園區網絡設計方案范文

導語：如何才能寫好一篇園區網絡設計方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

>> 基于VPN技術的校園網絡建設分析 基于VPN的校園網絡建設 談VPN技術在校園網絡中的實現 基于VPN技術的多校區校園網絡安全探討 基于新型VPN 技術的高校校園網改造 基于VPN和PKI技術的校園網安全模型的設計與實現 基于校園網絡的數據整合方案設計 基于Wimax技術的無線校園網絡設計 基于SSL VPN的數字校園網絡應用研究 如何構建更安全的VPN校園網絡 校園網絡安全體系中VPN技術的應用探析 VPN技術在校園網絡安全體系中的應用 校園網絡安全體系中VPN技術的應用研究 基于PKI的校園網VPN系統的設計與實現 基于VPN的多園區校園網互連 基于混合VPN技術的中學校園網建設模式 基于VPN技術的校園移動OA設計與實現 基于全局安全的高校校園網絡設計方案 淺析校園網中VPN技術的應用 VPN技術在校園網中的應用 常見問題解答 當前所在位置：l？si=4&pt=ylmf_ik.

[3] 高海龍，張國立.VPN技術及其發展[J]. 福建電腦，2008（2）：1，24.

[4] 黃宏杰，陳朗欽.VPN技術在網絡中的應用[J].福建電腦，2007（12）：160-161.

[5] 王達.虛擬專用網（VPN）精解[M].北京：清華大學出版社，2004：25-60.

[6] 周碧英.淺析計算機網絡安全技術[J].甘肅科技，2008，24（3）：17-19.

篇2

關鍵詞：企業組網；網絡設計需求；網絡架構分析

中圖分類號：TN948.11 文獻標識碼：A文章編號：1007-9599 (2012) 06-0000-02

一、網絡設計需求分析

（一）總體需求分析

企業網絡的總體需求即是一個統一、可靠和安全的自動化辦公硬件平臺系統。這個企業網絡系統必須滿足如下幾點：滿足現代企業管理的統一，設計網絡系統時增加對統一管理的要求；滿足現代企業自動化辦公對網絡帶寬的苛刻需求，提供高性能的網絡處理能力；滿足現代企業部門多，資源分配有限的現狀，合理規劃網絡層次，實現最優的資源共享；滿足現代企業的發展及科技進步的需要，提供拓展能力強、升級靈活的網絡環境；滿足現代企業對信息資源的共享與安全，提供完善的網絡安全解決方案；滿足現代企業對辦公效率及成本控制的需求，增加一套高效的網絡應用解決方案。

（二）具體需求分析

1.基本架構的需求

針對大中型企業網設計，網絡結構采用典型的三層網絡結構，并使用VLAN技術來對網段進行劃分管理；考慮到未來網絡的發展，使用當今流行的千兆以太網技術，實現千兆核心、百兆接入；核心網絡設備的冗余備份，實現公司內部的無間斷運作；組建WLAN（無線局域網）區域，由于無線只用于較少的場合，這里選用無線AP+交換機（有線）的組合，實現簡單、經濟的無線網絡解決方案。

2.網絡出口和接入

租用電信固定IP，申請高速的寬帶網絡，能通過Internet向外公布和企業信息，并能實施VPN（虛擬專用網絡）方案；使用PAT（端口地址轉換）和端口映射，在滿足內網連接Internet的同時能夠讓外網正確訪問公共服務器。

3.網絡安全的需求

采用訪問控制措施對內網對外網、內網對DMZ（非軍事區）、外網對DMZ的防火墻設置，阻止惡意流量的侵入；啟用VPN解決方案，在最經濟的條件下實現安全的異地信息共享，并能實現移動辦公；因內網使用DHCP（動態主機配置協議）解決方案，啟用DHCP過濾、動態ARP（地址解析協議）檢測等手段對內網安全進行鞏固；對非員工區域以及無線網絡接入啟用802.1x+radius服務器驗證方案；公司內部計算機安裝防病毒軟件來實施全網的病毒安全防護。

4.硬件安全的需求

網絡中心機房規格應符合相關管理標準，機房建設的好壞直接關系到機房內計算機系統是否能穩定可靠地運行；配置高質量電源，設置良好的接地系統，并且安裝UPS（不間斷電源）裝置；做好網絡監控與安全措施，防止非授權人員直接進入機房實施入侵。

5.服務器選擇需求

由于網絡產品的性能、質量和功能與其價錢成正比，因而在一些關鍵器的選擇上，如數據庫服務器、Web/Mail服務器等負荷較重的業務上應該選擇性能較強的產品，而一些工作負載較少的應用，如DHCP服務器、DNS服務器等，可選擇配置較好的普通PC來承擔。

6.網絡的安全教育

建立一套完整的網絡管理規定和網絡使用方法，并要求網絡管理員和網絡使用人員必須嚴格遵守；加強對網絡管理員和網絡使用人員的培訓；制定合適的網絡安全策略，讓網絡用戶在使用網絡的過程中逐步把網絡當成工作中的一個得力工具，從而自覺地維護網絡的安全。

二、網絡總體設計方案

（一）網絡結構設計

企業網絡，在本設計中也可在本設計中也可以稱為園區網，園區網是非常典型的綜合型網絡實例，園區網通常是指大學的校園網及企業的內部網（intrfaceernet）。園區網分為3個部分，分別是交換網絡，路由網絡和遠程登陸網絡，主要的中心部分是交換網絡部分。

1.主干結構設計

本設計將網絡結構分為三層：接入層、匯聚層和核心層。使用三層網絡結構適合大中型企業的實際規模；二是這能提高網絡對突發事故的自動容錯能力，減少網絡故障排錯的難度和時間；三是采用此網絡分層有利于企業將來更靈活地對企業網升級擴大。

2.樓層局域網設計

接入層采用支持802.1Q的10/100Mbps工作組以太網交換機，交換機的數據依據用戶端口數、可靠性及網管要求配置網絡接入交換機，使10/100Mbps流量接至桌面。

3.互聯網接入設計

互聯網接入由位于網絡中心的DMZ交換機、WWW服務、E-mail服務、防火墻、路由器、Intrfaceernet光纖接入組成。向電信申請一個固定IP，提供外網服務器的訪問服務。

4.VLAN設計

通過VLAN將相同業務的用戶劃分在一個邏輯子網內，各工作組交換機采用基于端口的VLAN劃分策略，劃分出多個不同的VLAN組，分隔廣播域。同樣在千兆/百兆以太網上聯端口上設置802.1Q協議，設置通信干道(Truck)，將每個VLAN的數據流量添加標記，轉發到主干交換機上實現網絡多層交換。

5.VPN設計

通過Intrfaceernet采用VPN數據加密技術，構成企業內部虛擬專用網，可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。

（二）網絡拓撲設計

本設計中用的到的設備采用Cisco公司的網絡設備構建。全部網絡設備使用同一廠商設備的主要原因是在于可以實現各種不同網絡設備功能的兼容以及互相配合和補充。設計的網絡拓撲設計圖如圖3.1所示。

