計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐課程設(shè)計(jì)報(bào)告--實(shí)驗(yàn)室局域網(wǎng)建設(shè)方案

1、<p>　　計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐課程設(shè)計(jì)報(bào)告</p><p>　　實(shí)驗(yàn)室局域網(wǎng)建設(shè)方案</p><p>　　?！　I(yè): 計(jì)算機(jī)科學(xué)與技術(shù)專業(yè) 班級(jí): 計(jì)09-1 </p><p><b>　　目 錄</b></p><p><b>　　1、引言4</b></p&g

2、t;<p>　　1.1 目前現(xiàn)狀4</p><p>　　1.2 需求分析4</p><p>　　2、網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求7</p><p>　　2.1 網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求7</p><p>　　1. 計(jì)算機(jī)實(shí)驗(yàn)室的設(shè)計(jì)目標(biāo)7</p><p>　　2. 計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)的建設(shè)要求7</p

3、><p>　　2.2小組成員分工8</p><p>　　3、方案設(shè)計(jì)與實(shí)現(xiàn)9</p><p>　　3.1網(wǎng)絡(luò)設(shè)計(jì)原則9</p><p>　　3.2 主流組網(wǎng)技術(shù)分析與選擇10</p><p>　　3.2.1 星型拓?fù)?0</p><p>　　3.2.2 總線拓?fù)?0</p>

4、<p>　　3.2.3 環(huán)型拓?fù)?1</p><p>　　3.2.4 樹型拓?fù)?1</p><p>　　3.2.5 混合型拓?fù)?2</p><p>　　3.2.6 網(wǎng)型拓?fù)?2</p><p>　　3.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)13</p><p>　　3.3.1模塊化設(shè)計(jì)13</p>

5、<p>　　3.3.2層次化設(shè)計(jì)13</p><p>　　3.3.3 網(wǎng)絡(luò)拓?fù)鋱D15</p><p>　　3.3.4 方案的說明16</p><p>　　3.4 IP地址劃分17</p><p>　　3.4.1 IP地址及VLAN劃分原則17</p><p>　　3.4.2 IP地址及VLAN劃分

6、18</p><p>　　3.4.3 NAT的實(shí)現(xiàn)18</p><p>　　3.4.3、訪問列表的實(shí)現(xiàn)19</p><p>　　3.5設(shè)備選型與配置19</p><p>　　3.6 路由選擇與配置20</p><p>　　3.7 網(wǎng)絡(luò)安全設(shè)計(jì)與管理20</p><p>　　3.7.1安

7、全需求分析20</p><p>　　3.7.2網(wǎng)絡(luò)安全控制21</p><p>　　3.7.3網(wǎng)絡(luò)管理設(shè)計(jì)22</p><p>　　3.8 未來升級(jí)與擴(kuò)展25</p><p>　　4、網(wǎng)絡(luò)施工與結(jié)構(gòu)化布線26</p><p>　　4.1網(wǎng)絡(luò)布局的原則26</p><p>　　4.2網(wǎng)

8、絡(luò)布局的具體實(shí)施要求26</p><p>　　4.3布線系統(tǒng)的規(guī)劃與設(shè)計(jì)27</p><p>　　4.4網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計(jì)27</p><p><b>　　5、總結(jié)29</b></p><p><b>　　6、參考文獻(xiàn)30</b></p><p><b>

9、;　　1、引言</b></p><p><b>　　1.1 目前現(xiàn)狀</b></p><p>　　近年來，校園網(wǎng)絡(luò)的建設(shè)在高效掀起一股熱潮，許多中學(xué)都建起了自己的校園網(wǎng)，形成了一個(gè)覆蓋全國的計(jì)算機(jī)網(wǎng)并通過專線與Internet連通。</p><p>　　從學(xué)校的長遠(yuǎn)發(fā)展考慮，通過校園網(wǎng)可以更好的為學(xué)校教育教學(xué)提供資源共享、信息交流和

10、促進(jìn)學(xué)校各部門之間的協(xié)調(diào)工作，這必將增強(qiáng)學(xué)校管理水平，提高教學(xué)和科研水平，改善教學(xué)和科研環(huán)境，使教學(xué)多出人才，科研出成果，對(duì)學(xué)校的發(fā)展有著十分重要而深遠(yuǎn)的意義。</p><p>　　隨著互聯(lián)網(wǎng)技術(shù)的廣泛普及和應(yīng)用，從而帶來了網(wǎng)絡(luò)技術(shù)人才需求量的不斷增加，網(wǎng)絡(luò)技術(shù)教育和人才培養(yǎng)成為高等院校一項(xiàng)重要的戰(zhàn)略任務(wù)。</p><p>　　建設(shè)優(yōu)質(zhì)的實(shí)驗(yàn)室局域網(wǎng)有利于學(xué)術(shù)研究，有利于網(wǎng)絡(luò)教學(xué)，有利于培

11、養(yǎng)學(xué)生實(shí)踐動(dòng)手能力，有利于學(xué)生就業(yè)，有利于提升學(xué)校的品牌的一件大好事。所以建設(shè)實(shí)驗(yàn)室局域網(wǎng)是必須的。</p><p><b>　　1.2 需求分析 </b></p><p>　　計(jì)算機(jī)實(shí)驗(yàn)室局域網(wǎng)的建設(shè)，最終是通過學(xué)校網(wǎng)絡(luò)中心將網(wǎng)絡(luò)接入到計(jì)算機(jī)實(shí)驗(yàn)室的每個(gè)機(jī)房，使師生員工可以在機(jī)房進(jìn)行各種活動(dòng)，有助于提高師生的生活質(zhì)量，對(duì)計(jì)算機(jī)技術(shù)的教學(xué)提供了極大的幫助。因此，建設(shè)計(jì)

12、算機(jī)實(shí)驗(yàn)室局域網(wǎng)是學(xué)校發(fā)展的不可就目前對(duì)部分需求和網(wǎng)絡(luò)應(yīng)用的需求考察結(jié)果，并尊重“長遠(yuǎn)考慮、就地起步”的規(guī)劃，技術(shù)上遵循開放、標(biāo)準(zhǔn)、成熟、安全、可靠和可擴(kuò)展的思想，追求技術(shù)上的先進(jìn)性與成熟性、實(shí)用性相結(jié)合，追求整個(gè)系統(tǒng)性能的最佳化、理優(yōu)化、節(jié)省費(fèi)用等原則原則。</p><p>　　計(jì)算機(jī)實(shí)驗(yàn)室擁有一個(gè)完整的以太網(wǎng)布局，通過路由器與學(xué)校網(wǎng)絡(luò)中心光纖連接， 由兩層交換機(jī)將各個(gè)機(jī)房的信息點(diǎn)連通。計(jì)算機(jī)實(shí)驗(yàn)室位于計(jì)算機(jī)學(xué)

13、院樓四樓，每個(gè)實(shí)驗(yàn)室是一間長方形教室，每個(gè)實(shí)驗(yàn)室大約有60臺(tái)計(jì)算機(jī)。根據(jù)我校學(xué)生多、機(jī)位少的實(shí)際情況，制定如下網(wǎng)絡(luò)需求：</p><p>　　使用帶有VLAN功能的二層網(wǎng)管和三層網(wǎng)管交換機(jī)組網(wǎng)，將100臺(tái)左右計(jì)算機(jī)按需要?jiǎng)澐譃槿舾蓚€(gè)VLAN，配置交換機(jī)使每個(gè)網(wǎng)段之間可以通訊</p><p>　　C類局域網(wǎng)，獨(dú)立網(wǎng)段，自主分配IP地址；</p><p>　　每臺(tái)計(jì)算機(jī)

14、通過URL自由訪問Internet網(wǎng)絡(luò)資源；</p><p>　　計(jì)費(fèi)的功能，所要?jiǎng)?chuàng)建的局域網(wǎng)要實(shí)現(xiàn)計(jì)費(fèi)功能，按時(shí)間收費(fèi)。學(xué)生可以用校園一卡通開通賬戶，繳費(fèi)上網(wǎng)。</p><p>　　選擇可伸縮的結(jié)構(gòu)和高性能的設(shè)備，能夠高速傳輸數(shù)據(jù)，同時(shí)通過技術(shù)保證，安全地接入Internet和一體化的網(wǎng)絡(luò)解決方案。</p><p>　　計(jì)算機(jī)終端設(shè)備的選型既考慮性能、價(jià)格比、設(shè)備

