校園網(wǎng)設(shè)計(jì)方案書

成都市方聯(lián)高級(jí)中學(xué)校園網(wǎng)方案設(shè)計(jì)書設(shè)計(jì)組：B3組日期：2010年11月24日

目錄一、需求分析 4項(xiàng)目概況 4信息點(diǎn)分布 5網(wǎng)絡(luò)需求分析 6校園網(wǎng)的建設(shè)目標(biāo) 6業(yè)務(wù)需求分析 7安全性需求分析 7校園網(wǎng)功能 7二、方案設(shè)計(jì)原則 8三、方案設(shè)計(jì) 93.網(wǎng)絡(luò)拓?fù)鋱D 10廣域網(wǎng)設(shè)計(jì) 10核心層設(shè)計(jì) 11匯聚層設(shè)計(jì) 12接入層設(shè)計(jì) 12網(wǎng)絡(luò)設(shè)備冗余 13服務(wù)器冗余 13方案特點(diǎn) 14網(wǎng)絡(luò)安全 14四、IP地址規(guī)劃 144.1IP地址規(guī)劃原則 144.2IP地址規(guī)劃表 15五、網(wǎng)絡(luò)設(shè)備技術(shù)選型 165.1OSPF路由技術(shù) 165.2VRRP(虛擬路由冗余協(xié)議)原理 175.3MSTP多生成樹實(shí)例 175.4NAT的描述、NAT映射、策略路由的實(shí)現(xiàn) 185.5ACL(訪問控制列表) 18鏈路聚合EC(EthernetChannel) 185.7VLAN(虛擬局域網(wǎng)) 19六、網(wǎng)絡(luò)設(shè)備選型 20核心層設(shè)備：H3CS5800-56C-PWR、S5600-50C 20匯聚層設(shè)備：H3CS3600-52P-SI 21接入層設(shè)備：H3C3600-28P-EI、S3100-26TP-SI 21路由設(shè)備：H3CRT-MSR5040-AC-H3 22防火墻設(shè)備：H3CF1000-S-AC 225.6UPS電源 24無線校園網(wǎng) 24無線設(shè)備：H3CWX3008、WA2620X-AGP、IP-COMW40AP 245.7.2構(gòu)建無線校園網(wǎng) 25七、網(wǎng)絡(luò)的擴(kuò)展性 26八、綜合布線 26工作區(qū)子系統(tǒng) 26水平子系統(tǒng) 27垂直子系統(tǒng) 28管理子系統(tǒng) 29設(shè)備間子系統(tǒng) 30建筑群子系統(tǒng) 30建立接地的重要性 31九、工程實(shí)施 31十、網(wǎng)絡(luò)設(shè)備清單 32前言信息通信技術(shù)日新月異，并在普及應(yīng)用上進(jìn)入嶄新的多元化應(yīng)用階段！互聯(lián)網(wǎng)的影響正逐步滲透到人們生產(chǎn)、生活、工作、學(xué)習(xí)的各個(gè)角落。同時(shí)，隨著國家信息化工作的深入開展，提高教育系統(tǒng)信息化水平成為當(dāng)前工作的重點(diǎn)。而校園網(wǎng)建設(shè)則是教育系統(tǒng)信息化建設(shè)的關(guān)鍵，尤其是高校校園網(wǎng)建設(shè)。在信息化的建設(shè)過程中，它的作用體現(xiàn)在如下幾個(gè)方面：1、校園網(wǎng)能促進(jìn)教師和學(xué)生盡快提高應(yīng)用信息技術(shù)的水平；信息技術(shù)學(xué)科的內(nèi)容是發(fā)展的，它是一門應(yīng)用型學(xué)科，因此，為了讓學(xué)生學(xué)到實(shí)用的知識(shí)，必須給他們提供一個(gè)實(shí)踐的環(huán)境，這個(gè)環(huán)境離不開校園網(wǎng)。2、校園網(wǎng)為教師提供了一種先進(jìn)的輔助教學(xué)工具、提供了豐富的資源庫，所以校園網(wǎng)是學(xué)校進(jìn)行教學(xué)改革、推行素質(zhì)教育的一種必不可少的工具。3、校園網(wǎng)是學(xué)校現(xiàn)代化管理的基礎(chǔ)，深入、全面的學(xué)校信息管理系統(tǒng)必須建立在校園網(wǎng)上。4、校園網(wǎng)提供了學(xué)校與外界交流的窗口，學(xué)校應(yīng)將校園網(wǎng)與互聯(lián)網(wǎng)聯(lián)接，這也是學(xué)校信息化的要求，做到了這一步，通過校園網(wǎng)去了解世界、在互聯(lián)網(wǎng)上樹立學(xué)校的形象都是很容易的。一、需求分析1.1項(xiàng)目概況成都市方聯(lián)高級(jí)中學(xué)由于發(fā)展迅速，為了滿足教育教學(xué)的需求,共涉及4棟宿辦樓、1棟綜合辦公樓、東西2棟輔助辦公樓、1棟教工食堂、1棟接待中心大樓、東西4棟主教學(xué)樓主教學(xué)樓、1號(hào)綜合實(shí)驗(yàn)樓、2號(hào)綜合實(shí)驗(yàn)樓、4棟學(xué)生公寓樓、1棟學(xué)生食堂洗浴中心大樓。網(wǎng)絡(luò)中心設(shè)置在西輔助辦公樓三樓（具體示意圖如下：）1.2信息點(diǎn)分布具體信息點(diǎn)分布區(qū)域在教工宿辦樓、辦公區(qū)樓宇、教學(xué)區(qū)樓宇、圖書館、學(xué)生生活區(qū)，如下表：區(qū)域樓號(hào)及樓層數(shù)信息點(diǎn)應(yīng)達(dá)到的傳輸速率信息點(diǎn)總數(shù)教工宿辦樓1號(hào)宿辦樓5層34100Mbps1512號(hào)宿辦樓5層303號(hào)宿辦樓5層394號(hào)宿辦樓5層48辦公區(qū)樓宇綜合辦公樓1層12249綜合2層新政領(lǐng)導(dǎo)28綜合3層教研組42綜合4層14綜合5層職工活動(dòng)區(qū)7東輔助辦公樓總3層45西輔助辦公樓45西輔助辦公樓(網(wǎng)絡(luò)中心)10西輔助辦公樓(網(wǎng)絡(luò)中心)預(yù)留3東邊的教工食堂15東邊的教工食堂預(yù)留3接待中心前臺(tái)4接待中心服務(wù)室3層6接待中心18個(gè)房間18教學(xué)區(qū)樓宇東主教學(xué)1號(hào)樓總4層1590東主教學(xué)2號(hào)樓總4層19西主教學(xué)1號(hào)樓總4層15西主教學(xué)2號(hào)樓總4層11綜合實(shí)驗(yàn)1號(hào)樓總3層12綜合實(shí)驗(yàn)1號(hào)樓總3層16預(yù)留2圖書館主體樓部分為4層4078借閱臺(tái)10還書臺(tái)5圖書信息查詢8多媒體查詢2臺(tái)2電子圖書閱覽室2預(yù)留10學(xué)生生活區(qū)學(xué)生食堂、洗浴中心206201號(hào)學(xué)生公寓1502號(hào)學(xué)生公寓1503號(hào)學(xué)生公寓1504號(hào)學(xué)生公寓1501.3網(wǎng)絡(luò)需求分析1.3.1校園網(wǎng)的建設(shè)目標(biāo)校園網(wǎng)的設(shè)計(jì)目標(biāo)簡而言之是將各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成校園區(qū)內(nèi)部的Intranet系統(tǒng)，對(duì)外通過路由設(shè)備接入廣域網(wǎng)。具體而言這樣的設(shè)計(jì)目標(biāo)應(yīng)該是：1、信息資源共享

通過校園網(wǎng)，實(shí)現(xiàn)學(xué)校內(nèi)部，學(xué)校與國內(nèi)、國際信息的快速交流，達(dá)到資源共享，使廣大師生及時(shí)了解國內(nèi)外科學(xué)技術(shù)和高等教育發(fā)展的最新動(dòng)態(tài)，促進(jìn)教學(xué)、科研、管理事業(yè)的發(fā)展。2、圖書資料檢索、借閱自動(dòng)化通過改造原有圖書檢索系統(tǒng)，建設(shè)電子圖書館，提高校內(nèi)圖書資料的利用率；充分利用校外圖書資料，實(shí)現(xiàn)遠(yuǎn)程計(jì)算機(jī)圖書檢索和借閱。3、學(xué)校管理系統(tǒng)的信息化、自動(dòng)化依托校園網(wǎng)，構(gòu)建相應(yīng)的交互式應(yīng)用軟件平臺(tái)，實(shí)現(xiàn)教學(xué)、科研、人事、學(xué)生、財(cái)務(wù)、后勤、檔案等管理工作的自動(dòng)化，實(shí)現(xiàn)統(tǒng)計(jì)監(jiān)測網(wǎng)絡(luò)化，提高管理效率和水平。實(shí)現(xiàn)網(wǎng)上招生、網(wǎng)上人才招聘、學(xué)生網(wǎng)上求職等。4、建立計(jì)算機(jī)網(wǎng)絡(luò)輔助教學(xué)系統(tǒng)

