校園網絡解決方案

校園網絡設計

1.絡拓撲設計

局域網采用(yòng)星型網絡拓樸結構，星型拓樸結構為(wèi)現在較為(wèi)流行的一種網絡結構，它是以一台中(zhōng)心處理(lǐ)機（通信設備）為(wèi)主而構成的網絡，其它入網機器僅與該中(zhōng)心處理(lǐ)機之間有(yǒu)直接的物(wù)理(lǐ)鏈路，中(zhōng)心處理(lǐ)機采用(yòng)分(fēn)時或輪詢的方法為(wèi)入網機器服務(wù)，所有(yǒu)的數據必須經過中(zhōng)心處理(lǐ)機。由于所有(yǒu)節點的往外傳輸都必須經過中(zhōng)央節點來處理(lǐ)，因此，對中(zhōng)央節點的要求比較高。

優點是網絡結構簡單，易于維護，便于管理(lǐ)（集中(zhōng)式）；每台入網機均需物(wù)理(lǐ)線(xiàn)路與處理(lǐ)機互連，線(xiàn)路利用(yòng)率低；處理(lǐ)機負載重（需處理(lǐ)所有(yǒu)的服務(wù)），因為(wèi)任何兩台入網機之間交換信息，都必須通過中(zhōng)心處理(lǐ)機；入網主機故障不影響整個網絡的正常工(gōng)作(zuò)。對該網絡支持的設備生産(chǎn)廠商(shāng)有(yǒu)較好的技(jì )術支持。

局域網内的所有(yǒu)工(gōng)作(zuò)節點通過雙絞線(xiàn)與交換機相連形成一個星型網絡。辦(bàn)公(gōng)電(diàn)腦建議采用(yòng)品牌的商(shāng)用(yòng)機，商(shāng)用(yòng)機運行比較穩定，而且比較耐用(yòng)，運算速度較快，較适于開發使用(yòng)。

根據我們的設計，大學(xué)網絡拓撲結構圖如圖1所示。

圖1 大學(xué)網絡拓撲結構圖

2.網絡層次設計

從邏輯上，大型網絡可(kě)分(fēn)為(wèi)核心層、分(fēn)布層和接入層，每層都有(yǒu)其特點。網絡層次如圖2所示

圖2 網絡層次圖

層次化設計的優點可(kě)以總結為(wèi)如下幾點：

1）可(kě)擴展性：因為(wèi)網絡可(kě)模塊化增長(cháng)而不會遇到問題；

2）簡單性：通過将網絡分(fēn)成許多(duō)小(xiǎo)單元，降低了網絡的整體(tǐ)複雜性，使故障排除更容易，能(néng)隔離廣播風暴的傳播、防止路由循環等潛在的問題；

3）設計的靈活性：使網絡容易升級到最新(xīn)的技(jì )術，升級任意層次的網絡不會對其他(tā)層次造成影響，無需改變整個環境；

4）可(kě)管理(lǐ)性：層次結構使單個設備的配置的複雜性大大降低，更易管理(lǐ)。

3.萬兆核心解決方案

網絡中(zhōng)心節點及其它核心節點作(zuò)為(wèi)校園網絡系統的心髒，必須提供全線(xiàn)速的數據交換，當網絡流量較大時，對關鍵業務(wù)的服務(wù)質(zhì)量提供保障。另外作(zuò)為(wèi)整個網絡的交換中(zhōng)心，在保證高性能(néng)、無阻塞交換的同時，還必須保證穩定可(kě)靠的運行。

因此在網絡中(zhōng)心的設備選型和結構設計上必須考慮整體(tǐ)網絡的高性能(néng)和高可(kě)靠性。具(jù)體(tǐ)來說核心節點的交換機有(yǒu)兩個基本要求：

