大学校园网结构化布线方案.docx

1、大学校园网结构化布线方案大学校园网结构化布线方案1. 网络设计背景1.1. 背景上海外国语大学的现有校园网已初具规模,由于中心位置搬迁,用户数目扩展和加强管理等多方面的需求,在原有的网络基础上进行改造,进一步完善,加强安全管理,用户通信监控,提供更多的应用服务。1.2. 现有网络概况现有的网络拓扑结构如图所示。其主要交换设备均采用CISCO公司的产品,网络拓扑比较简单,应用服务相对集中。 中央交换设备为Catalyst 5000配置情况? 边缘交换机为两台Catalyst3000.配置情况? 路由器和通信服务器是CISCO 2511,8块modem,剩余一个同步口,一个异步口,还可扩展8路电话

2、线路和一路外连专线 主服务器为SUN 4,设备陈旧,性能较低。 无虚网划分,无网管, 拨号用户有简单的通讯量统计功能,校内专线用户无统计功能 服务主要为Email和WWW,提供与Internet接入。1.3. 改造需求 服务多样性:增加服务除现有服务外,可增加计费系统,图书检索,多媒体系统,BBS和FTP,Proxy服务等功能。 可管理性:包括对拨号用户和校内专线用户的信息量的统计,对师生访问权限的控制机制和对国外出口的管理。 安全性:加强对系统的管理,主机系统应有较强的抗攻击能力,在条件允许的情况下要有虚网划分机制,对网间的信息交换要有安全策略。 可扩充性:现有的网络应具有很强的扩展能力,能

3、够满足近期内可预见的用户接入需求,同时具有面向新技术的平滑升级能力。2. 网络设计2.1. 总体设计1. 主干设备:根据当前现有结构和主要设备,在新的网络构架中能够有两种方案可供选择, 仍采用以CISCO产品为主,在低端桌面型设备可选用其它厂家的产品,因为在当前情况下,多数非同厂家产品还不可能做到无缝连接,在高端即主干网上采用异构互连的方式可能会带来两个问题 互连性问题,虽然连通是可实现的,但由于协议标准的实现方法不同,可能会损失一部分带宽,实际使用的带宽速率要低于声明带宽速率。 虚网划分:当前各厂家实现虚网协议方法大多不同,因此在做虚网划分时会带来很多困难,甚至在某些情况下是不可实现的。 采

4、用其它厂商的低端产品(如3COM,Intel等),好处是价格便宜,且在当前低通讯量和负载情况下能够满足需要,在以后的网络升级过程中,能够替换向更低端的用户推2. 路由交换与外部互连: 外部网络当前仍采用DDN连接方式经过交大与教育网实现连接,暂时还无提高出口带宽的要求,当前所用路由器,有5kpps的包交换能力和一空闲同步口,能够满足近期的扩展要求。 如采用虚网技术就需要一个内部虚网间的信息交换的路由器,至少支持4个虚网即4个以太端口3. 主机系统可根据应用系统选择SUN+Solaris,PC+NT和PC+Linux的结构, SUN+Solaris是一种比较安全和稳健的网络服务器结构,而且由于管

5、理员对SUN系统较为熟悉,在管理上有经验,因此在UNIX主机系统中仍采用这种结构。但由于价格较为昂贵,在当前情况下不宜大范围采用。 PC+NT:管理简单方便,价格适中,但安全性较差,同时还有缺陷,同一网段数目过多的情况下可能会出现广播风暴。 PC+Linux:价格最为便宜,安全性上没有很大的把握,另外无生产厂家提供可靠的技术支持,在出现问题时是没有保障的。4. 远程访问远程拨号网络的扩展较为简单,当前现有的通信服务器还可支持8路线路的扩展,只要购置相应的modem和申请电话线路即可。2.2. 主干网络设计 Catalyst 5000:中央交换设备采用原有的Catalyst 5000,利用其10

6、0M Base-T端口加转换器连接外部新增设备。 Catalyst 3000 WS-C3016B配置情况:(原行政楼)1. 10BaseT RJ-452. AUI3. 2扩展槽(WS-X3001上行100BSAE-TX)4. EIA/TIA 232 console5. AUI DB15 SwitchProbe路由交换设备(optional)四10M BaseT端口路由,转发能力在50kpps以上,稳定性好,可靠性高,有一定的filter功能。 可采用专用路由器,可选品牌设备:CISCO,Bay,Intel 或用PC路由,在低负荷情况下是可行的,但有技术难点,需要测试其转发能力和可靠性。2.3.

