【文章內(nèi)容簡介】 　負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路由器（Active Router）。一旦主動(dòng)路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動(dòng)路由器。HSRP 協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象?！　SRP 運(yùn)行在 UDP 上，采用端口號(hào)1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP 路由器間能相互識(shí)別.()b) 無線局域網(wǎng)，校園內(nèi)加入無線網(wǎng)絡(luò)，一方面可以方便師生在校園內(nèi)的移動(dòng)入網(wǎng)，也可以使那早期沒安裝網(wǎng)絡(luò)接口的建筑，如外語樓，114號(hào)樓。從學(xué)校的自然布局和辦公情況看，將無線接入點(diǎn)分別設(shè)在學(xué)生公寓樓和外語樓。外語樓主要面向本樓接入和科學(xué)樓外來領(lǐng)導(dǎo)的移動(dòng)接入。公寓樓可供114及主席臺(tái)的接入。c) 網(wǎng)絡(luò)安全，在沒有防火墻的網(wǎng)絡(luò)下，網(wǎng)絡(luò)安全性非常脆弱，服務(wù)器防病毒能力差，非常容易遭受到攻擊。加入硬件防火墻可以對出入校園網(wǎng)數(shù)據(jù)包進(jìn)行監(jiān)控、過濾， 最大程度的屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)及運(yùn)行情況，以此來保護(hù)網(wǎng)絡(luò)安全；它具有控制對系統(tǒng)的訪問，集中安全管理，增強(qiáng)的保密性等功能。 校園網(wǎng)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案主要包括校園網(wǎng)內(nèi)部網(wǎng)絡(luò)和Internet接入兩部分的設(shè)計(jì)。（1）校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)是組建在學(xué)院校園內(nèi)的計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)，可以采用Intranet方式建設(shè)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)。對本分校而言，幾乎包括所有的建筑樓群：如教學(xué)樓、圖書館、科學(xué)樓、外語樓、昌檀樓、實(shí)驗(yàn)樓、教師及學(xué)生宿舍樓等。根據(jù)福清學(xué)院對網(wǎng)絡(luò)應(yīng)用的需求，主干可以采用千兆以太網(wǎng)結(jié)構(gòu)，每棟樓與網(wǎng)絡(luò)中心用多模光纖連接，百兆交換到桌面。在升級設(shè)計(jì)中，針對現(xiàn)有的不足，我們采用分層次的網(wǎng)絡(luò)結(jié)構(gòu)和冗余設(shè)計(jì)技術(shù)，如采用核心、匯聚冗余。還有無線局域網(wǎng)的引入，也是逐步完善校園網(wǎng)絡(luò)的一個(gè)舉措。（2）校園網(wǎng)接入Internet設(shè)計(jì)學(xué)校校園網(wǎng)采用雙端口方式，一個(gè)接入師大本部教育網(wǎng)，一個(gè)作為福清電信的局域網(wǎng)方式接入福清電信，校園網(wǎng)核心交換機(jī)及路由器都存放在網(wǎng)絡(luò)中心，所有樓的光纖均連接到網(wǎng)絡(luò)中心。并申請相應(yīng)的域名和IP地址。內(nèi)部網(wǎng)絡(luò)的IP地址由保留地址和真實(shí)地址混合使用，保證內(nèi)部網(wǎng)絡(luò)的安全。 