【正文】 學(xué)院HD校園網(wǎng)建設(shè)鋪陳設(shè)計(jì)方案系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對先進(jìn)成熟，整個(gè)系統(tǒng)的生命周期應(yīng)有比較長的時(shí)間，可以在信息技術(shù)不斷發(fā)展的今天，在系統(tǒng)建成以后比較長的一段時(shí)間內(nèi)能滿足用戶需求增長的需要；不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿Γ鼙ＷC在未來若干年內(nèi)占主導(dǎo)地位，保證網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用千兆以太網(wǎng)技術(shù)構(gòu)建網(wǎng)絡(luò)主干、支干線路。 系統(tǒng)必須具有良好的可擴(kuò)充性，在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必須具有升級換代的可能，核心設(shè)備必須采用模塊化的結(jié)構(gòu)，跟蹤網(wǎng)絡(luò)發(fā)展的前沿方向，符合網(wǎng)絡(luò)的發(fā)展趨勢并具有充分的擴(kuò)展性。系統(tǒng)建設(shè)必須盡量保護(hù)現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計(jì)算機(jī)系統(tǒng)的使用，逐步過渡，有效保護(hù)用戶投資，最終形成一個(gè)統(tǒng)一的、一體化的綜合網(wǎng)絡(luò)系統(tǒng)。 高性能網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。為了讓校園網(wǎng)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，并收回網(wǎng)絡(luò)建設(shè)成本，學(xué)?；蜻\(yùn)營商需要對校園網(wǎng)進(jìn)行運(yùn)營，通過對上網(wǎng)的學(xué)生用戶收取一定的費(fèi)用來達(dá)到“以網(wǎng)養(yǎng)網(wǎng)”的目的，并要求運(yùn)營系統(tǒng)能夠貼近校園用戶的應(yīng)用模式，方便維護(hù)和管理。 規(guī)范化和標(biāo)準(zhǔn)化網(wǎng)絡(luò)體系結(jié)構(gòu)、通信協(xié)議及軟件的設(shè)計(jì)和開發(fā)必須按照國家或行業(yè)標(biāo)準(zhǔn)進(jìn)行，要模塊化、結(jié)構(gòu)化、數(shù)據(jù)要代碼化，以便于信息共享和交流及將來的維護(hù)。在系統(tǒng)設(shè)計(jì)和軟件開發(fā)時(shí)，應(yīng)用程序必須規(guī)范化、模塊化和可復(fù)用。 網(wǎng)絡(luò)建設(shè)目標(biāo)通過以上的網(wǎng)絡(luò)建設(shè)原則，本次校園網(wǎng)建設(shè)要實(shí)現(xiàn)以下目標(biāo)：1) 東西校區(qū)各設(shè)一個(gè)千兆互聯(lián)網(wǎng)出口，解決出口瓶頸問題；2) 雙出口,雙核心,雙鏈路實(shí)現(xiàn)東西校區(qū)的穩(wěn)固互聯(lián)，確保鏈路的帶寬及穩(wěn)定性；3) 東西校區(qū)可以根據(jù)需求達(dá)到不同區(qū)域使用不同的出口訪問互聯(lián)網(wǎng)；4) 科學(xué)規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)，合理配備核心層和匯聚層網(wǎng)絡(luò)設(shè)備與端口，保證核心網(wǎng)絡(luò)設(shè)備和線路適當(dāng)冗余，優(yōu)化接入層網(wǎng)絡(luò)設(shè)備，建設(shè)千兆主干、百兆到桌面的高效校園網(wǎng)絡(luò)；5) 合理部署網(wǎng)絡(luò)安全措施，建立有效的網(wǎng)絡(luò)安全防范和響應(yīng)機(jī)制，為網(wǎng)絡(luò)安全管理提供在線監(jiān)控、事后可查的技術(shù)手段，防止私設(shè)代理和盜用IP地址現(xiàn)象，提高網(wǎng)絡(luò)安全性；6) 建立全網(wǎng)統(tǒng)一管理系統(tǒng)，包含對網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全的統(tǒng)一管理和配置；建立高效的網(wǎng)絡(luò)性能監(jiān)視與預(yù)警機(jī)制；同時(shí)建立配套的軟硬件平臺。