高校数字化校园-网络系统建设方案.docx

《高校数字化校园-网络系统建设方案.docx》由会员分享，可在线阅读，更多相关《高校数字化校园-网络系统建设方案.docx（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、高校数字化校园网络系统建设方案（详细规划）管理的方便性与安全性：防火墙的设置是一项非常重要的工作，一个设置良好 的包过滤防火墙就可以发挥很好的作用，但设置防火墙是一项非常复杂的工作，因 此应该尽量选择设置方便的防火墙，同时无论远程还是本地，都必须保证设置只能 由管理员完成，并且防火墙的设置无法为人非法修改。审计和日志功能：防火墙的审计和日志信息往往是许多安全事件最好的证据之 一，因此良好的审计和日志功能是优秀防火墙的共同特征。好的审计和日志功能支 持用户进行各个层次的审计，并提供工具进行审计数据的转储、处理、查询等。平台自身安全性：防火墙自身往往成为不少网络攻击的对象，因此其自身应该 有足够的

2、强度保证自身平台的安全。产品必须通过国家信息安全保密职能部门的认可。根据上述原则和招标文件要求，我们选择具有高性价比的CISCO PIX 535系列 防火墙。无线网规划分析在计算机网络具体的网络环境搭建中，某些场所由于其特有的原因，不适合进 行布线系统的搭建或者布线系统不能满足其要求，例如像图书阅览室、大规模会议 室 和休闲场所。在这些场合中，由于网络应用者使用网络有着随意和不固定的特 点，布线系统无疑会限制使用者的应用。这样，无线网络应用就会作为布线系统 和传统网络的必要补充，也会纳入的应用。无线网的应用不像传统布线那样明确和直观，由于无线网应用中存在种种不确 定性，在无线接入点(AP)的分

3、布和无线信号的强弱方面，必须经过实验才可以最 终确定。而且在带宽和网络可用性方面，无线网也远不能和有线网相提并论；无线 网的优势在于它的灵便性和方便性，无线局域网络绝不是用来取代有线局域网络， 而是用来弥补有线局域网络之不足，以达到网络延伸之目的，下列情形可能须要无 线局域网络。令 无固定工作场所的使用者令追求灵便和方便的休闲场所令有线局域网络架设受环境限制的场所令作为有线局域网络的备用系统1.2网络方案总体设计本章主要针对校园网本期工程建设的具体需求，而提出校园网建造的网络总体 建议。校园网设计主要包括以下部份：令校区高速主干设计令路由协议设计令无线网络设计令网络管理的设计下面，我们将针对校

4、园网的需求分别介绍各逻辑部份的设计方案。1.2.1 主干网络技术选型选择好的网络技术，构建强健的网络主干是系统的首要方面。在目前的校园网络选型中，主要包括星型以太网络和环形网络两种，在网络传 速速度上，又以千兆网络和万兆网络为主。为保障某大学网络建设的茁壮性和可靠性，建议某大学建立万兆以太核心网络, 采用星型+环形技术将某大学的网络建设成为中国高校校园网络建设的典范。目前，万兆千兆网络已经成为交换网络的成熟技术，并得到各大高校的认可和 应用。建议在采用万兆主干，千兆楼层、百兆接入方式为网络系统中心局域网骨干 来构建核心一一汇聚一一接入三级系统。1.2.2 核心网络方案设计从各家交换机厂商产品分

5、析，在由千兆以太技术构成城域网方案中，cisco产 品在技术先进性方面具有较为明显的优势，性价比较高。在全国高校校园网建设中， CISCO交换机产品占领了较大的份额，因此，建议采用CISCO公司交换机系列来构 建校园核心一一汇聚层交换机，在边界接入设备、防火墙设备均选用CISCO公司产 品，并可实现所有网络设备的集中管理，大大减轻了设备管理和维护的复杂度。在某大学校园网的规划中，整个系统将来要达到1500020000信息点的规模。 这就要求，在校园网初期网络建设中校园网的主干节点必须要考虑足够的余量，以 保障将来网络的扩展。1）在图文信息中心建设某大学的核心网络，两台主核心交换机万兆互联，各自

