【文章內(nèi)容簡(jiǎn)介】 造成影響，無(wú)需改變整個(gè)環(huán)境。 可管理性：層次結(jié)構(gòu)使單個(gè)設(shè)備的配置的復(fù)雜性大大降低，更易管理。 1. 核心層 (Core Layer) 核心層為下兩層提供優(yōu)化的數(shù)據(jù)輸運(yùn)功能，它是一個(gè)高速的交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應(yīng)卷入到具體的數(shù)據(jù)包的運(yùn)算中 (ACL，過濾等 )，否則會(huì)降低數(shù)據(jù)包的交換速度。 2. 分布層 (Distribution Layer) 分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問 層的分界點(diǎn)，定義了網(wǎng)絡(luò)的邊界，對(duì)數(shù)據(jù)包進(jìn)行復(fù)雜的運(yùn)算。在園區(qū)網(wǎng)絡(luò)環(huán)境中，分布層主要提供如下功能： ●地址的聚集 ●部門和工作組的接入 ●廣播域 /多目傳輸域的定義 ● Inter VLAN 路由 ●任何介質(zhì)的轉(zhuǎn)換 ●安全控制 從邏輯上，校園網(wǎng)絡(luò)可分為核心層、分布層和接入層，每層都有其特點(diǎn)。層次化設(shè)計(jì)的優(yōu)點(diǎn)可以總結(jié)為如下幾點(diǎn)： 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 10 3. 接入層 (Access Layer) 接入層的主要功能是為最終用戶提供對(duì)園區(qū)網(wǎng)絡(luò)訪問的途徑。本層也可以提供進(jìn)一步的調(diào)整，如 Accesslist Filtering 等。在園區(qū)網(wǎng)絡(luò)環(huán)境中，接入層主要提供如下功能： 帶寬共享（ Shared Bandwidth） 交換帶寬（ Switched Bandwidth） MAC 層過濾（ MAC Layer Filtering(possibly)） 微分網(wǎng)段（ Microsegmentation） 在廣域網(wǎng)環(huán)境中 ， 接入層主要提供通過 Frame Relay、 ISDN、 Leased Line 連入遠(yuǎn)程節(jié)點(diǎn)。 （二）校園網(wǎng)特性分析 1. 高性能的網(wǎng)絡(luò)設(shè)計(jì) 設(shè)備的高性能： 核心節(jié)點(diǎn)的交換機(jī)是整個(gè)校園網(wǎng)絡(luò)的核心，應(yīng)當(dāng)采用有多層交換功能的交換機(jī)。核心交換機(jī)應(yīng)采用模塊化設(shè)計(jì)，有良好的擴(kuò)展性能、多種接入模塊；具備增強(qiáng)的網(wǎng)絡(luò)傳輸能力，支持 VLAN、 RIP 和 OSPF 協(xié)議、服務(wù)質(zhì)量 （ QOS）、 IP 組播、 DHCP 中繼和 AAA 認(rèn)證等功能；支持通用的管理特性（ SNMP），能使用流行的網(wǎng)管軟件對(duì)它進(jìn)行管理，如 HP OpenView 等。 會(huì)聚層交換連接核心和接入層，應(yīng)當(dāng)采用帶 VLAN 和網(wǎng)管功能的中低檔交換機(jī)。匯聚層交換機(jī)具有快速的級(jí)聯(lián)核心的以太端口以及高速堆疊模塊；帶VLAN 子網(wǎng)劃分功能，能很好的管理接入層用戶；支持 、 VTP、 SNMP等協(xié)議。 網(wǎng)絡(luò)的高性能設(shè)計(jì)： 整個(gè)校園的建設(shè)可以采用全交換方式， 100 兆到每個(gè)接入層用戶。