校园网VPN规划与实现.docx

1、校园网VPN规划与实现校园网 VPN 规划与实现中学校园网规划方案一 设计目标1.配合当前的教学发展情况， 完成学校内部 Intrannet 的配套基础建设， 将全校的信息资源利用计算机网络连接起来，形成一个流畅、合理、可靠、安全的校园网。还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。通过各校校园网络的连接，可以更便利地互相交换信息，促进各个学校间的学术交流。2.通过校园网络使教师和科研人员能及时了解国内外科技发展动态，加强对外技术合作，促进教学和科研水平的提高。建立新的通讯方式和环境，提高工作效率。二 设计原则1学校需求为前提原则：坚持以学校具体需求为校园网信息系

2、统方案设计的根本和前提，同时，也要注重源于需求又高于需求的原则，注意用专业化的技术思想来进行校园网的规划与设计，确保校园网的实用性、先进性和便于扩展性。2.设备选型兼顾原则：满足学校对现代化教学手段的要求；满足校园网建设及互联网的要求；所选设备在国际上保持技术先进性；供应商有良好的商业信誉和优质的售后服务。3.坚持标准原则： 一切校园网设计和施工， 均要严格遵循国际和国家标准。统一规划，分步实施。校园网的实现要求通讯协议、网络平台等应具有世界性的开放性和标准化的特点，并且应采用统一的网络体系结构。4. 坚持先进的成熟的技术原则： 采用通用的、 成熟的技术方案可以降低建设成本、减小设计、施工和使

3、用难度、缩短建设周期。有利于保护投资，并且有利于校园网的维护和升级。选择品质最好的设备不一定是最佳选择，成本因素也是一个不容忽视的问题，将品质与成本实现最佳匹配。5. 坚持规范布线，考虑长远发展原则：布线系统使网络的重要基础，布线系统的好坏是衡量一个网络好坏的非常重要的标志。布线系统不合理将降低网络的可靠性，使网络难以管理和维护，所以必须采用标准的综合布线系统。6. 坚持易于使用和管理原则：校园网的各种软件应用项目必须易于使用，对最终用户的起点要求不能太高，一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系统为宜；系统的日常管理和维护工作要方便、简易。网络拓扑结构一经配置确定，不应轻易更

4、改。7.坚持可扩展性原则：考虑现有网络的平滑过度，使学校现有陈旧设备尽量保持较好的利用价值；选用产品应具有最佳性价比，又要应充分考虑未来可能的应用，具有高扩展性。三 . 用户需求分析学校要求如下：1. 建立办公自动化系统办公楼共有 40 个信息点。要求通过校园网连至 INTERNET，达到 100M 到桌面，并对财务科，人事科等科室进行单独子网管理。2. 建立考试监控系统共有教学楼 3 座， 120 个信息点。（ 1） 综合教学楼一个， 60 个信息点。其中有 10 个实验室，每个实验室配置 1 台 PC和 1 个投影仪（此处无须上网） ； 20 个教室，其中一个教室 2个摄像机。（ 2） 普

5、通教学楼 1：40 个信息点，共 20 个教室，其中一个教室 2 个摄像机。（ 3） 普通教学楼 2：20 个信息点，共 10 个教室，其中一个教室 2 个摄像机。3. 建立综合多媒体教室信教中心：共 120 个信息点。有两个多媒体教室，每个教室 60 台 PC。要求可网管，通过校园网上连至 INTERNET，达到 100M 到桌面。4. 为了满足教职工的需要， 提高教职工教学条件和水平， 大力发展网上教学，优秀科目科件制作等。将教职工宿舍区的 PC 通过校园网上连至INTERNET，达到 10M 到桌面，以后可扩展到 100M 。5. 学校校园网建设所需 PC 和投影仪有校方自行选择和安装。

