校园网站的设计设计

1、先锋软件学院毕业设计（论文）题目：校园网站毕业论文先锋软件学院学生毕业设计（论文）工作自查表日期：（ 2010年 10 月- 2011 年 3 月检查）学生姓名秦翔远专业软件设计与开发学号200800003054导师姓名肖见峰职称导师每周指导次数3每次： 3 小时题目名称校园网站毕业论文作息时间上午9 时 10 时下午3时 4 时晚间8 时 9 时个人精力 实际投入日均工 作小时3周均工 作小时10缺席天数0出勤率 %100毕业设计 （论文）工 作进度已完成主要内容%待完成主要内容%1 软件开发环境的搭建2 设计原则的分析应用3 方案操作特点的论述60校园网的后期调配，测试40存在问题 工作措

2、施分析不够全面，简洁；页面设计欠缺美观；缺少部分代码的整理调试；还有待继续改进，做到最合理方便的效果指导教师 （签字）先锋软件学院毕业论文（设计）评阅表（指导教师、评阅人用）论文（设计）名称学生姓名学号 指导教师或评阅 人）姓名序号评审项目指标满分评分1论文（设计）完成量论文（设计）内容完成量， 难易程度符合教 学基本要求202调查与综合根据论文（设计）任务，能独立查阅文献资 料和从事其它有关调研。 有收集、综合和正 确利用各种信息的能力。203论文（设计）质量文章切合选题， 材料丰富、 内容充实， 观点 明确、论据充分、论证严格，构思完整、层 次分明、段落、论题间的衔接自然、舒展。 文笔流畅

3、、语言通顺、使用专业术语准确， 图表清楚，符合要求。504创新有独特的见解，或有一定应用价值10总分评语：（明确指出论文（设计）的调研论证材料收集是否适合论点要求、创新点、论文（设计）论证能力、写作水平，同时要明确指出论文（设计）的不足之处及改进方向。 ）评阅人：年月日摘要【摘要】于教经随着计算机技术、网络技术的发展，网络设备的价格不断下降；同时国家各级政府对 育的投入不断增加，大量计算机进入了校园，组建校园网不仅是十分迫切的工作，可行性也非 常高。计算机和网络已经成为各行各业在工作中的工具，是否掌握计算机的技术和应用，已 成为衡量一个从业者是否合格的重要标识。如何正确创建校园网已是现在所有学

4、校的够共同目 标。【关键词】 CERNE、T校园网建网、解决方案、安全与流量控制。AbstractfromtoolsWith the development of computer technology and network technique ,the prices of net equipement are declining constantly .Meanwhile ,the investmenton educationthe government of all levels is incresing .As a result ,a large number ofcomputers

5、have been installed in schools ,which makes the creation of Campus network urgent and feasible.Up to now , computer and network have become important at all walks of life .whether a practitioner is qualified for a job depends on his mastery and application of computer technology ,On this basis ,how

6、to set up Campus network has become the common aim of all the schools.Keyword : CERNET Campus network Layering Solution Security and flow control目录摘要 IIAbstractIII前言 11 需求分析 21.1 背景介绍 21.2 需求分析 22 设计原则 32.1 网络设计的基本原则 32.2 模块化、层次化的基本原则 42.2.1 模块化设计 42.2.2 层次化设计 42.3 标准化、规范化原则 52.4 校园网的设计原则 53 解决方案 63

7、.1 网络拓扑图 63.2 方案说明 63.2.1 用户上网方案 83.2.2 IP 地址规划和路由设计 83.2.3 安全与流量控制 93.3 方案特点 124 结论 17致谢18参考文献 19附件一 网络设备技术参数 20201. RG-WALL 1000 千兆防火墙 /VPN网关 2. RG-R3600 系列包含二款路由器： RG-R3642 和 RG-R3662 21附件二 有关专业名词解释 241. 802.1Q VLAN 242. 网络地址转换 (NAT) 253. DDN 264. QoS 265. BASE-FX、BASE-TX、BASE-LX、BASE-SX 27前言人们的生

8、活中已经起到了越来越重要的作用。校园作为知识基地和人才基地， 它理应成为代 表信息产业应用最成功的典范。 一所成功的学校不仅在学术上、 教 育上要力争上游， 更应在 管理上上一个台阶。 利用各种成熟的技术带动学校各单 位、各部门的电脑化管理，通过校园 信息网，将各处的电脑联成一个数据网，实 现各类数据的统一性和规范性； 教职员工和学生 可共享各种信息，极易进行各种 信息的教流、 经验的分享、 讨论、消息的发布、 工作流的自 动实现和协同工作等， 从而有效地提高学校的现代化管理水平和教学质量， 增强学生学习的 积极性、 主 动性，为信息时代培育出高素质的人才。在学校中建立计算机网络已经是十分迫

9、切的需要。随着计算机技术、网络技术的发展，网络设备的价格不断下降；同时 国家各级政府对 于教育的投入不断增加， 大量计算机进入了校园，组建校园网不 仅是十分迫切的工作，可行性也非常高。1 需求分析1.1 背景介绍中国教育和科研计算机网 CERNET是 由国家投资建设， 教育部负责管理， 清华 大学等 高校承担规划、建设和运行管理的全国最大的公益性计算机互联网络。 CERNET始 建于 1994 年。十年来， 在国家的大力支持下， 教育部各届领导直接领导和关怀下， 和一批专 家和技术 人员的共同努力下， CERNET从 无到有，由小变大，从弱到强，取得了 令人瞩目的成绩， 成为我国重要的信息化基