7) 全面支持IPV6,可平滑過度到IPV6,保證設(shè)備的投資；8) 建立全局化、智能化的安全體系，從接入層的基于端口的安全策略，到匯聚再到核心，病毒及非法網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和預(yù)制策略，預(yù)警功能。9) 將學(xué)院的教工宿舍“金?；▓@”納入校園網(wǎng)內(nèi)，可以訪問圖書館資源和中國期刊網(wǎng)等眾多校內(nèi)學(xué)術(shù)資源。10) 學(xué)生宿舍聯(lián)網(wǎng)并接入校園網(wǎng)內(nèi)。s575024sfp/gk網(wǎng)絡(luò)設(shè)計(jì) 東西校區(qū)互聯(lián)網(wǎng)出口設(shè)計(jì) 本次設(shè)計(jì)，東西校區(qū)各設(shè)一個(gè)1000M互聯(lián)網(wǎng)出口，我們電信網(wǎng)絡(luò)，在懷化市內(nèi)有自己的城域環(huán)網(wǎng)，保證這兩個(gè)1000M互聯(lián)網(wǎng)出口不是出自同一個(gè)模塊局，確保出口線路冗余。由于目前學(xué)校東校區(qū)的網(wǎng)絡(luò)中心還未建成，暫時(shí)將東西兩個(gè)校園的核心設(shè)備放在西區(qū)的網(wǎng)絡(luò)中心，東區(qū)的匯聚設(shè)備都通過兩對光纖形成的雙鏈路與兩個(gè)核心互連。東區(qū)網(wǎng)絡(luò)中心造成后東區(qū)設(shè)備轉(zhuǎn)放東區(qū)網(wǎng)絡(luò)中心機(jī)房。目前網(wǎng)絡(luò)架構(gòu)有單核心單鏈路、雙核心雙鏈路、二層架構(gòu)、三層架構(gòu)、四層架構(gòu)等多種網(wǎng)絡(luò)架構(gòu)，結(jié)合學(xué)院的實(shí)際情況以及網(wǎng)絡(luò)技術(shù)的發(fā)展，我們選擇雙核心雙鏈路的架構(gòu)，這樣不僅在鏈路上確保網(wǎng)絡(luò)穩(wěn)定高效、在設(shè)備上也可實(shí)現(xiàn)穩(wěn)定與高效；同時(shí)選擇三層架構(gòu)：（1） 分流核心數(shù)據(jù)處理能力、降低核心路由交換壓力；（2） 更好抑制廣播風(fēng)暴、提升網(wǎng)絡(luò)性能；（3） 終結(jié)各VLAN信息、增強(qiáng)核心路由管理能力；（4） 網(wǎng)絡(luò)層次結(jié)構(gòu)更加完善、可匯總路由，降低核心路由表項(xiàng)；（5） 安全性更高，更強(qiáng)的預(yù)防和控制，對網(wǎng)絡(luò)攻擊、病毒和破壞盡量控制在邊緣完成；（6） 擴(kuò)展性更強(qiáng)、快速定位故障點(diǎn)、更易于管理；（7） 各接入層內(nèi)部通訊量大，無需通過核心處理時(shí)（內(nèi)部網(wǎng)絡(luò)游戲等），采用三層結(jié)構(gòu)更加合理；（8） 可靠性更強(qiáng)，可以通過匯聚層雙鏈路上聯(lián)雙核心構(gòu)成環(huán)狀結(jié)構(gòu)，全網(wǎng)架構(gòu)更加健壯，提升網(wǎng)絡(luò)高可用性。我們采用了接入堆疊＋小區(qū)域匯聚＋核心這種雙核心雙鏈路的三層結(jié)構(gòu)架構(gòu)：采用千兆可堆疊高性能網(wǎng)管交換機(jī)。交換機(jī)通過內(nèi)部堆疊后上聯(lián)片區(qū)匯聚節(jié)點(diǎn)。 節(jié)省投資成本 擴(kuò)展靈活，通過增加堆疊組內(nèi)交換機(jī)或增加堆疊組來擴(kuò)展接入信息點(diǎn)。 ，可靈活方便的控制樓棟內(nèi)部之間的訪問限制。 