計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐課程設(shè)計(jì)--校區(qū)校園網(wǎng)建設(shè)方案

1、<p>　　計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐課程設(shè)計(jì)報(bào)告</p><p>　　xx南湖校區(qū)校園網(wǎng)建設(shè)方案</p><p>　　?！　I(yè): 計(jì)算機(jī)科學(xué)與技術(shù) 班 級(jí): 計(jì)11-1班 </p><p>　　xx計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院</p><p>　　2014 年 4 月 </p><p><b>　　

2、目 錄</b></p><p><b>　　1.引言：4</b></p><p>　　1.1 目前現(xiàn)狀4</p><p>　　1.2 需求分析4</p><p>　　2.網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求：6</p><p>　　2.1礦大南湖網(wǎng)絡(luò)的設(shè)計(jì)目標(biāo)6</p>

3、<p>　　2.2礦大南湖網(wǎng)絡(luò)的建設(shè)要求7</p><p>　　3.方案設(shè)計(jì)與實(shí)現(xiàn)8</p><p>　　3.1網(wǎng)絡(luò)設(shè)計(jì)原則8</p><p>　　3.2 主流組網(wǎng)技術(shù)分析與選擇9</p><p>　　3.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)12</p><p>　　3.3.1模塊化設(shè)計(jì)12</p>

4、<p>　　3.3.2層次化設(shè)計(jì)12</p><p>　　3.3.3 網(wǎng)絡(luò)拓?fù)鋱D15</p><p>　　3.3.4 方案的說(shuō)明16</p><p>　　3.4 IP地址劃分16</p><p>　　3.4.1 IP地址及VLAN劃分原則16</p><p>　　3.4.2 IP地址及VLAN劃分

5、16</p><p>　　3.4.3 NAT的實(shí)現(xiàn)17</p><p>　　3.5設(shè)備選型與配置18</p><p>　　3.6 路由選擇與配置19</p><p>　　3.7 網(wǎng)絡(luò)安全設(shè)計(jì)與管理19</p><p>　　3.7.1安全需求分析19</p><p>　　3.7.2網(wǎng)絡(luò)

6、安全控制20</p><p>　　3.7.3網(wǎng)絡(luò)管理設(shè)計(jì)22</p><p>　　3.8 未來(lái)升級(jí)與擴(kuò)展22</p><p>　　4.網(wǎng)絡(luò)施工與結(jié)構(gòu)化布線24</p><p>　　4.1網(wǎng)絡(luò)布局的原則24</p><p>　　4.2網(wǎng)絡(luò)布局的具體實(shí)施要求24</p><p>　　4.

7、3布線系統(tǒng)的規(guī)劃與設(shè)計(jì)25</p><p>　　4.4網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計(jì)25</p><p><b>　　5.總結(jié)28</b></p><p><b>　　6.參考文獻(xiàn)29</b></p><p>　　附件一：各種網(wǎng)絡(luò)設(shè)備配置清單30</p><p>　　附件二：

8、主要網(wǎng)絡(luò)設(shè)備具體配置文件清單32</p><p><b>　　1.引言</b></p><p><b>　　1.1 目前現(xiàn)狀</b></p><p>　　隨著互聯(lián)網(wǎng)技術(shù)的廣泛普及和應(yīng)用，從而帶來(lái)了網(wǎng)絡(luò)技術(shù)人才需求量的不斷增加，網(wǎng)絡(luò)技術(shù)教育和人才培養(yǎng)成為高等院校一項(xiàng)重要的戰(zhàn)略任務(wù)。建設(shè)一流的礦業(yè)大學(xué)南湖是產(chǎn)學(xué)研相結(jié)合的一種

9、重要形式，在學(xué)科建設(shè)中發(fā)揮著不可替代的作用，實(shí)驗(yàn)室局域網(wǎng)的優(yōu)劣對(duì)實(shí)驗(yàn)室功能的發(fā)揮起著決定性的作用，對(duì)學(xué)生的上機(jī)效果有著直接的影響。</p><p>　　建設(shè)優(yōu)質(zhì)的實(shí)驗(yàn)室局域網(wǎng)有利于學(xué)術(shù)研究，有利于網(wǎng)絡(luò)教學(xué)，有利于培養(yǎng)學(xué)生實(shí)踐動(dòng)手能力，有利于學(xué)生就業(yè)，有利于提升學(xué)校的品牌的一件大好事。所以建設(shè)實(shí)驗(yàn)室局域網(wǎng)是必須的。</p><p><b>　　1.2 需求分析 </b>

10、</p><p>　　礦業(yè)大學(xué)南湖局域網(wǎng)的建設(shè)，最終是通過(guò)學(xué)校網(wǎng)絡(luò)中心將網(wǎng)絡(luò)接入到礦業(yè)大學(xué)南湖的每個(gè)機(jī)房，使師生員工可以在機(jī)房進(jìn)行各種活動(dòng)，有助于提高師生的生活質(zhì)量，對(duì)計(jì)算機(jī)技術(shù)的教學(xué)提供了極大的幫助。因此，建設(shè)礦業(yè)大學(xué)南湖局域網(wǎng)是學(xué)校發(fā)展的不可或缺的基礎(chǔ)硬件設(shè)施。</p><p>　　礦業(yè)大學(xué)南湖擁有一個(gè)完整的以太網(wǎng)布局，通過(guò)路由器與學(xué)校網(wǎng)絡(luò)中心光纖連接， 由兩層交換機(jī)將各個(gè)機(jī)房的信息點(diǎn)

11、連通。礦業(yè)大學(xué)南湖位于計(jì)算機(jī)學(xué)院樓四樓，每個(gè)實(shí)驗(yàn)室是一間長(zhǎng)方形教室，每個(gè)實(shí)驗(yàn)室大約有60臺(tái)計(jì)算機(jī)。根據(jù)我校學(xué)生多、機(jī)位少的實(shí)際情況，制定如下網(wǎng)絡(luò)需求：</p><p>　　C類局域網(wǎng)，獨(dú)立網(wǎng)段，自主分配IP地址；</p><p>　　每臺(tái)計(jì)算機(jī)通過(guò)URL自由訪問(wèn)Internet網(wǎng)絡(luò)資源；</p><p>　　支持筆記本移動(dòng)上網(wǎng)；</p><p&g

12、t;　　高速、穩(wěn)定、安全、可靠；</p><p>　　布局規(guī)范、合理，易于維護(hù)；</p><p>　　節(jié)約空間，減少噪音污染；</p><p><b>　　成本最優(yōu)化原則</b></p><p>　　建設(shè)的局域網(wǎng)要努力克服一些通病，如：設(shè)備種類繁多、機(jī)位擁擠不堪、網(wǎng)線密集凌亂、維護(hù)困難重重、空氣流通不暢、往來(lái)人員頻繁而中

13、空的防靜電地板將每個(gè)人腳下的聲音傳播到整個(gè)機(jī)房，混合上交換機(jī)噪音，產(chǎn)生噪音污染。</p><p>　　此外，在建設(shè)實(shí)驗(yàn)室局域網(wǎng)過(guò)程中還要考慮以下因素：</p><p>　　（1）主干層網(wǎng)落承載能力要求</p><p>　　主干層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的網(wǎng)內(nèi)數(shù)據(jù)交換。網(wǎng)絡(luò)的功能控制最好盡量少在骨干層上實(shí)施，主干層設(shè)計(jì)任務(wù)的重點(diǎn)是冗余能力、

14、可靠性和高速的傳輸。核心層一直被認(rèn)為是流量的最終承受者和匯聚者，所以要求主干層交換機(jī)擁有較高的可靠性和性能。</p><p>　?。?）匯聚層接點(diǎn)接入要求</p><p>　　匯聚層主要負(fù)責(zé)連接接入層接點(diǎn)和核心層中心，匯聚分散的接入點(diǎn)，擴(kuò)大核心層設(shè)備的端口密度和種類，匯聚各區(qū)域數(shù)據(jù)流量，實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸。匯聚交換及還負(fù)責(zé)本區(qū)域內(nèi)的數(shù)據(jù)交換，匯聚交換機(jī)一般與主干層交換機(jī)同類型，仍需

15、要較高的性能和比較豐富的功能，但吞吐量較低。</p><p>　　(3) 可靠性和自愈能力要求</p><p>　　網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。</p><p><b>　　(4) 安全性要求</b