10、础设施， 在我国教育和科研事业发展， 以及教育信息化建设中发挥 了重要作用。目前 ,CERNET主 干网传输速率达到 2.5 5Gbps,地区网传输速率达到 155M2.5Gbps，覆盖全国 31 个省、市 200 多 座城市，联网的大学、教育机构和科研单位超过 1300 个，用户超过 1800 万人， 成为世界上最大国家级公益性计算机互联网。CERNET也 是我国下一代互联网研究与建设的先行者，近几年来承担了中国高 速互联 研究试验网 NSFCNE，T 863IPv6 综合实验环境， CERNET IPv6 试验网， 中日 IPv6 合作 研究等一批我国下一代互联网的试验和研究项目， 推动了

11、我国下 一代互联网的研究和技术进 步。2004 年 1 月， CERNET与 美国 Internet2 、欧 盟 GEANT 等全球最大学术网共同宣布， 开通全球 IPv6 下一代互联网服务。 2004 年 3 月 19 日，连接北京、上海和广州的 CNGI 核心网 CERNET2试 验网开通并 开始提供服务1.2 需求分析高校校园宽带网用户集中且网络流量大， 关注网络的可运营和可管理特性， 教 学区、宿舍区用户对校园网、 教育网、 INTERNET的访问有相应的路由策略和相 应 的计费策略。校园网存在多个出口需求，校园网至少要提供中国教育科研网 （ CERNET） 和 INTERNET两个出

12、口。校园网安全性要求较高，要求设备能够实现用户识别和动态绑定功能如通过 “ IP+MAC端+ 口”三元组的动态绑定来识别用户。 校园网 WEB页面可实现以下功能： 用户 Web自助服务功能，用户可通过 Web自助服 务页面，进行个人资料的查询、 密码修改、上网明细查询、缴费记录查询以及在线 预注册和在线帐号充值。校园 网用户能实现多 ISP 权限选择。用户可通过不同的帐号或采用相同帐号的不同 域名进行认证，以获得不同的 权限，不同的权限对应不同的计费策略。校园网要求实现多种支持普通包月、包 月限时长、包月限流量、计天、计时长和计 量等多种计费策略。支持用户卡和充 值卡，冲值卡配合用户卡以及提供

13、的公用服务功能可以实现用户的完全自助管理。 校园网要求能对每个用户的使用情况能进行事后审计， 能够定位到 IP 地址以及用 户所连接的端口和登录的用户名，限定帐号的使用端口。校园网要求能实现对用 户带宽的动态控制。校园网要求实现组播业务， 校园网要求在学校规模不断扩大中， 用户数在持续 增加，要求网络具有很好的 扩展性， 能够根据需要逐步平滑升级到万兆的骨干连 接。网管平台实现网络资源的管理、网络安全访问的控制。并且在平台上能方便 地 开发所需网络应用。 采用流行的、支持设备面广、 有良好图形界面的网管平台。 网管系统能够管理 到网络中的每一个智能设备及有关设备的每一个端口， 即能够 远程对设

14、备进行设 置、调试、网络流量监测和必要的重置。 能对网络故障能及 时发现并报警。作为校园网， 需要连接多少个节点， 怎样使用各种网络设备使分布在不同地理 位置的 节点连接到一个统一的网络中， 怎样使整个网络上的节点相互连通， 这些 问题仅仅是校园网 需要解决问题中的一部分， 更重要的问题如何将这些资源有序 地组织起来，需要实现什么功 能，以满足现在和未来在教学、科研、管理、交流 等方面的需求。形成在校园内部、校园与 外部进行信息沟通的体系，建立满足教 学、科研和管理需求的计算机环境，为学校各种人员 提供充分的网络信息服务， 在网络环境中进行教学、研究、收集信息等工作。 校园需要的基本功能有：计

15、算机教学，包括多媒体教学和远程教学；网络下载、网络聊天等；电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动； 文件传输 FTP：主要利用 FTP 服务获取重要的科技资料和技术文挡； INTERNET 服务：学校可以建立自己的主页，利用外部网页进行学校宣传， 提供各 类咨询信息等， 利用内部网页进行管理， 例如发布通知、收集学生意见等。图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等；其他应用，如大型分布式数据库系统、超性能计算资源共享、管理系统、 视 频会议等。2 设计原则2.1 网络设计的基本原则校园网建设是一项大型网络工程， 各个学校需要根据自身的实际情况来制定网

16、络设计 原则。该学校网络需要完成包括图书信息、 学校行政办公等综合业务信息 管理系统， 为广大 教职工、科研人员和学生提供一个在网络环境下进行教学和科 研工作的先进平台。 校园网覆 盖整个学校校园， 网络设计一般应遵循下列基本原 则：可靠性和高性能 网络必须是可靠的，包括网元级的可靠性，如引擎、风扇、 单板、总计等；以及网络级的可靠性，如路由、交换的汇聚，链路冗余，负载均 衡等。网络必须具有足够高的性能，满足业务的需要。实用性和经济性，由于学校资金并不是很充足，不可能一步到位。另一方面， 学校的应用水平较参差不齐，某 些系统即使安装了也利用不起来，因此，在校园 网的建设过程中，系统建设应始终贯

