理工大学大学城校区网络设计.doc

1、摘 要校园网已经成为高等院校最重要的学习和生活设施。随着网络的高速发展，网络的安全问题日益突出。校园网一个典型的特征就是应用非常丰富，包括软件下载、视频点播等，造成网络的负载非常重，学校必须提供高带宽的网络来满足不断产生的需求，同时攻击网络的病毒不断泛滥，以及学生“好事者”也会有意的攻击网络，他们往往并非为了某种“恶毒”的目的来攻击网络，而是出于好奇或者“表现”。如此繁重的网络一旦因攻击而造成瘫痪，损失将会是很大的。因此，作为校园网的管理方，网管希望网络即便有人攻击也能安全无事，随时都可以屏蔽不老实的用户；校方希望安全运营，不会出现网络瘫痪或者计费系统故障。关键词；网络设计；网络安全目录一.背

2、景及环境简介：7二. 历史变迁:7三总体目标：7四网络需求分析:84.1.校园网现状及问题:94.2.发展趋势:104.3.遵循原则:104.4.带宽与安全 华南理工的双重需求:114.5.五层的结构+万兆核心:12五.网络安全，可靠性分析145.1网络可用性，可靠性需求145.2网络安全性需求14六. 主要设计方案:166.1网络体系结构:161.网络体系(Network Architecture)162.网络体系结构163.计算机的网络结构164.网络协议175.分层原则176.OSI/RM各层概述:186.2 网络冗余:191.硬件架构202.软件架构203.协议多重保护206.3设备选

3、型，网络布线及网络划分:211.主干技术选择212.网络布线213.网络系统平台的选择224.设备选型225.网络布线系统256.IP 地址分配257VLAN划分：268.路由设计基础:279.网络系统安全设计:2910必须附载UPS 不间断电源:316.4.设计方案一:331、校园网络中心的设计及网络核心层设计332、层网络系统设计一(3726S千兆接入)343、接入层网络系统设计二(2026B百兆接入)344、骨干网建设：345、接入网设计：346、边界网设计：35七总结:37华南理工大学大学城校区网络设计杨波 北京城市学院 计算机网络技术专业 06网络专班一.背景及环境简介：华南理工大学

4、成立于1934年,是直属教育部的全国重点大学, 华南理工大学坐落在南方名城广州。校园分为两个校区，北校区位于广州市天河区石牌高校区，南校区位于广州市番禺区广州大学城内。学校占地面积4417亩(其中南校区1677亩)。北校区湖光山色交相辉映，绿树繁花香飘四季，民族式建筑与现代化楼群错落有致，环境优美清新，文化底蕴深厚，是教育部命名的“文明校园”。南校区是一个环境优美、设施先进、管理完善、制度创新的现代化校园，是莘莘学子求学的理想之地。学校办学条件良好，教学环境优良。现有固定资产26.3亿元，其中教学科研仪器设备资产总值6.8亿元。校舍总建筑面积163万平方米。校内设有中国教育和科研计算机网华南网

5、络中心、广东省教育和科研计算机网络中心。学校教学实验设备齐全，建有十大基础教学实验中心，以及一批现代化实验中心。图书馆面积6.7万平方米，藏书300万册，具有Horizon图书馆自动化管理系统，拥有国外重要数据库如Ei Village、PQDD等，正稳步向数字化图书馆发展。学生文化体育设施齐全，建有国际标准的运动场、体育馆、学生文体活动中心、塑胶网球场，学生田径队、足球队、篮球队、排球队、游泳队、乒乓球队等多次参加全国和省市的比赛并取得优良的成绩。一年一度的学生科技文化艺术节和学生社会实践活动，成功地与社会、企业结合，成为提高学生综合素质的重要环节。二. 历史变迁:学校原名华南工学院，组建于1

6、952年全国高等学校院系调整时期，由包括中山大学,岭南大学,湖南大学,广西大学等几所当时中国著名大学在内的中南5省12所院校的有关系科调整合并而成。1960年，学校被评为全国文教战线先进单位，同年成为全国重点大学；1981年经国务院批准为首批博士和硕士学位授予单位；1988年1月更名为华南理工大学；1995年通过“211工程”部门预审，进入国家面向21世纪重点建设的大学行列；1999年底，通过教育部本科教学工作优秀评价，成为全国第一批“本科教学优秀学校”；同年，经科技部、教育部批准，成立国家大学科技园；2000年，经批准成立研究生院；2001年，实行新一轮部省重点共建，学校进入国家高水平大学建

