校園網(wǎng)絡(luò)設(shè)計方案最新[1]

1、溫州春華校園網(wǎng)絡(luò)方案溫州春華校園網(wǎng)絡(luò)方案思科系統(tǒng)網(wǎng)絡(luò)技術(shù)思科系統(tǒng)網(wǎng)絡(luò)技術(shù)二零零八年十二月一校園一校園網(wǎng)網(wǎng)概述及分析概述及分析.4概述.41.2 校園網(wǎng)建設(shè)的必要性.5應(yīng)用特點.6二、校園網(wǎng)絡(luò)需求分析二、校園網(wǎng)絡(luò)需求分析.6用戶需求分析.6校區(qū)網(wǎng)絡(luò)的設(shè)計目標: .7系統(tǒng)設(shè)計指導(dǎo)思想.8三、組網(wǎng)技術(shù)及產(chǎn)品選擇三、組網(wǎng)技術(shù)及產(chǎn)品選擇.9組網(wǎng)技術(shù)選擇.9網(wǎng)絡(luò)產(chǎn)品選型.10穩(wěn)定可靠的網(wǎng)絡(luò).10高帶寬.10易擴展的網(wǎng)絡(luò).113.2.4 QoS 保證 .11平安性.11容易控制管理.113.2.7 IP Multicast.11符合 IP 開展趨勢的網(wǎng)絡(luò).12四、校園網(wǎng)網(wǎng)絡(luò)設(shè)計方案及分析四、校園網(wǎng)網(wǎng)絡(luò)設(shè)計方

2、案及分析.124.1 網(wǎng)絡(luò)的分層設(shè)計原那么.124.1.1 核心層 (Core Layer).124.1.2 分布層 (Distribution Layer).134.1.3 接入層 (Access Layer).13校園網(wǎng)方案特性分析.13高性能的網(wǎng)絡(luò)設(shè)計.13集成的用戶管理功能.14靈活的網(wǎng)絡(luò)的可擴展性設(shè)計.14完善的 QOS 功能.15可靠的網(wǎng)絡(luò)平安設(shè)計.15方便的網(wǎng)絡(luò)管理和維護.16運營級的網(wǎng)絡(luò)高可靠性的設(shè)計.16系統(tǒng)平臺和應(yīng)用系統(tǒng).17系統(tǒng)平臺選擇.17采用 WIN2003 SERVER 能建立的效勞器角色.17WEB 效勞器.17五五.思科公司校園網(wǎng)解決方案思科公司校園網(wǎng)解決方案.

3、21系統(tǒng)組成與拓撲結(jié)構(gòu).215.2 VLAN 及 IP 地址規(guī)劃.24六、綜合布線系統(tǒng)六、綜合布線系統(tǒng).256.1 結(jié)構(gòu)化布線設(shè)計的要求.25系統(tǒng)設(shè)計原那么.26設(shè)計原那么.26設(shè)計目標.26七、技術(shù)支持及售后效勞七、技術(shù)支持及售后效勞.267.1 效勞內(nèi)容.277.2 設(shè)計效勞.277.3 場地檢查.277.4 系統(tǒng)安裝調(diào)試.277.5 測試和驗收.287.6 系統(tǒng)后期維護和支持.287.7 客戶技術(shù)培訓(xùn).297.8 設(shè)備保修與軟件升級.29校園網(wǎng)系統(tǒng)方案校園網(wǎng)系統(tǒng)方案一校園網(wǎng)概述及分析一校園網(wǎng)概述及分析中國教育科研計算機網(wǎng)CERNET于 1994 年正式啟動以來，已與國內(nèi)幾百所學(xué)校相連。為

4、廣闊師生及科研人員提供了一個全新的網(wǎng)絡(luò)環(huán)境。1998 年10 月,中國教育科研網(wǎng)(CERNET)二期工程正式啟動,工程方案到 2000 年二期工程完成時,除到達連接 1000 所大學(xué)的目標外,對有條件的中小學(xué)也提供接入上網(wǎng)效勞。確實,隨著信息技術(shù)的飛速開展,中小學(xué)校園網(wǎng)的建設(shè)已經(jīng)逐漸提到議事日程上來。但是我國目前大多數(shù)校園網(wǎng)上的應(yīng)用還不豐富，與學(xué)校原有一些計算機業(yè)務(wù)系統(tǒng)還沒有充分發(fā)揮，應(yīng)用水平的低下是對校園網(wǎng)資源的極大浪費。只有提高校園網(wǎng)上的應(yīng)用水平，才能切實提高學(xué)校各項業(yè)務(wù)水平，適應(yīng)信息時代的要求。因而，如何利用當前先進的計算機技術(shù)與校園網(wǎng)資源，實現(xiàn)學(xué)校各項業(yè)務(wù)系統(tǒng)的集成，提高應(yīng)用水平將是學(xué)

5、校校園網(wǎng)建設(shè)的下一個工作重點。當前由于網(wǎng)絡(luò)、數(shù)據(jù)庫及與之相關(guān)的應(yīng)用技術(shù)不斷開展，尤其國際互聯(lián)網(wǎng)Internet和內(nèi)部網(wǎng)Intranet技術(shù)的廣泛應(yīng)用，世界正在邁入網(wǎng)絡(luò)中心計算NetworkCentricComputing時代。人們傳統(tǒng)的交互和工作模式正在改變。處在不同地理位置的人們可以共享數(shù)據(jù)，使用群件技術(shù)GroupWare進而能夠協(xié)同工作；多媒體數(shù)據(jù)的存儲、傳輸、應(yīng)用技術(shù)的不斷成熟；以上這些計算機技術(shù)的開展對學(xué)校傳統(tǒng)的計算機業(yè)務(wù)系統(tǒng)產(chǎn)生影響，使用戶能更方便。更直觀的使用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強大。校園網(wǎng)建設(shè)的目標簡而言之是將校園內(nèi)各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接

6、起來，形成校園園區(qū)內(nèi)部的 Intranet 系統(tǒng)，對外通過路由設(shè)備接入廣域網(wǎng)。建設(shè)校園網(wǎng)對每個學(xué)校來說都不是一件容易的事情,都要經(jīng)過周密的論證、謹慎的決策和緊張的施工。當一堆設(shè)備變成網(wǎng)絡(luò)的時候,大局部學(xué)校的滿腔熱情也慢慢地冷卻凝固。校園網(wǎng)建成了,各種問題也不斷涌現(xiàn):設(shè)計目標根本無法實現(xiàn),沒有適宜的應(yīng)用軟件,許多設(shè)想根本無法實施,后續(xù)的維護費用不堪承受等等。1.21.2 校園網(wǎng)建設(shè)的必要性校園網(wǎng)建設(shè)的必要性是否在學(xué)校采用最先進的信息和傳播技術(shù)是一個有決定性意義的問題,而且十分重要的是,學(xué)校應(yīng)該處于影響整個社會深刻變革的中心地位。 隨著計算機多媒體和網(wǎng)絡(luò)技術(shù)的不斷開展與普及，校園網(wǎng)信息系統(tǒng)的建設(shè)，

7、是非常必要的，也是可行的。主要表現(xiàn)在：1)、當前校園網(wǎng)信息系統(tǒng)已經(jīng)開展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學(xué)和協(xié)作工作的階段，開展對學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。2)、教育信息量的不斷增多,使各級各類學(xué)校、家庭和教育管理部門對教育信息計算機管理和教育信息效勞的要求越來越強烈。個人是否具有獲得信息和處理信息的能力對于能否成功進入職業(yè)界和融入社會及文化環(huán)境都是個決定性的因素,因此學(xué)校應(yīng)該培養(yǎng)所有學(xué)生具有駕馭和掌握這種技術(shù)的能力。另一方面,信息技術(shù)在作為青少年教育工具的同時也向青少年提供了前所未有的時機。新技術(shù)提供的時機以及它們在教學(xué)方面具有的優(yōu)勢都是很多的,特別

