校园网络

校园网络解决方案

校园网络设计

1.络拓扑设计

局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。

优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。

局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。

根据我们的设计，大学网络拓扑结构图如图1所示。

图1 大学网络拓扑结构图

2.网络层次设计

从逻辑上，大型网络可分为核心层、分布层和接入层，每层都有其特点。网络层次如图2所示

图2 网络层次图

层次化设计的优点可以总结为如下几点：

1）可扩展性：因为网络可模块化增长而不会遇到问题；

2）简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；

3）设计的灵活性：使网络容易升级到新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；

4）可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。

3.万兆核心解决方案

网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。

因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：

1）高密度端口情况下，还能保持各端口的线速转发；

2）关键模块必须冗余，如管理引擎、电源、风扇。

由于校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。

综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机建议采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。因此网络主干全部采用万兆，末端用户楼栋全部采用千兆接入万兆校园网，采用3台万兆核心交换机RG-S6810E组成万兆核心环网。实现网络7X24小时的不间断运行，核心骨干网形成的万兆核心环网，使得整个核心层网络即使在任意一台核心交换机故障、或任意一条链路断掉的情况下依然可以保障网络的正常运行。

RG-S6810E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。目前提供10竖插槽设计和6横插槽设计两种主机：RG-S6810E和RG-S6806E。

RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。

RG-S6810E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议，并可扩展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等丰富的业务功能，满足客户环境灵活而复杂的不同应用需求。

在此方案中，校区网络中心采用RG-S6810E多业务万兆核心路由交换机作为核心交换机。核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。

4.万兆骨干网解决方案

汇聚层提供基于统一策略的互连性。它是核心层和接入层的分界点，定义了网络的边界，对数据包进行复杂的运算。在大中型园区网络环境中，汇聚层主要考虑的是如何保证提供浪量控制及安全控制的策略。通常需要考虑的主要因素有QoS、静态或者动态路由的选择、地址过滤等。

而在设备选型方面，汇聚层的设备对网络下层VLAN信息和生成树协议具有收敛功能，能实现简单的用户管理和控制功能，如用户的安全接入、下层网络不同层次的屏蔽和接入工作，对不同物理链路、不同特性的网络设备进行统一管理。因此汇聚层网络设备要求具备多物理接口来完成众多设备的接入工作。

综上所述，汇聚层采用七台万兆核心交换机RG-S6506E担当图书馆、综合教学楼、院系实验楼、行政办公楼、外事活动中心、科技中心、学生宿舍公寓以及区运动区域汇聚；通过6条万兆链路连接至图书馆、综合教学楼、院系实验楼、行政办公楼、科技中心、学生宿舍公寓以及区运动区的6台汇聚交换机RG-S6506E上是因为这几条链路上数据信息点比较多,传输数据量也比较大，。使用2条千兆链路连接到外事活动中心汇聚交换机RG-S6506上。

RG-S6506是锐捷网络推出的万兆骨干路由交换机，拥有6个模块扩展槽，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发，可以根据用户的需求灵活配置，构建弹性可扩展的现代IP网络。”

RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是小型网络核心和大型网络骨干交换机的理想选择。

5.千兆接入解决方案

接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整，如Access-list Filtering等。在园区网络环境中，接入层主要提供如下功能：带宽共享、交换带宽、MAC层过滤、微分网段等。

在广域网环境中，接入层主要提供通过Frame Relay、ISDN、Leased Line连入远程节点。

接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。

接入层交换机亦称外围交换机或边缘交换机，一般都属于可堆叠/可扩充式固定端口交换机，应具备下列要求：

1）端口选择：对端口的选择包括两个方面，一个是端口数量，一个是端口类型。而且可以堆叠、易扩展，以便由于信息点的增加而从容地进行扩容。

2）高性能。作为大型网络的二级交换设备，应支持千兆/百兆高速上连以及同级设备堆叠，当然还要注意与核心交换机品牌的一致性；如果用作小型网络的中央交换机，要求具有较高的背板带宽和三层交换能力。

3）性价比高。在满足网络性能要求的同时，达到较高的性价比，使用方便简单。

4）支持多级别网络管理。

楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，较大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。因此采用数十台RG-S2424G系列安全智能交换机担当网络接入。

