【正文】 大學(xué)網(wǎng)絡(luò)建設(shè)項(xiàng)目要根據(jù)實(shí)際情況選用技術(shù)方案，根據(jù) 節(jié)的分析，建設(shè)千兆主干已經(jīng)基本滿足目前學(xué)校對帶寬的需求，并可以保持 23 年的發(fā)展期，然后根據(jù)需要，再平滑地把核心骨干層提升到萬兆帶寬。 本項(xiàng)目技術(shù)選型根據(jù)第 節(jié)的技術(shù)對比和第 節(jié)的介紹，園區(qū)網(wǎng)的未來是從千兆發(fā)展到萬兆技術(shù)，目前一些學(xué)校已經(jīng)采用了該項(xiàng)技術(shù)。物理層向 MAC 層在 IPG 期間發(fā)送“Normal idle”, MAC 層收到后，重新發(fā)送數(shù)據(jù)；? 采用 IPG 延長機(jī)制：MAC 幀每次傳完一幀，根據(jù)平均數(shù)據(jù)速率動態(tài)調(diào)整 IPG 間隔。采用什么樣的調(diào)整策略將 10GMII 接口的 10Gb/s 傳輸速率降低，使之與物理層的傳輸速率 ，是 10G 以太廣域網(wǎng)需要解決的問題。其次，避免了繁瑣的同步復(fù)用，信號不是從低速率復(fù)用成高速率流，而是直接映射到 OC192c 凈負(fù)荷中。具體表現(xiàn)在：減少了許多開銷字節(jié)，僅采用了幀定位字節(jié)A1 和 A段層誤碼監(jiān)視 B蹤跡字節(jié) J0、同步狀態(tài)字節(jié) S保護(hù)倒換字節(jié) K1 和 K2 以及備用字節(jié) Z0，對沒有定義或沒有使用的字節(jié)填充 00000000。但是在 SDH 幀結(jié)構(gòu)的基礎(chǔ)上做了大量的簡化，使得修改后的以太網(wǎng)對抖動不敏感，對時(shí)鐘的要求不高。其中第一個長度域表示的值是修改后的 MAC 幀長。為了在定幀過程中方便查找下一個幀位置，同時(shí)由于最大幀長為 1518字節(jié)，則最少需要 11 個比特（=2048） ，所以在復(fù)接 MAC 幀的過程中用兩個字節(jié)替換前導(dǎo)頭兩個字節(jié)作為長度字段，然后對這 8 個字節(jié)進(jìn)行 CRC16 校驗(yàn)，將最后得到的兩個字節(jié)作為 HEC 插入 SFD 之后。為了避免上述情況，10G 以太網(wǎng)采用了 HEC 策略。但是 SDH中承載的千兆以太網(wǎng)幀定界不同于標(biāo)準(zhǔn)的千兆以太網(wǎng)幀定界，因?yàn)閺?fù)用的數(shù)據(jù)已經(jīng)恢復(fù)成8B 編碼的碼組，去掉了 SFD 和 EFD。以太網(wǎng)一般是利用物理層中特殊的 10B(Byte)代碼實(shí)現(xiàn)幀定界的。當(dāng)以太網(wǎng)作為廣域網(wǎng) 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計(jì)書 第 23 頁 共 96 頁進(jìn)行長距離、高速率傳輸時(shí)必然會導(dǎo)致線路信號頻率和相位產(chǎn)生較大的抖動，而且以太網(wǎng)的傳輸是異步的，在接收端實(shí)現(xiàn)信號同步比較困難。這就需要在物理子層實(shí)現(xiàn)從以太網(wǎng)幀到 OC192c 幀格式的映射功能。由于 10G 以太網(wǎng)實(shí)質(zhì)上是高速以太網(wǎng)，所以為了與傳統(tǒng)的以太網(wǎng)兼容必須采用傳統(tǒng)以太網(wǎng)的幀格式承載業(yè)務(wù)。信息數(shù)據(jù)在廣域網(wǎng)中傳輸時(shí)，為了達(dá)到 ，采用的方法是將許多傳統(tǒng)以太網(wǎng)幀映射到一個 OC192c 中。為了避免偽幀定界，PCS 層對 MAC 幀的前 8 個字節(jié)進(jìn)行 X43+1 的自同步擾碼，這樣可以避免信息字段中出現(xiàn)物理層幀的幀定位字節(jié)，而且如果惡意用戶要對信息數(shù)據(jù)進(jìn)行攻擊，則必須要知道擾碼器的狀態(tài)，而猜中的概率僅為 1／243，從而加強(qiáng)了數(shù)據(jù)的安全性。