畢業(yè)論文——校園網(wǎng)規(guī)劃與設(shè)計(jì)

1、 畢業(yè)設(shè)計(jì)（論文）題目名稱：校園網(wǎng)規(guī)劃與設(shè)計(jì)vlan劃分及ip分配、網(wǎng)絡(luò)管理、局域網(wǎng)配置院系名稱： 班 級： 學(xué) 號： 學(xué)生姓名： 指導(dǎo)教師： 20 年 月 iii 校園網(wǎng)規(guī)劃與設(shè)計(jì) vlan劃分及ip分配、網(wǎng)絡(luò)管理、局域網(wǎng)配置 the campus network planning and design院系名稱： 班 級： 學(xué) 號： 學(xué)生姓名： 指導(dǎo)教師： 20 年 月摘要處在高速發(fā)達(dá)的信息時(shí)代，網(wǎng)絡(luò)技術(shù)在人們的生活中已經(jīng)起到了越來越重要的作用，作為傳播科技與文化的學(xué)校，理應(yīng)建立一套安全可靠的校園網(wǎng)絡(luò)，使教育不斷創(chuàng)新，與時(shí)俱進(jìn)。隨著校園網(wǎng)的不斷發(fā)展，規(guī)模在不斷擴(kuò)大，用戶在不斷增加，網(wǎng)絡(luò)應(yīng)用也

2、在不斷增長，網(wǎng)絡(luò)變得越來越復(fù)雜，沖突不斷產(chǎn)生，管理難度日益加大。學(xué)校內(nèi)部對于靈活、動(dòng)態(tài)地組建lan網(wǎng)段的要求也越來越多，客觀上要求lan本身的結(jié)構(gòu)可以實(shí)現(xiàn)動(dòng)態(tài)組建、調(diào)整和管理。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，充分合理地進(jìn)行vlan劃分，是必需的。本課題正是以本校的校園網(wǎng)為例組建一個(gè)具有代表意義的校園網(wǎng)絡(luò)，綜合了網(wǎng)絡(luò)工程規(guī)劃與設(shè)計(jì)、設(shè)備選型、vlan劃分、子網(wǎng)劃分、ip分配、傳輸與布線及網(wǎng)絡(luò)管理等技術(shù)。設(shè)計(jì)的目標(biāo)是組建成一個(gè)可擴(kuò)展的，安全穩(wěn)定的，易于管理的，高速的網(wǎng)絡(luò)，能實(shí)現(xiàn)校園網(wǎng)高速上網(wǎng)，多媒體教學(xué)等各種服務(wù)的應(yīng)用，以滿足現(xiàn)代教學(xué)的各種需求。關(guān)鍵詞：校園網(wǎng)； ip分配

3、 ；vlan劃分； 網(wǎng)絡(luò)管理abstractin the high-speed developed information era， advanced network technology in peoples lives have played more and more important role， as the spread of science and technology and culture， the school should establish a set of safety and reliability of the campus network ducation， m

4、ake continuous innovation， advancing with the times。 with the continuous development of campus network， the scale expansion in the user in increasing， network application is also increasing， the internet is becoming more and more complex， conflict management， continually produce growing difficulty。

5、inside the school for flexible， dynamically form lan segment are demanding more objectively requires lan itself can realize the dynamic structure formation， adjust and manage。 in order to effectively improve the flexibility of network management， improve efficiency and network security， network adeq

6、uately reasonably divided， for vlan is necessary。 this topic is in the form of the campus network as an example， a representative of the campus network， the network project planning and design， equipment selection， vlan， divided， ip subnets， transmission and distribution network management technolog

7、ies such as cabling。 design goal is to set up a scalable， safety and stability， easy to manage， high-speed network， can achieve high speed internet connection， multimedia teaching network services， in order to meet the application requirements of modern teaching。keywords: campus network ip distribut

8、ion vlan division network management目 錄摘要iabstractii目 錄iii第一章 前言1第二章 校園網(wǎng)現(xiàn)狀及需求分析22.1校園網(wǎng)絡(luò)現(xiàn)狀22.2 需求分析32.2.1校園網(wǎng)的總體設(shè)計(jì)原則42.2.2 校園網(wǎng)的組網(wǎng)技術(shù)一般有以下選擇4第三章 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)73.1 設(shè)計(jì)原則73.2設(shè)計(jì)目標(biāo)7第四章 系統(tǒng)總體方案設(shè)計(jì)94.1 網(wǎng)絡(luò)整體設(shè)計(jì)94.2網(wǎng)絡(luò)系統(tǒng)接入設(shè)計(jì)104.2.1 接入模式104.2.2 設(shè)備擴(kuò)展能力104.3 網(wǎng)絡(luò)安全設(shè)計(jì)114.3.1安全到邊緣的設(shè)計(jì)思想114.3.2全局安全的設(shè)計(jì)思想114.3.3全程安全的設(shè)計(jì)思想114.4 校園網(wǎng)網(wǎng)絡(luò)管

9、理設(shè)計(jì)方案124.4.1 sam管理系統(tǒng)124.4.2身份認(rèn)證124.4.3網(wǎng)絡(luò)攻擊的防范144.4.4完整審計(jì)154.5 網(wǎng)絡(luò)管理設(shè)計(jì)164.5.1網(wǎng)絡(luò)設(shè)備管理164.5.2網(wǎng)絡(luò)故障管理194.6 流量管理系統(tǒng)設(shè)計(jì)194.6.1 方案一：傳統(tǒng)的流量管理方案194.6.2方案二：銳捷的流量管理與控制方案204.7 劃分安全子網(wǎng) vlan214.7.1 提高網(wǎng)絡(luò)性能214.7.2 組建虛擬組織224.7.3 簡化網(wǎng)絡(luò)管理224.7.4 提高網(wǎng)絡(luò)安全224.7.5 減少設(shè)備投資224.7.6 vlan 的劃分方式224.8 vlan 的劃分及ip分配實(shí)例234.9綜合布線設(shè)計(jì)25第五章 主要設(shè)備選