6、 分别以万兆方式连接各个主汇聚交换网点，并建立校区的数据中心和各类应用软件 服务系统；2）在校园网中设立4个骨干汇聚节点，分别是公共教学楼、通用工程学科群院 系统楼、商船类学科群院系统楼和学生宿舍楼。通过单模光纤以双路千兆方式接入 到网络核心，并向下以千兆方式接入到楼层；同时，4个汇聚节点之间以千兆互连， 形成校区内的星型环网，有效避免校园骨干的单点故障。3）在楼宇内根据信息点分布特点合理设置配线间，每配线间配置适当数量的接 入交换机（或者交换机堆叠）提供桌面信息的接入，并千兆连接至各区域汇聚交换机。 实现所有接入交换机千兆上连，百兆接入信息点。某大学校园网建设总体结构示意图设计如下：上图所示

7、为某大学区网络系统建设的总体规划蓝图，采用核心、汇聚、接入 三层网络构建架构，核心设备放置在图文信息中心大楼，根据地理位置和校园内 信息点分布情况，分别在公共教学楼、通用工程学科群院系统楼、商船类学科群 院系统楼和学生宿舍楼设置4个主汇聚节点：今学生宿舍区主节点负责各个学生宿舍、教师宿舍以及食堂的信息 点汇聚。今公共教学楼主节点负责教学楼、文理科群院系楼、试验楼、实训 楼、大礼堂和校医院的信息点汇聚。今商船类学科群院系统楼负责各个科研楼和相关食堂的信息点汇 聚。今通用工程学科群院系统楼负责两个通用工程学科群院系楼、3个经 济管理学科院系楼、行政楼和学术交楼中心等的信息点汇聚。图文信息中心大楼网

8、络核心采用两台Catalyst6509,互为备份。二台核心交换机 之间通过运行HSRP热备份路由协议，实行故障的自动诊断以及故障发生后的自动 切换功能。同时，两台Catalyst 6509之间采用用两个万兆端口进行双链路互联，设 备间的吞吐量可以达到20Gbpso在物理链路之间，通过采用端口聚合协议(PAgP)可 以最有效地自动平衡通信负载。至于局域网的扩展，对于接入信息点，可以很方便的在各分配线间根据需 要增加接入交换机，与原有接入交换机堆叠。而核心配置的Catalyst6509更 具有强大的扩展性，它是插槽式交换机，以后可根据需要配置10模块，本次 配置还余有5个空余插槽，能满足未来一定时

9、间内的扩展需要。两台Catalyst 6509上配置如下：/ 各每台都配置WS-SUP720-3B引擎(交换机背板720G)、双电源、高 速风扇，提供冗余备份，增加交换机的整体可靠性，两交换机运行 HSRP高性能路由协议，更增强系统可靠性；/ 分别上配置一块WS-X6704- 10GE模块，提供4个万兆以太网接口， 用于主核心交换机的两条万兆捆绑truck链路的连接以及与相邻主汇 聚交换机的万兆连接；/ 各配置一块WS-X6724-SFP千兆接口模块，它能够提供24个千兆光 纤端口，主要提供信息点大楼楼层交换机的接入，以及其他千兆光纤 设备的接入；/ 各配置WS-X6548-GE-TX模块，提

10、供48个10/100/1000M以太网接 口，提供服务器等的千兆连接。1.2.3 汇聚交换机的建设汇聚交换机同样采用CISCO CATALYST 6500系列交换机，跟核心交换机相 同，汇聚交换机同样配置720Gbps大容量背板，可扩展至每秒数据包的转发率 为400MPPSo汇聚交换机采用CISCO CATALYST 6506系列插槽式交换机，以后 可根据需要配置10模块，本次配置还余有3个空余插槽，能满足未来一定时 间内的扩展需要。在公共教学楼、通用工程学科群院系统楼、商船类学科群院系统楼和学生 宿舍楼4台Catalyst 6509上配置如下：/ 每台都配置WS-SUP720-3B引擎（交换

11、机背板720G）、双电源、高速 风扇；/ 分别配置一块WS-X6704-10GE模块，提供4个万兆以太网接口，用 于万兆上联核心交换机以及与相邻主汇聚交换机的万兆连接；/ 各配置一块WS-X6724-SFP千兆接口模块，它能够提供24个千兆光 纤端口，主要提供各个洁如楼宇千兆节点的接入。1.2.4 接入交换机的建设（CISCO产品方案）在各个楼宇内部的信息点建设中，根据信息点数量不同，各个楼宇设置若干个 配线间，将楼内的信息点全部集中到各配线间内，采用10/100M接入交换机提供各 信息点接入的需要，通过千兆连接到相对应的汇聚中心设备上，当配线间信息点数 量超过48个时，通过多台接入交换机堆叠

