校园网站的设计毕业设计论文.doc

资源描述

《校园网站的设计毕业设计论文.doc》由会员分享，可在线阅读，更多相关《校园网站的设计毕业设计论文.doc（34页珍藏版）》请在三一办公上搜索。

1、先锋软件学院毕业设计（论文）题目：校园网站毕业论文先锋软件学院学生毕业设计（论文）工作自查表（2010年10月- 2011年3月检查）学生姓名秦翔远专业软件设计与开发学号200800003054导师姓名肖见峰职称导师每周指导次数3每次： 3小时题目名称校园网站毕业论文作息时间上午9时 10 时下午3时 4 时晚间8时 9时个人精力实际投入日均工作小时3周均工作小时10缺席天数0出勤率%100毕业设计（论文）工作进度已完成主要内容%待完成主要内容%1 软件开发环境的搭建2 设计原则的分析应用3 方案操作特点的论述 60校园网的后期调配，测试40存在问题工作措施分析不够全面，简洁；页面设计欠缺美观

2、；缺少部分代码的整理调试；还有待继续改进，做到最合理方便的效果指导教师（签字）：日期：年月日先锋软件学院毕业论文（设计）评阅表（指导教师、评阅人用）论文（设计）名称学生姓名学号指导教师或评阅人）姓名序号评审项目指标满分评分1论文（设计）完成量论文（设计）内容完成量，难易程度符合教学基本要求202调查与综合根据论文（设计）任务，能独立查阅文献资料和从事其它有关调研。有收集、综合和正确利用各种信息的能力。203论文（设计）质量文章切合选题，材料丰富、内容充实，观点明确、论据充分、论证严格，构思完整、层次分明、段落、论题间的衔接自然、舒展。文笔流畅、语言通顺、使用专业术语准确，图表清楚，符

3、合要求。504创新有独特的见解，或有一定应用价值10总分评语：（明确指出论文（设计）的调研论证材料收集是否适合论点要求、创新点、论文（设计）论证能力、写作水平，同时要明确指出论文（设计）的不足之处及改进方向。）评阅人：年月日摘要【摘要】随着计算机技术、网络技术的发展，网络设备的价格不断下降；同时国家各级政府对于教育的投入不断增加，大量计算机进入了校园，组建校园网不仅是十分迫切的工作，可行性也非常高。计算机和网络已经成为各行各业在工作中的工具，是否掌握计算机的技术和应用，已经成为衡量一个从业者是否合格的重要标识。如何正确创建校园网已是现在所有学校的够共同目标。【关键词】CERNET、

4、校园网建网、解决方案、安全与流量控制。AbstractWith the development of computer technology and network technique ,the prices of net equipement are declining constantly .Meanwhile ,the investment on education from the government of all levels is incresing .As a result ,a large number ofcomputers have been installed in s

5、chools ,which makes the creation of Campus network urgent and feasible.Up to now , computer and network have become important tools at all walks of life .whether a practitioner is qualified for a job depends on his mastery and application of computer technology ,On this basis ,how to set up Campus n

6、etwork has become the common aim of all the schools. Keyword: CERNET Campus network Layering Solution Security and flow control目录摘要IIAbstract.III前言.11 需求分析.21.1 背景介绍.21.2 需求分析.22 设计原则.32.1 网络设计的基本原则.32.2 模块化、层次化的基本原则.42.2.1模块化设计.42.2.2层次化设计.42.3 标准化、规范化原则.52.4 校园网的设计原则.53 解决方案.63.1 网络拓扑图.63.2 方案说明.6

7、3.2.1 用户上网方案.83.2.2 IP地址规划和路由设计.83.2.3 安全与流量控制.93.3 方案特点.124 结论.17致谢.18参考文献.19附件一网络设备技术参数.201.RG-WALL 1000 千兆防火墙/VPN网关.202.RG-R3600 系列包含二款路由器：RG-R3642 和 RG-R3662.21附件二有关专业名词解释.241.802.1QVLAN.242.网络地址转换 (NAT).253.DDN.264.QoS.265.BASE-FX、BASE-TX、BASE-LX、BASE-SX.27 前言人们的生活中已经起到了越来越重要的作用。校园作为知识基地和人才基地

