校(xiào)園網絡解決方案

校(xiào)園網絡設計(jì)

1.絡拓撲設計(jì)

局域網采用星型網絡拓樸結構，星型拓樸結構為(wèi)現在較為(wèi)流行(xíng)的一種網絡結構，它是以一台中心處理(lǐ)機（通(tōng)信設備）為(wèi)主而構成的網絡，其它入網機器(qì)僅與該中心處理(lǐ)機之間(jiān)有(yǒu)直接的物理(lǐ)鏈路，中心處理(lǐ)機采用分時(shí)或輪詢的方法為(wèi)入網機器(qì)服務，所有(yǒu)的數(shù)據必須經過中心處理(lǐ)機。由于所有(yǒu)節點的往外傳輸都必須經過中央節點來(lái)處理(lǐ)，因此，對中央節點的要求比較高(gāo)。

優點是網絡結構簡單，易于維護，便于管理(lǐ)（集中式）；每台入網機均需物理(lǐ)線路與處理(lǐ)機互連，線路利用率低(dī)；處理(lǐ)機負載重（需處理(lǐ)所有(yǒu)的服務），因為(wèi)任何兩台入網機之間(jiān)交換信息，都必須通(tōng)過中心處理(lǐ)機；入網主機故障不影(yǐng)響整個(gè)網絡的正常工作(zuò)。對該網絡支持的設備生(shēng)産廠商有(yǒu)較好的技(jì)術(shù)支持。

局域網內(nèi)的所有(yǒu)工作(zuò)節點通(tōng)過雙絞線與交換機相連形成一個(gè)星型網絡。辦公電(diàn)腦(nǎo)建議采用品牌的商用機，商用機運行(xíng)比較穩定，而且比較耐用，運算(suàn)速度較快，較适于開(kāi)發使用。

根據我們的設計(jì)，大(dà)學網絡拓撲結構圖如圖1所示。

圖1 大(dà)學網絡拓撲結構圖

2.網絡層次設計(jì)

從邏輯上(shàng)，大(dà)型網絡可(kě)分為(wèi)核心層、分布層和(hé)接入層，每層都有(yǒu)其特點。網絡層次如圖2所示

圖2 網絡層次圖

層次化設計(jì)的優點可(kě)以總結為(wèi)如下幾點：

1）可(kě)擴展性：因為(wèi)網絡可(kě)模塊化增長而不會(huì)遇到問題；

2）簡單性：通(tōng)過将網絡分成許多(duō)小(xiǎo)單元，降低(dī)了網絡的整體(tǐ)複雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環等潛在的問題；

3）設計(jì)的靈活性：使網絡容易升級到最新的技(jì)術(shù)，升級任意層次的網絡不會(huì)對其他層次造成影(yǐng)響，無需改變整個(gè)環境；

4）可(kě)管理(lǐ)性：層次結構使單個(gè)設備的配置的複雜性大(dà)大(dà)降低(dī)，更易管理(lǐ)。

3.萬兆核心解決方案

網絡中心節點及其它核心節點作(zuò)為(wèi)校(xiào)園網絡系統的心髒，必須提供全線速的數(shù)據交換，當網絡流量較大(dà)時(shí)，對關鍵業務的服務質量提供保障。另外作(zuò)為(wèi)整個(gè)網絡的交換中心，在保證高(gāo)性能、無阻塞交換的同時(shí)，還(hái)必須保證穩定可(kě)靠的運行(xíng)。

因此在網絡中心的設備選型和(hé)結構設計(jì)上(shàng)必須考慮整體(tǐ)網絡的高(gāo)性能和(hé)高(gāo)可(kě)靠性。具體(tǐ)來(lái)說核心節點的交換機有(yǒu)兩個(gè)基本要求：

