某校园网网络系统集成设计VIP

1.校园网需求分析21.1 背景介绍21.2 校园网需求分析21.2.1 业务需求分析.21.2.2 管理需求分析.21.2.3 安全性需求分析.21.3 校园网基本功能.22.校园网总体设计22.1 网络设计基本原则22.1 模块化、层次化的设计原则22.1.1 模块化设计22.1.2 层次化的设计23.校园网设计与实现23.1 校园平面图23.2 网络拓扑图23.3 方案说明24.校园网系统配置24.1 系统硬件配置24.1.1 主机系统设计24.1.2 网络设备分析24.2 软件配置24.2.1 Cisco Catalyst 3560系列2网络智能性2增强安全性2可用性和可扩展性24.3 系统软件成本分析25.网络应用规划及安全管理25.1 解决方案25.1.1 校园网出口解决方案25.1.2 宿舍网解决方案25.1.4 办公网解决方案25.2 用户上网方案25.2.1 访问校园网25.2.2 CERNet25.2.3 INTERNET25.3 地址规划和路由设计25.3.1 地址规划25.3.2 路由设计25.4 安全与流量控制25.4.1 网络安全控制25.4.2 VLAN需求25.4.3 VLAN划分设计25.4.4 网络异常流量监测技术25.5 无线网络21. 校园网需求分析1.1 背景介绍某学校占地500亩，有教学楼4栋，实验楼1栋，办公楼2栋，宿舍楼4栋，图书馆1座。在校生8000人，教职工1500人。曾在2004年建设过一期校园网工程，由于原来一期网络仅覆盖了两栋办公楼，网络应用也仅仅建设了网站。现在要扩建升级原有网络，计划覆盖全部的教学楼和宿舍楼，对原部分设备进行升级，同时要建设一套较为完备的网络应用，包括内部邮件系统、网络办公系统、教务管理系统，同时具备一定的先进性、安全性和可靠性。要求网络建设完成后，能满足校园信息化需要。1.2 校园网需求分析1.2.1 业务需求分析.校园网所服务的对象有以下几类：行政办公、图书管理、教师以及学生。他们各自对于校园网都有不同的需求。行政办公人员需要实现办公自动化，实现信息的即时交互与文件资料的归档整理，提高工作效率。图书管理人员有大量的图书信息以及其借阅情况需要登记、整理、归档。同时学校也要建成电子图书馆，以方便师生查阅资料，续借或查询图书。实现纸介资料和电子资料的同步应用。教师主要要求的是资源共享和科研交流。所以我们要保证教室和实验室接入网络实现教学要求。校园网覆盖了宿舍区，不论是学习还是生活学生都离不开网络。并且上网时间都较为集中。所以建成的网络要保证10000人左右能够同时浏览网页，保证网络稳定，下载迅速。1.2.2 管理需求分析.校园网是园区局域网，其网络的管理需求可以分成两个部分来看。一、网络管理应具备的特点；二、网络管理的要求。这样可以更清晰地分析校园网络的管理和教育信息化的一些需求。1. 网络管理的特点应该具有以下的特点：(1) 安全性及可靠性安全可靠毋庸置疑是指防止数据在内部和外部的攻击，这就要求要有安全、稳定的网络系统，这样才可以在校园内部达到数据通信的连贯及高速运作，而且这不仅仅是校园网络的特点，也是所有网络管理的特点。(2) 可管理性及先进性因为数据库数据的增加就必须要求网络系统具有可扩展性，而且当网络系统出现故障时，也可方便优化系统，使系统操作简易，这也是所说的先进性，能容易得扩展，维护及保持设计配置的灵活性。(3) 信息结构的多样性及智能化多样性即是指可提供WWW服务、电子邮件服务 、FTP服务等信息结构的种类繁多，而且现今的各大厂商努力的方向就是网络管理的智能化和自动化，并且还开发很多网络管理的软件来方便更好的管理数据库及网络通信。(4) 经济实用性介于学校对网络建设的投资有限，因此必须保持性价比的高度，节省资源的使用也不只是在网络建设使用方面了，校园网尽量做到可用资源最大化也是为广大教师学生谋福利。2. 网络管理的要求：校园网络建设的管理既然有那么多的特点，就会有相应的要求，而其要求就是所说的要面对的一些问题，所以需要去解决，以下是网络管理要求解决的问题：(1) 安全管理：对所有网络设备端口的监视和管理(2) 配置管理：对所有网络设备的远地配置和控制(3) 故障管理：整个网络的故障检测,故障自动报警功能(4) 性能管理：整个网络性能的统计和分析报告1.2.3 安全性需求分析.众所周知，许多校园网是从局域网发展来的，由于意识与资金方面的原因，它们在安全方面往往没有太多的设置，包括一些高校在内，常常只是在内部网与互联网之间放一个防火墙就了事了，甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络都将是致命性的。因此，校园网的网络安全需求是全方位的。 其体现在：1. 网络病毒的防范。在网络中，病毒已从存储介质（软、硬、光盘）的感染发展为网络通信和电子邮件的感染。