8、，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游，更应在管理上上一个台阶。利用各种成熟的技术带动学校各单位、各部门的电脑化管理，通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和规范性；教职员工和学生可共享各种信息，极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才。在学校中建立计算机网络已经是十分迫切的需要。随着计算机技术、网络技术的发展，网络设备的价格不断下降；同时国家各级政府对于教育

9、的投入不断增加，大量计算机进入了校园，组建校园网不仅是十分迫切的工作，可行性也非常高。1 需求分析1.1 背景介绍中国教育和科研计算机网 CERNET 是由国家投资建设，教育部负责管理，清华大学等高校承担规划、建设和运行管理的全国最大的公益性计算机互联网络。CERNET 始建于 1994 年。十年来，在国家的大力支持下，教育部各届领导直接领导和关怀下，和一批专家和技术人员的共同努力下，CERNET 从无到有，由小变大，从弱到强，取得了令人瞩目的成绩，成为我国重要的信息化基础设施，在我国教育和科研事业发展，以及教育信息化建设中发挥了重要作用。目前,CERNET 主干网传输速率达到 2.5

10、5Gbps,地区网传输速率达到 155M2.5Gbps，覆盖全国 31 个省、市 200 多座城市，联网的大学、教育机构和科研单位超过 1300个，用户超过 1800 万人，成为世界上最大国家级公益性计算机互联网。CERNET 也是我国下一代互联网研究与建设的先行者，近几年来承担了中国高速互联研究试验网 NSFCNET，863IPv6 综合实验环境，CERNETIPv6 试验网，中日 IPv6 合作研究等一批我国下一代互联网的试验和研究项目，推动了我国下一代互联网的研究和技术进步。2004 年 1 月，CERNET 与美国 Internet2、欧盟 GEANT 等全球最大学术网共同宣布，

11、开通全球 IPv6 下一代互联网服务。2004 年 3 月 19 日，连接北京、上海和广州的 CNGI 核心网 CERNET2 试验网开通并开始提供服务1.2 需求分析高校校园宽带网用户集中且网络流量大，关注网络的可运营和可管理特性，教学区、宿舍区用户对校园网、教育网、INTERNET的访问有相应的路由策略和相应的计费策略。校园网存在多个出口需求，校园网至少要提供中国教育科研网（CERNET ）和INTERNET两个出口。校园网安全性要求较高，要求设备能够实现用户识别和动态绑定功能如通过 “IP+MAC+端口”三元组的动态绑定来识别用户。校园网WEB页面可实现以下功能：用户Web自助服务功

12、能，用户可通过Web自助服务页面，进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线帐号充值。校园网用户能实现多ISP权限选择。用户可通过不同的帐号或采用相同帐号的不同域名进行认证，以获得不同的权限，不同的权限对应不同的计费策略。校园网要求实现多种支持普通包月、包月限时长、包月限流量、计天、计时长和计量等多种计费策略。支持用户卡和充值卡，冲值卡配合用户卡以及提供的公用服务功能可以实现用户的完全自助管理。校园网要求能对每个用户的使用情况能进行事后审计，能够定位到IP地址以及用户所连接的端口和登录的用户名，限定帐号的使用端口。校园网要求能实现对用户带宽的动态控制。

13、校园网要求实现组播业务，校园网要求在学校规模不断扩大中，用户数在持续增加，要求网络具有很好的扩展性，能够根据需要逐步平滑升级到万兆的骨干连接。网管平台实现网络资源的管理、网络安全访问的控制。并且在平台上能方便地开发所需网络应用。采用流行的、支持设备面广、有良好图形界面的网管平台。网管系统能够管理到网络中的每一个智能设备及有关设备的每一个端口，即能够远程对设备进行设置、调试、网络流量监测和必要的重置。能对网络故障能及时发现并报警。作为校园网，需要连接多少个节点，怎样使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中，怎样使整个网络上的节点相互连通，这些问题仅仅是校园网

