毕业设计论文高校校园网的规划和设计.docx
《毕业设计论文高校校园网的规划和设计.docx》由会员分享,可在线阅读,更多相关《毕业设计论文高校校园网的规划和设计.docx(31页珍藏版)》请在冰点文库上搜索。
毕业设计论文高校校园网的规划和设计
摘要
校园网络可分为校园网络中心,教学子网,办公子网,图书馆子网,宿舍区子网等。
业务网和管理网需要分开,所以建成后校园网能提供多个网段的划分以及隔离,并能做到灵活改变配置,适应教学环境的变化和调整。
本文研究采用业界一流的骨干级交换机交叉背板交换,分布式二/三/四层处理,无阻塞交换架构,保证全网全线速10/100M接入用户桌面,在本系统中,服务器可选择接入100Base-TX、1000Base-SX、1000Base-T,骨干交换机提供线速三层交换,接入层交换机线速二层交换保证全网无阻塞性能,支持1000M上联模块,能够根据业务流量的需要采用TRUNK功能,网管简单,可选Web、CLI管理。
本文还将着重讨论校园网络的安全性问题,指出校园网安全问题的重要性,威胁校园网络安全的因素,通过对校园网络系统所存在的安全问题和网络安全管理现状的分析,并在老师的指导下,能够提出利用防火墙、路由器、交换机、服务器等网络设施系统软件,构建一个具有多层次安全功能的校园网安全模型,同时采用三层交换技术可有效防止IP盗用,提高网络安全性。
关键词:
校园网;三层交换;网络安全
第1章绪论
随着网络规模的不断扩大,多媒体应用正成为校园网应用的又一主流。
多媒体的应用对校园网的网络带宽和网络速度提出了更高的要求。
采用网络互连设备HUB、网桥和路由器来扩大网络的方案已不能完全适应网络规模发展的需要,使用交换机替代路由器实现大容量低延迟的局域网路由在实际中也己得到较广泛的应用,具有二层交换技术的交换机解决了网段间的信息碰撞问题,利用VLAN技术划分子网实现了管理上的灵活性,具有第三层交换能力的网络交换机可以满足不断增长的子网间的通信需要,同时实现多媒体通信所要求的低延迟量的稳定性。
传统的基于共享介质的以太网逐步被交换网络所取代,第三层交换技术和第三层交换机这一新的网络技术正在网络建设中得到应用和发展,如何有效地集成这些技术是校园网建设中必须考虑的问题。
1.1校园网需求分析
我校是一所正在建设中的现代化综合学府,网络在学院日常教学办公中起到至关重要的作用,校园网的运作模式带来大量动态数据的传输,相当一部分住应用服务器要高速接入网络,网络要有足够的主干带宽和扩展能力。
大学是一个小社会,网络应用类型非常复杂,信息媒体类型较多,且具有信息流猝发特点。
在大学校园网建设中,应充分兼顾信息资源共享与服务、多媒体教学和教务管理等因素对网络的需求。
大学建设校园网,一般经费比较充裕,在网络技术上应该留有一定的发展空间。
校园网设计应能满足以下条件:
网络应具有传递语音、图形、图像等多种信息媒体功能,二级以上交换机应支持组播功能。
具备性能优越的资源共享功能,以及校园网中各信息点之间的快速交换功能。
由于大学校园网规模较大,教学与科研部门众多,如果所有信息点在同一冲突域中,网上广播风暴就会使网络性能严重下降,中心系统交换机应支持VLAN和第三层交换技术,支持QoS,对网络用户具有分类控制功能,对网络资源的访问提供完善的权限控制,以提高网络的安全和性能。
校园网与Internet网相连后,应具有“防火墙”过滤功能,以防止网络黑客入侵网络系统。
能够对接如因特网的各网络用户进行权限控制和计费管理。
1.2系统规划
校园网络可分为校园网络中心,教学子网,办公子网,图书馆子网,宿舍区子网等。
业务网和管理网需要分开,所以建成后校园网能提供多个网段的划分以及隔离,并能做到灵活改变配置,适应教学环境的变化和调整。
所以,合理划分虚拟网络(VLAN)十分关键。
由于划分VLAN必须参照网络安全原则及网络流量分析,因此,VLAN的划分不是事先就能完全确定的,必须按照“事先设计,运行调整”的思路进行。
VLAN的设计是系统集成的重点之一。
