【正文】 靠性。校園網(wǎng)的主干網(wǎng)絡(luò)是校園網(wǎng)應(yīng)用正常運(yùn)行的根本保證，應(yīng)該采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)和國(guó)際知名廠商的高質(zhì)量的網(wǎng)絡(luò)設(shè)備來(lái)構(gòu)建，并利用設(shè)備冗余、鏈路冗余和 STP、 ECP的網(wǎng)絡(luò)技術(shù)保證校園網(wǎng)骨干可以不間斷地為教學(xué)、科研和辦公服務(wù)。支持 10M/100M 的用戶接入。 5．具體信息點(diǎn)分布 接入樓宇 所需光纖 接入模式 交換機(jī)安放位置 所需交換機(jī)類(lèi)型 信息點(diǎn)數(shù)量 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 機(jī)房 核心 教學(xué)樓 6 芯單模 千 兆 機(jī)房 區(qū)域匯聚 160 教師公寓 6 芯 多 模 千兆 機(jī)房 樓棟匯聚 50 學(xué)生公寓 12 芯單模 千兆 機(jī)房 樓棟匯聚 480 實(shí)訓(xùn)車(chē)間 6 芯 多 模 10 合計(jì) 700 第三章 系統(tǒng)詳細(xì)設(shè)計(jì) 校園網(wǎng)物理設(shè)計(jì) 1．核心層 核心層骨干交換機(jī)采用 RGS6806EC 交換機(jī) 。 RGS6800 系列交換機(jī)高達(dá) 512G/256G 的背板帶寬和 286 Mpps/143Mpps 的二 /三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無(wú)阻塞的 交換；同時(shí)結(jié)合強(qiáng)大的交換路由功能、安全智能技術(shù)，可以為用戶提供完整的端到端解決方案 。 RGS3760 系列交換機(jī)硬件支持 IPv4/IPv6 雙協(xié)議棧多層線速交換和功能特性，為 IPv6 網(wǎng)絡(luò)之間的通信提供了豐富的 Tunnel 技術(shù)，并提供了豐富而完善的路由協(xié)議，以適合大型網(wǎng)絡(luò)多種路由和多業(yè)務(wù)的需要。 RGS3760 系列為方便大型網(wǎng)絡(luò)使用和不同管理員的管理習(xí)慣，提供了多種形式的管理工具如SNMP、 Tel、 Web 和 Console 口等。 3．接入層 接入層設(shè)備采用安全智能交換機(jī) STARS2126G 或 STARS2150G。 STARS2126G/S2150G 可通過(guò) SNMP、 Tel、 Web和 Console 口等多種配置方式提供豐富的管理。 4．防火墻 Cisco ASA 5520 系列在單一平臺(tái)中提供了多種市場(chǎng)成熟技術(shù)的強(qiáng)大組合 ，提供 成熟的安全和 VPN 性能 ，支持 IPS、 AntiX 以及 IPSec 和 SSL VPN 技術(shù)，提供了強(qiáng)大的應(yīng)用安全、基于用戶和應(yīng)用的訪問(wèn)控制、蠕蟲(chóng)和病毒防御、惡意軟件防御、防網(wǎng)絡(luò)釣魚(yú)和防垃圾郵件、 URL 阻攔和過(guò)濾，以及遠(yuǎn)程用戶 / 地點(diǎn)連接 , 支持高度可定制的安全策略及服務(wù)，有助于防御快速發(fā)展的威脅環(huán)境 。同時(shí)， 在 防火墻上 設(shè)置策略路由，負(fù)責(zé)根據(jù)校園網(wǎng)的計(jì)費(fèi)策略和要求將出口流量分流到不同的 ISP出口上 ，以達(dá)到高速訪問(wèn)互聯(lián)網(wǎng)的效果。為上層提供服務(wù)，但與上層的協(xié)議無(wú)關(guān)， VLAN能制約數(shù)據(jù)幀在本 VLAN 的一切活動(dòng)，無(wú)需關(guān)心上層協(xié)議下傳的分組類(lèi)型，因此 VLAN 在具體的應(yīng)用上將具有優(yōu)越的實(shí)用性。各終端用戶 的變動(dòng)，只需在網(wǎng)管工作站作相應(yīng)的配置即可，使系統(tǒng)的可管理性、可維護(hù)性更好。 