学校信息化整体解决方案Word格式文档下载.docx
《学校信息化整体解决方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《学校信息化整体解决方案Word格式文档下载.docx(130页珍藏版)》请在冰豆网上搜索。
5
11
教学楼
18
培训楼
32
27
22
16
宿舍
148
74
食堂、多媒体
111
合计
782
418
总计
1200
实训楼:
从一楼机房布放光纤到每一栋楼的每一楼层弱电间,在每一个弱电间通过1:
8分光器将1芯光纤分成8芯光纤,分别接若干台纯宽带MDU设备解决宿舍宽带上网。
教学楼宽带:
从一楼机房布放光纤到每一层弱电间,弱电间放置千兆交换机解决办公宽带上网,对于同一楼层数据信息点较多的情况,采用堆叠交换机互联解决。
培训楼宽带、语音:
在每一栋楼第一层弱电间集中放置若干台语音型MDU(配备蓄电池)解决办公楼电话需求,同时布放第一层楼弱电间至楼上每一层弱电间之间的五类线,在每层楼弱电间放置语音配线架用于弱电间内纵向线缆与楼层横向线缆的跳接。
四、网络架构概述
4.1需求分析
根据XXX旅游管理学校网络设计思想及其应用需求,在总体的设计上采用网络与业务分层建设,逐层保护的指导原则,利用宽带IP技术,保证网络的互联互通,提供具有一定的QOS保障,建成的网络以IP为主流技术。
为保证新建校园网业务的快速传输,采用千兆主干,用户线速百兆交换到桌面。
核心层BRAS设备需采用先进的架构设计,支持NAT、VPN和一定的安全防御功能,保证网络系统的稳定和安全。
建设后的校园网设计方面应充分满足以下几个方面:
高性能、多业务
随着IP电话、视频会议、网上业务、远程教学、电子邮件系统等业务的应用,该网络需要承载各种信息流。
高速网络是校园网络发展的必然方向,网络应该运用当今最先进的技术,并且应该满足今后若干年的性能需求。
因此,
1.核心层高速互联,支持向万兆骨干网络的平滑升级、多业务扩展、百兆接入应该成为XXX旅游管理学校校园网建设的基本要求。
2.支持多种应用:
建设后的校园网是融合多种应用如数据、IP电话、视频等的网络,网络在建设之初就应该考虑对多业务的支持。
3.对于一个大型的局域网络来说,VLAN的灵活划分是非常重要的功能,它为限制全网范围的广播、减少不必要的流量提供了有效的手段,特别是考虑与XXX运营商网络的融合,需注意VLAN重复使用的问题,本次方案设计核心采用QINQ的双层VLAN传输方式与XXX端城域网设备对接,以便更好的进行用户的区分。
高安全性
随着XXX旅游管理学校信息化建设的不断深入,在学校网络迅速壮大并推动业务快速发展的同时,也使学校网络面临着更加严峻的挑战:
网络安全与网络管理日益成为关系到学校可持续发展的重大因素。
目前常见的网络安全隐患主要来自以下一些方面:
1.网络级攻击:
窃听报文,IP地址欺骗、源路由攻击、端口扫描、拒绝服务攻击;
2.应用层攻击:
有多种形式,包括探测应用软件的漏洞、"
特洛依木马"
等;
3.系统级攻击:
操作系统的安全漏洞对内部网构成安全威胁。
另外,网络本身的可靠性与线路安全也是值得关注的问题。
所以,建成的学校网络系统应具有良好的安全性。
可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
校园的网络应该是当前先进的,并能够通过后续的升级不断的支持新技术的网络。
网络易管理、易维护
学校网络系统规模大、接入用户多,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护,同时需满足学校和XXX运营商对学生上网记录、认证收费可查、可管的要求。
这需要一套好的网管的支持,网管系统应该提供友好的中文界面,提供拓扑管理、故障管理和认证计费等功能。
4.2网络解决方案
主干网络实现千兆骨干线路,所有区域实现千兆到汇聚。
学生宿舍楼汇聚设备采用华为OLT高端设备MA5680T;
教学楼、食堂、培训楼及服务器汇聚交换机采用华为S9306交换机。
接入交换机采用支持堆叠的千兆H3CS2000-EA交换机,结合H3C网络接入、汇聚、核心设备的安全特性,实现对于用户进行访问权限控制、病毒等非法报文控制等安全策略。
整网实现中心机房到教学楼千兆骨干,百兆接入设备的能力,整体组网如下:
网络拓扑图
接入层是边缘设备、终端站和IP电话接入网络的第一层。
健壮的接入层提供以下主要特性:
●链路汇聚(以太网通道或802.3ad)高可用特性,提供更高的带宽利用率,同时降低复杂性,汇聚的链路之间在故障发生时,正常链路可承担起所有网络流量
●为满足校园网络用户的百兆接入需求,所以端口必须支持线速转发,硬件识别和处理各种应用业务流,所有端口都具有单独的数据包过滤和区分不同应用流的能力,并根据不同的流进行不同的管理和控制
●使用QoS为关键任务网络流量分发优先级,从而靠近网络入口对流量进行分类和排队,提供多样的队列调度满足高级QoS、更为精细的流分类、限速粒度和组播服务,实现网络控制和带宽优化
●安全服务,通过配置802.1x、端口安全性、DHCP侦听、动态ARP检查及IP源保护等工具来增加安全性,从而更有效地防止非法网络访问
●为网络提供了更多的智能特性,如基于策略的VLAN、支持基于端口/流/MAC/VLAN镜像、增强的ACL和端口安全功能等
●支持设备堆叠功能,提供多种灵活的堆叠方式,满足用户不同场合的需求
接入交换机使用H3CS2000-EA千兆二层交换机,提供24/48个百兆以太网端口(2个复用千兆SFP端口)和强ARP防御功能(适合校园网规模部署),采用千兆单模光纤链路与汇聚交换连接;
本次接入设备部署在各个楼栋弱电间,根据实际信息点数进行堆叠。
在线路连接上,所有接入设备通过单模与核心设备连接,部分原有线路根据距离和信息点分布采用光电转换器+单多模光纤模式连接。
在网络核心部署一台华为MA5200G网关,用于DHCP服务器、认证、计费、端口限速等功能;
在网络出口部署一台高性能华为Eudemon1000E-U5防火墙连接XXX城域网,实现NAT地址转换、安全访问控制等功能;
在网络出口部署一台华为AR2220路由器连接教育网。
MA5200G是华为网络推出的一款具有大容量、高性能、强业务融合和业务智能处理与控制能力的多业务控制网关,定位于NGN/3G承载网的核心层边缘,是IP网络从承载单一的互联网业务向承载数据、语音、视频、3G、NGN等业务的关键设备。
MA5200G具有强大的认证功能,可以实现按流量计费、支持多种计费策略,同时可以实现监控全网的出口流量,同时其旁挂式的方式大大提高了网络的安全性,避免了在出口产生流量瓶颈的问题。
互联网出口采用华为Eudemon1000E防火墙,Eudemon1000E系列产品是华为公司针对大流量安全业务需求的应用,推出的新一代多功能安全网关,可广泛应用于运营商、金融、能源、高校等大型机构的网络,在高性能、高可靠性、高可扩展性、高可维护性四个方面为用户提供了技术领先的解决方案。
全新的多核硬件架构设计,成熟可靠的VRP软件平台,结合硬件级和软件级的可靠性支持,保障用户的网络不会受到业务中断的影响;
开放的系统架构可支持对多种物理接口和软件功能的扩展,可以有效保障用户的前期投入,不断的为用户提升产品价值;
提供多种管理和维护方式,既可以简便有效的管理设备,又可以实现问题和故障的快速定位,使用户的维护工作变得简单轻松。
同时,Eudemon1000E系列产品将GTP协议安全防护功能通过模块的方式融合到产品中来,使得Eudemon1000E系列安全网关可以解决GTP协议在传输的过程中遇到的安全风险,为运营商用户提供有效的GTP协议安全防护的解决方案。
AR2220是华为网络推出的一款支持路由、交换、3G、语音、安全等功能特性,实现业务多合一。
3G:
全面支持CDMA2000EV-DO、WCDMA、TD-SCDMA的3G标准,保证各种网络的灵活接入;
通过NQA技术,可以实时监测链路状态,保证SLA;
提供企业业务的链路备份,提高业务接入的可靠性;
支持3G链路上建立安全VPN,保证业务安全传输。
LTE:
未来支持3G网络向LTE的演进,保护客户投资。
光纤接入:
支持千兆以太光接口和CPOS光接口,灵活匹配网络接入;
1G以上的带宽,充分满足语音等业务高质量大带宽传输的需求。
铜缆接入:
接口类型丰富,支持xDSL、E1/T1、串口、ISDN,保护用户投资;
上行接入速率丰富,从64Kbps到1Gbps,客户可以根据业务需求灵活选择。
MA5680T是华为高端光接入设备,具有超强的接入与汇聚能力,下行方向支持以GE接口级联其他接入设备;
