【正文】 。 根據(jù)原 ATM 網(wǎng)的整體網(wǎng)絡架構，基本上可以分為四個節(jié)點，包括主樓節(jié)點、圖書館節(jié)點、綜合樓節(jié)點、實驗樓節(jié) 點，根據(jù)各個節(jié)點的信息點的接入設備的數(shù)量以及相關的流向分析，建議不同節(jié)點采用不同檔次的設備，其具體流量分析如下： 節(jié)點流量分析 從圖中可以看出，目前在目前需要改造的網(wǎng)絡當中圖書館以及主樓兩個節(jié)點下接的信息點數(shù)較多，因此在網(wǎng)絡的實際的應用的過程當中建議將該兩個節(jié)點設置為骨干節(jié)點，采用性能較高的設備，因此建議在圖書館以及主樓節(jié)點采用華為 S8505 萬兆核心交換機作為該骨干節(jié)點的設備。 北京科技大學整體校園網(wǎng)的建設是一個復雜的多業(yè)務、多需求的網(wǎng)絡 因此在網(wǎng)絡的建設過程當中應當正對用戶的不同需求給出針對性的解決方案，總體業(yè)務流程如圖所示： 從圖中可以看出整個校園網(wǎng)內(nèi)部的不同用戶的業(yè)務訪問流程示意圖，下面分別描述： 家屬區(qū)用戶上網(wǎng)只允許訪問外網(wǎng)的信息，對于老師在家里訪問學校內(nèi)部校園網(wǎng)資源的情況，可以在老師與出口路由器之間建立 VPN 通道通過用戶名密碼認證作為安全的手段 學生上網(wǎng)只要求訪問外網(wǎng)的信息，對于校內(nèi)的部分資源可以向?qū)W生開放。同時配置 IDS 入侵檢測設備來防止外界的基于應用層病毒等攻擊。 針對學校的行政系統(tǒng)考慮到安全性要求較高可以采用對與行政系統(tǒng)的應用只對部分學校用戶開放，設置單獨的 VLAN，以實現(xiàn)安全隔離，對于學籍管理系統(tǒng)也可以同樣采取這樣的方式來進行管理設計。 學生上網(wǎng) 考慮到學校內(nèi)網(wǎng)相關資源的安全性問題，建議學生用戶上網(wǎng)只能夠訪問外網(wǎng)資源，同時考慮到高校學生技術水平較高，“好動”學生較多因此在學生宿舍區(qū)的管理上可以采用多種方式如： IP＋端口的綁定、 Proxy 的限制、或是限時上網(wǎng)等手段進行管理。 對于用戶上網(wǎng)類型的區(qū)分。 安全可靠性 設計應充分考慮整個網(wǎng)絡的穩(wěn)定性，支持網(wǎng)絡節(jié)點的備份和線路保護，提供網(wǎng)絡安全防范措施。 原 ATM 組網(wǎng)圖如下所示： 整體建網(wǎng)原則 早期的高校校園網(wǎng)主要是共用內(nèi)部教育系統(tǒng)主機資源，共享簡單數(shù)據(jù)庫，多以二層交換為主，很少有三層應用，存在 安全、可管理性較差、無業(yè)務增值能力 等方面的問題。原 ATM 網(wǎng)樓宇的信息點數(shù)大致如下表所示。 校園網(wǎng)現(xiàn)有管理軟件為 HP Open View 和 3COM Tracent。 目前我校千兆以太主干網(wǎng)線路連接情況：聯(lián)接北京郵電大學的 100M 光纖接到校園網(wǎng)外部路由器（ cisco3640）的交換 100M 外部接口，路由器內(nèi)部接口亦為交換 100M 接口，它連線與防 火墻的外部接口連線在同一個交換機上。 北京科技大學建網(wǎng)需求 北京科技大學校園網(wǎng)始建 1998 年，經(jīng)過 6 年的不斷發(fā)展，已經(jīng)初具規(guī)模，成為學校教學和科研不可缺少的組成部分。通過此種方式限制賬號的使用區(qū)域。用戶可通過不同的賬號名或采用相同的賬號，不同的域名認證，獲得不同的上網(wǎng)權限。 教育即未來，作為國家最重要的戰(zhàn)略工程，如何應用信息技術改造我們傳統(tǒng)的教學和管理手段；如何加深學生對于信息化和信息技術的理 解與了解；如何造就同時具備傳統(tǒng)和信息雙重文化的一代新人，已成為教育界當前最為緊迫的任務之一。 