校園網(wǎng)站的設(shè)計(jì)設(shè)計(jì)

1、先鋒軟件學(xué)院畢業(yè)設(shè)計(jì)（論文）題目：校園網(wǎng)站畢業(yè)論文先鋒軟件學(xué)院學(xué)生畢業(yè)設(shè)計(jì)（論文）工作自查表日期：（ 2010年 10 月- 2011 年 3 月檢查）學(xué)生姓名秦翔遠(yuǎn)專業(yè)軟件設(shè)計(jì)與開發(fā)學(xué)號(hào)200800003054導(dǎo)師姓名肖見峰職稱導(dǎo)師每周指導(dǎo)次數(shù)3每次： 3 小時(shí)題目名稱校園網(wǎng)站畢業(yè)論文作息時(shí)間上午9 時(shí) 10 時(shí)下午3時(shí) 4 時(shí)晚間8 時(shí) 9 時(shí)個(gè)人精力 實(shí)際投入日均工 作小時(shí)3周均工 作小時(shí)10缺席天數(shù)0出勤率 %100畢業(yè)設(shè)計(jì) （論文）工 作進(jìn)度已完成主要內(nèi)容%待完成主要內(nèi)容%1 軟件開發(fā)環(huán)境的搭建2 設(shè)計(jì)原則的分析應(yīng)用3 方案操作特點(diǎn)的論述60校園網(wǎng)的后期調(diào)配，測(cè)試40存在問題 工作措

2、施分析不夠全面，簡潔；頁面設(shè)計(jì)欠缺美觀；缺少部分代碼的整理調(diào)試；還有待繼續(xù)改進(jìn)，做到最合理方便的效果指導(dǎo)教師 （簽字）先鋒軟件學(xué)院畢業(yè)論文（設(shè)計(jì)）評(píng)閱表（指導(dǎo)教師、評(píng)閱人用）論文（設(shè)計(jì)）名稱學(xué)生姓名學(xué)號(hào) 指導(dǎo)教師或評(píng)閱 人）姓名序號(hào)評(píng)審項(xiàng)目指標(biāo)滿分評(píng)分1論文（設(shè)計(jì)）完成量論文（設(shè)計(jì)）內(nèi)容完成量， 難易程度符合教 學(xué)基本要求202調(diào)查與綜合根據(jù)論文（設(shè)計(jì)）任務(wù)，能獨(dú)立查閱文獻(xiàn)資 料和從事其它有關(guān)調(diào)研。 有收集、綜合和正 確利用各種信息的能力。203論文（設(shè)計(jì)）質(zhì)量文章切合選題， 材料豐富、 內(nèi)容充實(shí)， 觀點(diǎn) 明確、論據(jù)充分、論證嚴(yán)格，構(gòu)思完整、層 次分明、段落、論題間的銜接自然、舒展。 文筆流暢

3、、語言通順、使用專業(yè)術(shù)語準(zhǔn)確， 圖表清楚，符合要求。504創(chuàng)新有獨(dú)特的見解，或有一定應(yīng)用價(jià)值10總分評(píng)語：（明確指出論文（設(shè)計(jì)）的調(diào)研論證材料收集是否適合論點(diǎn)要求、創(chuàng)新點(diǎn)、論文（設(shè)計(jì)）論證能力、寫作水平，同時(shí)要明確指出論文（設(shè)計(jì)）的不足之處及改進(jìn)方向。 ）評(píng)閱人：年月日摘要【摘要】于教經(jīng)隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)設(shè)備的價(jià)格不斷下降；同時(shí)國家各級(jí)政府對(duì) 育的投入不斷增加，大量計(jì)算機(jī)進(jìn)入了校園，組建校園網(wǎng)不僅是十分迫切的工作，可行性也非 常高。計(jì)算機(jī)和網(wǎng)絡(luò)已經(jīng)成為各行各業(yè)在工作中的工具，是否掌握計(jì)算機(jī)的技術(shù)和應(yīng)用，已 成為衡量一個(gè)從業(yè)者是否合格的重要標(biāo)識(shí)。如何正確創(chuàng)建校園網(wǎng)已是現(xiàn)在所有學(xué)

4、校的夠共同目 標(biāo)?！娟P(guān)鍵詞】 CERNE、T校園網(wǎng)建網(wǎng)、解決方案、安全與流量控制。AbstractfromtoolsWith the development of computer technology and network technique ,the prices of net equipement are declining constantly .Meanwhile ,the investmenton educationthe government of all levels is incresing .As a result ,a large number ofcomputers

5、have been installed in schools ,which makes the creation of Campus network urgent and feasible.Up to now , computer and network have become important at all walks of life .whether a practitioner is qualified for a job depends on his mastery and application of computer technology ,On this basis ,how

6、to set up Campus network has become the common aim of all the schools.Keyword : CERNET Campus network Layering Solution Security and flow control目錄摘要 IIAbstractIII前言 11 需求分析 21.1 背景介紹 21.2 需求分析 22 設(shè)計(jì)原則 32.1 網(wǎng)絡(luò)設(shè)計(jì)的基本原則 32.2 模塊化、層次化的基本原則 42.2.1 模塊化設(shè)計(jì) 42.2.2 層次化設(shè)計(jì) 42.3 標(biāo)準(zhǔn)化、規(guī)范化原則 52.4 校園網(wǎng)的設(shè)計(jì)原則 53 解決方案 63

7、.1 網(wǎng)絡(luò)拓?fù)鋱D 63.2 方案說明 63.2.1 用戶上網(wǎng)方案 83.2.2 IP 地址規(guī)劃和路由設(shè)計(jì) 83.2.3 安全與流量控制 93.3 方案特點(diǎn) 124 結(jié)論 17致謝18參考文獻(xiàn) 19附件一 網(wǎng)絡(luò)設(shè)備技術(shù)參數(shù) 20201. RG-WALL 1000 千兆防火墻 /VPN網(wǎng)關(guān) 2. RG-R3600 系列包含二款路由器： RG-R3642 和 RG-R3662 21附件二 有關(guān)專業(yè)名詞解釋 241. 802.1Q VLAN 242. 網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 253. DDN 264. QoS 265. BASE-FX、BASE-TX、BASE-LX、BASE-SX 27前言人們的生

8、活中已經(jīng)起到了越來越重要的作用。校園作為知識(shí)基地和人才基地， 它理應(yīng)成為代 表信息產(chǎn)業(yè)應(yīng)用最成功的典范。 一所成功的學(xué)校不僅在學(xué)術(shù)上、 教 育上要力爭上游， 更應(yīng)在 管理上上一個(gè)臺(tái)階。 利用各種成熟的技術(shù)帶動(dòng)學(xué)校各單 位、各部門的電腦化管理，通過校園 信息網(wǎng)，將各處的電腦聯(lián)成一個(gè)數(shù)據(jù)網(wǎng)，實(shí) 現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)范性； 教職員工和學(xué)生 可共享各種信息，極易進(jìn)行各種 信息的教流、 經(jīng)驗(yàn)的分享、 討論、消息的發(fā)布、 工作流的自 動(dòng)實(shí)現(xiàn)和協(xié)同工作等， 從而有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)質(zhì)量， 增強(qiáng)學(xué)生學(xué)習(xí)的 積極性、 主 動(dòng)性，為信息時(shí)代培育出高素質(zhì)的人才。在學(xué)校中建立計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)是十分迫

9、切的需要。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)設(shè)備的價(jià)格不斷下降；同時(shí) 國家各級(jí)政府對(duì) 于教育的投入不斷增加， 大量計(jì)算機(jī)進(jìn)入了校園，組建校園網(wǎng)不 僅是十分迫切的工作，可行性也非常高。1 需求分析1.1 背景介紹中國教育和科研計(jì)算機(jī)網(wǎng) CERNET是 由國家投資建設(shè)， 教育部負(fù)責(zé)管理， 清華 大學(xué)等 高校承擔(dān)規(guī)劃、建設(shè)和運(yùn)行管理的全國最大的公益性計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)。 CERNET始 建于 1994 年。十年來， 在國家的大力支持下， 教育部各屆領(lǐng)導(dǎo)直接領(lǐng)導(dǎo)和關(guān)懷下， 和一批專 家和技術(shù) 人員的共同努力下， CERNET從 無到有，由小變大，從弱到強(qiáng)，取得了 令人矚目的成績， 成為我國重要的信息化基

