高校數(shù)字化校園-網(wǎng)絡系統(tǒng)建設方案

1、PAGE PAGE 2高校數(shù)字化校園網(wǎng)絡系統(tǒng)建設方案(詳細規(guī)劃)目 錄 TOC o 1-3 h z u HYPERLINK l _Toc38645817 第1章網(wǎng)絡系統(tǒng)建設 PAGEREF _Toc38645817 h 2 HYPERLINK l _Toc38645818 1.1校園網(wǎng)需求分析與設計規(guī)劃 PAGEREF _Toc38645818 h 2 HYPERLINK l _Toc38645819 1.1.1校園網(wǎng)設計需求 PAGEREF _Toc38645819 h 2 HYPERLINK l _Toc38645820 1.1.2網(wǎng)絡建設規(guī)劃及分析 PAGEREF _Toc3864582

2、0 h 4 HYPERLINK l _Toc38645821 1.2網(wǎng)絡方案總體設計 PAGEREF _Toc38645821 h 9 HYPERLINK l _Toc38645822 1.2.1主干網(wǎng)絡技術選型 PAGEREF _Toc38645822 h 9 HYPERLINK l _Toc38645823 1.2.2核心網(wǎng)絡方案設計 PAGEREF _Toc38645823 h 9 HYPERLINK l _Toc38645824 1.2.3匯聚交換機的建設 PAGEREF _Toc38645824 h 12 HYPERLINK l _Toc38645825 1.2.4接入交換機的建設（

3、CISCO產(chǎn)品方案） PAGEREF _Toc38645825 h 12 HYPERLINK l _Toc38645826 1.2.5接入交換機的建設(華為產(chǎn)品方案) PAGEREF _Toc38645826 h 13 HYPERLINK l _Toc38645827 1.2.6主干網(wǎng)絡可靠性考慮 PAGEREF _Toc38645827 h 13 HYPERLINK l _Toc38645828 1.2.7INTERNET訪問設計 PAGEREF _Toc38645828 h 13 HYPERLINK l _Toc38645829 1.2.8路由協(xié)議設計 PAGEREF _Toc386458

4、29 h 14 HYPERLINK l _Toc38645830 1.2.9無線接入設計 PAGEREF _Toc38645830 h 15 HYPERLINK l _Toc38645831 1.2.10網(wǎng)絡管理 PAGEREF _Toc38645831 h 17 HYPERLINK l _Toc38645832 1.3安全性設計 PAGEREF _Toc38645832 h 19 HYPERLINK l _Toc38645833 1.3.1本地主機系統(tǒng)的安全考慮 PAGEREF _Toc38645833 h 20 HYPERLINK l _Toc38645834 1.3.2內(nèi)部網(wǎng)安全控制 P

5、AGEREF _Toc38645834 h 20 HYPERLINK l _Toc38645835 1.4網(wǎng)絡設計分析 PAGEREF _Toc38645835 h 21 HYPERLINK l _Toc38645836 1.4.1高性能、高帶寬的網(wǎng)絡主干 PAGEREF _Toc38645836 h 21 HYPERLINK l _Toc38645837 1.4.2可靠性設計 PAGEREF _Toc38645837 h 22 HYPERLINK l _Toc38645838 1.4.3網(wǎng)絡的安全性設計 PAGEREF _Toc38645838 h 23 網(wǎng)絡系統(tǒng)建設校園網(wǎng)需求分析與設計規(guī)劃

6、校園網(wǎng)設計需求通過對校園網(wǎng)需求的研究，結合對用戶網(wǎng)絡的考慮，我們認為校園網(wǎng)應具備以下特性才能夠滿足需求，并保證建成后的網(wǎng)絡在一個較長的時間內(nèi)具有較強的可用性和一定的先進性。高可用性與先進性校園網(wǎng)網(wǎng)絡系統(tǒng)要求組建萬兆主干網(wǎng)絡，具有極高的數(shù)據(jù)通信能力和足夠的帶寬；并在主干網(wǎng)上提供較強的可擴展性。為了及時、迅速地處理網(wǎng)絡上傳送的數(shù)據(jù)，網(wǎng)絡應有較高的網(wǎng)絡主干速度。網(wǎng)絡設備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡高吞吐能力，滿足各種應用（如：視頻會議系統(tǒng)）對網(wǎng)絡帶寬的需求；在各部門的工作組中采用交換技術，以保證在工作中網(wǎng)絡的快速響應速度，用于提供較高的工作效率。高可靠性網(wǎng)絡要求具有高可靠性，高穩(wěn)

7、定性和足夠的冗余，提供拓撲結構及核心設備的冗余和備份，為了防止局部故障引起整個網(wǎng)絡系統(tǒng)的癱瘓，要避免網(wǎng)絡出現(xiàn)單點失效。在網(wǎng)絡骨干上要提供備份鏈路，提供冗余路由；在網(wǎng)絡設備上要提供冗余配置，設備在發(fā)生故障時能以熱插拔的方式在最短時間內(nèi)進行恢復，把故障對網(wǎng)絡系統(tǒng)的影響減少到最小，避免由于網(wǎng)絡故障造成用戶損失。網(wǎng)絡主干交換機等網(wǎng)絡結點關鍵設備必須具備一定的容錯能力。關鍵結點設備運行中出現(xiàn)故障后，能夠有效、及時地進行故障恢復；要求結點設備的設置、恢復過程必須在短時間內(nèi)迅速完成?；九渲玫慕K端方式操作要簡單，結點內(nèi)部的配置內(nèi)容可以通過筆記本電腦采用TCP/IP協(xié)議下載保存、或是上載恢復。安全性校園網(wǎng)網(wǎng)絡

8、作為一個支持眾多用戶、并同時和INTERNET / CERNET存在連接的網(wǎng)絡，網(wǎng)絡安全性在整個網(wǎng)絡中是個很重要的問題，我們應該采用一定手段控制網(wǎng)絡的安全性，以保證網(wǎng)絡正常運行。網(wǎng)絡中應采取多種技術從內(nèi)部和外部同時控制用戶對網(wǎng)絡資源的訪問?？梢杂蒙矸菡J驗證、VLAN劃分等技術有效地控制內(nèi)部用戶的行為，比如杜絕對IP地址的盜用和偵聽用戶口令等，同時也能夠利用防火墻控制外部人員對網(wǎng)絡的訪問；網(wǎng)絡系統(tǒng)還應具備高度的數(shù)據(jù)安全性和保密性，能夠防止非法侵入和信息泄漏?？晒芾硇詮娪辛Φ木W(wǎng)管軟件是有效地進行網(wǎng)絡管理的助手，網(wǎng)管軟件應能夠支持對網(wǎng)絡進行設備級和系統(tǒng)級的管理，并能支持通用瀏覽器進行網(wǎng)絡設備的管理及

