校園網(wǎng)組建與實(shí)施方案

1、遼寧建筑職業(yè)學(xué)院信息工程系2011屆畢業(yè)論文（設(shè)計(jì)） 2011 屆班級：網(wǎng)絡(luò)G112遼寧建筑 2011 屆班級：網(wǎng)絡(luò)G112 畢 業(yè) 設(shè) 計(jì) (論文)題目：校園網(wǎng)組建與實(shí)施方案系（部）：信息工程系專 業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)姓 名： 王山 學(xué) 號： 29畢業(yè)設(shè)計(jì)（論文）任務(wù)書 畢業(yè)設(shè)計(jì)（論文）題目:校園網(wǎng)組建與實(shí)施方案畢業(yè)設(shè)計(jì)（論文）內(nèi)容:本設(shè)計(jì)主要針對學(xué)校中的辦公樓與實(shí)訓(xùn)樓來規(guī)劃和設(shè)計(jì)網(wǎng)絡(luò)。根據(jù)校園網(wǎng)整體的網(wǎng)絡(luò)情況進(jìn)行設(shè)計(jì)與規(guī)劃。先根據(jù)辦公樓與實(shí)訓(xùn)樓網(wǎng)絡(luò)所應(yīng)用的各種功能及要求進(jìn)進(jìn)行分析，再根據(jù)分析得到的結(jié)果設(shè)計(jì)網(wǎng)絡(luò)方案和邏輯拓樸與物理拓?fù)?，最后進(jìn)行現(xiàn)場施工并進(jìn)行調(diào)試。 畢業(yè)設(shè)計(jì)（論文）專題部分:在

2、當(dāng)代社會，網(wǎng)絡(luò)安全性和可靠性已經(jīng)上升到非常重要的一個部分了，一個網(wǎng)絡(luò)是否安全與可靠能關(guān)系到這個企業(yè)的長遠(yuǎn)發(fā)展，這里我論述以網(wǎng)絡(luò)安全加固以及保證網(wǎng)絡(luò)的可靠運(yùn)行為主并在其中運(yùn)用了VLAN劃分、防火墻原理、MSTP與VRRP、以及ACL配置等眾多先進(jìn)技術(shù)，以及選用高可靠性設(shè)備，我相信在我的設(shè)計(jì)下，可以使網(wǎng)絡(luò)安全級別和可靠性得到保證。 指導(dǎo)教師: 簽字 年 月 日教研室主任: 簽字 年 月 日系（部）主任: 簽字 年 月 日 畢 業(yè) 設(shè) 計(jì) (論 文) 評 語 指導(dǎo)教師評語: 成績: 指導(dǎo)教師: (簽字)年 月 日評閱人評語: 成績: 評閱教師: (簽字) 年 月 日 前 言高校校園網(wǎng)的網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)

3、技術(shù)發(fā)展幾乎是同步進(jìn)行的。高校不僅承擔(dān)著教書育人的工作，更承擔(dān)著部分國家級的科研任務(wù)，同時(shí)考慮未來幾年網(wǎng)絡(luò)平臺的發(fā)展趨勢， 為了充分滿足高校骨干網(wǎng)對高速，智能，安全，認(rèn)證計(jì)費(fèi)等的需求，可以利用萬兆以太網(wǎng)的校園網(wǎng)組網(wǎng)技術(shù)。 構(gòu)建校園網(wǎng)骨干網(wǎng)，實(shí)現(xiàn)各個分校區(qū)和本部之間的連接，以及實(shí)現(xiàn)端到端的以太網(wǎng)訪問，提高了傳輸?shù)男?，有效地保證了遠(yuǎn)程多媒體教學(xué)、數(shù)字圖書館等業(yè)務(wù)的開展。 隨著信息技術(shù)的高速發(fā)展，教育信息化水平正成為衡量學(xué)?？傮w發(fā)展水平的重要因素，網(wǎng)絡(luò)技術(shù)的應(yīng)用對高校的教學(xué)手段和教育管理體系的促進(jìn)作用是巨大的。1995 年CERNET （中國教育和科研計(jì)算機(jī)網(wǎng)）建設(shè)全面啟動，全國各地的高校開始建設(shè)

4、自己的計(jì)算機(jī)校園網(wǎng)。校園網(wǎng)建設(shè)是高校建設(shè)的重要組成部分，建設(shè)高質(zhì)量的局域網(wǎng)， 才能充分發(fā)揮網(wǎng)絡(luò)資源管理和應(yīng)用的優(yōu)勢，進(jìn)行信息交流、資源共享、科學(xué)計(jì)算和科學(xué)研究與合作。中國教育事業(yè)隨著社會發(fā)展將會越來越開放，對學(xué)校的經(jīng)營管理也逐步形成完善的現(xiàn)代化管理模式。本方案是針對遼寧信息職業(yè)技術(shù)學(xué)院現(xiàn)有應(yīng)用結(jié)構(gòu)而設(shè)計(jì)的，主要使用思科的網(wǎng)絡(luò)產(chǎn)品，提高網(wǎng)絡(luò)的整體性能；規(guī)劃采用防火墻技術(shù)、開啟端口安全性，在接入層限制主機(jī)最大連接數(shù)，匯聚層設(shè)置訪問控制列表等操作系統(tǒng)的安全性來提高整個網(wǎng)絡(luò)的安全和重要主機(jī)的安全；使用磁盤冗余陣列來保護(hù)系統(tǒng)數(shù)據(jù)的安全，防止數(shù)據(jù)的意外損失；并實(shí)現(xiàn)網(wǎng)絡(luò)的冗余及使用MSTP和VRRP來保證網(wǎng)

5、絡(luò)的可靠性，實(shí)現(xiàn)主干設(shè)備的冗余等，所選用的網(wǎng)絡(luò)設(shè)備有充足的帶寬以滿足網(wǎng)絡(luò)擴(kuò)容的需求，主干交換機(jī)還可通過升級模塊的方式實(shí)現(xiàn)輕松的升級和容量的擴(kuò)充，千兆的網(wǎng)絡(luò)帶寬為用戶的業(yè)務(wù)提供了充足的帶寬，并為今后的網(wǎng)絡(luò)的擴(kuò)展做了足夠的準(zhǔn)備，保護(hù)了用戶的投資，提高了整體的性能和安全性。隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點(diǎn)。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤其是高校校園網(wǎng)建設(shè)。根據(jù)規(guī)劃和設(shè)計(jì)規(guī)模，我們在設(shè)計(jì)該企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)時(shí)，將遵循“立足現(xiàn)在，著眼未來，重在實(shí)用，旨在效益”的總方針，按照校園網(wǎng)絡(luò)的國際標(biāo)準(zhǔn)模式，結(jié)合中國的具體國情，同時(shí)吸取國際上流行的幾家企業(yè)網(wǎng)絡(luò)系統(tǒng)

6、的精華，力爭使所設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)具有技術(shù)先進(jìn)、高效快捷、安全可靠、易于維護(hù)等特點(diǎn)。一、校園網(wǎng)背景遼寧信息職業(yè)技術(shù)學(xué)院為遼寧建筑職業(yè)技術(shù)學(xué)院的一個分校區(qū)，全校計(jì)算機(jī)數(shù)量逾1000臺（不包括學(xué)生群體），信息點(diǎn)近900個，目前主要樓宇有教學(xué)樓、圖書館、公寓樓、實(shí)訓(xùn)樓等，規(guī)劃區(qū)內(nèi)部局域網(wǎng)都是一個獨(dú)立的網(wǎng)絡(luò)，相互之間并不聯(lián)通，其它還有11幢學(xué)生宿舍樓，8幢教師宿舍，學(xué)校平面示意圖如圖1-1。圖1-1學(xué)校平面示意圖表1-1信息點(diǎn)分布表大樓信息點(diǎn)到網(wǎng)絡(luò)中心的距離/m教學(xué)樓40150圖書館200100實(shí)訓(xùn)樓250150電子樓20100辦公樓300在同一樓內(nèi)實(shí)驗(yàn)樓40100教師宿舍A84350教師宿舍B16730

7、0注：以上除教師宿舍信息點(diǎn)為確切的數(shù)據(jù)外，其它均為本人對學(xué)校的了解進(jìn)行的估計(jì)。目前，以上各樓群內(nèi)部綜合布線采用的是5類雙絞線，學(xué)院內(nèi)的室外布線都是通過光纖連接到網(wǎng)絡(luò)中心。1.2校園網(wǎng)現(xiàn)有網(wǎng)絡(luò)概況計(jì)算機(jī)管理信息系統(tǒng)包括校本部的計(jì)算機(jī)通信局域網(wǎng)和計(jì)算機(jī)應(yīng)用系統(tǒng)，大部分采用100M/1000M基于各類數(shù)據(jù)庫平臺的上述管理信息系統(tǒng)，絕大部分都是基于TCP/IP的計(jì)算機(jī)應(yīng)用系統(tǒng)，隨著Internet的飛速發(fā)展，TCP/IP毫無疑問地成為主流，基于IP的計(jì)算機(jī)通信網(wǎng)絡(luò)成為管理信息系統(tǒng)的最為重要的部分，計(jì)算機(jī)通信網(wǎng)絡(luò)的好壞直接影響管理信息系統(tǒng)，從而影響日常教學(xué)活動的正常運(yùn)作。Internet正在向我們生活的

