校园网络设计方案.docx
《校园网络设计方案.docx》由会员分享,可在线阅读,更多相关《校园网络设计方案.docx(16页珍藏版)》请在冰豆网上搜索。
校园网络设计方案
学员编号:
中等职业学校专业骨干教师国家级培训
校园网络设计方案
培训专业计算机网络技术
培训学员崔强荣
完成时间2012年12月20日
中国陕西杨凌
1引言
高校校园网的网络建设与网络技术发展几乎是同步进行的。
高校不仅承担着教书育人的工作,更承担着部分国家级的科研任务,同时考虑未来几年网络平台的发展趋势,为了充分满足高校骨干网对高速,智能,安全,认证计费等的需求,可以利用万兆以太网的校园网组网技术。
构建校园网骨干网,实现各个分校区和本部之间的连接,以及实现端到端的以太网访问,提高了传输的效率,有效地保证了远程多媒体教学、数字图书馆等业务的开展。
随着信息技术的高速发展,教育信息化水平正成为衡量学校总体发展水平的重要因素,网络技术的应用对高校的教学手段和教育管理体系的促进作用是巨大的。
1995年CERNET(中国教育和科研计算机网)建设全面启动,全国各地的高校开始建设自己的计算机校园网。
校园网建设是高校建设的重要组成部分,建设高质量的局域网,才能充分发挥网络资源管理和应用的优势,进行信息交流、资源共享、科学计算和科学研究与合作。
与其它网络一样,校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。
具体来说,危害网络安全的主要威胁有:
非授权访问,即对网络设备及信息资源进行非正常使用或越权使用等;冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的;破坏数据的完整性,即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用;干扰系统正常运行。
2校园网需求分析
网络基本情况
某大学具有6个二级学院,分别位于同一个城市的4个园区中,其中大学与两个二级学院在一个园区(园区1),另外两个二级学院位于一个园区(园区2),而其他两个学院分别位于园区3和园区4。
大学已从中国教育科研网(CERNET)有关机构申请了IPV4地址块。
因特网具有统一接口,即通过百兆以太网接入中国教育科研网(CERNET)。
大学向因特网发布信息并为全校提供有关的信息服务,
每个二级学院都包含网管中心、院办公楼、教学楼、实验楼、干部培训楼、学生公寓楼等。
每个学院也自行向因特网发布学院信息并负责学院自己的信息服务,每个学院都拥有约1500台PC。
网络需求分析
为提高网络可靠性及安全性,需要在主干网采用光纤布线。
校园网应实现虚拟局域网(VLAN)的功能,以保证全网的良好性能及网络安全性。
主干网交换机应具有很高的包交换速度,整个网络应具有高速的三层交换功能。
主干网络应该采用成熟的、可靠的快速以太网和千兆位以太网技术作为校园网主干。
校园网应选用先进的网管软件,建立完善的网络管理体系。
在设备方面,应选择有校园网成功案例的网络厂商的设备,同时为Internet、拨号用户和移动用户提供接口,网络还应具有良好的扩展性。
整个业务网必须具备良好的可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。
同时应尽可能选取集成度高、模块
3网络总体设计
网络架构分析
现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每层的集线器或交换机在连接到本楼出口的交换机,各个楼的交换机再连接到园区通信网中。
为了增加网络的可靠性,四个园区通信网连成一个环构成校园网的核心区域,从而构成了大学校园网的拓补结构。
采用三层结构为该大学设计校园网。
选用万兆以太网作为连接大学4个校区的高速主干;选用千兆以太网作为各个校区内楼层之间的主干,形成大学校园网的汇聚层;选用百兆以太LAN作为基本的接入形式,在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。
设计思路
进行校园网总体设计,首先要进行对象研究和需求调查,明确学校的性质、任务和改革发展的特点及系统建设的需求和条件,对学校的信息化环境进行准确的描述;在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,根据应用需求建设目标和学校主要建筑分布特点,进行系统分析和设计。
1、万兆交换机互联各个园区网
选用万兆交换机互联各个园区网,而不选用高速路由器是因为:
①各园区网均采用的以太网技术体系,兼容性好。
②大学将在校园网上开展教学视频观摩、远程听课等多媒体应用,提供高速率信息通道是必要的。
万兆交换机为三层交换机,是具有选路功能的交换机,在校园网环境下能够具有更好的性能。
③价格因素。
若在覆盖几十千米范围采用高速路由器的话,底层通常要采用SDH技术,这使有关设备的价格要增加2~3倍。
