【正文】 考慮整個網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點的備份和線路保護，提供網(wǎng)絡(luò)安全防范措施。 可增值性 北京科技大學(xué)校園網(wǎng)絡(luò)的建設(shè)、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。 原 ATM 組網(wǎng)圖如下所示： 整體建網(wǎng)原則 早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機資源，共享簡單數(shù)據(jù)庫，多以二層交換為主，很少有三層應(yīng)用，存在 安全、可管理性較差、無業(yè)務(wù)增值能力 等方面的問題。屆時校園網(wǎng)信息點將突破 10000 點。原 ATM 網(wǎng)樓宇的信息點數(shù)大致如下表所示。 ATM 網(wǎng)速度慢，校園網(wǎng)內(nèi)部速度也不夠快。 校園網(wǎng)現(xiàn)有管理軟件為 HP Open View 和 3COM Tracent。還有 3COM 4007R、 3COM 400 3COM NBII、 CISCO 2511 和 CABLE MODEM 設(shè)備 CISCO 7223。 目前我校千兆以太主干網(wǎng)線路連接情況：聯(lián)接北京郵電大學(xué)的 100M 光纖接到校園網(wǎng)外部路由器（ cisco3640）的交換 100M 外部接口，路由器內(nèi)部接口亦為交換 100M 接口，它連線與防 火墻的外部接口連線在同一個交換機上。 目前校園網(wǎng)主要可分為兩個組成部分，一期 ATM 網(wǎng)絡(luò)部分，主要通過主樓、綜合樓、實驗樓和圖書館 4 臺 3COM CoreBuilder7000 設(shè)備組成 622M AMT 骨干環(huán)網(wǎng)，覆蓋主樓、綜合樓等 10 幾個樓宇。 北京科技大學(xué)建網(wǎng)需求 北京科技大學(xué)校園網(wǎng)始建 1998 年，經(jīng)過 6 年的不斷發(fā)展，已經(jīng)初具規(guī)模，成為學(xué)校教學(xué)和科研不可缺少的組成部分。 VOD 點播業(yè)務(wù)實現(xiàn)，通過建立 VOD 視頻服務(wù)器平臺，利用交換機提供的組播功能，為北京科技大學(xué)的用戶提供優(yōu)質(zhì)的視頻效果，同時節(jié)省用戶帶寬。通過此種方式限制賬號的使用區(qū)域。 考慮到用戶的以上的需求，需要在學(xué)校的內(nèi)部提供不同的路由策略，即用戶訪問教育網(wǎng)的相關(guān)站點，通過 CERNET 的線路，而訪問其他的網(wǎng)站如：新浪網(wǎng)、263 等網(wǎng)站則選擇運營商的線路作為出口路由，這要求核心的交換機或出口路由器能夠提供策略路由以支持該特性。用戶可通過不同的賬號名或采用相同的賬號，不同的域名認證，獲得不同的上網(wǎng)權(quán)限。此處主要分析北京科技大學(xué)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)運營方面相關(guān)的內(nèi)容。 教育即未來，作為國家最重要的戰(zhàn)略工程，如何應(yīng)用信息技術(shù)改造我們傳統(tǒng)的教學(xué)和管理手段；如何加深學(xué)生對于信息化和信息技術(shù)的理 解與了解；如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當前最為緊迫的任務(wù)之一。在信息化的建設(shè)過程中，它的作用體現(xiàn)在如下幾個方面： 校園網(wǎng)能促進教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平；信息技術(shù)學(xué)科的內(nèi)容是發(fā)展的，它是一門應(yīng)用型學(xué)科，因此，為了讓學(xué)生學(xué)到實用的知識，必須給他們提供一個實踐的環(huán)境，這個環(huán)境離不開校園 網(wǎng)。 另據(jù)華為公司市場部 提供的資料，中國網(wǎng)民的普及率是 %，但在大學(xué)生群體中的普及率是 93%。目前 87%學(xué)生在網(wǎng)吧上網(wǎng)， 97%的學(xué)生用 201 校園卡打電話。 