8、各個領(lǐng)域滲透，與此同時(shí)企業(yè)、政府、消費(fèi)者和教育機(jī)構(gòu)都在快速向基于IP分組的網(wǎng)絡(luò)操作轉(zhuǎn)移。無論對于IP話音（VoIP）、基于IP的視頻流、基于IP的通信工具，還是對于PC、膝上電腦、蜂窩電話等IP平臺、IP分組都已成為主流。換句話說，Internet的快速發(fā)展與普及正改變著公共通信網(wǎng)上和企業(yè)內(nèi)部網(wǎng)的流量結(jié)構(gòu)，語音信息在過去曾經(jīng)占據(jù)主導(dǎo)地位，但在21世紀(jì)，數(shù)據(jù)(IP)將占據(jù)通信流量的主要部分。 隨著千兆網(wǎng)的逐步實(shí)施，如何有效、靈活建立高速數(shù)據(jù)網(wǎng)絡(luò)是一個具有戰(zhàn)略意義的課題，高校的業(yè)務(wù)單位通常擁有3類應(yīng)用：數(shù)據(jù)、話音和圖象（工業(yè)電視）。未來的技術(shù)發(fā)展，使采用IP技術(shù)可以同時(shí)承載3類不同應(yīng)用成為可能，并

9、且具有以下優(yōu)點(diǎn)：1、采用Internet廣泛應(yīng)用IP標(biāo)準(zhǔn)，開放性好。2、利用防火墻、IP地址過濾和路由器熱備份等網(wǎng)絡(luò)安全技術(shù)，確保調(diào)度安全。3、IP QoS及優(yōu)先是分技術(shù)確保調(diào)度和遠(yuǎn)動等關(guān)鍵任務(wù)優(yōu)先。4、實(shí)現(xiàn)數(shù)據(jù)話音和圖象全網(wǎng)自動交換，信息共享，構(gòu)成學(xué)校高效率運(yùn)作的基礎(chǔ)設(shè)施。采用IP這一面向未來技術(shù)，可以兼容現(xiàn)有設(shè)備，保護(hù)現(xiàn)有投資，又可以保證網(wǎng)絡(luò)在當(dāng)前及將來的技術(shù)先進(jìn)性。校園網(wǎng)是現(xiàn)代社會高?；A(chǔ)設(shè)施的重要組成部分，是提高高校教學(xué)科研水平和管理水平的不可缺少的現(xiàn)代化手段和支撐環(huán)境.如何進(jìn)一步搞好校園網(wǎng)的建設(shè)，充分發(fā)揮校園網(wǎng)的作用，是各個高等學(xué)校和教育主管部門正在探索和思考的問題。1.2.1現(xiàn)有校

10、園網(wǎng)的狀況校園網(wǎng)是遼寧建筑職業(yè)技術(shù)學(xué)院分校的信息基礎(chǔ)設(shè)施，是實(shí)現(xiàn)學(xué)?，F(xiàn)代化管理的強(qiáng)有力保證。學(xué)校一直以來非常重視校園網(wǎng)的建設(shè)。經(jīng)過三期的建設(shè)，基本可以滿足當(dāng)時(shí)的網(wǎng)絡(luò)需求。其網(wǎng)絡(luò)邏輯拓?fù)鋱D如圖1-2。圖1-2現(xiàn)有校園邏輯網(wǎng)拓?fù)鋱D由于學(xué)校數(shù)據(jù)吞吐量大，又離本部較遠(yuǎn)，所以學(xué)校采用一般的校園雙端口接入方式，用一條2M光纖連接到南校區(qū)網(wǎng)絡(luò)，另一條用百兆光纖作為中國電信的局域網(wǎng)方式接入internet，實(shí)現(xiàn)網(wǎng)絡(luò)高速運(yùn)行。中心結(jié)構(gòu)主要以華為ls-3026交換機(jī)為中心，單點(diǎn)以星形方式連接校園各個功能單位。各樓房交換機(jī)用100M光纖連接到中心機(jī)房的三臺普通企業(yè)級路由上，可以實(shí)現(xiàn)子網(wǎng)內(nèi)高速互聯(lián)。樓房內(nèi)部均用5類雙

11、絞線連接樓房交換機(jī)與用戶計(jì)算機(jī)，帶寬均可達(dá)百兆。1.2.2現(xiàn)有校園網(wǎng)的不足目前，遼寧建筑分校區(qū)的網(wǎng)絡(luò)由低端的銳捷交換機(jī)構(gòu)成一個平面型的網(wǎng)絡(luò)結(jié)構(gòu)，沒有層次化設(shè)計(jì)的網(wǎng)絡(luò)結(jié)構(gòu)其存在許多缺陷。從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)看：網(wǎng)絡(luò)管理員很難對網(wǎng)絡(luò)進(jìn)行整體管理，一旦出現(xiàn)故障，將很難做出快速排查。其中最至命的是網(wǎng)絡(luò)存在單點(diǎn)故障，一旦中心的交換機(jī)出現(xiàn)故障，整個網(wǎng)絡(luò)立刻癱瘓（如圖1-3）。在平面型的網(wǎng)絡(luò)結(jié)構(gòu)下，網(wǎng)絡(luò)中心交換機(jī)負(fù)載所有的數(shù)據(jù)處理任務(wù)，不能夠?qū)崿F(xiàn)對數(shù)據(jù)的高速轉(zhuǎn)發(fā)傳輸。圖1-3中心結(jié)構(gòu)圖從網(wǎng)絡(luò)設(shè)備方面看：大部分的設(shè)備已經(jīng)不能滿足現(xiàn)在學(xué)校對網(wǎng)絡(luò)傳輸?shù)男枨螅缰行膿Q機(jī)只是一臺普通華為交換機(jī)，轉(zhuǎn)發(fā)率不高，最大只為100M

12、，實(shí)際上不可能達(dá)到，所以即使拓?fù)浣Y(jié)構(gòu)是樹形結(jié)構(gòu)，網(wǎng)絡(luò)數(shù)據(jù)的交換也不會多快。而且連接這些交換機(jī)和路由器的通迅線路都是百兆雙絞線。在這樣的設(shè)備下，中心的網(wǎng)絡(luò)中心通迅帶寬僅為百兆。這將是實(shí)現(xiàn)網(wǎng)絡(luò)高速吞吐的瓶頸。還有租用網(wǎng)絡(luò)的帶寬太低，如南校區(qū)校與北校區(qū)的通迅帶寬才2M，而學(xué)校師生有8000多人，平時(shí)至少也有一百多人同時(shí)會使用，這也極大限制了我們學(xué)生與師大本部信息資源的共享。從網(wǎng)絡(luò)設(shè)置管理方面看：學(xué)生可隨意修改IP地址，容易造成IP地址沖突現(xiàn)象；廣播風(fēng)暴比較嚴(yán)重，造成帶寬的浪費(fèi)，一旦某臺學(xué)生電腦中毒將影響整個網(wǎng)絡(luò)；而且沒有統(tǒng)一的網(wǎng)絡(luò)管理軟件，網(wǎng)管也很難統(tǒng)一對網(wǎng)絡(luò)的整體管理。從網(wǎng)絡(luò)應(yīng)用方面看：學(xué)校提供的

13、校園網(wǎng)絡(luò)服務(wù)內(nèi)容太少，如缺少校園郵件服務(wù)，文件服務(wù)等，而且還沒提供學(xué)生宿舍寬帶接入，學(xué)生只能用電信的電話撥號上網(wǎng)。不方便學(xué)生上網(wǎng)，也不能規(guī)范和監(jiān)督學(xué)生上網(wǎng)，不能實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)的目標(biāo)，節(jié)約學(xué)校對網(wǎng)絡(luò)的投資成本。從網(wǎng)絡(luò)安全方面看：沒有防火墻，網(wǎng)絡(luò)安全性非常脆弱，服務(wù)器防病毒能力差，非常容易遭受到攻擊，包括外網(wǎng)和內(nèi)網(wǎng)對服務(wù)器的攻擊。沒有網(wǎng)絡(luò)服務(wù)質(zhì)量（QoS）的管理。二、校園網(wǎng)絡(luò)需求分析校園網(wǎng)的建設(shè)可以分為兩部分。第一部分為硬件建設(shè)，如各種網(wǎng)絡(luò)設(shè)備、服務(wù)器的選購及連接以及綜合布線等；第二部分為軟件建設(shè)，如各種應(yīng)用軟件、網(wǎng)絡(luò)操作系統(tǒng)、教務(wù)管理系統(tǒng)等的選擇；軟件應(yīng)用需求是選擇硬件設(shè)備的基礎(chǔ)和依據(jù)，只有將硬件

