校园网网络方案模板.doc

高校网络方案模板目录第 1 章前言1第 2 章需求分析32.1建设背景32.2需求分析32.2.1校园网建网需求32.2.2校园网基本应用5第 3 章建设指导思想及原则123.1建设指导思想123.2设计原则133.2.1网络设计的基本原则133.2.2模块化、层次化的设计原则16第 4 章校园网络总体规划204.1网络设计目标204.2校园网络的总体架构20第 5 章组网方案规划设计235.1整体网络构架235.2核心层245.2.1高稳定可靠性255.2.2对多媒体网络的支持265.2.3提供优质的网络服务质量275.2.4子网间的策略划分275.3汇聚层285.4接入层285.5高速互联网接入295.6网络防火墙系统295.7无线接入305.7.1合理的物理部署315.7.2无线访问/传输的安全315.7.3无线网络管理325.7.4用户的漫游325.8网络管理系统33第 6 章方案的主要技术设计346.1IP地址规划和路由设计346.1.1IP 地址规划346.1.2路由设计366.2安全与流量控制376.2.1网络安全控制376.2.2VLAN需求376.2.3VLAN划分设计406.2.4流量监控与控制416.2.5网络异常流量监测技术456.3交换机Spanning-Tree技术486.4IPv6的分阶段分步骤平滑过渡506.4.1过渡阶段506.4.2IPv4/IPv6过渡方案51第 7 章设备清单53第 1 章 前言在当今信息产业蓬勃发展的今天，信息已经成为一种关键性的战略资源，计算机技术在人们的生活中已经起到了越来越重要的作用。校园作为知识基地和人才基地，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游，更应在管理上上一个台阶。利用各种成熟的技术带动学校各单位、各部门的电脑化管理，通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和规范性；教职员工和学生可共享各种信息，极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才。在学校中建立计算机网络已经是十分迫切的需要。计算机和网络已经成为各行各业在工作中的工具，是否掌握计算机的技术和应用，已经成为衡量一个从业者是否合格的重要标识。作为培养人才的基地，在校园中就让学生接触计算机、计算机网络，对于培养合格的人才无疑是十分重要的。在现在这个知识爆炸的社会中，对于合格人才的要求越来越多，需要他们掌握大量的各类知识，在教育中需要提高教学效率。现在出现了许多新的教学方法，以各种方式提高学生对知识的掌握速度，在与前人同样的时间内，掌握比前人更多的知识，而这些教学方法，需要利用计算机网络才能实现。高等院校除了作为人才培养基地外，也是重要的科研基地，每年有大量的课题在高校中进行，研究人员需要收集资料、与同行交流研究心得等，促使研究的进展，作为全球最大的信息源和交流方式，计算机网络正是最合适的选择。学校尤其是高等学校，作为一个实体都有比较大的规模，人员繁多，各类事务也非常多，但经费一般比较紧张，比其他行业更需要提高管理效率，在日常管理中节约经费。在校园内组建计算机网络，在服务教学、科研的同时，也可以大大提高管理水平和效率。虽然在组建时需要花费一些费用，但与节省的费用相比，依然可以接受。随着计算机技术、网络技术的发展，网络设备的价格不断下降；同时国家各级政府对于教育的投入不断增加，大量计算机进入了校园，组建校园网不仅是十分迫切的工作，可行性也非常高。据 2005 年 7 月 CNNIC 的最新调查结果显示，我国上网用户总数突破 1 亿，其中学生 用户占了 32.2%，是最大的用户群。 另据相关资料显示，网络在中国的普及率为 7.9%，但 在大学生群体中的普及率是 93%。目前 87%学生通过网吧上网，庞大的学生用户群和他们 的上网需求是校园网建设和发展的前提条件。此外，随着宽带城域网的建设，校园网的业务也进一步向公众网扩展，其中远程教育就成为一项极富发展潜力的城域网宽带业务。第 2 章 需求分析2.1 建设背景在信息化浪潮席卷全球、日益渗透到社会生活各个领域的今天，数字化校园建设如火如荼。特别是欧美、日本等发达国家高度重视信息化建设，早在20世纪90年代初几乎所有的高校便建成了比较完善的校园网，各个职能部门都基本实现了网络化、信息化管理。我国高校信息化建设起步较晚，近十年来，随着我国高等教育的快速发展，高校办学规模不断扩大，使各个管理部门任务越来越繁重，不仅增加了工作量，更增大了工作难度，管理手段落后将直接影响教学质量和办学水平。教育信息化已成为教育改革与发展的必然要求和重要推动力。由教育部提出了“教育电子政务”（即：数字校园）的概念，并在全国范围内分批试点实施。结合相关政策，XXX大学提出了“总体规划、分步实施”的建设思路，建设周期约为3-5年。