校园网络优化设计方案文档格式.docx
《校园网络优化设计方案文档格式.docx》由会员分享,可在线阅读,更多相关《校园网络优化设计方案文档格式.docx(22页珍藏版)》请在冰豆网上搜索。
Keywords:
Campusnetwork;
optimizationside
1学院网络概述
1.1校园网络功能概述
学院网络自2000年-2001年有电信进行初建后学院一次性买断。
网络最初采用二层结构接入层加核心层,一台Cisco4006作为核心4台Cisco1900+及22台Cisco2950作为接入,每栋楼通过1000M多模光纤与网络中心机房进行连接,通过方正Gate100防火墙连接电信100M光纤提供全院互连网接入。
2003年底因冲击波及冲击波杀手病毒发作,在进行有效性论证后对学院网络进行了二次改造,率先引进了三层网络结构方案,并购买了6台S3550汇聚交换机对网络进行了整体改造,同时将原Gate100防火墙升级为FG3000100M防火墙。
2005年学院南院开始建设,南院1、2、3、4、5栋、教学楼共增加了5台S3550汇聚交换机、38台S1926F+接入交换机(部分由学院投资部分由网通公司带资购买)。
网通公司带资南院建设后作为协议的一部分增加了一条100M限80M网通互连网接入,为配合双路接入购买了一支持多路接入的FG8360(IA)1000M级防火墙。
后学院实验楼开始建设在与基础实训中心协商后购买了11台S1926F+接入交换机更换了北院8栋的4台Cisco2950-48,将4台Cisco2950-48使用在实验楼。
2006年学院核心交换设备因在99%负荷下工作了几年,主控电路板坏学院更换了RS6806E核心交换机。
作为1000M级校园网建设我院走在了前面,但因网络因用服务的扩展(电驴、BT、P2P软件、网络病毒的多样化)、学院用户量的增加,同时我院对学生段接入方式采用的为不限流量不限类型,2005年当学院加强机房建设同时可上网PC的大幅度降价(普通PC价格只需2500元),用户量增加学院网络出现了在高峰期网络延时大及断线情况。
用户量增加及网络应用多样化,学院两条出口电信100M及网通80M使用率分别到了99M及77M出口带宽严重不足。
用户量增加及网络应用多样化,学院FG8360X86级防火墙并发延时处理因使用的为CPU轮寻处理,CPU负荷长期处于80%-96%,2005-2006年方正公司虽对防火墙进行了多次处理未达到优化效果,2006年防火墙更因负荷过重原因损坏反厂维修时间达4个月之久。
核心交换机设备陈旧原Cisco4006核心交换机作为我院核心交换设备CPU使用率99%已工作3年,现个大学只做为三层设备甚至已淘汰不使用,后核心交换机负荷过重损坏后已更换。
接入交换设备功能不强,对用户的可控性及网络可控性不强,设备的处理能力不佳在接入交换机上起任何控制都会导致交换机死机。
学院内应用服务服务器无,用户大量资源及在线电视都是由公众网获得重复下载占用出口带宽。
为了进一步推动学校信息化建设,打造全国一流的高职院校,学校现打算对现有的校园网进行改造,目标是把学校校园网建设成为“高速、稳定、安全、可控、可管”的全数字化校园网,这样以便更好的为教师和学生提供更好的学习、生活环境。
1.2网络系统
学院采用接入层、汇聚层(分布层)、核心层三层模式。
1.接入层的主要设备是锐捷S2126、1926+系列以及cisco的2950.