9、配置。靈活的設置每個用戶對Internet訪問功能，能夠對每個用戶實行管理；并且能夠實現(xiàn)復雜的計費管理?？蓴U充性隨著用戶應用規(guī)模的不斷擴大，要求網(wǎng)絡可以方便地擴充容量，支持更多的用戶及應用；隨著網(wǎng)絡技術的不斷發(fā)展，網(wǎng)絡必須能夠平滑地過渡到新的技術和設備，保證用戶現(xiàn)有的投資。某大學的主干設備全部采用機柜式主交換機，保障了網(wǎng)絡的可擴充性。VLAN劃分根據(jù)校園網(wǎng)的實際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個邏輯子網(wǎng)內(nèi)。網(wǎng)絡站點的增減，人員的變動，無論從網(wǎng)絡管理，還是用戶的角度來講，都需要虛擬網(wǎng)技術的支持。虛擬網(wǎng)可以建立不受物理區(qū)域限制的，覆蓋整個校園的相互具有一定獨立性的邏輯子

10、網(wǎng)，各邏輯子網(wǎng)間廣播報文相互隔離并通過第三層的訪問控制設置實現(xiàn)可管理的子網(wǎng)間的互相訪問。因此在網(wǎng)絡主干中要支持三層交換及VLAN劃分。根據(jù)管理以及各部門智能的分配或用戶定義的其它策略進行相應的VLAN的靈活劃分，在整個網(wǎng)絡中使用虛擬網(wǎng)技術，以提高網(wǎng)絡的安全性和靈活性。網(wǎng)絡中心設備和骨干設備能夠提供線速的VLAN之間的路由和高性能的第三層的數(shù)據(jù)包的處理。多層交換技術通過三層交換技術，特別是基于硬件的第三層交換，可以避免不同的網(wǎng)段或VLAN之間訪問時，由于路由效率的影響而產(chǎn)生的傳輸效率影響。對于一個應用，當?shù)谝粋€數(shù)據(jù)包發(fā)送到交換機時，通過路由設備進行轉發(fā)，同時在專用芯片中存入有關的信息，使得后來的

11、所有數(shù)據(jù)包均無需通過路由設備再次處理，而直接由交換機進行轉發(fā)。這樣就可以充分的利用交換機的包處理能力，實現(xiàn)真正的線速交換。同時，由于三層交換技術的引進，大大減輕了中心路由設備的工作壓力，使之不再需要將大量的CPU處理能力花在重復性的數(shù)據(jù)轉發(fā)工作上，從而可以承擔更為復雜且重要的工作。多播技術和多媒體支持校園網(wǎng)要求具有數(shù)據(jù)，圖像，話音等多媒體實時通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務質量，滿足大量用戶對帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡傳輸?shù)难舆t。整個網(wǎng)絡在服務質量(QoS)、預留寬帶設置、合理進行帶寬管理方面應提供優(yōu)良的品質。IP組播技術有其獨特

12、的優(yōu)越性在組播網(wǎng)絡中，即使用戶數(shù)量成倍增長，主干帶寬不需要隨之增加。網(wǎng)絡建設規(guī)劃及分析網(wǎng)絡系統(tǒng)整體規(guī)劃在計算機網(wǎng)絡系統(tǒng)建設中，為建設“數(shù)字化校園”，必須貫徹“整體規(guī)劃、分布實施、逐步升級”的思路，對校園網(wǎng)逐步進行逐步完善。在校園網(wǎng)的規(guī)劃中，整個系統(tǒng)將來要達到1500020000信息點的規(guī)模。這就要求在進行校園網(wǎng)初期網(wǎng)絡建設中，校園網(wǎng)的主干節(jié)點必須要考慮足夠的余量，以保障將來網(wǎng)絡的擴展。在校園網(wǎng)的對外接入方面，可以考慮配置高性能路由器以接入CERNET和INTERNET，并配置高性能防火墻以保障校園網(wǎng)的安全。同時，需要建立撥號訪問服務器以提供對在校園網(wǎng)外部用戶對內(nèi)網(wǎng)的訪問功能。網(wǎng)絡規(guī)劃分析在計算

13、機網(wǎng)絡系統(tǒng)的總體建設中，我們可以將分為三個層次。1）在圖文信息中心建設的雙核心網(wǎng)絡，兩太主交換機分別以單模千兆方式連接二級交換中心，并建立校區(qū)的數(shù)據(jù)中心和各類應用軟件服務系統(tǒng)；2）在校園網(wǎng)中設立四個匯聚中心，通過單模光纖以萬兆速率接入到信息中心主交換機并通過環(huán)網(wǎng)結構將4個二級核心交換機互聯(lián)；向下以千兆方式接入到各個接入樓宇；2）在各樓層內(nèi)部通過對接入交換機進行堆疊或千兆級連，實現(xiàn)所有接入交換機千兆上連，百兆接入桌面信息點。主干設備負責對園區(qū)網(wǎng)內(nèi)的所有數(shù)據(jù)進行高速轉發(fā)，為數(shù)據(jù)庫服務器和應用服務器群之間大容量信息交換提供有效的高速通道，主干網(wǎng)絡如果出現(xiàn)故障，整個校園網(wǎng)就會全部癱瘓。因此，在主干交換

14、機選性方面，對交換機的安全性、可靠性、穩(wěn)定性、可擴展型等方面都有相當高的要求。為保證網(wǎng)絡中心節(jié)點的高可靠性和可用性，可以考慮采用兩臺主交換機分別作為主備方式接入網(wǎng)絡，將核心網(wǎng)絡的平均無故障時間提高到99.999%以上，基本可以保障網(wǎng)絡實現(xiàn)全年不間斷的順暢連通。核心網(wǎng)絡產(chǎn)品分析目前主流的高端網(wǎng)絡設備廠商包括Cisco、Extreme、Cabletron、Nortel等，各個廠家均有一定的市場份額，而且各家的產(chǎn)品也有各自優(yōu)勢所在。CISCO公司是目前世界上排名第一的網(wǎng)絡設備和解決方案供應商，生產(chǎn)的三大系列產(chǎn)品：ATM交換機、多協(xié)議路由器和LAN交換機產(chǎn)品，掌握著計算機網(wǎng)絡聯(lián)系統(tǒng)全球市場的50以上，

15、CISCO在行業(yè)中的領袖地位越來越明顯。它具有強大的技術開發(fā)隊伍和網(wǎng)絡專家共同為網(wǎng)絡產(chǎn)品的走向把脈，并實時地提出具有世界領先的技術，領導網(wǎng)絡新潮流。例如CISCO的DPT技術將被采納為新一代的網(wǎng)絡技術，并且已經(jīng)得到了較好的應用。 CISCO公司的獨特優(yōu)勢在于其創(chuàng)造的網(wǎng)際網(wǎng)互聯(lián)操作系統(tǒng)(IOS)，它可以將所有CISCO產(chǎn)品平滑地聯(lián)接成一體，同時給用戶提供一個可支持任意硬件界面、任意鏈路層、網(wǎng)絡層協(xié)議的可擴展的開放型網(wǎng)絡。目前，不僅所有CISCO公司的產(chǎn)品都融入了IOS技術，許多第三方合作伙伴也在其產(chǎn)品中使用了 IOS技術，因此， IOS己成為工業(yè)界網(wǎng)際網(wǎng)互連的事實標準，選擇CISCO公司產(chǎn)品，可

