網(wǎng)絡(luò)工程課程設(shè)計(jì)報(bào)告--網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)設(shè)計(jì)

1、<p><b>　　網(wǎng)絡(luò)工程</b></p><p><b>　　課程設(shè)計(jì)報(bào)告</b></p><p>　　學(xué) 院 信息科學(xué)與工程學(xué)院 </p><p>　　專業(yè)班級(jí) 信安1201班 </p><p>　　學(xué)

2、 號(hào) </p><p>　　完成時(shí)間 </p><p><b>　　目錄</b></p><p><b>　　1設(shè)計(jì)要求</b></p><p>　　2網(wǎng)絡(luò)

3、架構(gòu)結(jié)構(gòu)設(shè)計(jì) ·······················2</p><p><b>　　2.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)</b></p><p>

4、<b>　　2.2現(xiàn)狀分析</b></p><p><b>　　2.3地址劃分</b></p><p>　　2.3.1信息點(diǎn)分析</p><p>　　2.3.2子網(wǎng)需求劃分</p><p>　　2.3.3學(xué)校VLAN需求劃分</p><p>　　3網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)·&#

5、183;·························8</p><p>　　3.1選用的網(wǎng)絡(luò)技術(shù)</p><p>　　3.1.1 VLA

6、N虛擬局域網(wǎng)技術(shù)</p><p>　　3.1.2千兆位以太網(wǎng)技術(shù)（Gigabit Ethernet） </p><p>　　3.1.3 ATM——異步傳輸模式 </p><p>　　3.1.4 網(wǎng)絡(luò)QoS設(shè)計(jì)</p><p>　　3.1.5 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換</p><p>　　3.1.6 ACL訪問(wèn)控制</p

7、><p>　　3.2傳輸線路及介質(zhì)</p><p><b>　　3.2.1線路選擇</b></p><p>　　3.2.2傳輸介質(zhì)選擇</p><p>　　3.3 網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備選擇</p><p>　　3.3.1交換機(jī)的選擇</p><p>　　3.3.2路由器的選擇

8、</p><p>　　3.3.3防火墻的選擇</p><p>　　3.3.4服務(wù)器的選擇</p><p>　　4問(wèn)題延伸····················

9、3;·······17</p><p><b>　　4.1問(wèn)題呈現(xiàn)</b></p><p>　　4.2問(wèn)題分析及解決</p><p>　　4.2.1網(wǎng)絡(luò)性能問(wèn)題</p><p>　　4.2.2網(wǎng)絡(luò)安全問(wèn)題</p><p>　　5

10、設(shè)計(jì)總結(jié)····························22</p><p>　　參考文獻(xiàn) ···

11、·························23</p><p><b>　　設(shè)計(jì)要求</b></p><p>　

12、　要在某校區(qū)的5棟建筑物中建立網(wǎng)絡(luò)環(huán)境，其中辦公樓與圖書館之間的距離為350米，圖書館與計(jì)算機(jī)機(jī)房之間的距離為600米，兩棟學(xué)生宿舍離辦公樓的距離為800米。網(wǎng)絡(luò)中心的機(jī)房設(shè)在圖書館，辦公樓設(shè)60個(gè)信息點(diǎn)（校辦7個(gè)，人事部門9個(gè)，財(cái)務(wù)部門20個(gè)，另外6個(gè)部門各4個(gè)），圖書館200個(gè)信息點(diǎn)，計(jì)算機(jī)機(jī)房400個(gè)信息點(diǎn)，建成后的網(wǎng)絡(luò)要接入互聯(lián)網(wǎng)。</p><p>　?。?）畫出網(wǎng)絡(luò)的平面拓?fù)鋱D、所用的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全

13、設(shè)備；</p><p>　?。?）合理地劃分網(wǎng)絡(luò)（各部門單獨(dú)組網(wǎng)，每個(gè)信息點(diǎn)分配一個(gè)IP地址）和分配IP地址并寫出每個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)號(hào)和廣播地址及網(wǎng)絡(luò)掩碼（均須用十進(jìn)制表示）；</p><p>　　（3）對(duì)所選用的網(wǎng)絡(luò)技術(shù)、傳輸線路及介質(zhì)、網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備進(jìn)行說(shuō)明及選用的理由；</p><p>　?。?）試說(shuō)明當(dāng)這個(gè)網(wǎng)絡(luò)的規(guī)模擴(kuò)大10倍或更多時(shí)，在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安

14、全方面會(huì)出現(xiàn)什么問(wèn)題？應(yīng)該怎么解決？</p><p><b>　　網(wǎng)絡(luò)架構(gòu)結(jié)構(gòu)設(shè)計(jì)</b></p><p><b>　　2.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)</b></p><p>　　整體設(shè)計(jì)分為三層，分別是核心層，匯聚層，接入層，每層都用交換機(jī)設(shè)備進(jìn)行連接。最終完成從網(wǎng)絡(luò)中心到各個(gè)計(jì)算機(jī)終端的網(wǎng)絡(luò)連接。</p><p

15、>　　局域網(wǎng)采用星型網(wǎng)絡(luò)拓樸結(jié)構(gòu)，星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu)，它是以一臺(tái)核心交換機(jī)為主而構(gòu)成的網(wǎng)絡(luò)，其它交換機(jī)僅與該核心交換機(jī)之間有直接的物理鏈路，核心交換機(jī)VLAN隔離的方法為接入交換機(jī)服務(wù)，所有的數(shù)據(jù)必須經(jīng)過(guò)核心交換機(jī)。由于所有節(jié)點(diǎn)的往外傳輸都必須經(jīng)過(guò)核心交換機(jī)來(lái)處理，因此，對(duì)核心交換機(jī)的要求比較高。 優(yōu)點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，易于維護(hù)，便于管理（集中式）；每臺(tái)入網(wǎng)機(jī)均需物理線路與處理機(jī)互連，線路利用率低；處理機(jī)

16、負(fù)載重（需處理所有的服務(wù)），因?yàn)槿魏蝺膳_(tái)入網(wǎng)機(jī)之間交換信息，都必須通過(guò)核心交換機(jī)；入網(wǎng)主機(jī)故障不影響整個(gè)網(wǎng)絡(luò)的正常工作。對(duì)該網(wǎng)絡(luò)支持的設(shè)備生產(chǎn)廠商有較好的技術(shù)支持。</p><p>　　局域網(wǎng)內(nèi)的所有工作節(jié)點(diǎn)通過(guò)，光纖，雙絞線與交換機(jī)相連形成一個(gè)星型網(wǎng)絡(luò)。局域網(wǎng)設(shè)備選用1個(gè)核心交換機(jī)，5個(gè)匯聚層交換機(jī)，以及ATM路由器和防火墻。由于各個(gè)建筑之間的距離較遠(yuǎn)，選用光纖連接對(duì)交換機(jī)節(jié)點(diǎn)進(jìn)行連接。</p>

17、<p><b>　　2.2現(xiàn)狀分析</b></p><p>　　對(duì)網(wǎng)絡(luò)各建筑的分析情況如圖所示</p><p>　　如圖所示整個(gè)網(wǎng)絡(luò)分為學(xué)生公寓樓，行政辦公樓，圖書館，計(jì)算機(jī)樓。其中學(xué)生宿舍區(qū)（學(xué)生宿舍1，學(xué)生宿舍2），行政辦公區(qū)（校辦、人事處、財(cái)務(wù)處、其他處），圖書館（學(xué)生閱覽室、電子閱覽室、網(wǎng)絡(luò)中心、借書室），計(jì)算機(jī)教學(xué)區(qū)（計(jì)算機(jī)機(jī)房）</p>

