【正文】 全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。具備 MAC 流、IP 流、應(yīng)用流、時(shí)間流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以 及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供服務(wù)。 在 骨干網(wǎng)絡(luò) 網(wǎng)絡(luò)中，由于信息資源集中于 骨干網(wǎng)絡(luò) 網(wǎng)絡(luò)中心，為保證全網(wǎng)的 QoS，要求資源中心核心交換機(jī)、分中心交換機(jī)和接入交換機(jī)均支持第三層的 QoS 標(biāo)注方案，而二層的 標(biāo)記對于 骨干網(wǎng)絡(luò) 這樣的網(wǎng)絡(luò)并沒有實(shí)際意義，因?yàn)? 的標(biāo)記不能在交換機(jī)之間傳遞，只能在本機(jī)上有用。 例如，將下載一個(gè)大型文件的任務(wù)設(shè)置到交換機(jī)一個(gè)端口，而在該交換機(jī)的另外一個(gè)端口進(jìn)行語音通信，為減少語音通信時(shí)延，保證通話質(zhì)量，可在整個(gè)網(wǎng)絡(luò)中對各種業(yè)務(wù)進(jìn)行分類和優(yōu)先級劃分。 （五）網(wǎng)絡(luò) QoS 設(shè)計(jì) 為確保用戶各種關(guān)鍵業(yè)務(wù)的正常開展，必須采取全面而系統(tǒng)的 QoS 設(shè)計(jì) (提供端到端QoS 服務(wù) )，以保證重要的數(shù)據(jù)流在網(wǎng)絡(luò)發(fā)生擁塞時(shí)獲得有保證的吞吐量和最低的延時(shí)；為了保證端到端用戶的服務(wù)質(zhì)量，因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡(luò)設(shè)備都支持實(shí)施的QoS 策略，核心設(shè)備是多個(gè)服務(wù)器接入的設(shè)備，并且擔(dān)負(fù)著全網(wǎng)數(shù)據(jù)的交換， QoS 的能 13 力影響著全網(wǎng)的服務(wù) 質(zhì)量保障能力。 VLAN 間路由采用三層交換設(shè)備進(jìn)行 VLAN 路由。 易于實(shí)施。為了更好的進(jìn)行 VLAN 規(guī)劃的實(shí)施，因此在網(wǎng)絡(luò)實(shí)施前期，要對網(wǎng)絡(luò)中不同區(qū)域的 VLAN 設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在骨干網(wǎng)絡(luò)這樣大型的校園網(wǎng)絡(luò)中如果以用戶群體來劃分 VLAN 的話，避免由于前期配置設(shè)備時(shí)復(fù)雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置 ，導(dǎo)致造成整個(gè)校園網(wǎng)絡(luò)中 VLAN 劃分復(fù)雜，減輕管理和后期維護(hù)。 根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)的實(shí)際情況，方案建議在骨干網(wǎng)絡(luò) VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為 VLAN 范圍劃分。 ? 提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少站點(diǎn)的移動(dòng)和改變的開銷。 ? 網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的 IP子網(wǎng)和 VLAN，實(shí)現(xiàn)更加安全的對所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。 ? VLAN 劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的 VLAN之間不能隨意通訊，只限與 本子網(wǎng) 12 間通訊，不會對其他的子網(wǎng)產(chǎn)生干擾。 （四）網(wǎng)絡(luò) VLAN 的設(shè)計(jì) 在 校園網(wǎng)絡(luò) 的整個(gè)網(wǎng)絡(luò)規(guī)劃當(dāng)中， VLAN 的劃分是非常重要的部分，很好的利用 VLAN技術(shù)的功能，能起到事半功倍的效果，對整個(gè)網(wǎng)絡(luò)的性能也是事關(guān)重要的。 