減少網(wǎng)絡(luò)層次架構(gòu)，加速數(shù)據(jù)傳輸，提高網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)性能。 充分利用片區(qū)匯聚節(jié)點(diǎn)的高性能數(shù)據(jù)轉(zhuǎn)發(fā)，高穩(wěn)定可靠基礎(chǔ)，對每個(gè)樓棟之間的控制，可以在片區(qū)匯聚節(jié)點(diǎn)連接各樓棟的千兆接口上實(shí)現(xiàn)，如訪問控制，防DDoS攻擊，防惡意IP掃描等等，不影響數(shù)據(jù)轉(zhuǎn)發(fā)性能。 樓棟內(nèi)部各樓層之間的數(shù)據(jù)通過堆疊方式（千兆以上帶寬）相互訪問，加速內(nèi)部訪問和數(shù)據(jù)傳輸速度。 環(huán)型冗余方式堆疊，沒有單點(diǎn)故障和性能瓶頸。 堆疊后多臺設(shè)備會虛擬成一臺設(shè)備進(jìn)行管理，大大提高管理效率。 千兆堆疊可網(wǎng)管交換機(jī)是目前高校網(wǎng)絡(luò)建設(shè)主流使用的接入設(shè)備，因此在未來發(fā)展中設(shè)備延續(xù)使用性強(qiáng)。架構(gòu)缺點(diǎn)：堆疊臺數(shù)一般不超過6臺，需要超過6臺的地區(qū)增加新的堆疊組進(jìn)行信息點(diǎn)擴(kuò)展。雙核心雙鏈路的三層結(jié)構(gòu)，具體如下圖所示： 網(wǎng)絡(luò)安全設(shè)計(jì)今天的網(wǎng)絡(luò)安全正遭受嚴(yán)峻挑戰(zhàn)。病毒、外部入侵（黑客）、拒絕服務(wù)攻擊、內(nèi)部的誤用和濫用，以及各種災(zāi)難事故的發(fā)生，時(shí)刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)轉(zhuǎn)和信息安全。但與此同時(shí)，大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺乏真正的全局防護(hù)能力。當(dāng)網(wǎng)絡(luò)受到來自各方面的攻擊時(shí)，由防毒軟件和防火墻等獨(dú)立安全產(chǎn)品堆砌起來的措施不僅漏洞百出，還會處處被動(dòng)挨打?？梢詳嘌裕好鎸?fù)雜的安全隱患，這種“各自為戰(zhàn)”的安全系統(tǒng)已徹底失去效力。今天，網(wǎng)絡(luò)安全技術(shù)與各種安全隱患之間進(jìn)行的是一場深入、多層次的戰(zhàn)爭。為了徹底扭轉(zhuǎn)“各自為戰(zhàn)”的被動(dòng)局面，唯有用全局化、智能化的安全體系代替陳舊的安防措施。我公司采用了2004年底，業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備及解決方案供應(yīng)商銳捷網(wǎng)絡(luò)率先發(fā)布了集自動(dòng)防御（自御）、自動(dòng)修復(fù)（自愈）與自動(dòng)學(xué)習(xí)（自育）等三大自“YU”功能于一體的GSN全局安全網(wǎng)絡(luò)解決方案。GSN強(qiáng)調(diào)“多兵種協(xié)同作戰(zhàn)”，將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。在此基礎(chǔ)上，GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求，同時(shí)也為今后可能發(fā)生的安全威脅做出了準(zhǔn)備?？傮w而言，GSN由銳捷安全交換機(jī)、安全客戶端、安全管理平臺、用戶認(rèn)證系統(tǒng)、安全修復(fù)系統(tǒng)、VPN客戶端、RGIPS入侵檢測系統(tǒng)等多重網(wǎng)絡(luò)元素組成，實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng)，使網(wǎng)絡(luò)中的每個(gè)設(shè)備都在發(fā)揮著安全防護(hù)的作用，構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。