建立基于網(wǎng)絡(luò)的電子教學(xué)CAI課件開發(fā)網(wǎng)上題庫、答疑與作業(yè)批改等計(jì)算機(jī)輔助教學(xué)系統(tǒng)，實(shí)現(xiàn)教學(xué)手段的現(xiàn)代化。5、校園網(wǎng)和廣域網(wǎng)結(jié)合依托校園網(wǎng)、廣域網(wǎng)開展遠(yuǎn)程教學(xué)，使廣大的學(xué)生和老師能更好的交流學(xué)習(xí)和獲取學(xué)校網(wǎng)絡(luò)的資源。6、創(chuàng)建網(wǎng)站創(chuàng)建學(xué)院網(wǎng)站，使之成為對(duì)外宣傳的重要窗口，讓世界了解我們，提高學(xué)院的知名度。7、人性化為廣大師生提供寬松，開放、易用的網(wǎng)絡(luò)環(huán)境，使網(wǎng)絡(luò)觸入日常工作和生活中，發(fā)揮網(wǎng)絡(luò)的最大效用。8、方便教學(xué)網(wǎng)絡(luò)可以進(jìn)行圖、文、聲并茂的多媒體教學(xué)，可以取代語言實(shí)驗(yàn)室進(jìn)行更生動(dòng)的語言教學(xué)，也可以利用大量現(xiàn)成的教學(xué)軟件，提供一個(gè)良好的教學(xué)環(huán)境，這些都是以往任何教學(xué)手段所不能達(dá)到的。校園網(wǎng)絡(luò)不但可以在校內(nèi)進(jìn)行網(wǎng)絡(luò)教學(xué)，還很容易同外界大型網(wǎng)絡(luò)連結(jié)，形成更大范圍的網(wǎng)絡(luò)交互學(xué)習(xí)環(huán)境。9、系統(tǒng)總體設(shè)計(jì)本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性、良好的開放性、可擴(kuò)展性，以及經(jīng)濟(jì)性。1.3.2業(yè)務(wù)需求分析作為本院校園網(wǎng)工程最終用戶的學(xué)院領(lǐng)導(dǎo)、管理人員和專業(yè)技術(shù)人員，是學(xué)校的專門管理人員，具有豐富的管理經(jīng)驗(yàn)和專業(yè)知識(shí)，對(duì)數(shù)據(jù)信息的需求有所不同：院領(lǐng)導(dǎo)希望能提供決策方面的主要數(shù)據(jù)；中層干部既具有決策又有管理工作，希望能盡快收集信息，用以協(xié)調(diào)各部門工作；專業(yè)人員從事基礎(chǔ)管理工作，希望通過計(jì)算機(jī)提高工作效率；教師希望能以更生動(dòng)、形象的多媒體手段給學(xué)生授課，同時(shí)通過計(jì)算機(jī)網(wǎng)絡(luò)查詢資料、進(jìn)行備課和與學(xué)生交流；學(xué)生也希望能夠通過計(jì)算機(jī)網(wǎng)絡(luò)快速、便捷地與老師溝通、下載課件和利用網(wǎng)絡(luò)資源解決學(xué)習(xí)上的困難和自學(xué)。1.3.3安全性需求分析在校園網(wǎng)絡(luò)中，校園網(wǎng)絡(luò)的安全保障十分的重要：校園網(wǎng)用戶的流動(dòng)性大，信息點(diǎn)存在隨意接入使用的問題。學(xué)生及外來不明身份的用戶，在校園網(wǎng)中找到任何一個(gè)信息點(diǎn)，就可以進(jìn)入到校園網(wǎng)，可以肆意干擾和破壞校園網(wǎng)網(wǎng)絡(luò)平臺(tái)及應(yīng)用系統(tǒng)的正常運(yùn)行。另外校園網(wǎng)的網(wǎng)絡(luò)安全，還需要考慮與外網(wǎng)及內(nèi)網(wǎng)不同應(yīng)用系統(tǒng)之間的安全訪問控制。為了發(fā)生安全事件后，能夠有效、快捷地處理事故，采用上網(wǎng)審計(jì)手段是十分有必要的。由于當(dāng)前類似“沖擊波、震蕩波病毒”的肆虐，一個(gè)健壯的網(wǎng)絡(luò)應(yīng)該提供必要的手段，禁止特定病毒的傳播以及由于病毒造成的流量擁塞。因此，系統(tǒng)安全控制技術(shù)應(yīng)遵守的要求為：Internet的安全控制應(yīng)提供地址轉(zhuǎn)換、被動(dòng)監(jiān)廳、端口掃描和否認(rèn)服務(wù)等機(jī)制、，同時(shí)劃分不同級(jí)別的安全區(qū)域；遠(yuǎn)程訪問的安全控制應(yīng)提供訪問服務(wù)器的用戶身份認(rèn)證、用戶授權(quán)及用戶記賬/審計(jì)等功能；應(yīng)提供對(duì)整個(gè)網(wǎng)絡(luò)和工作站進(jìn)行偵獨(dú)、解毒和清毒等工作，防范計(jì)算機(jī)病毒。內(nèi)部網(wǎng)絡(luò)實(shí)用VLAN分段，隔離廣播域，防止網(wǎng)絡(luò)竊聽和非法訪問,使用防火墻分割內(nèi)部網(wǎng)和外部網(wǎng)，限制級(jí)別訪問內(nèi)部WEB服務(wù)器，財(cái)務(wù)數(shù)據(jù)，以及OA系統(tǒng)各分區(qū)校園用戶使用VPN方式訪問主教學(xué)總部網(wǎng)絡(luò)，并限制同時(shí)的訪問量。1.3.4校園網(wǎng)功能連接校內(nèi)所有教學(xué)樓、實(shí)驗(yàn)室、辦公樓中、學(xué)生生活區(qū)、圖書館PC。同時(shí)支持大約1200用戶瀏覽Internet。提供豐富的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)廣泛的軟件，硬件資源共享，包括：提供基本的Internet網(wǎng)絡(luò)服務(wù)功能：如電子郵件、文件傳輸、遠(yuǎn)程登錄、新聞組討論、電子公告牌、域名服務(wù)等。提供校內(nèi)各個(gè)管理機(jī)構(gòu)的辦公自動(dòng)化。提供圖書，文獻(xiàn)查詢與檢索服務(wù)，增強(qiáng)校圖書館信息自動(dòng)化能力。全校共享軟件庫服務(wù)，避免重復(fù)投資，發(fā)揮最大效益。提供CAI教學(xué)和科研的便利條件。經(jīng)廣域網(wǎng)接口，提供國內(nèi)外計(jì)算機(jī)系統(tǒng)的互連，為國際間的信息交流和科研合作，為學(xué)?？焖佾@得最新教學(xué)成果及技術(shù)合作等創(chuàng)造良好的信息通路。二、方案設(shè)計(jì)原則本方案的設(shè)計(jì)將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下，本著嚴(yán)謹(jǐn)、慎重的態(tài)度，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實(shí)施過程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計(jì)，力圖使該系統(tǒng)真正成為符合該校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)。從技術(shù)措施角度來講，在網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)現(xiàn)中，本方案嚴(yán)格遵守了以下原則：實(shí)用性和集成性系統(tǒng)的軟硬件設(shè)計(jì)、還是集成，均以適用為第一宗旨，在系統(tǒng)充分適應(yīng)校園信息化的需求的基礎(chǔ)上進(jìn)而再來考慮其他的性能。該系統(tǒng)所包含的內(nèi)容很多，必須能將各種先進(jìn)的軟硬件設(shè)備有效地集成在一起，使系統(tǒng)的各個(gè)組成部分能充分發(fā)揮作用，協(xié)調(diào)一致的進(jìn)行高效工作。標(biāo)準(zhǔn)性和開放性只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng)，才能支持與其它開放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采用的硬件設(shè)備及軟件產(chǎn)品應(yīng)該支持國際工作標(biāo)準(zhǔn)或事實(shí)上的標(biāo)準(zhǔn)，以便能和不同廠家的開放性產(chǎn)品在同一網(wǎng)絡(luò)中同時(shí)共存。通信中應(yīng)采用標(biāo)準(zhǔn)的通信協(xié)議以使不同的操作系統(tǒng)與不同的網(wǎng)絡(luò)系統(tǒng)及不同的網(wǎng)絡(luò)之間順利進(jìn)行通訊。先進(jìn)性和安全性系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。不能一味地追求實(shí)用而忽略先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實(shí)際應(yīng)用要求緊密結(jié)合，才能獲得最大的系統(tǒng)性能和效益。網(wǎng)絡(luò)的安全是事關(guān)重要的，在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全。成熟性和高可靠性作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的配置及帶寬應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需要。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實(shí)際應(yīng)用中能經(jīng)過較長時(shí)間的考驗(yàn)，在運(yùn)行速度和性能上都應(yīng)是穩(wěn)定可靠的、擁有完善的、實(shí)用的解決方案，并通到較多的第三方開發(fā)商和用戶在全球的廣泛支持和使用。同時(shí)，應(yīng)從長遠(yuǎn)的技術(shù)發(fā)展來選擇具有很好前景的、較為先進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)未來的發(fā)展需要?？煽啃砸彩呛饬恳粋€(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在確保系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨(dú)設(shè)備穩(wěn)定、可靠運(yùn)行的前提下，還需要考慮網(wǎng)絡(luò)整體的容錯(cuò)能力、安全性及穩(wěn)定性，使系統(tǒng)出現(xiàn)問題和故障時(shí)能迅速地修復(fù)。因此需要采取一定的預(yù)防措施，如對(duì)關(guān)鍵應(yīng)用的主干設(shè)備考慮有適當(dāng)?shù)娜哂唷?yīng)急處理信息系統(tǒng)能夠全天候工作，達(dá)到每周7*24小時(shí)工作的要求。一個(gè)高可用性的系統(tǒng)才能使用戶的投資真正得到回報(bào)?？删S護(hù)性和可管理性整個(gè)信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是使用方便、操作簡單易學(xué)，并便于維護(hù)。