【正文】 將多達(dá)13臺交換機(jī)進(jìn)行堆疊。我們可以采用S2026C堆疊的方式，可實(shí)現(xiàn)300點(diǎn)以上的信息點(diǎn)的接入。同時，為了加速與網(wǎng)絡(luò)核心層的業(yè)務(wù)傳輸，它利用其固有的服務(wù)質(zhì)量（QoS）管理功能、線速轉(zhuǎn)發(fā)功能和一致的網(wǎng)絡(luò)管理的簡潔性，可在有限的預(yù)算范圍內(nèi)實(shí)現(xiàn)端到端的CISCO組網(wǎng)方案。 主干網(wǎng)絡(luò)可靠性考慮由于****大學(xué)占地面積大，考慮到網(wǎng)絡(luò)設(shè)備日常的管理維護(hù)不方便，因此規(guī)劃需充分考慮網(wǎng)絡(luò)的可靠性，主要包括：178。 在校區(qū)光纜布線時通過星型結(jié)構(gòu)＋環(huán)網(wǎng)結(jié)構(gòu)連接核心和匯聚節(jié)點(diǎn)，提供基于鏈路的可靠性；178。 核心及主匯聚設(shè)備選用相同品牌產(chǎn)品，核心層考慮配置兩臺核心交換機(jī)互為備份；178。 核心主節(jié)點(diǎn)設(shè)備選擇可靠性較高的產(chǎn)品，同時考慮一定模塊的冗余，同時采用ESRP或VRRP協(xié)議在匯聚層交換機(jī)上將各子網(wǎng)網(wǎng)關(guān)相互備份；各樓宇配線間接入設(shè)備通過一路千兆上聯(lián)到匯聚點(diǎn)設(shè)備上。遠(yuǎn)期也可根據(jù)應(yīng)用情況，接入設(shè)備采用雙路千兆線路上聯(lián)到不同的兩個匯聚點(diǎn)設(shè)備上，提高可靠性，避免由于匯聚層設(shè)備發(fā)生問題影響整個區(qū)域內(nèi)樓宇網(wǎng)絡(luò)的癱瘓。 INTERNET訪問設(shè)計隨著大學(xué)城的擴(kuò)建，網(wǎng)絡(luò)安全問題更顯得必要和突出。為保障****大學(xué)新校區(qū)網(wǎng)絡(luò)建設(shè)的安全，建議在新校區(qū)INTRANET設(shè)備中增添防火墻設(shè)備，以免遭來自INTERNET和大學(xué)城內(nèi)部的黑客攻擊。INTRANET接入設(shè)備的選型，建議統(tǒng)一采用CISCO設(shè)備，以提高可管理性并簡化網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜度。在外部網(wǎng)出口的地方配置一臺Cisco 3825路由器，具有2個10/100/1000M以太網(wǎng)口，其中1口連接內(nèi)部網(wǎng)，另1口提供Internet的接入。Cisco 3825路由器具有2個網(wǎng)絡(luò)模塊插槽，將來出口增加時，可再配置合適的模塊，提供該出口的連接。Cisco 3825是新型的路由器，其性能達(dá)到350Kpps的包轉(zhuǎn)發(fā)率。約等于150Mbps的處理能力。所以對于百兆的出口而言，Cisco 3825的處理能力完全能夠滿足數(shù)據(jù)包處理的需要。而且，Cisco 3825集成了入侵防護(hù)系統(tǒng)（Intrusion Prevention System，IPS）功能。相比傳統(tǒng)的入侵檢測系統(tǒng)IDS，絕大多數(shù) IDS 系統(tǒng)都是被動的，而不是主動性的，也就是說，在攻擊實(shí)際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報。入侵防護(hù)系統(tǒng)IPS則傾向于提供主動性的防護(hù)，其設(shè)計旨在預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動或可疑內(nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在 IPS 設(shè)備中被清除掉。在防火墻的選擇上，選用CISCO PIX535系列防火墻，提供兩個千兆接口分別接入到邊緣路由器和內(nèi)部交換設(shè)備，除向校園內(nèi)部用戶提供防護(hù)功能外，還可提供NAT服務(wù)，提供內(nèi)外網(wǎng)地址轉(zhuǎn)換功能。 路由協(xié)議設(shè)計作為大型園區(qū)網(wǎng)和大型廣域網(wǎng)的結(jié)合體，合理的選擇路由協(xié)議是網(wǎng)絡(luò)能否發(fā)揮最佳設(shè)計性能的關(guān)鍵。