校园主干网系统集成.doc

校园主干网系统集成设计校园主干网系统集成设计- 26 -校园主干网系统集成设计目录前言- 1 -第一章 需求分析- 2 -一、用户现状- 2 -二、应用平台需求- 2 -三、网络平台需求- 2 -四、技术平台需求- 3 -五、软件平台需求- 4 -六、系统建设目标- 5 -第二章 系统总体设计- 6 -一、设计原则- 6 -二、设计概述- 6 -第三章 网络系统建设方案- 7 -一、IP地址规划及VLAN划分- 7 -二、三层交换- 9 -三、网络建设- 9 -四、主干设备选型- 11 -第四章 接入设计- 13 -一、用户接入设计- 13 -二、 ISP接入设计- 16 -第五章 综合布线系统设计- 19 -第六章 技术及服务- 21 -一、培训计划- 21 -二、产品介绍- 22 -三、验收办法- 24 -前言随着计算机及网络技术的飞速发展，高速、便捷、可靠的网络平台在各个领域都得到了长足的发展与提升，为各个领域的信息交流提供保障。校园作为一个学习和科研的核心场所，对信息的交互和共享有着更为迫切的需求。因此，建立一个适合校园环境的资源共享平台、满足现代化社会日趋增长的数字化教育要求显得尤为重要。目前国外许多著名高校已经建立起了比较完善的先进的数字化教育平台满足学习科研中的交流需求，如Carnegie Mellon大学的Andrew网, Stanford 大学的SUNET网, M IT的Spine网。为了实现高校的信息化建设，我国从94年起便集结多所国内优秀大学组建并完善了名为中国教育科研网（CERNET）的教育主干网。迄今为止，CER NET已经拥有28条国际和地区性信道，与数国和香港特别行政区联网，实现多所大学、中小学教育和科研单位的联网，构成了一个庞大的资源共享平台。在此基础上，CERNET促进了多所高校的校园网建设，越来越多的高校将信息化作为学校建设发展的必要条件。由此可见，校园网的建立对学校实现数字化和信息化具有决定性的作用。当前多数校园主干网的建设以快速以太网、ATM和千兆以太网为主。快速以太网虽然成本较低但其数据传输速率与ATM和千兆以太网相比都较低，不能满足较高的数据传输需求；而ATM技术，虽然具有较高的可延展性和无限的虚拟带宽潜力，但其对于线路和设备的要求较高，因而搭建成本较高。千兆以太网是上述三种主干网建设中性能最优越的方案，且继承了以太网价格低廉的优势，拓宽了以太网的应用领域。随着高校合并和扩招热潮的兴起，一些校园网已无法满足校园与日俱增的资源共享、数据交换需求以及分散和扩张的地域规模带来的管理问题。针对上诉问题本方案旨在运用1000M以太网技术提出一个更高质量、高带宽、多服务、广范围且易于更新、升级、维护，成本更低，更灵活的校园专用网。实现一个集数据传输及存储备份、多媒体应用、Internet接入及访问的宽带多媒体校园网。第一章 需求分析一、用户现状电子科技大学占地5000余亩，涵盖清水河、九里堤、沙河三大校区。各大校区可分为教学办公区、教师宿舍区和学生宿舍区三大区域。教学办公区主要包括图书馆、教学楼、行政办公楼和科研楼等。其中清水河校区包含1栋主楼、3栋科研楼、1栋图书馆、品学楼、3栋学生食堂及若干学生宿舍。学校有教职工3500余人，各类全日制在多学生33000余人。二、应用平台需求随着校园网概念的不断深入和发展，校园网用户对网络能支持的应用类型的需求也越来越广泛，尤其是近年来远程教育概念在世界范围内的兴起，要求校园网络能够支持网络课堂以满足更多学生的自主学习要求、提升课堂的灵活性，这就要求网络能够支持高质量视频的传输。为了方便学生和教职工的生活，以及保障学校的统一化管理，一卡通服务也是校园网建设时所需考虑的重要应用。此外，校园网也需要提供其他一些基本的网络服务：快速稳定Internet服务（如WWW、E-mail、FTP、BBS等）、数据共享及数据库服务、办公自动化服务、多媒体应用服务、电子课件系统、网络教学系统等教学和实验服务。三、网络平台需求 1、校区分布分散且占地面积广是电子科大校园的特点之一，考虑到各个校区都有接入网络的需求，因此建成的网络平台的数据中心应该能够延伸到较广的距离以最大程度覆盖校园的各个主要校区。