對(duì)復(fù)雜和龐大的網(wǎng)絡(luò)，要求有強(qiáng)有力的網(wǎng)絡(luò)管理手段，以便合理的管理網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)及控制網(wǎng)絡(luò)的運(yùn)行，因此，網(wǎng)絡(luò)所選的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種協(xié)議，管理員能方便進(jìn)行網(wǎng)絡(luò)管理、維護(hù)甚至修復(fù)。在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，必須充分考慮整個(gè)系統(tǒng)的便于維護(hù)性，以使系統(tǒng)萬一發(fā)生故障時(shí)能提供有效手段及時(shí)進(jìn)行恢復(fù)，盡量減少損失?？蓴U(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可擴(kuò)展性即網(wǎng)絡(luò)聯(lián)結(jié)必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理能力、物理接連、產(chǎn)品支持等方面具有擴(kuò)充與升級(jí)換代的可能，采用的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，以便不同的設(shè)備能方便靈活地接連入網(wǎng)并滿足系統(tǒng)規(guī)模擴(kuò)充的要求。為了使所實(shí)現(xiàn)系統(tǒng)能夠在應(yīng)用發(fā)生變化的情況下保護(hù)原有的開發(fā)投資，在設(shè)計(jì)系統(tǒng)時(shí)，應(yīng)將系統(tǒng)按功能做成模塊化的，可根據(jù)需要增加和刪除功能模塊。三、方案設(shè)計(jì)在此校園網(wǎng)絡(luò)設(shè)計(jì)中，我們采用層次結(jié)構(gòu)化模型來設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次結(jié)構(gòu)化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次強(qiáng)化某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成多個(gè)簡單的小問題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計(jì)，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計(jì)。層次結(jié)構(gòu)化模型的好處：在校園網(wǎng)網(wǎng)設(shè)計(jì)中，使用層次結(jié)構(gòu)化模型有許多好處，列舉如下：1、節(jié)省成本采用層次結(jié)構(gòu)化模型之后，各層次各司其職，也不用再同一個(gè)平臺(tái)上考慮所有的事情。層次結(jié)構(gòu)化模型模塊化的特性使網(wǎng)絡(luò)中的各個(gè)層都能夠很好地利用帶寬，減少了對(duì)系統(tǒng)資源的浪費(fèi)。2、易于理解層次結(jié)構(gòu)化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實(shí)施不同的管理，降低了對(duì)網(wǎng)絡(luò)設(shè)備的管理成本。3、易于擴(kuò)展在網(wǎng)絡(luò)設(shè)計(jì)中，模塊化具有的特性使得網(wǎng)絡(luò)增長時(shí),網(wǎng)絡(luò)的復(fù)雜性能夠限制在各個(gè)子網(wǎng)中，而不會(huì)蔓延到網(wǎng)絡(luò)的其它地方。而如果采用扁平化和網(wǎng)狀設(shè)計(jì)，任何一個(gè)節(jié)點(diǎn)的變動(dòng)都將對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生很大影響。4、易于排錯(cuò)層次結(jié)構(gòu)化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡化了排錯(cuò)過程復(fù)雜度。3.網(wǎng)絡(luò)拓?fù)鋱D3.1廣域網(wǎng)設(shè)計(jì)在校園網(wǎng)中訪問對(duì)向一般兩種，一是對(duì)Internet網(wǎng)的訪問需求，另一個(gè)是對(duì)教育網(wǎng)的訪問。如果，只通過Internet訪問教育網(wǎng)，這樣，一是會(huì)造成出口訪問流量大，二是，訪問教育網(wǎng)時(shí)，會(huì)產(chǎn)生一定的延遲時(shí)間。不利于提高網(wǎng)絡(luò)的可靠性和訪問速率。采用高端路由器做路由表的更新及轉(zhuǎn)發(fā)路由信息，提高內(nèi)部對(duì)外部訪問的速率。防火墻放在路由器之外，采用兩個(gè)出口，通過IP策略路由技術(shù)來實(shí)現(xiàn)各自訪問目的地，可以根據(jù)不同目的地址來判斷選擇走哪個(gè)出口去訪問外網(wǎng)。開啟防火墻功能，對(duì)內(nèi)外的數(shù)據(jù)進(jìn)行相應(yīng)的訪問控制，對(duì)不必要的數(shù)據(jù)進(jìn)行過濾，利用Qos服務(wù)質(zhì)量來對(duì)內(nèi)部網(wǎng)、外部網(wǎng)的訪問信息量進(jìn)行相應(yīng)控制，使之保證出口通道不被非正常數(shù)據(jù)所占有。在防火墻上做NAT地址轉(zhuǎn)換技術(shù)、NAT地址映射技術(shù)后，將內(nèi)部IP地址轉(zhuǎn)換成外部可用IP及將內(nèi)部某服務(wù)器IP映射成外部可用IP地址，這樣實(shí)現(xiàn)對(duì)內(nèi)外部網(wǎng)的訪問。相對(duì)外網(wǎng)來說，內(nèi)部網(wǎng)是不可見的。這樣保證了內(nèi)部網(wǎng)的安全性及節(jié)約對(duì)外網(wǎng)IP的需求。光發(fā)射機(jī)，將CATV信號(hào)轉(zhuǎn)換為光信號(hào)，這樣可以提高在內(nèi)部的傳輸速度。3.2核心層設(shè)計(jì)負(fù)載均衡：冗余設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分校園區(qū)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中考慮冗余問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余設(shè)計(jì)可以貫穿整個(gè)層次化結(jié)構(gòu)，每個(gè)冗余設(shè)計(jì)都有針對(duì)性，可以選擇其中一部分或幾部分應(yīng)用到網(wǎng)絡(luò)中以針對(duì)重要的應(yīng)用。萬一網(wǎng)絡(luò)中某條路徑失效時(shí)，冗余鏈路可以提供另一條物理路徑?？刹捎肎EC鏈路聚合（IEEE802.3ad）實(shí)現(xiàn)端口級(jí)冗余，以克服某個(gè)端口或線路引起的故障。也可采用生成樹協(xié)議（IEEE802.1d）或MSTP提供設(shè)備級(jí)的冗余連接。此外，我們在設(shè)計(jì)中提供不同物理方向的雙歸屬、雙路由保護(hù)。線路冗余：在校園網(wǎng)骨干核心層校園網(wǎng)絡(luò)邊界拓?fù)浣Y(jié)構(gòu)由于采用了多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案，所以在線路冗余方面的要求較高，對(duì)于線路的冗余要求，我們采用10GE線路對(duì)二臺(tái)校園網(wǎng)核心層設(shè)備進(jìn)行環(huán)行雙向備份，并使用業(yè)界領(lǐng)先的VRRP（虛擬路由器冗余協(xié)議）來對(duì)其作為冗余線路的協(xié)議保障。以GEC作為N*1000M主干鏈路，通過這個(gè)鏈路連接骨干網(wǎng)交換機(jī)，具備萬兆擴(kuò)展能力；接入交換機(jī)采用10/100M自適應(yīng)端口連接桌面系統(tǒng)，多千兆鏈路連接到匯聚層。鏈路聚合：鏈路聚合中，成員互相動(dòng)態(tài)備份。當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對(duì)聚合之外是不可見的，而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無關(guān)，切換可在數(shù)毫秒內(nèi)完成。綜合分析以上各主流方案的優(yōu)缺點(diǎn)，從性能與成本及拓展性等方面的綜合考慮出發(fā)，我們決定采用GEC骨干核心網(wǎng)絡(luò)10GE拓展的方式作為其鏈路選擇及備份選擇。校園網(wǎng)匯聚層及接入層出于成本及性價(jià)比的考慮，我們決定采用千兆交換，千兆匯聚，千兆路由,萬兆拓展,百兆到桌面的鏈路。3.3匯聚層設(shè)計(jì)匯聚層針對(duì)于學(xué)院內(nèi)的接入層與核心層的數(shù)據(jù)交換，實(shí)現(xiàn)學(xué)院各區(qū)域間網(wǎng)絡(luò)之間的的匯聚。有多個(gè)不同VLAN，利用STP或RSTP生成樹協(xié)議，會(huì)造成鏈路的浪費(fèi)，不能達(dá)到鏈路的有效利用率，為實(shí)現(xiàn)匯聚層鏈路的負(fù)載分擔(dān)及備份。則我們采用MSTP多生成樹實(shí)例來實(shí)現(xiàn)，它可以將多個(gè)不同VLAN捆綁在一起，不同實(shí)例互相為備份，達(dá)到鏈路的備份及流量的分擔(dān)。交換機(jī)在提供高密度千兆端口接入的同時(shí)還能夠滿足匯聚層智能高速處理的需要,并能夠加靈活的部署在網(wǎng)絡(luò)邊緣的各個(gè)位置。能夠同時(shí)提供多個(gè)高速專用堆疊端口和百兆、千兆光口/電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)提供能力，可支持包括智能的CCL、MPLS（多協(xié)議標(biāo)簽交換）、組播在內(nèi)的各種業(yè)務(wù)。