校园网规划讲解.pdf

校园网的规划与设计 摘 要 随着互联网技术的蓬勃发展，设计一个切实可行并具有很好的安全性的校园网络是一件富有挑战性的工作。本文通过分析网络技术特点和目前校园网的普遍需求及实际应用，讲解了校园网络的基本知识，包括路由器，三层交换机，无线AP，服务器等网络设备，VLAN，和 IP 地址，同时对主要设备进行了选型。最后，对整个设计进行总结，分析校园网络中存在的问题和需要继续完善的地方。关键字：校园网；计方案；需求分析 第 2 页 共 37 页 目录 第一章 校园概述.6 1 校园概述6 2 学院校园网现状6 第二章 校园局域网技术介绍.7 1 计算机网络简介7 2 计算机网络在校园的应用7 3 校园网的建设思路8 4 校园网的建设原则8 第三章 校园网建设需求分析与设计目标.10 1 校园网的需求分析10 2 校园网设计目标10 3 校园网实现的功能11 第四章 技术方案与主要设备.12 1 网络技术12 2 主要设备16 第五章 组网方案.17 1 组网目标17 2 网络组成17 3 本校建筑布局19 第 3 页 共 37 页 4 费用预算19 5 网络拓扑结构图21 6 虚拟局域网（VLAN）设计22 7 IP 地址规划22 8 网络软件运行平台23 第六章 综合布线系统.24 1 综合布线系统概述24 2 综合布线系统的优点28 3 结构化布线系统方案设计28 第七章 无线局域网34 1 高校无线校园网现状34 2 无线局域网（WLAN）的优势35 3 无线校园网拓扑结构图35 4 无线校园网设计原则36 第八章 网络安全.37 1 校园网安全隐患分析37 2 网络安全设计目标37 3 解决方案38 总结与期望.40 感谢.41 参考文献.42 第 2 页 共 37 页 第一章 校园概述 1 学院校园网现状 学院早期校园网络主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在访问速度慢、安全、可管理性较差等方面的问题。现在学校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的 QoS 保障服务，使校园网实现安全可靠的高速访问，从而达到教育管理、多媒体教学、图书馆管理自动化的目的。提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。本着技术先进、投资合理、充分利用现有教学设备，在技术上和设备上适当超前的原则，建立规范化、技术先进、扩展性能良好、性能价格比高的校园网络信息系统。建成以先进的网络技术、计算机技术和多媒体技术为主要手段的多层开放式、全方位信息通讯与信息管理系统。要在全院教学和行政管理两方面实现信息化，积极开发，广泛运用现代教育技术和信息资源，全面提高学院教师学生运用信息技术进行学习和工作的能力，全面推进信息技术与学科课程的整合、创造适应新时代要求的现代教学模式和管理模式，提高教育效益与质量，形成具有现代教育信息化的新特色。第 3 页 共 37 页 第二章 校园局域网技术介绍 1 计算机网络简介 计算机网络是一种地理上分散的，具有独立功能的计算机通过通信设备和线路连接起来，在配有相应的网络软件的情况下使各个计算机系统能相互自由通信，实现资源共享的系统。从计算机单机本身来看，它虽然可以在很短的时间内处理大量的信息，但是单台的计算机只能在自己有限的范围内工作，即使它的存储容量再大也是极其有限的，因此，便产生了在计算机之间交换数据的需求，此外在如何节约使用外部设备等需求，也导致了计算机网络技术的产生，实质上计算机网络技术是信息传播技术和信息处理技术结合的产物。计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网(Local Area Network,LAN)、城 域 网(Metropolitan Area Network,MAN)、广 域 网(Wide Area Network,WAN)。我们经常用到的因特网(Internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。2 计算机网络在校园的应用 当今世界，各种先进的科学技术飞速发展，给人们的生活带来了深远的影响，它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异，从各个方面影响和改变着我们的生活，而其中的计算机网络技术的发展更为迅速，已经渗透到了我们生活的各个方面，人们已经离不开计算机网络，并且随着因特网的迅速普及，给我们的学习与生活条件带来更大的方便，我们与外部世界的联系将更加的紧密和快速。