校园网络设计方案.docx
《校园网络设计方案.docx》由会员分享,可在线阅读,更多相关《校园网络设计方案.docx(17页珍藏版)》请在冰豆网上搜索。
校园网络设计方案
XX校园网络设计方案书
第四组:
组员:
厉健、杨锋、刘永海、吴霞、陈伟狄、朱刚、何臻伟
汇报人:
朱刚
翔宇实验中学网络建设方案
【摘要】科学技术的发展日新月异,在计算机技术和通信技术结合下,网络技术得到了飞速的发展。
如今,不仅计算机已经和网络紧密结合,整个社会都不可能脱离网络而存在。
网络技术已经成为现代信息技术的主流,人们对网络的认识也随着网络应用的逐渐普及而迅速改变。
在不久的将来,网络必将成为和电话一样通用的工具,成为人们生活、工作、学习中必不可少的一部分。
翔宇实验中学校园网一期、二期建设基本完成了校园网的框架,主要用于连接各实验室、教研室和各部处通过网络中心与Internet连接。
但是随着学校的发展,广大师生对校园网的覆盖率、稳定性、管理及业务提出了更高的要求,而原有的校园网在以上几方面均暴露出一系列不足。
在本方案中,我将详细阐述翔宇实验中学校园网的建设方案,内容大致分为搭建网络、网络安全、系统应用、网络管理、综合布线等几部分。
【关键字】局域网、Internet、计算机网络、网络协议、服务器、防火墙
第一章建设目标与原则
1.1翔宇实验中学网络建设目标
学校共有员工和学生9000人,院区内共有12栋建筑,包括教学楼、实验楼、现教楼、图书馆、宿舍楼等。
上网的人员主要是学生、教师和科研人员。
学校的网络同时承载着多样的网络应用:
网络下载、视频点播、网络聊天、专项课题研究、网络化教学,学校要求网络具有高性能、高可用性和高安全性。
学校规模在不断扩大中,用户数在持续增加,要求网络具有很好的扩展性,能够根据需要逐步平滑升级到千兆的骨干连接。
学生拥有笔记本电脑的人数越来越多,他们想在校园的各个地方都可以上网,甚至包括操场。
要求网络具有移动和无线集成。
学校要求能对每个用户的使用情况能进行事后审计,能够定位到IP地址以及用户所连接的端口和登录的用户名。
由于校园网络的开放性和流量的多样性,学校要求能及时发现网络异常流量并做出响应。
同时要求基于每用户的速率限制。
另外在设备支持上要求:
在10/100或10/100/1000BaseT上支持802.3afPoE;网络设备集成的安全性;要求第2层和第3层的QoS;要求增强的802.1x功能;支持10GE或将来平滑过渡到10GE。
当前万兆以太网将成为园区骨干网的主流技术。
但根据翔宇实验中学目前的实际情况,可先采用千兆位以太网作为园区骨干,以后再根据需要升级;另外交换机及路由器本身的性能对整个网络的性能也有影响,诸如线速转发、QoS、STP、可支持的路由协议的收敛特性等等都将影响网络的性能。
高可用性:
网络的高可用性必须依靠冗余来实现,网络级冗余性可以利用双宿主设计自动绕过故障链路或设备,能够使用智能协议保持网络可靠性。
设备级冗余性可以利用设备内部部件(如管理引擎、电源、风扇等)的冗余来提供不间断服务。
线路级冗余可通过敷设物理走向不同的线缆的方式来实现线路的畅通。
对于翔宇实验中学来说,以上所说在不同的场合中都有可能用到;另外,降低网络的复杂性、提供备用互联网出口、强大的网络监控功能及良好的用户培训也可增加园区网的可用性。
高安全性:
现阶段网络建设主要面临以下几方面的问题:
网络流量增长得很快,与此同时网络运营商的接入费用不降反升;管理人员对校园网的运行情况缺乏基本的分析和管理工具;网络安全事件时有发生,重要服务器和核心网络设备被攻击;网络病毒泛滥,得不到控制;有线用户和无线用户的接入控制、定位缺乏手段等;针对以上问题,将安全连接、威胁防御、信用和身份管理系统集成到单个解决方案中,并提供病毒感染限制、染毒设备隔离功能可有效的解决校园网建设中的安全问题。
高可扩展性:
在设计园区网时,通过层次化的设计可保证网络的扩展性。
层次化结构包括三个功能部分:
即接入层、分布层和核心层,层次化的设计除了能带来便于扩展的优势以外,还可节约成本和加强故障隔离能力;
移动性:
可通过实施WirelessLAN实现无线上网。
1.2校园网设计原则
采用先进成熟的技术和设计思想,运用先进的集成技术路线,以先进、实用、开放、安全、使用方便和易于操作为原则,突出系统功能的实用性,尽快投入使用,发挥较好的效能。
计算机技术的发展十分迅速,更新换代周期越来越短。
所以,选购设备要充分注意先进性,选择硬件要预测到未来发展方向,选择软件要考虑开放性,工具性和软件集成优势。
