某校園網絡需求分析方案

1、某校園網絡需求分析方案思科系統(tǒng)網絡技術有限公司 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 一校園網概述及分析4. HYPERLINK l bookmark6 o Current Document 概述4 HYPERLINK l bookmark8 o Current Document 校園網建設的必要性5 HYPERLINK l bookmark10 o Current Document 應用特點6 HYPERLINK l bookmark12 o Current Document 二、校園網絡需求分析6. HYPERLINK

2、 l bookmark14 o Current Document 用戶需求分析6 HYPERLINK l bookmark16 o Current Document 校區(qū)網絡的設計目標:7 HYPERLINK l bookmark18 o Current Document 系統(tǒng)設計指導思想8 HYPERLINK l bookmark20 o Current Document 三、組網技術及產品選擇9. HYPERLINK l bookmark22 o Current Document 組網技術選擇9 HYPERLINK l bookmark24 o Current Document 網絡產品選

3、型10穩(wěn)定可靠的網絡10高帶寬10易擴展的網絡11QoS保證11安全性11容易控制管理11IPMulticast11符合IP發(fā)展趨勢的網絡12四、校園網網絡設計方案及分析1.2網絡的分層設計原則12核心層(CoreLayer)12分布層(DistributionLayer)13接入層(AccessLayer)13 HYPERLINK l bookmark29 o Current Document 校園網方案特性分析13高性能的網絡設計13集成的用戶管理功能14靈活的網絡的可擴展性設計14完善的QOS功能15可靠的網絡安全設計15方便的網絡管理和維護16運營級的網絡高可靠性的設計16 HYPER

4、LINK l bookmark31 o Current Document 系統(tǒng)平臺和應用系統(tǒng)17系統(tǒng)平臺選擇17采用WIN2003SERVER能建立的服務器角色17WEB服務器錯誤!未定義書簽。 TOC o 1-5 h z HYPERLINK l bookmark33 o Current Document 五.思科公司校園網解決方案1.7. HYPERLINK l bookmark35 o Current Document 系統(tǒng)組成與拓撲結構17VLAN及IP地址規(guī)劃20 HYPERLINK l bookmark43 o Current Document 六、綜合布線系統(tǒng)3.7. HYPERL

5、INK l bookmark45 o Current Document 結構化布線設計的要求37 HYPERLINK l bookmark47 o Current Document 系統(tǒng)設計原則37設計原則37設計目標38 HYPERLINK l bookmark49 o Current Document 七、技術支持及售后服務3.8. HYPERLINK l bookmark51 o Current Document 服務內容38 HYPERLINK l bookmark53 o Current Document 設計服務39 HYPERLINK l bookmark55 o Current

6、 Document 場地檢查39 HYPERLINK l bookmark57 o Current Document 系統(tǒng)安裝調試39 HYPERLINK l bookmark59 o Current Document 測試和驗收40 HYPERLINK l bookmark61 o Current Document 系統(tǒng)后期維護和支持40 HYPERLINK l bookmark63 o Current Document 客戶技術培訓41 HYPERLINK l bookmark65 o Current Document 設備保修與軟件升級41校園網系統(tǒng)方案一校園網概述及分析概述中國教育科研

7、計算機網(CERNET)于1994年正式啟動以來，已與國內幾百所學校相連。為廣大師生及科研人員提供了一個全新的網絡環(huán)境。1998年10月，中國教育科研網(CERNET)二期工程正式啟動，工程計劃到2000年二期工程完成時,除達到連接1000所大學的目標外,對有條件的中小學也提供接入上網服務。的確,隨著信息技術的飛速發(fā)展,中小學校園網的建設已經逐漸提到議事日程上來。但是我國目前大多數校園網上的應用還不豐富，與學校原有一些計算機業(yè)務系統(tǒng)還沒有充分發(fā)揮，應用水平的低下是對校園網資源的極大浪費。只有提高校園網上的應用水平，才能切實提高學校各項業(yè)務水平，適應信息時代的要求。因而，如何利用當前先進的計算機

8、技術與校園網資源，實現(xiàn)學校各項業(yè)務系統(tǒng)的集成，提高應用水平將是學校校園網建設的下一個工作重點。當前由于網絡、數據庫及與之相關的應用技術不斷發(fā)展，尤其國際互聯(lián)網(Internet)和內部網(Intranet)技術的廣泛應用，世界正在邁入網絡中心計算(NetworkCentricComputing)時代。人們傳統(tǒng)的交互和工作模式正在改變。處在不同地理位置的人們可以共享數據，使用群件技術(GroupWare)進而能夠協(xié)同工作；多媒體數據的存儲、傳輸、應用技術的不斷成熟；以上這些計算機技術的發(fā)展對學校傳統(tǒng)的計算機業(yè)務系統(tǒng)產生影響，使用戶能更方便。更直觀的使用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強大。校園

9、網建設的目標簡而言之是將校園內各種不同應用的信息資源通過高性能的網絡設備相互連接起來，形成校園園區(qū)內部的Intranet系統(tǒng)，對外通過路由設備接入廣域網。建設校園網對每個學校來說都不是一件容易的事情,都要經過周密的論證、謹慎的決策和緊張的施工。當一堆設備變成網絡的時候,大部分學校的滿腔熱情也慢慢地冷卻凝固。校園網建成了,各種問題也不斷涌現(xiàn):設計目標根本無法實現(xiàn)沒有合適的應用軟件,許多設想根本無法實施,后續(xù)的維護費用不堪承受等等。校園網建設的必要性是否在學校采用最先進的信息和傳播技術是一個有決定性意義的問題,而且十分重要的是,學校應該處于影響整個社會深刻變革的中心地位。隨著計算機多媒體和網絡技術

