【正文】 流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性，并可以根據(jù)網(wǎng)絡(luò)的實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入和使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)資源，充分保障了網(wǎng)絡(luò)高效安全、網(wǎng)絡(luò)合理化使用和運(yùn)營(yíng)。RGS2924G 特有的 CPU 保護(hù)控制機(jī)制，對(duì)發(fā)送到 CPU 的數(shù)據(jù)進(jìn)行帶寬控制，以避免非法者對(duì) CPU 的惡意攻擊，充分保障了交換機(jī)的安全。RGS2924G 為方便不同管理員的使用習(xí)慣，提供了多種形式的管理工具，如 SNMP、Tel、Web 和 Console 口等。RGS2924G 以極高的性價(jià)比為各類型網(wǎng)絡(luò)提供完善的端到端的 QoS 服務(wù)質(zhì)量、靈活豐富的安全策略管理和基于策略的網(wǎng)管，最大化滿足高速、高效、安全、智能的企業(yè)網(wǎng)新需求。支持生成樹(shù)協(xié)議 、完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率。 網(wǎng)絡(luò)出口設(shè)計(jì)校園網(wǎng)出口，作為唯一連接外界網(wǎng)絡(luò)的平臺(tái)，是校園網(wǎng)與外界溝通交流的窗口，承載了各類與教學(xué)、科研、辦公、生活息息相關(guān)的應(yīng)用；出口平臺(tái)對(duì)各應(yīng)用的承載能力，將對(duì)高校的教學(xué)、科研、辦公、生活產(chǎn)生直接和間接的影響。銳捷網(wǎng)絡(luò)高校校園網(wǎng)出口解決方案，充分考慮網(wǎng)絡(luò)出口承載的多種業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)的要求，形成了包含外網(wǎng)連接層、安全防護(hù)層、應(yīng)用控制層、VPN 接入層、日志管理層在內(nèi)的針對(duì)性出口網(wǎng)絡(luò)解決方案。XX 大學(xué)應(yīng)用銳捷網(wǎng)絡(luò)高校校園網(wǎng)出口解決方案，在安全防護(hù)層部署 1 臺(tái)19 / 58RGWALL1000、應(yīng)用控制層部署 1 臺(tái) RGACE 3000 完成出口網(wǎng)絡(luò)的應(yīng)用流量控制，而 RSR08 承擔(dān)多出口負(fù)載均衡。這樣的出口設(shè)計(jì)將實(shí)現(xiàn)了多出口的合理使用，有效抵御 DDoS 攻擊，實(shí)現(xiàn)病毒、木馬以及異常流量的阻斷。為了以后擴(kuò)展的需要，所以采用了 RGWALL1000。RGWALL1000 采用銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的分類算法（Classification Algorithm）設(shè)計(jì)的新一代安全產(chǎn)品——第三類防火墻，支持?jǐn)U展的狀態(tài)檢測(cè)（Stateful Inspection）技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時(shí)在啟用動(dòng)態(tài)端口應(yīng)用程序(如 VoIP, H323 等)時(shí)，可提供強(qiáng)有力的安全信道。采用銳捷獨(dú)創(chuàng)的分類算法使得 RGWALL 產(chǎn)品的高速性能不受策略數(shù)和會(huì)話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會(huì)影響網(wǎng)絡(luò)速度；同時(shí)，RGWALL 在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會(huì)成為網(wǎng)絡(luò)流量的瓶頸。另外，RGWALL 具有入侵監(jiān)測(cè)功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測(cè)功能不會(huì)影響防火墻的性能。