1）高(gāo)密度端口情況下，還(hái)能保持各端口的線速轉發；

2）關鍵模塊必須冗餘，如管理(lǐ)引擎、電(diàn)源、風扇。

由于校(xiào)園網建設最終必将采用萬兆技(jì)術(shù)，因此需要考慮到核心設備對萬兆的支持能力。

綜上(shàng)所述，主幹核心交換機屬于高(gāo)端系列的産品，所以在本方案中，核心交換機建議采用多(duō)業務萬兆核心路由交換機。可(kě)以根據用戶的需求靈活配置，靈活構建彈性可(kě)擴展的網絡。多(duō)業務萬兆核心路由交換機高(gāo)背闆帶寬和(hé)二/三層包轉發速率可(kě)為(wèi)用戶提供高(gāo)速無阻塞的交換，強大(dà)的交換路由功能、安全智能技(jì)術(shù)可(kě)為(wèi)用戶提供完整的端到端解決方案，是大(dà)型網絡核心骨幹交換機的理(lǐ)想選擇。因此網絡主幹全部采用萬兆，末端用戶樓棟全部采用千兆接入萬兆校(xiào)園網，采用3台萬兆核心交換機RG-S6810E組成萬兆核心環網。實現網絡7X24小(xiǎo)時(shí)的不間(jiān)斷運行(xíng)，核心骨幹網形成的萬兆核心環網，使得(de)整個(gè)核心層網絡即使在任意一台核心交換機故障、或任意一條鏈路斷掉的情況下依然可(kě)以保障網絡的正常運行(xíng)。

RG-S6810E是銳捷網絡推出的基于NP+ASIC構架的新一代多(duō)業務萬兆核心路由交換機，RG-S6800E在保障高(gāo)性能大(dà)容量的基礎上(shàng)提供強大(dà)的安全防護能力，并且擁有(yǒu)業務按需疊加擴展能力，達到業務和(hé)性能并重的設計(jì)需求。目前提供10豎插槽設計(jì)和(hé)6橫插槽設計(jì)兩種主機：RG-S6810E和(hé)RG-S6806E。

RG-S6800E系列多(duō)業務萬兆核心路由交換機提供2.4T/1.2T背闆帶寬，并支持将來(lái)擴展到4.8T/2.4T的能力，高(gāo)達857Mpps/428Mpps的二/三層包轉發速率可(kě)為(wèi)用戶提供高(gāo)速無阻塞的數(shù)據交換，強大(dà)的交換路由功能、安全智能技(jì)術(shù)可(kě)同銳捷各系列交換機配合，為(wèi)用戶提供完整的端到端解決方案，是大(dà)型網絡核心骨幹和(hé)大(dà)流量節點交換機的理(lǐ)想選擇。

RG-S6810E交換機通(tōng)過先進的第三代高(gāo)性能引擎可(kě)硬件支持策略路由、IPV6等協議，并可(kě)擴展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等豐富的業務功能，滿足客戶環境靈活而複雜的不同應用需求。

在此方案中，校(xiào)區(qū)網絡中心采用RG-S6810E多(duō)業務萬兆核心路由交換機作(zuò)為(wèi)核心交換機。核心層交換機跟彙聚接入層交換機之間(jiān)的千兆鏈路可(kě)以捆綁，從而實現帶寬的靈活擴展。

4.萬兆骨幹網解決方案

彙聚層提供基于統一策略的互連性。它是核心層和(hé)接入層的分界點，定義了網絡的邊界，對數(shù)據包進行(xíng)複雜的運算(suàn)。在大(dà)中型園區(qū)網絡環境中，彙聚層主要考慮的是如何保證提供浪量控制(zhì)及安全控制(zhì)的策略。通(tōng)常需要考慮的主要因素有(yǒu)QoS、靜态或者動态路由的選擇、地址過濾等。

而在設備選型方面，彙聚層的設備對網絡下層VLAN信息和(hé)生(shēng)成樹(shù)協議具有(yǒu)收斂功能，能實現簡單的用戶管理(lǐ)和(hé)控制(zhì)功能，如用戶的安全接入、下層網絡不同層次的屏蔽和(hé)接入工作(zuò)，對不同物理(lǐ)鏈路、不同特性的網絡設備進行(xíng)統一管理(lǐ)。因此彙聚層網絡設備要求具備多(duō)物理(lǐ)接口來(lái)完成衆多(duō)設備的接入工作(zuò)。