2、校园网是用于教学、科研及学生、教师日常管理的网络平台，具有一定的专用性，因此区别于因特网这种信息较为繁杂广泛的公用网络，校园网应该是一个满足现代教学要求的专用网。同时，由于校园网络中业务网络（即满足用户教学、科研资源共享需求的网络）与管理网络（即处理校园日常事务管理的网络）所面向的对象和使用目的不同，在逻辑上应对其进行分离，因此建成的网络能够提供多个网段的划分和隔离，并且具有灵活性以适应教学科研及办公环境的调整与变化。3、校园是一个人员密集的场所且教学和科研活动对数据信息资源有着极大的需求，因此校园网的使用会引发网络内部大量的数据交互以及大量动态因特网应用数据传输，这就要求建成的校园网提供高的网络带宽，同时网络设备支持高的带宽接入。另外，电子科技大学的科研楼是教学、科研工作的重要场所，因此该楼宇对于网络的灵活性和安全性有着较高的要求，在建设网络时要充分考虑到网络的安全需求以建立合适网络结构。4、考虑到网络灵活性、可扩展性和经济性的需求，网络以星形拓扑结构为接入网结构。考虑到网络的健壮性和冗余备份，主干网采用环形拓扑结构。 同时，夜间和节假日是学生网络下行信道使用的高峰期，而工作日是办公和科研教学网络上下行信道使用的高峰期，因此网络在面对这些高峰期时应该具有较强的适应性和健壮性，高峰期到来时能迅速做出调整，以达到高吞吐量、低延迟的网络传输需求。四、技术平台需求主干网技术选择当前主干网设计流行的技术主要为FDDI、快速以太网、ATM技术、千兆以太网和万兆以太网几种。对于校园网主干网而言，建设需满足以下几点需求：较高带宽以满足大量的资源交互；较好的灵活性和可扩展性以适应校园的融合和扩建；高性价比以降低网络使用过程中的维护和运营成本。网络产品选择网络产品是实现网络功能的关键，因此网络设备性能的选取是决定网络运营效率的关键。除了前面所述能够提供一个高带宽、易扩展的性能稳定可靠的网络。在实际运用过程中网络产品还应对某些应用的QoS进行保障，如多媒体应用。同时网络设备的运用能够给予网络较高的安全性，网络设备应支持VLAN划分，以实现不同功能网络的逻辑划分，同时在不同VLAN间进行第三层交换时应提供有效的安全控制以保证网络的安全性；设立“防火墙”过滤功能以阻止黑客的入侵，对外网用户接入内网或使用内网资源进行控制。网络设备也应具有便于管控的特性，实现对网络的自动监测控制。此外，由于校园网存在许多广播信息应用场景，因此网络系统应该支持IP广播或多播以节省带宽资源。最后，网络设备需符合IP的发展趋势，支持IPv6协议。五、软件平台需求校园网建设中，软件平台主要由网络操作系统、单机操作系统和大量的校园网应用软件组成。网络操作系统运行在服务器上为网络中的各用户提供上网服务。在不同的网络工作模式中，C/S工作模式具有一下优点：用户使用简单直观；编程、调试和维护费用低；系统内部负荷可做到比较均衡，资源利用率较高；允许在一个客户机上运行不同计算机平台上的多种应用；系统易于扩展，可用性较好，对用户需求变化的适应性好。基于校园网的实际应用场景，建议选择C/S网络工作模式，因此，在选择网络操作系统时选用Windows NT 4.0 Serve系统学习、使用轻松容易且功能基本上满足校园网络需求，对硬件配置要求低，因此对于校园网络建设有着较高的性价比。或Windows2003 Server, 具有强大的网络功能和可二次开发性，提供域名服务、WWW服务、FTP服务、Email服务等。此外，由于校园网内部信息交互频繁，因此可以在网络中使用Windows2003 Server架设起FTP服务器。单机操作系统包括DOS、WIN3x、WIN9x、WIN2000等，实际校园组网中，考虑到用户可操作性和兼容性等需求，建议使用Windows98单机操作系统。它具有简单快捷的图形窗口用户界面；良好的兼容性，可运行32位应用和兼容旧的Windows和DOS应用；支持长文件名和多任务、多媒体应用等；支持即插即用；具较强网络功能，提供简单方便的对等网功能。校园网的主要是为校园教学科研需求提供便利，因此网络教学软件是校园网应用软件的最重要部分。基于校园网教学的需求，建成的网络应具备多媒体教学软件开发平台、教学内容存储系统、VOD视频点播系统、电子阅览室、电子教学工具平台、考试资料库等以满足学生教师日常教学的资源需求。