所以，防止计算机病毒是计算机网络安全工作的重要环节。对于以前的单机版的杀毒软件已经不能解决网络中大肆蔓延的病毒，这样就存在着交叉感染的问题。病毒的表现形式不单单是破坏了本机的数据文件，而且有的病毒使得机器向网络上发大量的数据包，堵塞网络带宽，不仅仅耽误了自己的工作，还影响到周围的人，甚至造成校园网交换机的死机、网络的瘫痪。2. 网络安全隔离。网络和网络之间互联，同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以，网络之间进行有效的安全隔离是必须的。除了防止外来黑客攻击之外，校园网内部的访问控制也是极重要的一个方面。大量研究表明，网络安全问题只有30%来自外部攻击，而70%的问题来自内部。划分vlan和ip子网，在ip子网间设置访问控制表是解决内部安全问题的一个重要方法。3. 网络保护和监控措施。在不影响网络正常运行的情况下，增加内部网络监控机制可以做到最大限度的网络资源保护。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。4. 有害信息过滤。网络信息部的邮件服务器和BBS服务器基本上都实现了不良有害违法信息的过滤功能，使得校园对外的媒介正常。5. 数据备份和恢复。设备可以替换，数据一旦被破坏或丢失，其损失几乎可以用灾难来衡量。所以，做一套完整的数据备份和恢复措施是校园网迫切需要的。6. 用户自我保护。入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。1.3 校园网基本功能.连接校内所有教学楼、实验室、办公楼中的PC机,使其形成联网。同时支持约10000用户浏览Internet。提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：实现学生档案、教师人事、财务等管理手段的现代化。包括学生的学籍管理、自然情况、学生的成绩评定，及在相应群体中的位次确定；教师的人事档案、业务考核、工作、继续教育等等提供校内各个管理机构的办公自动化。提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。通过教师电子备课系统、计算机辅助教学系统、视频点播系统进行高质量、高效率的教学工作。 提供CAI教学和科研的便利条件。可在网上查询资料，进行最广泛的经验交流，随时了解全国教科研的最新动态。网上可进行科学探索，利用网上资源开展丰富多彩的课外活动，进行行科学实践、撰写科学论文，培养的学生的创新意识，为培养学生的个性特长提供了广阔的空间。 2. 校园网总体设计2.1 网络设计基本原则校园网建设是一项大型网络工程，各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统，为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，网络设计一般应遵循下列5个基本原则： 1. 可靠性和高性能网络必须是可靠的，包括网元级的可靠性，如引擎、风扇、单板、总计等；以及网络级的可靠性，如路由、交换的汇聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。 2. 实用性和经济性由于学校资金并不是很充足，不可能一步到位。另一方面，学校的应用水平较参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。 3. 可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。 4. 易管理、易维护由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。 5. 先进性、成熟性 当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保校园网络能够适应将来网络技术发展的需要，保证在未来若干年内占主导地位。 6. 安全性、保密性网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务，要求能进行灵活有效的安全控制，同时还应支持虚拟专网，以提供多层次的安全选择。 在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。 7. 灵活性、综合性通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。 2.1 模块化、层次化的设计原则网络的设计都是基于一个模块化，层次化的设计思想。这也是对大型网络进行高效管理的首选方法。 