第第頁基于ENSP的高職院校網(wǎng)絡(luò)需求及校園網(wǎng)建設(shè)的方案設(shè)計TOC\o"1-2"\h\u32595摘要 14089引言 23973第一章緒論 3157671.1課題研究背景 3106761.2國內(nèi)外高校校園現(xiàn)狀 3197301.3課題研究目的與意義 430101.4網(wǎng)絡(luò)建設(shè)及設(shè)計原則 4300841.5需求分析 69787第二章關(guān)鍵技術(shù) 7276022.1IPsec_VPN技術(shù) 7283662.2VLAN與TRUNK 765942.3端口聚合技術(shù) 8121862.4網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 8211622.5DHCP概述 94172.6動態(tài)路由協(xié)議（OSPF） 96777第三章設(shè)備選型 10215433.1國內(nèi)外網(wǎng)絡(luò)設(shè)備品牌概況 10312793.2產(chǎn)品設(shè)備選型 1112236第四章網(wǎng)絡(luò)建設(shè)總體設(shè)計方案 12299594.1網(wǎng)絡(luò)整體架構(gòu) 1270644.2校園網(wǎng)設(shè)計方案 1330234.2IP地址劃分 1431579第五章高等職業(yè)技術(shù)學(xué)校校園網(wǎng)安全體系 16267055.1校園網(wǎng)絡(luò)安全問題 16148585.2校園網(wǎng)絡(luò)安全體系設(shè)計 1722716第六章網(wǎng)絡(luò)設(shè)備配置 19266236.1端口聚合配置 19172436.2NAT配置 20297696.3DHCP配置 20156616.4OSPF配置 2285576.5IPsec_VPN配置 24535第七章綜合測試測試 276475第八章總結(jié) 29173508.1論文編寫工作總結(jié) 29248338.2未來的學(xué)習(xí)方向 3011387參考文獻(xiàn) 30摘要1990年過后，Internet技術(shù)一直在飛速發(fā)展，不斷進(jìn)行技術(shù)迭代，技術(shù)的發(fā)展使得教育體系逐漸走向了信息化、現(xiàn)代化，教育行業(yè)的改革發(fā)展取得了飛躍式的提升，現(xiàn)如今“數(shù)字化”校園網(wǎng)已成為當(dāng)今社會信息化成長中不可或缺的一部分。本文首先對高職院校的現(xiàn)狀進(jìn)行了切合實際的需求與分析，針對實際情況設(shè)計出校園網(wǎng)建設(shè)的整體方案。眾所周知校園網(wǎng)的建設(shè)其實是一項復(fù)雜的工程，它的設(shè)計方案與實施方法是本文重點討論的內(nèi)容，需要用到許多技術(shù)，如：三層交換技術(shù)、VLAN技術(shù)、IPsec_VPN技術(shù)、NAT技術(shù)、OSPF技術(shù)等，以上技術(shù)在文中都有詳細(xì)介紹。根據(jù)高職院校的規(guī)模和需求，該設(shè)計采用三層網(wǎng)絡(luò)結(jié)構(gòu)，即核心層，會聚層和訪問層。每層所使用的功能各不相同，設(shè)計中也會根據(jù)每一層的需求去采用相對應(yīng)的設(shè)備。一個優(yōu)秀的校園網(wǎng)絡(luò)不僅需要具備合理的拓?fù)浣Y(jié)構(gòu)，還應(yīng)具有合理的VLAN和IP地址規(guī)劃。本文的最后，利用ENSP（華為模擬器），模擬出中小型校園網(wǎng)絡(luò)構(gòu)建，通過網(wǎng)絡(luò)配置技術(shù)，能夠讓所構(gòu)建的校園網(wǎng)絡(luò)滿足師生日常的學(xué)習(xí)與工作中的需求，能夠保證在某條網(wǎng)絡(luò)鏈路發(fā)生故障的情況中，校園網(wǎng)中的用戶能夠通過備份鏈路保持正常通信。關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)規(guī)劃；三層結(jié)構(gòu)；IPsec_VPN引言互聯(lián)網(wǎng)是維系當(dāng)今現(xiàn)代社會發(fā)展的紐帶與橋梁。高端技術(shù)的網(wǎng)絡(luò)技術(shù)給我們帶來無與倫比的生活上的享受。大容量的存儲設(shè)備極大的擴(kuò)展了人類的視野，資源的共享創(chuàng)造了廣闊的學(xué)習(xí)空間。目前，科學(xué)探索和體驗了一百種生活。它彌補了常識性存儲的不足，大大減少了人們的日常學(xué)習(xí)，工作和生活。生活經(jīng)驗和工作方式的影響已大大減少。每個人的職業(yè)道路。隨著當(dāng)代教育體系的不斷變化，諸多學(xué)校早已將移動辦公管理與教學(xué)、教育的規(guī)劃設(shè)計逐步包含進(jìn)數(shù)字信息工程與電子工程的技術(shù)發(fā)展軌道，現(xiàn)如今數(shù)字化的校園網(wǎng)絡(luò)已成為當(dāng)代網(wǎng)絡(luò)的集合體。高新的網(wǎng)絡(luò)技術(shù)逐步應(yīng)用于教育行業(yè)。制定增長戰(zhàn)略尤為重要。校園網(wǎng)的完善，不僅可以充分提高學(xué)校的教學(xué)運行效率，教學(xué)質(zhì)量和教育管理水平，而且可以提供現(xiàn)如今最先進(jìn)，最開放，最實用的基于計算機(jī)技術(shù)研發(fā)出來的網(wǎng)絡(luò)環(huán)境平臺。數(shù)字校園網(wǎng)絡(luò)的建立不僅創(chuàng)造了豐富多彩的校園網(wǎng)絡(luò)文化，巧妙地改變了學(xué)徒式的教育思想和觀念，并創(chuàng)造了當(dāng)代學(xué)生必須具備的未來社會的性格，情感，力量，思想和行為。傳統(tǒng)教學(xué)變革使成千上萬的學(xué)生受益，學(xué)習(xí)變得有用，學(xué)習(xí)變得堅強，學(xué)習(xí)工作，學(xué)習(xí)獲得一些東西。它顯示了現(xiàn)代社會中科技人才的需求和短缺；迫切需要學(xué)校建立一支由高水平，高技能，高素質(zhì)的有識之士組成的團(tuán)隊。特別是要接受來自一系列重大全球性問題的挑戰(zhàn)，例如21世紀(jì)的高端技術(shù)和生態(tài)系統(tǒng)，道德危機(jī)，情感危機(jī)和人格危機(jī)。在全面深化學(xué)校教育教學(xué)改革的基礎(chǔ)上，打造“高學(xué)歷，高標(biāo)準(zhǔn)，高標(biāo)準(zhǔn)”。“需求”的創(chuàng)造力，學(xué)習(xí)力和執(zhí)行力的現(xiàn)代人才對于社會發(fā)展具有劃時代的深刻意義。畢竟，必須創(chuàng)新校園網(wǎng)絡(luò)，構(gòu)建能夠滿足時代和人類需求的校園網(wǎng)絡(luò)，提高數(shù)據(jù)傳輸速率，增加新的多功能設(shè)備，并替換成更加高端的技術(shù)配置。它的存在不僅僅是改善當(dāng)前教育形式的制高點，而且是提高這個世界公民的整體素質(zhì)的基礎(chǔ)。第一章緒論1.1課題研究背景相較于當(dāng)代中國職業(yè)教育而言，高等職業(yè)技術(shù)學(xué)校其重要程度不可忽視，在當(dāng)前的教育體系與信息結(jié)構(gòu)之中具有一個優(yōu)秀的校園網(wǎng)絡(luò)對于一所正在飛速發(fā)展的高等職業(yè)技術(shù)學(xué)校來說是尤為重要的一部分可以說是必不能缺少的一部分內(nèi)容。是不可或缺的一部分。然而高等職業(yè)院校之中的教育教學(xué)等方法乃至研究方向都與普通本科院校尋在本質(zhì)上上的差別，高等職業(yè)技術(shù)學(xué)校的教學(xué)內(nèi)容則更加偏向于需要具體實踐。理論知識在實際的教學(xué)中所占的比例相對較小。高等職業(yè)技術(shù)學(xué)校針對于不同的教學(xué)對象都有各自的一些差別，高等職業(yè)院校中采用的教學(xué)方法也會比普通本科院校更具有多元化，憑借著多元化的教學(xué)方法在與諸多本科院校進(jìn)行競爭，在擬構(gòu)建校園網(wǎng)絡(luò)或者說在校園網(wǎng)絡(luò)的設(shè)計與實現(xiàn)的具體方法中，本文認(rèn)為，使用中小型網(wǎng)絡(luò)是高職院校在進(jìn)行網(wǎng)絡(luò)的設(shè)計與實現(xiàn)時是一個較為完美的方式，在校園網(wǎng)絡(luò)發(fā)展的歷史過程中各大職業(yè)院校的數(shù)據(jù)中心都一直在尋找一個合適的網(wǎng)絡(luò)建設(shè)計劃，然而校園網(wǎng)絡(luò)它自身又具備有不一樣的特殊性，在此基礎(chǔ)上，以高職學(xué)校校園網(wǎng)絡(luò)體系結(jié)構(gòu)的設(shè)計與實現(xiàn)為研究課題，并根據(jù)校園的具體情況對校園網(wǎng)絡(luò)設(shè)計進(jìn)行了詳細(xì)的研究和設(shè)計分析，為校園網(wǎng)的設(shè)計和建設(shè)提供新的理論依據(jù)和實踐指導(dǎo)。