1）高密度端口情況下，還能(néng)保持各端口的線(xiàn)速轉發；

2）關鍵模塊必須冗餘，如管理(lǐ)引擎、電(diàn)源、風扇。

由于校園網建設最終必将采用(yòng)萬兆技(jì )術，因此需要考慮到核心設備對萬兆的支持能(néng)力。

綜上所述，主幹核心交換機屬于高端系列的産(chǎn)品，所以在本方案中(zhōng)，核心交換機建議采用(yòng)多(duō)業務(wù)萬兆核心路由交換機。可(kě)以根據用(yòng)戶的需求靈活配置，靈活構建彈性可(kě)擴展的網絡。多(duō)業務(wù)萬兆核心路由交換機高背闆帶寬和二/三層包轉發速率可(kě)為(wèi)用(yòng)戶提供高速無阻塞的交換，強大的交換路由功能(néng)、安(ān)全智能(néng)技(jì )術可(kě)為(wèi)用(yòng)戶提供完整的端到端解決方案，是大型網絡核心骨幹交換機的理(lǐ)想選擇。因此網絡主幹全部采用(yòng)萬兆，末端用(yòng)戶樓棟全部采用(yòng)千兆接入萬兆校園網，采用(yòng)3台萬兆核心交換機RG-S6810E組成萬兆核心環網。實現網絡7X24小(xiǎo)時的不間斷運行，核心骨幹網形成的萬兆核心環網，使得整個核心層網絡即使在任意一台核心交換機故障、或任意一條鏈路斷掉的情況下依然可(kě)以保障網絡的正常運行。

RG-S6810E是銳捷網絡推出的基于NP+ASIC構架的新(xīn)一代多(duō)業務(wù)萬兆核心路由交換機，RG-S6800E在保障高性能(néng)大容量的基礎上提供強大的安(ān)全防護能(néng)力，并且擁有(yǒu)業務(wù)按需疊加擴展能(néng)力，達到業務(wù)和性能(néng)并重的設計需求。目前提供10豎插槽設計和6橫插槽設計兩種主機：RG-S6810E和RG-S6806E。

RG-S6800E系列多(duō)業務(wù)萬兆核心路由交換機提供2.4T/1.2T背闆帶寬，并支持将來擴展到4.8T/2.4T的能(néng)力，高達857Mpps/428Mpps的二/三層包轉發速率可(kě)為(wèi)用(yòng)戶提供高速無阻塞的數據交換，強大的交換路由功能(néng)、安(ān)全智能(néng)技(jì )術可(kě)同銳捷各系列交換機配合，為(wèi)用(yòng)戶提供完整的端到端解決方案，是大型網絡核心骨幹和大流量節點交換機的理(lǐ)想選擇。

RG-S6810E交換機通過先進的第三代高性能(néng)引擎可(kě)硬件支持策略路由、IPV6等協議，并可(kě)擴展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等豐富的業務(wù)功能(néng)，滿足客戶環境靈活而複雜的不同應用(yòng)需求。

在此方案中(zhōng)，校區(qū)網絡中(zhōng)心采用(yòng)RG-S6810E多(duō)業務(wù)萬兆核心路由交換機作(zuò)為(wèi)核心交換機。核心層交換機跟彙聚接入層交換機之間的千兆鏈路可(kě)以捆綁，從而實現帶寬的靈活擴展。

4.萬兆骨幹網解決方案

彙聚層提供基于統一策略的互連性。它是核心層和接入層的分(fēn)界點，定義了網絡的邊界，對數據包進行複雜的運算。在大中(zhōng)型園區(qū)網絡環境中(zhōng)，彙聚層主要考慮的是如何保證提供浪量控制及安(ān)全控制的策略。通常需要考慮的主要因素有(yǒu)QoS、靜态或者動态路由的選擇、地址過濾等。

而在設備選型方面，彙聚層的設備對網絡下層VLAN信息和生成樹協議具(jù)有(yǒu)收斂功能(néng)，能(néng)實現簡單的用(yòng)戶管理(lǐ)和控制功能(néng)，如用(yòng)戶的安(ān)全接入、下層網絡不同層次的屏蔽和接入工(gōng)作(zuò)，對不同物(wù)理(lǐ)鏈路、不同特性的網絡設備進行統一管理(lǐ)。因此彙聚層網絡設備要求具(jù)備多(duō)物(wù)理(lǐ)接口來完成衆多(duō)設備的接入工(gōng)作(zuò)。

