《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用實(shí)例》課件項(xiàng)目十

項(xiàng)目10設(shè)計(jì)小型企業(yè)網(wǎng)絡(luò)任務(wù)10.1某學(xué)校校園網(wǎng)需求分析任務(wù)10.2方案設(shè)計(jì)任務(wù)10.3網(wǎng)絡(luò)產(chǎn)品選型任務(wù)10.4網(wǎng)絡(luò)安全設(shè)計(jì)任務(wù)10.5網(wǎng)絡(luò)規(guī)劃及相關(guān)建議

任務(wù)10.1某學(xué)校校園網(wǎng)需求分析

知識(shí)要點(diǎn)

(1)需求調(diào)查的內(nèi)容：①網(wǎng)絡(luò)用戶(hù)調(diào)查，就是與未來(lái)的有代表性的直接用戶(hù)進(jìn)行交流，獲得用戶(hù)的需求信息；②所建網(wǎng)絡(luò)要達(dá)到的目標(biāo)；③工程預(yù)算。

(2)接入層。各樓層信息點(diǎn)或終端設(shè)備與各接入交換機(jī)的連接構(gòu)成網(wǎng)絡(luò)結(jié)構(gòu)的接入層。

(3)匯聚層。通過(guò)與各接入層交換機(jī)互聯(lián)，并作為各個(gè)信息點(diǎn)的網(wǎng)關(guān)，實(shí)現(xiàn)各個(gè)網(wǎng)段間的網(wǎng)絡(luò)通信，構(gòu)成網(wǎng)絡(luò)的匯聚層。

(4)核心層。各匯聚層交換機(jī)通過(guò)其上連的光纖端口(或網(wǎng)線(xiàn)端口)連接至核心交換機(jī)，核心交換機(jī)之間可進(jìn)行鏈路聚合技術(shù)擴(kuò)展交互帶寬，同時(shí)核心交換需連接核心出口路由器(或防火墻)，從而構(gòu)成網(wǎng)絡(luò)的核心層。技能要點(diǎn)

(1)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)：主要包括局域網(wǎng)結(jié)構(gòu)中的數(shù)據(jù)鏈路層設(shè)備互聯(lián)方式、廣域網(wǎng)結(jié)構(gòu)中的網(wǎng)絡(luò)層設(shè)備互聯(lián)方式等。

(2)物理層技術(shù)選擇：主要包括纜線(xiàn)類(lèi)型、網(wǎng)卡的選用。

(3)局域網(wǎng)技術(shù)選擇與應(yīng)用：主要考慮STP、VLAN、鏈路聚合技術(shù)、冗余網(wǎng)關(guān)協(xié)議、線(xiàn)路冗余與負(fù)載均衡、服務(wù)器冗余與負(fù)載均衡等。

(4)廣域網(wǎng)技術(shù)選擇與應(yīng)用：根據(jù)實(shí)際應(yīng)用情況，目前廣域網(wǎng)中主要的相關(guān)應(yīng)用技術(shù)，主要包括PSTN、xDSL、SDH、WDM、MSTP、MPLS_VPN等。

(5)地址設(shè)計(jì)和命名模型：主要明確的內(nèi)容有是否需要公網(wǎng)IP地址、私有IP地址、公網(wǎng)IP地址如何翻譯、VLSM的設(shè)計(jì)、CIDR的設(shè)計(jì)、DNS的命名設(shè)計(jì)等。

(6)路由選擇協(xié)議：主要考慮因素有動(dòng)態(tài)路由的協(xié)議類(lèi)型、度量權(quán)值排序等；靜態(tài)路由選擇協(xié)議；內(nèi)部與外部路由選擇協(xié)議分類(lèi)與無(wú)分類(lèi)路由選擇協(xié)議等。

(7)網(wǎng)絡(luò)管理：主要包括行政管理和技術(shù)管理。

(8)網(wǎng)絡(luò)安全：主要工作內(nèi)容有機(jī)房及物理線(xiàn)路安全、網(wǎng)絡(luò)安全(如安全域劃分、路由交換安全策略等)、系統(tǒng)安全(如身份認(rèn)證、桌面安全管理、系統(tǒng)監(jiān)控與審計(jì)等)、數(shù)據(jù)容災(zāi)與恢復(fù)、安全運(yùn)行維護(hù)服務(wù)體系(如應(yīng)及預(yù)案的制定等)、安全管理體系(如建立安全組織機(jī)構(gòu)等)。實(shí)現(xiàn)任務(wù)的方法及步驟

1．需求分析概述

網(wǎng)絡(luò)設(shè)備應(yīng)能實(shí)現(xiàn)對(duì)所有接入端口的管理；核心交換設(shè)備原則上應(yīng)能保持不間斷運(yùn)行并留有足夠的擴(kuò)展空間；匯聚層采用支持高帶寬的交換機(jī)，以便未來(lái)進(jìn)行平滑無(wú)縫的擴(kuò)展和升級(jí)；關(guān)鍵交換設(shè)備要考慮未來(lái)5年的適用性；網(wǎng)絡(luò)設(shè)備的可靠性、安全能力、延續(xù)性、售后服務(wù)保障須作為重點(diǎn)指標(biāo)加以考慮；選型設(shè)備應(yīng)采用在同等規(guī)模網(wǎng)絡(luò)已穩(wěn)定運(yùn)行的成熟案例。

