【文章內(nèi)容簡介】 聚合 可以在單臺(tái)交換機(jī)中進(jìn)行配置，支持聚合通道內(nèi)部的負(fù)載均衡。從核心層到匯聚層使用多條 多模光纖連接到匯聚層交換機(jī)，并實(shí)現(xiàn)端口聚合。 匯聚層起著承上啟下的作用，負(fù)責(zé)對(duì)各種接入的匯聚，并可在該層實(shí)現(xiàn)對(duì)于用戶的訪問 控制，以及對(duì)用戶的網(wǎng)絡(luò)管理。因此，匯聚層應(yīng)考慮三層智能交換機(jī)。在本方案中，共部署三臺(tái)銳捷網(wǎng)絡(luò)自主研發(fā)的 RGS6806E 模塊化骨干路由交換機(jī)。在匯聚層使用三層交換機(jī)的 目 的是為了減輕核心層的負(fù)擔(dān)。 接入層應(yīng)該能夠?qū)崿F(xiàn)對(duì)用戶的訪問控制，并具有較強(qiáng)的安全和 QOS 控制功能，支持 的認(rèn)證計(jì)費(fèi)，支持千兆上聯(lián) 支持 SMNP 的網(wǎng)管。同時(shí) 為滿足學(xué)生宿舍網(wǎng)的高端 口密度接入的需求 接入層應(yīng)考慮二層智能型可堆疊交換機(jī)。因此，在接入層部署了銳捷網(wǎng)絡(luò)的 STARS2126G/STARS2150G 智能型可堆疊交換機(jī)。 同時(shí)為了保證宿舍網(wǎng)內(nèi)部網(wǎng)的安全 , 在內(nèi)網(wǎng)和外網(wǎng)之間增加硬件防火墻，接在 INTERNET/CERNET 出口的位置 ,根據(jù)安全需求可將校園網(wǎng)分為內(nèi)部網(wǎng)、外部網(wǎng)與 DMZ 區(qū) 等，以保護(hù)校園網(wǎng)的安全，防止惡意用戶的攻擊。為了統(tǒng)一網(wǎng)絡(luò)管理和監(jiān)控，在網(wǎng)絡(luò)中心配 置 StarView 管理平臺(tái)可以對(duì)設(shè)備進(jìn)行集中的管理，包括網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、配置管理、性能管 理、事件管理，實(shí)現(xiàn)全網(wǎng)設(shè)備的管理。 在網(wǎng)絡(luò)中心兩臺(tái)核心交換機(jī)各通過兩條千兆鏈路連接校園圖書館子網(wǎng)，兩臺(tái)核心交換機(jī)間業(yè)務(wù)量增大時(shí)，也可考慮通過上行雙鏈路 Trunk 來連接。其中公寓干網(wǎng)以千兆鏈路下聯(lián)至公寓樓宇交換機(jī) STARS2126G/STARS2150G；同時(shí)網(wǎng)絡(luò)中心通過千兆連接專項(xiàng)課題研究樓 子網(wǎng)；在網(wǎng)絡(luò)中心核心 交換機(jī)通過千兆鏈路連接行政 / 教 學(xué) 樓 子 網(wǎng) 交 換 機(jī) 。 以 千 兆 鏈 路 下 聯(lián) 至 樓 宇 交 換 機(jī) STARS2126G/STARS2150G；計(jì)算中心子網(wǎng)及應(yīng)用服務(wù)器群另在網(wǎng)絡(luò)中心通 過千兆鏈路下行連接。實(shí)現(xiàn)百兆交換到桌面。 用戶上網(wǎng)方案 (1) 訪問校園網(wǎng) 用戶在連接到網(wǎng)絡(luò)中時(shí)，首先獲得是校園網(wǎng)的 IP 地址，此時(shí)用戶只能訪問校園網(wǎng)內(nèi)部 的資源，并且對(duì)用戶不計(jì)費(fèi)。在該方案中， S6810E 和 S6806E 起到三層交換機(jī)的功能，校園網(wǎng)用戶之間的互訪都必須通過 S6810E 和 S6806E 進(jìn)行。 9 (2) CERNet 用戶需要訪問 CERNet 時(shí)，使用 CERNet 的域名 ,獲得 CERNet 的地址后，就可以訪問 。 (3) INTERNET 用戶需要訪問 INTERNET 時(shí)，使用 INTERNET 的域名，獲得 INTERNET 的地址后就可以訪問。 IP 地址規(guī)劃和路由設(shè)計(jì) (1) IP 地址規(guī)劃 IP 地址規(guī)劃是整個(gè)網(wǎng)絡(luò)設(shè)計(jì)中的重要組成部分，地址規(guī)劃的科學(xué)性和合理性將直接反 應(yīng)網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)思想，對(duì)網(wǎng)絡(luò)的穩(wěn)定起到至關(guān)重要的影響。好的地址規(guī)劃同科學(xué)的分層網(wǎng) 絡(luò)拓?fù)湓O(shè)計(jì)相輔相承，共同形成整體的 網(wǎng)絡(luò)設(shè)計(jì)解決方案。