【正文】 換機(jī)就是核心交換機(jī)、分布層交換機(jī)和接入層交換機(jī)。校網(wǎng)絡(luò)中心將放置兩臺(tái)高端三層千兆交換機(jī)和一臺(tái)邊界路由器。分布層交換機(jī)要求至少兩路上行鏈路連至兩臺(tái)核心層交換機(jī)上，采用快速收斂的路由協(xié)議實(shí)現(xiàn)故障切換和負(fù)載均衡，當(dāng)某一鏈路出現(xiàn)意外，也可以從另外一路上連。分布層交換的下連交換機(jī)都為接入層網(wǎng)絡(luò)。: XX學(xué)院校園網(wǎng)IP地址分配表建筑物設(shè)備IP地址子網(wǎng)掩碼現(xiàn)教樓中心機(jī)房VPN防火墻邊界路由器核心交換機(jī)1核心交換機(jī)2WEB/FTP服務(wù)器認(rèn)證服務(wù)器DNS/DHCP服務(wù)器用戶教學(xué)樓分布層交換機(jī)接入層交換機(jī)AP用戶實(shí)驗(yàn)樓分布層交換機(jī)接入層交換機(jī)AP用戶圖書(shū)館分布層交換機(jī)接入層交換機(jī)AP用戶行政樓分布層交換機(jī)接入層交換機(jī)AP用戶宿舍樓分布層交換機(jī)接入層交換機(jī)AP用戶 設(shè)備選型本方案中校園網(wǎng)絡(luò)核心層設(shè)備采用CISCO Catalyst 6509（Supervisor Engine 720*2/電源*2/FWSM*1/IPSec VPN 模塊*1/IDSM*1/NAM*1/16 口千兆以太網(wǎng)光口板*1/若干5486/48 口千兆電口*1，amp。Cisco Catalyst 6509 的優(yōu)點(diǎn)：l 最長(zhǎng)的網(wǎng)絡(luò)正常運(yùn)行時(shí)間利用平臺(tái)、電源、控制引擎、交換矩陣和集成網(wǎng)絡(luò)服務(wù)冗余性提供1～3 秒的狀態(tài)故障切換，提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境，減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷。l 可擴(kuò)展性能利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá)400Mpps 的轉(zhuǎn)發(fā)性能。l 卓越的服務(wù)集成和靈活性將安全和內(nèi)容等高級(jí)服務(wù)與融合網(wǎng)絡(luò)集成在一起，提供從10/100 和10/100/1000 以太網(wǎng)到萬(wàn)兆以太網(wǎng)，從DS0 到OC48 的各種接口和密度，并能夠在任何部署項(xiàng)目中端到端執(zhí)行。PoE）數(shù)量：7 臺(tái)。l 端口安全、DHCP 偵聽(tīng)、ARP 檢測(cè)和IP 源防護(hù)能夠防止黑客從第二層及以上發(fā)動(dòng)拒絕服務(wù)（DoS）攻擊或破壞網(wǎng)絡(luò)。Supervisor Engine V10GE 支持基于用戶的速率限制。l 硬件Netflow 可用于主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常，并采取相應(yīng)措施。校園網(wǎng)絡(luò)接入層設(shè)備采用CISCO Catalyst 3560(EMI)交換機(jī)，該系列交換機(jī)是一個(gè)固定配置、企業(yè)級(jí)、IEEE 和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電(PoE) 交換機(jī)系列，工作在快速以太網(wǎng)和千兆位以太網(wǎng)配置下?？蛻艨稍谡麄€(gè)網(wǎng)絡(luò)范圍中部署智能服務(wù)，如高級(jí)QoS 、速率限制、訪問(wèn)控制列表、組播管理和高性能IP 路由等，且同時(shí)保持傳統(tǒng)LAN 交換的簡(jiǎn)潔性。思科網(wǎng)絡(luò)助理提供了配置向?qū)?，大大?jiǎn)化了融合網(wǎng)絡(luò)和智能網(wǎng)絡(luò)服務(wù)的實(shí)施；(IBNS)。