校園網(wǎng)應(yīng)用系統(tǒng)設(shè)計(jì)(1) Internet應(yīng)用學(xué)校向域名注冊代理商申請Internet域名后，通過配置相應(yīng)設(shè)備便可以向校內(nèi)外提供DNS、WWW、FTP和EMail等服務(wù)。網(wǎng)絡(luò)操作系統(tǒng)可以選擇Microsoft的Windows系列或Linux。在服務(wù)器上，每一個(gè)服務(wù)可以由一臺(tái)服務(wù)器來完成；也可以由一服務(wù)器來同時(shí)完成幾項(xiàng)服務(wù)。這些是對校內(nèi)外開放的。另外一些主要面向教學(xué)或?qū)W生工作的服務(wù)，可以另外設(shè)一些專門的服務(wù)器，如：學(xué)生學(xué)籍管理系統(tǒng)、教務(wù)管理系統(tǒng)等，這些可以視需要決定是否向外開放。(2) 視頻點(diǎn)播、教學(xué)討論BBS及其它校園網(wǎng)視頻點(diǎn)播系統(tǒng)，可以使學(xué)生通過電腦在校園內(nèi)任何地方進(jìn)行教學(xué)課件的視頻點(diǎn)播，進(jìn)一步提高學(xué)生的學(xué)習(xí)積極性。校園BBS服務(wù)，可以使每位學(xué)生教師都可以在BBS上書寫信息、提出看法、討論教學(xué)問題，增強(qiáng)師生間的教學(xué)交流。校園網(wǎng)還以提供許多其他服務(wù)(可選)，如網(wǎng)絡(luò)課件庫、網(wǎng)絡(luò)試題庫、精品課程點(diǎn)播以及遠(yuǎn)程教學(xué)等，進(jìn)一步推動(dòng)教學(xué)手段的改革。(3) 網(wǎng)絡(luò)管理隨著校園網(wǎng)的不斷擴(kuò)大，對校園網(wǎng)中網(wǎng)絡(luò)設(shè)備的管理成為校園網(wǎng)管的重要任務(wù)，可以通過網(wǎng)絡(luò)管理軟件實(shí)現(xiàn)對全校所有網(wǎng)絡(luò)設(shè)備的集中式管理。網(wǎng)絡(luò)管理集通信技術(shù)、網(wǎng)絡(luò)技術(shù)和信息處理技術(shù)于一體，通過高度和協(xié)調(diào)資源，進(jìn)行各項(xiàng)管理活動(dòng)，以達(dá)到使網(wǎng)絡(luò)可靠、安全和高效運(yùn)行的目的。由于我們在升級中主要使用Cisco的產(chǎn)品，可以用CiscoWork2000這個(gè)網(wǎng)管軟件來統(tǒng)一管理，它可以管理Cisco的基于IOS操作系統(tǒng)的連接設(shè)備。使用方式是Web管理方式，所以在安裝完網(wǎng)絡(luò)管理服務(wù)器后可以在任何有網(wǎng)絡(luò)連接的機(jī)器上進(jìn)行網(wǎng)管監(jiān)控。(4) QOS管理流量管理也是一個(gè)非常重要的工程，如何有效的、合理的管理網(wǎng)絡(luò)中ip流量將有助于網(wǎng)絡(luò)整體性能。實(shí)施QoS，首先必須進(jìn)行QoS的總體規(guī)劃，其規(guī)劃原則可如下:第一，根據(jù)不同業(yè)務(wù)特性在網(wǎng)內(nèi)實(shí)施針對業(yè)務(wù)類型的業(yè)務(wù)分流，目前可考慮的業(yè)務(wù)類型可以分為VoIP語音、視頻、專線互聯(lián)及互聯(lián)網(wǎng)接入等。另外，還必須考慮到網(wǎng)絡(luò)本身還存在管理和控制信令等，這種消息流與VoIP數(shù)據(jù)流具有同等的QoS保證需求。第二，在接入網(wǎng)的匯聚層實(shí)施業(yè)務(wù)VLAN策略，并根據(jù)業(yè)務(wù)及流量特性對業(yè)務(wù)VLAN進(jìn)行合理的帶寬規(guī)劃。第三，不同用戶實(shí)施不同的QoS:對于重要的服務(wù)器、教師機(jī)通信等，在匯聚層實(shí)施獨(dú)享帶寬和獨(dú)立邏輯通道的二層QoS策略。