RGWALL 的主要功能包括：擴(kuò)展的狀態(tài)檢測(cè)功能、防范入侵及其它（如 URL 過(guò)濾、HTTP 透明代理、SMTP 代理、分離DNS、NAT 功能和審計(jì)/報(bào)告等）附加功能。RGACE 3000 可有效識(shí)別包括 Web 迅雷在的多種應(yīng)用層協(xié)議，可實(shí)現(xiàn)基于用戶的應(yīng)用帶寬限制及數(shù)據(jù)統(tǒng)計(jì)，使得各種關(guān)鍵應(yīng)用的帶寬得到充分的保障。銳捷 RSR08 路由器是高性能、通用的骨干匯聚路由器，具有高背板帶寬、高包轉(zhuǎn)發(fā)率、結(jié)構(gòu)緊湊、端口密度高等特點(diǎn)，并能提供全范圍的光纖和銅纜接口。RSR08 路由器具有強(qiáng)大的業(yè)務(wù)能力，可以滿足目前所有的城域匯聚和接入需求，提供多協(xié)議標(biāo)準(zhǔn)交換 (MPLS)第 2 或 3 層隧道技術(shù)、動(dòng)態(tài)帶寬控制和面向連接的數(shù)據(jù)收集體系。作為多協(xié)議標(biāo)記（MPLS）PE 路由器，他們使提供商的基于 MPLS 的業(yè)務(wù)具有高度的可擴(kuò)展性和可靠性。通過(guò)使用 VPLS，可以利用原有網(wǎng)絡(luò)和以太網(wǎng)基礎(chǔ)設(shè)施提供 VOIP、互聯(lián)網(wǎng)接入、視頻以及多點(diǎn)虛擬專用網(wǎng)（VPN）等融合業(yè)務(wù)。銳捷 RSR08 路由器支持包括 TDM、POS、ATM 和千兆位以太網(wǎng)，速率高達(dá)OC 48。部署在各種應(yīng)用中，RSR08 路由器可用于搭建骨干匯聚路由器和核心層網(wǎng)絡(luò)，為用戶提供綜合的、高性能、功能強(qiáng)大的服務(wù), 并提供高可用性網(wǎng)絡(luò)所需的冗余支持。20 / 58 VLAN 劃分根據(jù)校園網(wǎng)的實(shí)際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個(gè)邏輯子網(wǎng)內(nèi)。網(wǎng)絡(luò)站點(diǎn)的增減，人員的變動(dòng)，無(wú)論從網(wǎng)絡(luò)管理，還是用戶的角度來(lái)講，都需要虛擬網(wǎng)技術(shù)的支持。因此在校園網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN 的劃分是非常重要的部分，很好的利用 VLAN 技術(shù)的功能，能起到事半功倍的效果，對(duì)整個(gè)網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點(diǎn)：? VLAN 劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點(diǎn)播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進(jìn)行，不會(huì)做無(wú)意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。? VLAN 劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會(huì)對(duì)其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪問(wèn)，需要通過(guò)三層交換，這樣信息流就得到相當(dāng)好的控制。? 網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的IP子網(wǎng)和VLAN，實(shí)現(xiàn)更加安全的對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。建立VLAN 和IP 子網(wǎng)的對(duì)應(yīng)關(guān)系。? 