校园网络现状分析与改进

1、校园网络现状分析与改进【 摘要 】：伴随着学校的日新月异，校园网络在学校的日常生活和工作中发挥了越来越大的作用。经过几期的建 设，校园网已经发展到了一定的规模。本文主要针对当前校园网的现状进行分析，分析中主要阐述了当前校园网 的现状、不足及升级目标。同时本人也参与一些网络的升级设计，如网络设备选型、设备配置等。在设计中主要 应用了核心冗余技术、以太网技术、生成树协议、 VLAN 划分及 IP 管理。【关键词】 ：网络现状、网络拓扑、设备冗余、网络技术、设备、配置前言 11. 福建师大福清分校网络需求分析 21.1 高校网络应用概况 21.2 学校的自然情况 21.3 学校校园网现有网络分析 3

2、1.3.1 当前校园网的状况 31.3.2 现有校园网的不足 41.3.3 网络升级的必要性，目的和任务及实现的功能 51.4 对 IP 网络的技术要求 61.5 项目开发计划时间表和分工情况 62. 福建师大福清分校网络升级方案设计 72.1 福建师范大学福清分校网络设计 72.2 校园网设计分析 72.2.1 校园网的功能要求 72.2.2 校园网设计依据及相关标准 72.2.3 校园网系统设计 112.2.4 校园网应用系统设计 122.3 校园网结构设计 132.3.1 校园网物理结构设计 132.3.2 校园网逻辑结构设 计 143. 福建师大福清分校网络升级硬件设计 163.1 交

3、换设备选型 163.1.1 核心层交换机选型 163.1.2 汇聚层交换机选型 173.1.3 接入层交换机选型 183.2 具体网络拓扑设计图 183.3 路由器选型 203.4 防火墙选型 213.5 服务器选型 213.6 设备清单及价格 224. 福建师大福清分校网络升级软件配置 234.1 路由器配置 234.2 IP 管理 . 234.3 生成树及 VLAN. 254.4 交换机配置 265. 收获和体会 286. 改进意见 29参考说明 29前言中国教育事业随着社会发展将会越来越开放，对学校的经营管理也逐步形成完善的现代化管理 模式。本方案是针对福建师范大学福清分校的现有应用结构

4、而设计的，在现有的基础上，主要使用 思科的网络产品，提高网络的整体性能；规划采用防火墙技术、 VPN 网关、杀毒软件和漏洞扫描技 术及结合操作系统的安全性来提高整个网络的安全和重要主机的安全；使用磁带备份保护系统数据 的安全，防止数据的意外损失；并实现网络的冗余及可升级性，实现主干设备的冗余、数据存储的 冗余等，所选用的网络设备有充足的带宽以满足网络扩容的需求，主干交换机还可通过升级模块的 方式实现轻松的升级和容量的扩充，千兆的网络带宽为用户的业务提供了充足的带宽，并为今后的 网络的扩展做了足够的准备，保护了用户的投资，提高了整体的性能和安全性。通过本次升级可进 一步提高管理效率，增强技术服务

5、水平，提高企业综合竞争力。随着国家信息化工作的深入开展， 提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键，尤 其是高校校园网建设。1. 福建师大福清分校网络需求分析1.1 高校网络应用概况计算机管理信息系统包括校本部的计算机通信局域网和计算机应用系统，大部分采用 100M/1000M 以太网来组网。主要的应用系统有（或将来） ：OA办公、生产管理、学生管理、保安 图像监控管理、图书馆管理等，全校将实现完全电子化管理。基于各类数据库平台的上述管理信息系统， 绝大部分都是基于 TCP/IP 的计算机应用系统， 随 着 Internet 的飞速发展， TCP/IP

6、 毫无疑问地成为主流， 基于 IP 的计算机通信网络成为管理信息 系统的最为重要的部分，计算机通信网络的好坏直接影响管理信息系统，从而影响日常教学活动 的正常运作。Internet 正在向我们生活的各个领域渗透，与此同时企业、政府、消费者和教育机构都在快 速向基于 IP 分组的网络操作转移。 无论对于 IP 话音 （VoIP）、基于 IP 的视频流、 基于 IP 的通信 工具， 还是对于 PC、膝上电脑、 蜂窝电话等 IP 平台、 IP 分组都已成为主流。 换句话说， Internet 的快速发展与普及正改变着公共通信网上和企业内部网的流量结构，语音信息在过去曾经占据主 导地位，但在 21 世

7、纪，数据 （IP） 将占据通信流量的主要部分。随着千兆网的逐步实施，如何有效、灵活建立高速数据网络是一个具有战略意义的课题，高 校的业务单位通常拥有 3 类应用：数据、话音和图象（工业电视） 。未来的技术发展，使采用 IP 技术可以同时承载 3 类不同应用成为可能，并且具有以下优点：采用 Internet 广泛应用 IP 标准，开放性好利用防火墙、 IP 地址过滤和路由器热备份等网络安全技术，确保调度安全IP QoS 及优先是分技术确保调度和远动等关键任务优先 实现数据、话音和图象全网自动交换，信息共享，构成学校高效率运作的基础设施 采用 IP 这一面向未来技术， 可以兼容现有设备， 保护现有