10、礎(chǔ)設(shè)施， 在我國教育和科研事業(yè)發(fā)展， 以及教育信息化建設(shè)中發(fā)揮 了重要作用。目前 ,CERNET主 干網(wǎng)傳輸速率達(dá)到 2.5 5Gbps,地區(qū)網(wǎng)傳輸速率達(dá)到 155M2.5Gbps，覆蓋全國 31 個(gè)省、市 200 多 座城市，聯(lián)網(wǎng)的大學(xué)、教育機(jī)構(gòu)和科研單位超過 1300 個(gè)，用戶超過 1800 萬人， 成為世界上最大國家級(jí)公益性計(jì)算機(jī)互聯(lián)網(wǎng)。CERNET也 是我國下一代互聯(lián)網(wǎng)研究與建設(shè)的先行者，近幾年來承擔(dān)了中國高 速互聯(lián) 研究試驗(yàn)網(wǎng) NSFCNE，T 863IPv6 綜合實(shí)驗(yàn)環(huán)境， CERNET IPv6 試驗(yàn)網(wǎng)， 中日 IPv6 合作 研究等一批我國下一代互聯(lián)網(wǎng)的試驗(yàn)和研究項(xiàng)目， 推動(dòng)了

11、我國下 一代互聯(lián)網(wǎng)的研究和技術(shù)進(jìn) 步。2004 年 1 月， CERNET與 美國 Internet2 、歐 盟 GEANT 等全球最大學(xué)術(shù)網(wǎng)共同宣布， 開通全球 IPv6 下一代互聯(lián)網(wǎng)服務(wù)。 2004 年 3 月 19 日，連接北京、上海和廣州的 CNGI 核心網(wǎng) CERNET2試 驗(yàn)網(wǎng)開通并 開始提供服務(wù)1.2 需求分析高校校園寬帶網(wǎng)用戶集中且網(wǎng)絡(luò)流量大， 關(guān)注網(wǎng)絡(luò)的可運(yùn)營和可管理特性， 教 學(xué)區(qū)、宿舍區(qū)用戶對(duì)校園網(wǎng)、 教育網(wǎng)、 INTERNET的訪問有相應(yīng)的路由策略和相 應(yīng) 的計(jì)費(fèi)策略。校園網(wǎng)存在多個(gè)出口需求，校園網(wǎng)至少要提供中國教育科研網(wǎng) （ CERNET） 和 INTERNET兩個(gè)出

12、口。校園網(wǎng)安全性要求較高，要求設(shè)備能夠?qū)崿F(xiàn)用戶識(shí)別和動(dòng)態(tài)綁定功能如通過 “ IP+MAC端+ 口”三元組的動(dòng)態(tài)綁定來識(shí)別用戶。 校園網(wǎng) WEB頁面可實(shí)現(xiàn)以下功能： 用戶 Web自助服務(wù)功能，用戶可通過 Web自助服 務(wù)頁面，進(jìn)行個(gè)人資料的查詢、 密碼修改、上網(wǎng)明細(xì)查詢、繳費(fèi)記錄查詢以及在線 預(yù)注冊(cè)和在線帳號(hào)充值。校園 網(wǎng)用戶能實(shí)現(xiàn)多 ISP 權(quán)限選擇。用戶可通過不同的帳號(hào)或采用相同帳號(hào)的不同 域名進(jìn)行認(rèn)證，以獲得不同的 權(quán)限，不同的權(quán)限對(duì)應(yīng)不同的計(jì)費(fèi)策略。校園網(wǎng)要求實(shí)現(xiàn)多種支持普通包月、包 月限時(shí)長、包月限流量、計(jì)天、計(jì)時(shí)長和計(jì) 量等多種計(jì)費(fèi)策略。支持用戶卡和充 值卡，沖值卡配合用戶卡以及提供

13、的公用服務(wù)功能可以實(shí)現(xiàn)用戶的完全自助管理。 校園網(wǎng)要求能對(duì)每個(gè)用戶的使用情況能進(jìn)行事后審計(jì)， 能夠定位到 IP 地址以及用 戶所連接的端口和登錄的用戶名，限定帳號(hào)的使用端口。校園網(wǎng)要求能實(shí)現(xiàn)對(duì)用 戶帶寬的動(dòng)態(tài)控制。校園網(wǎng)要求實(shí)現(xiàn)組播業(yè)務(wù)， 校園網(wǎng)要求在學(xué)校規(guī)模不斷擴(kuò)大中， 用戶數(shù)在持續(xù) 增加，要求網(wǎng)絡(luò)具有很好的 擴(kuò)展性， 能夠根據(jù)需要逐步平滑升級(jí)到萬兆的骨干連 接。網(wǎng)管平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源的管理、網(wǎng)絡(luò)安全訪問的控制。并且在平臺(tái)上能方便 地 開發(fā)所需網(wǎng)絡(luò)應(yīng)用。 采用流行的、支持設(shè)備面廣、 有良好圖形界面的網(wǎng)管平臺(tái)。 網(wǎng)管系統(tǒng)能夠管理 到網(wǎng)絡(luò)中的每一個(gè)智能設(shè)備及有關(guān)設(shè)備的每一個(gè)端口， 即能夠 遠(yuǎn)程對(duì)設(shè)

14、備進(jìn)行設(shè) 置、調(diào)試、網(wǎng)絡(luò)流量監(jiān)測(cè)和必要的重置。 能對(duì)網(wǎng)絡(luò)故障能及 時(shí)發(fā)現(xiàn)并報(bào)警。作為校園網(wǎng)， 需要連接多少個(gè)節(jié)點(diǎn)， 怎樣使用各種網(wǎng)絡(luò)設(shè)備使分布在不同地理 位置的 節(jié)點(diǎn)連接到一個(gè)統(tǒng)一的網(wǎng)絡(luò)中， 怎樣使整個(gè)網(wǎng)絡(luò)上的節(jié)點(diǎn)相互連通， 這些 問題僅僅是校園網(wǎng) 需要解決問題中的一部分， 更重要的問題如何將這些資源有序 地組織起來，需要實(shí)現(xiàn)什么功 能，以滿足現(xiàn)在和未來在教學(xué)、科研、管理、交流 等方面的需求。形成在校園內(nèi)部、校園與 外部進(jìn)行信息溝通的體系，建立滿足教 學(xué)、科研和管理需求的計(jì)算機(jī)環(huán)境，為學(xué)校各種人員 提供充分的網(wǎng)絡(luò)信息服務(wù)， 在網(wǎng)絡(luò)環(huán)境中進(jìn)行教學(xué)、研究、收集信息等工作。 校園需要的基本功能有：計(jì)

15、算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)；網(wǎng)絡(luò)下載、網(wǎng)絡(luò)聊天等；電子郵件系統(tǒng)：主要進(jìn)行與同行交往、開展技術(shù)合作、學(xué)術(shù)交流等活動(dòng)； 文件傳輸 FTP：主要利用 FTP 服務(wù)獲取重要的科技資料和技術(shù)文擋； INTERNET 服務(wù)：學(xué)校可以建立自己的主頁，利用外部網(wǎng)頁進(jìn)行學(xué)校宣傳， 提供各 類咨詢信息等， 利用內(nèi)部網(wǎng)頁進(jìn)行管理， 例如發(fā)布通知、收集學(xué)生意見等。圖書館的訪問系統(tǒng)，用于計(jì)算機(jī)查詢、計(jì)算機(jī)檢索、計(jì)算機(jī)閱讀等；其他應(yīng)用，如大型分布式數(shù)據(jù)庫系統(tǒng)、超性能計(jì)算資源共享、管理系統(tǒng)、 視 頻會(huì)議等。2 設(shè)計(jì)原則2.1 網(wǎng)絡(luò)設(shè)計(jì)的基本原則校園網(wǎng)建設(shè)是一項(xiàng)大型網(wǎng)絡(luò)工程， 各個(gè)學(xué)校需要根據(jù)自身的實(shí)際情況來制定網(wǎng)