6、学生宿舍由于高中阶段学习生活的特殊性，不进行任何布置。四 网络规划设计总体方案（一）校园网络拓扑图（二） 设计方案1. 网络层次结构网络结构采用分层式设计，共分三层：核心层，髯椴悖 烂娼尤氩恪植闵杓瓶梢允拐 鐾 缱陨隙 戮哂泻艽蟮牡 裕 阌诓呗缘奈 褪凳（ 1）核心设备设备名称： DCS-3926S可堆叠智能安全接入交换机基本介绍： 3926S 具有 24 个 10/100Mbps 自适应 RJ-45端口和 2 个模块扩展插槽（可选插百兆模块和千兆模块）可千兆或百兆聚合上联至汇聚层交换机或者核心层交换机。主要特征：高密度和灵活的堆叠DCS-3900S系列的堆叠带宽可支持 2G到 4G,并且支持

7、简单堆叠、 标准堆叠、超级堆叠和混合堆叠。 简单堆叠成本最低。 堆叠带宽 2G；标准堆叠使用堆叠模块， 其带宽扩充至 4G；还可以用千兆电口或千兆光口做超级堆叠， 可避开堆叠线缆的限制，堆叠带宽也是 4G；同时 DCS-3900S系列可以和DCRS-5600S系列、 DCRS-5526S交换机做混合堆叠。强大的 ACL功能作为新款的 L2/4 交换机，DCS-3926，S系列交换机提供了完整的 ACL策略，可根据源 / 目的 IP 地址、源 / 目的 MAC 地址 IP 协议类型、 TCP/UDP端口号、 IP Precendence、时间范围、 ToS对数据进行分类， 并进行不同的转发策略。

8、通过 ACL策略的实施，用户可以在接入层交换机过滤掉“冲击波” 、“震荡波”、“红色代码”等病毒包，防止扩散和冲击核心设备卓越的安全特性全面的受控组播方案 DMCP，可以对源和目的进行安全控制，完整实现了在接入层网络中基于 IGMP 源端口和目的端口的检查技术，可完全限制合法组播在网络中的稳定传输，有效控制组播建立的整个过程，保障了正常合法的组播应用的稳定运行；率先支持对特征复杂(64 字节 )的应用流量的访问控制， 让用户可以在各种网络的环境中应对出现复杂情况；监控 pingSweep 等攻击行为，安全防扫描，并采取防攻击措施，全面保护交换机和服务器等网络设施的安全。更完美的性价比（ DCS

9、-3926S-G）大多数接入交换机通过 1 个千兆光模块上联，为了提高产品的性价比，DCS-3926S-G固化了一个千兆光模块，可以为用户节约开支。丰富的 QoS 策略DCS-3900S系列交换机为每个端口提供了 4 个优先级队列，可根据端口、802.1p、ToS、DSCP、TCP/UDP端口进行流量分类， 并分配不同的服务级别，支持 WRR/SP 等调度方式，为语音 / 数据 / 视频在同一网络中传输提供所要求的不同服务质量。技术参数接口形式： 24 个 10/100M 端口 + 1 个 SFP千兆光口 / 堆叠口可选扩展模块：百兆电 / 光口模块；千兆电 /光口模块；堆叠模块堆叠：支持标准

10、堆叠，超级堆叠，混合堆叠。堆叠环境下，支持跨交换机的端口聚合、端口镜像、 QoS、ACL生成树： 802.1D（ STP）、 802.1w（ RSTP）、 802.1s（MSTP）组播协议： IGMP Snooping&Query QoS：每端口 4 个队列，支持 802.1p，ToS，应用端口号， DifferServ，支持 WRR/SP等调度方式 ACL：支持标准 ACL和扩展 ACL，支持 IP ACL、MAC ACL、IP-MAC ACL，支持基于源 / 目的 IP 地址、源/ 目的 MAC 地址、 IP 协议类型、 TCP/UDP端口号、 IP Precendence、时间范

11、围、 ToS对数据进行过滤。端口聚合：支持 802.3ad，最大可支持 6 组 trunk, 每 trunk 可到 8 个端口，支持基于目的 MAC 的负载均衡。 IEEE802.1x：支持基于端口和 MAC 地址，支持神州数码 802.1x 整体解决方案，可以实现按时长 /流量计费，可以实现用户帐号、密码、IP、 MAC、VLAN、端口、交换机的严格绑定，可以防止代理软件，防止 PC 克隆，对客户发送通知 / 广告，上网时段控制，基于用户动态实现 VLAN 授权和带宽授权，可基于组策略实现动态 IP 地址分配而不必使用 DHCP服务器等。认证：支持 RADIUS端口镜象：支持。支持的网络标准

