小論文校園網(wǎng)的網(wǎng)絡(luò)方案設(shè)計

1、東華大學研究生課程論文封面教師填寫：得分任課教師簽名年 月 日學生填寫：姓名張成學號2131088專業(yè)信息與通信工程導師禹素萍課程名稱網(wǎng)絡(luò)通信新技術(shù)任課教師陳雯課程學分2.0上課時間20 13 至20 14 學年 第 2 學期 星期 三 遞交時間2014年 6 月 24 日本人鄭重聲明：我恪守學術(shù)道德，崇尚嚴謹學風。所呈交的課程論文，是本人獨立進行研究工作所取得的成果。除文中已明確注明和引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的作品及成果的內(nèi)容。論文為本人親自撰寫，我對所寫的內(nèi)容負責，并完全意識到本聲明的法律結(jié)果由本人承擔。 論文作者簽名： 注：本表格作為課程論文的首頁遞交

2、，請用水筆或鋼筆填寫。校園網(wǎng)的網(wǎng)絡(luò)方案設(shè)計1 設(shè)計背景在科技技術(shù)飛速發(fā)展的今日，計算機及網(wǎng)絡(luò)的應用也在不斷增加與擴大，人們在日常的工作、學習和生活中己經(jīng)無法離開計算機和網(wǎng)絡(luò)。計算機網(wǎng)絡(luò)、數(shù)據(jù)庫及與之相關(guān)的應用技術(shù)不斷發(fā)展，以及多媒體數(shù)據(jù)的存儲、傳輸、應用技術(shù)不斷成熟，尤其是國際互聯(lián)網(wǎng)和局域網(wǎng)技術(shù)的廣泛應用，世界正在邁入以計算機網(wǎng)絡(luò)為中心的信息化時代。而我國在1994年才開始參考國外的建設(shè)經(jīng)驗，并投資建設(shè)了中國的教育和科研計算機網(wǎng)絡(luò)(China Education and Research Network，簡稱CERNET) 1，并逐步實施教育信息化工程。近年來，隨著我國的高校、尤其是高等院校的

3、辦學規(guī)模的不斷擴大，導致了一個學校存在多個校區(qū)同時辦學，結(jié)果導致了教學資源分散、信息傳遞慢、準確性差、辦公效率低等問題的出現(xiàn)。如何合理地進行校園網(wǎng)教育時間和空間、教學內(nèi)容、手段和形式的進一步開放，最大程度地提高院校的辦學能力、科研能力和管理水平?校園網(wǎng)建設(shè)是一項需要不斷更新和完善的龐大系統(tǒng)工程其建設(shè)過程是一個技術(shù)不斷更新、資源不斷整合、管理不斷完善的長期過程。2設(shè)計需求在東華大學原有的網(wǎng)絡(luò)結(jié)構(gòu)中，兩個校區(qū)的互訪是通過上海教科網(wǎng)的外部路徑實現(xiàn)的，由于兩個校區(qū)之間沒有直聯(lián)的鏈路，同時松江教科網(wǎng)節(jié)點鏈路的不穩(wěn)定，造成了校區(qū)間互訪、松江校區(qū)訪問教科網(wǎng)和Internet會經(jīng)常中斷的情況,網(wǎng)絡(luò)很不穩(wěn)定。建

4、立一個多媒體的綜合網(wǎng)絡(luò)，在網(wǎng)絡(luò)中傳送的信息不僅是數(shù)據(jù)，還包括聲音、視頻等這就要求主干網(wǎng)必須是提供QOS的高速主干網(wǎng)。校園網(wǎng)的分布范圍不局限于一幢大樓，校園網(wǎng)都是局域網(wǎng)和廣域網(wǎng)二者的結(jié)合。東華大學擁有兩個校區(qū)：校本部與松江校區(qū)。兩個校區(qū)相差的距離較遠，兩個校區(qū)網(wǎng)絡(luò)之間的拓撲圖如下圖2所示：圖2-1 兩個校區(qū)網(wǎng)絡(luò)之間的拓撲圖網(wǎng)絡(luò)現(xiàn)存問題：1在各鏈路負載不平衡的情況下丟包率很大，導致網(wǎng)絡(luò)不可用。2松江教科網(wǎng)節(jié)點鏈路的不穩(wěn)定，造成了校區(qū)間互訪、松江校區(qū)訪問教科網(wǎng)和Internet會經(jīng)常中斷的情況。3關(guān)鍵網(wǎng)絡(luò)應用不能得到保證，帶寬升級后也沒有效果，網(wǎng)絡(luò)吞吐量不夠。4部分服務(wù)器、鏈路負載過大，造成擁塞和較

