《吉林大学校园网的设计毕业论文.doc》由会员分享,可在线阅读,更多相关《吉林大学校园网的设计毕业论文.doc(42页珍藏版)》请在三一办公上搜索。
1、1 引 言吉林大学校园网始建于1995年,经过10多年的建设,不断的完善和发展。特别是2000年6月,吉林大学与原吉林工业大学、原白求恩医科大学、原长春科技大学、原长春邮电学院共五校合并成立新的吉林大学之后,吉林大学五个校区的计算机网络通过整合、互连、升级和建设,已经成为国内覆盖面积最大的校园计算机网络。 吉林大学校园网是多层次的树型结构。分布在长春市内各个方位的前卫校区、南岭校区、新民校区、朝阳校区、南湖校区的局域网络,通过光纤线路互连在一起,形成2千兆带宽的校园网主干。这些主干线路,将各校区成千上万的计算机联系在一起,使吉林大学校园网具备了城域网的规模。校园网“缩小”了各个校区间的物理距离
2、,为各校区的师生建立了沟通的桥梁,为新吉林大学的实质性融合发挥了应有的作用。 在广域网方面,校园网通过千兆光纤连接到位于吉林大学内的教育网吉林省主节点,后者目前与教育网东北节点以2.5G互连。在网络硬件环境逐步建设、发展的同时,越来越多的网络应用应该被实现。网络中心应该提供形式多样的服务。包括www、文件下载、电子邮件、代理服务、虚拟主机、个人主页、bbs、论坛、视频点播、电视转播、网络会议,以及教学管理系统、财务管理系统、图书馆书目查询系统、科技文献全文检索系统等等。随着网络覆盖面积的增加、用户群的扩大,以及用户对信息传输速度要求的不断提高,网络的技术服务和用户服务的工作量和难度亦不断提高,
3、将校园网络延伸到吉林大学的每一个角落,让网络成为所有吉大人每天生活的一部分,将吉林大学各校区建设成“数字化校园”是全体师生努力追求的目标。因此,在网络中添加支持高级协议的设备,重新规划校园的IP地址,选取新的网络技术,实现网络资源充分共享到校园的每个角落正是这次设计所要解决的问题。2 网络建设的目标确立校园网建设的目标,不仅要考虑技术方面,更要考虑环境、应用和管理等,必须与学校各方面改革、建设相结合,与学校长远发展,科学论证和决策相结合。根据这样的使用要求:建设一个技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络,将学校的各种PC机、工作站、终端设备和局域网连接起来,并与有关广域网相连,形
4、成结构合理、内外沟通的校园计算机网络系统。在此基础上建立的校园网应具备以下三点应用目标:首先,学校的目的是通过教学过程来培养人才,因此对教学过程提供直接支持应是校园的基本功能。其次,校园网必须能够支持学校的日常办公和管理。再次,与Interent的连接也是校园网的基本功能之一。连接Interent可以使学校把目光投向更广阔的社会空间。大大扩展师生获取知识的途径,还可以增强校内外的沟通以及自由地发布教育消息。建设吉林大学网络目标是利用各种先进成熟的网络技术和网络设备,建设一个可实现各种应用的高速校园网。将信息点通过网络连接起来,通过校园网骨干节点与Cernet、Internet相连。该高速宽带网
5、可为用户提供各种网络服务,实现最大化信息资源、教学资源、设备资源的共享。在网络的建设上努力实现网络的扩展,扩大联网的范围和规模,实现校园网的全面入网。 具体说此次网络建设主要面对的问题如下:(1)网络覆盖面不全;(2)核心设备转发数据的能力不高,网络传输速率不是很高;(3)服务器和安全方案不是十分完善;(4)网络技术不是十分先进;(5)网络冗余少;(6)双网接入INTERNET的资源未达到充分利用;(7)IP地址的划分不合理,使IP地址浪费许多。针对这些问题,本方案主要解决方式如下:(1)网络资源共享。利用新的网络技术实现校园的网络资源充分共享,保证全部网络用户入网,真正意义上发挥网络的作用;
6、(2)购置新的高端网络顶层设备提高数据的传输速率;(3)选择可以满足广大师生需要的服务器并选取高技术的安全设备以保证校园网络的多功能服务以及师生对网络安全的信任,保护校园网络的运行;(4)选取当前比较流行的网络解决方案,运用合理的技术,使整个网络在新技术下能够运转良好;(5)校内网络站点冗余的建设,使每个校区每个学院每个公寓设个办公地点都有足够的网络冗余点,以便有新用户的加入时能及时解决问题;(6)解决吉林大学的双网络接入问题,数据通过哪条线路传输到Internet;(7)计算并划分IP地址,使用VLSM来规划IP地址,解决IP地址严重浪费的问题,满足当前用户的迫切需要,实现人人入网。3 网络
