现代校园网的设计.docVIP

现代校园网的设计 　　[摘要]讲述现代校园网建设的意义和需要，从综合角度阐述校园网应具有的基本特点以及基本要求，以期建设一个稳定的实用性较强的数字化校园网。 　　[关键词]信息化 网络拓扑 网络安全 校园网 　　中图分类号：G47 文献标识码：A 文章编号：1671－7597（2009）0720054－01 　　 　　校园网能更好的使学校走进教育信息化高速时代，促进现代教育的改革与发展。建设良好的校园网对学校的教学质量和管理提供巨大的帮助，而良好的数字化校园体现在以下四个方面： 　　 　　一、网络的拓扑设计要合理且有前瞻性 　　 　　以一所教职工900多人，全日制在校学生12000余人，网络节点1万余个的高等院校为例，它的网络架构必需以高带宽，可管理，且具有可扩展性为重点。 　　校园主干网是数据信息流动的动脉，同时担负着信息流动的总调度任务，该校的主干网采用3G的出口带宽来解决出口压力，核心层是高性能三层交换机华为S8505与Chinanet相连，RG6506与Cernet相连，汇聚层采用三层交换机CISCO3550，接入层采用RG2126G和RG2150G。 　　（一）主干核心层。未来发展的需求，充足的网络出口带宽是其根本保障，该校的外网出口NAT转换采用三台城市热点的DR.COM2133认证服务器，每台具有4000用户的转换能力，总出口就能负担起12000个用户出口转换，之所以采用华为S8505作为核心交换机，是因为该产品具有强大的硬件平台升级能力，在背板上预留大量的总线接口用于后续扩容，提供720Gbps交换容量，整机可支持高达576个千兆端口、48个万兆端口，满足核心层设备大容量、高端口密度的要求，可以满足用户日益增长的带宽需求，可靠性能好。 　　（二）汇聚层和子网划分。由于该学院学生宿舍区及部门繁多，为提高网络效率，主干网下划分许多子网（子网是一个个相对独立的局域网）根据实际情况，子网按其教学!政务!宿舍等不同的应用区域划分，以3层交换技术作为主要连接手段，通过VLAN形成边界，并与主干网汇接。网络汇聚采用Cisco3550高性能交换机为各教学!政务!宿舍等下级子网提供高性能!高带宽的端口汇聚接入，这种交换机还特别适用于流量监控和网络管理。 　　（三）接入层及其工作组网。按教学楼!行政机构!宿舍片区或密集型应用区域划分VLAN，采用1000M光纤接到交换机RG2126，再采用堆叠法100M连接到桌面。RG2126是专门针对校园业级网络安全防范、全局智能管理的广泛需求，而量身设计的一款高性能、高安全、可堆叠的网管型以太网交换机。基于高背板的全线速设计，提供智能流分类和完善的服务质量（QoS）以及组播管理特性，使其在校园网络多种应用中，实施灵活多样的ACL访问控制和安全防范接入层交换机一般放在楼道的小机柜里，再直接接到用户的办公室，用RG2126作为接入层交换机，是因为它对用户具有良好的管理性，防止用户盗用IP或中病毒引起的网络故障。 　　 　　二、网络的安全性以及可管理性 　　 　　（一）现今高校网络特点。内部有大量的服务器，对外提供服务；内部网络有许多私有IP和教育网公用IP，因此访问外网要通过NAT；用户众多，流量大，每秒新建连接数、并发连接数要求高；网络设备复杂，子网数量、接口类型繁多；学生经常利用BT、EDONDEY等P2P软件下载视频等文件，耗费大量带宽；由内网到外网的威胁比较严重，学生电脑管理松散，电脑中装有各种软件甚至感染病毒，成为攻击的跳板；学生自制力较差、比较倾向于浏览成人、娱乐等不安全或政策、法律禁止的网站。 　　（二）防火墙。针对高校的网络特点，防火墙是必备的安全设备，它应该接在外网和核心层交换机之间，这样就可以通过设置访问权限控制出口和入口的数据包，一般的防火墙应具有以下的特点： 　　能检测及阻挡应用层的探测及攻击，探测端口扫描、主机扫描，对操作系统、应用程序漏洞的攻击，保护了服务器群。拒绝和限制广告信息、聊天和点对点连接（P2P），有效控制带宽拥塞；可以根据源IP、目的IP、源接口、目的接口、服务等参数来决定是否将数据包送入IPS引擎；因此可以只对感兴趣的数据流有选择性地进行IPS检测，保证了可以追踪攻击行为和访问记录。NAT转换和路由功能；可对访问内容过滤，以防浏览不良网站。 　　（三）网管系统。面对网络应用需求的迅猛增长，网络环境也变得越来越错综复杂，如何高效、可靠的利用这些网络资源，逐渐成为众多的企事业单位所关注的问题，于是网管系统应运而生，我们在选择网管系统的时候，应该考虑以下几点： 　　对局域网、城域网IP设备的管理，如：路由器、交换设备；对网络中的其他可管理设备和主机系统的管理；网络结构可视化，能清晰的显示出来；具有客户业务管理功能，帮助