模板校园网设计方案.docx
- 文档编号:10845520
- 上传时间:2023-02-23
- 格式:DOCX
- 页数:108
- 大小:771.73KB
模板校园网设计方案.docx
《模板校园网设计方案.docx》由会员分享,可在线阅读,更多相关《模板校园网设计方案.docx(108页珍藏版)》请在冰豆网上搜索。
模板校园网设计方案
×××校园网
网络设计方案
二零零七年九月
1.网络总体方案
1.1网络设计目标
校园网,作为一种独特的模式,既具有一般企业网的特质,又有其特殊的地方。
相同之处在于:
作为集团用户,接入网络都需要具有一定的独立性和相当的可统计、可管理性的特性;较之一般的企业网,校园网又会面临更复杂的用户类型和业务需求,它不是单纯的办公网络,是一个承载教学、办公自动化、图书馆等多种业务和应用的平台,并且有部分网络资源用来经营,因此对投资回报有更高的要求。
当前校园网的主要特点:
网络吞吐能力高、速度快、系统规模大(多校区)
用户群庞大、多层次(教师、学生等)
用户接入方式多样(PPPoE、DHCP+Web、802.1x、专线接入、WLAN等)
网络环境复杂、多网共存(教学网、科研网、办公网、无线网、学生宿舍网、教工家属网等)
数据类型多样(数据、语音、视频等)
数据业务复杂(网上点播、电子教室、财务、政务等)
用网时间集中、同时在线人数众多、流量巨大且分布时段不均
学生活跃、好奇、敢于尝试、攻击性强
计算机蠕虫、病毒泛滥
网络行为突发性高
开放的网络环境
新技术、新应用-技术先进(Cernet2、IPV6试验床)
盗版资源泛滥
有限的投入
校园网的主要需求:
高性能
高可靠性、高稳定性
高安全性
完善的QOS
强大的组播支持能力
多业务融合
可操作、易管理
灵活的计费策略
扩展能力强
投资保护-高性价比、平滑升级
通过构筑一个高速、安全、可靠、可扩充的网络,建立远程教育系统、多媒体点播系统、校园一卡通系统、电子图书馆系统等,实现校内信息的高度共享、传递,教学、科研、后勤、管理等各个领域的信息化,最终完成“数字化校园”设计目标。
1.2方案设计原则
结合×××学校的实际应用和发展要求,中兴通讯在进行网络系统设计时,主要应遵循以下原则:
⏹实用性和可靠性原则:
以现行需求为基础,并充分考虑发展的需要来确定系统规模。
本方案的设计充分满足了系统应用功能和性能的需求,在保证系统安全可靠的情况下,选用性能价格比高的产品。
坚持以学校具体需求为校园网信息系统方案设计的根本和前提,同时,也要注重源于需求又高于需求的原则,注意用专业化的技术思想来进行校园网的规划与设计,确保校园网的实用性、先进性和便于扩展性。
⏹安全性原则:
网络系统服务于学校办公和教学需要,对安全性能要求很高。
系统应能提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作,保护网络的安全性。
同时,网络设计充分考虑了网络的可靠性,能有效的避免单点故障,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
⏹成熟和先进性原则:
网络结构设计、网络配置、网络管理方式等方面采用国际上先进同时又是成熟、实用的技术。
设备厂商和投标商应有相关领域的丰富经验。
计算机及网络技术发展十分迅速,在设计中应顺应主流技术发展,本方案的设计宗旨是立足今日,着眼未来,在保证技术成熟的前提下,充分先进技术,满足现有需求,充分考虑潜在扩充。
从而最大限度保护用户投资。
满足学校对现代化教学手段的要求;满足校园网建设及互联网的要求;所选设备在国际上保持技术先进性;供应商有良好的商业信誉和优质的售后服务。
⏹规范性原则:
网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准,为网络的扩展升级、与其他网络的互联提供良好的基础。
⏹开放性和标准化原则:
建立一个可靠、高效、灵活的计算机网络系统平台,不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换,还要考虑同层次网络互连,远程分部的互联,以及与相关信息系统网际互联,以充分共享资源。
这些需求体现在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
⏹可扩充和扩展化原则:
所有网络设备不但满足当前需要,并在扩充模块后满足可预见将来需求,网络的拓扑可以灵活改变,实现如带宽和设备的扩展,应用的扩展和办公地点的扩展等。
并保证建设完成后的网络在向新的技术升级时,能保护现有的投资。
⏹可管理性原则:
随着网络规模的不断扩大,网络的管理越来越重要,管理的事务也越来越复杂。
整个网络系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,网络在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
如:
可以通过友好的图形化界面,对网络进行虚网划分,设置各子网的访问权限,实施网络的动态监测、配置,数据流量的分析等,简化网络的管理。
⏹QoS保证原则:
当今网络中关键业务及多媒体的应用越来越多,如VOIP应用、网络视频等对服务质量的要求较高,新的网络系统应能保证QoS,以支持这类应用。
⏹网络结构的层次化原则:
层次化的网络有利于网络的管理,便于采用各种网络优化技术实现网络优化。
1.3网络总体方案概述
中兴通讯充分理解××××学校的网络建设需求,遵照校园网建设的指导思想和原则,精心设计,制定了网络总体建设方案。
1.3.1网络拓扑
采用分层星型扁平型结构,核心交换机采用中兴通讯的万兆核心路由交换机ZXR10ZXR10T40G,接入层设备采用中兴通讯的二层千兆交换机ZXR102852S。
1.3.2网管平台
按照“统一网管、分类负责”的原则,建设一个全面的校园网网管平台,实现对校园网所有网络交换设备的管理,各应用系统网管实现对本系统的具体管理。
采用中兴通讯的综合网管ZXNM01,为全网范围内提供网络管理技术支持。
1.3.3安全系统
随着Internet及网络技术在学校应用中的日趋重要,计算机网络的安全问题也日益突出。
目前关于计算机网络的安全问题解决不力造成企业巨大经济损失的报道屡见不鲜,因此设计网络时,要充分考虑信息的安全性。
×××校园网工程要具有较强的安全保障措施,防止广播风暴、网络病毒,抵御网络攻击等。
2网络详细方案
中兴通讯借助国内外校园网络建设的成功经验,并结合×××学校的当前状况和未来发展趋势,为×××学校量身定制了一套合体合用的网络系统方案。
整个网络方案设计突出层次化、可管理、易维护、高可靠性的原则,确保网络在具有高性能的同时具有良好的前瞻性和持续发展性。
2.1拓扑选择
网络拓扑结构,特别是网络主干拓扑结构的设计直接关系到网络性能的好坏。
一般来说局域网总体结构分为三层网络结构和两层网络结构。
三层网络结构包括核心层、汇聚层和接入层;两层网络结构分为核心层和接入层。
三层结构中的汇聚层一般起到分担核心层负担的作用,通常在广域网或者用户数量很大的情况下采用。
根据×××学校网络现状和应用情况,考虑到对网络通信的要求,整个网络系统采用二层树状分层结构,核心层和接入层。
其中,核心层节点处于网络结构的核心层,位于主办公楼的中心机房。
接入层节点处于网络结构的分布层。
核心层主要作用是提供高速传输和路由最优化通信,为下层提供优化的数据运输功能,它是一个高速可靠的主干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。
2.2网络详细设计
中兴通讯推荐本次网络建设采用中兴通讯先进的ZXR10系列交换机和路由器产品。
中兴通讯公司提供基于真正开放、基于标准体系结构的产品系列,实现一个可伸缩而且高度可用的解决方案,从而实现端到端的网络性能,端到端的网络安全性,端到端的服务质量以及端到端的网络管理,在节省开销的同时,随时间推移提供明显更低的总拥有成本,大大提高网络的经济效益。
2.2.1网络结构
网络结构说明:
1.由运营商引入百兆(或千兆)光纤,接入路由器中做协议转换和接口转换;
2.路由器和核心交换机之间安装硬件防火墙,划分不同网络安全区域;
3.中兴网络机房与其它机房间通过千兆多模光缆连接;
4.核心交换机与各区接入交换机和内网服务器接入交换机之间使用千兆链路连接;各接入交换机和最终用户之间用百兆连接;
5.各机房的接入交换机做堆叠处理,以简化管理和节省上行千兆口;
6.核心交换机和主机房的接入交换机间使用双千兆链路聚合,以减少上行瓶颈;
7.将互联网用户需要访问的服务器如WEB服务器和邮件服务器放置于防火墙的DMZ区中,供内外网用户访问,并提供安全保护,DMZ区与核心交换机之间千兆连接;
8.将只需内部用户访问的服务器如办公服务器等放置于内网服务器区中,直接于核心交换机相连,保证访问带宽。
内网服务器区与核心交换机之间千兆连接。
图2.1×××学校网络拓扑图
2.2.2设备配置清单
位置
名称
型号
参数
数量
备注
二区中心机房
接入路由器中兴ZXR10ZSR3842
RA-3842-AC
3842交流基本系统
1
2个10/100M快速以太网端口(电口)+2个GECombo端口