16、絡(luò)設(shè)計(jì) 原則。該學(xué)校網(wǎng)絡(luò)需要完成包括圖書信息、 學(xué)校行政辦公等綜合業(yè)務(wù)信息 管理系統(tǒng)， 為廣大 教職工、科研人員和學(xué)生提供一個(gè)在網(wǎng)絡(luò)環(huán)境下進(jìn)行教學(xué)和科 研工作的先進(jìn)平臺(tái)。 校園網(wǎng)覆 蓋整個(gè)學(xué)校校園， 網(wǎng)絡(luò)設(shè)計(jì)一般應(yīng)遵循下列基本原 則：可靠性和高性能 網(wǎng)絡(luò)必須是可靠的，包括網(wǎng)元級(jí)的可靠性，如引擎、風(fēng)扇、 單板、總計(jì)等；以及網(wǎng)絡(luò)級(jí)的可靠性，如路由、交換的匯聚，鏈路冗余，負(fù)載均 衡等。網(wǎng)絡(luò)必須具有足夠高的性能，滿足業(yè)務(wù)的需要。實(shí)用性和經(jīng)濟(jì)性，由于學(xué)校資金并不是很充足，不可能一步到位。另一方面， 學(xué)校的應(yīng)用水平較參差不齊，某 些系統(tǒng)即使安裝了也利用不起來，因此，在校園 網(wǎng)的建設(shè)過程中，系統(tǒng)建設(shè)應(yīng)始終貫

17、徹面向 應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、 經(jīng)濟(jì)的原則?？蓴U(kuò)展性和可升級(jí)性系統(tǒng)要有可擴(kuò)展性和可升級(jí)性， 隨著業(yè)務(wù)的增長和應(yīng)用水 平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流 將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性， 并能隨著技術(shù)的發(fā)展不斷升級(jí)。 設(shè)備應(yīng)選用符 合國際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品， 以保證 系統(tǒng)具有較長的生命力和擴(kuò)展能力，滿足將來系統(tǒng)升級(jí)的要求。易管理、易維護(hù) 由于校園骨干網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，應(yīng)用豐富而復(fù)雜，需要網(wǎng) 絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng) 管系統(tǒng)具有監(jiān)測(cè)、故障診斷、故障隔離、過濾設(shè) 置等功能，以便于系統(tǒng)的管理和維護(hù)。同時(shí) 應(yīng)盡可能選取集成度高、模塊可通用 的產(chǎn)品，以便于管理和維護(hù)。先進(jìn)性、成熟性 當(dāng)前計(jì)

18、算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)備更新淘汰也很快。這就 要求校園網(wǎng)建設(shè)在系統(tǒng)設(shè)計(jì)時(shí)既 要采用先進(jìn)的概念、 技術(shù)和方法，又要注意結(jié)構(gòu)、 設(shè)備、工具的相對(duì)成熟。只有采用當(dāng)前符 合國際標(biāo)準(zhǔn)的成熟先進(jìn)的技術(shù)和設(shè)備， 才能確保校園網(wǎng)絡(luò)能夠適應(yīng)將來網(wǎng)絡(luò)技術(shù)發(fā)展的需 要，保證在未來若干年內(nèi)占主 導(dǎo)地位。安全性、保密性 網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性。由于校園骨干網(wǎng)絡(luò)為多個(gè)用 戶內(nèi)部網(wǎng)提供互聯(lián)并支持多種業(yè) 務(wù)，要求能進(jìn)行靈活有效的安全控制， 同時(shí)還應(yīng) 支持虛擬專網(wǎng)，以提供多層次的安全選擇。在 系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充 分共享， 更要注意信息的保護(hù)和隔離， 因此系統(tǒng)應(yīng)分別針 對(duì)不同的應(yīng)用和不同的 網(wǎng)絡(luò)通信環(huán)境，采取不

19、同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán) 限控制等。靈活性、綜合性 通過采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，滿足系統(tǒng)及用戶各種 不同的需求，適應(yīng)不斷變革中的 要求。以滿足系統(tǒng)目標(biāo)與功能為目標(biāo)，保證總體 方案的設(shè)計(jì)合理，滿足用戶的需求，同時(shí)便 于系統(tǒng)使用過程中的維護(hù)，以及今后 系統(tǒng)的二次開發(fā)與移植。QoS（質(zhì)量服務(wù)）保證，教育在語音和視頻等多媒體應(yīng)用方面一直走在社會(huì)的 前列，這類應(yīng)用對(duì)服務(wù)質(zhì)量的要求很 高。 QoS（質(zhì)量服務(wù)）需要在網(wǎng)絡(luò)的端到端 進(jìn)行全盤計(jì)劃和實(shí)施， 由于各接入網(wǎng)絡(luò)和端設(shè)備 的復(fù)雜性與多樣性， 骨干網(wǎng)必須 盡可能地支持各種質(zhì)量服務(wù)技術(shù)，特別是最新的技術(shù)如 MPLS VPN 和流量工程，

20、 以提供簡潔透明的質(zhì)量服務(wù)機(jī)制。2.2 模塊化、層次化的設(shè)計(jì)原則2.2.1 模塊化設(shè)計(jì)所謂模塊化就是將把整個(gè)網(wǎng)絡(luò)按功能和安全需求分為若干個(gè)組件， 這些組件之 間有一 定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡(luò)設(shè)計(jì)。模塊化設(shè)計(jì)的好處在于： 解決各網(wǎng)絡(luò)之間的沖突問題； 簡化安裝和后臺(tái)設(shè)備管理； 易于故障檢測(cè)和分離問題； 易于執(zhí)行不同類型的服務(wù)和安全方針； 易于擴(kuò)展和 / 或代替原來的技術(shù)。校園網(wǎng)的設(shè)計(jì)可以借鑒這種思想， 對(duì)各種不同種類， 不同安全等級(jí)的業(yè)務(wù)進(jìn)行 模塊劃分，相互之間的訪問將受到控制。當(dāng)然，在實(shí)際情況中并不一定要求嚴(yán)格 按照上述模塊劃分，而是根據(jù)實(shí)際情況靈活運(yùn)用，做適當(dāng)?shù)牟脺p與調(diào)整。2.2.2

21、 層次化的設(shè)計(jì)層次化網(wǎng)絡(luò)設(shè)計(jì)模型對(duì)于大型網(wǎng)絡(luò)， 可以采用業(yè)界通用 “核心層 -匯聚層- 接入 層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型。（1）核心層核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)， 將分組盡可能快地從一個(gè) 網(wǎng)絡(luò)傳 到另一個(gè)網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。 匯聚層到核心層要 具備冗余傳輸鏈路，任何單條鏈路斷連不影響網(wǎng)絡(luò)的可用性。 作為所有網(wǎng)絡(luò)流量的傳輸中樞， 核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈 路外，還需考慮選用支持負(fù)載均衡或負(fù)載分 擔(dān)特性的設(shè)備實(shí)現(xiàn)負(fù)荷均衡。此外， 為了避免網(wǎng)元故障對(duì)網(wǎng)絡(luò)造成沖擊，需要網(wǎng)絡(luò)采用支持快速聚合的特性，一旦主 用通路斷開，可以很快的切換到備

22、用通路。(2) 匯聚層匯聚層顧名思義就是作為訪問層到骨干層的匯聚， 通常為訪問層與骨干層實(shí)現(xiàn) 基于策 略的網(wǎng)絡(luò)間連接。 匯聚層主要由三層交換機(jī)組成， 提供對(duì)網(wǎng)絡(luò)流量模式控 制、服務(wù)訪問控制、 QoS、定義路由路徑度量( path metric )和路由協(xié)議網(wǎng)絡(luò)通 告控制。(3) 接入層接入層作為各模塊到交換骨干的連接， 根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分， 并通 過 VLAN 技術(shù)實(shí)現(xiàn)子網(wǎng)之間的隔離。 訪問層主要功能在于隔離模塊間的廣播流量， 避免不同模塊之間 相互影響。訪問層主要通過二層交換機(jī)組成。層次化網(wǎng)絡(luò)設(shè)計(jì)模型的優(yōu)點(diǎn)“核心層 -匯聚層-訪問層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)：高可擴(kuò)展性 遵循層

