校园网络现状分析与改进

《校园网络现状分析与改进》由会员分享，可在线阅读，更多相关《校园网络现状分析与改进（30页珍藏版）》请在装配图网上搜索。

1、校园网络现状分析与改进摘要：伴随着学校的日新月异，校园网络在学校的日常生活和工作中发挥了越来越大的作用。经过几期的建设，校园网已经发展到了一定的规模。本文主要针对当前校园网的现状进行分析，分析中主要阐述了当前校园网的现状、不足与升级目标。同时本人也参与一些网络的升级设计，如网络设备选型、设备配置等。在设计中主要应用了核心冗余技术、以太网技术、生成树协议、VLAN划分与IP管理。关键词：网络现状、网络拓扑、设备冗余、网络技术、设备、配置前言11.师大福清分校网络需求分析21.1高校网络应用概况21.2学校的自然情况21.3学校校园网现有网络分析31.3.1当前校园网的状况31.3.2现有校园网的

2、不足41.3.3网络升级的必要性，目的和任务与实现的功能51.4对IP网络的技术要求61.5项目开发计划时间表和分工情况62.师大福清分校网络升级方案设计72.1师大学福清分校网络设计72.2校园网设计分析72.2.1校园网的功能要求72.2.2校园网设计依据与相关标准72.2.3校园网系统设计112.2.4校园网应用系统设计122.3校园网结构设计132.3.1校园网物理结构设计132.3.2校园网逻辑结构设计143.师大福清分校网络升级硬件设计163.1交换设备选型163.1.1核心层交换机选型163.1.2汇聚层交换机选型173.1.3接入层交换机选型183.2具体网络拓扑设计图183.

3、3路由器选型203.4防火墙选型213.5服务器选型213.6设备清单与价格224.师大福清分校网络升级软件配置234.1路由器配置234.2IP管理234.3生成树与VLAN254.4交换机配置265.收获和体会286.改进意见29参考说明2928 / 30前言中国教育事业随着社会发展将会越来越开放，对学校的经营管理也逐步形成完善的现代化管理模式。本方案是针对师大学福清分校的现有应用结构而设计的，在现有的基础上，主要使用思科的网络产品，提高网络的整体性能；规划采用防火墙技术、VPN网关、杀毒软件和漏洞扫描技术与结合操作系统的安全性来提高整个网络的安全和重要主机的安全；使用磁带备份保护系统数据

4、的安全，防止数据的意外损失；并实现网络的冗余与可升级性，实现主干设备的冗余、数据存储的冗余等，所选用的网络设备有充足的带宽以满足网络扩容的需求，主干交换机还可通过升级模块的方式实现轻松的升级和容量的扩充，千兆的网络带宽为用户的业务提供了充足的带宽，并为今后的网络的扩展做了足够的准备，保护了用户的投资，提高了整体的性能和安全性。通过本次升级可进一步提高管理效率，增强技术服务水平，提高企业综合竞争力。随着国家信息化工作的深入开展，提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤其是高校校园网建设。1. 师大福清分校网络需求分析1.1 高校网络应用概况计算机管理

5、信息系统包括校本部的计算机通信局域网和计算机应用系统，大部分采用100M/1000M以太网来组网。主要的应用系统有（或将来）：OA办公、生产管理、学生管理、保安图像监控管理、图书馆管理等，全校将实现完全电子化管理。基于各类数据库平台的上述管理信息系统，绝大部分都是基于TCP/IP的计算机应用系统，随着Internet的飞速发展，TCP/IP毫无疑问地成为主流，基于IP的计算机通信网络成为管理信息系统的最为重要的部分，计算机通信网络的好坏直接影响管理信息系统，从而影响日常教学活动的正常运作。Internet正在向我们生活的各个领域渗透，与此同时企业、政府、消费者和教育机构都在快速向基于IP分组的

6、网络操作转移。无论对于IP话音（VoIP）、基于IP的视频流、基于IP的通信工具，还是对于PC、膝上电脑、蜂窝等IP平台、IP分组都已成为主流。换句话说，Internet的快速发展与普与正改变着公共通信网上和企业部网的流量结构，语音信息在过去曾经占据主导地位，但在21世纪，数据(IP)将占据通信流量的主要部分。 随着千兆网的逐步实施，如何有效、灵活建立高速数据网络是一个具有战略意义的课题，高校的业务单位通常拥有3类应用：数据、话音和图象（工业电视）。未来的技术发展，使采用IP技术可以同时承载3类不同应用成为可能，并且具有以下优点：采用Internet广泛应用IP标准，开放性好利用防火墙、IP地

7、址过滤和路由器热备份等网络安全技术，确保调度安全IPQoS与优先是分技术确保调度和远动等关键任务优先实现数据、话音和图象全网自动交换，信息共享，构成学校高效率运作的基础设施采用IP这一面向未来技术，可以兼容现有设备，保护现有投资，又可以保证网络在当前与将来的技术先进性。校园网是现代社会高校基础设施的重要组成部分,是提高高校教学科研水平和管理水平的不可缺少的现代化手段和支撑环境.如何进一步搞好校园网的建设,充分发挥校园网的作用,是各个高等学校和教育主管部门正在探索和思考的问题.1.2 学校的自然情况福清学院为师大学的一个分校，全校计算机数量逾1000台（不包括学生群体），信息点近900个，目前主

