【正文】 K 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S內(nèi) 網(wǎng) 服 務 器外 網(wǎng) 服 務 器教 學 樓防火墻綜合樓學 生 公 寓1 號 東 區(qū)待建待 建教 師 公 寓東 區(qū)西 區(qū)R G S 6 8 0 6 E C交 換 機R G S 3 7 6 0交 換 機R G S 3 7 6 0交 換 機R G S 3 7 6 0交 換 機R G S 3 7 6 0交 換 機實 訓 車 間機 房辦 公 室 1 號 西 區(qū)網(wǎng) 絡(luò) 督 察C i s c o A S A 5 5 2 0 從圖中可看出，在總體方案中采用了二層與三層的網(wǎng)絡(luò)結(jié)構(gòu)：教學、科研和辦公區(qū)域為核心層、接入層的二層結(jié)構(gòu)；學生宿舍區(qū)和教室等區(qū)域采用核心層、樓棟匯聚層和接入三層結(jié)構(gòu)。 5．具體信息點分布 接入樓宇 所需光纖 接入模式 交換機安放位置 所需交換機類型 信息點數(shù)量 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 機房 核心 教學樓 6 芯單模 千 兆 機房 區(qū)域匯聚 160 教師公寓 6 芯 多 模 千兆 機房 樓棟匯聚 50 學生公寓 12 芯單模 千兆 機房 樓棟匯聚 480 實訓車間 6 芯 多 模 10 合計 700 第三章 系統(tǒng)詳細設(shè)計 校園網(wǎng)物理設(shè)計 1．核心層 核心層骨干交換機采用 RGS6806EC 交換機 。 RGS6800 系列是銳捷網(wǎng)絡(luò)的全模塊化、高密度端口萬兆核心路由交換機。 RGS6800 系列交換機高達 512G/256G 的背板帶寬和 286 Mpps/143Mpps 的二 /三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的 交換；同時結(jié)合強大的交換路由功能、安全智能技術(shù)，可以為用戶提供完整的端到端解決方案 。 2．匯聚層 匯聚層采用千兆三層交換機 RGS3760。 RGS3760 系列交換機硬件支持 IPv4/IPv6 雙協(xié)議棧多層線速交換和功能特性，為 IPv6 網(wǎng)絡(luò)之間的通信提供了豐富的 Tunnel 技術(shù)，并提供了豐富而完善的路由協(xié)議，以適合大型網(wǎng)絡(luò)多種路由和多業(yè)務的需要。 RGS3760 系列交換機在提供高性能、多業(yè)務的同時，其內(nèi)在的安全防御機制和用戶管理能力，更可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入和使用網(wǎng)絡(luò)，保證合法 用戶合理化使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運營。 RGS3760 系列為方便大型網(wǎng)絡(luò)使用和不同管理員的管理習慣，提供了多種形式的管理工具如SNMP、 Tel、 Web 和 Console 口等。 RGS3760 系列以高性能、高安全、多業(yè)務、易用性特性為大型網(wǎng)絡(luò)匯聚和中型網(wǎng)絡(luò)核心提供了 IPv4/IPv6 的多層交換、端到端的服務質(zhì)量、靈活豐富的安全措施和基于策略的網(wǎng)管，最大化滿足高速、安全、多業(yè)務的下一代企業(yè)網(wǎng)需求。 3．接入層 接入層設(shè)備采用安全智能交換機 STARS2126G 或 STARS2150G。 STARS2126G /S2150G 是兩款全線速可堆疊的安全智能交換機，在提供智能的流分類、完善的服務質(zhì)量（ QoS）和組播應用管理特性同時，并可以根據(jù)網(wǎng)絡(luò)實際使用環(huán)境，實施靈活多樣的安全控制策略，可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運營 。 