一期建设主要围绕基础平台展开，包括物理网络、基础应用及数据规范的制定等2.2 需求分析2.2.1 校园网建网需求高校校园宽带网用户集中且网络流量大，关注网络的可运营和可管理特性，校园网建网需求如下：1、教学区、宿舍区用户对校园网、教育网、INTERNET的访问有相应的路由策略和相应的计费策略。2、校园网存在多个出口需求，校园网至少要提供中国教育科研网（CERNET ）和INTERNET两个出口。3、校园网安全性要求较高，要求设备能够实现用户识别和 动态绑定功能如通过“IP+MAC+端口”三元组的动态绑定来识别用户。4、校园网WEB页面可实现以下功能：用户Web自助服务功能，用户可通过Web自助服务页面，进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线帐号充值。5、 校园网用户能实现多ISP权限选择。用户可通过不同的帐号或采用相同帐号的不同域名进行认证，以获得不同的权限，不同的权限对应不同的计费策略。6、 校园网要求实现多种支持普通包月、包月限时长、包月限流量、计天、计时长和计量等多种计费策略。支持用户卡和充值卡，冲值卡配合用户卡以及提供的公用服务功能可以实现用户的完全自助管理。7、 校园网要求能对每个用户的使用情况能进行事后审计，能够定位到IP地址以及用户所连接的端口和登录的用户名，限定帐号的使用端口。8、 校园网要求能实现对用户带宽的动态控制。9、 校园网要求实现组播业务。10、校园网要求在学校规模不断扩大中，用户数在持续增加，要求网络具有很好的扩展性，能够根据需要逐步平滑升级到万兆的骨干连接。11、网管平台实现网络资源的管理、网络安全访问的控制。并且在平台上能方便地开发所需网络应用。12、采用流行的、支持设备面广、有良好图形界面的网管平台。网管系统能够管理到网络中的每一个智能设备及有关设备的每一个端口，即能够远程对设备进行设置、调试、网络流量监测和必要的重置。能对网络故障能及时发现并报警。2.2.2 校园网基本应用作为校园网，需要连接多少个节点，怎样使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中，怎样使整个网络上的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分，更重要的问题如何将这些资源有序地组织起来，需要实现什么功能，以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园内部、校园与外部进行信息沟通的体系，建立满足教学、科研和管理需求的计算机环境，为学校各种人员提供充分的网络信息服务，在网络环境中进行教学、研究、收集信息等工作。 校园需要的基本功能有：计算机教学，包括多媒体教学和远程教学；网络下载、网络聊天等；电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动；文件传输 FTP：主要利用 FTP 服务获取重要的科技资料和技术文挡；INTERNET服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见等。图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等；其他应用，如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。宽带上网：在信息化的今天，人们已经把网络当成获取信息的重要的源泉，而WEB应用则起到了举足轻重的作用。绝大多数的人都是通过浏览WEB页面来获取新知。校园网应该是宽带上网的前沿阵地，学生们可以通过网络获取丰富的知识，增加与其他学校学生，甚至其他国家学生交流的机会。宽带的网络相比窄带的拨号有着非常大的优势，通过宽带上网就能够真正能实现网上冲浪。交互式网络电视：IPTV即交互式网络电视，是一种利用宽带IP网，向用户提供影视节目在线观看的崭新业务。该业务将电视机或个人计算机为显示终端，通过机顶盒接入宽带网络，可以向用户提供数字广播电视、VOD 点播、视频录像等诸多宽带业务。IPTV是互联网的一种新的业务模式，同时也是传媒在互联网时代一种更灵活的发行手段。IPTV是通过宽带IP网络来看电视，用户可以通过普通电视机机顶盒方式收看。与传统电视相比，其最大特点是交互式的全新电视观看体验。除此之外，IPTV用户还可以方便地在电视机上进行节目定购、余额查询、费用缴纳、使用详细单查看等，做到消费快捷、明白消费。IPTV的主要特点在于其交互性和实时性。IPTV既不同于传统的有线电视，也不同于目前正在兴起的数字电视。通过IPTV业务，用户可以得到高质量(接近DVD水平的)数字媒体 服务，可以自由选择宽带IP网的视频节目，实现媒体提供者和媒体消费者的实质性互动。IPTV的出现在宽带视频应用方面填补了空白，支起了宽带市场的另一片蓝天。它将电视、通信和计算机三个领域结合在一起，被业界喻为撬开宽带市场的新支点。视频点播：VOD（Video on Demand）是视频点播技术的简称,也称为交互式电视点播系统，意即根据用户的需要播放相应的视频节目，从根本上改变了用户过去被动式看电视的不足。