12、： IEEE802.1D IEEE 802.3 IEEE 802.3u IEEE802.3ad IEEE802.3x IEEE 802.3z IEEE802.1Q IEEE 802.1p IEEE 802.1x IEEE802.1w IEEE802.1s 等堆叠。（ 2）工作组设备设备名称： DCS-3726S 24口 2 槽可堆叠网管 10/100/1000M 以太网交换机基本介绍： DCS-3726S是神州数码网络专为校园网互连设计的一款可网管交换机，可堆叠使用提供很高的端口密度， 适用于企业大中型网络组网。它具有 24 个 10/100Mbps 自适应 RJ-45端口和 2 个模块扩展插

13、槽（可选插百兆光纤模块或千兆模块） ，可千兆或百兆上联至骨干网。 DCS-3726S提供有端口限速功能，使用灵活方便。该交换机还可以下接最多 24 台其他交换机实现级联以扩展端口数目。它还支持 VLAN、组播、优先级、端口聚合和端口镜像等实用网络功能，而且还提供了 18Gbps 的背板带宽，实现了数据的全线速转发，消除了网络瓶颈，为多用户接入提供了高性能的网络解决方案。主要特征： 24 个 10/100Base-TX 端口DCS-3726S具有 24 个固定的 10/100Base-TX 端口。这些端口均支持 Nway 标准，可支持 10/100Base-TX 自适应及全双工 / 半双工。 2

14、 个千兆端口DCS-3726S交换机前面板具有 2 个插槽，可选插 1 口百兆模块或千兆模块，千兆模块可支持 1000Base-SX、1000Base-LX和 1000Base-T标准。所有模块支持流量控制和全双工，可处理大量数据。千兆端口可将部门网络与千兆主干网络连接起来，也可以连接高性能服务器，使得更多用户可以同时访问。 100Base-FX模块DCS-3726S插槽可以选插 1 口 100Base-FX（SC）短波或长波模块，运行于全双工模式下，可以应用于高电磁干扰或通信保密性要求高的场合，通常应用于远距离传输。大型堆叠，多达 192 个 10/100Base-TX 端口DCS-3726

15、S 交换机最多可以堆叠 8 台设备，堆叠组最多可达 192 个10/100Base-TX 端口，使得网络可以灵活扩展，并能够有效减少网络层次，便于大型社区内大量用户的互联接入。技术参数端口聚合（ Port Trunking）DCS-3726S支持端口聚合功能，同时支持802.3ad 的标准。可将2/3/4 个10/100Base-TX端口聚合成一条干路， 每条干路支持全双工模式， 交换机最多支持 6 组端口聚合。生成树（ Spanning Tree）DCS-3726S支持多种生成树功能，如： 802.1D、 802.1w、 802.1s。 SpanningTree 协议可使 LAN 自动检测并

16、解决环路问题，可提供链路的备份。 802.1D为基本的Spanning Tree 协议，缺省操作模式是开启状态。DCS-3726S同时支持802.1w快速生成树模式，可使收敛时间缩短至几秒内。IEEE 802.1s可使 IEEE Std 802.1Q的 VLAN加入到多个生成树中， 即提供 spanning tree perVLAN的功能。虚拟网络（ VLAN）支持虚拟网络（ VLAN）标准来控制广播域和网段流量，可以提高网络性能、安全性和可管理性。 DCS-3726S支持 IEEE 802.1q VLAN标记，可基于端口地址来划分 VLAN，最多 256 个 VLAN。通过控制口或网管工作站

17、可以轻松完成结构和设备的添加、移动和更换。可根据最大网络流量和网络安全性来划分虚拟网络。 DCS-3726S同时支持 GVRP协议，可实现 VLAN组成员动态注册，支持基于端口的 VLAN划分管理方式， 支持动态 VLAN。生成树：802.1D（ STP）、 802.1w（ RSTP）、 802.1s（ MSTP） MAC 地址过滤：自动学习 ； 动态和静态地址过滤管理功能 ： 端口安全 ； Bootp、DHCP客户 ； 配置文件上载 / 下载 ；TFTP固件升级（ 3）桌面接入层设备设备名称：神州数码 DCS-1024普通交换机技术参数交换机类型：普通交换机传输速率（ Mbps）： 10Mb

