《北京邮电大学新建宿舍楼网络》由会员分享,可在线阅读,更多相关《北京邮电大学新建宿舍楼网络(29页珍藏版)》请在金锄头文库上搜索。
1、北京邮电大学新建宿舍楼网络 作者: 日期:2 个人收集整理 勿做商业用途北京邮电大学宿舍楼网络建设项目技术方案2010年11月目 录1.项目总体概况31.1。建设需求31.2。网络状况分析32。设计原则32。1。总体设计概述42.2.方案描述4有线网设计4核心层设计4汇聚层设计5接入层设计5安全策略53。网络层安全解决方案53。1.全面网络基础设施可靠性保证措施53.2。组合丰富的VLAN功能进行业务隔离64。IP地址规划65。投标设备介绍75。1.核心交换机85。2。汇聚交换机 16 -5。3。接入交换机 24 1. 项目总体概况1.1. 建设需求北京邮电大学在本次建设宿舍楼网络的过程中,除
2、了考虑到网络正常使用应具备的特性和功能以外,更是考虑到通过全面优质的IT信息化的建设,将宿舍楼打造成一个数字化宿舍楼宇。目前在校园网中,学校有着丰富的电子资源,而要充分利用这些资源,就要建设一个高带宽、高性能、高可靠的互联网络,给学生们创造一个良好的网络环境。1.2. 网络状况分析本次宿舍楼的网络建设过程中,考虑到以下一些方面:1) 网络速度。当前网络技术飞速发展,各种新应用和新业务对带宽都有很大的需求,为了满足应用和未来的扩展,采用千兆到寝室,百兆到桌面的方案。2) 冗余性,考虑到网络的可靠性,将采用一定的冗余设计。核心路由器冗余主控引擎,冗余电源,部分核心汇聚之间的链路冗余部署,提高整网的
3、可靠性。3) 安全性。整个网络根据实际情况划分多VLAN,保证各个VLAN的用户可以互不影响。4) 病毒防范。为了防止局部发生ARP病毒或非授权DHCP服务器,导致全网络瘫痪,严重影响正常业务运行,全部接入交换机采用具有防ARP攻击的设备。5) 安全认证机制。将采用一定的认证机制,授权之后才可接入到局域网络.6) 可管理性.交换机支持网管功能,配合统计的网络管理系统,简化排除网络故障工作,对网络进行监控,及时发现网络上出现的异常问题,并对网络进行流量分析。7) 随着IPv6的商业使用发展,宿舍楼的接入网络也应该考虑对于IPv6的支持,过渡期间应该采用双栈协议。未来全面支持IPv6业务。2. 设
4、计原则结合宿舍楼网络的实际使用情况,本次网络建设方案主要考虑如下一些设计原则.1) 高性能由于客户端众多,数据流量大,所以对整个系统的性能有着较高的要求.宿舍楼网络应用人数很多,例如FTP文件传输等大数据量的访问,产生了巨大的网络流量。如何高速进行网络传输,对全网网络设备提出了很高的要求.特别是核心交换机的性能和可靠性,以及汇聚层要求具有万兆能力,即配置万兆模块。汇聚交换机能够通过万兆链路与核心交换机相连。接入交换机通过千兆链接与汇聚交换机相连。2) 安全需求:宿舍楼内有众多的网络用户,安全问题影响广泛,如何能够建成一个安全可靠的宿舍网络也是本次需要重点考虑的,网络内划分多VLAN,接入交换机
5、支持端口绑定和防ARP攻击等功能,保证网络用户的安全。3) 可靠性考虑到可靠性问题,核心路由器采用主控引擎、电源冗余的设计,单控制器故障不影响网络运行,单台设备故障不会影响网络的使用运行。4) 网络管理接入层交换机应具备终端用户控制能力,具有防范非法DHCP服务器和ARP攻击的功能。所有交换机需要支持网络管理,并可以通过网络管理软件监测网络设备的运行状态,利用有限的人力物力对宿舍楼网络进行高效管理。5) 支持IPv4/IPv6双栈IPv6是未来网络发展的趋势,所以本次网络建设中,采用的核心和汇聚交换机应全面支持IPv6网络和IPv4/IPv6双栈协议。2.1. 总体设计概述北京邮电大学宿舍楼网
6、络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:2.2. 方案描述有线网设计:组网方式采用三层网络结构。分为核心层、汇聚层和接入层,核心和汇聚设备全面支持IPv6协议。核心层设计:宿舍楼网络用户众多,使用1台H3C的S7500E高端核心交换机作为整个宿舍楼网络的核心,并且和校园网之间通过万兆光纤互联,保证宿舍楼网络和校园网之间的高性能、无瓶颈的互联互通。核心交换机上部署高密度的万兆以太网接口,和汇聚层交换机之间也全部采用万兆互联,保证网络的数据转发性能。同时为保证网络的高可靠性,核心层采用了
7、交换机冗余主控、冗余电源的设计,保证网络的可靠性.汇聚层设计:汇聚层交换机采用S550028CEI/S550052C-EI,采用万兆链路和核心交换机连接.向下用千兆链路与百兆接入交换机连接。汇聚交换机支持3层路由功能,并全面支持IPv6。接入层设计:每个寝室有一条千兆链路接入到寝室,每个寝室再由1台8口百兆交换机6个百兆接口到桌面。接入交换机S2108支持ACL、端口绑定等安全要素,满足宿舍楼网络对于局域网内终端安全的需求,可以做到有效地控制网络的接入层端口,保证整网内安全。安全策略。交换机通过例如端口安全、ACL、风暴控制等十余项专门的安全功能,控制了病毒等攻击报文的通道,更好地保护了整个网
