校园网方案DEMO.docx
- 文档编号:28707444
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:23
- 大小:74.10KB
校园网方案DEMO.docx
《校园网方案DEMO.docx》由会员分享,可在线阅读,更多相关《校园网方案DEMO.docx(23页珍藏版)》请在冰豆网上搜索。
校园网方案DEMO
第一章网络系统体系升级改造方案
一、需求分析
1.太京中学现有校园网络系统状况:
✓原有网络环境已不能满足当前学校各项业务的需求。
✓部分网络硬件设备与现在相比较略显落后。
2.新的需求:
✓提升网络运行速度
✓更换部分网络设备
✓新增部分网络点位的布线工程。
3.实现需求涉及的产品:
✓网络中心路由设备
✓网络中心核心交换设备
✓汇聚层交换设备
✓网络安全产品-----网络杀毒软件。
二、方案设计依据和原则
1.设计原则
太京中学校园网是校园投资的一项重要的网络系统工程,其设计是否合理,对XX中学信息网络未来的发展和产生的效益起着重要的作用。
太京中学校园网改造的确定,不仅要考虑到近期目标,还要为系统的进一步发展和扩充留有余地。
设计中需要考虑各阶段的情况,适应长远发展,进行统一规划和设计。
太京中学校园网改造的总体设计原则如下:
1)开放原则
●采用开放标准;
●采用开放技术;
●采用开放结构;
●采用开放系统组件;
●采用开放用户接口。
2)实用原则
●实用有效是最主要的设计目标,设计结果能满足需求并且行之有效。
3)可靠原则
●设计结果稳定可靠,具有高MTBF(平均无故障时间)和低MTBR(平均无故障率),提供容错设计,支持故障检测和恢复,可管理性强。
4)安全原则
●安全措施有效可信,能够在多个层次上实现安全控制。
5)经济性
●性能指标高,软硬件性能充分发挥。
6)灵活原则
●系统配置灵活,备用和可选方案多,能够适应应用和技术发展需要。
7)可扩展性
●能够在规模和性能两个方向上进行扩展,扩展后的性能有大幅度提高。
2.网络设备平台结构
信息网网络在结构上分为三层,即:
核心层、汇聚层、接入层。
在实施过程中,通常应将把核心层放在网络中心,在大型信息网中,核心层应该由两台三层交换机构成核心冗余结构,同时大量的网管工作也是在这里完成;为了保证网络具有高效的系统服务,服务器群(ServerFarm)经常被直接联到中心交换机上;另外,VLAN的数据交换也在此层进行。
汇聚层的物理位置常常位于配线间,他们起着上传下达的任务,一般是由高密度口可网管交换机构成。
接入层,顾名思义它们直接与终端设备相连,上行连接汇聚层,在全交换网中,这部分网络设备也采用交换机。
当然,在实际实施中,会有一定的灵活性。
3.网络系统体系结构
网络系统的体系结构包括功能的分层及各层功能通信所遵守的协议。
网络系统的体系结构也称为“层次与协议的集合”。
网络系统设计的第一步就是选择网络体系结构,核心内容是决策应当采用的协议集合。
选择目前应用范围最为广泛,并且是事实上的Internet/Intranet标准的通信协议族TCP/IP,作为架构整个网络体系结构的核心协议。
同时,为了保护用户现有的软件投资,使新的网络系统兼容原有的系统,也可使用IPX/SPX等协议。
为了支持远程访问功能,还使用了异步通信协议PPP。
下图为拟选用的整个网络体系结构:
4.系统逻辑设计
根据需求分析,我们总结太京中学校园网具有以下特点:
1)网络系统分布在太京中学校园及所辖范围内,系统规模中等;
2)采用原布线系统作为网络的线路基础;
3)信息流动以内部为主,对网络吞吐能力要求较高;
4)应用系统采用集中配置、集中管理的模式;
5)流量具有中心汇集的特点;
6)有对外互连的要求,将与cernet和Internet网互连;
7)提供安全控制措施。
综上所述,我们定义太京中学校园网为园区级网络,拓扑结构为星型拓扑网络。
针对这种结构,做出如下设计:
1)主干网汇接基层网段;
2)主干网不直接接入用户网络;
3)在网络中心进行集中控制和管理;
4)桌面机连接到基层网段上,服务器、工作站连接到高层网络;
5)部署网络杀毒软件,防止来自内部或外部的恶意攻击;
6)在完善的网络基础之上,提供基本的Internet服务。
5.系统物理设计
太京中学校园网网络系统的软硬件平台是整个系统的物理基础,因而是物理设计的主要内容。
设备选型是物理设计中的关键问题。
在太京中学校园网项目中根据以下标准选择厂商:
1)设备性能价格比
设备的性能价格比是选型决策的重要考虑因素。
2)售后服务
售后服务包括如下内容:
◆设备的保修期;
◆是否在中国有备件库,这样一旦发生硬件故障时可以及时得到更换;
◆是否提供ONLINE服务,以便与原制造厂商及时取得联系,获得技术咨询和支持;
◆故障报告的响应时间。
3)公司的经济、技术实力和市场占有率,这在一定程度反映其产品的信誉度。
4)设备的技术先进性,这是选型的首要考虑因素。
5)设备对未来新技术的适应能力,反映设备的可扩展性,这是保护用户投资的一种策略。
6)设备的技术性能指标。
7)设备使用的方便程度,这体现设备的可维护性。
8)设备在大型网络中的应用情况,它反映设备的适应性和可靠性。
9)网络管理系统的集成性、开放性和功能,它反映网络管理系统是否能对网络作全面深入的管理,以及它对异构网络的适应能力。
10)设备的标准化程度和可扩充性,反映对网络规模扩展的适应能力。
11)是否对教育系统有长期稳定的优惠政策。
12)差错的检测与隔离能力,这是网络可靠性的重要保证。
13)手册与培训,反映用户能否较快地掌握设备的使用。
第二章网络平台设计
一、网络设备选型
本方案根据太京中学的基本情况,网络设备设计以H3CS5100-EI系列以太网交换机为核心。
1.H3CS5024E系列以太网交换机主要特点
H3CS5024E以太网交换机是H3C公司自主开发的支持Web管理的二层线速以太网交换产品,是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。
S5024P提供24个千兆以太网端口、4个千兆SFP端口(与后4个千兆以太网端口复用)以及一个Console端口。
该交换机可以通过console口、telnet以及web方式登录进行配置,支持VLAN划分、端口双向镜像、端口+MAC地址绑定和端口聚合等功能。
图1H3CS5024P产品外观示意图
Ø符合IEEE802.3、IEEE802.3u、IEEE802.3ab/z和IEEE802.3x标准
Ø支持端口流量控制,符合IEEE802.3x
Ø提供24个10/100/1000M自适应以太网端口,支持端口自动翻转(AutoMDI/MDIX)、4个1000MSFP端口(与最后4个1000M电口复用)及1个Console口
Ø最多支持255个符合IEEE802.1q标准的VLAN,VLANID1-4094可配;最多支持24个基于端口的VLAN
Ø端口汇聚:
支持整机最多4组,每组最多24个端口
Ø支持基于端口的带宽控制,最小粒度为25Mbps
Ø支持IEEE802.1p优先级、IP优先级和DSCP优先级,支持SP队列调度,支持每端口2个优先级队列;
Ø支持广播风暴抑制
Ø支持端口镜像功能
Ø支持端口绑定
Ø支持端口收发报文统计
Ø支持MAC地址老化时间设置
Ø提供命令行接口管理和Web管理
Ø支持交换机系统软件的升级
Ø内置通用电源,1U钢壳,19英寸标准机架结构,可上机架。
产品规格
项目
描述
概述
外形尺寸(长×宽×高)
440mm×260mm×44mm
带挂耳,可机架安装
标准
IIEEE802.310BASE-T以太网
IEEE802.3u100BASE-TX快速以太网
IEEE802.3ab1000BASE-T千兆以太网
IEEE802.3z千兆以太网(光纤)
ANSI/IEEE802.3NWay自动协商
IEEE802.3x流量控制
固定端口
24个10/100/1000BASE-T自协商的以太网端口
1个Console端口
可选端口
4个1000Base-SX/LXSFP光口
固定端口属性
连接器类型:
RJ-45
支持10/100/1000Mbit/s传输速率
支持半双工、全双工、自协商工作模式
支持MDI/MDI-X自适应
可选端口属性
连接器类型:
LC
支持1000Mbit/s传输速率全双工
网线类型
l 双绞线:
采用5类双绞线,传输距离100m
l 光纤
多模:
50/125µm多模光纤,配有LC插头,传输距离550m
单模短距:
9/125µm单模光纤,配有LC插头,传输距离10km
单模中距:
9/125µm单模光纤,配有LC插头,传输距离40km
单模长距:
9/125µm单模光纤,配有LC插头,传输距离70km
指示灯
每端口:
Link/Act,Speed
每设备:
Power
性能
背板带宽
48G
转发能力
35.71Mpps
交换模式
存储转发模式
MAC地址表
支持地址自动学习、自动老化(老化时间为5分钟)
最多支持MAC(MediaAccessControl)地址:
8K
支持手工配置静态MAC:
64项
输入电压
100V~240VAC,50/60Hz