15、的運(yùn)行維護(hù)費(fèi)用，也考慮設(shè)備的可擴(kuò)充性。確保系統(tǒng)主要設(shè)備的投入在整個(gè)系統(tǒng)的生命周期內(nèi)能得到充分利用并具有強(qiáng)健靈活的體系結(jié)構(gòu)。</p><p>　　節(jié)約空間，減少噪音污染；</p><p>　　建設(shè)的局域網(wǎng)要努力克服一些通病，如：設(shè)備種類繁多、機(jī)位擁擠不堪、網(wǎng)線密集凌亂、維護(hù)困難重重、空氣流通不暢、往來人員頻繁而中空的防靜電地板將每個(gè)人腳下的聲音傳播到整個(gè)機(jī)房，混合上交換機(jī)噪音，產(chǎn)生噪音污染。

16、</p><p>　　設(shè)計(jì)一個(gè)網(wǎng)絡(luò)，首先要確定用戶對(duì)網(wǎng)絡(luò)的真正需求，其中包括分析原有網(wǎng)絡(luò)現(xiàn)在面臨的主要問題，并找出新的用戶需求和未來的發(fā)展可能，在此基礎(chǔ)上設(shè)計(jì)選擇合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，建設(shè)滿足需求的網(wǎng)絡(luò)。</p><p>　　隨著教學(xué)及管理水平的不斷提高，網(wǎng)絡(luò)會(huì)發(fā)揮越來越重要的作用，此外，未來的一些新的應(yīng)用也對(duì)網(wǎng)絡(luò)提出了支持多點(diǎn)廣播的要求。</p><p>　　

17、為確保校園網(wǎng)建設(shè)和應(yīng)用的成功，對(duì)網(wǎng)絡(luò)方案的設(shè)計(jì)大致可歸納出以下的需求：</p><p><b>　　1、高帶寬</b></p><p>　　為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國際先進(jìn)水平。要采用比較先進(jìn)的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來的發(fā)展。為此應(yīng)選用高帶寬的先進(jìn)技術(shù)。</p>

18、;<p><b>　　2、高可靠性</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)應(yīng)具有高可靠性、高安全性，具體到本項(xiàng)目中，要求采用可靠性較高的產(chǎn)品和網(wǎng)絡(luò)架構(gòu)，在物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層等多個(gè)層次都有相應(yīng)的技術(shù)，以最大程度的保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。</p><p><b>　　3、QoS保證</b></p><p>　　

19、當(dāng)今網(wǎng)絡(luò)中多媒體的應(yīng)用越來越多，這類應(yīng)用對(duì)服務(wù)質(zhì)量的要求較高，新的網(wǎng)絡(luò)系統(tǒng)應(yīng)能保證QoS，以支持這類應(yīng)用。</p><p><b>　　4、多協(xié)議支持</b></p><p>　　由于網(wǎng)絡(luò)將要存在不同的業(yè)務(wù)和辦公應(yīng)用系統(tǒng)，并基于不同的網(wǎng)絡(luò)協(xié)議，所以網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持多種協(xié)議（IP、SNA、Netbios等），是一個(gè)開放型的網(wǎng)絡(luò)，支持各種協(xié)議的互連。</p>

20、<p><b>　　5、易管理、易維護(hù)</b></p><p>　　由于校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測(cè)、故障診斷、故障隔離、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。同時(shí)應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護(hù)。</p><p><b>　　6、安全性</b></p>

21、;<p>　　網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性，要充分的保證網(wǎng)絡(luò)的安全性，應(yīng)該根據(jù)相應(yīng)的管理制度和網(wǎng)絡(luò)策略制定一套完善的安全政策，基于此安全政策，采用合適的技術(shù)手段，以達(dá)成目標(biāo)，保證系統(tǒng)的安全性。</p><p>　　7、可擴(kuò)展性和可升級(jí)性</p><p>　　系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能

22、隨著技術(shù)的發(fā)展不斷升級(jí)。</p><p>　　8、IP Multicast</p><p>　　網(wǎng)上培訓(xùn)和視頻點(diǎn)播將越來越成為網(wǎng)絡(luò)中重要的應(yīng)用，并占用越來越多的帶寬。由于這些應(yīng)用往往是帶寬需求較大的，所以在本項(xiàng)目中，網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持IPMulticast，可以減少網(wǎng)絡(luò)中不必要的廣播，節(jié)省主干的帶寬。</p><p><b>　　9、符合國際標(biāo)準(zhǔn)</b

23、></p><p>　　選用符合國際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，可以保證系統(tǒng)具有較長的生命力和擴(kuò)展能力，滿足將來系統(tǒng)升級(jí)的要求。</p><p>　　10、另外，還有如下幾個(gè)方面的需求：</p><p>　　􀁺 整個(gè)網(wǎng)絡(luò)系統(tǒng)分布相對(duì)較廣泛</p><p>　　􀁺 整個(gè)網(wǎng)絡(luò)采用先進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu)，以滿足傳輸、存儲(chǔ)和處

24、理數(shù)據(jù)、語音及圖象信息的需要。</p><p>　　􀁺 和INTERNET接通。</p><p>　　􀁺 滿足網(wǎng)上的集成系統(tǒng)和業(yè)務(wù)系統(tǒng)的需求。</p><p>　　􀁺 完整統(tǒng)一的系統(tǒng)管理平臺(tái)。</p><p>　　此外，在建設(shè)實(shí)驗(yàn)室局域網(wǎng)過程中還要考慮以下因素：</p>&l

25、t;p>　　（1）主干層網(wǎng)落承載能力要求</p><p>　　主干層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換。網(wǎng)絡(luò)的功能控制最好盡量少在骨干層上實(shí)施，主干層設(shè)計(jì)任務(wù)的重點(diǎn)是冗余能力、可靠性和高速的傳輸。核心層一直被認(rèn)為是流量的最終承受者和匯聚者，所以要求主干層交換機(jī)擁有較高的可靠性和性能。</p><p>　?。?）匯聚層接點(diǎn)接入要求</p>

26、<p>　　匯聚層主要負(fù)責(zé)連接接入層接點(diǎn)和核心層中心，匯聚分散的接入點(diǎn)，擴(kuò)大核心層設(shè)備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸。匯聚交換及還負(fù)責(zé)本區(qū)域內(nèi)的數(shù)據(jù)交換，匯聚交換機(jī)一般與主干層交換機(jī)同類型，仍需要較高的性能和比較豐富的功能，但吞吐量較低。</p><p>　　(3) 可靠性和自愈能力要求</p><p>　　網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的

27、關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。</p><p><b>　　(4) 安全性要求</b></p><p>　　制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性?？梢酝ㄟ^各業(yè)務(wù)子網(wǎng)隔離，全網(wǎng)統(tǒng)一規(guī)劃IP地址，根據(jù)不同的業(yè)務(wù)劃分不同的子網(wǎng)（subnet），相同

28、物理LAN通過VLAN的方式隔離，不同子網(wǎng)間的互通性由路由策略決定。</p><p><b>　　(5) 性價(jià)比要求</b></p><p>　　建設(shè)網(wǎng)絡(luò)時(shí)選用的設(shè)備要具有較高的性價(jià)比，用最小的成本建設(shè)最優(yōu)質(zhì)的網(wǎng)絡(luò)。</p><p>　　2、網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求</p><p>　　2.1 網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求</

29、p><p>　　1. 計(jì)算機(jī)實(shí)驗(yàn)室的設(shè)計(jì)目標(biāo)</p><p>　　網(wǎng)絡(luò)實(shí)驗(yàn)室的建設(shè)要有一定的前瞻性，應(yīng)在有限的資金條件下建立一個(gè)適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展，集教學(xué)、科研、培訓(xùn)和社會(huì)服務(wù)于一體的綜合性實(shí)驗(yàn)室。網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)的主要目標(biāo)是：</p><p>　　(1)建立多樣化的實(shí)驗(yàn)環(huán)境。讓參與網(wǎng)絡(luò)技術(shù)學(xué)習(xí)的學(xué)生能夠一邊學(xué)習(xí)理論知識(shí)，一邊認(rèn)識(shí)了解和掌握網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)、功能和使用方

30、法，并動(dòng)手進(jìn)行必要的網(wǎng)絡(luò)設(shè)計(jì)、網(wǎng)絡(luò)組建、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)應(yīng)用的實(shí)驗(yàn)，通過一系列的驗(yàn)證型、演示型、自主設(shè)計(jì)型、綜合型和創(chuàng)新型實(shí)驗(yàn)，使學(xué)生掌握計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的實(shí)驗(yàn)技能，強(qiáng)化對(duì)所學(xué)知識(shí)的理解，以培養(yǎng)學(xué)生的動(dòng)手能力、工程實(shí)踐能力、創(chuàng)新能力和團(tuán)隊(duì)協(xié)作精神。</p><p>　　(2)滿足專業(yè)教師學(xué)習(xí)網(wǎng)絡(luò)、從事網(wǎng)絡(luò)技術(shù)研究和應(yīng)用系統(tǒng)開發(fā)的需要。網(wǎng)絡(luò)實(shí)驗(yàn)室應(yīng)涵蓋目前主流的網(wǎng)絡(luò)技術(shù)和設(shè)備，具有良好的可擴(kuò)展性。要求系統(tǒng)能夠