綜上所述，彙聚層采用(yòng)七台萬兆核心交換機RG-S6506E擔當圖書館、綜合教學(xué)樓、院系實驗樓、行政辦(bàn)公(gōng)樓、外事活動中(zhōng)心、科(kē)技(jì )中(zhōng)心、學(xué)生宿舍公(gōng)寓以及區(qū)運動區(qū)域彙聚；通過6條萬兆鏈路連接至圖書館、綜合教學(xué)樓、院系實驗樓、行政辦(bàn)公(gōng)樓、科(kē)技(jì )中(zhōng)心、學(xué)生宿舍公(gōng)寓以及區(qū)運動區(qū)的6台彙聚交換機RG-S6506E上是因為(wèi)這幾條鏈路上數據信息點比較多(duō),傳輸數據量也比較大，。使用(yòng)2條千兆鏈路連接到外事活動中(zhōng)心彙聚交換機RG-S6506上。

RG-S6506是銳捷網絡推出的萬兆骨幹路由交換機，擁有(yǒu)6個模塊擴展槽，提供管理(lǐ)模塊冗餘，支持萬兆、千兆和百兆模塊線(xiàn)速轉發，可(kě)以根據用(yòng)戶的需求靈活配置，構建彈性可(kě)擴展的現代IP網絡。”

RG-S6506交換機高達768G的背闆帶寬和286Mpps的二/三層包轉發速率可(kě)為(wèi)用(yòng)戶提供高速無阻塞的線(xiàn)速交換，強大的交換路由功能(néng)、安(ān)全智能(néng)技(jì )術可(kě)同銳捷各系列交換機配合，為(wèi)用(yòng)戶提供完整的端到端解決方案，是小(xiǎo)型網絡核心和大型網絡骨幹交換機的理(lǐ)想選擇。

5.千兆接入解決方案

接入層的主要功能(néng)是為(wèi)最終用(yòng)戶提供對園區(qū)網絡訪問的途徑。本層也可(kě)以提供進一步的調整，如Access-list Filtering等。在園區(qū)網絡環境中(zhōng)，接入層主要提供如下功能(néng)：帶寬共享、交換帶寬、MAC層過濾、微分(fēn)網段等。

在廣域網環境中(zhōng)，接入層主要提供通過Frame Relay、ISDN、Leased Line連入遠(yuǎn)程節點。

接入層網絡由樓棟交換節點和樓層交換節點組成，接入層網絡應該可(kě)以滿足各種客戶的接入需要，而且能(néng)夠實現客戶化的接入策略，業務(wù)QOS保證，用(yòng)戶接入訪問控制等等。

接入層交換機亦稱外圍交換機或邊緣交換機，一般都屬于可(kě)堆疊/可(kě)擴充式固定端口交換機，應具(jù)備下列要求：

1）端口選擇：對端口的選擇包括兩個方面，一個是端口數量，一個是端口類型。而且可(kě)以堆疊、易擴展，以便由于信息點的增加而從容地進行擴容。

2）高性能(néng)。作(zuò)為(wèi)大型網絡的二級交換設備，應支持千兆/百兆高速上連以及同級設備堆疊，當然還要注意與核心交換機品牌的一緻性；如果用(yòng)作(zuò)小(xiǎo)型網絡的中(zhōng)央交換機，要求具(jù)有(yǒu)較高的背闆帶寬和三層交換能(néng)力。

3）性價比高。在滿足網絡性能(néng)要求的同時，達到最高的性價比，使用(yòng)方便簡單。

4）支持多(duō)級别網絡管理(lǐ)。

樓層交換節點采用(yòng)千兆智能(néng)堆疊交換機，提供智能(néng)的流分(fēn)類和完善的QoS特征。為(wèi)各類型網絡提供完善的端到端的服務(wù)質(zhì)量、豐富的安(ān)全設置和基于策略的網管，最大化滿足高速、融合、安(ān)全的園區(qū)網新(xīn)需求；本方案中(zhōng)各接入層交換機通過千兆鏈路上聯到各彙聚層設備，對下聯的桌面設備提供全雙工(gōng)的百兆連接，為(wèi)各類用(yòng)戶提供無阻塞的交換性能(néng)。因此采用(yòng)數十台RG-S2424G系列安(ān)全智能(néng)交換機擔當網絡接入。