23、次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有伸縮性和可管理 性，因?yàn)楦鞴δ芫W(wǎng)絡(luò)通過模塊化實(shí)現(xiàn)，潛在問題更易于識(shí)別。易于實(shí)施 每一層的功能性清晰劃分，簡化每一層的實(shí)現(xiàn)。易于故障排除 每一層的功能經(jīng)過良好定義， 網(wǎng)絡(luò)更為簡單， 有助于故障 的隔離。模塊化設(shè)計(jì)也有效限制故障影響范圍。易于規(guī)劃和管理 層次化的功能劃分，整個(gè)網(wǎng)絡(luò)規(guī)劃和管理更為簡單。2.3 標(biāo)準(zhǔn)化、規(guī)范化原則標(biāo)準(zhǔn)化原則銳捷網(wǎng)絡(luò)作為國內(nèi)率先通過 ISO9002/9001-2000 版國際認(rèn)證的 IT 廠商，始 終將“品質(zhì)第 一、永續(xù)經(jīng)營”作為貫徹整個(gè)生產(chǎn)經(jīng)營過程的品質(zhì)政策。規(guī)范化原則 按照安全模型的指導(dǎo)，從健康檢查階段、評(píng)估分析階段、規(guī)劃設(shè)計(jì)階段、安全

24、實(shí)施、 運(yùn)維管理、安全培訓(xùn)整個(gè)安全周期角度進(jìn)行安全方案的設(shè)計(jì)和實(shí)施。2.4 校園網(wǎng)的設(shè)計(jì)原則校園網(wǎng)是為學(xué)校師生提供教學(xué)、 管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)； 是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育 體系的基本保證；是提高全民素質(zhì)的重要手段。采用成熟、先進(jìn)的技術(shù)和設(shè)計(jì)思 想，運(yùn)用現(xiàn)有的系統(tǒng)集成 的技術(shù)路線，強(qiáng)調(diào)系統(tǒng)先進(jìn)、實(shí)用、開放、安全、使用 方便和易于擴(kuò)充等特點(diǎn)，突出系統(tǒng)功 能的完善，實(shí)現(xiàn)辦公現(xiàn)代化、信息資源化、 傳輸網(wǎng)絡(luò)化和決策科學(xué)化。其設(shè)計(jì)方案應(yīng)注意以下原則：實(shí)用性：校園網(wǎng)設(shè)計(jì)應(yīng)能滿足學(xué)校目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求， 充分實(shí)現(xiàn)學(xué)校內(nèi)部 管理、教學(xué)和科研的網(wǎng)

25、絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的 發(fā)揮，并且便于掌握。滿足管理職能的需求，為提高管理決策的及時(shí)性和準(zhǔn)確性 提供高質(zhì)量的信息服務(wù)，增強(qiáng)對(duì)運(yùn)行的協(xié)調(diào)和監(jiān)控能力。先進(jìn)性： 在系統(tǒng)的開發(fā)過程中， 既能滿足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用需求， 又可以 在將來需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以 靈活變通，以便適應(yīng)客戶的其他要求。符合計(jì)算機(jī)技術(shù)發(fā)展趨勢(shì)，采用先進(jìn)成熟 的技術(shù)，堅(jiān)持技術(shù)的開放性，易于技術(shù)更新。可擴(kuò)充性：方便系統(tǒng)和支撐平臺(tái)的升級(jí)， 滿足用戶對(duì)信息需求不斷變化的需要， 以及系統(tǒng)投資建設(shè)的長期性效益。靈活性： 通過采用結(jié)構(gòu)化、 模塊化的設(shè)計(jì)形式， 滿足系統(tǒng)及用戶

26、各種不同的需 求，適應(yīng)不斷變革中的要求。安全性： 應(yīng)能在可靠性的前提下， 抵擋來自內(nèi)部和外部的攻擊； 采用的安全措 施有效、可信，能夠在多層次上、以多種方式實(shí)現(xiàn)安全的控制?？煽啃裕盒@網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜， 同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的MTBF（平均無故障工作時(shí)間 ） 和極低的 MTTR（平均無故障率 ） ，提高容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和 恢復(fù)，可管理性強(qiáng)。統(tǒng)一性：在系統(tǒng)的設(shè)計(jì)過程中，堅(jiān)持“三統(tǒng)一” ，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng) 一出口。經(jīng)濟(jì)性：在充分滿足以上要求的前提下，應(yīng)充分考慮到學(xué)校的經(jīng)濟(jì)承受能力， 盡可能地節(jié)約投資，花好每一分

27、錢。規(guī)范性：采用的技術(shù)標(biāo)準(zhǔn)要遵循國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)與規(guī)范， 保證系統(tǒng)發(fā)展的 延續(xù)和可靠性。系統(tǒng)性： 項(xiàng)目的開發(fā)必須按系統(tǒng)工程的管理方法， 分階段、有計(jì)劃的統(tǒng)一組織 實(shí)施。綜合性： 以滿足系統(tǒng)目標(biāo)與功能為目標(biāo)， 保證總體方案的設(shè)計(jì)合理， 滿足用戶 的需求，同時(shí)便于系統(tǒng)使用過程中的維護(hù)，以及今后系統(tǒng)的二次開發(fā)與移植。3 解決方案3.1 網(wǎng)絡(luò)拓?fù)鋱D圖 1 網(wǎng)絡(luò)拓?fù)鋱D3.2 方案說明校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)上分為核心層、 匯聚層和接入層。 核心層的功能主要是 實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸 ,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和 高速的傳輸。因?qū)W校存在大量的語音和視頻傳輸。據(jù)此，考慮匯聚層對(duì) QoS

28、有 良好的支持并且能提供大的帶 寬。接入層設(shè)備是最終用戶的最直接上聯(lián)的設(shè)備， 它應(yīng)該具備即插即用特性以及易于維護(hù)的 特點(diǎn)。根據(jù)學(xué)校建設(shè)要求與總體目標(biāo)， 骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)成。在接入層面，通過定義 相應(yīng)的訪問策略，實(shí)現(xiàn)訪問控制，內(nèi)外隔離和抭 IP 地址。在網(wǎng)絡(luò)結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù) （第三層交換 ）作為核心層，呈網(wǎng)狀 拓?fù)浣Y(jié)構(gòu)。 以 TCP/IP 協(xié)議為主，并輔以 IP/SPX. NETTEUI 等其他流行通信協(xié) 議堅(jiān)持開放性和標(biāo)準(zhǔn)化，采用標(biāo)準(zhǔn)的通訊規(guī)程，以有利于不同廠家之間的互連， 使不同系統(tǒng)間易于集成，兼顧其他標(biāo)準(zhǔn)的網(wǎng)絡(luò)體系結(jié)構(gòu)，網(wǎng)絡(luò)能實(shí)現(xiàn)協(xié)議之間無 縫

29、連接。而公用服務(wù)器與每一臺(tái)核心層交換機(jī)都應(yīng)該具備連接。在網(wǎng)絡(luò)硬件上采 用高性能、高可靠的設(shè)備， 此產(chǎn)品是具有運(yùn)營商級(jí)容錯(cuò)能力 的高性能大型網(wǎng)絡(luò)核 心交換機(jī)，可實(shí)現(xiàn)冗余備份，從而提高核心層的可靠性。整個(gè)網(wǎng)絡(luò)通過匯聚層交換機(jī) RG-S6806E 和核心交換機(jī) RG-S6810E 之間的 鏈路冗余備份 和負(fù)載均衡提供安全可靠的網(wǎng)絡(luò)構(gòu)架 (使用 OSPF、ECMP、WCMP 等技術(shù))，其安全保障 技術(shù)提供一個(gè)全網(wǎng)概念的整體網(wǎng)絡(luò)安全，而通過簡單地增 加萬兆模塊可以平滑升級(jí)到萬兆骨 干的校園網(wǎng)。如拓?fù)鋱D所示， 作為學(xué)生宿舍網(wǎng)的核心， 要求設(shè)備能夠大容量、 穩(wěn)定可靠的高 速路由轉(zhuǎn) 發(fā)，能夠接入大量的匯聚節(jié)點(diǎn)