為用戶提供豐富、高性價(jià)比的組網(wǎng)選擇。3.4接入層設(shè)計(jì)以往傳統(tǒng)校園網(wǎng)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱機(jī)，使網(wǎng)絡(luò)沒有QOS服務(wù)質(zhì)量保障。我們采用H3C3600-28P的交換機(jī)是能滿足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境智能交換機(jī)，具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn)，同時(shí)還具有領(lǐng)先的安全特性，進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層面的安全控制能力。具備的端口帶寬限制、端口鏡像、QoS、802.1Q、端口安全、廣播風(fēng)暴抑制等功能可以很好的協(xié)助用戶實(shí)現(xiàn)網(wǎng)絡(luò)的管理和維護(hù)。光接收機(jī)，將多個(gè)頻率的光信號(hào)分離出來，使數(shù)據(jù)信號(hào)、CATV信號(hào)、語音信號(hào)實(shí)現(xiàn)各自的傳送。3.5網(wǎng)絡(luò)設(shè)備冗余負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。它主要完成以下任務(wù):解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實(shí)現(xiàn)地理位置無關(guān)性;為用戶提供更好的訪問質(zhì)量;提高服務(wù)器響應(yīng)速度;提高服務(wù)器及其它資源的利用效率;避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。雙核心拓?fù)浣Y(jié)構(gòu)提供了兩條等代價(jià)路徑和雙倍的帶寬。每個(gè)交換區(qū)塊都有冗余的連接到核心交換機(jī)上，因此形成兩條不同的，但是等代價(jià)的連接。如果一條核心設(shè)備發(fā)生故障，還是能夠收斂，因?yàn)閰R聚層設(shè)備的路由選擇表中還有另一條到核心設(shè)備的路由。路由選擇協(xié)議在核心中起鏈路選擇的作用，VRRP（容錯(cuò)協(xié)議）提供快速錯(cuò)誤恢復(fù)。3.6服務(wù)器冗余為確保校園網(wǎng)WEB、FTP服務(wù)器的穩(wěn)定性、數(shù)據(jù)安全性，則兩個(gè)服務(wù)器采用雙機(jī)熱備份技術(shù)，雙機(jī)熱備份技術(shù)能夠有效的快速的切換服務(wù)器，如果存儲(chǔ)的數(shù)據(jù)服務(wù)器出現(xiàn)宕機(jī)情況，另一臺(tái)服務(wù)器很快的代替接著處理數(shù)據(jù)。此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的高要求。而且相對(duì)于其它成本技術(shù)來說，這是比較有經(jīng)濟(jì)價(jià)成效的技術(shù)。具體技術(shù)實(shí)現(xiàn)：每個(gè)核心服務(wù)器均具有兩個(gè)以太網(wǎng)接口（可以通過安裝雙網(wǎng)卡實(shí)現(xiàn)），WEB服務(wù)器與FTP服務(wù)器先分別利用自己的一個(gè)以太網(wǎng)接口實(shí)現(xiàn)兩個(gè)服務(wù)器之間的直連，每個(gè)服務(wù)器另外的一個(gè)接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實(shí)現(xiàn)互連，以達(dá)到雙機(jī)熱備的目的。這樣增加服務(wù)器的穩(wěn)定性與高效性。網(wǎng)絡(luò)中應(yīng)具有多臺(tái)服務(wù)器設(shè)備，包括DBSERVER數(shù)據(jù)庫服務(wù)器，WEB,FTP,OA等應(yīng)用服務(wù)器。3.7方案特點(diǎn)本方案采用層次結(jié)構(gòu)化模型很好地解決了校園網(wǎng)內(nèi)要求的幾個(gè)問題，即帶寬問題、安全問題、管理問題、維護(hù)問題、靈活擴(kuò)展問題。帶寬問題：使用萬兆互連雙核心結(jié)構(gòu)，使網(wǎng)絡(luò)核心設(shè)備不但可以互相備份，而且有效的減輕流量負(fù)荷，使設(shè)備時(shí)刻保持穩(wěn)定和高效。安全問題：校園網(wǎng)核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有網(wǎng)絡(luò)病毒和攻擊的防護(hù)能力，并且防DOS/DDOS攻擊，因而可以在不同的環(huán)境中做到安全防護(hù)，足以應(yīng)對(duì)突發(fā)事件，保持網(wǎng)絡(luò)穩(wěn)定、通暢。管理問題：統(tǒng)一認(rèn)證，針對(duì)校園網(wǎng)開放式的信息點(diǎn)造成的安全隱患，全網(wǎng)接入采用統(tǒng)一認(rèn)證技術(shù)（可以進(jìn)行賬號(hào)、IP，MAC、LAVNID、交換機(jī)IP和交換機(jī)端口六要素靈活捆綁），保證了只有合法授權(quán)的用戶才能使用網(wǎng)絡(luò)或外部網(wǎng)絡(luò)，而且還能對(duì)網(wǎng)絡(luò)的使用情況進(jìn)行審計(jì)。維護(hù)問題：以層次結(jié)構(gòu)化模型建立校園網(wǎng)，當(dāng)某區(qū)域出現(xiàn)問題后，能很快的判斷網(wǎng)絡(luò)問題所在。靈活擴(kuò)展問題：核心層使用的銳捷網(wǎng)絡(luò)RG0S6810E路由交換機(jī)有良好的擴(kuò)展性，可以為將來的網(wǎng)絡(luò)實(shí)現(xiàn)輕松擴(kuò)展。網(wǎng)絡(luò)安全在校園網(wǎng)絡(luò)里必需要有一整套從用戶接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，才能有效的保證校園網(wǎng)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。1.防沖擊波病毒四、IP地址規(guī)劃4.1IP地址規(guī)劃原則對(duì)IP地址編址設(shè)計(jì)和分配利用，遵循了以下原則：1、自治：整個(gè)網(wǎng)絡(luò)被劃分成幾個(gè)大的自治區(qū)域，每個(gè)大自治區(qū)域中又被劃分成幾個(gè)中等的自治區(qū)域,再將中等自治區(qū)域劃分成幾個(gè)小的自治區(qū)域。2、有序：我們按照自治原則將網(wǎng)絡(luò)進(jìn)行邏輯劃分后，就根據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來進(jìn)行子網(wǎng)規(guī)劃。同時(shí)，將IP地址規(guī)劃和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。為了提高地址分配效率和地址利用率，在編址設(shè)計(jì)時(shí)按照了一定的順序進(jìn)行。選擇的順序是自上而下的順序，即采用領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計(jì)（Top-DownNetworkDesign）方法。3、可持續(xù)性：考慮到內(nèi)網(wǎng)絡(luò)用戶數(shù)將持續(xù)高速增長，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多，這使得網(wǎng)絡(luò)需要頻頻進(jìn)行技術(shù)升級(jí)、改造和擴(kuò)容。所以，在進(jìn)行地址分配時(shí)本方案充分考慮到了這些因素，為網(wǎng)絡(luò)的每個(gè)部分留有部分地址冗余，這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。4、可聚合：互聯(lián)網(wǎng)日新月異的發(fā)展和日益龐大的規(guī)模令當(dāng)初設(shè)計(jì)互聯(lián)網(wǎng)絡(luò)的專家始料不及，在路由表急劇膨脹情況下，可聚合原則是網(wǎng)絡(luò)地址分配時(shí)所必須遵守的最高原則，可聚合原則要求在進(jìn)行地址規(guī)劃時(shí)，應(yīng)提供足夠的路由冗余功能。5、盡量節(jié)約IPv4地址：由于IPv4地址越來越少，所以對(duì)于IPv4地址的使用需要格外節(jié)約。IPv4地址的節(jié)約可以通過動(dòng)態(tài)編址技術(shù)和NAT技術(shù)等來實(shí)現(xiàn)。6、閑置IP地址回收利用：對(duì)于已分配出去的靜態(tài)IP地址進(jìn)行定期追蹤管理，對(duì)長時(shí)間閑置的IP地址可經(jīng)過確認(rèn)后回收重復(fù)利用。4.2IP地址規(guī)劃表在此方案中，我們采用A類地址對(duì)校園網(wǎng)網(wǎng)絡(luò)設(shè)備編址。由于網(wǎng)絡(luò)拓?fù)鋱D采用了典型的層次結(jié)構(gòu)化設(shè)計(jì)，所以對(duì)IP地址的編址設(shè)計(jì)也應(yīng)采取層次化的設(shè)計(jì)來完成，并采用VLSM（可變長子網(wǎng)掩碼）來拓展有限的IPv4地址。