【文章內(nèi)容簡介】 VLAN 用于將數(shù)據(jù)流分類和分離以及控制單個(gè)配線間和大樓內(nèi)的廣播數(shù)據(jù)流。 綜合樓各部門及樓層間 vlan 的劃分： 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 Vlan100 綜合樓（ 2 樓） 子網(wǎng)號(hào) 子網(wǎng)掩碼 Vlan 總務(wù)處 Vlan2 第 12 頁 學(xué)生處 Vlan3 教務(wù)處 Vlan4 財(cái)務(wù)處 Vlan5 綜合樓（ 5 樓） 子網(wǎng)號(hào) 子網(wǎng)掩碼 Vlan 計(jì)算機(jī)實(shí)訓(xùn)室 1 Vlan6 計(jì)算機(jī)實(shí)訓(xùn)室 2 Vlan7 計(jì)算機(jī)實(shí)訓(xùn)室 3 Vlan8 計(jì)算機(jī)實(shí)訓(xùn)室 4 Vlan9 綜合樓（ 6 樓） 子網(wǎng)號(hào) 子網(wǎng)掩碼 Vlan 計(jì)算機(jī)實(shí)訓(xùn)室 1 Vlan10 計(jì)算機(jī)實(shí)訓(xùn)室 2 Vlan11 計(jì)算機(jī)實(shí)訓(xùn)室 3 Vlan12 計(jì)算機(jī)實(shí)訓(xùn)室 4 Vlan13 綜合樓（ 7 樓） 子網(wǎng)號(hào) 子網(wǎng)掩碼 Vlan 計(jì)算機(jī)實(shí)訓(xùn)室 1 Vlan14 計(jì)算機(jī)實(shí)訓(xùn)室 2 Vlan15 計(jì)算機(jī)實(shí)訓(xùn)室 3 Vlan16 計(jì)算機(jī)實(shí)訓(xùn)室 4 Vlan17 綜合樓（ 4 樓） 圖書管 Vlan18 綜合樓（ 8 樓、 9 樓） 子網(wǎng)號(hào) 子網(wǎng)掩碼 Vlan 計(jì)算機(jī)工程系辦公室 Vlan19 第 13 頁 校長室 Vlan20 網(wǎng)絡(luò)設(shè)備選型 （ 1） 核心層交換機(jī)選擇 核心交換機(jī)采用 模塊化三層交換機(jī)，配置 1 或 2 塊交換路由板， 1 個(gè)雙絞線業(yè)務(wù)板和若干塊光接口模塊業(yè)務(wù)板。對(duì)于模塊化三層交換機(jī)， 用戶可任意選擇不同數(shù)量、不同速率和不同接口類型 的模塊，以適應(yīng)千變?nèi)f化的網(wǎng)絡(luò)需求。而且 模塊化 交換機(jī)大都有很強(qiáng)的容錯(cuò)能力，支持交換模塊的冗余備份，并且往往擁有可熱插拔的雙電源，以保證交換機(jī)的電力供應(yīng)。 （ 2）匯聚層交換機(jī)選擇 區(qū)域 匯聚 層 交換機(jī)選擇具有安全控制能力和 QoS 保障能力，擁有較多 GBIC或 SFP 端口的三層固定配置交換機(jī)。 。 交換機(jī)支持萬兆上行，千兆下行，并且可以通過 IRF 技術(shù)實(shí)現(xiàn)無縫快速擴(kuò)展端口，真正實(shí)現(xiàn)按需購買，無縫擴(kuò)容。采用 IRF 技術(shù)組網(wǎng)后，能夠在整個(gè)堆疊組內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份，極大地增強(qiáng)了設(shè)備和網(wǎng)絡(luò)的可靠性，消除了單點(diǎn)故 障，避免了業(yè)務(wù)中斷。 在信息點(diǎn)密集的區(qū)域（如生活區(qū)），由于接入的計(jì)算機(jī)數(shù)量較大，而我們?yōu)榱吮苊鈴V播風(fēng)暴所造成的安全隱患，進(jìn)行了 VLAN 的劃分。一旦接入不同 VLAN的計(jì)算機(jī)之間要進(jìn)行通信，所有的交換數(shù)據(jù)都必須通過區(qū)域?qū)拥娜龑咏粨Q機(jī)。這樣可能對(duì)區(qū)域交換機(jī)造成了不少的壓力，對(duì)于設(shè)備的性能會(huì)有更高的要求。 （ 3）接入交換機(jī)選擇 接入 層 交換機(jī) 采用可網(wǎng)管 的 交換機(jī)，實(shí)現(xiàn)對(duì)每臺(tái)接入計(jì)算機(jī)的控制，實(shí)現(xiàn)VLAN、 PVLAN 的劃分，確保最大限度的網(wǎng)絡(luò)訪問安全。根據(jù)接入計(jì)算機(jī)的數(shù)量， 可以靈活的 選擇 24 口或 48 口 的 交換機(jī)。 （ 4）路 由器選擇 隨著信息化水平的不斷提高，各個(gè)聯(lián)網(wǎng)單位已經(jīng)從 “ 網(wǎng)絡(luò)互連 ” 走向 “ 整合優(yōu)化 ” 的階段。其中最顯著的一個(gè)轉(zhuǎn)變就是，為了進(jìn)一步提高效率或提升競爭優(yōu)勢，都廣泛開展各種網(wǎng)絡(luò)應(yīng)用、開始整合部分網(wǎng)絡(luò)業(yè)務(wù)。應(yīng)用的日趨廣泛，就必第 14 頁 須確保主網(wǎng)絡(luò)的暢通和不間斷運(yùn)行，以保證關(guān)鍵業(yè)務(wù)的正常運(yùn)營。當(dāng)前，網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大，復(fù)雜度隨之增加，數(shù)據(jù)轉(zhuǎn)發(fā)量也在急劇攀升，使得業(yè)務(wù)訪問中斷的不可控因素變多。內(nèi)網(wǎng)安全問題、 ISP 線路問題、遠(yuǎn)程訪問問題等等，都是業(yè)務(wù)順利開展的障礙 。 （ 6） 防火墻選擇 互聯(lián)網(wǎng)的快速發(fā)展，給人們帶來方便的同時(shí)， 遭受 惡意攻擊和病毒侵害 的事例也在 增加 ，這對(duì)網(wǎng)絡(luò)的安全提出更高的要求。 所以，必須選用網(wǎng)絡(luò)防火墻，關(guān)閉未被使用的 TCP/UDP 端口，以避免蠕蟲病毒和網(wǎng)絡(luò)木馬的入侵，保證網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)器的安全，防止重要和敏感數(shù)據(jù)的丟失。 防火墻支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用 ASPF（ Application Specific Packet Filter）應(yīng)用狀態(tài)檢測技術(shù)，可對(duì)連接狀態(tài)過程和異常命令進(jìn)行檢測；提供多種智能分析和管理手段，支持郵件告警，支 持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種 VPN 業(yè)務(wù)，如 L2TP VPN、 GRE VPN 、 IPSec VPN、動(dòng)態(tài) VPN 等；支持 RIP/OSPF/BGP/路由策略及策略路由；支持豐富的 QoS 特性，提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略。 交換模塊設(shè)計(jì) 核心層交換服務(wù) 核心層負(fù)責(zé)快速而可靠地傳輸大量數(shù)據(jù)。 為各 區(qū)域匯聚 層交換機(jī)提供高速接入， 負(fù)責(zé)完成網(wǎng)絡(luò)各匯聚節(jié)點(diǎn)之間的互聯(lián)，及完成高效的數(shù)據(jù)傳輸交換轉(zhuǎn)發(fā)及路由分發(fā)， 從而將 校園網(wǎng) 的網(wǎng)絡(luò)組建成一個(gè)擁有 萬 兆位帶寬的、高性 能的多層交換網(wǎng)絡(luò)。核心 層 采用冗余方案，任何一臺(tái)核心交換機(jī)、任何一條網(wǎng)絡(luò)鏈路故障，都不會(huì)影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)服務(wù)的提供，從而確保網(wǎng)絡(luò)的穩(wěn)定、高速和安全。 （ 1）路由冗余： 核心交換機(jī)是整個(gè)網(wǎng)絡(luò)的核心和心臟，如果發(fā)生致命性的故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，所造成的損失也是難以估計(jì)的。