【正文】 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計(jì)華成電子網(wǎng)絡(luò)有限公司 Page 1 of 62 第三章 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案 標(biāo)準(zhǔn)與協(xié)議 IEEE802系列： 網(wǎng)絡(luò)協(xié)議： TCP/IP IPX/SPX 網(wǎng)管協(xié)議： SNMP agentV1(RFC11551157)/SNMP agentV2 RMON/ATMRMON Tel TFTP， LEC， RFC1577Client SNMP MIBII(RFC1213) Bridge MIB(RFC1493) Ether MIB(RFC1398) 多媒體技術(shù)的普及給 Inter 和 Intra 提出了更高的發(fā)展要求。海軍工程大學(xué)校園網(wǎng)絡(luò)應(yīng)建成一個(gè)以寬帶技術(shù)為基礎(chǔ)、提供多層次服務(wù)、支持多媒體應(yīng)用的信息服務(wù)網(wǎng)絡(luò)。 數(shù)據(jù)網(wǎng)建設(shè)是海軍工程大學(xué)數(shù)字化校園工程項(xiàng)目重要組成部分，為學(xué)生、教師獲取各種信息資源提供通信基礎(chǔ)，為各種上層應(yīng)用提供網(wǎng)絡(luò)平臺(tái)，在校園的信息化中發(fā)揮這重海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計(jì)華成電子網(wǎng)絡(luò)有限公司 Page 2 of 62 要作用。 在網(wǎng)絡(luò)的整體規(guī)劃中，使用代表未來(lái)發(fā)展方向的技術(shù)，采取 合理的建設(shè)步驟，最終建設(shè)一個(gè)高效、實(shí)用的校園網(wǎng)絡(luò)，為學(xué)校的信息化建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。海軍工程大學(xué)校園網(wǎng)絡(luò)工程將是一個(gè)滿足數(shù)字、語(yǔ)音、圖形圖像等多媒體信息，以及綜合業(yè)務(wù)信息傳輸和處理需要的綜合數(shù)字網(wǎng)，并能符合多種網(wǎng)絡(luò)協(xié)議，體系結(jié)構(gòu)符合國(guó)際標(biāo)準(zhǔn)或事實(shí)上的國(guó)際工業(yè)標(biāo)準(zhǔn) (如 TCP/IP)，同時(shí)能兼容已有的網(wǎng)絡(luò)環(huán)境。 根據(jù)海軍工程大學(xué)校園網(wǎng)絡(luò)建設(shè)目標(biāo)和設(shè)計(jì)要求，和我們多年的系統(tǒng)集成經(jīng)驗(yàn)，其校園網(wǎng)絡(luò)總體設(shè)計(jì)遵循以下若干原則 : （１） 先進(jìn)性 : 從系統(tǒng)體系結(jié)構(gòu)和網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)結(jié)構(gòu)方面均采用當(dāng)前國(guó)內(nèi)外先進(jìn)的技術(shù)，同時(shí)，在設(shè)備選型方面 考慮到技術(shù)的成熟性，采用主流機(jī)型，主流系統(tǒng)。 校園網(wǎng)絡(luò)傳輸?shù)男畔⒘看?，要求?jì)算機(jī)網(wǎng)絡(luò)具備高帶寬的傳輸主干。隨著將來(lái)用戶的增加，網(wǎng)絡(luò)也將面臨多樣化需求。 我們將在網(wǎng)絡(luò)構(gòu)架，硬件設(shè)備，協(xié)議選擇，安全控制和網(wǎng)絡(luò)管理等方面充分體現(xiàn)海軍工程大學(xué)校園網(wǎng)絡(luò)的先進(jìn)性。 （２） 可靠性： 我們從網(wǎng)絡(luò)骨干線路的冗余備份、網(wǎng)絡(luò)設(shè)備的冗余備份和電源冗余備份等方面來(lái)保證海軍工程大學(xué)校園網(wǎng)絡(luò)的可靠性。另外，還從以下幾個(gè)方面來(lái)保障： 無(wú)差錯(cuò)運(yùn)行：在網(wǎng)絡(luò)設(shè)計(jì)中采用防干擾、防浪涌技術(shù)，在網(wǎng)絡(luò)系統(tǒng)的配置中，嚴(yán)格遵循設(shè)備技術(shù)要求。 不間斷運(yùn)行：對(duì)關(guān)鍵的 部件和設(shè)備均采用冗余備份設(shè)計(jì)，同時(shí)采用 UPS 電源系統(tǒng)，確保系統(tǒng)安全可靠的連續(xù)運(yùn)行。 （３） 開放性和擴(kuò)充性 在設(shè)備選型上，選擇業(yè)界著名廠商的產(chǎn)品，以提供更為完善全面的技術(shù)支持和售后服務(wù)。選擇符合國(guó)際標(biāo)準(zhǔn)及業(yè)界流行成熟的工業(yè)標(biāo)準(zhǔn)的設(shè)備，以便對(duì)技術(shù)的未來(lái)發(fā)展提供保證。 系統(tǒng)結(jié)構(gòu)配置，采用具有最佳升級(jí)途徑的配置，一是結(jié)構(gòu)合理，二是升級(jí)代價(jià)最小，保證系統(tǒng)具有良好的可升級(jí)性。 隨著業(yè)務(wù)的發(fā)展，海軍工程大學(xué)校園網(wǎng)絡(luò)面臨的任務(wù)將會(huì)愈來(lái)愈繁重，信息資源范海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計(jì)華成電子網(wǎng)絡(luò)有限公司 Page 3 of 62 圍的擴(kuò)大和用戶數(shù)量的增加，將使網(wǎng)上信息流量成倍增長(zhǎng)。多元化的應(yīng)用要求網(wǎng)絡(luò)對(duì)多種協(xié)議的支持和對(duì)異種網(wǎng)絡(luò)的兼容，無(wú)論是網(wǎng)絡(luò)硬件還是系統(tǒng)軟件，都須符合當(dāng)今業(yè)界標(biāo)準(zhǔn)，可以方便的擴(kuò)充和升級(jí)。 我們從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、插槽個(gè)數(shù)、管理軟件和網(wǎng)絡(luò)整體結(jié)構(gòu)，以及技術(shù)的開放性和對(duì)相關(guān)協(xié)議的支持等方面，來(lái)保證網(wǎng)絡(luò)系統(tǒng)的開放性和擴(kuò)充性。 （４） 易管理性： 海軍工程大學(xué)校園網(wǎng)絡(luò)物理范圍廣，網(wǎng)絡(luò)的管理任務(wù)十分復(fù)雜和重要，如何有效地管理好網(wǎng)絡(luò)關(guān)系到是否能充分有效地利用網(wǎng)絡(luò)系統(tǒng)資源，優(yōu)化網(wǎng)絡(luò)性能，保障網(wǎng)絡(luò)安全。 我們利用圖形化的管理界面和簡(jiǎn)潔的操作方式，提供強(qiáng)大的網(wǎng)絡(luò)管理功能。使網(wǎng)絡(luò)日常的維護(hù)和操作變得直觀，便 捷和高效。 （５） 安全性： 我們可以對(duì)網(wǎng)絡(luò)設(shè)置一定的安全訪問(wèn)權(quán)限，以隔離網(wǎng)絡(luò)外部的非法訪問(wèn)，確保網(wǎng)絡(luò)的安全。 （６） 實(shí)用性： 根據(jù)用戶需求和規(guī)劃，網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)在性能價(jià)格比方面應(yīng)充分體現(xiàn)系統(tǒng)的實(shí)用性，既要采用先進(jìn)的技術(shù)，又能在經(jīng)費(fèi)允許的條件下實(shí)現(xiàn)建網(wǎng)目標(biāo)。 