校园网络规划设计完整

兰州职业技术校园校园局域网规划与设计

第1章 需求分析

1.1 工程项目概况

要求建立一个连接教学楼、办公楼，图书馆，宿舍公寓，网络中心等区域的校园网，需求如下：

1、信息资源共享

通过校园网，实现学校内部，分院与总院信息的快速交流，达到资源共享，使广大师生及时了解国内外科学技术和学院的最新动态，促进教学、科研、管理事业的发展。

2、图书资料检索、借阅自动化

通过改造原有图书检索系统，建设电子图书馆，提高校内图书资料的利用率；充分利用校外图书资料，实现远程计算机图书检索和借阅。

3、学校管理系统的信息化、自动化

依托校园网，构建相应的交互式应用软件平台，实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化，实现统计监测网络化，提高管理效率和水平。

4、建立计算机网络辅助教学系统

建立基于网络的电子教学CAI课件开发、视频点播（VOD）、网上题库、答疑与作业批改等计算机辅助教学系统，实现教学手段的现代化。

5、创建学院网站，使之成为对外宣传的重要窗口，让世界了解我们，提高学院的知名度。

6、为广大师生提供宽松，开放、易用的网络环境，使网络触入日常工作和生活中，发挥网络的最大效用。

1.2 信息点分布

主要信息点集中在办公楼、教学楼、图书馆、宿舍公寓、网络中心等区域。

由于计算机及网络技术的不断发展，极大地推动了校园网的建设，增加硬件的投入，改善办学条件，提高教学、科研和管理水平，提高办学质量。校园网的建设对于学校来说是一项大的工程，必须精心设计、精心施工，做到经济适用，

技术先进、开放性能良好、投资强度合理、与内外网络互联、能长期、稳定运行的高性能的校园网络。

校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享。

第2章 方案设计原则

本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该校园的网络系统。 从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：

1、实用性和经济性

校园网的特点决定了网络系统必需要有实用与经济性。实用性使得网络便于管理、维护，以减少网络使用人员运用网络的难度，从而降低人为操作引起的网络故障，并使更多的人掌握网络的使用。应根据学校的实际情况，由于学校的建设资金有限，所以一般都要求网络具有较高的性价比，所以在建设校园网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。

2、高性能与技术先进性

校园网网络系统要求具有较高的数据通信能力和较大的带宽；并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据，网络应有较高的网络主干速度。

3、高可靠性

网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，设备在发生故障时能以热插拔的方式在最短时间内进行恢复，把故障对网络系统的影响减少到最小，避免由于网络故障造成用户损失；

4、安全性

校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络，网络安全性在整个网络中是个很重要的问题，应该采用一定手段控制网络的安全性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性，能够防止非法侵入和信息泄漏。

5、可管理性

强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能，能够对每个用户实行管理；并且能够实现计费管理。

6、可扩充性

随着应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证现有的投资。

第3章 网络方案设计

3.1 网络拓扑结构介绍

在此次校园网的设计中，我们采用层次化模型来设计网络拓扑结构。所谓层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。

在校园网设计中，使用层次化模型有许多好处，列举如下：

1、节省成本

在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。

2、易于理解

层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。

3、易于扩展

在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。

4、易于排错

层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。

3.2 网络拓扑图

网络拓扑图如图1所示。

核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。汇聚交换机分别连接到各楼栋的接入层交换机，通过双绞线连接到每个课室的信息面板上，具体分配如下：

教学楼有5层，每层5个信息点，共25个信息点。

图：教学楼拓扑图

核心交换机通过光纤连接到学生公寓男、女区的汇聚交换机，每个区域的交换机通过光纤连接到各自的区域楼，区域楼交换机再与楼层的交换机堆叠，通过

双绞线连接到宿舍的信息面板上。

图：A

区宿舍楼拓扑

图：B区宿舍楼拓扑图

信息网络中心

五层为房网络中心。

通过光纤接入，连接H3C SecPath F100-S-AC防火墙，再连接到一台“思科 WS-C4503”的核心交换机和服务器群。

服务器群组服务器统一采用IBM System x3650 M3(7945I75)，一台对外Web服务器，放的是学校的官方网站；一台内网Web服务器，是学校的内部网站；一台Ftp服务器，由于FTP流量比较大，所以增加了一台IBM TotalStorage DS3400(1726-42X) Raid服务器。

核心层交换机通过光纤连接到办公及教学楼、家属楼、图书馆、学生公寓的汇聚层交换机。

图：信息网络中心拓扑图

3.3 网络设计

3.3.1 核心层网络设计

核心层：将各汇聚层交换机互连起来进行穿越校园网骨干的高速数据交换。实现数据包高速交换。核心层双中心星形拓扑的优点是结构较为简单，实现设备的，也可以很好的进行网络负载均衡。PortTrunking技术提高互联交换机的吞吐量，使得整个网络具备高容量、无阻塞、高性能的能力。

3.3.2 汇聚层网络设计

汇集层：主要功能是汇聚网络流量，链路聚合、路由聚合，信号中继，负责将访问层交换机进行汇集，还为整个交换网络提供VLAN间的路由选择功能。

3.3.3 接入层网络设计

接入层：接入层利用VLAN划分等技术隔离网络广播风暴，提高网络效率，为所有的终端用户提供一个接入点。

3.3.4 整体层次化设计

本校园网网络系统的设计采用层次化的设计方法，即核心层、汇聚层和接入层。

5 广域网互联设计

考虑到Internet和其他网络的连接(如CHINANET等)，目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各种广域连接中发现。目前，越来越多的学校还开展了网络教学和建立自己的WEB。因此，能否有效地连接Internet是校园网建立的一个重要的目标。