16、以充分利用其先進的軟硬件網(wǎng)絡技術，更好地滿足網(wǎng)絡設計要求。同時Cisco公司在產(chǎn)品的返修服務方面有許多的便利條件，也積累了許多大型園區(qū)網(wǎng)絡建設的經(jīng)驗。Cisco公司的網(wǎng)絡產(chǎn)品是國際知名的主流產(chǎn)品，選擇Cisco網(wǎng)絡產(chǎn)品具有廣闊的發(fā)展前進和良好的技術保障，同時還有良好的服務體系支持。CISCO提供多種技術來保障設備的高可靠性和可用性：1針對VLAN的生成樹 (PVST) 用于 Cisco Interswitch Link (ISL) 和 802.1Q VLAN Trunking；2Cisco 增強型的生成樹, 包括 Uplink Fast and Port Fast；3Cisco Hot Sta

17、ndby Router Protocol (HSRP) 和 HSRP Track；4Cisco IOS 基于地址的負載均衡，在相等的OSPF路徑開銷； 5Cisco IOS 針對OSPF的快速收斂；6Cisco IOS 針對Cisco路由器的專用IGRP/EIGRP快速路由協(xié)議因此，主要網(wǎng)絡設備（中心交換機、接入交換機和廣域網(wǎng)路由器等）采用Cisco的產(chǎn)品，搭建出一個高性能、高可靠性并具有強大收縮性的網(wǎng)絡平臺。整體系統(tǒng)具有標準化和開放性：符合國際標準，支持TCP/IP協(xié)議、標準路由協(xié)議；具有先進性和成熟性選擇支持三層路由交換、二層交換、虛擬網(wǎng)（VLAN）劃分的成熟的國際先進的網(wǎng)絡技術和設備；提

18、供了無阻塞的內(nèi)部交換能力，以及DDN、撥號/ISDN、寬帶IP等多種形式的終端接入方式。網(wǎng)絡安全的考慮在計算機網(wǎng)絡intranet建設過程中，網(wǎng)絡安全的重要性時無需質疑的。在諸多安全因素中，防黑、防病毒及入侵監(jiān)測系統(tǒng)是在網(wǎng)絡應用建設中需重點考慮的。其中，防火墻作為接入到外網(wǎng)的唯一屏障，是隔絕黑客的主要設備。提供internet安全接入,對網(wǎng)絡訪問用戶進行安全監(jiān)測的最重要的設備就是防火墻。從防火墻產(chǎn)品和技術發(fā)展來看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻?，F(xiàn)有防火墻品種繁多，采用的安全方式各種各樣，針對基于代理服務器的防火墻、軟件防火墻，我

19、們作如下對比：防火墻類型問題運行在應用層的基于代理的防火墻（如市面的CHECKPOINT軟件防火墻）性能低需要昂貴的通用平臺使用開放系統(tǒng)如UNIX時本身具有安全風險運行在網(wǎng)絡層的包過濾的防火墻（各軟件防火墻）采用不是禁止的就允許的算法，安全方法易存在漏洞；包處理速度較慢面向靜態(tài)連接防火墻功能的自適應安全算法（Cisco PIX防火墻）ASA可以跟蹤源和目的地址、傳輸控制協(xié)議（TCP）序列號、端口號和每個數(shù)據(jù)包的附加TCP標志。只有存在已確定連接關系的正確的連接時，訪問才被允許通過防火墻。這樣做，內(nèi)部和外部的授權用戶就可以透明地訪問企業(yè)資源，而同時保護了內(nèi)部網(wǎng)絡不會受到非授權訪問的侵襲與包過濾相

20、比，功能更強勁；速度更快與應用層代理防火墻相比，其性能更高，擴展性更強由以上表格可以看出，無論在安全還是速度方面，選用硬件防火墻都是軟件防火墻和基于代理的防火墻所不能比擬的。所以，針對計算機網(wǎng)絡的安全設備選型，我們選用硬件防火墻作為校園網(wǎng)網(wǎng)絡安全屏障。在硬件防火墻中，評判器性能是否優(yōu)越的主要有如下指標：吞吐量：防火墻串接在網(wǎng)絡出入口處，對進出網(wǎng)絡的數(shù)據(jù)包進行檢查，如防火墻缺乏足夠的吞吐量，則可能對網(wǎng)絡性能影響極大，因此防火墻產(chǎn)品必須具有一定的吞吐量保證；管理的方便性與安全性：防火墻的設置是一項非常重要的工作，一個設置良好的包過濾防火墻就可以發(fā)揮很好的作用，但設置防火墻是一項非常復雜的工作，因此

21、應該盡量選擇設置方便的防火墻，同時無論遠程還是本地，都必須保證設置只能由管理員完成，并且防火墻的設置無法為人非法修改。審計和日志功能：防火墻的審計和日志信息往往是許多安全事件最好的證據(jù)之一，因此良好的審計和日志功能是優(yōu)秀防火墻的共同特征。好的審計和日志功能支持用戶進行各個層次的審計，并提供工具進行審計數(shù)據(jù)的轉儲、處理、查詢等。平臺自身安全性：防火墻自身往往成為很多網(wǎng)絡攻擊的對象，因此其自身應該有足夠的強度保證自身平臺的安全。產(chǎn)品必須通過國家信息安全保密職能部門的認可。根據(jù)上述原則和招標文件要求，我們選擇具有高性價比的CISCO PIX 535系列防火墻。無線網(wǎng)規(guī)劃分析在計算機網(wǎng)絡具體的網(wǎng)絡環(huán)境

22、搭建中，某些場所由于其特有的原因，不適合進行布線系統(tǒng)的搭建或布線系統(tǒng)不能滿足其要求，例如像圖書閱覽室、大規(guī)模會議室和休閑場所。在這些場合中，由于網(wǎng)絡應用者使用網(wǎng)絡有著隨意和不固定的特點，布線系統(tǒng)無疑會限制使用者的應用。這樣，無線網(wǎng)絡應用就會作為布線系統(tǒng)和傳統(tǒng)網(wǎng)絡的必要補充，也會納入的應用。無線網(wǎng)的應用不像傳統(tǒng)布線那樣明確和直觀，由于無線網(wǎng)應用中存在種種不確定性，在無線接入點（AP）的分布和無線信號的強弱方面，必須經(jīng)過實驗才可以最終確定。而且在帶寬和網(wǎng)絡可用性方面，無線網(wǎng)也遠不能和有線網(wǎng)相提并論；無線網(wǎng)的優(yōu)勢在于它的靈活性和方便性，無線局域網(wǎng)絡絕不是用來取代有線局域網(wǎng)絡，而是用來彌補有線局域網(wǎng)絡

