宜春学院校园网设计方案

1、目目 录录 1 1概述概述.4 4 1.1宜春学院校园网建设的目标.4 1.2宜春学院校园网设计原则.4 2 2宜春学院校园网技术方案简介宜春学院校园网技术方案简介.6 6 2.1宜春学院校园网设计思想简介.6 2.1.1 网络核心设计分析.7 2.1.2 行政教学区网络设计分析.8 2.1.3 学生公寓区网络设计分析.8 2.1.4 广域网接入设计分析.9 2.1.5 核心交换机与服务器之间的高速安全连接.11 2.1.6 网络管理设计.11 2.2VLAN 设计 .12 2.2.1 VLAN 的定义 .12 2.2.2 VLAN 的作用 .13 2.2.3 VLAN 划分和路由 .14 2

2、.2.4 在 Catalyst 6509 上配置第三层服务.16 2.2.5 PVLAN 的应用 .17 2.3网络可靠性分析.18 2.4网络可扩展性分析.19 2.4.1 IP 地址扩展分析 .19 2.4.2 网络拓扑扩展分析.20 3 3网络安全性分析网络安全性分析.2121 3.1网络安全策略.21 3.2网络设备的安全.22 3.3校园网 VPN 设计分析.25 3.4网络特殊安全需求分析.39 3.5互连网访问管理设计分析.40 3.6以一卡通为例的安全防护设计.41 4 4思科解决方案特点思科解决方案特点.4545 4.1更安全的网络核心平台.45 4.2思科基于身份的网络服务

3、（IBNS）.48 4.2.1 思科 IBNS 概述.48 4.2.2 IEEE 802.1X 技术介绍 .51 4.2.3 思科 IBNS 增强的 802.1X .54 5 5其他网络应用技术介绍其他网络应用技术介绍.5757 5.1无线技术方案.57 5.2IP TELEPHONE技术方案 .58 5.3多媒体教学解决方案.61 6 6附录一：网络主要设备介绍附录一：网络主要设备介绍.7070 6.1网络设备选择原则.70 6.2网络核心交换机CATALYST 6509.70 6.3汇聚交换机CATALYST4500 .74 6.4汇聚交换机CATALYST3750 .77 6.5接入交换

4、机CATALYST 2970G.85 产品规格与性能.85 6.6接入交换机CATALYST 2950G.87 6.7接入交换机CATALYST 2950.88 6.8防火墙PIX525.94 6.9入侵检测设备IDS4235.95 6.10 路由器CISCO7401.99 6.11 网络管理软件 CISCOWORKS2000.99 6.11.1 CiscoWorks 2000 产品概览 .99 6.11.2 CiscoWorks2000 局域网管理组件 .100 6.12身份认证（AAA）CISCO SECURE ACS .103 7 7宜春学院校园网网络设备清单宜春学院校园网网络设备清单.

5、107107 1 1 概概述述 1.1宜春学院校园网建设的目标 宜春学院总占地 1200 亩，在校学生 10000 余人，教职员工 1000 余人。拥有 教学楼、人文楼、医农楼、理工楼、艺术楼、图书馆、行政楼各一栋，学生宿舍 15 栋以及体育馆、体育场、食堂等多栋建筑。本项目是就宜春学院新校区校园网 项目进行招厂商参于项目的竞标，通过先进的网络产品及技术实现园区内信息网 络的互连互通，为实现未来的校园网络系统、银校一卡通系统、数字监控系统、 多媒体查询系统、数字图书馆系统、教务管理系统等打下良好的网络基础。 为保障各项网络应用的稳定可靠运行，需要构建的校园网络具备高度智能， 易于管理，能够抵御

6、网络中各种安全隐患，诸如病毒对网络攻击、非法侦听和侵 入、未经授权访问、不良信息通过网络传播等等。 1.21.2宜春学院校园网设计原则 本次校园网系统建设遵循统一规划、分步实施的指导思想，工程的设计必须 在考虑到满足当前需求的同时，充分考虑到将来整个网络系统的投资保护和对新 应用的支持。设计及实施应充分遵循以下原则： 易用性：易用性：系统具有良好简单的用户界面，供各类用户使用。 先进性：先进性：紧密结合实际，立足先进技术，采用最新科技水平，使项目具备国 内乃至国际领先的地位。 可扩展性和可升级性：可扩展性和可升级性：在保证目前需要的前提下，还要满足未来发展的需要， 为将来在本系统上继续发展增值

7、服务提供一个优良的平台、打下坚实的基础。软 硬件系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中 的数据和信息流会呈指数增长，需要系统有很好的可扩展性，并能随技术的发展 不断升级。 国际标准性和开放性：国际标准性和开放性：严格按照国际国内相关标准设计实施，保证系统具有 较长的生命力和扩展能力，满足将来系统升级的要求。 安全性和可靠性：安全性和可靠性：安全性与可靠性是教育网正常运转的保证。包括系统的快 速查找及排除故障，在线故障恢复，数据传输的保密及完整，外部非法侵入的防 范，内部人员的越级操作的防止等等。 成熟性和稳定性：成熟性和稳定性：尽量采用成熟稳定的产品和集成技术。注意

