計算機網(wǎng)絡(luò)與安全實踐課程設(shè)計--校區(qū)校園網(wǎng)建設(shè)方案

1、<p>　　計算機網(wǎng)絡(luò)與安全實踐課程設(shè)計報告</p><p>　　xx南湖校區(qū)校園網(wǎng)建設(shè)方案</p><p>　　專　　業(yè): 計算機科學與技術(shù) 班 級: 計11-1班 </p><p>　　xx計算機科學與技術(shù)學院</p><p>　　2014 年 4 月 </p><p><b>　　

2、目 錄</b></p><p><b>　　1.引言：4</b></p><p>　　1.1 目前現(xiàn)狀4</p><p>　　1.2 需求分析4</p><p>　　2.網(wǎng)絡(luò)設(shè)計的目標與要求：6</p><p>　　2.1礦大南湖網(wǎng)絡(luò)的設(shè)計目標6</p>

3、<p>　　2.2礦大南湖網(wǎng)絡(luò)的建設(shè)要求7</p><p>　　3.方案設(shè)計與實現(xiàn)8</p><p>　　3.1網(wǎng)絡(luò)設(shè)計原則8</p><p>　　3.2 主流組網(wǎng)技術(shù)分析與選擇9</p><p>　　3.3 網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計12</p><p>　　3.3.1模塊化設(shè)計12</p>

4、<p>　　3.3.2層次化設(shè)計12</p><p>　　3.3.3 網(wǎng)絡(luò)拓撲圖15</p><p>　　3.3.4 方案的說明16</p><p>　　3.4 IP地址劃分16</p><p>　　3.4.1 IP地址及VLAN劃分原則16</p><p>　　3.4.2 IP地址及VLAN劃分

5、16</p><p>　　3.4.3 NAT的實現(xiàn)17</p><p>　　3.5設(shè)備選型與配置18</p><p>　　3.6 路由選擇與配置19</p><p>　　3.7 網(wǎng)絡(luò)安全設(shè)計與管理19</p><p>　　3.7.1安全需求分析19</p><p>　　3.7.2網(wǎng)絡(luò)

6、安全控制20</p><p>　　3.7.3網(wǎng)絡(luò)管理設(shè)計22</p><p>　　3.8 未來升級與擴展22</p><p>　　4.網(wǎng)絡(luò)施工與結(jié)構(gòu)化布線24</p><p>　　4.1網(wǎng)絡(luò)布局的原則24</p><p>　　4.2網(wǎng)絡(luò)布局的具體實施要求24</p><p>　　4.

7、3布線系統(tǒng)的規(guī)劃與設(shè)計25</p><p>　　4.4網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計25</p><p><b>　　5.總結(jié)28</b></p><p><b>　　6.參考文獻29</b></p><p>　　附件一：各種網(wǎng)絡(luò)設(shè)備配置清單30</p><p>　　附件二：

8、主要網(wǎng)絡(luò)設(shè)備具體配置文件清單32</p><p><b>　　1.引言</b></p><p><b>　　1.1 目前現(xiàn)狀</b></p><p>　　隨著互聯(lián)網(wǎng)技術(shù)的廣泛普及和應用，從而帶來了網(wǎng)絡(luò)技術(shù)人才需求量的不斷增加，網(wǎng)絡(luò)技術(shù)教育和人才培養(yǎng)成為高等院校一項重要的戰(zhàn)略任務。建設(shè)一流的礦業(yè)大學南湖是產(chǎn)學研相結(jié)合的一種

9、重要形式，在學科建設(shè)中發(fā)揮著不可替代的作用，實驗室局域網(wǎng)的優(yōu)劣對實驗室功能的發(fā)揮起著決定性的作用，對學生的上機效果有著直接的影響。</p><p>　　建設(shè)優(yōu)質(zhì)的實驗室局域網(wǎng)有利于學術(shù)研究，有利于網(wǎng)絡(luò)教學，有利于培養(yǎng)學生實踐動手能力，有利于學生就業(yè)，有利于提升學校的品牌的一件大好事。所以建設(shè)實驗室局域網(wǎng)是必須的。</p><p><b>　　1.2 需求分析 </b>

10、</p><p>　　礦業(yè)大學南湖局域網(wǎng)的建設(shè)，最終是通過學校網(wǎng)絡(luò)中心將網(wǎng)絡(luò)接入到礦業(yè)大學南湖的每個機房，使師生員工可以在機房進行各種活動，有助于提高師生的生活質(zhì)量，對計算機技術(shù)的教學提供了極大的幫助。因此，建設(shè)礦業(yè)大學南湖局域網(wǎng)是學校發(fā)展的不可或缺的基礎(chǔ)硬件設(shè)施。</p><p>　　礦業(yè)大學南湖擁有一個完整的以太網(wǎng)布局，通過路由器與學校網(wǎng)絡(luò)中心光纖連接， 由兩層交換機將各個機房的信息點

11、連通。礦業(yè)大學南湖位于計算機學院樓四樓，每個實驗室是一間長方形教室，每個實驗室大約有60臺計算機。根據(jù)我校學生多、機位少的實際情況，制定如下網(wǎng)絡(luò)需求：</p><p>　　C類局域網(wǎng)，獨立網(wǎng)段，自主分配IP地址；</p><p>　　每臺計算機通過URL自由訪問Internet網(wǎng)絡(luò)資源；</p><p>　　支持筆記本移動上網(wǎng)；</p><p&g

12、t;　　高速、穩(wěn)定、安全、可靠；</p><p>　　布局規(guī)范、合理，易于維護；</p><p>　　節(jié)約空間，減少噪音污染；</p><p><b>　　成本最優(yōu)化原則</b></p><p>　　建設(shè)的局域網(wǎng)要努力克服一些通病，如：設(shè)備種類繁多、機位擁擠不堪、網(wǎng)線密集凌亂、維護困難重重、空氣流通不暢、往來人員頻繁而中

13、空的防靜電地板將每個人腳下的聲音傳播到整個機房，混合上交換機噪音，產(chǎn)生噪音污染。</p><p>　　此外，在建設(shè)實驗室局域網(wǎng)過程中還要考慮以下因素：</p><p>　　（1）主干層網(wǎng)落承載能力要求</p><p>　　主干層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，負責整個網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換。網(wǎng)絡(luò)的功能控制最好盡量少在骨干層上實施，主干層設(shè)計任務的重點是冗余能力、

14、可靠性和高速的傳輸。核心層一直被認為是流量的最終承受者和匯聚者，所以要求主干層交換機擁有較高的可靠性和性能。</p><p>　?。?）匯聚層接點接入要求</p><p>　　匯聚層主要負責連接接入層接點和核心層中心，匯聚分散的接入點，擴大核心層設(shè)備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸。匯聚交換及還負責本區(qū)域內(nèi)的數(shù)據(jù)交換，匯聚交換機一般與主干層交換機同類型，仍需

15、要較高的性能和比較豐富的功能，但吞吐量較低。</p><p>　　(3) 可靠性和自愈能力要求</p><p>　　網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運行。</p><p><b>　　(4) 安全性要求</b