六、系统建设目标1、主干网提供1000M交换光网，核心设备具有较高的冗余能力以及高可靠性、高传输速率和更低的网络延迟，设备支持IPv6，具有较高的可升级性。2、图书馆、教学楼、主楼、科研楼等楼宇实现100M到桌面，进一步提升用户网络体验，以支持视频流、教学图像和高质量图片等，同时具备较好的可升级性。3、建设好的校园网需具备教学、管理和通信三大功能，同时注意业务网和管理网的逻辑分离。为用户提供高质量的丰富的网络服务以满足软、硬件资源共享的需求。在教学方面，校园网应提供较为完善的图书、文献查阅及检索服务，以提升图书馆数字化能力，方便职工的教学、科研工作和学生的远程学习、自主学习需求，增强信息处理能力；在管理方面，为管理人员提供各项事务处理的平台，以实现教务、财务、学籍、资产和行政事务管理的自动化和数字化，同时满足个管理层间的信息交互需求；在通信方面，保障网络内部PC间的通信效率以及网内计算机与外网的告诉连接，使网络能够高效地接入Internet，同时，为了方便校园内一些科研工作的顺利开展，网络也应具备通信的安全性，以阻止外网对校园网的恶意攻击。4、在网络结构和整体规划上，网络应该具备较高的灵活性。如前所述，现代高校融合和扩展频繁，并且在地理位置上较为分散，因此网络应该具备较高的灵活性和可扩展性并具备，以适应高校不断建设的需求，并且网络在扩展和升级时具备较低的建设成本。第二章 系统总体设计一、设计原则校园网络在建设时应遵循以下原则：先进性原则：运用先进成熟的网络通信技术进行组网，满足用户对于数据、图像、语音、视频等多媒体应用的需求。设计方案能使网络具备高性能、高可靠性。标准化原则：采用符合国际统一标准的设计方案。设备兼容性和可升级性原则：设备能够适应主流技术的发展趋势，并能为不同应用场景下的为不同类型的网络设备提供接入和互连手段。经济性原则：网络设备、技术更新换代速度极快，构建一个经济适用的网络可以降低网络更新、扩展、升级所需的成本。安全性原则：网络能提供数据、应用、设备和系统的安全保障灵活性和适应性原则：交换机和路由器产品支持先进的虚拟网络技术，网络系统可以通过软件快速便捷地将用户或用户组从一个网络转移到另一个网络，可跨办公室、楼宇而无需硬件改变，以适应园区的需求变化。同时可以通过平衡网络流量提供高性能网络。二、设计概述在本次校园网络设计中，系统总体选用三层网络结构设计方案，采用IPv4专用地址和IP地址动态分配方式结合DHCP技术实现，运用子网技术和VLAN技术对网络进行逻辑划分，针对校园网络中大量的用户需求，采用OSPF路由方式，采用结构化布线系统。同时运用VPN和NAT技术实现校园专用网络以及专用地址和公用地址的转换。主干网采用技术成熟的千兆以太网技术以适应校园网的高带宽需求。接入控制采用802.1X与RADIUS协议结合的方式。提供一条通过ISP接入CERNET网络和一条接入ChinaNet的链路。在网络安全设计方面，目前主要存在网络窃听、完整性破坏、地址欺骗、拒绝服务攻击、计算机病毒和系统漏洞等隐患，针对这些问题，提出身份验证、数据完整性、跟踪审计、信息加密、防火墙等技术来保障校园网络的安全。从网络结构划分角度上，运用外网和内网的隔离实现对内网用户信息的保护和对外网用户访问内网的控制。服务器是网络上存放各类信息资源的特殊计算机，在网络中处于主导地位。因此服务器的选择和普通网络通信设备的选择有着较大差别。首先，服务器对网络的影响体现在应用层，网络通信设备体现在数据链路层或网络层；其次，服务器对网络的影响是整体的，通信设备的影响是局部的。因此在服务器设计时应注意遵循可管理性原则，可用性原则以及注重服务器的服务、性能和整个方案的成本。第三章 网络系统建设方案一、IP地址规划及VLAN划分IP地址规划是网络逻辑结构的一个重要步骤，影响到网络层寻址和路由，影响Intranet/Extranet的正常运行。因此在对网络IP地址进行规划之前应首先考虑以下几个问题：1） 网络是否用真实地址接入Internet2） 网络是否需要划分为若干子网3） IP地址采用静态还是动态分配方式4） 每个子网现在需要规划多少个信息点，将来会增加多少信息点对于第一个问题，考虑到运营商提供的合法IP地址有限，并不能满足校园网络中大量用户访问Internet的需求，因此网络需要采用共有地址和私有地址合的方式入网，并采用网络地址转换完成两类地址间的转换。