计算机网络-网络工程与组网技术

计算机网络-网络工程与组网技术第十章网络工程与组网技术学习目标：熟悉网络开发的设计、实施过程掌握网络的结构化布线技术熟悉网络的测试、维护技术在今天的信息化社会，任何级别的政府、公司、企事业单位建设一个计算机网络是进入现代社会必不可少的工程。而网络工程含：（1）网络规划：网络设计者通过分析、了解用户的需求，提出一份需求分析说明书和正式的通信规范说明文档。（2）网络设计：逻辑网络设计和物理网络设计。（3）网络实施工程。（4）对建设好的网络进行网络测试。（5）对网络作出网络性能评价等。对于建设并维护一个网络，应该具备以下文挡：（1）用户需求说明书。（2）正式的通信规范说明文档。（3）逻辑网络拓扑图。（4）物理网络结构化布线及设备布置图。（5）网络测试方案及测试结果。（6）验收报告（含：网络、设备及其软件）。（7）网络性能评价等。10.1网络规划10.1.1需求分析需求分析简单的说是为了搞清楚客户网络需求。网络的需求分析是网络开发的第一步，是后续开发的基础，也是开发过程中关键的阶段，需求分析做得不好，带来的是重复工作、延误工期或是超支等后果。而网络需求分析也是整个网络开发过程中的难点。为了搞清楚用户网络需求，需要与用户进行交流沟通，了解用户的所需和所想，并学习必要的用户方业务知识。但很多时候，甚至用户自己都不清楚具体需求是什么，或者是需求渐渐增加且经常发生变化，这就给需求分析工作带来了很大的困难。良好的需求有助于为后续步骤建立一个稳固的工作基础。需求的分析过程中需要考虑很多方面，大致可分为以下几个方面的需求：商业需求。用户需求。应用需求。计算机平台需求。网络需求。收集需求的过程有一系列的步骤：首先，从企业高层管理者或雇主开始收集商业业务信息，然后，收集用户群体的需求和已安装设备的网络需求。最后考虑的对象是网络【注：在开始需求分析时并不需要考虑网络和网络技术】，并生成一份详细的网络需求说明书。10.1.2现有网络体系的分析当需要将某一现有网络升级或改善时,必须分析该网络的体系结构和性能。分析阶段是对需求收集阶段的补充，需求分析是告诉网络设计者将要做的工作是什么，而现有网络体系分析则是告诉网络设计者网络现在所处于什么样的状态。在此阶段，一份正式的通信规范说明文档应该给出，作为下一个阶段逻辑网络设计的输入使用。网络分析阶段应该提供的通信规范说明文档输出如下：计算机网络-网络工程与组网技术全文共23页，当前为第1页。现有网络的逻辑拓扑图。计算机网络-网络工程与组网技术全文共23页，当前为第1页。反应网络容量的每个应用、网段【IP地址分配】及网络整体所需的通信容量和模式。详细的统计数据、基本的测量值和所有其他直接反映现有网络性能的测量值。Internet接口提供的服务质量（QoS）报告。限制因素列表清单，例如：必须使用现有线缆和设备等。10.2网络设计10.2.1网络工程的设计原则在对网络进行了需求分析之后，就可对需求方案进行详细的设计，形成具体的网络系统模型和实施方案。而网络工程的设计应遵从以下原则：实用性：坚持以实用为主的原则。先进性和成熟性：设计立足先进，相对成熟可靠的技术。经济性：从目前的设备投资和今后的维护、扩充费用全面考虑工程投资。开放性：网络系统应支持多协议、兼容各种拓扑结构、互连性好，与现有的和未来的网络系统互联。可扩充性：选用模块化的网络设备，为今后的扩展预留空间，以后根据业务发展的需要，可以再添加模块，进行扩充。可靠性和稳定性：网络拓扑结构力求简洁，有冗余，符合网络发展的方向；网络设备应具有很好的容错特性及热备份等，尽量避免单点失效；采用数据备份、数据日志和故障处理等对策；采用严格的网络系统运行控制等网络管理软件对系统进行实时监控；采用应急和故障恢复措施；选用的网络系统的接口与应用系统接口兼容并可靠；安全性：采取有效措施，有效防止数据窃取、非法访问等活动的发生。例如利用防火墙、杀毒软件、路由器、第三层交换机和网管系统等技术或软件，提供相应的安全控制，提高数据安全性。可管理性和友好性：利用先进的图形化的操作界面的网络管理软件，可以通过网管工作站监测整个网络的运行状况、迅速确定网络故障位置、合理分配网络资源、动态配置网络负载等。10.2.2逻辑网络设计在了解新网络的需求和当前网络的性能后，就进入了网络分析与设计的逻辑网络设计阶段。在逻辑网络设计阶段，网络设计者利用需求分析说明书和通信规范说明书来指导具体技术结构的选择。可用图10-1来说明逻辑网络设计在网络开发过程中所处的位置。网络需求说明书网络需求说明书通信规范说明逻辑网络设计图物理网络设计图图10-1逻辑网络设计在网络开发过程中所处的位置网络工程实施（1）逻辑网络设计的主要内容：网络拓扑结构设计计算机网络-网络工程与组网技术全文共23页，当前为第2页。局域网技术选型计算机网络-网络工程与组网技术全文共23页，当前为第2页。IP地址分配（确定网络节点及信息点数目）选择相关的设备产品。主要有：线缆的选择（无线网络则不需要）、交换机（主干、汇聚、桌面，是否可以管理等）、路由器和服务器及传输介质（双绞线、光纤、无线）的选定，其涉及到产品类型、品牌、性能、价格等因素。Internet连接技术选型（路由器及其协议选择）网络管理网络安全设计文档（2）网络拓扑结构设计网络工程主要由局域网和接入网来构成，因此在网络结构设计中可以将网络工程分为局域网和接入网两个部分。（2-1）局域网的设计：单核心结构，由一台核心三层交换机构建局域网的核心，通过多台接入交换机连接信息节点，核心交换机通过边界路由器（防火墙）接入到广域网中。它具有网络结构简单，节省投资成本，内部访问速度较快。适用于地理范围小的部门，而且核心交换机的端口密度要求较高，扩展能力较差，而且单核心出现单点故障将导致全网失效。双核心结构，有两台核心交换机来构建，两台核心交换机都通过边界路由器（防火墙）接入到广域网中，两台核心交换机之间也是互联的。它具有网络结构可靠，部门访问核心交换和广域网具有多条路径，核心交换机可以实现一主一备，但投资较高。环形结构，有两台或多台交换机构成一个环形网络，通过环上一台或多台交换机连接到边界路由器（防火墙）接入到广域网中，投资较高，而且核心路由冗余设计，实施难度高，容易形成路由环路。层次结构，将功能不同的网络划分开，定义为核心层、汇聚层、接入层。在层次结构中通过核心层接到边界路由器（防火墙）接入到广域网中。综合逻辑网络设计的主要内容，给出逻辑设计网络拓扑图【用软件：MicrosoftOfficeVisio】。（2-2）接入网设计局域网必须通过ISP接入到Internet中，ISP所能提供的几类常见接入方式：综合业务数据网CATV接入xSDL接入VPN接入光纤SDH接入（2-3）进行技术决策综合而言，网络设计的主要点是：网络拓扑结构设计，综合布线，出口路由器、防火墙、交换机、服务器及存储设备等硬件设备的选择，光缆、双绞线、无线等传输介质的选择。根据网络的各个层次中不同类型实现技术的优缺点，给合现有网络进行最终的技术决策，并生成逻辑网络说明书。10.2.3物理网络设计物理网络设计是网络设计的重要组成部分，它需要提供网络实施所必须的信息。