16、></p><p>　　制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性。可以通過各業(yè)務子網(wǎng)隔離，全網(wǎng)統(tǒng)一規(guī)劃IP地址，根據(jù)不同的業(yè)務劃分不同的子網(wǎng)（subnet），相同物理LAN通過VLAN的方式隔離，不同子網(wǎng)間的互通性由路由策略決定。</p><p><b>　　(5) 性價比要求</b></p><p>　　建設(shè)網(wǎng)絡(luò)時選用的設(shè)備要

17、具有較高的性價比，用最小的成本建設(shè)最優(yōu)質(zhì)的網(wǎng)絡(luò)。</p><p>　　2.網(wǎng)絡(luò)設(shè)計的目標與要求</p><p>　　2.1礦業(yè)大學南湖的設(shè)計目標</p><p>　　第一、網(wǎng)絡(luò)實驗室的設(shè)計方案和實驗內(nèi)容必須滿足教學和培訓需求</p><p>　　為了讓培養(yǎng)的人才能較好地適應社會對網(wǎng)絡(luò)專業(yè)人才的需求，中職院校所建設(shè)的實驗室必須能夠開設(shè)以下三方面

18、的實驗：網(wǎng)絡(luò)組網(wǎng)方面的實驗，網(wǎng)絡(luò)管理方面的實驗，網(wǎng)絡(luò)工程（綜合布線）方面的實驗，并且在設(shè)備的采用上還應充分考慮到多種技術(shù)的融合、多個平臺的操作、多廠家設(shè)備的互連?？梢蕴峁┓抡娴木W(wǎng)絡(luò)設(shè)備配置環(huán)境，了解更多的系統(tǒng)，掌握更多設(shè)備的使用。</p><p>　　第二、將網(wǎng)絡(luò)實驗室建成有特色的培訓、實習基地</p><p>　　為了使資源得到最大程度的利用，教師在課余時間可利用網(wǎng)絡(luò)實驗室進行實驗，提高

19、自身的業(yè)務水平。網(wǎng)絡(luò)實驗室還要給相關(guān)專業(yè)的學生提供實際動手能力的環(huán)境，也有必要充分發(fā)揮實訓中心設(shè)備的作用，為本校、兄弟學校以及社會上有志于網(wǎng)絡(luò)技術(shù)學習的各類人員提供一個學習培訓的場所。通過這種特色的教學、豐富的有針對性實驗內(nèi)容、實現(xiàn)培養(yǎng)人才和獲得創(chuàng)收的目標，將網(wǎng)絡(luò)實驗室建成一個有特色的培訓基地。</p><p>　　第三、培養(yǎng)不同類型的網(wǎng)絡(luò)人才</p><p>　　計算機網(wǎng)絡(luò)實驗室開設(shè)的實

20、驗內(nèi)容必須充分考慮到學生的專業(yè)以及今后的發(fā)展方向，如網(wǎng)絡(luò)管理人員、網(wǎng)絡(luò)技術(shù)支持人員、網(wǎng)絡(luò)工程人員。網(wǎng)絡(luò)管理人員的發(fā)展方向是國內(nèi)的所有企事業(yè)單位、學校等各行各業(yè)的網(wǎng)絡(luò)中心管理人員，那么通過計算機網(wǎng)絡(luò)實驗室的實驗課程應讓學生具備一定的網(wǎng)管基礎(chǔ)，達到中級專職網(wǎng)管人員的水平；網(wǎng)絡(luò)技術(shù)支持人員的發(fā)展方向是對當代主流的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)軟件有很強的調(diào)試配置能力，實驗室的實驗內(nèi)容也涵蓋了主流交換機、路由器和防火墻的綜合配置調(diào)試以及對故障的準確定位和排除，

21、那么通過實驗課程應讓學生完全能夠成為優(yōu)秀的網(wǎng)絡(luò)技術(shù)支持人員；而網(wǎng)絡(luò)工程人員的發(fā)展方向是熟悉各類網(wǎng)絡(luò)應用的拓樸結(jié)構(gòu)與布線系統(tǒng)的組件，了解國外、國內(nèi)綜合布線標準化組織及規(guī)范，能進行各種線纜及接插件的安裝與使用、光纖頭的制作，能夠按需求設(shè)計最經(jīng)濟、最有效、最實用的網(wǎng)絡(luò)布線系統(tǒng)。</p><p>　　2.2礦業(yè)大學南湖網(wǎng)絡(luò)的建設(shè)要求</p><p><b>　　第一、經(jīng)濟而實用</

22、b></p><p>　　靈活的拓撲結(jié)構(gòu)的網(wǎng)絡(luò)實驗室，所提供的實驗平臺可以適合多種應用實驗的需要?？梢詫崿F(xiàn)同一時段多人做實驗，也可合并在一起組成大的實驗環(huán)境，體現(xiàn)網(wǎng)絡(luò)實驗室在拓撲環(huán)境組合上的靈活性及整體的經(jīng)濟性。</p><p>　　第二、可擴展和易維護性</p><p>　　由于計算機網(wǎng)絡(luò)技術(shù)發(fā)展快速的特點，在網(wǎng)絡(luò)實驗室建設(shè)過程中，選擇設(shè)備時要求其在提供多種

23、冗余保證穩(wěn)定的情況下，還必須具有超強的擴展能力。如各種交換機都提供多個擴展插槽和提供足夠的背板帶寬，同時還采用設(shè)備管理軟件來解決設(shè)備在維護上的問題。</p><p>　　第三、社會實際緊密結(jié)合性</p><p>　　所建設(shè)的網(wǎng)絡(luò)實驗室是完全結(jié)合社會真實的網(wǎng)絡(luò)進行組建的，所有的實驗都是從實際的網(wǎng)絡(luò)環(huán)境中截取的，做到實驗和社會實際有機地結(jié)合起來，以提高中職院校的綜合競爭實力與學生就業(yè)能力。實驗

24、教學內(nèi)容應與社會應用實踐密切聯(lián)系，形成良性互動，實現(xiàn)學與用的有機結(jié)合。要認真考慮設(shè)置哪些實驗項目、采用何種實驗手段才能切實提高學生的動手能力，培養(yǎng)學生的獨立性和創(chuàng)造性，保證實驗教學的質(zhì)量。</p><p>　　完善礦業(yè)大學南湖局域網(wǎng)基礎(chǔ)設(shè)施建設(shè)，構(gòu)建技術(shù)先進、擴展性強、安全可靠、高速暢通的網(wǎng)絡(luò)環(huán)境。建立公共信息系統(tǒng)基礎(chǔ)平臺，提供先進數(shù)字化管理手段，提高管理效率；建立功能齊全的教學管理平臺；建設(shè)內(nèi)容豐富的教學資源庫