RG-S2424G是銳捷網絡推出的全千兆安(ān)全智能(néng)接入交換機，在提供高性能(néng)、高帶寬的同時，提供智能(néng)的流分(fēn)類、完善的服務(wù)質(zhì)量（QoS）和組播應用(yòng)管理(lǐ)特性，并可(kě)以根據網絡的實際使用(yòng)環境，實施靈活多(duō)樣的安(ān)全控制策略，有(yǒu)效防止和控制病毒傳播和網絡攻擊，控制非法用(yòng)戶接入和使用(yòng)網絡，保證合法用(yòng)戶合理(lǐ)化使用(yòng)網絡資源，充分(fēn)保障了網絡高效安(ān)全、網絡合理(lǐ)化使用(yòng)和運營。

RG-S2424G特有(yǒu)的CPU保護控制機制，對發送到CPU的數據進行帶寬控制，以避免非法者對CPU的惡意攻擊，充分(fēn)保障了交換機的安(ān)全。

RG-S2424G為(wèi)方便不同管理(lǐ)員的使用(yòng)習慣，提供了多(duō)種形式的管理(lǐ)工(gōng)具(jù)，如SNMP、Telnet、Web和Console口等。

RG-S2424G以極高的性價比為(wèi)各類型網絡提供完善的端到端的QoS服務(wù)質(zhì)量、靈活豐富的安(ān)全策略管理(lǐ)和基于策略的網管，最大化滿足高速、高效、安(ān)全、智能(néng)的企業網新(xīn)需求。

支持生成樹協議802.1D、802.1w、802.1s，完全保證快速收斂，提高容錯能(néng)力，保證網絡的穩定運行和鏈路的負載均衡，合理(lǐ)使用(yòng)網絡通道，提供冗餘鏈路利用(yòng)率。

6. 網絡出口設計

校園網出口，作(zuò)為(wèi)唯一連接外界網絡的平台，是校園網與外界溝通交流的窗口，承載了各類與教學(xué)、科(kē)研、辦(bàn)公(gōng)、生活息息相關的應用(yòng)；出口平台對各應用(yòng)的承載能(néng)力，将對高校的教學(xué)、科(kē)研、辦(bàn)公(gōng)、生活産(chǎn)生直接和間接的影響。

銳捷網絡高校校園網出口解決方案，充分(fēn)考慮網絡出口承載的多(duō)種業務(wù)系統對網絡的要求，形成了包含外網連接層、安(ān)全防護層、應用(yòng)控制層、VPN接入層、日志(zhì)管理(lǐ)層在内的針對性出口網絡解決方案。

XX大學(xué)應用(yòng)銳捷網絡高校校園網出口解決方案，在安(ān)全防護層部署1台RG-WALL1000、應用(yòng)控制層部署1台RG-ACE 3000完成出口網絡的應用(yòng)流量控制，而RSR-08承擔多(duō)出口負載均衡。這樣的出口設計将實現了多(duō)出口的合理(lǐ)使用(yòng)，有(yǒu)效抵禦DDoS攻擊，實現病毒、木(mù)馬以及異常流量的阻斷。

為(wèi)了以後擴展的需要，所以采用(yòng)了RG-WALL1000。RG-WALL1000采用(yòng)銳捷網絡獨創的分(fēn)類算法（Classification Algorithm）設計的新(xīn)一代安(ān)全産(chǎn)品——第三類防火牆，支持擴展的狀态檢測（Stateful Inspection）技(jì )術，具(jù)備高性能(néng)的網絡傳輸功能(néng)；同時在啓用(yòng)動态端口應用(yòng)程序(如VoIP, H323等)時，可(kě)提供強有(yǒu)力的安(ān)全信道。

