【正文】 用和規(guī)范校園網(wǎng)的應(yīng)用，提高北京科技大學(xué)校園網(wǎng)的安全性和可控制性， S8512/NE05 可以根據(jù)基于復(fù)雜流的分類來檢測數(shù)據(jù)報文的合法性和安全性。具體實現(xiàn)如下圖所示： 當(dāng)用戶要訪問服務(wù)器 A 時， A 與 B 之間是相互備份的狀態(tài)，由于當(dāng)前 A 的負(fù)荷很大，但 B 較為空閑，這時 S8512 可以檢測相連的服務(wù)器的當(dāng)前狀態(tài)，使得用戶訪問 的數(shù)據(jù)流合理調(diào)配，均勻分配在 A 與Ｂ上，同時用戶還可以根據(jù)不同的應(yīng)用來接入到不同的服務(wù)器上面，如：下載視頻業(yè)務(wù)的用戶讓其訪問服務(wù)器 A，而下載圖片或是學(xué)習(xí)資料的用戶讓其訪問服務(wù)器 B，這種靈活的策略讓整個網(wǎng)絡(luò)的速度提高，不會出現(xiàn)服務(wù)器的高負(fù)荷，提高用戶訪問速度。華為公司充分考慮到用戶的相關(guān)的需求，因此 NE05 的核心交換機對于新業(yè)務(wù) MPLS VPN、 IPv6 等技術(shù)均可支持。在北京科技大學(xué)的建網(wǎng)的過程當(dāng)中希望能夠考慮到網(wǎng)絡(luò)的延續(xù)性以及相關(guān)的技術(shù)的支持性，以便于網(wǎng)絡(luò)的建設(shè)的發(fā)展。這是我們選則 S8512 的作為核心交換的非常重要的原因。但是 S8512 是根據(jù)最長匹配來查找路由的，是針對網(wǎng)斷進(jìn)行路由的。因為 S8512的路由查找模式為最長匹配。針對用戶要求在實際的組網(wǎng)方面采用戶為的 12GE 接口板提供高速的雙向的線速的速率，完全不會產(chǎn)生帶寬瓶頸。華為 S8512 背板交換容量 夠做到所有 GE 接口的雙向的線速，華為公司的 S8512 的性能指標(biāo)是經(jīng)過完整的測試，而業(yè)界廠家在指標(biāo)宣稱上面往往與給最終提供給用戶的不一致。這是我們選則 S8512 的作為核心交換的非常重要的原因。 S8512 是根據(jù)最長匹配來查找路由的，是針對網(wǎng)斷進(jìn)行路由的。華為 3 所采用產(chǎn)品 NE0 S851 S6503 等三層轉(zhuǎn)發(fā)模式均為最長路由匹配技術(shù)。 校內(nèi)三層互訪：對于同在一個校園內(nèi)部的學(xué)生之間的互訪可以直接通過局域網(wǎng)的內(nèi)部交換機來完成內(nèi)部之間的互訪，如圖三層互訪示意圖所示：對于同屬于一個匯聚層交換機 S6506R 下的用 戶，兩個用戶之間的互訪可以直接在匯聚層交換機 S650R 上來完成，而對于跨匯聚層交換機的用戶只見的額互訪可以通過核心交換機 S8512 來完成， S8512 強大的三層交換功能完全可以勝任任何突發(fā)流量以及高集中用戶上網(wǎng)時段的三層交換，為用戶提供高速高帶寬的用戶接入。華為 QuidView系列產(chǎn)品支持統(tǒng)一的網(wǎng)管平臺，通過華為 Quidview網(wǎng)管軟件可以對全網(wǎng)設(shè)備實施從網(wǎng)元到拓?fù)?、故障等系列特性實施及時、專業(yè)的管理。 千兆硬件防火墻：考慮到原出口防火墻為軟件防火墻，其在網(wǎng)絡(luò)當(dāng)中將會存在嚴(yán)重的瓶頸，因此在此次 網(wǎng)絡(luò)的改造過程當(dāng)中建議將出口部分的防火墻進(jìn)行改造，采用 Eudemon200 應(yīng)將防火墻取代原出口部分的軟件防火墻以進(jìn)一步提高出口部分的處理能力，華為 Eudemon200 硬件防火墻采用專業(yè)的硬件 ASIC 芯片實現(xiàn)出口數(shù)據(jù)的硬件的處理，而不會因為業(yè)務(wù)的繁忙而影響其處理性能，從而到大大提高了整個網(wǎng)絡(luò)的安全性以及高性能性?？芍С謴姶蟮牟呗月酚晒δ?，支持硬件的 ACL 列表，支持 IPV6 技術(shù)。對于未來主干的升級，華為 S6506R 可平滑升級到萬兆骨干，因此用戶無需對于該節(jié)點的進(jìn)一步擴展而擔(dān)心。同時對于萬兆接口、 IPv6 等新技術(shù)均支持。S8512 全分布式的處理方式，所有端口線速轉(zhuǎn)發(fā)，背板容量 ，包轉(zhuǎn)發(fā)率432Mpps，最大可以支持 290GE 的線速轉(zhuǎn)發(fā)，可以為用戶提供強大的三層交換功能。