10G 以太廣域網(wǎng)物理層可以選擇多種編碼方式：? 仍采用以太網(wǎng)的 8B/10B 編碼；? 采用新的編碼策略 MB810；? 使用一個擾碼多項(xiàng)式；? 使用兩個擾碼多項(xiàng)式。它能與 OC192c 的 SONET 再生器協(xié)同工作，并利用 OC192c 幀格式與現(xiàn)有的網(wǎng)絡(luò)兼容。10G 以太廣域網(wǎng)物理層的特點(diǎn)：由于以太局域網(wǎng)采用以太網(wǎng)幀格式，傳輸速率為10Gb/s，而 10G 以太廣域網(wǎng)采用 OC192c(STS192c)幀格式在線路上傳輸，傳輸速率為，故 10G 以太廣域網(wǎng) MAC 層有速率匹配功能。10G 以太局域網(wǎng)物理層特點(diǎn)：支持 MAC 全雙工方式； MAC 時(shí)鐘可以選擇1G 或者 10G 方式，允許以太網(wǎng)復(fù)用設(shè)備同時(shí)攜帶 10 路 1G 信號；幀格式與傳統(tǒng)以太網(wǎng)的幀格式一致，工作速率為 10Gb/s。為此， HSSG 小組制訂了兩種 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計(jì)書 第 22 頁 共 96 頁不同的物理介質(zhì)標(biāo)準(zhǔn)，分別用于以太局域網(wǎng)和以太廣域網(wǎng)。盡管 10G 以太網(wǎng)是在以太網(wǎng)技術(shù)的基礎(chǔ)上發(fā)展起來的，但是，由于工作速率的大幅度提升，適用范圍有了顯著的變化，與原來的以太網(wǎng)技術(shù)相比差異很大，主要表現(xiàn)在：物理層實(shí)現(xiàn)方式、幀格式、MAC 層的工作速率以及適配策略。由于LAN、 MAN 和 WAN 采用同一種核心技術(shù)，網(wǎng)絡(luò)易于管理和維護(hù)，同時(shí)避免了協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)了 LAN、 MAN 和 WAN 的無縫連接。 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計(jì)書 第 21 頁 共 96 頁三種技術(shù)方案的技術(shù)比較：比較項(xiàng)目 GE/10GE POS DPT帶寬提供能力（Gbps ）1/10 帶寬擴(kuò)展方式 DWDM／10GE 10G／DWDM10GDPT／DWDM擴(kuò)展帶寬成本 最低 較高 較低TDM 業(yè)務(wù)能力 TDMoIP TDMoIP TDMoIP自愈恢復(fù)方式RSTP/APS(over SDH)／ IP 層路由收斂／MPLSIP 層路由收斂／MPLSIPS自愈恢復(fù)能力 高 高 高成本 最低 高 較低兼容性大部分產(chǎn)品兼容標(biāo)準(zhǔn)，產(chǎn)品兼容標(biāo)準(zhǔn)化過程中可以看到千兆以太網(wǎng)具有優(yōu)秀的綜合性能。第四章 技術(shù)選型 現(xiàn)代大型圓區(qū)網(wǎng)網(wǎng)絡(luò)技術(shù)發(fā)展趨勢 園區(qū)網(wǎng)技術(shù)方案對比千兆技術(shù)是目前廣泛應(yīng)用的核心技術(shù)，和 POS、DPT 技術(shù)相比較，有著更好的綜合性能。并提供統(tǒng)計(jì)報(bào)表?？梢园凑战M織結(jié)構(gòu)調(diào)整分級管理。 分析和統(tǒng)計(jì)具有強(qiáng)有力的網(wǎng)絡(luò)管理手段，可方便地對網(wǎng)絡(luò)資源進(jìn)行集中配置與調(diào)整。隨著計(jì)算機(jī)的普及和信息化的推進(jìn)，網(wǎng)絡(luò)中的設(shè)備越來越多，在網(wǎng)絡(luò)不斷擴(kuò)展的同時(shí)，也增加了網(wǎng)絡(luò)復(fù)雜性和管理的難度，而使用堆疊技術(shù)，可以大大降低管理成本。要留有足夠的擴(kuò)充余量，包括端口數(shù)量和帶寬的升級能力。 