網(wǎng)絡(luò)拓?fù)湟?guī)劃圖如下： 11 C e r n e t數(shù) 據(jù) 庫O VV O DD N SF T P財(cái) 務(wù) 數(shù) 據(jù)教 學(xué) 樓實(shí) 訓(xùn) 樓O A1 0 0 0 M 光 纖 鏈 路 （三）擴(kuò)展的考慮 備份線路帶寬擴(kuò)展：在未來升級考慮中，可將核心與匯聚間千兆備份線路帶寬升級至10G 帶寬，以提高備份線路的連接帶寬。 按照核心的架構(gòu)， 才 用單引擎 單 核心， 采用 單 核心 單 引擎， 核心和引擎之間做冗余備份。 3．出口 因?yàn)樾@網(wǎng)出口采用以太網(wǎng)，所以采用 路由器 + 防火墻 的方式 ，起到如下作用： 防火墻提供強(qiáng)有力的服務(wù)器、內(nèi)網(wǎng)安全保護(hù)、提供 IDS 等安全特性；路由器提供出口路由功能，數(shù)據(jù)處理能力強(qiáng)，具有強(qiáng)大的 NAT 功能 。 樓層交換節(jié) 點(diǎn)采用千兆智能堆疊交換機(jī)，提供智能的流分類和完善的 QoS 特征。核心層交換機(jī)跟匯聚接入層交換機(jī)之間的千兆鏈路可以捆綁，從而實(shí)現(xiàn)帶寬的靈活擴(kuò)展。 RGS6800E 交換機(jī)通過先進(jìn)的第三代高性能引擎可硬件支持策略路由、 IPV6 等協(xié)議，并可擴(kuò)展支持 MPLS、 load balancing、 NAT、 VPN、 Firewall、 IDS、 web cache redirect等豐富的業(yè)務(wù)功能，滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。目前提供 10 豎插槽設(shè)計(jì)和 6 橫插槽設(shè)計(jì)兩種主機(jī)： RGS6810E 和 RGS6806E。 多業(yè)務(wù)萬兆核心路由交換機(jī) 高背板 帶寬 和二 /三層包 轉(zhuǎn)發(fā) 速率可為用戶提供高速無阻塞的交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機(jī)的理想選擇。 綜上所述，主干核心交換機(jī)屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機(jī) 建議采用 多業(yè)務(wù)萬兆核心路由交換機(jī) 。具 9 體來說核心節(jié)點(diǎn)的交換機(jī)有兩個(gè)基本要求： 1）高密度端口情況下，還能保持各端口的線速轉(zhuǎn)發(fā)； 2）關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇。另外作為整個(gè)網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時(shí)，還必須保證穩(wěn)定可靠的運(yùn)行。全線采用基于SNMP 標(biāo)準(zhǔn)的可網(wǎng)管產(chǎn)品，達(dá)到全程網(wǎng)管，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性、可管理性，同時(shí)又具有很好的可擴(kuò)充性 。為了便于擴(kuò)展，對于核心設(shè)備必須采用模塊化高密度端口的設(shè)備，便于將來升級和擴(kuò)展。最好能夠做到在網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng)模塊，而不需要更換整個(gè)設(shè)備。 在 網(wǎng)絡(luò) 設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括 端口 隔離、 路由過濾 、 防 DDoS 拒絕服務(wù)攻擊 、 防 IP 掃描、 系統(tǒng)安全機(jī)制、 多種 數(shù)據(jù) 訪問 權(quán)限控制等 ，銳捷網(wǎng)絡(luò)充分考慮安全性，針對的各種應(yīng)用，有多 種的保護(hù)機(jī)制，如劃分 VLAN、 IP/MAC地址綁定 （過濾） 、 ACL、 路由過濾 、 防 DDoS 拒絕服務(wù)攻擊 、 防 IP 掃描 、 認(rèn)證機(jī)制、 SSH 加密連接 等具體技術(shù)提升整個(gè)網(wǎng)絡(luò)的安全性 。 為了保證骨干網(wǎng)絡(luò)平臺的健壯性和鏈路冗余性，建議網(wǎng)絡(luò)實(shí)施時(shí)在學(xué)校啟用千兆備份線路。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地位 ，保證貴校網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用 萬兆 以太網(wǎng)技術(shù)來構(gòu)建網(wǎng)絡(luò)主干線路。 