一．背景介紹

浙江工業大學浙西分校坐落在浙江衢州、聞名風景區──爛柯山南麓，于1985年4月經省人民政府批準建立。根據省委省政府指示，浙西分校的辦學宗旨是：為浙西南的經濟建設和 發展作貢獻，培養德、智、體全面發展的、專業知識扎實、動手能力強的應用型人才。

為適應教育現代化和學校信息化建設的需要，浙江工業大學浙西分校預備全面改造整個校園網，旨在為我校師生提供一個先進、可靠、安全的計算機網絡教學和科研環境，促進學校與外界的信息交流、資源共享和科研合作，支持學校的教學、科研和學校各項治理工作。

整個校園網建設分兩期進行，一期工程已經于2001年9月份實施完畢，主要包括網絡中心以及小紅樓、新教學樓、機械樓、辦公樓等；二期工程方案已經確定，包括柯山單身公寓、女生三號公寓、新建二號公寓、新建一號公寓、黨校樓等。

二．需求分析

1．校園網的應用特點

根據學校的要求，我們按照“統一規劃、分步實施、講究實效、安全可靠”的原則，進行校園網綜合系統設計，以滿足計算機系統的需要。

校園網絡不同于目前一般的企業網絡，相比之下有以下幾個特點：

網絡負荷大：由于要實現視頻點播（Video On Demand）、光盤軟件及資料閱讀及利用純軟件實現媒體網絡教學，致使多媒體信息量大大增加，對網絡的帶寬要求很高。

網絡治理及維護工作量大：校園網絡建成后，一個最主要的應用就是多媒體應用，計算機會經常性地在使用，而且也會利用計算機進行自我學習，計算機的利用率很高，所以治理和維護任務將十分艱巨。

利用率高：因為計算機將被應用到日常工作中去，所以網絡設備及PC的利用率很高 。

2。數據類型分析

信息治理數據（MIS信息）：數據通信量大，并且隨時間增長幅度很高，要求一定的響應速度。

OA及E-MAIL信息：數據通信量大，并且隨時間推移增長幅度很高，要求一定的響應速度；

桌面視頻信息：通信時間預定，對傳輸延時和延時抖動非常敏感，要求網絡提供很高的服務質量保證。

3。網絡功能分析

針對浙江工業大學浙西分校的網絡系統，我們認為應該具備以下典型的網絡功能和服務：

網絡的可靠性：網絡必須能夠保證長期連續的運行；

網絡服務質量的保證（QoS）：針對不同用戶和不同應用可以提供不同的服務質量和傳輸和傳輸優先級，并可以在網絡帶寬緊張時，丟棄優先級的數據包；

網絡的可擴展性服務：滿足浙江工業大學浙西分校在將來3~5年的快速增長的需要，保護用戶投資；

網絡安全性服務：保證用戶對網絡資源訪問的合法性；

網絡多媒體服務：利用Multicast 技術，提高桌面視頻系統的帶寬利用率；

網絡治理服務：配置、監視、統計、治理網絡的有效運行。

三．網絡系統解決方案

1． 網絡設備

一期工程中網絡中心采用一臺神州數碼DCRS-7504核心路由交換機作為中心交換機，采用千兆位路由交換技術構建校園網骨干，百兆交換到桌面。中心計算機房的Web服務器、E-mail服務器、文件服務器、影視服務器等設備直接與DCRS-7504 交換機的24口百兆以太網模塊連接，使得新建網絡可以全面支持多媒體網絡應用如視頻點播、網絡實時教學等。

神州數碼DCRS-7504具有4個插槽，在此需配置1個8口千兆治理模塊MRS-7500-M8GS用以構建千兆骨干，1個24口10/100Base-TX模塊MRS-7500-24TX用以連接網絡中心工作站、路由器、防火墻及四周部分信息點。治理模塊需安裝LIC-7504-L3F全三層功能許可芯片。

二期工程中擬再增加一臺DCRS-7504，這樣兩臺DCRS-7504之間通過兩條光纖作鏈路匯聚（LAG）可以達到4G的帶寬，以增大兩臺交換機之間的帶寬，同時還可以提供一定的冗余。

