02胶南高职校校园网建设方案.docx
《02胶南高职校校园网建设方案.docx》由会员分享,可在线阅读,更多相关《02胶南高职校校园网建设方案.docx(17页珍藏版)》请在冰点文库上搜索。
02胶南高职校校园网建设方案
胶南高职校校园网建设方案
一、总体方案描述
在本方案中采用了“自顶向下”的设计思想。
自顶向下的设计方法适用于从OSI参考模型的高层开始再向较低的层次推进的网络设计,它着重于在选择运行于较低层次上的路由器、交换机和介质之前,将重点放在应用、会话、数据的传输上。
“好的网络设计必需清楚师生的需求,蕴涵着许多商业和技术的目标,包括可用性、可伸缩性、可购买性、安全性和可管理性等。
”所以在设计网络系统的时候,站在师生的角度考虑问题,以满足学校的应用需求和技术需求为指南。
本网络系统是一个大端口密度网络系统,是一个要求带宽较高、要求很高的安全性、支持用户数和应用种类较多的网络。
在网络设计中采用先进的万兆位以太网和模块化交换设备作为骨干网络,同时考虑网络核心设备支持IPv6,满足未来升级需求。
其总体架构为10G以太网骨干,在网络的汇聚层节点核心节点,设计采用模块化结构万兆位以太网路由交换机,并使用千兆位以太网连接接入层交换机和应用服务器,网络用户使用10/100M交换到桌面的连接;在整个网络中可以根据实际需求划分VLAN,在网络中心的主干结点支持VLAN之间的线速路由。
(一)网络设计说明
根据学校网络状况,规划如下:
学校校园网网络如图所示。
网络架构呈星型:
网络出口区域放置一台高性能多核安全网关,替换原RG-NBR2500路由器,防火墙采用多核MIPS总线架构,不仅可提供整网NAT转换,而且还可支持AV、IPS、URL、APP特征库等功能,确保校园内部数据的安全,同时,经校区间互联专线实现校本部与西校区的互连。
数据核心区域,采用神州数码DCRS-6804E高性能核心交换机与原RG-7604交换机做双机热备,既保护了前期的投资,又提高了网络接入的安全性和稳定性,两台核心互为备份,有效保障内部数据业务7*24小时不间断工作,校区内各楼层接入交换机通过千兆多模光纤双线路上联至核心交换机,同样实现了链路的双规双活,使得内部网络架构更加健壮。
接入交换机全部采用二层全千兆交换机,通过QOS、ACL等策略提升网络安全,千兆的用户接入速率,有效保障了数字化校园网业务的稳定运行。
考虑到数字化校园的特点,在教学楼和实训楼内部署无线AP设备,覆盖两座楼宇内的全部区域,方便教职工和校领导无线上网,使得网络接入方式更加灵活、方便。
同时满足教职工移动办公的需求。
在数据中心机房内,同时配置一台无线控制器,对网内所有AP进行统一管理、统一策略下发,无线AC设备本身还具备对无线AP的自动调节功能,例如:
AP信道自动调整、AP自身信号功率补偿等功能,在方便了管理人员对AP管理的同时,又充分提供了一个安全、稳定、便捷的无线办公环境。
另外,考虑到对内部网络用户的上网行为管理的需求,配置一台上网行为管理系统,为网络管理人员提供网络纠察依据。
(二)网络数据交换区(核心层、接入层)说明
校园网中心新增一台性能稳定的4插槽万兆IPv6核心交换机DCRS-6804E,此设备可进行高性能数据交互作业,运行稳定,可达到电信级别的处理能力和运行能力,有效确保骨干系统的稳定可靠。
核心交换机DCRS-6804E配置双电源双引擎,保证网络主干的稳定和可靠性,并且配置千兆电口、光口实现接入交换机及其服务器等的互联。
DCRS-6804E系列路由交换机完善的IPv6特性、出色的安全体系设计、优良高效的网络管理、先进的万兆功能以及运营商级的可靠性,不仅保证了IPv6/v4复杂网络的安全和稳定,
接入交换机使用神州数码DCS-4500系列,实现用户计算机的接入,通过千兆多模光口模块与核心相连,该系列交换机集成堆叠模块,可方便扩展,满足未来网络需要。
