【文章內(nèi)容簡介】 　負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（Active Router）。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主機連通中斷現(xiàn)象。　　HSRP 運行在 UDP 上，采用端口號1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實際 IP 地址，而并非虛擬地址，正是基于這一點，HSRP 路由器間能相互識別.()b) 無線局域網(wǎng)，校園內(nèi)加入無線網(wǎng)絡(luò)，一方面可以方便師生在校園內(nèi)的移動入網(wǎng)，也可以使那早期沒安裝網(wǎng)絡(luò)接口的建筑，如外語樓，114號樓。從學(xué)校的自然布局和辦公情況看，將無線接入點分別設(shè)在學(xué)生公寓樓和外語樓。外語樓主要面向本樓接入和科學(xué)樓外來領(lǐng)導(dǎo)的移動接入。公寓樓可供114及主席臺的接入。c) 網(wǎng)絡(luò)安全，在沒有防火墻的網(wǎng)絡(luò)下，網(wǎng)絡(luò)安全性非常脆弱，服務(wù)器防病毒能力差，非常容易遭受到攻擊。加入硬件防火墻可以對出入校園網(wǎng)數(shù)據(jù)包進行監(jiān)控、過濾， 最大程度的屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)及運行情況，以此來保護網(wǎng)絡(luò)安全；它具有控制對系統(tǒng)的訪問，集中安全管理，增強的保密性等功能。 校園網(wǎng)系統(tǒng)設(shè)計網(wǎng)絡(luò)系統(tǒng)設(shè)計方案主要包括校園網(wǎng)內(nèi)部網(wǎng)絡(luò)和Internet接入兩部分的設(shè)計。（1）校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)計校園網(wǎng)內(nèi)部網(wǎng)絡(luò)是組建在學(xué)院校園內(nèi)的計算機應(yīng)用網(wǎng)絡(luò)，可以采用Intranet方式建設(shè)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)。對本分校而言，幾乎包括所有的建筑樓群：如教學(xué)樓、圖書館、科學(xué)樓、外語樓、昌檀樓、實驗樓、教師及學(xué)生宿舍樓等。根據(jù)福清學(xué)院對網(wǎng)絡(luò)應(yīng)用的需求，主干可以采用千兆以太網(wǎng)結(jié)構(gòu)，每棟樓與網(wǎng)絡(luò)中心用多模光纖連接，百兆交換到桌面。在升級設(shè)計中，針對現(xiàn)有的不足，我們采用分層次的網(wǎng)絡(luò)結(jié)構(gòu)和冗余設(shè)計技術(shù)，如采用核心、匯聚冗余。還有無線局域網(wǎng)的引入，也是逐步完善校園網(wǎng)絡(luò)的一個舉措。（2）校園網(wǎng)接入Internet設(shè)計學(xué)校校園網(wǎng)采用雙端口方式，一個接入師大本部教育網(wǎng)，一個作為福清電信的局域網(wǎng)方式接入福清電信，校園網(wǎng)核心交換機及路由器都存放在網(wǎng)絡(luò)中心，所有樓的光纖均連接到網(wǎng)絡(luò)中心。并申請相應(yīng)的域名和IP地址。內(nèi)部網(wǎng)絡(luò)的IP地址由保留地址和真實地址混合使用，保證內(nèi)部網(wǎng)絡(luò)的安全。 校園網(wǎng)應(yīng)用系統(tǒng)設(shè)計(1) Internet應(yīng)用學(xué)校向域名注冊代理商申請Internet域名后，通過配置相應(yīng)設(shè)備便可以向校內(nèi)外提供DNS、WWW、FTP和EMail等服務(wù)。網(wǎng)絡(luò)操作系統(tǒng)可以選擇Microsoft的Windows系列或Linux。在服務(wù)器上，每一個服務(wù)可以由一臺服務(wù)器來完成；也可以由一服務(wù)器來同時完成幾項服務(wù)。這些是對校內(nèi)外開放的。