网络设计要考虑通信发展要求,因此,主要、关键设备需要具有很高的性价比。
系统的设计既要在相当长的时间内保证其先进性,还应本着实用的原则,在实用的基础上追求先进性,使系统便于联网,实现信息资源共享。
易于维护管理,具有广泛兼容性,同时为适应我国实际情况,设备应具有使用灵活、操作方便的汉字、图形处理功能。
目前,计算机网络与外部网络互连互通日益增加,都直接或间接与国际互连网连接。
因此,系统方案设计需考虑系统的可靠性、信息安全性和保密性的要求。
翔宇实验中学校园网设计方案设计原则和需求分析,可以方便地进行设备扩充和适应工程的变化,以及灵活地进行软件版本的更新和升级,保护用户的投资。
目前,网络向多平台、多协议、异种机、异构型网络共存方向发展,其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。
所以所选网络的通迅协议要符合国际标准,为将来系统的升级、扩展打下良好的基础。
采用结构化、模块化的设计形式,满足系统及用户各种不同的应用要求,适应业务调整变化。
采用的技术标准必须按照国际标准和国家标准与规范,保证系统的延续性和可靠性。
满足系统目标与功能目标,总体方案设计合理,满足用户的应用要求,便于系统维护,以及系统二次开发与移植。
第二章校园网建设方案
2.1搭建校园网络系统
翔宇实验中学从地理上分为二大块:
教学区和宿舍区。
目前只在教学区部分大楼进行了联网,宿舍区没有联网。
因此,我们需要做的工作是宿舍区和教学区的网络互联,以及教学区的网络扩展。
本方案采用成熟的千兆以太网技术,采用分层结构的解决方案。
整个网络设计的原则为:
中心交换机为整个网络的核心,它对整个网络的性能、可靠性起决定作用,它连接各个物理子网,管理网络内信息交换(包括多媒体信息),控制VLAN间访问,保证信息安全。
因此,选用中心交换机除了提供高速的网络连接之外,还具有多种信息的管理控制能力。
全部的网络设备均支持高效的Intranet多媒体和多点广播技术,为多媒体和多点广播应用等提供端到端的带宽保证。
网络采用层次结构,不仅逻辑结构清晰,管理方便;更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在分布层交换机上直接处理,不经中心设备,节省主干带宽,提高利用率。
有一定的前瞻性,不仅满足当前网上应用,也为向将来更高性能的升级作好了准备:
网络具有的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩充,升级模块即可大量提高主干带宽;中心配置两台多层交换机,网络结构就能连接成高可靠性的、真正的中心交换机互备份和上联线路冗余。
配合热备份路由协议和热备份双服务器主机系统,在整个系统内消除单点故障,提供高可用性的应用服务系统。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2.2网络拓扑结构
根据地理位置及信息点的数量和未来覆盖面扩充等多方面原因,将校园网为每个系划分若干个区域。
划分区域主要考虑以下几个方面:
可以减轻中央核心交换机的负担、管理上方便、便于未来的连接扩充。
翔宇实验中学校园网的拓朴如图2.1所示:
图2.1翔宇实验中学校园网的拓朴图
整个校园网划分为三个层次:
核心层、分布层和接入层。
相应的交换机就是核心交换机、分布层交换机和接入层交换机。
核心层网络选择千兆以太网。
校网络中心将放置两台高端三层千兆交换机和一台边界路由器。
交换机间的连接要求是高带宽连接。
分布层交换机要求至少两路上行链路连至两台核心层交换机上,采用快速收敛的路由协议实现故障切换和负载均衡,当某一链路出现意外,也可以从另外一路上连。
校内各系的汇聚交换机构成,各分布层交换机放置在各系的网络中心,要求至少两路上行链路连至两台核心层交换机上。
分布层交换的下连交换机都为接入层网络。
2.3IP地址规划
本方案采用的地址分配方法利用VLSM技术,不仅有大量预留空间,而且本校园网使用OSPF路由协议,有层次的IP地址,易于管理,在边界路由器上可做汇聚(汇聚成10.1.0.0/17网段),减少路由更新大小,提高网络性能。
如表2.1所示:
表2.1翔宇实验中学校园网IP地址分配表
建筑物
设备
IP地址
子网掩码
现教楼中心机房
VPN防火墙
10.1.0.1
255.255.255.0
边界路由器
10.1.0.2
255.255.255.0
核心交换机1
10.1.0.3
255.255.255.0
核心交换机2
10.1.0.4
255.255.255.0
WEB/FTP服务器