我們將周密考慮對(duì)設(shè)備的選型和網(wǎng)絡(luò)結(jié)構(gòu)的規(guī)劃，提供投資保護(hù)的較理想解決方案。 上述網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)原則將自始自終貫穿整個(gè)設(shè)計(jì)方案并具體加以實(shí)現(xiàn)。 （７） 高質(zhì)量： 網(wǎng)絡(luò)質(zhì)量不僅表現(xiàn)在網(wǎng)絡(luò)設(shè)備上，也反映在網(wǎng)絡(luò)的設(shè)計(jì)上，因此該網(wǎng)絡(luò)過(guò)程的各個(gè)環(huán)節(jié)均要體現(xiàn)這一原則。 （８） 互通性： 該網(wǎng)絡(luò)的 方案設(shè)計(jì)充分保證了與其它骨干網(wǎng)的互連，以及與其它 IP網(wǎng)絡(luò)的互連。本方案設(shè)計(jì)均采用了國(guó)際標(biāo)準(zhǔn)協(xié)議。 網(wǎng)絡(luò)管理基于 SNMP，隨著網(wǎng)絡(luò)標(biāo)準(zhǔn)和軟件版本的更新，現(xiàn)有技術(shù)和設(shè)備能夠向上兼容，能進(jìn)行各種數(shù)據(jù)庫(kù)的互操作，能支持多種介質(zhì)，支持多種端口類型，能實(shí)現(xiàn)高速網(wǎng)絡(luò)與低速網(wǎng)絡(luò)的無(wú)縫連接。 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計(jì)華成電子網(wǎng)絡(luò)有限公司 Page 4 of 62 從結(jié)構(gòu)上來(lái)講，寬帶綜合業(yè)務(wù)骨干網(wǎng)絡(luò)應(yīng)該包括三個(gè)層次：核心骨干層、業(yè)務(wù)匯聚層、接入層。 核心骨干層 核心骨干層是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)，它的主要功能是作為高速互聯(lián)的網(wǎng)絡(luò)骨干，實(shí)現(xiàn)骨干節(jié)點(diǎn)之間的優(yōu)化傳輸。對(duì)于核心骨干層來(lái)說(shuō)，互連是 至關(guān)重要的，因此必須采用冗余組件、冗余鏈路設(shè)計(jì)核心骨干層；同樣，高可靠性也是必不可少的，能快速適應(yīng)網(wǎng)絡(luò)變化，互連的鏈路在發(fā)生故障時(shí)，應(yīng)能夠?qū)崿F(xiàn)快速自愈，最大限度地保護(hù)業(yè)務(wù)量不受影響。 核心骨干層是寬帶綜合業(yè)務(wù)網(wǎng)的關(guān)鍵，先進(jìn)的 IP QoS技術(shù)為多等級(jí)數(shù)據(jù)和多媒體業(yè)務(wù)在核心骨干網(wǎng)上的傳輸提供了必要的保證。 IP的策略服務(wù)、安全控制使得基于 IP的多媒體網(wǎng)具有良好的延展性。 業(yè)務(wù)匯聚層 業(yè)務(wù)匯聚層是網(wǎng)絡(luò)的核心層與接入層之間的分界點(diǎn)，匯聚層扮演很多角色，是網(wǎng)絡(luò)業(yè)務(wù)匯聚、交換的場(chǎng)所，要求網(wǎng)絡(luò)設(shè)備具備交換容量大、端口密度高 、可靠性高等特點(diǎn)。 接入層 接入層設(shè)備能提供高密度的寬帶端口 (主要為 10/100 M bps 的交換以太端口 )，以滿足基于 IP的數(shù)據(jù)、語(yǔ)音、視頻的不同業(yè)務(wù)。 本校園網(wǎng)采用 一個(gè)中心、三個(gè)匯聚、多個(gè)接入 的結(jié)構(gòu)。 