服務器連接以及核心交換全面實現(xiàn)千兆連接和交換；辦公區(qū)域上網(wǎng)全面實現(xiàn)無線覆蓋。

學校加強了信息化、無紙化管理，每個教研組及部門均有自己獨立的FTP空間供教師和學生上傳及下載教案，為廣大教職工和學生提供了豐富的Internet服務和網(wǎng)絡應用資源。學校網(wǎng)絡建設的目標是：

(1)充分實現(xiàn)資源共享。能夠根據(jù)教育、教學、科研、管理的需要，收集、制作及開發(fā)不同類型的媒體素材和多媒體教材，存入多媒體教學信息庫的網(wǎng)絡存儲設備中。這些信息可以隨時提供給系統(tǒng)的多個工作站和用戶終端，實現(xiàn)教育信息傳遞、處理、分析、查詢的自動化。

(2)為教育和管理提供支持。學?？梢詾榻逃藛T、各個學科教師的科研工作提供國內(nèi)外有關的各種類型的多媒體資料和學術前沿動態(tài)信息，供教師和科研人員在進行科學研究時參考選用。同時，網(wǎng)絡系統(tǒng)還可為學校的管理提供有力的支持，實現(xiàn)了視頻會議、遠程互動教學和課件點播。

(3)為教師備課提供環(huán)境。教師在教學準備過程中可以通過網(wǎng)絡中的任一臺多媒體工作站或用戶終端機，在網(wǎng)上搜集有關文、圖、聲、像資料，進行備課和制作多媒體教材；并可隨時存入多媒體教學信息庫，以供教學使用；教師、學生也可隨時獲取各種信息資源，實現(xiàn)信息傳輸?shù)碾p向性。

(4)為多媒體教學提供條件。設置教室里的多媒體工作站和用戶終端機，可為開展多媒體課堂教學提供條件，教師可以通過網(wǎng)絡選用合適的多媒體素材來配合講解。

(5)為學生自學和提高提供方便。學生可利用交互式的多媒體教學工作站和用戶終端機，不僅可以進行查詢、補課、自學、復習，而且還可以利用各個學科專用軟件配上相應的設備開展小組教學，進行教學模擬仿真訓練。這些模擬訓練環(huán)境逼真、交互性強，可以提高學生分析問題和解決問題的能力。

3．校園網(wǎng)網(wǎng)絡設施需求

1)校園網(wǎng)的特點

(1)高速的局域網(wǎng)連接。校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡，由于參與網(wǎng)絡應用的師生數(shù)量眾多，而且信息中包含了大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡的一項基本要求。

(2)信息結構多樣化。校園網(wǎng)應用分為電子教學(多媒體教室、電子圖書館等)、辦公管理和遠程通信(遠程教學、互聯(lián)網(wǎng)接入)三大部分內(nèi)容：電子教學包含大量多媒體信息；辦公管理以數(shù)據(jù)庫為主；遠程通信則多為WWW方式，因此數(shù)據(jù)成分復雜，不同類型數(shù)據(jù)對網(wǎng)絡傳輸有不同的質(zhì)量需求。

(3)安全可靠。校園網(wǎng)中同樣有大量關于教學和檔案管理的重要數(shù)據(jù)，無論是被損壞、丟失還是被竊取，都將帶來極大的損失。

2)校園網(wǎng)的建設原則

為保障學校新校區(qū)校園網(wǎng)項目的安全性、可靠性、實用性，在網(wǎng)絡方案設計上應把握以下原則：

(1)先進性原則。各類網(wǎng)絡設備產(chǎn)品要選用業(yè)界領先、支持相關國際標準及國家標準、在一定時期內(nèi)可持續(xù)延伸發(fā)展的主流設備和產(chǎn)品，確保建成的網(wǎng)絡系統(tǒng)有較強的生命周期。

(2)可靠性原則。選用較為穩(wěn)定、成熟、應用廣泛、兼容性強的網(wǎng)絡設備和應用技術等，確保網(wǎng)絡系統(tǒng)的穩(wěn)定性、可靠性。

(3)可管理性原則。選用與設備配套的專門管理工具，實現(xiàn)對各類設備、節(jié)點、通信、信息資源等相關產(chǎn)品進行有效的控制、配置和管理，確保網(wǎng)絡系統(tǒng)的有序運行。

