有线无线一体化安全网络解决方案Word文档格式.docx
- 文档编号:17067891
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:16
- 大小:132.15KB
有线无线一体化安全网络解决方案Word文档格式.docx
《有线无线一体化安全网络解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《有线无线一体化安全网络解决方案Word文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
结合高等院校的信息化发展现状与其在“十一五”期间的趋势,IToIP数字化校园解决方案从整体来看致力于两个层面促进学校信息化的发展。
其一是硬件平台的建设,即基于IP技术的校园网络平台建设。
方案针对现有校园网的网络架构提出优化方案,利用核心网优化与接入网优化的技术使其能够更好支撑数字化校园的上层业务;
随着数字化校园横向业务不断发展,尤其是在国家CNGI项目在高校落地的背景下,在高校用户移动终端的普及与移动业务的出现背景下,方案提出两个重点业务拓展方案,即IPv6校园网与无线校园网,来适应数字化校园的这一转型;
关于校园网的安全防护长期以来都是校园CIO高度关注的工作,而校园网络的安全问题也在变化,方案紧密围绕校园网络安全防御的三个重点环节(出口、核心、接入)与最新的安全问题,提出了安全渗透防御的架构,携手高等院校共同迎接安全防护的挑战。
两个层次的建设并不是割裂的,联系的枢纽就是智能管理中心,它把硬件系统与应用系统紧密结合在一起,针对硬件资源、应用资源动态调配与控制,实现对数字化校园整体业务的有效支撑,满足“十一五”对高校信息化发展的需要。
高等职业院校的校园网在“十五”期间实现了高带宽、广覆盖、可运营、可管理的数字化校园平台;
实现了学校基本的教学、科研、管理和服务系统的信息化。
通过这一平台实现了网络教学系统、数字化图书馆系统、网络实验室系统、管理信息系统、办公自动化系统、社区服务系统、一卡通系统等上层应用。
从网络建设的特征来看,主要聚焦于:
万兆校园网改造、升级,学生宿舍区、新校区网络建设,认证、计费、管理及网络安全的建设。
但是随着国家对教育的重视,高等职业院校信息化的发展日新月异,更多的应用系统不断推出,对网络的可用性、可控性、安全性以及业务支撑能力要求也变得越来越高。
那么校园网建设工作也需要作出针对性的调整。
设计全新的基于纯IP技术的网络平台来满足高校校园网的需求变化。
数字校园业务的发展必然离不开两个方向,其一是IPv6,其二是移动性。
这既是IP通信技术发展的方向,也是数字校园应用的发展方向。
满足这个发展,首要前提就是让校园网络平台能够具备相关技术支撑能力,即构建IPv6校园网与无线校园网。
不论是对校园网的优化还是对校园网业务的横向拓展,都是基于校园网是安全有序的。
需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制。
校园网管理是随着校园网络的发展历程而变迁的。
校园网的发展经历了最初的计算机房、万兆校园网、数字化校园网等几个阶段,校园网络的管理也从最初的设备管理时代、发展到网络管理时代,再到用户和业务管理时代。
今天的数字化校园已经不再是网络建设,实际上已经朝着资源建设进行转型。
那么数字化校园的管理如何针对网络平台资源、用户资源、数据资源、媒体资源进行统一、有机配置与控制?
建立数字化校园的智能管理中心将是答案!