5、大延遲。針對前面所介紹的需要解決的問題，其具體需求內(nèi)容如下:(3)布線系統(tǒng)對校園內(nèi)各樓層實現(xiàn)網(wǎng)絡(luò)綜合布線，建造1000M校園網(wǎng)主干網(wǎng)絡(luò)，接入層利用1000M上行線路與匯聚層相連，并提供100M交換到桌面。同時為基于以太網(wǎng)的有線電視、消防、監(jiān)控設(shè)備等提供傳輸線路，并預留光纜。(2)網(wǎng)絡(luò)系統(tǒng)安裝主干網(wǎng)(包括核心層、匯聚層、接入層)網(wǎng)絡(luò)設(shè)備，以適應1000M以太網(wǎng)主干，百兆到桌面的傳輸需求;對校園網(wǎng)核心設(shè)備、Internet網(wǎng)絡(luò)出口進行統(tǒng)一規(guī)劃和協(xié)調(diào);實現(xiàn)內(nèi)網(wǎng)外網(wǎng)的隔離，保證網(wǎng)絡(luò)安全。提供網(wǎng)絡(luò)安全及管理的解決方案，能自動監(jiān)測網(wǎng)絡(luò)故障并提交告警服務(wù)。(3)應用系統(tǒng)開展WEB服務(wù)、DNS服務(wù);開展VOD

6、視頻點播服務(wù);生活區(qū)、學生區(qū)上網(wǎng)流量統(tǒng)計和帶寬限制;建立校園網(wǎng)絡(luò)的網(wǎng)絡(luò)存儲系統(tǒng);校園網(wǎng)建設(shè)綜合布線當中需要考慮今后在全校重要樓宇和場所開展智能門禁和監(jiān)控系統(tǒng)；實現(xiàn)全校范圍內(nèi)的無線上網(wǎng);充分考慮今后在全校范圍內(nèi)，實行校園一卡通支付及結(jié)算系統(tǒng)。(4)電源系統(tǒng)電源系統(tǒng)在規(guī)劃時應充分考慮以下三個方面的需求:各匯聚層需要提供良好的防雷接地和防雷措施，接地電阻不高于4歐姆;各接入層、匯聚層、核心層集中供電入口需要安裝防雷設(shè)備;網(wǎng)絡(luò)中心須配備在線式UPS電源提供集中供電。(5)未來需求實現(xiàn)根據(jù)用戶身份的路由策略，對訪問學校的各種服務(wù)進行權(quán)限設(shè)置，通過統(tǒng)一認證界面按照用戶的不同身份提供不同的配套服務(wù);實施對校

7、園網(wǎng)用戶的計費，策略上應具有靈活性和多樣性，如流量、包月、子網(wǎng)、時段優(yōu)惠，國內(nèi)國外流量劃分等;對指定服務(wù)器的訪問能提供具體的日志信息以備查;網(wǎng)絡(luò)平臺上開展遠程教學業(yè)務(wù);為校內(nèi)應用系統(tǒng)的實施做好網(wǎng)絡(luò)平臺的前期準備工作，保障給校園網(wǎng)絡(luò)應用一個安全通暢的環(huán)境。3 VLAN規(guī)劃設(shè)計3.1 VLAN功能與作用虛擬局域網(wǎng)(Virtual Local Area Network, VLAN) 3是一種近年來在計算機通信領(lǐng)域內(nèi)逐漸發(fā)展起來的一種網(wǎng)絡(luò)技術(shù)，在校園網(wǎng)中有廣泛的應用前景。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。隨著局域網(wǎng)規(guī)模的擴大和交換機的大量使用，以