23、之不足，以達到網(wǎng)絡延伸之目的，下列情形可能須要無線局域網(wǎng)絡。無固定工作場所的使用者追求靈活和方便的休閑場所有線局域網(wǎng)絡架設受環(huán)境限制的場所作為有線局域網(wǎng)絡的備用系統(tǒng)網(wǎng)絡方案總體設計本章主要針對校園網(wǎng)本期工程建設的具體需求，而提出校園網(wǎng)建造的網(wǎng)絡總體建議。校園網(wǎng)設計主要包括以下部分：校區(qū)高速主干設計路由協(xié)議設計無線網(wǎng)絡設計網(wǎng)絡管理的設計下面，我們將針對校園網(wǎng)的需求分別介紹各邏輯部分的設計方案。主干網(wǎng)絡技術選型選擇好的網(wǎng)絡技術，構建強健的網(wǎng)絡主干是系統(tǒng)的首要方面。在目前的校園網(wǎng)絡選型中，主要包括星型以太網(wǎng)絡和環(huán)形網(wǎng)絡兩種，在網(wǎng)絡傳速速度上，又以千兆網(wǎng)絡和萬兆網(wǎng)絡為主。為保障某大學網(wǎng)絡建設的健壯性和

24、可靠性，建議某大學建立萬兆以太核心網(wǎng)絡，采用星型環(huán)形技術將某大學的網(wǎng)絡建設成為中國高校校園網(wǎng)絡建設的典范。目前，萬兆千兆網(wǎng)絡已經(jīng)成為交換網(wǎng)絡的成熟技術，并得到各大高校的認可和應用。建議在采用萬兆主干，千兆樓層、百兆接入方式為網(wǎng)絡系統(tǒng)中心局域網(wǎng)骨干來構建核心匯聚接入三級系統(tǒng)。核心網(wǎng)絡方案設計從各家交換機廠商產(chǎn)品分析，在由千兆以太技術構成城域網(wǎng)方案中，CISCO產(chǎn)品在技術先進性方面具有較為明顯的優(yōu)勢，性價比較高。在全國高校校園網(wǎng)建設中，CISCO交換機產(chǎn)品占據(jù)了較大的份額，因此，建議采用CISCO公司交換機系列來構建校園核心匯聚層交換機，在邊界接入設備、防火墻設備均選用CISCO公司產(chǎn)品，并可實現(xiàn)

25、所有網(wǎng)絡設備的集中管理，大大減輕了設備管理和維護的復雜度。在某大學校園網(wǎng)的規(guī)劃中，整個系統(tǒng)將來要達到1500020000信息點的規(guī)模。這就要求，在校園網(wǎng)初期網(wǎng)絡建設中校園網(wǎng)的主干節(jié)點必須要考慮足夠的余量，以保障將來網(wǎng)絡的擴展。1）在圖文信息中心建設某大學的核心網(wǎng)絡，兩臺主核心交換機萬兆互聯(lián)，各自分別以萬兆方式連接各個主匯聚交換網(wǎng)點，并建立校區(qū)的數(shù)據(jù)中心和各類應用軟件服務系統(tǒng)；2）在校園網(wǎng)中設立4個骨干匯聚節(jié)點，分別是公共教學樓、通用工程學科群院系統(tǒng)樓、商船類學科群院系統(tǒng)樓和學生宿舍樓。通過單模光纖以雙路千兆方式接入到網(wǎng)絡核心，并向下以千兆方式接入到樓層；同時，4個匯聚節(jié)點之間以千兆互連，形成校

26、區(qū)內(nèi)的星型環(huán)網(wǎng)，有效避免校園骨干的單點故障。3）在樓宇內(nèi)根據(jù)信息點分布特點合理設置配線間，每配線間配置適當數(shù)量的接入交換機（或交換機堆疊）提供桌面信息的接入，并千兆連接至各區(qū)域匯聚交換機。實現(xiàn)所有接入交換機千兆上連，百兆接入信息點。某大學校園網(wǎng)建設總體結構示意圖設計如下：上圖所示為某大學區(qū)網(wǎng)絡系統(tǒng)建設的總體規(guī)劃藍圖，采用核心、匯聚、接入三層網(wǎng)絡構建架構，核心設備放置在圖文信息中心大樓，根據(jù)地理位置和校園內(nèi)信息點分布情況，分別在公共教學樓、通用工程學科群院系統(tǒng)樓、商船類學科群院系統(tǒng)樓和學生宿舍樓設置4個主匯聚節(jié)點：學生宿舍區(qū)主節(jié)點負責各個學生宿舍、教師宿舍以及食堂的信息點匯聚。公共教學樓主節(jié)點負

27、責教學樓、文理科群院系樓、試驗樓、實訓樓、大禮堂和校醫(yī)院的信息點匯聚。商船類學科群院系統(tǒng)樓負責各個科研樓和相關食堂的信息點匯聚。通用工程學科群院系統(tǒng)樓負責兩個通用工程學科群院系樓、3個經(jīng)濟管理學科院系樓、行政樓和學術交樓中心等的信息點匯聚。圖文信息中心大樓網(wǎng)絡核心采用兩臺Catalyst6509，互為備份。二臺核心交換機之間通過運行HSRP熱備份路由協(xié)議，實行故障的自動診斷以及故障發(fā)生后的自動切換功能。同時，兩臺Catalyst 6509之間采用用兩個萬兆端口進行雙鏈路互聯(lián)，設備間的吞吐量可以達到20Gbps。在物理鏈路之間，通過采用端口聚合協(xié)議(PAgP)可以最有效地自動平衡通信負載。至于局

28、域網(wǎng)的擴展，對于接入信息點，可以很方便的在各分配線間根據(jù)需要增加接入交換機，與原有接入交換機堆疊。而核心配置的Catalyst6509更具有強大的擴展性，它是插槽式交換機，以后可根據(jù)需要配置IO模塊，本次配置還余有5個空余插槽，能滿足未來一定時間內(nèi)的擴展需要。兩臺Catalyst 6509上配置如下：各每臺都配置WS-SUP720-3B引擎（交換機背板720G）、雙電源、高速風扇，提供冗余備份，增加交換機的整體可靠性，兩交換機運行HSRP高性能路由協(xié)議，更增強系統(tǒng)可靠性；分別上配置一塊WS-X6704-10GE模塊，提供4個萬兆以太網(wǎng)接口，用于主核心交換機的兩條萬兆捆綁truck鏈路的連接以及

29、與相鄰主匯聚交換機的萬兆連接；各配置一塊WS-X6724-SFP千兆接口模塊，它能夠提供24個千兆光纖端口，主要提供信息點大樓樓層交換機的接入，以及其他千兆光纖設備的接入； 各配置WS-X6548-GE-TX模塊，提供48個10/100/1000M以太網(wǎng)接口，提供服務器等的千兆連接。匯聚交換機的建設匯聚交換機同樣采用CISCO CATALYST 6500系列交換機，跟核心交換機相同，匯聚交換機同樣配置720Gbps大容量背板，可擴展至每秒數(shù)據(jù)包的轉發(fā)率為400MPPS。匯聚交換機采用CISCO CATALYST 6506系列插槽式交換機，以后可根據(jù)需要配置IO模塊，本次配置還余有3個空余插槽，

30、能滿足未來一定時間內(nèi)的擴展需要。在公共教學樓、通用工程學科群院系統(tǒng)樓、商船類學科群院系統(tǒng)樓和學生宿舍樓4臺Catalyst 6509上配置如下：每臺都配置WS-SUP720-3B引擎（交換機背板720G）、雙電源、高速風扇；分別配置一塊WS-X6704-10GE模塊，提供4個萬兆以太網(wǎng)接口，用于萬兆上聯(lián)核心交換機以及與相鄰主匯聚交換機的萬兆連接；各配置一塊WS-X6724-SFP千兆接口模塊，它能夠提供24個千兆光纖端口，主要提供各個潔如樓宇千兆節(jié)點的接入。接入交換機的建設（CISCO產(chǎn)品方案）在各個樓宇內(nèi)部的信息點建設中，根據(jù)信息點數(shù)量不同，各個樓宇設置若干個配線間，將樓內(nèi)的信息點全部集中到

