某学校网络解决方案Word格式文档下载.docx
《某学校网络解决方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《某学校网络解决方案Word格式文档下载.docx(45页珍藏版)》请在冰点文库上搜索。
为什么要选用模式的组网
为什么要采用供电
为什么要采用吸顶天线
无线管理有线无线一体化拓扑
的优势
零配置无线网构建解决方案
理解零配置
无线控制器和之间的网络拓扑
获取地址
发现相同二层网络内的无线控制器
发现跨三层网络的无线控制器
部署于双栈网络
软件下载
配置下发
零配置提供的便利
第1章概况
1.1校园网建设背景
2年月日,中国互联网络信息中心()在京发布“第十四次中国互联网络发展状况统计报告”。
报告显示,截止到年月日,我国上网用户总数为万,比去年同期增长,上网计算机达到万台。
网络国际出口带宽增长飞速,总数达到53.9G,比去年同期增长。
下注册的域名数、网站数分别达到万和万。
万网民当中,教育的用户占有,教育用户当中绝大部分的网民主体是来自于学生用户,报告中主要数据说明,前十年的发展取得丰硕成果,我国互联网事业正在持续快速的发展,并在普及应用上进入崭新的多元化应用阶段!
互联网的影响正逐步渗透到人们生产、生活、工作、学习的各个角落。
同时,随着国家信息化工作的深入开展,提高教育系统信息化水平成为当前工作的重点。
而校园网建设则是教育系统信息化建设的关键,尤其是高校校园网建设。
在信息化的建设过程中,它的作用体现在如下几个方面:
、校园网能促进教师和学生尽快提高应用信息技术的水平;
信息技术学科的内容是发展的,它是一门应用型学科,因此,为了让学生学到实用的知识,必须给他们提供一个实践的环境,这个环境离不开校园网。
、校园网为教师提供了一种先进的辅助教学工具、提供了丰富的资源库,所以校园网是学校进行教学改革、推行素质教育的一种必不可少的工具。
、校园网是学校现代化管理的基础,深入、全面的学校信息管理系统必须建立在校园网上。
、校园网提供了学校与外界交流的窗口,学校应将校园网与互联网联接,这也是学校信息化的要求,做到了这一步,通过校园网去了解世界、在互联网上树立学校的形象都是很容易的。
教育即未来,作为国家最重要的战略工程,如何应用信息技术改造我们传统的教学和管理手段;
如何加深学生对于信息化和信息技术的理解与了解;
如何造就同时具备传统和信息双重文化的一代新人,已成为教育界当前最为紧迫的任务之一。
信息技术的应用,势必极大地推进教育手段和教育内容的革命性变革。
我们对此深信不疑,并将全身心地为之努力。
1.2某学校校园网建网需求分析
1.2.1一般建网需求
某学校的网络建设主要是对校园网的网络进行部署。
在实际的建设过程当中,应当充分考虑到学校内部的校园网多业务以及特色业务等扩展性,如:
校园网内部的服务器的访问,由于学生的访问的内容多样化决定,涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。
此处主要分析某学校网络基础设施建设和网络运营方面相关的内容。
某学校校园网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。
主要特点如下:
1、多出口的需求:
典型的组网有中国教育和科研网()出口和运营商网络出口同时为内部网络提供网络接入服务。
考虑到用户的以上的需求,需要在学校的内部提供不同的路由策略,即用户访问教育网的相关站点,通过的线路,而访问其他的网站如:
新浪网、等网站则选择运营商的线路作为出口路由,这要求核心的交换机或出口路由器能够提供策略路由以支持该特性。
、用户管理的需求:
1)使用方便,存在客户端认证需求。
要求能做到基于客户端的身份认证、多选择、用户费率查询等。
2)需要解决账号和端口绑定问题。
通过此种方式限制账号的使用区域。
3)能够实现全网的安全管理,包括:
、的盗用问题、防止接入用户的非法、等用户。
4)对于用户的上网行为能够实现实时的跟踪以及时候的追查。
、多种教学方式并行的需求:
随着校园网的信息化的发展,越来越的多教学方式依托于网络给学生提供多种的特色教学模式
1)多媒体教学。
为了更好的为学生提供全方面的教学资料,越来越的多学校在自己的内部局域网上面为学生提供多种教学资料,如:
多媒体教学课件、典型的考试资料等等提供给学生上网下载使用。
2)点播业务实现,通过建立视频服务器平台,利用交换机提供的组播功能,为某学校的用户提供优质的视频效果,同时节省用户带宽。
、安全管理的需求:
1)校园用户接受新鲜事务的能力非常强,因此校园也成为黑客最多的场所之一,如何保障校园网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有,等
2)上网日志的需求,主要是配合公安机关保证社会的稳定和校园的安全
、组播业务的需求,特别是可控组播的需求将随着校园信息化的深入而体现出来。
、双核心的高保障需求:
某学校的网络组建投入使用以后是办公和教学的平台的环境,是院系专业教学和办公的集合体,对网络的稳定性要求相当的高,如果万一出现网络中断的想象,有可能就会对学院的工作和教学造成损失,所以为保证网络的稳定、可靠、高效都是才用双核心
1.2.2某学校建网需求
某学校为提高网络覆盖范围率,使计算机终端的上网率可以达到%以上,各园区网络设备进行升级,实现各院系的互连互通,把核心到汇聚层的千兆连接升级为万兆互连,满足数据、音视频等信息的实时传输,满足各类网上应用需求对网络带宽的需求,同时要有该网络是一套自上而下的一套安全的网络体系,在未来建设的校园网的数据中心为全校的各级用户提供,集中统一的数据存储服务。
1.3整体建网原则
早期的高校校园网主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在安全、可管理性较差、无业务增值能力等方面的问题。
现在某学校校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的保障服务,使网络安全可靠,从而实现教育管理、多媒体教学、图书馆管理自动化,而且还要通过实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
基于对某学校校园网业务需求的深入理解,结合自身产品和技术特点,3C公司推出了了完善的某学校校园网解决方案,为某学校提供“高扩展、多业务、高安全”的精品网络。
某学校网络建设遵循以下基本原则:
高带宽
某学校网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
某学校校园网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的增值业务,使网络具有自我造血机制,实现以网养网。
可扩充性
考虑到某学校用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,某学校校园网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;
开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
对原有投资的充分保护
某学校已经建成自己早期的校园网,对早期投资购买的设备和原有的网络构造要充分的利用,发挥原有网络设备的作用,服务于新改建和拓扑模式之中。
第2章总体网络设计
2.1整体网络改造描述
为满足某学校三至五年的建设需求,本次方案主要采用分期建设的模式来实现整个校园网数字化建设。
具体分期如下:
建设主要通过部署关键节点设备解决目前校园网出口带宽有效利用问题、用户行为时候审计问题、出口设备性能瓶颈问题等。
建设规划如下图所示:
考虑到一期投入资金有限,而根据对全网设备利用率及负载情况的评估以及目前终端用户反映情况了解到目前网络存在两大问题。
第一,外网出口带宽不够导致用户访问外网速度明显下降,无法满足用户正常需求。
第二,根据年月中华人民共和国公安部第号令要求所有提供互联网服务的企事业单位具有内网行为审计能力,有效保障互联网信息安全。
通过以上两点作出以下改造。
出口部署,根据目前校园网双出口特性,路由器主要具备两大应用。
第一,出口转换功能。
第二,出口设备策略部署实现路由匹配,根据目的地址选择不同出口功能。
出口安全部署,根据目前现有出口防火墙性能显示占用率与内存占用率一直处于满负荷状态,给内外网数据交互带来的风险和传输瓶颈也是不容置疑的,一旦出口遭到攻击防火墙将会因负载过大造成数据堵塞。
从而建议在出口防火墙处通过部署一台防火墙实现内外网的安全隔离。
2.2网络层次介绍:
在核心层,核心层主要交换机,网络中心核心交换机同时提供服务器接入区域,重要的服务器例如日志服务器、防病毒服务器和补丁服务器,同时提供网络的审计、网管等功能区域。
,同时3C交换机其交换容量,包转发率,
在接入层,接入层是直接与用户相连的设备,因此,在实际的应用的过程当中我们建议采用3C产品,建议通过在上配置千兆电接口与汇聚交换机进行链接,这样将会进一步扩大带宽。
3C系列安全智能三层交换机的总线带宽为交换机所有的端口提供三层线速交换能力,系统能够提供个接口,有效解决了在单台设备上多个千兆链路上行,同时接入千兆服务器的需求,极大的节省了用户对设备投资。
无线网络的应用
在校区内进行无线的覆盖,现阶段校园网的无线覆盖已经成为一种趋势和必然,对于无线的覆盖以后,使得学校教学和办公的得到的极大便利,无线的覆盖可以分为室内的无线覆盖和室外的无线覆盖,采取通行的网络协议标准:
目前无线局域网普遍采用系列标准,因此无线局域网将主要支持802.11g(54M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务;