校園網(wǎng)的建設(shè)實現(xiàn)了不同系統(tǒng)之間的信息互通[1]朱小平,周柳燕.論校園網(wǎng)的內(nèi)容與應(yīng)用[J].吉林廣播電視大學(xué)學(xué)報,2005,9(l):118-119。現(xiàn)如今我國的網(wǎng)絡(luò)發(fā)展正在以一種井噴式進(jìn)行增長，在網(wǎng)絡(luò)發(fā)展呈井噴式的十幾年風(fēng)雨歷程中，數(shù)字化，一直作為學(xué)校進(jìn)行高質(zhì)量信息化教育的特征，所以數(shù)字化一直在飛速進(jìn)行發(fā)展各大院校之間往往會投入大量資金進(jìn)行數(shù)字化的改造，這就使得學(xué)?；蛘哂脩魧W(xué)校校園網(wǎng)絡(luò)的要求越來越高。為學(xué)校以后的數(shù)字化校園開發(fā)建設(shè)打下了基礎(chǔ)[1]朱小平,周柳燕.論校園網(wǎng)的內(nèi)容與應(yīng)用[J].吉林廣播電視大學(xué)學(xué)報,2005,9(l):118-119[2]杜化美,張更路,高仕軍.高校校園網(wǎng)建設(shè)的新思考[J].高師理科學(xué)刊,2008,（3）:52-531.2國內(nèi)外高校校園現(xiàn)狀1.2.1國外高校校園網(wǎng)絡(luò)現(xiàn)狀目前國外教育資源已經(jīng)由傳通的書籍轉(zhuǎn)變?yōu)槎喾N多媒體形式，教學(xué)方式由傳統(tǒng)的師生面對面轉(zhuǎn)變?yōu)殚_放自由的方式，如學(xué)生可以在學(xué)校任何角落通過網(wǎng)絡(luò)自主學(xué)習(xí)[3][3]張莉.高校信息化建設(shè)資源與教育資源的整合與利用[J].計算機(jī)教育,2008,(21):58-61目前，西方發(fā)達(dá)國家大學(xué)信息技術(shù)的發(fā)展趨勢是在大學(xué)中建立無線網(wǎng)絡(luò)。特別是在美國、英國、日本等國家，在教學(xué)過程中廣泛的使用無線網(wǎng)絡(luò)技術(shù)，其目的在于在教學(xué)與日常學(xué)習(xí)與工作中實現(xiàn)教學(xué)不受空間限制的影響，所以發(fā)達(dá)國家普遍將無線網(wǎng)絡(luò)作為重要的教育資源。1.2.2國內(nèi)高校校園網(wǎng)絡(luò)現(xiàn)狀高校信息化體系已初具規(guī)模[4]中國教育和科研計算機(jī)網(wǎng)簡介、建設(shè)背景、作用(意義).教育文摘,2012,3-5。自上個世紀(jì)九十年代開始，國家緊跟著國際發(fā)展的腳步，啟動中國教育網(wǎng)[4]中國教育和科研計算機(jī)網(wǎng)簡介、建設(shè)背景、作用(意義).教育文摘,2012,3-5目前我國高校的信息化和校園網(wǎng)建設(shè)，雖然相較于發(fā)達(dá)國家我們的起步較晚但是憑借著國內(nèi)科技實力的飛速發(fā)展網(wǎng)絡(luò)構(gòu)建能力也隨之水漲船高，但仍然存在一部分缺陷。當(dāng)今，大多數(shù)大學(xué)校園網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)，規(guī)模和應(yīng)用還不夠完善，很多院校數(shù)據(jù)中心之中還有很多的網(wǎng)絡(luò)設(shè)備資源與計算機(jī)資源沒能得到非常充分的利用，造成了資源的浪費那么如何提升和開發(fā)計算機(jī)與網(wǎng)絡(luò)設(shè)備的資源將成為各院校之中網(wǎng)絡(luò)發(fā)展的一個重點方向，只有完善資源利用體制才能提高種類繁多的需求較高的業(yè)務(wù)系統(tǒng)的使用水平。綜上所述，目前由于網(wǎng)絡(luò)資源的利用不恰當(dāng)出現(xiàn)的各種問題限制了校園網(wǎng)絡(luò)的發(fā)展，這是不可否認(rèn)的事實。目前在校園網(wǎng)絡(luò)中主要存在如下問題：（1）校園網(wǎng)絡(luò)的設(shè)計建設(shè)規(guī)模和用戶實際需求之間存在較大的差距。學(xué)校在對校園網(wǎng)絡(luò)進(jìn)行規(guī)劃設(shè)計時，必須要從實際出發(fā)，發(fā)揚實事求是的精神在對網(wǎng)絡(luò)進(jìn)行構(gòu)建時需要預(yù)留出一些冗余。當(dāng)網(wǎng)絡(luò)的規(guī)模逐漸變大的時候，規(guī)模太小的網(wǎng)絡(luò)環(huán)境會導(dǎo)致資源短缺無法跟上網(wǎng)絡(luò)用戶的使用需求，嚴(yán)重時會影響學(xué)校的發(fā)展。（2）在很多時候人們在進(jìn)行網(wǎng)絡(luò)建設(shè)時往往比較重視基礎(chǔ)網(wǎng)絡(luò)建設(shè)，比較輕視網(wǎng)絡(luò)服務(wù)的部署。大部分的高等職業(yè)院校在對校園的現(xiàn)代化信息建設(shè)時通常都會采取先對基礎(chǔ)網(wǎng)絡(luò)進(jìn)行構(gòu)建，對于業(yè)務(wù)系統(tǒng)，如教務(wù)系統(tǒng)、信息化平臺的建設(shè)往往采取漠視的態(tài)度，基本上只要能用就能夠暫且擱置，這就忽略掉了一個非常嚴(yán)重的問題，網(wǎng)絡(luò)是時刻都在發(fā)展之中的，用戶需求也在日常生活中逐步上升。經(jīng)過長時間的發(fā)展之后學(xué)校往往會發(fā)現(xiàn)之前所投入的資源已經(jīng)不能完全滿足用戶的日常使用需求，在這時候硬件設(shè)備已經(jīng)不能滿足軟件發(fā)展的要求[5][5]張莉.高校信息化建設(shè)資源與教育資源的整合與利用[J].計算機(jī)教育,2008,(21):58-611.3課題研究目的與意義在上個世紀(jì)末，國家提出的教育信息化概念明確了網(wǎng)絡(luò)在教育中的重要地位，之后網(wǎng)絡(luò)就在高校迅速普及，快速滲透到了教育的各個領(lǐng)域[6][6]李海斌.計算機(jī)校園網(wǎng)在教育教學(xué)中的應(yīng)用現(xiàn)狀及存在的問題[J].科學(xué)技術(shù)新,2010,27(12):140-141本文從某高校第二校區(qū)的實際需求出發(fā)，采用華為系列交換機(jī)進(jìn)行校園網(wǎng)的設(shè)計，該方案設(shè)計是基于三層交換技術(shù)和IPsec_VPN技術(shù)，采用DHCP、流量監(jiān)控等相關(guān)技術(shù)措施。截止至目前，該校園構(gòu)建的校園網(wǎng)絡(luò)已經(jīng)成功構(gòu)建完成并正式投入真實環(huán)境進(jìn)行使用。經(jīng)過長時間的實際運行，已經(jīng)能夠證明該網(wǎng)絡(luò)的設(shè)計已經(jīng)基本可以滿足教師在教學(xué)研究，滿足學(xué)生學(xué)習(xí)和生活等諸多方面的使用需求。1.4網(wǎng)絡(luò)建設(shè)及設(shè)計原則1.4.1網(wǎng)絡(luò)構(gòu)建的目標(biāo)該高校所涉及構(gòu)建的第二校區(qū)校園網(wǎng)絡(luò)的最終目標(biāo)是構(gòu)建一個具有高交換的校園網(wǎng)絡(luò)，通過查閱相關(guān)的網(wǎng)絡(luò)文獻(xiàn)資料，總結(jié)出當(dāng)前國內(nèi)校園網(wǎng)絡(luò)中常用的技術(shù)進(jìn)行校園網(wǎng)絡(luò)的構(gòu)建，能夠保證校園網(wǎng)絡(luò)具備一個高可用性的同時也具備有極強的穩(wěn)定性，能夠在日常的運維工作中做到可管可控并且能夠經(jīng)過簡單操作就能夠進(jìn)行更新?lián)Q的高效網(wǎng)絡(luò)[7][7]李長隆.校園網(wǎng)規(guī)劃與設(shè)計[J].