31、模擬先進(jìn)的網(wǎng)絡(luò)技術(shù)環(huán)境，搭建網(wǎng)絡(luò)工程；實(shí)驗(yàn)設(shè)備和實(shí)驗(yàn)內(nèi)容應(yīng)能非常靈活地進(jìn)行擴(kuò)展，從而為專業(yè)教師研究當(dāng)前網(wǎng)絡(luò)最前沿的技術(shù)動(dòng)態(tài)和發(fā)展(例如網(wǎng)絡(luò)安全、IPv6、VolP等)提供完善的實(shí)驗(yàn)平臺(tái)，并能在此平臺(tái)之上從事網(wǎng)絡(luò)應(yīng)用系統(tǒng)與技術(shù)的研發(fā)，提高學(xué)校整體網(wǎng)絡(luò)科研與教學(xué)應(yīng)用水平。</p><p>　　(3)滿足實(shí)習(xí)基地建設(shè)的需要。網(wǎng)絡(luò)實(shí)驗(yàn)室的建設(shè)要面向社會(huì)，為社會(huì)盡可能多地培養(yǎng)緊缺的IT人才。但今天的IT人才市場(chǎng)，越來越關(guān)注

32、技術(shù)人員的實(shí)際經(jīng)驗(yàn)和動(dòng)手操作能力。因此，新建的網(wǎng)絡(luò)實(shí)驗(yàn)室，要能夠模擬寬帶數(shù)據(jù)城域網(wǎng)及大型園區(qū)網(wǎng)的組網(wǎng)方式和業(yè)務(wù)思路，并可以構(gòu)建多種類型的局域網(wǎng)和廣域網(wǎng)。可以讓學(xué)生親自搭建網(wǎng)絡(luò)、親自動(dòng)手調(diào)試和配置網(wǎng)絡(luò)，通過在網(wǎng)絡(luò)實(shí)驗(yàn)室中的實(shí)驗(yàn)和操作，真正提高他們的網(wǎng)絡(luò)技能和實(shí)戰(zhàn)能力。此外，網(wǎng)絡(luò)實(shí)驗(yàn)室還應(yīng)充分考慮多種技術(shù)的融合、多個(gè)平臺(tái)的操作、多廠家設(shè)備的互聯(lián)，可以提供仿真的網(wǎng)絡(luò)設(shè)備配置環(huán)境，讓學(xué)生了解更多的系統(tǒng)，掌握更多的設(shè)備使用。</p>

33、<p>　　2. 計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)的建設(shè)要求</p><p><b>　　第一、經(jīng)濟(jì)而實(shí)用</b></p><p>　　靈活的拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)實(shí)驗(yàn)室，所提供的實(shí)驗(yàn)平臺(tái)可以適合多種應(yīng)用實(shí)驗(yàn)的需要?？梢詫?shí)現(xiàn)同一時(shí)段多人做實(shí)驗(yàn)，也可合并在一起組成大的實(shí)驗(yàn)環(huán)境，體現(xiàn)網(wǎng)絡(luò)實(shí)驗(yàn)室在拓?fù)洵h(huán)境組合上的靈活性及整體的經(jīng)濟(jì)性。</p><p>　　第二、

34、可擴(kuò)展和易維護(hù)性</p><p>　　由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展快速的特點(diǎn)，在網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)過程中，選擇設(shè)備時(shí)要求其在提供多種冗余保證穩(wěn)定的情況下，還必須具有超強(qiáng)的擴(kuò)展能力。如各種交換機(jī)都提供多個(gè)擴(kuò)展插槽和提供足夠的背板帶寬，同時(shí)還采用設(shè)備管理軟件來解決設(shè)備在維護(hù)上的問題。</p><p>　　第三、社會(huì)實(shí)際緊密結(jié)合性</p><p>　　所建設(shè)的網(wǎng)絡(luò)實(shí)驗(yàn)室是完全結(jié)合社

35、會(huì)真實(shí)的網(wǎng)絡(luò)進(jìn)行組建的，所有的實(shí)驗(yàn)都是從實(shí)際的網(wǎng)絡(luò)環(huán)境中截取的，做到實(shí)驗(yàn)和社會(huì)實(shí)際有機(jī)地結(jié)合起來，以提高中職院校的綜合競(jìng)爭(zhēng)實(shí)力與學(xué)生就業(yè)能力。實(shí)驗(yàn)教學(xué)內(nèi)容應(yīng)與社會(huì)應(yīng)用實(shí)踐密切聯(lián)系，形成良性互動(dòng)，實(shí)現(xiàn)學(xué)與用的有機(jī)結(jié)合。要認(rèn)真考慮設(shè)置哪些實(shí)驗(yàn)項(xiàng)目、采用何種實(shí)驗(yàn)手段才能切實(shí)提高學(xué)生的動(dòng)手能力，培養(yǎng)學(xué)生的獨(dú)立性和創(chuàng)造性，保證實(shí)驗(yàn)教學(xué)的質(zhì)量。</p><p>　　完善計(jì)算機(jī)實(shí)驗(yàn)室局域網(wǎng)基礎(chǔ)設(shè)施建設(shè)，構(gòu)建技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、

36、安全可靠、高速暢通的網(wǎng)絡(luò)環(huán)境。建立公共信息系統(tǒng)基礎(chǔ)平臺(tái)，提供先進(jìn)數(shù)字化管理手段，提高管理效率；建立功能齊全的教學(xué)管理平臺(tái)；建設(shè)內(nèi)容豐富的教學(xué)資源庫，實(shí)現(xiàn)教學(xué)資源共享；提高全校師生信息素養(yǎng)，為培養(yǎng)高技能應(yīng)用性人才和服務(wù)社會(huì)搭建公共服務(wù)平臺(tái)。在網(wǎng)上宣傳和獲取教育資源；在此基礎(chǔ)上建立能滿足教學(xué)、科研和管理工作需要的軟、硬件環(huán)境；開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)；系統(tǒng)總體設(shè)計(jì)本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系

37、統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性、良好的開放性、可擴(kuò)展性，以及建設(shè)經(jīng)濟(jì)性。</p><p><b>　　2.2小組成員分工</b></p><p>　　胡奧：需求分析、主流網(wǎng)技術(shù)與分析、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)、網(wǎng)絡(luò)拓?fù)鋱D的繪制、現(xiàn)狀分析</p><p>　　李春煒：網(wǎng)絡(luò)安全設(shè)計(jì)與管理、IP地址的劃分、組網(wǎng)技術(shù)的分析與選型、網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)的確定<

38、/p><p>　　季程：交換機(jī)的選擇與配置、路由的選擇與配置、校對(duì)工作后期的測(cè)試、維護(hù)與后期拓展</p><p>　　耿士金：文檔整理與搜集、資料搜集、設(shè)備的基本配置、可擴(kuò)展性和易維護(hù)性、未來升級(jí)與擴(kuò)展</p><p>　　3、方案設(shè)計(jì)與實(shí)現(xiàn) </p><p><b>　　3.1網(wǎng)絡(luò)設(shè)計(jì)原則</b></p>&

39、lt;p>　　在充分考慮多應(yīng)用、易管理的同時(shí)，本方案遵循如下原則：</p><p>　　1) 開放性與穩(wěn)定性原則:在設(shè)計(jì)校園網(wǎng)絡(luò)時(shí)應(yīng)盡量采用結(jié)構(gòu)化、模塊化、標(biāo)準(zhǔn)化的設(shè)計(jì)。技術(shù)選擇必須符合相關(guān)國際標(biāo)準(zhǔn)及國內(nèi)標(biāo)準(zhǔn),避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議,確保網(wǎng)絡(luò)的開放性和互聯(lián)互通,滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需求;開放的接口,支持良好的維護(hù)、測(cè)量和管理手段,提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能,