第四，不同業(yè)務(wù)類型實(shí)施不同的QoS。(5) 用戶上網(wǎng)需求校園網(wǎng)的主要用戶是教師和學(xué)生，學(xué)?？稍鲈O(shè)一個(gè)透明網(wǎng)關(guān)或認(rèn)證服務(wù)器來對用戶身份認(rèn)證及上網(wǎng)計(jì)費(fèi)。同時(shí)包括無線接入的認(rèn)證. 校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)主要指網(wǎng)絡(luò)的物理結(jié)構(gòu)設(shè)計(jì)和邏輯結(jié)構(gòu)設(shè)計(jì)。在完成對校園網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀分析后，就可以有針對性的進(jìn)行物理和邏輯上的規(guī)劃設(shè)計(jì)，進(jìn)一步完善校園網(wǎng)絡(luò)。 校園網(wǎng)物理結(jié)構(gòu)設(shè)計(jì)根據(jù)前面對校園網(wǎng)絡(luò)現(xiàn)狀的分析，可以知道校園網(wǎng)內(nèi)有多少建筑，各建筑內(nèi)包含多少信息點(diǎn)以及它們的分布情況，可以知道校園網(wǎng)的功能及其應(yīng)用。對些我們就可以做出相應(yīng)的升級拓?fù)湓O(shè)計(jì)。此次升級物理上主要是對網(wǎng)絡(luò)設(shè)備及通信帶寬的升級（對于設(shè)備選擇在第三章中介紹）：l 升級核心路由器，采用思科優(yōu)質(zhì)的產(chǎn)品C3600系列.l 采用思科雙C3750核心交換機(jī)做冗余技術(shù)。匯聚層也采用思科C3550原有的可當(dāng)備份用。接入層采用C2950系列。各層設(shè)備都具有千兆以太網(wǎng)端口。l 增加3A身份認(rèn)證服務(wù)器，增加校內(nèi)外學(xué)生宿舍的校園網(wǎng)接入和校園無線局域網(wǎng)接入。l 引入防火墻機(jī)制，提高校園網(wǎng)的安全性。l 在通信線路上，此次將校園主干網(wǎng)都升級為1000M以滿足學(xué)校對網(wǎng)絡(luò)的需求。接入福清電信仍為原有的百兆光纖，不過只要更改光纜的帶寬就可以使網(wǎng)絡(luò)升級到更高的帶寬；路由器與核心交換機(jī)間采用1000BaseT銅纜連接； 核心交換機(jī)與匯聚層交換機(jī)間采用1000BaseLX光纖連接（在同一室內(nèi)可用優(yōu)質(zhì)雙絞線）。校內(nèi)各網(wǎng)絡(luò)服務(wù)采用100M雙絞線連到核心交換機(jī)。匯聚層交換機(jī)所在的樓房內(nèi)直接采用100雙絞線連接到接入層交換機(jī)，其它樓房的接入層交換機(jī)則用100M光纖連接到該匯聚交換機(jī)上。升級物理拓?fù)鋱D（如圖23）圖23升級后網(wǎng)絡(luò)拓?fù)鋱D 校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)主要是IP子網(wǎng)網(wǎng)段的劃分，根據(jù)校園網(wǎng)實(shí)際應(yīng)用需求實(shí)現(xiàn)VLAN的設(shè)置。從校園網(wǎng)的安全性、IP地址的可管理性和IP地址資源的有限性出發(fā)，將整個(gè)校園網(wǎng)絡(luò)劃分成若干個(gè)子網(wǎng)網(wǎng)段并對IP地址進(jìn)行有效的管理是十分必要的。子網(wǎng)網(wǎng)段劃分一般應(yīng)遵循以下原則：l 需要對外開放的服務(wù)器劃分在同一網(wǎng)段，并分配真實(shí)的IP地址；l 除接入Internet的路由器外，將其它所有網(wǎng)絡(luò)設(shè)備劃分到私有的網(wǎng)段；l 將不對外開放的服務(wù)器劃分到專有網(wǎng)段中，其地址對外是隱蔽的；l 最好將不同部門的機(jī)器劃分到不同網(wǎng)段中；l 劃分的子網(wǎng)應(yīng)使IP管理簡單，同時(shí)也要避免IP地址的大量浪費(fèi)；l 可使用子網(wǎng)掩碼將幾個(gè)C類地址分給同一個(gè)大的子網(wǎng)，或?qū)⒁粋€(gè)C類地址分給幾個(gè)小的子網(wǎng)；l 校園內(nèi)部網(wǎng)IP地址使用保留地址，連接Internet的子網(wǎng)采用真實(shí)IP地址。