1、XX校园网络设计方案书第一章建设目标与原则 21.1 XX学院网络建设目标 21.2校园网设计原则 3第二章校园网建设方案 52. 1搭建校园网络系统 52.2网络拓扑结构 62.3 IP地址规划 72.4设备选型 92.5网络安全设计 112.6网络管理系统设计 16第三章网络应用解决方案 203.1综合办公自动化系统 203.2网络计费系统 21第四章网络的综合布线系统 234.1综合布线标准 234. 2设计范围及要求 234.3布线的实施 244. 4测试及验收 27参考文献 30XX学院校园网建设方案【摘要】科学技术的发展日新月异,在计算机技术和通信技术结合下,网络 技术得到了飞速的
2、发展。如今,不仅计算机已经和网络紧密结合,整个社会都不 可能脱离网络而存在。网络技术已经成为现代信息技术的主流,人们对网络的认 识也随着网络应用的逐渐普及而迅速改变。在不久的将来,网络必将成为和电话 一样通用的工具,成为人们生活、工作、学习中必不可少的一部分。XX学院校园网一期、二期建设基本完成了校园网的框架,主要用于连接各实 验室、教研室和各部处通过网络中心与Internet连接。但是随着学校的发展,广 大师生对校园网的覆盖率、稳定性、管理及业务提出了更高的要求,而原有的校 园网在以上几方面均暴露出一系列不足。在本方案中,我们将详细阐述XX学院校园网的建设方案,内容大致分为搭建 网络、网络安
3、全、系统应用、网络管理、综合布线等几部分。【关键字】局域网、Internet、计算机网络、网络协议 服务器 防火墙第一章建设目标与原则1.1 XX学院网络建设目标学校共有员工和学生9000人,院区内共有12栋建筑,包括教学楼、实验楼、 现教楼、图书馆、宿舍楼等。上网的人员主要是学生、教师和科研人员。学校的网络同时承载着多样的网络应用:网络下载、视频点播、网络聊天、 专项课题研究、网络化教学,学校要求网络具有高性能、高可用性和高安全性。学校规模在不断扩大中,用户数在持续增加,要求网络具有很好的扩展性, 能够根据需要逐步平滑升级到千兆的骨干连接。学生拥有笔记本电脑的人数越来越多,他们想在校园的各个
4、地方都可以上 网,甚至包括操场。要求网络具有移动和无线集成。学校要求能对每个用户的使用情况能进行事后审计,能够定位到IP地址以 及用户所连接的端口和登录的用户名。由于校园网络的开放性和流量的多样性,学校要求能及时发现网络异常流量 并做出响应。同时要求基于每用户的速率限制。另外在设备支持上要求:在10/100或10/100/1 OOOBaseT上支持802. 3af PoE;网络设备集成的安全性;要求第2层和第3层的QoS;要求增强的802. 1x 功能;支持10GE或将来平滑过渡到10GEo当前万兆以太网将成为园区骨干网的主流技术。但根据XX学院目前的实际 情况,可先采用千兆位以太网作为园区骨
5、干,以后再根据需要升级;另外交换机 及路由器本身的性能对整个网络的性能也有影响,诸如线速转发、QoS、STP、可 支持的路由协议的收敛特性等等都将影响网络的性能。高可用性:网络的高可用性必须依靠冗余来实现,网络级冗余性可以利用双 宿主设计自动绕过故障链路或设备,能够使用智能协议保持网络可靠性。设备级 冗余性可以利用设备内部部件(如管理引擎、电源、风扇等)的冗余来提供不间 断服务。线路级冗余可通过敷设物理走向不同的线缆的方式来实现线路的畅通。 对于XX学院来说,以上所说在不同的场合中都有可能用到;另外,降低网络的 复杂性、提供备用互联网出口、强大的网络监控功能及良好的用户培训也可增加 园区网的可
6、用性。高安全性:现阶段网络建设主要面临以下几方面的问题:网络流量增长得很 快,与此同时网络运营商的接入费用不降反升;管理人员对校园网的运行情况缺 乏基本的分析和管理工具;网络安全事件时有发生,重要服务器和核心网络设备 被攻击;网络病毒泛滥,得不到控制;有线用户和无线用户的接入控制、定位缺 乏手段等;针对以上问题,将安全连接、威胁防御、信用和身份管理系统集成到 单个解决方案中,并提供病毒感染限制、染毒设备隔离功能可有效的解决校园网 建设中的安全问题。高可扩展性:在设计园区网时,通过层次化的设计可保证网络的扩展性。层 次化结构包括三个功能部分:即接入层、分布层和核心层,层次化的设计除了能 带来便于
7、扩展的优势以外,还可节约成本和加强故障隔离能力;移动性:可通过实施Wireless LAN实现无线上网。1.2校园网设计原则采用先进成熟的技术和设计思想,运用先进的集成技术路线,以先进、实用、 开放、安全、使用方便和易于操作为原则,突出系统功能的实用性,尽快投入使 用,发挥较好的效能。计算机技术的发展十分迅速,更新换代周期越来越短。所以,选购设备要充 分注意先进性,选择硬件要预测到未来发展方向,选择软件要考虑开放性,工具 性和软件集成优势。网络设计要考虑通信发展要求,因此,主要、关键设备需要 具有很高的性价比。系统的设计既要在相当长的时间内保证其先进性,还应本着实用的原则,在 实用的基础上追求
