校園網(wǎng)站的畢業(yè)設(shè)計(jì)

1、先鋒軟件學(xué)院畢業(yè)設(shè)計(jì)（論文）題目：校園畢業(yè)論文26 / 32先鋒軟件學(xué)院學(xué)生畢業(yè)設(shè)計(jì)（論文）工作自查表（2010年10月- 2011年3月檢查）學(xué)生翔遠(yuǎn)專業(yè)軟件設(shè)計(jì)與開發(fā)學(xué)號(hào)4導(dǎo)師肖見峰職稱導(dǎo)師每周指導(dǎo)次數(shù)3每次： 3小時(shí)題目名稱校園畢業(yè)論文作息時(shí)間上午9時(shí) 10 時(shí)下午3時(shí) 4 時(shí)晚間8時(shí) 9時(shí)個(gè)人精力實(shí)際投入日均工作小時(shí)3周均工作小時(shí)10缺席天數(shù)0出勤率%100畢業(yè)設(shè)計(jì)（論文）工作進(jìn)度已完成主要容%待完成主要容%1 軟件開發(fā)環(huán)境的搭建2 設(shè)計(jì)原則的分析應(yīng)用3 方案操作特點(diǎn)的論述60校園網(wǎng)的后期調(diào)配，測試40存在問題工作措施分析不夠全面，簡潔；頁面設(shè)計(jì)欠缺美觀；缺少部分代碼的整理調(diào)試；還有待

2、繼續(xù)改進(jìn)，做到最合理方便的效果指導(dǎo)教師（簽字）： 日期： 年 月 日 先鋒軟件學(xué)院畢業(yè)論文（設(shè)計(jì)）評(píng)閱表（指導(dǎo)教師、評(píng)閱人用）論文（設(shè)計(jì)）名稱學(xué)生學(xué)號(hào)指導(dǎo)教師或評(píng)閱人）序號(hào)評(píng)審項(xiàng)目指標(biāo)滿分評(píng)分1論文（設(shè)計(jì)）完成量論文（設(shè)計(jì)）容完成量，難易程度符合教學(xué)基本要求202調(diào)查與綜合根據(jù)論文（設(shè)計(jì)）任務(wù)，能獨(dú)立查閱文獻(xiàn)資料和從事其它有關(guān)調(diào)研。有收集、綜合和正確利用各種信息的能力。203論文（設(shè)計(jì)）質(zhì)量文章切合選題，材料豐富、容充實(shí)，觀點(diǎn)明確、論據(jù)充分、論證嚴(yán)格，構(gòu)思完整、層次分明、段落、論題間的銜接自然、舒展。文筆流暢、語言通順、使用專業(yè)術(shù)語準(zhǔn)確，圖表清楚，符合要求。504創(chuàng)新有獨(dú)特的見解，或有一定應(yīng)用

3、價(jià)值10總分評(píng)語：（明確指出論文（設(shè)計(jì)）的調(diào)研論證材料收集是否適合論點(diǎn)要求、創(chuàng)新點(diǎn)、論文（設(shè)計(jì)）論證能力、寫作水平，同時(shí)要明確指出論文（設(shè)計(jì)）的不足之處與改進(jìn)方向。） 評(píng)閱人： 年 月 日摘要摘要隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)設(shè)備的價(jià)格不斷下降；同時(shí)國家各級(jí)政府對(duì) 于教育的投入不斷增加，大量計(jì)算機(jī)進(jìn)入了校園，組建校園網(wǎng)不僅是十分迫切的工作，可行性也非常高。計(jì)算機(jī)和網(wǎng)絡(luò)已經(jīng)成為各行各業(yè)在工作中的工具，是否掌握計(jì)算機(jī)的技術(shù)和應(yīng)用，已 經(jīng)成為衡量一個(gè)從業(yè)者是否合格的重要標(biāo)識(shí)。如何正確創(chuàng)建校園網(wǎng)已是現(xiàn)在所有學(xué)校的夠共同目標(biāo)。關(guān)鍵詞CERNET、校園網(wǎng)建網(wǎng)、解決方案、安全與流量控制。Abstrac

4、tWith the development of computer technology and network technique ,the prices of net equipement are declining constantly .Meanwhile ,the investment on education from the government of all levels is incresing .As a result ,a large number ofcomputers have been installed in schools ,which makes the cr

5、eation of Campus network urgent and feasible.Up to now , computer and network have become important tools at all walks of life .whether a practitioner is qualified for a job depends on his mastery and application of computer technology ,On this basis ,how to set up Campus network has become the comm

6、on aim of all the schools. Keyword: CERNET Campus network Layering Solution Security and flow control目錄摘要IIAbstract.III前言.11 需求分析.21.1 背景介紹.21.2 需求分析.22 設(shè)計(jì)原則.32.1 網(wǎng)絡(luò)設(shè)計(jì)的基本原則.32.2 模塊化、層次化的基本原則.42.2.1模塊化設(shè)計(jì).42.2.2層次化設(shè)計(jì).42.3 標(biāo)準(zhǔn)化、規(guī)化原則.52.4 校園網(wǎng)的設(shè)計(jì)原則.53 解決方案.63.1 網(wǎng)絡(luò)拓?fù)鋱D.63.2 方案說明.63.2.1 用戶上網(wǎng)方案.83.2.2 IP地址規(guī)劃和

7、路由設(shè)計(jì).83.2.3 安全與流量控制.93.3 方案特點(diǎn).124 結(jié)論.17致.18參考文獻(xiàn).19附件一 網(wǎng)絡(luò)設(shè)備技術(shù)參數(shù).201.RG-WALL 1000 千兆防火墻/VPN網(wǎng)關(guān).202.RG-R3600 系列包含二款路由器：RG-R3642 和 RG-R3662.21附件二 有關(guān)專業(yè)名詞解釋.241.802.1QVLAN.242.網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT).253.DDN.264.QoS.265.BASE-FX、BASE-TX、BASE-LX、BASE-SX.27 前言人們的生活中已經(jīng)起到了越來越重要的作用。校園作為知識(shí)基地和人才基地，它理應(yīng)成為代 表信息產(chǎn)業(yè)應(yīng)用最成功的典。一所成功的學(xué)校

8、不僅在學(xué)術(shù)上、教育上要力爭上游，更應(yīng)在 管理上上一個(gè)臺(tái)階。利用各種成熟的技術(shù)帶動(dòng)學(xué)校各單位、各部門的電腦化管理，通過校園 信息網(wǎng)，將各處的電腦聯(lián)成一個(gè)數(shù)據(jù)網(wǎng)，實(shí)現(xiàn)各類數(shù)據(jù)的統(tǒng)一性和規(guī)性；教職員工和學(xué)生 可共享各種信息，極易進(jìn)行各種信息的教流、經(jīng)驗(yàn)的分享、討論、消息的發(fā)布、工作流的自 動(dòng)實(shí)現(xiàn)和協(xié)同工作等，從而有效地提高學(xué)校的現(xiàn)代化管理水平和教學(xué)質(zhì)量，增強(qiáng)學(xué)生學(xué)習(xí)的 積極性、主動(dòng)性，為信息時(shí)代培育出高素質(zhì)的人才。在學(xué)校中建立計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)是十分迫 切的需要。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)設(shè)備的價(jià)格不斷下降；同時(shí)國家各級(jí)政府對(duì) 于教育的投入不斷增加，大量計(jì)算機(jī)進(jìn)入了校園，組建校園網(wǎng)不僅是十分迫