14、系統(tǒng)和軟件系統(tǒng)有機(jī)地結(jié)合在一起，才能充分發(fā)揮校園網(wǎng)的最佳性能。從某種程度而言，軟件建設(shè)的好壞決定了校園網(wǎng)建設(shè)的成敗。2.1功能需求分析1、實(shí)現(xiàn)高速的Internet和CERNET出入；2、實(shí)現(xiàn)內(nèi)部千兆校園網(wǎng)主干，百兆交換到桌面；3、提供校園WWW、FTP、DNS、E-Mail等服務(wù)4、提供校園BBS等教師和學(xué)生交流學(xué)習(xí)的平臺；5、增加學(xué)生宿舍的接入；6、增加校園無線局域網(wǎng)；2.2 IP需求分析根據(jù)上述總體要求，在技術(shù)上必須提供相應(yīng)的支持和保證。整個網(wǎng)絡(luò)在技術(shù)上定位為基于IP over Gigabit Ethernet傳輸?shù)腎P的光學(xué)網(wǎng)絡(luò)，以光纖為主干傳輸介質(zhì)，以Gigabit Ethernet

15、 + IP為核心傳輸方式，可以充分的滿足網(wǎng)絡(luò)的需求。在設(shè)計(jì)本網(wǎng)絡(luò)時(shí)，還要考慮的IP網(wǎng)絡(luò)的優(yōu)化。IP優(yōu)化至少包括如下幾個要素：1、網(wǎng)絡(luò)體系結(jié)構(gòu)以Gigabit Ethernet為設(shè)計(jì)基礎(chǔ)，體現(xiàn)在網(wǎng)絡(luò)層的多層次化體系結(jié)構(gòu)。2、網(wǎng)絡(luò)層次的優(yōu)化，使用華為或思科各自專有的QoS（Quality of Services）來保證傳輸層網(wǎng)絡(luò)的數(shù)據(jù)圖形語音的正常傳輸。3、良好的網(wǎng)絡(luò)拓展和兼容性?？梢詮纳舷蛳碌臒o縫兼容，在合理的QoS控制下，根據(jù)不同的服務(wù)類型啟動不同的控制協(xié)議，比如圖像傳輸方面，可以通過IGMP組播協(xié)議和RSVP資源預(yù)保留協(xié)議進(jìn)行優(yōu)化和控制，對于數(shù)據(jù)和聲音可以采用PQ，CQ，WFQ等排對稱技術(shù)最

16、大限度的傳輸各種數(shù)據(jù)包充分利用光纖的帶寬。4、穩(wěn)定性優(yōu)化。最大限度的利用光傳輸在故障恢復(fù)方面快速切換的能力，快速恢復(fù)網(wǎng)絡(luò)連接，避免路由表顫動引起的整網(wǎng)震蕩，提供符合高速寬帶網(wǎng)絡(luò)要求的可靠性和穩(wěn)定性。2.3重新建設(shè)的必要性分析基于當(dāng)前學(xué)校的發(fā)展，對校園網(wǎng)絡(luò)需求起來趍，且當(dāng)前存在的諸多不足，學(xué)校網(wǎng)絡(luò)升級改造顯行非常必要。這可以從前一階段校園網(wǎng)絡(luò)的通信狀況就可知道。在新的網(wǎng)絡(luò)下必須能夠滿足教學(xué)、管理和通信三大基本功能。 教師可以在學(xué)校的任意的一臺計(jì)算機(jī)上方便地瀏覽和查詢網(wǎng)上資源，因?yàn)檫M(jìn)行教學(xué)和科研工作必須可以調(diào)用網(wǎng)上資源，還可以通過網(wǎng)絡(luò)對學(xué)生的學(xué)習(xí)進(jìn)行指導(dǎo)。學(xué)生可以在計(jì)算機(jī)實(shí)驗(yàn)室、圖書館、教室、電子

17、閱覽室等地方方便地瀏覽和查詢網(wǎng)上資源，但不能在教師辦公室上網(wǎng)，學(xué)生通過網(wǎng)絡(luò)可以進(jìn)行網(wǎng)上學(xué)習(xí)并能和教師進(jìn)行網(wǎng)上討論。學(xué)校管理人員可以方便地對教務(wù)、行政事務(wù)等進(jìn)行綜合管理，同時(shí)各樓辦公室的計(jì)算機(jī)可以進(jìn)行數(shù)據(jù)信息交換，初步實(shí)現(xiàn)辦公自動化。總之，該校園網(wǎng)主要包括以下建設(shè)需求：（1）實(shí)現(xiàn)高速的Internet和CERNET出入；（2）實(shí)現(xiàn)穩(wěn)定的快速的DNS、WWW、FTP、E-mail等多項(xiàng)網(wǎng)絡(luò)服務(wù)；（3）建設(shè)校園BBS，促進(jìn)校園文化的健康發(fā)展；（4）擁有透明出口措施，學(xué)生用學(xué)生證注冊上網(wǎng)帳號，能夠詳細(xì)記錄上網(wǎng)訪問日志；（5）對外部資料實(shí)現(xiàn)管理，實(shí)現(xiàn)VOD服務(wù)；（6）整個校園網(wǎng)主干實(shí)現(xiàn)千兆傳輸，百兆光纖

18、到樓宇，百兆交換到桌面；（7）擁有高性能的網(wǎng)絡(luò)設(shè)備，有足夠的設(shè)備冗余；除以上要求外，還要求建成后的校園網(wǎng)具有一定的技術(shù)前瞻性和系統(tǒng)冗余度，以適應(yīng)未來的發(fā)展和應(yīng)用需求。2.4校園網(wǎng)絡(luò)需要的技術(shù)2.4.1 ACL技術(shù)訪問列表有三種類型的劃分，包括RACL(路由器的訪問列表），QoS的訪問列 表，和VLAN的訪問列表。路由器的訪問列表可以被用于子網(wǎng)之間的數(shù)據(jù)包過濾，但是不能在一個子網(wǎng)內(nèi)作過濾VLAN的訪問列表，用于在一個VLAN的子網(wǎng)內(nèi)實(shí)現(xiàn)過濾。2.4.2 PRIVATE VLAN 技術(shù)在很多企業(yè)網(wǎng)絡(luò)的應(yīng)用中，出于安全和簡化IP地址規(guī)劃的考慮，會有這樣的需求：希望同一物理網(wǎng)段上的主機(jī)之間的通信能夠互

19、相隔離，但是又希望這些主機(jī)都能夠訪問一個公共端口（網(wǎng)關(guān)或服務(wù)器端口），所有這些主機(jī)和服務(wù)器端口都位于同一個IP子網(wǎng)內(nèi)，這樣即實(shí)現(xiàn)了第二層的通信隔離，增加了安全保護(hù)，又不需要規(guī)劃多個IP子網(wǎng)用于主機(jī)隔離。利用思科交換機(jī)的Private Vlan功能，可以輕松實(shí)現(xiàn)以上需求。2.4.3 AAA服務(wù)和安全服務(wù)器協(xié)議(radius/tacacs+)技術(shù)AAA（驗(yàn)證、授權(quán)、記賬）網(wǎng)絡(luò)安全服務(wù)提供了一個實(shí)現(xiàn)身份認(rèn)證以及訪問控制的主框架。AAA使用RADIUS、TACACS+等協(xié)議來實(shí)現(xiàn)對網(wǎng)絡(luò)的訪問控制。2.4.4 IPSec VPN技術(shù)虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時(shí)

20、的、安全的連接，是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可以大幅度地減少用戶花費(fèi)在遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。2.4.5 OSPF技術(shù)隨著Internet技術(shù)在全球范圍的飛速發(fā)展，OSPF已成為目前企業(yè)網(wǎng)采用最多、應(yīng)用最廣泛的路由協(xié)議之一。 OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個路由域內(nèi)。在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS。在這個AS中，所有的OSPF路由器

21、都維護(hù)一個相同的描述這個AS結(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計(jì)算出其OSPF路由表的。2.4.6 SPAN技術(shù)SPAN，交換端口分析器，是一種流量鏡像的技術(shù)。實(shí)現(xiàn)該技術(shù)的目的是監(jiān)控網(wǎng)絡(luò)的性能，用于優(yōu)化企業(yè)網(wǎng)絡(luò)。常見的抓包工具，比如sniffer等只能捕捉到一個碰撞域內(nèi)的流量，如果公司的網(wǎng)絡(luò)都是用交換機(jī)互聯(lián)的，就不能進(jìn)行監(jiān)控。通過SPAN技術(shù)，可以把流量鏡像到流量分析器。2.5網(wǎng)絡(luò)組建技術(shù)2.5.1以太網(wǎng)絡(luò)技術(shù)早期局域網(wǎng)技術(shù)的關(guān)鍵是如何解決連接在同一總路線上的多個網(wǎng)絡(luò)節(jié)點(diǎn)有秩序也共享一個信道的問題，而以太網(wǎng)絡(luò)正是利用載波偵聽多路訪問/沖

