計(jì)算機(jī)網(wǎng)絡(luò)報(bào)告

1、JIANGSU UNIVERSITY OF TECHNOLOGY光華高級(jí)中學(xué)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)學(xué)院名稱： 計(jì)算機(jī)工程學(xué)院專 業(yè)：信息管理與信息系統(tǒng)班級(jí)：11信息姓名：皓勻?qū)W 號(hào)：11142108指導(dǎo)教師： 紅章開(kāi)課時(shí)間：2013-2014-1學(xué)期2014 年前言隨著科技的日益進(jìn)步，信息產(chǎn)業(yè)蓬勃發(fā)展，信息化已經(jīng)成為當(dāng)今世界的潮流。 根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）的調(diào)查，結(jié)果表明，人們對(duì)互聯(lián)網(wǎng)的使用 越來(lái)越頻繁，網(wǎng)民平均每周上網(wǎng) 16.5個(gè)小時(shí)，達(dá)到新的歷史高度，這一數(shù)據(jù)已 經(jīng)超過(guò)了許多互聯(lián)網(wǎng)發(fā)達(dá)國(guó)家的網(wǎng)民平均上網(wǎng)時(shí)間。與此同時(shí)，教育為立國(guó)之本，近年來(lái)國(guó)家加快改革教育體系，建設(shè)一個(gè)高度 發(fā)達(dá)的

2、國(guó)家教育體系。為提高我國(guó)教育的現(xiàn)代化、建立先進(jìn)高效的教育體系提供 更為先進(jìn)的教育手段，學(xué)校很有必要建設(shè)一個(gè)校園網(wǎng)絡(luò)管理應(yīng)用系統(tǒng)，這樣可以達(dá)到校園資源共享、建立完備的數(shù)據(jù)交換體系、快速的傳遞信息等目的。因此， 近年來(lái)，所有教育結(jié)構(gòu)都加快了校園網(wǎng)絡(luò)的建設(shè)。校園網(wǎng)是Intranet/Interner技術(shù)在教育機(jī)構(gòu)的一個(gè)應(yīng)用。它是指在學(xué)校圍，在 一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)，科研和管理等教育提供資源共享， 信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。校園網(wǎng)是基于Intranet/Interner技術(shù)發(fā)展起來(lái) 的，在功能應(yīng)用上和Internet大體上相同，都能夠?qū)崿F(xiàn)以下的功能：Wed信息發(fā)布和獲取、目錄服

3、務(wù)、電子、安全性管理、廣域網(wǎng)絡(luò)互聯(lián)、文件、打印共享和網(wǎng) 絡(luò)管理等。通過(guò)校園網(wǎng)絡(luò)的建設(shè)，不僅可以改變整個(gè)學(xué)校信息管理的面貌，使信息管理從以單個(gè)計(jì)算機(jī)為中心發(fā)展到以網(wǎng)絡(luò)為中心，還可以為計(jì)算機(jī)技術(shù)在教 學(xué)、科研、管理等領(lǐng)域中的應(yīng)用提供一個(gè)全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強(qiáng)并促進(jìn)了群體組織或師生之間的信息交流、資源共享、科學(xué)計(jì)算、技術(shù)合作及有效管理等，進(jìn)而推動(dòng)管理、科研及教學(xué)事業(yè)的發(fā)展。目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 第一章概述 4 HYPERLINK l bookmark6 o Current Document 第二

4、章網(wǎng)絡(luò)需求分析 5 HYPERLINK l bookmark8 o Current Document 需求分析 5 HYPERLINK l bookmark10 o Current Document 建設(shè)目標(biāo) 5 HYPERLINK l bookmark12 o Current Document 建設(shè)容 5 HYPERLINK l bookmark14 o Current Document 功能分析 6 HYPERLINK l bookmark16 o Current Document 第三章詳細(xì)網(wǎng)絡(luò)設(shè)計(jì)方案 7 HYPERLINK l bookmark18 o Current Documen

5、t 主干網(wǎng)絡(luò)技術(shù)及設(shè)計(jì) 7實(shí)用性和經(jīng)濟(jì)性 7先進(jìn)性和成熟性 7可靠性和穩(wěn)定性 7安全性和性 8可擴(kuò)展性和可管理性 8 HYPERLINK l bookmark20 o Current Document 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及設(shè)計(jì) 9 HYPERLINK l bookmark22 o Current Document 核心層網(wǎng)絡(luò)建設(shè)及設(shè)備的選擇 9 HYPERLINK l bookmark24 o Current Document 匯聚層網(wǎng)絡(luò)建設(shè)及設(shè)備的選擇 10匯聚層網(wǎng)絡(luò)設(shè)備的選擇 10設(shè)備的規(guī) 11VLAN以及IP地址的劃分 12 HYPERLINK l bookmark26 o Current D