尽管高速路由器带来的对各个园区有更好的隔离性,在该校园网中用处不大。
2、主干网采用公用IP地址相连
该校园网从CERNET获得了IP地址的数量是无法满足需求的,只能供向因特网发布信息和联系或进行网络科学研究之用,因此构成校园网IP地址的主体是经过NAT转换的专用网地址。
使用专用网地址不利于与其他大学的学术交流,但也是不得已而为之的方法;另一方面,可能使得校园网受到网络黑客侵扰会少些。
校园网的设计原则
(1)先进性原则
以先进、成熟的网络通信技术进行组网,支持数据、语音和视频图像等多媒体应用,采用基于交换的技术代替传统的基于路由的技术,并且能确保网络技术和网络产品在几年内基本满足需求。
(2)开放性原则
校园网的建设应遵循国际标准,采用大多数厂家支持的标准协议及标准接口,从而为异种机、异种操作系统的互连提供便利和可能。
(3)可管理性原则
网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。
在优秀的网络管理之下,将大大提高网络的运行速率,并可迅速简便地进行网络故障的诊断。
(4)安全性原则
信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。
网络系统的每一个环节都可能造成安全与可靠性问题。
(5)灵活性和可扩充性
选择网络拓扑结构的同时还需要考虑将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置,因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。
(6)稳定性和可靠性
可靠性对于一个网络拓扑结构是至关重要的,在局域网中经常发生节点故障或传输介质故障,一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外,同时还应具有良好的故障诊断和故障隔离功能。
网络三层结构设计
主干网核心层设计
校园网分为公网和专网。
通过防火墙,连接放置各种应用服务器的非军事区部分,并经路由器与CERNET相连。
该三层校园网结构中的核心层位于公网部分,可选用了Cisco公司的万兆交换机Cat6509。
租用电信公司的光纤裸芯,用万兆速率将4个园区的4台万兆交换机连成一个环。
为提高网络可靠性,还在园区2和园区4之间用千兆光缆连接起来。
校园网的核心层结构如下图所示:
园区内汇聚层设计
汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性。
本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计,以满足客户需求。
园区网可基本保持原有的二层网络架构,并在自己的园区网中使用专用IP地址块,楼层之间采用千兆光纤相连,汇聚到千兆主交换机上与大学万兆交换机通过防火墙相连。
由于各二级学院的园区中具有的PC数量为1500台左右,考虑到教学区域、管理区域和学院内数据服务区域,建议划分为若干个子网,也可以划分为多个VLAN,以隔离广播流量,提高网络工作效率,并提高安全性。
二级学院网络的主干网可采用3COM公司的Switch4007交换机与3C16980连接的千兆光缆构成了学院园区网的主干,向下以百兆以太网作为接入网与用户PC相连。
二级学院园区网的二层网络拓扑架构如下图所示:
IP规划与VLAN
IP地址的分配原则
IP地址规划的好坏,不仅影响到网络路由协议算法的效率,更影响到网络的性能和稳定以及网络的扩展和管理,也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。
该大学有六个二级学院,每个学院大约1500台PC,而申请到的IP地址为8*256-2个=2022个,远小于6*1500台,所以必须用到NAT技术。
学校对外各种INTERNET服务,核心层设备都使用公网IP,普通终端PC使用私网IP,经NAT技术上网。
这样既满足普通用户上网需求又可以使服务器正常作用于互联网。
公网地址分配
对IP地址块进行子网划分,划分为8个子网,6个二级学院各分配254个IP地址,余下的254个IP地址用于大学校园网主干和科研。
大学和同在一园区的一个二级学院的IP地址分配时应连续。
表1:
学校公网IP地址分配表
名称
公网IP段
园区一
大学本部
学院一
学院二
园区二
学院三
学院四
园区三
学院五
园区四
学院六
学校服务器
专用网的IP地址规划
由于分配给该大学校园网的IP地址远远不能满足需求,因此这些IP地址主要用于向因特网发布信息和进行科学研究之用。
而大学内部教学、科研、办公用的校园网,就需要我们采用NAT技术。
每个学院都有1500台计算机,这里从专用的IP地址段中取出一个B类地址进行规划即可。
本例我们可以取,将其分配给大学和6个二级学院。