18、;<p><b>　　2.3地址劃分</b></p><p>　　2.3.1信息點(diǎn)分析</p><p>　　表2-1 子網(wǎng)的劃分表</p><p>　　2.3.2子網(wǎng)需求劃分</p><p>　　在全網(wǎng)可采用IP+MAC綁定方式，全網(wǎng)分布式采用ACL，并按照部門劃分VLAN，劃分相應(yīng)的權(quán)限，保證學(xué)生機(jī)房用機(jī)

19、對(duì)教學(xué)辦公網(wǎng)沒(méi)有訪問(wèn)權(quán)限，只能訪問(wèn)校內(nèi)服務(wù)器及外網(wǎng)；IP分配：在辦公區(qū)采用靜態(tài)IP劃分，在學(xué)生區(qū)及移動(dòng)性較大的辦公區(qū)可補(bǔ)充性采用DHCP動(dòng)態(tài)獲得IP地址</p><p>　　為了提高IP地址的使用效率，引入了子網(wǎng)的概念。將一個(gè)網(wǎng)絡(luò)劃分為子網(wǎng)：采用借位的方式，從主機(jī)位最高位開始借位變?yōu)樾碌淖泳W(wǎng)位，所剩余的部分則仍為主機(jī)位。這使得IP地址的結(jié)構(gòu)分為三級(jí)地址結(jié)構(gòu)：網(wǎng)絡(luò)位、子網(wǎng)位和主機(jī)位。這種層次結(jié)構(gòu)便于IP地址分配和管

20、理。它的使用關(guān)鍵在于選擇合適的層次結(jié)構(gòu)--如何既能適應(yīng)各種現(xiàn)實(shí)的物理網(wǎng)絡(luò)規(guī)模，又能充分地利用IP地址空間。子網(wǎng)的劃分主要是根據(jù)子網(wǎng)掩碼來(lái)區(qū)分的，掩碼的作用就是用來(lái)告訴電腦把“大網(wǎng)”劃分為多少個(gè)“小網(wǎng)”，以及每個(gè)子網(wǎng)中的主機(jī)數(shù)目。如表2-2所示，子網(wǎng)的劃分。</p><p>　　表2-2 子網(wǎng)的劃分表</p><p>　　2.3.3學(xué)校VLAN需求劃分</p><p&g

21、t;　　在校園網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功能，能起到事半功倍的效果，對(duì)整個(gè)網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點(diǎn)：</p><p>　　VLAN 劃分，可以避免廣播風(fēng)暴，在接入網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點(diǎn)播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進(jìn)行，不會(huì)做無(wú)意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。</p><p

22、>　　VLAN 劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會(huì)對(duì)其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪問(wèn)，需要通過(guò)三層交換，這樣信息流就得到相當(dāng)好的控制。</p><p>　　網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的IP子網(wǎng)和VLAN，實(shí)現(xiàn)更加安全的對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。建立VLAN 和IP 子網(wǎng)的對(duì)應(yīng)關(guān)系。</p><p>　　提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少

23、站點(diǎn)的移動(dòng)和改變的開銷。</p><p>　　VLAN 間的子網(wǎng)訪問(wèn)，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實(shí)現(xiàn)，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。</p><p>　　根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)改造的實(shí)際情況，方案建議在核心網(wǎng)絡(luò)VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：</p>

24、<p>　　1、方便管理。為了更好的進(jìn)行VLAN規(guī)劃的實(shí)施，因此在網(wǎng)絡(luò)實(shí)施前期，要對(duì)網(wǎng)絡(luò)中不同區(qū)域的VLAN設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化到接入層網(wǎng)絡(luò)，這樣在這樣大型的校園網(wǎng)絡(luò)中如果以用戶群體來(lái)劃分VLAN的話，避免由于前期配置設(shè)備時(shí)復(fù)雜煩瑣，而且由于相同的用戶群體可能在不同的物理位置，導(dǎo)致造成整個(gè)校園網(wǎng)絡(luò)中VLAN劃分復(fù)雜，減輕管理和后期維護(hù)。所以方案建議網(wǎng)絡(luò)劃分VLAN方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少?gòu)V播域，又達(dá)到劃分VL

25、AN，方便管理的效果，對(duì)于后期網(wǎng)絡(luò)維護(hù)和升級(jí)具有十分現(xiàn)實(shí)的意義。</p><p>　　2、易于實(shí)施。按群體劃分VLAN在工程實(shí)施中就十分的方便，不會(huì)造成VLAN劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。</p><p>　　3、VLAN間路由采用三層交換設(shè)備進(jìn)行VLAN路由。以便不同VLAN間進(jìn)行訪問(wèn)，對(duì)于學(xué)校重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問(wèn)的時(shí)候，建議采用專

26、家級(jí)ACL（可同時(shí)基于VLAN號(hào)、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號(hào)、時(shí)間靈活組合限定的硬件ACL）來(lái)進(jìn)行訪問(wèn)權(quán)限設(shè)定，保障重要資料不被非法訪問(wèn)。</p><p>　　物理/鏈路層配置遵循下面的原則： </p><p>　　1.網(wǎng)絡(luò)設(shè)備互連的物理端口都應(yīng)該綁定端口的速率和全雙工模式； </p><p>　　2.建議所有的Vlan都不要穿透核心

27、層，所有的Vlan都將在匯聚層交換機(jī)上終結(jié)； </p><p>　　3.本實(shí)施方案建議不要啟用STP生成樹協(xié)議，由于所有的Vlan都已在匯聚層交換機(jī)終結(jié)，在二 層上并沒(méi)有環(huán)路存在，故無(wú)必要啟用；如果開啟基于每個(gè)Vlan的生成樹協(xié)議，廣播報(bào)文將會(huì)很多，影響核心交換機(jī)性能和網(wǎng)絡(luò)收斂時(shí)間； </p><p>　　4.所有核心層和匯聚層交換機(jī)之間的互連端口均設(shè)置為Trunk模式，但目前只容許互

28、連Vlan通過(guò)，以應(yīng)付將來(lái)有Vlan穿越核心層這種情況； </p><p>　　5.匯聚層交換機(jī)和接入交換機(jī)之間的互連端口設(shè)置為Trunk模式</p><p>　　表2-3 vlan的劃分及IP的分配表</p><p>　　另外，IP地址分為公網(wǎng)地址和私網(wǎng)地址兩類，公有地址（Public address）由Inter NIC（Internet Network In

29、formation Center 因特網(wǎng)信息中心）負(fù)責(zé)。這些IP地址分配給注冊(cè)并向Inter NIC提出申請(qǐng)的組織機(jī)構(gòu)。通過(guò)它直接訪問(wèn)因特網(wǎng)。ISP分配給學(xué)校的全局IP地址地址段為: 202.106.0.3 --202.106.0.200/24.,私有地址（Private address）屬于非注冊(cè)地址，專門為組織機(jī)構(gòu)內(nèi)部使用。以下列出留用的內(nèi)部私有地址</p><p>　　A類 10.0.0.0--10.255

30、.255.255</p><p>　　B類 172.16.0.0--172.31.255.255</p><p>　　C類 192.168.0.0--192.168.255.255</p><p><b>　　網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)</b></p><p>　　3.1選用的網(wǎng)絡(luò)技術(shù)</p><p>　　3.