STARS2126G/S2150G 可通過 SNMP、 Tel、 Web和 Console 口等多種配置方式提供豐富的管理。 S2126G/S2150G 以極高的性價比為各類型網(wǎng)絡(luò)提供 完善的端到端的 QoS 服務質(zhì)量、靈活豐富的安全策略管理和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的網(wǎng)絡(luò)新需求。 4．防火墻 Cisco ASA 5520 系列在單一平臺中提供了多種市場成熟技術(shù)的強大組合 ，提供 成熟的安全和 VPN 性能 ，支持 IPS、 AntiX 以及 IPSec 和 SSL VPN 技術(shù)，提供了強大的應用安全、基于用戶和應用的訪問控制、蠕蟲和病毒防御、惡意軟件防御、防網(wǎng)絡(luò)釣魚和防垃圾郵件、 URL 阻攔和過濾，以及遠程用戶 / 地點連接 , 支持高度可定制的安全策略及服務，有助于防御快速發(fā)展的威脅環(huán)境 。 5．校園網(wǎng)出口 在防火墻上進行內(nèi)網(wǎng) IP 地址的 NAT 轉(zhuǎn)換，使內(nèi)網(wǎng)用戶能訪問互聯(lián)網(wǎng)。同時， 在 防火墻上 設(shè)置策略路由，負責根據(jù)校園網(wǎng)的計費策略和要求將出口流量分流到不同的 ISP出口上 ，以達到高速訪問互聯(lián)網(wǎng)的效果。 校園網(wǎng)邏輯設(shè)計 VLAN 是基于交換層（即數(shù)據(jù)鏈路層）劃分的。為上層提供服務，但與上層的協(xié)議無關(guān)， VLAN能制約數(shù)據(jù)幀在本 VLAN 的一切活動，無需關(guān)心上層協(xié)議下傳的分組類型，因此 VLAN 在具體的應用上將具有優(yōu)越的實用性。 而更吸引人的特點是 VLAN 的劃分可以結(jié)合先進的網(wǎng)絡(luò)管理平臺來進行。各終端用戶 的變動，只需在網(wǎng)管工作站作相應的配置即可，使系統(tǒng)的可管理性、可維護性更好。 我們亦可采用虛擬局域網(wǎng)技術(shù)將地理位置不同的、同屬一個單位的幾個局域網(wǎng)劃分成一個虛擬網(wǎng)段，以便單位內(nèi)部的數(shù)據(jù)共享和管理。 VLAN 架構(gòu)的目標是使聯(lián)網(wǎng)更加容易，從而網(wǎng)絡(luò)管理人員能夠集中精力提供應用程序和服務。VLAN 架構(gòu)幫助各機構(gòu)大大降低了網(wǎng)絡(luò)移動與變更的高昂費用。它還增強了對廣播與組播通信的管理，提高了網(wǎng)絡(luò)安全性，實現(xiàn)了網(wǎng)絡(luò)管理中許多方面的自動化，并減少了局域網(wǎng)中對路由器的需要。最后， VLAN 架構(gòu)使各機構(gòu)能夠在網(wǎng)絡(luò)管理中實現(xiàn)極高程度的 自動化。 VLAN 架構(gòu)全面應付解決了 VLAN 實施的四個關(guān)鍵領(lǐng)域： VLAN 成員中如何定義的， VLAN 成員信息是如何在多臺交換機上交流的， VLAN 配置的自動化程度如何，以及通信是如何在不同 VLAN之間傳輸?shù)摹? 定義 VLAN 基本方法：通過交換端口組。 實現(xiàn) VLAN 間通信的方式： 采用虛網(wǎng)技術(shù)對 鄂州經(jīng)貿(mào) 學校校園網(wǎng)絡(luò)進行虛網(wǎng)劃分后，可以達到以下目的： ? 降低移動與變更的管理成本 ? 比路由器更具成本效益的廣播控制 ? 支持多媒體應用程序與高效組播控制 ? 增強的安全性 ? 網(wǎng)絡(luò)監(jiān)督與管理的自動化 ? 減少路由需要 ? 更為有效的網(wǎng)絡(luò)監(jiān) 控 虛 擬局域網(wǎng) 的規(guī)劃與設(shè)計 VLAN 劃分的方法 1）按端口劃分。將 VLAN 交換機上的物理端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當于一個獨立的 VLAN 交換機。這種按網(wǎng)絡(luò)端口來劃分 VLAN 網(wǎng)絡(luò)成員的配置過程簡單明了，因此，它是最常用的一種方式。