RA-SPWA-E
ZSR系列交流电源模块
2
电源1+1冗余
RA-MEM-1024M
1024M内存条
1
SFP-GE-S10K
1000BASE-LXSFP接口(单模10km/1310nm,LC接口)
1
用于连接网通接入光缆
防火墙
自定
根据网通接入光纤的带宽选择是千兆还是百兆防火墙
1
核心交换机中兴ZXR10T40G
RS-T40G-CHS
包含1个3插槽机箱、背板、风扇
1
RS-T40G-MC
控制模块
1
RS-X40G-ACPW
T40G通用交流电源
2
电源1+1冗余
RS-XG-12GE-SFP4RJ45
8端口千兆SFP光接口+4端口千兆光电可选接口
1
可提供12个千兆口,此方案共用去8个
RT40G-ZXROS
T40G运行所需操作系统软件,包括IP路由软件(RIPv2、OSPF、BGP),QOS服务软件
1
SFP-GE-M500
1000BASE-SXSFP接口(多模500m/850nm,LC接口)
5
用于和其它机房的光缆连接
接入交换机
RS-2852S-AC
L2;48*10/100TX+2*1000MSFP+2*10/100/1000TX,支持SNMP统一网管、802.1QVLAN协议(5KVLAN),交流供电。
4
堆叠
二区右机房
接入交换机
RS-2852S-AC
L2;48*10/100TX+2*1000MSFP+2*10/100/1000TX,支持SNMP统一网管、802.1QVLAN协议(4KVLAN),支持堆叠,交流供电。
3
堆叠
SFP-GE-M500
1000BASE-SXSFP接口(多模500m/850nm,LC接口)
1
用于和主机房的光缆连接
一区左机房
接入交换机
RS-2852S-AC
L2;48*10/100TX+2*1000MSFP+2*10/100/1000TX,支持SNMP统一网管、802.1QVLAN协议(4KVLAN),支持堆叠,交流供电。
2
堆叠
SFP-GE-M500
1000BASE-SXSFP接口(多模500m/850nm,LC接口)
1
用于和主机房的光缆连接
一区右机房
接入交换机
RS-2852S-LE-AC
L2;48*10/100TX+2*1000MSFP+2*10/100/1000TX,支持SNMP统一网管、802.1QVLAN协议(4KVLAN),交流供电。
1
SFP-GE-M500
1000BASE-SXSFP接口(多模500m/850nm,LC接口)
1
用于和主机房的光缆连接
三区左机房
接入交换机
RS-2852S-LE-AC
L2;48*10/100TX+2*1000MSFP+2*10/100/1000TX,支持SNMP统一网管、802.1QVLAN协议(4KVLAN),交流供电。
1
SFP-GE-M500
1000BASE-SXSFP接口(多模500m/850nm,LC接口)
1
用于和主机房的光缆连接
三区右机房
接入交换机
RS-2852S-AC
L2;48*10/100TX+2*1000MSFP+2*10/100/1000TX,支持SNMP统一网管、802.1QVLAN协议(4KVLAN),支持堆叠,交流供电。
2
堆叠
SFP-GE-M500
1000BASE-SXSFP接口(多模500m/850nm,LC接口)
1
用于和主机房的光缆连接
管理设备
网管软件
中兴ZXNM01网管系统软件
网管基本软件,含配置管理、性能管理、故障管理、安全管理、Web网管等管理功能
1
可选
计费认证服务器
UAS2500S
UAS2500S基本系统(包括主控板SCBX、背板和4个槽位等。
1个CONSOLE串口、5米Console线、2个互为备份的-48V输入插座、带外网口,PPP、WEB认证功能套件(含1000用户license))。
1
可选
EICG
3端口GE接口卡(可选配SFP封装的GMM/GSM光模块;用于用户侧接口)
1
可选
POWMX
交流电源板(选配,AC220V供电,可配1+1冗余方式;含交流电源线一根)
2
可选
2.2.3核心层设计
核心交换机是整个网络的计算和内部数据交换处理中心,在整个局域网内是最为关键和重要的设备。
核心交换机推荐采用中兴通讯的万兆核心路由交换机ZXR10T40G.ZXR10T40G万兆MPLS路由交换机是中兴通讯推出的新一代的大容量、高性能核心路由交换机产品。
交换容量为192Gbps,包转发率为143Mpps,具备L2/L3/L4线速转发能力。
ZXR10T40G万兆MPLS路由交换机基于先进的模块化理念进行设计,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构,电源模块均采用1:
1冗余备份。
可提供10GE、GE、FE、POS等各种丰富的接口模块,并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。
2.2.4接入层设计
接入层设备推荐采用中兴通讯的ZXR102852S千兆以太网交换机交换机。
该产品支持千兆上行,采用高速ASIC交换芯片技术实现L2数据线速转发。
可满足用户多业务融合、高安全、可扩展、易管理的建网需求。
适用于中小企业的汇聚、信息化智能小区接入、电子政务网接入、医疗卫生数据信息化接入、网吧安全接入交换机等网络的接入,为用户提供高带宽、高效率、高性价比的接入和汇聚方案。
具有高性价比紧凑结构,完善的安全和高效的QOS优先级机制、提供区分带宽限速和采样镜像功能、防尘静音和高强度雷击防护能力,同时具备灵活多样的管理功能。
2852S还提供2个固定的1000M光口和2个固定的10/100/1000M自适应电口,可满足各种网络连接要求。
2.2.5防火墙设计
随着网络应用的日益广泛,各种企业或单位也将通过网络与用户及其他相关行业系统之间进行交流,提供各种网上的信息服务,但这些网络用户中,不乏竞争对手和恶意破坏者,这些人可能会不断地寻找系统内部网络上的漏洞,企图潜入内部网络。
一旦网络被人攻破,机密的数据、资料可能会被盗取、网络可能会被破坏,给系统带来难以预测的损失。
因此,防火墙便成为网络安全必不可少的产品,它在系统网络与外部网络用户之间建起了一道安全的屏障,从而有效地抵御外来攻击,防止不法分子的入侵。
我们可以使用防火墙,把企业内部网络划分为以下几个安全区域:
安全区域
安全级别
访问级别
在本方案网络结构中的位置
外部网段
低级
无。
提供网络连接。
防火前以上部分
内部网段
中级
互联网用户可按照访问策略,由限制访问该区域;内部用户可以访问并进行更新和维护。
DMZ区,即外网路由器区
内部网段
高级
互联网用户不可访问此区域,该区域用户可受限制的访问互联网。
核心路由器及以下区域
分属三个安全区域的网段通过防火墙进行互连。
使用防火墙,还能起到以下作用:
☆防止黑客攻击
黑客攻击一般是利用操作系统和网络协议的漏洞,对系统进行攻击,由于一般防火墙采用B1级的安全操作系统,自身具有很高的安全性,故而能防止黑客的恶意攻击。
☆防IP欺骗攻击
攻击者从外部网络伪装成内网的IP地址进入内网主机,以此获取内网主机权限,达到攻击的目的。
防火墙根据安全访问控制策略制定IP包过滤规则;通过对IP包的源IP地址的检查与认证,达到验证远程可信任用户主机的真实身份,实现防IP欺骗攻击的功能。
☆防IP源路由攻击
攻击者利用TCP/IP协议支持IP包的源路由选项这一特性,指定一个IP包传输时所经过的特定路由,从而绕开网络安全检查。
防火墙提供了对这种IP包的检查和过滤功能,杜绝了IP源路由攻击对网络可能造成的危害。
☆检测拒绝服务
对于由于数据过载(大流量的数据包)引起的网络堵塞现象,而造成的拒绝服务攻击,防火墙具有实时检测和报警的功能,及时避免线路资源非正常损耗,高效管理和充分使用网络资源,以及及时发现拒绝服务攻击所造成的危害。
☆强访问控制功能
根据安全访问策略制定IP包过滤规则,对流经防火墙的IP包实施基于IP源/目的地址、源/目的端口、协议、网络服务、以及协议标志位的过滤检查与访问控制,以确定是否允许数据包通过。
☆强大的审计&日志管理功能
根据安全访问策略制定审计规则,对网络运行情况和用户行为进行审计,并形成日志文件确保网络的正常安全使用。
包括:
用户登录审计、身份验证与日志;非法或异常事件的审计与日志;报警功能,方便系统管理员更好的管理网络。
☆利用NAT地址转换,屏蔽内网
为解决IP地址冲突,实现IP地址复用,对外隐藏内网信息,当内网机器对外进行访问时,其IP地址均被转化为防火墙外部地址,而内部网络机器之间的访问则仍采用各自的IP地址。
这既屏蔽了内网的实际物理拓扑结构,也大大提高了内网的安全性。
☆支持DMZ
防火墙支持非军事化区(DMZ)功能,即可以对外发布企业内部信息,又可以控制内网主机受限的对DMZ的访问。
出于对外宣传和业务的需要,外部因特网用户可以访问DMZ区,此区域可以有供外界访问的WEB服务器和MAIL服务器,用以发展和外部的宣传和联络。
此种网络结构比改造之前的安全性能有了很大提高,且实现具有良好管理功能和扩展能力。
☆病毒防范
支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀
查杀邮件正文/附件、网页及下载文件中包含的病毒