7、的设计规划3.1 网络建设设计原则吉林大学校园网的设计应尽量采用符合国际工业标准的、比较成熟的技术,兼顾网络技术的发展方向,选择结构化、可扩充、多用途的网络产品,保证网络在较长时间内不被淘汰。同时网络的结构设计应合理,在通信网络、资源配置、系统服务和网络管理上有良好的分层设计,使网络结构清晰,便于使用、管理和维护。另外网络应坚持高效实用的原则,着眼于教学、科研、管理的实际需要,用有限的资金优先解决工作急需的问题。校园网的技术方案设计分以下5步1:(1)网络体系结构的选择。网络体系结构是指计算机通讯系统的整体设计,它为网络软件、硬件及网络通讯协议、数据存取控制和拓扑结构提供标准。因此网络体系结构
8、的选择是实现校园网建设目标的核心环节。在充分了解各种网络的特点、性能、价格的基础上,根据学校的实际应用,考虑学校能够投入的资金及现有的设备、局域网和其它资源情况,进行综合分析,确定符合自己需要的、有利于开发利用、有利于发展扩充、性能价格比高的网络方案。(2)确定合适的网络拓扑结构。当计算机台数较多或可靠性要求高时,优先考虑采用星型拓扑或树型拓扑进行连接;对于少数几台距离较远或可靠性要求不高,共享任务不繁重,可考虑用一根电缆进行总线型连接。实际的拓扑结构常为以上两种方式的综合,即:混合拓扑。(3) 设备的选择与布线系统的设计。选择网络设备,首先要符合Cernet、Internet等国内、国际联网
9、标准;其次要能支持多种网络协议,如TCP/IP、IPX、DECnet等常用网络协议,具有良好的可靠性、可扩充性和可管理性;第三,价格在预算范围内,有良好的性能价格比;第四,应选择信誉高的网络产品公司的优质产品,其在国内外均有成功的使用经验,有良好的售后服务。(4)网络操作系统的选择。目前,网络操作系统有三大阵营:Unix网络操作系统有较长历史,良好的网管功能,丰富的应用软件支持。Microsoft网络操作系统有代表性的是Windows NT,它是32位多任务处理的操作系统。Novell网络操作系统是占世界局域网主流的操作系统。对有服务器的局域网来说,新建的网络优先选用NT,“老网”改造采用Ne
10、tware 4.10或5.0较为合适。(5)系统集成商的选择。与技术和设备选型相适应的一项重要工作是系统集成商的选择。系统集成商应有雄厚的技术力量;有丰富的网络集成实际经验,有较多承揽大型网络工程的成功范例;在业界有较高的商业信誉和售后服务质量;地理位置尽量靠近,具有快速的响应和解决问题的能力;能提供全面系统的技术培训。3.2 网络的结构化设计层次在网络设计中的作用类似于生活中的层次。采用正确的层次,就能使网络有可预测性,具有帮助定义区域的功能。Cisco的层次模型可以帮助设计,实现和维护可扩展的、可靠的和性能价格比高的层次化的互联网络。校园网络的设计主要考虑:接入层(交换)、汇聚层(路由)、
11、核心层(骨干)2。针对吉林大学校园网络的自身特点,吉林大学校园网络逻辑拓分析扑如下:核心层是本次网络设计的关键所在,主核心由2台Cisco 6500设备构成,但它们并不是核心的全部,真正意义上的核心是主核心与各校区核心之间的集合。连接各汇聚设备;提供负载平衡、快速收敛和扩展性;完成高速转发都是在这个层次实现的。汇聚层主要由若干个中端Cisco设备组成,其实汇聚层就是每个校区网络内部连接用户接入和核心之间一个过度的层次。它主要提供负载平衡、快速收敛和可扩展性;完成路由选择;提供冗余等等。接入层主要是用户可见的部分,主要实现用户的网络接入,在这里考虑经济实用等因素,选取的都是Cisco比较低端的设
12、备。4 吉林大学校园网络设计方案4.1 网络技术及接入方式的选择4.1.1 网络技术的选择现有的网络技术主要有FDDI、千兆以太交换网、ATM等可供选择。作为一种全新的技术,千兆以太网是快速以太网的延续,是性价比很高的一种主干网技术,千兆位以太网提供完美无缺的迁移途径,充分保护在现有网络基础设施上的投资。千兆位以太网将保留IEEE 802.3和以太网帧格式以及802.3受管理的对象规格,从而使企业能够在升级至千兆性能的同时,保留现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具。千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案,提供了一条最佳的路径。至少在目前看来