12、或者千兆直连的方式满足需求。根据部门 及应用划分VLAN,以降低网络广播，提高网络利用率，同时也可提高各部门的安全 性。在本方案，我们选用全系列CISCO交换机组建某大学的网络系统，接入交换型 号的选用根据具体配线间的情况，可选用CISCO 2950G或者CISCO 2950T系列交换 产品，分别以千兆光口或者电口接入汇聚交换机。1.2.5 接入交换机的建设（华为产品方案）考虑到资金投入的问题，接入层交换机可选用价廉物美的国产接入级交换机， 可采用华为LS-S3026C-SI系列交换机。华为LS-S3026C-SI交换机可提供24个以太口，最多2个千兆口并可提供堆叠 功能，可将多达13台交换机

13、进行堆叠。我们可以采用S2026C堆叠的方式，可实现 300点以上的信息点的接入。同时，为了加速与网络核心层的业务传输，它利用其 固有的服务质量（QoS）管理功能、线速转发功能和一致的网络管理的简洁性，可在 有限的预算范围内实现端到端的CISCO组网方案。1.2.6 主干网络可靠性考虑由于占地面积大，考虑到网络设备日常的管理维护不方便，因此规划需充分 考虑网络的可靠性，主要包括：今在校区光缆布线时通过星型结构+环网结构连接核心和汇聚节点，提供基 于链路的可靠性；今核心及主汇聚设备选用相同品牌产品，核心层考虑配置两台核心交换机互 为备份；今核心主节点设备选择可靠性较高的产品，同时考虑一定模块的冗

14、余，同时 采用ESRP或者VRRP协议在汇聚层交换机上将各子网网关相互备份；各楼宇配线间接入设备通过一路千兆上联到汇聚点设备上。远期也可根据应用 情况，接入设备采用双路千兆路线上联到不同的两个汇聚点设备上，提高可靠性， 避免由于汇聚层设备发生问题影响整个区域内楼宇网络的瘫痪。1.2.7 INTERNET 访问设计随着大学城的扩建，网络安全问题更显得必要和突出。为保障新校区网络建设 的安全，建议在新校区INTRANET设备中增添防火墙设备，以免遭来自INTERNET 和大学城内部的黑客攻击。INTRANET接入设备的选型，建议统一采用CISCO设 备，以提高可管理性并简化网络结构复杂度。在外部网

15、出口的地方配置一台Cisco 3825路由器，具有2个10/100/1000M以 太网口，其中1 口连接内部网，另1 口提供Internet的接入。Cisco 3825路由器 具有2个网络模块插槽，将来出口增加时，可再配置合适的模块，提供该出口的连 接。Cisco 3825是新型的路由器，其性能达到350Kpps的包转发率。约等于150Mbps 的处理能力。所以对于百兆的出口而言，Cisco 3825的处理能力彻底能够满足数据 包处理的需要。而且，Cisco 3825 集成为了入侵防护系统(Intrusion Prevention System, IPS) 功能。相比传统的入侵检测系统IDS,

16、绝大多数IDS系统都是被动的，而不是主动 性的，也就是说，在攻击实际发生之前，它们往往无法预先发出警报。入侵防护系 统IPS则倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量 进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或者传送后才发 出警报。IPS是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络 端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或者可疑内容 后，再通 过此外一个端口将它传送到内部系统中。这样一来，有问题的数据包， 以及所有来自同一数据流的后续数据包，都能够在IPS设备中被清除掉。在防火墙的选择上，选用CISCO PIX535系

17、列防火墙，提供两个千兆接口分别 接入到边缘路由器和内部交换设备，除向校园内部用户提供防护功能外，还可提供 NAT服务，提供内外网地址转换功能。1.2.8 路由协议设计作为大型园区网和大型广域网的结合体，合理的选择路由协议是网络能否发挥 最佳设计性能的关键。如果使用静态路由，会带来大量繁琐的配置工作，且可能随 着网络应用情况的变化容易浮现错误却不易查出，管理成本相对较高。因此考虑动 态路由协议，以方便网络的管理，提高网管的综合效率。动态路由协议应具备下面基本特点：1、应为国际标准的路由协议，考虑不同厂商设备间的互通；2、路由协议本身不应对网络带宽产生大的负载；3、支持负载均衡，由于网络拓扑考虑了

