高校校园网络规划与设计

1、 TOC o 1-5 h z 前言1第一章校园网络的需求分析2 HYPERLINK l bookmark5 o Current Document 1.1校园背景2 HYPERLINK l bookmark8 o Current Document 1.2网络设计要求2 HYPERLINK l bookmark17 o Current Document 1.3需求分析2第二章网络拓扑结构设计5 HYPERLINK l bookmark27 o Current Document 2.1建筑分布5 HYPERLINK l bookmark33 o Current Document 2.2信息点分布5

2、HYPERLINK l bookmark38 o Current Document 2.3校园网络扩扑图7 HYPERLINK l bookmark41 o Current Document 2.4网段及VLAN的划分7第三章硬件设备及线缆的选择9 HYPERLINK l bookmark44 o Current Document 3.1各设备参数如下9 HYPERLINK l bookmark95 o Current Document 3.2各设备数量17 HYPERLINK l bookmark98 o Current Document 3.3 校园网与 Internet的互连18 HYP

3、ERLINK l bookmark103 o Current Document 3.4远程访问服务18 HYPERLINK l bookmark106 o Current Document 3.5各个子网的设计19第四章校园网络的逻辑结构设计214.1主十网21 HYPERLINK l bookmark116 o Current Document 4.2中心服务器22 HYPERLINK l bookmark119 o Current Document 4.3网络技术选型23 HYPERLINK l bookmark134 o Current Document 4.4内部路由协议比较27第五章

4、 服务器平台的设计30 HYPERLINK l bookmark146 o Current Document DNS域名系统30 HYPERLINK l bookmark154 o Current Document DHCP 服务器31 HYPERLINK l bookmark163 o Current Document WWW和FTP服务器介绍32 HYPERLINK l bookmark172 o Current Document E-mail 服务器33第六章心得体会34第一章校园网络的需求分析1.1校园背景江西理工大学是一所以理工为主，工学、理学、经济学、管理学、法学、 文学、教育学、

5、艺术学等八大学科协调发展，研究生教育与本科教育并举，面向 全国招生和就业并有权接收华侨及港澳台学生的教学研究型大学；现有14个学 院，18个科研院所，各类在校生4万余人，其中全日制在校生3万余人。在赣 州有三个校区，校园网的中心机房设在校本部教学主楼的九楼，面积约150平方， 在黄金校区正在建设一个灾备机房。三个校区的学生人数分别为：校本部14000人，黄金校区13000人，西校区 4000人。黄金校区还要建设教职工的周转房（1900套），各栋楼内的布线系统暂 不考虑，校园网的出口有四个：中国电信500M，中国移动100M，中国联通100M， 教育科研网500M，1.2网络设计要求所有信息点都

6、有交换能力，万兆骨干，千兆桌面。支持虚拟网划分，部门之间访问受控；网络具备容错能力，并能进行良好的网络管理；易于扩充和升级。有线无线一体化方案设计。分层设计：核心层、汇聚层、接入层。学校仅有2个C类段地址，为55，教育科研 网的 IP 地址：15 个 C 类地址 55学校内部主机可采用内网私有地址：到551.3需求分析根据学校目前的校园规模和未来的发展趋势，江西理工大学校园网的建设有 如下的需求：1.校园网需要连接校内的各个教学部门（教学楼、实验室、图书馆）中的PC。2. 同时要求网络线缆必须连通每栋学生宿舍楼，并在每个寝室内装有一个宽带接 口，以便为学生提供Internet的接入。提供丰富的

7、网络服务，实现广泛的软件、硬件资源共享，包括：（1）提供基本的网络服务功能：如文件传输服务（FTP）、动态主机配置服务 （DHCP）、电子邮件、远程登录、域名服务等。（2）实现校内各个管理机构的办公自动化：提供学生信息的查询，提供教务数 据的查询，提供各学科专业资料数据库服务。提供学校自己的管理信息系统（MIS）。（3）提供网上图书馆功，图书查询功能等，使校图书馆成为信息化和数字化的 图书馆。（4）全校共享软硬件库服务，避免重复投资，发挥最大效益。（5）经广域网接口，与Internet的互连，为国际间的信息交流和科研合作为学 校快速获得最新教学成果及技术合作等创造良好的信息通路。校园网对主机系

8、统的主要要求：主机系统应采用国际上较新的主流技术，并具 有良好的可扩展能力；主机系统应具有高的可靠性，能长时间连续工作，并有容 错措施；支持通用大型数据库，如SQL、Oracle等；具有广泛的软件支持，软 件兼容性好，并支持多种传输协议；能与Internet互联，可提供互联网的应用， 如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务；支持SNMP网络管 理协议，具有良好的可管理性和可维护性；校园网络系统设计方案应满足如下要求：网络方案应采用成熟的技术，并尽 可能采用先进的技术；采用国际统一标准，以拥有广泛的支持厂商，最大限度的 采用同一厂家的产品；方案应合理分配带宽，使用户不受网