出于安全考虑，应该选用一个带有防火墙的边界路由。边界路由在远程办公室和网络的其余部分之间提供了一个有效的防火墙。同样重要的是，边界路由为远程办公室保留了利用诸如“服务类数据优先级”、“定制过滤器”和“数据压缩”等工具的优点。

3.3.6 防火墙技术和DMZ设计

学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高，如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。防火墙作为网络的第一道防线，应放置在外网和需要保护的校园内网之间。这样，所有流入校园网络的数据流量都将通过防火墙，使校园内的所有客户机及服务器都处于防火墙的保护下。针对不同资源提供不同安全级别的保护, 还应构建一个“Demilitarized Zone”(DMZ)的区域，放置一些不含机密信息的公用服务器，比如Web、&nbspMail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

3.3.7 冗余/负载均衡设计

冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。部分校园网在早期的建设中由于成本的原因并未在设计中考虑

冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。可采用GEC链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。也可采用生成树协议（IEEE802.1d）提供设备级的冗余连接。此外，我们在设计中提供不同物理方向的双归属、双路由保护。

3.3.8 线路冗余设计

在校园网核心层，网络边界拓扑结构由于采用了双机热备份的核心交换机系统解决方案，所以在线路冗余方面的要求较高，对于线路的冗余要求，我们采用10GE线路对核心层设备进行环行双向备份，并使用业界领先的VRRP（虚拟路由器冗余协议）来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路，通过这个链路连接核心交换机，具备万兆扩展能力；接入交换机采用10/100M自适应端口连接桌面系统，多千兆链路连接到汇聚层。

GEC路具有链路聚合和冗余保证两大特性，下面我们将对它们依次进行介绍：

链路聚合：可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道，在不增加投资的情况下，扩大交换带宽，使关键连接的传输效率更高。

冗余保证：链路聚合中，成员互相动态备份。当某一链路中断时，其它成员能够迅速接替其工作。与生成树协议不同，链路聚合启用备份的过程对聚合之外是不可见的，而且启用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。

综合分析以上各主流方案的优缺点，从性能与成本及拓展性等方面的综合考虑出发，我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。

在校园网汇聚层及接入层出于成本及性价比的考虑，我们决定采用千兆汇聚，万兆拓展；百兆到桌面的链路选择。

3.3.9 网络设备冗余/负载均衡设计

各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担。

负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性 ；为用户提供更好的访问质量;提高服务器响应速度；提高服务器及其他资源的利用效率；避免了网络关键部位出现单点失效。

在此方案中，在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的核心层上。我们采用了两台cisco核心路由交换机组建高性能的核心网络平台，在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在汇聚层的每个区块， 我采用了两台cisco汇聚交换机做到冗余与负载均衡。

在本方案的设计中，出现了两个以上的交换区块和需要提供冗余连接的时候，我们采用了双核心配置。如下图，我们给出了从接入层到汇聚层再到核心层的双核心配置。

双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上，因此形成两条不同的，但是等代价的连接。如果一条核心设备发生故障，还是能够收敛，因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用，VRRP提供快速错误恢复。核心层不需要STP，因为在核心交换机间没有冗余的第2层连接。

3.3.10 网管工作站设计

网络管理是校园网必须考虑的关键技术，这里的网络管理主要指网络设备及其系统的管理，它包括配置、性能、安全、故障管理等，网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的、驻留有网络管理协议的设备。 网络管理设计的另一方面，是配置一个网络管理中心，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。

3.3.11 &nbspIP地址和vlan规划

根据互联网络技术发展的趋势，结合学校网络目前真实IP地址的现实情况，我们建议：

IP地址规划遵循如下原则来设计：

1、服务器区采用私IP地址，NAT后供人员远程访问；

2、与internet 互联设备IP地址采用真实IP地址；

3、部分内部互连采用私有IP地址；

4、面向用户的私有IP地址，由统一出口的边缘设备（路由器、防火墙）进行地址翻译。即出口路由器（防火墙）互联采用合法IP地址；公共服务器如WWW/FTP/DNS等均采用合法地址（或从安全角度考虑采用私有IP）；部分接入用户采用私有保留IP地址相连。

这样设计，既可以充分利用已有的公网IP地址，解决了IP地址空间不足的，既可以方便的实现互通互连，而且将地址翻译（NAT）这种耗费设备资源的工作

由网络边缘设备分担，提高网络数据传输整体性能。

同时，还可以采用VLSM。VLSM是可变长子网掩码的英文缩写，它提供了一个主类（A类、B类、C类）网络内包含多个子网掩码的能力，可以对一个子网再进行子网划分。

VLSM的优点，所以我们采取vlsm对网络进行编址，以达到节约IP地址，能

第4章 网络技术选型

4.1

路由协议——OSPF

在网络核心层和汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan 间的数据转发而需要路由协议时，我们采用OSPF协议作为路由协议。 OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息，从而掌握全网的拓扑结构，独立计算路由。因为RIP路由协议不能服务于大型网络，所以，IETF的IGP工作组特别开发出链路状态协议——OSPF。

OSPF作为一种内部网关协议（Interior&nbspGateway&nbspProtocol，IGP），用于在同一个自治域（AS）中的路由器之间发布路由信息。区别于距离矢量协议(RIP)，OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点，在目前应用的路由协议中占有相当重要的地位。

4.2 端口安全与认证（基于&nbsp802.1X）

a.端口安全

交换设备定义了对端口保护的功能，我们能定义允许的最大&nbspMAC 地址访问数，或者静态的定义特定的&nbspMAC 地址。遇到不合法的&nbspMAC 地址交换机采取的策略。

配置举例 端口安全性：

>enable #configure&nbspterminal

(config)#interface&nbspf0/1

-if)#swithport&nbspport-security

-if)#swithport&nbspport-security&nbspmaximum

-if)#swithport&nbspport-security&nbspmac-address &nbspx.x.x.x

-if)#swithport&nbspport-security&nbspviolation&nbspshutdown b.基于&nbsp802.1x 的端口认证