擴(kuò)展性網(wǎng)絡(luò)設(shè)計(jì)不但要保證目前網(wǎng)絡(luò)傳輸容量的要求，也要考慮今后網(wǎng)絡(luò)的發(fā)展，滿足當(dāng)前 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計(jì)書 第 20 頁 共 96 頁及未來網(wǎng)絡(luò)意數(shù)據(jù)交換的需求（包括 Ipv6） ，便于向更新技術(shù)的升級與銜接，又能保護(hù)原來的投資。設(shè)計(jì)中，要將工程的可靠性、可用性和可維護(hù)性放在重要位置，從結(jié)構(gòu)設(shè)計(jì)、設(shè)備選型、系統(tǒng)建設(shè)、網(wǎng)絡(luò)管理上對整個網(wǎng)絡(luò)運(yùn)行系統(tǒng)必須具備的高可靠性、可用行、可維護(hù)性作出保證，以確保網(wǎng)絡(luò)成為一個不間斷的運(yùn)行系統(tǒng)。 可靠性 、可用性和可維護(hù)性網(wǎng)絡(luò)設(shè)計(jì)應(yīng)采用冗余連接，保證主要設(shè)備和線路在故障發(fā)生時(shí)能自動切換。能夠耐受一定程度的大數(shù)據(jù)量沖擊和安全問題（蠕蟲、黑客掃描等、DoS 攻擊等）干擾。提供網(wǎng)絡(luò)的可用性。 網(wǎng)絡(luò)安全性安全是網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)，網(wǎng)絡(luò)系統(tǒng)本身要有較高的安全性，在技術(shù)上提供先進(jìn)的、可靠的、全面的安全認(rèn)證方案和應(yīng)急措施，確保系統(tǒng)萬無一失?？梢灶A(yù)見，在未來的時(shí)間里，以太網(wǎng)技術(shù)將會成為校園網(wǎng)建設(shè)中領(lǐng)先的技術(shù)，并會不斷向前發(fā)展。如今的以太網(wǎng)技術(shù)不僅可以使用在工作組，還可以做為網(wǎng)絡(luò)骨干。目前流行的先進(jìn)技術(shù)是以太網(wǎng)技術(shù)，經(jīng)歷了從共享到交換，由低速到高速的發(fā)展。下面是網(wǎng)絡(luò)設(shè)計(jì)原則，同時(shí)作為設(shè)備選型的依據(jù)： 技術(shù)先進(jìn)性網(wǎng)絡(luò)的規(guī)劃一定要兼顧眼前和未來的應(yīng)用需求，要用長遠(yuǎn)的眼光，保證規(guī)劃的科學(xué)性、先進(jìn)性，以及所選用的設(shè)備、服務(wù)器和軟件系統(tǒng)的實(shí)用性和先進(jìn)性，并具有較長的生命周期和先進(jìn)技術(shù)水平。充分利用當(dāng)?shù)匾延械母鞣N網(wǎng)絡(luò)資源，確保網(wǎng)絡(luò)內(nèi)部的互連互通。第三章 設(shè)計(jì)原則根據(jù)以上對需求的分析以及我們以往項(xiàng)目設(shè)計(jì)、施工的經(jīng)驗(yàn)，在設(shè)計(jì)方案時(shí)，應(yīng)該充分依照國際上的規(guī)范、標(biāo)準(zhǔn)，借鑒國內(nèi)外目前流行的主流網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)運(yùn)行系統(tǒng)，從網(wǎng)絡(luò)信息化的實(shí)際需求出發(fā)進(jìn)行設(shè)計(jì)。已知安全審計(jì)的存在可對某些潛在的侵犯安全的攻擊源起到威攝作用。安全審計(jì)跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。安全審計(jì)系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。防病毒系統(tǒng)一旦發(fā)現(xiàn)內(nèi)部有機(jī)器傳播病毒；可通過互動體系聯(lián)動給交換機(jī)、防火墻、路由器和訪問控制網(wǎng)關(guān)；交換機(jī)、防火墻、路由器和訪問控制網(wǎng)關(guān)通過 ACL 將正在傳播病毒的機(jī)器進(jìn)行有效隔離，使之不能訪問內(nèi)部網(wǎng)絡(luò)，從而更加有效的避免了病毒的傳播。