功耗
45W
工作温度
0℃~40℃
存储温度
-10℃~70℃
工作湿度
20%~85%,非凝露
存储湿度
10%~90%,非凝露
散热方式
内置风扇散热
软件
VLAN
最多支持255个符合IEEE802.1q标准的VLAN,VLANID在1-4094范围内可配
最多支持24个基于端口的VLAN
优先级队列(QoS)
支持802.1p优先级、IP优先级和DSCP优先级
队列数:
每端口2个
端口汇聚
支持整机最多4个汇聚组,每组最多24个端口
端口镜像
支持基于端口的双向镜像
端口带宽控制
最小粒度为25Mbps
广播风暴抑制
所有端口上支持基于带宽百分比的广播风暴抑制
配置和管理
基于Web的管理
支持命令行配置
支持通过Telnet登录进行配置
维护
支持调试信息的输出、统计
支持Ping维护诊断工具
支持通过Telnet进行远程维护
2.H3CS3100千兆以太网交换机的特点
H3CS3100系列千兆以太网交换机是H3C公司秉承IToIP理念设计的二层线速智能型可网管以太网交换机产品,具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点,满足企业用户多业务融合、高安全、可扩展、易管理的建网需求,适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。
1)千兆上行、线速交换
H3CS3100系列千兆交换机具有19.2Gbps的总线带宽,为所有端口提供二层线速交换能力,同时支持千兆上行,满足当前多业务融合对高带宽的需求。
2)完备的安全控制策略
H3CS3100系列千兆交换机支持802.1x认证,在用户接入网络时完成必要的身份认证,支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能,保证接入用户的合法性。
支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机(例如S9500/7500)上,在核心上启动网流分析(Netstream)功能,对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。
3)QoS能力
H3CS3100系列千兆交换机支持每个端口4个输出队列,支持2种队列调度算法:
WRR调度算法和HQ+WRR调度算法,可以以不同的优先级将报文放入端口的输出队列。
支持端口双向限速,限速的控制粒度最小可达64Kbps。
满足用户多业务识别、分类、资源调度的需要。
4)简单易用的管理和维护
H3CS3100系列千兆交换机采用无风扇静音设计,特别适合在楼道和办公室使用。
支持VCT(VirtualCableTest)电缆检测功能,便于快速定位网络故障点。
支持堆叠功能,通过增加设备来扩展端口数量和交换能力,多台设备之间的互相备份增强了设备的可靠性,从而保证了网络的平滑升级并能降低扩建成本;同时对多台设备统一管理,降低了管理成本。
通过FTP、TFTP实现设备的远程升级,支持HGMP集群管理系统和故障诊断,实现了设备的集中管理和维护。
支持SNMP,可支持HPOpenView等通用网管平台,以及H3CiMC网管系统。
支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便。
5)H3CS3100系列交换机业务特性
项目
S3100-SI
VLAN
最多支持4K个符合IEEE802.1Q标准的VLAN
广播风暴抑制
支持基于端口带宽百分比的广播风暴抑制
组播
IGMPv1/v2/v3Snooping
生成树协议
支持STP/RSTP/MSTP
端口汇聚
支持多个端口汇聚组;FE汇聚组最多支持8个端口,GE汇聚组最多支持2个端口
端口镜像
支持多对一的端口镜像
支持RSPAN(远程交换端口分析)
端口隔离
支持
端口环回检测
支持
MAC地址表
最多支持8K个MAC地址
流控
支持IEEE802.3x流控(全双工)
堆叠
除S3100-8C-SI,S3100-8TP-SI均支持堆叠
加载与升级
支持XModem协议实现加载升级
支持FTP、TFTP加载升级
管理
支持命令行接口(CLI),Telnet,Console口配置
支持SNMP
支持iMC网管系统
支持WEB网管
支持系统日志
维护
支持PING、Traceroute,MulticastTraceroute
支持Telnet远程维护
支持VCT(VirtualCableTest)电缆检测功能
QoS
