畢業(yè)設(shè)計(jì)--校園網(wǎng)組建與實(shí)施方案

1、<p>　　畢 業(yè) 設(shè) 計(jì) (論文)</p><p>　　題目：校園網(wǎng)組建與實(shí)施方案</p><p>　　系（部）：信息工程系</p><p>　　專 業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)</p><p>　　畢業(yè)設(shè)計(jì)（論文）任務(wù)書(shū) </p><p>　　畢業(yè)設(shè)計(jì)（論文）題目:&l

2、t;/p><p>　　校園網(wǎng)組建與實(shí)施方案</p><p>　　畢業(yè)設(shè)計(jì)（論文）內(nèi)容:</p><p>　　本設(shè)計(jì)主要針對(duì)學(xué)校中的辦公樓與實(shí)訓(xùn)樓來(lái)規(guī)劃和設(shè)計(jì)網(wǎng)絡(luò)。根據(jù)校園網(wǎng)整體的網(wǎng)絡(luò)情況進(jìn)行設(shè)計(jì)與規(guī)劃。先根據(jù)辦公樓與實(shí)訓(xùn)樓網(wǎng)絡(luò)所應(yīng)用的各種功能及要求進(jìn)進(jìn)行分析，再根據(jù)分析得到的結(jié)果設(shè)計(jì)網(wǎng)絡(luò)方案和邏輯拓樸與物理拓?fù)?，最后進(jìn)行現(xiàn)場(chǎng)施工并進(jìn)行調(diào)試。</p><

3、;p>　　畢業(yè)設(shè)計(jì)（論文）專題部分:</p><p>　　在當(dāng)代社會(huì)，網(wǎng)絡(luò)安全性和可靠性已經(jīng)上升到非常重要的一個(gè)部分了，一個(gè)網(wǎng)絡(luò)是否安全與可靠能關(guān)系到這個(gè)企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展，這里我論述以網(wǎng)絡(luò)安全加固以及保證網(wǎng)絡(luò)的可靠運(yùn)行為主并在其中運(yùn)用了VLAN劃分、防火墻原理、MSTP與VRRP、以及ACL配置等眾多先進(jìn)技術(shù)，以及選用高可靠性設(shè)備，我相信在我的設(shè)計(jì)下，可以使網(wǎng)絡(luò)安全級(jí)別和可靠性得到保證。</p>

4、<p>　　指導(dǎo)教師: 簽字 年 月 日</p><p>　　教研室主任: 簽字 年 月 日</p><p>　　系（部）主任: 簽字 年 月 日 &

5、lt;/p><p>　　畢 業(yè) 設(shè) 計(jì) (論 文) 評(píng) 語(yǔ) </p><p><b>　　目 錄</b></p><p><b>　　前 言1</b></p><p><b>　　一、校園網(wǎng)背景2</b></p><p>　　

6、1.2校園網(wǎng)現(xiàn)有網(wǎng)絡(luò)概況3</p><p>　　1.2.1現(xiàn)有校園網(wǎng)的狀況3</p><p>　　1.2.2現(xiàn)有校園網(wǎng)的不足4</p><p>　　二、校園網(wǎng)絡(luò)需求分析6</p><p>　　2.1功能需求分析6</p><p>　　2.2 IP需求分析6</p><p>　　2.3

7、重新建設(shè)的必要性分析6</p><p>　　2.4校園網(wǎng)絡(luò)需要的技術(shù)7</p><p>　　2.4.1 ACL技術(shù)7</p><p>　　2.4.2 PRIVATE VLAN 技術(shù)7</p><p>　　2.4.3 AAA服務(wù)和安全服務(wù)器協(xié)議(radius/tacacs+)技術(shù)7</p><p>　　2.4.

8、4 IPSec VPN技術(shù)7</p><p>　　2.4.5 OSPF技術(shù)8</p><p>　　2.4.6 SPAN技術(shù)8</p><p>　　2.5網(wǎng)絡(luò)組建技術(shù)8</p><p>　　2.5.1以太網(wǎng)絡(luò)技術(shù)8</p><p>　　2.5.2千兆以太網(wǎng)絡(luò)技術(shù)9</p><p>　　

9、2.5.3 ATM技術(shù)10</p><p>　　2.5.4 HSRP技術(shù)11</p><p>　　三、校園網(wǎng)系統(tǒng)設(shè)計(jì)12</p><p>　　3.1校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)12</p><p>　　3.2校園網(wǎng)接入Internet設(shè)計(jì)12</p><p>　　3.3校園網(wǎng)應(yīng)用系統(tǒng)設(shè)計(jì)12</p>&

10、lt;p>　　3.4校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)13</p><p>　　3.4.1校園網(wǎng)物理結(jié)構(gòu)設(shè)計(jì)13</p><p>　　3.4.2校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)14</p><p>　　四、網(wǎng)絡(luò)設(shè)備選擇方案18</p><p>　　4.1設(shè)備選擇基本原則18</p><p>　　4.2交換設(shè)備選型19</p>

11、;<p>　　4.2.1 核心層交換機(jī)選型19</p><p>　　4.2.2 匯聚層交換機(jī)選型19</p><p>　　4.2.3接入層交換機(jī)選型20</p><p>　　4.3路由器選型20</p><p>　　4.4防火墻選型20</p><p>　　4.5服務(wù)器選型21</p&g

12、t;<p>　　4.6設(shè)備清單及價(jià)格21</p><p><b>　　五、網(wǎng)絡(luò)實(shí)施22</b></p><p>　　5.1施工準(zhǔn)備工作22</p><p>　　5.2實(shí)施規(guī)劃24</p><p>　　5.2.1項(xiàng)目實(shí)施及工期安排24</p><p>　　5.2.2 IP管理

13、24</p><p>　　5.3網(wǎng)絡(luò)設(shè)備配置26</p><p>　　5.3.1配置三層交換模塊26</p><p>　　5.3.2配置交換機(jī)VLAN26</p><p>　　5.3.3配置交換機(jī)的CDP和SNMP27</p><p>　　5.3.4配置交換機(jī)的STP27</p><p&

14、gt;　　5.3.5配置Catalyst 350027</p><p>　　5.3.6配置Cisco 防火墻PIX 52027</p><p>　　5.5設(shè)備模擬調(diào)試階段28</p><p>　　5.6設(shè)備安裝階段28</p><p>　　5.7系統(tǒng)連調(diào)階段29</p><p>　　5.8 INTERNET連

15、接29</p><p><b>　　六、結(jié) 論30</b></p><p><b>　　七、謝 辭31</b></p><p><b>　　八、參考文獻(xiàn)32</b></p><p><b>　　前 言</b></p><p

16、>　　高校校園網(wǎng)的網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)技術(shù)發(fā)展幾乎是同步進(jìn)行的。高校不僅承擔(dān)著教書(shū)育人的工作，更承擔(dān)著部分國(guó)家級(jí)的科研任務(wù)，同時(shí)考慮未來(lái)幾年網(wǎng)絡(luò)平臺(tái)的發(fā)展趨勢(shì)， 為了充分滿足高校骨干網(wǎng)對(duì)高速，智能，安全，認(rèn)證計(jì)費(fèi)等的需求，可以利用萬(wàn)兆以太網(wǎng)的校園網(wǎng)組網(wǎng)技術(shù)。 </p><p>　　構(gòu)建校園網(wǎng)骨干網(wǎng)，實(shí)現(xiàn)各個(gè)分校區(qū)和本部之間的連接，以及實(shí)現(xiàn)端到端的以太網(wǎng)訪問(wèn)，提高了傳輸?shù)男剩行У乇ＷC了遠(yuǎn)程多媒體教學(xué)、數(shù)字圖書(shū)館

17、等業(yè)務(wù)的開(kāi)展。 </p><p>　　隨著信息技術(shù)的高速發(fā)展，教育信息化水平正成為衡量學(xué)校總體發(fā)展水平的重要因素，網(wǎng)絡(luò)技術(shù)的應(yīng)用對(duì)高校的教學(xué)手段和教育管理體系的促進(jìn)作用是巨大的。1995 年CERNET （中國(guó)教育和科研計(jì)算機(jī)網(wǎng)）建設(shè)全面啟動(dòng)，全國(guó)各地的高校開(kāi)始建設(shè)自己的計(jì)算機(jī)校園網(wǎng)。校園網(wǎng)建設(shè)是高校建設(shè)的重要組成部分，建設(shè)高質(zhì)量的局域網(wǎng)， 才能充分發(fā)揮網(wǎng)絡(luò)資源管理和應(yīng)用的優(yōu)勢(shì)，進(jìn)行信息交流、資源共享、科學(xué)計(jì)算和

18、科學(xué)研究與合作。</p><p>　　中國(guó)教育事業(yè)隨著社會(huì)發(fā)展將會(huì)越來(lái)越開(kāi)放，對(duì)學(xué)校的經(jīng)營(yíng)管理也逐步形成完善的現(xiàn)代化管理模式。本方案是針對(duì)遼寧信息職業(yè)技術(shù)學(xué)院現(xiàn)有應(yīng)用結(jié)構(gòu)而設(shè)計(jì)的，主要使用思科的網(wǎng)絡(luò)產(chǎn)品，提高網(wǎng)絡(luò)的整體性能；規(guī)劃采用防火墻技術(shù)、開(kāi)啟端口安全性，在接入層限制主機(jī)最大連接數(shù)，匯聚層設(shè)置訪問(wèn)控制列表等操作系統(tǒng)的安全性來(lái)提高整個(gè)網(wǎng)絡(luò)的安全和重要主機(jī)的安全；使用磁盤(pán)冗余陣列來(lái)保護(hù)系統(tǒng)數(shù)據(jù)的安全，防止數(shù)據(jù)的意