在二十一世纪，普及信息科技，是提高素质教育的一项十分重要的内容，网络技术为提高我们的学习条件具有重要作用。图 1.1 校园网应用体系模型 资源共享 互联网接入 基 础 应 用平台 电子图书 课件系统 教务管理 宿 舍 办 公学习 远程教学 多 媒 体 教学 第 2 页 共 37 页 图 1 所示为校园网应用体系模型。概括起来校园网四个方面的典型应用：第一，校园网是为学生学习活动服务的，是一种学习工具。她不但是学生与他人之间的交流工具，同时也是学习资源的提供者，有利于学生进行探索学习和协作学习。第二，校园网是为教师的教学和科研活动服务的，如提供教学资源、辅助教师备课，参与课堂教学活动和支持教师再学习活动等。第三，校园网是为学校教育教学管理服务的，如辅助学校的学生学籍管理、人事管理、财务管理等。第四，校园网是沟通学校与外面的窗口，利用她既可以从校外获取各种信息，也可以向外发布各种信息。综上所述，我们可以将校园网定义为：一种为学校学习活动、教学活动、科研活动和管理活动服务的校园内局域网络环境。且它是建构在多媒体技术和现代网络技术之上并与因特网连接的。目前教育改革已将计算机网络引入到学校教学的各个环节，引起了教学方法，教学手段，教学工具的重大变革，这些变革为实现教育现代化起到了巨大的推动作用，因此大力发展计算机教育特别是计算机网络教育。建设校园计算机网络系统已成为我国各教育部门，各级学校都已建成或正在拟建各种教学网络，发展和建设校园计算机网络将成为今后发展的必然趋势。3 校园网的建设思路 校园网的建设是一项非常复杂的系统工程，校园作为一个特殊的网络应用环境，它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠，维护简单的原则。校园网的建设主要应用局域网技术以及多媒体技术为主的各种网络应用技术。局域网技术是一项在 20 世纪 70 年代发展起来的计算机互联技术，经过多年的发展，技术已经成熟，并得到了广泛的应用，局域网技术成为网络技术的重要组成部分。计算机多媒体技术是伴随着多媒体信息的应用而得到迅速的计算机应用技术，在网络环境下，多媒体得到了更快更好的应用，使我们得到了更好更多的信息。校园网是使用了局域网技术以及各种多媒体应用技术，并结合 Internet 应用等其它的技术来建设。使得校园网能满足现代教学对信息处理的要求，使计算机的应用能对教学管理现代化起重要的促进作用，能实现信息查寻、教务管理，并与外部网络系统进行交流等多种需要。4 校园网的建设原则 校园网建设是一项综合性非常强的系统工程，它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使校园网的建设工作健康稳定地开展。首先，校园网的建设是一个为学校教育教学活动长期服务的工作，因此在校园网的规划建设过程中，必须从学校长远发展规划出发，以服务于教育为基本点，结合学校当前教育教学的实际需要，做出科学的规划部署。当前校园网络建设的过程中存在着脱离实际需要，片面追求规模的倾向，动辙投资几百万甚至上千万建设校园网，在人员、管理、服务等各方面水平尚不到位的情况下，使用效率与资金投入形成了巨大的反差，造成资源闲置、资金浪费。因此本文认为校园网的建设首先要满足当前教育教学活动的需要，经济实用，同时也要充分考虑到学校今后的发展，在规划设计时要为以后的扩容发展留有余地，并选用目前比较成熟、先进的技术与产品。在校园网的规划建设中，一般学校应遵循“统 第 3 页 共 37 页 一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥校园网络的功效，提高校园网对学校教育的服务水平。在校园网的管理上应该认清对象、明确目标，选用合适的各类应用软件，来组织建设各类资料库，优化网络资源，为科学管理、学习交流、共享信息通畅渠道。同时在校园网络管理中还必须严格遵守有关的国家法律、法规，保障网络使用的安全可靠。校园网建设原则主要体现在以下几个方面：(1)可靠性与稳定性 计算机网络要求具有高度可靠情与稳定性，能有效防止局部故障引起整个网络系统的瘫痪。为实现上述目的，应在网络设计中提供拓扑和设备的冗佘和备份，使故障能在最短的时间内进行恢复，让网络故障的发生和损失降到最小。