接入层交换机神州数码DCS-4500通过ACL、DHCPSnooping功能,保证在入网出即可防范蠕虫病毒、ARP主机欺骗、网关欺骗、DHCPServer攻击等病毒的发生。
(三)上网行为监控系统设计
随着信息技术和互联网的深入发展,互联网日益成为人们工作、学习和生活的一部分。
在享受互联网带来的巨大便利的时候,由其带来的负面影响和安全威胁也日趋严重。
工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出,并由此产生法律、名誉、经济等各方面问题。
特别是《互联网安全保护技术措施规定》(公安部第82号令)明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。
这对于互联网管理,上网行为规范,提高网络利用率等方面提出了迫切的需要。
学校采用神州数码网络依托多年的研发经验,推出的DCBI-NetLog上网行为管理系统。
作为完全拥有自主知识产权的网络行为分析管理系统,集成先进的软硬件体系构架,配以先进的行为分析引擎、灵活多样的管理控制策略,实时分析网络活动,并生成丰富的统计报表。
上网行为管理系统是一款专业的互联网出口管理设备,在上网行为监控及内容审计方面追求精细、准确;在管理方面追求精确、适度,为管理员提供了精细的、多维度、多角度的管理手段;在流量整形方面,产品追求高识别率、高准确度、高控制效果,为管理员提供灵活有效的流量管理手段;在操作管理方面,注重用户操作习惯以及管理易用性,并持续进行改进。
DCBI-Netlog部署可以通过接入管理或第三方联动实现身份识别,基于用户的策略控制实现应用管理和流量整形,最终实现用户网络审计和统计,展现网络应用分布、提供准确的审计和统计信息,为网络管理提供准确的参考依据。
(四)胶南高职校园网关键技术及其设备选择说明
由于以太网技术的普及和不断发展,不仅在桌面接入技术中独占鳌头,而且在城域网和园区网的建设中,也逐渐替代了ATM、FDDI等组网技术而成为骨干网首选技术。
因此选择以太网技术作为组网技术,完全可以满足校园网的组网需要,也符合当前技术发展的趋势。
千兆以太网技术已经十分成熟,是网络界公认的最佳的园区网、城域网的骨干互联技术。
它是对成功的10MBps和100MBpsIEEE802.3以太网标准的扩展,但仍然使用IEEE802.3帧格式,全双工操作和流控制方法。
在半双工模式下,千兆以太网使用同样的CSMA/CD访问方法来解决媒体的通信竞争问题。
千兆以太网的优点是:
千兆交换式以太网可以为每个端口提供1G的带宽,完全可以满足主干网的需要;经济使用,具有较高的性价比;千兆以太网已经获得广泛支持;从现有的传统以太网可以平滑地过渡到千兆以太网,不需要掌握新的配置、管理等技术;能够平滑地过渡到万兆以太网技术。
千兆以太网技术具有良好的互操作性,并具有向前向后兼容性。
而且千兆以太网技术成熟可靠,易于管理,具有可伸缩性。
根据以上描述,建议选择千兆以太网连接核心设备与楼宇接入设备,实现另外对于各类应用服务器,也建议选择千兆以太网技术实现与骨干网络设备的连接。
随着配备了高性能64位PCI总线处理器的服务器的处理能力迅速增强,应用系统和应用程序功能的不断增强,网络用户日益增加,所产生的数据量也越来越大,原来的10Mbps网络在很多环境中已不能满足需求,网络带宽就成为一个瓶颈问题,快速以太网的出现给这一问题带来了一个较好的解答。
快速以太网提供了100Mbps的带宽,给工作站和服务器带来的最大好处,就是增大了吞吐量,从而可以安全地增大网络上的负载,同时其结构简单、灵活、便于扩充,易于实现,工作可靠便于维护和故障恢复,并且能和以前的10Mbps以太网进行无缝连接,保护过去的投资。