區(qū)域樓號(hào)VLANIP地址段及子網(wǎng)掩碼教工宿辦樓1號(hào)宿辦樓VLAN10.64/262號(hào)宿辦樓VLAN11.128/263號(hào)宿辦樓VLAN12.192/264號(hào)宿辦樓VLAN13.0/26辦公區(qū)樓宇綜合辦公樓1層VLAN21.0/26綜合2層新政領(lǐng)導(dǎo)VLAN22.64/26綜合3層教研組VLAN23.128/26綜合4、綜合5層VLAN24.192/26東輔助辦公樓VLAN25.0/26西輔助辦公樓VLAN26.64/26西輔助辦公樓（網(wǎng)絡(luò)中心）VLAN20.128/26東邊的教工食堂VLAN27.192/26接待中心前臺(tái)、服務(wù)室、房間VLAN28.0/26教學(xué)區(qū)樓宇東主教學(xué)1號(hào)、2號(hào)樓VLAN30.0/26西主教學(xué)1號(hào)、2號(hào)樓VLAN31.64/26綜合實(shí)驗(yàn)1號(hào)、2號(hào)樓VLAN32.128/26圖書館主體樓部分、電子圖書閱覽室VLAN41.0/26借閱臺(tái)、還書臺(tái)、圖書查詢、多媒體查詢VLAN40.64/26學(xué)生生活區(qū)學(xué)生食堂、洗浴中心VLAN50.0/261號(hào)樓學(xué)生公寓VLAN60.64/26VLAN61.128/26VLAN62.192/262號(hào)樓學(xué)生公寓VLAN70.0/26VLAN71.64/26VLAN72.128/263號(hào)樓學(xué)生公寓VLAN80.0/26VLAN81.64/26VLAN82.128/264號(hào)樓學(xué)生公寓VLAN90.0/26VLAN91.64/26VLAN92.128/26五、網(wǎng)絡(luò)設(shè)備技術(shù)選型OSPF路由技術(shù)在網(wǎng)絡(luò)核心層以及匯聚層上，需要三層的網(wǎng)絡(luò)設(shè)備，采用OSPF協(xié)議作為路由，以此使網(wǎng)絡(luò)內(nèi)部不同的網(wǎng)段的數(shù)據(jù)和不同vlan間的數(shù)據(jù)轉(zhuǎn)發(fā)。OSPF是一種典型的鏈路狀態(tài)路由協(xié)議。采用OSPF的路由器彼此交換并保存整個(gè)網(wǎng)絡(luò)的鏈路信息，從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu)，獨(dú)立計(jì)算路由。因?yàn)镽IP路由協(xié)議是距離矢量協(xié)議，不能服務(wù)于大型網(wǎng)絡(luò)。所以，IETF的IGP工作組特別開發(fā)出鏈路狀態(tài)協(xié)議——OSPF。目前廣為使用的是OSPF第二版，最新標(biāo)準(zhǔn)為RFC2328。OSPF作為一種內(nèi)部網(wǎng)關(guān)協(xié)議（InteriorGatewayProtocol，IGP），用于在同一個(gè)自治域（AS）中的路由器之間發(fā)布路由信息。區(qū)別于距離矢量協(xié)議(RIP)，OSPF具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。5.2VRRP(虛擬路由冗余協(xié)議)原理VRRP給路由組提供了一個(gè)冗余網(wǎng)關(guān)地址，它是一種容錯(cuò)協(xié)議，通過定義不同的組，不同優(yōu)先級(jí)的路由，它保證網(wǎng)絡(luò)的主路由失效時(shí)，可以及時(shí)的由備分來實(shí)現(xiàn)路由來替代，從而保持通訊的連續(xù)性和可靠性。并可以在該協(xié)議上實(shí)現(xiàn)負(fù)載均衡等高級(jí)交換特性。VRRP技術(shù)的實(shí)現(xiàn)：匯聚到核心冗余連接及VRRP的實(shí)現(xiàn)通過VRRP技術(shù)將多個(gè)設(shè)備虛擬成為一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)匯聚/接入鏈路冗余。5.3MSTP多生成樹實(shí)例RSTP協(xié)議完全向下兼容802.1DSTP協(xié)議，除了和傳統(tǒng)的STP協(xié)議一樣具有避免回路、提供冗余鏈路的功能外，最主要的特點(diǎn)就是“快”。如果一個(gè)局域網(wǎng)內(nèi)的網(wǎng)橋都支持RSTP協(xié)議且管理員配置得當(dāng)，一旦網(wǎng)絡(luò)拓樸改變而要重新生成拓樸樹只需要不超過1秒的時(shí)間（傳統(tǒng)的STP需要大約50秒）。MSTP多生成樹協(xié)議（MultipleSpanningTreeProtocol）是中定義的一種新型生成樹協(xié)議，多生成樹協(xié)議引入“實(shí)例”（Instance）和“域”(Region)，通過多個(gè)VLAN捆綁到一個(gè)實(shí)例中去的方法可以節(jié)省通信開銷和資源占用率。5.4NAT的描述、NAT映射、策略路由為了節(jié)約地址，我們在內(nèi)部使用保留的私有地址段中的地址，但是使用私有地址不能訪問Internet,所以必須向ISP服務(wù)提供商申請公開地址配置校園網(wǎng)的邊緣路由設(shè)備上的出口，并應(yīng)用NAT進(jìn)行地址轉(zhuǎn)換。NAT是網(wǎng)絡(luò)地址翻譯技術(shù)，在路由器上起用NAT之后，可以在部私有地址和外部公網(wǎng)地址之間做轉(zhuǎn)換。比如我們可以把網(wǎng)絡(luò)內(nèi)部使用的IP翻譯成外部公網(wǎng)的IP。配置基于策略的路由選擇時(shí)，可使用路由映射表來指定基于IP地址，應(yīng)用程序，協(xié)議或者分組長度的條件?；诓呗缘穆酚蛇x擇命令對(duì)選中的路由實(shí)現(xiàn)策略?；诓呗缘穆酚珊挽o態(tài)路由有很多共同之處。然而，靜態(tài)路由根據(jù)目標(biāo)網(wǎng)絡(luò)地址來轉(zhuǎn)換分組，而策略路由根據(jù)源地址來轉(zhuǎn)發(fā)分組。在路由選擇表中使用訪問列表時(shí)，可根據(jù)諸如目標(biāo)地址，分組長度，IP協(xié)議字段，優(yōu)先級(jí)或端口號(hào)來轉(zhuǎn)發(fā)數(shù)據(jù)流。這樣可以指定范圍更廣泛，更細(xì)致的條件，并根據(jù)這些條件來決定下一跳路由器。NAT實(shí)現(xiàn)IP地址映射，將校園網(wǎng)內(nèi)部的服務(wù)器IP地址映射外網(wǎng)中。外網(wǎng)訪問只能訪問公網(wǎng)IP地址，不能訪問局域網(wǎng)內(nèi)部的。所以，通過NAT映射的方法，外網(wǎng)訪問校園網(wǎng)內(nèi)部的WEB服務(wù)器時(shí)，實(shí)質(zhì)是訪問的校園網(wǎng)外部的IP地址，這樣，也能通過外網(wǎng)訪問也能實(shí)現(xiàn)對(duì)校園網(wǎng)的內(nèi)部WEB服務(wù)器的訪問。5.5ACL(訪問控制列表)訪問列表為我們提供了一種對(duì)網(wǎng)絡(luò)訪問進(jìn)行有效管理的方法，通過訪問列表，我們可以設(shè)置允許或拒絕數(shù)據(jù)包通過路由器，或者允許或者拒絕具體的某些端口進(jìn)行訪問和使用，如果滿足條件則執(zhí)行相應(yīng)的操作，放行這個(gè)包或者放棄這個(gè)包。我們通過這些設(shè)置來滿足實(shí)際網(wǎng)絡(luò)的靈活需求，從而達(dá)到設(shè)置網(wǎng)絡(luò)安全策略，防止網(wǎng)絡(luò)中的敏感設(shè)備受到非授權(quán)訪問的情況。鏈路聚合EC(EthernetChannel)以太網(wǎng)信道鏈路聚合可以讓交換機(jī)之間和交換機(jī)與服務(wù)器之間的鏈路帶寬有非常好的伸縮性，比如可以把2個(gè)、3個(gè)、4個(gè)千兆的鏈路綁定在一起，使鏈路的帶寬成倍增長。鏈路聚合技術(shù)可以實(shí)現(xiàn)不同端口的負(fù)載均衡，同時(shí)也能夠互為備份，保證鏈路的冗余性。在這些千兆以太網(wǎng)交換機(jī)中，最多可以支持4組鏈路聚合，每組中最大4個(gè)端口。鏈路聚合一般是不允許跨芯片設(shè)置的。生成樹協(xié)議和鏈路聚合都可以保證一個(gè)網(wǎng)絡(luò)的冗余性。在一個(gè)網(wǎng)絡(luò)中設(shè)置冗余鏈路，并用生成樹協(xié)議讓備份鏈路阻塞，在邏輯上不形成環(huán)路。而一旦出現(xiàn)故障，啟用備份鏈路。5.7VLAN(虛擬局域網(wǎng))VLAN虛擬局域網(wǎng)是一種在二層設(shè)備上隔離和劃分廣播域的技術(shù)，通過這種劃分，我們可以把物理位置上分離的網(wǎng)絡(luò)設(shè)備在邏輯上劃為同一個(gè)廣播域，或者把物理位置上鄰近的網(wǎng)絡(luò)設(shè)備劃為不同的廣播域，從而更方便我們管理和做一個(gè)邏輯層次的劃分。從技術(shù)上說VLAN可以分為靜態(tài)VLAN和動(dòng)態(tài)VLAN,那么靜態(tài)的VLAN是基于交換機(jī)端口進(jìn)行劃分，根據(jù)網(wǎng)絡(luò)設(shè)備連接不同的交換機(jī)端口，則進(jìn)入相應(yīng)的VLAN。動(dòng)態(tài)VLAN則更靈活，它可以根據(jù)接入計(jì)算機(jī)的IP地址，MAC地址，甚至是用戶的登陸賬號(hào)做出相應(yīng)的處理，把計(jì)算機(jī)劃分進(jìn)相應(yīng)的VLAN中，這樣就為我們實(shí)際的網(wǎng)絡(luò)管理帶來了比較大的方便性和靈活性。那么在的校園網(wǎng)方案中，劃分子網(wǎng)隔離廣播域，減小不必要的廣播流量，從而提高整個(gè)網(wǎng)絡(luò)的利用效率。DHCP(動(dòng)態(tài)獲取IP地址)動(dòng)態(tài)主機(jī)設(shè)置協(xié)議（DynamicHostConfigurationProtocol,DHCP）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址給用戶給內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段。