40、實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。</p><p>　　滿足校園網(wǎng)絡(luò)各種不同用戶需求、達(dá)到校園網(wǎng)絡(luò)系統(tǒng)穩(wěn)定、保證總體方案的設(shè)計(jì)合理、便于校園網(wǎng)絡(luò)使用過程中的管理與維護(hù),同時(shí)也應(yīng)采用開放性的網(wǎng)絡(luò)體系,方便網(wǎng)絡(luò)的升級(jí)、擴(kuò)展,在選擇服務(wù)器等網(wǎng)絡(luò)產(chǎn)品時(shí),使用支持的多種不同網(wǎng)絡(luò)協(xié)議的國際標(biāo)準(zhǔn)化產(chǎn)品,在保證校園網(wǎng)絡(luò)穩(wěn)定性的同時(shí)具備開放性。</p><p>　　2) 先進(jìn)性與實(shí)用性原則:網(wǎng)絡(luò)技術(shù)發(fā)展快,設(shè)備更新淘

41、汰也很快。在設(shè)計(jì)校園網(wǎng)絡(luò)時(shí)既要采用先進(jìn)的概念、技術(shù)和方法,又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。采用符合國際標(biāo)準(zhǔn)的成熟、先進(jìn)的技術(shù)和設(shè)備,確保校園網(wǎng)絡(luò)能夠適應(yīng)將來校園網(wǎng)絡(luò)發(fā)展需要,保證在未來若干年內(nèi)占主導(dǎo)地位。</p><p>　　由于學(xué)校資金并不充足,部分先進(jìn)設(shè)備不可能一步到位。另外,學(xué)校的應(yīng)用水平也有限,某些過于先進(jìn)系統(tǒng)和設(shè)備即使安裝了也會(huì)存在利用不起來的現(xiàn)象,因此,在設(shè)計(jì)校園網(wǎng)絡(luò)時(shí)應(yīng)在先進(jìn)性的指導(dǎo)下面向?qū)嵱?

42、注重實(shí)效的方針,堅(jiān)持應(yīng)用、經(jīng)濟(jì)的原則。</p><p>　　3) 安全性與可靠性原則:校園網(wǎng)絡(luò)的安全與可靠包括設(shè)備、系統(tǒng)、應(yīng)用等多個(gè)方面的因素,在設(shè)計(jì)校園網(wǎng)絡(luò)時(shí),在結(jié)構(gòu)、設(shè)備、系統(tǒng)、應(yīng)用、性能等方面所面臨的威脅以及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確保校園網(wǎng)絡(luò)具有良好的安全性和可靠性。</p><p>　　校園網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的,校園網(wǎng)絡(luò)安全既包括采用相應(yīng)

43、的安全設(shè)備,還包括相應(yīng)的管理手段。網(wǎng)絡(luò)安全隨著環(huán)境、時(shí)間的變化也會(huì)發(fā)生變化。在設(shè)計(jì)校園網(wǎng)絡(luò)時(shí)應(yīng)充分考慮系統(tǒng)安全的整體性和動(dòng)態(tài)性。</p><p>　　校園網(wǎng)絡(luò)為多種不同需求的用戶提供互聯(lián)并提供不同目的的服務(wù),要求不僅能進(jìn)行靈活有效的安全控制,同時(shí)還應(yīng)支持虛擬局域網(wǎng)、虛擬專用網(wǎng),以提供多層次的安全選擇。在設(shè)計(jì)校園網(wǎng)絡(luò)時(shí),既要考慮信息資源的充分共享,更要注意信息的保護(hù)和隔離,針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境、采取不

44、同的措施,包括系統(tǒng)的安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等,保證網(wǎng)絡(luò)可靠性,包括網(wǎng)絡(luò)物理級(jí)的可靠性以及網(wǎng)絡(luò)邏輯的可靠性。</p><p>　　4) 可擴(kuò)展性原則:在設(shè)計(jì)校園網(wǎng)絡(luò)時(shí),要具有可擴(kuò)展性和可升級(jí)性的思想,隨著學(xué)校不斷的擴(kuò)招,業(yè)務(wù)的增長和應(yīng)用水平的提高,網(wǎng)絡(luò)中的數(shù)據(jù)和信息流會(huì)按指數(shù)級(jí)增長,需要網(wǎng)絡(luò)有很好的可擴(kuò)展性,并能隨著技術(shù)的發(fā)展不斷升級(jí),把校園網(wǎng)絡(luò)建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)。設(shè)備應(yīng)選用符合國

45、際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品,保證系統(tǒng)具有較長的生命力和擴(kuò)展力,滿足將來系統(tǒng)升級(jí)的要求。</p><p>　　5) 可維護(hù)性原則:校園網(wǎng)絡(luò)系統(tǒng)規(guī)模寵大,應(yīng)用豐富而復(fù)雜,需要校園網(wǎng)絡(luò)具有良好的可管理性,校園網(wǎng)絡(luò)管理系統(tǒng)具有監(jiān)測(cè)、故障診斷、故障隔熟、過濾設(shè)置等功能,設(shè)計(jì)時(shí),應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品,以便于管理和維護(hù)。</p><p>　　總之,在設(shè)計(jì)校園網(wǎng)絡(luò)時(shí),不僅要保持校園網(wǎng)絡(luò)的先進(jìn)性,

46、而且要保持校網(wǎng)網(wǎng)絡(luò)的實(shí)用性,不僅要考慮學(xué)校的現(xiàn)有需求,也要考慮學(xué)校未來發(fā)展規(guī)劃,不僅要考慮利用先進(jìn)技術(shù),還要考慮學(xué)校的經(jīng)濟(jì)實(shí)力。</p><p>　　3.2 主流組網(wǎng)技術(shù)分析與選擇</p><p>　　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)就是網(wǎng)絡(luò)的形狀，或者是它在物理上的連通性。構(gòu)成網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有很多種，通常包括：星型拓?fù)?、總線拓?fù)洹h(huán)型拓?fù)?、樹型拓?fù)?、混合型拓?fù)?、網(wǎng)型拓?fù)洹?lt;/p><p&

47、gt;　　拓?fù)浣Y(jié)構(gòu)的選擇往往與傳輸媒體的選擇和媒體訪問控制方法的確定緊密相關(guān)。在選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，應(yīng)該考慮的主要因素有下列幾點(diǎn)：</p><p>　　1.可靠性  盡可能提高可靠性，保證所有數(shù)據(jù)流能準(zhǔn)確接收。還要考慮系統(tǒng)的維護(hù)，要使故障檢測(cè)和故障隔離較為方便。</p><p>　　2.費(fèi)用低  它包括建網(wǎng)時(shí)需考慮適合特定應(yīng)用的費(fèi)用和安裝費(fèi)用。<

48、;/p><p>　　3.靈活性  需要考慮系統(tǒng)在今后擴(kuò)展或改動(dòng)時(shí)，能容易地重新配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，能方便地對(duì)原有站點(diǎn)的刪除和新站點(diǎn)的加入。</p><p>　　4.響應(yīng)時(shí)間和吞吐量  要有盡可能短的響應(yīng)時(shí)間和最大的吞吐量。</p><p>　　3.2.1 星型拓?fù)?lt;/p><p>　　星型拓?fù)涫怯芍醒牍?jié)點(diǎn)和通

49、過點(diǎn)到點(diǎn)通信鏈路接到中央節(jié)點(diǎn)的各個(gè)站點(diǎn)組成，如圖4-16所示。中央節(jié)點(diǎn)執(zhí)行集中式通信控制策略，因此中央節(jié)點(diǎn)較復(fù)雜，而各個(gè)站點(diǎn)的通信處理負(fù)擔(dān)都很小。采用星型拓?fù)涞慕粨Q方式有電路交換和報(bào)文交換，尤以電路交換更為普遍?，F(xiàn)在的數(shù)據(jù)處理和聲音通信的信息網(wǎng)大多采用這種拓?fù)浣Y(jié)構(gòu)。目前流行的專用交換機(jī)PBX（Private Branch Exchange）就是星型拓?fù)涞牡湫蛯?shí)例。一旦建立了通道連接，可以無延遲地在連通的兩個(gè)站點(diǎn)之間傳送數(shù)據(jù)。</p

50、><p>　　1.星型結(jié)構(gòu)的優(yōu)點(diǎn)。</p><p>　　(1)控制簡(jiǎn)單  在星型網(wǎng)絡(luò)中，任何一站點(diǎn)和中央節(jié)點(diǎn)相連接，因而媒體訪問控制的方法很簡(jiǎn)單，致使訪問協(xié)議也十分簡(jiǎn)單。</p><p>　　(2)容易做到故障診斷和隔離  在星型網(wǎng)絡(luò)中，中央節(jié)點(diǎn)對(duì)連接線路可以一條一條地隔離開來進(jìn)行故障檢測(cè)和定位。單個(gè)連接點(diǎn)的故障只影響一個(gè)設(shè)備，不