GSN通過將用戶入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成到一個(gè)網(wǎng)絡(luò)安全解決方案中，達(dá)到對網(wǎng)絡(luò)安全威脅的自動(dòng)防御，網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)，同時(shí)可針對網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí)，從而達(dá)到對未知網(wǎng)絡(luò)安全事件的防范。其基本原理和結(jié)構(gòu)圖如下：（圖1 GSN基本原理）l 網(wǎng)絡(luò)自動(dòng)防御（自御）面對復(fù)雜的網(wǎng)絡(luò)安全行為，最有效的防御策略即是將網(wǎng)絡(luò)安全防御技術(shù)應(yīng)用于在整個(gè)網(wǎng)絡(luò)中，而不是在單點(diǎn)進(jìn)行網(wǎng)絡(luò)安全的防護(hù)部署。因?yàn)楣粼纯赡軄碜跃W(wǎng)絡(luò)的任何一處，并能迅速的擴(kuò)散到整個(gè)網(wǎng)絡(luò)當(dāng)中。GSN提高了現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護(hù)能力，增強(qiáng)了終端用戶的安全防護(hù)能力。當(dāng)接入網(wǎng)絡(luò)的用戶終端發(fā)生安全攻擊事件時(shí)，安全管理平臺（RGSMP）將針對這一安全事件進(jìn)行判斷，以確認(rèn)選擇調(diào)用何種安全策略來處理。安全管理平臺（RGSMP）將自動(dòng)把安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域，安全策略的執(zhí)行者可以是銳捷網(wǎng)絡(luò)聯(lián)動(dòng)設(shè)備，根據(jù)安全事件的等級由安全管理平臺（RGSMP）判斷是否需要將安全策略同步到網(wǎng)絡(luò)的區(qū)域中，以實(shí)現(xiàn)全網(wǎng)安全。同時(shí)，安全管理平臺會把針對這次安全事件的處理情況通知給用戶終端，使用戶能夠及時(shí)了解到網(wǎng)絡(luò)安全環(huán)境的變化。通過這個(gè)流程，網(wǎng)絡(luò)可以對已發(fā)生的安全行為進(jìn)行完全自動(dòng)化的防御措施，從而保證用戶網(wǎng)絡(luò)在受到威脅時(shí)可以迅速做出連動(dòng)反應(yīng)。（圖2 GSN自動(dòng)防御）l 網(wǎng)絡(luò)自動(dòng)修復(fù)（自愈）隨著網(wǎng)絡(luò)連接點(diǎn)的不斷增加，網(wǎng)絡(luò)遭遇攻擊的風(fēng)險(xiǎn)也隨之增加。一旦網(wǎng)絡(luò)遭受攻擊，所產(chǎn)生的嚴(yán)重后果不僅在于破壞本身，災(zāi)難之后的系統(tǒng)恢復(fù)和調(diào)試同樣消耗了大量寶貴的時(shí)間和人力、財(cái)力。GSN提供的自動(dòng)修復(fù)（自愈）功能，即能夠通過自動(dòng)使受損系統(tǒng)得以恢復(fù)的方式為用戶節(jié)約大量的IT技術(shù)人力資源，并保證即使在系統(tǒng)不斷遭受攻擊時(shí)，網(wǎng)絡(luò)的大部分資源仍時(shí)刻處在正常使用狀態(tài)下。當(dāng)用戶終端接入網(wǎng)絡(luò)時(shí)，系統(tǒng)會自動(dòng)檢測終端用戶的安全狀態(tài)，一旦檢測到用戶系統(tǒng)存在安全漏洞，安全管理平臺（RGSMP）會通過網(wǎng)絡(luò)自動(dòng)將受損用戶從網(wǎng)絡(luò)正常區(qū)域中隔離開來，被隔離的用戶將被自動(dòng)置于系統(tǒng)修復(fù)區(qū)域。此時(shí)用戶終會根據(jù)安全管理平臺提供的信息自動(dòng)連接到RGRES安全修復(fù)系統(tǒng)上進(jìn)行系統(tǒng)修復(fù)，修復(fù)期間系統(tǒng)會把受到訪問控制的情況通知用戶。