大型校园宿舍网络设计方案书

大型校园宿舍网络设计方案书一、二、1.2.三、四、2.52.62.7·成功来自自信目录目录..........................................................................................................................................................1 前言.............................................................................................................................................3 需求分析.....................................................................................................................................4 背景介绍.....................................................................................................................................4 需求分析.....................................................................................................................................5 2.1校园网建网需求.......................................................................................................................5 2.2校园网根本应用.......................................................................................................................6 设计原那么.....................................................................................................................................9 1.网络设计的根本原那么.......................................................................................................................9 2.模块化、层次化的设计原那么........................................................................................................11 2.1模块化设计..............................................................................................................................11 2.2层次化的设计..........................................................................................................................12 3.标准化、标准化原那么.....................................................................................................................14 3.1标准化原那么..............................................................................................................................14 3.2标准化原那么..............................................................................................................................14 4.校园网的设计原那么.......................................................................................................................14

解决方案...................................................................................................................................161.网络拓扑图.....................................................................................................................................162.方案说明.......................................................................................................................................16

2.1用户上网方案.........................................................................................................................18 2.1.1访问校园网........................................................................................................................182.1.2CERNet...............................................................................................................................182.1.3INTERNET.........................................................................................................................182.2IP地址规划和路由设计..........................................................................................................182.2.1IP地址规划...........................................................................................................................18IP地址规划目标............................................................................................................................18IP地址规划原那么............................................................................................................................19校园网地址规划方案....................................................................................................................192.2.2路由设计...............................................................................................................................20校园网路由设计............................................................................................................................20Internet路由设计...........................................................................................................................202.3平安与流量控制.....................................................................................................................202.3.1网络平安控制.......................................................................................................................202.3.2VLAN需求.............................................................................................................................212.3.3VLAN划分设计.....................................................................................................................222.3.4流量监控与控制：...............................................................................................................252.3.5网络异常流量监测技术.......................................................................................................272.4无线网络.................................................................................................................................29IPTV...................................................................................................................................302.5.1IPTV需求..............................................................................................................................302.5.2IPTV设计..............................................................................................................................32

Cernet在西南的重要节点................................................................................................34

扩展可选择模块——VOIP..............................................................................................352.7.1VOIP需求..............................................................................................................................352.7.2VOIP设计方案......................................................................................................................35第1页共61页3.23.3五、1、2、3、4、5、6、7、8、9、10、11、12、13、14、15、16、17、18、19、·成功来自自信 3.方案特点.........................................................................................................................................36 3.1高带宽、高性能.....................................................................................................................36 网络管理...........................................................................................................................36 完善的平安机制...............................................................................................................39 3.4易维护......................................................................................................................................40 3.5高可靠性..................................................................................................................................41 3.6低本钱、可扩展性强.............................................................................................................41 3.7严格的QoS保证......................................................................................................................41 晴天工作室介绍.......................................................................................................................42附录一：网络设备技术参数................................................................................................................43 RG-WALL1000千兆防火墙/VPN网关.........................................................................................43 RG-R3600系列模块化多业务中心路由器...................................................................................44 RG-S6800E新一代多业务万兆核心路由交换机系列..................................................................47 STAR-S2100系列平安智能交换机...............................................................................................50 RG-WSG108R高速无线局域网宽带路由器.................................................................................52附录二：有关专业名词解释................................................................................................................54802.1QVLAN.....................................................................................................................54三层路由功能.......................................................................................................................55网络地址转换(NAT)...........................................................................................................56SNMP....................................................................................................................................56ACL访问控制.......................................................................................................................56增强的802.1X功能...............................................................................................................5710GE......................................................................................................................................57DDN：...................................................................................................................................58帧中继：...............................................................................................................................58什么是X.25？.......................................................................................................................59集成平安：...........................................................................................................................59内置平安：...........................................................................................................................59核心层...................................................................................................................................59会聚层:..................................................................................................................................59接入层...................................................................................................................................60QOS........................................................................................................................................60软交换路由...........................................................................................................................60什么是单模光纤？...............................................................................................................60BASE-FX、BASE-TX、BASE-LX、BASE-SX.................................................................61第2页共61页·成功来自自信一、前言 在当今信息产业蓬勃开展的今天，信息已经成为一种关键性的战略资源，计算机技术在人们的生活中已经起到了越来越重要的作用。校园作为知识基地和人才基地，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游，更应在管理上上一个台阶。利用各种成熟的技术带动学校各单位、各部门的电脑化管理，通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和标准性；教职员工和学生可共享各种信息，极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才。在学校中建立计算机网络已经是十分迫切的需要：