2.汇聚层主要使用锐捷S3760、S3550,其中S3550是一款应急产品实际上和S2126是一个系列,并不具备做汇聚层应有的带宽。
3.核心层使用的是飞塔的FG-3016B是款企业级千兆防火墙,退下来的FG8360(IA)1000M级防火墙未启用。
核心交换机使用的是锐捷S6068E具有0.8T的背板带宽,286Mpps的包转发率。
以下防火墙的部分参数(FG-3016B)
项目
FG-3810A
FG-3600A
FG-3016B
FG-1240B
FG-1000A/FA2
防火墙性能
7-48Gbps
6-10Gbps
16-20Gbps
40-44Gbps
2Gbps
VPN性能
1-19Gbps
0.8-3.8Gbps
12-15Gbps
38-42Gbps
400Mbps
最大并发会话
2M
1M
600K
每秒新建会话
40K
25K
100K
15K
VPN隧道数
64K
20K
10K
防病毒性能
500Mbps
300Mbps
450Mbps
200Mbps
IPS性能
4Gbps
3Gbps
1.5Gbps
1Gbps
最大策略数
学院大部分交换机的参数
R-S6806
R-S3550-12G
R-S3760-24
R-S3550-24
R-S2126
产品类型
万兆核心交换机
三层千兆交换机
二层交换机
背板带宽
0.8Tbps
48Gbps
37.6Gbps
12.8Gbps
包转发率
286Mpps
18Mpps
9.6Mpps
6.6Mpps
接口类型
视模块
GBIC接口
4个SPF、4个千兆、24个百兆
24个百兆、2个SPF
24个百兆
接口数目
12口
32口
传输速率
10/100/1000Mbps
10/100Mbps
传输方式
存储转发
网管功能
SNMP、SSH等
1.3服务系统
启用的:
两台邮件服务器(一主一备份)、两台web服务器(一主一备份)、一台计费服务器、一台认证服务器、一台DHCP服务器。
一台DNS(未启用)、两台资源服务器(刀片服务器大概1.5T的总硬盘容量),以及一台做镜像的服务器等。
学校大概16个公有IP。
1.4布线系统
学校都是采用单链路结构,无冗余链路。
千兆光纤到栋楼设备间,网管中心到南院各楼栋设备间采用单模。
网管中心到北院各楼栋设备间采用多模光钎。
工作间实现双绞线100M到桌面。
2平台优化
2.1校园网优化思路
平台优化。
资源整合。
整合目前零星的网络应用以及能用的硬件资源,在网络平台的基础上,建立校园内网资源服务。
2.2拓扑优化
学校现在的网络拓扑结构
改造后网络拓扑图
学院现有的出口带宽是400M(3根100M电信,一根100的网通)。
1.方正FG8360走一根电信100M,主要负责家属区和北院教学区及办公区的上网。
2.飞塔FG3016B走2根300M(200M电信,100M网通)。
负责北院2栋、3、栋、4栋、5栋、8栋以及南院1-7栋的上网。
在防火墙上启用IPSEC隧道与东院建立VPN连接,彻底解决两校区的互访问题。
3.利用双防火墙与核心交换机和扩展核心交换机实现冗余,锐捷3550-12G是款全千兆交换机拥有48Gbps之前做过临时核心.考虑到家属区和教学区主要的网络流量是访问Internet网以及学校邮件服务器.并没有特别频繁的内部文件互传,所以不会需要很高的带宽。
使用单独出口可以保持上网带宽的稳定性不会因为学生上网高峰而影响到办公。
同时也简化了流量不用再经过核心,减少了核心的负荷。
通过扩展核心直接与各服务器相连提高了访问速度。
4.核心冗余使用浮动路由实现。
2.3流量优化
2.3.1合理的vlan和ip规划
建定IP子网的聚合点,聚合点以下采用连续的子网划分。
使聚合点向核心路由交换机通告最少的路由。
根据IP子网的规划,对交换机进行VLAN的规划和划分。
建立VLAN和IP子网的对应关系。
IP地址的分配必须采用VLSM技术,充分合理利用已申请的地址空间,保证IP地址的利用效率,采用CIDR技术,减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
在三层路由交换机建立相应的VLAN以及与VLAN绑定的IP子网网关。
vlan规划。
一台交换机一般供一层楼处在同一个vlan内,经常会因为一个人的电脑中病毒或搞各种攻击导致整层楼上网很慢甚至断网。
实际上个寝室之间的通信并不频繁。
为了解决这个问题我们可以在原有基础上划分多个vlan再结合之后要做的网络广播控制,这样一来个人搞ARP攻击无异于自杀。
ip的规划。
家属楼1-7栋使用的vlan17—vlan23对应的网段是172.16.17.0/24—172.16.23.0/24
考虑到扩展划分的是:
172.16.0.0/24—172.16.31.0/24
教学楼使用的vlan65—vlan66对应的是172.16.65.0/24—172.16.66.0/24
172.16.64.0/24—172.16.95/24
而图书馆使用的却是vlan101,网段172.16.101.0/24
由于当初的过高的考虑扩展需求浪费了太多ip,根据改造后的拓扑,以及实际需求可以将家属区、教学楼、图书馆合并成:
172.16.0.0/19(172.16.1.0/24—172.16.31.0/24)
2.3.2路由优化
