logo资料库

发布资料 注册/登录

真实案例XX校园网设计方案.doc

发布时间:2022-06-10 发布人:admin 分类:说明书 资料大小:1.21M 资料格式:doc 举报 版权申诉
第1页 / 共41页
第2页 / 共41页
第3页 / 共41页
第4页 / 共41页
第5页 / 共41页
第6页 / 共41页
第7页 / 共41页
第8页 / 共41页
资料共41页,剩余部分请下载后查看
    网络建设原则与目标
    1.1网络建设原则
    1.1.1 安全性
    1.1.2 先进性
    1.1.3扩展性
    1.1.4 高性能
    1.1.5可运营
    1.1.6 规范化和标准化
    2.2 网络建设目标
    网络设计
    3.1 东西校区互联网出口设计
    3.2东西校区互联的设计
    3.3网络架构的设计
    3.3 网络安全设计
    3.4 网络出口流量控制设计
    3.5 网络管理设计
    4.1 网络拓扑图
    4.2 网络设计说明
    5.1 核心交换机选型说明
    5.2 服务器群组交换机选型说明
    5.3区域汇聚交换机选型说明
    5.4 接入交换机选型说明
    5.5 流量统计设备选型说明
    5.6 防火墙设备选型说明
    5.7 入侵检测系统选型说明
    5.8 出口路由器设备选型说明
    5.9 认证计费系统选型说明
    5.10 网管软件选型说明
    5.11 安全系统选型说明
    XX 学院校园网 整体设计方案 2006.7 XX 院院办网络中心
    怀化学院校园网整体设计方案 序 因为高校行业的特殊性,导致建设校园网不能走社会上个人和团体入网的网络建设方 案和运营模式的老路,我公司在做怀化学院校园网设计方案时,在省内高校进行了一些调查, 因高校对网络应用和管理的特殊性,导致网络建设的需求不同于电信运营商建设社会性网 络。所以我公司在做怀化学院校园网设计方案时,在省内一些高校进行了调查,调查中发现 80%的学校在使用星网锐捷的网络解决方案,我们在和华为的设备对比,锐捷的网络产品在 注重网络链路层和网络应用的同时,更注重的是接入层的管理和整体的安全系统。在便于网 络管理、提高工作效率,有效控制攻击和病毒对网络的影响,降低维护成本,发挥管理员的 主观能动性、控制用户使用网络记费等方面做的很有特色,更能适应学校网络建设的需要。 所以我公司根据学校实际情况,拟采用锐捷公司的网络产品进行怀化学院校园网建设。 网络建设原则与目标 1.1 网络建设原则 1.1.1 安全性 网络必须具有良好的安全防范措施和密码保护技术,灵活方便的权限设定和控制机制, 使系统具有多种有效手段,防范各种形式对网络的非法入侵和内部攻击,以保证网络的实体 安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止内部信息数据不 被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境,采取不 同的措施,包括系统安全机制、数据存取的权限控制等,锐捷网络充分考虑安全性,针对教 育行业网络的各种应用,有多种的保护机制,如划分 VLAN、IP/MAC 地址绑定、802.1x 用 户访问控制、802.1d、802.1w、802.1s 冗余链路保护等,另外还具有良好的防病毒能力,提 高整个网络的安全性,保证内外网安全。 第 页 2 怀化学院网络中心
    怀化学院校园网整体设计方案 1.1.2 先进性 系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对先进 成熟,整个系统的生命周期应有比较长的时间,可以在信息技术不断发展的今天,在系统建 成以后比较长的一段时间内能满足用户需求增长的需要;不但能反映当今的先进水平,而且 具有发展潜力,能保证在未来若干年内占主导地位,保证网络建设的领先地位,采用千兆以 太网技术构建网络主干、支干线路。 1.1.3 扩展性 系统必须具有良好的可扩充性,在系统结构、系统容量与技术方案等方面必须具有升 级换代的可能,核心设备必须采用模块化的结构,跟踪网络发展的前沿方向,符合网络的发 展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源,保证各部门现有 的计算机系统的使用,逐步过渡,有效保护用户投资,最终形成一个统一的、一体化的综合 网络系统。 