16、></p><p>　　制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性?？梢酝ㄟ^(guò)各業(yè)務(wù)子網(wǎng)隔離，全網(wǎng)統(tǒng)一規(guī)劃IP地址，根據(jù)不同的業(yè)務(wù)劃分不同的子網(wǎng)（subnet），相同物理LAN通過(guò)VLAN的方式隔離，不同子網(wǎng)間的互通性由路由策略決定。</p><p><b>　　(5) 性價(jià)比要求</b></p><p>　　建設(shè)網(wǎng)絡(luò)時(shí)選用的設(shè)備要

17、具有較高的性價(jià)比，用最小的成本建設(shè)最優(yōu)質(zhì)的網(wǎng)絡(luò)。</p><p>　　2.網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求</p><p>　　2.1礦業(yè)大學(xué)南湖的設(shè)計(jì)目標(biāo)</p><p>　　第一、網(wǎng)絡(luò)實(shí)驗(yàn)室的設(shè)計(jì)方案和實(shí)驗(yàn)內(nèi)容必須滿足教學(xué)和培訓(xùn)需求</p><p>　　為了讓培養(yǎng)的人才能較好地適應(yīng)社會(huì)對(duì)網(wǎng)絡(luò)專業(yè)人才的需求，中職院校所建設(shè)的實(shí)驗(yàn)室必須能夠開設(shè)以下三方面

18、的實(shí)驗(yàn)：網(wǎng)絡(luò)組網(wǎng)方面的實(shí)驗(yàn)，網(wǎng)絡(luò)管理方面的實(shí)驗(yàn)，網(wǎng)絡(luò)工程（綜合布線）方面的實(shí)驗(yàn)，并且在設(shè)備的采用上還應(yīng)充分考慮到多種技術(shù)的融合、多個(gè)平臺(tái)的操作、多廠家設(shè)備的互連?？梢蕴峁┓抡娴木W(wǎng)絡(luò)設(shè)備配置環(huán)境，了解更多的系統(tǒng)，掌握更多設(shè)備的使用。</p><p>　　第二、將網(wǎng)絡(luò)實(shí)驗(yàn)室建成有特色的培訓(xùn)、實(shí)習(xí)基地</p><p>　　為了使資源得到最大程度的利用，教師在課余時(shí)間可利用網(wǎng)絡(luò)實(shí)驗(yàn)室進(jìn)行實(shí)驗(yàn)，提高

19、自身的業(yè)務(wù)水平。網(wǎng)絡(luò)實(shí)驗(yàn)室還要給相關(guān)專業(yè)的學(xué)生提供實(shí)際動(dòng)手能力的環(huán)境，也有必要充分發(fā)揮實(shí)訓(xùn)中心設(shè)備的作用，為本校、兄弟學(xué)校以及社會(huì)上有志于網(wǎng)絡(luò)技術(shù)學(xué)習(xí)的各類人員提供一個(gè)學(xué)習(xí)培訓(xùn)的場(chǎng)所。通過(guò)這種特色的教學(xué)、豐富的有針對(duì)性實(shí)驗(yàn)內(nèi)容、實(shí)現(xiàn)培養(yǎng)人才和獲得創(chuàng)收的目標(biāo)，將網(wǎng)絡(luò)實(shí)驗(yàn)室建成一個(gè)有特色的培訓(xùn)基地。</p><p>　　第三、培養(yǎng)不同類型的網(wǎng)絡(luò)人才</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室開設(shè)的實(shí)

20、驗(yàn)內(nèi)容必須充分考慮到學(xué)生的專業(yè)以及今后的發(fā)展方向，如網(wǎng)絡(luò)管理人員、網(wǎng)絡(luò)技術(shù)支持人員、網(wǎng)絡(luò)工程人員。網(wǎng)絡(luò)管理人員的發(fā)展方向是國(guó)內(nèi)的所有企事業(yè)單位、學(xué)校等各行各業(yè)的網(wǎng)絡(luò)中心管理人員，那么通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室的實(shí)驗(yàn)課程應(yīng)讓學(xué)生具備一定的網(wǎng)管基礎(chǔ)，達(dá)到中級(jí)專職網(wǎng)管人員的水平；網(wǎng)絡(luò)技術(shù)支持人員的發(fā)展方向是對(duì)當(dāng)代主流的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)軟件有很強(qiáng)的調(diào)試配置能力，實(shí)驗(yàn)室的實(shí)驗(yàn)內(nèi)容也涵蓋了主流交換機(jī)、路由器和防火墻的綜合配置調(diào)試以及對(duì)故障的準(zhǔn)確定位和排除，

21、那么通過(guò)實(shí)驗(yàn)課程應(yīng)讓學(xué)生完全能夠成為優(yōu)秀的網(wǎng)絡(luò)技術(shù)支持人員；而網(wǎng)絡(luò)工程人員的發(fā)展方向是熟悉各類網(wǎng)絡(luò)應(yīng)用的拓樸結(jié)構(gòu)與布線系統(tǒng)的組件，了解國(guó)外、國(guó)內(nèi)綜合布線標(biāo)準(zhǔn)化組織及規(guī)范，能進(jìn)行各種線纜及接插件的安裝與使用、光纖頭的制作，能夠按需求設(shè)計(jì)最經(jīng)濟(jì)、最有效、最實(shí)用的網(wǎng)絡(luò)布線系統(tǒng)。</p><p>　　2.2礦業(yè)大學(xué)南湖網(wǎng)絡(luò)的建設(shè)要求</p><p><b>　　第一、經(jīng)濟(jì)而實(shí)用</

22、b></p><p>　　靈活的拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)實(shí)驗(yàn)室，所提供的實(shí)驗(yàn)平臺(tái)可以適合多種應(yīng)用實(shí)驗(yàn)的需要?？梢詫?shí)現(xiàn)同一時(shí)段多人做實(shí)驗(yàn)，也可合并在一起組成大的實(shí)驗(yàn)環(huán)境，體現(xiàn)網(wǎng)絡(luò)實(shí)驗(yàn)室在拓?fù)洵h(huán)境組合上的靈活性及整體的經(jīng)濟(jì)性。</p><p>　　第二、可擴(kuò)展和易維護(hù)性</p><p>　　由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展快速的特點(diǎn)，在網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)過(guò)程中，選擇設(shè)備時(shí)要求其在提供多種

23、冗余保證穩(wěn)定的情況下，還必須具有超強(qiáng)的擴(kuò)展能力。如各種交換機(jī)都提供多個(gè)擴(kuò)展插槽和提供足夠的背板帶寬，同時(shí)還采用設(shè)備管理軟件來(lái)解決設(shè)備在維護(hù)上的問(wèn)題。</p><p>　　第三、社會(huì)實(shí)際緊密結(jié)合性</p><p>　　所建設(shè)的網(wǎng)絡(luò)實(shí)驗(yàn)室是完全結(jié)合社會(huì)真實(shí)的網(wǎng)絡(luò)進(jìn)行組建的，所有的實(shí)驗(yàn)都是從實(shí)際的網(wǎng)絡(luò)環(huán)境中截取的，做到實(shí)驗(yàn)和社會(huì)實(shí)際有機(jī)地結(jié)合起來(lái)，以提高中職院校的綜合競(jìng)爭(zhēng)實(shí)力與學(xué)生就業(yè)能力。實(shí)驗(yàn)

24、教學(xué)內(nèi)容應(yīng)與社會(huì)應(yīng)用實(shí)踐密切聯(lián)系，形成良性互動(dòng)，實(shí)現(xiàn)學(xué)與用的有機(jī)結(jié)合。要認(rèn)真考慮設(shè)置哪些實(shí)驗(yàn)項(xiàng)目、采用何種實(shí)驗(yàn)手段才能切實(shí)提高學(xué)生的動(dòng)手能力，培養(yǎng)學(xué)生的獨(dú)立性和創(chuàng)造性，保證實(shí)驗(yàn)教學(xué)的質(zhì)量。</p><p>　　完善礦業(yè)大學(xué)南湖局域網(wǎng)基礎(chǔ)設(shè)施建設(shè)，構(gòu)建技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、安全可靠、高速暢通的網(wǎng)絡(luò)環(huán)境。建立公共信息系統(tǒng)基礎(chǔ)平臺(tái)，提供先進(jìn)數(shù)字化管理手段，提高管理效率；建立功能齊全的教學(xué)管理平臺(tái)；建設(shè)內(nèi)容豐富的教學(xué)資源庫(kù)

25、，實(shí)現(xiàn)教學(xué)資源共享；提高全校師生信息素養(yǎng)，為培養(yǎng)高技能應(yīng)用性人才和服務(wù)社會(huì)搭建公共服務(wù)平臺(tái)。在網(wǎng)上宣傳和獲取教育資源；在此基礎(chǔ)上建立能滿足教學(xué)、科研和管理工作需要的軟、硬件環(huán)境；開發(fā)各類信息庫(kù)和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)；系統(tǒng)總體設(shè)計(jì)本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性、良好的開放性、可擴(kuò)展性，以及建設(shè)經(jīng)濟(jì)性。</p><p>　　3.方案設(shè)計(jì)與實(shí)現(xiàn) <

