1、 TOC o 1-5 h z 前言1第一章校園網絡的需求分析2 HYPERLINK l bookmark5 o Current Document 1.1校園背景2 HYPERLINK l bookmark8 o Current Document 1.2網絡設計要求2 HYPERLINK l bookmark17 o Current Document 1.3需求分析2第二章網絡拓撲結構設計5 HYPERLINK l bookmark27 o Current Document 2.1建筑分布5 HYPERLINK l bookmark33 o Current Document 2.2信息點分布5

2、HYPERLINK l bookmark38 o Current Document 2.3校園網絡擴撲圖7 HYPERLINK l bookmark41 o Current Document 2.4網段及VLAN的劃分7第三章硬件設備及線纜的選擇9 HYPERLINK l bookmark44 o Current Document 3.1各設備參數如下9 HYPERLINK l bookmark95 o Current Document 3.2各設備數量17 HYPERLINK l bookmark98 o Current Document 3.3 校園網與 Internet的互連18 HYP

3、ERLINK l bookmark103 o Current Document 3.4遠程訪問服務18 HYPERLINK l bookmark106 o Current Document 3.5各個子網的設計19第四章校園網絡的邏輯結構設計214.1主十網21 HYPERLINK l bookmark116 o Current Document 4.2中心服務器22 HYPERLINK l bookmark119 o Current Document 4.3網絡技術選型23 HYPERLINK l bookmark134 o Current Document 4.4內部路由協議比較27第五章

4、 服務器平臺的設計30 HYPERLINK l bookmark146 o Current Document DNS域名系統30 HYPERLINK l bookmark154 o Current Document DHCP 服務器31 HYPERLINK l bookmark163 o Current Document WWW和FTP服務器介紹32 HYPERLINK l bookmark172 o Current Document E-mail 服務器33第六章心得體會34第一章校園網絡的需求分析1.1校園背景江西理工大學是一所以理工為主，工學、理學、經濟學、管理學、法學、 文學、教育學、

5、藝術學等八大學科協調發展，研究生教育與本科教育并舉，面向 全國招生和就業并有權接收華僑及港澳臺學生的教學研究型大學；現有14個學 院，18個科研院所，各類在校生4萬余人，其中全日制在校生3萬余人。在贛 州有三個校區，校園網的中心機房設在校本部教學主樓的九樓，面積約150平方， 在黃金校區正在建設一個災備機房。三個校區的學生人數分別為：校本部14000人，黃金校區13000人，西校區 4000人。黃金校區還要建設教職工的周轉房（1900套），各棟樓內的布線系統暫 不考慮，校園網的出口有四個：中國電信500M，中國移動100M，中國聯通100M， 教育科研網500M，1.2網絡設計要求所有信息點都

6、有交換能力，萬兆骨干，千兆桌面。支持虛擬網劃分，部門之間訪問受控；網絡具備容錯能力，并能進行良好的網絡管理；易于擴充和升級。有線無線一體化方案設計。分層設計：核心層、匯聚層、接入層。學校僅有2個C類段地址，為55，教育科研 網的 IP 地址：15 個 C 類地址 55學校內部主機可采用內網私有地址：到551.3需求分析根據學校目前的校園規模和未來的發展趨勢，江西理工大學校園網的建設有 如下的需求：1.校園網需要連接校內的各個教學部門（教學樓、實驗室、圖書館）中的PC。2. 同時要求網絡線纜必須連通每棟學生宿舍樓，并在每個寢室內裝有一個寬帶接 口，以便為學生提供Internet的接入。提供豐富的

7、網絡服務，實現廣泛的軟件、硬件資源共享，包括：（1）提供基本的網絡服務功能：如文件傳輸服務（FTP）、動態主機配置服務 （DHCP）、電子郵件、遠程登錄、域名服務等。（2）實現校內各個管理機構的辦公自動化：提供學生信息的查詢，提供教務數 據的查詢，提供各學科專業資料數據庫服務。提供學校自己的管理信息系統（MIS）。（3）提供網上圖書館功，圖書查詢功能等，使校圖書館成為信息化和數字化的 圖書館。（4）全校共享軟硬件庫服務，避免重復投資，發揮最大效益。（5）經廣域網接口，與Internet的互連，為國際間的信息交流和科研合作為學 校快速獲得最新教學成果及技術合作等創造良好的信息通路。校園網對主機系

8、統的主要要求：主機系統應采用國際上較新的主流技術，并具 有良好的可擴展能力；主機系統應具有高的可靠性，能長時間連續工作，并有容 錯措施；支持通用大型數據庫，如SQL、Oracle等；具有廣泛的軟件支持，軟 件兼容性好，并支持多種傳輸協議；能與Internet互聯，可提供互聯網的應用， 如WWW瀏覽服務、FTP文件傳輸服務、E-mail電子郵件服務；支持SNMP網絡管 理協議，具有良好的可管理性和可維護性；校園網絡系統設計方案應滿足如下要求：網絡方案應采用成熟的技術，并盡 可能采用先進的技術；采用國際統一標準，以擁有廣泛的支持廠商，最大限度的 采用同一廠家的產品；方案應合理分配帶寬，使用戶不受網

9、上“塞車”的影響； 應充分考慮未來可能的應用，如桌面將承受大型應用軟件和多媒體傳輸需求的壓 力；該網絡方案要具有高擴展性。能為用戶未來數目的擴展具有調整、擴充的手 段和方法；該網絡應是面向連接的，能夠實現虛擬網（VLAN）連接；考慮對用戶 現有網絡的平滑過度，使學校現有陳舊設備盡量保持較好的利用價值；校園網對網絡設備的要求：高性能；所有網絡設備都應有足夠的吞吐量；高 可靠性和高可用性；應考慮多種容錯技術；可管理性；所有網絡設備均可用適當 的網管軟件進行監控、管理和設置；采用國際統一的標準；系統集成所共同遵循的設計原則：本著實用的原則，盡量使用成熟先進的平 臺軟件，以縮短教學課件的開發周期；采用