13、,是改善交换机与交换机之间骨干连接和交换机与服务器之间连接的可靠、经济的途径。结合吉林大学校园的现状及其未来网络的发展潜力选择千兆以太网技术作为组网技术,完全可以满足吉林大学校园网的组网需求,也符合当前网络技术发展的趋势。要保证网络的传输速率,必须有一定的带宽。千兆交换式以太网可以为每个端口提供1G的带宽,完全可以满足主干网的需要;未来网络的发展是不可预知的,必须做好充分的向万兆以太网过度的准备,千兆以太网在向万兆以太网过渡时会免去很多麻烦事情;在网络技术的操作性以及兼容性,最主要是技术的成熟和管理等方面综合考虑,选取千兆以太网是最佳选择。4.1.2 网络接入方式的选择结合吉林大学的经济情况及
14、用户对网络的需求访问量选择光纤接入方式比较适合当今的吉林大学校园网络。光纤是目前传输带宽最大的传输介质,目前广泛应用于主干网络中同时由于光纤技术的迅速发展,光纤的价格下降速度很快,因此光纤正被用户逐渐接受中。光纤接入网是指接入网中传输媒介为光纤的接入网。光纤接入网从技术上可分为两大类:有源光网络和无源光网络。 吉林大学网络建设是一个庞大的工程,网络涉及面特别广而且多网络的传输速率要有一定的保证。不仅如此,还要针对吉林大学网络的发展潜力进行一定的考虑。光纤接入技术最大优势在于可用的带宽大,而且还有巨大潜力没有开发出来。此外,光纤接入网还有传输质量好、传输距离长、抗干扰能力强、网络可靠性高、节约管
15、道资源等特点。无论是从传输性能,还是从长远发展的支持能力来看,光纤接入技术与其他接入技术相比都有比较大的优势 3。4.2 路由协议的选取吉林大学的校园网络极为复杂,由于校园的地域比较大,而且比较分散,所以在网络协议的选择方面必须考虑到每个技术环节。本次设计选取的协议为开放最短路径优先协议(OSPF)。随着当前Internet网络的迅速发展和急剧膨胀使其无法适应今天的网络,OSPF是网络运行的最佳选择:(1)OSPF没有跨越路由器跳数的限制;(2)OSPF协议可支持变长子网掩码(VLSM);(3)OSPF协议的路由广播更新是在路由状态变化的时候,采用IP多路广播来发送链路状态的更新信息,这对带宽
16、是个节约;(4)OSPF在网络中建立起明显的层次概念,在自治域中可以划分出网络域,使路由的广播限制在一定范围内,避免链路中资源的浪费;(5)OSPF在路由广播时采用授权机制,保证了网络的安全4。OSPF是被设计适用于分层的结构中,使用OSPF可以将大型的互联网络分割成一些小的被称为区域的小互联网络。这是OSPF设计的精华。如图4-1所示给出了吉林大学校园网络的OSPF地方简单设计。图4-1 OSPF的设计示例每个路由器都连接到主干网络(区域0)。OSPF必须有一个区域0,且所有的分支网络都应该连接到这个地区,而那些在一个区域(AS)内部连接其他地区到次主干的路由器,被称为区域边界路由器(ABR
17、),这些路由器必须至少有一个接口在区域0中。通常OSPF是运行在某个自治域内部的,但是它也可以将多个自治系统连接起来,这个连接这些AS到一起的路由器被成为自治系统边界路由器(ASBR)。根据协议的选取(OSPF),需将吉林大学的校园网络划分成6个区域。在区域0的边界有5台边界路由器,分别为每个校区的核心设备。结合到吉林大学的网络设计中,主干网络为2台三层核心交换机(区域0),而每个校区的核心网络设备均为区域0的边界路由器(ABR),每个校区的网络分别处于其各自的自治域(AS),每个校区的接入设备分别为该区域的自治域边界路由器(ASBR)。吉林大学总体上划分为五大校区:前卫、南湖、南岭、新民、前
18、进。虽然表面上看起来网络的搭建十分困难,但是仔细考虑以后就会找到一个简单的途径。五个校区的核心设备的配置可以完全一样。因为:每个校区的核心设备均连接在两个核心交换机上,他们都在区域0中,且分别作为边界路由器。整个网络的设置和配置过程中,只有在端口的配置数量及IP地址分配上有一定的不同。在下面列出了前卫校区的主要设备的网络拓扑,分别作为接入层的设计方案。由于网络的内部设计和IP地址的划分比较复杂,涉及了VLAN,VLSM及端口的详细配置,以上内容稍后详述。4.3 网络的拓扑结构计算机网络的拓扑结构是指网络设备的物理连接关系。网络的拓扑结构主要有总线网、环型网和星型网混合拓扑结构等。借鉴现代网络建