26、;/p><p><b>　　3.1網(wǎng)絡(luò)設(shè)計(jì)原則</b></p><p>　　在充分考慮多應(yīng)用、易管理的同時(shí)，本方案遵循如下原則：</p><p>　　第一，高可靠性。網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的前提保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。使

27、得網(wǎng)絡(luò)在高負(fù)荷情況下仍然具有較高的吞吐能力和效率，延遲低。</p><p>　　第二，標(biāo)準(zhǔn)性及開放性。通訊協(xié)議和接口符合國(guó)際標(biāo)準(zhǔn)。支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議（如TCP/IP）、 國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議（如BGP，OSPF）等開放協(xié)議，有利于保證與其他網(wǎng)絡(luò)在之間的平滑連接互通。方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品。在網(wǎng)絡(luò)中，即使有多個(gè)網(wǎng)絡(luò)并存，采用統(tǒng)一的標(biāo)準(zhǔn)，也能使這些網(wǎng)絡(luò)能融合到一起，實(shí)現(xiàn)業(yè)務(wù)整合及數(shù)據(jù)集中。

28、</p><p>　　第三，靈活性及可擴(kuò)展性。根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑的擴(kuò)充和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。易于增加新設(shè)備、新用戶，易于和各種公用網(wǎng)絡(luò)連接，隨系統(tǒng)應(yīng)用的逐步成熟不斷延伸和擴(kuò)充，充分保護(hù)現(xiàn)有投資利益。</p><p>　　第四，先進(jìn)性。大學(xué)作為最前沿學(xué)科和技術(shù)研究場(chǎng)所，要求網(wǎng)絡(luò)實(shí)驗(yàn)室要配備最先進(jìn)的網(wǎng)絡(luò)設(shè)備，能夠開展最新技術(shù)的科研，教學(xué)和實(shí)踐活動(dòng)

29、，對(duì)網(wǎng)絡(luò)實(shí)驗(yàn)室的設(shè)備，網(wǎng)絡(luò)方案的技術(shù)先進(jìn)性要求非常高。同時(shí)還應(yīng)跟蹤當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)和通信技術(shù)的最新發(fā)展，能夠開設(shè)一些高水平的網(wǎng)絡(luò)和通信實(shí)驗(yàn)。</p><p>　　第五，可管理性。對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)，分權(quán)管理，并統(tǒng)一分配寬帶資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備，端口等的管理，流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。整個(gè)網(wǎng)絡(luò)可以進(jìn)行遠(yuǎn)程控制。</p><p>　　第六，安全性。制訂統(tǒng)一的骨干網(wǎng)安

30、全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。可以通過(guò)各業(yè)務(wù)子網(wǎng)隔離，全網(wǎng)統(tǒng)一規(guī)劃IP地址，根據(jù)不同的業(yè)務(wù)劃分不同的子網(wǎng)。具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。支持AAA功能、ACL、IPSEC、NAT、路由驗(yàn)證、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。</p><p>　　第七，綜合性和統(tǒng)一性。要求在一個(gè)網(wǎng)絡(luò)實(shí)驗(yàn)室內(nèi)完成上面提到的眾多網(wǎng)絡(luò)實(shí)驗(yàn)，并且最好是由一個(gè)廠家的設(shè)備來(lái)組建。</p&

31、gt;<p>　　第八，合理的性能價(jià)格比，根據(jù)我院的實(shí)際需要建設(shè)一個(gè)性能和價(jià)格合理的網(wǎng)絡(luò)實(shí)驗(yàn)室很重要，花最少的錢建設(shè)一個(gè)網(wǎng)絡(luò)實(shí)驗(yàn)室，即能保證教學(xué)和實(shí)驗(yàn)的需要，也能保證技術(shù)上的先進(jìn)性。建設(shè)網(wǎng)絡(luò)實(shí)驗(yàn)室就是一項(xiàng)投資，投資就要講究投資的效率，就要關(guān)注性價(jià)比。比較性價(jià)比的前提是確保性能基本滿足需求。性價(jià)比高的會(huì)帶來(lái)更大的效用。</p><p>　　3.2 主流組網(wǎng)技術(shù)分析與選擇</p><

32、p>　　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)就是網(wǎng)絡(luò)的形狀，或者是它在物理上的連通性。構(gòu)成網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有很多種，通常包括：星型拓?fù)?、總線拓?fù)洹h(huán)型拓?fù)?、樹型拓?fù)?、混合型拓?fù)洹⒕W(wǎng)型拓?fù)洹?lt;/p><p>　　拓?fù)浣Y(jié)構(gòu)的選擇往往與傳輸媒體的選擇和媒體訪問(wèn)控制方法的確定緊密相關(guān)。在選擇網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，應(yīng)該考慮的主要因素有下列幾點(diǎn)：</p><p>　　1.可靠性  盡可能提高可靠性，保證所有

33、數(shù)據(jù)流能準(zhǔn)確接收。還要考慮系統(tǒng)的維護(hù)，要使故障檢測(cè)和故障隔離較為方便。</p><p>　　2.費(fèi)用低  它包括建網(wǎng)時(shí)需考慮適合特定應(yīng)用的費(fèi)用和安裝費(fèi)用。</p><p>　　3.靈活性  需要考慮系統(tǒng)在今后擴(kuò)展或改動(dòng)時(shí)，能容易地重新配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，能方便地對(duì)原有站點(diǎn)的刪除和新站點(diǎn)的加入。</p><p>　　4.響應(yīng)時(shí)間和

34、吞吐量  要有盡可能短的響應(yīng)時(shí)間和最大的吞吐量。</p><p><b>　　(1) 星型拓?fù)?lt;/b></p><p>　　星型拓?fù)涫怯芍醒牍?jié)點(diǎn)和通過(guò)點(diǎn)到點(diǎn)通信鏈路接到中央節(jié)點(diǎn)的各個(gè)站點(diǎn)組成，如圖4-16所示。中央節(jié)點(diǎn)執(zhí)行集中式通信控制策略，因此中央節(jié)點(diǎn)較復(fù)雜，而各個(gè)站點(diǎn)的通信處理負(fù)擔(dān)都很小。采用星型拓?fù)涞慕粨Q方式有電路交換和報(bào)文交換，尤以電路交換

35、更為普遍?，F(xiàn)在的數(shù)據(jù)處理和聲音通信的信息網(wǎng)大多采用這種拓?fù)浣Y(jié)構(gòu)。目前流行的專用交換機(jī)PBX（Private Branch Exchange）就是星型拓?fù)涞牡湫蛯?shí)例。一旦建立了通道連接，可以無(wú)延遲地在連通的兩個(gè)站點(diǎn)之間傳送數(shù)據(jù)。</p><p>　　1.星型結(jié)構(gòu)的優(yōu)點(diǎn)。</p><p>　　(1)控制簡(jiǎn)單  在星型網(wǎng)絡(luò)中，任何一站點(diǎn)和中央節(jié)點(diǎn)相連接，因而媒體訪問(wèn)控制的方法

36、很簡(jiǎn)單，致使訪問(wèn)協(xié)議也十分簡(jiǎn)單。</p><p>　　(2)容易做到故障診斷和隔離  在星型網(wǎng)絡(luò)中，中央節(jié)點(diǎn)對(duì)連接線路可以一條一條地隔離開來(lái)進(jìn)行故障檢測(cè)和定位。單個(gè)連接點(diǎn)的故障只影響一個(gè)設(shè)備，不會(huì)影響全網(wǎng)。</p><p>　　(3)方便服務(wù)  中央節(jié)點(diǎn)可方便地對(duì)各個(gè)站點(diǎn)提供服務(wù)和網(wǎng)絡(luò)重新配置。</p><p>　　2.星型拓

37、撲的缺點(diǎn)。</p><p>　　(1)電纜長(zhǎng)度和安裝工作量可觀  因?yàn)槊總€(gè)站點(diǎn)都要和中央節(jié)點(diǎn)直接連接，需要耗費(fèi)大量的電纜。安裝、維護(hù)的工作量也驟增。</p><p>　　(2)中央節(jié)點(diǎn)的負(fù)擔(dān)加重，形成瓶頸，一旦故障，則全網(wǎng)受影響，因面中央節(jié)點(diǎn)的可靠性和冗余度方面的要求很高。</p><p>　　(3)各站點(diǎn)的分布處理能力較少。</p>

