《校园网技术方案书》由会员分享,可在线阅读,更多相关《校园网技术方案书(22页珍藏版)》请在金锄头文库上搜索。
1、精选优质文档-倾情为你奉上目 录1.1.1 概述1.1.1.1 校园网建设背景我国 互联网事业正在持续快速的发展,并在普及应用上进入崭新的多元化应用阶段!互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。 同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。而校园网建设则是教育系统信息化建设的关键,尤其是校园网建设。在信息化的建设过程中,它的作用体现在如下几个方面: 1、校园网能促进教师和学生尽快提高应用信息技术的水平;信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。 2、
2、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。3、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。4、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。 教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;如何加深学生对于信息化和信息技术的理解与了解;如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。信息技术的应用
3、,势必极大地推进教育手段和教育内容的革命性变革。我们对此深信不疑,并将全身心地为之努力。1.1.1.2 旅游职业学院校园网建网需求分析1.1.1.2.1 一般建网需求旅游职业学院的网络建设本次主要是校区网络新建。在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如:校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。此处主要分析旅游职业学院网络基础设施建设和网络运营方面相关的内容。旅游职业学院校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同
4、的地方。主要特点如下:1、用户管理的需求:1) 使用方便,存在WEB认证需求。要求能做到基于WEB的身份认证、多ISP选择、用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3) 对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为64K 、256K、512K、1M、2M、5M、10M等等级。2、多种教学方式并行的需求:随着校园网的信息化的发展,越来越的多教学方式依托于网络给学生提供多种的特色教学模式1) 多媒体教学。为了更好的为学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学
5、生提供多种教学资料,如:多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。2) VOD点播业务实现,通过建立VOD视频服务器平台,利用交换机提供的组播功能,为旅游职业学院的用户提供优质的视频效果,同时节省用户带宽。3、安全管理的需求:1) 校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DoS,DDoS等2) 上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全4、组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出来。对于后期建设的校园监控和电子监考工程也需要网络对组播特性有
6、良好的支持。 5、多出口需求:典型的组网有中国教育和科研网(CerNet)出口和公网出口。多出口带来了以下两个需求:1) 多权限ISP需求。用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。2) 多ISP分别计费的需求,对应不同的ISP,计费策略不一致。6、WLAN的需求:随着WLAN技术的成熟,在校园网内(如会议厅、图书馆等)部署WLAN也日益成为热点。因此在规划中需要考虑WLAN的规划。1.1.1.2.2 旅游职业学院建网需求旅游职业学院系统分为三级,核心层、汇聚层、接入层。1.1.1.3 整体建网原则早期的校园网主要是共用内部教育系统主机资源,共享简单数据库,多
7、以二层交换为主,很少有三层应用,存在“安全、可管理性较差、无业务增值能力”等方面的问题。现在旅游职业学院校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。基于对旅游职业学院校园网业务需求的深入理解,结合自身产品和技术特点,H3C公司推出了了完善的旅游职业学院校园网解决方案,为旅游职业学院提供“可管理、可增值、可持续发展”的精品网络。旅游职业学院网络建设遵循
8、以下基本原则:高带宽为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特性,整网的核心交换要求能够提供无瓶颈的数据交换。可扩充性考虑到旅游职业学院用户数量和业务种类的发展,要求对于核心交换机与汇聚交换机具有强大的扩展功能,旅游职业学院校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手