22、突檢測（CSMA/CD）技術(shù)成功的提高了局域網(wǎng)共享信道的傳輸利用率，從而得以發(fā)展和流行的。特別是近幾年來交換式以太網(wǎng)和100M快速以太網(wǎng)的廣泛應(yīng)用，使以太網(wǎng)絡(luò)成為當(dāng)今局域網(wǎng)應(yīng)用較為廣泛的主流技術(shù)之一。然而，以太網(wǎng)絡(luò)在發(fā)展早期所提出的共享帶寬、信道爭用機(jī)制限制了網(wǎng)絡(luò)后來的發(fā)展，即使是近幾年發(fā)展交換式以太網(wǎng)技術(shù)和100M快速以太網(wǎng)技術(shù)也不能從根本上解決這一問題，具體表現(xiàn)在：1、不提供服務(wù)質(zhì)量保證（QoS）以太網(wǎng)提供的是一種所謂“無連接”的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)本身對所傳輸?shù)男畔鼰o法進(jìn)行諸如交付時(shí)間、包間延遲、占用帶寬等等關(guān)于服務(wù)質(zhì)量的控制。這種傳送方式就像郵局遞送信件一樣，信息包一旦交給傳輸介質(zhì)，無論是

23、發(fā)送端還是接收端都無法再對中間的傳輸過程進(jìn)行任何有效的控制，這就是所謂沒有服務(wù)質(zhì)量保證。而且以太網(wǎng)的包長度本身是不確定的，這就導(dǎo)致網(wǎng)絡(luò)設(shè)備對每一個幀的處理和轉(zhuǎn)發(fā)延遲處于隨機(jī)、不可控制狀態(tài)。這兩個因素的存在，使得以太網(wǎng)的幀在傳輸時(shí)的延遲和延遲的突發(fā)變化方面顯得非常嚴(yán)重。以太網(wǎng)對傳輸過程的不可控性和對幀處理延時(shí)的過多抖動都不適于現(xiàn)在大量涌現(xiàn)出的具有較強(qiáng)定時(shí)性要求的多媒體信息的傳輸。2、帶寬利用率較低對信道的共享及爭用機(jī)制導(dǎo)致信道的實(shí)際利用帶寬遠(yuǎn)低于物理提供的帶寬，雖然基于CSMA/CD機(jī)制的以太網(wǎng)可以使網(wǎng)絡(luò)節(jié)點(diǎn)對帶寬的爭用以一種“秩序”進(jìn)行，但其帶寬有效利用率仍低于10%。以太網(wǎng)的交換技術(shù)可以降低

24、爭用的幾率，但為了與原有網(wǎng)卡及應(yīng)用軟件相兼容，CSMA/CD仍必須存在，且交換中對轉(zhuǎn)發(fā)端口的定位是在動態(tài)學(xué)習(xí)、動態(tài)刷新中進(jìn)行的，這就使在統(tǒng)計(jì)上仍存在大量的包是以共享爭用的方式傳遞的。引入交換技術(shù)可使利用率提高至20%-50%。除以上兩點(diǎn)以外，以太網(wǎng)傳輸機(jī)制所固有的對網(wǎng)絡(luò)半徑、冗余拓?fù)浜拓?fù)載平衡能力的限制以及網(wǎng)絡(luò)的附加服務(wù)能力薄弱等等，也都是以太網(wǎng)絡(luò)的不足之處。但以太網(wǎng)成熟的技術(shù)、廣泛的用戶基礎(chǔ)和較高的性價(jià)比，使其仍成為傳統(tǒng)數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)應(yīng)用中較為優(yōu)秀的解決方案?，F(xiàn)在，傳統(tǒng)10M以太網(wǎng)的應(yīng)用越來越少。在網(wǎng)絡(luò)應(yīng)用中，比較流行的以太網(wǎng)技術(shù)是：100M快速以太網(wǎng)和千兆以太網(wǎng)。2.5.2千兆以太網(wǎng)絡(luò)技術(shù)

25、千兆位以太網(wǎng)應(yīng)用于大中型網(wǎng)絡(luò)，能把現(xiàn)有的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接起來。千兆位以太網(wǎng)采用同樣的CSMA/CD協(xié)議、同樣的幀格式，是現(xiàn)有以太網(wǎng)最自然的升級途徑，使用戶對以太網(wǎng)原有設(shè)備管理工具的投資得到保護(hù)。千兆位以太網(wǎng)是超高速主干網(wǎng)的一種選擇方案。在數(shù)據(jù)、話音、視頻等實(shí)時(shí)業(yè)務(wù)方面，它雖然不能提供真正意義上的服務(wù)質(zhì)量保證（QoS），但千兆位以太網(wǎng)頻寬較高，能克服原以太網(wǎng)的一些弱點(diǎn)，提供服務(wù)保證等特性。IEEE802.3Z工作組已確定了以下一組規(guī)范，統(tǒng)稱為1000Base-X。1、1000Base-LX:多模光纖傳輸距離為550米，單模光纖傳輸距離為3000米。2、1000Ba

26、se-SX：62.5微米多模光纖傳輸距離為300米，50微米多模光纖傳輸距離為550米。3、1000Base-CX:用于短距離設(shè)備的連接，使用高速率雙絞線銅纜，最大傳輸距離為25米。4、1000Base-T：5類銅纜傳輸最大距離為100米。千兆位以太網(wǎng)支持交換機(jī)之間、交換機(jī)與終端之間的全雙工連接，支持共享網(wǎng)絡(luò)的半雙工連接方式，使用中繼器和CSMA/CD沖突檢測機(jī)制。對于大多數(shù)用戶而言，花費(fèi)很少的投資就可將現(xiàn)有的網(wǎng)絡(luò)升級至千兆以太網(wǎng)，并且不需在通信協(xié)議上進(jìn)行額外的投資。2.5.3 ATM技術(shù)ATM在現(xiàn)有技術(shù)水平上已獲得成熟的發(fā)展。不過，ATM有一個不足之處就是，采用ATM技術(shù)來構(gòu)建網(wǎng)絡(luò)主干，需要

27、較高的成本，其經(jīng)濟(jì)可行性較差。這對所建的中等規(guī)模仿小的網(wǎng)絡(luò)就更是如此。基于我們學(xué)校目前的發(fā)展情況，ATM雖好，但并不合適，成本太高也還沒有那多的需求。且學(xué)校原有的網(wǎng)絡(luò)也都是基于以太網(wǎng)和快速以太網(wǎng)而建的，因此，我們使用千兆以太網(wǎng)為校園網(wǎng)主干，百兆到桌面，來平滑升級現(xiàn)有網(wǎng)絡(luò)。即可以保護(hù)原有投資也達(dá)到升級的目的。這是我們升級中不二的選擇。設(shè)計(jì)依據(jù)：1、根據(jù)學(xué)?，F(xiàn)有的業(yè)務(wù)量與業(yè)務(wù)類型，估算出網(wǎng)絡(luò)大約需要的交換能力和功能。學(xué)校的業(yè)務(wù)主要有：校園網(wǎng)的Internet接入包括使用ChinaNet和CERNET，從學(xué)?，F(xiàn)有計(jì)算機(jī)數(shù)量看，最大并行訪問Internet的計(jì)算機(jī)數(shù)量大概在500臺，以百兆光纖出入Ch

28、inanet是有些擁擠，不過大多數(shù)時(shí)間內(nèi)不會有那么多臺同時(shí)訪問，而且還可以通過交換機(jī)帶寬配置，來分配各個單位的上網(wǎng)需求，因此目前的帶寬還是可以滿足用戶的上網(wǎng)需求。不過接入CERNET的帶寬就顯得過小了，雖然訪問的人沒有訪問Chianet的多。校園內(nèi)部的BBS、WWW、FTP、E-Mail等，這些網(wǎng)絡(luò)服務(wù)均可對內(nèi)外開放，而且是學(xué)生群體比較活躍的區(qū)域，網(wǎng)絡(luò)的通迅量較大，需要較大的帶寬；學(xué)校內(nèi)部日常的管理系統(tǒng)，如教務(wù)管理系統(tǒng)，學(xué)生學(xué)籍管理系統(tǒng)等，這些也是師生訪問較多的網(wǎng)絡(luò)服務(wù)；校園網(wǎng)內(nèi)的文件傳輸?shù)葍?nèi)部通信也需要很大的帶寬。將學(xué)生宿舍的寬帶接入也是校園網(wǎng)重要的功能模塊，它所需要的帶寬也是很龐大的。隨著

29、社會發(fā)展，移動辦公也越來越普遍，增設(shè)校園無線局域網(wǎng)也是勢在必行的。而且校園無線局域網(wǎng)也可以方便那些早期沒有安裝網(wǎng)絡(luò)通迅線路的建筑接入校園網(wǎng)。經(jīng)過以上分析，將校園內(nèi)部主干網(wǎng)設(shè)計(jì)為千兆是十分必要的。2、根據(jù)業(yè)務(wù)量與業(yè)務(wù)類型的發(fā)展，估算出五年內(nèi)網(wǎng)絡(luò)大約需要的交換能力和功能在此次升級中，我們都將使用一些能夠充分滿足當(dāng)前網(wǎng)絡(luò)通迅及應(yīng)用服務(wù)的網(wǎng)絡(luò)設(shè)備，又能夠在相當(dāng)長一段時(shí)間內(nèi)保持技術(shù)的先進(jìn)性，能夠滿足今后學(xué)校對網(wǎng)絡(luò)的擴(kuò)展需要。3、依據(jù)網(wǎng)絡(luò)分級原則，確定核心、會聚、接入各層設(shè)備所在位置與策略。該次升級方案中，徹底改變了校園網(wǎng)絡(luò)的主干拓?fù)浣Y(jié)構(gòu)，摒棄了以前那平面型的拓?fù)浣Y(jié)構(gòu)，采用當(dāng)今主流的三層網(wǎng)絡(luò)結(jié)構(gòu)，即核心層