物理设计的输入是前述步骤中生成的需求说明书、通信规范说明文档和逻辑网络设计说明书。计算机网络-网络工程与组网技术全文共23页，当前为第3页。物理网络设计的任务是为已设计的逻辑网络选择环境平台：主要包括结构化布线系统设计；为企业网或城域网选择局域网和接入Internet网络的技术及设备；生成建筑布局和物理网络结构图，为网络工程设施提供施工图。计算机网络-网络工程与组网技术全文共23页，当前为第3页。1．结构化布线系统结构化布线系统是一种跨学科、跨行业的系统工程，能够支持综合型的应用。布线系统所采用的结构，通常根据技术要求、地理环境和用户分布等情况而定，设计的目标是在满足技术指标的情况下，使系统布线合理、造价经济，施工及维护方便。由于结构化布线在网络开发中的重要性，许多国际知名网络应用设备生产产商都提出了各自的专用布线系统方案，以保证他们生产的设备在网络应用中发挥良好的性能。如表10-1列出了一些主要的布线系统。表10-1专用结构化布线系统厂商结构化布线方案AT&T公司建筑物布线分布式系统DEC公司DEC网络连接系统IBM公司IBM公司布线系统NorthernTelecom公司综合建筑物分布网络（IBDN）结构化布线系统主要由下述子系统组成：大厦的网络入口。设备室子系统。配线间。垂直骨干子系统。水平布线子系统。工作区子系统。其中，水平布线子系统和垂直骨干线缆子系统合起来又称为通用布线子系统，通用布线子系统还包括了配线间和设备室的交叉互联板。通用布线子系统可以在整个网络设计以前进行布线，它并不依赖厂商预先安装的设备部分。但要注意的是并非所有的建筑物布线都可以作为通用布线系统。根据不同的设备系统和线缆类型，EIA/TIA-568标准推荐了常用布线距离的最大值，如表10-2所示。表10-2布线距离子系统光纤(m)屏蔽双绞线(m)非屏蔽双绞线(m)骨干20002070室内互联20002070水平布线室到墙上设备2090墙上设备到网卡10102．生成一份详细的建筑布局和物理网络结构图在最后，物理网络设计还必须生成一份详细的物理网络结构图，而且其与建筑布局结构图应该是配套的。物理网络结构图和逻辑网络结构图一样是整个网络设计中最重要的图形之一，在网络开发完成，验收时必须要提交给客户，以方便其网络管理员进行管理维护。计算机网络-网络工程与组网技术全文共23页，当前为第4页。温馨提示：物理网络结构图是用以表示网络设备的物理连接方式（如线缆的一端接什么设备的什么端口，而另一端需要给出接什么地方、什么设备、什么端口！），或其在特定地点（如服务器机房）的布置方式。在物理网络设计中，物理网络结构图可能常常发生变化，但一定要及时将变化的情况反映在物理网络结构图中，不然，对以后网络的维护和管理将会造成极大的麻烦。总之，最终提交络客户的应该是一份与实际安装实施相符合的建筑布局和物理网络结构图。计算机网络-网络工程与组网技术全文共23页，当前为第4页。10.3网络工程实施网络工程（也称网络系统）的实施是根据设计方案和实施计划，将需求分析转化为实际的网络系统，其实包含了工程实施、系统调试与测试两部分。10.3.1工程实施结构化布线系统的实施网络设备的实施应用服务的实施如果前面各个阶段的工作很细致严密，严格遵守了各个阶段的规范，那么网络实施安装工作一般是很顺利的，但也可能会因实际的建筑结构所迫要改动物理布局，但这通常对整个网络的设计不会产生太大的影响。安装阶段的主要输出是网络本身。一个好的安装阶段应该产生的输出如下：最后更新的逻辑网络和物理网络结构图。对线缆、连接设备做出清晰的标识。为以后的维护和纠错带来了方便的记录和文档，包括测试结果和新的数据流量记录。在安装开始之前，所有的软、硬件必须到位，并对其进行过严格的测试。新的职员、顾问服务、培训和服务协议都是需要管理好，这些资源必须在安装阶段开始前获得。10.3.2系统调试与测试网络测试包括网络设备测试、网络系统性能测试和网络应用测试三个层次。具体内容有：结构化布线系统的测试系统功能测试（主要为服务器、交换机、路由器等的调试与测试）带宽和负载测试吞吐量测试传输速率测试可靠性测试安全测试布线时特别要强调布线质量，因为布线的好坏直接影响网络能否正常工作。布线测试是保障网络正常工作不可或缺的一道工序，只有通过严格的测试，网络系统才能投入运行。在布线工程完成后，必须对整个布线系统进行全面的测试。通常，由布线公司与用户的技术人员组成测试工作组，对所有信息点进行导通测试，或对所有信息点的20％进行抽查。验收合格之后，由技术人员负责网络的日常维护与管理。（1）非屏蔽双绞线测试从工程的角度来讲，结构化布线非屏蔽双绞线测试可划分为2类，一类是导通测试，一类是认证测试（含连接性能的测试和电气性能测试）。（2）光纤传输通道测试基本的测试内容包括连续性和衰减/损耗、光纤输入功率和输出功率、分析光纤的衰减/损耗及确定光纤连续性和发生光损耗的部位等。实际测试时还包括光缆长度和时延等的内容。光纤测试指标主要是衰减，如果衰减在标准范围内为“PASS”，反之为“FALL”。如果在测试光纤过程中出现一些问题，需要查看光纤磨接是否正确，光纤头是否一一对应。计算机网络-网络工程与组网技术全文共23页，当前为第5页。网络设备测试计算机网络-网络工程与组网技术全文共23页，当前为第5页。主要包括以下几个方面：功能测试、可靠性和稳定性测试、一致性测试、互操作性测试和性能测试。功能测试验证产品是否具有设计的每一项功能。可靠性和稳定性测试往往通过加重负载的办法来分析和评估系统的可靠性和稳定性。网络产品不同于其它产品的最大特点是必须符合标准，不同的网络产品之间要能互操作。一致性测试验证产品的各项功能是否符合标准。如交换机对IEEE802.3、IEEE802.3z、IEEE802.1P、IEEE802.1q、IEEE802.3x等的支持。互操作测试考察一个网络产品是否能在一个不同厂家的多种网络产品互连的网络环境中很好地工作。性能测试的主要目标是分析产品在各种不同的配置和负载条件下的容量和对负载的处理能力，如交换机的吞吐量、转发延迟等。典型的网络设备测试方法有两种：第一种将设备放在一个仿真的网络环境下进行测试；第二种方法是使用专门的网络测试设备对产品进行测试。温馨提示：需要注意的是：网络设备（尤其是服务器！）测试应注意该产品是否是所购厂家的正版产品！（可以检查维修证书，产品序列号等）。网络系统应用测试网络系统测试除了普通意义上的物理连通性、基本功能和一致性测试以外，主要包括网络系统的规划验证测试、网络系统的性能测试、网络系统的可靠性与可用性测试与评价、网络流量的测试和模型化等。网络系统的性能测试是指通过对网络系统的被动监测和主动测量确定系统中站点的可达性、网络系统的吞吐量、传输速率、带宽利用率、丢包率、服务器和网络设备的响应时间、哪些应用和用户产生最大的网络流量，以及QoS等。此项工作同时可以发现系统物理连接和系统配置中的问题，确定网络瓶颈、发现网络问题。测试设备记录一段时间内的网络流量，实时和非实时的分析数据。被动测量不干涉网络的正常工作，不影响网络的性能。主动测量向网上发送特定功能的数据包或网络应用，以分析系统的行为。