某县教育局网络建设设计方案.docx
《某县教育局网络建设设计方案.docx》由会员分享,可在线阅读,更多相关《某县教育局网络建设设计方案.docx(15页珍藏版)》请在冰豆网上搜索。
某县教育局网络建设设计方案
某县教育局网络建设设计方案
2017.4
第一章项目概述
一.1项目背景
在十二五期间,教育信息化被各行各业广泛讨论、研究。
而随着教育事业十三五的提出,教育科技化、信息化更是教育改革的重心之一。
教育信息化,要求在教育过程中较全面地运用以计算机、多媒体和网络通讯为基础的现代信息技术,促进教育改革,从而适应正在到来的信息化社会提出的新要求,对深化教育改革,实施素质教育,具有重大的意义。
网络作为信息化的基础之一,更加需要架构稳定、性能卓越、技术先进的网络设备来为教育信息化保驾护航。
一.2需求分析
一.2.1一般建网需求
根据某县教育局网络建设的需求,需要建设一个支持办公数字化、网络化、自动化的国内先进的基础网络平台,满足数字化办公网络建设的需要,也满足教育信息化建设的长期要求。
网络平台具有较好的服务质量、较高安全性、便于管理和维护,能够支持办公的各种应用,也支持信息发布、网上信息发布等。
接入层支持千兆到桌面,核心层支持全千兆并且具有向万兆速率平滑扩容的能力。
网络关键节点能够冗余热备保障系统连续稳定运行。
具有高带宽、高可靠、高性能、高安全的特性。
办公网络组建投入使用以后是一个要求相对稳定的环境,对网络的稳定性要求相当高,如果万一出现网络中断的现象,有可能就会对办公造成损失,有一些数据可能造成丢失。
出口设备要具有防火墙的特色功能,防止恶意入侵对全网的影响。
需要做到使用方便,存在WEB认证需求。
要求能做到基于WEB的身份认证、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。
需要解决账号和端口绑定问题。
通过此种方式限制账号的使用区域。
能够实现全网的安全管理,包括:
IP、MAC的盗用问题、防止接入用户的非法DHCPServer、Proxy等用户。
对于用户的上网行为能够实现实时的跟踪以及事后的追查。
网络办公日益普及,各种重要资料皆为信息化数据。
这就让如何保障网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等
上网日志的需求,主要是作日后的审核和查验。
组播业务的需求,特别是可控组播的需求将随着网络信息化的深入而体现出来。
一.2.2某县教育局网络建设需求
本次工程的总体任务如下:
充分考虑办公信息化工作的新需要、新应用,按照相关系统的国家标准,设计出符合本工程实际的建设方案。
方案应以“先进、实用、经济、合理,用管两便、安全可靠,易于扩展”的指导思想为原则,采用先进成熟的主流技术,充分考虑新建系统的可扩充性和与原有系统的兼容性,并体现科学规划、合理布局、预留充分、应用方便的特点,达到现代化、高效、舒适、安全、节能的人文办公环境的要求。
在提出完整可行的建设方案的前提下,有效地组织施工,完成整个办公信息化系统的建设。
一.3建网原则
某县教育局网络建设遵循以下基本原则:
⏹高带宽
为了保障全网的高速转发,全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特点,整网的核心交换要求能够提供无瓶颈的数据交换。
⏹可增值性
某县教育局网络建设在建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的增值业务。
⏹可扩充性
考虑到用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,昆钢科技大厦智能化系统网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
⏹开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
⏹安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
⏹高速率、低延时:
为了保障业务的正常开展,以及与安宁的互联互通,计算机网络需要做到高速率,低延时;其中办公网络需要做到千兆接入、万兆骨干;
⏹成熟、稳定、可靠:
计算机网络的稳定性直接关系到正常业务的可用性;在设计中应尽量考虑网络品牌的成熟度,以及整网架构稳定、可靠;
⏹灵活、可扩展:
随着科技的进步、业务的发展,业务应用对计算机网络的要求可能发生变化;这就需要计算机网络具备灵活,可扩展的特性,满足未来3-5年甚至更长商检内,各种的业务需要;
⏹安全、易管理:
办公网、安防监控网中,都承载着部分敏感信息的传输,同时办公网还连接着互联网;这就要求计算机网络本身设计足够安全,而且便于维护、管理;
一.4网络建设目标
高可用――网络作为数据中心的基础设施,网络的高可用直接影响到业务系统的可用性。
网络层的高可用至少包括高可靠、高安全和先进性三个方面:
◆高可靠:
应采用高可靠的产品和技术,充分考虑系统的应变能力、容错能力和纠错能力,确保整个网络基础设施运行稳定、可靠。
当今,关键业务应用的可用性与性能要求比任何时候都更为重要。
◆高安全:
网络基础设计的安全性,涉及到业务的核心数据安全。
应按照端到端访问安全、网络L2-L7层安全两个维度对安全体系进行设计规划,从局部安全、全局安全到智能安全,将安全理念渗透到整个数据中心网络中。
◆先进性:
建成网络将长期支撑业务发展,网络是数据的基础支撑平台,因此数据网络的建设需要考虑后续的机会成本,采用主流的、先进的技术和产品(如数据中心级设备、CEE、FCoE、虚拟化支持等),保证基础支撑平台4~8年内不会被淘汰,从而实现投资的保护。
易扩展――教育局面向的业务越来越广泛,未来的业务只会更加多元化,业务系统频繁调整与扩展再所难免,因此数据中心网络平台必须能够适应业务系统的频繁调整,同时在性能上应至少能够满足未来4~8年的业务发展。