8、先进性,使系统便于联网,实现信息资源共享。易于维护管理, 具有广泛兼容性,同时为适应我国实际情况,设备应具有使用灵活、操作方便的 汉字、图形处理功能。目前,计算机网络与外部网络互连互通日益增加,都直接或间接与国际互连 网连接。因此,系统方案设计需考虑系统的可靠性、信息安全性和保密性的要求。XX学院校园网设计方案设计原则和需求分析,可以方便地进行设备扩充和适 应工程的变化,以及灵活地进行软件版本的更新和升级,保护用户的投资。目前,网络向多平台、多协议、异种机、异构型网络共存方向发展,其目标 是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。 所以所选网络的通迅协议要符合国际
9、标准,为将来系统的升级、扩展打下良好的 基础。采用结构化、模块化的设计形式,满足系统及用户各种不同的应用要求,适 应业务调整变化。采用的技术标准必须按照国际标准和国家标准与规范,保证系统的延续性和 可靠性。满足系统目标与功能目标,总体方案设计合理,满足用户的应用要求,便于 系统维护,以及系统二次开发与移植。第二章校园网建设方案2. 1搭建校园网络系统XX学院从地理上分为二大块:教学区和宿舍区。目前只在教学区部分大楼进 行了联网,宿舍区没有联网。因此,我们需要做的工作是宿舍区和教学区的网络 互联,以及教学区的网络扩展。本方案采用成熟的千兆以太网技术,采用分层结构的解决方案。整个网络设 计的原则为
10、:中心交换机为整个网络的核心,它对整个网络的性能、可靠性起决定作用, 它连接各个物理子网,管理网络内信息交换(包括多媒体信息),控制VLAN间 访问,保证信息安全。因此,选用中心交换机除了提供高速的网络连接之外,还 具有多种信息的管理控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术,为多媒体 和多点广播应用等提供端到端的带宽保证。网络采用层次结构,不仅逻辑结构清晰,管理方便;更重要的是大多数的数 据流量(主要是同一部门或工作组内)的交换在分布层交换机上直接处理,不经 中心设备,节省主干带宽,提高利用率。有一定的前瞻性,不仅满足当前网上应用,也为向将来更高性能的升级作好
11、了准备:网络具有的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口 模块,即可实现用户和信息点的扩充,升级模块即可大量提高主干带宽;中心配 置两台多层交换机,网络结构就能连接成高可靠性的、真正的中心交换机互备份 和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统,在整个系统 内消除单点故障,提供高可用性的应用服务系统。虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个 临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专 用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商 业伙伴及供应商同公司的内部网建立可信的安全连接,并保证
12、数据的安全传输。 虚拟专用网可用于不断増长的移动用户的全球因特网接入,以实现安全连接;可 用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙 伴和用户的安全外联网虚拟专用网。2. 2网络拓扑结构根据地理位置及信息点的数量和未来覆盖面扩充等多方面原因,将校园网为 每个系划分若干个区域。划分区域主要考虑以下几个方面:可以减轻中央核心交 换机的负担、管理上方便、便于未来的连接扩充。XX学院校园网的拓朴如图2. 1所示:图2.1 XX学院校园网的拓朴图整个校园网划分为三个层次:核心层、分布层和接入层。相应的交换机就是 核心交换机、分布层交换机和接入层交换机。核心层网络选择千兆以太网
13、。校网络中心将放置两台高端三层千兆交换机和 一台边界路由器。交换机间的连接要求是高带宽连接。分布层交换机要求至少两 路上行链路连至两台核心层交换机上,采用快速收敛的路由协议实现故障切换和 负载均衡,当某一链路出现意外,也可以从另外一路上连。校内各系的汇聚交换机构成,各分布层交换机放置在各系的网络中心,要求 至少两路上行链路连至两台核心层交换机上。分布层交换的下连交换机都为接入层网络。2.3 IP地址规划本方案采用的地址分配方法利用VLSM技术,不仅有大量预留空间,而且本校园网使用OSPF路由协议有层次的IP地址易于管理在边界路由器上可做汇聚(汇聚成10. 1.0. 0/17网段),减少路由更新
14、大小,提高网络性能。如表2. 1所示:表2.1 XX学院校园网IP地址分配表建筑物设备IP地址子网掩码现教楼中心机房VPN防火墙10. 1.0. 1255. 255. 255. 0边界路由器10. 1.0. 2255. 255. 255. 0核心交换机110.1.0.3255. 255. 255. 0核心交换机210. 1.0.4255. 255. 255. 0WEB/FTP服务器10.1.70. 1255. 255. 255. 0认证服务器10.1.70.2255. 255. 255. 0DNS/DHCP服务器10.1.80. 1255. 255. 255. 0用户10.1.10.0255.