因此，對(duì)三層路由采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇。在一個(gè)三層路由完全不能工作的情第 15 頁 況下，它的全部功能便被系統(tǒng)中的另一個(gè)備份路由完全接管，直至出現(xiàn)問題的路由器恢復(fù)正常，這就是熱備份路由協(xié)議（ Hot Stand by Router Protocol） 。 （ 2）冗余鏈路：通過在核心層部署冗余鏈路，可確保發(fā)生故障時(shí)網(wǎng)絡(luò)設(shè)備能找到替代路徑來發(fā)送數(shù)據(jù)。核心層使用了第三層設(shè)備，則除備用外，這些冗余鏈路還可用于負(fù)載均衡。對(duì)于一個(gè)網(wǎng)絡(luò)的負(fù)載均衡，可以從網(wǎng)絡(luò)的不同層次入手，由于核心層的業(yè)務(wù)量分布比較高，所以在核心層可以采用傳輸鏈路聚合。 鏈路聚合技術(shù)為消除傳輸鏈路上的瓶頸與不安全因素提供了成本低廉的解決方案 。 （ 3）互聯(lián)拓?fù)洌壕W(wǎng)絡(luò)中的大多數(shù)核心層都采用全互聯(lián)或部分互聯(lián)拓?fù)?。在全互?lián)拓?fù)渲?，任何兩臺(tái)設(shè)備都直接相連。雖然全互聯(lián)拓?fù)渚哂腥嫒哂嗟膬?yōu)點(diǎn)，但難以 布線和管理且成本高昂。對(duì)于大型網(wǎng)絡(luò)，通常采用部分互聯(lián)拓?fù)?。在部分互?lián)拓?fù)渲?，每臺(tái)設(shè)備至少與其他兩臺(tái)設(shè)備相連，這提供了足夠的冗余，同時(shí)比全互聯(lián)拓?fù)浜唵巍? （ 4）安全機(jī)制：在控制平面，防止非法路由更新報(bào)文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，利用 SNMPv3 網(wǎng)管協(xié)議，提供基于 、 AAA/Radius 的用戶身份認(rèn)證以及分級(jí)的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持 IP、VLAN 、 MAC 和端口等多種組合精細(xì)綁定。 匯聚層交換服務(wù) 匯聚層是接入層和核心層之間的路由選擇邊界，也是遠(yuǎn)程站點(diǎn)和核心層 之間的連接點(diǎn)。主要提供了用戶的匯聚功能和服務(wù)質(zhì)量保證的功能。在匯聚層能夠真正做到通過識(shí)別用戶及應(yīng)用提供不同的服務(wù)質(zhì)量保證。 匯聚層的多層交換機(jī)提供了眾多功能，有助于實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)，同時(shí)減輕核心層設(shè)備的壓力。這些功能包括有：過濾和管理數(shù)據(jù)流；實(shí)施訪問控制策略；向核心層通告路由前對(duì)路由進(jìn)行匯總；防止接入層故障或中斷影響核心層；在接入層 VLAN 之間進(jìn)行路由選擇。匯聚層設(shè)備還用于在數(shù)據(jù)進(jìn)入園區(qū)核心層前管理隊(duì)列和確定數(shù)據(jù)流的優(yōu)先順序。 （ 1）匯聚層的路由選擇：匯聚層設(shè)備提供的三層路由功能，可以為二層上不同 VLAN 之 間進(jìn)行路由選擇；另一個(gè)重要功能是路由匯總，也叫路由聚合。路由匯總給網(wǎng)絡(luò)帶來了很多好處，其中包括：路由選擇表中的一條路由可代表眾第 16 頁 多其他路由，這縮小了路由選擇表；減少了網(wǎng)絡(luò)中的路由選擇更新數(shù)據(jù)流；降低了核心設(shè)備的開銷。 （ 2）匯聚層的交換：成對(duì)地部署多層交換機(jī)，并在它們之間平均地分配接入層交換機(jī)。這種配置稱為大樓交換塊。每個(gè)交換塊獨(dú)立運(yùn)行，這樣，單臺(tái)設(shè)備發(fā)生故障便不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，甚至整個(gè)交換塊出現(xiàn)故障也不會(huì)影響太多終端用戶。 （ 3）冗余鏈路：在 接入層計(jì)算機(jī)對(duì)網(wǎng)絡(luò)連接要求較高 的地方 ，應(yīng)當(dāng)采用冗余連接的方式， 即每臺(tái)接入層交換機(jī)都有 2 條鏈路連接至匯聚層交換機(jī)；當(dāng)其中一條鏈路發(fā)生故障后，另外一條鏈路將迅速被激活，從而保證了網(wǎng)絡(luò)鏈路的穩(wěn)定。 （ 4）匯聚層拓?fù)洌簠R聚層網(wǎng)絡(luò)通常采用部分互聯(lián)拓?fù)?，這種拓?fù)涮峁┝俗銐虻娜哂嗦窂剑纱_保鏈路或設(shè)備出現(xiàn)故障時(shí)網(wǎng)絡(luò)不會(huì)癱瘓。使用光纜連接匯聚層設(shè)備和核心層設(shè)備，這樣就必須確保有足夠的光纖端口提供所需的帶寬和冗余。 （ 5）限制故障域的大?。河捎诰W(wǎng)絡(luò)核心層故障影響很大，因此網(wǎng)絡(luò)設(shè)計(jì)人員通常把精力放在避免故障上，這極大地增加了部署網(wǎng)絡(luò)的成本。在層次型設(shè)計(jì)模型中，控制匯聚層故障域大小最容易， 成本通常也最低。在匯聚層中，可將網(wǎng)絡(luò)錯(cuò)誤限制在較小的區(qū)域內(nèi)，從而減少影響的用戶。在匯聚層使用三層交換設(shè)備時(shí)，每臺(tái)三層交換機(jī)都充當(dāng)網(wǎng)關(guān)，限制有限數(shù)量的接入層用戶。 接入層交換服務(wù) 接入層用于控制用戶對(duì)網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)設(shè)計(jì)人員必須讓接入層生成的數(shù)據(jù)流能夠方便地前往其他網(wǎng)段或其他層。如果設(shè)計(jì)不合理，接入層將很快被數(shù)據(jù)流淹沒，導(dǎo)致性能對(duì)最終用戶來說是無法接受的。 接入層使用帶有兩個(gè)或多個(gè) SFP 端口的千兆位端口的可網(wǎng)管交換機(jī)。實(shí)現(xiàn)與匯聚層 1000Mbps，與用戶 100Mbps 的高速連接。在接入層根據(jù)用戶 類型的不同劃分為不同的 VLAN；在公共場合，例如：實(shí)驗(yàn)室、圖書館、閱覽室等，部署具有接入控制功能的以太網(wǎng)交換機(jī)，劃分相應(yīng)的 VLAN。 （ 1）接入層堆疊設(shè)計(jì)：接入層網(wǎng)絡(luò)是純二層交換網(wǎng)絡(luò)，提供用戶的網(wǎng)絡(luò)接入。由于接入層設(shè)備需要部署在樓層，因此要求這些設(shè)備容易管理并且投資成本第 17 頁 少。 對(duì)于計(jì)算機(jī)機(jī)房、電子閱覽室、學(xué)生公寓等接入計(jì)算機(jī)數(shù)量很大的接入場所，應(yīng)當(dāng)采用可堆疊交換機(jī)，以提供大量的 100 Mbps 端口。接入交換機(jī)之間以高速堆疊模塊相互連接在一起，并借助 1000Mbps 鏈路實(shí)現(xiàn)與匯聚層交換機(jī)之間的連接。為了提高網(wǎng)絡(luò)穩(wěn) 定性和網(wǎng)絡(luò)帶寬，可以將 2~4 條千兆位鏈路綁定在一起借助鏈路匯聚技術(shù)實(shí)現(xiàn)鏈路冗余、負(fù)載均衡和帶寬倍增，以確保所有計(jì)算機(jī)都能夠無阻塞地實(shí)現(xiàn)與校園網(wǎng)絡(luò)的連接。 （ 2）接入層鏈路匯聚設(shè)計(jì)： 如果 接入層 所連接的計(jì)算機(jī)數(shù)量較多， 除了使用上面所說的 堆疊 技術(shù)之外 ， 還 可以使用鏈路匯聚的方式實(shí)現(xiàn)接入層交換機(jī)之間的高速連接，既增加了接入層交換機(jī)之間的互聯(lián)帶寬，又提高了連接的穩(wěn)定性。 （ 3）接入層級(jí)聯(lián)設(shè)計(jì)： 如果接入網(wǎng)絡(luò)的計(jì)算機(jī)數(shù)量較多，需要由多臺(tái)交換機(jī)才能滿足 用戶需求 時(shí)，也可以采用最簡單的級(jí)聯(lián)方式。