【正文】 校園網(wǎng)校園鋪設(shè)方案設(shè)計(jì)方案核心層設(shè)計(jì)核心層是網(wǎng)絡(luò)高速交換的骨干，被設(shè)計(jì)成盡可能高速交換包，提供以下功能：l 具有高可靠性l 提供冗余、冗錯(cuò)l 低延時(shí)和良好的可管理性l 避免使用減慢包處理的進(jìn)程，如訪問列表包過濾等l 具有界定一致的網(wǎng)絡(luò)直徑分布層是訪問層和核心層的分界點(diǎn)，并且用來分辨和區(qū)別骨干。提供基于策略的連接，包括下面幾項(xiàng)功能：l 安全、服務(wù)等各項(xiàng)策略的實(shí)現(xiàn)l 地址和區(qū)域的聚和l 部門和工作組的訪問l 廣播域、組播域的建立l VLAN之間的路由l 介質(zhì)轉(zhuǎn)換l 路由域之間的分布一個(gè)常犯的錯(cuò)誤是這三層(核心、分布和訪問)一定存在截然不同實(shí)體中，但事實(shí)并不如此。這些層有助于輔助網(wǎng)絡(luò)設(shè)計(jì)并表現(xiàn)出那些一定存在于網(wǎng)絡(luò)中的功能。每一層的實(shí)體可以是不同的路由器和交換機(jī)，也可以被表現(xiàn)為物理的介質(zhì)，也可以被組合成單一的設(shè)備或者被完全忽略。這些層的實(shí)現(xiàn)方式依賴于網(wǎng)絡(luò)設(shè)計(jì)的需要。然而要注意的是，對(duì)于一個(gè)要實(shí)現(xiàn)功能優(yōu)化的網(wǎng)絡(luò)來說，層次結(jié)構(gòu)必須保持。任何一個(gè)網(wǎng)絡(luò)組建的目的都不是為了組網(wǎng)而組網(wǎng)，武漢市商業(yè)儲(chǔ)運(yùn)有限責(zé)任公司辦公室網(wǎng)絡(luò)對(duì)業(yè)務(wù)系統(tǒng)支撐特性的關(guān)注，構(gòu)建面向業(yè)務(wù)、面向應(yīng)用的網(wǎng)絡(luò)平臺(tái)同時(shí)也是我們?cè)诰W(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)考慮到的，我們將從以下幾個(gè)方面闡述我們建議的業(yè)務(wù)支撐。VLAN（Virtual Local Area Network）是虛擬局域網(wǎng)的英文縮寫，它最簡(jiǎn)明的描述就是可以實(shí)現(xiàn)將連接在同一個(gè)物理網(wǎng)絡(luò)上面的主機(jī)分組，使它們看起來就象連接在不同的網(wǎng)絡(luò)上一樣。在大型局域網(wǎng)絡(luò)組建中，VLAN技術(shù)是不可缺少的關(guān)鍵技術(shù)，但在本項(xiàng)目小型的局域網(wǎng)中同樣需要VLAN技術(shù)來分隔不同的部門?？茖W(xué)的VLAN設(shè)計(jì)可以為局域網(wǎng)絡(luò)帶來一系列的優(yōu)點(diǎn)：在同一個(gè)物理網(wǎng)絡(luò)實(shí)現(xiàn)第二層工作組劃分，實(shí)現(xiàn)不同工作組之間第二層的完全隔離，同時(shí)，組員可以處在物理網(wǎng)絡(luò)中的任何位置，不受同一臺(tái)設(shè)備限制；隔離廣播，提高效率，避免不相關(guān)的廣播幀在全網(wǎng)擴(kuò)散，浪費(fèi)有效帶寬資源；在VLAN的概念最早出現(xiàn)時(shí)，各個(gè)廠商紛紛推出自己的解決方案，互不兼容，各個(gè)廠商的交換機(jī)互相不能識(shí)別其他交換機(jī)的VLAN。IEEE ，它統(tǒng)一了各個(gè)廠商的VLAN實(shí)現(xiàn)方案，使不同廠商的設(shè)備可以同時(shí)在一個(gè)網(wǎng)絡(luò)中使用，各自的VLAN設(shè)置可以被其他設(shè)備所識(shí)別，實(shí)現(xiàn)不同廠商之間交換機(jī)的互通。同時(shí)， VLAN通過TAG方式擴(kuò)展了以太網(wǎng)的幀格式，從而提供了新的QOS、用戶認(rèn)證等業(yè)務(wù)保障、實(shí)現(xiàn)的途徑。