【文章內(nèi)容簡介】 礎(chǔ)上，滿足常規(guī)的需求就可以了，不可能不切實際得什么都設(shè)置。從學校的項目開支來說，也是不現(xiàn)實的，所以分析自己的需求在設(shè)備采購中也是一個非常重要的因素。（3）服務(wù)器的擴展性。這個問題和上面的問題是一樣的，不能盲目浪費，但是也不能節(jié)省到整個網(wǎng)絡(luò)不能升級。由于校園網(wǎng)處于不斷發(fā)展之中，快速增長的應(yīng)用不斷對服務(wù)器的性能提出新的要求，為了減少更新服務(wù)器帶來的額外開銷和對教學的影響，服務(wù)器應(yīng)當具有較高的可擴展性，可以及時調(diào)整配置來適應(yīng)校園網(wǎng)的發(fā)展。從處理器的雙路到四路，內(nèi)存、硬盤的可增加，以及網(wǎng)絡(luò)接口卡插槽的冗余設(shè)計，這些都是擴展性問題。在采購產(chǎn)品時不可不知。（4）兼容性如何。構(gòu)建一個校園網(wǎng)，牽扯的事情很多，可能學籍處本來就有一個網(wǎng)絡(luò)，其中包含學生的數(shù)據(jù)庫；而圖書館可能也有一個圖書借閱的數(shù)據(jù)庫。所以，這些系統(tǒng)都要整合到新的網(wǎng)絡(luò)中去，那么新的網(wǎng)絡(luò)和老的硬件設(shè)備就要兼容，操作系統(tǒng)和應(yīng)用軟件也要保證兼容。（5）管理是否簡單。盡管網(wǎng)絡(luò)的發(fā)展非?？?，但是真正精通服務(wù)器技術(shù)的專業(yè)工程師還是不多。尤其是在學校中，許多學校通常沒有專業(yè)人員來維護和管理服務(wù)器，這就要求服務(wù)器產(chǎn)品必須具有非常好的易操作性和可管理性，當出現(xiàn)故障時無需專業(yè)人員也能將故障排除。所謂便于操作和管理主要是指用相應(yīng)的技術(shù)來提高系統(tǒng)的可靠性能，簡化管理因素，降低維護費用成本。對于那些沒有網(wǎng)絡(luò)管理人員的學校，尤其要注意選擇一臺操作簡單的服務(wù)器[8]。 FTP服務(wù)器、WWW服務(wù)器，MAIL服務(wù)器等是必備的服務(wù)器，根據(jù)學校的需求可以直接在服務(wù)器群上進行服務(wù)的添加。 網(wǎng)絡(luò)總體拓撲圖42 網(wǎng)絡(luò)核心拓撲圖吉林大學多個核心節(jié)點通過光纖布線，采用多個千兆鏈路實現(xiàn)網(wǎng)狀互聯(lián)；匯聚層節(jié)點采用千兆鏈路上聯(lián)到核心節(jié)點，考慮到可靠性、經(jīng)濟性，重要匯聚節(jié)點至少需要與兩個核心節(jié)點連接；接入層節(jié)點與匯聚層節(jié)點通過千兆以太網(wǎng)技術(shù)互聯(lián)，并提供桌面10/100M的接入。與互聯(lián)網(wǎng)連接，可以采用兩條Internet出口，一條為Cernet出口，一條為Internet出口，兩個出口進行負載分流并實現(xiàn)相互備份。校區(qū)之間信息的交換完全通過各校區(qū)內(nèi)的核心設(shè)備把數(shù)據(jù)傳輸?shù)街骱诵脑儆芍骱诵陌粗付窂絺鬏數(shù)侥康暮诵脑賯魉偷侥康闹鳈C。各校區(qū)內(nèi)部網(wǎng)絡(luò)的建設(shè)見詳細設(shè)計。服務(wù)器群里可以加載FTP服務(wù)器、服務(wù)器、Mail服務(wù)器等直接與核心交換機連接。網(wǎng)絡(luò)中的主要設(shè)備具體如下：核心網(wǎng)絡(luò)設(shè)備為7臺Catalyst 6509，1個PXI防火墻，1個服務(wù)器群和若干Catalyst 4000及Catalyst 3500，全部采用光纖部線，由于吉林大學南校區(qū)具有最強的可擴充潛力，所以把核心設(shè)備全部放在吉林大學南區(qū)（前衛(wèi)校區(qū)）。根據(jù)最新的報價單預(yù)計總體核心設(shè)備費用是2000萬左右。針對吉林大學設(shè)計出的這種方案有以下優(yōu)點：（1）穩(wěn)定的核心骨干網(wǎng)。核心設(shè)備之間提供雙鏈路，單條鏈路的失效不影響核心設(shè)備之間的連接。