每个单位都能够分配一块IP地址,其中具有30个子网,每个子网容纳的主机数量达8*256-2=2046台,选用7个子网,分别给大学和二级学院各一个子网。
事实上,由于各学院使用的专用IP地址互不相关,可以由各个学院独立进行规划也可。
表2:
学校专网公网IP地址分配表
名称
专网IP段
园区一
大学本部
学院一
学院二
园区二
学院三
学院四
园区三
学院五
园区四
学院六
学校服务器
专用网中vlan划分
VLAN技术允许将一个网络的物理的LAN逻辑划分成不同的广播域。
一个VLAN内部的广播和单播流量被限制在本VLAN之内,不会转发到其他VLAN中,这有助于控制流量、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访。
虚拟局域网的好处是可以限制广播范围,是一种比较成熟企业组网规范,在本案例中我们可以利用它划小网络特点,我们可以进一步监控网络,就算IP冲突产生,也轻易知道它发生在哪个部门(若VLAN划分以部门为依据)
设备选型
核心交换机设备选型
通常将网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供油画,可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,性能和吞吐量。
锐捷网络RG-S9620如图所示,交换机成为企业网络核心交换机的理想选择,适用于为政府、学校、企业构建高速、安全、可靠的万兆网络,它的背板带宽为,包转发率:
L2:
3571Mpps,L3:
3571Mpps,扩展插槽:
20个(4个用于管理与交换距阵)
汇聚层设备选型
通常将位于接入层和核心层之间的部分称为分布层或汇聚层,汇聚层交换层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。
图
各二级学院网管中心汇聚层交换机选择,锐捷网络RG-S8606为企业网络核心交换机的理想选择,如图所示。
适用于为政府、学校、企业构建高速、安全、可靠的千兆背板带宽为,包转发率:
L2:
595Mpps,595Mpps,扩展插槽:
6个(2个用于管理引擎模块)。
在二级学院各楼层的汇聚层交换机,我们采用锐捷网络RG-S3760E-24,如图所示,属于千兆交换机,背板带宽:
,包转发率:
。
接入层设备选型
通常将网络中直接面向用户连接或访问网络的部分称为接入层,接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。
接入层交换机我们选择可网管的交换机。
物理/链路层配置原则
物理/链路层配置遵循下面的原则:
1.网络设备互连的物理端口都应该绑定端口的速率和全双工模式;
2.建议所有的Vlan都不要穿透核心层,所有的Vlan都将在汇聚层交换机上终结;
3.本实施方案建议不要启用STP生成树协议,由于所有的Vlan都已在汇聚层交换机终结,在二层上并没有环路存在,故无必要启用;如果开启基于每个Vlan的生成树协议,广播报文将会很多,影响核心交换机性能和网络收敛时间;
4.所有核心层和汇聚层交换机之间的互连端口均设置为Trunk模式,但目前只容许互连Vlan通过,以应付将来有Vlan穿越核心层这种情况;
5.汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。
4网络安全与管理
网络安全
校园网的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。
来源于网内的威胁主要是病毒攻击和黑客行为攻击。
根据统计,威胁校园网安全的攻击行为大概有40%左右是来自于网络内部,如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。
威胁网络安全因素分析
计算机网络安全受到的威胁包括:
1.“黑客”的攻击;
2.计算机病毒;
3.拒绝服务攻击(DenialofServiceAttack)。
网络安全防范措施
在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,我们选购了一套网络安全防范设备。
1瑞星杀毒软件网络版
1.超强病毒查杀
2.智能主动防御
3.增强型全网漏洞管理
4.强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。
5.兼容多种平台
6.一体化智能服务体系
网络管理
在校园网络管理方面,为了便于校园网络管理人员的管理及维护,我们选购Quidview网络管理软件。
Quidview网络管理软件基于灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