8、要楼宇有教学楼、图书馆、科学楼、昌檀楼等，规划区部局域网都是一个独立的网络，相互之间并不联通，其它还有11幢学生宿舍楼，8幢教师宿舍.学校的平面示意图如图1-1：图1-1学校平面示意图信息点分布表1-1：大楼信息点到网络中心的距离/m教学楼40150图书馆200100科学楼250150外语楼20100昌檀楼300在同一楼实验楼40100教师宿舍A84350教师宿舍B167300表1-1信息点分布表注：以上除教师宿舍信息点为确切的数据外,其它均为本人对学校的了解进行的估计。目前，以上各楼群部综合布线采用的是5类双绞线，学院的室外布线都是通过光纤连接到网络中心。1.3 学校校园网现有网络分析1.3

9、.1 当前校园网的状况校园网是师大学福清分校的信息基础设施，是实现学校现代化管理的强有力保证。学校一直以来非常重视校园网的建设。经过三期的建设，基本可以满足当时的网络需求。其网络拓扑图如下（图1-2）：图1-2现有校园网拓扑图由于学校数据吞吐量大，又离本部较远，所以学校采用一般的校园双端口接入方式,用一条2M光纤连接到师大本部，另一条用百兆光纤作为福清电信的局域网方式接入internet，实现网络高速运行。中心结构主要以华为ls-3026交换机为中心，单点以星形方式连接校园各个功能单位。各楼房交换机用100M光纤连接到中心机房的三台普通企业级路由上，可以实现子网高速互联。楼房部均用5类双绞线连

10、接楼房交换机与用户计算机，带宽均可达百兆。1.3.2 现有校园网的不足目前，福清分校的网络由低端的锐捷交换机构成一个平面型的网络结构，没有层次化设计的网络结构其存在许多缺陷.从网络拓扑结构看，网络管理员很难对网络进行整体管理，一旦出现故障，将很难做出快速排查。其中最至命的是网络存在单点故障，一旦中心的交换机出现故障，整个网络立刻瘫痪（如图1-3）。在平面型的网络结构下，网络中心交换机负载所有的数据处理任务，不能够实现对数据的高速转发传输。图1-3中心结构图从网络设备方面看：大部分的设备已经不能满足现在学校对网络传输的需求，如中心换机只是一台普通华为交换机，转发率不高，最大只为100M，实际上不

11、可能达到,所以即使拓扑结构是树形结构，网络数据的交换也不会多快。而且连接这些交换机和路由器的通迅线路都是百兆双绞线。在这样的设备下，中心的网络中心通迅带宽仅为百兆。这将是实现网络高速吞吐的瓶颈。还有租用网络的带宽太低，如学校与师大本部的通迅带宽才2M，而学校师生有5000多人，平时至少也有一百多人同时会使用，这也极大限制了我们学生与师大本部信息资源的共享。从网络设置管理方面看：学生可随意修改IP地址，容易造成IP地址冲突现象；广播风暴比较严重，造成带宽的浪费，一旦某台学生电脑中毒将影响整个网络；而且没有统一的网络管理软件，网管也很难统一对网络的整体管理。从网络应用方面看：学校提供的校园网络服务

12、容太少，如缺少校园服务，文件服务等，而且还没提供学生宿舍宽带接入，学生只能用电信的拨号上网。一、不方便学生上网，也不能规和监督学生上网；二、不能实现以网养网的目标，节约学校对网络的投资成本。从网络安全方面看：没有防火墙，网络安全性非常脆弱，服务器防病毒能力差，非常容易遭受到攻击，包括外网和网对服务器的攻击。没有网络服务质量（QoS）的管理.1.3.3 网络升级的必要性，目的和任务与实现的功能基于当前学校的发展，对校园网络需求起来趍，且当前存在的诸多不足，学校网络升级改造显行非常必要。这可以从前一阶段校园网络的通信状况就可知道。在新的网络下必须能够满足教学、管理和通信三大基本功能。 教师可以在学

13、校的任意的一台计算机上方便地浏览和查询网上资源，因为进行教学和科研工作必须可以调用网上资源，还可以通过网络对学生的学习进行指导。学生可以在计算机实验室、图书馆、教室、电子阅览室等地方方便地浏览和查询网上资源，但不能在教师办公室上网，学生通过网络可以进行网上学习并能和教师进行网上讨论。学校管理人员可以方便地对教务、行政事务等进行综合管理，同时各楼办公室的计算机可以进行数据信息交换，初步实现办公自动化。总之，该校园网主要包括以下建设需求：实现高速的Internet和CERNET出入；实现稳定的快速的DNS、WWW、FTP、等多项网络服务；建设校园BBS，促进校园文化的健康发展；拥有透明出口措施，学

14、生用学生证注册上网，能够详细记录上网访问日志；对外部资料实现管理，实现VOD服务；整个校园网主干实现千兆传输，百兆光纤到楼宇,百兆交换到桌面；拥有高性能的网络设备，有足够的设备冗余；有条件的话还可以实现无纸化办公，如安装OA办公系统,教学网络化与有网络化的学习平台；除以上要求外，还要求建成后的校园网具有一定的技术前瞻性和系统冗余度，以适应未来的发展和应用需求。1.4 对IP网络的技术要求根据上述总体要求，在技术上必须提供相应的支持和保证。整个网络在技术上定位为基于IP over Gigabit Ethernet传输的IP的光学网络，以光纤为主干传输介质，以Gigabit Ethernet +