交换式以太网和共享式以太网相比,具有比共享式以太网更高的使用带宽,更好的传输性能,共享式以太网是网络上所有的设备共享网络带宽,对网络带宽进行争用,这样,当网络上的多个设备同时传输数据时,网络的效率就会明显下降,网络的传输速度会受到明显的制约,据测试,共享式以太网的利用率大约只有36%左右,当网络的利用率达到50%的时候,网络就会出现拥塞,严重时会造成网络运行的停顿,影响数据在网络中的传输。
虽然交换式以太网投入成本相对较高,但网络上的所有设备是独享网络带宽,那么一个100Mbps的交换式以太网就不会因为网络设备对资源的争用而影响整个网络的使用效率和传输速度,由于比共享式以太网增加了数倍的网络带宽,从而大大提高整个网络的性能,降低了网络拥塞的发生概率。
根据以上描述,建议选择快速以太网为到桌面,实现可扩展的“千兆到楼宇、千兆、百兆到桌面”的网络结构。
设备的选型是网络设计当中非常关键的部分,严格的选型可以达到最佳的效果,即系统相对独立,升级简便,组网方式灵活,以保护现有投资和未来的发展。
所以为了满足贵校目前的需求,立足长远发展,网络设备的选型除了依据提出的需求外,还需遵循上面的设计原则。
建议网络设备选用网络产品系列,作为国内领先的网络设备供应商,其产品具有良好的可靠性和稳定性,可提供高性能、全方位的万兆、千兆网络产品解决方案。
其专门为教育行业用户定制和推出的解决方案,胶南高职网络有两个层次节点:
1)骨干层设备;2)接入层设备。
这两类设备,对设备的选择有不同的考虑。
网络中心节点及其它核心节点作为校园网络系统的心脏,必须提供全线速的数据交换,当网络流量较大时,对关键业务的服务质量提供保障。
另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
骨干交换机的功能应具有较强的扩展性,目前网络正处在IPv4->IPv6过渡期,核心设备必须在一定程度上支持IPv6。
同时满足其它功能的扩展。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。
具体来说核心节点的交换机有两个基本要求:
1)高密度端口情况下,还能保持各端口的线速转发;2)关键模块必须冗余,如管理引擎、电源、风扇。
考虑到后期校园网建设最终必将采用万兆技术,因此需要考虑到核心设备对万兆的支持能力。
综上所述,骨干核心交换机属于高端系列的产品,所以在本方案中,骨干交换机采用万兆IPv6路由交换机DCRS-6804E。
要求路由交换机率先通过最为苛刻的国际IPv6Ready第二阶段认证。
借助芯片级的转发能力和多样化的业务支持,以及较高的性价比,成为企业级网络和电信城域汇聚层部署IPv6的最佳解决方案的一部分。
接入交换机使用神州数码DCS-4500系列,实现用户计算机的接入,通过千兆多模光口模块与核心相连,该系列交换机集成堆叠模块,可方便扩展,满足未来网络需要。
接入层交换机神州数码DCS-4500系列交换机通过ACL、DHCPSnooping功能,保证在入网出即可防范蠕虫病毒、ARP主机欺骗、网关欺骗、DHCPServer攻击等病毒的发生。
技术方案详细设计
(五)校园网出口设计
安全防护和策略路由:
在网络边界部署一台高性能防火,负责网络的安全防御。
并且负责内网的NAT转换和策略的转发处理,并且在安全防火墙上启用DMZ区,保证对外服务器的安全。
在边界防火墙启用深度检测功能,高性能防火墙进行路由的设置根据目的地进行出口的走向分配,达到内网访问教育网的地址走中国教育科研网,其余的访问通过运营商出口访问。
为了保证校外带宽的滥用和非法使用,特别是BT等P2P应用,在防火墙上启用流量控制协议,保证校内非法资源的使用。
上网行为审计系统
据国家公安部的规定,网络管理者或者运营者必须保留60天的上网日志备查。
都需要对上网者的行为进行监控、管理。
校园网需要做到可信、可管理、可查询,做到有突发事件时有据可查,此次建议推荐在方案中部署上网日志管理系统。
部署一台上网行为日志系统DCBI-NetLog-High,功能特性:
上网行为记录功能,可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源,并实现各种统计功能。
缺省启动数据收敛功能。
本次选配的网络日志系统具有以下主要功能:
1)上网行为记录功能,可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源,满足公安部对上网行为进行记录的要求。
很容易查询哪些用户是否访问过黄色、法轮功等非法网站。
2)具有各种上网行为的统计功能,以图例的方式显示哪些网站是最近访问次数的Top-10、哪些用户最近发包次数的Top-10等。
要求即使用户通过代理上网(即:
用户访问的目的IP是代理的IP),也能解析出用户访问的最终网站的URL。
(六)校园网VLAN设计
VLAN在逻辑上等价于广播域。
更具体的说,我们可以将VLAN类比成一组最终用户的集合。
这些用户可以处在不同的物理LAN上,但他们之间可以象在同一个LAN上那样自由通信而不受物理位置的限制。
在这里,网络的定义和划分与物理位置和物理连接是没有任何必然联系的。
网络管理员可以根据不同的需要,通过相应的网络软件灵活的建立和配置虚拟网,并为每个虚拟网分配它所需要的带宽。
在胶南高职网络设计中,作为教学和办公的核心网络设备,根据具体需要划分多个VLAN,其中ADMIN作为设备管理用VLAN.这样可以对这些不同VLAN之间的通讯进行控制,这样既可以节约成本,又可以保障重要网段的安全,同时减少广播和冲突,提高系统的可用性。
在接入层交换机与分布层交换机之间采用802.1Q作为VLAN的传输协议。
根据胶南高职目前的应用需求,在网络实施前期按照需求,配置网络的VLAN。
将网络划分成办公、多媒体教室、服务区、网管区、教学区等几个相对独立的逻辑区域以方便用户对各个区域实施不同的访问策略。
二、地址规划设计
(一)地址规划的原则
IP地址规划应依据科学性、系统性、完整性及可扩展性原则,采用先进的网络编码技术,保证信息交换的效率和质量,既要在相当时期内保持技术的先进性,同时也充分考虑现期工程的可实施性,为了更加便于记忆和管理,在校园网网络建设中,网络IP地址规划采用统一的IP地址分配方式,保证IP地址的唯一性。
具体来说,IP地址规划应该遵循以下原则:
可扩展性:
IP地址的规划与划分应该考虑到城域网的业务飞速发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址;
简单性:
地址分配应简单、易于管理,降低网络扩展的复杂性,简化路由表的款项;
灵活性:
IP地址的分配需要有足够的灵活性,能够满足用户不同的联网需要;
连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
高效性:
IP地址的分配必须采用VLSM技术,充分合理利用已申请的地址空间,保证IP地址的利用效率,采用CIDR技术,减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;
(二)校园网内部IP地址具体规划
对于校园网来说需要全局IP地址的情况有以下:
1)对互联网提供信息服务的服务器,这些服务器一般放置在防火墙的DMZ区;2)内部分配私有IP地址的网络访问互联网时,需要全局IP地址做NAT;3)内部网络中对全局IP地址有特定需求的网段,比如学生经常会玩一些网络游戏,一些特定的网络游戏一定要求全局的IP地址,NAT能够兼容常见的应用,但对许多特殊的应用是不兼容。
跟CERNET和ChinaNet的互联地址有ISP另外分配。
对于校园网的网络设备互联IP地址,以及没有对全局IP地址有特定需求的网段,采用内部网络私有IP地址空间或者申请教育网地址块。
(三)NAT的全局地址
在互联网出口,都需要分配NAT的全局IP地址。
从ISP分配的全局IP地址中分配一段全局IP地址,作为校园网内部访问互联网的转换地址。