31、1.1 VLAN虛擬局域網(wǎng)技術(shù)</p><p>　　VLAN（Virtual Local Area Network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN分成不同小的邏輯子網(wǎng)，每一個(gè)邏輯子網(wǎng)就是一個(gè)單獨(dú)的播域。簡(jiǎn)單地說(shuō)，就是將一個(gè)大的物理的局域網(wǎng)（LAN）在交換機(jī)上通過(guò)軟件劃分成若干個(gè)小的虛擬的局域網(wǎng)（VLAN）。因?yàn)榻粨Q機(jī)通信的原理就是要通過(guò)“廣播”來(lái)發(fā)現(xiàn)通往的目的MAC地址，以便在交換機(jī)內(nèi)部的MAC數(shù)據(jù)庫(kù)

32、建立MAC地址表，而廣播不能跨越不同網(wǎng)段。</p><p>　　VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏 輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理 上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè) VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段 。由VLAN的特

33、點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN除了能將網(wǎng)絡(luò)劃 分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問(wèn)。</p><p>　　通過(guò)劃分VLAN子網(wǎng)，能劃小了廣播域，避免了數(shù)據(jù)碰撞在大的物理LAN內(nèi)產(chǎn)生嚴(yán)重后果的可能，也

34、避免了廣播風(fēng)暴的產(chǎn)生。提高交換網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定。提高網(wǎng)絡(luò)安全性，通過(guò)劃分VLAN，LAN被劃分不同子網(wǎng)段，因此不能直接通信。必要的通信必須經(jīng)過(guò)路由來(lái)實(shí)現(xiàn)，因此可在路由器（或三層交換機(jī)）上配置訪問(wèn)列表來(lái)進(jìn)行跨子網(wǎng)段的授權(quán)訪問(wèn)，從而提高校園內(nèi)部網(wǎng)絡(luò)訪問(wèn)的安全性。方便網(wǎng)絡(luò)管理：采用VLAN技術(shù)來(lái)劃分校園網(wǎng)絡(luò)，一個(gè)VLAN可以根據(jù)不同的院系、辦公室或者服務(wù)器組將不同地理位置的工作站劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以

35、任意地將工作站在子網(wǎng)之間移動(dòng)，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。VLAN技術(shù)很好的解決了網(wǎng)絡(luò)管理的問(wèn)題，能實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化，從而更有效的進(jìn)行網(wǎng)絡(luò)監(jiān)控。如表2-3所示，該學(xué)校校園網(wǎng)絡(luò)Vlan的劃分及IP的分配。</p><p>　　3.1.2千兆位以太網(wǎng)技術(shù)（Gigabit Ethernet）  </p><p>　　千兆位以太網(wǎng)技術(shù)以簡(jiǎn)單的以太

36、網(wǎng)技術(shù)為基礎(chǔ)，為網(wǎng)絡(luò)主干提供1Gbps的帶寬。千兆位以太網(wǎng)技術(shù)以自然的方法來(lái)升級(jí)現(xiàn)有的以太網(wǎng)絡(luò)、工作站、管理工具和管理人員的技能。千兆位以太網(wǎng)與其他速度相當(dāng)?shù)母咚倬W(wǎng)絡(luò)技術(shù)相比，價(jià)格低，同時(shí)比較簡(jiǎn)單，例如保留以太網(wǎng)的幀格式、管理工具和對(duì)網(wǎng)絡(luò)概念上的認(rèn)識(shí)。  </p><p>　　千兆以太網(wǎng)是相當(dāng)成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展?，F(xiàn)在千兆位以太網(wǎng)成熟的標(biāo)準(zhǔn)為IEEE

37、 802.3z.</p><p>　　千兆位以太網(wǎng)能夠提供更高的帶寬，并且成為有強(qiáng)大伸縮性的以太網(wǎng)家族的第三個(gè)成員。利用交換機(jī)或路由器可以與現(xiàn)有低速的以太網(wǎng)用戶和設(shè)備連接起來(lái)，因?yàn)榍д孜灰蕴W(wǎng)的幀格式和幀尺寸大小等都與所有以太網(wǎng)技術(shù)相同，不需要對(duì)網(wǎng)絡(luò)做任何改變。這種升級(jí)方法使得千兆位以太網(wǎng)相對(duì)于其他高速網(wǎng)絡(luò)技術(shù)而言，在經(jīng)濟(jì)和管理性能方面都是較好的選擇。 </p><p>

38、;　　千兆以太網(wǎng)技術(shù)的優(yōu)點(diǎn)：  </p><p>　　技術(shù)簡(jiǎn)單，例如保留以太網(wǎng)的幀格式、管理工具和對(duì)網(wǎng)絡(luò)概念上的認(rèn)識(shí).便于升級(jí)，從現(xiàn)有的傳統(tǒng)以太網(wǎng)和快速以太網(wǎng)可以平滑地過(guò)渡到千兆以太網(wǎng)，并不需要掌握新的配置、管理與排除故障技術(shù)；網(wǎng)絡(luò)投資可以得到保護(hù)，無(wú)需對(duì)用戶進(jìn)行再培訓(xùn)，也無(wú)需為額外的網(wǎng)絡(luò)協(xié)議進(jìn)行投資；千兆以太網(wǎng)有良好的互操作性，并具有向后兼容性;端口價(jià)格相對(duì)較低；可以提供10倍于快速以太網(wǎng)的

39、傳輸速度。  </p><p>　　綜上所述，在選擇網(wǎng)絡(luò)技術(shù)時(shí)應(yīng)該考慮如下：長(zhǎng)遠(yuǎn)來(lái)看如何保護(hù)現(xiàn)有投資。保護(hù)現(xiàn)有投資的有效途徑就是在將來(lái)網(wǎng)絡(luò)技術(shù)升級(jí)時(shí)還能使用現(xiàn)有的網(wǎng)絡(luò)技術(shù)和產(chǎn)品。如同計(jì)算機(jī)的發(fā)展速度一樣，網(wǎng)絡(luò)技術(shù)的發(fā)展也是非常迅速的。如果在現(xiàn)有技術(shù)不能合理保證在將來(lái)網(wǎng)絡(luò)升級(jí)后還能夠使用，那么將會(huì)帶來(lái)極大的資金浪費(fèi)。從目前的趨勢(shì)來(lái)看，采用千兆以太網(wǎng)技術(shù)是最適宜的</p><p

40、>　　3.1.3 ATM——異步傳輸模式 </p><p>　　ATM(Asynchronous Transfer Mode）顧名思義就是異步傳輸模式，就是國(guó)際電信聯(lián)盟ITU-T制定的標(biāo)準(zhǔn)，實(shí)際上在80年代中期，人們就已經(jīng)開始進(jìn)行快速分組交換的實(shí)驗(yàn)，建立了多種命名不相同的模型，歐洲重在圖象通信把相應(yīng)的技術(shù)稱為異步時(shí)分復(fù)用（ATD）美國(guó)重在高速數(shù)據(jù)通信把相應(yīng)的技術(shù)稱為快速分組交換（FPS），國(guó)際電聯(lián)經(jīng)過(guò)協(xié)調(diào)研

41、究，于1988年正式命名為Asynchronous Transfer Mode(ATM) 技術(shù)，推薦其為寬帶綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)B-ISDN的信息傳輸模式。</p><p>　　ATM技術(shù)具有如下特點(diǎn)：</p><p>　　1．實(shí)現(xiàn)網(wǎng)絡(luò)傳輸有連接服務(wù)，實(shí)現(xiàn)服務(wù)質(zhì)量保證（QoS）。</p><p>　　2．交換吞吐量大、帶寬利用率高。</p><p>

