小論文校園網(wǎng)的網(wǎng)絡(luò)方案設(shè)計

東華大學(xué)碩士課程論文封面教師填寫：得分任課教師簽名年月日學(xué)生填寫：姓名張成學(xué)號2131088專業(yè)信息與通信工程導(dǎo)師禹素萍課程名稱網(wǎng)絡(luò)通信新技術(shù)任課教師陳雯課程學(xué)分2.0上學(xué)時間2013至2014年第2學(xué)期星期三遞交時間6月24日本人鄭重聲明：我恪守學(xué)術(shù)道德，崇尚嚴(yán)謹(jǐn)學(xué)風(fēng)。所呈交的課程論文，是本人獨(dú)立進(jìn)行研究工作所獲得的成果。除文中已明確注明和引用的內(nèi)容外，本論文不包含任何其它個人或集體已經(jīng)發(fā)表或撰寫過的作品及成果的內(nèi)容。論文為本人親自撰寫，我對所寫的內(nèi)容負(fù)責(zé)，并完全意識到本聲明的法律成果由本人承當(dāng)。論文作者簽名：注：本表格作為課程論文的首頁遞交，請用水筆或鋼筆填寫。校園網(wǎng)的網(wǎng)絡(luò)方案設(shè)計1設(shè)計背景在科技技術(shù)飛速發(fā)展的今天，計算機(jī)及網(wǎng)絡(luò)的應(yīng)用也在不停增加與擴(kuò)大，人們在日常的工作、學(xué)習(xí)和生活中己經(jīng)無法離開計算機(jī)和網(wǎng)絡(luò)。計算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫及與之有關(guān)的應(yīng)用技術(shù)不停發(fā)展，以及多媒體數(shù)據(jù)的存儲、傳輸、應(yīng)用技術(shù)不停成熟，特別是國際互聯(lián)網(wǎng)和局域網(wǎng)技術(shù)的廣泛應(yīng)用，世界正在邁入以計算機(jī)網(wǎng)絡(luò)為中心的信息化時代。而我國在1994年才開始參考國外的建設(shè)經(jīng)驗(yàn)，并投資建設(shè)了中國的教育和科研計算機(jī)網(wǎng)絡(luò)(ChinaEducationandResearchNetwork，簡稱CERNET)[1]，并逐步實(shí)施教育信息化工程。近年來，隨著我國的高校、特別是高等院校的辦學(xué)規(guī)模的不停擴(kuò)大，造成了一種學(xué)校存在多個校區(qū)同時辦學(xué)，成果造成了教學(xué)資源分散、信息傳遞慢、精確性差、辦公效率低等問題的出現(xiàn)。如何合理地進(jìn)行校園網(wǎng)教育時間和空間、教學(xué)內(nèi)容、手段和形式的進(jìn)一步開放，最大程度地提高院校的辦學(xué)能力、科研能力和管理水平?校園網(wǎng)建設(shè)是一項(xiàng)需要不停更新和完善的龐大系統(tǒng)工程其建設(shè)過程是一種技術(shù)不停更新、資源不停整合、管理不停完善的長久過程。2設(shè)計需求在東華大學(xué)原有的網(wǎng)絡(luò)構(gòu)造中，兩個校區(qū)的互訪是通過上海教科網(wǎng)的外部途徑實(shí)現(xiàn)的，由于兩個校區(qū)之間沒有直聯(lián)的鏈路，同時松江教科網(wǎng)節(jié)點(diǎn)鏈路的不穩(wěn)定，造成了校區(qū)間互訪、松江校區(qū)訪問教科網(wǎng)和Internet會經(jīng)常中斷的狀況,網(wǎng)絡(luò)很不穩(wěn)定。建立一種多媒體的綜合網(wǎng)絡(luò)，在網(wǎng)絡(luò)中傳送的信息不僅是數(shù)據(jù)，還涉及聲音、視頻等這就規(guī)定主干網(wǎng)必須是提供QOS的高速主干網(wǎng)。校園網(wǎng)的分布范疇不局限于一幢大樓，校園網(wǎng)都是局域網(wǎng)和廣域網(wǎng)兩者的結(jié)合。東華大學(xué)擁有兩個校區(qū)：校本部與松江校區(qū)。兩個校區(qū)相差的距離較遠(yuǎn)，兩個校區(qū)網(wǎng)絡(luò)之間的拓?fù)鋱D以下圖[2]所示：圖2-1兩個校區(qū)網(wǎng)絡(luò)之間的拓?fù)鋱D網(wǎng)絡(luò)現(xiàn)存問題：1．在各鏈路負(fù)載不平衡的狀況下丟包率很大，造成網(wǎng)絡(luò)不可用。2．松江教科網(wǎng)節(jié)點(diǎn)鏈路的不穩(wěn)定，造成了校區(qū)間互訪、松江校區(qū)訪問教科網(wǎng)和Internet會經(jīng)常中斷的狀況。3．核心網(wǎng)絡(luò)應(yīng)用不能得到確保，帶寬升級后也沒有效果，網(wǎng)絡(luò)吞吐量不夠。