1.1.4 高性能 网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交 换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。 1.1.5 可运营 为了让校园网能够良性、稳定、持续、健康的发展,并收回网络建设成本,学校或运 营商需要对校园网进行运营,通过对上网的学生用户收取一定的费用来达到“以网养网”的 目的,并要求运营系统能够贴近校园用户的应用模式,方便维护和管理。 1.1.6 规范化和标准化 网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行,要模块 化、结构化、数据要代码化,以便于信息共享和交流及将来的维护。在系统设计和软件开发 第 页 3 怀化学院网络中心
    怀化学院校园网整体设计方案 时,应用程序必须规范化、模块化和可复用。 2.2 网络建设目标 通过以上的网络建设原则,本次校园网建设要实现以下目标: 1) 东西校区各设一个千兆互联网出口,解决出口瓶颈问题; 2) 双出口,双核心,双链路实现东西校区的稳固互联,确保链路的带宽及稳定性; 3) 东西校区可以根据需求达到不同区域使用不同的出口访问互联网; 4) 科学规划网络结构,合理配备核心层和汇聚层网络设备与端口,保证核心网络设备和线 路适当冗余,优化接入层网络设备,建设千兆主干、百兆到桌面的高效校园网络; 5) 合理部署网络安全措施,建立有效的网络安全防范和响应机制,为网络安全管理提供在 线监控、事后可查的技术手段,防止私设代理和盗用 IP 地址现象,提高网络安全性; 6) 建立全网统一管理系统,包含对网络用户、网络设备、网络安全的统一管理和配置;建 立高效的网络性能监视与预警机制;同时建立配套的软硬件平台。 7) 全面支持 IPV6,可平滑过度到 IPV6,保证设备的投资; 8) 建立全局化、智能化的安全体系,从接入层的基于端口的安全策略,到汇聚再到核心, 病毒及非法网络行为进行监控和预制策略,预警功能。 9) 将学院的教工宿舍“金海花园”纳入校园网内,可以访问图书馆资源和中国期刊网等众 多校内学术资源。 10) 学生宿舍联网并接入校园网内。 s5750-24sfp/gk 第 页 4 怀化学院网络中心
    怀化学院校园网整体设计方案 网络设计 3.1 东西校区互联网出口设计 本次设计,东西校区各设一个 1000M 互联网出口,我们电信网络,在怀化市内有自己 的城域环网,保证这两个 1000M 互联网出口不是出自同一个模块局,确保出口线路冗余。 3.2 东西校区互联的设计 由于目前学校东校区的网络中心还未建成,暂时将东西两个校园的核心设备放在西区 的网络中心,东区的汇聚设备都通过两对光纤形成的双链路与两个核心互连。东区网络中心 造成后东区设备转放东区网络中心机房。 3.3 网络架构的设计 目前网络架构有单核心单链路、双核心双链路、二层架构、三层架构、四层架构等多 种网络架构,结合学院的实际情况以及网络技术的发展,我们选择双核心双链路的架构,这 样不仅在链路上确保网络稳定高效、在设备上也可实现稳定与高效;同时选择三层架构: (1) 分流核心数据处理能力、降低核心路由交换压力; (2) 更好抑制广播风暴、提升网络性能; (3) 终结各 VLAN 信息、增强核心路由管理能力; (4) 网络层次结构更加完善、可汇总路由,降低核心路由表项; (5) 安全性更高,更强的预防和控制,对网络攻击、病毒和破坏尽量控制在边缘完成; (6) 扩展性更强、快速定位故障点、更易于管理; (7) 各接入层内部通讯量大,无需通过核心处理时(内部网络游戏等),采用三层结构更 加合理; (8) 可靠性更强,可以通过汇聚层双链路上联双核心构成环状结构,全网架构更加健壮, 提升网络高可用性。 第 页 5 怀化学院网络中心
    怀化学院校园网整体设计方案 我们采用了接入堆叠+小区域汇聚+核心这种双核心双链路的三层结构架构: 采用千兆可堆叠高性能网管交换机。交换机通过内部堆叠后上联片区汇聚节点。 1、 节省投资成本 2、 扩展灵活,通过增加堆叠组内交换机或增加堆叠组来扩展接入信息点。 3、 支持多种访问控制功能和 802.1x 功能,可灵活方便的控制楼栋内部之间的访问限 制。 4、 减少网络层次架构,加速数据传输,提高网络数据转发性能。 5、 充分利用片区汇聚节点的高性能数据转发,高稳定可靠基础,对每个楼栋之间的控 制,可以在片区汇聚节点连接各楼栋的千兆接口上实现,如访问控制,防 DDoS 攻击,防恶意 IP 扫描等等,不影响数据转发性能。 6、 楼栋内部各楼层之间的数据通过堆叠方式(千兆以上带宽)相互访问,加速内部访 问和数据传输速度。 7、 环型冗余方式堆叠,没有单点故障和性能瓶颈。 8、 堆叠后多台设备会虚拟成一台设备进行管理,大大提高管理效率。 9、 千兆堆叠可网管交换机是目前高校网络建设主流使用的接入设备,因此在未来发展 中设备延续使用性强。 架构缺点:堆叠台数一般不超过 6 台,需要超过 6 台的地区增加新的堆叠组进行信息点 扩展。双核心双链路的三层结构,具体如下图所示: 第 页 6 怀化学院网络中心