匯聚設(shè)備都提供兩條鏈路連接到核心設(shè)備，單條鏈路的失效并不影響骨干網(wǎng)絡(luò)的連接。（2）安全的核心骨干網(wǎng)。采用分布式三層構(gòu)架，匯聚設(shè)備提供三層功能，不僅從匯聚層就隔離了廣播，而且可以通過三層設(shè)備特有的更強大的病毒和攻擊防護能力保護核心設(shè)備。OSPF路由協(xié)議報文采用MD5認證協(xié)議，防止路由協(xié)議的攻擊和欺騙。核心骨干設(shè)備采用獨立的IP地址網(wǎng)段，并可以通過SSH、管理ACL、SNMPV3等保護核心設(shè)備的管理風險。（3）可擴展的核心骨干網(wǎng)絡(luò)。由于采用了分布式三層設(shè)計和OSPF動態(tài)路由協(xié)議，增加或刪除任何一個區(qū)域網(wǎng)絡(luò)只需在核心設(shè)備做簡單的設(shè)置變動，極有利于網(wǎng)絡(luò)的管理和靈活部署。當匯聚設(shè)備處理能力相當時，只需在匯聚設(shè)備之間增加一物理鏈路，雙核心網(wǎng)絡(luò)即可順利過渡到環(huán)形核心網(wǎng)絡(luò)。由于匯聚設(shè)備可提供萬兆擴展能力，可輕松通過增加萬兆模塊而升級為萬兆核心骨干網(wǎng)，保護用戶投資。5 網(wǎng)絡(luò)的詳細規(guī)劃 IP地址的劃分吉林大學申請的IP地址為：，表面看起來這個網(wǎng)段似乎很大，但是在實際應(yīng)用中根本無法滿足劇增的用戶的需求。因此在IP地址規(guī)劃這里必須詳細考慮到吉林大學的現(xiàn)在狀況，合理的利用各項技術(shù)，盡可能使IP地址資源達到充分的利用，在IP地址的分配中，還要考慮到VLAN中的IP地址以及VLSM等。IP地址劃分是本次設(shè)計中最繁瑣的一塊。根據(jù)吉林大學的網(wǎng)絡(luò)拓撲，本次設(shè)計可以將IP地址劃分為5大塊。根據(jù)校園物理拓撲的情況。前衛(wèi)校區(qū)的發(fā)展?jié)摿ψ畲?，其他校區(qū)由于所處地理位置，物理范圍的擴大基本沒有太大的可能。已經(jīng)存在的建筑的重新規(guī)劃也十分困難，所以網(wǎng)絡(luò)拓撲基本已經(jīng)成型，唯一需要考慮的就是前衛(wèi)校區(qū)。所以在這里前衛(wèi)校區(qū)的IP地址空間應(yīng)該足夠的大。結(jié)合各項技術(shù)，具體的劃分如下，如表41所示：（1）前衛(wèi)校區(qū)：（2）南湖校區(qū)：（3）新民校區(qū)：（4）南嶺校區(qū)：（5）朝陽校區(qū)：表51 IP地址詳細劃分過程前衛(wèi)校區(qū)00111011010010000 00 0000000000000南湖校區(qū)00111011010010001 00 0000000000000新民校區(qū)00111011010010001 01 0000000000000南嶺校區(qū)00111011010010001 10 0000000000000朝陽校區(qū)0011101101001000 1 11 0000000000000根據(jù)次劃分，各校區(qū)都已經(jīng)分配到了自己所需要的IP地址，內(nèi)部的具體詳細劃分如下。 前衛(wèi)校區(qū)。所以前衛(wèi)校區(qū)的網(wǎng)絡(luò)IP地址具體規(guī)劃如下：由于核心網(wǎng)絡(luò)設(shè)備放在前衛(wèi)校區(qū)，所以服務(wù)器，防火墻，核心設(shè)備的端口IP地址都可以在前衛(wèi)校區(qū)的IP地址里劃分出來。服務(wù)器群及防火墻IP的IP地址可在：，內(nèi)部的具體IP地址劃分可根據(jù)一個服務(wù)器一個指定IP地址的原則進行劃分。防火墻的IP地址配置在附錄1中將會體現(xiàn)出來： ——。 ——。服務(wù)器IP分配例子如下：：FTP：Mail：DNS：如果有新的服務(wù)器添加進來，只需要按照IP地址的數(shù)目依次往下分配即可。由于核心設(shè)備的端口比較多，其IP地址可在：。核心設(shè)備的配置見附錄3。校園內(nèi)部的網(wǎng)絡(luò)IP地址具體劃分要根據(jù)前進校區(qū)網(wǎng)絡(luò)拓撲來詳細劃分。 