10、的不斷發(fā)展與普及，校園網信息系統(tǒng)的建設，是非常必要的，也是可行的。主要表現(xiàn)在：、當前校園網信息系統(tǒng)已經發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學和協(xié)作工作的階段，發(fā)展對學校教育現(xiàn)代化的建設提出了越來越高的要求。、教育信息量的不斷增多,使各級各類學校、家庭和教育管理部門對教育信息計算機管理和教育信息服務的要求越來越強烈。個人是否具有獲得信息和處理信息的能力對于能否成功進入職業(yè)界和融入社會及文化環(huán)境都是個決定性的因素,因此學校應該培養(yǎng)所有學生具有駕馭和掌握這種技術的能力。另一方面,信息技術在作為青少年教育工具的同時也向青少年提供了前所未有的機會。新技術提供的機會以及它們在教

11、學方面具有的優(yōu)勢都是很多的,特別是計算機和多媒體系統(tǒng)的使用有助于個人化的道路,每個學生在個人的學習道路上都可以按照自己的速度發(fā)展。、我國各級教育研究部門、軟件開發(fā)單位、教學設備供應商和各級學校不斷開發(fā)提供了各種在網絡上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網絡環(huán)境。、現(xiàn)代教育改革的需要。在校園網中將計算機引入教學各個環(huán)節(jié)，從而引起了教學方法，教學手段，教學工具的重大革新。對提高教學質量，推動我國教育現(xiàn)代化的發(fā)展起著不可估量的作用。網絡又為學校的管理者和老師提供了獲取資源、協(xié)同工作的有效途徑。毫無疑問,校園網是學校提高管理水平、工作效率、改善教學質量的有力手段,是解決信息時代

12、教育問題的基本工具。、隨著經濟發(fā)展，我國各級政府對教育的投入不斷加大；計算機技術的飛速發(fā)展，使相應產品價格不斷下降；同時人們的認識水平和經濟實力不斷提高。大量計算機進入學校和家庭，使得計算機用于教育信息管理和信息服務是完全可行的。1.3應用特點隨著現(xiàn)代化教學活動的開展和與國內外教學機構交往的增多，對通過Internet/Intranet網絡進行信息交流的需求越來越迫切，為促進教學、方便管理和進一步發(fā)揮學生的創(chuàng)造力，校園網絡建設成為現(xiàn)代教育機構的必然選擇。校園網大都屬于中小型系統(tǒng)，以園區(qū)局域網為主，一個基本的校園網具有以下的特點：高速的局域網連接校園網的核心為面向校園內部師生的網絡，因此園區(qū)局域

13、網是該系統(tǒng)的建設重點，由于參與網絡應用的師生數量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數據傳輸是網絡的一項基本要求；信息結構多樣化校園網應用分為電子教學（多媒體教室、電子圖書館等）、辦公管理和遠程通訊（遠程教學、互聯(lián)網接入）三大部分內容：電子教學包含大量多媒體信息，辦公管理以數據庫為主，遠程通訊則多為wwW式,因此數據成分復雜，不同類型數據對網絡傳輸有不同的質量需求；安全可靠校園網中同樣有大量關于教學和檔案管理的重要數據，不論是被損壞、丟失還是被竊取，都將帶來極大的損失；操作方便，易于管理校園網面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，界面友好，不宜太過專業(yè)

14、化；經濟實用學校對網絡建設的投入有限，因此要求建成的網絡應經濟實用，具備很高的性能價格比。二、校園網絡需求分析用戶需求分析設計一個網絡，首先要為用戶分析目前面臨的主要問題，確定用戶對網絡的真正需求，并在結合未來可能的發(fā)展要求的基礎上選擇、設計合適的網絡結構和網絡技術，提供用戶滿意的高質服務。網絡在日常教學辦公環(huán)境中起著至關重要的作用，校園網的運作模式會帶來大量動態(tài)的wwWZ用數據傳輸，會有相當一部分應用的主服務器有高速接入網絡的需求（目前為100/1000Mbps,今后可會更高）。這就要求網絡有足夠的主干帶寬和擴展能力。同時，一些新的應用類型，如網絡教學、視頻直播/廣播等，也對網絡提出了支持多

15、點廣播和寬帶高速接入的要求。除上述考慮外，還要注意到由于邏輯上業(yè)務網和管理網必須分開，所以建成后校園網應能提供多個網段的劃分和隔離，并能做到靈活改變配置，以適應教學辦公環(huán)境的調整和變化。中心機房到匯聚層節(jié)點采用4兆光纖（多模）連接，匯聚層到接入層采用百兆的五類線（或者超五類）連接。通常考慮，建議數據信息點的接入用交換10/100Mbps自適應以太網端口接入，以便能較經濟的提供較高的帶寬。整個方案設計的目的是建設一個集數據傳輸和備份、多媒體應用、語音傳輸、OA應用和Internet訪問等于一體的高可靠、高性能的寬帶多媒體校園網。校區(qū)網絡的設計目標:校區(qū)網絡建設的目標應該是：建成后的網絡能充分利用

16、Internet、國家信息網、教育網、全國高?；ヂ?lián)網上的各種信息，實現(xiàn)資源共享，能夠為在此校區(qū)學習的學生提供豐富的多媒體教學手段，實現(xiàn)高質高效的教學目標。由此，我們認為，校園網網絡是一個典型的面向未來的網絡化、信息化、自動化的集娛樂、教學、辦公于一體的，具備多媒體綜合業(yè)務發(fā)展需求的園區(qū)網絡。系統(tǒng)總體設計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術先進性、高度的安全可靠性，同時具有良好的開放性、可擴展性。本著為學校校區(qū)著想，合理使用建設資金，使系統(tǒng)經濟可行。學校網絡應當實現(xiàn)如下功能：訪問互聯(lián)網絡訪問學校虛擬網絡校園網站建立遠程教育VOD點播網絡安全管理電子郵件和電子公告計算機輔助教學教師備