38、<p><b>　　(2) 總線拓?fù)?lt;/b></p><p>　　總線拓?fù)浣Y(jié)構(gòu)采用一個(gè)信道作為傳輸媒體，所有站點(diǎn)通過(guò)相應(yīng)的硬件接口都直接連到這一公共傳輸媒體上，或稱總線上。任何一個(gè)站發(fā)送的信號(hào)都沿著傳輸媒體傳播而且能被其他站接收。</p><p>　　結(jié) 構(gòu)因?yàn)樗姓军c(diǎn)共享一條公用的傳輸信道，所以一次只能由一個(gè)設(shè)備傳輸信號(hào)。通常采用分布式控制策略來(lái)決定下

39、一次哪一個(gè)站可以發(fā)送。發(fā)送時(shí)，發(fā)送站將報(bào)文分 成分組，然后一個(gè)一個(gè)依次發(fā)送這些分組，有時(shí)要與其他站來(lái)的分組交替地在媒體上傳輸。當(dāng)分組經(jīng)過(guò)各站時(shí)，其中的目的站會(huì)識(shí)別到分組的目的地址，然后拷貝下 這些分組的內(nèi)容。</p><p>　　1.總線拓?fù)涞膬?yōu)點(diǎn)。</p><p>　　(1)總線結(jié)構(gòu)所需要的電纜數(shù)量少。</p><p>　　(2)總線結(jié)構(gòu)簡(jiǎn)單，又是無(wú)源工作，有較高

40、可靠性。</p><p>　　(3)易于擴(kuò)充，增加或減少用戶比較方便。</p><p>　　2.總線拓?fù)涞娜秉c(diǎn)。</p><p>　　(1)系統(tǒng)范圍受到限制：同軸電纜的工作長(zhǎng)度一般在2km以內(nèi)，在總線的干線基礎(chǔ)上擴(kuò)展長(zhǎng)度時(shí)，需使用中繼器擴(kuò)展一個(gè)附加段。</p><p>　　(2)故障診斷和隔離較困難：因?yàn)榭偩€拓?fù)渚W(wǎng)絡(luò)不是集中控制，故障檢測(cè)需在

41、網(wǎng)上各個(gè)節(jié)點(diǎn)進(jìn)行，故障檢設(shè)不容易。如故障發(fā)生在節(jié)點(diǎn)，則只需將節(jié)點(diǎn)從總線上去掉。如傳輸媒體故障，則整個(gè)這段總線要切斷。</p><p><b>　　(3) 環(huán)型拓?fù)?lt;/b></p><p>　　每個(gè)站點(diǎn)能夠接收從一條鏈路傳來(lái)的數(shù)據(jù)，并以同樣的速度串行地把該數(shù)據(jù)傳送到另一端鏈路上。這種鏈路可以是單向的，以可以是雙向的。單向的環(huán)型網(wǎng)絡(luò)，數(shù)據(jù)只能沿一個(gè)方向傳輸，數(shù)據(jù)以分組形式

42、發(fā)送，例如圖中A站希望發(fā)送一個(gè)報(bào)文到C站，那么要把報(bào)文分成若干個(gè)分組，每個(gè)分組包括一段數(shù)據(jù)加上某些控制信息，其中包括C站的地址。A站依次把每個(gè)分組送到環(huán)上，開始沿環(huán)傳輸，C站識(shí)別到帶有它自己地址的分組時(shí)，將它接收下來(lái)。由于多個(gè)設(shè)備連接在一個(gè)環(huán)上，因此需要用分布控制形式的功能來(lái)進(jìn)行控制，每個(gè)站都有控制發(fā)送和接收的訪問(wèn)邏輯。</p><p><b>　　1.環(huán)型拓?fù)鋬?yōu)點(diǎn)。</b></p&g

43、t;<p>　　(1)電纜長(zhǎng)度短：環(huán)型拓?fù)渚W(wǎng)絡(luò)所需的電纜長(zhǎng)度和總線拓?fù)渚W(wǎng)絡(luò)相似，但比星型拓?fù)渚W(wǎng)絡(luò)要短得多。</p><p>　　(2)增加或減少工作站時(shí)，僅需簡(jiǎn)單地連接。</p><p>　　(3)可使用光纖：它的傳輸速度很高，十分適用于環(huán)型拓?fù)涞膯蜗騻鬏敗?lt;/p><p>　　2.環(huán)型拓?fù)涞娜秉c(diǎn)。</p><p>　　(1)節(jié)

44、點(diǎn)的故障會(huì)引起全網(wǎng)故障，這是因?yàn)樵诃h(huán)上的數(shù)據(jù)傳輸是通過(guò)接在環(huán)上的每一個(gè)節(jié)點(diǎn)，一旦環(huán)中某一節(jié)點(diǎn)發(fā)生故障就會(huì)引起全網(wǎng)的故障。</p><p>　　(2)檢測(cè)故障困難，這與總線拓?fù)湎嗨疲驗(yàn)椴皇羌锌刂?，故障檢測(cè)需在網(wǎng)上各個(gè)節(jié)點(diǎn)進(jìn)行，故障的檢測(cè)就不很容易。</p><p>　　(3)環(huán)型拓?fù)浣Y(jié)構(gòu)的媒體訪問(wèn)控制協(xié)議都采用令牌傳遞的方式，則在負(fù)載很輕時(shí)，其等待時(shí)間相對(duì)來(lái)說(shuō)就比較長(zhǎng)。</p>

45、;<p><b>　　(4) 樹型拓?fù)?lt;/b></p><p>　　樹型拓?fù)涫菑目偩€拓?fù)溲葑兌鴣?lái)，形狀像一棵倒置的樹，頂端是樹根，樹根以下帶分枝，每個(gè)分枝還可再帶子分枝。</p><p>　　這種拓?fù)涞恼军c(diǎn)發(fā)送時(shí)，根接收該信號(hào)，然后再重新廣播發(fā)送到全網(wǎng)。樹型拓?fù)涞膬?yōu)缺點(diǎn)大多和總線的優(yōu)缺點(diǎn)相同，但也有一些特殊樁點(diǎn)。</p><p>

46、<b>　　1.樹型拓?fù)鋬?yōu)點(diǎn)。</b></p><p>　　(1)易于擴(kuò)展：從本質(zhì)上講，這種結(jié)構(gòu)可以延伸出很多分支和子分支，這些新節(jié)點(diǎn)和新分支都較容易地加入網(wǎng)內(nèi)。</p><p>　　(2)故障隔離較容易：如果某一分支的節(jié)點(diǎn)或線路發(fā)生故障，很容易將故障分支和整個(gè)系統(tǒng)隔離開采。</p><p>　　樹型拓?fù)涞娜秉c(diǎn)是各個(gè)節(jié)點(diǎn)對(duì)根的依賴性太大，如果根

47、發(fā)生故障，全網(wǎng)則不能正常工作，從這一點(diǎn)來(lái)看樹型拓?fù)浣Y(jié)構(gòu)的可靠性與星型拓?fù)浣Y(jié)構(gòu)相似。</p><p><b>　　(5) 混合型拓?fù)?lt;/b></p><p>　　將以上兩種單一拓?fù)浣Y(jié)構(gòu)類型混合起來(lái)，取兩種拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)構(gòu)成一種混合型拓?fù)浣Y(jié)構(gòu)。如圖4-20所示是星型拓?fù)浜铜h(huán)型拓?fù)浠旌铣傻男切铜h(huán)狀拓?fù)洹?lt;/p><p>　　這種拓?fù)涞呐渲檬怯梢慌尤?/p>

48、環(huán)中的集中器組成，由集中器再按星型結(jié)構(gòu)連至每個(gè)用戶站。</p><p>　　1.混合型拓?fù)涞膬?yōu)點(diǎn)。</p><p>　　(1)故障診斷和隔離較為方便：一旦網(wǎng)絡(luò)發(fā)生故障，首先診斷哪一個(gè)集中器有故障，然后，將該集中器和全網(wǎng)隔離。</p><p>　　(2)易于擴(kuò)展：如果要擴(kuò)展用戶時(shí)，可以加入新的集中器，以后在設(shè)計(jì)時(shí)，在每個(gè)集中器留出一些備用的可插入新的的站點(diǎn)的連接口。&

49、lt;/p><p>　　(3)安裝方便；網(wǎng)絡(luò)的主電纜只要連通這些集中器，安裝時(shí)就不含有電纜管道擁擠的問(wèn)題。這種安裝和傳統(tǒng)的電話系統(tǒng)電纜安裝很相似。</p><p>　　2.混合型拓?fù)涞娜秉c(diǎn)。</p><p>　　(1)需要選用帶智能的集中器：這是為了實(shí)現(xiàn)網(wǎng)絡(luò)故障自動(dòng)診斷和故障節(jié)點(diǎn)的隔離所必需的。</p><p>　　(2)集中器到各個(gè)站點(diǎn)的電纜安