我們遵循以下的原則進(jìn)行網(wǎng)絡(luò)設(shè)計(jì) ： 網(wǎng)絡(luò) 建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針 ，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則 ，建設(shè)的 萬兆骨干網(wǎng)絡(luò)平臺 ，保護(hù)用戶的投資。并且從 學(xué)校 的利益出發(fā)，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計(jì)。辦公電腦建議采用品牌的商用機(jī)，商用機(jī)運(yùn)行比較 穩(wěn)定，而且比較耐用，運(yùn)算速度較快，較適于開發(fā)使用。對該網(wǎng)絡(luò)支持的設(shè)備生產(chǎn)廠商有較好的技術(shù)支持。 由于所有節(jié)點(diǎn)的往外傳輸都必須經(jīng)過中央節(jié)點(diǎn)來處理，因此，對中央節(jié)點(diǎn)的要求比較高。由于當(dāng)前類似“沖擊波、震蕩波病毒”的肆虐，一個(gè)健壯的網(wǎng)絡(luò)應(yīng)該提供必要的手段，禁止特定病毒的傳播以及由于病毒造成的流量擁塞。另外 校園網(wǎng)的網(wǎng)絡(luò)安全，還需要考慮與外網(wǎng)及內(nèi)網(wǎng)不同應(yīng)用系統(tǒng)之間的安全訪問控制。 在校園網(wǎng)絡(luò)中，對于校園網(wǎng)的安全保障十分重要：校園網(wǎng)的信息點(diǎn)分布很廣，與一般企業(yè)網(wǎng)比較，校園網(wǎng)用戶的流動(dòng)性大，信息點(diǎn)存在隨意接入使用的問題。在這樣的需求中利用，冗余的管理交換引擎、冗余的電源等關(guān)鍵部件的冗余，支持（ 、 ） 多 Vlan 生成樹協(xié)議保證鏈路級的冗余和負(fù)載均衡，支持 VRRP、 OSPF 等三層路由協(xié)議保證路由級的冗余，支持 load balancing 技術(shù)實(shí)現(xiàn)了應(yīng)用級的冗余備份和負(fù)載均衡。就要完全能保證網(wǎng)絡(luò)設(shè)備全天后的可用性。這種分布式處理可以極大地提高整體處理能力，保證了網(wǎng)絡(luò)暢通。使數(shù)據(jù)在獨(dú)立的板卡上就能做出對數(shù)據(jù)的識別，這樣比在中央處理器識別要快的多。帶來了對網(wǎng)絡(luò)系統(tǒng)要求具有高效率等，以保證大數(shù)據(jù)量訪問下有效的處理能力。所以萬兆骨干網(wǎng)絡(luò)平臺就應(yīng)具有良好的兼容性和可擴(kuò)展性，能與當(dāng)前校園網(wǎng)絡(luò)無縫銜接，同時(shí)預(yù)留空間符合當(dāng)前和以后的信息建設(shè)需要和足夠的升級空間。 6 在園區(qū)網(wǎng)絡(luò)中，存在多樣的網(wǎng)絡(luò)設(shè)備及系統(tǒng)應(yīng)用環(huán)境，并且要考慮在用戶迅速增長的今天，考慮到網(wǎng)絡(luò)設(shè)備的可擴(kuò)展性。對不同服務(wù)流進(jìn)行詳細(xì)的分類，劃分優(yōu)先級，以及盡可能地避免發(fā)生擁塞。通過智能到邊緣，端到端的應(yīng)用方式，可以減少對網(wǎng)絡(luò)核心設(shè)備的消耗，這樣保證了網(wǎng)絡(luò)的有效暢通。 一、用戶需求分析 在校園網(wǎng)絡(luò)中，視頻、音頻、數(shù)據(jù)集于一身，如果保證不了高帶寬、又多種視頻、音頻、數(shù)據(jù)流混雜在一起進(jìn)行傳輸，就沒法對流做出最高優(yōu)先級和次高優(yōu)先級及底優(yōu)先級的分類，這樣就不能保證重要業(yè)務(wù)的暢通，造成網(wǎng)絡(luò)延遲、服務(wù)不可用。 （ 10）、網(wǎng)絡(luò)中心設(shè)在實(shí)訓(xùn)樓的 321 和教學(xué)樓的 321, 實(shí)訓(xùn)樓與教學(xué)樓相距 100 米，兩樓用光纖連接。 （ 8）、所有實(shí)驗(yàn)室各自劃分 VLAN 之間不能互訪，不能訪問其他區(qū)域，只能上網(wǎng)。 （ 6）、做好路由器與防火墻之間的安全通信工作，防止搭線竊聽， IP 盜用。 （ 4）、校園網(wǎng)采用路由器 +防火墻結(jié)構(gòu)進(jìn)行接入，網(wǎng)絡(luò)互聯(lián)設(shè)備 (交換機(jī)、路由器、線纜、及其他設(shè)置 )。 （ 2）、校園網(wǎng)內(nèi)具有 WWW 服務(wù)器、 FTP 服務(wù)器、 DNS 服務(wù)器、 VOD 點(diǎn)播服務(wù)器、辦公OA 服務(wù)器、設(shè)有基于 SAN 架構(gòu)的磁盤陣列用于數(shù)據(jù)存儲、用于提供