校(xiào)園網絡

校(xiào)園網絡解決方案

校(xiào)園網絡設計(jì)

1.絡拓撲設計(jì)

局域網采用星型網絡拓樸結構，星型拓樸結構爲現在較爲流行的一種網絡結構，它是以一台中心處理(lǐ)機(jī)（通信設備）爲主而構成的網絡，其它入網機(jī)器僅與該中心處理(lǐ)機(jī)之間有直接的物理(lǐ)鏈路(lù)，中心處理(lǐ)機(jī)采用分(fēn)時或輪詢的方法爲入網機(jī)器服務，所有的數據必須經過中心處理(lǐ)機(jī)。由于所有節點的往外傳輸都(dōu)必須經過中央節點來(lái)處理(lǐ)，因此，對中央節點的要求比較高。

優點是網絡結構簡單，易于維護，便于管理(lǐ)（集中式）；每台入網機(jī)均需物理(lǐ)線路(lù)與處理(lǐ)機(jī)互連，線路(lù)利用率低；處理(lǐ)機(jī)負載重（需處理(lǐ)所有的服務），因爲任何兩台入網機(jī)之間交換信息，都(dōu)必須通過中心處理(lǐ)機(jī)；入網主機(jī)故障不影(yǐng)響整個網絡的正常工(gōng)作(zuò)。對該網絡支持的設備生(shēng)産廠(chǎng)商有較好的技術(shù)支持。

局域網内的所有工(gōng)作(zuò)節點通過雙絞線與交換機(jī)相(xiàng)連形成一個星型網絡。辦公電腦建議(yì)采用品牌的商用機(jī)，商用機(jī)運行比較穩定，而且比較耐用，運算速度較快(kuài)，較适于開發使用。

根據我們的設計(jì)，大(dà)學網絡拓撲結構圖如(rú)圖1所示。

圖1 大(dà)學網絡拓撲結構圖

2.網絡層次設計(jì)

從(cóng)邏輯上，大(dà)型網絡可(kě)分(fēn)爲核心層、分(fēn)布層和接入層，每層都(dōu)有其特點。網絡層次如(rú)圖2所示

圖2 網絡層次圖

層次化設計(jì)的優點可(kě)以總結爲如(rú)下幾點：

1）可(kě)擴展性：因爲網絡可(kě)模塊化增長而不會遇到問(wèn)題；

2）簡單性：通過将網絡分(fēn)成許多小單元，降低了網絡的整體(tǐ)複雜性，使故障排除更容易，能隔離(lí)廣播風(fēng)暴的傳播、防止路(lù)由循環等潛在的問(wèn)題；

3）設計(jì)的靈活性：使網絡容易升級到新的技術(shù)，升級任意層次的網絡不會對其他(tā)層次造成影(yǐng)響，無需改變整個環境；

4）可(kě)管理(lǐ)性：層次結構使單個設備的配置的複雜性大(dà)大(dà)降低，更易管理(lǐ)。

3.萬兆核心解決方案

網絡中心節點及其它核心節點作(zuò)爲校(xiào)園網絡系統的心髒，必須提供全線速的數據交換，當網絡流量較大(dà)時，對關鍵業務的服務質量提供保障。另外作(zuò)爲整個網絡的交換中心，在保證高性能、無阻塞交換的同時，還(hái)必須保證穩定可(kě)靠的運行。

因此在網絡中心的設備選型和結構設計(jì)上必須考慮整體(tǐ)網絡的高性能和高可(kě)靠性。具體(tǐ)來(lái)說(shuō)核心節點的交換機(jī)有兩個基本要求：

1）高密度端口情況下，還(hái)能保持各端口的線速轉發；

2）關鍵模塊必須冗餘，如(rú)管理(lǐ)引擎、電源、風(fēng)扇。

由于校(xiào)園網建設最終必将采用萬兆技術(shù)，因此需要考慮到核心設備對萬兆的支持能力。

綜上所述，主幹核心交換機(jī)屬于高端系列的産品，所以在本方案中，核心交換機(jī)建議(yì)采用多業務萬兆核心路(lù)由交換機(jī)。可(kě)以根據用戶的需求靈活配置，靈活構建彈性可(kě)擴展的網絡。多業務萬兆核心路(lù)由交換機(jī)高背闆帶寬和二/三層包轉發速率可(kě)爲用戶提供高速無阻塞的交換，強大(dà)的交換路(lù)由功能、安全智能技術(shù)可(kě)爲用戶提供完整的端到端解決方案，是大(dà)型網絡核心骨幹交換機(jī)的理(lǐ)想選擇。因此網絡主幹全部采用萬兆，末端用戶樓棟全部采用千兆接入萬兆校(xiào)園網，采用3台萬兆核心交換機(jī)RG-S6810E組成萬兆核心環網。實現網絡7X24小時的不間斷運行，核心骨幹網形成的萬兆核心環網，使得(de)整個核心層網絡即使在任意一台核心交換機(jī)故障、或任意一條鏈路(lù)斷掉的情況下依然可(kě)以保障網絡的正常運行。