10、型及配置實(shí)例275.1設(shè)備的選型275.2、系統(tǒng)配置方案305.2.1 核心層配置實(shí)例305.2.2 匯聚層設(shè)備的配置實(shí)例335.2.3 接入層交換機(jī)37、網(wǎng)絡(luò)管理相關(guān)配置40第六章 關(guān)于新建圖書館的相關(guān)規(guī)劃與設(shè)計(jì)實(shí)例4161規(guī)劃需求4162設(shè)備需求4163 網(wǎng)絡(luò)安全需求4164 網(wǎng)絡(luò)管理需求4165 用戶管理需求4166設(shè)備選型4167圖書館南機(jī)房配置實(shí)例4268 圖書館南機(jī)房配置實(shí)例43第七章 結(jié)束語47致 謝48參考文獻(xiàn)49附錄50附錄 a50附錄b51附錄c6147 第一章 前言隨著經(jīng)濟(jì)的發(fā)展和國家科教興國戰(zhàn)略的實(shí)施，校園網(wǎng)絡(luò)建設(shè)已逐步成為學(xué)校的基礎(chǔ)建設(shè)項(xiàng)目，更成為衡量一個(gè)學(xué)校教育信息

11、化、現(xiàn)代化的重要標(biāo)志。目前，大多數(shù)有條件的學(xué)校已完成了校園網(wǎng)硬件工程建設(shè)。校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)。首先，校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境。這就要求：校園網(wǎng)是一個(gè)寬帶 、具有交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。多媒體教學(xué)軟件開發(fā)平臺、多媒體演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫等，都可以在該網(wǎng)絡(luò)上運(yùn)行。如果一所學(xué)校包括多個(gè)專業(yè)學(xué)科(或多個(gè)系)，也可以形成多個(gè)局域網(wǎng)絡(luò)，并通過有線或無線方式連接起來。近年來，國內(nèi)校園網(wǎng)建設(shè)發(fā)展迅速，到目前為止國內(nèi)所有大中專院校幾乎都建設(shè)了自己良好的校園網(wǎng)。他們?yōu)槲覈髮W(xué)內(nèi)部實(shí)現(xiàn)教育的資源共享、信息交

12、流和協(xié)同工作提供了較好的范例。然而，隨著我國各地校園網(wǎng)數(shù)量的迅速增加，校園網(wǎng)之間如何實(shí)現(xiàn)教育的資源共享、信息交流和協(xié)同工作的要求越來越強(qiáng)校園網(wǎng)是以現(xiàn)代網(wǎng)絡(luò)技術(shù)、多媒體技術(shù)及internet技術(shù)為基礎(chǔ)建立起來的網(wǎng)絡(luò)架構(gòu)，一方面連接學(xué)校內(nèi)部網(wǎng)絡(luò)和分散于校園各處的終端設(shè)備，另一方面作為溝通校園內(nèi)外部網(wǎng)絡(luò)的橋梁。校園網(wǎng)為學(xué)校的教學(xué)、管理、辦公、信息交流和通信等提供綜合的網(wǎng)絡(luò)應(yīng)用環(huán)境。不能簡單的把校園網(wǎng)理解為一個(gè)物理意義上的由一大堆網(wǎng)絡(luò)設(shè)備組成的硬件網(wǎng)絡(luò)，而應(yīng)該把校園網(wǎng)理解為校園信息化、現(xiàn)代化的基礎(chǔ)設(shè)施和教育生產(chǎn)力的勞動(dòng)工具，是為學(xué)校的教學(xué)、管理、辦公、信息交流和通信等服務(wù)的。要實(shí)現(xiàn)這一點(diǎn)，校園網(wǎng)必須有

13、大量先進(jìn)實(shí)用的應(yīng)用軟件和網(wǎng)絡(luò)協(xié)議來支撐，軟硬件的充分結(jié)合是校園網(wǎng)充分發(fā)揮作用的前提。第二章 校園網(wǎng)現(xiàn)狀及需求分析2.1校園網(wǎng)絡(luò)現(xiàn)狀學(xué)校的具體情況如下：我校有三個(gè)校區(qū)，分南、北、西校區(qū)。我校是1995年第一批接入cernet的高校之一。經(jīng)過10幾年的建設(shè)，校園網(wǎng)基礎(chǔ)設(shè)施已經(jīng)覆蓋了所有校區(qū)，其中包括學(xué)生宿舍及教工家屬區(qū)。校園網(wǎng)擁有中國教育和中國網(wǎng)通兩個(gè)千兆出口，實(shí)現(xiàn)鏈路冗余，保證了校園網(wǎng)骨干網(wǎng)的良好可靠運(yùn)行。南北校區(qū)采用萬兆網(wǎng)通區(qū)間光纖互聯(lián)。全校注冊上網(wǎng)計(jì)算機(jī)共14458臺（截止到今日），再加上各院系實(shí)驗(yàn)室計(jì)算機(jī)以及一些無需認(rèn)證上網(wǎng)的辦公用機(jī)總數(shù)超過16000臺。學(xué)校目前擁有相當(dāng)于64個(gè)c類公網(wǎng)地

14、址的ip用于校內(nèi)計(jì)算機(jī)與外網(wǎng)的互聯(lián)。隨著銷校網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大，校網(wǎng)絡(luò)中心對校園網(wǎng)絡(luò)管理工作進(jìn)行了業(yè)務(wù)流程重組，采用rg-sam系統(tǒng)注冊、報(bào)修故障和維修記錄全部在網(wǎng)上登記，起到用戶檔案完善、故障跟蹤的關(guān)鍵作用，保證了網(wǎng)絡(luò)的安全和可靠運(yùn)行。2.1.1 現(xiàn)有互連網(wǎng)絡(luò)的拓?fù)鋍ernrt、 網(wǎng)通兩線，共三線接入核心路由器（ne40），滿足用戶對internet的需求。防火墻連接ne40和北區(qū)核心三層交換機(jī)（8512）。在防火墻的dmz區(qū)連接服務(wù)器群，提供校園網(wǎng)的web、dns、e-mail等服務(wù)。在核心交換機(jī)quidway8512上由多模光纖連接至計(jì)算中心、圖書館、主教樓、基礎(chǔ)實(shí)驗(yàn)樓以及東教學(xué)樓。各個(gè)