8、提高系统整体 性能，使整体投资达到最佳。 易管理和易维护性：易管理和易维护性：集成的系统必须降低系统维护的难度和要求，方便用户 日后的应用、管理和维护。系统设计完成的同时，必须完成与之相关的可操作的 管理维护规定，保证系统的稳定运行。 高性能：高性能：系统设计应充分发挥软硬件和网络的处理能力，并最优化系统的整 体性能。 投标方应具体说明以上八点的实施方案，选择先进成熟的切实可行的技术， 充分利用宽带网的优势。 2 2宜春学院校园网技术方案简介 2.12.1宜春学院校园网设计思想简介 宜春学院校园网络拓扑图如下： 如上图所示，本次网络设计采用星型三层结构,以网络中心为核心，通过光 纤连接教学楼、

9、人文楼、医农楼、理工楼、艺术楼、图书馆、行政楼、学生宿舍、 食堂、体育场内部等各个区域，根据流量的不同可采用单链路上联（全双工 2Gbps）或双链路上联（全双工 4Gbps） 。 教学行政区通过分布在 8 个行政教学大楼的汇聚层交换机，分别连接到网络 中心。学生公寓区在 10 号宿舍楼配置了网络分中心，其余 14 个宿舍楼的通过光 纤汇聚在此，然后上连到网络中心。 对于重要的接入交换机，例如教学楼教师办公接入交换机、多媒体教室楼接 入交换机，根据需求都采用相应数量的 10/100/1000M 自适应接口，以实现高速率、 高性能、良好的投资保护。对于其它接入交换机，采用 10/100M 自适应接

10、口。服 务器集中在网管中心机房，方便管理。配置防火墙、路由器等实现安全的内外部 访问。通过网管软件实现全网的统一管理，AAA 认证软件灵活控制用户接入。通 过该网络设计，将实现安全高速的信息共享，同时奠定未来银校一卡通系统、数 字监控系统、多媒体查询系统、数字图书馆系统、教务管理系统等网络基础。 以下将对各个部分进行详细介绍。 2.1.12.1.1 网络核心设计分析 针对用户的实际需求，宜春学院校园网拓扑结构选择星型结构。 星型结构是指所有的外围接入用户通过接入层和汇聚层的交换机连接到处于 网络中心的核心设备上。星型结构的优点是结构简单，易于扩容与维护，但对中 心设备和链路有依赖性，中心设备必

11、须保证高可靠性、高性能、支持丰富的应用。 在本方案设计中，核心配置 1 台 Catalyst6509 交换机，配置双电源、256G 高速 交换矩阵，实现高可用性、高性能的网络核心。在 Catalyst6509 上配置 1 个高性 能 16 口千兆接口模块 WS-X6816-GBIC，其与 2 个引擎上的 4 个千兆接口共提供 20 个可用的千兆接口。Catalyst 6509 分别通过 9 个千兆光纤接口卡连接到网络流 量很大的汇聚层交换机上，如 8 个行政教学汇聚交换机、1 个学生公寓区分中心 汇聚交换机，关键应用可以利用 Giga EtherChannel 技术实现双链路连接（全双 工 4

12、Gbps） 。核心交换机 Catalyst6509 剩余千兆光接口随时可以实现校园网络的 二期铺设和扩展。 该处配置的核心交换机 Catalyst6509，支持 256Gbps（可以扩展到 720Gbps）背板，提供 210Mpps（400Mpps/720Gbps）包转发能力，性能卓越。 Catalyst6509 可以平滑升级到更高性能，并提供线速万兆以太网。Catalyst6509 上配置的双引擎，支持 NSF（Non-Stop Forwarding）切换方式，引擎切换时会话 不会中断，是目前最优异的双引擎备份方式。另外，Catalyst 交换机所采用的三 层交换处理机制，有别于其它厂商使用

13、的传统 Flow-based Switching/Cache- based Switching 机制，Catalyst 交换机 CEF-based Switching 机制更适应实际 的网络情况，尤其适合于校园网大量用户、大量连接的情况，对于网络中存在的 病毒攻击有良好适应力。3 种交换方式的详细说明可参见后文。 高端的 Catalyst6509 交换机，不仅仅支持基本的二层、三层功能，还支持 丰富的服务应用。例如：Catalyst6500 系列交换机可以支持入侵检测模块（IDS） 、 业界最高性能的防火墙模块（Firewall） 、虚拟专网的 VPN 模块（VPN） 、用于负载 均衡的内容交

14、换机模块(CSM)、网络流量统计的模块（NAM）等各种应用。一款 6500 交换机能够满足用户各种不同的需求，而这来自于 Catalyst6500 系列交换 机自身优异的性能基础。可以说，使用 Catalyst6500 系列交换机作为网络核心， 保护了用户未来的投资成本。 2.1.22.1.2 行政教学区网络设计分析 行政教学区的教学楼、人文楼、医农楼、理工楼、艺术楼、图书馆、行政楼 分别独立的以光纤连接到网络中心，其中单模光纤 7 个，多模光纤 1 个。虽然各 个行政教学楼网络要求的功能和各项应用差别比较大，但是对于网络设备的性能 要求是一致的，网络拓扑结构也是一致的，因此可以选择相同系列的

15、网络产品。 本方案设计中，行政教学区为各楼选择的高档高档汇聚交换机是 WS-C4503，同样 具备高达64Gbps 无阻塞交换矩阵、48Mpps 的 24 层包转发能力，支持高速、智能、 多应用网络；配置 2 个全线速的千兆上连接口（GBIC） ，同时为教学楼中办公科研 用户提供 48 口 10/100/1000M 自适应的高速接入。 本方案设计中，行政教学区为各楼选择的中档中档汇聚交换机是 WS-C3750G- 24TS-S，在一台交换机上集成了 24 口 10/100/1000M 自适应接口，和 4 口小型光 纤扩展口。Catalyst 3750 系列产品采用业界最先进 Stack Wis

