【文章內容簡介】 最近一次發(fā)送后等待 微秒（以 10Mbps運行） 。 校園網(wǎng) 校園網(wǎng)是指利用網(wǎng)絡設備、通信介質和適宜的組網(wǎng)技術與協(xié)議及各類網(wǎng)絡系統(tǒng)管理軟件和應用軟件，將校園網(wǎng)內計算機和各種終端有機 地集成在一起，并用于教學、科研、學校管理、信息資源共享和遠程教學等方面工作的計算機局域網(wǎng)絡系統(tǒng)。 校園網(wǎng)的概念最初是以硬件集成為主，校園網(wǎng)只是一個硬件平臺。到了第二階段，有提出了以教學應用軟件集成為主的“軟件建網(wǎng)”的校園網(wǎng)概念，這也是當今大多數(shù)校園網(wǎng)所采用的模式。校園網(wǎng)由硬件、軟件這兩部分共同組成，其中，硬件是基礎，是校園網(wǎng)的載體，沒有硬件的支持，根本無法談及校園網(wǎng)；軟件是應用，是建設校園網(wǎng)的根本需求的體現(xiàn)。就像普通的 PC 一樣，建立在硬件上面的系統(tǒng)軟件、應用軟件讓我們有了利用計算機的可能。 校園網(wǎng)是為學校教 師、學生提供教學、科研和綜合信息服務的寬帶多媒體網(wǎng)絡。校園網(wǎng)應為學校教學、科研提供先進的信息化教學環(huán)境，這就要求校園網(wǎng)是一個寬帶、局域交互功能和專業(yè)很強的局域網(wǎng)絡。多媒體教學、網(wǎng)絡教學、教師電子備課、辦公等等都需要通過網(wǎng)絡運行工作。 大學校園網(wǎng)網(wǎng)絡工程設計 10 2 校園網(wǎng) 總體 設計 概述 總體設計是校園網(wǎng)建設的總體思路和工程藍圖，是搞好校園網(wǎng)建設的核心任務。進行校園網(wǎng)總體設計，首先，進行對象研究和需求調查，弄清學校的性質、任務和改革發(fā)展的特點，對學校的信息化環(huán)境進行準確的描述，明確系統(tǒng)建設的需求和條件；其次，在應用需求分析的基礎上 ，確定學校 Intra 服務類型，進而確定系統(tǒng)建設的具體目標，包括網(wǎng)絡設施、站點設置、開發(fā)應用和管理等方面的目標；第三，確定網(wǎng)絡拓樸結構和功能，根據(jù)應用需求、建設目標和學校主要建筑分布特點，進行系統(tǒng)分析和設計；第四，確定技術設計的原則要求，如在技術選型、布線設計、設備選擇、軟件配置等方面的標準和要求；第五，規(guī)劃安排校園網(wǎng)建設的實施步驟。 作為校園網(wǎng)，需要連接多少個節(jié)點，怎樣利用網(wǎng)絡設備使得分布在不同地理位置的節(jié)點連接到一個統(tǒng)一的網(wǎng)絡中來，怎樣使得整個網(wǎng)絡中的節(jié)點相互連通，這些問題僅僅是校園網(wǎng)需要解決問題中 的一部分。 從某種意義上講，校園網(wǎng)的建設絕不僅僅只是涉及到技術問題，而是會引深到更深的層次，也就是說信息技術所帶來的一場革命會徹底改變我們的生活方式和工作方式。 對于校園網(wǎng)的建設，我們提出的建設原則應該是：先進性，先進的設計思想、網(wǎng)絡結構、開發(fā)工具，采用市場覆蓋率高、標準化和技術成熟的軟硬件產(chǎn)品；實用性，建網(wǎng)時應考慮利用和保護現(xiàn)有的資源、充分發(fā)揮設備效益；開放性，系統(tǒng)設計應采用開放技術、開放結構、開放系統(tǒng)組建和開放用戶接口，以利于網(wǎng)絡的維護、擴展升級及與外界信息的溝通；靈活性，采用積木式模塊組合和結構化設計 ，使系統(tǒng)配置靈活，滿足學校逐步到位的建網(wǎng)原則，使網(wǎng)絡具有強大的可增長性；可靠性，具有容錯功能，管理、維護方便。對網(wǎng)絡的設計、選型、安裝、調試等各環(huán)節(jié)進大學校園網(wǎng)網(wǎng)絡工程設計 11 行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運行可靠，經(jīng)濟性，投資合理，有良好的性能價格比。 