全面的无线网络支撑系统(包括无线网管、无线安全等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
保证网络访问的安全性,支持安全认证方式;
采用非独立型的无线网络结构选型;
采用3C的的模式。
在上配置无线控制器,终端接入的无线设备的方式非常的方便,配置都集中在的无线控制器上,所有的无线接入设备可以实施即插即用,配置管理简便易行。
安全、认证、管理要求:
为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:
物理地址()过滤、服务区标识符()匹配、有线等效保密()、二层隔离、支持等;
本无线局域网的用户认证支持集中认证(认证方式)和安全认证方式(支持受保护的()),、访问控制系统及认证计费系统必须为要配合要通过验证,便于使用用户的使用及维护。
在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性,达到一次认证,移动使用的目的;
用户认证、计费管理:
本网络建议采用3C的软件系统进行计费和认证,具有强大的认证功能,可以实现按流量计费、支持多种计费策略,同时其旁挂式的方式大大提高了网络的安全性,避免了在出口产生流量瓶颈的问题,
本次组网采用综合管理软件实行全网的用户认证和计费管理。
详细介绍参加第三章。
网管平台:
为提高网络管理的效率,减轻网络维护的压力,本次组网采用网管系统进行全网设备的统一管理。
网络管理软件是3C公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品,位于网络解决方案的管理层,能够实现网元管理和网络管理的功能。
网络管理软件基于灵活的组件化结构,包括网元管理平台、广域网管理系统、局域网管理系统、资源管理系统等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
第3章网络业务设计
3.1认证方式的选择
的认证可以配合3C接入交换机或设备,结合认证方式实现对接入用户的端点准入控制。
这种组网方案对不符合安全策略的用户隔离严格,可以有效防止来自网络内部的安全威胁。
同时用户认证系统可以对网络的接入用户进行很好的甄别,确认用户权限,同时实现计费。
同时也可以配合路由器、高端交换机等设备,结合认证方式在汇聚层实现对网络用户的端点准入控制。
这种组网方案具有适应性广的特点,可以应用与某学校网络出口、分支机构入口、关键区域保护等多种应用场景。
根据某学校的用户特点,考虑到网络中心的维护工作量,这里我们建议采用认证方式。
3.2网管解决方案
根据网络实际情况可采用3C网管系统。
特性
该系统采用开放式结构设计,严格遵守标准的协议(),主要使用定义的信息,具有投资省、使用灵活、易于移植等特点:
使用灵活
3C系统的使用方式非常灵活,既可以作为设备级的应用程序集成到已有的网管平台(如:
、、、)中进行网络级管理,又可以作为独立的应用程序执行进行设备级管理。
同时可以根据用户需求进行接口的开放。
支持方式
基于的管理是网管方式的一次革命,其主要优势在于:
基于的管理允许网络管理人员使用任一种浏览器在网络的任何节点上方便迅速地配置、控制及监视网络。
在上安装了网管软件后,其它网管机器不用预装网管软件,只须安装了浏览器并且设备能上网,就能使用3C系统管理。
成本低
3C不像大型网管系统那样系统庞大,它将网管人员最为关心的网络信息直观而浓缩地呈现于网管人员面前,使其方便地了解设备各端口的运行情况以及主要的设备性能指标。
支持多种操作系统平台
纯的实现,保证3C无须修改便能运行于当前主流的各种平台之上。
除此以外,3C系统使用全新的类库,所有控件均支持特性,该特性使得3C既可以在不同平台上呈现出统一的显示风格,也能够使控件的风格与操作系统相一致。
功能
描述
路由器设备视图
设备端口的配置情况:
端口个数、端口种类、端口当前状态等
故障管理
对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。
主要功能包括:
支持告警相关性分析;
能按照用户设置的条件对告警信息进行统计和查询;
提供告警拓扑定位;
支持告警规则定义等。
路由器设备整体配置信息
支持拓扑自动发现功能,系统信息(系统描述、系统标识、重启时间、所在地、设备名、联络方式)、地址转换表、接口表、表、路由表、联接表。
性能管理
提供对设备实时性能数据的查看功能,使用户了解当前网络运行的基本情况和性能状态,从而预防网络事故的发生,预测网络运行状态,帮助用户对网络的管理运营进行合理的规划。
同时可以支持对于网络节点设备利用率、利用率、故障率、线路流量统计、网络时延统计、历史告警信息等进行统计记录,并可以实现网络流量配置。
设备日志和告警管理
在系统独立运行时,设备日志管理完成接收设备发送到网管的日志报文,直接保存到文件中;
设备告警管理完成接收设备发送到网管的告警报文,将该进行解析并保存到文件中。
路由器设备整体运行状态