(2)技术先进性 由于学校有大量的数据信息需要处理，因此要求网络有较高的数据通信能力和较大的数据带宽，所以网络设备必须具备高速处理数据的能力。在网络结构上使用技术先进的高速网络，才能满足大量数据传输与处理的需要。只有保持技术的先进性，才能使网络系统适应不断更新换代网络技术，才能延长网络的使用期限，提高网络用户的投资效益。(3)扩展性 随着网络用户的不断增多，使得网络规模不断扩大，所以在网络设计时要求网络能方便地进行扩充容量，才能支持用户的需求。网络系统应用能随不断发展的网络技术而能够升级到新的网络技术和设备，从而延长网络系统的使用期限。(4)安全性 网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。由于校园网与外部网进行互联特别是和 Internet 的互联，Internet 是一个开放式网络系统，它的安全性是很差的。因此安全问题更加重要。应该采用一定的技术来控制网络的安全性，从内部和外部同时对网络资源的访问进行控制。当前主要的网络安全技术有，用户身份验证，VLAN 划分，防火墙等技术。网络系统还就具备高度的数据安全性和保密性。(5)实用与经济性 校园网的特点决定了网络系统必需要有实用与经济性。实用性使得网络便于管理、维护，以减少网络使用人员运用网络的难度，从而降低人为操作引起的网络故障，并使更多的人掌握网络的使用。应根据学校的实际情况，由于学校的建设资金有限，所以一般都要求网络具有较高的性价比，所以在建设校园网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。第 2 页 共 37 页 第三章 校园网建设需求分析与设计目标 1 校园网的需求分析 大学是一个小社会，网络应用类型非常复杂，信息媒体类型较多，且具有信息流猝发特点。在大学校园网建设中，应充分兼顾信息资源共享与服务、多媒体教学和教务管理等因素对网络的需求。大学建设校园网，一般经费比较充裕，在网络技术上应该留有一定的空间。校园网设计应满足以下条件：（1）网络应具有传递语音、图形、图像等多种信息媒体功能，二极以上交换机支持组播功能。（2）具备性能优越的资源共享功能，以及校园网中各信息点之间快速交换功能。（3）由于大学校园网规模较大，教学与科研部门众多，如果所有信息点在同一冲突域中，网上广播风暴就会使网络性能严重下降，中心交换机应支持 VLAN 和第三层交换技术，支持 QoS，对网络用户具有分类控制功能，对网络资源的访问提供完善的权限控制，以提高网络的安全与性能。（4）校园网与 Internet 网连接后，应具有“防火墙”过滤功能，以防止网络黑客入侵网络系统。（5）能够对接入因特网的各网络用户进行权限控制和记费管理。2 校园网设计目标 我们在着手设计一个校园网或者计算机局域网时，其主要依据就是网络用户（学校）的需求及将要建设的网络系统的特点。通过对实际需要进行细致的分析，才能确定系统的总体目标和近期目标。需求分析是如何设计、建设和应用校园网的关键。在完成校园网的需求分析之后，就要对整个校园进行物理结构和逻辑结构的设计，因为这是我们根据需求在具体设计校园网时首先要完成的工作。（1）总体目标 对于一个校园网来说，系统的总体目标就是在一个时期内，当校园网完全建设好后所要达到的功能和具有的规模。一般来说，一个校园网系统总体目标是分步实施的，包括功能的分步实施和规模的分步实施。主要原因是受资金的限制（这是在建设校园网时普遍遇到的问题）和技术发展的影响（因为随着计算机网络技术的飞速发展，校园网总会有进行升级的需求）。因此我们在设计一个校园网时，要充分考虑到对已有校园网资源的再次利用，又要考虑到将来对校园网进一步的升级改造。（2）近期目标 近期目标就是根据实际需求来设计和建设校园网，使建设好后的校园网能满足实际需求所应有的功能和规模，同时又要考虑将来能对校园网进一步的升级改造或者是后期工程的建设，系统近期目标是需求分析的重点。校园网的近期建设要达到以下的目标：第 3 页 共 37 页 1 在学院建成一个适合于信息采集、共享的内部网络，在此基础上建立起供教学及人员培训使用的内部网络以及内部办公网络；2 实现到 Internet 的接入，实现信息在 Internet 的发布；3 校园网实现的功能 通过 Internet 服务，学校可建立自己的主页，利用外部网页来进行学校宣传，提供各类咨询信息等，利用内部网页进行管理（如发布通知，收集学生意见等）；WWW 服务，作为信息服务的平台；图书馆访问系统，用于计算机查询.检索.阅读等；教务办公，让校领导能及时.