方案實施 一個完整的校園網(wǎng)建設在實施過程中可以分成兩個環(huán)節(jié)：網(wǎng)絡集成方案設計和信息系統(tǒng)集成。其中信息系統(tǒng)集成是目的，網(wǎng)絡集成是手段。 網(wǎng)絡集成方案主要包括兩個方面：結構化布線與設備選擇、網(wǎng)絡技術及設備選型。它的設計思想有兩個，一個是網(wǎng)絡方案采用模塊化的設計，各個模塊完成各自的功 能。在實施的過程中，可以根據(jù)需要將相應的模塊添加到網(wǎng)絡中，也可以不使用某些模塊，在需要時候再添加。同時，模塊化設計容易維護，某個模塊出現(xiàn)故障，不會影響到整個網(wǎng)絡的安全。 另一個設計思想是采用層次體系，整個網(wǎng)絡通過主干網(wǎng)連接起來，各個子網(wǎng)通過接口與主干網(wǎng)連接，實現(xiàn)各自的功能，在子網(wǎng)內部及與主干網(wǎng)進行數(shù)據(jù)通信。 結構化布線 綜合布線系統(tǒng)是建筑物或建筑群內的傳輸網(wǎng)絡，它既能使話音和數(shù)據(jù)通信設備、交換設備和其他信息管理系統(tǒng)彼此連接，也能使這些設備與外部通信網(wǎng)絡相互連接，包括建筑物到外部網(wǎng)絡或電話局線路上 的連線點，與工作區(qū)的話音或數(shù)據(jù)終端之間的所有電纜，以及相關聯(lián)的布線部件。一個良好的綜合布線系統(tǒng)對其服務的設備有一定的獨立性，并能互連許多不同的通信設備如數(shù)據(jù)終端、模擬式或數(shù)字式電話、 PC 和主機以及公共系統(tǒng)裝置。一般布線系統(tǒng)有六個子系統(tǒng)組成：建筑群間子系統(tǒng)，設備間子系統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子系統(tǒng)，工作區(qū)子系統(tǒng)。 校園網(wǎng)為園區(qū)網(wǎng)，樓群間子系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴展余地。垂直子系統(tǒng)則位于高層建筑物的豎井內，可采用多模光纜或大對數(shù)雙絞線。把管理區(qū)子系統(tǒng)并入大學校園網(wǎng)網(wǎng)絡工程設計 12 設備間子系統(tǒng)，集 中管理。 對于多幢樓宇，可采用多設備間的方法。分為中心設備間和樓棟設備間部分，中心設備間是整個局域網(wǎng)的控制中心，內設有對外（ Inter）對內通信的各種網(wǎng)絡設備（交換機、路由器），中心交換機通過光纜（地下直埋）與樓棟設備間的交換設備相連，以保證數(shù)據(jù)的高速傳輸。在此設備間放置布線的線架和網(wǎng)絡設備，端接樓內來自在各層的主干線纜，并端接連接網(wǎng)絡中心的光纖。 網(wǎng)絡設備選型 網(wǎng)絡主干設備的系統(tǒng)結構直接決定了設備的性能和功能水平。因此，深入了解設備的系 統(tǒng)結構設計，客觀認知設備的性能和功能，這對正確選擇設 備極有幫助 。在此次設計中，為了更好的完成所有功能，全部采用了 Cisco 的交換機和路由器。下面就簡要介紹下此次設計中的重要設備 —— 交換機的選型。 1． Catalyst 交換機產(chǎn)品 （ 1） Catalyst 2960 系列交換機 Cisco Catalyst2960 系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機構網(wǎng)絡提供增強 LAN 服務。Catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡準入控制 (NAC)、高級服務質量 (QoS)和永 續(xù)性，可為網(wǎng)絡邊緣提供智能服務。 