VLAN 架構(gòu)的目標(biāo)是使聯(lián)網(wǎng)更加容易，從而網(wǎng)絡(luò)管理人員能夠集中精力提供應(yīng)用程序和服務(wù)。它還增強(qiáng)了對(duì)廣播與組播通信的管理，提高了網(wǎng)絡(luò)安全性，實(shí)現(xiàn)了網(wǎng)絡(luò)管理中許多方面的自動(dòng)化，并減少了局域網(wǎng)中對(duì)路由器的需要。 VLAN 架構(gòu)全面應(yīng)付解決了 VLAN 實(shí)施的四個(gè)關(guān)鍵領(lǐng)域： VLAN 成員中如何定義的， VLAN 成員信息是如何在多臺(tái)交換機(jī)上交流的， VLAN 配置的自動(dòng)化程度如何，以及通信是如何在不同 VLAN之間傳輸?shù)摹? 實(shí)現(xiàn) VLAN 間通信的方式： 采用虛網(wǎng)技術(shù)對(duì) 鄂州經(jīng)貿(mào) 學(xué)校校園網(wǎng)絡(luò)進(jìn)行虛網(wǎng)劃分后，可以達(dá)到以下目的： ? 降低移動(dòng)與變更的管理成本 ? 比路由器更具成本效益的廣播控制 ? 支持多媒體應(yīng)用程序與高效組播控制 ? 增強(qiáng)的安全性 ? 網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化 ? 減少路由需要 ? 更為有效的網(wǎng)絡(luò)監(jiān) 控 虛 擬局域網(wǎng) 的規(guī)劃與設(shè)計(jì) VLAN 劃分的方法 1）按端口劃分。這種按網(wǎng)絡(luò)端口來(lái)劃分 VLAN 網(wǎng)絡(luò)成員的配置過(guò)程簡(jiǎn)單明了，因此，它是最常用的一種方式。 （ 2）按 MAC 地址劃分。這種方式的 VLAN 允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN 的成員身份，但這種方式要求網(wǎng)絡(luò)管理員將每個(gè)用戶都一一劃分在某個(gè) VLAN 中，在一個(gè)大規(guī)模的 VLAN 中，這就有些困難 。 VLAN 按網(wǎng)絡(luò)層協(xié)議來(lái)劃分，可分為 IP、 IPX、 DEC、 AppleTalk、Banyan 等 VLAN 網(wǎng)絡(luò)。這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來(lái)組織用戶的網(wǎng)絡(luò)管理員來(lái)說(shuō)是非常具 有吸引力的，而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其 VLAN 成員身份仍然保留不變。 （ 4）按 IP／ IPX 劃分。其每個(gè) VLAN 都是和一段獨(dú)立的 IP 網(wǎng)段相對(duì)應(yīng)的，將 IP 的廣播組和 VLAN 的碰撞域一對(duì)一地結(jié)合起來(lái)。其主要缺點(diǎn)在于效率要比第二層差，因?yàn)椴榭慈龑?IP 地址比查看 MAC 地址所消耗的時(shí)間多。 （ 5）按策略劃分。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來(lái)決定選擇哪種類(lèi)型的 VLAN?；谟脩舳x、非用戶授權(quán)來(lái)劃分 VLAN，是指為了適應(yīng)特別的 VLAN網(wǎng)絡(luò)，特別的網(wǎng)絡(luò)用戶的特別要求來(lái)定義和設(shè)計(jì) VLAN，而且可以讓非 VLAN 群體用戶訪問(wèn) VLAN，但是需要提供用戶密碼，得到 VLAN 管理的認(rèn)證后才可以加入一個(gè) VLAN。而在每個(gè) VTP 域中， VLAN1 專門(mén)用于交換機(jī)之 間控制面板流量的傳輸，而不承載用戶數(shù)據(jù)，也不作為管理 VLAN，并在 Trunk 上清除了 VLAN1 的用戶流量以減小VLAN1 生成樹(shù)的直徑。 