计算机和网络已经成为各行各业在工作中的工具，是否掌握计算机的技术和应用，已经成为衡量一个从业者是否合格的重要标识。作为培养人才的基地，在校园中就让学生接触计算机、计算机网络，对于培养合格的人才无疑是十分重要的；

在现在这个知识爆炸的社会中，对于合格人才的要求越来越多，需要他们掌握大量的各类知识，在教育中需要提高教学效率。现在出现了许多新的教学方法，以各种方式提高学生对知识的掌握速度，在与前人同样的时间内，掌握比前人更多的知识，而这些教学方法，需要利用计算机网络才能实现； 高等院校除了作为人才培养基地外，也是重要的科研基地，每年有大量的课题在高校中进行，研究人员需要收集资料、与同行交流研究心得等，促使研究的进展，作为全球最大的信息源和交流方式，计算机网络正是最适宜的选择； 学校、尤其是高等学校，作为一个实体都有比较大的规模，人员繁多，各类事务也非常多，但经费一般比较紧张，比其他行业更需要提高管理效率，在日常管理中节约经费。在校园内组建计算机网络，在效劳教学、科研的同时，也可以大大提高管理水平和效率。虽然在组建时需要花费一些费用，但与节省的费用相比，依然可以接受。 随着计算机技术、网络技术的开展，网络设备的价格不断下降；同时国家各级政府对于教育的投入不断增加，大量计算机进入了校园，组建校园网不仅是十分迫切的工作，可行性也非常高。 据2024年7月CNNIC的最新调查结果显示，我国上网用户总数突破1亿，其中学生用户占了32.2%，是最大的用户群。另据相关资料显示，网络在中国的普及率为7.9%，但在大学生群体中的普及率是93%。目前87%学生通过网吧上网，庞大的学生用户群和他们的上网需求是校园网建设和开展的前提条件。此外，随着宽带城域网的建设，校园网的业务第3页共61页·成功来自自信也进一步向公众网扩展，其中远程教育就成为一项极富开展潜力的城域网宽带业务。二、需求分析1.背景介绍 中国教育和科研计算机网CERNET是由国家投资建设，教育部负责管理，清华大学等高校承担规划、建设和运行管理的全国最大的公益性计算机互联网络。CERNET始建于1994年。 十年来，在国家的大力支持下，教育部各届领导直接领导和关心下，和一批专家和技术人员的共同努力下，CERNET从无到有，由小变大，从弱到强，取得了令人瞩目的成绩，成为我国重要的信息化根底设施，在我国教育和科研事业开展，以及教育信息化建设中发挥了重要作用。目前,CERNET主干网传输速率到达2.5～5Gbps,地区网传输速率到达155M～2.5Gbps，覆盖全国31个省、市200多座城市，联网的大学、教育机构和科研单位超过1300个，用户超过1800万人，成为世界上最大国家级公益性计算机互联网。 CERNET也是我国下一代互联网研究与建设的先行者，近几年来承担了中国高速互联研究试验网NSFCNET，863－IPv6综合实验环境，CERNET－IPv6试验网，中日IPv6合作研究等一批我国下一代互联网的试验和研究工程，推动了我国下一代互联网的研究和技术进步。2024年1月，CERNET与美国Internet2、欧盟GEANT等全球最大学术网共同宣布，开通全球IPv6下一代互联网效劳。2024年3月19日，连接北京、上海和广州的CNGI核心网CERNET2试验网开通并开始提供效劳。第4页共61页·成功来自自信2.需求分析2.1校园网建网需求高校校园宽带网用户集中且网络流量大，关注网络的可运营和可管理特性，校园网建网需求如下：1、教学区、宿舍区用户对校园网、教育网、INTERNET的访问有相应的路由策略和相应的计费策略。2、校园网存在多个出口需求，校园网至少要提供中国教育科研网〔CERNET〕和INTERNET两个出口。3、校园网平安性要求较高，要求设备能够实现用户识别和动态绑定功能如通过“IP+MAC+端口〞三元组的动态绑定来识别用户。4、校园网WEB页面可实现以下功能：用户Web自助效劳功能，用户可通过Web自助服务页面，进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线帐号充值。5、校园网用户能实现多ISP权限选择。用户可通过不同的帐号或采用相同帐号的不同域名进行认证，以获得不同的权限，不同的权限对应不同的计费策略。6、校园网要求实现多种支持普通包月、包月限时长、包月限流量、计天、计时长和计量等多种计费策略。支持用户卡和充值卡，冲值卡配合用户卡以及提供的公用效劳功能可以实现用户的完全自助管理。第5页共61页10、11、12、而·成功来自自信7、校园网要求能对每个用户的使用情况能进行事后审计，能够定位到IP地址以及用户所连接的端口和登录的用户名，限定帐号的使用端口。8、校园网要求能实现对用户带宽的动态控制。9、校园网要求实现组播业务。校园网要求在学校规模不断扩大中，用户数在持续增加，要求网络具有很好的扩展性，能够根据需要逐步平滑升级到万兆的骨干连接。网管平台实现网络资源的管理、网络平安访问的控制。并且在平台上能方便地开发所需网络应用。