8、及ARP, RARP, DHCP等協(xié)議的應用，都會帶來各種導致網(wǎng)絡(luò)性能的下降甚至網(wǎng)絡(luò)的堵塞的廣播包，又稱廣播風暴。通過VLAN技術(shù)將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制了廣播風暴的發(fā)生，除此之外VLAN還使網(wǎng)絡(luò)的拓撲結(jié)構(gòu)變得非常靈活。在VLAN出現(xiàn)之前，隔離廣播域的方法主要有:(1)利用路由器隔離廣播域:通過路由器連接多臺交換機，由于路由器具有隔離廣播包的功能，而每一臺交換機就是一個廣播域。但這種方式無法實現(xiàn)在交換機上隔離廣播域，并且需要增加網(wǎng)絡(luò)設(shè)備線路連接，經(jīng)濟性和靈活性較差。(2)利用子網(wǎng)掩碼劃分子網(wǎng):通過在客戶端配置子網(wǎng)掩碼的方式來劃分子網(wǎng)。但這種配置方式存在管理上的困難與安全隱患，因為

9、其配置需在客戶端進行操作，用戶可以隨意更改IP地址和子網(wǎng)掩碼，導致網(wǎng)絡(luò)出現(xiàn)問題。VLAN技術(shù)的發(fā)展，彌補了以上兩種隔離廣播域方式的缺點。VLAN的優(yōu)點主要包括:(1) VLAN在交換機上配置，非常便于網(wǎng)管員進行管理;(2) VLAN實現(xiàn)了在交換機上隔離廣播域。限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個VLAN可減少參與廣播風暴的設(shè)備數(shù)量。LAN分段可以防止廣播風暴波及整個網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機，在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的

10、端口不會收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產(chǎn)生；(3)VLAN的劃分方式非常靈活，可以基于端口、MAC地址、協(xié)議等，利用 VLAN可以實現(xiàn)動態(tài)組網(wǎng);(4)增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設(shè)備。綜上所述，對于大中型局域網(wǎng)的廣播域隔離，VLAN是一個很好的解決方案，通過在三層交換機上建立的VLAN隔離廣播域，能夠提高網(wǎng)絡(luò)性能并隔離“

11、尼姆達”、“沖擊波”等蠕蟲病毒。校園網(wǎng)猶如一個大的局域網(wǎng)，出于對不同職能部門、院系和用戶實體的管理、安全和整體網(wǎng)絡(luò)穩(wěn)定運行的考慮，需劃分成若干網(wǎng)絡(luò)或若干子網(wǎng)，否則網(wǎng)絡(luò)性能難以得到保障，網(wǎng)絡(luò)管理也比較困難。對多個網(wǎng)絡(luò)進行既獨立又統(tǒng)一的管理，此時就要用到VLAN，因此VLAN非常適合于校園網(wǎng)。3.2 VLAN設(shè)計與規(guī)劃設(shè)計和劃分VLAN的方法有基于端口、基于MAC、基于協(xié)議，鑒于當前VLAN技術(shù)的發(fā)展，考慮到各種VLAN劃分方式的優(yōu)缺點，最大程度上地滿足用戶在具體使用過程中的需求。為了減輕用戶在VLAN的使用和維護中的工作量，可以根據(jù)端口的功能和位置進行VLAN的劃分。(1)按照部門或功能進行規(guī)劃

12、，而不需考慮地理位置?？紤]到管理的需要，校園網(wǎng)主要按照部門或功能來劃分VLAN，這樣便于在部門內(nèi)部進行二級管理，若不考慮部門則管理的難度將大大增加。由于VLAN可以跨交換機，所以不需要考慮地理位置。例如，實訓樓存在多個會議室、辦公室，可以將其劃在一個VLAN中集中管理。(2)基于端口的VLAN劃分方式。在學校內(nèi)部，各部門(院系)辦公地點相對穩(wěn)定，采用基于端口的VLAN劃分方式，將各部門(院系)的VLAN劃分到各部門(院系)所在地點相應交換機的端口上，這樣便于管理，VLAN初始化和維護的工作量也較小，除非部門的辦公地點發(fā)生變化，否則不需要修改VLAN的配置。例如，1號學院樓有三個學院的實驗室，不