7、 低端网络设计参见布线方案2.4. 应用系统现有服务器为1台SUN 4性能较低,所有应用集中在此机上,一是负载过重,另外给系统安全运行带来了很多不利因素。因此对改造后的网络应用系统提出了如下构想: DNS+Proxy+WWW:PC Sever +NT +IIS,根据当前校内用户数目和上网信息资源量,PC+NT是一种比较经济,有效的结构。而且微软的NT系统将所有上面提到了应用集成在NT系统里给管理带来了很大方便。但另一方面需要指出的是NT在安全性和管理角方面有很大不足,需要管理员有较为丰富的经验和完善的监控手段和防范机制,能够在突发事件产生时能够迅速恢复和防止再一次入侵 FTP+ Email+拨

8、号认证:SUN+Solaris|+Tacacsd,这一组服务主要是对内服务,拨号认证服务需要运行在Unix系统上,因此建议采用如上的结构,根据当前用户情况,FTP服务可综合在一起,如今后负载过重时再分离。 网管(o):NT+网管软件,此项为可选,因为以太网的网管虽然不是必须的,但她能够监视网络设备的异常,负载情况和流量。 BBS(o):SUN4,原有的服务器过于老旧,如有需求可做为BBS电子公告牌 图书检索(o):可建立一个富士通系统的前端机,提供友好的WEB用户界面能够随时检索馆藏书籍的出借和库存情况,当前采用PC+Linux的方式比较好(注:o表示optional,是可选的如此次改造不能实

9、现,可在今后的升级中加以实现。)3. 管理管理模式上要加强安全方面考虑,和信息流量的控制,3.1. 安全机制1 加强主机系统的抗入侵能力,特别对NT类型的服务器系统。2 应用系统尽可能分布在不同的主机上,关闭不必要的端口,减少入侵途径,在当前情况下,应本着对内对外的服务应分开,关键和非关键的应用分开的原则,将应用系统合理的配置在主机系统上。3 加强对外部用户的访问控制,主要依靠防火墙机制,现在采用的手段是在路由器上设置访问表,和应用静态路由。4 按应用需求应划分虚网,控制校内用户,各部门之间的访问权限。5 加强监督机制,重视线上用户行为的监视和对系统日志的分析,能够及时发现入侵行为,和找到遭入

10、侵后的解决办法。6 恢复备份是系统遭受破坏一种有效的简洁的处理手段,因此对备份工作要重视起来,要做到关键数据一天一次,非变动信息有永久备份,其它信息视情况而定。备份介质可采用硬盘和磁带。备份方式能够是更新备份,增量备份和永久性备份。3.2. 流量监控对主干网络和个分支用户网络实施监控,能够发现网络瓶颈,得到用户访问个信息点的量化数据,掌握用户的不安全行为,能够为网络性能分析和故障诊断提供丰富的事实依据,给网络的综合管理带来极大的好处。1. 网管系统:能够在各主要网络交换设备上采集到当前设备的工作状态,掌握各虚网之间的数据流量,和交换设备的各端口的负载情况。2. 网络分析设备:能够在主干网上监视

11、各网段上的包情况,其中包括: 通讯包总量,丢包率 包成分,及其所占比重,如IP,IPX. 各应用包的分配情况:如Ip包中tcp和udp包的百分比,tcp包中telnet,ftp,http等包的比重。 各IP发包的情况,能够判断网络负载和故障诊断。3. 路由器上的流量控制,限制某些网段或者IP地址的访问权限,与PROXY结合统计用户的出口信息流量。4. Proxy服务,由于路由器的限制,可采用Proxy的办法满足用户对校园网外甚至是国外的访问需求,而且这种访问是受控的,能够根据用户的帐号,清楚的了解用户对外访问的信息量5. 拨号用户可根据用户认证机制,掌握用户登录时间,从而估算大概信息及资源的耗

12、费情况。4. 预算项目名称单价数量价格(人民币)说明 Cisco Catalyst3000 C3106B $7178 WS-X3001 $1943or Intel 100M Switch150,00020,000接行政楼交换设备接入可选 SUN Ultra 10 A22A22-UEA1Y9J-128cGX7103ASOLD-2.5.1NOV97-47X6540AX6262A10,000.001100,000Email,拨号认证,计费 Cisco Works WindowsCWPC-3.1-SNM PC on NT $3743SNM ON NTCWPC-3.1-OVW $2993HP - ope

13、nview On NT.450,000CISCO网管 大楼局域网布线配线架:50.00模块面板:100.00AT&T线:150.00人工费:130.00其它材料:50.00500.0018090,000新楼内布线180信息点含HUBHayes Modem 820,000远程拨号网络扩展 光缆铺设12芯2,700/km4芯1, /km人工+材料12,000/km光端头:200/个跳线:300/根30,000园区网连接NT4.0中文版 220.000 计费软件on Tacacsd10,000110,000 100M transceiver Bay Networks Model 514 100 MB

14、PX Fiber Optic Transceiver7,500430,000用于100M接入 PC SERVER Compaq/Ps200 PII/233 32M 4,3G SCSI 20,000.0020,000360,000网管平台DNS+WWWProxy PC Workstation Compaq DP 200MMX/32M/2.1G V40彩显12,000560,000开发 PC Workstation200MMX/32SDRAM/3.2G 14”彩显7,0007,00020140.000机房 Proxy Server10,000系统集成40,000不可预见费用20,000总计690,000以CISCO价格计算