電腦與電信,2007,（05）:23-24新建的第二校區(qū)將與本部的網(wǎng)絡(luò)相連，實現(xiàn)網(wǎng)絡(luò)的相互連通。在將網(wǎng)絡(luò)架構(gòu)完善后，主校區(qū)的網(wǎng)絡(luò)線路將被取消，第二個校園將成為網(wǎng)絡(luò)出口。同時，第二個校園根據(jù)使用需求將會有一個或者多個獨立的Internet出口，但總部的Cernet出口仍將用于訪問教育網(wǎng)專線。第二校區(qū)，校區(qū)與各校區(qū)的互連拓?fù)淙鐖D1-1所示：圖SEQ圖\*ARABIC1-1互聯(lián)拓?fù)鋱D1.4.2網(wǎng)絡(luò)建設(shè)原則校園網(wǎng)需要全方面的覆蓋到校園的每個角落。校園網(wǎng)絡(luò)在設(shè)計與實現(xiàn)的過程中應(yīng)當(dāng)盡可能去選取與借鑒那些已經(jīng)成熟能夠正常維護(hù)并且具備先進(jìn)性的技術(shù)，這是為了能夠給網(wǎng)絡(luò)用戶在日常的工作與學(xué)習(xí)中具備一個良好的用戶體驗，然而并不是所有的院校都適用于一套網(wǎng)絡(luò)構(gòu)建模板，網(wǎng)絡(luò)的構(gòu)建應(yīng)當(dāng)因地適宜，針對不同院校設(shè)計不同的網(wǎng)絡(luò)，因此在本文中只借鑒如下構(gòu)建原則：（１）網(wǎng)絡(luò)的先進(jìn)性網(wǎng)絡(luò)發(fā)展的一直是伴隨著科技發(fā)展的在持續(xù)進(jìn)行，科技的更新?lián)Q代也帶來了計算機(jī)技術(shù)的革新，網(wǎng)絡(luò)設(shè)備和計算機(jī)的更新速度也越來越快。結(jié)合了網(wǎng)絡(luò)發(fā)展的迅速的基本情況，我們在進(jìn)行設(shè)備的選擇時應(yīng)當(dāng)優(yōu)先對先進(jìn)設(shè)備進(jìn)行選擇，力求達(dá)到可持續(xù)發(fā)展的目標(biāo)，可持續(xù)發(fā)展展開來說即為，能夠進(jìn)行簡單的升級與配置就能滿足未來用戶的使用需求，在進(jìn)行業(yè)務(wù)系統(tǒng)的選擇時，我們必須考慮到業(yè)務(wù)系統(tǒng)的實用性、安全性和成熟性。網(wǎng)絡(luò)設(shè)計和規(guī)劃必須基于通信網(wǎng)絡(luò)的發(fā)展要求。因此，我們需要在當(dāng)前市場中采用先進(jìn)和成熟的設(shè)備和技術(shù)，并考慮到未來的發(fā)展，以便將來由于各種原因需要對軟件進(jìn)行升級。（２）網(wǎng)絡(luò)的實用性實用性一直是符合國內(nèi)發(fā)展的一種潮流觀點，因而我們在對校園網(wǎng)絡(luò)進(jìn)行設(shè)計的時候,我們應(yīng)當(dāng)具備充分使用各種網(wǎng)絡(luò)設(shè)備與業(yè)務(wù)系統(tǒng)的能力，能夠?qū)Ω鞣N設(shè)備了如指掌利用好設(shè)備本身的價值,不過校園網(wǎng)絡(luò)與一般網(wǎng)絡(luò)有一定的區(qū)別，我們也應(yīng)當(dāng)考慮在某些導(dǎo)致流量大幅度提升的特殊時段，如學(xué)生選課等。（３）網(wǎng)絡(luò)的魯棒性除了冗余能力我們也還要具備抗災(zāi)能力如自然氣候原因?qū)е碌碾娏χ袛嗟葐栴}。因此就需要我們在進(jìn)行網(wǎng)絡(luò)的設(shè)計時，對整體網(wǎng)絡(luò)的體系結(jié)構(gòu)中的高可靠性有著一個綜合性的考慮。以便能夠在最短的時間內(nèi)恢復(fù)影響使用的網(wǎng)絡(luò)故障問題。從而提高整個校園網(wǎng)絡(luò)的魯棒性。（４）網(wǎng)絡(luò)的安全性當(dāng)高職院校的校園網(wǎng)絡(luò)進(jìn)行Internet互連時，校園網(wǎng)絡(luò)用戶可以隨時隨地訪問網(wǎng)絡(luò)上的各種網(wǎng)絡(luò)資源，與此同時Internet上的各種危險也隨之而來。當(dāng)前，校園網(wǎng)絡(luò)通過接口連接到與外部項鏈的互聯(lián)網(wǎng)絡(luò)時，網(wǎng)絡(luò)用戶極其容易遭受到來自外部網(wǎng)絡(luò)的各種網(wǎng)絡(luò)威脅如黑客攻擊等。綜合上述，所以我們在制作系統(tǒng)設(shè)計方案時應(yīng)考慮系統(tǒng)用戶信息安全性和數(shù)據(jù)機(jī)密性要求。（5）網(wǎng)絡(luò)的易理性網(wǎng)絡(luò)設(shè)計過程中必須要結(jié)合目前院校的實際情況來進(jìn)行設(shè)計，網(wǎng)絡(luò)在進(jìn)行設(shè)計時必須要考慮整個網(wǎng)絡(luò)結(jié)構(gòu)體系的易理性，一個健康且強壯的網(wǎng)絡(luò)必須要具備對網(wǎng)絡(luò)故障快速定位并且能夠及時消除故障。以便減少網(wǎng)絡(luò)管理員的維護(hù)工作量，提升用戶使用網(wǎng)絡(luò)的體驗性。1.5需求分析1.5.1網(wǎng)絡(luò)安全需求(1)網(wǎng)絡(luò)出口的安全在進(jìn)行網(wǎng)絡(luò)配置的時候需要對ACL列表進(jìn)行嚴(yán)格的控制，在制定ACL策略時應(yīng)當(dāng)對各種業(yè)務(wù)進(jìn)行審查，針對性開放訪問控制，在出口處部署防火墻也是必要的，防火墻在進(jìn)行策略的配置時應(yīng)當(dāng)只允許訪問指定端口。Internet是一個開放的網(wǎng)絡(luò)，校園網(wǎng)連接到Internet后，不可避免地會有影響Internet中網(wǎng)絡(luò)安全的因素，因此設(shè)置安全端口的主要目的是為了防止惡意的網(wǎng)絡(luò)攻擊與具備被危害的木馬與病毒。(2)服務(wù)器區(qū)安全在進(jìn)行防火墻布署時應(yīng)當(dāng)將防火墻放置在網(wǎng)絡(luò)服務(wù)器區(qū)，并且配置完整策略，在策略中對某些特定設(shè)備所使用的端口進(jìn)行限制。1.5.2管理需求（1）通過使用如XShell軟件對所有網(wǎng)絡(luò)設(shè)備進(jìn)行運維管理，并可以集中監(jiān)視網(wǎng)絡(luò)中的主要設(shè)備和骨干網(wǎng)。（2）IP地址的分配能夠通過DHCP進(jìn)行自動分配。（3）實現(xiàn)用軟件進(jìn)行網(wǎng)絡(luò)管理，以統(tǒng)一的方式管理有線用戶和無線用戶，而無需單獨管理。（4）實現(xiàn)用戶在線帳號與在線設(shè)備MAC地址的綁定，確保網(wǎng)絡(luò)用戶的權(quán)益。第二章關(guān)鍵技術(shù)在本文中，與校園網(wǎng)絡(luò)的設(shè)計有關(guān)的技術(shù)主要有以下幾種：端口聚合、VLAN與TRUNK、NAT、IPsec_VPN、動態(tài)路由OSPF協(xié)議、路由重分布、DHCP等，下面進(jìn)行介紹。2.1IPsec_VPN技術(shù)IPSec_VPN在當(dāng)前VPN技術(shù)中具有很高點擊率的技術(shù)，它還提供VPN和信息加密技術(shù)。2.1.1IPsec_VPN技術(shù)介紹IPSec在業(yè)界內(nèi)稱為Internet中的一種安全協(xié)議。IPSec是IETF規(guī)范套件的一部分，該規(guī)范套件提供了互聯(lián)網(wǎng)上的安全通信。IPSec在在公網(wǎng)上為兩個私有網(wǎng)絡(luò)提供私密數(shù)據(jù)封包服務(wù)，以保證連接的安全。IPSec的基本目的是將加密的安全性機(jī)制引入IP協(xié)議，并通過使用現(xiàn)代加密方法來支持機(jī)密性和身份驗證服務(wù)，以便用戶可以選擇性地使用它們并獲得所需的安全性服務(wù)。IPSec是通過制定IPv6協(xié)議而產(chǎn)生的?？紤]到IPv4的應(yīng)用范圍仍然很廣，在后來的IPSec制定中增加了對IPv4協(xié)議的支持。2.1.2IPsec_VPN技術(shù)優(yōu)勢目前我國已經(jīng)將VPN技術(shù)包括IPSec_VPN、SSL_VPN、MPLS_VPN多種技術(shù)投入到實際使用當(dāng)中。這三種VPN技術(shù)均有各自優(yōu)點以及缺陷。目前，國外主要網(wǎng)絡(luò)設(shè)備廠商更加重視SSL_VPN技術(shù)和MPLS_VPN技術(shù)的發(fā)展。