RG-S2424G是锐捷网络推出的全千兆安全智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。

RG-S2424G特有的CPU保护控制机制，对发送到CPU的数据进行带宽控制，以避免非法者对CPU的恶意攻击，充分保障了交换机的安全。

RG-S2424G为方便不同管理员的使用习惯，提供了多种形式的管理工具，如SNMP、Telnet、Web和Console口等。

RG-S2424G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，较大化满足高速、高效、安全、智能的企业网新需求。

支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率。

6. 网络出口设计

校园网出口，作为唯一连接外界网络的平台，是校园网与外界沟通交流的窗口，承载了各类与教学、科研、办公、生活息息相关的应用；出口平台对各应用的承载能力，将对高校的教学、科研、办公、生活产生直接和间接的影响。

锐捷网络高校校园网出口解决方案，充分考虑网络出口承载的多种业务系统对网络的要求，形成了包含外网连接层、安全防护层、应用控制层、VPN接入层、日志管理层在内的针对性出口网络解决方案。

XX大学应用锐捷网络高校校园网出口解决方案，在安全防护层部署1台RG-WALL1000、应用控制层部署1台RG-ACE 3000完成出口网络的应用流量控制，而RSR-08承担多出口负载均衡。这样的出口设计将实现了多出口的合理使用，有效抵御DDoS攻击，实现病毒、木马以及异常流量的阻断。

为了以后扩展的需要，所以采用了RG-WALL1000。RG-WALL1000采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品——第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP, H323等)时，可提供强有力的安全信道。

采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。

RG-ACE 3000可有效识别包括Web迅雷在的多种应用层协议，可实现基于用户的应用带宽限制及数据统计，使得各种关键应用的带宽得到充分的保障。

锐捷RSR-08路由器是高性能、通用的骨干汇聚路由器，具有高背板带宽、高包转发率、结构紧凑、端口密度高等特点，并能提供全范围的光纤和铜缆接口。RSR-08路由器具有强大的业务能力，可以满足目前所有的城域汇聚和接入需求，提供多协议标准交换 (MPLS)第2或3层隧道技术、动态带宽控制和面向连接的数据收集体系。作为多协议标记（MPLS）PE路由器，他们使提供商的基于MPLS的业务具有高度的可扩展性和可靠性。通过使用VPLS，可以利用原有网络和以太网基础设施提供VOIP、互联网接入、视频以及多点虚拟专用网（VPN）等融合业务。

锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网，速率高达OC- 48。部署在各种应用中，RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络，为用户提供综合的、高性能、功能强大的服务, 并提供高可用性网络所需的冗余支持。

7.VLAN划分

根据校园网的实际需求，属于同一部门的工作人员可能在不同的建筑物中，但需要在一个逻辑子网内。网络站点的增减，人员的变动，无论从网络管理，还是用户的角度来讲，都需要虚拟网技术的支持。因此在校园网络的整个网络规划当中，VLAN 的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：

VLAN 划分，可以避免广播风暴，在骨干网络中尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后，VLAN 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。

VLAN 划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。

网络管理系统采用完全独立的IP子网和VLAN，实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。

提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。

VLAN 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在汇聚设备上实行，分流核心交换机的三层交换，优化了组网。

根据以往网络管理经验和骨干网络网络建设的实际情况，方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有：

1）方便管理。为了更好的进行VLAN规划的实施，因此在网络实施前期，要对网络中不同区域的VLAN设置进行详细的规划，细化到接入层网络，这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话，避免由于前期配置设备时复杂烦琐，而且由于相同的用户群体可能在不同的物理位置，导致造成整个校园网络中VLAN划分复杂，减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划，这样既可以减少广播域，又达到划分VLAN，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。

2） 易于实施。按群体划分VLAN在工程实施中就十分的方便，不会造成VLAN划分复杂失误而使得网络出现不通的现象，便于工程快速实施和网络中心整体规划。

3）VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问，对于学校重要网络资源，需要进行权限访问的时候，建议采用专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL）来进行访问权限设定，保障重要资料不被非法访问。

8.IP地址划分

IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键，也是某职业技术学院校园网网络设计中的重要一环。IP地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。

划分时注意使用VLAN，充分节约IP地址，使路由交换机上能够采用聚合进行路由的合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段，以便做路由汇聚。