14、需要解决问题中的一部分，更重要的问题如何将这些资源有序地组织起来，需要实现什么功能，以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园内部、校园与外部进行信息沟通的体系，建立满足教学、科研和管理需求的计算机环境，为学校各种人员提供充分的网络信息服务，在网络环境中进行教学、研究、收集信息等工作。校园需要的基本功能有：计算机教学，包括多媒体教学和远程教学；网络下载、网络聊天等；电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动；文件传输 FTP：主要利用 FTP 服务获取重要的科技资料和技术文挡；INTERNET 服务：学校可以建立自己的主页，利用外部网页进行学校

15、宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见等。图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等；其他应用，如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。2 设计原则2.1 网络设计的基本原则校园网建设是一项大型网络工程，各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统，为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，网络设计一般应遵循下列基本原则：可靠性和高性能网络必须是可靠的，包括网元级的可靠性，如引

16、擎、风扇、单板、总计等；以及网络级的可靠性，如路由、交换的汇聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。实用性和经济性，由于学校资金并不是很充足，不可能一步到位。另一方面，学校的应用水平较参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足

17、将来系统升级的要求。易管理、易维护由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。先进性、成熟性当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保校园网络能够适应将来网络技术发展的需要，保证在未来若干年内占主导地位。安全性、保密性网络系统应具有良好的安全性。由于

18、校园骨干网络为多个用户内部网提供互联并支持多种业务，要求能进行灵活有效的安全控制，同时还应支持虚拟专网，以提供多层次的安全选择。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。灵活性、综合性通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。QoS（质量服务）保证，教育在语音和视频等多媒体应用方面一

19、直走在社会的前列，这类应用对服务质量的要求很高。QoS（质量服务）需要在网络的端到端进行全盘计划和实施，由于各接入网络和端设备的复杂性与多样性，骨干网必须尽可能地支持各种质量服务技术，特别是最新的技术如 MPLS VPN 和流量工程，以提供简洁透明的质量服务机制。2.2 模块化、层次化的设计原则2.2.1模块化设计所谓模块化就是将把整个网络按功能和安全需求分为若干个组件，这些组件之间有一定的安全边界，组件内部有完整的网络设计。模块化设计的好处在于：解决各网络之间的冲突问题；简化安装和后台设备管理；易于故障检测和分离问题；易于执行不同类型的服务和安全方针；易于扩展和/或代替原来的

20、技术。校园网的设计可以借鉴这种思想，对各种不同种类，不同安全等级的业务进行模块划分，相互之间的访问将受到控制。当然，在实际情况中并不一定要求严格按照上述模块划分，而是根据实际情况灵活运用，做适当的裁减与调整。2.2.2层次化的设计层次化网络设计模型对于大型网络，可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。(1)核心层核心层的主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交

21、换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外，为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。(2)汇聚层汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量（path metric）和路由协议网络通告控制。(3)接入层接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过 VLAN 技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量

22、，避免不同模块之间相互影响。访问层主要通过二层交换机组成。层次化网络设计模型的优点“核心层-汇聚层-访问层”层次化网络设计模型有如下优点：高可扩展性遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。易于实施每一层的功能性清晰划分，简化每一层的实现。易于故障排除每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围。易于规划和管理层次化的功能划分，整个网络规划和管理更为简单。2.3 标准化、规范化原则标准化原则锐捷网络作为国内率先通过 ISO9002/9001-2000 版国际认证的 IT 厂商

23、，始终将“品质第一、永续经营”作为贯彻整个生产经营过程的品质政策。规范化原则按照安全模型的指导，从健康检查阶段、评估分析阶段、规划设计阶段、安全实施、运维管理、安全培训整个安全周期角度进行安全方案的设计和实施。2.4 校园网的设计原则校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段。采用成熟、先进的技术和设计思想，运用现有的系统集成的技术路线，强调系统先进、实用、开放、安全、使用方便和易于扩充等特点，突出系统功能的完善，实现办公现代化、信息资源化、传输网络