15、IP为核心传输方式，可以充分的满足网络的需求。在设计本网络时，还要考虑的IP网络的优化。IP优化至少包括如下几个要素：网络体系结构以Gigabit Ethernet为设计基础，表达在网络层的多层次化体系结构。网络层次的优化，使用华为或思科各自专有的QoS（Quality of Services）来保证传输层网络的数据图形语音的正常传输。良好的网络拓展和兼容性。可以从上向下的无缝兼容，在合理的QoS控制下，根据不同的服务类型启动不同的控制协议，比如图像传输方面，可以通过IGMP组播协议和RSVP资源预保留协议进行优化和控制，对于数据和声音可以采用PQ,CQ,WFQ等排对称技术最大限度的传输各种数

16、据包充分利用光纤的带宽。稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力，快速恢复网络连接，避免路由表颤动引起的整网震荡，提供符合高速宽带网络要求的可靠性和稳定性。1.5 项目开发计划时间表和分工情况开发时间表如表1-2：项目描述时间论题确定根据自己的情况选择论题第七学期末资料收集收集与论题有关的资料第七学期末框架设计确定论文的整体结构，要点第七学期末网络现状调查调查了解学校现有网络状况，为论文做分析依据第八学期初现状分析根据收集学校现有的情况进行分析年初3月硬件设计根据分析方案结果，确定升级硬件年初3月配置设计在新的网络结构下，配置升级硬件年初4月论文整理在完成论文的大体容后，进

17、行整理年初5月表1-2开发时间表分工情况：在分析校园网络管理方面，本小组有四人参与，其中又分成两组：一组做网络服务质量（QoS）与安全；一组做网络现状分析与升级改进；本人与另外一个同学分在第二组里，主要做网络现状分析，同时也参与校园网的升级设计。2. 师大福清分校网络升级方案设计2.1 师大学福清分校网络设计校园网的建设可以分为两部分。第一部分为硬件建设，如各种网络设备、服务器的选购与连接以与综合布线等；第二部分为软件建设，如各种应用软件、网络操作系统、教务管理系统等的选择；软件应用需选择硬件设备的基础和依据，只有将硬件系统和软件系统有机地结合在一起，才能充分发挥校园网的最正确性能。从某种程度

18、而言，软件建设的好坏决定了校园网建设的成败。2.2 校园网设计分析2.2.1 校园网的功能要求 实现高速的Internet和CERNET出入； 实现部千兆校园网主干，百兆交换到桌面； 提供校园WWW、FTP、DNS、等服务 提供校园BBS等教师和学生交流学习的平台； 增加学生宿舍的接入； 增加校园无线局域网；2.2.2 校园网设计依据与相关标准网络技术介绍一 、网络设备中常用的网络技术（以思科设备来说明,这些技术会在网络设备配置中用到）1. 三层交换机的VLAN间路由和VLAN间访问控制(VLAN ACL)访问列表有三种类型的划分，包括RACL(路由器的访问列表），QoS的访问列 表，和VLA

19、N的访问列表。路由器的访问列表可以被用于子网之间的数据包过滤，但是不能在一个子网作过滤VLAN的访问列表，用于在一个VLAN的子网实现过滤。2. 利用HSRP为主机 实现冗余网关和负载均衡服务HSRP ,热备路由协议，是思科公司的私有技术，用于出口点互切。 主要的应用场景是公司有两个路由出口，正常应用的时候企业的用户走其中的一个主连接，当主连接出问题的时候，自动切换到另一个路由出口.3. 利用交换机的PRIVATE VLAN功能实现同一物理网段的主机之间的隔离和到公共端口的访问.在很多企业网络的应用中，出于安全和简化IP地址规划的考虑，会有这样的需求：希望同一物理网段上的主机之间的通信能够互相

20、隔离，但是又希望这些主机都能够访问一个公共端口（网关或服务器端口），所有这些主机和服务器端口都位于同一个IP子网，这样即实现了第二层的通信隔离，增加了安全保护，又不需要规划多个IP子网用于主机隔离。利用思科交换机的Private Vlan功能，可以轻松实现以上需求。本主体的基本概念和配置要点：Private VLAN ports:Promiscuous portsIsolated portsCommunity ports Private VLAN types:Primary VLANIsolated VLANCommunity VLANConfiguring Private VLANs.4.

21、利用动态访问列表实现高级的访问控制如何在一台普通的路由器上实现一些高级访问控制,比如带时间控制的访问列表,动态访问列表,类似于防火墙的会话过滤访问列表,本主题将深入讨论解决以上需求的思科IOS高级访问列表技术,并使用真实的实验设备来验证这些高级访问列表功能。例如：带时间控制的访问列表（time of the day access-list）动态访问列表（Lock-and-Key Security ）IP Session Filtering（Reflexive Access Lists ）。5. AAA服务和安全服务器协议(radius/tacacs+)AAA（验证、授权、记账）网络安全服务提供

22、了一个实现身份认证以与访问控制的主框架。AAA使用RADIUS、TACACS+等协议来实现对网络的访问控制。本主体的基本概念和配置要点： Authentication, Authorization, and Accounting (AAA)服务的概念 TACACS+与RADIUS的比较 AAA在Cisco路由器上的实施6. IPSec VPN虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴与供应商同公司的部网建立可信的安全连接，并保证数据

23、的安全传输。虚拟专用网可以大幅度地减少用户花费在远程网络连接上的费用。本主体的基本概念和配置要点： IPSec VPN的基本概念 IPSec VPN在企业中的应用 利用Cisco PIX实现远程用户的VPN连接7. 高级路由协议OSPF的基本原理和实现随着Internet技术在全球围的飞速发展，OSPF已成为目前企业网采用最多、应用最广泛的路由协议之一。OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域。在这里，路由域是指一个自治系统（Autonomous System），即AS。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据