负载、系统温度、风扇状态、内存空闲率、空闲率、内存分布错误次数、内存分配不足引起的分配错误
输入报文、表头错误的输入报文、地址错误报文、未知协议数据报、缓冲溢出输入报文、缓冲溢出的输出报文、转发的报文、无路由的输出报文、成功重组的报文
安全日志管理
安全管理功能主要有以下几个方面:
操作日志管理,用户管理,用户组管理,设备集管理,操作集管理,权限管理,用户登录管理。
路由器设备端口配置信息
接口描述、接口类型、最大传输单元、接口速率、物理地址、管理状态、操作状态、持续运行时间、本地描述
路由器设备端口运行状态
接口使用率、输入包误码率、输出包误码率、输入包丢弃率、输出包丢弃率、输入包未知协议率
下图是该产品的界面示例:
无线部署方案
目前考虑在校园园区内部署,在核心的上部署3C板卡系列无线控制器模块,无线控制器能提供了丰富的有线数据和无线数据的处理功能,集精细的用户控制管理、完善的管理及安全机制、快速漫游、超强的及等多功能于一体的功能。
3C公司更有众多的无线有线一体化的交换机可供选择,使得无线配置灵活,部署方面。
3C公司使用创新的基于认证的组网来提供网络服务,这种方法基于用户身份而非端口或设备,以便跨越整个网络实现移动性和安全性。
当用户漫游网络时,通过网络范围内的无线控制器的信息交换,以实现在整个网络范围内执行一致的访问和安全策略。
同时采用和认证结合的、以及加密等功能增强了网络安全。
无线板卡或无线有线一体化的交换机与3C配合组网,可以方便的部署于任何现有的二层网络或三层网络之中,控制器和通过制定的协议进行互联而无需针对现有网络进行重新配置。
Ø
认证方式及认证点选择
本方案主要采用认证,交换机作为协议终结点,用户管理系统系统为用户鉴权点。
认证是一种二层认认证机制,建议使用二层信息与帐号进行捆绑,此时的网络是一种安全网络。
整网安全
无线网络安全部分主要包括以下方面的内容:
地址过滤:
目前我司都支持基于地址的过滤,可以限制具有某种类型的地址特征的终端进入网络中,对于大规模网络,使用地址过滤时操作起来具有较大的难度,主要原因是:
地址的规律性不大,所有的都要进行配置,存在缺点:
维护工作量不大,故建议:
不进行部署,但设备要具有这样的能力,以备以后增加相应设备进行配套使用,以增强安全性;
管理:
是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带,如果没有标识则不能进入网络;
\加密:
加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;
属于一种动态加密机制,密钥进行定期的刷新;
频率规划
802.11g使用开放的频段,可工作的信道数为欧洲标准信道数个。
由于其支持直序扩频技术造成相邻频点之间存在重叠。
对于真正相互不重叠信道只有相隔个信道的工作中心频点。
因此对于802.11g在地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。
此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
针对如何进行802.11g的频率规划作了大量的实验,实验证明载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
`
频率规划原理图
频率规划需要配合使用的功能包括:
支持个信道设置
支持~、~功率以及多级功率控制
支持外置天线以及定向天线
针对特殊应用还需要支持桥接功能、接入功能以及功能
网络管理
基于标准的协议实现对设备的管理,3C网管系统通过实现对所有网元的管理。
网管工作站可以放在网上的任意位置,通过标准的即可实现对所有设备的管理。
采用标准的可以实现更为强大的管理包括自动拓扑发现、自动升级、批量配置、分级管理、分级告警等。
供电问题
由于本次无线网中布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电,对的本地供电问题难度更大,可采用基于标准的实现对的供电。
通过在汇集交换机处叠加一个供电电源或者内嵌交换机内,通过以太网线在传输数据同时给供电,供电距离达米,满足实际组网的要求。
第4章某学校用户管理及安全方案
4.1园区网用户认证管理需求分析
随着网络规模的扩大,用户不断的增加,网络使用中出现了不少不和谐的声音:
账户盗用,恶意欠费,黑客攻击,反动言论等。
这些不和谐的行为影响了正常的网络使用,造成了许多安全隐患。
为了消除这些隐患,我们需要引入网络认证管理技术,规范网络使用,在提供体现公平、共享原则的同时保护绝大多数用户的权利。
在提出解决方案之前我们将相关需求做一简单分析:
1)准确的用户身份确认
园区网计费用户分为两类,一类是不计费,另一类是计费。
但是无论是计费还是不计费我们都需要对其身份进行准确的识别。
这是网络安全的需要,同时也是做到准确计费的需要。
但是如何进行用户身份确认呢?