(4)開放性原則。系統(tǒng)的開放性體現(xiàn)在通信系統(tǒng)的可互聯(lián)性及與國際標準的相容。所建網(wǎng)絡系統(tǒng)應擁有良好的兼容性，確保網(wǎng)絡系統(tǒng)間的可連接性、可移植性。

(5)安全性原則。網(wǎng)絡系統(tǒng)應具有良好的安全性，按照“同步規(guī)劃、分步實施”的要求做好網(wǎng)絡系統(tǒng)的建設和管理工作。逐步通過網(wǎng)絡安全設備、產(chǎn)品的選用和日常管理，確保對網(wǎng)絡資源以及對網(wǎng)絡設備本身的訪問實現(xiàn)有效的安全控制。

(6)經(jīng)濟性原則。采用最優(yōu)性能價格比的各類硬件設備，盡量降低系統(tǒng)投資，完善系統(tǒng)功能，提高系統(tǒng)檔次，并充分有效利用現(xiàn)有設備，最大限度地保護前期投資。

(7)實用性原則。系統(tǒng)建設選用成熟的技術和設備，要適合教育行業(yè)用戶的特點，并具有實際應用價值。系統(tǒng)以滿足當前需求為主，同時兼顧與原有系統(tǒng)的兼容性和長遠發(fā)展的擴充。

(8)可拓展性原則。系統(tǒng)建設要有一定的冗余，主要設備在滿足當前需求的同時，要預留一定的接口和空間，以便今后實現(xiàn)網(wǎng)絡系統(tǒng)的升級和擴容，保護原有投資，避免重復投資。

4．網(wǎng)絡應用流量及帶寬需求分析

依據(jù)該學校校園網(wǎng)的各項應用，其流量需求分析如下表10.1-1所示。

表10.1-1流量需求分析為保證機房、語音室、電子閱覽室500臺主機開課(以使用視頻課件來計算)的應用順暢，其主干網(wǎng)帶寬需求為

500×(1.5M～6M)=750M～3000M

任務10.2方案設計

實現(xiàn)任務的方法及步驟

1．網(wǎng)絡設計原則

學校網(wǎng)絡要為廣大師生提供互聯(lián)網(wǎng)訪問、數(shù)字視頻應用、課件點播、遠程教學等支持，不僅要滿足通常的業(yè)務需求，還必須符合大量視頻服務的基本條件。因此，在系統(tǒng)方案的形成過程中，必須特別關注教育網(wǎng)同城域網(wǎng)絡相似的一些重要特征，這也正是總體方案的設計原則。總體設計原則包括：組播支持能力、可管理性、靈活性、擴充性、可靠性，這五個原則從本質(zhì)上決定了學校網(wǎng)絡未來作為一個校園網(wǎng)絡的可靠運行能力和平均維護成本(或者間接投資成本)的關系，如圖10.2-1所示。圖10.2-1良好運行能力和平均維護成本的關系在學校網(wǎng)絡系統(tǒng)要求中，考慮建立一個不只是數(shù)據(jù)，而且要為視頻、音頻等多媒體傳輸?shù)母咚倬W(wǎng)絡通信平臺。

通過上述分析，學校網(wǎng)絡規(guī)劃的技術條件如下：

(1)可靠的高速主干；

(2)有效的VLAN劃分和管理手段；

(3)強大的支持組播能力阻止帶寬浪費；

(4)對多媒體數(shù)據(jù)支持的能力，強大的QoS功能；

(5)系統(tǒng)整體的安全性；

(6)采用成熟可靠的產(chǎn)品。

2．網(wǎng)絡技術選擇

1)千兆以太網(wǎng)技術

通過對學校網(wǎng)絡應用分析，在學校建設中必須考慮采用千兆以太網(wǎng)技術。千兆以太網(wǎng)集價格低廉、聯(lián)網(wǎng)簡單、可擴容和管理簡單等優(yōu)勢于一身。三層的交換應用使得新的事務處理，視頻、音頻等不同類型的應用匯聚在一個骨干網(wǎng)絡中。