以下為學(xué)校升級中，對學(xué)校所有網(wǎng)內(nèi)計(jì)算機(jī)的子網(wǎng)劃分情況：子網(wǎng)劃分如表21：序號(hào)VLAN號(hào)子網(wǎng)名稱包含的信息點(diǎn)1DMZ區(qū)服務(wù)器子群連接Internet的所有對外開放服務(wù)器，為真實(shí)IP地址211服務(wù)器子網(wǎng)所有只對校內(nèi)開放的服務(wù)器，為保留IP地址312網(wǎng)絡(luò)設(shè)備子網(wǎng)除路由器外所有網(wǎng)絡(luò)設(shè)備413辦公室子網(wǎng)圖書館、昌檀樓、科學(xué)樓的辦公室計(jì)算機(jī)514無線接入子網(wǎng)所有無線接入的計(jì)算機(jī)615學(xué)生宿舍子網(wǎng)1校內(nèi)學(xué)生宿舍接入的計(jì)算機(jī)716學(xué)生宿舍子網(wǎng)2校外學(xué)生宿舍接入的計(jì)算機(jī)817教師宿舍子網(wǎng)1校內(nèi)教師宿舍接入的計(jì)算機(jī)918教師宿舍子網(wǎng)2校外教師宿舍接入的計(jì)算機(jī)1019教室子網(wǎng)教學(xué)樓、科學(xué)樓、外語樓、實(shí)驗(yàn)樓的教學(xué)用計(jì)算機(jī)1120電子閱覽室子網(wǎng)圖書館除辦公室計(jì)算機(jī)外的所有計(jì)算機(jī)1221計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)1昌檀樓的計(jì)算機(jī)實(shí)驗(yàn)室11322計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)2昌檀樓的計(jì)算機(jī)實(shí)驗(yàn)室21423計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)3昌檀樓的計(jì)算機(jī)實(shí)驗(yàn)室31524計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)4科學(xué)樓經(jīng)法系計(jì)算機(jī)實(shí)驗(yàn)室1625計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)5科學(xué)樓人文系計(jì)算機(jī)實(shí)驗(yàn)室1726計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)6科學(xué)樓人外語系計(jì)算機(jī)實(shí)驗(yàn)室表21 VLAN劃分表子網(wǎng)劃分示意圖如圖24：圖24 VLAN劃分示意圖3. 福建師大福清分校網(wǎng)絡(luò)升級硬件設(shè)計(jì)根據(jù)前面對校園網(wǎng)絡(luò)升級的分析，就可以確定所有網(wǎng)絡(luò)設(shè)備的型號(hào)，從安全可靠和高性能角度考慮，我們都使用世界著名公司—思科的網(wǎng)絡(luò)產(chǎn)品。以下分別對各種網(wǎng)絡(luò)設(shè)備進(jìn)行分析介紹。 交換設(shè)備選型 核心層交換機(jī)選型根據(jù)學(xué)校的規(guī)模和應(yīng)用需求，為將校園主干升級為千兆網(wǎng)絡(luò)，我們核心交換機(jī)選用兩臺(tái)CISCO WSC3750G24TSS作核心冗余。