7、设行列，成为“985工程”大学。三总体目标：在知识经济和数字化生存时代，校园网在资源共享、知识传播、育人管理等方面发挥越来越重要的作用，因此其设计建设要本着高起点而又经济实用的标准。具体来说，应是一个以宽带IP网为目标建立数据、语音、视频三网合一的一体化网络；为提高网络可靠性及安全性,需要在主干网采用光纤布线，校园网应实现虚拟局域网（VLAN）的功能，以保证全网的良好性能及网络安全性；主干网交换机应具有很高的包交换速度，整个网络应具有高速的三层交换功能；主干网络应该采 用成熟的、可靠的快速以太网和千兆位以太网技术作为校园网主干；校园网应选用先进的网管软件，建立完善的网络管理体系；在设备方面，应

8、选择有校园网成功案例的网络厂商的设备，同时为Internet、拨号用户和移动用户提供接口；网络还应具有良好的扩展性。华南理工大学大学城校区校园网主要在一期、二期工程的基础之上全面提升整个校园网的建设工程，实现整个校园内部教学、科研、交流和办公需要，全面提升整个学校信息化建设的整体水平，提升学校整体的科研、教学、管理效率。归纳起来校园网建设的需求主要有：1实现校园网内部实验楼、教学楼、主楼、辅楼等单位联网；2实现校园网内部所有用户的安全接入，保证整个校园网内部网络用户高速、安全接入，对一些非法用户进行拒绝；3建立高速、安全、高效的网络基础支持平台，为实现“数字化校园”创造条件；4实现校园网系统“

9、以网养网”，主要通过校园网自身的运营对所有学生、教职工 用户实现计费、管理等功能，主要采用802.1X+DCBI2000全网认证计费方案。四网络需求分析:华南理工是全国知名院校，师生数万人，面临着校园网带宽的不断挑战，随着网络应用的丰富，黑客、病毒泛滥造成的一次次惨重代价，校园网的安全性受到前所未有的关注。校园网的建设和安全改造始终是一个热点,因此我们必须考虑周全来建设这个校园网. 我国校园网的发展已经走过了12个年头。尤其是1999年以后，随着高校扩招，在校学生数量激增，再加上因特网在我国的迅速普及、国家大力推进信息化等因素的激励，许多高校校园网，尤其是“985”高校及“211”高校，均取得

10、了跨越式的发展，已成为高校的重要基础设施。不可否认，“数字化校园”的建设及可持续发展是高校教育信息化中讨论的主要问题，许多高校都根据学校的自身情况制定了建设规划。那么，校园网作为“数字化校园”的关键设施，具有哪些主要特点，又存在哪些主要问题，如何设计（优化）才能满足其建设及可持续发展的要求？虽然表面上看，经过这么多年的建设和经营，校园网基础设施已较为完备，但是我们认为还是有必要客观审视校园网的现状，并探讨其未来的发展趋势。校园网建设的总体需求：1. 先进性和实用性原则2. 高性能原则3. 可靠性原则4. 经济性原则5. 可扩展性原则6. 易管理性原则7. 安全性原则8. 标准化原则校园网建设的

11、具体要求:1. 校本部各大楼与网络中心的网络带宽为1000Mbps，用户主机到桌面交换机的网络带宽为100Mbps。2. 校园网到Internet的出口带宽为10Mbps。3. 远程分校与校本部的网络带宽为2Mbps。4. 办公楼中的财务处、党委办公室等机构。这些级过必须处在一个独立的局域网内，以保证网络的安全。5. 对学生宿舍的计算机只提供WWW、E-mail、FTP的服务。4.1.校园网现状及问题:在校园网建设的初期及高速成长期，网络建设解决的主要问题是“圈地”及用户接入，校园网发展的轨迹大致是“行政办公及教学科研区学生及教工宿舍区新校区”。受制于这个主要矛盾，再加上当时的网络技术、校园网

12、管理人员技术能力和资金投入等其他条件的约束，这个阶段校园网的发展思路是“摸着石头过河”，主要提供面向“连接”的业务，其主要特点及问题具体如下： 1. 规模大:目前许多高校的校园网已覆盖多个校区，入网计算机数接近万台，部分重点高校的入网计算机数已逾2万台（如中山大学校园网已覆盖四个校区，达到35000台的规模），可以说，校园网已从最初的局域范围的、仅有上千台入网计算机的小规模网络发展为当前的广域范围的、具有上万台入网计算机的大规模（largescale）网络。 2. 缺乏整体设计:由于前述的原因，再加上同一时期高校出现的“合并”、“扩展”等不可预测现象，以及因特网新应用（如P2P、流媒体、即时通

