学校网络改造设计方案.docx
《学校网络改造设计方案.docx》由会员分享,可在线阅读,更多相关《学校网络改造设计方案.docx(7页珍藏版)》请在冰豆网上搜索。
学校网络改造设计方案
学校网络改造设计方案
一、概述
XXXX
学校目前已经建成一套较为完整的传统三层网络系统,随着校园建设规模得扩大及信息化建设的不断发展,取得相应成绩但在发展中也存在些许问题。
本次方案设计将立足当前,着眼未来,采用“以需求为导向,以应用促发展,统一规划,资源共享”的思路,针对学校核心网络区域进行升级改造,认证、计费、安全等方面需求做整体考虑,统一规划,建设一个以学院业务为核心,技术先进、扩展性强、高稳定、高性能、覆盖广的大二层网络平台,以满足教学办公、学生学习、上网及生活需要。
二、项目需求
校园使用多路运营商链路承载校内所有互联网出口带宽,网络出口使用深信服防火墙,统一抵御由互连网带给校园内的安全。
核心交换机型号使用华为园区核心交换机S12712,CLOS架构设计,有效保证管理、控制、数据三平面物理分离,每个平面互不影响,确保数据转发的可靠性,目前运行情况良好,作为在建设时即考虑投资保护和升级需要的核心设备。
有线无线高度融合覆盖,核心配置随板AC管理,配置城市热点认证设备进行有效认证,保证终端访问安全。
现在学校网络规模日益扩大的基础上,需要进行升级和管理设计,以满足目前学校信息化需要。
2.1现网剖析
2.1.1现网拓扑
网络拓扑:
网络拓扑
校园网是为学校师生提供快捷高效的教学、科研和综合信息服务的网络,随着校园网规模越来越大,教学、科研对信息化的依赖越来越强,校园信息化的发展也越发迅速,网络结构也越来越复杂,管理运维的难度不断加大,校园信息化建设面临着越来越多的挑战。
首先,网络管理问题:
拓扑图中校园网是传统的三层架构,网络结构相对复杂,汇聚层设备做三层网关,启用路由协议,与核心之间三层互通。
同时,为了避免环路,接入层与汇聚层设备需要启用复杂的MSTP生成树协议,配置的复杂造成了管理的复杂,网络管理员需要熟知整网的状况以及每台设备的配置情况,以便在出现网络问题时能够快速定位。
其次,拓扑图中无线网络覆盖后,网络运营问题:
校园网中有学生、教师等多种不同角色,针对不同角色计费方法不同,认证方式也不同,传统校园网为了加强对学生的管控力度,多采用802.1x认证,经过多年的实际运营,网管人员发现802.1x认证问题频出,不仅在接入交换机上启用,大量的接入设备配置复杂,而且1x客户端也很容易出问题,学生投诉不断。
另外,网络维护问题:
在此拓扑传统网络架构中,网络汇聚、接入设备众多网络运维管理人员的精力主要消耗在网络设备的功能配置、技术细节和繁琐的问题定位上,无法全面统筹整体网络及数据中心。
2.1.2存在问题:
Ø核心设备只有一台,冗余性不够。
核心设备如果整机出现临时断电等意外情况,不能够无缝切换到冗余设备,保障用户无感知。
Ø校园网接入交换机数量庞大,由于每台接入交换机都需要强大的安全和认证功能,所以每台接入交换机都需要复杂的配置和丰富的功能,那么每台接入设备都是需要精心维护的关键设备。
密码管理、配置管理、权限管理都需要消耗管理员大量的精力。
Ø准入控制集中在接入设备,随着校园网规模扩大,接入的维护变得很困难,且对维护人员的技能要求很高,导致成本很大。
Ø校园有线网络仅供学校办公教学使用,没有建设无线网络,教职工不能够在校内实现自由的网上冲浪体验。
Ø传统的校园网是粗放型的网络,只是满足了基本的网络互联互通的需求,但缺乏相应的审计和控制手段,用户之间互相影响,网络中的攻击泛滥,如ARP攻击/DHCP仿冒/IP仿冒;用户只要接上网络,就能获得网络的使用权,整个访问过程没有针对性的记录、审计和基于用户的控制,导致了网络的无序使用,网络使用没有实名制,用户访问行为没有记录,出现问题无法追查;缺乏针对性的控制,网络带宽被大量占用,重要应用得不到带宽保障;难以实现灵活的用户控制、如基于身份、时间、位置等。
2.2建设目标
