1.1 校園網(wǎng)需求分析與設(shè)計(jì)規(guī)劃

1.1.1 校園網(wǎng)設(shè)計(jì)需求

通過(guò)對(duì)上海某大學(xué)校園網(wǎng)需求的研究，結(jié)合對(duì)用戶(hù)網(wǎng)絡(luò)的考慮，我們認(rèn)為上海某大學(xué)校園網(wǎng)應(yīng)具備以下特性才能夠滿(mǎn)足需求，并保證建成后的網(wǎng)絡(luò)在一個(gè)較長(zhǎng)的時(shí)間內(nèi)具有較強(qiáng)的可用性和一定的先進(jìn)性。

? 高可用性與先進(jìn)性

上海某大學(xué)校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)要求組建萬(wàn)兆主干網(wǎng)絡(luò)，具有極高的數(shù)據(jù)通信能力和足夠的帶寬；并在主干網(wǎng)上提供較強(qiáng)的可擴(kuò)展性。為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)，網(wǎng)絡(luò)應(yīng)有較高的網(wǎng)絡(luò)主干速度。網(wǎng)絡(luò)設(shè)備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡(luò)高吞吐能力，滿(mǎn)足各種應(yīng)用（如：視頻會(huì)議系統(tǒng)）對(duì)網(wǎng)絡(luò)帶寬的需求；在各部門(mén)的工作組中采用交換技術(shù)，以保證在工作中網(wǎng)絡(luò)的快速響應(yīng)速度，用于提供較高的工作效率。

? 高可靠性

網(wǎng)絡(luò)要求具有高可靠性，高穩(wěn)定性和足夠的冗余，提供拓?fù)浣Y(jié)構(gòu)及核心設(shè)備的冗余和備份，為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由；在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，設(shè)備在發(fā)生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)進(jìn)行恢復(fù)，把故障對(duì)網(wǎng)絡(luò)系統(tǒng)的影響減少到最小，避免由于網(wǎng)絡(luò)故障造成用戶(hù)損失。

網(wǎng)絡(luò)主干交換機(jī)等網(wǎng)絡(luò)結(jié)點(diǎn)關(guān)鍵設(shè)備必須具備一定的容錯(cuò)能力。關(guān)鍵結(jié)點(diǎn)設(shè)備運(yùn)行中出現(xiàn)故障后，能夠有效、及時(shí)地進(jìn)行故障恢復(fù)；要求結(jié)點(diǎn)設(shè)備的設(shè)置、恢復(fù)過(guò)程必須在短時(shí)間內(nèi)迅速完成。基本配置的終端方式操作要簡(jiǎn)單，結(jié)點(diǎn)內(nèi)部的配置內(nèi)容可以通過(guò)筆記本電腦采用TCP/IP協(xié)議下載保存、或是上載恢復(fù)。

? 安全性

上海某大學(xué)校園網(wǎng)網(wǎng)絡(luò)作為一個(gè)支持眾多用戶(hù)、并同時(shí)和INTERNET / CERNET存在連接的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全性在整個(gè)網(wǎng)絡(luò)中是個(gè)很重要的問(wèn)題，我們應(yīng)該采用一定手段控制網(wǎng)絡(luò)的安全性，以保證網(wǎng)絡(luò)正常運(yùn)行。網(wǎng)絡(luò)中應(yīng)采取多種技術(shù)從內(nèi)部和外部同時(shí)控制用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)。可以用身份認(rèn)驗(yàn)證、VLAN劃分等技術(shù)有效地控制內(nèi)部用戶(hù)的行為，比如杜絕對(duì)IP地址的盜用和偵聽(tīng)用戶(hù)口令等，同時(shí)也能夠利用防火墻控制外部人員對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)；網(wǎng)絡(luò)系統(tǒng)還應(yīng)具備高度的數(shù)據(jù)安全性和保密性，能夠防止非法侵入和信息泄漏。

? 可管理性

強(qiáng)有力的網(wǎng)管軟件是有效地進(jìn)行網(wǎng)絡(luò)管理的助手，網(wǎng)管軟件應(yīng)能夠支持對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)備級(jí)和系統(tǒng)級(jí)的管理，并能支持通用瀏覽器進(jìn)行網(wǎng)絡(luò)設(shè)備的管理及配置。靈活的設(shè)置每個(gè)用戶(hù)對(duì)Internet訪(fǎng)問(wèn)功能，能夠?qū)γ總€(gè)用戶(hù)實(shí)行管理；并且能夠?qū)崿F(xiàn)復(fù)雜的計(jì)費(fèi)管理。

