学院校园网x期工程方案文档格式.docx
《学院校园网x期工程方案文档格式.docx》由会员分享,可在线阅读,更多相关《学院校园网x期工程方案文档格式.docx(68页珍藏版)》请在冰点文库上搜索。
惠州学院校园网二期工程主干采用交换式千兆以太网(GigabitEthernet)技术,二级网络交换机向桌面各PC机提供100Mbps的传输带宽。
我们在进行网络集成方案中,充分考虑了网络系统运行的安全稳定、有效和备份,以及系统的易使用性、易维护性、易管理性和易扩充性。
2.2设计依据
校园网工程技术要求书
中国教育和科研计算机网络(CERnet)工程技术规范书
中华人民共和国计算机信息网络国际联网管理暂行规定
有关的网络技术国际标准
2.3设计原则
惠州学院计算机网络系统应该是一个灵活的、易于管理的、经济有效的网络系统。
这类型网络的建设方案不但要统筹考虑技术的发展趋势、现有的条件和能力而且要保护原有的网络资源,综合、平衡长短期的投资费用和效益,选择最佳的技术方案,使得在规划、费用、管理直到风险等各个方面取得最佳投资点。
为达到以上目标,校园网的设计应遵循以下原则:
可靠性与先进实用性
系统可靠性应当是首当其冲的考虑,为确保网络系统的可靠性,选用的网络技术与设备产品必须是先进成熟的,并与网络技术发展主潮流相一致,而且所用产品必须与惠州学院原有的实际情况相吻合。
采用先进的技术和设备也为网络今后的扩展留了余地。
开放性与标准化
校园网的主网络设备要符合国际标准,园区网不能被昂贵的专有技术约束住,而应能够允许符合国际标准协议的产品互连入网。
经济性和扩充性
校园网的总体设计性价比要高,可用性要好。
不仅要能满足将来的网络扩充要求,还应有很强的系统升级能力,以便在系统升级时保护惠州学院现有投资。
所选用的设备必须是能适应新一代网络技术的可扩展的平台。
集中化的复杂性与分散化的简易性
针对惠州学院计算机网络管理信息点较为集中的具体情况,网络设备的配置与维护就具有很好的优越性。
为了保障系统安全、高效、可靠及低成本的运行,一方面在网络中心应配备具有大规模数据传输处理能力的中心网络设备,进行统一管理;
而另一方面在网络的边缘则希望简化网络的配置,以便于网络用户的使用,降低网络管理维护费用。
智能化监控管理
项目一旦建成投入使用,就必须为网络用户提供快捷方便的信息通信服务。
网络需求的变化带来网络负荷的变化,为了保证网络提供稳定的通信服务性能,需要网络中心动态地监控网络运行状态,及时发现网络中的设备故障和异常现象,对网络负荷进行动态平衡,及时消除网络瓶颈。
第3章
网络系统设计
3.1网络系统的总体设计特点
根据惠州学院目前的需求和未来的发展要求,我们提供的惠州学院网络建设方案有如下特点:
1.标准化
在一个大型的复杂网络系统中,必然共存着多个厂商的计算机设备、通信设备和软件产品。
为建立不同厂商的硬件设备和计算机软件的互联,实现信息的流通及设备资源的共享,从而保证用户的网络系统具有互操作性和可靠性,易于使用、维护、管理和扩充,应建立开放的、遵循国际标准的网络系统平台。
2.可扩展性
考虑到惠州学院相关应用不断发展,今天的网络设计必须为未来的业务发展留出扩充的余地,这样才能有效地保护现有投资。
在硬件设备和网络设计上采用两种方式增强整个方案系统的可扩展性:
将同类设备堆叠、互联,使多个单体作为一台设备工作,同时可以实现统一的管理;
设备提供有多个插槽的、具有可扩展空间的构架,从而可以根据客户的实际需求确定要提供多少处理能力,以及什么类型的物理接口;
除单个设备本身的扩展能力之外,在网络系统的设计过程中,还需要考虑整个网络系统结构的易扩展性和网络协议的易扩展性,这样既能既照顾到目前的应用需求,又能满足今后整个计算机系统的发展需要。
3.先进性
当今世界,通信技术和计算机技术的发展日新月异。