8、投资， 又可以保证网络在当前及将 来的技术先进性。 校园网是现代社会高校基础设施的重要组成部分 , 是提高高校教学科研水平和管 理水平的不可缺少的现代化手段和支撑环境 . 如何进一步搞好校园网的建设 , 充分发挥校园网的作 用, 是各个高等学校和教育主管部门正在探索和思考的问题.1.2 学校的自然情况福清学院为福建师范大学的一个分校，全校计算机数量逾 1000 台（不包括学生群体） ，信息 点近 900 个，目前主要楼宇有教学楼、图书馆、科学楼、昌檀楼等，规划区内部局域网都是一个 独立的网络，相互之间并不联通，其它还有 11 幢学生宿舍楼， 8 幢教师宿舍 .学校的平面示意图如图 1-1 ：图

9、 1-1 学校平面示意图信息点分布表 1-1 ：大楼信息点到网络中心的距离 /m教学楼40150图书馆200100科学楼250150外语楼20100昌檀楼300在同一楼内实验楼40100教师宿舍 A84350教师宿舍 B167300表 1-1 信息点分布表 注：以上除教师宿舍信息点为确切的数据外, 其它均为本人对学校的了解进行的估计。目前，以上各楼群内部综合布线采用的是 5 类双绞线，学院内的室外布线都是通过光纤连接到网络中心。1.3 学校校园网现有网络分析1.3.1 当前校园网的状况 校园网是福建师范大学福清分校的信息基础设施，是实现学校现代化管理的强有力保证。学 校一直以来非常重视校园网的

10、建设。经过三期的建设，基本可以满足当时的网络需求。其网络拓 扑图如下（图 1-2 ）：图 1-2 现有校园网拓扑图 由于学校数据吞吐量大，又离本部较远，所以学校采用一般的校园双端口接入方式 , 用一条 2M光纤连接到师大本部， 另一条用百兆光纤作为福清电信的局域网方式接入internet ，实现网络高速运行。 中心结构主要以华为 ls-3026 交换机为中心， 单点以星形方式连接校园各个功能单位。 各楼房交换机用 100M光纤连接到中心机房的三台普通企业级路由上，可以实现子网内高速互联。 楼房内部均用 5 类双绞线连接楼房交换机与用户计算机，带宽均可达百兆。1.3.2 现有校园网的不足 目前，

11、福清分校的网络由低端的锐捷交换机构成一个平面型的网络结构，没有层次化设计的 网络结构其存在许多缺陷 .从网络拓扑结构看，网络管理员很难对网络进行整体管理，一旦出现故障，将很难做出快速 排查。其中最至命的是网络存在单点故障，一旦中心的交换机出现故障，整个网络立刻瘫痪（如 图 1-3 ）。在平面型的网络结构下，网络中心交换机负载所有的数据处理任务，不能够实现对数据 的高速转发传输。图 1-3 中心结构图从网络设备方面看：大部分的设备已经不能满足现在学校对网络传输的需求，如中心换机只是一台普通华为交换机，转发率不高，最大只为100M，实际上不可能达到 , 所以即使拓扑结构是树形结构，网络数据的交换也

12、不会多快。而且连接这些交换机和路由器的通迅线路都是百兆双绞 线。在这样的设备下，中心的网络中心通迅带宽仅为百兆。这将是实现网络高速吞吐的瓶颈。还 有租用网络的带宽太低，如学校与师大本部的通迅带宽才2M，而学校师生有 5000 多人，平时至少也有一百多人同时会使用，这也极大限制了我们学生与师大本部信息资源的共享。从网络设置管理方面看：学生可随意修改 IP 地址，容易造成 IP 地址冲突现象；广播风暴比 较严重，造成带宽的浪费，一旦某台学生电脑中毒将影响整个网络；而且没有统一的网络管理软 件，网管也很难统一对网络的整体管理。从网络应用方面看： 学校提供的校园网络服务内容太少， 如缺少校园邮件服务，

13、 文件服务等， 而且还没提供学生宿舍宽带接入，学生只能用电信的电话拨号上网。一、不方便学生上网，也不能规范和监督学生上网； 二、不能实现以网养网的目标，节约学校对网络的投资成本。 从网络安全方面看：没有防火墙，网络安全性非常脆弱，服务器防病毒能力差，非常容易遭 受到攻击，包括外网和内网对服务器的攻击。没有网络服务质量（QoS）的管理 .1.3.3 网络升级的必要性，目的和任务及实现的功能 基于当前学校的发展，对校园网络需求起来趍，且当前存在的诸多不足，学校网络升级改造 显行非常必要。这可以从前一阶段校园网络的通信状况就可知道。在新的网络下必须能够满足教学、管理和通信三大基本功能。 教师可以在学

14、校的任意的一台计算机上方便地浏览和查询网上资源，因为进行教学和科研工 作必须可以调用网上资源，还可以通过网络对学生的学习进行指导。学生可以在计算机实验室、图书馆、教室、电子阅览室等地方方便地浏览和查询网上资源， 但不能在教师办公室上网，学生通过网络可以进行网上学习并能和教师进行网上讨论。学校管理人员可以方便地对教务、行政事务等进行综合管理，同时各楼办公室的计算机可以 进行数据信息交换，初步实现办公自动化。总之，该校园网主要包括以下建设需求：实现高速的 Internet 和 CERNET出入；实现稳定的快速的 DNS、 E-mail 等多项网络服务；建设校园 BBS，促进校园文化的健康发展；拥有

