大学校园网结构化布线方案Word下载.docx
《大学校园网结构化布线方案Word下载.docx》由会员分享,可在线阅读,更多相关《大学校园网结构化布线方案Word下载.docx(9页珍藏版)》请在冰豆网上搜索。
●安全性:
加强对系统的管理,主机系统应有较强的抗攻击能力,在条件允许的情况下要有虚网划分机制,对网间的信息交换要有安全策略。
●可扩充性:
现有的网络应具有很强的扩展能力,能够满足近期内可预见的用户接入需求,同时具有面向新技术的平滑升级能力。
2.网络设计
2.1.总体设计
1.主干设备:
根据当前现有结构和主要设备,在新的网络构架中能够有两种方案可供选择,
●仍采用以CISCO产品为主,在低端桌面型设备可选用其它厂家的产品,因为在当前情况下,多数非同厂家产品还不可能做到无缝连接,在高端即主干网上采用异构互连的方式可能会带来两个问题
◆互连性问题,虽然连通是可实现的,但由于协议标准的实现方法不同,可能会损失一部分带宽,实际使用的带宽速率要低于声明带宽速率。
◆虚网划分:
当前各厂家实现虚网协议方法大多不同,因此在做虚网划分时会带来很多困难,甚至在某些情况下是不可实现的。
]
●采用其它厂商的低端产品(如3COM,Intel等),好处是价格便宜,且在当前低通讯量和负载情况下能够满足需要,在以后的网络升级过程中,能够替换向更低端的用户推
2.路由交换与外部互连:
●外部网络当前仍采用DDN连接方式经过交大与教育网实现连接,暂时还无提高出口带宽的要求,当前所用路由器,有5kpps的包交换能力和一空闲同步口,能够满足近期的扩展要求。
●如采用虚网技术就需要一个内部虚网间的信息交换的路由器,至少支持4个虚网即4个以太端口
3.主机系统
可根据应用系统选择SUN+Solaris,PC+NT和PC+Linux的结构,
●SUN+Solaris是一种比较安全和稳健的网络服务器结构,而且由于管理员对SUN系统较为熟悉,在管理上有经验,因此在UNIX主机系统中仍采用这种结构。
但由于价格较为昂贵,在当前情况下不宜大范围采用。
●PC+NT:
管理简单方便,价格适中,但安全性较差,同时还有缺陷,同一网段数目过多的情况下可能会出现广播风暴。
●PC+Linux:
价格最为便宜,安全性上没有很大的把握,另外无生产厂家提供可靠的技术支持,在出现问题时是没有保障的。
4.远程访问
远程拨号网络的扩展较为简单,当前现有的通信服务器还可支持8路线路的扩展,只要购置相应的modem和申请电话线路即可。
2.2.主干网络设计
●Catalyst5000:
中央交换设备采用原有的Catalyst5000,利用其100MBase-T端口加转换器连接外部新增设备。
●Catalyst3000WS-C3016B配置情况:
(原行政楼)
1.10BaseTRJ-45
2.AUI
3.2扩展槽(WS-X3001上行100BSAE-TX)
4.EIA/TIA232console
5.AUIDB15SwitchProbe
路由交换设备(optional)
四10MBaseT端口路由,转发能力在50kpps以上,稳定性好,可靠性高,有一定的filter功能。
●可采用专用路由器,可选品牌设备:
CISCO,Bay,Intel…
●或用PC路由,在低负荷情况下是可行的,但有技术难点,需要测试其转发能力和可靠性。
2.3.低端网络设计
参见布线方案
2.4.应用系统
现有服务器为1台SUN4性能较低,所有应用集中在此机上,一是负载过重,另外给系统安全运行带来了很多不利因素。
因此对改造后的网络应用系统提出了如下构想:
●DNS+Proxy+WWW:
PCSever+NT+IIS,根据当前校内用户数目和上网信息资源量,PC+NT是一种比较经济,有效的结构。
而且微软的NT系统将所有上面提到了应用集成在NT系统里给管理带来了很大方便。
但另一方面需要指出的是NT在安全性和管理角方面有很大不足,需要管理员有较为丰富的经验和完善的监控手段和防范机制,能够在突发事件产生时能够迅速恢复和防止再一次入侵
●FTP+Email+拨号认证:
SUN+Solaris|+Tacacsd,这一组服务主要是对内服务,拨号认证服务需要运行在Unix系统上,因此建议采用如上的结构,根据当前用户情况,FTP服务可综合在一起,如今后负载过重时再分离。
●网管(o):
NT+网管软件,此项为可选,因为以太网的网管虽然不是必须的,但她能够监视网络设备的异常,负载情况和流量。
●BBS(o):
SUN4,原有的服务器过于老旧,如有需求可做为BBS电子公告牌
