学院校园网改造设计方案.docx
- 文档编号:23649189
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:35
- 大小:597.33KB
学院校园网改造设计方案.docx
《学院校园网改造设计方案.docx》由会员分享,可在线阅读,更多相关《学院校园网改造设计方案.docx(35页珍藏版)》请在冰豆网上搜索。
学院校园网改造设计方案
学院校园网改造设计方案
第一章用户需求
1.技术目标
众所周知,电子计算机机房装饰,不同于普通的宾馆、家庭装饰,机房装饰工程是一项系统工程,是现代科学技术和装饰艺术的综合。
机房内放置有复杂的电子设备和机电设备,对装饰的要求,主要是满足计算机对机房提出的技术要求,在机房装饰艺术上以既大方舒适,又满足其技术要求为原则。
对装饰材料的选择要达到吸音、防火、防潮、防变形、抗干扰、防静电等要求。
以期达到现代化的装饰水平和视觉效果。
网络核心机房是整个校园计算机网络开展应用的中心和关键所在,为消除安全隐患,确保通信设备和通信网络的安全可靠,应该建设在一个安全、可靠、稳定的基础环境中。
数据中心机房应符合国际标准和相关规范,在洁净与温湿度、供配电、接地、防雷、防静电、防盗与防破坏等各方面满足征信系统的环境要求和管理要求。
2.2.应用系统
本次机房建设将包括一下几个子系统:
1、机房空调与新风系统;2、电气系统(供配电系统);3、UPS系统;4、建筑装饰系统;5、消防及自动报警系统;6、机房漏水监测系统;7、机房其他配套设备系统
2.3.服务器要求
由于此处为校园网,主要功能是实现好学校与外部的上网功能,以及实现学校的资源共享,服务器具体功能(安全监控中心、数据中心、存储中心、网管中心),WWW服务,作为信息服务的平台,Email服务,作为信息传递和与外界交流的主要手段。
2.4.网络建设需求
实用性和先进性
采用先进成熟的技术和设备,尽可能采用先进的技术、设备和材料,以适应高速的数据与需要,使整个系统在一段时期内保证技术的先进性,并具有良好的发展潜力,以适应未来业务的发展和技术升级的需要。
安全可靠性
为保证各项业务应用,网络必须具有高可靠性,决不能出现单点故障。
要对机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。
在关键设备采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制控制手段和事故监控与安全保密等技术措施提高数据中心机房的安全可靠性。
灵活性与可扩展性
计算机机房必须具有良好的灵活性与可扩展性,能够根据机房业务不断深入发展的需要,扩大设备容量和提高用户数量和质量的功能。
应具备支持多种网络传输,多种物理接口的能力,提供技术升级设备更新的灵活性。
管理性
由于机房具有一定复杂性,随着业务的不断发展,管理的任务必定会日益繁重。
所以在机房的设计中,必须建立一套全面、完善的数据中心机房管理和监控系统。
所选用的设备应具有智能化、可管理的功能,同时条用先进和管理监控系统设备及软件,实现先进的集中管理监控,实时监控、监测整个机房的运行状况,实时灯光、语音报警,实时事件记录,这样可以迅速确定故障,简化机房管理人员的维护工作,从而为计算机机房的安全、可靠运行提供最有力的保障。
2.5.系统集成要求
WindowsXP系统,Windows2003server,linux系统,,点播系统(VOD),网络监视系统,报警系统,认证系统,校园系统,局域网管理系统,UPS不间断电源系统,网络管理系统。
第三章综合布线设计
3.1.采用综合布线方案概述
综合布线系统是采用模块化插接件,垂直、水平方向的线路一经布置,只需改变接线间中的跳线,改变集线器,增加接线间的接线模块,便可满足用户对这些系统的扩展和移动。
综合布线由六个子系统组成,即工作区子系统(WorkArea)、水平布线子系统(HorizontalCabling)、垂直干线子系统(BackboneCabling)、设备间子系统(EquipmentRooms)、管理子系统(Administration)和建筑群接入子系统(PremisesEntranceFacilities)。
如图:
3.2工作区子系统设计介绍
工作区子系统是由终端设备连接到信息插座的连线和信息插座组成。
室内房间的一系列设备包括标准RJ-45插座、网卡、五类双绞线。
另外需要统一线缆连接标准,EIA/TIA568A或EIA/TIA568B。
信息点数量(RJ-45插座的数量)应根据工作区的实际功能及需求确定,并预留适当数量的冗余。
例如办公室可配置2~3个信息点,此外还应该考虑该办公区是否需要配置专用信息点用于工作组服务器、网络打印机、传真机和视频会议等。
对于宿舍,一个房间配备1个信息点。