4．部分服務(wù)器、鏈路負(fù)載過大，造成擁塞和較大延遲。針對前面所介紹的需要解決的問題，其具體需求內(nèi)容以下:(3)布線系統(tǒng)對校園內(nèi)各樓層實(shí)現(xiàn)網(wǎng)絡(luò)綜合布線，建造1000M校園網(wǎng)主干網(wǎng)絡(luò)，接入層運(yùn)用1000M上行線路與匯聚層相連，并提供100M交換到桌面。同時為基于以太網(wǎng)的有線電視、消防、監(jiān)控設(shè)備等提供傳輸線路，并預(yù)留光纜。(2)網(wǎng)絡(luò)系統(tǒng)安裝主干網(wǎng)(涉及核心層、匯聚層、接入層)網(wǎng)絡(luò)設(shè)備，以適應(yīng)1000M以太網(wǎng)主干，百兆到桌面的傳輸需求;對校園網(wǎng)核心設(shè)備、Internet網(wǎng)絡(luò)出口進(jìn)行統(tǒng)一規(guī)劃和協(xié)調(diào);實(shí)現(xiàn)內(nèi)網(wǎng)外網(wǎng)的隔離，確保網(wǎng)絡(luò)安全。提供網(wǎng)絡(luò)安全及管理的解決方案，能自動監(jiān)測網(wǎng)絡(luò)故障并提交告警服務(wù)。(3)應(yīng)用系統(tǒng)開展WEB服務(wù)、DNS服務(wù);開展VOD視頻點(diǎn)播服務(wù);生活區(qū)、學(xué)生區(qū)上網(wǎng)流量統(tǒng)計和帶寬限制;建立校園網(wǎng)絡(luò)的網(wǎng)絡(luò)存儲系統(tǒng);校園網(wǎng)建設(shè)綜合布線當(dāng)中需要考慮此后在全校重要樓宇和場合開展智能門禁和監(jiān)控系統(tǒng)；實(shí)現(xiàn)全校范疇內(nèi)的無線上網(wǎng);充足考慮此后在全校范疇內(nèi)，實(shí)施校園一卡通支付及結(jié)算系統(tǒng)。(4)電源系統(tǒng)電源系統(tǒng)在規(guī)劃時應(yīng)充足考慮下列三個方面的需求:各匯聚層需要提供良好的防雷接地和防雷方法，接地電阻不高于4歐姆;各接入層、匯聚層、核心層集中供電入口需要安裝防雷設(shè)備;網(wǎng)絡(luò)中心須配備在線式UPS電源提供集中供電。(5)將來需求實(shí)現(xiàn)根據(jù)顧客身份的路由方略，對訪問學(xué)校的多個服務(wù)進(jìn)行權(quán)限設(shè)立，通過統(tǒng)一認(rèn)證界面按照顧客的不同身份提供不同的配套服務(wù);實(shí)施對校園網(wǎng)顧客的計費(fèi)，方略上應(yīng)含有靈活性和多樣性，如流量、包月、子網(wǎng)、時段優(yōu)惠，國內(nèi)國外流量劃分等;對指定服務(wù)器的訪問能提供具體的日志信息以備查;網(wǎng)絡(luò)平臺上開展遠(yuǎn)程教學(xué)業(yè)務(wù);為校內(nèi)應(yīng)用系統(tǒng)的實(shí)施做好網(wǎng)絡(luò)平臺的前期準(zhǔn)備工作，保障給校園網(wǎng)絡(luò)應(yīng)用一種安全暢通的環(huán)境。3VLAN規(guī)劃設(shè)計3.1VLAN功效與作用虛擬局域網(wǎng)(VirtualLocalAreaNetwork,VLAN)[3]是一種近年來在計算機(jī)通信領(lǐng)域內(nèi)逐步發(fā)展起來的一種網(wǎng)絡(luò)技術(shù)，在校園網(wǎng)中有廣泛的應(yīng)用前景。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一種個網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。隨著局域網(wǎng)規(guī)模的擴(kuò)大和交換機(jī)的大量使用，以及ARP,RARP,DHCP等合同的應(yīng)用，都會帶來多個造成網(wǎng)絡(luò)性能的下降甚至網(wǎng)絡(luò)的堵塞的廣播包，又稱廣播風(fēng)暴。通過VLAN技術(shù)將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制了廣播風(fēng)暴的發(fā)生，除此之外VLAN還使網(wǎng)絡(luò)的拓?fù)錁?gòu)造變得非常靈活。在VLAN出現(xiàn)之前，隔離廣播域的辦法重要有:(1)運(yùn)用路由器隔離廣播域:通過路由器連接多臺交換機(jī)，由于路由器含有隔離廣播包的功效，而每一臺交換機(jī)就是一種廣播域。