毕业设计（论文）-校园网规划与设计--VLAN划分及IP分配、网络管理、局域网配置.doc

毕业设计（论文）题目名称：校园网规划与设计VLAN划分及IP分配、网络管理、局域网配置院系名称：计算机学院班 级：网络工程062学 号：学生姓名： 指导教师： 2010 年 6 月 III 论文编号：200600824222校园网规划与设计 f VLAN划分及IP分配、网络管理、局域网配置 The campus network planning and design院系名称：计算机学院班 级：网络工程062学 号：200600824222学生姓名：范指导教师： 2010年 6月摘要处在高速发达的信息时代，网络技术在人们的生活中已经起到了越来越重要的作用，作为传播科技与文化的学校，理应建立一套安全可靠的校园网络，使教育不断创新，与时俱进。随着校园网的不断发展，规模在不断扩大，用户在不断增加，网络应用也在不断增长，网络变得越来越复杂，冲突不断产生，管理难度日益加大。学校内部对于灵活、动态地组建LAN网段的要求也越来越多，客观上要求LAN本身的结构可以实现动态组建、调整和管理。为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，充分合理地进行VLAN划分，是必需的。本课题正是以本校的校园网为例组建一个具有代表意义的校园网络，综合了网络工程规划与设计、设备选型、VLAN划分、子网划分、IP分配、传输与布线及网络管理等技术。设计的目标是组建成一个可扩展的，安全稳定的，易于管理的，高速的网络，能实现校园网高速上网，多媒体教学等各种服务的应用，以满足现代教学的各种需求。关键词：校园网； IP分配 ；VLAN划分； 网络管理AbstractIn the High-speed developed information era， advanced network technology in peoples lives have played more and more important role， as the spread of science and technology and culture， the school should establish a set of safety and reliability of the campus network ducation， make continuous innovation， advancing with The Times。 With the continuous development of campus network， the scale expansion in the user in increasing， network application is also increasing， the Internet is becoming more and more complex， conflict management， continually produce growing difficulty。 Inside the school for flexible， dynamically form LAN segment are demanding more objectively requires LAN itself can realize the dynamic structure formation， adjust and manage。 In order to effectively improve the flexibility of network management， improve efficiency and network security， network adequately reasonably divided， for VLAN is necessary。 This topic is in the form of the campus network as an example， a representative of the campus network， the network project planning and design， equipment selection， VLAN， divided， IP subnets， transmission and distribution network management technologies such as cabling。 Design goal is to set up a scalable， safety and stability， easy to manage， high-speed network， can achieve high speed Internet connection， multimedia teaching network services， in order to meet the application requirements of modern teaching。