8、是計算機和多媒體系統(tǒng)的使用有助于個人化的道路,每個學(xué)生在個人的學(xué)習道路上都可以按照自己的速度開展。3)、我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供給商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡(luò)環(huán)境。4)、現(xiàn)代教育改革的需要。在校園網(wǎng)中將計算機引入教學(xué)各個環(huán)節(jié)，從而引起了教學(xué)方法，教學(xué)手段，教學(xué)工具的重大革新。對提高教學(xué)質(zhì)量，推動我國教育現(xiàn)代化的開展起著不可估量的作用。網(wǎng)絡(luò)又為學(xué)校的管理者和老師提供了獲取資源、協(xié)同工作的有效途徑。毫無疑問,校園網(wǎng)是學(xué)校提高管理水平、工作效率、改善教學(xué)質(zhì)量的有力手段,是解決信息時代教育問題的根本工具。5)

9、、隨著經(jīng)濟開展，我國各級政府對教育的投入不斷加大；計算機技術(shù)的飛速開展，使相應(yīng)產(chǎn)品價格不斷下降；同時人們的認識水平和經(jīng)濟實力不斷提高。大量計算機進入學(xué)校和家庭，使得計算機用于教育信息管理和信息效勞是完全可行的。應(yīng)用特點應(yīng)用特點 - 隨著現(xiàn)代化教學(xué)活動的開展和與國內(nèi)外教學(xué)機構(gòu)交往的增多，對通過Internet/Intranet 網(wǎng)絡(luò)進行信息交流的需求越來越迫切，為促進教學(xué)、方便管理和進一步發(fā)揮學(xué)生的創(chuàng)造力，校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個根本的校園網(wǎng)具有以下的特點： 高速的局域網(wǎng)連接-校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該

10、系統(tǒng)的建設(shè)重點，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項根本要求； 信息結(jié)構(gòu)多樣化-校園網(wǎng)應(yīng)用分為電子教學(xué)多媒體教室、電子圖書館等 、辦公管理和遠程通訊遠程教學(xué)、互聯(lián)網(wǎng)接入三大局部內(nèi)容：電子教學(xué)包含大量多媒體信息，辦公管理以數(shù)據(jù)庫為主，遠程通訊那么多為 WWW方式，因此數(shù)據(jù)成分復(fù)雜，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； 平安可靠-校園網(wǎng)中同樣有大量關(guān)于教學(xué)和檔案管理的重要數(shù)據(jù)，不管是被損壞、喪失還是被竊取，都將帶來極大的損失； 操作方便，易于管理-校園網(wǎng)面向不同知識層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太

11、過專業(yè)化； 經(jīng)濟實用-學(xué)校對網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟實用，具備很高的性能價格比。 二、校園網(wǎng)絡(luò)需求分析二、校園網(wǎng)絡(luò)需求分析設(shè)計一個網(wǎng)絡(luò)，首先要為用戶分析目前面臨的主要問題，確定用戶對網(wǎng)絡(luò)的真正需求，并在結(jié)合未來可能的開展要求的根底上選擇、設(shè)計適宜的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶滿意的高質(zhì)效勞。 網(wǎng)絡(luò)在日常教學(xué)辦公環(huán)境中起著至關(guān)重要的作用，校園網(wǎng)的運作模式會帶來大量動態(tài)的 www 應(yīng)用數(shù)據(jù)傳輸，會有相當一局部應(yīng)用的主效勞器有高速接入網(wǎng)絡(luò)的需求目前為 100/1000Mbps，今后可會更高 。這就要求網(wǎng)絡(luò)有足夠的主干帶寬和擴展能力。同時，一些新的應(yīng)用類型，如網(wǎng)絡(luò)教學(xué)、視頻直播/播

12、送等，也對網(wǎng)絡(luò)提出了支持多點播送和寬帶高速接入的要求。 除上述考慮外，還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開，所以建成后校園網(wǎng)應(yīng)能提供多個網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應(yīng)教學(xué)辦公環(huán)境的調(diào)整和變化。中心機房到會聚層節(jié)點采用 4 兆光纖多模連接，會聚層到接入層采用百兆的五類線或者超五類連接。通?？紤]，建議數(shù)據(jù)信息點的接入用交換10/100Mbps 自適應(yīng)以太網(wǎng)端口接入，以便能較經(jīng)濟的提供較高的帶寬。整個方案設(shè)計的目的是建設(shè)一個集數(shù)據(jù)傳輸和備份、多媒體應(yīng)用、語音傳輸、OA 應(yīng)用和 Internet 訪問等于一體的高可靠、高性能的寬帶多媒體校園網(wǎng)。2.22.2 校區(qū)網(wǎng)絡(luò)的設(shè)計目標校區(qū)

13、網(wǎng)絡(luò)的設(shè)計目標: :校區(qū)網(wǎng)絡(luò)建設(shè)的目標應(yīng)該是：建成后的網(wǎng)絡(luò)能充分利用 Internet、國家信息網(wǎng)、教育網(wǎng)、全國高?；ヂ?lián)網(wǎng)上的各種信息，實現(xiàn)資源共享，能夠為在此校區(qū)學(xué)習的學(xué)生提供豐富的多媒體教學(xué)手段，實現(xiàn)高質(zhì)高效的教學(xué)目標。由此，我們認為，校園網(wǎng)網(wǎng)絡(luò)是一個典型的面向未來的網(wǎng)絡(luò)化、信息化、自動化的集娛樂、教學(xué)、辦公于一體的，具備多媒體綜合業(yè)務(wù)開展需求的園區(qū)網(wǎng)絡(luò)。系統(tǒng)總體設(shè)計將本著總體規(guī)劃、分布實施的原那么，充分表達系統(tǒng)的技術(shù)先進性、高度的平安可靠性，同時具有良好的開放性、可擴展性。本著為學(xué)校校區(qū)著想，合理使用建設(shè)資金，使系統(tǒng)經(jīng)濟可行。學(xué)校網(wǎng)絡(luò)應(yīng)當實現(xiàn)如下功能： 訪問互聯(lián)網(wǎng)絡(luò) 訪問學(xué)校虛擬網(wǎng)絡(luò) 校

14、園網(wǎng)站建立 遠程教育 VOD 點播 網(wǎng)絡(luò)平安管理 電子郵件和電子公告 計算機輔助教學(xué) 教師備課功能 對外交流 校園管理平臺 信息資源庫 建設(shè)校園網(wǎng)絡(luò)，本著少花錢辦大事的原那么，充分利用有限的投資，在保證網(wǎng)絡(luò)先進性的前提下，選用性能價格比最好的設(shè)備，我們認為校園網(wǎng)建設(shè)應(yīng)該遵循以下原那么： 先進性 以先進、成熟的網(wǎng)絡(luò)通信技術(shù)進行組網(wǎng)，支持數(shù)據(jù)、語音、視像等多媒體應(yīng)用，用基于交換的技術(shù)替代傳統(tǒng)的基于路由的技術(shù)。 標準化和開放性 網(wǎng)絡(luò)協(xié)議采用符合 ISO 及其他標準，如：IEEE、ITUT、ANSI 等制定的協(xié)議，采用遵從國際和國家標準的網(wǎng)絡(luò)設(shè)備。 可靠性和可用性 選用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)