16、e 的堆叠技术，通 过高达 32Gbps 的堆叠背板，为学校提供了优异的投资保护性和易扩展性。 本方案设计中，行政教学区为各楼选择的低档低档汇聚交换机是 WS-C2970G- 24TS-E，在一台交换机上集成了 24 口 10/100/1000M 自适应接口，和 4 口小型光 纤扩展口。它同样具备 56Gbps 的交换背板和高达 38.7Mpps 的包转发速率。 本方案设计中，行政教学区为各楼选择的接入交换机是 WS-C2950T-24，具备 2 口光纤千兆上连，剩余 24 个端口采用 10/100M 接入方式。 2.1.32.1.3 学生公寓区网络设计分析 在学生公寓区，由于其端口数量大（约

17、 5500 个） ，数据流量巨大，在此区域 设定了网络分中心（10 号宿舍楼） ，分中心通过光纤再连接其余的 14 个宿舍楼 （其中有 10 个多模光纤、4 个单模光纤） 。分中心汇聚层的交换机，需要使用较 高背板带宽和三层包转发性能交换机，并保证在大流量突发时，性能不下降。为 提高网络带宽，汇聚层交换机与核心交换机连接时建议采用 2 根光纤双上联，实 现全双工 4Gbps 带宽，同时预留富裕光纤接口为双机冗余备用。光纤口应该同时 支持 1000BaseX（SX/LX）和 1000BaseT，通过接不同千兆接口卡实现。 本方案设计中，学生公寓区分中心的核心交换机为 WS-C4506，配置新一代

18、的 交换技术 CEF，基于硬件（ASIC）的第二层到第四层交换引擎，提供高达64Gbps 无阻 塞交换矩阵、48Mpps 的 24 层包转发能力，支持高速、智能、多应用网络；配置 18 个全线速的千兆接口（GBIC） ，并具有优异的投资保护性；配置完成后，不仅 具有三层交换汇聚和高速上联性能，模块化的结构还具有良好的扩展性，为未来 应用的扩展保留了空间。 本方案设计中，学生公寓区各个宿舍楼的汇聚交换机为 WS-C2950G-24（针对 单模光纤）或者 WS-C2950SX-24（针对多模光纤） 。两款交换机均具备 24 口 10/100 的交换端口，同时有 2 口千兆上连的光纤接口，配备不同的

19、接口卡就可以 连接单模或多模光纤。 本方案设计中，中高档学生公寓区接入交换机为 WS-C2950-24，低档的接入 交换机为 PC22224。 2.1.4 广域网接入设计分析 广域网接入通过 1 台 Cisco 7401 特殊应用路由器（ASR）实现。 Cisco 7400 ASR 使用了 Cisco 的并行快速转发（PXF）专利技术，可以提供整 套优秀的硬件加速服务，尤其是对 NAT、NetFlow v8、Turbo ACL、CEF 等应用。 Cisco 7400 互联网路由器是业界性能最高的单机架设备、支持多种服务的路由器 产品。这种模块化的单端口适配器插槽设备可以支持四十多种接口的、灵活

20、的广 域网连接，包括串行、多通道、ISDN、帧中继、ATM、Packet over SONET (PoS)、 从 NxDS0 到 OC3 等电信线路和多出口环境。 服务选择网关（SSG）是 Cisco IOS 软件的一项功能，它帮助校园网络运营管 理者制定按需提供服务策略，开辟新的收入渠道。Cisco 7400 系列的 SSG 能为针 对不同 IP 目的地的用户交互策略提供 RADIUS 身份认证和记帐功能，这可以为校 园网络服务带来更高的系统灵活性和方便性，包括同时登陆多项服务的能力。此 外，它还使校园网络运营管理者可根据用户的连接时间和所使用的服务，向用户 收取相应的费用，而不是制定一成不

21、变的价格。 服务选择网关（SSG）也是思科网络安全体系 SAFE 的基于身份认证网络服务 的有机组成部分。 针对远程校区以及校外的家属区接入，可以采用 VPN 技术连接。 2.1.4.12.1.4.1 NATNAT设计设计 在路由器与广域网公网连接时，需要将校园私网的地址翻译转换为公网地址。 路由器上连接双出口，需要在每个端口上作相应的地址翻译 NAT。NAT 分为以下三 种方式，可以根据实际情况选用合适的方式。 1、静态地址转换： 通过建立内部地址和外部地址的一一对应关系进行转换，可以用于保护内部 主机的安全性，但是由于一一对应关系，所以有多少个外部 IP 地址，才有多少个 内部 IP 地址

22、可进行转换，且一个内部 IP 只能对应唯一一个外部 IP 地址。 2、动态地址转换 通过建立地址池进行动态地址映射转换，和第一中方式比较则具有更大的灵 活性和可用性，但同样受到外部 IP 地址数量的限制。 3、端口地址转换 对于不同内部 IP 地址，通过分配外部 IP 地址的的 TCP（UDP）端口号进行转 换。 Cisco 路由器 1 个外部 IP 地址最多支持 4000 个本地 IP 地址，且具有优异 的连接转换速度。此种方式对于内部地址较多，而外部地址较少的用户将是很好 的解决方案，缺点是较消耗路由器资源，对路由器内存配置要求较高。 2.1.52.1.5 核心交换机与服务器之间的高速安全