9、切的工作，可行性也非常高。1 需求分析1.1 背景介紹中國教育和科研計(jì)算機(jī)網(wǎng) CERNET 是由國家投資建設(shè)，教育部負(fù)責(zé)管理，清華大學(xué)等 高校承擔(dān)規(guī)劃、建設(shè)和運(yùn)行管理的全國最大的公益性計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)。CERNET 始建于 1994 年。十年來，在國家的大力支持下，教育部各屆領(lǐng)導(dǎo)直接領(lǐng)導(dǎo)和關(guān)懷下，和一批專家和技術(shù) 人員的共同努力下，CERNET 從無到有，由小變大，從弱到強(qiáng)，取得了令人矚目的成績， 成為我國重要的信息化基礎(chǔ)設(shè)施，在我國教育和科研事業(yè)發(fā)展，以與教育信息化建設(shè)中發(fā)揮 了重要作用。目前,CERNET 主干網(wǎng)傳輸速率達(dá)到 2.55Gbps,地區(qū)網(wǎng)傳輸速率達(dá)到 155M2.5Gbps，覆蓋

10、全國 31 個(gè)省、市 200 多座城市，聯(lián)網(wǎng)的大學(xué)、教育機(jī)構(gòu)和科研單位超過 1300個(gè)，用戶超過 1800 萬人，成為世界上最大國家級(jí)公益性計(jì)算機(jī)互聯(lián)網(wǎng)。CERNET 也是我國下一代互聯(lián)網(wǎng)研究與建設(shè)的先行者，近幾年來承擔(dān)了中國高速互聯(lián) 研究試驗(yàn)網(wǎng) NSFCNET，863IPv6 綜合實(shí)驗(yàn)環(huán)境，CERNETIPv6 試驗(yàn)網(wǎng)，中日 IPv6 合作 研究等一批我國下一代互聯(lián)網(wǎng)的試驗(yàn)和研究項(xiàng)目，推動(dòng)了我國下一代互聯(lián)網(wǎng)的研究和技術(shù)進(jìn) 步。2004 年 1 月，CERNET 與美國 Internet2、歐盟 GEANT 等全球最大學(xué)術(shù)網(wǎng)共同宣布， 開通全球 IPv6 下一代互聯(lián)網(wǎng)服務(wù)。2004 年 3 月

11、 19 日，連接、和廣的 CNGI 核心網(wǎng) CERNET2 試驗(yàn)網(wǎng)開通并開始提供服務(wù)1.2 需求分析高校校園寬帶網(wǎng)用戶集中且網(wǎng)絡(luò)流量大，關(guān)注網(wǎng)絡(luò)的可運(yùn)營和可管理特性，教學(xué)區(qū)、宿舍區(qū)用戶對(duì)校園網(wǎng)、教育網(wǎng)、INTERNET的訪問有相應(yīng)的路由策略和相 應(yīng)的計(jì)費(fèi)策略。校園網(wǎng)存在多個(gè)出口需求，校園網(wǎng)至少要提供中國教育科研網(wǎng)（CERNET ）和INTERNET兩個(gè)出口。校園網(wǎng)安全性要求較高，要求設(shè)備能夠?qū)崿F(xiàn)用戶識(shí)別和動(dòng)態(tài)綁定功能如通過 “IP+MAC+端口”三元組的動(dòng)態(tài)綁定來識(shí)別用戶。校園網(wǎng)WEB頁面可實(shí)現(xiàn)以下功能：用戶Web自助服務(wù)功能，用戶可通過Web自助服 務(wù)頁面，進(jìn)行個(gè)人資料的查詢、密碼修改、上網(wǎng)

12、明細(xì)查詢、繳費(fèi)記錄查詢以與在線 預(yù)注冊(cè)和在線充值。校園網(wǎng)用戶能實(shí)現(xiàn)多ISP權(quán)限選擇。用戶可通過不同的或采用一樣的不同 域名進(jìn)行認(rèn)證，以獲得不同的權(quán)限，不同的權(quán)限對(duì)應(yīng)不同的計(jì)費(fèi)策略。校園網(wǎng)要現(xiàn)多種支持普通包月、包月限時(shí)長、包月限流量、計(jì)天、計(jì)時(shí)長和計(jì) 量等多種計(jì)費(fèi)策略。支持用戶卡和充值卡，沖值卡配合用戶卡以與提供的公用服務(wù)功能可以實(shí)現(xiàn)用戶的完全自助管理。校園網(wǎng)要求能對(duì)每個(gè)用戶的使用情況能進(jìn)行事后審計(jì)，能夠定位到IP地址以與用戶所連接的端口和登錄的用戶名，限定的使用端口。校園網(wǎng)要求能實(shí)現(xiàn)對(duì)用戶帶寬的動(dòng)態(tài)控制。校園網(wǎng)要現(xiàn)組播業(yè)務(wù)，校園網(wǎng)要求在學(xué)校規(guī)模不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的

13、擴(kuò)展性，能夠根據(jù)需要逐步平滑升級(jí)到萬兆的骨干連接。網(wǎng)管平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)資源的管理、網(wǎng)絡(luò)安全訪問的控制。并且在平臺(tái)上能方便地 開發(fā)所需網(wǎng)絡(luò)應(yīng)用。采用流行的、支持設(shè)備面廣、有良好圖形界面的網(wǎng)管平臺(tái)。網(wǎng)管系統(tǒng)能夠管理 到網(wǎng)絡(luò)中的每一個(gè)智能設(shè)備與有關(guān)設(shè)備的每一個(gè)端口，即能夠遠(yuǎn)程對(duì)設(shè)備進(jìn)行設(shè) 置、調(diào)試、網(wǎng)絡(luò)流量監(jiān)測和必要的重置。 能對(duì)網(wǎng)絡(luò)故障能與時(shí)發(fā)現(xiàn)并報(bào)警。作為校園網(wǎng)，需要連接多少個(gè)節(jié)點(diǎn)，怎樣使用各種網(wǎng)絡(luò)設(shè)備使分布在不同地理位置的 節(jié)點(diǎn)連接到一個(gè)統(tǒng)一的網(wǎng)絡(luò)中，怎樣使整個(gè)網(wǎng)絡(luò)上的節(jié)點(diǎn)相互連通，這些問題僅僅是校園網(wǎng) 需要解決問題中的一部分，更重要的問題如何將這些資源有序地組織起來，需要實(shí)現(xiàn)什么功 能，以滿足現(xiàn)

14、在和未來在教學(xué)、科研、管理、交流等方面的需求。形成在校園部、校園與 外部進(jìn)行信息溝通的體系，建立滿足教學(xué)、科研和管理需求的計(jì)算機(jī)環(huán)境，為學(xué)校各種人員 提供充分的網(wǎng)絡(luò)信息服務(wù)，在網(wǎng)絡(luò)環(huán)境中進(jìn)行教學(xué)、研究、收集信息等工作。 校園需要的基本功能有：計(jì)算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)；網(wǎng)絡(luò)下載、網(wǎng)絡(luò)聊天等；電子系統(tǒng)：主要進(jìn)行與同行交往、開展技術(shù)合作、學(xué)術(shù)交流等活動(dòng)；文件傳輸 FTP：主要利用 FTP 服務(wù)獲取重要的科技資料和技術(shù)文擋；INTERNET 服務(wù)：學(xué)校可以建立自己的主頁，利用外部網(wǎng)頁進(jìn)行學(xué)校宣傳，提供各 類咨詢信息等，利用部網(wǎng)頁進(jìn)行管理，例如發(fā)布通知、收集學(xué)生意見等。圖書館的訪問系統(tǒng)，用于