采取的安全措施不能影響整個(gè)網(wǎng)絡(luò)運(yùn)行效率。加密系統(tǒng)具有良好的網(wǎng)絡(luò)兼容性和可擴(kuò)展性，實(shí)現(xiàn)防竊取、防篡改、防破壞三大功能。防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與Internet 之間的一個(gè)或一組系統(tǒng)，用以實(shí)施兩個(gè)網(wǎng)絡(luò)間的訪問(wèn)控制和安全策略。防火墻技術(shù)屬于被動(dòng)防衛(wèi)型，它通過(guò)在網(wǎng)絡(luò)邊界上建立一個(gè)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)安全的目的，其功能是按照設(shè)定的條件對(duì)通過(guò)的信息進(jìn)行檢查和過(guò)濾。連接功能作為內(nèi)部網(wǎng)絡(luò)與Internet 之間的單一連接點(diǎn)。防火墻有三個(gè)屬性：所有進(jìn)出內(nèi)部網(wǎng)的數(shù)據(jù)包必須經(jīng)過(guò)它；僅被本地安全策略所授權(quán)的數(shù)據(jù)包才能通過(guò)它；防火墻本身對(duì)攻擊必須具有免疫能力。比如CISCO ASA5510BUNK9系列：l 并發(fā)連接數(shù) 130000 l 網(wǎng)絡(luò)吞吐量(Mbps) 300 l 安全過(guò)濾帶寬 170Mbps l 網(wǎng)絡(luò)端口 3+1個(gè)管理快速以太網(wǎng)端口、可升級(jí)到5個(gè)快速以太網(wǎng)端口、1個(gè)SSM 擴(kuò)展插槽 l 用戶數(shù)限制無(wú)用戶數(shù)限制 l 入侵檢測(cè) DoS l 安全標(biāo)準(zhǔn)UL 1950, CSA No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001 l 控制端口console l 管理思科安全管理器 (CSManager)l VPN支持 選擇該型號(hào)是因?yàn)閮r(jià)格適中,且功能齊全,較適合本校園網(wǎng)建設(shè)。與外網(wǎng)關(guān)聯(lián)業(yè)務(wù)的服務(wù)器都可以放在DMZ 區(qū)，Internet 上的用戶只能到達(dá)DMZ區(qū)相應(yīng)的服務(wù)器。防火墻在內(nèi)外網(wǎng)絡(luò)連接中起兩個(gè)作用：l 利用訪問(wèn)控制列表（Access Control List ，ACL）實(shí)安全防護(hù)防火墻操作系統(tǒng)IOS 通過(guò)訪問(wèn)控制列表（ACL）技術(shù)支持包過(guò)濾防火墻技術(shù)，根據(jù)事先確定的安全策略建立相應(yīng)的訪問(wèn)列表，可以對(duì)數(shù)據(jù)包、路由信息包進(jìn)行攔截與控制，可以根據(jù)源/目的地址、協(xié)議類(lèi)型、TCP 端口號(hào)進(jìn)行控制。例如，我們可以通過(guò)ACL 限制可以進(jìn)入內(nèi)部網(wǎng)絡(luò)的外部網(wǎng)絡(luò)甚至是某一臺(tái)或幾臺(tái)主機(jī)；限制可以被訪問(wèn)的內(nèi)部主機(jī)的地址；為保證主機(jī)的安全，可以限制外部用戶對(duì)主機(jī)的一些危險(xiǎn)應(yīng)用如TELNET 等。進(jìn)行IP 地址轉(zhuǎn)換由兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP 地址，這可以使黑客（hacker）無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)，因?yàn)樗恢纼?nèi)部網(wǎng)絡(luò)的IP 地址及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；另一個(gè)好處是可以讓內(nèi)部網(wǎng)絡(luò)使用自己定義的網(wǎng)絡(luò)地址方案，而不必考慮與外界地址沖突的情況。