整個(gè)網(wǎng)絡(luò)的設(shè)計(jì)將具有以下特點(diǎn)： 1) 面向應(yīng)用的設(shè)計(jì)方案 任何一個(gè)網(wǎng)絡(luò)組建的目的都不是為了組網(wǎng)而組網(wǎng)，海軍工程大學(xué)對(duì)業(yè)務(wù)系統(tǒng)支撐特性的關(guān)注，構(gòu)建面向業(yè)務(wù)、面向應(yīng)用的網(wǎng)絡(luò)平臺(tái)同時(shí)也是我們?cè)诰W(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)考慮到的，我們將從以下幾個(gè)方面闡述我們建議的業(yè)務(wù)支撐。 2) VLAN隔離的設(shè)計(jì)方案 VLAN（ Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫，它最簡(jiǎn)明的描述就是可以實(shí)現(xiàn)將連接在同一個(gè)物理網(wǎng)絡(luò)上面的主機(jī)分組，使它們看起來(lái)就象連接在不同的網(wǎng)絡(luò)上一樣。 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計(jì)華成電子網(wǎng)絡(luò)有限公司 Page 5 of 62 在大型局域網(wǎng)絡(luò)組建中， VLAN 技術(shù)是不可缺少的關(guān)鍵技術(shù)，科學(xué)的 VLAN 設(shè)計(jì)可以為局域網(wǎng)絡(luò)帶來(lái)一系列的優(yōu)點(diǎn)： 在同一個(gè)物理網(wǎng)絡(luò)實(shí)現(xiàn)第二層工作組劃分，實(shí)現(xiàn)不同工作組之間第二層的完全隔離，同時(shí)，組員可以處在物理網(wǎng)絡(luò)中的任何位置，不受同一臺(tái)設(shè)備限制； 隔離廣播，提高效率，避免不相關(guān)的廣播幀在全網(wǎng)擴(kuò)散，浪費(fèi)有效帶寬資源； 在海軍工程大學(xué)校園網(wǎng)系統(tǒng)中，我們建議基 于 IEEE 標(biāo)準(zhǔn)實(shí)現(xiàn) VLAN，在 VLAN設(shè)計(jì)中，我們使用 VLAN達(dá)到兩個(gè)目的，第一，不同部門和單位之間的隔離和通信控制；第二，廣播范圍抑制。 從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進(jìn)行具體 VLAN規(guī)劃時(shí)，同一個(gè)廣播域內(nèi)（一個(gè) VLAN）的通信主機(jī)不要超過(guò) 50臺(tái)，最好控制在 30臺(tái)以內(nèi)，對(duì)于主機(jī)數(shù)量超過(guò) 50的業(yè)務(wù)部門，我們通過(guò)二層隔離，三層交換的方式來(lái)解決?？梢酝耆判牡氖?，華為 Quidway S 系列路由交換產(chǎn)品提供全線速的二三層交換能力，所以，對(duì)于我們的 VLAN解決方案來(lái)說(shuō)，第 二層和第三層處理性能是完全相同的，可以實(shí)現(xiàn)兩種設(shè)計(jì)之間的直接融合，從而更加靈活自由。 華為 iManager 綜合網(wǎng)管系統(tǒng)提供非?？旖莸?VLAN 批量設(shè)置和修改工具，只需要通過(guò)圖形化界面對(duì)具體端口標(biāo)識(shí)選取或者非選取，就能輕松設(shè)置其 VLAN歸屬。 具備服務(wù)質(zhì)量保證的網(wǎng)絡(luò) 根據(jù)學(xué)校發(fā)展的規(guī)劃，各種網(wǎng)絡(luò)應(yīng)用將逐步開展，對(duì)網(wǎng)絡(luò)環(huán)境也提出了進(jìn)一步的要求。