学校现在部分路由:
缺省路由:
iproute0.0.0.00.0.0.0GigabitEthernet3/2172.16.2.1
家属1-7栋:
iproute172.16.16.0255.255.248.0Vlan110.0.0.230
图书馆:
iproute172.16.32.0255.255.240.0Vlan110.0.0.230
北院教学区:
iproute172.16.64.0255.255.224.0Vlan110.0.0.190
南院教学区:
iproute172.16.101.0255.255.255.0Vlan110.0.0.50
南院五栋:
iproute172.16.160.0255.255.248.0Vlan110.0.0.50
以下的是给教师宿舍及楼栋:
南院一栋:
iproute172.16.106.0255.255.255.0Vlan110.0.0.10
iproute172.16.128.0255.255.248.0Vlan110.0.0.10
南院六栋:
iproute172.16.108.0255.255.255.0Vlan110.0.0.60
iproute172.16.168.0255.255.248.0Vlan110.0.0.60
北院八栋:
iproute172.16.102.0255.255.255.0Vlan110.0.0.170
iproute172.16.208.0255.255.248.0Vlan110.0.0.170
上面我们已经做过了ip重新规划,比如南院一栋教师宿舍的vlan106对应的172.16.106.0/24网段,每一栋都留有备用。
用备用网段取代原网段
优化方案:
家属1-7栋、办公楼、图书馆:
iproute172.16.32.0255.255.240.0Vlan110.0.0.230;
南一栋及教师宿舍:
iproute172.16.106.0255.255.255.0Vlan110.0.0.10
南五栋及教学楼:
南六栋及教师宿舍:
iproute172.16.108.0255.255.255.0Vlan110.0.0.60
北八栋及教师宿舍:
iproute172.16.102.0255.255.255.0Vlan110.0.0.170
2.3.3提升设备使用率,优化流量
P2P应用消耗了大量的网络带宽,对某些P2P要进行完全的限制(如电驴、电骡、迅雷)
由于没有流控设备。
只能用交换机实现,
①限制带宽
例如:
使用交换机的QOS实现限速,学校的S2126及以上都可以实现,
那我寝室来说6个人上网,网段:
172.16.150.0/24。
接口:
interfacefastEthernet0/22
配置如下:
ipaccess-listextendedxiandan配置ACL
permitipany172.16.150.00.0.0.255
denyipanyany
class-mapfanfan设置分类映射图
matchaccess-groupxiandan匹配ACL
policy-map1m设置策略映射图
classfanfan匹配分类映射图
police100000065536设置限制带宽1Mbps,猝发流量65536byte
InterfaceFastethernet0/2进入F0/2,交换机的上行端口(出口)
mlsqostrustcos启用QoS
service-policyinput1m对输入带宽生效
②限制UDP范围
通过缩小端口取值来减少连接数,比如迅雷一般有几百条链接,也就开启了几百个UDP端口,而如果我们不用迅雷有几百个端口就够用了。
可以设定把UDP端口大于2000的数据全部丢弃,这样限制了一些使用当对于提高网速极其有用,但会照成个别应有无法正常使用。
所以还需要额外的允许某些特定端口通过。
③控制广播包
学院网络的数据处理方式是:
接入处理不了的往汇聚丢、汇聚处理不了则往核心丢容易照成过多的广播包,以及一些中病毒的电脑不断的发广播包,极大的占用了资源.ACL则可以解决这一问题,锐捷S2126G只能做进接口的ACL。
于是选择把ACL做在汇聚上。
若网段为145到150配置应用到汇聚对下的trunk。
ipaccess-listextendednet
denyipany172.16.145.2550.0.0.0
denyipany172.16.146.2550.0.0.0
denyipany172.16.147.2550.0.0.0
denyipany172.16.148.2550.0.0.0
denyipany172.16.149.2550.0.0.0
denyipany172.16.150.2550.0.0.0
permitipanyany
④动态地址配置
对于学生区使用DHCP服务器动态分配给客户端分配IP地址、DNS服务器、网关等配置信息。
并且接入交换机配合RG-SAMII认证计费系统,实现以下地址管理:
对于静态分配地址的用户,只有用预先分配的IP地址才可以上网;
对于动态分配地址的用户,只有通过DHCP方式获得IP地址才可以上网;
获得有效IP地址上网后,试图修改IP地址,均会自动与网络断线;
以上手段,保证了IP地址不会冲突,因而可以对IP地址资源的使用进行有效的管理和控制。