但這種方式無法實(shí)現(xiàn)在交換機(jī)上隔離廣播域，并且需要增加網(wǎng)絡(luò)設(shè)備線路連接，經(jīng)濟(jì)性和靈活性較差。(2)運(yùn)用子網(wǎng)掩碼劃分子網(wǎng):通過在客戶端配備子網(wǎng)掩碼的方式來劃分子網(wǎng)。但這種配備方式存在管理上的困難與安全隱患，由于其配備需在客戶端進(jìn)行操作，顧客能夠隨意更改IP地址和子網(wǎng)掩碼，造成網(wǎng)絡(luò)出現(xiàn)問題。VLAN技術(shù)的發(fā)展，彌補(bǔ)了以上兩種隔離廣播域方式的缺點(diǎn)。VLAN的優(yōu)點(diǎn)重要涉及:(1)VLAN在交換機(jī)上配備，非常便于網(wǎng)管員進(jìn)行管理;(2)VLAN實(shí)現(xiàn)了在交換機(jī)上隔離廣播域。限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個VLAN可減少參加廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段能夠避免廣播風(fēng)暴涉及整個網(wǎng)絡(luò)。VLAN能夠提供建立防火墻的機(jī)制，避免交換網(wǎng)絡(luò)的過量廣播。使用VLAN，能夠?qū)⒛硞€交換端口或顧客賦于某一種特定的VLAN組，該VLAN組能夠在一種交換網(wǎng)中或跨接多個交換機(jī)，在一種VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其它VLAN產(chǎn)生的廣播。這樣能夠減少廣播流量，釋放帶寬給顧客應(yīng)用，減少廣播的產(chǎn)生；(3)VLAN的劃分方式非常靈活，能夠基于端口、MAC地址、合同等，運(yùn)用VLAN能夠?qū)崿F(xiàn)動態(tài)組網(wǎng);(4)增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的顧客組可與網(wǎng)絡(luò)的其它部分隔離，從而減少泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是互相隔離的，即一種VLAN內(nèi)的顧客不能和其它VLAN內(nèi)的顧客直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備?？偠灾?，對于大中型局域網(wǎng)的廣播域隔離，VLAN是一種較好的解決方案，通過在三層交換機(jī)上建立的VLAN隔離廣播域，能夠提高網(wǎng)絡(luò)性能并隔離“尼姆達(dá)”、“沖擊波”等蠕蟲病毒。校園網(wǎng)猶如一種大的局域網(wǎng)，出于對不同職能部門、院系和顧客實(shí)體的管理、安全和整體網(wǎng)絡(luò)穩(wěn)定運(yùn)行的考慮，需劃分成若干網(wǎng)絡(luò)或若干子網(wǎng)，否則網(wǎng)絡(luò)性能難以得到保障，網(wǎng)絡(luò)管理也比較困難。對多個網(wǎng)絡(luò)進(jìn)行既獨(dú)立又統(tǒng)一的管理，此時就要用到VLAN，因此VLAN非常適合于校園網(wǎng)。3.2VLAN設(shè)計與規(guī)劃設(shè)計和劃分VLAN的辦法有基于端口、基于MAC、基于合同，鑒于現(xiàn)在VLAN技術(shù)的發(fā)展，考慮到多個VLAN劃分方式的優(yōu)缺點(diǎn)，最大程度上地滿足顧客在具體使用過程中的需求。為了減輕顧客在VLAN的使用和維護(hù)中的工作量，能夠根據(jù)端口的功效和位置進(jìn)行VLAN的劃分。(1)按照部門或功效進(jìn)行規(guī)劃，而不需考慮地理位置?？紤]到管理的需要，校園網(wǎng)重要按照部門或功效來劃分VLAN，這樣便于在部門內(nèi)部進(jìn)行二級管理，若不考慮部門則管理的難度將大大增加。由于VLAN能夠跨交換機(jī)，因此不需要考慮地理位置。例如，實(shí)訓(xùn)樓存在多個會議室、辦公室，能夠?qū)⑵鋭澰谝环NVLAN中集中管理。(2)基于端口的VLAN劃分方式。在學(xué)校內(nèi)部，各部門(院系)辦公地點(diǎn)相對穩(wěn)定，采用基于端口的VLAN劃分方式，將各部門(院系)的VLAN劃分到各部門(院系)所在地點(diǎn)對應(yīng)交換機(jī)的端口上，這樣便于管理，VLAN初始化和維護(hù)的工作量也較小，除非部門的辦公地點(diǎn)發(fā)生變化，否則不需要修改VLAN的配備。