15、透明出口措施，学生用学生证注册上网帐号，能够详细记录上网访问日志； 对外部资料实现管理，实现 VOD服务； 整个校园网主干实现千兆传输，百兆光纤到楼宇, 百兆交换到桌面；拥有高性能的网络设备，有足够的设备冗余；有条件的话还可以实现无纸化办公， 如安装 OA办公系统 , 教学网络化及有网络化的学习平台； 除以上要求外，还要求建成后的校园网具有一定的技术前瞻性和系统冗余度，以适应未来的 发展和应用需求。1.4 对 IP 网络的技术要求根据上述总体要求， 在技术上必须提供相应的支持和保证。 整个网络在技术上定位为基于 IP over Gigabit Ethernet 传输的 IP 的光学网络，以光纤

16、为主干传输介质，以 Gigabit Ethernet + IP 为核心传输方式，可以充分的满足网络的需求。在设计本网络时，还要考虑的 IP 网络的优化。 IP 优化至少包括如下几个要素： 网络体系结构以 Gigabit Ethernet 为设计基础，体现在网络层的多层次化体系结构。 网络层次的优化，使用华为或思科各自专有的QoS( Quality of Services )来保证传输层网络的数据图形语音的正常传输。良好的网络拓展和兼容性。可以从上向下的无缝兼容，在合理的QoS控制下，根据不同的服务类型启动不同的控制协议，比如图像传输方面，可以通过IGMP组播协议和 RSVP资源预保留协议进行优

17、化和控制，对于数据和声音可以采用PQ,CQ,WFQ等排对称技术最大限度的传输各种数据包充分利用光纤的带宽。稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力，快速恢复网络连接， 避免路由表颤动引起的整网震荡，提供符合高速宽带网络要求的可靠性和稳定性。1.5 项目开发计划时间表和分工情况开发时间表如表 1-2 ：项目描述时间论题确定根据自己的情况选择论题第七学期末资料收集收集与论题有关的资料第七学期末框架设计确定论文的整体结构，要点第七学期末网络现状调查调查了解学校现有网络状况，为论文做分析依据第八学期初现状分析根据收集学校现有的情况进行分析年初 3 月硬件设计根据分析方案结果，确定升

18、级硬件年初 3 月配置设计在新的网络结构下，配置升级硬件年初 4 月论文整理在完成论文的大体内容后，进行整理年初 5 月表 1-2 开发时间表分工情况： 在分析校园网络管理方面，本小组有四人参与，其中又分成两组： 一组做网络服务质量( QoS)与安全； 一组做网络现状分析与升级改进； 本人与另外一个同学分在第二组里，主要做网络现状分析，同时也参与校园网的升级设计。2. 福建师大福清分校网络升级方案设计2.1 福建师范大学福清分校网络设计校园网的建设可以分为两部分。第一部分为硬件建设，如各种网络设备、服务器的选购及连 接以及综合布线等；第二部分为软件建设，如各种应用软件、网络操作系统、教务管理系

19、统等的 选择；软件应用需求是选择硬件设备的基础和依据，只有将硬件系统和软件系统有机地结合在一 起，才能充分发挥校园网的最佳性能。从某种程度而言，软件建设的好坏决定了校园网建设的成 败。2.2 校园网设计分析2.2.1 校园网的功能要求实现高速的 Internet 和 CERNET出入； 实现内部千兆校园网主干，百兆交换到桌面； 提供校园、 DNS、 E-Mail 等服务 提供校园 BBS等教师和学生交流学习的平台； 增加学生宿舍的接入； 增加校园无线局域网；2.2.2 校园网设计依据及相关标准网络技术介绍一 、网络设备中常用的网络技术（ 以思科设备来说明 , 这些技术会在网络设备配置中用到 ）

20、1. 三层交换机的 VLAN间路由和 VLAN间访问控制 （VLAN ACL） 访问列表有三种类型的划分，包括RACL（路由器的访问列表） ， QoS的访问列 表，和 VLAN的访问列表。 路由器的访问列表可以被用于子网之间的数据包过滤， 但是不能在一个子网内作过滤 VLAN 的访问列表，用于在一个 VLAN的子网内实现过滤。2. 利用 HSRP为主机 实现冗余网关和负载均衡服务HSRP, 热备路由协议，是思科公司的私有技术，用于出口点互切。 主要的应用场景是公司有两个 路由出口，正常应用的时候企业内的用户走其中的一个主连接，当主连接出问题的时候，自动切 换到另一个路由出口 .3. 利用交换机