綜上(shàng)所述，彙聚層采用七台萬兆核心交換機RG-S6506E擔當圖書(shū)館、綜合教學樓、院系實驗樓、行(xíng)政辦公樓、外事活動中心、科技(jì)中心、學生(shēng)宿舍公寓以及區(qū)運動區(qū)域彙聚；通(tōng)過6條萬兆鏈路連接至圖書(shū)館、綜合教學樓、院系實驗樓、行(xíng)政辦公樓、科技(jì)中心、學生(shēng)宿舍公寓以及區(qū)運動區(qū)的6台彙聚交換機RG-S6506E上(shàng)是因為(wèi)這幾條鏈路上(shàng)數(shù)據信息點比較多(duō),傳輸數(shù)據量也比較大(dà)，。使用2條千兆鏈路連接到外事活動中心彙聚交換機RG-S6506上(shàng)。

RG-S6506是銳捷網絡推出的萬兆骨幹路由交換機，擁有(yǒu)6個(gè)模塊擴展槽，提供管理(lǐ)模塊冗餘，支持萬兆、千兆和(hé)百兆模塊線速轉發，可(kě)以根據用戶的需求靈活配置，構建彈性可(kě)擴展的現代IP網絡。”

RG-S6506交換機高(gāo)達768G的背闆帶寬和(hé)286Mpps的二/三層包轉發速率可(kě)為(wèi)用戶提供高(gāo)速無阻塞的線速交換，強大(dà)的交換路由功能、安全智能技(jì)術(shù)可(kě)同銳捷各系列交換機配合，為(wèi)用戶提供完整的端到端解決方案，是小(xiǎo)型網絡核心和(hé)大(dà)型網絡骨幹交換機的理(lǐ)想選擇。

5.千兆接入解決方案

接入層的主要功能是為(wèi)最終用戶提供對園區(qū)網絡訪問的途徑。本層也可(kě)以提供進一步的調整，如Access-list Filtering等。在園區(qū)網絡環境中，接入層主要提供如下功能：帶寬共享、交換帶寬、MAC層過濾、微分網段等。

在廣域網環境中，接入層主要提供通(tōng)過Frame Relay、ISDN、Leased Line連入遠程節點。

接入層網絡由樓棟交換節點和(hé)樓層交換節點組成，接入層網絡應該可(kě)以滿足各種客戶的接入需要，而且能夠實現客戶化的接入策略，業務QOS保證，用戶接入訪問控制(zhì)等等。

接入層交換機亦稱外圍交換機或邊緣交換機，一般都屬于可(kě)堆疊/可(kě)擴充式固定端口交換機，應具備下列要求：

1）端口選擇：對端口的選擇包括兩個(gè)方面，一個(gè)是端口數(shù)量，一個(gè)是端口類型。而且可(kě)以堆疊、易擴展，以便由于信息點的增加而從容地進行(xíng)擴容。

2）高(gāo)性能。作(zuò)為(wèi)大(dà)型網絡的二級交換設備，應支持千兆/百兆高(gāo)速上(shàng)連以及同級設備堆疊，當然還(hái)要注意與核心交換機品牌的一緻性；如果用作(zuò)小(xiǎo)型網絡的中央交換機，要求具有(yǒu)較高(gāo)的背闆帶寬和(hé)三層交換能力。

3）性價比高(gāo)。在滿足網絡性能要求的同時(shí)，達到最高(gāo)的性價比，使用方便簡單。

4）支持多(duō)級别網絡管理(lǐ)。

樓層交換節點采用千兆智能堆疊交換機，提供智能的流分類和(hé)完善的QoS特征。為(wèi)各類型網絡提供完善的端到端的服務質量、豐富的安全設置和(hé)基于策略的網管，最大(dà)化滿足高(gāo)速、融合、安全的園區(qū)網新需求；本方案中各接入層交換機通(tōng)過千兆鏈路上(shàng)聯到各彙聚層設備，對下聯的桌面設備提供全雙工的百兆連接，為(wèi)各類用戶提供無阻塞的交換性能。因此采用數(shù)十台RG-S2424G系列安全智能交換機擔當網絡接入。