2.1.1 模块化设计所谓模块化就是将把整个网络按功能和安全需求分为若干个组件，这些组件之间有一定的安全边界，组件内部有完整的网络设计。模块化设计的好处在于:1. 解决各网络之间的冲突问题； 2. 简化安装和后台设备管理； 3. 易于故障检测和分离问题； 4. 易于执行不同类型的服务和安全方针； 5. 易于扩展和/或代替原来的技术。 一个完整的模块化设计如图2.1所示： 图2.1模块化网络设计图示2.1.2 层次化的设计1. 层次化网络设计模型对于大型网络，可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。核心层核心层的主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外，为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。 汇聚层 汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量（path metric）和路由协议网络通告控制。接入层接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。访问层主要通过二层交换机组成。 2. 层次化网络设计模型的优点 “ 核心层-汇聚层-访问层”层次化网络设计模型有如下优点： 高可扩展性 遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。 易于实施 每一层的功能性清晰划分，简化每一层的实现。 易于故障排除 每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围。 易于规划和管理 层次化的功能划分，整个网络规划和管理更为简单。3. 校园网设计与实现3.1 校园平面图某学校占地500亩，有教学楼4栋，实验楼1栋，办公楼2栋，宿舍楼4栋，图书馆1座。在校生8000人，教职工1500人，总投入计划为500万。大学校园平面图如图3.1所示：图3.1大学校园平面图3.2 网络拓扑图如图3.2所示：图3.2网络拓扑图3.3 方案说明校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因学校存在大量的语音和视频传输。据此，考虑汇聚层对QoS有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以及易于维护的特点。根据学校建设要求与总体目标，骨干网采用三层结构，由核心层，汇聚层和接入层构成。在接入层面，通过定义相应的访问策略，实现访问控制，内外隔离和抭IP地址。 在网络结构上，采用成熟的千兆以太网技术(第三层交换)作为核心层，呈网状拓扑结构。以TCP/IP协议为主，并辅以IP/SPX. NETTEUI等其他流行通信协议坚持开放性和标准化，采用标准的通讯规程，以有利于不同厂家之间的互连，使不同系统间易于集成，兼顾其他标准的网络体系结构，网络能实现协议之间无缝连接。而公用服务器与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠的设备，此产品是具有运营商级容错能力的高性能大型网络核心交换机，可实现冗余备份，从而提高核心层的可靠性。 整个网络通过汇聚层交换机RG-S6806E和核心交换机RG-S6810E之间的链路冗余备份和负载均衡提供安全可靠的网络构架（使用OSPF、ECMP、WCMP等技术），其安全保障技术提供一个全网概念的整体网络安全，而通过简单地增加万兆模块可以平滑升级到万兆骨干的校园网。 如拓扑图所示，作为学生宿舍网的核心，要求设备能够大容量、稳定可靠的高速路由转发，能够接入大量的汇聚节点并满足今后扩充的需要。同时，应完备的QOS保证机制，完备的业务控制、用户管理机制。同时，还应该考虑到与一期工程的网络设备之间的良好的兼容性、互通性。因此，在本方案的在核心层，部署了锐捷网络的RG-S6810E模块化骨干路由交换机两台，该交换机具有高达1.6T（可扩展3.2T）的背板，L2/L3层具有572Mpps的转发率，同时还可以配置冗余电源和管理引擎模块，可以实现对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能为学校的出口规则提供了灵活的设置，此外核心交换机硬件的IPv6功能为学校接入CERNET2提供了无缝连接。 为了提高网络上连带宽，业界提出了端口聚合(802.1ad)的概念，此概念也广泛应用于校园网的建设中。 锐捷网络交换机可将多个端口聚合，每条干路支持全双工模式。端口聚合可以在单台交换机中进行配置，支持聚合通道内部的负载均衡。从核心层到汇聚层使用多条多模光纤连接到汇聚层交换机，并实现端口聚合。 汇聚层起着承上启下的作用，负责对各种接入的汇聚，并可在该层实现对于用户的访问控制，以及对用户的网络管理。