【文章內(nèi)容簡介】 VLAN 用于將數(shù)據(jù)流分類和分離以及控制單個配線間和大樓內(nèi)的廣播數(shù)據(jù)流。 綜合樓各部門及樓層間 vlan 的劃分： 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 Vlan100 綜合樓（ 2 樓） 子網(wǎng)號 子網(wǎng)掩碼 Vlan 總務(wù)處 Vlan2 第 12 頁 學(xué)生處 Vlan3 教務(wù)處 Vlan4 財務(wù)處 Vlan5 綜合樓（ 5 樓） 子網(wǎng)號 子網(wǎng)掩碼 Vlan 計算機實訓(xùn)室 1 Vlan6 計算機實訓(xùn)室 2 Vlan7 計算機實訓(xùn)室 3 Vlan8 計算機實訓(xùn)室 4 Vlan9 綜合樓（ 6 樓） 子網(wǎng)號 子網(wǎng)掩碼 Vlan 計算機實訓(xùn)室 1 Vlan10 計算機實訓(xùn)室 2 Vlan11 計算機實訓(xùn)室 3 Vlan12 計算機實訓(xùn)室 4 Vlan13 綜合樓（ 7 樓） 子網(wǎng)號 子網(wǎng)掩碼 Vlan 計算機實訓(xùn)室 1 Vlan14 計算機實訓(xùn)室 2 Vlan15 計算機實訓(xùn)室 3 Vlan16 計算機實訓(xùn)室 4 Vlan17 綜合樓（ 4 樓） 圖書管 Vlan18 綜合樓（ 8 樓、 9 樓） 子網(wǎng)號 子網(wǎng)掩碼 Vlan 計算機工程系辦公室 Vlan19 第 13 頁 校長室 Vlan20 網(wǎng)絡(luò)設(shè)備選型 （ 1） 核心層交換機選擇 核心交換機采用 模塊化三層交換機，配置 1 或 2 塊交換路由板， 1 個雙絞線業(yè)務(wù)板和若干塊光接口模塊業(yè)務(wù)板。對于模塊化三層交換機， 用戶可任意選擇不同數(shù)量、不同速率和不同接口類型 的模塊，以適應(yīng)千變?nèi)f化的網(wǎng)絡(luò)需求。而且 模塊化 交換機大都有很強的容錯能力，支持交換模塊的冗余備份，并且往往擁有可熱插拔的雙電源，以保證交換機的電力供應(yīng)。 （ 2）匯聚層交換機選擇 區(qū)域 匯聚 層 交換機選擇具有安全控制能力和 QoS 保障能力，擁有較多 GBIC或 SFP 端口的三層固定配置交換機。 。 交換機支持萬兆上行，千兆下行，并且可以通過 IRF 技術(shù)實現(xiàn)無縫快速擴展端口，真正實現(xiàn)按需購買，無縫擴容。采用 IRF 技術(shù)組網(wǎng)后，能夠在整個堆疊組內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份，極大地增強了設(shè)備和網(wǎng)絡(luò)的可靠性，消除了單點故 障，避免了業(yè)務(wù)中斷。 在信息點密集的區(qū)域（如生活區(qū)），由于接入的計算機數(shù)量較大，而我們?yōu)榱吮苊鈴V播風(fēng)暴所造成的安全隱患，進(jìn)行了 VLAN 的劃分。一旦接入不同 VLAN的計算機之間要進(jìn)行通信，所有的交換數(shù)據(jù)都必須通過區(qū)域?qū)拥娜龑咏粨Q機。這樣可能對區(qū)域交換機造成了不少的壓力，對于設(shè)備的性能會有更高的要求。 （ 3）接入交換機選擇 接入 層 交換機 采用可網(wǎng)管 的 交換機，實現(xiàn)對每臺接入計算機的控制，實現(xiàn)VLAN、 PVLAN 的劃分，確保最大限度的網(wǎng)絡(luò)訪問安全。根據(jù)接入計算機的數(shù)量， 可以靈活的 選擇 24 口或 48 口 的 交換機。 （ 4）路 由器選擇 隨著信息化水平的不斷提高，各個聯(lián)網(wǎng)單位已經(jīng)從 “ 網(wǎng)絡(luò)互連 ” 走向 “ 整合優(yōu)化 ” 的階段。其中最顯著的一個轉(zhuǎn)變就是，為了進(jìn)一步提高效率或提升競爭優(yōu)勢，都廣泛開展各種網(wǎng)絡(luò)應(yīng)用、開始整合部分網(wǎng)絡(luò)業(yè)務(wù)。應(yīng)用的日趨廣泛，就必第 14 頁 須確保主網(wǎng)絡(luò)的暢通和不間斷運行，以保證關(guān)鍵業(yè)務(wù)的正常運營。當(dāng)前，網(wǎng)絡(luò)的規(guī)模不斷擴大，復(fù)雜度隨之增加，數(shù)據(jù)轉(zhuǎn)發(fā)量也在急劇攀升，使得業(yè)務(wù)訪問中斷的不可控因素變多。