校园网络设计方案Word格式.docx
《校园网络设计方案Word格式.docx》由会员分享,可在线阅读,更多相关《校园网络设计方案Word格式.docx(41页珍藏版)》请在冰点文库上搜索。
在信息技术高度发达的今天,在信息已经成为社会重要资源的今天,这种管理模式已不能适应社会发展的需求;
基于网络的办公自动化模式,不仅可以极大地减轻工作强度,提高工作效率,而且可以减少由于人工操作出现错误的可能性,并可以使信息在流通和重复使用中发挥最大的效益。
就网上教学而言,基于网络的教学环境,其信息资源的多样性、丰富性和检索信息的快捷性、方便性是传统教学环境不可比拟的;
而且网上学习不受时空和地域的限制,学习模式也可灵活选择,既可以实现个别化的学习模式,又可以实现协作式的学习模式,有利于发挥学生的主动性、积极性、创造性,有利于培养学生的创新精神和贯彻落实素质教育。
总之,基于网络的远程教学,克服了电视、广播、函授等传统媒体不能即时反馈的缺点,极大地拓展了远程教育的范围,丰富了远程教育的内涵。
但是目前在教育领域热火朝天的“建网热”中,往往是“重硬轻软”,只是热衷于网络基础设施和硬件环境的建设,而忽视应用软件和教学资源的开发。
这就造成建了网(相当于“修了路”)以后,常常面临“有路无车”、“有车无货”或有了车、货却缺乏“驾驶员”(经过培训的教师)的现象,使大批已建成的教育网络根本无法发挥作用,甚至建网越多,浪费越大。
我国是发展中国家,教育经费本来就严重短缺,可是就这么一点资金还要如此浪费,这是多么令人痛心的局面。
之所以出现这种现象,究其原因,关键在于对教育网络建设缺乏系统、全面的考虑与研究,一讲建网,就一窝蜂上硬件设施——一门心思搞“修路”。
其实,网络教育应用是一项系统工程,必须将“路、车、货、驾驶员培训”这四个要素通盘考虑,在此基础上研究出一个“全面解决技术方案”来并加以实施,才有可能从根本上解决网络教育问题。
第2章系统建设需求
校园网络平台是校园数字化系统的运行基础,学校原有的网络平台无论是在网络的稳定性、业务适应用性、性能、安全以及可扩展性等方面已无法支撑学校系统的需求,更是无法达到国家示范性高等职院建设的要求,因此,学校的校园网络平台需要进行全面的升级,建设任务主要包括以下五大方面:
一、建设一个高可用的骨干网,这是网络平台建设最为重要及紧急任务之一,骨干网的稳定性、性能和安全性将直接影响到校园网络的运行;
二、建设一个数据中心网络平台,为数字化业务系统提供一个高可用的接入平台;
三、建设一个安全可控的网络出口,增强网络外界的安全防护以及校园网用户的行为监管能力,提高出口带宽的使用效率;
四、完善校园网用户的接入和控制,通过部署用户认证、计费等措施对全面提升对接入用户的控制,使用户接入规范化。
五、建设校园无线网络平台,提高网络接入的覆盖能力,校园用户更易于使用学校资源。
第3章网络平台建设方案
3.1网络设计原则
校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学自动化,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
学校网络建设遵循以下基本原则:
高带宽
学校网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
学校网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制。
可扩充性
考虑到学校用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,学校网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;
开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
3.2网络层次化设计
在校园园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。
根据学校的网络分布情况,校园网共分成核心层、汇聚层和接入层三层。
1)核心层
核心层是整个网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。
学校主控室设立整个校园网的核心层,对于学校校园的核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的多设备冗余的星型结构。
对于校园网核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
2)汇聚层
汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关。
目前,学校共有5幢建筑物,学校汇聚层设立将根据现有的信息点分布,结合综合布线系统等多因素,一般而言,以建筑物/功能区为单位设立汇聚层,即每个单体建筑/功能区设立一个网络汇聚层,如数据中心和网络出口分别设于汇聚层,同时对于学生宿舍区,可以采用多幢学生宿舍共用1个网络汇聚层的方式。
对于校园园区网的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合IPv6、网络安全、流量分析等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求。
3)接入层
提供网络的第一级接入功能,完成二层接入,并实现对终端接入的安全控制,包括ARP防御、IP/MAC/端口绑定以及POE等高级功能。
在校园网中,接入层采用千兆及百兆到桌面的接入模式,对于数据传输量较大或重要区域采用千兆到桌面的方案,如综合办公、图书馆等,其它的为百兆接入,同时,无线AP接入采用POE方式进行设备的供电。
接入层设备以选择二层交换机为主,设备应具有灵活的扩展能力,支持堆叠,具有强安全性,可以实现IP、MAC、端口的绑定,支持802.1x认证,支持DHCPSnooping,防止非法DHCP接入和ARP攻击。
3.3校园网络总体结构
校园网络平台将采用层次化通用结构设计,采用核心层、汇聚层和接入层三层架构,包括网络骨干、数据中心、网络出口、网络接入、无线网络等五大部分。
网络骨干由核心层和汇聚层组网,骨干网采用高可靠性组网,核心层配置高端核心交换机,汇聚层设备通过千兆链路实现与核心层设备的互联,网络骨干全面支持IPv6,并提供万兆扩展能力。
校园网设立数据中心,实现各业务系统服务器的集中部署,数据中心网络平台独立建设,为服务器提供高性能、高可靠、可扩展性的接入平台,同时,通过核心交换机内置高性能的防火墙模块提供安全保护。
网络出口实现校园网络与外部网络的互联,包括与教育科、互联网的互联,网络出口需实现校园网与外部网络的隔离,网络出口配置1台路由器设备实现与外部网络互联,配置应用控制网关,实现出口带宽的管理,并对校园网用户实现行为审计等功能。
网络接入层提供校园网用户的接入,并实现网络接入的安全防御,如ARP攻击防护,同时,结合用户管理系统实现对接入用户认证、计费等管理。