華為 E 系列接入層交換機具有強大的業(yè)務(wù)特性，可以支持 256/128 個標(biāo)準(zhǔn)的 VLAN，并能夠提供強大的業(yè)務(wù)功能：如 認(rèn)證、 IP地址綁定、動態(tài) ACL、 動態(tài) Vlan、防止 Proxy 等功能。 接入層設(shè)計方案 此次接入層建議采用華為 3 公司 E050/E026SI 接入層交換機作為學(xué)校的接入層交換機。出口路由器 NE05 包轉(zhuǎn)發(fā)率高達(dá) 同時可提供豐富的業(yè)務(wù)特性如： IPV策略路由、 IPsec、 L2tp、 MPLS VPN 等滿足用戶的不同需求。核心交換機 S8512 其強大的性能完全可以承擔(dān)北京科技大學(xué)整個校園網(wǎng)的核心交換機，背板容量 ,包轉(zhuǎn)發(fā)率 432Mpps，其豐富的接口類型以及高密度的單板完全可為用戶提供 強大的擴展空間。其整體組網(wǎng)圖如下所示： 如圖所示，改造后核心交換機采用 S8512 核心交換機作為整個校園網(wǎng)絡(luò)的核心交換機，出口路由器以及防火墻均采用千兆 GE 方式進(jìn)行組網(wǎng)，考慮到要與改造后的 ATM 網(wǎng)相連建議核心交換機通過 10GE 接口分別與改造后的 ATM 網(wǎng)的圖書館節(jié)點、主樓節(jié)點相連進(jìn)而進(jìn)一步擴大主干的帶寬。由于出口防火墻為軟件防火墻，其處理的速度依賴于主機的性能以及軟件平臺的處理因此在防火墻處也同樣存在這嚴(yán)重的帶寬瓶頸。 以太網(wǎng)核心交換機改造組網(wǎng)描述 網(wǎng)絡(luò)運行問題分析： 目前北京科技大學(xué)網(wǎng)絡(luò)的整體運行較慢，以太網(wǎng)目前的核心網(wǎng)絡(luò)組網(wǎng)如下圖所示： 原因分析： 核心出口串連引起擁塞， 從目前的核心出口部分可以看出，在出口部分有設(shè)備：防火墻、計費主機、出口路由器三個設(shè)備，均為百兆因此上行流量在經(jīng)過每一臺設(shè)備的時候都會產(chǎn)生不同程度的帶寬浪費因此實際上真正出口的流量將無法達(dá)到百兆的線速帶寬，因此將會產(chǎn)生一定的出口流量的影響，因而將會進(jìn)一步影響出口的帶寬。 園區(qū)骨干網(wǎng)的組網(wǎng)主要是在主樓、圖書館、綜合樓、實驗樓四個節(jié)點構(gòu)成環(huán)行網(wǎng)絡(luò)采用動態(tài)路由協(xié)議 OSPF，環(huán)網(wǎng)的構(gòu)成進(jìn)一步大大提高了網(wǎng)絡(luò)的可靠性，同時華為 S8505 萬兆交換機其 750G 背板容量進(jìn)一步滿足大型節(jié)點高數(shù)據(jù)量轉(zhuǎn)發(fā)的特點完全滿足骨干節(jié)點的需求，整個改造后的 ATM 網(wǎng)絡(luò)與校園網(wǎng)核心交換機之間采用 10GE 的帶寬相連大大擴大的原有的帶寬，原校園網(wǎng)核心交換機 CB9000可進(jìn)一步使用 S8512 替換，同樣采用 10GE 接口與改造后的 ATM 網(wǎng)相連進(jìn)一步擴大骨干網(wǎng)的帶寬。為實現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由圖書館節(jié)點、主樓節(jié)點構(gòu)成，對于這兩個節(jié)點的接入是采取二層的組網(wǎng)方式，其匯聚層的減少大大降低了網(wǎng)絡(luò)當(dāng)中在匯聚層有可能會產(chǎn)生流量瓶頸的問題。 主樓節(jié)點組網(wǎng)圖： 主樓節(jié)點與圖書館節(jié)點部分基本類似圖書館節(jié)點， 組網(wǎng)圖如下所示： 主樓節(jié)點主要負(fù)責(zé)保衛(wèi)處、自動化所、理化樓、計算中心、金物樓、管理樓、文法樓 7 個點的接入，完 成各節(jié)點之間的相互訪問，其三層互通由主樓中心節(jié)點S8505 三層交換機完成互通。 圖書館節(jié)點組網(wǎng)圖如下所示： 圖書館節(jié)點采用 S8505 核心交換機作為整個節(jié)點的核心交換機，其采用星型結(jié)構(gòu)分別與下屬的 6 個接入點 相連，接入點有：院士樓、博士后樓等接入點較少的地方可以直接采用 1臺華為 E026－ SI或 E050設(shè)備采用千兆模塊直接與核心相連，對于新教室樓、礦研樓等信息點數(shù)較多的地方可以采用接入層交換機E050、 E026SI 堆疊的方式以擴大信息點的數(shù)量。