17、課功能對外交流校園管理平臺信息資源庫系統(tǒng)設計指導思想建設校園網絡，本著少花錢辦大事的原則，充分利用有限的投資，在保證網絡先進性的前提下，選用性能價格比最好的設備，我們認為校園網建設應該遵循以下原則：先進性以先進、成熟的網絡通信技術進行組網，支持數據、語音、視像等多媒體應用，用基于交換的技術替代傳統(tǒng)的基于路由的技術。標準化和開放性網絡協(xié)議采用符合ISO及其他標準，如：IEEE、ITUT、ANSI等制定的協(xié)議，采用遵從國際和國家標準的網絡設備。可靠性和可用性選用高可靠的產品和技術，充分考慮系統(tǒng)在程序運行時的應變能力和容錯能力，確保整個系統(tǒng)的安全與可靠。設備的兼容性選用符合國際發(fā)展潮流的國際標準的軟

18、件技術，以便系統(tǒng)有可靠性強、可擴展和可升級等特點，保證今后可迅速采用計算機網絡發(fā)展出現(xiàn)的新技術，同時為現(xiàn)存不同的網絡設備、小型機、工作站、服務器、和微機等設備提供入網和互連手段。實用性和經濟性從實用性和經濟性出發(fā)，著眼于近期目標和長期的發(fā)展，選用先進的設備，進行最佳性能組合，利用有限的投資構造一個性能最佳的網絡系統(tǒng)。安全性和保密性在接入Internet的情況下，必須保證網上信息和各種應用系統(tǒng)的安全。擴展性和升級能力網絡設計應具有良好的擴展性和升級能力，選用具有良好升級能力和擴展性的設備。在以后對該網絡進行升級和擴展時，必須能保護現(xiàn)有投資。應支持多種網絡協(xié)議、多種高層協(xié)議和多媒體應用。網絡的靈活

19、性系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負載平衡等方面，配合交換機產品與路由器產品支持的最先進的虛擬網絡技術，整個網絡系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網絡轉移到另一個網絡，可以跨越辦公室、辦公樓，而無需任何硬件的改變，以適應機構的變化。同時也可以通過平衡網絡的流量，以提高網絡的性能。三、組網技術及產品選擇組網技術選擇在校園網校區(qū)網絡的建設中，主干網選擇何種網絡技術對網絡建設的成功與否起著決定性的作用。選擇適合校園網絡需求特點的主流網絡技術，不但能保證網絡的高性能，還能保證網絡的先進性和擴展性，能夠在未來向更新技術平滑過渡，保護用戶的投資。目前在局域網絡上應用最廣泛的技術有以太網、快速以

20、太網、FDDI、TokenRing以及最新崛起的ATM（異步傳輸模式）、千兆以太網等。交換式以太網作為幾年前主干網組網的主要技術，現(xiàn)在主要被用于工作組級組網，使網絡交換到桌面工作站?？焖僖蕴W是一種非常成熟的組網技術，造價很低，性能價格比很高，可作為資金不很充裕的中小型單位組建Intranet網的首選技術?？焖僖蕴W技術現(xiàn)在被廣泛用于大型企業(yè)網的二級、三級網絡組網或直接連至桌面工作站。FDDI也是一種成熟的組網技術，但技術復雜、造價高，F(xiàn)DDI網絡難以向更先進的網絡技術升級，現(xiàn)在用FDDI組建主干網的情況已非常少見。ATM技術成熟而復雜，組網成本高，是多媒體應用系統(tǒng)的理想網絡平臺。但是，網絡帶

21、寬的實際利用率很低。在選擇校園校區(qū)網絡技術時應該考慮如下：、長遠來看如何保護現(xiàn)有投資。保護現(xiàn)有投資的有效途徑就是在將來網絡技術升級時還能使用現(xiàn)有的網絡技術和產品。如同計算機的發(fā)展速度一樣，網絡技術的發(fā)展也是非常迅速的。從目前的趨勢來看，采用快速以太網技術是最適宜的。在校園網網絡的建設中，主干網選擇何種網絡技術對網絡建設的成功與否起著決定性的作用。選擇校園網網絡需求特點的主流網絡技術，不但能保證網絡的高性能，還能保證網絡的先進性和擴展性，能夠在未來向更新技術平滑過渡，保護用戶的投資。根據我們對校園網網絡需求的分析并結合目前高速主干網絡技術的特點，我公司建議采用快速以太網技術做為校園網的主干網絡。

22、網絡產品選型校區(qū)網絡建設應該以應用為核心，在設計中充分考慮到教育管理和多媒體教學的要求，并且網絡技術上應該具有一定的先進性，同時還要為以后的擴展留有一定的空間。為此校園校區(qū)網絡網應該能達到以下要求：穩(wěn)定可靠的網絡只有運行穩(wěn)定的網絡才是可靠的網絡，而網絡的可靠運行取決于諸多因素，如網絡的設計，產品的可靠，而選擇一個具有運營此類網絡規(guī)模經驗的網絡合作廠商則更為重要。要求有物理層、數據鏈路層和網絡層的備份技術。高帶寬由于校園校區(qū)網絡網絡應用的特殊性,它對整個網絡系統(tǒng)的性能要求相對來說比較高。其中，網絡速率要求主要的信息點100收換到桌面，園區(qū)網中各終端間具有快速交換功能。為了支持數據、話音、視像多媒

23、體的傳輸能力，在技術上要到達當前的國際先進水平。要采用最先進的網絡技術，以適應大量數據和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮未來的發(fā)展。為此應選用高帶寬的先進技術。易擴展的網絡系統(tǒng)要有可擴展性和可升級性。易擴展不僅僅指設備端口的擴展，還指網絡結構的易擴展性：即只有在網絡結構設計合理的情況下，新的網絡節(jié)點才能方便地加入已有網絡；網絡協(xié)議的易擴展：無論是選擇第三層網絡路由協(xié)議，還是規(guī)劃第二層虛擬網的劃分，都應注意其擴展能力。對于核心網絡設備，要求骨干交換機具備第三層交換能力，要求支持今后的視頻點播、電視電話會議的寬帶多媒體應用，并要求留有一定的擴充能力。QoS保證隨著網絡中多媒體