另外一些主要面向教學(xué)或?qū)W生工作的服務(wù)，可以另外設(shè)一些專門的服務(wù)器，如：學(xué)生學(xué)籍管理系統(tǒng)、教務(wù)管理系統(tǒng)等，這些可以視需要決定是否向外開放。(2) 視頻點播、教學(xué)討論BBS及其它校園網(wǎng)視頻點播系統(tǒng)，可以使學(xué)生通過電腦在校園內(nèi)任何地方進行教學(xué)課件的視頻點播，進一步提高學(xué)生的學(xué)習(xí)積極性。校園BBS服務(wù)，可以使每位學(xué)生教師都可以在BBS上書寫信息、提出看法、討論教學(xué)問題，增強師生間的教學(xué)交流。校園網(wǎng)還以提供許多其他服務(wù)(可選)，如網(wǎng)絡(luò)課件庫、網(wǎng)絡(luò)試題庫、精品課程點播以及遠程教學(xué)等，進一步推動教學(xué)手段的改革。(3) 網(wǎng)絡(luò)管理隨著校園網(wǎng)的不斷擴大，對校園網(wǎng)中網(wǎng)絡(luò)設(shè)備的管理成為校園網(wǎng)管的重要任務(wù)，可以通過網(wǎng)絡(luò)管理軟件實現(xiàn)對全校所有網(wǎng)絡(luò)設(shè)備的集中式管理。網(wǎng)絡(luò)管理集通信技術(shù)、網(wǎng)絡(luò)技術(shù)和信息處理技術(shù)于一體，通過高度和協(xié)調(diào)資源，進行各項管理活動，以達到使網(wǎng)絡(luò)可靠、安全和高效運行的目的。由于我們在升級中主要使用Cisco的產(chǎn)品，可以用CiscoWork2000這個網(wǎng)管軟件來統(tǒng)一管理，它可以管理Cisco的基于IOS操作系統(tǒng)的連接設(shè)備。使用方式是Web管理方式，所以在安裝完網(wǎng)絡(luò)管理服務(wù)器后可以在任何有網(wǎng)絡(luò)連接的機器上進行網(wǎng)管監(jiān)控。(4) QOS管理流量管理也是一個非常重要的工程，如何有效的、合理的管理網(wǎng)絡(luò)中ip流量將有助于網(wǎng)絡(luò)整體性能。實施QoS，首先必須進行QoS的總體規(guī)劃，其規(guī)劃原則可如下:第一，根據(jù)不同業(yè)務(wù)特性在網(wǎng)內(nèi)實施針對業(yè)務(wù)類型的業(yè)務(wù)分流，目前可考慮的業(yè)務(wù)類型可以分為VoIP語音、視頻、專線互聯(lián)及互聯(lián)網(wǎng)接入等。另外，還必須考慮到網(wǎng)絡(luò)本身還存在管理和控制信令等，這種消息流與VoIP數(shù)據(jù)流具有同等的QoS保證需求。第二，在接入網(wǎng)的匯聚層實施業(yè)務(wù)VLAN策略，并根據(jù)業(yè)務(wù)及流量特性對業(yè)務(wù)VLAN進行合理的帶寬規(guī)劃。第三，不同用戶實施不同的QoS:對于重要的服務(wù)器、教師機通信等，在匯聚層實施獨享帶寬和獨立邏輯通道的二層QoS策略。第四，不同業(yè)務(wù)類型實施不同的QoS。(5) 用戶上網(wǎng)需求校園網(wǎng)的主要用戶是教師和學(xué)生，學(xué)?？稍鲈O(shè)一個透明網(wǎng)關(guān)或認證服務(wù)器來對用戶身份認證及上網(wǎng)計費。同時包括無線接入的認證. 校園網(wǎng)結(jié)構(gòu)設(shè)計校園網(wǎng)結(jié)構(gòu)設(shè)計主要指網(wǎng)絡(luò)的物理結(jié)構(gòu)設(shè)計和邏輯結(jié)構(gòu)設(shè)計。在完成對校園網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀分析后，就可以有針對性的進行物理和邏輯上的規(guī)劃設(shè)計，進一步完善校園網(wǎng)絡(luò)。 校園網(wǎng)物理結(jié)構(gòu)設(shè)計根據(jù)前面對校園網(wǎng)絡(luò)現(xiàn)狀的分析，可以知道校園網(wǎng)內(nèi)有多少建筑，各建筑內(nèi)包含多少信息點以及它們的分布情況，可以知道校園網(wǎng)的功能及其應(yīng)用。對些我們就可以做出相應(yīng)的升級拓撲設(shè)計。此次升級物理上主要是對網(wǎng)絡(luò)設(shè)備及通信帶寬的升級（對于設(shè)備選擇在第三章中介紹）：l 升級核心路由器，采用思科優(yōu)質(zhì)的產(chǎn)品C3600系列.l 采用思科雙C3750核心交換機做冗余技術(shù)。