高校PON网络架构

1 概况简介

1.1 学院网络建设背景

  建设学院千兆校园网，完成一个整体规划、分步实施、充分考虑现有设备与实际资金情况的方案，建立网络中心和主干网，然后建立学院的信息管理网络、教学网络、教学管理网络和实验室网络各应用子系统，实现校园网的全部功能，最后可通过路由器与CERNET和Internet接入。充分考虑到学院的应用和资金情况，建立一个普通千兆校园网，具有一定的科学性和参考价值。

1.2 建设学院网络的必要性

  随着信息时代的到来，校园网已经成为现代教育背景下的必要基础设施，成为学校提高水平的重要途径。能通过与Internet的互联，为全院师生提供国际互联网上的各种服务。教师可以制作多媒体课件以及在网上保存和查询教学资源，能对学生进行多媒体教学和通过网络对学生进行指导与考查等。学生也可以通过在网上浏览和查询网上学习资源，从而可以更好地进行学习，校园网能为学校的信息化建设打下基础。

2 学院网络需求分析

2.1 建设目标

2.1.1 用户的应用需求

  用户应用需求主要包括行政人员办公需求、教师教学需求以及学生学习生活需求。
 &emsp行政人员：学生处工作人员通过校园网络来招收新生，接收并管理档案，处理学生日常学习生活所需的各项工作，通过办公系统实行自动化办公；教务处通过校园网发布教务公告和通知、安排教学进程、管理学生成绩、实现学籍管理、通过办公系统实行自动化办公；人事处管理教师档案，通过办公系统实行自动化办公；财务处管理财务档案，通过办公系统实行自动化办公等。
 &emsp教师：通过校园网的信息共享查看学校的各种资料，各种信息，如图书资料、教学资料、办公通知和公告等；通过校园网实现多媒体教学，如制作并发布教学课件，布置并接收作业，通过办公系统实行自动化办公。
 &emsp学生：可以利用校园网查阅资料，与其他同学进行交流，利用网络与教师进行交流，利用校园网查看老师布置的作业，提交完成的作业，查看学校各相关部门的通知安排，查看考试安排，查看考试成绩等。
 &emsp除此之外，行政人员、教师和学生都需要通过Internet与外界进行信息交换和交流，并且在工作之余通过互联网进行娱乐活动，如看电影、听音乐等。
 &emsp根据以上分析设定确定如下的用户应用需求框架：

表 2.1用户需求框架表

根据以上分析列出用户应用需求清单： 表 2.2用户需求清单表

2.1.2 通信需求

  校园网是局域网的典型代表，其通信量一般较大。计算机科学与技术学院的校园网承担着全院近500名师生的日常工作和生活的网络需求，因此，其通信量较大。
  在学院内部，不同的部门，不同的人群，对网络通信量的需求也不同。一般来说，学院的办公区及研究生实验室中学生和教师对网络的需求量最大。以上两类人是对网络需求较大的人群，在办公区平时处理的工作量最大，教务网也是学校教师、学生平时访问最多的网站。其他的单位平时通过校园网的办公系统实现自动化办公，相对来说通信量较小。
  学院四楼制图室平时师生相对较少，一楼二楼为专业实验室，只在实验阶段供计算机学院师生使用，因此，相对通信量也较少。

2.2 功能与应用分析

  学院网络支持学院的日常办公和管理，包括：办公自动化、档案管理、学生管理、教学管理、财务管理、物资管理等。支持网络多媒体学习的信息传输要求。

表 2.3功能分析表

3 学院网络的规划设计

3.1 网络拓扑结构设计

图 3 1网络总体拓补图

3.2 网络类型的选择及依据

  网络应包括核心层、汇聚层、网络接入层三个层次，网络设备推荐配置如下：核心层由智能万兆以太网路由交换设备组成，汇聚层采用智能的三层交换机，接入层都使用智能快速的以太网设备。

3.2.1 核心层

  核心层是网络互联的最高层次，应具有如下能力：

• 核心设备之间应该具有最高速的链路。
• 比较粗的QoS控制粒度。
• 最高的路由前缀。
• 为网络其他模块提供互联。

  核心层使用万兆骨干智能路由交换机来完成学院的各种业务的转发及全网的路由与交换。核心层是一个数据交换枢纽，提供高速、有效地数据交换。鉴于其重要性和必要性，核心层的可用性也在设计中得到了充分的体现。核心节点之间的互联采用万兆骨干网，千兆以太网或千兆以太网的捆绑技术。通过在核心层配置动态路由协议，提供数据的路由和路由的迂回。