全面.准确地掌握全校的教学.科研.学籍.一般管理的情况；文件 FTP 服务，以获取重要的科技资料和技术文当；无线局域网，作为校园网的辅助；Email 服务，作为信息传递和与外界交流的主要手段；第 2 页 共 37 页 第四章 技术方案与主要设备 1 网络技术 学校建设校园网有许多需要考虑的问题，如网络技术的选择、网络拓扑结构的选择、网络产品的选择、网络服务器的选择以及操作系统、网络应用服务、网络管理及网络安全等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术的选择。(1)网络技术类型 网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等原则，并充分考虑性能价格比和今后技术的发展。要求系统兼容性好，易于平滑连接，避免网络瓶颈。当前达到或超过 100Mbps 的高速网络技术主要有：快速以太网、FDDI、千兆以太网、ATM 交换网。FDDI 是几年前十分流行的高速网络技术，虽然技术十分成熟，但网络管理复杂且成本较高，现已被逐渐淘汰。ATM 是比较先进的网络技术，它采用信元交换方式，以很高的速率在任意两点间建立直接的虚拟通信链路，有较强的传输质量控制能力，特别适合于多媒体信息的传输。但在实际使用事因端口价格过高，难以大规模采用。以太网是种成熟的、质优价廉的网络技术，其标准已制定完备。经过多年发展，形成了完善的 10Mbps、100Mbps 和千兆以太网技术，同时还由共享式的网络发展成为交换式的以太网，具备与FDDI、ATM 网络融合的多种方法与规范。从技术上看，以太网技术还有不断发展的佘地，是一种能够到长期使用和发展的技术，另外以太网还可以在不同速率之间平滑升级，不会有网络协议和规范上的障碍。综全以上对高速网络技术的分析，我认为在当前校园网的建设中应以建设和使用100Mbps快速以太网为主，在局部主干上使用千兆技术进行连接。(2)网络拓扑的选择 当前在局域网的建设中，主要应用的拓扑结构有总线型、环型和星型。在总线型网络中，由于各计算机共享一条通信电缆，而且不需要额外的通信设备，因此，可以节约组网费用。但是其缺点也是十分明显的，网络中的任何一个节点出现故障，都将导致整个网络瘫痪，这与在网络建设要求网络具有高可靠性和沉佘性不相符，因此使用总线型拓扑结构建设的网络已趋于淘汰，在新的网络建设中不应再使用。环型拓扑结构是令牌环网络技术所常用的一种网络拓扑结构，环型结构的缺点与总线型的缺点是差不多的，也是一种不太常用的网络拓扑。当前在各种网络系统的建设中使用最多的是星型拓扑结构，虽然星型拓扑结构的网络在布线和网络设备的花费多一些，不过目前各种硬件设备已经非常便宜了，这种花费是可以承受的。因而它的优点也是十分突出的，主要是当网络中某个节点出现故障时不会影响整个网络的运行，这使得网络从总体上可以提供高度的可靠性和沉佘性，这个性能十分适合校园网这种应用环境，也是校园网的建设中必须要求做到的。所以在网络方案中，整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。这种拓扑结构与以往的总线结构相比具有以下特点：网络的可靠性增强，如果在网络中的一个站点或一条线路的发生故障时，不会影响到其它接点的正常工作；网络的可扩展性强，如要扩充网络结点，则只要有一条线即可将扩充结点联接到网络上，且不影响其它结点的工作；网络便于日常的管理和维护，可远程管理和配置网络；第 3 页 共 37 页 网络带宽容易扩展，配备光纤接口和千兆位接口扩展口；与公网连接链路的网络安全；考虑远程宽带接入访问；(3)交换技术介绍 交换技术主要分为:第二层交换，第三层交换，第四层交换，多层交换。第二层交换：第二层交换是基于硬件设备的桥接，数据帧的发送是由专门的硬件来解决，通常是使用 ASIC 芯片。如今，在园区网的设计中，集线器通常被交换机取代。交换机与集线器相比，它的优点是非常突出的，试想，一个有 100 人的工作组使用集线器共享一个半双工的 10M 网段，那么平均每个人只有分配到 100K 左右的带宽，如果是用全双工的交换机的话，那么每端口的带宽是 20M，相差甚大，但服务器的端口就成了瓶颈。交换机可以使网络设计在每个网段上提供更多的主机数，使一个完整的园区网方案中包含更少的逻辑网络或者物理网络。然而，交换机也和网桥一样有他们共同的局限性，网络的广播数据还是会随着网段上主机数目的增加而增加。