VLAN 的劃分有許多的方法，考慮到終端用戶位置的相對(duì)固定性，全網(wǎng) VLAN 的劃分的方法采用 按網(wǎng)絡(luò)端口來(lái)劃分 VLAN 的方法，這樣的方法使得 配置過(guò)程簡(jiǎn)單明了， 而且這也 是最常用的一種方式。 VLAN 的劃分從理論上來(lái)說(shuō)是可以跨地域范圍的，但還是建議基于一定的地理位置來(lái)劃分VLAN，這不僅可以把廣播限制在一定的區(qū)域，而且為 VLAN 到網(wǎng)絡(luò)中心的訪問(wèn)提供了確定的訪問(wèn)路徑，便于 troubleshooting，也為交換機(jī)式網(wǎng)絡(luò)升級(jí)到路由網(wǎng)絡(luò)提供了便利。 可以將每個(gè)以太網(wǎng)接入的客戶放置于獨(dú)立的 VLAN 中，這樣客戶彼此之間是完全從L2 層隔離的。因此針對(duì)該問(wèn)題，提出了 Private VLAN 技術(shù)，正好可以解決這些問(wèn)題。Private VLAN 可以把一個(gè)大的 IP地址域劃分成多個(gè)地址組，各個(gè)地址組之間不能互訪，既實(shí)現(xiàn)了安全隔離又省卻了地址 劃分及重規(guī)劃的復(fù)雜，節(jié)約了 IP 地址。在 Secondary VLAN 中， Isolated port 只能和 Promiscuous port 通訊，彼此不能交換流量；在 Additional Secondary VLAN 中， Community port 不僅可以和Promiscuous port 通信，而且彼此也可以交換流量。無(wú)論網(wǎng)絡(luò)硬件平臺(tái)多么先進(jìn)，沒(méi)有與之配套的先進(jìn)應(yīng)用系統(tǒng)，網(wǎng)絡(luò)的價(jià)值就無(wú)法得到真正的體現(xiàn)。 首先是校園網(wǎng)骨干設(shè)備的地址，由于校園網(wǎng)地址空間實(shí)在緊張，所有設(shè)備的管理地址可以采用私網(wǎng)地址。在校園網(wǎng)內(nèi)骨干網(wǎng)上將不存 在私有 IP 子網(wǎng)的路由，各片區(qū)的私有地址可自行定義使用。 另一種方式是，無(wú)論采用公用還是私有 IP 地址的用戶，可直接進(jìn)行校園網(wǎng)內(nèi)互訪不需進(jìn)行地址轉(zhuǎn)換，各邊界三層交換機(jī)有相應(yīng)的路由信息，校園網(wǎng)的保留地址進(jìn)行統(tǒng)一的規(guī)劃，其路由信息可在全網(wǎng)絡(luò)內(nèi)傳播。在校園網(wǎng)出口處應(yīng)采用源 路由方式 (策略路由 )將流量導(dǎo)向 NAT 設(shè)備。 校園網(wǎng)絡(luò)中地址分配最主要的因素是公網(wǎng)地址空間的缺口： 我們都知道 IP 網(wǎng)分配了公用 IP 地址。 由于大部分的個(gè)人用戶不需要固定的 IP 地址，因此對(duì)個(gè)人用戶采用動(dòng)態(tài)的 IP 地址分配可以節(jié)省 189。的地址資源。但后一種方式的主要問(wèn)題是 NAT/PAT 轉(zhuǎn)換的性能問(wèn)題，第二個(gè)問(wèn)題是可能會(huì)影 響某些應(yīng)用。 如果采用以太網(wǎng)和 per user perVLAN 的方式，地址消耗太大，使用私網(wǎng)地址 +NAT 是合理的選擇。 由于目前單臺(tái)設(shè)備的 NAT/PAT的性能不理想，解決的方法是由邊緣層交換機(jī)分擔(dān)完成該功能。 可能某個(gè)用戶需要采用某種應(yīng)用而該應(yīng)用不能穿過(guò) NAT/PAT 設(shè)備，如某些多媒體應(yīng)用和 VPN應(yīng)用。 綜合以上多種考慮，對(duì)于采用 IP 網(wǎng)作為校園網(wǎng)主要載體的學(xué)校，我們建議： 對(duì)校園內(nèi)學(xué)生宿舍或教工住宅用戶采用地址 靜 態(tài)分配、以私網(wǎng)地址為主。 Inter出口的策略路由及設(shè)計(jì) 鄂州經(jīng)貿(mào) 學(xué)校具有兩個(gè)校園網(wǎng)廣域出口，為充分利用這些網(wǎng)絡(luò)資源，在路由策略上可以進(jìn)行靈活地選擇。