根据以上现状分析,随着网络教学信息化在校园逐渐普及,众多的师生拥有个人笔记本、pad和智能终端。
师生在教室、实验室、图书馆、学术报告厅、会议室以及室外广场等场所需要访问学校的教学资源和Internet接入。
WLAN无线网络,满足师生随时随地接入网络获取资源和信息的需求,从而进一步将学校、老师、学生以及教学资源等更紧密的融合在一起。
物联网被称为是世界信息产业革命的第三次浪潮,“NextBigThing”。
越来越多的物联网设备通过RF-ID、蓝牙、Zigbee和Wi-Fi等连接方式连到网络上。
根据预测,到2025年将有超过1000亿个物(不包括个人宽带用户)被连接起来。
任何物体,在任何时间和任何地点都能连接到网络上,物联网正在深刻地影响着人们的生产和生活。
在数据中心网络领域,随着服务器虚拟化技术的应用,数据中心内部VM的数量比原有的物理机发生数量级的变化,与之对应的虚拟机虚拟网卡的MAC地址数量也相应的增加,这对原有的LSW交换机的地址容量能力产生了很大冲击。
在此背景下,Vxlan应运而生,在实现数据中心租户之间业务隔离的同时,满足虚拟机在不同网络中灵活迁移的需求。
而在中大型园区网络领域,随着数据网络规模的快速扩大,网络管理难度和复杂度持续提升,与此同时也产生了与数据中心网络类似的挑战和需求。
Vxlan技术在园区网络中的应用,得以实现数据网络的统筹规划、数据运维的高度集中以及网络资源的充分共享。
随时随地接入、万物物联、园区Vxlan等新技术的涌现,将使今后的网络面对越来越多的智能终端及物联网终端。
有线网络、无线网络、物联网络的建设、维护必须大一统,因此面向泛在的承载是XXXXX网络建设的核心任务。
2.2.1网络建设目标
XXXX的网络建设总目标如下:
v多网融合:
构建一张能够承载有线、无线、物联网及5G的综合网络,使得园区网络能够满足园区内各种数据终端及传感设备在任意位置的接入需求。
v结构先进:
整体架构在性能、容量、高可靠及技术运用等方面上满足未来5年的整体发展需求。
v按需扩展:
整体网络架构能够基于覆盖区域、终端数量、业务需求实现按需扩展,无需对架构进行调整。
vIPV6:
校园网全面进行IPV6改造使校园终端接入可实现IPV4和IPV6的自由选择接入。
IPv6除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题,主要是端到端IP连接、服务质量(QoS)、安全性、组播(Multicast)、移动性、即插即用等。
IPv6的推广应用势必影响到校园网的发展。
校园网突出的特点是学校内有众多的计算机上网,用户密集,网络流量较大,网络应用多且复杂,多媒体应用占相当大的比重,对安全性要求较高。
一般校园网都因为IP地址不足而存在大量的私有地址,为实现对外部网的访问和网间的互联,不得不在网络中部署大量的NAT设备。
在这种网络结构下,NAT设备往往成为网络的瓶颈,而且有些应用是无法穿透NAT的,例如经过加密的数据包以及一些不使用UDP和TCP协议头的数据包,因此严重制约了校园网内一些重要的应用,如多媒体应用和P2P应用。
并且伴随着网络规模的扩大和网络速率的提高,NAT设备将不断提高建网成本。
v实现校园网络的统一认证,计费,管理等问题加强网络的安全能力。
总体而言,校园网是一种用户高密度的网络,在有限的空间内聚集了大量的终端和用户。
扁平化大二层网络的设计注重的是三个“易”:
易管理,易部署,易维护。
易管理:
整体简化了网络结构,网络中大量的接入、汇聚作为逻辑二层设备只需要做简单的vlan划分、端口隔离配置即可,不需要过多管理,核心设备作三层网关,启用路由、认证、安全相关功能,日常维护中,管理员只需要维护核心设备即可,大大降低网络的运维难度,简化工作量。
易部署:
无论是有线用户还是无线用户,无论是采用802.1x认证还是portal认证,认证点统一集中在核心,部署方便快捷。
同时,大量的接入、汇聚设备配置基本类似,一些专注在教育行业的厂商也推出了快速配置工具用于批量设备上线时的快速配置下发,利用配置工具,操作过程简便。