1.3方案特点
1、业界一流的骨干级交换机交叉背板交换,分布式二/三/四层处理,无阻塞交换架构,保证全网全线速10/100M接入用户桌面。
2、服务器可选择接入100Base-TX、1000Base-SX、1000Base-T。
3、骨干交换机提供线速三层交换,接入层交换机线速二层交换保证全网无阻塞性能。
4、支持1000M上联模块,能够根据业务流量的需要采用TRUNK功能。
5、支持高速端口聚合,具有链路冗余和负载均衡的能力。
6、高智能,支持二/三/四层线速交换,提供端到端的QoS的保证。
7、高安全,802.1X基于用户身份的认证。
8、网管简单,可选的Web、CLI管理。
1.4网络安全问题
1、以太网固有的一些特性导致了以太网接入的安全问题。
2、学校学生计算机水平高而且时间充裕,本身网络就有很大的安全隐患。
3、学校具备的Internet、Cernet、校内三种资源的选择性对网络安全管理提出了挑战,如何处理访问的灵活性和安全性之间的平衡是每个学校网管需要考虑的问题。
第2章组网技术
2.1网络组件
计算机网络中存在许多不同类型的组件,这里简单介绍最常见的网络组件和每个组件的基本功能。
交换机
交换机[3]是用来提高LAN性能的数据链路层设备。
在许多网络中,交换机己经替代集线器来提高终端用户的性能。
交换机是一种由许多高速端口组成的设备,连接LAN网段或连接基于端到端的独立设备。
交换机有很多类型,每种交换机支持不同的速率和LAN类型,比如以太网、令牌环、FDDI和ATM。
交换机将整个介质带宽集中到一个端口上。
网桥
网桥用于分割数据流以提高网络的整体性能。
它也用来提供跨广域的连接并且提供了一种最简单的将局域网网段,连接成可维护、高可靠性的扩展网络的方法。
网桥工作在OSI模型中数据链路层的MAC子层,网桥监听所有流经它所连接的网段的数据,并检查每个数据帧的目的网卡地址,以决定是否将该帧送往网络的其他部分。
网桥对帧操作且完全不必考虑帧的内容,但网桥的操作既需要硬件也需要软件。
路由器
路由器工作在网络层,通常比中继器、网桥和交换机复杂,路由器是对分组(包)而不是对帧进行操作的。
路由器连接具有相同通信架构的网络,但这些网络的低层架构可能不同,它是从物理上和逻辑上对网络进行分割的,而且常常可以用来替代网桥或交换机。
网关
网关又称又称为协议转换器或网间连接器,它工作在OSI协议的传输层或更高层,是互联网设备中最为复杂的设备,用于互联不用体系结构的网络。
2.2校园网技术新发展
校园网技术随着时代的进步而不断发展。
虚拟局域网(VLAN)己经发展成为交换式LAN方案的必不可少部分之一。
用LAN交换机取代部门路由器和介质访问设备(如集线器)的速度在不断增大。
随着每个端口的以太网和令牌环网的交换机价格下降,越来越多的学校和组织倾向于给每个用户分配一个单独的交换端口,以便获得更高的带宽。
VLAN虽然解决了在二层交换机上划分广播域的问题,但虚拟局域网之间的通信仍需要借助速度较慢的传统路由器。
此时,三层交换技术融交换技术和路由技术为一体应运而生,给人们带来了高速交换解决方案,并使路由器退出局域网技术领域。
虚拟局域网技术
1、什么是VLAN
VLAN技术目前仍是未标准化的不开放的技术,各个厂商提供的VLAN解决方案有一定的差异。
体现在VLAN的概念上也是各有不同见解。
但是一个比较通用的能被大家接受的定义是认为VLAN等同于一个广播域。
具体而言,VLAN可以看作是包含一组端站点的逻辑局域网,这些端站点可位于不同的物理网段中,但它们不受物理位置的限制而互相通信,就好像它们在同一个物理LAN中一样[4]。
2、实现VLAN要解决的关键问题
(1)、定义VLAN成员的问题,即划分VLAN的方法。
(2)、在多个交换机上划分VLAN时各个交换机之间的交换VLAN成员身份信息的问题。
(3)、在多个VLAN之间通信的问题,即VLAN之间的路由问题。
3、划分VLAN的方法
