多ISP接入校園網(wǎng)的組建方案

[摘 要]：本文通過(guò)多ISP接入校園網(wǎng)的組建探討，對(duì)路由器，交換機(jī)設(shè)備的規(guī)劃及搭建等方面進(jìn)行了剖析，對(duì)如何組建多出入點(diǎn)校園網(wǎng)提供了一種參考。在高性能價(jià)格比的前提下，本著模塊化、層次化的設(shè)計(jì)原則，為用戶提供高效率、高可靠性的網(wǎng)絡(luò)設(shè)計(jì)方案。

[關(guān)鍵詞]：校園網(wǎng)絡(luò) 組建 拓?fù)浣Y(jié)構(gòu)

[Abstract]This paper aims to provide a reference on how to set up multi-campus network after studying the formation of the campus network and analyzing the plan as well as the setting up of routers， switches. In the context of high cost performance， this paper also provides users with high efficiency， high reliability network design in accordance with the modular， hierarchical designing principles.

[Key Words]: Campus Network Formation Topology Structure

組建校園網(wǎng)，就是組建一個(gè)基本能覆蓋整個(gè)校園范圍的計(jì)算機(jī)網(wǎng)絡(luò)，將學(xué)校內(nèi)各種計(jì)算機(jī)、服務(wù)器、終端設(shè)備連接起來(lái)，并通過(guò)一定接口連接到廣域網(wǎng)。在這些網(wǎng)絡(luò)基礎(chǔ)上，形成在校園內(nèi)部、校園與外部進(jìn)行信息溝通的體系，建立滿足教學(xué)、科研和管理需求的計(jì)算機(jī)環(huán)境，為學(xué)校各種人員提供充分的網(wǎng)絡(luò)信息服務(wù)，在網(wǎng)絡(luò)環(huán)境中進(jìn)行教學(xué)、研究、收集信息等工作。在本案中針對(duì)多ISP接入校園網(wǎng)的組建進(jìn)行探討。

1 需求分析

1.1 總體需求

校園網(wǎng)工程范圍主要為包括辦公樓、教學(xué)樓、圖書室、教師、學(xué)生宿舍樓及實(shí)驗(yàn)樓在內(nèi)的局域網(wǎng)（LAN）部分。內(nèi)部局域網(wǎng)的建設(shè)包括硬件網(wǎng)絡(luò)平臺(tái)的建設(shè)、相應(yīng)軟件系統(tǒng)的應(yīng)用。校園網(wǎng)內(nèi)部按Intranet 模式建網(wǎng)，校園內(nèi)部各部門及學(xué)生均能訪問(wèn)校園網(wǎng)內(nèi)部信息，同時(shí)對(duì)外提供WWW 信息訪問(wèn)。其中學(xué)生要求提供認(rèn)證，要求能夠根據(jù)應(yīng)用或按部門劃分成若干虛擬子網(wǎng)（VLAN），以保證數(shù)據(jù)的安全。

1.2 具體需求

1.將全校所有計(jì)算機(jī)連接到網(wǎng)絡(luò)中。在網(wǎng)絡(luò)上傳輸多種應(yīng)用信息；

2.設(shè)立區(qū)域性安全防范措施，加載安全過(guò)濾；

3.結(jié)構(gòu)合理，技術(shù)先進(jìn)，系統(tǒng)具有高可靠性和可擴(kuò)展性；

4.實(shí)現(xiàn)虛擬網(wǎng)間的互連，方便網(wǎng)絡(luò)管理；辦公區(qū)域可訪問(wèn)教學(xué)區(qū)域；

5.學(xué)生通過(guò)認(rèn)證接入聯(lián)通寬帶，辦公通過(guò)Cernet接入，教學(xué)樓通過(guò)電信連接Internet；

2 組建方案

就我校校園網(wǎng)而言，考慮網(wǎng)絡(luò)信息點(diǎn)約800個(gè)。為了更好地運(yùn)用Internet 網(wǎng)及應(yīng)用系統(tǒng)，采用FAST ETHERNET 技術(shù)組建我校校園網(wǎng)的主干是一個(gè)性價(jià)比較好的方案。其它采用100M到桌面，同時(shí)采用網(wǎng)絡(luò)交換技術(shù)使整個(gè)網(wǎng)絡(luò)的性能得以改善。校園整體網(wǎng)絡(luò)系統(tǒng)基本上采用單一的通信協(xié)議TCP/IP，如果需要使用其它通信協(xié)議，可以通過(guò)協(xié)議轉(zhuǎn)換的方式解決。

2.1 主干網(wǎng)結(jié)構(gòu)設(shè)計(jì)

目前，可以選用的主要包括以下幾種：

1. FDDI

FDDI 是一種光纖環(huán)網(wǎng)，采用令牌傳遞多址接入技術(shù)，數(shù)據(jù)傳輸速率是100M。FDDI 的優(yōu)勢(shì)在于冗余性強(qiáng)，容錯(cuò)性好，缺點(diǎn)在于設(shè)備相對(duì)比較昂貴，并且連接相對(duì)比較復(fù)雜。