圖中樓宇之間的布線均采用千兆單模光纖互聯(lián)實現(xiàn)千兆到樓層，樓內(nèi)布線均采用六類線實現(xiàn)百兆到桌面的設(shè)計思想。 3．總體網(wǎng)絡(luò)設(shè)計 網(wǎng)核心改造組網(wǎng)描述 北京科技大學(xué)校園核心層解決方案總體設(shè)計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管 系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計方法。 安全監(jiān)控部門可以采用拉獨立光纖的方式作為全網(wǎng)的監(jiān)控點的鏈接。 教職工具有同時內(nèi)網(wǎng)外網(wǎng)訪問的權(quán)限，而外網(wǎng)無法訪問內(nèi)網(wǎng)信息，可以在核心交換機上通過 ACL 來進(jìn)行設(shè)定，以提高網(wǎng)絡(luò)安全性 學(xué)校一卡 通接入點可以設(shè)置單獨的 VLAN，并設(shè)定獨立的 Qos 策略，提高一卡通用戶的安全性和可靠性。 整體網(wǎng)絡(luò)應(yīng)用層的支持以及相關(guān)業(yè)務(wù)區(qū)分。 對于目前主流技術(shù)的支持。 從技術(shù)規(guī)范上來看在物理層要求具有合理的光纖布線方式。對于學(xué)校內(nèi)部的攻擊可以采取對于學(xué)生等群體的接入層采用IP 地址、 VLAN、 MAC、端口等五元組當(dāng)中的任意三元組的綁定，以防止內(nèi)部的 ARP、IP 地址欺騙等相關(guān)攻擊。內(nèi)部在出口部分設(shè)置防火墻防止外部的攻擊，同時對于服務(wù)器群可以采取設(shè)置 DMZ 區(qū)來有效的隔離外界攻擊。 網(wǎng)絡(luò)的安全是網(wǎng)絡(luò)最為重要的一個方面，在北京科技大學(xué)網(wǎng)絡(luò)設(shè)計方案當(dāng)中應(yīng)當(dāng)充分考慮，對于監(jiān)控方面的安全措施，可以采用直接提供單獨光纖給監(jiān)視設(shè)備。華為核心交換機以及出口路由器均支持強大的 Qos 功能，可以實現(xiàn)按不同端口、不同業(yè)務(wù)進(jìn)行 Qos 的設(shè)定從而實現(xiàn)全網(wǎng)對于視頻、 IP 電話的支持。對于一卡通的改造可以采用設(shè)置單獨的 VLAN，同時為了保證一卡通的帶寬可以在全網(wǎng)當(dāng)中的設(shè)備設(shè)計單獨的 Qos實現(xiàn)全網(wǎng)的帶寬保證。 根據(jù)目前學(xué)校的需求，北京科技大學(xué)應(yīng)用系統(tǒng)的需求主要分為以下幾點：行政系統(tǒng)應(yīng)用（校辦、財務(wù)等）、學(xué)籍管理系統(tǒng)（學(xué)生處）、一卡通（飯卡、取款卡的統(tǒng)一）。學(xué)校內(nèi)部用戶也不允許通過校園內(nèi)部網(wǎng)訪問三產(chǎn)公司的相關(guān)資源 以上是對于不同類別用戶的上網(wǎng)方式的劃分，這樣既可以解決相關(guān)用戶的上網(wǎng)需求又可以提高整網(wǎng)的安全性，進(jìn)而 提高整個網(wǎng)絡(luò)的穩(wěn)定性、可靠性。 對于三產(chǎn)公司等用戶的資源的訪問，學(xué)?？梢愿鶕?jù)用戶可以訪問的資源在核心交換機上通過 ACL 的進(jìn)行訪問權(quán)限的限制，對于每個單位群體可以單獨通過 1個 VLAN id 號碼進(jìn)行接入，以實現(xiàn)安全隔離以及內(nèi)部互訪的需求 物業(yè)管理等部門的訪問。 學(xué)生與老師共享資源 對于學(xué)生與老師的共享資源部分，如：電子課件、圖書館資源、多媒體教學(xué)課件等可以采用設(shè)置單獨服務(wù)器群的方式進(jìn)行資源的共享，同時在核心交換機上通過設(shè)定不同的 ACL 策略來實現(xiàn)不同用戶的訪問接入?？紤]到教職工在家里上網(wǎng)存在上外網(wǎng)和上內(nèi)網(wǎng)兩種情況，因此對于上外網(wǎng)的情況可以采用直接接入的情況，對于教職工在家里訪問學(xué)校內(nèi)部資源的情況可以采用通過 VPN 的方式進(jìn)行接入，并分配給每個老師 一個帳號這樣可以實現(xiàn)老師安全的訪問學(xué)校內(nèi)網(wǎng)資源?？