19、设的基本原则及比较了上述各种网络拓扑的优缺点后,本次针对吉林大学的网络设计选择混合拓扑结构最为合理。混合拓扑结构是由星型结构或环型结构和总线型结构结合在一起的网络结构,这样的拓扑结构更能满足较大网络的拓展,解决星型网络在传输距离上的局限,而同时又解决了总线型网络在连接用户数量上的限制。首先由于吉林大学校园比较复杂,采用单一的拓扑结构根本不能满足用户的需求,所以采用混合拓扑结构,可以弥补其他拓扑的不足之处。其次,吉林大学网络内物理设施的建设不是十分规律,这也就导致部节点以及网络部线等不是十分规律,采用的信息传播方式也有很多不同。再者由于校园的可扩展能力十分强,内部节点数量的增加和总线长度的扩展十
20、分可能。因此必须采用一种扩展能力相当强的网络拓扑来满足用户和未来的发展,混合拓扑结构正适合当前吉林大学校园网络的这种情况。再次,网络工程师们在设计网络时不可能保证网络永久不出现故障,可能是线路问题也可能是设备问题。因为任何东西都有一定的生命周期。采用混合拓扑结构可以保证一个优点,那就是容易维护。吉林大学校园网络是如此庞大的一个项目,无论哪里出现错误,在维护的过程中都是相当复杂的。采用混合拓扑结构可以保证一个前提:无论哪个分支网络出现故障都不会影响到整个网络的运行。最后,现在用户对网络速度的要求越来越苛刻,如果做的不好,很可能受责骂。采用混合拓扑结构可以保证数据传输速度,无论使用哪种线路进行网络
21、传输都不会对整个网络的速度上进行太多的限制5。由上述可见。这种拓扑结构主要有以下几个方面的特点:(1)应用相当广泛;(2)扩展相当灵活;(3)较易维护;(4)速度较快。4.4 网络设备的选择设备的选择要尽量考虑到吉林大学网络规划的目的及未来的可扩展能力,从使用及经济等多方面来考虑。成熟实用的产品以及开放先进的技术是我们选择网络设备首先也是必须考虑的问题6。4.4.1选择值得信赖的设备CISCOCisco Systems, Inc. 思科系统公司是全球领先的互联网设备供应商。它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来,使人们能够随时随地利用各种设备传送信息。思科公司向客户提供
22、端到端的网络方案,使客户能够建立起其自己的统一信息基础设施或者与其他网络相连。思科公司提供业界范围最广的网络硬件产品、互联网操作系统(IOS)软件、网络设计和实施等专业技术支持,并与合作伙伴合作提供网络维护、优化等方面的技术支持和专业化培训服务。思科公司及其客户每天都在为推进互联网的发展而努力。思科相信,互联网的发展将极大地改变企业的运营方式,产生“全球网络经济”模式。这一模式使任何规模的企业都能使用信息交换技术来保持一种强大、交互性的业务关系。思科公司自身就是“全球网络经济”模式的受益者。利用跨越互联网以及内部网的网络应用,运营成本大幅降低,直接收入增加。这为思科每年增加8.25亿美元的收入
23、,同时也增加了客户与合作伙伴的满意度。思科在客户支持、产品预定以及交货时间上的竞争力也随之大大提高了。思科公司目前拥有全球最大的互联网商务站点,公司全球业务90的交易是在网上完成的。思科公司是美国最成功的公司之一。从1986年生产第一台路由器以来,思科公司在其进入的每一个领域都占有第一或第二的市场份额,成为市场的领导者。1990年上市以来,思科公司的年收益已从6900万美元上升到2001财年的222.9亿美元。公司在全球现有36000多名员工。4.4.2 核心网设备的选择在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求:1)高密度端口情
24、况下,还能保持各端口的线速转发;2)关键模块必须冗余,如管理引擎、电源、风扇。由于校园网建设最终必将采用万兆技术,因此需要考虑到核心设备对万兆的支持能力。本次设计中,选择思科的Catalyst 6000做为核心网络设备。Catalyst 6000系列交换机为园区网提供了高性能、多层交换的解决方案,专门为需要千兆扩展、可用性高、多层交换的应用环境设计,主要面向园区骨干连接等场合。 Catalyst 6000系列是由 Catalyst 6000和Catalyst 6500两种型号的交换机构成,都包含6个或9个插槽型号,分别为 6006、6009 、6506和6509,其中,尤以 6509 使用最为