19、外損失；并實(shí)現(xiàn)網(wǎng)絡(luò)的冗余及使用MSTP和VRRP來(lái)保證網(wǎng)絡(luò)的可靠性，實(shí)現(xiàn)主干設(shè)備的冗余等，所選用的網(wǎng)絡(luò)設(shè)備有充足的帶寬以滿足網(wǎng)絡(luò)擴(kuò)容的需求，主干交換機(jī)還可通過(guò)升級(jí)模塊的方式實(shí)現(xiàn)輕松的升級(jí)和容量的擴(kuò)充，千兆的網(wǎng)絡(luò)帶寬為用戶的業(yè)務(wù)提供了充足的帶寬，并為今后的網(wǎng)絡(luò)的擴(kuò)展做了足夠的準(zhǔn)備，保護(hù)了用戶的投資，提高了整體的性能和安全性。隨著國(guó)家信息化工作的深入開(kāi)展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點(diǎn)。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤

20、其是高校校園網(wǎng)建設(shè)。</p><p>　　根據(jù)規(guī)劃和設(shè)計(jì)規(guī)模，我們?cè)谠O(shè)計(jì)該企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)時(shí)，將遵循“立足現(xiàn)在，著眼未來(lái)，重在實(shí)用，旨在效益”的總方針，按照校園網(wǎng)絡(luò)的國(guó)際標(biāo)準(zhǔn)模式，結(jié)合中國(guó)的具體國(guó)情，同時(shí)吸取國(guó)際上流行的幾家企業(yè)網(wǎng)絡(luò)系統(tǒng)的精華，力爭(zhēng)使所設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)具有技術(shù)先進(jìn)、高效快捷、安全可靠、易于維護(hù)等特點(diǎn)。</p><p><b>　　一、校園網(wǎng)背景</b>

21、</p><p>　　遼寧信息職業(yè)技術(shù)學(xué)院為遼寧建筑職業(yè)技術(shù)學(xué)院的一個(gè)分校區(qū)，全校計(jì)算機(jī)數(shù)量逾1000臺(tái)（不包括學(xué)生群體），信息點(diǎn)近900個(gè)，目前主要樓宇有教學(xué)樓、圖書(shū)館、公寓樓、實(shí)訓(xùn)樓等，規(guī)劃區(qū)內(nèi)部局域網(wǎng)都是一個(gè)獨(dú)立的網(wǎng)絡(luò)，相互之間并不聯(lián)通，其它還有11幢學(xué)生宿舍樓，8幢教師宿舍，學(xué)校平面示意圖如圖1-1。</p><p>　　圖1-1學(xué)校平面示意圖</p><p&g

22、t;　　表1-1信息點(diǎn)分布表</p><p>　　注：以上除教師宿舍信息點(diǎn)為確切的數(shù)據(jù)外，其它均為本人對(duì)學(xué)校的了解進(jìn)行的估計(jì)。目前，以上各樓群內(nèi)部綜合布線采用的是5類雙絞線，學(xué)院內(nèi)的室外布線都是通過(guò)光纖連接到網(wǎng)絡(luò)中心。</p><p>　　1.2校園網(wǎng)現(xiàn)有網(wǎng)絡(luò)概況</p><p>　　計(jì)算機(jī)管理信息系統(tǒng)包括校本部的計(jì)算機(jī)通信局域網(wǎng)和計(jì)算機(jī)應(yīng)用系統(tǒng)，大部分采用100M

23、/1000M以太網(wǎng)來(lái)組網(wǎng)。主要的應(yīng)用系統(tǒng)有（或?qū)?lái)）：OA辦公、生產(chǎn)管理、學(xué)生管理、保安圖像監(jiān)控管理、圖書(shū)館管理等，全校將實(shí)現(xiàn)完全電子化管理。</p><p>　　基于各類數(shù)據(jù)庫(kù)平臺(tái)的上述管理信息系統(tǒng)，絕大部分都是基于TCP/IP的計(jì)算機(jī)應(yīng)用系統(tǒng)，隨著Internet的飛速發(fā)展，TCP/IP毫無(wú)疑問(wèn)地成為主流，基于IP的計(jì)算機(jī)通信網(wǎng)絡(luò)成為管理信息系統(tǒng)的最為重要的部分，計(jì)算機(jī)通信網(wǎng)絡(luò)的好壞直接影響管理信息系統(tǒng)，從而

24、影響日常教學(xué)活動(dòng)的正常運(yùn)作。</p><p>　　Internet正在向我們生活的各個(gè)領(lǐng)域滲透，與此同時(shí)企業(yè)、政府、消費(fèi)者和教育機(jī)構(gòu)都在快速向基于IP分組的網(wǎng)絡(luò)操作轉(zhuǎn)移。無(wú)論對(duì)于IP話音（VoIP）、基于IP的視頻流、基于IP的通信工具，還是對(duì)于PC、膝上電腦、蜂窩電話等IP平臺(tái)、IP分組都已成為主流。換句話說(shuō)，Internet的快速發(fā)展與普及正改變著公共通信網(wǎng)上和企業(yè)內(nèi)部網(wǎng)的流量結(jié)構(gòu)，語(yǔ)音信息在過(guò)去曾經(jīng)占據(jù)主導(dǎo)

25、地位，但在21世紀(jì)，數(shù)據(jù)(IP)將占據(jù)通信流量的主要部分。 </p><p>　　隨著千兆網(wǎng)的逐步實(shí)施，如何有效、靈活建立高速數(shù)據(jù)網(wǎng)絡(luò)是一個(gè)具有戰(zhàn)略意義的課題，高校的業(yè)務(wù)單位通常擁有3類應(yīng)用：數(shù)據(jù)、話音和圖象（工業(yè)電視）。未來(lái)的技術(shù)發(fā)展，使采用IP技術(shù)可以同時(shí)承載3類不同應(yīng)用成為可能，并且具有以下優(yōu)點(diǎn)：</p><p>　　1、采用Internet廣泛應(yīng)用IP標(biāo)準(zhǔn)，開(kāi)放性好。<

26、;/p><p>　　2、利用防火墻、IP地址過(guò)濾和路由器熱備份等網(wǎng)絡(luò)安全技術(shù)，確保調(diào)度安全。</p><p>　　3、IP QoS及優(yōu)先是分技術(shù)確保調(diào)度和遠(yuǎn)動(dòng)等關(guān)鍵任務(wù)優(yōu)先。</p><p>　　4、實(shí)現(xiàn)數(shù)據(jù)話音和圖象全網(wǎng)自動(dòng)交換，信息共享，構(gòu)成學(xué)校高效率運(yùn)作的基礎(chǔ)設(shè)施。</p><p>　　采用IP這一面向未來(lái)技術(shù)，可以兼容現(xiàn)有設(shè)備，保護(hù)現(xiàn)有投

27、資，又可以保證網(wǎng)絡(luò)在當(dāng)前及將來(lái)的技術(shù)先進(jìn)性。校園網(wǎng)是現(xiàn)代社會(huì)高校基礎(chǔ)設(shè)施的重要組成部分，是提高高校教學(xué)科研水平和管理水平的不可缺少的現(xiàn)代化手段和支撐環(huán)境.如何進(jìn)一步搞好校園網(wǎng)的建設(shè)，充分發(fā)揮校園網(wǎng)的作用，是各個(gè)高等學(xué)校和教育主管部門(mén)正在探索和思考的問(wèn)題。</p><p>　　1.2.1現(xiàn)有校園網(wǎng)的狀況</p><p>　　校園網(wǎng)是遼寧建筑職業(yè)技術(shù)學(xué)院分校的信息基礎(chǔ)設(shè)施，是實(shí)現(xiàn)學(xué)校現(xiàn)代化管理

28、的強(qiáng)有力保證。學(xué)校一直以來(lái)非常重視校園網(wǎng)的建設(shè)。經(jīng)過(guò)三期的建設(shè)，基本可以滿足當(dāng)時(shí)的網(wǎng)絡(luò)需求。其網(wǎng)絡(luò)邏輯拓?fù)鋱D如圖1-2。</p><p>　　圖1-2現(xiàn)有校園邏輯網(wǎng)拓?fù)鋱D</p><p>　　由于學(xué)校數(shù)據(jù)吞吐量大，又離本部較遠(yuǎn)，所以學(xué)校采用一般的校園雙端口接入方式，用一條2M光纖連接到南校區(qū)網(wǎng)絡(luò)，另一條用百兆光纖作為中國(guó)電信的局域網(wǎng)方式接入internet，實(shí)現(xiàn)網(wǎng)絡(luò)高速運(yùn)行。中心結(jié)構(gòu)主要以

29、華為ls-3026交換機(jī)為中心，單點(diǎn)以星形方式連接校園各個(gè)功能單位。各樓房交換機(jī)用100M光纖連接到中心機(jī)房的三臺(tái)普通企業(yè)級(jí)路由上，可以實(shí)現(xiàn)子網(wǎng)內(nèi)高速互聯(lián)。樓房?jī)?nèi)部均用5類雙絞線連接樓房交換機(jī)與用戶計(jì)算機(jī)，帶寬均可達(dá)百兆。</p><p>　　1.2.2現(xiàn)有校園網(wǎng)的不足</p><p>　　目前，遼寧建筑分校區(qū)的網(wǎng)絡(luò)由低端的銳捷交換機(jī)構(gòu)成一個(gè)平面型的網(wǎng)絡(luò)結(jié)構(gòu)，沒(méi)有層次化設(shè)計(jì)的網(wǎng)絡(luò)結(jié)構(gòu)其存在