校園網(wǎng)為教師提供了一種先進的輔助教學(xué)工具、提供了豐富的資源庫，所以校園網(wǎng)是學(xué)校進行教學(xué)改革、推行素質(zhì)教育的一種必不可少的工具。信息技術(shù)的應(yīng)用，勢必極大地推進教育手段和教育內(nèi)容的革命性變革。北京科技大學(xué)校園網(wǎng)絡(luò)建設(shè)從網(wǎng)絡(luò)流量模型上看和企業(yè)網(wǎng)的流量模型相似，用戶集中而網(wǎng)絡(luò)流量大，但實際應(yīng)用上還存在許多和企業(yè)網(wǎng)不同的地方。譬如做到用戶不認證前能自由訪問校園內(nèi)部分服務(wù)器，采用“ user163”登錄，可實現(xiàn) Inter 和校園網(wǎng)絡(luò)自由訪問，采用“ usercre”登錄，可訪問 CERNET 和校園網(wǎng)。 用戶管理的需求： 使用方便，存在 WEB 認證需求。 對用戶帶寬進行控制的需求，要求設(shè)備能對用戶的帶寬進行控制，譬如限制為 64K 、 256K、 512K、 1M、 2M、 5M、 10M 等等級。 安全管理的需求： 校園用戶接受新鮮事務(wù)的能力非常強，因此校園也成為黑客最多的場所之一，如何保障校園網(wǎng)絡(luò)的安全成為建網(wǎng)時不得不考慮的問題，目前主要攻擊手段有 DOS， DDOS 等 上網(wǎng)日志的需求，主要是配合公安機關(guān)保證社會的穩(wěn)定和校園的安全 組播業(yè)務(wù)的需求，特別是可控 組播的需求將隨著校園信息化的深入而體現(xiàn)出來。為 了加快北京科技大學(xué)信息化建設(shè)速度，學(xué)校決定改造校園網(wǎng)，提高校園網(wǎng)的性能，以滿足學(xué)校廣大教職員工和學(xué)生的網(wǎng)絡(luò)需求。后期千兆網(wǎng)絡(luò)部分主 要通過科技樓、新辦公樓和新學(xué)生公寓 1 號樓內(nèi)的 3COM CoreBuilder9000、 4007R 和 4007 帶三層交換的主干交換設(shè)備構(gòu)成，以科技樓為核心，覆蓋新辦公樓、科技樓、 51 棟、逸夫教學(xué)樓、科技園以及新學(xué)生公寓 1 號樓等樓宇。防火墻是軟件防火墻 ，硬件操作平臺為 HP＿ BL180 工作站，它配有兩個100M 網(wǎng)卡，是透明式控制方式，防火墻的默認路由指向 cisco3640 內(nèi)部接口地址，它的內(nèi)部網(wǎng)口串接城市熱點的計費網(wǎng)關(guān)，該網(wǎng)關(guān)是一個 2U 的硬件設(shè)備，配有兩個 100M 接口，一個接防火墻，另一個接校園網(wǎng)核心交換機（ 3 CoreBuilder9000 。其中 CISCO 路由器與中心路由器采用靜態(tài)路由連接；其余的與中心路由器采用 OSPF 動態(tài)路由協(xié)議連接。軟件版本陳舊，功能老化，許多新的網(wǎng)絡(luò) 設(shè)備都無法測控。訪問 CERNET 速度一般，訪問中國電信網(wǎng)速度較慢。 樓宇名稱 信息點數(shù) 樓宇名稱 信息點數(shù) 主樓 240 文法樓 24 理化樓 120 實驗樓 120 圖書館 240 新教室樓 96 綜合樓 120 金物樓 144 管理樓 144 計算中心 24 自動化所 24 逸夫館 48 博士后樓 24 礦研所 72 北庫 24 保衛(wèi)處 24 院士樓 48 主干網(wǎng)部分要求分析出口帶寬不高的原因，提高校園網(wǎng)出口帶寬，最高出口帶寬要達到 90Mb/s 以上，更換防火墻和外部路由器 ，外部路由器出口要有兩個以上。 隨著校園網(wǎng)規(guī)模的不斷擴大，全網(wǎng)絡(luò)安全問題變得更加重要，需盡快采取有效措施，防止來自內(nèi)網(wǎng)和外網(wǎng)的攻擊，目前校園網(wǎng)已設(shè)病毒防治系統(tǒng)，還應(yīng)配備入侵檢測系統(tǒng)，主機漏洞檢測系統(tǒng)以及防郵件垃圾等設(shè)施，防火墻應(yīng)有 DMZ 方式控制，同時在校園網(wǎng)結(jié)構(gòu)上進行調(diào)整，確保 網(wǎng)絡(luò)安全。 