对于第二个问题，考虑到电子科大校园具有多个校区，每个校区具有多个功能不同的区域，子网划分能使不同区域的网络管理更加有效，因此在校园网设计中将引入子网划分技术。此外为了进一步提升各部门间的连通性，网络的可管理性和灵活性，增强网络的安全性，降低网络移动及变更成本，VLAN技术也是在网络建设中必不可少的。考虑到校园网用户众多，网络用户移动频繁等特点，在IP地址分配方式上采用DHCP协议为用户动态分配IP地址，以解决静态配置IP地址繁琐、易出错和耗时长且不能适应并解决网络故障等问题。根据用户给出的网络划分要求，将网络划分成以下子网：校区建筑楼宇信息点数IP子网可用地址范围VLAN清水河校区/16教学办公区100/25262教师宿舍区200/24543学生宿舍区200/24544沙河校区/16教学办公区5028/25295411教师宿舍区100/252612学生宿舍区150/245413九里堤校区/16教学办公区5028/25295421教师宿舍区100/252622学生宿舍区150/245424二、三层交换网络拓扑层次结构的设计分为两种：三层结构而二层结构。在大型园区网络的设计像是校园网的设计当中三层结构能够有效地降低网络的复杂性，减少光缆的使用，增强网络的可管理性。在校园网中运用分层结构的优点是接入层路由器可以采用较小的设备，它们交换数据需要较少的时间，具备更强的网络策略处理能力。然而，分层拓扑结构会带来物理层内隐含的故障点，即某个设备或失败的链路会导致网络遭受严重破坏。克服单个故障点可以采用冗余手段，虽然这样会增加网络的复杂性。三层拓扑结构由核心层、汇聚层及接入层组成。核心层主要负责数据包的交换，因此设计时应注意不要在核心层执行网络策略、所有设备应具有充分可达性；汇聚层将大量低速的链接通过少量的宽带连接接入核心层，实现通信量的收敛、提高聚合点效率、减少核心层路由路径数量；接入层实现将流量馈入网络和接入访问控制。三、网络建设1、主干链路的选择校园主干网技术主要集中在FDDI、ATM、快速以太网、千兆以太网等，随着万兆以太网技术的飞速发展，万兆以太网也被列入了未来校园网建设的发展方向。相比于FDDI、ATM、及快速以太网技术，千兆以太网和万兆以太网技术能提供更高的带宽以支持更高的数据传输速率，且能够提供更小的延迟，满足用户的多种业务需求。下面就对这两种技术进行对比。千兆以太网千兆以太网与大量使用的以太网和快速以太网完全兼容，并利用了原有以太网标准中规定的全部技术规范，包括CSMA/CD协议、以太网帧、全双工、流量控制以及IEEE802.3中定义的管理对象。千兆以太网也支持流量管理技术，保证在以太网上的服务质量。千兆以太网还利用IEEE 802.1QVLAN支持、第四层过滤、千兆位的第三层交换。千兆以太网在充分保护现有网络基础设施投资上提供了完美的网络升级途径，由于其保留IEEE802.3和以太网帧格式以及802.3受管理的对象规格，使得企业在升级至千兆性能的同时，能保留现有线缆、操作系统、协议等。同时千兆以太网为用户提供了到Internet、Intranet、城域网与广域网更快速的访问万兆以太网万兆以太网技术与千兆以太网类似，仍然保留了以太网帧结构。通过不同的编码方式或波分复用提供10Gbit/s传输速度。所以就其本质而言，10G以太网仍是以太网的一种类型。万兆以太网是一种只能工作在全双工模式下，只能用光纤作为传输媒体, 并且不需要CSMA/CD 协议的以太网标准。因此与千兆以太网相比它能够提供更高的带宽，更快的数据传输速率和更低的网络延迟，同时它能够使校园网的数据中心延伸到更远的距离上去。并且它保持了以太网一贯的兼容性、简单易用和升级容易的特点。但是，由于万兆以太网尚处于发展初期，还存在着一些问题和不足：首先，在价格方面，目前一个10GE端口的价格是GE端口的100倍左右，尤其是在带宽得不到充分利用的情况下，会造成投资的极大浪费；再有，10GE要求设备具有强大的处理能力，而目前业界有些厂商推出的10GE端口并达不到真正的线速处理，带宽优势大打折扣。而相对于万兆以太网，千兆以太网技术的发展已经很成熟，且性价比较高高。因此，针对上述问题以及目前网络带宽需求不太迫切的现状，校园网络建设侧重业务和性价比，主干网仍采用千兆以太网方式。