15、在程序運行時的應(yīng)變能力和容錯能力，確保整個系統(tǒng)的平安與可靠。 設(shè)備的兼容性 選用符合國際開展潮流的國際標準的軟件技術(shù)，以便系統(tǒng)有可靠性強、可擴展和可升級等特點，保證今后可迅速采用計算機網(wǎng)絡(luò)開展出現(xiàn)的新技術(shù)，同時為現(xiàn)存不同的網(wǎng)絡(luò)設(shè)備、小型機、工作站、效勞器、和微機等設(shè)備提供入網(wǎng)和互連手段。 實用性和經(jīng)濟性 從實用性和經(jīng)濟性出發(fā)，著眼于近期目標和長期的開展，選用先進的設(shè)備，進行最正確性能組合，利用有限的投資構(gòu)造一個性能最正確的網(wǎng)絡(luò)系統(tǒng)。 平安性和保密性 在接入 Internet 的情況下，必須保證網(wǎng)上信息和各種應(yīng)用系統(tǒng)的平安。 擴展性和升級能力 網(wǎng)絡(luò)設(shè)計應(yīng)具有良好的擴展性和升級能力，選用具有良好升

16、級能力和擴展性的設(shè)備。在以后對該網(wǎng)絡(luò)進行升級和擴展時，必須能保護現(xiàn)有投資。應(yīng)支持多種網(wǎng)絡(luò)協(xié)議、多種高層協(xié)議和多媒體應(yīng)用。 網(wǎng)絡(luò)的靈活性 系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負載平衡等方面，配合交換機產(chǎn)品與路由器產(chǎn)品支持的最先進的虛擬網(wǎng)絡(luò)技術(shù)，整個網(wǎng)絡(luò)系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網(wǎng)絡(luò)轉(zhuǎn)移到另一個網(wǎng)絡(luò)，可以跨越辦公室、辦公樓，而無需任何硬件的改變，以適應(yīng)機構(gòu)的變化。同時也可以通過平衡網(wǎng)絡(luò)的流量，以提高網(wǎng)絡(luò)的性能。三、組網(wǎng)技術(shù)及產(chǎn)品選擇三、組網(wǎng)技術(shù)及產(chǎn)品選擇 在校園網(wǎng)校區(qū)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的成功與否起著決定性的作用。選擇適合校園網(wǎng)絡(luò)需求特點的主流網(wǎng)絡(luò)技術(shù)，不

17、但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進性和擴展性，能夠在未來向更新技術(shù)平滑過渡，保護用戶的投資。目前在局域網(wǎng)絡(luò)上應(yīng)用最廣泛的技術(shù)有以太網(wǎng)、快速以太網(wǎng)、FDDI、Token Ring 以及最新崛起的 ATM異步傳輸模式 、千兆以太網(wǎng)等。交換式以太網(wǎng)作為幾年前主干網(wǎng)組網(wǎng)的主要技術(shù)，現(xiàn)在主要被用于工作組級組網(wǎng)，使網(wǎng)絡(luò)交換到桌面工作站。 快速以太網(wǎng)是一種非常成熟的組網(wǎng)技術(shù)，造價很低，性能價格比很高，可作為資金不很充裕的中小型單位組建 Intranet 網(wǎng)的首選技術(shù)?？焖僖蕴W(wǎng)技術(shù)現(xiàn)在被廣泛用于大型企業(yè)網(wǎng)的二級、三級網(wǎng)絡(luò)組網(wǎng)或直接連至桌面工作站。 FDDI 也是一種成熟的組網(wǎng)技術(shù)，但技術(shù)復(fù)雜、造價高，

18、FDDI 網(wǎng)絡(luò)難以向更先進的網(wǎng)絡(luò)技術(shù)升級，現(xiàn)在用 FDDI 組建主干網(wǎng)的情況已非常少見。 ATM 技術(shù)成熟而復(fù)雜，組網(wǎng)本錢高，是多媒體應(yīng)用系統(tǒng)的理想網(wǎng)絡(luò)平臺。但是，網(wǎng)絡(luò)帶寬的實際利用率很低。 在選擇校園校區(qū)網(wǎng)絡(luò)技術(shù)時應(yīng)該考慮如下：在選擇校園校區(qū)網(wǎng)絡(luò)技術(shù)時應(yīng)該考慮如下： 1)、長遠來看如何保護現(xiàn)有投資。保護現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡(luò)技術(shù)升級時還能使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。如同計算機的開展速度一樣，網(wǎng)絡(luò)技術(shù)的開展也是非常迅速的。從目前的趨勢來看，采用快速以太網(wǎng)技術(shù)是最適宜的。 在校園網(wǎng)網(wǎng)絡(luò)的建設(shè)中，主干網(wǎng)選擇何種網(wǎng)絡(luò)技術(shù)對網(wǎng)絡(luò)建設(shè)的成功與否起著決定性的作用。選擇校園網(wǎng)網(wǎng)絡(luò)需求特點的主流網(wǎng)絡(luò)技

19、術(shù)，不但能保證網(wǎng)絡(luò)的高性能，還能保證網(wǎng)絡(luò)的先進性和擴展性，能夠在未來向更新技術(shù)平滑過渡，保護用戶的投資。根據(jù)我們對校園網(wǎng)網(wǎng)絡(luò)需求的分析并結(jié)合目前高速主干網(wǎng)絡(luò)技術(shù)的特點，我公司建議采用快速以太網(wǎng)技術(shù)做為校園網(wǎng)的主干網(wǎng)絡(luò)。 校區(qū)網(wǎng)絡(luò)建設(shè)應(yīng)該以應(yīng)用為核心，在設(shè)計中充分考慮到教育管理和多媒體教學(xué)的要求，并且網(wǎng)絡(luò)技術(shù)上應(yīng)該具有一定的先進性，同時還要為以后的擴展留有一定的空間。為此校園校區(qū)網(wǎng)絡(luò)網(wǎng)應(yīng)該能到達以下要求：穩(wěn)定可靠的網(wǎng)絡(luò)穩(wěn)定可靠的網(wǎng)絡(luò)只有運行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的可靠運行取決于諸多因素，如網(wǎng)絡(luò)的設(shè)計，產(chǎn)品的可靠，而選擇一個具有運營此類網(wǎng)絡(luò)規(guī)模經(jīng)驗的網(wǎng)絡(luò)合作廠商那么更為重要。要求有物理層

20、、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。高帶寬高帶寬由于校園校區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)應(yīng)用的特殊性,它對整個網(wǎng)絡(luò)系統(tǒng)的性能要求相對來說比擬高。其中，網(wǎng)絡(luò)速率要求主要的信息點100M交換到桌面，園區(qū)網(wǎng)中各終端間具有快速交換功能。為了支持數(shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達當前的國際先進水平。要采用最先進的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來的開展。為此應(yīng)選用高帶寬的先進技術(shù)。易擴展的網(wǎng)絡(luò)易擴展的網(wǎng)絡(luò)系統(tǒng)要有可擴展性和可升級性。易擴展不僅僅指設(shè)備端口的擴展，還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴展性：即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計合理的情況下，新的網(wǎng)絡(luò)節(jié)點才能方便地參加已有網(wǎng)絡(luò)；網(wǎng)絡(luò)協(xié)議的

21、易擴展：無論是選擇第三層網(wǎng)絡(luò)路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應(yīng)注意其擴展能力。對于核心網(wǎng)絡(luò)設(shè)備，要求骨干交換機具備第三層交換能力，要求支持今后的視頻點播、電視 會議的寬帶多媒體應(yīng)用，并要求留有一定的擴充能力。 QoSQoS 保證保證隨著網(wǎng)絡(luò)中多媒體的應(yīng)用越來越多，這類應(yīng)用對效勞質(zhì)量的要求較高，本網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證QoS，以支持這類應(yīng)用。平安性平安性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的平安性，由于網(wǎng)絡(luò)連接園區(qū)內(nèi)部所有用戶，平安管理十分重要。網(wǎng)絡(luò)具有防止及便于捕殺病毒功能。應(yīng)支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的平安控制，以保證系統(tǒng)的平安性。校區(qū)網(wǎng)絡(luò)與校園網(wǎng)相連后具有“防火墻過濾功