15、 255. 255. 0教学楼分布层交换机10.1.0.5255. 255. 255. 0接入层交换机10. 1.0.6255. 255. 255. 0AP10.1.63.7255. 255. 255. 0用户10. 1.20.0255. 255. 254. 0实验楼分布层交换机10. 1.0.8255. 255. 255. 0接入层交换机10. 1.0.9255. 255. 255. 0AP10. 1.63. 10255. 255. 255. 0用户10.1.30.0255. 255. 248. 0图书馆分布层交换机10.1.0.11255. 255. 255. 0接入层交换机10.1.0.
16、12255. 255. 255. 0AP10. 1.63. 13255. 255. 255. 0用户10. 1.40. 0255. 255. 254. 0行政楼分布层交换机10.1.0.14255. 255. 255. 0接入层交换机10. 1.0. 15255. 255. 255. 0AP10. 1.63. 16255. 255. 255. 0用户10.1.50.0255. 255. 254. 0宿舍楼分布层交换机10. 1.0. 17255. 255. 255. 0接入层交换机10. 1.0. 18255. 255. 255. 0AP10. 1.63. 19255. 255. 255. 0
17、用户10. 1.64. 0255. 255. 192. 02. 4设备选型本方案中校园网络核心层设备采用Cl SCO Cata I yst 6509 (Superv i sor Engine 720*2/电源*2/FWSM*1/IPSec VPN 模块*1/IDSM*1/NAM*1/16 口千兆以太网光口 板*1/若干5486/48 口千兆电口*1,符合IEEE802. 3af&PoE)数量:2 台。Cisco Catalyst 6509 的优点:最长的网络正常运行时间一利用平台、电源、控制引擎、交换矩阵和集 成网络服务冗余性提供13秒的状态故障切换,提供应用和服务连续性统一在 一起的融合网络
18、环境,减少关键业务数据和服务的中断。全面的网络安全性一将切实可行的数千兆位级思科安全解决方案集成到 现有网络中,包括入侵检测、防火墙、VPN和SSL。可扩展性能一利用分布式转发体系结构提供高达400Mpps的转发性能。能够适应未来发展并保护投资的体系结构一在同一种机箱中支持三代可 互换、可热插拔的模块,以提高IT基础设施利用率,增大投资回报,并降低总 体拥有成本。卓越的服务集成和灵活性一将安全和内容等高级服务与融合网络集成在 一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0到0C-48的 各种接口和密度,并能够在任何部署项目中端到端执行。校园网络分布层设备采用CIS
19、CO Catalyst 4507R (Supervisor Engine V-10GE*2/电源*2/若干千兆以太网光口板及GBIC/48 口千兆电口板料,符合 IEEE802. 3af&PoE)数量:7 台。Cisco Catalyst 4506 (With Supervisor V-10GE) 的优点是:136Gbps交换矩阵;102mpps第二层到第四层吞吐率;双线速万兆以太网上行链路;利用千兆以太网SFP上行链路顺利移植到万兆以太网;在交换管理引擎上提供集成式NetFlow,通过基于用户的速率限制实施精 确流量控制;超快速800MHz CPU可实现更快的控制平面;最多能够在Cataly
20、st 451 OR交换机中支持384个10/100/1000端口;提供所有Cisco Catalyst集成式安全特性;为提供更加灵活的策略,能够为每个端口和VLAN实施不同的QoS;思科快速转发能够防止可变IP信息攻击。端口安全、DHCP侦听、ARP检测和IP源防护能够防止黑客从第二层及 以上发动拒绝服务(DoS)攻击或破坏网络。速率限制以出口和入口限速器的方式出现,可以控制每个VLAN的流量, 防止DoS攻击。Supervi sor Engine V-10GE支持基于用户的速率限制。 802. 1X及其扩展性能防止非法用户和设备接入网络,例如恶意接入点。硬件Netflow可用于主动发现网络流