4.3 VRRP（虚拟路由冗余协议）原理

VRRP给路由器组提供了一个冗余网关地址，它是一种容错协议，通过定义不同的组，不同优先级的路由器，它保证网络的主路由器失效时，可以及时的由备分来实现路由器来替代，从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。

VRRP 技术的实现：汇聚到核心冗余连接及&nbspVRRP 的实现通过&nbspVRRP 技术将多个设备虚拟成为一台逻辑设备，实现汇聚/接入链路冗余。 如下例：

-if)#vrrp&nbsp5&nbspip&nbsp192.168.2.5

-if)#&nbspvrrp&nbsp6&nbspip&nbsp192.168.2.6

&nbspA: -if)#vrrp&nbsp5&nbsppriority&nbsp200

&nbspB: -if)#vrrp&nbsp6&nbsppriority&nbsp200

-if)#vrrp&nbsp5&nbspauthen &nbspname

-if)#vrrp&nbsp6&nbspauthen &nbspname

4.4 RSTP、MSTP 原理

RSTP 协议完全向下兼容&nbsp802.1D STP 协议，除了和传统的&nbspSTP 协议一样具有避免回路、提供冗余链路的功能外，最主要的特点就是“快”。如果一个局域网内的网桥都支持&nbspRSTP 协议且管理员配置得当，一旦网络拓朴改变而要重新生成拓朴树只需要不超过&nbsp1秒的时间（传统的&nbspSTP 需要大约&nbsp50 秒）。

本交换机支持&nbspMSTP，MSTP 是在传统的&nbspSTP、RSTP 的基础上发展而来的新的生成树协议，本身就包含了&nbspRSTP的快速&nbspFORWARDING 机制。 由于传统的生成树协议与&nbspvlan 没有任何联系，因此在特定网络拓朴下就会产生以下问题： 如下图 所示，交换机&nbspA、B在&nbspvlan1 内，交换机&nbspC、D 在&nbspvlan2 内，然后连成环路。

在某种情况的配置下，会造成把交换机&nbspA 和&nbspB 间的链路给&nbspDISCARDING.由于交换机&nbspC、D 不包含&nbspvlan1，无法转发&nbspvlan1的数据包，这样交换机&nbspA 的vlan1就无法与交换机&nbspB 的&nbspvlan1 进行通讯。

在网络末梢，连接到单个工作站的时候，是不可能形成桥接环路的。在接口 上启用了&nbspportfast 特性，可以使交换机端口立即变为转发状态，提高了网络的 响应速度及收敛时间,基于&nbspRSTP的交换机高级特性&nbspUplinkfast 在网络中的应用。

考虑到有冗余上行连接的网络，使用冗余连接到上层交换机，通常情况下

一 个上行连接处于转发状态，另一个处于阻塞状态，如果主上行连接断开，在使用冗余连接之前所经历的时间高达&nbsp50S。

在使用&nbspUplinkfast 之后，使的具有冗余上行连接的交换机具有根端口失效 时，另一个阻塞的上行连接能够立即使用，这个时间大大缩小到&nbsp1-5S 之间，在 校园网的特殊环境之下，能大大增强网络的稳定性，加快网络收敛 。

4.5 NAT 的描述及策略路由的实现

在组建网络时，为了节约地址，我们在内部使用保留的私有地址段中的地址，但是使用私有地址不能访问&nbspInternet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用&nbspNAT进行地址转换。

NAT是网络地址翻译技术，在路由器上起用&nbspNAT之后，可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的&nbspIP翻译成外部公网的&nbspIP。

配置基于策略的路由选择时，可使用路由映射表来指定基于&nbspIP地址，应用程序，协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策略。

基于策略的路由和静态路由有很多共同之处。然而，静态路由根据目标网络地址来转换分组，而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时，可根据诸如目标地址，分组长度，IP协议字段，优先级或端口号来转发数据流。这样可以指定范围更广泛，更细致的条件，并根据这些条件来决定下一跳路由器。

4.6 ACL (访问控制列表)

访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些 端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求，从而达到设置网络安全策略，防止网络中的敏感设备受到非授权访问的情况。

在具体实现过程中从技术上来说我们需要了解到&nbspACL分为两种类型,他

们分别是标准访问列表(Standard access lists)和扩展访问列表（Extends accesslists） 前者在过滤网络的时候只使用&nbspIP 数据报的源地址，那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源&nbspIP 地址，它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定，它可以具体到端口，从而精确到某一个服务，比如对&nbspWEB,FTP 的访问等，给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。

4.7 链路聚合&nbspEC(Ethernet &nbspChannel)

以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把&nbsp2 个、3 个、4 个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在这些千兆以太网交换机中，最多可以支持&nbsp4 组链路聚合，每组中最大&nbsp4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一旦出现故障，启用备份链路。

.8 VLAN(虚拟局域网)

VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技术，通过这种 划分，我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域，或者 把物理位置上邻近的网络设备划为不同的广播域，从而更方便我们管理和做一个逻辑层次的划分。从技术上说&nbspVLAN 可以分为静态&nbspVLAN 和动态&nbspVLAN,那么静态的&nbspVLAN 是基于交换机端口进行划分，根据网络设备连接不同的交换机端口，则进入相应的&nbspVLAN。动态&nbspVLAN 则更灵活，它可以根据接入计算机的&nbspIP 地址，MAC地址，甚至是用户的登陆账号做出相应的处理，把计算机划分进相应的

VLAN中，这样就为我们实际的网络管理带来了比较大的方便性和灵活性。那么在我们的校园网方案中，我们希望通过使用VLAN技术进行划分达到以下目的： 隔离、划分广播域，减小不必要的广播流量，从而提高整个网络的利用效