15、計(jì)算機(jī)查詢、計(jì)算機(jī)檢索、計(jì)算機(jī)閱讀等；其他應(yīng)用，如大型分布式數(shù)據(jù)庫系統(tǒng)、超性能計(jì)算資源共享、管理系統(tǒng)、視頻會(huì)議等。2 設(shè)計(jì)原則2.1 網(wǎng)絡(luò)設(shè)計(jì)的基本原則校園網(wǎng)建設(shè)是一項(xiàng)大型網(wǎng)絡(luò)工程，各個(gè)學(xué)校需要根據(jù)自身的實(shí)際情況來制定網(wǎng)絡(luò)設(shè)計(jì) 原則。該學(xué)校網(wǎng)絡(luò)需要完成包括圖書信息、學(xué)校行政辦公等綜合業(yè)務(wù)信息管理系統(tǒng)，為廣大 教職工、科研人員和學(xué)生提供一個(gè)在網(wǎng)絡(luò)環(huán)境下進(jìn)行教學(xué)和科研工作的先進(jìn)平臺(tái)。校園網(wǎng)覆 蓋整個(gè)學(xué)校校園，網(wǎng)絡(luò)設(shè)計(jì)一般應(yīng)遵循下列基本原則：可靠性和高性能 網(wǎng)絡(luò)必須是可靠的，包括網(wǎng)元級(jí)的可靠性，如引擎、風(fēng)扇、單板、總計(jì)等；以與網(wǎng)絡(luò)級(jí)的可靠性，如路由、交換的匯聚，鏈路冗余，負(fù)載均衡等。網(wǎng)絡(luò)必須具有足夠

16、高的性能，滿足業(yè)務(wù)的需要。實(shí)用性和經(jīng)濟(jì)性，由于學(xué)校資金并不是很充足，不可能一步到位。另一方面，學(xué)校的應(yīng)用水平較參差不齊，某 些系統(tǒng)即使安裝了也利用不起來，因此，在校園網(wǎng)的建設(shè)過程中，系統(tǒng)建設(shè)應(yīng)始終貫徹面向 應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則?？蓴U(kuò)展性和可升級(jí)性系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流 將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。設(shè)備應(yīng)選用符 合國際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長的生命力和擴(kuò)展能力，滿足將來系統(tǒng)升級(jí)的要求。易管理、易維護(hù) 由于校園骨干網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，應(yīng)用豐富而復(fù)雜，需要網(wǎng)絡(luò)系統(tǒng)具有良好

17、的可管理性，網(wǎng) 管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。同時(shí) 應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護(hù)。先進(jìn)性、成熟性 當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)備更新淘汰也很快。這就要求校園網(wǎng)建設(shè)在系統(tǒng)設(shè)計(jì)時(shí)既 要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。只有采用當(dāng)前符 合國際標(biāo)準(zhǔn)的成熟先進(jìn)的技術(shù)和設(shè)備，才能確保校園網(wǎng)絡(luò)能夠適應(yīng)將來網(wǎng)絡(luò)技術(shù)發(fā)展的需 要，保證在未來若干年占主導(dǎo)地位。安全性、性 網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性。由于校園骨干網(wǎng)絡(luò)為多個(gè)用戶部網(wǎng)提供互聯(lián)并支持多種業(yè) 務(wù)，要求能進(jìn)行靈活有效的安全控制，同時(shí)還應(yīng)支持虛擬專網(wǎng)，以提

18、供多層次的安全選擇。在 系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針 對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán) 限控制等。靈活性、綜合性 通過采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，滿足系統(tǒng)與用戶各種不同的需求，適應(yīng)不斷變革中的 要求。以滿足系統(tǒng)目標(biāo)與功能為目標(biāo)，保證總體方案的設(shè)計(jì)合理，滿足用戶的需求，同時(shí)便 于系統(tǒng)使用過程中的維護(hù)，以與今后系統(tǒng)的二次開發(fā)與移植。QoS（質(zhì)量服務(wù)）保證，教育在語音和視頻等多媒體應(yīng)用方面一直走在社會(huì)的前列，這類應(yīng)用對(duì)服務(wù)質(zhì)量的要求很 高。QoS（質(zhì)量服務(wù)）需要在網(wǎng)絡(luò)的端到端進(jìn)行全盤計(jì)劃和實(shí)施，由于

19、各接入網(wǎng)絡(luò)和端設(shè)備 的復(fù)雜性與多樣性，骨干網(wǎng)必須盡可能地支持各種質(zhì)量服務(wù)技術(shù)，特別是最新的技術(shù)如 MPLS VPN 和流量工程，以提供簡潔透明的質(zhì)量服務(wù)機(jī)制。2.2 模塊化、層次化的設(shè)計(jì)原則2.2.1模塊化設(shè)計(jì)所謂模塊化就是將把整個(gè)網(wǎng)絡(luò)按功能和安全需求分為若干個(gè)組件，這些組件之間有一 定的安全邊界，組件部有完整的網(wǎng)絡(luò)設(shè)計(jì)。模塊化設(shè)計(jì)的好處在于： 解決各網(wǎng)絡(luò)之間的沖突問題； 簡化安裝和后臺(tái)設(shè)備管理； 易于故障檢測和分離問題； 易于執(zhí)行不同類型的服務(wù)和安全方針； 易于擴(kuò)展和/或代替原來的技術(shù)。校園網(wǎng)的設(shè)計(jì)可以借鑒這種思想，對(duì)各種不同種類，不同安全等級(jí)的業(yè)務(wù)進(jìn)行模塊劃分，相互之間的訪問將受到控制。當(dāng)

20、然，在實(shí)際情況中并不一定要求嚴(yán)格按照上述模塊劃分，而是根據(jù)實(shí)際情況靈活運(yùn)用，做適當(dāng)?shù)牟脺p與調(diào)整。2.2.2層次化的設(shè)計(jì)層次化網(wǎng)絡(luò)設(shè)計(jì)模型對(duì)于大型網(wǎng)絡(luò)，可以采用業(yè)界通用“核心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型。(1)核心層核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個(gè)網(wǎng)絡(luò)傳 到另一個(gè)網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。匯聚層到核心層要 具備冗余傳輸鏈路，任何單條鏈路斷連不影響網(wǎng)絡(luò)的可用性。作為所有網(wǎng)絡(luò)流量的傳輸中樞， 核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負(fù)載均衡或負(fù)載分 擔(dān)特性的設(shè)備實(shí)現(xiàn)負(fù)荷均衡。此外，為了避免網(wǎng)元故障對(duì)網(wǎng)