10、分布式的結構，以便于開發和維護； 采用集群解決方案，以保證連續工作；為保證網絡速度而采用高的帶寬；追求最 高的性能價格比。系統集成所共同追求的設計目標：建成一個具有高可靠性和 開放性的校園網絡，它應支持流行的SNMP等網絡管理協議；采用Internet上 的標準協-TCP/IP協議，提供校園內部及面向全球的WWW服務、FTP服務、DNS 服務、DHCP服務、NEWS服務、電子郵件服務，實現與國際互聯網的完全接軌； 同時它還應具有支持通用大型數據庫的功能，支持多種協議，具有良好的軟件支 持；采用模塊化結構設計，容易升級；最后，它還應針對學校的教學特點，具 有一些基本的教學功能，以完成學校的基本教

11、學任務。第二章網絡拓撲結構設計2.1建筑分布根據校園的實際布局情況，各棟建筑物距離教學主樓（教學主樓為信息交換 中心即網絡中心）的實際分別如下：1） 本部：（1）主教；（2）二教；（3）三教；（4）男生宿舍；（5） 女生宿舍；（6）薈莘園；（7）幸福餐廳；（8）圖書館；（9）辦公樓（10）實 驗室；（11）圖書館（12）書香閣。2）、黃金校區：（1）研究生大樓；（2）三本大樓；（3）稀土大樓；（4）男生 宿舍；（5）女生宿舍；（6）圖書館；（7）食堂。3）、西校區：（1）教學樓；（2）辦公樓；（3）食堂；（4）男生宿舍；（5）女 生宿舍。2.2信息點分布根據各棟建筑物對網絡的需求不同，現將各棟

12、建筑物的信息節點需求及分配 規劃如下：1）、校園網的信息交換中心（網絡管理中心）設在主樓。2）、圖書館，二棟教學樓，三棟教學樓，學生宿舍，教師宿舍，食堂以及體 育館等信息節點分布在信息交換中心的周圍。其中主樓是信息交換中心、網絡管理中心，是整個網絡的核心所在地，同時 也是廣域網以及Internet的接口。因此配線間也設置在主樓.下面給出各個建 筑物的信息節點：建筑物名稱信息節點個數主教樓200二教樓100三教樓100圖書館200食堂30各學生宿舍100X10體育館5各學院樓200X5行政樓100西校區400應科院1000信息點總數41352.3校園網絡擴撲圖國用:圖邛Ti皿 SM5.i?lT，

13、時仍F卻用.JOM火*2心will禊袖中國電國用:圖邛Ti皿 SM5.i?lT，時仍F卻用.JOM火*2心will禊袖中國電1J愴&和辦.5一0 虹|竟血4.苫等網%型!*幸相.斤&）也伽郵情枷弟為熾為對網枷 與如. Air 5WW-Vft 目丈主夙）It _*ilVft*iKlt 甦瘩四黃金校區江西理工大學網絡擴撲圖2.4網段及VLAN的劃分表是校園網網段及VLAN劃分表建筑物所屬VLANIP地址辦公樓VLAN101/24VLAN102/24學生宿舍VLAN201/24VLAN202/24VLAN203/24VLAN204/24實驗室VLAN205VLAN305/22/24王教VLAN206

14、VLAN306/24/24二教VLAN207/2455三教VLAN208/24圖書館VLAN209/24書香閣VLAN210/24薈莘園VLAN211/24幸福餐廳VLAN212/24西校區Vlan301/24/24應科院Vlan401/24/24食堂與一卡通中心Vlan501/24第三章硬件設備及線纜的選擇3.1、各設備參數如下：采用萬兆骨干網絡，千兆桌面的設計方案，核心層交換機選用H3C S9508E-V 路由交換機，此交換機采用模塊化設計，能夠方便的增加功能模塊來滿足功能需 要，便于將來的功能擴展，其主要參數如下：H3C S9508E-V詳細參數主要參數產品類型：路由交換機應用層級：三層

15、傳輸速率：10/100/1000/10000Mbps交換方式：存儲-轉發背板帶寬：4.8Tbps包轉發率：576Mpps/960Mpps端口參數端口結構：模塊化擴展模塊：2個主控板槽位數+8個業務板槽位數傳輸模式：全雙工/半雙工自適應功能特性網絡標準：IEEE 802.1Q，IEEE 802.1d，IEEE 802.1ad，IEEE 802.3x，IEEE 802.3ad，IEEE 802.3，IEEE 802.3z，IEEE 802.3ae，IEEE 802.3af， IEEE 802.17，IEEE 802.1PQOS :支持 Diff-Serv QoS支持SP/SDWRR等隊列調度機制支

16、持精細化的流量監管，粒度可達1Kbps支持流量整形支持擁塞避免支持優先級標記Mark/Remark支持802.1p、TOS、DSCP、EXP優先級映射支持VOQ組播管理：支持 PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP、Any-RP等路由協議支持 IGMP V1/V2/V3、IGMP V1/V2/V3 Snooping支持 PIM6-DM、PIM6-SM、PIM6-SSM支持 MLD V1/V2、MLD V1/V2 Snooping支持組播策略和組播QoS、支持組播ARP支持雙向PIM網絡管理：支持 Console/AUX Modem/Telnet/SSH2.命令行配置支持