在內(nèi)部網(wǎng)中主機(jī)數(shù)量過大時(shí)，我們采用DHCP技術(shù)，使用PC機(jī)能自動(dòng)獲取到相應(yīng)網(wǎng)絡(luò)的IP地址，這樣既滿足了IP地址的合理分配和減少手工配置的煩瑣，又滿足了IP地址有分配的原則。六、網(wǎng)絡(luò)設(shè)備選型6.1核心層設(shè)備：H3CS5800-56C-PWR、S5600-50CS5800-56C-PWRS5600-50C選擇理由：作為校園網(wǎng)的核心，要求設(shè)備能夠大容量、穩(wěn)定可靠的高速路由轉(zhuǎn)發(fā)，能夠接入大量的匯聚節(jié)點(diǎn)并滿足今后擴(kuò)充的需要。同時(shí)，應(yīng)完備的QoS保證機(jī)制，完備的業(yè)務(wù)控制、用戶管理機(jī)制。因此，在本方案的核心層，部署了H3C網(wǎng)絡(luò)的H3CS5800-56C-PWR網(wǎng)絡(luò)設(shè)備二臺(tái)，作為核心設(shè)備萬兆路由交換機(jī)，該交換機(jī)具有高達(dá)，320Gbps的背板帶寬，L2/L3層有192Mpps的轉(zhuǎn)發(fā)率，模塊化骨干路由交換機(jī)三臺(tái)，該交換機(jī)具有高達(dá)240Gbps的背板帶寬，L2/L3層具有S5800-56C-PWR是H3C網(wǎng)絡(luò)推出的基于NP+ASIC構(gòu)架的新一代多業(yè)務(wù)萬兆核心路由交換機(jī)，在保障高性能大容量的基礎(chǔ)上提供強(qiáng)大的安全防護(hù)能力，并且擁有業(yè)務(wù)按需疊加擴(kuò)展能力，達(dá)到本方案要示求的業(yè)務(wù)和性能并重的設(shè)計(jì)需求。S5800-56C-PWR多業(yè)務(wù)萬兆核心路由交換機(jī)提供320Gbps背板帶寬，并支持將來擴(kuò)展到原來的兩倍的能力，高達(dá)192Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換，強(qiáng)大的交換路由功能、安全智能技術(shù)，為用戶提供完整的端到端解決方案，是本方案網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇。S5800-56C-PWR交換機(jī)通過先進(jìn)的高性能引擎可硬件支持策略路由、IPV6等協(xié)議，并可擴(kuò)展支持MPLS、loadbalancing、NAT、VPN、Firewall、IDS、webcacheredirect等豐富的業(yè)務(wù)功能，滿足本方案中用戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。提供了4端口1G/10GSFP+接口模塊，2端口1G/10GSFP+接口模塊，16端口10/100/1000MBase-T電口模塊，16端口100/1000MSFP端口模塊。S5600-50C全千兆智能彈性交換機(jī)提供了48端口，背板帶寬240Gbps，包轉(zhuǎn)發(fā)率102Mpps,支持WEB網(wǎng)管,SNMP等。6.2匯聚層設(shè)備：H3CS3600-52P-SIS3600-52P-SI選擇理由：匯聚層起著承上啟下的作用，負(fù)責(zé)對(duì)各種接入的匯聚，并可在該層實(shí)現(xiàn)對(duì)于用戶的訪問控制，以及對(duì)用戶的網(wǎng)絡(luò)管理。因此，匯聚層應(yīng)考慮三層交換機(jī)。在本方案中H3CS3600-52P-SI模塊化的路由交換機(jī)。在匯聚層使用三層交換機(jī)的目的是為了減輕核心層的負(fù)擔(dān)。S3600-52-P-SI模塊化的路由交換機(jī)，其高達(dá)48G的背板帶寬和20Mpps的三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的交換；豐富的擴(kuò)展模塊支持靈活構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。支持流量控制(FlowControl),支持服務(wù)質(zhì)量(QoS),生成樹協(xié)議支持,廣播風(fēng)暴控制,802.1x認(rèn)證支持,支持端口匯聚,支持鏡像,DCRS-5650-28根據(jù)網(wǎng)絡(luò)的需要，提供了48口10/100Base-T端口,1000Base-XSFP端口,(48個(gè)10/100Base-T以太網(wǎng)端口,4個(gè)1000Base-XSFP千兆以太網(wǎng)端口)6.3接入層設(shè)備：H3C3600-28P-EI、S3100-26TP-SI3600-28P-EIS3100-26TP-SI根據(jù)實(shí)際需要配置3600-28P-EI交換機(jī)，滿足辦公區(qū)、教學(xué)區(qū)的應(yīng)用需求的高速帶寬。S3100-26TP-SI交換機(jī)滿足教工區(qū)、圖書館、學(xué)生區(qū)的網(wǎng)絡(luò)需求。H3C3600-28P-EI選擇理由：接入層應(yīng)該能夠?qū)崿F(xiàn)對(duì)用戶的訪問控制，并具有較強(qiáng)的安全和QOS控制功能，支持802.1x的認(rèn)證計(jì)費(fèi)，支持千兆上聯(lián)，支持SMNP的網(wǎng)管。同時(shí)，為滿足接入的需求，接入層應(yīng)考慮可堆疊交換機(jī)。因此，在接入層部署了H3C3600-28P-EI可堆疊交換機(jī)。H3C3600-28P-EI交換機(jī)，它的背板帶寬32Gbps,包轉(zhuǎn)發(fā)率Mpps,提供了24個(gè)10/100Mbps端口和4個(gè)固化的千兆光電Combo端口,在提供智能的流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性同時(shí)，并可以根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制策略，可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運(yùn)營。H3C3600-28P-EI可通過SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。H3C3600-28P-EI以極高的性價(jià)比為本方案中各類型網(wǎng)絡(luò)提供完善的服務(wù)質(zhì)量、靈活豐富的安全策略管理和基于策略的網(wǎng)管，最大化滿足高速、安全、智能的企業(yè)網(wǎng)絡(luò)新需求。H3C3100-26TP-SI選擇理由：H3C3100-26TP-SI是一款網(wǎng)管型交換機(jī)，它的背板帶寬Gbps，包轉(zhuǎn)發(fā)率Mpps，提供了24個(gè)10/100Mbps端口，具有特別豐富而強(qiáng)大的網(wǎng)管功能，可以通過多重設(shè)置方式對(duì)網(wǎng)絡(luò)進(jìn)行網(wǎng)管操作，支持管理。H3C3100-26TP-SI可針對(duì)用戶的不同情況進(jìn)行端口帶寬分配，并采用業(yè)界最先進(jìn)的802.1x安全接入控制策略，簡化認(rèn)證的同時(shí)實(shí)現(xiàn)高效的用戶控制能力，其靈活的帶寬分配功能和安全的用戶接入控制功能使此款交換機(jī)特別適合于寬帶社區(qū)、校園區(qū)多種應(yīng)用場合。6.4路由設(shè)備：H3CRT-MSR5040-AC-H3RT-MSR5040-AC-H3作為內(nèi)部網(wǎng)的出口，則應(yīng)具備很好的包轉(zhuǎn)發(fā)速率，所以在本方案中我們采用H3C網(wǎng)絡(luò)公司的H3CRT-MSR5040-AC-H3路由器設(shè)備，它的包轉(zhuǎn)發(fā)率600KPPS，數(shù)據(jù)包傳輸速率10/100/1000Mbps，支持IP服務(wù),非IP服務(wù),IP應(yīng)用,IP路由,MPLS,IPv6,廣域網(wǎng)協(xié)議,局域網(wǎng)協(xié)議，內(nèi)置防火墻，模塊化的端口，并提供擴(kuò)展插槽14個(gè)。6.5防火墻設(shè)備：H3CF1000-S-ACF1000-S-AC在網(wǎng)絡(luò)中，防火墻是不可少的，因?yàn)樗梢员Ｗo(hù)內(nèi)部網(wǎng)或內(nèi)部服務(wù)器的安全，好處如下以點(diǎn)：(1)網(wǎng)絡(luò)安全的屏障防火墻可通過過濾不安全的服務(wù)而減低風(fēng)險(xiǎn)，極大地提高內(nèi)部網(wǎng)絡(luò)的安全性。由于只有經(jīng)過選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以禁止諸如不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，使攻擊者不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報(bào)文，并將情況及時(shí)通知防火墻管理員。(2)強(qiáng)化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置。能將所有安全軟件(如口令、加密、身份認(rèn)證等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如，在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上而集中在防火墻。(3)對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)由于所有的訪問都必須經(jīng)過防火墻，所以防火墻就不僅能夠制作完整的日志記錄，而且還能夠提供網(wǎng)絡(luò)使用的情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是一項(xiàng)非常重要的工作。