率。

4.9 WLAN 无线局域网

无线局域网有&nbsp4 大特点：移动性：不受时间限制，空间限制，用户可以在网络中漫游；灵活性：不受线缆的限制，可以随意增加和配置工作站；低成本：无线网络不再需要大量的工程布线，同时节省了线路的维护费用；易安装：对于有线网络来说，无线网络的组建、配置和维护更为容易。

结合以上特点，无线网络非常适合图书馆的环境和要求，我们在图书管布置无线网络，并且采用&nbspInfrastucture 这种典型的&nbspWLAN 工作模式，无线客户端可以通过无线接入器&nbspAP(Access&nbspPoint)接入以太网共享网络资源，多个&nbspAP 分布在相邻的区域可以实现无线客户端的移动漫游。

虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道，封装数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用，从隧道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密，所以即使通过公共网络，它仍然是安全的，因为即便数据包在通过网络结点时被拦截（如经过服务器时）但只要拦截者没有密钥。就无法查看包的内容。 从内容上来说&nbspVPN 的连接主要可以分为两个部分，即隧道的建立和数据的加密,在第&nbsp2层上常见的隧道协议包括&nbspPPTP（Point&nbspto&nbspPoint&nbspTunneling Protocol） 点对点隧道协议，还有&nbspL2TP(Layer2 &nbspTunneling &nbspProtocol)第二层隧道协议，L2TP 隧道能够提供&nbspATM 和&nbspFRAME &nbspRELAY 上的隧道，而且由于不依赖&nbspIP 协议，它 还可以支持不止一个连接，那么一般的网络设备如路由器等大多支持这个协议。 在第三层上创建的隧道是基于&nbspIP 的虚拟连接，这些连接通过收发&nbspIP 数据包实现， 这个抱被封装在由&nbspIETF（Internet&nbspEngineering Task Force）指定的协议包装之内。 包装使用&nbspIPsec，IKE，以及身份验证和加密方法，如&nbspMD5，DES，以及&nbspSHA。IPsec 可以与&nbspL2TP 一 起使用，这个时候&nbspL2TP 建立隧道，IPsec 加密数据，这种形式下&nbspIPsec 运行于传输模式。

第5章 网络安全及管理机制

网络的安全性是评价校园网的重要指标之一，对于校园网这样的大型园区网，网络的安全问题就越发重要。网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网与外部网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

1. 硬件实现端口与&nbspMAC 地址和用户IP地址的绑定，严格限定端口上用户接入；

2. 通过VLAN的划分，利用中心交换机上高性能路由模块的管理和控制，可以控制内部各VLAN间的访问；

3．通过&nbspPrivate&nbspVLAN 可以在交换机的同一&nbspVLAN 中提供端口之间的通讯 或安全隔离，确保数据流进入有效端口，而不会被发送到其它端； 口，即解决了因传统&nbsp802.1QVLAN 造成全网 &nbspVID 资源不够的问题，同时又无需利用安全规则资源即能达到隔离不同用户以及不同；组用户之间通讯

的功能，充分保护用户隐私；

4．可实现用户账号、MAC 地址、IP 地址、交换机&nbspIP、交换机端口等六 大元素之间的灵活任意绑定，有效确认用户合法性和唯一性；

5．提供极为有效的Port &nbspBlocking 功能，避免端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护用户&nbspPC 更高效安全地运行；6. 基于源&nbspIP 地址控制的&nbspTelnet 和&nbspWeb 设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；提供加密传输Secure &nbspShell（SSH），保证管理设备信息的安全性，防止黑客攻击和控制设备；

7. 计算机病毒是伴随着计算机而产生的，它同时随着计算机技术的发展而发展，在网络环境中，计算机病毒更易于传播，其对系统的危害也是明显的，在校园网工程中建议采用网络与单机相结合的方式来避免计算机病毒的危害。 校园网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证网络的稳定运行。

第6章 网络设备选型

6.1 交换机选型

核心层交换机：它是构成网络的重点，承担着数据快速率、大容量交换，大吞吐量等重任，以使整个网络高容量、无阻塞、高可靠的运行，所以选用Ciscoc atalyst6500。

6.2路由器选型

出于安全考虑，应该选用一个带有防火墙的边界路由。这里我建议采用

cisco&nbsp7606，模块化，内置防火墙。

第7章 性能测试与评估

7.1网络测试实施

网络设备测试包括性能测试、功能测试、一致性测试、互操作性测试、可靠性和稳定性测试，根据厂商说明书验证网络设备是否具有设计要求的没一样功能；分析网络设备在各个不同的配置和负载下的容量对负载的处理能力；验证网络设备的各项设备功能是否符合国内国际行业标准；考察一台网络设备是否能在一个不同厂家的多种网络产品互连的网络环境中很好的工作；加重负载的方法来分析、评估系统的可靠性和稳定性。

7.2联通性测试

运用ipconfig，ping,telnet,tracert,netstat 等命令对网络的联通性进行测试。

7.3方案的扩展性考虑

本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展，无论从校园网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术，把网络已构筑了高速和坚固的信息高速公路，面对未来的发展将处于非常有利的境界。

结 论

校园网要能很好地应用与发展，很大程度上取决于设计方案的设计实施成功与否。本文从校园网工程的实际出发，从理论、设计、实现等多方面阐述了经济可行的校园网综合设计实施方案，经实践证明是切实可行的。当然，随着用户需求与新技术的发展，还可以进一步完善。