RG-S2424G是銳捷網絡推出的全千兆安全智能接入交換機，在提供高(gāo)性能、高(gāo)帶寬的同時(shí)，提供智能的流分類、完善的服務質量（QoS）和(hé)組播應用管理(lǐ)特性，并可(kě)以根據網絡的實際使用環境，實施靈活多(duō)樣的安全控制(zhì)策略，有(yǒu)效防止和(hé)控制(zhì)病毒傳播和(hé)網絡攻擊，控制(zhì)非法用戶接入和(hé)使用網絡，保證合法用戶合理(lǐ)化使用網絡資源，充分保障了網絡高(gāo)效安全、網絡合理(lǐ)化使用和(hé)運營。

RG-S2424G特有(yǒu)的CPU保護控制(zhì)機制(zhì)，對發送到CPU的數(shù)據進行(xíng)帶寬控制(zhì)，以避免非法者對CPU的惡意攻擊，充分保障了交換機的安全。

RG-S2424G為(wèi)方便不同管理(lǐ)員的使用習慣，提供了多(duō)種形式的管理(lǐ)工具，如SNMP、Telnet、Web和(hé)Console口等。

RG-S2424G以極高(gāo)的性價比為(wèi)各類型網絡提供完善的端到端的QoS服務質量、靈活豐富的安全策略管理(lǐ)和(hé)基于策略的網管，最大(dà)化滿足高(gāo)速、高(gāo)效、安全、智能的企業網新需求。

支持生(shēng)成樹(shù)協議802.1D、802.1w、802.1s，完全保證快速收斂，提高(gāo)容錯能力，保證網絡的穩定運行(xíng)和(hé)鏈路的負載均衡，合理(lǐ)使用網絡通(tōng)道(dào)，提供冗餘鏈路利用率。

6. 網絡出口設計(jì)

校(xiào)園網出口，作(zuò)為(wèi)唯一連接外界網絡的平台，是校(xiào)園網與外界溝通(tōng)交流的窗口，承載了各類與教學、科研、辦公、生(shēng)活息息相關的應用；出口平台對各應用的承載能力，将對高(gāo)校(xiào)的教學、科研、辦公、生(shēng)活産生(shēng)直接和(hé)間(jiān)接的影(yǐng)響。

銳捷網絡高(gāo)校(xiào)校(xiào)園網出口解決方案，充分考慮網絡出口承載的多(duō)種業務系統對網絡的要求，形成了包含外網連接層、安全防護層、應用控制(zhì)層、VPN接入層、日志(zhì)管理(lǐ)層在內(nèi)的針對性出口網絡解決方案。

XX大(dà)學應用銳捷網絡高(gāo)校(xiào)校(xiào)園網出口解決方案，在安全防護層部署1台RG-WALL1000、應用控制(zhì)層部署1台RG-ACE 3000完成出口網絡的應用流量控制(zhì)，而RSR-08承擔多(duō)出口負載均衡。這樣的出口設計(jì)将實現了多(duō)出口的合理(lǐ)使用，有(yǒu)效抵禦DDoS攻擊，實現病毒、木馬以及異常流量的阻斷。

為(wèi)了以後擴展的需要，所以采用了RG-WALL1000。RG-WALL1000采用銳捷網絡獨創的分類算(suàn)法（Classification Algorithm）設計(jì)的新一代安全産品——第三類防火(huǒ)牆，支持擴展的狀态檢測（Stateful Inspection）技(jì)術(shù)，具備高(gāo)性能的網絡傳輸功能；同時(shí)在啓用動态端口應用程序(如VoIP, H323等)時(shí)，可(kě)提供強有(yǒu)力的安全信道(dào)。