有效的子網(wǎng)劃分和流量控制使整個(gè)校園網(wǎng)絡(luò)能高速、安全的 運(yùn)行。 2. 集成的用戶管理功能 提供完善的用戶管理機(jī)制，實(shí)現(xiàn)全面的用戶認(rèn)證、鑒權(quán)和計(jì)費(fèi) (AAA)功能。用戶管理引擎實(shí)現(xiàn)了根據(jù)用戶 MAC 地址、 VLAN ID 和 IP 地址的綁定關(guān)系鑒別用戶的合法性的功能?？筛鶕?jù)用戶的權(quán)限，實(shí)現(xiàn)對(duì)用戶訪問資源的控制。 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 11 實(shí)現(xiàn)基于 VLANID/MAC 地址、接入模塊號(hào)和接入設(shè)備號(hào)的全程用戶唯一標(biāo)識(shí)，便于用戶管理（開戶、銷戶、欠費(fèi)停機(jī)等）和網(wǎng)絡(luò)故障維護(hù)。 3. 靈活的網(wǎng)絡(luò)的可擴(kuò)展性設(shè)計(jì) 網(wǎng)絡(luò)的擴(kuò)展性對(duì)網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展至關(guān)重要，它直接決定了校園網(wǎng)是否能夠在節(jié)約成本的基礎(chǔ)上跟上網(wǎng)絡(luò)技術(shù)的發(fā)展和 滿足學(xué)校信息不斷增長(zhǎng)的需要，一個(gè)擴(kuò)展性差的網(wǎng)絡(luò)不僅為學(xué)校的投資造成了巨大的浪費(fèi)，同時(shí)又無(wú)法滿足學(xué)校網(wǎng)絡(luò)業(yè)務(wù)不斷發(fā)展和信息的增長(zhǎng)的需要，為了保證網(wǎng)絡(luò)能夠不斷的適應(yīng)學(xué)校網(wǎng)絡(luò)業(yè)務(wù)今后發(fā)展的不斷需求，可以采用以下的措施來(lái)保證網(wǎng)絡(luò)的擴(kuò)展性。 （ 1）所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)當(dāng)具有良好的擴(kuò)展性。選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的，便于網(wǎng)絡(luò)的擴(kuò)大和更改，其中核心交換機(jī)應(yīng)具有多種模塊類型，以滿足各種網(wǎng)絡(luò)類型的接入。匯聚層交換機(jī)可以采用一款可堆疊的網(wǎng)管型以太網(wǎng)交換機(jī)，半 /全雙工模式自適應(yīng)，具有擴(kuò)展槽，能使用多種可選模塊。 （ 2）所選擇的設(shè) 備都具有良好的軟件再升級(jí)能力。我們所選擇的網(wǎng)絡(luò)設(shè)備都是可以通過軟件升級(jí)來(lái)不斷的滿足客戶的新的需求同時(shí)跟上網(wǎng)絡(luò)技術(shù)的發(fā)展。由于網(wǎng)絡(luò)的技術(shù)層出不窮，用戶的需求也不斷增加，現(xiàn)在是新的技術(shù)，再過一段時(shí)間就會(huì)落后了，為了保證用戶的網(wǎng)絡(luò)產(chǎn)品能夠跟上這一節(jié)奏，而不需要更換網(wǎng)絡(luò)設(shè)備，從而減少了用戶的投 資。 4. 完善的 QOS 功能 帶寬控制特性 以太網(wǎng)是一種基于廣播機(jī)制的共享型技術(shù)，任何一個(gè)位于以太網(wǎng)上的用戶均可以向網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術(shù)中沒有具體帶寬控制的機(jī)理。網(wǎng)絡(luò)產(chǎn)品應(yīng)提供對(duì)用戶帶寬控制的功能。