15、宿舍樓經(jīng)過882匯聚之后，連接到quidway8512。南北校區(qū)之間兩臺華為三層交換機(jī)quidway8512用萬兆光纖直連，南區(qū)quidway8512作為南校區(qū)的核心層。 在全院三層交換機(jī)和路由器上采用ospf路由協(xié)議。所有用戶數(shù)據(jù)在8512匯聚后，通過防火墻，由連接ne40的2條網(wǎng)通鏈路和一條教育網(wǎng)鏈路接入internet。在南北校區(qū)核心交換機(jī)quidway8512上劃分vlan對全校vlan進(jìn)行管理。2.1.2地址和命名特征校園網(wǎng) ip 地址分為兩大塊：校園網(wǎng)內(nèi)部的私有 ip 地址，采用 rfc 中規(guī)定的地址段，不能訪問internet 和cernet ，只能訪問校內(nèi)資源，用于未認(rèn)證的宿舍

16、樓部分； cernet 分配的多個(gè)c 類公網(wǎng)ip 地址，作為和互聯(lián)網(wǎng)互連的地址。我校采用由 dhcp 服務(wù)器結(jié)合raidus認(rèn)證服務(wù)器分配 ip 地址，在分配時(shí)依據(jù)其所提供的認(rèn)證信息判斷其所處位置來分配網(wǎng)段的作法。如圖2.1所示。圖2.1 中原工學(xué)院校園網(wǎng)拓?fù)鋱D2.2 需求分析校園網(wǎng)必須具備教學(xué)、管理和通訊三大功能。教師可以方便地瀏覽和查詢網(wǎng)上資源，進(jìn)行教學(xué)和科研工作；學(xué)生可以方便地瀏覽和查詢網(wǎng)上資源實(shí)現(xiàn)遠(yuǎn)程學(xué)習(xí)；通過網(wǎng)上學(xué)習(xí)學(xué)會(huì)信息處理能力。學(xué)校的管理人員可方便地對教務(wù)、行政事務(wù)、學(xué)生學(xué)籍、財(cái)務(wù)、資產(chǎn)等進(jìn)行綜合管理，同時(shí)可以實(shí)現(xiàn)各級管理層之間的信息數(shù)據(jù)交換，實(shí)現(xiàn)網(wǎng)上信息采集和處理的自動(dòng)化，實(shí)

17、現(xiàn)信息和設(shè)備資源的共享，因此，校園網(wǎng)的建設(shè)必須有明確的建設(shè)目標(biāo)。2.2.1校園網(wǎng)的總體設(shè)計(jì)原則l 開放性采用開放性的網(wǎng)絡(luò)體系，以方便網(wǎng)絡(luò)的升級、擴(kuò)展和互聯(lián)；同時(shí)在選擇服務(wù)器、網(wǎng)絡(luò)產(chǎn)品時(shí)，強(qiáng)調(diào)產(chǎn)品支持的網(wǎng)絡(luò)協(xié)議的國際標(biāo)準(zhǔn)化。 l 可擴(kuò)充性從主干網(wǎng)絡(luò)設(shè)備的選型及其模塊、插槽個(gè)數(shù)、管理軟件和網(wǎng)絡(luò)整體結(jié)構(gòu)，以及技術(shù)的開放性和對相關(guān)協(xié)議的支持等方面，來保證網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)充性。 l 可管理性利用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略，提供強(qiáng)大的網(wǎng)絡(luò)管理功能；使日常的維護(hù)和操作變得直觀，便捷和高效； l 安全性內(nèi)部網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)之間的互聯(lián)，利用vlan/elan、防火墻等對訪問

18、進(jìn)行控制，確保網(wǎng)絡(luò)的安全； l 投資保護(hù)選用性能價(jià)格比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器；采用的網(wǎng)絡(luò)架構(gòu)和設(shè)備充分考慮到易升級換代，并且在升級時(shí)可以最大限度地保護(hù)原有的硬件設(shè)備和軟件投資； l 易用性應(yīng)用軟件系統(tǒng)必須強(qiáng)調(diào)易用性，用戶界友好，帶有幫助和查詢功能，用戶可以通過web查詢。2.2.2 校園網(wǎng)的組網(wǎng)技術(shù)一般有以下選擇主干網(wǎng)主要選擇萬兆、千兆（適合于高校）或百兆以太網(wǎng)技術(shù)來構(gòu)建校園網(wǎng)絡(luò)，對兩層結(jié)點(diǎn)和桌面微機(jī)的接入也采用快速以太網(wǎng)，建立一個(gè)基于多層、全交換的虛擬園區(qū)網(wǎng)。 校園網(wǎng)在設(shè)計(jì)上應(yīng)具備以下特性才能夠滿足需求，并保證建成后的網(wǎng)絡(luò)在一個(gè)較長的時(shí)間內(nèi)具有較強(qiáng)的可用性和一定的先進(jìn)性。 1）高性能與技術(shù)先進(jìn)

19、性 校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)要求具有較高的數(shù)據(jù)通信能力和較大的帶寬；并在主干網(wǎng)上提供較強(qiáng)的可擴(kuò)展性。為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)應(yīng)有較高的網(wǎng)絡(luò)主干速度。 2）高可靠性 網(wǎng)絡(luò)要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓?fù)浣Y(jié)構(gòu)及設(shè)備的冗余和備份，為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，設(shè)備在發(fā)生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)進(jìn)行恢復(fù)，把故障對網(wǎng)絡(luò)系統(tǒng)的影響減少到最小，避免由于網(wǎng)絡(luò)故障造成用戶損失； 3）安全性 校園網(wǎng)作為一個(gè)支持眾多用戶、同時(shí)和internet/cernet存在連接的網(wǎng)絡(luò)，網(wǎng)絡(luò)安