13、信）和异常流量（如蠕虫、垃圾邮件）的不断涌现，这些都使得在网络设计时许多需求难以准确定义（如中山大学在2001年的网络设计中仅考虑了广州南校区和珠海校区，但是2002年与中山医科大学合并，2004年又在大学城建设了广州东校区，并且当时网络安全问题也并不突出）。因而目前的校园网大多都缺乏整体设计，尤其是缺乏层次化设计。一个最典型的例子就是将一台三层骨干交换机同时担任校园网核心、接入网聚合（接入网为两层结构，三层路由接口也终结在此台三层交换机上）、边界网路由设备等，这样的设计虽然节省了投资，但是可靠性极差，无法进行故障隔离。 3. 过分使用二层VLAN: 许多校园网设计最初只是针对一个小规模的网络

14、，二层VLAN技术作为一项上世纪九十年代中后期的网络的重要发明，被广泛使用在同一台以太网交换机上以解决地域分割的问题。后来即便是校园网规模不断扩大，校园网的核心已由若干台设备构成，但是由于二层VLAN的便利性，这种技术被不恰当地过分使用，目前在许多校园网中均存在若干二层VLAN穿越核心网、骨干网的现象。在二层网络中，部分用户终端故障可能会导致广播风暴的发生等，如果二层VLAN穿越核心网、骨干网，就会导致整网的不稳定性，并且也加大了故障定位及隔离的难度。4. 部分骨干链路容量不足: 目前在校园网内绝大部分区域已实现百兆到桌面，然后由于建设时间的差异性，部分骨干链路依然是千兆甚至百兆，这使得超载比

15、严重不合理，高峰时拥塞严重。 5. 接入网管理困难: 部分接入网由于设备的原因还无法实现基于用户的网络接入管理（如802.1X）。 6. 校园网出口存在瓶颈 校园网的出口资源与用户的外网访问需求之间存在严重矛盾，尤其是高峰期（21:30p.m.0:30a.m.）的电信网边界基本处于饱和状态。 7. 流量类型复杂: 在校园网中不仅有普通业务，这个与一般的ISP网络差异不大，如传统的WEB、EMAIL、FTP等，还有新出现的P2P、VoIP、网络游戏、即时通信和流媒体等；还有校园网关键业务，如校务管理系统、数字化教学、高性能计算等，这是各个学校特有的应用，其应用水平的高低可以充分体现“数字化校园”

16、建设的内涵。此外，校园网中的异常流量（如扫描、蠕虫、病毒）也不可忽视。 8. 新业务支撑能力不足: 校园网的初期业务主要考虑的是在单纯的企业网环境中基于IPv4的业务，因而许多核心网、骨干网设备均缺乏对网络安全（如ACL）、网络管理（如Netflow/Sflow）、路由协议（如BGP）、组播、IPv6及MPLS等新业务的支持。 4.2.发展趋势:目前，一方面，随着高校招生人数的逐步稳定、校园（校区）地域分布及规划的逐步确定及明朗，可以预见：在相当长的一段时间内（510年）校园网的规模将会保持稳定或可估算；另一方面，校园网上承载的流量及业务已基本清晰，网络技术也进入一个稳定发展期，我们认为校园网

17、将从过去的小规模的、粗放式管理的、面向“连接”业务的网络（Connection Oriented Network）演化为一个大规模的、精细化管理的、面向“服务”业务的网络（Service Oriented Network）.可运营化给用户提供一个高可用、高安全、高性能的网络环境；实现服务差异化，能够提供不同类型用户的服务水平承诺（SLA）.多业务化不仅能承载普通的用户级业务，如WEB、EMAIL、FTP、P2P、VoIP、网络游戏及时通信、流媒体等；还能提供高级的系统级业务，如异常流量识别及阻塞、流量监测、流量整形、关键业务QoS保证、Native IPv6或IPv6隧道接入、跨校区MPLS