圖2.1 網絡拓撲設計圖

在圖2.1的拓撲中，接入層選用較廉價的二層交換機，如Catalyst 2960等；匯聚層選用中性能三層交換機，如Catalyst 3560；核心層選用性能更加強大的三層核心交換機，如Catalyst 4500系列，甚至Catalyst 6500系列。防火墻則選用ASA 5500系列，網關路由器則選用3600系列路由器（由于仿真軟件的設計問題，實驗設計中未必能選用到一模一樣的網絡設備，但由于設計和功能上的設計，在實驗環境下并沒有太大差別，只有在實際環境下，對性能的考驗才有較明顯的差異）。

（三）VLAN與IP地址規劃

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網” 通過將企業網絡劃分為虛擬網絡VLAN網段，可以強化網絡管理和網絡安全，控制不必要的數據廣播。一個合適的園區網，就需要一個合理的交換機網絡，本設計中應用VLAN劃分不同區域。每個VLAN分配IP網段的網絡位均為24位，每個網段都會保留前10個地址，用作網關、管理以及部門服務器等用途，主機位（二進制）為全0或全1的地址不分配，即每個分配到PC用的地址將有244個。

（四）模塊設計與仿真

結合網絡拓撲設計，本企業網設計方案可以分為以下四大部分構成：

交換模塊

廣域網接入模塊

遠程接入模塊

安全加固模塊。

交換模塊由Cisco Packet Tracer進行模擬仿真，廣域網接入摸快、遠程接入模塊和安全模塊使用GNS3、DynamipsGUI進行模擬仿真（由于模擬實驗與真實平臺有一定差異，一些命令配置并不能完全在模擬環境下實現）。

小結：

本文主要是以實際企業組網的前期網絡規劃階段為研究對象，主要是以確定需求、網絡架構為主。實際組網的工程比較巨大，考慮的因素也比較多，是無法僅僅用書上的知識體系去完成的。本人將在日后的學習工作中不斷深入這方面的研究。

參考文獻：

[1]田果,劉丹寧（譯）.Yusuf Bhaiji.網絡安全技術與解決方案（修訂版）[M].北京.人民郵電出版社,2010

[2]羅進文,譚筠梅,饒俊,張媛（譯）.David Hucaby.Cisco ASA、PIX與FWSM防火墻手冊（第二版）[M].北京:人民郵電出版社,2010

篇3

關鍵詞：高職院校；網絡工程；教學改革

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）33-7490-02

目前高職院校計算機網絡專業基本上都開設了網絡工程課程，通過網絡工程課程可以培養學生理論聯系實際的設計思想，訓練綜合運用所學的計算機網絡基礎理論知識，結合實際網絡設備，解決在設計、安裝、調試網絡中所遇到的問題，從而使基礎理論知識得到鞏固和加深。因為該課程在整個網絡技術中的重要性，很多高職院校都將該課程作為網絡專業的核心課程。

1 目前的《網絡工程》課程教學現狀

1）一直以來，在該課程的教學上，很多院校都采用了傳統的教學模式：理論為主、實踐為輔，講課基本上以講解為主，而學習網絡工程這門課程基本上在前面都已經學習過網絡服務、網絡設備配置以及綜合布線，如果再次進行這些技術知識的講解，會使學生覺得索然無味。

2）實驗的綜合性不強，很多試驗都是單獨的項目訓練，缺少集成的試驗設計，導致做一個大型項目的時候沒有經驗，排錯和解決問題能力很差。

3）教學過程中忽視對學生分析問題和設計能力的培養，很多教師在教授這門課程的時候往往會強調這個技術或者那個技術怎么實現怎么配置，但是忽視了一個基本的東西，那就是為什么要使用這些技術，學生往往只是學會了技術而沒有學會在合適的場合下正確的使用這些技術，分析問題和設計能力的缺乏會嚴重影響以后的工作。

4）沒有使用真正的企業解決方案去進行教學，教學不是以一個大的工程項目的形式去組織，而是為了教而教，學生很難對網絡工程的流程有一個很深的印象。

2 《網絡工程》課程的教學改革

課程改革按照基于工作過程的理念來設計課程教學內容，以一個網絡工程項目的形式實現課程教學，并構建一個合理的評價系統。

1）課程教學內容的設計

首先需要考查工作崗位以及該崗位需要應用的技能，本課程對應的崗位是網絡系統集成工程師，該崗位需要如下一些技能：

1）能夠根據不同的企業需求設計出合理的網絡拓撲。

2） 配置各種服務（包括WINDOWS以及LINUX服務器）的能力。

3） 在服務器上配置主機安全、數據庫安全、網站目錄及文件的安全。

4）能夠熟練配置二層交換、三層交換（包括生成樹以及路由冗余等）以及路由器（包括各種路由協議、路由策略、NAT等）。

5） 熟悉常用防火墻及VPN設備、入侵檢測設備、上網行為管理設備的配置安全策略的設計和配置。

6） 綜合布線的設計能力。

7）網絡測試及排錯的能力。

根據這些技能需求確定本課程的重點內容，圍繞這些內容選取教材。由于面向的是高職的學生，在理論部分不要選擇太深奧的內容，要以實用為宗旨。

2）項目式的教學實施

課程采用項目教學，按企業真實項目的設計和實施過程組織教學過程，將《網絡工程》的系統理論知識根據工作任務的需要分散到每個教學項目中去，理論為實踐服務，讓學生在完成具體項目，同時教師項目的具體情況，采用任務導向、引導啟發、分組協作、討論等多種教學方法，讓學生在“學中做，做中學，學會做，做學結合”的思想指導下真正成為學習的主體。

以下以一個園區網絡的設計為例：

首先需要了解該園區的網絡需求，有多少上網的用戶，分布在哪些建筑物以及建筑物的哪些樓層，還需要分析該園區是否需要配置自己的服務器，網絡是否需要擴展等，然后在去規劃網絡，規劃和設計該園區網絡的同時還需要考慮是否使用多層交換以及路由器，如何實現才能又滿足需求同時保證網絡性能。這一階段的任務可以采用教師引導、分組討論，以培養學生分析問題的能力。

其次根據以上情景的設計，設計合理的綜合布線方案。在設計中應該有相應的各個子系統的設計例如水平及垂直子系統的設計，同時應該要求樓宇之間的施工設計圖等。

再次配置相應的路由及交換，網絡服務、防火墻等具體配置，這一階段教師需要講解路由交換中的基本配置案例、各種網絡服務的配置（最好是同時包括WINDOWS和LINUX）、防火墻和入侵檢測設備的配置案例，在這一階段 學生應該能夠了解到足夠多的案例設計，在講解中教師可以引導學生思考在不同的設計環境下實現不同的設計方案，當然在教學過程中為了發揮學生的能動性，應該讓學生完成盡量多的案例配置，這樣一方面可以知道各種設計優缺點，另外一方面可以加強學生的動手能力。

最后是網絡連通測試及排除錯誤，在這一階段教師可以講解測試和排除錯誤的基本原則，然后由學生自己動手完成，各組學生可以交叉進行測試。

3）教學組織形式

可以在理論課程的教學過程中，穿插試驗環節，使學生在每個章節的理論課程之后完成相應內容的實踐練習，同時試驗過程應該是一個大型項目的子項目，這樣在完成理論課程教學后，學生從需求到設計再到配置和實施，完成一個大型項目，會使學生感覺到學有所用，增強學生的學習興趣。同時，為了加強學生的設計能力，需要讓學生自己完成一個網絡系統的設計及實施，這樣需要開設相應課程的課程設計以強化所學的理論知識，使得學生完整的掌握網絡工程設計各個設計和實施環節。在課程設計教學過程中，可以讓學生編組完成一個大型的網絡工程的設計，這樣不僅鍛煉學生的團隊合作能力，同時還可以開闊設計視野。

4）課程評價

為使學生的課程成績全面反映其學習情況，平時學生每完成一個子項目就需要進行一次考核，以便于更加準確記錄學生的學習狀況。課程設計采用分組形式來完成，組內成員各自完成不同的任務并需要進行答辯，同時形成工程項目文檔，不僅要考察學生完成項目的能力同時強調文檔的書寫能力。

3 結束語

隨著網絡工程技術的不斷發展，企業對技能的需求也會越來越多、越來越高，這就要求我們的課程內容要與需進一步完善和豐富教學視頻、案例庫等課程資源的建設，方便學生自主學習。時俱進、動態的調整教學內容和教學方式，以培養出合格的高職學生兵最終能夠服務于社會。

參考文獻：

[1] 周翔鷹.高校計算機基礎教學改革探索[J].高教論壇，2006（3）.