50、裝會(huì)像星型拓?fù)浣Y(jié)構(gòu)一樣，有時(shí)會(huì)使電纜安裝長(zhǎng)度增加。</p><p><b>　　(6) 網(wǎng)型拓?fù)?lt;/b></p><p>　　它的優(yōu)點(diǎn)是不受瓶頸問(wèn)題和失效問(wèn)題的影響。由于節(jié)點(diǎn)之間有許多條路徑相連，可以為數(shù)據(jù)流的傳輸選擇適當(dāng)?shù)穆酚?，繞過(guò)失效的部件或過(guò)忙的節(jié)點(diǎn)。這種結(jié)構(gòu)雖然比較復(fù)雜，成本比較高，為提供上述功能，網(wǎng)形拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)協(xié)議也較復(fù)雜，但由于它的可靠性高，受到用戶的

51、歡迎。</p><p>　　上面分析了幾種常用拓?fù)浜退鼈兊膬?yōu)缺點(diǎn)，由此可見，不管是局域網(wǎng)或廣域網(wǎng)，其拓?fù)涞倪x擇，需要考慮很多因素。網(wǎng)絡(luò)要易于安裝，一旦安裝好了，還要滿足易于擴(kuò)展的要求，既要方便擴(kuò)展，又要保護(hù)現(xiàn)有的系統(tǒng)。</p><p>　　網(wǎng)絡(luò)的可靠性也是考慮的重要因素，要易于故障診斷，易于隔離故障，以使網(wǎng)絡(luò)的主要部分仍能正常運(yùn)行。</p><p>　　網(wǎng)絡(luò)拓?fù)涞倪x

52、擇還會(huì)影響傳輸媒體的選擇和媒體訪問(wèn)控制方法的確定，這些因素又會(huì)影響各個(gè)站點(diǎn)在網(wǎng)上的運(yùn)行速度和網(wǎng)絡(luò)軟硬件接口的復(fù)雜性。</p><p>　　要建設(shè)一個(gè)功能完善的礦業(yè)大學(xué)南湖局域網(wǎng)絡(luò)，從性能、安全、穩(wěn)定等方面來(lái)考慮，樹型的網(wǎng)絡(luò)結(jié)構(gòu)是我們的首選，其易于故障的診斷，以及網(wǎng)絡(luò)的升級(jí)。</p><p>　　目前常用的主干網(wǎng)組網(wǎng)技術(shù)有100Mbps的快速以太網(wǎng)，100Mbps的FDDI， ATM網(wǎng)絡(luò)和千

53、兆以太網(wǎng)。本網(wǎng)主要采用快速以太交換網(wǎng)作為主干網(wǎng)的組網(wǎng)技術(shù)，快速以太交換網(wǎng)是性能較高的組網(wǎng)方式。它具有以下優(yōu)點(diǎn)：技術(shù)成熟穩(wěn)定；對(duì)傳統(tǒng)的局域網(wǎng)及其應(yīng)用有很好的支持；有效保護(hù)用戶投資。</p><p>　　3.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)</p><p>　　銳捷網(wǎng)絡(luò)的設(shè)計(jì)都是基于一個(gè)模塊化，層次化的設(shè)計(jì)思想。這也是對(duì)大型網(wǎng)絡(luò)進(jìn)行高效管理的首選方法。</p><p>　　3.3.

54、1模塊化設(shè)計(jì)</p><p>　　模塊化就是將把整個(gè)網(wǎng)絡(luò)按功能和安全需求分為若干個(gè)組件，這些組件之間有一定的安全邊界，組件內(nèi)部有完整的網(wǎng)絡(luò)設(shè)計(jì)。模塊化設(shè)計(jì)的好處在于： </p><p>　　1. 解決各網(wǎng)絡(luò)之間的沖突問(wèn)題； </p><p>　　2. 簡(jiǎn)化安裝和后臺(tái)設(shè)備管理； </p><p>　　3. 易于故障檢測(cè)和分離問(wèn)題； <

55、;/p><p>　　4. 易于執(zhí)行不同類型的服務(wù)和安全方針； </p><p>　　5. 易于擴(kuò)展和/或代替原來(lái)的技術(shù)。</p><p>　　南湖局域網(wǎng)的設(shè)計(jì)可以借鑒這種思想，對(duì)各種不同種類，不同安全等級(jí)的業(yè)務(wù)進(jìn)行模塊劃分，相互之間的訪問(wèn)將受到控制。</p><p>　　3.3.2層次化設(shè)計(jì)</p><p>　　對(duì)于南

56、湖局域網(wǎng)絡(luò)，我們采用業(yè)界通用“核心層-匯聚層-接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型。</p><p><b>　　核心層：</b></p><p>　　核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個(gè)網(wǎng)絡(luò)傳到另一個(gè)網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。匯聚層到核心層要具備冗余傳輸鏈路，任何單條鏈路斷連不影響網(wǎng)絡(luò)的可用性。作為所有網(wǎng)絡(luò)流量的傳

57、輸中樞，核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負(fù)載均衡或負(fù)載分擔(dān)特性的設(shè)備實(shí)現(xiàn)負(fù)荷均衡。此外，為了避免網(wǎng)元故障對(duì)網(wǎng)絡(luò)造成沖擊，需要網(wǎng)絡(luò)采用支持快速聚合的特性，一旦主用通路斷開，可以很快的切換到備用通路。</p><p><b>　　匯聚層</b></p><p>　　匯聚層顧名思義就是作為訪問(wèn)層到骨干層的匯聚，通常為訪問(wèn)層與骨干層實(shí)現(xiàn)基于策略

58、的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機(jī)組成，提供對(duì)網(wǎng)絡(luò)流量模式控制、服務(wù)訪問(wèn)控制、QoS、定義路由路徑度量和路由協(xié)議網(wǎng)絡(luò)通告控制。</p><p><b>　　接入層</b></p><p>　　接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過(guò) VLAN技術(shù)實(shí)現(xiàn)子網(wǎng)之間的隔離。訪問(wèn)層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。訪問(wèn)層

59、主要通過(guò)二層交換機(jī)組成。</p><p>　　“核心層-匯聚層-訪問(wèn)層”網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)： </p><p>　　高可擴(kuò)展性 － 遵循層次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有伸縮性和可管理性，因?yàn)楦鞴δ芫W(wǎng)絡(luò)通過(guò)模塊化實(shí)現(xiàn)，潛在問(wèn)題更易于識(shí)別。 </p><p>　　易于實(shí)施 － 每一層的功能性清晰劃分，簡(jiǎn)化每一層的實(shí)現(xiàn)。 </p><p&g

60、t;　　易于故障排除 － 每一層的功能經(jīng)過(guò)良好定義，網(wǎng)絡(luò)更為簡(jiǎn)單，有助于故障的隔離。模塊化設(shè)計(jì)也有效限制故障影響范圍。 </p><p>　　易于規(guī)劃和管理 － 層次化的功能劃分，整個(gè)網(wǎng)絡(luò)規(guī)劃和管理更為簡(jiǎn)單。 </p><p>　　3.3.3 網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　3.3.4 方案的說(shuō)明</p><p>　　實(shí)驗(yàn)室局域網(wǎng)絡(luò)系

61、統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。因存在大量的語(yǔ)音和視頻傳輸。據(jù)此，考慮匯聚層對(duì) QoS 有良好的支持并且能提供大的帶寬。接入層設(shè)備是最終用戶的最直接上聯(lián)的設(shè)備，它應(yīng)該具備即插即用特性以及易于維護(hù)的特點(diǎn)。根據(jù)學(xué)校建設(shè)要求與總體目標(biāo)，骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)成。在接入層面，通過(guò)定義相應(yīng)的訪問(wèn)策略，實(shí)現(xiàn)訪問(wèn)控制，內(nèi)

62、外隔離和抭 IP 地址。在網(wǎng)絡(luò)結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù)(第三層交換)作為核心層，呈網(wǎng)狀拓?fù)浣Y(jié)構(gòu)。以 TCP/IP 協(xié)議為主，并輔以 IP/SPX. NETTEUI 等其他流行通信協(xié)議堅(jiān)持開放性和標(biāo)準(zhǔn)化，采用標(biāo)準(zhǔn)的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系統(tǒng)間易于集成，兼顧其他標(biāo)準(zhǔn)的網(wǎng)絡(luò)體系結(jié)構(gòu)，網(wǎng)絡(luò)能實(shí)現(xiàn)協(xié)議之間無(wú)縫連接。而公用服務(wù)器與每一臺(tái)核心層交換機(jī)都應(yīng)該具備連接。在網(wǎng)絡(luò)硬件上采用高性能、高可靠的設(shè)備，此產(chǎn)品是具有運(yùn)營(yíng)商