2．?dāng)?shù)字校園建設(shè)應(yīng)用現(xiàn)狀

2009年遷址后，某學(xué)校將成為一所現(xiàn)代化寄宿制職業(yè)技術(shù)學(xué)校，市、校領(lǐng)導(dǎo)和各級(jí)部門(mén)對(duì)數(shù)字校園建設(shè)高度重視，在政策和投資上也給予了極大的關(guān)注和支持，教育現(xiàn)代化建設(shè)開(kāi)始進(jìn)入一個(gè)快速發(fā)展的階段。校園建設(shè)將要實(shí)現(xiàn)為全校所有教室全部配備多媒體投影設(shè)備；為全校所有一線(xiàn)任課教師配置筆記本電腦；校園內(nèi)教學(xué)樓、圖書(shū)館、辦公樓、電教樓的主干網(wǎng)絡(luò)連接、主服務(wù)器連接以及核心交換全面實(shí)現(xiàn)千兆連接和交換；辦公區(qū)域上網(wǎng)全面實(shí)現(xiàn)無(wú)線(xiàn)覆蓋。

學(xué)校加強(qiáng)了信息化、無(wú)紙化管理，每個(gè)教研組及部門(mén)均有自己獨(dú)立的FTP空間供教師和學(xué)生上傳及下載教案，為廣大教職工和學(xué)生提供了豐富的Internet服務(wù)和網(wǎng)絡(luò)應(yīng)用資源。學(xué)校網(wǎng)絡(luò)建設(shè)的目標(biāo)是：

(1)充分實(shí)現(xiàn)資源共享。能夠根據(jù)教育、教學(xué)、科研、管理的需要，收集、制作及開(kāi)發(fā)不同類(lèi)型的媒體素材和多媒體教材，存入多媒體教學(xué)信息庫(kù)的網(wǎng)絡(luò)存儲(chǔ)設(shè)備中。這些信息可以隨時(shí)提供給系統(tǒng)的多個(gè)工作站和用戶(hù)終端，實(shí)現(xiàn)教育信息傳遞、處理、分析、查詢(xún)的自動(dòng)化。

(2)為教育和管理提供支持。學(xué)校可以為教育人員、各個(gè)學(xué)科教師的科研工作提供國(guó)內(nèi)外有關(guān)的各種類(lèi)型的多媒體資料和學(xué)術(shù)前沿動(dòng)態(tài)信息，供教師和科研人員在進(jìn)行科學(xué)研究時(shí)參考選用。同時(shí)，網(wǎng)絡(luò)系統(tǒng)還可為學(xué)校的管理提供有力的支持，實(shí)現(xiàn)了視頻會(huì)議、遠(yuǎn)程互動(dòng)教學(xué)和課件點(diǎn)播。

(3)為教師備課提供環(huán)境。教師在教學(xué)準(zhǔn)備過(guò)程中可以通過(guò)網(wǎng)絡(luò)中的任一臺(tái)多媒體工作站或用戶(hù)終端機(jī)，在網(wǎng)上搜集有關(guān)文、圖、聲、像資料，進(jìn)行備課和制作多媒體教材；并可隨時(shí)存入多媒體教學(xué)信息庫(kù)，以供教學(xué)使用；教師、學(xué)生也可隨時(shí)獲取各種信息資源，實(shí)現(xiàn)信息傳輸?shù)碾p向性。

(4)為多媒體教學(xué)提供條件。設(shè)置教室里的多媒體工作站和用戶(hù)終端機(jī)，可為開(kāi)展多媒體課堂教學(xué)提供條件，教師可以通過(guò)網(wǎng)絡(luò)選用合適的多媒體素材來(lái)配合講解。

(5)為學(xué)生自學(xué)和提高提供方便。學(xué)生可利用交互式的多媒體教學(xué)工作站和用戶(hù)終端機(jī)，不僅可以進(jìn)行查詢(xún)、補(bǔ)課、自學(xué)、復(fù)習(xí)，而且還可以利用各個(gè)學(xué)科專(zhuān)用軟件配上相應(yīng)的設(shè)備開(kāi)展小組教學(xué)，進(jìn)行教學(xué)模擬仿真訓(xùn)練。這些模擬訓(xùn)練環(huán)境逼真、交互性強(qiáng)，可以提高學(xué)生分析問(wèn)題和解決問(wèn)題的能力。

3．校園網(wǎng)網(wǎng)絡(luò)設(shè)施需求

1)校園網(wǎng)的特點(diǎn)

(1)高速的局域網(wǎng)連接。校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含了大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項(xiàng)基本要求。

(2)信息結(jié)構(gòu)多樣化。校園網(wǎng)應(yīng)用分為電子教學(xué)(多媒體教室、電子圖書(shū)館等)、辦公管理和遠(yuǎn)程通信(遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入)三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息；辦公管理以數(shù)據(jù)庫(kù)為主；遠(yuǎn)程通信則多為WWW方式，因此數(shù)據(jù)成分復(fù)雜，不同類(lèi)型數(shù)據(jù)對(duì)網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求。

(3)安全可靠。校園網(wǎng)中同樣有大量關(guān)于教學(xué)和檔案管理的重要數(shù)據(jù)，無(wú)論是被損壞、丟失還是被竊取，都將帶來(lái)極大的損失。

2)校園網(wǎng)的建設(shè)原則

為保障學(xué)校新校區(qū)校園網(wǎng)項(xiàng)目的安全性、可靠性、實(shí)用性，在網(wǎng)絡(luò)方案設(shè)計(jì)上應(yīng)把握以下原則：