而非 FreeIP范圍的流量需要另外交 納流量費(fèi)用，并且?guī)捠艿接绊?，可以選擇通過(guò)電信公眾網(wǎng)出口。 在高性能的互聯(lián)網(wǎng)絡(luò)中，各個(gè)公司 /組織機(jī)構(gòu)都希望網(wǎng)絡(luò)具有一定的靈活性，以便可以根據(jù)自己定義的、在傳統(tǒng)路由選擇協(xié)議考慮之外的策略來(lái)實(shí)施數(shù)據(jù)包的轉(zhuǎn)發(fā)和路由。 基于策略的路由被應(yīng)用于進(jìn)入的數(shù)據(jù)包，啟用了基于策略的路由的接口所接收的所有數(shù)據(jù)包都被考慮執(zhí)行基于策略的路由。 路由器通常根據(jù)其路由表中的信息將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地址，與根據(jù)目的地址進(jìn)行的路由不同，基于策略的路由使網(wǎng)絡(luò)管理員能夠決定和實(shí)施路由策略 網(wǎng)絡(luò)安全 設(shè)計(jì) 網(wǎng)絡(luò)安全的需求 （ 1）有效的訪問(wèn)控制 通過(guò)特定的網(wǎng)段及服務(wù)建立訪問(wèn)控制體系，實(shí)現(xiàn)如下目標(biāo)：允許網(wǎng)上用戶訪問(wèn)時(shí)，正確、迅速可達(dá)；不允許時(shí)，用戶根本查找不到網(wǎng)絡(luò)目標(biāo)，從而有效地阻止其訪問(wèn)或攻擊。 （ 3）多層防御和完善的認(rèn)證體系 建立一個(gè)良好的認(rèn)證體系，可防止非法用戶的攻擊。 （ 4）數(shù)據(jù)備份和恢復(fù) 應(yīng)設(shè)計(jì)良好的備份和恢復(fù)機(jī)制，一旦數(shù)據(jù)被破壞可及時(shí)得到恢復(fù)，避免系統(tǒng)遭到攻擊后全網(wǎng)癱瘓。另一種情況是，一個(gè)用戶申請(qǐng)了一個(gè)端口訪問(wèn) INTERNET，但他卻為許多其它用戶提供接入，進(jìn)行第 2 級(jí)帶寬批發(fā)或從事其它經(jīng)營(yíng)活動(dòng)。 需要指出的是，如果用戶使用代理上網(wǎng)，此時(shí)無(wú)法通過(guò)普通手法進(jìn)行限制，因?yàn)榫W(wǎng)絡(luò)管理根本無(wú)法發(fā)覺(jué)，要解決這個(gè)問(wèn)題，必須通過(guò)限制訪問(wèn)速率進(jìn)行，所以接入交換機(jī)支持速率限制在這種場(chǎng)合顯得和重要。 所選交換機(jī)支持端口的安全特性，每個(gè)端口可靜態(tài)設(shè)置多個(gè) MAC 地址，如果有非法 MAC 地址入侵，交換機(jī) 會(huì)通過(guò) TRAP 告警網(wǎng)絡(luò)管理員。 2．限定端口的同時(shí)連接 MAC 數(shù) 此種方法不須要做 MAC 地址和端口的靜態(tài)綁定，只限制每端口同時(shí)連接的 MAC 地址數(shù)量。 對(duì)合法用戶的正常使用，我們建議采用以下技術(shù)： 3．流量 限制技術(shù) 通過(guò)對(duì)用戶接入端口進(jìn)行速率限制，保證用戶不可以超越某個(gè)速率上限，一旦發(fā)覺(jué)某一端口流量異常，則可以認(rèn)為有太多突發(fā)流量通過(guò)此端口進(jìn)入業(yè)務(wù)網(wǎng)絡(luò)，由可能在進(jìn)行黑客活動(dòng)，也有可能在利用此端口進(jìn)行帶寬批發(fā)活動(dòng)或其他經(jīng)營(yíng)活動(dòng)，網(wǎng)絡(luò)管理人員可以馬上關(guān)閉此端口，并通知客戶。當(dāng)然，缺點(diǎn)是一個(gè)用戶必須占用一個(gè)物理端口。 4． PVLAN 技術(shù) 現(xiàn)在 有了一種新的 VLAN 機(jī)制，服務(wù)器同在一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。 專用 VLAN 是第 2 層的機(jī)制，在同一個(gè) 2 層域中有兩類(lèi)不同安全級(jí)別的訪問(wèn)端口?