17、FTP、TFTP、Xmodem、SFTP文件上下載管理支持 SNMP V1/V2c/V3支持RMON，支持1、2、3、9組支持NTP時鐘支持NQA支持故障后報警和自恢復支持系統工作日志安全管理：支持用戶分級管理和口令保護支持SSHv2,為用戶登錄提供安全加密通道支持可控IP地址的FTP登錄和口令機制支持標準和擴展ACL，可以對報文進行過濾，防止網絡攻擊支持防止ARP、未知組播報文、廣播報文、未知單播報文、本機網段路由掃描報文、TTL= 1報文、協議報文等攻擊功能支持MAC地址限制、IP+MAC綁定功能支持uRPF技術，防止基于源地址欺騙的網絡攻擊行為支持ND防攻擊支持Portal認證、支持Ra

18、dius支持VRRP、OSPF、RIPv2及BGP4報文的明文及MD5密文認證支持安全網管SNMPv3、SSHv2支持廣播報文抑制支持主備數據備份機制支持防火墻、IPS等安全插卡匯聚層交換機選用H3C S5500-28C-SI千兆交換機，能夠滿足千兆到桌面的要求，其主要參數如下：主要參數產品類型：千兆以太網交換機傳輸速率：10/100/1000Mbps交換方式：存儲-轉發背板帶寬：128Gbps包轉發率：96MppsMAC地址表：16K端口參數端口結構：非模塊化端口數量：28個端口描述：24個10/100/1000Base-T以太網端口，4個復用的1000Base-X 千兆 SFP 端口擴展模

19、塊：2個擴展插槽傳輸模式：支持全雙工功能特性堆疊功能：可堆疊VLAN :支持基于端口的VLAN（4K個）支持基于MAC的VLAN基于協議的VLAN支持QinQ，靈活QinQ支持 VLAN Mapping支持 Voice VLAN支持GVRPQOS :支持對端口接收報文的速率和發送報文的速率進行限制支持報文重定向支持 CAR (Committed Access Rate)功能每個端口支持8個輸出隊列支持端口隊列調度支持報文的802.1p和DSCP優先級重新標記組播管理：支持 IGMP Snooping/MLD Snooping支持組播VLAN支持未知組播丟棄網絡管理：支持XModem/FTP/T

20、FTP加載升級支持命令行接口(CLI)，Telnet，Console 口進行配置支持 SNMPv1/v2/v3，WEB 網管支持RMON(Remote Monitoring)告警、事件、歷史記錄支持iMC智能管理中心支持系統日志，分級告警，調試信息輸出支持HGMPv2支持NTP支持電源的告警功能，風扇、溫度告警支持 Ping、Tracert支持VCT(Virtual Cable Test)電纜檢測功能支持 DLDP (Device Link Detection Protocol)單向鏈路檢測協 議支持Loopback-detection端口環回檢測安全管理：支持用戶分級管理和口令保護支持802

21、.1X認證/集中式MAC地址認證支持 Guest VLAN支持RADIUS認證支持SSH 2.0支持端口隔離支持端口安全支持EAD接入層交換機選用H3C S3600V2-28TP-SI,可以提供千兆接入功能，其參數 如下：主要參數產品類型：快速以太網交換機應用層級：三層傳輸速率：10/100Mbps交換方式：存儲-轉發背板帶寬：64Gbps包轉發率：9.6Mpps端口參數端口結構：非模塊化端口數量：28個端口描述：24 個 100Mbps 端口，2 個 1000Mbps SFP Combo 端口，2 個 1000Mbps SFP 端口控制端口 ： 1個Console 口傳輸模式：全雙工VLAN

22、 :支持基于端口的VLAN (4K個)支持基于協議的VLAN支持基于MAC的VLAN支持 Voice VLAN功能特性支持 Super VLAN功能特性支持PVLAN支持GVRP支持 VLAN VPN (QinQ),靈活 QinQQOS :支持對端口接收報文的速率和發送報文的速率進行限制支持報文的802.1p和DSCP優先級重新標記支持報文重定向支持CAR功能支持8個端口輸出隊列支持靈活的隊列調度算法，可以同時基于端口和隊列進行設置，支持SP、WRR、SP+WRR等模式組播管理：支持 IGMP Snooping v1/v2/v3，MLD Snooping v1/v2支持組播VLAN網絡管理：用

23、戶分級管理和口令保護支持IEEE 802.1X認證/集中式MAC地址認證支持二層Portal認證/triple認證支持AAA&RADIUS認證支持MAC地址學習數目限制支持MAC地址與端口、IP的綁定支持SSH2.0支持防止DoS攻擊功能支持ARP入侵檢測功能支持端口隔離支持MAC地址黑洞安全管理：支持XModem/FTP/TFTP加載升級支持命令行接口（CLI）、Telnet、Console 口進行配置支持 SNMPV1/V2/V3、WEB 網管支持 RMON 1，2，3，9 組 MIB支持IMC智能管理中心支持HGMPv2集群管理支持系統日志、分級告警、調試信息輸出支持 PING、Trac

24、ert支持上電POST、風扇堵轉、PoE設備過熱等情況的檢測與告 警支持VCT（Virtual Cable Test）電纜檢測功能支持 DLDP （Device Link Detection Protocol，設備連接檢測協 議）支持端口環回檢測支持IPv6 host功能族，實現IPv6管理防火墻選用H3C SecPath U200-CS-AC,其參數如下:主要參數設備類型 企業級防火墻糾錯網絡端口 1個配置口 （CON）;5GE;1個mini插槽,可通過該插槽 擴展網絡接口;外置一個CF擴展槽（選配）控制端口 consoleVPN支持支持入侵檢測Dos,DDoS管理 支持標準網管SNMPv3