24、库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。8. 利用交换机的SPAN功能进行流量监控(端口镜像)SPAN，交换端口分析器，是一种流量镜像的技术。实现该技术的目的是监控网络的性能，用于优化企业网络。常见的抓包工具，比如sniffer等只能捕捉到一个碰撞域的流量，如果公司的网络都是用交换机互联的，就不能进行监控。通过SPAN技术，可以把流量镜像到流量分析器。主要的技术有本地SPAN和远程SPAN(以上摘自Internet .net130有做改动)二 、网络组建中常用的网络技术分析(1) 以太网络技术早期局域网技术的关键是如何解决连接

25、在同一总路线上的多个网络节点有秩序也共享一个信道的问题，而以太网络正是利用载波侦听多路访问/冲突检测（CSMA/CD）技术成功的提高了局域网共享信道的传输利用率，从而得以发展和流行的。特别是近几年来交换式以太网和100M快速以太网的广泛应用，使以太网络成为当今局域网应用较为广泛的主流技术之一。然而,以太网络在发展早期所提出的共享带宽、信道争用机制限制了网络后来的发展，即使是近几年发展交换式以太网技术和100M快速以太网技术也不能从根本上解决这一问题，具体表现在：i. 不提供服务质量保证（QoS）以太网提供的是一种所谓“无连接”的网络服务，网络本身对所传输的信息包无法进行诸如交付时间、包间延迟、

26、占用带宽等等关于服务质量的控制。这种传送方式就像邮局递送信件一样，信息包一旦交给传输介质，无论是发送端还是接收端都无法再对中间的传输过程进行任何有效的控制，这就是所谓没有服务质量保证。而且以太网的包长度本身是不确定的，这就导致网络设备对每一个帧的处理和转发延迟处于随机、不可控制状态。这两个因素的存在，使得以太网的帧在传输时的延迟和延迟的突发变化方面显得非常严重。以太网对传输过程的不可控性和对帧处理延时的过多抖动都不适于现在大量涌现出的具有较强定时性要求的多媒体信息的传输。ii. 带宽利用率较低对信道的共享与争用机制导致信道的实际利用带宽远低于物理提供的带宽，虽然基于CSMA/CD机制的以太网可

27、以使网络节点对带宽的争用以一种“秩序”进行，但其带宽有效利用率仍低于10%。以太网的交换技术可以降低争用的几率，但为了与原有网卡与应用软件相兼容，CSMA/CD仍必须存在，且交换中对转发端口的定位是在动态学习、动态刷新中进行的，这就使在统计上仍存在大量的包是以共享争用的方式传递的。引入交换技术可使利用率提高至20%-50%。除以上两点以外，以太网传输机制所固有的对网络半径、冗余拓扑和负载平衡能力的限制以与网络的附加服务能力薄弱等等，也都是以太网络的不足之处。但以太网成熟的技术、广泛的用户基础和较高的性价比，使其仍成为传统数据传输的网络应用中较为优秀的解决方案。现在，传统10M以太网的应用越来越

28、少。在网络应用中，比较流行的以太网技术是：100M快速以太网和千兆以太网。(2) 千兆以太网络技术千兆位以太网应用于大中型网络，能把现有的10Mbps以太网和100Mbps快速以太网连接起来。千兆位以太网采用同样的CSMA/CD协议、同样的帧格式，是现有以太网最自然的升级途径，使用户对以太网原有设备管理工具的投资得到保护。千兆位以太网是超高速主干网的一种选择方案。在数据、话音、视频等实时业务方面，它虽然不能提供真正意义上的服务质量保证（QoS），但千兆位以太网频宽较高，能克服原以太网的一些弱点，提供服务保证等特性。IEEE802。3Z工作组已确定了以下一组规，统称为1000Base-X。1.

29、1000Base-LX:多模光纤传输距离为550米，单模光纤传输距离为3000米。2. 1000Base-SX：62.5微米多模光纤传输距离为300米，50微米多模光纤传输距离为550米。3. 1000Base-CX:用于短距离设备的连接，使用高速率双绞线铜缆，最大传输距离为25米。4. 1000Base-T：5类铜缆传输最大距离为100米。千兆位以太网支持交换机之间、交换机与终端之间的全双工连接，支持共享网络的半双工连接方式，使用中继器和CSMA/CD冲突检测机制。对于大多数用户而言，花费很少的投资就可将现有的网络升级至千兆以太网，并且不需在通信协议上进行额外的投资。千兆位以太网联盟为千兆位

30、以太网的应用提出以下几种方案：a) 更新快速以太网主干网：更换核心交换机，全面提高原有网络性能。b) 用于交换机到服务器链路：服务器使用千兆位以太网卡，直接与千兆位以太网交换机相接，提供每秒百万个包的处理能力。c) 千兆位以太网到桌面台式机：高性能工作站安装千兆位以太网卡，直接与千兆位以太网相连。d) 用于交换机之间的链路：千兆位以太网交换机用光纤相接，提供一条高性能主干线路。e) 更新FDDI主干：留现有光缆，提高带宽10倍。上面两种网络技术的分析摘自书籍计算机网络工程典型安全分析 还有一种是ATM技术，ATM在现有技术水平上已获得成熟的发展。不过，ATM有一个不足之处就是，采用ATM技术来