例如，1號學(xué)院樓有三個學(xué)院的實(shí)驗(yàn)室，不同的實(shí)驗(yàn)室有不同的教學(xué)用途，則能夠在實(shí)驗(yàn)樓劃分3個VLAN，每個VLAN對應(yīng)不的學(xué)院，并分別由對應(yīng)院系管理員負(fù)責(zé)管理。(3)對于安全有特殊規(guī)定的狀況單獨(dú)劃分VLAN。由于VLAN有隔離廣播包的作用，因此，對于安全性有特殊規(guī)定的狀況應(yīng)單獨(dú)劃分VLAN。例如，數(shù)據(jù)中心機(jī)房服務(wù)器有諸多重要的數(shù)據(jù)，應(yīng)單獨(dú)劃分一種VLAN將其和實(shí)訓(xùn)樓的其它顧客隔離;對于一卡通、校園廣播、安防監(jiān)控等其它信息應(yīng)用專用子網(wǎng)，也應(yīng)單獨(dú)設(shè)立VLAN，與校園有線網(wǎng)絡(luò)隔離。(4)VLAN間的通信能夠通過訪問控制列表進(jìn)行靈活控制。VLAN與VLAN之間采用路由實(shí)現(xiàn)通信，將同一部門(系別)的接入交換機(jī)對應(yīng)端口劃分到同一種VLAN中，同時通過核心設(shè)備支持的訪問控制列表ACL(AccessControlList)對不同VLAN間的顧客進(jìn)行靈活控制。例如，與否允許訪問、允許數(shù)據(jù)進(jìn)入還是流出、允許哪個合同或端口的數(shù)據(jù)、允許訪問的源或者目的地址范疇是多少等等，都能夠在ACL中定義。3.3VLAN劃分本設(shè)計根據(jù)實(shí)際狀況對東華大學(xué)松江校區(qū)網(wǎng)絡(luò)系統(tǒng)劃分以下子網(wǎng):網(wǎng)絡(luò)中心-管理子網(wǎng)、網(wǎng)絡(luò)中心-信息服務(wù)子網(wǎng)、行政辦公子網(wǎng)、教學(xué)科研子網(wǎng)、教工子網(wǎng)，以及一卡通、校園廣播、安防監(jiān)控等其它信息應(yīng)用專用子網(wǎng)。每個子網(wǎng)由若干VLAN構(gòu)成，每個VLAN對應(yīng)一種部門或功效，分派獨(dú)立的VLANID作為標(biāo)記。具體劃分以下:(1)綜合實(shí)驗(yàn)樓，按部門或功效劃分，每一樓層或部門劃分一種VLAN。(2)大學(xué)生活動中心，按端口劃分，不同部門的辦公室各自劃分在同一種VLAN。(3)教學(xué)樓，按大樓劃分，每棟樓單獨(dú)劃分一種VLAN。(4)第一食堂、教工之家，按大樓劃分一種VLAN。(5)為確保網(wǎng)絡(luò)設(shè)備的安全，單獨(dú)設(shè)立一種VLAN作為設(shè)備管理VLAN。(6)網(wǎng)管工作站、服務(wù)器群單獨(dú)設(shè)立一種VLAN。(7)對于其它信息應(yīng)用專用子網(wǎng)，如一卡通、校園廣播、安防監(jiān)控系統(tǒng)等單獨(dú)設(shè)立VLAN。4路由方案為了提高松江校區(qū)校園網(wǎng)的安全性、可靠性和有效地隔離廣播流量，本設(shè)計將在新校區(qū)的骨干網(wǎng)(核心層和匯聚層)中采用OSPF動態(tài)路由合同進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。(1)主干網(wǎng)路由設(shè)計在新校區(qū)主干網(wǎng)(核心層一匯聚層)上采用OSPF動態(tài)路由合同，使其自動學(xué)習(xí)路由，完畢數(shù)據(jù)包的尋徑和轉(zhuǎn)發(fā)。OSPF是IPv4網(wǎng)絡(luò)合同重要的動態(tài)路由合同之一，能支持大規(guī)模網(wǎng)絡(luò)的路由公布、維護(hù)和管理，其收斂速度快，能夠在最短時間內(nèi)將路由變化傳遞到整個自治系統(tǒng)，改善網(wǎng)絡(luò)的可擴(kuò)展性。它能夠把網(wǎng)絡(luò)劃分成多個小的區(qū)域，將自治系統(tǒng)劃分為不同區(qū)域后，通過區(qū)域之間的對路由信息的摘要，大大減少了需傳遞的路由信息數(shù)量。也使得路由信息不會隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而急劇膨脹。將老校區(qū)的匯聚層設(shè)備定義一種區(qū)Area1，新校區(qū)的匯聚層設(shè)備定義一種區(qū)Area2，新老校區(qū)的核心層設(shè)備定義為一種區(qū)Area0。