兰州职业技术校园校园局域网规划与设计

第1章 需求分析

1.1 工程项目概况

要求建立一个连接教学楼、办公楼，图书馆，宿舍公寓，网络中心等区域的校园网，需求如下：

1、信息资源共享

通过校园网，实现学校内部，分院与总院信息的快速交流，达到资源共享，使广大师生及时了解国内外科学技术和学院的最新动态，促进教学、科研、管理事业的发展。

2、图书资料检索、借阅自动化

通过改造原有图书检索系统，建设电子图书馆，提高校内图书资料的利用率；充分利用校外图书资料，实现远程计算机图书检索和借阅。

3、学校管理系统的信息化、自动化

依托校园网，构建相应的交互式应用软件平台，实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化，实现统计监测网络化，提高管理效率和水平。

4、建立计算机网络辅助教学系统

建立基于网络的电子教学CAI课件开发、视频点播（VOD）、网上题库、答疑与作业批改等计算机辅助教学系统，实现教学手段的现代化。

5、创建学院网站，使之成为对外宣传的重要窗口，让世界了解我们，提高学院的知名度。

6、为广大师生提供宽松，开放、易用的网络环境，使网络触入日常工作和生活中，发挥网络的最大效用。

1.2 信息点分布

主要信息点集中在办公楼、教学楼、图书馆、宿舍公寓、网络中心等区域。

由于计算机及网络技术的不断发展，极大地推动了校园网的建设，增加硬件的投入，改善办学条件，提高教学、科研和管理水平，提高办学质量。校园网的建设对于学校来说是一项大的工程，必须精心设计、精心施工，做到经济适用，

技术先进、开放性能良好、投资强度合理、与内外网络互联、能长期、稳定运行的高性能的校园网络。

校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源，进行教学和科研工作；学生可以方便地浏览和查询网上资源实现远程学习；通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享。

第2章 方案设计原则

本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该校园的网络系统。 从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：

1、实用性和经济性

校园网的特点决定了网络系统必需要有实用与经济性。实用性使得网络便于管理、维护，以减少网络使用人员运用网络的难度，从而降低人为操作引起的网络故障，并使更多的人掌握网络的使用。应根据学校的实际情况，由于学校的建设资金有限，所以一般都要求网络具有较高的性价比，所以在建设校园网时一定要使用性价比高的网络技术和网络设备，以节约建设资金。

2、高性能与技术先进性

校园网网络系统要求具有较高的数据通信能力和较大的带宽；并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据，网络应有较高的网络主干速度。

3、高可靠性

网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，设备在发生故障时能以热插拔的方式在最短时间内进行恢复，把故障对网络系统的影响减少到最小，避免由于网络故障造成用户损失；

4、安全性

校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络，网络安全性在整个网络中是个很重要的问题，应该采用一定手段控制网络的安全性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性，能够防止非法侵入和信息泄漏。

5、可管理性

强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能，能够对每个用户实行管理；并且能够实现计费管理。

6、可扩充性

随着应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证现有的投资。

第3章 网络方案设计

3.1 网络拓扑结构介绍

在此次校园网的设计中，我们采用层次化模型来设计网络拓扑结构。所谓层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。

在校园网设计中，使用层次化模型有许多好处，列举如下：

1、节省成本

在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。

2、易于理解

层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。

3、易于扩展

在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。

4、易于排错

层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。

3.2 网络拓扑图

网络拓扑图如图1所示。

核心层交换机通过光纤传输介质与教学楼的汇聚交换机相连。汇聚交换机分别连接到各楼栋的接入层交换机，通过双绞线连接到每个课室的信息面板上，具体分配如下：

教学楼有5层，每层5个信息点，共25个信息点。

图：教学楼拓扑图

核心交换机通过光纤连接到学生公寓男、女区的汇聚交换机，每个区域的交换机通过光纤连接到各自的区域楼，区域楼交换机再与楼层的交换机堆叠，通过

双绞线连接到宿舍的信息面板上。

图：A

区宿舍楼拓扑

图：B区宿舍楼拓扑图

信息网络中心

五层为房网络中心。

通过光纤接入，连接H3C SecPath F100-S-AC防火墙，再连接到一台“思科 WS-C4503”的核心交换机和服务器群。

服务器群组服务器统一采用IBM System x3650 M3(7945I75)，一台对外Web服务器，放的是学校的官方网站；一台内网Web服务器，是学校的内部网站；一台Ftp服务器，由于FTP流量比较大，所以增加了一台IBM TotalStorage DS3400(1726-42X) Raid服务器。

核心层交换机通过光纤连接到办公及教学楼、家属楼、图书馆、学生公寓的汇聚层交换机。

图：信息网络中心拓扑图

3.3 网络设计

3.3.1 核心层网络设计

核心层：将各汇聚层交换机互连起来进行穿越校园网骨干的高速数据交换。实现数据包高速交换。核心层双中心星形拓扑的优点是结构较为简单，实现设备的，也可以很好的进行网络负载均衡。PortTrunking技术提高互联交换机的吞吐量，使得整个网络具备高容量、无阻塞、高性能的能力。

3.3.2 汇聚层网络设计

汇集层：主要功能是汇聚网络流量，链路聚合、路由聚合，信号中继，负责将访问层交换机进行汇集，还为整个交换网络提供VLAN间的路由选择功能。

3.3.3 接入层网络设计

接入层：接入层利用VLAN划分等技术隔离网络广播风暴，提高网络效率，为所有的终端用户提供一个接入点。

3.3.4 整体层次化设计

本校园网网络系统的设计采用层次化的设计方法，即核心层、汇聚层和接入层。

5 广域网互联设计

考虑到Internet和其他网络的连接(如CHINANET等)，目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各种广域连接中发现。目前，越来越多的学校还开展了网络教学和建立自己的WEB。因此，能否有效地连接Internet是校园网建立的一个重要的目标。

出于安全考虑，应该选用一个带有防火墙的边界路由。边界路由在远程办公室和网络的其余部分之间提供了一个有效的防火墙。同样重要的是，边界路由为远程办公室保留了利用诸如“服务类数据优先级”、“定制过滤器”和“数据压缩”等工具的优点。