篇4

    6．1 網絡的分層設計原則：

    

     

    從邏輯上，大型網絡可分為核心層、分布層和接入層，每層都有其特點。層次化設計的優點可以總結為如下幾點：

     可擴展性：因為網絡可模塊化增長而不會遇到問題；

     簡單性：通過將網絡分成許多小單元，降低了網絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環等潛在的問題；

     設計的靈活性：使網絡容易升級到最新的技術，升級任意層次的網絡不會對其他層次造成影響，無需改變整個環境；

    可管理性：層次結構使單個設備的配置的復雜性大大降低，更易管理。

    

    6.1.1 核心層 core layer

     核心層為下兩層提供優化的數據輸運功能，它是一個高速的交換骨干，其作用是盡可能快地交換數據包而不應卷入到具體的數據包的運算中(acl，過濾等)，否則會降低數據包的交換速度。

    6.1.2 分布層 distribution layer

        分布層提供基于統一策略的互連性，它是核心層和訪問層的分界點，定義了網絡的邊界，對數據包進行復雜的運算。在園區網絡環境中，分布層主要提供如下功能：

    地址的聚集

    部門和工作組的接入

    廣播域/多目傳輸域的定義

    vlan路由

    任何介質的轉換

    安全控制

    

    6.1.3接入層 access layer

     接入層的主要功能是為最終用戶提供對園區網絡訪問的途徑。本層也可以提供進一步的調整，如訪問列表過濾等。在園區網絡環境中，接入層主要提供如下功能：

    帶寬共享

    交換帶寬

    mac 層過濾

    網段微分

    

    

     

    6.2  網絡設計方案及分析

    6.2.1 方案描述：

        在核心層采用兩臺神州數碼lrs－6706g作為主干交換機，它們之間采用千兆鏈路連接。與分布層骨干交換機神州數碼des－6000之間采用生成樹（spanning tree）冗余連接，用以保證與骨干交換機之間的備份連接。des－6000與接入層交換機神州數碼des－3624i之間采用多鏈路冗余連接（port trunking），用以保證負載均衡及線路備份。port trunking技術可以在交換機之間或者交換機與服務器連接最多4條線路，實現負載均衡及線路冗余。如果采用快速以太網實現port trunking，可以達到800m帶寬，若采用千兆以太網作多鏈路冗余連接，最多可以實現8g帶寬．當兩個交換機之間的一條線路出現故障，傳輸的數據會快速自動切換到另外一條線路上進行傳輸，不影響網絡系統的正常工作，無需人工干預。用神州數碼lr－2501a路由器實現廣域網的路由連接。同時采用神州數碼lf－2000防火墻，用以提供全面的訪問控制策略和安全防護能力。對于des－3624i的堆疊群，管理軟件通過一個ip地址就可以完成整個堆疊群的管理。在整個網絡拓撲結構中，對于堆疊群作為一個節點，通過一個ip地址進行管理?？梢詫崟r監測交換機，并且可以通過多種方式進行顯示以便于觀察，隨時監控網絡運行狀況。

     

    

     

    6.2.2 網絡核心層設計:

    根據智能小區信息系統網絡的總體結構，作為信息存貯與處理中心，在網絡系統集成的技術中，直接面向用戶的第一層接口和第二層交換技術方面已得到令人滿意的答案。交換式局域網技術使專用的帶寬為用戶所獨享，極大的提高了局域網傳輸的效率。但第二層交換也暴露出弱點：對廣播風暴，異種網絡互連，安全性控制等不能有效的解決。作為網絡核心、起到網間互連作用的路由器技術卻沒有質的突破。傳統的路由器基于軟件，協議復雜，與局域網速度相比，其數據傳輸的效率較低。但同時它又作為網段(子網，vlan)互連的樞紐，這就使傳統的路由器技術面臨嚴峻的挑戰。隨著internet/intranet的迅猛發展和b/s(瀏覽器/服務器)計算模式的廣泛應用，跨地域、跨網絡的業務急劇增長，業界和用戶深感傳統的路由器在網絡中的瓶頸效應。改進傳統的路由技術迫在眉睫。在這種情況下，一種新的路由技術應運而生，這就是第三層交換技術：第三層交換技術也稱為ip交換技術、高速路由技術等。第三層交換技術是相對于傳統交換概念而提出的。眾所周知，傳統的交換技術是在osi網絡標準模型中的第二層――數據鏈路層進行操作的，而第三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。簡單地說，第三層交換技術就是：第二層交換技術＋第三層轉發技術。這是一種利用第三層協議中的信息來加強第二層交換功能的機制。當今絕大部分的大型網絡都已變成實施tcp/ip協議的web技術的內聯網，用戶的數據往往越過本地的網絡在網際間傳送，因而，路由器常常不堪重負。

    從應用上來看，internet和intranet迅猛發展，跨網絡、跨地域的b/s計算模式得到廣泛的應用，這一切對路由器提出更高的要求。路由器的高費用、低性能使其成為網絡的瓶頸。但由于網絡間互連的需求，它又是不可缺少的并處于網絡的核心位置。可以說，當網絡技術發展到這個地步時，網絡的核心--路由器技術的革新已刻不容緩。現實世界的應用為路由器技術提出了嚴峻的挑戰。在這種情況下，提出了第三層交換技術。

    一個具有第三層交換功能的設備是一個帶有第三層路由功能的第二層交換機，但它是二者的有機結合，并不是簡單的把路由器設備的硬件及軟件簡單地疊加在局域網交換機上。從硬件的實現上看，目前，第二層交換機的接口模塊都是通過高速背板/總線(速率可高達幾十gbit/s)交換數據的，在第三層交換機中，與路由器有關的第三層路由硬件模塊也插接在高速背板/總線上，這種方式使得路由模塊可以與需要路由的其他模塊間高速的交換數據，從而突破了傳統的外接路由器接口速率的限制(10mbit/s---100mbit/s)。