接入層交換機采用神州數碼可網管交換機DCS-3624、DCS-3628S堆疊、DCS-3426獨立式交換機。

Internet訪問主要通過租用電信運營商的ip寬帶網，百兆光纖接入用戶端以后直接連接防火墻外網口，然后接入核心交換機DCRS-7504；另外配置一臺1700系列路由器添加MODEM模塊作為RAS以供出差在外的教職員工遠程撥入校園網訪問所需資源。

具體網絡拓撲圖如下：

2． 網絡策略

VLAN及三層交換策略

通過VLAN的劃分，老師被答應訪問某些文件服務器和應用，而學生則不答應。一個基于端口VLAN標記的跨交換機VLAN可以由導師或網絡治理員規定，做到對諸如治理文件服務器進行有限的訪問。這種基于端口的VLAN比較適合于臺式機等固定用戶，而對于使用筆記本電腦的移動用戶（如教師），基于IP子網的VLAN則具備更好的應用靈活性和簡便性，無論用戶在校園網的哪個區域，核心路由交換機DCRS-7504均可根據其IP地址確定其所屬的VLAN和訪問網絡資源的權限。DCRS-7504基于ASIC技術的硬件路由交換功能可以實現線速跨VLAN的三層交換。

網絡治理

為了準確的監測設置治理整個網絡設備的運行，我們采用神州數碼 LinkManager網管軟件，對神州數碼的網管交換機產品進行全面的網絡治理，包括：對設備的實時監測、交換端口的實時數據流的監測和分析，虛擬網的劃分和治理，第三層交換的治理等。

神州數碼LinkManager網管系統是一套基于Windows NT平臺的高度集成、功能完善、實用性強、方便易用的全中文用戶界面的網絡治理軟件。它是神州數碼網絡根據中國用戶的實際需求，遵循ISO網絡治理模型的五大功能域（性能治理、配置治理、故障治理、計費治理及安全治理）的架構，自行研發的一套具有自有知識產權的網管系統軟件。

一、強勁的網絡拓撲識別能力

無論對于單個局域網還是較大型的TCP/IP互聯網，本系統都有較強的網絡拓撲發現能力，并且對于網絡互連邏輯有較好的識別能力，給治理員提供了全局、 立體化的治理視角：