從而導(dǎo)致這兩種技術(shù)發(fā)展相對較快，但是當(dāng)前技術(shù)是最成熟，使用最廣泛的依舊是IPSec_VPN技術(shù)。IPSec設(shè)計了一套隧道協(xié)議，其中包括加密和身份驗證方案，以確保數(shù)據(jù)在通過公共網(wǎng)絡(luò)時網(wǎng)絡(luò)數(shù)據(jù)的完整性，安全性以及合法性。IPSec對數(shù)據(jù)進(jìn)行傳輸時，提供了一種高質(zhì)量的加密的機(jī)制，并且該機(jī)制可以與IPv4/IPv6網(wǎng)絡(luò)相互結(jié)合使用。IPsec對數(shù)據(jù)包所提供加密服務(wù)也包括訪問控制，數(shù)據(jù)源身份驗證。2.2VLAN與TRUNK現(xiàn)在，幾乎所有新建高校都采用千兆網(wǎng)技術(shù)，而校園網(wǎng)的中心均為三層交換機(jī)。它可以與VLAN(VirtualLocalAreaNetwork)技術(shù)完美融合，從此擺脫空間的局限性，虛擬子網(wǎng)工作組也可以自由轉(zhuǎn)移，組織或邏輯，而無需更改網(wǎng)絡(luò)的物理連接。2.2.1VLAN概述VLAN是按照應(yīng)用邏輯上劃分的交換網(wǎng)絡(luò)，VLAN與用戶所處的地理位置是相互獨立的。同一虛擬局域網(wǎng)內(nèi)的端口可以接收該虛擬局域網(wǎng)發(fā)送到網(wǎng)絡(luò)的廣播包，而其他虛擬局域網(wǎng)內(nèi)的端口就接收不到。VLAN的特征如下：（1）VLAN的出現(xiàn)，使得網(wǎng)絡(luò)終端的刪改增進(jìn)行了大量的簡化從而使得位于不同VLAN中終端或者移動終端能夠重新獲取到VLAN定義，并不需要以往那種繁雜的操作。（2）VLAN中的網(wǎng)端只能通過廣播和多播的方式進(jìn)行網(wǎng)絡(luò)通信。（3）工作組和網(wǎng)絡(luò)安全虛擬局域網(wǎng)可以約束廣播域中的用戶數(shù)量，掌控VLAN的規(guī)模小和構(gòu)成可以控制廣播域的相應(yīng)特征。2.2.2TRUNK介紹Trunk技術(shù)過去在業(yè)內(nèi)被稱為網(wǎng)絡(luò)封裝技術(shù)，所謂的Trunk是網(wǎng)絡(luò)中的點對點鏈路，Trunk的主要功能是連接多個交換機(jī)，并僅通過一條鏈路來擴(kuò)展它們[8]李德水.基于IEEE802.1Q幀標(biāo)記的VLAN實現(xiàn)原理[J].信息技術(shù),2006,第10期。Trunk技術(shù)允許通過與高級交換機(jī)級聯(lián)來擴(kuò)大端口的規(guī)模?？梢允褂眠@種技術(shù)來實現(xiàn)訪問堆棧，進(jìn)[8]李德水.基于IEEE802.1Q幀標(biāo)記的VLAN實現(xiàn)原理[J].信息技術(shù),2006,第10期2.3端口聚合技術(shù)端口聚合也稱為：以太網(wǎng)通道，普遍運用于交換機(jī)的連接，特別是核心交換機(jī)與聚合交換機(jī)的連接。端口聚合的優(yōu)勢在于可以將兩個或兩個以上的端口聚合在一起，形成一組端口聚合組，實現(xiàn)網(wǎng)絡(luò)負(fù)載均衡，提高連接可靠性，但也同時失去了路徑冗余。在實際的網(wǎng)絡(luò)進(jìn)行應(yīng)用時，在對網(wǎng)絡(luò)設(shè)備進(jìn)行技術(shù)性配置端口聚合時對端口的狀態(tài)是有一定要求的，聚合組中的端口要么處于中繼端口模式要么處于接入端口模式。兩種模式不能共存于一個端口聚合組中。端口聚合包含有VLAN、STP、端口屬性、QQS等技術(shù)：VLAN的主要配置包括:VLAN中允許的端口號和默認(rèn)的端口號等。端口屬性主要包括：端口的鏈路類型，例如：trunk、hybrid、access等。STP的主要配置包括：控制STP網(wǎng)絡(luò)端口的開或者關(guān)。4.QOS的主要配置包括：流量，優(yōu)先級，擁塞等。首先，端口聚合技術(shù)通過低成本的多端口聚合來增加帶寬。比如，通過端口聚合，兩種不同的類型可以是1000個端口使用2000條鏈路進(jìn)行主干鏈路聚合，雖然使用QOS技術(shù)會提高一些使用成本，但是QOS可以極為有效的提子網(wǎng)的網(wǎng)絡(luò)傳輸速度，QOS還能夠有效消除網(wǎng)絡(luò)訪問的瓶頸。此外，該繼電器還提供自動鏈路故障容限和帶寬均衡功能。當(dāng)其中一條鏈路發(fā)生問題時，它仍然可以正常運轉(zhuǎn)，提高了系統(tǒng)的安全穩(wěn)固性。本項目采用華為S5700系列路由交換機(jī)，共配置38個聚合組，關(guān)鍵用于中央機(jī)房的兩臺核心交換機(jī)S5700與本項目各大樓網(wǎng)絡(luò)匯聚交換機(jī)進(jìn)行網(wǎng)絡(luò)互聯(lián)[9][9]謝希仁.計算機(jī)網(wǎng)絡(luò)(第七版)[M].北京:電子工業(yè)出版社,2017,193-1942.4網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)IP地址短缺一直是網(wǎng)絡(luò)中一個難以解決并且相當(dāng)嚴(yán)重的問題，IP的短缺造成了可上網(wǎng)的終端數(shù)量減少，為了有效解決IP地址緊缺的技術(shù)型問題，科研人員在對網(wǎng)絡(luò)技術(shù)的不斷研究中提出過非常多的多解決方案，然而在眾多措施中最可靠的方法仍舊是地址轉(zhuǎn)換(NAT)功能。2.4.1NAT概述在網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理員可以根據(jù)需要自由定義IP地址。當(dāng)內(nèi)部計算機(jī)與外部Internet網(wǎng)絡(luò)通信時，網(wǎng)絡(luò)配置中配置的NAT功能就將內(nèi)部IP地址轉(zhuǎn)換為ISP申請的外部通信IP地址。2.4.2NAT的應(yīng)用環(huán)境（1）內(nèi)部網(wǎng)絡(luò)通過NAT技術(shù)與Internet隔離，因而外部用戶無法獲得內(nèi)部地址。（2）運用NAT地址轉(zhuǎn)換技術(shù)，允許多個網(wǎng)絡(luò)用戶共享一個合法的IP地址，同時與外部網(wǎng)絡(luò)保持通信。2.4.3設(shè)置NAT的條件路由器要想運用NAT技術(shù)，最少要配置一個外部網(wǎng)絡(luò)端口和一個內(nèi)部網(wǎng)絡(luò)端口，及WAN口與LAN口。在進(jìn)行配置時將內(nèi)部端口綁定內(nèi)部IP地址。將外部端口已連接到外部網(wǎng)絡(luò)。2.5DHCP概述DHCP使用專業(yè)術(shù)語進(jìn)行翻譯應(yīng)該為：動態(tài)主機(jī)配置協(xié)議，動態(tài)主機(jī)配置協(xié)議。DHCP技術(shù)通常用于中型或者大型局域網(wǎng)絡(luò)環(huán)境。DHCP可以有效提高IP地址的利用率。DHCP具有以下功能:1.任何IP地址一次只能被一個DHCP客戶端使用。2.DHCP可以為用戶提供一個永久固定的IP地址。3.DHCP應(yīng)該能夠與通過其他方式獲得IP地址的主機(jī)(例如手動配置IP地址的主機(jī))共存。4.DHCP服務(wù)器應(yīng)該服務(wù)于現(xiàn)有的BOOTP客戶端。2.6動態(tài)路由協(xié)議（OSPF）OSPF路由協(xié)議是Internet上運用最普遍的內(nèi)部網(wǎng)關(guān)協(xié)議，主要為自治系統(tǒng)提供動態(tài)選擇的路由[10][10]王笑娟,鄒仁明,彭雋等.OSPF在校園網(wǎng)中的實現(xiàn)[J].中國科技信息,2010,(6):93-95其特征如下:適應(yīng)性強，與各種規(guī)模的網(wǎng)絡(luò)都相匹配，能夠數(shù)百臺路由器之間跳轉(zhuǎn)。（2）在快速收斂網(wǎng)絡(luò)拓?fù)浒l(fā)生變化后，立即更新消息，使變化后的自治系統(tǒng)同步。（3）因為OSPF是使用SPF算法基于收集的鏈接計算，slave算法本身就不會產(chǎn)生自循環(huán)路由。（4）通過將自治系統(tǒng)劃分為多個區(qū)域，可以進(jìn)一步抽象出區(qū)域間傳輸?shù)穆酚尚畔?，進(jìn)而降低網(wǎng)絡(luò)帶寬消耗。（5）等價路由有多個，都可到同一個目的地。