2、路由协议选择路由协议通过在路由器之间共享路由信息来支持可路由协议。路由协议按路由算法分为距离矢量路由和链路状态路由。距离矢量路由从邻居路由器角度看网络拓扑，逐跳增加距离矢量，收敛较慢，发送整张路由表给邻居，典型的协议有RIPv1、RIPv2、IGRP；链路状态路由的各个节点对整个网络拓扑有共同的认识，通过扩散链路状态信息给其他路由器计算最短路由，由于该协议是事件触发更新的，因此收敛快速，典型的协议有OSPF和IS-IS。RIP协议算法简单、但路径较多时收敛速度慢，广播路由信息占用的带宽资源也较多，适用于网络拓扑结构相对简单且数据链路故障率极低的小型网络，因此在大型网络中并不适用。而OSPF协议适应各种规模的网络，最多可支持几百台路由器；协议收敛速度快；由于OSPF通过最小生成树算法计算路由，因此保证了网络不会生成自环路由；OSPF在描述路由时携带网络掩码信息，因此OSPF不受自然掩码限制，支持VLSM技术；OSPF允许自治系统的网络被划分成区域管理，区域间传送的路由信息被进一步抽象化，从而减少了网络带宽的占用；OSPF支持等值路由和路由分级，支持报文验证和组播发送。因此，OSPF通常用于大规模IP网络组网。通过上面比较，结合校园网实际运用可知，在选取校园网路由协议时应选用更适合大规模校园网的OSPF协议。四、主干设备选型 网络主干设备的选择应遵循以下原则：1、提供稳定可靠的网络：要求网络主干设备能够提供物理层、数据链路层和网络层的备份技术。2、高性能：由于校园校区网络应用的特殊性,它对整个网络系统的性能要求相对来说比较高。为了支持数据、话音、视像多媒体的传输能力，以适应大量数据和多媒体信息的传输，主干网选用支持千兆以太网的交换、路由设备。在满足高带宽的同时，网络也应满足高吞吐率的需求；能够保证延迟及延迟抖动满足需求。3、QoS保证：随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证QoS，以支持这类应用。4、安全性：网络系统应具有良好的安全性。网络设备应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。主干网网络设备具有“防火墙”过滤功能，以防止网络黑客入侵网络系统，可对接入因特网的各网络用户进行权限控制。5、易控制管理：对于网络管理，要求采用智能化网络管理软件，实现对网络的自动监测和控制。并支持虚拟网络功能，对网络用户具有分类控制功能。6、IP Multicast：由于校园校区网络中包含许多多媒体应用通信，会存在许多的广播信息，占用大量的带宽资源。所以网络系统应能支持IP Multicast，可以减少网络中不必要的广播，节省主干的带宽。7、符合IP发展趋势的网络：校园网络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。在选择路由器时应选择全双工线速转发能力高、设备吞吐量和端口吞吐量高的路由器设备。同时经过之前的分析，路由器应该能够支持OSPF协议为主路由协议，并且能够支持多种备选路由协议。边界路由器应该能支持VPN功能，且选择压缩比高、压缩性能较好的路由器。基于校园网络存在的广播应用需求，路由器还需要能支持组播协议；同时，提供QoS保障；支持IPv6以顺应下一代互联网的发展趋势。最后，路由器应能支持更加强大的网络管理功能。在交换机选择时应考虑到交换机的MAC地址表容量、背板带宽、生成树协议、流量控制方式、VLAN能力、端口聚合能力、支持的协议和标准、部件冗余性和网管能力等性能指标。结合上述分析，方案提供的设备清单如下。序号产品名称型号数量接口类型 1Switch 40603C17709 96个自适应10/100/1000端口； 12个固定1000BASE-SX端口； 6个GBIC端口支持1000BASE-SX、1000BASE-LX或1000BASE-LH70 GBIC2SuperStack 3Switch 4900 SX3C17700612个自适应100/1000端口3SuperStack 3 FireWall3CR16110-9534锐捷二层交换机RG-S2126G 185Cisco2911/K932个外部USB闪存插槽1个USB控制台端口1个串行控制台端口1个串行辅助端口第四章 接入设计一、用户接入设计1、概述接入网从功能的角度主要分为两个部分，即接入承载功能部分和接入控制功能部分。