17、彻面向 应用，注重实效的方针，坚持实用、 经济的原则。可扩展性和可升级性系统要有可扩展性和可升级性， 随着业务的增长和应用水 平的提高，网络中的数据和信息流 将按指数增长，需要网络有很好的可扩展性， 并能随着技术的发展不断升级。 设备应选用符 合国际标准的系统和产品， 以保证 系统具有较长的生命力和扩展能力，满足将来系统升级的要求。易管理、易维护 由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网 络系统具有良好的可管理性，网 管系统具有监测、故障诊断、故障隔离、过滤设 置等功能，以便于系统的管理和维护。同时 应尽可能选取集成度高、模块可通用 的产品，以便于管理和维护。先进性、成熟性 当前计

18、算机网络技术发展很快，设备更新淘汰也很快。这就 要求校园网建设在系统设计时既 要采用先进的概念、 技术和方法，又要注意结构、 设备、工具的相对成熟。只有采用当前符 合国际标准的成熟先进的技术和设备， 才能确保校园网络能够适应将来网络技术发展的需 要，保证在未来若干年内占主 导地位。安全性、保密性 网络系统应具有良好的安全性。由于校园骨干网络为多个用 户内部网提供互联并支持多种业 务，要求能进行灵活有效的安全控制， 同时还应 支持虚拟专网，以提供多层次的安全选择。在 系统设计中，既考虑信息资源的充 分共享， 更要注意信息的保护和隔离， 因此系统应分别针 对不同的应用和不同的 网络通信环境，采取不

19、同的措施，包括系统安全机制、数据存取的权 限控制等。灵活性、综合性 通过采用结构化、模块化的设计形式，满足系统及用户各种 不同的需求，适应不断变革中的 要求。以满足系统目标与功能为目标，保证总体 方案的设计合理，满足用户的需求，同时便 于系统使用过程中的维护，以及今后 系统的二次开发与移植。QoS（质量服务）保证，教育在语音和视频等多媒体应用方面一直走在社会的 前列，这类应用对服务质量的要求很 高。 QoS（质量服务）需要在网络的端到端 进行全盘计划和实施， 由于各接入网络和端设备 的复杂性与多样性， 骨干网必须 尽可能地支持各种质量服务技术，特别是最新的技术如 MPLS VPN 和流量工程，

20、 以提供简洁透明的质量服务机制。2.2 模块化、层次化的设计原则2.2.1 模块化设计所谓模块化就是将把整个网络按功能和安全需求分为若干个组件， 这些组件之 间有一 定的安全边界，组件内部有完整的网络设计。模块化设计的好处在于： 解决各网络之间的冲突问题； 简化安装和后台设备管理； 易于故障检测和分离问题； 易于执行不同类型的服务和安全方针； 易于扩展和 / 或代替原来的技术。校园网的设计可以借鉴这种思想， 对各种不同种类， 不同安全等级的业务进行 模块划分，相互之间的访问将受到控制。当然，在实际情况中并不一定要求严格 按照上述模块划分，而是根据实际情况灵活运用，做适当的裁减与调整。2.2.2

21、 层次化的设计层次化网络设计模型对于大型网络， 可以采用业界通用 “核心层 -汇聚层- 接入 层”层次化网络设计模型。（1）核心层核心层的主要提供不同网络模块之间优化传输服务， 将分组尽可能快地从一个 网络传 到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。 汇聚层到核心层要 具备冗余传输链路，任何单条链路断连不影响网络的可用性。 作为所有网络流量的传输中枢， 核心层除了要求高性能交换设备和高带宽传输链 路外，还需考虑选用支持负载均衡或负载分 担特性的设备实现负荷均衡。此外， 为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主 用通路断开，可以很快的切换到备

22、用通路。(2) 汇聚层汇聚层顾名思义就是作为访问层到骨干层的汇聚， 通常为访问层与骨干层实现 基于策 略的网络间连接。 汇聚层主要由三层交换机组成， 提供对网络流量模式控 制、服务访问控制、 QoS、定义路由路径度量( path metric )和路由协议网络通 告控制。(3) 接入层接入层作为各模块到交换骨干的连接， 根据不同模块进行逻辑子网划分， 并通 过 VLAN 技术实现子网之间的隔离。 访问层主要功能在于隔离模块间的广播流量， 避免不同模块之间 相互影响。访问层主要通过二层交换机组成。层次化网络设计模型的优点“核心层 -汇聚层-访问层”层次化网络设计模型有如下优点：高可扩展性 遵循层

23、次化模型网络比扁平式网络更具有伸缩性和可管理 性，因为各功能网络通过模块化实现，潜在问题更易于识别。易于实施 每一层的功能性清晰划分，简化每一层的实现。易于故障排除 每一层的功能经过良好定义， 网络更为简单， 有助于故障 的隔离。模块化设计也有效限制故障影响范围。易于规划和管理 层次化的功能划分，整个网络规划和管理更为简单。2.3 标准化、规范化原则标准化原则锐捷网络作为国内率先通过 ISO9002/9001-2000 版国际认证的 IT 厂商，始 终将“品质第 一、永续经营”作为贯彻整个生产经营过程的品质政策。规范化原则 按照安全模型的指导，从健康检查阶段、评估分析阶段、规划设计阶段、安全