42、;　　3．具有靈活的組網(wǎng)拓?fù)浣Y(jié)構(gòu)和負(fù)載平衡能力，伸縮性、可靠性極高。</p><p>　　4．ATM是現(xiàn)今唯一可同時(shí)應(yīng)用于局域網(wǎng)、廣域網(wǎng)兩種網(wǎng)絡(luò)應(yīng)用領(lǐng)域的網(wǎng)絡(luò)技術(shù)，它將局域網(wǎng)與廣域網(wǎng)技術(shù)統(tǒng)一。它的速率可達(dá)千兆位，即1000Mbps。</p><p>　　使用ATM異步傳輸模式，能夠?qū)M足校園網(wǎng)設(shè)計(jì)中的各交換機(jī)之間的連接服務(wù)，有較大的吞吐量，能夠保證帶寬。將局域網(wǎng)中的傳輸速率達(dá)到1000Mb

43、ps。</p><p>　　3.1.4 網(wǎng)絡(luò)QoS設(shè)計(jì)</p><p>　　為確保用戶各種關(guān)鍵業(yè)務(wù)的正常開展，必須采取全面而系統(tǒng)的QoS設(shè)計(jì)(提供端到端QoS服務(wù))，以保證重要的數(shù)據(jù)流在網(wǎng)絡(luò)發(fā)生擁塞時(shí)獲得有保證的吞吐量和最低的延時(shí)；為了保證端到端用戶的服務(wù)質(zhì)量，因此要求端到端數(shù)據(jù)流經(jīng)的所有網(wǎng)絡(luò)設(shè)備都支持實(shí)施的QoS策略，核心設(shè)備是多個(gè)服務(wù)器接入的設(shè)備，并且擔(dān)負(fù)著全網(wǎng)數(shù)據(jù)的交換，QoS的能力

44、影響著全網(wǎng)的服務(wù)質(zhì)量保障能力。</p><p>　　使用的交換機(jī)支持豐富的QoS功能，能確保重要業(yè)務(wù)量不受延遲或丟棄，同時(shí)又充分利用現(xiàn)有的帶寬以保證網(wǎng)絡(luò)的高效運(yùn)行。</p><p>　　例如，將下載一個(gè)大型文件的任務(wù)設(shè)置到交換機(jī)一個(gè)端口，而在該交換機(jī)的另外一個(gè)端口進(jìn)行語(yǔ)音通信，為減少語(yǔ)音通信時(shí)延，保證通話質(zhì)量，可在整個(gè)網(wǎng)絡(luò)中對(duì)各種業(yè)務(wù)進(jìn)行分類和優(yōu)先級(jí)劃分。在校園網(wǎng)絡(luò)中，由于信息資源集中于網(wǎng)

45、絡(luò)中心，為保證全網(wǎng)的QoS，要求資源中心核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)均支持第三層的QoS標(biāo)注方案，而二層的802.1P標(biāo)記對(duì)于這樣的網(wǎng)絡(luò)并沒(méi)有實(shí)際意義，因?yàn)?02.1P的標(biāo)記不能在交換機(jī)之間傳遞，只能在本機(jī)上有用。</p><p>　　多業(yè)務(wù)交換機(jī)支持基于基于DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng)，支持IP TOS、SP、WRR等完整的QoS策略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯，另外提供靈活的端口隊(duì)

46、列管理機(jī)制，端口多級(jí)擁塞設(shè)置;具備MAC流、IP流、應(yīng)用流、時(shí)間流等多層流分類和流控制能力，實(shí)現(xiàn)帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多種流策略，支持網(wǎng)絡(luò)根據(jù)不同的應(yīng)用、以及不同應(yīng)用所需要的服務(wù)質(zhì)量特性，提供服務(wù)。</p><p>　　通過(guò)從核心到接入設(shè)備全程對(duì)QoS的良好支持，全部硬件提供二到四層數(shù)據(jù)流交換，實(shí)現(xiàn)應(yīng)用感知的功能，給予多媒體辦公應(yīng)用提供透明的QoS保障，確保真正的端到端的QoS的實(shí)現(xiàn)。</p>&l

47、t;p>　　3.1.5 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換</p><p>　　網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了lP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。雖然NAT可以借助于某些代理服務(wù)器來(lái)實(shí)現(xiàn)，但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能，很多時(shí)候都是

48、在路由器上來(lái)實(shí)現(xiàn)的。 </p><p>　　隨著接入Internet的計(jì)算機(jī)數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實(shí)上，除了中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(CERNET)外，一般用戶幾乎申請(qǐng)不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺(tái)計(jì)算機(jī)的大型局域網(wǎng)用戶，當(dāng)他們申請(qǐng)IP地址時(shí)，所分配的地址也不過(guò)只有幾個(gè)或十幾個(gè)IP地址。顯然，這樣少的IP地址根本無(wú)法滿足網(wǎng)絡(luò)用戶的需求，于是也就產(chǎn)生了NAT技

49、術(shù)。</p><p>　　NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat 和 端口多路復(fù)用OverLoad。</p><p>　　靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)。</p

50、><p>　　動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址對(duì)是不確定的，而是隨機(jī)的，所有被授權(quán)訪問(wèn)上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。</p>

51、;<p>　　端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)

52、用最多的就是端口多路復(fù)用方式。</p><p>　　3.1.6 ACL訪問(wèn)控制</p><p>　　訪問(wèn)控制列表（Access Control List，ACL） 是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。 <

53、/p><p>　　信息點(diǎn)間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。ACL技術(shù)用在了核心交換機(jī)的SW0上面，不允許學(xué)生公寓區(qū)訪問(wèn)行政區(qū)，其它的都可以。</p><p>　　對(duì)信息的權(quán)限的控制，阻止了非授權(quán)用

54、戶進(jìn)行的信息的瀏覽，修改甚至破壞。適當(dāng)?shù)乜刂茖?duì)Web和FTP內(nèi)容的訪問(wèn)是安全運(yùn)行Web服務(wù)器的關(guān)鍵。使用 Windows和IIS中的安全功能，您可以有效地控制用戶訪問(wèn)您Web和FTP內(nèi)容的方式?？梢钥刂贫嗉?jí)訪問(wèn)，從整個(gè)網(wǎng)站和FTP站點(diǎn)到單獨(dú)的文件。每個(gè)帳戶均被授予用戶特權(quán)和權(quán)限。用戶特權(quán)是指在計(jì)算機(jī)或網(wǎng)絡(luò)上執(zhí)行特定操作的權(quán)力。權(quán)限是與對(duì)象（如文件或文件夾）關(guān)聯(lián)的規(guī)則，用于控制哪些帳戶可以獲得對(duì)象的訪問(wèn)權(quán)限。</p><

55、;p>　　3.2傳輸線路及介質(zhì)</p><p><b>　　3.2.1線路選擇</b></p><p>　　建筑系統(tǒng)間的布線主要的就是對(duì)各主要建筑屋之間的連接，考慮的問(wèn)題有多個(gè)方面：帶寬的需求，外部自然地形的匹配，外部環(huán)境的等。我們通過(guò)上面的需求分析，同時(shí)結(jié)合下面的對(duì)其他因數(shù)的比較，得出建筑物之間最好用1000MB/S的光纖進(jìn)行連接。</p>&l

