校园网VPN规划与实现.docx
《校园网VPN规划与实现.docx》由会员分享,可在线阅读,更多相关《校园网VPN规划与实现.docx(26页珍藏版)》请在冰豆网上搜索。
校园网VPN规划与实现
校园网VPN规划与实现
中学校园网规划方案
一.设计目标
1.配合当前的教学发展情况,完成学校内部Intrannet的配套基础建设,将
全校的信息资源利用计算机网络连接起来,形成一个流畅、合理、可靠、
安全的校园网。
还应针对学校的教学特点,具有一些基本的教学功能,以
完成学校的基本教学任务。
通过各校校园网络的连接,可以更便利地互相
交换信息,促进各个学校间的学术交流。
2.通过校园网络使教师和科研人员能及时了解国内外科技发展动态,加强
对外技术合作,促进教学和科研水平的提高。
建立新的通讯方式和环境,
提高工作效率。
二.设计原则
1.学校需求为前提原则:
坚持以学校具体需求为校园网信息系统方案设
计的根本和前提,同时,也要注重源于需求又高于需求的原则,注意用专
业化的技术思想来进行校园网的规划与设计,确保校园网的实用性、先进
性和便于扩展性。
2.设备选型兼顾原则:
满足学校对现代化教学手段的要求;满足校园网建
设及互联网的要求;所选设备在国际上保持技术先进性;供应商有良好的
商业信誉和优质的售后服务。
3.坚持标准原则:
一切校园网设计和施工,均要严格遵循国际和国家标准。
统一规划,分步实施。
校园网的实现要求通讯协议、网络平台等应具有世
界性的开放性和标准化的特点,并且应采用统一的网络体系结构。
4.坚持先进的成熟的技术原则:
采用通用的、成熟的技术方案可以降低建设成本、减小设计、施工和使用难度、缩短建设周期。
有利于保护投资,
并且有利于校园网的维护和升级。
选择品质最好的设备不一定是最佳选择,成本因素也是一个不容忽视的问题,将品质与成本实现最佳匹配。
5.坚持规范布线,考虑长远发展原则:
布线系统使网络的重要基础,布线系统的好坏是衡量一个网络好坏的非常重要的标志。
布线系统不合理将降低网络的可靠性,使网络难以管理和维护,所以必须采用标准的综合布线系统。
6.坚持易于使用和管理原则:
校园网的各种软件应用项目必须易于使用,对最终用户的起点要求不能太高,一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系统为宜;系统的日常管理和维护工作要方便、简易。
网络拓扑结构一经配置确定,不应轻易更改。
7.坚持可扩展性原则:
考虑现有网络的平滑过度,使学校现有陈旧设备尽
量保持较好的利用价值;选用产品应具有最佳性价比,又要应充分考虑未
来可能的应用,具有高扩展性。
三.用户需求分析学校要求如下:
1.建立办公自动化系统
办公楼共有40个信息点。
要求通过校园网连至INTERNET,达到100
M到桌面,并对财务科,人事科等科室进行单独
子网管理。
2.建立考试监控系统
共有教学楼3座,120个信息点。
(1)综合教学楼一个,60个信息点。
其中有10个实验室,每个实验室
配置1台PC和1个投影仪(此处无须上网);20个教室,其中一个教室2
个摄像机。
(2)普通教学楼1:
40个信息点,共20个教室,其中一个教室2个摄
像机。
(3)普通教学楼2:
20个信息点,共10个教室,其中一个教室2个摄
像机。
3.建立综合多媒体教室
信教中心:
共120个信息点。
有两个多媒体教室,每个教室60台PC。
要
求可网管,通过校园网上连至INTERNET,达到100M到桌面。
4.为了满足教职工的需要,提高教职工教学条件和水平,大力发展网上教
学,优秀科目科件制作等。
将教职工宿舍区的PC通过校园网上连至
INTERNET,达到10M到桌面,以后可扩展到100M。
5.学校校园网建设所需PC和投影仪有校方自行选择和安装。
学生宿舍由
于高中阶段学习生活的特殊性,不进行任何布置。
四.网络规划设计总体方案
(一)校园网络拓扑图
(二)设计方案
1.网络层次结构
网络结构采用分层式设计,共分三层:
核心层,ぷ髯椴悖烂娼尤氩恪7
植闵杓瓶梢允拐鐾缱陨隙戮哂泻艽蟮牡裕阌诓呗缘奈ず褪
凳
(1)核心设备
①设备名称:
DCS-3926S可堆叠智能安全接入交换机
②基本介绍:
3926S具有24个10/100Mbps自适应RJ-45端口和2个模块
扩展插槽(可选插百兆模块和千兆模块)可千兆或百兆聚合上联至汇聚层
交换机或者核心层交换机。
③主要特征:
★高密度和灵活的堆叠
DCS-3900S系列的堆叠带宽可支持2G到4G,并且支持简单堆叠、标准堆叠、超级堆叠和混合堆叠。
简单堆叠成本最低。
堆叠带宽2G;标准堆叠使用堆叠模块,其带宽扩充至4G;还可以用千兆电口或千兆光口做超级堆叠,可
避开堆叠线缆的限制,堆叠带宽也是4G;同时DCS-3900S系列可以和
DCRS-5600S系列、DCRS-5526S交换机做混合堆叠。
★强大的ACL功能
作为新款的L2/4交换机,DCS-3926,S系列交换机提供了完整的ACL策略,可根据源/目的IP地址、源/目的MAC地址IP协议类型、TCP/UDP端口号、IPPrecendence、时间范围、ToS对数据进行分类,并进行不同的转发策略。
通过ACL策略的实施,用户可以在接入层交换机过滤掉“冲击波”、“震荡
波”、“红色代码”等病毒包,防止扩散和冲击核心设备
★卓越的安全特性
全面的受控组播方案DMCP,可以对源和目的进行安全控制,完整实现了
在接入层网络中基于IGMP源端口和目的端口的检查技术,可完全限制合
法组播在
网络中的稳定传输,有效控制组播建立的整个过
程,保障了正常合法的组播应用的稳定运行;率先支持对特征复杂
(64字
节)的应用流量的访问控制,让用户可以在各种网络的环境中应对出现复杂情况;监控pingSweep等攻击行为,安全防扫描,并采取防攻击措施,全面保护交换机和服务器等网络设施的安全。
★更完美的性价比(DCS-3926S-G)
大多数接入交换机通过1个千兆光模块上联,为了提高产品的性价比,
DCS-3926S-G固化了一个千兆光模块,可以为用户节约开支。
★丰富的QoS策略
DCS-3900S系列交换机为每个端口提供了4个优先级队列,可根据端口、
802.1p、ToS、DSCP、TCP/UDP端口进行流量分类,并分配不同的服务级别,支持WRR/SP等调度方式,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。
④技术参数
★接口形式:
24个10/100M端口+1个SFP千兆光口/堆叠口
★可选扩展模块:
百兆电/光口模块;千兆电/光口模块;堆叠模块
★堆叠:
支持标准堆叠,超级堆叠,混合堆叠。
堆叠环境下,支持跨交换
机的端口聚合、端口镜像、QoS、ACL
★生成树:
802.1D(STP)、802.1w(RSTP)、802.1s(MSTP)
★组播协议:
IGMPSnooping&Query
★QoS:
每端口4个队列,支持802.1p,ToS,应用端口号,DifferServ,支持WRR/SP等调度方式
★ACL:
支持标准ACL和扩展ACL,支持IPACL、MACACL、IP-MACACL,
支持基于源/目的IP地址、源/目的MAC地址、IP协议类型、TCP/UDP端口号、IPPrecendence、时间范围、ToS对数据进行过滤。
★端口聚合:
支持802.3ad,最大可支持6组trunk,每trunk可到8个端口,支持基于目的MAC的负载均衡。
★IEEE802.1x:
支持基于端口和MAC地址,支持神州数码802.1x整体解决
方案,可以实现按时长/流量计费,可以实现用户帐号、密码、IP、MAC、
VLAN、端口、交换机的严格绑定,可以防止代理软件,防止PC克隆,对客户发送通知/广告,上网时段控制,基于用户动态实现VLAN授权和带宽授权,可基于组策略实现动态IP地址分配而不必使用DHCP服务器等。
★认证:
支持RADIUS
★端口镜象:
支持。
★支持的网络标准:
IEEE802.1DIEEE802.3IEEE802.3uIEEE802.3adIEEE
802.3xIEEE802.3zIEEE802.1QIEEE802.1pIEEE802.1xIEEE802.1wIEEE
802.1s等堆叠。
(2)工作组设备
①设备名称:
DCS-3726S24口+2槽可堆叠网管10/100/1000M以太网交换
机
②基本介绍:
DCS-3726S是神州数码网络专为校园网互连设计的一款可网
管交换机,可堆叠使用提供很高的端口密度,适用于企业大中型网络组网。
它具有24个10/100Mbps自适应RJ-45端口和2个模块扩展插槽(可选插百兆光纤模块或千兆模块),可千兆或百兆上联至骨干网。
DCS-3726S提供有端口
限速功能,使用灵活方便。
该交换机还可以下接
最多24台其他交换机实现级联以扩展端口数目。
它还支持VLAN、组播、
优先级、端口聚合和端口镜像等实用网络功能,而且还提供了18Gbps的
背板带宽,实现了数据的全线速转发,消除了网络瓶颈,为多用户接入提
供了高性能的网络解决方案。
③主要特征:
★24个10/100Base-TX端口
DCS-3726S具有24个固定的10/100Base-TX端口。
这些端口均支持Nway标准,可支持10/100Base-TX自适应及全双工/半双工。
★2个千兆端口
DCS-3726S交换机前面板具有2个插槽,可选插1口百兆模块或千兆模块,
千兆模块可支持1000Base-SX、1000Base-LX和1000Base-T标准。
所有模块
支持流量控制和全双工,可处理大量数据。
千兆端口可将部门网络与千兆
主干网络连接起来,也可以连接高性能服务器,使得更多用户可以同时访
问。
★100Base-FX模块
DCS-3726S插槽可以选插1口100Base-FX(SC)短波或长波模块,运行于
全双工模式下,可以应用于高电磁干扰或通信保密性要求高的场合,通常
应用于远距离传输。
★大型堆叠,多达192个10/100Base-TX端口
DCS-3726S交换机最多可以堆叠8台设备,堆叠组最多可达192个
10/100Base-TX端口,使得网络可以灵活扩展,并能够有效减少网络层次,
便于大型社区内大量用户的互联接入。
④技术参数
★端口聚合(PortTrunking)
DCS-3726S支持端口聚合功能,同时支持
802.3ad的标准。
可将
2/3/4个
10/100Base-TX端口聚合成一条干路,每条干路支持全双工模式,交换机最
多支持6组端口聚合。
★生成树(SpanningTree)
DCS-3726S支持多种生成树功能,如:
802.1D、802.1w、802.1s。
Spanning
Tree协议可使LAN自动检测并解决环路问题,可提供链路的备份。
802.1D
为基本的
SpanningTree协议,缺省操作模式是开启状态。
DCS-3726S同时
支持
802.1w
快速生成树模式,可使收敛时间缩短至几秒内。
IEEE802.1s
可使IEEEStd802.1Q的VLAN加入到多个生成树中,即提供spanningtreeper
VLAN的功能。
★虚拟网络(VLAN)
支持虚拟网络(VLAN)标准来控制广播域和网段流量,可以提高网络性
能、安全性和可管理性。
DCS-3726S支持IEEE802.1qVLAN标记,可基于端
口地址来划分VLAN,最多256个VLAN。
通过控制口或网管工作站可以轻
松完成结构和设备的添加、移动和更换。
可根据最大网络流量和网络安全
性来划分虚拟网络。
DCS-3726S同时支持GVRP协议,可实现VLAN组成员
动态注册,支持基于端口的VLAN划分管理方式,支持动态VLAN。
生成树:
802.1D(STP)、802.1w(RSTP)、802.1s(MSTP)
★MAC地址过滤:
自动学习;动态和静态地址过滤
★管理功能:
端口安全;Bootp、DHCP客户;配置文件上载/下载;
TFTP固件
升级
(3)桌面接入层设备
①设备名称:
神州数码DCS-1024普通交换机