24、实施、 运维管理、安全培训整个安全周期角度进行安全方案的设计和实施。2.4 校园网的设计原则校园网是为学校师生提供教学、 管理、科研和综合信息服务的宽带多媒体网络； 是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育 体系的基本保证；是提高全民素质的重要手段。采用成熟、先进的技术和设计思 想，运用现有的系统集成 的技术路线，强调系统先进、实用、开放、安全、使用 方便和易于扩充等特点，突出系统功 能的完善，实现办公现代化、信息资源化、 传输网络化和决策科学化。其设计方案应注意以下原则：实用性：校园网设计应能满足学校目前对网络应用的要求， 充分实现学校内部 管理、教学和科研的网

25、络化、信息化的要求，使网络的整体性能尽快得到充分的 发挥，并且便于掌握。满足管理职能的需求，为提高管理决策的及时性和准确性 提供高质量的信息服务，增强对运行的协调和监控能力。先进性： 在系统的开发过程中， 既能满足当前院校对网络的应用需求， 又可以 在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以 灵活变通，以便适应客户的其他要求。符合计算机技术发展趋势，采用先进成熟 的技术，坚持技术的开放性，易于技术更新。可扩充性：方便系统和支撑平台的升级， 满足用户对信息需求不断变化的需要， 以及系统投资建设的长期性效益。灵活性： 通过采用结构化、 模块化的设计形式， 满足系统及用户

26、各种不同的需 求，适应不断变革中的要求。安全性： 应能在可靠性的前提下， 抵挡来自内部和外部的攻击； 采用的安全措 施有效、可信，能够在多层次上、以多种方式实现安全的控制。可靠性：校园网的系统及网络结构较为复杂， 同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的MTBF（平均无故障工作时间 ） 和极低的 MTTR（平均无故障率 ） ，提高容错设计，支持故障检测和 恢复，可管理性强。统一性：在系统的设计过程中，坚持“三统一” ，即统一规划、统一标准、统 一出口。经济性：在充分满足以上要求的前提下，应充分考虑到学校的经济承受能力， 尽可能地节约投资，花好每一分

27、钱。规范性：采用的技术标准要遵循国际标准和国家标准与规范， 保证系统发展的 延续和可靠性。系统性： 项目的开发必须按系统工程的管理方法， 分阶段、有计划的统一组织 实施。综合性： 以满足系统目标与功能为目标， 保证总体方案的设计合理， 满足用户 的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。3 解决方案3.1 网络拓扑图图 1 网络拓扑图3.2 方案说明校园网网络系统从结构上分为核心层、 汇聚层和接入层。 核心层的功能主要是 实现骨干网络之间的优化传输 ,骨干层设计任务的重点通常是冗余能力、可靠性和 高速的传输。因学校存在大量的语音和视频传输。据此，考虑汇聚层对 QoS

28、有 良好的支持并且能提供大的带 宽。接入层设备是最终用户的最直接上联的设备， 它应该具备即插即用特性以及易于维护的 特点。根据学校建设要求与总体目标， 骨干网采用三层结构，由核心层，汇聚层和接入层构成。在接入层面，通过定义 相应的访问策略，实现访问控制，内外隔离和抭 IP 地址。在网络结构上，采用成熟的千兆以太网技术 （第三层交换 ）作为核心层，呈网状 拓扑结构。 以 TCP/IP 协议为主，并辅以 IP/SPX. NETTEUI 等其他流行通信协 议坚持开放性和标准化，采用标准的通讯规程，以有利于不同厂家之间的互连， 使不同系统间易于集成，兼顾其他标准的网络体系结构，网络能实现协议之间无 缝

29、连接。而公用服务器与每一台核心层交换机都应该具备连接。在网络硬件上采 用高性能、高可靠的设备， 此产品是具有运营商级容错能力 的高性能大型网络核 心交换机，可实现冗余备份，从而提高核心层的可靠性。整个网络通过汇聚层交换机 RG-S6806E 和核心交换机 RG-S6810E 之间的 链路冗余备份 和负载均衡提供安全可靠的网络构架 (使用 OSPF、ECMP、WCMP 等技术)，其安全保障 技术提供一个全网概念的整体网络安全，而通过简单地增 加万兆模块可以平滑升级到万兆骨 干的校园网。如拓扑图所示， 作为学生宿舍网的核心， 要求设备能够大容量、 稳定可靠的高 速路由转 发，能够接入大量的汇聚节点

30、并满足今后扩充的需要。同时，应完备的 QOS 保证机制，完 备的业务控制、用户管理机制。同时，还应该考虑到与一期 工程的网络设备之间的良好的兼 容性、互通性。因此，在本方案的在核心层，部 署了锐捷网络的 RG-S6810E 模块化骨干路 由交换机两台，该交换机具有高达 1.6T(可扩展 3.2T)的背板， L2/L3 层具有 572Mpps 的 转发率，同时还可以配 置冗余电源和管理引擎模块， 可以实现对全网的数据进行高速无阻塞 的交换， 负 责路由管理、网络管理、网络服务、核心数据处理等。 其硬件策略路由功能为学 校 的出口规则提供了灵活的设置，此外核心交换机硬件的 IPv6 功能为学校接入