定义VLAN成员的方法多种多样,主要有四种:
按交换机的端口划分VLAN,按MAC层地址划分VLAN,按网络层地址划分VLAN,按IP组播划分VLAN等。
第三层交换技术
在过去的20多年中,交换技术和路由技术都得到了充分发展,交换技术的发展和对网络技术的贡献更是引人注目。
到目前为止,已基本形成了“以交换机为中心”的LAN连接方案。
尤其这些年所建成的Intranet更是离不了交换机和路由器。
交换技术和路由技术的主要区别在于:
交换机所处理的是以太网帧中MAC地址部分,而路由器不仅可以识别MAC地址,还可以进一步分析包含网络类型信息的协议首部。
正因为这一关键性的区别,使得交换机和路由器在网络设计中所担任的角色也大不相同。
传统的二层交换机主要区别使网络通信双方节点在通信时能够获得专有的连接,从而享有真正的全部带宽,这对于共享式以太网而言无疑是一个大飞跃。
二层交换机也可用于划分子网。
但是,基于二层交换机的所有子网在遇到数据包广播时便显得毫无意义。
因为对于二层交换机来讲,与其所有端口相连的节点,无论是单一的工作站还是子网,都共享一个广播域。
当发送节点发送了一个广播包后,该包就会扩散到所有与交换机端口相连的子网中,而不管该子网是一个TCP/IP子网还是一个IPX子网。
显然,将一个TCP/IP广播包发送到IPX子网中是不合理的。
这也会影响整个网络的性能。
二层交换机的这种广播控制缺陷是由其对以太网帧的处理能力所决定的,因为二层交换机只能识别MAC地址,不能识别数据包中的网络地址信息,因而它对于区分不同类型的子网是无能为力的。
在网络设计中,路由器主要用来完成交换机所缺乏的有效子网划分和广播控制功能。
在通过路由器连接的两个子网中,子网间的广播包不会互相扩散。
网间的正常通信可通过路由器的路由来实现。
虚拟局域网(VLAN)解决了在二层交换机上划分广播域的问题,可以替代路由器的限制广播的功能。
但VLAN之间的通信仍需借助路由器。
由于传统路由器的路由寻址功能是通过软件实现,该软件运行于有固定内存的CPU之上,虽然CPU和存储器的速度越来越快,但仍赶不上网络流量增加的速度。
随着用户对网络性能、网络延迟和网络带宽需求的不断增加,尤其随着G以太网和Intranet及Extranet的兴起,传统路由器的处理速度越来越成为提高网络性能的瓶颈。
与路由器相比,由于二层交换机采用ASIC[5](ApplicationSpecificIntegratedCircuit)芯片来处理包转发,因而其处理速度是非常快的。
交换技术和路由技术在当今的网络设计中都是核心技术,但两者各有优缺点,而网络需求又在不断增长。
在这种情况下,人们自然会考虑:
能不能将交换机的高速性能和路由器的控制功能结合起来。
第三层交换技术便在这种想法的基础上产生出来。
1、第三层交换技术实现要点
第三层交换是一个模型,它将第二层交换机和第三层路由器两者的优势结合成一个灵活的解决方案,可在各个层次提供线速(Wirespeed)性能的数据转发。
这种集成化的结构还引进了策略(Policy)管理属性,它不仅使第二层与第三层相互关联起来,而且还提供流量优先权处理、安全性处理以及多种其他的灵活功能,如中继、虚拟网和内部企业网的动态部署。
第三层交换机的组成如图2.1所示。
图2.1第三层交换机的组成
图2.1列出了第三层交换机的组成部分。
接口层包含了所有重要的局域网接口:
10/100M以太网、G以太网、FDDI和ATM。
交换层集成了多种局域网接口并辅之以策略管理,同时还提供中继、VLAN和标签机制。
路由层提供主要的LAN路由协议:
IP、IPX和AppleTalk,并通过策略管理提供逐包式或直通式的第三层转发技术。
策略管理和行政管理使网络管理员能根据企业上的特定需求调整网络,从而给他们带来配置和管理上的方便与灵活。
将一个传统的路由模块加入到交换机中并不是真正的第三层交换。
这是因为,在这种情况下,流量控制、路由寻址等功能虽然也可以实现,但传统路由的高延迟依然存在。