匯聚層也采用思科C3550原有的可當備份用。接入層采用C2950系列。各層設(shè)備都具有千兆以太網(wǎng)端口。l 增加3A身份認證服務(wù)器，增加校內(nèi)外學(xué)生宿舍的校園網(wǎng)接入和校園無線局域網(wǎng)接入。l 引入防火墻機制，提高校園網(wǎng)的安全性。l 在通信線路上，此次將校園主干網(wǎng)都升級為1000M以滿足學(xué)校對網(wǎng)絡(luò)的需求。接入福清電信仍為原有的百兆光纖，不過只要更改光纜的帶寬就可以使網(wǎng)絡(luò)升級到更高的帶寬；路由器與核心交換機間采用1000BaseT銅纜連接； 核心交換機與匯聚層交換機間采用1000BaseLX光纖連接（在同一室內(nèi)可用優(yōu)質(zhì)雙絞線）。校內(nèi)各網(wǎng)絡(luò)服務(wù)采用100M雙絞線連到核心交換機。匯聚層交換機所在的樓房內(nèi)直接采用100雙絞線連接到接入層交換機，其它樓房的接入層交換機則用100M光纖連接到該匯聚交換機上。升級物理拓撲圖（如圖23）圖23升級后網(wǎng)絡(luò)拓撲圖 校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計主要是IP子網(wǎng)網(wǎng)段的劃分，根據(jù)校園網(wǎng)實際應(yīng)用需求實現(xiàn)VLAN的設(shè)置。從校園網(wǎng)的安全性、IP地址的可管理性和IP地址資源的有限性出發(fā)，將整個校園網(wǎng)絡(luò)劃分成若干個子網(wǎng)網(wǎng)段并對IP地址進行有效的管理是十分必要的。子網(wǎng)網(wǎng)段劃分一般應(yīng)遵循以下原則：l 需要對外開放的服務(wù)器劃分在同一網(wǎng)段，并分配真實的IP地址；l 除接入Internet的路由器外，將其它所有網(wǎng)絡(luò)設(shè)備劃分到私有的網(wǎng)段；l 將不對外開放的服務(wù)器劃分到專有網(wǎng)段中，其地址對外是隱蔽的；l 最好將不同部門的機器劃分到不同網(wǎng)段中；l 劃分的子網(wǎng)應(yīng)使IP管理簡單，同時也要避免IP地址的大量浪費；l 可使用子網(wǎng)掩碼將幾個C類地址分給同一個大的子網(wǎng)，或?qū)⒁粋€C類地址分給幾個小的子網(wǎng)；l 校園內(nèi)部網(wǎng)IP地址使用保留地址，連接Internet的子網(wǎng)采用真實IP地址。以下為學(xué)校升級中，對學(xué)校所有網(wǎng)內(nèi)計算機的子網(wǎng)劃分情況：子網(wǎng)劃分如表21：序號VLAN號子網(wǎng)名稱包含的信息點1DMZ區(qū)服務(wù)器子群連接Internet的所有對外開放服務(wù)器，為真實IP地址211服務(wù)器子網(wǎng)所有只對校內(nèi)開放的服務(wù)器，為保留IP地址312網(wǎng)絡(luò)設(shè)備子網(wǎng)除路由器外所有網(wǎng)絡(luò)設(shè)備413辦公室子網(wǎng)圖書館、昌檀樓、科學(xué)樓的辦公室計算機514無線接入子網(wǎng)所有無線接入的計算機615學(xué)生宿舍子網(wǎng)1校內(nèi)學(xué)生宿舍接入的計算機716學(xué)生宿舍子網(wǎng)2校外學(xué)生宿舍接入的計算機817教師宿舍子網(wǎng)1校內(nèi)教師宿舍接入的計算機918教師宿舍子網(wǎng)2校外教師宿舍接入的計算機1019教室子網(wǎng)教學(xué)樓、科學(xué)樓、外語樓、實驗樓的教學(xué)用計算機1120電子閱覽室子網(wǎng)圖書館除辦公室計算機外的所有計算機1221計算機實驗室子網(wǎng)1昌檀樓的計算機實驗室11322計算機實驗室子網(wǎng)2昌檀樓的計算機實驗室21423計算機實驗室子網(wǎng)3昌檀樓的計算機實驗室31524計算機實驗室子網(wǎng)4科學(xué)樓經(jīng)法系計算機實驗室1625計算機實驗室子網(wǎng)5科學(xué)樓人文系計算機實驗室1726計算機實驗室子網(wǎng)6科學(xué)樓人外語系計算機實驗室表21 VLAN劃分表子網(wǎng)劃分示意圖如圖24：圖24 VLAN劃分示意圖3. 