    第三層交換具有以下突出特點：

        a.有機的硬件結合使得數據交換加速；

        b.優化的路由軟件使得路由過程效率提高；

        c.除了必要的路由決定過程外，大部分數據轉發過程由第二層交換處理；

        d.多個子網互連時只是與第三層交換模塊的邏輯連接，不象傳統的外接路由器那樣需增加端口，保護了用戶的投資。

        在本解決方案中，整個智能小區網絡采用層次化網絡拓撲結構，在網絡中心的核心層配置神州數碼lrs-6706g第三層交換機。通過lrs-6706g第三層交換機完成高帶寬、大容量網絡層路由交換功能交換， 是一種功能強大的企業網主干交換機，使網絡管理者能方便的監督和管理網絡，同時，又能將主干網帶寬提升到千兆速度。lrs-6706g具有6個千兆端口并提供4個擴展插槽的機箱式第三層交換機。lrs-6706g配置非常靈活、實用，同時提供了極好的性能和經濟合理的價位，他們建立在一個功能強大且絕對無阻塞的64g交換背板上。 可選的擴展模塊包括一個6端口的千兆模塊，一個16端口的10/100base-tx擴展模塊。另外，lrs-6706g還提供兩個廣域網擴展接口，可用于連接t1/e1，multilink ppp或者frame relay。lrs-6706g同時提供了增強的網絡傳輸能力，例如：ip 路由、服務質量(qos)、分級傳送和ip組播。網絡管理員能夠隨時通過任意一個端口配置以上功能，以消除傳統路由器的瓶頸，設置優先級給不同類型的網絡傳輸及保證某些應用的流量帶寬，如視頻傳輸。

    lrs-6706g提供了廣泛的管理選擇，包括hp openview和其他的snmp管理系統，或者lrs-6706g自己提供的網絡管理系統。使用netscape或ie瀏覽器，你可以很容易地通過web方式對交換機進行配置和監控。其中包括配置ip路由、ip組播、靜態vlan、生成樹、設置陷阱和警報，察看rmon 狀態和登錄事件。也可以通過vt100仿真終端以文本界面方式設置交換機。lrs-6706g提供無可比擬的可靠性和通用性以保護用戶的投資。

    lrs-6706g提供到分布層des-6000千兆位以太網交換機、防火墻和服務器群（其中包括主域服務器、備份域服務器、文件服務器、數據庫服務器、應用服務器、/society/" target="_blank" title="">社會生活的各個領域，日漸成為人們日常工作生活不可缺少的一部分。

    社區的網絡系統采用internet標準的tcp/ip協議，采用先進的網絡設備在園區范圍內構建寬帶多媒體網絡環境，并與internet網絡通過高帶寬線路互聯，可以提供高速internet網絡接入服務。同時社區信息服務系統為用戶提供mail，/shenqingshu/" target="_blank" title="">申請ip地址及注冊域名。神州數碼接入路由器lr－2501a可以通過ddn專線(最高可達2.048m帶寬)、frame relay、x.25、isdn撥號等方式與internet相連。還可以按照需要靈活配置多種廣域網端口模塊，提供寬帶、qos保證的遠程多媒體服務。為了保證智能社區網絡的安全，方案中在神州數碼接入路由器lr－2501a后設置一臺神州數碼lf－2000硬件防火墻，該防火墻可及時追蹤internet的黑客攻擊行為和方法，實現了抗攻擊和反攻擊的安全策略，為用戶提供安全可靠的服務。在網絡中亦可實現實時郵件病毒檢測、實時檢測是否有入侵行為、進行快速的流量過濾、訪問控制和加密，防止外部非法用戶的侵入以及內部用戶的對外部網絡的不安全訪問等。

        主要特點：

    可以在社區內建設自己的intranet,為社區住戶提供綜合信息服務。

    技術標準成熟，設備穩定可靠，安全性高。

    接入速度快，擴展性好，性能價格比高。

    管理簡便，易于使用與推廣。

    可以方便與其他客戶網絡互聯。

    系統可以應用多種先進技術（trunking，vlan，qos等），可實施豐富的應用系統功能。

         需要綜合布線系統的支持，在舊建筑改造中施工困難。 

     

    adsl接入:

        為了實現用戶接入網的數字化、寬帶化，提高用戶上網速度，光纖到戶（ftth）是用戶網今后發展的必然方向，但由于光纖用戶網的成本過高，在今后的十幾年甚至幾十年內大多數用戶網仍將繼續使用現有的銅線環路，于是近年來人們提出了多項過渡性的寬帶接入網技術，包括n-isdn、cable modem、xdsl等等，其中adsl（非對稱數字用戶環路）是最具前景及競爭力的一種,將在未來十幾年甚至幾十年內占主導地位。目前,adsl的熱潮席卷世界各地，世界范圍內各大網絡公司相繼推出adsl的產品并致力于adsl的發展；全球許多電信公司、isp也紛紛推廣各自的adsl服務，北美、新加坡等率先正式投入營業，日本、臺灣、韓國等等國家也已進入試驗階段，中國電信在北京、上海、廣東、福建等地已進行相關的網絡測試并開始試驗性推廣，而深圳更是已進入了實用階段，2000年將是adsl普遍走向社會大眾的一年。

       adsl能夠向終端用戶提供8mbps的下行傳輸速率和1mbps的上行傳輸速率,比傳統的56k模擬調制解調器快將近100倍。這也是傳輸速率達128kbps的isdn(綜合業務數據網)所無法比擬的。本方案中采用神州數碼網絡的adsl路由器dsl-506可實現多戶同時接入adsl。

    主要特性：

    支持較高帶寬，便于高速訪問internet。

    利用普通電話線，不需要綜合布線和改造有線電視線路。

    用戶端和局端需要配備adsl適配器。

          用戶端和局端需要語音分離器。

     

    cable modem接入:

    目前，cable modem 接入技術在全球尤其是北美的發展勢頭很猛，每年用戶數以超過100%的速度增長，在中國，已有廣東、深圳、南京等省市開通了cable modem 接入。它是電信公司xdsl技術最大的競爭對手。在未來，電信公司陣營鼎力發展的基于傳統電話網絡的xdsl接入技術與廣電系統有線電視廠商極力推廣的cable modem 技術將在接入網市場（特別是高速internet接入市場）展開激烈的競爭。在中國，廣電部門在有線電視（catv）網上開發的寬帶接入技術已經成熟并進入市場。catv網的覆蓋范圍廣，入網戶數多（據統計，1999年1月全國范圍的有線電視用戶已超過一億）；網絡頻譜范圍寬，起點高，大多數新建的catv網都采用光纖同軸混合網絡（hfc網），使用550mhz以上頻寬的鄰頻傳輸系統，極適合提供寬帶功能業務。電纜調制解調器（cable modem ）技術就是基于catv（hfc）網的網絡接入技術。  

    

cablemodem與以往的modem在原理上都是將數據進行調制后在cable(電纜)的一個頻率范圍內傳輸,接收時進行解調，傳輸機理與普通modem相同，不同之處在于它是通過有線電視catv的某個傳輸頻帶進行調制解調的。而普通modem的傳輸介質在用戶與交換機之間是獨立的，即用戶獨享通訊介質。cablemodem屬于共享介質系統，其它空閑頻段仍然可用于有線電視信號的傳輸。

    

cablemodem徹底解決了由于聲音圖像的傳輸而引起的阻塞，其速率已達10mbps以上，下行速率則更高。cablemodem也是組建城域網的關鍵設備，混合光纖同軸網(hfc)主干線用光纖，光結點小區內用樹枝型總線同軸電纜網連接用戶，其傳輸頻率可高達550/750mhz。在hfc網中傳輸數據就需要使用cablemodem。本方案中采用神州數碼網絡的cable modem  dcm-100可實現社區用戶同時接入internet。