采用銳捷獨創的分類算(suàn)法使得(de)RG-WALL産品的高(gāo)速性能不受策略數(shù)和(hé)會(huì)話(huà)數(shù)多(duō)少(shǎo)的影(yǐng)響，産品安裝前後絲毫不會(huì)影(yǐng)響網絡速度；同時(shí)，RG-WALL在內(nèi)核層處理(lǐ)所有(yǒu)數(shù)據包的接收、分類、轉發工作(zuò)，因此不會(huì)成為(wèi)網絡流量的瓶頸。另外，RG-WALL具有(yǒu)入侵監測功能，可(kě)判斷攻擊并且提供解決措施，且入侵監測功能不會(huì)影(yǐng)響防火(huǒ)牆的性能。RG-WALL的主要功能包括：擴展的狀态檢測功能、防範入侵及其它（如URL過濾、HTTP透明(míng)代理(lǐ)、SMTP代理(lǐ)、分離DNS、NAT功能和(hé)審計(jì)/報告等）附加功能。

RG-ACE 3000可(kě)有(yǒu)效識别包括Web迅雷在的多(duō)種應用層協議，可(kě)實現基于用戶的應用帶寬限制(zhì)及數(shù)據統計(jì)，使得(de)各種關鍵應用的帶寬得(de)到充分的保障。

銳捷RSR-08路由器(qì)是高(gāo)性能、通(tōng)用的骨幹彙聚路由器(qì)，具有(yǒu)高(gāo)背闆帶寬、高(gāo)包轉發率、結構緊湊、端口密度高(gāo)等特點，并能提供全範圍的光纖和(hé)銅纜接口。RSR-08路由器(qì)具有(yǒu)強大(dà)的業務能力，可(kě)以滿足目前所有(yǒu)的城域彙聚和(hé)接入需求，提供多(duō)協議标準交換 (MPLS)第2或3層隧道(dào)技(jì)術(shù)、動态帶寬控制(zhì)和(hé)面向連接的數(shù)據收集體(tǐ)系。作(zuò)為(wèi)多(duō)協議标記（MPLS）PE路由器(qì)，他們使提供商的基于MPLS的業務具有(yǒu)高(gāo)度的可(kě)擴展性和(hé)可(kě)靠性。通(tōng)過使用VPLS，可(kě)以利用原有(yǒu)網絡和(hé)以太網基礎設施提供VOIP、互聯網接入、視(shì)頻以及多(duō)點虛拟專用網（VPN）等融合業務。

銳捷RSR-08路由器(qì)支持包括TDM、POS、ATM和(hé)千兆位以太網，速率高(gāo)達OC- 48。部署在各種應用中，RSR-08路由器(qì)可(kě)用于搭建骨幹彙聚路由器(qì)和(hé)核心層網絡，為(wèi)用戶提供綜合的、高(gāo)性能、功能強大(dà)的服務, 并提供高(gāo)可(kě)用性網絡所需的冗餘支持。

7.VLAN劃分

根據校(xiào)園網的實際需求，屬于同一部門(mén)的工作(zuò)人(rén)員可(kě)能在不同的建築物中，但(dàn)需要在一個(gè)邏輯子網內(nèi)。網絡站(zhàn)點的增減，人(rén)員的變動，無論從網絡管理(lǐ)，還(hái)是用戶的角度來(lái)講，都需要虛拟網技(jì)術(shù)的支持。因此在校(xiào)園網絡的整個(gè)網絡規劃當中，VLAN 的劃分是非常重要的部分，很(hěn)好的利用VLAN技(jì)術(shù)的功能，能起到事半功倍的效果，對整個(gè)網絡的性能也是事關重要的。主要突出為(wèi)以下幾點：

VLAN 劃分，可(kě)以避免廣播風暴，在骨幹網絡中尤為(wèi)突出，在多(duō)媒體(tǐ)、視(shì)頻點播等很(hěn)容易引起廣播信息；劃分之後，VLAN 是廣播隻在子網中進行(xíng)，不會(huì)做(zuò)無意義的廣播，消除了廣播風暴産生(shēng)的條件。

VLAN 劃分，可(kě)以增加網絡的安全性，在不同的VLAN之間(jiān)不能随意通(tōng)訊，隻限與本子網間(jiān)通(tōng)訊，不會(huì)對其他的子網産生(shēng)幹擾。要進行(xíng)訪問，需要通(tōng)過三層交換，這樣信息流就得(de)到相當好的控制(zhì)。