31、 CERNET2 提供了无缝连接。为了提高网络上连带宽， 业界提出了端口聚合 (802.1ad)的概念， 此概念也广泛 应用于校 园网的建设中。 锐捷网络交换机可将多个端口聚合， 每条干路支持全双 工模式。端口聚合 可以在单台交换机中进行配置， 支持聚合通道内部的负载均衡。 从核心层到汇聚层使用多条 多模光纤连接到汇聚层交换机，并实现端口聚合。汇聚层起着承上启下的作用， 负责对各种接入的汇聚， 并可在该层实现对于用 户的访问 控制，以及对用户的网络管理。因此，汇聚层应考虑三层智能交换机。 在本方案中，共部署三台锐捷网络自主研发的 RG-S6806E 模块化骨干路由交换 机。在汇聚层使用三层交换

32、机的 目的是为了减轻核心层的负担。接入层应该能够实现对用户的访问控制，并具有较强的安全和 QOS 控制功 能，支持 802.1x 的认证计费，支持千兆上联支持 SMNP 的网管。同时为满足学 生宿舍网的高端 口密度接入的需求接入层应考虑二层智能型可堆叠交换机。因 此，在接入层部署了锐捷网络的 STAR-S2126G/STAR-S2150G 智能型可堆叠交换 机。同时为了保证宿舍网内部网的安全 , 在内网和外网之间增加硬件防火墙，接 在 INTERNET/CERNET 出口的位置 , 根据安全需求可将校园网分为内部网、外部 网与 DMZ 区 等，以保护校园网的安全， 防止恶意用户的攻击。 为了统

33、一网络管 理和监控，在网络中心配 置 StarView 管理平台可以对设备进行集中的管理，包 括网络拓扑发现、配置管理、性能管 理、事件管理，实现全网设备的管理。在网络中心两台核心交换机各通过两条千兆链路连接校园图书馆子网， 两台核 心交换机间业务量增大时，也可考虑通过上行双链路 Trunk 来连接。其中公寓干 网以千兆链路下联至公寓楼宇交换机 STAR-S2126G/STAR-S2150G；同时网络中 心通过千兆连接专项课题研究楼 子网；在网络中心核心交换机通过千兆链路连接 行政/教学楼子网交换机。以千兆链路下联至楼宇交换机 STAR-S2126G/STAR-S2150G；计算中心子网及应用

34、服务器群另在网络中心通过千兆链路下行连接。实现百兆交换到桌面。3.2.1 用户上网方案(1) 访问校园网用户在连接到网络中时， 首先获得是校园网的 IP 地址，此时用户只能访问校 园网内部 的资源，并且对用户不计费。在该方案中， S6810E 和 S6806E 起到三 层交换机的功能，校园网用户之间的互访都必须通过 S6810E 和 S6806E 进行。(2) CERNet用户需要访问 CERNet 时，使用 CERNet 的域名,获得 CERNet 的地址后，就 可以访问。(3) INTERNET用户需要访问 INTERNET 时，使用 INTERNET 的域名，获得 INTERNET 的地

35、址 后就可以访问。3.2.2 IP 地址规划和路由设计(1) IP 地址规划IP 地址规划是整个网络设计中的重要组成部分，地址规划的科学性和合理性 将直接反 应网络拓扑的设计思想， 对网络的稳定起到至关重要的影响。 好的地址 规划同科学的分层网络拓扑设计相辅相承，共同形成整体的网络设计解决方案。 合理的网段划分结合灵活的 VLAN 规划，可以有效地降低网络风暴的产生，保 证整个网络的稳定，同时也起到一定的网络安全功能。IP 地址规划目标建立高效的网络路由；有效利用有限的 IP 地址资源； 支持网络的扩展； 支 持网络技术的演变和发展。IP 地址规划原则 简单性：地址的分配应该简单，避免在主干上

36、采用复杂的掩码方式； 连续性：为同 一个网 络区域分配连 续的网 络地址，便于 采用路 由收敛 (Summarization)及 CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项， 提高路由器的处理效率； 可扩充性： 为一个网络区域分配的网络地址应该具有一 定的容量，便于主机数量增加时仍然能够保持地址的连续性； 灵活性：地址分配 不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配 方案上实现优化； 可管理性：地址的分配应该有层次，某个局部的变动不要影响 上层、全局。 安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。校园

37、网地址规划方案校园网 IP 地址分配总则 校园网 IP 地址分为三大块： 校园网内部的私有 IP 地址，采用 RFC 中规定的地址段，不能访问 Internet 和 Cernet；Cernet 分配的多 个 C 类公网 IP 地址，作为和国际互联网互连的地址，域名 就解析在这 片地址上，主要供网络中心和图书馆、部分实验室专用； 运营商分配的公网 IP 地址，用于访问 Internet。 关键服务器拥有两个公网 IP，分别跨接在 Cernet 和 Internet 上。校园网内部私网 IP 地址的分配内部地址的分配原则是按建筑物进行 的，视用户的数量， 1/4、1/2、整个 C 的划分。为了安全