該學校校園網(wǎng)絡作為一個新建的大型的校園網(wǎng)絡，要考慮未來升級到萬兆的可行性。

2)星型拓撲結構

根據(jù)學校的實際情況，采用星型拓撲結構。星型拓撲結構有以下優(yōu)勢：

(1)用戶端直接訪問中心，減少了中間延遲和故障點；

(2)利于維護和故障排除；

(3)可快速擴展。

3)三層架構設計

在學校校園網(wǎng)中整個網(wǎng)絡結構采用三層架構：核心層、匯聚層和接入層。

核心層是學校網(wǎng)絡的骨干，在該層對密集的數(shù)據(jù)包進行處理，并提供訪問互聯(lián)網(wǎng)的策略，如NAT轉發(fā)、VPN接入、端口映射等，做到交換數(shù)據(jù)，高性能的核心交換將會大大增加整個學校的網(wǎng)絡性能。核心層主要提供下列功能：

(1)全線速、無阻塞的數(shù)據(jù)處理能力；

(2)?VLAN的聚合和VLAN路由；

(3)介質(zhì)轉換；

(4)安全性管理；

(5)提供到廣域網(wǎng)的訪問；

(6)提供對服務器的訪問。匯聚層的功能主要是連接接入層節(jié)點和核心層中心。匯聚層設計為連接本地的邏輯中心，應具備千兆光口上聯(lián)和千兆電口下聯(lián)端口，并保證所有端口均達到全線速交換。匯聚層的主要準則是提供較高的性能和比較豐富的功能。

接入層應保證最終用戶接入網(wǎng)絡，提供更豐富的功能，并保證所有端口均達到全線速交換。接入層的主要準則是通過低成本、高端口密度的設備提供這些功能。

3．網(wǎng)絡系統(tǒng)設計

根據(jù)以上分析，網(wǎng)絡拓撲設計如圖10.2-2所示。

(1)按照核心、匯聚和接入三個層次對網(wǎng)絡系統(tǒng)進行設計。其中，核心交換機位于校園中心機房內(nèi)，作為全網(wǎng)核心，采用千兆主干，推薦采用端口聚合技術保證帶寬。

(2)核心層采用高端路由交換機7608雙棧雙引擎，保障骨干高可靠；配置萬兆模塊，實現(xiàn)主干萬兆，充分保證網(wǎng)絡的先進性。

(3)安全運行維護方面配置內(nèi)網(wǎng)安全管理系統(tǒng)，實現(xiàn)終端補丁分發(fā)等安全管理功能；配置統(tǒng)一網(wǎng)管系統(tǒng)，實現(xiàn)主機、網(wǎng)元、安全設備、無線設備等統(tǒng)一管理；配置IDS入侵檢測設備，實現(xiàn)網(wǎng)絡攻擊實時監(jiān)控；配置DCBI-3000W認證計費系統(tǒng)，實現(xiàn)接入用戶的身份認證及計費；配置無線控制器，實現(xiàn)無線網(wǎng)絡的統(tǒng)一調(diào)度，輻射區(qū)域無縫連接；配置NET-LOG上網(wǎng)行為監(jiān)控系統(tǒng)，記錄上網(wǎng)行為，實現(xiàn)對網(wǎng)絡行為的監(jiān)控，做到對突發(fā)事件有據(jù)可循；配置無線控制器，實現(xiàn)各AP輻射區(qū)域間的無縫過渡。

(4)服務器區(qū)配置千兆高性能防火墻，實現(xiàn)服務器區(qū)的安全訪問。

(5)出口配置千兆高性能防火墻，實現(xiàn)多鏈路接入、網(wǎng)絡安全以及VPN連接等多重安全防護；配置流量整形網(wǎng)管DCFS-2000，實現(xiàn)對網(wǎng)絡中各種流量進行管理、控制。