2.ATM

ATM 網(wǎng)絡(luò)主干體系由ATM 交換機(jī)互連構(gòu)成。由于ATM 設(shè)備價(jià)格比較高，限制了其在校園網(wǎng)內(nèi)的使用。

3.千兆以太網(wǎng)

千兆交換式以太網(wǎng)能夠?yàn)槊總€(gè)端口提供1G的帶寬，可以滿足校園主干網(wǎng)的需要。它具有較高的性能價(jià)格比，并且已經(jīng)獲得業(yè)界廣泛的支持，同時(shí)它具有良好的互操作性，并具有向后兼容性；可以從傳統(tǒng)以太網(wǎng)方便、平滑地升級(jí)到千兆以太網(wǎng)。

4.快速以太網(wǎng)

快速以太網(wǎng)可以支持100Mbps 的傳輸速率，其標(biāo)準(zhǔn)是IEEE802.3V。它可以支持多種電纜類型，具有良好的兼容性，移植非常容易。并且它采用星形結(jié)構(gòu)，可以比較容易地向ATM 過(guò)渡。它也具有較高的性能價(jià)格比，并且已經(jīng)獲得業(yè)界廣泛的支持，它的不足就是快速以太網(wǎng)仍是基于載波偵聽(tīng)多路訪問(wèn)和沖突檢測(cè)（CSMA／CD）技術(shù)，當(dāng)網(wǎng)絡(luò)負(fù)載較重時(shí)，會(huì)造成效率的降低，當(dāng)然這可以使用交換技術(shù)來(lái)彌補(bǔ)。

綜合考慮網(wǎng)絡(luò)的兼容性、先進(jìn)性、開(kāi)放性以及升級(jí)方便和價(jià)格等因素，我們優(yōu)先考慮選擇千兆以太網(wǎng)或快速以太網(wǎng)作為校園主干網(wǎng)的結(jié)構(gòu)。

2.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及說(shuō)明

為了滿足校園信息化數(shù)據(jù)量的與日俱增，老師在教學(xué)時(shí)對(duì)課件以及多媒體信息的需求，整個(gè)校園全部采用千兆骨干，百兆桌面的方式進(jìn)行互聯(lián)。

采用H3C MSR 30-40(AC) 路由器一臺(tái)、4端口10M/100M以太網(wǎng)二層交換模塊、光模塊-SFP-GE-單模模塊-(1310nm，10km，LC)、Iis-msr30-standard-h3（標(biāo)準(zhǔn)版）系統(tǒng)使學(xué)生上網(wǎng)的帳戶能得到有效管理。校園網(wǎng)拓?fù)鋱D如下圖一。

圖一 校園網(wǎng)拓?fù)鋱D

1.核心層

出口我們采用H3C公司的H3C 7503E千兆交換機(jī)，該交換機(jī)可以通過(guò)光纖的方式與各個(gè)分支交換機(jī)進(jìn)行互聯(lián)，同時(shí)服務(wù)器也可以通過(guò)千兆的方式連接到核心交換機(jī)上，滿足用戶高速訪問(wèn)服務(wù)器的要求。H3C7503在本網(wǎng)絡(luò)中設(shè)計(jì)為核心交換機(jī)下聯(lián)各匯聚交換機(jī)，并為辦公網(wǎng)絡(luò)提供網(wǎng)關(guān)訪問(wèn)網(wǎng)絡(luò)其他設(shè)備。H3C7503通過(guò)access下聯(lián)各匯聚層交換機(jī)，核心交換機(jī)通過(guò)trunk與二教樓、辦公樓相聯(lián)并為二教樓、辦公樓的用戶提供網(wǎng)關(guān)上網(wǎng)。

2.匯聚層

匯聚層交換機(jī)主要是起到承上啟下的作用，所以在選擇上，我們應(yīng)該選擇三層匯聚交換機(jī)，所以我們選了H3C的H3C 5500三層交換機(jī)，通過(guò)此交換機(jī)，可以在大規(guī)模的分支前面起到匯聚的作用，可以為核心交換機(jī)起到分擔(dān)的作用。各匯聚層與核心交換機(jī)通過(guò)三層路由轉(zhuǎn)發(fā)，匯聚層交換機(jī)為下聯(lián)的接入層交換機(jī)提供網(wǎng)關(guān)，并通過(guò)三層與核心交換機(jī)相聯(lián)從而減輕核心交換機(jī)的負(fù)擔(dān)。

3.接入層

接入交換機(jī)我們選擇的H3C的S1526交換機(jī)，該交換機(jī)具有很高的性價(jià)比，具有24個(gè)百兆口，同時(shí)又具有2個(gè)千兆上行口，可以選擇千兆光纖或者電口進(jìn)行上行，靈活方便。