RG-S6810E是銳捷網絡推出的基于NP+ASIC構架的新一代多業務萬兆核心路(lù)由交換機(jī)，RG-S6800E在保障高性能大(dà)容量的基礎上提供強大(dà)的安全防護能力，并且擁有業務按需疊加擴展能力，達到業務和性能并重的設計(jì)需求。目前提供10豎插槽設計(jì)和6橫插槽設計(jì)兩種主機(jī)：RG-S6810E和RG-S6806E。

RG-S6800E系列多業務萬兆核心路(lù)由交換機(jī)提供2.4T/1.2T背闆帶寬，并支持将來(lái)擴展到4.8T/2.4T的能力，高達857Mpps/428Mpps的二/三層包轉發速率可(kě)爲用戶提供高速無阻塞的數據交換，強大(dà)的交換路(lù)由功能、安全智能技術(shù)可(kě)同銳捷各系列交換機(jī)配合，爲用戶提供完整的端到端解決方案，是大(dà)型網絡核心骨幹和大(dà)流量節點交換機(jī)的理(lǐ)想選擇。

RG-S6810E交換機(jī)通過先進的第三代高性能引擎可(kě)硬件(jiàn)支持策略路(lù)由、IPV6等協議(yì)，并可(kě)擴展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等豐富的業務功能，滿足客戶環境靈活而複雜的不同應用需求。

在此方案中，校(xiào)區網絡中心采用RG-S6810E多業務萬兆核心路(lù)由交換機(jī)作(zuò)爲核心交換機(jī)。核心層交換機(jī)跟彙聚接入層交換機(jī)之間的千兆鏈路(lù)可(kě)以捆綁，從(cóng)而實現帶寬的靈活擴展。

4.萬兆骨幹網解決方案

彙聚層提供基于統一策略的互連性。它是核心層和接入層的分(fēn)界點，定義了網絡的邊界，對數據包進行複雜的運算。在大(dà)中型園區網絡環境中，彙聚層主要考慮的是如(rú)何保證提供浪量控制及安全控制的策略。通常需要考慮的主要因素有QoS、靜(jìng)态或者動态路(lù)由的選擇、地址過濾等。

而在設備選型方面，彙聚層的設備對網絡下層VLAN信息和生(shēng)成樹(shù)協議(yì)具有收斂功能，能實現簡單的用戶管理(lǐ)和控制功能，如(rú)用戶的安全接入、下層網絡不同層次的屏蔽和接入工(gōng)作(zuò)，對不同物理(lǐ)鏈路(lù)、不同特性的網絡設備進行統一管理(lǐ)。因此彙聚層網絡設備要求具備多物理(lǐ)接口來(lái)完成衆多設備的接入工(gōng)作(zuò)。

綜上所述，彙聚層采用七台萬兆核心交換機(jī)RG-S6506E擔當圖書(shū)館、綜合教學樓、院系實驗樓、行政辦公樓、外事(shì)活動中心、科(kē)技中心、學生(shēng)宿舍公寓以及區運動區域彙聚；通過6條萬兆鏈路(lù)連接至圖書(shū)館、綜合教學樓、院系實驗樓、行政辦公樓、科(kē)技中心、學生(shēng)宿舍公寓以及區運動區的6台彙聚交換機(jī)RG-S6506E上是因爲這幾條鏈路(lù)上數據信息點比較多,傳輸數據量也比較大(dà)，。使用2條千兆鏈路(lù)連接到外事(shì)活動中心彙聚交換機(jī)RG-S6506上。

RG-S6506是銳捷網絡推出的萬兆骨幹路(lù)由交換機(jī)，擁有6個模塊擴展槽，提供管理(lǐ)模塊冗餘，支持萬兆、千兆和百兆模塊線速轉發，可(kě)以根據用戶的需求靈活配置，構建彈性可(kě)擴展的現代IP網絡。”