? 可擴(kuò)充性

隨著用戶(hù)應(yīng)用規(guī)模的不斷擴(kuò)大，要求網(wǎng)絡(luò)可以方便地?cái)U(kuò)充容量，支持更多的用戶(hù)及應(yīng)用；隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)必須能夠平滑地過(guò)渡到新的技術(shù)和設(shè)備，保證用戶(hù)現(xiàn)有的投資。某大學(xué)的主干設(shè)備全部采用機(jī)柜式主交換機(jī)，保障了網(wǎng)絡(luò)的可擴(kuò)充性。

? VLAN劃分

根據(jù)校園網(wǎng)的實(shí)際需求，屬于同一部門(mén)的工作人員可能在不同的建筑物中，但需要在一個(gè)邏輯子網(wǎng)內(nèi)。網(wǎng)絡(luò)站點(diǎn)的增減，人員的變動(dòng)，無(wú)論從網(wǎng)絡(luò)管理，還是用戶(hù)的角度來(lái)講，都需要虛擬網(wǎng)技術(shù)的支持。虛擬網(wǎng)可以建立不受物理區(qū)域限制的，覆蓋整個(gè)校園的相互具有一定獨(dú)立性的邏輯子網(wǎng)，各邏輯子網(wǎng)間廣播報(bào)文相互隔離并通過(guò)第三層的訪(fǎng)問(wèn)控制設(shè)置實(shí)現(xiàn)可管理的子網(wǎng)間的互相訪(fǎng)問(wèn)。

因此在網(wǎng)絡(luò)主干中要支持三層交換及VLAN劃分。根據(jù)管理以及各部門(mén)智能的分配或用戶(hù)定義的其它策略進(jìn)行相應(yīng)的VLAN的靈活劃分，在整個(gè)網(wǎng)絡(luò)中使用虛擬網(wǎng)技術(shù)，以提高網(wǎng)絡(luò)的安全性和靈活性。網(wǎng)絡(luò)中心設(shè)備和骨干設(shè)備能夠提供線(xiàn)速的VLAN之間的路由和高性能的第三層的數(shù)據(jù)包的處理。

? 多層交換技術(shù)

通過(guò)三層交換技術(shù)，特別是基于硬件的第三層交換，可以避免不同的網(wǎng)段或VLAN之間訪(fǎng)問(wèn)時(shí)，由于路由效率的影響而產(chǎn)生的傳輸效率影響。對(duì)于一個(gè)應(yīng)用，當(dāng)?shù)谝粋€(gè)數(shù)據(jù)包發(fā)送到交換機(jī)時(shí)，通過(guò)路由設(shè)備進(jìn)行轉(zhuǎn)發(fā)，同時(shí)在專(zhuān)用芯片中存入有關(guān)的信息，使得后來(lái)的所有數(shù)據(jù)包均無(wú)需通過(guò)路由設(shè)備再次處理，而直接由交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。這樣就可以充分的利用交換機(jī)的包處理能力，實(shí)現(xiàn)真正的線(xiàn)速交換。

同時(shí)，由于三層交換技術(shù)的引進(jìn)，大大減輕了中心路由設(shè)備的工作壓力，使之不再需要將大量的CPU處理能力花在重復(fù)性的數(shù)據(jù)轉(zhuǎn)發(fā)工作上，從而可以承擔(dān)更為復(fù)雜且重要的工作。

? 多播技術(shù)和多媒體支持

上海某大學(xué)校園網(wǎng)要求具有數(shù)據(jù)，圖像，話(huà)音等多媒體實(shí)時(shí)通訊能力；并在主干網(wǎng)上提供足夠的帶寬和可保證的服務(wù)質(zhì)量，滿(mǎn)足大量用戶(hù)對(duì)帶寬的基本需要，并保留一定的余量供突發(fā)的數(shù)據(jù)傳輸使用，最大可能地降低網(wǎng)絡(luò)傳輸?shù)难舆t。整個(gè)網(wǎng)絡(luò)在服務(wù)質(zhì)量(QoS)、預(yù)留寬帶設(shè)置、合理進(jìn)行帶寬管理方面應(yīng)提供優(yōu)良的品質(zhì)。IP組播技術(shù)有其獨(dú)特的優(yōu)越性——在組播網(wǎng)絡(luò)中，即使用戶(hù)數(shù)量成倍增長(zhǎng)，主干帶寬不需要隨之增加。

1.1.2 網(wǎng)絡(luò)建設(shè)規(guī)劃及分析

1.1.2.1 網(wǎng)絡(luò)系統(tǒng)整體規(guī)劃

在上海某大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)中，為建設(shè)“數(shù)字化校園”，必須貫徹“整體規(guī)劃、分布實(shí)施、逐步升級(jí)”的思路，對(duì)校園網(wǎng)逐步進(jìn)行逐步完善。