18、ps/100Mbps网络标准： IEEE802.3 10BASE-T以太网； IEEE802.3u 100BASE-TX快速以太网； IEEE802.3x流量控制网络协议： CSMA/CD 接口介质： 10BASE-T： 2 对 3,4 或 5 类非屏蔽双绞线 （ UTP）（ 100m）；EIA/TIA-568 100 欧屏蔽双绞线（ STP）（ 100m）。100BASE-TX： 2 对或 4对 5 类非屏蔽双绞线（ UTP（） 100m）；EIA/TIA-568 100欧屏蔽双绞线（ STP）（ 100m）传输模式：全双工 / 半双工自适应其他技术参数：数据传输速率：以太网： 10Mbps

19、( 半双工 )； 20Mbps( 全双工 )快速以太网： 100Mbps( 半双工 )； 200Mbps(全双工 )拓扑结构：星型MAC 地址表： 8K最 大 包 过 滤 / 转 发 率 ： 每 端 口 14,880pps(10Mbps) ； 每 端 口148,800pps(100Mbps)RAM 缓冲： 2.5M2. 链路设计（包括综合布线详细说明）（ 1）办公楼：核心交换机 DCS-3926S通过一个千兆口有 1000BASE-T4对超五类 STP下连服务器，通过一个千兆口由 1000BASE-SX多模光纤下连办公楼各科室，教师办公室的工作组交换机，通过一个千兆口由 1000BASE-LX

20、多模光纤下连信教中心的工作组交换机， 通过一个百兆端口由 100BASE-FX多模光纤下连教学楼工作组交换机， 通过一个百兆端口由 100BASE-FX多模光纤下连教工宿舍区工作组交换机。（ 2）信教中心：工作组交换机 DCS-3726S 通过超五类 STP下连桌面接入交换机 DCRS-1024。 DCRS-1024通过超五类 UTP 接入 PC。（ 3）教学楼：工作组交换机 DCS-3726S 通过 100BASE-FX下连桌面接入交换机 DCRS-1024。DCRS-1024通过超五类 UTP 接入摄象机和投影仪。（ 4）教工宿舍区：工作组交换机 DCS-3726S 通过 100BASE-

21、FX下连桌面接入交换机 DCRS-1024。DCRS-1024通过超五类 UTP接入 PC。3 路由设计采用神州数码 DCR-2501V 多协议模块化路由器， 确保网络的安全性和可靠性。设备名称： DCR-2501V 多协议模块化路由器基本介绍： 神州数码 DCR-2501V路由器是神州数码网络推出的固定配置语音路由器，性能稳定可靠。 DCR-2501V提供了 1 个 console 端口， 1 个10Base-T以太网口， 1 个辅助（ AUX）端口， 2 个高速广域网串口， 2 路 FXS语音端口；DCR-2501V路由器支持常用的广域网协议和路由协议， 支持 VoIP协议，支持内置强大的

22、防火墙和 NAT功能，为用户提供了更加高速、 安全、稳定可靠、方便的网际互连设备，非常适用于中小企业、政府等远程分支机构语音和数据互联或 Internet 接入等。主要特征：（ DDR）功能；支持 IP Unnumbered ，从属 IP 和 ARP代理功能；支持多种队列算法以保证服务质量（ QoS）的提供；支持 Novell IPX路由协议；支持路由再分配功能；高稳定性；提供背对背（Back-to-Back）连接方案，可用于检测路由器的功能技术参数标准配置 1 个 10 Base-T以太网口 2 个高速串口，支持 RS232、V.24、V.35、 X.21、EIA530A 等电气标准 2 路

23、 FXS语音端口 1 个 Console 端口 1 个辅助（ AUX）端口，可进行远程配置和拨号备份内存： DRAM 16 M，可扩充至 32M ； Flash Memory 2 M，可扩充至 4M CPU：32 位 RISC处理器（ MPC860 50MHz）协议和标准以太网接口标准： IEEE802.3 10Base-T标准广域网接口标准： RS232、 V.24、 V.35、 X.21、 EIA530A 等电气标准支持 VoIP标准：支持 H.323 协议栈，支持 G.729、 G.723.1、 G.711 等多种语音编码压缩标准，支持 T.38 传真协议和 Bypass方式的传真应用。