l. 提供兩套視圖－物理視圖及邏輯視圖，可滿足操作員的不同需求：

對于希望了解當前網絡拓撲邏輯結構的操作員，系統采用傻瓜方式，以默認形式為用戶自動繪制出整個網絡的邏輯視圖，不需用戶干預。

對于只想掌控自己關心的網絡設備的操作員，系統采用DIY 方式，支持操作員按物理連接或自己隨意的自組物理視圖；

自動繪制出的網絡拓撲圖還可以通過另存為的方式供操作員修改；

2. 提供兩種設備添加方式，增強操作員在自組物理視圖時的DIY手段：

強大的自動發現功能，具有對第二層、第三層及應用層設備的自動識別能力，能準確定位神州數碼品牌的網絡設備；

按操作員愛好手動添加連入網絡的設備，支持操作員選擇不同的設備類型；

3 提供兩種視圖的層次結構組織，紋理清楚：

在自動方式中，邏輯視圖的層次結構由各層子網、網絡設備及其設備特性構成；

在 DIY方式中，物理視圖的層次結構由子圖、網絡設備及其設備特性構成；

4. 提供網絡設備的圖形標記，用作設備的屬性、特征、狀態標識：

各被管設備類型在視圖中都擁有自己的屬性標志圖符；

各被管設備在視圖中都擁有自己的三色狀態標識；

各神州數碼品牌的網絡設備都擁有逼真的面板圖，真實反映接口狀況及實際連接；

在兩個視圖中，各設備的圖形標識具有一致性；

5. 提供兩種的刷新方式，均衡網絡與治理員間的負擔：

手工刷新在輪詢間隙太大的情況下，既可以減輕網絡負擔，又可以進行實時監控；

動態輪詢可以在無需治理員干預的情況下提供網絡的活動狀況。

二、全面的性能治理能力

l. 能為操作員提供被管設備的各種信息，如系統信息、網絡接口信息、接口利用率、ARP表信息等；

2. 為操作員提供的線圖與直方圖可直觀地監測被管設備的網絡活動；

3. 功能全面的MIB瀏覽器可滿足操作員自組獲取網絡設備信息的需求；

4. 支持Spanning Tree信息展現；

5. 支持VLAN信息展現；

6. 支持RMON 1、2、3、9組信息展現；

7. 嵌入的工具集可使操作員進行 MAC 別名治理、 節點信息獲取、 Ping、

Telnet、TFTP等操作。

三、機智的事件治理策略

l. 提供三類事件治理及其配置策略：

系統事件：UP事件、DOWN事件、IP與MAC地址綁定事件。其中IP與MAC地址綁定事件是本系統所獨有的功能，可作為某些重要設備的一個安全措施；

網絡設備的SNMP Trap事件。操作員可以設置接收 Trap事件的類型、發生事件的設備、Trap事件的告警等級等；

網絡設備的SNMP閾值Trap事件。按 RMON3,9組的實現方式，操作員可以設置收集數據的OID 及上下限閾值、發生事件的源設備、收集的方式及收集的時間間隙、閾值觸發的動作等；

2. 提供與事件告警等級相關聯的事件觸發動作， 這些動作有：日志、提示音、消息框及電子郵件；

3. 提供事件存儲、 事件分類、 事件查詢及日志清除等事件日志治理功能，并可用顏色標明日志中的事件告警等級， 便于操作員把握事件的歷史信息。

四、增強的設備治理能力

在對通用SNMP設備支持的基礎上，本系統面向神州數碼品牌的網絡產品，提供了增強的設備級治理能力：

1. 為通用SNMP設備提供的LinkManager治理主窗口；

2. 為神州數碼品牌的網絡設備提供各自的治理窗口及其治理功能；

3. 為操作員提供酷似實物的神州數碼品牌的網絡設備的面板圖，可在其上進行點擊操作；

4. 可對神州數碼品牌的網絡設備的性能進行監測與配置。這些功能有：

Spanning Tree、VLAN、Trunk、轉發表、流控、TFTP支持、QoS治理等；

5. 為上述設備提供了端口鏡像、冷啟、熱啟、面板操作等控制功能；

6. 集成設備自有的Console口或HTTP配置功能。

五、可靠的平臺安全機制

操作員治理提供了如下平臺安全保證：

l. 提供系統審計功能，可通過系統日志查看操作員行為；

2. 操作員級權限治理。將操作員分為兩種角色： 一般操作員、 超級操作員，并為前者賦予讀取網絡設備性能參數的權限，后者賦予讀寫網絡設備性能參數的權限；

3. access數據庫的操作員級治理；

4. 操作員口令加密保存。

六、友好的用戶界面

l. 周到的拓撲圖發現方式適合操作員的不同需求；

2. 采用操作員熟悉的Windows界面風格及操作方式；

3. 按照中國用戶的思維習慣組織的治理內容；

4. 適合產品定位，高度集成，將功能統一在同一界面內，可使操作員免于因功能模塊散亂而引起的無所適從。

網絡安全

在越來越多的學校通過城域網連接實現互連，網絡安全問題也就凸現出來了。校園網絡不僅會面對病毒感染、非法侵入的外部威脅，還會碰到資料外流、網絡竊聽、偽裝的內部威脅，以及不務正業、誤用非法網址等治理問題。為保障學校的網絡使用安全和治理，采用神州數碼硬件防火墻 DCFW-2000。DCFW-2000防火墻專為校園網絡應用而設計，獨特的色情防堵功能可以防止用戶訪問色情和反動網站，還可防止對含有上述信息內容的搜索，能夠凈化網絡內容；防病毒接口可使防火墻與外掛的網絡防病毒產品InterScan密切配合，防止病毒的侵入。

四．網絡應用簡介

浙江工業大學浙西分校的網絡應用主要包括：

網絡多媒體：將計算機輔助工作手段引入，聲音、圖象、動畫的普遍采用可以大大提高工作效果。

個性化：個性化是指針對不同的學生提供不同的內容，主要采用VOD、基于WWW、光盤軟件來實現，學生可以根據自己的需要自由選擇所需內容。

電子音像圖書館：基于Web的圖書音像資料供學生隨時閱讀，并且由于與Internet的接軌，使圖書館得到進一步拓展，能夠得到近乎無限的網上資源。

電子郵件：電子郵件是Internet上一個最重要的應用，將為每一位學生開設一個電子郵件帳號，利用電子郵件可以和外界進行交流。