如果使用靜態(tài)路由，會帶來大量繁瑣的配置工作，且可能隨著網(wǎng)絡(luò)應(yīng)用情況的變化容易出現(xiàn)錯誤卻不易查出，管理成本相對較高。因此考慮動態(tài)路由協(xié)議，以方便網(wǎng)絡(luò)的管理，提高網(wǎng)管的綜合效率。動態(tài)路由協(xié)議應(yīng)具備下面基本特點(diǎn)：應(yīng)為國際標(biāo)準(zhǔn)的路由協(xié)議，考慮不同廠商設(shè)備間的互通；路由協(xié)議本身不應(yīng)對網(wǎng)絡(luò)帶寬產(chǎn)生大的負(fù)載；支持負(fù)載均衡，由于網(wǎng)絡(luò)拓?fù)淇紤]了多處的dualhoming，因此需要充分利用冗余的線路及端口；收斂時間短，在由于多種原因造成網(wǎng)絡(luò)實(shí)際連接拓?fù)浒l(fā)生變化時，在較短的時間里收斂生成穩(wěn)定的路由表；擴(kuò)展性強(qiáng)，可以適應(yīng)將來網(wǎng)絡(luò)的擴(kuò)展，做平滑的過渡。按照以上原則，我們使用國際標(biāo)準(zhǔn)OSPF路由協(xié)議，它具有以下特性：1．通過維護(hù)一個鏈路狀態(tài)數(shù)據(jù)庫，使用基于Dijkstra的SPF路由算法，實(shí)現(xiàn)快速收斂；2．使用Hello包來建立和維護(hù)路由器之間的鄰接關(guān)系；3．使用域(area)來建立兩個層次的網(wǎng)絡(luò)拓?fù)?，使網(wǎng)絡(luò)結(jié)構(gòu)層次分明，易于擴(kuò)展；4．具有域間路由聚合的能力，有效減少核心層路由設(shè)備的路由表項，提高工作效率；5．都是無類(classless)協(xié)議，支持靈活高效的IP地址劃分；6．通過選舉指派路由器（Designed Router）來代替網(wǎng)絡(luò)廣播，使路由協(xié)議本身對網(wǎng)絡(luò)帶寬的消耗很低；7．具有認(rèn)證的能力，防止路由欺騙；8．支持負(fù)載均衡路由的能力，充分利用冗余的帶寬。 無線接入設(shè)計****大學(xué)的網(wǎng)絡(luò)結(jié)構(gòu)中，在會議室，圖書館等場所網(wǎng)絡(luò)建設(shè)中，包含了無線網(wǎng)絡(luò)部分，提供了有線網(wǎng)絡(luò)良好的延伸和補(bǔ)充。****大學(xué)一直在為教職工和學(xué)生提供完善的數(shù)據(jù)服務(wù)。為了能實(shí)現(xiàn)讓學(xué)生們在課堂上和校園圖書館內(nèi)接入網(wǎng)絡(luò)的技術(shù)，我們的設(shè)計中采用了業(yè)界領(lǐng)先的Cisco Aironet系列無線設(shè)備。在具體的網(wǎng)絡(luò)環(huán)境搭建中，無線網(wǎng)的應(yīng)用不像傳統(tǒng)布線那樣明確和直觀，由于無線網(wǎng)應(yīng)用中存在種種不確定性，在無線接入點(diǎn)（AP）的分布和無線信號的強(qiáng)弱方面，必須經(jīng)過實(shí)驗才可以最終確定無線網(wǎng)的優(yōu)勢在于它的靈活性和方便性，可用來彌補(bǔ)有線局域網(wǎng)絡(luò)之不足，以達(dá)到網(wǎng)絡(luò)延伸之目的，下列情形可能須要無線局域網(wǎng)絡(luò)；u 無固定工作場所的使用者u 追求靈活和方便的休閑場所u 有線局域網(wǎng)絡(luò)架設(shè)受環(huán)境限制的場所u 作為有線局域網(wǎng)絡(luò)的備用系統(tǒng)無線數(shù)據(jù)解決方案通過接入設(shè)備體現(xiàn)其作用，接入設(shè)備通過以11Mbps的速度發(fā)送電磁波譜來傳送數(shù)據(jù)，覆蓋的范圍可達(dá)400500米（距離越遠(yuǎn)速度越慢，視具體環(huán)境而定）。規(guī)劃采用無線網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)師生在校園內(nèi)隨時、隨地的接入需要，擴(kuò)展網(wǎng)絡(luò)的使用范圍，特別在露天廣場、湖邊等環(huán)境優(yōu)美的休閑場所提供無線接入，同時可體現(xiàn)校區(qū)數(shù)字化校園網(wǎng)絡(luò)應(yīng)用的水平。