23、连接核心交换机与服务器之间的高速安全连接 核心交换机通过 10/100/1000M 自适应端口与关键任务服务器连接。在服务 器上配多个千兆网卡，就可以通过 Ethernet Channel 技术实现更高速连接，避免 服务器成为网络访问的瓶颈。这对于千兆向桌面普及的网络环境下是非常有用的。 在核心交换机上可以组成若干服务器专用 VLAN，每一个 VLAN 内部根据业务 特性实现 PVLAN 功能。 在核心交换机平台上配备了高性能防火墙、入侵检测模块后，交换机上的每 一个端口都处于独立虚拟防火墙和入侵检测的直接保护下，核心网络服务应用安 全畅通。 2.1.62.1.6 网络管理设计网络管理设计 网

24、络管理包括两类：对设备和对应用的管理。建议采用 Cisco 公司的网络管 理解决方案。Cisco 公司网络管理解决方案提供一整套完整的网络管理组件，其 中包括对 Cisco 网络设备本身的管理以及对网络上传输的不同应用的管理等。 需要指出的是，网络管理会占用一定的网络带宽资源，其流量需求取决于网 管配置中的具体参数、设备数目以及管理架构，一般来说，网络管理流量不会超 过总流量的 5%，这一开销在我们考虑设备性能要求时已经考虑在内。 建议在宜春学院校园网网络中心配置 Cisco Works2000 网管软件。Cisco Works2000 是基于 Web 的网络管理组件，它提供设备管理（软件、硬

25、件） 、配置管 理、图形面板、流量监控、故障判断、拓扑发现等诸多网络管理基本功能。 关于网管的设置，我们建议透过防火墙接入网络，同时采用加密通道的带内 网管技术（SNMPv3/SSH） ，从而有效保证对网络的控制能力。 为强化网络安全管理，配置 CSACS-3.1-WIN-K9 的用户权限、认证、计费 （AAA）软件。它能够基于 Web 的用户界面简化和分配了配置工作，与 Windows 2000 Active Directory 和 NT 数据库配合支持融合了 Windows 用户名/密码管理， 能利用 Windows 性能监视器查看实时统计数据，ACS 在运行一个 RADIUS 或者 TA

26、CACS+嵌入式 Cisco IOS 版本时，可以与大多数 Cisco 路由器/网络访问服务器 一同使用。 2.22.2VLANVLAN 设计设计 为了便于管理，并提高校园网网络的效率和安全性，除了上述网络的物理设 计外，还需要对网络进行逻辑设计，即划分虚拟网。虚拟网技术是将网络中的物 理基础设施与网络的逻辑基础设施相分离，使得网管人员能方便而动态地建立和 重构虚拟网络，以适应部门机构的协作与变动，方便网络管理，降低管理的成本。 总结起来，有下列因素促使我们采用虚拟网技术： 一个平台多种应用，这些要求相互之间相对独立； 提高带宽的利用效率； 提高网络的安全性； 方便网络的管理。 2.2.12.

27、2.1 VLANVLAN 的定义的定义 VLAN 是 Virtual LAN 的缩写，即虚拟局域网的意思，区别于物理分布的局域 网，VLAN 是按照某种逻辑划分的局域网，即根据组织结构、功能、项目组或应用 而划分的逻辑网段。VLAN 与物理分布的局域网间的区别还在于，VLAN 能够通过软 件改变特定端口的配置来改变局域网的布局，而不必物理地移动网络设备或线缆。 一个 VLAN 的可以对应一个或多个物理端口，也可以跨越多台物理设备，即 同一 VLAN 可以在分布在一台或多台网络设备中，这样 VLAN 就提供了最大限度的 关于配置的灵活性。 如下图所示，传统的物理网段与 VLAN 网段间的不同在于

28、，同一 VLAN 网段是 可以跨越多个物理网络设备形成的逻辑网段，而传统的物理网段只能位于同一个 物理的网络设备中。 VLAN 示例 2.2.22.2.2 VLANVLAN 的作用的作用 VLAN 技术是伴随着局域网交换机技术的产生而发展起来的，其最为根本的作 用是通过控制广播域的大小来实现本地性能的优化。具体而言，在局域网交换机 上，每个 VLAN 对应一个广播域，这就意味着广播包只能在单独的 VLAN 内进行广 播，而不能跨越一个 VLAN 广播到另一个 VLAN 中去。 VLAN 的作用归纳起来，有如下几个方面： A A、控制广播提高性能：、控制广播提高性能： 类似于局域网交换机隔离冲突

29、，VLAN 能够提供广播域间完全的隔离，所有的 广播和组播信号只能在同一 VLAN 内传递，有效地减少广播风暴的产生，从而提高 交换设备的性能。 B B、提高安全性：、提高安全性： VLAN 通过隔离的方式来改进局域网交换机整体的安全性，对安全性要求高的 用户可以分配在同一 VLAN 中，通过激活路由器的访问控制列表和地址过滤等功能， 可以提高系统整体的安全性。 C C、简化网络管理、简化网络管理 VLAN 有助于简化网络管理，通过配置局域网交换机的物理端口的属性，不必 物理地改变工作站的位置就可以实现工作站的添加、移动和改变。 在局域网交换机中，缺省的设置是所有的端口都位于同一个 VLAN

30、中，如果 不设置 VLAN 的话，全部的端口都位于同一广播域内，广播风暴会造成局域网交换 机整体性能的下降。因此，在大型的局域网环境中，为主干交换设备配置 VLAN 是 有重要意义的。但是，局域网交换机作为第二层的交换设备，并不能将数据包从 一个 VLAN 传递到另一个 VLAN 中，因此，还需要在通过路由器实现多个 VLAN 间的 通讯。 方案中所选用的 Catalyst 6509 是一个模块化的网络设备，并且支持多层交 换功能，实际上可以将其视为一个集成了第二层交换与第三层路由功能的核心网 络设备，通过配置多层交换功能，就可以实现多个 VLAN 间的通讯。 校园网有多个按照职能划分的部门，