帶寬控制通過對(duì)每一個(gè) 用戶的上行帶寬與下行帶寬進(jìn)行限制，保證對(duì)每個(gè)用戶的公平性，防止在共享型網(wǎng)絡(luò)結(jié)構(gòu)中某一用戶長(zhǎng)期惡意霸占帶寬而導(dǎo)致其他用戶無(wú)法享受服務(wù)的現(xiàn)象。 Qos 控制特性 隨著 IP 網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)上的實(shí)時(shí)業(yè)務(wù)量也在不斷增長(zhǎng)，同時(shí)網(wǎng)絡(luò)上的應(yīng)用類型多種多樣，不同的應(yīng)用對(duì)網(wǎng)絡(luò)的需求也有所不同。 IP 網(wǎng)絡(luò)中引入QoS 技術(shù)，就是為了確保實(shí)時(shí)業(yè)務(wù)的通信質(zhì)量，滿足各種業(yè)務(wù)對(duì)網(wǎng)絡(luò)資源的需求，使網(wǎng)上資源獲得最佳利用，降低成本，改善對(duì)用戶的服務(wù) 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 12 5. 可靠的網(wǎng)絡(luò)安全設(shè)計(jì) 安全性是網(wǎng)絡(luò)設(shè)計(jì)要考慮的最重要的因素之一，設(shè)計(jì)中充分考慮了網(wǎng)絡(luò)的安全 性，具體體現(xiàn)在以下幾個(gè)方面： (1)通過 VLAN的劃分，限制了不同 VLAN之間的互訪，從而保證了不同網(wǎng)絡(luò)之間不會(huì)發(fā)生未經(jīng)授權(quán)的非法訪問。 (2)在核心節(jié)點(diǎn)可提供基于地址的 Accesslist，以控制用戶對(duì)于關(guān)鍵資源的訪問。通過在匯聚和核心交換機(jī)上設(shè)置 VLAN路由以及訪問過濾，保證了在 VLAN之間只有被允許的訪問才能發(fā)生，而未經(jīng)授權(quán)的訪問都會(huì)被禁止。 (3)通過對(duì)上網(wǎng)的安全教育，提高安全意識(shí)，特別是增強(qiáng)計(jì)算機(jī)操作人員的密碼管理意識(shí)，以防止由于操作員密碼有意無(wú)意泄露給他人而造成的損失。 (4)制定嚴(yán)格的安全制 度，包括人員審查制度、崗位定職定責(zé)制度、使用計(jì)算機(jī)的權(quán)限制度以及防病毒制度，從制度上保證網(wǎng)絡(luò)安全性得以實(shí)現(xiàn)。 (5)可以對(duì)所有的重要事件進(jìn)行 Log，這樣方便網(wǎng)絡(luò)管理員進(jìn)行故障查找； (6)可以對(duì)所有的 Tel以及 SNMP的訪問進(jìn)行限制，從而最大程度地保證匯聚層系統(tǒng)地安全。 (7)可以在接入層中通過限制 MAC地址的訪問提高網(wǎng)絡(luò)安全。 6. 方便的網(wǎng)絡(luò)管理和維護(hù) （ 1）為了提高網(wǎng)絡(luò)管理能力設(shè)計(jì)中所有設(shè)備最好具有網(wǎng)管功能，不存在光纖收發(fā)器等類似不可網(wǎng)管設(shè)備，提高了網(wǎng)絡(luò)可靠性和可管理。 （ 2）支持通用的網(wǎng)絡(luò)管理 協(xié)議如（ SNMP），方便網(wǎng)絡(luò)的管理和維護(hù)。 （ 3）支持通用的的網(wǎng)絡(luò)管理軟件，如 Cisco Ciscoworks、 HP Open View、3Com Trensand。 7. 運(yùn)營(yíng)級(jí)的網(wǎng)絡(luò)高可靠性的設(shè)計(jì) 可以從兩方面來(lái)考慮： 關(guān)鍵設(shè)備的主要模塊和電源的 冗余備份 考慮 在網(wǎng)絡(luò)設(shè)計(jì)中所涉及的所有主要設(shè)備，均采用高可靠設(shè)計(jì)的原則。