因此，汇聚层应考虑三层智能交换机。在本方案中，共部署三台锐捷网络自主研发的RG-S6806E模块化骨干路由交换机。在汇聚层使用三层交换机的目的是为了减轻核心层的负担。 接入层应该能够实现对用户的访问控制，并具有较强的安全和QOS控制功能，支持802.1x的认证计费，支持千兆上联，支持SMNP的网管。同时，为满足学生宿舍网的高端口密度接入的需求，接入层应考虑二层智能型可堆叠交换机。因此，在接入层部署了锐捷网络的STAR-S2150G智能型可堆叠交换机。 同时为了保证宿舍网内部网的安全,在内网和外网之间增加硬件防火墙，接在INTERNET/CERNET出口的位置,根据安全需求可将校园网分为内部网、外部网与DMZ区等，以保护校园网的安全，防止恶意用户的攻击。为了统一网络管理和监控，在网络中心配置StarView管理平台可以对设备进行集中的管理，包括网络拓扑发现、配置管理、性能管理、事件管理，实现全网设备的管理。 在网络中心一台核心交换机各通过两条千兆链路连接校园图书馆子网，当核心交换机间业务量增大时，也可考虑通过上行双链路Trunk来连接。其中宿舍楼干网以千兆链路下联至宿舍楼宇交换机STAR-S2150G；同时网络中心通过千兆连接专项课题研究楼子网；在网络中心核心交换机通过千兆链路连接行政子网交换机，以千兆链路下联至楼宇交换机STAR-S2150G；计算中心子网及应用服务器群另在网络中心通过千兆链路下行连接。实现百兆交换到桌面。 4. 校园网系统配置4.1 系统硬件配置4.1.1 主机系统设计主机系统说的是各种用途的服务器和主机，要衡量的是不同服务器的选择。服务器设备包括： WEB服务器、FTP服务器、EMAIL服务器、DNS服务器、VOD服务器、用户信息管理服务器、综合应用服务器等。DNS服务器（Domain Name System）域名管理系统，每个域名服务器至少管理一个域。将域名翻译为对应的IP地址的过程就是域名解析。为了可以方便的找到我们需要的IP地址，这就产生了容易被识别的域名管理系统DNS，可以把输入的域名转换为要访问的服务器的IP地址。DNS服务器是要求最简单的服务器，价格不要太高，内存512足够，两块硬盘，做raid1，双网卡作channel，inter pro系列就可以，双电源，1万元。WEB服务器也就是 WWW(WORLD WIDE WEB)服务器，以超文本技术为基础，以面向文件的浏览方式提供具有一定格式的文本、图形、声音等，通过超链接将各种信息联系起来。Web服务器用于管理Web页面，并使这些页面通过本地网络或Internet供客户浏览器使用。设备名称：WEB服务器；配置型号：8658 41Y NF5100 PIII866MHz, 128MB, 36GB/10000转SCSI ,CD-ROM, 网卡, 15”黑；数量：1；单位：台。FTP为文件传输协议的英文缩写，FTP服务器为提供文件传输（TCP/IP）服务的电脑，要有固定的地址，可管理FTP登录用户名、登录密码及其对FTP服务器上的硬盘空间的访问权限等。 用户可通过FTP客户端软件输入这个固定的地址（有时还需要FTP用户名和密码）登录FTP服务器，与服务器建立连接，登录成功后即可使用文件上传下载服务！电子邮件服务，就是通常说的Email服务器，这是需要搭建服务器首先要有硬件上的支持,然后就可以用邮件服务器的软件来完成,至少有一个电子邮件地址，目前多采Microsoft推出的Exchange Server构架电子邮件系统，它提供对Internet邮件系统的完全支持，并提供与WindowsNT域用户安全性的集成，还可以采用IBM公司的Lotus Domino/Notes，它可以提供综合应用的“群件”系统，可以提供完备的办公自动化集成环境。若使用Linux操作系统，可以使用Sendmail构架邮件系统。当然，也可以购买第三方的专门邮件系统，这类产品往往具有更高的安全性和可管理性。4.1.2 网络设备分析 思科 ASA5520-K8防火墙/VPN网关 1. 技术参数如表1.2.1所示： 表1.2.1防火墙技术参数思科 ASA5520-K8 详细参数基本参数产品型号ASA5520-K8产品类型企业级,VPN防火墙最大吞吐量450Mbps安全过滤带宽225Mbps外形尺寸174.5200.444.5mm重量1.8Kg硬件参数固定接口4个千兆以太网接口+1个快速以太网接口扩展插槽1个SSC扩展插槽网络与软件用户数限制无用户数限制并发连接数280000并发连接数VPN支持VPN功能认证标准DES许可证功能特点控制端口:console其它参数电源电压100-240VAC,50/60Hz其它主用/主用和主用/备用高可用性数据来源：太平洋电脑网产品报价 ()CISCO1841-HSEC/K9中心路由器 1. 技术参数如表1.2.2所示。