所以,实现真正的第三层交换,关键在于要改变传统路由器处理包转发技术,也就是要实现线速路由。
线速路由就是要使路由速度(转发路由分组的速度)达到传输线上的数据传输速度,消除路由瓶颈。
考虑IP网和IPX网,在网络中主要有四种流量类型在进行传输:
第二层交换(纯交换帧);第三层IP路由(纯IP路由分组):
第三层IPX路由(纯IPX路由分组)以及同时进行的第二层交换与第三层IP路由(交换帧和路由分组的混合流量类型)。
第二层LAN交换机只可以实现纯交换帧的线速转发,第三层交换机的优势在于可以实现剩下三种流量类型的线速转发(当然它也可以实现纯交换帧的线速转发)。
传统路由器虽然可以转发各种路由分组,但其延迟较高,转发速度达不到线速。
2、三层交换机的通信过程
三层交换机的通信过程如图2.2所示。
图2.2三层交换机通信过程
如图2.2,假设A和B以前通信过,中间的交换机如支持第三层交换的话,它便会把A和B的IP地址及它们的MAC地址记录下来。
当其他站点如C要与A和B通信时,C发出ARP寻址包,询问A或B的IP地址对应的MAC地址是什么,针对C发出的寻址包,第三层交换机会不假思索的送一个回复包给C,告诉它A或B的MAC地址,以后C当然就会用A或B的MAC地址“直接”与其通信。
因为通信的双方完全没有通过路由器这样的第三者,所以哪怕A、B或C属于不同的子网,它们之间均可直接知道对方的MAC地址。
更重要的是,第三层交换机并没有像普通二层交换机那样把广播包扩散到与之相连的所有端口,由于第三层交换机能看懂第三层信息(如IP地址、ARP寻址包等),因此第三层交换机便能洞悉ARP广播包的目的地址,而在尚未把它扩散出去的情形下,满足了发出广播包的机器的需要,而不必在乎它们在任何子网里。
第3章需求分析
3.1组网背景
二十一世纪是信息化时代,办公自动化、网络化、信息化已成为一种必备条件。
作为基础教学与科研基地的学校自然会走在所有行业的最前列,全国各大、中、小学校都在积极建设和完善校园计算机网络。
校园网已成为各学校必备的重要信息基础设施,其规模和应用水平己成为衡量学校教学与科研综合实力的一个重要标志。
3.2网络工程建设规划
为了适应全国和省市州教育科研计算机网络的发展,加强校内外信息的交流,满足校区广大师生的需求,充分利用网络资源为全校教学、科研和管理服务,校区网络中心拟提出如下建设计划:
(1)整个校区网络结构以网络中心为核心,构成星型结构;
(2)主干采用千兆路由技术,所有节点交换100Mbps到桌面;
(3)考虑师生并发上网的问题,配置功能强大的代理服务系统;
(4)配置功能齐全、方便实用的网络管理平台。
3.3校园网技术新发展
为了便于网络管理和网络扩展,节省用户投资,在充分考虑建设原则、满足应用需要和适应网络技术发展趋势等方面后,所以选择了GigabitEthernet,原因如下:
1、以低廉的价格提供高带宽。
千兆以太网提供10倍与快速以太网的性能,而价格远远低于其10倍。
2、良好的兼容性和管理的简单性。
3、能保证服务质量。
目前公认,合理组织的千兆以太网不需要考虑QoS管理。
4、支持千兆以太网多层交换的交换机。
综上所述,本方案主要选择千兆以太网技术来构建用户的需求,对二层节点和桌面微机的接入也采用快速以太网,建立一个基于多层、全交换的虚拟园区网络。
采用1000M主干,光纤到各主要信息点,100M交换到桌面,逐步形成以网络中心大楼为中心、辐射其它楼宇的校园网。
3.4系统总体目标
对于一个校园网来说,系统的总体目标就是在一段时期内,当校园网完全建设好后所要达到的功能和具有的规模。
一般来说,一个校园网系统总体目标往往是分布实施的,包括功能和规模的分布实施。
根据高校校园网网络建设的要求,为其设计了一整套的网络设计方案,采用AVAYA公司(原朗讯企业网络集团)的网络设备[6],为高校校园网络系统构建优质、可靠、稳定的网络平台。
提供方便、高效的网络管理手段及良好的可扩展性和易维护性。
3.5方案设计原则