20、全性在整個(gè)網(wǎng)絡(luò)中是個(gè)很重要的問題，應(yīng)該采用一定手段控制網(wǎng)絡(luò)的安全性，以保證網(wǎng)絡(luò)正常運(yùn)行。網(wǎng)絡(luò)中應(yīng)采取多種技術(shù)從內(nèi)部和外部同時(shí)控制用戶對網(wǎng)絡(luò)資源的訪問。網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保密性，能夠防止非法侵入和信息泄漏。4）可管理性 強(qiáng)有力的網(wǎng)管軟件是有效地進(jìn)行網(wǎng)絡(luò)管理的助手，網(wǎng)管軟件應(yīng)能夠支持對網(wǎng)絡(luò)進(jìn)行設(shè)備級和系統(tǒng)級的管理，并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備的管理及配置。靈活的設(shè)置每個(gè)用戶對internet訪問功能，能夠?qū)γ總€(gè)用戶實(shí)行管理；并且能夠?qū)崿F(xiàn)計(jì)費(fèi)管理。 5）可擴(kuò)充性 隨著應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持更多的用戶及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過渡

21、到新的技術(shù)和設(shè)備，保證現(xiàn)有的投資。 6）vlan劃分 根據(jù)校園網(wǎng)的實(shí)際需求，屬于同一部門的工作人員可能在不同的建筑物中，但需要在一個(gè)邏輯子網(wǎng)內(nèi)。網(wǎng)絡(luò)站點(diǎn)的增減，人員的變動(dòng)，無論從網(wǎng)絡(luò)管理，還是用戶的角度來講，都需要虛擬網(wǎng)技術(shù)的支持。因此在網(wǎng)絡(luò)主干中要支持三層交換及vlan劃分。在整個(gè)網(wǎng)絡(luò)中使用虛擬網(wǎng)技術(shù)，以提高網(wǎng)絡(luò)的安全性和靈活性。 7）多層交換技術(shù) 通過三層交換技術(shù)，特別是基于硬件的第三層交換，可以充分地利用交換機(jī)的包處理能力，實(shí)現(xiàn)真正的線速交換。 8）對多媒體應(yīng)用的支持 校園網(wǎng)要求具有數(shù)據(jù)、圖像、語音等多媒體實(shí)時(shí)通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿足大量用戶對帶寬的基

22、本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。整個(gè)網(wǎng)絡(luò)在服務(wù)質(zhì)量、預(yù)留寬帶設(shè)置、合理進(jìn)行帶寬管理方面應(yīng)提供優(yōu)良的品質(zhì)。 第三章 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)3.1 設(shè)計(jì)原則計(jì)算機(jī)網(wǎng)絡(luò)的主體并不是網(wǎng)絡(luò)線纜、網(wǎng)絡(luò)設(shè)備等本身，而是建立在這些硬件體系上的，為廣大教職工、科研人員和學(xué)生提供一個(gè)在網(wǎng)絡(luò)環(huán)境下進(jìn)行教學(xué)和科研工作的先進(jìn)平臺。校園網(wǎng)覆蓋整個(gè)學(xué)校園區(qū)，在網(wǎng)絡(luò)性能上應(yīng)該考慮以下幾個(gè)要求: 1.數(shù)據(jù)處理、通訊能力處理強(qiáng)，響應(yīng)速度快；2.網(wǎng)絡(luò)運(yùn)行安全、可靠性高；3.系統(tǒng)易擴(kuò)充，易管理，便于用戶的增加；4.主干網(wǎng)支持多媒體、群體、圖象接口應(yīng)用，支持高性能數(shù)據(jù)庫軟件包的持續(xù)增長；5.系統(tǒng)開放

23、性、互連性好；6.局域網(wǎng)既能方便遠(yuǎn)程用戶的認(rèn)證接入，又能滿足特殊用戶高效地連入廣域網(wǎng)，使用靈活；7.具有很強(qiáng)的分布式數(shù)據(jù)處理能力。在組建中，需要注意的設(shè)計(jì)原則有: 1）堅(jiān)持開放性，采用國際標(biāo)準(zhǔn)和通用標(biāo)準(zhǔn)； 2）采用先進(jìn)而成熟的技術(shù)； 3）易于技術(shù)更新和網(wǎng)絡(luò)擴(kuò)展； 4）實(shí)用、性價(jià)比高； 5）統(tǒng)一規(guī)劃，分布實(shí)施。3.2設(shè)計(jì)目標(biāo) 校園網(wǎng)應(yīng)具有為學(xué)校和學(xué)校之間的教育提供安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境；實(shí)現(xiàn)資源共享、信息交流、協(xié)同工作等基本功能。 （1）為教育信息的及時(shí)、準(zhǔn)確、可靠地收集、處理、存儲和傳輸?shù)忍峁┕ぞ吆途W(wǎng)絡(luò)環(huán)境。 （2）為學(xué)校行政管理和決策提供基礎(chǔ)數(shù)據(jù)、手段和網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)辦公自動(dòng)化，提高工作效率、管

24、理和決策水平。 （3）為備課、課件制作、授課、學(xué)習(xí)、練習(xí)、輔導(dǎo)、交流、考試和統(tǒng)計(jì)評價(jià)等各個(gè)教學(xué)環(huán)節(jié)提供網(wǎng)絡(luò)平臺和環(huán)境。 （4）為使用網(wǎng)絡(luò)通信、視頻點(diǎn)播和視頻廣播技術(shù)，提供符合素質(zhì)教育要求的新型教育模式； （5）為科學(xué)研究的資料檢索、收集和分析；成果的交流、研討；模擬實(shí)驗(yàn)等提供環(huán)境和手段第四章 系統(tǒng)總體方案設(shè)計(jì)4.1 網(wǎng)絡(luò)整體設(shè)計(jì) 本校校園網(wǎng)設(shè)計(jì)采用星型網(wǎng)絡(luò)架構(gòu)，以三層網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)。建設(shè)基于千兆以太網(wǎng)、萬兆以太網(wǎng)和快速以太網(wǎng)的全交換網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)1000mbps和10000兆主干，100mbps交換到終端的高性能校園局域網(wǎng)。1 ）核心層設(shè)計(jì)本校網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)采用三級星型拓?fù)浣Y(jié)構(gòu)，主干選用目前最先進(jìn)