30、并滿足今后擴(kuò)充的需要。同時(shí)，應(yīng)完備的 QOS 保證機(jī)制，完 備的業(yè)務(wù)控制、用戶管理機(jī)制。同時(shí)，還應(yīng)該考慮到與一期 工程的網(wǎng)絡(luò)設(shè)備之間的良好的兼 容性、互通性。因此，在本方案的在核心層，部 署了銳捷網(wǎng)絡(luò)的 RG-S6810E 模塊化骨干路 由交換機(jī)兩臺(tái)，該交換機(jī)具有高達(dá) 1.6T(可擴(kuò)展 3.2T)的背板， L2/L3 層具有 572Mpps 的 轉(zhuǎn)發(fā)率，同時(shí)還可以配 置冗余電源和管理引擎模塊， 可以實(shí)現(xiàn)對(duì)全網(wǎng)的數(shù)據(jù)進(jìn)行高速無阻塞 的交換， 負(fù) 責(zé)路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等。 其硬件策略路由功能為學(xué) 校 的出口規(guī)則提供了靈活的設(shè)置，此外核心交換機(jī)硬件的 IPv6 功能為學(xué)校接入

31、 CERNET2 提供了無縫連接。為了提高網(wǎng)絡(luò)上連帶寬， 業(yè)界提出了端口聚合 (802.1ad)的概念， 此概念也廣泛 應(yīng)用于校 園網(wǎng)的建設(shè)中。 銳捷網(wǎng)絡(luò)交換機(jī)可將多個(gè)端口聚合， 每條干路支持全雙 工模式。端口聚合 可以在單臺(tái)交換機(jī)中進(jìn)行配置， 支持聚合通道內(nèi)部的負(fù)載均衡。 從核心層到匯聚層使用多條 多模光纖連接到匯聚層交換機(jī)，并實(shí)現(xiàn)端口聚合。匯聚層起著承上啟下的作用， 負(fù)責(zé)對(duì)各種接入的匯聚， 并可在該層實(shí)現(xiàn)對(duì)于用 戶的訪問 控制，以及對(duì)用戶的網(wǎng)絡(luò)管理。因此，匯聚層應(yīng)考慮三層智能交換機(jī)。 在本方案中，共部署三臺(tái)銳捷網(wǎng)絡(luò)自主研發(fā)的 RG-S6806E 模塊化骨干路由交換 機(jī)。在匯聚層使用三層交換

32、機(jī)的 目的是為了減輕核心層的負(fù)擔(dān)。接入層應(yīng)該能夠?qū)崿F(xiàn)對(duì)用戶的訪問控制，并具有較強(qiáng)的安全和 QOS 控制功 能，支持 802.1x 的認(rèn)證計(jì)費(fèi)，支持千兆上聯(lián)支持 SMNP 的網(wǎng)管。同時(shí)為滿足學(xué) 生宿舍網(wǎng)的高端 口密度接入的需求接入層應(yīng)考慮二層智能型可堆疊交換機(jī)。因 此，在接入層部署了銳捷網(wǎng)絡(luò)的 STAR-S2126G/STAR-S2150G 智能型可堆疊交換 機(jī)。同時(shí)為了保證宿舍網(wǎng)內(nèi)部網(wǎng)的安全 , 在內(nèi)網(wǎng)和外網(wǎng)之間增加硬件防火墻，接 在 INTERNET/CERNET 出口的位置 , 根據(jù)安全需求可將校園網(wǎng)分為內(nèi)部網(wǎng)、外部 網(wǎng)與 DMZ 區(qū) 等，以保護(hù)校園網(wǎng)的安全， 防止惡意用戶的攻擊。 為了統(tǒng)

33、一網(wǎng)絡(luò)管 理和監(jiān)控，在網(wǎng)絡(luò)中心配 置 StarView 管理平臺(tái)可以對(duì)設(shè)備進(jìn)行集中的管理，包 括網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、配置管理、性能管 理、事件管理，實(shí)現(xiàn)全網(wǎng)設(shè)備的管理。在網(wǎng)絡(luò)中心兩臺(tái)核心交換機(jī)各通過兩條千兆鏈路連接校園圖書館子網(wǎng)， 兩臺(tái)核 心交換機(jī)間業(yè)務(wù)量增大時(shí)，也可考慮通過上行雙鏈路 Trunk 來連接。其中公寓干 網(wǎng)以千兆鏈路下聯(lián)至公寓樓宇交換機(jī) STAR-S2126G/STAR-S2150G；同時(shí)網(wǎng)絡(luò)中 心通過千兆連接專項(xiàng)課題研究樓 子網(wǎng)；在網(wǎng)絡(luò)中心核心交換機(jī)通過千兆鏈路連接 行政/教學(xué)樓子網(wǎng)交換機(jī)。以千兆鏈路下聯(lián)至樓宇交換機(jī) STAR-S2126G/STAR-S2150G；計(jì)算中心子網(wǎng)及應(yīng)用

34、服務(wù)器群另在網(wǎng)絡(luò)中心通過千兆鏈路下行連接。實(shí)現(xiàn)百兆交換到桌面。3.2.1 用戶上網(wǎng)方案(1) 訪問校園網(wǎng)用戶在連接到網(wǎng)絡(luò)中時(shí)， 首先獲得是校園網(wǎng)的 IP 地址，此時(shí)用戶只能訪問校 園網(wǎng)內(nèi)部 的資源，并且對(duì)用戶不計(jì)費(fèi)。在該方案中， S6810E 和 S6806E 起到三 層交換機(jī)的功能，校園網(wǎng)用戶之間的互訪都必須通過 S6810E 和 S6806E 進(jìn)行。(2) CERNet用戶需要訪問 CERNet 時(shí)，使用 CERNet 的域名,獲得 CERNet 的地址后，就 可以訪問。(3) INTERNET用戶需要訪問 INTERNET 時(shí)，使用 INTERNET 的域名，獲得 INTERNET 的地

35、址 后就可以訪問。3.2.2 IP 地址規(guī)劃和路由設(shè)計(jì)(1) IP 地址規(guī)劃IP 地址規(guī)劃是整個(gè)網(wǎng)絡(luò)設(shè)計(jì)中的重要組成部分，地址規(guī)劃的科學(xué)性和合理性 將直接反 應(yīng)網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)思想， 對(duì)網(wǎng)絡(luò)的穩(wěn)定起到至關(guān)重要的影響。 好的地址 規(guī)劃同科學(xué)的分層網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)相輔相承，共同形成整體的網(wǎng)絡(luò)設(shè)計(jì)解決方案。 合理的網(wǎng)段劃分結(jié)合靈活的 VLAN 規(guī)劃，可以有效地降低網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，保 證整個(gè)網(wǎng)絡(luò)的穩(wěn)定，同時(shí)也起到一定的網(wǎng)絡(luò)安全功能。IP 地址規(guī)劃目標(biāo)建立高效的網(wǎng)絡(luò)路由；有效利用有限的 IP 地址資源； 支持網(wǎng)絡(luò)的擴(kuò)展； 支 持網(wǎng)絡(luò)技術(shù)的演變和發(fā)展。IP 地址規(guī)劃原則 簡單性：地址的分配應(yīng)該簡單，避免在主干上

36、采用復(fù)雜的掩碼方式； 連續(xù)性：為同 一個(gè)網(wǎng) 絡(luò)區(qū)域分配連 續(xù)的網(wǎng) 絡(luò)地址，便于 采用路 由收斂 (Summarization)及 CIDR(Classless Inter-Domain Routing)技術(shù)縮減路由表的表項(xiàng)， 提高路由器的處理效率； 可擴(kuò)充性： 為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一 定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性； 靈活性：地址分配 不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配 方案上實(shí)現(xiàn)優(yōu)化； 可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響 上層、全局。 安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。校園