2.3 一教樓網(wǎng)絡(luò)規(guī)化：

一教樓設(shè)計(jì)為十個(gè)計(jì)算機(jī)機(jī)房共容納計(jì)算機(jī)400多臺(tái)，一教樓規(guī)化為每一教室一個(gè)VLAN 從而減小廣播域，每一個(gè)VLAN單獨(dú)化分一個(gè)IP子網(wǎng)，一教樓接入層交換機(jī)通過(guò)trunk與一教樓匯聚相聯(lián)，一教匯聚為每一個(gè)接入層交換機(jī)上的提供網(wǎng)關(guān)上網(wǎng)。

2.4 二教樓、辦公樓網(wǎng)絡(luò)規(guī)化

二教樓、辦公樓主要為教師辦公室，共容納教辦公機(jī)100多臺(tái)、所有接入層交換機(jī)都通過(guò)trunk與核心交換機(jī)相聯(lián)、核心交換為提供網(wǎng)關(guān)上網(wǎng)。網(wǎng)絡(luò)為所有辦公的計(jì)算機(jī)按不同地理位置劃分vlan從而方便各位老師的文件共享、減小廣播域。

2.5 三公寓網(wǎng)絡(luò)規(guī)化：

三公寓內(nèi)網(wǎng)絡(luò)設(shè)計(jì)：三公寓內(nèi)共有網(wǎng)絡(luò)信息點(diǎn)50個(gè)每一個(gè)信息點(diǎn)聯(lián)接一個(gè)學(xué)生宿舍將會(huì)有多個(gè)信息節(jié)點(diǎn)為了將來(lái)學(xué)校學(xué)生增加考慮為每一個(gè)樓層劃分一個(gè)VLAN，和一個(gè)IP子網(wǎng)。

三公寓網(wǎng)絡(luò)設(shè)計(jì)為一公寓和二公寓的匯聚和三公寓內(nèi)的接入層交換機(jī)的匯聚。通過(guò)trunk與核心交換機(jī)相聯(lián)為一公寓、二公寓、三公寓內(nèi)的接入層交換機(jī)提供網(wǎng)關(guān)并為一公寓、二公寓、三公寓內(nèi)的接入層交換機(jī)提供DHCP服務(wù)器動(dòng)態(tài)分配IP地址。

3 外聯(lián)網(wǎng)絡(luò)和Internet接入

3.1 CERNET

利用CERNET分配的外部IP地址訪問(wèn)Internet。

使用FortiGate 400-US對(duì)內(nèi)外網(wǎng)進(jìn)行隔離，對(duì)所有外出流量進(jìn)行策略控制。

3.2 ISP 電信

一教樓的計(jì)算教室有一條電信寬帶鏈路訪問(wèn)Internet，接入這條鏈路目前只能用于一教樓的計(jì)算機(jī)上網(wǎng)，同時(shí)辦公網(wǎng)的也需要訪問(wèn)一教樓的計(jì)算機(jī)，為了解決這一需求，在一教樓的匯聚交換上劃分一個(gè)VLAN與路由器相聯(lián)，劃分一個(gè)VLAN與核心相聯(lián)，并將缺省路由下一跳指向路由器上網(wǎng)，一教樓的其他計(jì)算機(jī)與辦公網(wǎng)通過(guò)靜態(tài)路由指向核心交換機(jī)。學(xué)校的WWW等服務(wù)器也通過(guò)電信訪問(wèn)internet 并在外網(wǎng)的接口上做nat將WWW服務(wù)器發(fā)布到internet上。

使用H3C AR 18-63-1路由器的防火墻功能和ASFP策略對(duì)TCP/UDP Smtp Ftp等應(yīng)用進(jìn)行深度監(jiān)控。

3.3 ISP 聯(lián)通

學(xué)校辦公網(wǎng)和學(xué)生公寓通過(guò)聯(lián)通的鏈路訪問(wèn)Internet，由于核心交換機(jī)不支持NAT地址轉(zhuǎn)換所以在核心交換機(jī)上將缺省路由指向防火墻。在防火墻上配置NAT讓內(nèi)部的計(jì)算機(jī)訪問(wèn)internet。

使用Cisco ACS服務(wù)器和H3C30-40路由器對(duì)用戶MAC/IP進(jìn)行管理。

參考文獻(xiàn)：

[1] 劉健，孫曉柏.淺談中小企業(yè)網(wǎng)絡(luò)組建方案[J].電腦知識(shí)與技術(shù). 2009年23期

[2] 李婧.中小企業(yè)局域網(wǎng)的組建探討[J]. 信息與電腦(理論版). 2010年02期

[3] 朱居正，陜?nèi)A.網(wǎng)絡(luò)組建與管理實(shí)訓(xùn)教程[M] 北京：清華大學(xué)出版社2011.1

[4] 楚狂等編著.網(wǎng)絡(luò)安全與防火墻技術(shù)[M]. 北京：人民郵電出版社，2000.4

[5] 王寶全 王大印 范開(kāi)菊等著.計(jì)算機(jī)信息安全[M] 北京：電子工業(yè)出版社 2008.7

[6] 高玉雷. 中小型局域網(wǎng)組建與管理教程[M] 北京：機(jī)械工業(yè)出版社2005.1