3.3.6 防火墙技术和DMZ设计

学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高，如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。防火墙作为网络的第一道防线，应放置在外网和需要保护的校园内网之间。这样，所有流入校园网络的数据流量都将通过防火墙，使校园内的所有客户机及服务器都处于防火墙的保护下。针对不同资源提供不同安全级别的保护, 还应构建一个“Demilitarized Zone”(DMZ)的区域，放置一些不含机密信息的公用服务器，比如Web、&nbspMail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

3.3.7 冗余/负载均衡设计

冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。部分校园网在早期的建设中由于成本的原因并未在设计中考虑

冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。可采用GEC链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。也可采用生成树协议（IEEE802.1d）提供设备级的冗余连接。此外，我们在设计中提供不同物理方向的双归属、双路由保护。

3.3.8 线路冗余设计

在校园网核心层，网络边界拓扑结构由于采用了双机热备份的核心交换机系统解决方案，所以在线路冗余方面的要求较高，对于线路的冗余要求，我们采用10GE线路对核心层设备进行环行双向备份，并使用业界领先的VRRP（虚拟路由器冗余协议）来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路，通过这个链路连接核心交换机，具备万兆扩展能力；接入交换机采用10/100M自适应端口连接桌面系统，多千兆链路连接到汇聚层。

GEC路具有链路聚合和冗余保证两大特性，下面我们将对它们依次进行介绍：

链路聚合：可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道，在不增加投资的情况下，扩大交换带宽，使关键连接的传输效率更高。

冗余保证：链路聚合中，成员互相动态备份。当某一链路中断时，其它成员能够迅速接替其工作。与生成树协议不同，链路聚合启用备份的过程对聚合之外是不可见的，而且启用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。

综合分析以上各主流方案的优缺点，从性能与成本及拓展性等方面的综合考虑出发，我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。

在校园网汇聚层及接入层出于成本及性价比的考虑，我们决定采用千兆汇聚，万兆拓展；百兆到桌面的链路选择。

3.3.9 网络设备冗余/负载均衡设计

各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担。

负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性 ；为用户提供更好的访问质量;提高服务器响应速度；提高服务器及其他资源的利用效率；避免了网络关键部位出现单点失效。

在此方案中，在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的核心层上。我们采用了两台cisco核心路由交换机组建高性能的核心网络平台，在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在汇聚层的每个区块， 我采用了两台cisco汇聚交换机做到冗余与负载均衡。

在本方案的设计中，出现了两个以上的交换区块和需要提供冗余连接的时候，我们采用了双核心配置。如下图，我们给出了从接入层到汇聚层再到核心层的双核心配置。

双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上，因此形成两条不同的，但是等代价的连接。如果一条核心设备发生故障，还是能够收敛，因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用，VRRP提供快速错误恢复。核心层不需要STP，因为在核心交换机间没有冗余的第2层连接。

3.3.10 网管工作站设计

网络管理是校园网必须考虑的关键技术，这里的网络管理主要指网络设备及其系统的管理，它包括配置、性能、安全、故障管理等，网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的、驻留有网络管理协议的设备。 网络管理设计的另一方面，是配置一个网络管理中心，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。

3.3.11 &nbspIP地址和vlan规划

根据互联网络技术发展的趋势，结合学校网络目前真实IP地址的现实情况，我们建议：

IP地址规划遵循如下原则来设计：

1、服务器区采用私IP地址，NAT后供人员远程访问；

2、与internet 互联设备IP地址采用真实IP地址；

3、部分内部互连采用私有IP地址；

4、面向用户的私有IP地址，由统一出口的边缘设备（路由器、防火墙）进行地址翻译。即出口路由器（防火墙）互联采用合法IP地址；公共服务器如WWW/FTP/DNS等均采用合法地址（或从安全角度考虑采用私有IP）；部分接入用户采用私有保留IP地址相连。

这样设计，既可以充分利用已有的公网IP地址，解决了IP地址空间不足的，既可以方便的实现互通互连，而且将地址翻译（NAT）这种耗费设备资源的工作

由网络边缘设备分担，提高网络数据传输整体性能。

同时，还可以采用VLSM。VLSM是可变长子网掩码的英文缩写，它提供了一个主类（A类、B类、C类）网络内包含多个子网掩码的能力，可以对一个子网再进行子网划分。

VLSM的优点，所以我们采取vlsm对网络进行编址，以达到节约IP地址，能

第4章 网络技术选型

4.1

路由协议——OSPF

在网络核心层和汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan 间的数据转发而需要路由协议时，我们采用OSPF协议作为路由协议。 OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息，从而掌握全网的拓扑结构，独立计算路由。因为RIP路由协议不能服务于大型网络，所以，IETF的IGP工作组特别开发出链路状态协议——OSPF。

OSPF作为一种内部网关协议（Interior&nbspGateway&nbspProtocol，IGP），用于在同一个自治域（AS）中的路由器之间发布路由信息。区别于距离矢量协议(RIP)，OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点，在目前应用的路由协议中占有相当重要的地位。

4.2 端口安全与认证（基于&nbsp802.1X）

a.端口安全

交换设备定义了对端口保护的功能，我们能定义允许的最大&nbspMAC 地址访问数，或者静态的定义特定的&nbspMAC 地址。遇到不合法的&nbspMAC 地址交换机采取的策略。

配置举例 端口安全性：

>enable #configure&nbspterminal

(config)#interface&nbspf0/1

-if)#swithport&nbspport-security

-if)#swithport&nbspport-security&nbspmaximum

-if)#swithport&nbspport-security&nbspmac-address &nbspx.x.x.x

-if)#swithport&nbspport-security&nbspviolation&nbspshutdown b.基于&nbsp802.1x 的端口认证