18、多处的dual-homing,因此需要充分利用冗 余的路线及端口；4、收敛时间短，在由于多种原因造成网络实际连接拓扑发生变化时，在较短的时间 里收敛生成稳定的路由表；5、扩展性强，可以适应将来网络的扩展，做平滑的过渡。按照以上原则，我们使用国际标准OSPF路由协议，它具有以下特性：1 .通过维护一个链路状态数据库，使用基于Dijkstra的SPF路由算法，实现快速收 敛；2 .使用Hello包来建立和维护路由器之间的邻接关系；3 .使用域(area)来建立两个层次的网络拓扑，使网络结构层次分明，易于扩展；4 .具有域间路由聚合的能力，有效减少核心层路由设备的路由表项，提高工作效率；5 .都是无

19、类(classless)协议，支持灵便高效的IP地址划分；6 .通过选举指派路由器(Designed Router)来代替网络广播，使路由协议本身对网 络带宽的消耗很低；7 .具有认证的能力，防止路由欺骗；8 .支持负载均衡路由的能力，充分利用冗余的带宽。无线接入设计的网络结构中，在会议室，图书馆等场所网络建设中，包含了无线网络部份， 提供了有线网络良好的延伸和补充。向来在为教职工和学生提供完善的数据服务。为了能实现让学生们在课堂上和 校园图书馆内接入网络的技术，我们的设计中采用了业界率先的Cisco Aironet系列 无线设备。在具体的网络环境搭建中，无线网的应用不像传统布线那样明确和直观

20、，由于 无线网应用中存在种种不确定性，在无线接入点(AP)的分布和无线信号的强弱方 面，必须经过实验才可以最终确定无线网的优势在于它的灵便性和方便性，可用来 弥补有线局域网络之不足，以达到网络延伸之目的，下列情形可能须要无线局域网 络；令 无固定工作场所的使用者令追求灵便和方便的休闲场所令有线局域网络架设受环境限制的场所令作为有线局域网络的备用系统无线数据解决方案通过接入设备体现其作用，接入设备通过以11Mbps的速度 发送电磁波谱来传送数据，覆盖的范围可达400500米（距离越远速度越慢，视具 体环境而定）。规划采用无线网络技术实现师生在校园内随时、随地的接入需要，扩展网络的 使用范围，特殊

21、在露天广场、湖边等环境优美的休闲场所提供无线接入，同时可体 现校区数字化校园网络应用的水平。组网拓扑图如下所示：有线网络的规模较大、终端数量较多、对网络传输要求高，如果将无线网络加 载在现有有线网络之上会加重有线网络负担，因此综合这些因素考虑，可以额外布 一套有线网络用以承载无线网络，以缓解有线网络的压力。此外，考虑到本无线网络规模大、覆盖范围广、用户数多的特点，对网络性能 和用户认证都提出了很高要求，如果将全无线网络都划到一个虚网内，则会严重影 响网络性能，因此我司建议将全无线网络根据无线网络覆盖的功能区域及用户数划 分为几个子网，每一个无线子网分别由一台无线网络控制器AC2022 （以下简

22、称 WNC AC2022）进行控制，而在中心有一台接入服务器OCAMAR Access Server （以下 简称OCAMAR AS）,负责为各无线子网提供用户账号的集中统一管理和计费。此外考虑某大学整个校园的基本无盲点的覆盖，为保证信号覆盖全面又无信号 间的干扰情况产生，我们在设计时采用了在室内天馈系统，在室外才用大功率发射 的方案，尽量减少AP的数量，增加天线扩大无线接入点的覆盖范围。在无线接入点 的选择方面，我们为某大学选择了国际知名品牌思科产品以及最新的802. 11G技术， 选用54M AP作为整个校区的覆盖。采用天馈系统的AP,选用Aironetl231G-K9-A, 可拆换天线的

23、AP；未用天馈系统的AP,选用Aironet 1120G-K9-A,来节省成本。设计指标：各信号输出点信号强度16-20dbm；将按照2. 4G工作频段2. 4122. 462GHz （FCC）分为 channel1.、channel6 channel 11 三个彻底不干扰频段设计； 目标覆盖区域信号强度-78dbm。1210网络管理网络的可管理性是网络的一个重要组成部份，特别在复杂的网络系统中，网络 管理就显的更加重要。网络管理普通分为五大部份：故障管理、配置管理、性能管 理、安全管理和帐号管理。令故障管理检测、隔离和修正网络故障。令配置管理根据基准线修改和跟踪网络设备的配置变化。它也提供跟

24、踪网络设备操作系统版本的功能。令帐号管理指跟踪网络资源使用，并据此提供帐单服务。令性能管理指测量网络行为和传输的包、帧和网络段的效率。性能管理包括协议、应用服务和响应时间等。令安全管理 指保持和传送论证、授权信息，如passpowrd和秘钥 等。通过使用审计、log等功能进一步增加网络的安全性。为了保证整个网络安全、可靠、稳定、高效的运行，需要进行严格、规 范、科学的管理，主要需求如下：A、分布式监控：在网络中心建立监控中心，负责采集所有网络的运行状第1章网络系统建设21.1 校园网需求分析与设计规划 21.1.1 校园网设计需求21.1.2 网络建设规划及分析41.2 网络方案总体设计91.