24、的應用越來越多，這類應用對服務質量的要求較高，本網絡系統(tǒng)應能保證QoS以支持這類應用。安全性網絡系統(tǒng)應具有良好的安全性，由于網絡連接園區(qū)內部所有用戶，安全管理十分重要。網絡具有防止及便于捕殺病毒功能。應支持VLAN勺劃分，并能在VLAN之間進行第三層交換時進行有效的安全控制，以保證系統(tǒng)的安全性。校區(qū)網絡與校園網相連后具有“防火墻”過濾功能，以防止網絡黑客入侵網絡系統(tǒng)?？蓪尤胍蛱鼐W的各網絡用戶進行權限控制。容易控制管理對于網絡管理，要求采用智能化網絡管理軟件，實現(xiàn)對網絡的自動監(jiān)測和控制。并支持虛擬網絡功能，對網絡用戶具有分類控制功能。IPMulticast由于校園校區(qū)網絡中包含許多多媒體應用通

25、信，會存在許多的廣播信息，占用大量的帶寬資源。所以網絡系統(tǒng)應能支持IPMulticast,可以減少網絡中不必要的廣播，節(jié)省主干的帶寬。符合IP發(fā)展趨勢的網絡在當前任何一個提供服務的網絡中，對IP的支持服務是最普遍的，而IP技術本身又處在發(fā)展變化中，如IpV6,IPQoS,IPOverSONET等等新興的技術不斷出現(xiàn)，校園網絡必須跟緊IP發(fā)展的步伐，也就是必須選擇處于IP發(fā)展領導地位的網絡廠商。四、校園網網絡設計方案及分析網絡的分層設計原則分布層核心層;高速交換技術；.;接入層中基于策略的操作本地/遠程工作組接從邏輯上，校園網絡可分為核心層、分布層和接入層，每層都有其特點。層次化設計的優(yōu)點可以總

26、結為如下幾點：可擴展性：因為網絡可模塊化增長而不會遇到問題；簡單性：通過將網絡分成許多小單元，降低了網絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題；設計的靈活性：使網絡容易升級到最新的技術，升級任意層次的網絡不會對其他層次造成影響，無需改變整個環(huán)境；可管理性：層次結構使單個設備的配置的復雜性大大降低，更易管理。核心層(CoreLayer)核心層為下兩層提供優(yōu)化的數據輸運功能，它是一個高速的交換骨干，其作用是盡可能快地交換數據包而不應卷入到具體的數據包的運算中(ACL,過濾等)，否則會降低數據包的交換速度。分布層(DistributionLayer)分布層提供

27、基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點，定義了網絡的邊界，對數據包進行復雜的運算。在園區(qū)網絡環(huán)境中，分布層主要提供如下功能：地址的聚集部門和工作組的接入廣播域/多目傳輸域的定義InterVLAN路由任何介質的轉換安全控制接入層(AccessLayer)接入層的主要功能是為最終用戶提供對園區(qū)網絡訪問的途徑。本層也可以提供進一步的調整，如Access-listFiltering等。在園區(qū)網絡環(huán)境中，接入層主要提供如下功能：帶寬共享(SharedBandwidth)交換帶寬(SwitchedBandwidth)MAC!過濾(MACLayerFiltering(possibly)微分網段(M

28、icrosegmentation)在廣域網環(huán)境中，接入層主要提供通過FrameRelay、ISDN、LeasedLine連入遠程節(jié)點。校園網方案特性分析高性能的網絡設計設備的高性能：核心節(jié)點的交換機是整個校園網絡的核心，應當采用有多層交換功能的交換機。核心交換機應采用模塊化設計，有良好的擴展性能、多種接入模塊；具備增強的網絡傳輸能力，支持VLAN、RIP和OSPF協(xié)議、服務質量(QOS)、IP組播、DHCP中繼和AAA認證等功能；支持通用的管理特性(SNMP)，能使用流行的網管軟件對它進行管理，如HPOpenView等。會聚層交換連接核心和接入層，應當采用帶VLAN和網管功能的中低檔交換機。匯

29、聚層交換機具有快速的級聯(lián)核心的以太端口以及高速堆疊模塊；帶VLAN子網劃分功能，能很好的管理接入層用戶；支持IEEE802.1Q、VTP、SNMP等協(xié)議。網絡的高性能設計：整個校園的建設可以采用全交換方式，100兆到每個接入層用戶。有效的子網劃分和流量控制使整個校園網絡能高速、安全的運行。集成的用戶管理功能提供完善的用戶管理機制，實現(xiàn)全面的用戶認證、鑒權和計費（AAA）功能。用戶管理引擎實現(xiàn)了根據用戶MAO址、VLANID和IP地址的綁定關系鑒別用戶的合法性的功能?？筛鶕脩舻臋嘞蓿瑢崿F(xiàn)對用戶訪問資源的控制。實現(xiàn)基于VLANID/MAC地址、接入模塊號和接入設備號的全程用戶唯一標識，便于用戶管

30、理（開戶、銷戶、欠費停機等）和網絡故障維護。靈活的網絡的可擴展性設計網絡的擴展性對網絡業(yè)務的發(fā)展至關重要，它直接決定了校園網是否能夠在節(jié)約成本的基礎上跟上網絡技術的發(fā)展和滿足學校信息不斷增長的需要，一個擴展性差的網絡不僅為學校的投資造成了巨大的浪費，同時又無法滿足學校網絡業(yè)務不斷發(fā)展和信息的增長的需要，為了保證網絡能夠不斷的適應學校網絡業(yè)務今后發(fā)展的不斷需求，可以采用以下的措施來保證網絡的擴展性。（1）所選擇的網絡設備應當具有良好的擴展性。選擇的網絡設備最好是模塊化的，便于網絡的擴大和更改，其中核心交換機應具有多種模塊類型，以滿足各種網絡類型的接入。匯聚層交換機可以采用一款可堆疊的網管型以太網