1.2校园网建网需求分析
1.2.1学校信息化基础网络平台建设目标
在校园网基础设施建设方面,分阶段分批实施校园网的升级扩容改造,在条件成熟时将家属区和学生宿舍接入校园网。
(1)主干网及主设备升级
线路带宽拟由100M/1000M升级到1000M/10000M/100000M。
实现线速或准线速。
设备性能上,交换架构升级为纵横式交换矩阵+共享内存架构、全纵横式交换矩阵架构。
稳定可靠性上,单核心升为双核心、多核心;
核心节点冗余备份;
汇聚双链路上联核心;
设备关键部件冗余。
(2)接入网改造
智能性与易管理性:
可网管,三层交换机。
统一监控与管理、统一策略下发。
带宽需求:
1000M接入,万兆上联;
全部光缆上联。
(3)无线校园网建设
实现有线无线一体化网络,使无线部署到校园每个角落,为学生与老师等提供可靠的网络环境。
(4)校园网安全保障体系建设
网络安全体系的构建:
全方位防范,逐步实施。
构建补丁管理和漏洞扫描系统、分布式入侵检测系统、分布式网络准入控制和防火墙系统、集中管理的病毒防护系统、网络不良信息的检测和内容审计系统。
(5)校园网管理平台建设
网络管理系统:
全网监控(内、外网)、统一监控、报告及时、直观、丰富灵活的统计分析功能、面向客户、管理的安全性。
1.2.2数字化校园多业务支撑平台建设原则
校园网规划要实现内部全方位的数据共享,提供高性能的、全面的QoS保障服务,使网络安全可靠,不但要实现教育管理、多媒体教学自动化,而且还要通过Internet/Cernet实现远程教学,提供可增值可管理的业务,同时必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
基于对校园网、业务需求的深入理解,结合自身产品和技术特点,公司推出了了完善的校园网解决方案,为校园网提供“高扩展、多业务、高安全”的精品网络。
网络规划遵循以下基本原则:
●统—规划,分段实施
校内多业务平台园区内统一规划、统一网络体系结构、统一通信协议标准。
对于保障多业务支撑的整个支撑平台,规划为多个功能模块,可根据需要分期分段实施。
●先进适用,方便扩展
业务平台规划采用符合网络技术发展方向和先进、成熟、适用的技术与设备,为多业务的发展留有足够的可扩展空间,以满足不断增加的新的应用需求。
●可增值、可运营
业务平台的规划、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在规划时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
第2章总体网络设计
2.1网络建设描述
校园网解决方案总体设计以高性能、高可靠性、良好的可扩展性为原则,网络架构采用汇聚到核心万兆双链路上行,接入到汇聚万兆上连。
考虑到技术的先进性、成熟性,便于网络故障的排除和将来网络的扩展,的网络平台采用模块化设计的方法构建一个层次化、区域化的网络。
由于校园园区网络规模比较大,接入节点数目比较多,随着各校园业务的快速增长,校园网络的扩展性也应该比较强。
针对校园园区网络建设的这些特点,公司提出了校园园区的IP智能安全渗透网络方案,该方案包括层次化设计、高可靠性设计。
校园IP网络平台还包括网络安全性设计、无线网络设计、IPv6网络设计,我们将在后续章节重点阐述。
以
2.2网络层次介绍
2.2.1核心层设计
本着以上原则,针对校园网建设,我们推荐核心层采用2台S12508核心交换机,并配置了双电源和双引擎,保证了内网业务的可靠性和持续性。
S12508具有2个主控插槽,8个业务插槽及9个交换网板插槽,S12500是中国国内第一款100G平台交换机,支持未来40GE和100GE以太网标准,整机可以提供576个万兆端口,提供业界密度最高的万兆接入能力;
面对下一代数据中心突发流量,创新的采用了“分布式入口缓存”技术,可以实现数据200ms缓存,同时整机具有高达7.65Tbps的背板带宽及6.12Tbps的交换容量,2400Mpps的包转发率,满足数据中心、高性能计算等网络突发流量的要求,完全能满足对本次网络建设的需求。
两台S12508交换机之间采用IRF2堆叠技术,使用IRF2技术可以对汇聚的上行链路进行跨设备的捆绑,汇聚交换机链路切换时间优于传统的VRRP+OSPF的切换时间,进而构成双核心的“双塔奇兵”,两台核心之间采用万兆互联。
2.2.2数据中心设计
考虑到校园网的接入的服务器数量比较多,服务器区域应该设置防病毒服务器、补丁服务器、OA服务器、数据库服务器、财务服务器等重要数据,因此我们根据业务种类的不同划分出几个服务器区域。
由于对网络进行划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。