提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少站點(diǎn)的移動(dòng)和改變的開(kāi)銷。? VLAN 間的子網(wǎng)訪問(wèn)，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實(shí)行，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)的實(shí)際情況，方案建議在骨干網(wǎng)絡(luò) VLAN 劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為 VLAN 范圍劃分。這樣劃分 VLAN 的好處有：1）方便管理。為了更好的進(jìn)行 VLAN 規(guī)劃的實(shí)施，因此在網(wǎng)絡(luò)實(shí)施前期，要對(duì)網(wǎng)絡(luò)中不同區(qū)域的 VLAN 設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在骨干網(wǎng)絡(luò)這樣大型的校園網(wǎng)絡(luò)中如果以用戶群體來(lái)劃分 VLAN 的話，避免由于前期配置設(shè)備時(shí)復(fù)雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置，導(dǎo)致造成整個(gè)校園網(wǎng)絡(luò)中 VLAN 劃分復(fù)雜，減輕管理和后期維護(hù)。所以方案建議骨干網(wǎng)絡(luò)劃分 VLAN 方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少?gòu)V播域，又達(dá)到劃分VLAN，方便管理的效果，對(duì)于后期網(wǎng)絡(luò)維護(hù)和升級(jí)具有十分現(xiàn)實(shí)的意義。2） 易于實(shí)施。按群體劃分 VLAN 在工程實(shí)施中就十分的方便，不會(huì)造成21 / 58VLAN 劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。3）VLAN 間路由采用三層交換設(shè)備進(jìn)行 VLAN 路由。以便不同 VLAN 間進(jìn)行訪問(wèn)，對(duì)于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問(wèn)的時(shí)候，建議采用專家級(jí)ACL（可同時(shí)基于 VLAN 號(hào)、以太網(wǎng)類型、MAC 地址、IP 地址、TCP/UDP 端口號(hào)、時(shí)間靈活組合限定的硬件 ACL）來(lái)進(jìn)行訪問(wèn)權(quán)限設(shè)定，保障重要資料不被非法訪問(wèn)。 Ip 地址劃分IP 地址的統(tǒng)一、合理規(guī)劃以及整個(gè)網(wǎng)絡(luò)向 IPv6 的演進(jìn)是關(guān)系到整體分層網(wǎng)絡(luò)穩(wěn)定、快速收斂的關(guān)鍵，也是某職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)。IP 地址規(guī)劃的好壞，不僅影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，更影響到網(wǎng)絡(luò)的性能和穩(wěn)定以及網(wǎng)絡(luò)的擴(kuò)展和管理，也必將直接影響到相關(guān)新業(yè)務(wù)的開(kāi)拓和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步可持續(xù)性發(fā)展。劃分時(shí)注意使用 VLAN，充分節(jié)約 IP 地址，使路由交換機(jī)上能夠采用聚合進(jìn)行路由的合并，減少路由表的大小。出口到互聯(lián)網(wǎng)可以采用 NAT 防火墻上做地址轉(zhuǎn)換實(shí)現(xiàn)。校區(qū)內(nèi)接入到同一匯聚層交換機(jī)的區(qū)域建議采用連續(xù) IP 地址段，以便做路由匯聚。IP 地址的分配原則如下：1）每個(gè) vlan 分配一個(gè) C 類地址2）給三層交換機(jī)設(shè)備互連的點(diǎn)對(duì)點(diǎn) IP 地址分配 1 個(gè) C 類地址，提供足夠的擴(kuò)展性3）考慮到以后的網(wǎng)絡(luò)擴(kuò)展規(guī)模，二層交換機(jī)設(shè)備的管理 IP 地址分配 1 個(gè)C 類 IP 地址；4）可以考慮為學(xué)校校園網(wǎng)分配一個(gè) C 類私有地址段，如 ,將，分配給服務(wù)器等設(shè)備使用，其它地址分配給各辦公室 PC 機(jī)以及其它信息點(diǎn)使用。 