(1)先進(jìn)性原則。各類(lèi)網(wǎng)絡(luò)設(shè)備產(chǎn)品要選用業(yè)界領(lǐng)先、支持相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)家標(biāo)準(zhǔn)、在一定時(shí)期內(nèi)可持續(xù)延伸發(fā)展的主流設(shè)備和產(chǎn)品，確保建成的網(wǎng)絡(luò)系統(tǒng)有較強(qiáng)的生命周期。

(2)可靠性原則。選用較為穩(wěn)定、成熟、應(yīng)用廣泛、兼容性強(qiáng)的網(wǎng)絡(luò)設(shè)備和應(yīng)用技術(shù)等，確保網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性、可靠性。

(3)可管理性原則。選用與設(shè)備配套的專(zhuān)門(mén)管理工具，實(shí)現(xiàn)對(duì)各類(lèi)設(shè)備、節(jié)點(diǎn)、通信、信息資源等相關(guān)產(chǎn)品進(jìn)行有效的控制、配置和管理，確保網(wǎng)絡(luò)系統(tǒng)的有序運(yùn)行。

(4)開(kāi)放性原則。系統(tǒng)的開(kāi)放性體現(xiàn)在通信系統(tǒng)的可互聯(lián)性及與國(guó)際標(biāo)準(zhǔn)的相容。所建網(wǎng)絡(luò)系統(tǒng)應(yīng)擁有良好的兼容性，確保網(wǎng)絡(luò)系統(tǒng)間的可連接性、可移植性。

(5)安全性原則。網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，按照“同步規(guī)劃、分步實(shí)施”的要求做好網(wǎng)絡(luò)系統(tǒng)的建設(shè)和管理工作。逐步通過(guò)網(wǎng)絡(luò)安全設(shè)備、產(chǎn)品的選用和日常管理，確保對(duì)網(wǎng)絡(luò)資源以及對(duì)網(wǎng)絡(luò)設(shè)備本身的訪(fǎng)問(wèn)實(shí)現(xiàn)有效的安全控制。

(6)經(jīng)濟(jì)性原則。采用最優(yōu)性能價(jià)格比的各類(lèi)硬件設(shè)備，盡量降低系統(tǒng)投資，完善系統(tǒng)功能，提高系統(tǒng)檔次，并充分有效利用現(xiàn)有設(shè)備，最大限度地保護(hù)前期投資。

(7)實(shí)用性原則。系統(tǒng)建設(shè)選用成熟的技術(shù)和設(shè)備，要適合教育行業(yè)用戶(hù)的特點(diǎn)，并具有實(shí)際應(yīng)用價(jià)值。系統(tǒng)以滿(mǎn)足當(dāng)前需求為主，同時(shí)兼顧與原有系統(tǒng)的兼容性和長(zhǎng)遠(yuǎn)發(fā)展的擴(kuò)充。

(8)可拓展性原則。系統(tǒng)建設(shè)要有一定的冗余，主要設(shè)備在滿(mǎn)足當(dāng)前需求的同時(shí)，要預(yù)留一定的接口和空間，以便今后實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的升級(jí)和擴(kuò)容，保護(hù)原有投資，避免重復(fù)投資。

4．網(wǎng)絡(luò)應(yīng)用流量及帶寬需求分析

依據(jù)該學(xué)校校園網(wǎng)的各項(xiàng)應(yīng)用，其流量需求分析如下表10.1-1所示。

表10.1-1流量需求分析為保證機(jī)房、語(yǔ)音室、電子閱覽室500臺(tái)主機(jī)開(kāi)課(以使用視頻課件來(lái)計(jì)算)的應(yīng)用順暢，其主干網(wǎng)帶寬需求為

500×(1.5M～6M)=750M～3000M

任務(wù)10.2方案設(shè)計(jì)

實(shí)現(xiàn)任務(wù)的方法及步驟

1．網(wǎng)絡(luò)設(shè)計(jì)原則

學(xué)校網(wǎng)絡(luò)要為廣大師生提供互聯(lián)網(wǎng)訪(fǎng)問(wèn)、數(shù)字視頻應(yīng)用、課件點(diǎn)播、遠(yuǎn)程教學(xué)等支持，不僅要滿(mǎn)足通常的業(yè)務(wù)需求，還必須符合大量視頻服務(wù)的基本條件。因此，在系統(tǒng)方案的形成過(guò)程中，必須特別關(guān)注教育網(wǎng)同城域網(wǎng)絡(luò)相似的一些重要特征，這也正是總體方案的設(shè)計(jì)原則?？傮w設(shè)計(jì)原則包括：組播支持能力、可管理性、靈活性、擴(kuò)充性、可靠性，這五個(gè)原則從本質(zhì)上決定了學(xué)校網(wǎng)絡(luò)未來(lái)作為一個(gè)校園網(wǎng)絡(luò)的可靠運(yùn)行能力和平均維護(hù)成本(或者間接投資成本)的關(guān)系，如圖10.2-1所示。圖10.2-1良好運(yùn)行能力和平均維護(hù)成本的關(guān)系在學(xué)校網(wǎng)絡(luò)系統(tǒng)要求中，考慮建立一個(gè)不只是數(shù)據(jù)，而且要為視頻、音頻等多媒體傳輸?shù)母咚倬W(wǎng)絡(luò)通信平臺(tái)。

通過(guò)上述分析，學(xué)校網(wǎng)絡(luò)規(guī)劃的技術(shù)條件如下：

(1)可靠的高速主干；

(2)有效的VLAN劃分和管理手段；

(3)強(qiáng)大的支持組播能力阻止帶寬浪費(fèi)；

(4)對(duì)多媒體數(shù)據(jù)支持的能力，強(qiáng)大的QoS功能；

(5)系統(tǒng)整體的安全性；

(6)采用成熟可靠的產(chǎn)品。

2．網(wǎng)絡(luò)技術(shù)選擇

1)千兆以太網(wǎng)技術(shù)