31、这些部门内部的一些信息对其它部门的 普通用户是不开放的，因此，校园网内部企业网应该根据具体职能部门的设置和 工作流程的要求划分多个 VLAN（虚拟局域网） ，将各个部门分配在不同的虚拟局 域网之内，各个虚拟局域网彼此之间可以根据需要作连通或隔断的策略选择。比 如规定部门 A 和部门 B 两个虚拟局域网内的普通用户是不能访问其它部门内部的 信息的，而对于领导干部则可以放开互相访问数据的权限，这些策略的设置是通 过 IP 地址、交换机端口等参数实现的。具体说来，在各个分配线间中 Catalyst 交换机上，可以根据端口或 IP 地址划分多个 VLAN，并且同一个 VLAN 还可以跨越 不同的 Ca

32、talyst 交换机，这些 VLAN 的通断策略在主干交换机 Catalyst6509 上制 定并实现。网络管理人员通过在 Catalyst 6509 上作配置就能达到对不同 VLAN 间 的通信作控制的目的。Catalyst 6509 是具有路由功能的交换机，它支持动态路 由与静态路由协议。各 VLAN 之间的连通性即路由可根据实际需要配置或加以限制。 2.2.32.2.3 VLANVLAN 划分和路由划分和路由 校园网络中尤其是各种业务、信息流量的汇集点，涉及到不同的职能部门， 很多部门具有相对独立的应用，例如财务部、各系教务部、校长办公室等等。因 此，各部门之间的信息具有不同程度的保密要

33、求，如果不进行虚拟网络的划分， 是根本无法想象的。网络会被广播包所拥塞，用户根本无法使用网络，管理员也 根本无法保证网络的安全性和实现对网络的管理。根据用户的需求，在实施时会 将各中心局域网根据应用类型划分为多个 VLAN，并可随需求进一步划分。 虚拟网络划分可以根据实际情况通过使用专门的管理设置软件，对交换机所 连接的网络进行虚拟分组，使几个不同端口所连接的网络成为一组。虚拟网的划 分可以跨多个交换机，也可一个交换机内划分出多个虚拟网。 虚拟网的划分要依据一定的原则，这些原则是对于那些相互之间联系频繁的 节点，尽量划分在一个网段，比如说可以按照部门来划分虚拟网，对于较大的部 门，可以进一步细

34、化。对于公共的服务器，尽量设置在对其访问数据流量最大的 VLAN 中，对于应用核心级的服务器，或者为多个 VLAN 用户所经常访问的服务器， 可以使用虚拟多宿主服务器技术，该技术使得一台服务器同时存在于多个 VLAN 中。 有下列技术可以实现虚拟多宿主服务器： 通过在服务器插入多个网卡 服务器使用支持 VLAN Trunking 技术（IEEE802.1Q 或 ISL） 对于有些部门，由于其规模比较大，必须进一步对这些部门按其逻辑进行划 分以建立相应的 VLAN，划分 VLAN 之后所带来的问题是原来在一个 VLAN 中的名字 服务现在因为要跨越 VLAN 而不能完全提供（通俗地说，用户不能在

35、 Windows9X 的 “网上邻居”中看到其它 VLAN 中的用户） ，因为由同一部门划分出来的 VLAN 往往 有比较多的联系，为方便用户，名字服务是需要的。这个问题可以通过在网络设 备中设置 IP Helper Address 服务，将广播请求转发到有特定的地址的服务器来 解决。 在校园网络中，VLAN 主要通过以下两种规则（Rule）的策略来实现： PortPort RulesRules： 基于端口的 VLAN 是最简单的一种虚拟网形式。但它提供了最好的控制和安 全性，它是通过配置分配连在某一端口上的设备基于它们所连接的端口来加入某 一个 VLAN。 802.1x802.1x Rule

36、sRules: 根据用户的认证信息，由中心安全服务器预定的信息，在交换机端口上动态 设置该用户的所属 VLAN，相关安全设置参数以及 DHCP 信息。 通过虚拟网的灵活设置，既可为网络管理带来灵活性，使网络维护工作量降 低。同时通过虚拟网的组合设置，可实现安全的虚拟网划分，给网络带来相对的 安全性。 VLAN 间的路由 目前实现 VLAN 互连的技术主要有： IEEE 802.1Q Inter-Switchlink（ISL） 第三层交换 在网络方案中，由于主要使用 Cisco 设备，建议采用 Cisco 专有技术 Inter- Switchlink 来实现跨交换机 VLAN 之间的通讯，对于其

37、它厂商的交换机可采用 802.1q 技术。我们可以将两台交换机上的若干不同的端口划归同一 VLAN，同时在 交换机链路上设置 ISL 封装，同时在交换机链路上设置 ISL 封装，通过 Catalyst 交换机的第三层交换模块来实现 VLAN 间的路由。三层交换技术是第三层路由技术 与第二层交换技术的有机结合，不是简单的把路由器设备的硬件及软件简单地叠 加在局域网交换机上。从硬件的实现上看，目前，第二层交换机的接口模块都是 通过高速背板/总线（速率可高达几十 Gbit/s）交换数据的，在第三层交换机中， 与路由器有关的第三层路由硬件模块也插接在高速背板/总线上，这种方式使得路 由模块可以与需要路