21、的 PRIVATE VLAN功能实现同一物理网段的主机之间的隔离和到公共端口的访问.在很多企业网络的应用中， 出于安全和简化 IP 地址规划的考虑， 会有这样的需求： 希望同一物理 网段上的主机之间的通信能够互相隔离，但是又希望这些主机都能够访问一个公共端口（网关或 服务器端口） ，所有这些主机和服务器端口都位于同一个 IP 子网内，这样即实现了第二层的通信 隔离，增加了安全保护， 又不需要规划多个 IP 子网用于主机隔离。 利用思科交换机的 Private Vlan 功能，可以轻松实现以上需求。本主体的基本概念和配置要点：Private VLAN ports:Promiscuous port

22、sIsolated portsCommunity portsPrivate VLAN types:Primary VLANIsolated VLAN Community VLANConfiguring Private VLANs.4. 利用动态访问列表实现高级的访问控制 如何在一台普通的路由器上实现一些高级访问控制 , 比如带时间控制的访问列表 , 动态访问列表 , 类似于防火墙的会话过滤访问列表 , 本主题将深入讨论解决以上需求的思科 IOS 高级访问列表技 术, 并使用真实的实验设备来验证这些高级访问列表功能。例如： 带时间控制的访问列表( time of the day access-l

23、ist)动态访问列表( Lock-and-Key Security )IP Session Filtering( Reflexive Access Lists)。5. AAA服务和安全服务器协议 (radius/tacacs+)AAA(验证、授权、记账)网络安全服务提供了一个实现身份认证以及访问控制的主框架。AAA使用 RADIUS、 TACACS等+ 协议来实现对网络的访问控制。本主体的基本概念和配置要点： Authentication, Authorization, and Accounting (AAA) 服务的概念 TACACS与+ RADIUS的比较 AAA 在 Cisco 路由器上

24、的实施6. IPSec VPN虚拟专用网( VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接， 是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安 全连接，并保证数据的安全传输。虚拟专用网可以大幅度地减少用户花费在远程网络连接上的费 用。本主体的基本概念和配置要点： IPSec VPN 的基本概念 IPSec VPN 在企业中的应用 利用 Cisco PIX 实现远程用户的 VPN连接7. 高级路由协议 OSPF的基本原理和实现随着 Internet 技术在全球范围

25、的飞速发展， OSPF已成为目前企业网采用最多、应用最广泛的路 由协议之一。OSPF路由协议是一种典型的链路状态( Link-state )的路由协议，一般用于同一个路由域内。在 这里，路由域是指一个自治系统( Autonomous System)，即 AS。在这个 AS 中，所有的 OSPF路由 器都维护一个相同的描述这个AS结构的数据库， 该数据库中存放的是路由域中相应链路的状态信息， OSPF路由器正是通过这个数据库计算出其OSPF路由表的。8. 利用交换机的 SPAN功能进行流量监控 ( 端口镜像 ) SPAN，交换端口分析器，是一种流量镜像的技术。实现该技术的目的是监控网络的性能，用

26、于优 化企业网络。常见的抓包工具，比如 sniffer 等只能捕捉到一个碰撞域内的流量，如果公司的网络都是用交换 机互联的，就不能进行监控。通过SPAN技术，可以把流量镜像到流量分析器。主要的技术有本地 SPAN和远程 SPAN( 以上摘自 Internet 有做改动 )二 、网络组建中常用的网络技术分析(1) 以太网络技术 早期局域网技术的关键是如何解决连接在同一总路线上的多个网络节点有秩序也共享一个信 道的问题，而以太网络正是利用载波侦听多路访问 / 冲突检测( CSMA/CD)技术成功的提高了局域 网共享信道的传输利用率， 从而得以发展和流行的。 特别是近几年来交换式以太网和100M快速

27、以太网的广泛应用， 使以太网络成为当今局域网应用较为广泛的主流技术之一。然而, 以太网络在发展早期所提出的共享带宽、信道争用机制限制了网络后来的发展，即使是近几年发展交换式以太 网技术和 100M快速以太网技术也不能从根本上解决这一问题，具体表现在：i. 不提供服务质量保证( QoS) 以太网提供的是一种所谓“无连接”的网络服务，网络本身对所传输的信息包无法进行诸如 交付时间、 包间延迟、 占用带宽等等关于服务质量的控制。 这种传送方式就像邮局递送信件一样， 信息包一旦交给传输介质，无论是发送端还是接收端都无法再对中间的传输过程进行任何有效的 控制，这就是所谓没有服务质量保证。而且以太网的包长

28、度本身是不确定的，这就导致网络设备 对每一个帧的处理和转发延迟处于随机、不可控制状态。这两个因素的存在，使得以太网的帧在 传输时的延迟和延迟的突发变化方面显得非常严重。以太网对传输过程的不可控性和对帧处理延 时的过多抖动都不适于现在大量涌现出的具有较强定时性要求的多媒体信息的传输。ii. 带宽利用率较低 对信道的共享及争用机制导致信道的实际利用带宽远低于物理提供的带宽，虽然基于 CSMA/CD机制的以太网可以使网络节点对带宽的争用以一种“秩序”进行，但其带宽有效利用率 仍低于 10%。以太网的交换技术可以降低争用的几率，但为了与原有网卡及应用软件相兼容， CSMA/CD仍必须存在，且交换中对转