上行方向则支持以GE或者10GE的接口连接到IP/MPLS网络,也支持直连方式双归属到BRAS设备。
MA5680T产品具备多种卓越并且丰富的功能特性,例如:
支持8端口GPON单板,支持GPON系统1:
128分光比,支持1588V2时钟(BC模型),支持高密度GE汇聚、多GE/10GE上行。
4.3网络规划建议
4.3.1IP地址规划
IP地址的合理规划是网络设计中的重要一环,计算机网络必须对IP地址进行统一规划并得到实施。
IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。
具体分配时要遵循以下原则:
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址;
简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址的连续性
灵活性:
地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。
当网络以私网地址分配或采用混合网络地址接入时,网络应提供地址变换功能,过滤掉私网地址。
根据本次项目的实际情况,IP地址的具体规划需参照信息主管部门的规范,若规范尚未制定,可灵活选择IP地址。
建议选用A类私网(10.0.0.0—10.255.255.254)地址,为未来提供足够的IP地址空间。
具体的IP地址规划内容可在与售后工程师具体协商后确定,但应遵循上述的原则。
4.3.2VLAN设计
VLAN可以实现将连接在同一个物理网络上面的主机分组,使它们看起来就象连接在不同的网络上一样。
可以通过VLAN为网络分段,各个网段可以共用同一套网络设备,节约了网络硬件的开销,同时在迁移中所需的工作量也大幅度降低了,从而降低了连网成本。
在大型局域网络组建中,VLAN技术是不可缺少的关键技术,科学的VLAN设计可以为局域网络带来一系列的优点:
在同一个物理网络实现第二层工作组划分,实现不同工作组之间第二层的完全隔离,同时,组员可以处在物理网络中的任何位置,不受同一台设备限制;
隔离广播,提高效率,避免不相关的广播帧在全网扩散,浪费有效带宽资源;
在局域网系统中,建议基于IEEE802.1Q标准实现VLAN,在分行VLAN设计中,使用VLAN技术达到两个目的,第一,不同业务部门之间的隔离和通信控制;
第二,广播范围抑制。
VLAN的划分可以依据内外网用户和不同的业务部门以及用户所处网络的物理结构进行,后者主要是从网络性能角度出发,而前者还同时兼顾了网络安全性可控性的需要。
从广播控制角度出发,为了保障网络的高可用和高性能,按照惯例原则,我们在进行具体VLAN规划时,同一个广播域内(一个VLAN)的通信主机一般不超过50台,最好控制在30台以内,对于主机数量超过50的业务部门,我们通过二层隔离,三层交换的方式来解决。
作为特殊VLAN的典型,建议保留VLAN1作为管理VLAN,管理VLAN覆盖到全网的每一台交换机,但在第三层接口上,需要通过控制列表与其他业务VLAN进行有效的隔离。
网管工作站建议另外设置一个VLAN,例如VLANID=4000,VLAN4000与VLAN1在第三层上相通,同时,保证只有部分业务VLAN可以访问VLAN4000,从而实现网管的分布式监控布局。
VLAN1和VLAN4000的第三层路由接口处设置访问控制列表,只有特定的主机或者只有网管VLAN可以直接访问每一台设备,其他均在过滤之列。
网络的VLAN规划,在明确其网络资源访问权限分配的具体要求后,我们可对网络具体划分不同的权限、VLAN等其它的安全策略。
4.4网络安全设计
4.4.1总体安全设计
本部分主要介绍在本方案主要涉及的主要网络设备上,如何最大程度实现校园网整体安全,来最大程度的保护学校数字财产,为师生、社会提供安全的访问环境。
下图是对我们从基础的硬件设备来控制安全的一个思想流程:
首先,当一个用户接入我们的网络中时,我们应该确认其身份的合法性,在我们的接入层交换机中,就可以实现用户IP、MAC和交换机端口三元素绑定,而如果结合我们的SAM认证计费软件系统的话,可以实现用户帐号,IP、MAC、VLANID、交换机端口和交换机IP六元素绑定功能,深度检测用户的合法性。