核心關(guān)鍵部件的冗余備份：電源冗余、主控板冗余、模塊冗余等。 網(wǎng)絡(luò)鏈路的冗余 備份 考慮 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 13 （三）系統(tǒng)組成與拓?fù)浣Y(jié)構(gòu) 校園網(wǎng)的建設(shè)主要是為了教學(xué)應(yīng)用，而多媒體輔助教學(xué)和多媒體教室是教學(xué)應(yīng)用的核心，在 網(wǎng)絡(luò)建設(shè)時(shí)應(yīng)考慮多媒體信息的特點(diǎn)，如信息量大，對(duì)時(shí)間延遲敏感等；在校園網(wǎng)中常會(huì)出現(xiàn)幾十個(gè)學(xué)生執(zhí)行相同操作的現(xiàn)象，所以要考慮并發(fā)信息的控制；學(xué)生利用網(wǎng)絡(luò)做作業(yè)，教師要在家撥號(hào)訪問學(xué)校網(wǎng)絡(luò)，學(xué)籍管理信息在網(wǎng)上傳輸，所以也要考慮網(wǎng)絡(luò)的安全性，防止黑客破壞網(wǎng)絡(luò)，學(xué)生抄襲作業(yè)；校園網(wǎng)又是面向不同知識(shí)層次的教師、學(xué)生和辦公人員的工具，它幫助我們更好地提高教學(xué)水平、辦公效率和學(xué)習(xí)興趣，所以應(yīng)用和管理應(yīng)簡(jiǎn)便易行，界面友好，不宜太專業(yè)化?？紤]到該學(xué)校的具體情況如性質(zhì)、規(guī)模、財(cái)務(wù)等， 這是一個(gè)相對(duì)小型的校園網(wǎng)絡(luò)，單一建筑內(nèi)的網(wǎng)絡(luò)應(yīng)用，我們提出以下校園網(wǎng)解決方案： 方案特點(diǎn)如下： 支持多媒體應(yīng)用，包括多媒體教室、電子閱覽室、多媒體教學(xué)； 高性能，全交換，滿足用戶需求； （ 3）管理簡(jiǎn)單，瀏覽器方式無(wú)需專門培訓(xùn)； （ 4）系統(tǒng)安全，保密性高； （ 5） ADSL連接方式，按需建立連接降低鏈路費(fèi)用。 （ 6）互聯(lián)網(wǎng)接入，安全的廣域網(wǎng)訪問。 拓?fù)浣Y(jié)構(gòu)圖 校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 14 由圖可看出，網(wǎng)絡(luò)設(shè)備組成為： Catalyst 2900交換機(jī) 五臺(tái) ,Cisco850路由器 一臺(tái)。 思科公司的 cisco850路由器是這一網(wǎng)絡(luò)的核心設(shè)備，可降低擁有成本，簡(jiǎn)化遠(yuǎn)程管理，提供結(jié)合 CSU/DSU、復(fù)用器、調(diào)制解調(diào)器、語(yǔ)音 /數(shù)據(jù)網(wǎng)關(guān)、 ISDN NT防火墻、 VPN、加密和壓縮設(shè)備的集成化網(wǎng)絡(luò)。 Catalyst2900交換機(jī)它提供了 24個(gè) 10/100M自適應(yīng)的快速以太網(wǎng)端口。這是一個(gè)全交換的網(wǎng)絡(luò)，相對(duì)共享式集線器而言，交換機(jī)各端口擁有獨(dú)占的帶寬，能實(shí)現(xiàn)多路并行傳輸，不易發(fā)生沖突，能為多媒體信息提供更好的保障。 考慮到 Inter接入是校園網(wǎng)的發(fā)展趨勢(shì)，在這套解決方案中都用到了路由器來(lái)引入廣域網(wǎng)的遠(yuǎn)程連接，這套方案 中用到了思科公司的低端路由器 Cisco 850，它提供了對(duì)內(nèi)的 10/100M局域網(wǎng)接口和對(duì)外的 ADSL連接，通過 Inter實(shí)現(xiàn)遠(yuǎn)程教學(xué)或教學(xué)演播等應(yīng)用。傳輸穩(wěn)定，連接迅速。