网络应用层次上的测试则主要体现在测试网络对应用的支持水平，如网络应用的性能和服务质量的测试等。例如部署基于IP的语音传输VoIP时，最直接的问题是网络中的交换机和路由器是否有效地支持语音传输：网络能支持多大的语音流量、多少个语音通道；如果支持VoIP，对网络的其它业务特别是关键业务，会产生什么影响；网络是否支持服务质量QoS。这些问题都需要通过网络测试来回答。网络系统测试的核心工具是协议分析仪。这是一种专用的网络测试设备，它能够连接到网络上，产生并向网上发送数据、捕捉网上数据、分析数据。协议分析仪一般具有网络监视、故障查找、协议解码和流量产生等功能。网络流量的测试和模型化。网络流量的测试和模型化对于分析网络性能和带宽的利用率，指导网络流量管理，开发高效的网络应用十分重要。这方面的工作主要有：产生已知特征的流量，使该流量沿网络传播，最后回到测试仪。记录和分析流量特征的任何改变（如延迟漂移）。对链路总体流量的测量和传输时间、吞吐量、带宽利用率等的分析。分析特定流量的特征和提供的QoS；搜集一个时间段的测量数据进行分析，分析流量沿网络传播过程中流量特征的变化和网络流量的统计行为，建立流量模型。10.4实例分析10.4.1校园网的现状分析计算机网络-网络工程与组网技术全文共23页，当前为第6页。有某一校园网2006年建设的网络拓扑结构如图10-2：计算机网络-网络工程与组网技术全文共23页，当前为第6页。表10-3校园网现有网络设备类别当前预测（近2年升级、扩容、增加）备注网络中心主干设备核心交换机：思科4506、思科3512接入交换机：思科2950路由器：思科2651xm、2611增加核心交换机：2台更换核心路由器增加接入层交换机若干满足未来5-8年需要DNS、AD服务器：清华同方数据库服务器：HP570MLEmail服务器：SUN280RWWW、FTP服务器：HP370ML邮件网关服务器：HP150ML还需根据具体的需求增加服务器若干满足未来3-5年需要网络流量学校出口总带宽教育网:10M/s10M/s满足未来3-5年需要电信网：10100M/s或更高存在问题分析网络基础设施:所有的综合布线（光纤和双绞线）没有通过TIA/EIATSB-67《商用建筑通信布线测试标准》的测试，导致在用户数据在网络传输上存在着不同程度的延迟和丢包。很多时候网络的故障是由于网络综合布线的引起的。另外，所布的线缆没有标识，给维护来了很多的问题。出口带宽不足：该网络租用的出口带宽为教育网的10M和电信公网的10M，而教育网的10M带宽基本没用于用户上网（原因：现缺乏融合二条线路的设备），因此，出口都是通过电信的10M出口带宽出去。路由器：一台CISCO2651xm越来越显示出性能不能足以满足网络越来越多的用户上网要求，主要表现在：除早上8：00－9：00上网用户较少的情况路由器的CPU利用率比较正常：50％以下。其余时间，路由器的CPU利用率都在60％－99％之间。所以，出口是网络网速慢的又一个瓶颈。（附：10M的公网出口带宽经在路由器上观察一般能达到9M左右）。计算机网络-网络工程与组网技术全文共23页，当前为第7页。防火墙：网络现用的防火墙是一台部门级防火墙，性能较差，不能支持策略、管理工作，基本上没有发挥多大作用。计算机网络-网络工程与组网技术全文共23页，当前为第7页。网络管理：现在所有的网络设备还处于管理员人工监控和管理的状态，不能准确地定位和分析现有的网络状况以及对网络设备的监控和管理。用户管理：没有任何的用户管理和用户上网行为监控的管理软件，缺乏对校园网合法用户的认证和管理。用户：用户网络安全意识的淡薄，缺乏维护自己使用计算机的意识和能力。改进措施对于以上存在的问题我们提出以下改进的措施：加强基础设施的建设，特别是布线工程。未来的网络是一个光传输网络，速度和质量在未来的网络中将是一个重要的决定因素。因此，布线工程必须长远考虑，真正使信息通道达到标准、高质。符合国际和国家相关标准。增加网络出口带宽，提升至100Mb甚至更高，教育网的出口带宽视具体应用而定。更换现有的路由器，购买一台高性能、扩展性好的路由器，使用策略路由技术将教育网和公网两条链路聚合在一台路由器上。购买一台新的防火墙，目的：有效的防止目前互联网上较流行的攻击方式如：DOS攻击、DDOS攻击、IP伪装等；提供各种策略管理功能，提供HTTP、FTP、SMTP以及P2P过滤功能等应用层特性，将NAT技术在防火墙上实现，对于重点部门的子网提供防火墙功能。购买网络管理软件，完成对网络设备的故障、配置、性能、安全管理功能。合理的规划VLAN的划分和IP地址的分配管理，加强VLAN的控制和管理。加强对用户信息化的相关培训，提高他们使用计算机的水平和能力。综合而言：为了网络升级及保护已经具有的投资，综合布线、出口路由器的选择、防火墙的选择应排前3位。而为了保证校园网的运行质量及方便使用，交换机，光缆、双绞线、无线等传输介质的选择较为重要。而服务器及存储设备的选择，则可根据业务的需求来选择，也可以根据业务的发展来增加和扩展。10.4.2建设方案随着各项应用需求的发展，对于网络带宽需求也在不断的增长，传统的千兆主干百兆到桌面的千兆快速以太网技术已经滞后，作为新建的校园网，在网络建设上必须考虑到未来校园网发展的需求和目前校园网使用的最先进技术，在最大程度上保证学校的投资利益以及网络的先进性和扩展性，从而降低整个网络的运行和维护成本，所以推荐使用万兆以太网技术对网络的核心层、汇聚层、接入层进行整体改造，对于现有的网络扩建和改造，分满足学校未来5到8年内对于各种有关应用、语音、视频等多媒体信息的网络传输带宽，满足全校范围内教学、科研、管理的需要，并能实现从现有的IPv4向IPv6平滑过渡。从拓扑图上看，整个校园网的核心和主干设备分为：核心交换机、汇聚层交换机、接入层交换机，防火墙、计费网关、路由器、IDS、VPN、无线AP以及各种应用服务器和网络存储设备。整个网络分为三个层次：核心交换层、汇集层、接入层。校园网核心层采用的是环形拓扑结构，而汇聚层和接入层则采用的是双星型拓扑结构。网络主干的核心层由两台互为冗余的高速路由交换机组成，通过光纤分别与汇聚层的三层路由交换机实现冗余连接；各个汇聚层设备再连接到接入层的楼宇交换机上，并往下延伸连接至每个楼层的交换机，形成以核心高速路由交换机为中心的双星形拓扑结构。在交换机和防火墙之间放置一台计费网关，完成用户的认证管理和计费功能，在路由器和核心交换之间放置防火墙实现NAT功能和整个网络的安全防护，在网络边界上使用路由器将所有的IP聚合，并使用策略路由技术根据不同出口的实现路由。计算机网络-网络工程与组网技术全文共23页，当前为第8页。在网络边界上放置一台IDS，有效的解决网络的整网的监控和统计网络数据，通过入侵检测系统我们可以记录潜在的网络入侵工具数据和入侵报警等可靠的数据。计算机网络-网络工程与组网技术全文共23页，当前为第8页。整个网络采用分层结构，不仅逻辑结构清晰，管理方便；更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在第二或第三级的分布交换机上直接处理，不需要经核心设备，节省主干带宽，提高利用率。