31、构建网络主干，需要较高的成本，其经济可行性较差。这对所建的中等规模仿小的网络就更是如此。基于我们学校目前的发展情况，ATM虽好，但并不适宜，成本太高也还没有那多的需求。且学校原有的网络也都是基于以太网和快速以太网而建的，因此，我们使用千兆以太网为校园网主干，百兆到桌面，来平滑升级现有网络。即可以保护原有投资也达到升级的目的。这是我们升级中不二的选择。升级的设计依据：1) 根据学校现有的业务量与业务类型，估算出网络大约需要的交换能力和功能。学校的业务主要有：校园网的Internet接入包括使用ChinaNet和CERNET,从学校现有计算机数量看，最大并行访问Internet的计算机数量大概在5

32、00台，以百兆光纤出入Chinanet是有些拥挤，不过大多数时间不会有那么多台同时访问，而且还可以通过交换机带宽配置，来分配各个单位的上网需求，因此目前的带宽还是可以满足用户的上网需求。不过接入CERNET的带宽就显得过小了，虽然访问的人没有访问Chianet的多。校园部的BBS、WWW、FTP、等，这些网络服务均可对外开放，而且是学生群体比较活跃的区域，网络的通迅量较大，需要较大的带宽；学校部日常的管理系统，如教务管理系统，学生学籍管理系统等，这些也是师生访问较多的网络服务；校园网的文件传输等部通信也需要很大的带宽。将学生宿舍的宽带接入也是校园网重要的功能模块，它所需要的带宽也是很庞大的.随

33、着社会发展，移动办公也越来越普遍，增设校园无线局域网也是势在必行的。 而且校园无线局域网也可以方便那些早期没有安装网络通迅线路的建筑接入校园网。经过以上分析，将校园部主干网升级为千兆是十分必要的。2) 根据业务量与业务类型的发展，估算出五年网络大约需要的交换能力和功能在此次升级中，我们都将使用一些能够充分满足当前网络通迅与应用服务的网络设备，又能够在相当长一段时间保持技术的先进性，能够满足今后学校对网络的扩展需要。3) 依据网络分级原则，确定核心、会聚、接入各层设备所在位置与策略。该次升级方案中，彻底改变了校园网络的主干拓扑结构，摒弃了以前那平面型的拓扑结构，采用当今主流的三层网络结构，即核心

34、层、汇聚层、接入层结构。网络中心还是设在昌檀楼，所以核心层设备也自然设在该楼.汇聚层接入层设备根据新的网络拓扑与子网划分，具体安放在后面的章节中说明。4) 根据以上三点，以与充分利用现有的网络设备的前提下，确定对所需网络设备的要求和投资估算，以此来确定设备的供应商，并在满足现有业务的同时，确保网络可以以较少投资平滑升级。5) 根据前面的对网络现状的分析，需要对不足的地方加以改进。这里主要对核心冗余、无线接入、网络安全加以说明。a) 核心冗余，从图1-3可以清楚的知道，学校所有出入Chinanet 和CERNET的数据都必须通过ls-3026交换机，一旦该设备出现故障，整个网络将瘫痪。为应对该问

35、题，我们采用核心冗余技术（如图2-1），通过设置HSRP协议，即使核心交换机有一台出现故障，网络会自动切换到另一台核心交换机上，保证网络通畅。我们使用的冗余交换机都可以工作在三层，支持该协议。图2-1核心冗余图HSRP技术分析HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol） 热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以与即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出

36、故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。HSRP 运行在 UDP

37、 上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别.(摘自 net130.)b) 无线局域网，校园加入无线网络，一方面可以方便师生在校园的移动入网，也可以使那早期没安装网络接口的建筑，如外语楼，13、14号楼。从学校的自然布局和办公情况看，将无线接入点分别设在学生公寓楼和外语楼。外语楼主要面向本楼接入和科学楼外来领导的移动接入。公寓楼可供13、14与主席台的接入。c) 网络安全，在没有防火墙的网络下，网络安全性非常脆弱，服务器防病毒能力差，非常容易遭受到攻击。加入硬件防火墙可以对出入校园网数据包进行监控、

38、过滤， 最大程度的屏蔽部网络的信息、结构与运行情况，以此来保护网络安全；它具有控制对系统的访问，集中安全管理，增强的性等功能。2.2.3 校园网系统设计网络系统设计方案主要包括校园网部网络和Internet接入两部分的设计。（1）校园网部网络设计校园网部网络是组建在学院校园的计算机应用网络，可以采用Intranet方式建设校园网部网络。对本分校而言，几乎包括所有的建筑楼群：如教学楼、图书馆、科学楼、外语楼、昌檀楼、实验楼、教师与学生宿舍楼等。根据福清学院对网络应用的需求，主干可以采用千兆以太网结构，每栋楼与网络中心用多模光纤连接，百兆交换到桌面。在升级设计中，针对现有的不足，我们采用分层次的网

39、络结构和冗余设计技术，如采用核心、汇聚冗余。还有无线局域网的引入，也是逐步完善校园网络的一个举措。（2）校园网接入Internet设计学校校园网采用双端口方式，一个接入师大本部教育网，一个作为福清电信的局域网方式接入福清电信，校园网核心交换机与路由器都存放在网络中心，所有楼的光纤均连接到网络中心。并申请相应的域名和IP地址。部网络的IP地址由保留地址和真实地址混合使用，保证部网络的安全。2.2.4 校园网应用系统设计(1) Internet应用学校向域名注册代理商申请Internet域名后，通过配置相应设备便可以向校外提供DNS、WWW、FTP和等服务。网络操作系统可以选择Microsoft的

