《学院HD校园网建设铺陈设计方案》由会员分享,可在线阅读,更多相关《学院HD校园网建设铺陈设计方案(38页珍藏版)》请在金锄头文库上搜索。
1、学院HD校园网建设铺陈设计方案系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对先进成熟,整个系统的生命周期应有比较长的时间,可以在信息技术不断发展的今天,在系统建成以后比较长的一段时间内能满足用户需求增长的需要;不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证网络建设的领先地位,采用千兆以太网技术构建网络主干、支干线路。 1.1.3扩展性系统必须具有良好的可扩充性,在系统结构、系统容量与技术方案等方面必须具有升级换代的可能,核心设备必须采用模块化的结构,跟踪网络发展的前沿方向,符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的
2、软、硬件资源,保证各部门现有的计算机系统的使用,逐步过渡,有效保护用户投资,最终形成一个统一的、一体化的综合网络系统。1.1.4 高性能网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。1.1.5可运营为了让校园网能够良性、稳定、持续、健康的发展,并收回网络建设成本,学校或运营商需要对校园网进行运营,通过对上网的学生用户收取一定的费用来达到“以网养网”的目的,并要求运营系统能够贴近校园用户的应用模式,方便维护和管理。1.1.6 规范化和标准化网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行
3、,要模块化、结构化、数据要代码化,以便于信息共享和交流及将来的维护。在系统设计和软件开发时,应用程序必须规范化、模块化和可复用。2.2 网络建设目标通过以上的网络建设原则,本次校园网建设要实现以下目标:1) 东西校区各设一个千兆互联网出口,解决出口瓶颈问题;2) 双出口,双核心,双链路实现东西校区的稳固互联,确保链路的带宽及稳定性;3) 东西校区可以根据需求达到不同区域使用不同的出口访问互联网;4) 科学规划网络结构,合理配备核心层和汇聚层网络设备与端口,保证核心网络设备和线路适当冗余,优化接入层网络设备,建设千兆主干、百兆到桌面的高效校园网络;5) 合理部署网络安全措施,建立有效的网络安全防
4、范和响应机制,为网络安全管理提供在线监控、事后可查的技术手段,防止私设代理和盗用IP地址现象,提高网络安全性;6) 建立全网统一管理系统,包含对网络用户、网络设备、网络安全的统一管理和配置;建立高效的网络性能监视与预警机制;同时建立配套的软硬件平台。7) 全面支持IPV6,可平滑过度到IPV6,保证设备的投资;8) 建立全局化、智能化的安全体系,从接入层的基于端口的安全策略,到汇聚再到核心,病毒及非法网络行为进行监控和预制策略,预警功能。9) 将学院的教工宿舍“金海花园”纳入校园网内,可以访问图书馆资源和中国期刊网等众多校内学术资源。10) 学生宿舍联网并接入校园网内。s5750-24sfp/
5、gk网络设计3.1 东西校区互联网出口设计 本次设计,东西校区各设一个1000M互联网出口,我们电信网络,在怀化市内有自己的城域环网,保证这两个1000M互联网出口不是出自同一个模块局,确保出口线路冗余。3.2东西校区互联的设计由于目前学校东校区的网络中心还未建成,暂时将东西两个校园的核心设备放在西区的网络中心,东区的汇聚设备都通过两对光纤形成的双链路与两个核心互连。东区网络中心造成后东区设备转放东区网络中心机房。3.3网络架构的设计目前网络架构有单核心单链路、双核心双链路、二层架构、三层架构、四层架构等多种网络架构,结合学院的实际情况以及网络技术的发展,我们选择双核心双链路的架构,这样不仅在
6、链路上确保网络稳定高效、在设备上也可实现稳定与高效;同时选择三层架构:(1) 分流核心数据处理能力、降低核心路由交换压力;(2) 更好抑制广播风暴、提升网络性能;(3) 终结各VLAN信息、增强核心路由管理能力;(4) 网络层次结构更加完善、可汇总路由,降低核心路由表项;(5) 安全性更高,更强的预防和控制,对网络攻击、病毒和破坏尽量控制在边缘完成;(6) 扩展性更强、快速定位故障点、更易于管理;(7) 各接入层内部通讯量大,无需通过核心处理时(内部网络游戏等),采用三层结构更加合理;(8) 可靠性更强,可以通过汇聚层双链路上联双核心构成环状结构,全网架构更加健壮,提升网络高可用性。我们采用了
7、接入堆叠小区域汇聚核心这种双核心双链路的三层结构架构:采用千兆可堆叠高性能网管交换机。交换机通过内部堆叠后上联片区汇聚节点。1、 节省投资成本2、 扩展灵活,通过增加堆叠组内交换机或增加堆叠组来扩展接入信息点。3、 支持多种访问控制功能和802.1功能,可灵活方便的控制楼栋内部之间的访问限制。4、 减少网络层次架构,加速数据传输,提高网络数据转发性能。5、 充分利用片区汇聚节点的高性能数据转发,高稳定可靠基础,对每个楼栋之间的控制,可以在片区汇聚节点连接各楼栋的千兆接口上实现,如访问控制,防DDoS攻击,防恶意IP扫描等等,不影响数据转发性能。6、 楼栋内部各楼层之间的数据通过堆叠方式(千兆以
8、上带宽)相互访问,加速内部访问和数据传输速度。7、 环型冗余方式堆叠,没有单点故障和性能瓶颈。8、 堆叠后多台设备会虚拟成一台设备进行管理,大大提高管理效率。9、 千兆堆叠可网管交换机是目前高校网络建设主流使用的接入设备,因此在未来发展中设备延续使用性强。架构缺点:堆叠台数一般不超过6台,需要超过6台的地区增加新的堆叠组进行信息点扩展。双核心双链路的三层结构,具体如下图所示:3.3 网络安全设计今天的网络安全正遭受严峻挑战。病毒、外部入侵(黑客)、拒绝服务攻击、内部的误用和滥用,以及各种灾难事故的发生,时刻威胁着网络的业务运转和信息安全。但与此同时,大多数正在使用的网络安全系统都缺乏真正的全局
