【正文】 如果硬件平臺(tái)采用的是 IBM 公司的小型機(jī)，則操作系統(tǒng)十有八九就是采用 IBM 的 AIX，首先是因?yàn)檫@種搭配性能好，另外一點(diǎn)則是廠家的策略了，當(dāng)用戶采用了他們的小型機(jī)或工作站以后，操作系統(tǒng)基本是免費(fèi)的。但是系統(tǒng)軟件的選擇又是跟硬件平臺(tái)的選擇緊密關(guān)聯(lián)的。計(jì)算機(jī)操作系統(tǒng)：SUN Solaris、Windows NT、Windows 9Windows95 及DOS。24 / 58 系統(tǒng)軟件系統(tǒng)軟件在整個(gè)軟件結(jié)構(gòu)中處于最底層，直接與各種類型的硬件設(shè)備交互，主要作用是有效地支配和管理系統(tǒng)中的各種硬件資源。選擇 2 臺(tái) NF5100 用于 GSN 全局安全、SAM 運(yùn)營管理、RGNTD 1000 等其他服務(wù)。選擇 5 臺(tái) NF5100 用于 WEB 服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件傳輸服務(wù)器、DNS 服務(wù)器、Email 服務(wù)器。我們建議采用 PC 服務(wù)器作為應(yīng)用系統(tǒng)的硬件平臺(tái)。因?yàn)榉止さ脑颍琁ntel 專門生產(chǎn)芯片，而微軟專注于操作系統(tǒng)，它們都是大規(guī)模生產(chǎn)，所以這種組合的價(jià)格極端的具有競爭力。PC 服務(wù)器的性能跟小型機(jī)可以相當(dāng)。小型機(jī)的可靠性較 PC 服務(wù)器高，因?yàn)樾⌒蜋C(jī)的元器件大多經(jīng)過嚴(yán)格的篩選和老化；另外小型機(jī)通常有與之配套的操作系統(tǒng)，且大多是 Unix 操作系統(tǒng)。通常來說，小型機(jī)的性能可以很高，可以逼近大型機(jī)的水平。隨著大規(guī)模集成電路和計(jì)算機(jī)技術(shù)的發(fā)展，小型機(jī)、PC 服務(wù)器和臺(tái)式計(jì)算機(jī)的性能有極大的提高，大型機(jī)逐漸失去了它的優(yōu)勢。因?yàn)樵谀菚r(shí)侯，終端的處理能力很有限，并且很貴，大型機(jī)的處理能力可以滿足應(yīng)用的需要，但是更加昂貴。采用大型機(jī)系統(tǒng)的做法，在歷史上曾經(jīng)流行過。根據(jù) XX大學(xué)的招標(biāo)要求，大致定為 7 類服務(wù)器，它們分別為 WEB 服務(wù)器，數(shù)據(jù)庫服務(wù)器，視頻服務(wù)器，文件傳輸服務(wù)器，DNS 服務(wù)器、網(wǎng)管服務(wù)器、Email 服務(wù)器。并不一定要求每一種邏輯服務(wù)器對應(yīng)有一臺(tái)物理上的服務(wù)器級的主機(jī)。而且應(yīng)用服務(wù)器和數(shù)據(jù)庫分離，防止應(yīng)用服務(wù)器被攻擊后，影響數(shù)據(jù)庫安全。根據(jù)校園網(wǎng)的實(shí)際需求：數(shù)據(jù)計(jì)算量大；實(shí)現(xiàn)多種服務(wù)。信息服務(wù)不僅是提供 E－mail、FTP、Tel、WWW 等簡單服務(wù)，還應(yīng)包括如教學(xué)資料、教學(xué)課件、圖書館圖書資料的遠(yuǎn)程查詢，遠(yuǎn)程視頻點(diǎn)播、遠(yuǎn)程電子閱覽室、教育論壇、網(wǎng)上教學(xué)以及學(xué)生的網(wǎng)上交流、網(wǎng)上聊天等。還可以提供資料庫管理，所有相關(guān)資料都可通過網(wǎng)絡(luò)系統(tǒng)被檢索和使用。IP 地址的分配原則如下：1）每個(gè) vlan 分配一個(gè) C 類地址2）給三層交換機(jī)設(shè)備互連的點(diǎn)對點(diǎn) IP 地址分配 1 個(gè) C 類地址，提供足夠的擴(kuò)展性3）考慮到以后的網(wǎng)絡(luò)擴(kuò)展規(guī)模，二層交換機(jī)設(shè)備的管理 IP 地址分配 1 個(gè)C 類 IP 地址；4）可以考慮為學(xué)校校園網(wǎng)分配一個(gè) C 類私有地址段，如 ,將，分配給服務(wù)器等設(shè)備使用，其它地址分配給各辦公室 PC 機(jī)以及其它信息點(diǎn)使用。出口到互聯(lián)網(wǎng)可以采用 NAT 防火墻上做地址轉(zhuǎn)換實(shí)現(xiàn)。IP 地址規(guī)劃的好壞，不僅影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，更影響到網(wǎng)絡(luò)的性能和穩(wěn)定以及網(wǎng)絡(luò)的擴(kuò)展和管理，也必將直接影響到相關(guān)新業(yè)務(wù)的開拓和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步可持續(xù)性發(fā)展。以便不同 VLAN 間進(jìn)行訪問，對于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問的時(shí)候，建議采用專家級ACL（可同時(shí)基于 VLAN 號、以太網(wǎng)類型、MAC 地址、IP 地址、TCP/UDP 端口號、時(shí)間靈活組合限定的硬件 ACL）來進(jìn)行訪問權(quán)限設(shè)定，保障重要資料不被非法訪問。