31、各配線間內(nèi)，采用10/100M接入交換機提供各信息點接入的需要，通過千兆連接到相對應的匯聚中心設備上，當配線間信息點數(shù)量超過48個時，通過多臺接入交換機堆疊或千兆直連的方式滿足需求。根據(jù)部門及應用劃分VLAN，以降低網(wǎng)絡廣播，提高網(wǎng)絡利用率，同時也可提高各部門的安全性。在本方案，我們選用全系列CISCO交換機組建某大學的網(wǎng)絡系統(tǒng)，接入交換型號的選用根據(jù)具體配線間的情況，可選用CISCO 2950G或者CISCO 2950T系列交換產(chǎn)品，分別以千兆光口或者電口接入?yún)R聚交換機。接入交換機的建設(華為產(chǎn)品方案)考慮到資金投入的問題，接入層交換機可選用價廉物美的國產(chǎn)接入級交換機，可采用華為 LS-S3

32、026C-SI系列交換機。華為 LS-S3026C-SI交換機可提供24個以太口，最多2個千兆口并可提供堆疊功能，可將多達13臺交換機進行堆疊。我們可以采用S2026C堆疊的方式，可實現(xiàn)300點以上的信息點的接入。同時，為了加速與網(wǎng)絡核心層的業(yè)務傳輸，它利用其固有的服務質量（QoS）管理功能、線速轉發(fā)功能和一致的網(wǎng)絡管理的簡潔性，可在有限的預算范圍內(nèi)實現(xiàn)端到端的CISCO組網(wǎng)方案。 主干網(wǎng)絡可靠性考慮由于占地面積大，考慮到網(wǎng)絡設備日常的管理維護不方便，因此規(guī)劃需充分考慮網(wǎng)絡的可靠性，主要包括：在校區(qū)光纜布線時通過星型結構環(huán)網(wǎng)結構連接核心和匯聚節(jié)點，提供基于鏈路的可靠性；核心及主匯聚設備選用相同

33、品牌產(chǎn)品，核心層考慮配置兩臺核心交換機互為備份；核心主節(jié)點設備選擇可靠性較高的產(chǎn)品，同時考慮一定模塊的冗余，同時采用ESRP或VRRP協(xié)議在匯聚層交換機上將各子網(wǎng)網(wǎng)關相互備份；各樓宇配線間接入設備通過一路千兆上聯(lián)到匯聚點設備上。遠期也可根據(jù)應用情況，接入設備采用雙路千兆線路上聯(lián)到不同的兩個匯聚點設備上，提高可靠性，避免由于匯聚層設備發(fā)生問題影響整個區(qū)域內(nèi)樓宇網(wǎng)絡的癱瘓。INTERNET訪問設計隨著大學城的擴建，網(wǎng)絡安全問題更顯得必要和突出。為保障新校區(qū)網(wǎng)絡建設的安全，建議在新校區(qū)INTRANET設備中增添防火墻設備，以免遭來自INTERNET和大學城內(nèi)部的黑客攻擊。INTRANET接入設備的選

34、型，建議統(tǒng)一采用CISCO設備，以提高可管理性并簡化網(wǎng)絡結構復雜度。在外部網(wǎng)出口的地方配置一臺Cisco 3825路由器，具有2個10/100/1000M以太網(wǎng)口，其中1口連接內(nèi)部網(wǎng)，另1口提供Internet的接入。Cisco 3825路由器具有2個網(wǎng)絡模塊插槽，將來出口增加時，可再配置合適的模塊，提供該出口的連接。Cisco 3825是新型的路由器，其性能達到350Kpps的包轉發(fā)率。約等于150Mbps的處理能力。所以對于百兆的出口而言，Cisco 3825的處理能力完全能夠滿足數(shù)據(jù)包處理的需要。而且，Cisco 3825集成了入侵防護系統(tǒng)（Intrusion Prevention Sy

35、stem，IPS）功能。相比傳統(tǒng)的入侵檢測系統(tǒng)IDS，絕大多數(shù) IDS 系統(tǒng)都是被動的，而不是主動性的，也就是說，在攻擊實際發(fā)生之前，它們往往無法預先發(fā)出警報。入侵防護系統(tǒng)IPS則傾向于提供主動性的防護，其設計旨在預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS 是通過直接嵌入到網(wǎng)絡流量中而實現(xiàn)這一功能的，即通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異常活動或可疑內(nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在 IPS 設備中被清除掉。在防

36、火墻的選擇上，選用CISCO PIX535系列防火墻，提供兩個千兆接口分別接入到邊緣路由器和內(nèi)部交換設備，除向校園內(nèi)部用戶提供防護功能外，還可提供NAT服務，提供內(nèi)外網(wǎng)地址轉換功能。路由協(xié)議設計作為大型園區(qū)網(wǎng)和大型廣域網(wǎng)的結合體，合理的選擇路由協(xié)議是網(wǎng)絡能否發(fā)揮最佳設計性能的關鍵。如果使用靜態(tài)路由，會帶來大量繁瑣的配置工作，且可能隨著網(wǎng)絡應用情況的變化容易出現(xiàn)錯誤卻不易查出，管理成本相對較高。因此考慮動態(tài)路由協(xié)議，以方便網(wǎng)絡的管理，提高網(wǎng)管的綜合效率。動態(tài)路由協(xié)議應具備下面基本特點：1、應為國際標準的路由協(xié)議，考慮不同廠商設備間的互通；2、路由協(xié)議本身不應對網(wǎng)絡帶寬產(chǎn)生大的負載；3、支持負載均

37、衡，由于網(wǎng)絡拓撲考慮了多處的dual-homing，因此需要充分利用冗余的線路及端口；4、收斂時間短，在由于多種原因造成網(wǎng)絡實際連接拓撲發(fā)生變化時，在較短的時間里收斂生成穩(wěn)定的路由表；5、擴展性強，可以適應將來網(wǎng)絡的擴展，做平滑的過渡。按照以上原則，我們使用國際標準OSPF路由協(xié)議，它具有以下特性：1通過維護一個鏈路狀態(tài)數(shù)據(jù)庫，使用基于Dijkstra的SPF路由算法，實現(xiàn)快速收斂；2使用Hello包來建立和維護路由器之間的鄰接關系；3使用域(area)來建立兩個層次的網(wǎng)絡拓撲，使網(wǎng)絡結構層次分明，易于擴展；4具有域間路由聚合的能力，有效減少核心層路由設備的路由表項，提高工作效率；5都是無類(