9、上“塞车”的影响； 应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压 力；该网络方案要具有高扩展性。能为用户未来数目的扩展具有调整、扩充的手 段和方法；该网络应是面向连接的，能够实现虚拟网（VLAN）连接；考虑对用户 现有网络的平滑过度，使学校现有陈旧设备尽量保持较好的利用价值；校园网对网络设备的要求：高性能；所有网络设备都应有足够的吞吐量；高 可靠性和高可用性；应考虑多种容错技术；可管理性；所有网络设备均可用适当 的网管软件进行监控、管理和设置；采用国际统一的标准；系统集成所共同遵循的设计原则：本着实用的原则，尽量使用成熟先进的平 台软件，以缩短教学课件的开发周期；采用

10、分布式的结构，以便于开发和维护； 采用集群解决方案，以保证连续工作；为保证网络速度而采用高的带宽；追求最 高的性能价格比。系统集成所共同追求的设计目标：建成一个具有高可靠性和 开放性的校园网络，它应支持流行的SNMP等网络管理协议；采用Internet上 的标准协-TCP/IP协议，提供校园内部及面向全球的WWW服务、FTP服务、DNS 服务、DHCP服务、NEWS服务、电子邮件服务，实现与国际互联网的完全接轨； 同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支 持；采用模块化结构设计，容易升级；最后，它还应针对学校的教学特点，具 有一些基本的教学功能，以完成学校的基本教

11、学任务。第二章网络拓扑结构设计2.1建筑分布根据校园的实际布局情况，各栋建筑物距离教学主楼（教学主楼为信息交换 中心即网络中心）的实际分别如下：1） 本部：（1）主教；（2）二教；（3）三教；（4）男生宿舍；（5） 女生宿舍；（6）荟莘园；（7）幸福餐厅；（8）图书馆；（9）办公楼（10）实 验室；（11）图书馆（12）书香阁。2）、黄金校区：（1）研究生大楼；（2）三本大楼；（3）稀土大楼；（4）男生 宿舍；（5）女生宿舍；（6）图书馆；（7）食堂。3）、西校区：（1）教学楼；（2）办公楼；（3）食堂；（4）男生宿舍；（5）女 生宿舍。2.2信息点分布根据各栋建筑物对网络的需求不同，现将各栋

12、建筑物的信息节点需求及分配 规划如下：1）、校园网的信息交换中心（网络管理中心）设在主楼。2）、图书馆，二栋教学楼，三栋教学楼，学生宿舍，教师宿舍，食堂以及体 育馆等信息节点分布在信息交换中心的周围。其中主楼是信息交换中心、网络管理中心，是整个网络的核心所在地，同时 也是广域网以及Internet的接口。因此配线间也设置在主楼.下面给出各个建 筑物的信息节点：建筑物名称信息节点个数主教楼200二教楼100三教楼100图书馆200食堂30各学生宿舍100X10体育馆5各学院楼200X5行政楼100西校区400应科院1000信息点总数41352.3校园网络扩扑图国用:图邛Ti皿 SM5.i?lT，

13、时仍F却用.JOM火*2心will禊袖中国电国用:图邛Ti皿 SM5.i?lT，时仍F却用.JOM火*2心will禊袖中国电1J怆&和办.5一0 虹|竟血4.苫等网%型!*幸相.斤&）也伽邮情枷弟为炽为对网枷 与如. Air 5WW-Vft 目丈主夙）It _*ilVft*iKlt 甦瘩四黄金校区江西理工大学网络扩扑图2.4网段及VLAN的划分表是校园网网段及VLAN划分表建筑物所属VLANIP地址办公楼VLAN101/24VLAN102/24学生宿舍VLAN201/24VLAN202/24VLAN203/24VLAN204/24实验室VLAN205VLAN305/22/24王教VLAN206

14、VLAN306/24/24二教VLAN207/2455三教VLAN208/24图书馆VLAN209/24书香阁VLAN210/24荟莘园VLAN211/24幸福餐厅VLAN212/24西校区Vlan301/24/24应科院Vlan401/24/24食堂与一卡通中心Vlan501/24第三章硬件设备及线缆的选择3.1、各设备参数如下：采用万兆骨干网络，千兆桌面的设计方案，核心层交换机选用H3C S9508E-V 路由交换机，此交换机采用模块化设计，能够方便的增加功能模块来满足功能需 要，便于将来的功能扩展，其主要参数如下：H3C S9508E-V详细参数主要参数产品类型：路由交换机应用层级：三层

15、传输速率：10/100/1000/10000Mbps交换方式：存储-转发背板带宽：4.8Tbps包转发率：576Mpps/960Mpps端口参数端口结构：模块化扩展模块：2个主控板槽位数+8个业务板槽位数传输模式：全双工/半双工自适应功能特性网络标准：IEEE 802.1Q，IEEE 802.1d，IEEE 802.1ad，IEEE 802.3x，IEEE 802.3ad，IEEE 802.3，IEEE 802.3z，IEEE 802.3ae，IEEE 802.3af， IEEE 802.17，IEEE 802.1PQOS :支持 Diff-Serv QoS支持SP/SDWRR等队列调度机制支

16、持精细化的流量监管，粒度可达1Kbps支持流量整形支持拥塞避免支持优先级标记Mark/Remark支持802.1p、TOS、DSCP、EXP优先级映射支持VOQ组播管理：支持 PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP等路由协议支持 IGMP V1/V2/V3、IGMP V1/V2/V3 Snooping支持 PIM6-DM、PIM6-SM、PIM6-SSM支持 MLD V1/V2、MLD V1/V2 Snooping支持组播策略和组播QoS、支持组播ARP支持双向PIM网络管理：支持 Console/AUX Modem/Telnet/SSH2.命令行配置支持

