设备选择

    在校园网的网络结构确定之后，设备的选择和配置也是非常重要的。校园网既与一般的局域网有许多相同之处，又与普通的局域网有许多不同的特点。因此在确定设备的配置和选型时要根据校园网的实际需求和近二、三年的扩展。其中，最重要的是交换机、路由器以及服务器的选择。选择的原则是在满足校园网的需求基础上，综合考虑设备的功能、性能、可靠性、服务和价格。

    路由器  由于目前高档交换机均具有路由的功能，因此可以只在校园网出口处配置一台或两台路由器，以便与外网相连。路由器可选择Cisco 3640。Cisco Router是目前能够提供完善的流量采集源的网络设备。它为我们提供了两种方式：IP Accouting和NetFlow。IP Accounting统计提供了四种信息包括源IP、目的IP、包数、字节数。NetFlow提供更为详细的统计信息。

    交换机  交换机是网络中的核心设备，对网络的功能、性能、速度、带宽和可靠性等方面影响很大。
主交换机的容量应满足校园网对带宽和近期扩展的要求，即应具有几十个G的背板和几十 Mpps的路由吞吐量，并可提供足够多的千兆以太网接口和10/100M端口，具有四层交换能力。
    思科（Cisco）和凯创（Cabletron，现为Enterasys）都是世界知名品牌，其高端交换机产品基本上可以满足上述要求。如Cisco 6509 和Enterasys SSR8600等。

    从两者功能、性能和价格等综合因素，在经费有一定限制的情况下，选择凯创的产品似乎更为有利，如主交换机选择Enterasys X-PEDITION 8600 交换路由器（Cabletron SSR8600），这主要有以下方面考虑：
    ⒈ 优秀的功能和性能。X-PEDITION 8600 具有64Gbps（全双工）无阻塞交换矩阵背板，30Mpps路由吞吐量，可提供60个千兆以太网接口或120个10M/100M端口，支持10Gig、光纤网络等先进技术，具备线速第四层应用数据流交换功能，并支持HSSI、FDDI、ATM和串行WAN接口以及语音和视频的多点组播，还可以对应用优先级的划分进行精确控制，这些基本上可以满足大学校园网的要求。

    ⒉ 良好的性能/价格比。X-PEDITION 8600 的价格低廉，在一期工程实际接入20Gbps左右时的报价，两台X-PEDITION 8600的价格几乎接近Cisco 6509（128Gbps背板）一台的价格，这实在具有相当的诱惑力。这就是说，X-PEDITION 8600的性能/价格比高。

    ⒊ 网络中使用两台SSR8600可大幅度提高网络性能。采用三星结构的校园网如果在主结点和分结点配备两台X-PEDITION 8600，那么对于地域上划分为两个或多个校区的校园网，对当前的需求和近二三年的扩展都是相当合理和有利的。采用这种三星结构并使用两台X-PEDITION 8600（另一星使用X-PEDITION 2100），可以实现分布式动态交换，达到负载均衡的目的，同时，也为低成本异地存储方案提供了便利的条件。

    因为X-PEDITION 8600和Cisco 6509（128Gbps背板）的档次差不多，如上述方案中选用Cisco 6509（128Gbps背板），那么费用就会提高几十万元。
    ⒋ 服务承诺。在购买了备品服务的情况下，凯创公司把交换机的主要备件均保存在北京，并与集成商共同承诺在交换机故障发生后48小时内予以更换。
除了主交换机之外，校园网中还需要配备大量的楼端交换机。楼端交换机可选用与主交换机相同的产品。
    服务器  大学校园网的应用服务的类型是很多的。在服务器配备上当然可以采取集中式或分布式。但从安全、处理速度、I/O能力和便于管理的角度考虑，还是采用分布式的方式较好。这样，校园网的所有服务可使用8～10台服务器。对于数据库服务器，考虑采用集群方式。由于校园网应用的数据量很大，因此数据库服务器应选择2CPU以上的较高档小型机或4CPU以上的高档PC服务器。其他服务器可根据实际应用选择。因绝大部分大学校园网都选择的是Sun公司的产品。而且Sun的产品也比较便宜，因此小型机选择Sun的产品为好，这便于兄弟院校间应用软件的交流与共享。
    PC服务器IBM、HP、康柏等都可选用，康柏的价格相对比较便宜。当然国产产品如浪潮等也可以选用，这要根据经费的情况决定。

    网络安全设计

    方案采用的网络卫士防火墙既支持Internet网络的主要服务（如Web、E-mail、FTP、Telnet等）和基于TCP协议的所有应用程序，又支持UDP一类的非连接协议的应用程序。而且，还支持Real Audio、VDOLive和Internet Phone这样的多媒体应用程序，使用防火墙后不会出现服务失效的负作用。
    该产品也支持对公开服务器的安全保护。为适应越来越多的用户向Internet提供服务时对服务器保护的需要，它采用分别保护的策略对用户上网的对外服务器实施保护，它可以将一个端口配置成SSN，即把对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。SSN方法提供的安全性要比传统的DMZ方法好得多，因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。一旦SSN遭破坏，内部网络仍处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露在攻击之下。
    Internet用户通过一次性认证方式就可以通过防火墙访问内部网络，由于采用一次性口令认证机制，即使窃听者在网络上截取到口令，也无法通过这个口令与内部网建立连接。防火墙可以提供用户级权限控制，提供流量统计与控制功能，提供双机热备份与负载均衡，提供防火墙日志、审计，提供对防火墙配置规则测试的功能，支持防火墙系统支持与其他厂家的路由器或交换机互连互通，支持透明接入与透明连接，不影响原有网络设计和配置，支持本地和远程管理两种方式，支持命令行和GUI方式的管理和配置。