表1.2.2路由器技术参数详细介绍Cisco 1800 系列 CISCO1841-HSEC/K9目标应用安全数据 机箱机型 台式，1机架单元 (1RU) 高 (4.75 cm高，带橡皮垫脚) 机箱 金属 墙壁安装 有 机架安装 无 尺寸 (WxD) 13.5 x 10.8 in. (34.3 x 27.4 cm)不带橡皮垫脚的高度: 1.73 in. (4.39 cm) 带橡皮垫脚的高度: 1.87 in. (4.75 cm) 重量 最大: 6.2 lb (2.8 kg); 带接口卡和模块最小: 6.0 lb (2.7 kg) (不带接口卡和模块) 架构 DRAM 同步双馈线内存模块 (DIMM) DRAM DRAM容量 缺省: 128 MB最大: 384 MB 闪存 外部小型闪存 闪存容量 缺省: 32 MB 最大: 128 MB 模块化插槽总数 两个 用于WAN接入的模块化插槽 两个 用于HWIC的模块化插槽 两个 用于话音支持的模块化插槽 无 Cisco 1841不支持话音 模拟和数字话音支持 无 VoIP 支持 仅限IP话音 (VoIP) 直通 板载以太网端口 2个10/100 板载USB端口 1个 (1.1) 控制台端口 1个高达115.2 kbps 辅助端口 1个高达115.2 kbps 板载AIM插槽 1个(内部) 主板上的分组话音DSP模块(PVDM)插槽 无Cisco 1841不支持话音 主板上基于硬件的集成加密 有 缺省时软件和硬件的加密支持 DES, 3DES, AES 128, AES 192, AES 256 电源规格 内部电源 有 冗余电源 无 直流电源支持 无 交流输入电压 100-240 VAC 频率 50-60 Hz 交流输入电流 最大1.5A 输出功率 50W (最大) 系统功耗 153 BTU/hr 软件支持 初始 Cisco IOS软件版本 12.3(8)T Cisco IOS软件缺省镜像 IP BASE 环境 工作温度 32-104F (0-o 40C) 工作湿度 工作：10-85%，非冷凝; 非工作：5-95%，非冷凝 非工作温度 -4 -149F (-25- 65C) 工作高度 10,000英尺 (3000米) 77F (25C) SRW2024-CN交换机1. 技术参数如表1.2.3所示。表1.2.3二层交换机表基本规格交换机类型千兆光纤扩展交换机传输速率10/100/1000Mbps应用层级二层交换方式存储-转发背板带宽48Gbps包转发率10M: 14880 packets/sec; 100M: 148800 packets/sec; 1000M: 1488000 packets/sec端口结构固定端口MAC地址表8KVLAN功能同时支持多达64个基于端口和802.1q协议的VLAN网络网络标准IEEE802.3、IEEE802.3u、IEEE802.3ab、IEEE802.1q、IEEE802.1p、IEEE802.1x传输模式全双工网管功能Web页面管理方式允许网络管理员使用他们熟知的Web浏览器监控和配置交换机堆叠功能不可堆叠端口接口数量24个接口类型24个10/100/1000M 端口、2个MiniGBIC 扩展槽，1个Console接口模块化插槽数2个其它网络介质5类线或更高认证FCC、CE环境工作温度 0?50(32F?122F)存储温度 -40?70(-40F?158F)工作湿度 20%?95%相对湿度，非冷凝存储湿度 5%?90%, 非冷凝是否支持全双工全、半双工网管支持可网管型电气规格电源电压100-240V, 50-60Hz额定功率100W外观参数LED指示灯System、Link/Act、Gigabit、Gigabit1、Gigabit2/MiniGBIC重量3.33kg长度350mm宽度430mm高度44.45mm环境参数工作温度0 - 50工作湿度20 95% 无凝结工作高度3000m存储温度-4070存储湿度5% - 90% 不凝结存储高度6000mSRW248G4-CN交换机1. 技术参数如表1.2.4所示。表1.2.4二层交换机表基本规格交换机类型千兆以太网交换机传输速率10/100/1000Mbps应用层级二层交换方式存储-转发背板带宽17.6Gbps包转发率10 Mbps: 14,880 pps，100 Mbps: 148,810 pps ，1000 Mbps: 1,488,100 pps端口结构固定端口内存64MBMAC地址表8KVLAN功能支持网络网络标准IEEE 802.3、IEEE802.3u、IEEE802.3ab、IEEE802.1q、IEEE802.1p传输模式全双工网管功能SNMP和RMON管理增强你的网络管理性通过Telnet 和HTTP 进行安全的管理堆叠功能不可堆叠端口接口数量48个接口类型48个10/100M 端口, 