17、FTP、TFTP、Xmodem、SFTP文件上下载管理支持 SNMP V1/V2c/V3支持RMON，支持1、2、3、9组支持NTP时钟支持NQA支持故障后报警和自恢复支持系统工作日志安全管理：支持用户分级管理和口令保护支持SSHv2,为用户登录提供安全加密通道支持可控IP地址的FTP登录和口令机制支持标准和扩展ACL，可以对报文进行过滤，防止网络攻击支持防止ARP、未知组播报文、广播报文、未知单播报文、本机网段路由扫描报文、TTL= 1报文、协议报文等攻击功能支持MAC地址限制、IP+MAC绑定功能支持uRPF技术，防止基于源地址欺骗的网络攻击行为支持ND防攻击支持Portal认证、支持Ra

18、dius支持VRRP、OSPF、RIPv2及BGP4报文的明文及MD5密文认证支持安全网管SNMPv3、SSHv2支持广播报文抑制支持主备数据备份机制支持防火墙、IPS等安全插卡汇聚层交换机选用H3C S5500-28C-SI千兆交换机，能够满足千兆到桌面的要求，其主要参数如下：主要参数产品类型：千兆以太网交换机传输速率：10/100/1000Mbps交换方式：存储-转发背板带宽：128Gbps包转发率：96MppsMAC地址表：16K端口参数端口结构：非模块化端口数量：28个端口描述：24个10/100/1000Base-T以太网端口，4个复用的1000Base-X 千兆 SFP 端口扩展模

19、块：2个扩展插槽传输模式：支持全双工功能特性堆叠功能：可堆叠VLAN :支持基于端口的VLAN（4K个）支持基于MAC的VLAN基于协议的VLAN支持QinQ，灵活QinQ支持 VLAN Mapping支持 Voice VLAN支持GVRPQOS :支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持 CAR (Committed Access Rate)功能每个端口支持8个输出队列支持端口队列调度支持报文的802.1p和DSCP优先级重新标记组播管理：支持 IGMP Snooping/MLD Snooping支持组播VLAN支持未知组播丢弃网络管理：支持XModem/FTP/T

20、FTP加载升级支持命令行接口(CLI)，Telnet，Console 口进行配置支持 SNMPv1/v2/v3，WEB 网管支持RMON(Remote Monitoring)告警、事件、历史记录支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持NTP支持电源的告警功能，风扇、温度告警支持 Ping、Tracert支持VCT(Virtual Cable Test)电缆检测功能支持 DLDP (Device Link Detection Protocol)单向链路检测协 议支持Loopback-detection端口环回检测安全管理：支持用户分级管理和口令保护支持802

21、.1X认证/集中式MAC地址认证支持 Guest VLAN支持RADIUS认证支持SSH 2.0支持端口隔离支持端口安全支持EAD接入层交换机选用H3C S3600V2-28TP-SI,可以提供千兆接入功能，其参数 如下：主要参数产品类型：快速以太网交换机应用层级：三层传输速率：10/100Mbps交换方式：存储-转发背板带宽：64Gbps包转发率：9.6Mpps端口参数端口结构：非模块化端口数量：28个端口描述：24 个 100Mbps 端口，2 个 1000Mbps SFP Combo 端口，2 个 1000Mbps SFP 端口控制端口 ： 1个Console 口传输模式：全双工VLAN

22、 :支持基于端口的VLAN (4K个)支持基于协议的VLAN支持基于MAC的VLAN支持 Voice VLAN功能特性支持 Super VLAN功能特性支持PVLAN支持GVRP支持 VLAN VPN (QinQ),灵活 QinQQOS :支持对端口接收报文的速率和发送报文的速率进行限制支持报文的802.1p和DSCP优先级重新标记支持报文重定向支持CAR功能支持8个端口输出队列支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR等模式组播管理：支持 IGMP Snooping v1/v2/v3，MLD Snooping v1/v2支持组播VLAN网络管理：用

23、户分级管理和口令保护支持IEEE 802.1X认证/集中式MAC地址认证支持二层Portal认证/triple认证支持AAA&RADIUS认证支持MAC地址学习数目限制支持MAC地址与端口、IP的绑定支持SSH2.0支持防止DoS攻击功能支持ARP入侵检测功能支持端口隔离支持MAC地址黑洞安全管理：支持XModem/FTP/TFTP加载升级支持命令行接口（CLI）、Telnet、Console 口进行配置支持 SNMPV1/V2/V3、WEB 网管支持 RMON 1，2，3，9 组 MIB支持IMC智能管理中心支持HGMPv2集群管理支持系统日志、分级告警、调试信息输出支持 PING、Trac

24、ert支持上电POST、风扇堵转、PoE设备过热等情况的检测与告 警支持VCT（Virtual Cable Test）电缆检测功能支持 DLDP （Device Link Detection Protocol，设备连接检测协 议）支持端口环回检测支持IPv6 host功能族，实现IPv6管理防火墙选用H3C SecPath U200-CS-AC,其参数如下:主要参数设备类型 企业级防火墙纠错网络端口 1个配置口 （CON）;5GE;1个mini插槽,可通过该插槽 扩展网络接口;外置一个CF扩展槽（选配）控制端口 consoleVPN支持支持入侵检测Dos,DDoS管理 支持标准网管SNMPv3