30、許多缺陷。</p><p>　　從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)看：網(wǎng)絡(luò)管理員很難對(duì)網(wǎng)絡(luò)進(jìn)行整體管理，一旦出現(xiàn)故障，將很難做出快速排查。其中最至命的是網(wǎng)絡(luò)存在單點(diǎn)故障，一旦中心的交換機(jī)出現(xiàn)故障，整個(gè)網(wǎng)絡(luò)立刻癱瘓（如圖1-3）。在平面型的網(wǎng)絡(luò)結(jié)構(gòu)下，網(wǎng)絡(luò)中心交換機(jī)負(fù)載所有的數(shù)據(jù)處理任務(wù)，不能夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)的高速轉(zhuǎn)發(fā)傳輸。</p><p><b>　　圖1-3中心結(jié)構(gòu)圖</b></p&

31、gt;<p>　　從網(wǎng)絡(luò)設(shè)備方面看：大部分的設(shè)備已經(jīng)不能滿足現(xiàn)在學(xué)校對(duì)網(wǎng)絡(luò)傳輸?shù)男枨?，如中心換機(jī)只是一臺(tái)普通華為交換機(jī)，轉(zhuǎn)發(fā)率不高，最大只為100M，實(shí)際上不可能達(dá)到，所以即使拓?fù)浣Y(jié)構(gòu)是樹(shù)形結(jié)構(gòu)，網(wǎng)絡(luò)數(shù)據(jù)的交換也不會(huì)多快。而且連接這些交換機(jī)和路由器的通迅線路都是百兆雙絞線。在這樣的設(shè)備下，中心的網(wǎng)絡(luò)中心通迅帶寬僅為百兆。這將是實(shí)現(xiàn)網(wǎng)絡(luò)高速吞吐的瓶頸。還有租用網(wǎng)絡(luò)的帶寬太低，如南校區(qū)校與北校區(qū)的通迅帶寬才2M，而學(xué)校師生有8

32、000多人，平時(shí)至少也有一百多人同時(shí)會(huì)使用，這也極大限制了我們學(xué)生與師大本部信息資源的共享。</p><p>　　從網(wǎng)絡(luò)設(shè)置管理方面看：學(xué)生可隨意修改IP地址，容易造成IP地址沖突現(xiàn)象；廣播風(fēng)暴比較嚴(yán)重，造成帶寬的浪費(fèi)，一旦某臺(tái)學(xué)生電腦中毒將影響整個(gè)網(wǎng)絡(luò)；而且沒(méi)有統(tǒng)一的網(wǎng)絡(luò)管理軟件，網(wǎng)管也很難統(tǒng)一對(duì)網(wǎng)絡(luò)的整體管理。</p><p>　　從網(wǎng)絡(luò)應(yīng)用方面看：學(xué)校提供的校園網(wǎng)絡(luò)服務(wù)內(nèi)容太少，如缺

33、少校園郵件服務(wù)，文件服務(wù)等，而且還沒(méi)提供學(xué)生宿舍寬帶接入，學(xué)生只能用電信的電話撥號(hào)上網(wǎng)。不方便學(xué)生上網(wǎng)，也不能規(guī)范和監(jiān)督學(xué)生上網(wǎng)，不能實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)的目標(biāo)，節(jié)約學(xué)校對(duì)網(wǎng)絡(luò)的投資成本。</p><p>　　從網(wǎng)絡(luò)安全方面看：沒(méi)有防火墻，網(wǎng)絡(luò)安全性非常脆弱，服務(wù)器防病毒能力差，非常容易遭受到攻擊，包括外網(wǎng)和內(nèi)網(wǎng)對(duì)服務(wù)器的攻擊。沒(méi)有網(wǎng)絡(luò)服務(wù)質(zhì)量（QoS）的管理。</p><p>　　二、校園網(wǎng)絡(luò)需

34、求分析</p><p>　　校園網(wǎng)的建設(shè)可以分為兩部分。第一部分為硬件建設(shè)，如各種網(wǎng)絡(luò)設(shè)備、服務(wù)器的選購(gòu)及連接以及綜合布線等；第二部分為軟件建設(shè)，如各種應(yīng)用軟件、網(wǎng)絡(luò)操作系統(tǒng)、教務(wù)管理系統(tǒng)等的選擇；軟件應(yīng)用需求是選擇硬件設(shè)備的基礎(chǔ)和依據(jù)，只有將硬件系統(tǒng)和軟件系統(tǒng)有機(jī)地結(jié)合在一起，才能充分發(fā)揮校園網(wǎng)的最佳性能。從某種程度而言，軟件建設(shè)的好壞決定了校園網(wǎng)建設(shè)的成敗。</p><p><b

35、>　　2.1功能需求分析</b></p><p>　　1、實(shí)現(xiàn)高速的Internet和CERNET出入；</p><p>　　2、實(shí)現(xiàn)內(nèi)部千兆校園網(wǎng)主干，百兆交換到桌面；</p><p>　　3、提供校園WWW、FTP、DNS、E-Mail等服務(wù)</p><p>　　4、提供校園BBS等教師和學(xué)生交流學(xué)習(xí)的平臺(tái)；</p

36、><p>　　5、增加學(xué)生宿舍的接入；</p><p>　　6、增加校園無(wú)線局域網(wǎng)；</p><p>　　2.2 IP需求分析</p><p>　　根據(jù)上述總體要求，在技術(shù)上必須提供相應(yīng)的支持和保證。整個(gè)網(wǎng)絡(luò)在技術(shù)上定位為基于IP over Gigabit Ethernet傳輸?shù)腎P的光學(xué)網(wǎng)絡(luò)，以光纖為主干傳輸介質(zhì)，以Gigabit Ethern

37、et + IP為核心傳輸方式，可以充分的滿足網(wǎng)絡(luò)的需求。</p><p>　　在設(shè)計(jì)本網(wǎng)絡(luò)時(shí)，還要考慮的IP網(wǎng)絡(luò)的優(yōu)化。IP優(yōu)化至少包括如下幾個(gè)要素：</p><p>　　1、網(wǎng)絡(luò)體系結(jié)構(gòu)以Gigabit Ethernet為設(shè)計(jì)基礎(chǔ)，體現(xiàn)在網(wǎng)絡(luò)層的多層次化體系結(jié)構(gòu)。</p><p>　　2、網(wǎng)絡(luò)層次的優(yōu)化，使用華為或思科各自專有的QoS（Quality of Ser

38、vices）來(lái)保證傳輸層網(wǎng)絡(luò)的數(shù)據(jù)圖形語(yǔ)音的正常傳輸。</p><p>　　3、良好的網(wǎng)絡(luò)拓展和兼容性?？梢詮纳舷蛳碌臒o(wú)縫兼容，在合理的QoS控制下，根據(jù)不同的服務(wù)類型啟動(dòng)不同的控制協(xié)議，比如圖像傳輸方面，可以通過(guò)IGMP組播協(xié)議和RSVP資源預(yù)保留協(xié)議進(jìn)行優(yōu)化和控制，對(duì)于數(shù)據(jù)和聲音可以采用PQ，CQ，WFQ等排對(duì)稱技術(shù)最大限度的傳輸各種數(shù)據(jù)包充分利用光纖的帶寬。</p><p>　　4、

39、穩(wěn)定性優(yōu)化。最大限度的利用光傳輸在故障恢復(fù)方面快速切換的能力，快速恢復(fù)網(wǎng)絡(luò)連接，避免路由表顫動(dòng)引起的整網(wǎng)震蕩，提供符合高速寬帶網(wǎng)絡(luò)要求的可靠性和穩(wěn)定性。</p><p>　　2.3重新建設(shè)的必要性分析</p><p>　　基于當(dāng)前學(xué)校的發(fā)展，對(duì)校園網(wǎng)絡(luò)需求起來(lái)趍，且當(dāng)前存在的諸多不足，學(xué)校網(wǎng)絡(luò)升級(jí)改造顯行非常必要。這可以從前一階段校園網(wǎng)絡(luò)的通信狀況就可知道。</p><

40、p>　　在新的網(wǎng)絡(luò)下必須能夠滿足教學(xué)、管理和通信三大基本功能。 </p><p>　　教師可以在學(xué)校的任意的一臺(tái)計(jì)算機(jī)上方便地瀏覽和查詢網(wǎng)上資源，因?yàn)檫M(jìn)行教學(xué)和科研工作必須可以調(diào)用網(wǎng)上資源，還可以通過(guò)網(wǎng)絡(luò)對(duì)學(xué)生的學(xué)習(xí)進(jìn)行指導(dǎo)。</p><p>　　學(xué)生可以在計(jì)算機(jī)實(shí)驗(yàn)室、圖書(shū)館、教室、電子閱覽室等地方方便地瀏覽和查詢網(wǎng)上資源，但不能在教師辦公室上網(wǎng)，學(xué)生通過(guò)網(wǎng)絡(luò)可以進(jìn)行網(wǎng)上學(xué)習(xí)并能和

41、教師進(jìn)行網(wǎng)上討論。</p><p>　　學(xué)校管理人員可以方便地對(duì)教務(wù)、行政事務(wù)等進(jìn)行綜合管理，同時(shí)各樓辦公室的計(jì)算機(jī)可以進(jìn)行數(shù)據(jù)信息交換，初步實(shí)現(xiàn)辦公自動(dòng)化?？傊?，該校園網(wǎng)主要包括以下建設(shè)需求：</p><p>　?。?）實(shí)現(xiàn)高速的Internet和CERNET出入；</p><p>　?。?）實(shí)現(xiàn)穩(wěn)定的快速的DNS、WWW、FTP、E-mail等多項(xiàng)網(wǎng)絡(luò)服務(wù)；&l