广播也影响着主机传输数据，STP 限制、收敛速度慢和冗余链路封闭的问题仍然存在。第三层交换：第三层交换的实质是基于硬件的路由，数据包的发送也是通过ASIC芯片来完成的。在园区网设计中，第三层交换机可以依靠协议、接口和特殊功能的支持来代替路由器，支持标准数据包头并改写 TTL 值的第三层交换模式叫逐包转发模式。第四层交换：第四层交换指的是在硬件路由的基础上再加上应用程序的功能。在TCP 或 UDP 数据流中，应用请求被编码成端口号放在数据报的头部。路由器可以用扩展访问列表来控制数据传输，也可用 NetFlow 交换模式进行流量计算。多层交换：多层交换指的是“一次路由，然后交换”，它可以根据 MAC 地址、IP地址、协议和端口号进行交换。在高性能的网络中，这种技术被广泛采用。(4)虚拟局域网 VLAN VLAN（Virtual Local Area Network）的中文名为虚拟局域网，VLAN 是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有 VLAN 协议的第三层以上交换机才具有此功能。IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 802.1Q 协议标准草案。VLAN 技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLAN 内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理 LAN 网段。由VLAN 的特点可知，一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN 网络可以是有混合的网络类型设备组成，比如：10M 以太网、100M 以太网、令牌网、FDDI、CDDI 等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN 除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN 是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了 VLAN 头，用 VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。第 2 页 共 37 页 （5）VLAN 的划分方法 VLAN 在交换机上实现方法，可以大致划分为六类:基于端口划分的 VLAN 这是最常应用的一种 VLAN 划分方法，应用也最为广泛、最有效，目前绝大多数 VLAN协议的交换机都提供这种 VLAN 配置方法。这种划分 VLAN 的方法是根据以太网交换机的交换端口来划分的，它是将 VLAN 交换机上的物理端口和 VLAN 交换机内部的 PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的 VLAN 交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于 MAC 地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的 MAC 地址集。这样就可以防止非法入侵者从内部盗用 IP 地址从其他可接入点入侵的可能。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义 VLAN 成员时非常简单，只要将所有的端口都定义为相应的 VLAN 组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。基于 MAC 地址划分 VLAN 这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分，即对每个 MAC 地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的 MAC 地址，VLAN 交换机跟踪属于 VLAN MAC 的地址。这种方式的 VLAN 允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属 VLAN 的成员身份。