31、交換機，半/全雙工模式自適應，具有擴展槽，能使用多種可選模塊。(2)所選擇的設備都具有良好的軟件再升級能力。我們所選擇的網絡設備都是可以通過軟件升級來不斷的滿足客戶的新的需求同時跟上網絡技術的發(fā)展。由于網絡的技術層出不窮，用戶的需求也不斷增加，現(xiàn)在是新的技術，再過一段時間就會落后了，為了保證用戶的網絡產品能夠跟上這一節(jié)奏，而不需要更換網絡設備，從而減少了用戶的投資。完善的QO磯能帶寬控制特性以太網是一種基于廣播機制的共享型技術，任何一個位于以太網上的用戶均可以向網上發(fā)送信息，在以太網的技術中沒有具體帶寬控制的機理。網絡產品應提供對用戶帶寬控制的功能。帶寬控制通過對每一個用戶的上行帶寬與下行帶寬

32、進行限制，保證對每個用戶的公平性，防止在共享型網絡結構中某一用戶長期惡意霸占帶寬而導致其他用戶無法享受服務的現(xiàn)象。Qos控制特性隨著IP網絡規(guī)模的不斷擴大，網上的實時業(yè)務量也在不斷增長，同時網絡上的應用類型多種多樣，不同的應用對網絡的需求也有所不同。IP網絡中引入QoS技術，就是為了確保實時業(yè)務的通信質量，滿足各種業(yè)務對網絡資源的需求，使網上資源獲得最佳利用，降低成本，改善對用戶的服務?？煽康木W絡安全設計安全性是網絡設計要考慮的最重要的因素之一，設計中充分考慮了網絡的安全性，具體體現(xiàn)在以下幾個方面：(1)通過VLAN的劃分，限制了不同VLAN之間的互訪，從而保證了不同網絡之間不會發(fā)生未經授權的

33、非法訪問。(2)在核心節(jié)點可提供基于地址的Access-list，以控制用戶對于關鍵資源的訪問。通過在匯聚和核心交換機上設置VLAN路由以及訪問過濾，保證了在VLAN之間只有被允許的訪問才能發(fā)生，而未經授權的訪問都會被禁止。（3）通過對上網的安全教育，提高安全意識，特別是增強計算機操作人員的密碼管理意識，以防止由于操作員密碼有意無意泄露給他人而造成的損失。（4）制定嚴格的安全制度，包括人員審查制度、崗位定職定責制度、使用計算機的權限制度以及防病毒制度，從制度上保證網絡安全性得以實現(xiàn)。（5可以對所有的重要事件進行Log,這樣方便網絡管理員進行故障查找；（6可以對所有的Telnet以及SNMP訪問

34、進行限制，從而最大程度地保證匯聚層系統(tǒng)地安全。（7可以在接入層中通過限制MA眺址的訪問提高網絡安全。方便的網絡管理和維護（1）為了提高網絡管理能力設計中所有設備最好具有網管功能，不存在光纖收發(fā)器等類似不可網管設備，提高了網絡可靠性和可管理。（2）支持通用的網絡管理協(xié)議如（SNMP），方便網絡的管理和維護。支持通用的的網絡管理軟件，如CiscoCiscoworks、HPOpenView、3ComTrensand。運營級的網絡高可靠性的設計可以從兩方面來考慮：關鍵設備的主要模塊和電源的冗余備分考慮在網絡設計中所涉及的所有主要設備，均采用高可靠設計的原則。核心關鍵部件的冗余備份：電源冗余、主控板冗余

35、、模塊冗余等。網絡鏈路的冗余備分考慮系統(tǒng)平臺和應用系統(tǒng)系統(tǒng)平臺選擇系統(tǒng)平臺的建設主要包括：網絡操作系統(tǒng)、桌面平臺、數據庫、防火墻等的選擇。一般校園網絡，服務器系統(tǒng)平臺可以選擇微軟WINDOWS2003SERVER操作系統(tǒng)的解決方案，提供域名服務、WWW服務、FTP服務、Email服務等。具有強大的網絡功能和可二次開發(fā)性。桌面操作系統(tǒng)比較可以選擇XP和LINUX等平臺。采用WINdows2003SERVER立FTP服務器一般來說，用戶聯(lián)網的首要目的就是實現(xiàn)信息共享，文件傳輸是信息共享非常重要的一個內容之一。在校園內部信息交流是非常頻繁，所以有必要在網絡中使用WINdows2003SERVER架設

36、起一個FTP服務器。五.思科公司校園網解決方案5.1系統(tǒng)組成與拓撲結構校園網的建設主要是為了教學應用，而多媒體輔助教學和多媒體教室是教學應用的核心，在網絡建設時應考慮多媒體信息的特點，如信息量大，對時間延遲敏感等；在校園網中常會出現(xiàn)幾十個學生執(zhí)行相同操作的現(xiàn)象，所以要考慮并發(fā)信息的控制；學生利用網絡做作業(yè)，教師要在家撥號訪問學校網絡，學籍管理信息在網上傳輸，所以也要考慮網絡的安全性，防止黑客破壞網絡，學生抄襲作業(yè)；校園網又是面向不同知識層次的教師、學生和辦公人員的工具，它幫助我們更好地提高教學水平、辦公效率和學習興趣，所以應用和管理應簡便易行，界面友好，不宜太專業(yè)化。考慮到春華學校的具體情況如

37、性質、規(guī)模、財務等，這是一個相對小型的校園網絡，單一建筑內的網絡應用，思科公司提出以下校園網解決方案：方案特點如下：（1）支持多媒體應用，包括多媒體教室、電子閱覽室、多媒體教學；(2)高性能，全交換，滿足用戶需求；(3)管理簡單，瀏覽器方式無需專門培訓；(4)系統(tǒng)安全，保密性高；(5)ADSL連接方式，按需建立連接降低鏈路費用(6)互聯(lián)網接入，安全的廣域網訪問。方案拓撲結構如下：中國電信Cisco B50TP-LINtTL-WR841M校長童FTP星學暑0PCtPCCdtdl2SOO萬國1機房9款空一Cataly2SOO萬博加房載室二Cats 幄 900教室三口 t 咖29(KCatdl2SO