Quidview网络管理软件采用组件化结构设计,通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。
支持多种操作系统平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
网络安全策略配置
安全接入和配置
安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制,从而为网络基础设施提供安全性。
限制远程访问的安全设置方法如下表19
安全接入和配置方法
访问方式
保证网络设备安全的方法
备注
Console控制接口的访问
设置密码和超时限制
建议超时限制设成5分钟
进入特权exec和设备配置级别的命令行
配置Radius来记录logon/logout时间和操作活动;配置至少一个本地账户作应急之用
telnet访问
采用ACL限制,指定从特定的IP地址来进行telnet访问;配置Radius安全纪录方案;设置超时限制
SSH访问
激活SSH访问,从而允许操作员从网络的外部环境进行设备安全登陆
WEB管理访问
取消Web管理功能
SNMP访问
常规的SNMP访问是用ACL限制从特定IP地址来进行SNMP访问;记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击
为增加安全,建议更改缺省的SNMPCommutiy子串
设置不同账号
通过设置不同的账号的访问权限,提高安全性
拒绝服务的防止
网络设备拒绝服务攻击的防止主要是防止出现TCPSYN泛滥攻击、Smurf攻击等;网络设备的防TCPSYN的方法主要是配置网络设备TCPSYN临界值,若多于这个临界值,则丢弃多余的TCPSYN数据包;防Smurf攻击主要是配置网络设备不转发ICMPecho请求(directedbroadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
3.3.3访问控制
1允许从内网访问internet,端口全开放。
2允许从公网到DMZ(非军事)区的访问请求:
WEB服务器只开放80端口,mail服务器只开放25和110端口。
禁止从公网到内部区的访问请求,端口全关闭。
4允许从内网访问DMZ(非军事)区,端口全开放
5允许从DMZ(非军事)区访问internet,端口全开放
6禁止从DMZ(非军事)区访问内网,端口全关闭。
电源系统
为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。
为此,在网络中心配置了一套山特C3KVA/2100W的UPS电源。
5综合布线设计
综合布线的设计原则
综合布线同传统的布线相比较,有着许多优越性,是传统布线所无法比及的。
其特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期。
而且在设计、施工和维护方面也给人们带来了许多方便。
结构化综合布线系统的组成及设计
综合布线系统(PDS,PremisesDistributionSystem)是一套开放式的布线系统,可以支持几乎所有的数据、语音设备及各种通信协议,同时,由于PDS充分考虑了通信技术的发展,设计时有足够的技术储备,能充分满足用户长期的需求,应用范围十分广泛。
而且结构化综合布线系统具有高度的灵活性,各种设备位置的改变,局域网的变化,不需重新布线,只要在配线间作适当布线调整即可满足需求。
结构化综合布线一般划分为六个子系统。
工作区子系统(WorkArea)及其网络设计
工作区子系统,是由RJ-45跳线与信息插座所连接的设备组成。
信息点由标准RJ45插座构成。
信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余。
例如:
对于一个办公区内的每个办公点可配置2~3个信息点,此外应为此办公区配置3~5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等。
若此办公区为商务应用则信息点的带宽为100M可满足要求;若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。
工作区的终端设备(如:
电话机、传真机)选用安普公司的超五类双绞线直接与工作区内的每一个信息插座相连接,或用适配器(如ISDN终端设备)、平衡/非平衡转换器进行转换连接到信息插座上。
配线子系统(Horizontal)及其网络设计
配线子系统,是从工作区的信息插座开始到管理间子系统的配线架。
选择配线子系统的线缆,要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。
在配线子系统中推荐采用的双绞电缆及光纤型号为:
安普公司的超五类或六类非屏蔽双绞线,TCL室内单模或多模光纤。
双绞线水平布线链路中,水平电缆的最大长度为90m。