由此可以確定出前衛(wèi)校區(qū)的網(wǎng)絡(luò)IP地址具體分配如下： 公寓：—— 教學：—— 圖書館：—— 綜合實驗：—— 研究生科研：—— 保留：—— 在IP地址分配出后，——，完全可以滿足日漸發(fā)展的前衛(wèi)校區(qū)的網(wǎng)絡(luò)的需要。 其他校區(qū)的IP地址劃分由于其他校區(qū)的網(wǎng)段劃分均相同，每個校區(qū)都有32個/24的IP地址可以分配。① 南湖校區(qū)：公寓：——教學：——圖書館：——辦公：——保留：——② 新民校區(qū)：公寓：——教學：——圖書館：——綜合實驗：——保留：——③ 南嶺校區(qū)：公寓：——教學：——圖書館：——家屬：——綜合樓及科研：——保留：——④ 朝陽校區(qū)：公寓：——教學：——圖書館：——綜合：——保留：——校園網(wǎng)的信息點多，如何對IP地址的分配進行有效的管理，是十分重要的。針對不同的情況，可以對IP地址進行靜態(tài)或動態(tài)的分配方式。吉林大學的靜態(tài)分配的情況：（1）對外提供信息服務(wù)的服務(wù)器；（2）校園網(wǎng)內(nèi)提供信息及管理服務(wù)的服務(wù)器；（3）對于一些老師或?qū)W生用戶，需要對校園網(wǎng)內(nèi)部或外部提供信息服務(wù)的信息點；（4）路由器、交換機等網(wǎng)絡(luò)設(shè)備的IP 地址分配。動態(tài)分配的情況：不提供信息服務(wù)，只訪問校園網(wǎng)內(nèi)部或互聯(lián)網(wǎng)的資源。本方案的接入交換機配合認證計費系統(tǒng)，可以做到以下地址管理：（1）對于靜態(tài)分配地址的用戶，只有用預(yù)先分配的IP地址才可以上網(wǎng)；（2）對于動態(tài)分配地址的用戶，只有通過DHCP方式獲得IP地址才可以上網(wǎng)；（3）獲得有效IP地址上網(wǎng)后，試圖修改IP地址，均會自動與網(wǎng)絡(luò)斷線。以上手段，保證了IP地址不會沖突，因而可以對IP地址資源的使用進行有效的管理和控制。 VLAN的劃分 VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。吉林大學校園網(wǎng)絡(luò)的不同VLAN中的所有主機都不能進行相互通信。這可以充分保護好網(wǎng)絡(luò)，使有些惡意的學生不能攻擊其他教學網(wǎng)絡(luò)。本次VLAN的設(shè)計是基于端口的VLAN劃分的。這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可，不用考慮該端口所連接的設(shè)備。各校區(qū)內(nèi)的網(wǎng)絡(luò)大致可按照：公寓、教學樓、圖書館、辦公、綜合樓等，每個代表性的建筑劃分到一個VLAN中。這樣就能充分且合理的貫徹了VLAN的作用及特點。本次設(shè)計中，不得不考慮到VLAN之間的路由。在默認時，只是在一個VLAN中的主機才能彼此通信。針對吉林大學校園網(wǎng)絡(luò)的物理拓撲，不可能每一個部門都規(guī)劃到起相應(yīng)的交換機下，這種情況只需這種情況的端口設(shè)置為Trunk即可解決所遇到的問題。這里要注意：要將交換機的端口配置成為Trunk，端口帶寬必須至少為100MB/S。通過建立一個虛擬專用網(wǎng)來解決該問題。在交換機上配置一條中繼鏈接，然后在路由器上使用標記協(xié)議如：，只需要在選擇了接口和封裝類型以及虛擬網(wǎng)號后，配置上子接口的IP地址和這個接口屬于哪個子網(wǎng)即可。VLAN的詳細配置見附錄2中將給出，為了簡潔易懂，將拿出典型配置的前進校區(qū)作為例子來配置VLAN。 網(wǎng)絡(luò)接入的建設(shè) 圖51 網(wǎng)絡(luò)接入平臺的建設(shè)網(wǎng)絡(luò)接入平臺的建設(shè)要符合現(xiàn)代化標準，結(jié)合吉林大學現(xiàn)有情況，平臺的建設(shè)主要考慮到：防火墻，服務(wù)器，網(wǎng)絡(luò)管理平臺，校園內(nèi)部網(wǎng)絡(luò)等即可。