注意,在进行建筑弱电设计时,要严格执行有关综合布线标准,每个信息点到设备间的图纸距离应在70m内,因此,楼宇中的设备间的选择以位于或者尽可能位于本建筑物的地理中心为宜。
如图
3.3水平区子系统设计介绍
水平子系统主要是实现信息插座和管理子系统,及中间配线架间的连接。
水平子系统指定的拓扑结构为星型拓扑。
选择水平子系统的线缆要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。
水平组网子系统包括光纤主干线和各个楼层间的组网。
室外主干的光纤电缆采用多模光纤,室内采用超五类非屏蔽双绞线。
如图
3.4垂直主干线子系统设计介绍
垂直主干线子系统提供建筑物主干电缆的路由,实现主配线架与中间配线架、计算机、控制中心与各设备间子系统间的连接。
垂直组网在各栋楼中从配线架通过楼道上的桥架连接到设备间。
注意,如支持1000Base-TX则必须使用六类双绞线。
如图
3.5设备间子系统设计介绍
设备间子系统由设备室的电缆、连接器和相关支持硬件组成,把各种公用系统设备互相连接起来。
本企业网采用多设备间子系统,包括网络中心机房、办公教学楼、宿舍区、其公共场所设备间子系统。
网络中心机房设备间配线架、交换机安装在标准机柜中,光纤连接到机柜的光纤连接器上。
办公教学楼、宿舍区等设备间子系统配备标准机柜,柜中安装光纤连接器、配线架和交换机等,通过水平干线线缆连接到相应网络机柜的配线架上,通过跳线与交换机相连。
如图
3.6建筑群子系统设计介绍
建筑群子系统主要是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。
由连接网络中心和各个设备间子系统的室外电缆组成了园区网建筑群子系统。
有线通信线缆中,建筑群子系统多采用62.5/125um多模光纤,起最大传输距离为2km,满足该学院网内的距离需求,并把光纤埋入到地下管道中。
如图
3.7综合布线系统的安装与施工指南
最低配置:
适用于综合布线系统中配置标准较低的场合,用铜芯对绞电缆组网。
1)每个工作区有1个信息插座;
2)每个信息插座的配线电缆为1条4对对绞电缆;
3)干线电缆的配置,对计算机网络宜按24个信息插座配2对对绞线,或每一个集线器
(HUB)或集线器群(HUB群)配4对对绞线;对电话至少每个信息插座配1对对绞线。
基本配置:
适用于综合布线系统中中等配置标准的场合,用铜芯对绞电缆组网。
1)每个工作区有2个或2个以上信息插座;
2)每个信息插座的配线电缆为1条4对对绞电缆;
3.8产品选型说明
在布线设施设计中,需要的主要材料如下:
1.多模光纤;
2.五类双绞线,在布线实施时,应该尽可能考虑选用防火标准高的线缆;
3.各种信息插座,RJ-45等;
4.电源;
5.塑料槽板;
6.PVC管;
7.供电导线;
8.配线架;
第四章网络拓扑结构设计
4.1拓扑图设计
云南XXX学院校园网改造拓扑图
4.1.1设计说明
主干是万兆以太网,分别连接网通和电信,这样可以做负载均衡,保证校园网的通畅。
核心交换机采用双机热备技术,两个同样的核心交换机,一个做主核心交换机连接个机器使用,一个做备份,只有当主交换机坏了是,备份的交换机会自动启用,提供网络安全保障。
SQL服务器采用磁盘阵列,共5个磁盘,两个用来存储数据三个用来备份,这样即使坏了两个数据也不会丢失。
汇聚层采用思科4系列交换机,具有处理简单的认证信息和网络管理。
外部服务器群放在DMZ区域,当外面的人访问内网,首先同过DMZ区域,在此区域内检测是否有病毒,如果有则处理掉,保证了内网的安全。
为了让全校所有的地方都可以上网,本方案还在校园内装无限路由器。
4.2核心层设计
网络核心交换机是连接各区域并保障各区域高速通信的纽带,因此该设备应采用具有大容量、高密度、模块化体系架构的设备,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,还应具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计,从而满足现代信息化网络的多种业务承载融合和业务灵活分类、分流的组网需求。
针对xxx学院网络的实际情况,我们部署两台模块化核心交换机RG-S8610。
RG-S8610高密度多业务IPv6核心路由交换机提供3.2T背板带宽,并支持将来更高带宽的扩展能力,高达1190Mpps的二层/三层包转发率可为用户提供高密度端口的高速无阻塞数据交换,具有线速转发数据包的能力。
每线卡提供200G的交换能力,满足高密度的千兆/万兆端口线速转发,并且支持未来40G/100G接口的扩展。
通过XFP接口万兆线卡下连汇聚层交换机构成万兆骨干链路;千兆端口连接管理工作站、无线控制器、IDS入侵检测设备以及服务器区域交换机。
同时,RG-S8610高密度多业务IPv6核心路由交换机提供全面的安全防护体系,提供分布式的业务融合平台,满足未来网络对安全和业务的更高要求。
