【正文】 PVLAN功能可以保證同一個 VLAN 中的各個端口相互之間不能通訊，但 可以穿過 TRUNK端口。與服務器連接的端口稱作專用端口 (Private port)，一個專用端口限定在第 2 層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量。而根據(jù)IP 地址的限速就可以允許用戶復用一個物理端口。如假定設定每端口同時連接的 MAC 地址上限為 2， 則用戶最多有兩臺電腦，如果超過兩臺，交換機可以自動關(guān)閉此端口或向系統(tǒng)管理員 TRAP 告警。 1．端口與 MAC 地址的綁定 交換機的端口連接到用戶的網(wǎng)卡，每一個網(wǎng)卡都有一個全球唯一的 48 位 MAC 地址，任何用戶申請開通上網(wǎng)業(yè)務時登記 MAC 地址，網(wǎng)絡管 理員注入系統(tǒng)數(shù)據(jù)庫，并起用端口的安全特性。 網(wǎng)絡安全設計 方法 用戶的地址更改 /欺騙在以太網(wǎng)接入中也比較突出，尤其在用戶內(nèi)部，普通用戶冒用特權(quán)用戶的IP 地址上網(wǎng)。 （ 2）集中安全漏洞檢查和攻擊監(jiān)控 通過特定網(wǎng)段及服務建立的多種監(jiān)控體系，應可實時檢測出絕大多數(shù)攻擊并采取相應的措施 (如斷開連接、記錄攻擊過程及跟蹤攻擊 等 )，并能周期性地檢查安全漏洞，做到及時發(fā)現(xiàn)，及時防范。通過使用基于策略的路由可以實施有選擇地讓數(shù)據(jù)包采用不同的路徑的策略。例如，對于 CERNET 所規(guī)定的 FreeIP范圍，可選擇通過 CERNET 出口。 第四個因素是是否考慮可能的政策調(diào)整 。 第二個因素是采用的產(chǎn)品的特性。而采用 NAT/PAT 的方式，可以將網(wǎng)絡公用地址的需要節(jié)省到幾十分之一甚至更多的程度。用戶人數(shù)在不斷增長，將遠遠超過可用地址數(shù)，這將成為一個非常嚴重的問題。對于訪問校園網(wǎng)外的用戶，需區(qū)分其使用的是私有還是公有 IP 地址，對于公有 IP地址用戶也無需進行地址轉(zhuǎn)換，使用私有 IP地址用戶為訪問校園網(wǎng)外的網(wǎng)絡時必須進行 NAT轉(zhuǎn)換。 校園網(wǎng)內(nèi)地址規(guī)劃的一種方式是將所有私有地址限制在各校園一定的區(qū)域內(nèi)，無論私有地址用戶訪問的目的地是校園網(wǎng)外網(wǎng)絡還是校園網(wǎng)內(nèi)網(wǎng)絡，其均要進行地址轉(zhuǎn)換。 建設網(wǎng)絡的目的是為了應用。 Private VLAN 能夠提供端口之間的第二層的隔絕，同時又使這些端口具有標準 VLAN 的特性。 PVLAN 技術(shù) 當接入用戶比較多時而又要保證相互之間的安全，一般所采用的方法就是采用 VLAN 進行共同工作組的劃分。 VLAN 2 為各個 VTP 域的管理 VLAN，專用于校園網(wǎng)所有交換機的 tel 和 SNMP遠程管理。 （ 6）按用戶定義、非用戶授權(quán)劃分?；?IPX 的 VLAN，也是按照 OSI（開放系統(tǒng)互連）模型的第三層地址來設計的?；?IP 子網(wǎng)的 VLAN，可按照 IPv4 和 IPv6 方式來劃分 VLAN。這種按網(wǎng)絡層協(xié)議來組成的 VLAN，可使廣播域跨越多個 VLAN 交換機。 VLAN工作基于工作站的 MAC 地址， VLAN交換機跟蹤屬于 VLAN MAC的地址，從某種意義上說，這是一種基于用戶的網(wǎng)絡劃分 手段，因為 MAC 在工作站的網(wǎng)卡（ NIC）上。將 VLAN 交換機上的物理端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當于一個獨立的 VLAN 交換機。最后， VLAN 架構(gòu)使各機構(gòu)能夠在網(wǎng)絡管理中實現(xiàn)極高程度的 自動化。 我們亦可采用虛擬局域網(wǎng)技術(shù)將地理位置不同的、同屬一個單位的幾個局域網(wǎng)劃分成一個虛擬網(wǎng)段，以便單位內(nèi)部的數(shù)據(jù)共享和管理。 校園網(wǎng)邏輯設計 VLAN 是基于交換層（即數(shù)據(jù)鏈路層）劃分的。 S2126G/S2150G 以極高的性價比為各類型網(wǎng)絡提供 完善的端到端的 QoS 服務質(zhì)量、靈活豐富的安全策略管理和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的網(wǎng)絡新需求。 RGS3760 系列以高性能、高安全、多業(yè)務、易用性特性為大型網(wǎng)絡匯聚和中型網(wǎng)絡核心提供了 IPv4/IPv6 的多層交換、端到端的服務質(zhì)量、靈活豐富的安全措施和基于策略的網(wǎng)管，最大化滿足高速、安全、多業(yè)務的下一代企業(yè)網(wǎng)需求。 2．匯聚層 匯聚層采用千兆三層交換機 RGS3760。 