    怀化学院校园网整体设计方案 3.3 网络安全设计 今天的网络安全正遭受严峻挑战。病毒、外部入侵(黑客)、拒绝服务攻击、内部的误 用和滥用,以及各种灾难事故的发生,时刻威胁着网络的业务运转和信息安全。但与此同时, 大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击 时,由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出,还会处处被动挨打。 可以断言:面对复杂的安全隐患,这种“各自为战”的安全系统已彻底失去效力。 今天,网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底 扭转“各自为战”的被动局面,唯有用全局化、智能化的安全体系代替陈旧的安防措施。我 公司采用了 2004 年底,业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动 防御(自御)、自动修复(自愈)与自动学习(自育)等三大自“YU”功能于一体的 GSN 全局安全网络解决方案。GSN 强调“多兵种协同作战”,将安全结构覆盖网络传输设备(网 络交换机、路由器等)和网络终端设备(用户 PC、服务器等),成为一个全局化的网络安全 综合体系。在此基础上,GSN 不仅能够满足现阶段网络安全环境的需求,同时也为今后可 能发生的安全威胁做出了准备。 总体而言,GSN由锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、安全 修复系统、VPN客户端、RG-IPS入侵检测系统等多重网络元素组成,实现同一网络环境下的 全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的 全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌 入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受 损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未 知网络安全事件的防范。其基本原理和结构图如下: (图1 GSN基本原理) 第 页 7 怀化学院网络中心
    怀化学院校园网整体设计方案  网络自动防御(自御) 面对复杂的网络安全行为,最有效的防御策略即是将网络安全防御技术应用于在整个网 络中,而不是在单点进行网络安全的防护部署。因为攻击源可能来自网络的任何一处,并能 迅速的扩散到整个网络当中。GSN 提高了现有网络基础设施的安全防护能力,增强了终端用 户的安全防护能力。 当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG-SMP)将针对这一安全 事件进行判断,以确认选择调用何种安全策略来处理。安全管理平台(RG-SMP)将自动把安 全策略下发到安全事件发生的网络区域,安全策略的执行者可以是锐捷网络联动设备,根据 安全事件的等级由安全管理平台(RG-SMP)判断是否需要将安全策略同步到网络的区域中, 以实现全网安全。同时,安全管理平台会把针对这次安全事件的处理情况通知给用户终端, 使用户能够及时了解到网络安全环境的变化。通过这个流程,网络可以对已发生的安全行为 进行完全自动化的防御措施,从而保证用户网络在受到威胁时可以迅速做出连动反应。 (图2 GSN自动防御) 第 页 8 怀化学院网络中心
    分享到:
    收藏

    相关推荐

    资料库

    网络技术

    共收录2367份资料,累计7个分类,关注成员有19位,主要包括:综合布线,网管软件,网络监控,网络设备,其它,系统集成,网络基础

    热门标签

    综合布线 网管软件 网络监控 网络设备 其它 系统集成 网络基础

    最新资料