這不僅有助于了解防火墻的控制是否能夠抵擋攻擊者的探測和攻擊，了解防火墻的控制是否充分有效，而且有助于作出網(wǎng)絡(luò)需求分析和威脅分析。(4)防止內(nèi)部信息的外泄通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)中重點(diǎn)網(wǎng)段的隔離，限制內(nèi)部網(wǎng)絡(luò)中不同部門之間互相訪問，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。另外，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)，可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至由此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱藏那些透露內(nèi)部細(xì)節(jié)的服務(wù)，如Finger、DNS等。Finger顯示了主機(jī)的所有用戶的用戶名、真名、最后登錄時(shí)間和使用Shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。6.6UPS電源科士達(dá)HiPowerHI3304為了保證在任何不利于網(wǎng)絡(luò)服務(wù)設(shè)備的正常運(yùn)行因素，而導(dǎo)致服務(wù)設(shè)備斷電而沒有及時(shí)的將重要數(shù)據(jù)進(jìn)行保存，所以，我們采用UPS電源來提供可持續(xù)的電源，保證其它供電系統(tǒng)斷電后，也能正常運(yùn)行?？剖窟_(dá)HiPowerHI3304是后備式UPS，容量40KVA持續(xù)時(shí)間：8個(gè)小時(shí)。6.7無線校園網(wǎng)無線局域網(wǎng)有4大特點(diǎn)：移動(dòng)性：不受時(shí)間限制，空間限制，用戶可以在網(wǎng)絡(luò)中漫游。靈活性：不受線纜的限制，可以隨意增加和配置工作站。低成本：無線網(wǎng)絡(luò)不再需要大量的工程布線，同時(shí)節(jié)省了線路的維護(hù)費(fèi)用。易安裝：對(duì)于有線網(wǎng)絡(luò)來說，無線網(wǎng)絡(luò)的組建、配置和維護(hù)更為容易。結(jié)合以上特點(diǎn)，無線網(wǎng)絡(luò)非常適合教學(xué)辦公環(huán)境的要求，我們在區(qū)域樓宇布置無線網(wǎng)絡(luò)，并且采用Infrastucture這種典型的WLAN工作模式，無線客戶端可以通過無線接入器AP(AccessPoint)接入以太網(wǎng)共享網(wǎng)絡(luò)資源，多個(gè)AP分布在相鄰的區(qū)域可以實(shí)現(xiàn)無線客戶端的移動(dòng)漫游。有線校園網(wǎng)并不能滿足移動(dòng)的接入用戶，隨著互聯(lián)網(wǎng)的普及，學(xué)校師生員工對(duì)網(wǎng)絡(luò)的需求日益迫切，特別對(duì)移動(dòng)學(xué)習(xí)或辦公的要求比較高，而校園范圍較大、建筑設(shè)施復(fù)雜，許多場所無法架設(shè)或不適宜架設(shè)有線網(wǎng)絡(luò)，另外部分公共場所如圖書館，未來接入數(shù)量增大過后，由于網(wǎng)絡(luò)接入端口數(shù)量的限制導(dǎo)致現(xiàn)有有線網(wǎng)絡(luò)資源緊張，網(wǎng)絡(luò)設(shè)備不足等因數(shù)，導(dǎo)致網(wǎng)絡(luò)性能下降，給使用者帶來不便，這些都嚴(yán)重阻礙了全校信息化的步伐，影響了工作效率，最后影響教學(xué)質(zhì)量。6.7.1無線路由設(shè)備：H3CWX3008、WA2620X-AGP、IP-COMW40APWX3008WA2220X-AGPIP-COMW40AP校園里要用到移動(dòng)接入的地方，都應(yīng)安裝無線路由，使校園內(nèi)不能通過有線接入時(shí)，我們就可以采用無線接入到網(wǎng)絡(luò)內(nèi)。校園網(wǎng)絡(luò)無線區(qū)域，H3CWX3008交換機(jī)作為無線匯聚，則它應(yīng)具備更高更可靠的性能，以求滿足無線用戶對(duì)無線網(wǎng)的需求。它的傳輸速率為10/100/1000Mbps，支持CAPWAP、Ping、TraceRT、DHCPServer、DHCPClient、DHCPRelay、DHCPSnooping、DNSClient、NTP、Telnet、TFTPClient、FTPClient、FTPServer傳輸協(xié)議，背板帶寬:16Gbps，，支持全雙工、VLAN、QOS等功能，最大可管理8個(gè)AP。H3CWA2220X-AGP無線交換機(jī)是室外增強(qiáng)型，傳輸距離600m，支持虛擬AP、"零配置"特性、集中管理、版本自動(dòng)升級(jí)。H3CIP-COMW40AP吸頂式無線AP，室內(nèi)傳輸距離100m，室外傳輸距離150m，支持基于Web和SNMP的管理、64/128位WEP數(shù)據(jù)加密、WPA-PSK、WPA2-PSK、WP/WPA2混合等多種加密方式；可劃分無線VLAN,方便對(duì)客戶端的管理，支持限制接入客戶端數(shù)，使設(shè)備運(yùn)行更穩(wěn)定。6.7.2構(gòu)建無線校園網(wǎng)該方案在原有的有線校園網(wǎng)基礎(chǔ)上構(gòu)建無線校園網(wǎng)絡(luò)，可以分為室內(nèi)和室外兩個(gè)部分進(jìn)行。室內(nèi)。主要指沒有安裝有線網(wǎng)絡(luò)的區(qū)域。由多個(gè)AP各自形成的無線覆蓋區(qū)域進(jìn)行交叉覆蓋，各覆蓋區(qū)的間隙會(huì)導(dǎo)致在這些區(qū)域內(nèi)無法連通，故應(yīng)該做到各覆蓋區(qū)域之間無縫連接。那么安裝AP時(shí)要以通過地點(diǎn)調(diào)查來確定AP的位置和數(shù)量。地點(diǎn)調(diào)查可以權(quán)衡實(shí)際環(huán)境（如房間的面積）和用戶需求（如教學(xué)需要對(duì)網(wǎng)絡(luò)帶寬、速度的要求），這包括覆蓋頻率、信道使用和吞吐量需求等。多個(gè)AP通過電纜連接到有線網(wǎng)絡(luò)上，用戶無線終端可通過無線網(wǎng)卡訪問網(wǎng)絡(luò)的各個(gè)部分。通常情況下，一個(gè)AP最多可以支持多達(dá)80臺(tái)計(jì)算機(jī)的接入，而數(shù)量在20～30臺(tái)時(shí)工作站的工作狀態(tài)最佳，AP的典型室內(nèi)覆蓋范圍是30～100m，根據(jù)房間的大小，可以配置一個(gè)或多個(gè)AP。例如，可在多功能會(huì)議室放置4個(gè)AP，使會(huì)議室可容納120個(gè)左右的無線用戶。2、室外。指校園的休閑區(qū)、操場及綠化帶等其他露天公共場所。在辦公樓宇（網(wǎng)絡(luò)中心）架設(shè)一個(gè)室外全向天線和一個(gè)室外定向天線，圖書館架設(shè)一個(gè)室外全向天線，在學(xué)生樓宇、食堂、教工區(qū)各架設(shè)一個(gè)室外定向天線。教學(xué)主樓上的全向天線可覆蓋教學(xué)樓前后綠化帶、在教學(xué)樓上的定向天線，將信號(hào)傳遞給實(shí)訓(xùn)樓，實(shí)訓(xùn)樓上的定向天線，將信號(hào)傳遞學(xué)生樓宇，學(xué)生樓宇上的定向天線將信號(hào)傳遞給圖書館，圖書館樓上的定向天線將信號(hào)傳遞給西主教學(xué)樓，西主教學(xué)樓上架設(shè)定向天線將信號(hào)傳遞給教工宿4號(hào)樓，教工宿4號(hào)樓上的定向天線將信號(hào)傳遞給教工宿1號(hào)樓，教工宿1號(hào)樓定向天線將信號(hào)傳遞給辦公樓宇，這樣既可以覆蓋教工及學(xué)生宿舍區(qū)、回廊及操場區(qū)，同時(shí)也可以將信號(hào)傳遞給教學(xué)樓。在樓房上架設(shè)的天線等網(wǎng)絡(luò)設(shè)備還需加裝避雷器、防潮箱等設(shè)備，以防止無網(wǎng)網(wǎng)絡(luò)設(shè)備的損壞。無線網(wǎng)絡(luò)設(shè)備連接時(shí)，可將各棟樓的無線網(wǎng)橋與已有的校園網(wǎng)相連，再用線纜將天線和無線網(wǎng)橋連接。在安全方面，IEEE802.11b標(biāo)準(zhǔn)能提供保密機(jī)制，學(xué)校還可以同時(shí)借助一些管理策略（如只有授權(quán)用戶可以訪問無線網(wǎng)絡(luò)等）和VPN（虛擬專用網(wǎng)）技術(shù)來強(qiáng)化無線校園網(wǎng)的安全性能。七、網(wǎng)絡(luò)的擴(kuò)展性在本方案中所采取的網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)產(chǎn)品充分考慮到了校園網(wǎng)絡(luò)未來的升級(jí)與發(fā)展，無論從校園網(wǎng)擴(kuò)展到廣域網(wǎng)的建設(shè)都作了周密的考慮。由于系統(tǒng)選擇的是最成熟與標(biāo)準(zhǔn)的快速以太網(wǎng)技術(shù)，把網(wǎng)絡(luò)已構(gòu)筑了高速和堅(jiān)固的信息高速公路，面對(duì)未來的發(fā)展將處于非常有利的境界，可以直接將千兆干線，升級(jí)到萬兆的干線，將百兆到桌面?zhèn)鬏斀橘|(zhì)改為5類線以上，就可將它升級(jí)到幾百兆到桌面。無線網(wǎng)實(shí)現(xiàn)區(qū)域面積的覆蓋，使用戶可以靈活的選擇對(duì)網(wǎng)絡(luò)的需求。八、綜合布線該方案的設(shè)計(jì)范圍包含工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直主干子系統(tǒng)、管理子系統(tǒng)、設(shè)備間子系統(tǒng)、建筑群子系統(tǒng)。