    

    

主要特點：

    不需要綜合布線，可以利用現有的有線電視網作為接入網，減少成本。

    利用有線電視播送服務，能達到高品質的信號需求。

    網絡設備可依服務項目需求逐漸擴增，降低初始架設成本。

    網絡架構可以隨著用戶數增加及用戶頻寬的需求演變，不需重新投資新網絡。

    主干采用光纖，便于提高頻寬需求，符合多媒體技術發展。

         目前cable modem還沒有統一的標準。

篇5

關鍵詞：網絡安全；實戰；案例

在“網絡安全技術”教學中，充分利用計算機網絡功能，開展以自主學習為前提、以合作交流為形式、以探究建構為目的的實戰式案例教學模式，無疑對實現學生認知的深化和建構，教學雙方發生角色互換，喚醒學生的主體意識，發展學生的主體能力，塑造學生的主體人格，培養學生科學的探索精神和創造能力是大有裨益的。

一、案例教學的模型設計

1．案例教學的理論基礎

現代科學理論認為，思維是人腦對信息進行采集、分析、綜合、存儲、加工處理，并做出判斷推理的過程。這一過程可分為信息的提供、加工處理和輸出三個步驟。在這個過程中，教師作為引導者提供源信息，并指導學生對這些信息加工處理：學生是主體，分析、綜合、加工處理這些信息，不斷豐富自己的知識和技能。案例教學是完成課程內容教學和知識延伸很重要的環節，因此，案例教學是通過對一個具體情景的描述，引導學生對這些特殊情景進行討論的一種教學方法，對培養學生的創造性思維能力十分重要。

案例教學主要的優點在于：

(1)案例教學注重學生的創造能力和實際解決問題能力的發展，它所解決的是如何用更有效的方式(不只是傳授、講座)獲得這些知識。

(2)學生通過案例教學得到的知識是內化了的知識，逐漸學會了如何處理眾多的疑難問題。

(3)通過案例教學，學生不僅可以從中獲得認知的知識，而且有助于提高其表達、討論技能，增強其面對困難的自信心。

(4)案例教學大大縮短了教學情景與實際生活情境的差距。

(5)案例可以把抽象的原理、概念等具體化，學習者可以清楚地認識到這些原理、概念在實際生活中的用處、表現，激發其學習興趣和動力，同時也會恰當地掌握它所具有的特定含義和意義。

以“網絡安全技術”課程為例，在案例教學中討論安全防范的知識，網絡元素性能、特點、網絡物理和邏輯結構、網絡服務器在分層園區網中的安全地位，以及網絡核心、匯聚、接入層的通信性能等問題?？梢允箤W生在學習知識、分析問題、解決問題的過程中，將理論與實踐相結合，深刻理解“學以致用”的意義，使課程的學習網絡安全技術達到知識和能力兩方面有機融合的目標。

2．案例教學方法基礎模型的構建

案例教學方法重在于案例的設計、應用與分析，一個案例是一個實際情境的描述，包括有一個或多個疑難問題，同時也可能包含有解決這些問題的方法。在案例教學中，教師與學生承擔著更多的教與學的責任，要求有更多的投入和參與。作為教師，他有責任去選擇和組織所要討論的材料，要從大量的資料中選擇出適當的案例，如果沒有現成的案例，還要自己動手撰寫這些案例，并以一定的程序把它呈現出來；經過精心設計案例、引入案例操作與分析、布置合理的開放式任務，使學生所學的知識得到遷移和升華，通過合理的評析，使學生產生積極的學習動機。作為學生，必須做好課前準備，要對所提供的具體事實和原始材料進行分析、討論、并從中得出有用的結論來。

根據“網絡安全技術”教學內容和教學要求的特點，結合案例教學法理論，我們構造兩個集網絡安全理論和實踐操作平臺，即虛擬網絡環境下的網絡安全技術理論劉南開，華北科技學院教務處綜合科科長，副教授。與實踐和網絡硬件搭建的網絡實戰平臺。其基本流程如下圖所示：

二、案例教學方法的實施

將教學內容與案例結合，進行分類、合理安排，不同的教學內容采用不同的教學方法。第一類是基本內容，它是課程的基礎。由教師帶領學生進行系統學習，當學生入門后，即讓學生開始實驗設計與操作，以加深對概念、技術的理解。學生在完成學習任務的過程中提出的問題，教師根據教學內容結合實例中類似的問題給學生適當指導，學生從課程的案例分析結合實例并通過模擬實驗獲得。案例的設計采用兩種方式，其一，利用授課計算機，進行任務式案例教學。逐步過渡到自主學習的狀態，為學生進行創造性思維奠定了良好基礎。其二，利用游戲軟件，攻關式案例教學，利用學習黑客攻擊操作系統的軟件：研究究竟如何入侵電腦網絡系統內部。網絡安全是攻與防的有機體，學習入侵，才能更好地學會防范，按照關口設置要求作為案例實現目標，在游戲中學習知識，寓教于樂。

在案例式教學中重點突出網絡安全系統設計的結構化和系統化的思維方法。結構化是一種描述事物內部規律性的方法，是系統思維的重要方法之一。而系統思維被認為是現代科學技術發展的主要特征之一，要求把對象放在系統中加以研究，從系統的觀點出發去研究整體與局部，探索系統各因素的特征及解決問題的最佳方案。在機房環境下，給同學們配備好相應的網絡硬件，如w2K服務器、交換機、路由器、防火墻。首先小組成員集體討論，理解問題的要求。采用模塊化的方式每人承擔一部分，團結協作到問題的解決。小組成員均要發表自己對問題的求解方法，集思廣益求得對問題解決的一致方法，待問題解決后，還要進行小組自評與組間互評，以找出設計方案存在的不足，最后，采用小組對抗方式，進行實戰安全攻防對壘，真正了解理論和實踐中的差距和不足。各自小組進行輪流角色，每小組在角色變換時進行攻防經驗交流，為在下一輪攻防前進行安全設置，彌補漏洞為實戰對抗演練進行準備，經過多輪的實戰演練，調動了同學學習的積極性，培養了學生的學習和創造性思維能力。

三、結束語

根據不同的課程要求，采用基于實戰式案例教學方法，在實施學與教的過程中，深刻體會到，此種教學法旨在通過案例引導學生解決復雜的、實際的問題，使學習建構起寬厚而靈活的知識基礎，發展有效的解決問題技能。通過實戰訓練，發展自主學習和終生學習的技能，實戰雙方成為有效的合作者，對培養學生的學習動機和創造性思維能力，可以起到事半功倍的效果。

篇6

關鍵詞:計算機網絡技術;項目化;行動導向

近年高職計算機類專業面臨極大的挑戰,這種挑戰體現在計算機類專業報名人數的下降,畢業生的就業率不高,高職計算機專業教育日益面臨尷尬境地。如何創新高職計算機專業教育已經引起了計算機教育界的高度重視。教育部計算機教指委對計算機類專業的課程體系開展了系統的研究,已經形成了較為完整的結論,制定了《高等學校計算機科學與技術專業戰略研究報告暨專業規范(試行)》。蔣宗禮等國內計算機教育的知名專家研究了計算機科學與技術專業公共核心課程,提出了這些公共核心課程的組成[1]?！坝嬎銠C網絡技術”課程是一門實踐性和知識性都很強的專業公共核心課程,如何根據高職計算機類專業的人才培養目標和人才培養模式的要求進行改革對于高職計算機類專業的課程改革意義重大。