42、t;/p><p>　?。?）建設(shè)校園BBS，促進(jìn)校園文化的健康發(fā)展；</p><p>　?。?）擁有透明出口措施，學(xué)生用學(xué)生證注冊(cè)上網(wǎng)帳號(hào)，能夠詳細(xì)記錄上網(wǎng)訪問(wèn)日志；</p><p>　?。?）對(duì)外部資料實(shí)現(xiàn)管理，實(shí)現(xiàn)VOD服務(wù)；</p><p>　?。?）整個(gè)校園網(wǎng)主干實(shí)現(xiàn)千兆傳輸，百兆光纖到樓宇，百兆交換到桌面；</p><

43、;p>　　（7）擁有高性能的網(wǎng)絡(luò)設(shè)備，有足夠的設(shè)備冗余；</p><p>　　除以上要求外，還要求建成后的校園網(wǎng)具有一定的技術(shù)前瞻性和系統(tǒng)冗余度，以適應(yīng)未來(lái)的發(fā)展和應(yīng)用需求。</p><p>　　2.4校園網(wǎng)絡(luò)需要的技術(shù)</p><p>　　2.4.1 ACL技術(shù)</p><p>　　訪問(wèn)列表有三種類型的劃分，包括RACL(路由器的訪問(wèn)

44、列表），QoS的訪問(wèn)列 表，和VLAN的訪問(wèn)列表。路由器的訪問(wèn)列表可以被用于子網(wǎng)之間的數(shù)據(jù)包過(guò)濾，但是不能在一個(gè)子網(wǎng)內(nèi)作過(guò)濾VLAN的訪問(wèn)列表，用于在一個(gè)VLAN的子網(wǎng)內(nèi)實(shí)現(xiàn)過(guò)濾。</p><p>　　2.4.2 PRIVATE VLAN 技術(shù)</p><p>　　在很多企業(yè)網(wǎng)絡(luò)的應(yīng)用中，出于安全和簡(jiǎn)化IP地址規(guī)劃的考慮，會(huì)有這樣的需求：希望同一物理網(wǎng)段上的主機(jī)之間的通信能夠互相隔離，但是

45、又希望這些主機(jī)都能夠訪問(wèn)一個(gè)公共端口（網(wǎng)關(guān)或服務(wù)器端口），所有這些主機(jī)和服務(wù)器端口都位于同一個(gè)IP子網(wǎng)內(nèi)，這樣即實(shí)現(xiàn)了第二層的通信隔離，增加了安全保護(hù)，又不需要規(guī)劃多個(gè)IP子網(wǎng)用于主機(jī)隔離。利用思科交換機(jī)的Private Vlan功能，可以輕松實(shí)現(xiàn)以上需求。</p><p>　　2.4.3 AAA服務(wù)和安全服務(wù)器協(xié)議(radius/tacacs+)技術(shù)</p><p>　　AAA（驗(yàn)證、授

46、權(quán)、記賬）網(wǎng)絡(luò)安全服務(wù)提供了一個(gè)實(shí)現(xiàn)身份認(rèn)證以及訪問(wèn)控制的主框架。AAA使用RADIUS、TACACS+等協(xié)議來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)控制。</p><p>　　2.4.4 IPSec VPN技術(shù)</p><p>　　虛擬專用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。　　</p>

47、;<p>　　虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可以大幅度地減少用戶花費(fèi)在遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。</p><p>　　2.4.5 OSPF技術(shù)</p><p>　　隨著Internet技術(shù)在全球范圍的飛速發(fā)展，OSPF已成為目前企業(yè)網(wǎng)采用最多、應(yīng)用最廣泛的路由協(xié)議之一。</p>

48、;<p>　　OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。在這里，路由域是指一個(gè)自治系統(tǒng)（Autonomous System），即AS。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過(guò)這個(gè)數(shù)據(jù)庫(kù)計(jì)算出其OSPF路由表的。</p><p>　　2.4.6

49、SPAN技術(shù)</p><p>　　SPAN，交換端口分析器，是一種流量鏡像的技術(shù)。實(shí)現(xiàn)該技術(shù)的目的是監(jiān)控網(wǎng)絡(luò)的性能，用于優(yōu)化企業(yè)網(wǎng)絡(luò)。</p><p>　　常見(jiàn)的抓包工具，比如sniffer等只能捕捉到一個(gè)碰撞域內(nèi)的流量，如果公司的網(wǎng)絡(luò)都是用交換機(jī)互聯(lián)的，就不能進(jìn)行監(jiān)控。通過(guò)SPAN技術(shù)，可以把流量鏡像到流量分析器。</p><p><b>　　2.5網(wǎng)絡(luò)

50、組建技術(shù)</b></p><p>　　2.5.1以太網(wǎng)絡(luò)技術(shù)</p><p>　　早期局域網(wǎng)技術(shù)的關(guān)鍵是如何解決連接在同一總路線上的多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)有秩序也共享一個(gè)信道的問(wèn)題，而以太網(wǎng)絡(luò)正是利用載波偵聽(tīng)多路訪問(wèn)/沖突檢測(cè)（CSMA/CD）技術(shù)成功的提高了局域網(wǎng)共享信道的傳輸利用率，從而得以發(fā)展和流行的。特別是近幾年來(lái)交換式以太網(wǎng)和100M快速以太網(wǎng)的廣泛應(yīng)用，使以太網(wǎng)絡(luò)成為當(dāng)今局域

51、網(wǎng)應(yīng)用較為廣泛的主流技術(shù)之一。然而，以太網(wǎng)絡(luò)在發(fā)展早期所提出的共享帶寬、信道爭(zhēng)用機(jī)制限制了網(wǎng)絡(luò)后來(lái)的發(fā)展，即使是近幾年發(fā)展交換式以太網(wǎng)技術(shù)和100M快速以太網(wǎng)技術(shù)也不能從根本上解決這一問(wèn)題，具體表現(xiàn)在：</p><p>　　1、不提供服務(wù)質(zhì)量保證（QoS）</p><p>　　以太網(wǎng)提供的是一種所謂“無(wú)連接”的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)本身對(duì)所傳輸?shù)男畔鼰o(wú)法進(jìn)行諸如交付時(shí)間、包間延遲、占用帶寬等等關(guān)

52、于服務(wù)質(zhì)量的控制。這種傳送方式就像郵局遞送信件一樣，信息包一旦交給傳輸介質(zhì)，無(wú)論是發(fā)送端還是接收端都無(wú)法再對(duì)中間的傳輸過(guò)程進(jìn)行任何有效的控制，這就是所謂沒(méi)有服務(wù)質(zhì)量保證。而且以太網(wǎng)的包長(zhǎng)度本身是不確定的，這就導(dǎo)致網(wǎng)絡(luò)設(shè)備對(duì)每一個(gè)幀的處理和轉(zhuǎn)發(fā)延遲處于隨機(jī)、不可控制狀態(tài)。這兩個(gè)因素的存在，使得以太網(wǎng)的幀在傳輸時(shí)的延遲和延遲的突發(fā)變化方面顯得非常嚴(yán)重。以太網(wǎng)對(duì)傳輸過(guò)程的不可控性和對(duì)幀處理延時(shí)的過(guò)多抖動(dòng)都不適于現(xiàn)在大量涌現(xiàn)出的具有較強(qiáng)定時(shí)性要

53、求的多媒體信息的傳輸。</p><p><b>　　2、帶寬利用率較低</b></p><p>　　對(duì)信道的共享及爭(zhēng)用機(jī)制導(dǎo)致信道的實(shí)際利用帶寬遠(yuǎn)低于物理提供的帶寬，雖然基于CSMA/CD機(jī)制的以太網(wǎng)可以使網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)帶寬的爭(zhēng)用以一種“秩序”進(jìn)行，但其帶寬有效利用率仍低于10%。以太網(wǎng)的交換技術(shù)可以降低爭(zhēng)用的幾率，但為了與原有網(wǎng)卡及應(yīng)用軟件相兼容，CSMA/CD仍必須存

54、在，且交換中對(duì)轉(zhuǎn)發(fā)端口的定位是在動(dòng)態(tài)學(xué)習(xí)、動(dòng)態(tài)刷新中進(jìn)行的，這就使在統(tǒng)計(jì)上仍存在大量的包是以共享爭(zhēng)用的方式傳遞的。引入交換技術(shù)可使利用率提高至20%-50%。</p><p>　　除以上兩點(diǎn)以外，以太網(wǎng)傳輸機(jī)制所固有的對(duì)網(wǎng)絡(luò)半徑、冗余拓?fù)浜拓?fù)載平衡能力的限制以及網(wǎng)絡(luò)的附加服務(wù)能力薄弱等等，也都是以太網(wǎng)絡(luò)的不足之處。但以太網(wǎng)成熟的技術(shù)、廣泛的用戶基礎(chǔ)和較高的性價(jià)比，使其仍成為傳統(tǒng)數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)應(yīng)用中較為優(yōu)秀的解決方

55、案?，F(xiàn)在，傳統(tǒng)10M以太網(wǎng)的應(yīng)用越來(lái)越少。在網(wǎng)絡(luò)應(yīng)用中，比較流行的以太網(wǎng)技術(shù)是：100M快速以太網(wǎng)和千兆以太網(wǎng)。</p><p>　　2.5.2千兆以太網(wǎng)絡(luò)技術(shù)</p><p>　　千兆位以太網(wǎng)應(yīng)用于大中型網(wǎng)絡(luò)，能把現(xiàn)有的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接起來(lái)。千兆位以太網(wǎng)采用同樣的CSMA/CD協(xié)議、同樣的幀格式，是現(xiàn)有以太網(wǎng)最自然的升級(jí)途徑，使用戶對(duì)以太網(wǎng)原有設(shè)備管理工具