跨边界的攻击种类繁多、破坏力强,随着网络的发展,各种入侵的手段也在加快的蔓延,如何能保证网络的安全,已经成了需要解决的迫在眉睫的问题了。
网络的攻击,已经从当初最底层的网络攻击已经发展到现在基于IP层或应用层的攻击了,而我们知道,所谓的防火墙是工作在L2-L4层,是无法检测到L7的攻击的,如何能防止L7层的攻击呢。
汇聚层设计
汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;
对于校园园区网的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合了多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载校园园区融合业务的需求。
由于项目要求在各个建筑群设汇聚层交换机,并且本次建设的信息点比较的多,为了减少核心交换机的压力,根据信息点分布的位置,在中北校园网汇聚层交换机,采用了S7500E系列交换机,S7500E系列产品是杭州华三通信技术有限公司(以下简称公司)面向融合业务网络的高端多业务路由交换机,该产品基于自主知识产权的ComwareV5操作系统,以IRF2(IntelligentResilientFramework2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务,本方案采用2端口万兆以太网SFP+接口板,采用双万兆上连到核心交换机,同时汇聚到接入采用万兆链路连接,可实现全万兆的高性能网络,保证了用户数据的高效访问和交换。
2.2.3接入层设计
提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。
对于校园园区网的接入层设备,应要求,上联万兆,千兆到桌面,达到EAD解决方案部署条件,并根据各个楼层的信息点数我们推荐采用S5120-EI系列交换机。
2.2.4无线解决方案设计
随着学校信息化的发展,移动办公的用户也随之增加,为满足学校无线全覆盖的需求,我们设计在本次方案中根据中北的大概情况增加了无线AP的部署,实现了对教学楼、办公区等公共场所的无线覆盖。
本次设计采用在无线AP接入点最多的11号楼汇聚层交换机上部署无线控制器插卡保证有线无线一体化的同时,避免单点故障,实现终端的高速接入。
2.2.5网管系统设计
为提高网络管理的效率,减轻网络维护的压力,本次组网采用IMC网管系统进行全网设备的统一管理。
第3章数据中心设计
3.1数据中心对于多业务运营的战略意义
3.2数据中心设计要点
综合数据中心的重要地位,以及数据中心会有持续的扩容以及增加业务需求,数据中心网络系统的设计必须遵循下述原则:
1、高性能
整个网络具有较高的吞吐能力和处理能力,网络各层均不存在阻塞,具备对突发流量的承受能力。
2、扩展性
为方便地实现数据规模的扩展,系统的设计具有灵活的扩展能力。
包括:
端口的扩展,带宽容量的扩展,处理用户访问能力的扩展等。
扩展应能在线进行,不需中断服务。
系统采用模块化设计,系统可方便地增加新的功能,并能有选择地对某个功能块进行升级或扩展。
3、高可用性
为保证数据中心的核心业务不中断运行,在网络整体设计和设备配置上均是按照双备份要求设计的。
在网络连接上消除单点故障,提供关键设备的故障切换。
关键网络设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。
关键主机可采用双路网卡来增加可靠性。
全冗余的方式使系统达到五个9的电信级可靠性。
4、安全性
系统具有网络和系统的全方位安全性保护部署,如防止外部入侵、黑客攻击、病毒和网络嗅探,在园区网环境中保证客户的隔离,对各种外部和来自内部的攻击做到“免疫”和主动防御。
数据中心层次化介绍:
需要说明的是,考虑到学校的实际情况,本次把数据中心核心层和园区网核心层合二为一,主要用来实现高速的数据交换。
汇聚服务器群接入交换机
多槽位、线速多端口万兆交换机
集成IPS安全与服务器负载均衡应用优化业务模块
根据实际情况,可以将数据中心分为核心业务区和管理区两部分,核心业务区负责核心业务接入:
办公、学生管理、科研、教学等核心业务;
管理区主要负责管理业务的接入;
后勤管理、网络管理、安全管理等业务。
采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域,应用不同的设计方法,可以根据不同区域和层次的功能需求进行建设和操作。
对于区域而言,我们可以从各个区域的功能来预知这个区域对可扩展性等的要求,例如,部署业务应用的区域可能会需要更高的可扩展性和可用性,而Internet区将更注重安全性。
3.2.1数据中心的虚拟化
随着校园信息化的不断深入,越来越多的高校认知到数据集中、IT基础设施集中、运行服务集中的必要性,数据中心是数字校园的核心的理念也得到大部分高校的认同,各高校普遍建立的校园级的数据中心。