每个端口支持4个输出队列
支持802.1p优先级、DSCP优先级、ip-precedence优先级
支持WRR、HQ+WRR队列调度算法
支持端口发送和接收方向的双向端口限速
安全特性
用户分级管理和口令保护
支持端口安全,支持端口+MAC绑定
支持GuestVLAN
支持IEEE802.1X认证
支持集中MAC地址认证
支持SSH2.0
DHCP
支持DHCPClient,DHCPSnooping
NTP
支持
集群管理
支持NDP(邻居发现协议)
支持NTDP(网络拓扑发现协议)
3.ER5200路由器的特点
ER5200是H3C公司为中小企业、网吧、学校等机构量身定制的一款高性能千兆路由器,它采用专业的64位双核网络处理器,主频高达500MHz,同时提供丰富的软件特性,如IP<->MAC地址绑定,ARP防攻击,流量限速,链接数限制,弹性带宽等功能。
它是H3C公司宽带路由器中的中高端产品,是企业和网吧用户的理想选择。
1)产品特点
性能卓越:
业内领先的双核500MHzCPU;533M主频的DDRII内存
千兆接口:
1WAN+3个LAN(千兆),端口镜像
安全无忧:
防ARP病毒,防DoS攻击
防P2P软件:
流量查看、控制与NAT连接控制
典型带机量:
250-350台
2)高配置:
最为豪华的配置,带来最佳的上网体验
高速CPU:
采用64位双核网络处理器,主频高达500MHz,处理能力相当于1GHz的专业网络处理器,典型的带机量为250-350台。
强大内存:
选用64M的DDRII高速RAM进行高速转发,主频更是达到533M,能保证网吧中游戏数据的快速处理。
千兆接口:
具有3个千兆LAN接口,可以与核心交换机进行千兆互联,消除宽带瓶颈,大幅提高网速。
3)高安全:
抵挡网络病毒、攻击,打造安全网吧
防ARP病毒:
内置“ARP攻击主动防御”功能,一方面通过IP<->MAC地址绑定功能,固定了网关的ARP列表,同时定时发送免费ARP的机制,可以有效地避免局域网PC中毒后引发的ARP攻击。
防内外网攻击:
针对目前网吧常见的DoS攻击,开发了相应的防攻击功能,包括短包、碎片包、TearDrop、PingofDeath、Land攻击、TCP空连接攻击、SynFlood攻击、TCP/UDP/端口过滤等等,保证网吧不受竞争对手和黑客的攻击。
防网络病毒:
内置高级防火墙功能,可以对数据包进行双向过滤,同时支持状态防火墙,可以有效防止Nimda、冲击波、木马等病毒的发作。
4)高可用:
全中文WEB配置,操作随心所欲
更新换代无烦恼:
支持WAN、LAN口的MAC地址修改,当换下老设备的时候,不需要更改以前网络的设置;支持最新软件的WEB升级和升级失败之后的恢复,让升级成为一件很轻松,没有任何风险的工作。
P2P尽在掌握之中:
BT,迅雷等P2P软件对网络带宽的过度占用会影响到网内其他用户的正常业务,ER5100通过基于IP或基于NAT表项的网络流量限速机制可以有效地控制P2P软件对网络带宽的过度占用,弹性带宽保证了闲时对带宽的充分利用。
轻松搭建服务器:
支持DDNS,能够与www.3322.org(希网)、花生壳等第三方域名服务商联动,能协助中小企业在无固定IP地址(ADSL拨号)时也能架自己的WEB或者其他服务器。
5)产品规格
项目
S5100-24P-EI
外形尺寸(长×宽×高)
(单位:
mm)
440×260×43.6
管理端口
1个Console口
业务端口描述
24个10/100/1000Base-T以太网端口,4个复用的1000Base-XSFP千兆以太网端口
交换容量(全双工)
48Gbps
包转发率(整机)
35.7Mpps
端口聚合
支持LACP
支持手工聚合
支持最大聚合组:
端口数/2,每个聚合组支持最大8GE/4*10GE
端口流控
支持端口流控
VLAN
支持基于端口的VLAN(4K个)
支持VLANVPN(QinQ)
支持协议VLAN
支持VoiceVLAN
支持GVRP
DHCP
支持DHCPClient
支持DHCPSnooping
支持DHCPSnoopingOption82
三层路由
支持三层静态路由
组播
支持IGMPSnoopingv1/v2/v3
支持组播VLAN
支持未知组播丢弃
广播风暴抑制
支持基于端口的广播风暴控制
二层环网协议
支持STP/RSTP/MSTP协议
支持SmartLink
堆叠
支持16台设备堆叠
QoS/ACL
支持ACL
支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等ACL