紤]到外網(wǎng)的安全隱患較多，可以在出口交換機上通過ACL 列表的形式來禁止外界用戶訪問內(nèi)部網(wǎng)絡(luò)，這樣可以完全的防止外界非法用戶的進(jìn)入。 教職工在學(xué)校上班的情況。 目前北京科技大學(xué)校園網(wǎng)整體的上網(wǎng)用戶群復(fù)雜包含：學(xué)生、教職工、三產(chǎn)公司、物業(yè)管理等各方面的需求所以在實際的網(wǎng)絡(luò)規(guī)劃過程當(dāng)中應(yīng)當(dāng)充分考慮到相關(guān)問題，在實際的應(yīng)用過程當(dāng)中應(yīng)當(dāng)格局具體情況進(jìn)行區(qū)分，各用戶群的訪問控制應(yīng)提前設(shè)計好網(wǎng)絡(luò)規(guī)劃的情況。 華為 3 針對北京科技大學(xué)校園網(wǎng)的建設(shè)為用戶量身設(shè)計網(wǎng)絡(luò)體系結(jié)構(gòu)，根據(jù)目前北京科技大學(xué)的網(wǎng)絡(luò)現(xiàn)狀，結(jié)合學(xué)校內(nèi)部的整體建筑結(jié)構(gòu)，建議在學(xué)校選擇幾個信息點數(shù)相對教密集的地方分散性的構(gòu)建骨干節(jié)點，對于原有的幾個骨干節(jié)點考慮到重新布線帶來的工程問題，建議保持不變，全校以學(xué)生公寓、綜合樓、圖書館、主樓、圖書館、實驗樓、科技樓、采礦樓、辦公 樓為主節(jié)點，就近形成環(huán)行網(wǎng)，對于新增大樓的信息點可以選擇就近的接入點接入從而盡可能的減少因信息點的新增而帶來的施工問題。 總體改造結(jié)、構(gòu)業(yè)務(wù)設(shè)計： 主流的網(wǎng)絡(luò)體系結(jié)構(gòu) 北京科技大學(xué)校園園區(qū)面積很大，從目前的情況看來對于學(xué)校新增校區(qū)的信息點的接入，按照傳統(tǒng)的星星結(jié)構(gòu)的方式將會在學(xué)校內(nèi)部產(chǎn)生大量的布 線等工程而引起的施工等問題，為了解決因布線而產(chǎn)生的不必要的工程問題，在網(wǎng)絡(luò)的最初布線過程當(dāng)中應(yīng)當(dāng)充分考慮到學(xué)校后期的新大樓的信息點的接入問題。 提高網(wǎng)絡(luò)管理水平，提高網(wǎng)絡(luò)的故障快速檢測能力。 2．網(wǎng)絡(luò)設(shè)計規(guī)范 改造基本需求： 總體來說目前北京科技大學(xué)校園網(wǎng)改造基本需求為： 現(xiàn)有 的 ATM 網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)完成歷史使命，希望能夠改造到千兆以太網(wǎng)。 開放性 技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn)，避免個別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。所以在建設(shè)時要充分考慮業(yè)務(wù)的擴展能力，能針對不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。 北京科技大學(xué)網(wǎng)絡(luò)建設(shè)遵循以下基本原則： 高帶寬 北京科技大學(xué)網(wǎng)絡(luò)是一個龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，校園網(wǎng)全網(wǎng)的組網(wǎng)設(shè)計的無瓶頸性，要求方案設(shè)計的階段就要充分考慮到，同時要求核心交換 機具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換。 現(xiàn)在北京科技大學(xué)校園網(wǎng)建設(shè)要實現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的 QoS 保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實現(xiàn)教育管理、多媒體教學(xué)、圖書館管理自動化，而且還要通過 Inter 實現(xiàn)遠(yuǎn)程教學(xué)，提供可增值可