Cisco Catalyst 2960 系列提供： 為網(wǎng)絡邊緣提供了智能特性，如先進的訪問控制列表 (ACL)和增強安全特性； 雙介質上行鏈路端口提供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口 — 每個介質上行鏈路端口都有一個 10/100/1000 以太網(wǎng)端口和一個小型可插拔 (SFP)千兆以太網(wǎng)端口，在使用時其中一個端口激活，但不能同時使用這兩個端口 ； 通過高級 QoS、精確速率限制、 ACL 和組播服務，實現(xiàn)了網(wǎng)絡控制和帶寬優(yōu)化 ； 通過多種驗證方法、數(shù) 據(jù)加密技術和基于用戶、端口和MAC 地址的網(wǎng)絡準入控制，實現(xiàn)了網(wǎng)絡安全性； 大學校園網(wǎng)網(wǎng)絡工程設計 13 通過思科網(wǎng)絡助理，簡化了網(wǎng)絡配置、升級和故障診斷 ； 使用 Smartports 自動配置特定應用 ； （ 2） 系列產(chǎn)品配置 Cisco Catalyst 2960 系列包括以下交換機： Cisco Catalyst 296024TT： 24 個 10/100 以太網(wǎng)端口和 2個 10/100/1000 固定以太網(wǎng)上行鏈路端口； 1 機架單元 (RU) Cisco Catalyst 296048TT： 48 個 10/100 以太網(wǎng)端口和 2個 10/100/1000 固定以太網(wǎng)上行鏈路端口； 1 RU Cisco Catalyst 296024TC： 24 個 10/100 以太網(wǎng)端口和 2個雙介質上行鏈路端口； 1 RU Cisco Catalyst 296048TC： 48 個 10/100 以太網(wǎng)端口和 2個雙介質上行鏈路端口； 1 RU Cisco Catalyst 2960G24TC： 20 個 10/100/1000 以太網(wǎng)端口，其中 4 個為雙介質端口； 1 RU 2． 產(chǎn)品特性 （ 1） 千兆以太網(wǎng) 千兆以太網(wǎng)以 1000 Mbps 的速度，提供了可滿足新網(wǎng)絡 和擴展網(wǎng)絡的需求的帶寬，消除了瓶頸，提升了性能，同時提高了現(xiàn)有基礎設施投資的回報。目前，工作人員都對網(wǎng)絡有著更高需求，在網(wǎng)絡上同時運行多個應用。例如，一位員工通過 IP 視頻會議而參加小組會議，向與會者發(fā)送一個 10MB 的電子表格，將最新營銷視頻廣播給整個小組以供評估，此外還查詢客戶關系管理(CRM)數(shù)據(jù)庫，以獲得最新實時反饋。同時，后臺開始了一個多GB 的系統(tǒng)備份，并向客戶端提供最新防病毒軟件的升級。 （ 2） 網(wǎng)絡智能性 當今的網(wǎng)絡正在不斷發(fā)展，在網(wǎng)絡邊緣出現(xiàn)了四種新趨勢： 桌面計算能力提高 、 帶寬密集型應用出現(xiàn) 、 高 敏感數(shù)據(jù)在網(wǎng)絡中擴展 、 出現(xiàn)了多種設備類型，如 IP 電話、 WLAN 接入點和IP 視頻攝像頭 。 這些新需求正與許多已有關鍵任務應用爭奪資源。因此， IT專業(yè)人員必須將網(wǎng)絡邊緣看作有效管理信息和應用的提供的關鍵。 大學校園網(wǎng)網(wǎng)絡工程設計 14 隨著 人們對網(wǎng)絡的依賴性日益增強， 將其作為戰(zhàn)略性業(yè)務基礎設施，確保網(wǎng)絡的高可用性、安全性、可擴展性和對它的全面控制就比以前更為重要。通過為 LAN 接入添加思科智能功能，客戶現(xiàn)可部署遍布整個網(wǎng)絡的智能服務，從而一致地滿足從桌面到核心再到 WAN 的要求。 通過 Cisco Catalyst 智能以太網(wǎng)交換機，思科可幫助公司 獲得向其網(wǎng)絡添加智能服務的全面優(yōu)勢。為進一步優(yōu)化網(wǎng)絡運行，部署具備以下特性的功能是十分關鍵的：能使網(wǎng)絡基礎設施高度可用以達到關鍵時間要求、可擴展以便于公司發(fā)展、高度安全以保護保密信息，且能區(qū)分和控制流量。 （ 3） 增強安全性 憑借 Cisco Catalyst 2960 系列提供的廣泛安全特性，企業(yè)可保護重要信息，防止未授權人員接入網(wǎng)絡，確保私密性及維持不間斷運行。 思科基于身份的網(wǎng)絡服務 (IBNS)解決方案提供了身份驗證、訪問控制和安全策略管理，可保護網(wǎng)絡連接和資源。 Catalyst 2960系列中的 IBNS 可 防止未授權接入，并確保用戶只獲得其指定權利。它能動態(tài)管理網(wǎng)絡接入的具體層次。使用 標準和思科安全訪問控制服務器（ ACS），無論用戶在何 處連接到網(wǎng)絡中，都可在驗證基礎上分配到一個 VLAN。此設置使 IT 部門能在不影響用戶移動性的情況下，以最低管理開銷實施強大的安全策略。 為防止拒絕服務攻擊和其他攻擊，可用 ACL 根據(jù)源和目的地MAC 地址、 IP 地址或 TCP/UDP 端口來拒絕分組，從而限制對網(wǎng)絡敏感部分的訪問。 ACL 查詢在硬件中完成，故此在實施基于ACL 的安全性時不會影響轉發(fā)性能。 端口安全性可根據(jù)與以 太網(wǎng)端口相連的設備的 MAC 地址，來限制以太網(wǎng)端口上的訪問。它也可用于限制插入一個交換機端口的總設備數(shù)目，因此可使交換機免遭 MAC 泛洪攻擊，降低了惡意無線接入點或集線器接入的風險。 憑借動態(tài)主機配置協(xié)議 (DHCP)監(jiān)聽，可以只允許來自不可信用戶端口的 DHCP 請求（但不允許響應）進入網(wǎng)絡，從而防止DHCP 電子欺騙。此外 DHCP 接口跟蹤器 (選項 82) 特性可為主機大學校園網(wǎng)網(wǎng)絡工程設計 15 IP 地址請求添加交換機端口 ID，有助于實現(xiàn)對于 IP 地址分配的精確控制。 MAC 地址通知特性可向管理站發(fā)送報警，從而監(jiān)控網(wǎng)絡和跟蹤用戶，以使網(wǎng)絡管理員知道 用戶何時、從何處進入網(wǎng)絡。SSHv2 和 SNMPv3 對管理和網(wǎng)絡管理信息加密，保護網(wǎng)絡免遭干擾或竊聽。 TACACS+或 RADIUS 驗證實現(xiàn)了交換機的集中訪問控制，并限制未授權用戶改變配置。此外，可在交換機上配置本地用戶名和密碼數(shù)據(jù)庫。交換機控制臺上的 15 個授權級別和 Web管理界面上的 2 個級別提供了向不同管理員分配不同配置功能級別的能力。 （ 4） 可用性和可擴展性 Cisco Catalyst 2960 系列配備了強大的特性集，通過組播過濾和旨在第二層網(wǎng)絡中提供最高可用性的全套生成樹協(xié)議改進，實現(xiàn)了網(wǎng)絡可擴展性及更 高可用性。 對標準生成樹協(xié)議的改進，如 PVST+、 UplinkFast 和 PortFast，可實現(xiàn)最長網(wǎng)絡正常運行時間。 PVST+可在冗余鏈路上進行第二層負載共享，以有效使用冗余設計中的額外容量。 UplinkFast、PortFast 和 BackboneFast 都大大縮減了標準的 30 到 60 秒生成樹協(xié)議收斂時間。 Flexlink 提供了不到 100ms 的雙向、快速收斂。對環(huán)路保護和網(wǎng)橋協(xié)議數(shù)據(jù)單元（ BPDU）保護的增強避免了生成樹協(xié)議環(huán)路的出現(xiàn)。 （ 5） 高級 QoS Cisco Catalyst 2960 提供了出色的多 層 QoS 特性，確保網(wǎng)絡流量進行了分類和優(yōu)先級劃分，并以最好的方式避免了擁塞。 QoS的配置通過自動 QoS（ Auto QoS）大大得到了簡化，這是一個可發(fā)現(xiàn)思科 IP 電話并自動配置交換機以進行正確分類和輸出排序的特性。這優(yōu)化了流量優(yōu)先級劃分和網(wǎng)絡可用性，且不會帶來復雜配置的問題。 Catalyst 2960 可對進入的分組分類、再分類、監(jiān)管、標記、排序和排程，并能在出口處對分組排序和排程。分組分類使網(wǎng)絡元素可區(qū)分不同流量，并根據(jù)第二層和第三