CPP技术,业界领先的硬件CPU保护技术,通过对发往CPU的IPv4/IPv6等多层协议报文自动进行流区分和流线速,避免异常报文对CPU的攻击和资源消耗,保证核心设备在IPv4/IPv6三层网络、二层网络环境中核心设备CPU稳定运行。
同时,RG-S8610核心路由交换机还提供其他更多的安全防护能力,例如防DDOS攻击、非法数据包检测、防扫描、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。
支持广播报文抑制,有效控制非法广播流量对设备造成冲击。
支持IPv6/IPv6、VLAN、MAC和端口等多种组合绑定方式,提高用户接入控制能力。
4.2.1双核心热冗余备份设计
为保障网络具有99.999%的电信级高可靠性,实施时采用双核心、双链路的设计方案。
该方式的好处在于,任意一台核心交换机的故障,或者任意一条上行链路的故障,均不会影响网络的稳定运行,备用交换机或备用线路会智能地启用起来。
图
要实现这样的热冗余备份机制,需要在核心交换机上启用VRRP(虚拟热冗余备份协议)和MSTP(多生成树协议)。
VRRP协议主要用于两台核心设备面向接入用户虚拟出一个实时可用的IP地址,实现核心设备间的智能热备份;MSTP协议则主要用于避免VLAN内部出现环路,配合VRRP协议实现线路的智能热备份。
核心交换机与出口路由器之间启用动态路由协议,实现与VRRP/MSTP的配合切换。
根据部分网络信息点建设要求全千兆到桌面的总体设计思想,考虑到万兆、IPv6的建网理念,根据集团各个分部的厂房和库房网络建设的具体情况,考虑到部分信息点数据流量庞大等因素,在攀枝花、西昌、泸州分部核心区域建议采用锐捷RG-S5750-48GT/4SPF-E全千兆三层多业务IPv6交换机。
RG-S5750-48GT/4SPF-E全千兆三层多业务交换机具备48口,可容纳多个接入层设备。
最重要的是RG-S5750-48GT/4SPF-E三层交换机还具备两个万兆扩展槽,可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块,通过扩展万兆光口实现骨干网络的万兆互联以及部分接入网络的千兆桌面。
从RG-S5750-48GT/4SPF-E是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代全千兆带万兆扩展机架式多层交换机。
可以提供48个10/100/1000M自适应的千兆电口,还能提供PoE远程供电的接口。
4.3出口设计
出口区域的网络主要由路由器VPN网关、防火墙组成,以下介绍以路由器为主。
我们建议在总部网络出口处部署一台锐捷RG-NPE50E网络出口引擎,RG-NPE50E固化提供了8个光电复用的GE口,可扩展2个扩展糟,定位于中大型网络出口。
RG-NPE50E全新融入了智能DNS和多链路负载均衡技术,使得用户对内对外访问都能智能选择最优最快速路径;集成了DPI引擎,让网络管理人员轻松应对P2P等应用的流量控制;重构了WEB界面,让其在设备管理维护层面变得简化。
RG-NPE50E网络出口引擎采用MIPS多核处理器体系架构,单个处理器内部基于锐捷网络自主知识产权的虚拟多处理器(vCPU)技术,从而在x-flow框架下构建起一个高性能、高稳定的转发平台。
RG-NPE50E网络出口引擎支持的最大并发用户数最多达10000人,4G的DDRII内存,最高达6Mpps的转发能力具有卓越的转发性能。
RG-NPE50E网络出口引擎充分利用x-flow技术,实现高速NAT,每秒高达30万条的NAT新建连接会话,最大支持整机200万条并发会话数。
64bytes小包转发率可达100Mbps,同时实现出口防火墙功能,在各业务功能全开的情况下,能实现最大3000-10000用户的并发带机量。
RG-NPE50E网络出口引擎配有先进的DPI深入分析引擎、行为分析/管理引擎,能够在保证网络出口高效转发的基础上,提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。
此外,RG-NPE50E网络出口引擎还提供WEB认证、IPsec/L2TP/SSLVPN、智能DNS、多链路负载均衡等多种功能的支持。
同时可根据网络使用分部情况,RG-NPE50E网络出口引擎提供专业的流量限速策略,用户可根据不同时段指定,分时段限速策略。
同时RG-NPE50E的多出口负载均衡,可综合利用不同运营商、不同自费的线路,提升网络带宽的同时,降低线路资费。
4.4防火墙
根据学院对网络安全的统一规划,需要在网络出口处均部署防火墙产品进行网络安全防护,建议采用RG-WALL1600E防火墙用在内外网间链路上作防护,从而实现对外部的攻击防御,保护内部网络的安全性。
RG-WALL1600E防火墙是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。