4个10/100/1000M 端口、2个SFP 扩展槽, 1个Console 接口模块化插槽数2个其它网络介质5e类或更高安全性802.1x - RADIUS 认证和MD5加密; 基于MAC 地址的过滤认证FCC Part15 Class A、CE Class A、UL、cUL、CE mark、CB环境工作温度 0?40 (32F ?104F)存储温度 -20?70 (-4F ?158F)工作湿度 10%?90%相对湿度, 非冷凝存储湿度 10%?95%, 非冷凝是否支持全双工全、半双工网管支持可网管型电气规格电源电压100-240VAC, 5060Hz额定功率50W外观参数LED指示灯Power、Link/Act、Speed重量3.9kg长度430mm宽度350mm高度44.5mm环境参数工作温度0 - 40工作湿度20% - 95%工作高度3000m存储温度-2070存储湿度5% - 90%存储高度6000m4.2 软件配置4.2.1 Cisco Catalyst 3560系列网络智能性当今的网络正在不断发展，在网络边缘出现了四种新趋势： 桌面计算能力提高 带宽密集型应用出现 高敏感数据在网络中扩展 出现了多种设备类型，如IP电话、无线LAN接入点和IP视频照相机 这些新需求正与许多已有关键任务应用争夺资源。因此，IT专业人员必须将网络边缘看作有效管理信息和应用的提供的关键。随着公司日益依赖网络，将其作为战略性业务基础设施，确保网络的高可用性、安全性、可扩展性和对它的全面控制就比以前更为重要。通过向布线室添加思科智能功能，客户现可部署遍布整个网络的智能服务，从而一致地满足从桌面到核心再到WAN的要求。通过Cisco Catalyst智能以太网交换机，思科可帮助公司获得向其网络添加智能服务的全面优势。为进一步优化网络运行，部署具备以下特性的功能是十分关键的：能使网络基础设施高可用性以达到关键时间要求、可扩展以便于公司发展、高安全性以保护保密信息，且能区分和控制流量。增强安全性凭借Cisco Catalyst 3560系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，确保私密性及维持不间断运行。思科基于身份的网络服务（IBNS）提供了身份验证、访问控制和安全策略管理特性，来保护网络连接和资源。Cisco Catalyst 3560系列中的思科IBNS可防止未授权接入，并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使用802.1x标准和思科访问控制服务器（ACS），无论用户在何处连接到网络中，都可在验证基础上分配到一个VLAN或ACL。此设置使IT部门能在不影响用户移动性的情况下，以最低管理开销实施强大的安全策略。为防止拒绝服务攻击和其他攻击，可用ACL根据源和目的地MAC地址、IP地址或TCP/UDP端口来拒绝数据包，从而限制对网络敏感部分的访问。ACL查询在硬件中完成，故此在实施基于ACL的安全性时不会影响转发性能。端口安全性可根据与以太网端口相连设备的MAC地址，来限制此端口上的访问。它也可用于限制插入一个交换机端口的总设备数目，因此使交换机不会受到MAC泛洪攻击，并降低了恶意无线接入点或集中器接入的风险。通过动态主机配置协议（DHCP）监听，可只允许不信任用户端口的DHCP请求（但不允许响应）进行传输，从而阻止了DHCP电子欺骗。此外，DHCP接口跟踪器（选项82）添加了一个带交换机端口ID的主机IP地址请求，从而可实现对于IP地址的精确控制。在DHCP监听功能的基础上，可通过动态ARP检测和IP源防护阻止IP地址欺骗。MAC地址通知特性可向管理站发送报警，从而监控网络和跟踪用户，以使网络管理员知道用户何时、从何处进入网络。专用VLAN特性可隔离交换机上的端口，有助于确保流量直接从进入点通过虚拟路径传输至汇聚设备，而不会发送到另一端口。Secure Shell（SSH）协议版本2、Kerberos和简单网络管理协议版本3（SNMPv3）对管理和网络管理信息加密，保护网络免遭干扰或窃听。TACACS+或RADIUS验证实现了交换机的集中访问控制，并限制未授权用户改变配置。此外，可在交换机上配置本地用户名和密码数据库。交换机控制台上的15个授权级别和Web管理界面上的2个级别提供了向不同管理员分配不同配置功能级别的能力。可用性和可扩展性Cisco Catalyst 3560系列配备了强大的特性集，通过IP路由和旨在第二层网络中提供最高可用性的全套生成树协议改进，实现了网络可扩展性及更高可用性。Cisco Catalyst 3560系列提供了基于硬件的高性能IP路由。这一基于思科快速转发的路由架构可提高可扩展性和性能。此架构能在确保稳定性和可扩展性足以达到未来要求的同时进行极高速度的查寻。