【正文】 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計華成電子網(wǎng)絡(luò)有限公司 Page 1 of 62 第三章 計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計方案 標(biāo)準(zhǔn)與協(xié)議 IEEE802系列： 網(wǎng)絡(luò)協(xié)議： TCP/IP IPX/SPX 網(wǎng)管協(xié)議： SNMP agentV1(RFC11551157)/SNMP agentV2 RMON/ATMRMON Tel TFTP， LEC， RFC1577Client SNMP MIBII(RFC1213) Bridge MIB(RFC1493) Ether MIB(RFC1398) 多媒體技術(shù)的普及給 Inter 和 Intra 提出了更高的發(fā)展要求。海軍工程大學(xué)校園網(wǎng)絡(luò)應(yīng)建成一個以寬帶技術(shù)為基礎(chǔ)、提供多層次服務(wù)、支持多媒體應(yīng)用的信息服務(wù)網(wǎng)絡(luò)。 數(shù)據(jù)網(wǎng)建設(shè)是海軍工程大學(xué)數(shù)字化校園工程項目重要組成部分，為學(xué)生、教師獲取各種信息資源提供通信基礎(chǔ)，為各種上層應(yīng)用提供網(wǎng)絡(luò)平臺，在校園的信息化中發(fā)揮這重海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計華成電子網(wǎng)絡(luò)有限公司 Page 2 of 62 要作用。 在網(wǎng)絡(luò)的整體規(guī)劃中，使用代表未來發(fā)展方向的技術(shù)，采取 合理的建設(shè)步驟，最終建設(shè)一個高效、實用的校園網(wǎng)絡(luò)，為學(xué)校的信息化建設(shè)打下堅實的基礎(chǔ)。海軍工程大學(xué)校園網(wǎng)絡(luò)工程將是一個滿足數(shù)字、語音、圖形圖像等多媒體信息，以及綜合業(yè)務(wù)信息傳輸和處理需要的綜合數(shù)字網(wǎng)，并能符合多種網(wǎng)絡(luò)協(xié)議，體系結(jié)構(gòu)符合國際標(biāo)準(zhǔn)或事實上的國際工業(yè)標(biāo)準(zhǔn) (如 TCP/IP)，同時能兼容已有的網(wǎng)絡(luò)環(huán)境。 根據(jù)海軍工程大學(xué)校園網(wǎng)絡(luò)建設(shè)目標(biāo)和設(shè)計要求，和我們多年的系統(tǒng)集成經(jīng)驗，其校園網(wǎng)絡(luò)總體設(shè)計遵循以下若干原則 : （１） 先進性 : 從系統(tǒng)體系結(jié)構(gòu)和網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)結(jié)構(gòu)方面均采用當(dāng)前國內(nèi)外先進的技術(shù)，同時，在設(shè)備選型方面 考慮到技術(shù)的成熟性，采用主流機型，主流系統(tǒng)。 校園網(wǎng)絡(luò)傳輸?shù)男畔⒘看?，要求計算機網(wǎng)絡(luò)具備高帶寬的傳輸主干。隨著將來用戶的增加，網(wǎng)絡(luò)也將面臨多樣化需求。 我們將在網(wǎng)絡(luò)構(gòu)架，硬件設(shè)備，協(xié)議選擇，安全控制和網(wǎng)絡(luò)管理等方面充分體現(xiàn)海軍工程大學(xué)校園網(wǎng)絡(luò)的先進性。 （２） 可靠性： 我們從網(wǎng)絡(luò)骨干線路的冗余備份、網(wǎng)絡(luò)設(shè)備的冗余備份和電源冗余備份等方面來保證海軍工程大學(xué)校園網(wǎng)絡(luò)的可靠性。另外，還從以下幾個方面來保障： 無差錯運行：在網(wǎng)絡(luò)設(shè)計中采用防干擾、防浪涌技術(shù)，在網(wǎng)絡(luò)系統(tǒng)的配置中，嚴(yán)格遵循設(shè)備技術(shù)要求。 