30、、匯聚層、接入層結(jié)構(gòu)。網(wǎng)絡(luò)中心還是設(shè)在實(shí)驗(yàn)樓，所以核心層設(shè)備也自然設(shè)在該樓內(nèi).匯聚層接入層設(shè)備根據(jù)新的網(wǎng)絡(luò)拓?fù)浼白泳W(wǎng)劃分，具體安放在后面的章節(jié)中說明。4、根據(jù)以上三點(diǎn)，以及充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備的前提下，確定對所需網(wǎng)絡(luò)設(shè)備的要求和投資估算，以此來確定設(shè)備的供應(yīng)商，并在滿足現(xiàn)有業(yè)務(wù)的同時(shí)，確保網(wǎng)絡(luò)可以以較少投資平滑升級。核心冗余，從圖1-3可以清楚的知道，學(xué)校所有出入Chinanet 和CERNET的數(shù)據(jù)都必須通過ls-3026交換機(jī)，一旦該設(shè)備出現(xiàn)故障，整個網(wǎng)絡(luò)將癱瘓。為應(yīng)對該問題，我們采用核心冗余技術(shù)（如圖2-1），通過設(shè)置HSRP協(xié)議，即使核心交換機(jī)有一臺出現(xiàn)故障，網(wǎng)絡(luò)會自動切換到另一臺核

31、心交換機(jī)上，保證網(wǎng)絡(luò)通暢。我們使用的冗余交換機(jī)都可以工作在三層，支持該協(xié)議。圖2-1核心冗余圖2.5.4 HSRP技術(shù)熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說，當(dāng)源主機(jī)不能動態(tài)知道第一跳路由器的 IP 地址時(shí)，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。HSRP 協(xié)議只支持一個路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（A

32、ctive Router）。一旦主動路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協(xié)議提供了一種決定使用主動路由器還是備份路由器的機(jī)制，并指定一個虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主機(jī)連通中斷現(xiàn)象。HSRP 運(yùn)行在 UDP 上，采用端口號1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP 路由器間能相互識別.三、校園網(wǎng)系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案主要包括校園網(wǎng)內(nèi)部網(wǎng)絡(luò)和In

33、ternet接入兩部分的設(shè)計(jì)。3.1校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)是組建在學(xué)院校園內(nèi)的計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)，可以采用Intranet方式建設(shè)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)。對本分校區(qū)而言，幾乎包括所有的建筑樓群：如教學(xué)樓、圖書館、科學(xué)樓、外語樓、實(shí)訓(xùn)樓、實(shí)驗(yàn)樓、教師及學(xué)生宿舍樓等。根據(jù)福清學(xué)院對網(wǎng)絡(luò)應(yīng)用的需求，主干可以采用千兆以太網(wǎng)結(jié)構(gòu)，每棟樓與網(wǎng)絡(luò)中心用多模光纖連接，百兆交換到桌面。在升級設(shè)計(jì)中，針對現(xiàn)有的不足，我們采用分層次的網(wǎng)絡(luò)結(jié)構(gòu)和冗余設(shè)計(jì)技術(shù)，如采用核心、匯聚冗余。還有無線局域網(wǎng)的引入，也是逐步完善校園網(wǎng)絡(luò)的一個舉措。3.2校園網(wǎng)接入Internet設(shè)計(jì)學(xué)校校園網(wǎng)采用雙端口方式，一個接入遼寧建筑本部教育

34、網(wǎng)，一個作為電信的局域網(wǎng)方式接入中國電信，校園網(wǎng)核心交換機(jī)及路由器都存放在網(wǎng)絡(luò)中心，所有樓的光纖均連接到網(wǎng)絡(luò)中心。并申請相應(yīng)的域名和IP地址。內(nèi)部網(wǎng)絡(luò)的IP地址由保留地址和真實(shí)地址混合使用，保證內(nèi)部網(wǎng)絡(luò)的安全。3.3校園網(wǎng)應(yīng)用系統(tǒng)設(shè)計(jì)1、Internet應(yīng)用學(xué)校向域名注冊代理商申請Internet域名后，通過配置相應(yīng)設(shè)備便可以向校內(nèi)外提供DNS、WWW、FTP和E-Mail等服務(wù)。網(wǎng)絡(luò)操作系統(tǒng)可以選擇Microsoft的Windows系列或Linux。在服務(wù)器上，每一個服務(wù)可以由一臺服務(wù)器來完成；也可以由一服務(wù)器來同時(shí)完成幾項(xiàng)服務(wù)。這些是對校內(nèi)外開放的。另外一些主要面向教學(xué)或?qū)W生工作的服務(wù)，可

35、以另外設(shè)一些專門的服務(wù)器，如：學(xué)生學(xué)籍管理系統(tǒng)、教務(wù)管理系統(tǒng)等，這些可以視需要決定是否向外開放。2、視頻點(diǎn)播、教學(xué)討論BBS 校園網(wǎng)視頻點(diǎn)播系統(tǒng)，可以使學(xué)生通過電腦在校園內(nèi)任何地方進(jìn)行教學(xué)課件的視頻點(diǎn)播，進(jìn)一步提高學(xué)生的學(xué)習(xí)積極性。校園BBS服務(wù)，可以使每位學(xué)生教師都可以在BBS上書寫信息、提出看法、討論教學(xué)問題，增強(qiáng)師生間的教學(xué)交流。校園網(wǎng)還以提供許多其他服務(wù)(可選)，如網(wǎng)絡(luò)課件庫、網(wǎng)絡(luò)試題庫、精品課程點(diǎn)播以及遠(yuǎn)程教學(xué)等，進(jìn)一步推動教學(xué)手段的改革。4、網(wǎng)絡(luò)管理隨著校園網(wǎng)的不斷擴(kuò)大，對校園網(wǎng)中網(wǎng)絡(luò)設(shè)備的管理成為校園網(wǎng)管的重要任務(wù)，可以通過網(wǎng)絡(luò)管理軟件實(shí)現(xiàn)對全校所有網(wǎng)絡(luò)設(shè)備的集中式管理。網(wǎng)絡(luò)管理

36、集通信技術(shù)、網(wǎng)絡(luò)技術(shù)和信息處理技術(shù)于一體，通過高度和協(xié)調(diào)資源，進(jìn)行各項(xiàng)管理活動，以達(dá)到使網(wǎng)絡(luò)可靠、安全和高效運(yùn)行的目的。由于我們在建設(shè)中主要使用Cisco的產(chǎn)品，可以用CiscoWork2000這個網(wǎng)管軟件來統(tǒng)一管理，它可以管理Cisco的基于IOS操作系統(tǒng)的連接設(shè)備。使用方式是Web管理方式，所以在安裝完網(wǎng)絡(luò)管理服務(wù)器后可以在任何有網(wǎng)絡(luò)連接的機(jī)器上進(jìn)行網(wǎng)管監(jiān)控。5、QOS管理流量管理也是一個非常重要的工程，如何有效的、合理的管理網(wǎng)絡(luò)中ip流量將有助于網(wǎng)絡(luò)整體性能。實(shí)施QoS，首先必須進(jìn)行QoS的總體規(guī)劃，其規(guī)劃原則可如下:首先，根據(jù)不同業(yè)務(wù)特性在網(wǎng)內(nèi)實(shí)施針對業(yè)務(wù)類型的業(yè)務(wù)分流，目前可考慮的業(yè)

37、務(wù)類型可以分為VoIP語音、視頻、專線互聯(lián)及互聯(lián)網(wǎng)接入等。另外，還必須考慮到網(wǎng)絡(luò)本身還存在管理和控制信令等，這種消息流與VoIP數(shù)據(jù)流具有同等的QoS保證需求。其次，在接入網(wǎng)的匯聚層實(shí)施業(yè)務(wù)VLAN策略，并根據(jù)業(yè)務(wù)及流量特性對業(yè)務(wù)VLAN進(jìn)行合理的帶寬規(guī)劃。然后，不同用戶實(shí)施不同的QoS:對于重要的服務(wù)器、教師機(jī)通信等，在匯聚層實(shí)施獨(dú)享帶寬和獨(dú)立邏輯通道的二層QoS策略。6、無線局域網(wǎng)校園內(nèi)加入無線網(wǎng)絡(luò)，一方面可以方便師生在校園內(nèi)的移動入網(wǎng)，也可以使那早期沒安裝網(wǎng)絡(luò)接口的建筑，如電子樓，5、6號樓。從學(xué)校的自然布局和辦公情況看，將無線接入點(diǎn)分別設(shè)在學(xué)生公寓樓和外語樓。外語樓主要面向本樓接入和科