24、化和决策科学化。其设计方案应注意以下原则：实用性：校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。满足管理职能的需求，为提高管理决策的及时性和准确性提供高质量的信息服务，增强对运行的协调和监控能力。先进性：在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。符合计算机技术发展趋势，采用先进成熟的技术，坚持技术的开放性，易于技术更新。可扩充性：方便系统和支撑平台的升级，满足用户对信息需

25、求不断变化的需要，以及系统投资建设的长期性效益。灵活性：通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。安全性：应能在可靠性的前提下，抵挡来自内部和外部的攻击；采用的安全措施有效、可信，能够在多层次上、以多种方式实现安全的控制。可靠性：校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的 MTBF(平均无故障工作时间)和极低的 MTTR(平均无故障率)，提高容错设计，支持故障检测和恢复，可管理性强。统一性：在系统的设计过程中，坚持“三统一”，即统一规划、统一标准、统一出口。经济性：在充分满足

26、以上要求的前提下，应充分考虑到学校的经济承受能力，尽可能地节约投资，花好每一分钱。规范性：采用的技术标准要遵循国际标准和国家标准与规范，保证系统发展的延续和可靠性。系统性：项目的开发必须按系统工程的管理方法，分阶段、有计划的统一组织实施。综合性：以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。3 解决方案3.1 网络拓扑图图1 网络拓扑图3.2 方案说明校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因学校存在大

27、量的语音和视频传输。据此，考虑汇聚层对 QoS 有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以及易于维护的特点。根据学校建设要求与总体目标，骨干网采用三层结构，由核心层，汇聚层和接入层构成。在接入层面，通过定义相应的访问策略，实现访问控制，内外隔离和抭 IP 地址。在网络结构上，采用成熟的千兆以太网技术(第三层交换)作为核心层，呈网状拓扑结构。以 TCP/IP 协议为主，并辅以 IP/SPX. NETTEUI 等其他流行通信协议坚持开放性和标准化，采用标准的通讯规程，以有利于不同厂家之间的互连，使不同系统间易于集成，兼顾其他标准的网络体系

28、结构，网络能实现协议之间无缝连接。而公用服务器与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠的设备，此产品是具有运营商级容错能力的高性能大型网络核心交换机，可实现冗余备份，从而提高核心层的可靠性。整个网络通过汇聚层交换机 RG-S6806E 和核心交换机 RG-S6810E 之间的链路冗余备份和负载均衡提供安全可靠的网络构架（使用 OSPF、ECMP、WCMP 等技术），其安全保障技术提供一个全网概念的整体网络安全，而通过简单地增加万兆模块可以平滑升级到万兆骨干的校园网。如拓扑图所示，作为学生宿舍网的核心，要求设备能够大容量、稳定可靠的高速路由转发，能够接入大量的

29、汇聚节点并满足今后扩充的需要。同时，应完备的 QOS 保证机制，完备的业务控制、用户管理机制。同时，还应该考虑到与一期工程的网络设备之间的良好的兼容性、互通性。因此，在本方案的在核心层，部署了锐捷网络的 RG-S6810E 模块化骨干路由交换机两台，该交换机具有高达 1.6T（可扩展 3.2T）的背板，L2/L3 层具有 572Mpps 的转发率，同时还可以配置冗余电源和管理引擎模块，可以实现对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能为学校的出口规则提供了灵活的设置，此外核心交换机硬件的 IPv6 功能为学校接入 CERN

30、ET2 提供了无缝连接。为了提高网络上连带宽，业界提出了端口聚合(802.1ad)的概念，此概念也广泛应用于校园网的建设中。锐捷网络交换机可将多个端口聚合，每条干路支持全双工模式。端口聚合可以在单台交换机中进行配置，支持聚合通道内部的负载均衡。从核心层到汇聚层使用多条多模光纤连接到汇聚层交换机，并实现端口聚合。汇聚层起着承上启下的作用，负责对各种接入的汇聚，并可在该层实现对于用户的访问控制，以及对用户的网络管理。因此，汇聚层应考虑三层智能交换机。在本方案中，共部署三台锐捷网络自主研发的 RG-S6806E 模块化骨干路由交换机。在汇聚层使用三层交换机的目的是为了减轻核心层的负担。接入