不間斷運行：對關(guān)鍵的 部件和設(shè)備均采用冗余備份設(shè)計，同時采用 UPS 電源系統(tǒng)，確保系統(tǒng)安全可靠的連續(xù)運行。 （３） 開放性和擴充性 在設(shè)備選型上，選擇業(yè)界著名廠商的產(chǎn)品，以提供更為完善全面的技術(shù)支持和售后服務(wù)。選擇符合國際標(biāo)準(zhǔn)及業(yè)界流行成熟的工業(yè)標(biāo)準(zhǔn)的設(shè)備，以便對技術(shù)的未來發(fā)展提供保證。 系統(tǒng)結(jié)構(gòu)配置，采用具有最佳升級途徑的配置，一是結(jié)構(gòu)合理，二是升級代價最小，保證系統(tǒng)具有良好的可升級性。 隨著業(yè)務(wù)的發(fā)展，海軍工程大學(xué)校園網(wǎng)絡(luò)面臨的任務(wù)將會愈來愈繁重，信息資源范海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計華成電子網(wǎng)絡(luò)有限公司 Page 3 of 62 圍的擴大和用戶數(shù)量的增加，將使網(wǎng)上信息流量成倍增長。多元化的應(yīng)用要求網(wǎng)絡(luò)對多種協(xié)議的支持和對異種網(wǎng)絡(luò)的兼容，無論是網(wǎng)絡(luò)硬件還是系統(tǒng)軟件，都須符合當(dāng)今業(yè)界標(biāo)準(zhǔn)，可以方便的擴充和升級。 我們從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、插槽個數(shù)、管理軟件和網(wǎng)絡(luò)整體結(jié)構(gòu)，以及技術(shù)的開放性和對相關(guān)協(xié)議的支持等方面，來保證網(wǎng)絡(luò)系統(tǒng)的開放性和擴充性。 （４） 易管理性： 海軍工程大學(xué)校園網(wǎng)絡(luò)物理范圍廣，網(wǎng)絡(luò)的管理任務(wù)十分復(fù)雜和重要，如何有效地管理好網(wǎng)絡(luò)關(guān)系到是否能充分有效地利用網(wǎng)絡(luò)系統(tǒng)資源，優(yōu)化網(wǎng)絡(luò)性能，保障網(wǎng)絡(luò)安全。 我們利用圖形化的管理界面和簡潔的操作方式，提供強大的網(wǎng)絡(luò)管理功能。使網(wǎng)絡(luò)日常的維護和操作變得直觀，便 捷和高效。 （５） 安全性： 我們可以對網(wǎng)絡(luò)設(shè)置一定的安全訪問權(quán)限，以隔離網(wǎng)絡(luò)外部的非法訪問，確保網(wǎng)絡(luò)的安全。 （６） 實用性： 根據(jù)用戶需求和規(guī)劃，網(wǎng)絡(luò)系統(tǒng)的設(shè)計在性能價格比方面應(yīng)充分體現(xiàn)系統(tǒng)的實用性，既要采用先進的技術(shù)，又能在經(jīng)費允許的條件下實現(xiàn)建網(wǎng)目標(biāo)。 我們將周密考慮對設(shè)備的選型和網(wǎng)絡(luò)結(jié)構(gòu)的規(guī)劃，提供投資保護的較理想解決方案。 上述網(wǎng)絡(luò)系統(tǒng)的設(shè)計原則將自始自終貫穿整個設(shè)計方案并具體加以實現(xiàn)。 （７） 高質(zhì)量： 網(wǎng)絡(luò)質(zhì)量不僅表現(xiàn)在網(wǎng)絡(luò)設(shè)備上，也反映在網(wǎng)絡(luò)的設(shè)計上，因此該網(wǎng)絡(luò)過程的各個環(huán)節(jié)均要體現(xiàn)這一原則。 （８） 互通性： 該網(wǎng)絡(luò)的 方案設(shè)計充分保證了與其它骨干網(wǎng)的互連，以及與其它 IP網(wǎng)絡(luò)的互連。本方案設(shè)計均采用了國際標(biāo)準(zhǔn)協(xié)議。 