38、學(xué)樓外來領(lǐng)導(dǎo)的移動接入。公寓樓可供5、6的接入。7、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全性非常脆弱，服務(wù)器防病毒能力差，非常容易遭受到攻擊。加入硬件防火墻可以對出入校園網(wǎng)數(shù)據(jù)包進(jìn)行監(jiān)控、過濾， 最大程度的屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)及運(yùn)行情況，以此來保護(hù)網(wǎng)絡(luò)安全；它具有控制對系統(tǒng)的訪問，集中安全管理，增強(qiáng)的保密性等功能。8、用戶上網(wǎng)需求校園網(wǎng)的主要用戶是教師和學(xué)生，學(xué)校可增設(shè)一個透明網(wǎng)關(guān)或認(rèn)證服務(wù)器來對用戶身份認(rèn)證及上網(wǎng)計(jì)費(fèi)。同時(shí)包括無線接入的認(rèn)證。3.4校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)主要指網(wǎng)絡(luò)的物理結(jié)構(gòu)設(shè)計(jì)和邏輯結(jié)構(gòu)設(shè)計(jì)。在完成對校園網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀分析后，就可以有針對性的進(jìn)行物理和邏輯上的規(guī)劃設(shè)計(jì)，進(jìn)一步完善校園網(wǎng)絡(luò)。

39、3.4.1校園網(wǎng)物理結(jié)構(gòu)設(shè)計(jì)根據(jù)前面對校園網(wǎng)絡(luò)現(xiàn)狀的分析，可以知道校園網(wǎng)內(nèi)有多少建筑，各建筑內(nèi)包含多少信息點(diǎn)以及它們的分布情況，可以知道校園網(wǎng)的功能及其應(yīng)用。對些我們就可以做出相應(yīng)的升級拓?fù)湓O(shè)計(jì)。此次物理上主要是對網(wǎng)絡(luò)設(shè)備及通信帶寬的升級（對于設(shè)備選擇在第三章中介紹）：1、升級核心路由器，采用思科優(yōu)質(zhì)的產(chǎn)品C3600系列。2、采用思科雙C3750核心交換機(jī)做冗余技術(shù);匯聚層也采用思科C6509原有的可當(dāng)備份用;接入層采用C3500系列。各層設(shè)備都具有千兆以太網(wǎng)端口。3、增加3A身份認(rèn)證服務(wù)器，增加校內(nèi)外學(xué)生宿舍的校園網(wǎng)接入和校園無線局域網(wǎng)接入。4、引入防火墻機(jī)制，提高校園網(wǎng)的安全性。在通信線路

40、上，此次將校園主干網(wǎng)都升級為1000M以滿足學(xué)校對網(wǎng)絡(luò)的需求。接入電信仍為原有的百兆光纖，不過只要更改光纜的帶寬就可以使網(wǎng)絡(luò)升級到更高的帶寬；路由器與核心交換機(jī)間采用1000Base-T銅纜連接； 核心交換機(jī)與匯聚層交換機(jī)間采用1000Base-LX光纖連接（在同一室內(nèi)可用優(yōu)質(zhì)雙絞線）。校內(nèi)各網(wǎng)絡(luò)服務(wù)采用100M雙絞線連到核心交換機(jī)。匯聚層交換機(jī)所在的樓房內(nèi)直接采用100雙絞線連接到接入層交換機(jī)，其它樓房的接入層交換機(jī)則用100M光纖連接到該匯聚交換機(jī)上，物理拓?fù)淙鐖D3-1。圖3-1物理拓?fù)鋱D3.4.2校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)根據(jù)上一節(jié)的設(shè)備選型及校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，我們可以繪制出更詳細(xì)的校園網(wǎng)絡(luò)結(jié)構(gòu)

41、圖，如下列圖3-2。圖3-2邏輯拓?fù)鋱D注：圖2-3中完整IP的均使用默認(rèn)C類掩碼，而只有兩個IP位的都默認(rèn)省去了前兩位，如：100.6/30其完整IP為/30，其中30為該IP的掩碼長度。1、核心與匯聚部分圖3-3冗余部分拓?fù)鋱D2、匯聚與接入部分圖3-4匯聚與接入設(shè)計(jì)圖注：由于接入層是工作在數(shù)據(jù)鏈路層，所以不需為其設(shè)置IP。3、VLAN的劃分部分校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)主要是IP子網(wǎng)網(wǎng)段的劃分，根據(jù)校園網(wǎng)實(shí)際應(yīng)用需求實(shí)現(xiàn)VLAN的設(shè)置。從校園網(wǎng)的安全性、IP地址的可管理性和IP地址資源的有限性出發(fā)，將整個校園網(wǎng)絡(luò)劃分成若干個子網(wǎng)網(wǎng)段并對IP地址進(jìn)行有效的管理是十分必要的。子網(wǎng)網(wǎng)段劃分一般應(yīng)遵循以下原

42、則：（1）需要對外開放的服務(wù)器劃分在同一網(wǎng)段，并分配真實(shí)的IP地址；（2）除接入Internet的路由器外，將其它所有網(wǎng)絡(luò)設(shè)備劃分到私有的網(wǎng)段；（3）將不對外開放的服務(wù)器劃分到專有網(wǎng)段中，其地址對外是隱蔽的；（4）最好將不同部門的機(jī)器劃分到不同網(wǎng)段中；（5）劃分的子網(wǎng)應(yīng)使IP管理簡單，同時(shí)也要避免IP地址的大量浪費(fèi)；（6）可使用子網(wǎng)掩碼將幾個C類地址分給同一個大的子網(wǎng)，或?qū)⒁粋€C類地址分給幾個小的子網(wǎng)；（7）校園內(nèi)部網(wǎng)IP地址使用保留地址，連接Internet的子網(wǎng)采用真實(shí)IP地址。以下為學(xué)校升級中，對學(xué)校所有網(wǎng)內(nèi)計(jì)算機(jī)的子網(wǎng)劃分情況：VLAN劃分如表3-1：表3-1 VLAN劃分表序號VLA

43、N號子網(wǎng)名稱包含的信息點(diǎn)1DMZ區(qū)服務(wù)器子群連接Internet的所有對外開放服務(wù)器，為真實(shí)IP地址211服務(wù)器子網(wǎng)所有只對校內(nèi)開放的服務(wù)器，為保留IP地址312網(wǎng)絡(luò)設(shè)備子網(wǎng)除路由器外所有網(wǎng)絡(luò)設(shè)備413辦公室子網(wǎng)圖書館、實(shí)訓(xùn)樓、科學(xué)樓的辦公室計(jì)算機(jī)514無線接入子網(wǎng)所有無線接入的計(jì)算機(jī)615學(xué)生宿舍子網(wǎng)1校內(nèi)學(xué)生宿舍接入的計(jì)算機(jī)716學(xué)生宿舍子網(wǎng)2校外學(xué)生宿舍接入的計(jì)算機(jī)817教師宿舍子網(wǎng)1校內(nèi)教師宿舍接入的計(jì)算機(jī)918教師宿舍子網(wǎng)2校外教師宿舍接入的計(jì)算機(jī)1019教室子網(wǎng)教學(xué)樓、科學(xué)樓、電子樓、實(shí)驗(yàn)樓的教學(xué)用計(jì)算機(jī)1120電子閱覽室子網(wǎng)圖書館除辦公室計(jì)算機(jī)外的所有計(jì)算機(jī)1221計(jì)算機(jī)實(shí)驗(yàn)室子

44、網(wǎng)1實(shí)訓(xùn)樓的計(jì)算機(jī)實(shí)驗(yàn)室11322計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)2實(shí)訓(xùn)樓的計(jì)算機(jī)實(shí)驗(yàn)室21423計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)3實(shí)訓(xùn)樓的計(jì)算機(jī)實(shí)驗(yàn)室31524計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)4實(shí)驗(yàn)樓計(jì)算機(jī)實(shí)驗(yàn)室11625計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)5實(shí)驗(yàn)樓計(jì)算機(jī)實(shí)驗(yàn)室21726計(jì)算機(jī)實(shí)驗(yàn)室子網(wǎng)6實(shí)驗(yàn)樓計(jì)算機(jī)實(shí)驗(yàn)室3子網(wǎng)劃分示意圖如圖3-5：圖3-5 VLAN劃分示意圖四、網(wǎng)絡(luò)設(shè)備選擇方案4.1設(shè)備選擇基本原則在網(wǎng)絡(luò)升級選擇網(wǎng)絡(luò)設(shè)備時(shí)，應(yīng)當(dāng)遵循以下原則：1、可靠性由于升級的往往是核心和骨干網(wǎng)絡(luò)，其重要性不言而喻，一旦癱瘓則影響巨大。因此，必須將可靠性放在第一位，無論是品牌的選擇，還是設(shè)備的配置，都將可靠性作為第一考慮。2、性能作為網(wǎng)絡(luò)骨干網(wǎng)絡(luò)節(jié)點(diǎn)，中