21、量异常,并采取相应措施。它使用 的访问控制列表可在交换端口和路由端口上提供,以便进行二到七层流量控制。校园网络接入层设备采用CISCO Catalyst 3560(EMI)交换机,该系列交换机 是一个固定配置、企业级、IEEE 802. 3af和思科预标准以太网供电(PoE)交换 机系列,工作在快速以太网和千兆位以太网配置下。CISCO Catalyst 3560是一款理想的接入层交换机,适用于小型企业布线室 或分支机构环境,结合了 10/100/1000和PoE配置,实现最高生产率和投资保护, 并可部署新应用,如IP电话、无线接入、视频监视、建筑物管理系统和远程视 频访问等。客户可在整个网络
22、范围中部署智能服务,如高级QoS、速率限制、访问控制 列表、组播管理和高性能IP路由等,且同时保持传统LAN交换的简洁性。思科网络助理(network assistant)在Catalyst 3560系列中免费提供,是 一个集中管理应用,可简化思科交换机、路由器和无线接入点的管理任务。思科 网络助理提供了配置向导,大大简化了融合网络和智能网络服务的实施;支持增 强的802. 1x(IBNS)o2. 5网络安全设计XX学院网络安全性方案设计原则是:整个XX学院网络必须是一个严密的安全 保密体系。采取的安全措施不能影响整个网络运行效率。保密设备要做到管理方 便,完善可靠。加密系统具有良好的网络兼容
23、性和可扩展性,实现防窃取、防篡 改、防破坏三大功能。按照国家主管部门对政府办公网络安全保密性的相应法规 和规定,要保障系统内部信息的安全,我们主要应该做到处理秘密级、机密级信 息的系统与不涉及保密信息的系统实行物理隔离,秘密级、机密级信息在网络上 采取加密传输。防火墙是设置在内部网络与Internet之间的一个或一组系统,用以实施两 个网络间的访问控制和安全策略。狭义上防火墙指安装了防火墙软件的主机或和 路由系统;广义上还包括整个网络的安全策略和安全行为。防火墙技术属于被动 防卫型,它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的 目的,其功能是按照设定的条件对通过的信息进行检查
24、和过滤。防火墙是实施组 织的网络安全策略、保护内部信息的第一道屏障,其作用主要有:保护功能拒绝 非授权访问、保护网络系统和私人及敏感信息不受侵害。连接功能作为内部网络 与Internet之间的单一连接点。管理功能实施统一的安全策略,检查网络使用 情况,进行流量控制等。防火墙有三个属性:所有进出内部网的数据包必须经过它;仅被本地安全策 略所授权的数据包才能通过它;防火墙本身对攻击必须具有免疫能力。在XX学院 和外网的连接中,我们推荐使用硬件防火墙。比如CISCO ASA5510-BUN-K9系列:并发连接数130000网络吞吐量(Mbps) 300安全过滤带宽170Mbps 网络端口 3+1个管
25、理快速以太网端口、可升级到5个快速以太网端口、1 个SSM扩展插槽用户数限制无用户数限制入侵检测DoS安全标准UL 1950, CSA C22. 2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001控制端口 console管理思科安全管理器(CS-Manager)VPN支持选择该型号是因为价格适中,且功能齐全,较适合本校园网建设。在内部网络和外网之间之间通过防火墙,建立起一个DMZ区。与外网关联业 务的服务器都可以放在DMZ区,Internet上的用户只能到达DMZ区相应的服务 器。并且内部网络到Internet的连接,是通过NAT地址翻译的方式进行
26、,可以 充分隐藏和保护内部网络和DMZ区设备。防火墙在内外网络连接中起两个作用:利用访问控制列表(Access Control List , ACL)实安全防护防火墙操 作系统I0S通过访问控制列表(ACL)技术支持包过滤防火墙技术,根据事先确 定的安全策略建立相应的访问列表,可以对数据包、路由信息包进行拦截与控制, 可以根据源/目的地址、协议类型、TCP端口号进行控制。这样,我们就可以在 Extranet上建立第一道安全防护墙,屏蔽对内部网Intranet的非法访问。例如,我们可以通过ACL限制可以进入内部网络的外部网络甚至是某一台或 几台主机;限制可以被访问的内部主机的地址;为保证主机的安