63、級(jí)容錯(cuò)能力的高性能大型網(wǎng)絡(luò)核心交換機(jī)，可實(shí)現(xiàn)冗余備份，從而提高核心層的可靠性。 整個(gè)網(wǎng)絡(luò)通過(guò)匯聚層交換機(jī)</p><p>　　3.4 IP地址劃分</p><p>　　3.4.1 IP地址及VLAN劃分原則</p><p>　　簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式； </p><p>　　連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)

64、的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)CIDR(Classless Inter-Domain Routing)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率； </p><p>　　可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性； </p><p>　　靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路

65、由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化； </p><p>　　可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。 </p><p>　　安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。</p><p>　　3.4.2 IP地址及VLAN劃分</p><p>　　VLAN（Virtual Local Area Netwo

66、rk）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) VLAN 組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。組建 VLAN 的條件 VLAN 是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立 VLAN 需要相應(yīng)的支持 VLAN 技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同 VLAN 間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)

67、就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來(lái)完成。</p><p>　　根據(jù)我校礦業(yè)大學(xué)南湖的實(shí)際情況，我們對(duì)各個(gè)機(jī)房的IP地址劃分及VLAN劃分如下：</p><p>　　1-4機(jī)房： 224.0.0.1/24， vlan1</p><p>　　5-8機(jī)房： 224.0.1.1/24， vlan2</p><p

68、>　　9-10機(jī)房： 224.0.2.1/24， vlan3</p><p>　　11-12機(jī)房：224.0.3.1/24， vlan4</p><p>　　13-14機(jī)房：224.0.4.1/24， vlan5</p><p>　　15-16機(jī)房：224.0.5.1/24， vlan6</p><p>　　17-18機(jī)房：224.0.

69、6.1/24， vlan7</p><p>　　19-20機(jī)房：224.0.7.1/24， vlan8</p><p>　　21-22機(jī)房：224.0.8.1/24， vlan9</p><p>　　23-24機(jī)房：224.0.9.1/24， vlan10</p><p>　　25-26機(jī)房：224.0.10.1/24， vlan11<

70、/p><p>　　27-28機(jī)房：224.0.11.1/24， vlan12</p><p>　　29-30機(jī)房：224.0.12.1/24， vlan13</p><p>　　31-32機(jī)房：224.0.13.1/24， vlan14</p><p>　　33-34機(jī)房：224.0.14.1/24 , vlan15</p>&l

71、t;p>　　35-36機(jī)房：224.0.15.1/24, vlan16</p><p>　　3.4.3 NAT的實(shí)現(xiàn)</p><p>　　NAT，網(wǎng)絡(luò)地址轉(zhuǎn)換，是通過(guò)將專用網(wǎng)絡(luò)地址轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng)Internet），從而對(duì)外隱藏了內(nèi)部管理的 IP 地址。這樣，通過(guò)在內(nèi)部使用非注冊(cè)的 IP 地址，并將它們轉(zhuǎn)換為一小部分外部注冊(cè)的 IP 地址，從而減少了IP 地址注冊(cè)的費(fèi)用以及

72、節(jié)省了目前越來(lái)越缺乏的地址空間（即IPV4）。同時(shí)，這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)。</p><p>　　NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的3種實(shí)現(xiàn)方式：</p><p>　　1、靜態(tài)NAT（一對(duì)一）</p><p>　　2、動(dòng)態(tài)NAT（多對(duì)多）</p><p>　　3、端口多路復(fù)用PAT（多對(duì)一）</p><

73、p>　　本網(wǎng)絡(luò)沒(méi)有考慮NAT的具體實(shí)現(xiàn)。</p><p>　　（1）訪問(wèn)列表的實(shí)現(xiàn)</p><p>　　路由器和交換機(jī)所保持的列表用來(lái)針對(duì)一些進(jìn)出路由器或交換機(jī)的服務(wù)（如組織某個(gè)IP地址的分組從路由器或交換機(jī)的特定端口出發(fā)）做訪問(wèn)控制。</p><p>　　在本網(wǎng)絡(luò)拓?fù)渲?，使用訪問(wèn)列表用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全。用來(lái)實(shí)現(xiàn)相當(dāng)于防火墻的功能。允許內(nèi)網(wǎng)的用戶去訪問(wèn)外網(wǎng)，而

74、外網(wǎng)的用戶則是除了能訪問(wèn)服務(wù)器或是通過(guò)VPN連接進(jìn)來(lái)外，其他的訪問(wèn)都是被阻止的。</p><p>　　3.5設(shè)備選型與配置 </p><p>　　我們選取其中一個(gè)機(jī)房作為示例，下圖為實(shí)驗(yàn)室的三層網(wǎng)絡(luò)結(jié)構(gòu)模型：</p><p>　　匯聚層交換機(jī)的選擇： RG－S6806E </p><p>　　要求匯聚層交換機(jī)支持廣播、組播功能。信號(hào)從核心交換

75、機(jī)出來(lái)，在匯聚層就進(jìn)行組播，</p><p>　　可以減輕網(wǎng)絡(luò)的負(fù)擔(dān)。</p><p>　　接入層交換機(jī)的選擇：STAR-S2126G/STAR-S2150G 交換機(jī) </p><p>　　RG-S6800E 系列多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)提供 1.6T/0.8T 背板帶寬，并支持將來(lái)擴(kuò)展到 3.2T/1.6T 的能力，高達(dá) 572Mpps/286Mpps 的二/三層

76、包轉(zhuǎn)發(fā)速率可為用戶提供高速無(wú)阻塞的數(shù)據(jù)交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇。 RG-S6800E 交換機(jī)通過(guò) 擴(kuò)展高性能的 多業(yè)務(wù)卡支 持策略路由、 IPV6、 MPLS 、load balancing、NAT、VPN、Firewall、web cache redirect 等業(yè)務(wù)功能，滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。 豐富

77、的應(yīng)用支持技術(shù)（QOS、組播） RG-S6800E 提供多種流分類技術(shù)和多種 QOS 技術(shù)，包括 SP、WRR、WFQ、WRED、CAR、HOL 等，為各種應(yīng)用的帶寬保障提供需要的支持技術(shù)。 流分類：可以依據(jù)數(shù)據(jù)流的源/目的 MAC 地址、源/目的三層 IP 地址、三層協(xié)議（IP/IPX）、四層協(xié)議（UDP/TCP）、源/目的四層協(xié)議端口號(hào)、COS、TOS 對(duì)數(shù)據(jù)流進(jìn)行區(qū)分，實(shí)現(xiàn)</p><p>　　數(shù)據(jù)標(biāo)記：8

78、02.1p 是二層協(xié)議，可以為數(shù)據(jù)提供 8 個(gè)級(jí)別的優(yōu)先級(jí)標(biāo)記；DSCP 在三層的 IP 協(xié)議報(bào)文里進(jìn)行優(yōu)先級(jí)標(biāo)記，可以提供 64 個(gè)級(jí)別的優(yōu)先標(biāo)記。 </p><p>　　隊(duì)列調(diào)度：嚴(yán)格優(yōu)先級(jí)隊(duì)列 SP 保證高優(yōu)先級(jí)業(yè)務(wù)總是在低優(yōu)先級(jí)業(yè)務(wù)之前處理；WRR是一種加權(quán)循環(huán)隊(duì)列調(diào)度機(jī)制，首先處理高優(yōu)先級(jí)，但在處理高優(yōu)先級(jí)業(yè)務(wù)時(shí)，較低優(yōu)先級(jí)的業(yè)務(wù)并沒(méi)有被完全阻塞，而是按一定的比例同時(shí)進(jìn)行。WFQ 是加權(quán)公平隊(duì)列，對(duì)所有

79、的數(shù)據(jù)流進(jìn)行排隊(duì)，監(jiān)控吞吐率，并根據(jù)發(fā)送的信息量分配權(quán)值。WFQ 試圖公平地為每個(gè)對(duì)話分配帶寬，保證低帶寬應(yīng)用可以獲得對(duì)接口的訪問(wèn)權(quán)，而不會(huì)被高帶寬應(yīng)用全部占用。 </p><p>　　擁塞控制：WRED 加權(quán)隨機(jī)早期檢測(cè)協(xié)議，可以設(shè)置各個(gè)數(shù)據(jù)流在擁塞發(fā)生之前自動(dòng)丟失數(shù)據(jù)的閥值，避免較高優(yōu)先級(jí)應(yīng)用的擁塞丟失。HOL 通過(guò)消除 HOL 阻塞確保最高可能的吞吐量；最大限度地減少包丟失，減少多路傳輸和廣播流量擁塞。 &