37、網(wǎng)地址規(guī)劃方案校園網(wǎng) IP 地址分配總則 校園網(wǎng) IP 地址分為三大塊： 校園網(wǎng)內(nèi)部的私有 IP 地址，采用 RFC 中規(guī)定的地址段，不能訪問 Internet 和 Cernet；Cernet 分配的多 個(gè) C 類公網(wǎng) IP 地址，作為和國際互聯(lián)網(wǎng)互連的地址，域名 就解析在這 片地址上，主要供網(wǎng)絡(luò)中心和圖書館、部分實(shí)驗(yàn)室專用； 運(yùn)營商分配的公網(wǎng) IP 地址，用于訪問 Internet。 關(guān)鍵服務(wù)器擁有兩個(gè)公網(wǎng) IP，分別跨接在 Cernet 和 Internet 上。校園網(wǎng)內(nèi)部私網(wǎng) IP 地址的分配內(nèi)部地址的分配原則是按建筑物進(jìn)行 的，視用戶的數(shù)量， 1/4、1/2、整個(gè) C 的劃分。為了安全

38、考慮對(duì)所有的都采用靜態(tài) 分配IP地址，為防止地址盜用，采用 IP地址、 MAC 地址與端 口綁定。IP 地址的分配 用戶的計(jì)算機(jī)在連接到校園網(wǎng)上時(shí)，首先獲得一個(gè)校園網(wǎng)內(nèi)部的IP 地址，此時(shí)該計(jì)算 機(jī)只能訪問校園網(wǎng)內(nèi)部。用戶需要訪問 Cernet 和 Internet，要使用帳號(hào) 登陸，認(rèn)證通過后才能訪問。(2) 路由設(shè)計(jì)校園網(wǎng)路由設(shè)計(jì) 不使用默認(rèn)路由，使用策略路由，防止從 Internet 訪問校園網(wǎng)。Internet 路由設(shè)計(jì)采用靜態(tài)默認(rèn)路由協(xié)議訪問 Internet，為了實(shí)現(xiàn)路由的備份，配置到 Internet 的兩條默認(rèn)路由，兩條路由的優(yōu)先級(jí)可以相同，可以不同。如果相同，則兩條線路采取負(fù)

39、載分擔(dān)方式。 如果不同，則是主備方式，其中 優(yōu)先級(jí)高的稱為主路由，優(yōu)先級(jí)低的為備份路由。這樣，正常情況下，路由器采 用主路由發(fā)送數(shù)據(jù)。當(dāng)線路發(fā)生故障時(shí)，該路由自動(dòng)隱藏，路由 器會(huì)選擇余下的 優(yōu)先級(jí)最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。 這樣，也就實(shí)現(xiàn)了主路由到備 份路 由的切換。當(dāng)主路由恢復(fù)正常時(shí)，路由器恢復(fù)相應(yīng)的路由，并重新選擇路由。由 于該路 由的優(yōu)先級(jí)最高，路由器選擇主路由來發(fā)送數(shù)據(jù)。采用源地址路由，讓 Internet 地址訪問 Internet； 采用 ACL，防止訪問 Cernet 的流量通過 Internet；采 用 ACL ，防止來自校園網(wǎng)的 Internet 地址。3.2.3 安

40、全與流量控制(1) 網(wǎng)絡(luò)安全控制對(duì)端口 ARP 檢查防止 ARP 攻擊；對(duì)端口安全： MAC動(dòng) 態(tài)地址鎖， MAC地 址靜態(tài)綁定；交換設(shè)備 BPDUG uard 功能，過濾非法 BPDU 報(bào)文，防止 STP 攻擊交換機(jī)； 端口安全：端口靜態(tài)綁定，自動(dòng)綁定 IP 和 MAC 地址防止 DOS 攻擊； 智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡(luò)應(yīng)用，過濾病毒 SSH 密文傳輸，限制管理 IP 等措施保證設(shè)備管理可靠； 對(duì)網(wǎng)絡(luò)病毒的防范：采用設(shè)置 ACL，對(duì)病毒進(jìn)行過濾；我們使用的匯聚、核 心交換機(jī)都支持 SPOH，通過端口獨(dú)立的 FFP 進(jìn)行 ACL 處理，網(wǎng)絡(luò)設(shè)備性 能不 受設(shè)置 ACL 數(shù)目影

41、響；(2) VLAN 需求默認(rèn)時(shí)，交換機(jī)分隔沖突域；路由器分隔廣播域。第 2 層交換式網(wǎng)絡(luò)的最大 好處是， 它 為插入到交換機(jī)每個(gè)端口的每臺(tái)設(shè)備創(chuàng)建了各自的沖突域。 但每一個(gè) 新的改進(jìn)通常都會(huì)引起 新的問題用戶和設(shè)備的數(shù)量越大， 每臺(tái)交換機(jī)必須處 理的廣播和數(shù)據(jù)包就越多。安全性也是一個(gè)問題，因?yàn)樵诘湫偷牡?2 層交換式互聯(lián)網(wǎng)絡(luò)的內(nèi)部，默認(rèn)時(shí) 所有用戶都 可以看見所有的設(shè)備。 你不能讓設(shè)備停止廣播， 也不能讓用戶不響應(yīng) 廣播。連接到物理網(wǎng)絡(luò) 的任何人都可以訪問位于物理 LAN 上的網(wǎng)絡(luò)資源，用戶 只需將其工作站插入到現(xiàn)有的集線器 中，就可以加入某個(gè)工作組。安全性選項(xiàng)只 能限于在服務(wù)器和其他設(shè)備上

42、設(shè)置口令。通過創(chuàng)建虛擬局域網(wǎng)( VLAN)，就可以在一個(gè)純交換式的互聯(lián)網(wǎng)絡(luò)中，分隔廣 播域。VLAN 是兩個(gè)部分的邏輯組合：一是網(wǎng)絡(luò)用戶；二是在管理上連接到交換機(jī) 所定義端口的資源。如果創(chuàng)建了 VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網(wǎng)時(shí)，可以將交換 機(jī)上的不 同端口分派到不同的子網(wǎng)中， 這樣就可以在第二層交換式互聯(lián)網(wǎng)絡(luò)中創(chuàng) 建一些小的廣播域。 可以象對(duì)待單獨(dú)的子網(wǎng)和廣播域一樣來對(duì)待 VLAN，這意味 著網(wǎng)絡(luò)上的廣播域只在同一個(gè) VLAN 內(nèi)部的邏輯組的端口之間進(jìn)行轉(zhuǎn)發(fā)。用 VLAN 來簡化網(wǎng)絡(luò)管理的方式有多種：通過將某個(gè)端口配置到合適的 VLAN 中，就可以實(shí)現(xiàn)網(wǎng)絡(luò)的添加、 移動(dòng)和改 變

43、。將對(duì)安全性要求高的一組用戶放入 VLAN 中，這樣， VALN 外部的用戶就無 法與他們 通信。作為功能上的邏輯用戶組， 可以認(rèn)為 VLAN 獨(dú)立于它們的物理位置或地理位 置。VLAN 可以增強(qiáng)網(wǎng)絡(luò)安全性。VLAN 增加了廣播域的數(shù)量，同時(shí)減少了廣播域的范圍。使用 VLAN 具有以下優(yōu)點(diǎn)：控制廣播風(fēng)暴一個(gè) VLAN 就是一個(gè)邏輯廣播域， 通過對(duì) VLAN 的創(chuàng)建，隔離了廣播， 縮小了 廣播范圍， 可以控制廣播風(fēng)暴的產(chǎn)生。提高網(wǎng)絡(luò)整體安全性通過路由訪問列表和 MAC 地址分配等 VLAN 劃分原則，可以控制用戶訪問權(quán) 限和邏輯網(wǎng) 段大小，將不同用戶群劃分在不同 VLAN，從而提高交換式網(wǎng)絡(luò)的整

44、 體性能和安全性。網(wǎng)絡(luò)管理簡單、直觀對(duì)于交換式以太網(wǎng)， 如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配， 需要網(wǎng)絡(luò)管理員對(duì)網(wǎng) 絡(luò)系統(tǒng)的物理 結(jié)構(gòu)重新進(jìn)行調(diào)整， 甚至需要追加網(wǎng)絡(luò)設(shè)備， 增大網(wǎng)絡(luò)管理的工作 量。而對(duì)于采用 VLAN 技 術(shù)的網(wǎng)絡(luò)來說，一個(gè) VLAN 可以根據(jù)部門職能、對(duì)象組 或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶 劃分為一個(gè)邏輯網(wǎng)段。 在不改動(dòng)網(wǎng)絡(luò)物理連 接的情況下可以任意地將工作站在工作組或子網(wǎng) 之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)， 大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)， 降低了網(wǎng)絡(luò)維護(hù)費(fèi) 用。在一個(gè)交換網(wǎng)絡(luò) 中， VLAN 提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。圖 2 VLAN 拓?fù)鋱D(3) VLAN 劃分設(shè)計(jì)