采用流行的、支持设备面广、有良好图形界面的网管平台。网管系统能够管理到网络中的每一个智能设备及有关设备的每一个端口，即能够远程对设备进行设置、调试、网络流量监测和必要的重置。能对网络故障能及时发现并报警。2.2校园网根本应用 作为校园网，需要连接多少个节点，怎样使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中，怎样使整个网络上的节点相互连通，这些问题仅仅是校园网需要解决问题中的一局部，更重要的问题如何将这些资源有序地组织起来，需要实现什么功能，以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园内部、校园与外部进行信息沟通的体系，建立满足教学、科研和管理需求的计算机环境，为学校各种人员提供充分的网络信息效劳，在网络环境中进行教学、研究、收集信息等工作。校园需要的根本功能有：●计算机教学，包括多媒体教学和远程教学；●网络下载、网络聊天等；●电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动；●文件传输FTP：主要利用FTP效劳获取重要的科技资料和技术文挡；●INTERNET效劳：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见等。●图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等；●其他应用，如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。宽带上网 在信息化的今天，人们已经把网络当成获取信息的重要的源泉，WEB应用那么起到了举足轻重的作用。绝大多数的人都是通过浏览WEB页面来获取新知。校园网应该是宽带上网的前沿阵地，学生们可以通过网络获取丰富的知识，增加与其他学校学生，甚至其他国家第6页共61页·成功来自自信学生交流的时机。宽带的网络相比窄带的拨号有着非常大的优势，通过宽带上网就能够真正能实现网上冲浪。交互式网络电视IPTV即交互式网络电视，是一种利用宽带IP网，向用户提供影视节目在线观看的崭新业务。该业务将电视机或个人计算机为显示终端，通过机顶盒接入宽带网络，可以向用户提供数字播送电视、VOD点播、视频录像等诸多宽带业务。IPTV是互联网的一种新的业务模式，同时也是传媒在互联网时代一种更灵活的发行手段。IPTV是通过宽带IP网络来看电视，用户可以通过普通电视机＋机顶盒方式收看。与传统电视相比，其最大特点是交互式的全新电视观看体验。除此之外，IPTV用户还可以方便地在电视机上进行节目定购、余额查询、费用缴纳、使用详细单查看等，做到消费快捷、明白消费。 IPTV的主要特点在于其交互性和实时性。IPTV既不同于传统的有线电视，也不同于目前正在兴起的数字电视。通过IPTV业务，用户可以得到高质量(接近DVD水平的)数字媒体效劳，可以自由选择宽带IP网的视频节目，实现媒体提供者和媒体消费者的实质性互动。IPTV的出现在宽带视频应用方面填补了空白，支起了宽带市场的另一片蓝天。它将电视、通信和计算机三个领域结合在一起，被业界喻为撬开宽带市场的新支点。 视频点播(VOD)功能允许用户根据自己的安排而不是预先确定的时间欣赏视频。VOD类似于PVR，只不过节目内容存储在有线电视提供商的效劳器上，而不是在客户端或者说用户设备中。VOD只是IPTV中的一项功能。视频点播VOD〔VideoonDemand〕是视频点播技术的简称,也称为交互式电视点播系统，意即根据用户的需要播放相应的视频节目，从根本上改变了用户过去被动式看电视的缺乏。当您打开电视，您可以不看广告，不为某个节目赶时间，随时直接点播希望收看的内容，就好似播放刚刚放进自己家里录像机或VCD机中的一部新片子，但是您又不需要购置录像带或者VCD盘，也不需要录像机或者VCD机。这就是信息技术带给您的梦想，它通过多媒体网络将视频节目按照个人的意愿送到千家万户。 对于校园网的用户，学校可以开展多媒体视频点播教学效劳。通过把好的课件放到VOD效劳器上，让学生们进行点播，可以灵活的开展教学效劳，把枯燥的课堂教学转变成为丰富的媒体效劳。远程教学21世纪的热点是远程教育，这已成为人们的共识。远程教育的开展正在引发教育的又一轮变革，民主的教育模式和信息技术手段已经被网校很好地利用，由此带来的教学内容改革和教法改革成为诸多网校吸引生源的法宝。第7页共61页·成功来自自信某高校校园网全面建成后，完全可以建立远程教育体系，实现对社会的开放，让社会了解学校，让更多希望上学的人有接受远程教育的时机。 在已经建立起的较完善的校园网，极大地方便了学校之内以及学校与外界的交流。然而，在日常的教学工作中，单纯的互联网还是没法满足教学改革的要求。比如，学校经常要请一些国内外专家教授过来讲课，但即使是大课室也只能容纳有限的几百人，无法满足所有学生的要求；同时，如果要请一些本地以外的教授过来，很不方便，不但学校要承担较高的差旅费，教授也要长途跋涉，把大量的时间浪费在路途中，从而也限制了学校与外界的交流。因此，校园网中必需一套能够随时随地与任何人面对面沟通的视频会议系统。网络化教学 21世纪，人类将面临文明史上的又一次大的飞跃，即由工业化社会进入到信息化社会，世界各国对当前信息技术在教育中的应用都给予了前所未有的关注。随着家用电脑的普及和网络技术的迅速开展，信息技术在教育中的应用越来越广泛，从前几年的课件制作、基件制作等最根本的多媒体应用技术到今天的信息技术与课程整和的网络化教学，信息技术的作用已不再是单纯的多媒体带给人们的视听效果，而是将信息科技和普通学科的教学相结合，把信息技术有机的融合在普通学科的学习中。在教学中，我充分利用计算机网络的优势向学生提供大量的信息资源，在使用计算机时，强调发挥计算机的特点，使计算机成为学习的工具。无线网络