當(dāng)然，如果接入層交換機(jī)擁有 1000Mbps 端口，那么采用級(jí)聯(lián)方式也可以實(shí)現(xiàn)接入層交換機(jī)之間的高速連接。 （ 4）接入層拓?fù)洌涸谛切屯負(fù)渲?，每臺(tái)終端設(shè)備都與一臺(tái)網(wǎng)絡(luò)設(shè)備直接相連，該網(wǎng)絡(luò)設(shè)備通常是第二層交換機(jī)。在接入層有線星型拓?fù)渲?，終端設(shè)備和交換機(jī)之間通常沒有冗余。但是可以將接入層的第二層交換設(shè)備互聯(lián)在一起，使接入層和匯聚層構(gòu)成一個(gè)環(huán)路，通過配置生成樹協(xié)議來保證網(wǎng)絡(luò)可靠運(yùn)行，當(dāng)網(wǎng)絡(luò)某一接入設(shè)備與匯聚設(shè)備之間的鏈路出現(xiàn)故障時(shí)，不至于陷入網(wǎng)絡(luò)癱瘓。 廣域網(wǎng)接入模塊設(shè)計(jì) 廣域網(wǎng)接入是為了校園內(nèi)是用戶方便使用 Inter 網(wǎng)絡(luò)上的資源。 由于Inter 通常采用 LAN 或城域網(wǎng)接入方式（光纖接入），而且 ISP 提供的合法 IP地址有限，因此，必須采用 NAT 方式實(shí)現(xiàn) IP 地址轉(zhuǎn)換，或者采用代理服務(wù)器實(shí)現(xiàn) Inter 連接共享。 而對(duì)與校園網(wǎng)的接入用戶眾多，如果采用代理服務(wù)器的話，網(wǎng)絡(luò)的性能將得不到保障。所以在這里我們使用 NAT 地址轉(zhuǎn)化方式 。 NAT 是對(duì) IP 分組報(bào)頭中的地址進(jìn)行操作的過程，它將 IP 報(bào)頭中的目的地址、源地址或這兩個(gè)地址替換為管理員分配的不同地址。 NAT 的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換 Static NAT、動(dòng)態(tài)轉(zhuǎn)換 Dynamic NAT 和 端口多路 復(fù)用 OverLoad。 第 18 頁 （ 1） 靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公有 IP 地址， IP 地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有 IP 地址只轉(zhuǎn)換為某個(gè)公有 IP 地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備 （ 如服務(wù)器 ） 的訪問。 （ 2） 動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公用 IP 地址時(shí)， IP 地址對(duì)是不確定的，而是隨機(jī)的，所有被授權(quán)訪問上 Inter 的私有 IP 地址可隨機(jī)轉(zhuǎn)換為任何指定的合法 IP 地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn) 行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng) ISP 提供的合法 IP 地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。 第三章 綜 合布線 綜合布線 綜合布線是一個(gè)能支持多種應(yīng)用系統(tǒng)的模塊化、靈活性極高的建筑物內(nèi)或建筑物之間的信息高速傳輸通道，其組成部件包括不同系列和規(guī)格的通信介質(zhì)、連接硬件（如配線架、連接器、適配器、插座和插頭）以及電氣保護(hù)設(shè)備等。一個(gè)設(shè)計(jì)良好的綜合布線對(duì)其服務(wù)的設(shè)備應(yīng)具有一定的獨(dú)立性，能互連多種不同應(yīng)用系統(tǒng)的設(shè)備，如模擬或數(shù)字式的公共系統(tǒng)設(shè)備，也能支持語