現(xiàn)在北京科技大學(xué)校園網(wǎng)建設(shè)要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的 QoS 保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實現(xiàn)教育管理、多媒體教學(xué)、圖書館管理自動化，而且還要通過 Inter 實現(xiàn)遠程教學(xué)，提供可增值可管理的業(yè)務(wù)，必須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴展性。所以在建設(shè)時要充分考慮業(yè)務(wù)的擴展能力，能針對不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。 2．網(wǎng)絡(luò)設(shè)計規(guī)范 改造基本需求： 總體來說目前北京科技大學(xué)校園網(wǎng)改造基本需求為： 現(xiàn)有 的 ATM 網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)完成歷史使命，希望能夠改造到千兆以太網(wǎng)。 總體改造結(jié)、構(gòu)業(yè)務(wù)設(shè)計： 主流的網(wǎng)絡(luò)體系結(jié)構(gòu) 北京科技大學(xué)校園園區(qū)面積很大，從目前的情況看來對于學(xué)校新增校區(qū)的信息點的接入，按照傳統(tǒng)的星星結(jié)構(gòu)的方式將會在學(xué)校內(nèi)部產(chǎn)生大量的布 線等工程而引起的施工等問題，為了解決因布線而產(chǎn)生的不必要的工程問題，在網(wǎng)絡(luò)的最初布線過程當中應(yīng)當充分考慮到學(xué)校后期的新大樓的信息點的接入問題。 目前北京科技大學(xué)校園網(wǎng)整體的上網(wǎng)用戶群復(fù)雜包含：學(xué)生、教職工、三產(chǎn)公司、物業(yè)管理等各方面的需求所以在實際的網(wǎng)絡(luò)規(guī)劃過程當中應(yīng)當充分考慮到相關(guān)問題，在實際的應(yīng)用過程當中應(yīng)當格局具體情況進行區(qū)分，各用戶群的訪問控制應(yīng)提前設(shè)計好網(wǎng)絡(luò)規(guī)劃的情況?？紤]到外網(wǎng)的安全隱患較多，可以在出口交換機上通過ACL 列表的形式來禁止外界用戶訪問內(nèi)部網(wǎng)絡(luò)，這樣可以完全的防止外界非法用戶的進入。 學(xué)生與老師共享資源 對于學(xué)生與老師的共享資源部分，如：電子課件、圖書館資源、多媒體教學(xué)課件等可以采用設(shè)置單獨服務(wù)器群的方式進行資源的共享，同時在核心交換機上通過設(shè)定不同的 ACL 策略來實現(xiàn)不同用戶的訪問接入。學(xué)校內(nèi)部用戶也不允許通過校園內(nèi)部網(wǎng)訪問三產(chǎn)公司的相關(guān)資源 以上是對于不同類別用戶的上網(wǎng)方式的劃分，這樣既可以解決相關(guān)用戶的上網(wǎng)需求又可以提高整網(wǎng)的安全性，進而 提高整個網(wǎng)絡(luò)的穩(wěn)定性、可靠性。對于一卡通的改造可以采用設(shè)置單獨的 VLAN，同時為了保證一卡通的帶寬可以在全網(wǎng)當中的設(shè)備設(shè)計單獨的 Qos實現(xiàn)全網(wǎng)的帶寬保證。 網(wǎng)絡(luò)的安全是網(wǎng)絡(luò)最為重要的一個方面，在北京科技大學(xué)網(wǎng)絡(luò)設(shè)計方案當中應(yīng)當充分考慮，對于監(jiān)控方面的安全措施，可以采用直接提供單獨光纖給監(jiān)視設(shè)備。對于學(xué)校內(nèi)部的攻擊可以采取對于學(xué)生等群體的接入層采用IP 地址、 VLAN、 MAC、端口等五元組當中的任意三元組的綁定，以防止內(nèi)部的 ARP、IP 地址欺騙等相關(guān)攻擊。 對于目前主流技術(shù)的支持。 教職工具有同時內(nèi)網(wǎng)外網(wǎng)訪問的權(quán)限，而外網(wǎng)無法訪問內(nèi)網(wǎng)信息，可以在核心交換機上通過 ACL 來進行設(shè)定，以提高網(wǎng)絡(luò)安全性 學(xué)校一卡 通接入點可以設(shè)置單獨的 VLAN，并設(shè)定獨立的 Qos 策略，提高一卡通用戶的安全性和可靠性。 3．