51、會(huì)影響全網(wǎng)。</p><p>　　(3)方便服務(wù)  中央節(jié)點(diǎn)可方便地對(duì)各個(gè)站點(diǎn)提供服務(wù)和網(wǎng)絡(luò)重新配置。</p><p>　　2.星型拓?fù)涞娜秉c(diǎn)。</p><p>　　(1)電纜長度和安裝工作量可觀  因?yàn)槊總€(gè)站點(diǎn)都要和中央節(jié)點(diǎn)直接連接，需要耗費(fèi)大量的電纜。安裝、維護(hù)的工作量也驟增。</p><p>　　

52、(2)中央節(jié)點(diǎn)的負(fù)擔(dān)加重，形成瓶頸，一旦故障，則全網(wǎng)受影響，因面中央節(jié)點(diǎn)的可靠性和冗余度方面的要求很高。</p><p>　　(3)各站點(diǎn)的分布處理能力較少。</p><p>　　3.2.2 總線拓?fù)?lt;/p><p>　　總線拓?fù)浣Y(jié)構(gòu)采用一個(gè)信道作為傳輸媒體，所有站點(diǎn)通過相應(yīng)的硬件接口都直接連到這一公共傳輸媒體上，或稱總線上。任何一個(gè)站發(fā)送的信號(hào)都沿著傳輸媒體傳播而

53、且能被其他站接收。</p><p>　　結(jié) 構(gòu)因?yàn)樗姓军c(diǎn)共享一條公用的傳輸信道，所以一次只能由一個(gè)設(shè)備傳輸信號(hào)。通常采用分布式控制策略來決定下一次哪一個(gè)站可以發(fā)送。發(fā)送時(shí)，發(fā)送站將報(bào)文分 成分組，然后一個(gè)一個(gè)依次發(fā)送這些分組，有時(shí)要與其他站來的分組交替地在媒體上傳輸。當(dāng)分組經(jīng)過各站時(shí)，其中的目的站會(huì)識(shí)別到分組的目的地址，然后拷貝下 這些分組的內(nèi)容。</p><p>　　1.總線拓?fù)涞膬?yōu)點(diǎn)

54、。</p><p>　　(1)總線結(jié)構(gòu)所需要的電纜數(shù)量少。</p><p>　　(2)總線結(jié)構(gòu)簡(jiǎn)單，又是無源工作，有較高可靠性。</p><p>　　(3)易于擴(kuò)充，增加或減少用戶比較方便。</p><p>　　2.總線拓?fù)涞娜秉c(diǎn)。</p><p>　　(1)系統(tǒng)范圍受到限制：同軸電纜的工作長度一般在2km以內(nèi)，在總線

55、的干線基礎(chǔ)上擴(kuò)展長度時(shí)，需使用中繼器擴(kuò)展一個(gè)附加段。</p><p>　　(2)故障診斷和隔離較困難：因?yàn)榭偩€拓?fù)渚W(wǎng)絡(luò)不是集中控制，故障檢測(cè)需在網(wǎng)上各個(gè)節(jié)點(diǎn)進(jìn)行，故障檢設(shè)不容易。如故障發(fā)生在節(jié)點(diǎn)，則只需將節(jié)點(diǎn)從總線上去掉。如傳輸媒體故障，則整個(gè)這段總線要切斷。</p><p>　　3.2.3 環(huán)型拓?fù)?lt;/p><p>　　每個(gè)站點(diǎn)能夠接收從一條鏈路傳來的數(shù)據(jù)，并以同

56、樣的速度串行地把該數(shù)據(jù)傳送到另一端鏈路上。這種鏈路可以是單向的，以可以是雙向的。單向的環(huán)型網(wǎng)絡(luò)，數(shù)據(jù)只能沿一個(gè)方向傳輸，數(shù)據(jù)以分組形式發(fā)送，例如圖中A站希望發(fā)送一個(gè)報(bào)文到C站，那么要把報(bào)文分成若干個(gè)分組，每個(gè)分組包括一段數(shù)據(jù)加上某些控制信息，其中包括C站的地址。A站依次把每個(gè)分組送到環(huán)上，開始沿環(huán)傳輸，C站識(shí)別到帶有它自己地址的分組時(shí)，將它接收下來。由于多個(gè)設(shè)備連接在一個(gè)環(huán)上，因此需要用分布控制形式的功能來進(jìn)行控制，每個(gè)站都有控制發(fā)送和

57、接收的訪問邏輯。</p><p><b>　　1.環(huán)型拓?fù)鋬?yōu)點(diǎn)。</b></p><p>　　(1)電纜長度短：環(huán)型拓?fù)渚W(wǎng)絡(luò)所需的電纜長度和總線拓?fù)渚W(wǎng)絡(luò)相似，但比星型拓?fù)渚W(wǎng)絡(luò)要短得多。</p><p>　　(2)增加或減少工作站時(shí)，僅需簡(jiǎn)單地連接。</p><p>　　(3)可使用光纖：它的傳輸速度很高，十分適用于環(huán)型拓

58、撲的單向傳輸。</p><p>　　2.環(huán)型拓?fù)涞娜秉c(diǎn)。</p><p>　　(1)節(jié)點(diǎn)的故障會(huì)引起全網(wǎng)故障，這是因?yàn)樵诃h(huán)上的數(shù)據(jù)傳輸是通過接在環(huán)上的每一個(gè)節(jié)點(diǎn)，一旦環(huán)中某一節(jié)點(diǎn)發(fā)生故障就會(huì)引起全網(wǎng)的故障。</p><p>　　(2)檢測(cè)故障困難，這與總線拓?fù)湎嗨?，因?yàn)椴皇羌锌刂?，故障檢測(cè)需在網(wǎng)上各個(gè)節(jié)點(diǎn)進(jìn)行，故障的檢測(cè)就不很容易。</p><

59、p>　　(3)環(huán)型拓?fù)浣Y(jié)構(gòu)的媒體訪問控制協(xié)議都采用令牌傳遞的方式，則在負(fù)載很輕時(shí)，其等待時(shí)間相對(duì)來說就比較長。</p><p>　　3.2.4 樹型拓?fù)?lt;/p><p>　　樹型拓?fù)涫菑目偩€拓?fù)溲葑兌鴣?，形狀像一棵倒置的樹，頂端是樹根，樹根以下帶分枝，每個(gè)分枝還可再帶子分枝。</p><p>　　這種拓?fù)涞恼军c(diǎn)發(fā)送時(shí)，根接收該信號(hào)，然后再重新廣播發(fā)送到全網(wǎng)。樹

60、型拓?fù)涞膬?yōu)缺點(diǎn)大多和總線的優(yōu)缺點(diǎn)相同，但也有一些特殊樁點(diǎn)。</p><p><b>　　1.樹型拓?fù)鋬?yōu)點(diǎn)。</b></p><p>　　(1)易于擴(kuò)展：從本質(zhì)上講，這種結(jié)構(gòu)可以延伸出很多分支和子分支，這些新節(jié)點(diǎn)和新分支都較容易地加入網(wǎng)內(nèi)。</p><p>　　(2)故障隔離較容易：如果某一分支的節(jié)點(diǎn)或線路發(fā)生故障，很容易將故障分支和整個(gè)系統(tǒng)隔離

61、開采。</p><p>　　2.樹型拓?fù)涞娜秉c(diǎn)是各個(gè)節(jié)點(diǎn)對(duì)根的依賴性太大，如果根發(fā)生故障，全網(wǎng)則不能正常工作，從這一點(diǎn)來看樹型拓?fù)浣Y(jié)構(gòu)的可靠性與星型拓?fù)浣Y(jié)構(gòu)相似。</p><p>　　3.2.5 混合型拓?fù)?lt;/p><p>　　將以上兩種單一拓?fù)浣Y(jié)構(gòu)類型混合起來，取兩種拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)構(gòu)成一種混合型拓?fù)浣Y(jié)構(gòu)。如圖4-20所示是星型拓?fù)浜铜h(huán)型拓?fù)浠旌铣傻男切铜h(huán)狀拓?fù)洹?