当您打开电视，您可以不看广告，不为某个节目赶时间，随时直接点播希望收看的内容，就好像播放刚刚放进自己家里录像机或VCD机中的一部新片子，但是您又不需要购买录像带或者VCD盘，也不需要录像机或者VCD机。这就是信息技术带给您的梦想，它通过多媒体网络将视频节目按照个人的意愿送到千家万户。对于校园网的用户，学校可以开展多媒体视频点播教学服务。通过把好的课件放到VOD服务器上，让学生们进行点播，可以灵活的开展教学服务，把枯燥的课堂教学转变成为丰富的媒体服务。远程教学：21 世纪的热点是远程教育，这已成为人们的共识。远程教育的发展正在引发教育的又一轮变革，民主的教育模式和信息技术手段已经被网校很好地利用，由此带来的教学内容改革和教法改革成为诸多网校吸引生源的法宝。某高校校园网全面建成后，完全可以建立远程教育体系，实现对社会的开放，让社会了解学校，让更多希望上学的人有接受远程教育的机会。在已经建立起的较完善的校园网，极大地方便了学校之内以及学校与外界的交流。然而，在日常的教学工作中，单纯的互联网还是没法满足教学改革的要求。比如，学校经常要请一些国内外专家教授过来讲课，但即使是大课室也只能容纳有限 的几百人，无法满足所有学生的要求；同时，如果要请一些本地以外的教授过来， 很不方便，不但学校要承担较高的差旅费，教授也要长途跋涉，把大量的时间浪费在路途中，从而也限制了学校与外界的交流。因此，校园网中必需一套能够随时随地与任何人面对面沟通的视频会议系统。网络化教学：21世纪，人类将面临文明史上的又一次大的飞跃，即由工业化社会进入到信息化社会，世界各国对当前信息技术在教育中的应用都给予了前所未有的关注。随着家用电脑的普及和网络技术的迅速发展，信息技术在教育中的应用越来越广泛，从前几年的课件制作、基件制作等最基本的多媒体应用技术到今天的信息技术与课程整和的网络化教学，信息技术的作用已不再是单纯的多媒体带给人们的视听效果，而是将信息科技和普通学科的教学相结合，把信息技术有机的融合在普通学科的学习中。在教学中，我充分利用计算机网络的优势向学生提供大量的信息资源，在使用计算机时，强调发挥计算机的特点，使计算机成为学习的工具。无线网络：校园网承受着应用的普及和应用水平的不断提高，而学校中的网络终端资源却很有限，越来越难以满足师生的需求。无线局域网技术的日趋成熟可以为此提供更加高效灵活的解决方案，可以用较少的投资获得空前的应用灵活性。随着国家对中国教育行业的更加重视并加大投入，中国教育网的建设得到了国家更大的支持并得到了更加广泛的应用，并已经成为一种其它方式不能代替的获得资源的重要手段，因此教师和学生对网络的依赖也越来越强，随时随地能够从网络获得相要的资源成为教育用 户追求的目标。一般来说，如教室、图书馆、会议室等地方一般是不可能布设太多信息点的，但是随着学生中笔记本电脑的普及和现代化教学的普及，上述场所往往在同一时刻有大量的电脑，而目前的有线校园网没有办法使学生们在这些区域上网。采用无线方式，在有限的信息点上连接无线接入器，就可以轻松从一个信息点扩展到成百上千个信息点的应用。VOIP 电话业务：Internet电话技术是目前Internet应用领域的一个热门话题。它主要指在Internet中实时传送声音，从广义上讲，它包括在 Internet中实时传送多媒体信息。IP 电话之所以发展迅速、备受人们关注，其主要原因是IP电话能节省大量长途电话费用，尤其是打国际长途电话。传统电话是通过电话网传送的，而IP电话是利用TCPIP技 术，通过因特网传送的。IP电话和传统电话的区别主要也就在于传输技术上。VoIP的英文全称是voice over internet protocol，即基于 IP 协议的语音通信，因此也被称作网络电话或者宽带电话。它实现了语音在Internet上的实时传送。其基本原理是：通过语音压缩算法对语音资料进行压缩编码处理，然后把这些语音资料按TCP/IP标准进行打包，经过IP网络把资料包送至接收地，再把这些语音资料包串起来，经过译码解压处理后，恢复成原来的语音信号，从而达到由互联网传送语音的目的。在许多场合，VoIP技术仅指通过IP网络实现类似普通老式电话的功能。但是，在传统电话网的业务不断发展的情况下，VoIP的含义和设计目标也超越了其字面意义；也就是说VoIP技术不仅指提供双方会话的传统电话技术，而且是包含话音、图像和数据、支持各种智能业务的双方及多方多媒体通信技术。第 3 章 建设指导思想及原则3.1 建设指导思想校园数字化校园建设须坚持“统一规划、分步实施、加强应用、整合资源、共享数据”的指导思想。1、统一规划数字化校园建设是一个庞大的系统工程，涉及到计算机技术、网络技术、通讯技术与网络工程、软件工程、项目管理等多个方面，具有投资高、建设难、周期长、涉及部门和人员多等特点，因此建设之前必须站在整个学院的层面，做好项目分析和规划设计工作，整体考虑、统一规划，确保统一的信息标准、统一的技术路线、统一的基础架构和统一的组织管理。