13、同的實驗室有不同的教學用途，則可以在實驗樓劃分3個VLAN，每個VLAN對應不的學院，并分別由相應院系管理員負責管理。(3)對于安全有特殊要求的情況單獨劃分VLAN。由于VLAN有隔離廣播包的作用，因此，對于安全性有特殊要求的情況應單獨劃分VLAN。例如，數(shù)據(jù)中心機房服務(wù)器有很多重要的數(shù)據(jù)，應單獨劃分一個VLAN將其和實訓樓的其他用戶隔離;對于一卡通、校園廣播、安防監(jiān)控等其它信息應用專用子網(wǎng)，也應單獨設(shè)置VLAN，與校園有線網(wǎng)絡(luò)隔離。(4)VLAN間的通信可以通過訪問控制列表進行靈活控制。VLAN與VLAN之間采用路由實現(xiàn)通信，將同一部門(系別)的接入交換機相應端口劃分到同一個VLAN中，同時

14、通過核心設(shè)備支持的訪問控制列表ACL(Access Control List)對不同VLAN間的用戶進行靈活控制。例如，是否允許訪問、允許數(shù)據(jù)進入還是流出、允許哪個協(xié)議或端口的數(shù)據(jù)、允許訪問的源或者目的地址范圍是多少等等，都可以在ACL中定義。3.3 VLAN劃分本設(shè)計根據(jù)實際情況對東華大學松江校區(qū)網(wǎng)絡(luò)系統(tǒng)劃分如下子網(wǎng):網(wǎng)絡(luò)中心-管理子網(wǎng)、網(wǎng)絡(luò)中心-信息服務(wù)子網(wǎng)、行政辦公子網(wǎng)、教學科研子網(wǎng)、教工子網(wǎng)，以及一卡通、校園廣播、安防監(jiān)控等其它信息應用專用子網(wǎng)。每個子網(wǎng)由若干VLAN組成，每個VLAN對應一個部門或功能，分配獨立的VLAN ID作為標識。具體劃分如下:(1)綜合實驗樓，按部門或功能劃分

15、，每一樓層或部門劃分一個VLAN。(2)大學生活動中心，按端口劃分，不同部門的辦公室各自劃分在同一個VLAN。(3)教學樓，按大樓劃分，每棟樓單獨劃分一個VLAN 。(4)第一食堂、教工之家，按大樓劃分一個VLAN。(5)為保證網(wǎng)絡(luò)設(shè)備的安全，單獨設(shè)置一個VLAN作為設(shè)備管理VLAN。 (6)網(wǎng)管工作站、服務(wù)器群單獨設(shè)置一個VLAN。 (7)對于其它信息應用專用子網(wǎng)，如一卡通、校園廣播、安防監(jiān)控系統(tǒng)等單獨設(shè)置VLAN。4路由方案為了提高松江校區(qū)校園網(wǎng)的安全性、可靠性和有效地隔離廣播流量，本設(shè)計將在新校區(qū)的骨干網(wǎng)(核心層和匯聚層)中采用OSPF動態(tài)路由協(xié)議進行數(shù)據(jù)轉(zhuǎn)發(fā)。(1)主干網(wǎng)路由設(shè)計在新校

16、區(qū)主干網(wǎng)(核心層一匯聚層)上采用OSPF動態(tài)路由協(xié)議，使其自動學習路由，完成數(shù)據(jù)包的尋徑和轉(zhuǎn)發(fā)。OSPF是IPv4網(wǎng)絡(luò)協(xié)議主要的動態(tài)路由協(xié)議之一，能支持大規(guī)模網(wǎng)絡(luò)的路由發(fā)布、維護和管理，其收斂速度快，能夠在最短時間內(nèi)將路由變化傳遞到整個自治系統(tǒng)，改善網(wǎng)絡(luò)的可擴展性。它可以把網(wǎng)絡(luò)劃分成多個小的區(qū)域，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會隨網(wǎng)絡(luò)規(guī)模的擴大而急劇膨脹。將老校區(qū)的匯聚層設(shè)備定義一個區(qū)Area1，新校區(qū)的匯聚層設(shè)備定義一個區(qū)Area2，新老校區(qū)的核心層設(shè)備定義為一個區(qū)Area0。(2)外部網(wǎng)路由設(shè)計外部網(wǎng)(Extra