25、，實現(xiàn)教學資源共享；提高全校師生信息素養(yǎng)，為培養(yǎng)高技能應用性人才和服務社會搭建公共服務平臺。在網(wǎng)上宣傳和獲取教育資源；在此基礎(chǔ)上建立能滿足教學、科研和管理工作需要的軟、硬件環(huán)境；開發(fā)各類信息庫和應用系統(tǒng)，為學校各類人員提供充分的網(wǎng)絡(luò)信息服務；系統(tǒng)總體設(shè)計本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進性、高度的安全可靠性、良好的開放性、可擴展性，以及建設(shè)經(jīng)濟性。</p><p>　　3.方案設(shè)計與實現(xiàn) <

26、;/p><p><b>　　3.1網(wǎng)絡(luò)設(shè)計原則</b></p><p>　　在充分考慮多應用、易管理的同時，本方案遵循如下原則：</p><p>　　第一，高可靠性。網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的前提保證，在網(wǎng)絡(luò)設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運行。使

27、得網(wǎng)絡(luò)在高負荷情況下仍然具有較高的吞吐能力和效率，延遲低。</p><p>　　第二，標準性及開放性。通訊協(xié)議和接口符合國際標準。支持國際上通用標準的網(wǎng)絡(luò)協(xié)議（如TCP/IP）、 國際標準的大型的動態(tài)路由協(xié)議（如BGP，OSPF）等開放協(xié)議，有利于保證與其他網(wǎng)絡(luò)在之間的平滑連接互通。方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品。在網(wǎng)絡(luò)中，即使有多個網(wǎng)絡(luò)并存，采用統(tǒng)一的標準，也能使這些網(wǎng)絡(luò)能融合到一起，實現(xiàn)業(yè)務整合及數(shù)據(jù)集中。

28、</p><p>　　第三，靈活性及可擴展性。根據(jù)未來業(yè)務的增長和變化，網(wǎng)絡(luò)可以平滑的擴充和升級，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。易于增加新設(shè)備、新用戶，易于和各種公用網(wǎng)絡(luò)連接，隨系統(tǒng)應用的逐步成熟不斷延伸和擴充，充分保護現(xiàn)有投資利益。</p><p>　　第四，先進性。大學作為最前沿學科和技術(shù)研究場所，要求網(wǎng)絡(luò)實驗室要配備最先進的網(wǎng)絡(luò)設(shè)備，能夠開展最新技術(shù)的科研，教學和實踐活動

29、，對網(wǎng)絡(luò)實驗室的設(shè)備，網(wǎng)絡(luò)方案的技術(shù)先進性要求非常高。同時還應跟蹤當前計算機網(wǎng)絡(luò)和通信技術(shù)的最新發(fā)展，能夠開設(shè)一些高水平的網(wǎng)絡(luò)和通信實驗。</p><p>　　第五，可管理性。對網(wǎng)絡(luò)實行集中監(jiān)測，分權(quán)管理，并統(tǒng)一分配寬帶資源。選用先進的網(wǎng)絡(luò)管理平臺，具有對設(shè)備，端口等的管理，流量統(tǒng)計分析，及可提供故障自動報警。整個網(wǎng)絡(luò)可以進行遠程控制。</p><p>　　第六，安全性。制訂統(tǒng)一的骨干網(wǎng)安

30、全策略，整體考慮網(wǎng)絡(luò)平臺的安全性?？梢酝ㄟ^各業(yè)務子網(wǎng)隔離，全網(wǎng)統(tǒng)一規(guī)劃IP地址，根據(jù)不同的業(yè)務劃分不同的子網(wǎng)。具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。支持AAA功能、ACL、IPSEC、NAT、路由驗證、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。</p><p>　　第七，綜合性和統(tǒng)一性。要求在一個網(wǎng)絡(luò)實驗室內(nèi)完成上面提到的眾多網(wǎng)絡(luò)實驗，并且最好是由一個廠家的設(shè)備來組建。</p&

31、gt;<p>　　第八，合理的性能價格比，根據(jù)我院的實際需要建設(shè)一個性能和價格合理的網(wǎng)絡(luò)實驗室很重要，花最少的錢建設(shè)一個網(wǎng)絡(luò)實驗室，即能保證教學和實驗的需要，也能保證技術(shù)上的先進性。建設(shè)網(wǎng)絡(luò)實驗室就是一項投資，投資就要講究投資的效率，就要關(guān)注性價比。比較性價比的前提是確保性能基本滿足需求。性價比高的會帶來更大的效用。</p><p>　　3.2 主流組網(wǎng)技術(shù)分析與選擇</p><

32、p>　　網(wǎng)絡(luò)拓撲結(jié)構(gòu)就是網(wǎng)絡(luò)的形狀，或者是它在物理上的連通性。構(gòu)成網(wǎng)絡(luò)的拓撲結(jié)構(gòu)有很多種，通常包括：星型拓撲、總線拓撲、環(huán)型拓撲、樹型拓撲、混合型拓撲、網(wǎng)型拓撲。</p><p>　　拓撲結(jié)構(gòu)的選擇往往與傳輸媒體的選擇和媒體訪問控制方法的確定緊密相關(guān)。在選擇網(wǎng)絡(luò)拓撲結(jié)構(gòu)時，應該考慮的主要因素有下列幾點：</p><p>　　1.可靠性  盡可能提高可靠性，保證所有

33、數(shù)據(jù)流能準確接收。還要考慮系統(tǒng)的維護，要使故障檢測和故障隔離較為方便。</p><p>　　2.費用低  它包括建網(wǎng)時需考慮適合特定應用的費用和安裝費用。</p><p>　　3.靈活性  需要考慮系統(tǒng)在今后擴展或改動時，能容易地重新配置網(wǎng)絡(luò)拓撲結(jié)構(gòu)，能方便地對原有站點的刪除和新站點的加入。</p><p>　　4.響應時間和

34、吞吐量  要有盡可能短的響應時間和最大的吞吐量。</p><p><b>　　(1) 星型拓撲</b></p><p>　　星型拓撲是由中央節(jié)點和通過點到點通信鏈路接到中央節(jié)點的各個站點組成，如圖4-16所示。中央節(jié)點執(zhí)行集中式通信控制策略，因此中央節(jié)點較復雜，而各個站點的通信處理負擔都很小。采用星型拓撲的交換方式有電路交換和報文交換，尤以電路交換

35、更為普遍?，F(xiàn)在的數(shù)據(jù)處理和聲音通信的信息網(wǎng)大多采用這種拓撲結(jié)構(gòu)。目前流行的專用交換機PBX（Private Branch Exchange）就是星型拓撲的典型實例。一旦建立了通道連接，可以無延遲地在連通的兩個站點之間傳送數(shù)據(jù)。</p><p>　　1.星型結(jié)構(gòu)的優(yōu)點。</p><p>　　(1)控制簡單  在星型網(wǎng)絡(luò)中，任何一站點和中央節(jié)點相連接，因而媒體訪問控制的方法

36、很簡單，致使訪問協(xié)議也十分簡單。</p><p>　　(2)容易做到故障診斷和隔離  在星型網(wǎng)絡(luò)中，中央節(jié)點對連接線路可以一條一條地隔離開來進行故障檢測和定位。單個連接點的故障只影響一個設(shè)備，不會影響全網(wǎng)。</p><p>　　(3)方便服務  中央節(jié)點可方便地對各個站點提供服務和網(wǎng)絡(luò)重新配置。</p><p>　　2.星型拓