本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合高校的网络系统。
从技术措施角度来讲,在系统的设计和实现中,将严格遵守以下原则:
1、实用性和集成性
系统的软硬件设计、还是集成,均应以适用为第一宗旨,在系统充分适应教育信息化的需求的基础上再来考虑其他的性能。
该系统所包含的内容很多,将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致地进行高效工作。
2、标准性和开放性
只有支持标准性和开放性的系统,才能支持与其他开放型系统一起协同工作。
在网络中采用的硬件设备及软件产品应支持国际工业标准或事实上的标准,以便能和不同厂家的开放型产品在同一网络中同时共存;通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。
3、先进性和安全性
系统所有的组成要素均应充分地考虑其先进性。
不能一味地追求实用而忽略先进,只有将当今最先进的技术和实际应用要求紧密结合,才能获得最大的系统性能和效益。
网络的安全是至关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。
4、成熟性和高可靠性
作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。
网络硬件体系结构应在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并得到较多的第三方开发商和用户在全球范围的广泛支持和使用。
同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。
可靠性也是衡量一个计算机应用系统的重要标准之一。
在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速的修复。
因此需要采取一定的预防措施,如对关键应用和主干设备考虑有适当的冗余。
应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。
一个高可用性的系统才能使用户的投资真正得到回报。
5、可维护性和可管理性
整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。
对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行。
因此,网络所选网络设备应支持SNMP、RMON、SMON等协议,管理员通过网管工作站就能方便的进行网络管理、维护甚至修复。
在设计和实现计算机应用系统时,必须充分考虑整个系统的便于维护性,以使系统在万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。
第4章系统总体设计
高校校园网计算机网络系统的总体设计主要包括以下几大部分:
1、设计思想;
2、分层次的设计;
3、高校网络拓扑结构设计;
4、多协议处理及路由能力设计。
4.1“自顶向下”的设计思想
在本方案中采用了“自顶向下”的设计思想。
自顶向下的设计方法适用于从OSI参考模型的高层开始再向较低的层次推进的网络设计,它着重于在选择运行于较低层次上的路由器、交换机和介质之前,将重点放在应用、会话、数据的传输上。
另外,我认为:
“好的网络设计必需清楚客户的需求蕴涵着许多商业和技术的目标,包括可用性、可伸缩性、可购买性、安全性和可管理性等。
”所以在设计高校校园网络系统的时候,尽量站在用户的角度考虑问题,以满足用户的应用需求和技术需求。
4.2分层次的设计
由于高校校园网络的规模较大而且应用比较复杂,普通的平面网络结构设计模型难以满足园区网络设计的需求。
层次性网络设计模型,由于其良好的伸缩能力、易于实现、易于排除故障、可预测性、协议支持、易于管理等特点,可充分满足园区网络的长期需求。