31、层应该能够实现对用户的访问控制，并具有较强的安全和 QOS 控制功能，支持802.1x 的认证计费，支持千兆上联支持 SMNP 的网管。同时为满足学生宿舍网的高端口密度接入的需求接入层应考虑二层智能型可堆叠交换机。因此，在接入层部署了锐捷网络的 STAR-S2126G/STAR-S2150G 智能型可堆叠交换机。同时为了保证宿舍网内部网的安全 , 在内网和外网之间增加硬件防火墙，接在 INTERNET/CERNET 出口的位置,根据安全需求可将校园网分为内部网、外部网与 DMZ 区等，以保护校园网的安全，防止恶意用户的攻击。为了统一网络管理和监控，在网络中心配置 StarView 管理平

32、台可以对设备进行集中的管理，包括网络拓扑发现、配置管理、性能管理、事件管理，实现全网设备的管理。在网络中心两台核心交换机各通过两条千兆链路连接校园图书馆子网，两台核心交换机间业务量增大时，也可考虑通过上行双链路 Trunk 来连接。其中公寓干网以千兆链路下联至公寓楼宇交换机 STAR-S2126G/STAR-S2150G；同时网络中心通过千兆连接专项课题研究楼子网；在网络中心核心交换机通过千兆链路连接行政/教学楼子网交换机。以千兆链路下联至楼宇交换机 STAR-S2126G/STAR-S2150G；计算中心子网及应用服务器群另在网络中心通过千兆链路下行连接。实现百兆交换到桌面。3.2.1

33、用户上网方案(1) 访问校园网用户在连接到网络中时，首先获得是校园网的 IP 地址，此时用户只能访问校园网内部的资源，并且对用户不计费。在该方案中，S6810E 和 S6806E 起到三层交换机的功能，校园网用户之间的互访都必须通过 S6810E 和 S6806E 进行。(2) CERNet用户需要访问 CERNet 时，使用 CERNet 的域名,获得 CERNet 的地址后，就可以访问。(3) INTERNET用户需要访问 INTERNET 时，使用 INTERNET 的域名，获得 INTERNET 的地址后就可以访问。3.2.2 IP地址规划和路由设计(1) IP 地址规划IP 地址

34、规划是整个网络设计中的重要组成部分，地址规划的科学性和合理性将直接反应网络拓扑的设计思想，对网络的稳定起到至关重要的影响。好的地址规划同科学的分层网络拓扑设计相辅相承，共同形成整体的网络设计解决方案。合理的网段划分结合灵活的 VLAN 规划，可以有效地降低网络风暴的产生，保证整个网络的稳定，同时也起到一定的网络安全功能。IP 地址规划目标建立高效的网络路由；有效利用有限的 IP 地址资源；支持网络的扩展；支持网络技术的演变和发展。IP 地址规划原则简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式；连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛(Summarizat

35、ion)及 CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项，提高路由器的处理效率；可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性；灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化；可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。校园网地址规划方案校园网IP地址分配总则校园网IP地址分为三大块：校园网内部的私有IP地址，采用RFC中规定的地址段，不能访问In

36、ternet和Cernet；Cernet分配的多个C类公网IP地址，作为和国际互联网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆、部分实验室专用；运营商分配的公网IP地址，用于访问Internet。关键服务器拥有两个公网IP，分别跨接在Cernet和Internet上。校园网内部私网IP地址的分配内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个C的划分。为了安全考虑对所有的都采用静态分配IP地址，为防止地址盗用，采用IP地址、MAC地址与端口绑定。IP地址的分配用户的计算机在连接到校园网上时，首先获得一个校园网内部的IP地址，此时该计算机只能访问校园