网络系统总体设计方案应采用先进成熟的技术,以适应当今世界通信技术和计算机技术日新月异的发展,保证网络系统的实用性、安全性和高可靠性。
因此,在网络产品的选择上既要兼顾技术上的成熟性,同时也要保证系统的先进性,更要保证系统的安全性。
另外,网络系统的设计能适应“统一规划,分步实施”的系统建设原则。
4.系统可靠性
为了使网络能可靠地运行,本方案中选用了高品质、高性能价格比的产品,把故障率降到最低。
同时应充分利用现有资源,减少不必要的投资。
湘计算机在网络可靠性方面,主要采用一下技术,保障系统可靠性要求:
网络结构及技术设计上,保证网络的可靠性;
选配高可用性的网络设备;
必要的设备和模块备份
5.高性能
一个大型复杂网络系统仅靠设备的高性能并不能保证网络系统整体的高性能,还必须进行合理配置和优化设计才能真正发挥网络设备的功能。
VLAN和三层交换技术,在整个网络中,我们做到了端到端的虚拟网的划分和第三层的交换,对网络管理、部门之间进行协调工作、抑制广播风暴、以及对整个网络进行流量的均衡分配等方面可以达到圆满的效果。
流量控制及管理,在网络系统里,大量的客户机常常同时集中访问一台或少数几台服务器,使得连接服务器的网络交换机端口出现拥塞。
普通的网络交换机一般使用被动式的拥塞管理策略,即在遇到网络端口拥塞时采用缓冲区暂时缓解矛盾,而如果拥塞持续一小段时间,有限的缓冲区很快被填满,后续的数据包将被交换机删除。
由于一个数据包的丢失通常需要七至八个增加的数据包的代价来恢复,而这些重发的数据包必然给已经拥塞的网络增加更重的分担并可能形成滚雪球效应导致网络瘫痪。
本方案建议的HDS系列网络交换机使用专利的主动式拥塞管理技术和标准的流量控制技术,能在网络拥塞的迹象刚出现时即以标准方式通知发送方暂缓或减慢数据发送,保证交换网络在极度超负载状态下绝无数据包丢失,实现网络的高效、可靠运行。
真正的QOS设计,提供高级的流量管理。
硬件的优先级队列,能够保证音频、视频实时应用得质量;
支持流的带宽预约和限制。
高效的基于硬件的多点广播修剪和适用于大规模的多点广播应用。
6.可管理性
随着网络规模的扩大和系统复杂程度的增加,网络的管理、监控、维护及故障诊断和排除变得越来越困难。
网络系统或计算机系统的故障给我们带来的损失将越来越大。
为了减少损失,尽快的排除故障十分必要,所以使用的网络设备具备网络管理的能力,并且拥有一套良好的网络管理软件也就显得越来越重要。
它可以减少故障排除时间,优化网络性能,节省开支,创造效益。
7.安全性
网络的安全机制可以有效地阻止未授权用户的访问,并能提供广播通信量的控制,消除广播风暴;
利用防病毒软件,可以有效阻止病毒的传播和破坏。
3.2网络技术选型
桌面局域网技术大致可分为以太网、TokenRing、FDDI、100VG、25MATM到桌面。
TokenRing、FDDI、100VG出于经济、技术、支持等多方面考虑,除特殊情况一般不建议在桌面使用。
25MATM由于支持多媒体应用和与ATM主干连接好等优点,十分被人们看好,目前价格较高,所以往往只在有像电话、视频会议等多媒体应用时才作考虑。
由于惠州学院已选定千兆以太网技术作为主干网络技术,同时考虑到部门级/工作组级局域网应具备技术成熟、支持广泛、经济实用、易于升级的特性,我们建议采用快速交换式以太网来建立访问层网络。
提高网络性能,保护网络投资。
3.3网络设计方案
3.3.1网络核心层设计
核心层主要核心层是网络高速交换的骨干,被设计成尽可能高速交换包,提供以下功能:
具有高可靠性;
提供冗余、容错;
低延时和良好的可管理性;
避免使用减慢包处理的进程,如访问控制列表、包过滤等;
具有界定一致的网络路径。
惠州学院网络核心层由2个核心节点组成,其中包括:
丰湖校区、金山湖校区。
这2个核心节点主要包括两个主要功能:
●连接骨干网络,构成骨干网络通道;
●连接各种汇聚节点,包括高速接入和信息源接入(主机)。