网络总体拓扑结构规划全部的网络设备均应支持高效的Intranet多媒体和多点广播技术、组管理协议等，为多媒体和多点广播应用提供端到端的带宽保证。建议在校园网中必要的地方实施无线网络。无线网络是附加或延伸于固有的有线网络之上，不存在重新铺设网络的费用。另外，无线网络可以安装在铺设有线网络有困难、花费高、或不可能的场所，如历史建筑、室外场所等。那些因为种种原因不能到教室上课的学生可以通过无线网络听课，回答问题和查找课堂所需资料。这种弹性的网络课堂功能可以帮助学校开设更多的课程而无需增加教室的数量。帮助学生在任何时间、任何地点连接网络，在线完成作业、研究并查找资料，和同学、老师、朋友及家人沟通。校园无线局域网的实施成为高校吸引新生的竞争优势，并创造出一种连接校园、学生、教师和学习成为一体的环境。在校园无线网络中，学生们可以不论身在何方接入网络，他们可以做在线学习，收发邮件，完成作业，并且与其他学生和老师在线讨论、协同工作。最优秀的学生选择最优秀的大学，越来越多的高等学府引进科技教学，以便学生在今后的工作中熟悉环境。无线网络让学生体验到未来工作环境中的技术应用，和只有有线网络的大学相比，具有很强的竞争力。计算机网络-网络工程与组网技术全文共23页，当前为第9页。根据以上分析，校园网的核心交换机应由具备第三、四层交换能力的高性能万兆交换机构成，该交换机具有高可靠性，冗余热备份能力，支持QOS，硬件支持IPv6可内置防火墙IDS、VPN、网络流量监控分析设备，能够提供足够的万兆骨干接入端口和充足的1GB/10GB端口。学校的中心服务器、出口防火墙/路由器、网管工作站等都可以视情况直接或通过汇聚层级交换机连接到核心交换机。校园内其它部门配置汇聚层交换机，以千兆/万兆速率接入到核心交换机，对于可用性要求较高的部门，可使用冗余线路接入。汇聚层交换机的选型可根据下级部门的网络规模和信息应用情况，配置中小型的交换机，该交换机应能够提供1~2个千兆/万兆上联的接口，若干10/100M自适应接口。计算机网络-网络工程与组网技术全文共23页，当前为第9页。10.4.3技术选型这里的技术选型主要是指网络基础设备的选择，他们是：交换机、路由器、防火墙等，不含服务器及存储设备。可以选择的有：思科、H3C，锐捷等公司的产品。思科的产品技术先进，性能好，质量稳定，但价位较高。H3C，锐捷为国内的品牌，上升势头明显，价格相对便宜，并能实现并满足局域网的业务需求。设计者可以根据资金及业务需求而选择。（一）设备选型：（本案例以思科为例进行设备选型）逻辑网络建设规划：核心交换机：核心交换机作为整个校园网的核心，对其有很高的要求，建议采用万兆以太网技术和多层交换技术，配置有冗余电源、冗余中央处理器。网络核心交换机采用Catalyst6509交换机，Catalyst6500系列多层交换机是Cisco公司的最新交换机，也是端口密度最高、性能最佳的万兆交换机，支持多种类型的网络接口，具有第三层和第四层的交换和控制功能，是智能型的多层交换机，具有高性能、高集成度的特点，Catalyst6500交换机具有的第三层交换功能，可以实现整个网络中VLAN的分布式交换，减轻主干的压力，并可以与Cisco的增强型SpanningTree技术相结合，对不同类型的终端与主机、终端与终端间通信的数据流向的控制，提高数据传输的效率。计算机网络-网络工程与组网技术全文共23页，当前为第10页。核心交换机上的千兆/万兆模块主要用来与汇聚层交换机相连接。在距离较近，采用多模光纤相连接；较远的汇聚交换机可以采用单模光纤相连接。由于Cisco全部的千兆以太网接口都是模块化的，用户只需选择相应的GBIC(千兆网光纤适配卡)来配合不同种类的光纤连接方式，并且GBIC可以通用在所有的交换机、路由器的千兆端口，这样，不但能适应网络环境的变化，保护用户投资，而且也可适应一些应急方案，具有极大的灵活性。计算机网络-网络工程与组网技术全文共23页，当前为第10页。Catalyst6509具有9槽机箱，支持多个逻辑网络接口；端口设计灵活，支持万兆、千兆、百兆等多种类型的业务接口，可以扩展支持其它主流网络设备接口；同时单板上可以同时提供高密度（多于4个万兆端口/单板，32个千兆端口/单板）万兆、千兆、百兆多种端口接入，从48端口到576端口的10/100/1000以太网布线室到能够支持192个1Gbps或32个10Gbps骨干端口。主机支持主控和分布式转发双模式，以及多台设备的负载均衡，保障设备能够不间断的连续运行。Catalyst6500提供720Gbps的背板带宽并可扩展到、多层交换能力达400Mpps。客户还可使用FastEthernetChannel或GigabitEthernetChannel，集合两条物理万兆以太网链路，实现高达20Gbps的逻辑连接。Catalyst6000系列提供业界领先的万兆以太网骨干网解决方案，以满足当今要求最高的、快速增长的校园网的需求。CiscoCatalyst6509为校园网的多层数据及语音交换提供了高效的解决方案。Catalyst6509是高扩展性、高端口密度、高效率和性能的千兆交换机。自身有应用智能，QOS(质量保证)机制，增强安全性。汇聚层交换机：汇聚交换机的选型，将根据下级部门的规模和网络应用有不同的选择。对于比较大的部门，如端口密度在100以上的，或部门（大楼）内有很多部门且部门间主机较多或数据量较大时，使用一台Catalyst4506/4507R交换机。CiscoCatalyst4506/4507R交换机具有64Gbps/136Gbps的背板带宽，6个模块化的插槽，最大可有160个10/100Mbps端口和36个1000Mbps端口，具有第三层交换功能，是汇聚层/万兆千兆交换机的理想选择，其第三层交换能力，可以用于本地VLAN之间的通信，减轻了核心交换机的负载，特别使用于本地各部门之间数据交换较大的情况。对于端口密度较小，如端口密度小于100或VLAN之间数据量较小时，建议采用一台CiscoCatalyst3500/3750系列交换机或多台3500/3750系列交换机堆叠的方式。Catalyst3500/3750系列交换机具有48(3548)/24(3524)/12(3512)个100/1000M自适应端口，2个1000M上联端口，10Gbps的背板带宽，是性能价格比极高的交换机，为可堆叠的、无阻塞线性传输的高性能第二层交换机。两个千兆上连端口，其背版带宽高达10Gbps，每秒钟可交换七百五十万个数据包。这些交换机通过千兆光纤端口与核心交换机相连接，并根据其连接所使用的光纤类型各自配有一个相应型号的GBIC。Catalyst3500系列汇聚交换机可以每个独立构成一个VLAN，也可以多个接入层交换机构成一个VLAN。VLAN之间的路由由核心交换机负责。不同的部门/部门可以通过配置不同的VLAN等方式来隔离广播和信息流，不但可以提高网络效率，而且可以增强网络安全。接入层交换机：CiscoCatalyst2950/2970系列交换机是一款价格十分合理的千兆位以太网交换机，可以作为接入层交换机，提供线速智能服务。