10.1.70.1
255.255.255.0
认证服务器
10.1.70.2
255.255.255.0
DNS/DHCP服务器
10.1.80.1
255.255.255.0
用户
10.1.10.0
255.255.255.0
教学楼
分布层交换机
10.1.0.5
255.255.255.0
接入层交换机
10.1.0.6
255.255.255.0
AP
10.1.63.7
255.255.255.0
用户
10.1.20.0
255.255.254.0
实验楼
分布层交换机
10.1.0.8
255.255.255.0
接入层交换机
10.1.0.9
255.255.255.0
AP
10.1.63.10
255.255.255.0
用户
10.1.30.0
255.255.248.0
图书馆
分布层交换机
10.1.0.11
255.255.255.0
接入层交换机
10.1.0.12
255.255.255.0
AP
10.1.63.13
255.255.255.0
用户
10.1.40.0
255.255.254.0
行政楼
分布层交换机
10.1.0.14
255.255.255.0
接入层交换机
10.1.0.15
255.255.255.0
AP
10.1.63.16
255.255.255.0
用户
10.1.50.0
255.255.254.0
宿舍楼
分布层交换机
10.1.0.17
255.255.255.0
接入层交换机
10.1.0.18
255.255.255.0
AP
10.1.63.19
255.255.255.0
用户
10.1.64.0
255.255.192.0
2.4设备选型
本方案中校园网络核心层设备采用CISCOCatalyst6509(SupervisorEngine720*2/电源*2/FWSM*1/IPSecVPN模块*1/IDSM*1/NAM*1/16口千兆以太网光口板*1/若干5486/48口千兆电口*1,符合IEEE802.3af&PoE)数量:
2台。
CiscoCatalyst6509的优点:
最长的网络正常运行时间--利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1~3秒的状态故障切换,提供应用和服务连续性统一在一起的融合网络环境,减少关键业务数据和服务的中断。
全面的网络安全性--将切实可行的数千兆位级思科安全解决方案集成到现有网络中,包括入侵检测、防火墙、VPN和SSL。
可扩展性能--利用分布式转发体系结构提供高达400Mpps的转发性能。
能够适应未来发展并保护投资的体系结构--在同一种机箱中支持三代可互换、可热插拔的模块,以提高IT基础设施利用率,增大投资回报,并降低总体拥有成本。
卓越的服务集成和灵活性--将安全和内容等高级服务与融合网络集成在一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0到OC-48的各种接口和密度,并能够在任何部署项目中端到端执行。
校园网络分布层设备采用CISCOCatalyst4507R(SupervisorEngineV-10GE*2/电源*2/若干千兆以太网光口板及GBIC/48口千兆电口板*1,符合IEEE802.3af&PoE)数量:
7台。
CiscoCatalyst4506(WithSupervisorV-10GE)的优点是:
136Gbps交换矩阵;
102mpps第二层到第四层吞吐率;
双线速万兆以太网上行链路;
利用千兆以太网SFP上行链路顺利移植到万兆以太网;
在交换管理引擎上提供集成式NetFlow,通过基于用户的速率限制实施精确流量控制;
超快速800MHzCPU可实现更快的控制平面;
最多能够在Catalyst4510R交换机中支持384个10/100/1000端口;
提供所有CiscoCatalyst集成式安全特性;
为提供更加灵活的策略,能够为每个端口和VLAN实施不同的QoS;
思科快速转发能够防止可变IP信息攻击。
端口安全、DHCP侦听、ARP检测和IP源防护能够防止黑客从第二层及以上发动拒绝服务(DoS)攻击或破坏网络。
速率限制以出口和入口限速器的方式出现,可以控制每个VLAN的流量,防止DoS攻击。
SupervisorEngineV-10GE支持基于用户的速率限制。
802.1X及其扩展性能防止非法用户和设备接入网络,例如恶意接入点。
硬件Netflow可用于主动发现网络流量异常,并采取相应措施。