在XX學(xué)院網(wǎng)絡(luò)工程和今后各種應(yīng)用系統(tǒng)的建設(shè)過(guò)程中，在局域網(wǎng)上我們可以根據(jù)不同部門(mén)、不同業(yè)務(wù)類(lèi)別劃分VLAN（虛網(wǎng)），通過(guò)把不同系統(tǒng)劃分在不同VLAN 的方式，將各系統(tǒng)完全隔離，實(shí)現(xiàn)對(duì)跨系統(tǒng)訪問(wèn)的控制，既保證了安全性，也提高了可管理性。CISCO 局域網(wǎng)交換機(jī)的一大優(yōu)勢(shì)是具備跨交換機(jī)的VLAN（虛網(wǎng)）劃分和VLAN 路由功能。通過(guò)VLAN 路由實(shí)現(xiàn)對(duì)跨部門(mén)訪問(wèn)的控制，既保證了安全性，也提高了可管理性。InterVLAN Routing 技術(shù)是在網(wǎng)絡(luò)層將VLAN標(biāo)識(shí)進(jìn)行轉(zhuǎn)換，使得不同的VLAN 間可以溝通，而此時(shí)基于網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層的安全控制手段都可運(yùn)用，諸如Accesslist （訪問(wèn)列表限制）、FireWall(防火墻)、TACACS+等，InterVLAN Routing 技術(shù)使我們獲得了對(duì)不同VLAN 間數(shù)據(jù)流動(dòng)的強(qiáng)有力控制。MAC 地址過(guò)濾能進(jìn)一步實(shí)現(xiàn)對(duì)局域網(wǎng)的安全控制。由于每塊網(wǎng)卡有唯一的MAC 地址，是固定不變的，只允許特定MAC 地址的工作站通過(guò)特定的端口進(jìn)行訪問(wèn)，所以對(duì)MAC 地址的訪問(wèn)控制實(shí)際上就是對(duì)指定工作站這一物理設(shè)備的訪問(wèn)控制，由于MAC 地址的不可改變，與對(duì)IP 地址的過(guò)濾相比，具有更高的安全性。同時(shí)，在計(jì)費(fèi)服務(wù)器上，也提供Radius 認(rèn)證方式，兩者可以配合使用。具體的實(shí)現(xiàn)細(xì)節(jié)如下：在網(wǎng)絡(luò)中配置一臺(tái)安裝Cisco Secure 軟件的服務(wù)器，Cisco Secure 軟件使用Radius（Remote Authentication Dialin User Service）協(xié)議提供對(duì)網(wǎng)絡(luò)的安全控制，并對(duì)成功連接到網(wǎng)絡(luò)的用戶的操作進(jìn)行記錄。RADIUS 提供的AAA 級(jí)安全控制首先根據(jù)用戶名和口令識(shí)別在本網(wǎng)絡(luò)中是否允許該用戶訪問(wèn)，從而決定是否建立連接；其次對(duì)經(jīng)過(guò)認(rèn)證連接到網(wǎng)絡(luò)的用戶授予相應(yīng)的網(wǎng)絡(luò)服務(wù)級(jí)別，提供訪問(wèn)的限制；最后保留用戶在本網(wǎng)絡(luò)中的所有操作記錄（日志），這些記錄的內(nèi)容包括用戶網(wǎng)絡(luò)地址、用戶名、所使用的服務(wù)、日期和時(shí)間以及用于計(jì)帳的連接時(shí)間、連接位置、數(shù)據(jù)傳輸量、開(kāi)始時(shí)間和停止時(shí)間等。Cisco Secure 軟件由一個(gè)Daemon 和一個(gè)GUI 兩部分組成。GUI 提供給系統(tǒng)管理員用于維護(hù)認(rèn)證和授權(quán)信息等，網(wǎng)絡(luò)用戶可被分配到具有一系列相同參數(shù)的組，GUI 使系統(tǒng)管理員能夠修改網(wǎng)絡(luò)中任一組和任一用戶的認(rèn)證和授權(quán)參數(shù)。網(wǎng)絡(luò)管理系統(tǒng)