21、絡(luò)造成沖擊，需要網(wǎng)絡(luò)采用支持快速聚合的特性，一旦主用通路斷開，可以很快的切換到備用通路。(2)匯聚層匯聚層顧名思義就是作為訪問層到骨干層的匯聚，通常為訪問層與骨干層實(shí)現(xiàn)基于策 略的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機(jī)組成，提供對(duì)網(wǎng)絡(luò)流量模式控制、服務(wù)訪問控制、QoS、定義路由路徑度量（path metric）和路由協(xié)議網(wǎng)絡(luò)通告控制。(3)接入層接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過 VLAN 技術(shù)實(shí)現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間 相互影響。訪問層主要通過二層交換機(jī)組成。層次化網(wǎng)絡(luò)設(shè)計(jì)模型的優(yōu)點(diǎn)“核心層-匯聚層-訪問層”層

22、次化網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)：高可擴(kuò)展性 遵循層次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有伸縮性和可管理性，因?yàn)楦鞴δ芫W(wǎng)絡(luò)通過模塊化實(shí)現(xiàn)，潛在問題更易于識(shí)別。易于實(shí)施 每一層的功能性清晰劃分，簡化每一層的實(shí)現(xiàn)。易于故障排除 每一層的功能經(jīng)過良好定義，網(wǎng)絡(luò)更為簡單，有助于故障 的隔離。模塊化設(shè)計(jì)也有效限制故障影響圍。易于規(guī)劃和管理 層次化的功能劃分，整個(gè)網(wǎng)絡(luò)規(guī)劃和管理更為簡單。2.3 標(biāo)準(zhǔn)化、規(guī)化原則標(biāo)準(zhǔn)化原則銳捷網(wǎng)絡(luò)作為國率先通過 ISO9002/9001-2000 版國際認(rèn)證的 IT 廠商，始終將“品質(zhì)第 一、永續(xù)經(jīng)營”作為貫徹整個(gè)生產(chǎn)經(jīng)營過程的品質(zhì)政策。規(guī)化原則按照安全模型的指導(dǎo)，從健康檢查階段、評(píng)估分

23、析階段、規(guī)劃設(shè)計(jì)階段、安全實(shí)施、 運(yùn)維管理、安全培訓(xùn)整個(gè)安全周期角度進(jìn)行安全方案的設(shè)計(jì)和實(shí)施。2.4 校園網(wǎng)的設(shè)計(jì)原則校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段。采用成熟、先進(jìn)的技術(shù)和設(shè)計(jì)思想，運(yùn)用現(xiàn)有的系統(tǒng)集成 的技術(shù)路線，強(qiáng)調(diào)系統(tǒng)先進(jìn)、實(shí)用、開放、安全、使用方便和易于擴(kuò)充等特點(diǎn)，突出系統(tǒng)功 能的完善，實(shí)現(xiàn)辦公現(xiàn)代化、信息資源化、傳輸網(wǎng)絡(luò)化和決策科學(xué)化。其設(shè)計(jì)方案應(yīng)注意以下原則：實(shí)用性：校園網(wǎng)設(shè)計(jì)應(yīng)能滿足學(xué)校目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求，充分實(shí)現(xiàn)學(xué)校部管理、教學(xué)和

24、科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握。滿足管理職能的需求，為提高管理決策的與時(shí)性和準(zhǔn)確性提供高質(zhì)量的信息服務(wù)，增強(qiáng)對(duì)運(yùn)行的協(xié)調(diào)和監(jiān)控能力。先進(jìn)性：在系統(tǒng)的開發(fā)過程中，既能滿足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶的其他要求。符合計(jì)算機(jī)技術(shù)發(fā)展趨勢，采用先進(jìn)成熟的技術(shù)，堅(jiān)持技術(shù)的開放性，易于技術(shù)更新?？蓴U(kuò)充性：方便系統(tǒng)和支撐平臺(tái)的升級(jí)，滿足用戶對(duì)信息需求不斷變化的需要，以與系統(tǒng)投資建設(shè)的長期性效益。靈活性：通過采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，滿足系統(tǒng)與用戶各種不同的需求，適

25、應(yīng)不斷變革中的要求。安全性：應(yīng)能在可靠性的前提下，抵擋來自部和外部的攻擊；采用的安全措施有效、可信，能夠在多層次上、以多種方式實(shí)現(xiàn)安全的控制?？煽啃裕盒@網(wǎng)的系統(tǒng)與網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的 MTBF(平均無故障工作時(shí)間)和極低的 MTTR(平均無故障率)，提高容錯(cuò)設(shè)計(jì)，支持故障檢測和恢復(fù)，可管理性強(qiáng)。統(tǒng)一性：在系統(tǒng)的設(shè)計(jì)過程中，堅(jiān)持“三統(tǒng)一”，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。經(jīng)濟(jì)性：在充分滿足以上要求的前提下，應(yīng)充分考慮到學(xué)校的經(jīng)濟(jì)承受能力，盡可能地節(jié)約投資，花好每一分錢。規(guī)性：采用的技術(shù)標(biāo)準(zhǔn)要遵循國際標(biāo)準(zhǔn)和國家標(biāo)

26、準(zhǔn)與規(guī)，保證系統(tǒng)發(fā)展的延續(xù)和可靠性。系統(tǒng)性：項(xiàng)目的開發(fā)必須按系統(tǒng)工程的管理方法，分階段、有計(jì)劃的統(tǒng)一組織實(shí)施。綜合性：以滿足系統(tǒng)目標(biāo)與功能為目標(biāo)，保證總體方案的設(shè)計(jì)合理，滿足用戶的需求，同時(shí)便于系統(tǒng)使用過程中的維護(hù)，以與今后系統(tǒng)的二次開發(fā)與移植。3 解決方案3.1 網(wǎng)絡(luò)拓?fù)鋱D圖1 網(wǎng)絡(luò)拓?fù)鋱D3.2 方案說明校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。因?qū)W校存在大量的語音和視頻傳輸。據(jù)此，考慮匯聚層對(duì) QoS 有良好的支持并且能提供大的帶 寬。接入層設(shè)備是最終用戶的最直接上聯(lián)的設(shè)備，它應(yīng)該

27、具備即插即用特性以與易于維護(hù)的 特點(diǎn)。根據(jù)學(xué)校建設(shè)要求與總體目標(biāo)，骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)成。在接入層面，通過定義相應(yīng)的訪問策略，實(shí)現(xiàn)訪問控制，外隔離和抭 IP 地址。在網(wǎng)絡(luò)結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù)(第三層交換)作為核心層，呈網(wǎng)狀拓?fù)浣Y(jié)構(gòu)。 以 TCP/IP 協(xié)議為主，并輔以 IP/SPX. NETTEUI 等其他流行通信協(xié)議堅(jiān)持開放性和標(biāo)準(zhǔn)化，采用標(biāo)準(zhǔn)的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系統(tǒng)間易于集成，兼顧其他標(biāo)準(zhǔn)的網(wǎng)絡(luò)體系結(jié)構(gòu)，網(wǎng)絡(luò)能實(shí)現(xiàn)協(xié)議之間無縫連接。而公用服務(wù)器與每一臺(tái)核心層交換機(jī)都應(yīng)該具備連接。在網(wǎng)絡(luò)硬件上采用高性能、高可靠的設(shè)備，此產(chǎn)品是具