易维护:
网络结构的简化带来维护工作的简化,设备配置的简化必然会大幅度降低设备出问题的概率。
从另一方面看,校园网的维护,需要在网络出现问题时能够快速定位,在网络管理层面上,需要把用户和端口对应起来,明确用户是从哪个端口接入上网,利用supervlan+subvlan技术,可以轻松定位用户到具体的端口。
易拓展:
物联网的快速繁殖是现代信息化的必然结果,校园网络建设拥有高带宽承载5G网络和物联网设备的能力。
2.2.2数据中心网络建设目标
需要解决的是数据中心内部的网络扩展问题,通过大规模二层网络和VLAN延伸,实现虚拟机在数据中心内部的大范围迁移。
由于数据中心内的大二层网络都要覆盖多个接入交换机和核心交换机,随着数据中心多中心的部署,虚拟机的跨数据中心迁移、灾备,跨数据中心业务负载分担等需求,使得网络的扩展不仅是在数据中心的边界为止,还需要考虑跨越数据中心机房的区域,为以后延伸到同城备份中心、远程灾备中心。
三、总体框架设计
3.1简述
新增两台BARS设备重新整改网络架构将新增两台BARS配置成为整个园区网络的核心、另外配置一台核心交换机设备让原核心交换机形成设备、链路的双重冗余,同时原核心设备降为整个园区的网络汇聚设备,配置虚拟化,对校园骨干网络进行升级改造,适应更高速的网络需求和更可靠的冗余需求,二是新增认证计费等安全设备,适应大二层下网络安全和认证的要求。
同时面对IPV6的逐步进入校园生活,将在网络大二层架构完善后将整网形成IPV4和IPV6的自由接入,对全校网络自上而下进行网络地址改造。
3.2整体详细网络设计
3.2.1整改后网络拓扑
网络二层架构
如拓扑图所示,在网络整改后我们将XXXX网络详细划分区域,层次更加分明也满足等级保护的分区分域的理念,具体分为外联区、核心区、数据中心区域、学校管理区、安全运维审计服务区、汇聚层、接入层。
改造原则为物理架构依旧为三层网络结构,不破坏学院前期的信息化投入,也使网络具有更优秀的拓展能力,逻辑架构直接将传统网络化为大二层网络架构。
整体采用大二层结构设计,多个逻辑区域各司其职,用户全部在核心上认证,汇聚、接入设备不需要维护复杂的网络协议,层次清晰,架构稳定,方便管理,易于扩展和维护。
3.2.2网络架构设计详解
3.2.2.1外联区
外联区域新增两台下一代高性能防火墙,替换原先的网络出口中的深信服防火墙,达到设备的冗余和链路的冗余安全,同时面对大流量的校园内外网的访问,增加设备的吞吐量是必要的,解决网络在防火墙处的拥塞问题,也增加相应的入侵防御的功能模块。
前期XXXX前期出口防火墙为单台低性能设备防火墙,在前期信息化建设中设备使用年限较长,性能已经不能满足业务发展的要求,在此次建设中进行出口防火墙的替换,增强出口安全性及高可用性。
3.2.2.2核心区
新增一台核心交换机设备,配置虚拟化,对校园骨干网络进行升级改造,交换机的背板带宽更高,数据转发能力更强,提升校园网络的健硕性,同时将原本核心交换机下降为网络逻辑上的汇聚交换机,新增两台新核心BARS设备进行整网的网络业务承载,路由上收功能使得核心维护路由表,做三层转发,终结ARP,汇聚及接入配置简化,减少运维工作量。
同时拥有独特的网络功能:
Ø网络承载功能:
负责终结用户的PPPoE(Point-to-PointPotocolOverEthernet,是一种以太网上传送PPP会话的方式)连接、汇聚用户的流量功能;二是控制实现功能:
与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功能;
Ø面向宽带网络应用的新型接入网关。
它是宽带接入网的骨干网之间的桥梁,提供基本的接入手段和宽带接入网的管理功能。
它位于网络的边缘,提供宽带接入服务、实现多种业务的汇聚与转发,能满足不同用户对传输容量和带宽利用率的要求。
也会将在新核心及网络部署网络地址的双栈协议,形成全网的网络地址的改造。
3
升级会员 