2.6.1路由重分布技術(shù)在校園網(wǎng)絡(luò)中,也可用于網(wǎng)絡(luò)各種路由協(xié)議,以達(dá)到各種路由協(xié)議一起工作,路由器可以使用路由再分配(路線”再分配)學(xué)習(xí)通過一種路由協(xié)議在另一種路由協(xié)議上廣播路由，方便鏈接網(wǎng)絡(luò)的所有區(qū)域。為了實現(xiàn)這種重新分配，路由器一定要同時運行多個路由協(xié)議，以便任何一個協(xié)議可以廣播路由表中的其他協(xié)議。在不同協(xié)議之間重新分配路由時，請尤其關(guān)注以下幾點：每一個路由協(xié)議都有其特殊的AD值。大概會存在次優(yōu)路徑的故障。此時需要進(jìn)一步優(yōu)化路由配置，比如修改AD值或?qū)β酚蛇^濾等。二、每一個路由協(xié)議之間的度量值(即度量)也是不同的?；诓煌攘恐档穆酚蓡栴}，規(guī)定不同路由協(xié)議，其種子的默認(rèn)度量值也不同：RIP認(rèn)為再分配的路由表項的度量是無窮的。EIGRP也認(rèn)為再分配的路由表項的度量是無窮的。OSPF認(rèn)為已重新分配的路由表表項的度量（即種子度量）為20，默認(rèn)值為類型。設(shè)備選型3.1國內(nèi)外網(wǎng)絡(luò)設(shè)備品牌概況思科思科于1984年12月成立。它依靠自身過硬的專業(yè)技術(shù)和對網(wǎng)絡(luò)經(jīng)濟(jì)的深度理解成功的成為了網(wǎng)絡(luò)應(yīng)用的實踐者之一，它憑借著自己的技術(shù)創(chuàng)建了屬于自己網(wǎng)絡(luò)設(shè)備品牌。同時也是全球排名第一的網(wǎng)絡(luò)設(shè)備供應(yīng)商。思科的成功與優(yōu)勢就是它創(chuàng)建了網(wǎng)絡(luò)這個商品，因此只要是在于網(wǎng)絡(luò)相關(guān)的設(shè)計上，思科的發(fā)展永遠(yuǎn)是最成功的和先進(jìn)的。在2018中國與美國的貿(mào)易戰(zhàn)爭中，中興作為中國也是，因為思科是全球最領(lǐng)先的網(wǎng)絡(luò)供應(yīng)商，所以我們習(xí)慣的用網(wǎng)絡(luò)界的詞語“鼻祖”來形容它，但是由于國產(chǎn)品牌發(fā)展日益壯大，越來越多的人選擇國產(chǎn)，以至于思科的銷售量逐年降低。華為華為作為全球領(lǐng)先的信息與通訊技術(shù)的供應(yīng)商，它專注于ICT領(lǐng)域，為消費提供服務(wù)。華為是國內(nèi)最大的網(wǎng)絡(luò)供應(yīng)商，它在技術(shù)方面有著領(lǐng)先的優(yōu)勢，正因如此，華為公司生產(chǎn)的手機(jī)現(xiàn)在成為很多人買時候時候的選擇。以前我們因為不了解這個行業(yè)，所以很多人一提起華為就知道這只是一個手機(jī)的牌子，但其實并不是這樣的。華為行業(yè)分布到各個地方，比如有電力和交通，這兩個華為產(chǎn)業(yè)的重要組成部分，占據(jù)華為大部分的份額，也占據(jù)著國內(nèi)網(wǎng)絡(luò)行業(yè)的方方面面?，F(xiàn)在的華為已經(jīng)成為國內(nèi)市場上最大的網(wǎng)絡(luò)公司，銷售量逐年增長。由于思科這種國外品牌發(fā)生的后門丑聞，引起了很多企業(yè)更愿意選擇華為這種高端的國內(nèi)品牌，表達(dá)了我們的愛國之情。H3C有了華為的珠玉在前，H3C大家可能就不那么清楚了。但是最為國內(nèi)的網(wǎng)絡(luò)生產(chǎn)商志一起，毋庸置疑它也占據(jù)了國內(nèi)市場的一部分份額。只是跟國內(nèi)最大說華為網(wǎng)絡(luò)供應(yīng)商來比，它的專業(yè)技能，專業(yè)范圍，操作熟練程度就沒有那么優(yōu)秀。銳捷銳捷是國內(nèi)主流的網(wǎng)絡(luò)及行業(yè)解決方案的供應(yīng)商。銳捷的產(chǎn)品是跟思科學(xué)習(xí)的，所以它們的產(chǎn)品都是自己研發(fā)的。他們研發(fā)時研究的對象就是教育類行業(yè)，因為教育行業(yè)范圍的范圍廣，只要能拿下一部分的教育業(yè)的合同，他們運用的好，自然會給你推廣，因為教育行業(yè)是一個整體，而且價格相對于其他網(wǎng)絡(luò)商來說也比較便宜。中興中興是全球領(lǐng)先的綜合通信解決方案提供商，也是中國最大網(wǎng)絡(luò)通訊設(shè)備公司。中興的網(wǎng)絡(luò)設(shè)備在國內(nèi)主要運用于無線基站與核心網(wǎng)中。中興最為一個外國的網(wǎng)絡(luò)設(shè)備品牌，它的業(yè)務(wù)遍布全國，但我國國內(nèi)的中小型企業(yè)中就看得比較少。但在2018年它收到美國取消它的銷售禁令這一消息，它的營業(yè)收入直線下滑，一度瀕臨破產(chǎn)。3.2產(chǎn)品設(shè)備選型3.2.1設(shè)備品牌選擇根據(jù)對比之后，為了達(dá)到經(jīng)濟(jì)實惠的目標(biāo)，本次設(shè)計中選擇華為的產(chǎn)品作為本次網(wǎng)絡(luò)建設(shè)的網(wǎng)絡(luò)設(shè)備，在眾多網(wǎng)絡(luò)設(shè)備的生產(chǎn)商中選擇華為作為主要的網(wǎng)絡(luò)組建設(shè)備有如下幾點原因：（1）隨著華為的科研技術(shù)逐漸提高，產(chǎn)品技術(shù)也逐漸變得成熟，在國內(nèi)也能夠得到比較好的服務(wù)，使得華為的網(wǎng)絡(luò)設(shè)備在進(jìn)行網(wǎng)絡(luò)的構(gòu)建中成為了國內(nèi)比較熱門的選擇，他們都是華為企業(yè)的衷心客戶，與華為有著長期穩(wěn)定而又良好的發(fā)展。而我們也可以從它的項目和客戶量中看出它的能力以及實力。（2）國外的設(shè)備品牌，比如思科的網(wǎng)絡(luò)設(shè)備，就曾經(jīng)在網(wǎng)上被曝光過出現(xiàn)網(wǎng)絡(luò)設(shè)備安全問題，為了保證校園網(wǎng)絡(luò)的安全與整潔性，國外的網(wǎng)絡(luò)設(shè)備品牌不在選擇之中。（3）產(chǎn)品的性價比高，交付快。因為華為的生產(chǎn)商，供應(yīng)商都在國內(nèi)有產(chǎn)地，同時華為最大國內(nèi)設(shè)備品牌，它的質(zhì)量也是毋庸置疑的，但價格也會相對比較昂貴。3.2.2網(wǎng)絡(luò)設(shè)備產(chǎn)品選型1、網(wǎng)絡(luò)出口設(shè)備：現(xiàn)在是一個網(wǎng)絡(luò)化的信息時代，電腦會產(chǎn)生相當(dāng)大的網(wǎng)絡(luò)流量，有時候一個人會擁有兩臺電腦，所產(chǎn)生的流量就更大了，為了滿足用戶的需求，避免在使用的過程中出現(xiàn)卡頓，所以我們可以采用華為的AR3260路由器作為出口設(shè)備來使用。路由器的設(shè)計一直在不斷的創(chuàng)新，它可以適用于任何板卡，來提高路由器的質(zhì)量、速度和性能，同時我們可以自己在電腦上設(shè)置路由器，變更密碼和名稱，以此來保障網(wǎng)絡(luò)的安全。2、網(wǎng)絡(luò)核心匯聚設(shè)備：網(wǎng)絡(luò)核心匯聚設(shè)備選用的是華為S5700只能路由交換機(jī)。這款路由器屬于華為的高端產(chǎn)品，有完備可靠的保護(hù)機(jī)制。由于它支持40GE/100GE，所以它可以保護(hù)那些業(yè)務(wù)范圍廣的企業(yè)的業(yè)務(wù)不中斷，使用流量網(wǎng)絡(luò)迅速快捷，簡單可靠，維護(hù)方便。，容量和內(nèi)存也比較大，方便客戶自己進(jìn)行規(guī)劃和管理。3、網(wǎng)絡(luò)接入層交換機(jī)設(shè)備：對于網(wǎng)絡(luò)接入層交換機(jī)設(shè)備，我們選擇的是華為的S3700它的傳輸速度相對于其他交換機(jī)來說會顯得稍微快一點，同時價格也更加經(jīng)濟(jì)實惠，用作接入層交換機(jī)綽綽有余。第四章網(wǎng)絡(luò)建設(shè)總體設(shè)計方案4.1網(wǎng)絡(luò)整體架構(gòu)某個高校大學(xué)的第二個校區(qū)的互聯(lián)網(wǎng)重點涵蓋網(wǎng)絡(luò)區(qū)域，服務(wù)器區(qū)域，辦工樓區(qū)域，教學(xué)區(qū)域及其試驗區(qū)域，學(xué)生宿舍區(qū)域與食堂七個能效區(qū)域，各個能校區(qū)均可以直接性連接到中心區(qū)，但會對網(wǎng)絡(luò)權(quán)限展開分類工作。下面是第二校區(qū)的網(wǎng)絡(luò)框架，如圖4-1所示。