其主要缺點在于不允許用戶移動，一旦用戶移動到一個新的位置，網(wǎng)絡(luò)管理員必須配置新的 VLAN。 （ 2）按 MAC 地址劃分。 VLAN工作基于工作站的 MAC 地址， VLAN交換機跟蹤屬于 VLAN MAC的地址，從某種意義上說，這是一種基于用戶的網(wǎng)絡(luò)劃分 手段，因為 MAC 在工作站的網(wǎng)卡（ NIC）上。這種方式的 VLAN 允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN 的成員身份，但這種方式要求網(wǎng)絡(luò)管理員將每個用戶都一一劃分在某個 VLAN 中，在一個大規(guī)模的 VLAN 中，這就有些困難 。 （ 3）按網(wǎng)絡(luò)協(xié)議劃分。 VLAN 按網(wǎng)絡(luò)層協(xié)議來劃分，可分為 IP、 IPX、 DEC、 AppleTalk、Banyan 等 VLAN 網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的 VLAN，可使廣播域跨越多個 VLAN 交換機。這對于希望針對具體應用和服務來組織用戶的網(wǎng)絡(luò)管理員來說是非常具 有吸引力的，而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動，但其 VLAN 成員身份仍然保留不變。這種方式不足之處在于，可使廣播域跨越多個 VLAN 交換機，容易造成某些 VLAN站點數(shù)目較多，產(chǎn)生大量的廣播包，使 VLAN 交換機的效率降低。 （ 4）按 IP／ IPX 劃分。基于 IP 子網(wǎng)的 VLAN，可按照 IPv4 和 IPv6 方式來劃分 VLAN。其每個 VLAN 都是和一段獨立的 IP 網(wǎng)段相對應的，將 IP 的廣播組和 VLAN 的碰撞域一對一地結(jié)合起來。這種方式有利于在 VLAN 交換機內(nèi)部實現(xiàn)路由，也有利于將動態(tài)主機配置（ DHCP）技術(shù)結(jié)合起來，而且，用戶 可以移動工作站而不需要重新配置網(wǎng)絡(luò)地址，便于網(wǎng)絡(luò)管理。其主要缺點在于效率要比第二層差，因為查看三層 IP 地址比查看 MAC 地址所消耗的時間多?；?IPX 的 VLAN，也是按照 OSI（開放系統(tǒng)互連）模型的第三層地址來設(shè)計的。 （ 5）按策略劃分?；诓呗越M成的 VLAN 能實現(xiàn)多種分配方法，包括 VLAN 交換機端口、 MAC地址、 IP 地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來決定選擇哪種類型的 VLAN。 （ 6）按用戶定義、非用戶授權(quán)劃分?；谟脩舳x、非用戶授權(quán)來劃分 VLAN，是指為了適應特別的 VLAN網(wǎng)絡(luò)，特別的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計 VLAN，而且可以讓非 VLAN 群體用戶訪問 VLAN，但是需要提供用戶密碼，得到 VLAN 管理的認證后才可以加入一個 VLAN。 在 學校 的校園網(wǎng)網(wǎng)絡(luò)中，校園的主干部分（及核心層與匯聚層之間）運行動態(tài)路由協(xié)議，每個匯聚層交換機作為第三層設(shè)備將會成為廣播流量的邊界，從而也中斷了 VLAN 跨過主干網(wǎng)絡(luò)，可以說每個匯聚點都是一個 VLAN 管理的域，不同的 VLAN 管理域之間的 VLAN 從命名上或 VLAN ID號的分配上都沒有任何關(guān)系。而在每個 VTP 域中， VLAN1 專門用于交換機之 間控制面板流量的傳輸，而不承載用戶數(shù)據(jù)，也不作為管理 VLAN，并在 Trunk 上清除了 VLAN1 的用戶流量以減小VLAN1 生成樹的直徑。 VLAN 2 為各個 VTP 域的管理 VLAN，專用于校園網(wǎng)所有交換機的 tel 和 SNMP遠程管理。 V