38、由的其它模块间高速的交换数据，从而突破了传统的外接路 由器缺陷。 我们建议在不同 VLANs 的访问采用第三层交换的方式。 2.2.42.2.4 在在 CatalystCatalyst 65096509 上配置第三层服务上配置第三层服务 Catalyst 6509 是 Cisco 产品线中典型的多层路由交换平台，因其可集成第 二层和第三层模块而使局域网交换和路由技术有机结合起来。因此，Catalyst 6509 不单纯是传统意义上的局域网交换机，而是支持路由技术的多层交换机。 Catalyst 6509 交换机完全可以将其视为一个运行着标准 Cisco IOS 的路由器， 其作用是为基于第二层

39、端口所划分的 VLAN 提供第三层的路由服务。 如果没有路由器的话，位于不同 VLAN 间网络设备不能实现相互之间的通讯。 在多数的网络环境中，VLAN 与单独的网络或子网相关联。Catalyst 6509 使用 InterVLAN 路由技术实现位于不同 VLAN 终端之间的通讯。 为了配置 Catalyst 6509 的第三层服务模块的 InterVLAN 路由，首先要配置 VTP，然后在交换机上创建和配置 VLAN。 要在交换机上配置 VTP 和 VLAN，需要在 Catalyst IOS 的特权模式下执行如 下的任务： 任务命令 第一步指明 VTP 模式set vtp mode serv

40、er|client|transparent 第二步创建一个 VTP 域set vtp domain name 第三步创建 VLANset vlan vlan_num 第四步为 VLAN 分配物理端口set vlan vlan_num mod_num/port_num 对于 Catalyst 6509 来讲，要将其视为一个配置了多个以太网端口的路由器。 我们建议的配置方式是将千兆端口捆绑成一个 port-channel。其他还有两种配置 方式可供选择：一种是将每个千兆以太端口配置成 Independently Interface ， 另一种是将千兆以太端口配置成 Trunk。这两种方式的共同点是

41、每个千兆以太端 口只属于一个 VLAN 的情况。显然，这不符合实际情况，所以，在配置中心交换机 Catalyst 6509 时，按照我们建议按照 port-channel 的配置方式进行。这种方式 的配置过程是，绑定千兆以太端口形成一个逻辑的 port-channel，在这个 port- channel 上启用 trunk 连接，trunk 是路由器与局域网交换机之间进行通讯的逻辑 链路，然后可以在这个逻辑的 port-channel 下创建若干个子接口并把每个子接口 配置成封装 IEEE802.1Q 协议的 trunk 连接，每个子接口对应一个 VLAN，相应的 每个子接口的 IP 地址就是

42、每个 VLAN 的网关。 2.2.52.2.5 PVLANPVLAN 的应用的应用 在一个已经存在的 VLAN 里，思科可以使用 privateVLANs 为特定的网络应用 提供更好的安全控制。PrivateVLANs 可以限制同一个 VLAN（PirmaryVLAN）的端 口之间的访问。Isolatedports 只能和 promiscuousports 通信，Communityports 可以和同一个团体的端口和 promiscuousports 通信，Promiscuousports 可以和 PrimaryVLAN 内所有端口通信。PrivateVLAN 也可以有效减轻被侵入的影响范围。

43、 基本网络用户都与接入桌面交换机连接，在所有桌面用户的端口上均可以不 预设 VLAN 信息。在相关交换机上设置 802.1x 安全认证机制，仅当用户通过认证 之后，交换机才会根据安全服务器返回的授权信息设置该端口的 VLAN 属性，流量 限制以及针对该特定用户所允许访问的控制列表信息。 在桌面交换机接入用户之后，可以向中心安全服务器发送 802.1x 的记帐信 息，当中心安全服务器收集并记入数据库之后，可以通过相关的记帐软件输出用 户的网络使用情况并产生帐单。 桌面交换机除了基本的 802.1x 设置之外，还需要设置全面的安全保护特性， 其中包括： 基于 STP 协议的安全保护，例如 root

44、guard,portfast 等，防止用户非法 成为网络的 STP ROOT； 基于 MAC CAM 的安全保护，实现 portfast 功能； 基于 ARP 攻击的保护，实现 PVLAN 的功能； 基于 DHCP 与 802.1x 的保护，利用交换机关于 DHCP 82 option 的保护特 性，将 DHCP 地址池与特定交换机对应，动态分配 IP 地址，网关以及 DNS 等信息； 利用 SSH 以及思科专用的集簇管理技术，实现针对大量桌面交换机的带 内管理，并且防止非法的用户侦听行为； 2.32.3网络可靠性分析网络可靠性分析 网络的设计和建设应该充分考虑到网络的安全性和稳定性，应该能保

45、证各种 在网数据安全、完整，保证各类网络应用的畅通和稳定。对于单个的网络设备， 要求设备本身有高可用性，和长期运行的稳定性。对于关键的设备需要支持关键 部件的冗余和热插拔功能。另外还要求关键网络设备必须符合安全性要求，具有 能阻挡一般性网络攻击的能力。 对于整个网络的设计方面，使用技术成熟的网络设备和通信技术，对于网络 的重要部分或设备应在网络设计上考虑冗余和备份。减少单点故障对整个网络的 影响。网络在硬件和软件上考虑防止非法入侵和破坏的能力，主干网要能抑制广 播风暴和地址过滤。整个网络要便于统一管理、监控和维护，并能跟踪、诊断和 排除故障。主要网络设备要支持 SNMP 和 RMON。大型的校