2、分步实施数字化校园建设是一个建设周期比较长的项目，涉及到需求调研、方案论证、系统选型、部署与集成、人员培训、推广应用、运行反馈、修改完善等多个过程，因此整个建设过程必须统筹安排、分步实施，确保项目的进度和质量、降低项目失败的风险。3、加强应用数字化校园建设的核心目的就是“应用”，使各个职能部门实现管理信息化、教学信息化，实现上下级部门之间更简便快捷的沟通，实现不同职能部门之间的数据共享与交换，提高决策的科学性和民主性，减员增效，形成充满活力的新型管理机制，为广大师生提供个性化的综合信息服务。4、整合资源数字化校园是一个庞大的系统，学院经过三年多的信息化建设，购置、开发了不少应用系统，沉淀了大量的信息资源，数字化校园建设必须考虑保护原有的投资、充分利用已有的信息资源，充分发挥它们的作用。因此，数字化校园综合管理平台建设必须不断整合已有的信息资源、开发新的资源，建设集中的信息资源管理机制。5、共享数据学院原有的多个应用系统不能互联互通、不能共享数据，形成一个个信息孤岛，导致重复建设、重复工作，严重影响了学院的信息化建设和日常管理工作。因此，数字化校园建设必须确保各个应用系统之间的数据共享与实时交换。3.2 设计原则3.2.1 网络设计的基本原则校园网连接了包括教学楼、办公楼、实验楼、图书馆、学生宿舍楼、教职工生活区等大量的信息点，学校管理、教育科研、电子教学、远程教育和互联网的引入以及对外技术交流与合作服务等大量的业务，要求校园网必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。为实现校园网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性-网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔，在万一出现局部故障时应不影响网络其他部分的运行，并且故障便于诊断和排除。充分体现计算机网络的高可靠性。技术先进性和实用性-保证满足校园业务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋。高性能-骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息数据、语音、图象的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性-支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性-根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性-对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。安全性-制订统一的网络安全策略，整体考虑网络平台的安全性。 兼容性和经济性兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段如现有的双向教学系统，保证各种在用计算机系统，包括工作站、服务器和微机等设备的互连入网，充分利用现有计算机资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资。有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。为切实达到以上的网络设计原则，使校园网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略及原则。统一标准、统一平台网络的互联及互通关键是对相同标准的遵循，要实现网络业务能融合到一起，实现数据、语音、视频业务的融合，就必须统一标准。从开放性、发展性、成熟性等方面来看，只有IP技术才能成为统一平台网络构建的标准。而在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。3.2.2 模块化、层次化的设计原则我公司网络的设计都是基于一个模块化，层次化的设计思想。这也是对大型网络进行高效管理的首选方法。一、 模块化设计所谓模块化就是将把整个网络按功能和安全需求分为若干个组件，这些组件之间有一定的安全边界，组件内部有完整的网络设计。模块化设计的好处在于：1. 解决各网络之间的冲突问题；2. 简化安装和后台设备管理；3. 易于故障检测和分离问题；4. 易于执行不同类型的服务和安全方针；5. 易于扩展和/或代替原来的技术。 一个完整的模块化设计如下图所示：校园网的设计可以借鉴这种思想，对各种不同种类，不同安全等级的业务进行模块划分，相互之间的访问将受到控制。当然，在实际情况中并不一定要求严格按照上述模块划分，而是根据实际情况灵活运用，做适当的裁减与调整。二、 层次化的设计对于大型网络，可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。