；祀s端口 (Promioscuous port)沒(méi)有專用端口的限定，它與路由器或第 3 層交換機(jī)接口相連。下圖示出了同一專用 VLAN中兩類(lèi)端口的關(guān)系： 專用 VLAN 的應(yīng)用對(duì)于保證城域接入網(wǎng)絡(luò)的數(shù)據(jù)通訊的安全性是非常有效的用戶只需與自己的缺省網(wǎng)關(guān)連接，一個(gè)專用 VLAN 不需要多個(gè) VLAN 和 IP子 網(wǎng)就提供了具備第二層數(shù)據(jù)通訊安全性的連接，所有的用戶都接入專用 VLAN，從而實(shí)現(xiàn)了所有用戶與缺省網(wǎng)關(guān)的連接，而與專用 VLAN內(nèi)的其他用戶沒(méi)有任何訪問(wèn)。這樣即使同一 VLAN 中的用戶，相互之間也不會(huì)受到廣播的影響。該產(chǎn)品具有 4個(gè)千兆光纖端口， 1 個(gè)百兆端口。 此處可根據(jù)需要，在防火墻上設(shè)置如下安全策略： ? 解決內(nèi)外網(wǎng) 絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)（禁止外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)）； ? 根據(jù) IP 地址、協(xié)議類(lèi)型、端口等進(jìn)行數(shù)據(jù)包過(guò)濾； ? 內(nèi)外網(wǎng)絡(luò)采用兩套 IP 地址，實(shí)現(xiàn)雙向地址轉(zhuǎn)換功能； ? 支持安全服務(wù)器網(wǎng)絡(luò)（ DMZ 區(qū)），允許內(nèi)外網(wǎng)絡(luò)訪問(wèn) DMZ 區(qū)，但禁止 DMZ 區(qū)訪問(wèn)內(nèi)部網(wǎng)絡(luò)； ? 通過(guò) IP 與 MAC 地址綁定防止 IP 盜用，避免亂用網(wǎng)絡(luò)資源； ? 防止 IP 欺騙； ? 防 DDoS 攻擊； ? 開(kāi)啟黑白名單功能，實(shí)現(xiàn) URL 過(guò)濾，過(guò)濾不健康網(wǎng)站； ? 提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)； ? 具有自身保護(hù)能力，可防范對(duì)防火墻的常見(jiàn)攻擊； ? 啟動(dòng)入侵檢測(cè)及告警功能； ? 學(xué)生訪 問(wèn)不良信息網(wǎng)站后的日志記錄，做到有據(jù)可查； ? 多種應(yīng)用協(xié)議的支持。有了統(tǒng)一的信息標(biāo)準(zhǔn)，學(xué)校在數(shù)據(jù)建模、信息采集、加工處理、數(shù)據(jù)交換的過(guò)程中有統(tǒng)一的規(guī)范，最大限度地實(shí)現(xiàn)信息優(yōu)化管理和資源共享，幫助使用者方便、快捷、規(guī)范地建立應(yīng)用系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)，滿足信息化建設(shè)需求。信息標(biāo)準(zhǔn)管理系統(tǒng)即用以 幫助高校輕松實(shí)現(xiàn)對(duì)標(biāo)準(zhǔn)的制定、維護(hù)、理解、分享、集成，使得信息標(biāo)準(zhǔn)具備一定的可管理性。 ? 學(xué)校標(biāo)準(zhǔn) 這是指各學(xué)校在以往工作中，根據(jù)實(shí)際工作需要規(guī)范學(xué)校信息編碼而設(shè)立的信息標(biāo)準(zhǔn)，它對(duì)統(tǒng)一信息標(biāo)準(zhǔn)建設(shè)起輔助和補(bǔ)充作用。 2．功能規(guī)劃 信息標(biāo)準(zhǔn)管理系統(tǒng)功能主要覆蓋到參照標(biāo)準(zhǔn)、執(zhí)行標(biāo)準(zhǔn)的管理、代碼標(biāo)準(zhǔn)映射、數(shù)據(jù)模式的瀏覽和維護(hù)等。 ? 數(shù)據(jù)標(biāo)準(zhǔn)管理 對(duì)學(xué)校數(shù)據(jù)標(biāo)準(zhǔn)