在上海某大學(xué)校園網(wǎng)的規(guī)劃中，整個(gè)系統(tǒng)將來(lái)要達(dá)到15000－20000信息點(diǎn)的規(guī)模。這就要求在進(jìn)行校園網(wǎng)初期網(wǎng)絡(luò)建設(shè)中，校園網(wǎng)的主干節(jié)點(diǎn)必須要考慮足夠的余量，以保障將來(lái)網(wǎng)絡(luò)的擴(kuò)展。在校園網(wǎng)的對(duì)外接入方面，可以考慮配置高性能路由器以接入CERNET和INTERNET，并配置高性能防火墻以保障校園網(wǎng)的安全。同時(shí)，需要建立撥號(hào)訪(fǎng)問(wèn)服務(wù)器以提供對(duì)在校園網(wǎng)外部用戶(hù)對(duì)內(nèi)網(wǎng)的訪(fǎng)問(wèn)功能。

1.1.2.2 網(wǎng)絡(luò)規(guī)劃分析

在上海某大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的總體建設(shè)中，我們可以將上海某大學(xué)分為三個(gè)層次。1）在圖文信息中心建設(shè)上海某大學(xué)的雙核心網(wǎng)絡(luò)，兩太主交換機(jī)分別以單模千兆方式連接二級(jí)交換中心，并建立校區(qū)的數(shù)據(jù)中心和各類(lèi)應(yīng)用軟件服務(wù)系統(tǒng)；2）在校園網(wǎng)中設(shè)立四個(gè)匯聚中心，通過(guò)單模光纖以萬(wàn)兆速率接入到信息中心主交換機(jī)并通過(guò)環(huán)網(wǎng)結(jié)構(gòu)將4個(gè)二級(jí)核心交換機(jī)互聯(lián)；向下以千兆方式接入到各個(gè)接入樓宇；2）在各樓層內(nèi)部通過(guò)對(duì)接入交換機(jī)進(jìn)行堆疊或千兆級(jí)連，實(shí)現(xiàn)所有接入交換機(jī)千兆上連，百兆接入桌面信息點(diǎn)。

主干設(shè)備負(fù)責(zé)對(duì)園區(qū)網(wǎng)內(nèi)的所有數(shù)據(jù)進(jìn)行高速轉(zhuǎn)發(fā)，為數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器群之間大容量信息交換提供有效的高速通道，主干網(wǎng)絡(luò)如果出現(xiàn)故障，整個(gè)校園網(wǎng)就會(huì)全部癱瘓。因此，在主干交換機(jī)選性方面，對(duì)交換機(jī)的安全性、可靠性、穩(wěn)定性、可擴(kuò)展型等方面都有相當(dāng)高的要求。

為保證網(wǎng)絡(luò)中心節(jié)點(diǎn)的高可靠性和可用性，可以考慮采用兩臺(tái)主交換機(jī)分別作為主備方式接入網(wǎng)絡(luò)，將核心網(wǎng)絡(luò)的平均無(wú)故障時(shí)間提高到99.999%以上，基本可以保障網(wǎng)絡(luò)實(shí)現(xiàn)全年不間斷的順暢連通。

1.1.2.3 核心網(wǎng)絡(luò)產(chǎn)品分析

目前主流的高端網(wǎng)絡(luò)設(shè)備廠(chǎng)商包括Cisco、Extreme、Cabletron、Nortel等，各個(gè)廠(chǎng)家均有一定的市場(chǎng)份額，而且各家的產(chǎn)品也有各自?xún)?yōu)勢(shì)所在。

因此，主要網(wǎng)絡(luò)設(shè)備（中心交換機(jī)、接入交換機(jī)和廣域網(wǎng)路由器等）采用Cisco的產(chǎn)品，搭建出一個(gè)高性能、高可靠性并具有強(qiáng)大收縮性的網(wǎng)絡(luò)平臺(tái)。整體系統(tǒng)具有標(biāo)準(zhǔn)化和開(kāi)放性：符合國(guó)際標(biāo)準(zhǔn)，支持TCP/IP 協(xié)議、標(biāo)準(zhǔn)路由協(xié)議；具有先進(jìn)性和成熟性—選擇支持三層路由交換、二層交換、虛擬網(wǎng)（VLAN）劃分的成熟的國(guó)際先進(jìn)的網(wǎng)絡(luò)技術(shù)和設(shè)備；提供了無(wú)阻塞的內(nèi)部交換能力，以及DDN、撥號(hào)/ISDN、寬帶IP等多種形式的終端接入方式。