25、，并且兼容SNMP v2c、SNMP v1, 支持NTP时间同步,支持Web方式进行远程配置管理，支持SNMP/TR-069网管协议，支持H3C SecCenter安全管理中心进行设备管理安全标准FCC,CE路由器选用H3C MSR56-60，其主要参数如下:基本参数路由器类型：企业级路由器端口结构：模块化其它端口 ： 2个USB2.0端口1 个 CON1 个 AUX1 个 CON(Mini-USB Type AB)扩展模块：6个HMIM插槽+1个DHMIM+2个VPM无线AP选用H3C WA2620i-AGN,其主要参数如下:产品类型：无线AP网络标准：IEEE 802.11a，IEEE 8

26、02.11b，IEEE 802.11g，IEEE 802.11n最高传输速率:300Mbps频率范围：双频(2.4GHz，5GHz)调制方式：OFDM： BPSK6/9Mbps、QPSK12/18Mbps、主要参数16-QAM24Mbps、64-QAM48/54MbpsDSSS： DBPSK1Mbps、DQPSK2Mbps、CCK5.5/11MbpsMIMO-OFDM： MCS 0-15网络接口 ： 1个10/100/1000Mbps接口 纠错其它接口 ： 1个Console接口天线天线类型：内置天线天线数量：4根天线增益：4dBi服务器选用联想，该设备属于企业级服务器，功能全面，性能强大，设

27、备详 细参数如下：产品类别：机架式。产品类型：企业级。CPU型号：Xeon E5620 2.4GHz。标配CPU数量：2颗。内存容量：12GB DDR3。标配硬盘容量：584GB。 内部硬盘架数：最大支持16块SAS/SATA(SFF)硬盘。网络控制器：2个NC382i 双端口千兆网卡。电源类型：热插拔电源。产品结构：2U。RAID模式：1个集 成的智能阵列P410i，256M。扩展槽：最多6个。3.2、各设备数量名称型号数量路由器H3C MSR56-601防火墙H3C SecPath U200-CS-AC1核心层交换机H3C S9508E-V2汇聚层交换机华为S352810接入层交换机华为S

28、302623无线APH3C WA2620i-AGN233.3校园网与Internet的互连Internet的连接技术主要有两种：拨号连接和专线连接。拨号连接：对于传输量不是很大的情况，可以采用拨号方式入网，通 过SLIP/PPP实现与专线入网方式完全相同的功能。拨号连接适合于个人和小型 的单位使用。用户通过调制解调器(Modem)与 ISP的访问服务器或终端服务器 相连，并通过ISP来实现与Internet连接。专线连接：这种方式适合于使用人数多、数据通信量比较大的情况，比如 校园网和大中型企事业单位。通过专线连接入网的用户，其计算机系统成为 Internet的一部分，有自己的IP地址，在网络

29、上与其他Internet主机的地位 平等，可以使用和实现Internet的所有功能。相应地，用户与ISP之间维护连 接的费用和复杂程度也大大提高了。对于专线连接，用户需要以下设备.路由器：用来在用户所在网络与Internet之间传输信息。数据通信专线： 提供用户至ISP之间的通信信道。服务器：用于处理IP地址分配和域名解析等，提供Internet服务。对于本方案中我们采用局域网专线接入方式，此方式需要配备路由器等设 备，租用专线DDN或帧中继(Frame Relay)，也可申请ISDN专线并向CERNET 管理部门申请IP地址及注册域名，以专线方式连入Internet，并提供防火墙、 计费管理

30、等功能。本方案选用一台Cisco3640路由器，3640共有四个接口插槽，具有1个局域网(LAN)，2个广域网(WAN)和1个控制台(AUX)接口。支持 帧中继(Frame Relay)、X.25、PPP、HDLC等广域网协议。同时考虑到Internet 外部入侵和拨号用户的非法登陆等不安全因素，此路由器支持防火墙功能。3.4远程访问服务远程访问服务(Remote Access Servicers， RAS)提供了经由调制解调器，I SD N连接器，和X . 2 5数字广域网登录到局域网和广域网的能力.它可以满足正 在旅途中的行政人员和销售人员的需求,通过传输控制（TCP）协议来实现.采 用C

31、isco访问服务器，安装在本地局域网中，通过1至4个调制解调器（或ISD TA） 和1至4根电话线，即可为远程访问人员提供拨号上网服务，远程用户只需拥有 1个调制解调器和1根电话线，通过用户账号和口令连接远程主机，来实现登录 访问。3.5各个子网的设计教学子网的设计校园网建网的目的之一，是利用网络实现多媒体教学，如：交互式多媒体课 堂、电子阅览室、教师培训等。多媒体教学的难点在于实现视频信号的传送（如 VOD视频点播）。目前在局域网上实时传送高质量的视频数据还未成熟，但传送 压缩后的视频数据确是可行的。根据教学子网对速度要求较高的特点，可以采用 Catalyst 3524G/3548型24+1