40、Windows系列或Linux。在服务器上，每一个服务可以由一台服务器来完成；也可以由一服务器来同时完成几项服务。这些是对校外开放的。另外一些主要面向教学或学生工作的服务，可以另外设一些专门的服务器，如：学生学籍管理系统、教务管理系统等，这些可以视需要决定是否向外开放。(2) 视频点播、教学讨论BBS与其它校园网视频点播系统，可以使学生通过电脑在校园任何地方进行教学课件的视频点播，进一步提高学生的学习积极性。校园BBS服务，可以使每位学生教师都可以在BBS上书写信息、提出看法、讨论教学问题，增强师生间的教学交流。校园网还以提供许多其他服务(可选)，如网络课件库、网络试题库、精品课程点播以与远程

41、教学等，进一步推动教学手段的改革。(3) 网络管理随着校园网的不断扩大，对校园网中网络设备的管理成为校园网管的重要任务，可以通过网络管理软件实现对全校所有网络设备的集中式管理。网络管理集通信技术、网络技术和信息处理技术于一体，通过高度和协调资源，进行各项管理活动，以达到使网络可靠、安全和高效运行的目的。由于我们在升级中主要使用Cisco的产品，可以用CiscoWork2000这个网管软件来统一管理，它可以管理Cisco的基于IOS操作系统的连接设备。使用方式是Web管理方式，所以在安装完网络管理服务器后可以在任何有网络连接的机器上进行网管监控。(4) QOS管理流量管理也是一个非常重要的工程，

42、如何有效的、合理的管理网络中ip流量将有助于网络整体性能。实施QoS，首先必须进行QoS的总体规划，其规划原则可如下:第一，根据不同业务特性在网实施针对业务类型的业务分流，目前可考虑的业务类型可以分为VoIP语音、视频、专线互联与互联网接入等。另外，还必须考虑到网络本身还存在管理和控制信令等，这种消息流与VoIP数据流具有同等的QoS保证需求。第二，在接入网的汇聚层实施业务VLAN策略，并根据业务与流量特性对业务VLAN进行合理的带宽规划。第三，不同用户实施不同的QoS:对于重要的服务器、教师机通信等，在汇聚层实施独享带宽和独立逻辑通道的二层QoS策略。第四，不同业务类型实施不同的QoS。(5

43、) 用户上网需求校园网的主要用户是教师和学生，学校可增设一个透明网关或认证服务器来对用户身份认证与上网计费。同时包括无线接入的认证.2.3 校园网结构设计校园网结构设计主要指网络的物理结构设计和逻辑结构设计。在完成对校园网的网络现状分析后，就可以有针对性的进行物理和逻辑上的规划设计，进一步完善校园网络。2.3.1 校园网物理结构设计根据前面对校园网络现状的分析，可以知道校园网有多少建筑，各建筑包含多少信息点以与它们的分布情况，可以知道校园网的功能与其应用。对些我们就可以做出相应的升级拓扑设计。此次升级物理上主要是对网络设备与通信带宽的升级（对于设备选择在第三章中介绍）：l 升级核心路由器，采用

44、思科优质的产品C3600系列.l 采用思科双C3750核心交换机做冗余技术;汇聚层也采用思科C3550原有的可当备份用;接入层采用C2950系列。各层设备都具有千兆以太网端口。l 增加3A身份认证服务器，增加校外学生宿舍的校园网接入和校园无线局域网接入。l 引入防火墙机制，提高校园网的安全性。l 在通信线路上，此次将校园主干网都升级为1000M以满足学校对网络的需求。接入福清电信仍为原有的百兆光纤，不过只要更改光缆的带宽就可以使网络升级到更高的带宽；路由器与核心交换机间采用1000Base-T铜缆连接； 核心交换机与汇聚层交换机间采用1000Base-LX光纤连接（在同一室可用优质双绞线）。校

45、各网络服务采用100M双绞线连到核心交换机。汇聚层交换机所在的楼房直接采用100双绞线连接到接入层交换机，其它楼房的接入层交换机则用100M光纤连接到该汇聚交换机上。升级物理拓扑图（如图2-3）图2-3升级后网络拓扑图2.3.2 校园网逻辑结构设计校园网逻辑结构设计主要是IP子网网段的划分，根据校园网实际应用需现VLAN的设置。从校园网的安全性、IP地址的可管理性和IP地址资源的有限性出发，将整个校园网络划分成若干个子网网段并对IP地址进行有效的管理是十分必要的。子网网段划分一般应遵循以下原则：l 需要对外开放的服务器划分在同一网段，并分配真实的IP地址；l 除接入Internet的路由器外，

46、将其它所有网络设备划分到私有的网段；l 将不对外开放的服务器划分到专有网段中，其地址对外是隐蔽的；l 最好将不同部门的机器划分到不同网段中；l 划分的子网应使IP管理简单，同时也要避免IP地址的大量浪费；l 可使用子网掩码将几个C类地址分给同一个大的子网，或将一个C类地址分给几个小的子网；l 校园部网IP地址使用保留地址，连接Internet的子网采用真实IP地址。以下为学校升级中，对学校所有网计算机的子网划分情况：子网划分如表2-1：序号VLAN号子网名称包含的信息点1DMZ区服务器子群连接Internet的所有对外开放服务器，为真实IP地址211服务器子网所有只对校开放的服务器，为保留IP