按群體劃分 VLAN 在工程實(shí)施中就十分的方便，不會(huì)造成21 / 58VLAN 劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。所以方案建議骨干網(wǎng)絡(luò)劃分 VLAN 方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少廣播域，又達(dá)到劃分VLAN，方便管理的效果，對于后期網(wǎng)絡(luò)維護(hù)和升級具有十分現(xiàn)實(shí)的意義。這樣劃分 VLAN 的好處有：1）方便管理。? VLAN 間的子網(wǎng)訪問，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實(shí)行，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。建立VLAN 和IP 子網(wǎng)的對應(yīng)關(guān)系。要進(jìn)行訪問，需要通過三層交換，這樣信息流就得到相當(dāng)好的控制。主要突出為以下幾點(diǎn)：? VLAN 劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點(diǎn)播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進(jìn)行，不會(huì)做無意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。網(wǎng)絡(luò)站點(diǎn)的增減，人員的變動(dòng)，無論從網(wǎng)絡(luò)管理，還是用戶的角度來講，都需要虛擬網(wǎng)技術(shù)的支持。部署在各種應(yīng)用中，RSR08 路由器可用于搭建骨干匯聚路由器和核心層網(wǎng)絡(luò)，為用戶提供綜合的、高性能、功能強(qiáng)大的服務(wù), 并提供高可用性網(wǎng)絡(luò)所需的冗余支持。通過使用 VPLS，可以利用原有網(wǎng)絡(luò)和以太網(wǎng)基礎(chǔ)設(shè)施提供 VOIP、互聯(lián)網(wǎng)接入、視頻以及多點(diǎn)虛擬專用網(wǎng)（VPN）等融合業(yè)務(wù)。RSR08 路由器具有強(qiáng)大的業(yè)務(wù)能力，可以滿足目前所有的城域匯聚和接入需求，提供多協(xié)議標(biāo)準(zhǔn)交換 (MPLS)第 2 或 3 層隧道技術(shù)、動(dòng)態(tài)帶寬控制和面向連接的數(shù)據(jù)收集體系。RGACE 3000 可有效識別包括 Web 迅雷在的多種應(yīng)用層協(xié)議，可實(shí)現(xiàn)基于用戶的應(yīng)用帶寬限制及數(shù)據(jù)統(tǒng)計(jì)，使得各種關(guān)鍵應(yīng)用的帶寬得到充分的保障。另外，RGWALL 具有入侵監(jiān)測功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測功能不會(huì)影響防火墻的性能。RGWALL1000 采用銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的分類算法（Classification Algorithm）設(shè)計(jì)的新一代安全產(chǎn)品——第三類防火墻，支持?jǐn)U展的狀態(tài)檢測（Stateful Inspection）技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時(shí)在啟用動(dòng)態(tài)端口應(yīng)用程序(如 VoIP, H323 等)時(shí)，可提供強(qiáng)有力的安全信道。這樣的出口設(shè)計(jì)將實(shí)現(xiàn)了多出口的合理使用，有效抵御 DDoS 攻擊，實(shí)現(xiàn)病毒、木馬以及異常流量的阻斷。銳捷網(wǎng)絡(luò)高校校園網(wǎng)出口解決方案，充分考慮網(wǎng)絡(luò)出口承載的多種業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)的要求，形成了包含外網(wǎng)連接層、安全防護(hù)層、應(yīng)用控制層、VPN 接入層、日志管理層在內(nèi)的針對性出口網(wǎng)絡(luò)解決方案。支持生成樹協(xié)議 、完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率。RGS2924G 為方便不同管理員的使用習(xí)慣，提供了多種形式的管理工具，如 SNMP、Tel、Web 和 Console 口等。RGS2924G 是銳捷網(wǎng)絡(luò)推出的全千兆安全智能接入交換機(jī)，在提供高性能、高帶寬的同時(shí)，提供智能的流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性，并可以根據(jù)網(wǎng)絡(luò)的實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入和使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)資源，充分保障了網(wǎng)絡(luò)高效安全、網(wǎng)絡(luò)合理化使用和運(yùn)營。