37、网内部。用户需要访问Cernet和Internet，要使用帐号登陆，认证通过后才能访问。(2) 路由设计校园网路由设计不使用默认路由，使用策略路由，防止从 Internet 访问校园网。Internet 路由设计采用静态默认路由协议访问 Internet，为了实现路由的备份，配置到 Internet 的两条默认路由，两条路由的优先级可以相同，可以不同。如果相同，则两条线路采取负载分担方式。如果不同，则是主备方式，其中优先级高的称为主路由，优先级低的为备份路由。这样，正常情况下，路由器采用主路由发送数据。当线路发生故障时，该路由自动隐藏，路由器会选择余下的优先级最高的备份路由作为数据发送的途

38、径。这样，也就实现了主路由到备份路由的切换。当主路由恢复正常时，路由器恢复相应的路由，并重新选择路由。由于该路由的优先级最高，路由器选择主路由来发送数据。采用源地址路由，让 Internet 地址访问 Internet；采用 ACL，防止访问 Cernet 的流量通过 Internet；采用 ACL，防止来自校园网的 Internet 地址。3.2.3 安全与流量控制(1) 网络安全控制对端口 ARP 检查防止 ARP 攻击；对端口安全：MAC 动态地址锁，MAC 地址静态绑定；交换设备 BPDU Guard 功能，过滤非法 BPDU 报文，防止 STP 攻击交换机；端口安全：端口静态

39、绑定，自动绑定 IP 和 MAC 地址防止 DOS 攻击；智能安全到边缘：多种 ACL，满足不同网络应用，过滤病毒SSH 密文传输，限制管理 IP 等措施保证设备管理可靠；对网络病毒的防范：采用设置 ACL，对病毒进行过滤；我们使用的汇聚、核心交换机都支持 SPOH，通过端口独立的 FFP 进行 ACL 处理，网络设备性能不受设置 ACL 数目影响；(2) VLAN 需求默认时，交换机分隔冲突域；路由器分隔广播域。第 2 层交换式网络的最大好处是，它为插入到交换机每个端口的每台设备创建了各自的冲突域。但每一个新的改进通常都会引起新的问题用户和设备的数量越大，每台交换机必须处理的广播和数据

40、包就越多。安全性也是一个问题，因为在典型的第 2 层交换式互联网络的内部，默认时所有用户都可以看见所有的设备。你不能让设备停止广播，也不能让用户不响应广播。连接到物理网络的任何人都可以访问位于物理 LAN 上的网络资源，用户只需将其工作站插入到现有的集线器中，就可以加入某个工作组。安全性选项只能限于在服务器和其他设备上设置口令。通过创建虚拟局域网（VLAN），就可以在一个纯交换式的互联网络中，分隔广播域。VLAN 是两个部分的逻辑组合：一是网络用户；二是在管理上连接到交换机所定义端口的资源。如果创建了 VLAN，情况就可以大大改善。在虚拟创建局域网时，可以将交换机上的不同端口分派到不同

41、的子网中，这样就可以在第二层交换式互联网络中创建一些小的广播域。可以象对待单独的子网和广播域一样来对待 VLAN，这意味着网络上的广播域只在同一个 VLAN 内部的逻辑组的端口之间进行转发。用 VLAN 来简化网络管理的方式有多种：通过将某个端口配置到合适的 VLAN 中，就可以实现网络的添加、移动和改变。将对安全性要求高的一组用户放入 VLAN 中，这样，VALN 外部的用户就无法与他们通信。作为功能上的逻辑用户组，可以认为 VLAN 独立于它们的物理位置或地理位置。VLAN 可以增强网络安全性。VLAN 增加了广播域的数量，同时减少了广播域的范围。使用 VLAN 具有以下优点：控制广播

42、风暴一个 VLAN 就是一个逻辑广播域，通过对 VLAN 的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。提高网络整体安全性通过路由访问列表和 MAC 地址分配等 VLAN 划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同 VLAN，从而提高交换式网络的整体性能和安全性。网络管理简单、直观对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用 VLAN 技术的网络来说，一个 VLAN 可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN 提供了网段和机构的弹性组合机制。图2 VLAN拓扑图(3) VLAN 划分设计VLAN 概述：VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个 VLAN 组成一个逻辑子网，即一个逻辑广播域，它可以

展开阅读全文