25、，并且兼容SNMP v2c、SNMP v1, 支持NTP時間同步,支持Web方式進行遠程配置管理，支持SNMP/TR-069網管協議，支持H3C SecCenter安全管理中心進行設備管理安全標準FCC,CE路由器選用H3C MSR56-60，其主要參數如下:基本參數路由器類型：企業級路由器端口結構：模塊化其它端口 ： 2個USB2.0端口1 個 CON1 個 AUX1 個 CON(Mini-USB Type AB)擴展模塊：6個HMIM插槽+1個DHMIM+2個VPM無線AP選用H3C WA2620i-AGN,其主要參數如下:產品類型：無線AP網絡標準：IEEE 802.11a，IEEE 8

26、02.11b，IEEE 802.11g，IEEE 802.11n最高傳輸速率:300Mbps頻率范圍：雙頻(2.4GHz，5GHz)調制方式：OFDM： BPSK6/9Mbps、QPSK12/18Mbps、主要參數16-QAM24Mbps、64-QAM48/54MbpsDSSS： DBPSK1Mbps、DQPSK2Mbps、CCK5.5/11MbpsMIMO-OFDM： MCS 0-15網絡接口 ： 1個10/100/1000Mbps接口 糾錯其它接口 ： 1個Console接口天線天線類型：內置天線天線數量：4根天線增益：4dBi服務器選用聯想，該設備屬于企業級服務器，功能全面，性能強大，設

27、備詳 細參數如下：產品類別：機架式。產品類型：企業級。CPU型號：Xeon E5620 2.4GHz。標配CPU數量：2顆。內存容量：12GB DDR3。標配硬盤容量：584GB。 內部硬盤架數：最大支持16塊SAS/SATA(SFF)硬盤。網絡控制器：2個NC382i 雙端口千兆網卡。電源類型：熱插拔電源。產品結構：2U。RAID模式：1個集 成的智能陣列P410i，256M。擴展槽：最多6個。3.2、各設備數量名稱型號數量路由器H3C MSR56-601防火墻H3C SecPath U200-CS-AC1核心層交換機H3C S9508E-V2匯聚層交換機華為S352810接入層交換機華為S

28、302623無線APH3C WA2620i-AGN233.3校園網與Internet的互連Internet的連接技術主要有兩種：撥號連接和專線連接。撥號連接：對于傳輸量不是很大的情況，可以采用撥號方式入網，通 過SLIP/PPP實現與專線入網方式完全相同的功能。撥號連接適合于個人和小型 的單位使用。用戶通過調制解調器(Modem)與 ISP的訪問服務器或終端服務器 相連，并通過ISP來實現與Internet連接。專線連接：這種方式適合于使用人數多、數據通信量比較大的情況，比如 校園網和大中型企事業單位。通過專線連接入網的用戶，其計算機系統成為 Internet的一部分，有自己的IP地址，在網絡

29、上與其他Internet主機的地位 平等，可以使用和實現Internet的所有功能。相應地，用戶與ISP之間維護連 接的費用和復雜程度也大大提高了。對于專線連接，用戶需要以下設備.路由器：用來在用戶所在網絡與Internet之間傳輸信息。數據通信專線： 提供用戶至ISP之間的通信信道。服務器：用于處理IP地址分配和域名解析等，提供Internet服務。對于本方案中我們采用局域網專線接入方式，此方式需要配備路由器等設 備，租用專線DDN或幀中繼(Frame Relay)，也可申請ISDN專線并向CERNET 管理部門申請IP地址及注冊域名，以專線方式連入Internet，并提供防火墻、 計費管理

30、等功能。本方案選用一臺Cisco3640路由器，3640共有四個接口插槽，具有1個局域網(LAN)，2個廣域網(WAN)和1個控制臺(AUX)接口。支持 幀中繼(Frame Relay)、X.25、PPP、HDLC等廣域網協議。同時考慮到Internet 外部入侵和撥號用戶的非法登陸等不安全因素，此路由器支持防火墻功能。3.4遠程訪問服務遠程訪問服務(Remote Access Servicers， RAS)提供了經由調制解調器，I SD N連接器，和X . 2 5數字廣域網登錄到局域網和廣域網的能力.它可以滿足正 在旅途中的行政人員和銷售人員的需求,通過傳輸控制（TCP）協議來實現.采 用C

31、isco訪問服務器，安裝在本地局域網中，通過1至4個調制解調器（或ISD TA） 和1至4根電話線，即可為遠程訪問人員提供撥號上網服務，遠程用戶只需擁有 1個調制解調器和1根電話線，通過用戶賬號和口令連接遠程主機，來實現登錄 訪問。3.5各個子網的設計教學子網的設計校園網建網的目的之一，是利用網絡實現多媒體教學，如：交互式多媒體課 堂、電子閱覽室、教師培訓等。多媒體教學的難點在于實現視頻信號的傳送（如 VOD視頻點播）。目前在局域網上實時傳送高質量的視頻數據還未成熟，但傳送 壓縮后的視頻數據確是可行的。根據教學子網對速度要求較高的特點，可以采用 Catalyst 3524G/3548型24+1

32、和10/100M自適應以太網交換機，它提供24個 10/100M交換式端口和一個擴展插槽，可選插1個8聯的10/100 Base TX、1 個2聯的100Base FX或1個1聯的千兆以太網模塊。但實際上大量用戶（指超 過60個流）的視頻傳輸的瓶頸在于存儲介質的外部傳輸速率，因此可選用多通道 的磁盤陣列接多臺主機的方式提高訪問的總線帶寬。辦公子網的設計辦公子網主要面向學校的各級領導及各職能部門，能夠實現對網絡數據的查 詢、修改、添加、刪除等操作，同時，應該能夠滿足支持視頻傳送的要求。鑒于 此，辦公子網采用了思科Catalyst 2960 24 + 2的10/100M自動協商交換機或 Catal