為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策18 / 58略的網(wǎng)管，最大化滿足高速、融合、安全的園區(qū)網(wǎng)新需求；本方案中各接入層交換機(jī)通過千兆鏈路上聯(lián)到各匯聚層設(shè)備，對下聯(lián)的桌面設(shè)備提供全雙工的百兆連接，為各類用戶提供無阻塞的交換性能。4）支持多級別網(wǎng)絡(luò)管理。3）性價(jià)比高。2）高性能。接入層交換機(jī)亦稱外圍交換機(jī)或邊緣交換機(jī)，一般都屬于可堆疊/可擴(kuò)充式固定端口交換機(jī)，應(yīng)具備下列要求：1）端口選擇：對端口的選擇包括兩個(gè)方面，一個(gè)是端口數(shù)量，一個(gè)是端口類型。在廣域網(wǎng)環(huán)境中，接入層主要提供通過 Frame Relay、ISDN、Leased Line連入遠(yuǎn)程節(jié)點(diǎn)。本層也可以提供進(jìn)一步的調(diào)整，如 Accesslist Filtering 等。”RGS6506 交換機(jī)高達(dá) 768G 的背板帶寬和 286Mpps 的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的線速交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是小型網(wǎng)絡(luò)核心和大型網(wǎng)絡(luò)骨干交換機(jī)的理想選擇。使用 2 條千兆鏈路連接到外事活動(dòng)中心匯聚交換機(jī) RGS6506 上。因此匯聚層網(wǎng)絡(luò)設(shè)備要求具備多物理接口來完成眾多設(shè)備的接入工作。通常需要考慮的主要因素有 QoS、靜態(tài)或者動(dòng)態(tài)路由的選擇、地址過濾等。它是核心層和接入層的分界點(diǎn)，定義了網(wǎng)絡(luò)的邊界，對數(shù)據(jù)包進(jìn)行復(fù)雜的運(yùn)算。核心層交換機(jī)跟匯聚接入層交換機(jī)之間的千兆鏈路可以捆綁，從而實(shí)現(xiàn)帶寬的靈活擴(kuò)展。RGS6810E 交換機(jī)通過先進(jìn)的第三代高性能引擎可硬件支持策略路由、IPV6 等協(xié)議，并可擴(kuò)展支持 MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect 等豐富的業(yè)務(wù)功能，滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。目前提供 10 豎插槽設(shè)計(jì)和 6 橫插槽設(shè)計(jì)兩種主機(jī)：RGS6810E 和 RGS6806E。實(shí)現(xiàn)網(wǎng)絡(luò) 7X24 小時(shí)的不間斷運(yùn)行，核心骨干網(wǎng)形成的萬兆核心環(huán)網(wǎng)，使得整個(gè)核心層網(wǎng)絡(luò)即使在任意一臺(tái)核心交換機(jī)故障、或任意一條鏈路斷掉的情況下依然可以保障網(wǎng)絡(luò)的正常運(yùn)行。多業(yè)務(wù)萬兆核心路由交換機(jī)高背板帶寬和二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機(jī)的理想選擇。綜上所述，主干核心交換機(jī)屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機(jī)建議采用多業(yè)務(wù)萬兆核心路由交換機(jī)。具體來說核心節(jié)點(diǎn)的交換機(jī)有兩個(gè)基本要求：1）高密度端口情況下，還能保持各端口的線速轉(zhuǎn)發(fā)；2）關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇。另外作為整個(gè)網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時(shí)，還必須保證穩(wěn)定可靠的運(yùn)行。網(wǎng)絡(luò)層次如圖 2 所示核 心 層高 速 交 換 技 術(shù)分 布 層基 于 策 略 的 操 作接 入 層本 地 /遠(yuǎn) 程 工 作 組 接 入圖 2 網(wǎng)絡(luò)層次圖層次化設(shè)計(jì)的優(yōu)點(diǎn)可以總結(jié)為如下幾點(diǎn)：1）可擴(kuò)展性：因?yàn)榫W(wǎng)絡(luò)可模塊化增長而不會(huì)遇到問題；2）簡單性：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的問題；3）設(shè)計(jì)的靈活性：使網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層次的網(wǎng)絡(luò)不15 / 58會(huì)對其他層次造成影響，無需改變整個(gè)環(huán)境；4）可管理性：層次結(jié)構(gòu)使單個(gè)設(shè)備的配置的復(fù)雜性大大降低，更易管理。根據(jù)我們的設(shè)計(jì)，XX 大學(xué)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖 1 所示。局域網(wǎng)內(nèi)的所有工作節(jié)點(diǎn)通過雙絞線與交換機(jī)相連形成一個(gè)星型網(wǎng)絡(luò)。 