具體 網(wǎng)絡拓撲圖如下： （修改） C H I N A N E TC E R N E T1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S內(nèi) 網(wǎng) 服 務 器外 網(wǎng) 服 務 器教 學 樓防火墻綜合樓學 生 公 寓1 號 東 區(qū)待建待 建教 師 公 寓東 區(qū)西 區(qū)R G S 6 8 0 6 E C交 換 機R G S 3 7 6 0交 換 機R G S 3 7 6 0交 換 機R G S 3 7 6 0交 換 機R G S 3 7 6 0交 換 機實 訓 車 間機 房辦 公 室 1 號 西 區(qū)網(wǎng) 絡 督 察C i s c o A S A 5 5 2 0 從圖中可看出，在總體方案中采用了二層與三層的網(wǎng)絡結(jié)構(gòu)：教學、科研和辦公區(qū)域為核心層、接入層的二層結(jié)構(gòu)；學生宿舍區(qū)和教室等區(qū)域采用核心層、樓棟匯聚層和接入三層結(jié)構(gòu)。同時考慮到網(wǎng)絡的逐步建設及中長期發(fā)展的需要，對萬兆、 IPv無線接入、語音、視頻會議、校園一卡通、視頻監(jiān)控等項目的發(fā)展提供無縫支持。其中核心層實現(xiàn)高效率的數(shù)據(jù)交換，匯聚層負責網(wǎng)絡安全和 QoS 服務質(zhì)量策略的實現(xiàn)，而接入層則負責具體的用戶接入以適應所要求的接入端口 密度和接入方式。 2． 3 網(wǎng)絡整體設計方案 鄂州經(jīng)貿(mào) 學校校園網(wǎng)整體設計思想： 校園網(wǎng)的主干采用星型的拓撲結(jié)構(gòu)和先進成熟的千兆以太網(wǎng)技術(shù)來構(gòu)建主干（并有升級到萬兆網(wǎng)的能力），各個匯聚層交換機通過光纖千兆鏈路分別與核心交換機上聯(lián)。 安全性和可靠性 系統(tǒng)應性能穩(wěn)定，容錯能力強，操作、管理 、維護簡單并具有良好的安全性。 所以，在設計上要遵循下列原則： 先進性 選擇當今先進的網(wǎng)絡技術(shù)和網(wǎng)絡設備，使建成的校園網(wǎng)絡體現(xiàn)出領(lǐng)先行業(yè)的先進性，并在系統(tǒng)建成后較長的一段時間內(nèi)，能滿足需求增長的要求，今后在更新的技術(shù)開始應用的時候，能便利地進行升級。因此，網(wǎng)絡的建設，尤其是主干網(wǎng)要求高帶寬、高速度，并且網(wǎng)絡將設置統(tǒng)一的出口，與 Cer 和 Inter 相連。它將成為學校內(nèi)公文運轉(zhuǎn)、信息交流、數(shù)據(jù)共享的平臺，成為各年級、各部門領(lǐng)導和工作人員掌握情況及信息的窗口、輔助決策的工具，成為學生、教師與外界相互溝通的橋梁?！皵?shù)字校園”是一個范圍很 廣的概念，沒有地域和時間的限制，它包括現(xiàn)實校園及其數(shù)字化空間，也包含了實施遠程教育和終身教育的虛擬大學。 概念 “數(shù)字校園” 是在校園網(wǎng)的基礎(chǔ)上，利用先進的信息化手段和工具，將現(xiàn)實校園的各項資源數(shù)字化，形成的一個數(shù)字空間，它使得現(xiàn)實校園在時間和空間上延伸開來。隨著信息時代的發(fā)展，學校需要改變 這一局面，以提高學校競爭力，實現(xiàn)學校管理與教學的信息化，提高管理水平、促進教學建設，學校 需要 進行新一輪的數(shù)字化校園建設。 數(shù)字校園的功能 ................................ 錯誤 !未定義書簽。 鄂州經(jīng)貿(mào) 學校 數(shù)字化校園 方 案 設 計 書 二零一一年七月 鄂州經(jīng)貿(mào)學校 雷文金 目 錄 第一章 概述 ............................................... 錯誤 !未定義書簽。 概念 .......................................... 錯誤 !未定義書簽。學校目前已經(jīng)將教學、辦公等場所的計算機進行了聯(lián)網(wǎng)，但目前網(wǎng)絡不能進行有效的管理與控制，出現(xiàn)網(wǎng)絡速度慢、故障多、網(wǎng)絡資源少、后期缺少維護，缺少有效管理等，未能實現(xiàn)學校的管理與教學的信息化，學校競爭力不足?！皵?shù)字校園”這一概念也是應任而生。校園網(wǎng)絡及其應用系統(tǒng)構(gòu)成了整個校園的神經(jīng)系統(tǒng)，完成校園的信息傳遞和服務。它的建成， 應 實現(xiàn) 學校 辦公和教學業(yè)務的規(guī)范化、程序化 ， 管理的自動化，進而推進遠 程教育。 由于在網(wǎng)絡上傳輸?shù)男畔⒉恢皇菙?shù)字、文字和 圖形，還會隨應用水平的提高，逐步增加語音、活動圖像及視頻圖像等高帶寬的應用。 2． 2 系統(tǒng)設計原則 鄂州經(jīng)貿(mào) 學校校園網(wǎng)絡是一個要滿足數(shù)字、語音、圖形 、圖像等多媒體信息以及綜合業(yè)務信息傳輸、處理和檢索需要的綜