9、段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。1.1.2 总体网络设计1.1.2.1 网络拓扑设计网络采用星型结构组网,充分考虑到了网络骨干的高带宽、高可靠性,整网采用高可靠性设备作为核心交换机,设计使用双引擎,双电源保障核心自身的可靠性。下行使用光纤连接到各楼宇汇聚,提供高速率的上行带宽,保障多种教学业务,特别是多媒体、语音等教学课件的高速传输。核心交换机采用多级交换架构,交换网板和引擎分离设计,这样实现控制和转发的进一步分离,提高设备稳定性和性能。CLOS多级交换架
10、构代表未来的交换技术最先进的技术。各个汇聚层的交换机则通过单模千兆光纤连接到接入层的交换机,接入层交换机为千兆到桌面。拓扑图如下:1.1.2.2 核心层设计核心层负责整个网络的数据交换,同时也是整网(LAN)的路由中心,全网第三层、第四层操作都通过核心节点集中进行。核心交换机提供局域网内用户对服务器群的高速访问。 为了充分保障核心交换平台的高可靠特性,我们提供的核心交换设备采用分布式结构,并且为多级交换架构。配置双主控交换板,无源背板设计,所有单板支持热插拔;电源系统采用1+1冗余热备份,并支持多路电源输入;支持STP/RSTP/MSTP协议和VRRP协议,能够满足苛刻的电信级网络可靠性要求,
11、系统可靠性达到:99.999。本次网络建设推荐的核心交换机是H3C公司面向以业务为核心的企业网络架构而推出的新一代高端多业务路由交换机。该产品基于H3C公司自适应安全网络的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段,从而为企业IT系统构建面向业务的基础网络平台,实现通信整合,数据整合奠定了基础。网络核心的服务器区域,包括网络管理服务器、数据库服务器、认证计费服务器、一卡通服务器、流媒体服务器等等。该区域在网络建成后主要提供内网服务,远程教学、视频点播等业务都由该区域设备提供。方案通过数据中心接入交换
12、机汇聚后,接入到园区网核心。1.1.2.3 汇聚层设计汇聚层使用根据不同楼群的接入点密度,可以选用华三公司全千兆智能三层交换机,上行连接核心交换机上,同时全千兆下行连接接入层交换机,主要负责旅游职业学院各大楼的数据汇聚。汇聚交换机具备强大的IRF堆叠能力。基于最长匹配的路由策略。系统采用逐包转发方式,保证了所有报文均获得相同的转发性能,对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力,有效保证了设备安全。支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。支持DUD(Di
13、sconnect Unauthorised Device)认证,通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护,支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞;支持防止DoS攻击功能。具有丰富的QoS特性,支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类,充分保障了复杂网络对于QoS规则的要求。在本次组网中非常适合从事汇聚层面的工作。1.1.2.4 接入层设计接入层是直接与用户相连的设备,使用数量较多,分布较广,所以接入层交换机应该具备较高的性价比,并可支持远程供电和远程管理。H3C的接
14、入交换机支持强大的二层功能和ACL功能,可有有效保障局域网的安全。局域网上的一台主机,如果接收到一个ARP报文,即使该报文不是该主机所发送的ARP请求的应答报文,该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。图1-1 以太网ARP协议报文结构ARP欺骗攻击就利用了这点,攻击者主动发送ARP报文,发送者的MAC地址为攻击者主机的MAC地址,发送者的IP地址为被攻击主机的IP地址。通过不断发送这些伪造的ARP报文,让局域网上所有的主机和网关ARP表,其对应的MAC地址均为攻击者的MAC地址,这样所有的网络流量都会发送给攻击者主机。由于ARP欺骗攻击导致了主机和网关的
15、ARP表的不正确,这种情况我们也称为ARP中毒。图1-2 ARP欺骗攻击是如此简单由于ARP中毒后,所有的流量都需要经过攻击者进行转发。如果攻击者具有转发能力,在攻击开始和攻击结束是都会引发一次网络中断,攻击过程中网络速度变慢,网速变慢原因跟发送大量的ARP流量消耗了带宽以及其本身处理能力有限有很大关系;如果攻击者不具有转发能力,网络出现传输中断,直到攻击停止及ARP表恢复正常。接入交换机防御ARP攻击,识别并读取ARP报文内容,然后根据报文内容判断是否存在欺骗攻击行为,对于ARP欺骗报文进行丢弃处理。图1-3 接入交换机部署ARP入侵检测ARP入侵检测在接入交换机进行部署,接入交换机同时启用DHCP Snooping对DHCP报文进行监测。DHCP Snooping通过监测DHCP报文记录了用户的IP/MAC/VLAN/PORT等信息,并形成一个DHCP Snooping绑定表。交换机端口接收到的ARP报文后,通过查找DHCP Snooping建立的绑定关系表,来判断ARP应答报文的发送者源IP、源MAC是否合法。若ARP报文中的发送者源MAC、IP匹配绑定表中的内容,则认为是合法的报文,允许通过;否则认为是欺骗攻击报文,就进行丢弃。ARP入侵检测能够防止接入终端发起任何ARP欺骗攻击,如果全网部署AII功能,可有效解决ARP欺骗攻击问题。另外由