在武漢市商業(yè)儲(chǔ)運(yùn)有限責(zé)任公司辦公室網(wǎng)絡(luò)系統(tǒng)中，我們建議基于IEEE ，在VLAN設(shè)計(jì)中，我們使用VLAN達(dá)到兩個(gè)目的，第一，不同部門和單位之間的隔離和通信控制；第二，廣播范圍抑制。從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進(jìn)行具體VLAN規(guī)劃時(shí)，同一個(gè)廣播域內(nèi)（一個(gè)VLAN）的通信主機(jī)不要超過50臺(tái)，最好控制在30臺(tái)以內(nèi)，對(duì)于主機(jī)數(shù)量超過50的業(yè)務(wù)部門，我們通過二層隔離，三層交換的方式來解決?？梢酝耆判牡氖?，華為Quidway S系列路由交換產(chǎn)品提供全線速的二三層交換能力，所以，對(duì)于我們的VLAN解決方案來說，第二層和第三層處理性能是完全相同的，可以實(shí)現(xiàn)兩種設(shè)計(jì)之間的直接融合，從而更加靈活自由。值得一提的是，華為iManager綜合網(wǎng)管系統(tǒng)提供非?？旖莸腣LAN批量設(shè)置和修改工具，只需要通過圖形化界面對(duì)具體端口標(biāo)識(shí)選取或者非選取，就能輕松設(shè)置其VLAN歸屬。根據(jù)學(xué)校發(fā)展的規(guī)劃，各種網(wǎng)絡(luò)應(yīng)用將逐步開展，對(duì)網(wǎng)絡(luò)環(huán)境也提出了進(jìn)一步的要求。目前，即將開展的網(wǎng)絡(luò)多媒體方面的應(yīng)用主要有：網(wǎng)上實(shí)時(shí)交互式教學(xué)、多媒體課件點(diǎn)播、網(wǎng)絡(luò)會(huì)議直播、網(wǎng)絡(luò)電視直播、VOD視頻點(diǎn)播、網(wǎng)絡(luò)教學(xué)資源共享等。多媒體數(shù)據(jù)的實(shí)時(shí)傳輸，對(duì)網(wǎng)絡(luò)提出了更高的要求，為了保證實(shí)時(shí)教學(xué)的正常進(jìn)行和課件點(diǎn)播、視頻點(diǎn)播的傳輸質(zhì)量，應(yīng)網(wǎng)絡(luò)設(shè)備的選擇、網(wǎng)絡(luò)帶寬占用、網(wǎng)絡(luò)協(xié)議的配置、網(wǎng)絡(luò)系統(tǒng)的優(yōu)化等滿足一定的技術(shù)要求，以保證網(wǎng)絡(luò)服務(wù)質(zhì)量（Qos）。在多種業(yè)務(wù)并存并且存在資源瓶頸的地方，都應(yīng)該考慮相應(yīng)的QOS保證機(jī)制，確保時(shí)間敏感的、關(guān)鍵的業(yè)務(wù)報(bào)文能夠被及時(shí)、正確、有效的轉(zhuǎn)發(fā)。在我們建議的設(shè)備解決方案中，所有設(shè)備都可以支持相應(yīng)的QOS/COS策略，我們建議在網(wǎng)絡(luò)中上實(shí)施面向服務(wù)端口的QOS保證機(jī)制，同時(shí)，系統(tǒng)通過WRED的方式對(duì)擁塞進(jìn)行加權(quán)避免，確保網(wǎng)絡(luò)不出現(xiàn)擁塞，始終保持其高吞吐率特性。網(wǎng)絡(luò)安全設(shè)計(jì)包括兩個(gè)大方面的內(nèi)容，設(shè)備自身的安全機(jī)制和網(wǎng)絡(luò)安全協(xié)議的設(shè)計(jì)使用，目前常見的網(wǎng)絡(luò)安全隱患主要來自以下一些方面：1．網(wǎng)絡(luò)級(jí)攻擊竊聽報(bào)文 攻擊者使用報(bào)文獲取設(shè)備，從傳輸?shù)臄?shù)據(jù)流中獲取數(shù)據(jù)并進(jìn)行分析，以獲取用戶名/口令或者是敏感的數(shù)據(jù)信息。特別是通過Internet的數(shù)據(jù)傳輸，存在時(shí)間上的延遲，更存在地理位置上的跨越，要避免數(shù)據(jù)不受竊聽，基本是不可能的。IP地址欺騙 攻擊者通過改變自己的IP地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的報(bào)文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報(bào)文（如發(fā)送ICMP的特定報(bào)文）來更改路由信息，以竊取信息。