1 “計算網絡技術”課程教學內容組織現狀

根據筆者的不完全統計,在普通高等教育“十一五”國家級規劃教材中涉及計算機網絡的教材總共有54種,其中屬于高職高專適應的教材為19種[2-20],這19種計算機網絡教材代表了目前高職高?！坝嬎銠C網絡技術”課程教學內容設計的最高水平。仔細分析后發現:這些教材在教學內容選擇上一般都是先講計算機網絡基礎知識,然后是數據通信基礎知識、計算機網絡體系結構、局域網、網絡互聯設備、網絡操作系統、Internet應用、網絡安全,最后是計算機網絡新技術介紹。在教學內容的序化上一般采用了傳統的教學模式,把“計算機網絡技術”這種實踐性非常強的課程教學變成了知識點的說教,將知識學習和動手實訓割裂開來;或者走向另一個極端,忽視知識的學習而過分強調動手實訓,將課程變成了一門培訓課程。

德國職業教育的行動導向學習追求學習與工作的一體化思想,得到了中國職業教育界的認同[21]。但是目前還很少見到有“計算機網絡技術”課程教學內容按照這種行動導向的思路進行組織,這說明在“計算機網絡技術”課程教學內容改革上還有待更深入的探索。

2教學內容項目化的理論基礎

項目教學是行動導向學習的一種組織形式,是面對一個實踐性的、真實或接近真實的任務,學生們獨立地(相對于教師控制而言)確定目標要求、制定具體計劃、逐步實施并檢查和評價整個過程[22]。項目教學是一種以工作任務為中心選擇,組織課程內容,并以完成工作任務為主要學習方式的教學方式。項目教學能有效加強課程教學內容與實際工作之間的相關性和貼近度,整合知識、能力與素質,使得教學過程更容易滿足人的全面發展和職業技能培養的要求。高職教育以促進就業為目的,要求學生在學校所學盡可能與未來工作崗位“零距離”,因此,若按照以前以知識傳授為主線的方式實施教學,則會使學生進入工作崗位以后還要花相當長的時間去重組他們所學的知識以適應工作崗位的需要。

項目教學具有以下特征:

(1) 學生自行負責、全身心投入實施較大的、完整的設計方案,強調小組學習;

(2) 學習任務的最終目的在于完成具有實際利用價值的成果,無論是能夠使用的產品還是具有啟發性的研究發現或者能夠進一步落實的行動方案;

(3) 為了完成作品,學生要把不同專業領域的知識結合起來,在行動中分析問題。

盡管“計算機網絡技術”課程教學有了項目教學作為理論基礎,但目前教學還缺少實施項目化教學的條件。主要在于缺乏足夠的教學內容項目化的教材;教學內容項目化過程中項目的設計還沒有形成標準。盡管這樣,由于高職“計算機網絡技術”課程對實踐的要求較高,而對理論的要求較低,因此“計算機網絡技術”課程特別適合實施項目化教學。

3教學內容項目化的具體做法

我們在建設國家示范性高等職業院校重點專業――計算機網絡技術專業的過程中,按照項目教學的思想對“計算機網絡技術”課程的教學內容進行了深入的改革,具體做法如下:

(1) 課程項目化實施的前提。

以工程中的實際應用為培養主線,從網絡軟、硬件兩方面實驗入手;以培養學生應用能力為主線,“教學做”一體化?；纠碚摬蛔非笊羁虖V泛,而關注其實用性,結合實際的應用舉例,使學生融會貫通。

先進性與學術性相結合。適當去除一些陳舊、難度過大及理論過深的內容,增添應用性較強的新內容,使教材能反映計算機網絡技術的最新發展水平,符合社會用人需求。

(2) 課程教學內容的項目分解。

將“計算機網絡技術”課程對應于一個大項目,然后將大項目分解成若干小項目,從而實現課程在宏觀上的序化。根據高職計算機類專業的人才培養目標結合各個行業對計算機網絡技術的要求,可以將整個課程對應于一個企業的局域網構建問題。然后將局域網構建這個大項目分解成若干一級項目。這些一級項目按照認知順序包括:網絡用戶需求分析、網絡拓撲結構設計、網絡硬件實施、網絡軟件實施、網絡管理與維護、廣域網、網絡新技術7個部分。

(3) 一級項目的進一步分解。

按照項目化教學的要求,7個一級項目可進一步分解成若干二級項目,如表1所示。各個二級項目還可以根據項目化教學的要求和課時的安排分解成若干三級項目,確保一個教學單元能完成一個或多個三級項目。

(4) 每個項目的教學情境設計盡可能貼近學生未來工作實際。

高職計算機專業畢業生學習到的計算機網絡技術可能的應用范圍包括:校園網絡、企業園區網絡、辦公網絡、小區網絡、政務網絡、網吧等。在設計各個項目的教學情境時必須選取來自這些應用范圍的生動實例,以提高學生的學習興趣,提高學生學習的目的指向。另外,還要對這些來自應用領域的實例進行再加工,使得每個項目能夠覆蓋教學大綱對知識點和技能的要求。每個項目的教學情境要滿足5個條件:目標性、生動性、探究性、綜合性、可操作性。

(5) 在每個項目的教學內容的序化問題上要貫徹教學做一體化的原則。

根據教學做一體化的要求,可以按照圖1所示的順序對每個二級或三級項目的教學內容進行序化。

在以上教學設計過程中,“講授本項目必須的最基本知識”、“提出項目”的主體是教師;“項目分析”的主體是教師和學生;“知識傳授”的主體是教師;“項目解決方案設計”的主體是教師和學生;“完成項目”的主體是學生;“項目評價”的主體是教師。因此,在以上教學設計中,教師和學生分別作為主體交替或同時出現,能夠確保知識點學習和技能訓練兩不誤,有效發揮學生的主觀能動性,提高其學習興趣和學習效率。

4結語

本文對高職“計算機網絡技術”課程教學內容項目化進行了初步的研究,以行動導向學習為基礎,探討了“計算機網絡技術”課程教學內容項目化的具體做法。通過研究發現,對于實踐性和知識性都很強的課程,運用項目教學的原理,對其教學內容實施項目化,有利于該課程的項目化教學,有利于培養學生的職業能力,同時有利于傳授必須的理論知識,最終促進學生的可持續發展。

參考文獻:

[1] 蔣宗禮,王志英,李曉明,等. 構建計算機科學與技術專業公共核心課程[J]. 中國大學教學,2007(1):45-47.

[2] 尚曉航,馬楠,陳鴿. 計算機網絡技術基礎[M]. 3版. 北京:高等教育出版社,2008.

[3] 徐其興. 計算機網絡技術及應用[M]. 3版. 北京:高等教育出版社,2008.

[4] 劉晶U,高良誠. 計算機網絡概論[M]. 北京:高等教育出版社,2008.

[5] 周鴻旋. 計算機網絡基礎[M]. 北京:高等教育出版社,2008.

[6] 吳學毅. 計算機網絡規劃與設計[M]. 北京:機械工業出版社,2009.

[7] 張學軍,夏長富. 計算機網絡技術(基礎篇)[M]. 3版. 大連:大連理工大學出版社,2005.