37、撲的缺點。</p><p>　　(1)電纜長度和安裝工作量可觀  因為每個站點都要和中央節(jié)點直接連接，需要耗費大量的電纜。安裝、維護的工作量也驟增。</p><p>　　(2)中央節(jié)點的負擔加重，形成瓶頸，一旦故障，則全網(wǎng)受影響，因面中央節(jié)點的可靠性和冗余度方面的要求很高。</p><p>　　(3)各站點的分布處理能力較少。</p>

38、<p><b>　　(2) 總線拓撲</b></p><p>　　總線拓撲結(jié)構(gòu)采用一個信道作為傳輸媒體，所有站點通過相應的硬件接口都直接連到這一公共傳輸媒體上，或稱總線上。任何一個站發(fā)送的信號都沿著傳輸媒體傳播而且能被其他站接收。</p><p>　　結(jié) 構(gòu)因為所有站點共享一條公用的傳輸信道，所以一次只能由一個設(shè)備傳輸信號。通常采用分布式控制策略來決定下

39、一次哪一個站可以發(fā)送。發(fā)送時，發(fā)送站將報文分 成分組，然后一個一個依次發(fā)送這些分組，有時要與其他站來的分組交替地在媒體上傳輸。當分組經(jīng)過各站時，其中的目的站會識別到分組的目的地址，然后拷貝下 這些分組的內(nèi)容。</p><p>　　1.總線拓撲的優(yōu)點。</p><p>　　(1)總線結(jié)構(gòu)所需要的電纜數(shù)量少。</p><p>　　(2)總線結(jié)構(gòu)簡單，又是無源工作，有較高

40、可靠性。</p><p>　　(3)易于擴充，增加或減少用戶比較方便。</p><p>　　2.總線拓撲的缺點。</p><p>　　(1)系統(tǒng)范圍受到限制：同軸電纜的工作長度一般在2km以內(nèi)，在總線的干線基礎(chǔ)上擴展長度時，需使用中繼器擴展一個附加段。</p><p>　　(2)故障診斷和隔離較困難：因為總線拓撲網(wǎng)絡(luò)不是集中控制，故障檢測需在

41、網(wǎng)上各個節(jié)點進行，故障檢設(shè)不容易。如故障發(fā)生在節(jié)點，則只需將節(jié)點從總線上去掉。如傳輸媒體故障，則整個這段總線要切斷。</p><p><b>　　(3) 環(huán)型拓撲</b></p><p>　　每個站點能夠接收從一條鏈路傳來的數(shù)據(jù)，并以同樣的速度串行地把該數(shù)據(jù)傳送到另一端鏈路上。這種鏈路可以是單向的，以可以是雙向的。單向的環(huán)型網(wǎng)絡(luò)，數(shù)據(jù)只能沿一個方向傳輸，數(shù)據(jù)以分組形式

42、發(fā)送，例如圖中A站希望發(fā)送一個報文到C站，那么要把報文分成若干個分組，每個分組包括一段數(shù)據(jù)加上某些控制信息，其中包括C站的地址。A站依次把每個分組送到環(huán)上，開始沿環(huán)傳輸，C站識別到帶有它自己地址的分組時，將它接收下來。由于多個設(shè)備連接在一個環(huán)上，因此需要用分布控制形式的功能來進行控制，每個站都有控制發(fā)送和接收的訪問邏輯。</p><p><b>　　1.環(huán)型拓撲優(yōu)點。</b></p&g

43、t;<p>　　(1)電纜長度短：環(huán)型拓撲網(wǎng)絡(luò)所需的電纜長度和總線拓撲網(wǎng)絡(luò)相似，但比星型拓撲網(wǎng)絡(luò)要短得多。</p><p>　　(2)增加或減少工作站時，僅需簡單地連接。</p><p>　　(3)可使用光纖：它的傳輸速度很高，十分適用于環(huán)型拓撲的單向傳輸。</p><p>　　2.環(huán)型拓撲的缺點。</p><p>　　(1)節(jié)

44、點的故障會引起全網(wǎng)故障，這是因為在環(huán)上的數(shù)據(jù)傳輸是通過接在環(huán)上的每一個節(jié)點，一旦環(huán)中某一節(jié)點發(fā)生故障就會引起全網(wǎng)的故障。</p><p>　　(2)檢測故障困難，這與總線拓撲相似，因為不是集中控制，故障檢測需在網(wǎng)上各個節(jié)點進行，故障的檢測就不很容易。</p><p>　　(3)環(huán)型拓撲結(jié)構(gòu)的媒體訪問控制協(xié)議都采用令牌傳遞的方式，則在負載很輕時，其等待時間相對來說就比較長。</p>

45、;<p><b>　　(4) 樹型拓撲</b></p><p>　　樹型拓撲是從總線拓撲演變而來，形狀像一棵倒置的樹，頂端是樹根，樹根以下帶分枝，每個分枝還可再帶子分枝。</p><p>　　這種拓撲的站點發(fā)送時，根接收該信號，然后再重新廣播發(fā)送到全網(wǎng)。樹型拓撲的優(yōu)缺點大多和總線的優(yōu)缺點相同，但也有一些特殊樁點。</p><p>

46、<b>　　1.樹型拓撲優(yōu)點。</b></p><p>　　(1)易于擴展：從本質(zhì)上講，這種結(jié)構(gòu)可以延伸出很多分支和子分支，這些新節(jié)點和新分支都較容易地加入網(wǎng)內(nèi)。</p><p>　　(2)故障隔離較容易：如果某一分支的節(jié)點或線路發(fā)生故障，很容易將故障分支和整個系統(tǒng)隔離開采。</p><p>　　樹型拓撲的缺點是各個節(jié)點對根的依賴性太大，如果根

47、發(fā)生故障，全網(wǎng)則不能正常工作，從這一點來看樹型拓撲結(jié)構(gòu)的可靠性與星型拓撲結(jié)構(gòu)相似。</p><p><b>　　(5) 混合型拓撲</b></p><p>　　將以上兩種單一拓撲結(jié)構(gòu)類型混合起來，取兩種拓撲結(jié)構(gòu)的優(yōu)點構(gòu)成一種混合型拓撲結(jié)構(gòu)。如圖4-20所示是星型拓撲和環(huán)型拓撲混合成的星型環(huán)狀拓撲。</p><p>　　這種拓撲的配置是由一批接入

48、環(huán)中的集中器組成，由集中器再按星型結(jié)構(gòu)連至每個用戶站。</p><p>　　1.混合型拓撲的優(yōu)點。</p><p>　　(1)故障診斷和隔離較為方便：一旦網(wǎng)絡(luò)發(fā)生故障，首先診斷哪一個集中器有故障，然后，將該集中器和全網(wǎng)隔離。</p><p>　　(2)易于擴展：如果要擴展用戶時，可以加入新的集中器，以后在設(shè)計時，在每個集中器留出一些備用的可插入新的的站點的連接口。&