Keywords: Campus Network IP distribution VLAN division Network management目 录摘要IAbstractII目 录III第一章 前言1第二章 校园网现状及需求分析22.1校园网络现状22.2 需求分析32.2.1校园网的总体设计原则42.2.2 校园网的组网技术一般有以下选择4第三章 系统设计与实现73.1 设计原则73.2设计目标7第四章 系统总体方案设计94.1 网络整体设计94.2网络系统接入设计104.2.1 接入模式104.2.2 设备扩展能力104.3 网络安全设计114.3.1安全到边缘的设计思想114.3.2全局安全的设计思想114.3.3全程安全的设计思想114.4 校园网网络管理设计方案124.4.1 SAM管理系统124.4.2身份认证124.4.3网络攻击的防范144.4.4完整审计154.5 网络管理设计164.5.1网络设备管理164.5.2网络故障管理194.6 流量管理系统设计194.6.1 方案一：传统的流量管理方案194.6.2方案二：锐捷的流量管理与控制方案204.7 划分安全子网 VLAN214.7.1 提高网络性能214.7.2 组建虚拟组织224.7.3 简化网络管理224.7.4 提高网络安全224.7.5 减少设备投资224.7.6 VLAN 的划分方式224.8 VLAN 的划分及IP分配实例234.9综合布线设计25第五章 主要设备选型及配置实例275.1设备的选型275.2、系统配置方案305.2.1 核心层配置实例305.2.2 汇聚层设备的配置实例335.2.3 接入层交换机37、网络管理相关配置40第六章 关于新建图书馆的相关规划与设计实例4161规划需求4162设备需求4163 网络安全需求4164 网络管理需求4165 用户管理需求4166设备选型4167图书馆南机房配置实例4268 图书馆南机房配置实例43第七章 结束语47致 谢48参考文献49附录50附录 A50附录B51附录C6147 中原工学院计算机学院毕业（设计论文） 第一章 前言随着经济的发展和国家科教兴国战略的实施，校园网络建设已逐步成为学校的基础建设项目，更成为衡量一个学校教育信息化、现代化的重要标志。目前，大多数有条件的学校已完成了校园网硬件工程建设。校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先，校园网应为学校教学、科研提供先进的信息化教学环境。这就要求：校园网是一个宽带 、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等，都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系)，也可以形成多个局域网络，并通过有线或无线方式连接起来。近年来，国内校园网建设发展迅速，到目前为止国内所有大中专院校几乎都建设了自己良好的校园网。他们为我国大学内部实现教育的资源共享、信息交流和协同工作提供了较好的范例。然而，随着我国各地校园网数量的迅速增加，校园网之间如何实现教育的资源共享、信息交流和协同工作的要求越来越强校园网是以现代网络技术、多媒体技术及Internet技术为基础建立起来的网络架构，一方面连接学校内部网络和分散于校园各处的终端设备，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。不能简单的把校园网理解为一个物理意义上的由一大堆网络设备组成的硬件网络，而应该把校园网理解为校园信息化、现代化的基础设施和教育生产力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点，校园网必须有大量先进实用的应用软件和网络协议来支撑，软硬件的充分结合是校园网充分发挥作用的前提。第二章 校园网现状及需求分析2.1校园网络现状学校的具体情况如下：我校有三个校区，分南、北、西校区。我校是1995年第一批接入CERNET的高校之一。经过10几年的建设，校园网基础设施已经覆盖了所有校区，其中包括学生宿舍及教工家属区。校园网拥有中国教育和中国网通两个千兆出口，实现链路冗余，保证了校园网骨干网的良好可靠运行。南北校区采用万兆网通区间光纤互联。全校注册上网计算机共14458台（截止到今日），再加上各院系实验室计算机以及一些无需认证上网的办公用机总数超过16000台。学校目前拥有相当于64个C类公网地址的ip用于校内计算机与外网的互联。