56、的投資得到保護(hù)。</p><p>　　千兆位以太網(wǎng)是超高速主干網(wǎng)的一種選擇方案。在數(shù)據(jù)、話音、視頻等實(shí)時(shí)業(yè)務(wù)方面，它雖然不能提供真正意義上的服務(wù)質(zhì)量保證（QoS），但千兆位以太網(wǎng)頻寬較高，能克服原以太網(wǎng)的一些弱點(diǎn)，提供服務(wù)保證等特性。</p><p>　　IEEE802.3Z工作組已確定了以下一組規(guī)范，統(tǒng)稱為1000Base-X。</p><p>　　1、1000B

57、ase-LX:多模光纖傳輸距離為550米，單模光纖傳輸距離為3000米。</p><p>　　2、1000Base-SX：62.5微米多模光纖傳輸距離為300米，50微米多模光纖傳輸距離為550米。</p><p>　　3、1000Base-CX:用于短距離設(shè)備的連接，使用高速率雙絞線銅纜，最大傳輸距離為25米。</p><p>　　4、1000Base-T：5類銅

58、纜傳輸最大距離為100米。</p><p>　　千兆位以太網(wǎng)支持交換機(jī)之間、交換機(jī)與終端之間的全雙工連接，支持共享網(wǎng)絡(luò)的半雙工連接方式，使用中繼器和CSMA/CD沖突檢測(cè)機(jī)制。對(duì)于大多數(shù)用戶而言，花費(fèi)很少的投資就可將現(xiàn)有的網(wǎng)絡(luò)升級(jí)至千兆以太網(wǎng)，并且不需在通信協(xié)議上進(jìn)行額外的投資。</p><p>　　2.5.3 ATM技術(shù)</p><p>　　ATM在現(xiàn)有技術(shù)水平上

59、已獲得成熟的發(fā)展。不過(guò)，ATM有一個(gè)不足之處就是，采用ATM技術(shù)來(lái)構(gòu)建網(wǎng)絡(luò)主干，需要較高的成本，其經(jīng)濟(jì)可行性較差。這對(duì)所建的中等規(guī)模仿小的網(wǎng)絡(luò)就更是如此?；谖覀儗W(xué)校目前的發(fā)展情況，ATM雖好，但并不合適，成本太高也還沒(méi)有那多的需求。且學(xué)校原有的網(wǎng)絡(luò)也都是基于以太網(wǎng)和快速以太網(wǎng)而建的，因此，我們使用千兆以太網(wǎng)為校園網(wǎng)主干，百兆到桌面，來(lái)平滑升級(jí)現(xiàn)有網(wǎng)絡(luò)。即可以保護(hù)原有投資也達(dá)到升級(jí)的目的。這是我們升級(jí)中不二的選擇。</p>

60、<p><b>　　設(shè)計(jì)依據(jù)：</b></p><p>　　1、根據(jù)學(xué)?，F(xiàn)有的業(yè)務(wù)量與業(yè)務(wù)類型，估算出網(wǎng)絡(luò)大約需要的交換能力和功能。</p><p><b>　　學(xué)校的業(yè)務(wù)主要有：</b></p><p>　　校園網(wǎng)的Internet接入包括使用ChinaNet和CERNET，從學(xué)校現(xiàn)有計(jì)算機(jī)數(shù)量看，最大并行訪

61、問(wèn)Internet的計(jì)算機(jī)數(shù)量大概在500臺(tái)，以百兆光纖出入Chinanet是有些擁擠，不過(guò)大多數(shù)時(shí)間內(nèi)不會(huì)有那么多臺(tái)同時(shí)訪問(wèn)，而且還可以通過(guò)交換機(jī)帶寬配置，來(lái)分配各個(gè)單位的上網(wǎng)需求，因此目前的帶寬還是可以滿足用戶的上網(wǎng)需求。不過(guò)接入CERNET的帶寬就顯得過(guò)小了，雖然訪問(wèn)的人沒(méi)有訪問(wèn)Chianet的多。</p><p>　　校園內(nèi)部的BBS、WWW、FTP、E-Mail等，這些網(wǎng)絡(luò)服務(wù)均可對(duì)內(nèi)外開(kāi)放，而且是學(xué)生

62、群體比較活躍的區(qū)域，網(wǎng)絡(luò)的通迅量較大，需要較大的帶寬；學(xué)校內(nèi)部日常的管理系統(tǒng)，如教務(wù)管理系統(tǒng)，學(xué)生學(xué)籍管理系統(tǒng)等，這些也是師生訪問(wèn)較多的網(wǎng)絡(luò)服務(wù)；校園網(wǎng)內(nèi)的文件傳輸?shù)葍?nèi)部通信也需要很大的帶寬。</p><p>　　將學(xué)生宿舍的寬帶接入也是校園網(wǎng)重要的功能模塊，它所需要的帶寬也是很龐大的。</p><p>　　隨著社會(huì)發(fā)展，移動(dòng)辦公也越來(lái)越普遍，增設(shè)校園無(wú)線局域網(wǎng)也是勢(shì)在必行的。而且校園無(wú)線

63、局域網(wǎng)也可以方便那些早期沒(méi)有安裝網(wǎng)絡(luò)通迅線路的建筑接入校園網(wǎng)。</p><p>　　經(jīng)過(guò)以上分析，將校園內(nèi)部主干網(wǎng)設(shè)計(jì)為千兆是十分必要的。</p><p>　　2、根據(jù)業(yè)務(wù)量與業(yè)務(wù)類型的發(fā)展，估算出五年內(nèi)網(wǎng)絡(luò)大約需要的交換能力和功能在此次升級(jí)中，我們都將使用一些能夠充分滿足當(dāng)前網(wǎng)絡(luò)通迅及應(yīng)用服務(wù)的網(wǎng)絡(luò)設(shè)備，又能夠在相當(dāng)長(zhǎng)一段時(shí)間內(nèi)保持技術(shù)的先進(jìn)性，能夠滿足今后學(xué)校對(duì)網(wǎng)絡(luò)的擴(kuò)展需要。<

64、/p><p>　　3、依據(jù)網(wǎng)絡(luò)分級(jí)原則，確定核心、會(huì)聚、接入各層設(shè)備所在位置與策略。該次升級(jí)方案中，徹底改變了校園網(wǎng)絡(luò)的主干拓?fù)浣Y(jié)構(gòu)，摒棄了以前那平面型的拓?fù)浣Y(jié)構(gòu)，采用當(dāng)今主流的三層網(wǎng)絡(luò)結(jié)構(gòu)，即核心層、匯聚層、接入層結(jié)構(gòu)。網(wǎng)絡(luò)中心還是設(shè)在實(shí)驗(yàn)樓，所以核心層設(shè)備也自然設(shè)在該樓內(nèi).匯聚層接入層設(shè)備根據(jù)新的網(wǎng)絡(luò)拓?fù)浼白泳W(wǎng)劃分，具體安放在后面的章節(jié)中說(shuō)明。</p><p>　　4、根據(jù)以上三點(diǎn)，以及充

65、分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備的前提下，確定對(duì)所需網(wǎng)絡(luò)設(shè)備的要求和投資估算，以此來(lái)確定設(shè)備的供應(yīng)商，并在滿足現(xiàn)有業(yè)務(wù)的同時(shí)，確保網(wǎng)絡(luò)可以以較少投資平滑升級(jí)。</p><p>　　核心冗余，從圖1-3可以清楚的知道，學(xué)校所有出入Chinanet 和CERNET的數(shù)據(jù)都必須通過(guò)ls-3026交換機(jī)，一旦該設(shè)備出現(xiàn)故障，整個(gè)網(wǎng)絡(luò)將癱瘓。為應(yīng)對(duì)該問(wèn)題，我們采用核心冗余技術(shù)（如圖2-1），通過(guò)設(shè)置HSRP協(xié)議，即使核心交換機(jī)有一臺(tái)出

66、現(xiàn)故障，網(wǎng)絡(luò)會(huì)自動(dòng)切換到另一臺(tái)核心交換機(jī)上，保證網(wǎng)絡(luò)通暢。我們使用的冗余交換機(jī)都可以工作在三層，支持該協(xié)議。</p><p><b>　　圖2-1核心冗余圖</b></p><p>　　2.5.4 HSRP技術(shù)</p><p>　　熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以

67、及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說(shuō)，當(dāng)源主機(jī)不能動(dòng)態(tài)知道第一跳路由器的 IP 地址時(shí)，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。</p><p>　　負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路由器（Active Router）

68、。一旦主動(dòng)路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動(dòng)路由器。HSRP 協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。</p><p>　　HSRP 運(yùn)行在 UDP 上，采用端口號(hào)1985

69、。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP 路由器間能相互識(shí)別.</p><p><b>　　三、校園網(wǎng)系統(tǒng)設(shè)計(jì)</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案主要包括校園網(wǎng)內(nèi)部網(wǎng)絡(luò)和Internet接入兩部分的設(shè)計(jì)。</p><p>　　3.1校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)</p><