除支持动态IP单播路由外，Catalyst 3560系列还进行了完美配置，适用于需组播支持的网络。硬件中的协议独立型组播（PIM）和互联网小组管理协议（IGMP）使Catalyst 3560系列交换机成为了密集组播环境的理想选择。向核心提供路由上行链路可实现速度更快的故障转换保护，并通过在汇聚交换机端接所有生成树实例来简化生成树协议算法，从而提高网络可用性。如果一个上行链路发生故障，通过最短路径优先（OSPF）或增强内部网关路由协议（EIGRP）等可扩展路由协议，可快速故障转换至冗余上行链路，而无须依靠标准生成树协议融合。链路发生故障后使用路由协议对分组重导向，与使用第二层生成树增强特性的解决方案相比，故障转换速度更快。此外，路由上行链路实行了等成本路由（ECR）来执行负载均衡，可更好利用带宽。路由上行链路可防止不必要的广播数据流入网络骨干，优化了布线室输出上行链路的利用率。Catalyst 3560作为组播环境中的布线室交换机，还节约了大量带宽。使用路由上行链路连接到网络核心，就无需将同一组播的多个流从上游内容服务器传输到LAN接入交换机。例如，三个用户被分配到三个独立VLAN，他们都想浏览组播ABC，假设布线室交换机没有路由上行链路，就必须从上游路由器向布线室交换机传输三个组播ABC流。通过Catalyst 3560交换机向核心部署IP路由将使用户能创建一个可扩展、组播性能出色的网络。思科高级IP服务许可提供IPv6路由和IPv6 ACL支持，包括对双IP堆叠（同步IPv4和IPv6）转发的支持。IPv6协议支持包括RIP下一代（RIPng）、OSPFv3和静态路由。对标准生成树协议的改进，如每VLAN生成树增强（PVST+）、Uplink Fast和PortFast，可实现最长网络正常运行时间。PVST+可在冗余链路上进行第二层负载共享，以有效使用冗余设计中的额外容量。Uplink Fast、PortFast和BackboneFast都大大缩减了标准的30到60秒生成树协议融合时间。环路保护和网桥协议数据单元（BPDU）保护避免了生成树协议环路的出现。4.3 系统软件成本分析如表4.3.1到4.3.2所示。表4.3.1交换机汇建筑物楼层节点数接入交换机数目汇聚层交换机数目宿舍楼16640=2406台1台宿舍楼26640=2406台宿舍楼36640=2406台宿舍楼46640=2406台实验楼638012台1台教1楼6652台1台教2楼6772台教3楼6602台教4楼6702台图书馆51405台1台办1楼3110在原有的基础上新增3台办2楼350在原有的基础上新增1台信息节点个数为学校实际所要布线施工的信息点数。由次表可得出此次校园网的预算如表4.3.2所示。表4.3.2费用清单IT产品数目费用交换机SRW2024-CN SRW248G4-CNCISCO WS-C3560-24TS-E15台38台4台￥：15*3400=51000元￥：38*3500=133000元￥：4*11600=46400元路由器CISCO1841-HSEC/K91台￥：1*9500=9500元防火墙思科ASA5520-K81台￥：1*31800=31800元光纤、双交线、水晶头 若干￥：55000元左右笔记本、台式机（学校已有）由以上可得出，校园网网络设备所须的费用大概为 32.67万人民币左右。5.网络应用规划及安全管理5.1 解决方案5.1.1 校园网出口解决方案校园网出口，作为唯一连接外界网络的平台，是校园网与外界沟通交流的窗口，承载了各类与教学、科研、办公、生活息息相关的应用；出口平台对各应用的承载能力，将对高校的教学、科研、办公、生活产生直接和间接的影响。锐捷网络高校校园网出口解决方案，充分考虑网络出口承载的多种业务系统对网络的要求，形成了包含外网连接层、安全防护层、应用控制层、VPN接入层、日志管理层在内的针对性出口网络解决方案。 ABC大学应用锐捷网络高校校园网出口解决方案，在安全防护层部署1台RG-WALL 1800、应用控制层部署1台RG-ACE 3000完成出口网络的阶段性改造（原有的LinkProof承担多出口负载均衡）。改造后的东北财经大学出口网络，实现了多出口的合理使用，有效抵御DDoS攻击，实现病毒、木马以及异常流量的阻断；RG-ACE 3000可有效识别包括Web迅雷在的多种应用层协议，可实现基于用户的应用带宽限制及数据统计，使得各种关键应用的带宽得到充分的保障。5.1.2 宿舍网解决方案伴随校园网建设进程的深入，ABC大学认为，宿舍网的建设和管理水平直接影响着广大学生的学习和生活，是促进数字化校园发展的重要内容，是高校综合竞争能力的重要体现，ABC大学宿舍网的建设逐渐成为ABC大学校园网建设的重点。锐捷网络SAM运营管理解决方案很好的解决了宿舍网建设和管理过程中普遍存在的问题，如IP地址管理（自动分配），IP地址盗用，自动绑定IP、MAC等多种元素，同时，SAM具有灵活的计费策略、强大的控制策略（防代理）、完整的日志系统，实现了学校“以网养网”的网络建设目标。