49、lt;/p><p>　　(3)安裝方便；網(wǎng)絡(luò)的主電纜只要連通這些集中器，安裝時就不含有電纜管道擁擠的問題。這種安裝和傳統(tǒng)的電話系統(tǒng)電纜安裝很相似。</p><p>　　2.混合型拓撲的缺點。</p><p>　　(1)需要選用帶智能的集中器：這是為了實現(xiàn)網(wǎng)絡(luò)故障自動診斷和故障節(jié)點的隔離所必需的。</p><p>　　(2)集中器到各個站點的電纜安

50、裝會像星型拓撲結(jié)構(gòu)一樣，有時會使電纜安裝長度增加。</p><p><b>　　(6) 網(wǎng)型拓撲</b></p><p>　　它的優(yōu)點是不受瓶頸問題和失效問題的影響。由于節(jié)點之間有許多條路徑相連，可以為數(shù)據(jù)流的傳輸選擇適當?shù)穆酚桑@過失效的部件或過忙的節(jié)點。這種結(jié)構(gòu)雖然比較復雜，成本比較高，為提供上述功能，網(wǎng)形拓撲結(jié)構(gòu)的網(wǎng)絡(luò)協(xié)議也較復雜，但由于它的可靠性高，受到用戶的

51、歡迎。</p><p>　　上面分析了幾種常用拓撲和它們的優(yōu)缺點，由此可見，不管是局域網(wǎng)或廣域網(wǎng)，其拓撲的選擇，需要考慮很多因素。網(wǎng)絡(luò)要易于安裝，一旦安裝好了，還要滿足易于擴展的要求，既要方便擴展，又要保護現(xiàn)有的系統(tǒng)。</p><p>　　網(wǎng)絡(luò)的可靠性也是考慮的重要因素，要易于故障診斷，易于隔離故障，以使網(wǎng)絡(luò)的主要部分仍能正常運行。</p><p>　　網(wǎng)絡(luò)拓撲的選

52、擇還會影響傳輸媒體的選擇和媒體訪問控制方法的確定，這些因素又會影響各個站點在網(wǎng)上的運行速度和網(wǎng)絡(luò)軟硬件接口的復雜性。</p><p>　　要建設(shè)一個功能完善的礦業(yè)大學南湖局域網(wǎng)絡(luò)，從性能、安全、穩(wěn)定等方面來考慮，樹型的網(wǎng)絡(luò)結(jié)構(gòu)是我們的首選，其易于故障的診斷，以及網(wǎng)絡(luò)的升級。</p><p>　　目前常用的主干網(wǎng)組網(wǎng)技術(shù)有100Mbps的快速以太網(wǎng)，100Mbps的FDDI， ATM網(wǎng)絡(luò)和千

53、兆以太網(wǎng)。本網(wǎng)主要采用快速以太交換網(wǎng)作為主干網(wǎng)的組網(wǎng)技術(shù)，快速以太交換網(wǎng)是性能較高的組網(wǎng)方式。它具有以下優(yōu)點：技術(shù)成熟穩(wěn)定；對傳統(tǒng)的局域網(wǎng)及其應用有很好的支持；有效保護用戶投資。</p><p>　　3.3 網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計</p><p>　　銳捷網(wǎng)絡(luò)的設(shè)計都是基于一個模塊化，層次化的設(shè)計思想。這也是對大型網(wǎng)絡(luò)進行高效管理的首選方法。</p><p>　　3.3.

54、1模塊化設(shè)計</p><p>　　模塊化就是將把整個網(wǎng)絡(luò)按功能和安全需求分為若干個組件，這些組件之間有一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡(luò)設(shè)計。模塊化設(shè)計的好處在于： </p><p>　　1. 解決各網(wǎng)絡(luò)之間的沖突問題； </p><p>　　2. 簡化安裝和后臺設(shè)備管理； </p><p>　　3. 易于故障檢測和分離問題； <

55、;/p><p>　　4. 易于執(zhí)行不同類型的服務和安全方針； </p><p>　　5. 易于擴展和/或代替原來的技術(shù)。</p><p>　　南湖局域網(wǎng)的設(shè)計可以借鑒這種思想，對各種不同種類，不同安全等級的業(yè)務進行模塊劃分，相互之間的訪問將受到控制。</p><p>　　3.3.2層次化設(shè)計</p><p>　　對于南

56、湖局域網(wǎng)絡(luò)，我們采用業(yè)界通用“核心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計模型。</p><p><b>　　核心層：</b></p><p>　　核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務，將分組盡可能快地從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。匯聚層到核心層要具備冗余傳輸鏈路，任何單條鏈路斷連不影響網(wǎng)絡(luò)的可用性。作為所有網(wǎng)絡(luò)流量的傳

57、輸中樞，核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負載均衡或負載分擔特性的設(shè)備實現(xiàn)負荷均衡。此外，為了避免網(wǎng)元故障對網(wǎng)絡(luò)造成沖擊，需要網(wǎng)絡(luò)采用支持快速聚合的特性，一旦主用通路斷開，可以很快的切換到備用通路。</p><p><b>　　匯聚層</b></p><p>　　匯聚層顧名思義就是作為訪問層到骨干層的匯聚，通常為訪問層與骨干層實現(xiàn)基于策略

58、的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機組成，提供對網(wǎng)絡(luò)流量模式控制、服務訪問控制、QoS、定義路由路徑度量和路由協(xié)議網(wǎng)絡(luò)通告控制。</p><p><b>　　接入層</b></p><p>　　接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進行邏輯子網(wǎng)劃分，并通過 VLAN技術(shù)實現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。訪問層

59、主要通過二層交換機組成。</p><p>　　“核心層-匯聚層-訪問層”網(wǎng)絡(luò)設(shè)計模型有如下優(yōu)點： </p><p>　　高可擴展性 － 遵循層次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有伸縮性和可管理性，因為各功能網(wǎng)絡(luò)通過模塊化實現(xiàn)，潛在問題更易于識別。 </p><p>　　易于實施 － 每一層的功能性清晰劃分，簡化每一層的實現(xiàn)。 </p><p&g

60、t;　　易于故障排除 － 每一層的功能經(jīng)過良好定義，網(wǎng)絡(luò)更為簡單，有助于故障的隔離。模塊化設(shè)計也有效限制故障影響范圍。 </p><p>　　易于規(guī)劃和管理 － 層次化的功能劃分，整個網(wǎng)絡(luò)規(guī)劃和管理更為簡單。 </p><p>　　3.3.3 網(wǎng)絡(luò)拓撲圖</p><p>　　3.3.4 方案的說明</p><p>　　實驗室局域網(wǎng)絡(luò)系

61、統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計任務的重點通常是冗余能力、可靠性和高速的傳輸。因存在大量的語音和視頻傳輸。據(jù)此，考慮匯聚層對 QoS 有良好的支持并且能提供大的帶寬。接入層設(shè)備是最終用戶的最直接上聯(lián)的設(shè)備，它應該具備即插即用特性以及易于維護的特點。根據(jù)學校建設(shè)要求與總體目標，骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)成。在接入層面，通過定義相應的訪問策略，實現(xiàn)訪問控制，內(nèi)