在實(shí)現(xiàn)基本數(shù)據(jù)傳遞的基礎(chǔ)上，用戶可以根據(jù)自己的需要靈活選用上述網(wǎng)絡(luò)設(shè)備中的某些性能。如：路由器和交換機(jī)的組內(nèi)廣播功能可為多媒體信息的傳輸提供更高的服務(wù)質(zhì)量；而catalyst2900之間建立快速以太網(wǎng)通道，在全雙工模式下達(dá)到 400M的高速級(jí)聯(lián)；此外， 850路由器兼任了防火墻－－思科公司系列中、低端路由器都可以通過操作系統(tǒng)升級(jí)具備防 火墻性能，在承擔(dān)遠(yuǎn)程連接的同時(shí)實(shí)施數(shù)據(jù)包檢驗(yàn)和過濾，防校園網(wǎng)規(guī)劃 設(shè)計(jì)方案 15 止非法用戶侵入到內(nèi)部局域網(wǎng)中－－對(duì)連接到 Inter這一開放網(wǎng)絡(luò)的。用戶來(lái)說，安全性是網(wǎng)絡(luò)設(shè)計(jì)中不容忽視的一項(xiàng)重要因素。 這套方案的好處是簡(jiǎn)便易行，成本很低，并且兼顧了教學(xué)、管理和通訊三方面應(yīng)用。方案中所用到的產(chǎn)品都屬思科公司產(chǎn)品中的低端設(shè)備，在實(shí)現(xiàn)高性價(jià)比的桌面應(yīng)用的同時(shí)又做到易于配置和管理： catalyst2900屬即插即用的設(shè)備，如果不添加特殊功能則不需任何配置， cisco850的設(shè)置和管理也十分方便，這樣用戶使用起來(lái)將得心應(yīng)手，無(wú)后顧之憂。 （四） IP 地址 規(guī)劃 通過 Proxy或 NAT方式使私有地址能夠訪問公網(wǎng)資源 在申請(qǐng)的公網(wǎng) IP地址不能完全滿足每個(gè)信息點(diǎn)一個(gè)的情況下，可以采用 公網(wǎng)地址與私網(wǎng)地址結(jié)合的方式。但是有時(shí)分配了私網(wǎng)地址的客戶端也要訪問 Inter。針對(duì)這種情況，可以采用不同的技術(shù)使私有地址能夠訪問公網(wǎng)資源。通?？梢岳么矸?wù) (Proxy) 和網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 這兩項(xiàng)技術(shù)。 園區(qū)網(wǎng)分配 IP地址方案 ，一個(gè)有效的 IP地址規(guī)劃或 IP地址方案就是在地址資源的效率性和管理的方便性之間找到最佳的平衡點(diǎn)。 按行政隸屬劃分是指 按信息節(jié)點(diǎn)的行政隸屬關(guān)系將用戶按校園各部門進(jìn)行 IP地址分配規(guī)劃。由于各部門之間在地域位置上并不一定集中，但需要統(tǒng)一管理，因此我們建議采用行政隸屬的方式劃分 IP地址段。 按樓宇規(guī)劃在傳統(tǒng)的網(wǎng)絡(luò)平臺(tái)上很難實(shí)現(xiàn)。主要是因?yàn)閭鹘y(tǒng)的網(wǎng)絡(luò)平臺(tái)局限于設(shè)備的地理位置，無(wú)法跨地域進(jìn)行靈活規(guī)劃。但現(xiàn)今的網(wǎng)絡(luò)平臺(tái)都支持虛擬網(wǎng)絡(luò) — VLAN技術(shù)。該技術(shù)避開了物理位置的缺陷，可以在邏輯上靈活組網(wǎng)。因此， IP網(wǎng)段 規(guī)劃 可以與 VLAN的劃分相一致。 規(guī)劃每個(gè)網(wǎng)段中的信息點(diǎn)數(shù)時(shí)，既要考慮到當(dāng)前 IP地址資源的充分利用性，又要預(yù)留出適當(dāng)?shù)臄U(kuò)展 余地，因此如果采用 私網(wǎng) 地址分配 IP，建議我們都采用 ，根據(jù)具體的部門情況再分為具體的子網(wǎng)。 從經(jīng)驗(yàn)角度，通