CiscoCatalyst2950/2970系列交换机拥有一整套全面的智能服务，利用其现有的5类铜缆，速度可提高至100Mbps，六类铜缆，速度提高至1000Mbps。边界路由器：为满足Internet接入和远程教学、访问的需要，网络应配置一台或多台高性能的路由器。根据路由器的用途，路由器分为两类，一类是Internet接入路由器，该路由器直接连接到Internet，为校园网用户提供Internet访问的能力，同时也为Internet的用户提供访问校园网的能力，用于如远程教学等的应用。另外一类路由器，作为拨号接入的路由器，该路由器与公用电话网（PSTN）或综合业务数字网（ISDN）相连，提供拨号接入校园网的能力。计算机网络-网络工程与组网技术全文共23页，当前为第11页。核心路由器应具有以下功能：计算机网络-网络工程与组网技术全文共23页，当前为第11页。路由器应充分满足学校多出口的策略路由产生的应用需求，方案提供学校完整的三层路由整合方案以满足学校对多个因特网出口的高效合理使用路由器设备支持分布式转发模式；总线带宽不小于1G，整机包转发能力不小于30Mpps；路由器支持在设备上完成硬件NAT转换，支持各种动静态路由、VRRP等功能，并可靠保证对多出口－多种策略路由的可靠支持；设备支持OSPF、RIPV1、RIPV2、BGP4、IGMP组播、PIM和DVMRP协议等多种路由协议。支持完善的ACL访问控制策略的定制，要求可以支持MPLSVPN、策略路由等多种功能，高可靠性：保证核心设备主控和电源等关键部件的高可靠性；主控板和业务接口板支持热插拔；系统要求采用冗余电源，电源支持热拔插。高标准的硬件内核：使用高性能CPU和大容量主内存(内存大小不小于256M)，具备强大的控制信息处理能力，保证系统在高负荷运转的环境下依旧保持正常的控制性能，并能够在异常情况下进行警示。设备具有IPv6扩充模块，能够满足当前IPv4到IPv6的平滑升级，并能够提供下一代IPv6的各项功能。推荐Internet路由器使用Cisco7200路由器拥有出色性价比的Cisco7200系列路由器可以提供很多网络服务加速解决方案，如通过网关连接到WAN和Internet的地区和分支办公室、企业和服务供应商的远地集中（多个分散地点通过一个中央地点实现互连）、要求IBM数据中心连接的地点、要求能够将以上所有功能结合起来实现多服务语音、视频和数据的多功能能力的地点。Cisco7200的一个关键优势是其模块化特性。在7200系列的配置中，客户可以选择4种处理引擎、一个4或6插槽多服务机箱、不同的输入/输出（I/O）控制器以及多种LAN和WAN端口适配器，这使7200系列能够提供大量不同的配置，以满足不同的网络需求。Cisco7201VXR和7206VXR机箱最高可以提供1Gbps的背板带宽，并包括了集成的多服务交换（MIX）功能。端口适配器覆盖了多种LAN和WAN连接，端口总数最高可以达到48个，并提供单电源或双电源。这种模块化设计在使客户获得自己所需要的性能和容量的同时，还为客户提供了投资保护和有保证的扩展途径。网络业务控制单元随着学校Internet接入和远程教学、访问内容及应用的丰富，越来越多的人走进校园网络天地，体验校园网络的精彩。然而，随着校园网络用户数量的快速增加，广大师生对校园网络的服务质量提出高品质网络服务需求。但是同时层出不穷的新的应用同时也给校园网络运维带来了更大的挑战，比如P2P的广泛应用就给网络运维带来了很大的压力。P2P应用的广泛使用导致那些版权所有者面临资料被随意使用的巨大威胁，同时，还为校园网络服务带来网络容量和用户预期管理问题。每个IP网络在构建时对用法都有一定规划，这些规划反过来又可以支持已有的用户基础，但是每个用户对信息量需求大小不一，特别是网络中存在的“AbusiveSubscribers（侵略型用户）”。校园网络应该针对各种网络业务应用，根据网络资源的使用情况，如带宽、ＱｏＳ、安全、组播支持、策略路由等，可以进行严格区分的网络应用业务识别、分析、控制。并且在此基础上给用户以灵活多样的服务质量选择。因此，校园网络必须能够对应用进行管理：识别有校园网络中多少应用；流量从哪来流量到哪去用户做什么计算机网络-网络工程与组网技术全文共23页，当前为第12页。各种应用的时间特性计算机网络-网络工程与组网技术全文共23页，当前为第12页。各种应用占用多少带宽控制校园网络中的各种应用而且，校园网络还必须能够将应用与使用者结合进行管理：多少用户在使用哪些应用各种应用占用了多少带宽哪些用户是关键用户哪些应用是关键应用用户对应用的使用分析、控制这种网络业务控制分析对校园网络如何维持网络稳定的ROI模式，保持一定级别的未来需求可见度都具有重要作用。推荐网络业务控制单元使用CiscoSCE2020业务控制引擎思科SCE是思科公司的硬件加速和深度包检测设备，是网络业务控制解决方案的核心。在分层服务方案情况下，SCE按用户IP数据路径进行顺次部署，根据每个用户执行相关策略。该设备可通过配置NMS（CLI，SNMP）和专用服务进行配置和监控。该平台可以对用户进行识别，用于管理用户层次的配额及基于应用的服务。出于分析目的，该平台也可在不同粒度下生成网络使用率数据。通过使用思科SCE网络业务控制解决方案，可以对校园网络的数据应用流量进行深层应用感知识别和控制，保证校园网络应用数据流量的健康有序，并可为各种网络业务开展提供详尽的用户网络应用使用习惯模式参考和分析，如图10-5。图10-5a所有应用双向数据报告图10-5bBT应用下行数据报告计算机网络-网络工程与组网技术全文共23页，当前为第13页。图10-5cBT应用上行数据报告图10-5cBT用户使用情况报告计算机网络-网络工程与组网技术全文共23页，当前为第13页。图10-5cWEB流量数据报告图10-5dE-mail用户发送情况报告图10-5e网络受到攻击数据报告图10-5f攻击发起人情况报告防火墙为了保证校园网的安全，防止未经许可的非法访问，在校园网对外的出口应设置防火墙系统，对流入或流出校园网的数据流进行安全过滤、限制。建议使用CiscoCatalyst6500系列防火墙服务模块作为校园网的防火墙CiscoCatalyst6500交换机路由器的防火墙服务模块（FWSM）是一种高速的、集成化的服务模块，可以提供业界最快的防火墙数据传输速率：5Gb的吞吐量，100000CPS，以及一百万个并发连接。在一个设备中最多可以安装四个FWSM，因而每个设备最高可以提供20Gb的吞吐量。作为世界领先的CiscoPIX防火墙系列的一部分，FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能。FWSM采用了CiscoPIX技术，并且运行CiscoPIX操作系统（OS）--一个实时的、牢固的嵌入式系统，可以消除安全漏洞，防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法（ASA）的保护机制，它可以提供面向连接的全状态防火墙功能。