承受着校园网应用的普及和应用水平的不断提高，学校中工作和生活关系越来越密切，而学校中的网络终端资源却很有限，越来越难以满足师生的需求。无线局域网技术的日趋成熟可以为此提供更加高效灵活的解决方案，可以用较少的投资获得空前的应用灵活性。

随着国家对中国教育行业的更加重视并加大投入，中国教育网的建设得到了国家更大的支持并得到了更加广泛的应用，并已经成为一种其它方式不能代替的获得资源的重要手段，因此教师和学生对网络的依赖也越来越强，随时随地能够从网络获得相要的资源成为教育用户追求的目标。 一般来说，如教室、图书馆、会议室等地方一般是不可能布设太多信息点的，但是随着学生中笔记本电脑的普及和现代化教学的普及，上述场所往往在同一时刻有大量的电脑，而目前的有线校园网没有方法使学生们在这些区域上网。采用无线方式，在有限的信息点上连接无线接入器，就可以轻松从一个信息点扩展到成百上千个信息点的应用。国际上，拥有无线校园网，已经成为现代化校园的一个标志。据悉，到2024年，将有第8页共61页·成功来自自信600所高校建设无线校园网。中国的大学无线校园网的建设已经如火如荼地展开了。VOIP电话业务Internet电话技术是目前Internet应用领域的一个热门话题。它主要指在Internet中实时传送声音，从广义上讲，它包括在Internet中实时传送多媒体信息。 IP电话之所以开展迅速、备受人们关注，其主要原因是IP电话能节省大量长途电话费用，尤其是打国际长途电话。传统电话是通过电话网传送的，而IP电话是利用TCP／IP技术，通过因特网传送的。IP电话和传统电话的区别主要也就在于传输技术上。 VoIP的英文全称是voiceoverinternetprotocol，即基于IP协议的语音通信，因此也被称作网络电话或者宽带电话。它实现了语音在Internet上的实时传送。其根本原理是：通过语音压缩算法对语音资料进行压缩编码处理，然后把这些语音资料按TCP/IP标准进行打包，经过IP网络把资料包送至接收地，再把这些语音资料包串起来，经过译码解压处理后，恢复成原来的语音信号，从而到达由互联网传送语音的目的。在许多场合，VoIP技术仅指通过IP网络实现类似普通老式电话的功能。但是，在传统电话网的业务不断开展的情况下，VoIP的含义和设计目标也超越了其字面意义；也就是说VoIP技术不仅指提供双方会话的传统电话技术，而且是包含话音、图像和数据、支持各种智能业务的双方及多方多媒体通信技术。三、设计原那么1.网络设计的根本原那么 校园网建设是一项大型网络工程，各个学校需要根据自身的实际情况来制定网络设计原那么。该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统，为广阔教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，网络设计一般应遵循以下5个根本原那么：可靠性和高性能网络必须是可靠的，包括网元级的可靠性，如引擎、风扇、单板、总计等；以及网络级的可靠性，如路由、交换的会聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。第9页共61页·成功来自自信实用性和经济性由于学校资金并不是很充足，不可能一步到位。另一方面，学校的应用水平较参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原那么。可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的开展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。易管理、易维护由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。先进性、成熟性当前计算机网络技术开展很快，设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保校园网络能够适应将来网络技术开展的需要，保证在未来假设干年内占主导地位。平安性、保密性网络系统应具有良好的平安性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务，要求能进行灵活有效的平安控制，同时还应支持虚拟专网，以提供多层次的平安选择。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统平安机制、数据存取的权限控制等。灵活性、综合性通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。第10页共61页·成功来自自信QoS〔质量效劳〕保证教育在语音和视频等多媒体应用方面一直走在社会的前列，这类应用对效劳质量的要求很高。QoS〔质量效劳〕需要在网络的端到端进行全盘方案和实施，由于各接入网络和端设备的复杂性与多样性，骨干网必须尽可能地支持各种质量效劳技术，特别是最新的技术如MPLSVPN和流量工程，以提供简洁透明的质量效劳机制。2.模块化、层次化的设计原那么锐捷网络的设计都是基于一个模块化，层次化的设计思想。这也是对大型网络进行高效管理的首选方法。