3.2.2 汇聚层

  汇聚层是核心层和接入层的连接模块，主要功能如下：

• 细到粗Qos的路由合并。
• 提供到核心的路由合并。
• 提供到访问层的路由过滤。
    汇聚层网络主要提供了用户的汇聚功能和服务质量保证的功能。在汇聚层能够真正做到通过识别用户及应用提供不同的服务质量保证。
    汇聚层设备使用可扩展千兆多层路由交换机，在保证网络的安全性和稳定性的前提下，可以支持将汇聚节点分别以双归属性上联到核心设备，设备互联采用1000M以太网接口。

3.2.3 接入层

  接入层是面向最终用户的设备，主要功能如下：

• 供高密度的用户端口。
• 提供许可控制，包括：（安全控制、QoS控制）。
    接入层网络是纯二层交换网络，提供用户的网络接入。由于接入层设备需要部署在教室，因此要求这些设备容易管理并且投资成本少。
    在接入层用户较为集中的楼层，使用具备链路捆绑功能的交换机或堆叠式的交换机，便于今后上联链路带宽的扩展以及链路的冗余。
    楼宇接入设备推荐选择智能快速以太网交换机，支持良好的带宽线速，代理防范、广播风暴抑制等功能。本方案接入设备的布置灵活多变，只要根据用户数量配置接入设备即可。

3.3 网络硬件设备的选择及功能描述

3.3.1 交换机

  核心交换机

  普联（TP-LINK）28口万兆上联堆叠式三层网管汇聚核心交换机24千兆电口4光口企业级商用网络交换器TL-SH6428    单价：3599

图 3.2万兆核心交换机

图 3.3万兆核心交换机参数图

  汇聚层交换机

  普联（TP-LINK）28口千兆二层网管交换机24口电带4光口企业级汇聚层网络交换器安防监控专用分线器TL-SG3428    单价1129

图 3.4汇聚层交换机

图 3.5汇聚层交换机参数图

接入层交换机

  在此根据我院15教的特点提供三种交换机，一种为实验室专用千兆交换机（可以承担40人上课使用），另外一种为小型办公室使用千兆交换机，另外一种为POE千兆交换机，可以用来设置监控专线或者组建mesh局域网。

  (1）TP-LINK 48口全千兆非网管交换机 企业级交换器 监控网络网线分线器 分流器 TL-SG1048    单价1379.00

图 3.6接入层交换机1

图 3.7接入层交换机1参数图

   （2)TP-LINK TL-SG1008VE 8口千兆VLAN交换机    单价168

图 3.8接入层交换机2

图 3.9接入层交换机2参数图

   （3）TP-LINK TL-SG1226P 24口千兆POE交换机 (2千兆光纤口) 单价：1299 功率：255W

图 3.10接入层交换机3

图 3.11接入层交换机3参数图

3.3.2 路由器

   （1）TP-LINK AX6000 Wi-Fi6 5G双频无线企业级路由器 wifi穿墙/VPN/千兆端口/AC管理 2.5G网口 TL-XVR6000L    单价：3499

图 3.12路由器（1）

图 3.13路由器（1）详情

   （2）TP-LINK WiFi 6企业级无线VPN路由器 AX3000双频易展 千兆网口 wifi穿墙/可变端口/AC管理 TL-XVR3000L易展版    单价：1099元

图 3.14路由器（2）

图 3 15路由器（2）详情

3.4 网络通信线缆的选择及依据

   （1）山泽(SAMZHE)电信级光纤跳线 SC-SC(UPC) 单模单芯 低烟无卤环保入户光纤线 收发器尾纤    单价3.3/m

图 3.16光纤跳线

  （2）绿联（UGREEN） 网线纯铜双屏蔽工程级 六类七类八类万兆高速箱线CAT6A类网络连接线家装网络线 8类万兆双屏蔽【40Gbps-纯铜芯0.62mm】    单价：8/m