24、帧中继标准： ITU-T Q933Annex A、ANSI T1.617Annex D、兼容 CISCO标准广域网协议： HDLC、 PPP、 MP、 Frame-Relay(DTE/DCE)、 X.25(DTE/DCE)路由协议：静态路由、 RIP（包括 RIP v1、 RIP v2）、OSPF、 Novell IPX路由协议用户安全认证协议： PAP、 CHAP、 MS-CHAP、 RADIUS、TACACS+管理维护提供 Show、Ping、TraceRoute、Debug 等命令，用于察看、测试网络的可达性，诊断网络故障；支持 Telnet 远程配置与管理；支持 SNMP、 RMON等

25、网络管理协议；支持 HTTP协议，用户可以通过 Web 界面对路由器进行配置、维护4. 安全设计可启用标准或扩展访问控制列表进行数据报或数据段控制，在内外网口设置一台 DCFW-1800S-L 小型企业级百兆防火墙保证整个网络抵御来自内，外网的攻击。设备名称： DCFW-1800S-L 小型企业级百兆防火墙基本介绍：神州数码 DCFW-1800S-L防火墙专为中小企业分支机构、 SOHO 办公、中小学校的网络而设计，以功能实用、接入灵活、配置方便快捷、性能稳定为设计原则，使复杂的网络安全实施得以简化。它充分考虑中小型用户特点，支持 VLAN 环境、支持 PPPOE与 DHCP，集成防火墙、 V

26、PN，内容过滤，为中小企业的网络安全实现提供了经济的解决方案。主要特征：让中小型用户、分支机构享受无以伦比的性价比轻松部署，支持 PPPoE协议，提供 ADSL/ISDN接入方式设置简洁，通过浏览器可以轻松完成功能配置支持 DHCP服务器功能，节省用户网络管理投资，支持无地址接入集成 VPN，可以进行隧道认证及数据加密，保护了企业机密同时降低了沟通成本集成内容过滤、邮件过滤，防止非法信息、恶意脚本及垃圾邮件；集成防拒绝服务网关，提供攻击检测及攻击抵御支持用户认证；支持应用层日志及加密日志存储，有效审计进出网络的敏感信息技术参数工作模式：路由、透明、 NAT内容过滤： URL、邮件、指令、 Ac

27、tiveX/Java, 诡异木马探测支持：网络安全域结构体系； PPPoE协议； DHCP Relay， DHCP Server；防拒绝服务网关； VPN 功能最大并发连接数： 300,000网络吞吐量： 150M VPN隧道数： 10 VPN拨号用户： 10策略数： 3005. 管理设计（包括详细管理软件说明）设备名称：神州数码 LinkManager基本介绍：LinkManager 网管系统是一套基于 Windows NT 平台的高度集成、功能较完善、实用性强、方便易用的全中文用户界面网络管理系统。它是神州数码网络有限公司根据中国用户的实际需求，遵循 ISO 网络管理模型的五大功能域（性能

28、管理、配置管理、故障管理、计费管理及安全管理）的架构，自行组织研发出来的一套具有自有知识产权的网管系统。LinkManager 具有既面向指定设备，又支持通用网络设备的 " 垂直水平 " 的管理特性。也就是说，它能够对神州数码网络有限公司推出的具有 SNMP 功能的网络设备提供齐全的设备管理和功能管理，同时也能够良好地支持其他任何具有通用 SNMP 功能的网络设备，提供整个网络的拓扑结构和常用网络管理信息。主要特征：提供两套视图物理视图及逻辑视图，可满足操作员的不同需求：对于希望了解当前网络拓扑逻辑结构的操作员，系统采用傻瓜方式，以默认形式为用户自动绘制出整个网络的逻辑视图，不需用户干预。对于只想掌控自己关心的网络设备的操作员，系统采用 DIY 方式，支持操作员按物理连接或自己随意的自组物理视图；自动绘制出的网络拓扑图还可以通过另存为的方式供操作员修改；提供两种设备添加方式，增强操作员在自组物理视图时的 DIY 手段：强