《某工程大学校园网络建设项目计算机网络系统设计方案》由会员分享,可在线阅读,更多相关《某工程大学校园网络建设项目计算机网络系统设计方案(57页珍藏版)》请在金锄头文库上搜索。
1、.wd.某工程大学校园网络建设工程计算机网络系统设计方案1.网络设计依据标准与协议IEEE802系列:IEEE802.1IEEE802.1pIEEE802.2IEEE802.3IEEE802.3uIEEE802.3zIEEE802.1Q网络协议:TCP/IPIPX/SPX网管协议:SNMPagentV1(RFC1155-1157)/SNMPagentV2RMON/ATMRMONTelnetTFTP,LEC,RFC1577ClientSNMPMIBII(RFC1213)BridgeMIB(RFC1493)802.1DSpanning-TreeMIBEthernetMIB(RFC1398)2.网络
2、设计原那么多媒体技术的普及给Internet和Intranet提出了更高的开展要求。*工程大学校园网络应建成一个以宽带技术为基础、提供多层次服务、支持多媒体应用的信息服务网络。数据网建设是*工程大学数字化校园工程工程重要组成局部,为学生、教师获取各种信息资源提供通信基础,为各种上层应用提供网络平台,在校园的信息化中发挥这重要作用。在网络的整体规划中,使用代表未来开展方向的技术,采取合理的建设步骤,最终建设一个高效、实用的校园网络,为学校的信息化建设打下坚实的基础。*工程大学校园网络工程将是一个满足数字、语音、图形图像等多媒体信息,以及综合业务信息传输和处理需要的综合数字网,并能符合多种网络协议
3、,体系构造符合国际标准或事实上的国际工业标准(如TCP/IP),同时能兼容已有的网络环境。根据*工程大学校园网络建设目标和设计要求,和我们多年的系统集成经历,其校园网络总体设计遵循以下假设干原那么:() 先进性:从系统体系构造和网络系统基础构造方面均采用当前国内外先进的技术,同时,在设备选型方面考虑到技术的成熟性,采用主流机型,主流系统。校园网络传输的信息量大,要求计算机网络具备高带宽的传输主干。随着将来用户的增加,网络也将面临多样化需求。我们将在网络构架,硬件设备,协议选择,安全控制和网络管理等方面充分表达*工程大学校园网络的先进性。() 可靠性:我们从网络骨干线路的冗余备份、网络设备的冗余
4、备份和电源冗余备份等方面来保证*工程大学校园网络的可靠性。另外,还从以下几个方面来保障:无过失运行:在网络设计中采用防干扰、防浪涌技术,在网络系统的配置中,严格遵循设备技术要求。不连续运行:对关键的部件和设备均采用冗余备份设计,同时采用UPS电源系统,确保系统安全可靠的连续运行。() 开放性和扩大性在设备选型上,选择业界著名厂商的产品,以提供更为完善全面的技术支持和售后服务。选择符合国际标准及业界流行成熟的工业标准的设备,以便对技术的未来开展提供保证。系统构造配置,采用具有最正确升级途径的配置,一是构造合理,二是升级代价最小,保证系统具有良好的可升级性。随着业务的开展,*工程大学校园网络面临的
5、任务将会愈来愈繁重,信息资源范围的扩大和用户数量的增加,将使网上信息流量成倍增长。多元化的应用要求网络对多种协议的支持和对异种网络的兼容,无论是网络硬件还是系统软件,都须符合当今业界标准,可以方便的扩大和升级。我们从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体构造,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的开放性和扩大性。() 易管理性:*工程大学校园网络物理范围广,网络的管理任务十分复杂和重要,如何有效地管理好网络关系到是否能充分有效地利用网络系统资源,优化网络性能,保障网络安全。我们利用图形化的管理界面和简洁的操作方式,提供强大的网络管理功能。使网络日常的维护和