32、和10/100M自适应以太网交换机，它提供24个 10/100M交换式端口和一个扩展插槽，可选插1个8联的10/100 Base TX、1 个2联的100Base FX或1个1联的千兆以太网模块。但实际上大量用户（指超 过60个流）的视频传输的瓶颈在于存储介质的外部传输速率，因此可选用多通道 的磁盘阵列接多台主机的方式提高访问的总线带宽。办公子网的设计办公子网主要面向学校的各级领导及各职能部门，能够实现对网络数据的查 询、修改、添加、删除等操作，同时，应该能够满足支持视频传送的要求。鉴于 此，办公子网采用了思科Catalyst 2960 24 + 2的10/100M自动协商交换机或 Catal

33、yst 2950T 24+2的10/100M自动协商交换机，这两款交换机除具备普通 交换机功能外，还专门提供了三层交换功能以及VLAN功能，能够为连接在该端 口上的设备提供独享的10/100M带宽，极大地提高数据传输速率，同时可以把分 布在不同楼层之间的相同职能部门通过虚拟局域网连接起来，解决服务器瓶颈问 题。图书馆子网的设计图书馆是一个相对独立的系统，我们采用Catalyst 3524G/3548的10/100M 自适应以太网交换机，它提供了优良的每端口性能价格比，并支持基于端口的VLAN划分。通过此交换机把电子阅览室和图书查询系统分开，提高图书馆的交 换速度。图书馆管理系统的应用软件产品较

34、多而且相对成熟。宿舍区子网及后勤子网等的设计宿舍区子网由于需要的端口数量比较多，而且数据流量也比较大。所以宿舍 区子网应选用高性能的交换机和高传输速率的线缆。在每栋宿舍楼中安装一台思 科新推出的Catalyst 2948GL3自动协商交换机来实现学生宿舍和教师宿舍信息 的交换。Catalyst 2948GL3交换机具有48个10/100M快速以太网和2个千兆以 太网端口，同时它具备三层交换机的特性，它既保留了传统的第二层交换在各端 口间传数据时的高线速，又集成了原来在第三层路由中才有的完善控制功能如审 计、广播隔离等。后勤子网覆盖范围较大，主要用途有食堂IC卡计费系统，基建办公室的计 算机联网

35、等。由于后勤子网对带宽的要求以及信息流量的要求并不高，因此我们 可以把它并入到宿舍区子网中来考虑。综上所述，我们所需要用到的所有网络设备如下：1台Catalyst 3508G/4000 千兆以太网交换机5台Catalyst 3524G/3548交换机1台Cisco3640路由器1 台Catalyst 2960交换机多台Catalyst 2948GL3交换机 多台网络服务器通过H3C公司全系列网络产品即可构建一个完整、先进、可靠的校园网络硬 件平台，从而有利于校园网信息系统的使用、维护、扩充、升级，并能有效利用 投资。第四章校园网络的逻辑结构设计对于校园网这种规模大、集成度高的网络，我们建议采用

36、Client/Server 结构模式，即将网络结构建立在各类信息分布处理和集中管理相结合的方式上； 由于将数据处理工作放在各客户机(Client)独立处理，减轻了服务器(Server) 的负担，设备的性能可得到了良好的应用，而且资源信息可以分布共享、集中管 理，使得系统的可靠性、开放性不单单依赖服务器，互补性很强。这种结构灵活 性好，速度快，可靠性高，是当今流行的网络系统方案。4.1主干网主十网在整个校园网络系统中占有举足轻重的地位，它是整个网络的中枢。 主十网负责学校各个局域网之间的数据传输，信息发布，资源共享，学校以后的 BBS，办公自动化系统，VOD系统，远程教学系统，INTERNET接

37、口，与其他兄弟 学校的数据交换都将运行在这个网络上，因此，主干网的好坏直接影响到以后网 络系统的运行效率，速度快慢，网络性能等参数。因此，建立一条高速的、多能 的、可靠的、易扩展的主干网络，解决目前存在的带宽问题，和适应未来发展的 需要是校园网建设中一个重要的课题。校园内各个局域网之间通信采用基于美国CISICO公司的Catalyst 5000交换 机的快速交换式以太网。Catalyst 5000是能支持所有主要网络技术的模块化结 构的交换机。它是为数据中心提供高密度局域网交换的理想设备。它包括一个 1.2G bps的数据交换主干，最多可支持98个交换的以太网端口或50个交换的 快速以太网端口

38、。可通过交换口，原有系统可无逢地纳入整个骨干网之中。新增 的系统可利用100M 口，提供100M高带宽。用户可利用其内在的CISCO IOS功能， 它可提供虚拟网络和多层交换的能力，组成灵活的VLAN。Catalyst 5000交换机 通过FDDI端口，以DAS方式接入整个校园网FDDI。Catalyst 5000交换机还提 供ATM模块接口，在未来伸级到ATM网络。Catalyst 5000交换机的特点如下：1.2G bps带宽，每秒超过一百万个包的 交换能力 所有端口都是全交换的 支持三个用户可定义的优先级别队列 支持16000个有源MAC地址 24M HZ 68EC040网络处理器支持S

39、NMP支持在Catalyst内部或与其他Catalyst之间形成虚拟网络，最多达1024个 VLANS所有VLAN支持IEEE802.1D生成树算法，以支持容错连接 选择模块：1 个快速以太网端口 2个单模FDDI双连接端口 12个快速以太网端口 每个校园 网段区域之间可以采用直达单模光纤，采用技术最成熟的高速的FDDI技术。它 可提供带宽高达100M。能满足企业级要求。FDDI的网络结构选用双环树型拓扑结构，它具有如下独特之处：1、带宽利用率高环型拓扑使网上站点可以公平地使用网络所提供的带宽，不 存在竞争问题。即使在重负荷的情况下运行，传输效率也不会有明显下降。2、灵活性 双环树型结构的FD