18、VPN等.4.3.遵循原则:在华南理工大学大学城校区校园网总体功能设计和建设中主要遵循以下原则： 实用性。 建设局域网的目的是满足用户的需求，用户的需求是规划的基础。在没有充分理解用户需求的情况下进行网络设计，最终必然不能达到建设要求。网络往往需要满足各个用户的不同需求，从而满足整个组织机构的所有业务需求。实用性也就是组网设计以人为本。 可扩充性。 组网设计的时候，应该关注未来的技术发展方向，不采用限制新技术发展的技术标准。比如多播是未来的发展趋势，组网设计者应该保证在新技术得到普及的时候，所设计的局域网无须将现有设备全部撤换，而只需要具有网络扩展和升级选项的硬件和软件就可实现新的功能。 开放

19、性。 组网设计应采用当前最新国际标准的软硬件以及开放的技术、开放的结构、开放的系统组件和用户接口，使网络系统具备与多种协议计算机通信网络互联的特性，为未来的横向扩展提供必要的条件。 成本有效性。 充分考虑资金投入能力，应该以最好的性价比去构建网络系统，组网设计并非是一味追求高性能，因为高性能往往意味着高投资，如果网络系统的投入超出该系统带来的利润，这显然是不合适的，另外该高性能网络系统未必得到充分利用。所以组网设计应该根据用户的应用需求，在满足系统性能以及考虑到在可预见期间不失先进性的前提下，尽量使整个系统投资合理且实用性强。 可管理性。 计算机网络具有一定的复杂性，随着网络的发展，其管理必然

20、越来越繁重。为了保证各项应用的实现，所设计的网络必须具有高可靠性。应该尽量避免系统的单点故障，应提供冗余措施，并采用先进的网络管理技术，对网络信息流量进行实时监控，并对数据进行处理，及时查出并排除故障。同时采取合适的安全措施，如设置防火墙等 。层次化和模块化原则: 所谓层次化原则，就是根据系统化的思想，将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这些功能可以由一个或若干相互独立、但相互协作的若干模块共同实现，一个模块原则上只完成某一项功能。 可靠性原则校园网核心层、汇聚层能有效的避免单点故障，在网络设计时要充分考虑路由的迂回设计，以保证当设备或线路发生故障时能迅速切换到备份设备

21、或备份线路.成熟和先进性原则功能结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。规范性原则功能设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为校园网的扩展升级、与其他网络的互联提供良好的基础.开放性和标准化原则在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则整个系统的设备应易于管理，易于维护，操作简单，易学，易用

22、，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。根据以上原则，华南理工大学大学城校区校园网的总体功能划分为：接入、汇聚、核心、边界及数据中心等5大部分.校园网核心层由两台核心路由器构成冗余结构，在校园网的功能设计中处于最为关键的位置，它不仅是校园网的数据交换核心，还是校园网的业务交换核心。数据交换核心用于四个校区园区网之间、园区网与数据中心之间的互联，用于校园网与Cernet和电信网（边界网）之间的互联。它不仅要满足校园网数据高速交换的需求（通过万兆以太网技术实现），也要满足高可靠性的需求（通过冗余链路、冗余设备、及动态路由协议实现）

23、。 业务交换核心 能承载常规的基于IPv4的WEB、EMAIL、FTP等业务；能承载未来的与CNGI技术体制一致的、基于IPv6的各类业务；能提供丰富网络管理、网络安全及QoS特性，如异常流量识别及阻塞、流量监测、流量整形、关键业务QoS保证；能提供流量工程（TE）特性，是未来的MPLS业务交换核心。4.4.带宽与安全 华南理工的双重需求: 华南理工大学南校区现有网络用户已经超过10000人，网络计划容量为25000用户，要充分满足学校内部教学、科研、工作、生活所需要的高速、高安全、高性能网络系统要求，保证每一个上网端口都能够达到高速率，因而整个网络系统核心层承受的压力非常大，万兆应用显然是必

24、然之举。 另外，校园网一个典型的特征就是应用非常丰富，电影点播，在线音乐、视频聊天、大量软件下载等等，造成网络的负载非常重，而攻击网络的病毒不断泛滥，以及学生“好事者”也会有意的攻击网络，他们往往并非为了某种“恶毒”的目的来攻击网络，而是出于好奇或者“表现”。如此繁重的网络一旦因攻击而造成瘫痪，损失将会是很大的。因此，作为校园网的管理方，网管希望省事，即便有人攻击也能安全无事，随时都可以屏蔽不老实的用户；校方希望安全运营，不会出现网络瘫痪或者计费系统故障.4.5.五层的结构+万兆核心: 根据学校的实际情况，结合各类高校校园网建设的经验，我认为在网络建设过程中，要把握一个重点、一个难点的解决，确