(2)外部網(wǎng)路由設(shè)計外部網(wǎng)(Extranet)指的是新校區(qū)的出口網(wǎng)絡(luò)，其IP包的尋徑和轉(zhuǎn)發(fā)重要是通過靜態(tài)路由或默認(rèn)路由的設(shè)立來完畢。通過對新校區(qū)核心交換機(jī)(路由器)CR1上靜態(tài)路由或默認(rèn)路由的設(shè)立來傳遞本地網(wǎng)絡(luò)路由，將內(nèi)部的網(wǎng)數(shù)據(jù)指向外部網(wǎng)(即延安路校區(qū))。由于采用了不同的路由合同，因此運(yùn)用路由重分布技術(shù)將主干網(wǎng)的OSPF合同能夠?qū)W習(xí)到指向外部網(wǎng)的路由。5互聯(lián)網(wǎng)接入5.1松江校區(qū)互聯(lián)網(wǎng)接入設(shè)計東華大學(xué)松江校區(qū)早己接入中國教育科研網(wǎng)和電信網(wǎng)。另外為了擴(kuò)展校園網(wǎng)出口的帶寬，也能夠考慮增加與其它運(yùn)行商的網(wǎng)絡(luò)接入線路，接入帶寬可考慮100M并根據(jù)實(shí)際需要逐步擴(kuò)展。根據(jù)國家互聯(lián)網(wǎng)出口管理規(guī)定，對互聯(lián)網(wǎng)出口配套對應(yīng)的出口安全審計、防火墻、入侵檢測等設(shè)備以保障校園網(wǎng)安全。同時也為在校外上網(wǎng)的本校顧客提供VPN內(nèi)部接入通道，實(shí)現(xiàn)校內(nèi)應(yīng)用擴(kuò)展到任意地點(diǎn)。另外，學(xué)生生活區(qū)作為獨(dú)立維護(hù)區(qū)，其出口線路也需要進(jìn)行統(tǒng)一管理。圖5-1新校區(qū)網(wǎng)絡(luò)出口管理5.2兩校區(qū)互聯(lián)互通設(shè)計現(xiàn)在新校區(qū)內(nèi)部存在多個信息化的應(yīng)用，需要建立多個跨校區(qū)的專用網(wǎng)絡(luò)，如何實(shí)現(xiàn)兩校區(qū)間的子網(wǎng)互聯(lián)，既確保高效運(yùn)轉(zhuǎn)，又確保數(shù)據(jù)的絕對安全，實(shí)現(xiàn)兩校區(qū)信息共享、資源整合、集中管理，是兩校區(qū)互聯(lián)設(shè)計考慮的核心。松江校區(qū)對網(wǎng)絡(luò)的服務(wù)質(zhì)量和接入Internet的不間斷性規(guī)定較高。為確保接入互聯(lián)網(wǎng)的可靠，應(yīng)使用光纖接入與延安路校區(qū)互聯(lián)(可通過租用電信運(yùn)行商或有線電視公司的裸光纜進(jìn)行物理連接)，實(shí)現(xiàn)1G的互聯(lián)。同時在經(jīng)費(fèi)許可的狀況下，建設(shè)提供不同的物理光纖線路作為備份線路。另外現(xiàn)在松江校區(qū)內(nèi)部有多個信息化應(yīng)用的開展，需要建立跨校區(qū)的專用網(wǎng)絡(luò)，以滿足后來需求的不停增加和發(fā)展。實(shí)現(xiàn)多個鏈路通道互聯(lián)，才干為將來的多個應(yīng)用和需求提供擴(kuò)展余地。因此將采用WDM（WavelengthDivisionMultiplexing)技術(shù)，即在互聯(lián)裸光纖鏈路的兩端增加粗波分設(shè)備，通過一對光纖，實(shí)現(xiàn)多個鏈路通道互聯(lián)。CWDM介紹WDM全稱WavelengthDivisionMultiplexing，即波分復(fù)用。CWDM是一種面對城域網(wǎng)接入層的低成本W(wǎng)DM傳輸技術(shù)。從原理上講，CWDM就是運(yùn)用光復(fù)用器將不同波長的光信號復(fù)用至單根光纖進(jìn)行傳輸，在鏈路的接受端，借助光解復(fù)用器將光纖中的混合信號分解為不同波長的信號，連接到對應(yīng)的接受設(shè)備。WDM又分為CWDM(CoarseWavelengthDivisionMultiplexing)[4]稀疏波分復(fù)用器，也稱粗波分復(fù)用器和DWDM(DenseWavelengthDivisionMultiplexing)密集波分復(fù)用器。CWDM優(yōu)點(diǎn)CWDM的最重要的優(yōu)點(diǎn)是設(shè)備成本低。CWDM設(shè)備體積小、功耗低、維護(hù)簡便、供電方便，能夠使用220V交流電源。并且其波長數(shù)較少，因此板卡備份量小。使用8波的CWDM設(shè)備對光纖沒有特殊規(guī)定，G.652,G.653,G.655光纖均可采用。