图 3.17 8类万兆网线

  （3）绿联（UGREEN）六类网线【0.57±0.008mm纯铜线芯】CAT6类千兆网络箱线 工程家装监控布线非屏蔽    单价2.5/m

图 3.18 6类千兆网线

3.5 网络IP地址的分配及子网划分

  虚拟网络(VLAN)是将局域网内广播域逻辑地划分为若干子网。在一个交换局域网中，所有局域网段通过交换机连接在一起，路由器连在交换机上(如果是三层交换机，则不需路由器)，可以按网段和站点的逻辑分组形成广播域，通过在局域网交换机内过滤广播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。虚网之间的寻径由路由器完成，本方案采用的就是具有路由寻址功能的路由交换机。
虚网建立以后，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费，并能随着企业规模的发展和调整改变通信流的模式。
  对校园网的IP 分配一般以RFC1918 中定义的非Internet 连接的网络地址，也称为私有地址。由Internet 地址授权机构（IANA）控制的IP 地址分配方案中，留出了三类网络地址，给不连到Internet 上的专用网使用。它分别是：A类：10.0.0.0 ~ 10.255.255.255；B 类：172.16.0.0 ~ 172.31.255.255；C 类：192.168.0.0 ~ 192.168.255.255。其中的一个私有地址网段是：192.168.0.0是我们在内网IP 分配中最常用的网段。IANA 保证这些网络号不会分配给连到Internet 上的任何网络，因此任何人都可以自由地选择这些网络地址作为自己的私有网络地址。在申请的合法IP不足的情况下，企业网内网可以采用私有IP地址的网络地址分配方案；企业网外网接入、DMZ 区使用合法IP 地址。
  我们确定了要使用的私有网段以后，进一步还要划分子网段，并与VLAN 号相关联，把这做成一个对照表。

表 3.1 IP及VLAN划分表

4 网络可靠性分析及解决方案

4.1 影响网络可靠性的因素

4.1.1 设备的影响

  计算机网络主要依靠多个设备共同组成，因此如果设备质量存在缺陷，则会对整个计算机网络的正常运行产生影响。为了提升网络的可靠性，在进行布线的过程理应尽可能选择标准化布线的方式，从而能够分析出当前网络的冗余，促使设备本身的网络能够具有分离能力。

4.1.2 管理的影响

  从某个角度而言，计算机网络主要由多个网络设备所组成，因此具有较强的复杂性，从而便会使得网络本身的可靠性达不到规定的要求。为了确保信息资料能够完成正常运输，必须对于运行参数进行采集，同时还要进行相应的监控，从而可以及时排除网络问题。

4.1.3 拓补结构的影响

  所谓拓扑结构的影响，通常主要是指网络规划对于网络带来的影响，具体表现的形式具有很强的多样性，能够对网络中的容错直径进行度量，从而贵网络规划的设计活动提供一定的依托。

4.2 提高网络可靠性的技术措施

4.2.1 客户端设备

  客户端是确保计算机运行质量的重要部分，通常会与服务器进行连接，因此从某种程度上可以说是网络安全的重要着力点。通常而言，用户在实际操作时会与客户端直接接触，以此完成网络活动，所以必须在使用过程中进行维护。终端本身的可靠性与网络的可靠性有着极为紧密的联系，必须对于该问题严格把握，将问题发生的概率降到最低。

4.2.2 信息传输设备

  网络信息的传递工作同样需要注重其可靠性，特别是建设阶段。网络建设是通常不会采取大规模网络活动，真多不同的设备只需要依靠传输的方式便能结局，但必须要将后续问题全部考虑进来，在设计层面做到提前预判。传输网络中最为常见的便是有线方式，随着科技的发展，无线技术几乎已经能够覆盖到绝大多数区域。相比于传统布线方式，无线网络的布局和维护是最为重要的内容，优秀的布局能够减轻大量工作负担。

4.2.3 网络管理

  网络制式随着科技的进步已经发生了多次改变，由CDMA发展成了WCDMA，之后又再发展成GSM，而网络安全也随之有所提升。网络设备是网络管理工作的重要基础，必须在质量层面做到严格控制，减少故障出现的可能性，提升网络的稳定性。不仅如此，还需要积极引入国外先进技术种类，以此提升管理效果。

4.2.4 网络拓扑结构

  计算机中的网络结构是一种极具安全性的方式，具有多方面优势。采取物理的拓扑网络，可以完成多个设备的连接工作，这种连接主要依靠媒介实现。从某种程度上而言，网络规划可以算是拓扑结构设计的主要本质，优秀的规划能够大幅度降低故障发生的几率。除此之外，人们对于拓扑结构的认知程度也在不断增加，从而提升了对于可靠性层面的认识。

4.3 提高网络可靠性技术的应用

4.3.1 网络沉余设计

  优良的设计方案显然需要涉及多方面内容，将各类情况考虑进来，不仅能够在网络中完成数据交换的工作，而且还能解决数据连接的问题。网络沉余设计能够有效提升计算机网络本身的安全性价值，链路、软件以及设备上都有一定的沉余。沉余设计将网络中的均衡性特点考虑了进来，从而能够为整个网络提供备份，促使网络安全得到提升。具体设计主要针对计算机内部网络中的某些单点进行处理，也就是针对某一单点的故障。一旦用户的网络无法正常运行，则可以采取沉余对其进行修复。这种方式一般应用一些非正常连接的情况中，不能作为负载均衡出现，否则很容易出现网络不稳的问题，造成其他故障出现。