为实现校园网络接入的灵活性,提高网络的覆盖,校园网将实现办公楼、图书馆、实验室、运动场馆等公共区域的无线网络覆盖,无线网采用智能的FitAP组网。
为便于网络的管理和维护,校园网还将建设1套网络管理系统,实现对校园网络平台设备的统一管理,网络管理应具有拓扑、故障、性能、配置和图形化设备管理等功能,为了实现更为方便的通过远程方式对网络的状态进行监控和维护,网络系统采用B/S架构。
同时,为加强对接入用户的控制和管理,系统还部署用户认证、计费管理系统。
3.3.1核心层设计
学校主控室设立整个校园网的核心层,对于学校校园的核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的设备冗余的星型结构。
核心层配置高端交换机作为核心交换机,选用的核心交换机是从可靠性、性能、业务特性、安全特性以及可扩展性等多个方面进行综合考虑。
在可靠性方面,核心交换机应达到99.99%的高可靠性,采用全模块化设计,电源、风扇、引擎、业务模块等均可实现热插拔,支持电源、引擎等关键部件的1+1冗余热备份,支持VRRP、路由优雅(GR)等高可靠性协议,实现核心层的业务不间断转发。
在性能方面,核心交换机应采用Crossbar交换矩阵,采用全分布式转发,支持万兆、千兆等高速以太网接口,所有接口实现线速转发,保障校园网多种业务进行并发交换。
在业务特性方面,核心交换机支持丰富的QoS特性,可保障重要业务得到优先转发;
支持IPv6,可平稳过渡到下一代网络;
并且支持内置防火墙、内置无线控制器等多种业务功能插卡,可以进行灵活的部署,实现业务的扩展和融合。
在安全性方面,核心交换机应既能保障自身的运行安全,也能通过一些安全机制保障所承载业务的安全。
基于上述因素,我们建议核心交换机采用H3CS7510E高端交换机。
H3CS7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3C自主知识产权的ComwareV5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术。
S7510E具有10个槽位,其中8个为业务模块插槽,并支持丰富的接口模块,如万兆、千兆、百兆等类型接口,可根据网络规模实现在线扩展。
S7510E具有高转发性能,整机具有1152Gbps交换容量、773Mpps转发性能,同时,S7510E采用全分布式转发,并采用最长匹配、逐包转发的处理机制,保证业务的高速率转发。
S7510E中配置的所有接口均可实现线速转发。
选用的H3CS7500E交换机具有以下特点:
<
一>
、丰富的业务,适应融合业务网络发展趋势
⏹全面的MPLS业务能力
H3CS7500E所有产品均支持VRF-Lite特性,可以做为MCE设备使用;
支持三层的MPLSVPN和二层的MPLSVPN(Martini、Kompella),可扩展支持VPLS技术;
支持MPLSOAM特性,方便用户的管理和维护;
与H3CMPLSVPNManager配合,实现图形化的MPLS部署与维护。
⏹线速的IPv4/IPv6业务能力
H3CS7500E支持IPv4/IPv6双协议栈,支持多种6to4隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;
H3CS7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;
H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证,是成熟商用的IPv6产品。
⏹有线无线一体化,有源无源一体化
H3CS7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QOS和对IPV6的支持等;
无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3CS7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;
H3CS7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
⏹支持Portal认证
H3CS7500E支持大容量的Portal认证功能,可以在数千用户的局域网中作为EAD网关设备,为全网用户提供EAD安全认证功能;
可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
二>
、灵活的配置,适应各种应用场景
⏹配线间融合业务网络的最佳选择
H3CS7500E针对配线间的需求定制开发了SA板卡,单台设备可以提供480个千兆线速接口和4个万兆线速接口。
H3CS7500E支持端点准入防御解决方案,解决终端安全问题;
内置2800W电源直接提供PoE功能,对IP语音和无线接入提供良好的支持。
⏹政府电力城域网边缘和汇聚的最佳选择
H3CS7500E支持VRF-Lite特性,为用户提供高可靠高性能的MCE设备;
通过配置SalienceVI-Turbo引擎,可以提供集中式MPLS业务功能,适合在城域网边缘作为高性价PE设备使用;
通过配置EA类板卡,可以提供分布式线速的MPLS业务功能,适合在城域网汇聚层作为高性能的PE使用。
⏹IPv6网络的最佳选择
H3CS7500E所有SalienceVI引擎都可以提供集中式IPv6功能,H3CS7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡,在整机满配置状态下实现线速无收敛,为高校用户提供了高性能低成本的双栈汇聚核心设备,同时也满足其他行业用户IPv6Ready的需求。
三>
、全方位的安全保障,抵御多种网络安全威胁
⏹三平面安全保障机制
H3CS7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:
在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;
在管理平面,SNMPv3网管协议,SSHV2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;
在转发平面,支持IP、VLAN、MAC和端口等多种组合精细绑定;
支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。
⏹有线无线全面支持EAD
H3CS7500E是EAD端点准入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。
H3CS7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。
⏹增强的ACL特性
H3CS7500E系列产品支持强大的ACL能力:
支持标准和扩展ACL;
支持基于VLAN的ACL,方便用户配置,节省ACL资源;