17、net)指的是新校區(qū)的出口網(wǎng)絡(luò)，其IP包的尋徑和轉(zhuǎn)發(fā)主要是通過靜態(tài)路由或默認路由的設(shè)置來完成。通過對新校區(qū)核心交換機(路由器)CR1上靜態(tài)路由或默認路由的設(shè)置來傳遞本地網(wǎng)絡(luò)路由，將內(nèi)部的網(wǎng)數(shù)據(jù)指向外部網(wǎng)(即延安路校區(qū))。由于采用了不同的路由協(xié)議，因此利用路由重分布技術(shù)將主干網(wǎng)的OSPF協(xié)議能夠?qū)W習到指向外部網(wǎng)的路由。5 互聯(lián)網(wǎng)接入5.1 松江校區(qū)互聯(lián)網(wǎng)接入設(shè)計東華大學松江校區(qū)早己接入中國教育科研網(wǎng)和電信網(wǎng)。另外為了擴展校園網(wǎng)出口的帶寬，也可以考慮增加與其他運營商的網(wǎng)絡(luò)接入線路，接入帶寬可考慮100M并根據(jù)實際需要逐步擴展。根據(jù)國家互聯(lián)網(wǎng)出口管理規(guī)定，對互聯(lián)網(wǎng)出口配套相應的出口安全審計、防火墻、

18、入侵檢測等設(shè)備以保障校園網(wǎng)安全。同時也為在校外上網(wǎng)的本校用戶提供VPN內(nèi)部接入通道，實現(xiàn)校內(nèi)應用擴展到任意地點。另外，學生生活區(qū)作為獨立維護區(qū)，其出口線路也需要進行統(tǒng)一管理。圖5-1 新校區(qū)網(wǎng)絡(luò)出口管理5.2 兩校區(qū)互聯(lián)互通設(shè)計目前新校區(qū)內(nèi)部存在多種信息化的應用，需要建立多個跨校區(qū)的專用網(wǎng)絡(luò)，如何實現(xiàn)兩校區(qū)間的子網(wǎng)互聯(lián)，既保證高效運轉(zhuǎn)，又保證數(shù)據(jù)的絕對安全，實現(xiàn)兩校區(qū)信息共享、資源整合、集中管理，是兩校區(qū)互聯(lián)設(shè)計考慮的關(guān)鍵。松江校區(qū)對網(wǎng)絡(luò)的服務(wù)質(zhì)量和接入Internet的不間斷性要求較高。為保證接入互聯(lián)網(wǎng)的可靠，應使用光纖接入與延安路校區(qū)互聯(lián)(可通過租用電信運營商或有線電視公司的裸光纜進行物理

19、連接)，實現(xiàn)1G的互聯(lián)。同時在經(jīng)費許可的情況下，建設(shè)提供不同的物理光纖線路作為備份線路。另外目前松江校區(qū)內(nèi)部有多種信息化應用的開展，需要建立跨校區(qū)的專用網(wǎng)絡(luò)，以滿足日后需求的不斷增加和發(fā)展。實現(xiàn)多個鏈路通道互聯(lián)，才能為將來的各種應用和需求提供擴展余地。因此將采用WDM（Wavelength Division Multiplexing)技術(shù)，即在互聯(lián)裸光纖鏈路的兩端增加粗波分設(shè)備，通過一對光纖，實現(xiàn)多個鏈路通道互聯(lián)。(1) CWDM簡介WDM全稱Wavelength Division Multiplexing，即波分復用。CWDM是一種面向城域網(wǎng)接入層的低成本W(wǎng)DM傳輸技術(shù)。從原理上講，CWDM

20、就是利用光復用器將不同波長的光信號復用至單根光纖進行傳輸，在鏈路的接收端，借助光解復用器將光纖中的混合信號分解為不同波長的信號，連接到相應的接收設(shè)備。WDM又分為CWDM(Coarse Wavelength Division Multiplexing) 4稀疏波分復用器，也稱粗波分復用器和DWDM(Dense Wavelength Division Multiplexing)密集波分復用器。(2) CWDM優(yōu)點CWDM的最重要的優(yōu)點是設(shè)備成本低。CWDM設(shè)備體積小、功耗低、維護簡便、供電方便，可以使用220V交流電源。而且其波長數(shù)較少，所以板卡備份量小。使用8波的CWDM設(shè)備對光纖沒有特殊要求