CWDM系統(tǒng)還能夠明顯提高光纖的傳輸容量，提高對光纖資源的運(yùn)用率?，F(xiàn)在粗波分復(fù)用系統(tǒng)能夠提供8個光通道，按ITU-T的g.694.2規(guī)范最多能夠達(dá)成18個光道。CWDM的另一種優(yōu)點(diǎn)是體積小、功耗低。CWDM系統(tǒng)的激光器無需半導(dǎo)體制冷器和溫度控制功效，因此能夠明顯減小功耗，CWDM系統(tǒng)中簡化的激光器模塊使得其光收發(fā)一體化模塊的體積減小，設(shè)備構(gòu)造的簡化也減小了設(shè)備的體積，節(jié)省機(jī)房空間。與傳統(tǒng)的TDM方式相比，CWDM含有速率和合同透明性，這使之更適應(yīng)城域網(wǎng)高速數(shù)據(jù)業(yè)務(wù)的發(fā)展。城域網(wǎng)中有許多不同合同和不同的速率的業(yè)務(wù)，CWDM提供了在一根光纖上提供不同速率的、對合同透明的傳輸通道，如以太網(wǎng)、ATM,POS,SDH等，并且CWDM的透明性和分插復(fù)用功效能夠允許使用者直接上下某一種波長，而不用轉(zhuǎn)換原始信號的格式。也就是說，光層提供了獨(dú)立于業(yè)務(wù)層的傳送構(gòu)造。CWDM含有較好的靈活性和可擴(kuò)展性。對于城域業(yè)務(wù)來講，業(yè)務(wù)提供的靈活性，特別是業(yè)務(wù)提供速度和隨著業(yè)務(wù)發(fā)展進(jìn)行擴(kuò)展的能力非常重要。運(yùn)用CWDM技術(shù)能夠在1天或者幾個小時的時間內(nèi)為顧客開通業(yè)務(wù)，并且能夠隨著業(yè)務(wù)量的增加，能夠通過插入新的OTU板進(jìn)行容量的擴(kuò)展。提高業(yè)務(wù)質(zhì)量。在城域網(wǎng)中應(yīng)用CWDM系統(tǒng)能夠使光層恢復(fù)成為可能。光層恢復(fù)比電層恢復(fù)要經(jīng)濟(jì)得多。考慮到光層恢復(fù)是獨(dú)立于業(yè)務(wù)和速率的，那么原來某些本身體制無保護(hù)功效的體系(如千兆以太網(wǎng))，則能夠運(yùn)用CWDM來進(jìn)行保護(hù)。由于CWDM技術(shù)的上述優(yōu)點(diǎn)，因此CMWD在電信、廣電、公司網(wǎng)、校園網(wǎng)等領(lǐng)域獲得越來越多的應(yīng)用。兩校區(qū)點(diǎn)對點(diǎn)互聯(lián)方案校區(qū)間普通采用租用光纜方式進(jìn)行互聯(lián)，租用光纜線路普通價格較高，在帶寬較大，應(yīng)用系統(tǒng)較多時，線路資料比較緊張。CWDM系統(tǒng)能夠明顯提高光纖的傳輸容量，提高對光纖資源的運(yùn)用率。根據(jù)現(xiàn)在校區(qū)內(nèi)部多個信息化應(yīng)用的開展，需要建立跨校區(qū)的專用網(wǎng)絡(luò)在將來需求中將不停增加，在互聯(lián)光纜鏈路上可兩端增加粗波分設(shè)備，通過一對光纖，實(shí)現(xiàn)多個鏈路通道互聯(lián)。為將來多個應(yīng)用的需求提供擴(kuò)展余地，第一期粗波分可考慮4路或8路波分設(shè)備。通過在兩校區(qū)互聯(lián)設(shè)備間增加CWDM設(shè)備，通過多個不同的波長提供多個獨(dú)立的數(shù)據(jù)通道，使校園網(wǎng)能夠使用不同的數(shù)據(jù)通道來滿足多業(yè)務(wù)的需求。通過CWDM技術(shù)，在單對光纖中形成多個在物理通道上互相隔離的虛擬光網(wǎng)(OPN)，使網(wǎng)絡(luò)免受全部軟件病毒和黑客的攻擊，其安全性遠(yuǎn)高于通用的VPN。新拓?fù)鋱D如圖[6]所示:圖5-2兩新區(qū)新互聯(lián)方案5.3網(wǎng)絡(luò)安全實(shí)現(xiàn)方案5.3.1校園網(wǎng)絡(luò)面臨的威脅計算機(jī)網(wǎng)絡(luò)所面臨的威脅大致可分為兩種:一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機(jī)網(wǎng)絡(luò)的因素諸多，有些因素可能是故意的，也可能是無意的;可能是人為的，也可能是非人為的;可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來，針對網(wǎng)絡(luò)安全的威脅重要有三:人為的無意失誤如操作員安全配備不當(dāng)造成的安全漏洞，顧客安全意識不強(qiáng)，顧客口令選擇不慎，顧客將自己的賬號隨意轉(zhuǎn)借別人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。