40、DI可以通过增加或拆除集中器，很方便地扩大或 者减少网络的规模。在严格的布线场合，网络的规模是根据用户的需求自由决定， 而不应为了适应网络拓扑结构的需求而设计，集中器固有的灵活性可以允许用户 自行决定网络的增长变化。双环树结构还允许用户在不分隔网络节点的情况下， 进行一定的增加、移动和改变工作，这种在线灵活性与EIA/TIA568标准布线方 案是一致的。3、 可用性由双环树拓扑结构组成的网络容错性较好，在单个或多个过障点 的情况下仍可维持正常工作，这一点对连接站点非常实用。这种结构还允许多个 站点从网上拆除。而不会影响其它站点的正常使用。各局域网段间的FDDI集中 器选择CISCO公司的WS-

41、C1400； WS-C1400可堆叠FDDI/CDDI工作组集中器结合 了工作组集中器的紧凑性和模块化HUB的多用途特点，支持多种接口卡，因而配 置紧凑又灵活。4.2中心服务器中心服务器是整个网络的核心部分。中心服务器是整个网络中网络服务的提 供者，它的性能优劣直接影响整个网络的工作效率，它的不稳定又会给网络造成 很大的损失。因此在服务器的选型上应考虑如下问题：1.高可靠性2.高效 性 3.可扩展性和兼容性由于校园网数据量比较大、访问人员比较多，同时承担了大量局域网数据的传输、 服务等工作，对服务器的容错性有较高的要求。根据容错技术的现状，我们选用 了两台美国DEC公司的Prioris ZX6

42、000服务器。 基于高能奔腾(PentiumPro) 处理器的Prioris ZX6000MP服务器为访问客户机/服务器应用和数据库提供了最 快的、最肯定的机制，并且配有先进的冗余功能和容错设施从而保证持续不断的 高性能及配合未来的可扩充能力。特性：具有267MB/秒峰值带宽的双对等PCI总线 PCI RAID、PCI FAST WIDE SCSI接口和PCI快速以太网支持可变速冗余风扇；可选的冗余电源；七个集成的热插拔硬盘托架随机赠送。支持DIGITAL Windows NT集群系统 具有数据库和文件服务的容错能力支持所有的工业标准的操作系统最大的可扩充性，可以有多达2.0GB ECC内存，

43、1TB外存和12个I/O槽先进的256位四路交叉访问内存结构具有先进的可管理性，集成I2C接口，通过操作控制员控制面板可监视系统状态/报警，借助DIGITAL享有 声誉的SERVERWORKS管理程序进行监视。4.3网络技术选型4.3.1以太网技术吉比特以太网是最新的高速局域网技术，它的主要特点表现在以下几个方面。经济、实用、性价比高。与快速以太网相比，吉比特以太网可以提供1Gbps的通信带宽，其速率10倍于 快速以太网，但是价格却只是快速以太网价格的3倍。兼容性吉比特以太网采用了与传统以太网、快速以太网完全兼容的技术规范，因此吉比 特以太网除了继承传统以太局域网的优点外，还具有升级平滑、实施

44、容易、性价 比高和易管理等优点。QoS服务IEEE制定两种规范帮助吉比特以太网提供QoS，其一是802.lq，用于标识VLAN 的网络通信，另一规范是802.l q信号标准，旨在使端站点具有申请优先级的能 力，并允许交换机传送这些请求，人们可以通过浏览VLAN标志识别不同的业务 类型，使用交换机和路由器的资源预留协议(RSVP)进行缓冲和保留带宽。升级性能吉比特以太网与另一高性能网络ATM技术相比，可以实在原有低速以太网基 础上平滑、连续性的网络升级，并不需要掌握新的配置、管理与排除故障技术， 且有很高的性能价格比，从而能最大限度地保护用户之前的投资，吉比特以太网 目前得到了广泛的支持，吉比特

45、以太网络的互连和设计也变得极其灵活和方便。 4.3.2链路聚合技术以太网链路聚合简称链路聚合，它通过将多条以太网物理链路捆绑在一起成为一 条逻辑链路，从而实现增加链路带宽的目的，同时，这些捆绑在一起的链路通过 相互间的动态备份，可以有效地提高链路的可靠性。在服务器群和核心交换机之间使用链路聚合能够提高了网络的可靠性，使人们可 以在服务器等关键LAN段的线路上采用冗余路由，当交换机检测到其中某一个端 口的链路发生故障时，就停止在此端口上发送报文，并根据负载均衡策略在剩下 链路中重新计算报文发送的端口，故障端口恢复后再次重新计算报文发送端口。链路聚合图4.3.3虚拟局域网技术VLAN (Virtu

46、al Local Area Network)的中文名为虚拟局域网。VLAN 是一种 将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换 技术。通过将校园网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控 制不必要的数据广播，在共享网络中，一个物理的网段就是一个广播域。而在交 换网络中，广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的 虚拟网段，这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而 完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和 重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，