56、t;p>　　根據(jù)各網(wǎng)絡(luò)內(nèi)各建筑的方位，可以得出布線線路。由圖書館網(wǎng)絡(luò)中心核心交換機(jī)分別連接到計(jì)算機(jī)樓，辦公樓的匯聚交換機(jī)，學(xué)生宿舍的交換機(jī)線路由辦公樓交換機(jī)引出。</p><p>　　3.2.2傳輸介質(zhì)選擇</p><p>　　由上表列出了千兆以太網(wǎng)現(xiàn)在支持的距離標(biāo)準(zhǔn)。</p><p>　　我們可以選擇單模光纖。我們使用了波長(zhǎng)為1300um的單模光纖，因?yàn)檗k公

57、樓與學(xué)生公寓的距離800m，以及圖書館至計(jì)算機(jī)樓的傳輸距離600m都超過(guò)了多模光纖的傳輸能力，同時(shí)單模光纖的傳輸距離在3000m以內(nèi)對(duì)信號(hào)衰減不會(huì)很明顯。單模信號(hào)的距離損失比多模的小，根據(jù)差分模式延遲的原理分析，單模光纖的光源為激光源，是沿纖芯階躍式傳播，由于多模光纖中玻璃介質(zhì)的缺陷，使得光束在來(lái)回折射的過(guò)程中造成能量的距大衰減。這經(jīng)分析我們選用1000BASE-LX波長(zhǎng)為1300nm帶寬為160~200MHZ的單模光纖。</p&

58、gt;<p>　　3.3 網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備選擇</p><p>　　3.3.1交換機(jī)的選擇</p><p><b>　　1.核心層交換機(jī)</b></p><p>　　由于校園網(wǎng)絡(luò)規(guī)模較大，需提供多媒體辦公、圖書資料檢索、遠(yuǎn)程互聯(lián)、教育網(wǎng)資源共享等吞吐量較大的網(wǎng)絡(luò)應(yīng)用，為便于管理，選用的交換機(jī)作為網(wǎng)絡(luò)組建交換設(shè)備。選用1臺(tái)RG

59、-S6800E交換機(jī)作為核心交換機(jī)實(shí)現(xiàn)1000M做主干100M到桌面的需求。</p><p>　　RG-S6800E是銳捷網(wǎng)絡(luò)推出的基于NP+ASIC構(gòu)架的新一代多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)，RG-S6800E在保障高性能大容量的基礎(chǔ)上提供強(qiáng)大的安全防護(hù)能力，并且擁有業(yè)務(wù)按需疊加擴(kuò)展能力，達(dá)到業(yè)務(wù)和性能并重的設(shè)計(jì)需求。目前提供10豎插槽設(shè)計(jì)和6橫插槽設(shè)計(jì)兩種主機(jī)：RG-S6810E和RG-S6806E。 &

60、lt;/p><p>　　RG-S6800E系列多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)提供2.4T/1.2T背板帶寬，并支持將來(lái)擴(kuò)展到4.8T/2.4T的能力，高達(dá)857Mpps/428Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無(wú)阻塞的數(shù)據(jù)交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇。 RG-S6800E交換機(jī)通過(guò)先進(jìn)的第三代高性能

61、引擎可硬件支持策略路由、IPV6等協(xié)議，并可擴(kuò)展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等豐富的業(yè)務(wù)功能，滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。</p><p><b>　　2.匯聚層交換機(jī)</b></p><p>　　匯聚層交換機(jī)也應(yīng)該采用具有路由功能的多層交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段

62、的目的。為滿足辦公，計(jì)算機(jī)機(jī)房，學(xué)生宿舍等的需求。選用5臺(tái)RG-S5760系列 交換機(jī)作為匯聚層交換機(jī)</p><p>　　RG-S5760系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全的全千兆智能機(jī)架式多層交換機(jī)，十分適合在企業(yè)網(wǎng)的接入層或者匯聚層使用。同時(shí)支持IPv4/IPv6雙棧，為IPv4網(wǎng)絡(luò)的建設(shè)、IPv4向IPv6網(wǎng)絡(luò)過(guò)渡、以及IPv6網(wǎng)絡(luò)的建設(shè)和通信提供了最直接和最方便靈活的技術(shù)實(shí)現(xiàn)和方案保障。

63、   </p><p>　　全千兆的端口形態(tài)，機(jī)身自帶4個(gè)復(fù)用的SFP千兆光纖接口，不僅滿足網(wǎng)絡(luò)的彈性擴(kuò)展，和高帶寬傳輸需要，也滿足網(wǎng)絡(luò)建設(shè)中不同傳輸介質(zhì)的連接需要。特別適合高帶寬、高性能和靈活擴(kuò)展的大型網(wǎng)絡(luò)匯聚層、中型網(wǎng)絡(luò)核心層、以及數(shù)據(jù)中心服務(wù)器群的接入使用。  </p><p>　　硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換和功能

64、特性，為IPv6網(wǎng)絡(luò)之間的通信提供了豐富的Tunnel技術(shù)，可靈活應(yīng)用于純IPv4網(wǎng)絡(luò)、純IPv6網(wǎng)絡(luò)、IPv4與IPv6共存的網(wǎng)絡(luò)，能充分滿足當(dāng)前園區(qū)網(wǎng)從IPv4向IPv6過(guò)渡的需要。   </p><p>　　提供二到七層的智能的業(yè)務(wù)流分類、完善的服務(wù)質(zhì)量（QoS）保證和組播應(yīng)用管理特性。在提供高性能、多智能的同時(shí)，其內(nèi)在的安全防御機(jī)制和用戶接入管理能力，更可有效防止和控制病毒傳

65、播和網(wǎng)絡(luò)攻擊，控制非法用戶接入網(wǎng)絡(luò)，保證合法用戶合理地使用網(wǎng)絡(luò)資源，并可以根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制策略，充分保障了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運(yùn)營(yíng)。</p><p><b>　　3.接入層交換機(jī)</b></p><p>　　接入層交換機(jī)放置于樓層的設(shè)備間，用于終端用戶的接入。應(yīng)該能夠提供高密度的接入，對(duì)環(huán)境的適應(yīng)能力強(qiáng)，運(yùn)行穩(wěn)定。統(tǒng)計(jì)了局域網(wǎng)內(nèi)各建筑

66、物的樓層數(shù)量，決定選用30臺(tái)RG-S20交換機(jī)作為接入層交換機(jī)。</p><p>　　產(chǎn)品概述 RG-S20系列是全線速智能型增強(qiáng)網(wǎng)管交換機(jī)，具有特別豐富而強(qiáng)大的網(wǎng)管功能，在實(shí)現(xiàn)流量線速交換的同時(shí)，可以通過(guò)多重設(shè)置方式進(jìn)行網(wǎng)管操作，實(shí)現(xiàn)802.1Q VLAN、保護(hù)端口、鏈路聚合、Spanning Tree、端口監(jiān)控設(shè)置、靜態(tài)地址管理、廣播風(fēng)暴控制、端口動(dòng)態(tài)MAC地址鎖、端口MAC地址綁定、端口IGMP屬性設(shè)置、