这就需要通过认证技术来实现。
目前认证技术有许多,如认证,认证,认证。
这些认证技术各有千秋,技术被广泛的应用在宽带小区,认证被应用在一些信息系统内,而认证被应用在广大的校园内。
这是因为认证具最大的特点是简单,无需特殊的设备支持,同时支持任何网络应用。
正是这一点打动许多学校老师的心。
本方案将以认证用户身份确认技术。
2)全方位的用户管理方案
用户的管理随着网络的扩大逐步显得更加的重要,从目前的校园网的建设来看,不同的学校有着不同的网络的管理方式,如:
绑定、地址的绑定、卡号密码的绑定等,不同方式各有千秋。
在某学校的网络认证管理方面,其我们用户建议采用地址+端口的绑定技术来作为整个校园网管理的主要方式,3C126A接入层交换机支持多种绑定技术,同样支持地址+端口的绑定方式,这样对于用户可以直接做到端到端的绑定方式。
4.2校园网用户管理认证方案概述
认证管理方案是一个整体的方案在园区网内实施相应的管理措施。
而且从校园网实际使用情况看,学生宿舍区的网络建设中认证管理是最为突出的问题,考虑到学生的技术水平较高、学校内喜欢攻击网络的学生较多,在实际的建网过程当中应当充分考虑到这些因素可能会带来的相关问题,在组网建设过程当中避免。
综合考虑,3C公司在实际的在建网的过程当中遵循了以下几点要求:
1)认证交换机。
本次方案所采用的所有交换机都支持认证。
考虑认证的效率,本次认证主要由接入层126A交换机来完成。
并能够提供强大的业务功能:
如:
地址绑定等功能。
2)网管平台。
网管软件对于用户来说是维护网络的重要工具,3C公司网管平台可以为用户提供强大的维护功能,同时可以对所管理的接入层交换机进行批量配置,避免用户繁琐的工作,同时可以对端口流量进行设置阀值告警,发现用户端口流量较大(如:
病毒攻击),可以通过网管将端口关闭避免大量垃圾报文,维护网络安全。
4.3业务认证、授权管理描述
考虑到某学校为大学院校,考虑到其的特殊性,有众多的教师和学校管理层的办公系统,在业务接入的前采用系统对用户进行用户名和密码的认证,同时对客户端进行控制,防止终端的软件传播病毒和对网络产生危害,利用系统进行事件审计。
4.3.1认证选择设计-
认证管理是接入层交换机和认证软件平台重要的特性,本次我们建议采用的认证方式作为接入认证的方式。
协议是在通过的正式标准,标准的起草者包括,,,等;
定义了基于端口的网络接入控制协议(),该协议适用于接入设备与接入端口间点到点的连接方式,其中端口既可以是物理端口,也可以是逻辑端口。
3C公司的网络设备对做了扩充,使其可以基于地址进行网络接入控制。
的体系结构中包括三个部分:
()用户接入设备
()接入控制单元
()认证服务器
接入层设备需要实现的认证系统部分;
用户接入设备()需要有的客户端软件;
认证服务器可以是的服务器,也可以是传统的服务器;
传输介质为点对点以太网(即直接通过网线连接到的端口),如果是共享式以
升级会员 