38、O專業(yè)JIE皆誼室1旦多寡體機房告誼望前臺由圖可看出，網絡設備組成為：Catalyst2900交換機五臺Cisco850路由器一臺思科公司的cisco850路由器是這一網絡的核心設備，可降低擁有成本，簡化遠程管理，提供結合CSU/DSU、復用器、調制解調器、語音/數據網關、ISDNNT1、防火墻、VPN、加密和壓縮設備的集成化網絡。Catalyst2900交換機它提供了24個10/100M自適應的快速以太網端口，。這是一個全交換的網絡，相對共享式集線器而言，交換機各端口擁有獨占的帶寬，能實現(xiàn)多路并行傳輸，不易發(fā)生沖突，能為多媒體信息提供更好的保障?？紤]到Internet接入是校園網的發(fā)展趨勢，

39、在這套解決方案中都用到了路由器來引入廣域網的遠程連接，這套方案中用到了思科公司的低端路由器Cisco850，它提供了對內的10/100M局域網接口和對外的ADSL連接，通過Internet實現(xiàn)遠程教學或教學演播等應用。傳輸穩(wěn)定，連接迅速。在實現(xiàn)基本數據傳遞的基礎上，用戶可以根據自己的需要靈活選用上述網絡設備中的某些性能。如：路由器和交換機的組內廣播功能可為多媒體信息的傳輸提供更高的服務質量；而catalyst2900之間建立快速以太網通道，在全雙工模式下達到400M的高速級聯(lián)；此外，850路由器兼任了防火墻思科公司系列中、低端路由器都可以通過操作系統(tǒng)升級具備防火墻性能，在承擔遠程連接的同時實施

40、數據包檢驗和過濾，防止非法用戶侵入到內部局域網中對連接到Internet這一開放網絡的用戶來說，安全性是網絡設計中不容忽視的一項重要因素。這套方案的好處是簡便易行，成本很低，并且兼顧了教學、管理和通訊三方面應用。方案中所用到的產品都屬思科公司產品中的低端設備，在實現(xiàn)高性價比的桌面應用的同時又做到易于配置和管理：catalyst2900屬即插即用的設備，如果不添加特殊功能則不需任何配置，cisco850的設置和管理也十分方便，這樣用戶使用起來將得心應手，無后顧之憂。5.2IP地址規(guī)劃建議在設計IP地址方案之前，應考慮以下幾個問題:.是否將網絡用真實地址連入Internet。.是否將網絡劃分為若干

41、子網以方便網絡管理。.是采用靜態(tài)IP地址分配還是動態(tài)IP地址分配。.每個子網現(xiàn)在規(guī)劃多少個信息點。.每個子網將來會增加多少個信息點。通過Proxy或NA*式使私有地址能夠訪問公網資源在申請的公網IP地址不能完全滿足每個信息點一個的情況下，可以采用公網地址與私網地址結合的方式。但是有時分配了私網地址的客戶端也要訪問Internet。針對這種情況，可以采用不同的技術使私有地址能夠訪問公網資源。通?？梢岳么矸?Proxy)和網絡地址轉換(NAT)這兩項技術。園區(qū)網分配IP地址方案，一個有效的IP地址規(guī)劃或IP地址方案就是在地址資源的效率性和管理的方便性之間找到最佳的平衡點。按行政隸屬劃分是指按

42、信息節(jié)點的行政隸屬關系將用戶按校園各部門進行IP地址分配規(guī)劃。由于各部門之間在地域位置上并不一定集中，但需要統(tǒng)一管理，因此我們建議采用行政隸屬的方式劃分IP地址段。按樓宇規(guī)劃在傳統(tǒng)的網絡平臺上很難實現(xiàn)。主要是因為傳統(tǒng)的網絡平臺局限于設備的地理位置，無法跨地域進行靈活規(guī)劃。但現(xiàn)今的網絡平臺都支持虛擬網絡一VLAN技術。該技術避開了物理位置的缺陷，可以在邏輯上靈活組網。因此，IP網段規(guī)劃可以與VLAN勺劃分相一致。規(guī)劃每個網段中的信息點數時，既要考慮到當前IP地址資源的充分利用性，又要預留出適當的擴展余地，因此如果采用私網地址分配IP，建議我們都采用的網絡，根據具體的部門情況再分為具體的子網。從經

43、驗角度，通常一個IP網段也是一個獨立的VLAN，也就是一個獨立的廣播域。一個網段內的信息節(jié)點數在40-200個時，性能和地址資源的最佳利用性較理想，并且將來可擴充到254個。寬帶接入用戶接入寬帶IP網的方式可以有多種形式：首先，用戶利用固定IP地址接入，則無需其它的認證過程，只需將用戶所連的交換機端口劃入某一特點VLAN即可；其次用戶通過PPP方式接入，即虛擬撥號方式，則需要一個專用的PP%結設備終結PPR!程，通過對PPR!程的認證，可以確認用戶身份；用戶還可以利用DHCPI彳導IP地址。另外交換機可以實現(xiàn)專用VLAN#術，可以通過配置選擇實現(xiàn)在同一VLAN內用戶是否可以互通，進行數據交換。

44、根據溫州春華的教務和公務的情況，劃分以下兩個子網即可表1-1春華學校網絡終端分布專業(yè)機房臺式PC機16臺萬博機年-臺式PC機16臺萬博機房二臺式PC機18臺教室一2臺（臺式機1臺、筆記本1臺）教室二2臺（臺式機1臺、筆記本1臺）教室三臺式PC機19臺多媒體教室2臺（臺式機1臺、筆記本1臺）辦公室10臺（臺式機5臺、筆記本5臺）校長室筆記本1臺學生會辦公室臺式PC機2臺咨詢室1臺式PC機1臺咨詢室2筆記本2臺前臺臺式PC機1臺表1-2IP子網劃分方案子網號IP網段默認網關說明CHJW/25（包括教室三清華萬博六班、萬博1機房等所有的教務場所）CHGW28/2529（包括校長室、辦公室等所有辦公場