25、广泛。所有型号支持相同的超级引擎、相同的接口模块,保护了用户的投资。这一系列的特性主要包括: (1)端口密度大。支持多达384个10/100BaseTx自适应以太网口,192个 100BaseFX光纤快速以太网口,以及130个千兆以太网端口( GBIC 插槽)。(2)速度快。C6500 的交换背板可扩展到 256 Gbps ,多层交换速度可扩展到 150 Mpps。C6000的交换背板带宽32Gbps,多层交换速率30 Mpps。支持多达8个快速/千兆以太网口利用以太网通道技术(Fast EtherChannel,EC或Gigabit EtherChannel,GEC)连接,在逻辑上实现了16
26、 Gbps的端口速率,还可以跨模块进行端口聚合实现。(3)多层交换。C6000系列的多层交换模块可以进行线速的IP , IPX和IP-multicast路由。(4)容错性能好。C6000系列带有冗余超级引擎,冗余负载均衡电源,冗余风扇,冗余系统时钟,冗余上连,冗余的交换背板(仅对C6500系列),实现了系统的高可用性。(5)丰富的软件特性。C6000软件支持丰富的协议,包括 NetFlow、VTP(VLAN Trunking Protocol)、VQP(VLAN Query Protocol)、ISL Trunking、HSRP(Hot Standby Router Protocol)、Por
27、t Security、TACACS、CGMP(Cisco Group Management Protocol)、IGMP 等等。4.4.3 汇聚层设备的选择汇聚层节点必须提供全线速的数据交换,保证接入节点和核心节点数据交换的畅通无阻,同时当网络流量较大时,能够对关键业务的服务质量提供保障。Catalyst 4000系列可以集成当今配线室中所要求的性能和特性,并同时保证无缝地提供未来企业所要求的内容。将来,配线室的要求将得到进一步扩展,性能包括: (1) 有线和无线PC连接;(2) 组播流应用,如:IP/TV解决方案;(3) 第4层到第7层服务。通过将Catalyst 骨干网结构优势扩展到Cat
28、alyst 模块化配线室体系结构,就可以实现以上这些能力,从而提供一个满足未来网络需要的优秀的端到端的网络解决方案。利用新的Catalyst 4000系列产品,Catalyst交换机可以无缝地集成:(1)可伸缩的应用和服务;(2)IP电话应用和网关;(3)可伸缩的桌面接口;(4)到桌面的千兆位连接;(5)可伸缩的骨干网到配线室连接。Catalyst 4000系列为配线室和分支机构办事处提供了集中能力。Catalyst 4000系列为企业和分支机构办事处配线室提供了先进的高性能解决方案。主要优点包括:(1)性能。提供了先进的交换解决方案,它能随着您端口的添加而增大带宽;(2)密度。能够在一个机箱
29、上满足最多240个快速以太网端口的网络单元连接要求;(3)一致的软件体系结构。因为Catalyst软件和用户界面的一致性,客户能继续利用他们的知识,并利用Catalyst 1900、2900、3500、4000、5000、6000、8500家族产品来继续改善自己的基础设施;(4)桌面能够使用千兆位能力。Catalyst 4000系列已经提供了丰富的1000 Mbps千兆位和千兆位服务器交换解决方案;(5)可管理性。利用每一种Catalyst 4000系列交换解决方案提供的先进的管理能力以及每一个端口中内置的基于业界标准的管理功能,Catalyst 4000系列的控制能力和安全性都得到了加强;(
30、6)基于硬件的组播。协议独立组播(PIM)密集和稀疏模式、Internet组群组播协议(IGMP)、以及Cisco组群组播协议(CGMP)支持基于标准的、Cisco改进的高效多媒体联网。4.4.4 接入层设备的选择对于楼栋接入节点的交换机,必须考虑到安全接入控制、QOS服务质量保证、组播支持等技术。Catalyst 3500系列使用广泛,很有代表性。Catalyst 3500系列交换机的基本特性包括背板带宽高达100Gbps,转发速率 7.5Mpps,它支持 250 个 VLAN,支持 IEEE 802.1Q 和ISL Trunking,支持 CGMP 网 / 千兆以太网交换机,可选冗余电源等