6、ocument 接入層網(wǎng)絡(luò)建設(shè)及設(shè)備的選擇 13 HYPERLINK l bookmark28 o Current Document 配置的實(shí)現(xiàn) 13核心層交換機(jī)主要配置 14利用NAT實(shí)現(xiàn)外網(wǎng)主機(jī)訪問(wèn)網(wǎng)服務(wù)器 14利用動(dòng)態(tài)NAP楨現(xiàn)局域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)配置 15 HYPERLINK l bookmark30 o Current Document 第四章校園網(wǎng)的安全和維護(hù) 17 HYPERLINK l bookmark32 o Current Document 網(wǎng)絡(luò)安全保障 17 HYPERLINK l bookmark34 o Current Document 防火墻選型 17 HYPERLIN

7、K l bookmark36 o Current Document 校園網(wǎng)的安全 18問(wèn)題 18解決辦法 18 HYPERLINK l bookmark38 o Current Document 校園網(wǎng)的維護(hù) 19 HYPERLINK l bookmark40 o Current Document 第五章心得體會(huì) 19第一章概述快速、高效的傳播和利用信息資源是 21世紀(jì)的基本特征。掌握豐富的計(jì)算 機(jī)及網(wǎng)絡(luò)信息知識(shí)不僅僅是素質(zhì)教育的要求而且也是學(xué)生掌握現(xiàn)代化學(xué)習(xí)與工 作手段的要求。因此，學(xué)校校園網(wǎng)的有無(wú)及水平的高低， 也將成為評(píng)價(jià)學(xué)校及學(xué) 生選擇學(xué)校的新的標(biāo)準(zhǔn)之一。Internet及WW恒用的迅

8、猛發(fā)展，極大的改變著我們的生活方式。信息通 過(guò)網(wǎng)絡(luò)，以不可逆轉(zhuǎn)之勢(shì)，迅速打破了地域和時(shí)間的界限，為更多的人共享。而 快速、高效的傳播和利用信息資源正是二十一世紀(jì)的基本特征。學(xué)校作為信息化進(jìn)程中極其重要的基礎(chǔ)環(huán)節(jié)，如何通過(guò)網(wǎng)絡(luò)充分發(fā)揮其教育功能， 已成為當(dāng)今的 熱門(mén)話題。隨著學(xué)校教育手段的現(xiàn)代化，很多學(xué)校已經(jīng)逐漸開(kāi)始將學(xué)校的管理和教學(xué)過(guò) 程向電子化方向發(fā)展，校園網(wǎng)的有無(wú)以及水平的高低也將成為評(píng)價(jià)學(xué)校及學(xué)生選 擇學(xué)校的新的標(biāo)準(zhǔn)之一，此時(shí)，校園網(wǎng)上的應(yīng)用系統(tǒng)就顯得尤為重要。一方面， 學(xué)生可以通過(guò)它在促進(jìn)學(xué)習(xí)的同時(shí)掌握豐富的計(jì)算機(jī)及網(wǎng)絡(luò)信息知識(shí)，毫無(wú)疑 問(wèn)，這是學(xué)生綜合素質(zhì)中極為重要的一部分；另一方面

9、，基于先進(jìn)的網(wǎng)絡(luò)平臺(tái)和 其上的應(yīng)用系統(tǒng)，將極大的促進(jìn)學(xué)校教育的現(xiàn)代化進(jìn)程，實(shí)現(xiàn)高水平的教學(xué)和管 理。學(xué)校目前正加緊對(duì)信息化教育的規(guī)劃和建設(shè)。 開(kāi)展的校園網(wǎng)絡(luò)建設(shè)，旨在推 動(dòng)學(xué)校信息化建設(shè)，其最終建設(shè)目標(biāo)是將建設(shè)成為一個(gè)借助信息化教育和管理手 段的高水平的智能化、數(shù)字化的教學(xué)園區(qū)網(wǎng)絡(luò)，最終完成統(tǒng)一軟件資源平臺(tái)的構(gòu) 建，實(shí)現(xiàn)統(tǒng)一網(wǎng)絡(luò)管理、統(tǒng)一軟件資源系統(tǒng)，并保證將來(lái)可擴(kuò)展骨干網(wǎng)絡(luò)節(jié)點(diǎn)互 聯(lián)帶寬為10G為用戶提供高速接入網(wǎng)絡(luò)，并實(shí)現(xiàn)網(wǎng)絡(luò)遠(yuǎn)程教學(xué)、在線服務(wù)、教 育資源共享等各種應(yīng)用；利用現(xiàn)代信息技術(shù)從事管理、教學(xué)和科學(xué)研究等工作。最終達(dá)到在網(wǎng)絡(luò)方面，更好的對(duì)眾多網(wǎng)絡(luò)使用及數(shù)據(jù)資源的安全控制，同時(shí)具有高