目前，即將開展的網(wǎng)絡(luò)多媒體方面的應(yīng)用主要有：網(wǎng)上實(shí)時(shí)交互式教學(xué)、多媒體課件點(diǎn)播、網(wǎng)絡(luò)會(huì)議直播、網(wǎng)絡(luò)電視直播、 VOD 視頻點(diǎn)播、網(wǎng)絡(luò)教學(xué)資源共享等。多媒體數(shù)據(jù)的實(shí)時(shí)傳輸，對(duì)網(wǎng)絡(luò) 提出了更高的要求，為了保證實(shí)時(shí)教學(xué)的正常進(jìn)行和課件點(diǎn)播、視頻點(diǎn)播的傳輸質(zhì)量，應(yīng)網(wǎng)絡(luò)設(shè)備的選擇、網(wǎng)絡(luò)帶寬占用、網(wǎng)絡(luò)協(xié)議的配置、網(wǎng)絡(luò)系統(tǒng)的優(yōu)化等滿足一定的技術(shù)要求，以保證網(wǎng)絡(luò)服務(wù)質(zhì)量（ Qos）。 在多種業(yè)務(wù)并存并且存在資源瓶頸的地方，都應(yīng)該考慮相應(yīng)的 QOS保證機(jī)制，確保時(shí)間敏感的、關(guān)鍵的業(yè)務(wù)報(bào)文能夠被及時(shí)、正確、有效的轉(zhuǎn)發(fā)。在我們建議的設(shè)備解決方案中，所有設(shè)備都可以支持相應(yīng)的 QOS/COS策略， 我們建議在網(wǎng)絡(luò)中上實(shí)施面向服務(wù)端口的 QOS保證機(jī)制，同時(shí)，系統(tǒng)通過(guò) WRED的方式對(duì)擁塞進(jìn)行加權(quán)避免，確保網(wǎng)絡(luò)不出現(xiàn)擁 塞，始終保持其高吞吐率特性。 3) 高安全的網(wǎng)絡(luò) 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計(jì)華成電子網(wǎng)絡(luò)有限公司 Page 6 of 62 網(wǎng)絡(luò)安全設(shè)計(jì)包括兩個(gè)大方面的內(nèi)容，設(shè)備自身的安全機(jī)制和網(wǎng)絡(luò)安全協(xié)議的設(shè)計(jì)使用，目前常見的網(wǎng)絡(luò)安全隱患主要來(lái)自以下一些方面： ? 網(wǎng)絡(luò)級(jí)攻擊 竊聽報(bào)文 攻擊者使用報(bào)文獲取設(shè)備，從傳輸?shù)臄?shù)據(jù)流中獲取數(shù)據(jù)并進(jìn)行分析，以獲取用戶名 /口令或者是敏感的數(shù)據(jù)信息。特別是通過(guò) Inter 的數(shù)據(jù)傳輸，存在時(shí)間上的延遲，更存在地理位置上的跨越，要避免數(shù)據(jù)不受竊聽，基本是不可能的。 IP 地址欺騙 攻擊者通過(guò)改變自己的 IP 地址來(lái)偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定 的報(bào)文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報(bào)文（如發(fā)送 ICMP的特定報(bào)文）來(lái)更改路由信息，以竊取信息。 源路由攻擊 報(bào)文發(fā)送方通過(guò)在 IP 報(bào)文的 Option域中指定該報(bào)文的路由，使報(bào)文有可能被發(fā)往一些受保護(hù)的網(wǎng)絡(luò)。 端口掃描 通過(guò)探測(cè)防火墻在偵聽的端口，來(lái)發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道網(wǎng)絡(luò)設(shè)備操作系統(tǒng)軟件的某個(gè)版本存在漏洞，通過(guò)查詢特定端口，判斷是否存在該漏洞。然后利用這些漏洞對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，使得網(wǎng)絡(luò)設(shè)備 DOWN掉或無(wú)法正常運(yùn)行。 