核心层核心层的主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外，为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。汇聚层汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量（path metric）和路由协议网络通告控制。接入层接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过 VLAN 技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。访问层主要通过二层交换机组成。层次化网络设计模型的优点“核心层-汇聚层-接入层”层次化网络设计模型有如下优点：高可扩展性 遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。易于实施 每一层的功能性清晰划分，简化每一层的实现。易于故障排除 每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围。易于规划和管理 层次化的功能划分，整个网络规划和管理更为简单。三、 标准化、规范化原则按照项目模型的指导，从健康检查阶段、评估分析阶段、规划设计阶段、安全实施、运维管理、安全培训整个项目周期角度进行项目方案的设计和实施。第 4 章 校园网络总体规划XXX大学校园网是用来承载校园信息化的，是校园信息化的基础，因此校园网的建设要以满足校园信息化为目标，满足学校未来发展的需求。4.1 网络设计目标校园网建设的总体目标是：利用先进成熟的计算机技术、网络技术与数据库技术，通过科学合理的管理规范与完备通用的技术规范，基于统一的信息标准整合、集成各种信息资源，构建安全、可靠、可扩展、易维护的基础通用平台，实现学院各项管理工作的信息化；为广大师生提供简便、快捷的网络化信息服务。4.2 校园网络的总体架构总结我们多年从事校园网建设的经验，在经过充分交流和详细的技术论证的基础上，我们提出整个校园网的结构模型（如下图）。从图中可以看出，我们将整个校园网归结为三个层次，分别是：应用系统层、网络系统层、物理连接层。图中，每一层都分别为上一层提供服务，应用层建立在网络层的基础上，而网络层又是建立在物理层的基础上，层层相连，环环相扣，构成一个完整的系统。物理连接层通过综合布线系统构造通讯基础设施，在此之上构筑数据网、视频网、音频网。目前三网合一的概念，就是希望在网络层统一上述这三个网络，使应用层能建立在统一的网络层平台之上。目前，广域主干网上实现三网合一的技术条件已经成熟并以开始实用。从技术发展趋势上看，未来的统一网络必然统一在数据网平台之上。网络层通过网络设备、系统平台、开发平台的铺设，为上层应用层提供信息服务、教学服务、校务服务、互联服务的平台和接入接口，应用层直接面向用户，为用户的各种需要服务。因此，我们在本方案中，将按照本图，根据学校教学和管理的实际需求，设计一个全方位的、层次化的、综合的开放架构，从而建立一个校园网的完整解决方案。第 5 章 组网方案规划设计5.1 整体网络构架校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因学校存在大量的语音和视频传输。据此，考虑汇聚层对QoS有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以及易于维护的特点。根据学校建设要求与总体目标，骨干网采用三层结构，由核心层，汇聚层和接入层构成。在接入层面，通过定义相应的访问策略，实现访问控制。在网络结构上，采用先进的万兆以太网技术(第三层交换)作为核心层，呈网状拓扑结构。以 TCP/IP 协议为主，并辅以 IP/SPX. NETTEUI等其他流行通信协议坚持开放性和标准化，采用标准的通讯规程，以有利于不同厂家之间的互连，使不同系统间易于集成，兼顾其他标准的网络体系结构，网络能实现协议之间无缝连接。而公用服务器与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠的设备，此产品是具有运营商级容错能力的高性能大型网络核心交换机，可实现冗余备份，从而提高核心层的可靠性。整个网络通过汇聚层交换机和核心交换机之间的链路冗余备份和负载均衡提供安全可靠的网络构架，其安全保障技术提供一个全网概念的整体网络安全，而通过简单地增加模块可以平滑的升级扩容。5.2 核心层如拓扑图所示，作为校园网的核心，要求设备能够大容量、稳定可靠的高速路由转发，能够接入大量的汇聚节点并满足今后扩充的需要。同时，应完备的QOS保证机制，完备的业务控制、用户管理机制。同时，还应该考虑到与原有网络设备之间的良好的兼容性、互通性。因此，在本方案的在核心层，部署模块化骨干路由交换机两台，该交换机具有高背板带宽，L2/L3层具有高转发率，同时还可以配置冗余电源和管理引擎模块，可以实现对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能为学校的出口规则提供了灵活的设置，此外核心交换机硬件的IPv6功能为学校接入CERNET2提供了无缝连接。