(6)實訓教室配置中端路由交換機6804，充分保證實訓教學時的帶寬需求。

(7)接入交換機配置4500系列交換機，實現(xiàn)千兆到桌面。圖10.2-2學校校園網(wǎng)規(guī)劃拓撲

任務10.3網(wǎng)絡產(chǎn)品選型

實現(xiàn)任務的方法及步驟

1．核心交換機選型

網(wǎng)絡中心節(jié)點作為校園網(wǎng)絡系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當網(wǎng)絡流量較大時，對關鍵業(yè)務的服務質(zhì)量提供保障。另外，作為整個網(wǎng)絡的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。同時，骨干交換機的功能還應具有較強的擴展性，目前網(wǎng)絡正處在IPv4向IPv6的過渡期，核心設備必須在一定程度上支持IPv6，同時滿足其他功能的擴展。因此，在網(wǎng)絡中心的設備選型和結構設計上必須考慮整體網(wǎng)絡的高性能和高可靠性。具體來說，核心節(jié)點的交換機有兩個基本要求：

(1)高密度端口情況下，還能保持各端口的線速轉發(fā)；

(2)關鍵模塊必須冗余，如管理引擎、電源、風扇。

由于校園網(wǎng)建設最終必將采用萬兆技術，因此需要考慮到核心設備對萬兆的支持能力。

綜上所述，骨干核心交換機屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機采用神州數(shù)碼網(wǎng)絡DCRS-7608萬兆交換機；同時，為提高網(wǎng)絡的可靠性和穩(wěn)定性，配置兩臺核心交換機，實現(xiàn)雙機熱備份，保證核心層的可靠穩(wěn)定運行。

DCRS-7608是全模塊化、高密度端口的萬兆IPv6核心路由交換機，該交換機可以根據(jù)用戶的需求靈活配置，靈活構建彈性可擴展的網(wǎng)絡。DCRS-7608交換機高達2.4T的背板帶寬和952?Mb/s的數(shù)據(jù)包轉發(fā)速率可為用戶提供高速無阻塞的交換。強大的交換路由功能、安全智能技術可同神州數(shù)碼各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡核心骨干交換機的理想選擇。

2．匯聚交換機選型

樓宇匯聚交換機需要與核心交換機實現(xiàn)萬兆互聯(lián)(教學樓、辦公樓等兩幢樓宇)、與樓層接入交換機實現(xiàn)千兆互聯(lián)，也就意味著樓宇匯聚交換機必須支持萬兆擴展能力，并同時具備較高的千兆端口密度，同時還需要與核心交換機之間實現(xiàn)兩條鏈路連接，形成冗余的聚合鏈路。所以，樓宇匯聚層節(jié)點必須提供全千兆線速三層數(shù)據(jù)交換，以保證接入節(jié)點和核心節(jié)點數(shù)據(jù)交換的暢通無阻，同時當網(wǎng)絡流量較大時，能夠?qū)﹃P鍵業(yè)務的服務質(zhì)量提供保障。綜上所述，樓宇匯聚交換機采用神州數(shù)碼網(wǎng)絡DCRS-5950-28T，該交換機是一款線速萬兆IPv6路由交換機，提供20端口千兆電接口、4端口千兆Combo(SFP/GT)接口、2個萬兆擴展插槽以及2端口萬兆堆疊接口。

DCRS-5950-28T支持硬件2～4層的多層IPv6線速交換，并提供2～7層的基于IPv6的智能流分類、完善的服務質(zhì)量(QoS)以及組播管理特性；同時支持完善的高性能路由協(xié)議，包括靜態(tài)路由、RIPⅠ/Ⅱ、RIPng、IGMP、MLD等，并可以實施靈活多樣的ACL訪問控制策略。DCRS-5950-28T提供線速多層交換、完善的端到端的服務質(zhì)量、豐富的安全設置和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的校園網(wǎng)新需求。

3．接入交換機選型

對于樓宇接入節(jié)點的交換機，必須考慮到安全接入控制、QOS服務質(zhì)量保證、組播支持等技術。結合該學校網(wǎng)絡的實際情況，針對“千兆接入到桌面”的需求，建議配置神州數(shù)碼網(wǎng)絡DCS-4500-24T，針對百兆接入到桌面的需求，建議配置DCS-3950-26C。

DCS-4500-26/50T提供26/50端口千兆電接口、4口千兆SFP(Combo)接口，并具備所有端口全千兆線速交換能力，滿足該學?！扒д捉尤氲阶烂妗钡母咚贁?shù)據(jù)交換需求，保證教學和科研的正常開展。