4.3.2 采用多层网络

  为了能使计算机正常运行，必须为其提供一个相对比较稳定的基础环境，并且做出相应的设计，多层网络便是基于这一背景诞生。在当前计算机网络中，单一网络设计的情况已经变得非常稀少，否则很容易出现唯一网络发生故障，从而使得整个网络全部都陷入风险之中。采取多层网络的形式能够有效解决这一问题，将故障初夏你的概率降至最低，即便有故障发生，也能做到及时处理。多层网络能够同时工作，确保无论在任何情况下，整个网络都能正常运行。由于网络位置的区别，具体处理方式也有着很大的区别。因此可以将网络故障进行分类，针对具体问题采取针对性处理措施，做到独立解决，不会对网络的稳定性带来影响。在多层网络内部，核心层网络的保护工作最为严密，而其他层的保护相对较弱。由此便能发现，采取多层网络的设计，不仅可以确保数据完成正常交换，而且还能提升系统运行的稳定性。

5 网络安全设计

  网络安全对于网络系统来说是十分重要的，它直接关系到网络的正常使用。校园网的网络安全主要包括学生档案管理、教务信息安全、重要工作文件安全等。需要防止网内外用户非法访问、攻击，阻止未经授权的访问，在发生非法入侵时能够迅速检测、报警并跟踪入侵者。
  校园网是一个庞大而且复杂的网络系统，各个职能部门有自己的需求，拥有各自的办公管理系统和软件，因此，在对校园网进行管理时应该将分布式管理与集中式管理相结合。如学生管理、财务科、教务科等各自拥有自己的所负责的应用系统，这些系统互不干扰，因此，应该采用分布式管理。而教务处的教务系统既要面向教师，又要面向学生，因此，应该采用集中式管理。

5.1 防火墙

  防火墙是网络安全策略的有机组成部分，它通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。防火墙是一种在内部网和外部网之间的安全防范措施，可以认为它是一种访问机制，用于确定哪些内部服务可以提供给外部服务器，以及哪些外部服务器可以访问内部网资源。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过它，并且必须只能允许授权的数据通过。防火墙本身必须免于渗透，从而来保护网络的安全。
  防火墙的基本设计目标：

• 对于一个网络来说，所有通过内部和外部的网络流量都要经过防火墙。
• 通过一些安全策略，来保证只有经过授权的流量才可以通过防火墙。
• 防火墙本身必须建立在安全操作系统上。
    常用的防火墙模式—非军事区结构模式
     DMZ通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。
  DMZ防火墙方案为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池，以及所有的公共服务器。
    在这个防火墙方案中，包括两个防火墙，外部防火墙抵挡外部网络的攻击，并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里，一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强，相应内部网络的安全性也就大大加强。

5.2 入侵检测系统

  入侵检测系统（Intrusion Detection System）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。入侵检测系统作为主动保护自己免受攻击的网络安全技术，处于防火墙之后，成为防火墙之后的第二道安全闸门。

图 5.1入侵检测系统基本结构图

  入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。通常是通过将网卡设置成混杂模式来收集在网络中出现的数据帧。使用原始的数据帧作为数据源，采用模式匹配、频率、事件的相关性或统计意义上的非正常现象检测等基本的识别技术。这类系统一般是采用被动地在网络上监听整个网段的数据流，并通过分析、异常检测或特征比对来发现网络入侵事件。

6 投资预算

6.1 硬件投资预算

表 6.1硬件投资预算表

6.2 软件投资预算

表 6.2软件投资预算表

7 总结与展望

7.1 学院网络设计方案总结

  该方案完全满足用户现有的需求和对未来的拓展，对于整个网络的安全性，我们采用的是入侵检测系统与防火墙的联动。不需要过多的硬件防火墙资源，节省客户的开支！带宽完全满足学生的要求，采用万兆骨干网，千兆到桌面。实现学生学习与娱乐的全面要求。比较高的性能价格比构建系统，使客户投入资金的产出达到最大值，能以较低的成本、较少的人员投入来维持系统运转，提供高效率、高能力。提供技术升级、设备更新的灵活性，尤其是网络平台能够适应学校部门应用环境变化的要求。全系统的可靠性主要体现在网络设备的可靠性和对每个信息点的链路进行冗余，提高整个系统的冗余性，避免单点故障，以达到提高网络可靠性的目的。

7.2 学院网络设计方案展望

  在此次网络设计对于监控设备预留出了位置，后续可以使用POE交换机，增加监控设备。
  此次因为时间原因，没有完善无线组网，现阶段，市面上普遍使用AC+AP或者mesh组网，此次设计的路由器（2）即支持一键mesh组网。后续可以通过接入层交换机使得几个办公室局域网链接起来。