圖4-1校園網(wǎng)絡(luò)拓?fù)鋱D4.1.1網(wǎng)絡(luò)拓?fù)湓诂F(xiàn)今大部分院校網(wǎng)絡(luò)的結(jié)構(gòu)常規(guī)均是選用“核心層選萬兆，匯聚層挑千兆，接入層接百兆”的互聯(lián)網(wǎng)架構(gòu)。此文把此類網(wǎng)絡(luò)架構(gòu)具體運用在高職學(xué)校的互聯(lián)網(wǎng)架構(gòu)中，利用了下列三種模式：1、互聯(lián)網(wǎng)中心的核心交換器利用萬兆三層交換機(jī)器，用來同網(wǎng)絡(luò)服務(wù)供應(yīng)商的網(wǎng)絡(luò)性接連工作。2、依照學(xué)校內(nèi)的建造物物理上的方位及建造物的個體來選用句型交換機(jī)器的型類及其數(shù)量，而且依照校園架構(gòu)圖選用交換機(jī)器的放置區(qū)位，最終經(jīng)過千兆光纖把匯聚成接連智中心萬兆交換機(jī)器中。4.1.2校園網(wǎng)布局結(jié)構(gòu)整體性布線體系常規(guī)上擁有垂直、水平、建筑群里、管控區(qū)域、工作范疇、設(shè)備間等六個子體系構(gòu)建而成[11]白永祥．西部高職學(xué)院校園網(wǎng)設(shè)計方案探討[J].網(wǎng)絡(luò)通訊及安全，[11]白永祥．西部高職學(xué)院校園網(wǎng)設(shè)計方案探討[J].網(wǎng)絡(luò)通訊及安全，2012，8(12)4069－4073考慮到目前高等職業(yè)院校的實際情況，校園在規(guī)劃上通常基于功能相同的專業(yè)或建筑物。例如，每個專業(yè)都有各自獨立的辦公空間，宿舍區(qū)，圖書館，教學(xué)樓，食堂和其他各種建筑物，并且各棟建造物體間常規(guī)上還流傳著一定的間距，所以，若僅利用一個網(wǎng)絡(luò)設(shè)施區(qū)域則，把不符合現(xiàn)實的狀況亦或會引來愈大的資本預(yù)算，常規(guī)性收益會出現(xiàn)耗損現(xiàn)象。所以，我們能夠選用大量的網(wǎng)絡(luò)設(shè)備機(jī)房，其重點涵蓋中央設(shè)施區(qū)域與子設(shè)施區(qū)域。子設(shè)備室裝置在各個單獨的建造物體中來構(gòu)建一個小規(guī)模的局域網(wǎng)，常態(tài)上小型局域網(wǎng)的覆蓋范疇相對小，所以能夠采用小型路由器和交換機(jī)器來滿足常規(guī)需要。最后，把各層的骨干電纜接入至中央機(jī)房。中央機(jī)房能夠在學(xué)院網(wǎng)絡(luò)中心所處的建造物體中展開創(chuàng)建工作，校園覆蓋網(wǎng)的中心部分（比如各類校園服務(wù)器）能夠置于此范疇里。設(shè)施間的交換器需要接入至中央子設(shè)施間的核心交換器里，所以這里還需要對每個局域網(wǎng)的流量進(jìn)行匯總，這需要中央設(shè)備之間需要具有盡量高的網(wǎng)絡(luò)帶寬與強大的流量處理能力。4.2校園網(wǎng)設(shè)計方案某高校第二校區(qū)校園網(wǎng)絡(luò)利用核心層、匯聚層\分發(fā)層及其接入層的網(wǎng)絡(luò)結(jié)構(gòu)。高職學(xué)院的學(xué)院和本科高等院校有很大的不同在結(jié)構(gòu)設(shè)計中,例如設(shè)置本科高等是不一樣的,還有一些功能強大的高職院校,例如,它主要由體育學(xué)院和大學(xué),主要是音樂學(xué)院和大學(xué),主要是美術(shù)院校,所以我們不能視為相同的進(jìn)行校園網(wǎng)絡(luò)設(shè)計時,高職院校的現(xiàn)實狀況考量到具體的釋析及其創(chuàng)設(shè)，除此之外，還需要考量到后續(xù)院校可能的發(fā)展趨向且要考量的后續(xù)發(fā)展及其優(yōu)化運作。創(chuàng)設(shè)應(yīng)力求先進(jìn)、經(jīng)濟(jì)、實用、安全、可擴(kuò)展等[12][12]張蒲生．局域網(wǎng)組網(wǎng)技術(shù)與實訓(xùn)[M].清華大學(xué)出版社,2006.94.2.1核心層核心層供予高速三層互換型骨干。核心層不接入終端體系，不對高速互換能效的功能產(chǎn)生影響，常規(guī)上不匹配低速接口板塊，供予自身的高實用性[13]王麗雯,龔尚福,馬旭.基于三層交換技術(shù)的虛擬局域網(wǎng)規(guī)劃[J].科技信息,2008,2:63-68。核心層重點考量校園網(wǎng)的互聯(lián)網(wǎng)及其設(shè)施能效，在運作中，綜合性校園網(wǎng)的流量通過眾多層次最終在核心層匯聚。核心層[13]王麗雯,龔尚福,馬旭.基于三層交換技術(shù)的虛擬局域網(wǎng)規(guī)劃[J].科技信息,2008,2:63-68此文選用華為S5700，24口全千兆非網(wǎng)管交換器完成展現(xiàn)以可開拓性相符的要求，在對園區(qū)互聯(lián)網(wǎng)展開創(chuàng)設(shè)時，除了采用VLAN科技外，也能夠支持QOS等科技，以利于后續(xù)高效滿足體系此層面的科技性要求。在確?；ヂ?lián)網(wǎng)的常規(guī)高效性，需要對鏈路展開冗余創(chuàng)設(shè)。利用冗余創(chuàng)設(shè),校園互聯(lián)網(wǎng)運作進(jìn)程中的實用性是縮減校園互聯(lián)網(wǎng)故障的重要科技，同時在高職院校互聯(lián)網(wǎng)采用進(jìn)程中，網(wǎng)絡(luò)流量迅猛提升現(xiàn)象的繁出,如在線課程,同時能夠有承載性平衡的能效，因此我們能夠選用開關(guān)和雙核心科技，以對高能效需求為基礎(chǔ)，核心層需要不斷提升高帶寬，用以應(yīng)對核心層互聯(lián)網(wǎng)量值相對大的現(xiàn)象，使得校園互聯(lián)網(wǎng)擁有更好的通訊品質(zhì)。4.2.2匯聚/分發(fā)層高職院校校園網(wǎng)的匯聚層的主要考慮的是功能性問題。網(wǎng)絡(luò)的防控能效重點是經(jīng)過匯聚層來創(chuàng)設(shè)的，匯聚層重點擁有“連接上下”的能效，“上下”本地邏輯中心，“上下”下層信息的能效，與此同時把聚合的下層信息向上輸送至核心變換中。4.2.3接入層接入層需考量的重點層面是校園網(wǎng)的采用，在校園網(wǎng)中采用接入層接入各局域網(wǎng)與終端用戶。考慮到高職院校中存在大量的終端用戶。接入層在設(shè)計時可以采用具有高性能和具備多種接口的低端交換機(jī)，比如千兆或100M普通交換機(jī)。接入層直接同終端用戶展開關(guān)聯(lián)，所以此層對最終用戶的能效影響較大。4.2.4整體結(jié)構(gòu)設(shè)計現(xiàn)今，全球綜合性拓?fù)浼軜?gòu)有眾多類型，當(dāng)中極為關(guān)鍵的是網(wǎng)絡(luò)組建科技，比如FDDI，ATM與以太網(wǎng)科技。當(dāng)中，以太網(wǎng)交換局域網(wǎng)采用的資金相對少，能夠依照詳細(xì)的需要分布對應(yīng)的能效，擁有相對高的性價比率。現(xiàn)今，眾多職業(yè)性學(xué)院在校園互聯(lián)網(wǎng)上的投入相對少。但是現(xiàn)實需要是留存能夠供予主流互聯(lián)網(wǎng)服務(wù)的高能效園區(qū)覆蓋網(wǎng)，所以此文在總體拓?fù)鋭?chuàng)設(shè)中選擇以太網(wǎng)科技，對于骨干網(wǎng)采選千兆寬帶。這會使得網(wǎng)絡(luò)擁有層次化，創(chuàng)設(shè)組網(wǎng)時愈加的簡單便捷，推動校園覆蓋網(wǎng)擁有便捷，修復(fù)單一，開拓性高的屬性。與此同時，采用分層創(chuàng)設(shè)，能夠推動在后續(xù)的探研進(jìn)程中，一些分層變換更先進(jìn)，更高效的設(shè)施，其能夠提升綜合園區(qū)互聯(lián)網(wǎng)的速率，進(jìn)而縮降綜合運作及修復(fù)的耗費率值。因為我國高職院校的覆蓋范圍相對，重點采用中小型局域網(wǎng)，而且考量到資本輸入問題，層次版型同高職院校網(wǎng)絡(luò)拓?fù)涞臉?biāo)準(zhǔn)是相符的。綜上，針對高職院校的目前的網(wǎng)絡(luò)環(huán)境，我們對核心層，匯聚層和接入層進(jìn)行了詳盡的技術(shù)分析，憑借分析結(jié)果來選擇網(wǎng)絡(luò)設(shè)備。最終此文的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)備決定利用經(jīng)濟(jì)可用性高的國產(chǎn)設(shè)施。