28、有運(yùn)營商級(jí)容錯(cuò)能力 的高性能大型網(wǎng)絡(luò)核心交換機(jī)，可實(shí)現(xiàn)冗余備份，從而提高核心層的可靠性。整個(gè)網(wǎng)絡(luò)通過匯聚層交換機(jī) RG-S6806E 和核心交換機(jī) RG-S6810E 之間的鏈路冗余備份 和負(fù)載均衡提供安全可靠的網(wǎng)絡(luò)構(gòu)架（使用 OSPF、ECMP、WCMP 等技術(shù)），其安全保障 技術(shù)提供一個(gè)全網(wǎng)概念的整體網(wǎng)絡(luò)安全，而通過簡單地增加萬兆模塊可以平滑升級(jí)到萬兆骨 干的校園網(wǎng)。如拓?fù)鋱D所示，作為學(xué)生宿舍網(wǎng)的核心，要求設(shè)備能夠大容量、穩(wěn)定可靠的高速路由轉(zhuǎn) 發(fā)，能夠接入大量的匯聚節(jié)點(diǎn)并滿足今后擴(kuò)充的需要。同時(shí)，應(yīng)完備的 QOS 保證機(jī)制，完 備的業(yè)務(wù)控制、用戶管理機(jī)制。同時(shí)，還應(yīng)該考慮到與一期工程的網(wǎng)絡(luò)

29、設(shè)備之間的良好的兼 容性、互通性。因此，在本方案的在核心層，部署了銳捷網(wǎng)絡(luò)的 RG-S6810E 模塊化骨干路 由交換機(jī)兩臺(tái)，該交換機(jī)具有高達(dá) 1.6T（可擴(kuò)展 3.2T）的背板，L2/L3 層具有 572Mpps 的 轉(zhuǎn)發(fā)率，同時(shí)還可以配置冗余電源和管理引擎模塊，可以實(shí)現(xiàn)對(duì)全網(wǎng)的數(shù)據(jù)進(jìn)行高速無阻塞 的交換，負(fù)責(zé)路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等。其硬件策略路由功能為學(xué) 校的出口規(guī)則提供了靈活的設(shè)置，此外核心交換機(jī)硬件的 IPv6 功能為學(xué)校接入 CERNET2 提供了無縫連接。為了提高網(wǎng)絡(luò)上連帶寬，業(yè)界提出了端口聚合(802.1ad)的概念，此概念也廣泛應(yīng)用于校 園網(wǎng)的建設(shè)中。銳捷

30、網(wǎng)絡(luò)交換機(jī)可將多個(gè)端口聚合，每條干路支持全雙工模式。端口聚合 可以在單臺(tái)交換機(jī)中進(jìn)行配置，支持聚合通道部的負(fù)載均衡。從核心層到匯聚層使用多條 多模光纖連接到匯聚層交換機(jī)，并實(shí)現(xiàn)端口聚合。匯聚層起著承上啟下的作用，負(fù)責(zé)對(duì)各種接入的匯聚，并可在該層實(shí)現(xiàn)對(duì)于用戶的訪問 控制，以與對(duì)用戶的網(wǎng)絡(luò)管理。因此，匯聚層應(yīng)考慮三層智能交換機(jī)。在本方案中，共部署三臺(tái)銳捷網(wǎng)絡(luò)自主研發(fā)的 RG-S6806E 模塊化骨干路由交換機(jī)。在匯聚層使用三層交換機(jī)的 目的是為了減輕核心層的負(fù)擔(dān)。接入層應(yīng)該能夠?qū)崿F(xiàn)對(duì)用戶的訪問控制，并具有較強(qiáng)的安全和 QOS 控制功能，支持802.1x 的認(rèn)證計(jì)費(fèi)，支持千兆上聯(lián)支持 SMNP 的網(wǎng)

31、管。同時(shí)為滿足學(xué)生宿舍網(wǎng)的高端 口密度接入的需求接入層應(yīng)考慮二層智能型可堆疊交換機(jī)。因此，在接入層部署了銳捷網(wǎng)絡(luò)的 STAR-S2126G/STAR-S2150G 智能型可堆疊交換機(jī)。同時(shí)為了保證宿舍網(wǎng)部網(wǎng)的安全 , 在網(wǎng)和外網(wǎng)之間增加硬件防火墻，接在 INTERNET/CERNET 出口的位置,根據(jù)安全需求可將校園網(wǎng)分為部網(wǎng)、外部網(wǎng)與 DMZ 區(qū) 等，以保護(hù)校園網(wǎng)的安全，防止惡意用戶的攻擊。為了統(tǒng)一網(wǎng)絡(luò)管理和監(jiān)控，在網(wǎng)絡(luò)中心配 置 StarView 管理平臺(tái)可以對(duì)設(shè)備進(jìn)行集中的管理，包括網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、配置管理、性能管 理、事件管理，實(shí)現(xiàn)全網(wǎng)設(shè)備的管理。在網(wǎng)絡(luò)中心兩臺(tái)核心交換機(jī)各通過兩條千兆鏈

32、路連接校園圖書館子網(wǎng)，兩臺(tái)核心交換機(jī)間業(yè)務(wù)量增大時(shí)，也可考慮通過上行雙鏈路 Trunk 來連接。其中公寓干網(wǎng)以千兆鏈路下聯(lián)至公寓樓宇交換機(jī) STAR-S2126G/STAR-S2150G；同時(shí)網(wǎng)絡(luò)中心通過千兆連接專項(xiàng)課題研究樓 子網(wǎng)；在網(wǎng)絡(luò)中心核心交換機(jī)通過千兆鏈路連接行政/教學(xué)樓子網(wǎng)交換機(jī)。以千兆鏈路下聯(lián)至樓宇交換機(jī) STAR-S2126G/STAR-S2150G；計(jì)算中心子網(wǎng)與應(yīng)用服務(wù)器群另在網(wǎng)絡(luò)中心通 過千兆鏈路下行連接。實(shí)現(xiàn)百兆交換到桌面。3.2.1用戶上網(wǎng)方案(1) 訪問校園網(wǎng)用戶在連接到網(wǎng)絡(luò)中時(shí)，首先獲得是校園網(wǎng)的 IP 地址，此時(shí)用戶只能訪問校園網(wǎng)部 的資源，并且對(duì)用戶不計(jì)費(fèi)。在

33、該方案中，S6810E 和 S6806E 起到三層交換機(jī)的功能，校園網(wǎng)用戶之間的互訪都必須通過 S6810E 和 S6806E 進(jìn)行。(2) CERNet用戶需要訪問 CERNet 時(shí)，使用 CERNet 的域名,獲得 CERNet 的地址后，就可以訪問。(3) INTERNET用戶需要訪問 INTERNET 時(shí)，使用 INTERNET 的域名，獲得 INTERNET 的地址后就可以訪問。3.2.2IP地址規(guī)劃和路由設(shè)計(jì)(1) IP 地址規(guī)劃IP 地址規(guī)劃是整個(gè)網(wǎng)絡(luò)設(shè)計(jì)中的重要組成部分，地址規(guī)劃的科學(xué)性和合理性將直接反 應(yīng)網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)思想，對(duì)網(wǎng)絡(luò)的穩(wěn)定起到至關(guān)重要的影響。好的地址規(guī)劃同科學(xué)的