当确认了用户身份的合法性后,我们需要进一步确认其网络行为的合法性,这其中包括一些网站的浏览或者一些网络程序的运行等等的管理和限制,比如我们不希望图书馆办公人员在上班时间上QQ,不希望电子阅览室里的同学玩网络游戏,这些功能都可以通过我们的交换机通过“深层次的内容识别”的功能来实现,而并不需要再购买额外的管理软件或通过行政手段干预。
通过以上功能可以使本地接入网络的用户的安全性得到很好的保障,但是对于网络中的病毒和攻击,我们则采用了网络设备本身强大的访问控制列表来防范,华为的交换机不仅支持标准的IP和MAC的ACL,还支持扩展的ACL,基于时间的ACL以及业界领先的专家级ACL,并且这些ACL功能都是通过硬件芯片来实现,完全不会对CPU造成任何的负担。
所以可以看到,在“冲击波”,“震荡波”泛滥的时期,华为的产品依然能以其优越的性能保障着用户的安全和业务的畅通。
当然,在保障整个网络系统的安全的同时,对于网络设备本身也需要一定的安全保障措施,华为对于产品自身的安全性也做了周密的考虑,首先我们的产品不仅支持SNMP版本1和版本2,还支持SNMP版本3,即不仅将传送的信息加密了,而且能让接收方验证用户的申请,对每个申请进行复杂而详细的访问控制检查,以及用数字签名来保证信息的完整性。
其次对于管理员经常用到的接入管理,我们是通过支持SSH技术来保障其安全性的,因为SSH比Telnet、Web访问更安全,加密访问,支持SSH功能的客户端可以和华为产品的服务端建立起安全、加密的连接,该连接所提供的功能类似于一个Telnet连接,不过和Telnet不同的是该连接所有的传输都是加密的。
4.4.2典型安全措施
4.4.2.1MAC攻击原理及防范
MAC攻击原理
交换机内部的MAC地址表空间是有限的,MAC攻击会很快占满交换机内部MAC地址表,使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发,每个连在端口上的客户端都可以收到该报文,交换机变成了一个Hub,用户的信息传输也没有安全保障了。
MAC攻击防范方法
利用交换机端口安全功能:
MAC动态地址锁和端口静态绑定MAC,来限定交换机某个端口上可以学习的源MAC数量,当该端口学习的MAC数量超过限定数量时,交换机将产生违例动作。
4.4.2.2DHCP攻击原理及防范
DHCP攻击之一:
恶意DHCP请求
恶意用户通过更换MAC地址的方式向DHCPServer发送大量的DHCP请求,以消耗DHCPServer可分配的IP地址为目的,使得合法用户的IP请求无法实现。
恶意DHCP请求防范方法
利用交换机端口安全功能:
MAC动态地址锁和端口静态绑定MAC,来限定交换机某个端口上可以访问网络的MAC地址,从而控制那些通过变化MAC地址来恶意请求不同IP地址和消耗IP资源的DHCP攻击。
当交换机一个端口的MAC地址的数目已经达到允许的最大个数后,如果该端口收到一个源地址不属于端口上的MAC安全地址的包时,交换机则采取措施。
DHCP攻击之二:
非法DHCPServer
非法DHCPServer,为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息,不仅影响合法用户的正常通讯,还导致合法用户的信息都发往非法DHCPServer,严重影响合法用户的信息安全
非法DHCPServer防范方法
控制客户端发出的DHCP请求报文被广播出去;
检查和控制DHCP响应报文是否:
是合法DHCPServer发出的报文。
接入交换机一般不具有DHCPRelay功能,收到DHCP请求广播报文后,并在VLAN内是向所有端口转发。
而S27接入交换机具有DHCPRelay功能,一旦启用DHCPRelay功能,并且配置了DHCPServer的IP地址,则客户端发出的DHCP请求,在交换机中将不以广播包的形式转发出去,而是直接到交换机CPU,从而有效避免DHCP请求报文广播出去被非法DHCPServer收到。
交换机CPU处理后,以单播的形式发往指定的DHCPServer。
收到DCHP响应报文后(Offer,ACK,NAK报文),CPU会判定报文中的源IP地址是否为交换机中设定的DHCPServer的地址,从而保证DCHP响应报文的合法性。
4.4.2.3ARP攻击
ARP攻击之一:
ARP欺骗
ARP欺骗者:
利用ARP漏洞,发送虚假的ARP请求报文和响应报文,报文中的源IP和源MAC均为虚假的,或错误的网关IP和网关MAC对应关系,扰乱局域网中各PC以及网关中保存的ARP表,使得网络中的合法PC正常上网、通讯中断,并且流量都可流入到攻击者手中。
ARP网关欺骗
属于ARP欺骗的一种,目前在各大高校非常盛行。
产生的影响很严重。
既然是属于ARP欺骗的一种,因此欺骗的原理和前面详述的ARP欺骗原理是一样的,不同的是,攻击者是专门欺骗网关的,但造成的后果缺很严重。
由于网关被欺骗,导致该网关的用户都无法正常上网。
目前我司交换机专门针对这种欺骗问题,开发了特有的ARP网关欺骗防范功能。
ARP欺骗防范方法
利用交换机端口ARP检查安全功能:
打开ARP报文检查ARP报文中的源IP和源MAC是否和绑定的一致,可有效防止安全端口上欺骗ARP,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
针对ARP网关欺骗的手段,我们可以通过设置交换机的防ARP网关欺骗功能来防止网关被欺骗。
具体的做法就是,在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP,阻止以该设置IP为源IP地址的ARP通过交换机,这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。
ARP攻击之二:
ARP流量攻击
发送大量虚假的ARP请求报文和响应报文,报文中的源IP和源MAC均为虚假的,或错误的网关IP和网关MAC,扰乱用户PC中的ARP表,使得网络中的合法PC无法正常上网、通讯。
ARP流量攻击防范:
4.4.2.4IP/MAC欺骗攻击
MAC欺骗
盗用合法用户的MAC地址,侵入网络,使得正常用户无法上网;
IP欺骗
盗用合法用户的IP地址,使得到合法用户的通讯得不到响应,造成Pingofdeath,和ICMP不可达风暴
不断修改IP,发送TCPSYN连接,攻击Server,造成SYNFlood
IP+MAC欺骗
IP/MAC欺骗攻击防范方法
交换机端口安全即端口静态绑定,
交换机整机IP和MAC地址
DHCP动态绑定
802.1x,检查IP报文中源IP和源MAC是否和交换机中管理员设定的是否一致,不一致,报文丢弃,并发送告警信息
4.4.2.5防IP地址冲突和盗用技术解决方案
设备级IP地址管理技术
本次方案设计涉及所有华为产品均支持硬件实现IP、MAC、端口绑定和IP+MAC绑定,只需简单的一个命令就可以实现。
并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。
有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
4.5网络出口方案
4.5.1校园网出口需求
4.5.1.1NAT性能问题
出口设备要支持NAT(地址转换)是共识的。
一方面,校内使用私有地址的情况,访问Internet需要进行NAT;
另一方面,即使校内使用真实的教育网IP,那么通过XXX或者网通的线路访问外部资源,仍然需要进行NAT(地址转换),因为XXX所分配的地址更有限。
NAT(地址转换)等于给出口设备增加了一项很重要的任务,但是,从实际情况来看,NAT却成为了上网速度慢的一个重要原因。
究其根本,设备的性能是一个很大的原因(对于NAT(地址转换)支持的优劣,有两个很重要的依据,那就是“并发会话数”和“新建会话数”)
4.5.1.2策略路由支持问题
首先,当前校园网是基于多出口的架构。
1)为了提高访问速度需要多出口互联。
CERNET与XXX、网通等运营商的互联仅在上海、北京、广州三地有交互中心,且互联带宽还不够高,这就给教育用户访问公网资源和运营商用户访问教育网资源带来了问题。
2)为了解决费用问题。
XXX、网通等ISP的包月交费制提供了高校解决国际流量费用的好思路。
3)解决线路备份问题,避免单出口单点故障的存在。
其次,从上面多出口架构的原因分析可以看出,出口有必要对不同用户规定相应的路径,根据不同的访问流量制定相应的路径——也就是基于策略的路由。
从实际中各个学校的使用情况来看,一些早期的设备不支持策略路由,或者部分新采购的设备启用策略路由时,造成设备性能的下降,从而影响整个出口的性能和稳定性。
4.5.1.3安全防护能力
升级会员 