67、802.1p優(yōu)先級(jí)等各種管理。 RG-S20系列交換機(jī)在設(shè)置豐富的管理策略時(shí)，可針對(duì)用戶的不同使用情況進(jìn)行靈活的端口帶寬分配，并采用業(yè)界最先進(jìn)的802.1x安全接入控制策略，提供用戶接入安全保障。 RG-S20系列交換機(jī)靈活的上鏈端口擴(kuò)展能力、端口帶寬分配、安全的用戶接入控制使該系列交換機(jī)特別適合于高校、中小學(xué)、金融網(wǎng)點(diǎn)、中小企業(yè)、政府、寬帶社區(qū)等多種應(yīng)用場(chǎng)合。</p><p>　　3.3.2路由器的選擇

68、</p><p>　　考慮Internet出口路由器的配置。決定選用一臺(tái)銳捷RSR-08路由器。它是校園網(wǎng)對(duì)外的出口，也可以作為保護(hù)校園網(wǎng)的第一道防火墻。</p><p>　　銳捷RSR-08路由器是高性能、通用的骨干匯聚路由器，具有高背板帶寬、高包轉(zhuǎn)發(fā)率、結(jié)構(gòu)緊湊、端口密度高等特點(diǎn)，并能提供全范圍的光纖和銅纜接口。RSR-08路由器具有強(qiáng)大的業(yè)務(wù)能力，可以滿足目前所有的城域匯聚和接入需求

69、，提供多協(xié)議標(biāo)準(zhǔn)交換 (MPLS)第2或3層隧道技術(shù)、動(dòng)態(tài)帶寬控制和面向連接的數(shù)據(jù)收集體系。作為多協(xié)議標(biāo)記（MPLS）PE路由器，他們使提供商的基于MPLS的業(yè)務(wù)具有高度的可擴(kuò)展性和可靠性。通過(guò)使用VPLS，可以利用原有網(wǎng)絡(luò)和以太網(wǎng)基礎(chǔ)設(shè)施提供VOIP、互聯(lián)網(wǎng)接入、視頻以及多點(diǎn)虛擬專用網(wǎng)（VPN）等融合業(yè)務(wù)。 </p><p>　　銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網(wǎng)，速率

70、高達(dá)OC- 48。部署在各種應(yīng)用中，RSR-08路由器可用于搭建骨干匯聚路由器和核心層網(wǎng)絡(luò)，為用戶提供綜合的、高性能、功能強(qiáng)大的服務(wù), 并提供高可用性網(wǎng)絡(luò)所需的冗余支持</p><p>　　3.3.3防火墻的選擇</p><p>　　為了擴(kuò)展的需要，所以采用了RG-WALL1000。RG-WALL1000采用銳捷網(wǎng)絡(luò)獨(dú)創(chuàng)的分類算法（Classification Algorithm

71、）設(shè)計(jì)的新一代安全產(chǎn)品——第三類防火墻，支持?jǐn)U展的狀態(tài)檢測(cè)（Stateful Inspection）技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時(shí)在啟用動(dòng)態(tài)端口應(yīng)用程序(如VoIP, H323等)時(shí)，可提供強(qiáng)有力的安全信道。 </p><p>　　采用銳捷獨(dú)創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受策略數(shù)和會(huì)話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會(huì)影響網(wǎng)絡(luò)速度；同時(shí)，RG-WALL在內(nèi)核層處

72、理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會(huì)成為網(wǎng)絡(luò)流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測(cè)功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測(cè)功能不會(huì)影響防火墻的性能。RG-WALL的主要功能包括：擴(kuò)展的狀態(tài)檢測(cè)功能、防范入侵及其它（如URL過(guò)濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計(jì)/報(bào)告等）附加功能。</p><p>　　3.3.4服務(wù)器的選擇</p><p>　　

73、華為FusionServer RH2288H V2-8</p><p>　　國(guó)際先進(jìn)、國(guó)內(nèi)首創(chuàng)的一體化信息化平臺(tái),嵌入式linux結(jié)構(gòu)、抗病毒、抗攻擊; 主要功能:防火墻、VPN、上網(wǎng)行為管理、網(wǎng)站、郵件、郵件監(jiān)控、病毒垃圾郵件過(guò)濾、FTP、文件服務(wù)器、帶寬管理、負(fù)載均衡等多種功能,企業(yè)信息化性價(jià)比極高整體解決方案</p><p><b>　　問(wèn)題延伸</b><

74、/p><p><b>　　4.1問(wèn)題呈現(xiàn)：</b></p><p>　　說(shuō)明當(dāng)這個(gè)網(wǎng)絡(luò)的規(guī)模擴(kuò)大10倍或更多時(shí)，在網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全方面會(huì)出現(xiàn)什么問(wèn)題？應(yīng)該怎么解決？</p><p>　　4.2問(wèn)題分析及解決</p><p>　　4.2.1網(wǎng)絡(luò)性能問(wèn)題</p><p>　　1.網(wǎng)絡(luò)規(guī)模擴(kuò)大，IP地址需

75、求量增大</p><p><b>　　解決方案：</b></p><p>　　IP地址的統(tǒng)一、合理規(guī)劃以及整個(gè)網(wǎng)絡(luò)向IPv6的演進(jìn)是關(guān)系到整體分層網(wǎng)絡(luò)穩(wěn)定、快速收斂的關(guān)鍵，也是某職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)。IP地址規(guī)劃的好壞，不僅影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，更影響到網(wǎng)絡(luò)的性能和穩(wěn)定以及網(wǎng)絡(luò)的擴(kuò)展和管理，也必將直接影響到相關(guān)新業(yè)務(wù)的開拓和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步可

76、持續(xù)性發(fā)展。 劃分時(shí)注意使用VLAN，充分節(jié)約IP地址，使路由交換機(jī)上能夠采用聚合進(jìn)行路由的合并，減少路由表的大小。出口到互聯(lián)網(wǎng)可以采用NAT防火墻上做地址轉(zhuǎn)換實(shí)現(xiàn)。校區(qū)內(nèi)接入到同一匯聚層交換機(jī)的區(qū)域建議采用連續(xù)IP地址段，以便做路由匯聚。 </p><p>　　IP地址的分配原則如下： </p><p>　?。?）給三層交換機(jī)設(shè)備互連的點(diǎn)對(duì)點(diǎn)IP地址分配1個(gè)C類地址，提供足夠的擴(kuò)展性

77、 </p><p>　?。?）考慮到以后的網(wǎng)絡(luò)擴(kuò)展規(guī)模，二層交換機(jī)設(shè)備的管理IP地址分配1個(gè)C類IP地址； </p><p>　?。?）可以考慮為學(xué)校校園網(wǎng)分配若干個(gè)C類私有地址段。 </p><p>　　服務(wù)器集群和辦公樓的IP獲取方式為手動(dòng)分配，其他的均為通過(guò)DHCP獲取。上網(wǎng)方式均采用NAT方式</p><p>　　2.數(shù)據(jù)吞吐量過(guò)

78、大，核心網(wǎng)帶寬匱乏。</p><p><b>　　解決方案</b></p><p>　　建立一條高速的、多能的、可靠的、易擴(kuò)展的主干網(wǎng)絡(luò)，解決目前存在的帶寬問(wèn)題，適應(yīng)未來(lái)發(fā)展。如果網(wǎng)絡(luò)規(guī)模擴(kuò)大，可直接在主干網(wǎng)絡(luò)中添加核心交換機(jī)，而不用更換設(shè)備。</p><p>　　對(duì)于校園網(wǎng)這種規(guī)模大、集成度高的網(wǎng)絡(luò)，我們建議采用Client/Server結(jié)構(gòu)