22、能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)?？蓪尤胍蛱鼐W(wǎng)的各網(wǎng)絡(luò)用戶進行權(quán)限控制。容易控制管理容易控制管理對于網(wǎng)絡(luò)管理，要求采用智能化網(wǎng)絡(luò)管理軟件，實現(xiàn)對網(wǎng)絡(luò)的自動監(jiān)測和控制。并支持虛擬網(wǎng)絡(luò)功能，對網(wǎng)絡(luò)用戶具有分類控制功能。 IPIP MulticastMulticast由于校園校區(qū)網(wǎng)絡(luò)中包含許多多媒體應(yīng)用通信，會存在許多的播送信息，占用大量的帶寬資源。所以網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持IP Multicast，可以減少網(wǎng)絡(luò)中不必要的播送，節(jié)省主干的帶寬。符合符合 IPIP 開展趨勢的網(wǎng)絡(luò)開展趨勢的網(wǎng)絡(luò)在當前任何一個提供效勞的網(wǎng)絡(luò)中，對IP的支持效勞是最普遍的，而IP技術(shù)本身又處在開展變化中，如IpV6，IP QoS

23、，IP Over SONET等等新興的技術(shù)不斷出現(xiàn)，校園網(wǎng)絡(luò)必須跟緊IP開展的步伐，也就是必須選擇處于IP開展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠商。四、校園網(wǎng)網(wǎng)絡(luò)設(shè)計方案四、校園網(wǎng)網(wǎng)絡(luò)設(shè)計方案及分析及分析4.14.1 網(wǎng)絡(luò)的分層設(shè)計網(wǎng)絡(luò)的分層設(shè)計原那么原那么核核心心層層高高速速交交換換技技術(shù)術(shù)分分布布層層基基于于策策略略的的操操作作接接入入層層本本地地/ /遠遠程程工工作作組組接接入入 可擴展性：因為網(wǎng)絡(luò)可模塊化增長而不會遇到問題； 簡單性：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離播送風暴的傳播、防止路由循環(huán)等潛在的問題； 設(shè)計的靈活性：使網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層次

24、的網(wǎng)絡(luò)不會對其他層次造成影響，無需改變整個環(huán)境； 可管理性：層次結(jié)構(gòu)使單個設(shè)備的配置的復(fù)雜性大大降低，更易管理。 從邏輯上，校園網(wǎng)絡(luò)可分為核心層、分布層和接入層，每層都有其特點。層次化設(shè)計的優(yōu)點可以總結(jié)為如下幾點： 核心層核心層 (Core(Core LayerLayer) ) 核心層為下兩層提供優(yōu)化的數(shù)據(jù)輸運功能，它是一個高速的交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應(yīng)卷入到具體的數(shù)據(jù)包的運算中(ACL，過濾等)，否那么會降低數(shù)據(jù)包的交換速度。 分布層分布層 (Distribution(Distribution LayerLayer) ) 分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問層

25、的分界點，定義了網(wǎng)絡(luò)的邊界，對數(shù)據(jù)包進行復(fù)雜的運算。在園區(qū)網(wǎng)絡(luò)環(huán)境中，分布層主要提供如下功能： 地址的聚集 部門和工作組的接入 播送域/多目傳輸域的定義 Inter VLAN 路由 任何介質(zhì)的轉(zhuǎn)換 平安控制 接入層接入層 (Access(Access LayerLayer) ) 接入層的主要功能是為最終用戶提供對園區(qū)網(wǎng)絡(luò)訪問的途徑。本層也可以提供進一步的調(diào)整，如 Access-list Filtering 等。在園區(qū)網(wǎng)絡(luò)環(huán)境中，接入層主要提供如下功能： 帶寬共享Shared Bandwidth 交換帶寬Switched Bandwidth MAC 層過濾MAC Layer Filtering(

26、possibly) 微分網(wǎng)段Microsegmentation 在廣域網(wǎng)環(huán)境中，接入層主要提供通過 Frame Relay、ISDN、Leased Line 連入遠程節(jié)點。高性能的網(wǎng)絡(luò)設(shè)計高性能的網(wǎng)絡(luò)設(shè)計設(shè)備的高性能：核心節(jié)點的交換機是整個校園網(wǎng)絡(luò)的核心，應(yīng)當采用有多層交換功能的交換機。核心交換機應(yīng)采用模塊化設(shè)計，有良好的擴展性能、多種接入模塊；具備增強的網(wǎng)絡(luò)傳輸能力，支持 VLAN、RIP 和 OSPF 協(xié)議、效勞質(zhì)量QOS 、IP 組播、DHCP 中繼和 AAA 認證等功能；支持通用的管理特性SNMP ，能使用流行的網(wǎng)管軟件對它進行管理，如 HP OpenView 等。會聚層交換連接核心和

27、接入層，應(yīng)當采用帶 VLAN 和網(wǎng)管功能的中低檔交換機。會聚層交換機具有快速的級聯(lián)核心的以太端口以及高速堆疊模塊；帶VLAN 子網(wǎng)劃分功能，能很好的管理接入層用戶；支持IEEE802.1Q、VTP、SNMP 等協(xié)議。網(wǎng)絡(luò)的高性能設(shè)計：整個校園的建設(shè)可以采用全交換方式，100 兆到每個接入層用戶。有效的子網(wǎng)劃分和流量控制使整個校園網(wǎng)絡(luò)能高速、平安的運行。集成的用戶管理功能集成的用戶管理功能提供完善的用戶管理機制，實現(xiàn)全面的用戶認證、鑒權(quán)和計費(AAA)功能。用戶管理引擎實現(xiàn)了根據(jù)用戶 MAC 地址、VLAN ID 和 IP 地址的綁定關(guān)系鑒別用戶的合法性的功能?？筛鶕?jù)用戶的權(quán)限，實現(xiàn)對用戶訪問資

28、源的控制。實現(xiàn)基于 VLANID/MAC 地址、接入模塊號和接入設(shè)備號的全程用戶唯一標識，便于用戶管理開戶、銷戶、欠費停機等和網(wǎng)絡(luò)故障維護。靈活的網(wǎng)絡(luò)的可擴展性設(shè)計靈活的網(wǎng)絡(luò)的可擴展性設(shè)計網(wǎng)絡(luò)的擴展性對網(wǎng)絡(luò)業(yè)務(wù)的開展至關(guān)重要，它直接決定了校園網(wǎng)是否能夠在節(jié)約本錢的根底上跟上網(wǎng)絡(luò)技術(shù)的開展和滿足學(xué)校信息不斷增長的需要，一個擴展性差的網(wǎng)絡(luò)不僅為學(xué)校的投資造成了巨大的浪費，同時又無法滿足學(xué)校網(wǎng)絡(luò)業(yè)務(wù)不斷開展和信息的增長的需要，為了保證網(wǎng)絡(luò)能夠不斷的適應(yīng)學(xué)校網(wǎng)絡(luò)業(yè)務(wù)今后開展的不斷需求，可以采用以下的措施來保證網(wǎng)絡(luò)的擴展性。1所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)當具有良好的擴展性。選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的，便于網(wǎng)絡(luò)的