随着销校网络规模的日益扩大，校网络中心对校园网络管理工作进行了业务流程重组，采用RG-SAM系统注册、报修故障和维修记录全部在网上登记，起到用户档案完善、故障跟踪的关键作用，保证了网络的安全和可靠运行。2.1.1 现有互连网络的拓扑CERNRT、 网通两线，共三线接入核心路由器（NE40），满足用户对Internet的需求。防火墙连接NE40和北区核心三层交换机（8512）。在防火墙的DMZ区连接服务器群，提供校园网的WEB、DNS、E-mail等服务。在核心交换机Quidway8512上由多模光纤连接至计算中心、图书馆、主教楼、基础实验楼以及东教学楼。各个宿舍楼经过882汇聚之后，连接到Quidway8512。南北校区之间两台华为三层交换机Quidway8512用万兆光纤直连，南区Quidway8512作为南校区的核心层。 在全院三层交换机和路由器上采用OSPF路由协议。所有用户数据在8512汇聚后，通过防火墙，由连接NE40的2条网通链路和一条教育网链路接入Internet。在南北校区核心交换机Quidway8512上划分VLAN对全校VLAN进行管理。2.1.2地址和命名特征校园网 IP 地址分为两大块：校园网内部的私有 IP 地址，采用 RFC 中规定的地址段，不能访问Internet 和Cernet ，只能访问校内资源，用于未认证的宿舍楼部分； Cernet 分配的多个C 类公网IP 地址，作为和互联网互连的地址。我校采用由 DHCP 服务器结合RAIDUS认证服务器分配 IP 地址，在分配时依据其所提供的认证信息判断其所处位置来分配网段的作法。如图2.1所示。图2.1 中原工学院校园网拓扑图2.2 需求分析校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，因此，校园网的建设必须有明确的建设目标。2.2.1校园网的总体设计原则l 开放性采用开放性的网络体系，以方便网络的升级、扩展和互联；同时在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。 l 可扩充性从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构，以及技术的开放性和对相关协议的支持等方面，来保证网络系统的可扩充性。 l 可管理性利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能；使日常的维护和操作变得直观，便捷和高效； l 安全性内部网络之间、内部网络与外部公共网之间的互联，利用VLAN/ELAN、防火墙等对访问进行控制，确保网络的安全； l 投资保护选用性能价格比高的网络设备和服务器；采用的网络架构和设备充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资； l 易用性应用软件系统必须强调易用性，用户界友好，带有帮助和查询功能，用户可以通过Web查询。2.2.2 校园网的组网技术一般有以下选择主干网主要选择万兆、千兆（适合于高校）或百兆以太网技术来构建校园网络，对两层结点和桌面微机的接入也采用快速以太网，建立一个基于多层、全交换的虚拟园区网。 校园网在设计上应具备以下特性才能够满足需求，并保证建成后的网络在一个较长的时间内具有较强的可用性和一定的先进性。 1）高性能与技术先进性 校园网网络系统要求具有较高的数据通信能力和较大的带宽；并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据，网络应有较高的网络主干速度。 2）高可靠性 网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，设备在发生故障时能以热插拔的方式在最短时间内进行恢复，把故障对网络系统的影响减少到最小，避免由于网络故障造成用户损失； 3）安全性 校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络，网络安全性在整个网络中是个很重要的问题，应该采用一定手段控制网络的安全性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性，能够防止非法侵入和信息泄漏。4）可管理性 强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能，能够对每个用户实行管理；并且能够实现计费管理。 5）可扩充性 随着应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证现有的投资。 6）VLAN划分 根据校园网的实际需求，属于同一部门的工作人员可能在不同的建筑物中，但需要在一个逻辑子网内。网络站点的增减，人员的变动，无论从网络管理，还是用户的角度来讲，都需要虚拟网技术的支持。