29、发端口的定位是在动态学习、动态刷新中进行的，这就使在 统计上仍存在大量的包是以共享争用的方式传递的。引入交换技术可使利用率提高至20%-50%。除以上两点以外，以太网传输机制所固有的对网络半径、冗余拓扑和负载平衡能力的限制以及网 络的附加服务能力薄弱等等，也都是以太网络的不足之处。但以太网成熟的技术、广泛的用户基 础和较高的性价比， 使其仍成为传统数据传输的网络应用中较为优秀的解决方案。 现在，传统 10M 以太网的应用越来越少。在网络应用中，比较流行的以太网技术是：100M快速以太网和千兆以太网。(2) 千兆以太网络技术 千兆位以太网应用于大中型网络， 能把现有的 10Mbps以太网和 10

30、0Mbps快速以太网连接起来。千兆位以太网采用同样的 CSMA/CD协议、同样的帧格式，是现有以太网最自然的升级途径，使用 户对以太网原有设备管理工具的投资得到保护。千兆位以太网是超高速主干网的一种选择方案。在数据、话音、视频等实时业务方面，它虽 然不能提供真正意义上的服务质量保证(QoS)，但千兆位以太网频宽较高，能克服原以太网的一些弱点，提供服务保证等特性。IEEE802。3Z 工作组已确定了以下一组规范，统称为1000Base-X。1. 1000Base-LX: 多模光纤传输距离为 550 米，单模光纤传输距离为 3000 米。2. 1000Base-SX： 62.5 微米多模光纤传输距

31、离为 300米， 50 微米多模光纤传输距离为 550米。3. 1000Base-CX: 用于短距离设备的连接，使用高速率双绞线铜缆，最大传输距离为25 米。4. 1000Base-T ：5类铜缆传输最大距离为 100 米。 千兆位以太网支持交换机之间、交换机与终端之间的全双工连接，支持共享网络的半双工连接方 式，使用中继器和 CSMA/CD冲突检测机制。对于大多数用户而言，花费很少的投资就可将现有的 网络升级至千兆以太网，并且不需在通信协议上进行额外的投资。千兆位以太网联盟为千兆位以太网的应用提出以下几种方案：a) 更新快速以太网主干网：更换核心交换机，全面提高原有网络性能。b) 用于交换机

32、到服务器链路：服务器使用千兆位以太网卡，直接与千兆位以太网交换机相接，提供每秒百万个包的处理能力。c) 千兆位以太网到桌面台式机： 高性能工作站安装千兆位以太网卡， 直接与千兆位以太网相连。d) 用于交换机之间的链路：千兆位以太网交换机用光纤相接，提供一条高性能主干线路。e) 更新 FDDI 主干：留现有光缆，提高带宽 10 倍。 上面两种网络技术的分析摘自书籍计算机网络工程典型安全分析还有一种是 ATM技术， ATM在现有技术水平上已获得成熟的发展。 不过， ATM有一个不足之处 就是，采用 ATM技术来构建网络主干，需要较高的成本，其经济可行性较差。这对所建的中等规 模仿小的网络就更是如此

33、。基于我们学校目前的发展情况， ATM 虽好，但并不合适，成本太高也 还没有那多的需求。且学校原有的网络也都是基于以太网和快速以太网而建的，因此，我们使用 千兆以太网为校园网主干，百兆到桌面，来平滑升级现有网络。即可以保护原有投资也达到升级 的目的。这是我们升级中不二的选择。升级的设计依据：1) 根据学校现有的业务量与业务类型，估算出网络大约需要的交换能力和功能。 学校的业务主要有：校园网的 Internet 接入包括使用 ChinaNet 和 CERNET从, 学校现有计算机数量看， 最大并行访 问 Internet 的计算机数量大概在 500 台，以百兆光纤出入 Chinanet 是有些拥

34、挤，不过大多数时 间内不会有那么多台同时访问，而且还可以通过交换机带宽配置，来分配各个单位的上网需求， 因此目前的带宽还是可以满足用户的上网需求。 不过接入 CERNET的带宽就显得过小了， 虽然访问 的人没有访问 Chianet 的多。校园内部的 BBS、 E-Mail 等，这些网络服务均可对内外开放，而且是学生群体比较活跃的区 域，网络的通迅量较大，需要较大的带宽；学校内部日常的管理系统，如教务管理系统，学生学 籍管理系统等，这些也是师生访问较多的网络服务；校园网内的文件传输等内部通信也需要很大 的带宽。将学生宿舍的宽带接入也是校园网重要的功能模块，它所需要的带宽也是很庞大的 . 随着社会

35、发展，移动办公也越来越普遍，增设校园无线局域网也是势在必行的。而且校园无线局域网也可以方便那些早期没有安装网络通迅线路的建筑接入校园网。 经过以上分析，将校园内部主干网升级为千兆是十分必要的。2) 根据业务量与业务类型的发展，估算出五年内网络大约需要的交换能力和功能 在此次升级中，我们都将使用一些能够充分满足当前网络通迅及应用服务的网络设备，又能够在 相当长一段时间内保持技术的先进性，能够满足今后学校对网络的扩展需要。3) 依据网络分级原则，确定核心、会聚、接入各层设备所在位置与策略。 该次升级方案中，彻底改变了校园网络的主干拓扑结构，摒弃了以前那平面型的拓扑结构，采用 当今主流的三层网络结构