福建師大福清分校網(wǎng)絡(luò)升級硬件設(shè)計根據(jù)前面對校園網(wǎng)絡(luò)升級的分析，就可以確定所有網(wǎng)絡(luò)設(shè)備的型號，從安全可靠和高性能角度考慮，我們都使用世界著名公司—思科的網(wǎng)絡(luò)產(chǎn)品。以下分別對各種網(wǎng)絡(luò)設(shè)備進行分析介紹。 交換設(shè)備選型 核心層交換機選型根據(jù)學(xué)校的規(guī)模和應(yīng)用需求，為將校園主干升級為千兆網(wǎng)絡(luò)，我們核心交換機選用兩臺CISCO WSC3750G24TSS作核心冗余。Cisco Catalyst 3750系列交換機是一款適用于中型機構(gòu)和大型企業(yè)分支機構(gòu)的創(chuàng)新產(chǎn)品。該交換機采用了Cisco StackWise技術(shù)，通過結(jié)合易用性和可堆疊交換機的最高永續(xù)性，提高了局域網(wǎng)運行效率。關(guān)鍵特性：l 可用性——、負載均衡和迅速恢復(fù)；Flexlink特性提供了不到100ms的快速收斂；PVST+則通過允許流量在冗余鏈路上傳輸，增加了可用帶寬l Cisco StackWise技術(shù)——單一IP地址和單一命令行界面（CLI）簡化了管理；32Gbps永續(xù)架構(gòu)加速了收斂；1∶N堆疊采用了冗余和第三層上行鏈路永續(xù)性、跨堆疊Cisco EtherChannel技術(shù)及QoS，提高了可用性；自動配置和Cisco IOS軟件版本檢查和升級加速了部署過程；交換機的熱添加和刪除能保持堆疊持續(xù)運行l(wèi) 370W PoE簡化了IP電話、無線和視頻監(jiān)視部署；智能電源管理特性增強了控制能力，有助于更好地利用功率預(yù)算，PoE與快速以太網(wǎng)或千兆以太網(wǎng)型號相結(jié)合，能最大限度地利用現(xiàn)有基礎(chǔ)設(shè)施投資l 第三層特性—— OPSF、EIGRP、BGP 、靜態(tài) PBR等高級路由協(xié)議擴大了網(wǎng)絡(luò)規(guī)模；等成本路由以及PIM等組播路由能夠最大限度地利用網(wǎng)絡(luò)資源；VRFLite可保護流量；IPv6在簡化網(wǎng)絡(luò)尋址和移動IP的同時提高了安全性l QoS—— 流量整形能在不丟棄數(shù)據(jù)包的情況下平穩(wěn)處理突發(fā)流量；整形循環(huán)保證了關(guān)鍵任務(wù)應(yīng)用的帶寬；而Scavenger隊列則能防止蠕蟲過度使用資源l 管理—— Cisco Smartports能快速、簡單地配置高級 Web界面完成設(shè)置； 資源模板則可用于為應(yīng)用定制交換機資源。l 安全——DHCP監(jiān)聽能夠只允許可信端口訪問DHCP信息，消除了惡意DHCP服務(wù)器；NAC則能防止代價昂貴的蠕蟲和病毒的傳播；動態(tài)ARP檢測和IP源防護能夠防御中間人攻擊；；端口安全能防止MAC地址泛洪攻擊各關(guān)鍵交換機的主要性能參數(shù)如下表31:參數(shù)類型WSC3750G24TSS主要參數(shù)WSC355024SMI主要參數(shù)WSC2950T24主要參數(shù)交換機類型網(wǎng)管交換機網(wǎng)管交換機快速以太網(wǎng)交換機內(nèi)存128MB32MB DRAM和8MB閃存16MB DRAM和8MB閃存?zhèn)鬏斔俾?0Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標準IEEE 、IEEE 、IEEE 、IEEE IEEE 、IEEE,、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 、IEEE 端口數(shù)量2424 個10/100端口+2 個1000BaseX 端口26接口介質(zhì)10/100/1000BaseTX、1000BaseFX/SX傳輸模式支持全雙工支持全雙工支持全雙工配置形式可堆疊可堆疊可堆疊交換方式存儲轉(zhuǎn)發(fā)存儲轉(zhuǎn)發(fā)存儲轉(zhuǎn)發(fā)背板帶寬32GbpsVLAN支持支持支持支持MAC地址表12k80008000模塊化插槽數(shù)4無無指示面板端口狀態(tài)LED：鏈路完整，關(guān)閉，活動，速度和全雙工指示；系統(tǒng)狀態(tài)LE