校园网详细设计说明书Word文件下载.docx
《校园网详细设计说明书Word文件下载.docx》由会员分享,可在线阅读,更多相关《校园网详细设计说明书Word文件下载.docx(36页珍藏版)》请在冰豆网上搜索。
1.5IP地址的分配原则
划分是注意使用VLAN,充分节约IP地址,使用路由交换机上能够采用聚合进行路由合并,减少路由表的大小。
出口到互联网可以采用NAT防火墙上做地址转换实现。
校区接入到同一汇聚层交换机的区域建议采用连续IP地址段,以便做路由汇聚。
IP地址的分配原则如下:
(1)给三层交换机设备互连的点对点IP地址分配1个C类地址,提供足够的扩展性;
(2)考虑到以后的网络扩展规模,二层交换机设备的管理IP地址分配1个C类IP地址;
(3)可以考虑为学校校园网分配若干个C类私有地址段。
服务器集体群和办公楼的IP获取方式为手动分配,其他的均为通过DHCP获取,上网方式均采用NAT方式。
IP地址分配表
1层
2层
3层
4层
5层
8
6
4
51
20
25
10
2
12
学生公寓6栋
24
网络单元
地址段
地址范围
网关
上网方式
IP获取方式
第一教学楼,信息点个数:
34
所有课室
192.168.1.0/24
2~50
192.168.1.1
NAT
DHCP
工业中心,信息点个数:
157
学生机
2~254
教师机
202.96.1.0/24
202.96.1.1
客户端验证NAT
手动分配
服务器群
10.0.0.0/24
2~4
10.0.0.1
行政楼,信息点个数:
95
办公室
202.96.2.0/24
202.96.2.1
会议室
图书馆,信息点个数:
22
电脑
202.96.3.0/24
202.96.3.1
学生公寓5栋,信息点个数:
60
个人电脑
202.96.5.0/24
202.96.5.1
学生公寓6栋,信息点个数:
48
202.96.6.0/24
202.96.6.1
1.6物理/链路层配置原则
1.网络设备互连的物理端口都应该绑定端口的速率和全双工模式;
2.建议所有的VLAN都不要穿透核心层,所有的VLAN都将在汇聚层交换机上终结;
3.本实施方案建议不要启用STP生成树协议,由于所有的VLAN都已在汇聚层交换机终结,在二层上并没有环路存在,故无必要启用;
4.汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。
二、网络安全与管理
2.1网络安全
校园网网络安全系统是一个要求高可靠性和安全性的网络系统,若干重要的公文信息在网络传输过程中不可泄露,如果数据被黑客修改或者删除,那么就会严重的影响工作。
所以校园网网络安全系统安全产品的选型事关重大,一旦被遭受黑客攻击病毒的侵袭,将会给该学校正常的教学及业务带来严重的影响。
该校园网网络安全系统方案必须遵循如下原则:
全局性原则:
安全威胁来自最薄弱的环节,必须从全局出发规划安全系统。
设计时需考虑统一管理的原则。
综合性原则:
网络安全不单靠技术措施,必须结合管理,当前我国发生的网络安全问题中,管理问题占相当大的比例,因此建立网络安全设施体系的同时必须建立相应的制度和管理体系。
均衡性原则:
安全措施的实施必须以根据安全级别和经费限度统一考虑。
网络中相同安全级别的保密强度要一致。
节约性原则:
整体方案的设计应该尽可能的不改变原来网络的设备和环境,以免资源的浪费和重复投资。
2.1.1威胁网络安全因素分析
归纳起来,针对网络安全的威胁主要有:
1.软件漏洞:
每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。
这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。
2.配置不当:
安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。
对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。
除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
3.安全意识不强:
用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
4.病毒:
目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。
计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。
因此,提高对病毒的防范刻不容缓。
5.黑客:
对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。