另據(jù)華為公司市場部 提供的資料，中國網(wǎng)民的普及率是 %，但在大學生群體中的普及率是 93%。 校園網(wǎng)為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫，所以校園網(wǎng)是學校進行教學改革、推行素質(zhì)教育的一種必不可少的工具。北京科技大學校園網(wǎng)絡建設從網(wǎng)絡流量模型上看和企業(yè)網(wǎng)的流量模型相似，用戶集中而網(wǎng)絡流量大，但實際應用上還存在許多和企業(yè)網(wǎng)不同的地方。 用戶管理的需求： 使用方便，存在 WEB 認證需求。 安全管理的需求： 校園用戶接受新鮮事務的能力非常強，因此校園也成為黑客最多的場所之一，如何保障校園網(wǎng)絡的安全成為建網(wǎng)時不得不考慮的問題，目前主要攻擊手段有 DOS， DDOS 等 上網(wǎng)日志的需求，主要是配合公安機關保證社會的穩(wěn)定和校園的安全 組播業(yè)務的需求，特別是可控 組播的需求將隨著校園信息化的深入而體現(xiàn)出來。后期千兆網(wǎng)絡部分主 要通過科技樓、新辦公樓和新學生公寓 1 號樓內(nèi)的 3COM CoreBuilder9000、 4007R 和 4007 帶三層交換的主干交換設備構成，以科技樓為核心，覆蓋新辦公樓、科技樓、 51 棟、逸夫教學樓、科技園以及新學生公寓 1 號樓等樓宇。其中 CISCO 路由器與中心路由器采用靜態(tài)路由連接；其余的與中心路由器采用 OSPF 動態(tài)路由協(xié)議連接。訪問 CERNET 速度一般，訪問中國電信網(wǎng)速度較慢。 隨著校園網(wǎng)規(guī)模的不斷擴大，全網(wǎng)絡安全問題變得更加重要，需盡快采取有效措施，防止來自內(nèi)網(wǎng)和外網(wǎng)的攻擊，目前校園網(wǎng)已設病毒防治系統(tǒng)，還應配備入侵檢測系統(tǒng)，主機漏洞檢測系統(tǒng)以及防郵件垃圾等設施，防火墻應有 DMZ 方式控制，同時在校園網(wǎng)結(jié)構上進行調(diào)整，確保 網(wǎng)絡安全。所以在建設時要充分考慮業(yè)務的擴展能力，能針對不同的用戶需求提供豐富的寬帶增值業(yè)務，使網(wǎng)絡具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。 總體改造結(jié)、構業(yè)務設計： 主流的網(wǎng)絡體系結(jié)構 北京科技大學校園園區(qū)面積很大，從目前的情況看來對于學校新增校區(qū)的信息點的接入，按照傳統(tǒng)的星星結(jié)構的方式將會在學校內(nèi)部產(chǎn)生大量的布 線等工程而引起的施工等問題，為了解決因布線而產(chǎn)生的不必要的工程問題，在網(wǎng)絡的最初布線過程當中應當充分考慮到學校后期的新大樓的信息點的接入問題?？紤]到外網(wǎng)的安全隱患較多，可以在出口交換機上通過ACL 列表的形式來禁止外界用戶訪問內(nèi)部網(wǎng)絡，這樣可以完全的防止外界非法用戶的進入。學校內(nèi)部用戶也不允許通過校園內(nèi)部網(wǎng)訪問三產(chǎn)公司的相關資源 以上是對于不同類別用戶的上網(wǎng)方式的劃分，這樣既可以解決相關用戶的上網(wǎng)需求又可以提高整網(wǎng)的安全性，進而 提高整個網(wǎng)絡的穩(wěn)定性、可靠性。 網(wǎng)絡的安全是網(wǎng)絡最為重要的一個方面，在北京科技大學網(wǎng)絡設計方案當中應當充分考慮，對于監(jiān)控方面的安全措施，可以采用直接提供單獨光纖給監(jiān)視設備。 對于目前主流技術的支持。 3．總體網(wǎng)絡設計 網(wǎng)核心改造組網(wǎng)描述 北京科技大學校園核心層解決方案總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管 系統(tǒng)及可靠組播為原則，以及考慮到技術的先進性、成熟性，并采用模塊化的設計方法。