4.3 VRRP（虚拟路由冗余协议）原理

VRRP给路由器组提供了一个冗余网关地址，它是一种容错协议，通过定义不同的组，不同优先级的路由器，它保证网络的主路由器失效时，可以及时的由备分来实现路由器来替代，从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。

VRRP 技术的实现：汇聚到核心冗余连接及&nbspVRRP 的实现通过&nbspVRRP 技术将多个设备虚拟成为一台逻辑设备，实现汇聚/接入链路冗余。 如下例：

-if)#vrrp&nbsp5&nbspip&nbsp192.168.2.5

-if)#&nbspvrrp&nbsp6&nbspip&nbsp192.168.2.6

&nbspA: -if)#vrrp&nbsp5&nbsppriority&nbsp200

&nbspB: -if)#vrrp&nbsp6&nbsppriority&nbsp200

-if)#vrrp&nbsp5&nbspauthen &nbspname

-if)#vrrp&nbsp6&nbspauthen &nbspname

4.4 RSTP、MSTP 原理

RSTP 协议完全向下兼容&nbsp802.1D STP 协议，除了和传统的&nbspSTP 协议一样具有避免回路、提供冗余链路的功能外，最主要的特点就是“快”。如果一个局域网内的网桥都支持&nbspRSTP 协议且管理员配置得当，一旦网络拓朴改变而要重新生成拓朴树只需要不超过&nbsp1秒的时间（传统的&nbspSTP 需要大约&nbsp50 秒）。

本交换机支持&nbspMSTP，MSTP 是在传统的&nbspSTP、RSTP 的基础上发展而来的新的生成树协议，本身就包含了&nbspRSTP的快速&nbspFORWARDING 机制。 由于传统的生成树协议与&nbspvlan 没有任何联系，因此在特定网络拓朴下就会产生以下问题： 如下图 所示，交换机&nbspA、B在&nbspvlan1 内，交换机&nbspC、D 在&nbspvlan2 内，然后连成环路。

在某种情况的配置下，会造成把交换机&nbspA 和&nbspB 间的链路给&nbspDISCARDING.由于交换机&nbspC、D 不包含&nbspvlan1，无法转发&nbspvlan1的数据包，这样交换机&nbspA 的vlan1就无法与交换机&nbspB 的&nbspvlan1 进行通讯。

在网络末梢，连接到单个工作站的时候，是不可能形成桥接环路的。在接口 上启用了&nbspportfast 特性，可以使交换机端口立即变为转发状态，提高了网络的 响应速度及收敛时间,基于&nbspRSTP的交换机高级特性&nbspUplinkfast 在网络中的应用。

考虑到有冗余上行连接的网络，使用冗余连接到上层交换机，通常情况下

一 个上行连接处于转发状态，另一个处于阻塞状态，如果主上行连接断开，在使用冗余连接之前所经历的时间高达&nbsp50S。

在使用&nbspUplinkfast 之后，使的具有冗余上行连接的交换机具有根端口失效 时，另一个阻塞的上行连接能够立即使用，这个时间大大缩小到&nbsp1-5S 之间，在 校园网的特殊环境之下，能大大增强网络的稳定性，加快网络收敛 。

4.5 NAT 的描述及策略路由的实现

在组建网络时，为了节约地址，我们在内部使用保留的私有地址段中的地址，但是使用私有地址不能访问&nbspInternet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用&nbspNAT进行地址转换。

NAT是网络地址翻译技术，在路由器上起用&nbspNAT之后，可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的&nbspIP翻译成外部公网的&nbspIP。

配置基于策略的路由选择时，可使用路由映射表来指定基于&nbspIP地址，应用程序，协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策略。

基于策略的路由和静态路由有很多共同之处。然而，静态路由根据目标网络地址来转换分组，而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时，可根据诸如目标地址，分组长度，IP协议字段，优先级或端口号来转发数据流。这样可以指定范围更广泛，更细致的条件，并根据这些条件来决定下一跳路由器。

4.6 ACL (访问控制列表)

访问列表为我们提供了一种对网络访问进行有效管理的方法，通过访问列表，我们可以设置允许或拒绝数据包通过路由器，或者允许或者拒绝具体的某些 端口进行访问和使用，如果满足条件则执行相应的操作，放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求，从而达到设置网络安全策略，防止网络中的敏感设备受到非授权访问的情况。

在具体实现过程中从技术上来说我们需要了解到&nbspACL分为两种类型,他

们分别是标准访问列表(Standard access lists)和扩展访问列表（Extends accesslists） 前者在过滤网络的时候只使用&nbspIP 数据报的源地址，那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源&nbspIP 地址，它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定，它可以具体到端口，从而精确到某一个服务，比如对&nbspWEB,FTP 的访问等，给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。

4.7 链路聚合&nbspEC(Ethernet &nbspChannel)

以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性，比如可以把&nbsp2 个、3 个、4 个千兆的链路绑定在一起，使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡，同时也能够互为备份，保证链路的冗余性。在这些千兆以太网交换机中，最多可以支持&nbsp4 组链路聚合，每组中最大&nbsp4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路，并用生成树协议让备份链路阻塞，在逻辑上不形成环路。而一旦出现故障，启用备份链路。

.8 VLAN(虚拟局域网)

VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技术，通过这种 划分，我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域，或者 把物理位置上邻近的网络设备划为不同的广播域，从而更方便我们管理和做一个逻辑层次的划分。从技术上说&nbspVLAN 可以分为静态&nbspVLAN 和动态&nbspVLAN,那么静态的&nbspVLAN 是基于交换机端口进行划分，根据网络设备连接不同的交换机端口，则进入相应的&nbspVLAN。动态&nbspVLAN 则更灵活，它可以根据接入计算机的&nbspIP 地址，MAC地址，甚至是用户的登陆账号做出相应的处理，把计算机划分进相应的