25、成熟的千兆以太網(wǎng)技術(shù)，通過在核心層配置動(dòng)態(tài)路由協(xié)議，提供數(shù)據(jù)的路由轉(zhuǎn)發(fā)。高性能的校園網(wǎng)要求高性能的網(wǎng)絡(luò)設(shè)備和優(yōu)化的網(wǎng)絡(luò)結(jié)構(gòu)?？紤]到整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量及高安全可靠性，在本校主要校區(qū)（南校區(qū)和北校區(qū)）網(wǎng)絡(luò)中心機(jī)房各配置了一臺高性能華為8512三層交換機(jī)，用于主干連接，以保證整個(gè)網(wǎng)絡(luò)的安全、穩(wěn)定性能。2）匯聚層設(shè)計(jì)校園網(wǎng)的匯聚層網(wǎng)絡(luò)主要提供了用戶的匯聚功能和服務(wù)質(zhì)量保證的功能。在匯聚層能夠真正做到通過識別用戶及應(yīng)用提供不同的服務(wù)質(zhì)量保證。匯聚層作為大型網(wǎng)絡(luò)中的承上啟下的一層設(shè)備，其主要作用在于將較大數(shù)量的接入設(shè)備通過高密度的百兆或千兆端口匯聚，然后與核心交換機(jī)級聯(lián)。匯聚層與核心層的互聯(lián)鏈路采用鏈路捆

26、綁技術(shù)實(shí)現(xiàn)帶寬的擴(kuò)展，滿足現(xiàn)有業(yè)務(wù)和未來的業(yè)務(wù)發(fā)展的需求。3）接入層設(shè)計(jì) 接入層網(wǎng)絡(luò)是純二層交換網(wǎng)絡(luò)，提供用戶的網(wǎng)絡(luò)接入。由于接入層設(shè)備需要部署在具體樓宇，因此要求這些設(shè)備容易管理并且投資成本少。考慮到距離及高端設(shè)備的接口數(shù)量問題，樓層交換機(jī)組均通過千兆光纖上聯(lián)到匯聚層的三層主交換機(jī)，同時(shí)所有接入層交換機(jī)組以百兆rj-45直通雙絞線交換到桌面，保證了投資成本少及易于管理的要求。圖4.1 校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡圖4.2網(wǎng)絡(luò)系統(tǒng)接入設(shè)計(jì)4.2.1 接入模式本校設(shè)計(jì)網(wǎng)絡(luò)分別采用千兆教育網(wǎng)和千兆網(wǎng)通雙接入模式，南北校區(qū)采用萬兆網(wǎng)通光纖互聯(lián)，西區(qū)采用awaya 882與北區(qū)quidway 8512 千兆互聯(lián)

27、。各校區(qū)由各個(gè)網(wǎng)絡(luò)中心出發(fā)千兆到各樓宇機(jī)房，百兆鏈接到終端計(jì)算機(jī)。4.2.2 設(shè)備擴(kuò)展能力核心交換機(jī)應(yīng)當(dāng)全部采用模塊化結(jié)構(gòu)，必須擁有相當(dāng)數(shù)量的插槽，具有強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力，以保護(hù)原有的投資。模塊化結(jié)構(gòu)擁有更強(qiáng)勁的性能、更大的靈活性和可擴(kuò)充性，可以根據(jù)現(xiàn)實(shí)或未來的需要選擇不同數(shù)量、不同速率和不同接口類型的模塊，以適應(yīng)千變?nèi)f化的網(wǎng)絡(luò)需求。可擴(kuò)展性應(yīng)當(dāng)包括以下兩個(gè)方面。1）插槽數(shù)量。插槽用于安裝各種功能模塊和接口模塊。由于每個(gè)接口模塊所提供的端口數(shù)量是一定的，因此插槽數(shù)量也就從根本上決定著交換機(jī)所能容納的端口數(shù)量。另外，所有功能模塊（如管理引擎模塊、ip語音模塊、擴(kuò)展服務(wù)模塊、網(wǎng)絡(luò)監(jiān)控模塊、安全服務(wù)

28、模塊等）都需要占用一個(gè)插槽，因此插槽數(shù)量也就從根本上決定著交換機(jī)的可擴(kuò)展性。2)模塊類型。毫無疑問，支持的模塊類型（如lan接口模塊、wan接口模塊、atm接口模塊、擴(kuò)展功能模塊等）越多，交換機(jī)的可擴(kuò)展性越強(qiáng)。僅以局域網(wǎng)接口模塊為例，就應(yīng)當(dāng)包括rj45模塊、gbic（giga bitrate interface converter）模塊、sfp（small form pluggable）模塊、10 gbps模塊等，以適應(yīng)大中型網(wǎng)絡(luò)中復(fù)雜環(huán)境和網(wǎng)絡(luò)應(yīng)用的需求。4.3 網(wǎng)絡(luò)安全設(shè)計(jì)4.3.1安全到邊緣的設(shè)計(jì)思想用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是交換機(jī)，如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候，也就

29、是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無疑是達(dá)到更好的效果。 4.3.2全局安全的設(shè)計(jì)思想 銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)安全，安全不是某一個(gè)設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個(gè)全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。4.3.3全程安全的設(shè)計(jì)思想 用戶的網(wǎng)絡(luò)訪問行為可以分為三個(gè)階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時(shí)候、訪問網(wǎng)絡(luò)后。對著每一個(gè)階段，都應(yīng)該有嚴(yán)格的安全控制措施。4.4 校園網(wǎng)網(wǎng)絡(luò)管理設(shè)計(jì)方案4.4.1 sam管理系統(tǒng) 銳捷網(wǎng)絡(luò)結(jié)合sam系統(tǒng)和交換機(jī)嵌入式安全防護(hù)機(jī)制設(shè)計(jì)的特點(diǎn)，從三個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)安全：事前的準(zhǔn)確身份認(rèn)證、事中的實(shí)時(shí)處理、事后的完整

30、審計(jì)。圖4.2 sam管理系統(tǒng)4.4.2身份認(rèn)證對于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶，我們需要對其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶pc的ip地址、用戶pc的mac地址、用戶pc所在交換機(jī)的ip地址、用戶pc所在交換機(jī)的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時(shí)間，通過以上信息的綁定，可以達(dá)到如下的效果：圖 4.3 sam 認(rèn)證客戶端圖 4.4 客戶端設(shè)置 每一個(gè)用戶的身份在整個(gè)校園網(wǎng)中是唯一，避免了個(gè)人信息被盜用。 當(dāng)安全事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如ip地址，就可以準(zhǔn)確定位到該用戶，便于事情的處理。 只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法