70、;p>　　校園網(wǎng)內(nèi)部網(wǎng)絡(luò)是組建在學(xué)院校園內(nèi)的計(jì)算機(jī)應(yīng)用網(wǎng)絡(luò)，可以采用Intranet方式建設(shè)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)。對(duì)本分校區(qū)而言，幾乎包括所有的建筑樓群：如教學(xué)樓、圖書(shū)館、科學(xué)樓、外語(yǔ)樓、實(shí)訓(xùn)樓、實(shí)驗(yàn)樓、教師及學(xué)生宿舍樓等。</p><p>　　根據(jù)福清學(xué)院對(duì)網(wǎng)絡(luò)應(yīng)用的需求，主干可以采用千兆以太網(wǎng)結(jié)構(gòu)，每棟樓與網(wǎng)絡(luò)中心用多模光纖連接，百兆交換到桌面。</p><p>　　在升級(jí)設(shè)計(jì)中，針對(duì)

71、現(xiàn)有的不足，我們采用分層次的網(wǎng)絡(luò)結(jié)構(gòu)和冗余設(shè)計(jì)技術(shù)，如采用核心、匯聚冗余。還有無(wú)線局域網(wǎng)的引入，也是逐步完善校園網(wǎng)絡(luò)的一個(gè)舉措。</p><p>　　3.2校園網(wǎng)接入Internet設(shè)計(jì)</p><p>　　學(xué)校校園網(wǎng)采用雙端口方式，一個(gè)接入遼寧建筑本部教育網(wǎng)，一個(gè)作為電信的局域網(wǎng)方式接入中國(guó)電信，校園網(wǎng)核心交換機(jī)及路由器都存放在網(wǎng)絡(luò)中心，所有樓的光纖均連接到網(wǎng)絡(luò)中心。并申請(qǐng)相應(yīng)的域名和I

72、P地址。內(nèi)部網(wǎng)絡(luò)的IP地址由保留地址和真實(shí)地址混合使用，保證內(nèi)部網(wǎng)絡(luò)的安全。</p><p>　　3.3校園網(wǎng)應(yīng)用系統(tǒng)設(shè)計(jì)</p><p>　　1、Internet應(yīng)用</p><p>　　學(xué)校向域名注冊(cè)代理商申請(qǐng)Internet域名后，通過(guò)配置相應(yīng)設(shè)備便可以向校內(nèi)外提供DNS、WWW、FTP和E-Mail等服務(wù)。網(wǎng)絡(luò)操作系統(tǒng)可以選擇Microsoft的Window

73、s系列或Linux。在服務(wù)器上，每一個(gè)服務(wù)可以由一臺(tái)服務(wù)器來(lái)完成；也可以由一服務(wù)器來(lái)同時(shí)完成幾項(xiàng)服務(wù)。這些是對(duì)校內(nèi)外開(kāi)放的。</p><p>　　另外一些主要面向教學(xué)或?qū)W生工作的服務(wù)，可以另外設(shè)一些專門(mén)的服務(wù)器，如：學(xué)生學(xué)籍管理系統(tǒng)、教務(wù)管理系統(tǒng)等，這些可以視需要決定是否向外開(kāi)放。</p><p>　　2、視頻點(diǎn)播、教學(xué)討論BBS </p><p>　　校園網(wǎng)視頻點(diǎn)

74、播系統(tǒng)，可以使學(xué)生通過(guò)電腦在校園內(nèi)任何地方進(jìn)行教學(xué)課件的視頻點(diǎn)播，進(jìn)一步提高學(xué)生的學(xué)習(xí)積極性。</p><p>　　校園BBS服務(wù)，可以使每位學(xué)生教師都可以在BBS上書(shū)寫(xiě)信息、提出看法、討論教學(xué)問(wèn)題，增強(qiáng)師生間的教學(xué)交流。</p><p>　　校園網(wǎng)還以提供許多其他服務(wù)(可選)，如網(wǎng)絡(luò)課件庫(kù)、網(wǎng)絡(luò)試題庫(kù)、精品課程點(diǎn)播以及遠(yuǎn)程教學(xué)等，進(jìn)一步推動(dòng)教學(xué)手段的改革。</p><

75、p><b>　　4、網(wǎng)絡(luò)管理</b></p><p>　　隨著校園網(wǎng)的不斷擴(kuò)大，對(duì)校園網(wǎng)中網(wǎng)絡(luò)設(shè)備的管理成為校園網(wǎng)管的重要任務(wù)，可以通過(guò)網(wǎng)絡(luò)管理軟件實(shí)現(xiàn)對(duì)全校所有網(wǎng)絡(luò)設(shè)備的集中式管理。</p><p>　　網(wǎng)絡(luò)管理集通信技術(shù)、網(wǎng)絡(luò)技術(shù)和信息處理技術(shù)于一體，通過(guò)高度和協(xié)調(diào)資源，進(jìn)行各項(xiàng)管理活動(dòng)，以達(dá)到使網(wǎng)絡(luò)可靠、安全和高效運(yùn)行的目的。</p><

76、;p>　　由于我們?cè)诮ㄔO(shè)中主要使用Cisco的產(chǎn)品，可以用CiscoWork2000這個(gè)網(wǎng)管軟件來(lái)統(tǒng)一管理，它可以管理Cisco的基于IOS操作系統(tǒng)的連接設(shè)備。使用方式是Web管理方式，所以在安裝完網(wǎng)絡(luò)管理服務(wù)器后可以在任何有網(wǎng)絡(luò)連接的機(jī)器上進(jìn)行網(wǎng)管監(jiān)控。</p><p><b>　　5、QOS管理</b></p><p>　　流量管理也是一個(gè)非常重要的工程，如

77、何有效的、合理的管理網(wǎng)絡(luò)中ip流量將有助于網(wǎng)絡(luò)整體性能。實(shí)施QoS，首先必須進(jìn)行QoS的總體規(guī)劃，其規(guī)劃原則可如下:</p><p>　　首先，根據(jù)不同業(yè)務(wù)特性在網(wǎng)內(nèi)實(shí)施針對(duì)業(yè)務(wù)類型的業(yè)務(wù)分流，目前可考慮的業(yè)務(wù)類型可以分為VoIP語(yǔ)音、視頻、專線互聯(lián)及互聯(lián)網(wǎng)接入等。另外，還必須考慮到網(wǎng)絡(luò)本身還存在管理和控制信令等，這種消息流與VoIP數(shù)據(jù)流具有同等的QoS保證需求。</p><p>　　其

78、次，在接入網(wǎng)的匯聚層實(shí)施業(yè)務(wù)VLAN策略，并根據(jù)業(yè)務(wù)及流量特性對(duì)業(yè)務(wù)VLAN進(jìn)行合理的帶寬規(guī)劃。</p><p>　　然后，不同用戶實(shí)施不同的QoS:對(duì)于重要的服務(wù)器、教師機(jī)通信等，在匯聚層實(shí)施獨(dú)享帶寬和獨(dú)立邏輯通道的二層QoS策略。</p><p><b>　　6、無(wú)線局域網(wǎng)</b></p><p>　　校園內(nèi)加入無(wú)線網(wǎng)絡(luò)，一方面可以方便師生

79、在校園內(nèi)的移動(dòng)入網(wǎng)，也可以使那早期沒(méi)安裝網(wǎng)絡(luò)接口的建筑，如電子樓，5、6號(hào)樓。從學(xué)校的自然布局和辦公情況看，將無(wú)線接入點(diǎn)分別設(shè)在學(xué)生公寓樓和外語(yǔ)樓。外語(yǔ)樓主要面向本樓接入和科學(xué)樓外來(lái)領(lǐng)導(dǎo)的移動(dòng)接入。公寓樓可供5、6的接入。</p><p><b>　　7、網(wǎng)絡(luò)安全</b></p><p>　　網(wǎng)絡(luò)安全性非常脆弱，服務(wù)器防病毒能力差，非常容易遭受到攻擊。加入硬件防火墻可

80、以對(duì)出入校園網(wǎng)數(shù)據(jù)包進(jìn)行監(jiān)控、過(guò)濾， 最大程度的屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)及運(yùn)行情況，以此來(lái)保護(hù)網(wǎng)絡(luò)安全；它具有控制對(duì)系統(tǒng)的訪問(wèn)，集中安全管理，增強(qiáng)的保密性等功能。</p><p><b>　　8、用戶上網(wǎng)需求</b></p><p>　　校園網(wǎng)的主要用戶是教師和學(xué)生，學(xué)?？稍鲈O(shè)一個(gè)透明網(wǎng)關(guān)或認(rèn)證服務(wù)器來(lái)對(duì)用戶身份認(rèn)證及上網(wǎng)計(jì)費(fèi)。同時(shí)包括無(wú)線接入的認(rèn)證。</p&g

81、t;<p>　　3.4校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)</p><p>　　校園網(wǎng)結(jié)構(gòu)設(shè)計(jì)主要指網(wǎng)絡(luò)的物理結(jié)構(gòu)設(shè)計(jì)和邏輯結(jié)構(gòu)設(shè)計(jì)。在完成對(duì)校園網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀分析后，就可以有針對(duì)性的進(jìn)行物理和邏輯上的規(guī)劃設(shè)計(jì)，進(jìn)一步完善校園網(wǎng)絡(luò)。</p><p>　　3.4.1校園網(wǎng)物理結(jié)構(gòu)設(shè)計(jì)</p><p>　　根據(jù)前面對(duì)校園網(wǎng)絡(luò)現(xiàn)狀的分析，可以知道校園網(wǎng)內(nèi)有多少建筑，各建筑內(nèi)包含多少

82、信息點(diǎn)以及它們的分布情況，可以知道校園網(wǎng)的功能及其應(yīng)用。對(duì)些我們就可以做出相應(yīng)的升級(jí)拓?fù)湓O(shè)計(jì)。</p><p>　　此次物理上主要是對(duì)網(wǎng)絡(luò)設(shè)備及通信帶寬的升級(jí)（對(duì)于設(shè)備選擇在第三章中介紹）：</p><p>　　1、升級(jí)核心路由器，采用思科優(yōu)質(zhì)的產(chǎn)品C3600系列。</p><p>　　2、采用思科雙C3750核心交換機(jī)做冗余技術(shù);匯聚層也采用思科C6509原有的可