因此在网络主干中要支持三层交换及VLAN划分。在整个网络中使用虚拟网技术，以提高网络的安全性和灵活性。 7）多层交换技术 通过三层交换技术，特别是基于硬件的第三层交换，可以充分地利用交换机的包处理能力，实现真正的线速交换。 8）对多媒体应用的支持 校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。整个网络在服务质量、预留宽带设置、合理进行带宽管理方面应提供优良的品质。 第三章 系统设计与实现3.1 设计原则计算机网络的主体并不是网络线缆、网络设备等本身，而是建立在这些硬件体系上的，为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校园区，在网络性能上应该考虑以下几个要求: 1.数据处理、通讯能力处理强，响应速度快；2.网络运行安全、可靠性高；3.系统易扩充，易管理，便于用户的增加；4.主干网支持多媒体、群体、图象接口应用，支持高性能数据库软件包的持续增长；5.系统开放性、互连性好；6.局域网既能方便远程用户的认证接入，又能满足特殊用户高效地连入广域网，使用灵活；7.具有很强的分布式数据处理能力。在组建中，需要注意的设计原则有: 1）坚持开放性，采用国际标准和通用标准； 2）采用先进而成熟的技术； 3）易于技术更新和网络扩展； 4）实用、性价比高； 5）统一规划，分布实施。3.2设计目标 校园网应具有为学校和学校之间的教育提供安全稳定的网络环境；实现资源共享、信息交流、协同工作等基本功能。 （1）为教育信息的及时、准确、可靠地收集、处理、存储和传输等提供工具和网络环境。 （2）为学校行政管理和决策提供基础数据、手段和网络环境，实现办公自动化，提高工作效率、管理和决策水平。 （3）为备课、课件制作、授课、学习、练习、辅导、交流、考试和统计评价等各个教学环节提供网络平台和环境。 （4）为使用网络通信、视频点播和视频广播技术，提供符合素质教育要求的新型教育模式； （5）为科学研究的资料检索、收集和分析；成果的交流、研讨；模拟实验等提供环境和手段第四章 系统总体方案设计4.1 网络整体设计 本校校园网设计采用星型网络架构，以三层网络结构基础。建设基于千兆以太网、万兆以太网和快速以太网的全交换网络结构，实现1000Mbps和10000兆主干，100Mbps交换到终端的高性能校园局域网。1 ）核心层设计本校网络结构设计采用三级星型拓扑结构，主干选用目前最先进成熟的千兆以太网技术，通过在核心层配置动态路由协议，提供数据的路由转发。高性能的校园网要求高性能的网络设备和优化的网络结构。考虑到整个网络的数据流量及高安全可靠性，在本校主要校区（南校区和北校区）网络中心机房各配置了一台高性能华为8512三层交换机，用于主干连接，以保证整个网络的安全、稳定性能。2）汇聚层设计校园网的汇聚层网络主要提供了用户的汇聚功能和服务质量保证的功能。在汇聚层能够真正做到通过识别用户及应用提供不同的服务质量保证。汇聚层作为大型网络中的承上启下的一层设备，其主要作用在于将较大数量的接入设备通过高密度的百兆或千兆端口汇聚，然后与核心交换机级联。汇聚层与核心层的互联链路采用链路捆绑技术实现带宽的扩展，满足现有业务和未来的业务发展的需求。3）接入层设计 接入层网络是纯二层交换网络，提供用户的网络接入。由于接入层设备需要部署在具体楼宇，因此要求这些设备容易管理并且投资成本少。考虑到距离及高端设备的接口数量问题，楼层交换机组均通过千兆光纤上联到汇聚层的三层主交换机，同时所有接入层交换机组以百兆RJ-45直通双绞线交换到桌面，保证了投资成本少及易于管理的要求。图4.1 校园网络拓扑结构简图4.2网络系统接入设计4.2.1 接入模式本校设计网络分别采用千兆教育网和千兆网通双接入模式，南北校区采用万兆网通光纤互联，西区采用awaya 882与北区Quidway 8512 千兆互联。各校区由各个网络中心出发千兆到各楼宇机房，百兆链接到终端计算机。4.2.2 设备扩展能力核心交换机应当全部采用模块化结构，必须拥有相当数量的插槽，具有强大的网络扩展能力，以保护原有的投资。模块化结构拥有更强劲的性能、更大的灵活性和可扩充性，可以根据现实或未来的需要选择不同数量、不同速率和不同接口类型的模块，以适应千变万化的网络需求。可扩展性应当包括以下两个方面。1）插槽数量。插槽用于安装各种功能模块和接口模块。由于每个接口模块所提供的端口数量是一定的，因此插槽数量也就从根本上决定着交换机所能容纳的端口数量。另外，所有功能模块（如管理引擎模块、IP语音模块、扩展服务模块、网络监控模块、安全服务模块等）都需要占用一个插槽，因此插槽数量也就从根本上决定着交换机的可扩展性。2)模块类型。毫无疑问，支持的模块类型（如LAN接口模块、WAN接口模块、ATM接口模块、扩展功能模块等）越多，交换机的可扩展性越强。