为了提高网络上连带宽，业界提出了端口聚合(802.1ad)的概念，此概念也广泛应用于校园网的建设中。交换机将多个端口聚合，每条干路支持全双工模式。因此，为了满足核心层设备之间的高速转发，核心层设备之间使用多条线路相联，并实现端口聚合。5.2.1 高稳定可靠性骨干网最重要的就是稳定可靠性。影响骨干网稳定可靠的因素有很多，但是最主要的有三个方面：设备本身、网络架构、安全保障。只有这三个方面都没问题了，才会形成稳固健壮的骨干网络。网络核心作为全网的心脏，向学校的教学办公、学生宿舍以及各种应用系统（在线点播、电子邮件、WEB服务等）源源不断的提供安全稳定的信息血液，保证整个学校相关业务的可靠运行。因此，作为整个网络平台的神经中枢，网络核心层是全网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输，同时，还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。整网采用万兆多核心、千兆骨干、百兆到桌面的设计理念。高吞吐量，线速转发的核心路由器和三层交换机，所有关键器件的冗余，包括主控板、交换网板、电源等，支持板件的热插拔技术，保证了网络的高效运转。骨干设备双核心双链路，成环之后，相互之间互为容错备份，并在核心交换机中采用关键模块冗余设计（双电源冗余等）。核心和汇聚之间采用双链路连接，一旦数据传输的活动链路失效以后可以自动切换到另一条链路，保障数据的正常转发。这样，从全网架构上，核心层双链路交换系统不存在单点故障，是一种高级别交换完全冗余的容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性、稳定性的运行。5.2.2 对多媒体网络的支持针对校园网络的特点，本方案最突出的特点是全面支持多目广播技术。在建设一个多媒体网络时，要特别关注两个问题，一是要选用支持多目广播的网络设备；二是要针对多目广播信息流动模式对网络进行合理规划，以及对各层交换机进行正确设置。如果不考虑以上提到的两点问题，尤其是第一个问题，将造成重大的投资失误。因为，一个不支持多目广播的以太网网络设备，会将多目广播数据包以普通广播的方式处理，从而将一个全面的交换式网络降低为共享网络的使用效率。5.2.3 提供优质的网络服务质量除了通过选用支持多目广播的以太网交换机来加强多媒体网络的性能，端到端的QoS（服务质量）特性也需要予以特别重视。因为即使是高带宽网络（在校园网络中主要由物理带宽和是否支持多目广播来决定）也不能避免瞬间的网络拥塞，一旦发生拥塞，良好的QoS机制将保证对时间敏感的应用的数据包优先通过网络。举一个简单的例子：当进行视频播放时，由于网络拥塞，视频数据包到达客户端的时间过长，使视频图象的显示变慢甚至出现画面停顿，严重影响对视频节目的观看。如果网络支持QoS机制，在发生网络拥塞时，使视频应用的数据包优先通过，将大大改善视频播放的质量。如前所述，QoS机制对提高多媒体网络应用质量很有帮助。在本解决方案中主要通过三种技术提供QoS机制：应用识别、基于802.1P的CoS和RSVP。在应用识别机制中，可以通过第四层的IP端口号来设定某些应用具有高优先级。利用802.1P的CoS能力，设定连接视频服务器的端口和连接教学计算机的交换机端口具有高优先级。利用网络的RSVP能力，由特定的客户端程序为时间敏感应用预约带宽。5.2.4 子网间的策略划分为了配合前面描述的各种子网的顺利实施，将对整个网络进行严格的VLAN划分。属于不同子网的端口，即使在相同的交换机中，也不能进行未经许可的通信。进一步讲，为了保证子网划分策略的实施和各个子网不受其它子网干扰，以及子网内信息的安全，就要在保证灵活性的基础上，对通过第三层的信息进行过滤。依照网络的总体规划，核心层将为整个网络的安全、可靠、稳定运行提供保证。5.3 汇聚层汇聚层负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理。汇聚层起着承上启下的作用，负责对各种接入的汇聚，并可在该层实现对于用户的访问控制，以及对用户的网络管理。因此，汇聚层应考虑三层智能交换机，实现二三四层线速转发、三层互通，同时实现线速的多层策略过滤，用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。5.4 接入层接入层设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。接入层应该能够实现对用户的访问控制，并具有较强的安全和QOS控制功能，支持802.1x的认证计费，支持千兆上联，支持SMNP的网管。同时，为满足部分的高端口密度接入的需求，接入层应考虑二层智能型可堆叠交换机，另外，当用户增多的时候，我们可以直接增加交换机，并以堆叠的方式连接上网络，从而为系统各子网的扩充带来极大的灵活性。