10、性能，高效率，不間斷的服務(wù)，方便的對(duì)網(wǎng)絡(luò)中所有設(shè)備和應(yīng)用進(jìn)行有效的時(shí) 事控制和管理。第二章網(wǎng)絡(luò)需求分析需求分析在校園網(wǎng)絡(luò)中，視頻、音頻、數(shù)據(jù)集于一身，如果保證不了高帶寬、又多種 視頻、音頻、數(shù)據(jù)流混雜在一起進(jìn)行傳輸， 就沒(méi)法對(duì)流做出最高優(yōu)先級(jí)和次高優(yōu) 先級(jí)及底優(yōu)先級(jí)的分類(lèi)，這樣就不能保證重要業(yè)務(wù)的暢通，造成網(wǎng)絡(luò)延遲、服務(wù)不可用。因此要對(duì)不同服務(wù)流進(jìn)行詳細(xì)的分類(lèi)，劃分優(yōu)先級(jí)，以及盡可能地避免發(fā)生擁塞。同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行，充分利用現(xiàn)有的帶寬。在校園網(wǎng)絡(luò)建設(shè)中存在多用戶，多服務(wù)的現(xiàn)狀。帶來(lái)了對(duì)網(wǎng)絡(luò)系統(tǒng)要求具有 高效率等，以保證大數(shù)據(jù)量訪問(wèn)下有效的處理能力。 針對(duì)需求設(shè)備要能對(duì)數(shù)據(jù)做 到分布式處理

11、，這樣的分布式處理可以節(jié)省主交換引擎的消耗。使數(shù)據(jù)在獨(dú)立的 板卡上就能做出對(duì)數(shù)據(jù)的識(shí)別，這樣比在中央處理器識(shí)別要快的多。 并在大量的 數(shù)據(jù)應(yīng)用，數(shù)據(jù)傳輸?shù)倪^(guò)程中，要保證所有硬件設(shè)備都可以進(jìn)行快速的轉(zhuǎn)發(fā)， 要 具備高背板帶寬（交換容量），所有端口都能保證線速轉(zhuǎn)發(fā)。這種分布式處理可 以極提高整體處理能力，保證了網(wǎng)絡(luò)暢通。建設(shè)目標(biāo)要規(guī)劃的學(xué)校是一個(gè)中等規(guī)模的大學(xué)， 有師生15000人左右，主要的建筑物 是教學(xué)樓、行政樓、圖書(shū)館、電腦室。要求建立一個(gè)覆蓋全校局部的校園網(wǎng)絡(luò)， 包括局域網(wǎng)和接入網(wǎng)，能支持辦公自動(dòng)化、信息管理、科研與教學(xué)工作，能接入 CERNET并與INTERNE甘目聯(lián)。主要為學(xué)校教職工和

12、學(xué)生提供 WWW Email、網(wǎng) 上多媒體教學(xué)，能提供視頻點(diǎn)播、校外圖書(shū)資料檢索、校行政管理、撥號(hào)上網(wǎng)等 服務(wù)。所有的服務(wù)器均放置在網(wǎng)絡(luò)中心。建設(shè)容當(dāng)計(jì)算機(jī)臺(tái)數(shù)較多或可靠性要求高時(shí)， 優(yōu)先考慮星型或樹(shù)型連接，而實(shí)際的 拓?fù)浣Y(jié)構(gòu)以總線型和星型樹(shù)型相結(jié)合。終端用戶容如下：學(xué)校有3個(gè)多媒體用戶的閱覽室，有50多個(gè)用戶的多媒體教室（性能要求 高于電子閱覽室），還有一個(gè)網(wǎng)絡(luò)中心，支持遠(yuǎn)程教育，可以接入互聯(lián)網(wǎng)，具有 廣域網(wǎng)訪問(wèn)的安全機(jī)制和網(wǎng)絡(luò)管理功能。功能分析校園網(wǎng)最終必須是一個(gè)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、多項(xiàng)信息管理、辦公自動(dòng)化和信 息發(fā)布等功能于一體的綜合信息平臺(tái)，并能夠有效促進(jìn)現(xiàn)有的管理體制和管理方 法，提高