46、园网络，必须依靠各种 网管软件及特别的网管功能，实现监控、故障诊断和排错。 特别强调的是：特别强调的是：CatalystCatalyst 交换机中交换机中 RemoteRemote SPANSPAN 功能可以远程映射端口流量功能可以远程映射端口流量 进行分析，方便故障诊断。核心交换机进行分析，方便故障诊断。核心交换机将来自多台分布式主机和交换机的流量集将来自多台分布式主机和交换机的流量集 中起来，将跨网络中多个交换机实现源端口和目的端口之间的网络通信流镜像，中起来，将跨网络中多个交换机实现源端口和目的端口之间的网络通信流镜像， 以此实现集中管理和监控。这样在网络出现故障的时候，在核心交换机的一

47、点上以此实现集中管理和监控。这样在网络出现故障的时候，在核心交换机的一点上 就可以查找到网络中的故障设备和故障端口，不需要进行多个物理点的监控检查，就可以查找到网络中的故障设备和故障端口，不需要进行多个物理点的监控检查， 极大降低网络管理的成本，提高网络使用效率。极大降低网络管理的成本，提高网络使用效率。 对于三层协议，路由协议可以负载均衡、链路备份、快速的故障恢复；对于 二层协议，可以通过 802.1s/802.1w 或 PVST/uplink fast/backbone fast 技术实 现负载均衡、链路备份、快速的故障恢复。 对于三层协议：通过某些动态路由协议，如 EIGRP，可以配置相

48、应的 Metric 值，使两条链路可以同时工作，当某条链路坏时，可以自动备份到余下的链路上。 即实现了负载均衡、链路备份、快速的故障恢复。 对于二层协议：802.1s/802.1w 或 PVST/uplink fast/backbone fast 技术， 可以自定义一部分 VLAN 以链路 1 为主链路，链路 2 为备份；对另一部分 VLAN 以 链路 2 为主链路，链路 1 为备份。则实现了负载均衡、链路备份、快速的故障恢 复。 2.42.4网络可扩展性分析网络可扩展性分析 2.4.12.4.1 IPIP 地址扩展分析地址扩展分析 根据经典的 TCP/IP 协议， 全球公共网络（Intern

49、et）设备和用户的 IP 地址 是按照相应编址规则分类的： 地址类型地址类型IPIP 地址地址子网掩码子网掩码网段数量网段数量每段主机数每段主机数 量量 A 类地址 0.x.x.x-127.x.x.x255.0.0.012616,777,214 B 类地址 128.x.x.x-191.x.x.x255.255.0.01638465,532 C 类地址 192.x.x.x-223.x.x.x255.255.255.0254 D 类地址 224.x.x.x-247.x.x.x 网络广播专用地址 E 类地址 248.x.x.x-255.x.x.x 保留地址 分解到每个组织或园区网络的公网地址往往不能

50、满足其网络设备和用户的需 求。学校在 IP 地址设计时，针对现有网络设备和用户规模，可以根据表中 IP 地 址分类特点，选择私网的 IP 地址，通过 NAT 再将校园中每个用户转换为公网合法 地址进行访问。举例说明网络地址的优化：如果选择 C 类地址，网段很多而每个 网段的主机却很少，就可以考虑将校园网络地址改为 B 类地址。 思科的路由设备（含高端三层交换机）支持先进的可变长度的子网掩码技术思科的路由设备（含高端三层交换机）支持先进的可变长度的子网掩码技术 （VLSMVLSM） ，多数路由协议如 OSPF、EIGRP、RIP v2，ISIS，BGP 都支持此项技术。 传统路由协议和设备在网络

51、数据传输过程中，只记录 IP 地址，子网掩码采用默认 固定的格式，每个网段就只能有固定的主机数量，如 C 类地址默认每个网段就只 有 254 的主机。而支持 VLSM 的设备在网络数据传输过程中，除了记录 IP 地址， 还附带子网掩码的长度，其格式如 192.168.5.33/27，这个网段下就可以有 30 个 主机，而 192.168.5.210/30，这个网段下就只有 2 个主机。通过 VLSM，网络地址 得到进一步的优化，避免有的网段主机地址不足，而有的网段地址浪费。 IP v6 是为解决 Internet 网公网地址不足而产生的新一代 IP 地址编址规则，思 科中高端交换机都支持 IP

52、 v6，这对于校园网采用 IP v6 进行 IP 地址扩展提供硬 件保障，同时对于网络现在的投资有长远的保护。 2.4.22.4.2 网络拓扑扩展分析网络拓扑扩展分析 在宜春学院校园网设计中，网络可扩展性由以下几点保证： 网络拓扑结构为树型结构即两级星型结构，具有良好的网络规模扩展性。 网络主干交换设备 Catalyst6509 及分中心设备 Catalyst4506 为插槽式 模块化设备，在满足现有网络需求的基础上仍有空余插槽，在添加端口 模块、升级网络技术时只需更改或增加模块甚至无需改动即可进行，具 有良好的扩展性。 由上可见，本网络设计方案具有很高的可扩展性，可以有效地保护宜春学院 校园

53、网系统的长期投资 除了拓扑结构的扩展，思科核心交换机 WS-C6509 目前全面支持万兆线速交 换，在未来校园网更新或升级为万兆主干時，只需要更新交换模块，原有的模块 仍然可以使用。这种交换容量的扩展性是真正对学院投资的保护。 3 3 网网络络安安全全性性分分析析 网络安全越来越成为企业网络成功运行的关键因素。特别是随着多协议新业 务的发展、网上教学、远程教育等各种应用使教育网络不再是一个封闭的网络， 网络设计中必须制定网络安全策略，保证内部网络的完整性和安全性。 建议采用 Cisco SAFESAFE（Security Architecture for Enterprise 企业安全 体系结