仅以局域网接口模块为例，就应当包括RJ45模块、GBIC（Giga Bitrate Interface Converter）模块、SFP（Small Form Pluggable）模块、10 Gbps模块等，以适应大中型网络中复杂环境和网络应用的需求。4.3 网络安全设计4.3.1安全到边缘的设计思想用户在访问网络的过程中，首先要经过的就是交换机，如果我们能在用户试图进入网络的时候，也就是在接入层交换机上部署网络安全无疑是达到更好的效果。 4.3.2全局安全的设计思想 锐捷网络提倡的是从全局的角度来把控网络安全，安全不是某一个设备的事情，应该让网络中的所有设备都发挥其安全功能，互相协作，形成一个全民皆兵的网络，最终从全局的角度把控网络安全。4.3.3全程安全的设计思想 用户的网络访问行为可以分为三个阶段，包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段，都应该有严格的安全控制措施。4.4 校园网网络管理设计方案4.4.1 SAM管理系统 锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点，从三个方面实现网络安全：事前的准确身份认证、事中的实时处理、事后的完整审计。图4.2 SAM管理系统4.4.2身份认证对于每一个需要访问网络的用户，我们需要对其身份进行验证，身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间，通过以上信息的绑定，可以达到如下的效果：图 4.3 SAM 认证客户端图 4.4 客户端设置 每一个用户的身份在整个校园网中是唯一，避免了个人信息被盗用。 当安全事故发生的时候，只要能够发现肇事者的一项信息比如IP地址，就可以准确定位到该用户，便于事情的处理。 只有经过网络中心授权的用户才能够访问校园网，防止非法用户的非法接入，这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。4.4.3网络攻击的防范 1) 常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展的ACL，能够对这些病毒所使用的TCP、UDP的端口进行防范，一旦某个用户不小心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校园网网络带宽的合理使用。以北苑四号楼ACL 扩展的访问控制列表为例：expert access-list extended antivirus deny tcp any any any any eq 135 deny tcp any any any any eq 136 deny tcp any any any any eq 137 deny tcp any any any any eq 138 deny tcp any any any any eq 139 deny tcp any any any any eq 445 deny udp any any any any eq 135 deny udp any any any any eq 136 deny udp any any any any eq netbios-ns deny udp any any any any eq netbios-dgm deny udp any any any any eq netbios-ss deny udp any any any any eq 445 permit ip any any any any!2）未知网络病毒的防范对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制功能，为不同的网络应用分配不同的网络带宽，保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证了网络的高可用性。3）防止IP地址盗用和ARP攻击 通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP和源MAC是否和端口安全规则一致，如果不一致，视为更改了IP地址，所有的数据包都不能进入网络，这样可有效防止安全端口上的ARP欺骗，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。4）防止假冒IP、MAC发起的MAC FloodSYN Flood攻击 通过部署IP、MAC、端口绑定和IP+MAC绑定（只需简单的一个命令就可以实现）。并实现端口反查功能，追查源IP、MAC访问，追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击，进一步增强网络的安全性。