②技术参数
★交换机类型:
普通交换机
★传输速率(Mbps):
10Mbps/100Mbps
★网络标准:
IEEE802.310BASE-T以太网;IEEE802.3u100BASE-TX快速以
太网;IEEE802.3x流量控制
★网络协议:
CSMA/CD
★接口介质:
10BASE-T:
2对3,4或5类非屏蔽双绞线(UTP)(≤100m);
EIA/TIA-568100欧屏蔽双绞线(STP)(≤100m)。
100BASE-TX:
2对或4
对5类非屏蔽双绞线(UTP()≤100m);EIA/TIA-568100欧屏蔽双绞线(STP)
(≤100m)
★传输模式:
全双工/半双工自适应
★其他技术参数:
数据传输速率:
以太网:
10Mbps(半双工);20Mbps(全
双工)
快速以太网:
100Mbps(半双工);200Mbps(全双工)
拓扑结构:
星型
MAC地址表:
8K
最大包过滤/转发率:
每端口14,880pps(10Mbps);每端口
148,800pps(100Mbps)
RAM缓冲:
2.5M
2.链路设计(包括综合布线详细说明)
(1)办公楼:
核心交换机DCS-3926S通过一个千兆口有1000BASE-T4对超五类STP下连服务器,通过一个千兆口由1000BASE-SX多模光纤下连办公
楼各科室,教师办公室的工作组交换机,通过一个千兆口由1000BASE-LX
多模光纤下连信教中心的工作组交换机,通过一个百兆端口由100BASE-FX
多模光纤下连教学楼工作组交换机,通过一个百兆端口由100BASE-FX多模
光纤下连教工宿舍区工作组交换机。
(2)信教中心:
工作组交换机DCS-3726S通过超五类STP下连桌面接入
交换机DCRS-1024。
DCRS-1024通过超五类UTP接入PC。
(3)教学楼:
工作组交换机DCS-3726S通过100BASE-FX下连桌面接入交换机DCRS-1024。
DCRS-1024通过超五类UTP接入摄象机和投影仪。
(4)教工宿舍区:
工作组交换机DCS-3726S通过100BASE-FX下连桌面接入交换机DCRS-1024。
DCRS-1024通过超五类UTP接入PC。
3路由设计
采用神州数码DCR-2501V多协议模块化路由器,确保网络的安全性和可靠
性。
①设备名称:
DCR-2501V多协议模块化路由器
②基本介绍:
神州数码DCR-2501V路由器是神州数码网络推出的固定配置
语音路由器,性能稳定可靠。
DCR-2501V提供了1个console端口,1个
10Base-T以太网口,1个辅助(AUX)端口,2个高速广域网串口,2路FXS
语音端口;DCR-2501V路由器支持常用的广域网协议和路由协议,支持VoIP
协议,支持内置强大的防火墙和NAT功能,为用户提供了更加高速、安全、
稳定可靠、方便的网际互连设备,非常适用于中小企业、政府等远程分支
机构语音和数据互联或Internet接入等。
③主要特征:
(DDR)功能;支持IPUnnumbered,从属IP和ARP代理功能;支持多种队列算法以保证服务质量(QoS)的提供;支持NovellIPX路由协议;支持路由再分配功能;高稳定性;提供背对背(
Back-to-Back)连接方案,可用于检测路由器的功
能
④技术参数
★标准配置
▼1个10Base-T以太网口
▼2个高速串口,支持RS232、V.24、V.35、X.21、EIA530A等电气标准
▼2路FXS语音端口
▼1个Console端口
▼1个辅助(AUX)端口,可进行远程配置和拨号备份
▼内存:
DRAM16M,可扩充至32M;FlashMemory2M,可扩充至4M
▼CPU:
32位RISC处理器(MPC86050MHz)
★协议和标准
▼以太网接口标准:
IEEE802.310Base-T标准
▼广域网接口标准:
RS232、V.24、V.35、X.21、EIA530A等电气标准▼支持VoIP标准:
支持H.323协议栈,支持G.729、G.723.1、G.711等多种语音编码压缩标准,支持T.38传真协议和Bypass方式的传真应用。
▼帧中继标准:
ITU-TQ933AnnexA、ANSIT1.617AnnexD、兼容CISCO标准▼广域网协议:
HDLC、PPP、MP、Frame-Relay(DTE/DCE)、X.25(DTE/DCE)
▼路由协议:
静态路由、RIP(包括RIPv1、RIPv2)、OSPF、NovellIPX路由协议
▼用户安全认证协议:
PAP、CHAP、MS-CHAP、RADIUS、TACACS+
★管理维护
提供Show、Ping、TraceRoute、Debug等命令,用于察看、测试网络的可
达性,诊断网络故障;支持Telnet远程配置与管理;支持SNMP、RMON
等网络管理协议;支持HTTP协议,用户可以通过Web界面对路由器进行
配置、维护
4.安全设计
可启用标准或扩展访问控制列表进行数据报或数据段控制,在内外网口设
置一台DCFW-1800S-L小型企业级百兆防火墙保证整个网络抵御来自内,外网的攻击。
①设备名称:
DCFW-1800S-L小型企业级百兆防火墙
②基本介绍:
神州数码DCFW-1800S-L防火墙专为中小企业分支机构、SOHO办公、中小学校的网络而设计,以功能实用、接入灵活、配置方便快捷、性能稳定为设计原则,使复杂的网络安全实施得以简化。
它充分考虑中小
型用户特点,支持VLAN环境、支持PPPOE与DHCP,集成防火墙、VPN,内容过滤,为中小企业的网络安全实现提供了经济的解决方案。
③主要特征:
★让中小型用户、分支机构享受无以伦比的性价比
★轻松部署,支持PPPoE协议,提供ADSL/ISDN接入方式
★设置简洁,通过浏览器可以轻松完成功能配置
★支持DHCP服务器功能,节省用户网络管理投资,支持无地址接入
★集成VPN,可以进行隧道认证及数据加密,保护了企业机密同时降低了
沟通成本
★集成内容过滤、邮件过滤,防止非法信息、恶意脚本及垃圾邮件;集成
防拒绝服务网关,提供攻击检测及攻击抵御
★支持用户认证;支持应用层日志及加密日志存储,有效审计进出网络的
敏感信息
④技术参数
★工作模式:
路由、透明、NAT
★内容过滤:
URL、邮件、指令、ActiveX/Java,诡异木马探测
★支持:
网络安全域结
构体系;PPPoE协议;DHCPRelay,DHCPServer;
防拒绝服务网关;VPN功能
★最大并发连接数:
300,000
★网络吞吐量:
150M
★VPN隧道数:
10
★VPN拨号用户:
10
★策略数:
300
5.管理设计(包括详细管理软件说明)①设备名称:
神州数码LinkManager
②基本介绍:
LinkManager网管系统是一套基于WindowsNT平台的高度集
成、功能较完善、实用性强、方便易用的全中文用户界面网络管理系统。
它是神州数码网络有限公司根据中国用户的实际需求,遵循ISO网络管理
模型的五大功能域(性能管理、配置管理、故障管理、计费管理及安全管
理)的架构,自行组织研发出来的一套具有自有知识产权的网管系统。
LinkManager具有既面向指定设备,又支持通用网络设备的"垂直+
水平"的管理特性。
也就是说,它能够对神州数码网络有限公司推出
的具有SNMP功能的网络设备提供齐全的设备管理和功能管理,同时也能够良好地支持其他任何具有通用SNMP功能的网络设备,提供整个网络的拓扑结构和常用网络管理信息。
③主要特征:
★提供两套视图-物理视图及逻辑视图,可满足操作员的不同需求:
▼对于希望了解当前网络拓扑逻辑结构的操作员,系统采用傻瓜方式,以默认形式为用户自动绘制出整个网络的逻辑视图,不需用户干预。
▼对于只想掌控自己关心的网络设备的操作员,系统采用DIY方式,支持操作员按物理连接或自己随意的自组物理视图;▼自动绘制出的网络拓扑图还可以通过另存为的方式供操作员修改;
★提供两种设备添加方式,增强操作员在自组物理视图时的DIY手段:
▼强
升级会员 