45、所）5.3校園網絡安全接入校園網絡安全校園網絡承擔著整個校園的通訊樞紐功能，連接著所有的應用服務器和數據系統(tǒng)，任何網絡安全問題都會擾亂學校辦公、教務的正常運轉，給學校帶來不可彌補的損失。目前在局域網中遇到的問題主要有以下幾種：IP地址的管理問題，包括IP地址非法使用、IP地址沖突和IP地址欺騙利用ARP欺騙獲取賬號、密碼、信息，甚至惡意篡改信息內容、嫁禍他人問題木馬、蠕蟲病毒攻擊導致的信息失竊、網絡癱瘓問題攻擊或病毒源機器的快速定位、隔離問題IP的地址管理一直是長期困擾局域網安全穩(wěn)定運行的首要問題。在局域網上任何用戶使用未經授權的IP地址都應視為IP非法使用。由于終端用戶可以自由修改IP地址，

46、從而產生了IP地址非法使用問題。改動后的IP地址在局域網中運行時可能出現(xiàn)以下情況。?非法的IP地址即IP地址不在規(guī)劃的局域網范圍內?重復的IP地址與已經分配且正在局域網運行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網?冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯(lián)網，使合法用戶的權益受到侵害無論是有意或無意地使用非法IP地址都可能會給企業(yè)帶來嚴重的后果，如重復的IP地址會干擾、破壞網絡服務器和網絡設備的正常運行，甚至導致網絡的不穩(wěn)定，從而影響業(yè)務；擁有被非法使用的IP地址所擁有的特權，威脅網絡安全；利用欺騙性的IP地址進行網絡攻擊,如富有侵略性的TCPSYN洪泛攻擊來源于一個欺

47、騙性的IP地址,它是利用TCP三次握手會話對服務器進行顛覆的一種攻擊方式，一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。為了防止非法使用IP地址，增強網絡安全，最常見的方法是采用靜態(tài)的AR騎令捆綁IP地址和MAO址，從而阻止非法用戶在不修改MAC*址的情況下冒用IP地址進行的訪問，同時借助交換機的端口安全即MACM址綁定功能可以解決非法用戶修改MAO址以適應靜態(tài)ARP表的問題。但這種方法由于要事先收集所有機器的MAC!址及相應的IP地址，然后還要通過人工輸入方法來建立IP地址和MAC!址的捆綁表，不僅工作量繁重，而且也難以維護和管理。另一個顯著的問

48、題就是帶有攻擊特性的ARPK騙。地址解析協(xié)議(ARP,AddressResolutionProtocol)最基本的功能是用來實現(xiàn)MAC地址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MACT播方式發(fā)送ARP青求，擁有此IP地址的工作站給予ARPS答，并附上自己的IP和MAO址。ARPft、議同時支持一種無請求AR呦能,局域網段上的所有工作站收到主動ARP,會將發(fā)送者的MAO址和其宣布的IP地址保存，覆蓋以前的同一IP地址和對應的MAC4址。術語“AR欺騙”或者說“AR呻毒”就是指利用主動AR味誤導通信數據傳往一個惡意計算機的黑客技術，該計算機就能成為某個特定局域網網段上的兩

49、臺終端工作站之間IP會話的“中間人”了。如果黑客想探聽同一網絡中兩臺主機之間的通信(即使是通過交換機相連)，他會分別給這兩臺主機發(fā)送一個ARP應答包，讓兩臺主機都“誤”認為對方的MAO址是第三方黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內容，并可以通過工具破譯賬號、密碼、信息，另一方面，還可以惡意更改數據包中的一些信息。同時，這種ARP欺騙又極具隱蔽性，攻擊完成后再恢復現(xiàn)場，所以不易發(fā)覺、事后也難以追查，被攻擊者往往對此一無所知。病毒入侵問題也是所有客戶普遍關心的問題。這些病毒，可以在極短的時間內迅速感染大量系統(tǒng)，甚至造

50、成網絡癱瘓和信息失竊，給客戶造成嚴重損失。木馬病毒往往會利用ARP的欺騙獲取賬號和密碼，而蠕蟲病毒也往往利用IP地址欺騙技術來掩蓋它們真實的源頭主機。例如“局域網終結者”(Win32.Hack.Arpkill)病毒，通過偽造ARP包來欺騙網絡主機，使指定的主機網絡中斷，嚴重影響到網絡的運行。最后，令網絡管理員頭痛的問題是如何準確定位。當出現(xiàn)IP地址被非法使用、IP地址沖突，或網絡出現(xiàn)異常流量包括由于網絡掃描、病毒感染和網絡攻擊產生的流量，為了查找這些IP地址的機器，一般采用如下步驟：確定出現(xiàn)問題的IP地址。查看當前網絡設備的ARP表，從中獲得網卡的MAC地址。檢查交換機的MAC地址列表，確定機

51、器位置。這個過程往往要花費大量的時間才能夠定位機器具體連接的物理端口，而對于偽造的源IP地址要查出是從哪臺機器產生的就更加困難了。如果不能及時對故障源準確地定位、迅速地隔離，將會導致嚴重的后果，即使在網絡恢復正常后隱患依然存在。阻止來自網絡第二層攻擊的重要性以上所提到的攻擊和欺騙行為主要來自網絡的第二層。在網絡實際環(huán)境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網絡進行掃描和嗅探，獲取管理帳戶和相關密碼，在網絡上中安插木馬，從而進行進一步竊取機密文件。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺騙，同時還會帶來網絡流量加大、設備CPUPJ用率過高、二層生成樹環(huán)

52、路、網絡癱瘓等現(xiàn)象。網絡第二層的攻擊是網絡安全攻擊者最容易實施，也是最不容易被發(fā)現(xiàn)的安全威脅，它的目標是讓網絡失效或者通過獲取諸如密碼這樣的敏感信息而危及網絡用戶的安全。因為任何一個合法用戶都能獲取一個以太網端口的訪問權限，這些用戶都有可能成為黑客，同時由于設計OSI模型的時候，允許不同通信層在相互不了解情況下也能進行工作，所以第二層的安全就變得至關重要。如果這一層受到黑客的攻擊，網絡安全將受到嚴重威脅，而且其他層之間的通信還會繼續(xù)進行，同時任何用戶都不會感覺到攻擊已經危及應用層的信息安全。所以，僅僅基于認證(如IEEE802.1x)和訪問控制列表(ACL,AccessControlLists

