【正文】 右的先進性。并且從學(xué)校的利益出發(fā)，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴充的、能與其它廠商產(chǎn)品配套使用的設(shè)計。根據(jù)校園網(wǎng)的總體需求，結(jié)合對應(yīng)用系統(tǒng)的考慮，本次網(wǎng)絡(luò)建設(shè)的設(shè)計目標(biāo)是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬兆骨干網(wǎng)絡(luò)平臺。我們遵循以下的原則進行網(wǎng)絡(luò)設(shè)計：網(wǎng)絡(luò)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實效的方針，堅持實用、經(jīng)濟的原則，建設(shè)的萬兆骨干網(wǎng)絡(luò)平臺，保護用戶的投資。網(wǎng)絡(luò)建設(shè)設(shè)計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。不但能反映當(dāng)今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地位，保證貴校網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用萬兆以太網(wǎng)技術(shù)來構(gòu)建網(wǎng)絡(luò)主干線路。在考慮技術(shù)先進性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間，Cisco公司作為知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。為了保證骨干網(wǎng)絡(luò)平臺的健壯性和鏈路冗余性，網(wǎng)絡(luò)實施時在學(xué)校啟用千兆備份線路。在學(xué)校啟用物理鏈路冗余機制，保證任何一條線路出現(xiàn)故障后骨干網(wǎng)絡(luò)平臺的可用性。在網(wǎng)絡(luò)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括端口隔離、路由過濾、防DDoS拒絕服務(wù)攻擊、防IP掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權(quán)限控制等，充分考慮Cisco公司安全性，針對的各種應(yīng)用，有多種的保護機制，如劃分VLAN、IP/MAC地址綁定（過濾）、ACL、路由過濾、防DDoS拒絕服務(wù)攻擊、防IP掃描、SSH加密連接等具體技術(shù)提升整個網(wǎng)絡(luò)的安全性。由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，我們必須選擇具有一定擴展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴大的時候，不需要增加新的設(shè)備，而只需要增加一定數(shù)量的模塊就行。最好能夠做到在網(wǎng)絡(luò)技術(shù)進一步發(fā)展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng)模塊，而不需要更換整個設(shè)備。為了適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴展和維護。為了便于擴展，對于核心設(shè)備必須采用模塊化高密度端口的設(shè)備，便于將來升級和擴展。先進的設(shè)備必須配合先進的管理和維護方法，才能夠發(fā)揮最大的作用。全線采用基于SNMP標(biāo)準(zhǔn)的可網(wǎng)管產(chǎn)品，達到全程網(wǎng)管，降低了人力資源的費用，提高網(wǎng)絡(luò)的易用性、可管理性，同時又具有很好的可擴充性。二 網(wǎng)絡(luò)結(jié)構(gòu)分析1．骨干層網(wǎng)絡(luò)中心節(jié)點及其它核心節(jié)點作為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時，對關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。具體來說核心節(jié)點的交換機有兩個基本要求：1）高密度端口情況下，還能保持各端口的線速轉(zhuǎn)發(fā)；2）關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇?！　∮捎谛@網(wǎng)建設(shè)最終必將采用萬兆技術(shù)，因此需要考慮到核心設(shè)備對萬兆的支持能力。綜上所述，主干核心交換機屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機采用多業(yè)務(wù)萬兆核心路由交換機?？梢愿鶕?jù)用戶的需求靈活配置，靈活構(gòu)建彈性可擴展的網(wǎng)絡(luò)。多業(yè)務(wù)萬兆核心路由交換機高背板帶寬和二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的交換，強大的交換路由功能、安全智能技術(shù)可為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機的理想選擇。在此方案中，校區(qū)網(wǎng)絡(luò)中心采用Cisco公司路由交換機作為核心交換機。核心層交換機跟匯聚接入層交換機之間的千兆鏈路可以捆綁，從而實現(xiàn)帶寬的靈活擴展。2．