如今的病毒大部分是通過網(wǎng)絡(luò)進(jìn)行自動傳播，比如 Nimda 和 Red Code 病毒等，一旦內(nèi)部有機(jī)器感染上病毒，本機(jī)器會大量通過網(wǎng)絡(luò)服務(wù)進(jìn)行病毒傳播，最終使內(nèi)部網(wǎng)絡(luò)癱瘓，并導(dǎo)致內(nèi)部其他機(jī)器也感染上本病毒。通過郵件安全系統(tǒng)可以為用戶解決郵件病毒和垃圾郵件的困擾，同時(shí)也可以通過安全互動體系更全面的防范郵件病毒和垃圾郵件。隱患掃描系統(tǒng)通過安全評估內(nèi)部網(wǎng)絡(luò)，一旦發(fā)現(xiàn)內(nèi)部有機(jī)器存在較嚴(yán)重的安全隱患和漏洞；可立即通過 P 協(xié)議聯(lián)動到出口位置的防火墻系統(tǒng)或路由器系統(tǒng)；防火墻系統(tǒng)或路由器系統(tǒng)根據(jù)聯(lián)動信息自動添加策略，禁止外部訪問存在安全漏洞的內(nèi)部機(jī)器，從而有效的保護(hù)內(nèi)部網(wǎng)絡(luò)。同時(shí)，安全網(wǎng)絡(luò)中的各個設(shè)備組成之間不是相互獨(dú)立的，而是互動式的，通過全新的聯(lián)動體系，將網(wǎng)絡(luò)的各個組成部 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計(jì)書 第 17 頁 共 96 頁分安全、可靠的互動起來，包括在事先部署的主動防御體系如防火墻、入侵檢測 IDS、安全評估系統(tǒng)、病毒防護(hù)系統(tǒng)、郵件安全系統(tǒng)等，從而為用戶提供一個完整的、互動式的安全網(wǎng)絡(luò)架構(gòu)。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機(jī)制，一方面要能讓網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓網(wǎng)管人員靈活處理具體事務(wù)。網(wǎng)絡(luò)安全體系牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)連接比較復(fù)雜。安全評估系統(tǒng)主要針對用戶系統(tǒng)內(nèi)部的各種安全漏洞實(shí)施漏洞掃描，借以檢查出系統(tǒng)中主機(jī)的安全隱患，例如，各種常見服務(wù)端口的情況，各種常見服務(wù)的情況，和弱密碼的探測等，并提供相應(yīng)的掃描結(jié)果報(bào)告，用戶可打印和統(tǒng)計(jì)有漏洞主機(jī)的掃描信息，并查詢漏洞的詳細(xì)信息，使用戶全面了解系統(tǒng)的安全狀況，提早做好防范措施為了更好地管理用戶，合理利用和優(yōu)化網(wǎng)絡(luò)資源，很有必要對有網(wǎng)絡(luò)需求的用戶進(jìn)行身份認(rèn)證，包括有線接入用戶和無線移動接入用戶。選擇性 ACL 日志記錄—收集匹配拒絕或許可條件的數(shù)據(jù)包的統(tǒng)計(jì)數(shù)據(jù)。如果所有 ACL 查詢都在硬件上執(zhí)行，那么，在網(wǎng)絡(luò)中實(shí)施基于 ACP 的安全性時(shí)，就不會降低傳送性能。線速 ACL 特性涵蓋 MAC 層，IP 層，應(yīng)用層，可以從多個層次根據(jù)用戶需求進(jìn)行數(shù)據(jù)控制。對于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)設(shè)備路由器和交換機(jī)，在網(wǎng)絡(luò)中存在大量掃描流量以及大量諸如 DDOS 攻擊、沖擊波攻擊等不安全因素下，如何來保證網(wǎng)絡(luò)設(shè)備本身的安全即正常運(yùn)行？高效的 ACL 控制功能是設(shè)備本身應(yīng)該具備的。針對每個受保護(hù)的網(wǎng)絡(luò)的骨干子網(wǎng)，都應(yīng)部署入侵檢測系統(tǒng)和配置相應(yīng)的入侵檢測規(guī)則。