若使用100ΩUTP双绞线作为配线子系统的线缆,可根据信息点类型的不同采用不同类型的电缆。
该方案选择安普公司的超五类非屏蔽双绞线缆。
干线子系统(Backbone)及其网络设计
干线子系统,负责连接管理子系统到设备间子系统的子系统。
干线子系统可以使用的线缆主要有:
HAY三类大对数电缆;安普公司的超五类或六类双绞线;TCL室内单模或多模光纤。
该方案选择安普公司的超六类双绞线缆。
垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。
其功能主要是把各分层配线架与主配线架相连。
用主干电缆提供楼层之间通信的通道,使整个布线系统组成一个有机的整体。
垂直干线子系统Topology结构采用分层星型拓扑结构,每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。
垂直主干采用25对大对数线缆时,每条25对大对数线缆对于某个楼层而言是不可再分的单位。
垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。
设备间子系统(EquipmentRoom)及其网络设计
设备间子系统,由电缆、连接器和相关支撑硬件组成。
采用BIX跳接式配线架,连接交换机;采用光纤终结架连接主机及网络设备。
设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。
它们可以放在一起,也可分别设置。
在较大型的综合布线中,可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房,把与综合布线密切相关的硬件设备放置在设备间,计算机网络设备的机房放在距离设备间不远的位置。
设备间子系统是一个集中化设备区,连接系统公共设备,如局域网(LAN)、主机、建筑自动化和保安系统,及通过垂直干线子系统连接至管理子系统。
管理子系统(Administration)及其网络设计
管理子系统,由交连、互连和I/O组成。
管理是针对设备间、电信间和工作区的配线设备、缆线等设施,按-定的模式进行标识和记录的规定。
跳线采用超5类非屏蔽双绞线,RJ45接头。
管理间是楼层的配线间,管理子系统为其他子系统互连提供手段,它是连接垂直干线子系统和水平干线子系统的设备。
管理子系统由交连、互连和输入/输出组成,实现配线管理,为连接其它子系统提供手段。
包括配线架、跳线设备及光配线架等组成设备。
设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。
安普公司的综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。
建筑群子系统(CampusSubsystem)及其网络设计
建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。
建筑群之间可以采用有线通信的手段,也可采用微波通信、无线电通信的手段。
传输介质采用室外六芯多模光纤。
建筑群子系统介质选择原则:
楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点:
包括路由起点、终点;线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。
建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。
建筑群子系统的设计:
3号楼、5号楼与办公楼之间由于距离较远,采用单模光纤连接;3号楼使用多模光纤连至1号楼、2号楼、公共卫生学院、电镜楼和由5号楼使用多模光纤连至6号楼、7号楼和研究生楼;图书馆与办公楼距离较近,采用千兆以太网连接。
考虑近期学校使用、设备投资、距离超长等各种因素,采用多模光纤和单模光纤混合的方式连接,并在每个建筑物内预留了多模光纤,以备将来整个网络系统的发展。
进线间子系统及其网络设计
进线间一个建筑物宜设置1个,一般位于地下层,外线宜从两个不同的路由引入进线间,有利于与外部管道沟通。
进线间与建筑物红外线范围内的人孔或手孔采用管道或通道的方式互连。
进线间因涉及因素较多,难以统-提出具体所需面积,可根据建筑物实际情况,并参照通信行业和国家的现行标准要求进行设计,本规范只提出原则要求。
防雷系统
由于机房雷电防护系统对所保护系统的业务正常运行具有非常重要的作用,因此雷电防护系统应具备先进性、可靠性、易维护、易升级等方面的突出特性。
主要保护对象为信息中心机房
具体措施:
对于采用光纤通信的线路可以不另外加装防雷器,只需在光纤入户端将光纤内的钢筋做良好接地即可。
但应考虑到做为备份通信的其它线路,如DDN等,因此对非光纤的通讯线路做防雷保护是有必要而且是必需的。
可在专线通讯线路入户端加装RJ45-ISDN/4
升级会员 