商职院网络建设方案.docx
《商职院网络建设方案.docx》由会员分享,可在线阅读,更多相关《商职院网络建设方案.docx(11页珍藏版)》请在冰豆网上搜索。
商职院网络建设方案
浙江商业职业技术学院网络建设方案
引言3
引言
商职院校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统,逐步建立学校信息管理网络,实现办公自动化;为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台;逐步建立计算机辅助教学、计算机辅助考试等系统,为实现多媒体课件制作网络化,教师备课电子化、多媒体化打好基础;保证网络系统的开放性、可持续发展性。
筹划校园网要讨论三个要素,无论是校外连网还是校内连网,要较好地发挥校园网的作用。
一、需求分析
1.需求目标
建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络,将学校的各种PC机工作站、终端设备和局域网连接起来,并与有关广域网相连;在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统,为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。
进行商职院校园网总体设计,首先要进行商职院研究和需求调查,明确商职院的性质、任务和改革发展的特点及系统建设的需求和条件,对商职院的信息化环境进行准确的描述;其次,在应用需求分析的基础上,确定商职院Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准。
2.网络建设原则
(1)整体规划安排;
(2)先进性、开放性、可靠性、可扩展性、可管理性、功能性、安全性和标准化相结合;(3)结构合理,便于维护;(4)高效实用;(5)支持宽带多媒体业务;(6)能够实现快速信息交流、协同工作和形象展示。
二、校园网建设方案
3.网络结构
整个网络建设方案是从网络的三层结构模型考虑,分为,核心层、汇聚层、接入层。
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
核心层应该具有如下几个特性:
高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致,在核心层中,应该采用高带宽的千兆级交换机。
汇聚层是网络接入层和核心层的“中介”。
汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
在汇聚层中,应该采用支持三层交换和虚拟局域网的交换机。
接入层向本地网段提供用户接入。
在校园网中,接入层的特征是交换式或共享带宽式局域网。
在接入层中,减少同一以太网段上的用户计算机的数量能够向工作组提供高速带宽,接入层可以选择不支持VLAN和三层交换的工作组级交换机。
4.网络扩展性
在网络建设中充分考虑网络的可扩展性(具有扩展槽)和可管理性,对于核心层交换机要考虑GE口的冗余和扩展槽;对于汇聚层要考虑GE口和百兆端口的冗余和扩展性;对于接入层交换机要考虑百兆端口的冗余;对于宽带接入服务器需要考虑GE端口的可扩展性和扩展槽。
使初期的网络建设能满足后期网络建设的需要,在网络产品选型上需要考虑有良好的稳定性、可靠性和高性能,方便运行惯例。
5.信息点设置
电教楼总共有4楼,详细请见表3-1
浙江商业职业技术学院电教楼交换机配置表
楼宇
层数
数据信息点需求
4#教学楼
1层
共300个6个教室每个教室5048端口接入交换机
2层
共300个6个教室每个教室5048端口接入交换机
3层
共300个6个教室每个教室5048端口接入交换机
4层
共300个6个教室每个教室5048端口接入交换机
合计
共配置1200
6.交换机配置依据上面对信息点设置和技术方案的比较,可以对交换机进行配置,见表4-1
楼宇
信息点数
机房位置
交换机数量
备注
4#教学楼
共300个
1层
接入交换机7台
共300个
2层
接入交换机7台
共300个
3层
接入交换机7台
共300个
4层
接入交换机7台
合计
1200
接入交换机28台,汇聚交换机1台,
核心交换机1台
7.设备配置依据上面对信息点设置和技术方案的比较,获得浙江商职院技术学院配置,见表5-1
序号
项目名称
单位
数量
1
防火墙(NAT)
台
1
2
核心层局域网交换机
台
1
3
汇聚层局域网交换机
台
1
4
接入层局域网交换机
台
28
5
DHCP、FTP、HTTP服务器
台
6
8.主要性能指标
(1)防火墙
型号:
华为USG2210
设备类型:
安全网关
网络端口:
2GECombo
控制端口:
Console口
VPN支持:
支持
入侵检测:
Dos,DDoS
管理:
支持命令行、WEB方式、SNMP、TR069等配置和管理方式,这些方式提供对设备的本地配置、远程维护、集中管理等多种手段,并提供完备的诊断、告警、测试等功能
安全标准:
CE,ROHS,CB,UL,VCCI
处理器:
多核处理器
电源:
AC:
100-240V
最大功率100W
产品尺寸:
442*414*43.6mm
产品重量:
8kg
适用环境:
工作温度:
0℃-45℃工作湿度:
10%-95%
其他性能:
UTM
扩展槽位:
4MIC+2FIC
(2)核心局域交换机
型号:
华为S8016
具有128G交换容量,所有关键部件均采用冗余热备份设计,采用分布式路由转发处理引擎,支持真正热插拔、热备份。
支持VRRP,提供MPLS的快速重路由(FastReroute)功能。
网络拓补采用冗余链路设计,通过运行STP保证链路的负载分担和冗余备份,避免二层环路。
支持完善的DiffServ/QoS保障:
实现了简单流分类、复杂流分类、流量监管、真正的拥塞控制、完善的队列调度和输出流整形等功能,使网络成为一个可以同时承载数据、语音和视频业务的综合网络。
Quidway®S8016所有QoS功能采用硬件实现,对性能没有影响。