33、yst 2950T 24+2的10/100M自動協商交換機，這兩款交換機除具備普通 交換機功能外，還專門提供了三層交換功能以及VLAN功能，能夠為連接在該端 口上的設備提供獨享的10/100M帶寬，極大地提高數據傳輸速率，同時可以把分 布在不同樓層之間的相同職能部門通過虛擬局域網連接起來，解決服務器瓶頸問 題。圖書館子網的設計圖書館是一個相對獨立的系統，我們采用Catalyst 3524G/3548的10/100M 自適應以太網交換機，它提供了優良的每端口性能價格比，并支持基于端口的VLAN劃分。通過此交換機把電子閱覽室和圖書查詢系統分開，提高圖書館的交 換速度。圖書館管理系統的應用軟件產品較

34、多而且相對成熟。宿舍區子網及后勤子網等的設計宿舍區子網由于需要的端口數量比較多，而且數據流量也比較大。所以宿舍 區子網應選用高性能的交換機和高傳輸速率的線纜。在每棟宿舍樓中安裝一臺思 科新推出的Catalyst 2948GL3自動協商交換機來實現學生宿舍和教師宿舍信息 的交換。Catalyst 2948GL3交換機具有48個10/100M快速以太網和2個千兆以 太網端口，同時它具備三層交換機的特性，它既保留了傳統的第二層交換在各端 口間傳數據時的高線速，又集成了原來在第三層路由中才有的完善控制功能如審 計、廣播隔離等。后勤子網覆蓋范圍較大，主要用途有食堂IC卡計費系統，基建辦公室的計 算機聯網

35、等。由于后勤子網對帶寬的要求以及信息流量的要求并不高，因此我們 可以把它并入到宿舍區子網中來考慮。綜上所述，我們所需要用到的所有網絡設備如下：1臺Catalyst 3508G/4000 千兆以太網交換機5臺Catalyst 3524G/3548交換機1臺Cisco3640路由器1 臺Catalyst 2960交換機多臺Catalyst 2948GL3交換機 多臺網絡服務器通過H3C公司全系列網絡產品即可構建一個完整、先進、可靠的校園網絡硬 件平臺，從而有利于校園網信息系統的使用、維護、擴充、升級，并能有效利用 投資。第四章校園網絡的邏輯結構設計對于校園網這種規模大、集成度高的網絡，我們建議采用

36、Client/Server 結構模式，即將網絡結構建立在各類信息分布處理和集中管理相結合的方式上； 由于將數據處理工作放在各客戶機(Client)獨立處理，減輕了服務器(Server) 的負擔，設備的性能可得到了良好的應用，而且資源信息可以分布共享、集中管 理，使得系統的可靠性、開放性不單單依賴服務器，互補性很強。這種結構靈活 性好，速度快，可靠性高，是當今流行的網絡系統方案。4.1主干網主十網在整個校園網絡系統中占有舉足輕重的地位，它是整個網絡的中樞。 主十網負責學校各個局域網之間的數據傳輸，信息發布，資源共享，學校以后的 BBS，辦公自動化系統，VOD系統，遠程教學系統，INTERNET接

37、口，與其他兄弟 學校的數據交換都將運行在這個網絡上，因此，主干網的好壞直接影響到以后網 絡系統的運行效率，速度快慢，網絡性能等參數。因此，建立一條高速的、多能 的、可靠的、易擴展的主干網絡，解決目前存在的帶寬問題，和適應未來發展的 需要是校園網建設中一個重要的課題。校園內各個局域網之間通信采用基于美國CISICO公司的Catalyst 5000交換 機的快速交換式以太網。Catalyst 5000是能支持所有主要網絡技術的模塊化結 構的交換機。它是為數據中心提供高密度局域網交換的理想設備。它包括一個 1.2G bps的數據交換主干，最多可支持98個交換的以太網端口或50個交換的 快速以太網端口

38、。可通過交換口，原有系統可無逢地納入整個骨干網之中。新增 的系統可利用100M 口，提供100M高帶寬。用戶可利用其內在的CISCO IOS功能， 它可提供虛擬網絡和多層交換的能力，組成靈活的VLAN。Catalyst 5000交換機 通過FDDI端口，以DAS方式接入整個校園網FDDI。Catalyst 5000交換機還提 供ATM模塊接口，在未來伸級到ATM網絡。Catalyst 5000交換機的特點如下：1.2G bps帶寬，每秒超過一百萬個包的 交換能力 所有端口都是全交換的 支持三個用戶可定義的優先級別隊列 支持16000個有源MAC地址 24M HZ 68EC040網絡處理器支持S

39、NMP支持在Catalyst內部或與其他Catalyst之間形成虛擬網絡，最多達1024個 VLANS所有VLAN支持IEEE802.1D生成樹算法，以支持容錯連接 選擇模塊：1 個快速以太網端口 2個單模FDDI雙連接端口 12個快速以太網端口 每個校園 網段區域之間可以采用直達單模光纖，采用技術最成熟的高速的FDDI技術。它 可提供帶寬高達100M。能滿足企業級要求。FDDI的網絡結構選用雙環樹型拓撲結構，它具有如下獨特之處：1、帶寬利用率高環型拓撲使網上站點可以公平地使用網絡所提供的帶寬，不 存在競爭問題。即使在重負荷的情況下運行，傳輸效率也不會有明顯下降。2、靈活性 雙環樹型結構的FD