要想管理好万兆校园网、宿舍网，就必须采用涵盖先进技术的产品和完善的自动化管理；随着SAM应用的深入，要想充分发挥SAM的能量，必须对组织、制度、流程上加以改进，使运营管理水平更上一层楼，因此制定了20多个具体的制度来规范网络运营，达到了很好的效果。锐捷网络GSN全局安全解决方案提供的ARP三重立体防御功能彻底改善了网络中ARP攻击频发的局面，最大程度减轻了网络的工作强度与管理压力，使网络用户真正置身于一个安全、可信的网络环境中。5.1.4 办公网解决方案高校办公网做为高校校园整体网络的一部分，在高校教育中所承担的作用愈来愈明显，它已成为高校教学、科研、办公及管理不可缺少的支撑环境。随着ABC大学校园信息化的不断推进，教学管理、科研管理、教学资源管理、后勤与服务管理等各种管理系统均需以校园办公网为载体，用以提高东北财经大学整体管理效率、促进教学、科研、服务和管理水平。锐捷网络高校办公网解决方案的成功实施，很好的解决了东北财经大学办公网网络环境复杂、用户水平参差不齐、服务质量要求高、安全事件层出不穷，无法进行有效管理等诸多问题。5.2 用户上网方案5.2.1 访问校园网用户在连接到网络中时，首先获得是校园网的IP地址，此时用户只能访问校园网内部的资源，并且对用户不计费。 在该方案中，S6810E和S6806E起到三层交换机的功能，校园网用户之间的互访都必须通过S6810E和S6806E进行。 5.2.2 CERNet 用户需要访问CERNet时，使用CERNet的域名,获得CERNet的地址后，就可以访问 5.2.3 INTERNET 用户需要访问INTERNET时，使用INTERNET的域名，获得INTERNET的地址后就可以访问。 5.3 地址规划和路由设计5.3.1 地址规划IP地址规划是整个网络设计中的重要组成部分，地址规划的科学性和合理性将直接反应网络拓扑的设计思想，对网络的稳定起到至关重要的影响。好的地址规划同科学的分层网络拓扑设计相辅相承，共同形成整体的网络设计解决方案。 合理的网段划分结合灵活的VLAN规划，可以有效地降低网络风暴的产生，保证整个网络的稳定，同时也起到一定的网络安全功能。 IP地址规划目标建立高效的网络路由； 有效利用有限的IP地址资源； 支持网络的扩展； 支持网络技术的演变和发展。 IP地址规划原则简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式； 连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛(Summarization)及CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项，提高路由器的处理效率； 可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性； 灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化； 可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。 安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。 校园网地址规划方案校园网IP地址分配总则 校园网IP地址分为三大块： 校园网内部的私有IP地址，采用RFC中规定的地址段，不能访问Internet和Cernet； Cernet分配的多个C类公网IP地址，作为和国际互联网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆、部分实验室专用； 运营商分配的公网IP地址，用于访问Internet。 关键服务器拥有两个公网IP，分别跨接在Cernet和Internet上。 校园网内部私网IP地址的分配 内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个C的划分。为了安全考虑对所有的都采用静态分配IP地址，为防止地址盗用，采用IP地址、MAC地址与端口绑定。 IP地址的分配 用户的计算机在连接到校园网上时，首先获得一个校园网内部的IP地址，此时该计算机只能访问校园网内部。 用户需要访问Cernet和Internet，要使用帐号登陆，认证通过后才能访问。 5.3.2 路由设计校园网路由设计 不使用默认路由，使用策略路由，防止从Internet访问校园网。 Internet路由设计采用静态默认路由协议访问Internet 为了实现路由的备份，配置到Internet的两条默认路由，两条路由的优先级可以