80、lt;/p><p>　　承諾信息速率：CAR 可以為重要的數(shù)據(jù)流設(shè)定固定的帶寬，如果設(shè)定的帶寬合理，滿足該數(shù)據(jù)流的需求，就可以保證重要數(shù)據(jù)流的正常轉(zhuǎn)發(fā)。 提供多種組播支持技術(shù)，包括 IGMP snooping、IGMP、PIM（SSM、SM、DM），DVMRP，保證了網(wǎng)絡(luò)中提供組播服務(wù)時(shí)的帶寬合理占用。 </p><p>　　STAR-S2126G/STAR-S2150G 是一款全線速可堆疊千

81、兆智能交換機(jī)，提供智能的流分類和完善的服務(wù)質(zhì)量（QoS）以及組播管理特性，并可以實(shí)施靈活多樣的 ACL 訪問(wèn)控制?？赏ㄟ^(guò) SNMP、Telnet、Web 和 Console 口等多種方式提供豐富的管理。</p><p>　　3.6 路由選擇與配置</p><p>　　RG-S6800E新一代多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)系，配置見附錄二。</p><p>　　3.7 網(wǎng)絡(luò)

82、安全設(shè)計(jì)與管理</p><p>　　3.7.1安全需求分析</p><p>　　(1)、網(wǎng)絡(luò)病毒的防范</p><p>　　病毒產(chǎn)生的原因：我校實(shí)驗(yàn)室局域網(wǎng)很重要的一個(gè)特征就是用戶數(shù)比較多，會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段，這樣，當(dāng)用戶在頻繁的訪問(wèn)INTERNET的時(shí)候，通過(guò)局域網(wǎng)共享文件的時(shí)候，通過(guò)U盤，光盤拷貝文件的時(shí)候，系統(tǒng)都會(huì)感染上病毒，當(dāng)某個(gè)學(xué)生感染

83、上病毒后，他會(huì)向?qū)嶒?yàn)室局域網(wǎng)的每一個(gè)角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務(wù)器。</p><p>　　病毒對(duì)實(shí)驗(yàn)室局域網(wǎng)的影響：實(shí)驗(yàn)室局域網(wǎng)萬(wàn)兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問(wèn)得不到響應(yīng)，辦公平臺(tái)不能使用；資源庫(kù)、VOD不能點(diǎn)播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的實(shí)驗(yàn)室局域網(wǎng)資源卻不能使用的尷尬境地。</p><p>　　(2)、防止IP、M

84、AC地址的盜用</p><p>　　IP、MAC地址的盜用的原因：實(shí)驗(yàn)室局域網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。如果用戶有意無(wú)意的更改自己的IP、MAC地址，會(huì)引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對(duì)應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的

85、手中，造成ARP欺騙攻擊。</p><p>　　IP、MAC地址的盜用對(duì)校園網(wǎng)的影響：在用戶看來(lái)，實(shí)驗(yàn)室局域網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)?lái)很多麻煩的網(wǎng)絡(luò)，因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時(shí)候，自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對(duì)話框。由于擔(dān)心一些機(jī)密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會(huì)盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對(duì)實(shí)驗(yàn)室局域網(wǎng)以及

86、網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱，實(shí)驗(yàn)室局域網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用，造成很大程度上的資源浪費(fèi)。</p><p>　　(3)、安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶</p><p>　　實(shí)驗(yàn)室局域網(wǎng)正常運(yùn)行的需求：如果說(shuō)不能準(zhǔn)確的定位到用戶，學(xué)生會(huì)在網(wǎng)絡(luò)中肆無(wú)忌彈進(jìn)行各種非法的活動(dòng)，會(huì)使得校園網(wǎng)變成“黑客”娛樂(lè)的天堂，更嚴(yán)重的是，如果當(dāng)某個(gè)學(xué)生在校外的某個(gè)站點(diǎn)發(fā)布了大量涉及政治的比如法輪

87、功的言論，這時(shí)候公安部門的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時(shí)候，我們無(wú)法處理，學(xué)校或者說(shuō)網(wǎng)絡(luò)中心只有替學(xué)生背這個(gè)黑鍋。</p><p>　　(4)、安全事故發(fā)生時(shí)候，不能準(zhǔn)確定位到用戶的影響：</p><p>　　一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會(huì)上廣泛傳播，上級(jí)主管部門會(huì)對(duì)學(xué)校做出處理；同時(shí)也會(huì)大大降低學(xué)校在社會(huì)上的影響力，降低家長(zhǎng)、學(xué)生對(duì)學(xué)校的滿意度，對(duì)以后學(xué)生的招生也是

88、大有影響的。</p><p>　　(5)、用戶上網(wǎng)時(shí)間的控制</p><p>　　無(wú)法控制學(xué)生上網(wǎng)時(shí)間的影響：如果缺乏有效的機(jī)制來(lái)限制用戶的上網(wǎng)時(shí)間，學(xué)生可能會(huì)利用一切機(jī)會(huì)上網(wǎng)，會(huì)曠課。學(xué)生家長(zhǎng)會(huì)對(duì)學(xué)校產(chǎn)生強(qiáng)烈的不滿，會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書育人。這對(duì)學(xué)校的聲譽(yù)以及學(xué)校的長(zhǎng)期發(fā)展是及其不利的。</p><p>　　(6)、用戶網(wǎng)絡(luò)權(quán)限的控制</p&

89、gt;<p>　　在實(shí)驗(yàn)室局域網(wǎng)中，不同用戶的訪問(wèn)權(quán)限應(yīng)該是不一樣的，比如學(xué)生應(yīng)該只能夠訪問(wèn)資源服務(wù)器，上網(wǎng)，不能訪問(wèn)辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問(wèn)財(cái)務(wù)網(wǎng)絡(luò)。因此，需要對(duì)用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。</p><p>　　(7)、各種網(wǎng)絡(luò)攻擊的有效屏蔽</p><p>　　實(shí)驗(yàn)室局域網(wǎng)中常見的網(wǎng)絡(luò)攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻

90、擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務(wù)器及DHCP攻擊、竊取交換機(jī)的管理員密碼、發(fā)送大量的廣播報(bào)文，這些攻擊的存在，會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行，降低了實(shí)驗(yàn)室局域網(wǎng)的效率。</p><p>　　3.7.2網(wǎng)絡(luò)安全控制</p><p>　　(1)對(duì)端口 ARP 檢查防止 ARP 攻擊；</p><p>　　(2)對(duì)端口安全：MAC 動(dòng)態(tài)地址鎖，MAC 地址

91、靜態(tài)綁定； </p><p>　　(3)交換設(shè)備 BPDU Guard 功能，過(guò)濾非法 BPDU 報(bào)文，防止 STP 攻擊交換機(jī)； </p><p>　　(4)端口安全：端口靜態(tài)綁定，自動(dòng)綁定 IP 和 MAC 地址防止 DOS 攻擊； </p><p>　　(5)智能安全到邊緣：多種 ACL，滿足不同網(wǎng)絡(luò)應(yīng)用，過(guò)濾病毒 </p><p&g

92、t;　　(6) SSH 密文傳輸，限制管理 IP 等措施保證設(shè)備管理可靠； </p><p>　　(7)對(duì)網(wǎng)絡(luò)病毒的防范：采用設(shè)置 ACL，對(duì)病毒進(jìn)行過(guò)濾； 我們使用的匯聚、核心交換機(jī)都支持 SPOH，通過(guò)端口獨(dú)立的 FFP 進(jìn)行 ACL 處理，網(wǎng)絡(luò)設(shè)備性能不受設(shè)置 ACL 數(shù)目影響； </p><p><b>　　具體措施如下：</b></p>

93、<p>　　(1)事前的身份認(rèn)證</p><p>　　對(duì)于每一個(gè)需要訪問(wèn)網(wǎng)絡(luò)的用戶，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)、用戶被系統(tǒng)定義的允許訪問(wèn)網(wǎng)絡(luò)的時(shí)間，通過(guò)以上信息的綁定，可以達(dá)到如下的效果：</p><p>　　每一個(gè)用戶的身份在整個(gè)實(shí)驗(yàn)室局域網(wǎng)中是