34、分層網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)相輔相承，共同形成整體的網(wǎng)絡(luò)設(shè)計(jì)解決方案。合理的網(wǎng)段劃分結(jié)合靈活的 VLAN 規(guī)劃，可以有效地降低網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，保證整個(gè)網(wǎng)絡(luò)的穩(wěn)定，同時(shí)也起到一定的網(wǎng)絡(luò)安全功能。IP 地址規(guī)劃目標(biāo)建立高效的網(wǎng)絡(luò)路由；有效利用有限的 IP 地址資源； 支持網(wǎng)絡(luò)的擴(kuò)展； 支持網(wǎng)絡(luò)技術(shù)的演變和發(fā)展。IP 地址規(guī)劃原則簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式；連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)與 CIDR(Classless Inter-Domain Routing)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率； 可擴(kuò)充性：為一

35、個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性； 靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化； 可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。 安全性：網(wǎng)絡(luò)應(yīng)按工作容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。校園網(wǎng)地址規(guī)劃方案校園網(wǎng)IP地址分配總則 校園網(wǎng)IP地址分為三大塊： 校園網(wǎng)部的私有IP地址，采用RFC中規(guī)定的地址段，不能訪問Internet和Cernet；Cernet分配的多個(gè)C類公網(wǎng)IP地址，作為和國際互聯(lián)網(wǎng)互連的地址，域名就解析在這片地址上，主要供網(wǎng)絡(luò)中心和圖書館、部分實(shí)

36、驗(yàn)室專用； 運(yùn)營商分配的公網(wǎng)IP地址，用于訪問Internet。 關(guān)鍵服務(wù)器擁有兩個(gè)公網(wǎng)IP，分別跨接在Cernet和Internet上。校園網(wǎng)部私網(wǎng)IP地址的分配部地址的分配原則是按建筑物進(jìn)行的，視用戶的數(shù)量，1/4、1/2、整個(gè)C的劃分。為了安全考慮對(duì)所有的都采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址、MAC地址與端 口綁定。IP地址的分配用戶的計(jì)算機(jī)在連接到校園網(wǎng)上時(shí)，首先獲得一個(gè)校園網(wǎng)部的IP地址，此時(shí)該計(jì)算 機(jī)只能訪問校園網(wǎng)部。用戶需要訪問Cernet和Internet，要使用登陸，認(rèn)證通過后才能訪問。(2) 路由設(shè)計(jì)校園網(wǎng)路由設(shè)計(jì)不使用默認(rèn)路由，使用策略路由，防止從 Int

37、ernet 訪問校園網(wǎng)。Internet 路由設(shè)計(jì)采用靜態(tài)默認(rèn)路由協(xié)議訪問 Internet，為了實(shí)現(xiàn)路由的備份，配置到 Internet 的兩條默認(rèn)路由，兩條路由的優(yōu)先級(jí)可以一樣，可以不同。如果一樣，則兩條線路采取負(fù)載分擔(dān)方式。 如果不同，則是主備方式，其中優(yōu)先級(jí)高的稱為主路由，優(yōu)先級(jí)低的為備份路由。這樣，正常情況下，路由器采用主路由發(fā)送數(shù)據(jù)。當(dāng)線路發(fā)生故障時(shí)，該路由自動(dòng)隱藏，路由 器會(huì)選擇余下的優(yōu)先級(jí)最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。這樣，也就實(shí)現(xiàn)了主路由到備 份路由的切換。當(dāng)主路由恢復(fù)正常時(shí)，路由器恢復(fù)相應(yīng)的路由，并重新選擇路由。由于該路 由的優(yōu)先級(jí)最高，路由器選擇主路由來發(fā)送數(shù)據(jù)。采用

38、源地址路由，讓 Internet 地址訪問 Internet； 采用 ACL，防止訪問 Cernet 的流量通過 Internet； 采用 ACL，防止來自校園網(wǎng)的 Internet 地址。3.2.3 安全與流量控制(1) 網(wǎng)絡(luò)安全控制對(duì)端口 ARP 檢查防止 ARP 攻擊；對(duì)端口安全：MAC 動(dòng)態(tài)地址鎖，MAC 地址靜態(tài)綁定；交換設(shè)備 BPDU Guard 功能，過濾非法 BPDU 報(bào)文，防止 STP 攻擊交換機(jī)；端口安全：端口靜態(tài)綁定，自動(dòng)綁定 IP 和 MAC 地址防止 DOS 攻擊；智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡(luò)應(yīng)用，過濾病毒SSH 密文傳輸，限制管理 IP 等措施保證設(shè)備

39、管理可靠；對(duì)網(wǎng)絡(luò)病毒的防：采用設(shè)置 ACL，對(duì)病毒進(jìn)行過濾；我們使用的匯聚、核心交換機(jī)都支持 SPOH，通過端口獨(dú)立的 FFP 進(jìn)行 ACL 處理，網(wǎng)絡(luò)設(shè)備性 能不受設(shè)置 ACL 數(shù)目影響；(2) VLAN 需求默認(rèn)時(shí)，交換機(jī)分隔沖突域；路由器分隔廣播域。第 2 層交換式網(wǎng)絡(luò)的最大好處是，它 為插入到交換機(jī)每個(gè)端口的每臺(tái)設(shè)備創(chuàng)建了各自的沖突域。但每一個(gè)新的改進(jìn)通常都會(huì)引起 新的問題用戶和設(shè)備的數(shù)量越大，每臺(tái)交換機(jī)必須處理的廣播和數(shù)據(jù)包就越多。安全性也是一個(gè)問題，因?yàn)樵诘湫偷牡?2 層交換式互聯(lián)網(wǎng)絡(luò)的部，默認(rèn)時(shí)所有用戶都 可以看見所有的設(shè)備。你不能讓設(shè)備停止廣播，也不能讓用戶不響應(yīng)廣播。連接到物

40、理網(wǎng)絡(luò) 的任何人都可以訪問位于物理 LAN 上的網(wǎng)絡(luò)資源，用戶只需將其工作站插入到現(xiàn)有的集線器 中，就可以加入某個(gè)工作組。安全性選項(xiàng)只能限于在服務(wù)器和其他設(shè)備上設(shè)置口令。通過創(chuàng)建虛擬局域網(wǎng)（VLAN），就可以在一個(gè)純交換式的互聯(lián)網(wǎng)絡(luò)中，分隔廣播域。VLAN 是兩個(gè)部分的邏輯組合：一是網(wǎng)絡(luò)用戶；二是在管理上連接到交換機(jī)所定義端口的資源。如果創(chuàng)建了 VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網(wǎng)時(shí)，可以將交換機(jī)上的不 同端口分派到不同的子網(wǎng)中，這樣就可以在第二層交換式互聯(lián)網(wǎng)絡(luò)中創(chuàng)建一些小的廣播域。 可以象對(duì)待單獨(dú)的子網(wǎng)和廣播域一樣來對(duì)待 VLAN，這意味著網(wǎng)絡(luò)上的廣播域只在同一個(gè) VLAN 部的邏