人為的惡意攻擊這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威肋、，敵手的攻擊和計算機(jī)犯罪就屬于這一類。這類攻擊又能夠分為下列兩種:一種是主動攻擊，它以多個方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的狀況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成極大的危害，并造成機(jī)密數(shù)據(jù)的泄漏。(3)網(wǎng)絡(luò)軟件的漏洞和“后門”網(wǎng)絡(luò)軟件不可能是百分之百的無缺點(diǎn)和無漏洞的，然而，這些漏洞和缺點(diǎn)恰恰是黑客進(jìn)行攻擊的首選目的，曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是由于安全方法不完善所招致的苦果。另外，軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)立的，普通不為外人所知，但一旦“后門”洞開，其造成的后果將不堪構(gòu)想。5.3.2防火墻技術(shù)(1)硬件防火墻硬件防火墻重要用于對網(wǎng)絡(luò)中的數(shù)據(jù)訪問進(jìn)行限制，提供對系統(tǒng)的訪問控制和集中的安全管理，避免不安全的數(shù)據(jù)訪問和服務(wù)。例如限制外網(wǎng)顧客對內(nèi)網(wǎng)服務(wù)器的訪問，傳統(tǒng)的硬件防火墻采用分組過濾或包過濾技術(shù)，工作在網(wǎng)絡(luò)七層模型的下三層。隨著流過濾等新技術(shù)的應(yīng)用，現(xiàn)在的防火墻己經(jīng)能夠進(jìn)行應(yīng)用層的方略布署，運(yùn)用硬件防火墻能夠在內(nèi)網(wǎng)實(shí)現(xiàn)DMZ區(qū)的劃分、NAT地址轉(zhuǎn)換等功效。(2)軟件防火墻軟件防火墻成本較低、安裝方便、使用簡樸，能夠滿足個人顧客單機(jī)防護(hù)的基本需求，涉及避免黑客攻擊、確保信息安全、監(jiān)測計算機(jī)運(yùn)行狀況等功效。5.3.3防病毒技術(shù)(1)硬件防病毒硬件防病毒產(chǎn)品重要有硬件防病毒網(wǎng)關(guān)、帶病毒過濾功效的防火墻等，重要用于網(wǎng)絡(luò)的入口處。采用內(nèi)嵌的內(nèi)容過濾病毒過濾技術(shù)，對通過該設(shè)備的多個合同的數(shù)據(jù)進(jìn)行掃描，并提供強(qiáng)大的審計與監(jiān)控功效，能有效的避免從外網(wǎng)流入的病毒蠕蟲的攻擊。由于硬件設(shè)備含有高速穩(wěn)定不易受攻擊等優(yōu)點(diǎn)，硬件防病毒技術(shù)正逐步成為一種趨勢被集成到交換機(jī)等慣用網(wǎng)絡(luò)設(shè)備中。(2)軟件防病毒針對網(wǎng)絡(luò)病毒的泛濫，合理地布署網(wǎng)絡(luò)版殺毒軟件，從源頭控制病毒的擴(kuò)散，能夠有效的減少蠕蟲等病毒的危害程度，減少病毒造成的損失。在選擇網(wǎng)絡(luò)版殺毒軟件時，病毒庫的升級速度、客戶端的資源占用狀況、軟件的易操作性以及與否有強(qiáng)大的管理功效都是我們需要考慮的因素。6VoIP實(shí)現(xiàn)方案隨養(yǎng)經(jīng)濟(jì)全球化和網(wǎng)絡(luò)技術(shù)的持續(xù)高速發(fā)展，語音聯(lián)系越來越頻繁，對于其價格和質(zhì)量的規(guī)定也更加苛求?；赩oIP技術(shù)的IP電話實(shí)現(xiàn)了通過Internet進(jìn)行分組傳輸?shù)哪康模⒃趥鬏斮M(fèi)用上遠(yuǎn)遠(yuǎn)低于傳統(tǒng)模擬電話川?，F(xiàn)在，VoIP快速成為全球的熱門業(yè)務(wù)，日木、美國、加拿大等發(fā)達(dá)國家的IP電話顧客數(shù)增加快速，VoIP的發(fā)展態(tài)勢不可阻擋，必然會給傳統(tǒng)電信運(yùn)行商帶來很大的沖擊。6.1VoIP有關(guān)合同圖5-3VoIP合同棧體系構(gòu)造6.2基于SIP的VoIP系統(tǒng)SIP系統(tǒng)涉及兩大基本要素:SIP服務(wù)器與SIP顧客代理，而SIP服務(wù)器又涉及代理服務(wù)器、重定向服務(wù)器、注冊服務(wù)器和位置服務(wù)器，如圖[7]所示。