合理的網(wǎng)段劃分結(jié)合靈活的 VLAN 規(guī)劃，可以有效地降低網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，保證整個(gè)網(wǎng)絡(luò)的穩(wěn)定，同時(shí)也起到一定的網(wǎng)絡(luò)安全功能。 ● IP 地址規(guī)劃目標(biāo) 建立高效的網(wǎng)絡(luò)路由；有效利用有限的 IP 地址資源； 支持網(wǎng)絡(luò)的擴(kuò)展； 支持網(wǎng)絡(luò)技術(shù)的演變和發(fā)展。 ● IP 地址規(guī)劃原則 簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式； 連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)及 CIDR(Classless InterDomain Routing)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率； 可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性； 靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化； 可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。 安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。 ● 校園網(wǎng)地址規(guī)劃方案 校園網(wǎng) IP 地址分配總則 校園網(wǎng) IP 地址分為三大塊： 校園網(wǎng)內(nèi)部的私有 IP地址，采用 RFC 中規(guī)定的地址段， 不能訪問 Inter 和 Cer； Cer 分配的多個(gè) C 類公網(wǎng) IP 地址，作為和國際互聯(lián)網(wǎng)互連的地址，域名 就解析在這片地址上，主要供網(wǎng)絡(luò)中心和圖書館、部分實(shí)驗(yàn)室專用； 運(yùn)營商分配的公網(wǎng) IP地址，用于訪問 Inter。 關(guān)鍵服務(wù)器擁有兩個(gè)公網(wǎng) IP，分別跨接在 Cer 和Inter 上。校園網(wǎng)內(nèi)部私網(wǎng) IP 地址的分配內(nèi)部地址的分配原則是按建筑物進(jìn)行的，視用戶的數(shù)量， 1/ 1/整個(gè) C 的劃分。為了安全考慮對(duì)所有的都采用靜態(tài)分配 IP 地址，為防止地址盜用，采用 IP 地址、 MAC 地址 與端 口綁定。 ● IP 地址的分配 用戶的計(jì)算機(jī)在連接到校園網(wǎng)上時(shí)，首先獲得一個(gè)校園網(wǎng)內(nèi)部的 IP 地址，此時(shí)該計(jì)算 機(jī)只能訪問校園網(wǎng)內(nèi)部。用戶需要訪問 Cer 和 Inter，要使用帳號(hào)登陸，認(rèn)證通過后才能訪問。 (2) 路由設(shè)計(jì) ● 校園網(wǎng)路由設(shè)計(jì) 不使用默認(rèn)路由，使用策略路由，防止從 Inter 訪問校園網(wǎng)。 ● Inter 路由設(shè)計(jì) 采用靜態(tài)默認(rèn)路由協(xié)議訪問 Inter， 為了實(shí)現(xiàn)路由的備份，配置到 Inter 的兩條默認(rèn)路由，兩條路由的優(yōu)先級(jí)可以相同， 可以不同。 10 如果相同，則兩條 線路采取負(fù)載分擔(dān)方式。 如果不同，則是主備方式，其中優(yōu)先級(jí)高的稱為主路由，優(yōu)先級(jí)低的為備份路由。這樣，正常情況下，路由器采用主路由發(fā)送數(shù)據(jù)。當(dāng)線路發(fā)生故障時(shí)，該路由自動(dòng)隱藏，路由 器會(huì)選擇余下的優(yōu)先級(jí)最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。這樣，也就實(shí)現(xiàn)了主路由到備 份路由的切換。當(dāng)主路由恢復(fù)正常時(shí)，路由器恢復(fù)相應(yīng)的路由，并重新選擇路由。由于該路 由的優(yōu)先級(jí)最高，路由器選擇主路由來發(fā)送數(shù)據(jù)。采用源地址路由，讓 Inter 地址訪問 Inter； 采用 ACL，防止訪問 Cer 的流量通過 Inter； 采用 ACL，防止來自校園網(wǎng)的 Inter 地址。 