25、保“一次路由，多次交换”、“路由等于交换”，并采用高核心设备和接入设备完成接入，才能将整个网络建设的更有生命力。因此我打算以3台高性能的、具有电信级网络安全性能的核心路由交换机MG8，为网络提供整个高速网络骨干交换子平台的核心交换，并采用信息中心放置2台MG8核心交换机组成一个双机热备份的核心交换机系统解决方案。 DCRS-MG8来提供整个网络系统核心路由、交换的需要，所有模块实现热插拔、端口冗余、链路冗余、电源冗余、802.1W(802.1S)环路、散热冗余等安全解决方案，充分满足核心交换机具有的电信级网络安全。另外核心交换机系统为整个校园网提供核心的交换、路由，对其自身的性能也是非常高，核

26、心路由交换机MG8 提供1.28Tpbs 的背板交换容量，实现L2/L3/L4多层包转发率是480MPPS，为核心交换机最大可容纳的模块数8个、最大1000M以太网端口数320个、最大10G 太网端口数32个等强大的、高带宽的网络接口连接，为现在校园网中所有教学楼、宿舍等楼栋内网络用户10G 主干上联提供了条件。 此外，考虑到该项目网络规模的庞大，综合实际提出了五层的结构，分别为接入层、汇聚层、策略管理层、核心层和边界路由层，通过构建清晰的层次结构，便于管理。通过分层思想使网络有一个结构化的设计，针对每个层次进行模块化的分析，对统一管理网络和维护非常有帮助，也能够充分体现核心交换设备的高背板交

27、换处理能力的优越性特点。 在一期的建设中，我建议在新、老校区之间增加边界路由层，采用万兆连接，保证网络的畅通；新校区的两台核心之间采用4条千兆链路，形成全双工8 G的带宽；而新校区与大学城核心采用千兆连接，如果流量大时，可以通过链路聚合技术，将带宽增加到2G或者4G，保证网络的高速。3D-SMP 由内而外的安全:面对目前复杂的校园网络安全环境，华南理工大学项目采用了3D-SMP。3D-SMP（Dynamic Distributed DefenseSecurity Management Policy）是目前国内校园网方面最好的安全方案之一，又称“动态分布式防御安全管理策略”。 3D-SMP保留了

28、网络原有的D2SMP解决方案的特点，增加了设备之间的联动能力，使网络的安全管理比以往更加周密，反映的速度比以往更加迅速。 “动态”和“联动”是3D-SMP的两个核心的思想。“动态”是指3D-SMP可以针对不同的安全问题制定相应的策略，无论病毒什么时候、从什么网络中哪个环节，以什么面目出现，系统都能调用安全策略体系当中的合适手段，阻止事故的进一步发生。“联动”是3D-SMP的精华，为解决信息安全孤岛的问题，研发了SAOP（Security association operation protocol）安全联动操作协议，SAOP协议具有良好的开放性和加密性，使得GSM、交换机、路由器、IDS和客户

29、端等网络组件之间实现联动，牵一发而动全身。实现“动态分布式防御安全管理策略”依赖于基于高校校园网应用的全线网络产品：分布式安全管理主要集中在汇聚层和接入层，网络产品包括新推出的DCRS-5824GX、DCRS-5512GC、DCRS-3926S/3950S、DCS-2000E系列，这些产品在具备出色性能的同时，更重要的是都支持多种认证接入方式，同时结合其认证计费系统DCBI-2000、DCBI-3000和网管系统LinkManager，可完成对用户接入认证的管理控制，帮助高校校园网实现运营。而目前网络产品在用户认证方面做的十分周到，通过灵活的用户信息多元绑定（帐户、密码、MAC地址、IP地址、

30、交换机IP、接入端口、VLAN ID、DHCP SERVER等）技术，使得无论在校园网何处，都能准确识别用户身份，从而做到从设备管理到用户管理的层面。与此同时，在抵御网络的攻击方面，神州数码网络的DCFW-1800S/E/G三个系列智能防御网网关值得一提，其结合最新的网络安全技术及基于NP架构的设计，可保障非法攻击止步于其之外，可谓一夫当关，万夫莫开，使整个校园网显得安全、有序。未来的二期网络扩容只需添加万兆模块，就可以将网络升级到万兆，而不再需要重新购置核心交换机，实现网络的平滑升级，保护用户的投资。D2SMP方案打造由内而外的安全面对规划容量为20000用户的校园网络，上网地点灵活多变，学