31、接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。4.4.3網(wǎng)絡(luò)攻擊的防范 1) 常見網(wǎng)絡(luò)病毒的防范對于常見的比如沖擊波、振蕩波等對網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過部署擴(kuò)展的acl，能夠?qū)@些病毒所使用的tcp、udp的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。以北苑四號樓acl 擴(kuò)展的訪問控制列表為例：expert access-list extended antivirus deny tcp any any any any eq 135 deny tcp any any any any eq 136

32、 deny tcp any any any any eq 137 deny tcp any any any any eq 138 deny tcp any any any any eq 139 deny tcp any any any any eq 445 deny udp any any any any eq 135 deny udp any any any any eq 136 deny udp any any any any eq netbios-ns deny udp any any any any eq netbios-dgm deny udp any any any any eq

33、netbios-ss deny udp any any any any eq 445 permit ip any any any any!2）未知網(wǎng)絡(luò)病毒的防范對于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如web、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。3）防止ip地址盜用和arp攻擊 通過對每一個(gè)arp報(bào)文進(jìn)行深度的檢測，即檢測arp報(bào)文中的源ip和源mac是否和端口安全規(guī)則一致，如果不一致，視為更改了ip地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可

34、有效防止安全端口上的arp欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的ip（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。4）防止假冒ip、mac發(fā)起的mac floodsyn flood攻擊 通過部署ip、mac、端口綁定和ip+mac綁定（只需簡單的一個(gè)命令就可以實(shí)現(xiàn)）。并實(shí)現(xiàn)端口反查功能，追查源ip、mac訪問，追查惡意用戶。有效的防止通過假冒源ip/mac地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。5）非法組播源的屏蔽 銳捷產(chǎn)品均支持imgp源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定igmp組播流的進(jìn)入端口。當(dāng)igmp源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊的端口。

35、當(dāng)igmp源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持igmp源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時(shí)可以有效杜絕以組播方式的傳播病毒。在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)igmp源端口檢查，具有效率更高、配置更簡單、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。6）對dos攻擊，掃描攻擊的屏蔽通過在校園網(wǎng)中部署防止dos攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，

36、節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。4.4.4完整審計(jì) 當(dāng)用戶訪問完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶名，使用那個(gè)ip地址，mac地址是多少，通過那一臺交換機(jī)的哪一個(gè)端口，什么時(shí)候開始訪問網(wǎng)絡(luò)，什么時(shí)候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。以宿舍同學(xué)的上網(wǎng)明細(xì)的定位如下表：上網(wǎng)明細(xì)用戶名4004b315xx用戶ip183。170。143。138用戶mac00e0a014c9be用戶組南區(qū)北苑4號樓ab網(wǎng)關(guān)地址183。170。143。254vlan224子網(wǎng)掩碼255。255。2

37、55。128dns202。196。32。1ipv6地址數(shù)0用戶ipv6地址nas ip10。10。12。40網(wǎng)關(guān)ipv6地址讀寫communitystpublicnas port22具體型號s21xx及以后設(shè)備類型交換機(jī)設(shè)備位置by_4#設(shè)備名稱12。40使用服務(wù)freescg ip賬戶名4004b315xx計(jì)費(fèi)策略名default上線時(shí)間2010-06-05 08:51:46在線時(shí)長7時(shí)28分21秒下線時(shí)間2010-06-05 16:20:07下線原因用戶主動(dòng)下線!tunnelclienttunnelserverap macssid地區(qū)接入方式有線1x接入 端口流量(mb)3793。5732

38、99是否無線漫游否 用戶模板免費(fèi)綁定mac用戶圖4.7 流量監(jiān)控4.5 網(wǎng)絡(luò)管理設(shè)計(jì) 網(wǎng)絡(luò)管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)故障管理4.5.1網(wǎng)絡(luò)設(shè)備管理 網(wǎng)絡(luò)設(shè)備的管理通過solaris實(shí)現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路： 1）網(wǎng)絡(luò)現(xiàn)狀及故障的自動(dòng)發(fā)現(xiàn)和了解solaris能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對整個(gè)校園網(wǎng)了如指掌，對于用戶私自掛接的hub、交換機(jī)等設(shè)備能及時(shí)地發(fā)現(xiàn)，提前消除各種安全隱患。 對于網(wǎng)絡(luò)中的異常故障，比如某臺交換機(jī)的cpu利用率過高，某條鏈路上的流量負(fù)載過大，solaris都可以以不同的顏色進(jìn)行顯示，方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。 網(wǎng)絡(luò)

39、流量的查看solaris在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。 圖 4.5 solaris采集的信息2）網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告solaris支持故障信息的自動(dòng)告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，會(huì)通過trap的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。 圖4.6 solaris采集到的信息3） 設(shè)備面板管理 starview的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時(shí)可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息的察看。4）rgnos操作系統(tǒng)

40、的批量升級 校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大，需要使用大量的接入層交換機(jī)，如果需要對這些交換機(jī)進(jìn)行升級，一臺一臺的操作，會(huì)給管理員的工作帶來很大的壓力，starview提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機(jī)進(jìn)行升級，加大的較少了網(wǎng)絡(luò)管理員的工作量。4.5.2網(wǎng)絡(luò)故障管理隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運(yùn)營的開始，用戶網(wǎng)絡(luò)故障的排除會(huì)成為校園網(wǎng)管理工作的重點(diǎn)和難點(diǎn)，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個(gè)流程：圖 4.7 校園網(wǎng)故障處理流程圖4.6 流量管理系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的p2p軟件的使用，已經(jīng)對各種網(wǎng)絡(luò)業(yè)務(wù)的正常開展產(chǎn)生了