組網(wǎng)拓?fù)鋱D如下所示：無線網(wǎng)絡(luò)拓?fù)鋱D有線網(wǎng)絡(luò)的規(guī)模較大、終端數(shù)量較多、對網(wǎng)絡(luò)傳輸要求高，如果將無線網(wǎng)絡(luò)加載在現(xiàn)有有線網(wǎng)絡(luò)之上會加重有線網(wǎng)絡(luò)負(fù)擔(dān)，因此綜合這些因素考慮，可以額外布一套有線網(wǎng)絡(luò)用以承載無線網(wǎng)絡(luò)，以緩解有線網(wǎng)絡(luò)的壓力。此外，考慮到本無線網(wǎng)絡(luò)規(guī)模大、覆蓋范圍廣、用戶數(shù)多的特點(diǎn)，對網(wǎng)絡(luò)性能和用戶認(rèn)證都提出了很高要求，如果將全無線網(wǎng)絡(luò)都劃到一個虛網(wǎng)內(nèi)，則會嚴(yán)重影響網(wǎng)絡(luò)性能，因此我司建議將全無線網(wǎng)絡(luò)根據(jù)無線網(wǎng)絡(luò)覆蓋的功能區(qū)域及用戶數(shù)劃分為幾個子網(wǎng)，每個無線子網(wǎng)分別由一臺無線網(wǎng)絡(luò)控制器AC2010（以下簡稱WNC AC2010）進(jìn)行控制，而在中心有一臺接入服務(wù)器OCAMAR Access Server（以下簡稱OCAMAR AS），負(fù)責(zé)為各無線子網(wǎng)提供用戶賬號的集中統(tǒng)一管理和計費(fèi)。另外考慮某大學(xué)整個校園的基本無盲點(diǎn)的覆蓋，為保證信號覆蓋全面又無信號間的干擾情況產(chǎn)生，我們在設(shè)計時采用了在室內(nèi)天饋系統(tǒng)，在室外才用大功率發(fā)射的方案，盡量減少AP的數(shù)量，增加天線擴(kuò)大無線接入點(diǎn)的覆蓋范圍。在無線接入點(diǎn)的選擇方面，選用54M AP作為整個校區(qū)的覆蓋。采用天饋系統(tǒng)的AP，選用Aironet1231GK9A，可拆換天線的AP；未用天饋系統(tǒng)的AP，選用Aironet 1120GK9A，來節(jié)省成本。設(shè)計指標(biāo)：各信號輸出點(diǎn)信號強(qiáng)度16－20dbm；～（FCC）分為channelchannelchannel11三個完全不干擾頻段設(shè)計；目標(biāo)覆蓋區(qū)域信號強(qiáng)度78dbm。 網(wǎng)絡(luò)管理網(wǎng)絡(luò)的可管理性是網(wǎng)絡(luò)的一個重要組成部分，尤其在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中,網(wǎng)絡(luò)管理就顯的更加重要。網(wǎng)絡(luò)管理一般分為五大部分：故障管理、配置管理、性能管理、安全管理和帳號管理。u 故障管理 檢測、隔離和修正網(wǎng)絡(luò)故障。u 配置管理 根據(jù)基準(zhǔn)線修改和跟蹤網(wǎng)絡(luò)設(shè)備的配置變化。它也提供跟蹤網(wǎng)絡(luò)設(shè)備操作系統(tǒng)版本的功能。u 帳號管理 指跟蹤網(wǎng)絡(luò)資源使用，并據(jù)此提供帳單服務(wù)。u 性能管理 指測量網(wǎng)絡(luò)行為和傳輸?shù)陌途W(wǎng)絡(luò)段的效率。性能管理包括協(xié)議、應(yīng)用服務(wù)和響應(yīng)時間等。u 安全管理 指保持和傳送論證、授權(quán)信息，如passpowrd和秘鑰等。通過使用審計、log等功能進(jìn)一步增加網(wǎng)絡(luò)的安全性。為了保證整個網(wǎng)絡(luò)安全、可靠、穩(wěn)定、高效的運(yùn)行，需要進(jìn)行嚴(yán)格、規(guī)范、科學(xué)的管理，主要需求如下：A、分布式監(jiān)控：在網(wǎng)絡(luò)中心建立監(jiān)控中心，負(fù)責(zé)收集所有網(wǎng)絡(luò)的運(yùn)行狀況，主機(jī)的運(yùn)行信息，主要包括：軟硬件信息、系統(tǒng)資源（內(nèi)存、硬盤等）的使用情況等，各類信息視其重要程度，收集的頻率也不同，一般為5分鐘至1小時，收集的包大小從5K至100K不等，由監(jiān)控的對象和內(nèi)容所決定；B、安全管理：對所有主機(jī)的關(guān)鍵資