優(yōu)點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)簡單，易于維護(hù)，便于管理（集中式） ；每臺(tái)入網(wǎng)機(jī)均需物理線路與處理機(jī)互連，線路利用率低；處理機(jī)負(fù)載重（需處理所有的服務(wù)） ，因?yàn)槿魏蝺膳_(tái)入網(wǎng)機(jī)之間交換信息，都必須通過中心處理機(jī)；入網(wǎng)主機(jī)故障不影響整個(gè)網(wǎng)絡(luò)的正常工作。第 4 章 網(wǎng)絡(luò)方案設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)局域網(wǎng)采用星型網(wǎng)絡(luò)拓樸結(jié)構(gòu)，星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu)，它是以一臺(tái)中心處理機(jī)（通信設(shè)備）為主而構(gòu)成的網(wǎng)絡(luò)，其它入網(wǎng)機(jī)器僅與該中心處理機(jī)之間有直接的物理鏈路，中心處理機(jī)采用分時(shí)或輪詢的方法為入網(wǎng)機(jī)器服務(wù)，所有的數(shù)據(jù)必須經(jīng)過中心處理機(jī)。先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)方法，才能夠發(fā)揮最大的作用。為了適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)。由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要13 / 58的重復(fù)投資，我們必須選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加新的設(shè)備，而只需要增加一定數(shù)量的模塊就行。在學(xué)校啟用物理鏈路冗余機(jī)制，保證任何一條線路出現(xiàn)故障后骨干網(wǎng)絡(luò)平臺(tái)的可用性。在考慮技術(shù)先進(jìn)性和開放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時(shí)間，銳捷網(wǎng)絡(luò)做為國內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。網(wǎng)絡(luò)建設(shè)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。根據(jù)校園網(wǎng)的總體需求，結(jié)合對應(yīng)用系統(tǒng)的考慮，本次網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)目12 / 58標(biāo)是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬兆骨干網(wǎng)絡(luò)平臺(tái)。 建設(shè)原則校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實(shí)用的前提下，應(yīng)當(dāng)在投資保護(hù)及長遠(yuǎn)性方面做適當(dāng)考慮，在技術(shù)上、系統(tǒng)能力上要保持五年左右的先進(jìn)性。容錯(cuò)能力強(qiáng)，確保信息處理安全保密。具有收集、處理、查詢、統(tǒng)計(jì)各類信息資源的能力，充分利用原有數(shù)據(jù)資源，為學(xué)校領(lǐng)導(dǎo)提供準(zhǔn)確、快捷的數(shù)字信息，實(shí)現(xiàn)數(shù)據(jù)化管理和智能化決策。包括 Web 查詢、電子公告、電子新聞等。具有完善的辦公事務(wù)處理能力，包括電子公文傳遞、電子公文管理、電子郵件、郵件收發(fā)等無紙辦公自動(dòng)化功能。由于高校宿舍網(wǎng)節(jié)點(diǎn)眾多，因此無法一體化管理眾多的設(shè)備和用戶、出現(xiàn)網(wǎng)絡(luò)故障無法快速定位、IP 地址盜用、IP 地址沖突等問題日益嚴(yán)重，如何利用有限的人力物力對網(wǎng)絡(luò)進(jìn)行高效管理也成為高校宿舍網(wǎng)建設(shè)考慮的著重點(diǎn)。網(wǎng)絡(luò)管理中心是整個(gè)網(wǎng)絡(luò)的核心，一個(gè)完善的網(wǎng)絡(luò)管理系統(tǒng)是網(wǎng)絡(luò)能夠穩(wěn)定可靠運(yùn)行的保證。一方面，網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，網(wǎng)絡(luò)應(yīng)用越來越深地滲透到校園教學(xué)領(lǐng)域。學(xué)校校園絡(luò)作為信息化建設(shè)的基礎(chǔ)平臺(tái)，為學(xué)校提高自身的核心競爭力提供了新的突破口。能夠?qū)崿F(xiàn)優(yōu)化的網(wǎng)絡(luò)路徑選擇，在網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)路由能夠快速收斂，保證網(wǎng)絡(luò)的暢通。在本校園網(wǎng)絡(luò)的 IP地址分配上要體現(xiàn)可擴(kuò)展性、連續(xù)性、可管理性、簡化路由。根據(jù)目前的業(yè)務(wù)需求，安全和高效是必需的