40、DI可以通過增加或拆除集中器，很方便地擴大或 者減少網絡的規模。在嚴格的布線場合，網絡的規模是根據用戶的需求自由決定， 而不應為了適應網絡拓撲結構的需求而設計，集中器固有的靈活性可以允許用戶 自行決定網絡的增長變化。雙環樹結構還允許用戶在不分隔網絡節點的情況下， 進行一定的增加、移動和改變工作，這種在線靈活性與EIA/TIA568標準布線方 案是一致的。3、 可用性由雙環樹拓撲結構組成的網絡容錯性較好，在單個或多個過障點 的情況下仍可維持正常工作，這一點對連接站點非常實用。這種結構還允許多個 站點從網上拆除。而不會影響其它站點的正常使用。各局域網段間的FDDI集中 器選擇CISCO公司的WS-

41、C1400； WS-C1400可堆疊FDDI/CDDI工作組集中器結合 了工作組集中器的緊湊性和模塊化HUB的多用途特點，支持多種接口卡，因而配 置緊湊又靈活。4.2中心服務器中心服務器是整個網絡的核心部分。中心服務器是整個網絡中網絡服務的提 供者，它的性能優劣直接影響整個網絡的工作效率，它的不穩定又會給網絡造成 很大的損失。因此在服務器的選型上應考慮如下問題：1.高可靠性2.高效 性 3.可擴展性和兼容性由于校園網數據量比較大、訪問人員比較多，同時承擔了大量局域網數據的傳輸、 服務等工作，對服務器的容錯性有較高的要求。根據容錯技術的現狀，我們選用 了兩臺美國DEC公司的Prioris ZX6

42、000服務器。 基于高能奔騰(PentiumPro) 處理器的Prioris ZX6000MP服務器為訪問客戶機/服務器應用和數據庫提供了最 快的、最肯定的機制，并且配有先進的冗余功能和容錯設施從而保證持續不斷的 高性能及配合未來的可擴充能力。特性：具有267MB/秒峰值帶寬的雙對等PCI總線 PCI RAID、PCI FAST WIDE SCSI接口和PCI快速以太網支持可變速冗余風扇；可選的冗余電源；七個集成的熱插拔硬盤托架隨機贈送。支持DIGITAL Windows NT集群系統 具有數據庫和文件服務的容錯能力支持所有的工業標準的操作系統最大的可擴充性，可以有多達2.0GB ECC內存，

43、1TB外存和12個I/O槽先進的256位四路交叉訪問內存結構具有先進的可管理性，集成I2C接口，通過操作控制員控制面板可監視系統狀態/報警，借助DIGITAL享有 聲譽的SERVERWORKS管理程序進行監視。4.3網絡技術選型4.3.1以太網技術吉比特以太網是最新的高速局域網技術，它的主要特點表現在以下幾個方面。經濟、實用、性價比高。與快速以太網相比，吉比特以太網可以提供1Gbps的通信帶寬，其速率10倍于 快速以太網，但是價格卻只是快速以太網價格的3倍。兼容性吉比特以太網采用了與傳統以太網、快速以太網完全兼容的技術規范，因此吉比 特以太網除了繼承傳統以太局域網的優點外，還具有升級平滑、實施

44、容易、性價 比高和易管理等優點。QoS服務IEEE制定兩種規范幫助吉比特以太網提供QoS，其一是802.lq，用于標識VLAN 的網絡通信，另一規范是802.l q信號標準，旨在使端站點具有申請優先級的能 力，并允許交換機傳送這些請求，人們可以通過瀏覽VLAN標志識別不同的業務 類型，使用交換機和路由器的資源預留協議(RSVP)進行緩沖和保留帶寬。升級性能吉比特以太網與另一高性能網絡ATM技術相比，可以實在原有低速以太網基 礎上平滑、連續性的網絡升級，并不需要掌握新的配置、管理與排除故障技術， 且有很高的性能價格比，從而能最大限度地保護用戶之前的投資，吉比特以太網 目前得到了廣泛的支持，吉比特

45、以太網絡的互連和設計也變得極其靈活和方便。 4.3.2鏈路聚合技術以太網鏈路聚合簡稱鏈路聚合，它通過將多條以太網物理鏈路捆綁在一起成為一 條邏輯鏈路，從而實現增加鏈路帶寬的目的，同時，這些捆綁在一起的鏈路通過 相互間的動態備份，可以有效地提高鏈路的可靠性。在服務器群和核心交換機之間使用鏈路聚合能夠提高了網絡的可靠性，使人們可 以在服務器等關鍵LAN段的線路上采用冗余路由，當交換機檢測到其中某一個端 口的鏈路發生故障時，就停止在此端口上發送報文，并根據負載均衡策略在剩下 鏈路中重新計算報文發送的端口，故障端口恢復后再次重新計算報文發送端口。鏈路聚合圖4.3.3虛擬局域網技術VLAN (Virtu

46、al Local Area Network)的中文名為虛擬局域網。VLAN 是一種 將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換 技術。通過將校園網絡劃分為虛擬網絡VLAN網段，可以強化網絡管理和網絡安全，控 制不必要的數據廣播，在共享網絡中，一個物理的網段就是一個廣播域。而在交 換網絡中，廣播域可以是有一組任意選定的第二層網絡地址(MAC地址)組成的 虛擬網段，這樣，網絡中工作組的劃分可以突破共享網絡中的地理位置限制，而 完全根據管理功能來劃分。這種基于工作流的分組模式，大大提高了網絡規劃和 重組的管理功能。在同一個VLAN中的工作站，不論它們實際與哪個交換機連接，