而数据中心建设过程中,随着应用的展开,服务器、存储、网络在数据中心内的不断增长、集中,引起较多的问题。
如数据中心有限空间内物理设备数量不断增长,面临巨大的布线、空间压力,而持续增长的高密IT设备功耗、通风、制冷也不断对能耗提出更高要求。
服务器、网络、存储等IT设备的性能与容量不断增强,但是总体系统利用率低下,统计显示当前服务器平均利用率为15%,存储利用率在30%-40%。
而高校信息化的投入仍在不断增加。
3.3有线无线一体化方案优势
一体化无线校园解决方案有效实现了有线和无线网络的融合,通过统一的硬件平台、统一的网络管理、统一的用户管理、统一的应用安全,为校园用户提供安全的无线接入。
根据用户需求,通过在系列交换机中加入无线控制器插卡,就可为原有的有线校园网络提供无线支持,还可以像扩展和管理传统有线网络一样,对无线网络进行扩展和管理。
通过iMC智能网络管理平台为网络管理员提供了图形化、一体化管理能力,可以高效地管理有线/无线网络。
无线EAD实现了与有线一致的、端到端的安全防护体系,可以在终端接入层面帮助高校网管人员统一实施安全策略,大幅度提高网络的整体安全。
3.3.1一体化无线校园解决方案——更稳定
WLAN稳定性解决方案从无线控制器的可靠性,接入交换机供电的可靠性、无线信号的可靠性这几方面入手,极大的提高了WLAN网络的可靠性;
在实际的使用情况来看,启用这些措施之后,WLAN的可靠性能够得到明显的提升。
3.3.2一体化无线校园解决方案——高安全
一体化无线校园解决方案在遵循IEEE802.11i协议和国家WAPI标准的基础上,创新性的提出了分层的安全体系架构,将WLAN的安全从单一的物理层安全延伸到了物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上,使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。
无线物理安全:
公司的无线产品支持以下的加密机制:
WEP加密、TKIP加密、CCMP加密、WAPI加密。
其中,WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法,分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加解密。
在无线设备安全方面,的FITAP提供“零配置”功能,在设备上不保存业务配置,而是每次启动的时候从无线控制器动态加载业务配置,这样可以有效避免设备丢失造成配置泄漏。
此外,用户在采用公司的无线控制器+FITAP组网时,都需要预先在无线控制器上设置部署的AP序列号。
当这些AP启动和无线控制器建立关联时,无线控制器会检查AP上报的序列号信息,只有这些预先授权的AP才能接入无线控制器使用,防止非法FITAP接入网络。
3.3.3一体化无线校园解决方案——易管理
基于多年的积累和对用户网络的深入理解,智能管理中心平台为用户提供了实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。
iMC智能管理中心能够在一套系统中实现对有线网络、无线控制器、无线AP、PoE交换机等无线校园网涉及的所有设备的统一管理,避免了有线无线网络采用不同的管理系统带来的维护管理的割裂,因此能够更方便的实现无线校园网的配置管理,降低维护工作量。
3.4边界防护安全
网络出口是整个校园网对外的唯一通道,也是病毒和网络攻击的入口,需要使用安全设备进行区域的划分和访问控制。
因此我们在互联网出口部署一台高端防火墙保证校园网安全,并且为对外服务器划分DMZ区。
网络出口包括多个应用安全区域:
基本可分为互连网出口区,对外服务区,内网区域,我们建议在核心交换机与互联网出口设备之间配置一台防火墙,实现安全控制的同。
第4章校园网管理设计
4.1数字化校园管理综述
当前数字校园网络还面临许多挑战,在解决了带宽和覆盖问题的同时,校园网络需要进一步优化,校园网管理需要更加智能和易用。
随着信息技术的发展,为提高办公效率及改善教学环境,当前的学校越来越多地应用了信息技术,对于网络的依赖性也越来越大,学生需要上网查阅资料、吸收新知识、接受网上教学,老师需要借此了解最新科研进展。
校园网络上通常承载着学校的办公系统、教学系统及学生宿舍网络系统,网络如果发生问题,会对学校的正常运作产生严重的影响。
随着网络基础架构日趋复杂,传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。
业界的经验证明,选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。
智能管理平台不仅可以实现全线数据通信产品的管理,也可通过标准mib实现对Cisco、等各主流厂商的数据通信设备管理。