47、 它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN 中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必 要的广播风暴的产生。VLAN的特点：分段。一个VLAN就是一个网段，也是一个广播域，突破了传统的交换机只有 一个广播域的限制，按端口划分VLAN还可以将交换机的每一个端口都划分为不 同的广播域。管理灵活。网络管理员能借助VLAN技术轻松管理整个校园网络，例如：一旦 工作组的办公位置发生改变，只需要修改交换机的VLAN设置，就可以轻松地将 那台计算机加入到工作组，实现对组内资源的访问，而不用更改路由信息和IP 地址配置。安全性。VLAN有更好的

48、安全性，因为它能限制个别用户的访问，控制广播域 的大小和位置，甚至能够锁定某台计算机设备的MAC地址，交换端口的VLAN划 分策略很多，例如基于应用类型、访问权限等。4.3.4生成树协议（STP）生成树协议（Spanning Tree Protocol），属于二层（Date Link Layer）协议。 生成树协议最主要的作用是避免局域网中的单故障节点、网络环路，解决网络环 路的“广播风暴”问题，是一种网络保护技术，STP通过选择性地阻塞冗余链路 来消除网络二层环路，同时具备链路的备份功能。Stp生成树算法（STA）可以分为三个步骤：（1）选择根网桥在全网中选择一个根网桥，比较网桥的BID值，

49、选择BID值小的作为根网桥，BID 值是由两部分组成的：交换机的优先级和MAC地址组成的，默认优先级为32768。 如果交换机的优先级相同则比较MAC地址大小，选择值小的作为根网桥。（2）选择根端口在每个非根交换机上选择根端口。首先，比较根路径开销，选择到根网桥最低路 径开销的端口作为根端口，根路径开销取决于链路的带宽，带宽越大，路径成本 越低；其次，比较对端交换机BID值，BID值越小，则其优先级越高；最 后，比较端口的ID值，该值端口优先级和端口编号组成，选择值小的作根端口。选择指定端口在每条链路上选择一个指定端口，根网桥上所有端口都是指定端口，首先，比较 根路径成本；其次，比较端口所在网

50、桥的ID值；最后，比较本端口的ID值。NATNAT网络地址转换，可以将学校内部私有地址转换成外部公有地址，从而实现内 部网络与Internet的通信。NAT的实现方式有三种：静态转换、动态转换和端口多路复用。静态转换是指将内部网络的私有IP地址一对一地转换为外部公有IP地址，地址 固定不变，如将服务器的地址转换成固定IP地址。动态转换是指将内部网络的私有IP地址随机转换成NAT地址池中的公用IP地址 时，学校内部的任何私有IP地址都可以进行动态地址转换。端口多路复用(PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址 转换，采用PAT方式，校园内部网络的有私有IP都可以通过共享一个公

51、有IP 地址对Internet进行访问，最大限度地节省了 IP地址资源，同时，又可隐藏校 园内部的主机IP，避免来自外部网络的攻击。目前网络中大部分用户的使用的 都是端口多路复用方式。ACLACL访问控制列表是路由器和交换机接口的控制指令，用来控制进出设备的数据 包，其中包含了匹配关系、条件和查询语句，目的是实现对某种访问的控制。 校园内外网络的通信都是校园网络必不可少的需求，为了保证内部网络的安全 性，需要安全策略来禁止非授权用户访问关键的网络资源，控制访问是一种网络 安全技术。ACL使用包过滤技术，在路由器上读取报头源地址、目的地址、源端口、目的端 口等信息，然后根据自己设定好的规则对数据

52、包进行过滤，从而达到访问控制的 目的。由协议又分外部路由协议和内部路由协议两种，外部路由协议适用于多个自治体 系之间的信息交换，其代表BGP 一般应用于网络服务商内部，内部路由协议适用 于局域网内部，例如RIP、OSPF等都可用于组建校园网内部路由信息，根据校园 网建设范围和网络拓扑情况，从中选取合适的路由协议，对整个校园网和校园信 息应用系统的稳定运行具有重要意义。4.4内部路由协议比较现如今常见的内部路由协议有RIPv2、OSPF和EIGRP，路由协议的作用是在局域 网内部生成路由表，并保持定期维护和动态更新。如何选择合适的路由协议？需 要考虑路由协议的主要性能指标：计算方法、收敛速度、所

53、占用的系统开销、协 议安全性和所适用的网络范围。（1）计算方法路由协议计算的正确性指路由协议所采用的算法是否可靠，路由分直连路由、静 态路由和动态路由，静态路由的错误配置，浪费带宽的路由环路会随即产生，动 态路由协议在一定的环境下也会产生路由环路，优秀的路由协议算法应该拥有避 免路由环路机制。RIPv2采用的是距离矢量算法，最大为15跳，虽然启用了路由毒化、抑制时间 和触发更新等可以降低产生环路的概率的策略，但仍然不能消除距离矢量算法容 易产生路由环路的缺点，OSPF是链路状态协议，它使用迪克斯加算法来计算最 短路径，这种算法消除了路由环路的可能。EIGRP是结合了链路状态和距离矢量 型的路由