第 5 章 中心機(jī)房設(shè)計(jì)22 / 58 服務(wù)器設(shè)備選型服務(wù)器主要用于幫助學(xué)校對(duì)校務(wù)、學(xué)籍、人事、政教等方面進(jìn)行管理，實(shí)現(xiàn)學(xué)校的辦公自動(dòng)化，各系統(tǒng)之間實(shí)現(xiàn)充分的資源共享，提高辦公及管理效率。還可以提供資料庫(kù)管理，所有相關(guān)資料都可通過(guò)網(wǎng)絡(luò)系統(tǒng)被檢索和使用。通過(guò)Inter/LAN 向教師及學(xué)生、學(xué)生家長(zhǎng)提供盡可能多的信息。信息服務(wù)不僅是提供 E－mail、FTP、Tel、WWW 等簡(jiǎn)單服務(wù)，還應(yīng)包括如教學(xué)資料、教學(xué)課件、圖書館圖書資料的遠(yuǎn)程查詢，遠(yuǎn)程視頻點(diǎn)播、遠(yuǎn)程電子閱覽室、教育論壇、網(wǎng)上教學(xué)以及學(xué)生的網(wǎng)上交流、網(wǎng)上聊天等。對(duì)于這些網(wǎng)絡(luò)服務(wù)，可以根據(jù)各部門需求，選擇或組織編寫一些應(yīng)用系統(tǒng)軟件。根據(jù)校園網(wǎng)的實(shí)際需求：數(shù)據(jù)計(jì)算量大；實(shí)現(xiàn)多種服務(wù)。在 Inter 應(yīng)用方面的服務(wù)器有：代理服務(wù)器、WWW 服務(wù)器、Email 服務(wù)器、文件傳輸服務(wù)器、BBS 服務(wù)器、DNS 服務(wù)器、視頻服務(wù)器；在管理信息系統(tǒng)和辦公自動(dòng)化方面有：OA 服務(wù)器、各種應(yīng)用服務(wù)器以及為整個(gè)校園應(yīng)用服務(wù)的數(shù)據(jù)庫(kù)服務(wù)器、計(jì)費(fèi)服務(wù)器、網(wǎng)管服務(wù)器、打印服務(wù)器等。而且應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)分離，防止應(yīng)用服務(wù)器被攻擊后，影響數(shù)據(jù)庫(kù)安全。以上服務(wù)器是從邏輯上劃分的。并不一定要求每一種邏輯服務(wù)器對(duì)應(yīng)有一臺(tái)物理上的服務(wù)器級(jí)的主機(jī)。具體采用多少臺(tái)主機(jī)，要根據(jù)實(shí)際情況。根據(jù) XX大學(xué)的招標(biāo)要求，大致定為 7 類服務(wù)器，它們分別為 WEB 服務(wù)器，數(shù)據(jù)庫(kù)服務(wù)器，視頻服務(wù)器，文件傳輸服務(wù)器，DNS 服務(wù)器、網(wǎng)管服務(wù)器、Email 服務(wù)器。主機(jī)系統(tǒng)可以有三大類選擇：大型機(jī)系統(tǒng)、小型機(jī)系統(tǒng)和 PC 服務(wù)器系統(tǒng)。采用大型機(jī)系統(tǒng)的做法，在歷史上曾經(jīng)流行過(guò)。流行的原因，在我們看來(lái)，主要是應(yīng)用系統(tǒng)所要求的處理能力當(dāng)時(shí)只有大型機(jī)能夠提供。因?yàn)樵谀菚r(shí)侯，終端的處理能力很有限，并且很貴，大型機(jī)的處理能力可以滿足應(yīng)用的需要，但是更加昂貴。為了節(jié)約費(fèi)用，只好采用有足夠處理能力的大型機(jī)加基本沒(méi)有處理能力的終端這種方式。隨著大規(guī)模集成電路和計(jì)算機(jī)技術(shù)的發(fā)展，小型機(jī)、PC 服務(wù)器和臺(tái)式計(jì)算機(jī)的性能有極大的提高，大型機(jī)逐漸失去了它的優(yōu)勢(shì)。小型機(jī)系統(tǒng)是處于大型機(jī)和 PC 服務(wù)器之間的一種選擇。通常來(lái)說(shuō)，小型機(jī)的性能可以很高，可以逼近大型機(jī)的水平。小型機(jī) CPU 通常采用 RISC 技術(shù)，程23 / 58序執(zhí)行效率較采用 CISC 技術(shù)的機(jī)器有極大的提高。