36、，即核心层、汇聚层、接入层结构。网络中心还是设在昌檀楼，所以核 心层设备也自然设在该楼内 . 汇聚层接入层设备根据新的网络拓扑及子网划分， 具体安放在后面的 章节中说明。4) 根据以上三点，以及充分利用现有的网络设备的前提下，确定对所需网络设备的要求和投资 估算，以此来确定设备的供应商，并在满足现有业务的同时，确保网络可以以较少投资平滑 升级。5) 根据前面的对网络现状的分析，需要对不足的地方加以改进。这里主要对核心冗余、无线接 入、网络安全加以说明。a) 核心冗余， 从图 1-3 可以清楚的知道， 学校所有出入 Chinanet 和 CERNET的数据都必须 通过 ls-3026 交换机，一

37、旦该设备出现故障，整个网络将瘫痪。为应对该问题，我们采用核心 冗余技术(如图 2-1 )，通过设置 HSRP协议，即使核心交换机有一台出现故障，网络会自动切 换到另一台核心交换机上， 保证网络通畅。 我们使用的冗余交换机都可以工作在三层， 支持该 协议。图 2-1 核心冗余图HSRP技术分析HSRP：热备份路由器协议( HSRP：Hot Standby Router Protocol)热备份路由器协议 (HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、 并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的 连通性。 换句话说， 当源主机不能

38、动态知道第一跳路由器的 IP 地址时， HSRP协 议能够保护第一 跳路由器不出故障。 该协议中含有多种路由器， 对应一个虚拟路由器。 HSRP 协议只支持一个路由 器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器( Active Router )。一旦主动路由器出现故障， HSRP 将激活备份路由器( Standby Routers )取代主动路由器。 HSRP 协议提供了一种决定使用主 动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如 果主动路由器出现故障，备份路由器( Sta

39、ndby Routers )承接主动路由器的所有任务，并且不会 导致主机连通中断现象。HSRP 运行在 UDP 上，采用端口号 1985 。路由器转发协议数据包的源地址使用的是实际IP地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别 .( 摘自 )b) 无线局域网，校园内加入无线网络，一方面可以方便师生在校园内的移动入网，也可以 使那早期没安装网络接口的建筑， 如外语楼， 13、14 号楼。从学校的自然布局和办公情况看， 将无线接入点分别设在学生公寓楼和外语楼。外语楼主要面向本楼接入和科学楼外来领导的 移动接入。公寓楼可供 13、14 及主席台的接入。c) 网络安全，在没有防

40、火墙的网络下，网络安全性非常脆弱，服务器防病毒能力差，非常 容易遭受到攻击。 加入硬件防火墙可以对出入校园网数据包进行监控、 过滤， 最大程度的屏 蔽内部网络的信息、结构及运行情况，以此来保护网络安全；它具有控制对系统的访问，集 中安全管理，增强的保密性等功能。2.2.3 校园网系统设计 网络系统设计方案主要包括校园网内部网络和 Internet 接入两部分的设计。( 1)校园网内部网络设计 校园网内部网络是组建在学院校园内的计算机应用网络， 可以采用 Intranet 方式建设校园网 内部网络。对本分校而言，几乎包括所有的建筑楼群：如教学楼、图书馆、科学楼、外语楼、昌 檀楼、实验楼、教师及学

41、生宿舍楼等。根据福清学院对网络应用的需求，主干可以采用千兆以太网结构，每栋楼与网络中心用多模光纤连接，百兆交换到桌面。在升级设计中， 针对现有的不足， 我们采用分层次的网络结构和冗余设计技术， 如采用核心、 汇聚冗余。还有无线局域网的引入，也是逐步完善校园网络的一个举措。( 2)校园网接入 Internet 设计 学校校园网采用双端口方式，一个接入师大本部教育网，一个作为福清电信的局域网方式接 入福清电信，校园网核心交换机及路由器都存放在网络中心，所有楼的光纤均连接到网络中心。 并申请相应的域名和 IP 地址。内部网络的 IP 地址由保留地址和真实地址混合使用，保证内部网 络的安全。2.2.4

42、 校园网应用系统设计(1) Internet 应用 学校向域名注册代理商申请 Internet 域名后，通过配置相应设备便可以向校内外提供DNS、和E-Mail 等服务。网络操作系统可以选择 Microsoft 的 Windows 系列或 Linux 。在服务器上，每一 个服务可以由一台服务器来完成；也可以由一服务器来同时完成几项服务。这些是对校内外开放 的。另外一些主要面向教学或学生工作的服务，可以另外设一些专门的服务器，如：学生学籍管理系 统、教务管理系统等，这些可以视需要决定是否向外开放。(2) 视频点播、教学讨论 BBS及其它 校园网视频点播系统，可以使学生通过电脑在校园内任何地方进行