45、VLAN 概述： VLAN(Virtual Local Area Network )又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的 基礎(chǔ)上， 采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、 不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng) 絡(luò)。一個(gè) VLAN 組成 一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè) 備，允許處于不同地理位置的網(wǎng) 絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。組建 VLAN 的條件 VLAN 是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)， 因此建立 VLAN 需要 相應(yīng)的支持 VLAN 技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同 VLAN 間進(jìn)行相 互通信時(shí)，需要路由的支 持，這時(shí)就需要增加路由設(shè)備要實(shí)現(xiàn)路由功能，既 可采用路由器，也可采用

46、三層交換機(jī) 來完成。劃分 VLAN 的基本策略 從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則， 一般有 以下三種 劃分方法：基于端口的 VLAN 劃分 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分 一個(gè)邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè) 備的交換端口進(jìn)行重新分配即可，不用考慮該端 口所連接的設(shè)備?；?MAC 地址的 VLAN 劃分MAC地 址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化 在網(wǎng)卡上的。 MAC 地址由 12 位 16 進(jìn)制數(shù)表示，前 8 位為廠商標(biāo)識(shí)，后 4 位 為網(wǎng)卡標(biāo)識(shí)。網(wǎng)絡(luò)管理員可按 MAC 地址把一些站點(diǎn)劃分為一個(gè)邏

47、輯子網(wǎng)。基于路由的 VLAN 劃分 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器 和路由交換機(jī)(即三層交換機(jī)) 。該方式允許一個(gè) VLAN 跨越多個(gè)交換機(jī)，或一個(gè) 端口位于多個(gè) VLAN 中。就目前來說，對(duì)于 VLAN 的劃分主要采取上述第 1 、3 種方式，第 2 種方式 為輔助性的方案。3.3 方案特點(diǎn)(1) 高帶寬、高性能該解決方案是基于標(biāo)準(zhǔn)的二、 三層以太網(wǎng)交換技術(shù)， 技術(shù)成熟度非常高。 學(xué)校 網(wǎng)絡(luò)中心放置路由交換機(jī)上行通過 GE接至教育網(wǎng)， GE可以是單模或者多模， 由校 園網(wǎng)的具體情況而定。 GE作為整個(gè)學(xué)校出口帶寬可充分滿足用戶對(duì)帶寬的要求， 使學(xué)校出口不再 成為整個(gè)校園網(wǎng)用戶上

48、網(wǎng)的瓶頸。 在學(xué)院網(wǎng)絡(luò)中心通過下行使千 兆鏈路連接匯聚層交換機(jī)。 匯聚層交換機(jī)下行 1000M光纖口連接接入樓宇交換機(jī)， 百兆交換到桌面， 100M的帶寬可充分滿足用戶高速上網(wǎng)，視頻點(diǎn)播等多種寬帶業(yè) 務(wù)。核心交換機(jī)擁有 1000M出口聯(lián)接校園網(wǎng)，各層設(shè)備全部支持線速交換，給用 戶提供了真正的高帶寬網(wǎng)絡(luò)，對(duì)未來高帶寬的寬帶業(yè)務(wù)提供了強(qiáng)大的支撐能力， 校園寬帶網(wǎng)的發(fā)展?jié)摿薮蟆?2) 網(wǎng)絡(luò)管理校園網(wǎng)在為廣大師生提供便捷、 高效的學(xué)習(xí)、工作環(huán)境的同時(shí)， 也在寬帶管理、 計(jì)費(fèi)等 方面存在許多問題：網(wǎng)絡(luò)計(jì)費(fèi)管理功能的單一， 隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大和用戶群體的日益增 多，原有的單一計(jì)費(fèi)管理功能已不能滿足

49、要求。對(duì)帶寬資源的大量占用導(dǎo)致重要應(yīng)用無法進(jìn)行， 對(duì)于每個(gè)學(xué)校來說， 它的帶 寬資源都是有限的。而上網(wǎng)人數(shù)的急增和各種各樣在線游戲的流行使有限的帶寬 資源不堪重負(fù)，由于沒有帶寬限制和優(yōu)先級(jí)設(shè)置，一些重要用戶和重要應(yīng)用得不 到必要的帶寬保證而影響了正常的教學(xué)和科研工作。訪問權(quán)限難以控制， 互聯(lián)網(wǎng)上充斥了許多色情、 暴力、反動(dòng)信息 , 如何讓學(xué) 校、家長放心，使孩子盡量 遠(yuǎn)離這些不良信息也是必須解決的一個(gè)問題。異常網(wǎng)絡(luò)事件的審計(jì)和追查， 當(dāng)異常網(wǎng)絡(luò)事件發(fā)生后， 如何盡快的追根溯源， 找出幕后“黑手”，防止事件的再次發(fā)生，成了網(wǎng)絡(luò)維護(hù)人員不得不面對(duì)的棘手問 題。多個(gè)校區(qū)的管理和維護(hù)，由于現(xiàn)在校園網(wǎng)的

50、規(guī)模越來越大，呈現(xiàn)出多校園、 跨地區(qū)的特點(diǎn)，這就要求網(wǎng)絡(luò)管理員能對(duì)分布在各個(gè)校區(qū)的管理、計(jì)費(fèi)設(shè)備進(jìn)行 管理和維護(hù)，管理員的工作量相當(dāng)大。為了幫助網(wǎng)管人員輕松實(shí)現(xiàn)對(duì)眾多網(wǎng)絡(luò)設(shè)備的管理、 及時(shí)排查網(wǎng)絡(luò)故障和提高 用戶管理的效率， SAM還提供了全網(wǎng)拓?fù)浒l(fā)現(xiàn)功能、 AGTS 用戶管理模式、接入 時(shí)段管理以及免安裝客戶端自動(dòng)升級(jí)等功能，幫助高校用戶輕松管理整個(gè)校園網(wǎng) 絡(luò)?？蛻糍~號(hào)與 IP 地址、 MAC地 址、NAS 設(shè)備地址和 NAS 端口綁定 SAM通 過六元素自動(dòng)綁定、靜態(tài)綁定和動(dòng)態(tài)綁定相結(jié)合，實(shí)現(xiàn)安全認(rèn)證到桌面，不但可 以確保用戶入網(wǎng)時(shí)身份唯一，而且有效避免了 IP 沖突，同時(shí)，為網(wǎng)絡(luò)安全上了

51、 雙重保險(xiǎn)。例如， SAM安全認(rèn)證能夠?qū)崿F(xiàn)動(dòng)態(tài)綁定， SAM動(dòng)態(tài)綁定是指在用戶 登陸網(wǎng)絡(luò)時(shí)，用戶的相關(guān)信息將自動(dòng)與服務(wù)器和接入層交換機(jī)同時(shí)綁定。屆時(shí)如 果用戶登錄網(wǎng)絡(luò)后一旦更改自己的相關(guān)信息（如 IP 地址、 MAC的 只等），則無法 通過交換機(jī)認(rèn)證， 通過動(dòng)態(tài)綁定確 保了用戶的身份唯一， 在最大程度上消除了內(nèi) 部安全隱患， 極大的提高了客戶行為的唯一性， 有效的防止了 IP 地址和客戶賬 號(hào)盜用現(xiàn)象的發(fā)生。對(duì)賬號(hào)登錄次數(shù)的限定， 系統(tǒng)對(duì)同一賬號(hào)同時(shí)登錄次數(shù)作出明確的限定， 避 免了多人次使用同一賬號(hào)上網(wǎng)的現(xiàn)象。完善的計(jì)費(fèi)管理功能，針對(duì)高校校園網(wǎng)絡(luò)靈活運(yùn)營的需求，銳捷網(wǎng)絡(luò) SAM 校園網(wǎng)解決方