通過(guò)對(duì)學(xué)校網(wǎng)絡(luò)應(yīng)用分析，在學(xué)校建設(shè)中必須考慮采用千兆以太網(wǎng)技術(shù)。千兆以太網(wǎng)集價(jià)格低廉、聯(lián)網(wǎng)簡(jiǎn)單、可擴(kuò)容和管理簡(jiǎn)單等優(yōu)勢(shì)于一身。三層的交換應(yīng)用使得新的事務(wù)處理，視頻、音頻等不同類(lèi)型的應(yīng)用匯聚在一個(gè)骨干網(wǎng)絡(luò)中。

該學(xué)校校園網(wǎng)絡(luò)作為一個(gè)新建的大型的校園網(wǎng)絡(luò)，要考慮未來(lái)升級(jí)到萬(wàn)兆的可行性。

2)星型拓?fù)浣Y(jié)構(gòu)

根據(jù)學(xué)校的實(shí)際情況，采用星型拓?fù)浣Y(jié)構(gòu)。星型拓?fù)浣Y(jié)構(gòu)有以下優(yōu)勢(shì)：

(1)用戶(hù)端直接訪(fǎng)問(wèn)中心，減少了中間延遲和故障點(diǎn)；

(2)利于維護(hù)和故障排除；

(3)可快速擴(kuò)展。

3)三層架構(gòu)設(shè)計(jì)

在學(xué)校校園網(wǎng)中整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)采用三層架構(gòu)：核心層、匯聚層和接入層。

核心層是學(xué)校網(wǎng)絡(luò)的骨干，在該層對(duì)密集的數(shù)據(jù)包進(jìn)行處理，并提供訪(fǎng)問(wèn)互聯(lián)網(wǎng)的策略，如NAT轉(zhuǎn)發(fā)、VPN接入、端口映射等，做到交換數(shù)據(jù)，高性能的核心交換將會(huì)大大增加整個(gè)學(xué)校的網(wǎng)絡(luò)性能。核心層主要提供下列功能：

(1)全線(xiàn)速、無(wú)阻塞的數(shù)據(jù)處理能力；

(2)?VLAN的聚合和VLAN路由；

(3)介質(zhì)轉(zhuǎn)換；

(4)安全性管理；

(5)提供到廣域網(wǎng)的訪(fǎng)問(wèn)；

(6)提供對(duì)服務(wù)器的訪(fǎng)問(wèn)。匯聚層的功能主要是連接接入層節(jié)點(diǎn)和核心層中心。匯聚層設(shè)計(jì)為連接本地的邏輯中心，應(yīng)具備千兆光口上聯(lián)和千兆電口下聯(lián)端口，并保證所有端口均達(dá)到全線(xiàn)速交換。匯聚層的主要準(zhǔn)則是提供較高的性能和比較豐富的功能。

接入層應(yīng)保證最終用戶(hù)接入網(wǎng)絡(luò)，提供更豐富的功能，并保證所有端口均達(dá)到全線(xiàn)速交換。接入層的主要準(zhǔn)則是通過(guò)低成本、高端口密度的設(shè)備提供這些功能。

3．網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)

根據(jù)以上分析，網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)如圖10.2-2所示。

(1)按照核心、匯聚和接入三個(gè)層次對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行設(shè)計(jì)。其中，核心交換機(jī)位于校園中心機(jī)房?jī)?nèi)，作為全網(wǎng)核心，采用千兆主干，推薦采用端口聚合技術(shù)保證帶寬。

(2)核心層采用高端路由交換機(jī)7608雙棧雙引擎，保障骨干高可靠；配置萬(wàn)兆模塊，實(shí)現(xiàn)主干萬(wàn)兆，充分保證網(wǎng)絡(luò)的先進(jìn)性。

(3)安全運(yùn)行維護(hù)方面配置內(nèi)網(wǎng)安全管理系統(tǒng)，實(shí)現(xiàn)終端補(bǔ)丁分發(fā)等安全管理功能；配置統(tǒng)一網(wǎng)管系統(tǒng)，實(shí)現(xiàn)主機(jī)、網(wǎng)元、安全設(shè)備、無(wú)線(xiàn)設(shè)備等統(tǒng)一管理；配置IDS入侵檢測(cè)設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊實(shí)時(shí)監(jiān)控；配置DCBI-3000W認(rèn)證計(jì)費(fèi)系統(tǒng)，實(shí)現(xiàn)接入用戶(hù)的身份認(rèn)證及計(jì)費(fèi)；配置無(wú)線(xiàn)控制器，實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)的統(tǒng)一調(diào)度，輻射區(qū)域無(wú)縫連接；配置NET-LOG上網(wǎng)行為監(jiān)控系統(tǒng)，記錄上網(wǎng)行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為的監(jiān)控，做到對(duì)突發(fā)事件有據(jù)可循；配置無(wú)線(xiàn)控制器，實(shí)現(xiàn)各AP輻射區(qū)域間的無(wú)縫過(guò)渡。

(4)服務(wù)器區(qū)配置千兆高性能防火墻，實(shí)現(xiàn)服務(wù)器區(qū)的安全訪(fǎng)問(wèn)。

(5)出口配置千兆高性能防火墻，實(shí)現(xiàn)多鏈路接入、網(wǎng)絡(luò)安全以及VPN連接等多重安全防護(hù)；配置流量整形網(wǎng)管DCFS-2000，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各種流量進(jìn)行管理、控制。