源進(jìn)行安全性設(shè)置，防止非法的訪問；C、用戶管理：對各主機(jī)上的用戶帳戶進(jìn)行統(tǒng)一管理；D、軟件分發(fā)：由分發(fā)服務(wù)器進(jìn)行系統(tǒng)軟件和應(yīng)用軟件的分發(fā)；E、遠(yuǎn)程控制：對上網(wǎng)終端進(jìn)行控制，要求可以監(jiān)控到各終端的屏幕狀況，但對網(wǎng)絡(luò)帶寬要求較高；F、網(wǎng)絡(luò)拓?fù)涔芾恚簩Ω鲉挝坏乃凶泳W(wǎng)能夠進(jìn)行直觀的管理，按照設(shè)備連接的邏輯關(guān)系對拓?fù)浣Y(jié)構(gòu)能夠進(jìn)行層次劃分，在各層拓?fù)浣Y(jié)構(gòu)圖中實(shí)時反映各類設(shè)備的連接狀態(tài)，為故障定位等功能的實(shí)現(xiàn)提供基礎(chǔ)；各設(shè)備的狀態(tài)刷新實(shí)時性要求較高，每次刷新時對網(wǎng)絡(luò)流量有一定的影響；G、故障報警與定位：網(wǎng)絡(luò)發(fā)生故障后要能在管理員窗口彈出報警窗，指示所發(fā)生的事件，為故障處理提供參考和依據(jù)，以更快地定位故障，及時處理。同時還能夠根據(jù)各關(guān)鍵結(jié)點(diǎn)的工作情況提示，及早做好故障的預(yù)防和預(yù)處理；H、設(shè)備配置管理：將網(wǎng)絡(luò)設(shè)備的配置管理集成在統(tǒng)一的管理界面中，在全局網(wǎng)絡(luò)拓?fù)鋱D中點(diǎn)擊網(wǎng)絡(luò)設(shè)備，能夠出現(xiàn)相應(yīng)的管理界面，在此管理界面中能夠進(jìn)行設(shè)備全部功能的配置，彌補(bǔ)先前管理方式的不足；I、網(wǎng)絡(luò)流量監(jiān)測：能夠監(jiān)測網(wǎng)絡(luò)之間特別是廣域網(wǎng)之間的流量，監(jiān)控網(wǎng)絡(luò)的繁忙程度，對網(wǎng)絡(luò)帶寬的利用率進(jìn)行分析，能及時掌握網(wǎng)絡(luò)的瓶頸所在，為網(wǎng)絡(luò)通道的調(diào)整和擴(kuò)充提供可靠數(shù)據(jù)。網(wǎng)絡(luò)管理軟件采用Cisco Works2000網(wǎng)絡(luò)管理軟件來實(shí)現(xiàn)統(tǒng)一的管理。網(wǎng)管軟件CISCO WORKS 2000是一系列基于SNMP的互連網(wǎng)絡(luò)管理軟件應(yīng)用程序，能夠為網(wǎng)管員提供一系列強(qiáng)大的功能，如清晰的了解網(wǎng)絡(luò)狀況、及時發(fā)現(xiàn)網(wǎng)絡(luò)故障、方便的遠(yuǎn)程處理設(shè)備故障、遠(yuǎn)程設(shè)備版本升級等。CiscoWorks2000中包含Campus 、 Cisco 、 Content Flow Monitor 、Resoure Manager 、 TafficDierctor等五個應(yīng)用軟件包。整個網(wǎng)絡(luò)從網(wǎng)絡(luò)中心的核心交換機(jī)到主干節(jié)點(diǎn)交換機(jī)，到中心路由器、邊界路由器、訪問服務(wù)器，都是采用CISCO公司的配套產(chǎn)品，使整個網(wǎng)絡(luò)具有完整的一致性，統(tǒng)一的網(wǎng)絡(luò)管理和統(tǒng)一的流量控制。 安全性設(shè)計隨著網(wǎng)絡(luò)的應(yīng)用日益普及，網(wǎng)絡(luò)用戶越來越多，網(wǎng)絡(luò)的安全性成為了所有網(wǎng)絡(luò)服務(wù)的提供者最關(guān)心的問題之一。網(wǎng)絡(luò)系統(tǒng)中的安全性問題包括網(wǎng)絡(luò)中信息系統(tǒng)的安全性和網(wǎng)絡(luò)本身固有的安全性。保證系統(tǒng)的安全性要從管理和技術(shù)角度同時考慮，通過制定不同的安全策略來達(dá)到特定的安全要求。網(wǎng)絡(luò)的安全策略在實(shí)現(xiàn)時主要針對兩種情況，一種是網(wǎng)絡(luò)系統(tǒng)自身的安全問題，如路由器的安全隱患、匿名FTP的安全隱患、TELNET的安全隱患等，可以通過對各種關(guān)鍵系統(tǒng)設(shè)備的加以控制來消除；另一種是給用戶提供的各種服務(wù)是否安全，主要體現(xiàn)在網(wǎng)絡(luò)應(yīng)用上，如用戶的數(shù)據(jù)或信息在網(wǎng)絡(luò)傳遞過程中的安全控制。