校园网络建设的目标在于，实现建网后达到如下功能：

u实现校园网与Internet 接入
    校园网计划采用10M/100M光纤以太网接入Internet（电信网）和租用光纤通道接入Cernet（教育网），校园网内的用户都可以使用Internet上的所有服务。

u实现VOD（视频点播）服务
    VOD 服务可以为校园网提供丰富的节目，如教学录象、学生活动、学校重大新闻、娱乐节目等，可以有效地利用校园网进行宣传和网上教学。

u实现课件管理
    提供一个课件上传和播放的平台，让每一位老师可以在任何地方上传课件，在多媒体上课无须携带硬盘即可播放讲解。

u实现电子图书馆、阅览室
    计划第一期工程完成以后建成一个35万册的数字化图书馆，以便教职工和学生足不出户就可查阅书刊。

u建立学校WEB 网站，提供广大用户进行WWW 服务
    通过两台 WEB 服务器可以构建即可面向校园内部，也可以面向Internet 的学校网站，让校园网内的用户和Internet 用户都可以访问，可以很好地宣传我校。在学校网站中，学校各个部门都可以拥有自主版块，公布各种信息，加强交流。

u实现学校FTP 服务
    文件传输服务可以提供教师课件上传、学生作业上传、作业下载、共享软件下载等服务，可以很好地实现教学的交流。

u建立学校内部电子邮件系统
    构建一台邮件服务器，可以提供校内外邮件发送的平台，方便师生的信息交流，如讨论教学问题、学生交作业等。

u建立校内论坛（BBS）
    BBS 可以实现校内用户之间的实时交流，可以共同讨论某些问题

    师范附中的网络信息大约1500点，考虑当前的网络运行状况以及未来的扩展需求，由于我们采用了二/三层混合架构，因此在网络中心部署的设备即充当核心层角色，又充当部分信心节点的汇聚层角色。

    对于校园网而言，应用种类繁多，非常复杂，如网上点播、网络远程教学、网络电视会议、网上备课、资源共享、E-mail、FTP、网络论坛、网络图书馆、搜索引擎、IP电话等。要实现复杂的应用通过网络流畅地传输，并且实现网络管理的统一性，需要选择不仅具有：高性能；高可用性；安全性；可扩充性的产品，更需要关注厂商的生存能力、产品的售后服务、是否能提供完整的端到端的解决方案。
 
我们建议对中心网络交换平台应当具备如下要求：

l电信级的可靠性：
    核心的关键部件（如引擎、电源、风扇等）部件应当尽可能冗余，所有冗余部件应当支持在线热插拔（保证在线网络故障设备切换），支持端口捆绑等。

l大容量高密度
    系统应当具备高吞吐量、高背板交换能力和高用户端口容量，充分满足未来的扩展需求和应用需求。

l线速转发性能
    应当具有高速的IP线速转发能力，满足企业网络带宽需求和视频、语音的综合应用。

l丰富的业务能力
    应当具有强大2、3层业务特性，支持VLAN转发、VLAN聚合、VLAN路由、端口捆绑、端口镜像；丰富的路由特性、策略服务机制、性能优化机制；很好的抗攻击能力、服务质量保证能力，丰富的可扩展的能力。

l完善的DiffServ/OoS机制
    应当支持多种规则组合下的流映射和分类、流量监管、拥塞控制、队列调度和输出流整形等，真正做到业务区分和带宽、时延、抖动在限制范围内的保证，真正能同时承载数据、语音和视频业务的保证，具有2层、3层、全局QoS功能。

l完善的安全机制
    系统应当提供包安全过滤机制，防止非法入侵和恶意报文的攻击，支持重要路由协议的报文验证，提供对配置、程序的备份机制。

l方便的维护手段
    应当具有友好的人机界面，提供命令行的交互帮助，支持modem拨号、DDN等多种接入方式和Telnet等远程维护方式。

    考虑上述需求，我们在核心层部署了业界性能非常好的Cisco Catalyst 6509交换机。Catalyst 6509是9个插槽的交换机，能提供最大达720G交换容量，二层、三层、四层交换能力最大能达到400Mpps(每秒转发4亿个包)，最大端口密度可达每个平台576个端口，选用Supervisor Engine 2 引擎，能提供高达256G交换容量，二层、三层、四层交换能力高达到210Mpps(每秒转发2.1亿个包)，能够实现高水平的交换性能和系统带宽。通过配备两个Supervisor Engine 2 引擎，实现引擎冗余，提高了核心设备冗余性；配置两个2500W的WS-CAC-2500W电源，在提供电源的同时，实现电源冗余。

    针对师范附中的应用需求，选择两个16个GBIC插口的WS-X6416-GBIC插板，其上可根据对端连接设备，灵活选用千兆光纤模块和千兆铜缆模块，用于连接服务器群和下联教学楼、行政信息楼、科技试验楼、行政办公楼、音乐艺术楼、体育馆食堂、学生宿舍等，每条主干带宽全双工达到2GB，能很好满足现有需求；；Supervisor Engine 2 引擎上还可插2口千兆端口，接口为光纤SC头，也可通过此接口来连接服务器； Catalyst 6509是思科公司新一代应用在校园网主干的核心每条链路达到支持万兆以太网，可满足今后随着需求的不断提升及网络规模不断扩大的扩展要求。

汇聚层设计：

    对于行政信息楼的10个计算机室，由于信息点数较多，为了减轻核心层设备转发数据包的负担，进行流量的聚合、VLAN的聚合以及部署网络防病毒策略，我们建议在行政信息楼把10个计算机室按照两个设备间分为两个群组，每个群组在一个设备机房。每个部署一台XINGNET NGS-3312TG汇聚层交换机，通过千兆链路上联至核心交换机Cisco 6509,为了加大连路带宽，NGS-3312TG和C6509之间还可通过双链路，进行链路聚合。NGS-3312TG汇聚层交换机通过千兆链路下连至XINGNETNES-3226S堆叠组。每个群组的NGS-3312TG交换机各连接5个堆叠组，每个堆叠组3台NES-3226S.