53、)的安全措施是無法防止本文中提到的來自網絡第二層的安全攻擊。一個經過認證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。目前這類攻擊和欺騙工具已經非常成熟和易用。歸納前面提到的局域網目前普遍存在的安全問題，根據這些安全威脅的特征分析，這些攻擊都來自于網絡的第二層，主要包括以下幾種：?MAC地址泛濫攻擊DHCP服務器欺騙攻擊ARP欺騙CiscoCatalyst交換系列的創(chuàng)新特性針對這類攻擊提供了全面的解決方案，將發(fā)生在網絡第二層的攻擊阻止在通往內部網的第一入口處，主要基于下面的幾個關鍵的技術。?PortSecurity?DHCPSnooping?DynamicARPInspectio

54、n(DAI)下面主要針對目前這些非常典型的二層攻擊和欺騙說明如何在思科交換機上組合運用和部署上述技術，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術的部署可以簡化地址管理，直接跟蹤用戶IP和對應的交換機端口，防止IP地址沖突。同時對于大多數具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。MAC泛濫攻擊的原理和危害交換機主動學習客戶端的MAO址，并建立和維護端口和MAO址的對應表以此建立交換路徑，這個表就是通常我們所說的CAMS。CAMS的大小是固定的，不同的交換機的CAMS大小不同。MAC/CAM：擊是指利用工具產生欺騙MAC快

55、速填滿CAMS,交換機CAMS被填滿。黑客發(fā)送大量帶有隨機源MAO址的數據包，這些新MAO址被交換機CAM學習，很快塞滿MACM址表，這時新目的MAO址的數據包就會廣播到交換機所有端口，交換機就像共享HUB-樣工作，黑客可以用sniffer工具監(jiān)聽所有端口的流量。此類攻擊不僅造成安全性的破壞，同時大量的廣播包降低了交換機的性能。當交換機的CAM表被填滿后，交換機以廣播方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲取網絡信息。更為嚴重的是，這種攻擊也會導致所有鄰接的交換機CAM表被填滿，流量以洪泛方式發(fā)送到所有交換機的所有含有此VLAN的接口，從而造成交換機負載過大、網絡緩慢和丟包甚

56、至癱瘓。MAC泛濫攻擊防范方法限制單個端口所連接MAC地址的數目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊，macof可被網絡用戶用來產生隨機源MAC地址和隨機目的MAC地址的數據包，可以在不到10秒的時間內填滿交換機的CAM表。CiscoCatalyst交換機的端口安全(PortSecurity)和動態(tài)端口安全功能可被用來阻止MAC泛濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學MAC地址數為1；連接IP電話和工作站的端口可限制所學MAC地址數為3：IP電話、工作站和IP電話內的交換機。通過端口安全功能，網絡管理員也可以靜態(tài)設置每個端口所允許連接的合法MAC地址，實現(xiàn)設備

57、級的安全授權。動態(tài)端口安全則設置端口允許合法MAC地址的數目，并以一定時間內所學習到的地址作為合法MAC地址。通過配置PortSecurity可以控制：?端口上最大可以通過的MAC地址數量?端口上學習或通過哪些MAC地址?對于超過規(guī)定數量的MAC處理進行違背處理端口上學習或通過哪些MAC地址，可以通過靜態(tài)手工定義，也可以在交換機自動學習。交換機動態(tài)學習端口MAC，直到指定的MAC地址數量，交換機關機后重新學習。目前較新的技術是StickyPortSecurity，交換機將學到的mac地址寫到端口配置中，交換機重啟后配置仍然存在。對于超過規(guī)定數量的MAC處理進行處理一般有三種方式(針對交換機型號

58、會有所不同)：Shutdown：端口關閉。?Protect：丟棄非法流量，不報警。?Restrict:丟棄非法流量，報警。DHCP欺騙攻擊的防范采用DHCP管理的常見問題采用DHCPserver可以自動為用戶設置網絡IP地址、掩碼、網關、DNS、WINS等網絡參數，簡化了用戶網絡設置，提高了管理效率。但在DHCP管理使用上也存在著一些另網管人員比較問題，常見的有：?DHCPserver的冒充。?DHCPserver的DOS攻擊。?有些用戶隨便指定地址，造成網絡地址沖突。?由于DHCP的運作機制，通常服務器和客戶端沒有認證機制，如果網絡上存在多臺DHCP服務器將會給網絡照成混亂。?由于不小心配置

59、了DHCP服務器引起的網絡混亂也非常常見。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請求，直到DHCP服務器對應網段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務器欺詐結合將流量重指到意圖進行流量截取的惡意節(jié)點。DHCP服務器欺詐可能是故意的，也可能是無意啟動DHCP服務器功能，惡意用戶發(fā)放錯誤的IP地址、DNS服務器信息或默認網關信息，以此來實現(xiàn)流量的截取。DHCPSnooping技術概述DHCPSnooping技術是DHCP安全特性，通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DH

60、CP信息。通過截取一個虛擬局域網內的DHCP信息，交換機可以在用戶和DHCP服務器之間擔任就像小型安全防火墻這樣的角色，“DHC端聽”功能基于動態(tài)地址分配建立了一個DHCP綁定表，并將該表存貯在交換機里。在沒有DHCP的環(huán)境中，如數據中心，綁定條目可能被靜態(tài)定義，每個DHCP綁定條目包含客戶端地址(一個靜態(tài)地址或者一個從DHCP服務器上獲取的地址)、客戶端MAC地址、端口、VLANID、租借時間、綁定類型(靜態(tài)的或者動態(tài)的)?；痉婪稙榱朔乐惯@種類型的攻擊，CatalystDHCP偵聽(DHCPSnooping)功能可有效阻止此類攻擊，當打開此功能，所有用戶端口除非特別設置，被認為不可信任端口