所有设备支持802.1X认证,支持802.1QVLAN划分,实现用户安全管理和安全隔离。
故障速查功能确保快速定位故障节点和可疑用户,可以链接用户信息;
可选择的HGMP/堆叠管理提供批量、图形化网络管理,更加简单快捷;
(3)汇聚局域网交换机
型号:
华为MA5680T
汇聚接入一体:
超高汇聚交换能力,3.2T背板容量,960G交换容量,512KMAC地址容量;超高密度级联能力,单框最大768个GE端口,无需额外投资汇聚交换机;超高可靠组网能力,可直连BRAS,支持OLT双机热备份、异地容灾、升级业务。
全业务接入:
IPTV用户无收敛接入,单框支持8000组播用户和4000组播频道。
独有的视频增强引擎,极大提升用户的业务体验;层级化高QoS保证,H-QoS功能满足多样化商业客户的SLA要求;支持NativeTDM或CESoP功能,实现多种E1专线接入;支持基于VLAN内部流量互通,满足企业及校园组网应用。
绿色节能:
独有芯片技术,高密度8端口GPON单板功耗不超过55瓦;独有节能总线技术,深度节能。
(4)接入局域网交换机
型号:
华为CloudEngine5800
CE5800提供48个全线速GE接口,高密的千兆接入满足云时代数据中心服务器断增长的需求,是业界第一款支持40GE上行接口的GE接入交换机,可以和CE12800配合组建全40GE的高性能数据中心网络。
CE5800交换机实现了业界首创的16台堆叠技术,同时10GE、40GE接口做为堆叠口实现了超长距大容量堆叠。
CE5800交换机还支持IETF标准协议TRILL支撑业务灵活部署。
CE5800系列交换机灵活的前后/后前风道设计创新的节能技术为客户降低运维成本,打造绿色数据中心。
最后,CE5800对指示灯和维护设计做了优化设计,使得运维更加简单便利。
(5)服务器
型号:
华为TecalRH2285V2机架服务器
产品特性:
1.更高的性能让业务应用更随心
支持2颗Intel®Xeon®E5-2400系列处理器。
主频高达2.3GHz,L3缓存最高支持20MB可,根据不同的业务需求选择4核、6核、8核,计算资源随心所用;
提供12个DDR3内存插槽,内存容量高达384GB,为服务器虚拟化应用提供更多的内存资源,让虚拟化应用不再受制于匮乏的内存资源,虚拟化表现更理想。
2.灵活的扩展助力应用加速
多达6个PCIe扩展槽位,提供高可用I/O扩展空间;支持扩展华为ES系列高性能SSD存储卡或iNIC智能网卡,迅速提升存储及网络I/O性能,加速应用;
支持扩展高性能GPU图形显示卡,提升服务器的图像处理能力和浮点运算。
3.大容量、高可靠的存储让应用更稳固
支持8个2.5英寸SAS/SATA/SSD硬盘、12个3.5英寸SAS/SATA+2个2.5英寸SAS/SATA/SSD硬盘或26个2.5英寸SAS/SATA/SSD硬盘,可热插拔,最高存储容量为38TB,是有大存储容量应用需求服务器的优选;
支持行业领先RAID技术,支持RAID0、1、10、5等,提供512M/1GBCache,支持Cache电池保护和超级电容保护,支持RAID状态迁移、RAID配置记忆等功能,支持自诊断、Web远程设置等功能,保障数据可靠性;
冗余的电源、风扇模块,不中断业务即可维护;支持TPM硬加密,内置“黑匣子”,多层安全机制确保系统的可靠性。
9.网络结构图
10.Ip地址规划
11.网管与认证
传统网络管理产品往往提供给客户的是面向故障、性能、安全、配置等一个个割裂内容的工具软件,但如何利用这些工具和满足客户实际管理需求之间存在着巨大的“鸿沟”,正因为如此导致了业界“有工具,无管理”的现状。
管理的核心理念在于融合、贯穿各类工具软件,提供给客户的不再是独立的功能工具,而是直接面向客户需求的业务流程(BusinessProcess),由流程来指导管理工作的开展。
用户、资源和业务是构成客户IT环境的三个要素,管理系统不应该割裂的仅仅管理其中一部分,否则无法真正落实IT管理的规章制度。
管理资源(网络设备、存储设备、服务器等)和业务的基础上,更融入了对用户的管理,直接从用户对资源使用以满足业务需求的角度出发,真正实现了“面向人的管理”。
网络管理平台应具有对以下四方面管理的功能,即能够进行配置管理、故障管理、性能管理和安全管理。
(1)配置管理
结构管理:
能自动发现小区网络的拓扑结构及网络配置,实现监控设备状态;网络节点、中继线的增加、扩容、删除和更改;创建并维护配置数据库;可以访问被管理设备的配置文件,并在必要时分析和编辑;比较配置数据库文件内容;网络节点访问口令设置和更改;配置操作的记录统计。
网络业务配置:
根据用户业务属性和特定要求配置通路;原配路由出现故障后,可通过其他路由保证连接;对必要的故障、拥塞监视门限进行设置和更改;可为用户配置虚拟网,并可为用户提供监视其虚拟网的用户网管。
(2)故障管理
实时监控故障信息,并对其统计分析,低层网管应将重要的故障信息报告上层的网管中心;可形成节点、中继线及用户端口的告警消除的统计报告;可设置和实施各种环回测试、端到端测试;对节点设备和接入设备能进行到板级及端口级的监测。
(3)性能管理
可实时收集网络运行的相关数据,监视网络拥塞、设备的失效情况,可用数字和图形方式显示网络运行的各种情况以及重要的程度,需要时可发布指令到各节点,进行网络控制;对所收集的数据进行统计、分类、记录归档,并向上一级中心报告和提示系统管理员;对历史统计数据的分析功能;优化网络性能,消除网络的瓶颈,实现网络流量的均匀分布;对网管操作过程进行统计记录。
(4)安全管理
保证运行中的网络安全的一系列功能,避免非法接入网络,控制接入级别和范围,即用户认证能力、多级别访问权限、防止绕过权限、记录所有的登录等能力;具有网络配置、运行、故障、计费、访问等数据信息的保护和备份措施。
相关功能指标:
(1)基础资源管理
基于全网资源的统一部署、管理和调配,包括对路由器、交换机、安全、语音、存储等设备资源,以及ACL/VLAN等网络配置资源和桌面等终端资源,为业务融合、资源调度提供必要手段。
(2)身份与接入管理