网络中心核心交换机主要是实现骨干网络之间的优化传输,同时承担与校外Internet,Cernet的路由传输,我们在网络中心采用Quidway®
S8016千兆核心多层交换
惠州学院校园网络核心节点都具有如下的特点:
●都具有电信级的全系统冗余,引擎、时钟,电源,风扇等的冗余;
从根本上保证了节点的安全可靠性。
●都具有良好的性能价格比。
●都具有良好的系统扩充性。
由千兆路由交换机组成;
核心交换机承担的主要工作包括:
数据流量的核心交换功能;
为服务器提供千兆或百兆(捆绑)高速接口;
为接入层提供千兆端口、百兆等下行接口;
为接入层提供高速可靠的传输链路
3.3.2网络系统汇聚层设计
我们推荐使汇聚层是接入层和核心层的分界点,并且用来分辩和区别骨干。
提供基于策略的连接,包括下面几项功能:
●安全、服务等各项策略的实现
●地址和区域的聚合
●部门和工作组的访问
●广播域、组播域的建立
●VLAN之间的路由
●介质转换
●路由域之间的分布
在本方案设计中惠州学院校园网络汇聚层(二级骨干)的设计要点为:
提供较高的可靠性和高速上行网络连接,部署网络的控制能力(如分布式三层交换和Qos等策略)。
对于流量较大的汇聚层交换机建议采用Quiday®
S5516千兆路由交换机,其它数据流量较小的汇聚节点则选用HDS5524F二层交换机通过千兆光纤与核心层交换机连接。
汇聚层交换机的上行链路1000M光纤模块也可根据距离长短选择长波或短波千兆模块。
具体为:
学生六栋、图书馆、教工五栋、实验楼通过1000M光纤接入到田家炳大楼核心交换机;
丰湖校区下属各二级节点全部通过星型方式接到该校区网络核心节点。
图4.9惠州学院校园网汇聚层拓朴结构图
3.3.3接入层节点设计
接入层节点主要由桌面交换机组成,被部署在各大楼内楼层配线间或机房,我们选择具有高性价比的HCC二层交换机作为接入层节点,向下提供PC10/100M上连带宽,向上通过5类UTP或光纤以100M、1000M带宽接入汇聚节点。
图4.10惠州学院校园网接入层结构图
3.3.4网络设备具体配置情况
序号
楼群
信息点数(个)
设备型号
数量
一、丰湖校区
1
书院一栋(到第三教学楼)
9
HDS4516
2
书院二栋(到第三教学楼)
6
3
书院三栋(到第三教学楼)
4
书院四栋(到第三教学楼)
13
5
书院十三栋(到汇接中心)
20
HDS5524
书院十四栋(到汇接中心)
10
7
书院十五栋(到汇接中心)
8
书院十七栋(到汇接中心)
12
书院十八栋(到汇接中心)
16
宿舍二区(到汇接中心)
312
Quidway®
S5516
HDS5524F
14
宿舍四区(到汇接中心)
112
办公楼(到汇接中心)
39
饭堂(到汇接中心)
48
15
教新楼(到汇接中心)
35
第三教学楼(到汇接中心)
二、金山糊校区
学生一栋(到学生六栋)
264
学生三栋(到学生六栋)
S5516
学生五栋(到学生六栋)
学生六栋(到田家炳大楼)
学生七栋(到学生六栋)
学生八栋(到学生六栋)
学生九栋A--到学生六栋
420
18
学生九栋B--到学生六栋
392
17
教工一栋(到教工五栋)
24
教工二栋(到教工五栋)
11
教工三栋(到教工五栋)
教工四栋(到教工五栋)
教工五栋(到田家炳大楼)
教工六栋(到教工五栋)
教工七栋(到教工五栋)
实验楼(到田家炳大楼)
120
图书馆(到田家炳大楼)
280
田家炳大楼
3.4关键技术分析
1、新旧网络设备的互连通性
在网络设计中,确保不同厂商之间的设备互操作性是非常重要的。
在本次方案中新增加的网络设备必须与原有的互联互通,从而实现平滑升级。
本次方案采用以太网技术,通过与现有的10/100/1000M以太网标准的向后兼容性能力,千兆以太网将提供快速以太网提供的卓越的投资保护。
当升级完成后,原有的网络将保留现有的线缆、操作系统、协议、驱动程序和桌面应用程序,无需专门对用户进行培训,网络管理工具和应用程序将维持现状。