內(nèi)網(wǎng)安全問題、 ISP 線路問題、遠(yuǎn)程訪問問題等等，都是業(yè)務(wù)順利開展的障礙 。 （ 6） 防火墻選擇 互聯(lián)網(wǎng)的快速發(fā)展，給人們帶來方便的同時， 遭受 惡意攻擊和病毒侵害 的事例也在 增加 ，這對網(wǎng)絡(luò)的安全提出更高的要求。 所以，必須選用網(wǎng)絡(luò)防火墻，關(guān)閉未被使用的 TCP/UDP 端口，以避免蠕蟲病毒和網(wǎng)絡(luò)木馬的入侵，保證網(wǎng)絡(luò)內(nèi)部計算機和網(wǎng)絡(luò)服務(wù)器的安全，防止重要和敏感數(shù)據(jù)的丟失。 防火墻支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用 ASPF（ Application Specific Packet Filter）應(yīng)用狀態(tài)檢測技術(shù)，可對連接狀態(tài)過程和異常命令進(jìn)行檢測；提供多種智能分析和管理手段，支持郵件告警，支 持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種 VPN 業(yè)務(wù)，如 L2TP VPN、 GRE VPN 、 IPSec VPN、動態(tài) VPN 等；支持 RIP/OSPF/BGP/路由策略及策略路由；支持豐富的 QoS 特性，提供流量監(jiān)管、流量整形及多種隊列調(diào)度策略。 交換模塊設(shè)計 核心層交換服務(wù) 核心層負(fù)責(zé)快速而可靠地傳輸大量數(shù)據(jù)。 為各 區(qū)域匯聚 層交換機提供高速接入， 負(fù)責(zé)完成網(wǎng)絡(luò)各匯聚節(jié)點之間的互聯(lián)，及完成高效的數(shù)據(jù)傳輸交換轉(zhuǎn)發(fā)及路由分發(fā)， 從而將 校園網(wǎng) 的網(wǎng)絡(luò)組建成一個擁有 萬 兆位帶寬的、高性 能的多層交換網(wǎng)絡(luò)。核心 層 采用冗余方案，任何一臺核心交換機、任何一條網(wǎng)絡(luò)鏈路故障，都不會影響整個網(wǎng)絡(luò)的正常運行和網(wǎng)絡(luò)服務(wù)的提供，從而確保網(wǎng)絡(luò)的穩(wěn)定、高速和安全。 （ 1）路由冗余： 核心交換機是整個網(wǎng)絡(luò)的核心和心臟，如果發(fā)生致命性的故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，所造成的損失也是難以估計的。因此，對三層路由采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇。在一個三層路由完全不能工作的情第 15 頁 況下，它的全部功能便被系統(tǒng)中的另一個備份路由完全接管，直至出現(xiàn)問題的路由器恢復(fù)正常，這就是熱備份路由協(xié)議（ Hot Stand by Router Protocol） 。 （ 2）冗余鏈路：通過在核心層部署冗余鏈路，可確保發(fā)生故障時網(wǎng)絡(luò)設(shè)備能找到替代路徑來發(fā)送數(shù)據(jù)。核心層使用了第三層設(shè)備，則除備用外，這些冗余鏈路還可用于負(fù)載均衡。對于一個網(wǎng)絡(luò)的負(fù)載均衡，可以從網(wǎng)絡(luò)的不同層次入手，由于核心層的業(yè)務(wù)量分布比較高，所以在核心層可以采用傳輸鏈路聚合。 鏈路聚合技術(shù)為消除傳輸鏈路上的瓶頸與不安全因素提供了成本低廉的解決方案 。 （ 3）互聯(lián)拓?fù)洌壕W(wǎng)絡(luò)中的大多數(shù)核心層都采用全互聯(lián)或部分互聯(lián)拓?fù)?。在全互?lián)拓?fù)渲?，任何兩臺設(shè)備都直接相連。雖然全互聯(lián)拓?fù)渚哂腥嫒哂嗟膬?yōu)點，但難以 布線和管理且成本高昂。對于大型網(wǎng)絡(luò)，通常采用部分互聯(lián)拓?fù)洹Ｔ诓糠只ヂ?lián)拓?fù)渲?，每臺設(shè)備至少與其他兩臺設(shè)備相連，這提供了足夠的冗余，同時比全互聯(lián)拓?fù)浜唵巍? （ 4）安全機制：在控制平面，防止非法路由更新報文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，利用 SNMPv3 網(wǎng)管協(xié)議，提供基于 、 AAA/Radius 的用戶身份認(rèn)證以及分級的用戶權(quán)限管理保證了設(shè)備管理的安全性；在轉(zhuǎn)發(fā)平面，支持 IP、VLAN 、 MAC 和端口等多種組合精細(xì)綁定。 