源路由攻擊 報(bào)文發(fā)送方通過在IP報(bào)文的Option域中指定該報(bào)文的路由，使報(bào)文有可能被發(fā)往一些受保護(hù)的網(wǎng)絡(luò)。端口掃描 通過探測(cè)防火墻在偵聽的端口，來發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道網(wǎng)絡(luò)設(shè)備操作系統(tǒng)軟件的某個(gè)版本存在漏洞，通過查詢特定端口，判斷是否存在該漏洞。然后利用這些漏洞對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，使得網(wǎng)絡(luò)設(shè)備DOWN掉或無法正常運(yùn)行。拒絕服務(wù)攻擊 攻擊者的目的是阻止合法用戶對(duì)資源的訪問。比如通過發(fā)送大量報(bào)文使得網(wǎng)絡(luò)帶寬資源被消耗。2．應(yīng)用層攻擊 有多種形式，包括探測(cè)應(yīng)用軟件的漏洞、特洛依木馬等；3．系統(tǒng)級(jí)攻擊不法分子利用操作系統(tǒng)的安全漏洞對(duì)內(nèi)部網(wǎng)構(gòu)成安全威脅。另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問題。由此可見，完整的安全體系結(jié)構(gòu)應(yīng)由“網(wǎng)絡(luò)級(jí)安全、應(yīng)用級(jí)安全、系統(tǒng)級(jí)安全和企業(yè)級(jí)安全”四大部分組成。網(wǎng)絡(luò)級(jí)安全是指在物理層、鏈路層、網(wǎng)絡(luò)層采取各種安全措施來保障中南財(cái)經(jīng)政法大學(xué)網(wǎng)絡(luò)的安全；應(yīng)用級(jí)安全是指采用應(yīng)用層安全產(chǎn)品和利用應(yīng)用系統(tǒng)自身專有的安全機(jī)制，在應(yīng)用層保證對(duì)中南財(cái)經(jīng)政法大學(xué)網(wǎng)絡(luò)各種應(yīng)用系統(tǒng)的信息訪問合法性；系統(tǒng)級(jí)安全主要是通過對(duì)操作系統(tǒng)（UNIX、NT）的安全設(shè)置和主機(jī)監(jiān)控，防止不法分子利用操作系統(tǒng)的安全漏洞對(duì)校園網(wǎng)構(gòu)成安全威脅；企業(yè)級(jí)安全主要是從建設(shè)內(nèi)部安全管理、審計(jì)和計(jì)算機(jī)病毒防范三方面來保障工行網(wǎng)絡(luò)的安全。通過工作組VLAN設(shè)計(jì)，我們可以依據(jù)部門和單位業(yè)務(wù)性質(zhì)的不同將不同工作組劃分到不同的VLAN，實(shí)現(xiàn)不同VLAN之間第二層的完全隔離。3．學(xué)生宿舍校園網(wǎng)絡(luò)接入層交換機(jī)擴(kuò)容項(xiàng)目設(shè)計(jì)本項(xiàng)目包含南湖校區(qū)和首義校區(qū)內(nèi)多棟建筑物的交換機(jī)接入擴(kuò)容。實(shí)施內(nèi)容包括設(shè)備的采購(gòu)、集成以及配線間線路整理等。具體建筑物清單如下表示：序號(hào)校區(qū)位置樓棟名稱1南湖校區(qū)1號(hào)樓2南湖校區(qū)2號(hào)樓3南湖校區(qū)3號(hào)樓4南湖校區(qū)4號(hào)樓5南湖校區(qū)5號(hào)樓6南湖校區(qū)6號(hào)樓10南湖校區(qū)11號(hào)樓11南湖校區(qū)12號(hào)樓12南湖校區(qū)13號(hào)樓13南湖校區(qū)14號(hào)樓東14南湖校區(qū)14號(hào)樓西15南湖校區(qū)15號(hào)樓16南湖校區(qū)16號(hào)樓17南湖校區(qū)17號(hào)樓18南湖校區(qū)18號(hào)樓19南湖校區(qū)20號(hào)樓20南湖校區(qū)南湖大運(yùn)動(dòng)場(chǎng)21首義校區(qū)13號(hào)樓中22首義校區(qū)26號(hào)樓西23首義校區(qū)26號(hào)樓東24首義校區(qū)33號(hào)樓25首義校區(qū)34號(hào)樓13層26首義校區(qū)34號(hào)樓47層27首義校區(qū)35號(hào)樓28首義校區(qū)36號(hào)樓29首義校區(qū)37號(hào)樓30首義校區(qū)38號(hào)樓31首義校區(qū)外教樓32南湖校區(qū)領(lǐng)湖公寓：匯聚交換機(jī)模塊樓棟交換機(jī)單模光纖模塊多模光纖模塊樓層交換機(jī)堆疊模塊1966161297在297塊堆疊模塊中，有228塊采用華為L(zhǎng)SLSIU模塊。