其中，核心層選擇具有24個端口的HuaweiS5700。大型非網(wǎng)絡(luò)管理交換機(jī)。華為S570024端口全千兆交換機(jī)是一款集成了網(wǎng)絡(luò)管理功能，支持VLAN，高安全性等功能的交換器。它滿足聚合層的需求，因此在聚合層選擇此交換機(jī)。對于有線用戶，接入層可以選擇24端口走廊交換機(jī)HuaweiS3500。此交換器的價位相對低，擁有16個100M以太網(wǎng)接入端，校園網(wǎng)使用者能夠享受優(yōu)質(zhì)的Internet體驗。4.2IP地址劃分宿舍區(qū)學(xué)生用戶均配置移動網(wǎng)地址，本文中對宿舍區(qū)進(jìn)行了網(wǎng)絡(luò)地址的劃分，具體劃分為：192.168.11.0-192.168.56.254網(wǎng)段。具體IP地址規(guī)劃如表4-1、表4-2所示表4-1宿舍樓IP劃分表樓宇I(lǐng)P地址段備注1#男生宿舍樓192.168.11.0-192.168.18.254DHCP2#男生宿舍樓192.168.19.0-192.168.26.254DHCP1#女生宿舍樓192.168.27.0-192.168.34.254DHCP2#女生宿舍樓192.168.35.0-192.168.42.254DHCP表4-2食堂IP劃分表樓宇I(lǐng)P地址段備注1#食堂192.168.45.0-192.168.50.254DHCP2#食堂192.168.51.0-192.168.56.254DHCP注：宿舍樓和食堂都對IP地址有所保留增加網(wǎng)絡(luò)冗余上限，便于后期的網(wǎng)絡(luò)建設(shè)中能夠容納所擴(kuò)建的網(wǎng)絡(luò)環(huán)境。辦公區(qū)網(wǎng)絡(luò)文中打算分配如下IP地址：192.168.60.0-192.168.83.0/24。具體IP規(guī)劃如表4-3所示：表4-3辦公區(qū)IP規(guī)劃樓宇I(lǐng)P地址段備注1號教學(xué)樓192.168.60.0-192.168.63.254DHCP2號教學(xué)樓192.168.64.0-192.168.67.254DHCP3號教學(xué)樓192.168.70.0-192.168.73.254DHCP圖書館192.168.76.0-192.168.79.254DHCP辦公教學(xué)樓192.168.80.0-192.168.83.254DHCP4.3.1路由設(shè)備互聯(lián)IP地址規(guī)劃核心層網(wǎng)絡(luò)想要與匯聚層、路由設(shè)備互聯(lián)，那么核心層網(wǎng)絡(luò)就必須要配置相互連接的IP地址。如表4-4所示。表4-4路由設(shè)備互聯(lián)IP地址計劃表設(shè)備名對應(yīng)端口IP地址子網(wǎng)掩碼互聯(lián)設(shè)備名對應(yīng)端口出口路由器GE0/0/210.1.111.1255.255.255.0核心匯聚1GE0/0/24GE0/0/010.1.113.1255.255.255.0重分布路由GE0/0/0GE0/0/110.1.112.1255.255.255.0核心匯聚2GE0/0/24GE4/0/01.1.1.1255.255.255.0移動網(wǎng)GE0/0/0GE4/0/1202.138.163.1255.255.255.0本部路由器GE0/0/1移動網(wǎng)GE0/0/01.1.1.2255.255.255.0出口路由器GE4/0/0服務(wù)器1Fa010.1.100.12255.255.255.0服務(wù)器匯聚GE0/0/1服務(wù)器2Fa010.1.100.13255.255.255.0服務(wù)器匯聚GE0/0/2服務(wù)器3Fa010.1.100.14255.255.255.0服務(wù)器匯聚GE0/0/3核心交換機(jī)SW1GE0/0/24192.168.1.2255.255.255.0出口路由器GE0/0/2GE0/0/110.1.122.1255.255.255.0核心匯聚2GE0/0/1GE0/0/310.1.122.1255.255.255.0核心匯聚2GE0/0/3GE0/0/2192.168.15.254255.255.255.0宿舍匯聚GE0/0/1GE0/0/4192.168.12.254255.255.255.0圖書館匯聚GE0/0/1GE0/0/5192.168.11.254255.255.255.0食堂匯聚GE0/0/1核心交換機(jī)SW2GE0/0/2410.1.112.12255.255.255.0出口路由器GE0/0/1GE0/0/1192.168.5.1255.255.255.0核心匯聚1GE0/0/1GE0/0/3192.168.8.2255.255.255.0核心匯聚1GE0/0/3GE0/0/2192.168.9.2255.255.255.0教學(xué)區(qū)匯聚GE0/0/2第五章高等職業(yè)技術(shù)學(xué)校校園網(wǎng)安全體系5.1校園網(wǎng)絡(luò)安全問題5.1.1外部網(wǎng)絡(luò)安全問題當(dāng)職業(yè)院校的網(wǎng)絡(luò)用戶通過校園網(wǎng)與Internet進(jìn)行互相交互時，出在校園網(wǎng)絡(luò)中的用能能夠隨時從Internet上獲取到各種自己所需要的資源。與此同時，特洛伊木馬病毒和黑客攻擊等危險也隨之而來。由于Windows操作系統(tǒng)有著極好的應(yīng)用界面和人性化的操作，使得Windows操作系統(tǒng)在校園網(wǎng)絡(luò)的建設(shè)中所占的比例相當(dāng)?shù)拇?。眾所周知在網(wǎng)絡(luò)安全中便利性與安全性其實是一個無法調(diào)節(jié)的矛盾，由于Windows操作系統(tǒng)過于重視用戶體驗，具有高度開放性，由此帶來的就是該系統(tǒng)的安全性相較于Linux系統(tǒng)來說較為薄弱，具體表現(xiàn)在Windows操作系統(tǒng)具有更多的安全漏洞，因此更易受到黑客的惡意攻擊。校園網(wǎng)絡(luò)的自身其實是一個局域網(wǎng)，而局域網(wǎng)在于互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交換時就很容易遭受到惡意的網(wǎng)絡(luò)攻擊或者感染木馬病毒，而身處校園網(wǎng)絡(luò)中的用戶將會直接遭受到該病毒與特洛伊木馬的直接攻擊。5.1.2內(nèi)部網(wǎng)絡(luò)安全問題在相當(dāng)長的段時間里，高職院校的校園網(wǎng)都在遭遇外部網(wǎng)絡(luò)不安全因素的威脅，但這并不是最重要的問題。校園網(wǎng)的大部分網(wǎng)絡(luò)攻擊源自內(nèi)部的網(wǎng)絡(luò)用戶。在校園網(wǎng)中，網(wǎng)絡(luò)運營商和網(wǎng)絡(luò)設(shè)施可能會帶來一些輕微的影響。而學(xué)校中的網(wǎng)絡(luò)用戶為了更方便的接入校園網(wǎng)絡(luò)，節(jié)約使用網(wǎng)絡(luò)的成本，很多的老師和學(xué)生都會自行購買路由器進(jìn)行安裝，然而未經(jīng)規(guī)劃的路由器再設(shè)置上可能存在問題，同時也會占用跟多的網(wǎng)絡(luò)帶寬，這很容易導(dǎo)致校園網(wǎng)速度變得緩慢。5.1.3其他網(wǎng)絡(luò)安全問題（１）校園網(wǎng)用戶安全意識淺薄萬物互聯(lián)逐漸走進(jìn)了千家萬戶，也走進(jìn)了校園里，無論是在教學(xué)、科研、校園管理，還是在師生校園生活等方面，高職院校的運轉(zhuǎn)無疑對網(wǎng)絡(luò)產(chǎn)生了較高的依賴性，導(dǎo)致了現(xiàn)如今無論在網(wǎng)上工作、網(wǎng)上學(xué)習(xí)、學(xué)生報名、學(xué)生選課或者進(jìn)行課題研究上都離不開網(wǎng)絡(luò)。但絕大部分師生的網(wǎng)絡(luò)安全意識十分淺薄，在他們的意識之中，校園網(wǎng)是在互聯(lián)網(wǎng)之外、內(nèi)網(wǎng)之內(nèi)、被隔離出來的一個極度安全又理想的網(wǎng)絡(luò)環(huán)境。因此，由于對校園網(wǎng)絡(luò)安全性的相信，這些人時常出于個人需求，在公共電腦隨意地上傳或下載軟件或資料，比如通過機(jī)房和辦公室的公共電腦進(jìn)入安全性未知的網(wǎng)站、下載來源未知的軟件，或?qū)€人的Ｕ盤、移動硬盤、手機(jī)及電腦等設(shè)備與公共電腦之間進(jìn)行數(shù)據(jù)傳輸，這些危險的操作都有可能會導(dǎo)致病毒在校園網(wǎng)內(nèi)傳播，并且無法徹底刪除。