31、等。不过 C3500 的最大特性在于管理和千兆。管理特性方面,Catalyst 3500实现了 Cisco的交换机群技术,可以将16个 Catalyst 3500,Catalyst 2900,Catalyst 1900 系列的交换机互联,并通过一个IP 地址进行管理。利用Catalyst 3500 内的Cisco Visual Switch Manager ( CVSM )软件还可以方便地通过浏览器对交换机进行设置和管理。千兆特性方面,Catalyst 3500全面支持千兆接口卡( GBIC )。目前 GBIC 有三种1000BaseSx,适用于多模光纤,最长距离 550m;1000BaseL
32、X/LH,多模 / 单模光纤都适用,最长距离10km;1000BaseZX适用于单模光纤,最长距离100km。Catalyst 3500主要有 4 种型号:(1)Catalyst 3508G XL:8 口 GBIC 插槽;(2)Catalyst 3512 XL:12 口 10/100M 自适应,2 口 GBIC插槽;(3)Catalyst 3524 XL:24 口 10/100M 自适应,2 口 GBIC插槽;(4)Catalyst 3548 XL:48 口 10/100M 自适应,2 口 GBIC插槽。4.4.5 防火墙的选择任何网络安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网
33、络安全的实现当中扮演着重要的角色。防火墙通常位于网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。在众多的主流防火墙中,Cisco PIX防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号:PIX506、PIX 515、PIX 520、PIX 525、PIX 535。其中PIX535是PIX 500系列中最新,也是功能最强大的一款。它可以提供运营商级别的处理能力,适用于大型的ISP等服务提供商。但是PIX特有的OS操作系统,使得大多
34、数管理是通过命令行来实现的,不像其他同类的防火墙通过Web管理界面来进行网络管理,这样会给初学者带来不便。但是其优点我们是无法掩盖的:(1)最高的性能;(2)实时嵌入式操作系统;(3)位于企业网络和Internet访问路由器之间,并包括以太网、快速以太网、令牌环网或FDDILAN连接选项;(4)保护模式基于自适应安全算法(ASA),可以确保最高的安全性;(5)用于验证和授权的“直通代理”技术;(6)最多支持250,000个同时连接;(7)URL过滤;(8)HP OpenView集成;(9)用于配置和管理的图形用户界面;(10)通过电子邮件和寻呼机提供报警和告警通知;(11)通过专用链路加密卡提
35、供VPN支持;(12)符合委托技术评估计划(TTAR),经过了美国安全事务处(NSA)的认证。配置PIX防火墙有6个基本命令:nameif、interface、ip address、nat、global、route。 这些命令在配置PIX是必须的7。4.4.6 服务器的选择服务器是一个网络的重要组成部分,在校园网中也不例外。它除了可以担当我们通常说的域服务器外,还可以担当文件服务器、邮件服务器、打印服务器、数据库服务器以及视频点播(VOD)服务器等。但是,无论担当哪个部分,对服务器的要求是基本相同的,如:系统性能、可扩展性、管理简单、可靠性高、服务好等。下面就分别对这些方面来谈:(1)对性能的
36、要求。由于校园网的建设关系到以后的发展,从容纳用户数量和承担的服务种类来说,整个系统必须可以支持网络的正常运转,这个条件的保证主要是选择的服务器性能要确保稳定,因为一个性能不稳定的服务器,即使配置再高、技术再先进,也不能保证校园网能正常工作,严重的话可能给学校造成难以估计的损失。另外一方面,性能稳定的服务器还意味着为学校节省维护费用。(2)从自身的需求出发。很多用户看了第一条就以为我们要买最好的设备,其实也不是这样。因为这里所搭建的校园网肯定是有固定的需求的,在保证系统稳定的基础上,满足常规的需求就可以了,不可能不切实际得什么都设置。从学校的项目开支来说,也是不现实的,所以分析自己的需求在设备