38、classless)協(xié)議，支持靈活高效的IP地址劃分；6通過選舉指派路由器（Designed Router）來代替網(wǎng)絡廣播，使路由協(xié)議本身對網(wǎng)絡帶寬的消耗很低；7具有認證的能力，防止路由欺騙；8支持負載均衡路由的能力，充分利用冗余的帶寬。無線接入設計的網(wǎng)絡結構中，在會議室，圖書館等場所網(wǎng)絡建設中，包含了無線網(wǎng)絡部分，提供了有線網(wǎng)絡良好的延伸和補充。一直在為教職工和學生提供完善的數(shù)據(jù)服務。為了能實現(xiàn)讓學生們在課堂上和校園圖書館內(nèi)接入網(wǎng)絡的技術，我們的設計中采用了業(yè)界領先的Cisco Aironet系列無線設備。在具體的網(wǎng)絡環(huán)境搭建中，無線網(wǎng)的應用不像傳統(tǒng)布線那樣明確和直觀，由于無線網(wǎng)應用中存在種

39、種不確定性，在無線接入點（AP）的分布和無線信號的強弱方面，必須經(jīng)過實驗才可以最終確定無線網(wǎng)的優(yōu)勢在于它的靈活性和方便性，可用來彌補有線局域網(wǎng)絡之不足，以達到網(wǎng)絡延伸之目的，下列情形可能須要無線局域網(wǎng)絡；無固定工作場所的使用者追求靈活和方便的休閑場所有線局域網(wǎng)絡架設受環(huán)境限制的場所作為有線局域網(wǎng)絡的備用系統(tǒng)無線數(shù)據(jù)解決方案通過接入設備體現(xiàn)其作用，接入設備通過以11Mbps的速度發(fā)送電磁波譜來傳送數(shù)據(jù)，覆蓋的范圍可達400-500米（距離越遠速度越慢，視具體環(huán)境而定）。規(guī)劃采用無線網(wǎng)絡技術實現(xiàn)師生在校園內(nèi)隨時、隨地的接入需要，擴展網(wǎng)絡的使用范圍，特別在露天廣場、湖邊等環(huán)境優(yōu)美的休閑場所提供無線接

40、入，同時可體現(xiàn)校區(qū)數(shù)字化校園網(wǎng)絡應用的水平。組網(wǎng)拓撲圖如下所示：無線網(wǎng)絡拓撲圖有線網(wǎng)絡的規(guī)模較大、終端數(shù)量較多、對網(wǎng)絡傳輸要求高，如果將無線網(wǎng)絡加載在現(xiàn)有有線網(wǎng)絡之上會加重有線網(wǎng)絡負擔，因此綜合這些因素考慮，可以額外布一套有線網(wǎng)絡用以承載無線網(wǎng)絡，以緩解有線網(wǎng)絡的壓力。此外，考慮到本無線網(wǎng)絡規(guī)模大、覆蓋范圍廣、用戶數(shù)多的特點，對網(wǎng)絡性能和用戶認證都提出了很高要求，如果將全無線網(wǎng)絡都劃到一個虛網(wǎng)內(nèi)，則會嚴重影響網(wǎng)絡性能，因此我司建議將全無線網(wǎng)絡根據(jù)無線網(wǎng)絡覆蓋的功能區(qū)域及用戶數(shù)劃分為幾個子網(wǎng)，每個無線子網(wǎng)分別由一臺無線網(wǎng)絡控制器AC2010（以下簡稱WNC AC2010）進行控制，而在中心有一臺

41、接入服務器OCAMAR Access Server（以下簡稱OCAMAR AS），負責為各無線子網(wǎng)提供用戶賬號的集中統(tǒng)一管理和計費。另外考慮某大學整個校園的基本無盲點的覆蓋，為保證信號覆蓋全面又無信號間的干擾情況產(chǎn)生，我們在設計時采用了在室內(nèi)天饋系統(tǒng)，在室外才用大功率發(fā)射的方案，盡量減少AP的數(shù)量，增加天線擴大無線接入點的覆蓋范圍。在無線接入點的選擇方面，我們?yōu)槟炒髮W選擇了國際知名品牌思科產(chǎn)品以及最新的802.11G技術，選用54M AP作為整個校區(qū)的覆蓋。采用天饋系統(tǒng)的AP，選用Aironet1231G-K9-A，可拆換天線的AP；未用天饋系統(tǒng)的AP，選用Aironet 1120G-K9-A

42、，來節(jié)省成本。設計指標：各信號輸出點信號強度1620dbm；將按照2.4G工作頻段2.4122.462GHz（FCC）分為channel1、channel6、channel11三個完全不干擾頻段設計；目標覆蓋區(qū)域信號強度-78dbm。網(wǎng)絡管理網(wǎng)絡的可管理性是網(wǎng)絡的一個重要組成部分，尤其在復雜的網(wǎng)絡系統(tǒng)中,網(wǎng)絡管理就顯的更加重要。網(wǎng)絡管理一般分為五大部分：故障管理、配置管理、性能管理、安全管理和帳號管理。故障管理 檢測、隔離和修正網(wǎng)絡故障。配置管理 根據(jù)基準線修改和跟蹤網(wǎng)絡設備的配置變化。它也提供跟蹤網(wǎng)絡設備操作系統(tǒng)版本的功能。帳號管理 指跟蹤網(wǎng)絡資源使用，并據(jù)此提供帳單服務。性能管理 指測量網(wǎng)

43、絡行為和傳輸?shù)陌?、幀和網(wǎng)絡段的效率。性能管理包括協(xié)議、應用服務和響應時間等。安全管理 指保持和傳送論證、授權信息，如passpowrd和秘鑰等。通過使用審計、log等功能進一步增加網(wǎng)絡的安全性。為了保證整個網(wǎng)絡安全、可靠、穩(wěn)定、高效的運行，需要進行嚴格、規(guī)范、科學的管理，主要需求如下：A、分布式監(jiān)控： 在網(wǎng)絡中心建立監(jiān)控中心，負責收集所有網(wǎng)絡的運行狀況，主機的運行信息，主要包括：軟硬件信息、系統(tǒng)資源（內(nèi)存、硬盤等）的使用情況等，各類信息視其重要程度，收集的頻率也不同，一般為5分鐘至1小時，收集的包大小從5K至100K不等，由監(jiān)控的對象和內(nèi)容所決定；B、安全管理：對所有主機的關鍵資源進行安全性設

44、置，防止非法的訪問；C、用戶管理：對各主機上的用戶帳戶進行統(tǒng)一管理；D、軟件分發(fā)：由分發(fā)服務器進行系統(tǒng)軟件和應用軟件的分發(fā)；E、遠程控制：對上網(wǎng)終端進行控制，要求可以監(jiān)控到各終端的屏幕狀況，但對網(wǎng)絡帶寬要求較高；F、網(wǎng)絡拓撲管理：對各單位的所有子網(wǎng)能夠進行直觀的管理，按照設備連接的邏輯關系對拓撲結構能夠進行層次劃分，在各層拓撲結構圖中實時反映各類設備的連接狀態(tài)，為故障定位等功能的實現(xiàn)提供基礎；各設備的狀態(tài)刷新實時性要求較高，每次刷新時對網(wǎng)絡流量有一定的影響；G、故障報警與定位：網(wǎng)絡發(fā)生故障后要能在管理員窗口彈出報警窗，指示所發(fā)生的事件，為故障處理提供參考和依據(jù)，以更快地定位故障，及時處理。同時