由这种划分的机制可以看出，这种 VLAN 的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN 不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员，保存了许多用户的 MAC 地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样 VLAN 就必须经常配置。基于网络层协议划分 VLAN VLAN 按网络层协议来划分，可分为 IP、IPX、DECnet、AppleTalk、Banyan 等 VLAN网络。这种按网络层协议来组成的 VLAN，可使广播域跨越多个 VLAN 交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其 VLAN 成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的 VLAN，而且可以根据协议类型来划分 VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别 VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查 IP 帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。根据 IP 组播划分 VLAN IP 组播实际上也是一种 VLAN 的定义，即认为一个 IP 组播组就是一个 VLAN。这种划分的方法将 VLAN 扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局 第 3 页 共 37 页 域网，主要是效率不高。按策略划分 VLAN 基于策略组成的 VLAN 能实现多种分配方法，包括 VLAN 交换机端口、MAC 地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的 VLAN。按用户定义、非用户授权划分VLAN 基于用户定义、非用户授权来划分 VLAN，是指为了适应特别的 VLAN 网络，根据具体的网络用户的特别要求来定义和设计 VLAN，而且可以让非 VLAN 群体用户访问 VLAN，但是需要提供用户密码，在得到 VLAN 管理的认证后才可以加入一个 VLAN。（6）VLAN 的优越性 任何新技术要得到广泛支持和应用，肯定存在一些关键优势，VLAN 技术也一样，它的优势主要体现在以下几个方面：增加了网络连接的灵活性 借助 VLAN 技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地 LAN 一样方便、灵活、有效。VLAN 可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了 VLAN 后，这部分管理费用大大降低。控制网络上的广播 VLAN 可以提供建立防火墙的机制，防止交换网络的过量广播。使用 VLAN，可以将某个交换端口或用户赋于某一个特定的 VLAN 组，该 VLAN 组可以在一个交换网中或跨接多个交换机，在一个 VLAN 中的广播不会送到 VLAN 之外。同样，相邻的端口不会收到其他 VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。（7）防火墙技术 防火墙是计算机网络上一类防范措施的总称，它使得内部网络与 Internet 之间或其它外部网络互相隔离、限制网络互访，用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的则可以用主机甚至一个子网来实现，设置防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理。防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视 Internet 安全和预警的方便端点。由于网络具有天生的开放性，所以有许多防范功能的防火墙也有一些防范不到的地方，如防火墙不能防范不经由防火墙的攻击和感染了病毒的软件或文件的传输。因此，防火墙只能是一种整体安全防范政策的一部分。实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在 IP 层实现的，它的原理是根据报文的源 IP 地址、目的 IP 地址、源端口、目的端口报文信息来判断是否允许报文通过，因此它可以只用路由器完成。在用应用层网关实现的防火墙有多种方式，如应用代理报务器和网络地址转换器等。