接入承载功能部分主要使用链路层协议实现比特流传送的功能，近年来存在多种发展迅猛的宽带接入技术。宽带接入技术种类繁多，主要包括以太网接入、xDSL、WLAN接入技术和HFC接入技术等。由于校园网应用场景的多样化，在建立校园网的接入网时ADSL、以太网及WLAN接入技术都应纳入接入网设计当中以适应不同的应用环境。接入控制部分实现接入安全管理和运营管理等功能，其中AAA（即认证、授权、记账）管理是接入控制的核心，近年来审计和管理也被并入接入控制与3A并称为5A。接入控制机制主要分为两大类型，即PPPoE结构和802.1X结构。基于校园网络较为频繁的扩展需求，本方案选用IEEE 802.1X的接入控制方式以降低网络扩展带来的成本问题。2、802.1X接入控制基本原理802.1X+RADIUS接入控制方式基于802.1X协议，在交换机接入端口对用户进行接入控制，系统结构如下图：图4-1 802.1X+RADIUS接入控制结构 图中连接用户的以太网交换机必须支持802.1X协议实现对用户基于端口的接入控制，用户PC必须运行TCP/IP和802.1X协议。802.1X接入交换机与RADIUS服务器之间运行RADIUS协议，RADIUS服务器实现对用户的集中仲裁管理。协议的运行原理图如下图4-2 802.1X接入控制原理图802.1X协议接入端口逻辑上分为两个逻辑端口：受控端口和非受控端口。非受控端口始终处于连通状态，用来传送认证信息。受控端口默认状态为断开，认证通过后才接通，用于传送用户业务数据。因此，认证未通过前，用户只能通过接入交换机传送认证信息，接入交换机再通过RADIUS协议将认证信息传送到RADIUS服务器上，由RADIUS服务器进行认证，并返回结果到接入交换机。接入交换机根据返回结果控制用户接入，若认证成功，则接通受控端口允许用户接入，否则受控端口保持断开状态，拒绝用户接入，从而实现对用户基于端口的接入控制。3、特点802.1X协议具有以下优点：分布式部署模式可大大减少认证系统的故障率，可采用多小区、分布式集群部署；每台交换机的接入用户数量相对较少，负荷开销小，认证无瓶颈，速度快；组网采用全交换，可满足校园网的高速数据交换需求；认证采用交换机，无需经过骨干网，减少骨干网的压力；支持IPv6业务及组播；AAA认证系统的图形化界面操作简单便捷，不易出错；组播方式寻找NAS不存在欺骗和账号被盗的风险；不易导致全网瘫痪；可防止ARP等广播攻击的发生；可精确追溯用户上网日志；可提供用户访问内网资源免费、外网资源周菲的业务，内网资源的访问带宽不会被限速；未来扩容方便，节省投资。但该方案分布程度大，因此需要接入的交换机较多，认证通过后难以通过管理控制断开。4、实现方案在一个接入网段处的配置图如下图所示：图4-3 802.1X接入设计图其中作为RADIUS服务器的交换机和与其直接相连的交换机选择支持802.1X协议的SRG-3760三层交换机，与用户直接相连的交换机选择可堆叠的二层交换机RG-S2126G，RADIUS服务器与校园网、三层交换机相连的接口均选用1000Base-X端口，三层交换机与二层交换机也均为1000Base-X，二层交换机与用户连接的端口选用全双工自适应。这样建立的网络能够提供高速率的数据传输需求，同时二层交换机的堆叠功能可以大大提高端口密度和性能。二、 ISP接入设计校园网作为中国教育科研网（CERNET）的一部分，对CERNET网络具有资源共享的需求，因此能够建立一条到CERNET的高速网络是必不可少的；此外，校园网络同样具有对外部网络资源共享的需求，因此ISP（即互联网服务提供商）在为校园网提供到CERNET的同时，也能够提供一条到ChinaNET的接入。针对上述需求，本方案计划提供一条按国际流量计费的100M到CERNET的接入链路，同时提供一条包含8个合法IP地址，按包月制计费的到ChinaNET的接入链路。1、路由协议静态路由是指用户或网络管理员在路由器中手工配置的路由信息，路由明确指定了数据包到达目的地所必经的路径。