網(wǎng)絡(luò)管理基于 SNMP，隨著網(wǎng)絡(luò)標(biāo)準(zhǔn)和軟件版本的更新，現(xiàn)有技術(shù)和設(shè)備能夠向上兼容，能進行各種數(shù)據(jù)庫的互操作，能支持多種介質(zhì)，支持多種端口類型，能實現(xiàn)高速網(wǎng)絡(luò)與低速網(wǎng)絡(luò)的無縫連接。 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計華成電子網(wǎng)絡(luò)有限公司 Page 4 of 62 從結(jié)構(gòu)上來講，寬帶綜合業(yè)務(wù)骨干網(wǎng)絡(luò)應(yīng)該包括三個層次：核心骨干層、業(yè)務(wù)匯聚層、接入層。 核心骨干層 核心骨干層是整個網(wǎng)絡(luò)的基礎(chǔ)，它的主要功能是作為高速互聯(lián)的網(wǎng)絡(luò)骨干，實現(xiàn)骨干節(jié)點之間的優(yōu)化傳輸。對于核心骨干層來說，互連是 至關(guān)重要的，因此必須采用冗余組件、冗余鏈路設(shè)計核心骨干層；同樣，高可靠性也是必不可少的，能快速適應(yīng)網(wǎng)絡(luò)變化，互連的鏈路在發(fā)生故障時，應(yīng)能夠?qū)崿F(xiàn)快速自愈，最大限度地保護業(yè)務(wù)量不受影響。 核心骨干層是寬帶綜合業(yè)務(wù)網(wǎng)的關(guān)鍵，先進的 IP QoS技術(shù)為多等級數(shù)據(jù)和多媒體業(yè)務(wù)在核心骨干網(wǎng)上的傳輸提供了必要的保證。 IP的策略服務(wù)、安全控制使得基于 IP的多媒體網(wǎng)具有良好的延展性。 業(yè)務(wù)匯聚層 業(yè)務(wù)匯聚層是網(wǎng)絡(luò)的核心層與接入層之間的分界點，匯聚層扮演很多角色，是網(wǎng)絡(luò)業(yè)務(wù)匯聚、交換的場所，要求網(wǎng)絡(luò)設(shè)備具備交換容量大、端口密度高 、可靠性高等特點。 接入層 接入層設(shè)備能提供高密度的寬帶端口 (主要為 10/100 M bps 的交換以太端口 )，以滿足基于 IP的數(shù)據(jù)、語音、視頻的不同業(yè)務(wù)。 本校園網(wǎng)采用 一個中心、三個匯聚、多個接入 的結(jié)構(gòu)。 整個網(wǎng)絡(luò)的設(shè)計將具有以下特點： 1) 面向應(yīng)用的設(shè)計方案 任何一個網(wǎng)絡(luò)組建的目的都不是為了組網(wǎng)而組網(wǎng)，海軍工程大學(xué)對業(yè)務(wù)系統(tǒng)支撐特性的關(guān)注，構(gòu)建面向業(yè)務(wù)、面向應(yīng)用的網(wǎng)絡(luò)平臺同時也是我們在網(wǎng)絡(luò)設(shè)計時應(yīng)考慮到的，我們將從以下幾個方面闡述我們建議的業(yè)務(wù)支撐。 2) VLAN隔離的設(shè)計方案 VLAN（ Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫，它最簡明的描述就是可以實現(xiàn)將連接在同一個物理網(wǎng)絡(luò)上面的主機分組，使它們看起來就象連接在不同的網(wǎng)絡(luò)上一樣。 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計華成電子網(wǎng)絡(luò)有限公司 Page 5 of 62 在大型局域網(wǎng)絡(luò)組建中， VLAN 技術(shù)是不可缺少的關(guān)鍵技術(shù)，科學(xué)的 VLAN 設(shè)計可以為局域網(wǎng)絡(luò)帶來一系列的優(yōu)點： 在同一個物理網(wǎng)絡(luò)實現(xiàn)第二層工作組劃分，實現(xiàn)不同工作組之間第二層的完全隔離，同時，組員可以處在物理網(wǎng)絡(luò)中的任何位置，不受同一臺設(shè)備限制； 隔離廣播，提高效率，避免不相關(guān)的廣播幀在全網(wǎng)擴散，浪費有效帶寬資源； 在海軍工程大學(xué)校園網(wǎng)系統(tǒng)中，我們建議基 于 IEEE 標(biāo)準(zhǔn)實現(xiàn) VLAN，在 VLAN設(shè)計中，我們使用 VLAN達到兩個目的，第一，不同部門和單位之間的隔離和通信控制；第二，廣播范圍抑制。 