匯聚層交換服務(wù) 匯聚層是接入層和核心層之間的路由選擇邊界，也是遠(yuǎn)程站點和核心層 之間的連接點。主要提供了用戶的匯聚功能和服務(wù)質(zhì)量保證的功能。在匯聚層能夠真正做到通過識別用戶及應(yīng)用提供不同的服務(wù)質(zhì)量保證。 匯聚層的多層交換機提供了眾多功能，有助于實現(xiàn)網(wǎng)絡(luò)設(shè)計目標(biāo)，同時減輕核心層設(shè)備的壓力。這些功能包括有：過濾和管理數(shù)據(jù)流；實施訪問控制策略；向核心層通告路由前對路由進(jìn)行匯總；防止接入層故障或中斷影響核心層；在接入層 VLAN 之間進(jìn)行路由選擇。匯聚層設(shè)備還用于在數(shù)據(jù)進(jìn)入園區(qū)核心層前管理隊列和確定數(shù)據(jù)流的優(yōu)先順序。 （ 1）匯聚層的路由選擇：匯聚層設(shè)備提供的三層路由功能，可以為二層上不同 VLAN 之 間進(jìn)行路由選擇；另一個重要功能是路由匯總，也叫路由聚合。路由匯總給網(wǎng)絡(luò)帶來了很多好處，其中包括：路由選擇表中的一條路由可代表眾第 16 頁 多其他路由，這縮小了路由選擇表；減少了網(wǎng)絡(luò)中的路由選擇更新數(shù)據(jù)流；降低了核心設(shè)備的開銷。 （ 2）匯聚層的交換：成對地部署多層交換機，并在它們之間平均地分配接入層交換機。這種配置稱為大樓交換塊。每個交換塊獨立運行，這樣，單臺設(shè)備發(fā)生故障便不會導(dǎo)致整個網(wǎng)絡(luò)癱瘓，甚至整個交換塊出現(xiàn)故障也不會影響太多終端用戶。 （ 3）冗余鏈路：在 接入層計算機對網(wǎng)絡(luò)連接要求較高 的地方 ，應(yīng)當(dāng)采用冗余連接的方式， 即每臺接入層交換機都有 2 條鏈路連接至匯聚層交換機；當(dāng)其中一條鏈路發(fā)生故障后，另外一條鏈路將迅速被激活，從而保證了網(wǎng)絡(luò)鏈路的穩(wěn)定。 （ 4）匯聚層拓?fù)洌簠R聚層網(wǎng)絡(luò)通常采用部分互聯(lián)拓?fù)?，這種拓?fù)涮峁┝俗銐虻娜哂嗦窂剑纱_保鏈路或設(shè)備出現(xiàn)故障時網(wǎng)絡(luò)不會癱瘓。使用光纜連接匯聚層設(shè)備和核心層設(shè)備，這樣就必須確保有足夠的光纖端口提供所需的帶寬和冗余。 （ 5）限制故障域的大?。河捎诰W(wǎng)絡(luò)核心層故障影響很大，因此網(wǎng)絡(luò)設(shè)計人員通常把精力放在避免故障上，這極大地增加了部署網(wǎng)絡(luò)的成本。在層次型設(shè)計模型中，控制匯聚層故障域大小最容易， 成本通常也最低。在匯聚層中，可將網(wǎng)絡(luò)錯誤限制在較小的區(qū)域內(nèi)，從而減少影響的用戶。在匯聚層使用三層交換設(shè)備時，每臺三層交換機都充當(dāng)網(wǎng)關(guān)，限制有限數(shù)量的接入層用戶。 接入層交換服務(wù) 接入層用于控制用戶對網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)設(shè)計人員必須讓接入層生成的數(shù)據(jù)流能夠方便地前往其他網(wǎng)段或其他層。如果設(shè)計不合理，接入層將很快被數(shù)據(jù)流淹沒，導(dǎo)致性能對最終用戶來說是無法接受的。 接入層使用帶有兩個或多個 SFP 端口的千兆位端口的可網(wǎng)管交換機。實現(xiàn)與匯聚層 1000Mbps，與用戶 100Mbps 的高速連接。在接入層根據(jù)用戶 類型的不同劃分為不同的 VLAN；在公共場合，例如：實驗室、圖書館、閱覽室等，部署具有接入控制功能的以太網(wǎng)交換機，劃分相應(yīng)的 VLAN。 （ 1）接入層堆疊設(shè)計：接入層網(wǎng)絡(luò)是純二層交換網(wǎng)絡(luò)，提供用戶的網(wǎng)絡(luò)接入。由于接入層設(shè)備需要部署在樓層，因此要求這些設(shè)備容易管理并且投資成本第 17 頁 少。 對于計算機機房、電子閱覽室、學(xué)生公寓等接入計算機數(shù)量很大的接入場所，應(yīng)當(dāng)采用可堆疊交換機，以提供大量的 100 Mbps 端口。接入交換機之間以高速堆疊模塊相互連接在一起，并借助 1000Mbps 鏈路實現(xiàn)與匯聚層交換機之間的連接。