13、學(xué)校辦公質(zhì)量和效率，以促進(jìn)學(xué)校整體教學(xué)水平的提高。中心交換機(jī)、路由器、防火墻、48 口接入交換機(jī)、E-mail服務(wù)器、FTP服 務(wù)器、Web服務(wù)器、網(wǎng)絡(luò)管理系統(tǒng)。作為網(wǎng)絡(luò)中心負(fù)責(zé)校園網(wǎng)規(guī)劃建設(shè)、 主干網(wǎng)絡(luò)設(shè)備維護(hù)、主站點(diǎn)建設(shè)并提供 視頻點(diǎn)播、課件點(diǎn)播、遠(yuǎn)程教學(xué)、系統(tǒng)及FTR電視轉(zhuǎn)播等在的基本Internet教學(xué)管理、校園廣播系統(tǒng)、資產(chǎn)管理服務(wù)，同時(shí)保障招生錄取、教育行政辦公、 等系統(tǒng)的正常運(yùn)行。教學(xué)管理、校園廣播系統(tǒng)、資產(chǎn)管理第三章詳細(xì)網(wǎng)絡(luò)設(shè)計(jì)方案主干網(wǎng)絡(luò)技術(shù)及設(shè)計(jì)主要選擇千兆（適合于高校）或百兆網(wǎng)以太網(wǎng)技術(shù)來(lái)構(gòu)建校園網(wǎng)絡(luò)，對(duì)兩層 節(jié)點(diǎn)和桌面微機(jī)的接入也采用快速以太網(wǎng)，建立一個(gè)基于多層、全交換

14、的虛擬園區(qū)網(wǎng)。校園網(wǎng)在設(shè)計(jì)上應(yīng)具備以下特性才能夠滿足需求，并保證建成后的網(wǎng)絡(luò)在一個(gè)較長(zhǎng)的時(shí)間具有較強(qiáng)的可用性和一定的先進(jìn)性。校園網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實(shí)用的前提下，應(yīng)當(dāng)在投資保護(hù)及長(zhǎng)遠(yuǎn)性方面做適當(dāng) 考慮，在技術(shù)上、系統(tǒng)能力上要保持五年左右的先進(jìn)性。 并且從學(xué)校的利益出發(fā)， 從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開(kāi)放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計(jì)。根據(jù)校園網(wǎng)的總體需求，結(jié)合對(duì)應(yīng)用系統(tǒng)的考慮，本次網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)目標(biāo) 是：高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬(wàn)兆骨干網(wǎng)絡(luò)平臺(tái)。我們遵循以下的原則進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)：實(shí)用性和經(jīng)濟(jì)性網(wǎng)絡(luò)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則， 建設(shè)的萬(wàn)兆

15、骨干網(wǎng)絡(luò)平臺(tái)，保護(hù)用戶的投資。先進(jìn)性和成熟性網(wǎng)絡(luò)建設(shè)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工 具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來(lái) 若干年占主導(dǎo)地位，保證貴校網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用萬(wàn)兆以太網(wǎng)技術(shù)來(lái)構(gòu)建 網(wǎng)絡(luò)主干線路?？煽啃院头€(wěn)定性在考慮技術(shù)先進(jìn)性和開(kāi)放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、 系統(tǒng)管理、廠商技術(shù)支持及保修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定 性，達(dá)到最大的平均無(wú)故障時(shí)間，銳捷網(wǎng)絡(luò)做為國(guó)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其 產(chǎn)品的可靠性和穩(wěn)定性是一流的。為了保證骨干網(wǎng)絡(luò)平臺(tái)的健壯性和鏈路冗余性， 建議網(wǎng)絡(luò)實(shí)施時(shí)在學(xué)校啟用 千

16、兆備份線路。在學(xué)校啟用物理鏈路冗余機(jī)制，保證任何一條線路出現(xiàn)故障后骨 干網(wǎng)絡(luò)平臺(tái)的可用性。安全性和性在網(wǎng)絡(luò)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離， 因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括端口隔離、路由過(guò)濾、防DDoS巨絕服務(wù)攻擊、防IP掃描、系統(tǒng)安全機(jī)制、多種 數(shù)據(jù)訪問(wèn)權(quán)限控制等，銳捷網(wǎng)絡(luò)充分考慮安全性，針對(duì)的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分VLAN IP/MAC地址綁定（過(guò)濾）、ACL路由過(guò)濾、防DDoS巨絕 服務(wù)攻擊、防IP掃描、802.1x認(rèn)證機(jī)制、SSW口密連接等具體技術(shù)提升整個(gè)網(wǎng) 絡(luò)的安全性。可擴(kuò)展性和可管理性由于信息技術(shù)和人們對(duì)

