图2   故障时抓包分析图

　　由此可见整个网络工作在二层，只要局部故障就会牵涉到全部。

　　② 校园网络安全性无法保证，经常出现网络病毒包，致使外事学院租用我公司100M IP专线异常流量很大，对西安IP城域网网络质量造成了很大威胁，外事学院网络中心对网络病毒也无任何防范措施。

　　③ 根据外事学院将来业务发展的需要，在校园网基础上需要开通PPPoE业务以及承载一卡通 业务。只有校园网网络结构实现三层才能承载多业务。在现有的网络结构上则无法实现。

3  整改方案

　　为了能彻底改变外事学院目前网络存在的问题，首先从现有网络设备出发，利用设备可支持三层等先进功能，组建一个多层交换网络。全网采用快速以太网技术，通过光纤＋LAN技术互联南北区以及楼层接入，保证了网络很高的网络带宽。整改后拓扑结构如图3所示：

图3   整改后网络拓扑结构图

(1)合理建议

　　外事学院采购一台港湾Big6808替换掉Flex24。Big6808采用专用ASIC芯片转发数据，Crossbar的交换网结构，交换容量可达256G，可以大大减轻出口压力、增强核心设备性能。

（2）开启三层，划分VLAN

　　分别在网络出口Big6808和两个校区的Big6802划分VLAN，形成三层架构的校园网结构。使每个宿舍楼拥有一个VLAN，根据应用划分不同VLAN，减小了广播域，减少了维护工作量，提高了网络质量。同时考虑到校内计算机的互通，需要在Big6808和Big6802上启动三层路由功能。 主干网络技术是基于交换和虚拟网络的。交换技术将共享介质改为独占介质，大大提高网络速度。虚拟网络技术打破了地理环境的制约，在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动，工作站组成逻辑工作组或虚拟子网，提高信息系统的运作性能，均衡网络数据流量，合理利用硬件及信息资源。同时,利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低网络维护费用。

(3)  配置ACL，提高安全性

　　利用访问控制表(ACL,Access Control List )，用户和设备可以访问那些现有服务和信息的列表。但用户必须具有相应的授权才能修改目标的ACL。通常要求用户提供注册姓名和口令，它是用来保证系统安全性的一种手段。初期仅在路由器上支持，现在已经扩展到三层交换机，部分最新的二层交换机如cisco2950之类也开始提供ACL的支持。该校园网络主要设备均支持该功能。于是在Big6808和Big6802上添加ACL 条目，封闭不安全的端口，比如TCP 135等，以保证把病毒限制在最小的范围内，不使波及到整个网络，同时还可以根据安全需要不断增加。

(4)  启动环路检测功能

　　由于外事学院网络节点较多，施工复杂很容易产生环路，建议启动环路检测功能，以便发现环路。外事学院曾反映每次接入12号楼，网络速度会急剧下降，最终检测结果就是12号楼uHammer1024的7、8两个端口连接在一起，形成环路，又由于当时全网在一个广播域内，广播信息包无法消除，形成广播风暴，从而影响整个网络用户的上网，采用环路检测功能后，可快速确定发生环路的设备，减轻施工和维护的工作量。

(5)  启用QoS功能

　　QoS（服务质量）是用于衡量服务满意程度的一个综合指标，具体到网络中，是指对选定的网络流量提供更好服务的能力。港湾Big6808和Big6802均支持Qos功能，可以根据网络的实际需要，采用QoS功能，保证网络服务质量。

(6)  提供多业务接入能力

　　随着用户需求，多业务接入方式将成为必然。随着LAN＋PPPoE的普遍使用，可以通过VLAN透传上行，在网通汇聚层BAS设备终结，radius系统统一认证，实现PPPoE业务接入。同时通过校园网承载，可以实现需要一卡通等业务的开展。为外事学院校园网接入种类提供多种选择。

4  总结