（8）Internet 接入技术 如果校园网不能和 Internet 连接的话，就不能是一个完整的网络，也不能充分利用Internet 网上的大量信息资源。因此校园网和 Internet 的连接技术就显得十分重要了，它关系到校园网与外部网络能能否进行可靠的连接。当前适合校园网与 Internet 的宽带连接方式主要有 ADSL 和光纤专线接入。ADSL 是一种非对称的宽带网络数据传输技术，它的一个明显优势是经济上实用。ADSL宽带线路通过 ADSL Modem 接入 Internet 代理服务器的网卡上的，不过 ADSL 专线的接入 第 2 页 共 37 页 是用传统的模拟电话双绞线线路布线不很规范，线路质量不够好，达不到高速传输的要求，目前它只用在一些中小型网络。光纤接入是一种在校园网建设中普遍使用的一种技术，它是通过构建专用的 Internet 服务器来实现的，在服务器上运行各种网络服务软件，为校园内部的用户提供 Internet 的接入服务。光纤接入的优点是可提供比较高的网络带宽和稳定性，但它的连接较为复杂。（9）网络操作系统 网络操作系统 NOS（Network Operating System）是在计算机操作系统的基础上，加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议，是使网络上各计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集合。目前主要的网络操作系统有 NetWare、Unix、Linix 和 Windows NT/2000。在校园网中一般情况下都用 Windows NT/2000/2003/XP 网络操作系统，因为它是图形化的操作界面、使用简单、安全可靠，以及和普及率很高 Windows 系列单机操作系统的兼容性很好。2 主要设备（1）服务器：网络上，储存了所有必要信息的计算机或其它网络设备，专用于提供特定的服务。例如，数据库服务器中储存了与某些数据库相关的所有数据和软件，允许其它网络设备对其进行访问，并处理对数据库的访问。文档服务器就是计算机和储存设备的组合，专用于供该网络上的任何用户将文档储存到服务器中。打印服务器就是对一台或多台打印机进行管理的设备，而网络服务器就是对网络传输进行管理的计算机。（2）交换机：交换机是第二层、第三层、多端口设备。交换机提供与集线器或网桥类似的功能，但拥有更多的先进性能，能够对任意两个端口进行临时连接。它包含一个交换矩阵或交换结构能够用于迅速地连接端口或切断端口间的连接。与集线器不同的是，交换机仅将信息帧从一个端口传送到目标节点所在的其它端口，而不会向所有其它的端口广播。（3）路由器：路由器在网络上将数据从发送者发送给接收者。路由器能够确定数据的目的地址并能够确定传输数据的最佳路径。与网桥和交换机不同之处在于，网桥和交换机利用硬件上配置的 MAC 地址来确定数据的目的地址，而路由器利用逻辑网络地址，如 IP 地址，来作出相应的决定。（4）网关：网关这一术语用来指任何设备、系统或软件应用程序，它们能够起到将数据从一种格式转化成另一种格式的功能。网关并不会改变数据本身。例如：从技术角度来说，能够将数据从 IPX 网络传送到 IP 网络的路由器就是一个网关。同样地，能够在以太网和令牌网之间往返传输数据的解析型交换机也可被称为网关。（5）光纤：光纤是以光脉冲的形式来传输信号，以玻璃或有机玻璃等为网络传输介质。它由纤维芯、包层和保护套组成。光纤可分为单模(Single Mode)光纤和多模(Multiple Mode)光纤。单模光纤只提供一条光路，加工复杂，但具有更大的通信容量和更远的传输距离。多模光纤使用多条光路传输同一信号，通过光的折射来控制传输速度。（6）无线 AP：AP 为 Access Point 简称，一般翻译为“无线访问节点”，它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。通俗的讲，无线 AP 是无线网和有线网之间沟通的桥梁。由于无线 AP 的覆盖范围是一个向外扩散的圆形区域，因此，应当尽量把无线 AP放置在无线网络的中心位置，而且各无线客户端与无线 AP 的直线距离最好不要超过 300米，以避免因通讯信号衰减过多而导致通信失败 第 3 页 共 37 页 第五章 组网方案 1 组网目标 根据校园网络建设应遵循原则的介绍和各种网络技术的分析。总的来说，交换式快速以太网是目前成熟技术中最先进、最实用的。