21、，G.652, G.653, G.655光纖均可采用。CWDM系統(tǒng)還可以顯著提高光纖的傳輸容量，提高對光纖資源的利用率。目前粗波分復用系統(tǒng)可以提供8個光通道，按ITU-T的g.694.2規(guī)范最多可以達到18個光道。CWDM的另一個優(yōu)點是體積小、功耗低。CWDM系統(tǒng)的激光器無需半導體制冷器和溫度控制功能，所以可以明顯減小功耗，CWDM系統(tǒng)中簡化的激光器模塊使得其光收發(fā)一體化模塊的體積減小，設(shè)備結(jié)構(gòu)的簡化也減小了設(shè)備的體積，節(jié)約機房空間。與傳統(tǒng)的TDM方式相比，CWDM具有速率和協(xié)議透明性，這使之更適應城域網(wǎng)高速數(shù)據(jù)業(yè)務(wù)的發(fā)展。城域網(wǎng)中有許多不同協(xié)議和不同的速率的業(yè)務(wù)，CWDM提供了在一根光纖上提

22、供不同速率的、對協(xié)議透明的傳輸通道，如以太網(wǎng)、ATM,POS, SDH等，而且CWDM的透明性和分插復用功能可以允許使用者直接上下某一個波長，而不用轉(zhuǎn)換原始信號的格式。也就是說，光層提供了獨立于業(yè)務(wù)層的傳送結(jié)構(gòu)。CWDM具有很好的靈活性和可擴展性。對于城域業(yè)務(wù)來講，業(yè)務(wù)提供的靈活性，特別是業(yè)務(wù)提供速度和隨著業(yè)務(wù)發(fā)展進行擴展的能力非常重要。利用CWDM技術(shù)可以在1天或者幾個小時的時間內(nèi)為用戶開通業(yè)務(wù)，而且可以隨著業(yè)務(wù)量的增加，可以通過插入新的OTU板進行容量的擴展。提高業(yè)務(wù)質(zhì)量。在城域網(wǎng)中應用CWDM系統(tǒng)可以使光層恢復成為可能。光層恢復比電層恢復要經(jīng)濟得多?？紤]到光層恢復是獨立于業(yè)務(wù)和速率的，那

23、么原來一些自身體制無保護功能的體系(如千兆以太網(wǎng))，則可以利用CWDM來進行保護。由于CWDM技術(shù)的上述優(yōu)點，所以CMWD在電信、廣電、企業(yè)網(wǎng)、校園網(wǎng)等領(lǐng)域獲得越來越多的應用。(3) 兩校區(qū)點對點互聯(lián)方案校區(qū)間一般采用租用光纜方式進行互聯(lián)，租用光纜線路一般價格較高，在帶寬較大，應用系統(tǒng)較多時，線路資料比較緊張。CWDM系統(tǒng)可以顯著提高光纖的傳輸容量，提高對光纖資源的利用率。根據(jù)目前校區(qū)內(nèi)部多種信息化應用的開展，需要建立跨校區(qū)的專用網(wǎng)絡(luò)在未來需求中將不斷增加，在互聯(lián)光纜鏈路上可兩端增加粗波分設(shè)備，通過一對光纖，實現(xiàn)多個鏈路通道互聯(lián)。為將來各種應用的需求提供擴展余地，第一期粗波分可考慮4路或8路波

24、分設(shè)備。通過在兩校區(qū)互聯(lián)設(shè)備間增加CWDM設(shè)備，通過多個不同的波長提供多個獨立的數(shù)據(jù)通道，使校園網(wǎng)可以使用不同的數(shù)據(jù)通道來滿足多業(yè)務(wù)的需求。通過CWDM技術(shù)，在單對光纖中形成多個在物理通道上相互隔離的虛擬光網(wǎng)(OPN)，使網(wǎng)絡(luò)免受所有軟件病毒和黑客的攻擊，其安全性遠高于通用的VPN。新拓撲圖如圖6所示:圖5-2 兩新區(qū)新互聯(lián)方案5.3網(wǎng)絡(luò)安全實現(xiàn)方案5.3.1 校園網(wǎng)絡(luò)面臨的威脅計算機網(wǎng)絡(luò)所面臨的威脅大體可分為兩種:一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無意的;可能是人為的，也可能是非人為的;可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使