5）非法组播源的屏蔽 锐捷产品均支持IMGP源端口检查，实现全网杜绝非法组播源，指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时，从任何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机把它们转发向已注册的端口；而从非路由连接口进入的视频流被视为是非法的，将被丢弃。锐捷产品支持IGMP源端口检查，有效控制非法组播，实现全网杜绝非法组播源，更好地提高了网络的安全性和全网的性能，同时可以有效杜绝以组播方式的传播病毒。在校园网流媒体应用多元化和潮流下具有明显的优势，而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查，具有效率更高、配置更简单、更加实用的特点，更加适用于校园运营网络大规模的应用环境。6）对DOS攻击，扫描攻击的屏蔽通过在校园网中部署防止DOS攻击，扫描攻击，能够有效的避免这二种攻击行为，节省了网络带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断。4.4.4完整审计 当用户访问完网络后，会保存有完备的用户上网日志纪录，包括某个用户名，使用那个IP地址，MAC地址是多少，通过那一台交换机的哪一个端口，什么时候开始访问网络，什么时候结束，产生了多少流量。如果安全事故发生，可以通过查询该日志，来唯一的确定该用户的身份，便于了事情的处理。以宿舍同学的上网明细的定位如下表：上网明细用户名4004b315xx用户IP183。170。143。138用户MAC00E0A014C9BE用户组南区北苑4号楼ab网关地址183。170。143。254VLAN224子网掩码255。255。255。128DNS202。196。32。1IPv6地址数0用户IPv6地址NAS IP10。10。12。40网关IPv6地址读写CommunitystpublicNAS Port22具体型号S21XX及以后设备类型交换机设备位置by_4#设备名称12。40使用服务freeSCG IP账户名4004b315xx计费策略名default上线时间2010-06-05 08:51:46在线时长7时28分21秒下线时间2010-06-05 16:20:07下线原因用户主动下线!TunnelClientTunnelServerAP MACSSID地区接入方式有线1X接入 端口流量(MB)3793。573299是否无线漫游否 用户模板免费绑定MAC用户图4.7 流量监控4.5 网络管理设计 网络管理包括设备管理、用户管理、网络故障管理4.5.1网络设备管理 网络设备的管理通过Solaris实现，主要提供以下功能，这些功能也是我们常见的解决问题的思路： 1）网络现状及故障的自动发现和了解Solaris能自动发现网络拓扑结构，让网络管理员对整个校园网了如指掌，对于用户私自挂接的HUB、交换机等设备能及时地发现，提前消除各种安全隐患。 对于网络中的异常故障，比如某台交换机的CPU利用率过高，某条链路上的流量负载过大，Solaris都可以以不同的颜色进行显示，方便管理员及时地发现网络中的异常情况。 网络流量的查看Solaris在网络初步异常的情况下，能进一步的察看网络中的详细流量，从而为网络故障的定位提供了丰富的数据支持。 图 4.5 Solaris采集的信息2）网络故障的信息自动报告Solaris支持故障信息的自动告警，当网络设备出现故障时，会通过TRAP的方式进行告警，网络管理员的界面上能看到各种故障信息，这些信息同样为管理员的故障排除提供了丰富的信息。 图4.6 Solaris采集到的信息3） 设备面板管理 STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板，包括端口数量、状态等等，同时可以很方便的登陆到设备上，进行配置的修改，完善以及各种信息的察看。4）RGNOS操作系统的批量升级 校园网很大的一个特点就是规模大，需要使用大量的接入层交换机，如果需要对这些交换机进行升级，一台一台的操作，会给管理员的工作带来很大的压力，STARVIEW提供的操作系统的批量升级功能，能够很方便的一次对所有的相同型号的交换机进行升级，加大的较少了网络管理员的工作量。4.5.2网络故障管理随着校园网用户数的增多，尤其是宿舍网运营的开始，用户网络故障的排除会成为校园网管理工作的重点和难点，传统的网络故障解决方式主要是这样一个流程：图 4.7 校园网故障处理流程图4.6 流量管理系统设计网络中的流量情况是网络是否正常的关键，网络中大量的P2P软件的使用，已经对各种网络业务的正常开展产生了非常严重的影响，有的学校甚至因为P2P软件的泛滥，直接导致了网络出口的瘫痪。