62、lt;/p><p>　　這種拓?fù)涞呐渲檬怯梢慌尤氕h(huán)中的集中器組成，由集中器再按星型結(jié)構(gòu)連至每個(gè)用戶站。</p><p>　　1.混合型拓?fù)涞膬?yōu)點(diǎn)。</p><p>　　(1)故障診斷和隔離較為方便：一旦網(wǎng)絡(luò)發(fā)生故障，首先診斷哪一個(gè)集中器有故障，然后，將該集中器和全網(wǎng)隔離。</p><p>　　(2)易于擴(kuò)展：如果要擴(kuò)展用戶時(shí)，可以加入新的集中器

63、，以后在設(shè)計(jì)時(shí)，在每個(gè)集中器留出一些備用的可插入新的的站點(diǎn)的連接口。</p><p>　　(3)安裝方便；網(wǎng)絡(luò)的主電纜只要連通這些集中器，安裝時(shí)就不含有電纜管道擁擠的問題。這種安裝和傳統(tǒng)的電話系統(tǒng)電纜安裝很相似。</p><p>　　2.混合型拓?fù)涞娜秉c(diǎn)。</p><p>　　(1)需要選用帶智能的集中器：這是為了實(shí)現(xiàn)網(wǎng)絡(luò)故障自動(dòng)診斷和故障節(jié)點(diǎn)的隔離所必需的。<

64、;/p><p>　　(2)集中器到各個(gè)站點(diǎn)的電纜安裝會(huì)像星型拓?fù)浣Y(jié)構(gòu)一樣，有時(shí)會(huì)使電纜安裝長度增加。</p><p>　　3.2.6 網(wǎng)型拓?fù)?lt;/p><p>　　它的優(yōu)點(diǎn)是不受瓶頸問題和失效問題的影響。由于節(jié)點(diǎn)之間有許多條路徑相連，可以為數(shù)據(jù)流的傳輸選擇適當(dāng)?shù)穆酚桑@過失效的部件或過忙的節(jié)點(diǎn)。這種結(jié)構(gòu)雖然比較復(fù)雜，成本比較高，為提供上述功能，網(wǎng)形拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)協(xié)議也較

65、復(fù)雜，但由于它的可靠性高，受到用戶的歡迎。</p><p>　　上面分析了幾種常用拓?fù)浜退鼈兊膬?yōu)缺點(diǎn)，由此可見，不管是局域網(wǎng)或廣域網(wǎng)，其拓?fù)涞倪x擇，需要考慮很多因素。網(wǎng)絡(luò)要易于安裝，一旦安裝好了，還要滿足易于擴(kuò)展的要求，既要方便擴(kuò)展，又要保護(hù)現(xiàn)有的系統(tǒng)。</p><p>　　網(wǎng)絡(luò)的可靠性也是考慮的重要因素，要易于故障診斷，易于隔離故障，以使網(wǎng)絡(luò)的主要部分仍能正常運(yùn)行。</p>

66、<p>　　網(wǎng)絡(luò)拓?fù)涞倪x擇還會(huì)影響傳輸媒體的選擇和媒體訪問控制方法的確定，這些因素又會(huì)影響各個(gè)站點(diǎn)在網(wǎng)上的運(yùn)行速度和網(wǎng)絡(luò)軟硬件接口的復(fù)雜性。</p><p>　　要建設(shè)一個(gè)功能完善的計(jì)算機(jī)實(shí)驗(yàn)室局域網(wǎng)絡(luò)，從性能、安全、穩(wěn)定等方面來考慮，樹型的網(wǎng)絡(luò)結(jié)構(gòu)是我們的首選，其易于故障的診斷，以及網(wǎng)絡(luò)的升級(jí)。</p><p>　　目前常用的主干網(wǎng)組網(wǎng)技術(shù)有100Mbps的快速以太網(wǎng)，100

67、Mbps的FDDI， ATM網(wǎng)絡(luò)和千兆以太網(wǎng)。本網(wǎng)主要采用快速以太交換網(wǎng)作為主干網(wǎng)的組網(wǎng)技術(shù)，快速以太交換網(wǎng)是性能較高的組網(wǎng)方式。它具有以下優(yōu)點(diǎn)：技術(shù)成熟穩(wěn)定；對(duì)傳統(tǒng)的局域網(wǎng)及其應(yīng)用有很好的支持；有效保護(hù)用戶投資。</p><p>　　3.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)</p><p>　　校園網(wǎng)絡(luò)的設(shè)計(jì)都是基于一個(gè)模塊化，層次化的設(shè)計(jì)思想。這也是對(duì)大型網(wǎng)絡(luò)進(jìn)行高效管理的首選方法</p>

68、<p>　　3.3.1模塊化設(shè)計(jì)</p><p>　　模塊化就是將把整個(gè)網(wǎng)絡(luò)按功能和安全需求分為若干個(gè)組件，這些組件之間有一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡(luò)設(shè)計(jì)。模塊化設(shè)計(jì)的好處在于： </p><p>　　1. 解決各網(wǎng)絡(luò)之間的沖突問題； </p><p>　　2. 簡(jiǎn)化安裝和后臺(tái)設(shè)備管理； </p><p>　　3.

69、 易于故障檢測(cè)和分離問題； </p><p>　　4. 易于執(zhí)行不同類型的服務(wù)和安全方針； </p><p>　　5. 易于擴(kuò)展和/或代替原來的技術(shù)。</p><p>　　實(shí)驗(yàn)室局域網(wǎng)的設(shè)計(jì)可以借鑒這種思想，對(duì)各種不同種類，不同安全等級(jí)的業(yè)務(wù)進(jìn)行模塊劃分，相互之間的訪問將受到控制。</p><p>　　3.3.2層次化設(shè)計(jì)</p&g

70、t;<p>　　對(duì)于實(shí)驗(yàn)室局域網(wǎng)絡(luò)，我們采用業(yè)界通用“核心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型。</p><p><b>　　核心層：</b></p><p>　　核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個(gè)網(wǎng)絡(luò)傳到另一個(gè)網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。匯聚層到核心層要具備冗余傳輸鏈路，任何單條鏈路斷連不

71、影響網(wǎng)絡(luò)的可用性。作為所有網(wǎng)絡(luò)流量的傳輸中樞，核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負(fù)載均衡或負(fù)載分擔(dān)特性的設(shè)備實(shí)現(xiàn)負(fù)荷均衡。此外，為了避免網(wǎng)元故障對(duì)網(wǎng)絡(luò)造成沖擊，需要網(wǎng)絡(luò)采用支持快速聚合的特性，一旦主用通路斷開，可以很快的切換到備用通路。</p><p><b>　　匯聚層</b></p><p>　　匯聚層顧名思義就是作為訪問層到骨干層的

72、匯聚，通常為訪問層與骨干層實(shí)現(xiàn)基于策略的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機(jī)組成，提供對(duì)網(wǎng)絡(luò)流量模式控制、服務(wù)訪問控制、QoS、定義路由路徑度量和路由協(xié)議網(wǎng)絡(luò)通告控制。</p><p><b>　　接入層</b></p><p>　　接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過 VLAN技術(shù)實(shí)現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播

73、流量，避免不同模塊之間相互影響。訪問層主要通過二層交換機(jī)組成。</p><p>　　“核心層-匯聚層-訪問層”網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)： </p><p>　　高可擴(kuò)展性 － 遵循層次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有伸縮性和可管理性，因?yàn)楦鞴δ芫W(wǎng)絡(luò)通過模塊化實(shí)現(xiàn)，潛在問題更易于識(shí)別。 </p><p>　　易于實(shí)施 － 每一層的功能性清晰劃分，簡(jiǎn)化每一層的實(shí)現(xiàn)。

74、</p><p>　　易于故障排除 － 每一層的功能經(jīng)過良好定義，網(wǎng)絡(luò)更為簡(jiǎn)單，有助于故障的隔離。模塊化設(shè)計(jì)也有效限制故障影響范圍。 </p><p>　　易于規(guī)劃和管理 － 層次化的功能劃分，整個(gè)網(wǎng)絡(luò)規(guī)劃和管理更為簡(jiǎn)單。 </p><p>　　3.3.3 網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　3.3.4 方案的說明</p>

75、<p>　　實(shí)驗(yàn)室局域網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。因存在大量的語音和視頻傳輸。據(jù)此，考慮匯聚層對(duì) QoS 有良好的支持并且能提供大的帶寬。接入層設(shè)備是最終用戶的最直接上聯(lián)的設(shè)備，它應(yīng)該具備即插即用特性以及易于維護(hù)的特點(diǎn)。根據(jù)學(xué)校建設(shè)要求與總體目標(biāo)，骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)成。在接入層面，通

76、過定義相應(yīng)的訪問策略，實(shí)現(xiàn)訪問控制，內(nèi)外隔離和抭 IP 地址。在網(wǎng)絡(luò)結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù)(第三層交換)作為核心層，呈網(wǎng)狀拓?fù)浣Y(jié)構(gòu)。以 TCP/IP 協(xié)議為主，并輔以 IP/SPX. NETTEUI 等其他流行通信協(xié)議堅(jiān)持開放性和標(biāo)準(zhǔn)化，采用標(biāo)準(zhǔn)的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系統(tǒng)間易于集成，兼顧其他標(biāo)準(zhǔn)的網(wǎng)絡(luò)體系結(jié)構(gòu)，網(wǎng)絡(luò)能實(shí)現(xiàn)協(xié)議之間無縫連接。而公用服務(wù)器與每一臺(tái)核心層交換機(jī)都應(yīng)該具備連接。在網(wǎng)絡(luò)硬件上采用高