38、考虑对所有的都采用静态 分配IP地址，为防止地址盗用，采用 IP地址、 MAC 地址与端 口绑定。IP 地址的分配 用户的计算机在连接到校园网上时，首先获得一个校园网内部的IP 地址，此时该计算 机只能访问校园网内部。用户需要访问 Cernet 和 Internet，要使用帐号 登陆，认证通过后才能访问。(2) 路由设计校园网路由设计 不使用默认路由，使用策略路由，防止从 Internet 访问校园网。Internet 路由设计采用静态默认路由协议访问 Internet，为了实现路由的备份，配置到 Internet 的两条默认路由，两条路由的优先级可以相同，可以不同。如果相同，则两条线路采取负

39、载分担方式。 如果不同，则是主备方式，其中 优先级高的称为主路由，优先级低的为备份路由。这样，正常情况下，路由器采 用主路由发送数据。当线路发生故障时，该路由自动隐藏，路由 器会选择余下的 优先级最高的备份路由作为数据发送的途径。 这样，也就实现了主路由到备 份路 由的切换。当主路由恢复正常时，路由器恢复相应的路由，并重新选择路由。由 于该路 由的优先级最高，路由器选择主路由来发送数据。采用源地址路由，让 Internet 地址访问 Internet； 采用 ACL，防止访问 Cernet 的流量通过 Internet；采 用 ACL ，防止来自校园网的 Internet 地址。3.2.3 安

40、全与流量控制(1) 网络安全控制对端口 ARP 检查防止 ARP 攻击；对端口安全： MAC动 态地址锁， MAC地 址静态绑定；交换设备 BPDUG uard 功能，过滤非法 BPDU 报文，防止 STP 攻击交换机； 端口安全：端口静态绑定，自动绑定 IP 和 MAC 地址防止 DOS 攻击； 智能安全到边缘：多种 ACL，满足不同网络应用，过滤病毒 SSH 密文传输，限制管理 IP 等措施保证设备管理可靠； 对网络病毒的防范：采用设置 ACL，对病毒进行过滤；我们使用的汇聚、核 心交换机都支持 SPOH，通过端口独立的 FFP 进行 ACL 处理，网络设备性 能不 受设置 ACL 数目影

41、响；(2) VLAN 需求默认时，交换机分隔冲突域；路由器分隔广播域。第 2 层交换式网络的最大 好处是， 它 为插入到交换机每个端口的每台设备创建了各自的冲突域。 但每一个 新的改进通常都会引起 新的问题用户和设备的数量越大， 每台交换机必须处 理的广播和数据包就越多。安全性也是一个问题，因为在典型的第 2 层交换式互联网络的内部，默认时 所有用户都 可以看见所有的设备。 你不能让设备停止广播， 也不能让用户不响应 广播。连接到物理网络 的任何人都可以访问位于物理 LAN 上的网络资源，用户 只需将其工作站插入到现有的集线器 中，就可以加入某个工作组。安全性选项只 能限于在服务器和其他设备上

42、设置口令。通过创建虚拟局域网( VLAN)，就可以在一个纯交换式的互联网络中，分隔广 播域。VLAN 是两个部分的逻辑组合：一是网络用户；二是在管理上连接到交换机 所定义端口的资源。如果创建了 VLAN，情况就可以大大改善。在虚拟创建局域网时，可以将交换 机上的不 同端口分派到不同的子网中， 这样就可以在第二层交换式互联网络中创 建一些小的广播域。 可以象对待单独的子网和广播域一样来对待 VLAN，这意味 着网络上的广播域只在同一个 VLAN 内部的逻辑组的端口之间进行转发。用 VLAN 来简化网络管理的方式有多种：通过将某个端口配置到合适的 VLAN 中，就可以实现网络的添加、 移动和改 变

43、。将对安全性要求高的一组用户放入 VLAN 中，这样， VALN 外部的用户就无 法与他们 通信。作为功能上的逻辑用户组， 可以认为 VLAN 独立于它们的物理位置或地理位 置。VLAN 可以增强网络安全性。VLAN 增加了广播域的数量，同时减少了广播域的范围。使用 VLAN 具有以下优点：控制广播风暴一个 VLAN 就是一个逻辑广播域， 通过对 VLAN 的创建，隔离了广播， 缩小了 广播范围， 可以控制广播风暴的产生。提高网络整体安全性通过路由访问列表和 MAC 地址分配等 VLAN 划分原则，可以控制用户访问权 限和逻辑网 段大小，将不同用户群划分在不同 VLAN，从而提高交换式网络的整

44、 体性能和安全性。网络管理简单、直观对于交换式以太网， 如果对某些用户重新进行网段分配， 需要网络管理员对网 络系统的物理 结构重新进行调整， 甚至需要追加网络设备， 增大网络管理的工作 量。而对于采用 VLAN 技 术的网络来说，一个 VLAN 可以根据部门职能、对象组 或者应用将不同地理位置的网络用户 划分为一个逻辑网段。 在不改动网络物理连 接的情况下可以任意地将工作站在工作组或子网 之间移动。利用虚拟网络技术， 大大减轻了网络管理和维护工作的负担， 降低了网络维护费 用。在一个交换网络 中， VLAN 提供了网段和机构的弹性组合机制。图 2 VLAN 拓扑图(3) VLAN 划分设计