管理人员能保留现有的已经使用和验证过的硬件、软件和管理方法,并以最低的风险和成本提供所需的功能和性能。
在本方案中,把原有网络设备和新增网络设备分为两部分。
原有网络设备和新增网络设备之间的连接采用千兆多模光纤。
千兆位以太网使用了与其前代技术相同的CSMA/CD协议,相同的帧结构帧长,其国际标准是IEEE802.3z及IEEE802.3ab;
而IEEE802.1D生成树协议保证了网络的任意节点之间不存在逻辑上的环路。
上述协议和标准保证了本方案在ISO/OSI七层协议中的第一和第二层上的互操作性。
2、VLAN划分
针对惠州学院校园,VLAN的划分主要以物理位置上的区域来划分逻辑上的虚拟网络结构。
考虑到校园网计算机设备不会频繁移动,同时从网络安全和方便网络管理的角度出发,结合我们的实际工程经验,建议虚拟网划分法采用基于端口的方法和虚拟网标准802.1Q国际标准进行VLAN的划分,并结合物理位置和部门功能做为进行VLAN划分的原则。
通过LAN方法接入网络中心的VLAN划分由网络中心统一指定VLAN的范围和VLAN采用的协议。
不通过LAN方法接入网控中心的VLAN划分不受约束。
VLAN之间只允许必要的通讯,其余的通讯将被阻止。
公用的服务器可以单独在一个VLAN中。
同IP地址规划类似,虚拟网也是给网络用户在物理网络的基础上提供一种划分逻辑网络的手段。
因此,虚拟网规划的原则也有多种逻辑形式,如以地理区域划分,以网络应用群体划分等。
但与IP地址规划的不同之处在于,虚拟网划分完后,只是完成了第二层链路层的配置,还必须结合第三层IP地址,才能真正实现基于TCP/IP协议的网络通信。
具体实现是通过网络设备参数设置来完成的。
我们以学生区为例:
我们按照VLAN划分原则,在学生区接入层采用基于端口的划分方法,按照学生宿舍单元为单位、结合IP地址的规划,将一个C类地址划在一个VLAN里面。
在汇聚层采用基于802.1Q的划分方法,将汇聚层每十台划在一个VLAN里面,同时将VLAN终止在汇聚层,来配合我们分布式的路由设计,从而减轻核心交换机的工作压力。
图4.14汇聚层VLAN划分
3、IP规划
两个校区的IP由网络中心统一规划。
IP地址规划拟以各个单位、各个部门的职能为单位,学生以宿舍楼(公寓)的楼层或者单元为单位,结合虚拟网的使用情况进行划分。
惠州学院校园网建成后,应使新旧系统平稳过渡。
建议IP地址分配、管理基本不变。
同时考虑到公有的IP地址数目有限和内外网的安全,故在公有地址不够时内网采用私有ip地址。
由网络中心分别对二级节点进行地址划分,再将二级节点细分到不同三级节点上。
在本方案中,因考虑到惠州学院目前的状况和将来五年的发展,以及学生使用网络的特点,故将学生区单独考虑。
对学生采用以网络中心对各个学生宿舍(公寓)划分IP段,再以学生宿舍(公寓)的单元或楼层为单位,细分IP段。
最后对合法用户采用动态分配IP和身份验证相结合。
这样,既保护了合法用户,又使其他的用户可以在内部网互相交流。
私有IP在访问Internet或CERNET网络时,通过NAT服务器,来实现私有IP到公用IP的转换。
需要提供外部访问的服务器地址使用公用IP地址。
网络的网关可以使用网控中心的网关。
4、路由方式
A、分布式路由方式
路由方式有二种,既分布式和集中式。
整个校园网通过强大的路由来支持vlan间的通讯,采取中心集中路由方式不仅会导致路由的瓶颈,而且会降低系统的可用性,骨干网上的路由流量也将成倍上涨。
因此,本方案采用了核心层和汇聚层路由分担的设计,使核心层交换机和汇聚层三层交换机都承担路由的功能。
整个网络按照网络的层次和组织机构划分为不同的路由区域,各汇聚层的交换机负责各自区域的路由,只有跨区域的路由才会通过骨干路由器实现。
B、核心层路由设计