2.1模块化设计所谓模块化就是将把整个网络按功能和平安需求分为假设干个组件，这些组件之间有一定的平安边界，组件内部有完整的网络设计。模块化设计的好处在于：1.解决各网络之间的冲突问题；2.简化安装和后台设备管理；3.易于故障检测和别离问题；4.易于执行不同类型的效劳和平安方针；5.易于扩展和/或代替原来的技术。一个完整的模块化设计如以以下图所示：图1模块化网络设计图示校园网的设计可以借鉴这种思想，对各种不同种类，不同平安等级的业务进行模块划分，第11页共61页 ·成功来自自信相互之间的访问将受到控制。当然，在实际情况中并不一定要求严格按照上述模块划分，而是根据实际情况灵活运用，做适当的裁减与调整。2.2层次化的设计 层次化网络设计模型 对于大型网络，可以采用业界通用“核心层-会聚层-接入层〞层次化网络设计模型。图2层次化网络设计图示 核心层 核心层的主要提供不同网络模块之间优化传输效劳，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最正确的网络性能。会聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外，为了防止网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。 第12页共61页·成功来自自信图3核心层网络模块 会聚层 会聚层顾名思义就是作为访问层到骨干层的会聚，通常为访问层与骨干层实现基于策略的网络间连接。会聚层主要由三层交换机组成，提供对网络流量模式控制、效劳访问控制、QoS、定义路由路径度量〔pathmetric〕和路由协议网络通告控制。图4会聚层网络模块 接入层 接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的播送流量，防止不同模块之间相互影响。访问层主要通过二层交换机组成。 层次化网络设计模型的优点 第13页共61页·成功来自自信“核心层-会聚层-访问层〞层次化网络设计模型有如下优点：高可扩展性－遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。易于实施－每一层的功能性清晰划分，简化每一层的实现。易于故障排除－每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围。易于规划和管理－层次化的功能划分，整个网络规划和管理更为简单。3.标准化、标准化原那么3.1标准化原那么锐捷网络作为国内率先通过ISO9002/9001-2000版国际认证的IT厂商，始终将“品质第一、永续经营〞作为贯彻整个生产经营过程的品质政策。3.2标准化原那么按照平安模型的指导，从健康检查阶段、评估分析阶段、规划设计阶段、平安实施、运维管理、平安培训整个平安周期角度进行平安方案的设计和实施。4.校园网的设计原那么 校园网是为学校师生提供教学、管理、科研和综合信息效劳的宽带多媒体网络；是学校信息化教学环境的根底设施和实现各项管理的物质根底；是建立远程教育体系的根本保证；是提高全民素质的重要手段。采用成熟、先进的技术和设计思想，运用现有的系统集成的技术路线，强调系统先进、实用、开放、平安、使用方便和易于扩充等特点，突出系统功能的完善，实现办公现代化、信息资源化、传输网络化和决策科学化。其设计方案应注意以下原那么： 实用性：校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。满足管理职能的需求，为提高管理决策的及时性和准确性提供高质量的信息效劳，增强对运行的协调和监控能力。先进性：在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需第14页共61页·成功来自自信要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。符合计算机技术开展趋势，采用先进成熟的技术，坚持技术的开放性，易于技术更新。可扩充性：方便系统和支撑平台的升级，满足用户对信息需求不断变化的需要，以及系统投资建设的长期性效益。灵活性：通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。平安性：应能在可靠性的前提下，抵挡来自内部和外部的攻击；采用的平安措施有效、可信，能够在多层次上、以多种方式实现平安的控制。 可靠性：校园网的系统及网络结构较为复杂，同时在局部子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和平安运行，具有很高的MTBF(平均无故障工作时间)和极低的MTTR(平均无故障率)，提高容错设计，支持故障检测和恢复，可管理性强。统一性：在系统的设计过程中，坚持“三统一〞，即统一规划、统一标准、统一出口。经济性：在充分满足以上要求的前提下，应充分考虑到学校的经济承受能力，尽可能地节约投资，花好每一分钱。标准性：采用的技术标准要遵循国际标准和国家标准与标准，保证系统开展的延续和可靠性。系统性：工程的开发必须按系统工程的管理方法，分阶段、有方案的统一组织实施。综合性：以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。第15页共61页