教学区以及办公区为了稳定起见,在DHCP服务器的基础上对三层交换机启用DHCP服务,保证在DHCP服务器出现故障的情况下依旧能获取到IP地址、DNS服务器、网关等配置信息。
servicedhcp开启交换机上DHCP服务
ipdhcppoolvlan88地址池名称
network172.16.88.0255.255.255.0分配地址池网段,掩码
dns-server202.103.96.112默认DNS服务器地址设置
default-router172.16.88.254默认网关设置
leaseinfinite租期:
永久
exitipdhcpexcluded-address172.16.88.254排除ip172.16.88.254
3安全优化
3.1ARP攻击
1.ARP攻击:
ARP欺骗
ARP欺骗者:
发送虚假的ARP请求报文和响应报文,报文中的源IP和源MAC均为虚假的,或错误的网关IP和网关MAC对应关系,扰乱局域网中各PC以及网关中保存的ARP表,使得网络中的合法PC正常上网、通讯中断,并且流量都可流入到攻击者手中。
2.ARP欺骗的防范:
利用交换机端口ARP检查安全功能:
打开ARP报文检查ARP报文中的源IP和源MAC是否和绑定的一致,可有效防止安全端口上欺骗ARP,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
利用ANTI-ARP-SMOOFING功能:
防范交换机下连口的终端设备冒
3.充网关的ARP欺骗。
下面是接入交换机防ARP攻击的几种常见方式:
静态地址+ARP-Check
手工在接入交换机上输入用户的MAC和IP,进行绑定
锐捷2126G对报文的源地址进行检查,对非法的攻击报文一律丢弃处理该操作不占用交换机CPU资源,直接由端口芯片处理
弱点:
不适合与DHCP方式;
不适合大规模部署;
不适合笔记本用户;
需要大量占用交换机的ACE资源
DHCP+ARP-Check
网络必须采用DHCP动态获取地址如果接入交换机存在多个VLAN,则需要使用Option82技术用户通过DHCP获取地址时,21交换机会读取相关的DHCP报文,获取用户的MAC和IP的信息在交换机上进行绑定。
(DHCP-Relay+Option82)
锐捷2126G对报文的源地址进行检查,对非法的攻击报文一律丢弃处理。
该操作不占用交换机CPU资源,直接由端口芯片理。
DHCP协议本身存在私设服务器,泛洪攻击等问题,如果是原来没有使用dhcp技术,专门为了解决ARP欺骗而引入该技术;
由于高教网络复杂,通常接入存在多个网段,且在面向数万人部署时,DHCP压力也非常大。
所以该方案并不适合高校的大规模部署。
SAM+ARP-Check
网络中有SAM,必须是全部的身份认证环境,锐捷2126G交换机在认证过程中读取SAM报文,获取到用户的MAC和IP信息,进行绑定,不占有交换机资源
锐捷2126G对报文的源地址进行检查,对非法的攻击报文一律丢弃处理。
该操作不占用交换机CPU资源,直接由端口芯片处理。
该方案有身份认证的环境中,非常适合。
不受地址获取方式,网络规模等限制,适于大规模部署。
非常适合于湖南信息职业技术学院目前的情况下彻底解决ARP攻击问题。
3.2IP/MAC欺骗攻击
1.MAC欺骗:
盗用合法用户的MAC地址,侵入网络,使得正常用户无法上网;
2.IP欺骗:
盗用合法用户的IP地址,使得到合法用户的通讯得不到响应,造成Pingofdeath,和ICMP不可达风暴;
不断修改IP,发送TCPSYN连接,攻击Server,造成SYNFlood。
防范:
交换机端口安全:
端口静态绑定;
交换机整机绑定IP和MAC地址;
DHCP动态绑定;
802.1x;
检查IP报文中源IP和源MAC是否和交换机中管理员设定的是否一致,不一致,报文丢弃,并发送告警信息。
3.3DoS/DDoS欺骗攻击
Dos攻击:
占用网络带宽,占用服务器提供的服务资源,表现为合法用户的请求得不到服务的响应,被攻击方的CPU满负荷或内存不足。
攻击报文主要是采用伪装源IP。
RFC28227的入口过滤规则。
3.4STP攻击
发送虚假的BPDU报文,扰乱网络拓扑和链路架构,可以导致整个校园网瘫痪。
使用交换机具备的BPDUGuard功能,可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。
从而防范用户发送非法BPDU报文。
对于接入层交换机,在没有冗余链路的情况下,尽量不用开启STP协议。
3.5IP扫描攻击
许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也急剧占用网络带宽,导致正常的网络通讯无法进行。
防IP扫描:
检测用户、隔离用户(发日志信息)、恢复通讯(发日志信息)
被监控的攻击主机数量、隔离用户的时间都可以根据网络实际状况设置。
4管理控制
4.1交换机的网络管理问题
网络管理可以说是网络中最薄弱的一个环节,因为一旦攻击者登录交换机,那么交换机配置的所有安全防范措施则化为乌有,因此必须重视交换机管理安全。
1、一般的网络管理协议:
SNMPv2,Telnet,Web等都是明文登录和传输信息的。
因此,尽量使用SSH、SNMPv3等秘文传输方式
升级会员 