(6)實(shí)訓(xùn)教室配置中端路由交換機(jī)6804，充分保證實(shí)訓(xùn)教學(xué)時(shí)的帶寬需求。

(7)接入交換機(jī)配置4500系列交換機(jī)，實(shí)現(xiàn)千兆到桌面。圖10.2-2學(xué)校校園網(wǎng)規(guī)劃拓?fù)?/p>

任務(wù)10.3網(wǎng)絡(luò)產(chǎn)品選型

實(shí)現(xiàn)任務(wù)的方法及步驟

1．核心交換機(jī)選型

網(wǎng)絡(luò)中心節(jié)點(diǎn)作為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線(xiàn)速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時(shí)，對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外，作為整個(gè)網(wǎng)絡(luò)的交換中心，在保證高性能、無(wú)阻塞交換的同時(shí)，還必須保證穩(wěn)定可靠的運(yùn)行。同時(shí)，骨干交換機(jī)的功能還應(yīng)具有較強(qiáng)的擴(kuò)展性，目前網(wǎng)絡(luò)正處在IPv4向IPv6的過(guò)渡期，核心設(shè)備必須在一定程度上支持IPv6，同時(shí)滿(mǎn)足其他功能的擴(kuò)展。因此，在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。具體來(lái)說(shuō)，核心節(jié)點(diǎn)的交換機(jī)有兩個(gè)基本要求：

(1)高密度端口情況下，還能保持各端口的線(xiàn)速轉(zhuǎn)發(fā)；

(2)關(guān)鍵模塊必須冗余，如管理引擎、電源、風(fēng)扇。

由于校園網(wǎng)建設(shè)最終必將采用萬(wàn)兆技術(shù)，因此需要考慮到核心設(shè)備對(duì)萬(wàn)兆的支持能力。

綜上所述，骨干核心交換機(jī)屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機(jī)采用神州數(shù)碼網(wǎng)絡(luò)DCRS-7608萬(wàn)兆交換機(jī)；同時(shí)，為提高網(wǎng)絡(luò)的可靠性和穩(wěn)定性，配置兩臺(tái)核心交換機(jī)，實(shí)現(xiàn)雙機(jī)熱備份，保證核心層的可靠穩(wěn)定運(yùn)行。

DCRS-7608是全模塊化、高密度端口的萬(wàn)兆IPv6核心路由交換機(jī)，該交換機(jī)可以根據(jù)用戶(hù)的需求靈活配置，靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。DCRS-7608交換機(jī)高達(dá)2.4T的背板帶寬和952?Mb/s的數(shù)據(jù)包轉(zhuǎn)發(fā)速率可為用戶(hù)提供高速無(wú)阻塞的交換。強(qiáng)大的交換路由功能、安全智能技術(shù)可同神州數(shù)碼各系列交換機(jī)配合，為用戶(hù)提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機(jī)的理想選擇。

2．匯聚交換機(jī)選型

樓宇匯聚交換機(jī)需要與核心交換機(jī)實(shí)現(xiàn)萬(wàn)兆互聯(lián)(教學(xué)樓、辦公樓等兩幢樓宇)、與樓層接入交換機(jī)實(shí)現(xiàn)千兆互聯(lián)，也就意味著樓宇匯聚交換機(jī)必須支持萬(wàn)兆擴(kuò)展能力，并同時(shí)具備較高的千兆端口密度，同時(shí)還需要與核心交換機(jī)之間實(shí)現(xiàn)兩條鏈路連接，形成冗余的聚合鏈路。所以，樓宇匯聚層節(jié)點(diǎn)必須提供全千兆線(xiàn)速三層數(shù)據(jù)交換，以保證接入節(jié)點(diǎn)和核心節(jié)點(diǎn)數(shù)據(jù)交換的暢通無(wú)阻，同時(shí)當(dāng)網(wǎng)絡(luò)流量較大時(shí)，能夠?qū)﹃P(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。綜上所述，樓宇匯聚交換機(jī)采用神州數(shù)碼網(wǎng)絡(luò)DCRS-5950-28T，該交換機(jī)是一款線(xiàn)速萬(wàn)兆IPv6路由交換機(jī)，提供20端口千兆電接口、4端口千兆Combo(SFP/GT)接口、2個(gè)萬(wàn)兆擴(kuò)展插槽以及2端口萬(wàn)兆堆疊接口。

DCRS-5950-28T支持硬件2～4層的多層IPv6線(xiàn)速交換，并提供2～7層的基于IPv6的智能流分類(lèi)、完善的服務(wù)質(zhì)量(QoS)以及組播管理特性；同時(shí)支持完善的高性能路由協(xié)議，包括靜態(tài)路由、RIPⅠ/Ⅱ、RIPng、IGMP、MLD等，并可以實(shí)施靈活多樣的ACL訪(fǎng)問(wèn)控制策略。DCRS-5950-28T提供線(xiàn)速多層交換、完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿(mǎn)足高速、安全、智能的校園網(wǎng)新需求。

3．接入交換機(jī)選型

對(duì)于樓宇接入節(jié)點(diǎn)的交換機(jī)，必須考慮到安全接入控制、QOS服務(wù)質(zhì)量保證、組播支持等技術(shù)。結(jié)合該學(xué)校網(wǎng)絡(luò)的實(shí)際情況，針對(duì)“千兆接入到桌面”的需求，建議配置神州數(shù)碼網(wǎng)絡(luò)DCS-4500-24T，針對(duì)百兆接入到桌面的需求，建議配置DCS-3950-26C。