25、2.1 主干网络技术选型91.2.2 核心网络方案设计91.2.3 汇聚交换机的建设121.2.4 接入交换机的建设（CISCO产品方案）121.2.5 接入交换机的建设（华为产品方案）131.2.6 主干网络可靠性考虑131.2.7 INTERNET 访问设计131.2.8 路由协议设计141.2.9 无线接入设计151.2.10 网络管理171.3 安全性设计 191.3.1 本地主机系统的安全考虑201.3.2 内部网安全控制201.4 网络设计分析211.4.1 高性能、高带宽的网络主干211.4.2 可靠性设计221.4.3 网络的安全性设计23况，主机的运行信息，主要包括：软硬件信

26、息、系统资源（内存、硬盘等）的 使用情况等，各类信息视其重要程度，采集的频率也不同，普通为5分钟至1 小时，采集的包大小从5K至100K不等，由监控的对象和内容所决定；B、安全管理：对所有主机的关键资源进行安全性设置，防止非法的访 问；C、用户管理：对各主机上的用户帐户进行统一管理；D、软件分发：由分发服务器进行系统软件和应用软件的分发；E、远程控制：对上网终端进行控制，要求可以监控到各终端的屏幕状 况，但对网络带宽要求较高；F、网络拓扑管理：对各单位的所有子网能够进行直观的管理，按照设备 连接的逻辑关系对拓扑结构能够进行层次划分，在各层拓扑结构图中实时反映 各类设备的连接状态，为故障定位等功

27、能的实现提供基础；各设备的状态刷新 实时性要求较高，每次刷新时对网络流量有一定的影响；G、故障报警与定位：网络发生故障后要能在管理员窗口弹出报警窗，指 示所发生的事件，为故障处理提供参考和依据，以更快地定位故障，及时处 理。同时还能够根据各关键结点的工作情况提示，及早做好故障的预防和预处 理；H、设备配置管理：将网络设备的配置管理集成在统一的管理界面中，在 全局网络拓扑图中点击网络设备，能够浮现相应的管理界面，在此管理界面中 能够进行设备全部功能的配置，弥补先前管理方式的不足；I、网络流量监测：能够监测网络之间特殊是广域网之间的流量，监控网 络的繁忙程度，对网络带宽的利用率进行分析，能及时掌握

28、网络的瓶颈所在， 为网络通道的调整和扩充提供可靠数据。网络管理软件采用Cisco Works2000网络管理软件来实现统一的管理。网管软件CISCO WORKS 2000是一系列基于SNMP的互连网络管理软件应用 程序，能够为网管员提供一系列强大的功能，如清晰的了解网络状况、及时发现网 络故障、方便的远程处理设备故障、远程设备版本升级等。CiscoWorks2000 中包含 Campus Manager3.0 Cisco View5. 1 Content Flow Monitor、Resoure Manager Essentials3. 1 TafficDierctor 等五个应用软件包。整个

29、网络从网络中心的核心交换机到主干节点交换机，到中心路由器、边界路由器、 访问服务器，都是采用CISCO公司的配套产品，使整个网络具有完整的一致性，统 一的网络管理和统一的流量控制。1.3安全性设计随着网络的应用日益普及，网络用户越来越多，网络的安全性成为了所有 网络服务的提供者最关心的问题之一。网络系统中的安全性问题包括网络中信 息系统的安全性和网络本身固有的安全性。保证系统的安全性要从管理和技术 角度同时考虑，通过制定不同的安全策略来达到特定的安全要求。网络的安全策略在实现时主要针对两种情况，一种是网络系统自身的安全 问题，如路由器的安全隐患、匿名FTP的安全隐患、TELNET的安全隐患等，

30、 可以通过对各种关键系统设备的加以控制来消除；另一种是给用户提供的各种 服务是否安全，主要体现在网络应用上，如用户的数据或者信息在网络传递过 程中的安全控制。其中网络系统自身的安全程度将直接影响到整个系统的可 用性和稳定性，它是系统安全的基础。一个系统存在的安全问题可能主要来源于两方面：或者是安全控制机构有 故障；或者是系统安全定义有缺陷。前者是一个软件可靠性问题，可以用优秀 的软件设计技术配合特殊的安全方针加以克服；而后者则需要精确描述安全系 统。网络应用系统的安全体系应包含：访问控制检查安全漏攻击监控通过对特定网段、服务建立的访问控制体系，将绝大多数攻击 阻挠在到达攻击目标之前通过对安全漏

