某学校网络解决方案.docx
《某学校网络解决方案.docx》由会员分享,可在线阅读,更多相关《某学校网络解决方案.docx(44页珍藏版)》请在冰豆网上搜索。
某学校网络解决方案
某学校网络解决方案
杭州华三通信技术有限公司
第1章概况
1.1校园网建设背景
2004年7月20日,中国互联网络信息中心(CNNIC)在京发布“第十四次中国互联网络发展状况统计报告”。
报告显示,截止到2004年6月30日,我国上网用户总数为8700万,比去年同期增长27.9%,上网计算机达到3630万台。
网络国际出口带宽增长飞速,总数达到53.9G,比去年同期增长190.3%。
CN下注册的域名数、网站数分别达到38万和62.7万。
8700万网民当中,教育的用户占有12.5%,教育用户当中绝大部分的网民主体是来自于学生用户,报告中主要数据说明,前十年的发展取得丰硕成果,我国互联网事业正在持续快速的发展,并在普及应用上进入崭新的多元化应用阶段!
互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。
同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。
而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。
在信息化的建设过程中,它的作用体现在如下几个方面:
1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。
2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。
3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。
4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。
教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。
信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。
我们对此深信不疑,并将全身心地为之努力。
1.2某学校校园网建网需求分析
1.2.1一般建网需求
某学校的网络建设主要是对校园网的网络进行部署。
在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如:
校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。
此处主要分析某学校网络基础设施建设和网络运营方面相关的内容。
某学校校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。
主要特点如下:
1、多出口的需求:
典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口同时为内部网络提供网络接入服务。
考虑到用户的以上的需求,需要在学校的内部提供不同的路由策略,即用户访问教育网的相关站点,通过CERNET的线路,而访问其他的网站如:
新浪网、163等网站则选择运营商的线路作为出口路由,这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。
2、用户管理的需求:
1)使用方便,存在客户端认证需求。
要求能做到基于客户端的身份认证、多ISP选择、用户费率查询等。
2)需要解决账号和端口绑定问题。
通过此种方式限制账号的使用区域。
3)能够实现全网的安全管理,包括:
IP、MAC的盗用问题、防止接入用户的非法DHCPServer、Proxy等用户。
4)对于用户的上网行为能够实现实时的跟踪以及时候的追查。
3、多种教学方式并行的需求:
随着校园网的信息化的发展,越来越的多教学方式依托于网络给学生提供多种的特色教学模式
1)多媒体教学。
为了更好的为学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学生提供多种教学资料,如:
多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。
2)VOD点播业务实现,通过建立VOD视频服务器平台,利用交换机提供的组播功能,为某学校的用户提供优质的视频效果,同时节省用户带宽。
4、安全管理的需求:
1)校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等