77、性能、高可靠的設(shè)備，此產(chǎn)品是具有運(yùn)營商級(jí)容錯(cuò)能力的高性能大型網(wǎng)絡(luò)核心交換機(jī)，可實(shí)現(xiàn)冗余備份，從而提高核心層的可靠性。 整個(gè)網(wǎng)絡(luò)通過匯聚層交換機(jī)</p><p><b>　　拓?fù)鋱D</b></p><p><b>　　拓?fù)鋱D</b></p><p>　　3.4 IP地址劃分</p><p>　　3.4

78、.1 IP地址及VLAN劃分原則</p><p>　　簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式； </p><p>　　連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)CIDR(Classless Inter-Domain Routing)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率； </p><p>　　

79、可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性； </p><p>　　靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化； </p><p>　　可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。 </p><p>　　安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容

80、劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。</p><p>　　3.4.2 IP地址及VLAN劃分</p><p>　　VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) VLAN 組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加

81、入到一個(gè)邏輯子網(wǎng)中。組建 VLAN 的條件 VLAN 是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立 VLAN 需要相應(yīng)的支持 VLAN 技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同 VLAN 間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來完成。</p><p>　　根據(jù)我校計(jì)算機(jī)實(shí)驗(yàn)室的實(shí)際情況，我們對(duì)各個(gè)機(jī)房的IP地址劃分及VLAN劃分如下：</p&g

82、t;<p>　　1-4機(jī)房： 255.0.0.1/24， vlan1</p><p>　　5-8機(jī)房： 255.0.1.1/24， vlan2</p><p>　　9-10機(jī)房： 255.0.2.1/24， vlan3</p><p>　　11-12機(jī)房：255.0.3.1/24， vlan4</p><p>　　13-14

83、機(jī)房：255.0.4.1/24， vlan5</p><p>　　15-16機(jī)房：255.0.5.1/24， vlan6</p><p>　　17-18機(jī)房：255.0.6.1/24， vlan7</p><p>　　19-20機(jī)房：255.0.7.1/24， vlan8</p><p>　　21-22機(jī)房：255.0.8.1/24， vla

84、n9</p><p>　　23-24機(jī)房：255.0.9.1/24， vlan10</p><p>　　25-26機(jī)房：255.0.10.1/24， vlan11</p><p>　　27-28機(jī)房：255.0.11.1/24， vlan12</p><p>　　29-30機(jī)房：255.0.12.1/24， vlan13</p>

85、<p>　　31-32機(jī)房：255.0.13.1/24， vlan14</p><p>　　33-34機(jī)房：255.0.14.1/24 , vlan15</p><p>　　35-36機(jī)房：255.0.15.1/24, vlan16</p><p>　　3.4.3 NAT的實(shí)現(xiàn)</p><p>　　NAT，網(wǎng)絡(luò)地址轉(zhuǎn)換，是通過

86、將專用網(wǎng)絡(luò)地址轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng)Internet），從而對(duì)外隱藏了內(nèi)部管理的 IP 地址。這樣，通過在內(nèi)部使用非注冊(cè)的 IP 地址，并將它們轉(zhuǎn)換為一小部分外部注冊(cè)的 IP 地址，從而減少了IP 地址注冊(cè)的費(fèi)用以及節(jié)省了目前越來越缺乏的地址空間（即IPV4）。同時(shí)，這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)。</p><p>　　NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的3種實(shí)現(xiàn)方式：</p><

87、p>　　1、靜態(tài)NAT（一對(duì)一）</p><p>　　2、動(dòng)態(tài)NAT（多對(duì)多）</p><p>　　3、端口多路復(fù)用PAT（多對(duì)一）</p><p>　　本網(wǎng)絡(luò)沒有考慮NAT的具體實(shí)現(xiàn)。</p><p>　　3.4.3、訪問列表的實(shí)現(xiàn)</p><p>　　路由器和交換機(jī)所保持的列表用來針對(duì)一些進(jìn)出路由器或交換機(jī)的

88、服務(wù)（如組織某個(gè)IP地址的分組從路由器或交換機(jī)的特定端口出發(fā)）做訪問控制。</p><p>　　在本網(wǎng)絡(luò)拓?fù)渲?，使用訪問列表用來實(shí)現(xiàn)網(wǎng)絡(luò)的安全。用來實(shí)現(xiàn)相當(dāng)于防火墻的功能。允許內(nèi)網(wǎng)的用戶去訪問外網(wǎng)，而外網(wǎng)的用戶則是除了能訪問服務(wù)器或是通過VPN連接進(jìn)來外，其他的訪問都是被阻止的。</p><p>　　3.5設(shè)備選型與配置 </p><p>　　我們選取其中一個(gè)機(jī)房作

89、為示例，下圖為實(shí)驗(yàn)室的三層網(wǎng)絡(luò)結(jié)構(gòu)模型：</p><p>　　匯聚層交換機(jī)的選擇： RG－S6806E </p><p>　　要求匯聚層交換機(jī)支持廣播、組播功能。信號(hào)從核心交換機(jī)出來，在匯聚層就進(jìn)行組播，</p><p>　　可以減輕網(wǎng)絡(luò)的負(fù)擔(dān)。</p><p>　　接入層交換機(jī)的選擇：STAR-S2126G/STAR-S2150G 交換機(jī)

90、</p><p>　　RG-S6800E 系列多業(yè)務(wù)萬兆核心路由交換機(jī)提供 1.6T/0.8T 背板帶寬，并支持將來擴(kuò)展到 3.2T/1.6T 的能力，高達(dá) 572Mpps/286Mpps 的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇。 RG-S6800E 交換機(jī)通過

91、 擴(kuò)展高性能的 多業(yè)務(wù)卡支 持策略路由、 IPV6、 MPLS 、load balancing、NAT、VPN、Firewall、web cache redirect 等業(yè)務(wù)功能，滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。 豐富的應(yīng)用支持技術(shù)（QOS、組播） RG-S6800E 提供多種流分類技術(shù)和多種 QOS 技術(shù)，包括 SP、WRR、WFQ、WRED、CAR、HOL 等，為各種應(yīng)用的帶寬保障提供需要的支持技術(shù)。 流分類：可以依據(jù)數(shù)據(jù)流的

92、源/目的 MAC 地址、源/目的三層 IP 地址、三層協(xié)議（IP/IPX）、四層協(xié)議（UDP/TCP）、源/目的四層協(xié)議端口號(hào)、COS、TOS 對(duì)數(shù)據(jù)流進(jìn)行區(qū)分，實(shí)現(xiàn)</p><p>　　數(shù)據(jù)標(biāo)記：802.1p 是二層協(xié)議，可以為數(shù)據(jù)提供 8 個(gè)級(jí)別的優(yōu)先級(jí)標(biāo)記；DSCP 在三層的 IP 協(xié)議報(bào)文里進(jìn)行優(yōu)先級(jí)標(biāo)記，可以提供 64 個(gè)級(jí)別的優(yōu)先標(biāo)記。 </p><p>　　隊(duì)列調(diào)度：嚴(yán)格優(yōu)先

93、級(jí)隊(duì)列 SP 保證高優(yōu)先級(jí)業(yè)務(wù)總是在低優(yōu)先級(jí)業(yè)務(wù)之前處理；WRR是一種加權(quán)循環(huán)隊(duì)列調(diào)度機(jī)制，首先處理高優(yōu)先級(jí)，但在處理高優(yōu)先級(jí)業(yè)務(wù)時(shí)，較低優(yōu)先級(jí)的業(yè)務(wù)并沒有被完全阻塞，而是按一定的比例同時(shí)進(jìn)行。WFQ 是加權(quán)公平隊(duì)列，對(duì)所有的數(shù)據(jù)流進(jìn)行排隊(duì)，監(jiān)控吞吐率，并根據(jù)發(fā)送的信息量分配權(quán)值。WFQ 試圖公平地為每個(gè)對(duì)話分配帶寬，保證低帶寬應(yīng)用可以獲得對(duì)接口的訪問權(quán)，而不會(huì)被高帶寬應(yīng)用全部占用。 </p><p>　　擁塞控