8、络的安全.3. 网络层安全解决方案3.1. 全面网络基础设施可靠性保证措施首先,可取采取的措施为多种冗余备份能力,包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余,通过这些冗余能力,实现整个网络全面的可靠性保证。在核心采用了双万兆组成的环形网络保障了可靠性。网络设备配置了冗余电源,并可以支持冗余引擎等,基于H3C网络设备丰富的冗余特性,可以有效的实现这些冗余配置模式。其次,采取高安全性的网络设备,网络与安全的融合是未来网络发展的必然趋势,随着网络设备特性的不断更新,H3C系列网络设备自身具备的安全能力也在不断加强.H3C系列网络设备包括路由器、交换机,都统一采用H3C自主
9、研发的Comware软件平台。除了上述丰富的基本安全特性,H3C网络设备具备非常丰富的动态安全特性,主要包括动态VLAN的下发和动态ACL的下发,H3C系列网络设备不仅支持标准的802.1Q VLAN,而且提供端口隔离功能,只允许用户端口与上行端口转发报文,从而阻断下挂各个用户私有网络之间的互相访问,从链路层保障用户转发数据的安全;通过启用802.1x和Web认证后下发动态VLAN及ACL,实现用户的动态隔离,保证用户数据的隐私,杜绝内部攻击,与其他安全防护设备进行联动,构建全局的、立体的、动态安全防护体系。最后,采取具备丰富的安全管理特性的网管系统,在网络系统中,整个网络的安全首先要确保网络
10、设备的安全:非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备,采用网络管理系统是一种有效的解决方法,通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能,可以实现网络设备安全有效的配置,为整个网络系统提供安全运行的基石。网关系统的基本功能描述如下:配置管理:主要包括设备监控、远程控制、远程维护、自动搜索等;性能管理:主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等;失效管理:主要包括故障定位、故障报警、故障恢复等;安全管理:访问认证和授权、网络隔离、远程访问控制、应用访问控制等.3.2. 组合丰富的VLAN功能进行业务隔离大部分网络设备都可
11、以提供对VLAN功能的完善的支持,通过VLAN的划分,可以区分不同的业务,灵活的根据端口、MAC等进行VLAN的划分,实现对各种业务的有效的隔离。同时,通过各种特性VLAN的部署,可以更加灵活的实现网络流量和业务的隔离,比如,通过PVLAN技术,可以实现同一个VLAN内部服务器之间相互访问的隔离;通过动态VLAN的部署,可以实现用户在任何位置接入网络都能被隔离到自己所属的VLAN中。4. IP地址规划IP地址整体规划IP地址的合理规划是网络设计中的重要一环, IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步
12、发展。IP地址分配原则IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性.具体分配时要遵循以下原则: 唯一性:一个IP网络中不能有两个主机采用相同的IP地址; 简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项 连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率 可扩展性:地址分配在每一层次上都要留有余量,在网
13、络规模扩展时能保证地址叠合所需的连续性 灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间.IP地址规划方案地址编码规范建议校园网的IP地址进行严格的编码,每位代表不同的含义。其编码规则(举例如下)为:通过地址标识可以清楚地区分出IP地址地来源,便于路由汇聚和访问控制。从上表中我们也可以看出,通过我们的规划,我们能从IP地址分析出IP地址的来源、用途等,这将为网络的维护带来方便。5. 投标设备介绍核心交换机:S7510E汇聚交换机:S5500-28CEI/S550052CEI接入交换机:S2108以下为投标产品的具体介绍。5.1. 核心交换机产品概述H3C S7500E系
14、列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5操作系统,以第二代智能弹性架构 (IRF,Intelligent Resilient Framework)为系统基石的虚拟化软件系统,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO).H3C S7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。H3C S7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V(垂直8槽)、H3C S7506E-S(8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)7款产品,除了7503E-S所有产品均支持冗余主控.H3C S7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。第19 页 共31 页产品特点丰富的业务,适应融合业务网络发展趋势l 基于智能弹性架构(IRF)的虚拟化架