2)上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全
6、组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出来。
7、双核心的高保障需求:
某学校的网络组建投入使用以后是办公和教学的平台的环境,是院系专业教学和办公的集合体,对网络的稳定性要求相当的高,如果万一出现网络中断的想象,有可能就会对学院的工作和教学造成损失,所以为保证网络的稳定、可靠、高效都是才用双核心
1.2.2某学校建网需求
某学校为提高网络覆盖范围率,使计算机终端的上网率可以达到95%以上,各园区网络设备进行升级,实现各院系的互连互通,把核心到汇聚层的千兆连接升级为万兆互连,满足数据、音视频等信息的实时传输,满足各类网上应用需求对网络带宽的需求,同时要有该网络是一套自上而下的一套安全的网络体系,在未来建设的校园网的数据中心为全校的各级用户提供,集中统一的数据存储服务。
1.3整体建网原则
早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在安全、可管理性较差、无业务增值能力等方面的问题。
现在某学校校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
基于对某学校校园网业务需求的深入理解,结合自身产品和技术特点,H3C公司推出了了完善的某学校校园网解决方案,为某学校提供“高扩展、多业务、高安全”的精品网络。
某学校网络建设遵循以下基本原则:
高带宽
某学校网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
某学校校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的增值业务,使网络具有自我造血机制,实现以网养网。
可扩充性
考虑到某学校用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,某学校校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
对原有投资的充分保护
某学校已经建成自己早期的校园网,对早期投资购买的设备和原有的网络构造要充分的利用,发挥原有网络设备的作用,服务于新改建和拓扑模式之中。
第2章总体网络设计
2.1整体网络改造描述
为满足某学校三至五年的建设需求,本次方案主要采用分期建设的模式来实现整个校园网数字化建设。
具体分期如下:
建设主要通过部署关键节点设备解决目前校园网出口带宽有效利用问题、用户行为时候审计问题、出口设备性能瓶颈问题等。
建设规划如下图所示:
考虑到一期投入资金有限,而根据对全网设备利用率及负载情况的评估以及目前终端用户反映情况了解到目前网络存在两大问题。
第一,外网出口带宽不够导致用户访问外网速度明显下降,无法满足用户正常需求。
第二,根据2005年12月中华人民共和国公安部第82号令要求所有提供互联网服务的企事业单位具有内网行为审计能力,有效保障互联网信息安全。
通过以上两点作出以下改造。
出口部署,根据目前校园网双出口特性,路由器主要具备两大应用。
第一,出口NAT转换功能。
第二,出口设备策略部署实现路由匹配,根据目的地址选择不同出口功能。
出口安全部署,根据目前现有出口防火墙性能显示CPU占用率与内存占用率一直处于满负荷状态,给内外网数据交互带来的风险和传输瓶颈也是不容置疑的,一旦出口遭到攻击防火墙将会因负载过大造成数据堵塞。
从而建议在出口防火墙处通过部署一台F1000防火墙实现内外网的安全隔离。
2.2网络层次介绍:
在核心层,核心层主要5500-28F-EI交换机,网络中心核心交换机同时提供服务器接入区域,重要的服务器例如日志服务器、防病毒服务器和补丁服务器,同时提供网络的审计、网管等功能区域。
,同时H3CS5500-28F-EI交换机其交换容量192Gbps,包转发率96Mpps,
在接入层,接入层是直接与用户相连的设备,因此,在实际的应用的过程当中我们建议采用H3CE126B产品,建议通过在E126B上配置千兆电接口与汇聚交换机S5500进行链接,这样将会进一步扩大带宽。
H3CE126B系列安全智能三层交换机19.2Gbps的总线带宽为交换机所有的端口提供三层线速交换能力,系统能够提供2/4个SFP接口,有效解决了在单台设备上多个千兆链路上行,同时接入千兆服务器的需求,极大的节省了用户对设备投资。
无线网络的应用
