【文章內(nèi)容簡介】 快地交換數(shù)據(jù)幀或數(shù)據(jù)包。 網(wǎng)絡(luò)規(guī)劃 對網(wǎng)絡(luò)進行分層、分區(qū)設(shè)計，分層設(shè)計中按照 H3C 三層模型原則將校園網(wǎng)整體結(jié)構(gòu)分為核心層、匯聚層和網(wǎng)絡(luò)層的三層結(jié)構(gòu)；分區(qū)設(shè)計中包括了教學(xué)辦公區(qū)、學(xué)生宿舍園區(qū)、學(xué)院辦公區(qū)、圖書館四個部分。此次校園網(wǎng)設(shè)計采用千兆以太網(wǎng)作為校園網(wǎng)的網(wǎng)絡(luò)總體結(jié)構(gòu)。無論在高帶寬、可適用性、可擴展性、高性價比、良好的網(wǎng)絡(luò)管理和維護性等方面都是不錯的選擇。 6 按照校園網(wǎng)的分區(qū)劃分結(jié)果，根據(jù)各 個分區(qū)以及分區(qū)中不同建筑、不同辦公地點、用戶需求的不同，在主干網(wǎng)絡(luò)千兆以太網(wǎng)的基礎(chǔ)上，可以根據(jù)實際的需求建立局域網(wǎng)、無線網(wǎng)絡(luò)，在學(xué)生事務(wù)中心以及辦公大樓等地點在需同時設(shè)有Inter、局域網(wǎng)、無線網(wǎng)絡(luò)。此外，在千兆以太網(wǎng)作為主干網(wǎng)絡(luò)的同時，根據(jù)不用的應(yīng)用需求將校園網(wǎng)分割不同的子網(wǎng)。 常見的拓撲結(jié)構(gòu)包括星型結(jié)構(gòu)、樹狀結(jié)構(gòu)、總線型結(jié)構(gòu)、環(huán)型結(jié)構(gòu)、網(wǎng)狀結(jié)構(gòu)等。其中樹狀結(jié)構(gòu)是由多個層次的星型結(jié)構(gòu)連接而成。由于此次校園網(wǎng)選用了千兆以太網(wǎng)作為校園網(wǎng)的主干網(wǎng)，所以校園網(wǎng)的主干網(wǎng)應(yīng)該采用星型結(jié)構(gòu)。此外由于整個校園網(wǎng)采 用了“核心層 /匯聚層 /接入層”的三層模型，同時將整個校園網(wǎng)按照“教學(xué)辦公區(qū) /學(xué)生宿舍園區(qū) /學(xué)院辦公區(qū) /圖書館”的分區(qū)規(guī)劃。在這種分層、分區(qū)的規(guī)劃下，校園網(wǎng)整個校園網(wǎng)應(yīng)該設(shè)計為樹型結(jié)構(gòu)。 按照上面的設(shè)計原則，設(shè)計出的網(wǎng)絡(luò)拓撲圖如圖 42 所示。 圖 42 校園網(wǎng)網(wǎng)絡(luò)拓撲圖 此次校園網(wǎng)設(shè)計中在網(wǎng)絡(luò)設(shè)備選型時主要按照網(wǎng)絡(luò)設(shè)計時所劃分的“核心層/匯聚層 /接入層”三層模型以及結(jié)合分區(qū)方案中各分區(qū)的網(wǎng)絡(luò)設(shè)備需求進行。下面主要描述三層模型的設(shè)備選型： （ 1）核心層由于數(shù)據(jù)包高速轉(zhuǎn)發(fā)、全網(wǎng)流量的承載等特征，在網(wǎng)絡(luò)設(shè) 備選型時主要按照下面的選型依據(jù)進行： 架構(gòu)設(shè)計：模塊化設(shè)計 ； 交換類型：多級交換（ CLOS） ； 7 安全性：多業(yè)務(wù)擴展（網(wǎng)流、 FW、 IPS、 LB、 ACG） ； 可靠性：雙電源、雙主控制 ； 智能化：雙機虛擬（ IRF、 VSS） ； 可維護： VCT、 DLDP 。 （ 2）在匯聚層網(wǎng)絡(luò)設(shè)備選型時要充分考慮匯聚層設(shè)備的安全特性、路由特性以及靈活擴展等特點，在網(wǎng)絡(luò)設(shè)備選型時主要按照下面的選型依據(jù)進行： 架構(gòu)設(shè)計：模塊化設(shè)計 ； 交換類型： Crossbar（矩陣交換） ； 安全性：安全業(yè)務(wù)模塊擴展（ FW、 IPS、 LB、 ACG） ； 可靠性：雙電源、雙主控制 ； 智能化：雙機虛擬（ IRF、 VSS） ； 可維護： VCT、 DLDP 。 （ 3）接入層是網(wǎng)絡(luò)終端設(shè)備、工作站的網(wǎng)絡(luò)接入點，在設(shè)備選型時要按照下面的選型依據(jù)進行 : 接入速率：千兆接入 ； 上行帶寬：萬兆上行 ； 交換類型：安三層交換 ； 可靠性：雙電源 ； 可擴展：智能堆疊 。 以上只是按照三層模型的網(wǎng)絡(luò)設(shè)備需求特點所提出的一些依據(jù)，在實際的網(wǎng)絡(luò)設(shè)備中還需充分考慮分區(qū)方案以及實際的網(wǎng)絡(luò)設(shè)備需求，結(jié)合經(jīng)濟型、可滿足度等原則進行設(shè)備的選 型和購買，在實施時需要按照要求進行選型。 安全性分析 校園網(wǎng)絡(luò)擁有著大規(guī)模的、高速的、開放的網(wǎng)絡(luò)環(huán)境；支撐著復(fù)雜的網(wǎng)上應(yīng)用和業(yè)務(wù)類型；擁有著活躍的、不同使用水平的用戶群體。因此，安全風(fēng)險的防御問題也就變得較為嚴重和復(fù)雜。校園網(wǎng)的安全問題主要包括以下幾個方面： （ 1）出口安全 由于校園網(wǎng)連接到了 Inter，而 Inter 作為一種開放的、標準的技術(shù)，面向所有用戶，所有資源均通過網(wǎng)絡(luò)共享，所使用的 TCP/IP 協(xié)議以及網(wǎng)頁、 Email等都包含著許多影響網(wǎng)絡(luò)安全的因素。出口安全應(yīng)主要防范黑客攻擊 、網(wǎng)絡(luò)蠕蟲、垃圾郵件等，應(yīng)對校園網(wǎng)外部進入內(nèi)部的連接進行分析，對校園網(wǎng)外部進入內(nèi)部的信息進行檢測和篩選。 8 （ 2）內(nèi)網(wǎng)安全 校園網(wǎng)內(nèi)部擁有大量計算機和用戶，由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，特別是在校學(xué)生的好奇心和求知欲較強，所以加強內(nèi)網(wǎng)安全也不容忽視。內(nèi)網(wǎng)安全應(yīng)主要防范內(nèi)部對服務(wù)器和網(wǎng)絡(luò)設(shè)備的攻擊、病毒在內(nèi)網(wǎng)的傳播以及內(nèi)部網(wǎng)絡(luò)管理制度上的漏洞。 （ 3）防火墻設(shè)計 在進行校園網(wǎng)設(shè)計時，為了充分考慮到網(wǎng)絡(luò)安全因素，在設(shè)計時應(yīng)該加入網(wǎng)絡(luò)安全策略。此次校園網(wǎng)設(shè)計我們大量的使用了防火墻，用以進行網(wǎng) 絡(luò)安全防范。在外網(wǎng)（如 Inter、 Cer 等）與核心層中心交換機直接的網(wǎng)絡(luò)連接中（出口網(wǎng)絡(luò)）每條線路都加入了防火墻，目的是為了很好的防范一些黑客攻擊、網(wǎng)絡(luò)蠕蟲等網(wǎng)絡(luò)危險因素的入侵。同時在匯聚層的各個匯聚交換機上都設(shè)有防火墻的網(wǎng)絡(luò)安全防范策略。其目的在于防止來自于內(nèi)網(wǎng)的一些攻擊和傳播因素等。 在進行防火墻設(shè)計的同時，我們根據(jù)實際的業(yè)務(wù)需求可以在像網(wǎng)絡(luò)管理中心等地點加上適當?shù)娜肭謾z測系統(tǒng)，作為防火墻的一種合理的補充。