1.1 校园网需求分析与设计规划

1.1.1 校园网设计需求

通过对上海某大学校园网需求的研究，结合对用户网络的考虑，我们认为上海某大学校园网应具备以下特性才能够满足需求，并保证建成后的网络在一个较长的时间内具有较强的可用性和一定的先进性。

Ø 高可用性与先进性

上海某大学校园网网络系统要求组建万兆主干网络，具有极高的数据通信能力和足够的带宽；并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据，网络应有较高的网络主干速度。网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用（如：视频会议系统）对网络带宽的需求；在各部门的工作组中采用交换技术，以保证在工作中网络的快速响应速度，用于提供较高的工作效率。

Ø 高可靠性

网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及核心设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由；在网络设备上要提供冗余配置，设备在发生故障时能以热插拔的方式在最短时间内进行恢复，把故障对网络系统的影响减少到最小，避免由于网络故障造成用户损失。

网络主干交换机等网络结点关键设备必须具备一定的容错能力。关键结点设备运行中出现故障后，能够有效、及时地进行故障恢复；要求结点设备的设置、恢复过程必须在短时间内迅速完成。基本配置的终端方式操作要简单，结点内部的配置内容可以通过笔记本电脑采用TCP/IP协议下载保存、或是上载恢复。

Ø 安全性

上海某大学校园网网络作为一个支持众多用户、并同时和INTERNET / CERNET存在连接的网络，网络安全性在整个网络中是个很重要的问题，我们应该采用一定手段控制网络的安全性，以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。可以用身份认验证、VLAN划分等技术有效地控制内部用户的行为，比如杜绝对IP地址的盗用和侦听用户口令等，同时也能够利用防火墙控制外部人员对网络的访问；网络系统还应具备高度的数据安全性和保密性，能够防止非法侵入和信息泄漏。

Ø 可管理性

强有力的网管软件是有效地进行网络管理的助手，网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能，能够对每个用户实行管理；并且能够实现复杂的计费管理。

Ø 可扩充性

随着用户应用规模的不断扩大，要求网络可以方便地扩充容量，支持更多的用户及应用；随着网络技术的不断发展，网络必须能够平滑地过渡到新的技术和设备，保证用户现有的投资。某大学的主干设备全部采用机柜式主交换机，保障了网络的可扩充性。

Ø VLAN划分

根据校园网的实际需求，属于同一部门的工作人员可能在不同的建筑物中，但需要在一个逻辑子网内。网络站点的增减，人员的变动，无论从网络管理，还是用户的角度来讲，都需要虚拟网技术的支持。虚拟网可以建立不受物理区域限制的，覆盖整个校园的相互具有一定独立性的逻辑子网，各逻辑子网间广播报文相互隔离并通过第三层的访问控制设置实现可管理的子网间的互相访问。

因此在网络主干中要支持三层交换及VLAN划分。根据管理以及各部门智能的分配或用户定义的其它策略进行相应的VLAN的灵活划分，在整个网络中使用虚拟网技术，以提高网络的安全性和灵活性。网络中心设备和骨干设备能够提供线速的VLAN之间的路由和高性能的第三层的数据包的处理。

Ø 多层交换技术

通过三层交换技术，特别是基于硬件的第三层交换，可以避免不同的网段或VLAN之间访问时，由于路由效率的影响而产生的传输效率影响。对于一个应用，当第一个数据包发送到交换机时，通过路由设备进行转发，同时在专用芯片中存入有关的信息，使得后来的所有数据包均无需通过路由设备再次处理，而直接由交换机进行转发。这样就可以充分的利用交换机的包处理能力，实现真正的线速交换。

同时，由于三层交换技术的引进，大大减轻了中心路由设备的工作压力，使之不再需要将大量的CPU处理能力花在重复性的数据转发工作上，从而可以承担更为复杂且重要的工作。

Ø 多播技术和多媒体支持

上海某大学校园网要求具有数据，图像，话音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。整个网络在服务质量(QoS)、预留宽带设置、合理进行带宽管理方面应提供优良的品质。IP组播技术有其独特的优越性——在组播网络中，即使用户数量成倍增长，主干带宽不需要随之增加。

1.1.2 网络建设规划及分析

1.1.2.1 网络系统整体规划

在上海某大学计算机网络系统建设中，为建设“数字化校园”，必须贯彻“整体规划、分布实施、逐步升级”的思路，对校园网逐步进行逐步完善。

在上海某大学校园网的规划中，整个系统将来要达到15000－20000信息点的规模。这就要求在进行校园网初期网络建设中，校园网的主干节点必须要考虑足够的余量，以保障将来网络的扩展。在校园网的对外接入方面，可以考虑配置高性能路由器以接入CERNET和INTERNET，并配置高性能防火墙以保障校园网的安全。同时，需要建立拨号访问服务器以提供对在校园网外部用户对内网的访问功能。