為實現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由圖書館節(jié)點、主樓節(jié)點構成，對于這兩個節(jié)點的接入是采取二層的組網(wǎng)方式，其匯聚層的減少大大降低了網(wǎng)絡當中在匯聚層有可能會產(chǎn)生流量瓶頸的問題。其整體組網(wǎng)圖如下所示： 如圖所示，改造后核心交換機采用 S8512 核心交換機作為整個校園網(wǎng)絡的核心交換機，出口路由器以及防火墻均采用千兆 GE 方式進行組網(wǎng)，考慮到要與改造后的 ATM 網(wǎng)相連建議核心交換機通過 10GE 接口分別與改造后的 ATM 網(wǎng)的圖書館節(jié)點、主樓節(jié)點相連進而進一步擴大主干的帶寬。華為 E 系列接入層交換機具有強大的業(yè)務特性，可以支持 256/128 個標準的 VLAN，并能夠提供強大的業(yè)務功能：如 認證、 IP地址綁定、動態(tài) ACL、 動態(tài) Vlan、防止 Proxy 等功能。可支持強大的策略路由功能，支持硬件的 ACL 列表，支持 IPV6 技術。華為 3 所采用產(chǎn)品 NE0 S851 S6503 等三層轉(zhuǎn)發(fā)模式均為最長路由匹配技術。針對用戶要求在實際的組網(wǎng)方面采用戶為的 12GE 接口板提供高速的雙向的線速的速率，完全不會產(chǎn)生帶寬瓶頸。在北京科技大學的建網(wǎng)的過程當中希望能夠考慮到網(wǎng)絡的延續(xù)性以及相關的技術的支持性，以便于網(wǎng)絡的建設的發(fā)展。所以此項功能又是非常必要的。 如圖 1 所示： NE05 的多 ISP 解決方案組網(wǎng)圖 在上面的組網(wǎng)中，校園網(wǎng)內(nèi)的用戶通過教育網(wǎng)訪問教育網(wǎng)站，通過運營商網(wǎng)絡訪問國外和國內(nèi)收費網(wǎng)站。這樣學校便攜機使用者能夠方便的使用學校的網(wǎng)絡資源，同時學校有能夠?qū)σ苿佑脩暨M行管理監(jiān)控。由 S6503 完成對其下掛的匯聚交換機以及樓道交換機的組播用戶進行報文復制和發(fā)送。要與網(wǎng)絡拓撲層次結(jié)構相適應，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡中的路由聚類，減少路由器 中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡地址的可管理性。 3）對于固定 IP 地址用戶，需要針對標識符（ MAC 地址）設定保留 IP 地址。在 Web Server 上安裝了網(wǎng)管軟件后，其它網(wǎng)管機器不用預裝網(wǎng)管軟件，只須安裝了 WEB 瀏覽器并且設備能上網(wǎng) ，就能使用 QuidView 系統(tǒng)管理 。 、用戶嚴格隔離 方法一：用 Vlan 隔離。對于靜態(tài) IP 地址分配方案，接入層交換機可在操作界面中實現(xiàn)用戶的 VLAN ID+IP+MAC 綁定關系的指定；對于動態(tài) IP 地址分配方案，在 IP 地址動態(tài)分 配后，接入層交換機可實現(xiàn)用戶的 VLAN ID+IP+MAC 的綁定。然后通過華為的網(wǎng)絡管理系統(tǒng)Quidview 的 MAC 地址和 IP 地址的反向查找功能，就可以根據(jù)源 IP 或源 MAC 在Quidview 網(wǎng)管上查到該用戶所在的交換機以及在該交換機上所接的端口，通過這種方式可以立刻定位用戶，方便對于大型網(wǎng)絡的管理，能夠方便快捷的防止惡意用戶的攻擊。 針對用戶關注的業(yè)務性能， Quidview 網(wǎng)絡管理軟件提供了基于報文流七元組信息的流量工具―― NSCamp。 ? 通過定期輪詢機制，幫助用戶及時了解網(wǎng)絡關鍵設備的在線情況。Quidway? S850 。 ? 提供設備配置文件管理功能，幫助用戶建立配置文件版本管理機制，減少災難情況下網(wǎng)絡的恢復時間。其中，網(wǎng)流收集器（ NSC， NetStream Collector）提供快速的網(wǎng)流設備數(shù)據(jù)收集工具，包含的功能： ? 收集多個網(wǎng)流設備輸出的網(wǎng)流統(tǒng)計數(shù)據(jù)； ? 通過配置過濾器過濾掉不必要的數(shù)據(jù)； ? 通過聚合減少統(tǒng)計數(shù)據(jù)的磁盤空間占用量； ? 分層次存儲數(shù)據(jù)（便于客戶端應用程序獲取數(shù)據(jù) ）； 網(wǎng)流數(shù)據(jù)分析器（ NDA， NetStream Data Analyzer）可以分析由 NSC 生成的所有數(shù)據(jù)文件，對數(shù)據(jù)文件中的數(shù)據(jù)進行進一步的聚合、排序，并將分析的結(jié)果以各種圖形方式（如柱狀圖、餅圖和趨勢圖等）顯示出來，提供如下功能： ? 詳細自治域矩陣數(shù)據(jù)查詢功能 ? 網(wǎng)流分布的圖形化分析 ? 詳細自治域矩陣流量分析功能 故障定位與地址反查 針對最為常見的端口故障， Quidview 網(wǎng)絡管理軟件提供了便捷的定位檢測工具――路徑跟蹤和端口環(huán)回測試；當用戶報告網(wǎng)絡端口使用異常時，網(wǎng)絡管理員可以通過網(wǎng)管對指 定用戶端口做環(huán)回測試，直接定位端口故障。 網(wǎng)絡集中監(jiān)視 Quidview 網(wǎng)絡管理軟件提供統(tǒng)一拓撲發(fā)現(xiàn)功能，實現(xiàn)全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設備的運行狀況，并根據(jù)網(wǎng)絡運行環(huán)境變化提供合適的方式對網(wǎng)絡參數(shù)進行配置修改， 保證網(wǎng)絡以最優(yōu)性能正常運行。 、防止對 DHCP 服務器的攻擊 使用 DHCP Server 動態(tài)分配 IP 地址會存在兩個問題：一是 DHCP Server 假冒，用戶將自己的計算機設置成 DHCP Server 后會與局方的 DHCP Server 沖突；二是用戶 DHCP Smurf，用戶使用軟件變換自己的 MAC 地址，大量申請 IP 地址，很快將 DHCP 的地址池耗光。 方法二：利用 PVlan 技術。 支持多種操作系統(tǒng)平臺 純 Java 的實現(xiàn)，保證 QuidView 無須修改便能運行于當前主流 的各種平臺之上。 對一層 樓一個 VLAN ①本層樓的內(nèi)部互訪無須經(jīng)過三層交換機，優(yōu)化了組網(wǎng)。 主流的 IP 地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡地址三種。 付費視頻：按節(jié)目收費的視訊節(jié)目。 接入層防 Proxy 的功能 考慮到大學學生的技術性較強，在實際的應用的過程當中應當充分考慮到學生的 Proxy 的使用，對于 Proxy 的防止，華為 3 公司 E050/E026 配合華為 3公司的 的客戶端，一旦檢測到用戶 PC 機上存在兩個活動的 IP 地址（不論是單網(wǎng)卡還是雙網(wǎng)卡）， E050/E026 將會下發(fā)指令將該用戶直接踢下線。使得在任何一個 ISP 網(wǎng)絡出現(xiàn)問題時，校園網(wǎng)內(nèi)訪問外部網(wǎng)站的流量可以切換到另外一個 ISP 作為出口。 出口路由器 NE05 策略路由的需求 策略路由是路由的另一種選擇，策略路由根據(jù)用戶的策略來選擇優(yōu)化的路由。華