94、唯一，避免了個(gè)人信息被盜用.</p><p>　　當(dāng)安全事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址，就可以準(zhǔn)確定位到該用戶，便于事情的處理。</p><p>　　只有經(jīng)過(guò)網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問(wèn)實(shí)驗(yàn)室局域網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。</p><p>　　(2)網(wǎng)絡(luò)攻擊的防范</p&

95、gt;<p>　　1、常見網(wǎng)絡(luò)病毒的防范</p><p>　　對(duì)于常見的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過(guò)部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。</p><p>　　2、未知網(wǎng)絡(luò)病毒的防范</p><p&

96、gt;　　對(duì)于未知的網(wǎng)絡(luò)病毒，通過(guò)在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫(kù)、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。</p><p>　　3、防止IP地址盜用和ARP攻擊</p><p>　　通過(guò)對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)ARP報(bào)文中的源IP

97、和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。</p><p>　　4、防止假冒IP、MAC發(fā)起的MAC Flood\SYN Flood攻擊</p><p>　　通過(guò)部署IP、MAC、端口綁定和IP+MAC綁定（只需簡(jiǎn)單的一個(gè)命令就可以實(shí)

98、現(xiàn)）。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問(wèn)，追查惡意用戶。有效的防止通過(guò)假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。</p><p>　　5、非法組播源的屏蔽</p><p>　　銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口

99、。當(dāng)IGMP源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時(shí)可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢(shì)，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡(jiǎn)單、

100、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營(yíng)網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。</p><p>　　6、對(duì)DOS攻擊，掃描攻擊的屏蔽</p><p>　　通過(guò)在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。</p><p>　　(3)事后的完整審計(jì)</p><p>　　當(dāng)用

101、戶訪問(wèn)完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶名，使用那個(gè)IP地址，MAC地址是多少，通過(guò)那一臺(tái)交換機(jī)的哪一個(gè)端口，什么時(shí)候開始訪問(wèn)網(wǎng)絡(luò)，什么時(shí)候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過(guò)查詢?cè)撊罩?，?lái)唯一的確定該用戶的身份，便于了事情的處理。</p><p>　　3.7.3網(wǎng)絡(luò)管理設(shè)計(jì)</p><p>　　網(wǎng)絡(luò)管理包括用戶管理、設(shè)備管理、網(wǎng)絡(luò)故障管理</p>

102、;<p><b>　　(1)網(wǎng)絡(luò)用戶管理</b></p><p><b>　　(2)網(wǎng)絡(luò)設(shè)備管理</b></p><p>　　網(wǎng)絡(luò)設(shè)備的管理通過(guò)STARVIEW實(shí)現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問(wèn)題的思路：</p><p>　　1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動(dòng)發(fā)現(xiàn)和了解</p><

103、p>　　STARVIEW能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對(duì)整個(gè)校園網(wǎng)了如指掌，對(duì)于用戶私自掛接的HUB、交換機(jī)等設(shè)備能及時(shí)地發(fā)現(xiàn)，提前消除各種安全隱患。</p><p>　　對(duì)于網(wǎng)絡(luò)中的異常故障，比如某臺(tái)交換機(jī)的CPU利用率過(guò)高，某條鏈路上的流量負(fù)載過(guò)大，STARVIEW都可以以不同的顏色進(jìn)行顯示，方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。</p><p><b>　　2、

104、網(wǎng)絡(luò)流量的查看</b></p><p>　　STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。</p><p>　　3、網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告</p><p>　　STARVIEW支持故障信息的自動(dòng)告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，會(huì)通過(guò)TRAP的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息

105、，這些信息同樣為管理員的故障排除提供了豐富的信息。</p><p><b>　　4、設(shè)備面板管理</b></p><p>　　STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時(shí)可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息的察看。</p><p>　　5、RGNOS操作系統(tǒng)的批量升級(jí)<

106、/p><p>　　校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大，需要使用大量的接入層交換機(jī)，如果需要對(duì)這些交換機(jī)進(jìn)行升級(jí)，一臺(tái)一臺(tái)的操作，會(huì)給管理員的工作帶來(lái)很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級(jí)功能，能夠很方便的一次對(duì)所有的相同型號(hào)的交換機(jī)進(jìn)行升級(jí)，加大的較少了網(wǎng)絡(luò)管理員的工作量。</p><p><b>　　(3)網(wǎng)絡(luò)故障管理</b></p><p

107、>　　3.8 未來(lái)升級(jí)與擴(kuò)展</p><p>　　由于使用銳捷的設(shè)備，選擇的設(shè)備都是能兼容IPV6，所以在以后將IPV4網(wǎng)絡(luò)升級(jí)成IPV6的應(yīng)用上市沒(méi)有什么問(wèn)題的。而網(wǎng)絡(luò)的升級(jí)上考慮到管理員不可能一直都在改處，所以考慮設(shè)置VPN使得管理人員能從遠(yuǎn)程登錄到該路由器，使得管理人員能應(yīng)付各種網(wǎng)絡(luò)升級(jí)及擴(kuò)展。</p><p>　　同時(shí)因?yàn)閷?duì)于各個(gè)用于群的分組比較的詳細(xì)，也方便了未來(lái)加入服務(wù)器

108、等工作。此外，還有包括以下幾個(gè)方面：</p><p><b>　　處理能力擴(kuò)展 </b></p><p>　　處理能力是指交換機(jī)的數(shù)據(jù)轉(zhuǎn)發(fā)能力，一般是指三層轉(zhuǎn)發(fā)能力。這種要求通常出現(xiàn)在網(wǎng)絡(luò)的匯聚層或核心層。隨著用戶業(yè)務(wù)的發(fā)展，業(yè)務(wù)數(shù)據(jù)流較大時(shí)，或?qū)I(yè)務(wù)數(shù)據(jù)流有較多的QOS或安全策略時(shí)，交換機(jī)的轉(zhuǎn)發(fā)能力不足就會(huì)影響業(yè)務(wù)。 </p><p><

109、;b>　　帶寬擴(kuò)展 </b></p><p>　　帶寬擴(kuò)展通常出現(xiàn)在不同的網(wǎng)絡(luò)層次間，如接入層和匯聚層，匯聚層和核心層。由于桌面接入的主流都已經(jīng)是100MB，而100MB交換機(jī)的上聯(lián)端口通常為1000MB，在滿負(fù)荷情況下，也才能滿足10個(gè)端口的線速上聯(lián)，而現(xiàn)在交換機(jī)動(dòng)輒24口，48口，因此在某些情況下，需要進(jìn)行上聯(lián)帶寬的擴(kuò)展。</p><p><b>　　平滑擴(kuò)

110、展 </b></p><p>　　隨著用戶對(duì)網(wǎng)絡(luò)的依賴性越來(lái)越強(qiáng)，網(wǎng)絡(luò)的中斷可能會(huì)給用戶帶來(lái)巨大的損失。即使是要進(jìn)行網(wǎng)絡(luò)的擴(kuò)展升級(jí)，用戶也希望不要對(duì)現(xiàn)存的網(wǎng)絡(luò)有影響。這就要求網(wǎng)絡(luò)的擴(kuò)展具有平滑不中斷的特性。同時(shí)，在網(wǎng)絡(luò)擴(kuò)展中，能夠保護(hù)原有設(shè)備的投資，不造成投資浪費(fèi)。</p><p>　　4.網(wǎng)絡(luò)施工與結(jié)構(gòu)化布線</p><p>　　4.1網(wǎng)絡(luò)布局的原則&

111、lt;/p><p><b>　　1、實(shí)用性</b></p><p>　　企業(yè)組建的局域網(wǎng)應(yīng)當(dāng)根據(jù)機(jī)房的大小、設(shè)備的多少來(lái)具體實(shí)施，根據(jù)網(wǎng)絡(luò)布線的特點(diǎn)來(lái)發(fā)揮網(wǎng)絡(luò)布局實(shí)用性是非常重要的。</p><p><b>　　2、全面性</b></p><p>　　組網(wǎng)過(guò)程中，網(wǎng)絡(luò)、服務(wù)器等設(shè)備放置位置應(yīng)當(dāng)統(tǒng)籌兼顧，

112、網(wǎng)絡(luò)布局要考慮周全，盡量讓各種設(shè)備和布線系統(tǒng)處于合理的位置。</p><p><b>　　3、可靠性</b></p><p>　　組網(wǎng)無(wú)論怎樣布局，最終的目的是保證我們的局域網(wǎng)的所有設(shè)備能可靠穩(wěn)定地運(yùn)行，使得網(wǎng)絡(luò)能正常運(yùn)轉(zhuǎn)。</p><p><b>　　4、便于維護(hù)與升級(jí)</b></p><p>