41、非常嚴(yán)重的影響，有的學(xué)校甚至因?yàn)閜2p軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。4.6.1 方案一：傳統(tǒng)的流量管理方案傳統(tǒng)的流量管理方案的做法很多就是簡單的封堵這些p2p軟件，從而達(dá)到控制流量的目的，這有三大弊端， 第一：這些軟件之所以有如此強(qiáng)大的生命力，是因?yàn)橛脩敉ㄟ^使用這些軟件的確能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會(huì)非常的大，同時(shí)，各種有用的資源我們很難獲取。 第二：各種新型的，對網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠(yuǎn)處于被動(dòng)的局面，顯然不能從根本上解決這個(gè)問題。 第三：我們無法獲取網(wǎng)絡(luò)中的流量信息，無法為校

42、園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。4.6.2方案二：銳捷的流量管理與控制方案銳捷網(wǎng)絡(luò)的流量管理主要通過rg-ntd+日志處理軟件+rg-sam系統(tǒng)來實(shí)現(xiàn)。ntd是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計(jì)費(fèi)，銳捷的流量管理方案有三大功能： 第一：為sam系統(tǒng)對用戶進(jìn)行流量計(jì)費(fèi)提供原始數(shù)據(jù)，這是我們已經(jīng)實(shí)現(xiàn)了的功能。該功能能滿足不同消費(fèi)層次的用戶對帶寬的需求，經(jīng)濟(jì)條件好一點(diǎn)，可以多用點(diǎn)流量，提高了用戶的滿意度。而且，對于以后新出現(xiàn)的功能更加強(qiáng)大的下載軟件，都不必?fù)?dān)心用戶任意使用造成帶寬擁塞。 第二：提供日志審計(jì)和帶寬管理功

43、能，通過ntd、sam、日志系統(tǒng)的結(jié)合，能夠做到基于用戶身份對用戶進(jìn)行管理，做到將用戶名、源ip、目的ip直接關(guān)聯(lián)，通過目的ip，可以直接定位到用戶名，安全事件處理起來非常的方便，同時(shí)還能提供p2p的限速，帶寬管理等功能，這一部分的功能我們會(huì)在明年4月份提供。 第三：能夠?qū)W(wǎng)絡(luò)中的各種流量了如指掌，可以對用戶經(jīng)常訪問的資源進(jìn)行分析對比，為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級改造提供數(shù)據(jù)支持；能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進(jìn)行有效的防范，結(jié)合認(rèn)證計(jì)費(fèi)系統(tǒng)sam，能夠捕捉到事件源頭，并于做出處理。總體來說，流量控制和管理和日志系統(tǒng)的整體解決方案對于校園網(wǎng)的長期健康可持續(xù)發(fā)展是很有幫助的。連接南

44、區(qū)hw8512 system:bq_8512 in beijing chinamaintainer:huawei technologies co。， ltd。description:gigabitethernet2/1/1 iftype:gigabit ethernet (117)ifname:gigabitethernet2/1/1max speed:10。0 gbits/s最后統(tǒng)計(jì)更新時(shí)間： 2010 年 六 月 6 日 ，星期天 ， 0:35，bq_8512 已運(yùn)行了： 53 days， 16:16:20. 每日 圖表 (5 分鐘 平均)最大 流入：8000.3 gb/秒 (80003.

45、2%) 平均 流入：117.6 gb/秒 (1175.9%) 當(dāng)前 流入：540.5 mb/秒 (5.4%) 最大 流出：11891.2 gb/秒 (118911.9%) 平均 流出：147.9 gb/秒 (1478.7%) 當(dāng)前 流出：1048.0 mb/秒 (10.5%) 每周 圖表 (30 分鐘 平均)最大 流入：2708.4 gb/秒 (27084.0%) 平均 流入：35.0 gb/秒 (349.6%) 當(dāng)前 流入：675.3 mb/秒 (6.8%) 最大 font color=#0000f圖4.8 北區(qū)華為8512 mrtg數(shù)據(jù)流量監(jiān)控4.7 劃分安全子網(wǎng) vlan如果同一局域網(wǎng)內(nèi)

46、有不同等級的安全域，可以通過劃分子網(wǎng)及vlan的方法加以訪問控制。如在教學(xué)局域網(wǎng)機(jī)房和行政樓機(jī)房之間可以通過劃分子網(wǎng)來控制，不允許教學(xué)局域網(wǎng)機(jī)器中的機(jī)器訪問行政樓機(jī)房的服務(wù)器。應(yīng)用vlan技術(shù)可以獲得的益處是巨大的，主要有以下幾個(gè)方面：4.7.1 提高網(wǎng)絡(luò)性能應(yīng)用vlan技術(shù)可以提高網(wǎng)絡(luò)性能：其一，vlan技術(shù)允許網(wǎng)絡(luò)管理者將交換機(jī)上的端口作邏輯分組，使得從某個(gè)vlan中產(chǎn)生的字節(jié)流只能在從屬于該vlan的交換機(jī)端口之間流動(dòng)。在一個(gè)有大量廣播和多播報(bào)文的網(wǎng)絡(luò)中，應(yīng)用vlan技術(shù)可以把這些報(bào)文限制在各個(gè)vlan里，從而可以大大減少整個(gè)網(wǎng)絡(luò)中不必要的信息流量，提高網(wǎng)絡(luò)性能。其二，相比較網(wǎng)橋和交換機(jī)

47、而言，路由器在處理接收到的數(shù)據(jù)時(shí)要慢一些。使用了vlan技術(shù)后，人們可以用交換機(jī)來代替路由器隔離廣播域。由于減少了路由器的使用量，網(wǎng)絡(luò)性能也相應(yīng)地得到了提高。4.7.2 組建虛擬組織如前所述，vlan技術(shù)是隨著人們生產(chǎn)活動(dòng)中越來越多的跨部門跨職能開發(fā)團(tuán)隊(duì)的出現(xiàn)而提出的。組建虛擬組織、特別是虛擬工作組，是提出vlan技術(shù)的初衷和目標(biāo)之一。在實(shí)際應(yīng)用時(shí)，對于同一個(gè)工作組內(nèi)的成員，在該工作組存在的短時(shí)期內(nèi)，可以把他們的計(jì)算機(jī)工作站劃分在一個(gè)vlan里以便于其進(jìn)行通信。這樣，每個(gè)組內(nèi)成員的計(jì)算機(jī)工作站既無需搬移到一起、也無需改變各自的設(shè)置，只需在網(wǎng)絡(luò)管理者那里作一些改變就可以了。4.7.3 簡化網(wǎng)絡(luò)管