●图书检索(o):
可建立一个富士通系统的前端机,提供友好的WEB用户界面能够随时检索馆藏书籍的出借和库存情况,当前采用PC+Linux的方式比较好
(注:
o表示optional,是可选的如此次改造不能实现,可在今后的升级中加以实现。
)
3.管理
管理模式上要加强安全方面考虑,和信息流量的控制,
3.1.安全机制
1·
加强主机系统的抗入侵能力,特别对NT类型的服务器系统。
2·
应用系统尽可能分布在不同的主机上,关闭不必要的端口,减少入侵途径,在当前情况下,应本着对内对外的服务应分开,关键和非关键的应用分开的原则,将应用系统合理的配置在主机系统上。
3·
加强对外部用户的访问控制,主要依靠防火墙机制,现在采用的手段是在路由器上设置访问表,和应用静态路由。
4·
按应用需求应划分虚网,控制校内用户,各部门之间的访问权限。
5·
加强监督机制,重视线上用户行为的监视和对系统日志的分析,能够及时发现入侵行为,和找到遭入侵后的解决办法。
6·
恢复备份是系统遭受破坏一种有效的简洁的处理手段,因此对备份工作要重视起来,要做到关键数据一天一次,非变动信息有永久备份,其它信息视情况而定。
备份介质可采用硬盘和磁带。
备份方式能够是更新备份,增量备份和永久性备份。
3.2.流量监控
对主干网络和个分支用户网络实施监控,能够发现网络瓶颈,得到用户访问个信息点的量化数据,掌握用户的不安全行为,能够为网络性能分析和故障诊断提供丰富的事实依据,给网络的综合管理带来极大的好处。
1.网管系统:
能够在各主要网络交换设备上采集到当前设备的工作状态,掌握各虚网之间的数据流量,和交换设备的各端口的负载情况。
2.网络分析设备:
能够在主干网上监视各网段上的包情况,其中包括:
●通讯包总量,丢包率
●包成分,及其所占比重,如IP,IPX.
●各应用包的分配情况:
如Ip包中tcp和udp包的百分比,tcp包中telnet,ftp,http等包的比重。
●各IP发包的情况,能够判断网络负载和故障诊断。
3.路由器上的流量控制,限制某些网段或者IP地址的访问权限,与PROXY
结合统计用户的出口信息流量。
4.Proxy服务,由于路由器的限制,可采用Proxy的办法满足用户对校园网外甚至是国外的访问需求,而且这种访问是受控的,能够根据用户的帐号,清楚的了解用户对外访问的信息量
5.拨号用户可根据用户认证机制,掌握用户登录时间,从而估算大概信息及资源的耗费情况。
4.预算
项目名称
单价
数量
价格(人民币)
说明
●CiscoCatalyst3000
C3106B$7178
WS-X3001$1943
orIntel100MSwitch
1
50,000
20,000
接行政楼交换设备接入
可选
●SUNUltra10A22
A22-UEA1Y9J-128cG
X7103A
SOLD-2.5.1NOV97-47
X6540A
X6262A
10,000.00
100,000
Email,拨号认证,计费
●CiscoWorksWindows
CWPC-3.1-SNMPConNT$3743
SNMONNT
CWPC-3.1-OVW$2993
HP-openviewOnNT.
4
CISCO网管
●大楼局域网布线
配线架:
50.00
模块面板:
100.00
AT&
T线:
150.00
人工费:
130.00
其它材料:
500.00
180
90,000
新楼内布线
180信息点
含HUB
HayesModem
8
远程拨号网络扩展
●光缆铺设
12芯2,700/km
4芯1,/km
人工+材料12,000/km
光端头:
200/个
跳线:
300/根
30,000
园区网连接
NT4.0中文版
2
20.000
●计费软件onTacacsd
10,000
●100Mtransceiver
BayNetworks
Model514100MBPX
FiberOpticTransceiver
7,500
用于100M接入
●PCSERVER
Compaq/Ps200PII/23332M4,3GSCSI20,000.00
3
60,000
网管平台
DNS+WWW
Proxy
●PCWorkstation
CompaqDP
200MMX/32M/2.1G
V40彩显
12,000
5
开发
●PCWorkstation
200MMX/32SDRAM/3.2G
14”彩显7,000
7,000
20
140.000
机房
●ProxyServer
系统集成
40,000
不可预见费用
总计
690,000
以CISCO价格计算