31、洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效通过对特定网段、服务建立的攻击监控体系，可实时检测出绝 大多数攻击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）加密通讯主动的加密通讯，可使攻击者不能了解、修改敏感信息OE良好的认证体系可防止攻击者假冒合法用户备份和恢复多层谨防良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数 据和系统服务攻击者在突破第一道防线后，延缓或者阻断其到达攻击目标设立安全监为信息系统提供安全体系管理、监控、保护及紧急情况服务控中心1.3.1 本地主机系统的安全考虑计算机病毒是伴有着计算机而产生的，它同时随着计算机技术的发展而发展， 在

32、网络环境中，计算机病毒更易于传播，其对系统的危害也是明显的，在实验室管 理网建设中，由于该网络与Internet网络彻底隔离，而且主要运行办公网内部的公 文流转、文件交换、信息共享，办公自动化等，其危害主要来源于内部用户。因此， 在实验室管理网中对计算机的保护主要在于安全规范管理。比如，不允许使用外来 软盘、U盘等挪移存储介质，防止受病毒感染的挪移介质影响该终端，从而传播给 其他终端。我们建议采用网络与单机相结合的方式来避免计算机病毒的危害。一方面采用 网络防病毒软件保护服务器，同时实现对网络病毒的监控、报警和实时清除；另一 方面也要定期对工作站用单机的防病毒软件进行杀病毒。对防病毒软件统一管

33、理， 及时升级，确保系统没有病毒的危害。1.3.2 内部网安全控制1、VLAN技术通过VLAN的划分，利用中心交换机上高性能路由模块的管理和控制，可 以控制内部各VLAN间的访问，例如VLAN中的某个IP地址只允许访问该VLAN 内部的资源，或者某个VLAN只允许其它VLAN的用户以HTTP或者FTP等方式 对它进行访问等，这样就可以有效的限制VLAN间访问的范围和权限。方案中所选交换机均支持虚网功能，可将相同职能的办公室及信息点化并 为同一个VLAN,通过IEEE 802. 1Q协议，可以实现跨交换机的VLAN设置，因 此VLAN的设置不会受到地理位置的限制。中心配置Catalyst6509

34、以线速交换 VLAN信息，消除以往在路由处理上的瓶颈，提高了网络效率。2、MAC地址的过滤对于重要的网段何部门，其接入交换机上可以考虑通过MAC过滤方式对接入PC 终端进行限制，例如领导、财务等重要部门以及数据中心等。3、 ACCESS LISTCISCO和华为公司在其核心软件I0S中嵌套了 Accesslist访问控制列表功 能，因此，Cisco所有的路由产品均能够对进出的数据进行安全访问控制。在 内部网上，可以通过Catalyst6509上的多层交换模块的访问控制功能对各个 网段间的访问进行安全控制。限制网段间的访问范围、方式及应用。同时本方 案中接入产品交换机也具有相应的ACL功能。4、

35、AAA用户验证功能Cisco和华为的的接入层交换机都具有802. IX身份认证功能，通过各自相应的 AAA用户身份认证功能，对某些网络登录用户进行身份验证，有效的防止外界的恶 意入侵。1.4网络设计分析根据用户网络系统结构特点，通过对用户需求的研究和设计，以下特点贯通在 我们所设计的方案中，成为校园网改造工程设计与建设的特色；也是保证贵校在未 来几年内不落后的有效保障。今高性能、高带宽的网络主干今网络的高可靠性今较高的安全性今网络的可扩展性今统一的网络管理今灵便的VLAN划分今支持多媒体应用1.4.1 高性能、高带宽的网络主干方案中选用的设备都具有业界率先的性能，我们采用了 CISCO公司高性

36、能的 千兆位以太网路由交换机Catalyst 6509作为中心交换机，利用它强大的交换能力构 造高带宽的网络骨干。并且能够很方便地将主干网升级到万兆以太网，网络中心 Catalyst 6509能够提供高达720Gb的背板带宽，这样高的吞吐量可以毫不费力地在 网络环境中支持高性能的IP网络结构。Catalyst 6509将路由的功能和交换的性能结合为一体，在支持千兆位以太网的第1章网络系统建设1.1 校园网需求分析与设计规划1.1.1 校园网设计需求通过对校园网需求的研究，结合对用户网络的考虑，我们认为校园网应具备以 下特性才干够满足需求，并保证建成后的网络在一个较长的时间内具有较强的可用 性和