RG-WALL1600E可支持数十个GE接口,可以广泛应用于企业、教育、政府、医疗等行业的千兆网络环境。
配合锐捷网络交换机、路由器产品,可以为用户提供完整的端到端解决方案,是大型网络出口和不同策略区域之间安全互联的理想选择。
RG-WALL1600E基于锐捷网络自主开发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响。
RG-WALL1600E采用独立的安全协议栈,可以自由处理通过协议栈的网络数据,基于网络行为检测多流关联分析技术,支持对网络数据深度状态检测。
同时还采用快速流检测引擎,对网络报文处理进行了革命性的改造和优化;内置专用的硬件VPN模块,支持SSL、IPsec、PPTP、L2TPVPN等多种VPN业务模式。
在消除通用操作系统漏洞的前提下,完整实现了状态检测包过滤/应用代理防火墙、动态路由、入侵检测防护、病毒过滤、IPSecVPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能。
4.5主要设备选型
设备类型
设备型号
设备说明
交换机
RG-8610
3.2T背板带宽、10个(2个用于管理引擎)模块插槽、包转发速率:
L2:
1190Mpps/L3:
1190Mpps、交换容量:
1.6T
RG-S8606
网管功能:
SNMPv1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2
背板带宽:
1638Gbps包转发率:
L2:
595MppsL3:
595Mpps
RG-S5750-24GT/8SFP-E
24口10/100/1000M自适应端口(支持远程PoE供电),8个SFP光电复用口,2个扩展槽、模块化电源、2个电源插槽、包转发速率:
96Mpps,交换容量:
360Gbps
RG-2352G
背板带宽19.2G包转发率13.2Mpps接口数目52口
路由器
RG-NPE50E
MIPS多核处理器、内存:
4G、flash:
512M、8GE光电复用接口、包转发速率>6Mpps、NAT并发会话数:
整机200万。
防火墙
RG-WALL1600E
支持数十个GE接口、独创的分类算法、RG-SecOS、支持对网络数据深度状态检测、快速流检测引擎
入侵检测
RG-IDS2000
全面检测、分布式结构、高可靠、高性能、低误报率
服务器
IBM服务器X3850M2
标配四个Intel四核XeonE7420处理器(2.13GHz,8ML3缓存),可扩至四路处理器,标配8GBDDR2内存,0GBSAS硬盘,最大可扩充至256GB,标配1块内存板,标配2个热插拔电源,4U机架式,配置2个146GB10K2.5”SASHot-SwapHDD
IBM服务器X3650M2
2U机架式服务器。
配置一颗四核英特尔至强处理器55042.0GHz(4MB三级缓存,最高支持800MHz内存频率,4.8GT/sQPI,支持超线程、TurboBoost功能),可扩展至2个处理器。
2x2GBDDR3RDIMM内存,高达16个内存插槽(每处理器配置8个内存插槽)。
4个PCI-Express二代插槽;4个x8插槽通过可选的扩展卡可转换为2个x16插槽;通过可选的扩展卡支持PCI-X。
配置4个146GB热插拔SAS硬盘,共计12个2.5英寸热插拔硬盘托架。
集成双千兆以太网。
三年免费保修和服务。
第五章VLAN与IP规划
5.1VLAN与IP技术介绍
(1)VLAN技术即虚拟子网技术起始于1994/1995年的LAN交换技术,VLAN就是一个广播域,是由跨越物理LAN网段的多台终端机组成的相互可以通信的逻辑网段。
划分VLAN可以基于端口、MAC地址、第三层的IP、多址广播及混合技术。
(2)VLAN的划分可以提供更多的服务网络管理及性能的提高。
(3)VLAN可以减少移动及改变的花费;
(4)VLAN建立的虚拟工作组可以提供方便管理的可能;
(5)一种资源可以属于不同的VLAN,减少对广播的路由,防止局域的网络风暴的产生;
(6)更高的安全性,可以在局域只能够建立安全屏障,分割安全等级;
(7)高性能,低延迟,提供比路由器高得多的速率,却有更低的价格;
5.1.1VLAN与IP划分方案
部门
VLAN名
VLAN号
VLANIP
IP网段
可用范围
财务部
CWB
10
192.168.10.1
192.168.10.0/24
192.168.10.2
~254/24
学工部
XGB
20
192.168.20.1
192.168.20.0/24
192.168.20.2
~254/24
行政部
XZB
30
192.168.30.1
192.168.30.0/24
192.168.30.2
~254/24
教务处
JWC
40
192.168.40.1