45、心交換機(jī)、匯聚交換機(jī)和廠區(qū)交換機(jī)必須能夠提供完全無阻塞的多層交換性能，以保證業(yè)務(wù)的順暢。3、可管理性一個大型網(wǎng)絡(luò)可管理程度的高低直接影響這運(yùn)行成本和業(yè)務(wù)質(zhì)量。因此，所有的節(jié)點(diǎn)都應(yīng)市可網(wǎng)管得，而且需要有一個強(qiáng)有力切簡介的網(wǎng)絡(luò)管理系統(tǒng)，能夠?qū)W(wǎng)絡(luò)的業(yè)務(wù)流量、運(yùn)行狀況等進(jìn)行全方位的控制和官吏。4、靈活性和可擴(kuò)展性由于企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，需要交換機(jī)能夠接續(xù)全系列接口，例如光口和電口、百兆、千兆和萬兆端口，以及多模光纖接口和長距離的單模光纖接口等。其交換機(jī)結(jié)構(gòu)也應(yīng)能夠根據(jù)網(wǎng)絡(luò)擴(kuò)容靈活地?cái)U(kuò)大容量。其軟件應(yīng)具有獨(dú)立知識產(chǎn)權(quán)，應(yīng)保證其后續(xù)研發(fā)和升級以保證對未來新業(yè)務(wù)的支持。5、安全性隨著網(wǎng)絡(luò)的普及和發(fā)展，各種各

46、樣的攻擊也在威脅這網(wǎng)絡(luò)的安全。不僅僅是介入交換機(jī)，骨干層次的交換機(jī)也應(yīng)考慮到安全防范的問題，例如訪問控制、寬帶控制等，從而有效控制不良業(yè)務(wù)對整個骨干網(wǎng)絡(luò)的侵害。6、QoS控制能力隨著網(wǎng)絡(luò)上多媒體業(yè)務(wù)（語音、視頻等）越來越多，我們對核心交換機(jī)節(jié)點(diǎn)提出了更高德要求，不僅能進(jìn)行一般的限速交換，還要能根據(jù)不同的業(yè)務(wù)流的特點(diǎn)，對他們的優(yōu)先級和貸款進(jìn)行有效的控制，從而保證重要業(yè)務(wù)和時(shí)間敏感業(yè)務(wù)的順暢。7、標(biāo)準(zhǔn)性和開放性由于網(wǎng)絡(luò)往往是一個具有多種廠商設(shè)備的環(huán)境，因此，所選擇的設(shè)備必須能夠支持業(yè)界通用的開放標(biāo)準(zhǔn)和協(xié)議，以便能夠和其他廠商的設(shè)備有效地溝通。8、性價(jià)比在滿足網(wǎng)絡(luò)需求和網(wǎng)絡(luò)應(yīng)用的額基礎(chǔ)上，還應(yīng)當(dāng)充分

47、考慮設(shè)備的性價(jià)比，以達(dá)到最大的投資回報(bào)率。4.2交換設(shè)備選型4.2.1 核心層交換機(jī)選型根據(jù)學(xué)校的規(guī)模和應(yīng)用需求，為將校園主干升級為千兆網(wǎng)絡(luò)，我們核心交換機(jī)選用兩臺CISCO WS-C3750G-24TS-S作核心冗余。Cisco Catalyst 3750系列交換機(jī)是一款適用于中型機(jī)構(gòu)和大型企業(yè)分支機(jī)構(gòu)的創(chuàng)新產(chǎn)品。該交換機(jī)采用了Cisco StackWise技術(shù)，通過結(jié)合易用性和可堆疊交換機(jī)的最高永續(xù)性，提高了局域網(wǎng)運(yùn)行效率。關(guān)鍵特性：1、可用性802.1S/W支持基于標(biāo)準(zhǔn)的容錯性、負(fù)載均衡和迅速恢復(fù)；Flexlink特性提供了不到100ms的快速收斂；PVST+則通過允許流量在冗余鏈路上傳

48、輸，增加了可用帶寬。2、Cisco StackWise技術(shù)單一IP地址和單一命令行界面（CLI）簡化了管理；32-Gbps永續(xù)架構(gòu)加速了收斂；1N堆疊采用了冗余和第三層上行鏈路永續(xù)性、跨堆疊Cisco EtherChannel技術(shù)及QoS，提高了可用性；自動配置和Cisco IOS軟件版本檢查和升級加速了部署過程；交換機(jī)的熱添加和刪除能保持堆疊持續(xù)運(yùn)行。3、370W PoE簡化了IP電話、無線和視頻監(jiān)視部署；智能電源管理特性增強(qiáng)了控制能力，有助于更好地利用功率預(yù)算，PoE與快速以太網(wǎng)或千兆以太網(wǎng)型號相結(jié)合，能最大限度地利用現(xiàn)有基礎(chǔ)設(shè)施投資。4、第三層特性 OPSF、EIGRP、BGP 、靜態(tài)

49、PBR等高級路由協(xié)議擴(kuò)大了網(wǎng)絡(luò)規(guī)模；等成本路由以及PIM等組播路由能夠最大限度地利用網(wǎng)絡(luò)資源；VRFLite可保護(hù)流量；（5）IPv6在簡化網(wǎng)絡(luò)尋址和移動IP的同時(shí)提高了安全性。5、QoS 流量整形能在不丟棄數(shù)據(jù)包的情況下平穩(wěn)處理突發(fā)流量；整形循環(huán)保證了關(guān)鍵任務(wù)應(yīng)用的帶寬；而Scavenger隊(duì)列則能防止蠕蟲過度使用資源。6、管理 Cisco Smartports能快速、簡單地配置高級 Web界面完成設(shè)置； 資源模板則可用于為應(yīng)用定制交換機(jī)資源。7、安全DHCP監(jiān)聽能夠只允許可信端口訪問DHCP信息，消除了惡意DHCP服務(wù)器；NAC則能防止代價(jià)昂貴的蠕蟲和病毒的傳播；動態(tài)ARP檢測和IP源防護(hù)

50、能夠防御中間人攻擊；802.1x和基于身份的網(wǎng)絡(luò)服務(wù)僅允許授權(quán)人員接入網(wǎng)絡(luò)；端口安全能防止MAC地址泛洪攻擊。4.2.2 匯聚層交換機(jī)選型匯聚層交換機(jī)需要支持第三層交換，對應(yīng)核心冗余，在這里我們也選用兩臺CISCO WS-C6509-24-SMI作匯聚冗余。產(chǎn)品特點(diǎn)：6509系列是一款功能強(qiáng)大的交換機(jī)，可在中型網(wǎng)絡(luò)中作接入設(shè)備，也可作匯聚設(shè)備。用戶可以在整個網(wǎng)絡(luò)中部署智能化的服務(wù)，例如先進(jìn)的服務(wù)質(zhì)量（QoS），速度限制，Cisco安全訪問控制列表，多播管理和高性能的IP路由同時(shí)保持了傳統(tǒng)LAN交換的簡便性。Catalyst 6509系列中內(nèi)嵌了Cisco集群管理套件（CMS）軟件，該軟件使用戶

51、可以利用一個標(biāo)準(zhǔn)的Web瀏覽器同時(shí)配置和診斷多個Catalyst桌面交換機(jī)并為其排除故障。Cisco CMS軟件提供了新的配置向?qū)?，它可以大幅度簡化整合式?yīng)用和網(wǎng)絡(luò)級服務(wù)的部署。 含有標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強(qiáng)型多層軟件鏡像（EMI）。EMI提供了一組更加豐富的企業(yè)級功能，包括基于硬件的IP單播和多播路由，虛擬LAN（VLAN）間的路由，路由訪問控制列表（RACL）和熱備用路由器協(xié)議（HSRP）。在剛開始部署時(shí)，增強(qiáng)型多層軟件鏡像升級工具包為用戶提供了升級到EMI的靈活性。4.2.3接入層交換機(jī)選型接入層設(shè)備主要作用是要支持VLAN的劃分，我們可以選用CISCO Catalyst 35

52、00. 4.3路由器選型接入Internet的路由器完全可以選用Cisco 3620，因?yàn)镃isco 3600系列是一個適合大中型企業(yè)Internet服務(wù)供應(yīng)商的模塊化、多功能訪問平臺家族。Cisco 3600系列擁有70多個模塊化接口選項(xiàng)，提供語音/數(shù)據(jù)集成、虛擬專網(wǎng)（VPN）、撥號訪問和多協(xié)議數(shù)據(jù)路由解決方案。通過利用CIsco的語音/傳真網(wǎng)絡(luò)模塊，Cisco 3600系列允許客戶在單個網(wǎng)絡(luò)上合并語音、傳真和數(shù)據(jù)流量。高性能的模塊化體系結(jié)構(gòu)保護(hù)了客戶的網(wǎng)絡(luò)技術(shù)投資，并將多個設(shè)備的功能集成到一個可管理的解決方案之中。關(guān)鍵特性：1、在一個平臺中結(jié)合了撥號訪問、先進(jìn)的局域網(wǎng)到局域網(wǎng)路由服務(wù)、AT