6、操作变得直观,便捷和高效。() 安全性:我们可以对网络设置一定的安全访问权限,以隔离网络外部的非法访问,确保网络的安全。() 实用性:根据用户需求和规划,网络系统的设计在性能价格比方面应充分表达系统的实用性,既要采用先进的技术,又能在经费允许的条件下实现建网目标。我们将周密考虑对设备的选型和网络构造的规划,提供投资保护的较理想解决方案。上述网络系统的设计原那么将自始自终贯穿整个设计方案并具体加以实现。() 高质量:网络质量不仅表现在网络设备上,也反映在网络的设计上,因此该网络过程的各个环节均要表达这一原那么。() 互通性:该网络的方案设计充分保证了与其它骨干网的互连,以及与其它IP网络的互连。
7、本方案设计均采用了国际标准协议。网络管理基于SNMP,随着网络标准和软件版本的更新,现有技术和设备能够向上兼容,能进展各种数据库的互操作,能支持多种介质,支持多种端口类型,能实现高速网络与低速网络的无缝连接。3.网络层次构造从构造上来讲,宽带综合业务骨干网络应该包括三个层次:核心骨干层、业务会聚层、接入层。核心骨干层核心骨干层是整个网络的基础,它的主要功能是作为高速互联的网络骨干,实现骨干节点之间的优化传输。对于核心骨干层来说,互连是至关重要的,因此必须采用冗余组件、冗余链路设计核心骨干层;同样,高可靠性也是必不可少的,能快速适应网络变化,互连的链路在发生故障时,应能够实现快速自愈,最大限度地
8、保护业务量不受影响。核心骨干层是宽带综合业务网的关键,先进的IP QoS技术为多等级数据和多媒体业务在核心骨干网上的传输提供了必要的保证。IP的策略服务、安全控制使得基于IP的多媒体网具有良好的延展性。业务会聚层业务会聚层是网络的核心层与接入层之间的分界点,会聚层扮演很多角色,是网络业务会聚、交换的场所,要求网络设备具备交换容量大、端口密度高、可靠性高等特点。接入层接入层设备能提供高密度的宽带端口(主要为10/100 M bps的交换以太端口),以满足基于IP的数据、语音、视频的不同业务。本校园网采用一个中心、三个会聚、多个接入的构造。整个网络的设计将具有以下特点:1) 面向应用的设计方案任何
9、一个网络组建的目的都不是为了组网而组网,*工程大学对业务系统支撑特性的关注,构建面向业务、面向应用的网络平台同时也是我们在网络设计时应考虑到的,我们将从以下几个方面阐述我们建议的业务支撑。2) VLAN隔离的设计方案VLANVirtual Local Area Network是虚拟局域网的英文缩写,它最简明的描述就是可以实现将连接在同一个物理网络上面的主机分组,使它们看起来就象连接在不同的网络上一样。在大型局域网络组建中,VLAN技术是不可缺少的关键技术,科学的VLAN设计可以为局域网络带来一系列的优点:在同一个物理网络实现第二层工作组划分,实现不同工作组之间第二层的完全隔离,同时,组员可以处
10、在物理网络中的任何位置,不受同一台设备限制;隔离播送,提高效率,防止不相关的播送帧在全网扩散,浪费有效带宽资源;在*工程大学校园网系统中,我们建议基于IEEE 802.1Q标准实现VLAN,在VLAN设计中,我们使用VLAN到达两个目的,第一,不同部门和单位之间的隔离和通信控制;第二,播送范围抑制。从播送控制角度出发,为了保障网络的高可用和高性能,我们建议在进展具体VLAN规划时,同一个播送域内一个VLAN的通信主机不要超过50台,最好控制在30台以内,对于主机数量超过50的业务部门,我们通过二层隔离,三层交换的方式来解决。可以完全放心的是,华为Quidway S系列路由交换产品提供全线速的二
11、三层交换能力,所以,对于我们的VLAN解决方案来说,第二层和第三层处理性能是完全一样的,可以实现两种设计之间的直接融合,从而更加灵活自由。华为iManager综合网管系统提供非常快捷的VLAN批量设置和修改工具,只需要通过图形化界面对具体端口标识选取或者非选取,就能轻松设置其VLAN归属。具备服务质量保证的网络根据学校开展的规划,各种网络应用将逐步开展,对网络环境也提出了进一步的要求。目前,即将开展的网络多媒体方面的应用主要有:网上实时交互式教学、多媒体课件点播、网络会议直播、网络电视直播、VOD视频点播、网络教学资源共享等。多媒体数据的实时传输,对网络提出了更高的要求,为了保证实时教学的正常