41、輯組的端口之間進(jìn)行轉(zhuǎn)發(fā)。用 VLAN 來簡化網(wǎng)絡(luò)管理的方式有多種：通過將某個(gè)端口配置到合適的 VLAN 中，就可以實(shí)現(xiàn)網(wǎng)絡(luò)的添加、移動(dòng)和改變。將對(duì)安全性要求高的一組用戶放入 VLAN 中，這樣，VALN 外部的用戶就無法與他們 通信。作為功能上的邏輯用戶組，可以認(rèn)為 VLAN 獨(dú)立于它們的物理位置或地理位置。VLAN 可以增強(qiáng)網(wǎng)絡(luò)安全性。VLAN 增加了廣播域的數(shù)量，同時(shí)減少了廣播域的圍。使用 VLAN 具有以下優(yōu)點(diǎn)：控制廣播風(fēng)暴一個(gè) VLAN 就是一個(gè)邏輯廣播域，通過對(duì) VLAN 的創(chuàng)建，隔離了廣播，縮小了廣播圍， 可以控制廣播風(fēng)暴的產(chǎn)生。提高網(wǎng)絡(luò)整體安全性通過路由訪問列表和 MAC 地址分

42、配等 VLAN 劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng) 段大小，將不同用戶群劃分在不同 VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。網(wǎng)絡(luò)管理簡單、直觀對(duì)于交換式以太網(wǎng)，如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理 結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用 VLAN 技 術(shù)的網(wǎng)絡(luò)來說，一個(gè) VLAN 可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶 劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng) 之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi) 用。在一個(gè)交換網(wǎng)絡(luò)中，V

43、LAN 提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。圖2 VLAN拓?fù)鋱D(3) VLAN 劃分設(shè)計(jì)VLAN 概述：VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上， 采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) VLAN 組成 一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng) 絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。組建 VLAN 的條件 VLAN 是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立 VLAN 需要 相應(yīng)的支持 VLAN 技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同 VLAN 間進(jìn)行相互通信時(shí)，需要路由的支

44、 持，這時(shí)就需要增加路由設(shè)備要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī) 來完成。劃分 VLAN 的基本策略 從技術(shù)角度講，VLAN 的劃分可依據(jù)不同原則，一般有以下三種 劃分方法：基于端口的 VLAN 劃分 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端 口所連接的設(shè)備?；?MAC 地址的 VLAN 劃分MAC 地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。 MAC 地址由 12 位 16 進(jìn)制數(shù)表示，前 8 位為廠商標(biāo)識(shí)，后 4 位為網(wǎng)卡標(biāo)

45、識(shí)。網(wǎng)絡(luò)管理員可按 MAC 地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)?；诼酚傻?VLAN 劃分 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè) VLAN 跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè) VLAN 中。就目前來說，對(duì)于 VLAN 的劃分主要采取上述第 1、3 種方式，第 2 種方式為輔助性的方案。3.3 方案特點(diǎn)(1) 高帶寬、高性能該解決方案是基于標(biāo)準(zhǔn)的二、三層以太網(wǎng)交換技術(shù)，技術(shù)成熟度非常高。學(xué)校網(wǎng)絡(luò)中心放置路由交換機(jī)上行通過GE接至教育網(wǎng)，GE可以是單?；蛘叨嗄＃尚@網(wǎng)的具體情況而定。GE作為整個(gè)學(xué)校出口帶寬可充分滿足用戶對(duì)帶寬的要求，使學(xué)校出口不

46、再 成為整個(gè)校園網(wǎng)用戶上網(wǎng)的瓶頸。在學(xué)院網(wǎng)絡(luò)中心通過下行使千兆鏈路連接匯聚層交換機(jī)。匯聚層交換機(jī)下行1000M光纖口連接接入樓宇交換機(jī)，百兆交換到桌面，100M的帶寬可充分滿足用戶高速上網(wǎng)，視頻點(diǎn)播等多種寬帶業(yè)務(wù)。核心交換機(jī)擁有1000M出口聯(lián)接校園網(wǎng)，各層設(shè)備全部支持線速交換，給用戶提供了真正的高帶寬網(wǎng)絡(luò)，對(duì)未來高帶寬的寬帶業(yè)務(wù)提供了強(qiáng)大的支撐能力，校園寬帶網(wǎng)的發(fā)展?jié)摿薮蟆?2) 網(wǎng)絡(luò)管理校園網(wǎng)在為廣大師生提供便捷、高效的學(xué)習(xí)、工作環(huán)境的同時(shí)，也在寬帶管理、計(jì)費(fèi)等 方面存在許多問題：網(wǎng)絡(luò)計(jì)費(fèi)管理功能的單一，隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大和用戶群體的日益增多，原有的單一計(jì)費(fèi)管理功能已不能滿足要求。

47、對(duì)帶寬資源的大量占用導(dǎo)致重要應(yīng)用無法進(jìn)行，對(duì)于每個(gè)學(xué)校來說，它的帶寬資源都是有限的。而上網(wǎng)人數(shù)的急增和各種各樣在線游戲的流行使有限的帶寬資源不堪重負(fù)，由于沒有帶寬限制和優(yōu)先級(jí)設(shè)置，一些重要用戶和重要應(yīng)用得不到必要的帶寬保證而影響了正常的教學(xué)和科研工作。訪問權(quán)限難以控制，互聯(lián)網(wǎng)上充斥了許多、暴力、反動(dòng)信息 ,如何讓學(xué)校、家長放心，使孩子盡量 遠(yuǎn)離這些不良信息也是必須解決的一個(gè)問題。異常網(wǎng)絡(luò)事件的審計(jì)和追查，當(dāng)異常網(wǎng)絡(luò)事件發(fā)生后，如何盡快的追根溯源，找出幕后“黑手”，防止事件的再次發(fā)生，成了網(wǎng)絡(luò)維護(hù)人員不得不面對(duì)的棘手問題。多個(gè)校區(qū)的管理和維護(hù)，由于現(xiàn)在校園網(wǎng)的規(guī)模越來越大，呈現(xiàn)出多校園、跨地區(qū)的

48、特點(diǎn)，這就要求網(wǎng)絡(luò)管理員能對(duì)分布在各個(gè)校區(qū)的管理、計(jì)費(fèi)設(shè)備進(jìn)行管理和維護(hù)，管理員的工作量相當(dāng)大。為了幫助網(wǎng)管人員輕松實(shí)現(xiàn)對(duì)眾多網(wǎng)絡(luò)設(shè)備的管理、與時(shí)排查網(wǎng)絡(luò)故障和提高用戶管理的效率，SAM還提供了全網(wǎng)拓?fù)浒l(fā)現(xiàn)功能、AGTS 用戶管理模式、接入時(shí)段管理以與免安裝客戶端自動(dòng)升級(jí)等功能，幫助高校用戶輕松管理整個(gè)校園網(wǎng)絡(luò)?？蛻糍~號(hào)與 IP 地址、MAC 地址、NAS 設(shè)備地址和 NAS 端口綁定SAM通過六元素自動(dòng)綁定、靜態(tài)綁定和動(dòng)態(tài)綁定相結(jié)合，實(shí)現(xiàn)安全認(rèn)證到桌面，不但可以確保用戶入網(wǎng)時(shí)身份唯一，而且有效避免了 IP 沖突，同時(shí)，為網(wǎng)絡(luò)安全上了雙重保險(xiǎn)。例如，SAM安全認(rèn)證能夠?qū)崿F(xiàn)動(dòng)態(tài)綁定，SAM動(dòng)態(tài)綁