網絡管理(lǐ)系統采用完全獨立的IP子網和(hé)VLAN，實現更加安全的對所有(yǒu)網絡設備進行(xíng)管理(lǐ)。建立VLAN 和(hé)IP 子網的對應關系。

提高(gāo)管理(lǐ)效率，實現虛拟的工作(zuò)組，減少(shǎo)站(zhàn)點的移動和(hé)改變的開(kāi)銷。

VLAN 間(jiān)的子網訪問，可(kě)以在三層交換機上(shàng)實現，子網間(jiān)的通(tōng)訊也可(kě)以在彙聚設備上(shàng)實行(xíng)，分流核心交換機的三層交換，優化了組網。

根據以往網絡管理(lǐ)經驗和(hé)骨幹網絡網絡建設的實際情況，方案建議在骨幹網絡VLAN劃分規劃以“靈活劃分、方便管理(lǐ)”為(wèi)基本原則，以不同的使用群體(tǐ)為(wèi)VLAN範圍劃分。這樣劃分VLAN的好處有(yǒu)：

1）方便管理(lǐ)。為(wèi)了更好的進行(xíng)VLAN規劃的實施，因此在網絡實施前期，要對網絡中不同區(qū)域的VLAN設置進行(xíng)詳細的規劃，細化到接入層網絡，這樣在骨幹網絡這樣大(dà)型的校(xiào)園網絡中如果以用戶群體(tǐ)來(lái)劃分VLAN的話(huà)，避免由于前期配置設備時(shí)複雜煩瑣，而且由于相同的用戶群體(tǐ)可(kě)能在不同的物理(lǐ)位置，導緻造成整個(gè)校(xiào)園網絡中VLAN劃分複雜，減輕管理(lǐ)和(hé)後期維護。所以方案建議骨幹網絡劃分VLAN方式前進行(xíng)詳盡規劃，這樣既可(kě)以減少(shǎo)廣播域，又達到劃分VLAN，方便管理(lǐ)的效果，對于後期網絡維護和(hé)升級具有(yǒu)十分現實的意義。

2） 易于實施。按群體(tǐ)劃分VLAN在工程實施中就十分的方便，不會(huì)造成VLAN劃分複雜失誤而使得(de)網絡出現不通(tōng)的現象，便于工程快速實施和(hé)網絡中心整體(tǐ)規劃。

3）VLAN間(jiān)路由采用三層交換設備進行(xíng)VLAN路由。以便不同VLAN間(jiān)進行(xíng)訪問，對于學校(xiào)重要網絡資源，需要進行(xíng)權限訪問的時(shí)候，建議采用專家(jiā)級ACL（可(kě)同時(shí)基于VLAN号、以太網類型、MAC地址、IP地址、TCP/UDP端口号、時(shí)間(jiān)靈活組合限定的硬件ACL）來(lái)進行(xíng)訪問權限設定，保障重要資料不被非法訪問。

8.IP地址劃分

IP地址的統一、合理(lǐ)規劃以及整個(gè)網絡向IPv6的演進是關系到整體(tǐ)分層網絡穩定、快速收斂的關鍵，也是某職業技(jì)術(shù)學院校(xiào)園網網絡設計(jì)中的重要一環。IP地址規劃的好壞，不僅影(yǐng)響到網絡路由協議算(suàn)法的效率，更影(yǐng)響到網絡的性能和(hé)穩定以及網絡的擴展和(hé)管理(lǐ)，也必将直接影(yǐng)響到相關新業務的開(kāi)拓和(hé)網絡應用的進一步可(kě)持續性發展。

劃分時(shí)注意使用VLAN，充分節約IP地址，使路由交換機上(shàng)能夠采用聚合進行(xíng)路由的合并，減少(shǎo)路由表的大(dà)小(xiǎo)。出口到互聯網可(kě)以采用NAT防火(huǒ)牆上(shàng)做(zuò)地址轉換實現。校(xiào)區(qū)內(nèi)接入到同一彙聚層交換機的區(qū)域建議采用連續IP地址段，以便做(zuò)路由彙聚。