基于端口的NAT转换,一个IP地址可以提供6万余个NAT会话。
(四)IP地址的分配管理
校园网的信息点多,如何对IP地址的分配进行有效的管理,是十分重要的。
针对不同的情况,可以对IP地址进行静态或动态的分配方式。
静态分配的情况:
对外提供信息服务的服务器;
校园网内提供信息及管理服务的服务器;
对于一些老师或学生用户,需要对校园网内部或外部提供信息服务的信息点。
路由器、交换机等网络设备的IP地址分配。
动态分配的情况:
不提供信息服务的计算机,只访问校园网内部或互联网的资源。
本方案的接入交换机可以做到以下地址管理:
对于静态分配地址的用户,只有用预先分配的IP地址才可以上网;对于动态分配地址的用户,只有通过DHCP方式获得IP地址才可以上网;
获得有效IP地址上网后,试图修改IP地址,均会自动与网络断线;
以上手段,保证了IP地址不会冲突,因而可以对IP地址资源的使用进行有效的管理和控制。
合理的划分IP地址、尽量使用总结路由、可以有效地减少核心设备的负担,提高核心交换机的效率,减少网络上的路由震荡,同时与交换机专家级ACL功能相结合可以对关键的、敏感的区域实现多重的防护。
三、校园网安全规划设计
网络高速畅通也给黑客们带来更多的便利,端口扫描、非法入侵、拒绝服务、网络嗅探等攻击在高速的网络上如鱼得水。
如何有效地阻止网络的攻击行为,保证网络的高安全?
(一)设备访问控制安全
本方案中的所有交换机支持ACL访问控制,可以限制哪些源地址可以访问该设备。
交换机支持的ACLs类型:
IPACLs:
用于过滤IP报文,包括TCP和UDP。
1.StandardIPaccesslists(标准IP接入控制列表)使用源IP地址作为匹配的条件2.ExtendedIPaccesslists(扩展IP接入控制列表)使用源IP地址、目的IP地址及可选的协议类型信息作为匹配的条件
EthernetACLs用于过滤二层数据流:
1.MACExtendedaccesslists(MAC扩展控制列表)使用源MAC地址、目的MAC地址及可选的以太网类型作为匹配的条件
ExpertACLS用于过滤二层和三层、二层和四层、二层和三层、四层数据流:
1.ExpertExtendedaccesslists(专家扩展控制列表)使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。
通过设置ACL允许指定网段IP地址访问网络设备,拒绝其它网段IP地址对网络设备的访问,这样即使出现了网络设备登录密码泄露,非管理人员也无法登陆网络设备进行管理。
在登录网络设备过程中,使用安全外壳SSH,密码在传输过程中不会被窃听到。
(二)病毒防御
网络设备,能够提供病毒防御功能,使得某些特定病毒不能任意传播。
主要提供以下几个功能:
1)预防PC感染类似“冲击波”的病毒;2)如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。
实例:
比如通过设置ACL防范Blaster(冲击波)病毒的传播和危害
access-list101denytcpanyanyeq135
阻止感染病毒的PC向其它正常PC的135端口发布攻击代码
access-list101denyudpanyanyeqtftp
限制目标主机通过tftp下载病毒。
access-list101denyicmpanyany
阻断感染病毒的PC向外发送大量的ICMP报文,防止其堵塞网络。
然后将其应用在相应网口,例如fa0/1
intfa0/1
ipaccess-group101in
这样即可阻断Blaster蠕虫病毒的传播。
(三)地址转换(NAT)
在互联网出实现NAT,NAT除了可以解决全局IP地址不足之外,还对网络的安全起一定的作用,NAT的安全性主要体现在以下两点:
1)以统一的IP地址访问互联网,屏蔽内部网络拓扑结构;2)外部网络不可以访问内部网络的资源,除非有策略允许。