接入層 接入層網(wǎng)絡(luò)由樓棟交換節(jié)點和樓層交換節(jié)點組成，接入層網(wǎng)絡(luò)應(yīng)該可以滿足各種客戶的接入需要，而且能夠?qū)崿F(xiàn)客戶化的接入策略，業(yè)務(wù)QOS保證，用戶接入訪問控制等等。樓層交換節(jié)點采用千兆智能堆疊交換機，提供智能的流分類和完善的QoS特征。為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、融合、安全的園區(qū)網(wǎng)新需求；本方案中各接入層交換機通過千兆鏈路上聯(lián)到各匯聚層設(shè)備，對下聯(lián)的桌面設(shè)備提供全雙工的百兆連接，為各類用戶提供無阻塞的交換性能。　3．出口因為校園網(wǎng)出口采用以太網(wǎng)，所以采用路由器 + 防火墻的方式，起到如下作用：防火墻提供強有力的服務(wù)器、內(nèi)網(wǎng)安全保護、提供IDS等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強，具有強大的NAT功能。三　網(wǎng)絡(luò)架構(gòu)設(shè)計與拓撲結(jié)構(gòu)校園網(wǎng)的建設(shè)主要是為了教學(xué)應(yīng)用，而多媒體輔助教學(xué)和多媒體教室是教學(xué)應(yīng)用的核心，在網(wǎng)絡(luò)建設(shè)時應(yīng)考慮多媒體信息的特點，如信息量大，對時間延遲敏感等；在校園網(wǎng)中常會出現(xiàn)幾十個學(xué)生執(zhí)行相同操作的現(xiàn)象，所以要考慮并發(fā)信息的控制；學(xué)生利用網(wǎng)絡(luò)做作業(yè)，教師要在家撥號訪問學(xué)校網(wǎng)絡(luò)，學(xué)籍管理信息在網(wǎng)上傳輸，所以也要考慮網(wǎng)絡(luò)的安全性，防止黑客破壞網(wǎng)絡(luò)，學(xué)生抄襲作業(yè)；校園網(wǎng)又是面向不同知識層次的教師、學(xué)生和辦公人員的工具，它幫助我們更好地提高教學(xué)水平、辦公效率和學(xué)習(xí)興趣，所以應(yīng)用和管理應(yīng)簡便易行，界面友好。 具體方案如下： 　　（1）支持多媒體應(yīng)用，包括多媒體教室、電子閱覽室、多媒體教學(xué)； 　　（2）高性能，全交換，滿足用戶需求； 　　（3）管理簡單，瀏覽器方式無需專門培訓(xùn)； 　?。?）系統(tǒng)安全，保密性高； 　?。?）ADSL連接方式，按需建立連接降低鏈路費用。 　 （6）互聯(lián)網(wǎng)接入，安全的廣域網(wǎng)訪問。本校園網(wǎng)設(shè)計方案主要由以下四大部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠程訪問模塊、服務(wù)器群。整個網(wǎng)絡(luò)系統(tǒng)的拓撲結(jié)構(gòu)圖如下圖所示?！　? 拓撲圖中的路由器、防火墻和核心交換機構(gòu)成了校園網(wǎng)的核心，也就是我們平常說的網(wǎng)絡(luò)中心，網(wǎng)絡(luò)中心性能的好與壞將直接影響整個校園網(wǎng)的性能，因此，網(wǎng)絡(luò)中心的組建將是整個校園網(wǎng)組建成敗的關(guān)鍵?！　÷酚善魈幵诰W(wǎng)絡(luò)中心的最頂層，它直接與互聯(lián)網(wǎng)連接，同時內(nèi)連校園網(wǎng)中的防火墻，所以路由器在校園網(wǎng)中的作用非常重要。我們在選擇適合校園使用的路由器時，要根據(jù)校園網(wǎng)的規(guī)模來決定。例如路由器的帶機數(shù)量，路由器的性能等，這些都要根據(jù)校園網(wǎng)的規(guī)模來確定。至于路由器的功能，我們不用考慮太多，由于市場上的產(chǎn)品同質(zhì)化嚴(yán)重，所以目前市場上的路由器大多都具有帶寬控制，MAC地址綁定，Qos機制等多種功能，我們只要將這些功能應(yīng)用得當(dāng)，就能最大限度利用路由器。在選擇路由器時，我們要考慮路由器的穩(wěn)定性，對于路由器的穩(wěn)定問題，是一個比較難回答的問題，我們只能了解其他用戶使用路由器之后的感受，不過建議大家選用大廠所生產(chǎn)的路由器，大廠生產(chǎn)的路由器雖然價格要貴一些，但穩(wěn)定性能夠得到保障。最后我們要注意一點，學(xué)校采用的什么網(wǎng)絡(luò)接入，現(xiàn)在很多校園都是專線接入，所以路由器要具備接入這種專線的能力?！　【W(wǎng)絡(luò)中心的防火墻實在校園網(wǎng)中擔(dān)當(dāng)網(wǎng)絡(luò)防黑的作用，雖然網(wǎng)絡(luò)中心的路由器也具有防火墻功能，不過路由器的防火墻功能一般都不夠強大，因此，校園網(wǎng)中使用防火墻還是有必要。校園網(wǎng)中的防火墻與普通防火墻有些不同，它不但要防止外來黑客的攻擊，還要防止內(nèi)部學(xué)生的惡作劇和限制學(xué)生訪問非法站點。防止外來黑客攻擊比較復(fù)雜，這需要管理員具有較高的專業(yè)知識，因為一款防火墻不進行設(shè)置，是無法抵御黑客的攻擊。防止校園內(nèi)學(xué)生的惡作劇和限制學(xué)生訪問非法站點相對來說要簡單一些，我們只要好好利用防火墻的MAC地址綁定功能，IP地址過濾，URL過濾等功能，就能為校園網(wǎng)用戶提供一個安全的網(wǎng)絡(luò)環(huán)境。防火墻的性能與功能同樣重要，畢竟校園網(wǎng)用戶要訪問互聯(lián)網(wǎng)必需經(jīng)過防火墻，如果防火墻性能比較差，將嚴(yán)重影響校園網(wǎng)性能。