49、定是指在用戶登陸網(wǎng)絡(luò)時(shí)，用戶的相關(guān)信息將自動(dòng)與服務(wù)器和接入層交換機(jī)同時(shí)綁定。屆時(shí)如果用戶登錄網(wǎng)絡(luò)后一旦更改自己的相關(guān)信息（如 IP 地址、MAC 的只等），則無法通過交換機(jī)認(rèn)證，通過動(dòng)態(tài)綁定確 保了用戶的身份唯一，在最大程度上消除了部安全隱患，極大的提高了客戶行為的唯一性， 有效的防止了 IP 地址和客戶賬號(hào)盜用現(xiàn)象的發(fā)生。對(duì)賬號(hào)登錄次數(shù)的限定，系統(tǒng)對(duì)同一賬號(hào)同時(shí)登錄次數(shù)作出明確的限定，避免了多人次使用同一賬號(hào)上網(wǎng)的現(xiàn)象。完善的計(jì)費(fèi)管理功能，針對(duì)高校校園網(wǎng)絡(luò)靈活運(yùn)營的需求，銳捷網(wǎng)絡(luò) SAM校園網(wǎng)解決方案開發(fā)出貼近校園用戶需求的計(jì)費(fèi)模式，不僅有計(jì)時(shí)長、包月等傳統(tǒng)計(jì)費(fèi)方式，還增加了計(jì)天計(jì)費(fèi)方式，并

50、以之為基礎(chǔ)，設(shè)計(jì)了一次交費(fèi)，分段開通的計(jì)費(fèi)模式。例如，一個(gè)學(xué)生需要在 6 月 1 日的時(shí)候開通，但是他 6 月 10 日的時(shí)候需要出去實(shí)習(xí) 2 周，這時(shí)，用戶完全可以在 6 月 1 日的時(shí)候選擇開通 10 天，系統(tǒng)就只在這 10 天扣除相應(yīng)費(fèi)用，到 10 日的時(shí)候系統(tǒng)會(huì)自動(dòng)停用該 ，直到用戶再次選擇開通。其次，SAM提供了完善的自助服務(wù)系統(tǒng)，簡單明了的中文界面為用戶提供了包括快 捷注冊(cè)，個(gè)人信息、密碼進(jìn)行修改，上網(wǎng)明細(xì)、交費(fèi)記錄與余額自助查詢，在線充值、注銷 用戶等功能服務(wù)。不但方便了終端用戶繳費(fèi)，同時(shí)也極減輕了管理者的管理和收費(fèi)工作 負(fù)擔(dān)，有效緩解了學(xué)生繳費(fèi)和學(xué)校收費(fèi)的矛盾。另外，為了給高校

51、用戶帶來最優(yōu)的應(yīng)用體驗(yàn)，SAM“想用戶之所想”，為學(xué)校提供了 完善的流程化服務(wù)。SAM解決方案預(yù)置了包括收費(fèi)通知、管理員招聘啟示等在的多種 應(yīng)用問題模版。這些看似簡單的模版，是銳捷網(wǎng)絡(luò)服務(wù)數(shù)百所高校用戶的經(jīng)驗(yàn)積累，銳捷網(wǎng)絡(luò)通過將用戶的需求以與用戶反饋的先進(jìn)經(jīng)驗(yàn)進(jìn)行積累，逐漸形成的一套立體化服務(wù)體系。 需要注意的是，網(wǎng)絡(luò)建成后，該服務(wù)體系還將對(duì)用戶進(jìn)行實(shí)時(shí)跟蹤，與時(shí)了解用戶需求并為 用戶提供網(wǎng)絡(luò)系統(tǒng)定期排查服務(wù)，保障用戶的網(wǎng)絡(luò)輕松運(yùn)行和持續(xù)運(yùn)營。帶寬的限定和業(yè)務(wù)優(yōu)先級(jí)的設(shè)定，系統(tǒng)能對(duì)每個(gè)客戶上下行的帶寬上限加以限定，防止個(gè)別客戶占用過多網(wǎng)絡(luò)資源。還能 對(duì)不同的用戶數(shù)據(jù)設(shè)定業(yè)務(wù)優(yōu)先級(jí)（例如實(shí)驗(yàn)室、

52、教師機(jī)房與學(xué)生宿舍、普通機(jī)房相區(qū)別）， 以保證重要數(shù)據(jù)能得到更好的服務(wù)訪問時(shí)間的有效控制，為了幫助學(xué)校實(shí)現(xiàn)靈活的上網(wǎng)接入時(shí)段管理，SAM提供了用戶接入時(shí)段管理。通過對(duì)日常、周末以與節(jié)日的一次性設(shè)置，可以輕松靈活的管理用戶能夠使用網(wǎng)絡(luò)的時(shí)段，幫助 學(xué)校實(shí)現(xiàn)靈活的上網(wǎng)接入時(shí)段管理。例如，學(xué)?？梢愿鶕?jù)自己的實(shí)際情況，在平時(shí)設(shè)定允許上網(wǎng)的時(shí)段（如 6 點(diǎn)7 點(diǎn)、17 點(diǎn)23 點(diǎn)等）；不允許上網(wǎng)的時(shí)段（如 0 點(diǎn)5 點(diǎn)、8 點(diǎn)16 點(diǎn)等）；或是在周末設(shè)置較長的允許接入網(wǎng)絡(luò)的時(shí)間等。同時(shí)，SAM解決方案還針對(duì)此提供了優(yōu)先級(jí)劃分功能，如節(jié)日的時(shí)段管理優(yōu)先級(jí)最高，周末次之、日常最低。一年只需對(duì)日常、周末以與節(jié)

53、日的時(shí)段管理設(shè)置一次，其間如果遇到特殊情況，可根據(jù)實(shí)際需要，隨時(shí)修改?？旖輰?shí)現(xiàn)全網(wǎng)管理，全網(wǎng)拓?fù)浒l(fā)現(xiàn)功能可以對(duì)全網(wǎng)設(shè)備、網(wǎng)絡(luò)節(jié)點(diǎn)以與事件、性能、日志進(jìn)行實(shí)時(shí)監(jiān)控，統(tǒng)一管理。特別值得一提的是，SAM提供的全網(wǎng)拓?fù)浒l(fā)現(xiàn)功能，能夠發(fā)現(xiàn)非網(wǎng)管設(shè)備（網(wǎng)線、集線器 HUB 等），讓非網(wǎng)管設(shè)備也難逃“法眼”。一旦學(xué)生私建局域網(wǎng)，網(wǎng)管老師可以 迅速發(fā)現(xiàn)，并采取相應(yīng)措施，保證網(wǎng)絡(luò)正常運(yùn)行。除了全網(wǎng)拓?fù)浒l(fā)現(xiàn)之外，SAM解決方案創(chuàng)新推出了 AGTS 的用戶管理模式，來對(duì)用戶數(shù)量龐大、類型繁多的校園網(wǎng)進(jìn)行有效管理。以前，每個(gè)用戶在注冊(cè)的時(shí)候，網(wǎng)管老 師不僅要輸入該用戶的、年級(jí)、班級(jí)等個(gè)人信息，還要輸入該用戶的 IP 地址、MAC 地 址等元素。統(tǒng)計(jì)表明，一個(gè)用戶注冊(cè)登記時(shí)，錄入相關(guān)的用戶