而學(xué)校上期項(xiàng)目中剩余124塊華為L(zhǎng)SLSIU堆疊模塊，所以，本期僅需采購(gòu)104塊華為L(zhǎng)SLSIU模塊。采購(gòu)時(shí)按照實(shí)際需求增加10%的冗余設(shè)備。采購(gòu)清單見下：本項(xiàng)目設(shè)備選型中樓棟交換機(jī)采用華為SE026，樓層交換機(jī)采用華為S2026或采用華為SE026SI。具體設(shè)備配置清單如下表所示：序號(hào)設(shè)備型號(hào)設(shè)備說明數(shù)量1QuidwayS3526CQuidwayS3526以太網(wǎng)交換機(jī)（220V）42華為L(zhǎng)SE026QuidwayE026以太網(wǎng)交換機(jī)83華為L(zhǎng)S2026QuidwayS2026以太網(wǎng)交換機(jī)1244華為L(zhǎng)SE026SIQuidwayLSE026SI以太網(wǎng)交換機(jī)525華為L(zhǎng)SGS1UA單端口千兆以太網(wǎng)單模光接口模塊（1310nm，10km，SC）86華為L(zhǎng)SGM1UA單端口千兆以太網(wǎng)多模光接口模塊（850nm，500m，SC）87華為L(zhǎng)SST1UALANSWITCH堆疊模塊748華為L(zhǎng)SLSIULANSWITCH堆疊模塊1049GBICLXSM1310410LS6506GB8U8端口千兆以太網(wǎng)光接口交換板（GBIC，SC）1：對(duì)于接入層，每一個(gè)樓棟交換機(jī)SE026或者S3026上配置一塊千兆單模光纖模塊，上行連接到Cisco或者華為匯聚交換機(jī)，向下采用Quidway S2026或SE026SI進(jìn)行混合堆疊的方式接入用戶，實(shí)現(xiàn)千兆到樓棟，百兆到桌面。采用混合堆疊技術(shù)，是因?yàn)椋憾询B技術(shù)通過專用的堆疊模塊和線纜，進(jìn)一步擴(kuò)展了帶寬。專用的堆疊模塊和線纜可以使堆疊組交換機(jī)之間的交換帶寬增加，這樣的高速到寬比千兆級(jí)聯(lián)的帶寬都要高得多，這樣一個(gè)堆疊組網(wǎng)絡(luò)交換機(jī)之間的數(shù)據(jù)交換比采用千兆級(jí)聯(lián)具備更高更快的速度，不會(huì)造成網(wǎng)絡(luò)瓶頸。堆疊技術(shù)采用可擴(kuò)展堆疊技術(shù)的背板，背板帶寬隨著交換機(jī)堆疊數(shù)量的增多而成比例增加。那么，不需要很高端的交換設(shè)備，就可以達(dá)到很高的網(wǎng)絡(luò)背板帶寬，實(shí)現(xiàn)網(wǎng)絡(luò)的高速轉(zhuǎn)發(fā)。堆疊技術(shù)比級(jí)聯(lián)具備更方便的網(wǎng)絡(luò)管理方式。采用堆疊技術(shù)的一個(gè)堆疊組內(nèi)的交換機(jī)，可以只用一個(gè)網(wǎng)絡(luò)管理IP地址，但是在網(wǎng)管上可以看到堆疊組的所有交換機(jī)，直接在網(wǎng)管上進(jìn)行任意交換機(jī)的圖形化的配置。所以，在南湖校區(qū)和首義校區(qū)接入層采用混合堆疊的方式進(jìn)行大量用戶的接入，可以達(dá)到比簡(jiǎn)單進(jìn)行級(jí)聯(lián)更高的可靠性、帶寬和更方便的管理特性。：1號(hào)樓交換機(jī)配置設(shè)備配置表：產(chǎn)品號(hào)產(chǎn)品描述數(shù)量LS2026Quisway S2026以太網(wǎng)交換機(jī)主機(jī)（220V）4LSLSIULANSWITCH堆疊模塊82號(hào)樓交換機(jī)配置設(shè)備配置表：產(chǎn)品號(hào)產(chǎn)品描述數(shù)量LS2026