安全與流量控制 (1) 網(wǎng)絡(luò)安全控制 ●對(duì)端口 ARP 檢查防止 ARP 攻擊； ●對(duì)端口安全： MAC 動(dòng)態(tài)地址鎖， MAC 地址靜態(tài)綁定； ●交換設(shè)備 BPDU Guard 功能，過濾非法 BPDU 報(bào)文，防止 STP 攻擊交換機(jī)； ●端口安全：端口靜態(tài)綁定，自動(dòng)綁定 IP 和 MAC 地址防止 DOS 攻擊； ●智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡(luò)應(yīng)用，過濾病毒 ● SSH 密文傳輸，限制管理 IP 等措施保證設(shè)備 管理可靠； ●對(duì)網(wǎng)絡(luò)病毒的防范：采用設(shè)置 ACL，對(duì)病毒進(jìn)行過濾；我們使用的匯聚、核心交換機(jī)都支持 SPOH，通過端口獨(dú)立的 FFP 進(jìn)行 ACL 處理，網(wǎng)絡(luò)設(shè)備性 能不受設(shè)置 ACL 數(shù)目影響； (2) VLAN 需求 默認(rèn)時(shí)，交換機(jī)分隔沖突域；路由器分隔廣播域。第 2 層交換式網(wǎng)絡(luò)的最大好處是，它 為插入到交換機(jī)每個(gè)端口的每臺(tái)設(shè)備創(chuàng)建了各自的沖突域。但每一個(gè)新的改進(jìn)通常都會(huì)引起 新的問題 —— 用戶和設(shè)備的數(shù)量越大，每臺(tái)交換機(jī)必須處理的廣播和數(shù)據(jù)包就越多。 安全性也是一個(gè)問題，因?yàn)樵诘湫偷牡? 2 層交換式互 聯(lián)網(wǎng)絡(luò)的內(nèi)部，默認(rèn)時(shí)所有用戶都 可以看見所有的設(shè)備。你不能讓設(shè)備停止廣播，也不能讓用戶不響應(yīng)廣播。連接到物理網(wǎng)絡(luò) 的任何人都可以訪問位于物理 LAN 上的網(wǎng)絡(luò)資源，用戶只需將其工作站插入到現(xiàn)有的集線器 中，就可以加入某個(gè)工作組。安全性選項(xiàng)只能限于在服務(wù)器和其他設(shè)備上設(shè)置口令。 通過創(chuàng)建虛擬局域網(wǎng)（ VLAN），就可以在一個(gè)純交換式的互聯(lián)網(wǎng)絡(luò)中，分隔廣播域。 VLAN 是兩個(gè)部分的邏輯組合：一是網(wǎng)絡(luò)用戶；二是在管理上連接到交換機(jī)所定義端口的資源。 如果創(chuàng)建了 VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網(wǎng)時(shí)，可以 將交換機(jī)上的不 同端口分派到不同的子網(wǎng)中，這樣就可以在第二層交換式互聯(lián)網(wǎng)絡(luò)中創(chuàng)建一些小的廣播域。 可以象對(duì)待單獨(dú)的子網(wǎng)和廣播域一樣來對(duì)待 VLAN，這意味著網(wǎng)絡(luò)上的廣播域只在同一個(gè) VLAN 內(nèi)部的邏輯組的端口之間進(jìn)行轉(zhuǎn)發(fā)。 用 VLAN 來簡化網(wǎng)絡(luò)管理的方式有多種： ●通過將某個(gè)端口配置到合適的 VLAN 中，就可以實(shí)現(xiàn)網(wǎng)絡(luò)的添加、移動(dòng)和改變。 ●將對(duì)安全性要求高的一組用戶放入 VLAN 中，這樣， VALN 外部的用戶就無法與他們 通信。 ●作為功能上的邏輯用戶組，可以認(rèn)為 VLAN 獨(dú)立于它們的物理位置 或地理位置。 ● VLAN 可以增強(qiáng)網(wǎng)絡(luò)安全性。 11 ● VLAN 增加了廣播域的數(shù)量，同時(shí)減少了廣播域的范圍。 使用 VLAN 具有以下優(yōu)點(diǎn)： ● 控制廣播風(fēng)暴 一個(gè) VLAN 就是一個(gè)邏輯廣播域，通過對(duì) VLAN 的創(chuàng)建，隔離了廣播，縮小了廣播范圍， 可以控制廣播風(fēng)暴的產(chǎn)生。 ● 提高網(wǎng)絡(luò)整體安全性 通過路由訪問列表和 MAC 地址分配等 VLAN 劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng) 段大小，將不同用戶群劃分在不同 VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。 ● 網(wǎng)絡(luò)管理簡單、直觀 對(duì)于交換式以太網(wǎng)，如果對(duì) 某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理 結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用 VLAN 技 術(shù)的網(wǎng)絡(luò)來說，一個(gè) VLAN 可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶 劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng) 之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi) 用。