17、于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，我們必須選擇具有一定擴(kuò)展能力的設(shè)備， 能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò) 大的時(shí)候，不需要增加新的設(shè)備，而只需要增加一定數(shù)量的模塊就行。 最好能夠 做到在網(wǎng)絡(luò)技術(shù)進(jìn)一步發(fā)展，現(xiàn)有模塊不支持新技術(shù)的情況下，只需要更換相應(yīng) 模塊，而不需要更換整個(gè)設(shè)備。為了適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資， 實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)。為了便于擴(kuò)展，對(duì)于核心設(shè)備必須采用模塊化高密度端 口的設(shè)備，便于將來(lái)升級(jí)和擴(kuò)展。先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)方法，才能夠發(fā)揮最大的作用。全線采用基于SNM刖準(zhǔn)的可網(wǎng)管產(chǎn)品，達(dá)到全程網(wǎng)管，降低了人力資源的費(fèi)用，

18、提 高網(wǎng)絡(luò)的易用性、可管理性，同時(shí)又具有很好的可擴(kuò)充性。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及設(shè)計(jì)百兆光纜圖3-1核心層網(wǎng)絡(luò)建設(shè)及設(shè)備的選擇網(wǎng)絡(luò)中心設(shè)在辦公樓。學(xué)校網(wǎng)絡(luò)中心的設(shè)備應(yīng)當(dāng)具有很高的可管理性；同時(shí)學(xué)校的用戶數(shù)比較多，如果這么多用戶同在一個(gè)子網(wǎng)，勢(shì)必會(huì)造成廣播數(shù)據(jù)干擾 正常的數(shù)據(jù)傳輸，造成網(wǎng)絡(luò)的阻塞、丟包。劃分虛網(wǎng)（VLAN是解決廣播干擾和 隔離不同部門(mén)的一個(gè)解決方案，為了在虛網(wǎng)間進(jìn)行通訊，必須在網(wǎng)絡(luò)中心有三層 的路由機(jī)制。由于一般路由器的數(shù)據(jù)路由速度很慢， 因此使用三層交換機(jī)是解決 上述問(wèn)題的關(guān)鍵。核心交換機(jī)的選擇為思科 WS-C6509-E X2性能：交換機(jī)類(lèi)型千兆以太網(wǎng)交換機(jī)基傳輸速率10/100/10

19、00Mbps本交換方式存儲(chǔ)-轉(zhuǎn)發(fā)性背板帶寬720Gbps能包轉(zhuǎn)發(fā)率387 Mpps存1GBMAC地址表64 K網(wǎng)絡(luò)標(biāo)準(zhǔn)EEE 802.3, IEEE 802.3u, IEEE 802.1s,網(wǎng)絡(luò)參數(shù)IEEE 802.1w, IEEE 802.3ad網(wǎng)管功能CiscoWorks2000, RMON,增強(qiáng)交換端口 分析器(ESPAN), SNMP, Telnet, BOOTP, TFTP端口參數(shù)接DS0 至U OC-48, 100BASE-FX電氣規(guī)格額定功率DC, 6000; AC, 4000W外觀尺寸尺寸622X445X460 mm重量27.3kg圖3-2價(jià)格： 4900OX 2調(diào)查網(wǎng)址：/0

20、00073796/Detail.html匯聚層網(wǎng)絡(luò)建設(shè)及設(shè)備的選擇匯聚層網(wǎng)絡(luò)設(shè)備的選擇RHS6024(20T-4SX貨換機(jī)是為大型(企業(yè)、校園)網(wǎng)絡(luò)匯聚層量身定做的一 款新型以太網(wǎng)交換機(jī)，它具有高性價(jià)比的多層交換解決方案， 在千兆端口數(shù)多的 場(chǎng)合，提供高數(shù)據(jù)處理；在應(yīng)用多媒體的場(chǎng)合，提供超強(qiáng)的服務(wù)質(zhì)量保證機(jī)制和 組播性能；同時(shí)，它還具有完善的管理策略應(yīng)用， 幫助管理帶寬和保護(hù)關(guān)鍵任務(wù) 應(yīng)用。以下為RHS6024(20T-4SX咬換機(jī)的特點(diǎn)和各項(xiàng)功能：.支持豐富的二層網(wǎng)絡(luò)功能：VLAN GVRP/GMRPSTP/RSTP/MSKP端口聚合與映射；完善的廣播風(fēng)暴控制.完善的三層功能：靜態(tài)路由，RI