利用ASA，FWSM可以根据源地址和目的地地址，随机的TCP序列号，端口号，以及其他TCP标志，为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。这种信息被存储在一个列表中，所有进入的数据包都和列表中的项目相比较。只有存在能够批准通过的相应连接线路，才允许通过防火墙进行访问。这种方案帮助您的机构授权内部用户和经过许可的外部用户进行透明访问，同时保护您的内部网络免遭未经授权的人的访问。实时嵌入式系统还增强了PIX的安全性。与基于UNIX的代理服务器不同的是，代理服务器的源代码唾手可得，并向黑客们提供一个侵入的目标，而PIX的专用系统是专门为防火墙的安全运行而设计的。IDS设备计算机网络-网络工程与组网技术全文共23页，当前为第14页。入侵检测系统的网络安全中重要组成部分。它可以与其他设备（防火墙、VPN）合作，有效地保护数据基础设施安全。随着网络安全威胁的复杂性的日益提高，实施有效的网络入侵安全解决方案对于确保高水平的安全保障至关重要。高水平的安全保障可以确保业务连续性，最大限度地避免入侵可能造成的巨额损失。计算机网络-网络工程与组网技术全文共23页，当前为第14页。建议使用CiscoCatalyst6500系列入侵检测系统（IDSM-2）作为IDS设备CiscoIDSM-2可以提供下列特性和优点：思科是唯一可以提供一个交换机内置IDS解决方案的厂商，这种解决方案可以通过VLAN访问控制列表（VACL）获取功能来提供对数据流的访问权限。VACL可以支持无限个VLAN。通过被动的、综合的操作提供透明的操作。这种操作方式可以通过VACL获取功能和交换机端口分析工具/远程SPAN（RSPAN/SPAN）检测分组的复本，而且如果设备需要维护，因为它并不位于交换机转发路径上，因而它不会导致网络性能降低或者中断。体积只占一个机架单元，在CiscoCatalyst设备中只占用一个插槽，从而使它成为能够有效地支持所有Catalyst设备（从有三个插槽的Catalyst6503到这个系列中最大的设备）的平台，并让用户可以根据自己的需要，同时安装多个模块，为更多的VLAN和流量提供保护每秒500Mb（Mbps）的IDS检测能力可以提供高速的分组检查功能，让用户可以为各种类型的网络和流量提供更多的保护多种用于获取和响应的技术，包括SPAN/RSPAN和VACL获取功能，以及屏蔽和TCP重置功能，从而让用户可以监控不同的网段和流量，同时让产品可以采取及时的措施，以消除威胁使用与曾获大奖的CiscoIDS网络设备相同的程序代码，让用户可以将单一的管理技术作为标准，并让安装、培训、操作和支持变得更加便捷，同时可以利用CiscoIDS的全面的攻击识别能力和特征库重要的管理技术（例如CiscoVMS2.1安全产品包提供的支持，以及内置的CiscoIDS设备管理器（IDM）、IDS事件浏览器（IEV）本地管理功能和CLI支持）让IDSM-2更加便于管理，更加善于检测和响应威胁，同时就潜在的攻击向管理人员发出警报。此外，这个新的产品还让管理人员可以更加方便地在范围广泛、多样化的网络上管理多个设备VPN设备VPN技术是企业互联分支机构的完全解决方案，通过VPN隧道，我们利用Internet现有的资源安全的互联两个地区的局域网，数据经过公钥的加密和私钥的解密保证了数据传输的安全性和不被篡改等作用。在校园网里面中我们利用VPN设备可以为在外出差的教师方面的访问学校内部的网络建立一条通道，在内我们对于需要访问一些重要的部门如教务处财务处等建立一条机密的数据链路来保障数据传输的安全性和不被篡改。建议使用CiscoCatalyst6500系列IPSecVPN服务模块作为VPN设备CiscoIPSecVPN服务模块能够为CiscoCatalyst6500系列的端点位置提供经济有效的VPN性能。CiscoIPSecVPN服务模块提供的主要特性如下：能集成到网络基础设施中--模块同时支持CiscoCatalyst6500系列和Cisco7600系列互联网路由器**。由于VPN集成在这些基础设施平台中，无需另外添置设备和网络组件就能提高网络安全性。不仅如此，全部网络服务模块都能与安全基础设施一起使用。高性能和可扩展性--这个模块利用了最新的加密硬件加速技术，能够为大型分组（500字节以上）提供1.9Gpbs的3DES流量，为普通大小的分组（300字节）提供1.6Gbps的3DES流量。另外，它不但能同时端接8000条IPSec通道，还能以高于当前产品的速度设置这些通道。提供高级安全服务--推出IPSecVPN模块后，为网络添加加密、认证和完整性功能变得更加容易。安全园区网、供应商边缘VPN终止和安全融合网络服务（如VoIP和城域网）等应用非常易于部署。将VPN集成到基础设施中 VPN模块支持CiscoCatalyst6500机箱，因而允许用集成式方法在基础设施中建立VPN。无需在园区网、内部网和/或城域网中使用独立的VPN设备。计算机网络-网络工程与组网技术全文共23页，当前为第15页。全套VPN特性多种PKI支持，自动登记证书以及全套通道支持。计算机网络-网络工程与组网技术全文共23页，当前为第15页。适应多种网络流量类型和网络拓扑借助CiscoIOS软件，几乎可以安全、可靠地传输任何类型的网络流，包括在IPSecVPN上传输多协议、组播和IP电话。不仅如此，丰富的路由功能还允许使用网状和分级网络监控保证长VPN开机时间 通过IPSec、IKE保持激活信息、HSRP和环境监控路由VPN和网络基础设施管理 VPN管理分成三类：•针对单设备管理的嵌入式HTMLVPNDeviceManager（VDM）•针对单设备管理的嵌入式HTMLVPNDeviceManager（VDM）•针对服务供应商和大企业VPN、安全性和QoS管理的VPNSolutionCenter（VPNSC）网络管理系统网络管理主要应包括五个方面内容：故障管理：故障的检测、隔离和纠正等；配置管理：管理网络的拓扑结构、设备连接方式和参数设置，收集有关的状态信息；性能管理：收集和分发统计数据，维护系统性能的历史记录，模拟各种操作的系统模型，从而评估系统资源的运行状况及通信效率等；安全管理：保护网络资源与设备不被非法访问以及对加密机制中的密钥进行管理；计费管理：即监控用户对网络资源的使用情况并计算费用等。具体而言，一个完善的网管系统，应能提供以下功能和信息：网络拓扑结构显示；网络设备故障监测；网络设备性能监测；网络设备配置管理（安装、性能调优、命令集管理）；网络带宽利用率实时图形显示；历史记录和网络报告。要实现网管功能，目前有两种方式：采用通用网管平台，通过挂接相应网络产品的MIB库，实现对网络拓扑结构、网络故障等方面的管理功能。主要的网管平台国外产品有HPOpenView、SunNetManager和IBMNetView等。各家网络厂商均有针对自己产品的专用网管平台，利用它，除了实现方式1）中功能外，还可实现相应网络设备的配置管理（安装、性能调优、命令集管理）功能。