12、进展和课件点播、视频点播的传输质量,应网络设备的选择、网络带宽占用、网络协议的配置、网络系统的优化等满足一定的技术要求,以保证网络服务质量Qos。在多种业务并存并且存在资源瓶颈的地方,都应该考虑相应的QOS保证机制,确保时间敏感的、关键的业务报文能够被及时、正确、有效的转发。在我们建议的设备解决方案中,所有设备都可以支持相应的QOS/COS策略,我们建议在网络中上实施面向服务端口的QOS保证机制,同时,系统通过WRED的方式对拥塞进展加权防止,确保网络不出现拥塞,始终保持其高吞吐率特性。3) 高安全的网络网络安全设计包括两个大方面的内容,设备自身的安全机制和网络安全协议的设计使用,目前常见的网
13、络安全隐患主要来自以下一些方面: 网络级攻击窃听报文 - 攻击者使用报文获取设备,从传输的数据流中获取数据并进展分析,以获取用户名/口令或者是敏感的数据信息。特别是通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要防止数据不受窃听, 基本是不可能的。IP地址欺骗 - 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可承受的路由报文如发送ICMP的特定报文来更改路由信息,以窃取信息。源路由攻击 - 报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。端
14、口扫描 - 通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道网络设备操作系统软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对网络设备进展攻击,使得网络设备DOWN掉或无法正常运行。拒绝服务攻击 - 攻击者的目的是阻止合法用户对资源的访问。比方通过发送大量报文使得网络带宽资源被消耗。 应用层攻击有多种形式,包括探测应用软件的漏洞、特洛依木马等; 系统级攻击不法分子利用操作系统的安全漏洞对内部网构成安全威胁。另外,网络本身的可靠性与线路安全也是值得关注的问题。由此可见,完整的安全体系构造应由“网络级安全、应用级安全、系统级安全和企业级安全四大局部组成。网络
15、级安全是指在物理层、链路层、网络层采取各种安全措施来保障*工程大学网络的安全;应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制,在应用层保证对*工程大学网络各种应用系统的信息访问合法性;系统级安全主要是通过对操作系统UNIX、NT的安全设置和主机监控,防止不法分子利用操作系统的安全漏洞对校园网构成安全威胁;企业级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障工行网络的安全。通过工作组VLAN设计,我们可以依据部门和单位业务性质的不同将不同工作组划分到不同的VLAN,实现不同VLAN之间第二层的完全隔离。4) 可靠可扩展的网络对于一个层次构造的网络,必然是可以扩展的,而对于核心设备来说,引擎可靠、设备可扩展也是本方案的一个明显的特色。4.网络设计选择要点根据长期网络建设经历,我们认为校园网建设原那么上应贯彻在最大限度内实现资源共享的方针,是否上各信息应用系统以是否有利于提高学校管理、教学水平,是否有利于降低管理及教学本钱为标准进展取舍。鉴于此,理想的校园网应按如下几点进展设计: 校园网应具有通畅的外部连接通道,同时接入Internet和CERNet,便于校内用户访问公众互联网和教育网的网络资源。 校园网园区内连接方式接入层以交换为主,会聚层以上以