网络的骨干交换机之间采用OSPF路由协议。
OSPF作为一种链路状态路由协议,具有快速收敛,支持变长网络掩码,支持cidr以及地址summary,具有层次化的网络结构,支持路由信息验证等优点。
OSPF的种种特性使其非常适合于应用在大型的、复杂的网络环境中。
OSPF路由能很好地支持负载分担。
OSPF路由协议支持等代价的多条链路的负载分担。
我们在核心层交换机之间采用第三层的路径选择,可在并行的链路之间进行负载均衡。
C、汇聚层路由设计
汇聚层路由可采用OSPF和静态路由相结合的方式实现。
汇聚层交换机和汇聚层交换机划分统一的vlan。
在汇聚层交换机上划分基于端口的vlan,并通过802.1q,即IEEE定义的以太网vlan协议,将vlan上行至汇聚交换机。
在汇聚层交换机上划分统一的vlan,并终结vlan。
二级交换机管理自己的vlan域,只有跨区域的数据流量才会流入骨干,降低了核心层网络的流量负担,二级交换机维护自己的路由表,自己进行管辖范围内的数据转发工作,降低了核心层网络的计算负担。
D、边界路由
边界路由是由校园网出口经由CERNET节点上的路由器之间的路由交换,作为一个as自治系统和闭合的用户群体,对CERNET隐藏其网络拓扑结构,对于校园网的安全性具有重要的意义。
本方案中的边界路由拟采用静态路由。
E、策略路由
在本方案中我们采用了基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。
传统上,路由器用从路由协议派生出来的路由表,根据目的地址进行报文的转发。
基于策略的路由比传统路由强,使用更灵活,它使网络管理者不能够根据目的地址而且能够根据报文大小,应用或IP源地址来选择转发路径。
策略可以定义为通过多路由器的负载平衡或根据总流量在各链路上进行转发的服务质量(QOS)。
策略路由使网络管理者能根据它提供的一个报文,采取具体路径。
而在当今高性能的网络中,这种选择的自由性是很需要的。
策略路由提供了这样一种机制:
根据网络管理者制定的标准来进行报文的转发。
5、QOS服务质量保证
由于惠州学院校园网络用户的剧增及语音、视频等新业务、新应用的出现,在网络中一个迫切需要解决的问题就是网络服务质量的保证。
QoS是指当IP数据包流经一个或多个网络时,其所表现的性能属性。
它通常由以下一组可测量的参数来表示:
业务有效性、延迟、抖动、吞吐量和包丢失率等。
IETF目前正在研究两种QoS保证模形:
综合业务模型(Int-Serv)和分类业务模型(Diff-Serv)。
Int-Serv使IP网络能够提供具有QoS的传输,以用于对QoS要求较为严格的实时业务(视频/声频)等。
Int-Serv旨在定义一个最小的对于全网的要求集合,使网络转变为一个固定的综合业务通信基础设施。
它的实施需要对全网路由器,支持VLAN的交换机进行升级,加入有关的软件和硬件。
Int-Serv所采用的技术主要包括先进的碰撞管理、限制延迟、抖动和网络带宽消耗的排队算法,同时Int-Serv还使用资源预留协议(RSVP)作为整个模型的端到端信令协议。
Diff-Serv旨在制定一个扩展性较强的方法来保证IP服务质量,其基本思想实际上就是给业务分级。
在用户和业务网的接口处分级,业务的分级基于每个数据包的不同标识。
同一级别的业务在该网络域内被聚合并统一传送,保持相应的服务质量参数。
Diff-Serv并不提供从发送者到接收者的端到端服务质量保证,而是在一定范围内保证与业务分类的分级,因此它具有较大的可扩展性。
在本次方案中我们采用的Qos处理技术如下:
硬件Qos队列处理
我们采用的网络设备为多业务网络提供了业内领先的基于硬件的QoS,专用的ASIC芯片可以深入地分析数据包的包括第四层在内的内部数据处理结构,因此可以在应用层对数据流量进行识别、分类以及划分优先级。
Cajun全系列交换机都在
升级会员 