支持基于时间段的ACL
支持基于全局、VLAN、端口(组)下发ACL
支持QoS
支持IEEE802.1p/DSCP优先级
支持优先级映射
支持优先级标记
支持流量统计
支持端口信任模式
每端口支持8个队列
支持方式为SP/SDWRR/SP+SDWRR的队列调度
支持端口和队列的流量整形
支持基于流的重定向
镜像
支持流镜像
支持基于VLAN的镜像
支持基于MAC地址的镜像
支持N:
1端口镜像
支持远程端口镜像
安全特性
支持用户分级管理和口令保护
支持RADIUS认证
支持SSH2.0
支持端口隔离
支持端口安全
支持802.1X,集中式MAC地址认证
支持GuestVLAN
支持MAC地址学习数目限制
支持IP源地址保护
支持ARP入侵检测功能
支持IP+MAC+端口的绑定
支持EAD
管理与维护
支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telnet,Console口进行配置
支持SNMPv1/v2/v3,WEB网管
支持RMON告警、事件、历史记录
支持iMC智能管理中心
支持系统日志,分级告警,调试信息输出
支持HGMPv2
支持Modem远端拨号
支持NTP
支持电源的状态检测,告警功能,风扇报警
支持Ping、Tracert
支持Telnet远程维护
支持VCT(VirtualCableTest)电缆检测功能
支持DLDP(DeviceLinkDetectionProtocol)单向链路检测协议
支持Loopback-detection端口环回检测
支持IPv6host功能族,实现IPv6管理
输入电压
S5100-EI系列以太网交换机支持交流电源输入和直流电源输入(S5100-16P-EI除外):
AC:
额定电压范围:
100V~240V;50/60Hz
最大电压范围:
90V~264V ;47/63Hz
DC:
额定电压范围:
-48V~-60V
最大电压范围:
-36V~-72V
功耗(满负荷时)
46W
工作环境温度
0℃~45℃
工作环境相对湿度(非凝露)
10%~90%
二、网络实现设计
1.网络拓扑实现
根据综合布线系统链路设计,我们采用如下网络实现:
2.网络实现
✧以光纤链路为主,形成太京中学校园骨干网。
✧网络服务器群直接连接骨干交换机,通过独享带宽实现高速的网络服务
✧全网新增交换机均支持VLAN技术,可以灵活的采用端口、MAC地址、IP地址进行VLAN划分
✧网络内部IP地址可采用静态和动态相结合的方法进行管理,内部地址建议采用互联网预留地址
✧信息网内部对外部网络的访问通过代理服务器,便于根据用户登录信息开发灵活有效的记费管理系统
✧采用神州数码局域网管理系列产品,可以对整个网络实时动态管理。
3.网络中心
根据XX中学信息网络的规模,网络中心由两部分组成:
网络配置运行管理和服务器群,它们完成各自不同的任务。
网络配置运行管理包括:
网络系统策略管理
网络配置管理
安全控制
流量统计
访问记录
4.网络管理
太京中学信息网络的网络管理是网络建设的重要内容,是保证太京中学信息网络正常运行的前提。
网络管理不但需要先进、实用的技术支持手段,更需要合理、有效的组织体系和规章制度。
网络管理是网络可用性的关键组成。
界定并实现网络管理是网管设计的主要内容。
太京中学信息网络管理系统的主要管理对象包括:
互联网接入部分
主干网核心交换设备
基层网络设备
服务器系统
5.安全措施
太京中学信息网络的安全设计是该网络的主要技术特点和难点。
太京中学信息网络安全管理的内容包括:
保护网络资源不受内部或外部的恶意攻击和破坏,保护网络的配置不受非法的修改;阻止反动的、黄色的信息在网上流动和传播等等。
这些问题的解决,除加强思想教育和组织管理外,最根本的办法就是采取有利的措施以加强网络运行管理,采用各种保护措施维护太京中学信息网的安全。
应当建立各种安全规章制度,如值班制度、系统安全运行制度等;完善各种事故保护系统,如防火系统、防盗系统、电源安全保护系统等。
第三章网络设备清单
网络中心
序号
名称
规格型号
单价
数量
单位
小计
1
核心交换机
H3CS5024E
5520
1
台
2
汇聚层交换机
H3CS3100-26C-SI
3360
1
台
3
光电转换器
netlink
384
2
台
4
合计:
综合布线
序号
名称
规格型号
单价
数量
单位
小计
1
光纤
4芯多模(铠装)
4.5
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园网 方案 DEMO