拒絕服務(wù)攻擊 攻擊者的目的是阻止合法用戶對(duì)資 源的訪問(wèn)。比如通過(guò)發(fā)送大量報(bào)文使得網(wǎng)絡(luò)帶寬資源被消耗。 ? 應(yīng)用層攻擊 有多種形式，包括探測(cè)應(yīng)用軟件的漏洞、 特洛依木馬 等； ? 系統(tǒng)級(jí)攻擊 不法分子利用操作系統(tǒng)的安全漏洞對(duì)內(nèi)部網(wǎng)構(gòu)成安全威脅。 另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問(wèn)題。 由此可見，完整的安全體系結(jié)構(gòu)應(yīng)由“網(wǎng)絡(luò)級(jí)安全、應(yīng)用級(jí)安全、系統(tǒng)級(jí)安全和企業(yè)級(jí)安全”四大部分組成。 網(wǎng)絡(luò)級(jí)安全是指在物理層、鏈路層、網(wǎng)絡(luò)層采取各種安全措施來(lái)保障海軍工程大學(xué)網(wǎng)絡(luò)的安全；應(yīng)用級(jí)安全是指采用應(yīng)用層安全產(chǎn)品和利用應(yīng)用系統(tǒng)自身專有的安全機(jī)制，在應(yīng)用層保證對(duì)海軍 工程大學(xué)網(wǎng)絡(luò)各種應(yīng)用系統(tǒng)的信息訪問(wèn)合法性；系統(tǒng)級(jí)安全主要是通過(guò)對(duì)操作系統(tǒng)（ UNIX、 NT）的安全設(shè)置和主機(jī)監(jiān)控，防止不法分子利用操作系統(tǒng)的安全漏洞對(duì)校園網(wǎng)構(gòu)成安全威脅；企業(yè)級(jí)安全主要是從建設(shè)內(nèi)部安全管理、審計(jì)和計(jì)算機(jī)病毒防范三方面來(lái)保障工行網(wǎng)絡(luò)的安全。 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計(jì)華成電子網(wǎng)絡(luò)有限公司 Page 7 of 62 通過(guò)工作組 VLAN設(shè)計(jì)，我們可以依據(jù)部門和單位業(yè)務(wù)性質(zhì)的不同將不同工作組劃分到不同的 VLAN，實(shí)現(xiàn)不同 VLAN之間第二層的完全隔離。 4) 可靠可擴(kuò)展的網(wǎng)絡(luò) 對(duì)于一個(gè)層次結(jié)構(gòu)的網(wǎng)絡(luò)，必然是可以擴(kuò)展的，而對(duì)于核心設(shè)備來(lái)說(shuō)，引擎可靠、設(shè)備可擴(kuò)展也是本方案的一個(gè)明顯的特 色。 根據(jù)長(zhǎng)期網(wǎng)絡(luò)建設(shè)經(jīng)驗(yàn)，我們認(rèn)為校園網(wǎng)建設(shè)原則上應(yīng)貫徹在最大限度內(nèi)實(shí)現(xiàn)資源共享的方針，是否上各信息應(yīng)用系統(tǒng)以是否有利于提高學(xué)校管理、教學(xué)水平，是否有利于降低管理及教學(xué)成本為標(biāo)準(zhǔn)進(jìn)行取舍。 鑒于此，理想的校園網(wǎng)應(yīng)按如下幾點(diǎn)進(jìn)行設(shè)計(jì)： ? 校園網(wǎng)應(yīng)具有通暢的外部連接通道，同時(shí)接入 Inter 和 CERNet，便于校內(nèi)用戶訪問(wèn)公眾互聯(lián)網(wǎng)和教育網(wǎng)的網(wǎng)絡(luò)資源。 ? 校園網(wǎng)園區(qū)內(nèi)連接方式接入層以交換為主，匯聚層以上以路由方式連接；骨干帶寬建議為 1000M，各單體建筑到中心機(jī)房或區(qū)域中心機(jī)房帶寬初步可 以為 100M，業(yè)務(wù)量大的建筑應(yīng)采用 1000M帶寬連接。 ? 各單體建筑，在可能有網(wǎng)絡(luò)接入的可能，或者需要納入信息管理范疇的，均應(yīng)