入侵檢測系統(tǒng)是防火墻的合理補(bǔ)充，它可擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)） ，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，幫助管理員洞察網(wǎng)絡(luò)攻擊行為。防火墻設(shè)備在網(wǎng)落中起著非常重要的作用，具有安全防范、訪問控制和日志審計(jì)等功能，是整個網(wǎng)絡(luò)的主要安全屏障。對一個網(wǎng)絡(luò)的整體而言，我們可以采取的安全保護(hù)措施有很多。在這里，我們從三個大的方向加以考慮：事前加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、事中快速反應(yīng)機(jī)制、事后安全審計(jì)。業(yè)界普遍遵循的概念是所謂的“適度安全準(zhǔn)則”，即根據(jù)具體情況提出適度的安全目標(biāo)加以實(shí)現(xiàn)。由于安全的多面性和動態(tài)性，難以找到一個方法對安全問題實(shí)現(xiàn)百分之百的覆蓋。因此在實(shí)際的安全策略中，更有效的方法是制定并嚴(yán)格實(shí)施企業(yè)的安全政策，采用安全產(chǎn)品只不過是安全政策的一個方面。例如不可能用一個防火墻將所有的安全問題擋在門外。第三點(diǎn)，安全不是僅僅由安全產(chǎn)品來解決的問題。今天的安全問題到明天也許不再成為安全問題，而今天無關(guān)緊要的問題，明天可能成為嚴(yán)重的安全威脅。其次，安全問題是動態(tài)的。安全管理包括人員安全管理政策、組織安全管理政策等方面。物理安全涉及到關(guān)鍵設(shè)施設(shè)備的安全和資產(chǎn)存放地點(diǎn)的安全等內(nèi)容。首先，在絕大多數(shù)信息系 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計(jì)書 第 15 頁 共 96 頁統(tǒng)環(huán)境中，風(fēng)險(xiǎn)點(diǎn)或威脅點(diǎn)不是單一的。自服務(wù)系統(tǒng)的靈活性自服務(wù)系統(tǒng)的個性化應(yīng)用可以實(shí)現(xiàn)：用戶自充值，用戶費(fèi)用查詢，在線修改密碼。學(xué)校可以根據(jù)實(shí)際情況選擇不同的計(jì)費(fèi)方式。另外系統(tǒng)有些計(jì)費(fèi)系統(tǒng)還支持時(shí)段優(yōu)惠的的計(jì)費(fèi)方式，優(yōu)惠時(shí)段和折扣率時(shí)可調(diào)的。系統(tǒng)通常都有專門的資費(fèi)管理功能，支持多種資費(fèi)計(jì)算方式，包括按實(shí)際使用時(shí)間（以分鐘為單位）固定費(fèi)率的計(jì)費(fèi)方式，和定額限時(shí)的包月制方式，即使用時(shí)間在限定時(shí)間以內(nèi)的，只收取固定的費(fèi)用，若超過了限定的時(shí)間，則要按較高的費(fèi)率收取費(fèi)用。根據(jù)每個用戶選擇的資費(fèi)計(jì)算方式和網(wǎng)絡(luò)的使用情況計(jì)算出相應(yīng)的網(wǎng)絡(luò)訪問費(fèi)用。此信息是反映用戶使用網(wǎng)絡(luò)情況的最基本的資料，通過進(jìn)一步的分析統(tǒng)計(jì)可以全面了解整個撥號網(wǎng)絡(luò)的使用情況，為管理和決策提供幫助。 大學(xué)校園網(wǎng)絡(luò)方案設(shè)計(jì)書 第 14 頁 共 96 頁 靈活的計(jì)費(fèi)管理通常，計(jì)費(fèi)系統(tǒng)包括計(jì)費(fèi)字系統(tǒng)和帳務(wù)處理子系統(tǒng)。為了做到對接入用戶的精確管理，可以在上述身份認(rèn)證技術(shù)所需的客戶端軟件上實(shí)現(xiàn)多重綁定功能，即可以把 IP 地址、MAC 地址、交換機(jī)端口號、VLAN ID 等等元素根據(jù)需要靈活捆綁在一起，這樣，實(shí)現(xiàn)對用戶的精確定位就非常方便了。( 通常是一個遠(yuǎn)程驗(yàn)證撥號接入用戶服務(wù)器，不過 并未對此做出具體要求)?？蓴U(kuò)展驗(yàn)證協(xié)議信息被包含在 信息中，并被稱為EAP