·成功来自自信四、解决方案1.网络拓扑图图5网络拓扑图2.方案说明 校园网网络系统从结构上分为核心层、会聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因学校存在大量的语音和视频传输。据此，考虑会聚层对QoS有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以及易于维护的特点。根据学校建设要求与总体目标，骨干网采用三层结构，由核心层，会聚层和接入层构成。在接入层面，通过定义相应的访问策略，实现访问控制，内外隔离和抭IP地址。 在网络结构上，采用成熟的千兆以太网技术(第三层交换)作为核心层，呈网状拓扑结构。以TCP/IP协议为主，并辅以IP/SPX.NETTEUI等其他流行通信协议坚持开放性和标准化，采用标准的通讯规程，以有利于不同厂家之间的互连，使不同系统间易于集成，兼顾其他标 第16页共61页·成功来自自信准的网络体系结构，网络能实现协议之间无缝连接。而公用效劳器与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠的设备，此产品是具有运营商级容错能力的高性能大型网络核心交换机，可实现冗余备份，从而提高核心层的可靠性。 整个网络通过会聚层交换机RG-S6806E和核心交换机RG-S6810E之间的链路冗余备份和负载均衡提供平安可靠的网络构架〔使用OSPF、ECMP、WCMP等技术〕，其平安保障技术提供一个全网概念的整体网络平安，而通过简单地增加万兆模块可以平滑升级到万兆骨干的校园网。 如拓扑图所示，作为学生宿舍网的核心，要求设备能够大容量、稳定可靠的高速路由转发，能够接入大量的会聚节点并满足今后扩充的需要。同时，应完备的QOS保证机制，完备的业务控制、用户管理机制。同时，还应该考虑到与一期工程的网络设备之间的良好的兼容性、互通性。因此，在本方案的在核心层，部署了锐捷网络的RG-S6810E模块化骨干路由交换机两台，该交换机具有高达1.6T〔可扩展3.2T〕的背板，L2/L3层具有572Mpps的转发率，同时还可以配置冗余电源和管理引擎模块，可以实现对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络效劳、核心数据处理等。其硬件策略路由功能为学校的出口规那么提供了灵活的设置，此外核心交换机硬件的IPv6功能为学校接入CERNET2提供了无缝连接。 为了提高网络上连带宽，业界提出了端口聚合(802.1ad)的概念，此概念也广泛应用于校园网的建设中。锐捷网络交换机可将多个端口聚合，每条干路支持全双工模式。端口聚合可以在单台交换机中进行配置，支持聚合通道内部的负载均衡。从核心层到会聚层使用多条多模光纤连接到会聚层交换机，并实现端口聚合。 会聚层起着承上启下的作用，负责对各种接入的会聚，并可在该层实现对于用户的访问控制，以及对用户的网络管理。因此，会聚层应考虑三层智能交换机。在本方案中，共部署三台锐捷网络自主研发的RG-S6806E模块化骨干路由交换机。在会聚层使用三层交换机的目的是为了减轻核心层的负担。 接入层应该能够实现对用户的访问控制，并具有较强的平安和QOS控制功能，支持802.1x的认证计费，支持千兆上联，支持SMNP的网管。同时，为满足学生宿舍网的高端口密度接入的需求，接入层应考虑二层智能型可堆叠交换机。因此，在接入层部署了锐捷网络的STAR-S2126G/STAR-S2150G智能型可堆叠交换机。 同时为了保证宿舍网内部网的平安,在内网和外网之间增加硬件防火墙，接在INTERNET/CERNET出口的位置,根据平安需求可将校园网分为内部网、外部网与DMZ区等，以保护校园网的平安，防止恶意用户的攻击。为了统一网络管理和监控，在网络中心配置StarView管理平台可以对设备进行集中的管理，包括网络拓扑发现、配置管理、性能管理、事件管理，实现全网设备的管理。在网络中心两台核心交换机各通过两条千兆链路连接校园图书馆子网，两台核心交换机第17页共61页 ·成功来自自信间业务量增大时，也可考虑通过上行双链路Trunk来连接。其中公寓干网以千兆链路下联至公寓楼宇交换机STAR-S2126G/STAR-S2150G；同时网络中心通过千兆连接专项课题研究楼子网；在网络中心核心交换机通过千兆链路连接行政/教学楼子网交换机，以千兆链路下联至楼宇交换机STAR-S2126G/STAR-S2150G；计算中心子网及应用效劳器群另在网络中心通过千兆链路下行连接。实现百兆交换到桌面。2.1用户上网方案2.1.1访问校园网