其中網(wǎng)絡(luò)系統(tǒng)自身的安全程度將直接影響到整個系統(tǒng)的可用性和穩(wěn)定性，它是系統(tǒng)安全的基礎(chǔ)。一個系統(tǒng)存在的安全問題可能主要來源于兩方面：或者是安全控制機(jī)構(gòu)有故障；或者是系統(tǒng)安全定義有缺陷。前者是一個軟件可靠性問題，可以用優(yōu)秀的軟件設(shè)計技術(shù)配合特殊的安全方針加以克服；而后者則需要精確描述安全系統(tǒng)。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系應(yīng)包含：訪問控制通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前檢查安全漏洞通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效攻擊監(jiān)控通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時檢測出絕大多數(shù)攻擊，并采取響應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）加密通訊主動的加密通訊，可使攻擊者不能了解、修改敏感信息認(rèn)證良好的認(rèn)證體系可防止攻擊者假冒合法用戶備份和恢復(fù)良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)多層防御攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)設(shè)立安全監(jiān)控中心為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù) 本地主機(jī)系統(tǒng)的安全考慮計算機(jī)病毒是伴隨著計算機(jī)而產(chǎn)生的，它同時隨著計算機(jī)技術(shù)的發(fā)展而發(fā)展，在網(wǎng)絡(luò)環(huán)境中，計算機(jī)病毒更易于傳播，其對系統(tǒng)的危害也是明顯的，在實(shí)驗室管理網(wǎng)建設(shè)中，由于該網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)完全隔離，而且主要運(yùn)行辦公網(wǎng)內(nèi)部的公文流轉(zhuǎn)、文件交換、信息共享，辦公自動化等，其危害主要來源于內(nèi)部用戶。因此，在實(shí)驗室管理網(wǎng)中對計算機(jī)的保護(hù)主要在于安全規(guī)范管理。比如，不允許使用外來軟盤、U盤等移動存儲介質(zhì)，防止受病毒感染的移動介質(zhì)影響該終端，從而傳播給其他終端。我們建議采用網(wǎng)絡(luò)與單機(jī)相結(jié)合的方式來避免計算機(jī)病毒的危害。一方面采用網(wǎng)絡(luò)防病毒軟件保護(hù)服務(wù)器，同時實(shí)現(xiàn)對網(wǎng)絡(luò)病毒的監(jiān)控、報警和實(shí)時清除；另一方面也要定期對工作站用單機(jī)的防病毒軟件進(jìn)行殺病毒。對防病毒軟件統(tǒng)一管理，及時升級，確保系統(tǒng)沒有病毒的危害。 內(nèi)部網(wǎng)安全控制VLAN技術(shù)通過VLAN的劃分，利用中心交換機(jī)上高性能路由模塊的管理和控制，可以控制內(nèi)部各VLAN間的訪問，例如VLAN中的某個IP地址只允許訪問該VLAN內(nèi)部的資源，或某個VLAN只允許其它VLAN的用戶以HTTP或FTP等方式對它進(jìn)行訪問等，這樣就可以有效的限制VLAN間訪問的范圍和權(quán)限。方案中所選交換機(jī)均支持虛網(wǎng)功能，可將相同職能的辦公室及信息點(diǎn)化并為同一個VLAN，通過IEEE ，可以實(shí)現(xiàn)跨交換機(jī)的VLAN設(shè)置，因此VLAN的設(shè)置不會受到地理位置的限制。中心配置Catalyst6509以線速交換VLAN信息，消除以往在路由處理上的瓶頸，提高了網(wǎng)絡(luò)效率。MAC地址的過濾對于重要的網(wǎng)段何部門，其接入交換機(jī)上可以考慮通過MAC過濾方式對接入