DCS-4500-26/50T提供26/50端口千兆電接口、4口千兆SFP(Combo)接口，并具備所有端口全千兆線(xiàn)速交換能力，滿(mǎn)足該學(xué)校“千兆接入到桌面”的高速數(shù)據(jù)交換需求，保證教學(xué)和科研的正常開(kāi)展。

DCS-3950-26C提供24端口百兆電接口、2端口千兆Combo(SFP/GT)接口，并具備所有端口全線(xiàn)速交換能力，滿(mǎn)足該學(xué)校“千兆接入到桌面”的高速數(shù)據(jù)交換需求，保證教學(xué)和科研的正常開(kāi)展。

4．網(wǎng)絡(luò)產(chǎn)品選型結(jié)論

綜上所述，該學(xué)校的網(wǎng)絡(luò)系統(tǒng)選型結(jié)果如下：

核心交換機(jī)：DCRS-7608；

匯聚交換機(jī)：DCRS-5950-28T；

接入交換機(jī)：DCS-4500-26/50T、DCS-3950-26C；

防火墻：DCFW-1800E-2G；

認(rèn)證計(jì)費(fèi)系統(tǒng)：DCBI-3000(EN)；

流量整形網(wǎng)關(guān)：DCFS-2000(V2)；

上網(wǎng)行為監(jiān)控系統(tǒng)：DCBI-NetLog(2000)；

無(wú)線(xiàn)設(shè)備：DCWL-ZD-1025、DCWL-ZF-2942AP。

任務(wù)10.4網(wǎng)絡(luò)安全設(shè)計(jì)

實(shí)現(xiàn)任務(wù)的方法及步驟

1．保障網(wǎng)絡(luò)設(shè)備的安全

現(xiàn)在網(wǎng)絡(luò)產(chǎn)品一般都具有兩層不同級(jí)別的密碼保護(hù)，用戶(hù)還可以根據(jù)需要制定更多層的安全級(jí)別，以保護(hù)網(wǎng)絡(luò)設(shè)備自身的安全性。通過(guò)指定哪種類(lèi)型的用戶(hù)，可以獲得何種級(jí)別的權(quán)限，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行哪些方面的修改，最大程度地保護(hù)設(shè)備的安全。用戶(hù)通過(guò)Console口直接連接到網(wǎng)絡(luò)設(shè)備，或者通過(guò)遠(yuǎn)程Telnet到網(wǎng)絡(luò)，都可以對(duì)其進(jìn)行配置。在兩種訪(fǎng)問(wèn)途徑上都增加密碼保護(hù)，為其設(shè)置密碼，這樣即使某用戶(hù)能夠從Telnet，甚至從物理上直接通過(guò)Console口連接到網(wǎng)絡(luò)設(shè)備，但如果沒(méi)有得到授權(quán)，仍然無(wú)法到配置模式當(dāng)中。

網(wǎng)管人員在網(wǎng)絡(luò)設(shè)備上正確的設(shè)置包括EnablePassword、TelnetPassword、ConsolePassword在內(nèi)的各級(jí)別密碼，并且妥善保存及定期的更新。

2．劃分基于應(yīng)用的VLAN

VLAN技術(shù)能夠?qū)⒁唤M用戶(hù)歸入到一個(gè)廣播域當(dāng)中，缺省情況下不同VLAN之間的用戶(hù)是不能互相訪(fǎng)問(wèn)的，故能夠在第二層上保證數(shù)據(jù)的安全性。由于職能的差異，不同類(lèi)別用戶(hù)的數(shù)據(jù)必然是不能共享的，我們可以將它們劃分到不同的VLAN當(dāng)中，這樣就不會(huì)造成數(shù)據(jù)的錯(cuò)誤傳播以及不必要的數(shù)據(jù)泄漏。

在學(xué)校局域網(wǎng)當(dāng)中，VLAN的劃分應(yīng)該能夠統(tǒng)一進(jìn)行，各節(jié)點(diǎn)的相同職能部門(mén)或者相同的應(yīng)用劃分到同一個(gè)VLAN當(dāng)中。這樣既方便數(shù)據(jù)的共享，也有利于數(shù)據(jù)的安全，而且由于在同一VLAN內(nèi)部的數(shù)據(jù)訪(fǎng)問(wèn)屬于第二層，無(wú)需經(jīng)過(guò)三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，可以減輕三層交換機(jī)的負(fù)擔(dān)。根據(jù)學(xué)校需求，VLAN將按照下述八個(gè)應(yīng)用類(lèi)型進(jìn)行劃分：

(1)教師辦公網(wǎng)段，在每個(gè)數(shù)字教室前端提供教師筆記本接入，各辦公室為每位教師提供一個(gè)100?M桌面接口；

(2)機(jī)要辦公室網(wǎng)段；

(3)服務(wù)器安全區(qū)網(wǎng)段；

(4)學(xué)生機(jī)房、電子閱覽室專(zhuān)用網(wǎng)段；

(5)數(shù)字視頻采集網(wǎng)段；

(6)數(shù)字視頻廣播專(zhuān)用網(wǎng)段；

(7)無(wú)線(xiàn)接入點(diǎn)匯聚網(wǎng)段；

(8)校園信息綜合管理系統(tǒng)網(wǎng)段。

3．在交換機(jī)上進(jìn)行訪(fǎng)問(wèn)控制

利用路由器、三層交換機(jī)、智能型交換機(jī)上的ACL(訪(fǎng)問(wèn)控制)功能，保護(hù)那些安全性較高的主機(jī)、服務(wù)器以及特定的服務(wù)。ACLs是手工配置在路由器、三層交換機(jī)、智能型交換機(jī)上面的一組判定條件，對(duì)于滿(mǎn)足條件的數(shù)據(jù)包，將進(jìn)行“通過(guò)”或者“丟棄”的處理。ACLs的主要作用有：