為了解決吉林大學校園網(wǎng)訪問外網(wǎng)速度慢，而且盡量減少到互聯(lián)網(wǎng)的流量，有必要配置緩存服務(wù)器。緩存服務(wù)器可以將到外網(wǎng)的HTTP、FTP等流量進行本地化緩存，可以提高互聯(lián)網(wǎng)訪問速度，解決出口流量擁塞等問題。如果互聯(lián)網(wǎng)出口是根據(jù)流量進行計費的話，緩存技術(shù)可以降低許多成本。對外提供信息服務(wù)的服務(wù)器，由于服務(wù)器采用CERNET網(wǎng)絡(luò)的全局IP地址，因此需要將服務(wù)器部署在CERNET互聯(lián)接口防火墻的DMZ區(qū)域。由于吉林大學校園網(wǎng)絡(luò)是雙網(wǎng)接入，所以在網(wǎng)絡(luò)建設(shè)時要切記網(wǎng)絡(luò)流量出口的配置。 網(wǎng)絡(luò)的安全設(shè)計 PIX535是PIX 500系列中最新，功能也是最強大的一款。它可以提供運營商級別的處理能力，適用于大型的ISP等服務(wù)提供商。但是PIX特有的操作系統(tǒng)，使得大多數(shù)管理是通過命令行來實現(xiàn)的，不象其他同類的防火墻通過Web管理界面來進行網(wǎng)絡(luò)。這給我們配置防火墻帶來極大的困難。在配置PIX防火墻之前，先結(jié)合防火墻的物理特性來對緊鄰大學校園網(wǎng)絡(luò)安全方面進行分析。（1）內(nèi)部區(qū)域（內(nèi)網(wǎng)）。內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。在吉林大學的網(wǎng)絡(luò)中，內(nèi)部區(qū)域既為整個內(nèi)部校園網(wǎng)絡(luò)，它是互連網(wǎng)絡(luò)的信任區(qū)域，即受到了防火墻的保護。（2）外部區(qū)域（外網(wǎng)）。外部區(qū)域通常指Internet或者非企業(yè)內(nèi)部網(wǎng)絡(luò)。在此次設(shè)計的網(wǎng)絡(luò)中，外網(wǎng)的Internet接入處為外部區(qū)域，此區(qū)域是互連網(wǎng)絡(luò)中不被信任的區(qū)域，當外部區(qū)域想要訪問內(nèi)部區(qū)域的主機和服務(wù)，通過防火墻，就可以實現(xiàn)有限制的訪問。（3）?；饏^(qū)（DMZ）。停火區(qū)是一個隔離的網(wǎng)絡(luò)，或幾個網(wǎng)絡(luò)。位于?；饏^(qū)中的主機或服務(wù)器被稱為堡壘主機。一般在?；饏^(qū)內(nèi)可以放置Web服務(wù)器，Mail服務(wù)器等。停火區(qū)對于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業(yè)的公開信息，但卻不允許他們訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。注意：2個接口的防火墻是沒有?；饏^(qū)的。 由于PIX535不具有普遍性，因此下面主要說明PIX525在網(wǎng)絡(luò)中的應(yīng)用。詳細配置見附錄1。這個配置實例需要說明一下，PIX防火墻直接擺在了與Internet接口處，此處網(wǎng)絡(luò)環(huán)境有十幾個公有IP,可能會有朋友問如果公有IP很有限怎么辦？你可以添加router放在PIX的前面，或者global使用單一IP地址，和外部接口的ip地址相同即可。另外有幾個維護命令也很有用，show interface查看端口狀態(tài)，show static查看靜態(tài)地址映射，show ip查看接口IP地址，ping outside | inside ip_address確定連通性。 網(wǎng)絡(luò)內(nèi)部的詳細設(shè)計吉林大學總體上劃分可分五大校區(qū)：前衛(wèi)、南湖、南嶺、新民、前進。雖然表面上看起來網(wǎng)絡(luò)的搭建十分困難，但是仔細考慮以后就會找到一個很好的竅門。五個校區(qū)的核心設(shè)備的配置可以完全一樣。因為：每個校區(qū)的核心設(shè)備均連接在兩個核心交換機上，他們都在區(qū)域