在校区内进行无线的覆盖,现阶段校园网的无线覆盖已经成为一种趋势和必然,对于无线的覆盖以后,使得学校教学和办公的得到的极大便利,无线的覆盖可以分为室内的无线覆盖和室外的无线覆盖,采取通行的网络协议标准:
目前无线局域网普遍采用802.11系列标准,因此无线局域网将主要支持802.11g(54M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务;
全面的无线网络支撑系统(包括无线网管、无线安全等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
保证网络访问的安全性,支持802.1x安全认证方式;
采用非独立型的无线网络结构选型;采用H3C的FITWLAN的模式。
在S9512上配置无线控制器,终端接入的无线设备的方式非常的方便,配置都集中在S9512的无线控制器上,所有的无线接入设备可以实施即插即用,配置管理简便易行。
安全、认证、管理要求:
为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:
物理地址(MAC)过滤、服务区标识符(SSID)匹配、有线等效保密(WEP)、二层隔离、WPA支持等;
本无线局域网的用户认证支持集中认证(WEBPORTAL认证方式)和802.1X安全认证方式(支持受保护的PEAP(ProtectedEAP)),AP、访问控制系统及认证计费系统必须为要配合要通过验证,便于使用用户的使用及维护。
在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性,达到一次认证,移动使用的目的;
用户认证、计费管理:
本网络建议采用H3C的IMC软件系统进行计费和认证,IMC具有强大的认证功能,可以实现按流量计费、支持多种计费策略,同时其旁挂式的方式大大提高了网络的安全性,避免了在出口产生流量瓶颈的问题,
本次组网采用IMC综合管理软件实行全网的用户认证和计费管理。
详细介绍参加第三章。
网管平台:
为提高网络管理的效率,减轻网络维护的压力,本次组网采用IMC网管系统进行全网设备的统一管理。
IMC网络管理软件是H3C公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品,位于网络解决方案的管理层,能够实现网元管理和网络管理的功能。
IMC网络管理软件基于灵活的组件化结构,包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
第3章网络业务设计
3.1认证方式的选择
IMC的认证可以配合H3C接入交换机或BAS设备,结合802.1x认证方式实现对接入用户的端点准入控制。
这种组网方案对不符合安全策略的用户隔离严格,可以有效防止来自网络内部的安全威胁。
同时IMC用户认证系统可以对网络的接入用户进行很好的甄别,确认用户权限,同时实现计费。
同时也可以配合路由器、高端交换机等设备,结合Porta认证方式在汇聚层实现对网络用户的端点准入控制。
这种组网方案具有适应性广的特点,可以应用与某学校网络出口、分支机构入口、关键区域保护等多种应用场景。
根据某学校的用户特点,考虑到网络中心的维护工作量,这里我们建议采用802.1x认证方式。
3.2网管解决方案
根据网络实际情况可采用H3CIMC网管系统。
特性
该系统采用开放式结构设计,严格遵守标准的SNMP协议(RFC1157),主要使用RFC1213定义的MIB信息,具有投资省、使用灵活、易于移植等特点:
使用灵活
H3CIMC系统的使用方式非常灵活,既可以作为设备级的应用程序集成到已有的网管平台(如:
HPOpenView、RadiumsNMS、SNMPC、NetManager)中进行网络级管理,又可以作为独立的应用程序执行进行设备级管理。
同时可以根据用户需求进行接口的开放。
支持WEB方式
基于WEB的管理是网管方式的一次革命,其主要优势在于:
基于WEB的管理允许网络管理人员使用任一种浏览器在网络的任何节点上方便迅速地配置、控制及监视网络。
在WebServer上安装了网管软件后,其它网管机器不用预装网管软件,只须安装了WEB浏览器并且设备能上网,就能使用H3CIMC系统管理。
成本低
H3CIMC不像大型网管系统那样系统庞大,它将网管人员最为关心的网络信息直观而浓缩地呈现于网管人员面前,使其方便地了解设备各端口的运行情况以及主要的设备性能指标。
支持多种操作系统平台
纯Java的实现,保证H3CIMC无须修改便能运行于当前主流的各种平台之上。
除此以外,H3CIMC系统使用全新的JFC类库,所有控件均支持LookandFeel特性,该特性使得H3CIMC既可以在不同平台上呈现出统一的显示风格,也能够使控件的风格与操作系统相一致。