79、模式，即將網(wǎng)絡(luò)結(jié)構(gòu)建立在各類信息分布處理和集中管理相結(jié)合的方式上；由于將數(shù)據(jù)處理工作放在各客戶機(jī)(Client)獨(dú)立處理，減輕了服務(wù)器（Server)的負(fù)擔(dān)，設(shè)備的性能可得到了良好的應(yīng)用，而且資源信息可以分布共享、集中管理，使得系統(tǒng)的可靠性、開放性不單單依賴服務(wù)器，互補(bǔ)性很強(qiáng)。這種結(jié)構(gòu)靈活性好，速度快，可靠性高，是當(dāng)今流行的網(wǎng)絡(luò)系統(tǒng)方案。</p><p>　　3. 由于缺乏帶寬限制和優(yōu)先級(jí)設(shè)置，對(duì)帶寬資源的大量占

80、用導(dǎo)致科研等重要應(yīng)用無(wú)法進(jìn)行</p><p><b>　　解決方案</b></p><p>　　引入網(wǎng)絡(luò)管理監(jiān)控軟件，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級(jí)ACL、時(shí)間ACL、端口ARP報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對(duì)訪問(wèn)者進(jìn)行控制、限制非授權(quán)用戶通信的需求?？伸`活控制二－七層數(shù)據(jù)報(bào)文，使得任何一個(gè)用戶P

81、C上的任何一種應(yīng)用報(bào)文通過(guò)網(wǎng)絡(luò)都能得到有效控制，充分保障了網(wǎng)絡(luò)的安全和合理化使用。</p><p>　　4.2.2網(wǎng)絡(luò)安全問(wèn)題</p><p>　　1. 計(jì)算機(jī)病毒攻擊；</p><p><b>　　解決方案：</b></p><p>　　提供一套完整的校園網(wǎng)寬帶管理該方案，全面采用IEEE 802.1X認(rèn)證功能，提供了

82、一個(gè)融合防火墻、接入服務(wù)器、訪問(wèn)控制、認(rèn)證、計(jì)費(fèi)功能的強(qiáng)大系統(tǒng)，對(duì)學(xué)校存在的每個(gè)問(wèn)題都能提供完全的應(yīng)對(duì)策略。 </p><p>　　控制網(wǎng)絡(luò)病毒。 統(tǒng)一對(duì)接入層交換機(jī)做動(dòng)態(tài)下發(fā)安全策略，輕松有效的控制網(wǎng)絡(luò)病毒，使網(wǎng)絡(luò)保持暢通。在匯聚、核心交換設(shè)備設(shè)置由硬件實(shí)現(xiàn)ACL，對(duì)病毒進(jìn)行過(guò)濾，我們選用的匯聚、核心交換設(shè)備都支持SPOH，所以在使用ACL時(shí)將不會(huì)影響整個(gè)交換機(jī)的性能。 </p><

83、p>　　抵御網(wǎng)絡(luò)攻擊。 結(jié)合網(wǎng)絡(luò)攻擊的檢測(cè)系統(tǒng)，能夠抵御日益增多的內(nèi)部網(wǎng)絡(luò)攻擊，并且自動(dòng)對(duì)用戶做出相應(yīng)的控制動(dòng)作，保證網(wǎng)絡(luò)安全。 </p><p>　　安全認(rèn)證到桌面。 采用六元素的自動(dòng)綁定、靜態(tài)綁定、動(dòng)態(tài)綁定相結(jié)合，可以確保用戶入網(wǎng)時(shí)身份唯一，并且避免了IP沖突。 </p><p>　　管理分級(jí)授權(quán)。 不同職能的管理者使用同一套系統(tǒng)時(shí)可以得到不同的操作界面以及使用權(quán)限，避

84、免了管理的安全隱患。</p><p>　　2.拒絕服務(wù)攻擊（Denial of Service Attack）</p><p><b>　　解決方案：</b></p><p>　　網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn)TCP SYN泛濫攻擊、Smurf攻擊等；</p><p>　　網(wǎng)絡(luò)設(shè)備的防TCP SYN的方法主要是

85、配置網(wǎng)絡(luò)設(shè)備TCP SYN臨界值，若多于這個(gè)臨界值，則丟棄多余的TCP SYN數(shù)據(jù)包；</p><p>　　防Smurf攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā)ICMP echo請(qǐng)求(directed broadcast)和設(shè)置ICMP包臨界值，避免成為一個(gè)Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。</p><p>　　正確配置路由器能夠有效防止DoS攻擊</p><p>　　使用擴(kuò)展訪

86、問(wèn)列表，擴(kuò)展訪問(wèn)列表是防止DoS攻擊的有效工具。它既可以用來(lái)探測(cè)DoS攻擊的類型，也可以阻止DoS攻擊。Show ip access-list命令能夠顯示每個(gè)擴(kuò)展訪問(wèn)列表的匹配數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的類型，用戶就可以確定DoS攻擊的種類。如果網(wǎng)絡(luò)中出現(xiàn)了大量建立TCP連接的請(qǐng)求，這表明網(wǎng)絡(luò)受到了SYN Flood攻擊，這時(shí)用戶就可以改變?cè)L問(wèn)列表的配置，阻止DoS攻擊。</p><p>　　使用QoS ，使用服務(wù)質(zhì)量?jī)?yōu)

87、化(QoS)特征，如加權(quán)公平隊(duì)列(WFQ)、承諾訪問(wèn)速率(CAR)、一般流量整形(GTS)以及定制隊(duì)列(CQ)等，都可以有效阻止DoS攻擊。需要注意的是，不同的QoS策略對(duì)付不同DoS攻擊的效果是有差別的。例如，WFQ對(duì)付Ping Flood攻擊要比防止SYN Flood攻擊更有效，這是因?yàn)镻ing Flood通常會(huì)在WFQ中表現(xiàn)為一個(gè)單獨(dú)的傳輸隊(duì)列，而SYN Flood攻擊中的每一個(gè)數(shù)據(jù)包都會(huì)表現(xiàn)為一個(gè)單獨(dú)的數(shù)據(jù)流。此外，人們可以利用

88、CAR來(lái)限制ICMP數(shù)據(jù)包流量的速度，防止Smurf攻擊，也可以用來(lái)限制SYN數(shù)據(jù)包的流量速度，防止SYN Flood攻擊。使用QoS防止DoS攻擊，需要用戶弄清楚QoS以及DoS攻擊的原理，這樣才能針對(duì)DoS攻擊的不同類型采取相應(yīng)的防范措施。</p><p>　　使用單一地址逆向轉(zhuǎn)發(fā)，逆向轉(zhuǎn)發(fā)(RPF)是路由器的一個(gè)輸入功能，該功能用來(lái)檢查路由器接口所接收的每一個(gè)數(shù)據(jù)包。如果路由器接收到一個(gè)源IP地址為10.1

89、0.10.1的數(shù)據(jù)包，但是CEF(Cisco Express Forwarding)路由表中沒(méi)有為該IP地址提供任何路由信息，路由器就會(huì)丟棄該數(shù)據(jù)包，因此逆向轉(zhuǎn)發(fā)能夠阻止Smurf攻擊和其他基于IP地址偽裝的攻擊。</p><p>　　使用TCP攔截 ，在TCP連接請(qǐng)求到達(dá)目標(biāo)主機(jī)之前，TCP攔截通過(guò)攔截和驗(yàn)證來(lái)阻止這種攻擊。TCP攔截可以在攔截和監(jiān)視兩種模式下工作。在攔截模式下，路由器攔截到達(dá)的TCP同步請(qǐng)求，