62、外隔離和抭 IP 地址。在網(wǎng)絡(luò)結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù)(第三層交換)作為核心層，呈網(wǎng)狀拓撲結(jié)構(gòu)。以 TCP/IP 協(xié)議為主，并輔以 IP/SPX. NETTEUI 等其他流行通信協(xié)議堅持開放性和標準化，采用標準的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系統(tǒng)間易于集成，兼顧其他標準的網(wǎng)絡(luò)體系結(jié)構(gòu)，網(wǎng)絡(luò)能實現(xiàn)協(xié)議之間無縫連接。而公用服務器與每一臺核心層交換機都應該具備連接。在網(wǎng)絡(luò)硬件上采用高性能、高可靠的設(shè)備，此產(chǎn)品是具有運營商

63、級容錯能力的高性能大型網(wǎng)絡(luò)核心交換機，可實現(xiàn)冗余備份，從而提高核心層的可靠性。 整個網(wǎng)絡(luò)通過匯聚層交換機</p><p>　　3.4 IP地址劃分</p><p>　　3.4.1 IP地址及VLAN劃分原則</p><p>　　簡單性：地址的分配應該簡單，避免在主干上采用復雜的掩碼方式； </p><p>　　連續(xù)性：為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)

64、的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)CIDR(Classless Inter-Domain Routing)技術(shù)縮減路由表的表項，提高路由器的處理效率； </p><p>　　可擴充性：為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應該具有一定的容量，便于主機數(shù)量增加時仍然能夠保持地址的連續(xù)性； </p><p>　　靈活性：地址分配不應該基于某個網(wǎng)絡(luò)路由策略的優(yōu)化方案，應該便于多數(shù)路

65、由策略在該地址分配方案上實現(xiàn)優(yōu)化； </p><p>　　可管理性：地址的分配應該有層次，某個局部的變動不要影響上層、全局。 </p><p>　　安全性：網(wǎng)絡(luò)內(nèi)應按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進行管理。</p><p>　　3.4.2 IP地址及VLAN劃分</p><p>　　VLAN（Virtual Local Area Netwo

66、rk）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個 VLAN 組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。組建 VLAN 的條件 VLAN 是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立 VLAN 需要相應的支持 VLAN 技術(shù)的網(wǎng)絡(luò)設(shè)備。當網(wǎng)絡(luò)中的不同 VLAN 間進行相互通信時，需要路由的支持，這時

67、就需要增加路由設(shè)備——要實現(xiàn)路由功能，既可采用路由器，也可采用三層交換機來完成。</p><p>　　根據(jù)我校礦業(yè)大學南湖的實際情況，我們對各個機房的IP地址劃分及VLAN劃分如下：</p><p>　　1-4機房： 224.0.0.1/24， vlan1</p><p>　　5-8機房： 224.0.1.1/24， vlan2</p><p

68、>　　9-10機房： 224.0.2.1/24， vlan3</p><p>　　11-12機房：224.0.3.1/24， vlan4</p><p>　　13-14機房：224.0.4.1/24， vlan5</p><p>　　15-16機房：224.0.5.1/24， vlan6</p><p>　　17-18機房：224.0.

69、6.1/24， vlan7</p><p>　　19-20機房：224.0.7.1/24， vlan8</p><p>　　21-22機房：224.0.8.1/24， vlan9</p><p>　　23-24機房：224.0.9.1/24， vlan10</p><p>　　25-26機房：224.0.10.1/24， vlan11<

70、/p><p>　　27-28機房：224.0.11.1/24， vlan12</p><p>　　29-30機房：224.0.12.1/24， vlan13</p><p>　　31-32機房：224.0.13.1/24， vlan14</p><p>　　33-34機房：224.0.14.1/24 , vlan15</p>&l

71、t;p>　　35-36機房：224.0.15.1/24, vlan16</p><p>　　3.4.3 NAT的實現(xiàn)</p><p>　　NAT，網(wǎng)絡(luò)地址轉(zhuǎn)換，是通過將專用網(wǎng)絡(luò)地址轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng)Internet），從而對外隱藏了內(nèi)部管理的 IP 地址。這樣，通過在內(nèi)部使用非注冊的 IP 地址，并將它們轉(zhuǎn)換為一小部分外部注冊的 IP 地址，從而減少了IP 地址注冊的費用以及

72、節(jié)省了目前越來越缺乏的地址空間（即IPV4）。同時，這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風險。</p><p>　　NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的3種實現(xiàn)方式：</p><p>　　1、靜態(tài)NAT（一對一）</p><p>　　2、動態(tài)NAT（多對多）</p><p>　　3、端口多路復用PAT（多對一）</p><

73、p>　　本網(wǎng)絡(luò)沒有考慮NAT的具體實現(xiàn)。</p><p>　　（1）訪問列表的實現(xiàn)</p><p>　　路由器和交換機所保持的列表用來針對一些進出路由器或交換機的服務（如組織某個IP地址的分組從路由器或交換機的特定端口出發(fā)）做訪問控制。</p><p>　　在本網(wǎng)絡(luò)拓撲中，使用訪問列表用來實現(xiàn)網(wǎng)絡(luò)的安全。用來實現(xiàn)相當于防火墻的功能。允許內(nèi)網(wǎng)的用戶去訪問外網(wǎng)，而

74、外網(wǎng)的用戶則是除了能訪問服務器或是通過VPN連接進來外，其他的訪問都是被阻止的。</p><p>　　3.5設(shè)備選型與配置 </p><p>　　我們選取其中一個機房作為示例，下圖為實驗室的三層網(wǎng)絡(luò)結(jié)構(gòu)模型：</p><p>　　匯聚層交換機的選擇： RG－S6806E </p><p>　　要求匯聚層交換機支持廣播、組播功能。信號從核心交換

75、機出來，在匯聚層就進行組播，</p><p>　　可以減輕網(wǎng)絡(luò)的負擔。</p><p>　　接入層交換機的選擇：STAR-S2126G/STAR-S2150G 交換機 </p><p>　　RG-S6800E 系列多業(yè)務萬兆核心路由交換機提供 1.6T/0.8T 背板帶寬，并支持將來擴展到 3.2T/1.6T 的能力，高達 572Mpps/286Mpps 的二/三層

76、包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換，強大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點交換機的理想選擇。 RG-S6800E 交換機通過 擴展高性能的 多業(yè)務卡支 持策略路由、 IPV6、 MPLS 、load balancing、NAT、VPN、Firewall、web cache redirect 等業(yè)務功能，滿足客戶環(huán)境靈活而復雜的不同應用需求。 豐富

77、的應用支持技術(shù)（QOS、組播） RG-S6800E 提供多種流分類技術(shù)和多種 QOS 技術(shù)，包括 SP、WRR、WFQ、WRED、CAR、HOL 等，為各種應用的帶寬保障提供需要的支持技術(shù)。 流分類：可以依據(jù)數(shù)據(jù)流的源/目的 MAC 地址、源/目的三層 IP 地址、三層協(xié)議（IP/IPX）、四層協(xié)議（UDP/TCP）、源/目的四層協(xié)議端口號、COS、TOS 對數(shù)據(jù)流進行區(qū)分，實現(xiàn)</p><p>　　數(shù)據(jù)標記：8