47、 它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN 中的成員才能聽到，而不會傳輸到其他的VLAN中去，這樣可以很好的控制不必 要的廣播風暴的產生。VLAN的特點：分段。一個VLAN就是一個網段，也是一個廣播域，突破了傳統的交換機只有 一個廣播域的限制，按端口劃分VLAN還可以將交換機的每一個端口都劃分為不 同的廣播域。管理靈活。網絡管理員能借助VLAN技術輕松管理整個校園網絡，例如：一旦 工作組的辦公位置發生改變，只需要修改交換機的VLAN設置，就可以輕松地將 那臺計算機加入到工作組，實現對組內資源的訪問，而不用更改路由信息和IP 地址配置。安全性。VLAN有更好的

48、安全性，因為它能限制個別用戶的訪問，控制廣播域 的大小和位置，甚至能夠鎖定某臺計算機設備的MAC地址，交換端口的VLAN劃 分策略很多，例如基于應用類型、訪問權限等。4.3.4生成樹協議（STP）生成樹協議（Spanning Tree Protocol），屬于二層（Date Link Layer）協議。 生成樹協議最主要的作用是避免局域網中的單故障節點、網絡環路，解決網絡環 路的“廣播風暴”問題，是一種網絡保護技術，STP通過選擇性地阻塞冗余鏈路 來消除網絡二層環路，同時具備鏈路的備份功能。Stp生成樹算法（STA）可以分為三個步驟：（1）選擇根網橋在全網中選擇一個根網橋，比較網橋的BID值，

49、選擇BID值小的作為根網橋，BID 值是由兩部分組成的：交換機的優先級和MAC地址組成的，默認優先級為32768。 如果交換機的優先級相同則比較MAC地址大小，選擇值小的作為根網橋。（2）選擇根端口在每個非根交換機上選擇根端口。首先，比較根路徑開銷，選擇到根網橋最低路 徑開銷的端口作為根端口，根路徑開銷取決于鏈路的帶寬，帶寬越大，路徑成本 越低；其次，比較對端交換機BID值，BID值越小，則其優先級越高；最 后，比較端口的ID值，該值端口優先級和端口編號組成，選擇值小的作根端口。選擇指定端口在每條鏈路上選擇一個指定端口，根網橋上所有端口都是指定端口，首先，比較 根路徑成本；其次，比較端口所在網

50、橋的ID值；最后，比較本端口的ID值。NATNAT網絡地址轉換，可以將學校內部私有地址轉換成外部公有地址，從而實現內 部網絡與Internet的通信。NAT的實現方式有三種：靜態轉換、動態轉換和端口多路復用。靜態轉換是指將內部網絡的私有IP地址一對一地轉換為外部公有IP地址，地址 固定不變，如將服務器的地址轉換成固定IP地址。動態轉換是指將內部網絡的私有IP地址隨機轉換成NAT地址池中的公用IP地址 時，學校內部的任何私有IP地址都可以進行動態地址轉換。端口多路復用(PAT)是指改變外出數據包的源端口并進行端口轉換，即端口地址 轉換，采用PAT方式，校園內部網絡的有私有IP都可以通過共享一個公

51、有IP 地址對Internet進行訪問，最大限度地節省了 IP地址資源，同時，又可隱藏校 園內部的主機IP，避免來自外部網絡的攻擊。目前網絡中大部分用戶的使用的 都是端口多路復用方式。ACLACL訪問控制列表是路由器和交換機接口的控制指令，用來控制進出設備的數據 包，其中包含了匹配關系、條件和查詢語句，目的是實現對某種訪問的控制。 校園內外網絡的通信都是校園網絡必不可少的需求，為了保證內部網絡的安全 性，需要安全策略來禁止非授權用戶訪問關鍵的網絡資源，控制訪問是一種網絡 安全技術。ACL使用包過濾技術，在路由器上讀取報頭源地址、目的地址、源端口、目的端 口等信息，然后根據自己設定好的規則對數據

52、包進行過濾，從而達到訪問控制的 目的。由協議又分外部路由協議和內部路由協議兩種，外部路由協議適用于多個自治體 系之間的信息交換，其代表BGP 一般應用于網絡服務商內部，內部路由協議適用 于局域網內部，例如RIP、OSPF等都可用于組建校園網內部路由信息，根據校園 網建設范圍和網絡拓撲情況，從中選取合適的路由協議，對整個校園網和校園信 息應用系統的穩定運行具有重要意義。4.4內部路由協議比較現如今常見的內部路由協議有RIPv2、OSPF和EIGRP，路由協議的作用是在局域 網內部生成路由表，并保持定期維護和動態更新。如何選擇合適的路由協議？需 要考慮路由協議的主要性能指標：計算方法、收斂速度、所

53、占用的系統開銷、協 議安全性和所適用的網絡范圍。（1）計算方法路由協議計算的正確性指路由協議所采用的算法是否可靠，路由分直連路由、靜 態路由和動態路由，靜態路由的錯誤配置，浪費帶寬的路由環路會隨即產生，動 態路由協議在一定的環境下也會產生路由環路，優秀的路由協議算法應該擁有避 免路由環路機制。RIPv2采用的是距離矢量算法，最大為15跳，雖然啟用了路由毒化、抑制時間 和觸發更新等可以降低產生環路的概率的策略，但仍然不能消除距離矢量算法容 易產生路由環路的缺點，OSPF是鏈路狀態協議，它使用迪克斯加算法來計算最 短路徑，這種算法消除了路由環路的可能。EIGRP是結合了鏈路狀態和距離矢量 型的路由