一般来说，当园区网各层（核心层、分布层、接入层）网络设备均采用同一厂家的产品时，方式1）即可满足网管的需求；但是，目前许多网络在各层选用不同厂家的设备，因此，当前的网管方案基本采用方式1）和2）结合起来，共同实现对网管的功能需求。对于校园网内众多的Cisco网络设备，需要有一套集成的，统一的，集中与分布式相结合的网络工具来对整个网络系统实施监控和管理，提高系统可用性，保障系统高效，稳定的运行。CiscoWorks2000正是对于网络设备的管理专门设计的这样一个软件。建议使用CiscoWorks2000网络管理软件CiscoWorks2000应用程序中包含上述特性后可减少管理网络所需的时间和与此相关的错误，同时提高工作人员的工作效率和网络可用性。CiscoWorks2000系列产品继承了CiscoWorks、Cisco资源管理器[CRM（CiscoResourceManager）]及CWSI（CiscoWorksforSwitchedInternetworks）的功能。新推出的管理产品包括功能增强的工具、重要的新功能及基于标准的第三方集成工具。尤为重要的是CiscoWorks2000还包括： 用于关键管理工具和产品的基于Web接入的RME(ResourceManagerEssentials)计算机网络-网络工程与组网技术全文共23页，当前为第16页。 管理交换机和网络业务的CWSI园区网计算机网络-网络工程与组网技术全文共23页，当前为第16页。 建立管理内部网的Cisco管理连接 CiscoView图形设备管理工具 将来增加功能时可插入的模块提供AssuredNetworkServices：革命性的TelnetAssuredNetworkServices战略概述了用来管理Cisco网络的产品、业务及综合知识。CiscoWorks2000系列展示了基于Web的全面集成网络管理解决方案的重大进展。该方案将系统管理、业务及支持作为管理内网的组成部分进行了集成。网络用户管理和计费系统网络管理的另外一个重要的方面，用户计费和管理系统，其中计费与用户管理认证系统应有以下功能：用户管理：用户身份认证：实时地对用户进行唯一性检查（用户账户、IP地址也可是MAC、VLAN）），杜绝IP地址或账户盗用。用户授权：带宽授权：对每个用户进行精确的带宽限制；功能授权：对用户的使用时段，星期，TCP端口，过滤表进行授权。用户实时控制：目标地址实时控制：根据用户访问的目标IP地址进行监控，可以设定用户只可访问或不可访问的IP地址，网站，用户只可以访问指定的范围的目标地址；目标端口实时控制：对用户可以设置TCP端口限制，用户只可以使用指定目标端口；使用时段实时控制：可以设定用户每天使用时段和使用日期；用户IP地址和MAC绑定控制：用户账号可以绑定用户的IP地址、MAC地址，如果IP地址和MAC地址与设置不同，则不接受账号登录；使用时间和流量的实时控制：对用户累计使用的时间流量进行实时监控，如果用户使用超过预先设定的流量和时间限制，则会自动切断用户连接；也可以对用户的储值，信用额度进行限制，超过也会自动停机；带宽实时控制：控制用户的各种域内服务和互联网接入的带宽在预先设定的最大值范围之内，防止个别用户占用过多带宽；费率实时控制：根据时段，节假日，星期提供不同的费率优惠，也可以根据用户的目标地址不同使用不同的费率收费；费用实时控制：对预付储值卡用户实时扣费，当储值费用为零时，可实时立即切断用户的服务。当用充值卡充值后即可开通。在过去的数年中，众多的高校成为了CERNET接入单位，并且各高校的网络建设发展亦十分迅速，可以说已经把校园的行政、教学、办公等诸多环节融入了校园网当中。在目前的校园网建设中贯穿着一个规则，就是将“任意用户在任意地点在任意时间获取任意平台的任意网络服务”作为最终目标。校园网的变化翻天覆地，给网络管理带来很多挑战，最明显的问题就是网络流量的计费问题，CERNET在成立初期，采用了国内地址收取固定费用、国外地址按照流量收费的政策。相应的，各个接入单位（主要是各高校校园网）对自己的网络用户也采用了类似做法。但由于按照流量计费存在种种困难，长期以来，很多院校只有少部分人员能访问国外的网络信息。对广大用户仅开通国内的网络服务显然已经不能满足广大师生的要求。因此，设计并实现一个符合大学校园网需求的计费系统已经成为刻不容缓的任务。计费方式计费管理一直是网络管理的一个重要部分，各个高校网络管理部门在发展自己的网络的同时，同时也都在逐步完善自己的计费政策，并根据政策设计实现了各种计费系统。根据对网络资源使用情况度量标准的不同，这些计费系统可以分为按照流量计费和按照接入时间计费两种。由于教育网的计费政策是按照流量计费，因此高校网络的计费系统通常都是以流量作为度量标准的。根据实现技术的不同，还可以将现有高校校园网计费方式分为如下几种：（1）基于IP地址计费计算机网络-网络工程与组网技术全文共23页，当前为第17页。基于IP地址计费，是指针对每一个IP地址统计流量并收取费用。在校园网的范围内，通过路由器记录每个IP地址的流量数据作为计费的原始依据，并向IP所在的单位征收费用。在CERNET建成的初期，大多数校园网都是采用这种方式完成计费管理的。计算机网络-网络工程与组网技术全文共23页，当前为第17页。几乎所有的网络设备和网络标准都支持流量数据的采集，例如SNMP协议的MIB变量中就有专门定义流量的变量，CISCO公司的路由器同时还有专门采集流量数据的工具NetFlow。因此基于IP地址的计费系统在技术实现上非常简单。同时对财务管理的实现也比较方便，只需要建立交费单位和IP地址的对应表就可以了。然而，在TCP/IP协议的网络上，IP地址非常容易修改，只要简单的设置自己计算机的IP地址为一个合法用户的地址，就可以无偿的使用网络资源，而把费用转嫁给这个用户。显然，这种IP盗用的问题是必须解决的。所以又产生了IP地址和MAC地址绑定的改进的计费方法。（2）基于PROXY的计费为节约有限的IP资源，很多网络建设中都采用了基于代理服务器的网络设计方案。在这样的系统中，代理服务器将内部网络和Internet隔离开来，内部网络就可以用Internet有关组织所定义的内部IP，只有访问Internet时才使用代理服务器的外部IP地址。显然，这样的系统中，内部网络的机器对外部是不透明的，子网外部的设备只能看到拥有外部地址的代理服务器，而不能获取内部用户使用网络资源的详细情况。在某些小的校园网中，全部机器都是通过网络中心的代理服务器连接到Internet的。这些校园网的计费就是要对代理服务器内部的资源使用情况做出分析，也就是针对代理服务器的使用用户计费。常用的代理服务器软件，如NT的MSProxy、Netscape的Proxy和基于Linux的代理服务器，都有记录用户访问信息的详细资料的功能，如：用户账号、目标IP地址等，因此这些校园网的计费系统就只需要将代理服务器日志文件的相关信息读入数据库，然后按照相关计费政策进行一定处理就可以了。基于代理服务器的建网在网络资源有限时可以在一定范围内简单的缓解IP资源紧张的情况，但毕竟可以同时支持的用户有限，对代理服务器的配置要求也较高。