(1)實(shí)行對(duì)網(wǎng)段和主機(jī)的訪(fǎng)問(wèn)控制。通過(guò)在三層交換機(jī)、智能型交換機(jī)上設(shè)置ACLs，辦公室的用戶(hù)可以訪(fǎng)問(wèn)Web服務(wù)器所在的網(wǎng)段；但是拒絕這些用戶(hù)對(duì)財(cái)務(wù)網(wǎng)段的訪(fǎng)問(wèn)。

ACLs是交換機(jī)在安全方面的重要工具和功能，可以對(duì)不同的端口進(jìn)行不同的訪(fǎng)問(wèn)控制，同時(shí)還可以對(duì)不同應(yīng)用使用不同的TCP端口進(jìn)行分類(lèi)控制。

(2)實(shí)行對(duì)網(wǎng)絡(luò)應(yīng)用的安全控制。在同一臺(tái)管理信息系統(tǒng)主機(jī)上，同時(shí)運(yùn)行電子郵件和WWW應(yīng)用，通過(guò)在網(wǎng)絡(luò)設(shè)備上設(shè)置ACLs，可以控制用戶(hù)只能訪(fǎng)問(wèn)電子郵件應(yīng)用，而拒絕訪(fǎng)問(wèn)WWW應(yīng)用。

在該學(xué)校校園網(wǎng)中，我們可以根據(jù)用戶(hù)的實(shí)際需要，制定不同的策略，在三層交換機(jī)上配置相應(yīng)的ACLs。由于配置了ACLs以后，每一個(gè)到達(dá)交換機(jī)的數(shù)據(jù)包都必須與每一條判定條件進(jìn)行比較，這會(huì)消耗一定的CPU時(shí)間，影響設(shè)備的性能。所以一般建議不要在數(shù)據(jù)流量大或處于網(wǎng)絡(luò)核心的節(jié)點(diǎn)上配置ACLs。在校園網(wǎng)當(dāng)中，我們建議在網(wǎng)絡(luò)的核心節(jié)點(diǎn)交換機(jī)上少做ACLs的配置，配置ACLs盡量在匯聚交換機(jī)及接入交換機(jī)上進(jìn)行。這樣既保證了網(wǎng)絡(luò)的安全性，也不會(huì)影響核心交換的性能。

4．防網(wǎng)絡(luò)攻擊

防火墻可以實(shí)現(xiàn)安全策略的集中控制、隔離內(nèi)外網(wǎng)絡(luò)進(jìn)行地址轉(zhuǎn)換、記錄網(wǎng)絡(luò)上的非法活動(dòng)等強(qiáng)大的功能。充分利用學(xué)校原有的兩臺(tái)防火墻，進(jìn)行功能合理分配，并進(jìn)行優(yōu)化配置，從而有效防御各種網(wǎng)絡(luò)攻擊。

5．防病毒安全

隨著諸如沖擊波、各種蠕蟲(chóng)病毒的泛濫和快速傳播，病毒的安全威脅越來(lái)越復(fù)雜，進(jìn)化越來(lái)越快，如何面對(duì)這些威脅，對(duì)校園網(wǎng)的管理是很大的挑戰(zhàn)。

該學(xué)校已經(jīng)統(tǒng)一采購(gòu)防病毒軟件，我們將協(xié)助學(xué)校建立一個(gè)集中控管的防病毒系統(tǒng)，包括服務(wù)器、工作站及使用者群組，并能夠?qū)崿F(xiàn)集中管控，以簡(jiǎn)化防毒系統(tǒng)管理，并能夠更快地部署解毒方案。

任務(wù)10.5網(wǎng)絡(luò)協(xié)議及相關(guān)建議

實(shí)現(xiàn)任務(wù)的方法及步驟

1．IP地址規(guī)劃

IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃和實(shí)施。IP地址規(guī)劃的好壞，會(huì)影響到網(wǎng)絡(luò)路由協(xié)議算法的效率、網(wǎng)絡(luò)的性能、網(wǎng)絡(luò)的擴(kuò)展、網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。

IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿(mǎn)足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類(lèi)；減少路由器中路由表的長(zhǎng)度，并減少對(duì)路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。IP地址具體分配時(shí)要遵循以下原則：

(1)唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；

(2)簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單、易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表項(xiàng)；

(3)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中要易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率；

(4)可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址的連續(xù)性；

(5)靈活性：地址分配應(yīng)具有靈活性，以滿(mǎn)足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。

當(dāng)網(wǎng)絡(luò)以純私網(wǎng)地址分配或采用混合網(wǎng)絡(luò)地址接入時(shí)，網(wǎng)絡(luò)應(yīng)提供地址變換功能，過(guò)濾掉私網(wǎng)地址。

根據(jù)學(xué)校的實(shí)際情況，IP地址的具體規(guī)劃需參照學(xué)校信息主管部門(mén)的規(guī)范，若規(guī)范尚未制定，可靈活選擇IP地址。建議選用C類(lèi)私網(wǎng)(～55)地址，且OA網(wǎng)地址同Internet網(wǎng)地址空間不重合。具體的IP地址規(guī)劃內(nèi)容可在技術(shù)聯(lián)系會(huì)上確定，但應(yīng)遵循上述的原則。