支持出方向和入方向的ACL,每板最大可支持9K条ACL,满足金融等行业访问权限严格控制的需求。
四>
、电信级的高可靠性,保障用户业务长期稳定运行
⏹电信级高可靠性设计
H3CS7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;
无源背板避免了机箱出现单点故障;
所有单板和电源模块支持热插拔功能;
H3CS7500E系列可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。
⏹多业务高可靠性运行
H3CS7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;
支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;
支持RRPP快速环网保护协议,提供小于200ms的环网故障保护;
支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。
通过上述技术,H3CS7500E可以在承载多业务的情况下不间断运行,实现业务的永续。
⏹支持热补丁技术
H3CS7500E能够在不重启设备的前提下,通过热补丁技术,在线修改软件BUG,增加新的业务特性。
H3CS7500E提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删除补丁单元。
通过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。
3.3.2汇聚层设计
选用的汇聚交换机应具备以下功能和特性:
在可靠性方面,汇聚交换机支持路由协议平滑重启,支持RSTP、MSTP生成树协议,支持2层的快速切换,确保与核心交换机组网的可靠性,
在性能方面,汇聚交换机所有端口线速转发,包括万兆接口,保障多种业务进行并发交换。
在业务特性方面,汇聚交换机支持丰富的QoS特性,可保障重要业务得到优先转发;
支持IPv6,可平稳过渡到下一代网络。
在安全性方面,汇聚交换机具有安全机制保障所承载业务的安全。
基于以上要求,我们建议汇聚交换机选用H3C的S5500-EI,S5500-EI系列交换机具有以下特点:
1、高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群10GE链路将是我们的未来发展方向。
H3CS5500-EI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10GE扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
IPv4到IPv6的演变是以太网发展的大势所趋,网络设备对于IPv6的支持不仅是简单的可用就行,而是需要达到商用的标准,S5500-EI已经通过了国际最权威的IPv6Ready第二阶段认证,而且通过了信息产业部严格的IPv6入网测试。
这个系列产品是基于硬件的IPv4/IPv6双栈平台,支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制,实现IPv4到IPv6的平滑升级。
2、完备的安全控制策略
H3CS5500-EI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3CS5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;
支持配合H3C公司的CAMS系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。
H3CS5500-EI系列交换机提供增强的ACL控制逻辑,支持超大容量的入端口和出端口ACL,并且支持基于VLAN的ACL下发,在简化用户配置过程的同时,避免了ACL资源的浪费。
另外,S5500-EI系列还将支持单播反向路径查找技术(uRPF),原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。
7VM海岸线网络安全资讯站
3、多重可靠性保护
S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。
所有机型都支持内置的双冗余电源,其中S5500-28F-EI支持可插拔的冗余电源模块,也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。
除了设备级可靠性以外,还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的RRPP快速环网保护机制。
当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。
4、多业务支持能力
支持PoE(PoweroverEthernet)技术,通过以太网对所连接的设备(如IPPhone,WirelessAP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。
支持VoiceVLAN技术,交换机通过识别端口的语音流,将对应的接入端口加入VoiceVLAN(专用语音VLAN)中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。
同时通过设置VoiceVLAN安全特性,只允许语音流量通过,可以有效防止突发数据流量对VoiceVLAN内的语音流量的冲击。
H3CS5500-EI系列交换机支持MCE功能,可以有效解决多VPN网络带来的用户数据安全与网络成本之间的矛盾,它使用CE设备本身的VLAN接口编号与网络内的VPN进行绑定,并为每个VPN创建和维护独立的路由转发表(Multi-VRF)。
这样不但能够隔离私网内不同VPN的报文转发路径,而且通过与PE间的配合,也能够将每个VPN的路由正确发布至对端PE,保证VPN报文在公网内的传输。
5、丰富的QoS策略
H3CS5500-EI系列交换机支持支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。
提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR三种模式。
支持CAR(CommittedAccessRate)功能,粒度最小达64Kbps。
支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
6、出色的管理性
H3CS5500-EI系列交换机支持SNMPv1/v2/v3(SimpleNetworkManagementProtocol),可支持OpenView等通用网管平台以及iMC智能管理中心。
支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便,并且支持SSH2.0等加密方式,使得管
升级会员 