RG-S6506交換機(jī)高達768G的背闆帶寬和286Mpps的二/三層包轉發速率可(kě)爲用戶提供高速無阻塞的線速交換，強大(dà)的交換路(lù)由功能、安全智能技術(shù)可(kě)同銳捷各系列交換機(jī)配合，爲用戶提供完整的端到端解決方案，是小型網絡核心和大(dà)型網絡骨幹交換機(jī)的理(lǐ)想選擇。

5.千兆接入解決方案

接入層的主要功能是爲最終用戶提供對園區網絡訪問(wèn)的途徑。本層也可(kě)以提供進一步的調整，如(rú)Access-list Filtering等。在園區網絡環境中，接入層主要提供如(rú)下功能：帶寬共享、交換帶寬、MAC層過濾、微分(fēn)網段等。

在廣域網環境中，接入層主要提供通過Frame Relay、ISDN、Leased Line連入遠(yuǎn)程節點。

接入層網絡由樓棟交換節點和樓層交換節點組成，接入層網絡應該可(kě)以滿足各種客戶的接入需要，而且能夠實現客戶化的接入策略，業務QOS保證，用戶接入訪問(wèn)控制等等。

接入層交換機(jī)亦稱外圍交換機(jī)或邊緣交換機(jī)，一般都(dōu)屬于可(kě)堆疊/可(kě)擴充式固定端口交換機(jī)，應具備下列要求：

1）端口選擇：對端口的選擇包括兩個方面，一個是端口數量，一個是端口類型。而且可(kě)以堆疊、易擴展，以便由于信息點的增加而從(cóng)容地進行擴容。

2）高性能。作(zuò)爲大(dà)型網絡的二級交換設備，應支持千兆/百兆高速上連以及同級設備堆疊，當然還(hái)要注意與核心交換機(jī)品牌的一緻性；如(rú)果用作(zuò)小型網絡的中央交換機(jī)，要求具有較高的背闆帶寬和三層交換能力。

3）性價比高。在滿足網絡性能要求的同時，達到較高的性價比，使用方便簡單。

4）支持多級别網絡管理(lǐ)。

樓層交換節點采用千兆智能堆疊交換機(jī)，提供智能的流分(fēn)類和完善的QoS特征。爲各類型網絡提供完善的端到端的服務質量、豐富的安全設置和基于策略的網管，較大(dà)化滿足高速、融合、安全的園區網新需求；本方案中各接入層交換機(jī)通過千兆鏈路(lù)上聯到各彙聚層設備，對下聯的桌面設備提供全雙工(gōng)的百兆連接，爲各類用戶提供無阻塞的交換性能。因此采用數十台RG-S2424G系列安全智能交換機(jī)擔當網絡接入。

RG-S2424G是銳捷網絡推出的全千兆安全智能接入交換機(jī)，在提供高性能、高帶寬的同時，提供智能的流分(fēn)類、完善的服務質量（QoS）和組播應用管理(lǐ)特性，并可(kě)以根據網絡的實際使用環境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網絡攻擊，控制非法用戶接入和使用網絡，保證合法用戶合理(lǐ)化使用網絡資源，充分(fēn)保障了網絡高效安全、網絡合理(lǐ)化使用和運營。

RG-S2424G特有的CPU保護控制機(jī)制，對發送到CPU的數據進行帶寬控制，以避免非法者對CPU的惡意攻擊，充分(fēn)保障了交換機(jī)的安全。

RG-S2424G爲方便不同管理(lǐ)員(yuán)的使用習慣，提供了多種形式的管理(lǐ)工(gōng)具，如(rú)SNMP、Telnet、Web和Console口等。

RG-S2424G以極高的性價比爲各類型網絡提供完善的端到端的QoS服務質量、靈活豐富的安全策略管理(lǐ)和基于策略的網管，較大(dà)化滿足高速、高效、安全、智能的企業網新需求。

支持生(shēng)成樹(shù)協議(yì)802.1D、802.1w、802.1s，完全保證快(kuài)速收斂，提高容錯能力，保證網絡的穩定運行和鏈路(lù)的負載均衡，合理(lǐ)使用網絡通道，提供冗餘鏈路(lù)利用率。

6. 網絡出口設計(jì)

校(xiào)園網出口，作(zuò)爲唯一連接外界網絡的平台，是校(xiào)園網與外界溝通交流的窗(chuāng)口，承載了各類與教學、科(kē)研、辦公、生(shēng)活息息相(xiàng)關的應用；出口平台對各應用的承載能力，将對高校(xiào)的教學、科(kē)研、辦公、生(shēng)活産生(shēng)直接和間接的影(yǐng)響。