2．路由策略

在不同的VLAN間要實(shí)現(xiàn)互通必須提供路由，路由的產(chǎn)生可以由管理員指定，也可以由路由器運(yùn)行動(dòng)態(tài)路由協(xié)議而產(chǎn)生。

由管理員指定的路由稱(chēng)為靜態(tài)路由，它是由管理員手工設(shè)置每一個(gè)路由器得到的，它的優(yōu)點(diǎn)是不占用網(wǎng)絡(luò)的資源，沒(méi)有路由更新信息所占用的網(wǎng)絡(luò)開(kāi)銷(xiāo)；缺點(diǎn)是網(wǎng)絡(luò)中的管理員要對(duì)每一條路由都有非常清晰的了解，當(dāng)一個(gè)網(wǎng)絡(luò)變得規(guī)模很大時(shí)，系統(tǒng)設(shè)置很困難。由路由器動(dòng)態(tài)產(chǎn)生的路由叫動(dòng)態(tài)路由，它是由路由器運(yùn)行一定的動(dòng)態(tài)路由協(xié)議，彼此通告路由信息，然后在此信息的基礎(chǔ)上產(chǎn)生各個(gè)路由器的路由表，常見(jiàn)的動(dòng)態(tài)路由協(xié)議有RIPv1/v2、IGRP、EIGRP、OSPF、IS-IS、BGP4等協(xié)議。

從上面介紹的動(dòng)態(tài)路由協(xié)議來(lái)看，該學(xué)校的骨干網(wǎng)絡(luò)應(yīng)采用RIP動(dòng)態(tài)路由協(xié)議，即兩臺(tái)核心交換機(jī)與八臺(tái)匯聚交換機(jī)之間互聯(lián)采用RIP動(dòng)態(tài)路由協(xié)議。RIP協(xié)議的優(yōu)點(diǎn)是路由的開(kāi)銷(xiāo)小、收斂速度快，協(xié)議是開(kāi)放的標(biāo)準(zhǔn)協(xié)議，并且能夠保證以后升級(jí)的兼容性。

方案中選擇的路由交換機(jī)均支持以上兩種路由協(xié)議，可滿(mǎn)足需求。

3．QoS設(shè)計(jì)

在多種業(yè)務(wù)并存且存在資源瓶頸的地方，都應(yīng)該考慮相應(yīng)的QoS保證機(jī)制，以確保時(shí)間敏感的、關(guān)鍵的業(yè)務(wù)報(bào)文能夠被及時(shí)、正確、有效的轉(zhuǎn)發(fā)。在設(shè)備解決方案中，所有設(shè)備都可以支持相應(yīng)的QoS/COS策略，核心路由交換機(jī)DCRS-6808提供完善的Diffserv/QoS支持，并提供多種規(guī)則組合條件下的流映射和分類(lèi)、流量監(jiān)管(CAR)、擁塞控制方法(RED、WRED、SA-RED)、隊(duì)列調(diào)度和輸出流整形等功能，做到業(yè)務(wù)區(qū)分并保證帶寬/時(shí)延/抖動(dòng)在限定的范圍內(nèi)，使網(wǎng)管中心可以為工作組用戶(hù)提供具有不同服務(wù)質(zhì)量等級(jí)的服務(wù)保證，使骨干網(wǎng)真正成為同時(shí)承載數(shù)據(jù)、語(yǔ)音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。在網(wǎng)絡(luò)中應(yīng)實(shí)施面向服務(wù)端口的QoS保證機(jī)制，同時(shí)，在核心路由交換機(jī)的路由端口設(shè)置中，開(kāi)啟WFQ功能，通過(guò)WFQ保證實(shí)時(shí)、小包即使在最擁擠時(shí)仍然能夠得到快速的轉(zhuǎn)發(fā)。

同時(shí)，系統(tǒng)通過(guò)WRED、SA-RED隊(duì)列調(diào)度和輸出流整形等功能，真正做到業(yè)務(wù)區(qū)分并保證帶寬/時(shí)延/抖動(dòng)在限定的范圍內(nèi)，確保網(wǎng)絡(luò)不出現(xiàn)擁塞，始終保持其高吞吐率和區(qū)別服務(wù)特性。

4．方案特點(diǎn)

本方案可以充分滿(mǎn)足該學(xué)校數(shù)字化校園系統(tǒng)的需求，并具有如下幾大特點(diǎn)：

(1)萬(wàn)兆R(shí)eady。本方案選擇的核心交換機(jī)及匯聚交換機(jī)均具備萬(wàn)兆擴(kuò)展能力，使得校園網(wǎng)具備隨時(shí)向萬(wàn)兆主干網(wǎng)平滑升級(jí)的能力。

(2)千兆接入到桌面。針對(duì)視頻應(yīng)用較頻繁的接入用戶(hù)，本方案選擇了全千兆接入交換機(jī)DCS-4500-24T來(lái)滿(mǎn)足需求。

(3)?IPv6Ready。目前，校園網(wǎng)絡(luò)正處在IPv4向IPv6的過(guò)渡期，為保證該學(xué)校的校園網(wǎng)在將來(lái)3年內(nèi)向IPv6的平滑升級(jí)，本方案選擇了能夠硬件(ASIC)支持IPv6協(xié)議的核心交換機(jī)和匯聚交換機(jī)。

5．相關(guān)建議

1)性能提升建議

根據(jù)學(xué)校信息點(diǎn)的分布狀況，并通過(guò)對(duì)學(xué)校網(wǎng)絡(luò)應(yīng)用的分