采用(yòng)銳捷獨創的分(fēn)類算法使得RG-WALL産(chǎn)品的高速性能(néng)不受策略數和會話數多(duō)少的影響，産(chǎn)品安(ān)裝(zhuāng)前後絲毫不會影響網絡速度；同時，RG-WALL在内核層處理(lǐ)所有(yǒu)數據包的接收、分(fēn)類、轉發工(gōng)作(zuò)，因此不會成為(wèi)網絡流量的瓶頸。另外，RG-WALL具(jù)有(yǒu)入侵監測功能(néng)，可(kě)判斷攻擊并且提供解決措施，且入侵監測功能(néng)不會影響防火牆的性能(néng)。RG-WALL的主要功能(néng)包括：擴展的狀态檢測功能(néng)、防範入侵及其它（如URL過濾、HTTP透明代理(lǐ)、SMTP代理(lǐ)、分(fēn)離DNS、NAT功能(néng)和審計/報告等）附加功能(néng)。

RG-ACE 3000可(kě)有(yǒu)效識别包括Web迅雷在的多(duō)種應用(yòng)層協議，可(kě)實現基于用(yòng)戶的應用(yòng)帶寬限制及數據統計，使得各種關鍵應用(yòng)的帶寬得到充分(fēn)的保障。

銳捷RSR-08路由器是高性能(néng)、通用(yòng)的骨幹彙聚路由器，具(jù)有(yǒu)高背闆帶寬、高包轉發率、結構緊湊、端口密度高等特點，并能(néng)提供全範圍的光纖和銅纜接口。RSR-08路由器具(jù)有(yǒu)強大的業務(wù)能(néng)力，可(kě)以滿足目前所有(yǒu)的城域彙聚和接入需求，提供多(duō)協議标準交換 (MPLS)第2或3層隧道技(jì )術、動态帶寬控制和面向連接的數據收集體(tǐ)系。作(zuò)為(wèi)多(duō)協議标記（MPLS）PE路由器，他(tā)們使提供商(shāng)的基于MPLS的業務(wù)具(jù)有(yǒu)高度的可(kě)擴展性和可(kě)靠性。通過使用(yòng)VPLS，可(kě)以利用(yòng)原有(yǒu)網絡和以太網基礎設施提供VOIP、互聯網接入、視頻以及多(duō)點虛拟專用(yòng)網（VPN）等融合業務(wù)。

銳捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太網，速率高達OC- 48。部署在各種應用(yòng)中(zhōng)，RSR-08路由器可(kě)用(yòng)于搭建骨幹彙聚路由器和核心層網絡，為(wèi)用(yòng)戶提供綜合的、高性能(néng)、功能(néng)強大的服務(wù), 并提供高可(kě)用(yòng)性網絡所需的冗餘支持。

7.VLAN劃分(fēn)

根據校園網的實際需求，屬于同一部門的工(gōng)作(zuò)人員可(kě)能(néng)在不同的建築物(wù)中(zhōng)，但需要在一個邏輯子網内。網絡站點的增減，人員的變動，無論從網絡管理(lǐ)，還是用(yòng)戶的角度來講，都需要虛拟網技(jì )術的支持。因此在校園網絡的整個網絡規劃當中(zhōng)，VLAN 的劃分(fēn)是非常重要的部分(fēn)，很(hěn)好的利用(yòng)VLAN技(jì )術的功能(néng)，能(néng)起到事半功倍的效果，對整個網絡的性能(néng)也是事關重要的。主要突出為(wèi)以下幾點：

VLAN 劃分(fēn)，可(kě)以避免廣播風暴，在骨幹網絡中(zhōng)尤為(wèi)突出，在多(duō)媒體(tǐ)、視頻點播等很(hěn)容易引起廣播信息；劃分(fēn)之後，VLAN 是廣播隻在子網中(zhōng)進行，不會做無意義的廣播，消除了廣播風暴産(chǎn)生的條件。