防火墻性能主要根據(jù)吞吐量，并發(fā)連接數(shù)來確定。我們在選擇校園防火墻時，最好選擇帶VPN功能的防火墻，現(xiàn)在很多高校都有自己的分校，要實現(xiàn)遠程分校的網(wǎng)絡(luò)訪問，采用VPN技術(shù)是最好的方式?！　【W(wǎng)絡(luò)中心的核心交換機也是根據(jù)校園規(guī)模來確定，現(xiàn)在高校的人數(shù)一般都比較多，計算機數(shù)量也比較多，為了方便管理，這里通常都是采用支持VLAN的三層路由交換機，VLAN功能可以幫助管理員管理校園網(wǎng)絡(luò)，防止廣播風(fēng)暴發(fā)生。在一些中小型校園，采用千兆骨干網(wǎng)的比較多，而一些大型校園則采用萬兆骨干網(wǎng)，所以三層交換機也要根據(jù)采用什么樣的骨干網(wǎng)來確定選擇千兆或萬兆三層路由交換機。　　校園網(wǎng)絡(luò)中心的建立是為了內(nèi)部各個小型網(wǎng)絡(luò)的接入，所以，接入部分是整個校園網(wǎng)絡(luò)的基礎(chǔ)。校園網(wǎng)中的接入主要分為兩部分，有線局域網(wǎng)的接入和無線局域網(wǎng)的接入。有線局域網(wǎng)主要是指那些已經(jīng)布好網(wǎng)絡(luò)線的地方，例如各個系的機房，新修的一些計算機大樓，新修的一些學(xué)生宿舍等，這些都已經(jīng)布好了網(wǎng)絡(luò)線，我們只需要選擇適合的交換機就能實現(xiàn)這部分有線網(wǎng)絡(luò)的接入。無線局域網(wǎng)的組建則針對一些老式的大樓，宿舍和大型會議室等，由于這些建筑在以往沒有布線或者不適合于布線，但又需要網(wǎng)絡(luò)信號覆蓋，因此，我們需要在這部分組建無線局域網(wǎng)。表　VLAN及IP編址方案VLAN號VLAN名稱IP網(wǎng)段默認網(wǎng)關(guān)說明VLAN 1 管理 VLANVLAN 10 JWC教務(wù)處 VLANVLAN 20 XSSS學(xué)生宿舍 VLANVLAN 30 CWC財務(wù)處 VLANVLAN 40 JGSS教工宿舍 VLANVLAN 50 WXY學(xué)院1 VLANVLAN 60 YYXY學(xué)院2 VLANVLAN 70 JSJXY學(xué)院3 VLANVLAN 80 FW服務(wù)器群 VLANVLAN 90 教學(xué)樓 VLANVLAN 100實驗樓 VLAN在這里為每個VLAN定義了一個由拼音縮寫組成的VLAN名稱。在設(shè)計IP地址方案之前，應(yīng)考慮以下幾個問題: 1）. 是否將網(wǎng)絡(luò)用真實地址連入Internet。 2）. 是否將網(wǎng)絡(luò)劃分為若干子網(wǎng)以方便網(wǎng)絡(luò)管理。 3）. 是采用靜態(tài)IP地址分配還是動態(tài)IP地址分配。 4）. 每個子網(wǎng)現(xiàn)在規(guī)劃多少個信息點。 5）. 每個子網(wǎng)將來會增加多少個信息點。第三章 主要技術(shù)設(shè)計的具體配置過程為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的?！　@區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：訪問層、分布層、核心層。　　傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實現(xiàn)了第3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。　　　現(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN間主機的廣播通信對其他VLAN的影響。在VLAN間需要通信的時候，可以利用VLAN間路由技術(shù)來實現(xiàn)?！　‘?dāng)網(wǎng)絡(luò)管理人員需要管理的交換機數(shù)量眾多時，可以使用VLAN中繼協(xié)議（Vlan Trunking Protocol，VTP）簡化管理，它只需在單獨一臺交換機上定義所有VLAN。然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負擔(dān)和工作強度?！　‘?dāng)園區(qū)網(wǎng)絡(luò)的交換機數(shù)量增多、交換機間鏈路增加時，交換網(wǎng)絡(luò)的復(fù)雜性可能會造成交換環(huán)路問題，這需要通過在各交換機上運行生成樹協(xié)議（Spanning Tree Protocol，STP）來解決。　　　　一個好的校園網(wǎng)設(shè)計應(yīng)該是一個分層的設(shè)計。一般分為三層設(shè)計模型。一 訪問層交換服務(wù)的實現(xiàn)——配置訪問層交換機 訪問層為所有的終端用戶提供一個接入點。這里的訪問層交換機采用的是Cisco Catalyst 2950 24口交換機（WSC295024）。交換機擁有24個10/100Mbps自適應(yīng)快速以太網(wǎng)端口，運行的是Cisco的IOS操作系統(tǒng)。我們以下圖的訪問層交換機AccessSwitch1進行設(shè)置。1. 配置訪問層交換機AccessSwitch1的基本參數(shù)Switch(config)hostname AccessSwitch1AcccessSwitch1(config) enable secret 123Switch /設(shè)置交換機口令A(yù)cccessSwitch1(config)line vty 0 15 /設(shè)置登錄虛擬終端線時的口令A(yù)cccessSwitch1(config