9、防护能力。当网络受到来自各方面的攻击时,由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出,还会处处被动挨打。可以断言:面对复杂的安全隐患,这种“各自为战”的安全系统已彻底失去效力。今天,网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面,唯有用全局化、智能化的安全体系代替陈旧的安防措施。我公司采用了2004年底,业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动防御(自御)、自动修复(自愈)与自动学习(自育)等三大自“YU”功能于一体的GSN全局安全网络解决方案。GSN强调“多兵种协同作战”,将安全结构覆盖网络传输设备(网络交换机
10、、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。在此基础上,GSN不仅能够满足现阶段网络安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。总体而言,GSN由锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-IPS入侵检测系统等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修
11、复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。其基本原理和结构图如下:(图1 GSN基本原理)l 网络自动防御(自御)面对复杂的网络安全行为,最有效的防御策略即是将网络安全防御技术应用于在整个网络中,而不是在单点进行网络安全的防护部署。因为攻击源可能来自网络的任何一处,并能迅速的扩散到整个网络当中。GSN提高了现有网络基础设施的安全防护能力,增强了终端用户的安全防护能力。当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG-SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。安全管理平台(RG-SMP)将自动把安全策略下发到安全事
12、件发生的网络区域,安全策略的执行者可以是锐捷网络联动设备,根据安全事件的等级由安全管理平台(RG-SMP)判断是否需要将安全策略同步到网络的区域中,以实现全网安全。同时,安全管理平台会把针对这次安全事件的处理情况通知给用户终端,使用户能够及时了解到网络安全环境的变化。通过这个流程,网络可以对已发生的安全行为进行完全自动化的防御措施,从而保证用户网络在受到威胁时可以迅速做出连动反应。(图2 GSN自动防御)l 网络自动修复(自愈)随着网络连接点的不断增加,网络遭遇攻击的风险也随之增加。一旦网络遭受攻击,所产生的严重后果不仅在于破坏本身,灾难之后的系统恢复和调试同样消耗了大量宝贵的时间和人力、财力
13、。GSN提供的自动修复(自愈)功能,即能够通过自动使受损系统得以恢复的方式为用户节约大量的IT技术人力资源,并保证即使在系统不断遭受攻击时,网络的大部分资源仍时刻处在正常使用状态下。当用户终端接入网络时,系统会自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞,安全管理平台(RG-SMP)会通过网络自动将受损用户从网络正常区域中隔离开来,被隔离的用户将被自动置于系统修复区域。此时用户终会根据安全管理平台提供的信息自动连接到RG-RES安全修复系统上进行系统修复,修复期间系统会把受到访问控制的情况通知用户。自动修复完成,系统会重新对用户系统进行评估,当用户系统安全评估完成以后,安全管理平
14、台(RG-SMP)将通过允许用户进入网络继续工作。(图3 GSN自动修复)l 网络自动学习(自育)在常规的网络安全防护方案中,判断一个网络是否产生安全事件的标准经常是某个网络行为符合了安全隐患的特征,从而将针对这个行为发生一连串的动作。但目前往往对网络产生最大威胁的是未知的网络行为对网络产生的危害,当遇到此类的攻击以后,一般的网络安全方案将无能为力。而在配备GSN全局安全措施的网络环境中,GSN可以针对网络安全环境的变化不断调整和强化,有效协助网络管理员进行网络安全隐患的判断。当网络中有新的网络访问行为时,该行为的相关信息会被网络联动设备有效捕获,并通过E-MAIL、管理日志等方式通知管理员。
15、同时GSN能及时的捕获到网络的环境变化,一旦检测到网络流量异常,联动设备会自动截取网络流量报文进行分析,从而有效的阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时,系统就能自动调用相应的安全策略来处理,从而达到不断根据网络安全形势强化系统安全性的安全策略自动学习功能。(图3 GSN自动学习)所以为了确保校区网络的安全,我们校区网络建设时采用GSN方案来确保校区的网络安全。3.4 网络出口流量控制设计目前越来越多的下载软件导致网络出口带宽严重不足,如现在的P2P软件的使用造成了很多高校网络出口带宽的严重不足。出现这样问题的
16、原因是目前对P2P软件没有一个很好的控制手段,如P2P软件是大家比较认可的一个下载软件,但是过多的使用会造成出口瓶颈,而且P2P软件现在使用的端口号不固定且没有特征码,所以想要对其限制也是一个比较头痛的问题。针对这样的问题,我们认为对P2P软件的使用最好的方式不是针对流量进行计费,而是一种针对P2P应用的管理与控制手段我公司结合目前我院的认证计费系统,对用户进行流量的控制,以控制由于用户过多使用P2P软件下载造成出口带宽的不足的现象,具体如下:3.5 网络管理设计随着学校网络规模的不断扩大,现在不仅需要对网络设备进行集中统一的管理,同时还需要对用户进行集中统一的管理。4.1 网络拓扑图4.2 网络设计说明根据学院的实