电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。
从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
2.1.2网络安全防范措施
1.防火墙(FireWall)技术
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。
它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
由于它简单实用且透明度高,可以在不修改原有网络应用系统的情况下,达到一定的安全要求,所以被广泛使用。
据预测近5年世界防火墙需求的年增长率将达到174%。
2.数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息、的真实内容的一种技术手段。
数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。
数据存储加密技术是以防止在存储环节上的数据失密为目的,可分为密文存储和存取控制两种;
数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密两种方法;
数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
数据加密在许多场合集中表现为密匙的应用,密匙管理技术事实上是为了数据使用方便。
密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。
数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。
另外,它也广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,这对信息处理系统的安全起到极其重要的作用。
3.系统容灾技术
一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。
因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。
此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。
这就要求即使发生系统灾难,也能快速地恢复系统和数据,才能完整地保护网络信息系统的安全。
现阶段主要有基于数据备份和基于系统容错的系统容灾技术。
数据备份是数据保护的最后屏障,不允许有任何闪失。
但离线介质不能保证安全。
数据容灾通过IP容灾技术来保证数据的安全。
数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。
本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。
二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。
集群技术是一种系统级的系统容错技术,通过对系统的整体冗余和容错来解决系统任何部件失效而引起的系统死机和不可用问题。
集群系统可以采用双机热备份、本地集群网络和异地集群网络等多种形式实现,分别提供不同的系统可用性和容灾性。
其中异地集群网络的容灾性是最好的。
存储、备份和容灾技术的充分结合,构成的数据存储系统,是数据技术发展的重要阶段。
随着存储网络化时代的发展,传统的功能单一的存储器,将越来越让位于一体化的多功能网络存储器。
4.漏洞扫描技术
漏洞扫描是自动检测远端或本地主机安全的技术,它查询TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息
2.2网络管理
2.2.1网络管理的内容
根据OSI管理模型,国际标准化组织在ISO/IEC7498-4中定义了网络管理的五大功能。
这五大管理功能分别是故障管理、计费管理、配置管理、性能管理和安全管理。
故障管理是网络管理的最基本功能,指系统出现异常情况下的管理操作。
计算机网络服务发生意外中断是常见的,这种意外中断在某些重要时可能会对系统带来很大的影响。
异常情况通常由网络中设备损坏或环境的影响所引起。
一旦故障出现,可以根据网络管理数据库中的信息确定其原因和位置,然后采取措施进行修复,保障网络正常运行。
计费管理负责记录系统资源的使用情况并统计相应的使用费。
通过计费系统,对于需核算网络费用的单位,可以统计实际费用的发生情况;
而对于免费使用网络资源的单位,也可以限制用户对网络资源的过度使用。
通过计费系统对网络使用情况的统计分析,可以评价网络的性能及使用效率,作为网络改造的依据。