从某种意义上，代理服务器可以说是在小的子网中动态申请IP的一种方式。（3）特殊应用的计费针对某些特殊应用的具体情况，还有一些其它的计费系统实现方案。1．拨号计费：校园网内有相当数量的拨号用户。对于拨号用户，目前都是采用按上网时间计费的政策。类似于PROXY计费，很多拨号的软件具有记录日常工作的功能。如XTACACS的拨号认证，就支持用Telnet协议读取它的日志文件，得到拨号用户的上网时间信息，从而完成计费。但XTACACS的日志文件只有连接总流量的记录，无法区分这些流量是访问什么类型的资源，因此，只能通过设免费和收费两种入网号码来限制用户的访问资源，而不能根据服务种类或访问区域设定不同的计费政策。目前比较通用的拨号系统Radius可以支持比较复杂的计费系统：当检测到一个拨号用户成功登录时，Radius服务器将该用户的用户名和本次连接所分配给用户的IP通知给IP计费服务器，于是计费服务器可以将IP的流量和用户绑定，直到接收到Radius服务器关于该用户断开网络连接的通知为止。采集到的数据传输到数据库服务器，由其它模块进行进一步的计算。2．电子邮件的计费电子邮件服务是网络服务的一大部分，一般电子邮件服务是根据流量计费的。邮件服务器中存有邮件的日志文件，可以设计计费系统定时的通过FTP或Telnet从Email服务器上获取日志文件，将记录的信息做出相应处理。网络安全安全架构的七道门：第一道门—防火墙：防火墙是网络安全的最基本工具，它可以有效的防止目前互联网上较流行的攻击方式如：DOS攻击、DDOS攻击、IP伪装等；业界主流产品均采用实时状态监控体系，同时好的防火墙产品不仅集成VPN功能，还可以提供的HTTP、FTP、SMTP过滤功能等应用层特性，它可以更加有效的保护客户的网络。第二道门—VPN：VPN技术是企业互联分支机构的完全解决方案，通过VPN隧道，我们利用Internet现有的资源安全的互联两个地区的局域网，数据经过公钥的加密和私钥的解密保证了数据传输的安全性和不被篡改等作用。计算机网络-网络工程与组网技术全文共23页，当前为第18页。第三道门—IDS入侵检测系统：由于网络系统上的安全问题随时可能发生，有效的解决方案除了保护还要有全面的监控和统计，入侵检测系统就是有效的全面监控和统计网络数据的工具，通过入侵检测系统我们可以记录潜在的工具数据和入侵报警等可靠的保障。计算机网络-网络工程与组网技术全文共23页，当前为第18页。第四道门—内部VLAN的划分和ACL的设置：VLAN技术是目前交流行的局域网技术，它可以通过逻辑子网的概念将处于不同地理位置的统一部门员工逻辑的分到同一个VLAN，如果附加上VLAN间的ACL可以更加提高局域网的安全性，使重要部门得到充分的保障。第五道门—防病毒软件：在网络环境下，计算机病毒有不可估量的威胁性和破坏力，应此计算机病毒的防范是网络安全性建设中重要的一环。第六道门—分布式Sniffer：嗅包器Snifter是目前最流行的网络协议流、数据流和包分析器，它可以动态的监控局域网内的协议分布、数据流量及包的内容，网管可以通过嗅包器捕捉的数据合理的安排网络应用，充分的利用网络带宽，并且能够有效的监听网络上异常的数据传输，从而保障了网络系统7×24小时的不间断运行。第七道门—安全风险评估：通过对现有的操作系统、应用软件及数据库进行全面的安全策略评估，定制新的安全策略，提交完全的审计报告。通过这些功能对用户系统漏洞的评估与改进，可以大大减小其潜在的安全威胁。七道安全大门是一个整体，结合应用可以为自己的网络系统提供全面的安全保护手段；根据自身实际情况，也可从中选择几种方式结合或分期构造，搭建一个安全可靠的网络。图10-6网络安全系统结构计算机网络-网络工程与组网技术全文共23页，当前为第19页。附产品列表计算机网络-网络工程与组网技术全文共23页，当前为第19页。核心交换机CiscoCatalyst6509产品描述WS-C6509Catalyst6509Chassis,9slot,15RU,NoPowerSupply,NoFanTrayWS-SUP720-3BCatalyst6500/Cisco7600Supervisor720FabricMSFC3PFC3BWS-CAC-3000WCatalyst65003000WACpowersupplyWS-C6K-9SLOT-FAN2Catalyst6509HighSpeedFanTrayWS-X6704-10GECatalyst65004-port10GigabitEthernetModule(req.XENPAKs)WS-X6724-SFPCatalyst650024-portGigEMod:fabric-enabled(Req.SFPs)WS-X6148-GE-TXCatalyst650048-port10/100/1000GEModRJ-45XENPAK-10GB-SR10GBASE-SRXENPAKModuleWS-C6509Catalyst6509Chassis,9slot,15RU,NoPowerSupply,NoFanTrayWS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)WS-G54861000BASE-LX/LHlonghaulGBIC(singlemodeormultimode)汇聚层交换机CiscoCatalyst4506产品描述WS-X4306-GBCatalyst4500GigabitEthernetModule,6-Ports(GBIC)WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)WS-G54861000BASE-LX/LHlonghaulGBIC(singlemodeormultimode)接入层交换机CiscoCatalyst2970或2950产品描述WS-C2970GWS-C2970G-24TS-E100/1000TWS-C2970GWS-C2970G-24TS-E100/1000TWS-C2950GWS-C2950G-24-EI10/100TWS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)网络业务控制单元SCESECCiscoSCE2020边界路由器Cisco72067206VXR/NPE-G17206VXRwithNPE-G1includes3GigE/FE/EPortsandIPSW计算机网络-网络工程与组网技术全文共23页，当前为第20页。网管软件CiscoWorks2000计算机网络-网络工程与组网技术全文共23页，当前为第20页。CWLMS-2.2-K9LANManagement2.2forWIN/SOL;CM,DFM,RME,RTM,CV网络安全产品－防火墙、VPN、IDS、NVWWS-SVC-FWM-1-K9FirewallbladeforCat6500VFWLicenseWS-SVC-IPSEC-1IPSecVPNSecurityModuleforCat65