功能
功能
描述
路由器设备视图
设备端口的配置情况:
端口个数、端口种类、端口当前状态等
故障管理
对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。
主要功能包括:
支持告警相关性分析;能按照用户设置的条件对告警信息进行统计和查询;提供告警拓扑定位;支持告警Trap规则定义等。
路由器设备整体配置信息
支持拓扑自动发现功能,系统信息(系统描述、系统标识、重启时间、所在地、设备名、联络方式)、地址转换表、接口表、IP表、IP路由表、TCP联接表。
性能管理
提供对设备实时性能数据的查看功能,使用户了解当前网络运行的基本情况和性能状态,从而预防网络事故的发生,预测网络运行状态,帮助用户对网络的管理运营进行合理的规划。
同时可以支持对于网络节点设备利用率、CPU利用率、故障率、线路流量统计、网络时延统计、历史告警信息等进行统计记录,并可以实现网络流量配置。
设备日志和告警管理
在系统独立运行时,设备日志管理完成接收设备发送到网管的Syslog日志报文,直接保存到文件中;设备告警管理完成接收设备发送到网管的告警报文,将该Trap进行解析并保存到文件中。
路由器设备整体运行状态
CPU负载、系统温度、风扇状态、VOS内存空闲率、Non-Volatile空闲率、内存分布错误次数、内存分配不足引起的分配错误
输入IP报文、表头错误的输入IP报文、地址错误IP报文、未知协议数据报、缓冲溢出输入IP报文、缓冲溢出的输出IP报文、转发的IP报文、无路由的输出IP报文、成功重组的IP报文
安全日志管理
安全管理功能主要有以下几个方面:
操作日志管理,用户管理,用户组管理,设备集管理,操作集管理,权限管理,用户登录管理。
路由器设备端口配置信息
接口描述、接口类型、最大传输单元、接口速率、物理地址、管理状态、操作状态、持续运行时间、本地描述
路由器设备端口运行状态
接口使用率、输入包误码率、输出包误码率、输入包丢弃率、输出包丢弃率、输入包未知协议率
下图是该产品的界面示例:
3.5无线AP部署方案
目前考虑在校园园区内部署FITAP,在核心的S9500E上部署H3C板卡系列无线控制器模块,S9500E无线控制器能提供了丰富的有线数据和无线数据的处理功能,集精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS及IPv4&IPv6等多功能于一体的功能。
H3C公司更有众多的无线有线一体化的交换机可供选择,使得无线配置灵活,部署方面。
H3C公司使用创新的基于认证的组网来提供网络服务,这种方法基于用户身份而非端口或设备,以便跨越整个网络实现移动性和安全性。
当用户漫游网络时,通过WLAN网络范围内的无线控制器的信息交换,以实现在整个网络范围内执行一致的访问和安全策略。
同时采用WPA/WPA2和802.1X认证结合的AES、TKIP以及WEP加密等功能增强了网络安全。
S95E无线板卡或无线有线一体化的交换机与H3CFITAP配合组网,可以方便的部署于任何现有的二层网络或三层网络之中,控制器和AP通过IETF制定的CAPWAP协议进行互联而无需针对现有网络进行重新配置。
Ø认证方式及认证点选择
本方案主要采用802.1X认证,交换机作为802.1X协议终结点,IMC用户管理系统系统为用户鉴权点。
802.1X认证是一种二层认认证机制,建议使用二层信息与帐号进行捆绑,此时的网络是一种安全网络。
Ø整网安全
无线网络安全部分主要包括以下方面的内容:
MAC地址过滤:
目前我司AP都支持基于MAC地址的过滤,可以限制具有某种类型的MAC地址特征的终端进入网络中,对于大规模网络,使用MAC地址过滤时操作起来具有较大的难度,主要原因是:
MAC地址的规律性不大,所有的AP都要进行配置,存在缺点:
维护工作量不大,故建议:
不进行部署,但设备要具有这样的能力,以备以后增加相应设备进行配套使用,以增强安全性;
SSID管理:
是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;
WEP\AES加密:
WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;AES属于一种动态加密机制,密钥进行定期的刷新;
Ø频率规划
802.11g使用开放的2.4GHzISM频段,可工作的信道数为欧洲标准信道数13个。
由于其支持直序扩频技术造成相邻频点之间存在重叠。
对于真正相互不重叠信道只有相隔5个信道的工作中心频点。