1.1.2.4 網(wǎng)絡(luò)安全的考慮

在上海某大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)intranet建設(shè)過(guò)程中，網(wǎng)絡(luò)安全的重要性時(shí)無(wú)需質(zhì)疑的。在諸多安全因素中，防黑、防病毒及入侵監(jiān)測(cè)系統(tǒng)是在網(wǎng)絡(luò)應(yīng)用建設(shè)中需重點(diǎn)考慮的。其中，防火墻作為接入到外網(wǎng)的唯一屏障，是隔絕黑客的主要設(shè)備。提供internet安全接入,對(duì)上海某大學(xué)網(wǎng)絡(luò)訪(fǎng)問(wèn)用戶(hù)進(jìn)行安全監(jiān)測(cè)的最重要的設(shè)備就是防火墻。

在硬件防火墻中，評(píng)判器性能是否優(yōu)越的主要有如下指標(biāo)：

吞吐量：防火墻串接在網(wǎng)絡(luò)出入口處，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查，如防火墻缺乏足夠的吞吐量，則可能對(duì)網(wǎng)絡(luò)性能影響極大，因此防火墻產(chǎn)品必須具有一定的吞吐量保證；

管理的方便性與安全性：防火墻的設(shè)置是一項(xiàng)非常重要的工作，一個(gè)設(shè)置良好的包過(guò)濾防火墻就可以發(fā)揮很好的作用，但設(shè)置防火墻是一項(xiàng)非常復(fù)雜的工作，因此應(yīng)該盡量選擇設(shè)置方便的防火墻，同時(shí)無(wú)論遠(yuǎn)程還是本地，都必須保證設(shè)置只能由管理員完成，并且防火墻的設(shè)置無(wú)法為人非法修改。

審計(jì)和日志功能：防火墻的審計(jì)和日志信息往往是許多安全事件最好的證據(jù)之一，因此良好的審計(jì)和日志功能是優(yōu)秀防火墻的共同特征。好的審計(jì)和日志功能支持用戶(hù)進(jìn)行各個(gè)層次的審計(jì)，并提供工具進(jìn)行審計(jì)數(shù)據(jù)的轉(zhuǎn)儲(chǔ)、處理、查詢(xún)等。

平臺(tái)自身安全性：防火墻自身往往成為很多網(wǎng)絡(luò)攻擊的對(duì)象，因此其自身應(yīng)該有足夠的強(qiáng)度保證自身平臺(tái)的安全。

產(chǎn)品必須通過(guò)國(guó)家信息安全保密職能部門(mén)的認(rèn)可。

1.1.2.5 無(wú)線(xiàn)網(wǎng)規(guī)劃分析

在上海某大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)具體的網(wǎng)絡(luò)環(huán)境搭建中，某些場(chǎng)所由于其特有的原因，不適合進(jìn)行布線(xiàn)系統(tǒng)的搭建或布線(xiàn)系統(tǒng)不能滿(mǎn)足其要求，例如像圖書(shū)閱覽室、大規(guī)模會(huì)議室和休閑場(chǎng)所。在這些場(chǎng)合中，由于網(wǎng)絡(luò)應(yīng)用者使用網(wǎng)絡(luò)有著隨意和不固定的特點(diǎn)，布線(xiàn)系統(tǒng)無(wú)疑會(huì)限制使用者的應(yīng)用。這樣，無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用就會(huì)作為布線(xiàn)系統(tǒng)和傳統(tǒng)網(wǎng)絡(luò)的必要補(bǔ)充，也會(huì)納入上海某大學(xué)的應(yīng)用。

無(wú)線(xiàn)網(wǎng)的應(yīng)用不像傳統(tǒng)布線(xiàn)那樣明確和直觀，由于無(wú)線(xiàn)網(wǎng)應(yīng)用中存在種種不確定性，在無(wú)線(xiàn)接入點(diǎn)（AP）的分布和無(wú)線(xiàn)信號(hào)的強(qiáng)弱方面，必須經(jīng)過(guò)實(shí)驗(yàn)才可以最終確定。而且在帶寬和網(wǎng)絡(luò)可用性方面，無(wú)線(xiàn)網(wǎng)也遠(yuǎn)不能和有線(xiàn)網(wǎng)相提并論；無(wú)線(xiàn)網(wǎng)的優(yōu)勢(shì)在于它的靈活性和方便性，無(wú)線(xiàn)局域網(wǎng)絡(luò)絕不是用來(lái)取代有線(xiàn)局域網(wǎng)絡(luò)，而是用來(lái)彌補(bǔ)有線(xiàn)局域網(wǎng)絡(luò)之不足，以達(dá)到網(wǎng)絡(luò)延伸之目的，下列情形可能須要無(wú)線(xiàn)局域網(wǎng)絡(luò)。

u 無(wú)固定工作場(chǎng)所的使用者

u 追求靈活和方便的休閑場(chǎng)所

u 有線(xiàn)局域網(wǎng)絡(luò)架設(shè)受環(huán)境限制的場(chǎng)所