5.5 高速互联网接入广域网的连接以及为用户提供接入服务将由防火墙实现，具有较高的性能价格比，而且一机多用，避免了设备的重复投资。在对INTERNET的连接方面，采用电信100M光纤的形式接入。5.6 网络防火墙系统为了保证校园网内部网络的安全,在内网和外网之间增加硬件防火墙，接在INTERNET/CERNET出口的位置,根据安全需求可将校园网分为内部网、外部网与DMZ区等，以保护校园网的安全，防止恶意用户的攻击。为了统一网络管理和监控，在网络中心配置网络管理平台可以对设备进行集中的管理，包括网络拓扑发现、配置管理、性能管理、事件管理，实现全网设备的管理。防火墙系统的设置应该比较慎重，首先，所有数据流第一次进出防火墙都必须经过认证服务器的认证，如TACACS+、RADIUS等，其次，应实现地址过滤、服务过滤及有关的过滤控制方面的能力。如下所示： 地址过滤：l 可通过指定“拒绝服务”的地址，阻隔这些地址上的系本系统；l 可通过指定“允许服务，”的地址，阻隔其它地址上的系统进入本系统。 服务过滤l 可阻隔本系统外的一些系统服务（在本系统内使用它们时易使本系统受到外部侵害）非授权地进入本系统（例如，滤掉内部人员自行与外部UUCP服务器进行的连接等）；l 可阻隔本系统内的一些非授权或禁止使用的系统服务（它们跨越本系统时易使本系统受到外部侵害）跨越本系统（例如，滤掉内部人员自行建立的对外Telnet服务器连接等）；l 可将本系统内使用的一些系统服务（它们跨越本系统时易使本系统受到外部侵害）较安全地限制在本系统内，仅为本系统服务。 过滤控制l 可实现各类服务（TCP、UDP服务）的过滤控制能力；l 所有对外服务的过滤均应具有端口检测控制能力。5.7 无线接入为了达到随时随地接入的目标，在校园网中采用了无线的接入方式，依赖的原则就是：对有线网络和无线网络进行有机融合。总结近几年来国内部分已经采用无线网络的学校在建设中出现的经验教训，对于无线的部署，我们需要着重关注的是：合理的物理部署与信道规划、无线的访问/传输安全、无线网络管理和漫游四个问题。5.7.1 合理的物理部署由于无线网络采用无线电波进行传输，因此，无线网络的品质与所部署位置、电磁干扰、信道规划有直接的关系。首先应根据用户调查，了解人群在需要部署的区域的活动习惯，并根据该习惯总结出每个区域同时在线上网的人数和上网带宽需求情况，然后根据该数据的高与低，决定在该区域部署无线接入点设备的数量、信道规划和具体位置。并且对于重点区域，比如会议室、相关办公室进行辐射信号的测试和调整。5.7.2 无线访问/传输的安全相比较有线网络对网线的可信而言，无线网络依靠空中的无线电频谱信道载频来传输，如果发生了安全事件，很难被立刻发觉。结合在近几年针对无线网络安全问题的研究中，已经诞生了大量的新技术，与已经建成的无线网络在部分学校的使用中，对安全问题的大量宝贵经验，可以总结如下：首先，灵活利用SSID技术。SSID是无线网卡与AP用来通信的首个验证码，默认由无线接入点在空中以明文的形式广播，很容易被截获并入侵网络，带来安全的隐患问题。但如果通过限制它的广播，就可以解决这类问题的发生。其次，对无线用户进行有效的准入控制。这在运营管理部分给与了解决方案。最后，利用64/128位WEP（有线等效加密）技术，至少可以挡住98%的网络攻击，对于学校的网络管理和维护人员而言，配置简单灵活。5.7.3 无线网络管理通过集中的网络管理，对无线网络的所有设备进行合法的注册，并对所有合法用户注册，并分配不同的权限，并与相应的无线设备动态捆绑，极大的提高整个无线网络用户上网的合理性。首先，对设备的管理是网络管理的重要部分。所有网络设备遵循统一的、标准的管理协议和兼容性，并满足集中、统一管理的功能需要，使得网络中心管理人员可以在网管工作站随时观察每一台网络设备的工作状态。其次，对环境的管理是更深层次的网络管理。建成后的无线网络，能满足网络中心管理人员在网管工作站直观、详尽的了解每个无线设备附近区域的环境状态，譬如是否存在信道干扰，信道负载负荷等等。5.7.4 用户的漫游漫游网络可分为物理层漫游、链路层漫游、网络层漫游和应用层漫游。在国内多数学校的WLAN网络建设中，对无线网络的漫游还停留在物理层和链路层漫游的水平，这两部分的漫游仅能解决局部的漫游问题，对于网络层漫游（跨网段的移动IP访问）和应用层漫游（跨认证体的用户认证不中断、不用重认证）却往往没有考虑，在面向未来的无线网络中，将会承载多种主体应用，必须实现对网络层和应用层的漫游。5.8 网络管理系统本网络还将采用网管系统，网管系统将路由器和交换机管理功能与基于Web的最新技术结合在一起。这样，它不仅利用了现有工具和设备中内置的管理数据资源，同时为大型、快速变化的网络提供新的网络管理工具。网管系统拥有如下特色：l Internet式结构l 良好集成l 可扩展到迅速变化的intranet或extranet环境中l 可管理路由器、交换机及接入服务器网络管理应用程序中包含上述特性后可减少管理您的网络所需的时间和与此相关的错误，同时提高工作人员的工作效率和网络可用性。