DCS-3950-26C提供24端口百兆電接口、2端口千兆Combo(SFP/GT)接口，并具備所有端口全線速交換能力，滿足該學?！扒д捉尤氲阶烂妗钡母咚贁?shù)據(jù)交換需求，保證教學和科研的正常開展。

4．網(wǎng)絡產(chǎn)品選型結論

綜上所述，該學校的網(wǎng)絡系統(tǒng)選型結果如下：

核心交換機：DCRS-7608；

匯聚交換機：DCRS-5950-28T；

接入交換機：DCS-4500-26/50T、DCS-3950-26C；

防火墻：DCFW-1800E-2G；

認證計費系統(tǒng)：DCBI-3000(EN)；

流量整形網(wǎng)關：DCFS-2000(V2)；

上網(wǎng)行為監(jiān)控系統(tǒng)：DCBI-NetLog(2000)；

無線設備：DCWL-ZD-1025、DCWL-ZF-2942AP。

任務10.4網(wǎng)絡安全設計

實現(xiàn)任務的方法及步驟

1．保障網(wǎng)絡設備的安全

現(xiàn)在網(wǎng)絡產(chǎn)品一般都具有兩層不同級別的密碼保護，用戶還可以根據(jù)需要制定更多層的安全級別，以保護網(wǎng)絡設備自身的安全性。通過指定哪種類型的用戶，可以獲得何種級別的權限，對網(wǎng)絡設備進行哪些方面的修改，最大程度地保護設備的安全。用戶通過Console口直接連接到網(wǎng)絡設備，或者通過遠程Telnet到網(wǎng)絡，都可以對其進行配置。在兩種訪問途徑上都增加密碼保護，為其設置密碼，這樣即使某用戶能夠從Telnet，甚至從物理上直接通過Console口連接到網(wǎng)絡設備，但如果沒有得到授權，仍然無法到配置模式當中。

網(wǎng)管人員在網(wǎng)絡設備上正確的設置包括EnablePassword、TelnetPassword、ConsolePassword在內(nèi)的各級別密碼，并且妥善保存及定期的更新。

2．劃分基于應用的VLAN

VLAN技術能夠?qū)⒁唤M用戶歸入到一個廣播域當中，缺省情況下不同VLAN之間的用戶是不能互相訪問的，故能夠在第二層上保證數(shù)據(jù)的安全性。由于職能的差異，不同類別用戶的數(shù)據(jù)必然是不能共享的，我們可以將它們劃分到不同的VLAN當中，這樣就不會造成數(shù)據(jù)的錯誤傳播以及不必要的數(shù)據(jù)泄漏。

在學校局域網(wǎng)當中，VLAN的劃分應該能夠統(tǒng)一進行，各節(jié)點的相同職能部門或者相同的應用劃分到同一個VLAN當中。這樣既方便數(shù)據(jù)的共享，也有利于數(shù)據(jù)的安全，而且由于在同一VLAN內(nèi)部的數(shù)據(jù)訪問屬于第二層，無需經(jīng)過三層交換機進行轉發(fā)，可以減輕三層交換機的負擔。根據(jù)學校需求，VLAN將按照下述八個應用類型進行劃分：

(1)教師辦公網(wǎng)段，在每個數(shù)字教室前端提供教師筆記本接入，各辦公室為每位教師提供一個100?M桌面接口；

(2)機要辦公室網(wǎng)段；

(3)服務器安全區(qū)網(wǎng)段；

(4)學生機房、電子閱覽室專用網(wǎng)段；

(5)數(shù)字視頻采集網(wǎng)段；

(6)數(shù)字視頻廣播專用網(wǎng)段；

(7)無線接入點匯聚網(wǎng)段；

(8)校園信息綜合管理系統(tǒng)網(wǎng)段。

3．在交換機上進行訪問控制

利用路由器、三層交換機、智能型交換機上的ACL(訪問控制)功能，保護那些安全性較高的主機、服務器以及特定的服務。ACLs是手工配置在路由器、三層交換機、智能型交換機上面的一組判定條件，對于滿足條件的數(shù)據(jù)包，將進行“通過”或者“丟棄”的處理。ACLs的主要作用有：