45、還能夠根據(jù)各關鍵結點的工作情況提示，及早做好故障的預防和預處理；H、設備配置管理：將網(wǎng)絡設備的配置管理集成在統(tǒng)一的管理界面中，在全局網(wǎng)絡拓撲圖中點擊網(wǎng)絡設備，能夠出現(xiàn)相應的管理界面，在此管理界面中能夠進行設備全部功能的配置，彌補先前管理方式的不足；I、網(wǎng)絡流量監(jiān)測：能夠監(jiān)測網(wǎng)絡之間特別是廣域網(wǎng)之間的流量，監(jiān)控網(wǎng)絡的繁忙程度，對網(wǎng)絡帶寬的利用率進行分析，能及時掌握網(wǎng)絡的瓶頸所在，為網(wǎng)絡通道的調整和擴充提供可靠數(shù)據(jù)。網(wǎng)絡管理軟件采用Cisco Works2000網(wǎng)絡管理軟件來實現(xiàn)統(tǒng)一的管理。網(wǎng)管軟件CISCO WORKS 2000是一系列基于SNMP的互連網(wǎng)絡管理軟件應用程序，能夠為網(wǎng)管員提供一系

46、列強大的功能，如清晰的了解網(wǎng)絡狀況、及時發(fā)現(xiàn)網(wǎng)絡故障、方便的遠程處理設備故障、遠程設備版本升級等。CiscoWorks2000中包含Campus Manager3.0、 Cisco View5.1、 Content Flow Monitor 、Resoure Manager Essentials3.1、 TafficDierctor等五個應用軟件包。整個網(wǎng)絡從網(wǎng)絡中心的核心交換機到主干節(jié)點交換機，到中心路由器、邊界路由器、訪問服務器，都是采用CISCO公司的配套產(chǎn)品，使整個網(wǎng)絡具有完整的一致性，統(tǒng)一的網(wǎng)絡管理和統(tǒng)一的流量控制。 安全性設計隨著網(wǎng)絡的應用日益普及，網(wǎng)絡用戶越來越多，網(wǎng)絡的安全性成

47、為了所有網(wǎng)絡服務的提供者最關心的問題之一。網(wǎng)絡系統(tǒng)中的安全性問題包括網(wǎng)絡中信息系統(tǒng)的安全性和網(wǎng)絡本身固有的安全性。保證系統(tǒng)的安全性要從管理和技術角度同時考慮，通過制定不同的安全策略來達到特定的安全要求。網(wǎng)絡的安全策略在實現(xiàn)時主要針對兩種情況，一種是網(wǎng)絡系統(tǒng)自身的安全問題，如路由器的安全隱患、匿名FTP的安全隱患、TELNET的安全隱患等，可以通過對各種關鍵系統(tǒng)設備的加以控制來消除；另一種是給用戶提供的各種服務是否安全，主要體現(xiàn)在網(wǎng)絡應用上，如用戶的數(shù)據(jù)或信息在網(wǎng)絡傳遞過程中的安全控制。其中網(wǎng)絡系統(tǒng)自身的安全程度將直接影響到整個系統(tǒng)的可用性和穩(wěn)定性，它是系統(tǒng)安全的基礎。一個系統(tǒng)存在的安全問題可能

48、主要來源于兩方面：或者是安全控制機構有故障；或者是系統(tǒng)安全定義有缺陷。前者是一個軟件可靠性問題，可以用優(yōu)秀的軟件設計技術配合特殊的安全方針加以克服；而后者則需要精確描述安全系統(tǒng)。網(wǎng)絡應用系統(tǒng)的安全體系應包含：訪問控制通過對特定網(wǎng)段、服務建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前檢查安全漏洞通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效攻擊監(jiān)控通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）加密通訊主動的加密通訊，可使攻擊者不能了解、修改敏感信息認證良好的認證體系可防止攻擊者假

49、冒合法用戶備份和恢復良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務多層防御攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標設立安全監(jiān)控中心為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務本地主機系統(tǒng)的安全考慮計算機病毒是伴隨著計算機而產(chǎn)生的，它同時隨著計算機技術的發(fā)展而發(fā)展，在網(wǎng)絡環(huán)境中，計算機病毒更易于傳播，其對系統(tǒng)的危害也是明顯的，在實驗室管理網(wǎng)建設中，由于該網(wǎng)絡與Internet網(wǎng)絡完全隔離，而且主要運行辦公網(wǎng)內(nèi)部的公文流轉、文件交換、信息共享，辦公自動化等，其危害主要來源于內(nèi)部用戶。因此，在實驗室管理網(wǎng)中對計算機的保護主要在于安全規(guī)范管理。比如，不允許使用外來

50、軟盤、U盤等移動存儲介質，防止受病毒感染的移動介質影響該終端，從而傳播給其他終端。我們建議采用網(wǎng)絡與單機相結合的方式來避免計算機病毒的危害。一方面采用網(wǎng)絡防病毒軟件保護服務器，同時實現(xiàn)對網(wǎng)絡病毒的監(jiān)控、報警和實時清除；另一方面也要定期對工作站用單機的防病毒軟件進行殺病毒。對防病毒軟件統(tǒng)一管理，及時升級，確保系統(tǒng)沒有病毒的危害。內(nèi)部網(wǎng)安全控制1、VLAN技術通過VLAN的劃分，利用中心交換機上高性能路由模塊的管理和控制，可以控制內(nèi)部各VLAN間的訪問，例如VLAN中的某個IP地址只允許訪問該VLAN內(nèi)部的資源，或某個VLAN只允許其它VLAN的用戶以HTTP或FTP等方式對它進行訪問等，這樣就可

51、以有效的限制VLAN間訪問的范圍和權限。方案中所選交換機均支持虛網(wǎng)功能，可將相同職能的辦公室及信息點化并為同一個VLAN，通過IEEE 802.1Q協(xié)議，可以實現(xiàn)跨交換機的VLAN設置，因此VLAN的設置不會受到地理位置的限制。中心配置Catalyst6509以線速交換VLAN信息，消除以往在路由處理上的瓶頸，提高了網(wǎng)絡效率。2、MAC地址的過濾對于重要的網(wǎng)段何部門，其接入交換機上可以考慮通過MAC過濾方式對接入PC終端進行限制，例如領導、財務等重要部門以及數(shù)據(jù)中心等。3、ACCESS LISTCISCO和華為公司在其核心軟件IOS中嵌套了Accesslist訪問控制列表功能，因此，Cisco

52、所有的路由產(chǎn)品均能夠對進出的數(shù)據(jù)進行安全訪問控制。在內(nèi)部網(wǎng)上，可以通過Catalyst6509上的多層交換模塊的訪問控制功能對各個網(wǎng)段間的訪問進行安全控制。限制網(wǎng)段間的訪問范圍、方式及應用。同時本方案中接入產(chǎn)品交換機也具有相應的ACL功能。4、AAA用戶驗證功能Cisco和華為的的接入層交換機都具有802.1X身份認證功能，通過各自相應的AAA用戶身份認證功能，對某些網(wǎng)絡登錄用戶進行身份驗證，有效的防止外界的惡意入侵。網(wǎng)絡設計分析根據(jù)用戶網(wǎng)絡系統(tǒng)結構特點，通過對用戶需求的研究和設計，以下特點貫穿在我們所設計的方案中，成為校園網(wǎng)改造工程設計與建設的特色；也是保證貴校在未來幾年內(nèi)不落后的有效保障。