37、一定的先进性。高可用性与先进性校园网网络系统要求组建万兆主干网络，具有极高的数据通信能力和足够的带 宽；并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据， 网络应有较高的网络主干速度。网络设备必须具备高速处理能力，提供高速数据链 路，保证网络高吞吐能力，满足各种应用（如：视频会议系统）对网络带宽的需求； 在各部门的工作组中采用交换技术，以保证在工作中网络的快速响应速度，用于提 供较高的工作效率。A高可靠性网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及核心设备的 冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络浮现单点失 效。在网络骨干上要提供备份链

38、路，提供冗余路由；在网络设备上要提供冗余配置， 设备在发生故障时能以热插拔的方式在最短期内进行恢复，把故障对网络系统的 影响减少到最小，避免由于网络故障造成用户损失。网络主干交换机等网络结点关键设备必须具备一定的容错能力。关键结点设备 运行中浮现故障后，能够有效、及时地进行故障恢复；要求结点设备的设置、恢复 过程必须在短期内迅速完成。基本配置的终端方式操作要简单，结点内部的配置 内容可以通过笔记本电脑采用TCP/IP协议下载保存、或者是上载恢复。A安全性校园网网络作为一个支持众多用户、并同时和INTERNET/CERNET存在连接 的网络，网络安全性在整个网络中是个很重要的问题，我们应该采用一

39、定手段控制 网络的安全性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控 制用户对网络资源的访问。可以用身份认验证、VLAN划分等技术有效地控制内部 用户的行为，比如杜绝对IP地址的盗用和侦听用户口令等，同时也能够利用防火墙 控制外部人员对网络的访问；网络系统还应具备高度的数据安全性和保密性，能够 防止非法侵入和信息泄漏。A可管理性强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网络 进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。灵 活的设置每一个用户对Internet访问功能，能够对每一个用户实行管理；并且能够 实现复杂的计费管理。A可扩充

40、性随着用户应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用 户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备， 保证用户现有的投资。某大学的主干设备全部采用机柜式主交换机，保障了网络的 可扩充性。aVLAN划分根据校园网的实际需求，属于同一部门的工作人员可能在不同的建造物中，但 需要在一个逻辑子网内。网络站点的增减，人员的变动，无论从网络管理，还是用 户的角度来讲，都需要虚拟网技术的支持。虚拟网可以建立不受物理区域限制的， 覆盖整个校园的相互具有一定独立性的逻辑子网，各逻辑子网间广播报文相互隔离 并通过第三层的访问控制设置实现可管理的子网间的互相访问。因此在

41、网络主干中要支持三层交换及VLAN划分。根据管理以及各部门智能的 分配或者用户定义的其它策略进行相应的VLAN的灵便划分，在整个网络中使用虚 拟网技术，以提高网络的安全性和灵便性。网络中心设备和骨干设备能够提供线 速的VLAN之间的路由和高性能的第三层的数据包的处理。A多层交换技术通过三层交换技术，特殊是基于硬件的第三层交换，可以避免不同的网段或者 VLAN之间访问时由于路由效率的影响而产生的传输效率影响。对于一个应用， 当第一个数据包发送到交换机时，通过路由设备进行转发，同时在专用芯片中存入 有关的信息，使得后来的所有数据包均无需通过路由设备再次处理，而直接由交换 机进行转发。这样就可以充分

42、的利用交换机的包处理能力，实现真正的线速交换。同时，由于三层交换技术的引进，大大减轻了中心路由设备的工作压力，使之 再也不需要将大量的CPU处理能力花在重复性的数据转发工作上，从而可以承担 更为复杂且重要的工作。A多播技术和多媒体支持校园网要求具有数据，图象，话音等多媒体实时通讯能力；并在主干网上提供 足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的 余量供突发的数据传输使用，最大可能地降低网络传输的延迟。整个网络在服务质 量(QoS)、预留宽带设置、合理进行带宽管理方面应提供优良的品质。IP组播技术有 其独特的优越性一一在组播网络中，即使用户数量成倍增长，主干带宽不需