21、P1、RIP2、OSPF各由協(xié)議支持，支持三層端口聚合，支持超級(jí)VLAN.提供豐富的高級(jí)功能：IGMPv2以及IGMP Snooping,擴(kuò)展的IGMP Snooping功能支持組播的三層轉(zhuǎn)發(fā)； 支持BOOTP/DHCP rela能，使得多個(gè) VLANT以共享一個(gè) DHCI務(wù)器； 支持DHCP服務(wù)器和NA似能可以安全高速的訪問(wèn)Internet ;私有的GTPft、議使得多臺(tái)設(shè)備VLAN0已置輕松方便；超級(jí)VLAN*能可節(jié)約大量用戶IP地址，實(shí)現(xiàn)三層跨VLANKf問(wèn)，為用戶提供更 多組網(wǎng)可能；豐富的Qos和DiffServ支持，滿足用戶對(duì)網(wǎng)絡(luò)數(shù)據(jù)質(zhì)量的苛刻要求； 硬件級(jí)別的包過(guò)濾功能，802.1

22、x以及多種端口安全策略保證用戶的網(wǎng)絡(luò)安全高 效的運(yùn)行。.提供豐富的設(shè)備管理方式：Snmpvl Snmpv2 Snmpv3 TELNET CLI Console CLI ; WEB SSH FTP止匕外，它還具有先進(jìn)的B/S架構(gòu)網(wǎng)管軟件：RHOS NetManage網(wǎng)管軟件包； 多種端口組合方案，集成的光模塊設(shè)計(jì)，充分考慮用戶的組網(wǎng)成本，使用戶省卻二次投資的顧慮。產(chǎn)品型號(hào)RHS6024 20T-4SX基產(chǎn)品類(lèi)型多功能交換機(jī)本傳輸方式存儲(chǔ)轉(zhuǎn)發(fā)方式參背板帶寬48Gbps數(shù)包轉(zhuǎn)發(fā)率36Mpps外形尺寸435X390X44mm3Kg硬接口類(lèi)型10/100/1000Base-TX,1000Base-FX,

23、10/100Base件-TX參接口數(shù)目24 口數(shù)傳輸速率10M100M/1000Mbps模塊化插槽數(shù)4堆疊不RJ堆疊網(wǎng)IEEE802.1d,IEEE802.1p,IEEE802.1Q,IEEE802絡(luò)支持網(wǎng)絡(luò)標(biāo)準(zhǔn).3ad,IEEE802.3,IEEE802.3u,IEEE802.3X,IEEE與802.3z軟VLAN支持支持VLAN件網(wǎng)管功能支持通過(guò)Console 口配置，支持RMON管理是否支持全雙工支持全雙工MAC地址表16k其他性能集千兆防火墻，路由器，多層交換機(jī)一體其他參數(shù)電源電壓180-260V AC,47-63Hz取大功率30w圖3-3設(shè)備的規(guī)由于規(guī)劃的是一個(gè)校園局域網(wǎng)，它包含多棟

24、建筑物，對(duì)網(wǎng)絡(luò)的連接可靠性和 性能要求較高。這種網(wǎng)絡(luò)最好采用千兆以太網(wǎng)作為網(wǎng)絡(luò)骨干，網(wǎng)絡(luò)可以分為核心 層和接入層。核心層設(shè)備具有多層交換機(jī)功能的千兆以太網(wǎng)交換機(jī)， 接入層設(shè)備選擇帶有千兆上聯(lián)端口的以太網(wǎng)交換機(jī)為了提高網(wǎng)絡(luò)的可靠性和網(wǎng)絡(luò)骨干寬帶，各接入交換機(jī)可以采用多個(gè)千兆端口上聯(lián)到核工業(yè)民交換機(jī)。目前多數(shù)交換機(jī)支持端口聚合技術(shù)， 可以將多條鏈路 聚合為一組干路，成倍地提高網(wǎng)絡(luò)帶寬，從而大提高網(wǎng)絡(luò)的可靠性和性能。核心 交換機(jī)可以采用雙電源、雙引擎的度提高核心設(shè)備本身的可靠性。VLAN以及IP地址的劃分辦公樓VLAN 10高一可劃分 IP 網(wǎng)段：/24默認(rèn)網(wǎng)關(guān)：高二可劃分 IP 網(wǎng)段：/24默認(rèn)網(wǎng)