53、M連接以及語音、視頻和數(shù)據(jù)的多服務(wù)集成。2、模塊化、可伸縮的設(shè)計(jì)提供性能、可伸縮性、靈活性和投資保護(hù)。3、高密度ISDN PRI功能。 4、預(yù)配置的BRI和PRI調(diào)制解調(diào)器捆綁。5、支持Modem-over-BRI功能性。 6、集成了Cisco IOS軟件（產(chǎn)品定價(jià)中包括IP IOS軟件）。 7、完全支持VPN。4.4防火墻選型防火墻是一種部署在內(nèi)外網(wǎng)邊界上的訪問控制設(shè)備，在校園網(wǎng)中使用防火墻，可以用來防止未經(jīng)授權(quán)的通信進(jìn)出校園內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。防火墻主要有簡單包過濾防火墻、狀態(tài)/動態(tài)檢測防火墻、應(yīng)用程序代理防火墻三種。結(jié)合我們學(xué)校情況，我們選用CISCO PIX

54、520-R-BUN 防火墻來保障校園網(wǎng)絡(luò)安全。CISCO PIX 520-R-BUN防火墻的主要功能：1、企業(yè)級集成式安全設(shè)備2、最高330 Mbps防火墻吞吐率3、利用硬件加速（某些型號自帶，在其他型號中為可選組件）最高可以提供145 Mbps 3DES和135Mbps AES-256 VPN吞吐率4、最多可以為2000個遠(yuǎn)程用戶提供VPN集中器服務(wù)（Easy VPN Server）5、千兆以太網(wǎng)支持；最多8個10/100 FE或者3個千兆以太網(wǎng)接口6、虛擬局域網(wǎng)中繼（基于802.1q標(biāo)簽）和OSPF動態(tài)路由支持7、安全環(huán)境（虛擬防火墻服務(wù)）支持8、主用/主用和主用/備用防火墻狀態(tài)故障切換支

55、持9、主用/備用IPSec VPN故障切換支持4.5服務(wù)器選型現(xiàn)在著名的服務(wù)器品牌非常多，有IBM、HP、DELL、LENOVO、曙光、浪潮等。這里選的服務(wù)器主要是驗(yàn)證服務(wù)器的選擇，其它的看學(xué)校目前的網(wǎng)絡(luò)應(yīng)用可以隨時(shí)增設(shè)，如前面分析的FTP服務(wù)器、E-Mail服務(wù)等。根據(jù)我們前面的分析與設(shè)計(jì)，我們選擇華為MA5200F-2000 來作為校園的寬帶接入驗(yàn)證服務(wù)器，主要驗(yàn)證學(xué)生接入與無線接入這兩方便。4.6設(shè)備清單及價(jià)格表4-1設(shè)備清單表序號設(shè)備名稱產(chǎn)品型號數(shù)量價(jià)格(元)1核心交換機(jī)CISCO WS-C3750G-24TS-S235000*22匯聚交換機(jī)CISCO WS-C6509-24-SMI2

56、14000*23接入交換機(jī)CISCO WS-C3500T-2445500*44路由器CISCO 36201158005防火墻CISCO PIX 520-R-BUN1345006認(rèn)證服務(wù)器華為MA5200F-2000157118注：本章的設(shè)備參考資料主要來自 、及一些思科產(chǎn)品文檔。在本章里論述的主要是在升級好的網(wǎng)絡(luò)設(shè)備上，根據(jù)學(xué)校的實(shí)際應(yīng)用需求進(jìn)行相應(yīng)配置。配置中需要涉及的內(nèi)容有：路由器的配置；冗余的核心與匯聚交換機(jī)配置；認(rèn)證服務(wù)器配置；設(shè)置安全機(jī)制和防范策略、ACL控制策略、帶寬限制、QoS等，這里我只提一些組網(wǎng)中主要的配置。五、網(wǎng)絡(luò)實(shí)施5.1施工準(zhǔn)備工作為了確保網(wǎng)絡(luò)設(shè)備采購及服務(wù)項(xiàng)目的建設(shè)工

57、作能夠按期保質(zhì)的竣工，并完成整個網(wǎng)絡(luò)系統(tǒng)的安裝、調(diào)試及應(yīng)用培訓(xùn)。施工技術(shù)準(zhǔn)備施工技術(shù)是貫穿著整個工程的全過程。施工技術(shù)準(zhǔn)備是施工過程中的重要環(huán)節(jié)也是施工準(zhǔn)備的核心，其具體有如下內(nèi)容：（1）現(xiàn)場對每個學(xué)校的監(jiān)控系統(tǒng)進(jìn)行了解和熟悉、審查設(shè)計(jì)圖紙（2）由工程、技術(shù)部門認(rèn)真編制施工組織設(shè)計(jì)并作好各種物資資源和技術(shù)條件的調(diào)查工作（3）作好與設(shè)計(jì)的配合工作通過熟悉圖紙內(nèi)容，了解設(shè)計(jì)上要求施工達(dá)到的技術(shù)標(biāo)準(zhǔn)，明確工藝流明程。組織各工種的施工管理人員對本工種的有關(guān)圖紙進(jìn)行審查，掌握和了解圖紙中的細(xì)節(jié)。組織和專業(yè)施工隊(duì)伍共同學(xué)習(xí)施工圖紙，商定施工配合事宜。由監(jiān)理牽頭組織有關(guān)單位進(jìn)行圖紙會審，由設(shè)計(jì)方進(jìn)行交底，理

58、解設(shè)計(jì)意圖及施工質(zhì)量標(biāo)準(zhǔn)，準(zhǔn)確掌握設(shè)計(jì)圖紙中的細(xì)節(jié)。（4）認(rèn)真編制施工組織設(shè)計(jì)，作為工程施工生產(chǎn)的指導(dǎo)性文件（5）編制施工圖預(yù)算和施工預(yù)算由預(yù)算部門根據(jù)施工圖、預(yù)算定額、施工組織設(shè)計(jì)、施工定額等文件，編制施工圖預(yù)算和施工預(yù)算，以便為施工作業(yè)計(jì)劃的編制、施工任務(wù)單和限額領(lǐng)料單的簽發(fā)提供依據(jù)。物質(zhì)條件準(zhǔn)備：（1）施工材料的準(zhǔn)備根據(jù)施工組織設(shè)計(jì)中的施工進(jìn)度計(jì)劃和施工預(yù)算中的工料分析，編制工程所需的材料用量計(jì)劃，作好備料、供料工作和確定倉庫、堆放面積及組織運(yùn)輸?shù)囊罁?jù)。根據(jù)材料需用量計(jì)劃，做好材料的申請、訂貨和采購工作，使計(jì)劃得到落實(shí)。組織材料按計(jì)劃進(jìn)場，并作好保管工作。（2）配件的加工訂貨準(zhǔn)備根據(jù)施工

59、進(jìn)度計(jì)劃及施工預(yù)算所提供的各種構(gòu)配件數(shù)量，做好加工工作，并編制相應(yīng)的需用量計(jì)劃。組織配件按計(jì)劃進(jìn)場，按施工平面布置圖作好存放和保管工作。（3）施工機(jī)械準(zhǔn)備根據(jù)施工組織設(shè)計(jì)中確定的施工方法、施工機(jī)具、設(shè)備的要求和數(shù)量以及施工進(jìn)度的安排，編制施工機(jī)具設(shè)備需用量計(jì)劃，組織施工機(jī)具設(shè)備需用量計(jì)劃的落實(shí)，確保按期進(jìn)場?，F(xiàn)場準(zhǔn)備：（1）組織機(jī)械設(shè)備進(jìn)場根據(jù)施工機(jī)具的需用量計(jì)劃，按施工平面布置圖的要求，組織施工機(jī)械設(shè)備進(jìn)場，機(jī)械設(shè)備進(jìn)場后按規(guī)定地點(diǎn)和方式布置，并進(jìn)行相應(yīng)的保養(yǎng)和試運(yùn)轉(zhuǎn)等項(xiàng)工作。（2）組織安裝材料和構(gòu)配件的進(jìn)場根據(jù)安裝材料、構(gòu)配件的需用量計(jì)劃組織其進(jìn)場，按規(guī)定地點(diǎn)和方式存放堆放，并做好組織和保

60、護(hù)措施。施工隊(duì)伍的準(zhǔn)備：根據(jù)確定的現(xiàn)場管理機(jī)構(gòu)建立項(xiàng)目管理層，并選擇高素質(zhì)的施工作業(yè)隊(duì)伍進(jìn)行該工程的施工。（1）建立項(xiàng)目部施工組織的領(lǐng)導(dǎo)機(jī)構(gòu)。施工組織機(jī)構(gòu)的建立應(yīng)遵循以下的原則：根據(jù)工程的規(guī)模、結(jié)構(gòu)特點(diǎn)和復(fù)雜程度，確定勞動組織的領(lǐng)導(dǎo)機(jī)構(gòu)名額和人選；堅(jiān)持合理分工及密切協(xié)作相結(jié)合的原則；把有施工經(jīng)驗(yàn)、有創(chuàng)新精神、工作效率高的人選入領(lǐng)導(dǎo)機(jī)構(gòu)；認(rèn)真招待因事設(shè)職、因職選人的原則。（2）建立精干的施工隊(duì)組。施工隊(duì)組的建立，要認(rèn)真考慮專業(yè)工種的合理配合，技工和普工的比例要滿足合理的勞動組織要求。按組織施工方式的要求，確定建立混合施工隊(duì)組及其數(shù)量。（3）根據(jù)該工程的特點(diǎn)和施工進(jìn)度計(jì)劃的要求，確定各施工階段的勞