哪怕管理人員在對病毒進(jìn)行了嚴(yán)格的清理，過一段時間后依舊會出現(xiàn)各種各樣奇奇怪怪的病毒，存在內(nèi)網(wǎng)中的病毒最后通過校園網(wǎng)絡(luò)再次入侵個人電腦和網(wǎng)絡(luò)設(shè)備之中。（２）校園網(wǎng)安全管理資金投入不足在現(xiàn)實的網(wǎng)絡(luò)環(huán)境中，由于高職院校在校園網(wǎng)建設(shè)方面可投入的資金不足，加之安全管理意識普遍較為薄弱，導(dǎo)致校園網(wǎng)建設(shè)和安全管理的資金十分欠缺。高職院校的購買硬件、網(wǎng)絡(luò)設(shè)備安全保護(hù)方面的不足,在軟件,為了省錢,使用盜版軟件的狀況在高職院校中頻頻出現(xiàn),同時專業(yè)網(wǎng)絡(luò)管理教師少,尤其是在網(wǎng)絡(luò)安全領(lǐng)域的老師,所以,當(dāng)發(fā)生緊急網(wǎng)絡(luò)事故時,無法及時采取相應(yīng)的應(yīng)急措施，從而造成財產(chǎn)損失。除此之外，網(wǎng)絡(luò)管理人員網(wǎng)絡(luò)安全意識薄弱，基本上不會開展網(wǎng)絡(luò)安全的教育培訓(xùn)，導(dǎo)致其在校園網(wǎng)建設(shè)和發(fā)展過程中，常常只關(guān)注校園網(wǎng)的擴(kuò)展程度。然而，隨著網(wǎng)絡(luò)規(guī)模的逐漸擴(kuò)大管理員在管理上也會逐漸顯得松散漸漸有心無力，這將會給網(wǎng)絡(luò)管理工作帶來更加重大而且沉重的負(fù)擔(dān)。（３）校園網(wǎng)安全管理制度不健全在長期的實踐工作中，校園網(wǎng)安全管理不僅存在由于資金缺乏所帶來的各類問題，內(nèi)部網(wǎng)絡(luò)還有可能出現(xiàn)管理層面的紕漏。例如，一些服務(wù)器實際上已經(jīng)廢棄，但由于工作管理的疏忽而沒有被及時關(guān)停；還有由于網(wǎng)絡(luò)管理人員對日常安全防護(hù)工作的不重視,對存在于網(wǎng)絡(luò)中的設(shè)備硬件或者業(yè)務(wù)系統(tǒng)沒有做一個定期的檢查和維護(hù)工作,防火墻的沒有采取足夠的安全措施常常都是所有的防護(hù)策略設(shè)為允許所有網(wǎng)絡(luò)流量通過,這就導(dǎo)致很容易收到內(nèi)部和外部的病毒木馬感染和黑客攻擊校園網(wǎng)絡(luò)，造成網(wǎng)絡(luò)安全事故。目前，大多數(shù)高職院校的安全管理體系還不完善。在此類體系下，當(dāng)安全問題爆發(fā)的時候并沒有一個完善的網(wǎng)絡(luò)安全事件應(yīng)急方案。因而無法在災(zāi)害變大之前及時有效的解決。5.2校園網(wǎng)絡(luò)安全體系設(shè)計5.2.1安全體系結(jié)構(gòu)1.將用于保存校園網(wǎng)流量日志服務(wù)器假設(shè)在內(nèi)外網(wǎng)互相連的主機(jī)上，以便于抓取校園網(wǎng)中網(wǎng)絡(luò)用戶上網(wǎng)時所產(chǎn)生的數(shù)據(jù)、上網(wǎng)地址和流量信息。同時，定期對這部分信息進(jìn)行匯總和檢查，并第一時間將異常數(shù)據(jù)上傳至校園網(wǎng)負(fù)責(zé)監(jiān)控的服務(wù)器中，以便能夠及時發(fā)現(xiàn)、處理和解決其中存在的緊急安全問題。2.在實際的網(wǎng)絡(luò)應(yīng)用中，校園網(wǎng)檢測服務(wù)器并不在一個相對固定的位置上。通常情況下，只要負(fù)責(zé)檢測的服務(wù)器能夠?qū)π枰獧z測的校園網(wǎng)區(qū)域進(jìn)行訪問，那么校園網(wǎng)絡(luò)的具體運行狀態(tài)就能夠被監(jiān)視服務(wù)器所監(jiān)控，并及時察覺到網(wǎng)絡(luò)中出現(xiàn)的特殊狀況。在監(jiān)控過程中，檢測服務(wù)器對各個網(wǎng)絡(luò)設(shè)備的實時監(jiān)控，是利用一個簡易的網(wǎng)絡(luò)協(xié)議SNMP來實現(xiàn)的。當(dāng)異常狀況發(fā)生時，信息將被及時上傳至監(jiān)控服務(wù)器。監(jiān)控服務(wù)器通過與檢測服務(wù)器進(jìn)行聯(lián)動響應(yīng)，能夠達(dá)到對具有隱藏危險的異常信息進(jìn)行處理的功能，包括對異?？蛻舳藦棾鑫ｋU警告提示、凍結(jié)其所使用的賬號、實施強制斷網(wǎng)或者關(guān)機(jī)等。5.2.2校園網(wǎng)絡(luò)安全體系構(gòu)建構(gòu)建校園網(wǎng)網(wǎng)絡(luò)安全體系的方法有以下四種。根據(jù)網(wǎng)絡(luò)安全需求的不同，對整體網(wǎng)絡(luò)區(qū)域?qū)嵭袆澐之?dāng)前校園網(wǎng)絡(luò)系統(tǒng)所應(yīng)用的結(jié)構(gòu)通常為典型的三層架構(gòu)模型，即核心層、匯聚層和接入層。該模型設(shè)計層次明顯，邏輯清晰，能夠在日常的管理和維護(hù)中給管理人員提供相對較大的便利。但是，該模型也忽視了一個相當(dāng)關(guān)鍵的網(wǎng)絡(luò)安全問題，即，沒有對同一層次下不同模塊節(jié)點間配置以適當(dāng)隔離。因此，在某種程度上，該模型結(jié)構(gòu)存在安全隱患。該問題常存在于實際應(yīng)用中，而相應(yīng)的解決辦法則涉及大量人力、物力等的耗費。本文將根據(jù)網(wǎng)絡(luò)安全需求的不同，對整體網(wǎng)絡(luò)區(qū)域進(jìn)行功能劃分，并在此基礎(chǔ)之上，在不同區(qū)域之間進(jìn)行安全隔離措施的部署，如：WAN區(qū)、Internet服務(wù)器區(qū)、DNZ區(qū)、遠(yuǎn)程接入?yún)^(qū)、數(shù)據(jù)區(qū)、網(wǎng)管區(qū)和內(nèi)部辦公區(qū)。使用防火墻作為網(wǎng)絡(luò)安全隔離手段防火墻是網(wǎng)絡(luò)結(jié)構(gòu)中一種非常常見并且非常有效的網(wǎng)絡(luò)隔離技術(shù)，防火墻的作用是可以把內(nèi)部網(wǎng)絡(luò)環(huán)境與公共網(wǎng)絡(luò)環(huán)境隔離開來。防火墻具備很強的阻擋能力，可以有效地防來自Internet的惡意網(wǎng)絡(luò)攻擊?；谏鲜?，本文將利用防火墻設(shè)備對上述所劃分的各個網(wǎng)絡(luò)安全區(qū)域進(jìn)行有效隔離，作為每個區(qū)域之間的信息通道，并對相應(yīng)安全策略進(jìn)行配置，以此保證每個間隔之間進(jìn)行傳輸?shù)臄?shù)據(jù)流的監(jiān)控。針對關(guān)鍵網(wǎng)絡(luò)路徑進(jìn)行特點防護(hù)隨著網(wǎng)絡(luò)攻擊技術(shù)的迭代升級，一些在網(wǎng)絡(luò)中傳播的安全數(shù)據(jù)包中可能存在特洛伊木馬病毒，其目的是通過將該類惡意數(shù)據(jù)或程序進(jìn)行偽裝，以躲避防火墻的正確識別。為解決此類安全問題，文中選擇在校園網(wǎng)絡(luò)結(jié)構(gòu)中部署IPS入侵防御安全設(shè)備。該安全設(shè)備可以對數(shù)據(jù)包進(jìn)行深入分析，以判斷在網(wǎng)絡(luò)中所傳播的數(shù)據(jù)包的安全性。當(dāng)判斷數(shù)據(jù)包中存在惡意數(shù)據(jù)或程序時，該設(shè)備能夠通過自身的特征庫對不同惡意數(shù)據(jù)或程序采取不同對策。對用戶上網(wǎng)行為進(jìn)行監(jiān)控審查在當(dāng)今萬物互聯(lián)的時代里，互聯(lián)網(wǎng)能夠為用戶提供的資料和服務(wù)數(shù)不勝數(shù)。然而，校園網(wǎng)絡(luò)在實際運行中所需要的服務(wù)卻遠(yuǎn)少于當(dāng)下的提供數(shù)量。豐富的服務(wù)種類不但占用校園網(wǎng)絡(luò)的合法應(yīng)用帶寬，危害校園系統(tǒng)，還會影響在校師生的學(xué)習(xí)與工作效率等。因此，可以利用非法互聯(lián)網(wǎng)應(yīng)用識別技術(shù)，對不必要的服務(wù)進(jìn)行有效地檢測與分析，并利用阻斷網(wǎng)絡(luò)傳輸或限制流量的方法對其進(jìn)行合理且有效地控制。通過以上設(shè)置，校園網(wǎng)的