对于网络设备的选择和协议的部署,应遵循业界标准,保证良好的互通性和互操作性,支持业务的快速部署。
易管理――网络设备繁多,各种协议和应用部署越来越复杂,对运维人员的要求也越来越高,单独依赖运维人员个人的技术能力和业务能力是无法保证业务运行的持续性的。
因此数据中心需要提供完善的运维管理平台,对数据中心IT资源进行全局掌控,减少日常的运维的人为故障。
同时一旦出现故障,能够借助工具直观、快速定位。
第二章网络改造设计方案
二.1某县教育局网络建设设计方案
二.1.1总体设计思路
我们遵循自顶向下的层次设计思想,以简约实用的网络架构为主。
为了保障网络系统的可靠性和可用性要求,在该网络系统的设计上我们采用以基础千兆链路为主干,千兆接入到桌面,并在网络出口采用一台高性能、高吞吐的防火墙设备。
在防火墙后面部署一台高性能、高吞吐的上网行为管理设备,负责对外上网行为管理、流量监管等。
二.1.2详细设计
根据需求,按照前述原则,本方案办公网络拓扑图如下
⏹核心层设计
核心交换机在整个办公内网系统中即是重中之重的,它承载着所有下层交换设备转发过来的数据流量,以及服务器区域、对外出口区域的互联;同时还需要对所有流量、区域进行Qos、ACL等安全划分;是整个网络中最重要的设备。
基于此,网络核心层采用H3CS7503E核心交换机。
S7503E-M支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议,提供小于200ms的环网故障保护;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。
通过上述技术,H3CS7503E可以在承载多业务的情况下不间断运行,实现业务的永续;S7503E-M能够在不重启设备的前提下,通过热补丁技术,在线修改软件BUG,增加新的业务特性。
H3CS7503E提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删除补丁单元。
通过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。
⏹接入层设计
办公网采用H3C全千兆的交换机S5110-28C-SI,该机自带24个GE电口,同时自带4个千兆上行光口,充分满足各终端用户的千兆接入。
接入交换机支持IPv4/IPv6的三层协议,还可实现弱三层接入,实现高带宽接入的同时,更方便安全管理策略的指定;接入交换机还支持ARP防御、802.1x认证、IP+端口+MAC的捆绑等安全功能,为办公网络的稳定运行提供坚实的基础;
⏹网络出口设计
办公网出口采用H3CSecPathF1010防火墙。
H3CSecPathF1010防火墙支持多维一体化安全防护,可从用户、应用、时间、五元组等多个维度,对流量展开IPS、AV、DLP等一体化安全访问控制,能够有效的保证网络的安全;支持多种VPN业务,如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等,与智能终端对接实现移动办公;提供丰富的路由能力,支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由;支持IPv4/IPv6双协议栈同时,可实现针对IPV6的状态防护和攻击防范。
在防火墙后端部署一台ACGSecPathACG1000-T上网行为管理。
H3CACGSecPathACG1000-T能对网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。
利用智能流控、智能阻断、智能路由等技术,配合创新的社交网络行为管理功能、清晰易管理日志等功能,可以提供业界最全面、完善的上网行为管理解决方案。
从而保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,为用户全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。
⏹服务器接入区域设计
服务器通过千兆光缆直接和核心级交换机进行互连,以此保证各服务器应用系统的带宽保障,全面保证应用系统的干净合理的运行环境。
另外如果使用虚拟机技术,服务器区的汇聚可以方便实现虚拟机迁移等功能,为将来业务提供更灵活、更安全的保障;
第三章相关技术介绍
三.1产品介绍
三.1.1H3CS7503E-M系列高端多业务路由交换机
Ø产品概述
H3CS7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的ComwareV5/V7操作系统,以IRF2(IntelligentResilientFramework2,第二代智能弹性架构)、IRF3(IntelligentResilientFramework3,第三代智能弹性架构)技术为系统基石的虚拟化软件系统,支持云数据中心化所需的TRILL、EVB、FCoE和MDC(一虚多)技术,完全兼容40GE和100GE以太网标准,进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
H3CS7500E基于40G,100G平台设计,支持千兆光、千兆电、万兆光、万兆电、40G、100G等丰富的以太网接口,满足用户多层次的链路带宽需求。
H3CS7500E采用绿色环保的设计理念,符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
Ø产品特点
丰富的业务,适应融合业务网络发展趋势
IRF2(第二代智能弹性架构—横向虚拟化)
H3CS7500E面向数据中心技术的演进,推出了IRF2为代表的软件虚拟化技术,提供2-4台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、
升级会员 