29、擴大和更改，其中核心交換機應(yīng)具有多種模塊類型，以滿足各種網(wǎng)絡(luò)類型的接入。會聚層交換機可以采用一款可堆疊的網(wǎng)管型以太網(wǎng)交換機，半/全雙工模式自適應(yīng)，具有擴展槽，能使用多種可選模塊。2所選擇的設(shè)備都具有良好的軟件再升級能力。我們所選擇的網(wǎng)絡(luò)設(shè)備都是可以通過軟件升級來不斷的滿足客戶的新的需求同時跟上網(wǎng)絡(luò)技術(shù)的開展。由于網(wǎng)絡(luò)的技術(shù)層出不窮，用戶的需求也不斷增加，現(xiàn)在是新的技術(shù)，再過一段時間就會落后了，為了保證用戶的網(wǎng)絡(luò)產(chǎn)品能夠跟上這一節(jié)奏，而不需要更換網(wǎng)絡(luò)設(shè)備，從而減少了用戶的投資。完善的完善的 QOSQOS 功能功能帶寬控制特性以太網(wǎng)是一種基于播送機制的共享型技術(shù)，任何一個位于以太網(wǎng)上的用戶均可以向

30、網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術(shù)中沒有具體帶寬控制的機理。網(wǎng)絡(luò)產(chǎn)品應(yīng)提供對用戶帶寬控制的功能。帶寬控制通過對每一個用戶的上行帶寬與下行帶寬進行限制，保證對每個用戶的公平性，防止在共享型網(wǎng)絡(luò)結(jié)構(gòu)中某一用戶長期惡意霸占帶寬而導(dǎo)致其他用戶無法享受效勞的現(xiàn)象。Qos 控制特性隨著IP網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)上的實時業(yè)務(wù)量也在不斷增長，同時網(wǎng)絡(luò)上的應(yīng)用類型多種多樣，不同的應(yīng)用對網(wǎng)絡(luò)的需求也有所不同。IP網(wǎng)絡(luò)中引入QoS技術(shù)，就是為了確保實時業(yè)務(wù)的通信質(zhì)量，滿足各種業(yè)務(wù)對網(wǎng)絡(luò)資源的需求，使網(wǎng)上資源獲得最正確利用，降低本錢，改善對用戶的效勞?？煽康木W(wǎng)絡(luò)平安設(shè)計可靠的網(wǎng)絡(luò)平安設(shè)計 平安性是網(wǎng)絡(luò)設(shè)計要考慮的最重要的因

31、素之一，設(shè)計中充分考慮了網(wǎng)絡(luò)的平安性，具體表達在以下幾個方面：(1)通過 VLAN 的劃分，限制了不同 VLAN 之間的互訪，從而保證了不同網(wǎng)絡(luò)之間不會發(fā)生未經(jīng)授權(quán)的非法訪問。(2)在核心節(jié)點可提供基于地址的 Access-list，以控制用戶對于關(guān)鍵資源的訪問。通過在會聚和核心交換機上設(shè)置 VLAN 路由以及訪問過濾，保證了在VLAN 之間只有被允許的訪問才能發(fā)生，而未經(jīng)授權(quán)的訪問都會被禁止。(3)通過對上網(wǎng)的平安教育，提高平安意識，特別是增強計算機操作人員的密碼管理意識，以防止由于操作員密碼有意無意泄露給他人而造成的損失。(4)制定嚴格的平安制度，包括人員審查制度、崗位定職定責制度、使用計

32、算機的權(quán)限制度以及防病毒制度，從制度上保證網(wǎng)絡(luò)平安性得以實現(xiàn)。(5可以對所有的重要事件進行Log，這樣方便網(wǎng)絡(luò)管理員進行故障查找；(6可以對所有的Telnet以及SNMP的訪問進行限制，從而最大程度地保證會聚層系統(tǒng)地平安。(7可以在接入層中通過限制MAC地址的訪問提高網(wǎng)絡(luò)平安。方便的網(wǎng)絡(luò)管理和維護方便的網(wǎng)絡(luò)管理和維護1為了提高網(wǎng)絡(luò)管理能力設(shè)計中所有設(shè)備最好具有網(wǎng)管功能，不存在光纖收發(fā)器等類似不可網(wǎng)管設(shè)備，提高了網(wǎng)絡(luò)可靠性和可管理。2支持通用的網(wǎng)絡(luò)管理協(xié)議如SNMP ，方便網(wǎng)絡(luò)的管理和維護。3支持通用的的網(wǎng)絡(luò)管理軟件，如 Cisco Ciscoworks、HP Open View、3Com Tr

33、ensand。運營級的網(wǎng)絡(luò)高可靠性的設(shè)計運營級的網(wǎng)絡(luò)高可靠性的設(shè)計可以從兩方面來考慮：關(guān)鍵設(shè)備的主要模塊和電源的冗余備分考慮在網(wǎng)絡(luò)設(shè)計中所涉及的所有主要設(shè)備，均采用高可靠設(shè)計的原那么。核心關(guān)鍵部件的冗余備份：電源冗余、主控板冗余、模塊冗余等。網(wǎng)絡(luò)鏈路的冗余備分考慮系統(tǒng)平臺和應(yīng)用系統(tǒng)系統(tǒng)平臺和應(yīng)用系統(tǒng)系統(tǒng)平臺選擇系統(tǒng)平臺選擇系統(tǒng)平臺的建設(shè)主要包括：網(wǎng)絡(luò)操作系統(tǒng)、桌面平臺、數(shù)據(jù)庫、防火墻等的選擇。一般校園網(wǎng)絡(luò)，效勞器系統(tǒng)平臺可以選擇微軟 WINDOWS2003 SERVER 操作系統(tǒng)的解決方案，提供域名效勞、WWW 效勞、FTP 效勞、Email 效勞等。具有強大的網(wǎng)絡(luò)功能和可二次開發(fā)性。桌面操作

34、系統(tǒng)比擬可以選擇 XP 和LINUX 等平臺。采用采用 WINdows2003WINdows2003 SERVERSERVER 建立建立 FTPFTP 效勞器效勞器一般來說，用戶聯(lián)網(wǎng)的首要目的就是實現(xiàn)信息共享，文件傳輸是信息共享非常重要的一個內(nèi)容之一。 在校園內(nèi)部信息交流是非常頻繁，所以有必要在網(wǎng)絡(luò)中使用WINdows2003 SERVER 架設(shè)起一個 FTP 效勞器。5.15.1系統(tǒng)組成與拓撲結(jié)構(gòu)系統(tǒng)組成與拓撲結(jié)構(gòu)校園網(wǎng)的建設(shè)主要是為了教學(xué)應(yīng)用，而多媒體輔助教學(xué)和多媒體教室是教學(xué)應(yīng)用的核心，在網(wǎng)絡(luò)建設(shè)時應(yīng)考慮多媒體信息的特點，如信息量大，對時間延遲敏感等；在校園網(wǎng)中常會出現(xiàn)幾十個學(xué)生執(zhí)行相同

35、操作的現(xiàn)象，所以要考慮并發(fā)信息的控制；學(xué)生利用網(wǎng)絡(luò)做作業(yè)，教師要在家撥號訪問學(xué)校網(wǎng)絡(luò)，學(xué)籍管理信息在網(wǎng)上傳輸，所以也要考慮網(wǎng)絡(luò)的平安性，防止黑客破壞網(wǎng)絡(luò)，學(xué)生抄襲作業(yè)；校園網(wǎng)又是面向不同知識層次的教師、學(xué)生和辦公人員的工具，它幫助我們更好地提高教學(xué)水平、辦公效率和學(xué)習興趣，所以應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太專業(yè)化?？紤]到春華學(xué)校的具體情況如性質(zhì)、規(guī)模、財務(wù)等，這是一個相對小型的校園網(wǎng)絡(luò)，單一建筑內(nèi)的網(wǎng)絡(luò)應(yīng)用，思科公司提出以下校園網(wǎng)解決方案： 方案特點如下： 1支持多媒體應(yīng)用，包括多媒體教室、電子閱覽室、多媒體教學(xué)； 2高性能，全交換，滿足用戶需求； 3管理簡單，瀏覽器方式無需專門培訓(xùn)；