83、當(dāng)備份用;接入層采用C3500系列。各層設(shè)備都具有千兆以太網(wǎng)端口。</p><p>　　3、增加3A身份認(rèn)證服務(wù)器，增加校內(nèi)外學(xué)生宿舍的校園網(wǎng)接入和校園無(wú)線局域網(wǎng)接入。</p><p>　　4、引入防火墻機(jī)制，提高校園網(wǎng)的安全性。</p><p>　　在通信線路上，此次將校園主干網(wǎng)都升級(jí)為1000M以滿足學(xué)校對(duì)網(wǎng)絡(luò)的需求。接入電信仍為原有的百兆光纖，不過(guò)只要更改光纜

84、的帶寬就可以使網(wǎng)絡(luò)升級(jí)到更高的帶寬；路由器與核心交換機(jī)間采用1000Base-T銅纜連接； 核心交換機(jī)與匯聚層交換機(jī)間采用1000Base-LX光纖連接（在同一室內(nèi)可用優(yōu)質(zhì)雙絞線）。校內(nèi)各網(wǎng)絡(luò)服務(wù)采用100M雙絞線連到核心交換機(jī)。匯聚層交換機(jī)所在的樓房?jī)?nèi)直接采用100雙絞線連接到接入層交換機(jī)，其它樓房的接入層交換機(jī)則用100M光纖連接到該匯聚交換機(jī)上，物理拓?fù)淙鐖D3-1。</p><p><b>　　圖

85、3-1物理拓?fù)鋱D</b></p><p>　　3.4.2校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)</p><p>　　根據(jù)上一節(jié)的設(shè)備選型及校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，我們可以繪制出更詳細(xì)的校園網(wǎng)絡(luò)結(jié)構(gòu)圖，如下列圖3-2。</p><p><b>　　圖3-2邏輯拓?fù)鋱D</b></p><p>　　注：圖2-3中完整IP的均使用默認(rèn)C類掩碼

86、，而只有兩個(gè)IP位的都默認(rèn)省去了前兩位，如：100.6/30其完整IP為192.168.100.6/30，其中30為該IP的掩碼長(zhǎng)度。</p><p><b>　　1、核心與匯聚部分</b></p><p>　　圖3-3冗余部分拓?fù)鋱D</p><p><b>　　2、匯聚與接入部分</b></p><p

87、>　　圖3-4匯聚與接入設(shè)計(jì)圖</p><p>　　注：由于接入層是工作在數(shù)據(jù)鏈路層，所以不需為其設(shè)置IP。</p><p>　　3、VLAN的劃分部分</p><p>　　校園網(wǎng)邏輯結(jié)構(gòu)設(shè)計(jì)主要是IP子網(wǎng)網(wǎng)段的劃分，根據(jù)校園網(wǎng)實(shí)際應(yīng)用需求實(shí)現(xiàn)VLAN的設(shè)置。</p><p>　　從校園網(wǎng)的安全性、IP地址的可管理性和IP地址資源的有限

88、性出發(fā)，將整個(gè)校園網(wǎng)絡(luò)劃分成若干個(gè)子網(wǎng)網(wǎng)段并對(duì)IP地址進(jìn)行有效的管理是十分必要的。子網(wǎng)網(wǎng)段劃分一般應(yīng)遵循以下原則：</p><p>　?。?）需要對(duì)外開(kāi)放的服務(wù)器劃分在同一網(wǎng)段，并分配真實(shí)的IP地址；</p><p>　?。?）除接入Internet的路由器外，將其它所有網(wǎng)絡(luò)設(shè)備劃分到私有的網(wǎng)段；</p><p>　?。?）將不對(duì)外開(kāi)放的服務(wù)器劃分到專有網(wǎng)段中，其地

89、址對(duì)外是隱蔽的；</p><p>　?。?）最好將不同部門(mén)的機(jī)器劃分到不同網(wǎng)段中；</p><p>　　（5）劃分的子網(wǎng)應(yīng)使IP管理簡(jiǎn)單，同時(shí)也要避免IP地址的大量浪費(fèi)；</p><p>　?。?）可使用子網(wǎng)掩碼將幾個(gè)C類地址分給同一個(gè)大的子網(wǎng)，或?qū)⒁粋€(gè)C類地址分給幾個(gè)小的子網(wǎng)；</p><p>　?。?）校園內(nèi)部網(wǎng)IP地址使用保留地址，連接

90、Internet的子網(wǎng)采用真實(shí)IP地址。</p><p>　　以下為學(xué)校升級(jí)中，對(duì)學(xué)校所有網(wǎng)內(nèi)計(jì)算機(jī)的子網(wǎng)劃分情況：</p><p>　　VLAN劃分如表3-1：</p><p>　　表3-1 VLAN劃分表</p><p>　　子網(wǎng)劃分示意圖如圖3-5：</p><p>　　圖3-5 VLAN劃分示意圖</p&

91、gt;<p>　　四、網(wǎng)絡(luò)設(shè)備選擇方案</p><p>　　4.1設(shè)備選擇基本原則</p><p>　　在網(wǎng)絡(luò)升級(jí)選擇網(wǎng)絡(luò)設(shè)備時(shí)，應(yīng)當(dāng)遵循以下原則：</p><p><b>　　1、可靠性</b></p><p>　　由于升級(jí)的往往是核心和骨干網(wǎng)絡(luò)，其重要性不言而喻，一旦癱瘓則影響巨大。因此，必須將可靠性放

92、在第一位，無(wú)論是品牌的選擇，還是設(shè)備的配置，都將可靠性作為第一考慮。</p><p><b>　　2、性能</b></p><p>　　作為網(wǎng)絡(luò)骨干網(wǎng)絡(luò)節(jié)點(diǎn)，中心交換機(jī)、匯聚交換機(jī)和廠區(qū)交換機(jī)必須能夠提供完全無(wú)阻塞的多層交換性能，以保證業(yè)務(wù)的順暢。</p><p><b>　　3、可管理性</b></p>&

93、lt;p>　　一個(gè)大型網(wǎng)絡(luò)可管理程度的高低直接影響這運(yùn)行成本和業(yè)務(wù)質(zhì)量。因此，所有的節(jié)點(diǎn)都應(yīng)市可網(wǎng)管得，而且需要有一個(gè)強(qiáng)有力切簡(jiǎn)介的網(wǎng)絡(luò)管理系統(tǒng)，能夠?qū)W(wǎng)絡(luò)的業(yè)務(wù)流量、運(yùn)行狀況等進(jìn)行全方位的控制和官吏。</p><p>　　4、靈活性和可擴(kuò)展性</p><p>　　由于企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，需要交換機(jī)能夠接續(xù)全系列接口，例如光口和電口、百兆、千兆和萬(wàn)兆端口，以及多模光纖接口和長(zhǎng)距離的單模

94、光纖接口等。其交換機(jī)結(jié)構(gòu)也應(yīng)能夠根據(jù)網(wǎng)絡(luò)擴(kuò)容靈活地?cái)U(kuò)大容量。其軟件應(yīng)具有獨(dú)立知識(shí)產(chǎn)權(quán)，應(yīng)保證其后續(xù)研發(fā)和升級(jí)以保證對(duì)未來(lái)新業(yè)務(wù)的支持。</p><p><b>　　5、安全性</b></p><p>　　隨著網(wǎng)絡(luò)的普及和發(fā)展，各種各樣的攻擊也在威脅這網(wǎng)絡(luò)的安全。不僅僅是介入交換機(jī)，骨干層次的交換機(jī)也應(yīng)考慮到安全防范的問(wèn)題，例如訪問(wèn)控制、寬帶控制等，從而有效控制不良業(yè)務(wù)

95、對(duì)整個(gè)骨干網(wǎng)絡(luò)的侵害。</p><p><b>　　6、QoS控制能力</b></p><p>　　隨著網(wǎng)絡(luò)上多媒體業(yè)務(wù)（語(yǔ)音、視頻等）越來(lái)越多，我們對(duì)核心交換機(jī)節(jié)點(diǎn)提出了更高德要求，不僅能進(jìn)行一般的限速交換，還要能根據(jù)不同的業(yè)務(wù)流的特點(diǎn)，對(duì)他們的優(yōu)先級(jí)和貸款進(jìn)行有效的控制，從而保證重要業(yè)務(wù)和時(shí)間敏感業(yè)務(wù)的順暢。</p><p><b&g

96、t;　　7、標(biāo)準(zhǔn)性和開(kāi)放性</b></p><p>　　由于網(wǎng)絡(luò)往往是一個(gè)具有多種廠商設(shè)備的環(huán)境，因此，所選擇的設(shè)備必須能夠支持業(yè)界通用的開(kāi)放標(biāo)準(zhǔn)和協(xié)議，以便能夠和其他廠商的設(shè)備有效地溝通。</p><p><b>　　8、性價(jià)比</b></p><p>　　在滿足網(wǎng)絡(luò)需求和網(wǎng)絡(luò)應(yīng)用的額基礎(chǔ)上，還應(yīng)當(dāng)充分考慮設(shè)備的性價(jià)比，以達(dá)到最大

97、的投資回報(bào)率。</p><p><b>　　4.2交換設(shè)備選型</b></p><p>　　4.2.1 核心層交換機(jī)選型</p><p>　　根據(jù)學(xué)校的規(guī)模和應(yīng)用需求，為將校園主干升級(jí)為千兆網(wǎng)絡(luò)，我們核心交換機(jī)選用兩臺(tái)CISCO WS-C3750G-24TS-S作核心冗余。</p><p>　　Cisco Catalys