94、制：WRED 加權(quán)隨機(jī)早期檢測(cè)協(xié)議，可以設(shè)置各個(gè)數(shù)據(jù)流在擁塞發(fā)生之前自動(dòng)丟失數(shù)據(jù)的閥值，避免較高優(yōu)先級(jí)應(yīng)用的擁塞丟失。HOL 通過消除 HOL 阻塞確保最高可能的吞吐量；最大限度地減少包丟失，減少多路傳輸和廣播流量擁塞。 </p><p>　　承諾信息速率：CAR 可以為重要的數(shù)據(jù)流設(shè)定固定的帶寬，如果設(shè)定的帶寬合理，滿足該數(shù)據(jù)流的需求，就可以保證重要數(shù)據(jù)流的正常轉(zhuǎn)發(fā)。 提供多種組播支持技術(shù)，包括 IGMP sn

95、ooping、IGMP、PIM（SSM、SM、DM），DVMRP，保證了網(wǎng)絡(luò)中提供組播服務(wù)時(shí)的帶寬合理占用。 </p><p>　　STAR-S2126G/STAR-S2150G 是一款全線速可堆疊千兆智能交換機(jī)，提供智能的流分類和完善的服務(wù)質(zhì)量（QoS）以及組播管理特性，并可以實(shí)施靈活多樣的 ACL 訪問控制?？赏ㄟ^ SNMP、Telnet、Web 和 Console 口等多種方式提供豐富的管理。</p&

96、gt;<p>　　3.6 路由選擇與配置</p><p>　　RG-S6800E新一代多業(yè)務(wù)萬兆核心路由交換機(jī)系。</p><p>　　3.7 網(wǎng)絡(luò)安全設(shè)計(jì)與管理</p><p>　　3.7.1安全需求分析</p><p>　　１．網(wǎng)絡(luò)的基本安全需求　　滿足基本的安全要求，是該網(wǎng)絡(luò)成功運(yùn)行的必要條件，在此基礎(chǔ)上提供強(qiáng)有力的安全

97、保障，是網(wǎng)絡(luò)系統(tǒng)安全的重要原則。網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是網(wǎng)絡(luò)的基本安全需求。對(duì)于各種各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時(shí)，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段。網(wǎng)絡(luò)基本安全要求主要表現(xiàn)為：　　★ 網(wǎng)絡(luò)正常運(yùn)行。在受到攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運(yùn)行?！　　?網(wǎng)絡(luò)管理/網(wǎng)絡(luò)部署的資料不被竊取?！　　?具備先進(jìn)的入侵檢測(cè)及跟蹤體系。

98、　　★ 提供靈活而高效的內(nèi)外通訊服務(wù)。 ２．應(yīng)用系統(tǒng)的安全需求　　與普通網(wǎng)絡(luò)應(yīng)用不同的是，應(yīng)用系統(tǒng)是網(wǎng)絡(luò)功能的核心。對(duì)于應(yīng)用系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。應(yīng)用系統(tǒng)的安全體系應(yīng)包含：　　★ 訪問控制，通過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前；　　★ 檢查安全漏洞，通過對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效；　　★ 攻擊監(jiān)控，通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊

99、監(jiān)控體系，可實(shí)時(shí)檢</p><p>　　3.7.2網(wǎng)絡(luò)安全控制</p><p>　　(1)對(duì)端口 ARP 檢查防止 ARP 攻擊；</p><p>　　(2)對(duì)端口安全：MAC 動(dòng)態(tài)地址鎖，MAC 地址靜態(tài)綁定； </p><p>　　(3)交換設(shè)備 BPDU Guard 功能，過濾非法 BPDU 報(bào)文，防止 STP 攻擊交換機(jī)； <

100、/p><p>　　(4)端口安全：端口靜態(tài)綁定，自動(dòng)綁定 IP 和 MAC 地址防止 DOS 攻擊； </p><p>　　(5)智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡(luò)應(yīng)用，過濾病毒 </p><p>　　(6) SSH 密文傳輸，限制管理 IP 等措施保證設(shè)備管理可靠； </p><p>　　(7)對(duì)網(wǎng)絡(luò)病毒的防范：采用設(shè)置 ACL，對(duì)

101、病毒進(jìn)行過濾； 我們使用的匯聚、核心交換機(jī)都支持 SPOH，通過端口獨(dú)立的 FFP 進(jìn)行 ACL 處理，網(wǎng)絡(luò)設(shè)備性能不受設(shè)置 ACL 數(shù)目影響； </p><p><b>　　具體措施如下：</b></p><p>　　(1)事前的身份認(rèn)證</p><p>　　對(duì)于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的

102、用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時(shí)間，通過以上信息的綁定，可以達(dá)到如下的效果：</p><p>　　每一個(gè)用戶的身份在整個(gè)實(shí)驗(yàn)室局域網(wǎng)中是唯一，避免了個(gè)人信息被盜用.</p><p>　　當(dāng)安全事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址，就可以準(zhǔn)確定位到該用戶，便于

103、事情的處理。</p><p>　　只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問實(shí)驗(yàn)室局域網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。</p><p>　　(2)網(wǎng)絡(luò)攻擊的防范</p><p>　　1、常見網(wǎng)絡(luò)病毒的防范</p><p>　　對(duì)于常見的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過部

104、署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。</p><p>　　2、未知網(wǎng)絡(luò)病毒的防范</p><p>　　對(duì)于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠

105、可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。</p><p>　　3、防止IP地址盜用和ARP攻擊</p><p>　　通過對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的I

106、P（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。</p><p>　　4、防止假冒IP、MAC發(fā)起的MAC Flood\SYN Flood攻擊</p><p>　　通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡(jiǎn)單的一個(gè)命令就可以實(shí)現(xiàn)）。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。</p>&

107、lt;p>　　5、非法組播源的屏蔽</p><p>　　銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支

108、持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時(shí)可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢(shì)，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。</p><p>　　6、對(duì)DOS攻擊，掃描攻擊的屏蔽</p><

109、p>　　通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。</p><p>　　(3)事后的完整審計(jì)</p><p>　　當(dāng)用戶訪問完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶名，使用那個(gè)IP地址，MAC地址是多少，通過那一臺(tái)交換機(jī)的哪一個(gè)端口，什么時(shí)候開始訪問網(wǎng)絡(luò)，什么時(shí)候結(jié)束，

110、產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢?cè)撊罩荆瑏砦ㄒ坏拇_定該用戶的身份，便于了事情的處理。</p><p>　　3.7.3網(wǎng)絡(luò)管理設(shè)計(jì)</p><p>　　在實(shí)際網(wǎng)絡(luò)管理過程中，網(wǎng)絡(luò)管理應(yīng)具有的功能非常廣泛，包括了很多方面。在()SI網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中定義了網(wǎng)絡(luò)管理的5大功能：配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理，這5大功能是網(wǎng)絡(luò)管理最基本的功能。事實(shí)上，網(wǎng)絡(luò)管理還應(yīng)該包括

111、其他一些功能，比如網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)操作人員的管理等。不過除了基本的網(wǎng)絡(luò)管理5。大功能，其他的網(wǎng)絡(luò)管理功能實(shí)現(xiàn)都與具體的網(wǎng)絡(luò)實(shí)際條件有關(guān)，因此我們只需要關(guān)注OSI網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中的5大功能，其中：</p><p>　　(1)配置管理：自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，構(gòu)造和維護(hù)網(wǎng)絡(luò)系統(tǒng)的配置。監(jiān)測(cè)網(wǎng)絡(luò)被管對(duì)象的狀態(tài)，完成網(wǎng)絡(luò)關(guān)鍵設(shè)備配置的語法檢查，配置自動(dòng)生成和自動(dòng)配置備份系統(tǒng)，對(duì)于配置的一致性進(jìn)行嚴(yán)格的檢驗(yàn)。</p>

112、<p>　　(2)故障管理；過濾、歸并網(wǎng)絡(luò)事件，有效地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障，給出排錯(cuò)建議與排錯(cuò)工具，形成整套的故障發(fā)現(xiàn)、告警與處理機(jī)制。</p><p>　　(3)性能管理：采集、分析網(wǎng)絡(luò)對(duì)象的性能數(shù)據(jù)，監(jiān)測(cè)網(wǎng)絡(luò)對(duì)象的性能，對(duì)網(wǎng)絡(luò)線路質(zhì)量進(jìn)行分析。同時(shí)，統(tǒng)計(jì)網(wǎng)絡(luò)運(yùn)行狀態(tài)信息，對(duì)網(wǎng)絡(luò)的使用發(fā)展作出評(píng)測(cè)、估計(jì)，為網(wǎng)絡(luò)進(jìn)一步規(guī)劃與調(diào)整提供依據(jù)。</p><p>　　(4)安全管理：結(jié)