Cisco Catalyst 3750系列交換機(jī)是一款適用于中型機(jī)構(gòu)和大型企業(yè)分支機(jī)構(gòu)的創(chuàng)新產(chǎn)品。該交換機(jī)采用了Cisco StackWise技術(shù)，通過結(jié)合易用性和可堆疊交換機(jī)的最高永續(xù)性，提高了局域網(wǎng)運(yùn)行效率。關(guān)鍵特性：l 可用性——、負(fù)載均衡和迅速恢復(fù)；Flexlink特性提供了不到100ms的快速收斂；PVST+則通過允許流量在冗余鏈路上傳輸，增加了可用帶寬l Cisco StackWise技術(shù)——單一IP地址和單一命令行界面（CLI）簡化了管理；32Gbps永續(xù)架構(gòu)加速了收斂；1∶N堆疊采用了冗余和第三層上行鏈路永續(xù)性、跨堆疊Cisco EtherChannel技術(shù)及QoS，提高了可用性；自動(dòng)配置和Cisco IOS軟件版本檢查和升級加速了部署過程；交換機(jī)的熱添加和刪除能保持堆疊持續(xù)運(yùn)行l(wèi) 370W PoE簡化了IP電話、無線和視頻監(jiān)視部署；智能電源管理特性增強(qiáng)了控制能力，有助于更好地利用功率預(yù)算，PoE與快速以太網(wǎng)或千兆以太網(wǎng)型號(hào)相結(jié)合，能最大限度地利用現(xiàn)有基礎(chǔ)設(shè)施投資l 第三層特性—— OPSF、EIGRP、BGP 、靜態(tài) PBR等高級路由協(xié)議擴(kuò)大了網(wǎng)絡(luò)規(guī)模；等成本路由以及PIM等組播路由能夠最大限度地利用網(wǎng)絡(luò)資源；VRFLite可保護(hù)流量；IPv6在簡化網(wǎng)絡(luò)尋址和移動(dòng)IP的同時(shí)提高了安全性l QoS—— 流量整形能在不丟棄數(shù)據(jù)包的情況下平穩(wěn)處理突發(fā)流量；整形循環(huán)保證了關(guān)鍵任務(wù)應(yīng)用的帶寬；而Scavenger隊(duì)列則能防止蠕蟲過度使用資源l 管理—— Cisco Smartports能快速、簡單地配置高級 Web界面完成設(shè)置； 資源模板則可用于為應(yīng)用定制交換機(jī)資源。l 安全——DHCP監(jiān)聽能夠只允許可信端口訪問DHCP信息，消除了惡意DHCP服務(wù)器；NAC則能防止代價(jià)昂貴的蠕蟲和病毒的傳播；動(dòng)態(tài)ARP檢測和IP源防護(hù)能夠防御中間人攻擊；；端口安全能防止MAC地址泛洪攻擊各關(guān)鍵交換機(jī)的主要性能參數(shù)如下表31:參數(shù)類型WSC3750G24TSS主要參數(shù)WSC355024SMI主要參數(shù)WSC2950T24主要參數(shù)交換機(jī)類型網(wǎng)管交換機(jī)網(wǎng)管交換機(jī)快速以太網(wǎng)交換機(jī)內(nèi)存128MB32MB DRAM和8MB閃存16MB DRAM和8MB閃存?zhèn)鬏斔俾?0Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE 、IEEE 、IEEE 、IEEE IEEE 、IEEE,、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 端口數(shù)量2424 個(gè)10/100端口+2 個(gè)1000BaseX 端口26接口介質(zhì)10/100/1000BaseTX、1000BaseFX/SX傳輸模式支持全雙工支持全雙工支持全雙工配置形式可堆疊可堆疊可堆疊交換方式存儲(chǔ)轉(zhuǎn)發(fā)存儲(chǔ)轉(zhuǎn)發(fā)存儲(chǔ)轉(zhuǎn)發(fā)背板帶寬32GbpsVLAN支持支持支持支持MAC地址表12k80008000模塊化插槽數(shù)4無無指示面板端口狀態(tài)LED：鏈路完整，關(guān)閉，活動(dòng)，速度和全雙工指示；系統(tǒng)狀態(tài)LE