它使用的访问控制列表可在交换端口和路由端口上提供,以便进行二到七层流量控制。
校园网络接入层设备采用CISCOCatalyst3560(EMI)交换机,该系列交换机是一个固定配置、企业级、IEEE802.3af和思科预标准以太网供电(PoE)交换机系列,工作在快速以太网和千兆位以太网配置下。
CISCOCatalyst3560是一款理想的接入层交换机,适用于小型企业布线室或分支机构环境,结合了10/100/1000和PoE配置,实现最高生产率和投资保护,并可部署新应用,如IP电话、无线接入、视频监视、建筑物管理系统和远程视频访问等。
客户可在整个网络范围中部署智能服务,如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由等,且同时保持传统LAN交换的简洁性。
思科网络助理(networkassistant)在Catalyst3560系列中免费提供,是一个集中管理应用,可简化思科交换机、路由器和无线接入点的管理任务。
思科网络助理提供了配置向导,大大简化了融合网络和智能网络服务的实施;支持增强的802.1x(IBNS)。
2.5网络安全设计
翔宇实验中学网络安全性方案设计原则是:
整个翔宇实验中学网络必须是一个严密的安全保密体系。
采取的安全措施不能影响整个网络运行效率。
保密设备要做到管理方便,完善可靠。
加密系统具有良好的网络兼容性和可扩展性,实现防窃取、防篡改、防破坏三大功能。
按照国家主管部门对政府办公网络安全保密性的相应法规和规定,要保障系统内部信息的安全,我们主要应该做到处理秘密级、机密级信息的系统与不涉及保密信息的系统实行物理隔离,秘密级、机密级信息在网络上采取加密传输。
防火墙是设置在内部网络与Internet之间的一个或一组系统,用以实施两个网络间的访问控制和安全策略。
狭义上防火墙指安装了防火墙软件的主机或和路由系统;广义上还包括整个网络的安全策略和安全行为。
防火墙技术属于被动防卫型,它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的,其功能是按照设定的条件对通过的信息进行检查和过滤。
防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障,其作用主要有:
保护功能拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。
连接功能作为内部网络与Internet之间的单一连接点。
管理功能实施统一的安全策略,检查网络使用情况,进行流量控制等。
防火墙有三个属性:
所有进出内部网的数据包必须经过它;仅被本地安全策略所授权的数据包才能通过它;防火墙本身对攻击必须具有免疫能力。
在翔宇实验中学和外网的连接中,我们推荐使用硬件防火墙。
比如CISCOASA5510-BUN-K9系列:
并发连接数130000
网络吞吐量(Mbps)300
安全过滤带宽170Mbps
网络端口3+1个管理快速以太网端口、可升级到5个快速以太网端口、1个SSM扩展插槽
用户数限制无用户数限制
入侵检测DoS
安全标准UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS001
控制端口console
管理思科安全管理器(CS-Manager)
VPN支持
选择该型号是因为价格适中,且功能齐全,较适合本校园网建设。
在内部网络和外网之间之间通过防火墙,建立起一个DMZ区。
与外网关联业务的服务器都可以放在DMZ区,Internet上的用户只能到达DMZ区相应的服务器。
并且内部网络到Internet的连接,是通过NAT地址翻译的方式进行,可以充分隐藏和保护内部网络和DMZ区设备。
防火墙在内外网络连接中起两个作用:
利用访问控制列表(AccessControlList,ACL)实安全防护防火墙操作系统IOS通过访问控制列表(ACL)技术支持包过滤防火墙技术,根据事先确定的安全策略建立相应的访问列表,可以对数据包、路由信息包进行拦截与控制,可以根据源/目的地址、协议类型、TCP端口号进行控制。
这样,我们就可以在Extranet上建立第一道安全防护墙,屏蔽对内部网Intranet的非法访问。
例如,我们可以通过ACL限制可以进入内部网络的外部网络甚至是某一台或几台主机;限制可以被访问的内部主机的地址;为保证主机的安全,可以限制外部用户对主机的一些危险应用如TELNET等。
利用地址转换(NetworkAddressTranslation,NAT)实现安全保护防火墙另外一个强大功能就是内外地址转换。