    XINGNET NGS-3312TG以太网交换机基于高性能的ASIC，采用模块化的结构设计。无阻塞交换结构，功能强劲的专用ASIC进行包转发处理，所有端口可同时工作在线速状态。大容量共享包缓存区，先进的包头阻塞（HOL）预防机制，最大限度地减小包阻塞提供优化的转发性能。

    XINGNET NGS-3312TG交换机支持丰富的功能，尤其是其强大的网络病毒防范策略，可以实现对任何网络病毒的防范，足以保证校园网络的稳定。另该交换机支持vlan聚合的功能，当接入层交换机为了控制广播而划分了太多的VLAN时，我们可以在汇聚层实施VLAN的聚合，减少核心层交换机VLAN管理接口IP地址的分配，减轻了管理员的管理的负担，同时又保证了我们的IP网络规划非常容易。另其支持丰富的路由功能，如RIP和OSPF、静态等，也支持Portal认证和IEEE 802.1X认证，这样可以和后台的AAA服务器相结合，对学生或教师的上网进行认证、授权和计费。

    XINGNETNGS3312TG提供4个固定10/100/1000Base-TX(RJ-45)和8个1000Base-SX/LX/TX以太网接口（SFP）插槽，用户可灵活选配不同的光纤模块以适合他们的环境需求，4个固定的10/100/1000自适应端口可用来连接计算机室内的服务器或特殊用户。

接入层设计:

    对于接入层设备，也应当尽可能考虑与骨干设备的兼容性、QoS的可实施性，能实现线速转发，保证高可用性。

    在接入层，对于信息点数比较密集的主控室、电子阅览室、行政信息楼等，我们部署了具有极高的性能价格比的XINGNET NES-3226S交换机堆叠组。NES-3226S最多可堆叠8台，并且可通过任意端口堆叠，大大减少了用户投资。该交换机支持Web管理和丰富的网络功能，用户可以灵活的启用来适合自己的组网需求，如端口流量限速、端口MAC地址锁定、IEEE 802.1Q VLAN、端口镜像等。针对信息量非常少的食堂，部署一台NES-NES-3226S.对于学生宿舍的三个设备间，由于总共信息点数才34个，所以每个设备间各部署一台NES-3226S,多出的端口便于以后扩充。

Internet接入设计

    Internet接入系统由以太主干网连接部分、防火墙部分、Internet信息服务部分、用户管理以及认证部分组成。对外连接采用防火墙通过10/100M电信光纤与Internet相连，并通过光纤通道接入到Cernet。通过防火墙保证公司内部网络的安全。构建Web服务器与外界进行交流。

    为了实现上述需求，我们在整个校园网的边界部署了一台功能完善、运行稳定的企业级防火墙联想联想网御2000 FW P-T4防火墙，该防火墙具备路由功能，可直接代替传统以软件方式转发数据报的路由器，直接接入Internert，大大提高了学校上网的速度。

    联想网御百兆防火墙是面向大中型企业、政府机关和一般行业用户的网络信息系统推出的一款防火墙产品，可广泛应用于百兆网络环境中信息安全系统的构建。该防火墙可工作在路由模式或桥模式下，大大方便了学校灵活的部署他们的网络。

    它所使用的网络层用户认证系统可以为任何网络协议、服务提供认证功能，变为与应用服务无关的用户认证，大大提高了处理的效率；想网御百兆防火墙内核使用高效的过滤算法，充分发挥良好的硬件性能，百兆状态下的网络吞吐率达到99Mbps，不会成为网络通讯的瓶颈。过了国家信息安全评测认证中心、国家保密局、公安部和中国人民解放军信息评测认证中心等权威评测机构的严格评测认证，完全具备满足用户关键业务安全运行需求的能力，实现防止非法用户非法入侵、黑客非法攻击，保证学校校园网的安全，最大程度地抵御外来入侵，该防火墙支持全中文标准Windows设置界面，大大方便了用户的配置和维护。MTBF（平均故障间隔时间）大于40,000小时，使网络具备极高的稳定性和可靠性。

远程访问接入设计：

    学校的远程访问系统包括通过Internet构成的企业内部虚拟专用网络（VPN）两部分，适用于学校本部与兄弟学校的连接，以及学校与教育厅及其他教育机构的连接，并且开展远程教育。对此类用户的数据访问，实施加密的VPN隧道学校的虚拟专用网络。

    对于学校出差的移动用户，客户端可采用WIN2K自带的客户端软件或由联想提供的VPN客户端软件，建立与联想防火墙的VPN互联，通过VPN加密的IPSEC网络隧道，保护远程移动用户的数据安全，并大大降低了远程访问的费用。

网络设备的管理

    通过在中心网管工作站，我们部署Cisco的Cisco-works网管软件，我们可以管理中心交换网络平台Catalyst 6509交换机，同时我们会对XINGNET 交换机开放MIB管理信息库，这样Cisco 的Cisco-works网管软件同样也可以管理整个网络平台的交换机，包括思科和XINGNET的全部产品。