第 6 章 方案的主要技术设计6.1 IP地址规划和路由设计6.1.1 IP 地址规划IP地址规划是整个网络设计中的重要组成部分，地址规划的科学性和合理性将直接反应网络拓扑的设计思想，对网络的稳定起到至关重要的影响。好的地址规划同科学的分层网络拓扑设计相辅相承，共同形成整体的网络设计解决方案。合理的网段划分结合灵活的VLAN规划，可以有效地降低网络风暴的产生，保证整个网络的稳定，同时也起到一定的网络安全功能。一、IP 地址规划目标建立高效的网络路由；有效利用有限的 IP地址资源； 支持网络的扩展； 支持网络技术的演变和发展。二、IP 地址规划原则简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式； 连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛(Summarization)及 CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项，提高路由器的处理效率； 可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性； 灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化； 可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。三、校园网IP地址分配总则 校园网IP地址分为三大块： 校园网内部的私有IP地址，采用RFC中规定的地址段，不能访问Internet和Cernet； Cernet分配的多个C类公网IP地址，作为和中国教育科研网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆、部分实验室专用； 运营商分配的公网IP地址，用于访问Internet。 关键服务器拥有两个公网IP，分别跨接在Cernet和Internet上。四、校园网内部私网IP地址的分配 内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个C的划分。为了安全考虑对所有的都采用静态分配IP地址，为防止地址盗用，采用IP地址、MAC地址与端口绑定。 五、IP地址的分配 用户的计算机在连接到校园网上时，首先获得一个校园网内部的IP地址，此时该计算机只能访问校园网内部。 用户需要访问Cernet和Internet，要使用帐号登陆，认证通过后才能访问。6.1.2 路由设计一、校园网路由设计 不使用默认路由，使用策略路由，防止从Internet访问校园网。二、Internet路由设计 采用静态默认路由协议访问Internet，为了实现路由的备份，配置到Internet的两条默认路由，两条路由的优先级可以相同，可以不同。 如果相同，则两条线路采取负载分担方式。如果不同，则是主备方式，其中优先级高的称为主路由，优先级低的为备份路由。这样，正常情况下，路由器采用主路由发送数据。当线路发生故障时，该路由自动隐藏，路由器会选择余下的优先级最高的备份路由作为数据发送的途径。这样，也就实现了主路由到备份路由的切换。当主路由恢复正常时，路由器恢复相应的路由，并重新选择路由。由于该路由的优先级最高，路由器选择主路由来发送数据。 采用源地址路由，让 Internet 地址访问 Internet； 采用 ACL，防止访问 Cernet 的流量通过 Internet； 采用 ACL，防止来自校园网的Internet地址。6.2 安全与流量控制6.2.1 网络安全控制 对端口 ARP检查防止 ARP攻击； 交换设备 BPDU Guard 功能，过滤非法 BPDU 报文，防止 STP攻击交换机； 端口安全：端口静态绑定，自动绑定 IP和 MAC 地址防止DOS 攻击； 智能安全到边缘：多种 ACL，满足不同网络应用，过滤病毒； SSH密文传输，限制管理 IP等措施保证设备管理可靠；6.2.2 VLAN需求默认时，交换机分隔冲突域，路由器分隔广播域。第 2 层交换式网络的最大好处是，它为插入到交换机每个端口的每台设备创建了各自的冲突域。但用户和设备的数量越大，每台交换机必须处理的广播和数据包就越多。 安全性也是一个问题，因为在典型的第 2 层交换式互联网络的内部，默认时所有用户都可以看见所有的设备。你不能让设备停止广播，也不能让用户不响应广播。连接到物理网络的任何人都可以访问位于物理 LAN上的网络资源，用户只需将其工作站插入到现有的集线器中，就可以加入某个工作组。安全性选项只能限于在服务器和其他设备上设置口令。 通过创建虚拟局域网（VLAN） ，就可以在一个纯交换式的互联网络中，分隔广播域。VLAN是两个部分的逻辑组合：一是网络用户；二是在管理上连接到交换机所定义端口的资源。 如果创建了 VLAN，情况就可以大大改善。在虚拟创建局域网时，可以将交换机上的不同端口分派到不同的子网中，这样