54、選擇協議，是Cisco的專有協議，使用彌散修正算法（DUAL）來實現快 速收斂，可以不發送定期的路由更新信息以減少帶寬的占用，可以有效地避免路 由環路的產生。（2）收斂速度路由收斂是指當網絡的拓撲結構發生變化后，路由表重新建立達到穩定，并通知 網絡中所有相關設備都得知該變化的過程，快速收斂意味著當網絡拓撲結構發生 變化時，網絡設備能很快地感知到并實時更新自身的路由表，RIP協議采用周期 性廣播更新路由信息，周期性廣播更新使路由收斂速度變慢，OSPF和EIGRP采 取不定期的組播更新在局域網中維護所有網絡設備路由表信息的統一，同時在發 現路徑信息改變時立即觸發路由信息更新，這種觸發更新機制使路由

55、快速收斂。（3）系統開銷路由協議的使用需要占用CPU，內存和其他系統資源，系統資源，在這里指的是 包含一個局域網內的所有網絡設備，相對于鏈路狀態算法，基于距離矢量算法的 路由協議RIPv2具有花費較少的系統資源的優點，盡管OSPF復雜的算法會花費 更多的系統資源，但是對于匯聚層與核心層網絡設備而言，這些系統開銷 對于信息數據的正常傳輸的影響可以忽略不計。（4）安全性能RIPv2、OSPF支持基于接口的明文及MD5驗證兩種方式，增強網絡安全性；運行 EIGRP協議進程的路由器之間也可以配置MD5認證，對不符合認證的報文丟棄不 理，從而確保路由獲得的安全。（5）適用網絡規模路由協議適用的網絡規模略

56、有不同，RIPv2協議有最大15跳的限制，超過不可 達，所以適用于中小型網絡結構，EIGRP協議同樣不適應于大型網絡拓撲。由于 OSPF的區域劃分機制，OSPF協議可應用在由數目巨大的網絡設備組成的大型網 絡結構中。5.4.1路由協議的選擇綜合比較這幾種常見路由協議，得出結論：對于大型的網絡應優先選擇OSPF路 由協議、而中小型網絡就可以在OSPF和EIGRP中選擇。而又因為EIGRP協議是 Cisco網絡公司的專有協議，與其他廠商生產的網絡設備存在兼容性的問題。所 以只有統一采用思科網絡設備時才可以優先考慮使用 EIGRP協議作為路由協 議。參照比較這些協議的特點，OSPF是校園網的最佳協議

57、選擇。（1）OSPF工作機 制1、通過組播發送Hello包來發現鄰接路由器，組播能夠提高網絡效率，減小對 其它非OSPF設備產生的影響。2、建立鄰接關系。網絡中所有路由器僅僅與DR/BDR建立鄰接關系，如果網絡中 還沒有DR/BDR，那么就要先選舉出DR/BDR，DR通過分發LSA來描繪該網絡類型 及通知網絡中的其他路由器，當DR失效時，BDR會立即搶占DR，而BDR則在 DRother之間重新選舉，當路由器之間確立了可信賴的鄰接關系之后才會開始相 互通報鏈路狀態信息。3、確定LSDB。建立鄰接關系的OSPF路由器之間通過交互LSA，最終同一個區域 內所有OSPF路由器都擁有相同鏈路狀態數據庫

58、（LSDB），OSPF路由器只發布鄰 居缺失的LSA給鄰居，避免了資源的浪費，有助于提高路由收斂速度。4、依據LSDB用最短路徑優先算法計算出最優路由。由于LSDB，同一 OSPF區域 內的路由器對整個網絡拓撲結構都有相同的認識，所以計算出的路由不會產生環 路。（2）OSPF路由協議的特點為提高校園網的可靠性和健壯性，在網絡建設和升級過程中應考慮網絡拓撲和路 由協議的冗余備份能力，OSPF提出分別地區（Area）的概念，將自治體系分別為多 個小的地區后，僅需要在本身地區內成立同一的LSDB，大大減少了全部自治體 系所需通報的路由信息數目，減輕了路由器的承擔和辦理難度，也使得路由信息 不會隨收集

59、范圍的擴展而急劇膨脹，這類地區分別機制不但降低了系統資源的耗 損，并且網絡資源也得到了有效的利用。OSPF進行區域劃分后，就將路由信息 分為區域內和區域間兩種，為有效管理不同區域間通訊，需定義一個骨干區域（Area 0）來匯總所有區域，全部區域間通訊都必須通過主十地區，全部非主十 地區都必須與主十地區直接相連，非主十地區之間不可以直接互換數據。所有區 域間通信都必須經過骨干區域，所有非骨干區域都必須與骨干區域直接相連，非 骨干區域之間不能直接交換數據。OSPF不是網絡路由協議的唯一選擇，相比于其他內部路由協議，OSPF也有不足 之處，OSPF不支持動態負載均衡，配置動態負載均衡需要人們來手工配

60、置優先 級，同時OSPF不支持自動匯總，路由自動匯總需要人工配置，增大了工作量， 然而，現如今，OSPF協議已經成了大中型局域網絡的最佳選擇，小型局域網同 樣可以采用OSPF作為內部路由協議，網絡拓撲簡單，范圍小的校園網除了可選 擇OSPF外，還可以選擇使用靜態路由，靜態路由同樣可以保證網絡的平穩運行， 且不會占有系統開銷。在物理層正常的情況下，靜態路由一經配置立即生效，不 存在收斂時間，靜態路由同樣被所有網絡設備所支持。第五章服務器平臺的設計校園網的服務器平臺是校園網建設中的重點項目，它提供校園網中最基本的 功能，是提供校園網應用中的各種基本服務的基礎設施，所以服務器平臺的建設 在校園網建設