78、02.1p 是二層協(xié)議，可以為數(shù)據(jù)提供 8 個級別的優(yōu)先級標記；DSCP 在三層的 IP 協(xié)議報文里進行優(yōu)先級標記，可以提供 64 個級別的優(yōu)先標記。 </p><p>　　隊列調(diào)度：嚴格優(yōu)先級隊列 SP 保證高優(yōu)先級業(yè)務總是在低優(yōu)先級業(yè)務之前處理；WRR是一種加權(quán)循環(huán)隊列調(diào)度機制，首先處理高優(yōu)先級，但在處理高優(yōu)先級業(yè)務時，較低優(yōu)先級的業(yè)務并沒有被完全阻塞，而是按一定的比例同時進行。WFQ 是加權(quán)公平隊列，對所有

79、的數(shù)據(jù)流進行排隊，監(jiān)控吞吐率，并根據(jù)發(fā)送的信息量分配權(quán)值。WFQ 試圖公平地為每個對話分配帶寬，保證低帶寬應用可以獲得對接口的訪問權(quán)，而不會被高帶寬應用全部占用。 </p><p>　　擁塞控制：WRED 加權(quán)隨機早期檢測協(xié)議，可以設(shè)置各個數(shù)據(jù)流在擁塞發(fā)生之前自動丟失數(shù)據(jù)的閥值，避免較高優(yōu)先級應用的擁塞丟失。HOL 通過消除 HOL 阻塞確保最高可能的吞吐量；最大限度地減少包丟失，減少多路傳輸和廣播流量擁塞。 &

80、lt;/p><p>　　承諾信息速率：CAR 可以為重要的數(shù)據(jù)流設(shè)定固定的帶寬，如果設(shè)定的帶寬合理，滿足該數(shù)據(jù)流的需求，就可以保證重要數(shù)據(jù)流的正常轉(zhuǎn)發(fā)。 提供多種組播支持技術(shù)，包括 IGMP snooping、IGMP、PIM（SSM、SM、DM），DVMRP，保證了網(wǎng)絡(luò)中提供組播服務時的帶寬合理占用。 </p><p>　　STAR-S2126G/STAR-S2150G 是一款全線速可堆疊千

81、兆智能交換機，提供智能的流分類和完善的服務質(zhì)量（QoS）以及組播管理特性，并可以實施靈活多樣的 ACL 訪問控制?？赏ㄟ^ SNMP、Telnet、Web 和 Console 口等多種方式提供豐富的管理。</p><p>　　3.6 路由選擇與配置</p><p>　　RG-S6800E新一代多業(yè)務萬兆核心路由交換機系，配置見附錄二。</p><p>　　3.7 網(wǎng)絡(luò)

82、安全設(shè)計與管理</p><p>　　3.7.1安全需求分析</p><p>　　(1)、網(wǎng)絡(luò)病毒的防范</p><p>　　病毒產(chǎn)生的原因：我校實驗室局域網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染

83、上病毒后，他會向?qū)嶒炇揖钟蚓W(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器。</p><p>　　病毒對實驗室局域網(wǎng)的影響：實驗室局域網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的實驗室局域網(wǎng)資源卻不能使用的尷尬境地。</p><p>　　(2)、防止IP、M

84、AC地址的盜用</p><p>　　IP、MAC地址的盜用的原因：實驗室局域網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對應關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的

85、手中，造成ARP欺騙攻擊。</p><p>　　IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，實驗室局域網(wǎng)絡(luò)是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò)，因為大量的IP、MAC沖突的現(xiàn)象導致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經(jīng)常彈出MAC地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡(luò)的使用，這樣，學生、老師對實驗室局域網(wǎng)以及

86、網(wǎng)絡(luò)中心的信心會逐漸減弱，實驗室局域網(wǎng)也就不能充分發(fā)揮其服務于教學的作用，造成很大程度上的資源浪費。</p><p>　　(3)、安全事故發(fā)生時候，需要準確定位到用戶</p><p>　　實驗室局域網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學生會在網(wǎng)絡(luò)中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)布了大量涉及政治的比如法輪

87、功的言論，這時候公安部門的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時候，我們無法處理，學?；蛘哒f網(wǎng)絡(luò)中心只有替學生背這個黑鍋。</p><p>　　(4)、安全事故發(fā)生時候，不能準確定位到用戶的影響：</p><p>　　一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是

88、大有影響的。</p><p>　　(5)、用戶上網(wǎng)時間的控制</p><p>　　無法控制學生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學生可能會利用一切機會上網(wǎng)，會曠課。學生家長會對學校產(chǎn)生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。這對學校的聲譽以及學校的長期發(fā)展是及其不利的。</p><p>　　(6)、用戶網(wǎng)絡(luò)權(quán)限的控制</p&

89、gt;<p>　　在實驗室局域網(wǎng)中，不同用戶的訪問權(quán)限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網(wǎng)，不能訪問辦公網(wǎng)絡(luò)、財務網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問財務網(wǎng)絡(luò)。因此，需要對用戶網(wǎng)絡(luò)權(quán)限進行嚴格的控制。</p><p>　　(7)、各種網(wǎng)絡(luò)攻擊的有效屏蔽</p><p>　　實驗室局域網(wǎng)中常見的網(wǎng)絡(luò)攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻

90、擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的廣播報文，這些攻擊的存在，會擾亂網(wǎng)絡(luò)的正常運行，降低了實驗室局域網(wǎng)的效率。</p><p>　　3.7.2網(wǎng)絡(luò)安全控制</p><p>　　(1)對端口 ARP 檢查防止 ARP 攻擊；</p><p>　　(2)對端口安全：MAC 動態(tài)地址鎖，MAC 地址

91、靜態(tài)綁定； </p><p>　　(3)交換設(shè)備 BPDU Guard 功能，過濾非法 BPDU 報文，防止 STP 攻擊交換機； </p><p>　　(4)端口安全：端口靜態(tài)綁定，自動綁定 IP 和 MAC 地址防止 DOS 攻擊； </p><p>　　(5)智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡(luò)應用，過濾病毒 </p><p&g

92、t;　　(6) SSH 密文傳輸，限制管理 IP 等措施保證設(shè)備管理可靠； </p><p>　　(7)對網(wǎng)絡(luò)病毒的防范：采用設(shè)置 ACL，對病毒進行過濾； 我們使用的匯聚、核心交換機都支持 SPOH，通過端口獨立的 FFP 進行 ACL 處理，網(wǎng)絡(luò)設(shè)備性能不受設(shè)置 ACL 數(shù)目影響； </p><p><b>　　具體措施如下：</b></p>

93、<p>　　(1)事前的身份認證</p><p>　　對于每一個需要訪問網(wǎng)絡(luò)的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時間，通過以上信息的綁定，可以達到如下的效果：</p><p>　　每一個用戶的身份在整個實驗室局域網(wǎng)中是