43、教学课件的视频点播，进一步 提高学生的学习积极性。校园 BBS服务，可以使每位学生教师都可以在BBS上书写信息、提出看法、讨论教学问题，增强师生间的教学交流。校园网还以提供许多其他服务 ( 可选) ，如网络课件库、网络试题库、精品课程点播以及远程教学 等，进一步推动教学手段的改革。(3) 网络管理 随着校园网的不断扩大，对校园网中网络设备的管理成为校园网管的重要任务，可以通过网络管 理软件实现对全校所有网络设备的集中式管理。网络管理集通信技术、网络技术和信息处理技术于一体，通过高度和协调资源，进行各项管理活 动，以达到使网络可靠、安全和高效运行的目的。由于我们在升级中主要使用 Cisco 的产

44、品，可以用 CiscoWork2000 这个网管软件来统一管理，它 可以管理 Cisco 的基于 IOS 操作系统的连接设备。使用方式是 Web管理方式，所以在安装完网络 管理服务器后可以在任何有网络连接的机器上进行网管监控。(4) QOS管理流量管理也是一个非常重要的工程， 如何有效的、 合理的管理网络中 ip 流量将有助于网络整体性 能。实施 QoS，首先必须进行 QoS的总体规划，其规划原则可如下 : 第一，根据不同业务特性在网内实施针对业务类型的业务分流，目前可考虑的业务类型可以分为 VoIP 语音、视频、专线互联及互联网接入等。另外，还必须考虑到网络本身还存在管理和控制信 令等，这种

45、消息流与 VoIP 数据流具有同等的 QoS保证需求。第二，在接入网的汇聚层实施业务VLAN策略，并根据业务及流量特性对业务VLAN进行合理的带宽规划。第三，不同用户实施不同的 QoS:对于重要的服务器、教师机通信等，在汇聚层实施独享带宽和独 立逻辑通道的二层 QoS策略。第四，不同业务类型实施不同的QoS。(5) 用户上网需求 校园网的主要用户是教师和学生，学校可增设一个透明网关或认证服务器来对用户身份认证及上 网计费。同时包括无线接入的认证 .2.3 校园网结构设计校园网结构设计主要指网络的物理结构设计和逻辑结构设计。在完成对校园网的网络现状分 析后，就可以有针对性的进行物理和逻辑上的规划

46、设计，进一步完善校园网络。2.3.1 校园网物理结构设计 根据前面对校园网络现状的分析，可以知道校园网内有多少建筑，各建筑内包含多少信息点 以及它们的分布情况，可以知道校园网的功能及其应用。对些我们就可以做出相应的升级拓扑设 计。此次升级物理上主要是对网络设备及通信带宽的升级（对于设备选择在第三章中介绍） ： 升级核心路由器，采用思科优质的产品C3600系列 .采用思科双 C3750核心交换机做冗余技术 ; 汇聚层也采用思科 C3550原有的可当备份用 ; 接入 层采用 C2950 系列。各层设备都具有千兆以太网端口。增加 3A 身份认证服务器，增加校内外学生宿舍的校园网接入和校园无线局域网接

47、入。 引入防火墙机制，提高校园网的安全性。在通信线路上， 此次将校园主干网都升级为 1000M以满足学校对网络的需求。 接入福清电信 仍为原有的百兆光纤，不过只要更改光缆的带宽就可以使网络升级到更高的带宽；路由器与 核心交换机间采用 1000Base-T 铜缆连接； 核心交换机与汇聚层交换机间采用 1000Base-LX 光纤连接 （在同一室内可用优质双绞线） 。校内各网络服务采用 100M双绞线连到核心交换机。 汇聚层交换机所在的楼房内直接采用 100 双绞线连接到接入层交换机，其它楼房的接入层交 换机则用 100M光纤连接到该汇聚交换机上。升级物理拓扑图（如图 2-3 ）图 2-3 升级后

48、网络拓扑图2.3.2 校园网逻辑结构设计校园网逻辑结构设计主要是 IP 子网网段的划分， 根据校园网实际应用需求实现 VLAN的设置。 从校园网的安全性、 IP 地址的可管理性和 IP 地址资源的有限性出发，将整个校园网络划分 成若干个子网网段并对 IP 地址进行有效的管理是十分必要的。子网网段划分一般应遵循以下原则： 需要对外开放的服务器划分在同一网段，并分配真实的 IP 地址； 除接入 Internet 的路由器外，将其它所有网络设备划分到私有的网段； 将不对外开放的服务器划分到专有网段中，其地址对外是隐蔽的； 最好将不同部门的机器划分到不同网段中； 划分的子网应使 IP 管理简单，同时也

49、要避免 IP 地址的大量浪费； 可使用子网掩码将几个 C类地址分给同一个大的子网， 或将一个 C类地址分给几个小的子网； 校园内部网 IP 地址使用保留地址，连接 Internet 的子网采用真实 IP 地址。 以下为学校升级中，对学校所有网内计算机的子网划分情况：子网划分如表 2-1 ：序号VLAN号子网名称包含的信息点1DMZ区服务器子群连接 Internet 的所有对外开放服务器，为真实 IP 地址211服务器子网所有只对校内开放的服务器，为保留 IP 地址312网络设备子网除路由器外所有网络设备413办公室子网图书馆、昌檀楼、科学楼的办公室计算机514无线接入子网所有无线接入的计算机6