用户在连接到网络中时，首先获得是校园网的IP地址，此时用户只能访问校园网内部的资源，并且对用户不计费。

在该方案中，S6810E

和S6806E起到三层交换机的功能，校园网用户之间的互访都必须通过S6810E和S6806E进行。2.1.2CERNet用户需要访问CERNet时，使用CERNet的域名,获得CERNet的地址后，就可以访问2.1.3INTERNET 用户需要访问INTERNET时，使用INTERNET的域名，获得INTERNET的地址后就可以访问。2.2IP地址规划和路由设计2.2.1IP地址规划 IP地址规划是整个网络设计中的重要组成局部，地址规划的科学性和合理性将直接反应网络拓扑的设计思想，对网络的稳定起到至关重要的影响。好的地址规划同科学的分层网络拓扑设计相辅相承，共同形成整体的网络设计解决方案。 合理的网段划分结合灵活的VLAN规划，可以有效地降低网络风暴的产生，保证整个网络的稳定，同时也起到一定的网络平安功能。 IP地址规划目标 建立高效的网络路由； 第18页共61页·成功来自自信有效利用有限的IP地址资源；支持网络的扩展；支持网络技术的演变和开展。IP地址规划原那么简单性：地址的分配应该简单，防止在主干上采用复杂的掩码方式；

连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛(Summarization)及CIDR(ClasslessInter-DomainRouting)技术缩减路由表的表项，提高路由器的处理效率；可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性；灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化；可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。平安性：网络内应按工作内容划分成不同网段即子网以便进行管理。校园网地址规划方案校园网IP地址分配总那么校园网IP地址分为三大块：校园网内部的私有IP地址，采用RFC中规定的地址段，不能访问Internet和Cernet；Cernet分配的多个C类公网IP地址，作为和国际互联网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆、局部实验室专用；运营商分配的公网IP地址，用于访问Internet。关键效劳器拥有两个公网IP，分别跨接在Cernet和Internet上。校园网内部私网IP地址的分配 内部地址的分配原那么是按建筑物进行的，视用户的数量，1/4、1/2、整个C的划分。为了平安考虑对所有的都采用静态分配IP地址，为防止地址盗用，采用IP地址、MAC地址与端口绑定。IP地址的分配用户的计算机在连接到校园网上时，首先获得一个校园网内部的IP地址，此时该计算机只能访问校园网内部。用户需要访问Cernet和Internet，要使用帐号登陆，认证通过后才能访问。第19页共61页·成功来自自信2.2.2路由设计校园网路由设计不使用默认路由，使用策略路由，防止从Internet访问校园网。Internet路由设计采用静态默认路由协议访问