從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進行具體 VLAN規(guī)劃時，同一個廣播域內(nèi)（一個 VLAN）的通信主機不要超過 50臺，最好控制在 30臺以內(nèi)，對于主機數(shù)量超過 50的業(yè)務(wù)部門，我們通過二層隔離，三層交換的方式來解決?？梢酝耆判牡氖?，華為 Quidway S 系列路由交換產(chǎn)品提供全線速的二三層交換能力，所以，對于我們的 VLAN解決方案來說，第 二層和第三層處理性能是完全相同的，可以實現(xiàn)兩種設(shè)計之間的直接融合，從而更加靈活自由。 華為 iManager 綜合網(wǎng)管系統(tǒng)提供非常快捷的 VLAN 批量設(shè)置和修改工具，只需要通過圖形化界面對具體端口標(biāo)識選取或者非選取，就能輕松設(shè)置其 VLAN歸屬。 具備服務(wù)質(zhì)量保證的網(wǎng)絡(luò) 根據(jù)學(xué)校發(fā)展的規(guī)劃，各種網(wǎng)絡(luò)應(yīng)用將逐步開展，對網(wǎng)絡(luò)環(huán)境也提出了進一步的要求。目前，即將開展的網(wǎng)絡(luò)多媒體方面的應(yīng)用主要有：網(wǎng)上實時交互式教學(xué)、多媒體課件點播、網(wǎng)絡(luò)會議直播、網(wǎng)絡(luò)電視直播、 VOD 視頻點播、網(wǎng)絡(luò)教學(xué)資源共享等。多媒體數(shù)據(jù)的實時傳輸，對網(wǎng)絡(luò) 提出了更高的要求，為了保證實時教學(xué)的正常進行和課件點播、視頻點播的傳輸質(zhì)量，應(yīng)網(wǎng)絡(luò)設(shè)備的選擇、網(wǎng)絡(luò)帶寬占用、網(wǎng)絡(luò)協(xié)議的配置、網(wǎng)絡(luò)系統(tǒng)的優(yōu)化等滿足一定的技術(shù)要求，以保證網(wǎng)絡(luò)服務(wù)質(zhì)量（ Qos）。 在多種業(yè)務(wù)并存并且存在資源瓶頸的地方，都應(yīng)該考慮相應(yīng)的 QOS保證機制，確保時間敏感的、關(guān)鍵的業(yè)務(wù)報文能夠被及時、正確、有效的轉(zhuǎn)發(fā)。在我們建議的設(shè)備解決方案中，所有設(shè)備都可以支持相應(yīng)的 QOS/COS策略， 我們建議在網(wǎng)絡(luò)中上實施面向服務(wù)端口的 QOS保證機制，同時，系統(tǒng)通過 WRED的方式對擁塞進行加權(quán)避免，確保網(wǎng)絡(luò)不出現(xiàn)擁 塞，始終保持其高吞吐率特性。 3) 高安全的網(wǎng)絡(luò) 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計華成電子網(wǎng)絡(luò)有限公司 Page 6 of 62 網(wǎng)絡(luò)安全設(shè)計包括兩個大方面的內(nèi)容，設(shè)備自身的安全機制和網(wǎng)絡(luò)安全協(xié)議的設(shè)計使用，目前常見的網(wǎng)絡(luò)安全隱患主要來自以下一些方面： ? 網(wǎng)絡(luò)級攻擊 竊聽報文 攻擊者使用報文獲取設(shè)備，從傳輸?shù)臄?shù)據(jù)流中獲取數(shù)據(jù)并進行分析，以獲取用戶名 /口令或者是敏感的數(shù)據(jù)信息。特別是通過 Inter 的數(shù)據(jù)傳輸，存在時間上的延遲，更存在地理位置上的跨越，要避免數(shù)據(jù)不受竊聽，基本是不可能的。 IP 地址欺騙 攻擊者通過改變自己的 IP 地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定 的報文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報文（如發(fā)送 ICMP的特定報文）來更改路由信息，以竊取信息。 