50、15学生宿舍子网 1校内学生宿舍接入的计算机716学生宿舍子网 2校外学生宿舍接入的计算机817教师宿舍子网 1校内教师宿舍接入的计算机918教师宿舍子网 2校外教师宿舍接入的计算机1019教室子网教学楼、科学楼、外语楼、实验楼的教学用计算机1120电子阅览室子网图书馆除办公室计算机外的所有计算机1221计算机实验室子网 1昌檀楼的计算机实验室 11322计算机实验室子网 2昌檀楼的计算机实验室 21423计算机实验室子网 3昌檀楼的计算机实验室 31524计算机实验室子网 4科学楼经法系计算机实验室1625计算机实验室子网 5科学楼人文系计算机实验室1726计算机实验室子网 6科学楼人外语系

51、计算机实验室表 2-1 VLAN 划分表子网划分示意图如图 2-4 ：图 2-4 VLAN 划分示意图表 3-1 设备性能参数表3. 福建师大福清分校网络升级硬件设计根据前面对校园网络升级的分析，就可以确定所有网络设备的型号，从安全可靠和高性能角 度考虑，我们都使用世界著名公司思科的网络产品。以下分别对各种网络设备进行分析介绍。3.1 交换设备选型3.1.1 核心层交换机选型根据学校的规模和应用需求， 为将校园主干升级为千兆网络， 我们核心交换机选用两台 CISCO WS-C3750G-24TS-S作核心冗余。Cisco Catalyst 3750 系列交换机是一款适用于中型机构和大型企业分支

52、机构的创新产品。 该交换机采用了 Cisco StackWise 技术，通过结合易用性和可堆 叠交换机的最高永续性，提高了局域网运行效率。关键特性：可用性 802.1S/W 支持基于标准的容错性、 负载均衡 和迅速恢复； Flexlink 特性提供了不到 100ms的快速收敛； PVST+则通过允许流量在冗余链路上传输，增加了可用带宽Cisco StackWise 技术单一 IP 地址和单一命令行界面（ CLI ）简化了管理； 32-Gbps 永续架构加速了收敛； 1N 堆叠采用了冗余和第三层上行链路永续性、跨堆叠 Cisco EtherChannel 技术及 QoS，提高了可用性；自动配置和

53、 Cisco IOS 软件版本检查和升级加速 了部署过程；交换机的热添加和删除能保持堆叠持续运行370W PoE简化了 IP 电话、无线和视频监视部署；智能电源管理特性增强了控制能力， 有助于更好地利用功率预算， PoE 与快速以太网或千兆以太网型号相结合，能最大限度地利 用现有基础设施投资第三层特性 OPSF、EIGRP、BGP 、静态 PBR 等高级路由协议扩大了网络规模；等成 本路由以及 PIM 等组播路由能够最大限度地利用网络资源；VRFLite 可保护流量； IPv6 在简化网络寻址和移动 IP 的同时提高了安全性QoS 流量整形能在不丢弃数据包的情况下平稳处理突发流量；整形循环保证

54、了关键 任务应用的带宽；而 Scavenger 队列则能防止蠕虫过度使用资源管理 Cisco Smartports 能快速、 简单地配置高级 Web 界面完成设置； 资源模板则 可用于为应用定制交换机资源。安全 DHCP监听能够只允许可信端口访问 DHCP信息，消除了恶意 DHCP服务器； NAC 则能防止代价昂贵的蠕虫和病毒的传播；动态 ARP检测和 IP 源防护能够防御中间人攻击； 802.1x 和基于身份的网络服务仅允许授权人员接入网络； 端口安全能防止 MAC地址泛洪攻击 各关键交换机的主要性能参数如下表 3-1:参数类型WS-C3750G-24TS-S 主要参数WS-C3550-24

55、-SMI 主要参数WS-C2950T-24 主要参数交换机类型网管交换机网管交换机快速以太网交换机内存128MB32MB DRAM和 8MB闪存16MB DRAM和 8MB闪存传输速率10Mbps/100Mbps/1000Mbp s10Mbps/100Mbps/1000Mbps10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3 、IEEE 802.3 u、 IEEE 802.3z 、IEEE 80 2.3abIEEE 802.1x 、IEEE,802.3x 、 IEEE 802.1D 、IEEE 802.1p 、 IEEE 802.1Q 、IEEE 802.3 、 IE

56、EE 802.3u 、IEEE 802.3ab、IEEE 802.3zIEEE 802.1x 、IEEE 802.3 x、IEEE 802.1D 、IEEE 80 2.1p 、IEEE 802.1Q 、IEEE 802.3ab 、IEEE 802.3u 、IEEE 802.3端口数量2424 个 10/100 端口 +2 个 100 0BaseX 端口26接口介质10/100/1000Base-TX 、 100 0Base-FX/SX传输模式支持全双工支持全双工支持全双工配置形式可堆叠可堆叠可堆叠交换方式存储 -转发存储 - 转发存储 - 转发背板带宽32Gbps8.8Gbps8.8GbpsVLAN支持支持支持支持MAC地址表12k80008000模块化插槽数4无无指示面板端口状态 LED：链路完整， 关 闭，活动，速度和全双工指 示；系统状态 LED：系统