47、地址312网络设备子网除路由器外所有网络设备413办公室子网图书馆、昌檀楼、科学楼的办公室计算机514无线接入子网所有无线接入的计算机615学生宿舍子网1校学生宿舍接入的计算机716学生宿舍子网2校外学生宿舍接入的计算机817教师宿舍子网1校教师宿舍接入的计算机918教师宿舍子网2校外教师宿舍接入的计算机1019教室子网教学楼、科学楼、外语楼、实验楼的教学用计算机1120电子阅览室子网图书馆除办公室计算机外的所有计算机1221计算机实验室子网1昌檀楼的计算机实验室11322计算机实验室子网2昌檀楼的计算机实验室21423计算机实验室子网3昌檀楼的计算机实验室31524计算机实验室子网4科学楼经

48、法系计算机实验室1625计算机实验室子网5科学楼人文系计算机实验室1726计算机实验室子网6科学楼人外语系计算机实验室表2-1 VLAN划分表子网划分示意图如图2-4：图2-4 VLAN划分示意图3. 师大福清分校网络升级硬件设计根据前面对校园网络升级的分析，就可以确定所有网络设备的型号，从安全可靠和高性能角度考虑，我们都使用世界著名公司思科的网络产品。以下分别对各种网络设备进行分析介绍。3.1 交换设备选型3.1.1 核心层交换机选型根据学校的规模和应用需求，为将校园主干升级为千兆网络，我们核心交换机选用两台CISCO WS-C3750G-24TS-S作核心冗余。Cisco Catalyst

49、 3750系列交换机是一款适用于中型机构和大型企业分支机构的创新产品。该交换机采用了Cisco StackWise技术，通过结合易用性和可堆叠交换机的最高永续性，提高了局域网运行效率。关键特性：l 可用性802.1S/W支持基于标准的容错性、负载均衡和迅速恢复；Flexlink特性提供了不到100ms的快速收敛；PVST+则通过允许流量在冗余链路上传输，增加了可用带宽l Cisco StackWise技术单一IP地址和单一命令行界面（CLI）简化了管理；32-Gbps永续架构加速了收敛；1N堆叠采用了冗余和第三层上行链路永续性、跨堆叠Cisco EtherChannel技术与QoS，提高了可用

50、性；自动配置和Cisco IOS软件版本检查和升级加速了部署过程；交换机的热添加和删除能保持堆叠持续运行l 370W PoE简化了IP、无线和视频监视部署；智能电源管理特性增强了控制能力，有助于更好地利用功率预算，PoE与快速以太网或千兆以太网型号相结合，能最大限度地利用现有基础设施投资l 第三层特性 OPSF、EIGRP、BGP 、静态 PBR等高级路由协议扩大了网络规模；等成本路由以与PIM等组播路由能够最大限度地利用网络资源；VRFLite可保护流量；IPv6在简化网络寻址和移动IP的同时提高了安全性l QoS 流量整形能在不丢弃数据包的情况下平稳处理突发流量；整形循环保证了关键任务应用

51、的带宽；而Scavenger队列则能防止蠕虫过度使用资源l 管理 Cisco Smartports能快速、简单地配置高级 Web界面完成设置；资源模板则可用于为应用定制交换机资源。l 安全DHCP监听能够只允许可信端口访问DHCP信息，消除了恶意DHCP服务器；NAC则能防止代价昂贵的蠕虫和病毒的传播；动态ARP检测和IP源防护能够防御中间人攻击；802.1x和基于身份的网络服务仅允许授权人员接入网络；端口安全能防止MAC地址泛洪攻击各关键交换机的主要性能参数如下表3-1:参数类型WS-C3750G-24TS-S主要参数WS-C3550-24-SMI主要参数WS-C2950T-24主要参数交换

52、机类型网管交换机网管交换机快速以太网交换机存128MB32MB DRAM和8MB闪存16MB DRAM和8MB闪存传输速率10Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3abIEEE 802.1x、IEEE,802.3x、IEEE 802.1D、IEEE 802.1p、IEEE 802.1Q、IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3zIEEE 802.1x、

53、IEEE 802.3x、IEEE 802.1D、IEEE 802.1p、IEEE 802.1Q、IEEE 802.3ab、IEEE 802.3u、IEEE 802.3端口数量2424 个10/100端口+2 个1000BaseX 端口26接口介质10/100/1000Base-TX、1000Base-FX/SX传输模式支持全双工支持全双工支持全双工配置形式可堆叠可堆叠可堆叠交换方式存储-转发存储-转发存储-转发背板带宽32Gbps8.8Gbps8.8GbpsVLAN支持支持支持支持MAC地址表12k80008000模块化插槽数4无无指示面板端口状态LED：链路完整，关闭，活动，速度和全双工指示

54、；系统状态LED：系统，RPS和带宽利用率指示。每个端口的状态LED:连接完整性、禁用、活动和速度(仅限于上行链路)指示器,系统状态LED:系统和RPS指示器尺寸(mm)2954456644.536644544524244重量(Kg)5.685.03.0其他技术参数1 / 1.5机架单元（RU）可堆叠多层交换机；提供到网络边缘的企业级智能化服务 ；预装标准多层软件镜像（EMI）； 基本的RIP和静态路由器，可以升级到完全动态的IP路由安装了标准的多层软件镜像（SMI）；可以升级到完全动态的IP路由；功耗：65W（最大），每小时222BTU；由所有端口共享的4 MB存架构；32MB DRAM和8