1.1.2.2 网络规划分析

在上海某大学计算机网络系统的总体建设中，我们可以将上海某大学分为三个层次。1）在图文信息中心建设上海某大学的双核心网络，两太主交换机分别以单模千兆方式连接二级交换中心，并建立校区的数据中心和各类应用软件服务系统；2）在校园网中设立四个汇聚中心，通过单模光纤以万兆速率接入到信息中心主交换机并通过环网结构将4个二级核心交换机互联；向下以千兆方式接入到各个接入楼宇；2）在各楼层内部通过对接入交换机进行堆叠或千兆级连，实现所有接入交换机千兆上连，百兆接入桌面信息点。

主干设备负责对园区网内的所有数据进行高速转发，为数据库服务器和应用服务器群之间大容量信息交换提供有效的高速通道，主干网络如果出现故障，整个校园网就会全部瘫痪。因此，在主干交换机选性方面，对交换机的安全性、可靠性、稳定性、可扩展型等方面都有相当高的要求。

为保证网络中心节点的高可靠性和可用性，可以考虑采用两台主交换机分别作为主备方式接入网络，将核心网络的平均无故障时间提高到99.999%以上，基本可以保障网络实现全年不间断的顺畅连通。

1.1.2.3 核心网络产品分析

目前主流的高端网络设备厂商包括Cisco、Extreme、Cabletron、Nortel等，各个厂家均有一定的市场份额，而且各家的产品也有各自优势所在。

因此，主要网络设备（中心交换机、接入交换机和广域网路由器等）采用Cisco的产品，搭建出一个高性能、高可靠性并具有强大收缩性的网络平台。整体系统具有标准化和开放性：符合国际标准，支持TCP/IP 协议、标准路由协议；具有先进性和成熟性—选择支持三层路由交换、二层交换、虚拟网（VLAN）划分的成熟的国际先进的网络技术和设备；提供了无阻塞的内部交换能力，以及DDN、拨号/ISDN、宽带IP等多种形式的终端接入方式。

1.1.2.4 网络安全的考虑

在上海某大学计算机网络intranet建设过程中，网络安全的重要性时无需质疑的。在诸多安全因素中，防黑、防病毒及入侵监测系统是在网络应用建设中需重点考虑的。其中，防火墙作为接入到外网的唯一屏障，是隔绝黑客的主要设备。提供internet安全接入,对上海某大学网络访问用户进行安全监测的最重要的设备就是防火墙。

在硬件防火墙中，评判器性能是否优越的主要有如下指标：

吞吐量：防火墙串接在网络出入口处，对进出网络的数据包进行检查，如防火墙缺乏足够的吞吐量，则可能对网络性能影响极大，因此防火墙产品必须具有一定的吞吐量保证；

管理的方便性与安全性：防火墙的设置是一项非常重要的工作，一个设置良好的包过滤防火墙就可以发挥很好的作用，但设置防火墙是一项非常复杂的工作，因此应该尽量选择设置方便的防火墙，同时无论远程还是本地，都必须保证设置只能由管理员完成，并且防火墙的设置无法为人非法修改。

审计和日志功能：防火墙的审计和日志信息往往是许多安全事件最好的证据之一，因此良好的审计和日志功能是优秀防火墙的共同特征。好的审计和日志功能支持用户进行各个层次的审计，并提供工具进行审计数据的转储、处理、查询等。

平台自身安全性：防火墙自身往往成为很多网络攻击的对象，因此其自身应该有足够的强度保证自身平台的安全。

产品必须通过国家信息安全保密职能部门的认可。

1.1.2.5 无线网规划分析

在上海某大学计算机网络具体的网络环境搭建中，某些场所由于其特有的原因，不适合进行布线系统的搭建或布线系统不能满足其要求，例如像图书阅览室、大规模会议室和休闲场所。在这些场合中，由于网络应用者使用网络有着随意和不固定的特点，布线系统无疑会限制使用者的应用。这样，无线网络应用就会作为布线系统和传统网络的必要补充，也会纳入上海某大学的应用。

无线网的应用不像传统布线那样明确和直观，由于无线网应用中存在种种不确定性，在无线接入点（AP）的分布和无线信号的强弱方面，必须经过实验才可以最终确定。而且在带宽和网络可用性方面，无线网也远不能和有线网相提并论；无线网的优势在于它的灵活性和方便性，无线局域网络绝不是用来取代有线局域网络，而是用来弥补有线局域网络之不足，以达到网络延伸之目的，下列情形可能须要无线局域网络。

u 无固定工作场所的使用者

u 追求灵活和方便的休闲场所

u 有线局域网络架设受环境限制的场所