25、有，歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅主要有三:(1) 人為的無意失誤如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。(2) 人為的惡意攻擊這是計算機網(wǎng)絡(luò)所面臨的最大威肋、，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導致機密數(shù)據(jù)的泄漏。(3)網(wǎng)絡(luò)軟件的漏洞和“后門”網(wǎng)絡(luò)軟件不可能是百分之百的無缺

26、陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設(shè)想。5.3.2 防火墻技術(shù)(1)硬件防火墻硬件防火墻主要用于對網(wǎng)絡(luò)中的數(shù)據(jù)訪問進行限制，提供對系統(tǒng)的訪問控制和集中的安全管理，防止不安全的數(shù)據(jù)訪問和服務(wù)。比如限制外網(wǎng)用戶對內(nèi)網(wǎng)服務(wù)器的訪問，傳統(tǒng)的硬件防火墻采用分組過濾或包過濾技術(shù)，工作在網(wǎng)絡(luò)七層模型的下三層。隨著流過濾等新技術(shù)的應用，目前的防火墻己經(jīng)可以進行應用層的策略部署

27、，利用硬件防火墻可以在內(nèi)網(wǎng)實現(xiàn)DMZ區(qū)的劃分、NAT地址轉(zhuǎn)換等功能。(2)軟件防火墻軟件防火墻成本較低、安裝方便、使用簡單，能夠滿足個人用戶單機防護的基本需求，包括防止黑客攻擊、保證信息安全、監(jiān)測計算機運行狀況等功能。5.3.3 防病毒技術(shù)(1)硬件防病毒硬件防病毒產(chǎn)品主要有硬件防病毒網(wǎng)關(guān)、帶病毒過濾功能的防火墻等，主要用于網(wǎng)絡(luò)的入口處。采用內(nèi)嵌的內(nèi)容過濾病毒過濾技術(shù)，對經(jīng)過該設(shè)備的多種協(xié)議的數(shù)據(jù)進行掃描，并提供強大的審計與監(jiān)控功能，能有效的防止從外網(wǎng)流入的病毒蠕蟲的攻擊。由于硬件設(shè)備具有高速穩(wěn)定不易受攻擊等優(yōu)點，硬件防病毒技術(shù)正逐漸成為一種趨勢被集成到交換機等常用網(wǎng)絡(luò)設(shè)備中。(2)軟件防病毒

28、針對網(wǎng)絡(luò)病毒的泛濫，合理地部署網(wǎng)絡(luò)版殺毒軟件，從源頭控制病毒的擴散，能夠有效的降低蠕蟲等病毒的危害程度，降低病毒造成的損失。在選擇網(wǎng)絡(luò)版殺毒軟件時，病毒庫的升級速度、客戶端的資源占用情況、軟件的易操作性以及是否有強大的管理功能都是我們需要考慮的因素。6 VoIP實現(xiàn)方案隨養(yǎng)經(jīng)濟全球化和網(wǎng)絡(luò)技術(shù)的持續(xù)高速發(fā)展，語音聯(lián)系越來越頻繁，對于其價格和質(zhì)量的要求也更加苛求?；赩oIP技術(shù)的IP電話實現(xiàn)了通過Internet進行分組傳輸?shù)哪康?，并在傳輸費用上遠遠低于傳統(tǒng)模擬電話川。目前，VoIP迅速成為全球的熱門業(yè)務(wù)，日木、美國、加拿大等發(fā)達國家的IP電話用戶數(shù)增長迅速，VoIP的發(fā)展態(tài)勢不可阻擋，必定會

29、給傳統(tǒng)電信運營商帶來很大的沖擊。6.1 VoIP相關(guān)協(xié)議圖5-3 VoIP協(xié)議棧體系結(jié)構(gòu)6.2 基于SIP的VoIP系統(tǒng) SIP系統(tǒng)包括兩大基本要素:SIP服務(wù)器與SIP用戶代理，而SIP服務(wù)器又包括代理服務(wù)器、重定向服務(wù)器、注冊服務(wù)器和位置服務(wù)器，如圖7所示。圖6-1 基于SIP的VoIP網(wǎng)絡(luò)體系示意圖7 服務(wù)質(zhì)量QoS設(shè)計7.1 服務(wù)質(zhì)量QoS簡介而當網(wǎng)絡(luò)發(fā)生擁塞的時候，所有的數(shù)據(jù)流都有可能被丟棄；為滿足用戶對不同應用不同服務(wù)質(zhì)量的要求，就需要網(wǎng)絡(luò)能根據(jù)用戶的要求分配和調(diào)度資源，對不同的數(shù)據(jù)流提供不同的服務(wù)質(zhì)量：對實時性強且重要的數(shù)據(jù)報文優(yōu)先處理；對于實時性不強的普通數(shù)據(jù)報文，提供較低的處