支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀
支持启发式扫描查杀未知病毒
支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等压缩文件的病毒查杀
支持TAR等多种打包文件的病毒查杀
提供快速扫描及完全扫描两种扫描方式
2.2.6方案优点
通过合理的设备选型,此网络结构可具有以下优点:
高性能且易于扩展
核心交换机采用万兆三层路由交换机,可保证充分的带宽资源;核心交换机采用插槽式机箱,未来需要扩充设备数量只需插入新接口板即可,不需更换设备;网络采用万兆核心、千兆骨干、百兆桌面的结构,充分利用网络带宽资源;
稳定可靠
核心交换机使用冗余及负载均衡的电源系统,有效避免电源故障在实际系统中导致的系统故障;核心交换机到各接入交换机均使用双千兆链路,确保在某条线路故障时对系统性能的影响也能最小。
使用高品质产品,无故障运行时间大于50000小时(核心大于120000小时);通过合理的网络规划及端到端可管理技术、满足网络应用安全、稳定运行要求。
使用防火墙和互联网控制网关技术,安全性好
本网络方案通过配置防火墙、重新对内网用户进行划分VLAN,制定管理制度并加强管理,满足企业对于网络安全的各项需求,实现具有良好管理功能和扩展能力的、覆盖公司的内网、外网和服务器群的网络安全体系,保护各办公室用于连接Internet的计算机,保护客户端、服务器、用户数据和网络、应用系统服务正常运转。
同时使用互联网控制网关对用户访问互联网的行为进行详细控制,可以有效的防止内部用户造成的网络性能降低,同时确保企业办公的高效和稳定。
支持多种业务
如何有效降低企业运营成本,是一个企业的生存、发展的基础。
而降低成本,无非是减少各种开支,如通信支出等。
企业网建成以后,企业可利用已有的IP网络,组建企业私有VoIP网络,将大大减少企业长途、传真等通信费用,达到减少通信费用支出的目的。
同时支持基于H.323/H.320等的视频业务将企业内部三网合一,建立高效综合服务内部网;另外,可以及时使用网络新技术,促进企业网络更新。
企业内部电话长途走自己的数据网,节约费用;组成语音VPN,多种手段保证Qos。
3VLAN应用
校园网中对用户的隔离与互通有其特殊的要求。
一般来说,基本用户群内部用户之间应能互通,基本用户群之间根据具体情况选择隔离或互通。
对于基本用户群内部的互通或隔离,在接入层是通过VLAN的划分来解决,建议底层交换机尽量采用VLAN方式隔离用户。
在核心层可以通过设置Interface之间的三层路由实现VLAN之间的互通。
对于一些重要的服务器如文件服务器、WEB服务器等还应该考虑路由保护,这可以根据具体情况在汇聚层或核心层的三层交换机上设置ACL(访问控制列表)来实现。
3.1VLAN划分方案
VLAN技术来自局域网,其目的主要是解决第二层网络广播域隔离的问题。
通过划分VLAN,可以将一个平坦的网络隔离成不同的广播域,从而限制广播信息对网络资源的占用或浪费。
划分VLAN的方法比较灵活,主要有三种:
1.基于交换端口的VLAN
这种方式是把LAN交换机的某些端口的集合,作为VLAN的成员。
这些集合有时只在单个LAN交换机上,有时则跨越多台LAN交换机。
虚拟局域网的管理应用程序,根据交换机端口的标识ID,将不同的端口分到对应的分组中,分配到一个VLAN的各个端口上的所有站点都在一个广播域中,它们相互可以通信,不同的VLAN站点之间进行通信需经过路由器来进行。
这种VLAN方式的优点在于简单,容易实现,从一个端口发出的广播,直接发送到VLAN内的其他端口,也便于直接监控。
它的缺点是自动化程度低,灵活性不好。
比如,不能在给定的端日上支持一个以上的VLAN;一个网络站点从一个端日移动到另一个新的端口时,如新端口与旧端口不属于同一个VLAN,则用户必须对该站点重新进行网络地址配置。
2.基于MAC地址的VLAN
这种方式的VLAN,要求交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入网时,根据需要将其划归至某一个VLAN。
不论该站点在网络中怎样移动,由于其MAC地址保持不变,因此用户不需对网络地址重新配置。
然而所有的用户必须明确地分配给一个VLAN,在这种初始化工作完成后,对用户的自动跟踪才成为可能。
在一个大型网络中,要求网络管理人员将每个用户划分到某一个VLAN,是十
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 模板 校园网 设计方案