4.6.1 方案一：传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些P2P软件，从而达到控制流量的目的，这有三大弊端， 第一：这些软件之所以有如此强大的生命力，是因为用户通过使用这些软件的确能快速的获取各种有用的资源，如果简单的通过禁止的方式，用户的意见会非常的大，同时，各种有用的资源我们很难获取。 第二：各种新型的，对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺，魔高一丈，一味的封堵这些软件，我们永远处于被动的局面，显然不能从根本上解决这个问题。 第三：我们无法获取网络中的流量信息，无法为校园网的优化，网络管理，网络故障预防和排除提供数据支撑。4.6.2方案二：锐捷的流量管理与控制方案锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。NTD是锐捷流量管理解决方案的重要组成部分，我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费，锐捷的流量管理方案有三大功能： 第一：为SAM系统对用户进行流量计费提供原始数据，这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求，经济条件好一点，可以多用点流量，提高了用户的满意度。而且，对于以后新出现的功能更加强大的下载软件，都不必担心用户任意使用造成带宽拥塞。 第二：提供日志审计和带宽管理功能，通过NTD、SAM、日志系统的结合，能够做到基于用户身份对用户进行管理，做到将用户名、源IP、目的IP直接关联，通过目的IP，可以直接定位到用户名，安全事件处理起来非常的方便，同时还能提供P2P的限速，带宽管理等功能，这一部分的功能我们会在明年4月份提供。 第三：能够对网络中的各种流量了如指掌，可以对用户经常访问的资源进行分析对比，为应用系统的建设、服务器的升级改造提供数据支持；能够及时的发现网络中的病毒、恶意流量，从而进行有效的防范，结合认证计费系统SAM，能够捕捉到事件源头，并于做出处理。总体来说，流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。连接南区HW8512 System:bq_8512 in BeiJing ChinaMaintainer:Huawei Technologies Co。， Ltd。Description:GigabitEthernet2/1/1 ifType:Gigabit Ethernet (117)ifName:GigabitEthernet2/1/1Max Speed:10。0 Gbits/s最后统计更新时间： 2010 年 六 月 6 日 ，星期天 ， 0:35，bq_8512 已运行了： 53 days， 16:16:20. 每日 图表 (5 分钟 平均)最大 流入：8000.3 Gb/秒 (80003.2%) 平均 流入：117.6 Gb/秒 (1175.9%) 当前 流入：540.5 Mb/秒 (5.4%) 最大 流出：11891.2 Gb/秒 (118911.9%) 平均 流出：147.9 Gb/秒 (1478.7%) 当前 流出：1048.0 Mb/秒 (10.5%) 每周 图表 (30 分钟 平均)最大 流入：2708.4 Gb/秒 (27084.0%) 平均 流入：35.0 Gb/秒 (349.6%) 当前 流入：675.3 Mb/秒 (6.8%) 最大 FONT COLOR=#0000f图4.8 北区华为8512 MRTG数据流量监控4.7 划分安全子网 VLAN如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制。如在教学局域网机房和行政楼机房之间可以通过划分子网来控制，不允许教学局域网机器中的机器访问行政楼机房的服务器。应用VLAN技术可以获得的益处是巨大的，主要有以下几个方面：4.7.1 提高网络性能应用VLAN技术可以提高网络性能：其一，VLAN技术允许网络管理者将交换机上的端口作逻辑分组，使得从某个VLAN中产生的字节流只能在从属于该VLAN的交换机端口之间流动。在一个有大量广播和多播报文的网络中，应用VLAN技术可以把这些报文限制在各个VLAN里，从而可以大大减少整个网络中不必要的信息流量，提高网络性能。其二，相比较网桥和交换机而言，路由器在处理接收到的数据时要慢一些。使用了VLAN技术后，人们可以用交换机来代替路由器隔离广播域。由于减少了路由器的使用量，网络性能也相应地得到了提高。4.7.2 组建虚拟组织如前所述，VLAN技术是随着人们生产活动中越来越多的跨部门跨职能开发团队的出现而提出的。组建虚拟组织、特别是虚拟工作组，是提出VLAN技术的初衷和目标之一。在实际应用时，对于同一个工作组内的成员，在该工作组存在的短时期内，可以把他们的计算机工作站划分在一个VLAN里以便于其进行通信。