如下圖：8.1工作區(qū)子系統(tǒng)工作區(qū)是用戶終端連接點(diǎn)，它連接水平子系統(tǒng)，工作區(qū)信息插座采用六類非屏蔽信息模塊配合86型平面信息面板及底座。工作區(qū)墻面面板安裝的信息插座標(biāo)準(zhǔn)距離離地300mm,考慮到該工作間的內(nèi)部結(jié)構(gòu)，則面板安裝距離離地面1000mm；信息插座與電源插座的距離大于或等于60mm。工作區(qū)內(nèi)的雙絞線到外墻線槽之間的路由采用硬管保護(hù)，在將硬管敷設(shè)在工作區(qū)墻里。信息插座標(biāo)識(shí)方案：為了用戶的使用和今后的維護(hù)，我們在信息插座的出口面板上對(duì)語音和數(shù)據(jù)信息出口做明顯的標(biāo)識(shí)。以不同顏色的信息模塊區(qū)分工作區(qū)信息插座。同時(shí)，為方便用戶使用，還將在面板標(biāo)簽框做圖形和文字標(biāo)識(shí)。具體標(biāo)識(shí)方案如下：數(shù)據(jù)信息點(diǎn)：FxDy，F(xiàn)x（x：1，2…，）表示樓層號(hào)，D表示信息插孔為數(shù)據(jù)信息點(diǎn)，y（y：01，02，03…）表示數(shù)據(jù)信息序號(hào)。語音數(shù)據(jù)點(diǎn)：FxOVy，F(xiàn)x（x：1，2…，）表示樓層號(hào)，V表示信息插孔為語音信息點(diǎn)，y（y：01，02，03…）表示語音信息點(diǎn)序號(hào)。8.2水平子系統(tǒng)水平子系統(tǒng)全部采用布線到桌面的方式，由樓層配線間（IDF）的配線架或配線箱直接引雙絞線到工作間內(nèi)的墻面信息插座。我們在水平布線系統(tǒng)中選用安普公司生產(chǎn)的6類4對(duì)非屏蔽雙絞線，可達(dá)到300MHz的傳輸頻率帶寬。工作區(qū)外墻雙絞線到鍍鋅線槽之間的距離采用PVC軟管和PVC線槽做保護(hù)。鍍鋅線槽采用架空方式架在離層面高2.7處的走廓墻上，在每層樓梯間的橫梁上用兩根吊干將鍍鋅線槽拖起,線槽連接好后再通過銅導(dǎo)線連接鏍絲，這樣有利于導(dǎo)走線槽上形成的靜電。以墻外形勢安裝，有利于以后對(duì)網(wǎng)絡(luò)的升級(jí)及維護(hù)提供了有利的條件。室內(nèi)語音主干采用三類25對(duì)非屏蔽UTP雙絞線銅纜。其性能符合EN50167，EN50168，EIA／TIA－568A,ISO／IEC／TIA標(biāo)準(zhǔn)對(duì)三類線纜的技術(shù)要求，滿足中速網(wǎng)絡(luò)應(yīng)用的需求。大對(duì)數(shù)電纜標(biāo)記方案：施工中我們會(huì)將每條大對(duì)數(shù)電纜都做標(biāo)記，以方便將來的管理。大對(duì)數(shù)電纜標(biāo)記方式：Fn-mFn：樓層（n：1―15）；m：電纜編號(hào)：（m：01，02，…）雙絞線標(biāo)記方案：施工中我們會(huì)將每條雙絞線兩端都做一樣的標(biāo)記，以方便將來的管理。雙絞線線纜標(biāo)記方式：B-Fn-mB:幾號(hào)樓；Fn：樓層（n：1―7）；m：線纜編號(hào)：（m:01,02,…）線纜用量的計(jì)算：線纜長度計(jì)算公式：平均電纜長度=（最遠(yuǎn)信息點(diǎn)到配線間長度+最近信息點(diǎn)到配線間長度）/2線纜布線長度=平均電纜長度+備用部分（平均電纜長度的10%）+端接容差6m線纜用量計(jì)算公式：S=[0.55（C+L）+6]×n（m）（單位：米）W=S/305（單位：箱）其中S：線纜用量L：最遠(yuǎn)信息點(diǎn)到樓配線間長度C：最近信息點(diǎn)到樓配線間長度n：信息點(diǎn)數(shù)量m:樓層數(shù)w:箱數(shù)垂直子系統(tǒng)主干布線系統(tǒng)的功能在于提供主MDF與IDF之間內(nèi)部連接。本方案設(shè)計(jì)中我們提供16芯多模室內(nèi)室外光纜。在每一個(gè)樓層分配線間配置3類25對(duì)非屏蔽大對(duì)數(shù)作為語音主干，4芯多模光纜作為數(shù)據(jù)主干。本次工程中采用安普公司生產(chǎn)的室內(nèi)和室外多模光纜作為樓內(nèi)和樓宇數(shù)據(jù)主干。安普系列室內(nèi)多模光纜為松套管式多模室內(nèi)光纜。在光纖的周圍覆上松的塑料包層，可以使光纖在包層中不受力，橫向負(fù)載對(duì)光纖不再起作用。同時(shí)在包層內(nèi)填入凝膠以達(dá)到縱向防水及固定內(nèi)置光纖的目的。室內(nèi)、室外光纜在燃燒特性、導(dǎo)熱特性、生煙情況、無鹵素和耐熱方面的要求較高，所以，我們在本次工程中采用的安普系列室內(nèi)、室外多模光纜的外皮為低煙無鹵型護(hù)套材料。所有光纜均采用熔接技術(shù)進(jìn)行端接，將端接好的光纖接頭，通過分線保護(hù)器接入光纖配線盤的光纖偶合器上，光纖在不使用時(shí)，將防塵帽蓋好，防止光纖頭損壞或受到污染，影響光纖的傳輸質(zhì)量。光纖端接質(zhì)量的好壞直接影響著傳輸性能，因此我們在本次光纖施工中采用光纖熔接技術(shù)。光纖熔接技術(shù)是用光纖熔接機(jī)進(jìn)行高壓放電使待接續(xù)光纖頭熔融，合成一段完整的光纖。這種方法接續(xù)損耗小（一般小于0.1dB），而且可靠性高。在光纖接續(xù)過程中，連接部位的機(jī)械強(qiáng)度明顯下降，為了整個(gè)光纜鏈路的安全、可靠，連接部位必需采用套有不銹鋼絲的熱縮管進(jìn)行保護(hù)。同時(shí)，以分線存儲(chǔ)器保證光纖的彎曲度，對(duì)光纖接續(xù)部分加以固定保護(hù)。大對(duì)數(shù)電纜標(biāo)記方案：施工中我們會(huì)將每條大對(duì)數(shù)電纜都做標(biāo)記，以方便將來的管理。大對(duì)數(shù)電纜標(biāo)記方式：Fn-mFn：樓層（n：1―15）；m：電纜編號(hào)：（m：01，02，…）光纖一根發(fā)送一根接收，以此實(shí)現(xiàn)數(shù)據(jù)的發(fā)送和接收，光纖標(biāo)記方案：施工中我們會(huì)將每條光纜都做標(biāo)記，以方便將來的管理。光纜標(biāo)記方式：B-Fn-u或B-Fn-dB：幾號(hào)樓；Fn:樓層（n:1-7）；u:光纜上端；d:光纜下端；上端與下端相連形成鏈路。8.4管理子系統(tǒng)根據(jù)ISO/IEC11801，EN50173和EIA/TIA568A，管理子系統(tǒng)提供骨干系統(tǒng)與水平子系統(tǒng)的連接。配線柜采用支架方式把它安置在兩個(gè)樓梯間離層高墻上，外全部的信息點(diǎn)均端接于48口6類非屏蔽連接快接式配線架上，數(shù)據(jù)插座和語音插座采用不同顏色的信息模塊進(jìn)行區(qū)分，并以圖形標(biāo)識(shí)數(shù)據(jù)點(diǎn)和語音點(diǎn)，方便用戶的日常維護(hù)和管理。語音和數(shù)據(jù)的連接管理，可通過不同的跳線與數(shù)據(jù)交換機(jī)或語音配線間連接，來實(shí)現(xiàn)連接管理。方便插拔的連接形式有助于數(shù)據(jù)系統(tǒng)的管理和維護(hù)。光纖垂直主干的連接均采用48口ST光纖配線架，光纖配線架為標(biāo)準(zhǔn)的19英寸，安裝在19英寸標(biāo)準(zhǔn)的網(wǎng)絡(luò)機(jī)柜中，便于安裝和管理，同時(shí)預(yù)留將來擴(kuò)容時(shí)偶合器的安裝位置。偶合器采用ST型偶合器。數(shù)據(jù)跳線設(shè)計(jì)采用6類非屏蔽雙頭RJ45成品跳線。成品跳線嚴(yán)格按照EIA/TIA568標(biāo)準(zhǔn)，從而保證整個(gè)系統(tǒng)的傳輸可靠性。為保證數(shù)據(jù)系統(tǒng)達(dá)到設(shè)計(jì)標(biāo)準(zhǔn)。語音跳線采用RJ45-110型1對(duì)成品跳線，連接樓層配線架和語音主干。管理區(qū)系統(tǒng)標(biāo)識(shí)方案：整個(gè)系統(tǒng)要實(shí)行統(tǒng)一的色標(biāo)管理，即對(duì)不同的區(qū)域采用不同的標(biāo)準(zhǔn)顏色加以標(biāo)記。所有標(biāo)簽采用電腦或標(biāo)簽打印機(jī)制作，色標(biāo)符合TIA/EIA606布線管理規(guī)范。具體顏色的含義如下：橘黃色識(shí)別分界點(diǎn)；綠色識(shí)別用戶區(qū)域的網(wǎng)絡(luò)連接的終接處；紫色識(shí)別來自通用設(shè)備（PBX/PABXs、LANs、Computers、Multiplexers）的線纜終接處；白色識(shí)別垂直干纜電信介質(zhì)的終接處；灰色識(shí)別水平干纜電信介質(zhì)的終接處；藍(lán)色識(shí)別水平電訊電纜介質(zhì)的終接處，并且要求僅僅在電訊間和設(shè)備的線纜端子,不包括在工作區(qū)信息出口的線纜端子；棕色識(shí)別建筑物之間的主干線纜終接處；黃色識(shí)別輔助設(shè)備，報(bào)警，維護(hù)，保安監(jiān)視和其它各種混合設(shè)備的終接處；紅色識(shí)別主要系統(tǒng)的終接處。8.5設(shè)備間子系統(tǒng)主配線間是整個(gè)綜合布線系統(tǒng)的線纜管理中心，是整個(gè)系統(tǒng)與外連接的節(jié)點(diǎn)。數(shù)據(jù)主配線機(jī)房設(shè)置在一層管理員房間里。配線間設(shè)置19”1、快接式模塊化配線架安裝于19英寸機(jī)架內(nèi)用于水平數(shù)據(jù)銅纜的端接和管理。2、提供110型配線架用于系統(tǒng)的端接。3、19英寸過線架用于跳線管理。4、19英寸機(jī)柜用于配線架、過線架、網(wǎng)絡(luò)設(shè)備的安裝。管理中心環(huán)境要求：1、供電：供電是設(shè)備是否穩(wěn)定性發(fā)揮的重要因素，采用UPS穩(wěn)壓來保持