小型機(jī)的可靠性較 PC 服務(wù)器高，因?yàn)樾⌒蜋C(jī)的元器件大多經(jīng)過(guò)嚴(yán)格的篩選和老化；另外小型機(jī)通常有與之配套的操作系統(tǒng)，且大多是 Unix 操作系統(tǒng)?？蛇x的小型機(jī)有 HP9000，IBM RS6000 等。PC 服務(wù)器的性能跟小型機(jī)可以相當(dāng)。之所以稱為 PC 服務(wù)器，通常認(rèn)為 PC服務(wù)器是采用 Wintel 體系結(jié)構(gòu)的，即采用 Intel 的 CPU，采用微軟的 Windows操作系統(tǒng)。因?yàn)榉止さ脑?，Intel 專門生產(chǎn)芯片，而微軟專注于操作系統(tǒng)，它們都是大規(guī)模生產(chǎn)，所以這種組合的價(jià)格極端的具有競(jìng)爭(zhēng)力。是大多數(shù)單位的選擇。我們建議采用 PC 服務(wù)器作為應(yīng)用系統(tǒng)的硬件平臺(tái)。在這里，選擇 IBM 的服務(wù)器。選擇 5 臺(tái) NF5100 用于 WEB 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件傳輸服務(wù)器、DNS 服務(wù)器、Email 服務(wù)器。選擇 2 臺(tái) NF7100 用于視頻服務(wù)器和網(wǎng)管服務(wù)器。選擇 2 臺(tái) NF5100 用于 GSN 全局安全、SAM 運(yùn)營(yíng)管理、RGNTD 1000 等其他服務(wù)。服務(wù)器具體配置如下表 1：表 1 服務(wù)器配置表設(shè)備名稱 配置型號(hào) 數(shù)量 單位WEB 服務(wù)器、DNS 服務(wù)器、Email 服務(wù)器8658 41Y NF5100 PIII866MHz, 128MB, 36GB/10000 轉(zhuǎn) SCSI ,CDROM, 網(wǎng)卡, 15”黑5 臺(tái)數(shù)據(jù)庫(kù)服務(wù)器、文件傳輸服務(wù)器8658 51Y NF5100 PIII933MHz, 128MB,1*72GB/10000 轉(zhuǎn) SCSI,CDROM,網(wǎng)卡, 15”黑2 臺(tái)視頻服務(wù)器、網(wǎng)管服務(wù)器866631Y NF7100 PIII/Xeon700MHz/1MB, 256MB, 3*72GB/10000 轉(zhuǎn) SCSI, CDROM, 15”黑2 臺(tái)千兆網(wǎng)卡 3C985Sx 9 塊軟件防火墻 京聯(lián)特 AntiX 互聯(lián)網(wǎng)過(guò)濾器（網(wǎng)絡(luò)版） 1 套 軟件系統(tǒng)設(shè)選擇在一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，單有可靠高效的硬件是遠(yuǎn)遠(yuǎn)不夠的，各種計(jì)算機(jī)網(wǎng)絡(luò)功能的最終獲得還有賴于網(wǎng)絡(luò)硬件平臺(tái)上的系統(tǒng)軟件、服務(wù)器軟件、應(yīng)用軟件以及工具軟件。24 / 58 系統(tǒng)軟件系統(tǒng)軟件在整個(gè)軟件結(jié)構(gòu)中處于最底層，直接與各種類型的硬件設(shè)備交互，主要作用是有效地支配和管理系統(tǒng)中的各種硬件資源。在 XX 中學(xué)校園網(wǎng)方案中，主要有以下系統(tǒng)軟件。計(jì)算機(jī)操作系統(tǒng)：SUN Solaris、Windows NT、Windows 9Windows95 及DOS。系統(tǒng)軟件的選擇，從理論上講，可以采用 Unix、Linux、Windows 或NetWare。但是系統(tǒng)軟件的選擇又是跟硬件平臺(tái)的選擇緊密關(guān)聯(lián)的。Unix 的版本很多，有 IBM 的 AIX、HP 的 HPUnix、SUN Microsystems 的 Solaris、SCO 公司的 UnixWare 等。如果硬件平臺(tái)采用的是 IBM 公司的小型機(jī)，則操作系統(tǒng)十有八九就是采用 IBM 的 AIX，首先是因?yàn)檫@種搭配性能好，另外一點(diǎn)則是廠家的策略了，當(dāng)用戶采用了他們的小型機(jī)或工作站以后，操作系統(tǒng)基本是免費(fèi)的。既然免費(fèi)，且性能還不錯(cuò)，那有什么理由