90、并代表服務(wù)器建立與客戶機(jī)的連接，如果連接成功，則代表客戶機(jī)建立與服務(wù)器的連接，并將兩個(gè)連接進(jìn)行透明合并。在整個(gè)連接期間，路由器會(huì)一直攔截和發(fā)送數(shù)據(jù)包。對(duì)于非法的連接請(qǐng)求，路由器提供更為嚴(yán)格的對(duì)于half-open的超時(shí)限制，以防止自身的資源被SYN攻擊耗盡。在監(jiān)視模式下，路由器被動(dòng)地觀察流經(jīng)路由器的連接請(qǐng)求，如果連接超過(guò)了所配置的建立時(shí)間，路由器就會(huì)關(guān)閉此連接。</p><p><b>　　3.“黑客”

91、的攻擊</b></p><p><b>　　解決方案</b></p><p>　　部署入侵檢測(cè)/保護(hù)系統(tǒng)，防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無(wú)法滿足企業(yè)的安全需要，部署了防火墻的安全保障</p><p>　　體系仍需要進(jìn)一步完善。 <

92、/p><p>　　傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個(gè)方面： </p><p>　　防火墻作為訪問(wèn)控制設(shè)備，無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對(duì) WEB 服務(wù)的 Code Red 蠕蟲等。</p><p>　　有些主動(dòng)或被動(dòng)的攻擊行為是來(lái)自防火墻內(nèi)部的，防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。 </p><p>　　作為網(wǎng)絡(luò)訪問(wèn)控制設(shè)

93、備，受限于功能設(shè)計(jì)，防火墻難以識(shí)別復(fù)雜的網(wǎng)絡(luò)攻擊并保存相關(guān)信息，以協(xié)助后續(xù)調(diào)查和取證工作的開展。</p><p>　　入侵檢測(cè)系統(tǒng) IDS（ Intrusion Detection System）是繼防火墻之后迅猛發(fā)展起來(lái)的一類安全產(chǎn)品，它通過(guò)檢測(cè)、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時(shí)識(shí)別入侵行為和未授權(quán)網(wǎng)絡(luò)流量并實(shí)時(shí)報(bào)警。 </p><p&g

94、t;　　IDS 彌補(bǔ)了防火墻的某些設(shè)計(jì)和功能缺陷，側(cè)重網(wǎng)絡(luò)監(jiān)控，注重安全審計(jì)，適合對(duì)網(wǎng)絡(luò)安全狀態(tài)的了解，但隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，IDS 也面臨著新的挑戰(zhàn)： </p><p>　　IDS 旁路在網(wǎng)絡(luò)上，當(dāng)它檢測(cè)出黑客入侵攻擊時(shí)，攻擊已到達(dá)目標(biāo)造成損失。IDS 無(wú)法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS 無(wú)能為力。 </p><p>　　蠕蟲、病毒、DDoS 攻擊、垃圾郵件等混合

95、威脅越來(lái)越多，傳播速度加快，留給人們響應(yīng)的時(shí)間越來(lái)越短，使用戶來(lái)不及對(duì)入侵做出響應(yīng)，往往造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS 無(wú)法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外。</p><p>　　為了彌補(bǔ)防火墻和IDS的缺陷，入侵保護(hù)系統(tǒng) IPS（Intrusion Prevention System）作為IDS的替代產(chǎn)品應(yīng)運(yùn)而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻

96、擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。</p><p><b>　　設(shè)計(jì)總結(jié)</b></p><p>　　本畢業(yè)設(shè)計(jì)從校園網(wǎng)的建設(shè)思想、目標(biāo)?？梢赃x用的的介紹和選擇等多方面的論述，校園網(wǎng)絡(luò)建設(shè)作為一項(xiàng)重要的系統(tǒng)工程，它的所用到的各種技術(shù)是多方面的，即有網(wǎng)絡(luò)技術(shù)、工程施工技術(shù)，也有管理制度等各個(gè)方面的知識(shí)。，在論

97、述中不可能面面具到，同時(shí)也由于本人的知識(shí)水平有限，文中的不足和錯(cuò)誤在所難免，敬請(qǐng)各位老師多多指點(diǎn)和更正</p><p>　　通過(guò)這次設(shè)計(jì)，我接觸到了很多網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備的知識(shí),同時(shí)也學(xué)到了很多，增長(zhǎng)了見識(shí)，認(rèn)識(shí)到自己對(duì)相關(guān)知識(shí)的匱乏，以后還需要更多的努力，學(xué)習(xí)更多的專業(yè)知識(shí)。雖然我們盡了最大的努力，但是由于經(jīng)驗(yàn)不足，及學(xué)習(xí)過(guò)程中的疏忽從整體上說(shuō)，通過(guò)以上的分析布局已基本上展現(xiàn)了網(wǎng)絡(luò)工程硬件設(shè)計(jì)的全部過(guò)程，但是我

98、們討論課題的局限性，還有很多的網(wǎng)絡(luò)技術(shù)沒(méi)有提到，如VPN，又如路由器的安裝與使用等等。建設(shè)校園網(wǎng)對(duì)每個(gè)學(xué)校來(lái)說(shuō)都不是一件容易的事情，都要經(jīng)過(guò)周密的論證、謹(jǐn)慎的決策、緊張的施工和科學(xué)的管理。學(xué)校的網(wǎng)絡(luò)化建設(shè)必然會(huì)對(duì)學(xué)校的信息化建設(shè)起到巨大的推動(dòng)作用，為學(xué)校的辦公提供簡(jiǎn)單、有效、便捷的理想環(huán)境，為學(xué)校的教育教學(xué)改革提供有效的數(shù)據(jù)信息。</p><p>　　隨著信息技術(shù)與通信技術(shù)的飛速發(fā)展及人們對(duì)網(wǎng)絡(luò)性能要求的提高，各

99、種網(wǎng)絡(luò)新技術(shù)、新思想等必將產(chǎn)生并不斷得到完善和發(fā)展。使得更多更好的建網(wǎng)思想和技術(shù)應(yīng)用到新的校園網(wǎng)的建設(shè)及改造之中，校園網(wǎng)的功能也將得到很大的提高與擴(kuò)充。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無(wú)止境的，在前進(jìn)的過(guò)程中必將有更多的知識(shí)需要我們?nèi)W(xué)習(xí)與研究，并能將其應(yīng)用到實(shí)際的網(wǎng)絡(luò)工程建設(shè)之中。由于校園網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡(luò)設(shè)計(jì)、規(guī)劃和建設(shè)中都非常復(fù)雜。因此要廣泛普及網(wǎng)絡(luò)技術(shù)，發(fā)展網(wǎng)絡(luò)工程。</p><p><b&

100、gt;　　參考文獻(xiàn)</b></p><p>　　[1] 嚴(yán)偉，潘愛明.計(jì)算機(jī)網(wǎng)絡(luò)（第5版）[M].北京：清華大學(xué)出版社，2012.</p><p>　　[2] 白國(guó)強(qiáng).網(wǎng)絡(luò)安全基礎(chǔ)（第4版）[M].北京：清華大學(xué)出版社，2011.</p><p>　　[3] 張衛(wèi)，俞黎陽(yáng).計(jì)算機(jī)網(wǎng)絡(luò)工程（第2版）[M].北京：清華大學(xué)出版社，2010.</p>