计费管理系统记录网络运行情况和用户使用资源的信息,网络管理中心据此计算用户应付的费用。
为了保证计费功能的实现,网络管理中心必须具有用户管理的能力,包括用户费用限制、增加、删除用户和修改用户参数等。
配置管理就是设定、收集、监测和管理网络设备配置数据,使得网络性能达到最优。
配置管理的数据包括网络设备的容量和属性,以及它们之间的关系。
配置管理的内容包括设置系统参数、初始化和关闭系统资源、根据请求向用户开放系统的特定资源等。
此外,随着网络系统中用户、设备,以及应用的变化,对相关参数进行动态调整。
性能管理主要是通过收集和统计网络运行数据,对网络资源的运行状况和通信效率等进行评价。
网络性能的好坏是网络中各种因子综合影响的结果。
对网络性能的评价结果是进行网络配置调整的基本依据。
2.2.2网络管理的手段
根据选用的设备,采用锐捷的管理方案,方案的特点和价值。
业界率先全面支持万兆、IPv6
锐捷网络NPE、ACE、防火墙、IDS等出口设备全面支持万兆和IPv6,既满足了性能要求,又预留扩展性,而且可以兼容任何厂家的交换机设备,有效的保护用户投资。
基于用户的流量控制
ACE支持带宽嵌套功能,能为每个用户定制带宽策略,保障校园网每个用户在全速下载P2P、迅雷时仍能高速上网。
ACE与SAM结合,还可以真正实现基于用户的流控,流控策略对应到用户身份。
门户网站保护
WebGuard用以保护门户网站,防网页篡改。
同时防止网站挂马,避免高校网站成为木马病毒传播源。
WebGuard利用高性能多核架构,提供并行处理,支持在校园网出口部署,一站式保护各院系网站。
并能实现“零配置”运行,简化部署。
灵活的计费策略
流控与认证相结合,构建出灵活的计费策略。
包括按流量计费、包年(月)限带宽。
在计费的同时,为用户提供不同的服务,提高用户体验。
2.4电源系统
本工程供电系统采用三相五线制,采用镀锌线槽下走线方式,由甲方从大楼总配电室引一路BV4*75+1*35电缆接入市电配电柜。
配电柜在进线空气开关后端分别安装德国OBO/V25/V20防雷器与消防联动控制开关,防雷器保护电器不受雷电和开关误操作引起的瞬态过压损坏。
将电源防雷器安装在配电柜中总开关前端,这样既节省空间,又起到了美观、易维护的作用,防雷器中的地线就近接到大楼的防雷地上。
各个设备机柜均内采用独立回路供电并有备用回路。
配电柜中开关均采用梅兰日兰开关,这种开关性能优良,可以保证整个供电系统安全、有效的运行。
机房内主要计算机设备采用单独回路供电,以保证主要设备在供电时相互不受干扰。
UPS电源系统采用两主一备方式供电。
配电柜设电源开关回路,并留有备用开关,为机房以后扩容的备用回路。
其中市电主要负载机房空调、市电用电、UPS、排气扇、空调,市电维修插座等电源,UPS主要负载机房网络机柜、服务器机柜、应急照明等电源。
配电柜内开关使用梅兰日兰C65N系列开关;
配电柜中设立电流表、电压表,供检查电源电压、电流及三相间平衡的关系。
配电柜三相电分别设立电源指标灯,以监控三相电的供电情况,颜色区分按相应标准,并设立标志牌;
配电柜设立工作地线和保护地线端子排,并加标识牌。
配电柜绝缘性能,符合国家标准GBJ232-82《电气设备交接试验标准篇》;
配电柜内的各种电器元件均有相应的标识,以便识别,其编号与设计图纸一致,在每个配电柜的后侧粘贴本柜配置的电气系统图,以便运行使用中的维护与管理。
机房内设有UPS电源三孔插座,并安装部分二三孔市电插座。
UPS电源插座采用蓝色边框面板及地弹插座。
普通插座选用合资“松本”牌,底盒选用86镀锌底盒。
三、服务器的配置
3.1WWW服务器
Linux操作系统+Apache
3.2FTP服务器
Linux操作系统+VSFTPD
3.3mail服务器
Linux操作系统+sendmail
3.4存储技术
根据用户对可靠性的要求,存储技术打算采用RAID5。
RAID5的技术简介:
采用RAID5至少使用3块硬盘(也可以更多)。
当有数据写入硬盘的时候,按照1块硬盘的方式就是直接写入这块硬盘的磁道,如果是RAID5的话这次数据写入会分根据算法分成3部分,然后写入这3块硬盘,写入的同时还会在这3块硬盘上写入校验信息,当读取写入的数据的时候会分别从3块硬盘上读取数据内容,再通过检验信息进行校验。
当其中有1块硬盘出现损坏的时候,就从另外2块硬盘上存储的数据可以计算出第3块硬盘的数据内容。
优点:
RAID5是一种存储性能、数据安全和存储成本兼顾的存储解决方案,可以为系统提供数据安全保障,RAID5具有和RAID0相近似的数据读取速度,只是多了一个奇偶校验信息,写入数据的速度比对单个磁盘进行写入操作稍慢。
同时由于多个数据对应一个奇偶校验信息,RAID5的磁盘空间利用率要比RAID1高,存储成本相对较低。
缺点:
只允许有一块硬盘出现故障,出现故障时需要尽快更换。