[8] 李秀龍. 計算機網絡[M]. 北京:中國電力出版社,2007.

[9] 胡軍華. 計算機網絡實用教程[M]. 3版. 北京:電子工業出版社,2008.

[10] 晉玉星,吳麗征. 計算機網絡技術[M]. 北京:科學出版社,2007.

[11] 王恩波,張露. 計算機網絡實用技術[M]. 北京:人民郵電出版社,2007.

[12] 李暢,吳洪貴. 計算機網絡技術實用教程[M]. 3版. 北京:高等教育出版社,2008.

[13] 王海春. 計算機網絡技術[M]. 北京:高等教育出版社,2007.

[14] 朱根宜. 計算機網絡與Internet應用基礎教程[M]. 北京:清華大學出版社,2004.

[15] 褚建立. 計算機網絡技術[M]. 北京:清華大學出版社,2006.

[16] 蔡立軍. 計算機網絡安全技術[M]. 2版. 北京:中國水利水電出版社,2007.

[17] 黃能耿. 計算機網絡技術實訓指導書[M]. 北京:科學出版社,2007.

[18] 季福坤. 計算機網絡基礎[M]. 北京:人民郵電出版社,2006.

[19] 杜煜,姚鴻. 計算機網絡基礎[M]. 2版. 北京:人民郵電出版社,2006.

[20] 余明輝. 計算機網絡構建技術[M]. 北京:人民郵電出版社,2007.

[21] 李斌. 任務驅動型教學法在高職院校計算機教學中的應用[J]. 計算機教育,2008(16):88-89.

[22] 姜大源,吳全全. 當代德國職業教育主流教學思想研究――理論、實踐與創新[M]. 北京:清華大學出版社,2007.

Research on Project-based Teaching Method to the “Computer Networking Technology”

Curriculum of Higher Vocational Education

WEN Yi-min, TAN Ai-ping

(Department of Information Engineering, Hunan Industry Polytechnic, Changsha 410208, China)

篇7

【關鍵詞】校園網；網絡體系結構；系統配置；主干網；核心節點

隨著高校校園網絡基礎設施和信息資源建設的不斷發展，校園網已成為高校師生學習、科研、生活的重要平臺。上網已經成為廣大師生日常學習和生活的重要內容。同時校園網為我國高等學校之間的信息交流、資源共享提供了方便快捷的信息通道，為高校教學、科研的騰飛創造了新的契機。校園網的建設是衡量高校學術水平與管理水平的重要標志，也是提高高校教學及科研水平的不可缺少的技術支撐環節。本文作者根據參與云南師范大學商學院校園網的組網實踐及與其它院校校園網的比較對校園網組網的理論與技術問題進行了探討。

1.校園網的設計目標

云南師范大學商學院校園網的總體目標是建成一個包括校園一卡通系統、數字圖書館、網上辦公、學生學籍、招生就業、網絡教學、教務管理、科研管理、人事管理、設備資產管理、后勤管理、門禁、電子巡更、安保監控等綜合應用的校園網。整個校園網以設在精忠樓的網絡信息資源中心為核心'覆蓋所有辦公樓、教室、學生公寓。

為了保證各種應用系統能在網上可靠安全高速及高效的運行，在設計網絡時應遵循如下原則：

（1）先進性：采用先進成熟的網絡概念技術方法與設備。既反映當今先進水平又給未來的發展留有余地。

（2）實用性：網絡的應用雖然可以包羅萬象，但對每一個部門都不可能窮其所有，因此校園網組網必須遵循“面向應用、注重實效、急用先上、逐步完善”的原則。

（3）可靠性：系統必須可靠運行，主要的關鍵的設備應有應急備用，一旦系統某些部分出現故障能很快恢復工作，不能造成任何損失。故提高網絡防突發事件能力，充分保證網絡事務的完整性和數據的安全性是必須優先考慮的問題。

（4）可維護性：系統應具有良好的網絡管理、網絡監控、故障分析和處理能力，使系統具有極高的可維護性。

（5）安全性：網絡系統的安全主要包含網絡系統安全和網絡數據安全。一方面要防止破壞系統的黑客，另一方面還要防止不經授權的數據訪問。因此，系統必須具有高度的保密機制，靈活方便的權限設定和控制機制，以使系統具有多種手段來防止各種形式的非法侵入和機密信息的泄露。

（6）可擴充性：系統是一個逐步發展的應用環境，在系統結構、系統容量與處理能力等方面必須具有升級換代的可能。這種擴充不僅能充分保護原有資源，而且具有較高的性能比。

2.組網需求

2.1 組網技術選擇

在數字化校園網網絡設計建設中，骨干網選擇那種網絡技術在校園網絡建設成功與否起著十分重要的作用。選擇合理校園網絡需求的主流網絡技術，既可保證網絡的高性能，又能保證網絡的實用性和擴展性，可在以后更新技術平穩過渡。

以太網組網非常靈活和簡便，可使用多種物理介質，以不同拓組網技術撲結構組網，是目前國內外應用最為廣泛的一種網絡，已成為網絡技術的主流。以太網按其傳輸速率又分成10Mb/s、100Mb/s、1000Mb/s。細纜以太網10 BASE-2 10 BASE-2以太網是采用IEEE802.3標準，它是一種典型的總線型結構。采用細纜為傳輸介質，通過T型接頭與網卡上的BNC接口相連的總線型網絡。

以ATM交換機為中心連接計算機所構成的局域網絡叫ATM局域網。ATM交換組網技術ATM網卡支持的速率一般為155Mb/s～24Gb/s，滿足不同用戶的需要，標準ATM的組網速率是622Mb/s。ATM組網技術的不足之處是協議過于復雜和設備昂貴帶來的相對較高的建網成本。

在建設校園網絡建議如下：

（1）未來如何保留現有投資。保護現有投資的有效途徑就是在將來網絡技術升級時還能使用現有的網絡技術和產品。如同計算機的發展速度一樣，網絡技術的發展也是非常迅速的。從目前的趨勢來看，采用千兆以太網技術是最適宜的。

（2）性能價格比。以太網，快速以太網，千兆以太網和ATM網三者性能狀況由低到高，但是價格也是由低到高的。鑒于我國學校的實際資金狀況，在建設校園網時要充分考慮到學校的經濟實力，選擇“好用，夠用，適用”的網絡技術是關鍵。

根據對校園網網絡需求的分析并結合目前高速主干網絡技術的特點，我校建議采用千兆以太網技術做為校園網的主干網絡進行設計。

2.2 穩定的網絡設計

設備的穩定性性能良好：

核心交換機是全網的核心，必須采用多層交換的交換機設備。核心骨干交換機需用模塊化，具有良好的擴展性能、多樣接入模塊；應有增強的傳輸能力，支持TCP/IP協議簇，能實現了IP、ICMP、IGMP、TCP和UDP等協議、多種路由協議：靜態路由、RIP（V1/V2）、DHCP Relay、支持Ping、Tracert故障檢測、QoS（PQ、CQ、FIFO、WFQ、CBWFQ等）支持安全應用：PAP、CHAP、Firewall、ACL、端口鏡像，支持通用的管理特性（SNMP），能使用流行的網管軟件對它進行管理。