因此对于802.11g在2.4GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。
此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
针对如何进行802.11g的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
`
频率规划原理图
频率规划需要配合使用的功能包括:
AP支持13个信道设置
AP支持500~200mW、60~10mW功率以及多级功率控制
AP支持外置天线以及定向天线
针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
Ø网络管理
基于标准的SNMP协议实现对设备的管理,H3CIMC网管系统通过SNMP实现对WLAN所有网元的管理。
网管工作站可以放在网上的任意位置,通过标准的SNMP即可实现对所有设备的管理。
采用标准的SNMP可以实现更为强大的管理包括自动拓扑发现、自动升级、批量配置、分级管理、分级告警等。
Ø供电问题
由于本次无线网中AP布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电,对AP的本地供电问题难度更大,可采用基于标准的802.3af实现对AP的供电。
通过在汇集交换机处叠加一个供电电源或者内嵌交换机内,通过以太网线在传输数据同时给AP供电,供电距离达100米,满足实际组网的要求。
第4章某学校用户管理及安全方案
4.1园区网用户认证管理需求分析
随着网络规模的扩大,用户不断的增加,网络使用中出现了不少不和谐的声音:
账户盗用,恶意欠费,黑客攻击,反动言论等。
这些不和谐的行为影响了正常的网络使用,造成了许多安全隐患。
为了消除这些隐患,我们需要引入网络认证管理技术,规范网络使用,在提供体现公平、共享原则的同时保护绝大多数用户的权利。
在提出解决方案之前我们将相关需求做一简单分析:
1)准确的用户身份确认
园区网计费用户分为两类,一类是不计费,另一类是计费。
但是无论是计费还是不计费我们都需要对其身份进行准确的识别。
这是网络安全的需要,同时也是做到准确计费的需要。
但是如何进行用户身份确认呢?
这就需要通过认证技术来实现。
目前认证技术有许多,如WEB认证,802.1x认证,PPPOE认证。
这些认证技术各有千秋,PPPOE技术被广泛的应用在宽带小区,WEB认证被应用在一些信息系统内,而802.1x认证被应用在广大的校园内。
这是因为802.1x认证具最大的特点是简单,无需特殊的设备支持,同时支持任何网络应用。
正是这一点打动许多学校老师的心。
本方案将以802.1x认证用户身份确认技术。
2)全方位的用户管理方案
用户的管理随着网络的扩大逐步显得更加的重要,从目前的校园网的建设来看,不同的学校有着不同的网络的管理方式,如:
MAC绑定、IP地址的绑定、卡号密码的绑定等,不同方式各有千秋。
在某学校的网络认证管理方面,其我们用户建议采用MAC地址+端口的绑定技术来作为整个校园网管理的主要方式,H3CE126A/E152接入层交换机支持多种绑定技术,同样支持MAC地址+端口的绑定方式,这样对于用户可以直接做到端到端的绑定方式。
4.2校园网用户管理认证方案概述
认证管理方案是一个整体的方案在园区网内实施相应的管理措施。
而且从校园网实际使用情况看,学生宿舍区的网络建设中认证管理是最为突出的问题,考虑到学生的技术水平较高、学校内喜欢攻击网络的学生较多,在实际的建网过程当中应当充分考虑到这些因素可能会带来的相关问题,在组网建设过程当中避免。
综合考虑,H3C公司在实际的在建网的过程当中遵循了以下几点要求:
1)认证交换机。
本次方案所采用的所有交换机都支持802.1x认证。
考虑认证的效率,本次认证主要由接入层E126A/E152交换机来完成。
并能够提供强大的业务功能:
如:
MAC地址绑定等功能。
2)网管平台。
网管软件对于用户来说是维护网络的重要工具,H3C公司IMC网管平台可以为用户提供强大的维护功能,同时可以对所管理的接入层交换机进行批量配置,避免用户繁琐的工作,同时IMC可以对端口流量进行设置阀值告警,发现用户端口流量较大(如:
病毒攻击),可以通过网管将端口关闭避免大量垃圾报文,维护网络安全。
4.3业务认证、授权管理描述
考虑到某学校为大学院校,考虑到其的特殊性,有众多的教师和学校管理层的办公系统,在业务接入的前采用EAD系统对用户进行用户名和密码的认证,同时对客户端进行控制,防止PC终端的软件传播病毒和对网络产生危害,利用Xlog系统进行事件审计