自動(dòng)修復(fù)完成，系統(tǒng)會重新對用戶系統(tǒng)進(jìn)行評估，當(dāng)用戶系統(tǒng)安全評估完成以后，安全管理平臺（RGSMP）將通過允許用戶進(jìn)入網(wǎng)絡(luò)繼續(xù)工作。（圖3 GSN自動(dòng)修復(fù)）l 網(wǎng)絡(luò)自動(dòng)學(xué)習(xí)（自育）在常規(guī)的網(wǎng)絡(luò)安全防護(hù)方案中，判斷一個(gè)網(wǎng)絡(luò)是否產(chǎn)生安全事件的標(biāo)準(zhǔn)經(jīng)常是某個(gè)網(wǎng)絡(luò)行為符合了安全隱患的特征，從而將針對這個(gè)行為發(fā)生一連串的動(dòng)作。但目前往往對網(wǎng)絡(luò)產(chǎn)生最大威脅的是未知的網(wǎng)絡(luò)行為對網(wǎng)絡(luò)產(chǎn)生的危害，當(dāng)遇到此類的攻擊以后，一般的網(wǎng)絡(luò)安全方案將無能為力。而在配備GSN全局安全措施的網(wǎng)絡(luò)環(huán)境中，GSN可以針對網(wǎng)絡(luò)安全環(huán)境的變化不斷調(diào)整和強(qiáng)化，有效協(xié)助網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)安全隱患的判斷。 當(dāng)網(wǎng)絡(luò)中有新的網(wǎng)絡(luò)訪問行為時(shí)，該行為的相關(guān)信息會被網(wǎng)絡(luò)聯(lián)動(dòng)設(shè)備有效捕獲，并通過EMAIL、管理日志等方式通知管理員。同時(shí)GSN能及時(shí)的捕獲到網(wǎng)絡(luò)的環(huán)境變化，一旦檢測到網(wǎng)絡(luò)流量異常，聯(lián)動(dòng)設(shè)備會自動(dòng)截取網(wǎng)絡(luò)流量報(bào)文進(jìn)行分析，從而有效的阻斷DDos或未知的網(wǎng)絡(luò)安全事件。由這個(gè)網(wǎng)絡(luò)訪問行為產(chǎn)生的對應(yīng)安全策略會自動(dòng)匹配到系統(tǒng)當(dāng)中。在今后發(fā)生同樣的網(wǎng)絡(luò)訪問行為時(shí)，系統(tǒng)就能自動(dòng)調(diào)用相應(yīng)的安全策略來處理，從而達(dá)到不斷根據(jù)網(wǎng)絡(luò)安全形勢強(qiáng)化系統(tǒng)安全性的安全策略自動(dòng)學(xué)習(xí)功能。（圖3 GSN自動(dòng)學(xué)習(xí)）所以為了確保校區(qū)網(wǎng)絡(luò)的安全，我們校區(qū)網(wǎng)絡(luò)建設(shè)時(shí)采用GSN方案來確保校區(qū)的網(wǎng)絡(luò)安全。 網(wǎng)絡(luò)出口流量控制設(shè)計(jì)目前越來越多的下載軟件導(dǎo)致網(wǎng)絡(luò)出口帶寬嚴(yán)重不足，如現(xiàn)在的P2P軟件的使用造成了很多高校網(wǎng)絡(luò)出口帶寬的嚴(yán)重不足。出現(xiàn)這樣問題的原因是目前對P2P軟件沒有一個(gè)很好的控制手段，如P2P軟件是大家比較認(rèn)可的一個(gè)下載軟件，但是過多的使用會造成出口瓶頸，而且P2P軟件現(xiàn)在使用的端口號不固定且沒有特征碼，所以想要對其限制也是一個(gè)比較頭痛的問題。針對這樣的問題，我們認(rèn)為對P2P軟件的使用最好的方式不是針對流量進(jìn)行計(jì)費(fèi)，而是一種針對P2P應(yīng)用的管理與控制手段我公司結(jié)合目前我院的認(rèn)證計(jì)費(fèi)系統(tǒng)，對用戶進(jìn)行流量的控制，以控制由于用戶過多使用P2P軟件下載造成出口帶寬的不足的現(xiàn)象，具體如下： 網(wǎng)絡(luò)管理設(shè)計(jì)隨著學(xué)校網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，現(xiàn)在不僅需要對網(wǎng)絡(luò)設(shè)備進(jìn)行集中統(tǒng)一的管理，同時(shí)還需要對用戶進(jìn)行集中統(tǒng)一的管理。 