25、關(guān)：高三可劃分IP網(wǎng)段：/24默認(rèn)網(wǎng)關(guān)：電子閱覽一樓可劃分IP網(wǎng)段：/24 默認(rèn)網(wǎng)關(guān)：電子閱覽二樓可劃分IP網(wǎng)段：/24默認(rèn)網(wǎng)關(guān)：行政樓VLAN 100/24默認(rèn)網(wǎng)關(guān)：默認(rèn)網(wǎng)關(guān)：/24默認(rèn)網(wǎng)關(guān)：默認(rèn)網(wǎng)關(guān)：默認(rèn)網(wǎng)關(guān)：默認(rèn)網(wǎng)關(guān)：二層可劃分 IP 網(wǎng)段：/24三層可劃分IP網(wǎng)段：/24服務(wù)器群劃分IP網(wǎng)段：/24靜態(tài)部源地址轉(zhuǎn)換NAT掌握網(wǎng)中一臺(tái)服務(wù)器連接因特網(wǎng)時(shí)的靜態(tài)部源地址轉(zhuǎn)換。實(shí)現(xiàn)的功能是校園網(wǎng)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)部結(jié)構(gòu)，可以通過(guò)NAT將部網(wǎng)絡(luò)與外部INTERNET鬲離開(kāi)，則外部用戶根本不知道通過(guò) NAT設(shè)置部 IP地址。教育網(wǎng)地址：電信網(wǎng)地址：服務(wù)器私有地址共有地址教務(wù)服務(wù)器數(shù)據(jù)

26、服務(wù)器文件服務(wù)器Web服務(wù)器接入層網(wǎng)絡(luò)建設(shè)及設(shè)備的選擇根據(jù)校園網(wǎng)服務(wù)器的應(yīng)用特點(diǎn)， Web服務(wù)器選型應(yīng)該按照如下原則：要求反應(yīng)時(shí)間短，能快速響應(yīng)和處理用戶的訪問(wèn)要求。具有強(qiáng)大的信息吞吐能力、多Web占點(diǎn)和容緩存、能在一定投資下提供訪問(wèn) 服務(wù)和提高用戶滿意度。易于發(fā)布和實(shí)現(xiàn)信息共享。易于建立和運(yùn)行Wetg用，簡(jiǎn)化業(yè)務(wù)進(jìn)程。具有可靠的品質(zhì)，保證 Wet務(wù)不間斷。易于設(shè)置和管理，使網(wǎng)絡(luò)管理變得更容易。易于擴(kuò)展，滿足業(yè)務(wù)的擴(kuò)大需求，保護(hù)用戶投資?；谝陨系男枨螅扑]選用清華方正超強(qiáng)2250L服務(wù)器配置的實(shí)現(xiàn)Ip網(wǎng)段交換機(jī) 端口 ip地址交換 機(jī)端口對(duì)端 設(shè)備對(duì)端ip地址/240/3教學(xué) 樓/240/2

27、服務(wù) 器/240/1路由 器核心層交換機(jī)主要配置核心層它是互聯(lián)網(wǎng)的高速主干層，它提供與網(wǎng)絡(luò)的所有分布層的可靠、高速通信，考慮到管理的需要，一般將核心設(shè)備集中放置(即網(wǎng)絡(luò)中心) ，核心層交 換機(jī)是目前使用最多的核心設(shè)備。Switch(config)#interface fastEthernet 0/1Switch(config-if)#no switchportSwitch(config-if)#ip address Switch(config-if)#exitSwitch(config)#interface fastEthernet 0/2Switch(config-if)#no switch

28、portSwitch(config-if)#ip address Switch(config-if)#exitSwitch(config)#interface fastEthernet 0/3Switch(config-if)#no switchportSwitch(config-if)#ip address Switch(config-if)#exitSwitch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route Sw

29、itch(config)#ip route Switch(config)#ip route Switch(config)#ip route Switch(config)#ip route / 配置路由接口利用N A T實(shí)現(xiàn)外網(wǎng)主機(jī)訪問(wèn)網(wǎng)服務(wù)器網(wǎng)地址 公網(wǎng)地址：()( )chinanet 訪問(wèn)Router (config) #ip nat inside source static tcp 21 21Router (config) #ip nat inside source static tcp 80 80Cernet訪問(wèn)Router (config) #ip nat inside source

30、static tcp 45 45Router (config ) #ip nat inside source static tcp 53 533.6.3利用動(dòng)態(tài)NAPT實(shí)現(xiàn)局域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)配置(1)在全局設(shè)置模式下，定義部合法地址池ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網(wǎng)掩碼(其中地址池名可以任意設(shè)定)(2)在全局設(shè)置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list 規(guī)則以允許哪些部地址可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換access-list 標(biāo)號(hào)permit源地址通配符(其中標(biāo)號(hào)為1-99之間的整數(shù))(3)在全局設(shè)置模式下，將由access-list指定的部本地地址與指定的部合法地

31、址池進(jìn)行地址轉(zhuǎn)換ip nat inside source list訪問(wèn)列表標(biāo)號(hào)pool部合法地址池名字(4)指定與部網(wǎng)絡(luò)相連的部端口在端口設(shè)置狀態(tài)下：ip nat inside(5)指定與外部網(wǎng)絡(luò)相連的外部端口：ip nat outside使網(wǎng)用戶使用-這段地址訪問(wèn)互聯(lián)網(wǎng)配置的具體步驟如下：Router (config)#access-list 1 permit 55Router (config)#access-list 1 permit 55Router (config)#access-list 1 permit 55Router (config)#access-list 1 permit