31、生做为主要上网人群，其好奇心和极强的学习能力会对网络的安全造成威胁。相对于来自于外部的网络威胁，华南理工大学主要面对的还是来自于校园网内部的安全隐患。我认为内部的安全性表现在两个方面，一方面是设备本身的安全性能。在设备本身的安全性方面，核心路由交换设备，具有电信级的安全性，拥有99.999%的可靠性，全年保证故障时间不超过5分钟，而冗余设计，保证了724小时的无故障运转。二是整个网络的安全防护能力。整个网络的安全防护方面，D2SMP是目前国内校园网方面最好的安全方案之一。D2SMP是什么呢？它是“分布式安全域管理策略”的缩写。在提出的“分布式安全域管理策略”中，“安全域”是一个非常重要的概念。

32、“安全域”是指具有不同网络风险的区域，也就是说把具有相同网络风险或相同安全权限的用户放到一起的一个逻辑域。“安全域”的提出就主要是为了通过多种手段解决网络内部安全的问题。在“安全域”的构建上，神州数码网络率先提出了基于用户的VLAN划分的策略。形象地说，校园网管理者可以在系统中设定小李、小陈、小张等同学设在属于“学生”的一个VLAN中，把老李、老陈、老张等老师设在另一个属于“教师”的VLAN中，而不用考虑这些人处在校园网中的哪个位置、是连到哪台交换机的哪个口上，系统都会自动帮助用户完成这些负责的VLAN设定，有了这样一个“基于用户的VLAN”功能，可以非常方便的根据用户权限的差别划分一个个的“

33、安全域”。因此，华南理工大学校园网管理者就可以基于不同的安全策略直接对不同的用户进行操作，即使用户移动了位置，他所连接的交换机端口变了，但他同样还是会在原来其所在的“安全域”中，对他的所有安全策略完全生效。如此一来，那些充满好奇心的学生也只能在其所在的“安全域”中活动，而无法进入学校的教师管理系统、财务管理系统等重要系统中，即使学生用户感染病毒，也能有效地控制在其所在的“安全域”中，不会影响整网的安全。实现“分布式安全域管理策略”依赖于全线网络产品。分布式安全管理主要集中在汇聚层和接入层，神州数码网络的DCRS-5512GC、DCRS-3926S、DCS-2000E系列交换机产品，在具备出色性

34、能的同时，更重要的是都支持多种认证接入方式，同时结合神州数码认证计费系统DCBI-2000、DCBI-3000和网管系统LinkManager，可完成对用户接入认证的管理控制，帮助高校校园网实现运营。而目前神州数码网络产品在用户认证方面做的十分周到，通过灵活的用户信息多元绑定（帐户、密码、MAC地址、IP地址、交换机IP、接入端口、VLAN ID、DHCP SERVER等）技术，使得无论在校园网何处，都能准确识别用户身份，从而做到从设备管理到用户管理的层面。内部的安全问题得到很好的解决后，外部的安全问题仍然不能忽视。在抵御网络的攻击方面，神州数码网络的DCFW-1800S/E/G三个系列智能防

35、御网关值得一提，其结合最新的网络安全技术及基于NP架构的设计，可保障非法攻击止步于其之外，可谓一夫当关，万夫莫开。配合网内的“分布式安全域管理策略”，可使整个校园网由内而外显得安全、有序，这一安全解决方案出色地解决了校园网的安全问题，在实现网络高速运转的同时，解决了校园网的安全隐患。五.网络安全，可靠性分析5.1网络可用性，可靠性需求校园网、企业网等行业对网络系统可用性要求很高，网络系统的崩溃或数据丢失会造成巨大损失。可用性要求相应的网络具有高可用性设计来保障，如服务器采用磁盘镜像(RAID 1)或磁盘容错(RAID 5)、双机容错、异地备份等措施。另外，还可采用大中小型UNIX主机(如IBM

36、、SUN和富士通)。5.2网络安全性需求一个完整的网络系统应该渗透到用户方业务的各个方面，其中包括比较重要的业务应用和关键的数据服务器，公共Internet出口或Modem拨号上网，这就使得网络在安全方面有着普遍的强烈需求。安全需求分析具体表现在以下几个方面：(1) 分析存在弱点、漏洞与不当的系统配置。(2) 分析网络系统阻止外部攻击行为和防止内部员工违规操作行为的策略。(3) 划定网络安全边界，使园区网络系统和外界的网络系统能安全隔离。(4) 确保租用电路和无线链路的通信安全。(5) 分析如何监控园区网络的敏感信息，包括技术专利等信息。(6) 分析工作桌面系统的安全。为了全面满足以上安全系统