53、高性能、高帶寬的網(wǎng)絡主干網(wǎng)絡的高可靠性較高的安全性網(wǎng)絡的可擴展性統(tǒng)一的網(wǎng)絡管理靈活的VLAN劃分支持多媒體應用高性能、高帶寬的網(wǎng)絡主干方案中選用的設備都具有業(yè)界領先的性能，我們采用了CISCO公司高性能的千兆位以太網(wǎng)路由交換機Catalyst 6509作為中心交換機，利用它強大的交換能力構造高帶寬的網(wǎng)絡骨干。并且能夠很方便地將主干網(wǎng)升級到萬兆以太網(wǎng)，網(wǎng)絡中心Catalyst 6509能夠提供高達720Gb的背板帶寬，這樣高的吞吐量可以毫不費力地在網(wǎng)絡環(huán)境中支持高性能的IP網(wǎng)絡結構。Catalyst 6509將路由的功能和交換的性能結合為一體，在支持千兆位以太網(wǎng)的同時還支持IP和IPX數(shù)據(jù)包的線

54、速路由，使得所有的功能(包括VLAN間的路由等)在很高的速度和帶寬下運行?？煽啃栽O計校園網(wǎng)的可靠性是其賴以生存的關鍵因素之一。一個缺乏可靠性的網(wǎng)絡系統(tǒng)就象空中樓閣，隨時都有坍塌、瓦解的可能，是無法為用戶提供高質量服務的。因此，在我們的方案中，充分考慮了網(wǎng)絡的冗余問題。網(wǎng)絡系統(tǒng)的冗余應由兩個層次的冗余來實現(xiàn)：一是網(wǎng)絡級、二是平臺級。網(wǎng)絡級冗余對于網(wǎng)絡級冗余，我們的方案中可以提供兩個層次的冗余：物理層通過雙主干網(wǎng)各匯聚節(jié)點通過，雙星型環(huán)形網(wǎng)絡光纜連接，本方案在物理層為各個主交換設備提供了物理通道的冗余；鏈路層鏈路層的冗余是通過Spanning Tree算法獲得。我們的方案支持Spanning Tr

55、ee per VLAN，Port Fast，Uplink Fast，Backbone Fast等算法。這些算法可以明顯地提高網(wǎng)絡收斂時間，極大地提高了鏈路發(fā)生故障時切換至備份線路的時間。平臺級冗余我們的方案中中心交換機Catalyst6509本身具有很強的冗余、備份能力。這體現(xiàn)在引擎、接口卡、電源和風扇、時鐘等方面。接 口 卡所有Catalyst6509系列交換機的接口卡都可以進行熱插拔；引擎可配備雙引擎，支持熱備份電源/風扇Catalyst6509交換機配有兩個電源和冗余風扇，這樣，兩個電源模塊可以負載均衡的方式進行工作；端 口提供的網(wǎng)絡設備均有冗余端口，方便用戶將來節(jié)點的擴充 ；多 槽 位

56、中心交換機為多槽位交換機，方便用戶升級網(wǎng)絡主干，或提供節(jié)點的擴充；冗余交換模塊可以配置冗余的交換模塊，保證網(wǎng)絡的性能其他可靠性設計網(wǎng)卡容錯技術、網(wǎng)卡平衡負載技術和服務器負載均衡技術在服務器中安裝兩塊網(wǎng)卡，實現(xiàn)當一塊網(wǎng)卡或網(wǎng)絡鏈路發(fā)生故障，另外一塊網(wǎng)卡立刻接管，工作站沒有影響，不用重新啟動；數(shù)據(jù)中心的服務器采用負載均衡技術；Cisco GEC10GEC帶寬聚合技術交換機之間的連接采用萬兆光纖線路連接，若以后想提高帶寬，可以配置雙路萬兆M光纖上聯(lián)模式，可實現(xiàn)20G帶寬，當某個端口或線路發(fā)生故障時，帶寬自動降為10G，不影響整個網(wǎng)絡的連通；在spanning tree標準中用到Cisco的Uplin

57、k Fast技術實現(xiàn)在環(huán)型線路連接中，當一條發(fā)生故障，迅速恢復網(wǎng)絡的連通性，恢復過程只有1秒鐘的延時。如果沒有Uplink Fast技術那么spanning tree的恢復過程需要40秒鐘的延時；采用Cisco的MAC地址限制技術在Cisco交換機的端口上設置工作站網(wǎng)卡的MAC地址，Cisco交換機可以最大每端口設置132個MAC地址，實現(xiàn)網(wǎng)絡用戶接入的安全保障，不良動機的用戶攜帶筆記本電腦也不能連入校園網(wǎng)內(nèi)。網(wǎng)絡的安全性設計隨著網(wǎng)絡的應用日益普及，網(wǎng)絡用戶越來越多，網(wǎng)絡的安全性成為了所有網(wǎng)絡服務的提供者最關心的問題之一。對于校園網(wǎng)這樣的大型園區(qū)網(wǎng)，網(wǎng)絡的安全問題就越發(fā)重要。網(wǎng)絡系統(tǒng)中的安全性

58、問題包括網(wǎng)絡中信息系統(tǒng)的安全性和網(wǎng)絡本身固有的安全性。保證系統(tǒng)的安全性要從管理和技術角度同時考慮，通過制定不同的安全策略來達到特定的安全要求。網(wǎng)絡的安全策略在實現(xiàn)時主要針對兩種情況，一種是網(wǎng)絡系統(tǒng)自身的安全問題，如路由器的安全隱患、匿名FTP的安全隱患、TELNET的安全隱患等，可以通過對各種關鍵系統(tǒng)設備的加以控制來消除；另一種是給用戶提供的各種服務是否安全，主要體現(xiàn)在網(wǎng)絡應用上，如用戶的數(shù)據(jù)或信息在網(wǎng)絡傳遞過程中的安全控制。其中網(wǎng)絡系統(tǒng)自身的安全程度將直接影響到整個系統(tǒng)的可用性和穩(wěn)定性，它是系統(tǒng)安全的基礎。一個系統(tǒng)存在的安全問題可能主要來源于兩方面：或者是安全控制機構有故障；或者是系統(tǒng)安全定

59、義有缺陷。前者是一個軟件可靠性問題，可以用優(yōu)秀的軟件設計技術配合特殊的安全方針加以克服；而后者則需要精確描述安全系統(tǒng)。網(wǎng)絡應用系統(tǒng)的安全體系應包含：訪問控制通過對特定網(wǎng)段、服務建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前檢查安全漏洞通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效攻擊監(jiān)控通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）加密通訊主動的加密通訊，可使攻擊者不能了解、修改敏感信息認證良好的認證體系可防止攻擊者假冒合法用戶備份和恢復良好的備份和恢復機制，可在攻擊造成損失時