網(wǎng)絡(luò)拓?fù)鋱D 網(wǎng)絡(luò)設(shè)計(jì)說明根據(jù)學(xué)院的實(shí)際情況，并考慮到未來的發(fā)展趨勢，需要建立一個(gè)統(tǒng)一的信息傳輸網(wǎng)絡(luò)，滿足數(shù)據(jù)、語音、視頻、圖像、多媒體等相關(guān)教育信息的傳輸，可以實(shí)現(xiàn)計(jì)算機(jī)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、多媒體教學(xué)系統(tǒng)、數(shù)字圖書館和上網(wǎng)訪問（Internet）等應(yīng)用。為了保護(hù)投資，原有校園網(wǎng)部分我們依然采用原有設(shè)備和結(jié)構(gòu)。東西校區(qū)的互連根據(jù)前文所述，東西校區(qū)的互連我們采用雙鏈路光纖冗余互連，分別將東西校區(qū)的核心交換機(jī)進(jìn)行互連，同時(shí)全校啟用動(dòng)態(tài)路由OSPF的方式，確保新老校區(qū)穩(wěn)定可靠。網(wǎng)絡(luò)出口網(wǎng)絡(luò)出口采用1000M雙出口，由于學(xué)校飛速發(fā)展，地域不斷擴(kuò)大，現(xiàn)在已經(jīng)有兩個(gè)校區(qū)，為了使整個(gè)網(wǎng)絡(luò)便于管理，合理規(guī)劃出口，東校區(qū)用戶上網(wǎng)的時(shí)候信息是由東校區(qū)的出口出去，西校區(qū)用戶上是通過西校區(qū)出口出去，如果任何一個(gè)出口出現(xiàn)問題，則用戶將由另一個(gè)出口出去，確保出口的穩(wěn)定和安全。同時(shí)考慮到現(xiàn)有出口帶寬基本都已被占滿，主要是因?yàn)橛脩舸罅渴褂肞2P軟件的原因，為了解決這個(gè)問題我們采用對用戶進(jìn)行流量控制，以防止用戶大量使用P2P軟件造成網(wǎng)絡(luò)出口帶寬不足。網(wǎng)絡(luò)架構(gòu)為了能夠?qū)崿F(xiàn)骨干網(wǎng)絡(luò)的穩(wěn)定可靠，本次東西校區(qū)的網(wǎng)絡(luò)建設(shè)我們選擇雙核心雙鏈路的方式，即整個(gè)校園網(wǎng)采用雙核心的方式，兩臺核心之間通過千兆單模光纖相連，同時(shí)每個(gè)區(qū)域的區(qū)域匯聚交換機(jī)通過雙千兆單模光纖上聯(lián)到兩臺核心，而每個(gè)區(qū)域內(nèi)的交換機(jī)通過千兆多模鏈路連接各個(gè)區(qū)域的區(qū)域匯聚交換機(jī)，為了便于布線，在每棟樓的接入層上，各個(gè)不同的樓層采用不同的堆疊組進(jìn)行堆疊然后上聯(lián)到區(qū)域的匯聚交換機(jī)。而對于服務(wù)器群組來說，為了讓用戶提高訪問效率的體驗(yàn)，我們單獨(dú)采用一臺服務(wù)器群組交換機(jī)，該交換機(jī)具有很強(qiáng)的擴(kuò)展能力，并通過雙千兆多模光纖與東西校區(qū)的兩臺核心交換機(jī)進(jìn)行互聯(lián)，并通過服務(wù)器群組交換機(jī)的WCMP/ECMP的功能，可以使兩條鏈路同時(shí)按照帶寬的比例都傳輸數(shù)據(jù)，確保用戶訪問服務(wù)器時(shí)的高效。網(wǎng)絡(luò)安全為了能夠更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全方面的控制，確保校園網(wǎng)內(nèi)的教學(xué)、科研數(shù)據(jù)和學(xué)生管理信息不被竊取和丟失，所有連接進(jìn)網(wǎng)絡(luò)的用戶必須通過了身份的檢查后才能訪問網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)，而且各個(gè)系統(tǒng)運(yùn)作時(shí)需要通過VLAN劃分和物理路由相互隔離，和Internet連接的出口也需要部署防火墻系統(tǒng)來實(shí)現(xiàn)安全保護(hù)，以保證網(wǎng)絡(luò)內(nèi)所有數(shù)據(jù)和信息的安全。因?yàn)楝F(xiàn)有的網(wǎng)絡(luò)安全事件已不是某一個(gè)產(chǎn)品或軟件就能夠解決的，而是需要所有網(wǎng)絡(luò)設(shè)