52、案開發(fā)出貼近校園用戶需求的計(jì)費(fèi)模式，不僅有計(jì)時(shí)長、包月等 傳統(tǒng)計(jì)費(fèi)方式，還增加了計(jì)天計(jì)費(fèi)方式，并以之為基礎(chǔ)，設(shè)計(jì)了一次交費(fèi)，分段 開通的計(jì)費(fèi)模式。例如，一個(gè)學(xué)生需要在 6 月 1 日的時(shí)候開通，但是他 6 月 10 日的時(shí)候需要出去實(shí)習(xí) 2 周，這時(shí)，用戶完全可以在 6 月 1 日的時(shí)候選擇開通 10 天，系統(tǒng)就只在這 10 天內(nèi)扣除相應(yīng)費(fèi)用， 到 10 日的時(shí)候系統(tǒng)會(huì)自動(dòng)停用該 帳號(hào)，直到用戶再次選擇開通。其次， SAM提供了完善的自助服務(wù)系統(tǒng)，簡單明了的中文界面為用戶提供了 包括快 捷注冊(cè)，個(gè)人信息、密碼進(jìn)行修改， 上網(wǎng)明細(xì)、交費(fèi)記錄及余額自助查詢， 在線充值、注銷 用戶等功能服務(wù)。不但方

53、便了終端用戶繳費(fèi)，同時(shí)也極大地減輕 了管理者的管理和收費(fèi)工作 負(fù)擔(dān)，有效緩解了學(xué)生繳費(fèi)和學(xué)校收費(fèi)的矛盾。另外，為了給高校用戶帶來最優(yōu)的應(yīng)用體驗(yàn)， SAM“想用戶之所想”，為學(xué)校 提供了 完善的流程化服務(wù)。 SAM解決方案預(yù)置了包括收費(fèi)通知、管理員招聘啟 示等在內(nèi)的多種 應(yīng)用問題模版。 這些看似簡單的模版， 是銳捷網(wǎng)絡(luò)服務(wù)數(shù)百所高 校用戶的經(jīng)驗(yàn)積累，銳捷網(wǎng)絡(luò)通過將用戶的需求以及用戶反饋的先進(jìn)經(jīng)驗(yàn)進(jìn)行積 累，逐漸形成的一套立體化服務(wù)體系。 需要注意的是，網(wǎng)絡(luò)建成后，該服務(wù)體系 還將對(duì)用戶進(jìn)行實(shí)時(shí)跟蹤， 及時(shí)了解用戶需求并為 用戶提供網(wǎng)絡(luò)系統(tǒng)定期排查服 務(wù)，保障用戶的網(wǎng)絡(luò)輕松運(yùn)行和持續(xù)運(yùn)營。帶寬的限

54、定和業(yè)務(wù)優(yōu)先級(jí)的設(shè)定， 系統(tǒng)能對(duì)每個(gè)客戶上下行的帶寬上限加以 限定，防止個(gè)別客戶占用過多網(wǎng)絡(luò)資源。 還能 對(duì)不同的用戶數(shù)據(jù)設(shè)定業(yè)務(wù)優(yōu)先級(jí) （例如實(shí)驗(yàn)室、教師機(jī)房與學(xué)生宿舍、普通機(jī)房相區(qū)別） ， 以保證重要數(shù)據(jù)能得 到更好的服務(wù)訪問時(shí)間的有效控制，為了幫助學(xué)校實(shí)現(xiàn)靈活的上網(wǎng)接入時(shí)段管理，SAM 提供了用戶接入時(shí)段管理。通過對(duì)日常、周末以及節(jié)日的一次性設(shè)置，可以輕松 靈活的管理用戶能夠使用網(wǎng)絡(luò)的時(shí)段，幫助 學(xué)校實(shí)現(xiàn)靈活的上網(wǎng)接入時(shí)段管理。 例如，學(xué)?？梢愿鶕?jù)自己的實(shí)際情況，在平時(shí)設(shè)定允許上網(wǎng)的時(shí)段（如 6 點(diǎn) 7 點(diǎn)、17 點(diǎn)23 點(diǎn)等）；不允許上網(wǎng)的時(shí)段（如 0 點(diǎn)5 點(diǎn)、8 點(diǎn) 16 點(diǎn)等）；

55、 或是在周末設(shè)置較長的允許接入網(wǎng)絡(luò)的時(shí)間等。 同時(shí)，SAM解決方案還針對(duì)此提 供了優(yōu)先級(jí)劃分功能，如節(jié)日的時(shí)段管理優(yōu)先級(jí)最高，周末次之、日常最低。一 年只需對(duì)日常、周末以及節(jié)日的時(shí)段管理設(shè)置一次，其間如果遇到特殊情況，可 根據(jù)實(shí)際需要，隨時(shí)修改?？旖輰?shí)現(xiàn)全網(wǎng)管理， 全網(wǎng)拓?fù)浒l(fā)現(xiàn)功能可以對(duì)全網(wǎng)設(shè)備、 網(wǎng)絡(luò)節(jié)點(diǎn)以及事件、 性能、日志進(jìn)行實(shí)時(shí)監(jiān)控，統(tǒng)一管理。特別值得一提的是， SAM提供的全網(wǎng)拓?fù)?發(fā)現(xiàn)功能，能夠發(fā)現(xiàn)非網(wǎng)管設(shè)備（網(wǎng)線、集線器 HUB 等），讓非網(wǎng)管設(shè)備也難逃 “法眼”。一旦學(xué)生私建局域網(wǎng)，網(wǎng)管老師可以 迅速發(fā)現(xiàn)，并采取相應(yīng)措施，保 證網(wǎng)絡(luò)正常運(yùn)行。除了全網(wǎng)拓?fù)浒l(fā)現(xiàn)之外， SAM解決方

56、案創(chuàng)新推出了 AGTS 的用戶管理模式， 來對(duì)用戶數(shù)量龐大、類型繁多的校園網(wǎng)進(jìn)行有效管理。以前，每個(gè)用戶在注冊(cè)帳 戶的時(shí)候，網(wǎng)管老 師不僅要輸入該用戶的姓名、年級(jí)、班級(jí)等個(gè)人信息，還要輸 入該用戶的 IP 地址、MAC地 址等元素。統(tǒng)計(jì)表明，一個(gè)用戶注冊(cè)登記時(shí)，錄入 相關(guān)的用戶信息大概需要 3 分鐘，若錄入 3 萬個(gè)用戶的相關(guān)信息至少需要兩個(gè) 月。而 SAM的 AGTS 用戶管理模式， 則可以根據(jù)學(xué) 校的具體情況首先針對(duì)不同 學(xué)院進(jìn)行分組，如信息工程管理學(xué)院、商學(xué)院等；接著再對(duì)這些 學(xué)院的學(xué)生進(jìn)行 細(xì)分，如本科生 1 號(hào)宿舍樓用戶、研究生宿舍用戶、?？粕奚嵊脩舻鹊?。 不 僅如此， AGTS

57、用戶管理模式還針對(duì)用戶的相關(guān)信息設(shè)置了對(duì)應(yīng)的模板， 全面簡化 了操作 流程；現(xiàn)在，用戶采用 AGTS 用戶模版進(jìn)行注冊(cè)最多只需 30 秒既能完成， 大大提高網(wǎng)管老 師的工作效率。強(qiáng)大的事件追查功能， 系統(tǒng)中豐富的日志信息和便捷的追查工具能使網(wǎng)絡(luò)管 理員在面對(duì)異常事件時(shí)，能及時(shí)作出反應(yīng)，迅速找出幕后“黑手” 。多校區(qū)遠(yuǎn)程管理功能，系統(tǒng)能同時(shí)對(duì)位于不同校區(qū)的 NAS 設(shè)備提供遠(yuǎn)程管 理功能，在實(shí)現(xiàn)統(tǒng)一多個(gè)校區(qū)資費(fèi)策略的同時(shí)還大大減少了網(wǎng)絡(luò)管理員的工作量。（3）完善的安全機(jī)制 校園樓宇交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò) 流量攻擊， 控制非法用戶使用網(wǎng)絡(luò)， 保證合法用戶合理化使用網(wǎng)絡(luò)， 如端口安全、 端口隔離、專家級(jí) ACL、時(shí)間 ACL、端口 ARP 報(bào)文合法性檢查、基于數(shù)據(jù)流的帶 寬限速、六元素綁定等等， 滿