94、唯一，避免了個人信息被盜用.</p><p>　　當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。</p><p>　　只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問實驗室局域網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。</p><p>　　(2)網(wǎng)絡(luò)攻擊的防范</p&

95、gt;<p>　　1、常見網(wǎng)絡(luò)病毒的防范</p><p>　　對于常見的比如沖擊波、振蕩波等對網(wǎng)絡(luò)危害特別嚴重的網(wǎng)絡(luò)病毒，通過部署擴展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。</p><p>　　2、未知網(wǎng)絡(luò)病毒的防范</p><p&

96、gt;　　對于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡(luò)應用的運行，從而保證了網(wǎng)絡(luò)的高可用性。</p><p>　　3、防止IP地址盜用和ARP攻擊</p><p>　　通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP

97、和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務器），造成網(wǎng)絡(luò)通訊混亂。</p><p>　　4、防止假冒IP、MAC發(fā)起的MAC Flood\SYN Flood攻擊</p><p>　　通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實

98、現(xiàn)）。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡(luò)的攻擊，進一步增強網(wǎng)絡(luò)的安全性。</p><p>　　5、非法組播源的屏蔽</p><p>　　銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關(guān)閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端口

99、。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應用多元化和潮流下具有明顯的優(yōu)勢，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、

100、更加實用的特點，更加適用于校園運營網(wǎng)絡(luò)大規(guī)模的應用環(huán)境。</p><p>　　6、對DOS攻擊，掃描攻擊的屏蔽</p><p>　　通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務器遭受到此類攻擊時導致的網(wǎng)絡(luò)中斷。</p><p>　　(3)事后的完整審計</p><p>　　當用

101、戶訪問完網(wǎng)絡(luò)后，會保存有完備的用戶上網(wǎng)日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網(wǎng)絡(luò)，什么時候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。</p><p>　　3.7.3網(wǎng)絡(luò)管理設(shè)計</p><p>　　網(wǎng)絡(luò)管理包括用戶管理、設(shè)備管理、網(wǎng)絡(luò)故障管理</p>

102、;<p><b>　　(1)網(wǎng)絡(luò)用戶管理</b></p><p><b>　　(2)網(wǎng)絡(luò)設(shè)備管理</b></p><p>　　網(wǎng)絡(luò)設(shè)備的管理通過STARVIEW實現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路：</p><p>　　1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解</p><

103、p>　　STARVIEW能自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的HUB、交換機等設(shè)備能及時地發(fā)現(xiàn)，提前消除各種安全隱患。</p><p>　　對于網(wǎng)絡(luò)中的異常故障，比如某臺交換機的CPU利用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。</p><p><b>　　2、

104、網(wǎng)絡(luò)流量的查看</b></p><p>　　STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進一步的察看網(wǎng)絡(luò)中的詳細流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。</p><p>　　3、網(wǎng)絡(luò)故障的信息自動報告</p><p>　　STARVIEW支持故障信息的自動告警，當網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時，會通過TRAP的方式進行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息

105、，這些信息同樣為管理員的故障排除提供了豐富的信息。</p><p><b>　　4、設(shè)備面板管理</b></p><p>　　STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設(shè)備上，進行配置的修改，完善以及各種信息的察看。</p><p>　　5、RGNOS操作系統(tǒng)的批量升級<

106、/p><p>　　校園網(wǎng)很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網(wǎng)絡(luò)管理員的工作量。</p><p><b>　　(3)網(wǎng)絡(luò)故障管理</b></p><p

107、>　　3.8 未來升級與擴展</p><p>　　由于使用銳捷的設(shè)備，選擇的設(shè)備都是能兼容IPV6，所以在以后將IPV4網(wǎng)絡(luò)升級成IPV6的應用上市沒有什么問題的。而網(wǎng)絡(luò)的升級上考慮到管理員不可能一直都在改處，所以考慮設(shè)置VPN使得管理人員能從遠程登錄到該路由器，使得管理人員能應付各種網(wǎng)絡(luò)升級及擴展。</p><p>　　同時因為對于各個用于群的分組比較的詳細，也方便了未來加入服務器

108、等工作。此外，還有包括以下幾個方面：</p><p><b>　　處理能力擴展 </b></p><p>　　處理能力是指交換機的數(shù)據(jù)轉(zhuǎn)發(fā)能力，一般是指三層轉(zhuǎn)發(fā)能力。這種要求通常出現(xiàn)在網(wǎng)絡(luò)的匯聚層或核心層。隨著用戶業(yè)務的發(fā)展，業(yè)務數(shù)據(jù)流較大時，或?qū)I(yè)務數(shù)據(jù)流有較多的QOS或安全策略時，交換機的轉(zhuǎn)發(fā)能力不足就會影響業(yè)務。 </p><p><

109、;b>　　帶寬擴展 </b></p><p>　　帶寬擴展通常出現(xiàn)在不同的網(wǎng)絡(luò)層次間，如接入層和匯聚層，匯聚層和核心層。由于桌面接入的主流都已經(jīng)是100MB，而100MB交換機的上聯(lián)端口通常為1000MB，在滿負荷情況下，也才能滿足10個端口的線速上聯(lián)，而現(xiàn)在交換機動輒24口，48口，因此在某些情況下，需要進行上聯(lián)帶寬的擴展。</p><p><b>　　平滑擴

110、展 </b></p><p>　　隨著用戶對網(wǎng)絡(luò)的依賴性越來越強，網(wǎng)絡(luò)的中斷可能會給用戶帶來巨大的損失。即使是要進行網(wǎng)絡(luò)的擴展升級，用戶也希望不要對現(xiàn)存的網(wǎng)絡(luò)有影響。這就要求網(wǎng)絡(luò)的擴展具有平滑不中斷的特性。同時，在網(wǎng)絡(luò)擴展中，能夠保護原有設(shè)備的投資，不造成投資浪費。</p><p>　　4.網(wǎng)絡(luò)施工與結(jié)構(gòu)化布線</p><p>　　4.1網(wǎng)絡(luò)布局的原則&

111、lt;/p><p><b>　　1、實用性</b></p><p>　　企業(yè)組建的局域網(wǎng)應當根據(jù)機房的大小、設(shè)備的多少來具體實施，根據(jù)網(wǎng)絡(luò)布線的特點來發(fā)揮網(wǎng)絡(luò)布局實用性是非常重要的。</p><p><b>　　2、全面性</b></p><p>　　組網(wǎng)過程中，網(wǎng)絡(luò)、服務器等設(shè)備放置位置應當統(tǒng)籌兼顧，

112、網(wǎng)絡(luò)布局要考慮周全，盡量讓各種設(shè)備和布線系統(tǒng)處于合理的位置。</p><p><b>　　3、可靠性</b></p><p>　　組網(wǎng)無論怎樣布局，最終的目的是保證我們的局域網(wǎng)的所有設(shè)備能可靠穩(wěn)定地運行，使得網(wǎng)絡(luò)能正常運轉(zhuǎn)。</p><p><b>　　4、便于維護與升級</b></p><p>