30、理優(yōu)先級，網(wǎng)絡(luò)擁塞時甚至丟棄。QoS應運而生。支持QoS功能的設(shè)備，能夠提供傳輸品質(zhì)服務(wù)；針對某種類別的數(shù)據(jù)流，可以為它賦予某個級別的傳輸優(yōu)先級，來標識它的相對重要性，并使用設(shè)備所提供的各種優(yōu)先級轉(zhuǎn)發(fā)策略、擁塞避免等機制為這些數(shù)據(jù)流提供特殊的傳輸服務(wù)。配置了QoS的網(wǎng)絡(luò)環(huán)境，增加了網(wǎng)絡(luò)性能的可預知性，并能夠有效地分配網(wǎng)絡(luò)帶寬，更加合理地利用網(wǎng)絡(luò)資源。7.2 基于IPV6的QOS解決方案IP QOS的實現(xiàn)可以使用IntServ、DiffServ、MPLS、流量工程以及約束路由等技術(shù)，但具體到在網(wǎng)絡(luò)節(jié)點上的實現(xiàn)，主要還是標記、排隊和擁塞避免一些具體的措施。由于IPv6和IPv4的相似性，在IPv4

31、下已經(jīng)實現(xiàn)的大部分QoS技術(shù)仍然可以應用到IPv6網(wǎng)絡(luò)中來，例如可以直接利用IPv4網(wǎng)絡(luò)中的集成服務(wù)模型和區(qū)分服務(wù)模型等。IPv6與IPv4在集成服務(wù)模型上沒有本質(zhì)上的區(qū)別，都是以RSVP為核心協(xié)議。在IPv4中，RSVP依照業(yè)務(wù)數(shù)據(jù)流的源地址、目的地址和端口等信息制定相應的QoS策略，而且要在傳輸路徑上的所有路由器上實現(xiàn)這些策略。這意味著傳輸路徑上的所有路由器都需要分析每個數(shù)據(jù)包的源地址、目的地址和端口等信息， 這將會增加路由器的負擔。另外，當數(shù)據(jù)量增大時，也會增加數(shù)據(jù)包的處理延時。 IPv6為RSVP的實施提供了一種更為有效的方法。主要原因在于，在IPv6數(shù)據(jù)報頭信息中定義了專門的QoS支

32、持域，IPv6對QoS的支持主要表現(xiàn)在流標簽字段，流標簽基本上是按位產(chǎn)生的偽隨機數(shù)，在一定的時間值內(nèi)，源端不能重用流標簽，流標簽為0，指示這個包不屬于任何流。IPv6環(huán)境下的RSVP可以只依照數(shù)據(jù)包的流標簽制定相應的QoS策略，這將大大減小RSVP的開銷，同時傳輸路徑上的每個路由器的處理負擔也相應減小，使RSVP策略的實施更為簡便。另外，當需要QoS服務(wù)的數(shù)據(jù)流的生存期很短或者所需帶寬很小時，RSVP的開銷很可能大于數(shù)據(jù)流中所有的包的開銷，如果在IPv4網(wǎng)絡(luò)中采用集成服務(wù)模型，將得不償失；而在IPv6網(wǎng)絡(luò)中RSVP的開銷非常小，使得這種業(yè)務(wù)需求得到保障。 在區(qū)分服務(wù)模型中，可以認為IPv6與IPv4沒有區(qū)別。IPv4中8位的ToS字段和IPv6中8位的流量類別字段被用來標記區(qū)分服務(wù)編碼點（DSCP）,使分組在每一個網(wǎng)絡(luò)節(jié)點得到特定的轉(zhuǎn)發(fā)。IPv4下的QoS保證技術(shù)已經(jīng)獲得比較好的發(fā)展，因此在IPv6大規(guī)模部署之前，可