源路由攻擊 報文發(fā)送方通過在 IP 報文的 Option域中指定該報文的路由，使報文有可能被發(fā)往一些受保護的網(wǎng)絡(luò)。 端口掃描 通過探測防火墻在偵聽的端口，來發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道網(wǎng)絡(luò)設(shè)備操作系統(tǒng)軟件的某個版本存在漏洞，通過查詢特定端口，判斷是否存在該漏洞。然后利用這些漏洞對網(wǎng)絡(luò)設(shè)備進行攻擊，使得網(wǎng)絡(luò)設(shè)備 DOWN掉或無法正常運行。 拒絕服務(wù)攻擊 攻擊者的目的是阻止合法用戶對資 源的訪問。比如通過發(fā)送大量報文使得網(wǎng)絡(luò)帶寬資源被消耗。 ? 應(yīng)用層攻擊 有多種形式，包括探測應(yīng)用軟件的漏洞、 特洛依木馬 等； ? 系統(tǒng)級攻擊 不法分子利用操作系統(tǒng)的安全漏洞對內(nèi)部網(wǎng)構(gòu)成安全威脅。 另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問題。 由此可見，完整的安全體系結(jié)構(gòu)應(yīng)由“網(wǎng)絡(luò)級安全、應(yīng)用級安全、系統(tǒng)級安全和企業(yè)級安全”四大部分組成。 網(wǎng)絡(luò)級安全是指在物理層、鏈路層、網(wǎng)絡(luò)層采取各種安全措施來保障海軍工程大學(xué)網(wǎng)絡(luò)的安全；應(yīng)用級安全是指采用應(yīng)用層安全產(chǎn)品和利用應(yīng)用系統(tǒng)自身專有的安全機制，在應(yīng)用層保證對海軍 工程大學(xué)網(wǎng)絡(luò)各種應(yīng)用系統(tǒng)的信息訪問合法性；系統(tǒng)級安全主要是通過對操作系統(tǒng)（ UNIX、 NT）的安全設(shè)置和主機監(jiān)控，防止不法分子利用操作系統(tǒng)的安全漏洞對校園網(wǎng)構(gòu)成安全威脅；企業(yè)級安全主要是從建設(shè)內(nèi)部安全管理、審計和計算機病毒防范三方面來保障工行網(wǎng)絡(luò)的安全。 海軍工程大學(xué)數(shù)字化校園方案建議書 武漢湘計華成電子網(wǎng)絡(luò)有限公司 Page 7 of 62 通過工作組 VLAN設(shè)計，我們可以依據(jù)部門和單位業(yè)務(wù)性質(zhì)的不同將不同工作組劃分到不同的 VLAN，實現(xiàn)不同 VLAN之間第二層的完全隔離。 4) 可靠可擴展的網(wǎng)絡(luò) 對于一個層次結(jié)構(gòu)的網(wǎng)絡(luò)，必然是可以擴展的，而對于核心設(shè)備來說，引擎可靠、設(shè)備可擴展也是本方案的一個明顯的特 色。 根據(jù)長期網(wǎng)絡(luò)建設(shè)經(jīng)驗，我們認為校園網(wǎng)建設(shè)原則上應(yīng)貫徹在最大限度內(nèi)實現(xiàn)資源共享的方針，是否上各信息應(yīng)用系統(tǒng)以是否有利于提高學(xué)校管理、教學(xué)水平，是否有利于降低管理及教學(xué)成本為標(biāo)準(zhǔn)進行取舍。 鑒于此，理想的校園網(wǎng)應(yīng)按如下幾點進行設(shè)計： ? 校園網(wǎng)應(yīng)具有通暢的外部連接通道，同時接入 Inter 和 CERNet，便于校內(nèi)用戶訪問公眾互聯(lián)網(wǎng)和教育網(wǎng)的網(wǎng)絡(luò)資源。 ? 校園網(wǎng)園區(qū)內(nèi)連接方式接入層以交換為主，匯聚層以上以路由方式連接；骨干帶寬建議為 1000M，各單體建筑到中心機房或區(qū)域中心機房帶寬初步可 以為 100M，業(yè)務(wù)量大的建筑應(yīng)采用 1000M帶寬連接。 ? 各單體建筑，在可能有網(wǎng)絡(luò)接入的可能，或者需要納入信息管理范疇的，均應(yīng)