(1)實行對網(wǎng)段和主機的訪問控制。通過在三層交換機、智能型交換機上設置ACLs，辦公室的用戶可以訪問Web服務器所在的網(wǎng)段；但是拒絕這些用戶對財務網(wǎng)段的訪問。

ACLs是交換機在安全方面的重要工具和功能，可以對不同的端口進行不同的訪問控制，同時還可以對不同應用使用不同的TCP端口進行分類控制。

(2)實行對網(wǎng)絡應用的安全控制。在同一臺管理信息系統(tǒng)主機上，同時運行電子郵件和WWW應用，通過在網(wǎng)絡設備上設置ACLs，可以控制用戶只能訪問電子郵件應用，而拒絕訪問WWW應用。

在該學校校園網(wǎng)中，我們可以根據(jù)用戶的實際需要，制定不同的策略，在三層交換機上配置相應的ACLs。由于配置了ACLs以后，每一個到達交換機的數(shù)據(jù)包都必須與每一條判定條件進行比較，這會消耗一定的CPU時間，影響設備的性能。所以一般建議不要在數(shù)據(jù)流量大或處于網(wǎng)絡核心的節(jié)點上配置ACLs。在校園網(wǎng)當中，我們建議在網(wǎng)絡的核心節(jié)點交換機上少做ACLs的配置，配置ACLs盡量在匯聚交換機及接入交換機上進行。這樣既保證了網(wǎng)絡的安全性，也不會影響核心交換的性能。

4．防網(wǎng)絡攻擊

防火墻可以實現(xiàn)安全策略的集中控制、隔離內(nèi)外網(wǎng)絡進行地址轉換、記錄網(wǎng)絡上的非法活動等強大的功能。充分利用學校原有的兩臺防火墻，進行功能合理分配，并進行優(yōu)化配置，從而有效防御各種網(wǎng)絡攻擊。

5．防病毒安全

隨著諸如沖擊波、各種蠕蟲病毒的泛濫和快速傳播，病毒的安全威脅越來越復雜，進化越來越快，如何面對這些威脅，對校園網(wǎng)的管理是很大的挑戰(zhàn)。

該學校已經(jīng)統(tǒng)一采購防病毒軟件，我們將協(xié)助學校建立一個集中控管的防病毒系統(tǒng)，包括服務器、工作站及使用者群組，并能夠?qū)崿F(xiàn)集中管控，以簡化防毒系統(tǒng)管理，并能夠更快地部署解毒方案。

任務10.5網(wǎng)絡協(xié)議及相關建議

實現(xiàn)任務的方法及步驟

1．IP地址規(guī)劃

IP地址的合理規(guī)劃是網(wǎng)絡設計中的重要一環(huán)，計算機網(wǎng)絡必須對IP地址進行統(tǒng)一規(guī)劃和實施。IP地址規(guī)劃的好壞，會影響到網(wǎng)絡路由協(xié)議算法的效率、網(wǎng)絡的性能、網(wǎng)絡的擴展、網(wǎng)絡的管理，也必將直接影響到網(wǎng)絡應用的進一步發(fā)展。

IP地址空間分配，要與網(wǎng)絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡中的路由聚類；減少路由器中路由表的長度，并減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡地址的可管理性。IP地址具體分配時要遵循以下原則：

(1)唯一性：一個IP網(wǎng)絡中不能有兩個主機采用相同的IP地址；

(2)簡單性：地址分配應簡單、易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表項；

(3)連續(xù)性：連續(xù)地址在層次結構網(wǎng)絡中要易于進行路徑疊合，大大縮減路由表，提高路由算法的效率；

(4)可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址的連續(xù)性；

(5)靈活性：地址分配應具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡地址三種。

當網(wǎng)絡以純私網(wǎng)地址分配或采用混合網(wǎng)絡地址接入時，網(wǎng)絡應提供地址變換功能，過濾掉私網(wǎng)地址。

根據(jù)學校的實際情況，IP地址的具體規(guī)劃需參照學校信息主管部門的規(guī)范，若規(guī)范尚未制定，可靈活選擇IP地址。建議選用C類私網(wǎng)(～55)地址，且OA網(wǎng)地址同Internet網(wǎng)地址空間不重合。具體的IP地址規(guī)劃內(nèi)容可在技術聯(lián)系會上確定，但應遵循上述的原則。