銳捷網絡高校(xiào)校(xiào)園網出口解決方案，充分(fēn)考慮網絡出口承載的多種業務系統對網絡的要求，形成了包含外網連接層、安全防護層、應用控制層、VPN接入層、日(rì)志管理(lǐ)層在内的針對性出口網絡解決方案。

XX大(dà)學應用銳捷網絡高校(xiào)校(xiào)園網出口解決方案，在安全防護層部署1台RG-WALL1000、應用控制層部署1台RG-ACE 3000完成出口網絡的應用流量控制，而RSR-08承擔多出口負載均衡。這樣的出口設計(jì)将實現了多出口的合理(lǐ)使用，有效抵禦DDoS攻擊，實現病毒、木馬以及異常流量的阻斷。

爲了以後擴展的需要，所以采用了RG-WALL1000。RG-WALL1000采用銳捷網絡獨創的分(fēn)類算法（Classification Algorithm）設計(jì)的新一代安全産品——第三類防火(huǒ)牆，支持擴展的狀态檢測（Stateful Inspection）技術(shù)，具備高性能的網絡傳輸功能；同時在啓用動态端口應用程序(如(rú)VoIP, H323等)時，可(kě)提供強有力的安全信道。

采用銳捷獨創的分(fēn)類算法使得(de)RG-WALL産品的高速性能不受策略數和會話(huà)數多少的影(yǐng)響，産品安裝前後絲毫不會影(yǐng)響網絡速度；同時，RG-WALL在内核層處理(lǐ)所有數據包的接收、分(fēn)類、轉發工(gōng)作(zuò)，因此不會成爲網絡流量的瓶頸。另外，RG-WALL具有入侵監測功能，可(kě)判斷攻擊并且提供解決措施，且入侵監測功能不會影(yǐng)響防火(huǒ)牆的性能。RG-WALL的主要功能包括：擴展的狀态檢測功能、防範入侵及其它（如(rú)URL過濾、HTTP透明代理(lǐ)、SMTP代理(lǐ)、分(fēn)離(lí)DNS、NAT功能和審計(jì)/報告等）附加功能。

RG-ACE 3000可(kě)有效識别包括Web迅雷在的多種應用層協議(yì)，可(kě)實現基于用戶的應用帶寬限制及數據統計(jì)，使得(de)各種關鍵應用的帶寬得(de)到充分(fēn)的保障。

銳捷RSR-08路(lù)由器是高性能、通用的骨幹彙聚路(lù)由器，具有高背闆帶寬、高包轉發率、結構緊湊、端口密度高等特點，并能提供全範圍的光(guāng)纖和銅纜接口。RSR-08路(lù)由器具有強大(dà)的業務能力，可(kě)以滿足目前所有的城(chéng)域彙聚和接入需求，提供多協議(yì)标準交換 (MPLS)第2或3層隧道技術(shù)、動态帶寬控制和面向連接的數據收集體(tǐ)系。作(zuò)爲多協議(yì)标記（MPLS）PE路(lù)由器，他(tā)們使提供商的基于MPLS的業務具有高度的可(kě)擴展性和可(kě)靠性。通過使用VPLS，可(kě)以利用原有網絡和以太網基礎設施提供VOIP、互聯網接入、視頻以及多點虛拟專用網（VPN）等融合業務。

銳捷RSR-08路(lù)由器支持包括TDM、POS、ATM和千兆位以太網，速率高達OC- 48。部署在各種應用中，RSR-08路(lù)由器可(kě)用于搭建骨幹彙聚路(lù)由器和核心層網絡，爲用戶提供綜合的、高性能、功能強大(dà)的服務, 并提供高可(kě)用性網絡所需的冗餘支持。

7.VLAN劃分(fēn)

根據校(xiào)園網的實際需求，屬于同一部門(mén)的工(gōng)作(zuò)人(rén)員(yuán)可(kě)能在不同的建築物中，但(dàn)需要在一個邏輯子網内。網絡站(zhàn)點的增減，人(rén)員(yuán)的變動，無論從(cóng)網絡管理(lǐ)，還(hái)是用戶的角度來(lái)講，都(dōu)需要虛拟網技術(shù)的支持。因此在校(xiào)園網絡的整個網絡規劃當中，VLAN 的劃分(fēn)是非常重要的部分(fēn)，很好的利用VLAN技術(shù)的功能，能起到事(shì)半功倍的效果，對整個網絡的性能也是事(shì)關重要的。主要突出爲以下幾點：