VLAN中，这样就为我们实际的网络管理带来了比较大的方便性和灵活性。那么在我们的校园网方案中，我们希望通过使用VLAN技术进行划分达到以下目的： 隔离、划分广播域，减小不必要的广播流量，从而提高整个网络的利用效

率。

4.9 WLAN 无线局域网

无线局域网有&nbsp4 大特点：移动性：不受时间限制，空间限制，用户可以在网络中漫游；灵活性：不受线缆的限制，可以随意增加和配置工作站；低成本：无线网络不再需要大量的工程布线，同时节省了线路的维护费用；易安装：对于有线网络来说，无线网络的组建、配置和维护更为容易。

结合以上特点，无线网络非常适合图书馆的环境和要求，我们在图书管布置无线网络，并且采用&nbspInfrastucture 这种典型的&nbspWLAN 工作模式，无线客户端可以通过无线接入器&nbspAP(Access&nbspPoint)接入以太网共享网络资源，多个&nbspAP 分布在相邻的区域可以实现无线客户端的移动漫游。

虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道，封装数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用，从隧道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密，所以即使通过公共网络，它仍然是安全的，因为即便数据包在通过网络结点时被拦截（如经过服务器时）但只要拦截者没有密钥。就无法查看包的内容。 从内容上来说&nbspVPN 的连接主要可以分为两个部分，即隧道的建立和数据的加密,在第&nbsp2层上常见的隧道协议包括&nbspPPTP（Point&nbspto&nbspPoint&nbspTunneling Protocol） 点对点隧道协议，还有&nbspL2TP(Layer2 &nbspTunneling &nbspProtocol)第二层隧道协议，L2TP 隧道能够提供&nbspATM 和&nbspFRAME &nbspRELAY 上的隧道，而且由于不依赖&nbspIP 协议，它 还可以支持不止一个连接，那么一般的网络设备如路由器等大多支持这个协议。 在第三层上创建的隧道是基于&nbspIP 的虚拟连接，这些连接通过收发&nbspIP 数据包实现， 这个抱被封装在由&nbspIETF（Internet&nbspEngineering Task Force）指定的协议包装之内。 包装使用&nbspIPsec，IKE，以及身份验证和加密方法，如&nbspMD5，DES，以及&nbspSHA。IPsec 可以与&nbspL2TP 一 起使用，这个时候&nbspL2TP 建立隧道，IPsec 加密数据，这种形式下&nbspIPsec 运行于传输模式。

第5章 网络安全及管理机制

网络的安全性是评价校园网的重要指标之一，对于校园网这样的大型园区网，网络的安全问题就越发重要。网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网与外部网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

1. 硬件实现端口与&nbspMAC 地址和用户IP地址的绑定，严格限定端口上用户接入；

2. 通过VLAN的划分，利用中心交换机上高性能路由模块的管理和控制，可以控制内部各VLAN间的访问；

3．通过&nbspPrivate&nbspVLAN 可以在交换机的同一&nbspVLAN 中提供端口之间的通讯 或安全隔离，确保数据流进入有效端口，而不会被发送到其它端； 口，即解决了因传统&nbsp802.1QVLAN 造成全网 &nbspVID 资源不够的问题，同时又无需利用安全规则资源即能达到隔离不同用户以及不同；组用户之间通讯

的功能，充分保护用户隐私；

4．可实现用户账号、MAC 地址、IP 地址、交换机&nbspIP、交换机端口等六 大元素之间的灵活任意绑定，有效确认用户合法性和唯一性；

5．提供极为有效的Port &nbspBlocking 功能，避免端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口负载负担，提高端口带宽，保护用户&nbspPC 更高效安全地运行；6. 基于源&nbspIP 地址控制的&nbspTelnet 和&nbspWeb 设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备；提供加密传输Secure &nbspShell（SSH），保证管理设备信息的安全性，防止黑客攻击和控制设备；

7. 计算机病毒是伴随着计算机而产生的，它同时随着计算机技术的发展而发展，在网络环境中，计算机病毒更易于传播，其对系统的危害也是明显的，在校园网工程中建议采用网络与单机相结合的方式来避免计算机病毒的危害。 校园网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证网络的稳定运行。

第6章 网络设备选型

6.1 交换机选型

核心层交换机：它是构成网络的重点，承担着数据快速率、大容量交换，大吞吐量等重任，以使整个网络高容量、无阻塞、高可靠的运行，所以选用Ciscoc atalyst6500。

6.2路由器选型

出于安全考虑，应该选用一个带有防火墙的边界路由。这里我建议采用

cisco&nbsp7606，模块化，内置防火墙。

第7章 性能测试与评估

7.1网络测试实施

网络设备测试包括性能测试、功能测试、一致性测试、互操作性测试、可靠性和稳定性测试，根据厂商说明书验证网络设备是否具有设计要求的没一样功能；分析网络设备在各个不同的配置和负载下的容量对负载的处理能力；验证网络设备的各项设备功能是否符合国内国际行业标准；考察一台网络设备是否能在一个不同厂家的多种网络产品互连的网络环境中很好的工作；加重负载的方法来分析、评估系统的可靠性和稳定性。

7.2联通性测试

运用ipconfig，ping,telnet,tracert,netstat 等命令对网络的联通性进行测试。

7.3方案的扩展性考虑

本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展，无论从校园网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术，把网络已构筑了高速和坚固的信息高速公路，面对未来的发展将处于非常有利的境界。

结 论

校园网要能很好地应用与发展，很大程度上取决于设计方案的设计实施成功与否。本文从校园网工程的实际出发，从理论、设计、实现等多方面阐述了经济可行的校园网综合设计实施方案，经实践证明是切实可行的。当然，随着用户需求与新技术的发展，还可以进一步完善。