入侵檢測技術(shù)能夠幫助防火墻系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力。同時還可 以提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。設(shè)計入侵檢測可以很好的配合防火墻系統(tǒng)使用，可以全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。 （ 4） 校園網(wǎng)訪問控制 此次校園網(wǎng)設(shè)計按照下面的策略進程訪問和控制： ① 從校園網(wǎng)內(nèi)網(wǎng)訪問 Inter 或者 Cer 時端口全開放； ② 允許從公網(wǎng)到非軍事區(qū)的訪問請求。 Web 服務(wù)器只開放 80 端口， Mail 服務(wù)器只開放 25 和 110 端口； ③ 禁止從公網(wǎng)到內(nèi)部網(wǎng)絡(luò)的訪問請求，端口全關(guān)閉； ④ 允許從內(nèi)網(wǎng)訪問非軍事區(qū)，端口全開放； ⑤ 允許從非軍事區(qū)訪問 Inter 或者 Cer 時端口全開放； ⑥ 禁止從非軍事區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。 5 網(wǎng)絡(luò)設(shè)計 小型互聯(lián)網(wǎng) 網(wǎng)絡(luò)規(guī)劃 本網(wǎng)絡(luò)由四個廣域網(wǎng)（ WAN），四個局域網(wǎng) (LAN)組成。其中局域網(wǎng)采用普通以太網(wǎng)技術(shù)。 9 ①劃分網(wǎng)段 表 51 網(wǎng)段劃分 網(wǎng)絡(luò)類型 網(wǎng)段 子網(wǎng)掩碼 默認網(wǎng)關(guān) LAN1 LAN2 LAN3 LAN4 WAN1 WAN2 WAN3 WAN4 ② 設(shè)備的選取與分配 表 52 設(shè)備選取與分配 設(shè)備型號 數(shù)量 備注 Cisco805 路由器 1 R1 Cisco2509 路由器 1 R2 Cisco2505 路由器 2 R R4 Cisco1912 交換機 4 SW1～ SW4 主機 10 PC1～ PC10 線路 若干 網(wǎng)絡(luò)拓撲圖 拓撲圖的建立： 將 R1 的 e0 端與 SW1 的 f0/12 端相連。將 R1 的 s0 端與 R2 的 s0 端相連， DCE端是（ R1,s0）。將 SW1 的 f0/1 端與 PC1 相連。將 SW1 的 f0/2 端與 PC2 相連。將SW1 的 f0/3 端與 PC3 相連。 將 R2 的 e0 端與 SW2 的 f0/12 端相連。將 R2 的 s2 端與 R3 的 s0 端相連， DCE端是（ R2,s2）。將 SW2 的 f0/1 端與 PC4 相連。將 SW2 的 f0/2 端與 PC5 相連。 將 R3 的 e0 端與 SW3 的 f0/12 端相連。將 R3 的 s1 端與 R4 的 s0 端相連， DCE端是（ R3,s1）。將 SW3 的 f0/1 端與 PC6 相連。將 SW3 的 f0/2 端與 PC7 相連。將SW3 的 f0/3 端與 PC8 相連。 10 將 R4 的 e0 端與 SW4 的 f0/12 端相連。將 R4 的 s1 端與 R2 的 s1 端相連， DCE端是（ R4,s1）。將 SW4 的 f0/1 端與 PC9 相連。將 SW4 的 f0/2 端與 PC10 相連。 圖 51 企業(yè)小型互聯(lián)網(wǎng)拓撲圖 IP 地址的劃分 ① 路由器各端口 I