37、的需求，必须制定统一的安全策略，使用可靠的安全机制与安全技术。安全不单纯是技术问题，而是策略、技术与管理的有机结合。根据以上需求分析,得出如下的具体网络拓扑图:大学城校园网布局主要信息点分布:楼名信息点数学生公寓6部楼600教师公寓1部楼100学生食堂30城北校区20主服务器楼60院系办公楼4部楼400公共教学楼2部楼200图书馆楼50大学城网络设备楼150六. 主要设计方案:6.1网络体系结构:计算机网络由多个互连的结点组成,结点之间要不断地交换数据和控制信息,要做到有条不紊地交换数据,每个结点就必须遵守一整套合理而严谨的结构化管理体系.计算机网络就是按照高度结构化设计方法采用功能分层原理来

38、实现的,即计算机网络体系结构的内容.在计算机网络技术中,网络的体系结构指的是通信系统的整体设计,它的目的是为网络硬件、软件、协议、存取控制和拓扑提供标准.现在广泛采用的是开放系统互连OSI(Open System Interconnection)的参考模型,它是用物理层、数据链路层、网络层、传送层、对话层、表示层和应用层七个层次描述网络的结构.你应该注意的是,网络体系结构的优劣将直接影响总线、接口和网络的性能.而网络体系结构的关键要素恰恰就是协议和拓扑。目前最常见的网络体系结构有FDDI、以太网、令牌环网和快速以太网等。1.网络体系(Network Architecture)是为了完成计算机间

39、的通信合作,把每台计算机互连的功能划分成有明确定义的层次,并规定了同层次进程通信的协议及相邻之间的接口及服务. 2.网络体系结构是指用分层研究方法定义的网络各层的功能,各层协议和接口的集合.3.计算机的网络结构可以从网络体系结构,网络组织和网络配置三个方面来描述,网络组织是从网络的物理结构和网络的实现两方面来描述计算机网络;网络配置是从网络应用方面来描述计算机网络的布局,硬件,软件和和通信线路来描述计算机网络;网络体系结构是从功能让来描述计算机网络结构.网络体系结构最早是由IBM公司在1974年提出的,名为SNA.计算机网络体系结构:是指计算机网络层次结构模型和各层协议的集合.结构化是指将一个

40、复杂的系统设计问题分解成一个个容易处理的子问题,然后加以解决.层次结构是指将一个复杂的系统设计问题分成层次分明的一组组容易处理的子问题,各层执行自己所承担的任务.计算机网络结构采用结构化层次模型,有如下优点: (1).各层之间相互独立,即不需要知道低层的结构,只要知道是通过层间接口所提供的服务.(2).灵活性好,是指只要接口不变就不会因层的变化(甚至是取消该层)而变化(3).各层采用最合适的技术实现而不影响其他层(4).有利于促进标准化,是因为每层的功能和提供的服务都已经有了精确的说明.4.网络协议协议(Protocol):网络中计算机的硬件和软件存在各种差异,为了保证相互通信及双方能够正确地

41、接收信息,必须事先形成一种约定,即网络协议.协议:是为实现网络中的数据交换而建立的规则标准或约定.网络协议三要素:语法,语义,交换规则(或称时序/定时关系)注:通信协议的特点是:层次性,可靠性和有效性. 实体(Entity):是通信时能发送和接收信息的任何软硬件设施 接口(Interface):是指网络分层结构中各相邻层之间的通信.开放系统互连参考模型(OSI/RM):为了实现不同厂家生产的计算机系统之间以及不同网络之间的数据通信,就必须遵循相同的网络体系结构模型,否则异种计算机就无法连接成网络,这种共同遵循的网络体系结构模型就是国际标准开放系统互连参考模型,即OSI/RM.ISO 发布的最著

42、名的ISO标准是ISO/IEC 7498,又称为X.200建议,将OSI/RM依据网络的整个功能划分成7个层次,以实现开放系统环境中的互连性(interconnection), 互操作性(interoperation)和应用的可移植性(portability). 5.分层原则ISO将整个通信功能划分为7个层次,分层原则如下: (1).网络中各结点都有相同的层次 (2).不同结点的同等层具有相同的功能 (3).同一结点内相邻层之间通过接口通信 (4).每一层使用下层提供的服务,并向其上层提供服务 (5).不同结点的同等层按照协议实现对等层之间的通信 第七层:应用层 第六层:表示层 第五层:会话层