54、构）为宜春学院校园网提供整体的、可扩展的、高性能的、灵活的安全解 决方案。SAFE 采用模块化的方法根据用户需求制定安全的设计、实施和管理。在 设计 SAFE 的每个模块时，Cisco 都考虑到一些关键的因素，包括潜在可能的威胁 或侵入及相应的对策、性能（不能因为安全控制带来不可接受的性能下降） 、可扩 展性、可管理性、服务质量和语音的支持等。 我们为宜春学院校园网提出的网络安全策略正是基于 SAFE 企业安全体系结 构而设计，满足宜春学院校园网对网络安全的要求。 3.13.1网络安全策略网络安全策略 网络系统的安全主要涉及到应用系统信息传输的安全、信息存储的安全、对 信息内容的审计以及鉴别与

55、授权、用户访问控制等。本质上，网络的安全性就是 指系统和信息的安全，一般的系统攻击能使系统不能正常工作，但不导致数据泄 密，而信息的安全与否直接关系数据的泄密。下面是一些常规的网络安全解决手 段： 信息传输安全（动态安全）：数据加密，数据完整性鉴别。 信息存储安全（静态安全）：数据库安全，终端安全。 信息的防泄密：信息内容审计。 用户访问控制：鉴别，授权，日志管理。 网络系统的安全是一个涉及系统各个部件的问题，因此解决安全的手段也必 须是一个系统的方案，一般来说网络系统的安全需要从以下几个方面来加以解决： 网络本身 主机与应用系统 用户认证 行政管理 要指出的是，网络安全的解决是一个复杂的系统

56、问题，需要从系统的各个层 面加以解决，我们在建议采用的是一个循序渐进的解决策略，即首先实现基本的 安全策略，再考虑更深入的安全解决方案。 3.23.2网络设备的安全网络设备的安全 网络的不同模块在网络中有着特定的功能和不同的安全需求，我们先分析一 下网络中哪些现有设备是安全设计的目标，而这些设备本身应采用一定的安全防 范措施。 3.2.1.13.2.1.1 路由器路由器 路由器控制着网络之间的访问，也是受攻击的目标之一。路由器的安全是任 何安全实施时的关键部件，Cisco 的 IOS 提供了路由器上基本的安全保护功能， 通常我们会在路由器上采取以下一些安全措施： 设置访问控制列表（ACL） ；

57、 控制对路由器的远程登录； 控制对路由器的 SNMP 访问； 通过 TACACS+或 RADIUS 来对路由器的接入进行 AAA 控制； 关掉不需要的服务； 设置不同的登录级别； 对路由更新进行认证； 3.2.1.23.2.1.2 局域网交换机局域网交换机 对于交换机，和路由器一样也要对远程登录、SNMP 进行安全控制外，还需要 下面的一些安全措施： 对于不需做中继的端口，将其中继模式设置为 OFF（缺省为 AUTO）防止某台 主机安装了支持 VLAN 中继封装的网卡将链路变为中继而收到中继上所有 VLAN 的 信息； 确保中继端口的 NativeVLAN 为网络中不使用的 VLAN 号； 将

58、交换机上未使用的所有端口设置到无第三层连接的 VLAN 或者将其关闭 （disable）; 3.2.1.33.2.1.3 主机主机 主机是最可能被攻击的目标之一，同时从安全方面也有最多的困难。企业网 中有很多不同的硬件平台、操作系统、和应用程序。因为主机要向网络中其他机 器提供服务，所以主机在网络中必须是可见的，因而主机是最有可能被尝试侵入 的。为保证主机的安全，需要注意到系统中的每一个部件。保持系统及时的更新 和安装适当的经过测试的补丁程序，当然最好选用专业的防护工具。 思科专业的主机入侵保护系统（HIPS）产品 Cisco Security Agent 可以提 供对核心服务器、台式机甚至用

59、户终端安全防护。CSA 超越传统服务器和用户机 的传统安全模式，可以在一些潜在恶意攻击发生之前就能够识别和预防，因此可 以清除校园网络各种应用中潜在的已知和未知的威胁。CSA 是多种网络用户终点 安全功能的集合和延伸，如主机入侵检测防护、分布式的防火墙、多变恶意代码 的防护、操作系统集成保护、每台设备的数据包一级日志文件审查。 一些显而易见的网络安全攻击如“红色代码”和 SQL Slammer 蠕虫，传统的 主机和用户机安全技术只能限制各种新的、变种的攻击对网络影响。思科的 CSA 不是仅做特征代码的比对， 而是分析在网络中行为。 3.2.1.43.2.1.4 网络网络 对整个网络的攻击不只是

60、使某台设备被宕机，而是使整个网络无法响应，合 法用户也无法得到服务。例如分布式拒绝服务攻击 Distributed denial of service（DDoS）通过数十或数百台机器同时一个 IP 地址发送伪造数据来实现。 常见的 DdoS 有 ICMPfloods，TCPSYNfloods，或者 UDPfloods。通常可以在 ISP 路 由器的出口和企业网边界路由器的入口上设置对 ICMP 和 TCPSYN 的速率限制。 通过对网络中设备被攻击的方式方法分析，除了用户身份的安全认证和权限 设定，网络设备自身通过 Cisco IOS 的安全防护外，思科提供了灵活的配置选择 来实现防火墙和入侵