45、VLAN 概述： VLAN(Virtual Local Area Network )又称虚拟局域网，是指在交换局域网的 基础上， 采用网络管理软件构建的可跨越不同网段、 不同网络的端到端的逻辑网 络。一个 VLAN 组成 一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设 备，允许处于不同地理位置的网 络用户加入到一个逻辑子网中。组建 VLAN 的条件 VLAN 是建立在物理网络基础上的一种逻辑子网， 因此建立 VLAN 需要 相应的支持 VLAN 技术的网络设备。当网络中的不同 VLAN 间进行相 互通信时，需要路由的支 持，这时就需要增加路由设备要实现路由功能，既 可采用路由器，也可采用

46、三层交换机 来完成。划分 VLAN 的基本策略 从技术角度讲， VLAN 的划分可依据不同原则， 一般有 以下三种 划分方法：基于端口的 VLAN 划分 这种划分是把一个或多个交换机上的几个端口划分 一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设 备的交换端口进行重新分配即可，不用考虑该端 口所连接的设备。基于 MAC 地址的 VLAN 划分MAC地 址其实就是指网卡的标识符，每一块网卡的 MAC 地址都是惟一且固化 在网卡上的。 MAC 地址由 12 位 16 进制数表示，前 8 位为厂商标识，后 4 位 为网卡标识。网络管理员可按 MAC 地址把一些站点划分为一个逻

47、辑子网。基于路由的 VLAN 划分 路由协议工作在网络层，相应的工作设备有路由器 和路由交换机(即三层交换机) 。该方式允许一个 VLAN 跨越多个交换机，或一个 端口位于多个 VLAN 中。就目前来说，对于 VLAN 的划分主要采取上述第 1 、3 种方式，第 2 种方式 为辅助性的方案。3.3 方案特点(1) 高带宽、高性能该解决方案是基于标准的二、 三层以太网交换技术， 技术成熟度非常高。 学校 网络中心放置路由交换机上行通过 GE接至教育网， GE可以是单模或者多模， 由校 园网的具体情况而定。 GE作为整个学校出口带宽可充分满足用户对带宽的要求， 使学校出口不再 成为整个校园网用户上

48、网的瓶颈。 在学院网络中心通过下行使千 兆链路连接汇聚层交换机。 汇聚层交换机下行 1000M光纤口连接接入楼宇交换机， 百兆交换到桌面， 100M的带宽可充分满足用户高速上网，视频点播等多种宽带业 务。核心交换机拥有 1000M出口联接校园网，各层设备全部支持线速交换，给用 户提供了真正的高带宽网络，对未来高带宽的宽带业务提供了强大的支撑能力， 校园宽带网的发展潜力巨大。(2) 网络管理校园网在为广大师生提供便捷、 高效的学习、工作环境的同时， 也在宽带管理、 计费等 方面存在许多问题：网络计费管理功能的单一， 随着校园网规模的不断扩大和用户群体的日益增 多，原有的单一计费管理功能已不能满足

49、要求。对带宽资源的大量占用导致重要应用无法进行， 对于每个学校来说， 它的带 宽资源都是有限的。而上网人数的急增和各种各样在线游戏的流行使有限的带宽 资源不堪重负，由于没有带宽限制和优先级设置，一些重要用户和重要应用得不 到必要的带宽保证而影响了正常的教学和科研工作。访问权限难以控制， 互联网上充斥了许多色情、 暴力、反动信息 , 如何让学 校、家长放心，使孩子尽量 远离这些不良信息也是必须解决的一个问题。异常网络事件的审计和追查， 当异常网络事件发生后， 如何尽快的追根溯源， 找出幕后“黑手”，防止事件的再次发生，成了网络维护人员不得不面对的棘手问 题。多个校区的管理和维护，由于现在校园网的

50、规模越来越大，呈现出多校园、 跨地区的特点，这就要求网络管理员能对分布在各个校区的管理、计费设备进行 管理和维护，管理员的工作量相当大。为了帮助网管人员轻松实现对众多网络设备的管理、 及时排查网络故障和提高 用户管理的效率， SAM还提供了全网拓扑发现功能、 AGTS 用户管理模式、接入 时段管理以及免安装客户端自动升级等功能，帮助高校用户轻松管理整个校园网 络。客户账号与 IP 地址、 MAC地 址、NAS 设备地址和 NAS 端口绑定 SAM通 过六元素自动绑定、静态绑定和动态绑定相结合，实现安全认证到桌面，不但可 以确保用户入网时身份唯一，而且有效避免了 IP 冲突，同时，为网络安全上了