54、选择协议，是Cisco的专有协议，使用弥散修正算法（DUAL）来实现快 速收敛，可以不发送定期的路由更新信息以减少带宽的占用，可以有效地避免路 由环路的产生。（2）收敛速度路由收敛是指当网络的拓扑结构发生变化后，路由表重新建立达到稳定，并通知 网络中所有相关设备都得知该变化的过程，快速收敛意味着当网络拓扑结构发生 变化时，网络设备能很快地感知到并实时更新自身的路由表，RIP协议采用周期 性广播更新路由信息，周期性广播更新使路由收敛速度变慢，OSPF和EIGRP采 取不定期的组播更新在局域网中维护所有网络设备路由表信息的统一，同时在发 现路径信息改变时立即触发路由信息更新，这种触发更新机制使路由

55、快速收敛。（3）系统开销路由协议的使用需要占用CPU，内存和其他系统资源，系统资源，在这里指的是 包含一个局域网内的所有网络设备，相对于链路状态算法，基于距离矢量算法的 路由协议RIPv2具有花费较少的系统资源的优点，尽管OSPF复杂的算法会花费 更多的系统资源，但是对于汇聚层与核心层网络设备而言，这些系统开销 对于信息数据的正常传输的影响可以忽略不计。（4）安全性能RIPv2、OSPF支持基于接口的明文及MD5验证两种方式，增强网络安全性；运行 EIGRP协议进程的路由器之间也可以配置MD5认证，对不符合认证的报文丢弃不 理，从而确保路由获得的安全。（5）适用网络规模路由协议适用的网络规模略

56、有不同，RIPv2协议有最大15跳的限制，超过不可 达，所以适用于中小型网络结构，EIGRP协议同样不适应于大型网络拓扑。由于 OSPF的区域划分机制，OSPF协议可应用在由数目巨大的网络设备组成的大型网 络结构中。5.4.1路由协议的选择综合比较这几种常见路由协议，得出结论：对于大型的网络应优先选择OSPF路 由协议、而中小型网络就可以在OSPF和EIGRP中选择。而又因为EIGRP协议是 Cisco网络公司的专有协议，与其他厂商生产的网络设备存在兼容性的问题。所 以只有统一采用思科网络设备时才可以优先考虑使用 EIGRP协议作为路由协 议。参照比较这些协议的特点，OSPF是校园网的最佳协议

57、选择。（1）OSPF工作机 制1、通过组播发送Hello包来发现邻接路由器，组播能够提高网络效率，减小对 其它非OSPF设备产生的影响。2、建立邻接关系。网络中所有路由器仅仅与DR/BDR建立邻接关系，如果网络中 还没有DR/BDR，那么就要先选举出DR/BDR，DR通过分发LSA来描绘该网络类型 及通知网络中的其他路由器，当DR失效时，BDR会立即抢占DR，而BDR则在 DRother之间重新选举，当路由器之间确立了可信赖的邻接关系之后才会开始相 互通报链路状态信息。3、确定LSDB。建立邻接关系的OSPF路由器之间通过交互LSA，最终同一个区域 内所有OSPF路由器都拥有相同链路状态数据库

58、（LSDB），OSPF路由器只发布邻 居缺失的LSA给邻居，避免了资源的浪费，有助于提高路由收敛速度。4、依据LSDB用最短路径优先算法计算出最优路由。由于LSDB，同一 OSPF区域 内的路由器对整个网络拓扑结构都有相同的认识，所以计算出的路由不会产生环 路。（2）OSPF路由协议的特点为提高校园网的可靠性和健壮性，在网络建设和升级过程中应考虑网络拓扑和路 由协议的冗余备份能力，OSPF提出分别地区（Area）的概念，将自治体系分别为多 个小的地区后，仅需要在本身地区内成立同一的LSDB，大大减少了全部自治体 系所需通报的路由信息数目，减轻了路由器的承担和办理难度，也使得路由信息 不会随收集

59、范围的扩展而急剧膨胀，这类地区分别机制不但降低了系统资源的耗 损，并且网络资源也得到了有效的利用。OSPF进行区域划分后，就将路由信息 分为区域内和区域间两种，为有效管理不同区域间通讯，需定义一个骨干区域（Area 0）来汇总所有区域，全部区域间通讯都必须通过主十地区，全部非主十 地区都必须与主十地区直接相连，非主十地区之间不可以直接互换数据。所有区 域间通信都必须经过骨干区域，所有非骨干区域都必须与骨干区域直接相连，非 骨干区域之间不能直接交换数据。OSPF不是网络路由协议的唯一选择，相比于其他内部路由协议，OSPF也有不足 之处，OSPF不支持动态负载均衡，配置动态负载均衡需要人们来手工配

60、置优先 级，同时OSPF不支持自动汇总，路由自动汇总需要人工配置，增大了工作量， 然而，现如今，OSPF协议已经成了大中型局域网络的最佳选择，小型局域网同 样可以采用OSPF作为内部路由协议，网络拓扑简单，范围小的校园网除了可选 择OSPF外，还可以选择使用静态路由，静态路由同样可以保证网络的平稳运行， 且不会占有系统开销。在物理层正常的情况下，静态路由一经配置立即生效，不 存在收敛时间，静态路由同样被所有网络设备所支持。第五章服务器平台的设计校园网的服务器平台是校园网建设中的重点项目，它提供校园网中最基本的 功能，是提供校园网应用中的各种基本服务的基础设施，所以服务器平台的建设 在校园网建设