43、要随之 增加。1.1.2 网络建设规划及分析1.1.2.1 网络系统整体规划在计算机网络系统建设中，为建设“数字化校园”，必须贯彻“整体规划、分布 实施、逐步升级”的思路，对校园网逐步进行逐步完善。在校园网的规划中，整个系统将来要达到1500020000信息点的规模。这就要 求在进行校园网初期网络建设中，校园网的主干节点必须要考虑足够的余量，以保 障将来网络的扩展。在校园网的对外接入方面，可以考虑配置高性能路由器以接入 CERNET和INTERNET,并配置高性能防火墙以保障校园网的安全。同时，需要建 立拨号访问服务器以提供对在校园网外部用户对内网的访问功能。1.1.2.2 网络规划分析在计算

44、机网络系统的总体建设中，我们可以将分为三个层次。1）在图文信息中 心建设的双核心网络，两太主交换机分别以单模千兆方式连接二级交换中心，并建 立校区的数据中心和各类应用软件服务系统；2）在校园网中设立四个汇聚中心，通 过单模光纤以万兆速率接入到信息中心主交换机并通过环网结构将4个二级核心交 换机互联；向下以千兆方式接入到各个接入楼宇；2）在各楼层内部通过对接入交换 机进行堆叠或者千兆级连，实现所有接入交换机千兆上连，百兆接入桌面信息点。主干设备负责对园区网内的所有数据进行高速转发，为数据库服务器和应用服 务器群之间大容量信息交换提供有效的高速通道，主干网络如果浮现故障，整个校 园网就会全部瘫痪。

45、因此，在主干交换机选性方面，对交换机的安全性、可靠性、 稳定性、可扩展型等方面都有相当高的要求。为保证网络中心节点的高可靠性和可用性，可以考虑采用两台主交换机分别作 为主备方式接入网络，将核心网络的平均无故障时间提高到99.999%以上，基本可 以保障网络实现全年不间断的顺畅连通。1.123核心网络产品分析目前主流的高端网络设备厂商包括Cisco、Extreme Cabletron、Nortel 等，各个厂家均有一定的市场份额，而且各家的产品也有各自优势所在。CISCO公司是目前世界上排名第一的网络设备和解决方案供应商，生产的 三大系列产品：ATM交换机、多协议路由器和LAN交换机产品，掌握着

46、计算机 网络联系统全球市场的50%以上，CISCO在行业中的领袖地位越来越明显。它 具有强大的技术开辟队伍和网络专家共同为网络产品的走向把脉，并实时地提 出具有世界率先的技术，领导网络新潮流。例如CISCO的DPT技术将被采用为 新一代的网络技术，并且已经得到了较好的应用。CISCO公司的独特优势在 于其创造的网际网互联操作系统（I0S）,它可以将所有CISCO产品平滑地联接 成一体，同时给用户提供一个可支持任意硬件界面、任意链路层、网络层协议 的可扩展的开放型网络。目前，不仅所有CISCO公司的产品都融入了 I0S技 术，许多第三方合作火伴也在其产品中使用了 I0S技术，因此，I0S己成为工

47、业界网际网互连的事实标准，选择CISCO公司产品，可以充分利用其先进的 软硬件网络技术，更好地满足网络设计要求。同时Cisco公司在产品的返修服务方面有许多的便利条件，也积累了许多 大型园区网络建设的经验。Cisco公司的网络产品是国际知名的主流产品，选 择Cisco网络产品具有广阔的发展前进和良好的技术保障，同时还有良好的服 务体系支持。CISCO提供多种技术来保障设备的高可靠性和可用性：1. 针对 VLAN 的生成树(PVST)用于 Cisco Interswitch Link (ISL)和 802.IQ VLAN Trunking；2. Cisco 增强型的生成树，包括 Uplink F

48、ast and Port Fast；3. Cisco Hot Standby Router Protocol (HSRP)和 HSRP Track；4. Cisco IOS基于地址的负载均衡，在相等的0SPF路径开消；5. Cisco I0S针对0SPF的快速收敛；6. Cisco IOS针对Cisco路由器的专用IGRP/EIGRP快速路由协议因此，主要网络设备(中心交换机、接入交换机和广域网路由器等)采用Cisco 的产品，搭建出一个高性能、高可靠性并具有强大收缩性的网络平台。整体系统具 有标准化和开放性：符合国际标准，支持TCP/IP协议、标准路由协议；具有先进 性和成熟性一选择支持三层路由交换、二层交换、虚拟网(VLAN)划分的成熟的国 际先进的网络技术和设备；提供了无阻塞的内部交换能力，以及DDN、拨号/ISDN、 宽带IP等多种形式的终端接入方式。网络安全的考虑在计算机网络