為了提高網(wǎng)絡(luò)穩(wěn) 定性和網(wǎng)絡(luò)帶寬，可以將 2~4 條千兆位鏈路綁定在一起借助鏈路匯聚技術(shù)實現(xiàn)鏈路冗余、負(fù)載均衡和帶寬倍增，以確保所有計算機都能夠無阻塞地實現(xiàn)與校園網(wǎng)絡(luò)的連接。 （ 2）接入層鏈路匯聚設(shè)計： 如果 接入層 所連接的計算機數(shù)量較多， 除了使用上面所說的 堆疊 技術(shù)之外 ， 還 可以使用鏈路匯聚的方式實現(xiàn)接入層交換機之間的高速連接，既增加了接入層交換機之間的互聯(lián)帶寬，又提高了連接的穩(wěn)定性。 （ 3）接入層級聯(lián)設(shè)計： 如果接入網(wǎng)絡(luò)的計算機數(shù)量較多，需要由多臺交換機才能滿足 用戶需求 時，也可以采用最簡單的級聯(lián)方式。當(dāng)然，如果接入層交換機擁有 1000Mbps 端口，那么采用級聯(lián)方式也可以實現(xiàn)接入層交換機之間的高速連接。 （ 4）接入層拓?fù)洌涸谛切屯負(fù)渲校颗_終端設(shè)備都與一臺網(wǎng)絡(luò)設(shè)備直接相連，該網(wǎng)絡(luò)設(shè)備通常是第二層交換機。在接入層有線星型拓?fù)渲?，終端設(shè)備和交換機之間通常沒有冗余。但是可以將接入層的第二層交換設(shè)備互聯(lián)在一起，使接入層和匯聚層構(gòu)成一個環(huán)路，通過配置生成樹協(xié)議來保證網(wǎng)絡(luò)可靠運行，當(dāng)網(wǎng)絡(luò)某一接入設(shè)備與匯聚設(shè)備之間的鏈路出現(xiàn)故障時，不至于陷入網(wǎng)絡(luò)癱瘓。 廣域網(wǎng)接入模塊設(shè)計 廣域網(wǎng)接入是為了校園內(nèi)是用戶方便使用 Inter 網(wǎng)絡(luò)上的資源。 由于Inter 通常采用 LAN 或城域網(wǎng)接入方式（光纖接入），而且 ISP 提供的合法 IP地址有限，因此，必須采用 NAT 方式實現(xiàn) IP 地址轉(zhuǎn)換，或者采用代理服務(wù)器實現(xiàn) Inter 連接共享。 而對與校園網(wǎng)的接入用戶眾多，如果采用代理服務(wù)器的話，網(wǎng)絡(luò)的性能將得不到保障。所以在這里我們使用 NAT 地址轉(zhuǎn)化方式 。 NAT 是對 IP 分組報頭中的地址進(jìn)行操作的過程，它將 IP 報頭中的目的地址、源地址或這兩個地址替換為管理員分配的不同地址。 NAT 的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換 Static NAT、動態(tài)轉(zhuǎn)換 Dynamic NAT 和 端口多路 復(fù)用 OverLoad。 第 18 頁 （ 1） 靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公有 IP 地址， IP 地址對是一對一的，是一成不變的，某個私有 IP 地址只轉(zhuǎn)換為某個公有 IP 地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備 （ 如服務(wù)器 ） 的訪問。 （ 2） 動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公用 IP 地址時， IP 地址對是不確定的，而是隨機的，所有被授權(quán)訪問上 Inter 的私有 IP 地址可隨機轉(zhuǎn)換為任何指定的合法 IP 地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進(jìn) 行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當(dāng) ISP 提供的合法 IP 地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。 第三章 綜 合布線 綜合布線 綜合布線是一個能支持多種應(yīng)用系統(tǒng)的模塊化、靈活性極高的建筑物內(nèi)或建筑物之間的信息高速傳輸通道，其組成部件包括不同系列和規(guī)格的通信介質(zhì)、連接硬件（如配線架、連接器、適配器、插座和插頭）以及電氣保護(hù)設(shè)備等。一個設(shè)計良好的綜合布線對其服務(wù)的設(shè)備應(yīng)具有一定的獨立性，能互連多種不同應(yīng)用系統(tǒng)的設(shè)備，如模擬或數(shù)字式的公共系統(tǒng)設(shè)備，也能支持語