因此,在设计高校校园网络的时候,采用了经典的“三层层次模型”和二层设计相结合的设计方法。
网络层次结构
一个优秀的网络,不仅要有先进的设备,还要有先进的网络结构。
在传统的网络设计中,是将基本网络职能和服务放在网络的中心,并将共享带宽放在用户级。
但在过去几年中,随着网络技术的迅速发展和网上应用量的增加,分布式的网络服务和交换已经移至用户级,由此形成了一个新的、更适应现代高速大型网络的分层设计模型。
这种分级方法被称为“多层设计[7]”。
多层设计是模块化的,网络容量可随日后网络节点的增装不断扩大。
多层网络结构有很大的确定性,因此在运行和扩展过程中进行故障查找和排除非常简单。
多层网络结构最有效地利用多种第三层业务,包括分段、负载分担和故障恢复等。
在分层网络中运用智能第三层业务可以大大减少因配置不当或故障设备引起的一般问题。
多层模式使网络的移植更加简单,因为它保留了基于路由器和集线器的网络寻址方案,对以往的网络有很好的兼容性。
另外,分层结构也能够对网络的故障进行很好的隔离。
分层化的模式可以支持所有常用的网络协议。
网络的三层结构
网络的三层结构如图4.1所示。
图4.1网络三层结构
1、接入层
网络的接入层是最终用户被许可接入网络的点。
该层能通过过滤或访问控制列表提供对用户流量的进一步控制,不过该层的主要功能是为最终用户提供网络接入。
在局域网环境中,接入层主要功能如下:
提供交换的带宽和第二层服务,如基于接口或MAC地址的VLAN成员资格和数据流过滤。
当然,在这一层也可以提供安全特性。
接入层主要关注通过低成本、高端口密度的设备提供的这些功能。
接入层为用户提供了接入网络的能力,接入层通过堆叠方式连接到分布层中,然后再通过分布层连接到网络的主干。
采用堆叠的方式将大大提高接入层交换机的性能同时在信息点较多的大楼能实现当地路由,从而减少网络主干的负载。
在高校校园网络中,接入层交换机包括将本地的信息点连接至骨干网络,同时因为采用了堆叠的技术,可以使分布层和接入层合二为一,不仅简化了网络结构,同时也节省了网络投资。
2、分布层
网络的分布层是网络接入层和核心层之间的分界点。
分布层也帮助定义和区分网络核心层。
该层提供了边界定义,并在该处对潜在费力的数据包操作进行处理。
在局域网环境中,分布层执行最多的功能:
(1)、VLAN的聚合;
(2)、部门级或工作组接入;
(3)、广播域或多点广播域定义;
(4)、VLAN间路由;
(5)、介质转换及安全等。
分布层通常是指在楼宇网络环境中将多个楼层交换机连接起来的部分,分布层一方面要求和核心层保持高速可靠连接,另一方面是部署网络策略的重要地方。
分布交换机上行链路可以采用千兆捆绑技术实现高速骨干连接、下行为各接入层交换机提供百兆接口。
同时,分布层交换机需能实现快速交换功能、Qos功能等其它网络策略。
根据网络的地理环境和网络需求,可以在远程区域分中心分别放置百兆端口密度较高的交换机AVAYAP130系列可堆叠式交换机,并通过千兆光纤上连至主楼核心交换机。
3、核心层
核心层是局域网的主干,其主要目的是能尽快的交换数据。
网络的这个分层不应该被牵扯到费力的数据包操作或者任何减慢数据交换的处理。
应该避免在核心层使用像访问控制列表和数据包过滤这类的功能。
核心层主要负责以下的工作:
(1)、提供交换区块间的连接;
(2)、提供到其他区块(如服务器区块)的访问;
(3)、尽可能快地交换数据帧或数据包;
(4)、多层网络设计最有效利用多种第三层业务,包括分段、负载分担和故障恢复[8]。
层次性网络设计的指导原则
1、选择最适合需求的分级模型,一般情况下二、三层层次模型就可以充分满足用户的需求。
2、不要使网络的各层总是完全的网状的,访问层通常不必考虑为网状;分布层可以考虑部分的冗余;核心层连接最好是网状,其目的是考虑电路冗余和网络收敛速度的原因。
3、不要把终端工作站安装在主干网上,如果主干网上没有工作站,可以提高主干网的可靠性,使通信量
升级会员 