43、 第四层:传输层 第三层:网络层 第二层:数据链路层 第一层:物理层OSI/RM参考模型:OSI/RM的配置管理主要目标就是网络适应系统的要求.低三层可看作是传输控制层,负责有关通信子网的工作,解决网络中的通信问题;高三层为应用控制层,负责有关资源子网的工作,解决应用进程的通信问题;传输层为通信子网和资源子网的接口,起到连接传输和应用的作用.ISO/RM的最高层为应用层,面向用户提供应用的服务;最低层为物理层,连接通信媒体实现数据传输.层与层之间的联系是通过各层之间的接口来进行的,上层通过接口向下层提供服务请求,而下层通过接口向上层提供服务.两个计算机通过网络进行通信时,除了物理层之外(说明了

44、只有物理层才有直接连接),其余各对等层之间均不存在直接的通信关系,而是通过各对等层的协议来进行通信,如两个对等的网络层使用网络层协议通信.只有两个物理层之间才通过媒体进行真正的数据通信.当通信实体通过一个通信子网进行通信时,必然会经过一些中间节点,通信子网中的节点只涉及到低三层的结构. OSI/RM中系统间的通信信息流动过程.在OSI/RM中系统间的通信信息流动过程如下:发送端的各层从上到下逐步加上各层的控制信息构成的比特流传递到物理信道,然后再传输到接收端的物理层,经过从下到上逐层去掉相应层的控制住信息得到的数据流最终传送到应用层的进程.由于通信信道的双向性,因此数据的流向也是双向的.比特流

45、的构成:数据DATA应用层(DATA+报文头AH,用L7表示)表示层(L7+控制信息PH)会话层(L6+控制信息SH)传输层(L5+控制信息TH)网络层(L4+控制信息NH)数据链路层(差错检测控制信息DT+L3+控制信息DH)物理层(比特流) .6.OSI/RM各层概述:(1)物理层(Physical Layer):直接与物理信道直接相连,起到数据链路层和传输媒体之间的逻辑接口作用. 功能:提供建立,维护和释放物理连接的方法,实现在物理信道上进行比特流的传输.传送的基本单位:比特(bit).物理层的内容: 1)通信接口与传输媒体的物理特性 物理层协议主要规定了计算机或终端DTE与通信设备DC

46、E之间的接口标准,包括接口的机械特性,电气特性,功能特性,规程特性 2)物理层的数据交换单元为二进制比特:对数据链路层的数据进行调制或编码,成为传输信号(模拟,数字或光信号) 3)比特的同步:时钟的同步,如异步/同步传输 4)线路的连接:点点(专用链路),多点(共享一条链路) 5)物理拓扑结构:星型,环型,网状 6)传输方式:单工,半双工,全双工 典型的物理层协议有RS-232系列,RS449,V.24,V.28,X.20,X.21 (2)数据链路层(Data Link Layer):通过物理层提供的比特流服务,在相邻节点之间建立链路,对传输中可能出现的差错进行检错和纠错,向网络层提供无差错的

47、透明传输.主要负责数据链路的建立,维持和拆除,并在两个相邻机电队线路上,将网络层送下来的信息(包)组成帧传送,每一帧包括一定数量的数据和一些必要的控制信息.为了保证数据帧的可靠传输应具有差错控制功能.功能:是在不太可靠的物理链路上实现可靠的数据传输.传送的基本单位:帧(Frame) 数据链路层内容: 1)成帧:是因要将网络层的数据分为管理和控制的数据单元 2)物理地址寻址:标识发送和接收数据帧的节点位置,因此常在数据头部加上控制信息DH(源,目的节点的地址),尾部加上差错控制信息DT 3)流量控制:即对发送数据帧的速率进行控制,保证传输正确. 4)差错控制:在数据帧的尾部所加上的尾部控制信息DT 5)接入控制:当多个节点共享通信链路时,确定在某一时间内由哪个节点发送数据 常见的数据链路层协议有两类:一是面向字符型传输控制规程BSC;一是面向比特的传输控制规程HDLC 流量控制技术:1)停-等流量控制:发送节点在发送一帧数据后必须等待对方回送确认应答信息到来后再发下一帧.接收节点检查帧的校验序列,无错则发确认帧,否则发送否认帧,要求重发.存在问题:双方无休止等待(数据帧或确认帧丢失),解决办法发送后使用超时定时器;重帧现象(收到同样的两帧),解决办法是对帧进行编号 适用:半双工通信 2)滑动窗口流量控