48、理根據(jù)david j。 buerger的分析計(jì)算，傳統(tǒng)的lan中約有70%的網(wǎng)絡(luò)花銷是因?yàn)樘砑?、刪除、移動(dòng)、更改網(wǎng)絡(luò)用戶而導(dǎo)致的。每當(dāng)有一個(gè)用戶加入局域網(wǎng)，就會(huì)引發(fā)一系列的端口分配、地址分配、網(wǎng)絡(luò)設(shè)備重新配置等網(wǎng)絡(luò)管理任務(wù)。在使用vlan技術(shù)后，這些任務(wù)都可得以簡化。舉例來說，當(dāng)某臺計(jì)算機(jī)工作站從一個(gè)空間位置移動(dòng)到另一個(gè)空間位置時(shí)，不需要為其重新手工配置網(wǎng)絡(luò)屬性，網(wǎng)絡(luò)自身就能夠動(dòng)態(tài)地完成這項(xiàng)任務(wù)。這種動(dòng)態(tài)管理網(wǎng)絡(luò)的方式給網(wǎng)絡(luò)管理者和使用者都帶來了極大的便利。4.7.4 提高網(wǎng)絡(luò)安全在傳統(tǒng)的局域網(wǎng)中，不時(shí)的會(huì)有些敏感數(shù)據(jù)被有意或無意地廣播到網(wǎng)絡(luò)上，從而有可能造成信息泄密。在這種情況下，確定誰可以

49、訪問到這些數(shù)據(jù)就顯得很重要。使用vlan技術(shù)可以將敏感數(shù)據(jù)的傳播限制在安全范圍內(nèi)，只允許已定義的vlan成員訪問相關(guān)數(shù)據(jù)。vlan還可被用來設(shè)立防火墻、限制數(shù)據(jù)訪問以及將網(wǎng)絡(luò)入侵事件通知給網(wǎng)絡(luò)管理者等，這些都可以提高網(wǎng)絡(luò)的安全系數(shù)。4.7.5 減少設(shè)備投資vlan技術(shù)可被用來創(chuàng)建邏輯的廣播域，因而可以減少用于購買昂貴的路由器等廣播域隔離設(shè)備的投資。4.7.6 vlan 的劃分方式1、基于端口劃分的vlan2、基于mac地址劃分vlan3、基于網(wǎng)絡(luò)層協(xié)議類型劃分vlan4、基于網(wǎng)絡(luò)層子網(wǎng)地址劃分vlan5、基于網(wǎng)絡(luò)層組播地址劃分vlan6、基于網(wǎng)絡(luò)層以上協(xié)議乃至應(yīng)用程序的類型劃分vlan4.8

50、vlan 的劃分及ip分配實(shí)例目前學(xué)校擁有教育網(wǎng)的48個(gè)c類地址，分別是202.196.32.0 255.255.240，222.22.80.0 255.255.240.0，125.219.176.0 255.255.240.016個(gè)劃分后的b類地址183.170.128.0 255.255.240.0學(xué)校內(nèi)部規(guī)劃使用的私有地址有10.0.0.0 255.0.0.0，172.16.0.0 255.240.0.0，192.168.0.0（實(shí)驗(yàn)機(jī)房等校內(nèi)局部局域網(wǎng)） 255.255.0.0，目前192段的地址沒有在校內(nèi)局域網(wǎng)主干網(wǎng)絡(luò)中使用。下面是具體的vlan以及ip地址分配情況：vlan 號vl

51、an 名地址段/掩碼長度建筑描述221nqby_ss1#183.170.128.0/23183.170.142.0/25172.25.0.0/23南區(qū)北苑宿舍1號222nqby_ss2#183.170.130.0/23183.170.142.128/25172.25.2.0/23南區(qū)北苑宿舍2號223nqby_ss3#183.170.132.0/23183.170.143.0/25172.25.4.0/23南區(qū)北苑宿舍3號224nqby_ss4#183.170.134.0/23183.170.134.0/23172.25.6.0/23南區(qū)北苑宿舍4號225nqby_ss5#183.170.14

52、3.128/25172.25.8.0/23南區(qū)北苑宿舍5號226nqby_ss6#125.219.181.0/24172.25.10.0/23南區(qū)北苑宿舍6號227nqby_ss7#125.219.182.0/24222.22.87.0/24172.25.12.0/23南區(qū)北苑宿舍7號231nqny_ss1#125.219.184.0/24172.26.0.0/23南區(qū)南苑宿舍1號232nqny_ss2#125.219.185.0/24125.219.188.0/25172.26.2.0/23南區(qū)南苑宿舍2號233nqny_ss3#125.219.186.0/24172.26.4.0/23南區(qū)

53、南苑宿舍3號234nqny_ss4#125.219.187.0/24172.26.6.0/23南區(qū)南苑宿舍4號235nqny_ss5#125.219.188.128/25172.26.8.0/23南區(qū)南苑宿舍5號236nqny_ss6#125.219.189.0/24222.22.80.0/24172.26.10.0/23南區(qū)南苑宿舍6號237nqny_ss7#125.219.190.0/24222.22.88.0/24172.26.12.0/23南區(qū)南苑宿舍7號238nqny_ss8#125.219.191.0/24202.196.40.0/24172.26.14.0/23南區(qū)南苑宿舍8號32xxzx202.196.32.0/24信息中心2-8202.196.33.0/27路由器互聯(lián)24bq_820202.196.33.32/27北區(qū)招生機(jī)房82025bq_wlzx_nw202.196.33.64/26北區(qū)內(nèi)網(wǎng)服務(wù)器vpntopsec-vpn202.196.33.128/2827nq_server_math202.196.33.152/29南區(qū)2號樓數(shù)理系服務(wù)器26nq_server_jx202.196.33.176/28南區(qū)d區(qū)機(jī)械系服務(wù)器29bq_server202.196.33.192/26北區(qū)服務(wù)器區(qū)34z