进行IP地址转换由两个好处:
其一是隐藏内部网络真正的IP地址,这可以使黑客(hacker)无法直接攻击内部网络,因为它不知道内部网络的IP地址及网络拓扑结构;另一个好处是可以让内部网络使用自己定义的网络地址方案,而不必考虑与外界地址冲突的情况。
地址转换(NAT)技术运用在内部主机与外部主机之间的互相访问的时候,当内部访问者想通过路由器外出时,路由器首先对其进行身份认证----通过访问列表(ACL)核对其权限,如果通过,则对其进行地址转换,使其以一个对外公开的地址访问外部网络;当外部访问者想进入内部网时,路由器同样首先核对其访问权限,然后根据其目的地址(外部公开的地址),将其数据包送到经过地址转换的相应的内部主机。
在翔宇实验中学网络工程和今后各种应用系统的建设过程中,在局域网上我们可以根据不同部门、不同业务类别划分VLAN(虚网),通过把不同系统划分在不同VLAN的方式,将各系统完全隔离,实现对跨系统访问的控制,既保证了安全性,也提高了可管理性。
VLAN(虚网)技术和VLAN路由技术
VLAN技术用以实现对整个局域网的集中管理和安全控制。
CISCO局域网交换机的一大优势是具备跨交换机的VLAN(虚网)划分和VLAN路由功能。
虚网是将一个物理上连接的网络在逻辑上完全分开,这种隔离不仅是数据访问的隔离,也是广播域的隔离,就如同是物理上完全分离的网络一样,是一种安全的防护。
通过VLAN路由实现对跨部门访问的控制,既保证了安全性,也提高了可管理性。
Inter-VLANRouting原理
每一个VLAN都具有一个标识,不同的VLAN标识亦不相同,交换机在数据链路层上可以识别不同的VLAN标识,但不能修改该VLAN标识,只有VLAN标识相同的端口才能形成桥接,数据链路层的连接才能建立,因而不同VLAN的设备在数据链路层上是无法连通的。
Inter-VLANRouting技术是在网络层将VLAN标识进行转换,使得不同的VLAN间可以沟通,而此时基于网络层、传输层甚至应用层的安全控制手段都可运用,诸如Access-list(访问列表限制)、FireWall(防火墙)、TACACS+等,Inter-VLANRouting技术使我们获得了对不同VLAN间数据流动的强有力控制。
MAC地址过滤策略
在内部网中还可以利用Cisco交换机的MAC地址过滤功能对局域网的访问提供链路层的安全控制。
MAC地址过滤能进一步实现对局域网的安全控制。
CISCO局域网交换机具有MAC地址过滤功能,通过在交换机上对每个端口进行配置,可以禁止或允许特定MAC地址的源站点或目的站点,从而实现各站点之间的访问控制。
由于每块网卡有唯一的MAC地址,是固定不变的,只允许特定MAC地址的工作站通过特定的端口进行访问,所以对MAC地址的访问控制实际上就是对指定工作站这一物理设备的访问控制,由于MAC地址的不可改变,与对IP地址的过滤相比,具有更高的安全性。
访问安全控制
从确保网络访问的安全出发,路由器对所有远程拨号访问连接都由Radius设置AAA(AuthenticationAuthorizationAccount,即认证、授权、记帐)级安全控制,防止非法用户的访问。
同时,在计费服务器上,也提供Radius认证方式,两者可以配合使用。
(也可以只采用计费服务器上的Radius认证)。
具体的实现细节如下:
在网络中配置一台安装CiscoSecure软件的服务器,CiscoSecure软件使用Radius(RemoteAuthenticationDial-inUserService)协议提供对网络的安全控制,并对成功连接到网络的用户的操作进行记录。
对于远程拨号访问,配置PPP协议提供的CHAP(ChallengeHandshakeAuthorizationProtocol)认证协议,该协议是一个基于标准的认证服务,而且在传输过程中使用加密保护,与在传输用户ID和口令时不使用加密的PAP协议相比,具有更大的安全性,可提供用户ID和口令在传输线上的安全保护。
RADIUS提供的AAA级安全控制首先根据用户名和口令识别在本网络中是否允许该用户访问,从而决定是否建立连接;其次对经过认证连接到网络的用户授予相应的网络服务级别,提供访问的限制;最后保留用户在本网络中的所有操作记录(日志),这些记录的内容包括用户网络地址、用户名、所使用的服务、日期和时间以及用于计帐的连接时间、连接位置、数据传输量、开始时间和停止时间等。
AAA在Client/Server体系中允许在一个中心数据库中存储所有的安全息,在一台装有CiscoSecure