支持LAN、WAN、WLAN、VPN认证接入,实现接入业务的统一、集中管理;支持智能卡、证书等强认证功能,支持多种方式的端点准入控制和基于身份的网络服务,实现用户与资源和业务的融合管理。
(3)端点安全准入管理
在身份接入基础上,支持终端安全准入控制,支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等,预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素带来的安全威胁,并可根据终端的安全状态实现终端下线、隔离、提醒、监控等多。
12.用户认证
目前,共有三种认证方式:
PPPOE认证方式、Portal(Web+Portal)、802.1x认证方式
1.PPPOE
PPPoE(Point-to-PointProtocoloverEthernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。
PPPoE的建立需要两个阶段,分别是搜寻阶段(Discoverystage)和点对点对话阶段(PPPSessionstage)。
当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。
在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。
在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。
在网络拓扑中,主机能与之通信的可能有不只一个网络设备。
在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。
当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。
搜索阶段将在点对点对话建立之前一直存在。
一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。
优点1、是传统PSTN窄带拨号接入技术在以太网接入技术的延伸。
2和原有窄带网络用户接入认证体系一致
3、最终用户相对比较容易接收
缺点1、PPP协议和Ethernet技术本质上存在差异,PPP协议需要被再次封装到以太帧中,所以封装效率很低
2、PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响
3、组播业务开展困难,而视频业务大部分是基于组播的
4、需要运营商提供客户终端软件,维护工作量过大
5、PPPoE认证一般需要外置BAS,认证完成后,业务数据流也必须经过BAS设备,容易造成单点瓶颈和故障,而且该设备通常非常昂贵。
2.Web+Portal
Portal认证的基本过程是:
客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。
采用Portal认证的接入设备必须具备这个能力。
一般通过修改接入设备的访问控制表(ACL)可以做到。
用户登录到PortalServer后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给PortalServer,再由PortalServer与NAS之间交互来实现用户的认证。
PortalServer在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。
然后PortalServer与NAS之间用Portal协议直接通信,而NAS又与RADIUS服务器直接通信完成用户的认证和上线过程。
因为安全问题,通常支持安全性较强的CHAP式认证。
优点:
1、不需要特殊的客户端软件,降低网络维护工作量
2、可以提供Portal等业务认证
缺点1、WEB承载在7层协议上,对于设备的要求较高,建网成本高;
2、用户连接性差,不容易检测用户离线,基于时间的计费较难实现;
3、易用性不够好,用户在访问网络前,不管是TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证;
4、IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持。
5、认证前后业务流和数据流无法区分
3、802.1x
优点1、802.1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802.1q的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。
2、通过组播实现,解决其他认证协议广播问题,对组播业务的支持性好。
业务报文直接承载在正常的二层报文上;用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求
缺点:
1、需要特定客户端软件
2、网络现有楼道交换机的问题:
由于802.1x是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题;
3、IP地址分配和网络安全问题:
802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;
4、计费问题:
802.1x协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。
13.认证技术对比
认证方式
Web+Portal
PPPOE
802.1x
标准程度
厂家私有
RFC2516
IEEE标准
封装开销
小
较大
小
接入控制方式
设备端口
用户
用户
IP地址
认证前分配
认证后分配
认证后分配
多播支持
好
差
好
VLAN数目要求
多
无
无
支持多ISP
较差
好
好
客户端软件
不需要
需要
需要
设备支持
厂家私有
业界设备
业界设备
用户连接性
差
好
好
对设备的要求
高(全程VLAN)
较高(BAS)
低
升级会员 