36、 4系統(tǒng)平安，保密性高； 5ADSL 連接方式，按需建立連接降低鏈路費用。 6互聯(lián)網(wǎng)接入，平安的廣域網(wǎng)訪問。方案拓撲結(jié)構(gòu)如下：由圖可看出，網(wǎng)絡(luò)設(shè)備組成為：Catalyst 2900 交換機 五臺 Cisco850 路由器 一臺 思科公司的 cisco850 路由器是這一網(wǎng)絡(luò)的核心設(shè)備，可降低擁有本錢，簡化遠程管理，提供結(jié)合 CSU/DSU、復(fù)用器、調(diào)制解調(diào)器、語音/數(shù)據(jù)網(wǎng)關(guān)、ISDN NT1、防火墻、VPN、加密和壓縮設(shè)備的集成化網(wǎng)絡(luò)。Catalyst2900 交換機它提供了 24 個 10/100M 自適應(yīng)的快速以太網(wǎng)端口， 。這是一個全交換的網(wǎng)絡(luò)，相對共享式集線器而言，交換機各端口擁有獨占

37、的帶寬，能實現(xiàn)多路并行傳輸，不易發(fā)生沖突，能為多媒體信息提供更好的保障。 考慮到 Internet 接入是校園網(wǎng)的開展趨勢，在這套解決方案中都用到了路由器來引入廣域網(wǎng)的遠程連接，這套方案中用到了思科公司的低端路由器Cisco 850，它提供了對內(nèi)的 10/100M 局域網(wǎng)接口和對外的 ADSL 連接，通過Internet 實現(xiàn)遠程教學(xué)或教學(xué)演播等應(yīng)用。傳輸穩(wěn)定，連接迅速。在實現(xiàn)根本數(shù)據(jù)傳遞的根底上，用戶可以根據(jù)自己的需要靈活選用上述網(wǎng)絡(luò)設(shè)備中的某些性能。如：路由器和交換機的組內(nèi)播送功能可為多媒體信息的傳輸提供更高的效勞質(zhì)量；而 catalyst2900 之間建立快速以太網(wǎng)通道，在全雙工模式下到

38、達 400M的高速級聯(lián)；此外， 850 路由器兼任了防火墻思科公司系列中、低端路由器都可以通過操作系統(tǒng)升級具備防火墻性能，在承當遠程連接的同時實施數(shù)據(jù)包檢驗和過濾，防止非法用戶侵入到內(nèi)部局域網(wǎng)中對連接到 Internet 這一開放網(wǎng)絡(luò)的用戶來說，平安性是網(wǎng)絡(luò)設(shè)計中不容無視的一項重要因素。 這套方案的好處是簡便易行，本錢很低，并且兼顧了教學(xué)、管理和通訊三方面應(yīng)用。方案中所用到的產(chǎn)品都屬思科公司產(chǎn)品中的低端設(shè)備，在實現(xiàn)高性價比的桌面應(yīng)用的同時又做到易于配置和管理：catalyst2900 屬即插即用的設(shè)備，如果不添加特殊功能那么不需任何配置，cisco850 的設(shè)置和管理也十分方便，這樣用戶使用起

39、來將得心應(yīng)手，無后顧之憂。 IPIP 地址地址規(guī)劃規(guī)劃建議建議在設(shè)計 IP 地址方案之前，應(yīng)考慮以下幾個問題: 1. 是否將網(wǎng)絡(luò)用真實地址連入 Internet。 2. 是否將網(wǎng)絡(luò)劃分為假設(shè)干子網(wǎng)以方便網(wǎng)絡(luò)管理。 3. 是采用靜態(tài) IP 地址分配還是動態(tài) IP 地址分配。 4. 每個子網(wǎng)現(xiàn)在規(guī)劃多少個信息點。 5. 每個子網(wǎng)將來會增加多少個信息點。 通過 Proxy 或 NAT 方式使私有地址能夠訪問公網(wǎng)資源 在申請的公網(wǎng) IP 地址不能完全滿足每個信息點一個的情況下，可以采用公網(wǎng)地址與私網(wǎng)地址結(jié)合的方式。但是有時分配了私網(wǎng)地址的客戶端也要訪問 Internet。針對這種情況，可以采用不同的技

40、術(shù)使私有地址能夠訪問公網(wǎng)資源。通常可以利用代理效勞 (Proxy) 和網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 這兩項技術(shù)。 園區(qū)網(wǎng)分配 IP 地址方案 ，一個有效的 IP 地址規(guī)劃或 IP 地址方案就是在地址資源的效率性和管理的方便性之間找到最正確的平衡點。 按行政隸屬劃分是指按信息節(jié)點的行政隸屬關(guān)系將用戶按校園各部門進行 IP 地址分配規(guī)劃。由于各部門之間在地域位置上并不一定集中，但需要統(tǒng)一管理，因此我們建議采用行政隸屬的方式劃分 IP 地址段。 按樓宇規(guī)劃在傳統(tǒng)的網(wǎng)絡(luò)平臺上很難實現(xiàn)。主要是因為傳統(tǒng)的網(wǎng)絡(luò)平臺局限于設(shè)備的地理位置，無法跨地域進行靈活規(guī)劃。但現(xiàn)今的網(wǎng)絡(luò)平臺都支持虛擬網(wǎng)絡(luò) VLAN 技術(shù)。該技

41、術(shù)避開了物理位置的缺陷，可以在邏輯上靈活組網(wǎng)。因此，IP 網(wǎng)段規(guī)劃可以與 VLAN 的劃分相一致。 規(guī)劃每個網(wǎng)段中的信息點數(shù)時，既要考慮到當前 IP 地址資源的充分利用性，又要預(yù)留出適當?shù)臄U展余地，因此如果采用私網(wǎng)地址分配 IP，建議我們都采用 的網(wǎng)絡(luò)，根據(jù)具體的部門情況再分為具體的子網(wǎng)。 從經(jīng)驗角度，通常一個 IP 網(wǎng)段也是一個獨立的 VLAN，也就是一個獨立的播送域。一個網(wǎng)段內(nèi)的信息節(jié)點數(shù)在 40 - 200 個時，性能和地址資源的最正確利用性較理想，并且將來可擴充到 254 個。寬帶接入用戶接入寬帶 IP 網(wǎng)的方式可以有多種形式：首先，用戶利

42、用固定 IP 地址接入，那么無需其它的認證過程，只需將用戶所連的交換機端口劃入某一特點 VLAN 即可；其次用戶通過 PPP 方式接入，即虛擬撥號方式，那么需要一個專用的 PPP 終結(jié)設(shè)備終結(jié) PPP 進程，通過對 PPP 進程的認證，可以確認用戶身份；用戶還可以利用 DHCP 獲得 IP 地址。另外交換機可以實現(xiàn)專用 VLAN 技術(shù)，可以通過配置選擇實現(xiàn)在同一 VLAN 內(nèi)用戶是否可以互通，進行數(shù)據(jù)交換。根據(jù)溫州春華的教務(wù)和公務(wù)的情況，劃分以下兩個子網(wǎng)即可。表 1-1 春華學(xué)校網(wǎng)絡(luò)終端分布專業(yè)機房臺式 PC 機 16 臺萬博機房一臺式 PC 機 16 臺萬博機房二臺式 PC 機 18 臺教室