2．路由策略

在不同的VLAN間要實現(xiàn)互通必須提供路由，路由的產(chǎn)生可以由管理員指定，也可以由路由器運行動態(tài)路由協(xié)議而產(chǎn)生。

由管理員指定的路由稱為靜態(tài)路由，它是由管理員手工設置每一個路由器得到的，它的優(yōu)點是不占用網(wǎng)絡的資源，沒有路由更新信息所占用的網(wǎng)絡開銷；缺點是網(wǎng)絡中的管理員要對每一條路由都有非常清晰的了解，當一個網(wǎng)絡變得規(guī)模很大時，系統(tǒng)設置很困難。由路由器動態(tài)產(chǎn)生的路由叫動態(tài)路由，它是由路由器運行一定的動態(tài)路由協(xié)議，彼此通告路由信息，然后在此信息的基礎上產(chǎn)生各個路由器的路由表，常見的動態(tài)路由協(xié)議有RIPv1/v2、IGRP、EIGRP、OSPF、IS-IS、BGP4等協(xié)議。

從上面介紹的動態(tài)路由協(xié)議來看，該學校的骨干網(wǎng)絡應采用RIP動態(tài)路由協(xié)議，即兩臺核心交換機與八臺匯聚交換機之間互聯(lián)采用RIP動態(tài)路由協(xié)議。RIP協(xié)議的優(yōu)點是路由的開銷小、收斂速度快，協(xié)議是開放的標準協(xié)議，并且能夠保證以后升級的兼容性。

方案中選擇的路由交換機均支持以上兩種路由協(xié)議，可滿足需求。

3．QoS設計

在多種業(yè)務并存且存在資源瓶頸的地方，都應該考慮相應的QoS保證機制，以確保時間敏感的、關鍵的業(yè)務報文能夠被及時、正確、有效的轉發(fā)。在設備解決方案中，所有設備都可以支持相應的QoS/COS策略，核心路由交換機DCRS-6808提供完善的Diffserv/QoS支持，并提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管(CAR)、擁塞控制方法(RED、WRED、SA-RED)、隊列調(diào)度和輸出流整形等功能，做到業(yè)務區(qū)分并保證帶寬/時延/抖動在限定的范圍內(nèi)，使網(wǎng)管中心可以為工作組用戶提供具有不同服務質(zhì)量等級的服務保證，使骨干網(wǎng)真正成為同時承載數(shù)據(jù)、語音和視頻業(yè)務的綜合網(wǎng)絡。在網(wǎng)絡中應實施面向服務端口的QoS保證機制，同時，在核心路由交換機的路由端口設置中，開啟WFQ功能，通過WFQ保證實時、小包即使在最擁擠時仍然能夠得到快速的轉發(fā)。

同時，系統(tǒng)通過WRED、SA-RED隊列調(diào)度和輸出流整形等功能，真正做到業(yè)務區(qū)分并保證帶寬/時延/抖動在限定的范圍內(nèi)，確保網(wǎng)絡不出現(xiàn)擁塞，始終保持其高吞吐率和區(qū)別服務特性。

4．方案特點

本方案可以充分滿足該學校數(shù)字化校園系統(tǒng)的需求，并具有如下幾大特點：

(1)萬兆Ready。本方案選擇的核心交換機及匯聚交換機均具備萬兆擴展能力，使得校園網(wǎng)具備隨時向萬兆主干網(wǎng)平滑升級的能力。

(2)千兆接入到桌面。針對視頻應用較頻繁的接入用戶，本方案選擇了全千兆接入交換機DCS-4500-24T來滿足需求。

(3)?IPv6Ready。目前，校園網(wǎng)絡正處在IPv4向IPv6的過渡期，為保證該學校的校園網(wǎng)在將來3年內(nèi)向IPv6的平滑升級，本方案選擇了能夠硬件(ASIC)支持IPv6協(xié)議的核心交換機和匯聚交換機。

5．相關建議

1)性能提升建議

根據(jù)學校信息點的分布狀況，并通過對學校網(wǎng)絡應用的分