所以决定选择光纤交换式快速以太网作为校园网主干，系统总体上采用国际上流行的TCP/IP 协议，并兼顾 IPX 协议，采用开放体系及在各种应用实践中得到检验的快速以太网技术和产品。为了加强对分布式多媒体交互教学的探索，校园网可分为三个层次结构：主干网、广域网和内部局域网。主干网采用 1000Mbps 快速以太网技术，内部局域网与主干网之间用以太网交换机进行互联，根据用户的需求，网络建设目标，采用交换式千兆以太网作为主干网，网络拓扑结构为星型，这样可有利于提高网络的高可靠性，便于维护和管理。采用交换式快速以太网做主干有以下原因：速度快，安装、维护简单。主干速度为 1000Mbit/s交换，能够满足网络应用层对主干网宽要求；基于标准技术，使用了以太网 MAC 层上定义的 CSMA/CD 协议，可迅速利用现有设备接入，网络升级方便，性能价格比高。建设目标：构建普通学校校内 Intranet 环境，并通过代理服务器接入 Internet，实现与 Internet 交流。建设校园网络中心，并通过一定的网络拓扑结构构建连接校园网络中心、计算机教室、教师备课机房、多媒体教学活动室、图书馆、校长室、教导处、财务处等的校园网，使之能通过一定的应用软件完成行政办公管理、教师备课授课、学生学习交流、校内信息公告、远程电子通讯、Internet 通讯浏览等基本功能。要实现上述总目标，方案将采用星形全交换千兆以太网的千兆主干，百兆交换到桌面的大型校园网的解决方案：高性能全交换，千兆骨干（多模光纤）、百兆交换到桌面（UTP 双绞线）；虚拟局域网（VLAN）策略，提高局域网内部的安全与性能；多业务，多媒体教学、办公管理、远程通信一网实现；管理简单，基于游览器和网络管理工具的图形化配置；系统安全，安装专门的防火墙，提供互联网接入的安全保障；高速缓存，提高广域网速度，降低网络费用；2 网络组成 (1)网络主干 基于当前信息技术发展形势及经济实用可持续发展原则，建议构建 1000M 带宽的快速以太网，根据实际工作站信息点到网络中心的距离，选择适当的传输媒介进行网络综合布线。一般来讲，在同一幢大楼内距离不超过 100 米均可铺设超五类非屏蔽双绞线，而楼与楼之间的连接主干线原则上应架设光缆，以满足今后发展的需要。(2)网络中心 也就是校园网中心机房，应配置有各种系统服务器（如：Web 服务器、Email 服务器、代理服务器）、文件服务器（数据库服务器）、中心交换机、配线机柜等。如刚使用时数据流量不大，可只配置一台服务器，视今后网络发展情况再作扩充。为保证网络运行稳定 第 2 页 共 37 页 可靠，网络中心的设备选型应选择信誉可靠、质量上等、性能稳定、扩充性优良的专业产品。(3)计算机教室 学校现有超过千台的微机，通过星型网络拓扑结构将所有微机连接到可堆叠交换机上，再通过交换机连接校园主干网。为方便教学，可在以上网络教室的基础上安装多媒体教学平台，使之成为一个既能完成信息技术学科教学，又能进行多媒体辅助教学，还能开展基于 Internet 技术的网络活动的多媒体网络活动室。(4)教师备课机房 为了能给广大教师提供一个完备的多媒体网络备课环境，校园网应能为每位教师提供网络接入终端，即每位教师都配有一台连接校园网的多媒体计算机。配有多媒体的连网计算机既能满足广大教师电子备课、电子阅览的需要，同时也能满足教师进行远程通讯、网上检索等基于 Internet 环境的教科研活动。(5)图书馆系统 图书馆系统应该包括两个方面，第一是图书编目、借阅管理系统，它为图书馆管理提供了标准化、自动化、网络化的采编、流通、查询、统计以及读者管理等手段，如省教委推荐使用的共创图书管理系统；第二是多媒体视听阅览室，满足读者使用越来越多的电子音像读物的要求。多媒体视听阅览室从技术本质上来讲就是一个多媒体计算机网络室，如果学校已建好前面所述的多媒体网络活动室或教师备课机房，只要在网络上连接有一套光盘镜像服务器，即可实现多媒体视听阅览的功能。(6)多媒体综合教室 信息化环境的构筑其根本目的是为教学服务的，因此课堂信息化教学环境的建立应该是校园网建设的一个重要目标。针对课堂教学而言，计算机网络应能为师生合作教学模式提供支持。在合作教学模式下，教师通过网络安排教学计划，指导学生学习，批改学生作业，实施网上教学；学生既可以在教师帮助下进行自主学习，也可通过小组讨论等形式在同伴中开展合作学习。在当前情况下，在每个教室构建信息化教学环境还处在摸索探讨阶段，存在着投资大、可参考方案少等不利因素。有的学校采用在每个班级配置高