匯聚層交換連接核心和接入層，需要采用帶VLAN具有網管功能的三層交換機。匯聚層交換機具有快速的級聯核心的以太端口以及高速堆疊模塊；有VLAN子網劃分功能，能很好的管理接入層用戶；支持命令行接口（CLI）、Telnet、Console口進行配置、SNMPV1/V2/V3、WEB網管、RMON 1、2、3、9組MIB、iMC智能管理中心、HGMPv2集群管理、PING、Tracert、上電POST、風扇堵轉、PoE設備過熱等情況的檢測與告警、VCT（Virtual Cable Test）電纜檢測功能、支持DLDP（Device Link Detection Protocol，設備連接檢測協議）支持端口環回檢測網絡的高性支持命令行接口（CLI）、Telnet、Console口進行配置：

支持SNMPV1/V2/V3、WEB網管

支持RMON 1、2、3、9組MIB

支持iMC智能管理中心

支持HGMPv2集群管理

支持系統日志、分級告警、調試信息輸出

支持PING、Tracert

支持上電POST、風扇堵轉、PoE設備過熱等情況的檢測與告警

支持VCT（Virtual Cable Test）電纜檢測功能

支持DLDP（Device Link Detection Protocol，設備連接檢測協議）

支持端口環回檢測

高性能網絡設計：

全校園采用全交換方式，100兆到桌面。子網劃分和流量控制讓整個校園網絡可以高速、穩定的運行。

2.3 統一的用戶管理功能

具有完善的入網管理機制，全面的用戶認證、鑒權和計費（AAA）功能。用戶管理引擎實現了根據用戶MAC地址、VLAN ID和IP地址的綁定關系鑒別用戶的合法性的功能。可根據用戶的權限，實現對用戶訪問資源的控制。便于用戶管理（開戶、銷戶、欠費停機等）和網絡故障維護。

2.4 靈活的可擴展性設計

（1）所選擇的網絡設備應當具有良好的擴展性。選擇的網絡設備最好是模塊化的，便于網絡的擴大和更改，其中核心交換機應具有多種模塊類型，以滿足各種網絡類型的接入。匯聚層交換機可以采用一款可堆疊的網管型以太網交換機，半/全雙工模式自適應，具有擴展槽，能使用多種可選模塊。

（2）所選擇的設備都具有良好的軟件再升級能力。所選擇的網絡設備都是可以通過軟件升級來不斷的滿足新的需求同時跟上網絡技術的發展。由于網絡的技術層出不窮，師生的需求也不斷增加，現在是新的技術，再過一段時間就會落后了，為了保證網絡產品能夠跟上這一節奏，而不需要更換網絡設備，從而減少了投資。

2.5 完善的QOS功能

QoS：支持對端口接收報文的速率和發送報文的速率進行限制、支持報文的802.1p和DSCP優先級重新標記、報文重定向、CAR功能、支持8個端口輸出隊列、支持靈活的隊列調度算法（SP，WRR，WFQ，SP+WFQ，SP+WRR）

2.6 安全設計良好

網絡設計要考慮的最重要的因素之一是安全性是，網絡的安全性設計中必須充分考慮了，具體如下：

（1）良好的VLAN劃分，控制了各個VLAN之間的互通，從而確保了各網絡之間禁止發生沒經授權的非法訪問。

（2）在中心節點可提供基于地址的Access-list，可控制用戶對于關鍵資源的訪問。通過在匯聚和核心交換機上設置VLAN路由以及訪問過濾，保證了在VLAN之間只有合法授權的訪問才能發生，沒有授權的訪問都會被阻止。

（3）在接入層中應用限制MAC地址的訪問保證網絡安全。

3.總體結構設計

通過對目前高等院校校園網的分析，對我校校園網的體系結構和網絡配置提出如下設想：

3.1 骨干網設計

校園骨干網以網絡中心為中心節點向外覆蓋，通過各樓宇的建筑樓節點構成骨干網。骨干中心點配置華為9312核心路由交換機，實現網絡理和虛擬局域網。照顧到教學管理部門是校園網的分中心，可采用STAR-S2800-L3三層交換機與中心的華為9312互聯，慧宇樓、文淵樓、公寓等樓宇采用華為5700匯集和華為2700接入交換機，可使各樓樓信息點對交換機端口密度的要求和網絡性能與可靠性的要求。教師公寓使用華為3700匯聚交換機同主干網核心層交換機和匯聚層交換機采用1000Mbps（單模1000BASE-LX、多模1000BASE-SX）連接，服務器采用1000Mbps（1000BASE-TX）連接。

3.2 網絡中心設計

精忠樓五樓是網絡中心。網絡中心是校園網中心和通信中心，網絡結構的設計關系到網絡系統的安全、可靠、穩定運行。

圖書館子網內部可按信息流量的大小，設計網絡帶寬。電子閱覽室交換機采用堆疊式交換機STAR-S2150G，流通、采編、期刊等部門采用具有1Gbps上連口的STAR-S1926G+，或STAR-S1926F+。

3.3 邏輯拓撲結構設計

校園網的邏輯拓撲可劃分為若干虛擬局域網（邏輯子網），虛擬局域網不受設備物理位置的限制，靈活性較大。按照云南師大商學院校園網各部分功能劃分：SERVER VLAN11為網絡中心服務器群子網，SERVER VLAN12為圖書館服務器群子網。VLAN256為校園網的管理子網，包括全網核心層、匯聚層和接入層交換機。VLAN20為多媒體教學系統（多媒體教室），方便教師進行管理和教學。

3.4 安全接入和靈活計費

對于高校園區網絡，安全性問題不僅來自外部網絡，內部網絡中的地址盜用、網絡攻擊等也是網絡系統中的一個隱患，如何有效的設計安全接入和靈活計費方案是一個很重要的問題。采用銳捷網絡RADIUS系統和基于802.1X的網絡邊緣認證計費，可以根據端口，MAC地址、VLAN、ID作為認證的顆粒，實現一次同時認證用戶名、IP、MAC。系統采用三次握手計費，在三次握手不成功后，就會中止計費信息。同時，由于用戶名/密碼跟特定用戶的IP、MAC捆綁，用戶無需擔心用戶名/密碼泄露引起不必要的麻煩。

3.5 網絡管理系統

網絡管理系統使用SolarWinds系統。SolarWinds是全面的帶寬性能監控和故障管理軟件，能監控并收集來自路由器、交換機、服務器和其他SNMP設備中的數據，可以直接從Web瀏覽器上觀察您網絡信息的實時統計表。還能監控CPU負載、內存利用率和可用硬盤空間。

4.結束語

在高校信息化建設過程中，建設科學高效的校園網是一個重要的目標。該設計目前正在開發實施過程中，根據實際應用需要，將進一步補充完善。我們堅信，隨著高校校園網絡建設的不斷發展及應用，學校最終將迎來科學管理和教學的新時代，先進的教育管理模式必將引領時代潮流。

參考文獻：

[1]楊明福.計算機網絡[M].北京：電子工業出版社，1995.

[2]黃世權.負載均衡在校園網的應用[J].計算機與現代化，2009，6.

[3]馮天亮，尚文剛，周坷.中型大學校際[主]一網工程的規劃與實施[A].張海盛.中國計算機學會會刊[C].北京：科學出版社，1999：20-30.

[4]朱白鋼.張玲.陳洪生.現代遠程教育及校園網建設個書[M].北京：工人出版社，2000：200-20.