当更换故障硬盘后,在故障期间写入的数据会进行重新校验。
如果在未解决故障又坏1块,那就是灾难性的了。
四、网络设备的选型
4.1核心层设备选型
华为S5700-24TP-SI(AC)主要参数
产品型号
S5700-24TP-SI(AC)
产品类型
企业级交换机
传输方式
存储转发方式
传输速率(Mbps)
10Mbps/100Mbps/1000Mbps
背板带宽
(Gbps)
256
地址表大小
16K
产品亮点
支持USB口
外形尺寸
442×
420×
43.6MM
网管支持
支持堆叠,支持MFF,支持虚拟电缆检测(VirtualCableTest),支持端口镜像和RSPAN(远程端口镜像),支持Telnet远程配置、维护,支持SNMPv1/v2/v3,支持RMON,支持网管系统、支持WEB网管特性,支持集群管理HGMP,支持系统日志、分级告警,支持GVRP协议,支持MUXVLAN功能
电压
100-240VAC,50/60Hz
端口参数
端口数
端口类型
非模块化
模块插槽数
1
其它参数
工作稳定
0-50℃
工作湿度
10%-90%(无凝露)
堆叠支持
支持
4.2汇聚层设备选型
∙H3CS1224详细参数
基本参数
H3CH3CS122
千兆以太网,多层
适用范围
中小企业
交换方式
存储-转发
交换容量(Gpbs)
48Gbps
330×
230×
44mm
网络
网络标准
IEEE802.3x、IEEE802.3、IEEE802.3u、IEEE802.3ab
电源电压
100V~240V,50/60Hz
最大功率
40W
支持全双工
是
其它
工作温度:
0-40℃
存储温度:
-10~70℃
工作湿度:
10%-85%无凝结
存储湿度:
10%-90%无凝结
4.3接入层设备选型
H3CE126A详细参数
H3CE126A
智能型交换机
交换容量(Gbps)
19.2
440×
160×
43.6mm
重量(kg)
3
8k
10/100/1000
26
100-240VAC,48-60Hz
0-45℃
10%-90%非凝露
4.4防火墙设备选型
H3CNS-SecPathF100-S-AC主要参数
H3CNS-SecPathF100-S-AC
VPN支持
用户数限制
无
入侵检测
Dos,DDos
300×
220×
42mm
重量
2Kg
控制端口
Consol
管理
支持标准网管SNMPv3,并且兼容SNMPv2c,SNMPv1,支持NTP时间同步,支持Web方式进行远程配置管理
其它功能
支持外部攻击防范,内网安全,流量监控,邮件过滤,网页过滤,应用层过滤等验证
4.5入侵检测系统设备选型
华为赛门铁克NIP1000
简单描述
设备类型:
电信级4探头千兆入侵检测;
检测效率:
100M网络环境下漏报率低于1%;
1000M网络环境下漏报率低于5%,攻击特征:
30大类3000余条规则;
响应方式:
日志记录/ICP连接主动切断/重新配置边缘设备(如交换机,防火墙)/E-mail告警/SNMPTRAP告警
语言版本
中文
版本号
无
版本类型
硬件产品
硬件环境
接口类型:
2个10/100/1000M探测端口(电口),2个1000M探测端口(光口),1个100M管理端口(电口),1个配置串口;
机柜尺寸(宽×
深×
高):
425mm×
652mm×
88mm,满配置时最大重量:
15kg
适用平台
吞吐量:
1G,整机最大功耗:
400W
4.6服务器设备选型
WWW服务器:
联想万全R525G2D55042×
2G/2×
300ANFK
基本资料
R525G2D55042×
300ANFK
机架式
产品结构
2U
处理器
CPU型号
IntelXeon,E5504
CPU主频
2.00GHz
三级缓存
4M
标配CPU数目
2个
最大CPU数目
主板
内存
内存类型
R-ECCDDR3
标配内存
2×
2G
内存插槽数
12
最大内存容量
96G
存储
标配硬盘
3×
300G2.5热插拔SAS硬盘
磁盘阵列
RAID0/1/1E
硬盘热插拔
支持硬盘热插拔
光驱
DVD-RW
软驱
USB软驱
网卡
集成高性能Intel双千兆自适应网卡
工作环境
工作环温度:
10℃~35℃;
35%-80%的相对湿度
电源
750W单电源,支持90-264V/50Hz
尺寸
87.3×
430×
704.8mm
29.5Kg(满配,含包装)
FTP服务器:
联想T350G6
T350G65420×
2/2G×
4/SAS300G×
5/RAID5
塔式
IntelXeon,IntelXeonE5420
2.5GHz
二级缓存
12288KB
4×
5×
SAS300G
Raid5,外插256MBSASRAID卡(有电池)
智能冗余电源
Mail服务器:
标配
升级会员 