系统安全管理
系统安全管理功能主要有包括:
操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。
所包含的主要功能有:
操作员登录管理
管理员通过制定登录安全策略约束操作员的登录鉴权,实现操作员登录的安全性,通过访问控制模板约束操作员可以登录的终端机器的IP地址范围,避免恶意尝试另人密码进行登录的行为存在,通过密码控制策略,约束操作员密码组成要求,包括密码长度、密码复杂性要求、密码有效期等,以约束操作员定期修改密码,并对密码复杂性按要求设置。
操作员密码管理
管理员为操作员制定密码控制策略,操作员仅能按照指定的策略定期修改密码,以保证访问iMC系统的安全性。
分组分级权限管理
管理员通过设备分组、用户分组的设置,可以为操作员指定可以管理的指定设备分组和用户分组,并指定其管理权限和角色,包括管理员、维护员和查看员,实现按角色、分权限、分资源(设备和用户)的多层权限控制;
同时通过设置下级网络管理权限,可以通过限制登录下级网络管理系统的操作员和密码,保证访问下级网络管理系统的安全性。
操作日志管理
对于操作员的所有操作,包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作,都会记录详细的日志。
提供丰富的查询条件,管理员可以审计任何操作员的历史操作记录,界定网络操作错误的责任范围。
操作员在线监控和管理
系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息,包括登录的主机IP地址、登录时间等,同时,系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。
4.1.1无线网络管理平台
作为接入层网络,无线网络维护工作量较大,无线网络直接面对最终用户,对管理系统稳定性、实时性、有效性要求都较高,加之无线网络的灵活性和不可见性,对无线网络的管理需求也较有线网络更加强烈,网络管理几乎成了无线网络部署的必需。
Ø
方案思路
为学院管理平台添加无线业务管理组件,无线业务管理组件(以下简称为WSM组件)依托iMC智能管理平台,实现有线无线一体化的管理。
用户可以获得全面的无线业务管理能力,实现AC、FatAP、FitAP、移动终端等无线设备的集中管理,轻松实现设备配置管理功能,并提供无线拓扑、AP设备物理位置拓扑等多种拓扑功能,对全网无线设备进行直观有效的组织,对网络部署和设备状态一目了然,策略模板等功能实现网络和设备的批量配置,提升效率,降低维护成本。
基于Web的管理系统,为无线业务管理者提供了简便、友好的管理平台。
4.1.2服务器管理平台
校园网中心机房含WEB服务器4台;
个人WEB服务器2台;
DNS服务器2台;
FTP服务器1台;
邮件服务器2台(教职工和学生各1台)等服务器43台,应学校要加强教学信息资源的整合与统筹管理,服务器集中管理的需求,应对此需求,全新推出基于Web的综合应用监控解决方案iMCAPM,可为用户提供多层次、个性化的美观视图,并全面监控服务器、数据库、中间件等50种应用的数百种参数。
由于采用易于部署的web架构,在轻松部署的同时,也大大降低了维护难度和复杂性;
而无需安装监控代理就可对关键应用或资源进行远程监控,也有效避免了安装监控代理后对服务器造成的影响。
此外,全新的iMCAPM界面友好、操作简便,可以让管理人员在最短时间内迅速掌握,从而提高工作效率。
更值得一提的是,APM提升了用户对数据中心关键业务的掌控能力,为实现数据中心的智能化管理打下基础。
4.1.3业务流量管理平台
随着网络应用的飞速发展,P2P、VoIP等新应用的出现,网络流量模型、应用模型都发生了质的变化,对于校园网现状,大多学生以及老师最多的操作也是在下载,浏览视频,占用网络大量带宽,影像正常工作与学习,应学校控制流量的需要,方案设计对网络中的关键应用类型、关键用户业务的服务质量保证需求。
QoS(QualityofService,服务质量)技术的出现,旨在针对各种应用的不同需求,为其提供不同的服务质量,例如:
提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。
而统一集中的QoS策略管理以方便、快捷的实现全网端到端的QoS业务保证,成为每个网络管理员不可或缺的需求。
通过多年对网络的深刻理解和积累,推出了QoS管理解决方案,它基于智能管理中心开发,采用业界标准的SOA架构。
QoSManager提供对路由器、交换机系列设备的QoS策略定义、部署、监控管理。
通过Qo
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 有线 无线 一体化 安全 网络 解决方案