37、采购中也是一个非常重要的因素。(3)服务器的扩展性。这个问题和上面的问题是一样的,不能盲目浪费,但是也不能节省到整个网络不能升级。由于校园网处于不断发展之中,快速增长的应用不断对服务器的性能提出新的要求,为了减少更新服务器带来的额外开销和对教学的影响,服务器应当具有较高的可扩展性,可以及时调整配置来适应校园网的发展。从处理器的双路到四路,内存、硬盘的可增加,以及网络接口卡插槽的冗余设计,这些都是扩展性问题。在采购产品时不可不知。(4)兼容性如何。构建一个校园网,牵扯的事情很多,可能学籍处本来就有一个网络,其中包含学生的数据库;而图书馆可能也有一个图书借阅的数据库。所以,这些系统都要整合到新的网
38、络中去,那么新的网络和老的硬件设备就要兼容,操作系统和应用软件也要保证兼容。(5)管理是否简单。尽管网络的发展非常快,但是真正精通服务器技术的专业工程师还是不多。尤其是在学校中,许多学校通常没有专业人员来维护和管理服务器,这就要求服务器产品必须具有非常好的易操作性和可管理性,当出现故障时无需专业人员也能将故障排除。所谓便于操作和管理主要是指用相应的技术来提高系统的可靠性能,简化管理因素,降低维护费用成本。对于那些没有网络管理人员的学校,尤其要注意选择一台操作简单的服务器8。 FTP服务器、WWW服务器,MAIL服务器等是必备的服务器,根据学校的需求可以直接在服务器群上进行服务的添加。4.5 网
39、络总体拓扑图4-2 网络核心拓扑图吉林大学多个核心节点通过光纤布线,采用多个千兆链路实现网状互联;汇聚层节点采用千兆链路上联到核心节点,考虑到可靠性、经济性,重要汇聚节点至少需要与两个核心节点连接;接入层节点与汇聚层节点通过千兆以太网技术互联,并提供桌面10/100M的接入。与互联网连接,可以采用两条Internet出口,一条为Cernet出口,一条为Internet出口,两个出口进行负载分流并实现相互备份。校区之间信息的交换完全通过各校区内的核心设备把数据传输到主核心再由主核心按指定路径传输到目的核心再传送到目的主机。各校区内部网络的建设见详细设计。服务器群里可以加载FTP服务器、www服务
40、器、Mail服务器等直接与核心交换机连接。网络中的主要设备具体如下:核心网络设备为7台Catalyst 6509,1个PXI防火墙,1个服务器群和若干Catalyst 4000及Catalyst 3500,全部采用光纤部线,由于吉林大学南校区具有最强的可扩充潜力,所以把核心设备全部放在吉林大学南区(前卫校区)。根据最新的报价单预计总体核心设备费用是2000万左右。针对吉林大学设计出的这种方案有以下优点:(1)稳定的核心骨干网。核心设备之间提供双链路,单条链路的失效不影响核心设备之间的连接。汇聚设备都提供两条链路连接到核心设备,单条链路的失效并不影响骨干网络的连接。(2)安全的核心骨干网。采用分
41、布式三层构架,汇聚设备提供三层功能,不仅从汇聚层就隔离了广播,而且可以通过三层设备特有的更强大的病毒和攻击防护能力保护核心设备。OSPF路由协议报文采用MD5认证协议,防止路由协议的攻击和欺骗。核心骨干设备采用独立的IP地址网段,并可以通过SSH、管理ACL、SNMPV3等保护核心设备的管理风险。(3)可扩展的核心骨干网络。由于采用了分布式三层设计和OSPF动态路由协议,增加或删除任何一个区域网络只需在核心设备做简单的设置变动,极有利于网络的管理和灵活部署。当汇聚设备处理能力相当时,只需在汇聚设备之间增加一物理链路,双核心网络即可顺利过渡到环形核心网络。由于汇聚设备可提供万兆扩展能力,可轻松通
42、过增加万兆模块而升级为万兆核心骨干网,保护用户投资。5 网络的详细规划5.1 IP地址的划分吉林大学申请的IP地址为:59.72.0.0/16,表面看起来这个网段似乎很大,但是在实际应用中根本无法满足剧增的用户的需求。因此在IP地址规划这里必须详细考虑到吉林大学的现在状况,合理的利用各项技术,尽可能使IP地址资源达到充分的利用,在IP地址的分配中,还要考虑到VLAN中的IP地址以及VLSM等。IP地址划分是本次设计中最繁琐的一块。根据吉林大学的网络拓扑,本次设计可以将IP地址划分为5大块。根据校园物理拓扑的情况。前卫校区的发展潜力最大,其他校区由于所处地理位置,物理范围的扩大基本没有太大的可能