VLAN 劃分(fēn)，可(kě)以避免廣播風(fēng)暴，在骨幹網絡中尤爲突出，在多媒體(tǐ)、視頻點播等很容易引起廣播信息；劃分(fēn)之後，VLAN 是廣播隻在子網中進行，不會做無意義的廣播，消除了廣播風(fēng)暴産生(shēng)的條件(jiàn)。

VLAN 劃分(fēn)，可(kě)以增加網絡的安全性，在不同的VLAN之間不能随意通訊，隻限與本子網間通訊，不會對其他(tā)的子網産生(shēng)幹擾。要進行訪問(wèn)，需要通過三層交換，這樣信息流就(jiù)得(de)到相(xiàng)當好的控制。

網絡管理(lǐ)系統采用完全獨立的IP子網和VLAN，實現更加安全的對所有網絡設備進行管理(lǐ)。建立VLAN 和IP 子網的對應關系。

提高管理(lǐ)效率，實現虛拟的工(gōng)作(zuò)組，減少站(zhàn)點的移動和改變的開銷。

VLAN 間的子網訪問(wèn)，可(kě)以在三層交換機(jī)上實現，子網間的通訊也可(kě)以在彙聚設備上實行，分(fēn)流核心交換機(jī)的三層交換，優化了組網。

根據以往網絡管理(lǐ)經驗和骨幹網絡網絡建設的實際情況，方案建議(yì)在骨幹網絡VLAN劃分(fēn)規劃以“靈活劃分(fēn)、方便管理(lǐ)”爲基本原則，以不同的使用群體(tǐ)爲VLAN範圍劃分(fēn)。這樣劃分(fēn)VLAN的好處有：

1）方便管理(lǐ)。爲了更好的進行VLAN規劃的實施，因此在網絡實施前期，要對網絡中不同區域的VLAN設置進行詳細的規劃，細化到接入層網絡，這樣在骨幹網絡這樣大(dà)型的校(xiào)園網絡中如(rú)果以用戶群體(tǐ)來(lái)劃分(fēn)VLAN的話(huà)，避免由于前期配置設備時複雜煩瑣，而且由于相(xiàng)同的用戶群體(tǐ)可(kě)能在不同的物理(lǐ)位置，導緻造成整個校(xiào)園網絡中VLAN劃分(fēn)複雜，減輕管理(lǐ)和後期維護。所以方案建議(yì)骨幹網絡劃分(fēn)VLAN方式前進行詳盡規劃，這樣既可(kě)以減少廣播域，又達到劃分(fēn)VLAN，方便管理(lǐ)的效果，對于後期網絡維護和升級具有十分(fēn)現實的意義。

2） 易于實施。按群體(tǐ)劃分(fēn)VLAN在工(gōng)程實施中就(jiù)十分(fēn)的方便，不會造成VLAN劃分(fēn)複雜失誤而使得(de)網絡出現不通的現象，便于工(gōng)程快(kuài)速實施和網絡中心整體(tǐ)規劃。

3）VLAN間路(lù)由采用三層交換設備進行VLAN路(lù)由。以便不同VLAN間進行訪問(wèn)，對于學校(xiào)重要網絡資源，需要進行權限訪問(wèn)的時候，建議(yì)采用專家級ACL（可(kě)同時基于VLAN号、以太網類型、MAC地址、IP地址、TCP/UDP端口号、時間靈活組合限定的硬件(jiàn)ACL）來(lái)進行訪問(wèn)權限設定，保障重要資料不被非法訪問(wèn)。

8.IP地址劃分(fēn)

IP地址的統一、合理(lǐ)規劃以及整個網絡向IPv6的演進是關系到整體(tǐ)分(fēn)層網絡穩定、快(kuài)速收斂的關鍵，也是某職業技術(shù)學院校(xiào)園網網絡設計(jì)中的重要一環。IP地址規劃的好壞，不僅影(yǐng)響到網絡路(lù)由協議(yì)算法的效率，更影(yǐng)響到網絡的性能和穩定以及網絡的擴展和管理(lǐ)，也必将直接影(yǐng)響到相(xiàng)關新業務的開拓和網絡應用的進一步可(kě)持續性發展。

劃分(fēn)時注意使用VLAN，充分(fēn)節約IP地址，使路(lù)由交換機(jī)上能夠采用聚合進行路(lù)由的合并，減少路(lù)由表的大(dà)小。出口到互聯網可(kě)以采用NAT防火(huǒ)牆上做地址轉換實現。校(xiào)區内接入到同一彙聚層交換機(jī)的區域建議(yì)采用連續IP地址段，以便做路(lù)由彙聚。