VLAN 劃分(fēn)，可(kě)以增加網絡的安(ān)全性，在不同的VLAN之間不能(néng)随意通訊，隻限與本子網間通訊，不會對其他(tā)的子網産(chǎn)生幹擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當好的控制。

網絡管理(lǐ)系統采用(yòng)完全獨立的IP子網和VLAN，實現更加安(ān)全的對所有(yǒu)網絡設備進行管理(lǐ)。建立VLAN 和IP 子網的對應關系。

提高管理(lǐ)效率，實現虛拟的工(gōng)作(zuò)組，減少站點的移動和改變的開銷。

VLAN 間的子網訪問，可(kě)以在三層交換機上實現，子網間的通訊也可(kě)以在彙聚設備上實行，分(fēn)流核心交換機的三層交換，優化了組網。

根據以往網絡管理(lǐ)經驗和骨幹網絡網絡建設的實際情況，方案建議在骨幹網絡VLAN劃分(fēn)規劃以“靈活劃分(fēn)、方便管理(lǐ)”為(wèi)基本原則，以不同的使用(yòng)群體(tǐ)為(wèi)VLAN範圍劃分(fēn)。這樣劃分(fēn)VLAN的好處有(yǒu)：

1）方便管理(lǐ)。為(wèi)了更好的進行VLAN規劃的實施，因此在網絡實施前期，要對網絡中(zhōng)不同區(qū)域的VLAN設置進行詳細的規劃，細化到接入層網絡，這樣在骨幹網絡這樣大型的校園網絡中(zhōng)如果以用(yòng)戶群體(tǐ)來劃分(fēn)VLAN的話，避免由于前期配置設備時複雜煩瑣，而且由于相同的用(yòng)戶群體(tǐ)可(kě)能(néng)在不同的物(wù)理(lǐ)位置，導緻造成整個校園網絡中(zhōng)VLAN劃分(fēn)複雜，減輕管理(lǐ)和後期維護。所以方案建議骨幹網絡劃分(fēn)VLAN方式前進行詳盡規劃，這樣既可(kě)以減少廣播域，又(yòu)達到劃分(fēn)VLAN，方便管理(lǐ)的效果，對于後期網絡維護和升級具(jù)有(yǒu)十分(fēn)現實的意義。

2） 易于實施。按群體(tǐ)劃分(fēn)VLAN在工(gōng)程實施中(zhōng)就十分(fēn)的方便，不會造成VLAN劃分(fēn)複雜失誤而使得網絡出現不通的現象，便于工(gōng)程快速實施和網絡中(zhōng)心整體(tǐ)規劃。

3）VLAN間路由采用(yòng)三層交換設備進行VLAN路由。以便不同VLAN間進行訪問，對于學(xué)校重要網絡資源，需要進行權限訪問的時候，建議采用(yòng)專家級ACL（可(kě)同時基于VLAN号、以太網類型、MAC地址、IP地址、TCP/UDP端口号、時間靈活組合限定的硬件ACL）來進行訪問權限設定，保障重要資料不被非法訪問。

8.IP地址劃分(fēn)

IP地址的統一、合理(lǐ)規劃以及整個網絡向IPv6的演進是關系到整體(tǐ)分(fēn)層網絡穩定、快速收斂的關鍵，也是某職業技(jì )術學(xué)院校園網網絡設計中(zhōng)的重要一環。IP地址規劃的好壞，不僅影響到網絡路由協議算法的效率，更影響到網絡的性能(néng)和穩定以及網絡的擴展和管理(lǐ)，也必将直接影響到相關新(xīn)業務(wù)的開拓和網絡應用(yòng)的進一步可(kě)持續性發展。

劃分(fēn)時注意使用(yòng)VLAN，充分(fēn)節約IP地址，使路由交換機上能(néng)夠采用(yòng)聚合進行路由的合并，減少路由表的大小(xiǎo)。出口到互聯網可(kě)以采用(yòng)NAT防火牆上做地址轉換實現。校區(qū)内接入到同一彙聚層交換機的區(qū)域建議采用(yòng)連續IP地址段，以便做路由彙聚。