43、一2 臺臺式機 1 臺、筆記本 1 臺教室二2 臺臺式機 1 臺、筆記本 1 臺教室三臺式 PC 機 19 臺多媒體教室2 臺臺式機 1 臺、筆記本 1 臺辦公室10 臺臺式機 5 臺、筆記本 5 臺校長室筆記本 1 臺學(xué)生會辦公室臺式 PC 機 2 臺咨詢室 1臺式 PC 機 1 臺咨詢室 2筆記本 2 臺前臺臺式 PC 機 1 臺 表 1-2IP 子網(wǎng)劃分方案子網(wǎng)號IP 網(wǎng)段默認網(wǎng)關(guān)說明CHJW68.1.1包括教室三清華萬博六班、萬博 1 機房等所有的教務(wù)場所CHGW68.包括校長室、辦公室等所有辦公場所校園 網(wǎng)絡(luò)平安校園網(wǎng)絡(luò)承當著整個校

44、園的通訊樞紐功能，連接著所有的應(yīng)用效勞器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡(luò)平安問題都會擾亂學(xué)校辦公、教務(wù)的正常運轉(zhuǎn)，給學(xué)校帶來不可彌補的損失。目前在局域網(wǎng)中遇到的問題主要有以下幾種：IP 地址的管理問題，包括IP 地址非法使用、 IP 地址沖突和IP 地址欺騙利用 ARP 欺騙獲取賬號、密碼、信息，甚至惡意篡改信息內(nèi)容、嫁禍他人問題木馬、蠕蟲病毒攻擊導(dǎo)致的信息失竊、網(wǎng)絡(luò)癱瘓問題攻擊或病毒源機器的快速定位、隔離問題IP的地址管理一直是長期困擾局域網(wǎng)平安穩(wěn)定運行的首要問題。在局域網(wǎng)上任何用戶使用未經(jīng)授權(quán)的IP地址都應(yīng)視為 IP非法使用。由于 終端用戶可以自由修改IP地址，從而產(chǎn)生了 IP地址非法使用問題。改動后

45、的 IP地址在局域網(wǎng)中運行時可能出現(xiàn)以下 情況。 非法的 IP 地址即 IP 地址不在規(guī)劃的局域網(wǎng)范圍內(nèi) 重復(fù)的 IP 地址與已經(jīng)分配且正在局域網(wǎng)運行的合法的 IP 地址發(fā)生資源沖突，使合法用戶無法上網(wǎng) 冒用合法用戶的 IP 地址當合法用戶不在線時，冒用其 IP 地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害無論是有意或無意地使用非法IP地址都可能會給企業(yè)帶來嚴重的后果，如重復(fù)的 IP地址會 干擾、破壞網(wǎng)絡(luò)效勞器和網(wǎng)絡(luò)設(shè)備的正常運行，甚至導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定，從而影響業(yè)務(wù)；擁有被非法使用的 IP地址所擁有的特權(quán) ，威脅網(wǎng)絡(luò)平安；利用欺騙性的 IP地址 進行網(wǎng)絡(luò)攻擊，如富有侵略性的 TCP SYN洪泛攻擊來源于

46、一個欺騙性的IP地址，它是利用 TCP三次握手會話對效勞器進行顛覆的一種攻擊方式，一 個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。為了防止非法 使用 IP地址，增強網(wǎng)絡(luò)平安，最常見 的方法 是采用靜態(tài)的 ARP命令捆綁 IP地址和 MAC地址 ，從而 阻止非法用戶在不修改MAC地址的情況下冒用 IP地址進行 的訪問 ，同時 借助交換機的端口 平安即 MAC地址綁定功能可以解決非法用戶修改MAC地址以適應(yīng)靜態(tài) ARP表的問題。 但這種方法由于要事先收集所有機器的MAC地址及相應(yīng)的IP地址，然后還要通過人工輸入方法來建立IP地址和 MAC地址 的捆綁表

47、，不僅工作量繁重，而且也難以維護和管理。另一個顯著的問題就是帶有攻擊特性的ARP欺騙。地址解析協(xié)議ARP，Address Resolution Protocol最根本的功能是用來實現(xiàn)MAC地址和 IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以 MAC播送方式發(fā)送 ARP請求，擁有此 IP地址的工作站給予 ARP應(yīng)答，并附上自己的 IP和MAC地址。 ARP協(xié)議同時支持一種無請求ARP功能，局域網(wǎng)段上的所有工作站收到主動ARP，會將發(fā)送者的 MAC地址和其宣布的 IP地址保存，覆蓋以前的同一IP地址和對應(yīng)的 MAC地址 。術(shù)語 “ARP欺騙 或者說 “ARP中毒 就是指 利用 主

48、動 ARP來誤導(dǎo)通信數(shù)據(jù)傳往一個惡意計算機的黑客技術(shù)，該計算機就能成為某個特定局域網(wǎng)網(wǎng)段上的兩臺終端工作站之間IP會話的 “中間人 了。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機之間的通信即使是通過交換機相連 ，他會分別給這兩臺主機發(fā)送一個ARP 應(yīng)答包，讓兩臺主機都 “誤認為對方的 MAC地址是第三方黑客所在的主機，這樣，雙方看似 “直接 的通信連接，實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號、密碼、信息 ，另一方面， 還可以惡意 更改數(shù)據(jù)包中的一些信息。同時，這種ARP欺騙又極具隱蔽性，攻擊完成后再恢復(fù)現(xiàn)場，所以不易覺察、事后也難以追查，被攻擊者往

49、往對此一無所知。病毒入侵問題也是所有客戶普遍關(guān)心的問題。這些病毒，可以在極短的時間內(nèi)迅速感染大量系統(tǒng)，甚至造成網(wǎng)絡(luò)癱瘓和信息失竊，給客戶造成嚴重損失。木馬病毒往往會利用 ARP 的欺騙獲取賬號和密碼，而蠕蟲病毒也往往利用 IP地址欺騙技術(shù)來掩蓋它們真實的源頭主機。例如“局域網(wǎng)終結(jié)者Win32.Hack.Arpkill病毒，通過偽造 ARP 包來欺騙網(wǎng)絡(luò)主機，使指定的主機網(wǎng)絡(luò)中斷，嚴重影響到網(wǎng)絡(luò)的運行。最后，令網(wǎng)絡(luò)管理員頭痛的問題是如何準確定位。當出現(xiàn) IP 地址被非法使用、IP 地址沖突，或網(wǎng)絡(luò)出現(xiàn)異常流量包括由于網(wǎng)絡(luò)掃描、病毒感染和網(wǎng)絡(luò)攻擊產(chǎn)生的流量，為了查找這些 IP 地址的機器，一般采用

50、如下步驟： 1. 確定出現(xiàn)問題的 IP 地址。2. 查看當前網(wǎng)絡(luò)設(shè)備的 ARP 表，從中獲得網(wǎng)卡的 MAC 地址。 3. 檢查交換機的 MAC 地址列表，確定機器位置。 這個過程往往要花費大量的時間才能夠定位機器具體連接的物理端口，而對于偽造的源 IP 地址要查出是從哪臺機器產(chǎn)生的就更加困難了。如果不能及時對故障源準確地定位、迅速地隔離，將會導(dǎo)致嚴重的后果，即使在網(wǎng)絡(luò)恢復(fù)正常后隱患依然存在。5.3.2 阻止來自網(wǎng)絡(luò)第二層攻擊的重要性以上所提到的攻擊和欺騙行為主要來自網(wǎng)絡(luò)的第二層。在網(wǎng)絡(luò)實際環(huán)境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進行掃描和嗅