(四)ARP病毒攻击防范
ARP欺骗首先是通过伪造合法IP进入正常的网络环境,向交换机发送大量的伪造的ARP申请报文,交换机在学习到这些报文后,可能会覆盖原来学习到的正确的IP、MAC地址的映射关系,将一些正确的IP、MAC地址映射关系修改成攻击报文设置的对应关系,导致交换机在转发报文时出错,从而影响整个网络的运行。
或者交换机被恶意攻击者利用,利用错误的ARP表,截获交换机转发的报文或者对其它服务器、主机或者网络设备进行攻击。
1、接入交换机ACL防止ARP仿冒网关
假定交换机0/1/1口用于上联,0/0/1-24直接连接计算机终端,网关地址为192.168.0.1,我们需要在下行口上增加ACL阻止所有仿冒192.168.0.1的ARP通告。
配置命令:
STEP1:
编写ACL
(Config)#access-list1101denyananuntagged-eth212208062020002284C0A80001
该ACL说明如下:
STEP2:
应用ACL
(Config)#Firewallenable
(Config)#inte0/0/1-24
(int)#macaccess-group1101intraffic-statistic
网关不同则相应得16进制数不同,配置的时候需要计算转换。
该配置完成后,终端发出的仿冒网关的ARP通告将被deny。
2ARPGuard防止ARP仿冒网关
我们利用交换机的过滤表项保护重要网络设备的ARP表项不能被其它设备假冒。
基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP报文,如果ARP报文的源IP地址是受到保护的IP地址,就直接丢弃报文,不再转发。
ARPGUARD功能常用于保护网关不被攻击,如果要保护网络内的所有接入PC不受ARP欺骗攻击,需要在端口配置大量受保护的ARPGUARD地址,这将占用大量芯片FFP表项资源,可能会因此影响到其它应用功能,并不适合。
此时推荐采用FREERESOURCE相关接入方案,详细请参考相关文档。
举例:
在端口Ethernet0/0/1启动配置ARPGUARD地址100.1.1.1
Switch(Config)#interfaceEthernet0/0/1
Switch(Config-Ethernet0/0/1)#arp-guardip100.1.1.1
3接入交换机启用DHCPSnooping功能
我们对终端获取IP地址两种不同的方式:
动态获取IP地址和静态配置IP地址,分别进行描述:
终端动态获取地址
在全局模式下,启动DHCPSnooping:
Switch(Config)#ipdhcpsnoopingenable
全局使能DHCPSNOOPING绑定功能,在此基础上配置DHCPSNOOPING其它绑定功能参数:
Switch(Config)#ipdhcpsnoopingbindingenable
在端口上启动DHCPSNOOPING绑定USER功能(这样在这个端口接入的用户获取动态IP地址之后无需认证就可以访问所有资源):
switch(Config)#interfaceethernet1/1
switch(Config-Ethernet1/1)#ipdhcpsnoopingbindinguser-control
在获取合法动态IP地址之前,用户不能访问任何资源,用户采用私自配置的IP地址发送的ARP报文和IP报文均被接入交换机丢弃;PC启动DHCP功能,可以从DHCPSERVER获取合法IP地址,这时用户可以所有资源;
这种解决方案支持防ARP欺骗,可以防止接入主机假冒网关,可以防止接入主机假冒其它用户;管理复杂度低,交换机配置简单并且基本不需要变更;支持用户移动接入,交换机可以自动检测到用户接入位置并正确转发用户数据。
终端静态配置IP地
升级会员 