51、 双重保险。例如， SAM安全认证能够实现动态绑定， SAM动态绑定是指在用户 登陆网络时，用户的相关信息将自动与服务器和接入层交换机同时绑定。届时如 果用户登录网络后一旦更改自己的相关信息（如 IP 地址、 MAC的 只等），则无法 通过交换机认证， 通过动态绑定确 保了用户的身份唯一， 在最大程度上消除了内 部安全隐患， 极大的提高了客户行为的唯一性， 有效的防止了 IP 地址和客户账 号盗用现象的发生。对账号登录次数的限定， 系统对同一账号同时登录次数作出明确的限定， 避 免了多人次使用同一账号上网的现象。完善的计费管理功能，针对高校校园网络灵活运营的需求，锐捷网络 SAM 校园网解决方

52、案开发出贴近校园用户需求的计费模式，不仅有计时长、包月等 传统计费方式，还增加了计天计费方式，并以之为基础，设计了一次交费，分段 开通的计费模式。例如，一个学生需要在 6 月 1 日的时候开通，但是他 6 月 10 日的时候需要出去实习 2 周，这时，用户完全可以在 6 月 1 日的时候选择开通 10 天，系统就只在这 10 天内扣除相应费用， 到 10 日的时候系统会自动停用该 帐号，直到用户再次选择开通。其次， SAM提供了完善的自助服务系统，简单明了的中文界面为用户提供了 包括快 捷注册，个人信息、密码进行修改， 上网明细、交费记录及余额自助查询， 在线充值、注销 用户等功能服务。不但方

53、便了终端用户缴费，同时也极大地减轻 了管理者的管理和收费工作 负担，有效缓解了学生缴费和学校收费的矛盾。另外，为了给高校用户带来最优的应用体验， SAM“想用户之所想”，为学校 提供了 完善的流程化服务。 SAM解决方案预置了包括收费通知、管理员招聘启 示等在内的多种 应用问题模版。 这些看似简单的模版， 是锐捷网络服务数百所高 校用户的经验积累，锐捷网络通过将用户的需求以及用户反馈的先进经验进行积 累，逐渐形成的一套立体化服务体系。 需要注意的是，网络建成后，该服务体系 还将对用户进行实时跟踪， 及时了解用户需求并为 用户提供网络系统定期排查服 务，保障用户的网络轻松运行和持续运营。带宽的限

54、定和业务优先级的设定， 系统能对每个客户上下行的带宽上限加以 限定，防止个别客户占用过多网络资源。 还能 对不同的用户数据设定业务优先级 （例如实验室、教师机房与学生宿舍、普通机房相区别） ， 以保证重要数据能得 到更好的服务访问时间的有效控制，为了帮助学校实现灵活的上网接入时段管理，SAM 提供了用户接入时段管理。通过对日常、周末以及节日的一次性设置，可以轻松 灵活的管理用户能够使用网络的时段，帮助 学校实现灵活的上网接入时段管理。 例如，学校可以根据自己的实际情况，在平时设定允许上网的时段（如 6 点 7 点、17 点23 点等）；不允许上网的时段（如 0 点5 点、8 点 16 点等）；

55、 或是在周末设置较长的允许接入网络的时间等。 同时，SAM解决方案还针对此提 供了优先级划分功能，如节日的时段管理优先级最高，周末次之、日常最低。一 年只需对日常、周末以及节日的时段管理设置一次，其间如果遇到特殊情况，可 根据实际需要，随时修改。快捷实现全网管理， 全网拓扑发现功能可以对全网设备、 网络节点以及事件、 性能、日志进行实时监控，统一管理。特别值得一提的是， SAM提供的全网拓扑 发现功能，能够发现非网管设备（网线、集线器 HUB 等），让非网管设备也难逃 “法眼”。一旦学生私建局域网，网管老师可以 迅速发现，并采取相应措施，保 证网络正常运行。除了全网拓扑发现之外， SAM解决方

56、案创新推出了 AGTS 的用户管理模式， 来对用户数量庞大、类型繁多的校园网进行有效管理。以前，每个用户在注册帐 户的时候，网管老 师不仅要输入该用户的姓名、年级、班级等个人信息，还要输 入该用户的 IP 地址、MAC地 址等元素。统计表明，一个用户注册登记时，录入 相关的用户信息大概需要 3 分钟，若录入 3 万个用户的相关信息至少需要两个 月。而 SAM的 AGTS 用户管理模式， 则可以根据学 校的具体情况首先针对不同 学院进行分组，如信息工程管理学院、商学院等；接着再对这些 学院的学生进行 细分，如本科生 1 号宿舍楼用户、研究生宿舍用户、专科生宿舍用户等等。 不 仅如此， AGTS

57、用户管理模式还针对用户的相关信息设置了对应的模板， 全面简化 了操作 流程；现在，用户采用 AGTS 用户模版进行注册最多只需 30 秒既能完成， 大大提高网管老 师的工作效率。强大的事件追查功能， 系统中丰富的日志信息和便捷的追查工具能使网络管 理员在面对异常事件时，能及时作出反应，迅速找出幕后“黑手” 。多校区远程管理功能，系统能同时对位于不同校区的 NAS 设备提供远程管 理功能，在实现统一多个校区资费策略的同时还大大减少了网络管理员的工作量。（3）完善的安全机制 校园楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络 流量攻击， 控制非法用户使用网络， 保证合法用户合理化使用网络， 如端口安全、 端口隔离、专家级 ACL、时间 ACL、端口 ARP 报文合法性检查、基于数据流的带 宽限速、六元素绑定等等， 满