这样，每个组内成员的计算机工作站既无需搬移到一起、也无需改变各自的设置，只需在网络管理者那里作一些改变就可以了。4.7.3 简化网络管理根据David J。 Buerger的分析计算，传统的LAN中约有70%的网络花销是因为添加、删除、移动、更改网络用户而导致的。每当有一个用户加入局域网，就会引发一系列的端口分配、地址分配、网络设备重新配置等网络管理任务。在使用VLAN技术后，这些任务都可得以简化。举例来说，当某台计算机工作站从一个空间位置移动到另一个空间位置时，不需要为其重新手工配置网络属性，网络自身就能够动态地完成这项任务。这种动态管理网络的方式给网络管理者和使用者都带来了极大的便利。4.7.4 提高网络安全在传统的局域网中，不时的会有些敏感数据被有意或无意地广播到网络上，从而有可能造成信息泄密。在这种情况下，确定谁可以访问到这些数据就显得很重要。使用VLAN技术可以将敏感数据的传播限制在安全范围内，只允许已定义的VLAN成员访问相关数据。VLAN还可被用来设立防火墙、限制数据访问以及将网络入侵事件通知给网络管理者等，这些都可以提高网络的安全系数。4.7.5 减少设备投资VLAN技术可被用来创建逻辑的广播域，因而可以减少用于购买昂贵的路由器等广播域隔离设备的投资。4.7.6 VLAN 的划分方式1、基于端口划分的VLAN2、基于MAC地址划分VLAN3、基于网络层协议类型划分VLAN4、基于网络层子网地址划分VLAN5、基于网络层组播地址划分VLAN6、基于网络层以上协议乃至应用程序的类型划分VLAN4.8 VLAN 的划分及IP分配实例目前学校拥有教育网的48个C类地址，分别是202.196.32.0 255.255.240，222.22.80.0 255.255.240.0，125.219.176.0 255.255.240.016个划分后的B类地址183.170.128.0 255.255.240.0学校内部规划使用的私有地址有10.0.0.0 255.0.0.0，172.16.0.0 255.240.0.0，192.168.0.0（实验机房等校内局部局域网） 255.255.0.0，目前192段的地址没有在校内局域网主干网络中使用。下面是具体的vlan以及IP地址分配情况：Vlan 号Vlan 名地址段/掩码长度建筑描述221nqby_ss1#183.170.128.0/23183.170.142.0/25172.25.0.0/23南区北苑宿舍1号222nqby_ss2#183.170.130.0/23183.170.142.128/25172.25.2.0/23南区北苑宿舍2号223nqby_ss3#183.170.132.0/23183.170.143.0/25172.25.4.0/23南区北苑宿舍3号224nqby_ss4#183.170.134.0/23183.170.134.0/23172.25.6.0/23南区北苑宿舍4号225nqby_ss5#183.170.143.128/25172.25.8.0/23南区北苑宿舍5号226nqby_ss6#125.219.181.0/24172.25.10.0/23南区北苑宿舍6号227nqby_ss7#125.219.182.0/24222.22.87.0/24172.25.12.0/23南区北苑宿舍7号231nqny_ss1#125.219.184.0/24172.26.0.0/23南区南苑宿舍1号232nqny_ss2#125.219.185.0/24125.219.188.0/25172.26.2.0/23南区南苑宿舍2号233nqny_ss3#125.219.186.0/24172.26.4.0/23南区南苑宿舍3号234nqny_ss4#125.219.187.0/24172.26.6.0/23南区南苑宿舍4号235nqny_ss5#125.219.188.128/25172.26.8.0/23南区南苑宿舍5号236nqny_ss6#125.219.189.0/24222.22.80.0/24172.26.10.0/23南区南苑宿舍6号237nqny_ss7#125.219.190.0/24222.22.88.0/24172.26.12.0/23南区南苑宿舍7号238nqny_ss8#125.219.191.0/24202.196.40.0/24172.26.14.0/23南区南苑宿舍8号32xxzx202.196.32.0/24信息中心2-8202.196.33.0/27路由器互联24bq_820202.196.33.32/27北区招生机房82025bq_wlzx_nw202.196.33.64/26北区内网服务器vpntopsec-VPN202.196.33.128/2827nq_server_math202.196.33.152/29南区2号楼数理系服务器26nq_server_jx202.196.3