圖6-1基于SIP的VoIP網(wǎng)絡(luò)體系示意圖7服務(wù)質(zhì)量QoS設(shè)計7.1服務(wù)質(zhì)量QoS介紹 而當(dāng)網(wǎng)絡(luò)發(fā)生擁塞的時候，全部的數(shù)據(jù)流都有可能被丟棄；為滿足顧客對不同應(yīng)用不同服務(wù)質(zhì)量的規(guī)定，就需要網(wǎng)絡(luò)能根據(jù)顧客的規(guī)定分派和調(diào)度資源，對不同的數(shù)據(jù)流提供不同的服務(wù)質(zhì)量：對實(shí)時性強(qiáng)且重要的數(shù)據(jù)報文優(yōu)先解決；對于實(shí)時性不強(qiáng)的普通數(shù)據(jù)報文，提供較低的解決優(yōu)先級，網(wǎng)絡(luò)擁塞時甚至丟棄。QoS應(yīng)運(yùn)而生。支持QoS功效的設(shè)備，能夠提供傳輸品質(zhì)服務(wù)；針對某種類別的數(shù)據(jù)流，可覺得它賦予某個級別的傳輸優(yōu)先級，來標(biāo)記它的相對重要性，并使用設(shè)備所提供的多個優(yōu)先級轉(zhuǎn)發(fā)方略、擁塞避免等機(jī)制為這些數(shù)據(jù)流提供特殊的傳輸服務(wù)。配備了QoS的網(wǎng)絡(luò)環(huán)境，增加了網(wǎng)絡(luò)性能的可預(yù)知性，并能夠有效地分派網(wǎng)絡(luò)帶寬，更加合理地運(yùn)用網(wǎng)絡(luò)資源。7.2基于IPV6的QOS解決方案IPQOS的實(shí)現(xiàn)能夠使用IntServ、DiffServ、MPLS、流量工程以及約束路由等技術(shù)，但具體到在網(wǎng)絡(luò)節(jié)點(diǎn)上的實(shí)現(xiàn)，重要還是標(biāo)記、排隊和擁塞避免某些具體的方法。由于IPv6和IPv4的相似性，在IPv4下已經(jīng)實(shí)現(xiàn)的大部分QoS技術(shù)仍然能夠應(yīng)用到IPv6網(wǎng)絡(luò)中來，例如能夠直接運(yùn)用IPv4網(wǎng)絡(luò)中的集成服務(wù)模型和分辨服務(wù)模型等。IPv6與IPv4在集成服務(wù)模型上沒有本質(zhì)上的區(qū)別，都是以RSVP為核心合同。在IPv4中，RSVP根據(jù)業(yè)務(wù)數(shù)據(jù)流的源地址、目的地址和端口等信息制訂對應(yīng)的QoS方略，并且要在傳輸途徑上的全部路由器上實(shí)現(xiàn)這些方略。這意味著傳輸途徑上的全部路由器都需要分析每個數(shù)據(jù)包的源地址、目的地址和端口等信息，這將會增加路由器的負(fù)擔(dān)。另外，當(dāng)數(shù)據(jù)量增大時，也會增加數(shù)據(jù)包的解決延時。IPv6為RSVP的實(shí)施提供了一種更為有效的辦法。重要因素在于，在IPv6數(shù)據(jù)報頭信息中定義了專門的QoS支持域，IPv6對QoS的支持重要體現(xiàn)在流標(biāo)簽字段，流標(biāo)簽基本上是按位產(chǎn)生的偽隨機(jī)數(shù)，在一定的時間值內(nèi)，源端不能重用流標(biāo)簽，流標(biāo)簽為0，批示這個包不屬于任何流。IPv6環(huán)境下的RSVP能夠只根據(jù)數(shù)據(jù)包的流標(biāo)簽制訂對應(yīng)的QoS方略，這將大大減小RSVP的開銷，同時傳輸途徑上的每個路由器的解決負(fù)擔(dān)也對應(yīng)減小，使RSVP方略的實(shí)施更為簡便。另外，當(dāng)需要QoS服務(wù)的數(shù)據(jù)流的生存期很短或者所需帶寬很小時，RSVP的開銷很可能不不大于數(shù)據(jù)流中全部的包的開銷，如果在IPv4網(wǎng)絡(luò)中采用集成服務(wù)模型，將得不償失；而在IPv6網(wǎng)絡(luò)中RSVP的開銷非常小，使得這種業(yè)務(wù)需求得到保障。在分辨服務(wù)模型中，能夠認(rèn)為IPv6與IPv4沒有區(qū)別。IPv4中8位的ToS字段和IPv6中8位的流量類別字段被用來標(biāo)記分辨服務(wù)編碼點(diǎn)（DSCP）,使分組在每一種網(wǎng)絡(luò)節(jié)點(diǎn)得到特定的轉(zhuǎn)發(fā)。IPv4下的QoS確保技術(shù)已經(jīng)獲得比較好的發(fā)展，因此在IPv6大規(guī)模布署之前，能