静态路由不能对网络的改变做出反应，当网络的拓扑结构或链路状态发生变化时，管理员需手工修改路由表相应静态路由信息，否则静态路由不会发生变化，因此，静态路由适合网络规模不大或拓扑结构相对固定的网络。静态路由具有允许对路由行为进行精确控制、减少网络流量、单向路由和配置简单等特点。同时由于静态路由只能人工配置，因此也具备网络安全保密性高的优点。动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时地进行调整。常见的路由协议类型有：距离向量路由协议（如RIP）和链路状态路由协议（如OSPF）。动态路由具有无需手工维护、工作负担轻，可根据网络拓扑自动调节路由条目但耗费网络带宽资源的特点。根据上述不同类型路由的特点，结合校园网是一个网络规模较大且结构富于变化的网络类型，设计决定选用动态路由的方案以使路由器根据网络拓扑的变化自动调节路由线路。2、其他接入技术除了路由技术的支持，考虑到校园网在安全方面的需求以及接入ChinaNET网时合法IP地址的限制，在校园网接入Internet时还应提供其他方面的技术支持。1）、VPN技术首先校园网的建立需要运用到虚拟专用网（VPN）技术，即在公用网络上建立专用逻辑网络的技术。在校园网建设中运用虚拟专用网络是因其具有如下技术特点：首先VPN具有较高的安全性。VPN可以通过隧道加密、流量分离、分组认证、用户认证和访问控制等技术保证用户连接的可靠性和数据传输的安全性和保密性。其次，VPN能够为校园网提供不同等级的服务质量保证。由于校园网中的用户类型和需求较为广泛且网络流量存在某些时段上的高峰需求和一些时段上的空闲，因此VPN应能通过QoS进行流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。同时，VPN具备灵活性和可扩展性。若用户想与合作伙伴联网，在VPN下，只需双方配置安全连接信息即可，无需协商如何在双方之间建立租用或帧中继线路。使用VPN还可以降低网络架设成本。通过公用网络来建立VPN，可节省大量的通信费用，不必投入大量人力物力安装和维护WAN设备和远程访问设备。最后VPN具有可管理性。虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在校园内部也可以自己建立虚拟专用网。目前VPN的建设有三种解决方案，分别为远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN）。AccessVPN适合企业内部人员移动或有远程办公需要的网络；IntranetVPN适合进行企业内部各分支机构的互连；而ExtranetVPN适合需要对外部网络进行部署和管理。根据校园网的实际应用需求，组建VPN网络时建议选用IntranetVPN方案以实现校园各个校区、办公区域和教学区域的连接。校园网通过在网络中心搭建VPN服务器的方法来实现VPN网络。2）、网络地址转换（NAT）技术由于网络服务提供商只提供8个合法的IP地址，因此运用NAT技术不但可以解决IP地址不足的问题，将网络的私有地址转化成合法的IP地址，同时也能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。目前NAT具有三种实现方法，即静态转换、动态转换和端口多路复用转换。介于ISP提供的合法地址远远少于网络内部计算机数量，因此运用端口多路复用技术不仅能够最大限度地节约IP地址资源，同时，又可以隐藏网络内部的所有主机，避免来自Internet的攻击。因此校园网中的NAT技术将采用端口多路复用转换。3、防火墙技术为了进一步提升网络的安全性能，防火墙技术的运用也是必不可少的。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙能强化安全策略；有效地记录Internet上的活动，限制暴露用户点防火墙能够用来隔开网络中一个网段与另一个网段，这样，能够防止影响一个网段的问题通过整个网络传播；防火墙是一个安全策略的检查站，所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。在选择防火墙是应注意安全性、功能性、带宽时延、稳定性、管理配置方便性、扩展升级灵活性和品牌性等问题。