192.168.40.0/24
192.168.40.2
~254/24
图书馆
TSG
50
192.168.50.1
192.168.50.0/24
192.168.50.2
~254/24
内部服务器区
NBFWQ
60
192.168.60.1
192.168.60.0/24
192.168.60.2
~254/24
外部服务器区
WBFWQ
70
192.168.70.1
192.168.70.0/24
192.168.70.2
~254/24
管理
GL
80
192.168.80.1
192.168.80.0/24
192.168.80.2
~254/24
学生区
192.168.90.0/24
~192.168.150.0/24
教工区
192.168.160.0/24
~192.168.170.0/24
教学区
192.168.180.0/24
~192.168.190.0/24
第六章网络管理与安全方案
6.1网络管理方案
配置管理过程是对处于不断演化、完善过程中的软件产品的管理过程。
其最终目标是实现软件产品的完整性、一致性、可控性,使产品极大程度地与用户需求相吻合。
它通过控制、记录、追踪对软件的修改和每个修改生成的软件组成部件来实现对软件产品的管理功能。
性能管理是对电信设备的性能和网络单元的有效性进行评估,并提出评价报告的一组功能。
包括性能测试,性能分析及性能控制。
性能管理(PerformanceManagement)性能管理指的是优化网络以及联网的应用系统性能的活动,包括对网络以及应用的监测、及时发现网络堵塞或中断情况、全面的故障排除、基于事实的容量规划和有效地分配网络资源。
安全管理:
安装系统补丁程序(Patch);采用最新版本的服务方软件;设置系统日志;定期检查系统安全性;
6.2网络安全方案
6.2.1GSN
今天的网络安全正遭受严峻挑战。
病毒、外部入侵(黑客)、拒绝服务攻击、内部的误用和滥用,以及各种灾难事故的发生,时刻威胁着网络的业务运转和信息安全。
但与此同时,大多数正在使用的网络安全系统都缺乏真正的全局防护能力。
当网络受到来自各方面的攻击时,由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出,还会处处被动挨打。
可以断言:
面对复杂的安全隐患,这种“各自为战”的安全系统已彻底失去效力。
今天,网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。
为了彻底扭转“各自为战”的被动局面,唯有用全局化、智能化的安全体系代替陈旧的安防措施。
业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动防御(自御)、自动修复(自愈)与自动学习(自育)等三大自“YU”功能于一体的GSN全局安全网络解决方案。
GSN强调“多兵种协同作战”,将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。
在此基础上,GSN不仅能够满足现阶段网络安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。
GSN,即GlobalSecurityNetwork,中文名称“全局安全网络”。
GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的网络设备联动处理集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时针对网络环境的变化和新的网络行为进行学习,达到对未知安全事件的防范。
GSN方案由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护的作用。
GSN由三个层面组成;
(1)后台服务层面:
身份认证系统——身份认证系统能够提供严格的用户接入控制,通过准确的身份认证和物理定位来确保接入用户的可靠性。
用户认证系统针对用户的入网,提供入网控制功能,同时,认证系统还可以实现用户帐号、用户IP、用户MAC、设备IP、设备端口的静态绑定、动态绑定以及自动绑定,保证用户入网身份唯一。
安全管理平台——安全管理平台是安全防御体系的管理与控制中心,是统一安全管理平台的核心组成部分。
通过安全管理平台,可以对系统内的安全设备与系统安全策略进行管理,实现全系统安全策略的统一配置、分发和管理,并能有效的配置和管理全局安全设备,从而实现全局安全设备的集中管理,起到安全网管的作用。
通过统一的技术方法,将系统所有的安全日志、安全事件集中收集管理,实现集中的日志分析、审计与报告。
同时通过集中的分析审计,发现潜在的攻击征兆和安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 学院 校园网 改造 设计方案