在一個(gè)交換網(wǎng)絡(luò)中， VLAN 提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。 圖 2 VLAN 拓?fù)鋱D (3) VLAN 劃分設(shè)計(jì) VLAN 概述： VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的 12 基礎(chǔ)上， 采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) VLAN 組成 一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng) 絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。 組建 VLAN 的條件 VLAN 是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立 VLAN 需要 相應(yīng)的支持 VLAN 技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同 VLAN 間進(jìn)行相互通 信時(shí)，需要路由的支 持，這時(shí)就需要增加路由設(shè)備 —— 要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī) 來完成。 劃分 VLAN 的基本策略 從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種 劃分方法： ● 基于端口的 VLAN 劃分 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端 口所連接的設(shè)備。 ● 基于 MAC 地址的 VLAN 劃分 MAC 地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。 MAC 地址由 12 位 16 進(jìn)制數(shù)表示，前 8 位為廠商標(biāo)識(shí)，后 4 位為網(wǎng)卡標(biāo)識(shí)。網(wǎng)絡(luò)管理員可按 MAC 地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。 ● 基于路由的 VLAN 劃分 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè) VLAN 跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè) VLAN 中。 就目前來說，對(duì)于 VLAN 的劃分主要采取上述第 3 種方式，第 2 種方式為輔助性的方 案。 方案特點(diǎn) (1) 高帶寬、高性能 該解決方案是基于標(biāo)準(zhǔn)的二、三層以太網(wǎng)交換技術(shù)，技術(shù)成熟度非常高。學(xué)校網(wǎng)絡(luò)中心放置路由交換機(jī)上行通過 GE 接至教育網(wǎng)， GE 可以是單模或者多模，由校園網(wǎng)的具體情況而定。 GE 作為整個(gè)學(xué)校出口帶寬可充分滿足用戶對(duì)帶寬的要求，使學(xué)校出口不再 成為整個(gè)校園網(wǎng)用戶上網(wǎng)的瓶頸。在學(xué)院網(wǎng)絡(luò)中心通過下行使千兆鏈路連接匯聚層交換機(jī)。匯聚層交換機(jī)下行 1000M 光纖口連接接入樓宇交換機(jī)，百兆交換到桌面， 100M 的帶寬可充分滿足用戶高速上網(wǎng)，視頻點(diǎn)播等多種寬帶業(yè)務(wù)。核心交換機(jī)擁有 1000M 出口聯(lián)接校園網(wǎng)，各層設(shè)備全部支持線速交換，給用戶提供了真正的高帶寬網(wǎng)絡(luò)，對(duì)未來高帶寬的寬帶業(yè)務(wù)提供了強(qiáng)大的支撐能力，校園寬帶網(wǎng)的發(fā)展?jié)摿薮蟆? (2) 網(wǎng)絡(luò)管理 校園網(wǎng)在為廣大師生提供便捷、高效的學(xué)習(xí)、工作環(huán)境的同時(shí)，也在寬帶管理、計(jì)費(fèi)等 方面存在許多問題： ● 網(wǎng)絡(luò)計(jì)費(fèi)管理功能的單一 ， 隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大和用戶群體的日益增多，原有的單一計(jì)費(fèi)管理功能已不能滿足要求。 ● 對(duì)帶寬資源的大量占用導(dǎo)致重要應(yīng)用無法進(jìn)行 ， 對(duì)于每個(gè)學(xué)校來說，它的帶寬資源都是有限的。而上網(wǎng)人數(shù)的急增和各種各樣在線游戲的流行使有限的帶 寬資源不堪重負(fù)，由于沒有帶寬限制和優(yōu)先級(jí)設(shè)置，一些重要用戶和重要應(yīng)用得不到必要的帶