98、t 3750系列交換機(jī)是一款適用于中型機(jī)構(gòu)和大型企業(yè)分支機(jī)構(gòu)的創(chuàng)新產(chǎn)品。該交換機(jī)采用了Cisco StackWise技術(shù)，通過(guò)結(jié)合易用性和可堆疊交換機(jī)的最高永續(xù)性，提高了局域網(wǎng)運(yùn)行效率。</p><p><b>　　關(guān)鍵特性：</b></p><p>　　1、可用性——802.1S/W支持基于標(biāo)準(zhǔn)的容錯(cuò)性、負(fù)載均衡和迅速恢復(fù)；Flexlink特性提供了不到100ms的

99、快速收斂；PVST+則通過(guò)允許流量在冗余鏈路上傳輸，增加了可用帶寬。</p><p>　　2、Cisco StackWise技術(shù)——單一IP地址和單一命令行界面（CLI）簡(jiǎn)化了管理；32-Gbps永續(xù)架構(gòu)加速了收斂；1∶N堆疊采用了冗余和第三層上行鏈路永續(xù)性、跨堆疊Cisco EtherChannel技術(shù)及QoS，提高了可用性；自動(dòng)配置和Cisco IOS軟件版本檢查和升級(jí)加速了部署過(guò)程；交換機(jī)的熱添加和刪除能保

100、持堆疊持續(xù)運(yùn)行。</p><p>　　3、370W PoE簡(jiǎn)化了IP電話、無(wú)線和視頻監(jiān)視部署；智能電源管理特性增強(qiáng)了控制能力，有助于更好地利用功率預(yù)算，PoE與快速以太網(wǎng)或千兆以太網(wǎng)型號(hào)相結(jié)合，能最大限度地利用現(xiàn)有基礎(chǔ)設(shè)施投資。</p><p>　　4、第三層特性—— OPSF、EIGRP、BGP 、靜態(tài) PBR等高級(jí)路由協(xié)議擴(kuò)大了網(wǎng)絡(luò)規(guī)模；等成本路由以及PIM等組播路由能夠最大限度地利用

101、網(wǎng)絡(luò)資源；VRFLite可保護(hù)流量；（5）IPv6在簡(jiǎn)化網(wǎng)絡(luò)尋址和移動(dòng)IP的同時(shí)提高了安全性。</p><p>　　5、QoS—— 流量整形能在不丟棄數(shù)據(jù)包的情況下平穩(wěn)處理突發(fā)流量；整形循環(huán)保證了關(guān)鍵任務(wù)應(yīng)用的帶寬；而Scavenger隊(duì)列則能防止蠕蟲(chóng)過(guò)度使用資源。</p><p>　　6、管理—— Cisco Smartports能快速、簡(jiǎn)單地配置高級(jí) Web界面完成設(shè)置； 資源模板則可

102、用于為應(yīng)用定制交換機(jī)資源。</p><p>　　7、安全——DHCP監(jiān)聽(tīng)能夠只允許可信端口訪問(wèn)DHCP信息，消除了惡意DHCP服務(wù)器；NAC則能防止代價(jià)昂貴的蠕蟲(chóng)和病毒的傳播；動(dòng)態(tài)ARP檢測(cè)和IP源防護(hù)能夠防御中間人攻擊；802.1x和基于身份的網(wǎng)絡(luò)服務(wù)僅允許授權(quán)人員接入網(wǎng)絡(luò)；端口安全能防止MAC地址泛洪攻擊。</p><p>　　4.2.2 匯聚層交換機(jī)選型</p><

103、;p>　　匯聚層交換機(jī)需要支持第三層交換，對(duì)應(yīng)核心冗余，在這里我們也選用兩臺(tái)CISCO WS-C6509-24-SMI作匯聚冗余。</p><p><b>　　產(chǎn)品特點(diǎn)：</b></p><p>　　6509系列是一款功能強(qiáng)大的交換機(jī)，可在中型網(wǎng)絡(luò)中作接入設(shè)備，也可作匯聚設(shè)備。用戶可以在整個(gè)網(wǎng)絡(luò)中部署智能化的服務(wù)，例如先進(jìn)的服務(wù)質(zhì)量（QoS），速度限制，Cisc

104、o安全訪問(wèn)控制列表，多播管理和高性能的IP路由同時(shí)保持了傳統(tǒng)LAN交換的簡(jiǎn)便性。Catalyst 6509系列中內(nèi)嵌了Cisco集群管理套件（CMS）軟件，該軟件使用戶可以利用一個(gè)標(biāo)準(zhǔn)的Web瀏覽器同時(shí)配置和診斷多個(gè)Catalyst桌面交換機(jī)并為其排除故障。Cisco CMS軟件提供了新的配置向?qū)?，它可以大幅度?jiǎn)化整合式應(yīng)用和網(wǎng)絡(luò)級(jí)服務(wù)的部署。 含有標(biāo)準(zhǔn)多層軟件鏡像（SMI）或者增強(qiáng)型多層軟件鏡像（EMI）。EMI提供了一組更加

105、豐富的企業(yè)級(jí)功能，包括基于硬件的IP單播和多播路由，虛擬LAN（VLAN）間的路由，路由訪問(wèn)控制列表（RACL）和熱備用路由器協(xié)議（HSRP）。在剛開(kāi)始部署時(shí)，增強(qiáng)型多層軟件鏡像升級(jí)工具包為用戶提供了升級(jí)到EMI的靈活性。</p><p>　　4.2.3接入層交換機(jī)選型</p><p>　　接入層設(shè)備主要作用是要支持VLAN的劃分，我們可以選用CISCO Catalyst 3500. &l

106、t;/p><p><b>　　4.3路由器選型</b></p><p>　　接入Internet的路由器完全可以選用Cisco 3620，因?yàn)镃isco 3600系列是一個(gè)適合大中型企業(yè)Internet服務(wù)供應(yīng)商的模塊化、多功能訪問(wèn)平臺(tái)家族。Cisco 3600系列擁有70多個(gè)模塊化接口選項(xiàng)，提供語(yǔ)音/數(shù)據(jù)集成、虛擬專網(wǎng)（VPN）、撥號(hào)訪問(wèn)和多協(xié)議數(shù)據(jù)路由解決方案。通過(guò)利

107、用CIsco的語(yǔ)音/傳真網(wǎng)絡(luò)模塊，Cisco 3600系列允許客戶在單個(gè)網(wǎng)絡(luò)上合并語(yǔ)音、傳真和數(shù)據(jù)流量。高性能的模塊化體系結(jié)構(gòu)保護(hù)了客戶的網(wǎng)絡(luò)技術(shù)投資，并將多個(gè)設(shè)備的功能集成到一個(gè)可管理的解決方案之中。</p><p><b>　　關(guān)鍵特性：</b></p><p>　　1、在一個(gè)平臺(tái)中結(jié)合了撥號(hào)訪問(wèn)、先進(jìn)的局域網(wǎng)到局域網(wǎng)路由服務(wù)、ATM連接以及語(yǔ)音、視頻和數(shù)據(jù)的多服

108、務(wù)集成。</p><p>　　2、模塊化、可伸縮的設(shè)計(jì)提供性能、可伸縮性、靈活性和投資保護(hù)。</p><p>　　3、高密度ISDN PRI功能。 </p><p>　　4、預(yù)配置的BRI和PRI調(diào)制解調(diào)器捆綁。</p><p>　　5、支持Modem-over-BRI功能性。 </p><p>　　6、集成了Cisc

109、o IOS軟件（產(chǎn)品定價(jià)中包括IP IOS軟件）。 </p><p>　　7、完全支持VPN。</p><p><b>　　4.4防火墻選型</b></p><p>　　防火墻是一種部署在內(nèi)外網(wǎng)邊界上的訪問(wèn)控制設(shè)備，在校園網(wǎng)中使用防火墻，可以用來(lái)防止未經(jīng)授權(quán)的通信進(jìn)出校園內(nèi)部網(wǎng)絡(luò)，通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。防火墻主要有簡(jiǎn)單包過(guò)濾防火墻

110、、狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻、應(yīng)用程序代理防火墻三種。結(jié)合我們學(xué)校情況，我們選用CISCO PIX 520-R-BUN 防火墻來(lái)保障校園網(wǎng)絡(luò)安全。</p><p>　　CISCO PIX 520-R-BUN防火墻的主要功能：</p><p>　　1、企業(yè)級(jí)集成式安全設(shè)備</p><p>　　2、最高330 Mbps防火墻吞吐率</p><p>　　

111、3、利用硬件加速（某些型號(hào)自帶，在其他型號(hào)中為可選組件）最高可以提供145 Mbps 3DES和135Mbps AES-256 VPN吞吐率</p><p>　　4、最多可以為2000個(gè)遠(yuǎn)程用戶提供VPN集中器服務(wù)（Easy VPN Server）</p><p>　　5、千兆以太網(wǎng)支持；最多8個(gè)10/100 FE或者3個(gè)千兆以太網(wǎng)接口</p><p>　　6、虛擬

112、局域網(wǎng)中繼（基于802.1q標(biāo)簽）和OSPF動(dòng)態(tài)路由支持</p><p>　　7、安全環(huán)境（虛擬防火墻服務(wù)）支持</p><p>　　8、主用/主用和主用/備用防火墻狀態(tài)故障切換支持</p><p>　　9、主用/備用IPSec VPN故障切換支持</p><p><b>　　4.5服務(wù)器選型</b></p>