32、55Router (config)#access-list 1 permit 55Router (config)#interface fastEthernet 0/1Router(config-if-fastEthernet 0/1)#ip nat insideRouter (config)#interface fastEthernet 0/0Router(config-if-fastEthernet 0/0)#ip nat outsideRouter (config)# ip nat pool aaa netmask Router (config)# ip nat pool aaa netm

33、ask Router (config)# ip nat inside source list 1 pool to-internet overload第四章校園網(wǎng)的安全和維護(hù)網(wǎng)絡(luò)安全保障網(wǎng)絡(luò)安全對(duì)于網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)是十分重要的，它直接關(guān)系到網(wǎng)絡(luò)的正常 使用。由于校園網(wǎng)與外部網(wǎng)進(jìn)行互聯(lián)特別是和Internet的互聯(lián)，Internet是一個(gè)開(kāi)放式網(wǎng)絡(luò)系統(tǒng)，它的安全性是很差的。因此安全問(wèn)題更加重要。應(yīng)該采用一 定的技術(shù)來(lái)控制網(wǎng)絡(luò)的安全性，從部和外部同時(shí)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)進(jìn)行控制。當(dāng)前主要的網(wǎng)絡(luò)安全技術(shù)有，用戶身份驗(yàn)證，VLAN分，防火墻等技術(shù)。部網(wǎng)安全控制：通過(guò)VLAN勺劃分，利用中心交換機(jī)上高性能路由模塊

34、的管 理和控制，可以控制部各 VLAN司的訪問(wèn)。外聯(lián)網(wǎng)的安全控制：網(wǎng)絡(luò)的安全問(wèn)題主要是由網(wǎng)絡(luò)的開(kāi)放性、無(wú)邊界性、自由性造成的，所以考慮信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)由開(kāi)放 的、無(wú)邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來(lái)，成為可管理、可控制的安全的部網(wǎng)絡(luò)。也只 有做到這一點(diǎn)，實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全才有可能，而最基本的分隔手段就是防火墻。 利用防火墻，可以實(shí)現(xiàn)部網(wǎng)與外部網(wǎng)絡(luò)（如因特網(wǎng)）之間或是部網(wǎng)不同網(wǎng)絡(luò)安全 域的隔離與訪問(wèn)控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。撥號(hào)訪問(wèn)的安全設(shè)計(jì)：對(duì)于從外部撥號(hào)訪問(wèn)中心部局域網(wǎng)的用戶，由于使 用公用網(wǎng)進(jìn)行數(shù)據(jù)傳輸所帶來(lái)的風(fēng)險(xiǎn)，必須嚴(yán)格控制其安全性，主要措施如下： 1）通過(guò)在

35、撥號(hào)訪問(wèn)服務(wù)器后設(shè)置防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全性，以嚴(yán)格限制撥號(hào)上網(wǎng)用戶所訪問(wèn)的系統(tǒng)信息和資源。2）使用專用身份驗(yàn)證服務(wù)器，以加強(qiáng)對(duì)撥號(hào)用 戶的身份認(rèn)證。3）在數(shù)據(jù)傳輸過(guò)程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。數(shù)據(jù)的安全： 網(wǎng)絡(luò)系統(tǒng)應(yīng)能通過(guò)身份驗(yàn)證實(shí)現(xiàn)信息的鑒別，通過(guò)存取控制 達(dá)到對(duì)信息的控制，通過(guò)數(shù)字簽名或數(shù)據(jù)壓縮等算法保證數(shù)據(jù)在傳送過(guò)程中保持 完整、保證信息的。在實(shí)現(xiàn)時(shí)重點(diǎn)考慮信息系統(tǒng)整體的安全控制策略和重要設(shè)備 的安全控制。防火墻選型構(gòu)建該校園網(wǎng)絡(luò)選用的防火墻是華為賽門(mén)鐵克USG 2220華為賽門(mén)鐵克USG 2220封企業(yè)級(jí)防火墻品牌華為賽門(mén)鐵克并發(fā)連接50萬(wàn)網(wǎng)絡(luò)端口2個(gè)GE光電互斥接口網(wǎng)絡(luò)吞吐量2000安全過(guò)濾600Mbps用戶數(shù)限無(wú)用戶數(shù)限制入侵檢測(cè)Dos,DDoS試用環(huán)境工作溫度：0C40C;工作濕：10%90%控制端口Console 口其他性能Secoway USG 2000系列集路由、交換、安全、無(wú)線（ Wi