27、全,可以限制外 部用户对主机的一些危险应用如TELNET等。利用地址转换(Network Address Trans I at i on, NAT)实现安全保护防 火墙另外一个强大功能就是内外地址转换。进行IP地址转换由两个好处:其一 是隐藏内部网络真正的IP地址,这可以使黑客(hacker)无法直接攻击内部网 络,因为它不知道内部网络的IP地址及网络拓扑结构;另一个好处是可以让内 部网络使用自己定义的网络地址方案,而不必考虑与外界地址冲突的情况。地址 转换(NAT)技术运用在内部主机与外部主机之间的互相访问的时候,当内部访 问者想通过路由器外出时,路由器首先对其进行身份认证一-通过访问列表(
28、ACL)核对其权限,如果通过,则对其进行地址转换,使其以一个对外公开的 地址访问外部网络;当外部访问者想进入内部网时,路由器同样首先核对其访问 权限,然后根据其目的地址(外部公开的地址),将其数据包送到经过地址转换 的相应的内部主机。在XX学院网络工程和今后各种应用系统的建设过程中,在局域网上我们可以 根据不同部门、不同业务类别划分VLAN (虚网),通过把不同系统划分在不同VLAN 的方式,将各系统完全隔离,实现对跨系统访问的控制,既保证了安全性,也提 高了可管理性。VLAN (虚网)技术和VLAN路由技术VLAN技术用以实现对整个局域网的集中管理和安全控制。CISCO局域网交 换机的一大优
29、势是具备跨交换机的VLAN (虚网)划分和VLAN路由功能。虚网是 将一个物理上连接的网络在逻辑上完全分开,这种隔离不仅是数据访问的隔离, 也是广播域的隔离,就如同是物理上完全分离的网络一样,是一种安全的防护。 通过VLAN路由实现对跨部门访问的控制,既保证了安全性,也提高了可管理性。I nter-VLAN Rout i ng 原理每一个VLAN都具有一个标识,不同的VLAN标识亦不相同,交换机在数据链 路层上可以识别不同的VLAN标识,但不能修改该VLAN标识,只有VLAN标识相同 的端口才能形成桥接,数据链路层的连接才能建立,因而不同VLAN的设备在数据 链路层上是无法连通的。Inter-
30、VLAN Rout i ng技术是在网络层将VLAN标识进行 转换,使得不同的VLAN间可以沟通,而此时基于网络层、传输层甚至应用层的 安全控制手段都可运用,诸如Access-list (访问列表限制)、FireWall(防火 墙)、TACACS+等,Inter-VLAN Routing技术使我们获得了对不同VLAN间数据流 动的强有力控制。 MAC地址过滤策略在内部网中还可以利用Cisco交换机的MAC地址过滤功能对局域网的访问提供链路层的安全控制。MAC地址过滤能进一步实现对局域网的安全控制oCISCO 局域网交换机具有MAC地址过滤功能,通过在交换机上对每个端口进行配置,可 以禁止或允许
31、特定MAC地址的源站点或目的站点,从而实现各站点之间的访问控 制。由于每块网卡有唯一的MAC地址,是固定不变的,只允许特定MAC地址的工 作站通过特定的端口进行访问,所以对MAC地址的访问控制实际上就是对指定工 作站这一物理设备的访问控制,由于MAC地址的不可改变,与对IP地址的过滤 相比,具有更高的安全性。访问安全控制从确保网络访问的安全出发,路由器对所有远程拨号访问连接都由Radius设 置AAA (Authent i cat i on Author i zat i on Account,即认证、授权、记帐)级安全 控制,防止非法用户的访问。同时,在计费服务器上,也提供Radius认证方式, 两者可以配合使用。(也可以只采用计费服务器上的Radius认证)。具体的实现 细节如下:在网络中配置一台安装Cisco Secure软件的服务器,Cisco Secure软件使用Radius (Remote Authentication Dial-in User Service)协议提供对网络的 安全控制,并对成功连接到网络的用户的操作进行记录。对于远程拨号访问,配 置PPP
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1