51、探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進行進一步竊取機密文件。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺騙，同時還會帶來網(wǎng)絡(luò)流量加大、設(shè)備 CPU 利用率過高、二層生成樹環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)平安攻擊者最容易實施，也是最不容易被發(fā)現(xiàn)的平安威脅，它的目標是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的平安。因為任何一個合法用戶都能獲取一個以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時由于設(shè)計 OSI 模型的時候，允許不同通信層在相互不了解情況下也能進行工作，所以第二層的平安就變得至關(guān)重要。如果這一層受到黑客的攻擊，網(wǎng)絡(luò)平安將受到嚴重威脅，而且其他

52、層之間的通信還會繼續(xù)進行，同時任何用戶都不會感覺到攻擊已經(jīng)危及應(yīng)用層的信息平安。所以，僅僅基于認證如 IEEE 802.1x和訪問控制列表ACL，Access Control Lists的平安措施是無法防止本文中提到的來自網(wǎng)絡(luò)第二層的平安攻擊。一個經(jīng)過認證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用。歸納前面提到的局域網(wǎng)目前普遍存在的平安問題，根據(jù)這些平安威脅的特征分析，這些攻擊都來自于網(wǎng)絡(luò)的第二層，主要包括以下幾種：MAC 地址泛濫攻擊地址泛濫攻擊DHCP 效勞器欺騙攻擊效勞器欺騙攻擊ARP 欺騙欺騙Cisco Catalyst 交換系

53、列的創(chuàng)新特性針對這類攻擊提供了全面的解決方案，將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個關(guān)鍵的技術(shù)。Port SecurityDHCP Snooping Dynamic ARP Inspection (DAI)下面主要針對目前這些非常典型的二層攻擊和欺騙說明如何在思科交換機上組合運用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人攻擊、MAC/CAM 攻擊、DHCP 攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡化地址管理，直接跟蹤用戶 IP 和對應(yīng)的交換機端口，防止 IP 地址沖突。同時對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。5.3.

54、3 MAC 泛濫攻擊的原理和危害交換機主動學(xué)習客戶端的 MAC 地址，并建立和維護端口和 MAC 地址的對應(yīng)表以此建立交換路徑，這個表就是通常我們所說的 CAM 表。CAM 表的大小是固定的，不同的交換機的 CAM 表大小不同。MAC/CAM 攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿 CAM 表，交換機 CAM 表被填滿。黑客發(fā)送大量帶有隨機源 MAC 地址的數(shù)據(jù)包，這些新 MAC 地址被交換機 CAM 學(xué)習，很快塞滿 MAC 地址表，這時新目的 MAC 地址的數(shù)據(jù)包就會播送到交換機所有端口，交換機就像共享 HUB 一樣工作，黑客可以用 sniffer 工具監(jiān)聽所有端口的流量。此類攻擊不僅造成

55、平安性的破壞，同時大量的播送包降低了交換機的性能。當交換機的 CAM 表被填滿后，交換機以播送方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。更為嚴重的是，這種攻擊也會導(dǎo)致所有鄰接的交換機 CAM 表被填滿，流量以洪泛方式發(fā)送到所有交換機的所有含有此 VLAN 的接口，從而造成交換機負載過大、網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。5.3.4 MAC 泛濫攻擊防范方法限制單個端口所連接 MAC 地址的數(shù)目可以有效防止類似 macof 工具和SQL 蠕蟲病毒發(fā)起的攻擊，macof 可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機源 MAC 地址和隨機目的 MAC 地址的數(shù)據(jù)包，可以在不到 10 秒的時間內(nèi)填滿交換

56、機的 CAM表。Cisco Catalyst 交換機的端口平安Port Security和動態(tài)端口平安功能可被用來阻止 MAC 泛濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學(xué)MAC 地址數(shù)為 1；連接 IP 和工作站的端口可限制所學(xué) MAC 地址數(shù)為 3：IP 、工作站和 IP 內(nèi)的交換機。通過端口平安功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個端口所允許連接的合法 MAC 地址，實現(xiàn)設(shè)備級的平安授權(quán)。動態(tài)端口平安那么設(shè)置端口允許合法MAC 地址的數(shù)目，并以一定時間內(nèi)所學(xué)習到的地址作為合法 MAC 地址。通過配置 Port Security 可以控制：端口上最大可以通過的 MAC 地址數(shù)量端口上

57、學(xué)習或通過哪些 MAC 地址對于超過規(guī)定數(shù)量的 MAC 處理進行違背處理端口上學(xué)習或通過哪些 MAC 地址，可以通過靜態(tài)手工定義，也可以在交換機自動學(xué)習。交換機動態(tài)學(xué)習端口 MAC，直到指定的 MAC 地址數(shù)量，交換機關(guān)機后重新學(xué)習。目前較新的技術(shù)是 Sticky Port Security，交換機將學(xué)到的mac 地址寫到端口配置中，交換機重啟后配置仍然存在。對于超過規(guī)定數(shù)量的 MAC 處理進行處理一般有三種方式針對交換機型號會有所不同：Shutdown：端口關(guān)閉。Protect：丟棄非法流量，不報警。Restrict：丟棄非法流量，報警。.5 DHCPDHCP 欺騙攻擊的防范

58、欺騙攻擊的防范采用采用 DHCP 管理的常見問題管理的常見問題采用 DHCP server 可以自動為用戶設(shè)置網(wǎng)絡(luò) IP 地址、掩碼、網(wǎng)關(guān)、DNS、WINS 等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP 管理使用上也存在著一些另網(wǎng)管人員比擬問題，常見的有：DHCP server 的冒充。DHCP server 的 DOS 攻擊。有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。由于 DHCP 的運作機制，通常效勞器和客戶端沒有認證機制，如果網(wǎng)絡(luò)上存在多臺 DHCP 效勞器將會給網(wǎng)絡(luò)照成混亂。由于不小心配置了 DHCP 效勞器引起的網(wǎng)絡(luò)混亂也非常常見。黑客利用類似 Goobler 的工具可

59、以發(fā)出大量帶有不同源 MAC 地址的DHCP 請求，直到 DHCP 效勞器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成 DOS 的破壞，也可和 DHCP 效勞器欺詐結(jié)合將流量重指到意圖進行流量截取的惡意節(jié)點。DHCP 效勞器欺詐可能是成心的，也可能是無意啟動 DHCP 效勞器功能，惡意用戶發(fā)放錯誤的 IP 地址、DNS 效勞器信息或默認網(wǎng)關(guān)信息，以此來實現(xiàn)流量的截取。DHCPDHCP SnoopingSnooping 技術(shù)技術(shù)概述概述DHCP Snooping 技術(shù)是 DHCP 平安特性，通過建立和維護 DHCP Snooping綁定表過濾不可信任的 DHCP 信息，這些信息是指來自不信任區(qū)域

60、的 DHCP 信息。 通過截取一個虛擬局域網(wǎng)內(nèi)的 DHCP 信息，交換機可以在用戶和 DHCP效勞器之間擔任就像小型平安防火墻這樣的角色， “DHCP 監(jiān)聽功能基于動態(tài)地址分配建立了一個 DHCP 綁定表，并將該表存貯在交換機里。在沒有 DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個 DHCP 綁定條目包含客戶端地址一個靜態(tài)地址或者一個從 DHCP 效勞器上獲取的地址 、客戶端MAC 地址、端口、VLAN ID、租借時間、綁定類型靜態(tài)的或者動態(tài)的 。根本防范根本防范為了防止這種類型的攻擊，Catalyst DHCP 偵聽DHCP Snooping功能可有效阻止此類攻擊，當翻開此功能