總體網(wǎng)絡(luò)設(shè)計 網(wǎng)核心改造組網(wǎng)描述 北京科技大學(xué)校園核心層解決方案總體設(shè)計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管 系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進性、成熟性，并采用模塊化的設(shè)計方法。 圖書館節(jié)點組網(wǎng)圖如下所示： 圖書館節(jié)點采用 S8505 核心交換機作為整個節(jié)點的核心交換機，其采用星型結(jié)構(gòu)分別與下屬的 6 個接入點 相連，接入點有：院士樓、博士后樓等接入點較少的地方可以直接采用 1臺華為 E026－ SI或 E050設(shè)備采用千兆模塊直接與核心相連，對于新教室樓、礦研樓等信息點數(shù)較多的地方可以采用接入層交換機E050、 E026SI 堆疊的方式以擴大信息點的數(shù)量。為實現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由圖書館節(jié)點、主樓節(jié)點構(gòu)成，對于這兩個節(jié)點的接入是采取二層的組網(wǎng)方式，其匯聚層的減少大大降低了網(wǎng)絡(luò)當中在匯聚層有可能會產(chǎn)生流量瓶頸的問題。 以太網(wǎng)核心交換機改造組網(wǎng)描述 網(wǎng)絡(luò)運行問題分析： 目前北京科技大學(xué)網(wǎng)絡(luò)的整體運行較慢，以太網(wǎng)目前的核心網(wǎng)絡(luò)組網(wǎng)如下圖所示： 原因分析： 核心出口串連引起擁塞， 從目前的核心出口部分可以看出，在出口部分有設(shè)備：防火墻、計費主機、出口路由器三個設(shè)備，均為百兆因此上行流量在經(jīng)過每一臺設(shè)備的時候都會產(chǎn)生不同程度的帶寬浪費因此實際上真正出口的流量將無法達到百兆的線速帶寬，因此將會產(chǎn)生一定的出口流量的影響，因而將會進一步影響出口的帶寬。其整體組網(wǎng)圖如下所示： 如圖所示，改造后核心交換機采用 S8512 核心交換機作為整個校園網(wǎng)絡(luò)的核心交換機，出口路由器以及防火墻均采用千兆 GE 方式進行組網(wǎng)，考慮到要與改造后的 ATM 網(wǎng)相連建議核心交換機通過 10GE 接口分別與改造后的 ATM 網(wǎng)的圖書館節(jié)點、主樓節(jié)點相連進而進一步擴大主干的帶寬。出口路由器 NE05 包轉(zhuǎn)發(fā)率高達 同時可提供豐富的業(yè)務(wù)特性如： IPV策略路由、 IPsec、 L2tp、 MPLS VPN 等滿足用戶的不同需求。華為 E 系列接入層交換機具有強大的業(yè)務(wù)特性，可以支持 256/128 個標準的 VLAN，并能夠提供強大的業(yè)務(wù)功能：如 認證、 IP地址綁定、動態(tài) ACL、 動態(tài) Vlan、防止 Proxy 等功能。同時對于萬兆接口、 IPv6 等新技術(shù)均支持?？芍С謴姶蟮牟呗月酚晒δ埽С钟布?ACL 列表，支持 IPV6 技術(shù)。華為 QuidView系列產(chǎn)品支持統(tǒng)一的網(wǎng)管平臺，通過華為 Quidview網(wǎng)管軟件可以對全網(wǎng)設(shè)備實施從網(wǎng)元到拓撲、故障等系列特性實施及時、專業(yè)的管理。華為 3 所采用產(chǎn)品 NE0 S851 S6503 等三層轉(zhuǎn)發(fā)模式均為最長路由匹配技術(shù)。這是我們選則 S8512 的作為核心交換的非常重要的原因。針對用戶要求在實際的組網(wǎng)方面采用戶為的 12GE 接口板提供高速的雙向的線速的速率，完全不會產(chǎn)生帶寬瓶頸。但是 S8512 是根據(jù)最長匹配來查找路由的，是針對網(wǎng)斷進行路由的。在北京科技大學(xué)的建網(wǎng)的過程當中希望能夠考慮到網(wǎng)絡(luò)的延續(xù)性以及相關(guān)的技術(shù)的支持性，以便于網(wǎng)絡(luò)的建設(shè)的發(fā)展。具體實現(xiàn)如下圖所示： 當用戶要訪問服務(wù)器 A 時， A 與 B 之間是相互備份的狀態(tài)，由于當前 A 的負荷很大，但 B 較為空閑，這時 S8512 可以檢測相連的服務(wù)器的當前狀態(tài)，使得用戶訪問 的數(shù)據(jù)