校园网中的防火墙应具备连接百兆网络，千兆网络能力；具备很强的防黑能力和入侵监控能力；不光需要有能够防止内网访问非法的功能，还必需具有监控网络的功能；要让管理员易于管理。第五章 综合布线系统设计布线系统是网络建设和运营的基础。它采用一系列高质量的标准材料以模块组合方式将语音、数据、图像和部分控制信号系统用统一的传输媒介进行综合，经过统一的规划设计，综合在一套标准的布线系统中，将现代建筑的三大子系统有机地连接起来，为现代建筑的系统集成提供了物理介质。、本方案的布线拓扑选用多级星形模块化拓扑结构，使得其具有配置的高灵活性，只要进行互连配置，便可对系统做多种拓扑转换，在网络中实现包括总线形、星形、环形等若干形式的组合。根据本方案校园网的建设需求，在接入网选用非屏蔽超5类双绞线、信息插座、超5类信息模块。既能保证网络产品的结构化布线，又使网络具有易于施工、管理、维护的优点，网络安全性好，网络设备可实现零冗余，充分利用投资且扩展性好，方案的性价比高。在主干网选用OM2多模光纤和SC光纤接插件以适应1000M高带宽、低衰减、安全性等传输需求。综合布线系统主要由6个子系统构成：1、工作区子系统：从用户信息插座延伸至数据终端设备的连接线缆和设备器。校园网设计中工作去子系统设计采用增强型设计等级：（1）每10m2两个插座（语音和数据各一个）。新建筑物采用嵌入式I/O插座，旧建筑物采用表面安装式插座，插座距工作台小于3m，距离地面30cm.（2）跳线选用超5类UTP软线，RJ45插头，数量为插头数量的两倍加15%的，根据应用情况不同使用平行线和交叉线。2、水平子系统：从楼层配线间至工作区用户信息插座的线缆部分，由每层配线间至信息插座的水平线缆及其线槽、管、托架和工作区用的信息插座组成。水平线缆沿大楼的地板或天花板布线，以不影响美观为主。水平子系统采用星形拓扑结构，由为楼层配线间至各工作区的信息插座。系统采用超5类双绞线。水平线缆具有3种基本布线方案：直接埋管式、先走线槽再走支管方式和地面线槽方式。由于地面线槽方式造价昂贵且不适合楼层中信息点特别多的场合因此不适合校园网应用场景，因此校园网水平布线子系统采用前两种方式。3、干线子系统：由连接主设备间至各管理子系统之间的线缆构成，通过建筑物内部的传输线缆，把各个服务接线间的信号传送到设备间，直到主交换设备。垂直干线子系统一般在建筑物中预留的弱电井中布线。干线子系统包括干线线缆、干线通道及其他辅助设施。干线子系统的铺设选用封闭型通道，选用超5类大对数UTP电缆。4、设备间子系统：一个集中的总机房，连接系统公共设备，如PBX、主配线架、局域网核心交换机、数据中心服务器和管理员工作站等设备，以及干线子系统与这些设备的交接。设备间子系统设置时应考虑其位置、周围环境的温度、湿度、照明、噪声、电磁场干扰、供电、安全、建筑物放火及内部装修、地面、墙面、顶潮河火灾报警及灭火设施等因素。5、管理子系统：设置在楼层配线房间，是水平线缆与干线线缆交接的场所，由大楼主配线架、楼层分配线架、跳线和转化插座等组成。在设计管理子系统时应首先确定模块化系数；然后选择合适的接线硬件，计算其实用数量；设计管理间的位置包括干线电缆孔、电缆和电缆孔配置、布线空间、房间进出管道和电缆孔位置、110型硬件空间等；最后指定管理标识做好文档记录。6、建筑群子系统：建筑群子系统的设计需遵循以下几个步骤：（1）确定铺设现场特点；（2）确定电缆系统一般参数；（3）确定建筑物的电缆入口；（4）确定明显障碍物位置；（5）确定主电缆及备用电缆路由；（6）选择电缆类型规格；（7）确定备选方案劳务成本；（8）确定材料成本；（9）选取最优方案。建筑群子系统电缆铺设有四种方法：（1）管道电缆布线：提供最佳机构保护，任何时候都可敷设电缆且电缆的敷设、扩充和加固都很容易，保护建筑物外貌但挖沟、开管道和入孔成本很高（2）直埋布线：提供一定程度的机构保护，保持建筑物外貌但挖沟成本高，难以安排电缆敷设位置，更换、加固困难；（3）架空布线：在原本有电线杆的场景下成本最低但不提供任何机械保护，灵活性、安全性差，影响建筑物外观；（4）隧道内布线：在有隧道的情况下成本最低，保持建筑物外观但热量或泄露的热水会损坏电缆，可能会被水淹没。用户可根据实际需