55、MB闪存；可以配置多达8000个MAC地址；可以配置多达16000条单播路径；可以配置多达2000条多播路径；可以配置的最大传输单元（MTU）高达1590字节，用于连接MPLS标记帧网管功能：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)表3-1设备性能参数表3.1.2 汇聚层交换机选型汇聚层交换机需要支持第三层交换，对应核心冗余，在这里我们也选用两台CISCO WS-C3550-24-SMI作汇聚冗余. 主要参数列表请参看表3-1.产品特点：3550系列是一款功能强大的交换机，可在中型网络中作接入设备，也可作汇聚设备。用户可以在整个网络中部署智能化的服

56、务，例如先进的服务质量（QoS），速度限制，Cisco安全访问控制列表，多播管理和高性能的IP路由同时保持了传统LAN交换的简便性。Catalyst 3550系列中嵌了Cisco集群管理套件（CMS）软件，该软件使用户可以利用一个标准的Web浏览器同时配置和诊断多个Catalyst桌面交换机并为其排除故障。Cisco CMS软件提供了新的配置向导，它可以大幅度简化整合式应用和网络级服务的部署。含有标准多层软件镜像（SMI）或者增强型多层软件镜像（EMI）。EMI提供了一组更加丰富的企业级功能，包括基于硬件的IP单播和多播路由，虚拟LAN（VLAN）间的路由，路由访问控制列表（RACL）和热备用

57、路由器协议（HSRP）。在刚开始部署时，增强型多层软件镜像升级工具包为用户提供了升级到EMI的灵活性。3.1.3 接入层交换机选型 接入层设备主要作用是要支持VLAN的划分，我们可以选用CISCO Catalyst 2950.主要参数列表参看表3-1。3.2 具体网络拓扑设计图根据上一节的设备选型与第二章的校园网络结构设计，我们可以绘制出更详细的校园网络结构图，如以下图所示。图3-1 详细网络拓扑图核心部分：图3-2核心拓扑图注：图3-2中完整IP的均使用默认C类掩码，而只有两个IP位的都默认省去了前两位，如：100.6/30其完整IP为192.168.100.6/30，其中30为该IP的掩码

58、长度。核心与汇聚部分：图3-3冗余部分拓扑图汇聚与接入部分：图3-4汇聚与接入设计图注：由于接入层是工作在数据链路层，所以不需为其设置IP。3.3 路由器选型接入Internet的路由器完全可以选用Cisco 3620，因为Cisco 3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco 3600系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/ 网络模块，Cisco 3600系列允许客户在单个网络上合并语音、 和数据流量。高性能的模块化体系结构保护了客户的网络技术投

59、资，并将多个设备的功能集成到一个可管理的解决方案之中。关键特性：l 在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接以与语音、视频和数据的多服务集成。l 模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。l 高密度ISDN PRI功能。 l 预配置的BRI和PRI调制解调器捆绑。l 支持Modem-over-BRI功能性。 l 集成了Cisco IOS软件（产品定价中包括IP IOS软件）。 l 完全支持VPN。路由器的主要性能参数如表3-2：参数类型CISCO 3620主要参数网络标准WAN，Ethernet，Fast Ethernet，ATM，ISDN，T1/E

60、1，Frame Relay，X.25，IP/IPX 网络协议IP/IPX/AT/DEC/FW/IDS Plus 是否置防火墙是 存32MB(缺省)；128MB(最大) 重量13.6kg表3-2 CISCO 3620参数表3.4 防火墙选型防火墙是一种部署在外网边界上的访问控制设备，在校园网中使用防火墙，可以用来防止未经授权的通信进出校园部网络，通过边界控制强化部网络的安全策略。防火墙主要有简单包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙三种。结合我们学校情况，我们选用CISCO PIX-525-R-BUN 防火墙来保障校园网络安全。CISCO PIX-525-R-BUN防火墙的主要功

61、能：l 企业级集成式安全设备l 最高330 Mbps防火墙吞吐率l 利用硬件加速（某些型号自带，在其他型号中为可选组件）最高可以提供145 Mbps 3DES和135Mbps AES-256 VPN吞吐率l 最多可以为2000个远程用户提供VPN集中器服务（Easy VPN Server）l 千兆以太网支持；最多8个10/100 FE或者3个千兆以太网接口l 虚拟局域网中继（基于802.1q标签）和OSPF动态路由支持l 安全环境（虚拟防火墙服务）支持l 主用/主用和主用/备用防火墙状态故障切换支持l 主用/备用IPSec VPN故障切换支持PIX-525 的相关参数如表3-3：参数类型PIX

62、-525参数处理器600 MHzRAM128或256 MB闪存16 MBPCI插槽3固定接口（物理）2个10/100快速以太网端口最大接口数量（物理）8个10/100FE 或GE最大虚拟接口（VLAN）100支持的安全环境有， 2/50 VPN加速器卡（VAC）选项有， 集成在部分型号中高可用性支持A/S， A/A设备更新处理仅使用小型文件传输协议（TFTP）故障切换端口DB-15（RS 232）大小2 RU表3-3 PIX-525参数表3.5 服务器选型现在著名的服务器品牌非常多，有IBM、HP、DELL、LENOVO、曙光、浪潮等。这里选的服务器主要是验证服务器的选择，其它的看学校目前的网络应用可以随时增设,如前面分析的FTP服务器、服务等。根据我们前面的分析与设计，我们选择华为MA