Internet为了实现路由的备份，配置到Internet的两条默认路由，两条路由的优先级可以相同，可以不同。如果相同，那么两条线路采取负载分担方式。 如果不同，那么是主备方式，其中优先级高的称为主路由，优先级低的为备份路由。这样，正常情况下，路由器采用主路由发送数据。当线路发生故障时，该路由自动隐藏，路由器会选择余下的优先级最高的备份路由作为数据发送的途径。这样，也就实现了主路由到备份路由的切换。当主路由恢复正常时，路由器恢复相应的路由，并重新选择路由。由于该路由的优先级最高，路由器选择主路由来发送数据。 采用源地址路由，让Internet地址访问Internet； 采用ACL，防止访问Cernet的流量通过Internet； 采用ACL，防止来自校园网的Internet地址。2.3平安与流量控制2.3.1网络平安控制对端口ARP检查防止ARP攻击；对端口平安：MAC动态地址锁，MAC地址静态绑定；交换设备BPDUGuard功能，过滤非法BPDU报文，防止STP攻击交换机；端口平安：端口静态绑定，自动绑定IP和MAC地址防止DOS攻击；智能平安到边缘：多种ACL，满足不同网络应用，过滤病毒SSH密文传输，限制管理IP等措施保证设备管理可靠；对网络病毒的防范：采用设置ACL，对病毒进行过滤；我们使用的会聚、核心交换机都支持SPOH，通过端口独立的FFP进行ACL处理，网络设备性能不受设置ACL数目影响；第20页共61页·成功来自自信2.3.2VLAN需求 默认时，交换机分隔冲突域；路由器分隔播送域。第2层交换式网络的最大好处是，它为插入到交换机每个端口的每台设备创立了各自的冲突域。但每一个新的改进通常都会引起新的问题——用户和设备的数量越大，每台交换机必须处理的播送和数据包就越多。 平安性也是一个问题，因为在典型的第2层交换式互联网络的内部，默认时所有用户都可以看见所有的设备。你不能让设备停止播送，也不能让用户不响应播送。连接到物理网络的任何人都可以访问位于物理LAN上的网络资源，用户只需将其工作站插入到现有的集线器中，就可以参加某个工作组。平安性选项只能限于在效劳器和其他设备上设置口令。 通过创立虚拟局域网〔VLAN〕，就可以在一个纯交换式的互联网络中，分隔播送域。VLAN是两个局部的逻辑组合：一是网络用户；二是在管理上连接到交换机所定义端口的资源。 如果创立了VLAN，情况就可以大大改善。在虚拟创立局域网时，可以将交换机上的不同端口分派到不同的子网中，这样就可以在第二层交换式互联网络中创立一些小的播送域。可以象对待单独的子网和播送域一样来对待VLAN，这意味着网络上的播送域只在同一个VLAN内部的逻辑组的端口之间进行转发。用VLAN来简化网络管理的方式有多种：通过将某个端口配置到适宜的VLAN中，就可以实现网络的添加、移动和改变。将对平安性要求高的一组用户放入VLAN中，这样，VALN外部的用户就无法与他们通信。作为功能上的逻辑用户组，可以认为VLAN独立于它们的物理位置或地理位置。VLAN可以增强网络平安性。VLAN增加了播送域的数量，同时减少了播送域的范围。使用VLAN具有以下优点：a.控制播送风暴一个VLAN就是一个逻辑播送域，通过对VLAN的创立，隔离了播送，缩小了播送范围，可以控制播送风暴的产生。b.提高网络整体平安性 通过路由访问列表和MAC地址分配等VLAN划分原那么，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和平安性。第21页共61页·成功来自自信c.网络管理简单、直观对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。2.3.3VLAN划分设计VLAN概述： VLAN〔VirtualLocalAreaNetwork〕又称虚拟局域网，是指在交换局域网的根底上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑播送域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户参加到一个逻辑子网中。 组建VLAN的条件VLAN是建立在物理网络根底上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成。划分VLAN的根本策略从技术角度讲，VLAN的划分可依据不同原那么，一般有以下三种划分方法：a.基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。b.基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个