43、。已经存在的建筑的重新规划也十分困难,所以网络拓扑基本已经成型,唯一需要考虑的就是前卫校区。所以在这里前卫校区的IP地址空间应该足够的大。结合各项技术,具体的划分如下,如表4-1所示:(1)前卫校区:59.72.0.0/17(2)南湖校区:59.72.128.0/19(3)新民校区:59.72.160.0/19(4)南岭校区:59.72.192.0/19(5)朝阳校区:59.72.224.0/19表5-1 IP地址详细划分过程前卫校区00111011010010000 00 0000000000000南湖校区00111011010010001 00 0000000000000新民校区00111
44、011010010001 01 0000000000000南岭校区00111011010010001 10 0000000000000朝阳校区0011101101001000 1 11 0000000000000根据次划分,各校区都已经分配到了自己所需要的IP地址,内部的具体详细划分如下。5.1.1 前卫校区59.72.0.0/17可以划分出256个59.72.0.0/24的IP地址。所以前卫校区的网络IP地址具体规划如下:由于核心网络设备放在前卫校区,所以服务器,防火墙,核心设备的端口IP地址都可以在前卫校区的IP地址里划分出来。服务器群及防火墙IP的IP地址可在:59.72.1.0/24网
45、段中,内部的具体IP地址划分可根据一个服务器一个指定IP地址的原则进行划分。防火墙的IP地址配置在附录1中将会体现出来: 59.72.1.0/2459.72.1.100/24为核心设备的IP地址段。 59.72.1.101/2459.72.1.254/24为服务器等配置。服务器IP分配例子如下:www:59.72.0.101/24FTP:59.72.0.1022/24Mail:59.72.0.1033/24DNS:59.72.0.1044/24如果有新的服务器添加进来,只需要按照IP地址的数目依次往下分配即可。由于核心设备的端口比较多,其IP地址可在:59.72.1.0/24取IP地址来满足设
46、备配置的需要。核心设备的配置见附录3。校园内部的网络IP地址具体划分要根据前进校区网络拓扑来详细划分。 由此可以确定出前卫校区的网络IP地址具体分配如下: 公寓:59.72.2.0/2459.72.32.254/24 教学:59.72.33.0/2459.72.38.254/24 图书馆:59.72.39.0/2459.72.42.254/24 综合实验:59.72.43.0/2459.72.45.254/24 研究生科研:59.72.46.0/2459.72.48.254/24 保留:59.72.49.0/2459.72.63.254/24 在IP地址分配出后,仍然有59.72.49.0/2
47、459.72.63.254/24作为保留网段,完全可以满足日渐发展的前卫校区的网络的需要。 5.1.2 其他校区的IP地址划分由于其他校区的网段划分均相同,每个校区都有32个/24的IP地址可以分配。 南湖校区:公寓:59.72.128.0/2459.72.138.254/24教学:59.72.139.0/2459.72.144.254/24图书馆:59.72.145.0/2459.72.148.25/24办公:59.72.149.0/2459.72.152.254/24保留:59.72.153.0/2459.72.159.254/24 新民校区:公寓:59.72.160.0/2459.72.170.254/24教学:59.72.171.0/2459.72.176.254/24图书馆:59.72.180.0/2459.72.183.254/24综合实验:59.72.184.0/2459.72.186.254/24保留:59.72.187.0/2459.72.191.254/24 南岭校区:公寓:59.72.192.0/2459.72.202.254/24教学:59.72.203.0/2459.72.208.254/24图书馆:59.72.209.0/2459.72.212.254/24家属:59.72.213.0/2459.72
